信息安全方針范文
時間:2023-10-09 17:29:58
導語:如何才能寫好一篇信息安全方針,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。
篇1
【 關鍵詞 】 網站;安全;應急;機制
Research About the Information Security Protection and Emergency Response Mechanism
in Anhui Earthquake administration Website
Chen Liang
(Anhui Earthquake Administration HefeiAnhui 230031)
【 Abstract 】 With the increasing application of computers and websites,the safety of websites becomes more and more important. This paper discussed the the website features and potential safety hazard,constructed a integrated website security protection system. Finally,it designed the emergency response mechanism procedure.
【 Keywords 】 website; security; emergency response; mechanism
1 前言
安徽省防震減災信息網(以下簡稱“網站”)是安徽省地震局實現政務信息公開,服務社會公眾和穩定社會秩序的重要渠道,網站的信息具有高度的權威性和嚴肅性。而地震行業的敏感及特殊性決定了防震減災信息網可能遭遇的突發事件龐雜、不可預測,如網站非法言論、感染病毒、網絡中斷、并發訪問堵塞、網站攻擊篡改等,其中后兩種突發事件造成的社會影響更加惡劣,應對能力的提高是解決問題的關鍵。
2008年5月12日汶川8.0級強震、2009年4月6日肥東3.5級地震發生后,網站訪問量驟然增加,網絡堵塞嚴重,信息部門緊急調配高性能服務器,將門戶網站轉移以便緩解。之后經聯系,省電信部門決定短期援助互聯網出口帶寬由10M升級至100M。近年來全球地震頻發,社會公眾關注度逐漸加深,對地震信息的需求越來越高,網站的正常運行和訪問、信息的即時都需要應急體系的支撐。
在網絡攻擊愈演愈烈的大環境下,政府門戶網站遭受攻擊的幾率越來越高。2008年5月31日、6月1日和6月2日,廣西防震減災網被黑客工具多次侵入,網站內容被惡意篡改,服務器全部數據被徹底刪除,網站癱瘓。時值汶川震后敏感時期,犯罪分子的地震謠言制造了社會恐慌,嚴重擾亂了社會秩序,危害了社會穩定。前車之鑒,嚴峻的現實表明,我局要高度關注網站的安全運行。
隨著網站的深入應用,網站的安全性問題也越來越得到人們的重視。國家及各級政府部門相繼出臺了一系列法律法規、文件精神,從政策角度對網絡信息安全進行規范和部署,確保政府網站的安全運行,各行業部門對本行業所可能產生的安全事件及相應的解決措施進行研究,并據此制定了本部門相應的網站信息安全應急預案。2010年1月12日百度公司網站突然無法訪問使得網絡安全問題引起了社會各界的廣泛關注,安徽省信息化主管部門省經濟和信息化工作委員會通過此事件清醒地認識到信息安全的極端重要性,已出臺《安徽省網絡與信息安全事件應急預案》,全力保障我省網絡信息安全。
綜上所述,為妥善應對和處置各種網站安全突發事件,確保網站和重要信息系統的安全可靠運行,研究網站應急響應機制,在此基礎上建立一套行之有效滿足安徽省防震減災信息網網站需求的應急預案是必不可少的措施之一。
2 網站特征及存在的問題
2.1 版塊多,更新不易
目前,網站新版本已上線運行。新網站采用PHP腳本語言編寫,數據庫使用My SQL進行管理。涉及頁面數量多,版塊塊類型豐富,不僅有震情、省局動態、直屬單位動態、市縣機構動態、行業動態、綜合減災等需每日更新的版塊,還包括監測預報、震災預防、應急救援、群團組織等需定期更新的業務版塊。有的信息需從后臺直接上傳,有的則需要進行網頁的編輯更新,豐富的內容需要組織較多人力進行更新。
2.2 部門多,協調不易
網站的管理主要包括網站信息、網站應用程序開發、功能升級、服務器運行和安全維護等工作。一般情況下,日常更新版塊由省局及市縣各所屬部門指定專人通過網站后臺上傳,辦公室進行審核后;定期更新版塊由各所屬部門提供審核后的信息由局網站技術人員上傳。網站應用程序開發、功能升級、服務器運行和安全維護則有局網站技術人員負責。參與網站管理的部門較多,需要完善的網站管理制度來進行管理協調工作。
2.3 內容多,備份不易
隨著網站版塊的增加和運行時間的延續,網站容量不斷加大,不能及時清理的垃圾文件也隨之增多。我局網站容量逐年增加,并還將有上漲的趨勢。如果今后沒有專門的設備和技術,網站的集中備份難度將很大。
2.4 人員多,管理不易
參與網站管理人員不僅包括省局各部門,還包括了大量市縣局、臺站的工作人員,變化快,網絡知識不足,很多管理人員會辦公自動化軟件的操作,但是普遍缺少網絡安全知識和安全技術,安全意識淡薄。
3 可能存在的網站安全隱患
3.1 客觀因素
(1)病毒。目前網站安全的頭號大敵是計算機病毒,它是編制者在計算機程序中插入的破壞計算機功能或數據,影響計算機軟、硬件的正常運行并且能夠自我復制的一組計算機指令或程序代碼。計算機病毒具有傳染性、寄生性、隱蔽性、觸發性、破壞性等特點。
(2)軟件漏洞。每一個操作系統或網絡軟件的出現都不可能是無缺陷和漏洞的。這就使我們的計算機處于危險的境地,一旦連接入網,將成為眾矢之的。
(3)黑客。電腦黑客利用系統中的安全漏洞非法進入他人計算機系統,危害非常大。從某種意義上講,黑客對信息安全的危害甚至比一般的電腦病毒更為嚴重。
3.2 人為因素
(1)安全意識不強。網站管理人員不在崗,用戶口令選擇不慎,將自己的賬號隨意轉借給他人或與別人共享等都會對網站安全帶來威脅。
(2)網站后臺配置不當。安全配置不當造成安全漏洞。例如防火墻軟件的配置不正確。對特定的網絡應用程序,當它啟動時,就打開了一系列的安全缺口,許多與該軟件捆綁在一起的應用軟件也會被啟用。除非用戶禁止該程序或對其進行正確配置。否則,安全隱患始終存在。
4 網站信息安全防護體系建設
4.1 防護體系設計
中科院劉寶旭等設計了一個基于模型的網絡安全綜合防護系統(PERR),該模型由防護(Protection)、預警檢測(Early warning & Detection)、響應(Response)、恢復(Recovery)四個部分構成一個動態的信息安全周期,同樣可以適用于我局網站信息安全的防護與應急工作。
4.2 防護體系建設
4.2.1安全防護中心
網站目前安全防護主要采用硬件防火墻、Webgard軟件防火墻、瑞星殺毒、清除木馬、360安全衛士及系統安全設置來進行日常的防護。
安全防護中心的主要職能是通過安全產品、技術、制度等手段,達到提高被保護網絡信息系統對安全威脅的防御能力和抗攻擊能力,同時,加強管理人員對信息系統的安全控管能力。其建設可從安全加固和安全管理兩個角度來考慮。通過對網絡拓撲結構的調整、系統配置的優化,并部署入侵檢測、防病毒、反垃圾郵件、身份認證、數據加密等安全產品和系統進行安全加固;通過制定管理制度進行安全管理,使用安全管理平臺等技術手段,統一配置管理系統中的主機、網絡設備及安全設備,增強監控能力,使其運轉更為協調,最大程度地發揮安全防護效能。
4.2.2安全預警檢測中心
網站目前安全檢測主要采用IDS(Intrusion Detection Systems )入侵檢測、防病毒熊貓網關、防火墻等來進行安全預警檢測。
安全預警中心的主要職能:(1)預警,可通過漏洞掃描、網絡異常監控、日志分析、問題主機發現等技術手段以及評估、審計等安全服務來實現;(2)檢測,可使用入侵檢測、病毒檢測(防病毒墻)等工具和異常流量、異常網絡行為發現等手段和工具。
4.2.3應急響應中心
安全問題發生時需要盡快響應,以阻止攻擊行為的進一步破壞。所以需要建立一個完善的的應急響應中心,對安全事件、行為、過程及時做出響應和處理,對可能發生的入侵行為進行限制,杜絕危害的進一步蔓延擴大,最大程度降低其造成的影響,避免出現業務中斷等安全事故。
應急響應中心處理的手段包括阻斷、隔離、轉移、取證、分析、系統恢復、手工加固、跟蹤攻擊源甚至實施反擊等。可通過制定應急響應制度、規范操作流程,并輔以緊急響應工具和服務來實現。
4.2.4災備恢復中心
網站災備恢復目前主要采取人工定期備份的方式。災備恢復中心建設主要通過冗余備份等方式,確保在被保護網絡信息系統發生了意想不到的安全事故之后,被破壞的業務系統和關鍵數據能夠迅速得到恢復,從而達到降低網絡信息系統遭受災難性破壞的風險的目的。備份包括本地、異地、冷備、熱備等多種方式,按照不同備份策略,利用不同設備和技術手段來實現。
5 應急預案規劃設計
5.1 應急隊伍建設
組建一支專業化程度較高、技術一流的信息安全技術服務隊伍是網站信息安全應急預案規劃設計的人員保障。為保證應急情況下應急機制的迅速啟動和指揮順暢,應急組織應設立領導組和技術組。
領導組主要職責包括:(1)研究布置應急行動有關具體事宜;(2)應急行動期間的總體組織指揮;(3)向上級匯報應急行動的進展情況和向有關部門通報相關情況;(4)負責與有關部門進行重大事項的工作協調;(5)負責應急行動其它的有關組織領導工作。
技術組主要職責包括:(1)執行領導組下達的應急指令;(2)負責應急行動物資器材的準備;(3)負責處理現場一切故障現象;(4)隨時向領導小組匯報應急工作的進展情況;(5)負責聯系相關廠商和技術人員,獲取技術支持。
5.2 應急標準
研究網站安全隱患,結合我局網站管理現狀,確立應急標準:(1)網站、網頁出現非法言論;(2)黑客攻擊、網頁被篡改;(3)突發事件發生后大量并發訪問;(4)軟件系統遭受破壞性攻擊;(5)設備安全故障;(6)數據庫安全受侵害;(7)感染病毒。
5.3 應急流程圖設計
如圖2所示。
6 結束語
網站信息安全防護與應急是一項綜合性和專業化程度較高的安全技術服務措施,制度建設是基礎,隊伍建設是保證,技術手段是根本。網站安全隱患和安全時間是所有網站管理人員不想遇到但又不可避免的事件,只有通過加強日常的管理和維護,不斷完善防護與應急機制,提高技術水平和工作的責任心,才可以有效抑制網站安全事件的發生,保障網站的安全正常運行。
參考文獻
[1] 劉寶旭,陳秦偉,池亞平等.基于模型的網絡安全綜合防護系統研究[J].計算機工程,2007,33(12):151~153.
[2] 張帆,劉智.網站安全事件的應急響應措施討論[J].黃石理工學院學報,2008,24(2):38~40.
[3] 陳勝權.基于USB Key的政府門戶網站保護方案[J].信息安全與通信保密,2007(11):36~39.
[4] 張薇.論政府門戶網站安全保障體系建設[J].黑龍江科技信息,2008年(21):66~66.
[5] 劉少英.防病毒策略在政府門戶網站中的應用[J].網絡安全技術與應用,2003(5):20.
[6] 楊莉.政府網站的安全性問題研究[J].科技管理研究,2001(6):77~79.
[7] 曹颯.信息整合是地震政務網站建設的基礎和關鍵[J].國際地震動態,2008,1(1):34~38.
[8] 陳錦華.計算機網絡應急響應研究[J].計算機安全,2007(12):50~52.
基金項目:
安徽省地震局2010年科研合同制課題項目(201041)。
篇2
關鍵詞:網絡環境 企業信息 安全管理
引言
隨著社會的發展,企業對信息資源的依賴程度來越大,由此帶來的信息安全問題也日益突出。生產中的業務數據、管理中的重要信息,如果企業自身的信息安全管理有重大疏漏,也無法保證數據的安全可靠。當前,企業在黑客病毒日益猖撅的網絡環境下不僅要保護自身信息的安全,還要保護業務數據的信息安全,因此有必要從體系管理的高度構建企業信息安全。
一、企業信息安全的二維性
當前,企業信息安全已涉及到與信息相關的各方面。企業信息安全不僅要考慮信息本身,還需要考慮信息依附的信息載體(包括物理平臺、系統平臺、通信平臺、網絡平臺和應用平臺,例如PC機、服務器等)的安全以及信息運轉所處環境(包括硬環境和軟環境,例如員工素質、室內溫度等)的安全。資產如果不對影響信息安全的各個角度進行全面的綜合分析,則難以實現企業信息安全。因此,需要從企業信息安全的總體大局出發,樹立企業信息安全的多維性,綜合考慮企業信息安全的各個環節,揚長避短,采取多種措施共同維護企業信息安全。
1、技術維:技術發展是推動信息社會化的主要動力,企業通常需要借助于一項或多項技術才能充分利用信息,使信息收益最大化。然而,信息技術的使用具有雙面性,人們既可以利用技術手段如電子郵件等迅速把信息發送出去,惡意者也可由此截獲信息內容。為確保企業信息安全,必須合理的使用信息技術,因此,技術安全是實現企業信息安全的核心。
1)惡意代碼和未授權移動代碼的防范和檢測。網絡世界上存在著成千上萬的惡意代碼(如計算機病毒、網絡蠕蟲、特洛伊木馬和邏輯炸彈等)和未授權的移動代碼(如Javaseript腳本、Java小程序等)。這些代碼會給計算機等信息基礎設施及信息本身造成損害,需要加以防范和檢測。
2)信息備份。內在的軟硬件產品目前還不能確保完全可靠,還存在著各種各樣的問題。外在的惡意代碼和未授權移動代碼的攻擊,也會造成應用信息系統的癱瘓。為確保信息的不丟失,有必要采取技術備份手段,定期備份。
3)訪問權限。不同的信息及其應用信息系統應有不同的訪問權限,低級別角色不應能訪問高級別的信息及應用信息系統。為此,可通過技術手段設定信息的訪問權限,限制用戶的訪問范圍。
4)網絡訪問。當今,一個離開網絡的企業難以成功運轉,員工通常需要從網絡中獲取各種信息。然而,網絡的暢通也給惡意者提供了訪問企業內部信息的渠道。為此,有必要采用網絡防火墻技術,控制內部和外部網絡的訪問。
2、管理維:企業信息安全不但需要依靠技術安全,而且與管理安全也息息相關。沒有管理安全,技術安全是難以在企業中真正貫徹落實的。管理安全在企業中的實施是企業信息得以安全的關鍵。企業應建立健全相應的信息安全管理辦法,加強內部和外部的安全管理、安全審計和信息跟蹤體系,提高整體信息安全意識,把管理安全落到實處。
l)信息安全方針和信息安全政策的制定。信息安全方針和信息安全政策體現了管理者的信息安全意圖,管理者應適時對信息安全方針評審,以確保信息安全方針政策的適宜性、充分性和有效性。
2)構建信息安全組織架構。為在企業內貫徹既定的信息安全方針和政策,確保整個企業信息安全控制措施的實施和協調,以及外部人員訪問企業信息和信息處理設施的安全,需要構建有效的信息安全組織架構。
二、企業信息安全構建原則
企業信息安全構建原則為確保企業信息的可用性、完整性和機密性,企業在日常運作時須遵守以下原則。
l)權限最小化。受保護的企業信息只能在限定范圍內共享。員工僅被授予為順利履行工作職責而能訪問敏感信息的適當權限。對企業敏感信息的獲知人員應加以限制,僅對有工作需要的人員采取限制性開放。最小化原則又可細分為知所必須和用所必須的原則,即給予員工的讀權限只限于員工為順利完成工作必須獲的信息內容,給予員工的寫權限只限于員工所能夠表述的內容。
2)分權制衡。對涉及到企業信息安全各維度的使用權限適當地劃分,使每個授權主體只能擁有其中的部分權限,共同保證信息系統的安全。如果授權主體分配的權限過大,則難以對其進行監督和制約,會存在較大的信息安全風險。因此,在授權時要采取三權分立的原則,使各授權主體間相互制約、相互監督,通過分權制衡確保企業信息安全。例如網絡管理員、系統管理員和日志審核員就不應被授予同一員工。
三、企業信息安全管理體系的構建
信息安全管理體系模型企業信息安全管理體系的構建要統籌考慮多方面因素,勿留短板。安全技術是構建信息安全的基礎,員工的安全意識和企業資源的充分提供是有效保證安全體系正常運作的關鍵,安全管理則是安全技術和安全意識恒久長效的保障,三者缺一不可。因此,在構建企業信息安全管理體系時,要全面考慮各個維度的安全,做好各方面的平衡,各部門互相配合,共同打造企業信息安全管理平臺。科學的安全管理體系應該包括以下主要環節:制定反映企業特色的安全方針、構建強健有力的信息安全組織機構、依法行事、選擇穩定可靠的安全技術和安全產品、設計完善的安全評估標準、樹立.員工的安全意識和營造良好的信息安全文化氛圍等。因此,為了使企業構建的信息安全管理體系能適應不斷變化的風險,必須要以構建、執行、評估、改進、再構建的方式持續地進行,構成一個P(計劃)、D(執行)、C(檢查)、A(改進)反饋循環鏈以使構建的企業信息安全管理體系不斷地根據新的風險做出合理調整。
四、結論
信息安全管理體系的構建對企業高效運行具有重要意義。只有全面分析影響企業信息安全的各種來源后才能構建良好的企業信息安全管理體系。從大量的企業案例來看,技術、管理和資源是影響企業信息安全的3個角度。為此,應從技術、管理和資源出發考慮信息安全管理體系的構建原則和企業信息安全管理體系應滿足的基本要求。同時,也應注意到,信息安全管理體系的構建不是一勞永逸而是不斷改進的,企業的信息安全管理體系應遵從PDCA的過程方法論持續改進,才能確保企業信息的安全長效。
參考文獻:
篇3
【關鍵詞】 等級保護 電力調度 管理制度
引言
我單位開展了信息安全等級保護安全建設整改、等級測評等工作。然而,隨著整改進程的深入,建立規范、高效、安全的信息系統運行維護和管理體系,如何將等級保護中的管理制度與本單位自身的安全生產、班組文化等制度結合,給管理工作帶來了新的挑戰,通過建立等級保護管理制度體系能夠更全面的提高電力調度系統運維管理層次,實現信息系統、數據資源集成整合和綜合高效利用,支撐實現電力調度的信息化發展目標。本文結合筆者在信息安全管理中的實踐和理解,對等級保護管理體系在工作中的應用提出一些個人的想法,供讀者借鑒。
一、建立等級保護制度體系目的和意義
為更好的提高信息安全保障能力和水平,依據《信息安全等級保護管理辦法》(公通字[2007]43號)、國家電網公司《信息系統安全等級保護建設的實施指導意見》(信息運安[2009]27號)、《SG186工程信息系統安全等級保護驗收標準(試行)》(信息運安[2009]44號)、《關于加強電力二次系統安全防護和等級保護工作的通知》(調自〔2012〕65號)等要求。進一步加強電力調度系統重要信息系統的安全保護,落實國網公司關于信息安全等級保護和安全防護體系建設的總體要求,我單位開展了信息安全等級測評和整 改工作。
二、等級保護管理制度體系分析
等級保護管理制度體系提供了對組織機構中信息系統全生存周期過程實施符合安全等級責任要求的管理,包括落實安全管理機構及人員,明確角色與職責,制定安全規劃、開發安全策略、實施風險管理、進行監控、檢查,處理安全事件等,具體落實在要求則體現在等級保護測評指標中,等級保護管理要求如圖1所示。
三、等級保護管理體系建設實踐
在具體落實管理體系過程中,應結合原有的信息化管理制度,貫徹建立管理制度文件層級化和流程化管理概念,將方針策略、管理制度、操作規程和記錄表單等文件科學的管理運作;將信息化安全管理方針策略定義為一層策略文件;將溝通管理、信息化人員管理、授權與審批管理、文件規范性管理、介質管理、資產管理、網絡管理、系統管理、安全事件與應急管理、備份與恢復管理等方面定義為二層制度文件,落實一層文件中涉及的各方面運維和安全管理內容;將信息化運維管理的操作指導規范等定義為三層流程文件,支撐二層制度文件的具體操作;將所有信息化運維相關的表格定義為四層表格文件,落實并規范化所有運維操作,融合和動態的管理當前使用的管理制度體系結構,如圖2所示。
3.1安全管理的原則
1)基于安全需求原則:組織機構應根據其信息系統擔負的使命,積累的信息資產的重要性,可能受到的威脅及面臨的風險分析安全需求,遵從相應等級的規范要求,從全局上恰當地平衡安全投入與效果;
2)主要領導負責原則:主要領導應確立其組織統一的信息安全保障的宗旨和政策,負責提高員工的安全意識,組織有效安全保障隊伍,調動并優化配置必要的資源,協調安全管理工作與各部門工作的關系,并確保其落實、有效;
3)全員參與原則:信息系統所有相關人員應普遍參與信息系統的安全管理,并與相關方面協同、協調,共同保障信息系統安全;
4)持續改進原則:安全管理是一種動態反饋過程,貫穿整個安全管理的生存周期,隨著安全需求和系統脆弱性的分布變化,應及時地將現有的安全策略、風險接受程度和保護措施進行復查、修改、調整以至提升安全管理等級,維護和持續改進信息安全管理體系;
5)分權和授權原則:對特定職能或責任領域的管理功能實施分離、獨立審計等實行分權,避免權力過分集中所帶來的隱患,以減小未授權的修改或濫用系統資源的機會。
3.2管理制度體系框架構建
3.2.1工作目標
建立安全管理組織并落實各個部門信息安全責任人,明確組織內各機構人員責任和工作職能,確定信息安全管理體系方針策略,編制形成信息安全方針策略文件。
3.2.2建立信息安全管理組織
(1)建立信息安全管理組織架構
信息安全領導機構:供電公司信息化領導小組,主要負責對單位信息安全制定總體安全策略、監督和協調各項安全措施在單位的執行情況、設立落實信息安全責任。由供電公司分管領導擔任組長,小組成員為各個部門負責人組成。
(2)明確各相關機構和崗位角色的責任和職能
建立相應的職責文件,明確各相應領導、部門、崗位的職責。調度通信中心應設立信息安全工作的各關鍵崗位,如安全管理員、網絡管理員、操作系統管理員和數據庫管理員等,并將之與班組人員結合,并重視信息化人員的培養。
3.2.3確定安全管理總體方針策略
安全管理方針策略是為組織的每一個人提供基本的規則、指南、定義,從而在組織中建立一套信息資源保護標準,防止員工的不安全行為引入風險。同時,還是進一步制定控制規則、安全程序的必要基礎。應當目的明確、內容清楚,能廣泛地被組織成員接受與遵守,且要有足夠靈活性、適應性,能涵蓋較大范圍內的各種數據、活動和資源。可以使員工了解與自己相關的信息安全保護責任,強調安全對組織業務目標的實現、業務活動持續運營的重要性。
安全方針策略屬于高層管理文件,簡要陳述信息安全宏觀需求及管理承諾,應該篇幅短小,內容明確。信息安全方針應當簡明、扼要,便于理解,至少應包括以下內容:
(1)信息安全的定義,總體目標、范圍,安全對信息共享的重要性;
(2)管理層意圖、支持目標和信息安全原則的闡述;
(3)信息安全控制的簡要說明,以及依從法律、法規要求對組織的重要性;
(4)信息安全管理的一般和具體責任定義,包括報告安全事故;
(5)信息安全策略的主要功能就是要建立一套安全需求、控制措施及執行程序,定義安全角色賦予管理職責,陳述組織的安全目標,為安全措施在組織的強制執行建立相關輿論與規則的基礎。
3.3管理制度體系策略建立
3.3.1工作目標
建立覆蓋信息工作的全部文件,包含安全策略、制度、規定規范、表單,完善所有活動流程管理。
3.3.2建立體系策略制度文件
信息安全策略是組織信息安全活動的最高方針,需要根據信息工作的實際情況,分別制訂不同的信息安全策略。應該簡單明了、通俗易懂,并形成書面文件,發給單位內的所有成員。同時要對所有相關員工進行信息安全策略的培訓,以使信息安全方針真正植根于單位內所有員工的腦海并落實到實際工作中。根據本單位實際情況,建立的策略文件,所有文件均需進行論證和評審。
(1)信息安全管理策略
作為所有系統的指導性方針文件,提供信息安全的基本規則、指南、定義。依據本策略應制定各管理制度、操作和使用規范。
(2)系統運維安全管理策略
作為所有系統運行維護的指導性方針文件,提供系統安全運行維護的基本規則、指南、定義。依據本策略應制定系統運行維護中相關的各種管理制度和規定,以及控制各項活動的記錄表單和審批流程。應覆蓋機房、網絡、系統、資產、備份、日常運維等所有運行維護工作的范圍。
(3)系統建設安全管理策略
作為所有信息化工作建設的指導性方針文件,提供信息工作相關的建設安全管理的基本規則、指南、定義。依據本策略應形成項目管理、采購管理、工程實施管理、測試及驗收管理等建設管理的全過程管理制度,相應的控制表單和審批規定。
(4)人員安全管理策略
由于在系統、運維、建設方面已經對人員在該活動中的行為做了要求,人員安全管理主要需要考慮的問題是錄用、離崗、保密、教育培訓、考核及外來人員方面的管理,也可以直接制定比較詳細的人員安全管理制度。
(5)管理流程
梳理并完善各種活動的詳細流程圖,任何針對信息系統的活動均有流程可依據進行控制管理。如事件管理流程、變更管理流程等。
(6)其他輔助制度
建立輔助文件,如對以上策略、制度、表單等進行管理的文件管理制度、保密制度、信息規定等。
3.4管理制度體系運作落實
3.4.1工作目標
逐項實施,直至體系全面運行,監督落實安全策略制度,找出體系中的不適用和缺陷。
3.4.2實施
經過第一和第二階段的工作,理論上單位已初步形成完整的信息安全管理體系,但體系是否能正常運作發揮作用,需要對體系進行驗證,驗證的方法就是運行體系。
體系的運行分幾步進行:
對通過論證評審的文件,通過正規渠道正式發文的方式進行,的文件根據情況決定是否采取“征求意見稿”或“暫行”;
文件前召集相關部門的負責人學習文件,并要求確保落實力度;
的文件要求相關部門組織學習,并依照實施;
各相關部門對運行的文件制度運行情況進行收集,存在實際困難無法落實的報評審組織評審適用性;
對“征求意見稿”的文件,必須從實施的相關部門采集意見。
體系實施階段可以在體系建立階段同步開展,建立部門策略制度后,通過論證評審即可進行試運行,不需等全套文件完成。
3.4.3監督
指定或成立跨部門監督機構、人員,對文件實施的過程進行監督管理,制定相應的懲戒措施,對落實情況進行監督檢查,對違反文件實施和實施不力的部門或人員進行懲戒,切實落實文件的有效實施。收集監督過程中發現的文件問題、人員實施問題方面資料,反饋到編制組織。
本階段是系統建立的關鍵階段,是信息安全管理體系要分析運行效果,尋求改進機會的階段。如果發現一個控制措施不合理、不充分,就要采取糾正措施,以防止信息系統處于不可接受風險狀態。必須強調相關領導應重視本階段工作,并且從實際上支持和推動實施工作。且應加大學習培訓和監督力度,落實懲戒措施。讓文件涉及的相關部門和相關人員熟知該文件并能按要求準確執行。
3.5管理制度體系細化調整
3.5.1工作目標
總結體系運行情況,調整不適用和無法落實的部分,完善體系,使之能高效、有序的運作。
3.5.2評審
評審有兩個環節,第一個環節是針對出現的問題進行審核,論證其原因,進行改正完善。第二個環節是在大部分問題解決后、體系正常的情況下全面評審體系文件、組織、活動是否達到預期目標。
首先,信息安全領導小組組織相關部門人員,對體系實施中發現的問題進行審核,對落實不力的部門責成落實;對實際存在的問題進行論證,提出解決辦法;對不適用的文件或部分進行論證評審,確實存在不適用的文件則組織相關人員進行修訂,轉入修訂環節,對于不適用且沒必要存在的文件進行廢止。
而后,對于本階段計劃時間內反饋沒發現問題的文件,組織相關部門評審試行效果,達到預期要求則作為正式版運行,并采用持續優化階段的方式進行管理,未達預期目的則轉入重新編制程序。
3.5.3修訂
對于存在問題的策略文件,組織該策略文件涉及最多的主體部門和其他相關部門人員成立臨時修訂機構,針對文件存在問題進行修訂。修訂后進行新版本的頒布,同時該文件轉入落實階段。
3.5.4測評
經過細化調整,不斷地審核修訂后,體系應已基本完善,此時轉入評審的第二環節。按照符合等級保護要求的預期目標,委托等級保護測評機構進行等級保護測評,在保證客觀、合規、公正的前提下,對單位信息安全體系進行全面評審。整體測評后,對不滿足要求的部分進行整改,整改完成后轉入實施階段,直至符合要求。
3.6管理制度體系持續優化
通過前四個階段的工作,信息安全管理體系應基本穩定、成熟,后期的工作在于保持并進行不斷地優化。把經過檢驗的文件作為常態的管理遵循依據,在日常工作中保持,不因試行結束而松懈。部門和人員應把試行期間依照文件要求形成的工作模式進一步完善保持,在未發生異常情況之前,始終按照正式版本執行。定期進行評審,找出不適用部分進行優化調整;結合工作實際,尋求更高效安全的方法優化體系,提高效能。
篇4
關鍵詞 信息系統;安全;保障體系;技術;信息技術基礎設施
中圖分類號:TP393 文獻標識碼:A 文章編號:1671-7597(2013)14-0137-02
油服信息技術應用與集中程度的不斷深入提高,信息安全保障體系建設工作已成為信息化建設過程中的重要組成部分。油服具有地域分布廣、業務復雜多樣等特點,在信息安全形勢多變的情況下,獨立分散的安全措施已無法更好地滿足安全防護需求。信息安全若不能得到很好的保障,將給公司的業務正常運作及辦公穩定性、高效性和有效性帶來影響。因此,需完善公司的信息安全政策方針、規劃并建立符合油服實際情況的信息安全保障體系,采用先進的安全管理過程模式,完善信息安全管理制度與規范,提高員工的信息安全意識,提升風險控制及保障水平,以支撐油服核心業務的健康發展。
1 信息安全保障體系
1.1 信息安全保障體系建設需求
油服在信息安全方面已部署了部分信息安全防護措施,如劃分安全域、部署邊界訪問控制設備、配備入侵防御系統、部署統一的防惡意代碼軟件等。與此同時,每年都開展信息系統安全測評工作,對公司的信息系統進行安全等級測評差距分析、安全問題整改咨詢核查以及滲透性測試等,從而能夠較為全面的掌握當前各信息系統和信息安全管理制度的建設、運維和使用情況,以提高信息系統的安全防護能力。但從總體來看,仍缺乏信息安全保障體系框架,總體安全方針和策略不夠明確,安全區域劃分不夠細致,網絡設備和重要服務器的安全策略缺乏統一標準,未部署安全運維管理中心,無法真正起到縱深安全防御的效用。
1.2 信息安全保障體系目標與定位
信息安全保障體系的建設要結合油服的信息安全需求、網絡應用現狀及未來發展趨勢,在風險評估的基礎上,明確與等級保護相適應的安全策略及具體的實施辦法。對全網進行合理的安全域劃分,技術與管理并重的同時,以應用與實效為主導,從網絡、應用系統、組織管理等方面,保障油服信息安全,形成集檢測、響應、恢復、防護為一體的安全保障體系。
2 油服信息安全保障體系架構模型
油服信息安全保障體系框架采用“結構化”的分析和控制方法,縱向把保護對象分成安全計算環境、安全區域邊界和安全通信網絡;橫向把控制體系分成安全管理、安全技術和安全運行的控制體系,同時通過“一個安全管理中心”的安全管理概念和模式,形成一個依托于安全保護對象為基礎,橫向建立安全管理體系、安全技術體系、安全運行體系和安全管理中心“三個體系、一個中心、三重防護”的信息安全保障體系
框架。
2.1 安全管理體系
根據等級保護基本要求的相關內容,信息安全管理體系重點落實安全管理制度、安全管理機構和人員安全管理的相關控制要求。
2.2 安全技術體系
根據等級保護基本要求的相關內容,通過安全技術在物理、網絡、主機、應用和數據各個層面的實施,建立與實際情況相結合的安全技術體系。
2.3 安全運行體系
根據等級保護基本要求的相關內容,信息安全運行體系重點落實系統建設管理和系統運維管理的相關控制要求,并與實際情況相結合,形成符合等級保護要求的信息安全運行體系
框架。
2.4 安全管理中心
根據等級保護基本要求和安全設計技術要求的相關內容,通過“自動、平臺化”的方式,對信息安全管理、技術、運行三個體系的相關控制內容,結合實際情況加以落實。
3 油服信息安全保障體系架構設計
3.1 安全管理體系架構設計
信息安全管理體系架構的設計可從以下3方面開展。
3.1.1 信息安全組織
油服信息安全組織為信息安全管理委員會,各業務部門為信息安全小組,部門經理為本小組的第一安全責任人。同時,定義了組織中各職能角色的職責,以此指導信息安全工作開展。
3.1.2 信息安全制度
油服的信息安全制度一方面能及時反映公司的信息安全風險動態,便于靈活地修訂與更新;另一方面確保信息安全技術與管理人員及用戶能夠了解哪些是禁止做的,哪些是必須做的。
3.1.3 人員安全管理
在人員安全管理方面,可以通過對人員錄用、調用、離崗、考核、培訓教育和第三方人員安全幾個方面進行設計。
3.2 安全技術體系架構設計
信息安全技術體系架構設計可從以下3個方面開展。
3.2.1 信息安全服務架構
信息安全服務架構設計分為保護、檢測、響應與恢復四個環節,實現對信息可用性、完整性和機密性的保護,監測檢查系統存在的安全漏洞,對危害系統安全的事件行為做出響應
處理。
3.2.2 信息技術基礎設施安全架構
信息技術基礎設施安全架構以網絡安全架構為主體,結合系統軟硬件進行安全配置和部署。網絡安全架構的規劃根據網絡所承載的應用系統特性和所面臨的風險劃分不同的網絡安全域,并實施安全防護措施。
3.2.3 應用安全架構
應用系統的信息安全保障是在信息技術基礎設施安全架構上,更多地關注已有的信息安全服務是否被充分利用。為滿足業務系統對信息安全的需求,通過在業務系統中實現集成保障信息安全的機制,從而達到信息安全技術控制要求。
3.3 安全運行體系架構設計
油服信息安全運行體系架構設計主要從以下3個方面開展。
3.3.1 信息系統安全等級劃分
油服信息系統安全等級劃分從信息資產等級、網絡系統等級和應用系統等級三個方面進行定義。
3.3.2 信息安全技術控制
信息安全技術控制是由系統自身自動完成的安全控制。主要在信息系統的網絡層、系統層和應用層,包含身份鑒別、訪問控制、安全審計等五大類通用技術。
3.3.3 信息安全運作控制
信息安全運作控制是在油服業務運作和信息技術運作過程中進行實施的運作類安全控制,包括控制針對的主要風險點及具體分類。
4 結束語
在油服業務不斷拓展,國際化步伐不斷深入的過程中,信息系統在公司發展中的作用和地位日趨重要。公司對信息系統的依賴性也在不斷增長,信息安全也愈發重要。健全油服信息安全保障體系,為實現“制度標準化、工作制度化”的管理常態奠定了堅實的基礎。油服信息安全保障體系不僅從物理網絡安全、系統應用安全、數據和用戶安全等方面入手,還從安全域劃分、安全邊界防護、主動監控、訪問控制和應急響應等方面綜合考慮,進一步加強落實信息安全等級保護的基本要求,初步實現對網絡與應用系統細粒度、全方位的安全管控,從而更為有效地提升了油服在信息安全方面的管理水平。
參考文獻
[1]馬永.淺談企業信息安全保障體系建設[J].計算機安全,2007(7):72-75.
[2]王朗.一個信息安全保障體系模型的研究和設計[J].北京師范大學學報(自然科學版),2004(2):58-62.
[3]黃海鷹.信息安全保障體系建設研究[J].數字圖書館論壇,2009(9):13-15.
篇5
2007年12月28日,中國光大銀行信用卡中心在京召開新聞會,宣布正式通過ISO27001信息安全管理體系國際認證,成為國內首家通過該項認證的信用卡中心。這是中國光大銀行信用卡中心繼2006年6月通過CCCS五星級級客戶服務認證和2006年9月通過ISO9001質量管理體系認證之后取得的又一成就,標志著該行信用卡業務在保障客戶信息安全、強化內部管理方面已居于國內領先水平。
在日漸激烈的信用卡競爭環境中,中國光大銀行信用卡業務以“制度化、規范化、標準化、專業化”為方向,摒棄片面追求規模的定式,致力于產品創新、服務提升與品牌建設,建立了獨具特色的信用卡經營和發展模式,取得了令人矚目的成就。為進一步提高服務質量,保障信息安全,該行信用卡中心于2007年3月正式啟動ISO27001信息安全管理體系認證項目,并提出“關注客戶、信息安全”的信息安全方針。以此為契機,中國光大銀行信用卡中心在保障客戶信息安全、降低外包業務風險、保障業務的持續性等方面進行了全面提升與改進。
一是在保障客戶信息安全、防止客戶信息泄密方面,中國光大銀行根據自身業務實際,通過開展信息資產識別、風險評估、體系文件編寫、體系試運行、內外審等主要工作,在信用卡中心建立起了信息安全管理體系,從而形成一套策略規程和控制措施,將信息安全的控制措施貫穿于業務的各個環節,使信息安全保障工作成為日常工作的組成部分,在日常工作中關注客戶,保障信息安全。二是降低外包業務風險方面,光大銀行針對信用卡行業外包業務多的現實,通過規范數據交互、調聽錄音、查看系統日志、現場檢查、第三方檢查等手段,并督促外包公司建章建制、規范管理等一系列措施,有效降低了外包業務的風險。三是業務持續性方面,光大銀行針對影響業務持續性的主要因素進行了風險評估,根據風險評估的結果,制訂了業務持續性管理計劃,并進行了業務持續性演練,為業務的持續發展提供了保障。
ISO27001:2005是標志信息安全的最主要國際化標準之一,是基于最佳實踐的總結,至今已被全球數百家世界級組織采用,中國光大銀行率先將其引入信用卡領域,為保障客戶信息安全尋求到一條積極高效的道路,為自身業務高速穩健的發展奠定了堅實的基礎。
篇6
自20世紀80年代以來,隨著信息技術迅速滲透到社會經濟的各個領域,尤其是Internet/Intranet技術和電子商務(Ecommerce)的廣泛應用,推動著人類社會從工業經濟時代向網絡經濟時代和信息化社會的方向前進。在這個動態演進的過程中,經濟發展越來越需要信息的支持,信息已成為經濟發展的戰略資源和社會管理的基本要素。
企業的信息化建設對于企業發展具有重要的戰略意義。對信息的采集、共享、利用和傳播成為決定企業競爭力的關鍵因素。只有實現信息化,企業才可能實現企業生產經營活動的運營自動化、管理網絡化、決策智能化,從而理順和提高企業的管理水平,提高設計效率,降低企業的庫存,節約占用資金,降低生產成本,改善職工的工作環境,縮短企業的服務時間和提高企業的客戶滿意度,并可及時地獲取客戶需求,實現按訂單生產。
但是,信息化也使企業同時承受著巨大的信息安全的風險。據統計,全球平均20秒就發生一次計算機病毒入侵;互聯網上的防火墻大約25%被攻破;竊取商業信息的事件平均以每月260%的速度增加;約70%的網絡主管報告了因機密信息泄露而受損失。我國公安機關2002年共受理各類信息網絡違法犯罪案件6633起,與上年相比增長45.9%,其中利用計算機實施的違法犯罪5301起,占案件總數的79.9%.而病毒的泛濫,更讓國內眾多企業蒙受了巨額經濟損失。加強信息安全建設,已成了目前國內外企業迫在眉睫的大事。
二、信息安全和信息安全管理
根據國際標準化組織(ISO)的定義,信息安全是“在技術上和管理上為數據處理系統建立的安全保護,保護計算機硬件、軟件和數據不因偶然和惡意的原因而遭到破壞、更改和泄露”。信息安全是一個動態的復雜過程,它貫穿于信息資產和信息系統的整個生命周期。
信息安全的威脅來自于內部破壞、外部攻擊、內外勾結進行的破壞以及自然危害。必須按照風險管理的思想,對可能的威脅、脆弱性和需要保護的信息資源進行分析,依據風險評估的結果為信息系統選擇適當的安全措施,妥善應對可能發生的風險。信息安全的目標就是要保證敏感數據的機密性(Confidentiality)、完整性(Integrity)和可用性(Availability)[1].為了達到這個目的,人們建立起信息安全管理體系(InformationSecurityManagementSystems)。它是組織在整體或特定范圍內建立信息安全方針和目標,以及完成這些目標所用方法的系統,表示成方針、原則、目標、方法、過程、核查表(Checklists)等要素的集合。
在信息安全管理體系中,通過確定信息安全管理體系范圍、制定信息安全方針、明確管理職責、以風險評估為基礎選擇控制目標與控制方式等建立起信息安全管理框架。在該體系中,人們在技術層面作了許多卓越而富有成效的工作來保障企業信息安全,如密碼學和訪問控制等。但僅僅依靠技術手段不可能徹底解決信息安全問題。這是因為,信息以及信息用戶的社會屬性決定了信息安全中存在非技術因素,而從屬于非技術因素的問題,無法依靠單純的技術手段加以解決[2].非技術手段主要包括法律手段、經濟手段和行政手段等,在市場經濟環境中,企業應首選法律和經濟手段來保護信息安全。
三、法務會計師在企業信息安全管理中的作用
信息及信息用戶的社會屬性使得法務會計師為企業提供專業服務成為必要,而法務會計師獨特的知識結構和專業經驗使得其在企業信息安全管理發揮其獨特作用提供了可能。根據信息安全風險的成因,法務會計師可以因地制宜地制定相關對策。當前威脅企業信息安全的主要成因是:
1.技術風險。主要包括信息電磁化風險和系統及軟件風險。在網絡環境下,企業的各種票證和帳單等以人眼無法直接辨別的電磁信息的形式在網上傳遞并存儲于磁性介質中,在傳遞及存儲過程中均有被攻擊者篡改或截獲的可能。
2.人員風險。由于企業中負責具體業務的人員并不一定熟悉計算機操作,因此在系統使用過程中極有可能出現由于人員操作不當而造成的意外損失。而由于系統管理涉及企業重要機密,操作人員是否會利用職權之便對信息進行破壞或剽竊也是企業管理者應該關注的重要問題。
3.法律風險。網絡的出現和廣泛應用對傳統社會產生了強烈的沖擊,舊有的法律法規體系已不能完全適應、指導和規范網絡安全的實踐。網絡本身的虛擬性、實時性、廣泛性要求更加切實可行,更加完備的標準準則和法律法規的出現。
現階段,面對信息安全的威脅,企業缺乏有力的系統性的對應措施和策略,基本處于“頭痛醫頭、腳痛醫腳”的狀態,解決方案手段單一,缺乏多種手段的共同治理。很多組織已經越來越意識到要真正達到信息安全的目標僅僅通過信息安全技術和產品是不可能實現的,結合法律、制度等社會性手段的信息安全管理體系(ISMS)的搭建才能實現信息系統的整體安全保障。因為,很多企業信息資產安全管理方面除了存在信息安全技術薄弱方面的原因外,還存在如下一些問題如,信息安全管理制度過于簡單,內容不全;交叉重復,混亂無章;求大求全,無針對性;鎖在柜中,無人問津;以及制度執行中的人為破壞等等。
建立包含技術和法律等手段的多層面的信息安全管理體系可以強化員工的信息安全意識,規范組織的信息安全行為,對組織的關鍵信息資產進行全面系統的保護,維持競爭優勢;在信息系統受到侵襲時,確保業務持續開展并將損失降到最低程度;使組織的商業伙伴和客戶對組織充滿信心,提高組織的知名度與信任度。因為信息安全事關企業信息資產和業務安全,需要通過法制渠道滿足企業在電子商務和管理環境中維護競爭優勢的需要,法務會計師可以充分利用其在法律和會計信息管理方面的優勢,為企業建立有效的信息資產保護計劃提供有價值的服務,并依法追究相關組織和人員的責任。
篇7
【關鍵詞】電力企業;信息網絡;安全體系
【中圖分類號】TP309【文獻標識碼】A【文章編號】1672-5158(2013)07-0498-02
引言
隨著電力企業不斷發展,信息化已廣泛應用于生產運營管理過程中的各個環節,信息化在為企業帶來高效率的同時,也為企業帶來了安全風險。一方面企業對信息化依賴性越來越強,尤其是生產監控信息系統及電力二次系統直接關系到電力安全生產;另一方面黑客技術發展迅速,今天行之有效的防火墻或隔離裝置也許明天就可能出現漏洞。因此,建設信息安全防護體系建設工作是刻不容緩的。
1 信息安全防護體系的核心思想
電力企業信息安全防護體系的核心思想是“分級、分區、分域”(如圖1所示)。分級是將各系統分別確定安全保護級別實現等級化防護;分區是將信息系統劃分為生產控制大區和管理信息大區兩個相對獨立區進行安全防護;分域是依據系統級別及業務系統類型劃分不同的安全域,實現不同安全域的獨立化、差異化防護。
2 信息安全防護系統建設方針
2.1整體規劃:在全面調研的基礎上,分析信息安全的風險和差距,制訂安全目標、安全策略,形成安全整體架構。
2.2分步實施:制定信息安全防護系統建設計劃,分階段組織項目實施。
2.3分級分區分域:根據信息系統的重要程度,確定該系統的安全等級,省級公司的信息系統分為二級和三級系統;根據生產控制大區和管理信息大區,劃分為控制區(安全I區)、非控制區(安全II區)、管理信息大區(III區);依據業務系統類型進行安全域劃分,二級系統統一成域,三級系統獨立成域。
2.4等級防護:按照國家和電力行業等級保護基本要求,進行安全防護措施設計,合理分配資源,做好重點保護和適度保護。
2.5多層防御:在分域防護的基礎上,將各安全域的信息系統劃分為邊界、網絡、主機、應用、數據層面進行安全防護設計,以實現縱深防御。
2.6持續改進:定期對信息系統進行安全檢測,發現潛在的問題和系統可能的脆弱性并進行修正;檢查防護系統的運行及安全審計日志,通過策略調整及時防患于未然;定期對信息系統進行安全風險評估,修補安全漏洞、改進安全防護體系。
3 信息安全防護體系建設探索
一個有效的信息安全體系是在信息安全管理、信息安全技術、信息安全運行的整體保障下,構建起來并發揮作用的。
3.1 建立信息安全管理體系
安全管理體系是整個信息安全防護體系的基石,它包括安全管理機構、安全管理制度、人員安全管理、系統建設管理、系統運維管理五個方面,信息安全組織機構的建立尤為重要。
3.1.1建立信息安全管理小組
建立具有管理權的信息安全小組,負責整體信息安全管理工作,審批信息安全方針,分配安全管理職責,支持和推動組織內部信息安全工作的實施,對信息安全重大事項進行決策。處置信息安全事件,對安全管理體系進行評審。
3.1.2分配管理者權限
按照管理者的責、權、利一致的原則,對信息管理人員作級別上的限制;根據管理者的角色分配權限,實現特權用戶的權限分離。對工作調動和離職人員及時調整授權,根據管理職責確定使用對象,明確某一設備配置、使用、授權信息的劃分,制訂相應管理制度。
3.1.3職責明確,層層把關
制訂操作規程要根據職責分離和多人負責的原則各負其責,不能超越自己的管轄范圍。系統維護時要經信息管理部門審批,有信息安全管理員在場,對故障原因、維護內容和維護前后情況做詳細記錄。
(1)多人負責制度 每一項與安全有關的活動必須有2人以上在場,簽署工作情況記錄,以證明安全工作已得到保障。
(2)重要崗位定期輪換制度 應建立重要崗位應定期輪換制度,在工作交接期間必須更換口令,重要技術文件或數據必須移交清楚,明確泄密責任。
(3)在信息管理中實行問責制,各信息系統專人專管。
3.1.5系統應急處理
制定信息安全應急響應管理辦法,按照嚴重性和緊急程度及危害影響的大小來確定全事件的等級,采取措施,防止破壞的蔓延與擴展,使危害降到最低,通過對事件或行為的分析結果,查找事件根源,徹底消除安全隱患。
3.2 建立信息安全技術策略
3.2.1物理安全策略
物理安全策略的目的是保護計算機系統、網絡服務器等硬件實體和通信鏈路免受自然災害、人為破壞和搭線攻擊;確保計算機系統有一個良好的工作環境;防止非法進入機房和各種偷竊、破壞活動的發生,抑制和防止電磁泄露等采取的安全措施。
3.2.2 網絡安全策略
網絡安全防護措施主要包括以下幾種類型:
(1)防火墻技術。通過防火墻配置,控制內部和外部網絡的訪問策略,結合上網行為管理,監控網絡流量分配,對于重要數據實行加密傳輸或加密處理,使只有擁有密鑰的授權人才能解密獲取信息,保證信息在傳輸過程中的安全。
(2)防病毒技術。根據有關資料統計,對電力信息網絡和二次系統的威脅除了黑客以外,很大程度上是計算機病毒造成的。當今計算機病毒技術發展迅速,對計算機網絡和信息系統造成很大的損害。采用有效的防病毒軟件、惡意代碼防護軟件,保障升級和更新的時效性,是行之有效的措施。
(3)安全檢測系統。通過專用工具,定期查找各種漏洞,監控網絡的運行狀況。在電力二次系統之間安裝IDS入侵檢測軟件等,確保對網絡非法訪問、入侵行為做到及時報警,防止非法入侵。
3.2.3安全策略管理
對建的電力二次系統必須在建設過程中進行安全風險評估,并根據評估結果制定安全策略;對已投運且已建立安全體系的系統定期進行漏洞掃描,以便及時發現系統的安全漏洞;定期分析本系統的安全風險,分析當前黑客非法入侵的特點,及時調整安全策略。
3.2.4 數據庫的安全策略
數據庫的安全策略包括安全管理策略、訪問控制策略和信息控制策略。但數據庫的安全問題最主要的仍是訪問控制策略。就訪問控制策略分類而言,它可以分為以下幾種策略。
(1) 最小特權策略: 是讓用戶可以合法的存取或修改數據庫的前提下,分配最小的特權,使得這些權限恰好可以讓用戶完成自己的工作,其余的權利一律不給。
(2) 數據庫加密策略: 數據加密是保護數據在存儲和傳遞過程中不被竊取或修改的有效手段。
(3)數據庫備份策略:就是保證在數據庫系統出故障時,能夠將數據庫系統還原到正常狀態。
(4)審計追蹤策略:是指系統設置相應的日志記錄,特別是對數據更新、刪除、修改的記錄,以便日后查證。
篇8
關鍵詞:電子政務;信息安全;保障體系
說起電子政務,大家也許首先想到的就是各級政府門戶網站,認為電子政務就是通過政府門戶網站提供的便民公共查詢窗口查詢信息或是通過網上辦事通道辦理申請或審批業務。這是狹隘的理解,門戶網站只是電子政務的一部分,并不是電子政務的全部。電子政務是“運用計算機、網絡和通信等現代信息技術手段,實現政務組織結構和工作流程的優化重組,超越時間、空間和部門分隔的限制,簡稱一個精簡、高效、廉潔、公平的政府運作模式,以便全方位地向社會提供優質、規范、透明、符合國際水準的管理與服務。”
簡單講,電子政務就是政府通過現代通信技術手段組建一個優于傳統模式的政府運作模式,并向社會提供管理與服務。其實,電子政務離我們并不遙遠,它已經深入到了我們的日常生活中。舉個例子,我國于1993年開始啟動“金卡工程”,它以計算機、通信等現代科技為基礎,以銀行卡等為介質,通過計算機網絡系統,以電子信息轉帳形式實現貨幣流通。如今,我們使用帶有銀聯標志的金融卡可以在任意標有銀聯標志的商戶進行消費,我們可以通過銀行ATM機辦理同城或異地,同行或跨行轉賬匯款等業務,使用銀行卡進行消費、轉帳、結算正逐漸成為一種時尚,“金卡工程”實現了“一卡在手、走遍神州”,為企業和個人提供了方便、快捷、安全的支付和消費手段,與此同時,它使企業和個人的交易、轉帳、消費和稅收納入國家統計體系之內,加強了國家的監管。又如我國于2001年開始啟動的“金關工程”,它在實現海關內部作業流電子化的同時,利用現代信息技術,依托國家電信公網,將進出口業務信息流、資金流、貨物流信息集中存放在一個公共數據中心,監管部門可以進行跨部門、跨行業的聯網數據核查,企業可以上網辦理出口退稅、報關申報、轉關申報等多種進出口手續。
1 電子政務系統安全保障的重要性
電子政務已覆蓋到我國金融、進出口貿易、社會保障、稅務、公安、財政審計等多個領域,電子政務系統的穩定和數據安全關系重大,我國對電子政務的信息安全工作非常重視,中央辦公廳于2003年下發了《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發[2003]27號)、公安部于2004年9月了《關于信息安全等級保護工作的實施意見》(公通字[2004]66號)、國信辦于2005年9月了《電子政務信息安全等級保護實施指南(試行)》(國信辦[2005]25號),供各級黨政機關在新建電子政務系統和已建電子政務系統中開展信息安全等級保護工作參考。保證電子政務系統實現其功能和保證電子政務系統的數據安全是電子政務系統安全保障的兩項基本任務。
2 信息安全管理體系建設
電子政務的安全保障是依托對電子政務信息系統的安全保障實現的,信息安全管理應該建立在一套完備的安全管理體系基礎之上的,由電子政務信息系統的建設維護單位自上而下的開展。
2.1 信息安全管理體系建設的內容
安全管理體系應該包括安全方針、信息安全組織、資產管理、人力資源安全、物理和環境安全、通信和操作管理、訪問控制、信息系統獲取開發和維護、信息安全事件管理、業務連續性管理和符合性等內容。具體要求參見我國2008年的《信息技術 安全技術 信息安全管理體系 要求》(GB/T 22080-2008)。
2.2 信息安全管理體系建設的意義
建立完善的信息安全管理體系,使得電子政務信息系統能夠有專門的組織或機構負責其安全管理,有了明確的職責劃分和責任認定,有助于順利開展組織的信息安全管理工作。在信息系統全生命周期內對構成信息系統的各要素的安全管理進行規范化管理,形成制度體系,以便其落地實施,會使電子政務信息系統的安全管理更加科學化、規范化和標準化。
3 安全基礎設施建設
電子政務信息系統的建設和運行需要基礎設施的支撐,電子政務面向社會公眾或特定人群提供服務,首先要搭建與互聯網對接的網絡系統,再解決互聯網絡上的用戶身份鑒別問題,此外還要根據國家信息安全等級保護的有關要求,結合電子政務所在的行業以及提供服務的性質,考慮系統和數據的容災備份。
3.1 網絡建設與安全域劃分
電子政務往往需要建設專有網絡系統,以便將業務覆蓋到本行業的下一級乃至更下一級的業務部門,如“金保工程”將建立三級網絡納為其建設內容,即搭建中央、省、市三級安全高效的網絡系統;“金關工程”中也包含主干網建設內容。電子政務信息系統建設單位可以根據電子政務所處行業、服務和管理內容等,制定網絡建設規劃,并根據電子政務信息系統的安全保護級別相對應的要求劃分網絡安全域。
3.2 公鑰基礎設施(PKI)
公鑰基礎設施PKI利用數字證書標識密鑰持有人的身份,通過對密鑰的規范化管理,構建和維護一個可信賴的系統環境,為應用系統提供身份認證、數據保密性和完整性、抗抵賴等各種必要的安全保障。電子政務需要面向社會群眾或特定群體通過網絡提供服務,就需要解決網絡環境下的身份鑒別與抗抵賴性問題,即解決如何驗證用戶為合法用戶,以及如何防止用戶否認其行為的問題。公鑰基礎設施(PKI)就能夠很好的解決上述問題。稅務系統和電子口岸就采用了PKI技術,在電子政務信息系統中應用PKI,在保證電子政務系統安全的前提下,解決了電子政務系統中的抗抵賴性問題。
3.3 系統與數據容災備份
電子政務信息系統應根據其信息安全保護等級和業務連續性要求選擇是否建設災備系統,以防止因系統終止提供服務而對用戶的正常生產生活產生影響,甚至造成社會影響;電子政務信息系統應根據其數據的重要程度制定數據備份策略,以防止因數據丟失而造成損失。
4 信息安全防護體系建設
電子政務信息系統依托現代技術建設,其安全防護體系應圍繞著它的基礎設施、硬件設備(主機、存儲、網絡設備、安全設備等)和人(建設人員、維護人員、使用人員等)構建。
4.1 個體安全防護
硬件設備是構成電子政務信息系統的最小單元,針對硬件本身進行的安全防護可看做是個體安全防護。個體安全防護的目標是提升個體的安全防護能力。針對不同類型的硬件設備,有不同的安全防護手段或技術。例如:應針對不同操作系統和版本的主機設置安全加固配置基線,統一管理主機安全配置;部署Windows操作系統的服務器需要安裝防病毒軟件;及時更新系統補丁;加強個體的賬號管理和訪問控制;部署第三方加固軟件等。
4.2 區域安全防護
電子政務信息系統的網絡依據其功能和互聯需求劃分為不同的安全區域,安全域是指同一環境內有相同的安全保護需求、相互信任、并具有相同的安全訪問控制和邊界控制策略的網絡或系統。例如:有與互聯網聯通需求的網絡需要劃分專門區域用于接入互聯網。
區域安全防護包括邊界安全防護和區域安全管理兩部分。不同安全域之間以及內部網與外部網之間形成的界限稱為邊界,邊界安全防護的目標是阻止未被允許的訪問,具體可通過防火墻、交換機、入侵防御、防病毒網關等實現;區域安全管理的目標是掌握區域內的安全狀態,及時處置區域內產生的安全事件,具體可通過漏洞掃描、安管中心、安全審計等實現。
4.3 基礎設施安全防護
電子政務信息系統最為關鍵的基礎設施是運行機房,機房內運行著所有的硬件資產和軟件資產,其安全防護工作包括機房電磁屏蔽、消防、電氣、空調、防盜等等。
4.4 信息安全審計
將信息安全審計作為單獨一條是用來強調它的重要性,電子政務信息系統的建設和運維都離不開人,對人員的安全管理是保障安全方針策略得到有效執行的關鍵。“堡壘最容易從內部攻破”,再安全的外部防御也無法抵擋由內而外的攻擊。電子政務系統往往會因其特殊的應用而產生許多敏感數據,這些數據大多涉及個人及企業團體的基本信息數據及其生產數據等,部分還會涉及商業秘密,一旦發生人為的泄密、數據盜取、后門等安全事件,其后果將不堪設想。因此需要電子政務信息系統建設維護單位建立完善的信息安全審計體系,對系統建設和維護的關鍵環節實施信息安全審計,通過制度宣貫和技術手段起到威懾的作用,讓人員有“伸手必備捉”的危機感。
5 明確第三方服務保障
電子政務信息系統的建設離不開第三方的支持,網絡線路需要向運營商申請并由其保障線路通信質量,軟硬件設備需要向供應商采購并由其提供維保服務和技術支持,部分單位的電子政務信息系統是委托第三方開發建設的或有委托第三方進行運行維護的,等等。第三方的服務保障質量、對已掌握的資源是否嚴格管理等問題關系到電子政務信息系統的安全,因此有必要與第三方簽訂明確的服務保障合同,確定第三方的責任和義務、提出第三方的保障要求并簽訂相應的保密協議。
6 結語
我國電子政務的建設還將不斷持續下去,已建的或正在籌建的電子政務都應重視電子政務的信息安全保障問題,認真思考建立適合的信息安全防護體系,為電子政務提供安全可靠的支撐平臺。
參考文獻
[1] 侯衛真 《電子政務的建設與發展》[M] 中國人民大學出版社 2006.3
篇9
為了增強國家經濟的可持續性快速發展,增強國家的綜合實力,黨的十六大報告中明確提出“堅持以信息化帶動工業化,以工業化促進信息化”的發展戰略,十七大報告提出“大力推進信息化與工業化融合”。可以看出,對信息化在國民經濟和社會發展全局中地位和作用的認識隨著我國經濟發展在逐步深化。
隨著企業信息化建設的不斷推進,信息在整個企業經營過程中起著至關重要的作用,信息安全是信息化可持續發展的保障,信息是社會發展的重要戰略資源。網絡信息安全已成為急待解決,影響企業發展極為關鍵的問題。
一、信息安全至關重要
信息安全是指信息網絡的硬件、軟件及其系統中的數據受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統連續可靠正常地運行,信息服務不中斷。
國際信息系統安全核準聯盟(ISC2)公布其全球信息安全專業人員調查,并指出近四分之三的信息安全從業人士認為,避免企業信譽受損是安全項目的首要任務。《2008 全球信息安全從業員研究》(“GISWS”) 由 Frost & Sullivan 代表ISC2進行。共有來自100多個國家的企業和公共部門機構的7,548名信息安全從業人員接受了調查。數據丟失和審核所帶來的壓力已經使信息安全的可靠性受到企業管理層的關注。
由國家計算機網絡應急技術處理協調中心的《2007年網絡安全工作報告》稱,網絡信息系統存在的安全漏洞和隱患層出不窮,利益驅使下的地下黑客產業繼續發展,網絡攻擊的種類和數量成倍增長,終端用戶和互聯網企業是主要的受害者,基礎網絡和重要信息系統面臨著嚴峻的安全威脅。2007年各種網絡安全事件與2006年相比都有顯著增加。企業在面對外憂的同時,還要承受內患的威脅。企業或許通過構建數據隔離系統能有效防御外部攻擊,但對內部的主動泄密卻毫無招架之力,有數據顯示,目前,泄密事件78.9%的損失都是由內部主動泄密導致。除了防御外部攻擊外,內網的管理也至關重要。
二、信息安全的基本目標
信息安全通常強調所謂CIA三元組的目標,即:保密性(Confidentiality)、完整性(Integrity)和可用性(Availability)。CIA 概念的闡述源自信息技術安全評估標準(Information Technology Security Evaluation Criteria,ITSEC),它也是信息安全的基本要素和安全建設所應遵循的基本原則。1.保密性:確保信息在存儲、使用、傳輸過程中不會泄漏給非授權用戶或實體。2.完整性:確保信息在存儲、使用、傳輸過程中不會被非授權用戶篡改,同時還要防止授權用戶對系統及信息進行不恰當的篡改,保持信息內、外部表示的一致性。3.可用性:確保授權用戶或實體對信息及資源的正常使用不會被異常拒絕,允許其可靠而及時地訪問信息及資源。
除了CIA,信息安全還有一些其他原則,包括可追溯性(Accountability)、抗抵賴性(Non-repudiation)、真實性(Authenticity)、可控性(Controllable)等,這些都是對CIA 原則的細化、補充或加強。
三、信息安全漏洞
企業信息化建設,既能使企業獲得發展的先機,提高和鞏固企業競爭優勢,也能給企業帶來新的風險。信息安全就是其中的核心問題。信息安全問題控制不當,企業信息化不但無法提高企業活力,還可能給企業帶來災難性的后果,威脅企業的生存。企業信息安全的威脅大致有以下幾方面。
1.外部威脅。⑴軟件系統漏洞:wndows系統的脆弱被大家公認。在2007年中,這種情況有了新的改變,百度搜霸、暴風影音、Qvod(Q播)、realplayer等流行軟件取代了windows的“漏洞王”地位。⑵網絡攻擊:①“黑客”侵入:竊取企業信息、篡改企業數據庫、干擾用戶之間的通訊信息、攻擊服務系統造成系統癱瘓。②計算機病毒:瀏覽器配置被修改、數據受損或丟失、系統使用受限、網絡無法使用、密碼被盜是計算機病毒造成的主要破壞后果。2007年我國計算機病毒感染率為91.4%,為歷年來最高;多次感染病毒的比率為54%,仍然維持在較高水平。③郵件災難:企業管理人員隨時可能發送涉及高度敏感話題的未加密電子郵件(股票發行、新產品計劃、合并、收購等等),而它極易被人截獲并加以利用。批量發送的未經收信人許可垃圾郵件已嚴重影響正常網絡通信,企業帶來時間和金錢上的損失。同時,垃圾郵件已成為黑客助紂為虐的工具。而通過電子郵件攜帶及傳播惡意代碼、病毒等更是對系統造成嚴重后果;④自然災害、意外事故:地震、水災、火災等自然災害將對系統造成毀滅性的傷害;意外事故(斷電、水浸、蟲咬)同樣不可忽視。
2.內部威脅。⑴系統風險:硬件選配不合適,環境不合要求,設備安裝不規范等;信息技術方案選擇失誤,信息技術的快速增長并沒有反映到你的系統中,使得系統安全性減弱;⑵非授權訪問:未經系統授權而使用網絡或計算機資源;⑶人為錯誤,比如:使用不當,安全意識差等;⑷計算機犯罪:惡意竊取、或出售企業機密;⑸管理漏洞:沒有嚴格的信息安全方針和規程;管理層不重視,不能保證足夠的安全預算;用戶權限設置混亂;過多的文件讀/寫權限,休眠的用戶賬戶也是一個常見的安全風險。
四、信息安全控制
1.及時修補軟件漏洞。在日常的安全防護中,不但要重視Windows系統漏洞的彌補,還要注意防范應用軟件的漏洞。某些IE瀏覽器的插件、輸入法、影音播放等應用軟件,都可能成為“黑客”病毒攻擊的對象。用戶使用這些軟件時不要僅僅關注他們的功能,還要注意其安全性能,并使用最新版本的軟件。
2.快速事故響應。及時制定事故相應方針和規程,告訴用戶當發生事故或入侵時應該做什么、如何做、采取行動的時間以及向誰報告,這將決定企業機密信息的命運。
3.啟用防火墻。制定防火墻方針和規程,指定專人負責、定期升級、應用最新補丁、及時培訓,閱讀審核日志,使用檢測軟件,快速響應,要求安全證據。
4.跟蹤外部連接。隨著電子商務的開展,越來越多的企業使用Internet來交換重要的商業信息,從而引起外部連接數目的激增,包括資金和財務數據。有必要專人負責跟蹤外部連接,記錄并定期提交詳細的連接狀態報告。
5.加密/過濾電子郵件。電子郵件加密套件十分容易安裝,并且對用戶來說近乎透明,能對用戶的隱私進行有效地加密保護;更為重要的是你必須使用垃圾郵件過濾軟件,阻止各種兜售信息(垃圾郵件)、病毒恐慌、真正的病毒、蠕蟲、特洛伊木馬等的攻擊。
6.貫徹冗余方案。建立冷備份、熱備份和冗余備份。冷備份指除一個在用網絡外,還有一備份網絡。備份網絡在日常處理時不開機,一旦發現網絡出現故障,立即啟動備份網絡,代替生產網絡進行工作。熱備份指備份網絡也開機運行,但并不服務。一旦網絡失效,備份網絡即自動代替生產網絡進入服務。冗余備份則是多個網絡同時進行服務,一個網絡的失效不影響整個系統的運行。
7.加強內部管理。企業應建立相應的網絡安全管理辦法,加強內部管理,建立合適的網絡安全管理系統,加強用戶管理和授權管理,建立安全審計和跟蹤體系,及時進行用戶培訓,提高整體網絡安全和法律意識;
五、結語
國民經濟的發展,綜合國力的提升,提高企業的市場競爭力,企業信息化是必經之路。實現信息安全是企業信息化成敗的關鍵,它不但靠先進的技術,而且也得靠嚴格的安全管理,法律約束和安全教育
參考文獻:
[1]Linda McCarthy:《信息安全-企業抵御風險之道》,清華大學出版社,2003。
[2]飄搖:《信息安全成為當前全球企業信息化首要任務》,賽迪網,2008.4。
[3]國家計算機網絡應急技術處理協調中心 :《2007年網絡安全工作報告》,2008。
篇10
(1)內部外部泄密
一般黑客的目標是竊取數據或者破壞系統,但是也有一些黑客直接入侵網絡系統,將文件服務器的數據進行刪除或自發直到計算機系統完全癱瘓甚至崩潰。
(2)黑客攻擊
這是計算機網絡要面臨的最大威脅,這種攻擊又分為兩種,一種是網絡攻擊,它以前選擇的破壞對方的數據信息為主,另一種是網絡偵察,它不影響網絡正常工作,平時也難以察覺,它在潛伏的過程中截取、竊取、破譯目標計算機的機密信息。
(3)軟件漏洞
操作系統與各種軟件的程序編寫中,自身的設計、結構都有可能不完善,出現缺陷或漏洞,這都能被計算機病毒和某些程序惡意利用,它們會使計算機在網絡中處于非常危險的境地。
2計算機網絡信息安全的防護措施
(1)制定網絡信息安全的政策法規
信息安全管理主要包括組織建設、法律制度建設、人事關理三個方面的內容。組織建設要求成立負責信息安全的專門行政機構,該機負負責制定和審查保障信息安全方面的法律制度,制定制度能夠被實施的方針、原則、政策,并做好協調、監督、檢查方面的工作。制度建設是指用建全的法律法規來保證計算機網絡信息的安全。人事管理主要包括計算機網絡管理者,防止他們因工作失誤與出于私人利益破壞信息安全。
(2)健全計算機網絡信息安護系統
計算機安防系統包括做好檢測與審計入侵、網絡漏洞掃描、檢測病毒、網絡監控等方面面的內容。檢測與審計入侵可對內部、外部攻擊進行實時監控,在信息安全受到威脅時進行報警、攔截、響應;網絡漏動掃描的技術層面包括掃描通信線路是否被竊聽,通信協議與操作系統是否存在漏洞等;非技術層面包括做好安裝入侵檢測和漏洞掃描系統,同時制定網絡管理規范,與規范信息安全制度;病毒檢查是指主動截殺計算機病毒,并做好未知病毒的查殺功能。
(3)對傳輸數據加密
要防止傳輸中數據流失泄密,可以通過節點加密、鏈路加密、端—端加密等幾種加密方法。節點加密是指源節點到目標節點時進行加密;鏈路加密是數據包在傳輸鏈路中進行加密切聯系,端—端加密是指對源端到用戶端的數據包進行加密。
(4)加強認證技術
認證是指對信息交換的合法性、真實性、有效性進行認可和證實,身份認證是指用戶進入信息系統前,對身份進行認證,只有合法的用戶才能進行信息系統。目前網絡認證一般使用口令認證、磁卡認證、生物認證等方法。數字簽名是密碼技術在身份認證中的一種應用,數字簽名具有唯一性、可靠性、安全性的特證,它能證明某個領域中某一主體身分的合法性,能保護數據的完整性、機密性、抗否定性。
(5)部署防病毒系統
防病毒系統是指在計算機網絡信息系統中防治計算機病毒,防止計算機信息系統被破壞,防止數據信息受損。目前防治病毒的主要技術是依靠防毒軟件、防毒模塊、防毒芯片,防病毒素統必須加快研究的步伐。
(6)使用電磁屏蔽手段
電子系統在工作的時候能發送電磁輻射,如果沒有做好電磁屏蔽工作,可以通過專門的接受儀器接收電磁信號,只要對信息進行處理,就能破譯出源信息,造成信息失密。如果用電磁泄漏接收信息會比其它方法更及時、更精準、更連續、更隱蔽,因此要對計算機外部設備、網絡通信線路、傳輸設備、連接設備都做好信息屏蔽工作,可以使屏蔽、隔離、濾波、接地等方法進行屏蔽。
(7)使用防火強進行隔離
使用防火墻技術可以保護計算機網絡系統與外部的網絡進行安全隔離,以免發生破壞性入侵、信息資源破壞等等事故。防火強是經過設置安全過濾防止內、外網用戶非法防問,通過設置時間安全規則變化與策略,控制內、外網訪問時間,同時它將MCA地址與IP綁定,防止出現IP地址欺騙。
(8)建立安全信息體系
