首页 关于我们 企业资质 发表指南 购物车0
目标检索
学术杂志 科普杂志 SCI杂志
当前位置: 首页 精选范文 企业信息安全建设范文

企业信息安全建设精选(十四篇)

发布时间:2023-10-10 17:14:36

序言:作为思想的载体和知识的探索者,写作是一种独特的艺术,我们为您准备了不同风格的14篇企业信息安全建设,期待它们能激发您的灵感。

企业信息安全建设

篇1

关键词: 企业信息系统;信息安全;安全策略

中图分类号:F270.7 文献标识码:A 文章编号:1671-7597(2012)0220165-01

随着市场经济的不断发展,企业竞争越来越激烈,国际化合作不断增多,随之而来的企业信息安全是目前我国企业普遍存在的问题。对企业来说,信息安全是一项艰巨的工作,关系到企业的发展。近年来,围绕企业信息安全问题的话题不断,企业信息安全事件也频频发生,如何保证企业信息的安全,保证信息系统的正常运转,已经成为信息安全领域研究的新热点。

1 企业信息安全的意义

信息安全是一个含义广泛的名词,是指防止信息财产被故意的或偶然的非授权泄露、更改、破坏,或防止信息被非法辨识、控制,即确保信息的保密性、可用性、完整性和可控性。企业的正常运转,离不开信息资源的支撑。企业信息安全建设对企业的发展意义重大。

首先,信息安全是时展的需要。计算机网络时代的发展,改变了传统的商务运作模式,改变了企业的生产方式和思想观念,极大推动了企业文化的发展。企业信息安全的建设将使得企业的管理水平与国际先进水平接轨,从而成长为企业向国际化发展与合作的有力支撑。

其次,信息安全是企业发展的需要。企业的信息化建设带来了生产效率提高、成本降低、业务拓展等诸多好处。当前越来越多的企业信息和数据,都是以电子文档的形式存在,对企业来说,信息安全是使企业信息不受威胁和侵害的保证,是企业发展的基本保障,所以,在积极防御,综合防范的方针指导下,有效地防范和规避风险,建立起一套切实可行的长效防范机制,逐步建立起信息安全保障体系,有利于企业的发展。

最后,信息安全是企业稳定的必要前提。信息安全成为保障和促进企业稳定和信息化发展的重点,要充分认识信息安全工作的紧迫感和长期性,从企业的安全、经济发展、企业稳定和保护企业利益的角度来思考问题,扎扎实实地做好基础性工作和基础设施建设,在建立信息安全保障体系的过程中,必须搞好链接信息安全保障体系建设安全、建设健康的网络环境,关注信息战略,保障和促进信息化的健康发展。

2 企业信息安全的现状

我国企业信息安全包括计算机系统的硬、软件及系统中的数据受到保护,不受偶然的或恶意的原因而遭到破坏、更改、泄露,使得系统连续、可靠、正常的运行,网络服务不中断。计算机和网络技术具有复杂性和多样性,使得企业信息安全成为一个需要持续更新和提高的领域。就目前来看,主要存在以下三个方面的隐患。

2.1 企业缺少信息安全管理制度

企业信息安全是一个比较新的领域,目前还缺少比较完善的法规,现有的法规,由于相关安全技术和手段还没有成熟和标准化,法规也不能很好地被执行,安全标准和规范的缺少,导致无从制定合理的安全策略并确保此策略能被有效执行。企业的信息系统安全问题是一个系统工程,涉及到计算机技术和网络技术以及管理等方方面面,同时,随着信息系统的延伸和新兴技术集成应用升级换代,它又是一个不断发展的动态过程。因此对企业信息系统运行风险和安全需求应进行同期化的管理,不断制定和调整安全策略,只有这样,才能在享受企业信息系统便利高效的同时,把握住信息系统安全的大门。

2.2 员工缺少安全管理的责任心

一个企业的信息系统是企业全体人员参与的,不考虑全员参与的信息安全方案,恰恰忽视信息安全中最关键的因素――人,因为他们才是企业信息系统的提供者和使用者,他们是影响信息安全系统能否达到预期要求的决定因素。在众多的攻击行为和事件中,发生最多的安全事件是信息泄露事件。攻击者主要来自企业内部,而不是来自企业外部的黑客等攻击者,安全事件造成最大的经济损失主要是内部人员有意或无意的信息泄露事件。针对内部员工的泄密行为,目前还没有成熟的、全面的解决,对于来自企业信息内部信息泄密的安全问题,一直是整个信息安全保障体系的难点和弱点所在。

2.3 信息系统缺乏信息安全技术

计算机信息安全技术是一门由密码应用技术、信息安全技术、数据灾难与数据恢复技术、操作系统维护技术、局域网组网与维护技术、数据库应用技术等组成的计算机综合应用学科。由于认识能力和技术发展的局限性,在硬件和软件设计过程中,难免留下技术缺陷,网络硬件、软件系统多数依靠进口,由此可造成企业信息安全的隐患,现在黑客的攻击并不是为了破坏底层系统,而是为了入侵应用,窃取数据,带有明显的商业目的,许多黑客就是通过计算机操作系统的漏洞和后门程序进入企业信息系统。随着网络应用要求的越来越多,针对应用的攻击也越来越多,除了在管理制度上确保信息安全外,还要在技术上确保信息安全。

3 企业信息安全中存在的问题

信息时代的到来,从根本上改变了企业经营形式,企业实施信息化为其带来便利的同时也产生了巨大的信息安全风险。由于我国企业信息安全工作还处于起步阶段,基础薄弱,导致信息安全存在一些亟待解决的问题。比较常见的问题有病毒危害、“黑客”攻击和网络攻击等,这些问题给企业造成直接的经济损失,成为企业信息安全的最大威胁,使企业信息安全存在着风险因素。

3.1 病毒危害

计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码,它是具有破坏作用的程序或指令集合。计算机病毒已经泛滥成灾,几乎无孔不入,据统计,计算机病毒的种类已经超过4万多种,而且还在以每年40%的速度在递增,随着Internet技术的发展,病毒在企业信息系统中传播的速度越来越快,其破坏性也越来越来越强。

3.2 “黑客”攻击

“黑客”是英文Hacker的谐音,黑客是利用技术手段进入其权限以外的计算机系统的人。黑客破解或破坏某个程序、系统及网络安全,或者破解某系统或网络以提醒该系统所有者的系统安全漏洞的过程。通常采用后门程序、信息炸弹、拒绝服务、网络监听、密码破解等手段侵入计算机系统,盗窃系统保密信息,进行信息破坏或占用系统资源,黑客攻击已经成为近年来经常出现的问题。

3.3 网络攻击

网络攻击就是对网络安全威胁的具体表现,利用网络存在的漏洞和安全缺陷对系统和资源进行的攻击。尤其是在最近几年里,网络攻击技术和攻击工具有了新的发展趋势,使借助Internet运行业务的企业面临着前所未有的风险。由此可知,企业的信息安全问题、以及对信息的安全管理都是至关重要的。要保证企业信息安全,就必须找出存在信息安全问题的根源,并具有良好的安全管理策略。

4 企业信息安全的解决方案

为确保企业信息安全,要坚持积极防御,综合防范的方针,全面提高信息安全防护能力。因此,面对企业信息安全的现状和企业信息安全发展中出现的问题,必须实施对企业的信息安全管理,建设信息安全管理体系,只有建立完善的安全管理制度,将信息安全管理自始至终贯彻落实于信息管理系统的方方面面,企业信息安全才能得以实现。企业信息安全的解决方案,具体表现在以下三个方面:

4.1 建立完善的安全管理体系

完整的企业信息系统安全管理体系首先要建立完善的组织体系,完成制定并信息安全管理规范和建立信息安全管理组织等工作,保障信息安全措施的落实以及信息安全体系自身的不断完善。并建立一套信息安全规范,详细说明各种信息安全策略。一个详细的信息安全规划可以减轻对于人的因素带来的信息安全问题。最基本的企业安全管理过程包括:采用科学的企业信息资产评估和风险分析模型法、设计完备的信息系统动态安全模型、建立科学的可实施的安全策略,采取规范的安全防范措施、选用可靠稳定的安全产品等。安全防范体系的建立不是一劳永逸的,企业网络信息自身的情况不断变化,新的安全问题不断涌现,必须根据暴露出的一些问题,进行更新,保证网络安全防范体系的良性发展,

4.2 提高企业员工的安全意识

科技以人为本,在信息安全方面也是靠人来维护企业的利益,我们在企业信息网络巩固正面防护的时候不能忽视对人的行为规范和绩效管理。企业员工信息安全意识的高低是一个企业信息安全体系是否能够最终成功实施的决定性因素。企业应当制定企业人员信息安全行为规范,必须有专门管理人才,才能有效地实现企业安全、可靠、稳定运行,保证企业信息安全。教育培训是培训信息安全人才的重要手段,企业可以对所有相关人员进行经常性的安全培训,强化技术人员对信息安全的重视,提升使用人员的安全观念,有针对性的开展安全意识宣传教育,逐步提高员工的安全意识,强调人的作用,使他们明确企业各级组织和人员的安全权限和责任,使他们的行为符合整个安全策略的要求。

4.3 不断优化企业信息安全技术

企业一旦制定了一套详细的安全规划来武装自己,保护其智力资产,它就开始投入到选择采用正确信息安全技术上。可供企业选择的防止信息安全漏洞的安全技术有很多。当企业选择采用何种技术时,首先了解信息安全的三个领域是十分有帮助的,这三个领域变得:验证与授权、预防和抵制、检测和响应。其中,用户验证是确认用户身份的一种方法,一旦系统确认了用户身份,那么它就可以决定该用户的访问权限,比如使用用户名和密码。预防和抵抗技术是指企业阻止入侵者访问。对于任何企业,必须对那些故障做好准备和预测,目前可以帮助预防和建设抵抗攻击的技术主要有内容过滤、加密和防火墙,在选用防火墙的时候,需要对所安装的防火墙做一些攻击测试。此外,企业信息安全的最后一道屏障是探测和反应技术,最常见的探测和反应技术是杀毒软件。

5 结语

总之,企业信息安全是一项复杂的系统工程,企业要适应现代化发展的需要,要提高自身信息安全意识,加强对信息安全风险防范意识的认识,重视安全策略的施行及安全教育,必须做到管理和技术并重,安全技术必须结合安全措施,并加强信息安全立法和执法的力度,建立备份和恢复机制, 为企业设计适合实际情况的安全解决方案,制定正确和采取适当的安全策略和安全机制,保证企业安全体系处于应有的健康状态。

参考文献:

[1]张帆,企业信息安全威胁分析与安全策略[J].网络安全技术与应用,2007(5).

[2]谌晓欢,企业信息安全问题及解决方案[J].企业技术开发,2008(8).

[3]付沙,企业信息安全策略的研究与探讨[J].商场现代化,2007(26).

[4]姜桦、郭永利,企业信息安全策略研究[J].焦作大学学报,2009(1).

篇2

关键词:信息安全;管理体系;PKI/CA;MPLSVPN;基线

在供电企业现代信息技术广泛运用生产经营、综合管理之中,实现资源和信息共享,为领导提供相关辅助决策。保障企业信息安全是企业领导层、专业人员及企业全员共同面对的。信息安全是集管理、人员、设备、技术为一体系统工程,木桶原理可以很好地诠释信息安全,一个企业安全不取决于最强项,而取决最短板。信息安全需从制度建设、体系架构、一体化防控体系、人员意识、专业人员技术水平等多方面共同建设,才能有效提高企业信息安全,才能为企业生产、经营保驾护航。

1基层供电信息安全现状

基层供电企业信息安全建设方面,在制度建设、安全分区、网络架构、一体化防护、人员意识、专业人员技术水平等多方面存在不同程度问题。

1.1管理制度不健全,制度多重化

信息安全制度建设方面较为被动,大多数都是现实之中出现某一问题,然后一个相关制度,制度修修补补。同一类问题有时出现不同管理规定里,处理办法不一,甚至发生冲突。原有信息安全管理制度宽泛,操作性较差。信息系统建设渠道不同,未提前进行信息安全方面考虑,管理职责不明,导致部分信息安全工作开始不顺畅。

1.2安全区域划分不明,网络架构不清晰

基层供电企业系统建设主要由上级推广系统和自建系统,系统建设时候相当部分系统未充分考虑系统,特别是业务部门自建系统更甚。网络建设需要什么就连接什么,存在服务器、终端、外联区域不明显,网络架构不清晰。

1.3未建立一体化安全防护体系

从近些年已经发生的各类信息安全事件来看,内部客户端问题造成超过将近70%。内部终端用户网络行为控制不足,存在网络带宽滥用;终端接入没有相应准入控制,不满足网络安全需求用户接入办公网络,网络环境安全构成极大风险;内部人员对核心服务器和网络设备未建立统一内部控制机制;移动介质未实施注册制管理等问题。

1.4未建立行之有效设备基线标准

网络安全设备、操作系统、数据库、中间件、应用系统等厂家为了某种方便需求,在设备和系统中常常保留有默认缺省安全配置项,这些恰恰是别人利用漏洞。基层供电企业在部署设备和系统时,没有统一基线标准,没有对设备和系统进行相应基线加固,企业存在潜在风险。1.5信息安全意识较差,技术水平参差不齐企业信息安全认识存在认识上误区,常常认为我们有较强信息安全保护设备,外部不易攻破内部,事实上堡垒常常是从内部攻破的。比如企业员工弱口令、甚至空口令、共用相同密码、木马、病毒、企业机密泄露等,这恰恰是基层供电企业全员信息安全意识较为薄弱表现。专业技术人员缺乏必要自我学习和知识主动更新,未取得专门信息安全专业人员资质,处理问题能力表现参差不齐。

2必要性

信息安全为国家安全重要组成部门,电力企业信息安全为国家信息安全的重要元素,电网安全事关国计民生。2014年2月,国家成立中央网络安全和信息化领导小组,将网络信息安全提升前所未有高度。近年发生的“棱镜门”事件,前几年发生伊朗核电站“震网”病毒(Stuxnet病毒)网络攻击,其中一个关键问题就是利用移动介质摆渡来进行攻击,造成设备瘫痪,这一系列信息安全事件都事关国家安全,因此人人都要有信息安全意识。首先要防止企业机密数据(财务、人资、投资、客户等)泄漏;其次,保持数据真实性和完整性,错误的或被篡改的不当信息可能会导致错误的决策或商业机会甚至信誉的丧失;最后,信息的可用性,防止由于人员、流程和技术服务的中断而影响业务的正常运作,业务赖以生存的关键系统如失效,不能得到及时有效恢复,会造成重大损失。建立严格的访问控制,前面数据分级时有制定数据的“所有者”及给敏感数据进行分级,按照分级的要求制定严格的访问控制策略,基本的思想是最小特权原则和权限分离原则。最少特权是给定使用者最低的只需完成其工作任务的权限;权限分离原则是将不同的工作职能分开,只给相关职能有必要让其知道的内容访问权限。通过对内部网络行为的监控可以规范内部的上网行为,提高工作效率,保护企业有限网络资源应用于主要生产经营上来。

3特点探析

通过我们对基层供电企业在信息安全存在问题及必要性来看,主要是管理制度、网络信息安全技术、人员意识等方面存在问题,有以下特点。

3.1管理制度方面

常说信息安全“三方技术、七分管理”,制度建设对信息安全保障至关重要。信息安全管理制度应该有上级主管部门建立一套统一管理制度,基层供电企业遵照执行,可以根据各单位具体情况进一步细化,让管理制度落地。从企业总体信息安全方针到具体专业制度管理上,实现全网一体化,规范化。

3.2网络信息安全技术方面

上级专业主管部门,站在企业高度,制定专业技术标准和技术细则。从网络安全分区、网络技术架构、互联网接入和访问方式、终端安全管理、网络准入控制等方面统一规划,分布实施,最终实现企业网络信息安全防控一体化。

3.3信息安全意识培养方面

企业员工信息安全意识培养是个长期的过程,不是通过一次两次培训就能解决的,采取形式多样化方式来培养员工安全意识,可以通过集中培训讲课、视频宣传、张贴宣传画等方式进行。针对专业人员,要让他们养成按照制度办事习惯,用户需要申请某项资源,严格按照制度执行,填写相应资源申请,有时候领导打招呼也要按照制度流程来执行。长此以往,人人都会知道自己该做什么,不该做什么,该怎么做,企业信息安全意识就会得到极大提高。

3.4专业技术人员水平方面

信息安全技术日新月异,不学习就落后,不断收集信息安全方面信息,共同讨论相关话题,建立相应培训机制,专业人员实行持证上岗,提升专业人员实际解决问题能力,有效提高人员专业素养,成为企业信息安全方面专家。

4实施和开展

从2009年开始,先后进行一系列信息安全建设,涉及到信息安全制度建设、网络信息安全体系架构、信息安全保障服务、人员培训等方面,整体提高基层供电企业信息安全状况。

4.1信息安全制度建设

2010年开始信息安全体系ISO27001、27002建设,结合企业情况,形成30个信息安全相关文件,涵盖企业信息安全方针、等级保护、人员管理、机房管理、网络信息系统运行维护管理、终端安全、病毒防护、介质管理、数据管理、日志管理、教育培训等诸多方面。2013年为进一步提示公司信息化管理水平,先后增加修改建设管理、实用化管理、项目管理、信息安全管理、运维管理、综合管理5个方面14个管理细则。经过这一系列制度建设,基层供电企业有章可循,全网信息安全依据统一,明确短板情况。

4.2建设一体化网络与信息安全防控

首先依据电监会5号文件要求,网络架构按照三层四区原则进行部署建设,生产实时控制大区(Ⅰ、Ⅱ区)与信息管理大区(Ⅲ、Ⅳ区)之间采用国家强制认证单向数据隔离装置进行强制隔离,网络架构采用核心、汇聚、接入部署。网络接入按照功能划分服务器区、网管区、核心交换区、用户办公区、外联区、互联网接入区,在综合数据网上,利用MPLSVPN,根据划分不同VPN业务、隔离相互间数据交叉。建立全网PKI/CA系统,构建企业员工在企业数字身份认证系统,已建成系统进行未采用PKI登陆系统,进行相应改造结合PKI/CA系统,采用PKI登陆,在建系统用户登陆必须集成PKI登陆。根据企业信息安全要求,进行互联网统一出口,部署统一互联网防控设备,建立统一上网行为管理策略,规范员工上网行为,合理使用有限互联网资源,审计员工上网日志,以备不时之需。建立企业统一病毒防护系统,实现病毒软件统一安装,病毒库自动更新,防护策略统一下发,定期统计病毒分布情况,同时作为终端接入内网必备选项,对终端病毒态势比较严重用户进行督促整改,有效防止病毒在企业内部蔓延,进一步进化内网环境。建立统一网络边界安全防护,在企业内网边界合理部署防火墙、IPS、UTM,并将其产生日志发送到统一安全管理平台,进行日志管理分析,展现企业内部信息安全态势,预警企业内部信息安全存在问题。利用AD域或PKI/CA进行用户身份认证,建设统一桌面管理,所有内网用户必须满足最基本防病毒、安全助手、IT监控要求方可接入内网,系统启用强制安全策略,终端采用采用DHCP,用户不能自动修改IP地址,在DHCP服务器上实现IP与MAC地址及人员绑定,杜绝用户私自更换IP地址引起冲突。安全认证方面可以采用NACC或交换机802.1x方式进行,不满足要求用户,自动重定向到指定网站进行安全合规性检查,满足要求后自动接入内网,强制所有用户采用统一网络安全准入规则。实行移动介质注册制,极大提高终端安全性,有效保护企业信息资产。建立内部运维控制机制,实现4A统一安全管理,认证、账号、授权、审计集中管控。规划统一服务器、网络设备资源池,按照用户需求,提交相应申请材料,授权访问特定设备和资源,并对用户访问行为全程记录审计。

5结语

篇3

当前,企业信息安全尚在起步阶段,发展不够成熟健全,还有更多需要解决的问题。随着网络技术的发展,经济信息量的大幅度上涨,处理信息必须依靠计算机才能完成,但计算机存在一定的弱点,例如计算机病毒、人员素质低下、黑客入侵等因素,以及移动4G、WIFI互联等多边界企业网络环境下,由于内外部网络是直接连接,其互通性和网络访问无限制性易形成黑客或恶意份子入侵的切入口,若是没有设置任何的网络边界安全机制,将造成企业信息受到潜在的安全威胁。企业要想持续发展,信息安全是基本保障。企业信息化程度越高,企业数据也就越安全。企业发展的基础即信息安全,企业管理者要正确认识信息安全工作的长期性和紧迫性。从保护企业利益,促进经济发展,保证企业稳定与安全的角度来看,只有做好基础性工作和设施建设,建立信息安全保障,以及建设安全健康的网络环境,才能有助于信息化安全建设。其实不管科技如何发达,技术如何高超,都是人类智慧的结晶体,所以信息安全已无法离开人类。不少企业信息被泄露,多是人为因素导致,员工滥用企业信息将会给企业带来极大的损失。

2企业信息化安全建设

当今社会已经步入信息知识经济时代,信息对企业良性长久的发展尤为关键,但目前企业信息系统安全问题无疑是企业发展阶段所面临的重点难点。所谓的企业信息安全就是对企业信息资产采取保护措施,使其不受恶意或偶然侵犯而被破坏、篡改及泄露,确保信息系统可靠正常并连续的运行,最小化安全事件对业务的影响,实现业务运行的连续性。因此笔者认为以下几方面是关键。

2.1做好网络保护

其实要保证外网安全需要企业加大硬件设备的投入,信息安全产品在网络经济发展下正面临着新的挑战,传统防火墙、信息加密、防病毒等已无法有效的抵御外部入侵;同时由于内部操作不当,导致内网感染病毒造成信息泄露的现状也是信息安全的焦点问题。针对以上情况,建立事前有效防御,事后追究机制是企业信息化安全建设的当务之急。根据现代企业的特点,笔者认为从下面这几点入手,有助于保护网络的安全:

(1)身份认证技术。

企业内网操作时,可采用身份认证技术,借助PKI、PKM等工具,控制网络应用程序的访问,以及进行身份认证,实现有效资源合法应用和访问的目的。

(2)审计跟踪技术。

通过审计跟踪技术监控和审计网络,控制外设备如MSN、QQ、端口、打印、光驱、软驱等,从而实现禁止使用指定程序,并促进员工操作行为及日志审计规范的目的。

(3)企业还应组建自身网络拓扑结构。

利用严格密钥机制和加密算法,有机的结合加密、认证、授权、审计等功能,保护最底层不同密集评定和授权方式的核心数据,而非限制应用网络和控制网络,进而真正实现合理保护,确保企业信息数据资源的安全。

2.2安全边界的界定和管理

安全边界的界定通过分析现有网络边界安全的需求,笔者认为有几方面:首先,内部网段。即企业网内网,是防火墙的重点保护对象,安全级别和授信级别更高,主要承载对象是企业所有人员的计算机。其次,外部网段。即边界路由器以外的网络,比如移动4G、WIFI互联等多边界网络,安全级别和授信级别最低,是企业信息数据泄露最大的安全隐患,需要严格禁止或控制。最后,DMZ网段。即对外服务器,安全级别和授信级别介于内外网络之间,其资源运行外部网络访问。

(1)由于外部用户访问DMZ区域中服务器的方式较为特殊,在系统默认情况下是不被允许的。

可实际应用中是需要外部用户对其进行访问,所以防火墙上必须增加相应允许外部用户访问DMZ区域的访问控制列表,通过对列表的控制允许用户行为,并对进行很好的监控管理,保证企业信息的安全性。

(2)内部用户对外部网络以及DMZ区域中服务器的访问。

按照ASA自适应安全算法,在系统默认情况下是允许高安全等级接口流向低安全等级接口流量的,外部网络安全级别远没企业内部网络安全级别高,所以在默认情况下这种访问方式是被允许的,不过实际应用过程中,需要限制对外访问流量。

(3)外部用户对内部网络的访问。

在系统默认情况下这种情况是不被允许的,是对外部用户非法访问的有效抵御,能有效的保证企业信息的安全,促进企业信息化的安全建设。

2.3强化系统管理

由于任何安全软件都有被攻击或破解的可能性,单纯依靠软件技术来保障企业信息安全是不现实的,只有强化企业内部信息系统的管理才行之有效。所以,企业内部信息管理体制要完善,尽可能促进管理系统规范性和可靠性的提高,才能为企业内部信息的安全提供更高保障。同时,要进行安全风险评估工作。因为各个信息系统使用的都是不同的技术手段和组成方式,其自身优势及安全漏洞也具有较大的差异,由此在选择企业所需的信息系统时,一定要先做各个系统的安全风险评估工作,信息安全系统的选择要针对企业自身特点,降低信息安全问题出现的概率。最后,就是加强系统管理。在实际生活中信息窃取和系统攻击大多是在网络上完成的,企业必须要强化网络管理工作,以便促进企业的运行更安全政策。

2.4加强企业信息安全管理团队建设

当前,企业信息安全体系的建设中已完全渗透“七分管理,三分技术”的意识,强化企业员工信息安全知识培训,制定完善合理的信息安全管理制度,是企业信息安全建设顺利实施的关键保障。企业信息安全建设时要另立专门管理信息安全的部门,负责企业内部的信息安全防护工作,加强对企业内部计算机网络系统的维护及常规检查。企业信息安全管理团队的职责主要包括:工作人员安全操作规范、工作人员守则以及管理制度的制定,再交由上级主管部门审批后监督制度规范的执行;定期组织安全运行和信息网络建设的检查监测,掌握公司全面的第一手安全资料,根据资料研究相关的安全对策和措施;负责常规的信息网络安全管理维护工作;定期制订安全工作总结,且要接受国家相关信息安全职能部门对信息安全的工作指导。

2.5入侵检测系统(IDS)与入侵防护系统(IPS)

IDS即入侵检测系统能够弥补防火墙的缺陷,能实时的提供给网络安全入侵检测,并采取一定的防护手段保护网络。良好的入侵检测系统不但可有助于系统管理员随时了解网络系统的变更,还能提高可靠的网络安全策略制订依据。因此,入侵检测系统的管理应配置简单,随时根据系统构造、网络规模、安全需求改变。IDS必须布置在能够监控局域网和Internet之间所有流量的地方,才能第一时间检测到入侵时,做出及时的响应,比如记录时间、切断网络连接等。

3总结

篇4

关键词:信息系统;网络;安全

1信息系统安全建设原则

(1)物理隔离原则。为确保信息安全,信息系统必须与互联网及其他公共信息网络实行物理隔离。(2)分域分级原则。信息系统应根据信息密级、使用单位行政级别等级划分不同的安全域并确定等级,按照相应等级的保护要求进行防护。(3)信息流向控制原则。禁止高密级信息由高等级信息系统或安全域流向低等级信息系统或安全域。(4)最小化授权与分权管理原则。信息系统内用户的权限应配置为确保其完成工作所必须的最小权限,网络中账号设置、服务设置、主机间信任关系配置等应该为网络正常运行所需的最小限度,并使不同用户的权限相互独立、相互制约,避免出现权限过大的用户或账号。(5)技术与管理并重原则。信息系统应采取技术和管理相互结合的、整体的安全技防措施。(6)标注化原则。设计应严格执行国家有关行业标准、国家相关部门的强制标准等,确保系统质量。(7)安全产品选型原则。企业在信息系统建设中必须选用可靠有效的安全产品,如具备国家相关管理机构检测证书的产品。(8)实用性原则。系统要力求最大限度地满足实际环境需要,充分考虑系统应用业务的特殊性,把满足用户需求作为设计的第一要素。(9)适度安全原则。要在安全风险分析的基础上,实事求是、因地制宜地确定防护程度和安全措施,避免弱保护和过保护,保证安全措施切实可行,达到最佳防护目的。(10)动态防护原则。随着技术的发展,网络威胁攻击手段的变化,企业信息系统必须不断改进和完善安全保障措施,及时进行信息系统安全防护技术和设备的升级换代。

2建设目标

根据对信息系统的现状分析、安全风险分析、安全保密需求分析,按照相关技术要求和管理要求,遵循前述原则,建设科学合理,符合安全保密需求的信息系统,全面提升企业信息安全防范能力。

3建设内容

企业的信息系统安全建设包括物理安全、运行安全、信息安全保密以及安全保密管理四个方面的内容。(1)物理安全。物理安全是指信息系统的环境安全、设备安全、介质安全。(2)运行安全。运行安全包括备份与恢复、病毒防护、应急响应、运行管理。(3)信息安全保密。信息安全涉及内容包括身份鉴别与访问控制、密码保护措施、电磁泄露发射保护、安全性能检测、边界安全防护、硬件系统安全、信息完整性校验、安全审计、操作系统和数据库安全。(4)安全保密管理。包括安全保密管理策略、安全保密管理制度、人员管理、物理环境与设施管理、设备与介质管理、运行与开发管理、信息保密管理。

4企业信息系统安全建设

(1)网络综合布线。a.选择具备资质的施工单位;b.线缆选择光纤与屏蔽线;c.布线严格遵循国家相关标准;d.交换设备选型应考虑未来企业信息化业务发展的需要;e.根据业务、密级以及知悉范围划分VLAN,并创建ACL,实现访问控制;f.优化网络配置,禁用暂时不用端口,对接入终端采用IP+MAC+端口绑定策略,防止非授权接入。(2)安全域。根据信息系统的信息密级划分不同的安全域并确定等级,按照相应等级的保护要求进行防护。按照上述原则,一般将单位信息系统划分为重要应用安全域、一般应用安全域、办公安全域、管理安全域等四个区域,如图1所示。图中每个区域代表一个安全域,安全域前端架设防火墙,通过防火墙设置访问控制策略,仅开放必要端口及IP,控制信息流向,实现安全域间的访问控制。(3)交换机安全设置。全部交换机配置为SSH加密方式通信,对接入端口采用IP+MAC+端口绑定方式,禁用暂时不用端口,实现网络层的身份认证。(4)安全产品部署。a.全部终端纳入域控管理,通过主域控制器将安全策略下发至终端,如实名登录、密码管理、屏幕保护等策略,实现系统层身份认证。b.创建补丁分发系统,为全部终端定期升级系统安全补丁,完善系统的安全可靠性。c.全部终端安装网络版杀毒软件,由系统管理人员定期导入最新病毒库升级包,全网下发,制定杀毒策略,统一查杀网络病毒。d.终端输入输出端口严格管控。终端安装审计、打印管理、输入输出管理安全软件,防止非授权移动存储介质在信息系统中使用,对系统中的打印行为实现全生命周期管理,严格管控,从而降低或杜绝失泄密事件的发生。e.重要关键设备、服务器冗余备份。对系统中的核心交换机、防火墙采取在线或离线方式备份,避免因设备损坏造成网络通信中断,影响公司业务工作的开展;对重要部位的供电线路采用双路供电+ups方式保障供电安全;对重要的核心业务服务器数据采用在线即时备份以及数据远程异地备份的方式,确保数据完整、准确、安全。f.定期对系统进行漏洞扫描分析,发现系统中存在风险与漏洞,及时对系统修复完善。g.部署统一的日志存储及分析系统,统计分析系统重要关键设备的生成日志,便于及时发现问题并解决问题。(5)制定应急响应预案,保证数据安全。应急响应预案的制定必须具有可操作性,应根据事件的等级制定响应流程,明确管理责任及责任主体,同时还需要在日常进行针对性的应急响应培训教育与演练。

5结束语

篇5

一、企业信息化建设过程中信息安全的问题 

一般情况下能造成企业内部信息安全问题的原因分为外部原因和内部原因,可是不管是内部原因还是外部原因都会对企业的信息系统的安全带来隐患。 

1.1企业内部因素 

第一个方面是企业的信息安全意识不强,虽然是现在有很多的企业加快企业内部信息化建设的进程,但是有些企业只是在表面上看到信息化建设所带来的优势,而信息化建设当中的安全问题并没能够引起企业的足够重视,所以在信息化建设的过程中比较容易出现安全隐患。第二个方面就是我国的安全软件还是比较落后,虽然国内计算机软件技术在快速的反战,可是与一些发达的国家相比还是存在一定距离,第三个方面在管理操作方面存在问题,现在有很多的企业对于自己企业内部的信息安全问题还存在不够重视的问题,在企业信息系统的管理上不够谨慎,这就会被不法分子和黑客进入的机会,造成了企业的主要信息被盗取。第四个方面缺少优秀的专业管理团队,企业信息的系统安全是前期的制定和日常系统安全的维护以及日后都是由专业的人员来进行操作,所以相关的技术人员都必须具有很好的素养和贤能的技术,第五个方面法律法规的不全面。现在我国与企业信息安全问题的法律法规不全面这就造成企业内部信息被盗取不能得到相关的赔偿。 

1.2企业外部因素 

现在企业信息安全系统的威胁主要来自于外部的因素,随着我国经济社会的飞速变化,在竞争激烈情况下信息是非常重要的,大昂仁会有很多的不法分子会利用各种手段来盗取企业的信息为自身得到利益。还有些企业在于对手的竞争过程中使用不正当的手段来击垮对手保证自己企业的利益。 

二、企业信息化建设过程中的信息安全与对策 

在我国社会经济快速发展的今天,企业信息安全对于一个企业的发展是非常具有意义的,企业的信息被盗取和泄露会给企业带来很大的损失,所以说企业对信息安全问题必须要有足够的重视。有的企业已经做好了信息安全的必要工作就应该更加注意安全软件并不是时时刻刻都能做好安全的保护,做好安全保护还要加强管理。 

2.1确保正确的安全意识 

一个企業在信息化发展的过程中,应该认识到企业信息的安全问题和企业发展相互的关联。如果企业的重要内部信息被盗取或者泄露那么对于企业所造成的打击是非常大的,而与此同时也是给了对手创造了很好机会。所以确保正确的安全信息意识对于一个企业来说是非常重要的,也是为了以后给企业的各项工作打下了很好基础。 

2.2选择安全性能比较高的软件 

其实任何软件都不是牢不可破的,可是对于安全性能比较高的软件,如果说破解的话难度还是相当高的,所以企业选择安全软件的时候要选择安全性能高的,不要为了节省一点企业的支出而选择使用安全性能差的保护软件,一旦出现问题所造成的企业损失价值会大于软件的价格。 

2.3加强企业网路管理 

很大一部分的企业信息被盗取都是不法分子通过网络进行的,所以说必须要对企业的网络管理进行加强,这样才能确保企业信息系统在安全的状态的情况下运行。对于信息安全的种类和等级的高低来进行制定合理的方案,并且提前做出如果发生特殊情况下怎么进行处理的方案。如果说企业的信息安全发生危机的时候,企业应该快速的组建处理小组,针对信息安全危机的步骤处理并且做好危机处理的工作,还要避免出现由于处理不当而产生的各种情况。 

结语:以上所述是企业信息化建设过程中所必需要面对的问题,一个企业的信息安全建设应该先从管理开始,必须做到以防范为主要,必需制定有效的安全防护把安全的风险降至最低。在现在经济发展的快速时代,企业信息的安全问题决定着企业的安全运营。 

参 考 文 献 

[1] 原黎. 探析企业信息安全问题的成因及对策[J]. 现代工业经济和信息化. 2011(08) 

[2] 张耀辉. 关于企业信息化建设中的信息安全探讨[J]. 电子技术与软件工程. 2013(14)

[3] 赵晓华,陈秀芹,周文艳,夏莉莉,李建忠. 网络环境下河北中小企业信息安全问题研究[J]. 科技资讯. 2013(31) 

篇6

电力企业信息网络安全问题

信息技术在电力企业的推广,给企业的信息安全带来了较大的风险,容易出现操作系统的破坏、信息丢失以及网络瘫痪等问题。总之,电力企业的信息网络安全问题主要包括以下几点。

1.管理安全风险

作为信息安全的关键环节,管理工作的质量直接关系到信息网络的安全。在电力企业的信息网络安全管理中,忽视对网络使用者的有效控制,对用户的使用权限分配不合理,进而出现越权使用的现象。同时,管理人员缺乏一定的安全风险意识,导致出现泄漏企业信息的现象发生,对电力企业的安全稳定运行造成了严重的影影响,且网络使用者的业务水平较低,缺乏足够的安全意识,密码设置强度不高,甚至进行账号的共享,容易出现信息外泄,加之不安全移动存储介质的使用,给网络完全带来了严重的威胁。

2.电脑病毒威胁

电脑病毒是引起电力企业信息网络安全问题的主要原因之一,病毒具有传播快、扩散面积大、破坏性强以及消除难度大的特点。因此,病毒带来的威胁是不可估量的,病毒一旦侵入到计算机,就会传播到各个网络节点,造成信息的阻塞,破坏文件系统和数据系统,致使重点数据丢失、系统瘫痪。

3.人为操作失误

网络用户和管理人员的操作失误也会引起信息网络安全问题,主要是对系统以及软件操作不当,引发安全漏洞。例如,用户授权管理混乱以至于出现越权访问的现象,对系统构成了严重的威胁。

电力企业信息网络安全建设与发展的对策

在信息技术环境下,电力企业要想获得较大的发展,需要加强对信息技术的应用的同时采取有效的措施,保证信息网络的安全,构建完善的信息网络安全体系。

1.加强安全管理

为了保证电力企业信息网络的安全,需要进行安全管理,加强防范,主要从网络设备、信息以及人三个方面着手。

要对网络设备进行安全管理,提高网络设备的保护和防御能力,对各个输入和输出数据进行检测和控制。同时,还要净化网络运行的环境,借助加密和解密及时,避免信息的外泄。此外,还需要按照硬件防火墙等多种防护体系,借助先进的网络监控手段对电力企业的信息网络进行监督和控制,减少网络安全事故的发生。要建立网络安全制度,根据电力企业信息网络发展实际进行安全管理策略的调整,并严格按照管理制度进行规范操作。网络安全制度涉及到多个方面的内容,包括力企业网络建设方案、机房管理制度、检修管理规定、安全保密制度、口令管理制度、信息网络及系统应急预案、用户上网使用手册、系统操作规程、应急响应方案和安全防护记录等一系列的制度和措施,进而实现对系统的层层保护,提高系统运行的安全性和稳定性。

2.对计算机病毒进行防治

计算机病毒对信息网络的威胁是不可估量的。因此,需要加强对病毒的防治,特别是对计算机软件的准入控制、桌面管理客户端和DHCP绑定、防病毒、防连接互联网、补丁自动更新和防非我单位移动介质接入等,避免因为上述不当操作而引起的病毒侵入。这就需要电力企业结合自身的系统特点,采取有效的预防和解决措施。首先,电力企业要安装相应的防病毒软件,建立一个统一部署的防病毒系统,并规定所有进入企业计算机的设备都要安装防病毒客户端,进而对数据进行实时的监测,杜绝病毒的侵害。其次,员工要注意移动存储介质的使用,要将其进行病毒查杀后才使用,并对重点计算机进行专机专人专盘使用,对于涉及机密文件的存储介质要防止在保密区,并设置密码进行保护。此外,信息维护人员要充分利用虚拟子网来防治病毒的扩散,提高网络的安全性,这样在病毒侵袭电脑时,破坏只是发生在本机,不会对整个系统造成影响。

3.构建信息网络安全体系

为了为电力系统的运行提供优良的环境,需要构建电力企业的信息网络安全体系,结合电力系统的运行状况、企业管理以及信息网络事故对企业的危害程度,确定计算机应用系统的安全等级,构建安全体系。在网络安全体系的构建中,需要结合先进的信息安全技术,对故障进行研究,提出优化管理的措施,为系统运行提供不同需求的安全防范措施。

此外,外来人员对系统的恶意攻击也是不可不防的一个环节,这就需要对不必要的端口和服务进行关闭处理,同时部署防火墙和入侵检测系统,降低管理以及培训所需要的时间,保证了网络系统的整体安全。

结束语

篇7

关键词:企业 文化建设 信息安全

世界上每分钟就有2家企业因为信息安全问题倒闭,而在所有的信息安全事故中,只有20%—30%是因为黑客入侵或其他外部原因造成的,70%—80%是由于内部员工的疏忽或有意泄露造成的,同时78%的企业数据泄露是来自内部员工的不规范操作。根据GooAnn的《2011年度中国企业员工信息安全意识调查报告》结果显示,对于目前有效保护企业和组织信息安全面临的最大障碍,受访者认为最大的障碍是普遍缺乏信息安全意识。因此,提高全员的信息安全意识应该摆到企业和组织信息安全建设的议事日程上来。

意识是人脑的机能对客观事物的现实反映,意识的存在会对事物发展进程起到巨大的促进或阻碍作用。所谓安全意识就是人多种意识当中的一种,是人所特有的对安全生产实现的心理反应,是人的大脑对安全的认识和理解而产生的各种思维,是公司领导到每一位员工对企业信息安全方面的认识和理解,它和安全认识紧密联系,其核心是安全知识,没有安全知识就谈不上安全意识。人的安全意识的实现既要通过思维来获得,也要通过感知来获得。安全意识对生产活动、进行安全操作有调节作用;反过来,生产活动也影响着人的安全意识的形成。

要解决公司存在的问题,仅仅靠技术手段和制度约束是不够的,必须发起一场声势浩大的思想上的变革,才能奠定公司长远发展的文化基础。公司的价值观要能够深入人心,使广大员工产生共鸣;注重个体成长,营造轻松、关爱、严谨的工作和生活环境,让员工从内心认可公司是自己的依靠。

实践证明,企业文化既是文化创新的重要内容,又是经济发展中最具活力的因素。加强企业文化建设,就一头抓住了发展先进社会生产力这个基础,另一头抓住了发展社会先进文化这个枢纽,有利于促进社会生产力的快速发展,有利于促进全社会思想道德水平和科学文化素质的提升,从根本上说,有利于服务社会、服务职工。一个企业如果没有灵魂,就不会有活力,更不会有竞争力和战斗力。

为了提高安全意识,我们就要从安全知识着手。这些知识可以表现为法律法规、规章制度、体系程序、安全图例图画和技能教育等。我们在日常生产活动中利用这些知识来指导和约束生产行为,并对生产活动中的偏差和事故案例产生感知,从而反过来增加了员工们的纠偏知识和预防知识。我们在工作中只有有了安全意识,才能决定我们的工作行为,长期严格地利用正确的安全知识来指导行为,并形成习惯,这就是我们常说的安全行为习惯。因为我们知道意识决定行为、行为决定习惯、习惯决定的素质、素质决定了我们的命运,用我们良好安全意识来掌控我们的命运。安全意识的培养是一个系统的工程,其中安全知识或安全信息贯穿着安全管理的始终。以下我们系统地分析一下如何提高员工安全意识:

一是继承传统文化的精髓,从思想层面上提升员工信息安全意识。认为:“人们自己创造自己的历史,但他们并不是随心所欲地创造,而是在直接碰到的从过去继承下来的条件下创造。”中国企业文化建设也是这样,它应该是在传统文化的基础上进行增值开发,否则企业文化就会失去存在的基础,也就没有生命力。增值开发就是对传统文化进行借鉴,弃其糟粕,取其精华。在增值开发的过程中,要使员工产生强烈的主人翁意识,促进其从思想上主动维护好企业的信息安全。

二是发展灵活多样的形式,从工作层面上提升员工信息安全意识。与国外企业相比,我国企业员工的信息安全意识相对薄弱,对企业员工的信息安全培训形式相对单一,更为严重的是部分管理者甚至认为这种培训一次就够了。仅仅是将枯燥的条条框框翻来覆去的宣传,采取单一而又枯燥的填鸭式的课堂培训,员工不但不会去理睬,还会觉得非常反感。针对现实中存在的问题,我们应该发展形式多样、内容丰富的培训方式。例如:信息安全意识Flash短片,信息安全手册,鼠标垫,海报,电子报等形式,寓教于乐、潜移默化地提高员工的信息安全意识。只有提高了员工的信息安全意识水平,才能真正地提升整个企业的信息安全水平。

三是构建全面立体的体系,从体制层面上提升员工信息安全意识。“无规矩不成方圆”。目前,中国企业中绝大多数缺少全面化、立体化、全过程的员工信息安全意识的体系建设,对员工信息安全意识方面的培训具有随意性,为此,亟需建立这方面的体系。提升企业员工信息安全意识这项工作不是一朝一夕,三分钟热度就能完成的,要有体系的规范,有制度的约束。企业要结合自身的发展特点,构建符合自身需求的员工信息安全意识的体系建设,从体制层面对提升员工信息安全意识提出客观要求。

企业文化是实现企业可持续发展目标的有力保证。企业文化建塑的根本目的,就是用文化力激活生产力,增强凝聚力、执行力和创造力,进而提升企业核心竞争力。“人类因梦想而伟大,企业因文化而繁荣。”一个成功的企业,必须致力于企业文化的建塑,必须千方百计地提升企业员工的信息安全意识,如此才能在激烈的市场竞争中占有一席之地,才能实现全面、快速、可持续的发展。

篇8

[关键词] 信息等级保护概述;中国石油;等级保护建设

[中图分类号] TP391;X913.2 [文献标识码] A [文章编号] 1673 - 0194(2013)05- 0057- 02

1 信息等级保护制度概述

信息安全等级保护制度是国家信息安全保障工作的基本制度,是促进信息化健康发展的根本保障。其具体内容包括:①对国家秘密信息,法人和其他组织及公民的专有信息以及公开信息,存储、传输、处理这些信息的信息系统实行分等级安全保护、分等级监管;②对信息系统中使用的信息安全产品实行按等级管理;③对信息系统中发生的信息安全事件分等级响应、处置。信息安全等级保护配套政策体系及标准体系如图1、图2所示。

定条件的测评机构开展等级测评;④建设整改:备案单位根据信息系统安全等级,按照国家政策、标准开展安全建设整改;⑤检查:公安机关定期开展监督、检查、指导。

2 中国石油信息安全等级保护制度建设

中国石油信息化建设处于我国大型企业领先地位,在国资委历年信息化评比中都名列前茅。2007 年全国开展信息安全等级保护工作之后,中国石油认真贯彻国家信息安全等级保护制度各项要求,全面开展信息安全等级保护工作。逐步建成先进实用、完整可靠的信息安全体系,保障信息化建设和应用,支撑公司业务发展和总体战略的实施,使中国石油的信息安全保障能力显著提高。主要采取的措施有以下几个方面:

(1)以信息安全等级保护工作为契机 , 全面梳理业务系统并定级备案。中国石油根据国家信息安全等级保护制度要求,建立自上而下的工作组织体系,明确信息安全责任部门,对中国石油统一建设的应用系统进行等级保护定级和备案,通过制定《中国石油天然气集团公司重要信息系统安全等级保护定级实施暂行意见》,加强桌面安全、网络安全、身份认证等安全基础防护工作,加快开展重要信息系统的等级测评和安全建设整改工作,进一步提高信息系统的安全防御能力,提高系统的可用性和安全性。在全面组织开展信息系统等级保护定级备案工作之后,聘请专业测评机构,及时开展等级测评、安全检查和风险评估工作,并通过等级测评工作查找系统的不足和安全隐患,制订安全整改方案,开展安全整改和加固改造,保障信息系统持续安全稳定运行。

(2)以信息安全等级保护工作为抓手 , 全面推动中国石油信息安全体系建设。中国石油以信息安全等级保护工作为抓手,完善信息安全整体解决方案,建立技术保障体系、管理保障体系和控制保障体系。采用分级、分域的纵深防御理念,将桌面安全、身份认证、网络安全、容灾等相关技术相互结合,建立统一的安全监控平台和安全运行中心,实现对应用系统的授权访问、桌面计算机的安全控制、网络流量的异常监控、恶意软件与攻击行为的及时发现与防御、业务与数据安全保障等功能,显著提高抵御外部和内部信息安全威胁的能力。建立了总部、区域网络中心、企事业单位三级信息系统安全运维队伍;采用集中管理、分级维护的管理模式,网络与安全运维人员采用授权方式,持证上岗,建立网络管理员、安全管理员和安全审计员制度;初步建立起中国石油内部信息安全风险评估队伍,并于 2010 年完成地区公司的网络安全风险评估工作。

(3)建立重要信息系统应急处置预案,完善灾难恢复机制。2008 年,中国石油了《网络与信息安全突发事件专项应急预案》,所有业务系统、网络管理、安全管理等都建立了应急响应处置预案和灾备系统,保障业务系统在遭遇突发事件时,能快速反应并恢复业务系统可用性。通过灾难恢复项目研究,形成了现状及风险分析、灾难恢复等级划分、灾备部署策略分析和灾备部署方案四步法,划分了信息系统灾难恢复等级,完善了灾难恢复机制。

(4)规划信息安全运行中心,建立重要信息系统安全监控机制。中国石油规划了信息安全运行中心的建设方案,提出了信息安全运行中心建设目标,通过网络运行状态、安全信息数据汇集、安全监测分析功能和安全管理流程的有机整合,实现中国石油 信息安全状况的可感知、可分析、可展示、可管理和可指挥,形成中国石油信息安全事件分析、风险分析、预警管理和应急响应处理一体化的技术支撑能力;通过完善安全运行管理体系,将安全运行管理组织、安全运维管理流程和安全监测预警系统三方面有机结合,实现事前预警防范、事中监控处置、事后追溯定位的信息安全闭环运行机制,形成中国石油统一的应急指挥与协调调度能力,为中国石油信息安全保障奠定良好的基础。

3 信息安全等级保护工作存在的不足及改进建议

信息安全等级保护管理办法 (公通字[2007]43号)正式标志着全国范围内的信息安全等级保护工作开始,通过5年的努力,全国信息安全工作形成了以落实信息安全等级保护制度为核心,信息通报、应急处理、技术研究、产业发展、网络信任体系和标准化建设等工作快速发展的良好局面,重要行业部门的信息安全意识、重视程度、工作能力有了显著提高。40余个重要行业出台了100余份行业等级保护政策文件,20余个重要行业出台了40余份行业等级保护标准,但同时存在着以下不足:

(1)对信息安全工作的认识不到位,对重要信息系统安全保护缺乏应有的重视。依据公安部相关资料统计,截至2012年6月,我国有18%的单位未成立信息安全工作领导机构;21%的单位未落实信息安全责任部门,缺乏信息安全整体规划;14个行业重要信息系统底数不清、安全保护状况不明;12个行业未组织全行业信息安全专门业务培训,开展信息安全工作的思路和方法不得当,措施不得力。20%的单位在信息系统规划过程中,没有认真制定安全策略和安全体系规划,导致安全策略不得当;22%的信息系统网络结构划分不合理,核心业务区域部署位置不当,业务应用不合理,容易导致黑客入侵攻击,造成网络瘫痪,数据被窃取和破坏。34.6%的重要信息系统未配置专职安全管理人员,相关岗位设置不完整,安全管理人员身兼多职;48%的单位信息安全建设资金投入不足,导致重要信息系统安全加固和整改经费严重缺乏;27%的单位没有针对安全岗位人员制订相关的培训计划,没有组织开展信息安全教育和培训,安全管理、运维技术人员能力较弱。

(2)重要信息系统未落实关键安全保护技术措施。重要信息系统未落实安全审计措施。在主机层面,有34.9%的信息系统没有保护主机审计记录,34.8%的信息系统没有保护主机审计进程,容易导致事故责任无法认定,无法确定事故(事件)原因,影响应急处理效率。38%的信息系统没有落实对重要系统程序和文件进行完整性检测和自动恢复的技术措施,35%的信息系统没有采取监测重要服务器入侵行为的技术措施,容易使内部网络感染病毒,对攻击行为无法进行有效监测和处置。

(3)我国信息技术与国外存在一定差距,安全专业化服务力量薄弱。具有我国自主知识产权的重要信息技术产品和核心技术水平还有待提高,依赖国外产品的情况还比较普遍;国内信息安全专业化服务力量薄弱,安全服务能力不强,部分重要信息系统的关键产品维护和系统运维依赖国外厂商,给重要信息系统安全留下了隐患。

为了有效提高我国企业信息安全水平,增加等级保护的可行性及执行力,建议:①各企业开展以信息安全等级保护为核心的安全防范工作,提高网络主动防御能力,并制订应急处置预案,加强应急演练,提高网络应急处置能力。②加大人员和资金投入,提高保障能力。③国家层面加快关键技术研究和产品化,重视产品供应链的安全可控。

主要参考文献

[1]中国石油天然气集团公司. 中国石油天然气集团公司全面开展信息安全等级保护工作为信息化建设保驾护航[J].信息网络安全,2012(1).

篇9

关键词:国有企业;信息安全;数据挖掘

中图分类号:F592.6文献标识码:A文章编号:1006-8937(2016)03-0018-02

在信息化时代,基于网络侵入技术的不断提升,黑客与病毒对计算机系统攻击事件不断发生,据此而言,信息化技术在给国企生产经营活动带来便捷的同时,也成为最为脆弱的地方,此时的数据挖掘技术的运用就显得十分必要,依靠数据挖掘技术就可以使得来往流量处于实时监控的状态,并及时会对入侵产生自动检测的工具,从而大大维护了国有企业信息化系统正常运行。

1国有企业信息化建设中的信息安全概念及意义

1.1国有企业信息化建设中的信息安全概念

所谓的信息安全是指为保护国有企业计算机数据处理系统不受侵犯,在技术层面对计算机数据处理系统所采取保护的方式方法与手段,以达到维护计算机软硬件,以及数据安全,使机密信息可以在完整的状态下与既定对象实现信息共享的目的,从而确保了数据信息得到可用性保护,从技术的层面分析,主要分为下面三种形式。一是物理隔离形式的信息安全技术。就是将计算机网络系统的硬件实体与公共网络线路链接在技术层面予以有条件隔离,即防火墙技术,这一技术起到了对来往信息数据筛查的作用,从而使国有企业计算机系统在不受外界非法侵入的前提下创设一个电磁兼容的内部网络环境。二是访问可控形式的信息安全技术。访问可控安全是防火墙技术的协作部分,在这一技术手段的支持下,国有企业信息系统能够对外来信息数据进行甄别、预警,如果黑客和病毒等恶意流量得不到有效验证,则会使得网络侵袭问题飙升;三是数据加密形式的信息安全技术。为切实保护网上与传输过程中数据的可用性,国有企业信息系统需要在网络节点间、源节点与目的节点间、原端用户与目的端用户间的数据传输实施密钥管理。

1.2国有企业信息化建设中信息安全的意义

在社会经济信息化的今天,国有企业生产经营与市场营销等各领域都离不开信息化建设,以计算机网络技术为支撑的信息化建设基于此而成为国有企业日常运作的有机组成部分,但是,在信息化系统开放的过程中,却由于其安全漏洞问题存在而为一些不法行为提供可乘之机,信息安全据此成为人们关注焦点。

1.2.1保障个人信息不被泄露

以计算机网络为技术支撑信息系统为国有企业日常运作带来了极大便利,基于此成为国有企业进行生产经营、市场营销,以及日常管理的主要工具。在国有企业人力资源管理中,个人信息资料往往成为信息化建设的一个领域,这些资料在法律上归属于个人隐私范畴,有关部门无权将资料予以公开,但是,一些黑客在对国有企业内部信息系统攻击过程中,往往会窃取国有企业人力资源隐私资料,并将此作为谋取非法利益的筹码,如果国有企业对自身的信息管理系统的安全等级予以升级,则就使得黑客攻击处于无效状态,从而使得国有企业人力资源隐私信息得到最大限度保障。

1.2.2保障国有企业科技信息共享的实现

当前的国有企业通过搭建信息共享平台方式实现数据信息的共享,以国有企业与高校的科技信息共享平台搭建为例,高校通过自己在人力资源、馆藏资源、科技研究等方面的固有优势搭建了校企联合的科技信息平台,国有企业可以随时登陆这一平台搜索到自己所需要的科技信息,高校也可以通过这一平台将自己的科研成果及时转化为生产力,但是,这一平台的运作需要强大数据库的支持,在其运作过程中,黑客的攻击是必不可少,黑客可以通过截取网络信息传输、窃取用户口令、盗取数据库信息、篡改数据库内容等一系列非法手段,达到破坏科技信息共享平台正常运作的目的,因此,采取切实有效的措施,加强计算机网络系统的安全性能,就能够保障国有企业的合法利益。

2国有企业信息化建设中的信息安全问题

以计算机网络为技术支撑的信息系统是影响信息安全的最为主要的问题,这是因为计算机网络技术是支撑起其正常运作的最为主要的力量,从安全的角度出发,影响到以国有企业信息系统运作安全的问题主要可以细化为以下几点。

2.1网络信息资源共享使得黑客攻击频现

以计算机网络为技术支撑的信息系统运作的一个重要目的就是要实现资源共享,国有企业与高校领域所搭建的信息共享平台即是此例,在搭建信息共享平台实践中,国有企业即可通过相关计算机网络技术应用得到信息的共享,但是这一开放性的功能却存在一定的安全隐患,只要是有共享,就会有开放,共享的技术环境为黑客的攻击提供了便利。

2.2国有企业信息操作系统漏洞凸显

基于以计算机网络为技术支撑的国有企业信息系统快速进步,其系统升级也在同步进行,但是,国有企业信息操作系统的漏洞也在不断显现,这是因为国有企业对计算机网络技术的应用要求在不断提高,技术的发展相对滞后的问题始终存在,一些黑客就会对国有企业目标计算机网络操作系统进行深究,寻找其漏洞,然后通过不同的方式予以攻击,从而达到窃取国有企业信息资源、破坏国有企业信息系统等非法的目的。攻击的手段是多样的,例如可以利用计算机网络系统的开放性的特点,制造出大流量的无效数据,并将这一些数据流形成系统阻隔,从而导致主机处于被隔离的实际发展状态;还可以阻隔其他服务请求,主机往往会存在提供服务或传输协议上处理重复连接的痼疾,黑客就会据此而重复性、高频度发出攻击性的请求,一旦请求发出,自然就会影响到其他正常的服务请求;再者黑客还根据目标主机的特点,向其发出带有病毒的错数数据信息,从而直接导致主机死机。

2.3人为因素导致信息系统安全保障效能低下

从根本上来说,以计算机网络为技术支撑的国有企业信息系统的运作离不开人的操作,因此,国有企业信息系统可持续发展就需要对其实施卓有成效的管理才能够达到既定的目标,在这其中,人力资源的因素必不可少。举例来说,如果在实施计算机网络管理的实践中,其人员基于自己的防范意识、认知水平、技术程度等方面的原因,就将会直接导致信息系统管理的安全保障效率趋于低下。

3国有企业信息化建设中的信息安全保障策略

3.1制定与落实国有企业信息安全制度规范

为了提高以计算机网络为技术支撑的国有企业信息系统安全防范性能的提高,制度规范的制定与落实是基础,具体来说,则是要制定出信息系统安全管理、计算机网络硬件管理、数据信息保密等诸多制度规范,并进一步强化信息安全制度的落实。

3.2提升国有企业信息化技术人员操作水平

为促进国有企业信息安全规制的落实,人力资源的培养是关键环节,基于此而言,就应该对以计算机网络为技术支撑的国有企业信息系统操作技术人员进行安全法规的培训,从而使之既能够熟知这些法规,又能够认知自己的行为,促使自己的操作行为具有规范性,提高安全保障的能力。

3.3应用数据挖掘的信息安全技术

数据挖掘技术是一个新兴研究领域,涵盖了大型数据库、人工智能、统计学等诸多的方面,数据挖掘技术就是指在大型数据库中寻找并获取对自己“有价值”的、存在形式多用的数据信息。在其应用的过程中,静态和动态流量数据分析会对最终的检查结果作出及时的反映,将储存在数据库当中的既有模式与所确定的特征与规则进行比对,以此构建正确的模式来保障信息系统运作的安全。

3.3.1静态流量数据分析算法

①建立模型的分类算法。模型的建立适合于通过分类算法来对静态流量数据予以分析,一般而言,就是根据数据挖掘的目标予以分类,需要从两个阶段进行。第一个阶段模型的建立。这一阶段首先就是根据训练属性的分类的原则对目标数据库构建模型;第二个阶段模型的分类。模型的首要功能就是要对预测提供参考数据,基于此而言,模型就要通过在测试样本比较的基础上,对测试样本的准确率予以评估,如果准确率达到所要求的标准,则就可以以此为依据对该样本的类预测标号中不明数据元分类,这一模型的建立主要是在于将用户或程序中大量存在的数据予以吸纳,然后再通过模型来产生具有一定标准的分类算法,这一算法主要是测试这些未知数据的性质,为后继措施的实施奠定基础。

②数据关联性算法。挖掘数据之间的关联性是静态流量数据分析算法的一个较为主要的方式之一。这是因为各数据之间并非是互相间隔的而是存在必然的联系。具体而言,就需要深入挖掘数据之间潜藏的各种关系,并将其运用到检测威胁网络安全的各种现实情况中去,以此来探查各种入侵行为所存在的必然关系,从而寻求可解决的策略。数据关联性算法主要是挖掘各数据之问隐藏的相互关系,具体应用到入侵检测系统中可以利用关联分析检测出入侵者的各种入侵行为之问的相关性,此种分析方法主要侧重于事件的因果关系。

③事务关联分析算法。所谓的事务关联分析就是在事务中寻找具有相似性的之间的联系,具体而言,就是在事务记录中打入某一关键字词,与之相关联的记录就会呈现出来,再在其中找出重复率较高的原始数据,从此而形成具有一定指向性的数据的集合,用于指导检查网络安全相关的诸如网络攻击与时间变量之间的关系,从而为分析相应的数据结构打下坚实的基础。

3.3.2动态流量数据分析算法

动态流量数据分析的主要目标就是要在大量的数据中甄别并择取有效信息,同时要将无效,甚至于有害信息予以阻遏,为达到动态流量数据分析的有效性,建立一个动态流量数据分析系统是十分必要的,该系统承担了对动态流量数据分析、计算的任务。

①数据的择取。数据择取的主要范围是在互联网上,其内容涉及安装使用对数据包的截获程序、提取网络数据包中的需要检测的信息等。

②数据的处理。在互联网上截获的原始网络信息需要采取信息化处理的过程,这也就是说,可以将这一些信息进行诸如压缩等方式的处理,使之能够实现信息分类的储存,然后再将这些信息转换成具有持续时问、源IP地址、目的IP地址等连接特征的网络连接记录,这就完成了数据挖掘的前期准备工作,继而则在数据信息准备的基础上,再一次对这些数据信息予以“清洁”,即删除掉无效或无用的信息,而保存有效或有用的信息,最后环节则是数据信息的挖掘。

③数据信息的分类。在所截取的数据信息库中存放大量的数据信息源,这些信息源处于无序与混乱的状态,应该按照一定的规则进行区别。一方面,就要在对所储存数据信息源特征与规则明晰的基础上,确立非正常与正常模式的基本状态,并将其储存在数据库当中,另一方面则要将储存在数据库当中的既有模式与所确定的特征与规则进行比对。当然,就业数据处于不断有新的数据信息充实的状态,原有的数据信息也会不断被淘汰,因此数据酷中非正常与正常模式、数据信息源特征与规则等都应该处在不断变化的过程中,只有如此,才能够使数据挖掘方法的使用更加有效。

④应用模式评估。动态流量数据分析系统要根据最终的检查结果作出及时的反映,如果归属于恶意侵犯的性质(如窃取机密信息数据等黑客的行为性质)则不但要发出警报,而且还应该采取防火墙等技术手段及时切断内外网之间的关联,并查找入侵的路径,保留犯罪的证据;如果经过身份的甄别属于正常的进入,系统则要依照正常的程序继续对该用户进行检测。在基于数据挖掘的动态流量数据分析过程之中的模式应用后,都应该对正常模式与非正常模式的应用予以全面的评估,简而言之,如果模式的应用起到了及时报警、阻遏非法侵犯的行为的作用,从而保障了数据信息的安全,就说明这一模式是成功的,起到了应有的效果,反之,则应该在多次试验中予以验证,直至建立起科学的模式。

4结语

在信息化的时代,基于网络侵入技术的不断提升,黑客与病毒对国有企业信息系统攻击事件不断发生,从而使得信息系统在为人们带来便捷的同时,也成为最为脆弱的地方,此时信息系统安全防范技术的运用就显得十分必要,依靠信息系统安全防范技术可以使得国有企业往来的数据信息都处于实时监控的状态,并及时会对入侵产生监测与防御,这就会在一定程度上维护了国有企业往来数据信息的安全。为达此目的,就应该从制定与落实国有企业信息安全制度规范、提升国有企业信息化技术人员的操作水平、应用数据挖掘的信息安全技术这三方面着手,以此促进国有企业信息化建设的信息安全实践健康发展。

参考文献:

[1]秦海峰.企业信息化建设中信息安全问题的分析研究[J].中国信息界,2012,(5).

[2]杜凡.新形式下加强财务信息安全的途径[J].当代经济,2011,(21).

[3]张兆安.信息安全是信息化建设的重要基础[J].上海企业,2013,(11).

篇10

如何建立一套针对企业自身特点的信息系统安全体系,最大程度地保证其正常运营,这不是一个单纯的技术问题,而是一个把管理、安全技术、审计等多种因素集成于于一体的系统工程。因此,企业管理层需要在企业发展策略中,高度重视信息安全技术、信息安全管理和审计工作,不仅要在信息系统的软硬件上下功夫,而且不能忽略相关审计工作,加强风险排查,这样才能对企业的业务发展做到同步支持。

1.信息系统安全技术

信息系统安全技术作为信息系统安全体系的基础,在其中起到支撑的作用。在实际工作中,针对企业各自特点制定相关策略。当前企业信息系统安全的现状和面临的主要问题如下:

1.1硬件运维

硬件设备的运维和管理是企业信息系统安全体系的基础保障,但是管理人员容易忽视这一环节。企业信息系统往往会因为硬件设备故障、断电或网络问题造成信息丢失或服务中断。如果针对硬件设备的运维和管理没有相关保障机制,一次发生意外,就会给企业造成不可估量的损失。

当前常见的硬件设备运维保障管理机制有以下几个环节:一是通过设置UPS不间断电源保障系统硬件的持续性运行;二是要对企业信息系统中的网络设备进行定期巡检,在前期的网络环境部署过程中首先考虑网络的连接稳定性;最后是加强信息系统安全管理,严防企业信息丢失和窃取,可以通过对数据信息存储服务器设置物理锁的方式避免非法操作。为了保证系统服务器的安全,管理人员可以采用远程登录的方式访问系统。

1.2入侵防御

病毒入侵一般都拥有固定代码,而入侵威胁是由非法人员需要得知信息系统的漏洞,从而进行人为操纵的信息窃取或系统攻击。特定的防范方法包括:严格制定防火墙访问控制策略,阻止外界对内部资源的非法访问;关闭系统硬件不用的端口;定期对系统进行漏洞扫描和补丁包更新;在信息系统中部署入侵检测系统(IDS)和入侵防御系统(IPS),从而抵御非法入侵。

1.3病毒防范

信息系统的安全配置和管理人员的正规操作对于信息系统病毒的防范非常重要。操作系统是企业信息平台安全的基础,错误的安装配置会使病毒渗入到信息系统当中。针对信息系统安装杀毒软件并进行定期更新是病毒防范的基本措施,这样可以保证系统基本的安全性与稳定性。企业还需要定期对系统进行数据备份。

1.4数据加密

在公共网络进行数据传输的过程中,利用虚拟专用网(VPN)技术设置访问控制策略,实现两个或多个可信网络之间的数据加密与传输。搭建VPN通常使用加密防火墙和路由器,保证数据安全传输[1]。

在企业的局域网中针对内部信息存储、传输的安全问题,可以通过部署安全服务器来实现包括对局域网内资源的管理控制、用户的管理和所有安全相关事件的跟踪和审计。

2.信息系统安全管理

企业信息系统安全体系的建设三分靠技术,七分靠管理。因此,建立和完善管理制度是保障企业信息系统安全的关键和重点。

2.1制定企业信息系统安全管理制度

企业信息系统安全体系的建立和实施对其正常运营非常重要,所有一切的信息系统安全工作都要以公司制定的企业信息系统安全管理制度为基准。

2.2提高企业员工信息系统安全意识

现实中企业管理者的关注焦点大多是生产上的安全,信息安全没有得到足够的重视。实际上,企业员工信息安全意识的高低,在企业的信息系统安全体系建设中起很大作用,企业能够加强员工的信息安全意识,将很大地提高信息系统安全体系实施的成效。

2.3严格执行标准,强化制度落实

在企业信息系统安全体系的建设过程中,必须严格按照信息系统安全操作规程和管理措施执行,最大程度消除信息系统安全隐患。若发现信息系统安全隐患,及时按照相关操作规程处置[2]。

2.4积极学习和应对各种信息系统安全事件

信息技术不断发展,保障信息系统安全的难度也在与日俱增。因此,信息系统安全管理必须要求企业管理人员不断学习,不仅要制定一套完整严密的信息系统安全管理方案,还要有步骤清晰、操作性强的应急预案,这样才能增强信息系统安全管理的危机抵御能力和处理能力。

2.5构建信息系统安全环境平台

面对日渐严峻的信息安全形势,在加强企业信息系统基础安全设施建设的同时,要有机结合员工信息安全意识、技术能力、企业运维管理三者,建立一套综合性强的信息系统安全保障体系,在所有的业务系统中贯彻执行当前的安全管理思路,通过可量化的技术手段,达到信息系统安全管理的最终目的。

3.信息系统安全审计

企业信息系统安全体系的建设是一个长期的、需要不断持续更新、完善的系统工程,通过对信息系统的安全审计,及时发现和解决企业信息系统安全体系的漏洞,才能不断提高企业安全水平和质量。如何建立和执行企业信息系统安全审计,有效加强企业内部的信息系统安全管理和风险控制,满足相关政策法规,成为各行业面临的普遍问题[3]。

信息系统安全审计是指一群拥有相关信息安全专业技能和商业知识的审计人员对企业安全风险以及如何应对风险措施进行评估的一个过程。信息系统安全审计人员通过收集、分析、评估信息系统安全信息,掌握其安全状态,制定安全策略,将系统调整到“最安全”和“最小风险”的状态,确保信息系统安全体系完整、合理、适用[4]。

由于目前信息系统应用已经涉及到企业的各个业务和办公领域,对于信息系统带来的安全管理已经是企业运营不可切割的一部分。所以,企业的信息系统安全审计应该是一个从业务部门到技术部门都必须参与控制的过程。

从信息系统本身来说,安全审计的要点主要是以下两个方面:

3.1数据及数据传输审计

数据是信息系统的重要资产,保护数据的安全、完整,避免其被恶意破坏、盗窃。对用户身份进行控制,避免非授权访问数据,是数据访问环节的安全控制措施。除此之外,对数据的操作和保存也是数据安全控制的重要环节。首先,应雇佣具备任职资格或经过适当培训的人员,避免误操作;其次,所有操作都应该经过授权且有记录,数据文件被正确保存且经过充分备份,以备正确的恢复。

在信息系统中,有些数据需要在两个子系统或多个子系统中相互传输,在这个过程中很可能会出现问题,尤其是在需要手工录入或同步传输的情况,因此在进行信息系统安全审计的过程中要重点关注以下方面:数据在传输的过程中可能会发生变化,如何进行校验;核心数据库可能会被物理分散的服务器取代;当一个信息系统取代原有的信息系统时,会进行数据的传输。要保证传输的数据是完整、可靠并且经过批准的,数据的全部传输过程要准确,并且在约定时间内完成。

3.2内部控制审计

内部控制审计是企业为实现管理目标而形成的自律系统。在审计过程中要对审计对象的系统环境是否符合要求、规程制度是否完善、执行情况是否到位进行审查。在信息系统中,可以通过检查以下几个方面来验证企业内控制度和执行的效果:(1)控制信息系统的资源存储,包括物理存储资源存储(终端、连接盒、服务器、相关文档等)和逻辑资源存储(软件、系统文件、表和数据等)。(2)把控信息系统资源的使用。用户的新增、变化、删除必须经过授权,用户只能对其授权范围内的资源进行操作。(3)按一定标准划分信息系统资源。可以系统资源的滥用、数据的非法修改以及减少人为误操作。(4)身份和访问控制审计。按照时间顺序建立一个档案簿,包含信息的创建、修改和删除的详细过程及其操作人员。它采用的是授权证明,控制什么人什么时候访问了什么数据。(5)确认处理过程的准确性。(6)管理人员对信息系统的所有修改都应该保证是经过授权、评估和审核,并且有记录文档,保证风险最低且有效控制。(7)入侵防御审计。入侵防御涵盖的范围远广于传统的入侵检测。入侵防御策略的合理设置会把风险缩小到最小范围。(8)漏洞和病毒管理审计。定期检查系统漏洞和防病毒措施,根据具体问题原因进行分析处置,及时采取相关措施。

篇11

关键词:信息;网络安全;管理策略

中图分类号:F270文献标志码:A文章编号:1673-291X(2010)30-0015-02

随着企业信息网络建设与不断的发展,信息化已成为企业发展的大趋势,信息网络安全就显得尤为重要。由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,无论是在局域网还是在广域网中,都存在着自然和人为等诸多因素的脆弱性和潜在威胁。故此,网络的安全措施应是能全方位地针对各种不同的威胁和脆弱性,这样才能确保网络信息的保密性、完整性和可用性。

一、信息网络的安全管理系统的建立

信息网络安全管理系统的建立,是实现对信息网络安全的整体管理。它将使安全管理与安全策略变得可视化、具体化、可操作,在将与整体安全有关的各项安全技术和产品组合为一个规范的、整体的、集中的安全平台上的同时,使技术因素、策略因素以及人员因素能够更加紧密地结合在一起,从而提高用户在安全领域的整体安全效益。下面对信息网络安全管理系统技术需求和功能要求进行分析。

(一)技术分析

1.在信息网络安全管理系统的设计上,应该用到以下技术:安全综合管理系统体系结构构造理论和技术;安全部件之间的联动技术;安全部件互动协议与接口技术;网络拓扑结构自动发掘技术;网络数据的相关性分析和统计分析算法;网络事件的多维描述技术。

2.信息网络安全管理系统应具有安全保密第一:安全保密与系统性能是相互矛盾的,彼此相互影响、相互制约,在这种情况下,系统遵循安全与保密第一的原则,信息网络安全管理系统在设计、实施、运行、管理、维护过程中,应始终把系统的安全与保密放在首要的位置。在信息网络安全管理系统设计,尤其在身份认证、信任管理和授权管理方面,应采用先进的加密技术,实现全方位的信任和授权管理。因此,对信息安全管理系统而言,针对单个系统的全部管理并非是本系统的重点,而应该投入更多的力量在于:集中式、全方位、可视化的体现;独立安全设备管理中不完善或未实现的部分;独立安全设备的数据、响应、策略的集中处理。

(二)功能分析

1.分级管理与全网统一的管理机制:网络安全是分区域和时段的,实施分级与统一的管理机制可以对全网进行有效的管理,不仅体现区域管理的灵活性,还表现在抵御潜在网络威胁的有效性,管理中心可以根据自己网络的实际情况配置自己的策略,将每日的安全事件报告给上一级,由上一级进行统一分析。上一级可以对全网实施有效的控制,比如采用基于web的电子政务的形式,要求下一级管理中心更改策略、打补丁、安全产品升级等。

2.安全设备的网络自动拓扑:系统能够自动找出正确的网络结构,并以图形方式显示出来,给用户管理网络提供极大的帮助。这方面的内容包括:自动搜索用户关心的安全设备;网络中安全设备之间的拓扑关系;根据网络拓扑关系自动生成拓扑图;能够反映当前安全设备以及网络状态的界面。

3.安全设备实时状态监测:安全设备如果发生故障而又没有及时发现,可能会造成很大的损失。所以必须不间断地监测安全设备的工作状况。如某一设备不能正常工作,则在安全设备拓扑图上应能直观的反映出来。实时状态监测的特点是:(1)高度兼容性:由于各种安全设备的差别很大,实时状态监测具有高度兼容性,支持各种常用协议,能够最大程度地支持现有的各种安全设备。(2)智能化:状态监测有一定的智能化,对安全设备的运行状态提前作出预测,做到防患于未然。(3)易用性:实时状态监测不是把各种设备的差别处理转移给用户,而是能够提供易用的方式帮助用户管理设备。

4.高效而全面的反应报警机制:报警形式多样:如响铃、邮件、短消息、电话通知等。基于用户和等级的报警:可以根据安全的等级,负责处理问题的用户,做出不同方式、针对不同对象的报警响应。

5.安全设备日志统计分析:可以根据用户需求生成一段时间内网络设备与安全设备各种数据的统计报表。

二、信息网络的安全策略

企业信息网络面临安全的威胁来自:(1)人为的无意失误:如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎等都会对网络安全带来威胁。(2)人为的恶意攻击:这是计算机网络所面临的最大威胁,造成极大的危害,并导致机密数据的泄漏。(3)网络软件的漏洞:网络软件不可能是百分之百的无缺陷和无漏洞的,这些是因为安全措施不完善所招致。

(一)物理安全策略

物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受破坏和攻击;验证用户的身份和使用权限、防止用户越权操作;确保计算机系统有一个良好的电磁兼容工作环境;建立完备的安全管理制度,防止非法进入计算机控制室。

(二)访问控制策略

访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非常访问。它也是维护网络系统安全、保护网络资源的重要手段。访问控制可以说是保证网络安全最重要的核心策略之一。

1.入网访问控制:入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源。用户的入网访问控制可分为三个步骤:用户名的识别与验证、用户口令的识别与验证、用户账号的缺省限制检查。

2.权限控制:网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定用户对这些文件、目录、设备能够执行哪些操作。可以根据访问权限将用户分为以下几类:(1)特殊用户(即系统管理员);(2)一般用户,系统管理员根据他们的实际需要为他们分配操作权限。

(三)目录级控制策略

网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效,用户还可进一步指定对目录下的子目录和文件的权限。对目录和文件的访问权限一般有八种:系统管理员权限、读权限、写权限、创建权限、删除权限、修改权限、文件查找权限、存取控制权限。

三、网络安全管理策略

在网络安全中,除了采用技术措施之外,加强网络的安全管理,制定有关规章制度,对于确保网络的安全、可靠地运行,将起到十分有效的作用。网络的安全管理策略包括:确定安全管理等级和安全管理范围;制定有关网络操作;使用规程和人员出入机房管理制度;制定网络系统的维护制度和应急措施等。

篇12

关键词:电力;通信企业;安全文化;建设

现阶段,企业安全文化由于其本身具备有优良的安全管理手段的特点,已经受到众多企业广泛的关注。因此,怎样有效地构建安全文化是当前电力行业及通信企业共同探讨的话题。电力通信企业生产的主要目的在于如何有效地利用通信为电力企业搭建一个基础平台,能够准确地控制各项生产、营销、办公自动化的消息的全面传送,能够给电网的安全生产及经营管理提供安全、可靠的通信保障及优质的服务。它不仅具备维护量大、点多面广线长的特点,而且其技术更新过程很快,需要不断学习才能够具备驾驭能力。另外,其安全责任性相对较大,特别是针对电网安全运行,需要更新传统的通信安全观念,树立与电网安全生产要求相适应的安全管理理念。因此,电力通信企业的安全文化管理是一个繁杂的系统性工程,由于其涉及众多因素,必须长期坚持开展工作,而领导班子齐心协力是建设企业安全文化的重要基础。

1 安全文化建设的内涵及意义

电力通信企业的安全文化指的是在从事电力通信生产的实际过程中,为了能够保证生产能够正常进行,保护职工不受到伤害,通过长时间不断地积淀和总结,并结合当前形式下的市场积极制度所形成的一种思想及理论。其不仅是全体职工对安全工作形成阶段的一种共识,而且还是电力通信企业安全工作的基础与平台,更是实现电力通信企业安全生产长治久安的坚强后盾。因此,安全文化在电力通信安全管理阶段中具备非常重要的意义。

1.1 企业安全文化建设的步骤

1.1.1 建立机构

企业安全文化组织的保证来源于建立领导机构。委员会负责对领导的组织工作,日常工作开展主要依靠下设办公室完善,各项二级单位需要成立专门的领导小组。安全文化建设领导机构能够有效建立及正常运转都少不了高层领导的高度重视。各级领导需要充分意识到建设企业文化对企业发展的重要性,积极组织好安全文化小组,完成各项任务,要保证其在任务阶段能够获取有效成绩,推进企业安全文化建设步伐,以此带动企业安全生产管理水平的提升。

1.1.2 制订规划

在进行电力通信企业安全文化的建设过程中,需要有总体规划方案,即行动有计划,并且要定时定期地检查计划与规划的执行状况。在制定规划的过程中,需要调查分析安全文化所涉及的内容,并且要根据电力企业安全生产及经营管理对通信专业的基本要求,对企业的安全文化理念做定格的设定。要及时地制定科学的时间表,在实施计划过程需要讲究效率及效果,而且要定期检查实施情况。值得特别注意的是,企业必须与时俱进,要按照电力企业对通信企业提出的各项要求,进行创新文化的理念革新,及时修订安全文化的建设规划,使其能够适应时展。

1.1.3 训练骨干

在安全文化建设的过程中,只有训练出一批对安全文化建设有正确认识及深刻体验的骨干人才,才能够在一定基础上有效地带动群众队伍,从而齐心地建设和完善企业安全文化。这一过程的训练内容基本包括理论分析、实例分析及经验详谈和单位的实施方法等。企业骨干培训越多,企业安全文化建设的推动就越有利。所以,对于企业领导、班级领导,首先要让自己成为企业中的骨干,只有这样才能起到带头作用,才能更好地影响群众。

1.1.4 宣传教育

安全文化建设的手段主要通过宣传、激励、教育、感化的形式进行。通过采取各种文化模式,例如宣传激励、科技创新、文学艺术、教育培训等协助安全文化建设的推进工作。在此有几方面的内容需要强调,具体如下;

(1)要传递上级主管部门在各个环节的重要指示精神,特别是针对通信专业的具体要求,需要领悟其深刻思想,要在一定程度上加强安全生产的责任感。

(2)要积极、有效地运用“安全月”“安全隐患排查”的活动,及时做好安全文化建设的宣传工作,营造文化气氛。

(3)要抓住重大事故的案例进行对比,按照四不放过的原则进行严格管控,通过举一反三的形式对员工进行安全意识培养。

1.1.5 努力实践

在建设企业安全文化的阶段中,不仅需要做到雷厉风行,而且还要完善实际效果。安全建设文化实践的要点主要包括以下方面:

(1)高层领导需要起到表率的作用,要不断深入群众体系,聆听大众建议。

(2)管理人员在管理过程必须有创新精神,而且这个阶段需要培养新的工作作风。

(3)需要建立完善的机制,需要表彰奖励先进,对正确的行为方式给予鼓励。

2 企业安全文化建设的内容及方法

当前,在电网的安全管理及经营管理都依赖于通信的形势下,电力通信安全生产的重要性,在很大程度上决定了企业安全文化建设的必然性。其中,通信企业安全文化建设的内容主要包括以下方面:

(1)有效地完善安全机制,提升安全意识。

(2)通过对事故心理的研究,塑造优良的心理状态。

(3)加大教育力度,增强教育效果。

(4)不断完善安全立法,规范行为作业。

3 电力企业安全文化建设的途径

只有将“以人为本”的概念放在文化建设的首位,才能够有效地将企业文化塑造成具有可操作性的企业安全文化,并且以此为基础,形成相对的安全意识及安全价值观。当前,在电力体系不断改革的基础下,电力企业安全文化建设也在不断向人性化、统一化转变,由面向设备慢慢向面向人转变,由面向技术逐渐转变为面向规范化。

3.1 科学地树立安全价值观

在安全生产的实际阶段中,电力企业需要根据自身特点,培训员工普遍认同的科学的安全价值观及安全生产理念,运用简练的语言进行表述,以此激发员工的积极性以及提高员工的工作热情,从而提升安全生产责任感。采用正确的价值观去面对事故发生的瞬间,积极地调整和约束自己的行为,做出保护生命财产及减少损失的正确选择。以上这些行为措施,都对提高全体员工的安全素质有一定的意义,对其实现安全生产目标有推动性作用。

3.2 建立以人为本的文化概念

国外杜邦公司经过研究认为,96%的安全因素来源于人体行为。几年来,通过多起事故的实际调查分析,也充分证明了这一点。所以要想做好安全生产就需要对“人”进行有效管控,要从“人”这个管理要素入手,培养适合本企业的安全生产文化,并且这个阶段如何被广大职工接受,让其在内心深处留下积极印象,从而在安全生产中发挥重要作用,这应该是当前电力通信企业安全文化建设的首要任务。

3.3 建立分成负责的安全管理网络

在这一过程中需要建立一个以行政领导为中心、面向管理部门与基层部门班组辐射的安全管理网络。各层需要有专人负责,各层都需要做到人员、制度、措施的3个落实制度,每层都需要重视安全文明建设,各个层面都需要能够运行系统管理的原理方法及分析评价系统的安全状态,要及时发现通报系统中存在的危险信号,通过采取综合措施,让系统中发生的事故率有所降低,使其安全状态保持稳定。

3.4 建立统一的职业规范

根据电力系统的各项系统特征,需要制定一个有效的职业规范。安全生产技术的培训,在一定阶段中促成了职业规范的形成。严格的培训能够在一定基础上员工的行为形成一种准则及思维方式,能够让员工各就其位,各负其责,能够提高其工作效率及安全监管水平。企业需要定时对员工进行组织培训,培训内容应该以国家方针、政策、法律及企业安全生产技术为基础,特别要针对刚上岗的新员工进行严格的岗位培训。

篇13

关键词:电力;通信企业;安全文化;建设

现阶段,企业安全文化由于其本身具备有优良的安全管理手段的特点,已经受到众多企业广泛的关注。因此,怎样有效地构建安全文化是当前电力行业及通信企业共同探讨的话题。电力通信企业生产的主要目的在于如何有效地利用通信为电力企业搭建一个基础平台,能够准确地控制各项生产、营销、办公自动化的消息的全面传送,能够给电网的安全生产及经营管理提供安全、可靠的通信保障及优质的服务。它不仅具备维护量大、点多面广线长的特点,而且其技术更新过程很快,需要不断学习才能够具备驾驭能力。另外,其安全责任性相对较大,特别是针对电网安全运行,需要更新传统的通信安全观念,树立与电网安全生产要求相适应的安全管理理念。因此,电力通信企业的安全文化管理是一个繁杂的系统性工程,由于其涉及众多因素,必须长期坚持开展工作,而领导班子齐心协力是建设企业安全文化的重要基础。

1安全文化建设的内涵及意义

电力通信企业的安全文化指的是在从事电力通信生产的实际过程中,为了能够保证生产能够正常进行,保护职工不受到伤害,通过长时间不断地积淀和总结,并结合当前形式下的市场积极制度所形成的一种思想及理论。其不仅是全体职工对安全工作形成阶段的一种共识,而且还是电力通信企业安全工作的基础与平台,更是实现电力通信企业安全生产长治久安的坚强后盾。因此,安全文化在电力通信安全管理阶段中具备非常重要的意义。

1.1企业安全文化建设的步骤

1.1.1建立机构

企业安全文化组织的保证来源于建立领导机构。委员会负责对领导的组织工作,日常工作开展主要依靠下设办公室完善,各项二级单位需要成立专门的领导小组。安全文化建设领导机构能够有效建立及正常运转都少不了高层领导的高度重视。各级领导需要充分意识到建设企业文化对企业发展的重要性,积极组织好安全文化小组,完成各项任务,要保证其在任务阶段能够获取有效成绩,推进企业安全文化建设步伐,以此带动企业安全生产管理水平的提升。

1.1.2制订规划

在进行电力通信企业安全文化的建设过程中,需要有总体规划方案,即行动有计划,并且要定时定期地检查计划与规划的执行状况。在制定规划的过程中,需要调查分析安全文化所涉及的内容,并且要根据电力企业安全生产及经营管理对通信专业的基本要求,对企业的安全文化理念做定格的设定。要及时地制定科学的时间表,在实施计划过程需要讲究效率及效果,而且要定期检查实施情况。值得特别注意的是,企业必须与时俱进,要按照电力企业对通信企业提出的各项要求,进行创新文化的理念革新,及时修订安全文化的建设规划,使其能够适应时展。

1.1.3训练骨干

在安全文化建设的过程中,只有训练出一批对安全文化建设有正确认识及深刻体验的骨干人才,才能够在一定基础上有效地带动群众队伍,从而齐心地建设和完善企业安全文化。这一过程的训练内容基本包括理论分析、实例分析及经验详谈和单位的实施方法等。企业骨干培训越多,企业安全文化建设的推动就越有利。所以,对于企业领导、班级领导,首先要让自己成为企业中的骨干,只有这样才能起到带头作用,才能更好地影响群众。

1.1.4宣传教育

安全文化建设的手段主要通过宣传、激励、教育、感化的形式进行。通过采取各种文化模式,例如宣传激励、科技创新、文学艺术、教育培训等协助安全文化建设的推进工作。在此有几方面的内容需要强调,具体如下;

(1)要传递上级主管部门在各个环节的重要指示精神,特别是针对通信专业的具体要求,需要领悟其深刻思想,要在一定程度上加强安全生产的责任感。

(2)要积极、有效地运用“安全月”“安全隐患排查”的活动,及时做好安全文化建设的宣传工作,营造文化气氛。

(3)要抓住重大事故的案例进行对比,按照四不放过的原则进行严格管控,通过举一反三的形式对员工进行安全意识培养。

1.1.5努力实践

在建设企业安全文化的阶段中,不仅需要做到雷厉风行,而且还要完善实际效果。安全建设文化实践的要点主要包括以下方面:

(1)高层领导需要起到表率的作用,要不断深入群众体系,聆听大众建议。

(2)管理人员在管理过程必须有创新精神,而且这个阶段需要培养新的工作作风。

(3)需要建立完善的机制,需要表彰奖励先进,对正确的行为方式给予鼓励。

2企业安全文化建设的内容及方法

当前,在电网的安全管理及经营管理都依赖于通信的形势下,电力通信安全生产的重要性,在很大程度上决定了企业安全文化建设的必然性。其中,通信企业安全文化建设的内容主要包括以下方面:

(1)有效地完善安全机制,提升安全意识。

(2)通过对事故心理的研究,塑造优良的心理状态。

(3)加大教育力度,增强教育效果。

(4)不断完善安全立法,规范行为作业。

3电力企业安全文化建设的途径

只有将“以人为本”的概念放在文化建设的首位,才能够有效地将企业文化塑造成具有可操作性的企业安全文化,并且以此为基础,形成相对的安全意识及安全价值观。当前,在电力体系不断改革的基础下,电力企业安全文化建设也在不断向人性化、统一化转变,由面向设备慢慢向面向人转变,由面向技术逐渐转变为面向规范化。

3.1科学地树立安全价值观

在安全生产的实际阶段中,电力企业需要根据自身特点,培训员工普遍认同的科学的安全价值观及安全生产理念,运用简练的语言进行表述,以此激发员工的积极性以及提高员工的工作热情,从而提升安全生产责任感。采用正确的价值观去面对事故发生的瞬间,积极地调整和约束自己的行为,做出保护生命财产及减少损失的正确选择。以上这些行为措施,都对提高全体员工的安全素质有一定的意义,对其实现安全生产目标有推动性作用。

3.2建立以人为本的文化概念

国外杜邦公司经过研究认为,96%的安全因素来源于人体行为。几年来,通过多起事故的实际调查分析,也充分证明了这一点。所以要想做好安全生产就需要对“人”进行有效管控,要从“人”这个管理要素入手,培养适合本企业的安全生产文化,并且这个阶段如何被广大职工接受,让其在内心深处留下积极印象,从而在安全生产中发挥重要作用,这应该是当前电力通信企业安全文化建设的首要任务。

3.3建立分成负责的安全管理网络

在这一过程中需要建立一个以行政领导为中心、面向管理部门与基层部门班组辐射的安全管理网络。各层需要有专人负责,各层都需要做到人员、制度、措施的3个落实制度,每层都需要重视安全文明建设,各个层面都需要能够运行系统管理的原理方法及分析评价系统的安全状态,要及时发现通报系统中存在的危险信号,通过采取综合措施,让系统中发生的事故率有所降低,使其安全状态保持稳定。

3.4建立统一的职业规范

根据电力系统的各项系统特征,需要制定一个有效的职业规范。安全生产技术的培训,在一定阶段中促成了职业规范的形成。严格的培训能够在一定基础上员工的行为形成一种准则及思维方式,能够让员工各就其位,各负其责,能够提高其工作效率及安全监管水平。企业需要定时对员工进行组织培训,培训内容应该以国家方针、政策、法律及企业安全生产技术为基础,特别要针对刚上岗的新员工进行严格的岗位培训。

4结语

总而言之,电力通信企业文化建设的主要目的在于能够进一步提升人们的安全意识,更新人们的安全观念,在电力通信企业的安全文化建设阶段中,要对普及性及实际操作性认真探究,做到不求高深理论,只求科学合理使用。另外,要以提高员工素质为第一保障,将满足客户需求作为第一要求,将保护员工生命财产作为第一管理目标,要检查以人文本的基本理念,要将企业立足于规范化及完整性和适用性逐步形成企业特有的安全文化特色。

[参考文献]

[1]任涛,王保义.电力市场运营系统数据通信安全研究[J].电力系统通信,2008(8):48-51.

[2]李力.230M无线电力负荷管理系统通信安全性研究[J].中国高新技术企业,2008(10):116-117.

篇14

【关键词】子系统;冗余环网;信息孤岛;防火墙

一、前言

随着我国煤炭事业的发展,高产、高效煤矿对生产过程监控、全矿井生产安全环境监测、生产过程信息综合利用等方面的网络化、自动化和智能化提出了更高的要求。实现全矿井的数据采集、生产调度、经营管理、决策指挥的信息化、科学化,确保矿井安全生产、集约高效,提升企业的生产力水平,煤矿信息化网络建设是矿井建设的重要组成部分。

二、煤矿信息化网络建设的需求分析

1.煤矿生产中从工艺上包含多个子系统,通常煤矿生产企业包括:环境安全监控系统、人员定位系统、地面压风机房监控系统、副井提升监控系统、锅炉房集控系统、主通风机监控系统、主副斜井监控系统、主斜井皮带机筛分楼监控系统、矿灯房监控系统、乘人猴车监控系统、暖风机房监测系统、综采工作面监控系统、综掘工作面监测系统、中央水泵房监控系统、中央变电所监控系统、采区变电所监控系统、无极绳绞车监控系统、主斜井皮带给煤机监控系统、顺槽皮带运输系统等多个子系统,各个子系统之间的数据需要实现数据共享,要求避免信息孤岛,对信息进行有效整合,解决不同子系统之间的协同作业,互联互通是信息化网络建设的核心需求。

2.信息业务:视频数据信息、语音信息、办公数据信息,生产数据信息,数据具有一定的异构性。

3.分布:从地理位置上,煤矿生产有地面以下的部分和地面以上的部分,而且地面以下的煤矿巷道属于狭长的区域分布,巷道的长度一般是十几公里到几十公里。

4.网络分为生产控制网络和企业管理层局域网络,对于生产控制网络要高的可靠性,要确保网络系统的安全,如果网络出现问题不能及时回复,会造成停产,甚至发生安全事故。

5.业务跨越Internet运作,一个煤矿的各种生产和管理数据,不仅要内部使用,通过门户网站对外,还要给集团提供,实现资源的统一管理与调度,并要求给上级安全监查部门上报。而且随着技术的发展,要求能够不断的升级。

三、网络规划与设计

经过对以上的需求分析,将煤矿信息化网络建设成为设备层、工业以太网冗余环网和企业管理层局域网络三层结构模式,将骨干网络的可靠性和安全性放在第一位,同时结合网络数据的流量和流向,采用千兆网络,满足传输带宽的要求。

1.生产控制网络

生产控制网络采用网络拓扑结构为冗余环网,根据煤矿生产和巷道结构的特点,将十几台交换机在井上与井下各形成一个环路,一般将通讯链路分开两个不同的巷道进行敷设,由于煤矿生产环境恶劣,容易造成网络线路断裂,环网结构在很大程度上解决了以太网的容错技术,保证了当某条链路意外损坏时,数据仍可以从另一个方向的备用链路进行传输,冗余修复的时间小于300ms,网络在300ms之内可以重新启用,最大限度的满足煤矿生产数据信息传输的可靠性与实时性,主干网络传输介质为光纤,采用工业以太网交换机进行数据交换,地面、井下各设一个环网,两个光纤环网在控制中心机房通过高性能的核心交换机连接在一起,构成一个统一的煤矿生产控制网络。

根据一般煤矿生产的要求,在煤矿井下一般布置摄像头的数量不会超过100个,每个视频图像流量平均在1Mbps左右,总的视频流量不大于100Mbps,而且流向也比较确定,基本上都是从井下流向地面的调度中心,总的音频流量一般不大于10Mbps,总的数据流量一般不大于1Mbps,音频流量和数据流量一般是双向传输,所以在设计上采用千兆网络传输平台实现同网、同缆、同芯传输视频、音频、数据信号。

2.企业管理层局域网络

企业管理层局域网络为星型网络拓扑结构,千兆以太网技术,采用三层结构,即核心层、交换层和接入层,通过连接路由器、交换机、防火墙、服务器、客户机等设备来组成网络,通过高性能的核心交换机将管理层局域网络与生产管理网络连接在一起。通过防火墙接Internet网络,采用VPN技术与集团公司总部联系。结合公司今后的发展,采用开放式的结构,使网络具有良好的扩展性和开放性,满足未来网络发展需求。通过WEB,实现信息查询,通过远程拨号实现远程作业,实现信息共享及统一管理,建立调度指挥中心,统一调度指挥。

四、网络的信息安全

结合实际的网络环境,针对非法入侵者采用的手段以及网络环境中存在的漏洞,建立一套网络安全防范系统,及时弥补系统中各个级别的漏洞,切断非法用户的入侵渠道,保证综合监控及自动化网络及所有子系统接入数据传输的安全性,在煤矿生产工业以太环网和企业管理层局域网之间设置防火墙,用来隔离管理网与生产网。

为了保证信息安全,在系统规划的过程中从物理安全、系统安全、网络安全、应用安全、数据加密10个方面分别采用各种技术,来满足整个系统的安全。

1.物理安全:合理选择机房的位置,控制机房温度、湿度和环境清洁度满足设备运行要求,加强设备管理,供电系统稳定,做好接地与防雷,采用防静电地板,使服务器、客户机运行可靠,对媒体和存储设备加强管理,及时备份、对数据的转移和备份采取审核与登记管理制度。

2.系统安全:主要是针对操作系统安全和数据库系统安全,首先在系统选型中就采用运行稳定可靠的软件产品,加强管理系统拷贝、系统管理,选择,定期更新,及时补丁,定期优化与维护

3.网络安全:采用入侵检测实时监测网络中的不安全因素,通过VPN加密技术,确保在互联网上数据传输不泄密,对内部网和外部网之间采用网络隔离,采用访问控制技术,确保合法用户和非法用户的分类管理,保证各类系统和相关人员分别操作各自的系统,避免相互攻击,实时监测网络漏洞,对于发现的漏洞及时弥补。

4.应用安全:实际工作中,很多攻击都是来自邮件,在本系统中我们通过采用安全的邮件系统,通过对密码和口令严格配置,提高Email安全效果。另外黑客攻击很多通过Web来攻击,采用Web的安全协议,对Web的系统编码进行安全评估。通过在引用系统内容过滤,过滤病毒,过滤非法的言论等实现内容过滤。对采用的各种系统,采用常用访问控制、补丁升级和加密等技术保证应用系统安全。

5.数据加密:对于重要的数据采用加密保护,分别采用硬件加密和软件加密,两种加密技术相结合。

6.认证授权:项目中采用口令认证方式,每个操作人员和系统工程师以及相关的领导采用不同等级的授权与口令,而且对于口令的编码有一定的要求,对于关键的岗位要求口令的设置必须采用数字、字母与符号的组合,位数不少于11位,而且要求定期更新。对于非常关键的核心位置,采用证书认证的方式,确保系统安全。

7.访问控制:项目针对网络访问控制,采用网络防火墙与访问控制列表相结合的方式,提高访问控制的水平。对操作系统和数据库通过配置访问列表访问控制提高系统安全性。

8.审计跟踪:采用入侵检测实时的、全天候的检测攻击,并留下访问攻击的全部信息,提高安全事件的实时监测能力。各种网路设备和数据库系统中都具有日志功能,详细记录各种日志,作为安全事件的分析之用。制定了安全事件的应急机制,发生严重安全事故之后及时报案,辨析取证作为重要的跟踪依据,是公安人员的证据保护。实现对数据安全事件的事后跟踪,

9.网络防病毒:建立了单机防病毒与网络整体防病毒体系共同组成一个防病毒体系,在服务器、操作员站与笔记本上等单机设备上安装防病毒系统,及时对病毒数据库升级,定期对系统扫描。在网络上部署网络防病毒体系,防止木马和病毒的攻击,大大降低病毒爆发的概率。

10.灾难恢复与备份:为了保证出现问题后能够及时完成数据恢复,定期对数据进行备份,制定了详细的数据备份计划,每天备份数据一次,首先采用移动硬盘定期备份,然后再刻录在光盘上,并指定了存储的地点,专人负责管理。制定了灾难恢复计划和恢复的流程,指定了专门的人员,并实行了分工,并对相关人专门培训。

五、小结

系统建设完成后,以千兆工业以太环网为基础的矿井网络系统,相当于煤矿信息高速公路,在网络传输平台上,具备的多种接口,能够将各子系统的数据接入到网络上,实现各个子系统中生产设备状态的实时传输与远程控制,而且通过信息安全技术,使系统运行稳定可靠。

作者简介:

其它优质范文
友情链接
推荐阅读
推荐期刊