企業信息安全應急預案范文
時間:2023-12-28 17:58:07
導語:如何才能寫好一篇企業信息安全應急預案,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。
篇1
關鍵詞:安全管理管理信息系統危險源辨識
煤炭企業的安全問題根源何在?如何解決呢?我們認為關鍵在于預防,而預防需要體系。有效的預防來自完整的體系,建立整體的安全管理體系包括全面的規劃、及時的信息收集、流程化跟蹤處理、多角度的對比分析,通過建立安全資源規劃、安全教育、安全指標體系、監控檢查、分類、評估、控制與治理、分析的管理鏈,實現動態優化的安全預防過程管理。
煤礦自然條件差,災害多、煤礦數量多,大、中、小并存,差異大、煤礦機械化程度低,安全技術裝備不足、煤礦從業人員結構復雜,綜合素質差,管理落后。
目前,我國煤礦的安全管理主要是由管理人員憑主觀意志和經驗進行工作,管理技術和手段落后。這種管理模式,由于受管理人員的知識、經驗和責任心的限制,很難適應礦井災害事故的復雜多變條件,這也是煤礦災害事故多發的原因之一。為此,下面探討如何將安全管理系統應用于煤礦企業的安全管理中。
一、安全管理信息系統分析及設計
按照管理信息系統的研制過程,筆者首先對多家生產企業進行了調研,總結出現有安全管理系統之癥結所在,(主要是安全管理中作為決策依據的信息流通不暢,如果不改變信息的收集方式、渠道及處理周期,這個問題就無法解決)從而得出關于項目目標的比較明確的認識。根據事故控制的基本模式,在系統設計時,要考慮幾個信息反饋回路,而以下兩個基本回路尤為重要。
其一:制表(安全檢查表)檢查(工作崗位)隱患評價打印(整改通知)有關部門整改(工作崗位)
其二:隱患總庫制表(安全檢查表)檢查發現新隱患(新隱患)存檔總庫
因此,系統應按如下方式運行:
首先,通過危險源辨識發現來自各分廠工段的事故隱患,經過匯總、分析后,輸入安技部門的中心計算機,并分別建立了兩個事故隱患檔案:一個是按不同的崗位來分的事故隱患檔案,安全檢查表的制訂就是以它作為依據;另一個是按其所屬的不同的專業部門來分的事故隱患檔案,它是用來區分事故隱患的類型,以便制訂出各種專業報表,發送至各專業部門。各個不同崗位的安全檢查表通過計算機打印出來后,發送至各生產崗位。工作人員依表進行安全檢查,發現事故隱患后,及時通過網絡系統反饋回安技部門的信息管理中心,進行匯總,建立當前事故隱患檔案。再根據按專業分隱患檔案對其進行分類匯總,制訂出各種不同專業報表,再通過網絡系統發至各專業部門,指導其進行事故隱患整改。
如果,在當前事故隱患檢查中發現未列出的新事故隱患,則把它存入事故隱患檔案(包括按崗位分和按專業分事故隱患檔案)不斷增加內容,因此,安全檢查表的內容也隨之豐富。當前事故隱患檔案的建立,是為了實現對各專業部門進行的隱患整改情況的跟蹤監督。通過與當前事故隱患檔案中情況的對照,可發現以前的事故隱患是否已得到整改,從而采取相應措施。
在系統中,建立以上三種事故隱患檔案之后,還可建立傷亡事故檔案,以及危險作業崗位工作人員的素質、崗位安全教育培訓檔案等。
二、系統的應用說明
1、危險源辨識
危險源辨識是建立安全信息管理系統的基礎,也是建立此系統的第一步。進行危險源辨識工作時,不僅要分析以往發生的傷亡事故資料,還要參照來自系統外部的其它有關信息資料。危險源辨識,應掌握下列幾項內容:
1)生產設備本質安全化水平,設計缺陷及作業環境缺陷;
2)人機匹配問題;
3)事故嚴重度和發生概率;
4)事故可能發生的模式及波及范圍預測。
按此要求進行危險源辨識,再輔以系統安全分析方法,即可找出各種潛在的事故隱患,從而為安全檢查表的制訂和隱患的整改工作打下基礎。
2、信息管理系統
主要是指設在安技部門的中心計算機信息管理系統。
1)模塊設計
該系統的模塊設計包括兩個方面:數據存貯設計和處理過程設計。
數據存貯設計主要是確定存貯的內容和文件的組織方式。它包括各種檔案文件的建立及分類。
處理過程設計主要是把模塊分為四類:輸入匯總、查詢、打印報表和復制。
系統主控模塊由下述多個功能模塊組成,在菜單提示下調用子程序執行其功能。
2)程序編制
在本系統中,編程使用的語言主要是中西文FOXBASE2.1+,從數據庫語言本身的優點看,FOXBASE2.1+是開發本軟件非常合適的語言,而且在我國普及很廣,對漢字系統的要求也不很嚴格,具有很強的適應性和可移植性。系統升級也很容易,用FOXBASE語言編寫的程序可不做任何修改而直接在FOXPRO系統下運行。且可編譯成.EXE文件,直接在DOS下運行,加強了系統的保密性和裝載速度。
3、安全檢查
安全檢查是安全管理信息系統成敗之關鍵。安全檢查表依據從危險源辨識和系統安全分析(主要是事故樹分析)得到的事故隱患檔案確定。因而其內容全面、客觀、具有嚴格的科學性。要求設計崗位檢查內容各異,表格形式通用的安全檢查表,同時融安全檢查和設備點檢的要求于一表,以減輕工人負擔。檢查表的主要內容包括:檢查項目,檢查內容(包括其它新的內容)及標準,檢查結果(包括備注)以及檢查人和檢查日期。各危險崗位的工作人員和安全員應嚴格按照檢查表進行檢查,及時將事故隱患反饋給安技部門。如果發現的事故隱患已由工作人員或車間內部自己解決,也需記入檢查表內,并注明已得到整改。
4、隱患整改
隱患整改是安全管理信息系統的最后實施體現,前面所做的一切都是為實施隱患整改創造條件,而隱患整改才是系統起作用的極為重要的手段。
應該建立以安技、設備動力、生產、運輸、保衛五個專業部門為主體的隱患整改機制,凡屬于設備、電氣方面的信息,直接由設備動力部門解決,交通車輛事故隱患由運輸部門解決,這種按系統管理,分級負責的方法有利于充分發揮各專業部門的安全生產責任及其積極性。
安技部門的信息管理系統,分系統、按職責將事故隱患制成各種專業報表,通過安全管理信息系統網絡,及時反饋到有關部門的終端上。
篇2
1 引言
隨著計算機和網絡通信技術的快速發展,信息技術越來越多地被應用于銀行各項業務,銀行可以為客戶提供“3A”(Anytime,Anywhere,Anyway)服務,信息技術在給業務辦理帶來巨大方便、高效的同時,也帶來了極大的信息安全隱患。從一般概念上來講,網絡信息安全主要指網絡信息的完整性、保密性、可用性、真實性和不可抵賴性。但是銀行作為一個特殊的機構關乎國家經濟命脈和人民生活,銀行信息安全自然非常重要,它是指銀行信息系統的軟硬件資源及其數據受到嚴格保護,不受惡意的或偶然的原因而遭到更改、破壞、泄露,系統可持續穩定可靠地運行,信息服務不間斷。銀行信息安全是銀行業務開展的基礎,是銀行經營穩健運行的保障。
2 我國銀行信息安全的現狀
自1998年3月6日,中國銀行業務系統第一次成功辦理電子商務交易,從此開始了中國內地網上銀行業務發展的序幕。近年來,我國銀行業的信息系統經歷了地震、泥石流等各種各樣的考驗,充分說明了我國大陸銀行業信息系統建設取得了一定成績,同時監管層也頒布了《金融機構計算機信息系統安全保護工作暫行規定》、《關于進一步加強銀行業金融機構信息安全保障工作的指導意見》等政策法規。目前,各大銀行已經意識到網絡信息安全的重要性,成立了信息安全專門管理機構,并在信息安全管理機構內養一些專業人才,并增加了信息安全的投入。
雖然中國銀行業在信息安全建設方面取得了佳績,但是銀行信息安全危險依然存在,銀行信息安全保障依然不能忽視。據了解,國內網絡犯罪案件呈現逐年上升的態勢,其中銀行信息安全方面的犯罪率達到了60%以上。據互聯網新聞報道,2009年上海農商銀行信息系統出現故障,區域內大量營業網點無法正常辦理業務;2010年2月3日中國民生銀行網絡信息系統出現長達4小時的系統故障,全國范圍內無法辦理業務;2014年2月支付寶員工在信息系統的后臺下載了大量客戶信息有償出售給其他電商公司。上述事件嚴重影響了人民的利益,對金融企業的形象和聲譽造成了極大的負面影響,充分暴露出銀行業機構在網絡信息安全領域有較大隱患,不容小覷。
3 銀行信息安全存在的問題
銀行信息安全系統的建設是一個龐大復雜的工程,大部分工作牽扯到銀行業務管理水平和信息安全技術,目前無論從系統管理的角度還是從安全技術水平的角度,銀行信息安全方面都存在著較多問題,下面從這兩個方面展開論述。
3.1 從業務管理的角度看銀行信息安全存在的問題
⑴對信息安全的認識不到位,信息安全的意識觀念薄弱
銀行業的信息安全問題,首先是意識和觀念的問題。不管是管理層還是底層員工,能認識到網絡信息安全的重要性,熟悉信息安全的基本內容和具體工作要求是非常重要的。人們往往認為信息安全的核心安全性取決于核心技術,其實這種思想是錯誤的,信息安全首先取決于基本規范的實施和安全手段的應用。
⑵重視信息安全產品的投入而忽視管理投入,應急預案不完備
網絡信息安全投入不完全是安全產品和工具的投入,還應包括操作流程、應急處理機制策略等方面的投入,還必須配套與安全產品有相適應的過程管理機制。建立合理的流程管理機制需要投入,這些投入與安全體系的完整性有著緊密的聯系,否則報警無人處理、入侵無人響應,效果并不理想。應急預案的覆蓋范圍必須足夠廣,制定規范性、系統性應急預案并進行實踐檢驗,部分應急預案的制定與銀行實際工作情況沒有關聯,側重于應急預案的形式,而不注重應急演練實踐檢驗,極少有銀行機構做到模擬真實場景進行應急演練和評估風險。
⑶銀行缺少信息安全管理的復合型人才
金融管理離不開管理方面的人才,金融企業信息安全管理需要復合型人才,這種復合型人才必須熟悉計算機和網絡技術,又要懂銀行業務流程和信息安全風險防范知識。目前,這種復合型人才還比較少。各大銀行的信息安全專業技術人員大部分都是畢業于計算機或相關專業,他們對計算機專業知識相對比較了解,但是對銀行業務的工作流程和信息系統潛在威脅的把握還不夠。
3.2從專業技術角度看銀行信息安全存在的問題
⑴銀行使用的軟件安全性比較弱
由于計算機應用軟件是銀行內部信息的載體,所以軟件本身的質量相當重要。目前銀行業務系統的軟件體系,包括項目管理系統和軟件開發生命周期都只注重軟件功能、開發速度和市場,很少考慮安全的需要。現在發現管理和技術上存在的安全威脅,主要出現在應用軟件安全設計上。
⑵系統漏洞和信息泄密
所謂漏洞一般是指系統設計開發人員在軟件開發的時候,故意設置的。這樣做的目的是為了保證銀行從業人員在某些特殊情況下失去系統訪問權限時可以順利進入系統,正是因這些軟件漏洞的存在,給銀行業務系統帶來了信息安全威脅,這樣就會造成信息的泄露。其次,銀行的內部職工最熟悉金融企業的計算機應用系統,他們知道那些操作能使計算機系統出現故障、損壞或泄密。某些時候金融企業裁員也可能導致計算機泄密,當裁員時某些系統賬號沒有及時刪除,也可能導致重要敏感信息的泄露。
⑶計算機黑客的惡意入侵
網絡黑客是一些具備較強計算機專業技術知識的愛好者,他們可以在他人無法察覺的情況下,利用計算機設備侵入一些重要行業的計算機系統,并從中獲的有價值信息或破壞信息系統。大多數的網絡黑客主要利用計算機軟件系統的漏洞來入侵信息系統,入侵方法高明且多種多樣,并且入侵手段更新速度也很快,從而使現有的計算機系統安全產品很難及時做出相應的預防,進而導致計算機網絡經常遭到網絡黑客的侵入。
⑷計算機病毒和木馬
計算機病毒是目前信息安全主要威脅因素之一,而且現在的計算機病毒千奇百怪,多種多樣。計算機病毒是一些計算機愛好者刻意編寫的程序代碼,具有類似于生物病毒的破壞性、傳染性、隱蔽性等特點。為了保證銀行計算機網絡系統的安全運行,應重視防范病毒。另外還有就是木馬程序,木馬程序是一種由攻擊者悄悄安裝在受害人計算機上的竊聽及控制程序,通常包括控制端和被控制端兩個部分,被控制端程序通過網絡或其他介質植入受害人計算機,控制端程序則安裝在不法分子的計算機設備上,利用控制端遠程的和被控制端傳送數據,以竊取受害人計算機上的資源,盜取個人信息和各種重要敏感數據,給單位和個人造成相當大的損失。
⑸災備措施不完善和基礎設施故障
銀行的災難備份和恢復能力必須進一步加強,中國銀行業的災備系統類型比較單一,覆蓋面還較小,尤其缺乏系統的災難恢復方案。正因為這些情況的存在,導致了各種各樣的自然災害發生后,無法立刻啟動應急預案并快速切換到備份系統,所以才會出現長達數小時的信息服務中斷。計算機基礎設施可以說是任何計算機系統安全運行的保障,當基礎設施出現故障后,勢必會造成信息服務的中斷,同時這種情況的發生是不可預知的。基礎設施的出現故障的原因比較復雜而且多樣化,具體包括服務器電源故障、網線老化、通信中斷等。
4 銀行信息安全風險的應對策略與建議
從以上關于我國銀行信息安全問題的分析可以知,構建一套可行的銀行信息系統安全保障體系和方法,加強防范信息安全風險勢在必行。因此,應做好以下方面的工作。
⑴認真做好相關專業人員的安全意識教育,而且常抓不懈
銀行內部比須加強信息安全監管和懲戒力度,明確法律責任,將信息安全的責任落實到每個相關人員,出現問題誰負責追究誰,將違規操作的可能性降到最低。對于銀行而言,任何的數據和客戶信息都非常重要,必須有嚴格的保密規定,但是常常在實際工作中出現這樣那樣的小問題,因此要強化內部員工的安全意識教育和信息安全基礎知識培訓,此項工作必須常抓不懈,然后將相關內容整理成冊,定期的學習考核。必要時,有機會接觸重要信息的員工在進入崗位之前必須做出書面承諾,保密承諾要包括重要信息的范圍以及泄密需要承擔的相應責任,使每一個能接觸重要信息的人員明確信息泄露的危害。同時通過培訓,提高所有參與管理的人員信息安全和風險防范意識,關鍵是要重點培養信息安全的業務骨干。
⑵建立與災備體系相適應的應急管理機制,兩者缺一不可
日常生活中突發事件是不可預知的,尤其是各種各樣的自然災害,其破壞力比較大。如果銀行能事先把預防措施做到位,做到防患于未然,就可以最大限度地減少經濟損失,保證人民財產不受損失,保障國家經濟安全運行。首先是要建立完善的應急預案機制,有針對性的強化應急演練,對各種自然災害事件進行全面有效的風險評估,分類制定科學的應急方案,開展接近于實際情況的模擬應急訓練,及時評估應急演練的效果,做到突發事件發生時無死角,有的放矢,同時通過應急演練檢驗應急預案的實用性、合理性、可行性。接下就是建立與應急機制相適應的災難備份恢復系統,提高業務可持續性。大型的銀行要積極建設“兩地三中心”,中小型銀行可以考慮選擇災難備份外包服務,使銀行具備抵御火災、地震、暴雨等自然災害的能力。全面促進業務系統的連續性,著實增強銀行防范風險能力。
⑶加大銀行信息安全復合型人才的培養力度,拓寬培養渠道
任何科技工作都必須以人才為重心。為了徹底清除銀行信息化建設中的障礙,切實保障金融企業信息安全,各大銀行要大力培養信息安全復合型人才。首先根據各單位信息安全的人員結構和知識結構,在強化信息安全專業知識教育的同時,還要兼顧計算機專業知識和金融業務知識的培訓,而且此項工作必須長期堅持,做好人才儲備。在人才培養的同時還要與實踐相結合,在學習各類信息安全知識的前提條件下,組織參與培訓專業人員針對信息安全制度進行實踐檢驗。
⑷敏感重要數據務必加密,同時安裝殺毒軟件
首先,加密是確保信息安全的關鍵技術之一。越來越多的數據要求銀行的業務系統在選擇加密方式時要盡可能的有多種數據防護需求,在已有的加密方式下,多模加密技術是較好的選擇。多模加密技術是將非對稱加密算法(如RSA)和對稱加密算法(如DES和AES)相結合,在確保數據安全的同時,其多模的特性可以根據需求選擇對稱或非對稱加密方式。另外防范計算機病毒最有效的措施就在銀行的各類計算機系統中安裝正版的防病毒軟件,力爭做到病毒防范無死角無遺漏,并且確保殺毒軟件能實時更新病毒庫。對于新購置的軟件和類似于U盤的存儲介質,在使用前銀行員工須使用殺毒軟件進行全面的病毒掃描,確認安全之后方可使用。
⑸進一步推進銀行信息化技術法規和標準化體系建設
結合銀行信息化發展的實際需要,以各種方式協作,分層次和有序的加快銀行信息化技術規范和標準的建設進度。組織完善數據中心建設、數據存儲、網絡互連、安全加密、數據交換、安全認證、客戶服務方面標準的制定。對網上銀行、移動銀行、電子商務等創新產品和服務,制定與之相適應的標準和規范。同時,建立科學的監督策略,通過制度建設,強化技術標準和規范的執行強度。
篇3
一、電子政務建設取得階段性成效
(一)2014年我縣職能部門建立電子政務平臺37個,涉及黨政、教育、水務、醫療、金融、煙草、公共安全等多個方面。其中電信新開通平臺1個,聯通開通平臺4個,萬網工程建設外網平臺32個。
(二)移動公司完成了101條信息化專線建設。
二、城鄉信息化發展迅速
(一)2014年全縣新建基站119個,其中電信在、縣城等區域新建基站11個,移動投資1200余萬元建設基站61個,聯通建設基站47個,覆蓋全縣所有鄉鎮。
(二)為推動城鄉信息化發展,各通信服務企業紛紛出臺城鄉優惠政策,通過改造農村寬帶、話費優惠、話機促銷等方式,促進城鄉信息消費,提高城鄉信息化程度。其中移動公司投資600余萬元,完成63個小區寬帶、11個鄉鎮寬帶和25個農村寬帶建設。
三、“兩化融合”工作進展順利
(一)為更好進行“大社會”治安管理監控,我縣先后完成了21家大社會視頻監控項目,對56家煤礦企業進行實時監控。
(二)為做好全縣經濟運行分析工作,我縣將具有行業代表性的32家中小企業納入省中小企業生產經營運行監測平臺進行監測,為全縣經濟分析提供有效參數。
(三)為更好的服務于企業,提高企業生產、管理、銷售信息化水平,2014年我縣共為11戶企業建立移動信息基站。
四、園區信息化發展機制完善
(一)園區無線寬帶建設
無線接入網在公共區域采用最新的802.11n協議標準,實現300mbit/s的高速無線接入,全面實現移動辦公。
(二)骨干網建設
1、在有線接入網絡上采用pon和ftto接入,實現電話網、電視網、計算機網絡的三網融合。
2、在各單位內部采用塑料光纖建設以太局域網,通過千兆路由器上聯到園區ip骨干網,從而實現萬兆到園區,千兆到大樓,百兆到桌面的高速寬帶上網。
3、在園區機房建設匯聚路由器,實現對園區信息輸送的匯聚。
(三)電子商務
1、基于建設好的網絡承載平臺,以園區網站建設為龍頭,建設統一的數據交換平臺,發展統一的園區電子政務平臺,實現“陽光政務”。
2、通過園區網站的建設及與大型電子商務平臺的對接,為企業提供高端的電子商務平臺,同時嵌入主流物流平臺軟件,使園區的所有物流情況全部通過電子物流平臺實現指令傳送和過程監管。
五、信息化安全建設體系完善
(一)貫徹落實手機實名制
積極貫徹工信部手機實名入網相關文件精神,嚴格要求電信、移動、聯通三大電信運行商自9月起執行新用戶入網時必須登記實名信息。通過手機實名制的推進,有利于杜絕非法使用手機通訊現象,促進我縣的通訊事業健康發展。
(二)園區信息安全建設
1、采用mpls-vpn功能的olt設備,為園區企業提供端到端服務,為建設vpn網絡提供極大方便,增強了園區企業內部網絡安全性。
2、在園區環形骨干光纜的多物理路由保護下,實現對入駐企業內部網絡的多路由保護。
3、在園區匯聚路由器的前端安裝硬件防火墻,加強園區企業信息安全。
(三)認真開展通訊行業應急工作
根據省、市、縣通訊保障應急工作安排,由我局牽頭對縣域三大通訊公司進行通訊應急工作檢查,重點查看應急預案,車輛配備,應急器材保養等情況,對不符合規范的情況責令整改,要求三大運營商在保障日常通訊的同時,配備專人開展應急通訊工作,維護相關器材,確保在大災大害等特殊情況下的通訊暢通。
六、2014年工作計劃
(一)積極推進企業“兩化融合”工作
1、促進園區企業綜合信息平臺建設,實現信息資源優化配制,節約企業運行成本。
2、選擇雙星茶業、好牛旺食品公司、同心木業等行業代表企業開展電子商務應用示范,充分發揮其輻射和示范作用。
(二)加快推進電子政務建設工程
推進全縣政務外網網絡基礎設施的改造升級,進一步完善網絡結構,打造全縣黨政機關各部門信息共享、數據交換的政務外網統一平臺。
(三)加強信息安全
完善和落實《網絡與信息安全應急預案》,提高我縣處置網絡與安全突發公共事件能力,確保重要計算機信息系統的實體安全、運行安全和數據安全。
篇4
對許多企業、人來說,往往要等到遇上了天災人禍,才會想起保險的好,人們對于信息安全的認識也是如此,就連保險業也不例外。中國保險監督管理委員會處長李春亮在今年春天的一次保險業會議上表達了他對保險業信息安全的擔憂:“目前保險業的信息化建設滯后于信息安全形勢的發展。”
他表示:近年來,經濟和金融領域的信息安全事件不斷發生,保險業是信息密集型企業、行業,保險信息系統作為國家重要信息系統之一,目前信息安全基礎還比薄弱,安全意識有待于提高,信息安全保障體系還不完善,還面臨著嚴峻的挑戰。
經過幾年的建設,保險業信息化走過了最初的電子化和后來的數據大集中,絕大部分保險公司實現了業務、財務數據處理的全國集中,部分公司完成了業務數據的省級集中或實現了省級業務處理的集中。基本完成了大集中的保險公司和機構下一步該怎么走下去?首先當然是信息整合,對數據質量的控制和數據資產的利用,這是數據大集中自然而然的要求。另一項重要的工作則是維護信息安全,以保障集中后的龐大系統穩定運行。
其實,自信息化建設初期起,保險機構和公司就應該著手信息安全工作,但是,由于意識上的不重視,不出事就不會想起的常人思維,直到大集中的完成,他們才覺悟從技術和管理上采取最優的安全措施至關重要。
特級重要性
作為以信息處理,數據管理,金融保險服務為核心的保險企業,其信息系統面臨的主要威脅也是病毒、網絡攻擊、網絡犯罪、系統設備的損壞和各種自然災害。但是眾所周知,不論是商業保險還是社會及醫療保險,保險期短則一年半載,多則幾十余年,因此,每個訂單涉及的時間很長,這就意味著,這種電子化的訂單可能需要一直保持幾十年,這幾十年的數據都必須要保存,數據何時何地發生更新都需要記錄。一旦信息系統發生問題或者故障,保險企業損失的將不只是金錢,還有信用甚至可能是生存。另外,從競爭的角度來看,保險企業的客戶數據都是屬于高度的商業機密,一旦泄露出去將會給競爭對手以可趁之機。
所以,除了在日常運營中完善信息安全基礎設施,信息安全管理的各項制度、規定,開展信息安全教育培訓和宣傳等工作外,保險企業還需要有抗風險和應急反應能力,以保障業務的連續性。這一點也是保險企業信息安全的重要內容。
2001年發生在美國的“9?11”事件教育了全世界的企業:如果天災人禍降臨,你得公司是否能夠生存下來就要看你是否之前就進行了有效的災備工作。作為對安全最為敏感的行業之一,保險業更是積極投入了大量的人力物力來提高自己的抗風險能力。據統計,目前,我國超過50%的保險公司開展了災難演習或制訂了災難演習工作計劃,中國平安建立了上海數據備份中心,部分公司正在建設異地災備中心或計劃建設異地災備中心。
政府支持
保險公司積極建設災備中心和加強各項安全管理的背后,是國家和政府對于保險信息安全的重視和支持。
中國保監會出臺了一系列保障信息安全的措施,比如制定并下發了《保險機構計算機系統重大系統性故障突發事件應急預案》、《保險信息系統應急協調預案》以及《關于做好保險信息系統災難備份工作的通知》,轉發了國信辦《重要信息系統災難恢復指南》,并與國信辦、國家網絡與信息安全信息通報中心建立了聯系、溝通、通報機制。
另外,中國保監會在督促各保險機構重視信息安全保障工作上也積極行動:首先明確了信息安全保障工作的主管領導,落實了責任部門,設立信息安全管理的專門崗位,有效地加強了信息安全保障工作的組織領導;其二,加強了信息安全相關的制度建設,目前各保險機構參考國內外相關技術標準,基本建立了信息系統安全、網絡安全、機房安全制度。
篇5
關鍵詞:綠色;通信網絡;電力企業;信息安全
中圖分類號:TN915.08
2014年的通信行業將仍延續之前的光明景氣,但行業整體的利潤規模縮小,可見利潤的上升空間較大。眼下,4G牌照的發放正是得益于產業鏈發展如日中天的東風和政策性支持的充分肯定,使2013年的通信行業出現了新的經濟增長點。基于此,可以預想,未來的通信行業及其相關行業的發展勢頭將一片大好。
1 通信網絡與信息安全的關系
通信網絡完全是國家信息安全建設的重要內容,所以電力企業信息安全與之有著密切聯系。通信網絡安全,就是將數據和信息被攻占的可能性降至最低,這些信息時電力企業的經濟命脈,若是出現安全問題,將帶來不可估量的經濟損失。而通信網絡在電力信息化建設過程中扮演著三大角色:不同性質計算機應用系統的信息網絡公共平臺的提供者;通信技術資源的開發、維護和管理者;與業務管理相關的計算機應用系統的開發、建設和使用者。
電力企業的正常運行和經營管理都離不開通信網絡系統,它不僅承載企業內部的電力調度數據網絡系統,而且承載著網絡的互聯網連接,確保其安全性是電力企業信息安全建設的重中之重,電力企業信息安全性在很大程度上決定著電力生產控制系統的安全性。所以,電力企業要加強綠色通信網絡體系的構建,做好等級保護、風險評估以及安全備份等工作,全面提高通信網絡安全的應急能力和風險規避能力,提高通信網絡安全的管理水平,為電力企業的可持續發展奠定堅實技術基礎。
2 構建綠色通信網絡的必要性
目前,大部分企業依然采用普通網絡進行信息互動,盡管也具有一定的安全性,但信息被盜的安全問題卻時有發生,之所以會出現這種現象,主要是由于:計算機應用系統自身的開放性、互動性和共享性;新型計算機病毒的不斷出現與傳播;商用軟件源代碼的公開化問題;上述這三大方面對電力企業的信息安全造成了巨大威脅,所以必須要加以重視。電力企業必須通過構建綠色通信網絡系統,將信息安全風險降至最低,為了實現這一目標,首先要做好構建完善安全機制和不斷加強技術創新。
首先,構建立體化、層次化的安全管控體系。電力企業要想全面提高通信網絡的技術安全水平,就要加強現有資源的優化整合,提高通信網絡系統的自修復能力、應急能力和安全備份能力,具體來講,就是要提高通信網絡系統在安全漏洞自發現與修復、全程事件監控和分析、網絡安全態勢的綜合分析、網絡安全的高效管理以及安全配置的集中管控等方面的水平。由于所涉及反面比較廣泛,所以要構建與之相應的安全技術體系。
其次,加強IP承載網的安全優化設計,利用安全管理中心來提高綠色通信網絡系統的安全性。加強對普通計算機應用系統的管控,并在實際管理和使用過程中,加強對相關技術人員的安全教育,提高他們的保密意識和技術能力,盡量將安全風險降至可控制范圍內的最低。在管理方面,要加強長效的安全管理機制的構建,確保網絡管理人員及時到位,構建完善的安全評估和應急體制,等等。特別需要提出的是,為了提高系統應急能力,必須要構建完善的安全應急處理協調機制,加強應急預案體系和應急指揮體系的構建,全面加強應急隊伍和技術保障建設。要做好基礎信息網絡建設、重要信息安全備份和安全應急處理工作,一旦出現安全故障,要確保在最短時間內加以解決,將風險和損失降至最低。
3 規劃綠色通信網絡的四步驟
規劃綠色通信網絡系統是電力企業信息建設的重要前提和基礎保障,具有非常重要的現實意義。為為了實現這一目標,不僅需要嚴格遵守電力系統的相關規定,而且還要嚴格遵循相關的技術標準,所以,要想實現綠色通信網絡的科學規劃,需要立足于傳送網絡層和業務網絡層,加強所用設備的檢查、巡視與監控,確保信息系統安全穩定運行,強化信息通訊安全保障,主要做好以下幾個方面的工作才可以:
3.1 做好業務網絡規劃。具體來講,就是對提供不同業務的網絡加以科學規劃,包括數據網、移動通信網和計算機網等核心業務網絡。業務網絡規劃在綠色通信網絡系統構建中具有重要作用,是電力企業實現信息化的關鍵環節。電力企業要在既有業務網絡的基礎上加強安全建設,靈活利用各種手段加強對安全技術人員和管理人員的業務培訓,提高電力企業業務系統的技術能力和安全意識,確保各大業務系統的正常運作。
3.2 做好傳送網絡規劃。具體來講,就是構建完善的業務技術支撐體系,對交換機、無線網絡、移動網絡和服務器等進行規劃。目前,國家對信息安全問題日益重視,而電力企業信息系統的安全建設也開始提上日程,如何加強傳輸網絡層的規范化和標準化,已經成為通信領域的一大課題。根據通信網絡系統對信息傳輸安全性、保密性和規范性的要求,電力企業要實現對信息傳輸的實時監控,強化網絡管理人員的保密意識,避免管理人員將重要信息外泄的非法操作現象出現,確保信息傳輸的安全性。
3.3 做好安全保障規劃。具體來講,就是通過成立專門的組織機構,明確各科室信息人員及時處理設備故障的工作,及時處理信息通信出現的突發事件。堅持“誰主管誰負責,誰運行誰負責,誰使用誰負責”的原則,完善各項防護措施,加強運行管理,開展防病毒、防攻擊、防破壞等安全防范工作;開展全方位的通信網絡隱患排查和治理工作,做好基礎設備防火、防盜及電源檢查與保障工作;建立特巡機制,重點監控網絡設備、重要應用系統與數據庫等;加強網絡通道保障機制,對值班人員提出密切監控的嚴要求,發現問題及時解決,全面保障通信網絡安全。
3.4 做好基礎設施規劃。具體來講,就是對計算機、服務器等硬件設施的規劃,這些硬件設施是確保通信網絡系統正常運作的前提。在信息系統中,服務器承載量非常大,在信息傳輸過程中數據的處理工作量也急劇增長,只有實現對路由器的實時監控,定期檢查路由器故障,加強基礎設施建設力度,才能確保其企業通信網絡系統的安全運作。此外,為了構建長效綠色通信網絡系統,還要對網絡安全預防、網絡綜合化等因素加以全面考慮,在做好信息傳送網絡層和業務網絡層規劃基礎上,積極采取有效的安全預防措施,以便盡快實現綠色通信網絡系統構建的信息化建設目標,實現電力企業的可持續發展。
4 結語
現代通信網絡日益呈現多元化發展,數字化、寬帶化和智能化已經成為必然趨勢,做好網絡規劃和綠色通信網絡系統構建,不僅可以確保電力企業的信息安全,而且還可以創造良好的社會效益和經濟效益。所以,電力企業必須加強對綠色通信網絡系統的構建,全面提高企業信息技術創新能力和信息安全管理能力,將企業的信息安全風險降至最低,全面提高電力企業通信網絡系統的安全防護能力和安全管理水平。
參考文獻:
[1]張禮莉.淺析電力企業信息網絡的安全及防范措施[J].通訊世界,2013(11).
[2]郭建,顧志強.電力企業信息安全現狀分析及管理對策[J].信息通信,2013(03).
[3]李艷.綠色信息通信網絡中的節能減排技術應用[J].數字技術與應用,2013(08).
篇6
ITS,一場持久戰——寫在第十八屆智能交通世界大會召開之際
我們如何趕超美國?
多義性路徑識別問題探討
業界動態
企業信息
智能交通產品數據庫
基于國標DSRC的多車道自由流應用系統設計
多車道自由流不停車收費中DSRC設備技術與應用
高速公路電子不停車收費系統的管理和維護
電子不停車收費交易區域測量
ETC交易過程扣款應答報文丟失現象淺析
高速公路站亭嵌入式自動發卡系統設計方案
高速公路聯網收費信息速查表的研發與應用
高速公路治超不停車檢測與收費聯動系統應用
單稱臺與多稱臺動態計重方式的數據分析
IC卡圖像存儲技術在防逃費系統中的應用
高速公路突發事件應急預案的軟件實現
長江隧橋綜合監控系統信息的實現
超速監測系統在長大隧道中的應用
更快,更低碳——記京津冀區域高速公路聯網不停車收費系統開通
窗外是收獲的季節——寫在《中國交通信息化》編輯部被評選為全國交通運輸行業文明示范窗口之際
路網何以變通衢?——聚焦路網監測與服務
主線收費站通行能力保障措施
漢十高速公路機電系統整合實踐
使主動維修更科學
高速公路智能化系統工程項目管理
中國交通信息化贈閱申請表
業界動態
企業信息
智能交通產品數據庫
ETC防跟車干擾問題解決方案
高速公路改擴建收費系統改造
收費系統車道技術柜改造
無人值守自動發卡機工作流程分析
安徽省高速公路收費數據分析
數學形態學邊緣檢測抗噪車牌定位系統
省域高速公路視頻聯網控制系統研究
襄荊高速收費監控系統雙網升級改造
廣深高速聯網視頻監控系統技術方案
一個不斷升級的平臺——2009全國高速公路收費站長、隧道所長及機電維修系列研修班側記
走出招投標怪圈——寫在《關于進一步加強公路工程施工招標評標管理工作的通知》一周年之際
高速公路路橋公司指揮調度中心運行要則
高速公路安全服務管理系統研究
業界動態
企業信息
智能交通產品數據庫
太陽能車載電子標簽OBU的設計應用
安徽省ETC系統的架構與建設
復式收費模式提升通行效率的應用分析
基于車牌識別的快速路OD信息采集技術
重慶高速公路監控系統的設計與應用
高速公路跨省隧道監控系統設計
構建基于統一網管平臺的高速公路監控系統
情報板聯網信息在高速公路中的應用
基于綠色能源的交通檢測系統的硬件實現
現代通訊技術在高速公路客服系統中的運用
光纜線路故障點的查找與定位方法
篇7
在信息全球化的影響下,網絡已經對人們的生活產生出了極為深刻的影響。因此,人們對網絡環境下的信息安全問題也開始更加關注。在長期的發展過程中,人們將網絡比喻成了一把雙刃劍,雖然存在著較大的優勢,但是其問題也不容小覷。在企業中運用網絡,在促進企業發展的同時,也很容易造成企業中的信息出現泄漏的現象,且一旦信息泄漏,就會造成嚴重的影響。
1 企業中信息安全的重要性
企業想要實現長遠的發展,就要保證自身信息上的安全,同時還要認識到信息安全的重要性,從長遠的角度上出發來保護好信息。企業想要實現發展,就要做好基礎性的工作,完善基礎設施建設,建立出完善的信息安全保障系統,在健康的網絡環境下來實現長遠的發展。隨著科學技術的不斷發展,云計算、大數據以及互聯網等將引領著未來IT的發展[1]。
2 做好企業信息安全建設的措施
對于企業信息安全來說,是一項系統性的工程,并需要在技術與管理上做好相關工作,這樣才能保證信息的安全。因此,在實際中就要認識到技術在信息安全管理中的重要性,同時還要完善系統的管理工作,發揮出應有的作用與效果,同時還要做好風險評估與技術創新等工作,以此來保證企業中信息的安全。
2.1 安全風險評估
隨著網絡的不斷發展,信息的種類也開始逐漸增多,這樣所產生的問題也在不斷的增多,并呈現出了越來越厲害的趨勢,所以也就使得人們開始思考籌劃信息系統的過程中,為了保證系統的健康營運而建造出全面的安全保障系統。通過對目前的應用系統進行分析與評估等工作是實際可行的辦法。因此,在實際中企業中的信息系統根據風險管理的方法來對可能存在的風險以及需要進行保護的信息進行分析,以風險評估為最終結果來選擇出適當的措施,應對好可能出現的風險。企業只有對安全風險進行有效的評估,才能夠結合實際問題進行科學合理的分析,采取有效的措施避免風險出現。
2.2 實際技術上的創新與管理
時代的發展是建立在創新基礎之上的,只有實現不斷的創新,才能實現更好的發展。因此,在技術不斷創新的影響下,就要提高其質量,保證效益,建立出以市場發展為基礎的創新機制。對于企業來說,想要在行業市場競爭中占據一席之地,就要做好創新工作,全面實現創新理念,認識到制度創新是技術創新的基礎,構建出完善的管理體系,提高程序以及方法上的科學性,同時還要保證財力上的支持,實現技術的改進與創新[2]。
首先,要做好技術上的創新。想要保證信息的安全,就要制定出信息的搶救措施,如進行數據恢復、備份以及銷毀等安全預防措施。普遍采用的恢復技術有HD Doctor等。對于網絡的正常運行來說,安全是最基礎的,想要保證網絡的安全,就要從多個層面上出發來進行立體保護。同時還要明確怎樣進行防護,掌握風險的來源。因此,在實際中就要對網絡安全風險進行評估,并將重點放在安全測試評估技術上。其目標是要掌握好相關的技術,完善的測評流程,健全風險評估的體系。
其次,完善管理措施。在長期的發展過程中,企業中的信息化建設開始從戰術地位向著戰略地位的方向發展了。因此,就要從經營戰略的層面上出發,將信息化建設與企業中的經營戰略結合在一起,在環境分析的基礎上來制定出發展戰略,及時對企業中的信息化綱領進行調整。同時還要明確的是要在滿足企業發展戰略的基礎上來明確企業中的信息化愿景。第一,建立出完善的管理制度,明確管理的方案,以及安全服務等方面的內容,從企業自身的實際情況上出發沒離開選擇可以保證企業自身信息安全的產品。第二,建立出運維管理制度。在這一制度中要包含安全監控、設備設施的安全以及應急預案的處理等方面。第三,將監督檢查機制落實到實際中去。通過對各項制度的實際情況進行檢查,可以保證企業中信息的安全[3]。
2.3 充分運用防火墻技術
在網絡信息安全的管理中,防火墻技術屬于一項較為有效的安全技術,能夠按照特定的規則,從而來允許以及限制數據的通過。現今很多企業都廣泛應用防火墻技術,以此來保證自身企業的信息安全。并且防火墻自身具有很強的抗攻擊性,不會被病毒所控制。防火墻能夠有效防止黑客訪問用戶的及其,以此來組織黑客拷貝篡改用戶的信息,以此來保證信息的安全。同時防火墻技術能夠將內部的網絡進行劃分,從而來將重點的網段進行隔離,以此來對其進行保護。另外,一些防火墻技術也會支持互聯網服務特性的企業內部構建網絡技術體系,也即是所謂的VPN,VPN會將全球的LAN以及電子網進行整合,從而來專用通信線路,實現資源的共享。
3 結語
總的來說,想要保證企業中的信息安全,就要堅持從信息安全技術與做好內部管理工作上出發,通過安全技術的支撐來提高內部管理工作的效果,同時還要落實管理與監控工作,加強信息安全教育,建立出完善的管理制度,提高安全管理的水平。
篇8
關鍵詞:網絡安全;問題分析;對策探討
1前言
隨著互聯網、大數據、云計算時代的到來,特別是隨著網絡個人信息的增多,以及公眾對網絡資源的依賴,網絡安全對用戶信息(包括個人財產安全)產生嚴重的威脅和影響,信息安全問題已成為制約企業跨越性、可持續發展的重要因素。為此,正視網絡信息安全,從信息安全現存問題入手,分析問題的成因,制定具體的應對策略,從而營造一個安全穩定的網絡環境,是當前企業信息建設的一項重要任務。信息安全涉及網絡通信、密碼技術、中端設備、數據傳輸與運用等諸多學科,是一項綜合性應用課題。廣義上說,有關網絡信息保密性、完整性、真實性、可控性的技術和理論,都是網絡信息安全所關注和研究的領域。在實際應用中,網絡信息安全更多地指向構成網絡閉環的硬件、終端傳輸及其系統中的數據,如何使這些數據資源不受偶然(或者惡意)的原因破壞、失真、更改或泄露,確保系統連續可靠、正常有序地運行。
2主要問題分析
就國內企業(包括國內大型國企)而言,由于受到我國整體信息技術水平的限制,其網絡信息建設無論是硬件還是軟件,都存在嚴重依賴國外技術的問題。以通信芯片和操作系統為例,我國在自主創新上還存在較大差距。如智能手機的操作系統,華為雖啟用自主研發的“鴻蒙系統”,但國外操作系統的壟斷局面還較為普遍。2018年,據相關機構的統計數據,我國國內智能手機使用美國谷歌公司安卓系統的產品占了89.3%。信息安全體系建設,不只是用信息安全產品搭建起一個信息“堡壘”,更重要的是要建立一套完善的、自成體系的信息安全制度。正如“瑞星殺毒軟件”安全專家指出的,“只有有形的產品和無形的制度相互配合,才能避免核心機密被類似‘棱鏡’項目所窺視。”從目前網絡信息安全所暴露的問題看,有三個方面的因素常常引發網絡信息安全危機。
2.1自然因素(或偶發因素)引起網絡信息安全問題
主機系統和終端設施遭受自然力的破壞,如:自然災害(地震、水災、風暴、建筑物損毀等)對計算機網絡構成威脅;電源故障、設備失常、能耗崩潰等一些偶發因素,對計算機網絡構成威脅。
2.2管理應用疏漏造成網絡信息安全問題
如用戶在網絡應用過程中,因安全意識松懈、規章制度不全、管理水平低下、操作環節失誤、人為瀆職積弊等對網絡安全造成威脅。網絡信息具有寬域開放的特征,信息采集、儲存、傳輸、應用過程中的任何疏忽,都有可能造成泄露、失真等信息安全隱患。近年來,智能終端等移動互聯設備更新速度驚人,新的開發應用層出不窮,各種“小程序”的出現令人眼花繚亂。而在實際應用過程中,企業或個人均存在“盲目跟風、自由購買、隨意使用”現象,網絡信息安全形勢日益嚴峻。例如,假如用戶將具備聯網功能的智能手機,接入已連接涉密網關的辦公計算機,其目的雖是給手機充電,卻無意中等于讓該智能機同時聯接了互聯網,進入了涉密網絡空間,由此給他人植入電腦病毒帶來空隙和機會。
2.3安防體系建設滯后釀成的信息安全問題
多年來,人們習慣于依賴安裝殺毒軟件來保障網絡安全,但由于沒有構建嚴密的防護體系,系統管理不嚴、人員操作不當和黑客入侵引發的系列安全問題始終未能有效解決。目前看,雖然在開發環節對操作系統的安全設置已予較高重視,并為用戶設置了一定的自具式防護,但是因網絡黑客手段不斷升級,操作系統本身的安全漏洞和缺陷,往往在“防不勝防”中逐漸被黑客所破解和攻擊。其次,在實際使用過程中,防火墻只能抵御一般性的網絡攻擊,一旦遇到升級版本的計算機病毒,將無法形成對系統的保護。這些先天性的、不可避免的漏洞和局限,將給網絡信息安全造成嚴重影響。從數據資源看,數據庫中的海量數據和關鍵信息,其中有些涉及個人隱私,有些則是涉及資金安全的重要信息。數據庫的安全防御措施顯然尚未建構起密不可破的層層“天網”,一旦遇到網絡入侵,難以形成對數據信息的有效保護。
3對策建議
3.1要普及網絡安全知識,營造信息安全環境氛圍
網絡信息安全教育是保守國家涉密、實現信息安全的根本,也是做好網絡信息安全的基礎和前提。這就要求各級組織高度重視,切實增強自身網絡信息安全的意識和素質,領導帶頭學,業務人員主動學,自覺成為信息安全的排頭兵,成為工作中的行家里手,形成自我學習、自我教育的良好氛圍;通過共同參與、主動防范,端正思想認識,營造一個良好的網絡信息安全氛圍。
3.2要強化安全監管,健全網絡信息安全體系
網絡信息安全建設是一項系統工程,需要完善的工作機制與高效的管理體制,籍此推動網絡信息安全的健康有序發展。從企業信息化建設需求看,首先,要完善頂層設計,明確單位信息安全建設的總體思路和指導思想,細化信息安全的實施步驟、標準要求,建立網絡信息安全框架協議與制度規范。其次是科學規劃,理清職責,構建科學的管理體制,包括對所在單位的編制體制進行有機整合,合理調整信息從業人員的科學分工,從而理順管理體制,明確各自職責,推動網絡信息安全工作的高效運行。
3.3要優化安防系統,完善信息安全應急預案
及時更新防病毒軟件,完善具有遠程安裝、報警和集中管理的有效功能;建立內網認證系統,實現訪問控制、身份識別、機密性、不可否認服務等;建立病毒防控機制,禁止在網上隨意下載的數據往內網主機復制,禁止在聯網計算機上隨意使用來歷不明的存儲設備;緊盯網絡信息系統安全檢測設施和手段的發展前沿,提高網絡信息安全檢測監控技術,完善網絡信息系統安全防護手段,提高網絡信息安全技術和產品的檢測評估能力;加強網絡安全威脅評估,做到及時預警、預案完備、應對措施得當,對可能發生的網上意外,可能引發的輿情危機進行預測,做好預案,防止意外狀況發生。
3.4要理順信息安全管理機制,加強網絡信息安全研究
應理清網絡信息安全建設的總體思路,細化信息安全防范的實施步驟與標準要求,完善網絡信息安全框架協議和制度規范。網絡信息安全是一項系統工程,要確保其高效有序的運行,需要完善工作機制,順暢管理體制。企業各部門要通力合作,各司其職、各負其責,共同推動信息安全建設的健康、有序發展。目前,國家層面已經成立了國家安全委員會,這對企業網絡信息安全建設起到了積極促進作用,但在運行機制、制度保障等方面,還需各企業(用戶)進一步優化和完善。其著力點應放在“跨域融合”上,即立足于國家安全的全局,平衡好各方利益沖突,融合好各部門的利益訴求,研究解決好信息發展與跨部門、跨領域、超越局部利益、短期利益的瓶頸問題。要高度重視網絡信息安全管理存在的多頭管理、職能交叉、重復建設問題,擬訂網絡信息系統的建設、使用、管控具體實施細則,明確責、權、利約束,破除“有利益就上,有問題就讓”的積弊。要緊跟信息技術發展,加快發展網絡信息安全檢測和監控技術,完善網絡信息系統完全防護手段,提高對網絡信息安全技術和產品的檢測評估能力。
3.5要廣攬人才,建立一支網絡信息安全隊伍
當前,國內外各大企業對網絡空間的安全問題越來越重視,并將網絡空間視作未來企業競爭的主要手段和利益空間。對于確保網絡空間安全問題,各企業的做法、手段不盡相同,但建立一支有規模、結構優、素質良的專業網絡空間安全隊伍,已是各企業、各從業人員的一致選擇。因此,確保企業在網絡空間的話語權與運行自由,必須建立一支網絡空間信息安全隊伍,包括落實國家網絡安全人才戰略,提升各類人員的安全意識和能力,加強網絡信息安全專業人才的教育培訓等。要創新人才培養模式,優化教學環節,在學歷教育、職業培訓方面共同發力,通過規模化培養,解決網絡信息安全人才不足的問題,填補信息安全細分領域人才缺口。目前,信息安全人才評價標準的難點,在于不能用同一把尺子,用傳統的人才評價方式來對其評價和衡量,因此,建立全面、系統的網絡信息安全人才評價標準,應作為我們穩定隊伍的重點來抓。
3.6要加強合作,共建安全、開放的網絡空間
篇9
【關鍵詞】電力企業;網絡信息化
【中圖分類號】TM73
【文獻標識碼】A
【文章編號】1672-5158(2012)12-0016-01
1 電力行業網絡與信息安全工作開展情況
2000年以來,我國相繼發生了“二灘電廠停機事件”、“故障錄波器事件”、“邏輯炸彈事件”、“換流站病毒感染事件”等多起電力行業網絡與信息安全事件,造成了不同程度的事故影響,威脅到了電力系統安全穩定運行,同時也暴露出了我國電力行業在網絡安全接入方面、安全生產管理方面、人員信息安全培訓等方面存在薄弱環節。
針對類似電力信息安全事件,2002年,原國家經貿委第30號令《電網和電廠計算機監控系統及調度數據網絡安全防護規定》,對電網和電廠計算機監控系統防護提出了要求。國家電監會成立后,對電力二次系統及網絡信息安全防護明確提出了“安全分區、專網專用、橫向隔離、縱向認證”的總體防護策略,并制定印發了《電力行業網絡與信息安全信息報送暫行辦法》、《電力行業網絡與信息安全應急預案》、《電力行業網絡與信息安全監督管理暫行辦法》等一系列管理辦法,使電力行業網絡與信息安全防護的理念更加系統化、具體化,增強了可操作性,電力行業網絡與信息安全防護工作進入了實質性建設階段。
2 目前我國電力信息網絡的現狀
(一)信息化網絡基本形成多年來我國一直非常重視電力行業信息化建設。從目前狀況來看,電力企業信息化建設硬件環境已經基本構建完成,硬件設備數量和網絡建設狀況良好,無論是在生產、調度還是營業等部門都已實現了信息化管理,在網絡硬件方面,基本能夠保證電力行業工作的正常運轉;在軟件建設方面,也實現了包括調度自動化系統、生產管理信息系統、營銷信息系統、負荷監控系統及各專業相關在內的應用系統設施。電力系統網絡化的實現,對保證安全生產、節能消耗、降低成本、縮短工期、提高勞動生產率等起到了促進作用。
(二)信息安全仍然存在不可忽視的問題、雖然網絡系統已經基本形成,但是信息安全還不盡樂觀,主要表現在信息網絡安全還沒有涉及到各個領域,其發展也是不平衡的。有的電力企業對信息的安全重視不夠。如很多電力企業的網絡系統還沒有防火墻,有的甚至沒有數據備份的概念,更沒有對網絡安全做統一長遠的規劃,因此,電力企業網絡中存在許多隱患。這種安全意識的淡薄,具體工作的不到位,導致了網絡信息系統的不完善,給網絡的安全帶來了很多的不利因素。可以說,目前我國電力系統信息安全體系還不完備,缺乏統一的信息安全管理規范。
(三)對電力系統信息網絡的投入不足從目前我國電力行業網絡信息的綜合情況看,國家對電力行業信息化管理的投入還不均衡,特別是對邊遠地區的投入還有待加強。與電力行業其它方面的硬件投入相比,對網絡信息的投入也不夠。這就需要加大投入,以建立一個統一安全的信息網絡,以保證電力系統安全。
(四)電力行業的軟件開發還不到位由于經費不足等種種原因,軟件開發還沒有細化。如很多單位的數據庫數據和文件都停留在明文存儲階段,以明文形式存儲的信息存在泄漏的可能,拿到存儲介質的人可以讀出這些信息,黑客也可以繞過操作系統,從數據庫管理系統的控制處獲取信息。再如,用戶身份認證基本上采用口令鑒別模式,而這種模式很容易被攻破。還有的應用系統使用自己的用戶鑒別方法,將用戶名、口令以及一些安全控制信息以明文的形式記錄在數據庫或文件中,這種脆弱的安全控制措施在操作人員計算機應用水平不斷提高、信息敏感性不斷增強的今天風險特別大。以上種種情況,究其原因,還是電力軟件開發得不夠所致,目前的軟件還不能完全適應形勢的需要和工作的需要。這是個亟待解決的問題,如果這個問題解決不好,會導致大的問題出現。
3 加強電力行業網絡信息安全的措施
(一)提高認識,強化信息化安全教育信息網絡如何能使用安全,很大程度上在于工作人員的認識程度。安全意識和相關技能的教育是企業安全管理中重要的內容,其實施力度將直接關系到電力企業安全策略被理解的程度和被執行的效果。如何能保證網絡信息的安全,一個重要的措施就是廣泛地進行信息管理人員的培訓。為了保證安全的成功和有效,電力行業的管理部門應該及時對企業各級管理人員、用戶、技術人員進行安全培訓,所有的企業人員必須了解并嚴格執行電力企業安全策略,要讓各級信息管理人員,重點是了解和掌握企業信息安全的整體策略及目標、信息安全體系的構成、安全管理部門的建立和管理制度的制定等。負責信息安全運行管理及維護的技術人員,重點是充分理解信息安全管理策略,掌握安全評估的基本方法,對安全操作和維護技術的合理運用等。只有這樣,才能保證電力網絡信息系統的安全操作。
(二)采取措施,提高信息網安全防護技術水平一是對網絡防火墻高度重視。防火墻是電力企業信息網絡的唯一出口,所有的訪問都將通過防火墻進行,不允許任何繞過防火墻的連接。因此,做好這一通道的把關尤為關鍵,應該對這方面的技術重視起來,研究出更高水平的防護軟件,以適應信息網安全工作的需要。二是對入侵檢測系統高度重視。要部署先進的分布式入侵檢測構架,保證電力企業信息系統的安全檢測。入侵檢測系統要采用攻擊防衛技術,要具有高可靠性、高識別率、規則更新迅速等特點。三是對網絡隱患掃描系統高度重視。掃描網絡設備包括:服務器、工作站、防火墻、路由器、路由交換機等。掃描結束后生成詳細的安全評估報告,采用報表和圖形的形式對掃描結果進行分析,可以直觀地對用戶進行安全性能評估和檢查。四是對數據加密系統高度重視。要通過文件加密、信息摘要和訪問控制等安全措施,來實現文件存儲和傳輸的保密和完整性要求,實現對文件訪問的控制。對通信安全,采用數據加密,信息摘要和數字簽名等安全措施對通信過程中的信息進行保護,實現數據在通信中的保密、完整和不可抵賴性安全要求。五是對數據庫安全高度重視。要通過數據存儲加密、完整性檢驗和訪問控制來保證數據庫數據的機密和完整性,并實現數據庫數據的訪問安全。總之,網絡信息的安全技術對維護網絡信息的真正安全尤為重要,因此這方面的工作需要加強。
(三)加大力度,建立統一的信息網防護體系
一是要保證信息管理工作人員體系的相對穩定。防止網絡機密泄露,特別是注意人員凋離時的網絡機密的泄露。二是完善軟件和硬件管理體系。主要是指各種網絡設備,網絡安全設備的安全策略,如防火墻、物理隔離設備、入侵檢測設備、路由器的安全策略管理要切合實際。三是要注意信息介質的安全管理。主要是備份的介質要防止丟失和被盜,報廢的介質要及時清除和銷毀,特別要注意送出修理的設備上存儲信息的安全。
篇10
【關鍵詞】信息系統 外包安全 外包安全管理模式外
隨著信息化技術在日常工作中的不斷普及,信息系統運維已經成為信息化工作中最重要的組成之一,信息系統運維涉及數據庫、中間件、硬件、存儲等多個方面的專業知識,而企業內部信息化工作人員不足,專業技術能力欠缺,為保證信息系統良好、順暢運轉,需要專業化程度較高的運維服務,即信息系統運維外包服務,聘請專業技術人員對系統數據庫、中間件等各個環節進行運維,隨著信息系統運維外包范圍的不斷擴大,信息系統運維外包造成的信息安全隱患及信息安全事件不斷增加,做好信息系統運維外包安全工作便成了信息化運維工作的重中之重。
1 信息系統運維外包安全管理模式分析
我們先簡單分析一下常見的運維外包安全管理的模式,隨著信息系統運維外包范圍的不斷擴大,信息系統運維外包安全管理主要由簡單管理模式、制度管理模式和混合管理模式三種。
1.1 簡單管理模式
主要依靠“人盯人”和運維工程師的自律實現,即指定專門人員陪同并監督運維工程師的具體操作,要求運維工程師嚴格遵守職業道德,達到信息系統運維外包安全管理的要求。
簡單管理模式的優點是管理成本小,管理過程簡單,不需要配備專門的技術人員;存在的問題主要有可操作性不強和管理效果不佳兩方面:
(1)由于陪同人員的業務素養不足、技術深度不夠、運維過程監管不足等原因,使得“人盯人”方法對信息系統運維外包安全管理可操作性下降,存在造成系統運維外包安全事件的隱患。
(2)信息系統運維外包工作開展過程中,基本依靠運維工程師的自律和職業操守來實現信息系統運維安全管理,難以達到信息系統運維外包安全管理要求,影響運維安全管理效果。
1.2 制度管理模式
通過運維安全制度規范運維商和運維工程師的行為,降低運維風險,實現信息系統運維外包安全管理。在運維合同簽訂過程中明確運維安全管理制度,并其簽訂運維保密協議,共同建立違反制度的處罰機制,明確約定處罰內容,在運維工程師入場工作之前先宣布管理制度和懲罰機制,用以約束其運維操作。
制度管理模式的優點是管理成本小,管理過程較為簡單,管理體系相對成熟;存在的問題主要有管理可操作性不強和屬于事后管理兩個方面:
(1)運維管理制度的執行情況不易監控,可能造成管理制度、保密要求和懲罰機制形同虛設,不能夠有效地發揮作用,降低運維系統安全管理的可操作性。
(2)制度管理模式屬于事后管理范疇,即只能在事故發生后按照管理制度、保密協議和處罰機制進行追責,且追責過程中提取相關證據較為困難,追討損失過程較為復雜。
1.3 混合管理模式
通過制度和運維安全管理設備(如堡壘機)相結合進行信息系統運維外包安全管理,即在制度管理模式的基礎上,增加運維管理設備,該設備具有操作命令記錄、操作過程錄屏、操作權限管理、訪問范圍管理和訪問時效管理等幾個基本的功能,實現對信息系統運維外包安全的有效管理,
混合管理模式的優點是管理的可操作性強,管理體系較為成熟,屬于對信息系統運維過程既有事前、事中管理,又有事后審計管理;存在的問題主要有管理成本較大和管理過程復雜兩個方面:
(1)運維安全管理設備需要單獨購買且需要專人進行維護,這加大了企業信息系統運維安全管理的成本。
(2)運維安全管理設備需要依據實際運維情況進行配置變更,要求設備管理人員充分了解企業網絡架構、業務系統構成等內容,結合運維人員的實際情況進行操作權限、訪問范圍、訪問時限等內容的管理,使得信息外包安全管理過程變得較為復雜。
2 信息系統運維外包安全隱患分析
依據對信息系統運維外包安全管理模式的分析,信息系統運維外包存在以下幾點隱患:
2.1 信息系統運維外包造成泄密
隨著企業日常工作對信息化的依賴不斷加大,企業銷售、財務、人力資源等重要信息均通過信息系統進行管理,如果對信息系統運維外包過程管理不嚴,極有可能造成重要數據泄密,對企業的發展壯大和日常工作開展造成影響。
2.2 外包工程師操作失誤造成信息系統癱瘓
運維工程師技術水平良莠不齊,如不對外包工程師的運維操作進行嚴格規范,有可能由于操作不謹慎或誤操作造成重要信息數據丟失、損壞,導致信息系統異常,甚至造成信息系統癱瘓,影響正常業務開展。
2.3 外包工程師在信息系統中植入病毒或預留后門
部分外包工程師由于利益驅動在信息系統中植入病毒或預留后門,方便其日后獲取信息系統的各類資源和數據,造成信息系統運行隱患,甚至導致企業觸犯國家相關法律、法規,給企業造成名譽或經濟損失。
2.4 運維外包造成過度依賴
大量信息系統運維外包,造成企業內部信息化機構學習意愿下降,專業技術素養增長緩慢,發生突發事件且運維商無法及時到場,可能造成信息系統長時間停止服務,甚至長時間癱瘓,影響企業正常業務,給企業造成經濟損失。
3 信息系統運維外包安全管理方法
針對信息系統運維安全隱患分析中提到的問題,我們從強化運維過程管理、加強操作風險管理、降低系統運行隱患、增強事件處理能力等四個方面進行分析,發掘出信息系統運維外包安全管理方法,用以提高信息系統運維外包安全管理水平。
3.1 完善制度管理,增加硬件保障,強化運維過程管理
(1)系統運維管理制度是信息系統運維外包安全管理工作的基礎,只有擁有科學、完整、自成體系的管理制度,才有可能真正的做好信息系統運維外包安全管理工作,而制度的建立是一個長期的動態過程,即針對新的技術和管理要求要及時修訂制度,將其納入管理范疇,確保制度能夠完全覆蓋信息系統運維過程,同時認真落實制度,使其充分發揮規范運維商和運維工程師的作用,否則完善的制度僅僅是“一紙空文”。
(2)建立并認真執行安全事件懲罰機制,簽訂信息安全保密協議,加大對運維商運維過程中發生事故的處罰力度,提高運維商在出現事故后的處理成本,能夠促使運維商主動加強對其人員的管理,減少信息系統運維安全事故的發生機率。
(3)引入運維安全管理類設備(如堡壘機),加強對運維人員運維過程的管理,該類設備能夠全面記錄運維操作、統一分配運維權限、細化管理訪問范圍和精確控制運維時效等方面的功能,屬于信息系統運維事中管理和事后審計設備,充分利用該類設備的各項功能,對運維工程師運維操作情況進行有效規范、記錄,確保對運維工程師的操作“有跡可尋”。
3.2 規范運維操作,擬定應急措施,加強操作風險管理
(1)運維工程師在進行重要操作(如數據庫參數配置等)時必須出具書面告知書,經雙方簽字確認后方可進行操作,告知書中至少應包括操作內容、涉及信息系統、預計完成時間、可能出現的風險及風險等級預估。
(2)針對預估等級較高的風險應充分預估發生機率、影響范圍等內容,擬定應急措施,確保及時解決。
(3)制定回退方案并預留充足的回退時間,針對運維過程中發生的不可預期或難以解決的問題,確保能夠及時回退,保證信息系統正常運行。
3.3 測評系統安全,定期掃描漏洞,降低系統運行隱患
(1)運維工程師對信息系統進行升級后,及時聘請擁有安全評估資質的第三方進行應用系統安全評估,評估后出具有效的評估報告,依據評估結果要求運維商進行整改,直至所有問題被解決。
(2)定期對網絡設備、服務器操作系統等進行漏洞掃描,有效防止系統被植入病毒或預留后門,針對新發現的漏洞及時聯系運維商進行處理,確保信息系統安全運行。
3.4 提升業務素養,組織應急演練,增強事件處理能力
(1)通過專項業務培訓、自主學習等方法,不斷加強信息化工作人員業務素養,學習內容不僅包括數據庫、信息化設備硬件維護等專業知識,還應包括管理學、統籌學、統計學等方面的知識,才能真正做到“管的高效、管的明白、管的合理”,才能促進信息系統運維外包安全管理工作朝著正確的方向發展。
(2)強化應急預案演練工作,定期組織信息化應急預案演練。演練前認真籌備,擬寫演練方案,聯系運維上進行應急演練技術支持;演練過程中嚴格按照方案進行演練,切實提高演練效果;演練后針對演練中發現的問題及時匯總、總結,逐步提高信息化工作人員處理突發事件的能力。
4 結束語
信息系統運維安全管理工作是信息系統運維工作的重要環節,做好此項工作,即能使得信息系統得到更專業、更良好的運維服務,又能最大限度的保證企業數據安全,系統穩定運行。
