網絡信息安全應急響應預案范文
時間:2023-12-05 17:32:04
導語:如何才能寫好一篇網絡信息安全應急響應預案,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。
篇1
【 關鍵詞 】 電力系統;信息安全;負面影響;安全機制;建設
1 引言
信息技術當前在各行各業都發揮著重要作用,尤其是隨著電力系統的逐步市場化,建立龐大的數據調度網和綜合信息網絡服務于電網管理成為了必然要求。雖然信息技術有著多種優勢,但是同時也帶來了安全方面的一系列問題,比如威脅電力生產、傳輸與運營的各個領域,所以加強網絡與信息安全管理,建立完善的安全機制服務于電網運營成為了關鍵。
2 網絡與信息安全影響分析
電力系統因自身的特殊性質在信息技術應用方面十分復雜,所涵蓋的信息源十分龐大,因此無論是操作系統還是應用軟件需求都較高,致使風險漏洞隱患較多。網絡與信息安全對電力系統的最大影響來自于安全方面,安全措施不到位會帶來諸多負面影響,比如病毒的傳播、木馬惡意入侵、網頁破壞和代碼控制隱患等,帶來諸多弊端。
計算機本身防御能力較差,作為通信設備其存在著嚴重潛在惡意入侵可能性,這對于系統安全和信息安全而言都十分不利,尤其是現在系統網絡中存在著大量的保密數據,一旦發生惡意入侵現象,可能會造成信息丟失、盜竊或者破壞等,威脅電網運營管理。
網絡和信息安全的一個典型特征就是來自于網絡病毒的安全威脅,不僅對軟硬件造成破壞,甚至還通過自我復制導致系統崩潰,引發危機連鎖反應。信息網絡的開放性和共享性使得電力系統內各種各樣的信息都可能流入到網絡世界,不少違法分子通過故意編寫惡意程度木馬植入瀏覽器漏洞形成網頁病毒,輕者造成崩潰嚴重者導致格式化,致使信息丟失或者被盜竊。
對于電力部門而言,其辦公所使用的眾多系統和服務器,商業性質較為突出,源代碼不公開意味著自身不能對軟件源代碼進行獨立控制,無形中就給自身的信息安全帶來了眾多隱患。電力系統作為自成一系的系統,一般只有內部員工使用或者訪問,在權限管理不嚴格的情況下有時會因為操作失誤、缺乏保密意識等因素帶來網絡安全威脅,針對內部管理和訪問情況,做好授權等級授予工作,將是保護網絡內部信息安全的硬性舉措。
3 網絡信息安全機制建設探討
對當前電力企業網絡安全建設而言,安全措施不到位,安全機制建設不完善,已經成為了信息安全的最大問題。面對這些安全隱患和問題,通過加強安全機制建設防范信息犯罪,消除安全隱患,全面走上信息化建設的道路,促使電力系統完成轉型是關鍵。
加強對電力系統內部職工的網絡安全信息教育,從客觀上根本深化信息安全意識是電力企業內部建設的首要舉措。促使員工從自身做起,自覺維護企業網絡安全和信息安全,定期舉行學習培訓,加強技術鍛煉學習,提高安全技術水平,可有效為安全機制的完善建設和貫徹實踐提供保障。完善網絡信息安全管理制度建設是促使信息安全到位的有效措施,從制度建設上予以完善,做到權責明晰,對需保密的信息進行登記審批實施地址綁定策略,對信息訪問、應用做出嚴格管理,將會從制度領域為信息安全保駕護航。
對電力系統而言,對自身網絡和信息安全面臨風險做出正確評估確保安全機制完善并落實的必要舉措。面對這么一個技術要求高、內容龐大復雜的系統,以多種手段來消弭脆弱性造成的隱患,是把風險控制在最低限度的必然要求,所以,加強風險分析和評估,分析系統面臨的多種風險,將其降低到可控的程度,是迫切要求和客觀需要。
網絡信息安全的防護技術舉措有多種,但是主要要從防火墻技術、入侵檢測技術、數據庫安全建設三方面入手,建立信息安全中心和技術聯合服務中心,構建多層次的安全防護體系。防火墻技術要以防御為核心構建多技術層次體系,以提高自身的綜合防護能力,在順利為電力系統服務的同時規避來自網絡的各種攻擊。入侵檢測技術的具體工作原理是ITDB(Integrated Testing DataBase,綜合測試數據庫)通過命令的形式通過管理系統實現對可疑行為的隔離,并且對疑似攻擊的行為進行自我判定收集信息以配置相應部件來規避誤操作和攻擊命令對系統所產生的負面影響。TDB在數據庫的防護中發揮著重要作用,它能對有可能造成破壞的可疑命令或惡意行為進行發現并隔離,通過對攻擊行為進行容忍來保障運行的安全。防火墻邏輯位置示意圖見圖1。除此之外,電力企業本身也要積極加強技術升級改造,做好自主研發和技術創新,掌握核心科技,讓系統全方位為自己服務,保證電力系統的信息安全和健康發展。
4 結束語
總之,電力企業想要健康發展,網絡與信息安全的保障必不可少,針對自身存在的安全隱患,做好風險分析和評估,從各個方面入手完善安全機制建設,解決存在的隱患與問題,是為電力企業信息安全保駕護航的關鍵舉措,也是促使其良性發展的關鍵。
參考文獻
[1] 周偉.計算機網絡安全技術的影響因素與防范措施[J].網友世界,2012(1).
[2] 余志榮.淺析電力企業網絡安全[J].福建電腦,2011(7).
[3] 張鵬宇.電力行業網絡安全技術研究[J].信息與電腦(理論版),2011(1).
[4] 閆斌,曲俊華,齊林海.電力企業網絡信息安全系統建設方案的研究[J].現代電力,2003(1).
篇2
(1)適應電力企業發展的需要,遵循現行電力企業管理體制;
(2)管控平臺涉及技術和管理,須對技術手段和管理手段的實現方式進行決擇;
(3)須考慮不同級別單位以及不同使用對象需求的側重點;
(4)管控平臺自身須具有一定安全性;
(5)基于管控平臺的工具特性,須配套推出數據初始化等服務及制度來實現平臺的正常運轉。
2管控平臺角色需求分析
管控平臺設置的用戶角色必須與電力企業現有信息安全相關組織架構相匹配。一般來講,電力行業自身信息安全相關組織架構包括上級信息安全主管單位、本地信息安全主管單位以及本地信息安全實施單位此外,電力行業在實際信息安全工作中,需要外部信息安全產品廠商、安全服務廠商、安全咨詢機構、相關公共信息安全機構以及科研機構支持。管控平臺將外部信息安全產品廠商、安全服務廠商、安全咨詢機構統一定義為外部信息安全支持單位,將相關公共信息安全機構以及科研機構定義為應急聯動及專家機構。管控平臺各角色職能需求分析如下:
(1)上級信息安全主管單位上級信息安全主管單位負責企業整體信息安全保障,掌握整體信息安全態勢,評估網絡和信息系統安全機制的有效性情況。在信息安全突發事件發生時,負責事件決策、監控、協調。
(2)本地信息安全主管單位本地信息安全主管單位負責本單位信息安全保障,掌握所轄網絡及其業務信息系統的安全態勢,協調安全事件的處理。
(3)本地信息安全實施單位本地信息安全實施單位負責本單位信息安全保障具體實施工作。在管控平臺中本地信息安全實施單位設置的角色包括負責人、安全主管、安全運維人員等,如表1所示。負責風險評估、實時監控、應急演練、安全預警以及信息安全突發事件處置各項工作的具體實施。
(4)外部信息安全支持單位外部信息安全支持單位承擔信息安全支撐服務職能,其職責包括外部信息安全事件預警監控,風險評估、應急演練及應急處置的外協支持等。
(5)應急聯動及專家機構應急聯動及專家機構由各相關公共信息安全機構、科研機構信息安全相關領域專家組成,為電力企業信息安全保障提供技術支持和資源保障。應急聯動專家機構人員在管控平臺中通過設置呼叫樹和專家角色,參與應急等各項事務的處置。
3系統功能設計
通過管控平臺的定位以及上述角色需求分析,可明確管控平臺的功能模塊設置及關系如圖1所示,下面依次對關鍵模塊內容進行闡述。
3.1基礎安全數據管理
基礎安全數據管理模塊對企業信息系統相關的網絡設備、服務器、通用軟件等基本信息和策略配置信息,漏洞庫、事件特征庫、補丁庫、安全配置知識庫和應急響應知識庫,以及風險評估、應急演練等工作中產生的過程數據進行匯總存儲并詳細分類,支持多種查詢和修改。
3.2預案管理
預案管理模塊實現對各級單位信息安全應急預案的編制、審批、、更新,以及預案的執行(及演練)和事件處置等功能。其中應急預案編制、審批在管控平臺上進行統一規范,各單位人員在管控平臺上只需要參考應急預案模板并調用本單位的實際數據內容即可完成編制任務。預案管理模塊功能設計如圖2所示。在預案管理模塊中,應急預案執行是一種復雜的業務流程,通常基于工作流引擎來實現。這種實現方式可確保相應的演練和事件處置活動能夠全程可監控、可記錄。圖3是基于工作流引擎實現應急預案某一操作規程的實例。
3.3風險評估
風險評估模塊為各單位信息安全風險評估工作提供全過程支撐,并能夠根據評估過程和結果數據(例如將資產調研結果,威脅、漏洞分析等評估結果)通過內定的矩陣型風險計算方式自動計算得出各單位總體風險和高危風險狀況,為各單位編制應急預案的方向提供依據。風險評估模塊功能設計如圖4所示。
3.4業務影響分析
業務影響分析模塊同樣是為編制應急預案提供依據,與風險評估模塊類似。但考慮到信息系統業務的差異性,管控平臺不對業務影響分析進行全過程管理和支撐。圖險評估模塊功能設計示意圖
3.5公告管理
公告管理模塊向管控平臺各級角色提供通知信息、瀏覽、查閱、管理功能。公告從編制、審批、到反饋的整個流程均通過管控平臺來實現。公告的類別包括:
(1)企業發文:企業帶正式文號的信息安全類文檔的、管理、顯示;
(2)通知通報:企業不帶正式文號但須告知各級單位的信息安全相關文檔的、管理、顯示;
(3)企業動態:企業各級單位參與的信息安全相關活動、新聞的、管理、顯示;
(4)業界安全動態:國內外安全事件,尤其是電力行業安全相關動態的、管理、顯示。
3.6預警管理
預警管理模塊包含漏洞預警和威脅預警兩類功能,級別分為高、中、低三級。預警信息來源分為兩類,一類是國內外安全評測機構、廠商的安全預警及漏洞,另一類是源自風險評估模塊和業務影響分析模塊的計算結果。與公告類似,預警管理的整個流程通過管控平臺來實現。各單位接收到管控平臺自動發送的提示短信,登錄平臺,即可處理預警信息。
3.7安全事件管理
安全事件管理模塊對信息安全事件的分級分類以及事件響應處理進行管理。信息安全事件的分級分類基于國家有關標準與行業實際情況。安全事件響應方式分為自動響應和事件工單管理兩類。自動響應包括屏幕、郵件、聲音、工單、對話框、設備控制、短信、腳本操作、SNMPTrap等響應方式,并通過其設置實現自定義用戶響應策略。事件工單管理則通過與第三方統/平臺的接口與例如IT服務管理平臺進行聯動來實現。
3.8信息安全狀況監視(應急值班室)
信息安全狀況監視模塊可向各級人員提供不同的管理界面,分為宏觀態勢監視與應急監視兩類。宏觀態勢監視能夠根據風險評估結果、安全預警信息以及當前安全狀況(是否有安全事件發生以及處理情況),對企業整體安全態勢進行研判,為安全決策提供支持。應急監視能夠通過安全模型分析及人工比對分析,將安全事件、威脅、漏洞等數據與管控平臺中業務數據進行關聯,得出研判信息,并結合國家有關標準,為應急人員提供應急相應實施依據。信息安全狀況監視模塊功能設計如圖5所示。
4結語
篇3
對比省級及以上級別的商業銀行,中小城市銀行分支機構、村鎮銀行普遍存在信息安全基礎設施不達標、技術水平落后、運維能力薄弱等問題。針對這些問題,本文提出了建立統一的信息安全基礎環境建設標準以及健全的信息安全管理體系,不斷提高信息安全運維水平,有效防范區域性信息安全風險。
關鍵詞:
信息安全;中小城市;銀行分支機構;基礎設施
近年來,我國中小城市商業銀行不斷發展壯大,銀行業數據大集中趨勢越來越明顯,對于地級市商業銀行分支機構和村鎮銀行等小微金融機構而言,由于其存在規模小、信息安全專業人才相對匱乏、信息安全建設資金投入較少、信息安全意識淡薄、信息安全風險防范能力不強等原因,風險日益突出。因此,中小城市銀行分支機構的信息安全管理應引起高度關注。
一、中小城市銀行分支機構信息安全管理現狀
以筆者所在城市最近5年的情況來看,新成立村鎮銀行有3家,商業銀行新設分支機構有4家(不包括新設營業網點),根據歷年綜合執法檢查的情況分析,這些銀行普遍存在機房基礎設施建設不達標、網絡綜合布線不規范、應急演練記錄缺失、應急預案與實際不符、信息安全運維人員匱乏、工作人員信息安全意識薄弱等問題。大部分分支機構的日常運維工作都采取外包服務的方式,其可靠性和安全性無法得到充分保障。
二、中小城市銀行分支機構信息安全存在問題
(一)信息安全軟硬件環境不達標。
一是機房、供電、綜合布線、防雷等安全保護措施等方面達不到相關標準,設備、介質等安全管理軟件欠缺。二是由于目前數據大集中趨勢,地市級銀行分支機構的網絡和主機審計、接入認證、系統授權管理等手段缺失,應對信息安全風險事件反應較慢。三是主機病毒防護、系統安全、數據庫安全、身份鑒別、數據完整性、保密性等方面缺少必要的軟件,或相關安全配置工作不到位。四是大多數地市級銀行分支機構缺少整體的運維監控平臺,制約了應急響應處置能力。
(二)信息安全管理體系不健全。
信息安全管理工作主要由分支機構綜合業務部負責。雖然人民銀行加強了“兩管理、兩綜合”檢查,對新成立的銀行分支機構開展了開業管理,并要求建立全面的信息安全長效管理機制,但在通過開業申請之后,制度執行力往往不夠,信息安全責任很難落實到位。應急管理注重形式,缺乏與實際的結合,盡管制定了應急預案,但應急實戰演練較少、涵蓋范圍不全,應急措施缺乏針對性、操作性和實效性。
(三)信息安全管理意識不強。
一是管理層對信息安全管理重視度不高,對信息安全的投入往往只有在機構成立時的一次性投入,忽視了信息安全管理是一個持續長久的過程。二是信息系統的運維人員把信息安全管理工作看成是技術問題,過分強調信息系統的可用性,認為信息安全管理工作就是網絡安全和核心主機安全。實際上,信息安全更多應該是個管理問題,信息系統的可控性和保密性是信息安全不可或缺的部分。三是大部分員工只關注計算機的便捷性,而忽視了做好相關安全措施。
(四)信息安全運維能力薄弱。
首先,地市級銀行分支機構科技運維大多采用外包方式,外包管理制度和約束不全面,使得系統運行風險及運維難度加大,村鎮銀行等小微金融機構大多并未配備科技人員,管理科技的人員往往身兼數職,很難對信息安全風險進行及時響應。其次,科技運維人員參加信息技術培訓較少,缺少完整、系統的信息安全知識,應對信息安全風險處置能力不夠。
三、相關對策和建議
(一)建立一套中小城市銀行分支機構信息安全軟硬件環境標準。
在不同等級的分支機構及營業網點建立相配套的軟硬件設施,特別是加強機房、供配電、網絡等基礎設施的建設管理,在設備選型、施工安裝和運行維護等過程嚴把關。同時,后期維護和管理也應持續遵循建設標準,做到“有章可循,有據可依”,確保IT基礎設施安全穩定運行。
(二)建立健全信息安全管理體系,將責任層層落實。
一是要建立相應的信息安全領導小組,明確領導小組對信息安全管理和監督工作的領導,完善組織保障、協調機制,信息安全管理不只是科技部門的工作,應將信息安全管理納入機構管理范疇。形成各部門協調統一、齊抓共管的信息安全工作局面。二是實施有效的信息安全防范措施,制定應急預案并與實際情況聯系,應急操作要有針對性、實用性,要通過定期的演練來驗證應急預案,并及時對應急預案進行評估和修訂。
(三)不斷提高信息安全運維水平。
一是各商業銀行應定期對中小城市銀行分支機構的科技人員及全體員工進行信息安全培訓,提高風險防范意識,培養信息安全業務骨干,提升分支機構的應急響應和應急處置能力。二是要建立統一的信息資產監控平臺,讓分支機構的科技人員參與進來,及時發現問題并解決問題。三是要加強外包服務管理,簽訂相關的保密協議,同時在運維過程中要做好文檔管理,充分考慮外包服務的連續性。
(四)監管機構要加強對當地商業銀行和小微金融機構的信息安全管理指導和監督。
參考銀行業監督管理委員會的《商業銀行信息科技風險管理指引》和《人民銀行信息系統信息安全等級保護實施指引(試行)》,加強銀行分支機構開業管理和指導,定期對轄內銀行機構開展信息安全檢查,并納入全年商業銀行考評體系。
作者:李蘇 單位:中國人民銀行衡陽市中心支行
參考文獻:
篇4
關鍵詞:石化企業;信息安全;管理;風險;應急響應;思考
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1007-9599 (2012) 16-0000-02
1 信息安全管理中的應急響應理論綜述
1.1 信息技術的概念
信息技術就是指在計算機和通信技術支持下用以獲取、加工、存儲、變換、顯示和傳輸文字、數值、圖像以及聲音信息,包括提供設備和提供信息服務兩大方面的方法與設備的總稱信息技術利用計算機與網絡通信技術為基礎迅速發展。隨著企業信息化建設的迅猛發展,企業信息系統已成為現代企業運營的基礎平臺,企業數據更是關系到企業自身利益的核心資源。因此,企業對各系統產生的重要數據的安全要求越來越高,原來以服務器為中心的存儲技術已經遠遠不能滿足數據儲存要求,取而代之是是以存儲網絡為中心的存儲技術的快速發展,尤其是NAS(網絡連接存儲)、SAN(存儲區域網絡)、IP-SAN(基于TCP/IP存儲區域網絡)的發展更加迅速。
企業信息安全管理中的應急響應主要是指為了應對存儲在計算機中的重要文件、數據庫中的重要數據等信息可能會被丟失、損壞或泄露所提前做準備或者在事件發生后所采取的措施。采取應急響應措施能夠大大減小安全事故與故障的損害,對企業信息的保密性、完整性和可用性起到保障作用。在企業信息系統管理中,通常對安全事件進行分級響應與處置原則,依據本單位信息系統的實際情況,通過預測、評估以及分析安全時間等各個環節,對信息系統的破壞程度、造成后果嚴重程度等進行等級劃分,并根據等級制定出相應的安全事件的應急預案。
1.2 企業信息安全管理中的應急響措施
首先是應急響應的前期準備。主要包括制定應急計劃策略條款。對業務影響進行BIA分析。確定防御性控制、制定恢復策略、IT應急計劃的制定、計劃的測試、培訓和演習、計劃的維護等環節。其次是企業信息安全事件的應急響應處理處置手段。一是封鎖,就是對擴散性二是緩解,就是通過相關措施緩解安全事件造成的后果,減少安全事件帶來的損失。三是消除。就是通過對網絡與信息安全事件的特征分析,制定相關措施消除安全事件。四是追蹤。就是對于黑客入侵、攻擊等人為破壞進行追蹤取證,提交給公安機關處理。五是恢復。就是安全事件消除后,要對整個信息系統進行全面檢查, 徹底消除系統的安全隱患。
2 應急響應體系在石化企業中的應用
2.1 信息化建設現狀
延安石油化工廠現有EMC CX4-240存儲一臺,是由煉化公司在生產管理信息系統一期項目建設中調撥而來,其單機物理容量4.5TB,連接現有服務器,整個架構采用IP SAN架構,現有存儲設備共計15塊硬盤,單盤為300G(實際容量268G),前5塊為系統盤,后10塊為數據盤,在后10塊盤預留1塊熱備盤,其余9塊硬盤做RAID 5,共計1.8TB保證數據的安全性。
從以上信息化的組成來看,其信息化的存儲空間相對不足,此系統只能作為生產管理信息系統服務器備份生產管理數據的存儲空間,遠遠不能滿足日益增長的業務數據存儲要求。按照現有生產管理信息系統數據點每15秒鐘刷新一次的要求,現有每個月大約要產生30G左右的備份數據,而且隨著新建裝置、采集點數的不斷增加、刷新頻率的加快,備份數據將以倍數級增長,單就生產管理信息系統的數據備份此系統就幾乎占滿存在空間,如果公司更對LIMS、OA、生產巡檢系統、檔案管理等信息系統重要數據進行備份,更不能滿足要求。此外,此系統由于配套設備和系統不完善,企業存儲系統的應用機制還不能真正得到建立,使得現有設備還停留在最基礎的存儲形式上,存儲效率較低,也不能發揮其應有的作用。
2.2 信息安全管理中的應急響應升級改造方案
延安石油化工廠信息化建設現狀已經不能滿足生產與安全的需要,根據“完善網絡存儲系統,面向虛擬存儲應用”建設思路對延安石油化工廠信息化建設進行了以下改造方案。
一是配置15塊450GB共計6.75TB物理容量的FC硬盤和一個磁盤擴展柜,用于現有的業務\數據庫\應用以及未來2年增加的業務\數據庫\應用,同時為今后的虛擬化提供高性能的集中化存儲空間;二是由于原有的數據庫服務器、應用服務器與CX4-240存儲使用光纖直連,無法有效擴展,所以本次增加2臺全4Gb/s BROCADE_300 8端口激活的FC-SAN交換機,完成廠內核心數據存儲SAN網絡,為數據庫、應用服務器、文件服務器提供高效的SAN I/O帶寬;三是增加一臺EMC VG2文件引擎, EMC VG2通過千兆以太網連接廠內骨干局域網絡,廠內內所有客戶端PC可采用網絡文件系統-NAS(CIFS)方式或者網絡硬盤-IPSAN方式連接至VG2,并且使用VG2的存儲空間。利用現有以太網,可以大大節省光線交換機端口,服務器HBA卡的投入,在不損失性能的同時提高了方案的經濟性;四是配置10塊2TB共計物理容量20TB的SATAII硬盤,1個磁盤擴展柜,作為全廠文件集中服務存儲空間,大容量的SATAII硬盤空間保存集中文件數據,性價比較高,并且能夠提供良好的順序讀寫性能。這樣的分級存儲模式在保證性能的同時可以節省適當投資成本。五是EMC VG2的虛擬資源調配功能結合了簡化資源調配功能和自動擴展文件系統功能,能夠大大提高存儲的空間使用率和減少系統管理人員維護工作量,這項功能對廠內多個文件客戶端的數據存儲極為有效,可分配比實際存儲空間大許多的虛擬的空間給所有客戶端PC,容量自動擴展,避免存儲空間不足帶來的管理工作;六是重復數據刪除:EMC VG2重復數據消除功能可以處理主文件系統和歸檔文件系統,不但通過使用單實例存儲節省空間,而且允許設置就地壓縮數據策略從而節省更多空間,集中存儲系統中,多個客戶端PC的備份數據可能存在大量重復數據,使用了EMC VG2重復數據刪除功能,可大大降低存儲開銷,節約成本。七是網絡安全:EMC VG2支持VLAN(IEEE 802.1q),通過VLAN提供靈活的網絡管理功能;網絡節點的配置和修改可以通過管理終端快速完成,不用重新布線。通過VLAN可以更好的管理網絡流量和保護網絡,在VLAN的環境下可以同時為多個VLAN所訪問。在反病毒方面NS40G和主流的反病毒解決方案有很好的集成,支持包括NAI, Symantec, Trend Micro, CA, Sophos在內的多個廠商的反病毒軟件。在和EMC VG2集成的環境下反病毒服務器只檢測文件的特征片段,不需要將文件全部傳送到反病毒服務器;在文件修改和第一次讀時均會做檢測(Scan after Update/Scan on First Read);可以同時部署多個廠商的反病毒引擎;八是在2臺四cpu服務器上部署虛擬化系統,每臺服務器內存要求32G,可虛擬12-20臺虛擬機,VCENTER負責對虛擬服務器的管理、資源調度等。
通過以上的經過升級改造。該廠的信息化系統形成了一個穩定與高效的存儲區域網絡,整個存儲網絡可以針對不同的應用實現基于FC-SAN、NAS等接口的訪問,大大提高存儲系統的復合服務能力,降低存儲資源管理的復雜性,提高了信息安全的可靠性。
3 結束語
總之,當前計算機技術及其應用迅猛發展,信息系統已經是石化企業業務處理中至關重要內容,建立和不斷完善信息化安全管理應急響應體系, 制定行之有效的應急響應預案, 能夠使石化企業在遇到風險時以最短的時間內排除故障, 保證業務數據的保密性、完整性和可用性,從而降低風險與損失。
參考與文獻:
[1]高冠軍.我國石化企業技術創新路徑研究[D].青島科技大學,2009.
[2]記者 劉全昌.企業自動化和信息化將增加投資[N].中國化工報,2007.
[3]張亞光,梁靜國,宋艷.石化企業信息化集成框架研究[J].經濟師,2005,03.
篇5
關鍵詞:信息系統;網絡;安全
1信息系統安全建設原則
(1)物理隔離原則。為確保信息安全,信息系統必須與互聯網及其他公共信息網絡實行物理隔離。(2)分域分級原則。信息系統應根據信息密級、使用單位行政級別等級劃分不同的安全域并確定等級,按照相應等級的保護要求進行防護。(3)信息流向控制原則。禁止高密級信息由高等級信息系統或安全域流向低等級信息系統或安全域。(4)最小化授權與分權管理原則。信息系統內用戶的權限應配置為確保其完成工作所必須的最小權限,網絡中賬號設置、服務設置、主機間信任關系配置等應該為網絡正常運行所需的最小限度,并使不同用戶的權限相互獨立、相互制約,避免出現權限過大的用戶或賬號。(5)技術與管理并重原則。信息系統應采取技術和管理相互結合的、整體的安全技防措施。(6)標注化原則。設計應嚴格執行國家有關行業標準、國家相關部門的強制標準等,確保系統質量。(7)安全產品選型原則。企業在信息系統建設中必須選用可靠有效的安全產品,如具備國家相關管理機構檢測證書的產品。(8)實用性原則。系統要力求最大限度地滿足實際環境需要,充分考慮系統應用業務的特殊性,把滿足用戶需求作為設計的第一要素。(9)適度安全原則。要在安全風險分析的基礎上,實事求是、因地制宜地確定防護程度和安全措施,避免弱保護和過保護,保證安全措施切實可行,達到最佳防護目的。(10)動態防護原則。隨著技術的發展,網絡威脅攻擊手段的變化,企業信息系統必須不斷改進和完善安全保障措施,及時進行信息系統安全防護技術和設備的升級換代。
2建設目標
根據對信息系統的現狀分析、安全風險分析、安全保密需求分析,按照相關技術要求和管理要求,遵循前述原則,建設科學合理,符合安全保密需求的信息系統,全面提升企業信息安全防范能力。
3建設內容
企業的信息系統安全建設包括物理安全、運行安全、信息安全保密以及安全保密管理四個方面的內容。(1)物理安全。物理安全是指信息系統的環境安全、設備安全、介質安全。(2)運行安全。運行安全包括備份與恢復、病毒防護、應急響應、運行管理。(3)信息安全保密。信息安全涉及內容包括身份鑒別與訪問控制、密碼保護措施、電磁泄露發射保護、安全性能檢測、邊界安全防護、硬件系統安全、信息完整性校驗、安全審計、操作系統和數據庫安全。(4)安全保密管理。包括安全保密管理策略、安全保密管理制度、人員管理、物理環境與設施管理、設備與介質管理、運行與開發管理、信息保密管理。
4企業信息系統安全建設
(1)網絡綜合布線。a.選擇具備資質的施工單位;b.線纜選擇光纖與屏蔽線;c.布線嚴格遵循國家相關標準;d.交換設備選型應考慮未來企業信息化業務發展的需要;e.根據業務、密級以及知悉范圍劃分VLAN,并創建ACL,實現訪問控制;f.優化網絡配置,禁用暫時不用端口,對接入終端采用IP+MAC+端口綁定策略,防止非授權接入。(2)安全域。根據信息系統的信息密級劃分不同的安全域并確定等級,按照相應等級的保護要求進行防護。按照上述原則,一般將單位信息系統劃分為重要應用安全域、一般應用安全域、辦公安全域、管理安全域等四個區域,如圖1所示。圖中每個區域代表一個安全域,安全域前端架設防火墻,通過防火墻設置訪問控制策略,僅開放必要端口及IP,控制信息流向,實現安全域間的訪問控制。(3)交換機安全設置。全部交換機配置為SSH加密方式通信,對接入端口采用IP+MAC+端口綁定方式,禁用暫時不用端口,實現網絡層的身份認證。(4)安全產品部署。a.全部終端納入域控管理,通過主域控制器將安全策略下發至終端,如實名登錄、密碼管理、屏幕保護等策略,實現系統層身份認證。b.創建補丁分發系統,為全部終端定期升級系統安全補丁,完善系統的安全可靠性。c.全部終端安裝網絡版殺毒軟件,由系統管理人員定期導入最新病毒庫升級包,全網下發,制定殺毒策略,統一查殺網絡病毒。d.終端輸入輸出端口嚴格管控。終端安裝審計、打印管理、輸入輸出管理安全軟件,防止非授權移動存儲介質在信息系統中使用,對系統中的打印行為實現全生命周期管理,嚴格管控,從而降低或杜絕失泄密事件的發生。e.重要關鍵設備、服務器冗余備份。對系統中的核心交換機、防火墻采取在線或離線方式備份,避免因設備損壞造成網絡通信中斷,影響公司業務工作的開展;對重要部位的供電線路采用雙路供電+ups方式保障供電安全;對重要的核心業務服務器數據采用在線即時備份以及數據遠程異地備份的方式,確保數據完整、準確、安全。f.定期對系統進行漏洞掃描分析,發現系統中存在風險與漏洞,及時對系統修復完善。g.部署統一的日志存儲及分析系統,統計分析系統重要關鍵設備的生成日志,便于及時發現問題并解決問題。(5)制定應急響應預案,保證數據安全。應急響應預案的制定必須具有可操作性,應根據事件的等級制定響應流程,明確管理責任及責任主體,同時還需要在日常進行針對性的應急響應培訓教育與演練。
5結束語
篇6
為了貫徹國家對信息系統安全保障工作的要求以及等級化保護堅持“積極防御、綜合防范”的方針,需要全面提高信息安全防護能力。貴州廣電網絡信息系統建設需要進行整體安全體系規劃設計,全面提高信息安全防護能力,創建安全健康的網絡環境,保護國家利益,促進貴州廣電網絡信息化的深入發展。
1安全規劃的目標和思路
貴州廣電網絡目前運營并管理著兩張網絡:辦公網與業務網;其中辦公網主要用于貴州廣電網絡各部門在線辦公,重要的辦公系統為OA系統、郵件系統等;業務網主要提供貴州廣電網絡各業務部門業務平臺,其中核心業務系統為BOSS系統、互動點播系統、安全播出系統、內容集成平臺以及寬帶系統等。
基于對貴州廣電網絡信息系統的理解和國家信息安全等級保護制度的認識,我們認為,信息安全體系是貴州廣電網絡信息系統建設的重要組成部分,是貴州廣電網絡業務開展的重要安全屏障,它是一個包含貴州廣電網絡實體、網絡、系統、應用和管理等五個層面,包括保護、檢測、響應、恢復四個方面,通過技術保障和管理制度建立起來的可靠有效的安全體系。
1.1設計目標
貴州廣電網絡就安全域劃分已經進行的初步規劃,在安全域整改中初見成效,然而,安全系統建設不僅需要建立重要資源的安全邊界,而且需要明確邊界上的安全策略,提高對核心信息資源的保護意識。貴州廣電網絡相關安全管理體系的建設還略顯薄弱,管理細則文件亟需補充,安全管理人員亟需培訓。因此,本次規劃重點在于對安全管理體系以及目前的各個業務系統進行了全面梳理,針對業務系統中安全措施進行了重點分析,綜合貴州廣電網絡未來業務發展的方向,進行未來五年的信息安全建設規劃。
1.2設計原則
1.2.1合規性原則
安全設計要符合國家有關標準、法規要求,符合廣電總局對信息安全系統的等級保護技術與管理要求。良好的信息安全保障體系必然是分為不同等級的,包括對信息數據保密程度分級,對用戶操作權限分級,對網絡安全程度分級(安全子網和安全區域),對系統實現結構的分級(應用層、網絡層、鏈路層等),從而針對不同級別的安全對象,提供全面、可選的安全技術和安全體制,以滿足貴州廣電網絡業務網、辦公網系統中不同層次的各種實際安全需求。
1.2.2技管結合原則
信息安全保障體系是一個復雜的系統工程,涉及人、技術、操作等要素,單靠技術或單靠管理都不可能實現。因此,必須將各種安全技術與運行管理機制、人員思想教育與技術培訓、安全規章制度建設相結合。
1.2.3實用原則
安全是為了保障業務的正常運行,不能為了安全而妨礙業務,同時設計的安全措施要可以落地實現。
1.3設計依據
1.3.1“原則”符合法規要求
依據《中華人民共和國計算機信息系統安全保護條例K國務院147號令)、《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發[20〇3]27號)、《關于信息安全等級保護工作的實施意見》(公通字[2004]66號)、《信息安全等級保護管理辦法》(公通字[2007]43號)和GB/T22240-2009《信息安全技術信息系統安全等級保護定級指南》、GB/T22239-2008《信息安全技術信息系統安全等級保護基本要求》、《廣播電視安全播出管理規定》(廣電總局62號令)、GDJ038-CATV|有線網絡。
2011《廣播電視播出相關信息系統等級保護基本要求》,對貴州省廣播電視相關信息系統安全建設進行規劃。
1.3.2“策略”符合風險管理
風險管理是基于“資產-價值-漏洞-風險-保障措施”的思想進行保障的。風險評估與管理的理論與方法已經成為國際信息安全的標準。
風險管理是靜態的防護策略,是在對方攻擊之前的自我鞏固的過程。風險分析的核心是發現信息系統的漏洞,包括技術上的、管理上的,分析面臨的威脅,從而確定防護需求,設計防護的措施,具體的措施是打補丁,還是調整管理流程,或者是增加、增強某種安全措施,要根據用戶對風險的可接受程度,這樣就可以與安全建設的成本之間做一個平衡。
1.3.3“措施”符合P2DR模型
美國ISS公司(IntemetSecuritySystem,INC)設計開發的P2DR模型包括安全策略(Policy)、檢測(Detection)、防護(Protection)和響應(Response)四個主要部分,是一個可以隨著網絡安全環境的變化而變化的、動態的安全防御系統。安全策略是整個P2DR模型的中樞,根據風險分析產生的安全策略描述了系統中哪些資源要得到保護,以及如何實現對它們的保護等,策略是模型的核心,所有的防護、檢測和響應都是依據安全策略實施的。
檢測(Detection)、防護(Protection)和響應(Response)三個部分又構成一個變化的、動態的安全防御體系。P2DR模型是在整體的安全策略的控制和指導下,在綜合運用防護工具(如防火墻、身份認證、加密等)的同時,利用檢測工具(如漏洞評估、入侵檢測等)了解和評估系統的安全狀態,通過適當的反應將系統調整至“最安全”和“風險最低”的狀態,在安全策略的指導下保證信息系統的安全[3]。
1.4安全規劃體系架構
在進行了規劃“原則”、“策略”、“措施”探討的基礎上,我們設計貴州廣電網絡的安全保障體系架構為“一個中心、兩種手段”。
“一個中心”,以安全管理中心為核心,構建安全計算環境、安全區域邊界和安全通信網絡,確保業務系統能夠在安全管理中心的統一管控下運行,不會進入任何非預期狀態,從而防止用戶的非授權訪問和越權訪問,確保業務系統的安全。
“兩種手段”,是安全技術與安全管理兩種手段,其中安全技術手段是安全保障的基礎,安全管理手段是安全技術手段真正發揮效益的關鍵,管理措施的正確實施同時需要有技術手段來監管和驗證,兩者相輔相成,缺一不可。
2安全保陳方案規劃
2.1總體設計
貴州廣電網絡的安全體系作為信息安全的技術支撐措施,分為五個方面:
邊界防護體系:安全域劃分,邊界訪問控制策略的部署,主要是業務核心資源的邊界,運維人員的訪問通道。
行為審計體系:通過身份鑒別、授權管理、訪問控制、行為曰志等手段,保證用戶行為的合規性。
安全監控體系:監控網絡中的異常,維護業務運行的安全基線,包括安全事件與設備故障,也包括系統漏洞與升級管理。
公共安全輔助:作為整個網絡信息安全的基礎服務系統,包括身份認證系統、補丁管理系統以及漏洞掃描系統等。
IT基礎設施:提供智能化、彈能力的基礎設施,主要的機房的智能化、服務器的虛擬化、存儲的虛擬化等。
2.2安全域劃分
劃分安全域的方法是首先區分網絡功能區域,服務器資源區、網絡連接區、用戶接入區、運維管理區、對外公共服務區;其次是在每個區域中,按照不同的安全需求區分不同的業務與用戶,進一步劃分子區域;最后,根據每個業務應用系統,梳理其用戶到服務器與數據庫的網絡訪問路徑,通過的域邊界或網絡邊界越少越好。
Z3邊界防護體系規劃
邊界包括網絡邊界、安全域邊界、用戶接口邊界(終端與服務器)、業務流邊界,邊界上部署訪問控制措施,是防止非授權的“外部”用戶訪問“里面”的資源,因此分析業務的訪問流向,是訪問控制策略設計的依據。
2.3.1邊界措施選擇
在邊界上我們建議四種安全措施:
1.網絡邊界:與外部網絡的邊界是安全防護的重點,我們建議采用統一安全網關(UTM),從網絡層到應用層的安全檢測,采用防火墻(FW)部署訪問控制策略,采用入侵防御系統(IPS)部署對黑客入侵的檢測,采用病毒網關(AV)部署對病毒、木馬的防范;為了方便遠程運維工作,與遠程辦公實施,在網絡邊界上部署VPN網關,對遠程訪問用戶身份鑒別后,分配內網地址,給予限制性的訪問授權。Web服務的SQL注入、XSS攻擊等。
3.業務流邊界:安全需求等級相同的業務應用采用VLAN隔離,采用路由訪問限制策略;不同部門的接入域也采用VLAN隔離,防止二層廣播,通知可以在發現安全事件時,開啟不同子域的安全隔離。
4.終端邊界:重點業務系統的終端,如運維終端,采用終端安全系統,保證終端上系統的安全,如補丁的管理、黑名單軟件管理、非法外聯管理、移動介質管理等等。
2.3.2策略更新管理
邊界是提高入侵者的攻擊“門檻”的,部署安全策略重點有兩個方面:一是有針對性。允許什么,不允許什么,是明確的;二是動態性。就是策略的定期變化,如訪問者的口令、允許遠程訪問的端口等,變化的周期越短,給入侵者留下的攻擊窗口越小。
2.4行為審計體系規劃
行為審計是指對網絡用戶行為進行詳細記錄,直接的好處是可以為事后安全事件取證提供直接證據,間接的好處乇兩方面:對業務操作的日志記錄,可以在曰后發現操作錯誤、確定破壞行為恢復時提供操作過程的反向操作,最大程度地減小損失;對系統操作的日志記錄,可以分析攻擊者的行為軌跡,從而判斷安全防御系統的漏洞所在,亡羊補牢,可以彌補入侵者下次入侵的危害。
行為審計主要措施包括:一次性口令、運維審計(堡壘機)、曰志審計以及網絡行為審計。
2.5安全監控體系規劃
監控體系不僅是網絡安全態勢展示平臺,也是安全事件應急處理的指揮平臺。為了管理工作上的方便,在安全監控體系上做到幾方面的統一:
1.運維與安全管理的統一:業務運維與安全同平臺管理,提高安全事件的應急處理速度。
2.曰常安全運維與應急指揮統一:隨時了解網絡上的設備、系統、流量、業務等狀態變化,不僅是日常運維發現異常的平臺,而且作為安全事件應急指揮的調度平臺,隨時了解安全事件波及的范圍、影響的業務,同時確定安全措施執行的效果。
3.管理與考核的統一:安全運維人員的工作考核就是網絡安全管理的曰常工作與緊急事件的處理到位,在安全事件的定位、跟蹤、處理過程中,就體現了安全運維人員服務的質量。因此對安全運維平臺的行為記錄就可以為運維人員的考核提供一線的數據。
安全監控措施主要包括安全態勢監控以及安全管理平臺,2.6公共安全輔助系統
作為整個網絡信息安全的基礎服務系統,需要建設公共安全輔助系統:
1.身份認證系統:獨立于所有業務系統之外,為業務、運維提供身份認證服務。
2.補丁管理系統:對所有系統、應用的補丁進行管理,對于通過測試的補丁、重要的補丁,提供主動推送,或強制執行的技術手段,保證網絡安全基線。
3.漏洞掃描系統:對于網絡上設備、主機系統、數據庫、業務系統等的漏洞要及時了解,對于不能打補丁的系統,要確認有其他安全策略進行防護。漏洞掃描分為兩個方面,一是系統本身的漏洞,二是安全域邊界部署了安全措施之后,實際用戶所能訪問到的漏洞(滲透性測試服務)。
2.7IT基礎設施規劃
IT基礎設施是所有網絡業務系統服務的基礎,具備一個優秀的基礎架構,不僅可以快速、靈活地支撐各種業務系統的有效運行,而且可以極大地提高基礎IT資源的利用率,節省資金投入,達到環保的要求。
IT基礎設施的優化主要體現在三個方面:智能機房、服務器虛擬化、存儲虛擬化。
3安全筐理體系規劃
在系統安全的各項建設內容中,安全管理體系的建設是關鍵和基礎,建立一套科學的、可靠的、全面而有層次的安全管理體系是貴州省廣播電視信息網絡股份有限公司安全建設的必要條件和基本保證。
3_1安全管理標準依據
以GBAT22239-2008《信息安全技術信息系統安全等級保護基本要求》中二級、三級安全防護能力為標準,對貴州廣電網絡安全管理體系的建設進行設計。
3.2安全管理體系的建設目標
通過有效的進行貴州廣電網絡的安全管理體系建設,最終要實現的目標是:采取集中控制模式,建立起貴州廣電網絡完整的安全管理體系并加以實施與保持,實現動態的、系統的、全員參與的、制度化的、以預防為主的安全管理模式,從而在管理上確保全方位、多層次、快速有效的網絡安全防護。
3.3安全管理建設指導思想
各種標準體系文件為信息安全管理建設僅僅提供一些原則性的建議,要真正構建符合貴州廣電網絡自身狀況的信息安全管理體系,在建設過程中應當以以下思想作為指導:“信CATV丨有線網絡息安全技術、信息安全產品是信息安全管理的基礎,信息安全管理是信息安全的關鍵,人員管理是信息安全管理的核心,信息安全政策是進行信息安全管理的指導原則,信息安全管理體系是實現信息安全管理最為有效的手段。”
3.4安全管理體系的建設具體內容
GB/T22239-2008《信息安全技術信息系統安全等級保護基本要求》(以下簡稱《基本要求》)對信息系統的安全管理體系提出了明確的指導和要求。我們應以《基本要求》為標準,結合目前貴州廣電網絡安全管理體系的現狀,對廣電系統的管理機構、管理制度、人員管理、技術手段四個方面進行建設和加強。同時,由于信息安全是一個動態的系統工程,所以,貴州廣電網絡還必須對信息安全管理措施不斷的加以校驗和調整,以使管理體系始終適應和滿足實際情況的需要,使貴州廣電網絡的信息資產得到有效、經濟、合理的保護。
貴州廣電網絡的安全管理體系主要包括安全管理機構、安全管理制度、安全標準規范和安全教育培訓等方面。
通過組建完整的信息網絡安全管理機構,設置安全管理人員,規劃安全策略、確定安全管理機制、明確安全管理原則和完善安全管理措施,制定嚴格的安全管理制度,合理地協調法律、技術和管理三種因素,實現對系統安全管理的科學化、系統化、法制化和規范化,達到保障貴州廣電網絡信息系統安全的目的。
3.5曰常安全運維3.5.1安全風險評估
安全風險評估是建立主動防御安全體系的重要和關鍵環節,這環的工作做好了可以減少大量的安全威脅,提升整個信息系統的對網絡災難的免疫能力;風險評估是信息安全管理體系建立的基礎,是組織平衡安全風險和安全投入的依據,也是信息安全管理體系測量業績、發現改進機會的最重要途徑。
3.5.2網絡管理與安全管理
網絡管理與安全管理的主要措施包括:出入控制、場地與設施安全管理、網絡運行狀態監控、安全設備監控、安全事件監控與分析、提出預防措施。
3.5.3備份與容災管理
貴州廣電網絡主要關鍵業務系統需要雙機本地熱備、數據離線備份措施;其他相關業務應用系統需要數據離線備份措施。
3.5.4應急響應計劃
通過建立應急相應機構,制定應急響應預案,通過建立專家資源庫、廠商資源庫等人力資源措施,通過對應急響應有線網絡ICATV預案不低于一年兩次的演練,可以在發生緊急事件時,做到規范化操作,更快的恢復應用和數據,并最大可能的減少損失
3.6安全人員管理
信息系統的運行是依靠在各級黨政機構工作的人員來具體實施的,他們既是信息系統安全的主體,也是系統安全管理的對象。所以,要確保信息系統的安全,首先應加強人事安全管理。
安全人員應包括:系統安全管理員、系統管理員、辦公自動化操作人員、安全設備操作員、軟硬件維修人員和警衛人員。
其中系統管理員、系統安全管理員必須由不同人員擔當。3.7技術安全管理
主要措施包括:軟件管理、設備管理、備份管理以及技術文檔管理。
4安全規劃分期建設路線
信息安全保障重要的是過程,而不一定是結果,重要的是安全意識的提高,而不一定是安全措施的多少。因此,信息安全建設也應該從保障業務運營為目標,提高用戶自身的安全意識為思路,根據業務應用的模式與規模逐步、分階段建設,同時還要符合國家與廣電總局關于等級保護的技術與管理要求。
4.1主要的工作內容
根據安全保障方案規劃的設計,貴州廣電網絡的信息安全建設分為如下幾個方面的內容:
1.網絡優化改造:主要是安全域的劃分,網絡結構的改造。
2.安全措施部署:邊界隔離措施部署,行為審計系統部署、安全監控體系部署。
3.基礎設施改造:主要是數據大集中、服務器虛擬化、存儲虛擬化。
4.安全運維管理:信息安全管理規范、日常安全運維考核、安全檢查與審計流程、安全應急演練、曰常安全服務等。
4.2分期建設規劃
4_2.1達標階段(2015-2017)
1.等保建設
2.信任體系:網絡審計、運維審計、日志審計
3.身份鑒別(一次口令)
4.監控平臺:入侵檢測、流量監測、木馬監測
5.安全管理平臺建設
6.等保測評通過(2級3級系統)
7.安全服務:建立定期模式
8.滲透性測試服務(外部+內部)
9.安全加固服務,建立服務器安全底線
10.信息安全管理
11.落實安全管理細則文件制定
12.落實安全運維與應急處理流程
13.完善IT服務流程,建設安全運維管理平臺
14.定期安全演練與培訓
4.2.2持續改進階段(2018?2019)
1.等保建設
2.完善信息安全防護體系
3.提升整體防護能力
4.深度安全服務
5.有針對性安全演練,協調改進管理與技術措施
6.源代碼安全審計服務(新上線業務)
7.信息安全管理
8.持續改進運維與應急流程與制度,提高應急反應能力
9.提高運維效率,開拓運維增值模式
5結東語
篇7
[關鍵詞]大數據;大數據安全;信息安全;風險
大數據已成為推動經濟轉型發展的新動力,提升政府管理能力的新途徑。大數據技術在快速發展的同時,其面臨的信息安全挑戰也日益嚴峻。美國“棱鏡門”事件可以視為大數據時代的重大信息安全事件,主要是通過收集各國的重要敏感數據進行大數據分析。2017年5月在全球爆發的大規模勒索病毒“Wannacry”感染事件再次給世人敲響了警鐘,已對我國互聯網絡構成較為嚴重的安全威脅。大數據環境下的信息安全威脅已成為全社會共同面臨的問題和挑戰。首先分析了大數據環境下信息安全的概況,接著對大數據環境下的若干典型信息安全風險進行分析,最后提出了大數據環境下信息安全的應對策略。
1大數據的特征和用途
通常情況下,大數據是指規模龐大,無法在一定時間范圍內用常規軟件工具進行捕捉、管理和處理的數據集合,是需要新處理模式才能具有更強的決策力、洞察發現力和流程優化能力的海量、高增長率和多樣化的信息資產。大數據具有體量巨大、類型繁多、價值密度低、處理速度快等特點[1]。大數據的戰略價值不在于龐大的數據量本身,而在于對海量數據進行專業化分析挖掘,從而使發現事物規律[2],預測未來成為可能,通過廣泛應用于科學、教育、商業、醫療等各領域,為經濟社會快速發展帶來強大的驅動力。
2大數據環境下的信息安全風險分析
大數據在帶來巨大價值的同時,也引發了一系列安全問題。大數據環境下信息安全面臨著以下風險:加劇了隱私泄露風險、基礎設施面臨嚴峻安全威脅[3]、大數據成為網絡攻擊的重要目標和大數據技術成為網絡攻擊的手段。2.1大數據加劇了隱私泄露風險。個人隱私信息主要包括個人身份信息、財產信息、位置信息、社交信息、健康信息等。大數據環境下,如果隱私信息未被妥善地處理,很可能會對用戶的個人隱私造成極大的侵害。大數據環境下,個人隱私泄露一方面涉及個人隱私信息自身的泄露[4-5],另一方面,也是更大的風險,就是根據對用戶的以往大數據分析,從而對用戶的行為和狀態進行推斷、預測,對用戶隱私產生極大的威脅,甚至被用于實施精準營銷甚至網絡詐騙等,對人們的正常生活造成了嚴重干擾[6],甚至會威脅社會生活的正常秩序。2.2大數據基礎設施面臨嚴峻安全威脅。大數據基礎設施是大數據安全運行的主要載體和重要基礎,具有分布式、虛擬化等特點。作為大數據的支撐平臺—云計算安全面臨著嚴峻的安全威脅,隨著云計算的發展,數據在采集、傳輸、存儲、處理、共享、使用、銷毀等環節上進一步集中,大數據在云端的集中存儲必然會導致數據安全的風險加劇[7],大數據基礎設施遭受網絡攻擊的機會增多,從而影響大數據基礎設施的正常運行。2.3大數據成為網絡攻擊的重要目標。隨著云計算的發展,傳統的網絡安全邊界已經消失,APT、DDoS、零日漏洞網絡攻擊等安全風險加劇,傳統的網絡安全防御方法已經無法適應新形勢下的網絡安全防護需求。同時由于大數據包含了大量有價值的信息,已成為網絡攻擊的重要目標[8],面臨著數據篡改、數據竊取等安全風險。2.4大數據技術成為網絡攻擊的手段。由于大數據包含了豐富全面的信息,黑客通過收集海量的用戶隱私信息,運用大數據技術對特定目標發起精準攻擊成為可能。數據挖掘和分析等大數據技術被用于網絡攻擊手段可發起高級可持續威脅(APT)攻擊,通過將APT網絡攻擊代碼隱藏嵌入在大數據中,進而利用大數據技術發起僵尸網絡攻擊,能夠控制海量傀儡機進而發起更大規模的網絡攻擊,嚴重威脅網絡信息安全。
3大數據環境下信息安全的應對策略
根據對大數據環境下的信息安全風險分析,下面分別從四個方面設計大數據環境下信息安全的應對策略。3.1建立大數據信息安全戰略保障體系。大數據信息安全需要從戰略層面加強頂層規劃和整體設計,著重從法律法規、組織規劃、大數據監管、安全策略、標準規范、人才支撐等方面進行宏觀設計,健全大數據信息安全相關法律法規,完善大數據信息安全管理機構,強化大數據的統一監管,推動大數據信息安全的標準制定工作,構建大數據信息安全人才支撐體系[9-10],具體如圖1所示。3.2構建大數據全生命周期運行保障體系。加強對數據采集、傳輸、存儲、處理、使用、銷毀等生命周期全過程的安全防護,構建大數據全生命周期運行保障體系,如圖2所示。在數據采集階段運用數據加密、數據融合等技術提高其安全性。在數據傳輸階段采取VPN(虛擬專用網)技術建立數據安全傳輸的通道。在數據存儲階段運用分布式云存儲技術、數據脫敏、同態加密、數據災備等技術提高其存儲安全性。在數據處理階段,要在做好隱私保護的基礎上進行大數據挖掘,確保大數據的安全。在數據的使用階段,主要使用身份認證、訪問控制、數據溯源等技術,確保數據訪問可管可控、可溯源追蹤。3.3構建重要敏感數據的分級管控體系。根據大數據的重要性和敏感性,建立分級管控機制,實施差異化管理。在政府層面,要加大對重點行業領域、敏感數據的監管,實施信息安全等級保護,制定和完善對重要數據庫的管理制度。在企業層面,要加強內部重要敏感數據的監管,明確相關操作方法和操作流程,強化對人員、設備、數據的管理,降低數據泄密風險。3.4加強大數據安全的監測預警及應急響應能力建設。建立大數據的動態安全監測預警機制,實時監測大數據的運行狀況,對異常狀況及時響應預警。構建大數據安全應急響應體系,建立響應的組織機構,制定應急處理的流程,一旦發生重大的安全事件,立即啟動應急預案,對大數據安全事件按照既定的流程快速處置,事后對處置效果進行評估分析,根據評估結果進一步完善相關防護措施,提高大數據安全的綜合防護能力。
4結語
篇8
(一)境外信息安全威脅已然顯現
棱鏡門事件折射出美國通過國內高科技公司實施全球網絡空間霸權的戰略圖謀,為我國金融業敲響警鐘。是國外對中國金融信息的竊取僅次于軍事情報,我國金融業核心軟硬件多為國外企業產品,使得我國金融信息系統容易被國外掌控,為行業信息安全埋下隱患。服務外包對國外廠商依賴度較高,加大了風險控制難度,敏感信息、核心技術泄密的可能性增加。我國對外政治經濟摩擦不斷增多,金融改革持續推進,競爭進一步激烈,金融機構數據中心遭受境外黑客攻擊的可能性大大增加。例如,2013年11月29日,“中國煤炭銀行”官網被黑,其官網稱此次事件系日本金融財閥勾結國內金融集團所為。
(二)互聯網輿情威脅不容忽視
互聯網是廣大網民獲取信息資源、表達訴求最便捷和最有效的平臺。微博客、網絡社區、論壇等網絡輿論平臺飛速發展,成為社會輿論的發動機。網絡輿論與摘要:我國金融業信息化進程不斷加速,國內外信息安全環境深刻變化,金融機構須定期判斷和分析國內外信息安全形勢,不斷提高風險防范水平。本文分析了當前金融業面臨的信息安全形勢,并從完善信息安全組織機制、夯實信息安全基礎、強化互聯網風險防范等角度提出應對策略和建議。關鍵詞:金融業;信息安全;安全威脅;形勢分析;應對策略傳統媒體相互呼應,將迅速形成風險擴散的“蝴蝶效應”,放大信息安全風險。一旦金融機構局部的信息安全風險被網絡聚焦、放大,會加大風險控制與事件處置的難度。此外,一些組織或個人出于競爭、報復或利益的目的,通過互聯網關于金融機構的不實信息,營造“偽輿論”。還有一些小摩擦或小糾紛,由于沒有得到及時察覺和合理處置,引發網民圍觀,形成網絡熱點事件。這些不僅會嚴重影響金融機構聲譽,還會給整個行業帶來不良社會影響,甚至造成巨額經濟損失,實力相對較小的微型金融機構可能面臨倒閉風險。
(三)互聯網金融使信息安全形勢更趨復雜
2013年中國互聯網金融出現了快速發展勢頭,被稱為中國互聯網金融元年,各大互聯網企業巨頭紛紛進軍互聯網金融,推出“余額寶”、“微銀行”、“京寶貝”等金融產品和服務。面對激烈競爭,傳統金融機構積級調整戰略介入其中。互聯網金融為金融業帶來新的發展機遇的同時,同樣引入了信息安全風險和威脅。除具有傳統金融業經營過程中存在的流動性風險、市場風險和利率風險外,互聯網金融還存有信息技術導致的平臺風險、技術風險、系統安全風險和基于虛擬金融服務的業務風險,且風險誘因更加復雜、風險擴散傳播速度更快。移動互聯網發展和智能手機的普及使互聯網金融隨處可及,互聯網金融活動突破了時間和空間的局限,將成為網絡釣魚、黑客攻擊的新目標,金融業面臨信息安全形式更趨復雜。
二、新形勢下金融業信息安全應對策略
(一)完善信息安全工作的組織機制
組織機制是保障信息安全最基礎、最有效的長效機制,金融機構要基于當前信息安全形勢和監管部門要求,進一步完善信息安全工作的組織機制。
1.明確不同部門和崗位的信息安全職責。當前,保障信息安全已不是一個或幾個部門的責任,而是機構內所有部門、全體員工共同的職責。金融機構要明確業務部門、內控部門與技術部門共擔信息安全風險的責任,將信息安全保障納入到各崗位職責中,將信息安全工作作為一項重要的日常工作,努力形成全員參與信息安全保障的局面。
2.嚴格信息安全責任追究。按照“誰主管,誰負責;誰使用,誰負責”的原則,落實信息安全問責制,把信息安全風險的防范、識別、消除納入業績考核范疇,使所有員工意識到信息安全責任重于天。
3.提高制度的執行力。建立健全制度落實的規范流程和監督檢查機制,關注各流程、環節之間的銜接性,實現部門自控與機構內控相結合。及時發現和解決制度執行中的問題,保證制度的有效落實,維護制度的嚴肅性和權威性。
(二)夯實信息安全基礎,提升風險防范水平
信息安全工作涉及內容較多,內外部的信息安全威脅不斷發生變化,信息安全保障和風險防范不可能一蹴而就,而是一項不斷建設、持續完善的工程。金融機構應根據機構現狀和內外部安全形勢,科學制定機構信息安全發展規劃,有重點、有層次推進機構信息安全工作,不斷提升信息安全防范水平。
1.切實落實國家信息安全等級保護和信息系統分級保護工作。按照國家有關等級保護和分級保護的管理規范和技術標準開展等級保護和分級保護工作,嚴格遵照安全等級劃分標準確定機構計算機網絡和信息系統的安全等級,并按相應等級具體要求,建設安全設施、建立安全制度、落實安全責任,接受公安機關、保密部門、國家密碼工作部門對信息安全等級保護工作的監督、指導,保障信息系統安全。
2.穩步推進信息產品國產化進程。“棱鏡門”事件后,信息安全國產化進程加快,金融業要牢牢把握國產化機遇期,以安全生產為底線,按照“推廣成熟、擴大基本成熟、試點逐步成熟、攻關不成熟”的策略,穩步推進金融業信息技術國產化進程,逐步實現信息安全產品、關鍵設備、核心系統、系統等國有產品替換。加強人才隊伍建設和培養,提高自主運維能力和水平,逐漸減少對國外企業外包服務的依賴。
3.安全管理與技術防護并重。綜合使用多種安全機制,將不同安全機制的保護效果有機結合,安全管理與技術防護雙管齊下,相互配合,形成完整的立體防護體系。金融機構要摒棄“重技術,輕管理”的認識誤區,突出安全管理在信息安全保障體系中的重要性,增強技術防護體系的效率和效果,彌補當前技術不能完全解決的安全缺陷,實現最佳的保護效果。
4.完善災備體系建設和管理。災備體系是保障金融業務連續性的重要防線,是維護信息系統和網絡安全的重要措施。金融機構要把災備中心建設規劃提升到國家信息安全戰略高度予以重視,扎實做好機構災備中心布局規劃和災備建設工作。定期研究、評估當前災備中心布局,對存在的問題及時進行整改。對于核心業務系統,要實現應用級備份,保證突發事件發生時可及時恢復業務運營。確保備份數據的有效性,定期對冗余備份系統、備份介質進行深度可用性驗證。
5.加強人員操作行為管理,防范操作風險。從風險防范角度進一步完善網絡和信息系統的操作流程,加強操作流程管理和審查,實現人員操作事前能控制、事中可監控、事后有審計,使風險防范從“管住人”進一步發展到“管住行為”。善于運用技術手段加強對操作風險防控,達到從管理和技術兩個方面防范技術人員操作風險的目標,確保操作零風險。
6.提高機房設施保障水平。計算機機房是信息中心的核心部位,除承載機構的重要網絡和信息系統外,還有空調、消防、防雷等保障機房設備安全穩定運行的機房設施。要加強機房設施的監測和風險評估工作,確保UPS供配電子系統、機房空調子系統、防雷接地子系統、設備監控子系統、機柜微環境子系統、安全消防子系統等機房設施健康運轉,為機房這個“軀體”提供充足的“氧氣“和“血液”,保障作為“器官”的各信息系統正常運行。將機房設施安全放在同網絡和信息系統安全同等重要地位,發現風險隱患及時整改,勿將本應發揮安全保障功能的機房設施變成風險易發區域。
7.重視應急演練工作,提高應對突發事件的能力和水平。全面評估信息安全風險,建立風險全覆蓋的應急預案體系和應急演練常態化工作機制。根據風險的等級和影響程度,合理確定單項演練、綜合演練、跨部門演練、跨地域演練等不同類型演練的組合,具備應對不同類型風險的應急處置能力。依據風險的變化和應急演練效果完善應急預案,不斷提高應急預案的可操作性。堅持在演練中鍛煉隊伍,持續提高人員的風險意識和突發事件的響應處置能力。
(三)強化互聯網風險防控工作
1.加強互聯網輿情監測,妥善處置網絡熱點事件。完善互聯網輿情監測系統,加強人才隊伍建設,建立網絡輿情摘報和熱點專報制度,及時掌控輿情動態,盡早發現各種形式“偽輿論”,避免形成網絡熱點事件,影響正常的金融秩序。重視信息和輿論引導工作,做到未雨綢繆、預防在先。完善輿情熱點事件處置機制和流程,做到反應快速、判斷準確、處置合理,充分發揮傳統媒體與網絡媒體的協同作用,對網絡輿情進行正面引導和回應,將不利影響控制在最小范圍內。
篇9
供電企業的信息系統應該根據自身生產特點,劃分為生產控制區域管理信息區,并且對于業務處理進行分級,實現差異化的防護措施,提高防護水平與防護效果。其中,對于生產控制區的劃分上,可以劃分為控制區與非控制區,將專用數據網絡進行網段阻隔,劃分為安全控制區,并且與其他控制區之間安裝電力專用正向單向隔離裝置。對于管理信息區中,要安裝硬件防火墻,對訪問行為進行嚴格的控制,做好以下工作:(1)加強口令管理與數據備份,提高系統安全性。口令信息是保證信息安全的重要環節,也是驗證權限的重要手段。所有服務器與計算機,都需要設置開機口令,并且保證口令的安全性與復雜性。對于安全口令進行定期的更換,提高口令的安全性。(2)在計算機日常使用的過程中,要設定屏幕保護,并開啟屏幕保護密碼。與此同時,還要關閉遠程桌面功能,避免被外來人員進行遠程訪問與控制。數據備份是提高系統安全性的另一項重要舉措,是保護系統數據完整性的主要方式。計算機管理人員需要對信息系統中的數據進行定期的備份,在出現病毒入侵、數據損壞等情況下,及時的進行數據恢復,保證信息系統的正常運作。個人電腦在日常使用中,也要注意做好信息的備份。(3)加強殺毒與漏洞掃描的工作,消除系統安全隱患。電力企業的網絡系統管理者,需要根據自身企業內部網絡情況,購買專業殺毒軟件,提高整體網絡的安全性。對于殺毒軟件,需要進行定期的病毒庫更新,對計算機病毒庫進行實時的升級,降低網絡病毒與木馬對計算機的影響。對于系統漏洞的管理上,要采用漏洞自動掃描系統,對于系統的安全風險進行評估,及時的對系統中的漏洞進行整改。信息系統管理員要對網絡系統進行定期的評測,對于系統中存在的安全風險與漏洞進行有效的處理,降低系統運行風險,提高系統的可靠性與穩定性。
2加強物理安全和主機安全的管理,提高對安全事故的響應能力
電力企業內部員工在日常工作中,要注重對計算機電話的保護,下班后及時關閉計算機,從而延長計算機使用壽命,保護硬件設設備的安全。針對特殊雷雨天氣,要做好防雷擊與防潮工作,保護機房的環境。在對于機房的管理上,要執行嚴格的登記制度,避免無關人員進入機房。對于服務器與數據庫的訪問上,要嚴格對訪問權限進行管理,關閉可能造成系統受攻擊的服務與端口,最大限度的提高服務器的安全運行水平。在安全管理工作中,要建立科學有效的應急預案,爭取在出現安全事件時,第一時間的進行響應與處理,降低影響與損失,保證電網最快的恢復正常運行。
3結束語
篇10
Abstract: Grid safety and prevention work is the priority among priorities of production safety work, not moving, safety first, as long as the safety daily management work of advance planning analysis in place, in order to fundamentally eliminate accidents, it is the bounden duty of safety management. Power enterprises should grasp the operation mode, do a good job of contingency. The running status of power grid operation mode, main power equipment and the shift of work to be done, do know the score, and at that time, weather, power grid operation mode and shift the main work, do a good job of contingency, in advance, so that when an exception presents, can be a timely and decisive processing; in order to ensure the grid security, quality, economic operation.
關鍵詞: 電力系統;電網安全;管理;安全運行;預防;措施
Key words: power system;network security;management;safety operation;prevention;measures
中圖分類號:TM732 文獻標識碼:A 文章編號:1006-4311(2014)15-0110-02
1 概述
電網企業安全生產標準化建設工作成為一個研究熱點,對電力公司安全生產管理全過程進行全面梳理。進一步建立健全組織機構、強化培訓和標準宣貫、加強工作交流與溝通。公司相關部門人員對照《電網企業安全生產標準化規范及達標評級標準》,按部門、班組劃分自查項目,開展以安全生產目標、組織機構和職責、安全生產投入、教育培訓、作業安全、隱患排查和治理、重大危險源監控和應急救援等方面進行逐條自查。按照“邊查邊改”的原則,各部門對存在的安全管理不足、漏洞,對設備設施、作業安全等發現的缺陷和隱患,制定整改計劃,進行糾正、治理和完善,公司安全管理水平得到穩步提升。
供電公司將根據專家評審意見,積極做好項目整改落實工作,將安全生產達標評級工作與日常安全生產工作相結合,進一步夯實安全基礎。以安全生產標準化建設為抓手,按照貫標打基礎、達標再復查、定標明方向、對標找差距、創標求提升五個步驟,對安全管理工作進行持續改進,努力實現供電企業安全發展科學發展。
2 電力系統信息安全監控相關領域的研究現狀
隨著計算機網絡技術的突飛猛進,數據網絡在電力系統中的應用日益廣泛,已經成為不可或缺的基礎設施。然而,開放的信息系統必然存在眾多潛在的安全隱患,黑客和反黑客、破壞和反破壞的斗爭仍將繼續。在這樣的斗爭中控制工程網版權所有,安全技術作為一個獨特的領域越來越受到全球網絡建設者的關注。
2014年3月17日,中國電機工程學會在北京組織召開了“電力系統信息安全監督及保密檢查技術的研究與應用”項目技術鑒定會。來自國家信息化專家咨詢委員會、國家信息技術安全研究中心、中國信息安全測評中心、國防科工委等單位的鑒定專家一致認為,該項目攻克了高精度WEB應用性分析、數據庫脆弱性掃描等信息安全檢測的關鍵技術,研究成果填補了電力行業信息安全監督技術手段與工作體系的空白,整體達到了國內領先水平,部分成果達到國際先進水平。
該項目由中國電科院信息通信研究所承擔,項目首創了基于漏洞掃描與滲透驗證結合的數據庫安全檢測機制、基于“五元組”策略的敏感關鍵字自動檢測模型,提出集成文件關聯刪除技術和數據隨機覆寫技術,構建了一套“四全”的信息安全技術監督體系,解決了信息系統安全隱患難以及時、全面、深入檢測的難題,提升了信息安全漏洞與缺陷隱患的檢查效率,有效避免了發生影響電網生產、經營、管理的信息安全事件。
項目研究成果已被國家能源局及其他電力企業采用,對于電力系統及國家關鍵基礎設施信息安全防護具有重要的示范及推廣意義。
3 加強電網運行方式的安全預防管理
電力生產安全管理重在預防,那么現實工作中,如果對存在的缺陷不分析、對細節問題視而不見、避而不談,“千里之堤”必將“毀于蟻穴”。只有全面深入落實“建體系,知風險,明措施,抓落實,重改進”的安全生產理念,提升電網安全生產風險的預防及控制能力,下面主要討論五點預防措施。
一是提高安全意識,完善考核機制。大力開展“我要安全,我不違章”主題活動,要求全體員工把安全工作作為各項工作的底線,互相關心、互相提醒、互相監督,嚴禁發生安全違規、作業違章行為。同時層層簽訂安全責任狀,明確安全目標,確保責任落實到人。
二是未雨綢繆,全力保障春檢安全。通過認真分析歷年春季用電規律,制定春季供保電方案,做好各種事故預想,尤其對存在過負荷、供電“卡脖子”的區域和設備進行重點排查,限期整改,加大現場安全措施和兩票三制的執行力度,為春季電網安全運行鑄造一道安全屏障。
三是提高應急處置能力,加速安全工作提升。結合當前負荷特點,開展應急預案演練活動,提升應急響應能力。加強各部門、各專業間的交流,取長補短,做好安全管理橫向對標工作,加速提升。
四是加大安全培訓力度,譜寫安全管控新篇章。以大力開展培訓教育主題年活動為引領,從安全理念、安全知識、安全技能等多方面入手,通過“安全展板進課堂”等活動加速推進培訓,全方位、多角度提升全員安全水平。
五是加強安全用電宣傳活動。大力開展電力宣傳活動,多渠道宣傳安全用電知識,提高群眾安全責任意識,形成政企聯動、群眾自覺的良好氛圍,有效預防各類安全事故的發生。
除此之外,面對智能電網發展的全新要求,只有構建科學的安全教育體系,才能把安全生產引上精益化管理之路。在開展崗位安全教育培訓的同時,也要探索與實訓相結合的安全生產培訓方式,推行安全技術等級認證體系,加強規章制度和安全技能培訓。預防安全事故的關鍵是做到對安全風險心中有數。從提出概念、制定規范到后期不斷完善,安全管理模式從人員素質、現場管理、機具與防護、生產環境、安全生產綜合管理等多方面開展風險識別工作,深入查找影響安全的各種不安全因素,實現了對于安全生產全員、全方位、全過程的管控。
4 結束語
科學進行電網規劃,合理安排電網運行方式,提前做好電網應急預案,并定期開展電網反事故演練,確保電網安全穩定運行。加強計劃剛性管理,科學合理的安排停電計劃,并通過主配網相結合,最大限度地減少用戶重復停電次數;進一步深化調控業務一體化建設,并通過調度、監控以及故障搶修平臺的融合,建立快速響應機制,不斷提高調控業務的安全管理水平;確保地縣調控一體化有序運作。
參考文獻:
[1]章建,周全仁,樊福而,李湘祁.湖南電網安全穩定控制系統[J].電力系統自動化,2000(03).
[2]趙冬紅,劉文穎,謝昶,李靜,鄭陽.直流外送對西北電網影響的研究[A].中國高等學校電力系統及其自動化專業第二十四屆學術年會論文集(上冊)[C].2008.
[3]通訊員高強.湖南電網完成鐵路電能質量測試[N].中國電力報,2006.
[4]許濤.電力系統安全穩定的智能挖掘[D].北京:華北電力大學,2004.
[5]韓志勇.電力系統機網動態安全穩定的研究[D].北京:華北電力大學,2009.
