前言:想要寫出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇公司網絡信息安全范文,相信會為您的寫作帶來幫助,發現更多的寫作思路和靈感。
關鍵字 縣級供電企業;信息網絡安全;剖析
【中圖分類號】TN915.08文獻標識碼:B文章編號:1673-8500(2013)01-0022-01
縣級供電企業信息化建設雖然起步不晚,但由于電網規模的不同導致各地信息化建設層次不齊,隨著電力廣域網的接入,信息網絡的安全問題,成為各縣級供電企業目前面臨的同樣難題,健壯的網絡是實現網絡安全和業務正常的基礎,只有基礎層面的網絡設備的穩定性、安全性得到了保障,網絡的穩定性的實現才成為可能,現以縣級供電公司信息網絡建設的情況,對網絡安全情況進行分析。
1網絡建設現狀
近年來,縣級供電企信息化建設如火如荼,如今硬件環境已經可以滿足在信息網絡上運行各種系統等應用,實現千兆骨干,百兆到桌面。按照部門、職能、安全重要程度分為許多子網,包括:營銷子網、財務子網,辦公子網、生產子網、服務器子網等,在核心交換機上為不同子網劃分不同的虛擬局域網(vlan)。不同子網分屬不同廣播域。在應用上,提供文件共享訪問,辦公自動化、電子郵件等。
2存在問題
隨著信息化程度的提高,信息網絡的規模不斷擴大,網絡結構需要進行不斷的調整,但在設備安全加固,數據備份、網絡安全管理、操作人員安全意識等方面存在一定問題,造成管理吃力,給網絡安全埋伏了不利因素,成為急需解決的問題。
3解決辦法
3.1制定制度,落實責任。信息網絡安全離不開嚴格的制度和明確的責任分工,為提高網絡信息系統整體安全防護能力,強化公司內部信息安全,成立信息安全組織機構,組織機構分為領導小組和工作小組建立切實可行的應急預案和災難恢復預案,有效預防和正確、快速應對網絡及信息安全突發事件,最大限度地減少影響和損失,確保網絡系統安全、穩定運行。
為確保計算機網絡安全、實行了網絡專管員制度、計算機安全保密制度、網站安全管理制度、網絡信息安全突發事件應急預案等以有效提高管理員的工作效率。同時我公司結合自身情況制定計算機系統安全自查工作制度,做到四個確保:一是系統管理員于每周五定期檢查中心計算機系統,確保無隱患問題;二是制作安全檢查工作記錄,確保工作落實;三是實行領導定期詢問制度,由系統管理員匯報計算機使用情況,確保情況隨時掌握;四是定期組織全公司人員學習有關網絡知識,提高計算機使用水平,確保預防。
3.2網絡系統安全管理。
3.2.1網絡設備。因地理條件和資金限制,一些縣級供電企業網絡多為星形結構,超過半數的網絡結點不能形成環網,網絡運行極不穩定,這是目前縣公司一些應用推廣的阻礙。對于這種情況,如果資金較少,可以考慮根據地理條件在網內建設小型的環網,盡可能多的將結點環起來。
一些公司核心交換機、防火墻都是單機運行,無備用設備,一旦核心出現故障將會造成公司網絡全部癱瘓,與上級公司無法連通,因此增加一臺核心交換機和一臺防火墻,和設備通過跳線相連,實現雙機冗余,互為備用。
3.2.2終端管理。按照國家電網公司要求和省、市公司統一部署安排,信息內網所有計算機統一注冊使用桌面安全管理系統,統一安裝省公司部署的殺毒軟件,每臺終端設備都進行實名注冊,進行IP+MAC+交換機端口多重綁定,嚴格控制移動存儲設備的接入,確保非法設備無法接入內網,信息內外網實行雙網雙機,內外網之間完全物理分開,內網計算機不得任何方式接入外網,在信息外網出口安裝IPS入侵防御設備,可以實時主動攔截各類黑客攻擊和惡意行為,保護信息網絡架構免受侵害,阻斷非授權用戶的使用,降低了不安全因素。
所有計算機在接入信息網絡以前必須對所有賬號進行處理,不得使用系統默認的用戶名,刪除不用的賬號,禁用來賓用戶,所有賬號必須設置字母+數字+特殊符號長度在8位以上的密碼,并定期更換。
3.2.3分區分域、等級防護。對公司的信息系統分成生產控制大區和管理信息大區,并對所有的業務系統進行等級劃分,實現不同安全域之間的獨立化和差異化的防護。其中生產控制大區又可以分為控制區和非控制區,調度數據網絡作為專用的數據網絡,劃分為安全區I,它使用不同的網段單獨組網,它與安全區II之間采用國家指定部門檢測認定的電力專用正向單向隔離裝置。WEB服務與管理信息大區之間分別安裝硬件防火墻,并嚴格控制相互之間訪問。
3.3數據備份。對數據備份設立了專人管理,負責數據備份系統的日常管理,針對系統情況和備份內容,分別采用了完全備份、增量備份、差分備份和按需備份,關鍵數據實現了異地備份。備份內容涵蓋了生產、營銷、管理等所有關鍵業務。
3.4UPS電源。網絡設備在運行中最大的問題是電壓不穩,甚至停電。雖然信息機房報在的辦公大樓一般都接了雙電源,但仍會有不可預知的電源故障會導致局域網中交換機、路由器、服務器和數據存儲器等各類設備無法連續正常工作,因此UPS電源是機房中最重要的保障。在局域網的中心機房中,采用10-20kVA中等功率UPS集中供電的方式已被廣泛接受。為了有效提高系統可靠性,一般采用雙機熱備份或并聯供電。
3.5防雷系統。要定期測試機房在建設時已經建立了接地線,查看所有網絡設備、服務器、機柜都做到了良好的接地和電源電源零線接地。對機房設備也要安裝防雷設備,每臺交換機都應安裝機架式防雷插排和交換機防雷模塊,所有電源都更換防雷插座。
3.6人員培訓和管理。信息網絡的安全歸根結底還是要落實到操作人的頭上,操作人員安全意識和操作水平提高了,網絡安全管理就做到了事半功倍的效果,因此,需要在人員培訓方面特別重視,每周五下午進行一次信息安全知識培訓,小的從開關機講起,大到系統安全策略設置,從各方面進行全面指導。通過公司視頻會議系統組織觀看信息安全方面教育片和安全事例分析。并與各部室及員工簽訂信息安全責任書,確保責任落到實處。對所有職工發放信息網絡使用安全須知,提高員工對信息安全的認知和增強員工遵守信息安全各項規章制度的自覺性。
[關鍵詞] 網絡環境; 現代企業; 信息安全; 問題; 對策
[中圖分類號] F208 [文獻標識碼] A [文章編號] 1673 - 0194(2013)04- 0084- 02
現代企業的信息安全是指在管理上和技術上對數據處理系統進行安全的保護,使計算機的軟件、硬件、保密數據等不會遭到破壞、更改、泄露。通過對企業信息安全的管理,能夠保護企業信息的機密性和完整性,保護企業的生產運營安全,是企業發展的必不可少的環節。
1 網絡環境下現代企業信息安全存在的問題
1.1 人為因素造成的安全問題
現代企業之間的競爭十分激烈,企業管理者把精神都集中在企業的生產和經營上,對計算機的管理不夠重視,加上網絡屬于新生事物的一種,人們會利用網絡進行娛樂活動,卻忽視了網絡的安全性,缺乏網絡安全意識,企業員工在工作時間利用網絡進行娛樂活動的行為十分普遍,由于自身的安全意識匱乏,不但浪費了企業的網絡資源,也加大了病毒侵害的可能性,威脅了企業的信息安全。企業信息安全的管理需要管理部門重視起來,現實中,企業對信息安全的管理投入很少,安全防范做得不好,管理者對信息安全管理的認識不足,下面的員工安全意識也淡薄,規章制度不完善,信息安全管理無據可依,管理者也沒有對信息安全進行有效的監督,沒有在第一時間發現網絡存在的問題,甚至在網絡不能正常運行了才去解決問題,給公司發展帶來不利影響。
1.2 網絡技術自身存在的安全問題
隨著網絡技術的發展,各種軟件也不斷更新換代,現在Windows 7正在大規模地進軍國內市場,微軟不斷推出新的產品,各種操作系統的漏洞也一直存在,為病毒的滋生提供了機會,很多網絡軟件存在后門,這些后門原本是編程人員為了軟件的擴展和維護設置的,如果被不法分子發現,對公司的信息安全有很大的威脅。計算機犯罪中最典型的就是黑客的攻擊,黑客攻擊也分為主動攻擊和被動攻擊兩種,主動攻擊直接為企業的信息完整性、機密性造成破壞,被動攻擊雖然能夠保證公司電腦的正常運行,但企業的重要信息可能會被截獲、竊取,都嚴重影響了企業信息安全。
1.3 設備環境造成的安全問題
從網絡環境來說,外部環境對企業信息安全也構成威脅,企業的計算機房的位置不能是隨便設置的,需要有一定的安全技術要求。網絡的線纜等通信設施容易被人為破壞,或者受到自然環境如地震、雷雨、電磁場等環境的影響發生破壞,并且自然環境的影響是不可預測的,一旦出現問題,會給企業的信息造成直接的破壞,影響信息的完整性。計算機的硬盤、內存的運行狀況也應該得到管理人員的注意,計算機設備的防盜等都是問題,企業員工在工作過程中往往會拷數據回家,或者加班后在用U盤等移動設備把資料拷貝到公司電腦中,增加了企業計算機中毒的危險。
2 解決企業信息安全問題的對策研究
2.1 重視信息安全管理,加強制度建設
首先,企業管理者應該認識到企業信息安全的重要性,認識到網絡保護的重要性,提高信息安全意識,這樣才能加強制度建設,做好信息安全管理與監督工作。計算機房是重要場所,它的設置也需要一定的隱蔽性,一般不要設置在公司一樓。企業應該建立和完善信息安全管理制度,幫助員工樹立信息安全意識,明確信息安全保護的對象和目標,保證各項管理制度的落實執行,制訂明確科學的操作流程,規范員工的日常操作行為,制訂應急預案和網絡維護制度,計算機管理人員應該每天對計算機系統進行檢查或者更新,及時發現網絡運行中出現的問題,防止病毒的產生,在發生問題后把損失降到最低。
2.2 加強企業信息安全的網絡技術控制
依靠網絡技術來保護現代企業信息安全是十分有效的方式,網絡技術手段主要有防火墻、信息加密與認證、病毒防控、數據備份等方式。防火墻是網絡技術中保護信息安全最重要的技術之一,它通過設置屏障阻止黑客的訪問,能夠有效防止病毒的侵入,企業應該按照質量可靠的防火墻,并時刻關注防火墻的問題與升級情況。直接對企業信息進行加密也是有效的方法之一,企業可以設置專門的訪問密碼,僅供本公司員工使用,或者每個員工都有自己的上網編號,輸入之后才能訪問公司網絡,公司也可以根據瀏覽記錄查看哪些員工上網,能夠有效防止企業人員泄密行為,對重要文件采取多種加密措施。企業應該注意對防病毒軟件的更新換代,提高防毒、殺毒的效率,保證系統的安全。電腦一旦中毒,一些文件就可能丟失或者被更改,企業需要對重要文件進行備份,這樣在發生中毒之后能夠將損失降到最低。
2.3 加強法制建設,運用法律武器保護企業信息安全
現代企業的信息安全應該受到法律的保護,公司的機密文件關系到公司的生死存亡,關系到社會公平競爭,關系到個人隱私,應該受到法律的保護。國家應該完善企業信息安全的法律法規,為企業保護自己的權益提供法律武器,企業也應該具有法律意識,在公司的信息惡意遭到破壞和侵害時,不是采用同樣的方法對待競爭企業,而是應該拿起法律武器保護自己,用國家法律來抵制侵犯,保護自己企業的信息安全與完整。
3 結 語
網絡的發展是一把雙刃劍,在給社會進步和發展帶來巨大益處的同時,也帶來了一些負面影響,企業應該辯證對待網絡時代的發展,充分利用網絡環境帶來了優勢,通過技術手段創新、管理加強、法律法規的完善等措施來保護企業信息安全,為企業的發展創造安全的環境。
主要參考文獻
[1] 薛偉蓮. 保證信息與網絡安全的網絡倫理規范體系的構建[J]. 網絡與信息,2010(11).
[2] 費宏偉. 保證電算化時代會計信息安全的幾點思考[J]. 東西南北·教育觀察,2010(11).
[3] 張紅,金永利,邱大成. 網絡環境下會計信息安全的技術控制措施[J]. 中國高新技術企業,2009(10).
網絡黑客在網絡上對數量眾多計算機進行控制,以此形成規模更大的網絡來攻擊所要攻擊的網絡目標,這就是最近幾年所產生的所謂“僵尸網絡”。僵尸網絡具有極大的危害性,其幕后者在通常情況下很難讓網絡警察所發現;此外,基于僵尸網絡來攻擊網絡,具有極快的網絡速度、極為顯著的攻擊效果,通常可以在短短數分鐘之內讓所要攻擊網絡出現癱瘓狀態。在全球全部“僵尸網絡”電腦數量當中,我國所擁有的“僵尸網絡”電腦數量達到1/5左右,由此可知,僵尸網絡對我國網絡信息安全所構成的威脅是極大的。
2我國網絡信息安全的應對措施
2.1加強網絡信息安全管理網絡信息安全實質就是一個管理方面的問題,特別是在我國網絡信息安全行業剛剛發展初期,做好網絡信息安全的管理工作更顯得尤為重要。①嚴格根據管理流程實施管理操作。對網絡進行微觀操作,這是網絡內網產生不安全的主要原因,因此,對業務不得進行越權查看及使用,不許私自對數據庫或某些機密文件進行修改,以此來杜絕內網中計算機及網絡受到惡意攻擊。②實施連續性管理網絡系統。作為網絡管理人員,一定要把系統恢復和系統備份策略應用于網絡系統,這不僅可實現連續性管理系統的要求,而且還可有效避免因惡意破壞、自然災害等原因使設備遭到破壞、無法正常提供服務的問題發生。③加強管理人員的日常操作管理。要有效對系統進行管理,最為重要的在于管理人員,因此,作為網絡系統管理人員,一定要具備超強的技術能力,此外,還必須具備一定的網絡信息安全意識。不管是企業,還是公司,在進行網絡管理人員選拔時,一定要綜合考慮有關技術能力和安全意識等方面的因素;同時,還要創造條件對這些網絡管理人員實施一定的職業培訓以及網絡信息安全教育,以此來讓網絡管理人員切實懂得網絡信息安全的重要性,并讓他們明白在維護網絡信息安全中他們個人所應承擔的責任。此外,對于網絡信息的相關操作管理,一定要讓網絡管理人員熟練掌握,對于安全的網絡管理策略能予以正確的執行和落實,這樣,就可最大限度避免因人為原因所帶來的網絡信息安全漏洞。
2.2設置防火墻網絡威脅絕大多數是從互聯網來的,應用防火墻來判斷與辨別進出網絡的各種信息,能夠有效避免內網或計算機系統遭到病毒和木馬的攻擊;所以,要對網絡信息安全進行有效保護,一定要選擇一個防火墻來進行保護,而且要讓所選擇的防火墻,不僅要技術性強,而且防御功能要足夠強大。
2.3安裝vpn設備所謂vpn設備,其實就是一個服務器,電腦在進行網絡信息傳遞過程中,要使網絡信息先向vpn服務器進行傳遞,然后再通過vpn設備向目的主機進行傳遞,這樣就可讓計算機不直接連接于物聯網,從而讓網絡黑客無法得到真正的ip地址,無法完成對網絡進行攻擊,這樣就有效對網絡信息安全起到了保護作用。
3結語
關鍵詞:市縣一體化;信息;安全;保障
中圖分類號:F291 文獻標識碼:A
0引言
《國家電網公司信息系統安全管理辦法》對建設國網一體化信息安全保障體系的目標給出了指導性意見,就是要增強信息安全防護能力,提升信息安全自主可控能力,防止承載各類業務系統被惡意滲透,防止關鍵業務信息系統數據或信息被竊取或篡改,以確保更有效的抵御各種風險,最終實現國網自上而下信息系統網絡安全、服務器及應用系統、桌面終端、移動存儲介質等全方面的管控,使各層級信息化應用水平及信息安全防護水平達到一個新的高度[1]。
近年來,隨著國家電網公司信息技術的深化應用,信息安全日益重要。澠池縣電業局在市縣一體化信息安全管理策略的設計和實現中以“硬件建設”為基礎,以“軟件建設”為關鍵,以“管理建設”為手段,深化安全管理,持續提升信息化安全水平。
1專業管理的頂層設計和指標體系
1.1市縣一體化頂層設計目標。在現有的信息化平臺基礎上,通過2年的系統建設,分步實施“硬件組體、軟件添翼、管理促飛”信息安全保障體系“三部曲”策略,最終構筑起堅強的市縣一體化信息安全保障體系。
1.2從環境設施上加以提升,從技術流程上加以完善,從管理措施上嚴格要求,以確保更有效的抵御各種風險,實現安全穩定可靠運行。安全保障策略指標值如下:
1.2.1硬件指標:內網網絡部署防火墻、內外網實現“物理隔離”;部署上網行為管理、門禁、防雷等硬件設施;部署數據中心虛擬容災系統;建設市縣網絡主備通道。
1.2.2軟件指標:桌面注冊率達到100%;殺毒軟件安裝率達到100%;無賬戶弱口令;無安全防護漏洞;無違規郵件、網站。
1.2.3管理制度:制定或修編澠池縣電業局《安全移動存儲介質管理辦法》《桌面終端設備安全管理辦法》《計算機信息系統安全管理辦法》《信息網絡運行管理辦法》《計算機信息系統安全管理辦法》《計算機機房管理制度》《計算機設備管理辦法(試行)》《網絡與信息安全突發事件應急預案(試行)》《信息安全保密協議書》《信息系統口令管理辦法》、《信息內外網辦公終端準入管理辦法》。
2市縣一體化策略的實現
2.1硬件組體“搭建體骼”。
2.1.1基礎環境建設。長遠規劃,進行機房資源整合,按照國家二類機房建設要求,改擴建中心機房面積達到160平方米,進行機房區域劃分,增設直流電源室、公共上網區、備品備件室、維修間共128平方米,開展門禁系統、信息防雷系統及監控系統建設,添置網絡測試儀器及相關辦公用品,機房具備防水、防火、防灰塵、防盜、防雷等多種功能,完全滿足運維、管理、辦公需求。
2.1.2數據容災建設。本著同城異地備份、確保數據安全的原則,建設60余平方米數據中心虛擬容災機房,具備實時備份系統數據和集中統一管理的功能,滿足各類系統擴展性和可靠性要求。
2.1.3市縣網絡擴容建設。按照河南省電力公司要求,單獨配置雙千兆路由器,配置雙核心千兆交換機,實現與三門峽供電公司的聯網帶寬達到2*100M,市縣APN備用通道1*10M,省公司至縣局VPN聯網帶寬1*100M的目的。
2.1.4實現內外物理隔離。對邊緣配線間進行改造,加裝樓間層防水防潮裝置,采用防鼠技術措施。對內網和外網采取平行布線模式,終端用戶主機雙配置,實現完全物理上的內外網分離。
2.1.5擴容后備電源。中心機房增設10kVA不間斷UPS電源,與蘭州大學聯合開發了蓄電池除硫裝置,當市電供電系統出現停電或電池容量不足時,以短信形式向維護人員發送告警信息,極大地提高了其設備的維護效率和系統運行安全性,延長UPS電源的使用壽命。
2.1.6從低壓電源側、通信線路、通訊設備及網絡設備全方位、多層次部署機房三級防雷系統,有效地防止雷擊對機房內設備所產生的危害。
2.2軟件添翼“助翼雙翅”。
2.2.1終端用戶防護。按照《國家電網公司信息化“SG186”工程安全防護總體方案》,對信息內外網部署北信源桌面終端標準化管理系統,實現桌面終端安全訪問、安全接入,硬件資產全生命周期應用等功能,桌面終端標準化管理系統級聯至市公司,實現桌面運行監測及相關考核指標的標準化,安裝率達到100%。
2.2.2防病毒防御系統安裝。全網桌面終端安裝Nod32防病毒軟件,安裝率達到100%。對危害桌面終端安全的惡意軟件和功能時刻保持著高度警惕。桌面終端安全系統、智能防御系統等級提升。
2.2.3補丁系統完善。通過標準化的管理流程實時為桌面終端提供標準、最新的補丁漏洞信息及數據更新服務。定期自動從互聯網獲取操作系統軟件廠商的補丁,在仿真的網絡環境中嚴格測試認證后,確保補丁安全,再將安全的補丁分發到實際網絡環境中的計算機終端,并可以進行相關的補丁分發行為控制和流量管理,在簡化人工干預的同時,確保終端系統的安全和網絡的穩定。
2.2.4市縣聯動安全措施。三門峽供電公司部署網管軟件,定期對縣局的終端設備掃描檢測內網安全漏洞,豐富安全技術手段,為縣局信息安全管理提供支撐。同時依據《關于企業使用正版軟件通知》要求,與知名廠商簽訂購置正版操作系統供應協議。省市縣三級所用桌面終端安裝了國網公司下發的正版軟件,增強了基礎層業務應用穩定性和數據的安全性。
2.3管控結合“促力騰飛”。
2.3.1“引教結合”,強化安全管理。通過文件、公告、會議、信息安全競賽等多種渠道,大力宣傳保障網絡與信息安全的重要性。組織信息技術人員和信息員進行網絡與信息安全技術培訓和現場宣貫。對關鍵崗位人員進行全面、嚴格的安全審查和技能考核,對在信息系統安全工作中做出顯著成績的單位和人員應給予獎勵和表彰,對違反國家法律、法規和澠池縣電業局有關規定,造成一定不良影響和后果的,追究其責任。這些措施的實施,使全局范圍內從上到下統一了思想、明確了認識,強化了全員網絡與信息安全意識。
2.3.2強化系統運行維護管理。對信息網絡與系統運行狀況等進行監測和報警,定期對監測和報警記錄進行分析,根據需要采取必要的應對措施。建立安全管理中心,對安全設備、惡意代碼、補丁升級、安全審計等安全設施進行集中管理。嚴格按照有關信息系統事故調查規定,及時報告信息系統事故情況,認真開展信息系統事故原因分析,堅持“四不放過”原則,有效落實整改,確保類似事故不再發生。
2.3.3強化移動存儲規范化管理。移動存儲設備集中授權分發,數據交換前必須通過正確的身份認證,符合密碼復雜度身份認證策略,記錄數據交換過程的工作日志,便于以后進行跟蹤審計,非授權的移動存儲介質,在工作環境不可用。利用信息保密、訪問控制、審計等技術手段,對移動存儲設備實施安全保護,登記存儲信息資產、日志記錄、審計記錄和信息不能被移動存儲設備非法流失,實現存儲設備信息安全的“五不”原則,即:進不來、拿不走、讀不懂、改不了、信不丟。
2.3.4強化弱口令管理。根據“信息安全通報”、“信息安全反違章”檢查的結果,結合其實際,進行全面的信息系統弱口令專項治理工作[2]。對系統本單位及局屬各部門的桌面計算機,信息應用系統、操作系統、中間件和數據庫系統等用戶的訪問賬號及口令進行徹底排查,對不符合口令要求的用戶及系統下發相應的通知,使其進行限期的整改,杜絕信息系統泄密事件的發生。
2.3.5強化安全接入管理。通過在網絡中部署相應的網絡安全檢查策略,確保用戶滿足身份認證的要求,同時用戶的終端設備必須達到一定的安全和策略條件,才可以通過網關設備接入到網絡中并獲得相應的訪問權限。一方面驗證了用戶的身份,避免了非法用戶接入到網絡中,限定了用戶的訪問權限;另一方面也避免了存在安全隱患的終端系統的接入,可以大大消除蠕蟲病毒對網絡系統以及承載的業務所帶來的威脅和影響,實現幫助客戶發現、預防和消除安全威脅的目標。
2.3.6強化保密工作管理。管理嚴格執行“不上網、上網不”紀律[3],重要工作資料不得在外網計算機上留存,嚴禁在信息外網上傳輸、處理涉及國家秘密和澠池縣電業局秘密的信息。嚴格信息系統安全工作人員錄用過程,審查其身份、背景、專業資格,及時終止離崗員工的所有訪問權限。嚴格外部人員訪問程序,對允許訪問人員實行專人全程陪同或監督,并登記備案。
2.3.7強化運行通報管理。為進一步做好信息安全保障工作,定期對信息安全工作進行統計分析,在月報中透明的體現信息安全運維工作,使全體員工及時掌握信息系統的運行情況,更好的為生產經營業務服務,澠池縣電業局每月《澠池縣電業局信息化工作簡報》對當月信息安全運維工作的整體情況進行統計分析。每月一期《澠池縣電業局網絡與信息安全運行月報》,對當月網絡與信息安全運行情況進行統計分析。信息安全運行通報制度的執行,使全體員工對信息安全運維工作有了了解的途徑,增強了全員信息安全意識。
2.3.8強化系統上下線管理。加強應用系統的管理審批流程,形成閉環管理。新建信息系統涉及安全防護措施建設時,明確安全需求,確定安全等級,結合澠池縣電業局安全防護總體策略,進行安全防護方案設計。嚴格規范系統變更、系統重要操作、物理訪問和系統接入申報和審批程序,建立健全變更管理制度。保證所有與外部系統的連接均得到授權和批準,并進行必要的安全隔離,配置嚴格的訪問控制策略,開展必要的安全評估[4]。
2.4激活人力資源,提升管控空間。
2.4.1搭建核心保障體系。成立以科技信息副局長為組長的信息安全保障體系領導小組,各部門負責人為領導小組成員,對澠池縣電業局整體信息安全保障體系工作進行全面督導。領導小組下設工作小組(辦公室設在信息中心),具體負責協調、執行實現信息安全保障策略的各項工作,本單位各部門設有兼職信息管理員,負責配合本單位本部門信息安全保障體系的協調、執行。
2.4.2開展兼職信息員建設,發揮信息管理員潛能。在全局各部門設立兼職信息管理員36名,部門兼職信息管理員由各部門既通曉業務、又熟悉計算機知識的人員擔任,職責為進行基礎性的運維工作、信息安全宣傳、督導與檢查和整改工作。信息員管理以安全員的標準按照專業化管理思路統一管理,設立有合理的薪酬標準及詳細的管理制度,每月定期召開信息安全會議,按月開展信息技術培訓,嚴格執行各種業務考核和工作安排,不斷強化責任心和業務能力,形成全局齊抓共管的局面。
2.4.3績效考核與控制。為保證市縣信息安全保障體系的正常運轉,明確職責分工,對工作項目和內容進行標準化、規范化管理,依據國網公司、省公司等上級單位的相關要求,修訂完善了《澠池縣電業局信息網絡運行管理辦法》等11項管理規范及標準,進一步規范了信息系統運行管理,確保安全保障策略持續、穩步實施。
3結語
近年來,國網公司實施了覆蓋信息系統全生命周期的54項管理措施,立足國產化,積極探索自主可控安全管理模式,結合電網安全需求,加強頂層設計,對電網信息安全工作進行整體規劃,經過努力,澠池縣電業局在網絡信息安全保障策略的設計和實施中的經驗和做法,解決了縣級供電企業信息安全保障體系中存在的一些突出問題和安全漏洞,廣大員工在信息安全等重點環節,從制度執行、行為監控、防治體系等方面,有了穩步提升,總體來看,建成了電網信息安全等級保護縱深防御體系,為市縣一體化的安全、穩定運行提供了強有力的信息安全運行保障,達到了預期的效果和目的。
參考文獻
[1]國家電網公司信息系統安全管理辦法[Z].北京:國家電網公司,2011.
[2]國家電網公司信息網絡運行管理規程(試行)[S].北京:國家電網公司,2003.
[3]國家電網公司信息安全風險評估管理暫行辦法[Z].北京:國家電網公司,2011.
[4]國家電網公司信息系統建轉運實施細則[Z].北京:國家電網公司,2010.
--------------------
作者簡介:趙江華(1978—),男,河南省三門峽市澠池縣人,高級工程師,主要從事電網調度管理、光纖通信工程項目建設及網絡應用方面的研究。
信息安全準則是風險評估和制定最優解決方案的關鍵,優秀的信息安全準則包括:根據企業業務目標執行風險管理;有組織的確定員工角色和責任;對用戶和數據實行最小化權限管理;在應用和系統的計劃和開發過程中就考慮安全防護的問題;在應用中實施逐層防護;建立高度集成的安全防護框架;將監控、審計和快速反應結合為一體。良好信息安全準則可以讓企業內外部用戶了解企業信息安全理念,從而讓企業信息管理部門更好地對風險進行管控。
2企業信息安全管理的主要手段
2.1網絡安全
(1)保證安全的外部人員連接。在日常工作中,外部合作伙伴經常會提出聯入企業內網的需求,由于這些聯入內網的外部人員及其終端并不符合企業的信息安全標準,因此存在信息安全隱患。控制此類風險的手段主要有:對用戶賬戶使用硬件KEY等強驗證手段;全面管控外部單位的網絡接入等。
(2)遠程接入控制。隨著VPN技術的不斷發展,遠程接入的風險已降低到企業的可控范圍,而近年來移動辦公的興起更是推動了遠程接入技術的發展。企業采用USBKEY,動態口令牌等硬件認證方式的遠程接入要更加的安全。
(3)網絡劃分。在過去,企業內部以開放式的網絡為主。隨著網絡和互聯網信息技術的成熟,非受控終端給企業內網帶來的安全壓力越來越大。這些不受信任的終端為攻擊者提供了訪問企業網絡的路徑。信息管理部門可以利用IPSec技術有效提高企業網絡安全,實現對位于公司防火墻內部終端的完全管控。
(4)網絡入侵檢測系統。網絡入侵檢測系統作為防火墻的補充,主要用于監控網絡傳輸,在檢測到可疑傳輸行為時報警。作為企業信息安全架構的必備設備,入侵檢測系統能有效防控企業外部的惡意攻擊行為,隨著信息技術的發展,各大安全廠商如賽門鐵克,思科等均研發出來成熟的入侵檢測系統產品。
(5)無線網絡安全。無線網絡現在已遍布企業的辦公區域,給企業和用戶帶來便利的同時也存在信息安全的隱患。要保證企業內部無線網絡的安全,信息管理部門需要使用更新更安全的協議(如無線保護接入WPA或WPA2);使用VLAN劃分和域提供互相隔離的無線網絡;利用802.1x和EAP技術加強對無線網絡的訪問控制。
2.2訪問控制
(1)密碼策略。高強度的密碼需要幾年時間來破解,而脆弱的密碼在一分鐘內就可以被破解。提高企業用戶的密碼強度是訪問控制的必要手段。為避免弱密碼可能對公司造成的危害,企業必須制定密碼策略并利用技術手段保證執行。
(2)用戶權限管理。企業的員工從進入公司到離職是一個完整的生命周期,要便捷有效地在這個生命周期中對員工的權限進行管理,需要企業具有完善的身份管理平臺,從而實現授權流程的自動化,并實現企業內應用的單點登陸。
(3)公鑰系統。公鑰系統是訪問控制乃至信息安全架構的核心模塊,無線網絡訪問授權,VPN接入,文件加密系統等均可以通過公鑰系統提升安全水平,因此企業應當部署PKI/CA系統。
2.3監控與審計
(1)病毒掃描與補丁管理。企業需要統一的防病毒系統和終端管理系統,在終端定期更新病毒定義,進行病毒自掃描,自動更新操作系統補丁,以減少桌面終端的安全風險。此類管控手段通常需要在用戶的終端上安裝客戶端,或對終端進行定制,在終端接入企業內網時,終端管理系統會在隔離區域對該終端進行綜合評估打分,通過評估后方能接入內網。才能保證系統的安全策略被有效執行。
(2)惡意軟件防控。主流的惡意軟件防控體系主要由五部分構成:防病毒系統;內容過濾網關;郵件過濾網關;惡意網頁過濾網關和入侵檢測軟件。
(3)安全事件記錄和審計。企業應當配置日志審計系統,收集信息安全事件,產生審計記錄,根據記錄進行安全事件分析,并采取相應的處理措施。
2.4培訓與宣傳提高企業管理層和員工的信息安全意識,是信息安全管理工作的基礎。了解信息安全的必要性,管理層才會支持信息安全管理建設,用戶才會配合信息管理部門工作。利用定期培訓,宣傳海報,郵件等方式定期反復對企業用戶進行信息安全培訓和宣傳,能有效提高企業信息安全管理水平。
3總結