公司信息安全建設(shè)范文

時(shí)間:2023-10-09 17:31:18

導(dǎo)語:如何才能寫好一篇公司信息安全建設(shè),這就需要搜集整理更多的資料和文獻(xiàn),歡迎閱讀由公務(wù)員之家整理的十篇范文,供你借鑒。

公司信息安全建設(shè)

篇1

【關(guān)鍵詞】供電公司 信息系統(tǒng) 數(shù)據(jù) 安全

1 供電公司信息系統(tǒng)數(shù)據(jù)安全的總體設(shè)計(jì)分析

1.1 設(shè)計(jì)的總體目標(biāo)

供電公司是我國國民經(jīng)濟(jì)的重要組成部分。電力企業(yè)的發(fā)展一直都是我國政府重點(diǎn)關(guān)注的部分。它不僅是提升國民經(jīng)濟(jì)收入的重要來源,還是促進(jìn)社會(huì)生產(chǎn)、生活穩(wěn)定發(fā)展的重要基礎(chǔ)。近些年來,供電公司一直追隨著國家提出的對(duì)電網(wǎng)發(fā)展的要求,致力于信息系統(tǒng)數(shù)據(jù)安全的建設(shè)。但是,供電公司信息系統(tǒng)數(shù)據(jù)受到“黑客”等不良襲擊的事件屢屢發(fā)生。對(duì)社會(huì)生活,以及國家政治,都造成了較大的負(fù)面影響。因此,供電公司投入精力,建設(shè)信息系統(tǒng)數(shù)據(jù)安全是當(dāng)前的重要任務(wù)。

1.2 信息系統(tǒng)數(shù)據(jù)安全的基本原則

1.2.1 針對(duì)性

對(duì)于我國的供電公司來說,要想進(jìn)行現(xiàn)代化的信息系統(tǒng)數(shù)據(jù)安全建設(shè),就要充分跟著國家政府提出的相關(guān)設(shè)計(jì)方案。著重關(guān)注當(dāng)前社會(huì)時(shí)常出現(xiàn)的信息安全風(fēng)險(xiǎn)防范問題,提出針對(duì)性更強(qiáng)的改革創(chuàng)新策略。因此,在進(jìn)行供電公司信息系統(tǒng)數(shù)據(jù)安全改革的過程中,必須要從公司自身的情況出發(fā),再結(jié)合社會(huì)風(fēng)險(xiǎn)應(yīng)對(duì)經(jīng)驗(yàn),提出更加適合自己的信息安全建設(shè)模式。

1.2.2 可擴(kuò)展性

在充分針對(duì)公司面臨的問題之后,信息系統(tǒng)安全建設(shè)還要具有更強(qiáng)的可擴(kuò)展性,以及秀的伸縮性。在我國經(jīng)濟(jì)和科技飛速發(fā)展的條件下,各大公司在幾十年的發(fā)展下,不斷擴(kuò)展自身的業(yè)務(wù)范圍。當(dāng)社會(huì)市場的需求發(fā)生變化時(shí),我們創(chuàng)建的信息系統(tǒng)數(shù)據(jù)安全系統(tǒng)還能夠不斷容納新的內(nèi)容,防止短時(shí)期內(nèi)的不良傷害。然后再在維護(hù)的基礎(chǔ)上,進(jìn)行進(jìn)一步的改革創(chuàng)新。

1.2.3 實(shí)用性

從我國供電公司的實(shí)際發(fā)展過程中,我們發(fā)現(xiàn)信息安全建設(shè)是一項(xiàng)重要的經(jīng)濟(jì)支出項(xiàng)目。但是如果供電公司在信息安全建設(shè)當(dāng)中投入過多,并不利于公司的長久穩(wěn)定發(fā)展。因此,從經(jīng)濟(jì)條件的角度考量,我們認(rèn)為,在創(chuàng)建信息系統(tǒng)數(shù)據(jù)安全項(xiàng)目時(shí),要盡可能地縮短項(xiàng)目開發(fā)的周期,降低其耗費(fèi)的資金和時(shí)間。保障信息數(shù)據(jù)系統(tǒng)的可操作性,為用戶提供真正便捷的方式。

1.2.4 可靠性

在供電公司信息系統(tǒng)數(shù)據(jù)安全的建設(shè)過程當(dāng)中,其信息網(wǎng)絡(luò)系統(tǒng)的改革方案必須要具備較強(qiáng)的可靠性。這是保障供電公司信息系統(tǒng)穩(wěn)定運(yùn)營的基礎(chǔ)。在此,我們可以采取實(shí)用性較強(qiáng)的現(xiàn)代化軟件,來提升系統(tǒng)的穩(wěn)定性。除了考慮現(xiàn)有軟件之外,還可以采取一些集群管理功能的產(chǎn)品。這種產(chǎn)品在一定程度上,能夠保障系統(tǒng)的穩(wěn)定性。

1.2.5 集成性

在我國的供電公司信息系統(tǒng)當(dāng)中,數(shù)據(jù)的分類和用途十分復(fù)雜。因此,在保障信息安全時(shí),必然也要從系統(tǒng)本身特點(diǎn)出發(fā)。確保所使用的信息安全系統(tǒng)結(jié)構(gòu)清晰明了,擴(kuò)展的形式更加便捷。

2 供電公司信息系統(tǒng)數(shù)據(jù)安全建設(shè)需求

2.1 物理安全建設(shè)

2.1.1 物理環(huán)境的安全需求

在一般情況下,電力公司存放的重要信息能夠通過電磁輻射等形式被盜用。因此,在對(duì)信息安全進(jìn)行管理時(shí),要對(duì)信息存放的機(jī)房進(jìn)行有效的創(chuàng)新。創(chuàng)新主要針對(duì)的就是對(duì)電磁輻射等形式的攔截或干擾。除了要防范人為因素之外,還要有效防范某些自然的因素,例如自然的丟失,或者系統(tǒng)性能不穩(wěn)定導(dǎo)致的信息損壞等。對(duì)于那些管理數(shù)據(jù)的關(guān)鍵設(shè)備,要進(jìn)行冗余配置,保障更強(qiáng)的數(shù)據(jù)恢復(fù)和數(shù)據(jù)備份能力,確保重要信息的安全。除此之外,為了充分保障網(wǎng)絡(luò)傳輸線路的安全性、穩(wěn)定性,就要對(duì)網(wǎng)絡(luò)傳輸線路的備份進(jìn)行升級(jí)。因?yàn)楣╇姽镜脑S多設(shè)施都無法進(jìn)行精密的保護(hù),如網(wǎng)絡(luò)線纜等。供電公司要充分關(guān)注這些設(shè)備的安全性,防止其因雷擊、火災(zāi)等不可控因素造成破壞。

2.1.2 物理隔離需求

在供電公司的業(yè)務(wù)范圍內(nèi),有許多業(yè)務(wù)都具有較強(qiáng)的特殊性,對(duì)基本的物理隔離也有特殊的要求。因此,電力公司在執(zhí)行這些業(yè)務(wù)時(shí),要注意設(shè)置有效的物理隔離設(shè)施,在需要的地方,保障內(nèi)外網(wǎng)的隔離,以及不同網(wǎng)段之間的隔離。從根源上防止出現(xiàn)信息病毒的侵襲。

2.2 網(wǎng)絡(luò)層安全建設(shè)

2.2.1 防火墻需求

防火墻是保障信息安全的最為經(jīng)濟(jì)的防護(hù)方式之一,通過配置相應(yīng)的信息安全策略,防火墻能夠承擔(dān)一大部分的安全防護(hù)。它能夠幫助實(shí)現(xiàn)內(nèi)網(wǎng)與外網(wǎng)連接部分的安全。

2.2.2 網(wǎng)絡(luò)管理安全

在我國供電公司的網(wǎng)絡(luò)信息系統(tǒng)當(dāng)中,一般情況下,不同的信息管理系統(tǒng),或有相應(yīng)的子網(wǎng)作支撐。因此,對(duì)子網(wǎng)安全的保護(hù),也就是對(duì)信息系統(tǒng)的保護(hù)。為此,我們可以采用在子網(wǎng)建立防火墻,采用物理隔離的方式,來實(shí)現(xiàn)安全防護(hù)。在對(duì)子網(wǎng)進(jìn)行保護(hù)時(shí),還要充分關(guān)注子網(wǎng)接口處的安全。

2.3 系統(tǒng)安全

2.3.1 操作系統(tǒng)的安全需求

電力公司要根據(jù)自身信息系統(tǒng)的重要性來考慮,盡量使用安全性能較強(qiáng)的操作系統(tǒng)。實(shí)時(shí)做好系統(tǒng)的維護(hù)工作,關(guān)閉一些使用性不強(qiáng),或者安全性能不高的程序。將對(duì)用戶負(fù)責(zé)放在服務(wù)的第一位。當(dāng)用戶部分的網(wǎng)絡(luò)出現(xiàn)安全隱患時(shí),要及時(shí)采取有效措施,幫助合理解決。

2.3.2 防病毒系統(tǒng)安全建設(shè)

在網(wǎng)絡(luò)信息系統(tǒng)數(shù)據(jù)安全建設(shè)的過程中,防御占據(jù)重要的地位。計(jì)算機(jī)中包含的信息病毒一旦傳播開來,對(duì)該網(wǎng)絡(luò)領(lǐng)域就是難以恢復(fù)的打擊。因此,電力公司要首先做好防病毒系統(tǒng)安全的建設(shè)。在主機(jī)和服務(wù)器當(dāng)中,設(shè)置防病毒系統(tǒng),并時(shí)常觀察其運(yùn)行狀況。

2.4 安全管理

電力公司要想做好安全管理,就必須在全公司內(nèi)部宣傳安全體系建立的基本思想。讓公司的領(lǐng)導(dǎo)者、工作人員都從觀念上重視信息系統(tǒng)數(shù)據(jù)安全。然后再結(jié)合公司自身的特點(diǎn),配合創(chuàng)建安全管理規(guī)范,設(shè)計(jì)好安全防范責(zé)任制度。讓公司的信息系統(tǒng)安全管理有法可依。在安全防范責(zé)任制度當(dāng)中,盡量將信息安全責(zé)任劃分到區(qū)域、再到個(gè)人,督促工作人員嚴(yán)格執(zhí)行信息安全保護(hù)工作。

3 結(jié)語

在當(dāng)前網(wǎng)絡(luò)和應(yīng)用系統(tǒng)的飛速發(fā)展下,供電公司的信息安全管理任務(wù)更加緊急。供電公司的一切業(yè)務(wù),都需要完善的網(wǎng)絡(luò)信息系統(tǒng)來達(dá)成。這種依賴會(huì)完善供電公司的信息安全保護(hù)措施,同時(shí)也會(huì)促進(jìn)網(wǎng)絡(luò)信息系統(tǒng)的發(fā)展。從而走向良性循環(huán)發(fā)展的道路。

參考文獻(xiàn)

[1]崔寶娣.信息系統(tǒng)數(shù)據(jù)安全管理綜述[J].電力信息化,2007(05).

[2]易焱華.管理信息系統(tǒng)數(shù)據(jù)安全監(jiān)控方案設(shè)計(jì)[J].信息系統(tǒng)工程,2016(12).

篇2

 

1.引言

 

省級(jí)電網(wǎng)公司信息安全防護(hù)工作事關(guān)電力安全生產(chǎn)和電網(wǎng)公司穩(wěn)定運(yùn)營,意義重大[1]。由于大多數(shù)業(yè)務(wù)應(yīng)用已經(jīng)省級(jí)集中,常規(guī)信息安全技術(shù)監(jiān)督工作多被認(rèn)為是省級(jí)公司層面的問題。省級(jí)單位監(jiān)督力量不足,久而久之,信息安全監(jiān)督工作流于形式,檢查前重視、檢查后忽視,信息安全地區(qū)差異大,網(wǎng)絡(luò)末端安全防護(hù)不足。究其根源在于:(1)信息安全技術(shù)監(jiān)督未成體系,監(jiān)督力量多依靠公司級(jí)監(jiān)督隊(duì)伍,市、縣公司專(兼)職信息安全員未被賦予督查的權(quán)力,導(dǎo)致基層單位日常督查的力度和效果不夠,各項(xiàng)技術(shù)措施落實(shí)情況管控不足。(2)基層單位地區(qū)經(jīng)濟(jì)水平、單位領(lǐng)導(dǎo)信息安全重視程度、信息從業(yè)人員技術(shù)水平存在差異,造成信息安全意識(shí)宣貫和管理手段不同,且各單位缺乏安全技術(shù)交流。

 

為此,本文結(jié)合作者單位實(shí)際,提出一種電力企業(yè)信息安全技術(shù)監(jiān)督體系,從組織架構(gòu)、工作組織形式、主要技術(shù)手段、人力資源資格審核與培養(yǎng)以及制度規(guī)范等5個(gè)方面具體分析工作機(jī)制,并總結(jié)其實(shí)際工作成效。

 

2.電力企業(yè)信息安全技術(shù)監(jiān)督體系的設(shè)計(jì)

 

2.1 組織架構(gòu)

 

信息安全技術(shù)監(jiān)督不僅僅是公司層面的問題,為充分發(fā)揮信息安全監(jiān)督體系的整體作用,促進(jìn)信息安全管理水平的不斷提升,電力企業(yè)應(yīng)建立貫穿所屬各單位的信息安全監(jiān)督網(wǎng)絡(luò),健全完善信息安全技術(shù)督查工作體系,如圖1所示。

 

2.1.1 省公司級(jí)信息安全監(jiān)督網(wǎng)絡(luò)

 

由省級(jí)單位信息管理部門、省級(jí)信息技術(shù)研究單位信息安全分管領(lǐng)導(dǎo)和專職組成。主要負(fù)責(zé)貫徹落實(shí)上級(jí)單位有關(guān)信息通信系統(tǒng)安全的方針政策、規(guī)范和標(biāo)準(zhǔn);組織公司信息通信安全技術(shù)督查工作,督促有關(guān)單位及時(shí)有效整改,建立常態(tài)信息通信安全技術(shù)督查機(jī)制;根據(jù)公司實(shí)際情況,組織制定公司信息通信安全技術(shù)督查工作實(shí)施細(xì)則、考核細(xì)則;健全公司信息通信安全技術(shù)督查執(zhí)行隊(duì)伍,定期組織督查執(zhí)行人員的培訓(xùn)和考核,負(fù)責(zé)督查資質(zhì)證書的認(rèn)定工作。

 

2.1.2 市公司級(jí)信息安全監(jiān)督網(wǎng)絡(luò)

 

由市級(jí)單位信息管理部門信息安全分管領(lǐng)導(dǎo)和信息安全專職組成,主要負(fù)責(zé)依據(jù)信息安全技術(shù)督查有關(guān)政策、法規(guī)、標(biāo)準(zhǔn)、規(guī)程、制度,執(zhí)行公司級(jí)信息安全督查執(zhí)行隊(duì)伍安排的信息安全技術(shù)督查和跨單位互查工作;開展本單位運(yùn)維范圍內(nèi)的日常督查,將運(yùn)行維護(hù)階段的督查內(nèi)容融入日常安全工作中,對(duì)督查要求執(zhí)行情況進(jìn)行檢查,及時(shí)發(fā)現(xiàn)問題并提出處理意見和技術(shù)措施建議;參與本單位信息通信系統(tǒng)重大技術(shù)措施與技術(shù)改造方案的制訂,督查、促進(jìn)和檢查本單位范圍內(nèi)的技術(shù)標(biāo)準(zhǔn)、反事故措施、改造方案的貫徹和執(zhí)行。

 

2.1.3 縣級(jí)信息安全監(jiān)督網(wǎng)絡(luò)

 

由縣級(jí)單位信息管理部門信息安全分管領(lǐng)導(dǎo)和專(兼)職信息安全員組成,主要負(fù)責(zé)開展本單位日常督查,將運(yùn)行維護(hù)階段的督查內(nèi)容融入各自單位的日常安全工作中,對(duì)本單位運(yùn)行維護(hù)階段的督查要求執(zhí)行情況進(jìn)行檢查,及時(shí)發(fā)現(xiàn)問題并提出處理意見和技術(shù)措施建議。

 

2.2 工作組織形式

 

監(jiān)督工作應(yīng)包括年度督查、日常督查、專項(xiàng)督查三種類型,以遠(yuǎn)程檢查、區(qū)域互查、現(xiàn)場抽查等多種形式加強(qiáng)監(jiān)督工作,監(jiān)測分析當(dāng)前信息通信安全形勢,及時(shí)發(fā)現(xiàn)和消除安全隱患。

 

2.2.1 年度督查

 

公司級(jí)信息安全監(jiān)督網(wǎng)應(yīng)根據(jù)全年信息化和通信工作情況,按照橫向到邊、縱向到底的原則,每年至少實(shí)施兩次由公司級(jí)和市級(jí)督查執(zhí)行隊(duì)伍聯(lián)合開展的年度督查工作,以區(qū)域互查的方式,全方位的查找信息系統(tǒng)安全隱患,督促隱患整改。

 

2.2.2 日常督查

 

市級(jí)和縣級(jí)督查執(zhí)行隊(duì)伍應(yīng)在日常工作中履行信息安全管理員的職責(zé),每月對(duì)本單位的信息內(nèi)外網(wǎng)網(wǎng)絡(luò)與信息系統(tǒng)、桌面終端、存儲(chǔ)介質(zhì)等進(jìn)行全方位督查。

 

2.2.3 專項(xiàng)督查

 

根據(jù)具體信息項(xiàng)目或信息安全工作需求,由省公司級(jí)督查執(zhí)行隊(duì)伍對(duì)信息系統(tǒng)的規(guī)劃、設(shè)計(jì)、實(shí)施、運(yùn)行維護(hù)、廢棄等過程,安全評(píng)估、等級(jí)測評(píng)等信息安全技術(shù)服務(wù)開展專項(xiàng)督查。

 

2.3 主要技術(shù)要求

 

2.3.1 風(fēng)險(xiǎn)評(píng)估及漏洞掃描

 

通過定期開展的信息安全風(fēng)險(xiǎn)評(píng)估及漏洞掃描,對(duì)現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)、核心路由器、交換機(jī)等網(wǎng)絡(luò)及設(shè)備、數(shù)據(jù)庫服務(wù)器、郵件服務(wù)器、應(yīng)用服務(wù)器等關(guān)鍵服務(wù)器,業(yè)務(wù)流程、安全策略的安全漏洞,安全威脅及潛在影響進(jìn)行分析,并提出合理的安全建議和解決方案;對(duì)全網(wǎng)網(wǎng)絡(luò)設(shè)備、服務(wù)器、桌面終端進(jìn)行漏洞掃描,及時(shí)發(fā)現(xiàn)各種安全漏洞,并根據(jù)危害程度以保證系統(tǒng)資產(chǎn)的機(jī)密性、完整性和可用性的基本安全屬性[2]。

 

2.3.2 應(yīng)用系統(tǒng)安全測評(píng)

 

每年各單位都有新應(yīng)用系統(tǒng)上線運(yùn)行,由于系統(tǒng)開發(fā)人員信息安全意識(shí)不足,存在不少安全漏洞。按照信息安全技術(shù)監(jiān)督工作要求,在系統(tǒng)上線前由信息安全技術(shù)監(jiān)督人員參與信息系統(tǒng)技術(shù)措施與技術(shù)改造方案的制訂,審核信息安全技術(shù)與工作內(nèi)容。在系統(tǒng)投運(yùn)前開展系統(tǒng)穩(wěn)定性、安全性測試。通過上線前安全測評(píng)及時(shí)發(fā)現(xiàn)并排除應(yīng)用系統(tǒng)存在的安全隱患。

 

2.3.3 安全監(jiān)控及遠(yuǎn)程檢查

 

利用信息外網(wǎng)安全監(jiān)測系統(tǒng)、信息運(yùn)維綜合監(jiān)管系統(tǒng)、信息安全綜合工作平臺(tái)等各類安全技術(shù)手段,對(duì)各單位互聯(lián)網(wǎng)出口、桌面終端、移動(dòng)存儲(chǔ)介質(zhì)、弱口令等開展安全監(jiān)控;利用互聯(lián)網(wǎng)出口部署的入侵監(jiān)測設(shè)備和上網(wǎng)行為管理系統(tǒng),對(duì)互聯(lián)網(wǎng)攻擊情況和上網(wǎng)行為進(jìn)行內(nèi)容審計(jì)和處理。

 

2.4 人力資源資格與培養(yǎng)

 

2.4.1 持證上崗

 

各級(jí)督查執(zhí)行人員需持證上崗,經(jīng)公司統(tǒng)一組織的安全督查培訓(xùn)和考核后,分級(jí)別發(fā)放《信息安全技術(shù)督查證》。公司級(jí)督查執(zhí)行人員還應(yīng)通過注冊信息安全專業(yè)人員(CISP)培訓(xùn)及認(rèn)證。

 

2.4.2 技術(shù)培訓(xùn)

 

邀請(qǐng)系統(tǒng)內(nèi)、外信息安全領(lǐng)域?qū)<?,定期開展信息安全技術(shù)培訓(xùn)和講座,宣貫國家和公司信息安全形勢和要求,學(xué)習(xí)當(dāng)前最新信息安全技術(shù)和裝備,分析典型信息安全風(fēng)險(xiǎn)隱患案例。

 

2.5 制度規(guī)范

 

制度規(guī)范是信息安全監(jiān)督工作執(zhí)行的依據(jù),根據(jù)國網(wǎng)公司制定并下發(fā)的信息安全政策標(biāo)準(zhǔn)和管理規(guī)定,公司編制和實(shí)施細(xì)則和《信息安全督查作業(yè)指南》,對(duì)日常督查工作中各個(gè)流程的工作要求、工作模板進(jìn)行描述。

 

3.工作成效

 

公司信息安全督查體系建立完善期間正值“三集五大”建設(shè)的關(guān)鍵時(shí)期,各單位業(yè)務(wù)切換、人員調(diào)動(dòng)頻繁,管理難度大為增加,如果沒有很好的監(jiān)督體系,各項(xiàng)管理制度和技術(shù)措施的落實(shí),特別是管理末端桌面終端的安全漏洞就會(huì)暴露出來。經(jīng)過短短幾個(gè)月監(jiān)督工作的開展,各單位信息安全工作井然有序,沒有發(fā)生一起因信息安全引發(fā)的信息系統(tǒng)運(yùn)行事故。

 

(1)通過各種形式督查工作的開展,對(duì)檢查暴露的安全隱患積極整改,有效消缺,保障了公司發(fā)展、運(yùn)營和改革工作;通過對(duì)新上線系統(tǒng)的應(yīng)用系統(tǒng)安全測評(píng),有力支撐了改革期間大量應(yīng)用的開發(fā)和運(yùn)行工作。(2)通過持證上崗和各種培訓(xùn)工作,培養(yǎng)了一支信息安全人才隊(duì)伍。目前所有公司級(jí)督查人員全部通過了CISP認(rèn)證,市、縣級(jí)專職督查人員逐步實(shí)現(xiàn)持證上崗,提高了公司各單位信息安全從業(yè)人員的技術(shù)素質(zhì)。(3)通過區(qū)域間安全互查,加強(qiáng)了各單位信息安全經(jīng)驗(yàn)交流,對(duì)消除地區(qū)差異,以弱帶強(qiáng),提升公司整體信息安全防護(hù)能力具備積極意義。

 

4.結(jié)論

 

通過信息安全技術(shù)監(jiān)督體系的建立和實(shí)現(xiàn),實(shí)現(xiàn)了貫穿公司各單位的信息安全督查網(wǎng)絡(luò),各地區(qū)信息安全從業(yè)人員技術(shù)水平平衡發(fā)展,監(jiān)督和保障信息安全技術(shù)措施和管理要求有效落實(shí),推進(jìn)了公司整體信息安全管理水平。

篇3

隨著中國國際航空股份有限公司(以下簡稱“國航”)信息系統(tǒng)建設(shè)的飛速發(fā)展,在2008年北京奧運(yùn)會(huì)的安全保障工作中,安全不再只是空防安全和飛行安全,信息安全也已經(jīng)成為奧運(yùn)安保的重要環(huán)節(jié),并被納入國航及信息管理部的年度重點(diǎn)工作之中。

在此背景下,國航與IBM公司合作啟動(dòng)了信息安全規(guī)劃咨詢項(xiàng)目,它旨在為國航信息安全體系建設(shè)打下堅(jiān)實(shí)的理論基礎(chǔ)。同時(shí),國航也通過該項(xiàng)目完成了未來3~5年信息安全建設(shè)的發(fā)展規(guī)劃,建立了信息安全管理體系,并最終于2009年5月26日通過了ISO27001信息安全管理體系國際認(rèn)證,使國航成為國內(nèi)民航業(yè)第一家獲得IS027001國際認(rèn)證的單位。

與飛行安全一樣重要

由于信息化建設(shè)已經(jīng)深入到國航業(yè)務(wù)的各個(gè)角落,所以,幾乎所有業(yè)務(wù)都與信息技術(shù)相關(guān),特別是涉及到客戶信任度的商務(wù)及財(cái)務(wù)方面更是如此。因此,在國航未來的發(fā)展戰(zhàn)略中,信息安全已經(jīng)占據(jù)了越來越重要的位置。現(xiàn)在,公司上下已經(jīng)形成一個(gè)共識(shí):打造信息安全管理體系這張保護(hù)網(wǎng),就像確保飛行安全一樣重要。

基于這樣一個(gè)共識(shí),我們從國航的業(yè)務(wù)愿景出發(fā),引導(dǎo)出了國航的信息安全愿景,即國航需要建立起一個(gè)成熟的、具備國際水平的信息安全保障體系,這個(gè)保障體系第一要保證國航的核心業(yè)務(wù)不中斷,第二要保障國航信息系統(tǒng)不被攻擊,第三要保障重要的客戶信息不被泄漏,通過一個(gè)全方位的安全保障體系為國航的業(yè)務(wù)愿景保駕護(hù)航。

雖然現(xiàn)在已獲得了ISO27001國際認(rèn)證,但國航的信息安全建設(shè)經(jīng)歷了一個(gè)漫長的過程,大致可以分為四個(gè)階段:

第一個(gè)階段是在2006年以前,當(dāng)時(shí)信息系統(tǒng)對(duì)于國航的支撐力度相對(duì)有限,同時(shí)從整個(gè)業(yè)界來看,的安全威脅還不是很明顯,所以,信息安全建設(shè)的特點(diǎn)是以零星建設(shè)和被動(dòng)建設(shè)為主。

第二個(gè)階段是2007~2008年,隨著國航核心系統(tǒng)逐步投入運(yùn)行,以及北京奧運(yùn)會(huì)的臨近,的安全風(fēng)險(xiǎn)不斷增加,這是,國航開始針對(duì)性地對(duì)重點(diǎn)領(lǐng)域搭建技術(shù)防護(hù)措施。

第三個(gè)階段是從2008年開始,隨著國航對(duì)自身信息安全認(rèn)識(shí)的不斷深入,國航按照Is02700 L的標(biāo)準(zhǔn),建立起了信息安全的管理體系。同時(shí),還啟動(dòng)了全面的信息系統(tǒng)戰(zhàn)略規(guī)劃,根據(jù)國際最佳實(shí)踐并結(jié)合國航的特色,制定了未來3~5年信息安全技術(shù)平臺(tái)建設(shè)的藍(lán)圖和路徑。自此,國航整個(gè)信息安全建設(shè)有了一個(gè)更加科學(xué)和更加明細(xì)的路線圖。

搭建“安全翹翹板”

整體而言,國航的信息安全體系主要是以IT基礎(chǔ)架構(gòu)和安全技術(shù)架構(gòu)為基礎(chǔ),通過信息安全組織與人員對(duì)業(yè)務(wù)邏輯的準(zhǔn)確理解和制度流程的有效執(zhí)行,實(shí)現(xiàn)完整的信息安全管理過程。

應(yīng)該說,信息安全體系是一個(gè)非常復(fù)雜的體系。業(yè)界有個(gè)說法叫“安全翹翹板”,這個(gè)翹翹板主要是在IT基礎(chǔ)結(jié)構(gòu)的基礎(chǔ)上,包括三方面內(nèi)容:一是技術(shù)平臺(tái),二是組織和人員,三是制度和流程,通過這三方面的有效執(zhí)行,從而構(gòu)成信息安全體系。另外,還要加上安全的管理架構(gòu)和技術(shù)架構(gòu),最后和業(yè)務(wù)邏輯結(jié)合起來,這樣才能構(gòu)成一個(gè)完整的信息安全體系。

目前,依據(jù)ISO27001標(biāo)準(zhǔn),國航建立了包含三個(gè)一級(jí)方針,三十一個(gè)二級(jí)規(guī)章的信息安全管理策略體系。通過信息安全管理策略體系的建立、北京奧運(yùn)會(huì)期間的整改措施以及1S02700I外審督促,國航的管理體系評(píng)測水平不斷提升,其中體系評(píng)價(jià)范圍從運(yùn)行維護(hù)中心到全信息管理部,IS027001中要求的十一個(gè)領(lǐng)域都有大幅提高。

在技術(shù)平臺(tái)建設(shè)方面,國航針對(duì)一些緊迫性問題做了針對(duì)性的部署。比如網(wǎng)絡(luò)安全架構(gòu)不清晰、來自互聯(lián)網(wǎng)的威脅日益增加、防護(hù)能力偏弱、用戶行為控制存在漏洞、系統(tǒng)服務(wù)器安全性不足等問題,國航不但劃分了安全領(lǐng)域,還部署了防DOS攻擊、入侵檢測、入侵防御等設(shè)備,另外,在重點(diǎn)用戶單位引入終端安全管理,利用弱點(diǎn)掃描工具發(fā)現(xiàn)系統(tǒng)漏洞等技術(shù)措施,配合各項(xiàng)管理措施,很好地完成了北京奧運(yùn)信息安全保障工作。

在信息安全管理體系建立過程中,國航還特別成立了公司級(jí)的信息安全管理委員會(huì),落實(shí)了信息安全管控中心職能,借鑒國際最佳實(shí)踐的功能劃分,采用兩級(jí)管控機(jī)制,在對(duì)組織機(jī)構(gòu)不做大調(diào)整的情況下落實(shí)了安全管理責(zé)任。

國航ISO27001信息安全管理體系策略文件于2008年底正式,并組織了近200人次的信息安全培訓(xùn),采用自評(píng)結(jié)合復(fù)核為主的審查方式定期對(duì)體系文件的貫徹和執(zhí)行情況進(jìn)行了解。通過內(nèi)部認(rèn)證培訓(xùn),培養(yǎng)了專兼職質(zhì)量安全員34人,以承擔(dān)未來各部門的安全內(nèi)審職責(zé)。

納入安全運(yùn)行標(biāo)準(zhǔn)體系

正如國航副總裁賀利所說,通過ISO27001國際認(rèn)證,并不代表國航的信息安全工作已經(jīng)做到位,而是意味著信息安全工作開始起步,后面需要完善的工作還有很多。

因此接下來,國航首先將不斷對(duì)現(xiàn)有管理體系的操作細(xì)則進(jìn)行完善,進(jìn)一步細(xì)化信息安全管理域成熟等級(jí)評(píng)價(jià)機(jī)制,在IBM公司提出的四級(jí)評(píng)價(jià)基礎(chǔ)上,針對(duì)國航實(shí)際情況再進(jìn)行細(xì)分,持續(xù)強(qiáng)化規(guī)章的定期評(píng)審機(jī)制,同時(shí)要求所有部分在編寫自身業(yè)務(wù)指導(dǎo)書時(shí)落實(shí)信息安全規(guī)章。

另外,信息管理郝還將和國航相關(guān)部門一起建立基于崗位信息資源的管控機(jī)制。以后國航每一個(gè)崗位上的工作人員,可以訪問什么樣的內(nèi)容,能夠訪問多大的資源,都和崗位密切結(jié)合起來,這樣就能使信息安全的控制預(yù)先做好相應(yīng)的防控。

在技術(shù)平臺(tái)方面,國航將依照既定的信息安全建設(shè)規(guī)劃,在未來三年內(nèi),分步在用戶身份與信任憑證管理、訪問控制、信息流控制、完整性保護(hù)、安全監(jiān)控與審計(jì)五大安全服務(wù)領(lǐng)域增加功能組件,建立起符合國航的、完整的信息安全技術(shù)平臺(tái)。

篇4

【關(guān)鍵詞】金融信息 安全風(fēng)險(xiǎn) 對(duì)策

一、引言

信息安全建設(shè)應(yīng)綜合考慮,信息在獲取過程中要考慮其的完整性、可用性等,我們要盡量的全方位考慮,將設(shè)計(jì)信息系統(tǒng)的安全方策略做到最好。隨著網(wǎng)絡(luò)建設(shè)的覆蓋、網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施的建立,數(shù)據(jù)的大集中已進(jìn)入發(fā)展階段,其中數(shù)據(jù)大集中成為我國金融業(yè)信息化工程的重點(diǎn),方便的經(jīng)營管理能有效控制外部安全風(fēng)險(xiǎn),增強(qiáng)了規(guī)?;绦蚧б?,但同時(shí)也帶來了風(fēng)險(xiǎn)。金融業(yè)的辦公自動(dòng)化和信息數(shù)據(jù)中心規(guī)模數(shù)據(jù)的不斷擴(kuò)張,這種聚集的風(fēng)險(xiǎn)會(huì)更加突出,數(shù)據(jù)控制中心一旦受到攻擊,計(jì)算機(jī)將立即終止服務(wù),同時(shí)引起與之相關(guān)聯(lián)的一系列的金融服務(wù)業(yè)務(wù)暫?;虬c瘓,最終將因數(shù)據(jù)的丟失而引起多起法律糾紛,這必然也會(huì)造成社會(huì)的不和諧。隨著我國信息技術(shù)的快速發(fā)展,會(huì)有越來越多的安全技術(shù)問題隨之而來,電腦系統(tǒng)的入侵與反入侵的攻擊也將會(huì)變得復(fù)雜并且頻繁上演。所以,金融業(yè)對(duì)網(wǎng)絡(luò)體系實(shí)施安全保障防護(hù)的要求也就刻不容緩了。因此,要保證金融機(jī)構(gòu)的信息系統(tǒng)平穩(wěn)運(yùn)行及各項(xiàng)業(yè)務(wù)的持續(xù)展開,必須建立一套金融信息安全保障體系,統(tǒng)一金融信息安全問題處理規(guī)范和流程,是有效防范和化解安全風(fēng)險(xiǎn),以及增強(qiáng)金融系統(tǒng)的信息安全整體防范體系的關(guān)鍵。

二、金融信息安全的現(xiàn)狀

由于信息技術(shù)在金融系統(tǒng)的廣泛應(yīng)用,金融業(yè)務(wù)都是以信息技術(shù)為支撐,各金融系統(tǒng)同中央銀行、國家相關(guān)部門實(shí)現(xiàn)了網(wǎng)絡(luò)聯(lián)接,從而,信息安全的重要性凸現(xiàn),信息安全不僅關(guān)系到金融安全,甚至關(guān)系到社會(huì)穩(wěn)定和國家安全。但金融系統(tǒng)在建設(shè)初期“重建設(shè),輕管理”,信息安全管理相對(duì)滯后,管理機(jī)制、管理制度、人員配備、技術(shù)手段等都同信息安全管理的要求有一定差距,致使信息安全面臨的風(fēng)險(xiǎn)越來越呈現(xiàn)復(fù)雜性:既有環(huán)境風(fēng)險(xiǎn)、設(shè)備風(fēng)險(xiǎn)、技術(shù)風(fēng)險(xiǎn)、操作風(fēng)險(xiǎn)、人員風(fēng)險(xiǎn),又有遭受惡意攻擊和失泄密的風(fēng)險(xiǎn),而國家有關(guān)信息安全管理的制度缺失,人民銀行等監(jiān)管部門在對(duì)金融系統(tǒng)信息安全管理方面的監(jiān)管中,缺乏相關(guān)的制度規(guī)定、法律規(guī)定,相關(guān)工作的開展受到一定的影響,急需完善金融信息安全制度,加強(qiáng)金融系統(tǒng)信息安全管理工作。

三、提升金融信息安全綜合保障能力的對(duì)策

努力構(gòu)建金融信息安全保障體系,金融信息綜合安全防護(hù)的抵抗能力要增強(qiáng),這一項(xiàng)龐大而復(fù)雜的系統(tǒng)工程,信息安全防線的構(gòu)成是多層次多角度的,需要有正確的信息安全意識(shí),科學(xué)投資,抓好硬件設(shè)施建設(shè),但也決不能靠幾件安全性能的硬件就解決、放心。還需要有完善的可行性制度。因此,要加強(qiáng)安全管理的科學(xué)性和制度化,總結(jié)成八個(gè)字:“三分技術(shù),七分管理”,應(yīng)用這個(gè)道理,從我國金融業(yè)法制、技術(shù)、管理、人員等幾方面齊步共進(jìn),來完善我國金融信息建設(shè)。

(一)樹立正確的信息安全意識(shí)

信息的價(jià)值就在于它的獨(dú)占性、排他性,并保證其安全性,信息安全是繼領(lǐng)土、政治和經(jīng)濟(jì)之后的另一。國家只有建立保護(hù)好信息安全產(chǎn)業(yè)的屏障,開發(fā)具有自主知識(shí)產(chǎn)權(quán)的技術(shù)和產(chǎn)品,擁有自己的,才能在世界經(jīng)濟(jì)中占主動(dòng)地位,進(jìn)而也就避免了我國企業(yè)目前的常常被國外公司侵犯其專利權(quán)的窘境和落后的危險(xiǎn)。

對(duì)待信息安全問題,要本著客觀、公正、科學(xué)的態(tài)度,既要認(rèn)識(shí)到信息安全保障系統(tǒng)確確實(shí)實(shí)存在安全漏洞,又要客觀對(duì)待系統(tǒng)漏洞的狀態(tài),針對(duì)現(xiàn)狀和有限的條件,及時(shí)對(duì)漏洞加以修補(bǔ),要正視信息安全保障系統(tǒng)帶來的利與弊。要構(gòu)建一個(gè)絕對(duì)安全的完善系統(tǒng)是不可能的,因?yàn)樵谌魏螘r(shí)候安全都是相對(duì)的,系統(tǒng)的開放性與方便性和系統(tǒng)的安全性與保密性始終是一對(duì)矛盾,因此,我們要做的就是建立一個(gè)不斷完善的補(bǔ)充機(jī)制,來強(qiáng)化信息安全的屏障作用,在危機(jī)時(shí)刻數(shù)秒鐘能及時(shí)更正,恢復(fù)這樣的認(rèn)識(shí)即可。

(二)科學(xué)均衡投資,努力抓好金融信息安全的建設(shè)

為確保信息系統(tǒng)的安全,硬件的投入是必要的,但仔細(xì)分析我國金融業(yè)在信息技術(shù)方面的投入發(fā)現(xiàn),在投入方向上重硬件、輕軟件,信息系統(tǒng)的建設(shè)要遠(yuǎn)遠(yuǎn)高于信息安全方面的建設(shè),即所謂的“重業(yè)務(wù)發(fā)展,輕安全管理”。 然而,金融業(yè)的數(shù)據(jù)就是金融機(jī)構(gòu)的生命,隨著對(duì)計(jì)算機(jī)系統(tǒng)的依賴性與日俱增,就意味著金融機(jī)構(gòu)的核心競爭力——金融業(yè),是社會(huì)核心的集聚敏感的部門。從金融機(jī)構(gòu)的運(yùn)營角度來講,安全性一直都是重中之重,安全建設(shè)是各金融機(jī)構(gòu)應(yīng)該時(shí)刻重視而且必須做好的工作。要做到未雨綢繆,安全防范,實(shí)施穩(wěn)妥。因此,金融業(yè)在對(duì)待信息技術(shù)的投入方面,應(yīng)高度重視信息安全,積極推進(jìn)系統(tǒng)建設(shè),在業(yè)務(wù)系統(tǒng)建設(shè)的同時(shí),同步推進(jìn)信息安全建設(shè),做到科學(xué)投資,確保安全。

(三)構(gòu)建信息安全技術(shù)保障體系

就目前的情況看,我國信息技術(shù)安全屏障防止各類復(fù)雜的信息系統(tǒng)攻擊能力不是很好,尚不具備抵抗外界破壞的后備程序或者說應(yīng)急機(jī)制,可以說我國的信息技術(shù)安全保障尚未建立成體系,應(yīng)加強(qiáng)信息安全技術(shù)的投入和產(chǎn)品的研究、開發(fā)與應(yīng)用,建立信息安全程序增進(jìn)研發(fā)、產(chǎn)品跟蹤反應(yīng)及應(yīng)用的完好優(yōu)質(zhì)的循環(huán)體系,要有自主知識(shí)產(chǎn)權(quán)的技術(shù)和產(chǎn)品,要從監(jiān)控、系統(tǒng)、設(shè)備、硬件、軟件等各方面,從信息流轉(zhuǎn)的各個(gè)環(huán)節(jié),和個(gè)人用戶、金融機(jī)構(gòu)、金融行業(yè)、國家等不同層面上,建立一個(gè)高效安全的金融信息網(wǎng)絡(luò)通道的安全信息保障體系。

篇5

為加強(qiáng)證券期貨業(yè)信息安全保障工作的組織協(xié)調(diào),建立健全信息安全管理制度和運(yùn)行機(jī)制,切實(shí)提高行業(yè)信息安全保障工作水平,根據(jù)中國證券監(jiān)督管理委員會(huì)頒布的《證券期貨業(yè)信息安全保障管理暫行辦法》,制定《證券期貨業(yè)信息安全保障管理體系框架》。

在保障安全的前提下,兼顧不同主體單位的差別,強(qiáng)制滿足最低標(biāo)準(zhǔn),充分保留發(fā)展空間。

參照 ISO/IEC 27001:2005中提出的證券期貨業(yè)信息安全保障管理模型(簡稱模型),采用立方體架構(gòu)。頂面是信息安全保障的7個(gè)目標(biāo)(機(jī)密性、完整性、可用性、真實(shí)性、可審計(jì)性、抗抵賴性、可靠性),正面是行業(yè)組織結(jié)構(gòu),側(cè)面是各個(gè)機(jī)構(gòu)為實(shí)現(xiàn)信息安全保障目標(biāo)所采取的措施和方式(組織、管理及技術(shù)體系)。

本管理體系框架遵循如下基本原則:責(zé)任制原則,依據(jù)“誰主管,誰負(fù)責(zé)”、“誰運(yùn)營,誰負(fù)責(zé)”的基本原則,明確行業(yè)內(nèi)各主體單位信息安全保障的管理責(zé)任;系統(tǒng)性原則,以動(dòng)態(tài)保障的安全觀為指導(dǎo),體現(xiàn)安全與發(fā)展并進(jìn)、管理與技術(shù)并重、長效機(jī)制與應(yīng)急防御相結(jié)合的綜合保障體系;適用性原則,在保障安全的前提下,兼顧不同主體單位的差別,強(qiáng)制滿足最低標(biāo)準(zhǔn),充分保留發(fā)展空間。

信息安全目標(biāo)

證券期貨業(yè)信息安全保障管理體系的目標(biāo)是保障網(wǎng)絡(luò)與信息系統(tǒng)的機(jī)密性、完整性、可用性、真實(shí)性、可審計(jì)性、抗抵賴性、可靠性。機(jī)密性是數(shù)據(jù)所具有的特性,即表示數(shù)據(jù)所達(dá)到的未提供或未泄露給未授權(quán)的個(gè)人、過程或其他實(shí)體的程度。完整性是保證信息及信息系統(tǒng)不會(huì)被非授權(quán)更改或破壞的特性,包括數(shù)據(jù)完整性和系統(tǒng)完整性??捎眯允菙?shù)據(jù)或資源的特性,被授權(quán)實(shí)體按要求能訪問和使用數(shù)據(jù)或資源。真實(shí)性即信息接收者能夠通過有效的手段來識(shí)別信息是否是聲稱者所發(fā)送??蓪徲?jì)性即每個(gè)經(jīng)授權(quán)用戶的活動(dòng)都是唯一標(biāo)識(shí)和監(jiān)控的,以便對(duì)其所做的操作內(nèi)容進(jìn)行審計(jì)和跟蹤??沟仲囆约幢WC發(fā)送信息的行為人不能否認(rèn)自己的行為,使發(fā)送行為具有可信度。可靠性即保證合法用戶對(duì)信息能夠進(jìn)行讀取和修改,防止非法用戶對(duì)信息進(jìn)行惡意篡改和破壞。

行業(yè)組織結(jié)構(gòu)

證券期貨業(yè)安全保障管理組織結(jié)構(gòu)采用 “統(tǒng)一組織、分層管理、交叉協(xié)調(diào)”的管理結(jié)構(gòu),劃分為三層:決策層、管理層、執(zhí)行層。

決策層

決策層由證券期貨業(yè)網(wǎng)絡(luò)與信息安全保障協(xié)調(diào)小組(以下簡稱協(xié)調(diào)小組)構(gòu)成,協(xié)調(diào)小組由中國證券監(jiān)督管理委員會(huì)及“5(交易所)+1(登記結(jié)算公司)+2(行業(yè)協(xié)會(huì))”組成,是證券期貨行業(yè)信息安全的最高決策機(jī)構(gòu),以建立安全的信息系統(tǒng)、保障投資者利益為目標(biāo),制定框架性的信息系統(tǒng)安全指導(dǎo)方針,明確信息安全保障工作的基本方向和主要內(nèi)容,頒布信息安全保障工作的行業(yè)條例與規(guī)定。

協(xié)調(diào)小組還將根據(jù)證券期貨行業(yè)信息系統(tǒng)發(fā)展趨勢和信息安全發(fā)展趨勢,定期對(duì)指導(dǎo)方針做出調(diào)整,研究和分析信息安全建設(shè)對(duì)證券期貨行業(yè)發(fā)展的價(jià)值和影響,確定信息安全保障工作的發(fā)展方向和基本工作節(jié)奏。審定并頒布行業(yè)信息安全保障工作的規(guī)定和制度,協(xié)調(diào)行業(yè)內(nèi)部及外部資源,具體包括,信息安全保障工作指導(dǎo)方針、信息安全保障工作管理體系、信息安全保障工作管理流程、信息安全保障工作監(jiān)督規(guī)定。審定并頒布信息安全保障工作的監(jiān)督機(jī)制,并頒布相關(guān)監(jiān)督制度和管理流程。

管理層

管理層由行業(yè)主管職能部門、行業(yè)自律組織和行業(yè)相關(guān)的管理與促進(jìn)機(jī)構(gòu)構(gòu)成。行業(yè)主管職能部門包括中國證監(jiān)會(huì)信息安全管理職能部門及其派出機(jī)構(gòu)(各地的證監(jiān)局、證管辦),行業(yè)自律組織包括中國證券業(yè)協(xié)會(huì)、中國期貨業(yè)協(xié)會(huì)、技術(shù)標(biāo)準(zhǔn)委員會(huì),相關(guān)的管理與促進(jìn)機(jī)構(gòu)成員包括證券交易所(上海證券交易所、深圳證券交易所)、期貨交易所(上海期貨交易所、鄭州商品交易所、大連商品交易所)、登記結(jié)算公司。

行業(yè)主管職能部門負(fù)責(zé)起草并報(bào)批行業(yè)信息安全保障工作的規(guī)章和制度,協(xié)調(diào)專家顧問、行業(yè)成員等各方面的資源,對(duì)協(xié)調(diào)小組頒發(fā)的信息安全指導(dǎo)方針做技術(shù)與標(biāo)準(zhǔn)的支持,為其他成員執(zhí)行指導(dǎo)性方針提供支持,并及時(shí)了解業(yè)務(wù)發(fā)展對(duì)信息安全的新需求,反映給協(xié)調(diào)小組,并根據(jù)證監(jiān)會(huì)的信息安全保障工作相關(guān)規(guī)定,提出技術(shù)標(biāo)準(zhǔn)與實(shí)施細(xì)則。協(xié)調(diào)專家、顧問和行業(yè)標(biāo)桿企業(yè)為各個(gè)安全主體進(jìn)行信息安全保障工作的咨詢。

行業(yè)自律組織針對(duì)行業(yè)特性制訂信息安全保障相關(guān)自律性公約、標(biāo)準(zhǔn)、規(guī)范與指引等,并要求其會(huì)員單位嚴(yán)格遵守自律公約,并對(duì)違反公約的行為進(jìn)行處理。相關(guān)的管理與促進(jìn)機(jī)構(gòu)作為市場網(wǎng)絡(luò)與信息系統(tǒng)的核心,其信息系統(tǒng)運(yùn)行狀態(tài)很大程度上依賴于會(huì)員單位的信息安全級(jí)別,應(yīng)對(duì)其會(huì)員單位進(jìn)行嚴(yán)格要求,依據(jù)行業(yè)信息安全保障管理相關(guān)管理規(guī)范,制定相應(yīng)的管理細(xì)則和技術(shù)標(biāo)準(zhǔn),督促其會(huì)員單位落實(shí),并對(duì)安全邊界進(jìn)行嚴(yán)格管理。

執(zhí)行層

執(zhí)行層指市場各個(gè)參與主體,包括交易所、登記結(jié)算公司、通信公司、證券公司、期貨公司、基金管理公司、投資咨詢機(jī)構(gòu)等。

安全保障領(lǐng)導(dǎo)小組是各主體單位信息安全最高領(lǐng)導(dǎo)機(jī)構(gòu),對(duì)協(xié)調(diào)小組關(guān)于信息安全建設(shè)的指導(dǎo)方針進(jìn)行目標(biāo)分解,結(jié)合本單位業(yè)務(wù)發(fā)展需求及信息系統(tǒng)現(xiàn)狀制定具體的信息安全建設(shè)策略、計(jì)劃、流程,并授權(quán)執(zhí)行機(jī)構(gòu)進(jìn)行信息系統(tǒng)安全建設(shè)與運(yùn)維。主要工作內(nèi)容包括制定符合監(jiān)管機(jī)構(gòu)規(guī)定的信息安全保障方針政策,根據(jù)企業(yè)自身信息安全保障工作的方針政策建立信息安全保障工作的策略體系,監(jiān)督并指導(dǎo)企業(yè)自身的信息安全組織、管理、技術(shù)體系建設(shè)。

安全保障工作小組是各主體單位執(zhí)行信息安全保障的具體機(jī)構(gòu),根據(jù)安全保障領(lǐng)導(dǎo)小組制定的信息安全建設(shè)策略、計(jì)劃、流程執(zhí)行信息安全保障工作。主體單位對(duì)自身信息安全現(xiàn)狀的評(píng)估,建設(shè)信息安全組織、管理、技術(shù)體系,完善信息安全組織、管理、技術(shù)體系,對(duì)出現(xiàn)的安全事件進(jìn)行處理。

在組織體系上,決策層進(jìn)行法規(guī)頒布,對(duì)管理層和執(zhí)行層進(jìn)行工作指導(dǎo),管理層對(duì)決策層制定的相關(guān)法規(guī)進(jìn)行細(xì)化,執(zhí)行層根據(jù)行業(yè)規(guī)則進(jìn)行信息安全保障體系建設(shè),并將組織信息上報(bào)管理層和決策層。在管理體系上,決策層對(duì)管理層進(jìn)行監(jiān)督管理,管理層對(duì)執(zhí)行層進(jìn)行評(píng)估檢查,執(zhí)行層將信息進(jìn)行上報(bào)給決策層和管理層。在技術(shù)體系上,由執(zhí)行層將技術(shù)實(shí)現(xiàn)方案和實(shí)施結(jié)果上報(bào)給管理層,管理層對(duì)成功經(jīng)驗(yàn)在執(zhí)行層進(jìn)行推廣。

信息安全保障實(shí)現(xiàn)方式

篇6

關(guān)鍵詞:民航 信息網(wǎng)絡(luò) 系統(tǒng)安

一、民航信息網(wǎng)絡(luò)系統(tǒng)安全問題分析

近年來,隨著我國經(jīng)濟(jì)水平的不斷提升,大幅度推動(dòng)民航領(lǐng)域的發(fā)展,在這一背景下,民航的信息網(wǎng)絡(luò)系統(tǒng)隨之進(jìn)入建設(shè)高峰期,該系統(tǒng)除與飛機(jī)的飛行安全有關(guān)之外,還與空防和運(yùn)行安全有著極為密切的關(guān)聯(lián),一旦系統(tǒng)出現(xiàn)問題,輕則會(huì)影響民航的正常運(yùn)營,嚴(yán)重時(shí)將會(huì)危及到飛機(jī)的飛行安全,極有可能造成巨大的經(jīng)濟(jì)損失。如某機(jī)場的空管飛行數(shù)據(jù)處理系統(tǒng)發(fā)生故障,致使機(jī)場的空管雷達(dá)無法提供正常的數(shù)據(jù),直接導(dǎo)致70余架航班不能按時(shí)起落降,數(shù)千名乘客的出行受到影響;又如,某航空公司的電子客票系統(tǒng)被黑客入侵,導(dǎo)致多名乘客的機(jī)票信息泄露,媒體報(bào)道后,造成嚴(yán)重的社會(huì)影響,諸如此類事件不勝枚舉。

通過對(duì)國內(nèi)一些航空公司進(jìn)行調(diào)查后發(fā)現(xiàn),絕大部分都曾經(jīng)發(fā)生過信息網(wǎng)絡(luò)安全事件,在誘發(fā)安全事件的原因中,計(jì)算機(jī)病毒、木馬、電腦蠕蟲等所占的比例較大,約為70-80%左右,網(wǎng)頁被惡意篡改、端口掃描等網(wǎng)絡(luò)攻擊約為20-30%左右。上述安全事件之所以會(huì)頻繁發(fā)生,主要是因?yàn)槊窈叫畔⒕W(wǎng)絡(luò)系統(tǒng)的安全防護(hù)水平不高,給惡意入侵、黑客攻擊提供了可能。鑒于此,必須從管理和技術(shù)兩個(gè)方面著手,加強(qiáng)民航信息網(wǎng)絡(luò)安全建設(shè)。

二、民航信息網(wǎng)絡(luò)安全建設(shè)策略

為確保民航信息網(wǎng)絡(luò)系統(tǒng)安全,必須建立起一套科學(xué)合理、切實(shí)可行的安全管理制度,并采取先進(jìn)的技術(shù)措施,提高系統(tǒng)的安全等級(jí)。

(一)加強(qiáng)安全管理

1.構(gòu)建完善的制度體系。民航信息網(wǎng)絡(luò)系統(tǒng)的安全離不開管理,而想要使管理發(fā)揮出應(yīng)有的成效,就必須構(gòu)建起一套較為完整的制度體系。各大航空公司應(yīng)當(dāng)結(jié)合自身的實(shí)際情況,并總結(jié)以往的經(jīng)驗(yàn)教訓(xùn),量身定制安全計(jì)劃和方案,如網(wǎng)絡(luò)信息安全等級(jí)保護(hù)與分級(jí)保護(hù)、安全通報(bào)制度等等,確保所有的安全管理工作都能有制度可依。與此同時(shí),還應(yīng)不斷加強(qiáng)對(duì)相關(guān)人員的管理,提高他們的安全意識(shí),從根本上保證信息網(wǎng)絡(luò)系統(tǒng)的安全性。

2.做好管理維護(hù)工作。民航信息網(wǎng)絡(luò)系統(tǒng)是由諸多設(shè)備組成,想要保證系統(tǒng)的安全,就必須做好運(yùn)行設(shè)備的維護(hù)管理。鑒于民航信息網(wǎng)絡(luò)系統(tǒng)的特點(diǎn),即啟動(dòng)后不能隨意關(guān)閉,因此,可從如下幾個(gè)方面保證系統(tǒng)安全、穩(wěn)定運(yùn)行:①控制主機(jī)溫度??稍谛畔⒕W(wǎng)絡(luò)系統(tǒng)建設(shè)時(shí),為相關(guān)的硬件設(shè)施配備一套雙機(jī)熱備加磁盤陣列,這樣能夠確保網(wǎng)絡(luò)信息系統(tǒng)的安全性,同時(shí)可以選用小型機(jī)作為民航運(yùn)營數(shù)據(jù)庫或是離港系統(tǒng)的服務(wù)器,該服務(wù)器采用的是分布式架構(gòu),其能夠在確保安全的基礎(chǔ)上,提高系統(tǒng)的可用性。②定期檢查。民航信息網(wǎng)絡(luò)系統(tǒng)中,有一些軟件的可靠性相對(duì)較低,若是大量用戶同時(shí)上線可能會(huì)導(dǎo)致系統(tǒng)死機(jī)的問題發(fā)生,通過定期的檢查,能及時(shí)發(fā)現(xiàn)問題,并進(jìn)行升級(jí)維護(hù),由此不但能夠提高系統(tǒng)運(yùn)行效率,而且還能確保\行安全。

(二)安全技術(shù)措施

民航在進(jìn)行信息網(wǎng)絡(luò)系統(tǒng)安全建設(shè)的過程中,要采取合理可行的技術(shù)措施,為信息網(wǎng)絡(luò)系統(tǒng)的安全保駕護(hù)航。

1.入侵檢測技術(shù)。該技術(shù)是近年來興起的一種網(wǎng)絡(luò)信息安全防范技術(shù),其能夠通過對(duì)網(wǎng)絡(luò)信息系統(tǒng)的審計(jì)數(shù)據(jù)、安全日志等進(jìn)行檢測,找出入侵以及入侵企圖,這種技術(shù)最為主要的作用是對(duì)網(wǎng)絡(luò)信息系統(tǒng)的入侵和攻擊進(jìn)行監(jiān)控,進(jìn)而采取相應(yīng)的措施加以應(yīng)對(duì),從而確保系統(tǒng)的安全。民航可基于該技術(shù)構(gòu)建一套相對(duì)完善的IDS系統(tǒng),運(yùn)用該系統(tǒng)對(duì)外部的非法入侵以及內(nèi)部用戶的非授權(quán)行為進(jìn)行檢測,發(fā)現(xiàn)并報(bào)告網(wǎng)絡(luò)信息系統(tǒng)中的異?,F(xiàn)象,對(duì)針對(duì)信息網(wǎng)絡(luò)系統(tǒng)安全的行為做出及時(shí)有效地應(yīng)對(duì)。

2.身份認(rèn)證技術(shù)。該技術(shù)具體是對(duì)系統(tǒng)操作者身份的確認(rèn),其能夠借助網(wǎng)絡(luò)防火墻、安全網(wǎng)關(guān)等,對(duì)信息網(wǎng)絡(luò)系統(tǒng)的用戶身份權(quán)限進(jìn)行管理,民航的信息網(wǎng)絡(luò)系統(tǒng)一般只能對(duì)操作者的數(shù)字身份信息進(jìn)行識(shí)別,而通過身份認(rèn)證技術(shù)的應(yīng)用,則可有效解決系統(tǒng)操作者物理與數(shù)字身份的對(duì)應(yīng)問題,由此為系統(tǒng)的權(quán)限管理提供了可靠依據(jù)。民航在進(jìn)行信息網(wǎng)絡(luò)系統(tǒng)建設(shè)時(shí),可以采用以下幾種方式對(duì)系統(tǒng)操作者的身份進(jìn)行認(rèn)證:用戶名+密碼;用戶基本信息驗(yàn)證,如證件號(hào)碼、信用卡號(hào)等;特征識(shí)別,如視網(wǎng)膜、指紋、聲音等。此外,還可以采用USB key,這樣可以進(jìn)一步提升系統(tǒng)的安全性能。

3.加密與數(shù)字簽名。這是目前保障網(wǎng)絡(luò)信息系統(tǒng)及數(shù)據(jù)安全最為常用的一種技術(shù),它能夠有效防止各種機(jī)密數(shù)據(jù)被外部竊取、更改,對(duì)于信息安全具有極強(qiáng)的保證。具體應(yīng)用時(shí),可對(duì)一些重要的文件進(jìn)行加密,這樣即便有非法用戶入侵到系統(tǒng)當(dāng)中也無法查看加密文件的內(nèi)容,加密后等于給文件上鎖,其安全性自然會(huì)獲得保證。而數(shù)字簽名則可確保用戶收到的郵件均為所需用戶發(fā)送而來,可有效防止垃圾郵件。民航在信息網(wǎng)絡(luò)系統(tǒng)安全建設(shè)時(shí),可合理運(yùn)用加密和數(shù)字簽名技術(shù),為各類重要信息提供安全保障。

4.網(wǎng)路防火墻。民航在進(jìn)行信息網(wǎng)絡(luò)安全建設(shè)時(shí),應(yīng)當(dāng)選用高端的防火墻產(chǎn)品,除要具備防火墻的基本功能之外,還應(yīng)兼具VPN網(wǎng)關(guān)功能,建議采用分組過濾式防火墻或是雙穴網(wǎng)關(guān)防火墻,同時(shí)要考慮不同接入方式的適應(yīng)性。需要注意的是,防火墻要選用正版的,并定期進(jìn)行升級(jí),這樣才能使其作用得以最大限度地發(fā)揮。

三、結(jié)語

綜上所述,民航信息網(wǎng)絡(luò)安全的重要性不言而喻,因此,必須做好信息網(wǎng)絡(luò)系統(tǒng)的安全建設(shè)工作,民航企業(yè)可以結(jié)合自身的實(shí)際情況,制定科學(xué)的管理制度,并采取先進(jìn)的技術(shù)措施,提高系統(tǒng)的安全性,這樣不但能減少或是杜絕各類安全事件的發(fā)生,而且還有利于促進(jìn)我國民航事業(yè)的持續(xù)發(fā)展。

參考文獻(xiàn):

[1]余焰,余凱.以空管信息為核心,建立民航信息集成共享系統(tǒng)空管系統(tǒng)信息網(wǎng)絡(luò)建設(shè)需求分析[J].黑龍江科技信息,2015,(04).

[2]梁有程.分組交換技術(shù)在民航數(shù)據(jù)通信網(wǎng)絡(luò)中的應(yīng)用探析[J].電信網(wǎng)技術(shù),2015,(07).

[3]趙航.以安全保障為前提的民航空管信息系統(tǒng)安全體系的研究[J].科技經(jīng)濟(jì)市場,2014,(07).

篇7

[關(guān)鍵詞]油田;網(wǎng)絡(luò)信息;安全體系

doi:10.3969/j.issn.1673 - 0194.2016.06.043

[中圖分類號(hào)]TP393.08 [文獻(xiàn)標(biāo)識(shí)碼]A [文章編號(hào)]1673-0194(2016)06-00-01

近年來,中國的石油企業(yè)得到了飛速發(fā)展,石油企業(yè)的逐年增加,推動(dòng)了經(jīng)濟(jì)的快速發(fā)展,但隨著經(jīng)濟(jì)全球化步伐的加快,中國的石油企業(yè)也面臨風(fēng)險(xiǎn)與挑戰(zhàn)。尤其是在油田信息安全管理方面存在諸多問題。因此,加強(qiáng)網(wǎng)絡(luò)信息安全建設(shè)、提高安全管理水平,成為石油企業(yè)的當(dāng)務(wù)之急。

1 油田安全環(huán)保管理存在的問題

1.1 油田網(wǎng)絡(luò)信息安全意識(shí)薄弱

大多數(shù)油田企業(yè)管理人員對(duì)安全環(huán)保不甚了解,造成網(wǎng)絡(luò)信息安全管理不受重視。針對(duì)油田施工中存在的問題,雖然油田企業(yè)管理人員也會(huì)向施工單位提出,但是卻“虎頭蛇尾”,不關(guān)心問題解決的后來走向,如果施工單位實(shí)際上沒有解決問題,就會(huì)造成很大的隱患。此外,一些企業(yè)缺乏對(duì)員工培訓(xùn)的重視,僅僅通過宣傳教育向員工輸送網(wǎng)絡(luò)信息安全知識(shí),員工對(duì)安全環(huán)保工作仍然一知半解,更不用說將網(wǎng)絡(luò)信息安全管理意識(shí)應(yīng)用于實(shí)際工作中。長久下去,員工的工作積極性與工作熱情難以調(diào)動(dòng),工作效率與質(zhì)量得不到提高,企業(yè)更加難以實(shí)現(xiàn)長久穩(wěn)定的發(fā)展。

1.2 安全隱患眾多

第一,一些油田企業(yè)為降低成本,不愿意更換設(shè)備,讓設(shè)備處于長時(shí)間的超負(fù)荷運(yùn)轉(zhuǎn)中,造成使用壽命大大減少,這些都是安全隱患的組成因素;第二,油田開采中會(huì)產(chǎn)生較多的報(bào)廢井,并且會(huì)隨年限逐漸增多,對(duì)于長停井、位于環(huán)境敏感區(qū)的報(bào)廢井等,油田企業(yè)缺乏重視,沒有投入足夠的資金進(jìn)行治理或者沒有封井,導(dǎo)致安全隱患的產(chǎn)生。另外,石油企業(yè)作為密集型企業(yè),設(shè)備眾多、種類復(fù)雜、更新?lián)Q代快。在專用的設(shè)備和運(yùn)輸設(shè)備上,投入的資金比重較大。但是由于企業(yè)的特殊性,設(shè)備資金的投入是非常必要的。此外,設(shè)備具有維修難度大,維修成本高的特點(diǎn),在石油設(shè)備的經(jīng)濟(jì)管理上,很難做到全面管理。油田安全隱患得不到解決,建設(shè)質(zhì)量不佳,更加體現(xiàn)了網(wǎng)絡(luò)信息安全體系建設(shè)的重要性。

2 改革油田網(wǎng)絡(luò)信息安全體系的措施

2.1 建立專門的網(wǎng)絡(luò)信息管理組織

對(duì)于石油企業(yè)網(wǎng)絡(luò)信息安全體系的改革,首先,要改變以往的以部門為單位的建設(shè)組織,將任務(wù)更加細(xì)致地分配下去,落實(shí)到每一個(gè)人。對(duì)網(wǎng)絡(luò)信息體系進(jìn)行重新的定位劃分,提高信息安全體系管理的效率與質(zhì)量。其次,依據(jù)相關(guān)人員的能力與技術(shù)的特點(diǎn),明確網(wǎng)絡(luò)安全體系建設(shè)部門的責(zé)任,做到權(quán)責(zé)明確、權(quán)責(zé)對(duì)等。建立專門網(wǎng)絡(luò)信息管理組織,在細(xì)微之處體現(xiàn)和諧發(fā)展觀的理念,調(diào)動(dòng)工作人員的積極性與熱情,將石油開采、勘探、設(shè)備管理等方面工作完成得更加順利、出色,促進(jìn)中國石油企業(yè)不斷進(jìn)步與發(fā)展。

2.2 完善油田網(wǎng)絡(luò)安全體制

油田網(wǎng)絡(luò)安全體制包括設(shè)備采購管理制度、設(shè)備運(yùn)行制度、設(shè)備維護(hù)制度、運(yùn)作成本審查制度等,只有建立完善的石油企業(yè)網(wǎng)絡(luò)信息安全體制,完善管理系統(tǒng),才能在日常的油田勘探工作中,真正將網(wǎng)絡(luò)信息安全體系建設(shè)落到實(shí)處。完善的油田網(wǎng)絡(luò)安全體制可以提高石油企業(yè)的經(jīng)濟(jì)效益,提高中國石油企業(yè)管理水平,同時(shí)為中國石油企業(yè)的發(fā)展打下堅(jiān)實(shí)基礎(chǔ)。一個(gè)良好的石油網(wǎng)絡(luò)安全體系,是石油企業(yè)長效發(fā)展的關(guān)鍵之處,更是推動(dòng)中國石油發(fā)展事業(yè)的動(dòng)力。

2.3 提高油田建設(shè)人員素質(zhì)

建立專門的石油網(wǎng)絡(luò)信息安全體系,完善設(shè)備管理制度,最終還要提高相關(guān)建設(shè)人員的自身素質(zhì)。在油田網(wǎng)絡(luò)信息安全體系建設(shè)的過程中,將任務(wù)落實(shí)到每一個(gè)人,提高其管理水平,才能保證設(shè)備管理工作的正常開展。要提高油田建設(shè)人員的素質(zhì),就要做好以下幾點(diǎn):首先,加強(qiáng)相關(guān)管理培訓(xùn),一個(gè)合格的企業(yè)需要定期為員工進(jìn)行相關(guān)的網(wǎng)絡(luò)安全管理培訓(xùn),在宣傳與教育中,提高每個(gè)員工的實(shí)際操作能力;其次,建立獎(jiǎng)勵(lì)機(jī)制,對(duì)于一些表現(xiàn)出色的員工進(jìn)行獎(jiǎng)勵(lì),激發(fā)員工之間的競爭意識(shí),提高石油網(wǎng)絡(luò)安全建設(shè)人員工作的積極性與熱情。

3 結(jié) 語

隨著社會(huì)經(jīng)濟(jì)的變化與發(fā)展,石油企業(yè)更應(yīng)重視油田網(wǎng)絡(luò)信息安全體系的建設(shè),在細(xì)微之處,將油田網(wǎng)絡(luò)信息安全管理落實(shí)到實(shí)處。從一點(diǎn)一滴做起,踐行“以人為本”的思想,以促進(jìn)石油企業(yè)不斷發(fā)展與進(jìn)步。

主要參考文獻(xiàn)

[1]劉鋒.吐哈油田企業(yè)信息化模型與方法研究[D].北京:中國地質(zhì)大學(xué),2013.

篇8

 

為了貫徹國家對(duì)信息系統(tǒng)安全保障工作的要求以及等級(jí)化保護(hù)堅(jiān)持“積極防御、綜合防范”的方針,需要全面提高信息安全防護(hù)能力。貴州廣電網(wǎng)絡(luò)信息系統(tǒng)建設(shè)需要進(jìn)行整體安全體系規(guī)劃設(shè)計(jì),全面提高信息安全防護(hù)能力,創(chuàng)建安全健康的網(wǎng)絡(luò)環(huán)境,保護(hù)國家利益,促進(jìn)貴州廣電網(wǎng)絡(luò)信息化的深入發(fā)展。

 

1安全規(guī)劃的目標(biāo)和思路

 

貴州廣電網(wǎng)絡(luò)目前運(yùn)營并管理著兩張網(wǎng)絡(luò):辦公網(wǎng)與業(yè)務(wù)網(wǎng);其中辦公網(wǎng)主要用于貴州廣電網(wǎng)絡(luò)各部門在線辦公,重要的辦公系統(tǒng)為OA系統(tǒng)、郵件系統(tǒng)等;業(yè)務(wù)網(wǎng)主要提供貴州廣電網(wǎng)絡(luò)各業(yè)務(wù)部門業(yè)務(wù)平臺(tái),其中核心業(yè)務(wù)系統(tǒng)為BOSS系統(tǒng)、互動(dòng)點(diǎn)播系統(tǒng)、安全播出系統(tǒng)、內(nèi)容集成平臺(tái)以及寬帶系統(tǒng)等。

 

基于對(duì)貴州廣電網(wǎng)絡(luò)信息系統(tǒng)的理解和國家信息安全等級(jí)保護(hù)制度的認(rèn)識(shí),我們認(rèn)為,信息安全體系是貴州廣電網(wǎng)絡(luò)信息系統(tǒng)建設(shè)的重要組成部分,是貴州廣電網(wǎng)絡(luò)業(yè)務(wù)開展的重要安全屏障,它是一個(gè)包含貴州廣電網(wǎng)絡(luò)實(shí)體、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用和管理等五個(gè)層面,包括保護(hù)、檢測、響應(yīng)、恢復(fù)四個(gè)方面,通過技術(shù)保障和管理制度建立起來的可靠有效的安全體系。

 

1.1設(shè)計(jì)目標(biāo)

 

貴州廣電網(wǎng)絡(luò)就安全域劃分已經(jīng)進(jìn)行的初步規(guī)劃,在安全域整改中初見成效,然而,安全系統(tǒng)建設(shè)不僅需要建立重要資源的安全邊界,而且需要明確邊界上的安全策略,提高對(duì)核心信息資源的保護(hù)意識(shí)。貴州廣電網(wǎng)絡(luò)相關(guān)安全管理體系的建設(shè)還略顯薄弱,管理細(xì)則文件亟需補(bǔ)充,安全管理人員亟需培訓(xùn)。因此,本次規(guī)劃重點(diǎn)在于對(duì)安全管理體系以及目前的各個(gè)業(yè)務(wù)系統(tǒng)進(jìn)行了全面梳理,針對(duì)業(yè)務(wù)系統(tǒng)中安全措施進(jìn)行了重點(diǎn)分析,綜合貴州廣電網(wǎng)絡(luò)未來業(yè)務(wù)發(fā)展的方向,進(jìn)行未來五年的信息安全建設(shè)規(guī)劃。

 

1.2設(shè)計(jì)原則

 

1.2.1合規(guī)性原則

 

安全設(shè)計(jì)要符合國家有關(guān)標(biāo)準(zhǔn)、法規(guī)要求,符合廣電總局對(duì)信息安全系統(tǒng)的等級(jí)保護(hù)技術(shù)與管理要求。良好的信息安全保障體系必然是分為不同等級(jí)的,包括對(duì)信息數(shù)據(jù)保密程度分級(jí),對(duì)用戶操作權(quán)限分級(jí),對(duì)網(wǎng)絡(luò)安全程度分級(jí)(安全子網(wǎng)和安全區(qū)域),對(duì)系統(tǒng)實(shí)現(xiàn)結(jié)構(gòu)的分級(jí)(應(yīng)用層、網(wǎng)絡(luò)層、鏈路層等),從而針對(duì)不同級(jí)別的安全對(duì)象,提供全面、可選的安全技術(shù)和安全體制,以滿足貴州廣電網(wǎng)絡(luò)業(yè)務(wù)網(wǎng)、辦公網(wǎng)系統(tǒng)中不同層次的各種實(shí)際安全需求。

 

1.2.2技管結(jié)合原則

 

信息安全保障體系是一個(gè)復(fù)雜的系統(tǒng)工程,涉及人、技術(shù)、操作等要素,單靠技術(shù)或單靠管理都不可能實(shí)現(xiàn)。因此,必須將各種安全技術(shù)與運(yùn)行管理機(jī)制、人員思想教育與技術(shù)培訓(xùn)、安全規(guī)章制度建設(shè)相結(jié)合。

 

1.2.3實(shí)用原則

 

安全是為了保障業(yè)務(wù)的正常運(yùn)行,不能為了安全而妨礙業(yè)務(wù),同時(shí)設(shè)計(jì)的安全措施要可以落地實(shí)現(xiàn)。

 

1.3設(shè)計(jì)依據(jù)

 

1.3.1“原則”符合法規(guī)要求

 

依據(jù)《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例K國務(wù)院147號(hào)令)、《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》(中辦發(fā)[20〇3]27號(hào))、《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見》(公通字[2004]66號(hào))、《信息安全等級(jí)保護(hù)管理辦法》(公通字[2007]43號(hào))和GB/T22240-2009《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》、GB/T22239-2008《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》、《廣播電視安全播出管理規(guī)定》(廣電總局62號(hào)令)、GDJ038-CATV|有線網(wǎng)絡(luò)。

 

2011《廣播電視播出相關(guān)信息系統(tǒng)等級(jí)保護(hù)基本要求》,對(duì)貴州省廣播電視相關(guān)信息系統(tǒng)安全建設(shè)進(jìn)行規(guī)劃。

 

1.3.2“策略”符合風(fēng)險(xiǎn)管理

 

風(fēng)險(xiǎn)管理是基于“資產(chǎn)-價(jià)值-漏洞-風(fēng)險(xiǎn)-保障措施”的思想進(jìn)行保障的。風(fēng)險(xiǎn)評(píng)估與管理的理論與方法已經(jīng)成為國際信息安全的標(biāo)準(zhǔn)。

 

風(fēng)險(xiǎn)管理是靜態(tài)的防護(hù)策略,是在對(duì)方攻擊之前的自我鞏固的過程。風(fēng)險(xiǎn)分析的核心是發(fā)現(xiàn)信息系統(tǒng)的漏洞,包括技術(shù)上的、管理上的,分析面臨的威脅,從而確定防護(hù)需求,設(shè)計(jì)防護(hù)的措施,具體的措施是打補(bǔ)丁,還是調(diào)整管理流程,或者是增加、增強(qiáng)某種安全措施,要根據(jù)用戶對(duì)風(fēng)險(xiǎn)的可接受程度,這樣就可以與安全建設(shè)的成本之間做一個(gè)平衡。

 

1.3.3“措施”符合P2DR模型

 

美國ISS公司(IntemetSecuritySystem,INC)設(shè)計(jì)開發(fā)的P2DR模型包括安全策略(Policy)、檢測(Detection)、防護(hù)(Protection)和響應(yīng)(Response)四個(gè)主要部分,是一個(gè)可以隨著網(wǎng)絡(luò)安全環(huán)境的變化而變化的、動(dòng)態(tài)的安全防御系統(tǒng)。安全策略是整個(gè)P2DR模型的中樞,根據(jù)風(fēng)險(xiǎn)分析產(chǎn)生的安全策略描述了系統(tǒng)中哪些資源要得到保護(hù),以及如何實(shí)現(xiàn)對(duì)它們的保護(hù)等,策略是模型的核心,所有的防護(hù)、檢測和響應(yīng)都是依據(jù)安全策略實(shí)施的。

 

檢測(Detection)、防護(hù)(Protection)和響應(yīng)(Response)三個(gè)部分又構(gòu)成一個(gè)變化的、動(dòng)態(tài)的安全防御體系。P2DR模型是在整體的安全策略的控制和指導(dǎo)下,在綜合運(yùn)用防護(hù)工具(如防火墻、身份認(rèn)證、加密等)的同時(shí),利用檢測工具(如漏洞評(píng)估、入侵檢測等)了解和評(píng)估系統(tǒng)的安全狀態(tài),通過適當(dāng)?shù)姆磻?yīng)將系統(tǒng)調(diào)整至“最安全”和“風(fēng)險(xiǎn)最低”的狀態(tài),在安全策略的指導(dǎo)下保證信息系統(tǒng)的安全[3]。

 

1.4安全規(guī)劃體系架構(gòu)

 

在進(jìn)行了規(guī)劃“原則”、“策略”、“措施”探討的基礎(chǔ)上,我們設(shè)計(jì)貴州廣電網(wǎng)絡(luò)的安全保障體系架構(gòu)為“一個(gè)中心、兩種手段”。

 

“一個(gè)中心”,以安全管理中心為核心,構(gòu)建安全計(jì)算環(huán)境、安全區(qū)域邊界和安全通信網(wǎng)絡(luò),確保業(yè)務(wù)系統(tǒng)能夠在安全管理中心的統(tǒng)一管控下運(yùn)行,不會(huì)進(jìn)入任何非預(yù)期狀態(tài),從而防止用戶的非授權(quán)訪問和越權(quán)訪問,確保業(yè)務(wù)系統(tǒng)的安全。

 

“兩種手段”,是安全技術(shù)與安全管理兩種手段,其中安全技術(shù)手段是安全保障的基礎(chǔ),安全管理手段是安全技術(shù)手段真正發(fā)揮效益的關(guān)鍵,管理措施的正確實(shí)施同時(shí)需要有技術(shù)手段來監(jiān)管和驗(yàn)證,兩者相輔相成,缺一不可。

 

2安全保陳方案規(guī)劃

 

2.1總體設(shè)計(jì)

 

貴州廣電網(wǎng)絡(luò)的安全體系作為信息安全的技術(shù)支撐措施,分為五個(gè)方面:

 

邊界防護(hù)體系:安全域劃分,邊界訪問控制策略的部署,主要是業(yè)務(wù)核心資源的邊界,運(yùn)維人員的訪問通道。

 

行為審計(jì)體系:通過身份鑒別、授權(quán)管理、訪問控制、行為曰志等手段,保證用戶行為的合規(guī)性。

 

安全監(jiān)控體系:監(jiān)控網(wǎng)絡(luò)中的異常,維護(hù)業(yè)務(wù)運(yùn)行的安全基線,包括安全事件與設(shè)備故障,也包括系統(tǒng)漏洞與升級(jí)管理。

 

公共安全輔助:作為整個(gè)網(wǎng)絡(luò)信息安全的基礎(chǔ)服務(wù)系統(tǒng),包括身份認(rèn)證系統(tǒng)、補(bǔ)丁管理系統(tǒng)以及漏洞掃描系統(tǒng)等。

 

IT基礎(chǔ)設(shè)施:提供智能化、彈能力的基礎(chǔ)設(shè)施,主要的機(jī)房的智能化、服務(wù)器的虛擬化、存儲(chǔ)的虛擬化等。

 

2.2安全域劃分

 

劃分安全域的方法是首先區(qū)分網(wǎng)絡(luò)功能區(qū)域,服務(wù)器資源區(qū)、網(wǎng)絡(luò)連接區(qū)、用戶接入?yún)^(qū)、運(yùn)維管理區(qū)、對(duì)外公共服務(wù)區(qū);其次是在每個(gè)區(qū)域中,按照不同的安全需求區(qū)分不同的業(yè)務(wù)與用戶,進(jìn)一步劃分子區(qū)域;最后,根據(jù)每個(gè)業(yè)務(wù)應(yīng)用系統(tǒng),梳理其用戶到服務(wù)器與數(shù)據(jù)庫的網(wǎng)絡(luò)訪問路徑,通過的域邊界或網(wǎng)絡(luò)邊界越少越好。

 

Z3邊界防護(hù)體系規(guī)劃

 

邊界包括網(wǎng)絡(luò)邊界、安全域邊界、用戶接口邊界(終端與服務(wù)器)、業(yè)務(wù)流邊界,邊界上部署訪問控制措施,是防止非授權(quán)的“外部”用戶訪問“里面”的資源,因此分析業(yè)務(wù)的訪問流向,是訪問控制策略設(shè)計(jì)的依據(jù)。

 

2.3.1邊界措施選擇

 

在邊界上我們建議四種安全措施:

 

1.網(wǎng)絡(luò)邊界:與外部網(wǎng)絡(luò)的邊界是安全防護(hù)的重點(diǎn),我們建議采用統(tǒng)一安全網(wǎng)關(guān)(UTM),從網(wǎng)絡(luò)層到應(yīng)用層的安全檢測,采用防火墻(FW)部署訪問控制策略,采用入侵防御系統(tǒng)(IPS)部署對(duì)黑客入侵的檢測,采用病毒網(wǎng)關(guān)(AV)部署對(duì)病毒、木馬的防范;為了方便遠(yuǎn)程運(yùn)維工作,與遠(yuǎn)程辦公實(shí)施,在網(wǎng)絡(luò)邊界上部署VPN網(wǎng)關(guān),對(duì)遠(yuǎn)程訪問用戶身份鑒別后,分配內(nèi)網(wǎng)地址,給予限制性的訪問授權(quán)。Web服務(wù)的SQL注入、XSS攻擊等。

 

3.業(yè)務(wù)流邊界:安全需求等級(jí)相同的業(yè)務(wù)應(yīng)用采用VLAN隔離,采用路由訪問限制策略;不同部門的接入域也采用VLAN隔離,防止二層廣播,通知可以在發(fā)現(xiàn)安全事件時(shí),開啟不同子域的安全隔離。

 

4.終端邊界:重點(diǎn)業(yè)務(wù)系統(tǒng)的終端,如運(yùn)維終端,采用終端安全系統(tǒng),保證終端上系統(tǒng)的安全,如補(bǔ)丁的管理、黑名單軟件管理、非法外聯(lián)管理、移動(dòng)介質(zhì)管理等等。

 

2.3.2策略更新管理

 

邊界是提高入侵者的攻擊“門檻”的,部署安全策略重點(diǎn)有兩個(gè)方面:一是有針對(duì)性。允許什么,不允許什么,是明確的;二是動(dòng)態(tài)性。就是策略的定期變化,如訪問者的口令、允許遠(yuǎn)程訪問的端口等,變化的周期越短,給入侵者留下的攻擊窗口越小。

 

2.4行為審計(jì)體系規(guī)劃

 

行為審計(jì)是指對(duì)網(wǎng)絡(luò)用戶行為進(jìn)行詳細(xì)記錄,直接的好處是可以為事后安全事件取證提供直接證據(jù),間接的好處乇兩方面:對(duì)業(yè)務(wù)操作的日志記錄,可以在曰后發(fā)現(xiàn)操作錯(cuò)誤、確定破壞行為恢復(fù)時(shí)提供操作過程的反向操作,最大程度地減小損失;對(duì)系統(tǒng)操作的日志記錄,可以分析攻擊者的行為軌跡,從而判斷安全防御系統(tǒng)的漏洞所在,亡羊補(bǔ)牢,可以彌補(bǔ)入侵者下次入侵的危害。

 

行為審計(jì)主要措施包括:一次性口令、運(yùn)維審計(jì)(堡壘機(jī))、曰志審計(jì)以及網(wǎng)絡(luò)行為審計(jì)。

 

2.5安全監(jiān)控體系規(guī)劃

 

監(jiān)控體系不僅是網(wǎng)絡(luò)安全態(tài)勢展示平臺(tái),也是安全事件應(yīng)急處理的指揮平臺(tái)。為了管理工作上的方便,在安全監(jiān)控體系上做到幾方面的統(tǒng)一:

 

1.運(yùn)維與安全管理的統(tǒng)一:業(yè)務(wù)運(yùn)維與安全同平臺(tái)管理,提高安全事件的應(yīng)急處理速度。

 

2.曰常安全運(yùn)維與應(yīng)急指揮統(tǒng)一:隨時(shí)了解網(wǎng)絡(luò)上的設(shè)備、系統(tǒng)、流量、業(yè)務(wù)等狀態(tài)變化,不僅是日常運(yùn)維發(fā)現(xiàn)異常的平臺(tái),而且作為安全事件應(yīng)急指揮的調(diào)度平臺(tái),隨時(shí)了解安全事件波及的范圍、影響的業(yè)務(wù),同時(shí)確定安全措施執(zhí)行的效果。

 

3.管理與考核的統(tǒng)一:安全運(yùn)維人員的工作考核就是網(wǎng)絡(luò)安全管理的曰常工作與緊急事件的處理到位,在安全事件的定位、跟蹤、處理過程中,就體現(xiàn)了安全運(yùn)維人員服務(wù)的質(zhì)量。因此對(duì)安全運(yùn)維平臺(tái)的行為記錄就可以為運(yùn)維人員的考核提供一線的數(shù)據(jù)。

 

安全監(jiān)控措施主要包括安全態(tài)勢監(jiān)控以及安全管理平臺(tái),2.6公共安全輔助系統(tǒng)

 

作為整個(gè)網(wǎng)絡(luò)信息安全的基礎(chǔ)服務(wù)系統(tǒng),需要建設(shè)公共安全輔助系統(tǒng):

 

1.身份認(rèn)證系統(tǒng):獨(dú)立于所有業(yè)務(wù)系統(tǒng)之外,為業(yè)務(wù)、運(yùn)維提供身份認(rèn)證服務(wù)。

 

2.補(bǔ)丁管理系統(tǒng):對(duì)所有系統(tǒng)、應(yīng)用的補(bǔ)丁進(jìn)行管理,對(duì)于通過測試的補(bǔ)丁、重要的補(bǔ)丁,提供主動(dòng)推送,或強(qiáng)制執(zhí)行的技術(shù)手段,保證網(wǎng)絡(luò)安全基線。

 

3.漏洞掃描系統(tǒng):對(duì)于網(wǎng)絡(luò)上設(shè)備、主機(jī)系統(tǒng)、數(shù)據(jù)庫、業(yè)務(wù)系統(tǒng)等的漏洞要及時(shí)了解,對(duì)于不能打補(bǔ)丁的系統(tǒng),要確認(rèn)有其他安全策略進(jìn)行防護(hù)。漏洞掃描分為兩個(gè)方面,一是系統(tǒng)本身的漏洞,二是安全域邊界部署了安全措施之后,實(shí)際用戶所能訪問到的漏洞(滲透性測試服務(wù))。

 

2.7IT基礎(chǔ)設(shè)施規(guī)劃

 

IT基礎(chǔ)設(shè)施是所有網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)服務(wù)的基礎(chǔ),具備一個(gè)優(yōu)秀的基礎(chǔ)架構(gòu),不僅可以快速、靈活地支撐各種業(yè)務(wù)系統(tǒng)的有效運(yùn)行,而且可以極大地提高基礎(chǔ)IT資源的利用率,節(jié)省資金投入,達(dá)到環(huán)保的要求。

 

IT基礎(chǔ)設(shè)施的優(yōu)化主要體現(xiàn)在三個(gè)方面:智能機(jī)房、服務(wù)器虛擬化、存儲(chǔ)虛擬化。

 

3安全筐理體系規(guī)劃

 

在系統(tǒng)安全的各項(xiàng)建設(shè)內(nèi)容中,安全管理體系的建設(shè)是關(guān)鍵和基礎(chǔ),建立一套科學(xué)的、可靠的、全面而有層次的安全管理體系是貴州省廣播電視信息網(wǎng)絡(luò)股份有限公司安全建設(shè)的必要條件和基本保證。

 

3_1安全管理標(biāo)準(zhǔn)依據(jù)

 

以GBAT22239-2008《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》中二級(jí)、三級(jí)安全防護(hù)能力為標(biāo)準(zhǔn),對(duì)貴州廣電網(wǎng)絡(luò)安全管理體系的建設(shè)進(jìn)行設(shè)計(jì)。

 

3.2安全管理體系的建設(shè)目標(biāo)

 

通過有效的進(jìn)行貴州廣電網(wǎng)絡(luò)的安全管理體系建設(shè),最終要實(shí)現(xiàn)的目標(biāo)是:采取集中控制模式,建立起貴州廣電網(wǎng)絡(luò)完整的安全管理體系并加以實(shí)施與保持,實(shí)現(xiàn)動(dòng)態(tài)的、系統(tǒng)的、全員參與的、制度化的、以預(yù)防為主的安全管理模式,從而在管理上確保全方位、多層次、快速有效的網(wǎng)絡(luò)安全防護(hù)。

 

3.3安全管理建設(shè)指導(dǎo)思想

 

各種標(biāo)準(zhǔn)體系文件為信息安全管理建設(shè)僅僅提供一些原則性的建議,要真正構(gòu)建符合貴州廣電網(wǎng)絡(luò)自身狀況的信息安全管理體系,在建設(shè)過程中應(yīng)當(dāng)以以下思想作為指導(dǎo):“信CATV丨有線網(wǎng)絡(luò)息安全技術(shù)、信息安全產(chǎn)品是信息安全管理的基礎(chǔ),信息安全管理是信息安全的關(guān)鍵,人員管理是信息安全管理的核心,信息安全政策是進(jìn)行信息安全管理的指導(dǎo)原則,信息安全管理體系是實(shí)現(xiàn)信息安全管理最為有效的手段?!?/p>

 

3.4安全管理體系的建設(shè)具體內(nèi)容

 

GB/T22239-2008《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》(以下簡稱《基本要求》)對(duì)信息系統(tǒng)的安全管理體系提出了明確的指導(dǎo)和要求。我們應(yīng)以《基本要求》為標(biāo)準(zhǔn),結(jié)合目前貴州廣電網(wǎng)絡(luò)安全管理體系的現(xiàn)狀,對(duì)廣電系統(tǒng)的管理機(jī)構(gòu)、管理制度、人員管理、技術(shù)手段四個(gè)方面進(jìn)行建設(shè)和加強(qiáng)。同時(shí),由于信息安全是一個(gè)動(dòng)態(tài)的系統(tǒng)工程,所以,貴州廣電網(wǎng)絡(luò)還必須對(duì)信息安全管理措施不斷的加以校驗(yàn)和調(diào)整,以使管理體系始終適應(yīng)和滿足實(shí)際情況的需要,使貴州廣電網(wǎng)絡(luò)的信息資產(chǎn)得到有效、經(jīng)濟(jì)、合理的保護(hù)。

 

貴州廣電網(wǎng)絡(luò)的安全管理體系主要包括安全管理機(jī)構(gòu)、安全管理制度、安全標(biāo)準(zhǔn)規(guī)范和安全教育培訓(xùn)等方面。

 

通過組建完整的信息網(wǎng)絡(luò)安全管理機(jī)構(gòu),設(shè)置安全管理人員,規(guī)劃安全策略、確定安全管理機(jī)制、明確安全管理原則和完善安全管理措施,制定嚴(yán)格的安全管理制度,合理地協(xié)調(diào)法律、技術(shù)和管理三種因素,實(shí)現(xiàn)對(duì)系統(tǒng)安全管理的科學(xué)化、系統(tǒng)化、法制化和規(guī)范化,達(dá)到保障貴州廣電網(wǎng)絡(luò)信息系統(tǒng)安全的目的。

 

3.5曰常安全運(yùn)維3.5.1安全風(fēng)險(xiǎn)評(píng)估

 

安全風(fēng)險(xiǎn)評(píng)估是建立主動(dòng)防御安全體系的重要和關(guān)鍵環(huán)節(jié),這環(huán)的工作做好了可以減少大量的安全威脅,提升整個(gè)信息系統(tǒng)的對(duì)網(wǎng)絡(luò)災(zāi)難的免疫能力;風(fēng)險(xiǎn)評(píng)估是信息安全管理體系建立的基礎(chǔ),是組織平衡安全風(fēng)險(xiǎn)和安全投入的依據(jù),也是信息安全管理體系測量業(yè)績、發(fā)現(xiàn)改進(jìn)機(jī)會(huì)的最重要途徑。

 

3.5.2網(wǎng)絡(luò)管理與安全管理

 

網(wǎng)絡(luò)管理與安全管理的主要措施包括:出入控制、場地與設(shè)施安全管理、網(wǎng)絡(luò)運(yùn)行狀態(tài)監(jiān)控、安全設(shè)備監(jiān)控、安全事件監(jiān)控與分析、提出預(yù)防措施。

 

3.5.3備份與容災(zāi)管理

 

貴州廣電網(wǎng)絡(luò)主要關(guān)鍵業(yè)務(wù)系統(tǒng)需要雙機(jī)本地?zé)醾洹?shù)據(jù)離線備份措施;其他相關(guān)業(yè)務(wù)應(yīng)用系統(tǒng)需要數(shù)據(jù)離線備份措施。

 

3.5.4應(yīng)急響應(yīng)計(jì)劃

 

通過建立應(yīng)急相應(yīng)機(jī)構(gòu),制定應(yīng)急響應(yīng)預(yù)案,通過建立專家資源庫、廠商資源庫等人力資源措施,通過對(duì)應(yīng)急響應(yīng)有線網(wǎng)絡(luò)ICATV預(yù)案不低于一年兩次的演練,可以在發(fā)生緊急事件時(shí),做到規(guī)范化操作,更快的恢復(fù)應(yīng)用和數(shù)據(jù),并最大可能的減少損失

 

3.6安全人員管理

 

信息系統(tǒng)的運(yùn)行是依靠在各級(jí)黨政機(jī)構(gòu)工作的人員來具體實(shí)施的,他們既是信息系統(tǒng)安全的主體,也是系統(tǒng)安全管理的對(duì)象。所以,要確保信息系統(tǒng)的安全,首先應(yīng)加強(qiáng)人事安全管理。

 

安全人員應(yīng)包括:系統(tǒng)安全管理員、系統(tǒng)管理員、辦公自動(dòng)化操作人員、安全設(shè)備操作員、軟硬件維修人員和警衛(wèi)人員。

 

其中系統(tǒng)管理員、系統(tǒng)安全管理員必須由不同人員擔(dān)當(dāng)。3.7技術(shù)安全管理

 

主要措施包括:軟件管理、設(shè)備管理、備份管理以及技術(shù)文檔管理。

 

4安全規(guī)劃分期建設(shè)路線

 

信息安全保障重要的是過程,而不一定是結(jié)果,重要的是安全意識(shí)的提高,而不一定是安全措施的多少。因此,信息安全建設(shè)也應(yīng)該從保障業(yè)務(wù)運(yùn)營為目標(biāo),提高用戶自身的安全意識(shí)為思路,根據(jù)業(yè)務(wù)應(yīng)用的模式與規(guī)模逐步、分階段建設(shè),同時(shí)還要符合國家與廣電總局關(guān)于等級(jí)保護(hù)的技術(shù)與管理要求。

 

4.1主要的工作內(nèi)容

 

根據(jù)安全保障方案規(guī)劃的設(shè)計(jì),貴州廣電網(wǎng)絡(luò)的信息安全建設(shè)分為如下幾個(gè)方面的內(nèi)容:

 

1.網(wǎng)絡(luò)優(yōu)化改造:主要是安全域的劃分,網(wǎng)絡(luò)結(jié)構(gòu)的改造。

 

2.安全措施部署:邊界隔離措施部署,行為審計(jì)系統(tǒng)部署、安全監(jiān)控體系部署。

 

3.基礎(chǔ)設(shè)施改造:主要是數(shù)據(jù)大集中、服務(wù)器虛擬化、存儲(chǔ)虛擬化。

 

4.安全運(yùn)維管理:信息安全管理規(guī)范、日常安全運(yùn)維考核、安全檢查與審計(jì)流程、安全應(yīng)急演練、曰常安全服務(wù)等。

 

4.2分期建設(shè)規(guī)劃

 

4_2.1達(dá)標(biāo)階段(2015-2017)

 

1.等保建設(shè)

 

2.信任體系:網(wǎng)絡(luò)審計(jì)、運(yùn)維審計(jì)、日志審計(jì)

 

3.身份鑒別(一次口令)

 

4.監(jiān)控平臺(tái):入侵檢測、流量監(jiān)測、木馬監(jiān)測

 

5.安全管理平臺(tái)建設(shè)

 

6.等保測評(píng)通過(2級(jí)3級(jí)系統(tǒng))

 

7.安全服務(wù):建立定期模式

 

8.滲透性測試服務(wù)(外部+內(nèi)部)

 

9.安全加固服務(wù),建立服務(wù)器安全底線

 

10.信息安全管理

 

11.落實(shí)安全管理細(xì)則文件制定

 

12.落實(shí)安全運(yùn)維與應(yīng)急處理流程

 

13.完善IT服務(wù)流程,建設(shè)安全運(yùn)維管理平臺(tái)

 

14.定期安全演練與培訓(xùn)

 

4.2.2持續(xù)改進(jìn)階段(2018?2019)

 

1.等保建設(shè)

 

2.完善信息安全防護(hù)體系

 

3.提升整體防護(hù)能力

 

4.深度安全服務(wù)

 

5.有針對(duì)性安全演練,協(xié)調(diào)改進(jìn)管理與技術(shù)措施

 

6.源代碼安全審計(jì)服務(wù)(新上線業(yè)務(wù))

 

7.信息安全管理

 

8.持續(xù)改進(jìn)運(yùn)維與應(yīng)急流程與制度,提高應(yīng)急反應(yīng)能力

 

9.提高運(yùn)維效率,開拓運(yùn)維增值模式

 

5結(jié)東語

篇9

關(guān)鍵詞:信息安全;檔案;因素;對(duì)策近年來,信息技術(shù)的運(yùn)用

在高校檔案管理中發(fā)揮日益顯著的作用,打破了傳統(tǒng)紙質(zhì)檔案的管理模式,由檔案實(shí)體管理向數(shù)字化管理模式轉(zhuǎn)變,這一創(chuàng)新舉措大大提高了檔案資源開發(fā)和利用的效率,但數(shù)字化管理中的安全問題亦不容忽視,只有不斷強(qiáng)化數(shù)字化檔案的安全管理,建立健全檔案安全工作保障體系,才能真正確保數(shù)字化檔案的安全。

1問題及影響因素

首先,高校數(shù)字化檔案信息安全管理缺少頂層設(shè)計(jì)。目前安徽省高校檔案管理軟件多種類型并存,彼此孤立,有網(wǎng)絡(luò)版的也有單機(jī)版的,橫向之間不聯(lián),上下之間不通,各自為政,追求小而全,未能形成網(wǎng)絡(luò)大平臺(tái)上的協(xié)調(diào)溝通運(yùn)行機(jī)制,既影響了網(wǎng)絡(luò)功能的發(fā)揮,又造成了重復(fù)建設(shè),浪費(fèi)了人力、物力。其根本原因在于頂層設(shè)計(jì)滯后,缺乏統(tǒng)一的功能和具體執(zhí)行標(biāo)準(zhǔn)。其次,檔案信息安全管理制度不完善。按照國家保密局《涉及國家秘密的信息系統(tǒng)審批管理規(guī)定》,現(xiàn)在大部分高校信息利用安全無法保證。具體表現(xiàn)為:一是沒有統(tǒng)一的利用平臺(tái),其利用環(huán)境的安全完全依賴于自身網(wǎng)絡(luò)建設(shè);二是局域網(wǎng)、政務(wù)網(wǎng)、公眾網(wǎng)的內(nèi)容界定不規(guī)范,在協(xié)調(diào)處理多方關(guān)系上存在著隨意性;三是檔案館(室)在外包安全協(xié)議中沒有明確注明保密的形式和內(nèi)容,當(dāng)事者所應(yīng)承擔(dān)的責(zé)任和義務(wù),缺少相應(yīng)的監(jiān)管標(biāo)準(zhǔn)和獎(jiǎng)懲措施,這些毋庸置疑將對(duì)檔案信息利用安全造成威脅。然而,究其根本原因在于缺乏建立相配套的系統(tǒng)安全管理規(guī)章制度[1-2]。最后,對(duì)系統(tǒng)功能的安全監(jiān)管不到位。據(jù)調(diào)查表明,目前我省高校大部分電子檔案系統(tǒng)的權(quán)限設(shè)置,身份認(rèn)證識(shí)別鑒定功能、CA認(rèn)證以及數(shù)字簽名等技術(shù)功能均達(dá)不到相關(guān)要求,隨時(shí)可能發(fā)生文件丟失、泄密的危險(xiǎn)。在信息采集、硬件防護(hù)等方面,相關(guān)技術(shù)部門之間未能及時(shí)有效地溝通與協(xié)調(diào),管理措施的制定缺少系統(tǒng)性和科學(xué)性,如此等等[3-4],都是因缺乏嚴(yán)格的監(jiān)存管機(jī)制,從而導(dǎo)致安全建設(shè)存在諸多隱患和漏洞。

2檔案數(shù)字化安全管理應(yīng)遵循的原則

責(zé)任規(guī)范原則。安全責(zé)任規(guī)范是檔案信息系統(tǒng)規(guī)劃、設(shè)計(jì)、實(shí)現(xiàn)、運(yùn)行的必然要求,各檔案館(室)應(yīng)根據(jù)安全標(biāo)準(zhǔn)化規(guī)定制定適合本單位的安全政策,不能無依據(jù)、無標(biāo)準(zhǔn)、隨意開發(fā)、盲目設(shè)計(jì)、違規(guī)操作、無人監(jiān)管,而應(yīng)根據(jù)實(shí)際情況,具體問題具體分析,采用正確的安全功能和設(shè)備。預(yù)防原則。將預(yù)防為主的意識(shí)貫穿整個(gè)安全系統(tǒng)管理的全過程,包括規(guī)劃、采購、安裝、設(shè)計(jì)等各個(gè)環(huán)節(jié)。不同的地理?xiàng)l件、不同的人文環(huán)境,各館(室)藏對(duì)安全設(shè)施的配備及安全功能的實(shí)現(xiàn)程度也迥異,應(yīng)因地制宜,將安全防范意識(shí)擺在首位,加強(qiáng)薄弱環(huán)節(jié)的防護(hù),最大限度地減少人為和自然災(zāi)難所造成的損失。實(shí)效原則。目標(biāo)的制定和規(guī)劃應(yīng)與安全功能的實(shí)現(xiàn)程度相匹配,不應(yīng)盲目追求高目標(biāo)或投資過大的項(xiàng)目,要實(shí)事求是,使投入與需要的安全功能相適應(yīng),才能真正提高安全管理效率。分權(quán)制約原則。分散重要環(huán)節(jié)的管理權(quán)限,使其各部門之間的權(quán)利相互制約,避免全線崩潰,提高安全性。對(duì)數(shù)字化服務(wù)機(jī)構(gòu)的相關(guān)資質(zhì)、業(yè)績、人員、設(shè)備和加工軟件等進(jìn)行考察,并了解是否存在違約行為、安全事故等不良記錄。應(yīng)急原則。安全防護(hù)要防患于未然。建立健全應(yīng)急管理機(jī)制,開展各類突發(fā)事件應(yīng)急演練,遇到突發(fā)事件及時(shí)采用應(yīng)急預(yù)案,多方聯(lián)動(dòng),采取積極有效的防護(hù)措施。災(zāi)難恢復(fù)原則。全盤優(yōu)化災(zāi)難恢復(fù)策略,合理劃分容災(zāi)等級(jí),嚴(yán)格執(zhí)行數(shù)據(jù)恢復(fù)流程并采取有效的技術(shù)恢復(fù)手段,保持原數(shù)據(jù)中心和備份中心數(shù)據(jù)的一致性。

3高校數(shù)字化檔案信息安全管理的對(duì)策

3.1加強(qiáng)信息安全技術(shù)管理,提高信息化管理水平

設(shè)備層的安全管理。設(shè)備層的安全管理包含軟硬件系統(tǒng)的管理,是檔案信息安全管理的基礎(chǔ)。硬件系統(tǒng)的安全又稱為物理安全。由于應(yīng)用軟件自身存在弊端,使其很容易受到攻擊,各種各樣的防黑客技術(shù)、軟件恢復(fù)技術(shù)以及安全操作系統(tǒng)的實(shí)現(xiàn)將是軟件系統(tǒng)安全管理的重點(diǎn)。采用先進(jìn)的病毒防范技術(shù)定期對(duì)服務(wù)器和客戶端查毒、殺毒,對(duì)防毒軟件適時(shí)升級(jí),檔案管理人員要依據(jù)病毒類型構(gòu)建病毒防范機(jī)制,充分了解病毒知識(shí),做好主動(dòng)防范工作,增強(qiáng)殺毒的敏感性,以全面提高網(wǎng)絡(luò)防范能力。網(wǎng)絡(luò)層的安全管理。網(wǎng)絡(luò)層的安全管理主要針對(duì)網(wǎng)絡(luò)協(xié)議和結(jié)構(gòu)及其所導(dǎo)致的安全問題應(yīng)采取的安全措施。主要包括:網(wǎng)絡(luò)安全告警,內(nèi)部流量和活動(dòng)模型分析,網(wǎng)絡(luò)入侵恢復(fù),網(wǎng)絡(luò)結(jié)構(gòu)數(shù)據(jù)保護(hù),內(nèi)部加密與密鑰管理等。各個(gè)子網(wǎng)的出入口設(shè)備的安全管理是其管理的關(guān)鍵點(diǎn),由于嵌入式操作系統(tǒng)作為網(wǎng)絡(luò)安全管理的核心技術(shù)比通用的操作系統(tǒng)更易實(shí)現(xiàn),因而不可避免地成為整個(gè)信息產(chǎn)業(yè)發(fā)展的重點(diǎn)之一。應(yīng)用層的安全管理。采取數(shù)據(jù)加密等技術(shù)確保安全,使用簽名芯片及時(shí)實(shí)現(xiàn)加密技術(shù)的有效應(yīng)用。嚴(yán)格控制訪問權(quán)限,通過設(shè)置口令、密鑰、指紋、聲音等方式進(jìn)行身份鑒別和訪問控制,并防止越權(quán)操作。對(duì)數(shù)字化設(shè)備、存儲(chǔ)介質(zhì)應(yīng)進(jìn)行安全保密技術(shù)處理,數(shù)字化加工設(shè)備不得外送維修,對(duì)系統(tǒng)中各種操作實(shí)現(xiàn)嚴(yán)格的監(jiān)控并加以記錄。做好日常的系統(tǒng)維護(hù)工作,確保數(shù)據(jù)的安全存儲(chǔ)、轉(zhuǎn)移和備份恢復(fù)。

3.2創(chuàng)新信息安全管理機(jī)制,全面提高防范意識(shí)

制度層的安全管理。強(qiáng)化制度建設(shè),形成有效的安全管理機(jī)制,為信息安全建設(shè)提供制度保障。為確保數(shù)字化檔案信息安全,高校檔案館(室)要建立健全各項(xiàng)安全管理制度和責(zé)任制度,在面臨突發(fā)災(zāi)害時(shí),緊急啟動(dòng)應(yīng)急預(yù)案,形成聯(lián)動(dòng)機(jī)制,因地制宜,妥善處理影響檔案安全的各類突發(fā)事件。對(duì)檔案要強(qiáng)化監(jiān)督和管理,認(rèn)真進(jìn)行檔案密級(jí)鑒定,做好檔案數(shù)字化的各項(xiàng)安全保密工作,對(duì)密級(jí)檔案嚴(yán)格審核,做出是否變更或解除的決定,對(duì)控制知悉、使用范圍的檔案進(jìn)行劃控,密級(jí)檔案以及控制知悉、使用范圍的檔案,須在安全保密的場所由其單位工作人員負(fù)責(zé)人加工處理;對(duì)特殊載體檔案采取特殊保護(hù),對(duì)珍貴、頻繁利用的紙質(zhì)檔案優(yōu)先保護(hù)、定期消毒。其次要制定數(shù)字化檔案安全權(quán)利清單和責(zé)任清單,將數(shù)字化檔案信息安全建設(shè)作為日常工作運(yùn)行的重點(diǎn),實(shí)行領(lǐng)導(dǎo)責(zé)任制,明確在信息安全建設(shè)中各個(gè)環(huán)節(jié)的責(zé)任程序和責(zé)任人,科學(xué)界定工作職責(zé),完善安全隱患定期排查制度,規(guī)范細(xì)化檔案數(shù)字化工作流程,強(qiáng)化對(duì)權(quán)利運(yùn)行的制約和監(jiān)督,嚴(yán)格按照任務(wù)清單要求,全面落實(shí)好安全主體責(zé)任,不斷加大問責(zé)力度,建立健全安全問題通報(bào)制度,確保安全權(quán)利清單制度落地見效。不僅如此,高校檔案館(室)也應(yīng)加強(qiáng)數(shù)字化加工場所和設(shè)備實(shí)施的安全監(jiān)管。加工場所應(yīng)設(shè)置在符合保密要求且相對(duì)獨(dú)立的區(qū)域,安裝視頻監(jiān)控系統(tǒng)、實(shí)施全程監(jiān)控,嚴(yán)格核查出入人員身份,無關(guān)人員不得進(jìn)入場所。工作人員不得在場所內(nèi)吸煙、飲水、進(jìn)食,嚴(yán)禁攜帶照相機(jī)、攝像機(jī)、手機(jī)等信息設(shè)備及其他與工作無關(guān)的物品入場,禁止以拍攝方式獲取檔案信息或攜帶實(shí)體檔案及電子檔案外出。用于檔案數(shù)字化的設(shè)備系統(tǒng)必須與其他網(wǎng)絡(luò)物理隔離,禁止安裝使用無線網(wǎng)卡等具有無線互聯(lián)功能的硬件和設(shè)備,對(duì)設(shè)備輸入、輸出接口進(jìn)行封閉處理,并進(jìn)行檢查登記。此外,若采取數(shù)字化委托加工方式,應(yīng)設(shè)有專人負(fù)責(zé)安全保密工作,無安全事故、泄密事件等違法記錄。數(shù)字化加工單位應(yīng)與受委托的專業(yè)公司簽訂保密協(xié)議,確保數(shù)字化加工場地的安全管理。以制度有效運(yùn)行作保障,積極為檔案信息安全鑄造堅(jiān)固的防護(hù)體系。組織層的安全管理。各高校要因地制宜,把數(shù)字化檔案安全體系建設(shè)擺上議事日程,制定適合本學(xué)校的數(shù)字化檔案信息安全建設(shè)規(guī)劃和實(shí)施方案,將檔案信息安全體系建設(shè)納入單位(部門)年度考核、目標(biāo)管理等工作的重要內(nèi)容,加強(qiáng)日常的監(jiān)督、檢查和指導(dǎo),定期聽取檔案安全工作匯報(bào),研究部署年度工作計(jì)劃,領(lǐng)導(dǎo)要親自過問,在經(jīng)費(fèi)投入、技術(shù)保障、處室配合、人員使用等方面給予大力支持,各高校檔案(館)室要加快建立數(shù)字化檔案信息安全領(lǐng)導(dǎo)小組,充分調(diào)動(dòng)專職檔案人員工作的主動(dòng)性和積極性,并根據(jù)學(xué)校機(jī)構(gòu)設(shè)置和人員變動(dòng)情況,適時(shí)調(diào)整充實(shí)領(lǐng)導(dǎo)組成員,明確各部門分管檔案信息安全工作的領(lǐng)導(dǎo),逐步細(xì)化完善檔案信息安全工作崗位職責(zé),做到檔案信息安全工作人員職責(zé)清晰、分工明確,確保檔案安全工作順利有序開展。

3.3加大人才培養(yǎng)力度,打造復(fù)合型數(shù)字化安全管理專業(yè)人才

高校檔案館(室)要加大數(shù)字化檔案信息安全專業(yè)技術(shù)人才的培養(yǎng)力度,積極開展檔案信息化知識(shí)技能培訓(xùn)和數(shù)字化安全崗前教育培訓(xùn)。制定科學(xué)合理的人才規(guī)劃,數(shù)字化檔案安全的核心在于人,人是保證數(shù)字化檔案安全的關(guān)鍵,一切安全技術(shù)的實(shí)施都離不開專業(yè)技術(shù)人員,努力建設(shè)一支素質(zhì)優(yōu)良,結(jié)構(gòu)合理,隊(duì)伍穩(wěn)定,既通曉檔案網(wǎng)絡(luò)技術(shù)知識(shí)又能熟練掌握安全管理技能的綜合型人才,不斷探索培養(yǎng)優(yōu)秀檔案信息化人才的新途徑。

3.4加快法律法規(guī)體系建設(shè)進(jìn)程,營造良好的依法治檔環(huán)境和氛圍

建立健全數(shù)字化檔案安全法律法規(guī),真正落實(shí)依法治檔。檔案管理人員要嚴(yán)格遵守檔案安全法規(guī)和保密規(guī)定,采取綜合防范策略,建立科學(xué)合理的操作規(guī)范,積極防御,不斷提升防護(hù)水平,凈化網(wǎng)絡(luò)安全環(huán)境。加大安全執(zhí)法力度,嚴(yán)加懲處盜取、篡改信息的機(jī)構(gòu)和個(gè)人,并依法追究相關(guān)責(zé)任。重視安全法律法規(guī)宣傳工作,利用校園網(wǎng),宣傳安全知識(shí)以及學(xué)校關(guān)于檔案安全工作的規(guī)章制度。通過檔案網(wǎng)站,及時(shí)國家頒布實(shí)施的檔案安全法律法規(guī),認(rèn)真學(xué)習(xí)并貫徹落實(shí)上級(jí)檔案主管部門關(guān)于檔案安全管理的文件精神,讓廣大師生不斷強(qiáng)化安全和保護(hù)意識(shí),充分認(rèn)識(shí)學(xué)校檔案安全工作的重要性。

4結(jié)論

高校數(shù)字化檔案信息的安全管理是一項(xiàng)漫長而艱巨的任務(wù),涉及技術(shù)、法律、制度、意識(shí)、人員等方方面面,隨著社會(huì)信息化的飛速發(fā)展和科技的日新月異,影響數(shù)字化檔案信息安全的因素也日益繁多,高校檔案安全工作將面臨新的挑戰(zhàn),各高校檔案館(室)應(yīng)高度重視,通力合作,使數(shù)字化檔案信息的安全管理逐步邁上規(guī)范化、科學(xué)化的軌道,為檔案的永久安全保管和歷史文化的傳承做出應(yīng)有的貢獻(xiàn)。

參考文獻(xiàn):

[1]種金成,何祖華.高校館藏檔案數(shù)字化實(shí)施方案及安全策略研究[J].黑龍江檔案,2014(1):44-45.

[2]趙鵬.從檔案安全體系建設(shè)的角度看檔案保護(hù)[J].中國檔案,2010(6):25-27.

[3]楊冬權(quán).建立完善的檔案安全體系確保檔案安全[J].蘭臺(tái)世界,2010(6):1-2.

篇10

[關(guān)鍵詞]油田;企業(yè)網(wǎng);信息;安全

油田工業(yè)環(huán)境對(duì)于網(wǎng)絡(luò)的依賴,一直都比常規(guī)的工業(yè)環(huán)境更為突出,諸多儀表數(shù)據(jù)的采集,決定了整個(gè)工業(yè)環(huán)境生產(chǎn)工作的安全開展,因此不容忽視。進(jìn)入信息時(shí)代后,國內(nèi)大中型企業(yè)大多都建成了完善的企業(yè)網(wǎng)絡(luò),油田企業(yè)也不例外。但是,油田企業(yè)利用網(wǎng)絡(luò)進(jìn)行工作,雖然提高了效率,但是一旦網(wǎng)絡(luò)本身出現(xiàn)不穩(wěn)定的情況,就會(huì)使整個(gè)油田工業(yè)環(huán)境陷入危險(xiǎn)。因此,油田企業(yè)網(wǎng)的信息安全問題已成為關(guān)系到整個(gè)油田正常運(yùn)行的重要因素。

1企業(yè)網(wǎng)和信息安全的內(nèi)涵

要想實(shí)現(xiàn)油田企業(yè)網(wǎng)的安全運(yùn)行,油田企業(yè)首先應(yīng)當(dāng)了解企業(yè)網(wǎng)和信息安全的內(nèi)涵,才能實(shí)現(xiàn)相關(guān)工作的有效落實(shí)。企業(yè)網(wǎng)相對(duì)于局域網(wǎng),是一個(gè)更為寬泛的概念,并且比較偏重于軟件層面。局域網(wǎng)強(qiáng)調(diào)企業(yè)中區(qū)域環(huán)境內(nèi)部的數(shù)據(jù)傳輸實(shí)現(xiàn),當(dāng)然在油田企業(yè)環(huán)境中,由于不同部門之間在地理位置上相對(duì)分散,因此局域網(wǎng)也會(huì)不拘泥于區(qū)域,更多采用在公共數(shù)字網(wǎng)上建立起數(shù)字通道的方式來實(shí)現(xiàn)。但是,局域網(wǎng)歸更多是面向數(shù)據(jù)傳輸實(shí)現(xiàn)的,企業(yè)網(wǎng)則有所不同,更多是面向應(yīng)用本身展開實(shí)現(xiàn)的,從層級(jí)上看,企業(yè)網(wǎng)位置高于局域網(wǎng),是一種偏軟件應(yīng)用的網(wǎng)絡(luò)系統(tǒng);從功能上看,企業(yè)網(wǎng)絡(luò)既承擔(dān)著企業(yè)經(jīng)營、生產(chǎn)、交流等任務(wù),也全面優(yōu)化了企業(yè)內(nèi)部管理結(jié)構(gòu),豐富了企業(yè)員工利用企業(yè)網(wǎng)絡(luò)學(xué)習(xí)、交流的途徑。對(duì)于企業(yè)網(wǎng)而言,信息安全指的是在網(wǎng)絡(luò)環(huán)境下,從軟硬件以及應(yīng)用等多個(gè)角度展開對(duì)于數(shù)據(jù)傳輸、讀取、更改等方面的保護(hù),使之不會(huì)因偶然、惡意等因素而發(fā)生更改、破壞、泄露等問題,影響到網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定運(yùn)行。從技術(shù)角度看,信息安全融合了包括計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、應(yīng)用數(shù)學(xué)、信息安全、信息論、通信技術(shù)和密碼技術(shù)等多項(xiàng)技術(shù),成為綜合性的邊緣交叉領(lǐng)域。

2企業(yè)網(wǎng)的安全威脅來源

油田企業(yè)想要建立完善的安全體系,還應(yīng)當(dāng)對(duì)當(dāng)前油田環(huán)境下的企業(yè)網(wǎng)面臨的安全威脅有一個(gè)比較深入的了解。企業(yè)網(wǎng)的安全威脅,首先來源于網(wǎng)絡(luò)設(shè)備自身的穩(wěn)定特征。當(dāng)前環(huán)境下,在數(shù)據(jù)傳輸鏈路中,光纖作為傳輸媒介,在近年來其質(zhì)量有了極大提高,并且進(jìn)一步帶動(dòng)了整個(gè)網(wǎng)絡(luò)環(huán)境的穩(wěn)定性,因此對(duì)于物理層面而言,數(shù)據(jù)傳輸?shù)姆€(wěn)定性在很大程度上受到網(wǎng)絡(luò)設(shè)備自身運(yùn)行狀況的影響。網(wǎng)絡(luò)服務(wù)器、交換機(jī)、工作站和備用電源等,都會(huì)成為影響企業(yè)網(wǎng)安全的重要因素。除此以外,服務(wù)器的安全防御能力,以及對(duì)于異常端口、閑置端口等方面的管理,同樣也應(yīng)當(dāng)納入到安全管理的范圍中。其次,安全威脅來源于協(xié)議的安全缺陷。網(wǎng)絡(luò)協(xié)議是信息共享的關(guān)鍵與前提,并且決定著信息開放和共享的方式和程度,但協(xié)議本身也是相關(guān)人員或組織制定的,在發(fā)展的過程中不可避免地會(huì)出現(xiàn)不適應(yīng)的特征,進(jìn)一步會(huì)出現(xiàn)安全隱患。除此以外,基于協(xié)議的安全隱患通常都具有較大范圍的殺傷力,很容易受到外界的惡意攻擊。最后,網(wǎng)絡(luò)環(huán)境中的訪問控制,同樣也是影響油田企業(yè)網(wǎng)安全的主要因素,并且考慮到油田企業(yè)網(wǎng)環(huán)境自身龐大、復(fù)雜的客觀特征,這一方面的影響,相對(duì)于其他領(lǐng)域而言甚至更為嚴(yán)重。

3油田企業(yè)網(wǎng)的安全系統(tǒng)構(gòu)建

對(duì)于油田企業(yè)網(wǎng)而言,其數(shù)據(jù)量要遠(yuǎn)遠(yuǎn)大過于常規(guī)企業(yè),除了要提升工作效率之外,更為重要的是將油田工業(yè)環(huán)境中的海量數(shù)據(jù)整合到一個(gè)綜合的網(wǎng)絡(luò)環(huán)境中來,便于實(shí)現(xiàn)更為全面的監(jiān)督和控制,也便于深入應(yīng)用大數(shù)據(jù)等分析技術(shù)。而這樣的網(wǎng)絡(luò)環(huán)境,對(duì)于安全的要求,必然比常規(guī)的企業(yè)網(wǎng)要高很多。本文結(jié)合油田環(huán)境中的網(wǎng)絡(luò)以及數(shù)據(jù)特征,可以考慮從如下幾個(gè)方面,構(gòu)建油田企業(yè)網(wǎng)的安全系統(tǒng)。

3.1加強(qiáng)設(shè)備領(lǐng)域安全建設(shè)

設(shè)備安全性是油田企業(yè)網(wǎng)信息安全的根基,除了在購置過程中合理選擇品牌確保設(shè)備工作穩(wěn)定性以外,油田企業(yè)還應(yīng)著眼于設(shè)備本身的抗干擾特征,并重視在干擾環(huán)境之下設(shè)備所產(chǎn)生的誤碼率等屬性。油田企業(yè)要把服務(wù)器的安全配置列為重點(diǎn),從操作系統(tǒng)漏洞、端口安全以及服務(wù)信息安全三個(gè)方面重點(diǎn)展開。對(duì)于操作系統(tǒng)的漏洞而言,除了及時(shí)更新補(bǔ)丁以外,油田企業(yè)還應(yīng)當(dāng)考慮面向網(wǎng)絡(luò)服務(wù)器及個(gè)人工作站的操作系統(tǒng)使用情況,有針對(duì)性地進(jìn)行漏洞掃描和檢測,并根據(jù)掃描結(jié)果作出科學(xué)、客觀、全面的安全評(píng)估,從而進(jìn)一步加強(qiáng)設(shè)備領(lǐng)域安全建設(shè)。同時(shí),油田企業(yè)可以考慮在非系統(tǒng)分區(qū)上安裝IIS服務(wù)器來提高設(shè)備的安全性,并且考慮選用NTFS文件系統(tǒng)提升整體安全水平。此外,服務(wù)端口號(hào)的修改同樣意義重大,油田企業(yè)應(yīng)當(dāng)對(duì)部分服務(wù)器的網(wǎng)絡(luò)服務(wù)端口進(jìn)行修改,用來提升企業(yè)網(wǎng)絡(luò)服務(wù)器的安全性,進(jìn)而達(dá)到有效提升設(shè)備安全性的目的。

3.2加強(qiáng)訪問控制管理

訪問控制的管理,歸根結(jié)底是一種管理,但是放在網(wǎng)絡(luò)環(huán)境中,就是一種與技術(shù)相結(jié)合的管理體系。訪問控制管理工作需要從人機(jī)環(huán)節(jié)著手,油田企業(yè)在加強(qiáng)網(wǎng)絡(luò)系統(tǒng)訪問控制安全建設(shè)的同時(shí),也要加強(qiáng)工作人員的訪問控制安全建設(shè)意識(shí)。同時(shí),授權(quán)作為訪問控制管理的重要內(nèi)容,油田企業(yè)要重視當(dāng)前信息環(huán)境中移動(dòng)接入端的涌入,對(duì)于移動(dòng)端的接入授權(quán),一方面要實(shí)現(xiàn)便捷,另一個(gè)方面應(yīng)當(dāng)加強(qiáng)周期性的口令更新,并確保安全。此外,訪問控制管理在信息系統(tǒng)邊界內(nèi)部,還表現(xiàn)為面向不同的數(shù)據(jù)進(jìn)行不同的授權(quán),并且油田企業(yè)要?jiǎng)討B(tài)調(diào)整這種授權(quán)。

3.3加強(qiáng)數(shù)據(jù)識(shí)別

數(shù)據(jù)識(shí)別對(duì)于油田工業(yè)環(huán)境而言,價(jià)值重大。油田工業(yè)環(huán)境中的數(shù)據(jù)總量龐大,而企業(yè)網(wǎng)中的安全運(yùn)算資源又相對(duì)有限,因此,油田企業(yè)要為最核心的數(shù)據(jù)提供最有效的安全保護(hù)。無論是加密算法還是訪問方面的安全過濾,都需要一定的安全運(yùn)算資源配合,這就必然需要數(shù)據(jù)識(shí)別。在實(shí)際工作過程中,油田企業(yè)應(yīng)當(dāng)注意油田工業(yè)環(huán)境中不同數(shù)據(jù)之間的差異。不同數(shù)據(jù)從產(chǎn)生到消亡的整個(gè)生命周期,都可以作為識(shí)別數(shù)據(jù)重要程度的依據(jù),從這些細(xì)節(jié)中有針對(duì)性地進(jìn)行安全過濾保護(hù)。這可以說是提升安全計(jì)算效率的重要手段。

4結(jié)語

油田環(huán)境下企業(yè)網(wǎng)絡(luò)安全問題的意義重大,油田企業(yè)在實(shí)際工作中必須要深入分析,積極引入行業(yè)先進(jìn)技術(shù),識(shí)別油田數(shù)據(jù)自身的特征,有的放矢才能獲得良好效果。

主要參考文獻(xiàn)

[1]段莉屏.大數(shù)據(jù)背景下企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全問題分析及應(yīng)對(duì)對(duì)策[J].現(xiàn)代工業(yè)經(jīng)濟(jì)和信息化,2016(3).