企业信息安全防护体系精选(五篇)
发布时间:2023-10-12 17:40:25
序言:作为思想的载体和知识的探索者,写作是一种独特的艺术,我们为您准备了不同风格的5篇企业信息安全防护体系,期待它们能激发您的灵感。
篇1
信息安全的总需求是边界安全、网络安全、主机安全、终端安全、应用安全和数据安全的最终目标,是确保信息机密性、完整性、可用性、可控性和抗抵赖性,以及企业对信息资源的控制[1]。2009年福建公司开展了等级保护工作,结合今年福建公司安全防护体系建设和等保测评成果,证明信息安全防护重点在于管理。现代企业管理实践也证明,任何工作均是3分技术,7分管理。电网企业信息安全工作也不例外,技术只是最基本的手段,规范、科学的管理才是发展根本的保障[2]。
2.1信息安全防护体系总体框架
在对多种信息安全防护体系进行研究分析后,参照ISO/27001信息安全管理标准,根据国家电网公司电网信息安全等级保护“双网双机、分区分域、等级防护、多层防御”原则,提出电网企业的信息安全防护体系框架。电网企业信息安全防护体系建设可从管理和技术层面进行[3]。该体系框架根据规划设计、开发测试、实施上线、运行维护、系统使用和废弃下线6个环节的信息系统生命周期特征制定全过程安全管理;从物理、边界、网络、主机、终端、应用、数据7个方面制定全方位的技术防护措施。
2.2信息安全防护管理体系设计
电网企业信息安全在信息系统建设、运行、维护、管理的全过程中,任何一个环节的疏漏均有可能给信息系统带来危害。根据信息系统全生命周期,从规划设计、开发测试、实施上线、运行维护、系统使用和废弃下线6个环节,设计覆盖信息安全管理、运行、监督、使用职责的安全管控流程[3-4]。
2.2.1网络与信息系统安全管理
网络与信息系统是企业现代化管理的重点。由于网络与信息系统的动态性、复杂性和脆弱性,建立健全的信息安全管理体系已成为了保障网络与信息系统安全的重要手段。网络与信息系统的安全管理依照国家电网公司制定的《国家电网公司信息网络运行管理规程(试行)》,遵循信息安全等级保护“双网双机、分区分域、等级防护、多层防御”的原则。
2.2.2人员安全管理与岗位职责管理
安全问题的特点为“3分技术、7分管理”,而管理的核心是人,对于人员安全管理与岗位职责管理其主要包含如下管理内容:(1)岗位职责。制定岗位责任书,明确各岗位信息安全责任。(2)持证上岗。安全工作人员持证上岗。(3)保密管理。与员工签订保密协议,并定期进行检查与考核。(4)安全培训。对员工进行定期安全培训。(5)离职管理。对离岗离职人员账号、权限及信息资产进行清理和移交。
2.2.3全过程安全管理
(1)系统规划设计安全管理的主要内容包括:1)分析和确认系统安全需求。2)确定系统安全保护等级并备案。3)制定安全防护方案并进行评审。(2)系统研发安全管理的主要内容包括:1)制订研发安全管理机制,确保开发全过程信息安全。2)加强开发环境安全管理,与实际运行环境及办公环境安全隔离。3)严格按照安全防护方案进行安全功能开发并定期进行审查。4)定期对研发单位环境和研发管理流程进行安全督查。(3)系统实施与上线安全管理的主要内容包括:1)严格按照设计方案对网络、主机、数据库、应用系统等进行安全配置。2)严格遵循各项操作规程,避免误操作。3)组织安全测评机构进行上线环境安全测评。4)及时对系统试运行期间发现的安全隐患进行整改。(4)系统运行维护安全管理的主要内容包括:1)遵循运维安全规程,执行各项运维操作。2)对系统安全运行状况进行实时监控,及时采取预警和应急处置措施。3)定期进行安全风险评估、等级保护测评与整改。4)建立系统漏洞补丁的安全测试、分发和安装管理机制。5)根据数据重要性进行数据备份,并定期进行恢复测试。(5)系统使用安全管理的主要内容包括:1)终端准入控制,对各种移动作业、采集、专控等终端进行安全测评。2)终端外联控制,禁止终端跨网络接入。3)系统账号和权限管理,对系统使用人员及其权限进行严格管理。4)终端使用管理,防止终端交叉使用、用户越权访问等。5)终端数据存储、处理时的安全保护。6)对移动存储介质的安全管理。7)终端维修管理,由运维机构统一处理。8)终端下线、报废时的安全管理,对终端数据进行安全处理。(6)系统废弃下线安全管理的主要内容包括:1)评估系统下线对其它系统的安全性影响,制定下线方案并进行评审。2)系统下线前对重要数据进行备份和迁移。3)系统下线后对不再使用的数据与存储介质进行销毁或安全处理。4)系统下线后及时进行备案。
2.2.4系统测试评估安全机制与评价考核
信息系统建成后必须经过试运行并对系统的安全性、可靠性和应急措施进行全面测试,测试和试运行通过后方可投入正式运行,信息安全风险评估包括资产评估、威胁评估、脆弱性评估、现有安全措施评估、风险计算和分析、风险决策和安全建议等评估内容。安全管理机制的主要内容包括:事件管理、安全督查、等保管理、备案管理,应急管理等。
3信息安全防护体系
电网企业信息安全防护体系的设计[5],主要从物理、边界、网络、主机、终端、应用、数据7个方面进行,遵循环境分离、安全分域、网络隔离、终端准入、补丁加固、数据分级、安全接入、基线配置、应用审计、密钥应用等技术原则,辅以相应的技术措施实现全面的安全防护[6]。
3.1物理安全
物理环境分为室内物理环境和室外物理环境,根据设备部署安装位置的不同,选择相应的防护措施。室内机房物理环境安全需满足对应信息系统安全等级的等级保护物理安全要求,室外设备物理安全需满足国家要求。具体安全措施如下:(1)机房分区、门禁等准入控制。(2)设备物理安全需满足国家对于防盗、电气、环境、噪音、电磁、机械结构、铭牌、防腐蚀、防火、防雷、电源等要求。(3)机柜/机箱应避免可能造成的人身安全隐患,符合安装设备的技术需求。(4)机柜/机箱外应设有警告标记,并能进行实时监控,在遭受破坏时能及时通知监控中心。(5)研发场所分离并采取准入控制
3.2边界安全
边界安全防护目标是使边界的内部不受来自外部的攻击,同时也用于防止恶意的内部人员跨越边界对外实施攻击,或外部人员通过开放接口、隐蔽通道进入内部网络;在发生安全事件前期能够通过对安全日志及入侵检测事件的分析发现攻击企图,安全事件发生后可以提供入侵事件记录以进行审计追踪。
3.3网络安全
网络环境安全防护的目标是防范恶意人员通过网络对网络设备和业务系统进行攻击和信息窃取,在安全事件发生前可以通过集中的日志审计、入侵检测事件分析等手段,以及对信息内外网网络、终端以及防护设备等安全状态的感知和监测,实现安全事件的提前预警;在安全事件发生后可以通过集中的事件审计系统及入侵检测系统进行事件追踪、事件源定位,及时制定相应的安全策略防止事件再次发生;并能实现事后审计,对恶意行为和操作的追查稽核、探测入侵、重建事件和系统条件,生成问题报告。
3.4主机安全
主机系统安全的目标是采用信息保障技术确保业务数据在进入、离开或驻留服务器时保持可用性、完整性和保密性,采用相应的身份认证、访问控制等手段阻止未授权访问,采用主机防火墙、入侵检测等技术确保主机系统的安全,进行事件日志审核以发现入侵企图,在安全事件发生后通过对事件日志的分析进行审计追踪,确认事件对主机的损害程度以进行后续处理。
3.5终端安全
终端安全防护目标是确保智能电网业务系统终端、信息内外网办公计算机终端以及接入信息内、外网的各种业务终端的安全。目前重点终端类型包括:(1)配电网子站终端。(2)信息内、外网办公计算机终端。(3)移动作业终端。(4)信息采集类终端。对于各种终端,需要根据具体终端的类型、应用环境以及通信方式等选择适宜的防护措施。
3.6应用安全
按照国家信息安全等级保护的要求,根据确定的等级,部署身份鉴别及访问控制、数据加密、应用安全加固、应用安全审计、剩余信息保护、抗抵赖、资源控制、等应用层安全防护措施。
3.7数据安全
对数据的安全防护分为数据的灾难恢复、域内数据接口安全防护和域间数据接口安全防护。域内数据接口是指数据交换发生在同一个安全域的内部,由于同一个安全域的不同应用系统之间需要通过网络共享数据,而设置的数据接口;域间数据接口是指发生在不同的安全域间,由于跨安全域的不同应用系统间需要交换数据而设置的数据接口。
4结束语
篇2
【关键词】电力企业;信息网络;安全体系
【中图分类号】TP309【文献标识码】A【文章编号】1672-5158(2013)07-0498-02
引言
随着电力企业不断发展,信息化已广泛应用于生产运营管理过程中的各个环节,信息化在为企业带来高效率的同时,也为企业带来了安全风险。一方面企业对信息化依赖性越来越强,尤其是生产监控信息系统及电力二次系统直接关系到电力安全生产;另一方面黑客技术发展迅速,今天行之有效的防火墙或隔离装置也许明天就可能出现漏洞。因此,建设信息安全防护体系建设工作是刻不容缓的。
1 信息安全防护体系的核心思想
电力企业信息安全防护体系的核心思想是“分级、分区、分域”(如图1所示)。分级是将各系统分别确定安全保护级别实现等级化防护;分区是将信息系统划分为生产控制大区和管理信息大区两个相对独立区进行安全防护;分域是依据系统级别及业务系统类型划分不同的安全域,实现不同安全域的独立化、差异化防护。
2 信息安全防护系统建设方针
2.1整体规划:在全面调研的基础上,分析信息安全的风险和差距,制订安全目标、安全策略,形成安全整体架构。
2.2分步实施:制定信息安全防护系统建设计划,分阶段组织项目实施。
2.3分级分区分域:根据信息系统的重要程度,确定该系统的安全等级,省级公司的信息系统分为二级和三级系统;根据生产控制大区和管理信息大区,划分为控制区(安全I区)、非控制区(安全II区)、管理信息大区(III区);依据业务系统类型进行安全域划分,二级系统统一成域,三级系统独立成域。
2.4等级防护:按照国家和电力行业等级保护基本要求,进行安全防护措施设计,合理分配资源,做好重点保护和适度保护。
2.5多层防御:在分域防护的基础上,将各安全域的信息系统划分为边界、网络、主机、应用、数据层面进行安全防护设计,以实现纵深防御。
2.6持续改进:定期对信息系统进行安全检测,发现潜在的问题和系统可能的脆弱性并进行修正;检查防护系统的运行及安全审计日志,通过策略调整及时防患于未然;定期对信息系统进行安全风险评估,修补安全漏洞、改进安全防护体系。
3 信息安全防护体系建设探索
一个有效的信息安全体系是在信息安全管理、信息安全技术、信息安全运行的整体保障下,构建起来并发挥作用的。
3.1 建立信息安全管理体系
安全管理体系是整个信息安全防护体系的基石,它包括安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理五个方面,信息安全组织机构的建立尤为重要。
3.1.1建立信息安全管理小组
建立具有管理权的信息安全小组,负责整体信息安全管理工作,审批信息安全方针,分配安全管理职责,支持和推动组织内部信息安全工作的实施,对信息安全重大事项进行决策。处置信息安全事件,对安全管理体系进行评审。
3.1.2分配管理者权限
按照管理者的责、权、利一致的原则,对信息管理人员作级别上的限制;根据管理者的角色分配权限,实现特权用户的权限分离。对工作调动和离职人员及时调整授权,根据管理职责确定使用对象,明确某一设备配置、使用、授权信息的划分,制订相应管理制度。
3.1.3职责明确,层层把关
制订操作规程要根据职责分离和多人负责的原则各负其责,不能超越自己的管辖范围。系统维护时要经信息管理部门审批,有信息安全管理员在场,对故障原因、维护内容和维护前后情况做详细记录。
(1)多人负责制度 每一项与安全有关的活动必须有2人以上在场,签署工作情况记录,以证明安全工作已得到保障。
(2)重要岗位定期轮换制度 应建立重要岗位应定期轮换制度,在工作交接期间必须更换口令,重要技术文件或数据必须移交清楚,明确泄密责任。
(3)在信息管理中实行问责制,各信息系统专人专管。
3.1.5系统应急处理
制定信息安全应急响应管理办法,按照严重性和紧急程度及危害影响的大小来确定全事件的等级,采取措施,防止破坏的蔓延与扩展,使危害降到最低,通过对事件或行为的分析结果,查找事件根源,彻底消除安全隐患。
3.2 建立信息安全技术策略
3.2.1物理安全策略
物理安全策略的目的是保护计算机系统、网络服务器等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击;确保计算机系统有一个良好的工作环境;防止非法进入机房和各种偷窃、破坏活动的发生,抑制和防止电磁泄露等采取的安全措施。
3.2.2 网络安全策略
网络安全防护措施主要包括以下几种类型:
(1)防火墙技术。通过防火墙配置,控制内部和外部网络的访问策略,结合上网行为管理,监控网络流量分配,对于重要数据实行加密传输或加密处理,使只有拥有密钥的授权人才能解密获取信息,保证信息在传输过程中的安全。
(2)防病毒技术。根据有关资料统计,对电力信息网络和二次系统的威胁除了黑客以外,很大程度上是计算机病毒造成的。当今计算机病毒技术发展迅速,对计算机网络和信息系统造成很大的损害。采用有效的防病毒软件、恶意代码防护软件,保障升级和更新的时效性,是行之有效的措施。
(3)安全检测系统。通过专用工具,定期查找各种漏洞,监控网络的运行状况。在电力二次系统之间安装IDS入侵检测软件等,确保对网络非法访问、入侵行为做到及时报警,防止非法入侵。
3.2.3安全策略管理
对建的电力二次系统必须在建设过程中进行安全风险评估,并根据评估结果制定安全策略;对已投运且已建立安全体系的系统定期进行漏洞扫描,以便及时发现系统的安全漏洞;定期分析本系统的安全风险,分析当前黑客非法入侵的特点,及时调整安全策略。
3.2.4 数据库的安全策略
数据库的安全策略包括安全管理策略、访问控制策略和信息控制策略。但数据库的安全问题最主要的仍是访问控制策略。就访问控制策略分类而言,它可以分为以下几种策略。
(1) 最小特权策略: 是让用户可以合法的存取或修改数据库的前提下,分配最小的特权,使得这些权限恰好可以让用户完成自己的工作,其余的权利一律不给。
(2) 数据库加密策略: 数据加密是保护数据在存储和传递过程中不被窃取或修改的有效手段。
(3)数据库备份策略:就是保证在数据库系统出故障时,能够将数据库系统还原到正常状态。
(4)审计追踪策略:是指系统设置相应的日志记录,特别是对数据更新、删除、修改的记录,以便日后查证。
篇3
关键词:信息安全;体系架构;授权访问;安全控制;异常监控
1概述
随着信息化建设的快速发展,信息技术创新影响着人们的工作方式和生活习惯,网络已成为信息传播和知识共享的载体,提高了工作效率,促进了社会的发展和进步,但由于网络环境的复杂性、多变性以及信息系统的脆弱性,决定了信息安全威胁的客观存在。近年来,国内国外信息安全的事件层出不穷,计算机病毒和木马仍然是最大的安全威胁,假冒用户和主机身份进行不法活动或实施攻击的现象逐渐增多,SQL注入、数据监听、缓冲区溢出攻击依然盛行,网络钓鱼和网络欺诈日益严重,敏感数据外泄和盗取事件频频发生,信息安全形势日趋严峻。因此,如何建立多层次的信息安全防护体系,如何保证企业信息安全,已成为各企业必须面对的重要问题。
2体系架构总体设计
针对企业中桌面计算机数量庞大、应用系统平台多样化、互联网业务应用急剧增长,不合规计算机接入内网、互联网违规访问、系统账户盗用等行为无法管控,网络黑客人侵、病毒木马感染、信息数据窃取等问题,通过大量的分析调研,确定企业级的信息安全防护体系应采用C/S和B/S相结合的多层架构设计,同时选择成熟主流的安全产品,统一规划设计桌面安全管理、身份管理与认证、网络安全域戈0分等功能系统,规范信息系统安全防护和审计标准,最大程度保证信息资源的可用性和安全性。
2.1桌面安全管理系统设计
桌面计算机是产生和存放重要信息的源头,但桌面计算机往往是信息安全事件中最薄弱的环节,因此,为切实保证企业信息业务正常开展,保障个人信息数据安全,建立先进实用的桌面安全管理系统十分必要。该系统主要包括安全防范和后台安全管理两个模块。
2.1.1安全防范功能模块
安全防范功能模块可对特洛伊木马、蠕虫等制定主动检查和清除的策略,查杀策略应定义为“隔离”;对于恶意商业应用程序,由于这类软件只是一些广告类的恶意重新,终止进程就可以解决问题的,安全风险程度不是很高,所以将查杀策略定义为“终止”。该模块提供入侵防护功能、启用拒绝服务检测功能、启用端口扫描检测功能,以及自动禁止攻击者的IP时间限定为600秒,避免出现由于大量攻击行为而消耗计算机性能和网络带宽的情况发生,提高桌面计算机抵御恶意攻击的能力。
2.1.2后台管理模块
区域管理器是后台管理功能模块重要组件,通过配置计算机IP范围、区域管理器参数、设备扫描器参数,可对安装探头程序的桌面计算机进行管理。实现桌面计算机配置管理、安全审计及报警管理、电子文档保护等功能。
2.2身份管理与认证系统设计
当前应用系统已成为企业开展各项日常业务的重要平台,但由于这些应用系统登录方式不统一、安全认证模式多样、部分系统密码强度不足等情况,严重影响企业信息数据的安全性和保密性,因此建立身份管理与认证系统,可以从根本上实现用户身份认证,保证系统访问的安全性。身份管理与认证系统由集中身份管理、统一认证和公共密钥基础设施三个模块组成。
2.2.1集中身份管理模块
集中身份管理模块通过对用户身份信息的获取、映射、同步、核对等方式,对应用系统中的用户身份信息进行汇总与清理,建立统一的用户身份视图,实现用户实体与用户身份信息的唯一对应。集中身份管理模块固化对用户身份的集中管理流程,包括与用户身份管理相关的审批与操作流程。在对集中身份管理模块的功能细化并进行归类,从而设计出集中身份管理的功能模型,如图1所示。
2.2.2统一认证模块
统一认证模块支持用户身份的强认证,可对获取权威的身份鉴别信息进行身份认证,包括用户口令、用户数字证书、数字证书撤销列表等。通过对信息系统一般的身份认证流程进行分析,可以得到统一认证采用的身份信息和鉴别信息都来自于信息系统本身(或分散的目录服务)。
2.2.3公共密钥基础设施模块
公共密钥基础设施系统(PKI)由认证中心(CA)、密钥管理中心(KMC)和证书注册中心(RA)等三部分组成。认证中心采用商密SRQ-14数字证书认证产品和商密SJY-63密钥管理产品,并可提供可信的第三方担保功能,认证中心支持颁发证书、更新证书、撤销证书等操作。密钥管理中心存储着所有用户的证书密钥信息,利用PMI技术保证密钥信息数据的安全。证书注册中心可为用户提供数字证书申请的注册受理,用户身份信息的审核,用户数字证书的申请与下载,用户数字证书的撤销与更新等服务。
2.3网络安全域系统设计
前大部分企业的内部网络中均包含有非业务性质网络,且网络行为不受限,对内部应用系统的安全构成严重威胁。为构建安全可靠网络架构,通过划分网络安全域,提高整体网络的安全性。网络安全域设计应包括互联网与企业网之间、企业办公网与生产网之间、关键应用系统与普通应用系统之间等三个层次的安全防护。本着“先边界安全加固,后深入内部防护”的指导思想,本文仅对互联网与企业网之间的安全域进行研究和探索,如图2所示。
2.3.1安全防护模块
安全防护设备包括边界防火墙、核心防火墙和入侵检测设备,主要是通过检测过滤网络上的数据包,保证内部网络的安全。防火墙可以位于两个或者多个网络之间,是实施网络之间访问控制的一组组件的集合,通过制定安全策略后防火墙能够限制被保护的内部网络与外部网络之间的信息访问与交换。入侵检测设备是防火墙的合理补充,一般该设备部署在内部网络边界。
2.3.2行为审计模块
行为审计模块可以提供网页过滤技术、应用控制技术、外发信息审计技术等,可有效防止机密信息的外泄,避免不良信息的扩散,提高员工的工作效率,保障网络资源合理使用,提高网络可管理性。
2.3.3日志分析模块
日志分析模块基于Syslog标准协议,可以对不同设备、主机、应用系统进行日志综合分析和集中展现;实现对报警信息的灵活配置和管理,同时提供灵活的报警规则配置、实时报警和历史报警信息的综合管理;基于设备、报警类别、日期等因素进行组合统计和报表,为管理人员提供直观的统计信息和报表信息。
3关键技术
3.1准入控制技术
建立具有结构化、层次化的准入控制体系,针对计算机违规行为下发阻断策略,确保接入内网的计算机符合企业信息安全方面的规定。主要方法共有两种,一种是在互联网出口处部署端点准人设备,强制所有接人互联网桌面计算机安装桌面安全软件,另一种是使用虚拟隔离技术,制定访问控制策略,针对不合规的桌面计算机下发阻断策略,保证内部网络安全。
3.2主动安全防范技术
主动安全防范技术包括病毒木马探测和数字证书认证等,病毒木马探测技术能够强化桌面计算机实时防护功能,主动拦截病毒木马,防范日常攻击和未知安全威胁;数字证书认证技术能够实现USBkey证书和Pin口令的双因素认证方式,可以解决账号权限安全管理问题。
4应用效果
在某企业部署的信息安全防御体系应用效果良好。累计查杀新型网络病毒木马560多万个;强认证登录100多万次;抵御外部攻击600多万次,阻止访问木马钓鱼网站5万余次。
篇4
[关键词]电力企业;电力信息;安全防护
引言
电力企业的信息安全日益重要,人们的关注度增加,相关单位也应该对于信息方面的进行大量的投资,进行技术上的研究及更新,这样才能提高信息安全的防护功能。笔者整理了一些与信息安全问题有关的问题,希望可以保障信息网络和数据安全问题。
一、软件方面建设
1、统一部署防病毒软件
众所周知,网络是病毒传播的最佳途径之一。病毒网上都可以随意下载,可者直接购买等,一旦有人蓄意把网络病毒传如系统内部网之中,那么就会造成严重的后果,信息有可能会被窃取,或者高备受到破坏。网络还是一个神奇的快速传播病毒的设备,只要主机上被病毒感染,那么其它网络设备也一样受到病毒的传染,而且这种速度非常之快,也许只有几秒钟的时间,为此,如何进行防毒是非常重要的。首先防毒软件要及时安装,运维人员要随时检测,同时软件要随时升级,设定自动定时扫描,做到随时监控,这样才能有效的杜绝的病毒的侵害,对于信息系统的安全性才能更好的进行防护。
2、部署桌面安全管理系统
安全管理中心策略控制是桌面安全管理系统的核心环节,终端安全才能持续操作下去,对于Windows系列操作系统要有一个全新的理解,对于如何进行安全防护也要做到安全措施,这样才能减少各类风险,下面我们来了解一下安装桌面终端的主要功能有哪些?(1)系统补丁管理是非常重要的环节,可以自动下载,也可以自动修补漏洞,同时还可以杜绝病毒的侵袭,各类够交黑客的攻击等等。(2)安装安全威胁分析,从而让计算机可以智能化的进行系统威胁在哪里,从而进行清除,对于电脑的固定配置的软件也可以进行安全问题的处理,或者给出相应的安全处理办法。(3)企业可以通过计算机进行资产管理。这种管理处于在线管理模式,不仅可以扫描电脑,配置情况,软件情况,同时还可以对具体的产品厂家、型号等进行系统的了解,通过不同的分类,从而达到高效的统筹统计数据。
3、移动储存介质管理系统需要全面处理
随着科技的发展,各类存储硬盘开始向高内存发展,不仅体积小,携带便捷,而且存储量大,越是这样,这样的存储硬盘越难管理。虽然特别便利,但是存在的风险也十分大,因为零部件是微小的,所以清扫病毒的过程有些慢,所以在这个时候一旦在外使用,或者使用不当,就会受到木马等病毒的够交攻击,这样造成的损失是巨大,一旦拿回企业系统中使用,势必会有泄漏企业信息风险。
二、硬件方面建设
1、安装入侵检测设备
网络的入侵检测系统设备的安装,对于管理员随时观测网络安全问题很有帮助,一旦出现问题,就会显示出来,并且对于用户使用外网的数量也会有一个具体的数量,并且可以随时查出网络接入平台是否被其它人随意使用,一旦出现病毒,该系统就可以快速的查出是一部电脑出现了问题,这样就可以快速的解决病毒问题。
2、配置冗余核心交换机等设备安装的重要性
冗余核心交换机的安装,可以有效的解决断电问题,一旦某一条线路发生情况,那么另一条就可以接续工作,不会影响到企业网络全面停电现象,这样也不会对电力企业的发展造成恶劣的影响。重要的设备配置UPS,采用双电源供电,等等设备都要处理好安全问题,以及设备是否可以正常运行的问题,那么也不会因此停电。主干线路采用双链路,这样可以有效的预防某一条线路出现故障时,另一条线路就可以及时代替运作,这样就可以减少电力信息系统断电的问题。
3、运维人员综合素质的提升
运维人员不仅是信息的维护者,更是信息系统可以正常运行的维护者,运维人员一定要做好自己的本分工作,一定要肩负起责任的重要性,同时为了更好的与时俱进,运维人员要保持不断学习新知识的积极态度,只有这样才能更好的进行本职工作。特别是对信息技术的学习是非常重要的,同时也要与同行多交流,提高技术的见识度,这样才能为企业信息系统的安全做出应有的贡献。
三、信息安全管制度的建立与完善
技术是不断更新变化的过程,再好的技术,如果管理不当,那么也会被各种因素而破坏掉,为此,信息技术一定要做管理。而管理是需要人来做的,那么在进行管理的时候,首先要对技术管理人员做好基本工作常识培训,并且对于信息安全管理法则有充分的了解。当然,对于管理人员要时刻做好信息安全教育工作,提高安全教育的意识,提高信息安全教育的重要性等各个方面的学习。(1)在企业职工中进行计算机安全意识常识培训,对于移动硬盘要随时进行杀毒处理,企业移动硬盘在其它地方使用之后,一定要处理好杀毒清理步骤,手机联人内网计算机也要时刻注意信息安全问题,同时信息人员要对计算机基本情况进行核实,目的就是为确保终端用户计算机安全的使用,这样才能让网络信息时代可以用户安全上网。(2)应在各个部分安排信息员,对工作人员进行专业的培训,对信息系统进行随时观测,以免得出现安全漏洞。(3)制定《信息安全管理规定》,与信息安全相关的各项制度,并以此为标准进行公司员工的考核评估标准,一旦违反以上的规定,必须要按标准进行严格的处罚,这样才能使得管理行之有效。
四、结束语
电力企业需要在信息安全的基础之下才能长治久安,正是因为如此,信息安全日益受到关注,不仅投入了大量的资金进行技术更新,还投入了大量的人力物力,希望可以让电力事业可以在更安全的基础之下发展,不仅如此,电力企业的各层领导不仅要从思想上提高安全意识,在行动上也要全面跟进。只有信息安全体系得以保障才能更好的失去电力企业的全面发展。
参考文献
[1]为创建一流的股份制供电企业而努力奋斗[J].农电管理,2013(01)
篇5
[关键词]信息安全;管理;控制;构建
中图分类号:X922;F272 文献标识码:A 文章编号:1009-914X(2015)42-0081-01
1 企业信息安全的现状
随着企业信息化水平的提升,大多数企业在信息安全建设上逐步添加了上网行为管理、内网安全管理等新的安全设备,但信息安全防护理念还停留在防的阶段,信息安全策略都是在安全事件发生后再补救,导致了企业信息防范的主动性和意识不高,信息安全防护水平已经越来越不适应当今企业IT运维环境和企业发展的需求。
2 企业信息系统安全防护的构建原则
企业信息化安全建设的目标是在保障企业数字化成果的安全性和可靠性。在构建企业信息安全体系时应该遵循以下几个原则:
2.1 建立企业完善的信息化安全管理体系
企业信息安全管理体系首先要建立完善的组织架构、制定信息安全管理规范,来保障信息安全制度的落实以及企业信息化安全体系的不断完善。基本企业信息安全管理过程包括:分析企业数字化资产评估和风险分析、规划信息系统动态安全模型、建立可靠严谨的执行策略、选用安全可靠的的防护产品等。
2.2 提高企业员工自身的信息安全防范意识
在企业信息化系统安全管理中,防护设备和防护策略只是其中的一部分,企业员工的行为也是维护企业数字化成果不可忽略的组成。所以企业在实施信息化安全管理时,绝对不能忽视对人的行为规范和绩效管理。在企业实施企业信息安全前,应制定企业员工信息安全行为规范,有效地实现企业信息系统和数字化成果的安全、可靠、稳定运行,保证企业信息安全。其次阶段递进的培训信息安全人才也是保障企业数字化成果的重要措施。企业对员工进行逐次的安全培训,强化企业员工对信息安全的概念,提升员工的安全意识。使员工的行为符合整个企业信息安全的防范要求。
2.3 及时优化更新企业信息安全防护技术
当企业对自身信息安全做出了一套整体完善的防护规划时,就应当考虑采用何种安全防护技术来支撑整个信息安全防护体系。对于安全防护技术来说可以分为身份识别、网络隔离、网络安全扫描、实时监控与入侵发现、安全备份恢复等。比如身份识别的目的在于防止非企业人员访问企业资源,并且可以根据员工级别分配人员访问权限,达到企业敏感信息的安全保障。
3 企业信息安全体系部署的建议
根据企业信息安全建设架构,在满足终端安全、网络安全、应用安全、数据安全等安全防护体系时,我们需要重点关注以下几个方面:
3.1 实施终端安全,规范终端用户行为
在企业信息安全事件中,数字化成果泄漏是属于危害最为严重的一种行为。企业信息安全体系建立前,企业员工对自己的个人行为不规范,造成了员工可以通过很多方式实现信息外漏。比如通过U盘等存储介质拷贝或者通过聊天软件传递企业的核心数字化成果。对于这类高危的行为,我们在建设安全防护体系时,仅仅靠上网行为管理控制是不能完全杜绝的。应该当用户接入企业信息化平台前,就对用户的终端系统进行安全规范检查,符合企业制定的终端安全要求后再接入企业内网。同时配合上网行为管理的策略对员工的上网行为进行审计,使得企业员工的操作行为符合企业制定的上网行为规范,从终端用户提升企业的防护水平。
3.2 建设安全完善的VPN接入平台
企业在信息化建设中,考虑总部和分支机构的信息化需要,必然会采用VPN方式来解决企业的需求。不论是采用SSL VPN还是IPSecVPN,VPN加密传输都是通用的选择。对于分支机构可以考虑专用的VPN设备和总部进行IPSec连接,这种方式更安全可靠稳定。对于移动终端的接入可以考虑SSL VPN方式。在这种情况下,就必须做好对于移动终端的身份认证识别。其实我们在设备采购时,可以要求设备商做好多种接入方式的需求,并且帮助企业搭建认证方式。这将有利于企业日常维护,提升企业信息系统的VPN接入水平。
3.3 优化企业网络的隔离性和控制性
在规划企业网络安全边际时,要面对多个部门和分支结构,合理的规划安全网络边际将是关键。企业的网络体系可以分为:物理层;数据链路层;网络层;传输层;会话层;表示层;应用层。各体系之间的相互隔离和访问策略是防止企业信息安全风险的重要环节。在企业多样化网络环境的背景下,根据企业安全优先级及面临的风险程度,做出适合企业信息安全的防护策略和访问控制策略。根据相应防护设备进行深层次的安全防护,真正实现OSI的L2~L7层的安全防护。
3.4 实现企业信息安全防护体系的统一管理
为企业信息安全构建统一的安全防护体系,重要的优势就是能实现对全网安全设备及安全事件的统一管理,做到对整个网络安全事件的“可视、可控和可管”。企业采购的各种安全设备工作时会产生大量的安全日志,如果单靠相关人员的识别日志既费时效率又低。而且不同安全厂商的日志报表还存在很大差异。所以当安全事件发生时,企业管理员很难实现对信息安全的统一分析和管理。所以在企业在构建信息安全体系时,就必须要考虑安全设备日志之间的统一化,设定相应的访问控制和安全策略实现日志的归类分析。这样才能做到对全网安全事件的“可视、可控和可管”。
4 结束语
信息安全的主要内容就是保护企业的数字化成果的安全和完整。企业在实施信息安全防护过程中是一个长期的持续的工作。我们需要在前期做好详尽的安全防护规划,实施过程中根据不断出现的情况及时调整安全策略和访问控制,保证备份数据的安全性可靠性。同时全体企业员工一起遵守企业制定的信息安全防护管理规定,这样才能为企业的信息安全提供生命力和主动性,真正为企业的核心业务提供安全保障。
参考文献
[1] 段永红.如何构建企业信息安全体系[J]. 科技视界,2012,16:179-180.
[2] 于雷.企业信息安全体系构建[J].科技与企业,2011,08:69.
[3] 彭佩,张婕,李红梅. 企业信息安全立体防护体系构建及运行[J].现代电子技术,2014,12:42-45+48.
[4] 刘小发,李良,严海涛.基于企业网络的信息安全体系构建策略探讨[J]. 邮电设计技术,2013,12:25-28.
[5] 白雪祺,张锐锋. 浅析企业信息系统安全体系建设[J].管理观察,2014,27:81-83.
