当前位置: 首页 精选范文 公司信息安全建设范文

公司信息安全建设精选(十四篇)

发布时间:2023-10-10 17:13:46

序言:作为思想的载体和知识的探索者,写作是一种独特的艺术,我们为您准备了不同风格的14篇公司信息安全建设,期待它们能激发您的灵感。

公司信息安全建设

篇1

关键词:供电公司 网络信息 安全建设 管理

1.电力系统的安全指标

电力系统为各产业的发展提供电力资源,建立信息数据网有利于保障电力控制系统的安全。信息系统主要负责数据信息的传输,同时在运行效率、管理控制方面发挥着不可忽视的作用。信息系统的安全不仅局限于信息的保护,还包括对信息系统的保护、检测和恢复等[1]。为保证信息系统的稳定传输,电力企业应制定相应的安全指标。

1.1使用指标

系统中存储的信息必须具有使用价值,否则就没有必要存储进信息系统。因此,电力企业应确定采取安全保护措施的信息的可用性。如果用户有需要,系统应为其提供相应的访问服务,避免因服务功能不及时等问题造成系统信息的异常存储、传输和处理,给系统功能的正常发挥带来影响。

1.2保密指标

电力企业信息系统所用的数据信息必须进行保密,只允许授权使用的人员查看,并不得透露给其他人员。目前,多数电力企业采用“授权、认证”的方式进行信息的保密,只允许授权使用的用户使用信息系统。执行保密指标,必须确保信息不被损坏、篡改和窃取。

1.3存储指标

实现网络化控制是地理企业的改革创新,在网络系统的运行期间必须保证信息存储的完整性。首先要确定纸质、电子档等信息存储的形式,然后再根据实际需要进行合适的存储指标选择,保证使每项信息都能得到有效存储和维护。

1.4审核指标

对数据信息进行定期审核有助于信息的安全管理。电力企业管理人员应在的科学指导下进行审核工作,给管理人员提供正确的决策和指示。此外,进行信息审核能够及时发现系统中存在的问题,提醒网络控制人员对异常情况进行及时处理,防止给信息系统的安全运行带来安全隐患。

1.5人员指标

人是电力网络信息系统中最关键的因素,系统最终需要技术人员的操作控制,如果专业人员技能不足,会给信息安全系统带来很大风险。如:操作人员随意安装操作系统、随意更改计算机代码、随意更新升级各类软件等,都会给网络信息系统带来安全隐患,破坏网络信息传输的正常进行。

2.网络信息安全防护对策

对于电力企业来说,电力资源信息化涉及的面广,工程技术比较复杂,必须从总体考虑网络资源的安全问题。为规避风险,使网络系统的运行更加安全、高效,必须保证网络的安全隔离。具体可采用以下技术解决网络资源的安全:

2.1虚拟网技术

网络管理者掌握虚拟网技术可以营造网络运行的稳定环境,避免其受到外界因素的干扰。。在公共数据网络上,采用访问控制和数据加密技术,可以将两个或多个可信内部网进行互联[2]。

2.2数据库技术

为提前防范电力网信息出现被盗、丢失等异常,运用数据库技术通过数据备份的方式保存原资料,可以保证信息的安全。电力企业应创建数据备份中心,选择高品质的数据恢复技术,如遇到信息数据受损,可以进行提前修复补充,以保证信息系统的正常运行。

2.3防火墙技术

防火墙属于访问控制产品,它能够隔离开信任网络和不信任网络,在内部网络与外部不安全的网络之间设置障碍,对外界异常信息进行过滤控制,阻止来自外界的非法访问。能够有效的阻止黑客的攻击,实现对数据流的监控。如防火墙中的强制实糟,能避免企业信息遭受非法攻击或存取。

2.4病毒防护技术

电力信息网络系统所遭受的最大病害是病毒,它对各类信息的安全具有较大的破坏力。要解决好这个问题,应通过防毒、杀毒的等方式进行处理,营造稳定的信息系统运行的环境。可以在电力企业的服务器上安装防病毒软件,在每台PC机上安装防病毒软件。

2.5安全审核技术

安全审核技术的作用是审核系统上流通的数据信息,及时将在异常的数据信息拦截,避免其给网络系统造成干扰,有效的保护信息系统的安全[3]。

3.加强安全制度管理

电力企业的网络安全管理中,技术仅仅是一部分,经营者还应加强管理决策的改革创新,制定出科学的管理规划和制度。日常管理中,应从以下方面加强管理:

3.1强化安全意识

安全意识涉及到领导者和网络系统运用管理的每个人。电力企业的经营者应将安全意识放在首位,从安全角度出发,制定现有网络系统的安全管理策略,避免来自外在的破坏因素干扰或危害网络系统。企业的员工要不断的培养自己的安全意识,坚持以安全为原则进行系统操作,把握好每个步骤。

3.2及时进行故障处理

网络信息系统发生故障在所难免,当出现故障时,应及时、尽快组织技术人员进行处理,尽早解决故障给系统造成的不良影响。

3.3规划管理制度

网络完全管理制度的严格执行可实现网络系统的有序操作,让系统的每个环节都能安全可靠的运行。电力企业应制定网络系统安全管理的制度,对计算机操作人员进行专业考核、加强设备的管理等,有效预防并避免意外故障的发生。

4.小结

计算机网络系统在电力企业的运用深刻而广泛,存在各种各样的安全威胁。电力企业必须加强安全技术的管理和应用,确保信息系统的安全运行,为企业的安全生产提供有力的保证。

参考文献:

[1]赵慧岩.对计算机网络信息安全建设的探究[J].中国电子商务,2010(1):54.

篇2

【关键词】 管理 信息安全 准入

一、专业管理理念和目标

1.1 专业管理的理念或策略

信息安全管理的理念为主动作为,从技术上做到信息安全“可控、能控、在控和预控”,实现事前认证、事中监控、事后审计的全流程安全管理。

1.2 专业管理的范围

综合数据网信息安全体系建设涉及公司所有员工。

1.3专业管理的目标

信息安全体系建设的目标为违规外联事件为0,桌面弱口令为0,杀毒软件安装率为100%,桌面管控系统安装率为100%以及不出现其它受到考核的不安全行为和事件。

二、当前的计算机网络安全形势

随着信息化的发展,业务和应用完全依赖于计算机网络和桌面计算机。但是计算机病毒、黑客木马、间谍软件进入桌面计算机,在计算机上安装非法软件,肆意破坏网络和业务系统,外来电脑接入本单位计算机网络等问题时有发生,这些行为非常容易导致桌面计算机和计算机网络系统的瘫痪。最近几年来,网络安全威胁愈演愈烈,网络攻击工具越来越多样,越来越容易获得,所需要的技能越来越低,只需下载一个黑客程序就可以进行攻击,漏洞利用的时间越来越短。攻击的目的性,过去纯粹为了比技术,现在商业目的越来越明显。

三、国网眉山供电公司综合数据网信息安全现状

国网眉山供电公司综合数据网经过2011年到2012年的大规模建设,网络覆盖到了35KV变电站及供电所等机构,形成了规模巨大的数据网络,包含连接各级机关、各个电压等级的变电站和供电所的广域网,以及各个站点的局域网。

综合数据网的建成为所有办公终端提供了高速数据通道,大大提升了信息化水平和办公效率。但也带来了一个严重问题――安全问题。国网眉山供电公司在网的计算机多,爆发的安全问题多,管理难度很大。从国网推广的北信源安全管控系统监控的结果来看,目前内网计算机违规外联、计算机使用弱口令、计算机没有安装防病毒软件等问题还很多,北信源的安全管控系统主要是监控并不能够从技术上进行事前规避。国网眉山供电公司实施了大量的管理措施得了一定的效果,但是没有建立一套全方位的安全技术系统,提升网络的安全性,保护电力公司的信息资产安全。

为了真正提升网络安全性需要建立一个整体安全架构,从局部安全、全局安全、智能安全三个层面,建设一个多层次、全方位的立体防护体系,使网络成为智能化的安全实体。局部安全针对关键问题点进行安全部署,抵御最基础的安全威胁;全局安全利用安全策略完成产品间的分工协作,达到协同防御的目的;智能安全在统一的安全管理平台基础上,借助于开放融合的大安全模型,将网络安全变为从感知到响应的智能实体。

四、国网眉山供电公司综合数据网信息安全体系建设规划

4.1局部安全

目前国网眉山供电公司的网络仅在连接省干网的出口部署了防火墙设备,防火墙能够进行边界保护和基于网络层面的访问控制,但是对应用层的攻击如通过Email携带病毒,通过网页挂木马方式对用户攻击等不能够阻断,应用层攻击行为能够对业务系统造成较大损害。

局部安全建设要对电业局网络进行分区:外联区、服务器区、接入区。外联区:外联区是国网眉山供电公司与省干网连接的边界区域;服务器区:服务器区是国网眉山供电公司的数据中心,存放重要的业务数据;接入区:接入区是各个站点及电力公司的局域网区域;

完成局部安全建设后,本电业局与省公司及其他电业局之间的安全攻击将被隔离,本电业局的攻击不会影响到省公司和其他电业局。本电业局内部的攻击也不会影响到服务器区的业务系统。提升了业务系统的安全性。对于电业局的网络系统基本上没有安全防范的措施,所以需要重建安全技术体系。

4.2全局安全

全局安全是通过网络设备与安全设备的配合提供端到端的安全防护。通过局部安全建设能够抵御内部的安全攻击,但是不能够控制攻击的在内部的泛滥,需要通过网络设备的准入功能,在网络的与用户终端的边界建立准入机制,只允许合法的用户访问网络,且只允许合法用户符合安全要求的终端访问网络,并通过客户端软件强制功能提升终端的自身的安全性。

全局安全的主要建设内容为:

身份认证:变开放的网络为封闭网络防止外来非法计算机访问网络;在网络接入设备上开启网络认证功能,开启该功能后,当计算机接入网络时是无法转发任何数据的,只有认证报文能够通过网络与认证服务器交互,只有合法的员工输入正确的用户名和密码后认证成功,该用户获得第一级访问网络的权限,仅能够访问安全隔离区;外来的非法计算机因没有账号和口令而无法向网络发送任何数据。

安全评估:加强计算机的安全性,只有符合安全规范的计算机才能够访问网络;当合法员工输入正确的账号和口令后获得第一访问网络的权限后,启动对计算机的安全检查,检查内容包括弱口令检查、防病毒软件、操作系统补丁、必须要运行的软件等。弱口令检查是扫描计算机账号的口令,与弱口令字典进行比对,如果存在弱口令则认证失败,要求用户修改口令,直到口令改为强口令,避免被破解口令后远程控制该计算机;防病毒软件检查是扫描系统是否安装防病毒软件以及是否更新病毒库,如果没有安装防病毒软件或者病毒库没有更新,则认证失败。并要求计算机访问安全隔离区进行修复,安装防病毒软件或者进行病毒库升级,保证计算机具有防病毒能力,能够对通过计算机外设及通过网络散播的病毒进行杀毒。

软件管理:目前国网要求所有终端安装北信源的安全管控软件,但是部分终端没有安装,导致无法评估真实网络安全状态,建设全局安全启动了网络准入功能,如果终端不安装北信源软件就无法访问网络,通过技术手段保证每个接入网络的终端必须安装北信源安全管控软件,提升国网考核的注册率。

防内网外联:启用网络准入功能后,准入客户端可以在终端上对网络驱动下发隔离策略,只有被安全认证服务器认证通过的网卡才能够访问网络,而安全认证服务器是在信息内网中的。当终端接入到互联网上时,只有认证数据能够通过,因互联网上没有安全认证服务器所以认证不通过,终端无法获得授权而无法访问网络。在终端运行过程中插入WLAN网卡或者3G网卡也无法联网,因为在互联网上无法进行认证所以网卡被隔离无法访问互联网。

全局安全建设后,对于具有安全隐患的终端将无法接入到网络,大大提高网络的安全性,终端自身也具有了较高的防御性,可以抵御网络中的攻击。

4.3智能安全

局部安全和全局安全建设后,整个网络具有了较高的安全性。但是还不具备足够的智能性。智能安全的目标是动态调整终端安全性、识别安全攻击并快速定位和隔离攻击,将安全事件控制在最小的范围之内。在终端使用过程安全状态会发生变化,智能安全的目标是使得终端具备智能提升安全性能力,通过动态补丁升级服务器可以保证终端缺乏必要安全补丁时能够自动从补丁服务器上获取补丁,避免操作系统受到漏洞攻击;当病毒库版本升级后终端能够自动进行升级。

另外,部署安全审计服务器将整个网络中的网络设备、安全设备、业务服务器等日志能够统一管理,当出现安全事件时能够主动告警并快速定位,并且可以隔离攻击源。

篇3

关键词:信息安全;信息科技风险;管理体系

1信息安全建设现状

现行制度方面,现行有效制度涵盖软件开发、软硬件运维、应急管理、安全操作、外包管理、供应商管理等方面,覆盖面较为全面,但是缺乏体系,没有根据一个标准系统的制定出一整套操作性强、执行性强的制度体系。上报机制方面,目前采取信息处内部逐级上报机制,即发现问题上报至科长,科长根据重要等级不同决定上报给处长、主管主任、信息科技委员会。内部评审方面,现阶段只针对现行制度对文档的完整性和准确性进行事后自评,定期配合外部审计机构进行专项审计;监控平台只对机房环境、硬件设备、网络及系统软件进行实时监控。信息科技风险评估方面,根据国家标准从信息资产、威胁、脆弱性的识别、风险值评估、风险项统计分析、总体评价和不可接受风险处理等7个方面,对整体信息化系统包含的硬件设备、软件系统、数据信息和管理制度等内容进行了全面的评估,每半年上报一次信息科技风险报告,并制定相应的整改计划。

2信息安全建设存在的问题

2.1管理制度建立不完善

目前,在信息科技风险的上报机制、自评机制和监控机制都存在着不同程度上有所缺失,例如尚未建立双向上报机制;自评范围不全面,缺少对数据资产、人员资产、软件资产等的覆盖;缺少残余信息科技风险的控制缓释措施及评价流程。同时,现有信息科技风险管理制度的完整性、可操作性需要进一步改进。

2.2信息安全意识不强

职工信息安全意识较为缺乏,没能把信息安全意识变成一种习惯、一种常态化的意识真正融入到日常的工作生活中,没能真正意识到加强信息安全的重要程度。

3信息安全建设工作思路

随着互联网+迅猛发展,加强信息安全建设日益重要,我认为应从加强安全审计、建立风险上报机制、强化信息安全管理、科技信息风险防范等四个方面不断加强信息安全建设工作:

3.1分析差距,完善内审监控管理体系

按照信息安全管理体系ISO27001标准梳理现状,认真分析研究,查找存在的差距,制定信息安全内控操作规程,针对软件开发、软件运维、硬件管理各项工作中具体内控操作流程制定信息安全审计依据。可联合相关处室,定期组织信息安全内部审计,建立事前预警、事后考评的整套内审监控管理体系,对潜在的信息风险进行有效控制。

3.2安全防控,建立风险上报长效机制

依据CIA属性对现有信息资产按照实物资产、人员资产、数据资产、软件资产、服务资产进行分类赋值,识别信息资产面临的威胁与弱点,推导出信息资产面临的安全风险,提出相应的安全措施并制定整改计划。另外,建立风险点上报机制,各个分管机构风险管理员负责收集存在的风险点隐患并及时上报信息处、风险处,由信息处汇总风险点,双向上报给风险处及相关领导,针对风险点中提出的问题及时跟进,并协调相关处室进行有效处理。

3.3强化意识,紧抓信息安全管理

针对目前职工信息安全意识较为薄弱的现状,一是借助官方网站、微博、月刊、简报等宣传载体,开展形式多样的信息安全的宣传教育活动,让每名干部职工时刻紧绷信息安全这根弦;二是邀请专家定期组织信息安全培训,普及安全应用技术,强化全员的安全责任和意识。三是结合各部门信息安全工作实际,就一段时期内容易产生的安全问题组织不定期的安全技术人员专题讲座,提高信息网络安全管理人员的能力。

3.4抓好关键,确保信息安全工作无死角

篇4

在宏观经济下行的市场竞争中,大部分企业时刻面临着自身生存和发展的困境,特别是私营企业,由于工作节奏快,职工的压力较大,因而更具有特殊性。任何一家企业的正常运营都离不开全体员工的共同努力和团结奋斗,但是私营企业往往无限度的给员工加压,这种压力不仅包括工作环境和工作负担等因素,也包括企业过度忽视员工的工作感受。过度的压力会导致员工工作态度消沉,并在不同程度上造成员工生理和心理的不良反应,导致工作效率低下,给企业的生存和发展带来了重大隐患。

工作不安全感是工作压力的重要来源之一[1]。目前理论界对工作不安全感还没有一个统一的界定,Greenhalgh和Rosenblatt认为:“工作不安全感是雇员在一个受到威胁的工作情境中,对于维持所希望的继续性的一种无力感。”[2]强烈的工作不安全感在不同程度上对于组织、家庭、以及个体都会带来很多消极影响,一些可以阻碍和减弱工作不安全感消极后果的缓冲或者调节变量就显得尤为重要,比如社会支持。

目前,国内关于员工工作不安全感与心理健康的研究相对来说比较欠缺,在国内私营企业管理方式还存在很大缺陷的情况下,私企员工工作不安全感总体状况如何?它对私企员工的心理健康有显著影响吗?社会支持是否能够减弱工作不安全感对员工心理健康的损害呢?基于此,本研究采用工作不安全感量表、社会支持量表、以及华人心理健康量表对私营企业中工作的员工进行现状调查,并探讨工作不安全感各个维度与心理健康的关系,同时探索社会支持是否在工作不安全感各个维度与心理健康之间存在调节作用。本文的研究框架如下图1所示:

二、理论基础与研究假设

(一)私企员工工作不安全感与心理健康

随着员工身心健康不断出现问题,越来越多的学者开始意识到关注工作不安全感对个体身心健康影响的重要性。Sverke等人的元分析表明,工作不安全感对雇员的生理健康和心理健康会形成极大的威胁,但相比之下,工作不安全感与心理健康的相关程度高于身体健康,这说明工作不安全感对员工的心理健康水平有更大影响[3]。Cheng和其工作伙伴对中国台湾25-65岁之间的8705名男性雇员和5980名女性雇员进行调查,研究发现:工作不安全感在职业人群中的总体流行率达到50%,而且在调整年龄、控制工作内容和要求以及工作中的社会支持以后,雇员的工作不安全感仍旧与较差的健康状况之间仍存在强烈的联系[4]。Strazdins(2004)研究发现,存在工作不安全感的员工通常都有一定的抑郁、焦虑问题[5]。

相比于国外二十多年的研究积累,国内对工作不安全感领域的研究还处于初步阶段,还有很多问题需要去研究和解决。国内对于这两者之间的研究相对来说还比较少。如冯冬冬等人对广州某中外合资企业进行了横向和纵向研究,结果发现,工作不安全感对员工的身心健康有非常显著的消极影响;一般自我效能感在工作不安全感与身心健康之间存在显著的调节作用[6]。胡三??和李中斌(2010)通过实证分析,证明中国企业中的工作不安全感由五个维度构成,即工作丧失不安全感、人际关系不安全感、工作执行不安全感、过度竞争不安全感以及薪酬晋升不安全感[7]。

基于以往国内外学者对工作不安全感与心理健康理论及实证研究成果,本研究提出如下研究假设:

H2-1:工作不安全感对员工心理健康具有显著负向影响。

H2-1-1:工作丧失不安全感对员工心理健康具有显著负向影响。

H2-1-2:人际关系不安全感对员工心理健康具有显著负向影响。

H2-1-3:工作执行不安全感对员工心理健康具有显著负向影响。

H2-1-4:过度竞争不安全感对员工心理健康具有显著负向影响。

H2-1-5:薪酬晋升不安全感对员工心理健康具有显著负向影响。

(二)社会支持的调节作用

1.私企员工社会支持与心理健康

已有一些研究指出,社会支持水平对员工心理健康有重要影响。如高校图书馆员工的社会支持与其心理健康水平有密切联系[8]。另外龚德英等人(2008)在关于外企员工社会支持与心理健康现状调查中也证实,员工的社会支持对其心理健康状况有重要影响[9]。

本研究采用肖水源编制的社会支持量表进行研究,该量表将社会支持分成三个构面,主观支持、客观支持和对支持的利用率,在国内研究中被广泛的使用。研究表明,主观社会支持水平越高,员工心理健康水平越高[10]。

基于前人的研究,本研究提出如下假设:

H2-2:员工社会支持对私企员工心理健康具有显著正向影响

H2-2-1:主观支持维度对私企员工心理健康具有显著正向影响

H2-2-2:客观支持维度对私企员工心理健康具有显著正向影响

H2-2-3:对社会支持的利用度维度对私企员工心理健康有显著正向影响

2.社会支持的调节效应

Sverke等人在其工作不安全感整合模型中提出,社会支持可能在工作不安感与心理健康之间起到调节作用,并指出未来研究应该检验如何减少工作不安全感的消极影响,特别要检验工作不安全感与结果关系中调节变量的作用。

国内学者如胡三??、佐斌等人对工作不安全感影响的因素及其各种后果变量之间关系的调节变量进行了较为全面的研究[11]。但国内关于社会支持对工作不安全感和心理健康之间调节作用的相关研究极少,那么,在不同水平的社会支持下,工作不安全感及其各个维度对员工心理健康的影响作用会如何呢?

基于Sverke(2002)的工作不安全感的调节变量整合模型以及前人的相关研究,本研究提出如下假设:

H2-3:私企员工社会支持正向调节工作不安全感对心理健康的影响

H2-3-1:私企员工社会支持正向调节工作丧失不安全感对心理健康的影响

H2-3-2:私企员工社会支持正向调节人际关系不安全感对心理健康的影响

H2-3-3:私企员工社会支持正向调节工作执行不安全感对心理健康的影响

H2-3-4:私企员工社会支持正向调节过度竞争不安全感对心理健康的影响

H2-3-5:私企员工社会支持正向调节薪酬晋升不安全感对心理健康的影响

三、研究方法

(一)研究样本

按照随机取样原则,选取绵阳市私营企业中的员工共300人,通过发放调查问卷来收集数据,数据收集的过程是在被调查企业人力资源部门和相关领导的支持配合下完成。

在此次调研中,共发放300份调查问卷,回收了263份有效的问卷,回收率为87.7%。本研究调查对象的基本情况如表3-1所示。

(二)变量测量

为确保测量工具的效度及信度,本研究尽量采用现有文献已使用过的量表,再根据本研究的目的加以适当修改作为搜集实证资料的工具。

员工工作不安全感:采用胡三??与李中斌所编制的25个条目的量表,此量表由员工进行自我评价,示例问题如:“我害怕丢了现在的工作再难以找到与之相当的工作了”、“我害怕自己没有特别努力就会被单位淘汰”。员工基于likert-5点评分方法进行评价(1=非常不符合;2=不符合;3=不确定;4=符合;5=非常符合)。该量表在本研究中的信度系数为0.809,五个维度的信度系数分别为0.888、0.799、0.768、0.709、0、785,这表明该量表具有良好的信度。

员工社会支持:采用肖水源(1994)所编制的10个条目的量表,此量表由员工进行自我评价,示例问题如:“您有多少关系密切,可以得到支持和帮助的朋友?(只选一项)”、“过去,在您遇到急难情况时,曾经得到的安慰和关心的来源有:”。员工进行评价的评分方法为:第1~4,8~10条,每条只选择一项,选择1,2,3,4项分别计1,2,3,4分;第5条分A,B,C,D四项,将四项得分相加得总分,每项从无到全力支持分别计1~4分;第6、7条如果选择“无任何来源”则计0分,若选择“下列来源”,那么有几个来源就计几分。该量表在本研究中的信度系数为0.659,这表明该量表具有较好的信度。

员工心理健康:采用我国杨廷忠教授经过中国大陆适宜性研究后,对台湾学者郑泰安所编制的量表进行调整之后的12个条目的量表,此量表由员工进行自我评价,示例问题如:“请问您最近是不是觉得头痛或是颈部有压迫感?”、“觉得神经兮兮,紧张不安?”。员工基于likert-4点评分方法进行评价(1=比平时严重的多;2=比平时严重些;3=和平时差不多;4=一点也不)。该量表在本研究中的信度系数为0.807,这表明该量表具有良好的信度。

控制变量:以往的研究表明,员工的背景变量(如性别、年龄、工龄、婚姻状况、学历、职位层次、月薪)会影响员工的工作不安全感(胡三??2010),工作不安全感又会影响员工的心理健康。因此,本研究将选取员工的性别、年龄、工龄、婚姻状况作为控制变量处理。

四、数据分析和结果

本章首先检验工作不安全感各个维度对员工心理健康的影响作用,社会支持各个维度对员工心理健康的影响作用;其次,根据调节效应的判定原则,探讨社会支持水平在工作不安全感各个维度和员工心理健康之间关系中起到的交互效应。

(一)变量的描述性统计分析

对私企员工工作不安全感、社会支持和心理健康的相关关系进行考察,从相关系数矩阵表可以发现,各研究变量之间存在不同程度的相关。

私企员工心理健康与工作不安全感各维度之间均存在显著负相关关系(P

(二)假设验证

1.员工工作不安全感对心理健康的回归分析

将可能会对心理健康有影响的性别、年龄、工龄、婚姻状况等控制变量进入回归方程的第一层,再将工作不安全感各个维度变量进入回归方程的第二层,结果如表4-2所示。多重共线性的VIF检验值都在允许的范围之内,说明进入模型的各个变量不存在严重的多重共线性,该模型的回归结果可以接受。

从表4-2中可以看出,心理健康与工作不安全感的“工作丧失不安全感”维度之间的标准化系数为-0.053,P?0.05,未达到显著,研究假设H2-1-1未得到验证;心理健康与工作不安全感的“人际关系不安全感”维度之间的标准化系数为-0.046,P?0.05,未达到显著,研究假设H2-1-1未得到验证;心理健康与工作不安全感的“工作执行不安全感”维度之间的标准化系数为-0.154,P

2.社会支持对工作不安全感影响心理健康的调节效应检验

(1)社会支持对私企员工心理健康的关系检验

通过上述相关分析,我们了解了社会支持各个维度与员工心理健康之间具有不同程度的相关性。然而通过相关分析只能说明研究变量之间存在一定的关系,无法说明变量之间具体有怎样的关系,也无法看出研究假设是否支持,因此,此部分将进一步进行回归分析,通过层次回归的方法来检验各研究变量间的关系及验证相关研究假设。

从表4-3数据运行结果来看,私企员工心理健康与社会支持的“主观支持”维度之间的标准化系数为0.292,P

(2)调节效应检验

值得说明的是,工作不安全感共有五个维度,社会支持共三个维度,因此,如果两两维度之间进行交互项讨论的话,就会产生15个交互项。在很多现有的研究中很多研究者也经常把社会支持作为一个整体构念来进行研究。因此,本研究在接下来的讨论中,会把社会支持视为一个整体概念,检验其在工作不安全感各个维度和心理健康之间的调节效应。

采用层次回归分析方法,检验社会支持在工作不安全感各个维度与心理健康之间的调节作用。具体操作步骤为:第一步,将控制变量放入回归方程;第二步,将自变量放入回归方程;第三步,将调节变量放入回归方程;第四步,放入调节变量与自变量的交互项。如果交互作用显著,则说明存在调节作用。为了避免在进行社会支持的调节作用分析时回归方程产生多重共线性问题,需对交互项的各变量进行中心化转换。

模型1表示心理健康对控制变量的回归,F值为2.390,P值?0.05,模型不显著,模型1的调整后的R2为0.021,模型解释了员工心理健康2.1%的方差。

模型2表示心理健康对控制变量和自变量(工作不安全感各个维度)的回归,F值为9.547,P值

模型3表示心理健康对控制变量、自变量(工作不安全感各个维度)以及调节变量(社会支持)的回归,F值为11.124,P值

模型4表示心理健康对控制变量、自变量(工作不安全感各个维度)、调节变量(社会支持)、交互项(工作丧失不安全感×社会支持)的回归,F值为10.620,P值

模型6表示心理健康对控制变量、自变量(工作不安全感各个维度)、调节变量(社会支持)、交互项(工作执行不安全感×社会支持)的回归,F值为10.628,P值

为了更加直观形象地表示社会支持的调节作用,绘制社会支持在工作不安全感与心理健康之间的调节作用效果图4-1。

从图4-1可以明显看到,工作不安全感高的私企员工在获得较少社会支持的情况下,其心理健康得分尤其高(即其心理健康水平尤其低);而获得较多社会支持的私企员工其心理健康虽然会受工作不安全感的影响,但程度却并不大,即便是体验到高工作不安全感的私企员工在感受到高社会支持的情况下,其心理健康得分也较低(即心理健康水平较高),这一结果再次说明社会支持能够有效缓解私企员工工作不安全感对心理健康的负向影响。

五、结论

篇5

【关键词】 传统行业 信息安全建设 问题 策略

【作者简介】 胡鹏,中石化湖北石油分公司工程师,研究方向:网络安全。

【中图分类号】 X913.2 【文献标识码】 A 【文章编号】 2095-5103(2015)04-0051-02

信息安全建设包括三大部分,即人员、管理和技术,尤其是信息安全管理,已经越发受到各界的广泛关注,并以此为核心来打造信息安全保障体系。信息安全对于各行各业来说,均具有极其重要的地位,其不仅关乎企业自身信息安全,也关乎普通消费者信息安全。因此构建信息安全体系,是企业未来发展的重点工作。

一、传统行业信息安全建设现状分析

(一)对信息安全建设缺乏足够认识。就目前国内实际情况来说,传统行业对于信息安全建设尚没有足够的认识,导致信息安全建设难以切实施行。具体来说,这主要表现在三个方面。一是传统行业的领导者对信息安全建设缺少必要的认识,在面对信息化浪潮的冲击时,其最先想到的是提升行业品质来面对新挑战,却忽视了通过信息安全建设保护行业核心信息资源,导致行业信息被逐渐泄露,无法与新行业相抗衡,以致逐渐失去竞争力。最典型的就是传统出版行业,在数字化刊物逐渐普及的情况下,传统出版行业已经显得捉襟见肘,出版物印刷量与销售量逐年下降。二是行业内部员工缺少对信息安全的认识,在日常工作中,会在不经意间泄露行业信息。更有甚者为了一己私利出卖行业信息。这些举动都对传统行业造成了极其恶劣的影响。三是普通消费者缺少对信息安全的认识,在某些需要消费者个人信息资料的行业中,消费者往往没有考虑个人信息资料是否安全,是否存在泄露的风险以及相应的后果。忽视这些的结果就是消费者缺少对相关企业信息安全的要求,在发生意外情况后无法挽回。

(二)信息安全建设技术水平较低。传统行业虽然缺乏对信息安全建设的认识,但也并非没有进行信息安全建设,只是其信息安全建设技术水平较低,无法切实满足对企业信息安全的保护。信息安全建设技术水平低主要表现在两个方面。一是信息安全管理体系架构技术层次低,一个体系架构的技术高低,决定了该体系所能发挥的功能高低。越先进越高端的技术,其对信息安全的保护也就越安全,反之亦然。传统行业信息安全管理体系的基础架构以及权限设置等信息保障措施,其技术相对一些新行业而言较为落后,无法符合不断更新的计算机技术,更无法有效弥补信息安全漏洞,只能说是徒有其表。二是人员管理技术水平较低,人员管理也是信息安全建设的重要环节。每一个员工都携带着一定程度的行业信息,只有加强对员工的管理,建立科学人性的管理体系,才能确保企业人员不会因为失误或利益泄露行业信息。

(三)信息安全建设覆盖范围较窄。信息安全建设覆盖范围较窄主要可以分为两个方面,一是进行信息安全建设的传统行业范围较窄;二是行业内部信息安全建设的范围较窄。对于所有传统行业而言,已经完成信息安全建设或正在建设的行业并不多。根据相关统计资料,传统行业中完成或进行中的信息安全建设的企业,尚不到20%。这一数据说明信息安全建设率在传统行业中来讲还很低,还需要加强相关理念的宣传,引导更多的传统企业进行信息安全建设。在行业内部,信息安全建设集中在企业核心机密,即企业相关财务数据、产品数据和市场数据等,忽视了员工信息安全及一些外在信息安全的构建。虽然此举能够保障企业核心利益,却无法保证企业正常良性的运转。

二、传统行业信息安全建设中的问题及原因

(一)缺少完善的法律法规。在信息安全方面,我国尚缺少有效完善的法律法规来加强信息安全建设,这主要表现在两个方面。一方面是缺少对传统行业信息安全建设的强制性法律法规。传统行业本身对信息安全缺少足够的认识,再加之缺少必须的法律法规,就致使传统行业基本忽视了信息安全建设。另一方面是缺少对信息安全犯罪的法律法规,近年来随着信息技术发展迅猛,各种信息安全犯罪层出不穷,犯罪性质也从经济犯罪上升到了更加恶劣的性质。各种由于个人信息泄露而出现的绑架、抢劫等案件,急需出台相应的信息安全法律法规来加以制约。

(二)传统行业内部信息安全管理不力。信息安全管理主要包括体系建设、制度建设和人员管理。这三个方面的工作在传统行业中来说都并不到位。体系建设主要是指信息安全管理体系,一套完整的管理体系,应当从上至下,由内而外,将方方面面的信息安全包罗其中,以形成一个上下一体的信息安全管理系统。制度建设主要针对信息安全制定相应的信息安全管理制度,通过确实的规章制度,对企业员工形成约束,避免其出现一些不利企业信息安全的行为。人员管理主要是加强对企业员工的信息安全意识教育,让其树立起保护信息安全的基本意识。

(三)基础信息安全建设设施缺乏。基础信息安全建设设施缺乏,是摆在传统行业面前的关键问题,这主要包括两个方面的问题。一是技术基础缺乏,目前我国信息安全建设的技术基础基本源自国外,这从信息安全的角度来说本身就是一种不安全的行为。只有创建完全自主的信息安全技术,才能杜绝国外技术可能存在的技术后门。二是硬件基础缺乏,这与技术基础缺乏对信息安全的不利影响是一致的。总的来说,硬软件的缺乏,是传统行业信息安全建设的最大问题。

三、传统行业信息安全建设策略分析

(一)完善信息安全法律法规。要做好传统行业信息安全建设,最首要的就是完善相应的信息安全法律法规,从法律层面对信息安全建设进行定性。首先是明确传统行业信息安全建设的义务,通过法律规定强制传统行业进行信息安全建设,迫使其领导层重视信息安全建设,进而在行业全局决策中增加对信息安全建设的思考与倾斜。其次是对信息安全犯罪作出全面的定性与量刑,加强对信息安全犯罪的打击力度,通过法律手段减少信息安全威胁。

(二)加强行业内部信息安全管理。加强行业内部信息安全管理,是信息安全建设的重要环节,其可以从三个方面来进行。第一是构建企业员工信息梯度,针对企业不同部门以及不同职位,制定不同的信息等级制度,以此改善员工功能与信息的不对等关系。第二是构建信息管理制度,针对企业类型、企业所包含信息的类型以及其机密程度,制定合理的信息管理制度,加强对内部员工的约束。第三是加强对企业员工的信息安全建设培训,使企业员工具有一定的信息安全建设意识,能够从一些小事上进行信息安全建设。

(三)自主化信息安全建设基础设施。自主化信息安全建设基础设施应当从基础技术与基础硬件两个方面进行。就基础技术而言,传统行业应该大量参考国外相关技术,博采众长,创建不依赖于国外技术的信息安全建设技术,真正实现信息安全建设技术国产化,从根源上排除国外技术对传统行业信息安全可能存在的技术风险。在基础硬件方面,传统行业可以加强与国内硬件厂商的合作,共同研发具有行业特点的信息安全建设硬件,减少国外硬件的引入与应用。总的来说,信息安全建设应该在国外硬软件的基础上,开发自主的硬软件设备,使信息安全建设完全实现国产化。

(四)综合采取多种有效措施构建信息安全大环境。信息安全建设并非企业一己之力就能够做好,还需要多方协作,构建信息安全大环境,如此才能在整个行业中进行信息安全建设。第一,加强企业之间的信息交流与合作管理。对于同一行业而言,企业的核心信息在一定程度上来说相似甚至相同,即企业的信息安全建设在一定程度上形成了交集。同类型企业可以加强信息交流,合作构建信息安全管理体系,加强信息安全管理。第二,构建企业信息安全评级制度,由国家相关部门牵头,联合行业内的优秀企业,组建企业信息安全评级机构,对行业内企业进行信息安全评级,并将评级结果公布于众,让消费者能够清楚认识到企业的信息安全等级以选择能够保障自身信息安全的企业。此举还可以加强企业对信息安全建设的重视程度,促使企业进行信息安全建设。第三,构建信息安全犯罪打击网络,由公安部牵头,联合国内优秀的信息安全商构建信息安全犯罪打击平台,加强对信息安全的监管及信息安全犯罪的打击。

参考文献:

篇6

关键词:地市烟草;网络安全;技术;管理

中图分类号:TP393.08 文献标识码:A 文章编号:1674-7712 (2014) 02-0000-02

烟草行业自1985年有了第一台计算机以来,经过20多年行业信息化工作者孜孜不倦的努力,行业的信息化建设工作取得了长足的发展,建立了涵盖行业各个方面工作的完备的信息网络,为行业工作的便捷开展提供了可靠的信息化助力,为“卷烟上水平”做出了应有的贡献。但不可否认的是,在信息化建设之初,由于经验的缺乏及技术的限制,没有形成一个具有远见性及科学性,能与行业整体业务发展战略紧密融合的信息网络安全建设战略,导致多年来行业信息网络安全建设工作缺乏统一的导向和组织,虽然各省烟草公司都制定并出台了计算机网络建设与管理规范,指导各地市的信息网络建设,但因为制度出台时间较短,及网络改造需要流程与时间,可以说目前各地市网络安全建设水平仍不够理想,信息网络安全建设发展至今,越来越多的困难与矛盾开始逐渐凸显。

一、地市烟草公司信息网络安全建设现状

地市烟草信息网络是构成全省烟草信息网络的个体,因此地市信息网络安全建设水平便直接关系全省信息网络建设水平,是构成全省信息网络安全建设的一环,就像构成木桶的一板,依据管理学上“木桶效应”的短板理论,木桶的盛水量由构成木桶的最短的一板决定,当有一个地市信息网络安全建设水平大大低于平均水平,就将大大拉低全省烟草信息网络整体安全防护水平。可以说全省烟草的信息网路安全建设必将是环环相扣的,一环均不得松懈,一环均不得落后。

地市信息网络安全建设关系到全行业主干的网络的安全与稳定,而信息网络环境的复杂性、多变性以及系统的脆弱性、开放性和易受攻击性,决定了信息网络安全威胁的客观存在。当行业人员在享受着信息网络给日常办公带来便利性的同时,信息网络安全问题也日渐突出,信息网络安全建设形势日益严峻。结合地市烟草实际情况分析总结(某地市烟草信息网络安全结构图如下),以及笔者日常的实际工作体会,主要可以总结出当前地市烟草信息网络安全建设还主要存在着以下几方面问题:

(一)将信息网络安全建设理解为单纯的安全设备采购

经过多年的信息化网络安全建设投入,一种简单的理念容易令一些行业信息化工作从业者产生误解,即所谓的信息网络安全建设就是网络安全设备的采购,只要网络安全设备采购部署到位,信息网络安全便高枕无忧,从一定角度来说,这种观点并没有错误,随着信息技术的发展,日益先进强大的网络安全设备层出不穷,人性化的操作界面也使得设备使用与配置变得不再困难,对信息网络安全起到很好的保障。各地市烟草公司也在逐年增加着安全设备的采购数量,网络安全随着安全设备的增加看起来已经不再是问题。但实际情况是这样吗?在实际情况中我们仍然会发现,地市烟草在重视网络安全设备采购的时却较为忽视对网络安全设备采购的前期规划,导致亟需网络设备没有得到采购,或者采购的安全设备没有得到很好的实施。造成重复投资及资产浪费的局面,同时设备上线实施后期的运行维护及更新升级,随着时间的流逝,人为的懈怠与忽视,都导致购买的安全设备没有起到最大的作用。

(二)信网络安全建设偏重技术钻研,忽略日常管理

信息网络安全不能完全依赖技术手段来解决,更多的需要从信息安全日常管理上入手,毕竟信息网络的使用者是人,只有对人的管理到位,才能保证在技术手段搭建的网络安全保障平台下不出现人为操作引发的漏洞。当前地市信息化工作从业者在对信息安全技术钻研方面投以了很大的热情,但对信息网络安全日常管理方面却显得无能为力,或者说掌控能力还不够,虽然制定并颁布了涵盖网络安全各方面的信息化制度,但相关制度却没有得到很好的贯彻执行,很多制度名存实亡,而行业各级员工良好信息网络安全使用习惯始终没有得到养成,信息安全问责机制得不到很好实施,同时而信息中心作为相关信息安全管理制度的制定者,受限于部门职能及自身管理水平所限,导致对制度执行的监督管理能力低下。而在信息网络安全管理不力的情况下,致使再强大的技术防护都无法避免管理缺失形成的隐患。

(三)信息网络安全建设重视对外防护,忽视对内防护

当前网络安全建设更多的针对外来攻击的防护,而忽视对内的安全防护,更多的是在网络边界搭设安全设备抵御从外部而来的非法入侵及非法访问,而针对内部终端用户的审计及跟踪则较为缺失。根据统计结果标明,99.9%的网络安全事件来源于网络内部,而只有0.1%安全事件来自于外部,绝大多网络安全事件来自于以内部客户端为跳板进行的网络攻击。当企业内部存在有恶意的攻击者,他们就能较好的规避防火墙等安全设备的安全策略,并把安全策略转向对于他们有利的一面,对内部网络进行攻击。同时外部的黑客,也能通过木马,能让内部用户运行他们指定的程序,操纵主机,窃取数据,这些都源于当前的信息网络建设对来自网络内部攻击防护较为薄弱,同时对内部网络准入控制把控力度做得较为不足,虽部署有桌面终端管理系统,但在相应策略部署上,没有及时到位,而该系统特殊的技术阻断方式,也在一定程度容易导致其阻断率无法达到100%。

(四)网络安全建设应急机制不健全

目前地市信息网络安全建设更多的是重视的日常安全巡检等日常检查工作,但是对网络突发事件的应急处置则较为欠缺,地市网络安全建设应急机制建立不健全,缺乏相应网络事故应急预案及相关演练,对突况的应变不熟练,导致出现突发的网络安全事故时则会变得手忙脚乱,无法很好应对突发事件带来的异常,促使事故造成的损失愈发严重,同时没有良好的容灾备份机制,一旦信息安全事故发生,是否能快速有效的恢复关键数据成为疑问。

二、针对当前网络安全建设现状的一些建议

针对当前地市烟草信息网络安全建设过程中存在的问题,通过一定的分析总结,参照最新的技术规范及管理理念,以及上级的制度规定,我们试提出以下几条改进建议,以达到全面提升信息网络安全建设实用性、科学性、全面性、稳定性的效果,具体如下:

(一)加强网络安全设备采购的前期规划及合理配置实用

网络安全设备的采购应加强前期规划及需求分析工作,不能无目的,无原则的一味追求高新设备,当前的现状是各地市对网络安全的设备采购均存在着档次及匹配性问题,存在过大及追高的弊病,形成投资浪费,同时由于项目管控能力较弱,前期规划不足,购置的设备在配置实施后等不到很好的使用,或起不到原先预想的效果。因此要加强项目前期规划,做好需求调研与需求分析工作,对网络安全设备应起到的效果及采购设备级别有准确的预估,加强采购项目的整体实施管控,并重点关注设备采购后的实施上线工作,做好安全策略的制定和部署,要充分利用设备、活用设备,充分达到应起的效用,在设备正式上线运行后,要做好安全防护策略的及时更新与修订,作好安全设备的日常巡检工作,保证安全设备始终发挥作用,而不是上线运行一段时间后就闲置不管。通过对购置网络安全设备活用、善用,提升资产投资价值,搭建坚固稳妥信息网络安全环境,促进信息网络安全建设的实用性。

(二)建立完善的信息网络安全日常管理体系

加强网络安全建设的日常管理工作,应以培养员工的良好的网络安全习惯为工作重点。所谓信息网络安全建设“三分技术,七分管理”,管理到位,信息网络安全建设也将事半功倍。一味单纯的依靠技术进行网络安全防护,而管理上存在漏洞,再强大的技术也将一无所用。好的技术,加上完善严密的管理,才能确保信息网络安全、坚固、稳妥。因此要注重建立完善信息安全管理保障体系,加强安全监管和信息安全等级保护工作,要对网络设备的安全性和信息安全专用产品实行强制认证。同时在加强对员工日常信息安全理念培训的同时,要与接入网内的计算机终端使用者签订信息安全责任状,树立“谁使用、谁负责”、“谁管理、谁负责”的信息安全理念,严格落实信息安全责任制,确保员工不敢轻易触碰信息安全底限,养成良好信息网路安全使用习惯。通过建立全面多级信息网络安全管理体系,增进信息网络建设的科学性。

(三)加强信息网络安全建设对内防护工作

地市公司目前均在互联网出口及边界架设了硬件防火墙等安全设备,但由于防火墙的特殊技术架构,其对内部通过防火墙外部的数据是不进行检测的,这就导致黑客可以利用内网主机上的后门程序,建立隐蔽信道,攻破防火墙,因此其在抵御外部攻击上起到较好作用,但面对来自网络内部的攻击就显得束手无策,针对这一情况,在进行信息网络安全建设的同时,应重点加强信息网络安全的内部防护工作,而加强对客户端的上网行为审计及网络准入控制,就成了加强信息网络内部安全建设的必然选择。客户端接入网络的同时,通过对其安全状况及授权情况进行检测,只有安全状况符合要求,得到合理授权的客户端才能正常接入办公网络。应在互联网出口处,防火墙之前,部署上网行为管理设备,对客户端出互联网的数据进行检测及筛选,降低客户端进行危险的互联网访问,感染病毒,遭受攻击的分险。通过加强信息网络安全建设的内部防护,提升信息网络安全的全面性。

(四)加强信息网路安全建设应急机制建设及演练

要加强信息网络安全建设的应急机制建设,加强应急预案的实施演练,增强对网络安全突发事件的应急处理能力。每年应进行定期仿真度高的应急方案演练,模拟网络安全事故发生时可能发生的情况,进行针对性演习。在方案演练前,要做好演练前期的方案策划,演练过程的完全记录,演练过后的总结分析工作。并以此来不断改进现有的应急预案。同时应做好容灾备份工作,进行关键网络设备的冗余配置及重要数据库的备份工作,确保发生突发事件后,能够及时进行网络及数据恢复工作,将突发事件带来的影响降到最低,不过多的影响正常办公业务的开展,确保信息网络安全的稳定性。

四、结束语

烟草是个比较特殊的行业,在专卖体制下实行“统一领导?垂直管理?垄断经营”,处于一种行政限产型的垄断状态。行业的特殊性要求我们必须克服特殊体制带来的缺陷,高效的开展行业信息化建设工作。地市信息网络安络,作为全省信息网络的组成部分,其信息安全建设水平决定了全省信息网络安全性与稳定性,其重要性不言而喻,只有重视信息网络安全建设,重视当前信息网络安全建设过程中发现的问题,通过科学的规划,合理的布局,周密的实施,去逐渐改变当前的不利局面,才能确保信息网络安全建设的科学性、全面性、稳定性与实用性,确保日常信息网络的平稳运转,为全行业的快速发展提供稳定强大的信息化助力!

参考文献:

[1]福建省烟草公司.计算机网络建设与管理规范[Z].2012.

[2]卢昱,王宇.信息网络安全控制[M].北京:国防工业出版社,2011.

篇7

    论文关键词:信息化;信息安全;网络安全;保密意识

    2l世纪以来.人类社会进入信息化时代。近几年.全国公安现役部队深入贯彻公安部”科技强警”的指示方针.伴随着公安现役部队信息化工程的建设与发展,为全体官兵搭上”信息快车”提供了一个平台。不可否认.科技是一把”双刃剑”,公安现役部队信息化建设也不例外。公安现役部队的信息化建设极大地提高了部队的工作效率.但同时也给我们工作人员提出一个新课题.即在操作和使用的过程中如何保证信息的安全。

    1.信息安全概念

    公安现役部队信息安全是公安现役部队信息化建设的基础性工程.与一般意义上的信息安全相比.公安现役部队信息安全具有一定的特殊性。

    公安现役部队信息安全是指保密信息必须只能够被一组预先限定的人员存取对这类信息的未经授权的传输和使崩应该被严格限制是指系统的硬件、软件及其系统中的数据受到保护.不因偶然的或者恶意的原因而遭受到破坏、更改、泄密,系统连续可靠正常地运行。

    2.信息安全现状分析

    2.1网络信息安全威胁严重

    网络信息安全事关国家安全、社会稳定、经济发展和文化建设等各个领域.已经成为全球关注的热点问题。根据瑞星”云安全”数据中心最新统计数据表明.2009年上半年.瑞星”云安全”系统拦截到的挂马网页数累计达2.9亿个.共有11.2亿人次网民遭木马攻击:其中大型网站、流行软件被挂马的有35万个(以域名计算),比去年同期有大幅度增长。目前的互联网非常脆弱.各种热点新闻、流行软件、社交(SNS)网站、浏览器插件的漏洞层出不穷.为黑客提供了大量入侵和攻击的机会政府机关网站、各大中型企业网站,由于专业性技术人员缺乏.网站大多由第三方公司外包开发,存在缺陷较多,也最容易被挂马。据统计,2009年1月份受感染型病毒侵袭的网民为106万.而6月份则达到了395万.上升了近4倍。

    2.2公安现役部队信息人才缺失

    信息安全建设,人才是关键。一方面任何信息安全技术方面的成果都是人创造的:另一方面.任何危害信息安全的事件同样也是人为的。因此,培养大量优秀的信息安全人才成为当前我公安现役部队信息安全领域的头等大事公安现役部队需要大量信息安全的专门人才,边、消、警部队实现电子警务应用系统的发展也需要大量信息安全的专门人才。然而.目前我国只有少数大学能够培养信息安全方向的研究生.部分院校培养本科生.其数量远远不能满足需求目前我国从事信息安全研究的专业人才(副高职称以上)仅有3000人.从事信息安全工作的人员也比较少.且多是”半路出家”.即由网络管理人员通过有关信息安全知识的自学或短期培训后从事这项工作的。此外。即使一些信息安全领域的公司也存在人才短缺或流失的问题.而公安部门同样存在着较大的信息安全人才缺口

    2.3官兵信息安全意识薄弱

    有些官兵保信息安全意识不强,擅自将涉密便携式电脑、硬盘、优盘和光盘带出办公室,极易造成涉及部队政治工作策略、国家安全和军事利益的文字、图片或录像资料的外泄:在连接国际互联网的计算机上使用涉密储存介质不经意造成的泄密问题比较突出。”一机跨两网”、”一盘跨两网”等行为屡禁不止,给部队计算机网络和信息安全造成了严重威胁,教训极其深刻。此外.有些官兵管不住自己的嘴.通过语言威胁到大局信息安全的事件时有发生。有些同志不分对象、场所,为了炫耀自己”卓越”的见解.在不知不觉中随口泄露机密。有些同志在接受大众传媒采访.以及在进行新闻宣传报道时,随口说出涉密的重大任务和军事活动.造成严重泄密。

    3.公安现役部队应对策略分析

    公安现役部队信息安全建设不是各部门信息安全建设成果的简单叠加.而是要通过技术防范与管理相结合.注重整个系统的信息安全建设。

    3.1增强安全防范.做到制度技术到位

    实现公安现役信息安全.必须建立自己的信息安全技术保障体系。技术是信息发展的基础.如果没有信息安全技术作为支撑,信息安全就无法持久。安全保密设备是公安现役部队信息安全的重要技术和物质基础.在选择设备上应使用国产的.如某设备无国产可选.使用进口设备须经相关部门检测批准。在软件建设方面针对系统的弱点和不足.加强新型防火墙、安全路游器、安全网关、入侵检测系统等信息安全技术的研究和产品开发。改变目前我方在技术方面的易守难攻的局面,变被动为主动。在信息安全防范中,加紧对安全防护、安全监控、跟踪警报等方面的关键技术进行突破。不失时机地对网络信息系统进行检测、模拟攻击与评估工作.切实从技术手段上筑牢防止安全失泄密的阀门。

    3.2建立信息安全技术人才保障体系.完备技术人才支撑系统

    实现公安现役信息安全.必须建立自己的信息安全技术保障体系。技术是信息发展的基础,如果没有信息安全技术作为支撑.信息安全就无法持久。公安现役部队只有配备大批既懂技术又懂管理的复合型人才.提高从业人员的信息安全水平.公安现役部队在现有的体制、编制上.通过政策的调整可把有志向为公安现役事业奉献的专业性人才吸纳到队伍中来。同时还可以与有关院校达成协议定向培养信息安全方面的本科生、研究生,减小供求矛盾.可使公安现役信息安全专项人才不断补充。焕发生机。

    3.3加强信息安全教育和技术培训

    官兵信息安全意识是信息安全建设的基础.是数字化安全生存的必要保证。要加大信息技术的攻关和信息安全管理人员的技术培训力度。构建信息安全培训体系,进行全员的培训和普及教育,从根本上消除”信息安全事不关己”的错误思想.使官兵意识到泄密事件可能通过个人的言行随时可能引发.牢固树立信息安全靠大家的思想.只有这样才能不断提高全体官兵的信息安全素质和意识

    3.4提供部队信息安全下的执法效率

    针对失泄密事件血的教训.我们一方面要加快完善我军保密法规制度建设,使制度更具有操作性;另一方面要加大对这些法规制度的执行力度。严格落实《国家安全法>、《保守国家秘密法》、<计算机信息系统保密管理暂行规定》、《计算机信息网络国际联网安全保护管理办法》等有关法律法规和军队《保密条例》等制度规定,切实做到落实制度、堵塞漏洞,按章办事、减少失误,加强管理.消除隐患。

篇8

油田企业的数据信息资源,对油田企业非常重要,一旦受到破坏,将会给油田企业带来巨大的经济损失。所以在油田网络信息安全体系建设的过程中,需要将其安全性提升,加强外部安全建设。在预防为主的基础上进行,对外部因素、病毒因素的影响,只有将系统的安全性提升,才可以杜绝此类影响的发生。在油田网络信息安全体系建设中,建立防火墙,可以将体系的安全性提升,在网络和油田网络信息安全体系之间建立一个安全网关,保护体系不受非法入侵者侵入和攻击。防火墙的建设,将体系的安全性、网络的安全性提升,有效地阻止了体系的非法访问,不允许外网访问内网。在建设网络防火墙的基础,增加入侵检测设置,对系统入侵进行控制。入侵检测技术是防火墙的一种互补,可以提升油田网络信息安全体系中信息管理的性能,保证信息的完整性,减少网络威胁。

2加强内部建设

在加强外部安全建设之后,油田网络安全信息体系的建设,想要保证信息管理的安全性,保证信息的完整性,还需要加强系统的内部建设。从当前油田网络信息安全体系建设现状进行分析,加强内部建设,可以从设置系统访问权限、对网络病毒进行防治、加强网络信息安全体系的管理等方面入手。保证油田网络信息安全体系以及信息安全的有效手段之一,就是设置系统的访问权限,采用虚拟网络技术对油田企业的数据信息安全进行保护。其次是加强病毒防治技术的应用,提高网络信息体系的安全。病毒在网络中的传播途径和传播方法有多种,为了提升油田网络信息安全体系的安全,提升信息管理质量,需要坚持层层设防、集中控制、以防为主防治结合的原则,进行系统安全性的建设。最后加强系统的安全管理,如果网络安全管理缺乏,系统在工作的过程中,也会对数据信息的安全产生一定的威胁,为此需要在油田网络信息安全体系运用中,加强网络安全管理,提高系统的病毒防治有效性。

3结语

篇9

关键词: 县级供电企业;信息网络;安全体系;安全建设

中图分类号:C29 文献标识码:A 文章编号:

前言

随着电力信息网的互联和完全溶进Internet,电力信息网络面临日益突出的信息系统安全问题。国家电力产业体制开始向市场转变,各级供电企业纷纷建立信息系统和基于Internet的管理应用,以提高劳动生产率,提高管理水平,加强信息反馈,提高决策的科学性和准确性,提高企业的综合竞争力。目前我国电力企业网络安全建设的发展很不平衡,总体来看,存在以下薄弱环节。因此,必须采取更加科学有效的方法和思路,加快县级供电企业网络建设及网络安全建设的步伐。

1 县级供电企业信息网络安全防范体系概述

1.1 安全策略

总的来说,其基本策略包括网络系统的防护策略、对主机的防护策略、对邮件系统的防护策略、对终端的防护策略、对数据安全的防护策略以及建立集中控制平台等。

1.2 安全技术

从技术的层面上,则是通过采用包括建设安全的主机系统和安全的网络系统,同时配备适当的安全产品的方法来实现,其包括了病毒防护、访问控制、入侵检测、漏洞扫描、数据加密、数据备份以及身份认证等这些方面。

1.3 安全培训

通过在线模拟考试功能和题库,实现对培训记录、培训师资队伍、培训资料以及考试成绩的电力化管理,并对培训结果进行在线统计分析。

2 县级供电企业信息网络整体安全建设

2.1 物理层安全建设

物理层安全建设主要保护的是通信线路、物理设备以及机房的安全等三大方面。从技术上,可以进行对设备的备份、防灾害和防干扰的能力、设备的运行环境的调配以及保持电源的正常使用等这些方面。

2.2 网络层安全建设

网络层安全建设所指的是网络方面的安全性建设,它可以通过实行身份认证、访问控制、数据的完整性和保密性、域名系统及路由系统的安全、入侵检测及防火墙等技术来实现。

2.3 系统层安全建设

系统层安全建设所指的是在进行网络使用时,关于操作系统安全的建设。对于系统自身而引起的系统漏洞可以通过身份认证、访问控制、系统漏洞修复等手段来进行。

2.4 用户层安全建设

用户层安全所指的是对用户使用的过程中所存在的安全建设。用户层安全技术包括分组管理、单口令的登录的方式及用户身份认证等主要方面。

2.5 管理层安全建设

管理层安全建设主要是通过供应商使用应用软件和数据的安全性的建设,包括对Web服务、电子邮件系统、DNS等方面进行优化。此外,还包括病毒对系统的威胁。

2.6 数据层安全建设

首先应考虑对应用系统和数据进行备份和恢复措施,应用系统的安全涉及到数据库系统的安全,数据库系统的安全性很大程度上依赖于数据库管理系统,如果数据管理系统安全机制非常强大,则数据库系统的安全性就较好。

在以上的各个层面上,每个层面都应该有不同的技术来达到相应的安全保护。如表1所示。

表1 根据安全层面技术来进行县级供电公司信息网络整体安全建设

3 县级供电企业如何有效进行信息网络安全体系建设

(1)整合现有系统,实现生产实时信息与管理信息的集成,建立电网信息一体化平台。看似简单的数据交换和信息共享,由于没有统一的信息平台,形成企业信息化发展的瓶颈。县级供电企业以后的重点工作是整合、集成现有的各子信息系统,搭建统一的运行平台,规范、整理、合并各种基础数据,逐步建立集中、统一、开放式中心数据库,实现各信息系统的无缝连接。对县级供电企业网络来讲,网络整体稳定性要求非常高,网络应该提供多种冗余备份的方式,确保业务的连续。在县局网络平台搭建好之后,这要考虑到未来系统的扩展性。县级供电企业的信息化建设是一项复杂的系统工程,只有以企业效益为核心,通过构建统一的信息化基础平台,部署企业一体化应用系统,才能适应县域经济发展,满足人民群众对电力的需要,才能提高企业的核心竞争力,才能信步于未来的信息化发展之路。并以信息化带动企业内部管理机制的改革,实现机制创新、管理创新、技术创新,努力发挥信息化对企业可持续发展的支撑作用。

(2)运用现代网络技术,构建技术先进、稳定可靠的信息化通道。网络安全装置、服务器、PC机等不同种类配置不断出新的发展。信息安全技术管理方面的人才无论是数量还是水平,都无法适应企业信息安全形势的需要。随着电力体制改革的不断深化,计算机网络系统网络上将承载着大量的企业生产和经营的重要数据。因此,保障计算机网络信息系统安全、稳定运行至关重要,通常可以采取新的技术,如桌面安全管理系统等对终端行为进行管理,从而保证整个内网的可信任和可控制。目前,大部分病毒是通过计算机系统的漏洞来进行肆意的传播,为此,对于计算机系统的供应商而言,应该要对大部分的漏洞进行及时地提供相应的补丁系统,而对于使用者而言,则需要通过不断地更新服务的系统来进行对系统的更新。

(3)加强技术和应用培训,为发展县级供电企业信息化建设提供基础保障。先进的管理方式对员工素质提出了更高的要 求,推行信息化建设不但要有“科技兴企、人才先行”的观念,而且还需要既懂电力知识又懂信息技术的人才。管理信息系统的生命力很大程度上取决于应用。信息化建设既是阶段性工程又是一种长期行为,对待信息化建设要有长远眼光,动态地考虑和评价信息化建设问题,不能只看到眼前利益,急于求成。

(4)加强信息制度和信息化安全建设,为县级供电企业信息化的建设提供根本保证。信息安全不仅要考虑到从安全问题的角度来进行分析,从而提出各个层面的安全保障,为此,信息安全它包括的是策略、技术以及管理的安全体系。供电企业在实现网络信息安全的有效途径的时候,需要从技术的层面以及管理的良好配合才得以实现,从而才能为县级供电企业信息化的建设提供根本性的保证。

4、结束语

电力企业的各个业务对网络的依赖性越来越强,对信息网络安全性的要求也越来越高,电力系统信息网络安全已经成为电力企业生产、经营和管理的重要组成部分。电力企业必须运用现代网络技术,加强信息制度和信息化安全建设,确保信息系统的安全运行,为企业的安全生产提供有力的保证,从而打造更加稳固坚强的管理技术支撑平台。

参考文献:

[1]徐伟锋、张虹、李莉.构建电力企业的网络信息安全[J].陕西电力,2007

[2]王广河,县级供电公司信息网络的安全风险与防护策略[J].电力安全技术,2008

篇10

工业控制系统面临新威胁

就烟草行业而言,为了实现管理与控制的一体化,提高企业信息化和综合自动化水平,实现生产和管理的高效率、高效益,行业引入了生产执行系统MES ,实现了管理信息网络与生产控制网络之间的数据交换,生产控制系统不再是一个独立运行的系统,可以与管理系统进行互通、互联。与此同时,行业实现了实时数据采集与生产控制,满足了“两化融合”的需求和管理的方便,通过逻辑隔离的方式,使工业控制系统和企业管理系统可以直接进行通信。然而,企业管理系统一般直接连接互联网,在这种情况下,工业控制系统接入的范围扩展到了企业网,也不断面临着来自互联网的威胁。

成都卷烟厂工控安全项目正式项目名称是“川渝中烟工业有限责任公司信息安全三期建设项目”,其目标是根据行业政策要求,结合川渝中烟成都卷烟厂的实际情况,建立川渝中烟四川子公司成都分厂的工业控制系统(ICS)安全防护体系,为川渝中烟成都卷烟厂建立行之有效的工业控制系统安全管理制度, 其范围覆盖厂级MES系统、制丝车间、卷包车间、高架库、能源车间的工业控制系统,这是在全行业都具有完整意义的工控安全体系建设项目,意义重大。

启明星辰在承建该项目之前就已经在烟草行业做过大量的关于工控安全问题的调查和研究,并为国家烟草局起草全行业相关规范和标准提供主要技术支撑,并在接手项目前后进行了细致的现场踏勘调研和沟通。2014年1月份项目启动,经过详细方案设计、安装调试 、系统测试、上线试运行、解决初验时的遗留问题、对系统的稳定性和功能进行改善和优化等阶段,系统运行良好并投入了使用,并于2015年10月10日通过终验。

由于此项目的开创性和现场环境的复杂性,本项目在实施期间遇到了包括技术方面的诸多困难,启明星辰增派技术人员,聘请专家到现场加班加点,反复研究、调整提高设计和实施方案,对全部工业防火墙设备进行了升级,从而使项目顺利完成。在完成标书与合同承诺的同时,启明星辰还配合川渝中烟项目组成员完成了烟草工业企业工业控制系统安全防护部分规范标准的制定,完成了三篇相关科研论文,为成都分厂以及整个川渝中烟工控安全体系下一步建设的思路和做法做了科学有益的探索。

开辟工控安全建设新道路

川渝中烟工业有限责任公司信息安全三期建设项目”的成功验收具有两大意义:

篇11

目前,企业信息安全的建设现状,存在的明显特征是“重外轻内,重技术轻管理”。针对日益泛滥的黑客、病毒、蠕虫、间谍软件等威胁,很多企业把精力大都集中在部署如防火墙、入侵检测、防病毒网关等安全设备上,但这些只是防护手段的一方面,偏重于“防外”。

同时,目前很多企业没有建立完善的信息安全规章制度,也缺少必要的安全合规意识,尤其在终端用户规模较大的企业,内网安全存在诸多隐患。

如果把企业的网络安全比作一只完整木桶的话,内网安全似乎是目前相对较短的那块,因此,完善企业的网络安全,内网安全建设显得尤为重要。

内网风险越来越大

据统计,外部入侵事件占到所有信息安全事件的20%~30%,而70%~80%的信息安全事件来自于内部,而且内部人员犯罪难抵御、难发现。此外,在企业整体的安全建设投入中,内网部分往往占了过半。

事实上,随着USB、移动存储等工具的频繁使用并逐渐形成病毒入侵的途径之一,来自内部网络的攻击有愈演愈烈之势。更重要的是,一些重要的企业信息资料被内部员工非法拷贝、篡改、盗取等,也成为内网安全的重要隐患。

在保密要求甚高的机构尤其如此。目前,随着电子政务的大力实施,作为向老百姓处理日常事务的政府部门,如地税局、气象局、银监会、证监会等,都不可避免的要通过移动方式进行现场办公,其中,U盘、光盘、笔记本电脑等移动存储设备也被大量使用。

而对于企业机构的内网用户,如果缺少较好的身份认证和访问控制机制,那么也会因访问权限的混乱而造成信息泄露风险,比如企业内部服务器,有的用户能只能访问服务器提供的Web服务,有的用户只能访问服务器提供的FTP服务。

至于如何防止网络办公环境下,因移动办公所带来的电子邮件被截获、修改等风险,以及在知识的共享和管理已经成为企业信息系统建设重要的应用的今天,如何有效地分类、安全存储、管理和使用文件、档案等,也都需要在内网安全建设上进一步完善。

内网安全整体防护

应该说,无论通过怎样的技术产品和保护方式,“企业内网安全的追求不外乎五个关键点,非法用户进不来,有效信息拿不走,信息读不懂,非法行为跑不掉,数据设备不怕丢。”卫士通公司副总经理李学军如此总结。

事实上,目前市场针对内网安全的产品已有众多,有重在防数据泄露的终端防护解决套件,有重在统一管理的安全管理平台,还有重在身份认证的加密方案。卫士通的一Key通综合安全防护系统,则是通过每个用户持有的一个USBKey硬件密码模块,实现终端设备、身份认证、访问控制、邮件保密等方面的综合防护。

其实,一Key通是以密码技术为核心,将单机Windows认证登录的“用户名+密码”完善为“用户名+密码+Key+PIN”的多重身份认证,并通过对平台底层技术的控制,防止单机在运行模式、安全模式甚至离线模式下非授权者对外设进行访问。

篇12

通过安全认证

随着国航信息系统建设的飞速发展,在奥运安全保障工作中,安全不再只是空防安全和飞行安全,信息安全已成为奥运安保的重要环节,并纳入公司和信息管理部2008年重点工作之中。国航信息安全规划咨询项目就是在奥运安保和国航信息系统跨越式发展的大背景下立项建设的,它旨在为国航信息安全体系建设打下坚实的理论基础。

国航也是通过这个项目完成了未来3~5年信息安全建设的发展规划,建立了信息安全管理体系,于近日最终通过了ISO 27001信息安全管理体系认证,使国航成为国内首家通过此国际认证的航空企业,进一步提升了公司的综合竞争实力。

记者了解到,ISO 27001是国际信息安全领域的重要标准,它的前身源自英国标准协会(British Standards Institute,BSI)在1995年2月制定的信息安全管理标准 BS 7799,经修订后,于2005年10月15日作为国际标准ISOIEC 27001/2005。该标准基于风险评估的风险管理理念,可用于信息安全管理体系的建立和实施,保障信息安全,全面系统地持续改进安全管理。国航的信息安全管理体系已于2008年12月就通过了国际权威认证机构的现场审核,具备了获取ISO 27001信息安全管理体系国际认证的条件。

在国航发展战略中,信息安全占有非常重要的位置,几乎所有业务都与信息技术相关,特别是涉及到飞行安全、客户信任度的商务及财务方面信息等,都需要信息安全管理体系这张保护网的保障,在这种发展趋势下,国航以建立起成熟的、具备国际水平的信息安全保障体系,保障核心业务不中断、核心系统不被攻击、客户信息不泄露为信息安全愿景目标,

中国国际航空股份有限公司信息管理部总经理刘东说,国航有几百个系统每天运营着国航所有的正常航线、飞机维护、机组人员的管理、人员的编排,还有财务的收益管理,以及订座系统、离岗系统、网络收益系统。对于航空公司来讲,每个系统都不能失控,也不能出问题。

安全跷跷板

曾经主抓飞行安全如今管信息安全的中国国际航空股份有限公司副总裁贺利,在回顾国航在信息安全方面取得建设的一些建设成果时表示,“信息安全的体系是一个很复杂的体系,我们在业界经常叫“安全跷跷板”,这个跷跷板主要是在IT基础结构的基础上,包括三方面内容:一是技术平台,二是组织和人员,三是制度和流程,由这三方面一起通过我们来执行,去构成信息安全体系。”

国航信息管理部技术管理办公室高级经理李宗琦表示,如果没有信息安全管理体系这张保护网,应该说国航的飞行安全可能也无法得到保障。

第一要保证国航的核心业务不中断,第二要保证国航信息系统不被攻击,第三要保证重要客户的信息不被泄漏,通过这样的保障体系为国航的业务愿景的目标实现保驾护航。

篇13

南京翔晟信息技术有限公司所研发的商用密码产品——基于PKI的电子签章具有独立自主的知识产权,完全符合《中华人民共和国电子签名法》等各项法律条文及国家商用密码管理局的各项规定,是在国务院颁布的“中华人民共和国计算机信息系统安全保护条例”和公安部颁布的“计算机信息网络安全保护管理办法”的框架下特制开发的。

南京翔晟的产品已在各互联网领域得到了广泛的运用,目前,公司针对不同行业和领域的特殊性,把产品进行了细化,已有针对性地为广大消费者提出了完美的技术解决方案。

自2009年公司成立以来,公司已成为“江苏省软件”企业,其电子签章产品已在全国近20多个省100多个地级以上城市的电子招投标平台上投入使用,累积了约20多万的终端客户量,并获得广泛好评。

南京翔晟相继获得了《公安部销售许可证书》、《国家保密局检测证书》、《商用密码证书》、《软件产品证书》、《软件企业证书》、《军用信息安全产品资质》、《技术贸易证书》等十多个资质,并取得了十几项专利及著作权。雄厚的软件技术研发实力和卓越周到的服务水平,为我公司的商用密码产品在国内市场的推广和销售打下了坚实的基础。

南京翔晟信息技术有限公司拥有一支勇于创新的研发队伍,凭借着自身雄厚的技术实力、领先的产品性能以及超前的服务意识先后与国内各大行业中的知名软件平台开发商进行紧密合作,先后在各大行业中成功地为客户建立了可靠、安全的电子签章平台系统,不仅节省了客户的办公费用,并且为客户的信息安全建设保驾护航,进一步加速推动了客户的整个信息化建设,提高了整体信息办公系统的效率。

翔晟信息电子签章系统的应用不仅推动电子政务、企业信息化系统信息的安全建设进程,而且也在国内的电子商务网络信息安全建设领域发挥着领先、卓越的产品性能。

除了在全国电子招投标行业广泛运用外,还在全国多家甲级医院的电子病历系统、电子文档管理系统,以及物流、军队、政府、企业系统办公网中得到了实际应用。

篇14

[关键词]信息安全等级保护分级分域网络隔离安全防护

1网络现状及防护需求

福建省莆田电业局已构建了信息网络,已经稳定运行有财务管理、安全生产管理、协同办公、电力营销、ERP等应用系统。随着国家电网公司“SG186”工程的信息化建设的推进工作,网络和信息系统情况复杂,迫切需要进行信息安全全面建设。

根据国家《信息安全技术信息系统安全等级保护实施指南》(GB/T22240-2008)、国家《信息安全技术信息系统安全等级保护基本要求》(GB/T-22239-2008)、《国家电网公司“SG186”工程安全防护总体方案》、《国家电网公司“SG186”工程信息系统安全等级保护基本要求》、《国家电网公司“SG186”工程信息系统安全等级保护验收测评要求(试行)》等文件要求,按照统筹资源,重点保护,适度安全的原则,依据等级保护定级结果,采用“二级系统统一成域,三级系统独立分域”的方法,对信息网络系统进行分级分域。

2安全防护建设目标

通过项目的实施,按照“层层递进,纵深防御”的思想,从边界、网络、主机、应用四个层次进行安全防护等级保护设计和施工,使莆田电业局信息系统符合国家和国家电网公司的网络与信息系统等级保护建设要求。

3实施方法

信息系统分级分域安全防护建设一般分三个阶段:

第一阶段:合理进行安全域划分和初步规划,针对重要信息进行防护。主要表现在针对业务安全要求比较高的信息系统如ERP、财务系统域进行防护,以及针对互联网出口的应用层防护。

第二阶段:针对当前信息网络状态,按照等级保护要求进行等级化评估、安全评估和合理定级,全面获取当前安全现状以及企业信息化建设的特殊需求。在评估基础上,全面从等级保护要求及企业信息化建设的安全需求出发,合理进行安全方案设计。

第三阶段:根据设计方案,全面开展等级化改造,包括技术措施和管理措施的完善,建立完整的信息安全体系,并且根据相关要求进行运行维护。

4分级分域安全防护方解决方案

信息网络系统分级分域安全防护建设应当按照国家标准和国家电网公司“SG186”工程相关规定的要求完成,通过项目建设实施保障莆田电业局信息化管理系统的安全运营。

4.1 分级分域设计方案及安全等级建设要求

莆田电业局信息网络主要分为两个部分:信息内网和信息外网,两个网络之间通过强制隔离设备进行隔离。

信息内网分级分域及安全等级建设要求:

4.1.1二级系统域

二级系统域是指协同办公系统、财务管理系统、安全生产管理系统、人力资源管理系统、企业门户、ERP等信息系统

安全建设等级:基于信息系统的整合,所有二级系统统一部署于二级系统域,并根据国家安全等级保护标准和国家电网公司“SG186”工程信息系统安全等级保护基本要求等规范要求,按照安全防护等级二级进行建设。

4.1.2内网桌面终端域

信息内网桌面终端是用于内网业务操作及内网业务办公处理,通过对桌面办公终端按业务部门或访问类型进一步进行VLAN区域细分,实现不同的业务访问需求指定访问控制及其他防护措施,由于桌面终端的安全防护与应用系统不同,将其划分为独立区域进行安全防护。

安全建设等级:按照安全等级二级进行安全建设;

信息外网分级分域及安全等级建设要求:

4.1.3外网应用系统域

需与互联网进行数据交换的系统统一部署为外网系统域。

安全建设等级:按照安全等级二级进行安全建设;

4.1.4外网桌面终端域

外网桌面终端用于外网业务办公及互联网访问,对外网桌面办公终端按业务部门或访问类型进行区域细分,针对不同业务访问需求进行访问控制及其他防护措施。

安全建设等级:按照安全等级二级进行安全建设;

图1改造后的网络拓扑图

4.2 安全防护部署方案

4.2.1防火墙等级保护部署方案

目前网络中主要使用防火墙来保证基础安全。它监控可信任网络和不可信任网络之间的访问通道,以防止外部网络的危险蔓延到内部网络上。

项目在四个域与核心交换机的连接点分别部署了启明星辰天清汉马USG-FW-4000D防火墙(见图1),并进行了相应的配置。

防火墙典型的网络部署模式包括路由模式和透明模式,本项目中,考虑到防火墙负责转发各个区域的用户访问,采取透明模式部署。

根据企业安全区域的划分,部署防火墙对不同区域之间的网络流量进行控制,基本原则为:高安全级别区域可以访问低安全级别区域,低安全级别严格受控访问高安全级别区域,进行如下基本配置策略:

防火墙设置为默认拒绝工作方式,保证所有的数据包,如果没有明确的规则允许通过,全部拒绝以保证安全;

配置防火墙防DOS/DDOS功能,对Land、Smurf、Fraggle、Ping of death、udp flood等拒绝服务攻击进行防范;

配置防火墙全面安全防范能力,包括arp欺骗攻击的防范,提供arp主动反向查询、tcp报文标志位不合法攻击防范、超大ICMP报文攻击防范、地址/端口扫描的防范、ICMP重定向或不可达报文控制功能、Tracert报文控制功能、带路由记录选项IP报文控制功能等。

4.2.2入侵防护系统等级保护部署方案

在传统的安全解决方案中,防火墙和入侵检测系统已经无法满足高危网络的安全需求,互联网上流行的蠕虫、P2P、木马等安全威胁日益滋长,必须有相应的技术手段和解决方案来解决对应用层的安全威胁。以入侵防御系统为代表的应用层安全设备作为防火墙的重要补充,很好地解决了应用层防御的问题,并且变革了管理员构建网络防御的方式。通过部署IPS,可以在线检测并直接阻断恶意流量。

项目在外网系统部署1台启明星辰天清NIPS3060入侵防护系统。

4.2.3服务器换机等级保护部署方案

服务器交换机采用华为QuidwayS9306高端多业务路由交换机,该产品基于华为公司自主知识产权的Comware V5操作系统,融合了MPLS、IPv6、网络安全等多种业务,提供不间断转发、优雅重启、环网保护等多种可靠技术,在提高用户生产效率的同时,保证了网络最大正常运行时间,从而降低企业的总拥有成本。

项目配置两台华为QuidwayS9306交换机分别用作内网二级系统域和外网应用系统域,配置冗余电源、双引擎、2块48端口千兆电口板、1块48端口SFP千兆光口板卡,保证了服务器换机的安全可靠。

4.2.4终端汇聚交换机等级保护部署方案

终端汇聚交换机采用华为Quidway LS-S5328C交换机,实现信息内外网桌面终端域的安全接入。

华为QuidwayLS-S5300系列交换机是华为公司最新开发的增强型IPv6万兆以太网交换机,具备业界盒式交换机最先进的硬件处理能力和丰富的业务特性。支持最多4个万兆扩展接口;支持IPv4/IPv6硬件双栈及线速转发;出色的安全性、可靠性和多业务支持能力使其成为网络汇聚和城域网边缘设备的第一选择。

配置2台桌面终端汇聚交换机分别部署在信息内网和信息外网的桌面终端域接口上。

5网络安全成果分析

福建省莆田电业局信息网络系统分级分域安全防护建设项目从边界、网络、主机、应用四个层次进行了安全防护等级保护设计及工程实施,对原有网络、安全设备进行了调整,实现了安全域的划分,实现了对关键业务的安全防护,达到了国家和国家电网公司的网络与信息系统等级保护建设要求,并通过了国家电网公司等级测评验收。

参考文献:

[1] 信息安全技术信息系统安全等级保护实施指南(GB/T22240-2008)

[2] 信息安全技术信息系统安全等级保护基本要求(GB/T-22239-2008)