前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的信息安全方針和策略主題范文,僅供參考,歡迎閱讀并收藏。
論文摘要:文章首先分析了信息安全外包存在的風(fēng)險(xiǎn),根據(jù)風(fēng)險(xiǎn)提出信息安全外包的管理框架,并以此框架為基礎(chǔ)詳細(xì)探討了信息安全外包風(fēng)險(xiǎn)與管理的具體實(shí)施。文章以期時(shí)信息安全外包的風(fēng)險(xiǎn)進(jìn)行控制,并獲得與外包商合作的最大收益。
1信息安全外包的風(fēng)險(xiǎn)
1.1信任風(fēng)險(xiǎn)
企業(yè)是否能與信息安全服務(wù)的外包商建立良好的工作和信任關(guān)系,仍是決定時(shí)候?qū)踩?wù)外包的一個(gè)重要因素。因?yàn)樾畔踩耐獍炭梢栽L問到企業(yè)的敏感信息,并全面了解其企業(yè)和系統(tǒng)的安全狀況,而這些重要的信息如果被有意或無意地對(duì)公眾散播出去,則會(huì)對(duì)企業(yè)造成巨大的損害。并且,如若企業(yè)無法信任外包商,不對(duì)外包商提供一些關(guān)鍵信息的話,則會(huì)造成外包商在運(yùn)作過程中的信息不完全,從而導(dǎo)致某些環(huán)節(jié)的失效,這也會(huì)對(duì)服務(wù)質(zhì)量造成影響。因此,信任是雙方合作的基礎(chǔ),也是很大程度上風(fēng)險(xiǎn)規(guī)避的重點(diǎn)內(nèi)容。
1.2依賴風(fēng)險(xiǎn)
企業(yè)很容易對(duì)某個(gè)信息安全服務(wù)的外包商產(chǎn)生依賴性,并受其商業(yè)變化、商業(yè)伙伴和其他企業(yè)的影響,恰當(dāng)?shù)娘L(fēng)險(xiǎn)緩釋方法是將安全服務(wù)外包給多個(gè)服務(wù)外包商,但相應(yīng)地會(huì)加大支出并造成管理上的困難,企業(yè)將失去三種靈活性:第一種是短期靈活性,即企業(yè)重組資源的能力以及在經(jīng)營環(huán)境發(fā)生變化時(shí)的應(yīng)變能力;第二種是適應(yīng)能力,即在短期到中期的事件范圍內(nèi)所需的靈活性,這是一種以新的方式處理變革而再造業(yè)務(wù)流程和戰(zhàn)略的能力,再造能力即包括了信息技術(shù);第三種靈活性就是進(jìn)化性,其本質(zhì)是中期到長期的靈活性,它產(chǎn)生于企業(yè)改造技術(shù)基本設(shè)施以利用新技術(shù)的時(shí)期。進(jìn)化性的獲得需要對(duì)技術(shù)趨勢(shì)、商業(yè)趨勢(shì)的準(zhǔn)確預(yù)測(cè)和確保雙方建立最佳聯(lián)盟的能力。
1.3所有權(quán)風(fēng)險(xiǎn)
不管外包商提供服務(wù)的范圍如何,企業(yè)都對(duì)基礎(chǔ)設(shè)施的安全操作和關(guān)鍵資產(chǎn)的保護(hù)持有所有權(quán)和責(zé)任。企業(yè)必須確定服務(wù)外包商有足夠的能力承擔(dān)職責(zé),并且其服務(wù)級(jí)別協(xié)議條款支持這一職責(zé)的履行。正確的風(fēng)險(xiǎn)緩釋方法是讓包括員工和管理的各個(gè)級(jí)別的相關(guān)人員意識(shí)到,應(yīng)該將信息安全作為其首要責(zé)任,并進(jìn)行安全培訓(xùn)課程,增強(qiáng)常規(guī)企業(yè)的安全意識(shí)。
1.4共享環(huán)境風(fēng)臉
信息安全服務(wù)的外包商使用的向多個(gè)企業(yè)提供服務(wù)的操作環(huán)境要比單獨(dú)的機(jī)構(gòu)內(nèi)部環(huán)境將包含更多的風(fēng)險(xiǎn),因?yàn)楣蚕淼牟僮鳝h(huán)境將支持在多企業(yè)之間共享數(shù)據(jù)傳輸(如公共網(wǎng)絡(luò))或處理(如通用服務(wù)器),這將會(huì)增加一個(gè)企業(yè)訪問另一企業(yè)敏感信息的可能性。這對(duì)企業(yè)而言也是一種風(fēng)險(xiǎn)。
1.5實(shí)施過程風(fēng)險(xiǎn)
啟動(dòng)一個(gè)可管理的安全服務(wù)關(guān)系可能引起企業(yè)到服務(wù)外包商,或者一個(gè)服務(wù)外包商到另一個(gè)外包商之間的人員、過程、硬件、軟件或其他資產(chǎn)的復(fù)雜過渡,這一切都可能引起新的風(fēng)險(xiǎn)。企業(yè)應(yīng)該要求外包商說明其高級(jí)實(shí)施計(jì)劃,并注明完成日期和所用時(shí)間。這樣在某種程度上就對(duì)實(shí)施過程中風(fēng)險(xiǎn)的時(shí)間期限做出了限制。
1.6合作關(guān)系失敗將導(dǎo)致的風(fēng)險(xiǎn)
如果企業(yè)和服務(wù)商的合作關(guān)系失敗,企業(yè)將面臨極大的風(fēng)險(xiǎn)。合作關(guān)系失敗帶來的經(jīng)濟(jì)損失、時(shí)間損失都是不言而喻的,而這種合作關(guān)系的失敗歸根究底來自于企業(yè)和服務(wù)外包商之間的服務(wù)計(jì)劃不夠充分完善以及溝通與交流不夠頻繁。這種合作關(guān)系在任何階段都有可能失敗,如同其他商業(yè)關(guān)系一樣,它需要給予足夠的重視、關(guān)注,同時(shí)還需要合作關(guān)系雙方進(jìn)行頻繁的溝通。
2信息安全外包的管理框架
要進(jìn)行成功的信息安全外包活動(dòng),就要建立起一個(gè)完善的管理框架,這對(duì)于企業(yè)實(shí)施和管理外包活動(dòng),協(xié)調(diào)與外包商的關(guān)系,最大可能降低外包風(fēng)險(xiǎn),從而達(dá)到外包的目的是十分重要的。信息安全外包的管理框架的內(nèi)容分為幾個(gè)主體部分,分別包括企業(yè)協(xié)同信息安全的外包商確定企業(yè)的信息安全的方針以及信息安全外包的安全標(biāo)準(zhǔn),然后是對(duì)企業(yè)遭受的風(fēng)險(xiǎn)進(jìn)行系統(tǒng)的評(píng)估.并根據(jù)方針和風(fēng)險(xiǎn)程度.決定風(fēng)險(xiǎn)管理的內(nèi)容并確定信息安全外包的流程。之后,雙方共同制定適合企業(yè)的信息安全外包的控制方法,協(xié)調(diào)優(yōu)化企業(yè)的信息安全相關(guān)部門的企業(yè)結(jié)構(gòu),同時(shí)加強(qiáng)管理與外包商的關(guān)系。
3信息安全外包風(fēng)險(xiǎn)管理的實(shí)施
3.1制定信息安全方針
信息安全方針在很多時(shí)候又稱為信息安全策略,信息安全方針指的是在一個(gè)企業(yè)內(nèi),指導(dǎo)如何對(duì)資產(chǎn),包括敏感性信息進(jìn)行管理、保護(hù)和分配的指導(dǎo)或者指示。信息安全的方針定義應(yīng)該包括:(1)信息安全的定義,定義的內(nèi)容包括信息安全的總體目標(biāo)、信息安全具體包括的范圍以及信息安全對(duì)信息共享的重要性;(2)管理層的目的的相關(guān)闡述;(3)信息安全的原則和標(biāo)準(zhǔn)的簡要說明,以及遵守這些原則和標(biāo)準(zhǔn)對(duì)企業(yè)的重要性;(4)信息安全管理的總體性責(zé)任的定義。在信息安全方針的部分只需要對(duì)企業(yè)的各個(gè)部門的安全職能給出概括性的定義,而具體的信息安全保護(hù)的責(zé)任細(xì)節(jié)將留至服務(wù)標(biāo)準(zhǔn)的部分來闡明。
3.2選擇信息安全管理的標(biāo)準(zhǔn)
信息安全管理體系標(biāo)準(zhǔn)BS7799與信息安全管理標(biāo)準(zhǔn)IS013335是目前通用的信息安全管理的標(biāo)準(zhǔn):
(1)BS7799:BS7799標(biāo)準(zhǔn)是由英國標(biāo)準(zhǔn)協(xié)會(huì)指定的信息安全管理標(biāo)準(zhǔn),是國際上具有代表性的信息安全管理體系標(biāo)準(zhǔn),標(biāo)準(zhǔn)包括如下兩部分:BS7799-1;1999《信息安全管理實(shí)施細(xì)則》;BS7799-2:1999((信息安全管理體系規(guī)范》。
(2)IS013335:IS013335《IT安全管理方針》主要是給出如何有效地實(shí)施IT安全管理的建議和指南。該標(biāo)準(zhǔn)目前分為5個(gè)部分,分別是信息技術(shù)安全的概念和模型部分;信息技術(shù)安全的管理和計(jì)劃部分;信息技術(shù)安全的技術(shù)管理部分;防護(hù)和選擇部分以及外部連接的防護(hù)部分。
3.3確定信息安全外包的流程
企業(yè)要根據(jù)企業(yè)的商業(yè)特性、地理位置、資產(chǎn)和技術(shù)來對(duì)信息安全外包的范圍進(jìn)行界定。界定的時(shí)候需要考慮如下兩個(gè)方面:(1)需要保護(hù)的信息系統(tǒng)、資產(chǎn)、技術(shù);(2)實(shí)物場(chǎng)所(地理位置、部門等)。信息安全的外包商應(yīng)該根據(jù)企業(yè)的信息安全方針和所要求的安全程度,識(shí)別所有需要管理和控制的風(fēng)險(xiǎn)的內(nèi)容。企業(yè)需要協(xié)同信息安全的外包商選擇一個(gè)適合其安全要求的風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理方案,然后進(jìn)行合乎規(guī)范的評(píng)估,識(shí)別目前面臨的風(fēng)險(xiǎn)。企業(yè)可以定期的選擇對(duì)服務(wù)外包商的站點(diǎn)和服務(wù)進(jìn)行獨(dú)立評(píng)估,或者在年度檢查中進(jìn)行評(píng)估。選擇和使用的獨(dú)立評(píng)估的方案要雙方都要能夠接受。在達(dá)成書面一致后,外包商授予企業(yè)獨(dú)立評(píng)估方評(píng)估權(quán)限,并具體指出評(píng)估者不能泄露外包商或客戶的任何敏感信息。給外包商提供關(guān)于檢查范圍的進(jìn)一步消息和細(xì)節(jié),以減少任何對(duì)可用性,服務(wù)程度,客戶滿意度等的影響。在評(píng)估執(zhí)行后的一段特殊時(shí)間內(nèi),與外包商共享結(jié)果二互相討論并決定是否需要解決方案和/或開發(fā)計(jì)劃程序以應(yīng)對(duì)由評(píng)估顯示的任何變化。評(píng)估所需要的相關(guān)材料和文檔在控制過程中都應(yīng)該予以建立和保存,企業(yè)將這些文檔作為評(píng)估的重要工具,對(duì)外包商的服務(wù)績效進(jìn)行考核。評(píng)估結(jié)束后,對(duì)事件解決方案和優(yōu)先級(jí)的檢查都將記錄在相應(yīng)的文件中,以便今后雙方在服務(wù)和信息安全管理上進(jìn)行改進(jìn)。
3.4制定信息安全外包服務(wù)的控制規(guī)則
依照信息安全外包服務(wù)的控制規(guī)則,主要分為三部分內(nèi)容:第一部分定義了服務(wù)規(guī)則的框架,主要闡明信息安全服務(wù)要如何執(zhí)行,執(zhí)行的通用標(biāo)準(zhǔn)和量度,服務(wù)外包商以及各方的任務(wù)和職責(zé);第二部分是信息安全服務(wù)的相關(guān)要求,這個(gè)部分具體分為高層服務(wù)需求;服務(wù)可用性;服務(wù)體系結(jié)構(gòu);服務(wù)硬件和服務(wù)軟件;服務(wù)度量;服務(wù)級(jí)別;報(bào)告要求,服務(wù)范圍等方面的內(nèi)容;第三部分是安全要求,包括安全策略、程序和規(guī)章制度;連續(xù)計(jì)劃;可操作性和災(zāi)難恢復(fù);物理安全;數(shù)據(jù)控制;鑒定和認(rèn)證;訪問控制;軟件完整性;安全資產(chǎn)配置;備份;監(jiān)控和審計(jì);事故管理等內(nèi)容。
3.5信息安全外包的企業(yè)結(jié)構(gòu)管理具體的優(yōu)化方案如下:
(1)首席安全官:CSO是公司的高層安全執(zhí)行者,他需要直接向高層執(zhí)行者進(jìn)行工作匯報(bào),主要包括:首席執(zhí)行官、首席運(yùn)營官、首席財(cái)務(wù)官、主要管理部門的領(lǐng)導(dǎo)、首席法律顧問。CSO需要監(jiān)督和協(xié)調(diào)各項(xiàng)安全措施在公司的執(zhí)行情況,并確定安全工作的標(biāo)準(zhǔn)和主動(dòng)性,包括信息技術(shù)、人力資源、通信、法律、設(shè)備管理等部門。
(2)安全小組:安全小組的人員組成包括信息安全外包商的專業(yè)人員以及客戶企業(yè)的內(nèi)部IT人員和信息安全專員。這個(gè)小組的任務(wù)主要是依照信息安全服務(wù)的外包商與企業(yè)簽訂的服務(wù)控制規(guī)則來進(jìn)行信息安全的技術(shù)。
(3)管理委員會(huì):這是信息安全服務(wù)外包商和客戶雙方高層解決問題的機(jī)構(gòu)。組成人員包括雙方的首席執(zhí)行官,客戶企業(yè)的CIO和CSO,外包商的項(xiàng)目經(jīng)理等相關(guān)的高層決策人員。這個(gè)委員會(huì)每年召開一次會(huì)議,負(fù)責(zé)審核年度的服務(wù)水平、企業(yè)的適應(yīng)性、評(píng)估結(jié)果、關(guān)系變化等內(nèi)容。
(4)咨詢委員會(huì):咨詢委員會(huì)的會(huì)議主要解決計(jì)劃性問題。如服務(wù)水平的變更,新的技術(shù)手段的應(yīng)用,服務(wù)優(yōu)先等級(jí)的更換以及服務(wù)的財(cái)政問題等,咨詢委員會(huì)的成員包括企業(yè)內(nèi)部的TI’人員和安全專員,還有財(cái)務(wù)部門、人力資源部門、業(yè)務(wù)部門的相關(guān)人員,以及外包商的具體項(xiàng)目的負(fù)責(zé)人。
(6)安全工作組:安全工作組的人員主要負(fù)責(zé)解決信息安全中某些特定的問題,工作組的人員組成也是來自服務(wù)外包商和企業(yè)雙方。工作組與服務(wù)交換中心密切聯(lián)系,將突出的問題組建成項(xiàng)目進(jìn)行解決,并將無法解決的問題提交給咨詢委員會(huì)。
(7)服務(wù)交換中心:服務(wù)交換中心由雙方人員組成,其中主要人員是企業(yè)內(nèi)部的各個(gè)業(yè)務(wù)部門中與信息安全相關(guān)的人員。他們負(fù)責(zé)聯(lián)絡(luò)各個(gè)業(yè)務(wù)部門,發(fā)掘出企業(yè)中潛在的信息安全的問題和漏洞,并將這些問題報(bào)告給安全工作組。
(8)指令問題管理小組:這個(gè)小組的人員組成全部為企業(yè)內(nèi)部人員,包括信息安全專員以及各個(gè)業(yè)務(wù)部門的負(fù)責(zé)人。在安全小組的技術(shù)人員解決了企業(yè)中的安全性技術(shù)問題之后,或者,是當(dāng)CSO了關(guān)于信息安全的企業(yè)改進(jìn)方案之后,這些解決方案都將傳送給指令問題管理小組,這個(gè)小組的人員經(jīng)過學(xué)習(xí)討論后,繼而將其到各個(gè)業(yè)務(wù)部門。
(9)監(jiān)督委員會(huì):這個(gè)委員會(huì)全部由企業(yè)內(nèi)部人員組成。負(fù)責(zé)對(duì)外包商的服務(wù)過程的監(jiān)督。
關(guān)鍵詞 信息系統(tǒng);安全;保障體系;技術(shù);信息技術(shù)基礎(chǔ)設(shè)施
中圖分類號(hào):TP393 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1671-7597(2013)14-0137-02
油服信息技術(shù)應(yīng)用與集中程度的不斷深入提高,信息安全保障體系建設(shè)工作已成為信息化建設(shè)過程中的重要組成部分。油服具有地域分布廣、業(yè)務(wù)復(fù)雜多樣等特點(diǎn),在信息安全形勢(shì)多變的情況下,獨(dú)立分散的安全措施已無法更好地滿足安全防護(hù)需求。信息安全若不能得到很好的保障,將給公司的業(yè)務(wù)正常運(yùn)作及辦公穩(wěn)定性、高效性和有效性帶來影響。因此,需完善公司的信息安全政策方針、規(guī)劃并建立符合油服實(shí)際情況的信息安全保障體系,采用先進(jìn)的安全管理過程模式,完善信息安全管理制度與規(guī)范,提高員工的信息安全意識(shí),提升風(fēng)險(xiǎn)控制及保障水平,以支撐油服核心業(yè)務(wù)的健康發(fā)展。
1 信息安全保障體系
1.1 信息安全保障體系建設(shè)需求
油服在信息安全方面已部署了部分信息安全防護(hù)措施,如劃分安全域、部署邊界訪問控制設(shè)備、配備入侵防御系統(tǒng)、部署統(tǒng)一的防惡意代碼軟件等。與此同時(shí),每年都開展信息系統(tǒng)安全測(cè)評(píng)工作,對(duì)公司的信息系統(tǒng)進(jìn)行安全等級(jí)測(cè)評(píng)差距分析、安全問題整改咨詢核查以及滲透性測(cè)試等,從而能夠較為全面的掌握當(dāng)前各信息系統(tǒng)和信息安全管理制度的建設(shè)、運(yùn)維和使用情況,以提高信息系統(tǒng)的安全防護(hù)能力。但從總體來看,仍缺乏信息安全保障體系框架,總體安全方針和策略不夠明確,安全區(qū)域劃分不夠細(xì)致,網(wǎng)絡(luò)設(shè)備和重要服務(wù)器的安全策略缺乏統(tǒng)一標(biāo)準(zhǔn),未部署安全運(yùn)維管理中心,無法真正起到縱深安全防御的效用。
1.2 信息安全保障體系目標(biāo)與定位
信息安全保障體系的建設(shè)要結(jié)合油服的信息安全需求、網(wǎng)絡(luò)應(yīng)用現(xiàn)狀及未來發(fā)展趨勢(shì),在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上,明確與等級(jí)保護(hù)相適應(yīng)的安全策略及具體的實(shí)施辦法。對(duì)全網(wǎng)進(jìn)行合理的安全域劃分,技術(shù)與管理并重的同時(shí),以應(yīng)用與實(shí)效為主導(dǎo),從網(wǎng)絡(luò)、應(yīng)用系統(tǒng)、組織管理等方面,保障油服信息安全,形成集檢測(cè)、響應(yīng)、恢復(fù)、防護(hù)為一體的安全保障體系。
2 油服信息安全保障體系架構(gòu)模型
油服信息安全保障體系框架采用“結(jié)構(gòu)化”的分析和控制方法,縱向把保護(hù)對(duì)象分成安全計(jì)算環(huán)境、安全區(qū)域邊界和安全通信網(wǎng)絡(luò);橫向把控制體系分成安全管理、安全技術(shù)和安全運(yùn)行的控制體系,同時(shí)通過“一個(gè)安全管理中心”的安全管理概念和模式,形成一個(gè)依托于安全保護(hù)對(duì)象為基礎(chǔ),橫向建立安全管理體系、安全技術(shù)體系、安全運(yùn)行體系和安全管理中心“三個(gè)體系、一個(gè)中心、三重防護(hù)”的信息安全保障體系
框架。
2.1 安全管理體系
根據(jù)等級(jí)保護(hù)基本要求的相關(guān)內(nèi)容,信息安全管理體系重點(diǎn)落實(shí)安全管理制度、安全管理機(jī)構(gòu)和人員安全管理的相關(guān)控制要求。
2.2 安全技術(shù)體系
根據(jù)等級(jí)保護(hù)基本要求的相關(guān)內(nèi)容,通過安全技術(shù)在物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用和數(shù)據(jù)各個(gè)層面的實(shí)施,建立與實(shí)際情況相結(jié)合的安全技術(shù)體系。
2.3 安全運(yùn)行體系
根據(jù)等級(jí)保護(hù)基本要求的相關(guān)內(nèi)容,信息安全運(yùn)行體系重點(diǎn)落實(shí)系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理的相關(guān)控制要求,并與實(shí)際情況相結(jié)合,形成符合等級(jí)保護(hù)要求的信息安全運(yùn)行體系
框架。
2.4 安全管理中心
根據(jù)等級(jí)保護(hù)基本要求和安全設(shè)計(jì)技術(shù)要求的相關(guān)內(nèi)容,通過“自動(dòng)、平臺(tái)化”的方式,對(duì)信息安全管理、技術(shù)、運(yùn)行三個(gè)體系的相關(guān)控制內(nèi)容,結(jié)合實(shí)際情況加以落實(shí)。
3 油服信息安全保障體系架構(gòu)設(shè)計(jì)
3.1 安全管理體系架構(gòu)設(shè)計(jì)
信息安全管理體系架構(gòu)的設(shè)計(jì)可從以下3方面開展。
3.1.1 信息安全組織
油服信息安全組織為信息安全管理委員會(huì),各業(yè)務(wù)部門為信息安全小組,部門經(jīng)理為本小組的第一安全責(zé)任人。同時(shí),定義了組織中各職能角色的職責(zé),以此指導(dǎo)信息安全工作開展。
3.1.2 信息安全制度
油服的信息安全制度一方面能及時(shí)反映公司的信息安全風(fēng)險(xiǎn)動(dòng)態(tài),便于靈活地修訂與更新;另一方面確保信息安全技術(shù)與管理人員及用戶能夠了解哪些是禁止做的,哪些是必須做的。
3.1.3 人員安全管理
在人員安全管理方面,可以通過對(duì)人員錄用、調(diào)用、離崗、考核、培訓(xùn)教育和第三方人員安全幾個(gè)方面進(jìn)行設(shè)計(jì)。
3.2 安全技術(shù)體系架構(gòu)設(shè)計(jì)
信息安全技術(shù)體系架構(gòu)設(shè)計(jì)可從以下3個(gè)方面開展。
3.2.1 信息安全服務(wù)架構(gòu)
信息安全服務(wù)架構(gòu)設(shè)計(jì)分為保護(hù)、檢測(cè)、響應(yīng)與恢復(fù)四個(gè)環(huán)節(jié),實(shí)現(xiàn)對(duì)信息可用性、完整性和機(jī)密性的保護(hù),監(jiān)測(cè)檢查系統(tǒng)存在的安全漏洞,對(duì)危害系統(tǒng)安全的事件行為做出響應(yīng)
處理。
3.2.2 信息技術(shù)基礎(chǔ)設(shè)施安全架構(gòu)
信息技術(shù)基礎(chǔ)設(shè)施安全架構(gòu)以網(wǎng)絡(luò)安全架構(gòu)為主體,結(jié)合系統(tǒng)軟硬件進(jìn)行安全配置和部署。網(wǎng)絡(luò)安全架構(gòu)的規(guī)劃根據(jù)網(wǎng)絡(luò)所承載的應(yīng)用系統(tǒng)特性和所面臨的風(fēng)險(xiǎn)劃分不同的網(wǎng)絡(luò)安全域,并實(shí)施安全防護(hù)措施。
3.2.3 應(yīng)用安全架構(gòu)
應(yīng)用系統(tǒng)的信息安全保障是在信息技術(shù)基礎(chǔ)設(shè)施安全架構(gòu)上,更多地關(guān)注已有的信息安全服務(wù)是否被充分利用。為滿足業(yè)務(wù)系統(tǒng)對(duì)信息安全的需求,通過在業(yè)務(wù)系統(tǒng)中實(shí)現(xiàn)集成保障信息安全的機(jī)制,從而達(dá)到信息安全技術(shù)控制要求。
3.3 安全運(yùn)行體系架構(gòu)設(shè)計(jì)
油服信息安全運(yùn)行體系架構(gòu)設(shè)計(jì)主要從以下3個(gè)方面開展。
3.3.1 信息系統(tǒng)安全等級(jí)劃分
油服信息系統(tǒng)安全等級(jí)劃分從信息資產(chǎn)等級(jí)、網(wǎng)絡(luò)系統(tǒng)等級(jí)和應(yīng)用系統(tǒng)等級(jí)三個(gè)方面進(jìn)行定義。
3.3.2 信息安全技術(shù)控制
信息安全技術(shù)控制是由系統(tǒng)自身自動(dòng)完成的安全控制。主要在信息系統(tǒng)的網(wǎng)絡(luò)層、系統(tǒng)層和應(yīng)用層,包含身份鑒別、訪問控制、安全審計(jì)等五大類通用技術(shù)。
3.3.3 信息安全運(yùn)作控制
信息安全運(yùn)作控制是在油服業(yè)務(wù)運(yùn)作和信息技術(shù)運(yùn)作過程中進(jìn)行實(shí)施的運(yùn)作類安全控制,包括控制針對(duì)的主要風(fēng)險(xiǎn)點(diǎn)及具體分類。
4 結(jié)束語
在油服業(yè)務(wù)不斷拓展,國際化步伐不斷深入的過程中,信息系統(tǒng)在公司發(fā)展中的作用和地位日趨重要。公司對(duì)信息系統(tǒng)的依賴性也在不斷增長,信息安全也愈發(fā)重要。健全油服信息安全保障體系,為實(shí)現(xiàn)“制度標(biāo)準(zhǔn)化、工作制度化”的管理常態(tài)奠定了堅(jiān)實(shí)的基礎(chǔ)。油服信息安全保障體系不僅從物理網(wǎng)絡(luò)安全、系統(tǒng)應(yīng)用安全、數(shù)據(jù)和用戶安全等方面入手,還從安全域劃分、安全邊界防護(hù)、主動(dòng)監(jiān)控、訪問控制和應(yīng)急響應(yīng)等方面綜合考慮,進(jìn)一步加強(qiáng)落實(shí)信息安全等級(jí)保護(hù)的基本要求,初步實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)與應(yīng)用系統(tǒng)細(xì)粒度、全方位的安全管控,從而更為有效地提升了油服在信息安全方面的管理水平。
參考文獻(xiàn)
[1]馬永.淺談企業(yè)信息安全保障體系建設(shè)[J].計(jì)算機(jī)安全,2007(7):72-75.
[2]王朗.一個(gè)信息安全保障體系模型的研究和設(shè)計(jì)[J].北京師范大學(xué)學(xué)報(bào)(自然科學(xué)版),2004(2):58-62.
[3]黃海鷹.信息安全保障體系建設(shè)研究[J].數(shù)字圖書館論壇,2009(9):13-15.
關(guān)鍵詞:信息安全;管理體系;PKI/CA;MPLS VPN;基線
在供電企業(yè)現(xiàn)代信息技術(shù)廣泛運(yùn)用生產(chǎn)經(jīng)營、綜合管理之中,實(shí)現(xiàn)資源和信息共享,為領(lǐng)導(dǎo)提供相關(guān)輔助決策。保障企業(yè)信息安全是企業(yè)領(lǐng)導(dǎo)層、專業(yè)人員及企業(yè)全員共同面對(duì)的。信息安全是集管理、人員、設(shè)備、技術(shù)為一體系統(tǒng)工程,木桶原理可以很好地詮釋信息安全,一個(gè)企業(yè)安全不取決于最強(qiáng)項(xiàng),而取決最短板。信息安全需從制度建設(shè)、體系架構(gòu)、一體化防控體系、人員意識(shí)、專業(yè)人員技術(shù)水平等多方面共同建設(shè),才能有效提高企業(yè)信息安全,才能為企業(yè)生產(chǎn)、經(jīng)營保駕護(hù)航。
1基層供電信息安全現(xiàn)狀
基層供電企業(yè)信息安全建設(shè)方面,在制度建設(shè)、安全分區(qū)、網(wǎng)絡(luò)架構(gòu)、一體化防護(hù)、人員意識(shí)、專業(yè)人員技術(shù)水平等多方面存在不同程度問題。
1.1管理制度不健全,制度多重化
信息安全制度建設(shè)方面較為被動(dòng),大多數(shù)都是現(xiàn)實(shí)之中出現(xiàn)某一問題,然后一個(gè)相關(guān)制度,制度修修補(bǔ)補(bǔ)。同一類問題有時(shí)出現(xiàn)不同管理規(guī)定里,處理辦法不一,甚至發(fā)生沖突。原有信息安全管理制度寬泛,操作性較差。信息系統(tǒng)建設(shè)渠道不同,未提前進(jìn)行信息安全方面考慮,管理職責(zé)不明,導(dǎo)致部分信息安全工作開始不順暢。
1.2安全區(qū)域劃分不明,網(wǎng)絡(luò)架構(gòu)不清晰
基層供電企業(yè)系統(tǒng)建設(shè)主要由上級(jí)推廣系統(tǒng)和自建系統(tǒng),系統(tǒng)建設(shè)時(shí)候相當(dāng)部分系統(tǒng)未充分考慮系統(tǒng),特別是業(yè)務(wù)部門自建系統(tǒng)更甚。網(wǎng)絡(luò)建設(shè)需要什么就連接什么,存在服務(wù)器、終端、外聯(lián)區(qū)域不明顯,網(wǎng)絡(luò)架構(gòu)不清晰。
1.3未建立一體化安全防護(hù)體系
從近些年已經(jīng)發(fā)生的各類信息安全事件來看,內(nèi)部客戶端問題造成超過將近70%。內(nèi)部終端用戶網(wǎng)絡(luò)行為控制不足,存在網(wǎng)絡(luò)帶寬濫用;終端接入沒有相應(yīng)準(zhǔn)入控制,不滿足網(wǎng)絡(luò)安全需求用戶接入辦公網(wǎng)絡(luò),網(wǎng)絡(luò)環(huán)境安全構(gòu)成極大風(fēng)險(xiǎn);內(nèi)部人員對(duì)核心服務(wù)器和網(wǎng)絡(luò)設(shè)備未建立統(tǒng)一內(nèi)部控制機(jī)制;移動(dòng)介質(zhì)未實(shí)施注冊(cè)制管理等問題。
1.4未建立行之有效設(shè)備基線標(biāo)準(zhǔn)
網(wǎng)絡(luò)安全設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫、中間件、應(yīng)用系統(tǒng)等廠家為了某種方便需求,在設(shè)備和系統(tǒng)中常常保留有默認(rèn)缺省安全配置項(xiàng),這些恰恰是別人利用漏洞。基層供電企業(yè)在部署設(shè)備和系統(tǒng)時(shí),沒有統(tǒng)一基線標(biāo)準(zhǔn),沒有對(duì)設(shè)備和系統(tǒng)進(jìn)行相應(yīng)基線加固,企業(yè)存在潛在風(fēng)險(xiǎn)。
1.5信息安全意識(shí)較差,技術(shù)水平參差不齊
企業(yè)信息安全認(rèn)識(shí)存在認(rèn)識(shí)上誤區(qū),常常認(rèn)為我們有較強(qiáng)信息安全保護(hù)設(shè)備,外部不易攻破內(nèi)部,事實(shí)上堡壘常常是從內(nèi)部攻破的。比如企業(yè)員工弱口令、甚至空口令、共用相同密碼、木馬、病毒、企業(yè)機(jī)密泄露等,這恰恰是基層供電企業(yè)全員信息安全意識(shí)較為薄弱表現(xiàn)。專業(yè)技術(shù)人員缺乏必要自我學(xué)習(xí)和知識(shí)主動(dòng)更新,未取得專門信息安全專業(yè)人員資質(zhì),處理問題能力表現(xiàn)參差不齊。
2必要性
信息安全為國家安全重要組成部門,電力企業(yè)信息安全為國家信息安全的重要元素,電網(wǎng)安全事關(guān)國計(jì)民生。2014年2月,國家成立中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組,將網(wǎng)絡(luò)信息安全提升前所未有高度。近年發(fā)生的“棱鏡門”事件,前幾年發(fā)生伊朗核電站“震網(wǎng)”病毒(Stuxnet病毒)網(wǎng)絡(luò)攻擊,其中一個(gè)關(guān)鍵問題就是利用移動(dòng)介質(zhì)擺渡來進(jìn)行攻擊,造成設(shè)備癱瘓,這一系列信息安全事件都事關(guān)國家安全,因此人人都要有信息安全意識(shí)。首先要防止企業(yè)機(jī)密數(shù)據(jù)(財(cái)務(wù)、人資、投資、客戶等)泄漏;其次,保持?jǐn)?shù)據(jù)真實(shí)性和完整性,錯(cuò)誤的或被篡改的不當(dāng)信息可能會(huì)導(dǎo)致錯(cuò)誤的決策或商業(yè)機(jī)會(huì)甚至信譽(yù)的喪失;最后,信息的可用性,防止由于人員、流程和技術(shù)服務(wù)的中斷而影響業(yè)務(wù)的正常運(yùn)作,業(yè)務(wù)賴以生存的關(guān)鍵系統(tǒng)如失效,不能得到及時(shí)有效恢復(fù),會(huì)造成重大損失。建立嚴(yán)格的訪問控制,前面數(shù)據(jù)分級(jí)時(shí)有制定數(shù)據(jù)的“所有者”及給敏感數(shù)據(jù)進(jìn)行分級(jí),按照分級(jí)的要求制定嚴(yán)格的訪問控制策略,基本的思想是最小特權(quán)原則和權(quán)限分離原則。最少特權(quán)是給定使用者最低的只需完成其工作任務(wù)的權(quán)限;權(quán)限分離原則是將不同的工作職能分開,只給相關(guān)職能有必要讓其知道的內(nèi)容訪問權(quán)限。通過對(duì)內(nèi)部網(wǎng)絡(luò)行為的監(jiān)控可以規(guī)范內(nèi)部的上網(wǎng)行為,提高工作效率,保護(hù)企業(yè)有限網(wǎng)絡(luò)資源應(yīng)用于主要生產(chǎn)經(jīng)營上來。
3特點(diǎn)探析
通過我們對(duì)基層供電企業(yè)在信息安全存在問題及必要性來看,主要是管理制度、網(wǎng)絡(luò)信息安全技術(shù)、人員意識(shí)等方面存在問題,有以下特點(diǎn)。
3.1管理制度方面
常說信息安全“三方技術(shù)、七分管理”,制度建設(shè)對(duì)信息安全保障至關(guān)重要。信息安全管理制度應(yīng)該有上級(jí)主管部門建立一套統(tǒng)一管理制度,基層供電企業(yè)遵照?qǐng)?zhí)行,可以根據(jù)各單位具體情況進(jìn)一步細(xì)化,讓管理制度落地。從企業(yè)總體信息安全方針到具體專業(yè)制度管理上,實(shí)現(xiàn)全網(wǎng)一體化,規(guī)范化。
3.2網(wǎng)絡(luò)信息安全技術(shù)方面
上級(jí)專業(yè)主管部門,站在企業(yè)高度,制定專業(yè)技術(shù)標(biāo)準(zhǔn)和技術(shù)細(xì)則。從網(wǎng)絡(luò)安全分區(qū)、網(wǎng)絡(luò)技術(shù)架構(gòu)、互聯(lián)網(wǎng)接入和訪問方式、終端安全管理、網(wǎng)絡(luò)準(zhǔn)入控制等方面統(tǒng)一規(guī)劃,分布實(shí)施,最終實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)信息安全防控一體化。
3.3信息安全意識(shí)培養(yǎng)方面
企業(yè)員工信息安全意識(shí)培養(yǎng)是個(gè)長期的過程,不是通過一次兩次培訓(xùn)就能解決的,采取形式多樣化方式來培養(yǎng)員工安全意識(shí),可以通過集中培訓(xùn)講課、視頻宣傳、張貼宣傳畫等方式進(jìn)行。針對(duì)專業(yè)人員,要讓他們養(yǎng)成按照制度辦事習(xí)慣,用戶需要申請(qǐng)某項(xiàng)資源,嚴(yán)格按照制度執(zhí)行,填寫相應(yīng)資源申請(qǐng),有時(shí)候領(lǐng)導(dǎo)打招呼也要按照制度流程來執(zhí)行。長此以往,人人都會(huì)知道自己該做什么,不該做什么,該怎么做,企業(yè)信息安全意識(shí)就會(huì)得到極大提高。
3.4專業(yè)技術(shù)人員水平方面
信息安全技術(shù)日新月異,不學(xué)習(xí)就落后,不斷收集信息安全方面信息,共同討論相關(guān)話題,建立相應(yīng)培訓(xùn)機(jī)制,專業(yè)人員實(shí)行持證上崗,提升專業(yè)人員實(shí)際解決問題能力,有效提高人員專業(yè)素養(yǎng),成為企業(yè)信息安全方面專家。
4實(shí)施和開展
從2009年開始,先后進(jìn)行一系列信息安全建設(shè),涉及到信息安全制度建設(shè)、網(wǎng)絡(luò)信息安全體系架構(gòu)、信息安全保障服務(wù)、人員培訓(xùn)等方面,整體提高基層供電企業(yè)信息安全狀況。
4.1信息安全制度建設(shè)
2010年開始信息安全體系ISO27001、27002建設(shè),結(jié)合企業(yè)情況,形成30個(gè)信息安全相關(guān)文件,涵蓋企業(yè)信息安全方針、等級(jí)保護(hù)、人員管理、機(jī)房管理、網(wǎng)絡(luò)信息系統(tǒng)運(yùn)行維護(hù)管理、終端安全、病毒防護(hù)、介質(zhì)管理、數(shù)據(jù)管理、日志管理、教育培訓(xùn)等諸多方面。2013年為進(jìn)一步提示公司信息化管理水平,先后增加修改建設(shè)管理、實(shí)用化管理、項(xiàng)目管理、信息安全管理、運(yùn)維管理、綜合管理5個(gè)方面14個(gè)管理細(xì)則。經(jīng)過這一系列制度建設(shè),基層供電企業(yè)有章可循,全網(wǎng)信息安全依據(jù)統(tǒng)一,明確短板情況。
4.2建設(shè)一體化網(wǎng)絡(luò)與信息安全防控
首先依據(jù)電監(jiān)會(huì)5號(hào)文件要求,網(wǎng)絡(luò)架構(gòu)按照三層四區(qū)原則進(jìn)行部署建設(shè),生產(chǎn)實(shí)時(shí)控制大區(qū)(Ⅰ、Ⅱ區(qū))與信息管理大區(qū)(Ⅲ、Ⅳ區(qū))之間采用國家強(qiáng)制認(rèn)證單向數(shù)據(jù)隔離裝置進(jìn)行強(qiáng)制隔離,網(wǎng)絡(luò)架構(gòu)采用核心、匯聚、接入部署。網(wǎng)絡(luò)接入按照功能劃分服務(wù)器區(qū)、網(wǎng)管區(qū)、核心交換區(qū)、用戶辦公區(qū)、外聯(lián)區(qū)、互聯(lián)網(wǎng)接入?yún)^(qū),在綜合數(shù)據(jù)網(wǎng)上,利用MPLSVPN,根據(jù)劃分不同VPN業(yè)務(wù)、隔離相互間數(shù)據(jù)交叉。建立全網(wǎng)PKI/CA系統(tǒng),構(gòu)建企業(yè)員工在企業(yè)數(shù)字身份認(rèn)證系統(tǒng),已建成系統(tǒng)進(jìn)行未采用PKI登陸系統(tǒng),進(jìn)行相應(yīng)改造結(jié)合PKI/CA系統(tǒng),采用PKI登陸,在建系統(tǒng)用戶登陸必須集成PKI登陸。根據(jù)企業(yè)信息安全要求,進(jìn)行互聯(lián)網(wǎng)統(tǒng)一出口,部署統(tǒng)一互聯(lián)網(wǎng)防控設(shè)備,建立統(tǒng)一上網(wǎng)行為管理策略,規(guī)范員工上網(wǎng)行為,合理使用有限互聯(lián)網(wǎng)資源,審計(jì)員工上網(wǎng)日志,以備不時(shí)之需。建立企業(yè)統(tǒng)一病毒防護(hù)系統(tǒng),實(shí)現(xiàn)病毒軟件統(tǒng)一安裝,病毒庫自動(dòng)更新,防護(hù)策略統(tǒng)一下發(fā),定期統(tǒng)計(jì)病毒分布情況,同時(shí)作為終端接入內(nèi)網(wǎng)必備選項(xiàng),對(duì)終端病毒態(tài)勢(shì)比較嚴(yán)重用戶進(jìn)行督促整改,有效防止病毒在企業(yè)內(nèi)部蔓延,進(jìn)一步進(jìn)化內(nèi)網(wǎng)環(huán)境。建立統(tǒng)一網(wǎng)絡(luò)邊界安全防護(hù),在企業(yè)內(nèi)網(wǎng)邊界合理部署防火墻、IPS、UTM,并將其產(chǎn)生日志發(fā)送到統(tǒng)一安全管理平臺(tái),進(jìn)行日志管理分析,展現(xiàn)企業(yè)內(nèi)部信息安全態(tài)勢(shì),預(yù)警企業(yè)內(nèi)部信息安全存在問題。利用AD域或PKI/CA進(jìn)行用戶身份認(rèn)證,建設(shè)統(tǒng)一桌面管理,所有內(nèi)網(wǎng)用戶必須滿足最基本防病毒、安全助手、IT監(jiān)控要求方可接入內(nèi)網(wǎng),系統(tǒng)啟用強(qiáng)制安全策略,終端采用采用DHCP,用戶不能自動(dòng)修改IP地址,在DHCP服務(wù)器上實(shí)現(xiàn)IP與MAC地址及人員綁定,杜絕用戶私自更換IP地址引起沖突。安全認(rèn)證方面可以采用NACC或交換機(jī)802.1x方式進(jìn)行,不滿足要求用戶,自動(dòng)重定向到指定網(wǎng)站進(jìn)行安全合規(guī)性檢查,滿足要求后自動(dòng)接入內(nèi)網(wǎng),強(qiáng)制所有用戶采用統(tǒng)一網(wǎng)絡(luò)安全準(zhǔn)入規(guī)則。實(shí)行移動(dòng)介質(zhì)注冊(cè)制,極大提高終端安全性,有效保護(hù)企業(yè)信息資產(chǎn)。建立內(nèi)部運(yùn)維控制機(jī)制,實(shí)現(xiàn)4A統(tǒng)一安全管理,認(rèn)證、賬號(hào)、授權(quán)、審計(jì)集中管控。規(guī)劃統(tǒng)一服務(wù)器、網(wǎng)絡(luò)設(shè)備資源池,按照用戶需求,提交相應(yīng)申請(qǐng)材料,授權(quán)訪問特定設(shè)備和資源,并對(duì)用戶訪問行為全程記錄審計(jì)。
5結(jié)語
關(guān)鍵詞:電力制造企業(yè);計(jì)算機(jī)網(wǎng)絡(luò);安全
一、安全風(fēng)險(xiǎn)分析
電力制造企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)一般都會(huì)將生產(chǎn)控制系統(tǒng)和管理信息系統(tǒng)絕對(duì)分隔開來,以避免外來因素對(duì)生產(chǎn)系統(tǒng)造成損害,在生產(chǎn)控制系統(tǒng)中常見的風(fēng)險(xiǎn)一般為生產(chǎn)設(shè)備和控制系統(tǒng)的故障。管理網(wǎng)絡(luò)中常見的風(fēng)險(xiǎn)種類比較多,通??梢詣澐譃橄到y(tǒng)合法用戶造成的威脅、系統(tǒng)非法用戶造成的威脅、系統(tǒng)組建造成的威脅和物理環(huán)境的威脅。比如比較常見的風(fēng)險(xiǎn)有操作系統(tǒng)和數(shù)據(jù)庫存在漏洞、合法用戶的操作錯(cuò)誤、行為抵賴、身份假冒(濫用授權(quán))、電源中斷、通信中斷、軟硬件故障、計(jì)算機(jī)病毒(惡意代碼)等,上述風(fēng)險(xiǎn)所造成的后果一般為數(shù)據(jù)丟失或數(shù)據(jù)錯(cuò)誤,使數(shù)據(jù)可用性大大降低。網(wǎng)絡(luò)中的線路中斷、病毒發(fā)作或工作站失效、假冒他人言論等風(fēng)險(xiǎn),會(huì)使數(shù)據(jù)完整性和保密性大大降低。鑒于管理網(wǎng)絡(luò)中風(fēng)險(xiǎn)的種類多、受到攻擊的可能性較大,因此生產(chǎn)控制系統(tǒng)和管理系統(tǒng)之間盡量減少物理連接。當(dāng)需要數(shù)據(jù)傳輸時(shí)必須利用專用的通信線路和單向傳輸方式,一般采用防火墻或?qū)S酶綦x裝置。
二、安全需求分析
一般電力制造企業(yè)的安全系統(tǒng)規(guī)劃主要從安全產(chǎn)品、安全策略、安全的人三方面著手,其中安全策略足安全系統(tǒng)的核心,直接影響安全產(chǎn)品效能的發(fā)揮和人員的安全性(包括教育培訓(xùn)和管理制度),定置好的安全策略將成為企業(yè)打造網(wǎng)絡(luò)安全最重要的環(huán)節(jié),必須引起發(fā)電企業(yè)高度重視。安全產(chǎn)品主要為控制和抵御黑客和計(jì)算機(jī)病毒(包括惡意代碼)通過各種形式對(duì)網(wǎng)絡(luò)信息系統(tǒng)發(fā)起的惡意攻擊和破壞,是抵御外部集團(tuán)式攻擊、確保各業(yè)務(wù)系統(tǒng)之間不產(chǎn)生消極影響的技術(shù)手段和工具,是確保業(yè)務(wù)和業(yè)務(wù)數(shù)據(jù)的完整性和準(zhǔn)確性的基本保障,需要兼顧成本和實(shí)效。安全的人員是企業(yè)經(jīng)營鏈中的細(xì)胞,既可以成為良性資產(chǎn)又可能成為主要的威脅,也可以使安全穩(wěn)固又可能非法訪問和泄密,需要加強(qiáng)教育和制度約束。
三、安全思想和原則
電力制造企業(yè)信息安全的主要目標(biāo)一般可以綜述為:注重“電力生產(chǎn)”的企業(yè)使命,一切為生產(chǎn)經(jīng)營服務(wù);服從“集約化管理”的企業(yè)戰(zhàn)略,樹立集團(tuán)平臺(tái)理念;保證“信息化長效機(jī)制和體制”,保證企業(yè)生產(chǎn)控制系統(tǒng)不受干擾。保證系統(tǒng)安全事件(計(jì)算機(jī)病毒、篡改網(wǎng)頁、網(wǎng)絡(luò)攻擊等)不發(fā)生,保證敏感信息不外露,保障意外事件及時(shí)響應(yīng)與及時(shí)恢復(fù),數(shù)據(jù)不丟失。(1)先進(jìn)的網(wǎng)絡(luò)安全技術(shù)是網(wǎng)絡(luò)安全的根本保證。影響網(wǎng)絡(luò)安全的方面有物理安全、網(wǎng)絡(luò)隔離技術(shù)、加密與認(rèn)證、網(wǎng)絡(luò)安全漏洞掃描、網(wǎng)絡(luò)反病毒、網(wǎng)絡(luò)入侵檢測(cè)和最小化原則等多種因素,它們是設(shè)計(jì)信息安全方案所必須考慮的,是制定信息安全方案的策略和技術(shù)實(shí)現(xiàn)的基礎(chǔ)。要選擇相應(yīng)的安全機(jī)制,集成先進(jìn)的安全技術(shù),形成全方位的安全系統(tǒng)。(2)嚴(yán)格的安全管理是確保安全策略落實(shí)的基礎(chǔ)。計(jì)算機(jī)網(wǎng)絡(luò)使用機(jī)構(gòu)、企業(yè)、單位應(yīng)建立相應(yīng)的網(wǎng)絡(luò)管理辦法,加強(qiáng)內(nèi)部管理,建立適合的網(wǎng)絡(luò)安全管理系統(tǒng)和管理制度,加強(qiáng)培訓(xùn)和用戶管理,加強(qiáng)安全審計(jì)和跟蹤體系,提高人員對(duì)整體網(wǎng)絡(luò)安全意識(shí)。(3)嚴(yán)格的法律法規(guī)是網(wǎng)絡(luò)安全保障堅(jiān)強(qiáng)的后盾。建立健全與網(wǎng)絡(luò)安全相關(guān)的法律法規(guī),加強(qiáng)安全教育和宣傳,嚴(yán)肅網(wǎng)絡(luò)規(guī)章制度和紀(jì)律。對(duì)網(wǎng)絡(luò)犯罪嚴(yán)懲不貸。
四、安全策略與方法
1、物理安全策略和方法。
物理安全的目的是保護(hù)路由器、交換機(jī)、工作站、網(wǎng)絡(luò)服務(wù)器、打印機(jī)等硬件實(shí)體和通信鏈路的設(shè)計(jì),包括建設(shè)符合標(biāo)準(zhǔn)的中心機(jī)房,提供冗余電力供應(yīng)和防靜電、防火等設(shè)施,免受自然災(zāi)害、人為破壞和搭線竊聽等攻擊行為。還要建立完備的機(jī)房安全管理制度,防止非法人員進(jìn)入機(jī)房進(jìn)行偷竊和破壞活動(dòng)等,并妥善保管備份磁帶和文檔資料:要建立設(shè)備訪問控制,其作用是通過維護(hù)訪問到表以及可審查性,驗(yàn)證用戶的身份和權(quán)限,防止和控制越權(quán)操作。
2、訪問控制策略和方法。
網(wǎng)絡(luò)安全的目的是將企業(yè)信息資源分層次和等級(jí)進(jìn)行保護(hù),主要是根據(jù)業(yè)務(wù)功能、信息保密級(jí)別、安全等級(jí)等要求的差異將網(wǎng)絡(luò)進(jìn)行編址與分段隔離,由此可以將攻擊和入侵造成的威脅分別限制在較小的子網(wǎng)內(nèi),提高網(wǎng)絡(luò)的整體安全水平,目前路由器、虛擬局域網(wǎng)VL心、防火墻是當(dāng)前主要的網(wǎng)絡(luò)分段的主要手段。而訪問管理控制是限制系統(tǒng)內(nèi)資源的分等級(jí)和層次使用,是防止非法訪問的第一道防線。訪問控制主要手段是身份認(rèn)證,以用戶名和密碼的驗(yàn)證為主,必要時(shí)可將密碼技術(shù)和安全管理中心結(jié)合起來,實(shí)現(xiàn)多重防護(hù)體系,防止內(nèi)容非法泄漏,保證應(yīng)用環(huán)境安全、應(yīng)用區(qū)域邊界安全和網(wǎng)絡(luò)通信安全。
3、開放的網(wǎng)絡(luò)服務(wù)策略和方法。
Internet安全策略是既利用廣泛、快捷的網(wǎng)絡(luò)信息資源,又保護(hù)自己不遭受外部攻擊。主要方法是注重接入技術(shù),利用防火墻來構(gòu)建堅(jiān)固的大門,同時(shí)對(duì)Web服務(wù)和FTP服務(wù)采取積極審查的態(tài)度,更要強(qiáng)化內(nèi)部網(wǎng)絡(luò)用戶的責(zé)任感和守約,必要時(shí)增加審計(jì)手段。
4、電子郵件安全策略和方法。
電子郵件策略主要是針對(duì)郵件的使用規(guī)則、郵件的管理以及保密環(huán)境中電子郵件的使用制定的。針對(duì)目前利用電子郵件犯罪的事件和垃圾郵件泛濫現(xiàn)象越來越多,迫使防范技術(shù)快速發(fā)展,電力制造企業(yè)可以在電子郵件安全方案加大投入或委托專業(yè)公司進(jìn)行。
5、網(wǎng)絡(luò)反病毒策略和方法。
每個(gè)電力制造企業(yè)為了處理計(jì)算機(jī)病毒感染事件,都要消耗大量的時(shí)間和精力,而且還會(huì)造成一些無法挽回的損失,必須制定反計(jì)算機(jī)病毒的策略。目前反病毒技術(shù)已由掃描、檢查、殺毒發(fā)展到了到實(shí)時(shí)監(jiān)控,并且針對(duì)特殊的應(yīng)用服務(wù)還出現(xiàn)了相應(yīng)的防毒系統(tǒng),如網(wǎng)關(guān)型病毒防火墻以及郵件反病毒系統(tǒng)等。
目前,計(jì)算機(jī)網(wǎng)絡(luò)與信息安全已經(jīng)被納入電力制造企業(yè)的安全生產(chǎn)管理體系中,并根據(jù)“誰主管、誰負(fù)責(zé)、聯(lián)合保護(hù)、協(xié)調(diào)處置”的原則,實(shí)行“安全第一、預(yù)防為主、管理與技術(shù)并重、綜合防范”的方針,在建立健全電力制造企業(yè)內(nèi)部信息安全組織體系的同時(shí),制定完善的信息安全管理措施,建立從上而下的信息安全培訓(xùn)體系,根據(jù)科學(xué)的網(wǎng)絡(luò)安全策略,采用適合的安全產(chǎn)品,確保各項(xiàng)電力應(yīng)用系統(tǒng)和控制系統(tǒng)能夠安全穩(wěn)定的運(yùn)行,為電力制造企業(yè)創(chuàng)造新業(yè)績鋪路架橋。
參考文獻(xiàn)
自20世紀(jì)80年代以來,隨著信息技術(shù)迅速滲透到社會(huì)經(jīng)濟(jì)的各個(gè)領(lǐng)域,尤其是Internet/Intranet技術(shù)和電子商務(wù)(Ecommerce)的廣泛應(yīng)用,推動(dòng)著人類社會(huì)從工業(yè)經(jīng)濟(jì)時(shí)代向網(wǎng)絡(luò)經(jīng)濟(jì)時(shí)代和信息化社會(huì)的方向前進(jìn)。在這個(gè)動(dòng)態(tài)演進(jìn)的過程中,經(jīng)濟(jì)發(fā)展越來越需要信息的支持,信息已成為經(jīng)濟(jì)發(fā)展的戰(zhàn)略資源和社會(huì)管理的基本要素。
企業(yè)的信息化建設(shè)對(duì)于企業(yè)發(fā)展具有重要的戰(zhàn)略意義。對(duì)信息的采集、共享、利用和傳播成為決定企業(yè)競(jìng)爭力的關(guān)鍵因素。只有實(shí)現(xiàn)信息化,企業(yè)才可能實(shí)現(xiàn)企業(yè)生產(chǎn)經(jīng)營活動(dòng)的運(yùn)營自動(dòng)化、管理網(wǎng)絡(luò)化、決策智能化,從而理順和提高企業(yè)的管理水平,提高設(shè)計(jì)效率,降低企業(yè)的庫存,節(jié)約占用資金,降低生產(chǎn)成本,改善職工的工作環(huán)境,縮短企業(yè)的服務(wù)時(shí)間和提高企業(yè)的客戶滿意度,并可及時(shí)地獲取客戶需求,實(shí)現(xiàn)按訂單生產(chǎn)。
但是,信息化也使企業(yè)同時(shí)承受著巨大的信息安全的風(fēng)險(xiǎn)。據(jù)統(tǒng)計(jì),全球平均20秒就發(fā)生一次計(jì)算機(jī)病毒入侵;互聯(lián)網(wǎng)上的防火墻大約25%被攻破;竊取商業(yè)信息的事件平均以每月260%的速度增加;約70%的網(wǎng)絡(luò)主管報(bào)告了因機(jī)密信息泄露而受損失。我國公安機(jī)關(guān)2002年共受理各類信息網(wǎng)絡(luò)違法犯罪案件6633起,與上年相比增長45.9%,其中利用計(jì)算機(jī)實(shí)施的違法犯罪5301起,占案件總數(shù)的79.9%.而病毒的泛濫,更讓國內(nèi)眾多企業(yè)蒙受了巨額經(jīng)濟(jì)損失。加強(qiáng)信息安全建設(shè),已成了目前國內(nèi)外企業(yè)迫在眉睫的大事。
二、信息安全和信息安全管理
根據(jù)國際標(biāo)準(zhǔn)化組織(ISO)的定義,信息安全是“在技術(shù)上和管理上為數(shù)據(jù)處理系統(tǒng)建立的安全保護(hù),保護(hù)計(jì)算機(jī)硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄露”。信息安全是一個(gè)動(dòng)態(tài)的復(fù)雜過程,它貫穿于信息資產(chǎn)和信息系統(tǒng)的整個(gè)生命周期。
信息安全的威脅來自于內(nèi)部破壞、外部攻擊、內(nèi)外勾結(jié)進(jìn)行的破壞以及自然危害。必須按照風(fēng)險(xiǎn)管理的思想,對(duì)可能的威脅、脆弱性和需要保護(hù)的信息資源進(jìn)行分析,依據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果為信息系統(tǒng)選擇適當(dāng)?shù)陌踩胧?,妥善?yīng)對(duì)可能發(fā)生的風(fēng)險(xiǎn)。信息安全的目標(biāo)就是要保證敏感數(shù)據(jù)的機(jī)密性(Confidentiality)、完整性(Integrity)和可用性(Availability)[1].為了達(dá)到這個(gè)目的,人們建立起信息安全管理體系(InformationSecurityManagementSystems)。它是組織在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo),以及完成這些目標(biāo)所用方法的系統(tǒng),表示成方針、原則、目標(biāo)、方法、過程、核查表(Checklists)等要素的集合。
在信息安全管理體系中,通過確定信息安全管理體系范圍、制定信息安全方針、明確管理職責(zé)、以風(fēng)險(xiǎn)評(píng)估為基礎(chǔ)選擇控制目標(biāo)與控制方式等建立起信息安全管理框架。在該體系中,人們?cè)诩夹g(shù)層面作了許多卓越而富有成效的工作來保障企業(yè)信息安全,如密碼學(xué)和訪問控制等。但僅僅依靠技術(shù)手段不可能徹底解決信息安全問題。這是因?yàn)椋畔⒁约靶畔⒂脩舻纳鐣?huì)屬性決定了信息安全中存在非技術(shù)因素,而從屬于非技術(shù)因素的問題,無法依靠單純的技術(shù)手段加以解決[2].非技術(shù)手段主要包括法律手段、經(jīng)濟(jì)手段和行政手段等,在市場(chǎng)經(jīng)濟(jì)環(huán)境中,企業(yè)應(yīng)首選法律和經(jīng)濟(jì)手段來保護(hù)信息安全。
三、法務(wù)會(huì)計(jì)師在企業(yè)信息安全管理中的作用
信息及信息用戶的社會(huì)屬性使得法務(wù)會(huì)計(jì)師為企業(yè)提供專業(yè)服務(wù)成為必要,而法務(wù)會(huì)計(jì)師獨(dú)特的知識(shí)結(jié)構(gòu)和專業(yè)經(jīng)驗(yàn)使得其在企業(yè)信息安全管理發(fā)揮其獨(dú)特作用提供了可能。根據(jù)信息安全風(fēng)險(xiǎn)的成因,法務(wù)會(huì)計(jì)師可以因地制宜地制定相關(guān)對(duì)策。當(dāng)前威脅企業(yè)信息安全的主要成因是:
1.技術(shù)風(fēng)險(xiǎn)。主要包括信息電磁化風(fēng)險(xiǎn)和系統(tǒng)及軟件風(fēng)險(xiǎn)。在網(wǎng)絡(luò)環(huán)境下,企業(yè)的各種票證和帳單等以人眼無法直接辨別的電磁信息的形式在網(wǎng)上傳遞并存儲(chǔ)于磁性介質(zhì)中,在傳遞及存儲(chǔ)過程中均有被攻擊者篡改或截獲的可能。
2.人員風(fēng)險(xiǎn)。由于企業(yè)中負(fù)責(zé)具體業(yè)務(wù)的人員并不一定熟悉計(jì)算機(jī)操作,因此在系統(tǒng)使用過程中極有可能出現(xiàn)由于人員操作不當(dāng)而造成的意外損失。而由于系統(tǒng)管理涉及企業(yè)重要機(jī)密,操作人員是否會(huì)利用職權(quán)之便對(duì)信息進(jìn)行破壞或剽竊也是企業(yè)管理者應(yīng)該關(guān)注的重要問題。
3.法律風(fēng)險(xiǎn)。網(wǎng)絡(luò)的出現(xiàn)和廣泛應(yīng)用對(duì)傳統(tǒng)社會(huì)產(chǎn)生了強(qiáng)烈的沖擊,舊有的法律法規(guī)體系已不能完全適應(yīng)、指導(dǎo)和規(guī)范網(wǎng)絡(luò)安全的實(shí)踐。網(wǎng)絡(luò)本身的虛擬性、實(shí)時(shí)性、廣泛性要求更加切實(shí)可行,更加完備的標(biāo)準(zhǔn)準(zhǔn)則和法律法規(guī)的出現(xiàn)。
現(xiàn)階段,面對(duì)信息安全的威脅,企業(yè)缺乏有力的系統(tǒng)性的對(duì)應(yīng)措施和策略,基本處于“頭痛醫(yī)頭、腳痛醫(yī)腳”的狀態(tài),解決方案手段單一,缺乏多種手段的共同治理。很多組織已經(jīng)越來越意識(shí)到要真正達(dá)到信息安全的目標(biāo)僅僅通過信息安全技術(shù)和產(chǎn)品是不可能實(shí)現(xiàn)的,結(jié)合法律、制度等社會(huì)性手段的信息安全管理體系(ISMS)的搭建才能實(shí)現(xiàn)信息系統(tǒng)的整體安全保障。因?yàn)?,很多企業(yè)信息資產(chǎn)安全管理方面除了存在信息安全技術(shù)薄弱方面的原因外,還存在如下一些問題如,信息安全管理制度過于簡單,內(nèi)容不全;交叉重復(fù),混亂無章;求大求全,無針對(duì)性;鎖在柜中,無人問津;以及制度執(zhí)行中的人為破壞等等。
建立包含技術(shù)和法律等手段的多層面的信息安全管理體系可以強(qiáng)化員工的信息安全意識(shí),規(guī)范組織的信息安全行為,對(duì)組織的關(guān)鍵信息資產(chǎn)進(jìn)行全面系統(tǒng)的保護(hù),維持競(jìng)爭優(yōu)勢(shì);在信息系統(tǒng)受到侵襲時(shí),確保業(yè)務(wù)持續(xù)開展并將損失降到最低程度;使組織的商業(yè)伙伴和客戶對(duì)組織充滿信心,提高組織的知名度與信任度。因?yàn)樾畔踩玛P(guān)企業(yè)信息資產(chǎn)和業(yè)務(wù)安全,需要通過法制渠道滿足企業(yè)在電子商務(wù)和管理環(huán)境中維護(hù)競(jìng)爭優(yōu)勢(shì)的需要,法務(wù)會(huì)計(jì)師可以充分利用其在法律和會(huì)計(jì)信息管理方面的優(yōu)勢(shì),為企業(yè)建立有效的信息資產(chǎn)保護(hù)計(jì)劃提供有價(jià)值的服務(wù),并依法追究相關(guān)組織和人員的責(zé)任。
信息技術(shù)的飛速發(fā)展沖擊著各行各業(yè),給全球房地產(chǎn)業(yè)也帶來一場(chǎng)深刻的變革和發(fā)展的契機(jī)。在政府的牽頭和推動(dòng)下,在房地產(chǎn)業(yè)各界積極參與和實(shí)踐下,中國房地產(chǎn)業(yè)已取得卓有成效的成果,呈現(xiàn)全面信息化的發(fā)展勢(shì)頭。具體表現(xiàn)在:
(1)房地產(chǎn)政務(wù)信息化成效顯著。
許多城市利用信息技術(shù)開發(fā)了房地產(chǎn)政務(wù)管理軟件,有效地改進(jìn)了行政管理,提高了工作效率,完善了政府對(duì)房地產(chǎn)市場(chǎng)的監(jiān)控和預(yù)測(cè)能力。
(2)房地產(chǎn)企業(yè)信息化取得長足進(jìn)展。
房地產(chǎn)經(jīng)營方式開始打上信息時(shí)代的烙印。一些房地產(chǎn)企業(yè)建立了企業(yè)內(nèi)部網(wǎng)站,提高了信息傳輸速度,加快了企業(yè)決策速度,提高了辦事效率。此外,各種針對(duì)房地產(chǎn)企業(yè)的計(jì)算機(jī)軟件,如房屋銷售軟件、物業(yè)管理軟件、租賃軟件、房地產(chǎn)可行性分析軟件、房地產(chǎn)開發(fā)管理軟件等,也得到了廣泛的開發(fā)和應(yīng)用。
(3)初步建立了房地產(chǎn)宏觀監(jiān)測(cè)系統(tǒng)。
為適應(yīng)我國房地產(chǎn)業(yè)發(fā)展的內(nèi)在要求,針對(duì)市場(chǎng)信息零散、盲目投資行為大量存在等狀況,我國已建立包括中房預(yù)警系統(tǒng)、中房指數(shù)、國房景氣指數(shù)等在內(nèi)的房地產(chǎn)宏觀監(jiān)測(cè)系統(tǒng)。
(4)智能化小區(qū)和網(wǎng)絡(luò)小區(qū)建設(shè)步伐加快。
近年來,住宅的智能化功能被列為評(píng)價(jià)樓盤綜合性能的不可缺少的一個(gè)重要指標(biāo),智能化住宅已逐步進(jìn)入普通人的生活。社區(qū)提供與外界進(jìn)行數(shù)據(jù)交換的軟硬件設(shè)施和服務(wù)是家居功能向外拓展的必要條件。智能化的物業(yè)管理深入到各單位住宅,真正實(shí)現(xiàn)建筑智能化到社區(qū)管理的智能化。
(5)房地產(chǎn)網(wǎng)站發(fā)展迅速。
由于房地產(chǎn)業(yè)自身的行業(yè)特點(diǎn),使其在網(wǎng)上具有更大的優(yōu)勢(shì),房地產(chǎn)業(yè)各界都以最快的速度建立或準(zhǔn)備建立自己的網(wǎng)站,將網(wǎng)絡(luò)作為房地產(chǎn)信息的主要渠道。房地產(chǎn)網(wǎng)站建設(shè)提供了全天候、全方位市場(chǎng)服務(wù)的新模式,建立房地產(chǎn)在線咨詢服務(wù)系統(tǒng),引入城市電子地圖,實(shí)現(xiàn)網(wǎng)上售樓,改變了傳統(tǒng)的購房方式。同國外相比,我國房地產(chǎn)信息化整體水平較低,地區(qū)差異較大,東西部發(fā)展不平衡,仍存在諸多制約因素,還有很長的路要走。但是,房地產(chǎn)業(yè)唯有實(shí)現(xiàn)信息化,唯有與網(wǎng)絡(luò)結(jié)合,才能煥發(fā)出新的活力。建立和完善房地產(chǎn)企業(yè)的網(wǎng)絡(luò)系統(tǒng),實(shí)現(xiàn)總公司與下屬子公司之間的雙向溝通和信息共享。通過信息平臺(tái)的整合,為企業(yè)管理決策提供全方位、完整的信息數(shù)據(jù),使企業(yè)的管理逐步走向信息化,建立企業(yè)網(wǎng)站,使其向房地產(chǎn)行業(yè)和管理信息服務(wù)方向轉(zhuǎn)化,加強(qiáng)與員工的溝通,將信息化手段應(yīng)用于具體管理工作的流程中。以國家信息化工作的指導(dǎo)方針“統(tǒng)一規(guī)劃、聯(lián)合建設(shè)、推廣應(yīng)用、發(fā)展產(chǎn)業(yè)、資源共享”為房地產(chǎn)企業(yè)信息化工作的指導(dǎo)思想,將房地產(chǎn)企業(yè)的管理全部數(shù)字化,充分利用先進(jìn)的信息技術(shù),使本企業(yè)集團(tuán)形成一個(gè)管理對(duì)象數(shù)字化、管理專業(yè)網(wǎng)絡(luò)化、數(shù)據(jù)動(dòng)態(tài)實(shí)時(shí)化、管理決策科學(xué)化的現(xiàn)代企業(yè),走一條結(jié)合自身特點(diǎn),依托信息技術(shù)發(fā)展房地產(chǎn)信息化產(chǎn)業(yè)的振興之路。
二、企業(yè)信息安全防范
隨著企業(yè)信息化的發(fā)展,辦公自動(dòng)化、財(cái)務(wù)管理系統(tǒng),企業(yè)相關(guān)業(yè)務(wù)系統(tǒng)等生產(chǎn)經(jīng)營方面的重要系統(tǒng)投入在線運(yùn)行,越來越多的重要數(shù)據(jù)和機(jī)密信息都通過企業(yè)內(nèi)外部網(wǎng)絡(luò)來傳輸。這在提高生產(chǎn)效率和管理水平的同時(shí),也帶來了不同以往的安全風(fēng)險(xiǎn)和問題。通過網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)信息如被非法用戶截取,導(dǎo)致泄露企業(yè)機(jī)密;如被非法篡改,造成數(shù)據(jù)混亂,信息錯(cuò)誤,造成工作失誤等。另一方面,病毒感染造成網(wǎng)絡(luò)通信阻塞,系統(tǒng)數(shù)據(jù)和文件系統(tǒng)破壞,系統(tǒng)無法提供服務(wù)甚至破壞后無法恢復(fù),特別是系統(tǒng)中多年積累的重要數(shù)據(jù)丟失,對(duì)企業(yè)的生產(chǎn)管理以及經(jīng)濟(jì)效益等造成不可估量的損失。因此,如何保護(hù)企業(yè)機(jī)密,保障企業(yè)信息安全,成為企業(yè)信息化發(fā)展中需要面臨和解決的問題,提上了企業(yè)的議事日程。企業(yè)信息安全管理即針對(duì)當(dāng)前企業(yè)面臨的病毒泛濫、黑客入侵、惡意軟件、信息失控等復(fù)雜的應(yīng)用環(huán)境制定相應(yīng)的防御措施,保護(hù)企業(yè)信息和企業(yè)信息系統(tǒng)不被未經(jīng)授權(quán)的訪問、使用、泄露、中斷、修改和破壞,為企業(yè)信息和企業(yè)信息系統(tǒng)提供保密性、完整性、真實(shí)性、可用性、不可否認(rèn)。企業(yè)信息安全是一項(xiàng)復(fù)雜的系統(tǒng)工程,涉及技術(shù)、設(shè)備、管理和制度等多方面的因素,安全解決方案的制定需要從整體上進(jìn)行把握。首先,企業(yè)必須根據(jù)實(shí)際情況全面做好安全風(fēng)險(xiǎn)評(píng)估。第二,采用信息安全新技術(shù),建立信息安全防護(hù)體系。綜合各種計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全技術(shù),將安全操作系統(tǒng)技術(shù)、防火墻技術(shù)、病毒防護(hù)技術(shù)、入侵檢測(cè)技術(shù)、安全掃描技術(shù)等綜合起來,形成一套完整的、協(xié)調(diào)一致的網(wǎng)絡(luò)安全防護(hù)體系。企業(yè)根據(jù)自身信息系統(tǒng)建設(shè)和應(yīng)用的步伐,建立完整的信息安全防護(hù)體系,統(tǒng)籌規(guī)劃,分步實(shí)施。第
對(duì)于具有開發(fā)性、國際性和自由度的互聯(lián)網(wǎng)在增加應(yīng)用自由度的同時(shí),也存在著太多太復(fù)雜的安全隱患,信息安全令人擔(dān)擾。有人這樣說:“如果上網(wǎng),你所受到的安全威脅將增大幾倍;而如果不上網(wǎng),則你所得到的服務(wù)將減少幾倍”。因此,可信網(wǎng)絡(luò)已經(jīng)成為當(dāng)前研究的熱點(diǎn)話題。網(wǎng)絡(luò)應(yīng)為科研服務(wù),作為校園網(wǎng)在提高管理效率、促進(jìn)教科研發(fā)展、方便校園生活的同時(shí),網(wǎng)絡(luò)中的各種安全問題也層出不窮,提高IT安全建設(shè)和管理水平已成為高校信息化建設(shè)中不容忽視的重要工作內(nèi)容。
2 校園網(wǎng)安全面臨的困難
現(xiàn)在大多數(shù)校園網(wǎng)以Windows作為系統(tǒng)平臺(tái),因?yàn)槠涔δ芴?,太?fù)雜了(Windows操作系統(tǒng)就有上千萬行程序),致使操作系統(tǒng)都不可能做到完全正確,所以其它系統(tǒng)的安全性能都是很難保證的。對(duì)于具有更復(fù)雜環(huán)境的校園網(wǎng)來說,不但面臨著系統(tǒng)安全及其威脅,而且還具有自已的特殊性。一方面,學(xué)生的好奇心強(qiáng),一些學(xué)生社會(huì)責(zé)任感較輕,喜歡挑戰(zhàn);另一方面,校園網(wǎng)的網(wǎng)絡(luò)條件普遍較好,計(jì)算機(jī)來源又較為復(fù)雜,隱蔽的IP地址使之更容易實(shí)施網(wǎng)絡(luò)攻擊。同時(shí),教育信息化管理中長期形成的“重技術(shù),輕管理”的思想,也使得校園網(wǎng)的安全形勢(shì)更加嚴(yán)峻。
隨著信息技術(shù)的不斷發(fā)展,病毒傳播的途徑越來越多樣化。對(duì)于校園網(wǎng)管理人員而言,還不得不面對(duì)大面積的ARP欺騙病毒,這對(duì)于用戶群龐大而導(dǎo)致可控性和有序性很差的校園網(wǎng)提出了巨大的挑戰(zhàn),構(gòu)建校園網(wǎng)絡(luò)應(yīng)急響應(yīng)機(jī)制迫在眉睫。
3 校園網(wǎng)應(yīng)急響應(yīng)機(jī)制的建立
2007年6-7月間,由教育部科技發(fā)展中心主辦、中國教育網(wǎng)絡(luò)雜志承辦的“2007教育行業(yè)信息安全大會(huì)”在北京等地召開。會(huì)議對(duì)“高校建立應(yīng)急響應(yīng)機(jī)制”進(jìn)行了專題問卷調(diào)查,調(diào)查結(jié)果顯示,66%的高校未建立安全應(yīng)急響應(yīng)機(jī)制,33%的高校計(jì)劃在年內(nèi)建立學(xué)校的安全應(yīng)急響應(yīng)機(jī)制。由此可見還有大部分高校在網(wǎng)絡(luò)安全管理方面還需加大力度,僅憑單純的安全產(chǎn)品和簡單的防御技術(shù)是無法抵擋攻擊的,必須依靠應(yīng)急響應(yīng)等一套完整的服務(wù)管理機(jī)制,建立其相應(yīng)的流程,通過加強(qiáng)學(xué)習(xí)努力提高隊(duì)伍的技術(shù)水平及響應(yīng)能力,從技術(shù)和管理兩個(gè)維度保證網(wǎng)絡(luò)安全。
校園網(wǎng)應(yīng)急響應(yīng)是指在校園網(wǎng)內(nèi)行使CERT/CC(計(jì)算機(jī)緊急響應(yīng)小組及其協(xié)調(diào)中心)的職能,對(duì)校園網(wǎng)內(nèi)的各網(wǎng)絡(luò)應(yīng)用部門和用戶提供網(wǎng)絡(luò)安全事件的快速響應(yīng)或技術(shù)支持服務(wù),也對(duì)校園網(wǎng)內(nèi)的各接入單位及用戶提供安全事件響應(yīng)相關(guān)的咨詢服務(wù)。校園網(wǎng)應(yīng)急響應(yīng)組的主要職能是:對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全事件一是進(jìn)行緊急反應(yīng),盡快恢復(fù)系統(tǒng)或網(wǎng)絡(luò)的正常運(yùn)轉(zhuǎn)。二是要使系統(tǒng)和網(wǎng)絡(luò)設(shè)施所遭受的破壞最小化。三是對(duì)影響系統(tǒng)和網(wǎng)絡(luò)安全的漏洞及防治措施進(jìn)行通報(bào),對(duì)安全風(fēng)險(xiǎn)進(jìn)行評(píng)估等。
比較完善的網(wǎng)絡(luò)安全機(jī)制,應(yīng)包括網(wǎng)絡(luò)安全服務(wù)、網(wǎng)絡(luò)安全管理和用戶安全意識(shí)三方面。因此,校園網(wǎng)應(yīng)急響應(yīng)組依據(jù)其職責(zé)不同分為以下三個(gè)安全工作小組。
(1)事件處理工作小組及職能:主要負(fù)責(zé)安全事件的應(yīng)急與救援、事件的分析、安全警報(bào)的等。主要職能是服務(wù),制定和實(shí)施校園網(wǎng)安全策略及網(wǎng)絡(luò)安全突發(fā)事件應(yīng)急響應(yīng)預(yù)案;監(jiān)測(cè)網(wǎng)絡(luò)運(yùn)行日常狀態(tài),及時(shí)安全公告、安全建議和安全警報(bào),當(dāng)發(fā)生了安全事件時(shí)及時(shí)向CERT熱線響應(yīng);解答用戶的安全方面的咨詢;定期對(duì)網(wǎng)內(nèi)用戶進(jìn)行風(fēng)險(xiǎn)評(píng)估等。
(2)技術(shù)研發(fā)工作小組及職能:主要通過研發(fā),尋求安全漏洞的解決方案,應(yīng)急處理的信息與技術(shù)支持平臺(tái)。主要職能是安全研究,研究內(nèi)容是校園網(wǎng)常用網(wǎng)絡(luò)攻擊技術(shù)及防范。
(3)教育培訓(xùn)工作小組及職能:建立應(yīng)急處理服務(wù)隊(duì)伍,通過各種形式的培訓(xùn)提高全校師生的網(wǎng)絡(luò)安全意識(shí),加強(qiáng)師生行為安全。主要職能是宣傳教育,對(duì)校園網(wǎng)用戶進(jìn)行安全知識(shí)的教育與網(wǎng)絡(luò)安全技術(shù)培訓(xùn),使其提高自我保護(hù)意識(shí),自覺關(guān)注網(wǎng)絡(luò)上最新的病毒和黑客攻擊,自主解決網(wǎng)絡(luò)安全問題。
應(yīng)急響應(yīng)是全方位的工作,再好的經(jīng)驗(yàn)也是具有不可復(fù)制性,無論建立何種模式的機(jī)制,最重要的是要與高校網(wǎng)絡(luò)自身特點(diǎn)相結(jié)合,建立有自身特色的應(yīng)急響應(yīng)機(jī)制并在實(shí)踐過程中不斷改進(jìn)和完善。一個(gè)良好的響應(yīng)機(jī)制要技術(shù)力量到位、部門責(zé)任明確、合作流程清晰,并遵循可行性、高效率、高效益和低風(fēng)險(xiǎn)的原則。因此我們應(yīng)通過加強(qiáng)主動(dòng)性,使安全故障的應(yīng)急響應(yīng)能力從報(bào)警向預(yù)警的道路上邁出堅(jiān)實(shí)的步伐,為從容不迫應(yīng)對(duì)網(wǎng)絡(luò)突發(fā)安全事件打下基礎(chǔ)。
關(guān)鍵詞:網(wǎng)絡(luò)安全;安全漏洞;防火墻
中圖分類號(hào):TN915.08文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1007-9599 (2010) 06-0000-01
Guarantee of Network Information Security
Li Chunyu,Li Gang
(Anyang Institute of Technology,Computer Engineering Department,Anyang455000,Chian)
Abstract:With the advent of information age,network and information security issues has also been impressively put forward to the world.This paper analyzes the network information security problems according to the actual need to introduce some specific preventive measures to improve the security of computer network information.
Keywords:Network security;Security vulnerabilities;Firewall
一、概述
隨著信息化時(shí)代的到來,“騰訊QQ”、“淘寶”已走進(jìn)千家萬戶,帶來了經(jīng)濟(jì)的繁榮和發(fā)展,豐富和活躍了人們的精神文化生活,大大推進(jìn)了社會(huì)文明建設(shè)的進(jìn)程,但同時(shí)隨著人們信息化期望程度的加深,網(wǎng)絡(luò)與信息安全問題也已赫然擺在世人面前,網(wǎng)絡(luò)信息的安全問題,不論社會(huì)還是網(wǎng)絡(luò)技術(shù)方面,已是當(dāng)務(wù)之急。
二、討論:網(wǎng)絡(luò)信息方面存在的安全問題
(一)病毒、木馬威脅加劇
據(jù)國內(nèi)信息安全廠商瑞星公司2008年11月份報(bào)告統(tǒng)計(jì)顯示,2008年的前10個(gè)月,互聯(lián)網(wǎng)上共出現(xiàn)新病毒9306985個(gè),是2007年同期的12.16倍,木馬病毒和后門程序之和超過776萬,占總體病毒的83.4%,病毒數(shù)量呈現(xiàn)出了井噴式爆發(fā)。病毒木馬的機(jī)械化生產(chǎn)加速了新變種的產(chǎn)生,大量出現(xiàn)的系統(tǒng)及第三方應(yīng)用程序漏洞為病毒木馬傳播提供了更廣泛的途徑。
(二)安全漏洞
2008年安全漏洞被曝光的頻率及數(shù)量比以往都要多。存在的主要十大安全漏洞分別是:瀏覽器漏洞、Adobe Flash漏洞、ActiveX漏洞、SQL注入式攻擊、Adobe Acrobat閱讀器漏洞、CMS漏洞、Apple QuickTime漏洞、Web2.0元素(如Facebook應(yīng)用、網(wǎng)絡(luò)廣告等)、Realplayer漏洞和DNS緩存漏洞等。
(三)黑客行為,數(shù)據(jù)泄露
根據(jù)國家計(jì)算機(jī)病毒應(yīng)急處理中心的分析報(bào)告,2007年全國計(jì)算機(jī)病毒感染率已經(jīng)高達(dá)91.5%,其中相當(dāng)部分已經(jīng)被黑客控制。黑客行為其核心特點(diǎn)是利用網(wǎng)絡(luò)用戶的失誤或系統(tǒng)的脆弱性因素,針對(duì)特定目標(biāo)進(jìn)行拒絕服務(wù)攻擊或侵占。
(四)垃圾郵件的泛濫
其核心特點(diǎn)是以廣播的方式鯨吞網(wǎng)絡(luò)資源,影響網(wǎng)絡(luò)用戶的正常活動(dòng)。附帶調(diào)查性垃圾郵件,以獲取終端用戶的個(gè)人信息為目的。一旦用戶鏈接到目的網(wǎng)址,會(huì)被要求填寫一張個(gè)人信息表。這些信息可能被出售給營銷公司,也可能用于將來發(fā)送垃圾郵件。
(五)有害信息的惡意傳播
其核心特點(diǎn)是以廣泛傳播有害言論的方式,來控制、影響社會(huì)的輿論。
三、結(jié)論:網(wǎng)絡(luò)信息安全的防護(hù)措施
(一)以人為本,確保安全制度的建立和落實(shí)
根據(jù)實(shí)際情況和所采用的技術(shù)條件,制定出切實(shí)可行又比較全面的各類安全管理制度。
要強(qiáng)化工作人員的安全教育和法制教育,真正認(rèn)識(shí)到計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的重要性和解決這一問題的長期性、艱巨性及復(fù)雜性。
(二)利用訪問與控制策略,確保網(wǎng)絡(luò)信息安全
訪問控制策略是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略,其任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非法訪問。各種網(wǎng)絡(luò)安全策略必須相互配合才能真正起到保護(hù)用,而訪問控制是保證網(wǎng)絡(luò)安全最重要的核心策略之一。訪問控制策略包括入網(wǎng)訪問控制策略、操作權(quán)限控制策略、目錄安全控制策略、屬性安全控制策略、網(wǎng)絡(luò)服務(wù)器安全控制策略、網(wǎng)絡(luò)監(jiān)測(cè)、鎖定控制策略和防火墻控制策略等7個(gè)方面的內(nèi)容。
(三)利用防火墻控制網(wǎng)絡(luò)信息安全
防火墻(作為阻塞點(diǎn)、控制點(diǎn))能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性,并通過過濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻,所以網(wǎng)絡(luò)環(huán)境變得更安全。防火墻總體上分為包過濾、應(yīng)用級(jí)網(wǎng)關(guān)和服務(wù)器等幾大類型。
數(shù)據(jù)包過濾和應(yīng)用網(wǎng)關(guān)防火墻僅僅依靠特定的邏輯判定是否允許數(shù)據(jù)包通過。一旦滿足邏輯,則防火墻內(nèi)外的計(jì)算機(jī)系統(tǒng)建立直接聯(lián)系, 防火墻外部的用戶便有可能直接了解防火墻內(nèi)部的網(wǎng)絡(luò)結(jié)構(gòu)和運(yùn)行狀態(tài),這有利于實(shí)施非法訪問和攻擊。
服務(wù)(Proxy Service)也稱鏈路級(jí)網(wǎng)關(guān)或TCP通道(Circuit Level Gateways or TCP Tunnels),也有人將它歸于應(yīng)用級(jí)網(wǎng)關(guān)一類。它是針對(duì)數(shù)據(jù)包過濾和應(yīng)用網(wǎng)關(guān)技術(shù)存在的缺點(diǎn)而引入的防火墻技術(shù), 其特點(diǎn)是將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段。服務(wù)也對(duì)過往的數(shù)據(jù)包進(jìn)行分析、注冊(cè)登記, 形成報(bào)告,同時(shí)當(dāng)發(fā)現(xiàn)被攻擊跡象時(shí)會(huì)向網(wǎng)絡(luò)管理員發(fā)出警報(bào),并保留攻擊痕跡。
(四)利用數(shù)據(jù)加密技術(shù)控制網(wǎng)絡(luò)信息安全
數(shù)據(jù)傳輸加密技術(shù)目的是對(duì)傳輸中的數(shù)據(jù)流加密,常用的方針有線路加密和端到端加密兩種。前者側(cè)重在線路上而不考慮信源與信宿,是對(duì)保密信息通過各線路采用不同的加密密鑰提供安全保護(hù)的。后者則指信息由發(fā)送者端自動(dòng)加密,并進(jìn)入TCP/IP數(shù)據(jù)包回封,然后作為不可閱讀和不可識(shí)別的數(shù)據(jù)穿過互聯(lián)網(wǎng),當(dāng)這些信息一旦到達(dá)目的地,將被自動(dòng)重組、解密,成為可讀數(shù)據(jù)。數(shù)據(jù)存儲(chǔ)加密技術(shù)目的是防止在存儲(chǔ)環(huán)節(jié)的數(shù)據(jù)失密。
數(shù)據(jù)傳輸加密技術(shù)是為增強(qiáng)普通關(guān)系數(shù)據(jù)庫管理系統(tǒng)的安全性,提供一個(gè)安全適用的數(shù)據(jù)庫加密平臺(tái),對(duì)數(shù)據(jù)庫存儲(chǔ)的內(nèi)容實(shí)施有效保護(hù)。它通過數(shù)據(jù)庫存儲(chǔ)加密等安全方法實(shí)現(xiàn)了數(shù)據(jù)庫數(shù)據(jù)存儲(chǔ)保密和完整性要求,使得數(shù)據(jù)庫以密文方式存儲(chǔ)并在密態(tài)方式下工作,確保了數(shù)據(jù)安全。
隨著計(jì)算機(jī)技術(shù)和通信技術(shù)的發(fā)展,計(jì)算機(jī)網(wǎng)絡(luò)將日益成為重要信息交換手段,滲透到社會(huì)生活的各個(gè)領(lǐng)域,只有采取強(qiáng)有力的安全策略,才能保障網(wǎng)絡(luò)信息的安全性
參考文獻(xiàn):
[1]汪?;?淺議網(wǎng)絡(luò)安全問題及防范對(duì)策[J].信息技術(shù),2007
[2]趙丹麗,管建和.網(wǎng)絡(luò)通信與安全探討[J].軟件導(dǎo)刊,2008
[論文關(guān)鍵詞】電力信息安全策略
[論文摘要]通過對(duì)電力系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)存在的網(wǎng)絡(luò)安全問廈的分析,提出相應(yīng)的安全對(duì)策,并介紹應(yīng)用于電力系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全技術(shù)。
在全球信息化的推動(dòng)下,計(jì)算機(jī)信息網(wǎng)絡(luò)作用不斷擴(kuò)大的同時(shí),信息網(wǎng)絡(luò)的安全也變得日益重要,一旦遭受破壞,其影響或損失也十分巨大,電力系統(tǒng)信息安全是電力系統(tǒng)安全運(yùn)行和對(duì)社會(huì)可靠供電的保障,是一項(xiàng)涉及電網(wǎng)調(diào)度自動(dòng)化、繼電保護(hù)及安全裝置、廠站自動(dòng)化、配電網(wǎng)自動(dòng)化、電力負(fù)荷控制、電力營銷、信息網(wǎng)絡(luò)系統(tǒng)等有關(guān)生產(chǎn)、經(jīng)營和管理方面的多領(lǐng)域、復(fù)雜的大型系統(tǒng)工程。應(yīng)結(jié)合電力工業(yè)特點(diǎn),深入分析電力系統(tǒng)信息安全存在的問題,探討建立電力系統(tǒng)信息安全體系,保證電網(wǎng)安全穩(wěn)定運(yùn)行,提高電力企業(yè)社會(huì)效益和經(jīng)濟(jì)效益,更好地為國民經(jīng)濟(jì)高速發(fā)展和滿足人民生活需要服務(wù)。
研究電力系統(tǒng)信息安全問題、制定電力系統(tǒng)信息遭受內(nèi)部外部攻擊時(shí)的防范與系統(tǒng)恢復(fù)措施等信息安全戰(zhàn)略是當(dāng)前信息化工作的重要內(nèi)容。
一、電力系統(tǒng)的信息安全體系
信息安全指的是為數(shù)據(jù)處理系統(tǒng)建立和采用的技術(shù)和管理的安全保護(hù),保護(hù)計(jì)算機(jī)硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因遭到破壞、更改和泄露。包括保密性、完雅性、可用性、真實(shí)性、可靠性、責(zé)任性等幾個(gè)方面。
信息安全涉及的因素有,物理安全、信息安全、網(wǎng)絡(luò)安全、文化安全。
作為全方位的、整體的信息安全體系是分層次的,不同層次反映了不同的安全問題。
信息安全應(yīng)該實(shí)行分層保護(hù)措施,有以下五個(gè)方面,
①物理層面安全,環(huán)境安全、設(shè)備安全、介質(zhì)安全,②網(wǎng)絡(luò)層面安全,網(wǎng)絡(luò)運(yùn)行安全,網(wǎng)絡(luò)傳輸安全,網(wǎng)絡(luò)邊界安全,③系統(tǒng)層面安全,操作系統(tǒng)安全,數(shù)據(jù)庫管理系統(tǒng)安全,④應(yīng)用層面安全,辦公系統(tǒng)安全,業(yè)務(wù)系統(tǒng)安全,服務(wù)系統(tǒng)安全,⑤管理層面安全,安全管理制度,部門與人員的組織規(guī)則。
二、電力系統(tǒng)的信息安全策略
電力系統(tǒng)的信息安全具有訪問方式多樣,用戶群龐大、網(wǎng)絡(luò)行為突發(fā)性較高等特點(diǎn)。信息安全問題需從網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)階段就仔細(xì)考慮,并在實(shí)際運(yùn)行中嚴(yán)格管理。為了保障信息安全,采取的策略如下:
(一)設(shè)備安全策略
這是在企業(yè)網(wǎng)規(guī)劃設(shè)計(jì)階段就應(yīng)充分考慮安全問題。將一些重要的設(shè)備,如各種服務(wù)器、主干交換機(jī)、路由器等盡量實(shí)行集中管理。各種通信線路盡量實(shí)行深埋、穿線或架空,并有明顯標(biāo)記,防止意外損壞。對(duì)于終端設(shè)備,如工作站、小型交挾機(jī)、集線器和其它轉(zhuǎn)接設(shè)備要落實(shí)到人,進(jìn)行嚴(yán)格管理。
(一)安全技術(shù)策略
為了達(dá)到保障信息安全的目的,要采取各種安全技術(shù),其不可缺少的技術(shù)層措施如下:
1.防火墻技術(shù)。防火墻是用于將信任網(wǎng)絡(luò)與非信任網(wǎng)絡(luò)隔離的一種技術(shù),它通過單一集中的安全檢查點(diǎn),強(qiáng)制實(shí)糟相應(yīng)的安全策略進(jìn)行檢查,防止對(duì)重要信息資源進(jìn)行非法存取和訪問。電力系統(tǒng)的生產(chǎn)、計(jì)量、營銷、調(diào)度管理等系統(tǒng)之間,信息的共享、整合與調(diào)用,都需要在不同網(wǎng)段之間對(duì)這些訪問行為進(jìn)行過濾和控制,阻斷攻擊破壞行為,分權(quán)限合理享用信息資源。
2.病毒防護(hù)技術(shù)。為免受病毒造成的損失,要采用的多層防病毒體系。即在每臺(tái)Pc機(jī)上安裝防病毒軟件客戶端,在服務(wù)器上安裝基于服務(wù)器的防病毒軟件,在網(wǎng)關(guān)上安裝基于網(wǎng)關(guān)的防病毒軟件。必須在信息系統(tǒng)的各個(gè)環(huán)節(jié)采用全網(wǎng)全面的防病毒策略,在計(jì)算機(jī)病毒預(yù)防、檢測(cè)和病毒庫的升級(jí)分發(fā)等環(huán)節(jié)統(tǒng)一管理,建立較完善的管理制度,才能有效的防止和控制病毒的侵害。
3.虛擬局域網(wǎng)技術(shù)(VLAN技術(shù))。VLAN技術(shù)允許網(wǎng)絡(luò)管理者將一個(gè)物理的LAN邏輯地劃分成不同的廣播域,每一個(gè)VLAN都包含1組有著相同需求的計(jì)算機(jī)工作站,與物理上形成的LAN有相同的屬性。但由于它是邏輯而不是物理劃分,所以同一個(gè)LAN內(nèi)的各工作站無須放置在同一物理空間里,既這些工作站不一定屬于同一個(gè)物理LAN網(wǎng)段。一個(gè)VLAN內(nèi)部的廣播和單播流量都不會(huì)轉(zhuǎn)發(fā)到其他VLAN中,有助于控制流量、控制廣播風(fēng)暴、減少設(shè)備投資、簡化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。
4.?dāng)?shù)據(jù)與系統(tǒng)備份技術(shù)。電力企業(yè)的數(shù)據(jù)庫必須定期進(jìn)行備份,按其重要程度確定數(shù)據(jù)備份等級(jí)。配置數(shù)據(jù)備份策略,建立企業(yè)數(shù)據(jù)備份中心,采用先進(jìn)災(zāi)難恢復(fù)技術(shù),對(duì)關(guān)鍵業(yè)務(wù)的數(shù)據(jù)與應(yīng)用系統(tǒng)進(jìn)行備份,制定詳盡的應(yīng)用數(shù)據(jù)備份和數(shù)據(jù)庫故障恢復(fù)預(yù)案,并進(jìn)行定期預(yù)演。確保在數(shù)據(jù)損壞或系統(tǒng)崩潰的情況下能快速恢復(fù)數(shù)據(jù)與系統(tǒng),從而保證信息系統(tǒng)的可用性和可靠性。
5.安全審計(jì)技術(shù)。隨著系統(tǒng)規(guī)模的擴(kuò)展與安全設(shè)施的完善,應(yīng)該引入集中智能的安全審計(jì)系統(tǒng),通過技術(shù)手段,實(shí)現(xiàn)自動(dòng)對(duì)網(wǎng)絡(luò)設(shè)備日志、操作系統(tǒng)運(yùn)行日志、數(shù)據(jù)庫訪問日志、業(yè)務(wù)應(yīng)用系統(tǒng)運(yùn)行日志、安全設(shè)施運(yùn)行日志等進(jìn)行統(tǒng)一安全審計(jì),及時(shí)自動(dòng)分析系統(tǒng)安全事件,實(shí)現(xiàn)系統(tǒng)安全運(yùn)行管理。
6.建立信息安全身份認(rèn)證體系。CA是CertificateAuthority的縮寫,即證書授權(quán)。在電子商務(wù)系統(tǒng)中,所有實(shí)體的證書都是由證書授權(quán)中心(CA中心)分發(fā)并簽名的。一個(gè)完整、安全的電子商務(wù)系統(tǒng)必須建立起一個(gè)完整、合理的CA體系。CA體系由證書審批部門和證書操作部門組成。電力市場(chǎng)交易系統(tǒng)就其實(shí)質(zhì)來說,是一個(gè)典型的電子商務(wù)系統(tǒng),它必須保證交易數(shù)據(jù)安全。在電力市場(chǎng)技術(shù)支持系統(tǒng)中,作為市場(chǎng)成員交易各方的身份確認(rèn)、物流控制、財(cái)務(wù)結(jié)算、實(shí)時(shí)數(shù)據(jù)交換系統(tǒng)中,均需要權(quán)威、安全的身份認(rèn)證系統(tǒng)。在電力系統(tǒng)中,電子商務(wù)逐步擴(kuò)展到電力營銷系統(tǒng)、電力物質(zhì)采購系統(tǒng)、電力燃料供應(yīng)系統(tǒng)等許多方面。因此,建立全國和網(wǎng)、省公司的cA機(jī)構(gòu),對(duì)企業(yè)員工上網(wǎng)用戶統(tǒng)一身份認(rèn)證和數(shù)字簽名等安全認(rèn)證,對(duì)系統(tǒng)中關(guān)鍵業(yè)務(wù)進(jìn)行安全審計(jì),并開展與銀行之間、上下級(jí)CA機(jī)構(gòu)之間、其他需要CA機(jī)構(gòu)之間的交叉認(rèn)證的技術(shù)研究及試點(diǎn)工作。
(三)組織管理策略
信息安全是技術(shù)措施和組織管理措施的統(tǒng)一,“三分技術(shù)、七分管理”。據(jù)統(tǒng)計(jì),在所有的計(jì)算機(jī)安全事件中,屬于管理方面的原因比重高達(dá)70%以上。沒有管理,就沒有安全。再好的第三方安全技術(shù)和產(chǎn)品,如果沒有科學(xué)的組織管理配合,都會(huì)形同虛設(shè)。
1.安全意識(shí)與安全技能。通過普及安全知識(shí)的培訓(xùn),可以提高電力企業(yè)職員安全知識(shí)和安全意識(shí),使他們具備一些基本的安全防護(hù)意識(shí)和發(fā)現(xiàn)解決某些常見安全問題的能力。通過專業(yè)安全培訓(xùn)提高操作維護(hù)者的安全操作技能,然后再配合第三方安全技術(shù)和產(chǎn)品,將使信息安全保障工作得到提升。
2.安全策略與制度。電力企業(yè)應(yīng)該從企業(yè)發(fā)展角度對(duì)整體的信息安全工作提供方針性指導(dǎo),制定一套指導(dǎo)性的、統(tǒng)一的安全策略和制度。沒有標(biāo)準(zhǔn),無法衡量信息的安全,沒有法規(guī),無從遵循信息安全的制度,沒有策略,無法形成安全防護(hù)體系。安全策略和制度管理是法律管理的形式化、具體化,是法規(guī)與管理的接口和信息安全得以實(shí)現(xiàn)的重要保證。
3.安全組織與崗位。電力企業(yè)的組織體系應(yīng)實(shí)行“統(tǒng)一組織、分散管理”的方式,建立一個(gè)有效、獨(dú)立的信息安全部門作為企業(yè)的信息安全管理機(jī)構(gòu),全面負(fù)責(zé)企業(yè)范圍內(nèi)的信息安全管理和維護(hù)工作。安全崗位是信息系統(tǒng)安全管理機(jī)構(gòu),根據(jù)系統(tǒng)安全需要設(shè)定的負(fù)責(zé)某一個(gè)或某幾個(gè)安全事務(wù)的職位,崗位在系統(tǒng)內(nèi)部可以是具有垂直領(lǐng)導(dǎo)關(guān)系的若干層次的一個(gè)序列。這樣在全企業(yè)范圍內(nèi)形成信息安全管理的專一工作,使各級(jí)信息技術(shù)部門也因此會(huì)很好配合信息安全推行工作。