发布时间:2023-10-10 17:15:50
导语:想要提升您的写作水平,创作出令人难忘的文章?我们精心为您整理的13篇企业信息安全措施范例,将为您的写作提供有力的支持和灵感!
1企业信息化建设集成的重要性
首先,在企业管理上具有重要现实意义。在企业的经营和发展过程中经营的业务越来越多,区域越来越广泛,导致企业管理任务越来越复杂和多样,企业内部的组织结构和流程控制体系越来越完善,这都是因为信息化建设集成发挥了重要作用,其还促进管理服务和观念朝着信息化的方向发展。其次,企业信息化建设符合时展的潮流。如果想让集成化效率达到最高水平,就需要对传统的管理模式进行创新和发展,避免在集成化效率提高的同时带来一些严重的问题和风险,例如:现场安全管理和对管理人员的裁减等,企业必须在网络信息技术和计算机技术发展飞速的今天,对内部管理体系进行创新和改革,挖掘各组织和员工内在潜能和上升空间,在激烈的市场竞争中提升企业自身的活力与优势,从而将企业的经济收益上升到最高峰。第三,信息化建设集成具有自身独特的优势。大型公司集团会运用最新的互联网数据和先进的计算机技术创建一个管理信息平台,通过这个平台将在生产和管理方面的数据信息进行共享和联动,利用相关软件和系统将公司管理朝着集成化、信息化方向发展,有效地为公司的管理层提供决策理论支持,避免公司集团内部组织结构和人员冗杂,有效提高运营各环节的工作效率,以提供高质量、高效的服务。
2企业信息化建设集成中存在的网络安全问题
在利用现代网络信息平台对企业相关数据进行优化整合时,网络安全方面还存在一定的问题,企业相关信息和资料很容易受到网络攻击,系统很容易被黑客入侵,导致数据和信息被窃取或者丢失,这些问题都不利于企业的现代信息化建设集成和正常的运营发展。从外部环境来看,日益竞争的市场环境是造成网络安全管理的大环境因素,随着时代快速的发展和科学技术的进步,一些不法分子会利用黑客技术和网络病毒窃取企业内部的数据资料,并通过出售来牟取巨额利润,这种情况若得不到有效控制和整改,会导致企业网络安全环境日益恶化。其次,从企业的内部因素出发,企业信息化建设集成出现网络安全问题是因为企业自身没具备成熟的网络信息安全理念,没有采取相关的措施保证自身的网络信息安全,所以企业相关意识的缺乏使黑客有机可乘,他们简单操作就能获得企业内部的数据信息。总之,缺乏一定的网络信息防护手段和对员工的网络信息安全培训,会导致企业在信息化建设集成中受到更大的网络信息安全威胁。
3保障企业信息化建设集成中网络安全的措施
3.1创建企业信息安全标准
针对企业信息化建设集成中可能会出现的病毒入侵、非法访问和信息窃取等问题,笔者提出了一些加强网络安全的措施。首先,要建设一个信息化安全相关标准。当企业应用现代计算机网络技术,尤其是计算机集成制造系统时,要创建一个高效、高质量的企业信息化机制和信息安全标准,保证所有信息工作都具备标准流程,例如:我国现已存在的信息安全管理度量机制和测量措施,能够促使企业在运用网络信息平台时,提高自身的信息管理水平,从而保证企业在日常运用中能够顺利、安全地开展相关信息交流和信息传递工作。
3.2运用先进的网络安全技术
要引入现代网络安全技术,包括防火墙技术、入侵检测技术信息加密技术、访问控制技术等。防火墙技术是指将计算机与外部建立一道隔墙,防火墙技术包括网络级防火墙与应用级防火墙两种,网络级能够有效防止网络中的非法入侵,应用级防火墙技术是全方位地防护相关应用程序,使用起来比较简单还能够有效防止病毒入侵和非法访问。两者的防护能力与防护范围不同,因此在使用过程中需要将两者融合发挥作用,在动态防护、屏蔽路由和包过滤的基础上,更好地发挥防火墙防护技术。入侵检测技术是一种辨别网络系统的使用是否是恶意行为的技术,其在动态中对网络进行相关检测,及时发现非法访问行为和未授权的活动并反映给计算机用户,将软件与硬件融合起来共同对数据进行分析和作用,在琐碎和繁杂的数据处理方面不再需要人工操作,减少人力和资源的浪费和管理成本。但从整体来看,效果不如防火墙技术,也不能够完全代替防火墙技术。信息加密技术包括对称加密与非对成加密两种,且随着时代的发展不断优化升级。该技术主要是为了避免数据被非法窃取,对相关重要的信息资料进行加密处理,降低数据资料丢失和泄露的概率,从而在数据传递和资料存储中保证数据资料的完整性和安全性。访问控制技术是指通过检测访问者的信息在网络中保证网络资源的安全,包括高层和底层访问控制两种访问模式,前者是检测资源种类、用户权限和用户口令,后者是指通过通信协议中的信息判断访问者是否合法,并作出相关反应。
3.3提高企业网络安全管理水平
现代化企业集团在发展信息化建设集成过程中还存在很多网络安全隐患,但是传统管理模式已经明显不适用于目前的发展情况,网络安全受到了更大的威胁,造成的经济损失也较多,所以必须提高企业的网络安全管理水平。首先,要提高企业网络信息化系统管理水平和管理效率,要让企业内部包括员工和管理层都建立起网络安全管理的观念,创建一个成熟、完善的网络安全管理平台,树立现代化的网络安全管理意识,从而能够及时解决企业运营和发展过程中存在的问题,将企业发展中重要的资料信息利用网络技术实行集中性存储。另外,要对所有员工进行网络安全培训和再教育,提高员工的综合素质水平,以规范员工对信息化系统的具体操作,将企业重要数据信息进行加密处理和备份处理,企业要营造一个安全、稳定的网络安全环境,防止网络病毒和黑客的入侵。其次,企业要使用有效、实用的安全防护软件,例如,目前市场上的金山毒霸、360杀毒软件都得到了广泛运用,企业要根据自身具体情况选择一个有效的防护软件抵制外部非法入侵,设置好相关的安全管理权限,创建一个完善、严密、分层的安全管理权限体系,在用户登录和用户访问环节都要设置权限和密码,从而保证企业的信息安全。最后,要对企业信息化建设集成中的防火墙系统和访问控制模式进行完善的配置,安排一个较为专业的访问控制模式,避免网络环境中出现各种意外或者病毒入侵的情况,保证企业内部局域网络信息的安全,选择信息隐藏模式提高网络信息安全性。这种信息隐藏模式一般是运用高效的编码将数据修改方法嵌入,包括扩频嵌入和矩阵编码,将编码过程变得更加专业和复杂,网络黑客一般破译不了,有利于企业抵御网络黑客入侵和系统漏洞,保证企业信息化建设集成的健康发展,提高企业的经济收益。
4运用虚拟化的云计算平台创建相关安全机制
在运用虚拟化的云计算平台时,要具备更加安全和稳定的机制和系统,如行为约束机制、CHAOS系统和Shepherd系统,及时监控计算机中的相关进程、避免用户错误操作,防止非法进程对云计算平台的破坏,将异常进程进行数据安全隔离,从而保证企业信息化建设集成中的网络安全。
主要参考文献
随着企业信息化发展的强烈需要,企业开发及应用管理信息系统MIS(Management Information System)成为一种必然选择,企业信息安全事件的发生率也开始呈现出大幅度增长的态势。如何更有效地保护和管理自身的信息资产,如何保证和加强企业MIS的安全,已成为企业亟待解决的课题。
一、MIS存在的安全问题
(一)安全意识薄弱
在MIS的开发与应用过程中,经常出现领导部门对制定一个统一的信息安全系列标准不够重视,对指导MIS的管理和应用不够关心;各子系统管理人员没有管好自己的用户名和口令,外泄或借与他人使用;不重视MIS的硬件部分、软件部分、环境因素等现象,对于安全防范存在一种惰性和漠视,安全意识薄弱。
(二)投入经费不足
由于安全意识薄弱,企业往往对MIS安全经费投入不足,致使企业在应用MIS过程中,经常出现使用各种盗版软件,不能安装专业防火墙等现象。使得Intemet网上用户对MIS服务器可以直接攻击,外界病毒易于感染MIS服务器等现象,导致企业MIS安全问题频发。给企业带来巨大的经济损失。
(三)技术力量匮乏
信息安全从业人员不只纵向上要对各项工作有精深的理解,横向上还需要对信息系统的整体逻辑乃至企业的业务逻辑有丰富的认知,特别是在经验上往往有相当高的要求,这从很大程度上造成了企业很难具备足够的技术力量来保障信息安全设施的运转。
二、开发过程中的安全措施
管理信息系统作为一个庞大、复杂而严密的系统,在整个开发过程中需要投入大量的人力、物力和财力,系统的安全性往往被放在首要的位置,成为系统生存的关键因素。
(一)权限设计
根据对操作系统的用户、用户组及其访问权限作严格的规定,在数据表设计时将权限分为三类:数据库登录权限类、资源管理权限类和数据库管理员权限类。具有数据库登录权限的用户能进入数据库管理系统,使用数据库。具有资源管理权限的用户,除了拥有上一类用户权限外,可以在权限允许的范围内修改、查询数据库。具有数据库管理员权限的用户将具有数据库管理的一切权限,包括访问任何用户的任何数据,授予(或回收)用户的各种权限,完成数据库的备份、装入以及进行审计等工作。
(二)数据加密
数据加密技术是在发送方将要发送的保密信息进行加密处理,而在接收方通过特定的算法将收到的信息进行解密。在加密过程中使用加密函数和密钥生成密文数据后,传送出去。传送过程中即使有人得到了密文数据,知晓了加密函数或是解密函数是没有用的,没有密钥,依旧无法根据密文数据推算出明文数据,这就保证了数据的机密性。数据加、解密过程如下图1所示。
(三)数据认证 MIS的信息传送或存储还可以采用数据认证技术(如数字签名技术、Hash技术等)。数据认证技术是确保信息的真实性和完整性的一种技术,是解决网络通信中发生否认、伪造、冒充、篡改等问题的安全技术,主要包括接收者能够核实发送者对报文的签名、发送者事后不能抵赖对报文的签名、接收者不能伪造对报文的签名等方面。
(四)密钥管理
一个密码系统的安全性取决于对关键信息即密钥的保护。密钥的保密和安全管理在数据安全系统中是极为重要的。在/diS中,可以采用证书机构(CA)来管理密钥。CA(cerfificateAuthority)保证颁发的数字证书的有效性,由它负责注册证书,分发证书以及当证书过期时宣布不再有效,因此可以保护密钥。
三、实施过程中安全措施
不管企业MIS采用C/S结构还是B/S结构,在实施过程中必须与Internet连接。在具体实施中应从企业网络内部、企业网络与Intemet的连接出口方面加强安全措施:
(一)企业局域网安全措施
1 局域网节点安全措施
在企业局域网应用中,只要在接人局域网上的任一节点进行侦听,就可以捕获发生在这个局域网上的所有数据包,从而窃取关键信息,这就是局域网固有的安全隐患。为了解决这个问题,可以采取以下措施:
(1)分段策略
分段策略包括物理分段和逻辑分段两种方式。物理分段是从物理层和数据链路层把网络分成若干网段,各网段无法直接通信;逻辑分段是在网络层根据IP地址将网络分成若干子网,各子网借助网关自身安全机制来控制各子网的相关访问。因此应综合应用物理分段与逻辑分段两种方法,将非法用户与敏感的网络资源相互隔离,从而防止可能的非法侦听。
(2)交换式集线器策略
由于部分网络最终用户的接入是通过分支集线器而不是交换机,当用户与主机进行数据通信时,两台机器之间的数据包会被同一台集线器上的其他用户所侦听。因此,应该以交换式集线器代替共享式集线器,使单播包仅在两个节点之间传送,从而防止非法侦听。
(3)VLAN(虚拟局域网)策略
在集中式网络环境下,将中心的所有主机系统集中到一个VLAN里,不允许任何用户节点接人,从而较好地保护敏感的主机资源。在分布式网络环境下,MIS应按机构或部门的设置来划分VLAN,各部门内部的所有服务器和用户节点都在各自的VLAN内,互不侵扰。
2 局域网服务器安全措施
在局域网的服务器中。由于存在着大量的数据库实体及拥有不同操作权限的用户,用户可对数据库实体进行任意操作。针对这些严重的安全漏洞,可以采取如下安全措施:
(1)两级登录机制
为每个数据库用户只建立一个真正的数据库账号,它具有对系统应用所涉及的所有数据实体进行操作的全部权限;为每一位系统操作人员分别创建一个应用系统账号。用户先使用应用系统账号登录应用系统,应用系统再将应用级账号变换为数据库系统账号,然后应用系统用数据库系统账号登录数据库。仅在两级登录都成功的前提下,整个登录过程才算成功,数据库系统便能识别登录应用系统的用户身份。
(2)用户授权机制
将整个系统细分为若干个可分配的最小权限单元,这些权限具体表现在对数据库中所涉及的表、视图的数据操作的划分上。然后再运用角色或工作组的概念,结合各级系统使用人员的工作性质,为系统创建了4类基本等级:系统管理员、高级操作员、一般操作员及简单操作员,并相应地为每个等级赋予了不同的权限,以此来简化权限管理工作。
(3)日志检测机制
在MIS系统中。通过日志记录,可以审核执行某操作的用户,执行操作的机器m地址、操作类型、操作对象及操作执行时间等。这样不仅可以分类检索日志内容,系统还能根据已记录的日志内容,自动找出可能存在的不安全因素,并实时触发相应的警告,及时通知系统管理员及用户。
(4)备份及恢复机制
为了防止人为的失误或破坏,MIS系统中应建立强大的数据库触发器以备份重要数据的删除操作,甚至更新任务。具体而言,对于删除操作,作的记录全部存贮在备份库中。而对于更新操作,考虑到信息量过于庞大,可只备份所执行的SQL语 句。这样,既能查看到备份的内容,又能相当程度地减小备份库存贮容量。
(二)企业网络出口安全措施
1 VPN技术
VPN(VirtualPrivate Network)是将物理分布在不同地点的网络通过公用骨干网,尤其是Internet连接而成的逻辑上的虚拟子网。VPN技术的核心是采用隧道技术,将企业专用网的数据加密封装后,透过虚拟的专用通道进行传输,保证传输内容仅被指定的发送者和接收者了解,从而防止敏感数据的被窃取。
2 防火墙技术
在Intemet和Inh'anet的连接部分,利用防火墙技术,使得通过外部拨号或其他方式访问企业网络部分功能时,可以很好的控制该用户的访问权限和操作级别,可以有效地防止恶意的外部用户的进攻。
关键词:信息安全 网络安全 风险
随着信息技术迅猛发展,计算机及其网络、移动通信和办公自动化设备日益普及,国内大中型企业为了提高企业竞争力,都广泛使用信息技术,特别是网络技术。企业信息设施在提高企业效益的同时,给企业增加了风险隐患,网络安全问题也一直层出不穷,给企业所造成的损失不可估量。
1企业面临的网络安全威胁
1.1来自企业内部的攻击
大量事实表明,在所有的网络攻击事件当中,来自企业内部的攻击占有相当大的比例,这包括了怀有恶意的,或者对网络安全有着强烈兴趣的员工的攻击尝试,以及计算机操作人员的操作失误等。内部人员知道系统的布局、有价值的数据放在何处以及何种安全防范系统在工作。因内部人员攻击来自区域内部,常常最难于检测和防范。
1.2来自企业外部的恶意攻击
随着黑客技术在互连网上的扩散,对一个既定目标的攻击变得越来越容易。一方面,对攻击目标造成的破坏所带来的成就感使越来越多的年轻人加人到黑客的行列,另一方面商业竞争也在导致更多的恶意攻击事件的产生。
1.3网络病毒和恶意代码的袭击
与前几年病毒和恶意代码传播情况相比,如今的病毒和恶意代码的传播能力与感染能力得到了极大提升,其破坏能力也在快速增强,所造成的损失也在以几何极数上升。如何防范各种类型的病毒和恶意程序,特别是网络病毒与邮件病毒,是任何一个企业都不得不面对的一个挑战。
2企业网络安全常用的防护措施
目前,不同种类的安全威胁混合在一起给企业网络的安全带来了极大的挑战,从而要求我们的网络安全解决方案集成不同的产品与技术,来有针对性地抵御各种威胁。我们的总体目标就是通过信息与网络安全工程的实施,建立完整的企业信息与网络系统的安全防护体系,在安全法律、法规、政策的支持与指导下,通过制定适度的安全策略,采用合适的安全技术,进行制度化的安全管理,保障企业信息与网络系统稳定可靠地运行,确保企业与网络资源受控合法地使用。
2.1部署统一的网络防病毒系统
在网络出口处部署反病毒网关。对邮件服务器安装特定的防病毒插件以防范邮件病毒,保护邮件服务器安全。在服务器及客户端上部署统一的防病毒软件客户端,实现对系统、磁盘、光盘、邮件及Internet的病毒防护。
2.2部署安全可靠的防火墙
企业为了在互联网上信息,共享资源,就不得不将自己的内部网络在一定程度上对外开放,这就在无形中增加了安全隐患,使有不良企图的人有机可乘。为了使信息系统在保障安全的基础上被正常访问,需要一定的设备来对系统实施保护,保证只有合法的用户才可以访问系统‘就目前看,能够实现这种需求的性能价格比最优的设备就是防火墙。防火墙的目的是要在不同安全区域(如:内部,外部、DMZ、数据中心)网络之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。具体地说,设置防火墙的目的是隔离内部和外部网,保护内部网络不受攻击。
2.3部署入侵检测系统
作为防火墙的补充,入侵检测系统(工DS)用于发现和抵御黑客攻击。人侵检测系统是一种网络/计算机安全技术,它试图发现入侵者或识别出对计算机的非法访问行为,并对其进行隔离。攻击者可能来自外部网络连接,如互联网、拨号连接,或来自内部网络。攻击目标通常是服务器,也可能是路由器和防火墙。
入侵检测系统能发现其他安全措施无法发现的攻击行为,并能收集可以用来诉讼的犯罪证据。一般入侵检侧系统有两类:基于网络的实时入侵检测系统和基于主机的实时人侵检测系统。
2.4配置漏洞扫描工具
漏洞扫描是一项重要的安全技术,它采用模拟攻击的形式对网络系统组成元素(服务器、工作站、路由器、防火墙、应用系统和数据库等)可能存在的安全漏洞进行逐项检查,根据检查结果提供详细的漏洞描述和修补方案,形成系统安全性分析报告,从而为网络管理员来完善网络系统提供依据。通常,我们将完成漏洞扫描的软件、硬件或软硬一体的组合称为漏洞扫描器。
2.5部署综合审计系统
通俗地说,网络安全审计就是在企业的网络环境下,为了保障网络和数据不受来自外网和内网用户的入侵、破坏、窃取和失泄,而运用各种技术手段实时收集和监视网络环境中每一个组成部分的系统状态、操作以及安全事件,以便集中报警、分析、处理的一种技术手段。
网络审计分为行为审计和内容审计,行为审计是对上网的所有操作的行为(诸如:浏览网页、登录网站从事各种活动、收发邮件、下载各种信息、论坛和博客发表言论等)进行审计,内容审计是在行为审计的基础上,不仅要知道用户的操作行为,而且还要对行为的详细内容进行审计。它可以使关心内容安全的管理人员清晰地知道通过网络有无没有采用加密处理就在网上传送的重要数据或内部和涉密文件被发出(用户行为)和被盗取(黑客行为);有无浏览不良网页;有无在论坛和博客上发表不负责的言论;有无使用即时通信工具谈论内部或涉密的话题。
2.6部署终端安全管理系统
由于企业内部终端数量多,人员层次不同,流动性大,安全意识薄弱而产生病毒泛滥、终端滥用资源、非授权访问、恶意终端破坏、信息泄密等安全事件不胜枚举。通过部署终端安全管理系统杜绝了非法终端和不安全终端的接人网络;对有权访问企业网络的终端进行根据其账户身份定义的安全等级检查和接入控制;对相关的内部人员的行为进行审计,通过严格的内部行为审计和检查,来减少内部安全威胁,同时也是对内部员工的一种威慑,有效强化内部信息安全的管理,将企业的信息安全管理规定通过技术的手段得到落实。
随着计算机技术与通信技术的飞速发展,信息安全已成为制约企业发展的瓶颈技术,进而使得企业对信息系统安全的依赖性达到了空前的程度,但是企业在享受着信息系统给公司带来巨大经济效益的同时,也面临着非常大的安全风险。一旦企业信息系统受到攻击而遭遇瘫痪,整个企业就会陷入危机的境地。特别是近几年来全球范围内的计算机犯罪,病毒泛滥,黑客入侵等几大问题, 使得企业信息系统安全技术受到了严重的威胁。因此,这就使得企业必须重新审视当前信息系统所面临的安全问题, 并从中找到针对企业的行之有效的安全防范技术。为此,笔者首先分析了现代企业所面临的信息系统安全问题,然后提出了企业应当采取的相应防范措施。
1企业信息系统所面临的安全威胁
企业在信息系统的实际操作过程中,威胁是普遍存在且不可避免的。一般来说威胁就是企业所面临的潜在的安全隐患。个人电脑只通过一个简易的应用便可以满足普通用户的要求,但是企业的信息系统一般都要充当多个角色,基本上都得为多个部门提供服务,其中任何一个局部的隐患都可能给整体的安全性带来致命的打击。正是由于企业信息安全系统本身所固有的这些缺陷,必然会导致病毒与黑客的容易盛行。目前,影响企业系统安全的因素各种各样,但是其主要的威胁可以归结为以下几个方面:
①黑客的蓄意攻击:随着信息技术的普及,企业一般都会利用互联网接入来加速提高本公司业务与工作绩效,黑客的恶意攻击行为无疑会成为阻碍这一进程发展最大也最严重的威胁。其中,有来自竞争公司的幕后黑手,或者来自对本企业有怨恨情绪的员工,以及对该企业持不满态度的顾客等,出于不同目的或报复情绪都可能对企业网络进行破坏与盗窃。另外,一个更严重的问题——网络敲诈,正有逐步提升的趋势。许多不法分子利用木马、病毒、间谍软件,或者dos 攻击等非法方式对企业网络进行破坏或盗用企业数据,并以此作为向企业敲诈勒索的交换条件,由于大部分企业普遍存在着信息安全环等薄弱问题,因此很多企业都成为这种违法行为最大的受害者。
②病毒木马的破坏:现今的互联网已基本成为了一个病毒肆虐生长繁殖的土壤,几乎每一天都会有上百种新的病毒或者木马产生,而在很大部分企业中,安全技术不足,管理设备松散、员工安全意识淡薄等问题的存在进一步滋长了病毒、蠕虫、木马等的危害,严重时甚至有可能造成整个企业网络的瘫痪,导致企业业务无法正常进行。
③员工对信息网的误用:如企业技术员工由于安全配置不当引起的安全漏洞,员工安全意识薄弱,用户密码选择不恰当,将自己的账户名与口令随意告诉他人或与别人共享都会对信息系统安全带来威胁。
④技术缺陷:由于当前人类认知能力和技术发展的有限性,要想使硬件和软件设计都达到完美没有缺陷,基本上不可能。其次,网络硬件、软件产品多数依靠进口等这些隐患都可能可造成网络的安全问题。
2企业信息系统安全运行的防范措施
企业信息系统安全运行的防范措施是企业信息系统高效运行的方针,其能在很大程度上确保信息系统安全有效的运行。相应的企业安全运行的措施一般可以分为以下几类:
①安全认证机制:安全认证机制是确保企业信息系统安全的一种常用技术,主要用来防范对系统进行主动攻击的恶意行为。安全认证,一方面需要验证信息发送者的真实性,防止出现不真实;另一方面可以防止信息在传送或存储过程中被篡改、重放或延迟的可能。一般来说,安全认证的实用技术主要由身份识别技术和数字签名技术组成。
②数据的加密以及解密:数据的加密与解密主要是用来防止存储介质的非法被窃或拷贝,以及信息传输线路因遭窃听而造成一些重要数据的泄漏,故在系统中应对重要数据进行加密存储与传输等安全保密措施。加密是把企业数据转换成不能直接辨识与理解的形式;而解密是加密的逆行式即把经过加密以后的信息、数据还原为原来的易读形式。
③入侵检测系统的配备:入侵检测系统是最近几年来才出现的网络安全技术,它通过提供实时的入侵检测,监视网络行为并进而来识别网络的入侵行为,从而对此采取相应的防护措施。
④采用防火墙技术:防火墙技术是为了确保网络的安全性而在内部和外部之间构建的一个保护层。其不但能够限制外部网对内部网的访问,同时也能阻止内部网络对外部网中一些不健康或非法信息的访问。
⑤加强信息管理:在企业信息系统的运行过程中,需要要对全部的信息进行管理,对经营活动中的物理格式和电子格式的信息进行分类并予以控制,将所有抽象的信息记录下来并存档。
3结语
总之,企业信息系统的安全问题将会越来越得到人们的重视,其不但是一个技术难,同时更是一个管理安全的问题。企业信息系统安全建设是一个非常复杂的系统工程。因此,企业必须综合考虑各种相关因素,制定合理的目标、规划相应的技术方案等。笔者相信,信息安全技术必将随着网络技术与通信技术的发展而不断得到完善。
参考文献:
[1]肖雪.计算机网络安全的研究[J].科技创新导报,2008,(20):27.
安装入网规范管理设备的操作比较简单,不但会增强供电企业的安全防护能力,还为工作人员的工作带来了便利,减轻了工作人员的压力。当供电企业有人动时,就会出现网络接口不够用的情况,因此,很多人便利用集线器拓展网络,这便为公司的信息安全埋下了隐患,不但容易引发广播风暴,还会干扰公司整体网络的稳定性,让一些不法分子有机可乘——侵入公司内网,泄露公司机密。所以,针对这种情况,建议采取添加交换机的方式,并配置端口安全策略,即interfacefastethernet<number>;switchportport-securitymaximumvalue。对于公司信息外网,要检查私自连接无线路由器、随身wifi等情况,如果发现,要马上制止,防止信息被泄露,以确保供电企业的信息安全。随着供电企业内部网络的发展和壮大,需要加入新的网络设备、服务器设备、终端设备和存储设备等。当网络处于一个复杂的环境中时,就很难处理网络故障了。针对这类问题,可以在机房安装网络分析设备,对系统进行网络故障分析、应用分析和安全分析,获取网络流量,通过分析解码能够快速定位网络故障,进而有效维护网络安全。网络分析系统能够分析数据包网络,检测深度网络通讯,准确、快速地找到蠕虫、网络攻击或木马等,并对其进行诊断,快速定位将要发生问题的机器,帮助信息运行维护工作人员及时处理问题。
2管理策略
对于病毒防护的管理,要安排专业工作人员定期查看木马病毒的感染情况,及时处理受到感染的用户,并为每位工作人员发放设备安全说明,让工作人员从自身做起,保障信息安全。供电企业可以对工作人员进行安全意识培训和技能培训,尤其是管理信息系统的工作人员,不断提高其业务能力,补充更多的专业知识。在供电企业的每一个区域配备专门的信息安全负责人,并对其定时培训,加大信息安全的维护力度。针对一些特殊岗位的工作人员,要实施有针对性的培训,以不断提升各个岗位工作人员的管理能力和技术能力。
目前,信息技术日益广泛的应用使得“信息化”已成为各行各业的流行词。在电力企业的信息安全保障工作中仍然存在管理制度不够健全、管理目的不够明确,管理责任不能落实、管理效果缺乏监督等问题。因此,信息化建设的工作势必应从简单应用向管理和分析转变,在这个转变过程中一定会存在一些问题。
1 电力企业信息化建设安全常见问题及原因
1.1 电力企业信息化建设常见问题
根据相关调查结果和数据资料显示,当前电力企业信息化建设安全的比较突出的问题有五个方面:首先,计算机病毒的泛滥,木马程序的不断变种和形式的不断变化;第二,缺乏重要系统备份恢复应用经验;第三,黑客有目的的洪流攻击;第四,缺乏必要信息安全防范管理和技术保障手段;第五,流氓软件和恶意插件对用户数据信息的收集和更改。这一系列信息化建设安全问题在电力企业中更为突出,如何强化信息网络安全,建立健全的网络安全保障体系已经成为我国信息化建设的当务之急。
1.2 造成电力企业信息化建设安全问题的原因
1.2.1 重应用,轻管理的思想意识根深蒂固
电力企业信息化建设开展和实施以来,许多工作人员并没有在思想上转变传统的工作模式,依然只是将信息化建设和管理作为一项应用型工具,以为就是简单的计算机应用工作,缺乏必备的网络和信息数据安全管理知识。即便有些人了解到信息化建设安全的重要性,但是对于如何防范的措施却一知半解。还有大部分人存在侥幸心理,认为一切从简,密码简单、不开启防火墙、不备份数据文件、对于共享和可见性以及远程操作等关键环节更是随心所欲,造成电力企业信息化建设安全危机重重。
1.2.2 专业技术人员储备不足
信息化建设安全的管理工作是一项专业性较强,技术要求较高的工作,目前规模较大或者一些大城市的电力企业的专业信息化安全技术人员的配置相对比较完善。但是,一些中小城市或者县级电力企业的电力企业专业信息化建设技术人员的储备却不尽如人意,甚至一些县级电力企业没有信息化建设专业技术人员。另外,中小城市电力企业的专业技术人员的配备往往是一人多岗,对于网络安全管理知识具有管理职责,却无法实现专职,做不到全天候的信息安全监控,不能及时发现和应对非法入侵带来的安全事故;加上这些基层技术人员参与外出培训的机会相对较少,无法及时补充新的信息安全管理知识,对于信息系统出现的安全问题技术人员有时候也只能是只能做到表面问题的处理,无法根除实际的安全隐患。
1.2.3 缺乏有效的病毒防治管理
网络病毒是信息化建设安全的最大威胁之一,对于电力企业信息化建设安全来讲,重点就在于对网络病毒的防治和管理。网络病毒的防治和管理是一项长期且艰巨的任务,目前没有任何系统可以对所有病毒都具有防护的功能。而电力企业的基层单位对于病毒的防治大多数也只是安装单一的网络杀毒软件,再无其他的病毒防治预案。管理工作也通常比较简单和疏松,当杀毒软件无法识别或者根除一些病毒或者木马时,相应的技术人员也只是自己通过其他途径寻找解决方案,一旦实在无法解决就要面临重装系统,丢失所有当前数据文件信息的风险;更为严重的甚至会造成业务系统的崩溃,导致正常的工作难以进行。
1.2.4 移动存储介质的无控制使用
当前网络木马和病毒的主要传播途径已经由传统的网络文件或者应用伪装转变为移动介质存储的入侵和感染。尤其是近年来,移动存储介质的灵巧和易用的特点在电力企业系统的各个部门工作中得到了广泛的运用。而大部分的木马和病毒也就借助于移动介质对计算机内部的数据和信息进行感染和利用。导致一些先进的“内外网隔离”和“双机双网”病毒防控技术完全失去其实际安全意义。
2 电力企业信息化建设安全常见问题的对策研究
2.1 建立健全信息化建设安全管理和考核机制
电力企业信息化建设安全管理是一项动态的、灵活的工作,不仅仅是引进了新的技术或者新的安全体系就能马上见效的,还要靠平时的管理和监测。技术所能起到的作用就是预防更多的已知的安全隐患;而管理则是灵活的,实施的主体以人为主,可以通过建立各种安全管理制度,用技术来对人进行约束和管理,真正发挥人的灵活性和主动性,在安全威胁来临之前就发挥防控作用,不给安全威胁发生的机会。同时,还要针对电力企业信息建设安全的特点建立一套涵盖引进标准、风险性评估和技术应用规范的安全管理体系。落实安全岗位职责,推行责任制,严格按着相关法律法规的标准结合企业实际的安全等级要求进行信息安全管理系统的建设和管理。将安全管理融入到信息系统的各个环节当中,实现每个环节的自管、自查和自评,再通过不定期的岗位临检,来考核信息化建设安全的各个环节是否达到规定的标准,提高信息化建设安全的重视程度,强化信息化建设安全意识。
2.2 做好电力企业信息化建设安全的教育培训工作
电力企业信息化建设安全工作还是一项长期的工作,随着信息化建设的不断创新,一些新的安全隐患和威胁就会随之产生,如何保持电力企业信息化建设安全工作的与时俱进,就要从加强信息化建设安全教育培训方面做起,也是安全管理中最为重要的内容。这项工作的落实,直接关系到信息化建设中安全策略的被应用和理解程度以及执行后的实际效果。在实际的教育培训中,不单单要相关的信息安全工作主要责任人的参与,还应该尽量做到所有人员的参与和学习。既包括电力安全的管理人员和技术人员,还要包括前台的营业人员,因为信息化建设安全的工作是一项综合性的工作,并非是一个人或者一个部门的事情,是关系到整个企业中每一个人的工作。并且,这种教育培训工作要做到持续有效,借鉴和引进领先的信息安全管理体系和管理技术,全面提高电力企业人员的整体信息安全意识和技能。
2.3 加强移动存储介质的控制和管理
鉴于移动存储介质的广泛应用和其实际应用中的便携性、灵活性,电力企业信息化建设安全部门应该根据行业的实际情况制定一些有效的移动存储介质使用标准和规范,并进行全员的教育和培训。其内容可以从移动存储设备的插拔使用、读写开关应用、加密设置和定期杀毒要领等基础知识展开。使企业内部的人员熟练掌握移动存储介质的基础知识和安全使用方法,逐步提高安全防范意识,养成良好的移动存储介质使用习惯。移动存储介质使用的具体安全管理工作可以从以下几个方面做起:一是妥善保管防止遗失;二是专职专用,严禁外借;三是定期杀毒;四是采取“双备份”原则;五是杜绝任何形式的非法外联操作。
3 结束语
综上所述,电力企业信息化建设安全保障工作是一项以管理和技术为主要内容的工作。电力企业信息系统的安全管理工作是一项综合性很强的课题,不仅仅涉及应用、技术和管理,还包括信息系统自身的安全性能以及物理和逻辑方面的计算措施,技术层次上来讲一种技术也只能解决一方面的问题。因此,电力企业信息化安全建设是一项长期的、灵活的,需要电力企业全体人员共同参与的工作,还需要我们不断的努力学习和创新。
中图分类号:F407.61 文献标识码:A 文章编号:
前言
随着近年来自然灾害的发生,在我国极大地破坏了国家电网公司的属下电网,造成多个地方发生大面积停电事故。电力信息系统如不能正常工作(如技术故障、遭受人为破坏、遇到自然灾害等),也将危及电网的安全运行。研究电力信息安全问题,开发相应的应用系统,设计出系统的安全防护方案,制定电力信息系统遭受外部攻击时的防范措施以及系统恢复措施等,进行信息安全应急预案是非常重要的。
1 电力信息安全存在的问题
国家电网已经构建了一个较完善的电力信息系统,并初步建立了电力信息系统的安全体系,实现了电力信息网络和电力运行实时控制网络的隔离,在网络间设置了防火墙,购买了网络防病毒软件,设有数据备份设备。但仍有很多单位没有网络防火墙,没有数据备份的观念,更没有对网络安全做统一长远的规划,信息网络中尚存在许多风险和问题。
(1)对计算机及信息网络的安全意识亟待提高。近年来计算机信息安全策略和技术取得了非常大的进展,但在电力系统各种计算机应用中,对信息安全的认识跟实际需要差距较大,对新出现的信息安全问题认识不足。
(2)缺乏统一的信息安全管理规范。电力系统虽然对计算机安全一直非常重视,但目前还没有一套统一、完善的能够指导整个电力系统计算机及信息网络系统安全运行的管理规范。
(3)缺乏与电力行业特点相适应的计算机信息安全体系。近年来,计算机在整个电力系统的生产、经营、管理等方面应用越来越多。但是,在计算机安全策略、安全技术、安全措施、安全体系建设方面投入相对较少。
(4)计算机网络化必须面对外部的安全攻击。电力系统较早的计算机系统一般都是内部的局域网,并没有同外界连接。所以,早期的计算机安全只是防止意外破坏或者确保内部人员的安全控制。在连成广域网后,就必须要面对国际互联网上各种安全攻击,如网络病毒和电脑“黑客”等。
(5)脆弱的身份认证。电力行业中计算机应用系统基本上基于商用软硬件系统设计和开发,用户身份认证基本上采用基于口令的鉴别模式,而这种模式很容易被攻破。有的应用系统还使用自己的用户鉴别方法,将用户名、口令以及一些安全控制信息以明文的形式记录在数据库或文件中。如今,这种脆弱的安全控制措施已不能再用了。
(6)没有完善的数据备份措施。目前,很多单位仅选择一台工作站备份一下数据,没有完善的数据备份设备,没有数据备份策略,没有数据备份的管理制度,没有对数据备份介质的妥善保管。
2 电力信息安全的防护措施
鉴于电力信息安全的重要性,国家电网公司及其属下各单位应制定一系列相关的防护措施,以保证电力信息系统的安全。
2.1建立电力信息安全体系的防护框架
应结合我国电力工业的特点和企业计算机及信息网络技术应用的实际情况,建立电力信息安全体系的防护框架(见图1)按照信息业务功能,电力信息系统可以划分为3层:第一层为自动化系统;第二层为生产管理系统;第三层为电力信息管理系统。针对电力信息业务的这种层次结构,电力信息安全体系的防护框架采用分层、分区进行防护。①进行分层管理,按照电力信息业务的3层功能,层间使用隔离装置实施网络间隔离。② 进行分区管理,将电力信息业务的3层功能与电力信息网结构对应起来,具体又可以分成实时控制区、非控制生产区、生产管理区和管理信息区4个区。各区之间使用网络物理隔离设备进行网络隔离,对实时控制区等关键业务实施重点防护,并采用不同强度的安全隔离设备使各安全区中的业务系统得到有效保护。
2.2采用各种安全防护技术措施
(1)信息加密技术。密码技术是信息安全领域的一种基本实用且非常重要的技术。密码技术主要分对称密码技术(如DES算法)和非对称密钥技术(也叫公开密钥技术,如RAS算法)。
(2)信息确认和网络控制技术。当前,成熟的信息确认和网络安全控制技术主要包括身份认证、存取控制、数据完整性、防止否认、防火墙技术,这些技术都是基于计算机网络开展的,涉及业务信息安全的主要技术,应根据电力企业业务系统的性质、任务,制定最优控制策略。
(3)计算机网络防病毒技术。计算机病毒已经向网络化、多态化、灾难化发展,应在省公司及区域电网建立计算机防病毒网络中心,实施网络化管理。
(4)防“黑客”攻击技术。“黑客”主要针对信息系统网络和主机存在的一些漏洞进行攻击。按照计算机应用环境及业务重要程度,制定相应的防“黑客”攻击措施,重点是要检测系统信息安全漏洞予以及时解决。对特别重要的系统(如电力实时运行控制系统)应采用物理隔离措施。
(5)数据备份与灾难恢复技术。采用多种备份措施,按重要程度确定数据备份等级,配置数据备份措施,建立省级和区域数据备份中心,采用先进灾难恢复技术,保证信息系统可靠性和数据完备性。
2.3加强各种安全防护管理措施
(1)人员管理。要加强信息人员的安全教育,保持信息人员特别是网络管理人员和安全管理人员的相对稳定,防止网络机密泄露,尤其要防范人员调离时的网络机密泄露。对网络设备、服务器、存储设备的操作要履行签字许可制度和操作监护制度,杜绝误修改和非法修改。
(2)密码管理。对各类密码要妥善管理,杜绝默认密码、出厂密码、无密码,不要使用容易猜测的密码。密码要及时更新,特别是有人员调离时密码一定要更新。
(3)技术管理。主要是指各种网络设备、网络安全设备的安全策略,如防火墙、物理隔离设备、入侵检测设备、路由器的安全策略要切合实际。
(4)数据管理。数据的备份策略要合理,备份要及时,备份介质保管要安全,要注意备份介质的异地保存。
(5)安全管理。建立电力系统信息安全各种标准、规范与制度。在安全组织,运行操作管理、场地与设施管理、操作系统与数据库、应用系统等方面进行安全管理。
2.4 建立完备的电力信息系统监控中心
为保证电力系统信息安全,建立一个综合、统一的信息安全监控中心是十分必要的。该监控中心设在各级信息网管中心,将各项信息安全应用技术有机进行整合,无论出现什么可能影响信息安全问题,均可尽快解决。对可能出现的异常或故障,按监视系统所提供信息,及时提出预防措施,消除可能发生问题的条件,防止发生系统异常或故障。
2.5 制订必要的应急措施
可根据国内外发生过的网络信息安全的案例,结合国家电网信息系统当前运行状态和可能存在的问题,设计安全应急措施,部署安全应对机制,奠定紧急控制的基础。一旦发生电力信息安全事件,可根据预防控制设定的安全应急措施,立即启动相应的安全机制,减小安全事件的波及范围,避免造成更大的损失。国家电网的黑启动方案就是一个很好的例子。
3 结束语
电力信息安全是电力系统安全运行和对社会可靠供电的保障,是一项涉及电网调度自动化、继电保护及安全装置、厂站自动化、配电网自动化、电力负荷控制、电力市场交易、电力营销、信息网络系统等有关生产、经营和管理方面的多领域、复杂的大型系统工程。电力信息的不安全,会造成电力系统的生产经营和管理巨大的损失。各电力企业应积极吸收国外信息安全领域的丰富经验和先进技术,结合各自电网的特点,建立完善的电力信息安全防护体系和监控中心,研究出相应的安全策略,制定相关的技术措施和管理措施,确保电力信息系统以及电力系统安全、可靠、稳定、高效的运行。
参考文献:
中图分类号:TP393 文献标识码:A文章编号:1007-9599 (2011) 19-0000-01
Electric Power Enterprise Information Security Risk Analysis and Prevention Measures
Cai Wenjian
(Fujian Shishi Electric Power Co.,Ltd.,Shishi362700,China)
Abstract:Power Information Network and application security is the safe operation of power systems and reliable power supply to ensure the community is directly related to the development of China's industries,social stability and people's points of improvement of living standards.This paper introduces the basic concepts of the power of information security,information security risks in the analysis of power based on the power of information technology for the characteristics of the power proposed to protect the basic information system security policy.
Keywords:Electric Power;Information security;Management;Study
电力企业的信息化建设在生产自动化、管理信息化、营销现代化等方面发挥了重要作用。然而,随着网络的延伸、应用的普及和不断深化,特别是随着网络技术的迅速发展,信息安全问题日益突出。研究电力系统信息安全问题、制定和实施电力系统信息安全战略、建立全方位、动态的电力信息系统安全保障体系,己成为当前电力系统信息化工作的重要内容。
一、电力信息安全的含义
电力信息安全是指电力主营业务系统及企业信息安全,保障不被未经授权者访问、利用和修改,为合法用户提供安全、可信的信息服务,保证信息和信息系统的机密性、完整性、可用性、真实性和不可否认性。
二、电力企业信息安全风险分析
(一)电力信息安全管理风险分析。管理是网络中安全得到保证的重要组成部分,是防止来自内部网络入侵必须的部分。由于近年计算机信息技术高速发展,计算机信息安全策略和技术也取得了非常大的进展,但在电力系统各种计算机应用中,对信息安全的认识跟实际需要差距较大安全意识薄弱、责权不明、安全管理制度不健全及缺乏可操作性等都可能引起安全管理的风险。
(二)网络基础设施的安全风险分析。网络基础设施的安全是整个网络系统安全的前提。目前电力企业在机房建设(包括水源、消防、门禁等)、重要设备的访问管理方面都存在缺陷,亟待解决。如在网络介质的安全方面由于大都采用内部专用网络,但楼层交换机的机柜位置不安全,非管理人员可以随时接触到,这给内部的攻击或窃密行为提供方便之门。
(三)电力企业信息网络连接安全风险分析。电力企业的部分用户由于工作需要连接了因特网,同时没有服务器供外部访问,用户连接因特网时没有做到与内网的物理隔离,这给网络带来危害;局域网内部用户有意或无意对系统进行了攻击和窃密行为;内部其它单位用户对本网络的攻击行为,类似因特网外部连接风险等众多因素也都对网络安全构成了威胁。此外,受人员水平、设备性能等方面因素制约,使整个电力信息网的外部边界保护能力存在一定差异,必然降低整体边界安全防护能力。
(四)支撑基础设施的安全风险分析。许多电力企业没有完整的备份策略,备份工作没有计划,备份不及时,没有备份恢复预案;介质管理不规范,没有对备份介质做库存、领取、使用、借用、存放等方面的跟踪记录。需要特别指出的是灾难恢复计划要素的所处的水平较低,应重点加快制定有关灾难恢复的管理制度,以及备份设备的更新。
三、电力企业信息安全防范措施
(一)电力信息安全管理措施。1.健全信息安全组织保证体系。成立信息安全管理部门,至少应配备2名安全专职管理人员,明确权利与责任,分别负责各系统的安全审计,并相互制约。2.完善信息安全管理制度。参照国际最佳实践,建立一套完整的制度体系,形成省、地两级安全管理体系。3.加强信息安全教育培训。安全意识和相关技能的教育是企业安全管理中的重要内容。高级管理部门应当对全体员工,特别是中高级管理人员进行信息安全管理制度培训,强化信息安全意识。
(二)电力信息安全技术措施。1.加强网络信息安全基础设施建设。建立电力企业信息系统物理各环境的安全目标防止对企业工作场所和信息的非法访问、破坏和干扰或避免造成资产的流失、受损。建立省电网级认证授权中心,提供目录服务、身份管理、认证管理、访问管理等功能,实现主机系统、网络设备、安全设备、应用系统等的统一身份认证管理。对电力企业重要网络设备配置文件进行完整性检查保护,防止主机系统及网络设备配置文件的篡改,对系统文件遭到修改及破坏可以及时发现修复。2.网络控制技术。网络控制是网络安全防范和保护的主要策略,主要任务是保证网络资源不被非法使用和非法访问。主要包括:(1)防火墙技术。(2)审计技术。(3)访问控制技术。(4)安全协议。3.备份恢复技术。备份恢复技术主要包括备份技术、冗余技术、容错技术和不间断电源保护4个方面的内容。备份恢复与容灾中心具有关联性,建立容灾中心的单位应每年至少进行一次灾备恢复的演练,没有容灾中心的单位应将营销、生产、财务等核心数据定期进行异地备份,并定期进行备份恢复演练,提升应对自然灾害的能力。
【引言】:在中小企业的信息管理系统中存在大量的信息和文件材料,其中有对企业发展至关重要的文件材料,一旦这些信息材料在通过网络传送时被不法分子和竞争对手窃听、泄密、篡改或伪造,将会严重威胁中小企业的发展,所以,提出中小企业信息安全问题的解决方案具有重要意义。
1. 中小企业信息安全存在的问题
1.1信息安全管理意识不强。
相对大型企业来说,中小企业信息资产方面的积累相对较为薄弱,并且很多时候这种积累并非企业的有意识行为,所以在正常的信息化应用情况下,往往会忽视对自己信息资产的保护,而只有在信息资产受到破坏,形成了实际的经济和附加损失的情况下,才会开始意识和重视这信息安全问题。
1.2信息安全管理水平较低信息安全风险较大。
目前的中小企业管理层人员虽然已经认识到了信息化的重要性,但却没有认识到企业信息化管理是需要在企业管理念上进行根本变革才能实现的。信息安全大约70%以上的问题都是由管理方面的原因造成的。他们大多是按照原有的管理模式进行改造,结果造成一种信息化的假象,致使“信息化”走向了徒有其表的误区,信息安全也没有得到足够重视。
1.3人才短缺专业人员匮乏。
中小企业一般很难有足够的吸引力留住信息化及信息安全这一领域的人才。因此,在这种人才短缺的情况下,自然影响到企业信息化的进程。主要表现为:企业一般没有自己的信息化建设人才队伍。信息技术专业人员的知识结构也不能达到要求,掌握技术的不懂管理,懂管理的又不会技术,而且信息安全往往没有专业人员进行管理。
1.4资金短缺。
中小企业的资金状况决定了其信息化投入遇到的限制相对较多。企业相对有限的资金,一般要优先投入到直接促进公司业绩增长的方向,而无形中就造成了信息资产所面临的巨大风险;特别是在当今越来越多的企业业务与互联网有密切的联系,甚至一些企业的业务完全建立在互联网之上,以平均不到企业总收入1%的信息安全投入,怎么能保障这些业务的正常运行?尽可能使投入比例接近常规,至少应该使企业核心信息资产的安全得到保证,从实际情况来讲,在良好的安全理念指导下,进行细致的规划和评估,通过适当的投入也是可以达到较好的整体效果,因为在中小企业的应用情境下,信息安全防御广度是相对容易控制的;设计出体现其规律和特点的真正适合中小企业的信息安全产品,才能从根本上满足中小企业信息安全需求。
1.5中小企业的信息伦理意识不强。
由于某些员工的信息伦理原因而带来的信息安全问题屡见不鲜。在很多时候,企业的员工都会因为某些不经意的行为对企业的信息资产造成破坏。尤其是在中小企业中员工的信息安全意识往往相对比较落后,对于互联网上存在的威胁往往缺乏足够的重视,而企业的管理层对于网络的使用也没有很好的管理手段。
2.中小企业信息安全问题的解决措施
2.1从企业的自身情况考虑
要解决中小企业网络信息安全问题,不能仅依靠企业的安全设施和网络安全产品,而应该考虑如何提高企业自身的网络安全意识,将信息安全问题提升到重视的高度,要重视“人”的因素。具体表现在以下两个方面:
2.1.1提高安全认识
定期对企业员工进行网络安全教育培训深化企业的全员信息安全意识,企业管理层要制定完整的信息安全策略并贯彻执行,对安全问题要做到预先考虑和防备。
2.2.2要求中小企业在上网的过程中要做到“一做三不要”
首先将存有重要数据的电脑坚决同网络隔离,同时设置开机密码,并将软驱、硬盘加密锁定,进行三级保护,其次不要在自己的系统之内使用任何具有记忆命令的程序,因为这些程序不但能记录用户的击键动作甚至能以快照的形式记录到屏幕上发生的一切,同时不在网上的任何场合下随意透露自己企业的任何安全信息,最后不要启动系统资源共享功能,要尽量减少企业资源暴露在外部网上的机会和次数,减少黑客进攻的机会【1】。
2.2从网络安全角度考虑
2.2.1从网络安全服务商的角度来说,服务商要重视中小企业对网络安全解决方案的需要,充分考虑中小企业的现实状况,仔细调查和分析中小企业的安全因素,开发出适合中小企业实际情况的网络安全综合解决方案。此外,还应该注意投入大量精力在安全策略的施行及安全教育的开展方面,这样才能为中小企业信息安全工作的顺利开展提供坚实的保证。
2.2.2要用防火墙将企业的局域网(Intranet)与互联网之间进行隔离。由于网络攻击不断升级,对应的防火墙软件也应该及时跟着升级,这样就要求我们企业的网管人员要经常到有P网站上下载最新的补丁程序,以便进行网络维护,同时经常扫描整个内部网络,以发现任何安全隐患并及时更改,才能做到有备无患【2】。
2.2.3企业用户最好自己学会如何调试和管理自己的局域网系统,不要经常请别人来协助管理。中小企业要培养自己解决安全问题的能力,提高自己的信息安全技术。如果缺乏这方面的人才就应该去引进或者培养相关人才。
2.2.4内部网络系统的密码要定期修改。动态的密码有助于防止黑客的攻击以及来自内部人员的泄密。
2.2.5要经常使用杀毒软件来维护局域网系统不受病毒攻击。现在国内的杀毒软件都推出了清除某些特洛伊木马的功能,可以不定期地在脱机的情况下进行检查和清除。
2.2.6同其它企业进行联合,共同抵制黑客的入侵,一旦被入侵要及时向有关部门汇报,并共同查找入侵来源,锁定黑客IP地址。将网络的TCP起时限制在15分钟以内,减少黑客入侵的机会。并扩大连接表,增加黑客填写整个连接表的难度【3】。
小结
综上所述,我国中小企业的信息安全问题日益突出。由于受到管理水平、资金、技术、 意识等几方面的制约,中小企业完全依靠自己解决所有信息化安全问题是不现实的,它们很难使用大企业中那种复杂的信息安全系统,因此迫切需要适合中小企业自身情况的综合解决措施。
【参考文献】:
1 电力企业信息安全管理中组织管理失误的分析方法
电力企业信息安全管理中的组织管理失误分析法(英文:Cognitive Relia-bility andErrorAnalysisMethod,即CREAM),是可靠性分析法的典型代表,具有追溯分析功能。通过CREAM的应用,可以将失误事件的外在表现形式称为失效模式,并且将引起这些失误事件的直接原因定义为前因。实践中,前因可分为具体的前因、一般性前因,CREAM分析法是以失效模式作为出发点。首先,通过分析失效模式的一般前因、具体前因,得到失效模式前因表,在表中选定一个前因作为后果,然后分析引起这一后果的可能前因,最终得到包含这一后果、可能的前因追溯表;再以该可能前因为后果,分析可能的前因,通过连续不断的寻找,最终找到引起事件失误的根本原因。
2 在电力电力企业信息组织管理过程中,开展多项管控措施、分三步走
第一步,从思想上加强重视。实践中,应当认真学习贯彻违规外联、外网邮箱发送的要求,严格按照“业务工作谁主管,保密工作谁负责”以及“统一领导、分级负责”的原则,将信息安全保密职责有效地落实到人,让每个员工熟悉、掌握保密工作的基本要求和规范。
第二步,深入检查,全面整改。实践中,应当严格按照检查内容检查,一定不能留死角、搞形式。在检查中发现的问题,要立即纠正,认真整改,对存在严重问题的单位要监督整改,并组织复查;发生泄密、违规问题时,一定要严肃查处,必要时还要追究责任人的责任。
第三步,严格管理,务求实效。要进一步落实保密工作责任制,坚持标本兼治、系统治理,把检查活动与日常保密工作安排结合起来,边检查边整改,以查促管、以查促改、以查促教、以查促防,确保检查取得实效。
3 电力企业信息系统安全管理的必要性
电力企业信息系统安全管理,是企业在一定范围内建立起来的信息安全目标和方针,并通过努力完成目标。对于电力企业信息安全管理而言,可表示为方法、目的、基本原则和实施过程等要素集合,作为直接的信息安全管理结果。2014年8月,某技术质管部专责高某通过电子邮箱将创新成果--《电力设计企业基于桌面云技术的信息》以附件形式经压缩、更名后在没有经过加密的情况下,发送到某部门专家评审组;由于附件内容出现“保密”等敏感词,该邮件被公司外网邮件拦截系统拦截。经现场查实,邮件均不涉商业秘密,但违反了“工作邮件只限于公司内网邮箱发送”规定。由此可见,电力企业信息系统安全管理工作非常重要,也非常有必要。通常情况下,电力企业信息安全管理工作主要包括制定信息安全管理的策略,合理、科学的对电力企业信息安全工作进行组织管理,具有非常重要的作用。电力企业应当提高全体员工的信息安全意识,加强电力电力企业信息内外网安全管理。第一,内、外网电脑都必须安装三种软件,即北信源、天以及趋势杀毒。软件有内、外网版本之别,而且客户端也不同;第二,遵守专机、专网之规定,内网电脑不能与外网相连接,外网电脑不能连接内网,家用电脑不能接入内网使用,尤其是来历不明、使用背景不明的电脑,一律禁止接入内网系统。
4 电力企业信息安全管理中组织管理常见失误
近年来,随着市场经济体制改革的不断深化,虽然电力企业信息安全管理水平有了很大程度的提升,但电力企业信息安全管理过程中依然存在着一些问题与不足,总结之,主要表现在以下几个方面:
第一,信息安全措施和技术手段不成熟。对于大多数企业而言,在信息系统建设过程中欠缺完善的安全手段和措施,严重影响了安全措施的制定与执行。
第二,电力企业信息安全风险控制不到位。实践中可以看到,很多企业在信息化规划与建设过程中,对信息安全的前期分析比较欠缺,将分析对象主要集中在技术层面研究上,很难有效解决企业安全信息系统操作失误、缺陷与不足等安全问题。
第三,信息安全意识不强,缺乏有效的安全管理机制。对于部分企业领导层而言,对信息安全的重视不够,对潜在的各种风险和安全隐患问题分析不到位。
5 电力企业信息安全管理体现构建的有效策略
基于以上对当前企业安全管理中的问题分析,笔者认为要想减少和控制电力企业信息安全管理中组织管理失误现象, 应当根据企业实际生产运营状况,以IS027001信息安全管理体系标准为基础,从组织、技术、管理以及运行和监督这等方面入手,对现有的信息安全管理架构进行改进和完善,增加运行、监督环节。
5.1 提高对电力企业信息安全的认知度
针对企业员工对信息安全知识掌握不足的现状和问题,通过宣传、教育和培训等方法,提高企业全体员工对信息安全的认知度。首先,加强信息安全宣传教育。电力企业信息安全宣传的目的在于让全体员工清楚地认识到信息安全管理工作的重要性,了解信息安全管理目标,以此来提高企业员工的信息安全管理意识。
5.2 建立健全信息安全审计机制
内部审计是对电力企业信息安全管理体系建设与实施情况的评价,定期组织审计活动,以此来促进安全管理体系的改进与完善。企业的信息安全政策、规范制度是信息安全管理工作得以有效开展的重要依据,因此审计工作的主要内容是检验信息安全标准的符合性、执行情况。在审计过程中,主要包括如下内容,即检验是否按照要求制定规章制度、执行细则;检验员工对的规章制度执行状况,对审计结果的整改落实情况进行核查;同时,还要对信息安全控制措施的应用效果进行全面检查,确保评估的有效性。
5.3 建立和完善信息安全风险管理制度
中图分类号:TP309.2文献标识码:A 文章编号:1009-3044(2008)36-2848-03
An Information Security Program for a Distributed Enterprise
GUO Yong, CHEN Rong-sheng, ZHAN Gui-bao, ZENG Zhong-cheng, LU Teng-zu, LI Zhuang-xiang
(Fujian Xindong Network Technology Co., Ltd. Fuzhou 350003,China)
Abstract: Based on the specific conditions of the distributed enterprise, information security architecture in accordance with the relevant standards, a distributed enterprise information security planning principles and objectives. And based on the principles and objectives of the meeting, according to the organization, management and technical aspects of three specific design specifications with the principle. Finally, based on the objective of planning services, a category of information distributed enterprise information security services, planning and design examples.
Key words: distributed; information security; planning; program
1 引言
据来自eWeek 的消息,市场研究机构Gartner 研究报告称,很对企业目前仍缺乏完整的信息安全规划和规范。尽管目前很多企业在信息安全方面的投入每年都在缓慢增长,但由于推动力以外部法律法规的约束和商业业务的压力为主,因此他们对安全技术和服务的选择和使用仍停留在一个相对较低的水平。尤其对于机构构成方式为分布式的企业而言,因为信息安全需求和部署相对更加复杂,投入更多,因此这类企业的信息安全规划就更加缺乏。
本文根据这类分布式企业的特点提出了一种符合该类企业实际的信息安全规划方案。
2 总体规划原则和目标
2.1 总体规划原则
对于分布式企业的信息安全规划,要遵守如下原则:适度集中,控制风险;突出重点,分级保护;统筹安排,分步实施;分级管理,责任到岗;资源优化,注重效益。
这个原则的制定主要是根据分布式企业的实际机构构成情况、人员素质情况以及资源配置情况来制定的。
2.2 总体规划目标
信息系统安全规划的方法可以不同、侧重点可以不同,但是需要围绕组织安全、管理安全、技术安全进行全面的考虑。信息系统安全规划的最终效果应该体现在对信息系统与信息资源的安全保护上,下面将分别对组织规划、管理规划和技术规划分别进行阐述。信息安全规划依托企业信息化战略规划,对信息化战略的实施起到保驾护航的作用。信息系统安全规划的目标应该与企业信息化的目标是一致的,而且应该比企业信息化的目标更具体明确、更贴近安全。信息系统安全规划的一切论述都要围绕着这个目标展开和部署。
3 信息安全组织规划
3.1 组织规划目标
组织建设是信息安全建设的基本保证,信息安全组织的目标是:
1)完善和形成一个独立的、完整的、动态的、开放的信息安全组织架构,达到国际国内标准的要求;
2)打造一支具有专业水准的、过硬本领的信息安全队伍。对内可以保障企业内部网安全,对外可以向社会提供高品质的安全服务;
3)建设一个 “信息安全运维中心(SOC)”,能够满足当前和未来的业务发展及信息安全组织运转的支撑系统,能够对外提供安全服务平台。
3.2 组织规划实施
对于组织规划这个方面,是属于一个企业信息安全规划的上层建筑,需要用一种由上而下的方法来实现,其主要是在具体人事机制、管理机制和培训机制上做工作。对于分布式企业而言,需要主导部门从上层着手,建章立制,强化安全教育,加大基础人力、财力和物力的投入。
4 信息安全管理规划
4.1 管理规划目标
信息安全管理规划的目标是,完善和形成“七套信息安全软措施”,具体包括:一套等级划分指标,一套信息安全策略,一套信息安全制度,一套信息安全流程规范,一套信息安全教育培训体系,一套信息安全风险监管机制,一套信息安全绩效考核指标。“七套信息安全软措施”关系如图1所示。
4.2 信息安全管理设计
基于对管理目标的分析,信息安全管理的原则以风险管理为主,集中安全控制。管理要素由管理对象、安全威胁、脆弱性、风险、保护措施组成。
4.2.1 信息安全等级划分指标
信息安全等级保护是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化健康发展的基本策略。
4.2.2 信息安全策略
信息安全安全策略是关于保护对象说明、保护必要性描述、保护责任人、保护对策以及意外处理方法的总和。
4.2.3 信息安全制度
信息安全制度是指为信息资产的安全而制定的行为约束规则。
4.2.4 信息安全规范
信息安全规范是关于信息安全工作应达到的要求,在信息安全规范方面,根据调查,建立信息安全管理规范、信息安全技术规范。其中,安全管理规范主要针对人员、团队、制度和资源管理提供参照性准则;信息安全技术规范主要针对安全设计、施工、维护和操作提供技术性指导建议。
4.2.5 信息安全管理流程
信息安全流程是指工作中应遵循的信息安全程序,其目的是减少安全隐患,降低风险。
4.2.6 信息安全绩效考核指标
信息安全绩效考核指标是指针对信息安全工作的质量和态度而给出的评价依据,其目的是增强信息安全责任意识,提高信息安全工作质量。
4.2.7 信息安全监管机制
信息安全监管机制是指有关信息安全风险的识别、分析和控制的措施总和。其主要目的加强信息安全风险的控制,做到“安全第一,预防为主”。
4.2.8 信息安全教育培训体系
其主要目的加强的信息安全人才队伍的建设,提高企业人员的信息安全意识和技能,增强企业信息安全能力。
5 信息安全技术规划
5.1 技术规划目标
信息安全技术规划目标简言之是:给业务运营提供信息安全环境,为企业转型提供契机,构建信息安全服务支撑系统。具体目标如下:
1)打造信息安全基础环境,调整和优化IT基础设施,建立安全专网,设置两个中心(信息安全运维中心、灾备中心);
2)建立一体化信息安全平台,综合集成安全决策调度、安全巡检、认证授权、安全防护、安全监控、安全审计、应急响应、安全服务、安全测试、安全培训等功能,实现的集中安全管理控制,快速安全事件响应,高可信的安全防护,拓展企业业务,开辟信息安全服务新领域。
5.2 信息安全运维中心(SOC)
SOC 是信息安全体系建设的基础性工作,SOC 承载用于监控第一生产网的安全专网核心基础设施,提供信息安全中心技术人员的办公场所,提供“7×24”小时连续不断的安全应用服务,提供实时监控、远程入侵发现、事件响应、安全更新与升级等业务,SOC 要求具有充分保障自身的安全措施。除了SOC 的组织建设、基础工程外,SOC 的技术性工作还要做以下几个方面:
1)硬件基础建设,主要内容是SOC 的选址、布局、布线、系统集成,实现SOC 自身的防火、防潮、防电、防尘、安全监控功能;
2)软件基础建设,包括SSS 系统、机房监控子系统、功能小组及中心组划分。
图1 信息安全软措施关系
图2 信息安全总体框架
图3 资产、组织、管理和安全措施的关系
5.3 信息安全综合测试环境
随着分布式企业信息化程度的日也加深,需要部署到大量IT 产品和应用系统,为了保障安全,必须对这些IT 系统和产品做入网前安全检查,消除安全隐患。基于此,综合测试环境建设的内容包括:安全测试网络;测试系统设备;安全测试工具;安全测试分析系统;安全测试知识库。
其中,安全测试网络要求能够模拟企业网络真实的带宽;测试系统设备能够提供典型的网络服务流量模拟、典型的应用系统流量模拟;安全测试工具覆盖防范类、检测类、评估类、应急恢复类、管理类等,并提供使用说明、漏洞扫描、应用安全分析;安全测试分析系统能够提供统计分析、图表展现功能;安全知识库包含以下内容:漏洞知识库,补丁信息库,安全标准知识库,威胁场景视频库,攻击特征知识库,信息安全解决案例库,安全产品知识库,安全概念和术语知识库。
5.4 安全平台建设规划
参照国际上PDRR 模型和国家信息安全方面规范,建议信息安全总体框架设计如图2所示。
主要目的,以资产为核心,通过安全组织实现资产保护,以安全管理来约束组织的行为,以技术手段辅助安全管理。其中,资产、组织、管理、安全措施的关系如图3所示,核心为资产,围绕资产是组织,组织是管理,最外层是安全措施。
在平台中集成十个安全机制,它们分别是:信息安全集中管理;信息安全巡检;信息安全认证授权;信息安全防护;信息安全监控;信息安全测试;信息安全审核;信息安全应急响应;信息安全教育培训;信息安全服务。
6 信息安全服务业务规划
6.1 服务业务规划目标
信息安全服务业务规划目标简言之是:以信息安全服务为切入点,充分发挥企业优势资源,引领信息安全市场,为企业转型创造时机。具体目标如下:
1)推出面向客户安全(检查、教育、配置)产品;2)推出面向大型企业的信息安全咨询产品;3)推出面向家庭安全上网产品;4)推出面向企业安全运维产品;5)推出面向企业灾害恢复产品。
6.2 服务业务规划设计
服务业务规划主要针对具体业务而言,在此列举信息类分布式企业业务作为示例:
1)信息安全咨询类产品,其服务功能主要有:信息安全风险评估;信息安全规划设计;信息安全产品顾问。
2)信息安全教育培训类产品,其服务功能主要有:提供信息安全操作环境;提供信息安全知识教育;提供信息安全运维教育。
3)家庭类安全服务产品,其服务功能主要有:推出“家庭绿色上网”安全服务;家庭上网防病毒服务;家庭上网机器安全检查服务;家庭上网机数据备份服务。
4)企业类安全服务产品,其服务功能主要有:企业安全上网控制服务;企业安全专网服务;安全信息通告;企业运维服务。
5)容灾类安全服务产品,其服务功能主要有:面向政府数据灾备服务;面向政府信息系统灾备服务;面向企业数据灾备服务;面向企业信息系统灾备服务。
7 结束语
通过结合分布式企业的具体实际,按照信息安全体系结构相关标准,提出了分布式企业的信息安全规划原则和目标。并依据次原则与目标,按照组织、管理和技术三个方面提出了具体的实现与设计规范原则。最后,依据服务规划目标,提出了信息类分布式企业的信息安全服务规划设计实例。
参考文献:
[1] 周晓梅. 论企业信息安全体系的建立[J]. 网络安全技术与应用,2006,3:62~64,57.
[2] Harold F. Tipton,Micki Krause. Information Security Management Handbook[M]. Fifth Edition.US:Auerbach Publications,2004.
[3] 魏永红,李天智,张志. 网络信息安全防御体系探讨[J].河北省科学院学报,2006,23,(1):25~28.
[4] 张庆华. 信息网络动态安全体系模型综述[J].计算机应用研究,2002,10:5~7.
[5] ISO/IEC 15408,13335,15004,14598,信息技术安全评估的系列标准[S].
[6] BS7799-1,7799-2,ISO/IEC 17799,信息安全管理系列标准[S].
[7] BS7799-2,Information Security Management Systems-Specification With Guidance for use[S].
通常,制造型企业只有在发生了信息泄露、病毒攻击、系统破坏等信息安全事件时,才会临时从信息技术部和业务部门抽调人手处理和解决信息安全事件.出现新的信息安全要求时,才会临时组建项目小组,根据新的信息安全要求制定解决方案并实施计划,项目完成后,临时小组就会解散,没有人会继续跟进和执行解决方案.由于没有定期的信息安全评估,安全计划不断地重复开始和结束,带来大量的人财物重复投入,这将导致安全计划成本不断增加,企业的工作效率不断降低,信息安全防护也未得到有效提升.
(二)员工上网无限制
虽然制造型企业为员工上网提供了用户名及密码,并且对其登录的网站进行了监测,但是员工在工作时间还是可以无设防地利用外网进行网页游览、网络社交等行为,并且使用一些网站的免费邮箱随意地接收和发送电子邮件,这些给黑客、病毒、钓鱼软件等创造了对企业内部网络攻击的机会.于是,员工在不了解原因的情况下,使得企业的信息被泄露或者内部网络瘫痪,从而影响企业的正常工作,造成企业资产的损失.
(三)个人移动设备(BYOD)使用泛滥
在制造型企业的办公场合,员工会携带个人移动设备(BYOD)如笔记本电脑、平板电脑、智能手机、移动硬盘等进行办公.企业员工可以较为随意地使用这些移动存储设备对内部文件进行拷贝,并且可以使用移动设备接入企业内网的无线WiGFi,并拥有一定程度的内网数据读取权限,这样做虽然节约了企业的办公成本,提高了办公的效率,但是也增加了企业内网病毒感染及遭受黑客恶意入侵的风险.
(四)信息安全防护水平有限
出于性能、技术等因素的考虑,加之国内自主研发的信息安全产品较少,目前进口的信息安全产品受到许多制造型企业的广泛采用.尽管这些企业的信息安全需求以此得到了满足,但近几年来,进口产品设备故障的频繁发生也对制造型企业的业务带来了不同程度的影响.同时,进口信息安全产品已经占据了这些企业信息系统的关键节点,这使得企业的商业机密时刻处于高危状态.不仅如此,部分制造型企业仍旧停留在使用免费的个人版杀毒软件阶段,而这些软件不仅无法解决病毒交叉感染的问题,也没有统一的管理平台对企业内网的安全系统进行统一的升级与维护.另外,信息安全产品在企业内的无序堆叠不仅使得各安全产品存在兼容性问题,同时也使得各产品厂商只能提供与自己产品有关的技术支持,导致企业对问题很难进行跟踪和排查.最后,企业电脑终端上的防毒程序未开启或者未升级至最新版本,以及系统漏洞修补的不及时都造成了多病毒大面积入侵企业内网.
(五)信息安全事件处理不及时
制造型企业在发生信息安全事件时,即使有相关的信息安全管理产品,但无法迅速定位安全事件,更无法快速进行安全事件响应处理,常处于混乱、无序的运维管理状态.由于企业的安全管理人员无法全面了解整个企业网络中正在发生的内部越权访问和外部攻击,出现问题时,他们多表现得无从下手或者手忙脚乱.而且,企业各部门各自为政,对发生信息安全事件无法进行统一规范的快速处理.
二、制造型企业信息安全薄弱的原因
(一)员工信息安全意识淡薄
制造型企业员工信息安全意识比较淡薄,主要表现为企业管理层没有充分认识到信息安全的重要性,没有将信息安全管理工作与企业生产安全管理工作放在同等重要的高度来对待,更没有把它作为日常管理工作的一部分.管理层之所以没有信息安全意识主要是因为信息安全不会直接为企业带来经济效益,反而需要投入大量的时间和资源,尤其是对于受部门业绩压力和资源限制的业务部门来说,他们不愿意把时间和资源放在信息安全防护工作上,并且他们还认为不采取安全防护措施不一定会造成损失.普通员工则表现在他们不了解什么信息安全,不知道遵守和执行信息安全制度对自己及企业带来的影响,缺少必要的信息安全教育与培训,有意或无意地导致信息安全事件的发生.
(二)信息安全技术体系不完善
信息安全防护水平受到限制除了受上述因素影响外,还有就是没有完善的物理安全、运行安全和数据安全相统一的信息安全技术体系,具体体现在企业使用的软件设计存在缺陷或者技术漏洞、杀毒软件不及时更新;信息系统设计没有以风险评估为基础、业务流程描述错误或漏洞、数据访问权限设置不清晰、关键数据没有备份等因素;物理安全边界不明确、设备或存储介质缺乏安全措施、电缆损坏、不可抗力的自然灾害等.
(三)信息安全事件应急响应机制缺失
信息安全事件处理不及时很大程度上是因为没有建立信息安全事件应急响应机制.制造型企业没有对信息安全事件进行分级响应与处置,也没有结合企业的实际情况通过预测、评估和分析安全事件对企业造成的后果程度进行等级划分,并针对不同的安全事件制定相应的应急预案.同时,大部分制造型企业在处理信息安全事件时更多依靠的是人的经验和责任心,缺少标准化的信息安全事件处理流程,以及必要的审核和工具支撑.
三、改进制造型企业信息安全的对策
通过上述分析可知,信息安全问题不仅出现在技术方面,还更多地出现在管理方面.因此,为了保障企业的业务持续运行,加强企业的股东、客户以及服务提供商对企业信息安全的信任,增强企业的核心竞争能力,制造型企业可以将管理、技术和运维三方面有效地结合起来,促进企业的可持续发展.
(一)建立健全的信息安全组织层级结构
企业信息安全组织架构的建立是围绕企业信息安全管理的战略目标,对企业的信息资源、人力资源、安全技术产品等进行合理安排和配置,构成相互协作的有机整体,使企业的信息安全活动协调有效地运行.制造型企业通过建立多层次、跨部门的信息安全决策委员会、信息安全工作部、信息安全执行部的层级结构,不仅能在企业中形成一张网,覆盖企业的各个部门,有利于信息安全措施的实施和针对信息安全事件的快速响应,而且还能为后续建立信息安全管理体系提供组织上的保证.信息安全决策委员会主要负责制定信息安全制度和策略、明确各部门信息安全职责、协调各部门实施信息安全控制措施以及信息安全活动的实施等.信息安全工作部由各部门负责信息安全管理的工作人员构成,实施决策委员会制定的信息安全策略、制度和方针,并负责各部门的信息安全管理工作.信息安全执行部具体有三个部门,即信息安全规划部、信息安全监督审计部、信息安全运行保障部,并且由各部门进行业务支撑。
(二)加强人员教育培训和规范管理
信息安全最大的威胁不是来自于企业外部的攻击或是企业信息安全技术的缺陷,而是企业人员缺乏信息安全意识.为了能够有效地提高企业员工的信息安全意识,企业需要对员工进行完善的信息安全教育培训,这不仅能提高员工的信息安全保护技能,还能更好地保护企业的信息安全.制造型企业在制定信息安全教育培训内容时,可以根据员工在企业中所处的职位高低和工作性质的不同有针对性地制定.对于企业管理者而言,教育培训以信息安全核心知识、风险管理、信息安全政策等为主;企业的信息技术人员,则是以信息安全技术教育培训为主;一般员工结合所在部门的业务特点以信息安全意识培训为主.除了对企业的人员进行教育培训,还需对其进行规范化管理.对掌握产品生产、原材料采购等核心信息的管理者实施更加严格的信息安全监督管理制度;对负责计算机系统及日常维护的人员界定其工作权限;规范化管理员工的上网行为,合理利用网络资源,避免人为的网络安全隐患.同时在规范管理中引入绩效考核机制,这样不仅使信息安全管理的指标量化,而且,通过信息安全监督审计工作组对员工信息安全工作进行考核,使员工更加重视企业信息安全.因此,加强企业员工的教育培训和规范化管理,不仅可以营造企业信息安全文化氛围,还可以约束员工的行为,减少人为因素导致的信息安全事件发生.
(三)完善信息安全技术体系
信息安全技术是企业信息安全的保障,完善的信息安全技术体系可以防止由于技术因素导致的信息安全漏洞,避免给外部攻击者留下可乘之机,从而减少技术因素导致的信息安全事件发生.制造型企业需从以下六个方面去建立完善的信息安全技术体系,并采用“适度防御”的原则,选择合适的安全技术与产品,形成企业适用的安全技术防线.一是保障并完善数据安全,制造型企业需通过加密的手段保护企业系统中数据的机密性和完整性,从而提高数据访问的抗抵赖性,同时加强数据的异地灾难恢复机制,实现本地数据的实时远程复制与备份,避免本地系统遭受灾难性破坏导致企业系统中数据的遗失.二是保障并完善终端安全,制造型企业除了要采用全面可靠的防病毒体系和防火墙技术外,还需制定严格的移动终端设备使用制度,一方面是为了避免内部员工利用移动终端设备随意拷贝企业内部文件,导致企业内部信息向外泄露,另一方面是为了防止移动终端设备携带的病毒漏过企业系统设置的防火墙而直接在系统内部传播.三是保障和完善应用安全,除了提供用户名和口令外其他身份验证机制,必要时还需支持双因素认证和具备登录控制模块,同时在日常工作不受影响的情况下,控制员工访问权限,减少越权操作的现象,最大限度地保障个人系统的安全.四是保障和完善网络安全,制造型企业还需通过内外部署相应的网络与信息安全设施使计算机设备的物理管理得到加强,并对入侵检测系统和漏洞扫描系统进行内外部攻击和误操作的实时保护的安全设计,使系统免于网络攻击的同时,也提升了系统管理人员的安全管理水平.五是保障主机安全,除了采用系统扫描技术对操作系统层设备和系统进行智能化检测来帮助网络管理人员高效地完成定期检测和操作系统安全漏洞修复的工作,还应采用系统实时入侵探测技术来监控主机系统事件,检测攻击的可疑特征,并给予响应和处理.六是保证物理安全,制造型企业需要保证机房与设施的安全,针对环境的物理灾害、自然灾害和人为的蓄意破坏采取安全措施,并通过防盗、防毁、防电磁干扰来保证设备的安全.
―、影响供电企业信息安全的主要因素分析
增强信息系统安全的措施的制度,需要依据对影响信息安全的因素的分析。要保证硬件设备的安全,就要考虑自然环境以及各种不可抗拒因素,例如水灾、雷电等,会造成网络信号中断、数据遭到破坏等。还需考虑电磁产生的干扰因素,信息传输中受到电磁干扰,容易导致信息的泄漏。
物理设备的潜在风险不容忽视。在供电企业信息系统中使用了大量的网络设备,比如路由器等,这些设备本身的安全性能也会对网络的正常运行产生较大的影响。
严禁供电企业以及调度中心的电力控制系统直接和办公信息网络进行连接,务必安装经国家相关部门认证的专业安全隔离设施,同时选择专用设备组网,确保物理层面上和公用信息网络之间的安全隔离。
二、加强信息安全的对策
1.进一步提升广大职工的信息安全知识水平,加强员工的安全文化建设及其信息安全防患意识。开展信息安全管理工作,并非仅仅是系统使用或者管理部门的事,而是企业所有职工的事,因此务必增强全体员工的信息安全以及防患意识。通过采取培训各种考核等有力措施,进_步提升全体员工对企业信息安全的认识,让信息安全成为企业曰常工作业务的一个组成部分,从而提升企业整体信息安全水平。当前世界已进入知识经济时代,这一变化对电力企业安全文化建设提出了更加严格的要求,广大电力企业必须进一步强化安全文化建设,以便能够顺应知识经济时代的发展要求。
2.设置系统授权。为了预防非法用户侵入系统,应按照用户不同的级别所获得的相应权限对用户进行对应的限制,并且投入资金开展安全技术督查以及安全审计等相关活动。信息安全并非_朝_夕就能完成的事,它需要一个长期的过程才能达到较高的水平,建立并完善相应的管理制度,从平时的基础工作着手,及时发现问题,汇报问题,分析问题并解决问题。
3.预防计算机病毒的袭击。加速信息安全管控方法的建设,在电力信息化工作中,办公自动化是其中一项非常重要的内容;而核心工作业务就是电子邮件的发送与接收,这也正是计算机病毒的一个非常重要的传播渠道。因此,必须大力促进个人终端标准化工作的建设,完善人终端补丁程序并实现病毒软件进行自动更新、自动升级,不得随意下载并安装盗版软件。加强对木马病毒等的安全防范措施,对用户访问实施严格控制。
4.由硬性管理逐步转变为知识型管理。传统的安全管理大部分采取的是一种硬性的管理手段。在当今知识经济的时代,安全管理应当以知识管理为主,从而使得安全管理措施与手段也将愈来愈知识化、数字化以及智能化,促进信息安全管理工作进入一个崭新的阶段。
5.加强信息安全应急及其汇报制度,进一步完善信息安全应急预案,并且加强演练。严格规范信息安全事故通报程序,对于隐瞒信息事件的现象必须严肃查处。对于国家以及企业信息安全运行动态及时加以通报,强化对事件的分析,及时信息安全通告。对于已经制定的相关预案以及安全措施必须强化督促实施,进一步加强信息安全技术督查队伍的建设,提高信息安全考核与执行的力度。
三、结语
网络安全是一个系统的的管理问题,任何一个漏洞,都会导致全网的安全问题。对于广大供电企业而言,电力信息系统的安全工作与生产安全工作同样重要,电力信息安全也是国家安全的一个非常重要的组成部分。所以,积极开展信息安全技术的研究,进一步完善电力信息系统的安全体系,对于提高电力系统安全平稳、经济高效运行以及加快"数字电力系统〃的建设步伐,都有非常重大的现实意义。
参考文献:
[1]Christopher信息安全管理[M]北京:清华大学出版杜,2005.