首页 > 精品范文 > 企业信息安全管理体系
时间:2023-10-30 10:33:01
序论:写作是一种深度的自我表达。它要求我们深入探索自己的思想和情感,挖掘那些隐藏在内心深处的真相,好投稿为您带来了七篇企业信息安全管理体系范文,愿它们成为您写作过程中的灵感催化剂,助力您的创作。
【 关键词 】 信息安全;电力企业;风险评估;管理模式
1 引言
在如今的信息化社会中,信息通过共享传递实现其价值。在信息交换的过程中,人们肯定会担心自己的信息泄露,所以信息安全备受关注,企业的信息安全就更为重要了。但是网络是一个开放互联的环境,接入网络的方式多样,再加上技术存在的漏洞或者人们可能的操作失误等,信息安全问题一刻不容忽视。尤其是电力,是国家规定的重要信息安全领域。所以电力企业要把信息安全管理体系的建设,作为重要的一环纳入到整个企业管理体系中去。
2 电力企业信息管理体系建设的依据
关于企业的安全管理体系方面的标准有很多。英国BSI/DISC的BDD信息管理委员会制定的安全管理体系主要包含两个部分内容:信息安全管理实施规则和信息安全管理体系规范。信息安全管理实施规则是一个基础性指导文件,里面有10大管理项、36个执行的目标和127种控制的方法,可以作为开发人员在信息安全管理体系开发过程中的一个参考文档。信息安全管理体系规范则详细描述了在建立、施工和维护信息安全管理体系过程的要求,并提出了一些具体操作的建议。
国际标准化组织也了很多关于信息安全技术的标准,如ISO x系列、ISO/IEC x系列等。我国也制定了一系列的信息安全标准,如GB 15851―1995。
关于企业信息安全管理体系方面的标准众多,如何针对企业自身实际情况选择合适的参考标准很重要,尤其是电力企业有着与其他企业不同的一些特殊性质,选择信息安全体系建设的参考标准更要谨慎。我国电力企业已经引入了一些国际化标准作为建立和维护企业运转的保证,关于信息安全体系的标准也应纳入到保证企业运转的一系列参考中去。电力企业总体应有一致的安全信息管理体系参考标准,但是具体地区的公司又有着本身自己的特殊环境,所以在总体一致的信息安全标准的情况下,也应该根据企业自身地区、人文、政策等的不同制定一些企业内部自己信息安全标准作为建立、实施和维护信息安全管理体系的依据。信息安全管理体系顾全大局又要有所侧重的体现电力企业安全标准的要求。
3 信息安全管理体系里的重要环节
3.1 硬件环境要求
信息安全管理体系并没有特别要求添加什么特别的设备,只是对企业用到的设备做一些要求。电力企业一般采用内外网结合的方式,内外网设备要尽量进行物理隔离。企业每个员工基本都有自己的移动设备,如手机等,为了增加信息安全的系数,企业可以限制公司设备的无线网络拓展。另外,实时监控系统也应该覆盖企业的重要设备,监控硬件设备的安全。
3.2 软件环境要求
在企业设备(主要是计算机)上部署相关软件环境是信息安全管理体系中最重要的部分。比如防病毒软件的部署、桌面系统弱口令监控软件的部署等,以此防止网络攻击或者提高安全系数。另外,企业设备所用系统的安全漏洞修复、数据的加密解密、数据的备份恢复及数据传输通道的加密解密等问题,都在信息安全管理体系设计的考虑范畴。
3.3 企业员工管理
尽管现在一直倡导智能化,但是企业内进行设备等操作的主体还是员工。不管是对设备终端操作来进行信息的首发,还是对企业软硬件系统进行维护工作,都是有员工来进行的。所以,对企业内部员工进行信息安全培训,提高员工的信息安全防范意识,让员工掌握一定的信息安全防范与处理手段是非常重要的事情。针对不同的职位,在员工上岗前应该进行相关的信息安全方面的培训,然后对培训结果进行考核,不合格的人员不准上岗。在岗的人员也要定期进行培训与考核。另外,如果有条件的话,企业应该定期(例如每年)进行一次信息安全的相关演习。
另外,电力企业有些项目是外包给其他相应公司的,这时候会有施工人员和驻场人员在电力企业,对这些人员也应该进行电力企业信息安全的培训。
3.4 信息安全管理体系的风险系数评估
风险评估在信息安全管理体系中是确定企业信息安全需求的一个重要途径,它是对企业的信息资产所面临的威胁、存在的弱点、造成的影响,以及三者综合作用下所带来的风险可能性的评测。风险评估的主要任务是:检测评估对象所面临的各种风险,估计风险的概率和可能带来的负面影响的程度,确定信息安全管理体系承受风险的能力,确定不同风险发生后消减和控制的优先级,对消除风险提出建议。在信息安全管理体系的风险系数评估过程中,形成《风险系数评估报告》、《风险处理方案》等文档,作为对信息安全管理体系进行调整的参考。风险系数的评估要尽可能全面的反映企业的信息安全管理体系,除了常规手段,也可以使用一些相应的软件工具的结果作为参考。另外很值得注意的是企业的员工对风险的理解,企业员工对他们所操作的对象有比较深刻的理解,对其中可能存在的不足也有自己的见解,在风险系数评估的过程中,可以进行一些员工的问卷调查等,把员工对风险的认识纳入风险评估的考虑范畴。
企业的设备会老旧更换,员工也会更换,所以企业的信息安全是动态的,因此风险评估工作也要视具体情况定期进行,针对当前情况作评估报告,然后制定相应的风险处理方案。还有,之所以要建立信息安全管理体系,其中很重要的一点就是体系内各个模块的结合,信息安全管理体系的风险评估与关键内容的实时监控就应该结合起来。
为了降低信息安全管理体系的风险系数,提升信息安全等级,要做的工作很多。渗透测试就是其中很有必要的一项工作。渗透测试是测试人员通过模拟恶意攻击者的攻击方式,来评估企业计算机网络系统安全的一种评测方法。这个测试过程会对系统的可知的所有弱点、技术方面的缺陷或者漏洞等作主动的分析。渗透测试对于网络信息安全的组织具有实际应用价值。随着技术的不断进步,可能还会出现其他的更有价值的信息安全技术,作为信息安全备受瞩目的电力企业,应当时刻关注相关技术的进展,并及时将它们纳入企业信息安全管理体系中来。
3.5 信息安全管理体系的管理模式
文章前面提到企业信息安全是动态的,所以信息安全管理体系需要建立一个长效的机制,针对最新的情况及时对自身作出调整,使信息安全管理体系有效的运行。现在一般会采用PDCA循环过程模式:计划,依照体系整个的方针和目标,建立与控制风险系数、提高信息安全的有关的安全方针、过程、指标和程序等;执行:实施和运作计划中建立的方针、过程、程序等;评测:根据方针、目标等,评估业绩,并形成报告,也就是文章前面说到的风险系数评估;举措:采取主动纠正或预防措施对体系进行调整,进一步提高体系运作的有效性。这四个步骤循环运转,成为一个闭环,是信息安全管理体系得到持续的改进。
4 重要技术及展望
4.1 安全隔离技术
电力企业的信息网络是由内外网两部分组成,从被防御的角度来看的话,内网的主要安全防护技术为防火墙、桌面弱口令监控、入侵检测技术等;而主动防护则主要采用的是安全隔离技术等。安全隔离技术包括物理隔离、协议隔离技术和防火墙技术。一般电力企业采用了物理隔离与防火墙技术,在内网设立防火墙,在内外网之间进行物理隔离。
4.2 数据加密技术
企业的数据在传输过程中一般都要进行加密来降低信息泄露的风险。可以根据电力企业内部具体的安全要求,对规定的文档、视图等在传输前进行数据加密。尤其是电力企业通过外网传输的时候,除了对数据进行加密外,还应该在链路两端进行通道加密。
4.3 终端弱口令监控技术
终端设备众多,而且是业务应用的主要入口,所以终端口令关乎业务数据的安全以及整个系统的正常运转。如果终端口令过于简单薄弱,相当于没有设定而将设备暴露。终端的信息安全是电力企业信息安全的第一道防线,因此采用桌面系统弱口令监控技术来加强这第一道防线的稳固性对电力企业的信息安全非常重要。
电力企业信息安全管理体系是一个复杂的系统,包含众多的安全技术,如数据备份及灾难恢复技术、终端安全检查与用户身份认证技术、虚拟专用网技术、协议隔离技术等。凡是与信息安全相关的技术,电力企业都应当关注,并根据企业自身的情况决定是否将之纳入到信息安全管理体系中去。
智能化已成为不管是研究还是社会应用的热门词汇。电力企业的信息安全管理体系是否可以智能化呢?不妨做一个展望,电力企业的信息安全管理体系有了很强的自我学习与自我改进的能力,在信息安全环境越来越复杂,信息量越来越庞大的情况下是否会更能发挥信息安全管理体系的作用呢?这应该是值得期待的。
5 防病毒软件部署
电力企业信息安全管理体系有很多软件系统的部署,如防病毒软件部署、桌面弱口令监控系统部署、系统安全卫士部署等。但是它们的部署情况类似,这里用防病毒软件的部署来展示电力企业信息安全管理体系中软件系统的部署情况。如图1所示为防病毒软件的部署框架。
杀毒软件种类有很多,这里以赛门铁克杀毒软件为例。企业版的赛门铁克防病毒软件系统相比单机版增加了网络管理的功能,能够很大程度地减轻维护人员的工作量。为了确保防病毒软件系统的稳定运行,在电力企业内部正式使用时,尽量准备一立的服务器作为防病毒软件专用的服务器。
服务器安装配置好赛门铁克防病毒软件后,可以远程控制客户端与下级升级服务器的软件安装与升级。
电力企业内网可能是禁止接入外网的,这样的话,防病毒软件的更新可能无法自动完成。防病毒软件需要升级的时候,维护人员在通过外网在相应网址下载赛门铁克升级包,然后通过安全U盘拷贝到防病毒软件系统专用服务器进行升级操作。在图1中,省电力公司的防病毒管理控制台获得升级包可以下发给下级升级服务器和客户端进行防病毒软件系统的自动升级更新。图1是一个简单的框图,如果电力企业的内网规模很大的话,还可以更多级地分布部署。
6 结束语
电力企业的信息安全与企业的生产与经营管理密切相关,是企业整个管理系统的一部分。信息安全管理体系是一个整体性的管理工作,把体系中涉及的内容统一进行管理,让它们协调运作,实现信息安全管理体系的功能。电力企业信息安全的建立与体系不断的改进定能稳定、有效地维护企业的信息安全。
参考文献
[1] 王志强,李建刚.电网企业信息安全管理体系建设[J].浙江省电力公司,2008,6(3):26-29.
[2] 陈贺,宫俊峰.浅析信息安全体系如何建立[J].中国管理信息化,2014,17(1):74-76.
[3] 郭建,顾志强.电力企业信息安全现状分析及管理对策[J].信息技术,2013(1):180-187.
[4] 沈军.火力发电厂信息你安全体系构建与应用[J].电力信息通信技术,2013,11(8):103-108.
[5] 左锋.信息安全体系模型研究[J].信息安全与通信保密,2010,01(10):68-71.
[6] 杨柳.构建供电企业信息安全体系[J].电脑知识与技术,2005(29).
[7] 曹鸣鹏, 赵伟, 许林英. J2EE技术及其实现[J]. 计算机应用,2001, 21(10): 20-23.
[8] 江和平.浅谈网络信息安全技术[J].现代情报学,2004(14):125-127.
作者简介:
崔阿军(1984-),男,甘肃平凉人,硕士研究生,工程师;主要研究方向和关注领域:电力信息通信安全技术研究。
张驯(1984-),男,江苏扬州人,本科,工程师;主要研究方向和关注领域:电力信息通信安全技术研究。
李志茹(1984-),女,山东平度人,硕士研究生,工程师;主要研究方向和关注领域:信息化建设及安全技术。
龚波(1981-),男,湖南新邵人,本科,工程师;主要研究方向和关注领域:电力信息化建设及安全技术。
(一)管理使用的系统
ERP、加油站账册、二次物流管理、加油卡、办公自动化以及企业门户网站等系统是石化销售企业首要的应用系统。应用系统有以下特征:一是系统应用范围广,全程参与企业的经营、管理、对外服务等;二是系统用户众多,涵盖企业各阶层员工;三是系统对持续运转要求高,因此对应用系统的安全运转要求较高。对公司的经营管理而言,系统的安全稳定运行具有重大意义,系统数据是否安全、保密性和供应商、企业利益有密切关系。
(二)安全管理
随着我国经济水平不断提高,石化销售企业越来越离不开信息化管理,世界各地的公司对内部成立一个信息化团队,根据内部的需要制定出具有整体性的管理体系,并根据相关的信息安全规定对系统内部的安全等级做好评估保护工作。各企业制定了详细有效的“信息系统应急预案”以应付各类突发事件。近几年,中国石化内控体系在建设过程中不断加强、完善自身管理体系,也在IT控制方面占有一定的优势。当前,石化销售企业已基本形成一套完整的信息安全防御和管理体系,从而确保了网络信息系统的安全性。
二、信息安全风险的评估
衡量安全管理体系的风险主要方法是进行信息安全风险的评估,以此保障信息资产清单和风险级别,进而确定相应的防控措施。在石化销售企业进行信息安全风险的评估过程中,主要通过资金、威胁、安全性等识别美容对风险进行安全检测,同时结合企业自身的实际情况,拟定风险控制相应的对策,把企业内的信息安全风险竟可能下降到最低水平。
(一)物理存在的风险
机房环境和硬件设备是主要的的物理风险。当前,部分企业存在的风险有:1)企业机房使用年限过长,如早期的配电、布线等设计标准陈旧,无法满足现在的需求;2)机房使用的装备年限太长、例如中央空调老化,制冷效果不佳导致温度不达标,UPS电源续航能力下降严重,门禁系统损坏等,存在风险;3)机房安全防护设施不齐全,存在风险。
(二)网络和系统安全存在的风险
石化访问系统的使用和操作大量存在安全风险,其中主要风险包括病毒入侵、黑客袭击、防火墙无效、端口受阻以及操作系统安全隐患等。即使大部分企业已安装统一的网络防病毒体系、硬件防火墙、按期更新网络系统软件、安装上网行为监控等,但因为系统漏洞数目不断增多网络结构和袭击逐渐减弱或者因为信息系统使用人员操作系统本身的安全机制不完善、也会产生安全隐患。
(三)系统安全风险
没有经过许可进行访问、数据泄密和被删改等威胁着系统的安全性。提供各类应用服务是企业信息系统的首要任务,而数据正是应用信息系统的核心,因此,实际应用与系统安全风险密切联系。当前,信息应用系统存储了大量的客户、交易等重要信息,一旦泄露,造成客户对企业信任度影响的同时也会影响企业的市场竞争力。
(四)安全管理存在的风险
安全管理存在的主要指没有同体的风险安全管理手段,管理制度不完善、管理标准没有统一,人员安全意识薄弱等等都存在管理风险,因此,需要设立完善的信息系统安全管理体系,从严管理,促使信息安全系统正常运作。一方面要规范健全信息安全管理手段,有效较强内控IT管理流程控制力度,狠抓落实管理体系的力度,杜绝局部管理不足点;另一方面,由于信息安全管理主要以动态发展的形式存在,要不断调整、完善制度,以符合信息安全的新环境需求。
三、信息安全管理体系框架的主要构思
信息安全管理体系的框架主要由监管体系、组织体系和技术体系形成,特点是系统化、程序化和文件化,而主要思想以预防控制为主,以过程和动态控制为条件。完善安全管理体系,使石化销售企业信息系统和信息网络能够安全可靠的运作,从机密性、完整性、不可否认性和可用性等方面确保数据安全,提升系统的持续性,加强企业的竞争力。
(一)组织体系
企业在完善管理体系过程中应设立信息安全委员会和相关管理部门,设置相应的信息安全岗位,明确各级负责的信息安全和人员配置等内容。在全面提升企业人员对信息安全了解的过程中必须进行信息安全知识的相关培训,使工作人员提高信息安全管理意识,实现信息安全管理工作人人有责。
(二)制度体系
操作规范、安全策略、应急预案等各项管理制度经过计划和下发,让信息安全管理有据可依。企业参照合理完善的各项制度进一步优化业务流程,规范操作行为,降低事故风险,提升应急能力,以此加强信息安全的管理体系。
(三)技术体系
管理技术、防护技术、控制技术是信息安全管理体系的主要技术基础。安全技术包括物理安全技术、网络安全技术、主机安全技术、终端安全技术、数据安全、应用安全技术等。一旦出现信息安全事件,技术体系会在最短的时间内降低事件的不良影响,依靠相关的信息安全管理技术平台,以实现信息安全技术的有效控制。管理体系的核心是技术手段,先进的加密算法和强化密钥管理构成的数据加密方式全程控制数据传输和数据存储,可以保证数据的安全性。采用堡垒机、防火墙等安全系统可以过滤掉不安全的服务和非法用户,防止入侵者接近防御设备。IDS作为防火墙的重要功能之一,能够帮助网络系统快速检测出攻击的对象,加强了管理员的安全管理技术(包括审计工作、监视、进攻识别等技术),提高了信息安全体系的防范性。企业数据备份这一块可以采用双机热本地集群网、异地集群网等各种形式进行网络备份,利用体统的可用性和容灾性加强安全管理能力。
近年来各个企业的恶意软件、攻击行为手法变化多端很难防御,在各种压力下,传统的的安全防预技术受到了严峻的考验,这时“云安全”技术当之无愧成为当今最热的安全技术。“云安全”技术主要使用分部式运算功能进行防御,而“云安全”技术对于企业用户而言确实明显的保障了信息的安全性以及降低客户端维护量。“云安全”技术是未来安全防护技术发展的必由之路,且今后“云安全”作为企业安全管理的核心内容为企业的数据、服务器群组以及端点提供强制的安全防御能力。”
四、信息安全管理体系相关步骤
由于管理体系具有灵活性,企业可依据自身的特点和实际情况,使用最优方案,结合石化销售的特征,提出以下步骤:1)管理体系的重要目标;2)管理体系的主要范畴;3)管理体系现状考察与风险估量;4)完善管理体系的制度;5)整理管理体系的文档;6)管理体系的运行方式;7)信息安全管理体系考核。
五、结论
当前信息安全的发展趋势已经不仅仅是升级传统安全产品,而是从业务策略和整体系统上来考虑安全问题,帮助企业建立安全、完善的IT环境,以应对来自内外部的攻击,降低风险和损失。因此,全方位安全策略及解决方案对保护电信运营商信息系统的安全不可或缺。
对于电信运营商而言,目前都已制定了相关的制度和流程,但还没有企业级整体的信息安全规划和建设,信息安全还没有或很少从整体上进行考虑。IBM企业IT安全服务是一套针对企业信息安全管理的完善解决方案,能够协助企业更加全面地认识信息技术、评估企业的信息安全隐患及薄弱环节,进一步完善运营商安全架构,为电信运营商的应用构建高度信息安全的运行环境,共同规划、设计、实施、运作,从而保护企业信息系统的安全。
事实上,管理者不应该再将信息安全看作一个孤立的或是纯技术的问题,而要从企业运营的全局角度整体看待,制定与企业特点和成长潜力相适应的安全管理架构。
完善的安全架构必须能够随着市场的变化进行调整,IT部门的决策者必须密切关注市场的变化。2007年安全用户在三类需求上将有突出的增长。CIO需要更好地应对日益增长的法规遵从性要求,更多地关注应用层面,与此同时,积极利用外包的机遇实现更好的投资回报。
在中国,随着信息安全和上市公司相关立法的完善,法规遵从性和相关审计在行业中的要求也正在不断普及,越来越多的公司和行业正努力去满足法律所规定的安全要求。电信运营商在信息管理方面需要做到三点:信息的完整性、信息的保密性和要求信息能够在适当的时间以适当的格式被访问,这都与信息安全密不可分。保护企业数据安全,达到法规遵从性的要求将是CIO们2007年的一大职责。
应用安全是另一个市场焦点。随着企业业务更多依赖于各类基础性应用,让企业安全、顺畅地访问应用数据,保证业务永续运行的同时保障应用性能成为CIO的重要目标。过去信息安全的老三样(防火墙、入侵检测和防病毒)的概念已经过时,网络边界这样的概念会越来越模糊,而基于身份和用户管理的网络行为控制将会成为主流。安全即意味着只有允许的人在允许的时间访问允许的数据,故而身份管理可以整合各种不同类型的安全工具。同时,它也可以帮助企业认清和应对新技术部署带来的新问题,例如无线技术在企业范围内的广泛应用,已经使得安全阵地从有形的网络线路扩展到无形空间。
在电信运营商运营商强化自身安全的同时,网络安全外包的发展给电信运营商带来了更多的选择。对于缺乏安全技能和人力的中小企业来说,安全管理服务(ManagedSecurityService,MSS)是一条捷径,即通过在电信网络上提供托管形式的安全服务,代客户管理及监控信息安全系统与设备,并在安全事件发生的第一时间做出适当回应。在这个过程中,用户则将目光转向安全运维中心(SOC)服务。尽管国内用户对SOC的理解不完全一致,但都希望借助SOC融合安全技术、安全产品、安全策略和安全措施,与电信运营商的安全咨询、安全响应、特别是与安全运维相结合,协调各方面资源以最具成本效益的方式处理安全问题,为企业和机构提供了整体性的解决方案。
链接天津移动构建全面信息安全管理体系
根据中国移动集团公司制定的安全指导原则,天津移动从2000年起就开始着手IT安全建设,特别是将信息安全管理体系的建立与建全作为了一项重点工作,并在全局性的安全规划上进行了积极探索。2007年,通过与IBM的合作,天津移动对信息安全进行了全方位的考量和整体规划,并分三个阶段进行具体实施:
安全体系建立:在对企业IT安全现状进行评估及需求调研的基础上,进行安全管理体系的规划和建立,包括按ISO27001信息安全管理体系建立,汇总、归纳、体系化各种规章制度,以及相关人员的安全意识培训等;
安全建设实施:主要包括各种软件、硬件设备的购买、评估及加强等,辅助安全管理体系的执行;
一、当前构建县供电企业信息安全新体系存在的风险
1.信息安全策略风险
信息安全策略体系是当前县供电企业信息安全新体系中的重要组成部分,但目前多数供电企业在信息安全策略上还存在一定的风险。主要体现在:缺乏统一的安全运行体系;未实现对信息安全策略的修订和评审,因缺乏规范的机制;信息安全策略在企业缺乏一定的执行保障,因信息安全策略未被审批和,缺乏行政保障。
2.信息安全技术风险
主要表现在以下几个方面:缺乏有效的信息系统审计手段和安全监控,未清晰划分网络安全区域,网络应用系统的安全功能和强度严重不足,使用的网络安全技术不够统一,用户的认证度不大,安全系统配置还不够安全。
3.信息安全组织风险
当前县供电企业还缺乏有效、完整、专业的信息安全组织,在实际运行中存在一定的风险。首先是对职工的信息安全教育不够,宣传力度不大,使得职工的信息安全意识薄落,桌面系统用户的安全意识不够[1]。其次,企业组织人员对技术人员的专业安全知识和技能的培训不够,使得企业内部缺少专业的信息安全技术人员。最后,开展的信息安全工作未形成专业的责任制度,职权不明,给企业的工作带来一定的困难。
二、构建县供电企业信息安全新体系的具体举措
1.建立科学的信息安全策略体系
建立科学的信息安全策略体系,是构建县供电企业信息安全新体系的重要举措之一。建立科学的信息安全策略体系应该覆盖物理层、网络层、系统层以及应用层四个方面,包括信息管理和技术两个要素[2]。主要可以从三个方面入手:信息安全策略、信息安全标准规范、信息安全操作流程细则(见图1)。
2.建立先进的信息安全技术体系
先进的信息安全技术体系包括了防火墙技术、信息确认和网络控制技术、防病毒技术、防攻击技术、信息加密技术、数据备份和恢复技术以及统一威胁管理技术。(1)防火墙技术。防火墙技术是指在企业的内部网络与外部网络之间设置安全屏障,防止内部对外部不安全信息的访问,组织外部不安全信息侵入到内部系统的一种技术。该技术是目前国内应用最为广泛的信息安全保障技术,能有效的防止电脑黑客对内部网络系统的攻击,实现对数据的过滤、监控、记录。主要包括了过滤技术、服务技术以及应用网管技术。(2)信息确认和网络控制技术。该技术的使用是围绕计算机网络开展的,有关业务信息安全的技术必须根据各单位的具体业务、性质、任务等制定相应的策略。目前国内的主要信息确认和网络控制技术有:身份认证、数据完整性、防止否认以及存取控制等[3]。(3)防病毒技术。计算机病毒是网络信息最常见的网络安全隐患,已经呈多态化、灾难化形态发展。对此,使用防病毒技术必须建立相应的防病毒网络中心,实行网络化管理。(4)防攻击技术。防攻击技术主要是针对电脑“黑客”设定的,电脑黑客经常会对电脑主机和网络信息系统的一些漏洞进行攻击。防攻击技术的使用能跟根据黑客攻击的程度检测系统的安全漏洞,并提出相应的解决措施,一般而言,对一些重要的系统可采用物理隔离的措施。(5)信息加密技术。信息加密技术是县供电企业信息安全体系中的一种重要且实用的技术,主要包括对称密码技术如DES算法,非对称密钥技术如RAS算法。(6)数据备份和恢复技术。采用数据备份技术可以根据数据的重要程度按等级进行备份,建立省市级与县级数据备份中心,为了保障信息安全系统的安全性和可靠性,应该采用数据恢复技术。(7)统一威胁管理技术。统一威胁管理系统是为了解决因安全产品过度导致网络管理难和网络效率出现瓶颈的问题而产生的,主要功能有防火墙、病毒过滤、流量管理、VPN、上网行为审计以及入侵防御等[4]。目前,该技术已经在很多领域得到应用。县级供电企业与省市供电企业相比,规模较小、资金短缺,在建立先进的技术安全体系时,要结合自身发展规划,不断学习新技术,利用自己的智能开发有潜力的产品。如在数据采集上,可以利用GPRS技术进行远程抄表,且将重点放在路由设备上;调度数据网的数据时可以利用安全物理隔离网闸,移动办公时可以使用VPN技术。
3.建立完善的信息安全管理体系
信息安全管理体系是县供电企业信息安全新体系的核心组成部分,良好的信息安全体系必须要有合理、科学的管理,这是保障供电企业正常运转的重要途径。完善的信息安全管理体系包括了人员管理、技术管理、密码管理、数据管理以及安全管理等。人员管理上,县供电企业要强化网络管理者的信息安全意识,加强信息安全教育,尤其是对网络机密的教育。技术管理上,确保网络的各种设备如路由器、防火墙、交换机、VPN、QOS、IPS、防毒墙的安全。密码管理上,更新重要密码,对各类密码实施分级管理,以免出现出产密码、默认密码等简易密码被破解的现象。数据管理上,做好数据备份工作,数据备份的策略要及时合理,保管好备份数据介质。安全管理上,建立相关的县供电企业信息安全管理浅析如何构建县供电企业信息安全新体系刘志杰(国网冀北电力有限公司隆化县供电分公司,河北隆化067000)的规章制度,在操作系统、操作手段、机房及其设施等方面进行安全管理。
4.建立有效的信息安全组织体系
目前,国内县供电企业要建立信息安全组织体系主要包括了决策、管理、执行、监管四个方面。只有处理好这四个层面的关系,才能建立一个完整、责权统一、有效的信息安全组织体系。同时,建立信息安全组织和定义安全职责是相互影响的两项工作,信息安全组织的角色与职责要有清晰的电柜,管理层要对下属职责进行明确的规范和划分,才能有效的确保信息安全体系的建立,保障企业信息安全工作的有效开展,尤其是信息安全教育与培训的工作。要做好信息安全教育与培训的工作,必须涉及到每个职工,在信息安全教育与培训方面制定严格的制度机制,才能提升整个企业职工的信息安全水平。
三、案例分析
某供电企业信息安全新体系结构示意图从图2中可以看出,组织体系、策略体系、技术和管理体系是该供电所信息安全体系的灵魂,为了建立完整的信息安全体系,保护好供电企业内部网络系统的安全,信息安全新体系设计的具体防护措施如下:
1.物理安全
物理安全主要针对的是地震、水灾等自然因素以及人为操作失误而导致的计算机网络系统和设备损坏采取的一项措施。采取物理安全措施要防止系统信息在空间的扩散,物理安全的实施主要体现在机房上,具体措施包括了防火、防水、防雷、防盗、防静电等。
2.物理和逻辑隔离
物理隔离和逻辑隔离是两种不同的策略,物理隔离是指只要没有网络连接就是安全的,而逻辑隔离是要在网络正常运行的基础上,确保网络信息的安全。对当前的电力企业而言,使用物理隔离是无法保障电力信息安全的,因此,逻辑隔离是最好的举措。逻辑隔离是指网络正常连接情况下,使用技术进行逻辑上的隔离。逻辑隔离可以通过设置VLAN和防火墙来实现,包括企业内部局域网与外界的隔离,不同区域供电企业之间的隔离以及各种专业VLAN之间的隔离等。
3.强化计算机管理策略
加强计算机管理策略体现在设施管理、访问管理以及加密管理三方面。设施管理包括建立安全管理制度,对计算机系统、打印机等设备进行检修、创设良好的电磁兼容环境;访问控制管理是网络安全保护的主要措施,主要通过设置访问账户、访问时间、访问方式等市县。加密管理包括了加密与保密、公共密钥加密、数字签名的鉴定以及包过滤等方面。
4.入侵检测
虽然目前国内很多供电企业都布置了防火墙技术,但是传统的防火墙技术还存在一定的缺点,实施入侵检测能很好的弥补防火墙的缺陷。入侵检测的使用能够有效发挥IPS的优势,协调IPS和防火墙的优势互补,提升对信息安全保护的效果。该供电所的入侵检测主要应用在网络边界上的保护,如内网与电力网的边界、互联网与公司外网的边界、内网与服务器区域的边界。
5.漏洞扫描和弥补
系统缺陷漏洞扫描能帮助工作人员及时发现计算机系统的安全漏洞,更新系统补丁,并进行修补,能有效降低网络系统的安全风险。具体操作以该供电企业使用的漏洞扫描软件X-scan为例进行说明。X-scan漏洞扫描软件采用的是多线程方式对单机进行安全漏洞的扫描,包括命令行和图形界面两种操作方式,扫描的内容有远程操作系统类型及版本、端口BANNER信息、IIS漏洞、CGI漏洞、RPC漏洞,NT服务器NETBIOS信息等。扫描的结果一般保存在/log/目录中,扫描结果索引文件是index_*.htm。具体操作步骤是:第一步,准备扫描文件,如X-Scan图形界面的主程序xscan_gui.exe,插件调度的主程序checkhost.dat等;第二步,准备工作,即安装扫描软件并注册;第三步,图形界面设置项说明,包括了检测范围模块、全局设置模块、插件设置模块等。第四步,运行参数说明,主要的命令格式是:xscan-host<起始IP>[-<终止IP>]<检测项目>[其他选项];xscan-file<主机列表文件名><检测项目>[其他选项]。
6.安全管理
论文摘要:特色是普通高等院校办学水平的标志,也是学校办学优势的具体体现。为了进一步巩固发展信息管理与信息系统专业,优化该专业的结构,提升该专业建设的整体水平,满足企业对信息化人才的需求,文章从信息管理与信息系统专业背景分析入手,对中国计量学院信息管理与信息系统专业的特色定位和教学体系改革提出若干思考。
一、引言
教育部1998年颁布的专业目录中,将信管专业的培养目标确定为:“培养具备现代管理学理论基础、计算机科学技术知识及应用能力,掌握系统思想和信息系统分析与设计方法以及信息管理等方面的知识与能力,能在国家各级管理部门、工商企业、金融机构、科研单位等部门从事信息管理以及信息系统分析、设计、实施管理和评价等方面的高级专门人才。”从培养目标中不难看出一方面教育部进行专业整合的初衷是为了摒弃以前专业划得过细的做法,把目标转向培养既懂经济管理知识,又懂信息技术的高层次、跨学科的复合型人才上来。它不同于计算机科学与技术专业,也有别于工商管理专业。但另一方面,又由于新专业是由五个专业归并而成的,目录中确定的培养目标只能是具有宽泛性和普适性要求的基本目标,给各个高校的具体操作留下了很大的空间。
由于侧重点不同,信管专业课程体系设置在国内高校中出现了多种方案。2005年以前有主干学科结构、知识模块结构、功能模块结构等七种方案。2005年以后仍然是百家争鸣、百花齐放。对于专业方向,有三、四、两个之划分;对于能力组成,有五项、三项之划分;对于核心课程设置,有十一门、八门、十门之划分。有的认为应以“信息系统的开发与管理”为核心,有的则认为应围绕erp企业资源计划课程。对于知识体系,有五模块、三模块之划分。总之,目前我国信管专业的课程体系多是一种多学科课程的拼盘式组合,没有形成专业自身的专业基础理论体系。
中国计量学院在“十二五规划”中明确指出“要坚持走特色化办学、差异化竞争之路,把特色办学理念贯穿于创建特色鲜明、国内知名的教学研究型大学实践中”。为了进一步巩固发展我校信息管理与信息系统专业,优化该专业的结构,突出该专业建设的特色,需要从信息管理与信息系统专业背景分析入手,结合计量学院的办学特色,对信息管理与信息系统专业特色重新进行定位。
二、专业特色定位
中国计量学院经济与管理学院信管专业是2000年设置的,10多年来专业在学校和分院的指导下取得了一些成就和发展:国家自然科学基金两项、浙江省精品课程一门、浙江省重点教材两部;在学生实践教学中连续两年获得全国电子商务大赛一等奖。但是随着社会和学校的进一步发展,专业的发展面临着许多困难和问题:一是专业定位不明确,特色不明显;二是课程体系设置不合理,课程体系的设置主要是采用“拿来主义”;只注重单科课程设置,忽视课程之间的整合,不少课程内容严重重复,浪费教学时间和教学资源;三是实践环节薄弱,纯理论的课程占的比重过大,实践课程占的比重太小,实践教学明显不足,学生动手能力不强,分析问题和解决问题的能力差;四是专业定位与教学体系之间的吻合度难以考评。
专业建设是普通高等院校主要教学基本建设项目之一,处于教学建设的龙头地位。特色是普通高等院校办学水平的标志,也是学校办学优势的具体体现。办学特色,是一所学校或专业在长期办学过程中积淀形成的,反映在人才培养方面的独特个性和明显优势。它具体体现在学校或专业的办学定位、培养模式、课程体系、教学方法和实践环节等诸多方面,它是学校或专业办学水平和竞争能力的综合反映。
目前国内信管专业的人才培养模式主要有三种:一是以清华大学、同济大学为代表的经济管理模式(即m模式);二是以武汉大学、北京大学为代表的综合性大学的信息资源管理模式(即i模式);三是以中国人民大学和中山大学为代表的侧重于计算机系统导向模式(即s模式)。经过前期多次学科讨论,参照国内外著名高校的经验,我们拟将“信息管理”作为学科定位,以“信息安全管理”作为专业特色定位。这样的专业定位是依靠学校优势学科,以社会需求和学生能力为导向,借鉴国内外办学经验,发挥自身优势,办出特色与水平。中国计量学院是我国质量监督检验检疫行业唯一的本科院校,是一所具有鲜明的计量标准质量检验检疫特色的浙江省重点建设大学。学校坚持“立足浙江,面向全国,依托行业,服务地方”,积极开展科学研究。中国计量学院经济管理学院是中国唯一获得全球首届“iso标准化高等教育奖”的学院,是通过gbt/19001-2000idtiso9000:2000质量管理体系认证的学院。学院紧紧围绕学校建设国内知名的教学研究型大学的奋斗目标,深入实施“先进的标准,精密的计量,卓越的质量”教学管理方针,坚持以贡献求支持,以特色争优势,以创新谋发展,立足浙江,面向全国,走向世界,使学院成为我国培养质量管理高层次专门人才的摇篮。
三、专业教学体系
培养目标的实现是靠课程体系的整合和设计来支撑的,课程体系直接反映了人才培养的方向,体现知识、能力、素质、市场(就业)和特色五个方面的导向作用。课程是教学之根本,其主要任务在于结合社会对人才的实际需求,依据专业培养的总体目标来设计一套最优的课程体系。信管专业也是一门应用性非常强的专业,其培养目标是应用型、高级的信管人才。纯理论课教学是解决不了动手能力问题的,也无法培养出应用型、高级的信管人才,必须加强实践教学。通过社会实践、认识实习、专业实习、课程设计、毕业设计等一系列环节来锻炼学生的动手能力。信管专业本着专业定位、特色定位从知识、能力、素质、市场(就业)和特色五个方面来设计专业的教学体系。
(一)信息管理
毕业生应具备以下几方面的知识和能力:一是掌握经济学、管理学、计算机和信息管理的基本理论和基本知识;二是具有信息获取、组织、分析、研究、传播与开发利用的基本能力;三是掌握运用现代化技术手段进行文献信息检索、资料查询收集的基本方法和能力,能利用计算机网络采集和信息,具有一定的科研和实际工作能力;四是具备文档管理的能力,包括文档、数据、信息分类管理等;五是具有运用现代的管理方法和手段对与企业或组织相关的信息资源和信息活动进行组织、规划、协调和控制,以实现对企业或组织信息资源的合理开发和有效利用的能力。
毕业生应具备以下几方面的素质:一是胜任力——学习能力和读写能力。不断地、有计划、有组织地学习,不断地追随管理专业的新发展,能用最少的时间,花最小的精力,获得最大量的新知识,并不断地优化自己的知识结构。追踪科技与社会发展的前沿,不断地更新和扩展自己的知识信息,以适应未来社会日新月异的发展变化。具备读写能力,信息管理人员才能实现对信息的收集、存储和传递。二是敏锐感知外部世界的能力——信息获取能力。三是熟练操纵因特网的能力。熟练掌握网络技术,把已获取的新信息通过一定的综合分析、计算、试验操作,最终找出问题,设计解决方案,得出科学结论。四是良好的沟通能力和团队合作精神。五是创新能力。
开设的主要课程:专业主要课程:信息资源管理学、信息存储与检索,信息分析与预测,信息组织学,信息计量学,专业实践课程:统计软件实习,管理软件实习。
就业方向:可以在政府部门或企事业单位的信息管理机构,从事文献和文档管理、信息收集、分析、处理、咨询服务和管理工作等。毕业生经过考试可以成为信息处理技术员、国家信息分析师。
(二)信息安全管理
信息安全管理在当前是全球的热门话题,而建立一个符合国际标准的体系,是大家普遍关注的焦点。建立健全信息安全管理体系(iso27001认证)对企业的安全管理工作和企业的发展意义重大。首先,此体系的建立将提高员工信息安全意识,提升企业信息安全管理的水平,增强组织抵御灾难性事件的能力,是企业信息化建设中的重要环节,必将大大提高信息管理工作的安全性和可靠性,使其更好地服务于企业的业务发展。其次,通过信息安全管理体系的建设,可有效提高对信息安全风险的管控能力,通过与等级保护、风险评估等工作接续起来,使得信息安全管理更加科学有效。最后,信息安全管理体系的建立将使得企业的管理水平与国际先进水平接轨,从而成长为企业向国际化发展与合作的有力支撑。
bs7799标准是全球第一份关于信息安全管理体系的标准,bs7799-1现在已经被采纳为iso/iec27002:2005;bs7799-2也于2005年被采纳为iso27001:2005。该标准当前已被诸多国家采纳为国家标准。截至2007年9月已经有超过4000家组织通过了iso27001:2005的审核,获得了信息安全管理体系认证的证书。
毕业生应具备以下几方面的知识和能力:一是信息安全管理技术能力;二是信息安全管理能力。此主要目的是要求学生了解信息安全及其重要性,认识什么是信息安全管理体系,建立一套信息安全管理体系为何需要iso27001,学会如何建立一套符合企业(组织)需要的信息安全管理制度。
开设的主要课程:计算机安全与技术、网络安全、信息安全管理体系、信息安全风险评估与管理、信息安全管理体系iso27001建立与实施。
就业方向:毕业的学生经过考试获得信息安全管理体系认证证书,可以从事企事业单位信息安全管理。
四、结论
信管专业的特色培育和课程体系建设并非一蹴而就、一劳永逸的工作。为此,我们将建立一套完整的教学质量管理体系,囊括管理机构和人员、管理的规章制度、管理手段和评价指标体系等,其作用是对整个体系中进行信息反馈和控制,评价专业定位、特色定位与教学体系之间的吻合程度。
参考文献:
1、陶雷,莫赞,张立厚.应用型本科“信管”专业课程体系探究及建构实践[j].情报杂志,2010(2).
2、何永刚,黄丽华.信息管理与信息系统专业课程体系研究综述[j].情报杂志,2007(8).
3、cisc2005课题组.中国高等院校信息系统学科课程体系2005[m].清华大学出版社,2005.
4、邓晓红.基于职业能力分析的信息管理与信息系统专业核心课程体系研究[j].中国管理信息化,2009(6).
5、张劲松.信息管理与信息系统专业课程体系创新研究[j].情报杂志,2008(11).
6、张庆华,谭旭红.基于集成化模式开展信息管理与信息系统专业建设[j].中国管理信息化,2009(3).
关键词:混业经营;金融牌照;信息安全;管理体系
一、金控的定义与历史机遇
(一)金控的定义
金控是金融控股的简称,是指在同一控制权下,完全或主要在银行业、证券业、保险业中至少两个不同的行业提供服务的金融集团。从定义上可以直接反映出金控公司的特点:多金融牌照混业经营,由一家集团母公司控股,通过子公司独立运作各项金融业务。
(二)金控的历史机遇
金控公司出现之初,集团母公司多是扮演财务投资的角色,不参与具体业务的运营。随着国家“十三五”工作的推进,金融改革不断深化和多元化,单一业务的聚集效应在减弱,而以多业务构建“客户-平台-资产”供应链闭环生态系统的金控平台则迎来其历史发展机遇。其通过资源协同、渠道整合、交叉销售等运营模式,促进供应链上各项金融业务的联动发展,最大程度地发挥了产品互补优势,提高效能,享受高额市场回报。
二、金控体系下信息化建设的重要性和安全需求
(一)信息化建设的重要性
打造金控体系下多牌照的闭环生态系统,离不开信息化平台的建设。换个角度,信息系统是多牌照业务融合、产品创新和效能提升的一种有效手段。如通过信息化建设金控体系下统一的客户系统、全面风险管理系统、产品销售系统、大数据分析平台等,可助力金控集团建立品牌效应,快速响应多元化的市场需求,从而实现业务的爆发式增长。基于信息化的重要性,综观目前市场上的各类金控公司,都在大力发展信息化建设,寻找业务创新点,引领行业升级和抢占市场。
(二)信息安全需求分析
对于互联网时代的金融企业来说,数据是核心,安全是生命线。随着《网络安全法》的实施,信息安全已上升到国家战略层面,构建金融企业的信息安全防护网势在必行。对于金控公司来说,由于是混业经营模式,旗下不同牌照的子公司,因其监管部门不同以及对信息安全要求不一样,在规划其信息安全时,必须将多牌照的特点融入到安全体系内,同时满足信息安全和业务发展的平衡需求,以免顾此失彼,得不偿失。
三、金控体系下信息安全体系规划
建立一套金控公司的安全体系,必须同时从管理和技术角度进行规划,管理是运营措施,而技术是操作手段,相辅相成,缺一不可。
(一)信息安全管理体系的规划
1.对标的选择。建立一套信息安全体系,目前可对标的标准和规范包括国际标准ISO27001、国家安全标准、各监管机构的安全指引、信息安全等级保护管理办法,以及行业的最佳实践等。对于金控信息安全管理体系的规划,应该以ISO27001为基础,结合监管的合规要求进行编制。2.设计原则。通常情况下混业经营企业在制定企业管理体系标准时要照顾到各方的使用需求,其标准具有通用性和广泛性。具体使用部门或子公司可再结合自身业务特点,制定更具体的操作规范。但对于金控行业来说,由于旗下各子公司经营的都是金融业务,对信息安全的要求比普通企业更严格,信息安全是其不可逾越的红线。因此在为其设计信息安全管理体系时,应反其道而行,从严要求,以最严格的标准进行编制,做好顶层设计,然后根据各子公司的业务特点,对制度或规范做适当的裁减或降低等级要求。3.管理体系模型。信息安全管理体系是一个多层次的模型,如图1所示。在该模型中,第一层是企业信息安全方针政策,说明企业信息安全总体目标、范围、原则和安全框架等;第二层是企业安全管理制度和规范,说明体系运行所需要的通用管理要求;第三层属于安全管理活动中,用于约束安全行为的具体方法;第四层是配套的表单和记录,用于辅助制度和管理办法的执行。4.安全目标和方针的设计。虽然是混业经营,但对于金控集团及旗下各子公司来说,信息安全的目标应该是一致的,本质都是追求企业数据的保密性、完整性和可用性,所以安全方针可以基于集团统一考虑,设计为:安全、合规、协同、务实。安全:以风险管控为核心,主动识别、管控并重,为用户提供安全、可靠的信息技术服务。合规:按照国家法律法规及行业监管要求,建立满足集团业务发展需求,并具有专业能力的信息安全管理机制。协同:全员参与,对全体员工进行持续的信息安全教育和培训,不断增强员工的信息安全意识和能力。务实:以经济适用为准则,选择适应公司发展变化的业务架构和稳定灵活的技术架构,满足各业务条线的管理和决策需要。5.组织架构的设计。信息安全方针的贯彻,安全制度的执行,安全技术的部署,都需要通过安全管理组织来推行。各个模块相互之间的关系如图2所示。对于金控行业公司而言,由于多数子公司都是独立法人,无法完全成立一个实体安全组织,而是一个横跨集团和各子公司的虚拟安全组织。为保证安全组织的有效性和执行力,应具有分工合理、职责明确、相互制衡、报告关系清晰的特点。6.管理制度及规范的设计。管理制度和规范是属于企业运营措施,根据ISO27001标准模型,安全管理制度划分了14个控制域,涵盖的内容如图3所示。根据各控制域的关联关系,结合金融企业的安全需求,企业的安全管理制度通用全景图设计如图4所示。
(二)信息安全技术体系规划
技术体系属于信息安全操作层面的内容,应该是围绕整个数据生命周期展开规划的。根据数据的运动轨迹,经历“生产-传输-计算-存储-消亡”等阶段,所以信息安全技术体系的范围,应该涵盖物理环境、基础架构(含虚拟化层)、应用、数据和访问控制等。一般通用的安全技术体系全景如图5所示。由于安全技术需要部署大量的专业设备,对于混业经营的金控公司而言,可以发挥集团总部的先天优势,对于一些共性的安全技术方案,由集团统一规划和部署,然后为各子公司提供相应的安全服务,减少投入,节约成本。例如防病毒系统,由集团总部部署服务端,各子公司部署客户端即可,类似的安全技术服务还有漏洞扫描系统、身份认证系统、终端准入系统、APT检测系统、安全渗透服务、安全培训服务等。
四、金控体系下信息安全的实践
由于是混业经营,在组建了横跨集团和各子公司的安全组织后,还需要不断地进行实践以达到最佳效果,以下是一些具有特色的实践场景。
(一)信息安全事件的统一管理
信息安全事件的管理是安全制度之一,有效的事件管理可以积极发挥安全效能,提升全集团的安全能力。1.情报共享,协同防护。在管理层面,原各业务子公司只会向其外部监管部门报送安全信息,相互独立,不能有效共享相关的安全情报。新的模式下要求子公司同时将安全信息上报集团总部,总部通过分析后形成统一报告,再发放到各个子公司。通过这种方式,一方面可以实现情报共享,另一方面可以实现信息安全的统一管控,协调防护。2.统一监控,快速反应。在技术层面,可通过在子公司部署探针,建立集团的统一安全监控平台,对集团内所有的安全日志进行采集、分析、响应,同时结合集团和各子公司的安全保护措施对事件进行快速处理,合纵连横,从而保证整个集团和各子公司信息系统的安全稳定运行。
(二)子公司信息安全建设的管理
对于多牌照的金控公司来说,旗下各子公司业务种类不同,规模也有区别。在信息安全的建设方面,应该有区分对待。对于规模较大的子公司,依靠自身力量建设了数据中心及安全体系的,除一些共性的安全技术方案可由集团提供以外,其他的安全措施由子公司执行,集团主要是发挥标准制定和监管的角色。对于规模较小的子公司,由于IT力量较弱,数据中心体量有限,很难依靠自身建设完整的信息安全保护体系。在监管许可的情况下,可以将子公司的信息系统托管在集团数据中心,由集团进行信息安全的统一规划、建设和运维。
(三)交叉检查,取长补短
由于同属于一个集团,各子公司之间具有天然的信任感,通过集团的统一组织和管理,可以促进各子公司之间进行信息安全的交叉检查,在兄弟公司之间充分展示本单位的优势,取长补短,相互学习,共同进步。
参考文献:
[1]ISO27001:2013.信息安全管理体系标准[S].2013.
[2]中国银行业监督管理委员会.商业银行信息科技风险管理指引[Z].2009.
关键词:信息安全;信息安全防护;安全管理
中图分类号:TP393文献标识码:A文章编号:1009-3044(2011)22-5346-02
随着网络信息系统在各行各业得到广泛应用,企业单位办公自动化程度越来越高,许多企业开始利用信息化手段来提升自身管理水平,增加竞争力。企业内部用户之间实现了“互联互通 ,资源共享”,极大地提高了企业单位的办事效率和工作效率。但部分企业却忽视了整个系统的安全和保密工作,使得系统处于危险之中,而一旦网络被人攻破,企业机密的数据、资料可能会被盗取、网络可能会被破坏,给企业带来难以预测的损失。因此,企业网络安全的建设必须提上日程,并加以有效防范。
1 企业信息安全防护策略
企业网络所面临的安全威胁既可能来自企业网内部,又可能来自企业网外部。所有的入侵攻击都是从用户终端上发起的,往往利用被攻击系统的漏洞肆意进行破坏。企业网络面临的威胁主要有系统漏洞或后门、计算机病毒感染、恶意攻击和非法入侵、管理失误等。
企业信息安全从本质上讲就是企业网络信息安全,必须充分了解系统的安全隐患所在,构建科学信息安全防护系统架构,同时提高管理人员的技术水平,落实严格的管理制度 ,使得网络信息能够安全运行,企业信息安全防护策略如图1所示。
2 硬件安全
企业网硬件实体是指实施信息收集、传输、存储和分发的计算机及其外部设备和网络部件。对硬件安全我们应采取以下相应措施:1)尽可能购买国产网络设备,从根源上防止由于后门造成的威胁;2)使用低辐射计算机设备、屏蔽双绞线或光纤等传输介质,把设备的信息辐射抑制到最低限度,这是防止计算机辐射泄密的根本措施;3)加强对网络记录媒体的保护和管理。如对关键的记录媒体要有防拷贝和信息加密措施,对废弃的光盘、硬盘和存储介质要有专人销毁等,废弃纸质就地销毁等;4)定期对实体进行安全检测和监控监测。特别是对文件服务器、光缆(或电缆)、收发器、终端及其它外设进行保密检查,防止非法侵入。
3 信息安全技术
企业信息的安全必须有安全技术做保障。目前可以采用的安全技术主要有:
3.1 安全隔离技术
安全隔离与信息交换系统(网闸)由内、外网处理单元和安全数据交换单元组成。安全数据交换单元在内外网主机间按照指定的周期进行安全数据的摆渡。从而在保证内外网隔离的情况下,实现可靠、高效的安全数据交换,而所有这些复杂的操作均由隔离系统自动完成,用户只需依据自身业务特点定制合适的安全策略既可实现内外网络进行安全数据通信,在保障用户信息系统安全性的同时,最大限度保证客户应用的方便性。
3.2 防火墙技术
防火墙通过过滤不安全的服务,可以极大地提高网络安全和减少子网中主机的风险;它可以提供对系统的访问控制,如允许从外部访问某些主机,同时禁止访问另外的主机;阻止攻击者获取攻击网络系统的有用信息,如Finger和DNS;防火墙可以记录和统计通过它的网络通讯,提供关于网络使用的统计数据,根据统计数据来判断可能的攻击和探测;防火墙提供制定和执行网络安全策略的手段,它可对企业内部网实现集中的安全管理,它定义的安全规则可运用于整个内部网络系统,而无须在内部网每台机器上分别设立安全策略。
3.3 入侵检测技术
入侵检测技术作为一种主动防护技术,可以在攻击发生时记录攻击者的行为,发出报警,必要时还可以追踪攻击者。它既可以独立运行,也可以与防火墙等安全技术协同工作,更好地保护网络,提高信息安全基础结构的完整性,被认为是防火墙之后的第二道安全闸门,它在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护,最大幅度地保障系统安全。它在网络安全技术中起到了不可替代的作用,是安全防御体系的一个重要组成部分。
3.4 终端准入防御技术
终端准入防御(EAD,Endpoint Admission Defense)解决方案从控制用户终端安全接入网络的角度入手,整合网络接入控制与终端安全产品,通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动,对接入网络的用户终端强制实施企业安全策略,严格控制终端用户的网络使用行为,有效地加强了用户终端的主动防御能力,为企业网络管理人员提供了有效、易用的管理工具和手段。
3.5 灾难恢复策略
灾难恢复作为一个重要的企业信息安全管理体系中的一个重要补救措施,在整个企业信息安全管理体系中有着举足轻重的作用。业界广泛的经验和教训说明,灾难恢复的成功在于企业中经过良好训练和预演的人在自己的角色上实施预先计划的策略,即灾难恢复计划。只有制定快速有效地进行数据恢复的策略,才能应对每一种可能出现的数据损坏事故。
3.6 其他信息安全技术
当然,信息安全技术还有很多,如防御病毒技术、数字签名技术、加密和解密技术、VLAN技术、访问控制技术等,这些都可以在一定程序上增加网络的安全性。
4 安全管理
网络安全管理是企业管理中一个难点,很多信息化企业并不十分看重网络安全,直到重要数据丢失产生重大损失才追悔莫及,因此首先在思想上充分重视信息安全,不能抱有一丝侥幸心理。对于安全管理采取的措施主要有:确定每个管理者对用户授予的权限、制订机房管理制度、建立系统维护制度、实行多人负责制度、实行有限任期制度、建立人员雇用和解聘制度、实行职责分离制度、建立事件及风险管理中心等。
这些要通过对公司全体员工进行教育培训,强化规范操作,重要数据作好及时备份 ,从系统的角度促进全体团队认真执行 ,以达到网络的保障。
5 人员安全意识
企业信息安全队伍建设要以领导干部和人员为重点,积极开展面向企业各层面的保密教育,不断提高全体员工的信息安全素质。采取的措施主要有:开展领导干部信息安全教育、开展人员保密教育、开展全员保密宣传教育、推进员工分层次信息安全培训等。
6 小结
针对目前企业信息安全面临的诸多问题,提出基于硬件安全、信息安全技术、安全管理和人员培训的企业信息安全整体防护策略。企业信息安全防护是一个系统工程,必须全方位、科学地合理安排和落实,才能有效地保护企业的信息安全。
参考文献:
[1] 曹国飞.企业网信息化建设保密技术研究[J].科技传播,2010(9):229.
[2] 王梅,刘永涛.企业信息安全(保密)培训的几点思考[J].中国市场,2010,35(9):117-118.
[3] 赵晓.企业信息安全防护体系建设[J].科技创新导报,2010,34:255.