公務(wù)員期刊網(wǎng) 精選范文 公司信息安全建設(shè)范文

公司信息安全建設(shè)精選(九篇)

前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的公司信息安全建設(shè)主題范文,僅供參考,歡迎閱讀并收藏。

公司信息安全建設(shè)

第1篇:公司信息安全建設(shè)范文

關(guān)鍵詞:信息安全;信息科技風(fēng)險;管理體系

1信息安全建設(shè)現(xiàn)狀

現(xiàn)行制度方面,現(xiàn)行有效制度涵蓋軟件開發(fā)、軟硬件運維、應(yīng)急管理、安全操作、外包管理、供應(yīng)商管理等方面,覆蓋面較為全面,但是缺乏體系,沒有根據(jù)一個標(biāo)準(zhǔn)系統(tǒng)的制定出一整套操作性強、執(zhí)行性強的制度體系。上報機制方面,目前采取信息處內(nèi)部逐級上報機制,即發(fā)現(xiàn)問題上報至科長,科長根據(jù)重要等級不同決定上報給處長、主管主任、信息科技委員會。內(nèi)部評審方面,現(xiàn)階段只針對現(xiàn)行制度對文檔的完整性和準(zhǔn)確性進行事后自評,定期配合外部審計機構(gòu)進行專項審計;監(jiān)控平臺只對機房環(huán)境、硬件設(shè)備、網(wǎng)絡(luò)及系統(tǒng)軟件進行實時監(jiān)控。信息科技風(fēng)險評估方面,根據(jù)國家標(biāo)準(zhǔn)從信息資產(chǎn)、威脅、脆弱性的識別、風(fēng)險值評估、風(fēng)險項統(tǒng)計分析、總體評價和不可接受風(fēng)險處理等7個方面,對整體信息化系統(tǒng)包含的硬件設(shè)備、軟件系統(tǒng)、數(shù)據(jù)信息和管理制度等內(nèi)容進行了全面的評估,每半年上報一次信息科技風(fēng)險報告,并制定相應(yīng)的整改計劃。

2信息安全建設(shè)存在的問題

2.1管理制度建立不完善

目前,在信息科技風(fēng)險的上報機制、自評機制和監(jiān)控機制都存在著不同程度上有所缺失,例如尚未建立雙向上報機制;自評范圍不全面,缺少對數(shù)據(jù)資產(chǎn)、人員資產(chǎn)、軟件資產(chǎn)等的覆蓋;缺少殘余信息科技風(fēng)險的控制緩釋措施及評價流程。同時,現(xiàn)有信息科技風(fēng)險管理制度的完整性、可操作性需要進一步改進。

2.2信息安全意識不強

職工信息安全意識較為缺乏,沒能把信息安全意識變成一種習(xí)慣、一種常態(tài)化的意識真正融入到日常的工作生活中,沒能真正意識到加強信息安全的重要程度。

3信息安全建設(shè)工作思路

隨著互聯(lián)網(wǎng)+迅猛發(fā)展,加強信息安全建設(shè)日益重要,我認(rèn)為應(yīng)從加強安全審計、建立風(fēng)險上報機制、強化信息安全管理、科技信息風(fēng)險防范等四個方面不斷加強信息安全建設(shè)工作:

3.1分析差距,完善內(nèi)審監(jiān)控管理體系

按照信息安全管理體系ISO27001標(biāo)準(zhǔn)梳理現(xiàn)狀,認(rèn)真分析研究,查找存在的差距,制定信息安全內(nèi)控操作規(guī)程,針對軟件開發(fā)、軟件運維、硬件管理各項工作中具體內(nèi)控操作流程制定信息安全審計依據(jù)。可聯(lián)合相關(guān)處室,定期組織信息安全內(nèi)部審計,建立事前預(yù)警、事后考評的整套內(nèi)審監(jiān)控管理體系,對潛在的信息風(fēng)險進行有效控制。

3.2安全防控,建立風(fēng)險上報長效機制

依據(jù)CIA屬性對現(xiàn)有信息資產(chǎn)按照實物資產(chǎn)、人員資產(chǎn)、數(shù)據(jù)資產(chǎn)、軟件資產(chǎn)、服務(wù)資產(chǎn)進行分類賦值,識別信息資產(chǎn)面臨的威脅與弱點,推導(dǎo)出信息資產(chǎn)面臨的安全風(fēng)險,提出相應(yīng)的安全措施并制定整改計劃。另外,建立風(fēng)險點上報機制,各個分管機構(gòu)風(fēng)險管理員負(fù)責(zé)收集存在的風(fēng)險點隱患并及時上報信息處、風(fēng)險處,由信息處匯總風(fēng)險點,雙向上報給風(fēng)險處及相關(guān)領(lǐng)導(dǎo),針對風(fēng)險點中提出的問題及時跟進,并協(xié)調(diào)相關(guān)處室進行有效處理。

3.3強化意識,緊抓信息安全管理

針對目前職工信息安全意識較為薄弱的現(xiàn)狀,一是借助官方網(wǎng)站、微博、月刊、簡報等宣傳載體,開展形式多樣的信息安全的宣傳教育活動,讓每名干部職工時刻緊繃信息安全這根弦;二是邀請專家定期組織信息安全培訓(xùn),普及安全應(yīng)用技術(shù),強化全員的安全責(zé)任和意識。三是結(jié)合各部門信息安全工作實際,就一段時期內(nèi)容易產(chǎn)生的安全問題組織不定期的安全技術(shù)人員專題講座,提高信息網(wǎng)絡(luò)安全管理人員的能力。

3.4抓好關(guān)鍵,確保信息安全工作無死角

第2篇:公司信息安全建設(shè)范文

關(guān)鍵詞:地市煙草;網(wǎng)絡(luò)安全;技術(shù);管理

中圖分類號:TP393.08 文獻標(biāo)識碼:A 文章編號:1674-7712 (2014) 02-0000-02

煙草行業(yè)自1985年有了第一臺計算機以來,經(jīng)過20多年行業(yè)信息化工作者孜孜不倦的努力,行業(yè)的信息化建設(shè)工作取得了長足的發(fā)展,建立了涵蓋行業(yè)各個方面工作的完備的信息網(wǎng)絡(luò),為行業(yè)工作的便捷開展提供了可靠的信息化助力,為“卷煙上水平”做出了應(yīng)有的貢獻。但不可否認(rèn)的是,在信息化建設(shè)之初,由于經(jīng)驗的缺乏及技術(shù)的限制,沒有形成一個具有遠見性及科學(xué)性,能與行業(yè)整體業(yè)務(wù)發(fā)展戰(zhàn)略緊密融合的信息網(wǎng)絡(luò)安全建設(shè)戰(zhàn)略,導(dǎo)致多年來行業(yè)信息網(wǎng)絡(luò)安全建設(shè)工作缺乏統(tǒng)一的導(dǎo)向和組織,雖然各省煙草公司都制定并出臺了計算機網(wǎng)絡(luò)建設(shè)與管理規(guī)范,指導(dǎo)各地市的信息網(wǎng)絡(luò)建設(shè),但因為制度出臺時間較短,及網(wǎng)絡(luò)改造需要流程與時間,可以說目前各地市網(wǎng)絡(luò)安全建設(shè)水平仍不夠理想,信息網(wǎng)絡(luò)安全建設(shè)發(fā)展至今,越來越多的困難與矛盾開始逐漸凸顯。

一、地市煙草公司信息網(wǎng)絡(luò)安全建設(shè)現(xiàn)狀

地市煙草信息網(wǎng)絡(luò)是構(gòu)成全省煙草信息網(wǎng)絡(luò)的個體,因此地市信息網(wǎng)絡(luò)安全建設(shè)水平便直接關(guān)系全省信息網(wǎng)絡(luò)建設(shè)水平,是構(gòu)成全省信息網(wǎng)絡(luò)安全建設(shè)的一環(huán),就像構(gòu)成木桶的一板,依據(jù)管理學(xué)上“木桶效應(yīng)”的短板理論,木桶的盛水量由構(gòu)成木桶的最短的一板決定,當(dāng)有一個地市信息網(wǎng)絡(luò)安全建設(shè)水平大大低于平均水平,就將大大拉低全省煙草信息網(wǎng)絡(luò)整體安全防護水平??梢哉f全省煙草的信息網(wǎng)路安全建設(shè)必將是環(huán)環(huán)相扣的,一環(huán)均不得松懈,一環(huán)均不得落后。

地市信息網(wǎng)絡(luò)安全建設(shè)關(guān)系到全行業(yè)主干的網(wǎng)絡(luò)的安全與穩(wěn)定,而信息網(wǎng)絡(luò)環(huán)境的復(fù)雜性、多變性以及系統(tǒng)的脆弱性、開放性和易受攻擊性,決定了信息網(wǎng)絡(luò)安全威脅的客觀存在。當(dāng)行業(yè)人員在享受著信息網(wǎng)絡(luò)給日常辦公帶來便利性的同時,信息網(wǎng)絡(luò)安全問題也日漸突出,信息網(wǎng)絡(luò)安全建設(shè)形勢日益嚴(yán)峻。結(jié)合地市煙草實際情況分析總結(jié)(某地市煙草信息網(wǎng)絡(luò)安全結(jié)構(gòu)圖如下),以及筆者日常的實際工作體會,主要可以總結(jié)出當(dāng)前地市煙草信息網(wǎng)絡(luò)安全建設(shè)還主要存在著以下幾方面問題:

(一)將信息網(wǎng)絡(luò)安全建設(shè)理解為單純的安全設(shè)備采購

經(jīng)過多年的信息化網(wǎng)絡(luò)安全建設(shè)投入,一種簡單的理念容易令一些行業(yè)信息化工作從業(yè)者產(chǎn)生誤解,即所謂的信息網(wǎng)絡(luò)安全建設(shè)就是網(wǎng)絡(luò)安全設(shè)備的采購,只要網(wǎng)絡(luò)安全設(shè)備采購部署到位,信息網(wǎng)絡(luò)安全便高枕無憂,從一定角度來說,這種觀點并沒有錯誤,隨著信息技術(shù)的發(fā)展,日益先進強大的網(wǎng)絡(luò)安全設(shè)備層出不窮,人性化的操作界面也使得設(shè)備使用與配置變得不再困難,對信息網(wǎng)絡(luò)安全起到很好的保障。各地市煙草公司也在逐年增加著安全設(shè)備的采購數(shù)量,網(wǎng)絡(luò)安全隨著安全設(shè)備的增加看起來已經(jīng)不再是問題。但實際情況是這樣嗎?在實際情況中我們?nèi)匀粫l(fā)現(xiàn),地市煙草在重視網(wǎng)絡(luò)安全設(shè)備采購的時卻較為忽視對網(wǎng)絡(luò)安全設(shè)備采購的前期規(guī)劃,導(dǎo)致亟需網(wǎng)絡(luò)設(shè)備沒有得到采購,或者采購的安全設(shè)備沒有得到很好的實施。造成重復(fù)投資及資產(chǎn)浪費的局面,同時設(shè)備上線實施后期的運行維護及更新升級,隨著時間的流逝,人為的懈怠與忽視,都導(dǎo)致購買的安全設(shè)備沒有起到最大的作用。

(二)信網(wǎng)絡(luò)安全建設(shè)偏重技術(shù)鉆研,忽略日常管理

信息網(wǎng)絡(luò)安全不能完全依賴技術(shù)手段來解決,更多的需要從信息安全日常管理上入手,畢竟信息網(wǎng)絡(luò)的使用者是人,只有對人的管理到位,才能保證在技術(shù)手段搭建的網(wǎng)絡(luò)安全保障平臺下不出現(xiàn)人為操作引發(fā)的漏洞。當(dāng)前地市信息化工作從業(yè)者在對信息安全技術(shù)鉆研方面投以了很大的熱情,但對信息網(wǎng)絡(luò)安全日常管理方面卻顯得無能為力,或者說掌控能力還不夠,雖然制定并頒布了涵蓋網(wǎng)絡(luò)安全各方面的信息化制度,但相關(guān)制度卻沒有得到很好的貫徹執(zhí)行,很多制度名存實亡,而行業(yè)各級員工良好信息網(wǎng)絡(luò)安全使用習(xí)慣始終沒有得到養(yǎng)成,信息安全問責(zé)機制得不到很好實施,同時而信息中心作為相關(guān)信息安全管理制度的制定者,受限于部門職能及自身管理水平所限,導(dǎo)致對制度執(zhí)行的監(jiān)督管理能力低下。而在信息網(wǎng)絡(luò)安全管理不力的情況下,致使再強大的技術(shù)防護都無法避免管理缺失形成的隱患。

(三)信息網(wǎng)絡(luò)安全建設(shè)重視對外防護,忽視對內(nèi)防護

當(dāng)前網(wǎng)絡(luò)安全建設(shè)更多的針對外來攻擊的防護,而忽視對內(nèi)的安全防護,更多的是在網(wǎng)絡(luò)邊界搭設(shè)安全設(shè)備抵御從外部而來的非法入侵及非法訪問,而針對內(nèi)部終端用戶的審計及跟蹤則較為缺失。根據(jù)統(tǒng)計結(jié)果標(biāo)明,99.9%的網(wǎng)絡(luò)安全事件來源于網(wǎng)絡(luò)內(nèi)部,而只有0.1%安全事件來自于外部,絕大多網(wǎng)絡(luò)安全事件來自于以內(nèi)部客戶端為跳板進行的網(wǎng)絡(luò)攻擊。當(dāng)企業(yè)內(nèi)部存在有惡意的攻擊者,他們就能較好的規(guī)避防火墻等安全設(shè)備的安全策略,并把安全策略轉(zhuǎn)向?qū)τ谒麄冇欣囊幻?,對?nèi)部網(wǎng)絡(luò)進行攻擊。同時外部的黑客,也能通過木馬,能讓內(nèi)部用戶運行他們指定的程序,操縱主機,竊取數(shù)據(jù),這些都源于當(dāng)前的信息網(wǎng)絡(luò)建設(shè)對來自網(wǎng)絡(luò)內(nèi)部攻擊防護較為薄弱,同時對內(nèi)部網(wǎng)絡(luò)準(zhǔn)入控制把控力度做得較為不足,雖部署有桌面終端管理系統(tǒng),但在相應(yīng)策略部署上,沒有及時到位,而該系統(tǒng)特殊的技術(shù)阻斷方式,也在一定程度容易導(dǎo)致其阻斷率無法達到100%。

(四)網(wǎng)絡(luò)安全建設(shè)應(yīng)急機制不健全

目前地市信息網(wǎng)絡(luò)安全建設(shè)更多的是重視的日常安全巡檢等日常檢查工作,但是對網(wǎng)絡(luò)突發(fā)事件的應(yīng)急處置則較為欠缺,地市網(wǎng)絡(luò)安全建設(shè)應(yīng)急機制建立不健全,缺乏相應(yīng)網(wǎng)絡(luò)事故應(yīng)急預(yù)案及相關(guān)演練,對突況的應(yīng)變不熟練,導(dǎo)致出現(xiàn)突發(fā)的網(wǎng)絡(luò)安全事故時則會變得手忙腳亂,無法很好應(yīng)對突發(fā)事件帶來的異常,促使事故造成的損失愈發(fā)嚴(yán)重,同時沒有良好的容災(zāi)備份機制,一旦信息安全事故發(fā)生,是否能快速有效的恢復(fù)關(guān)鍵數(shù)據(jù)成為疑問。

二、針對當(dāng)前網(wǎng)絡(luò)安全建設(shè)現(xiàn)狀的一些建議

針對當(dāng)前地市煙草信息網(wǎng)絡(luò)安全建設(shè)過程中存在的問題,通過一定的分析總結(jié),參照最新的技術(shù)規(guī)范及管理理念,以及上級的制度規(guī)定,我們試提出以下幾條改進建議,以達到全面提升信息網(wǎng)絡(luò)安全建設(shè)實用性、科學(xué)性、全面性、穩(wěn)定性的效果,具體如下:

(一)加強網(wǎng)絡(luò)安全設(shè)備采購的前期規(guī)劃及合理配置實用

網(wǎng)絡(luò)安全設(shè)備的采購應(yīng)加強前期規(guī)劃及需求分析工作,不能無目的,無原則的一味追求高新設(shè)備,當(dāng)前的現(xiàn)狀是各地市對網(wǎng)絡(luò)安全的設(shè)備采購均存在著檔次及匹配性問題,存在過大及追高的弊病,形成投資浪費,同時由于項目管控能力較弱,前期規(guī)劃不足,購置的設(shè)備在配置實施后等不到很好的使用,或起不到原先預(yù)想的效果。因此要加強項目前期規(guī)劃,做好需求調(diào)研與需求分析工作,對網(wǎng)絡(luò)安全設(shè)備應(yīng)起到的效果及采購設(shè)備級別有準(zhǔn)確的預(yù)估,加強采購項目的整體實施管控,并重點關(guān)注設(shè)備采購后的實施上線工作,做好安全策略的制定和部署,要充分利用設(shè)備、活用設(shè)備,充分達到應(yīng)起的效用,在設(shè)備正式上線運行后,要做好安全防護策略的及時更新與修訂,作好安全設(shè)備的日常巡檢工作,保證安全設(shè)備始終發(fā)揮作用,而不是上線運行一段時間后就閑置不管。通過對購置網(wǎng)絡(luò)安全設(shè)備活用、善用,提升資產(chǎn)投資價值,搭建堅固穩(wěn)妥信息網(wǎng)絡(luò)安全環(huán)境,促進信息網(wǎng)絡(luò)安全建設(shè)的實用性。

(二)建立完善的信息網(wǎng)絡(luò)安全日常管理體系

加強網(wǎng)絡(luò)安全建設(shè)的日常管理工作,應(yīng)以培養(yǎng)員工的良好的網(wǎng)絡(luò)安全習(xí)慣為工作重點。所謂信息網(wǎng)絡(luò)安全建設(shè)“三分技術(shù),七分管理”,管理到位,信息網(wǎng)絡(luò)安全建設(shè)也將事半功倍。一味單純的依靠技術(shù)進行網(wǎng)絡(luò)安全防護,而管理上存在漏洞,再強大的技術(shù)也將一無所用。好的技術(shù),加上完善嚴(yán)密的管理,才能確保信息網(wǎng)絡(luò)安全、堅固、穩(wěn)妥。因此要注重建立完善信息安全管理保障體系,加強安全監(jiān)管和信息安全等級保護工作,要對網(wǎng)絡(luò)設(shè)備的安全性和信息安全專用產(chǎn)品實行強制認(rèn)證。同時在加強對員工日常信息安全理念培訓(xùn)的同時,要與接入網(wǎng)內(nèi)的計算機終端使用者簽訂信息安全責(zé)任狀,樹立“誰使用、誰負(fù)責(zé)”、“誰管理、誰負(fù)責(zé)”的信息安全理念,嚴(yán)格落實信息安全責(zé)任制,確保員工不敢輕易觸碰信息安全底限,養(yǎng)成良好信息網(wǎng)路安全使用習(xí)慣。通過建立全面多級信息網(wǎng)絡(luò)安全管理體系,增進信息網(wǎng)絡(luò)建設(shè)的科學(xué)性。

(三)加強信息網(wǎng)絡(luò)安全建設(shè)對內(nèi)防護工作

地市公司目前均在互聯(lián)網(wǎng)出口及邊界架設(shè)了硬件防火墻等安全設(shè)備,但由于防火墻的特殊技術(shù)架構(gòu),其對內(nèi)部通過防火墻外部的數(shù)據(jù)是不進行檢測的,這就導(dǎo)致黑客可以利用內(nèi)網(wǎng)主機上的后門程序,建立隱蔽信道,攻破防火墻,因此其在抵御外部攻擊上起到較好作用,但面對來自網(wǎng)絡(luò)內(nèi)部的攻擊就顯得束手無策,針對這一情況,在進行信息網(wǎng)絡(luò)安全建設(shè)的同時,應(yīng)重點加強信息網(wǎng)絡(luò)安全的內(nèi)部防護工作,而加強對客戶端的上網(wǎng)行為審計及網(wǎng)絡(luò)準(zhǔn)入控制,就成了加強信息網(wǎng)絡(luò)內(nèi)部安全建設(shè)的必然選擇。客戶端接入網(wǎng)絡(luò)的同時,通過對其安全狀況及授權(quán)情況進行檢測,只有安全狀況符合要求,得到合理授權(quán)的客戶端才能正常接入辦公網(wǎng)絡(luò)。應(yīng)在互聯(lián)網(wǎng)出口處,防火墻之前,部署上網(wǎng)行為管理設(shè)備,對客戶端出互聯(lián)網(wǎng)的數(shù)據(jù)進行檢測及篩選,降低客戶端進行危險的互聯(lián)網(wǎng)訪問,感染病毒,遭受攻擊的分險。通過加強信息網(wǎng)絡(luò)安全建設(shè)的內(nèi)部防護,提升信息網(wǎng)絡(luò)安全的全面性。

(四)加強信息網(wǎng)路安全建設(shè)應(yīng)急機制建設(shè)及演練

要加強信息網(wǎng)絡(luò)安全建設(shè)的應(yīng)急機制建設(shè),加強應(yīng)急預(yù)案的實施演練,增強對網(wǎng)絡(luò)安全突發(fā)事件的應(yīng)急處理能力。每年應(yīng)進行定期仿真度高的應(yīng)急方案演練,模擬網(wǎng)絡(luò)安全事故發(fā)生時可能發(fā)生的情況,進行針對性演習(xí)。在方案演練前,要做好演練前期的方案策劃,演練過程的完全記錄,演練過后的總結(jié)分析工作。并以此來不斷改進現(xiàn)有的應(yīng)急預(yù)案。同時應(yīng)做好容災(zāi)備份工作,進行關(guān)鍵網(wǎng)絡(luò)設(shè)備的冗余配置及重要數(shù)據(jù)庫的備份工作,確保發(fā)生突發(fā)事件后,能夠及時進行網(wǎng)絡(luò)及數(shù)據(jù)恢復(fù)工作,將突發(fā)事件帶來的影響降到最低,不過多的影響正常辦公業(yè)務(wù)的開展,確保信息網(wǎng)絡(luò)安全的穩(wěn)定性。

四、結(jié)束語

煙草是個比較特殊的行業(yè),在專賣體制下實行“統(tǒng)一領(lǐng)導(dǎo)?垂直管理?壟斷經(jīng)營”,處于一種行政限產(chǎn)型的壟斷狀態(tài)。行業(yè)的特殊性要求我們必須克服特殊體制帶來的缺陷,高效的開展行業(yè)信息化建設(shè)工作。地市信息網(wǎng)絡(luò)安絡(luò),作為全省信息網(wǎng)絡(luò)的組成部分,其信息安全建設(shè)水平?jīng)Q定了全省信息網(wǎng)絡(luò)安全性與穩(wěn)定性,其重要性不言而喻,只有重視信息網(wǎng)絡(luò)安全建設(shè),重視當(dāng)前信息網(wǎng)絡(luò)安全建設(shè)過程中發(fā)現(xiàn)的問題,通過科學(xué)的規(guī)劃,合理的布局,周密的實施,去逐漸改變當(dāng)前的不利局面,才能確保信息網(wǎng)絡(luò)安全建設(shè)的科學(xué)性、全面性、穩(wěn)定性與實用性,確保日常信息網(wǎng)絡(luò)的平穩(wěn)運轉(zhuǎn),為全行業(yè)的快速發(fā)展提供穩(wěn)定強大的信息化助力!

參考文獻:

[1]福建省煙草公司.計算機網(wǎng)絡(luò)建設(shè)與管理規(guī)范[Z].2012.

[2]盧昱,王宇.信息網(wǎng)絡(luò)安全控制[M].北京:國防工業(yè)出版社,2011.

第3篇:公司信息安全建設(shè)范文

關(guān)鍵詞: 縣級供電企業(yè);信息網(wǎng)絡(luò);安全體系;安全建設(shè)

中圖分類號:C29 文獻標(biāo)識碼:A 文章編號:

前言

隨著電力信息網(wǎng)的互聯(lián)和完全溶進Internet,電力信息網(wǎng)絡(luò)面臨日益突出的信息系統(tǒng)安全問題。國家電力產(chǎn)業(yè)體制開始向市場轉(zhuǎn)變,各級供電企業(yè)紛紛建立信息系統(tǒng)和基于Internet的管理應(yīng)用,以提高勞動生產(chǎn)率,提高管理水平,加強信息反饋,提高決策的科學(xué)性和準(zhǔn)確性,提高企業(yè)的綜合競爭力。目前我國電力企業(yè)網(wǎng)絡(luò)安全建設(shè)的發(fā)展很不平衡,總體來看,存在以下薄弱環(huán)節(jié)。因此,必須采取更加科學(xué)有效的方法和思路,加快縣級供電企業(yè)網(wǎng)絡(luò)建設(shè)及網(wǎng)絡(luò)安全建設(shè)的步伐。

1 縣級供電企業(yè)信息網(wǎng)絡(luò)安全防范體系概述

1.1 安全策略

總的來說,其基本策略包括網(wǎng)絡(luò)系統(tǒng)的防護策略、對主機的防護策略、對郵件系統(tǒng)的防護策略、對終端的防護策略、對數(shù)據(jù)安全的防護策略以及建立集中控制平臺等。

1.2 安全技術(shù)

從技術(shù)的層面上,則是通過采用包括建設(shè)安全的主機系統(tǒng)和安全的網(wǎng)絡(luò)系統(tǒng),同時配備適當(dāng)?shù)陌踩a(chǎn)品的方法來實現(xiàn),其包括了病毒防護、訪問控制、入侵檢測、漏洞掃描、數(shù)據(jù)加密、數(shù)據(jù)備份以及身份認(rèn)證等這些方面。

1.3 安全培訓(xùn)

通過在線模擬考試功能和題庫,實現(xiàn)對培訓(xùn)記錄、培訓(xùn)師資隊伍、培訓(xùn)資料以及考試成績的電力化管理,并對培訓(xùn)結(jié)果進行在線統(tǒng)計分析。

2 縣級供電企業(yè)信息網(wǎng)絡(luò)整體安全建設(shè)

2.1 物理層安全建設(shè)

物理層安全建設(shè)主要保護的是通信線路、物理設(shè)備以及機房的安全等三大方面。從技術(shù)上,可以進行對設(shè)備的備份、防災(zāi)害和防干擾的能力、設(shè)備的運行環(huán)境的調(diào)配以及保持電源的正常使用等這些方面。

2.2 網(wǎng)絡(luò)層安全建設(shè)

網(wǎng)絡(luò)層安全建設(shè)所指的是網(wǎng)絡(luò)方面的安全性建設(shè),它可以通過實行身份認(rèn)證、訪問控制、數(shù)據(jù)的完整性和保密性、域名系統(tǒng)及路由系統(tǒng)的安全、入侵檢測及防火墻等技術(shù)來實現(xiàn)。

2.3 系統(tǒng)層安全建設(shè)

系統(tǒng)層安全建設(shè)所指的是在進行網(wǎng)絡(luò)使用時,關(guān)于操作系統(tǒng)安全的建設(shè)。對于系統(tǒng)自身而引起的系統(tǒng)漏洞可以通過身份認(rèn)證、訪問控制、系統(tǒng)漏洞修復(fù)等手段來進行。

2.4 用戶層安全建設(shè)

用戶層安全所指的是對用戶使用的過程中所存在的安全建設(shè)。用戶層安全技術(shù)包括分組管理、單口令的登錄的方式及用戶身份認(rèn)證等主要方面。

2.5 管理層安全建設(shè)

管理層安全建設(shè)主要是通過供應(yīng)商使用應(yīng)用軟件和數(shù)據(jù)的安全性的建設(shè),包括對Web服務(wù)、電子郵件系統(tǒng)、DNS等方面進行優(yōu)化。此外,還包括病毒對系統(tǒng)的威脅。

2.6 數(shù)據(jù)層安全建設(shè)

首先應(yīng)考慮對應(yīng)用系統(tǒng)和數(shù)據(jù)進行備份和恢復(fù)措施,應(yīng)用系統(tǒng)的安全涉及到數(shù)據(jù)庫系統(tǒng)的安全,數(shù)據(jù)庫系統(tǒng)的安全性很大程度上依賴于數(shù)據(jù)庫管理系統(tǒng),如果數(shù)據(jù)管理系統(tǒng)安全機制非常強大,則數(shù)據(jù)庫系統(tǒng)的安全性就較好。

在以上的各個層面上,每個層面都應(yīng)該有不同的技術(shù)來達到相應(yīng)的安全保護。如表1所示。

表1 根據(jù)安全層面技術(shù)來進行縣級供電公司信息網(wǎng)絡(luò)整體安全建設(shè)

3 縣級供電企業(yè)如何有效進行信息網(wǎng)絡(luò)安全體系建設(shè)

(1)整合現(xiàn)有系統(tǒng),實現(xiàn)生產(chǎn)實時信息與管理信息的集成,建立電網(wǎng)信息一體化平臺。看似簡單的數(shù)據(jù)交換和信息共享,由于沒有統(tǒng)一的信息平臺,形成企業(yè)信息化發(fā)展的瓶頸。縣級供電企業(yè)以后的重點工作是整合、集成現(xiàn)有的各子信息系統(tǒng),搭建統(tǒng)一的運行平臺,規(guī)范、整理、合并各種基礎(chǔ)數(shù)據(jù),逐步建立集中、統(tǒng)一、開放式中心數(shù)據(jù)庫,實現(xiàn)各信息系統(tǒng)的無縫連接。對縣級供電企業(yè)網(wǎng)絡(luò)來講,網(wǎng)絡(luò)整體穩(wěn)定性要求非常高,網(wǎng)絡(luò)應(yīng)該提供多種冗余備份的方式,確保業(yè)務(wù)的連續(xù)。在縣局網(wǎng)絡(luò)平臺搭建好之后,這要考慮到未來系統(tǒng)的擴展性??h級供電企業(yè)的信息化建設(shè)是一項復(fù)雜的系統(tǒng)工程,只有以企業(yè)效益為核心,通過構(gòu)建統(tǒng)一的信息化基礎(chǔ)平臺,部署企業(yè)一體化應(yīng)用系統(tǒng),才能適應(yīng)縣域經(jīng)濟發(fā)展,滿足人民群眾對電力的需要,才能提高企業(yè)的核心競爭力,才能信步于未來的信息化發(fā)展之路。并以信息化帶動企業(yè)內(nèi)部管理機制的改革,實現(xiàn)機制創(chuàng)新、管理創(chuàng)新、技術(shù)創(chuàng)新,努力發(fā)揮信息化對企業(yè)可持續(xù)發(fā)展的支撐作用。

(2)運用現(xiàn)代網(wǎng)絡(luò)技術(shù),構(gòu)建技術(shù)先進、穩(wěn)定可靠的信息化通道。網(wǎng)絡(luò)安全裝置、服務(wù)器、PC機等不同種類配置不斷出新的發(fā)展。信息安全技術(shù)管理方面的人才無論是數(shù)量還是水平,都無法適應(yīng)企業(yè)信息安全形勢的需要。隨著電力體制改革的不斷深化,計算機網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)上將承載著大量的企業(yè)生產(chǎn)和經(jīng)營的重要數(shù)據(jù)。因此,保障計算機網(wǎng)絡(luò)信息系統(tǒng)安全、穩(wěn)定運行至關(guān)重要,通常可以采取新的技術(shù),如桌面安全管理系統(tǒng)等對終端行為進行管理,從而保證整個內(nèi)網(wǎng)的可信任和可控制。目前,大部分病毒是通過計算機系統(tǒng)的漏洞來進行肆意的傳播,為此,對于計算機系統(tǒng)的供應(yīng)商而言,應(yīng)該要對大部分的漏洞進行及時地提供相應(yīng)的補丁系統(tǒng),而對于使用者而言,則需要通過不斷地更新服務(wù)的系統(tǒng)來進行對系統(tǒng)的更新。

(3)加強技術(shù)和應(yīng)用培訓(xùn),為發(fā)展縣級供電企業(yè)信息化建設(shè)提供基礎(chǔ)保障。先進的管理方式對員工素質(zhì)提出了更高的要 求,推行信息化建設(shè)不但要有“科技興企、人才先行”的觀念,而且還需要既懂電力知識又懂信息技術(shù)的人才。管理信息系統(tǒng)的生命力很大程度上取決于應(yīng)用。信息化建設(shè)既是階段性工程又是一種長期行為,對待信息化建設(shè)要有長遠眼光,動態(tài)地考慮和評價信息化建設(shè)問題,不能只看到眼前利益,急于求成。

(4)加強信息制度和信息化安全建設(shè),為縣級供電企業(yè)信息化的建設(shè)提供根本保證。信息安全不僅要考慮到從安全問題的角度來進行分析,從而提出各個層面的安全保障,為此,信息安全它包括的是策略、技術(shù)以及管理的安全體系。供電企業(yè)在實現(xiàn)網(wǎng)絡(luò)信息安全的有效途徑的時候,需要從技術(shù)的層面以及管理的良好配合才得以實現(xiàn),從而才能為縣級供電企業(yè)信息化的建設(shè)提供根本性的保證。

4、結(jié)束語

電力企業(yè)的各個業(yè)務(wù)對網(wǎng)絡(luò)的依賴性越來越強,對信息網(wǎng)絡(luò)安全性的要求也越來越高,電力系統(tǒng)信息網(wǎng)絡(luò)安全已經(jīng)成為電力企業(yè)生產(chǎn)、經(jīng)營和管理的重要組成部分。電力企業(yè)必須運用現(xiàn)代網(wǎng)絡(luò)技術(shù),加強信息制度和信息化安全建設(shè),確保信息系統(tǒng)的安全運行,為企業(yè)的安全生產(chǎn)提供有力的保證,從而打造更加穩(wěn)固堅強的管理技術(shù)支撐平臺。

參考文獻:

[1]徐偉鋒、張虹、李莉.構(gòu)建電力企業(yè)的網(wǎng)絡(luò)信息安全[J].陜西電力,2007

[2]王廣河,縣級供電公司信息網(wǎng)絡(luò)的安全風(fēng)險與防護策略[J].電力安全技術(shù),2008

第4篇:公司信息安全建設(shè)范文

通過安全認(rèn)證

隨著國航信息系統(tǒng)建設(shè)的飛速發(fā)展,在奧運安全保障工作中,安全不再只是空防安全和飛行安全,信息安全已成為奧運安保的重要環(huán)節(jié),并納入公司和信息管理部2008年重點工作之中。國航信息安全規(guī)劃咨詢項目就是在奧運安保和國航信息系統(tǒng)跨越式發(fā)展的大背景下立項建設(shè)的,它旨在為國航信息安全體系建設(shè)打下堅實的理論基礎(chǔ)。

國航也是通過這個項目完成了未來3~5年信息安全建設(shè)的發(fā)展規(guī)劃,建立了信息安全管理體系,于近日最終通過了ISO 27001信息安全管理體系認(rèn)證,使國航成為國內(nèi)首家通過此國際認(rèn)證的航空企業(yè),進一步提升了公司的綜合競爭實力。

記者了解到,ISO 27001是國際信息安全領(lǐng)域的重要標(biāo)準(zhǔn),它的前身源自英國標(biāo)準(zhǔn)協(xié)會(British Standards Institute,BSI)在1995年2月制定的信息安全管理標(biāo)準(zhǔn) BS 7799,經(jīng)修訂后,于2005年10月15日作為國際標(biāo)準(zhǔn)ISOIEC 27001/2005。該標(biāo)準(zhǔn)基于風(fēng)險評估的風(fēng)險管理理念,可用于信息安全管理體系的建立和實施,保障信息安全,全面系統(tǒng)地持續(xù)改進安全管理。國航的信息安全管理體系已于2008年12月就通過了國際權(quán)威認(rèn)證機構(gòu)的現(xiàn)場審核,具備了獲取ISO 27001信息安全管理體系國際認(rèn)證的條件。

在國航發(fā)展戰(zhàn)略中,信息安全占有非常重要的位置,幾乎所有業(yè)務(wù)都與信息技術(shù)相關(guān),特別是涉及到飛行安全、客戶信任度的商務(wù)及財務(wù)方面信息等,都需要信息安全管理體系這張保護網(wǎng)的保障,在這種發(fā)展趨勢下,國航以建立起成熟的、具備國際水平的信息安全保障體系,保障核心業(yè)務(wù)不中斷、核心系統(tǒng)不被攻擊、客戶信息不泄露為信息安全愿景目標(biāo),

中國國際航空股份有限公司信息管理部總經(jīng)理劉東說,國航有幾百個系統(tǒng)每天運營著國航所有的正常航線、飛機維護、機組人員的管理、人員的編排,還有財務(wù)的收益管理,以及訂座系統(tǒng)、離崗系統(tǒng)、網(wǎng)絡(luò)收益系統(tǒng)。對于航空公司來講,每個系統(tǒng)都不能失控,也不能出問題。

安全蹺蹺板

曾經(jīng)主抓飛行安全如今管信息安全的中國國際航空股份有限公司副總裁賀利,在回顧國航在信息安全方面取得建設(shè)的一些建設(shè)成果時表示,“信息安全的體系是一個很復(fù)雜的體系,我們在業(yè)界經(jīng)常叫“安全蹺蹺板”,這個蹺蹺板主要是在IT基礎(chǔ)結(jié)構(gòu)的基礎(chǔ)上,包括三方面內(nèi)容:一是技術(shù)平臺,二是組織和人員,三是制度和流程,由這三方面一起通過我們來執(zhí)行,去構(gòu)成信息安全體系?!?/p>

國航信息管理部技術(shù)管理辦公室高級經(jīng)理李宗琦表示,如果沒有信息安全管理體系這張保護網(wǎng),應(yīng)該說國航的飛行安全可能也無法得到保障。

第一要保證國航的核心業(yè)務(wù)不中斷,第二要保證國航信息系統(tǒng)不被攻擊,第三要保證重要客戶的信息不被泄漏,通過這樣的保障體系為國航的業(yè)務(wù)愿景的目標(biāo)實現(xiàn)保駕護航。

第5篇:公司信息安全建設(shè)范文

作為一個大型的金融企業(yè),中國長城資產(chǎn)管理公司(以下稱長城資產(chǎn)管理公司)深知信息技術(shù)和網(wǎng)絡(luò)技術(shù)對公司發(fā)展的重要性,公司總部與各省分支機構(gòu)之間已經(jīng)有2M鏈路相連,總部與各省分支機構(gòu)均與Internet連接。

“雙刃劍”困擾公司發(fā)展

隨著金融科技的發(fā)展,現(xiàn)代金融企業(yè)的業(yè)務(wù)開展越來越依賴于網(wǎng)絡(luò)。但網(wǎng)絡(luò)是一柄雙刃劍,在幫助公司發(fā)展業(yè)務(wù)的同時也帶來了一系列的安全問題。長城資產(chǎn)管理公司意識到網(wǎng)絡(luò)安全的重要性,并決定建立網(wǎng)絡(luò)安全體系。

長城資產(chǎn)管理公司總部的安全建設(shè)已經(jīng)部署了防火墻FW、防病毒AV、入侵檢測IDS和補丁管理系統(tǒng)。但各省分支機構(gòu)在安全建設(shè)方面幾乎是一片空白,技術(shù)力量弱,IT技術(shù)人員缺乏。

關(guān)注“短板”的建設(shè)

長城資產(chǎn)管理公司信息技術(shù)部安全處處長曾德超表示,長城資產(chǎn)管理公司的關(guān)鍵和核心數(shù)據(jù)存儲在總部,分支機構(gòu)的服務(wù)器沒有存儲重要數(shù)據(jù)。針對目前的這個現(xiàn)狀,把總部的安全建設(shè)作為工作重點的做法是比較可取的,也是比較經(jīng)濟的。但是分支機構(gòu)的安全建設(shè)與總部之間存在著嚴(yán)重的不平衡,這種不平衡會使總部的安全建設(shè)的成果和效果大打折扣。因為信息安全建設(shè)的總體效果不是取決于最堅固的環(huán)節(jié),相反是取決于最薄弱的鏈條,這就是著名的“木桶原理”。因此,分支機構(gòu)的基本安全保障建設(shè)就顯得尤為重要。

細(xì)粒度的訪問控制、病毒和蠕蟲的防護以及總部與分支機構(gòu)之間數(shù)據(jù)的加密傳輸和身份認(rèn)證等等,都是來自分支機構(gòu)的安全需求,因此對于分支機構(gòu)來講,選擇一種包含防火墻、VPN和病毒防護等多種功能的安全產(chǎn)品,即UTM(統(tǒng)一威脅管理)是滿足上述要求的最佳解決方案。

長城資產(chǎn)管理公司總部與分支機構(gòu)之間通過單一鏈路很容易出現(xiàn)單點故障,因此,需要增加冗余鏈路作為備份。另外,就當(dāng)前網(wǎng)絡(luò)現(xiàn)狀和應(yīng)用功能,該公司的安全建設(shè)和管理,比較適合采用總部統(tǒng)一安全管理策略,對分支機構(gòu)進行集中管理的方式。

經(jīng)過仔細(xì)的調(diào)研和分析之后,長城資產(chǎn)管理公司決定實施如下的安全戰(zhàn)略:采用集中管理策略,并使用UTM產(chǎn)品 ,在公司總部和各個分支機構(gòu)進行統(tǒng)一部署。

一方面,集中管理可以從最大程度上節(jié)約公司的安全成本,特別是安全管理成本。同時利于總部及時掌握各個分支機構(gòu)的安全狀況,對整個公司的安全狀況了然于心,也便于進行安全檢查和安全審計。

另一方面,選擇UTM產(chǎn)品進行統(tǒng)一實施,可順利解決分支機構(gòu)的基本安全保障問題,在所有的分支機構(gòu)全部部署UTM產(chǎn)品,一攬子解決所有分支機構(gòu)的安全問題。此外,UTM產(chǎn)品具有如下功能上和管理上的優(yōu)勢:支持點對點VPN連接,實現(xiàn)集中式管理;建立總部與各省分支機構(gòu)之間的VPN連接,作為現(xiàn)有專線的備份鏈路;保護各省分支機構(gòu)免受來自Internet的惡意攻擊或者蠕蟲/病毒感染;實現(xiàn)移動用戶的安全接入;實現(xiàn)統(tǒng)一威脅管理,構(gòu)成立體防御體系,避免多種安全產(chǎn)品各自為政,條塊分割等。

擇UTM鑄造網(wǎng)絡(luò)長城

“長城資產(chǎn)管理公司對市場上的多功能安全網(wǎng)關(guān)產(chǎn)品進行逐一比較和分析后,最終選擇了天清漢馬多功能安全網(wǎng)關(guān),它集成了多種強大的功能,不僅提供防火墻、病毒過濾功能,還提供TCP技術(shù)防范拒絕服務(wù)攻擊、連接數(shù)限制、靈活的策略路由、AAA認(rèn)證、準(zhǔn)確的BT封鎖功能及完備的NAT功能等,能夠很好地滿足長城資產(chǎn)管理公司的安全需求。” 曾德超如是說。

該項目實施后,長城資產(chǎn)管理公司總部與各分支機構(gòu)IT系統(tǒng)的安全性得到大大加強,公司運營效率和管理效率也得到了很大的提高。

編輯點評:現(xiàn)代金融企業(yè)的業(yè)務(wù)開展越來越依賴于網(wǎng)絡(luò)已是不爭的事實,而與之相應(yīng)的安全問題亦越來越突出。對金融行業(yè)來說,安全問題往往是致命的,網(wǎng)絡(luò)安全的建設(shè)任重而道遠!

?業(yè)界動態(tài)?

McAfee發(fā)現(xiàn)第20萬個惡意威脅

McAfee 近期宣布McAfee Avert實驗室把第10萬個威脅添加到其2004年9月份的數(shù)據(jù)庫當(dāng)中,并已經(jīng)發(fā)現(xiàn)第20萬個惡意威脅。 (李)

SONICWALL公布UTM設(shè)備市場報告

7月25日,SonicWALL宣布連續(xù)第五季度保持全球統(tǒng)一威脅管理(UTM)安全設(shè)備市場領(lǐng)導(dǎo)地位。根據(jù)今年7月IDC的全球安全設(shè)備跟蹤報告,于第一季度SonicWALL在銷售數(shù)量和工廠營收方面處于總體領(lǐng)導(dǎo)地位。 (剛)

聯(lián)想網(wǎng)御開啟全國技術(shù)巡禮

近日,聯(lián)想網(wǎng)御正式在廣州開啟主題為“藍?!钡摹?006年聯(lián)想網(wǎng)御全國技術(shù)巡禮”。本次巡禮歷時3個多月,覆蓋了包括華東、華南、西北等在內(nèi)的全國上百個城市,是目前業(yè)界覆蓋范圍最大的一次信息安全技術(shù)巡禮。 (何)

第6篇:公司信息安全建設(shè)范文

長期以來,中國大多數(shù)企業(yè)的信息安全建設(shè)遵循“木桶理論”,但實踐證明,在企業(yè)信息安全領(lǐng)域應(yīng)用木桶理論仍存在一定缺陷,很難實現(xiàn)“標(biāo)本兼治”。企業(yè)信息安全應(yīng)從安全策略、安全管理體系、安全技術(shù)體系和安全運維體系四個方面建設(shè)一個完善的信息安全體系對企業(yè)的信息資源提供全方位的安全防護。整個安全體系以安全策略為核心,管理、技術(shù)、運維三者有機結(jié)合,又相互支撐。三者之間的關(guān)系為“根據(jù)管理體系中的策略,由相關(guān)組織或人員,利用技術(shù)體系作為工具和手段,進行操作來維持運行體系”。在建立信息安全體系的過程中,可采用ISO27001:2005所述的“過程方法”,即將“規(guī)劃(Plan)-實施(Do)-檢查(Check)-處置(Act)”(PDCA)四個步驟。

2安全策略

信息安全策略研究就是依據(jù)國家信息安全的方針政策、法律法規(guī)和工作要求,結(jié)合企業(yè)實際情況和管理要求,制訂企業(yè)信息安全防護的建設(shè)方針和基本要求,對信息安全管理體系、技術(shù)體系和運維體系中的各種安全控制措施和機制的部署提出目標(biāo)和原則,是信息化“建、管、用”各項工作和各個環(huán)節(jié)必須遵守的安全規(guī)則,也是針對每個系統(tǒng)和設(shè)備制訂分項安全策略的依據(jù)。

3安全管理

信息安全管理可參照信息安全管理模型,按照先進的信息安全管理標(biāo)準(zhǔn)ISO17799標(biāo)準(zhǔn)建立組織完整的安全管理體系并實施與保持,達到動態(tài)的、系統(tǒng)的、全員參與、制度化的、以預(yù)防為主的信息安全管理方式。管理體系架構(gòu)可分為四層,最高層為企業(yè)信息安全總體策略,為下面的各項分策略和具體的規(guī)章制度提供指導(dǎo)。第二層為企業(yè)信息安全組織體系,作用在于指導(dǎo)實施安全體系,制定安全的相關(guān)標(biāo)準(zhǔn)和方針,監(jiān)管安全事件等。組織體系須設(shè)立專門的管理機構(gòu),配備相應(yīng)的安全管理人員,明確主管領(lǐng)導(dǎo),落實部門責(zé)任,各盡其職。第三層為根據(jù)總策略,對信息安全涉及的各方面制定有針對性的分項策略,為安全的具體實施提供管理和技術(shù)上的指導(dǎo)。第四層為具體的安全管理制度。

4安全技術(shù)

第7篇:公司信息安全建設(shè)范文

至去年“棱鏡門”事件后,國內(nèi)連續(xù)爆出一系列數(shù)據(jù)泄密事件:如家等快捷酒店開房記錄泄露、中國人壽80萬保單信息泄露、搜狗手機輸入法漏洞、315晚會上央視也曝光了二維碼等網(wǎng)銀支付的安全漏洞,近日又曝光攜程用戶信息泄露,導(dǎo)致信用卡被盜刷的惡性事件,再次讓互聯(lián)網(wǎng)用戶數(shù)據(jù)安全成為關(guān)注焦點。為企業(yè)在數(shù)據(jù)防泄密建設(shè)方面敲響警鐘。

據(jù)烏云平臺披露:攜程將用于處理用戶支付的服務(wù)接口開啟了調(diào)試功能,使所有向銀行驗證持卡所有者接口傳輸?shù)臄?shù)據(jù)包均直接保存在本地服務(wù)器。同時因為保存支付日志的服務(wù)器未做校嚴(yán)格的基線安全配置,存在目錄遍歷漏洞,導(dǎo)致所有支付過程中的調(diào)試信息可被任意駭客讀取。這些信息包括持卡人姓名、身份證、銀行卡類別、銀行卡號、CVV碼和6位Bin。

根據(jù)CNNIC最新數(shù)據(jù)顯示,2013年因網(wǎng)上數(shù)據(jù)泄露發(fā)生的安全問題涉及的網(wǎng)民數(shù)占整體上網(wǎng)人數(shù)的4.0%以上,影響人數(shù)達2010.6萬人。其中,個人信息泄露比例達42.9%,賬號密碼被盜比例達23.8%。在享受互聯(lián)網(wǎng)與手機帶來的便捷之時,人已經(jīng)“透明”了。層出不窮的新型騙術(shù)、花樣翻新的黑客木馬,無一不在拷問著網(wǎng)絡(luò)數(shù)據(jù)安全問題。“創(chuàng)新永遠伴隨著風(fēng)險,相關(guān)機構(gòu)應(yīng)提高自身安全技術(shù)業(yè)務(wù);同時,希望更多宣傳和普及用戶安全意識教育?!蹦郴ヂ?lián)網(wǎng)公司首席知識管理專家趙煥焱強調(diào)。在他看來,幾乎每次數(shù)據(jù)泄露的安全事件都是對商業(yè)公司的督促,而各個商業(yè)公司的安全意識也在逐漸加強。

事實上,目前,政府、企業(yè)等各方面都已經(jīng)認(rèn)識到信息安全建設(shè)的重要性和緊迫性。怎樣避免數(shù)據(jù)泄密風(fēng)險成為每位CIO迫切希望解決的問題。從眾多數(shù)據(jù)泄密事件看,數(shù)據(jù)泄密途徑主要有數(shù)據(jù)非授權(quán)使用、內(nèi)部人員有意或無意泄密、離職雇員盜取信息及第三方合作人員數(shù)據(jù)竊取、數(shù)據(jù)被隨意拷貝等。從本質(zhì)上講,數(shù)據(jù)加密技術(shù)是確保數(shù)據(jù)安全的治本之法,核心信息資產(chǎn)只用通過加密技術(shù)實現(xiàn)權(quán)限管理:知道核心數(shù)據(jù)哪些人能看,在哪兒能看,看的環(huán)境是否安全,才能建立完善的數(shù)據(jù)安全管理體系,實現(xiàn)對數(shù)據(jù)的安全管控。采用多種加密技術(shù),結(jié)合用戶身份和權(quán)限控制等技術(shù)實現(xiàn)對數(shù)據(jù)全生命周期的安全管理。構(gòu)建以信息防泄密為核心的數(shù)據(jù)安全管理體系。對數(shù)據(jù)產(chǎn)生、交換、使用和存儲全生命周期實現(xiàn)權(quán)限控制和安全管理,讓核心信息牢牢掌握在內(nèi)部,從而保護信息資產(chǎn)安全。

聯(lián)系到中央網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組成立,全國兩會上信息安全焦點問題備受關(guān)注都充分說明國家信息安全建設(shè)高度重視。大數(shù)據(jù)時代,信息資產(chǎn)成為企業(yè)發(fā)展的命脈,如果數(shù)據(jù)信息被泄密,后果將不堪設(shè)想。(姜姝)

第8篇:公司信息安全建設(shè)范文

【關(guān)鍵詞】電力;信息系統(tǒng);信息安全;等級保護

隨著科學(xué)技術(shù)的快速提高,我國的信息化發(fā)展迅速,信息化在各行各業(yè)都得到廣泛應(yīng)用。城市電網(wǎng)是經(jīng)濟社會發(fā)展的重要基礎(chǔ)設(shè)施,是能源產(chǎn)業(yè)鏈的重要環(huán)節(jié)。隨著信息、通信技術(shù)的廣泛應(yīng)用,智能化已成為世界電網(wǎng)發(fā)展的新趨勢。電力企業(yè)網(wǎng)絡(luò)建立信息安全等級保護制度旨在為國家信息安全保護工作建立起一個長久有效的安全機制,保障信息化建設(shè)的健康發(fā)展。然而目前我國電網(wǎng)的信息安全等級保護政策的實施處于初步進行階段,還有很多工作需要完成。這需要業(yè)內(nèi)外人士的共同參與,為保障信息安全盡最大的努力。同時伴隨著計算機技術(shù)的發(fā)展,信息安全等級保護技術(shù)和水平也要不斷優(yōu)化升級,確保能夠及時解決安全保護中遇到的問題,讓信息安全等級保護政策的實施暢行無阻。

1 電力信息安全等級保護

信息系統(tǒng)等級保護制度是我國信息安全領(lǐng)域一項重要政策,信息系統(tǒng)安全等級保護是指對信息安全實行等級化保護和等級化管理。根據(jù)信息系統(tǒng)實用業(yè)務(wù)重要程度及其安全實際需求,實行分級、分類、分階段實施保護,保障信息安全和系統(tǒng)安全穩(wěn)定運行,維護國家利益、公共利益和社會穩(wěn)定,等級保護的核心是對信息系統(tǒng)特別是對業(yè)務(wù)應(yīng)用系統(tǒng)安全分等級、按標(biāo)準(zhǔn)進行建設(shè)、管理和監(jiān)督。國家對信息安全等級保護工作運用法律和技術(shù)規(guī)范逐級加強監(jiān)管力度,保障重要信息資源和重要信息系統(tǒng)的安全。

1.1 等級保護定級

信息系統(tǒng)的安全保護等級由兩個定級要素決定:等級保護對象受到破壞時所侵害的客體和對客體造成侵害的程度,其中等級保護對象受到破壞時所侵害的客體包括三方面:公民、法人和其他組織的合法權(quán)益,社會秩序、公民利益,國家安全。等級保護對象受到破壞后對客體造成侵害的程度分為三種:一般損害,嚴(yán)重?fù)p害,特別嚴(yán)重?fù)p害。定級要素與信息系統(tǒng)定級的關(guān)系見下表所示。

1.2 基本要求與主要流程

等級保護的基本要求是:各基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng),按照“準(zhǔn)確定級、嚴(yán)格審批、及時備案、認(rèn)真整改、科學(xué)測評”的要求完成等級保護的定級、備案、整改、測評等工作。公安機關(guān)和保密、密碼工作部門要及時開展監(jiān)督檢查,嚴(yán)格審查信息系統(tǒng)所定級別,嚴(yán)格檢查信息系統(tǒng)開展備案、整改、測評等工作。等級保護的主要流程包括6項內(nèi)容。

(1)自主定級與審批:信息系統(tǒng)運營使用單位按照等級保護管理辦法和定級指南,自主確定信息系統(tǒng)的安全保護等級。有上級主管部門的,應(yīng)當(dāng)經(jīng)上級主管部門審批??缡』蛉珖y(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)可以由其主管部門統(tǒng)一確定安全保護等級。

(2)評審:在信息系統(tǒng)確定安全保護等級過程中,可以組織專家進行評審。對擬確定為第4級以上信息系統(tǒng)的,運營使用單位或主管部門應(yīng)當(dāng)邀請國家信息安全等級專家評審委員會評審。

(3)備案:第2級以上信息系統(tǒng)定級單位到所在地的市級以上公安機關(guān)辦理備案手續(xù)。

(4)系統(tǒng)安全建設(shè):信息系統(tǒng)安全保護等級確定后,運營使用單位按照慣例規(guī)范和技術(shù)標(biāo)準(zhǔn),選擇管理辦法要求的信息安全產(chǎn)品,建設(shè)符合等級要求的信息安全設(shè)施,建立安全組織,制定并落實信息安全管理制度。

(5)等級測評:信息系統(tǒng)建設(shè)完成后,運營使用單位選擇符合管理辦法要求的檢測機構(gòu),對信息系統(tǒng)安全等級狀況開展等級測評。

(6)監(jiān)督檢查:公安機關(guān)依據(jù)信息安全等級保護管理規(guī)范,監(jiān)督檢查運營使用單位開展等級保護工作,定期對第3級以上的信息系統(tǒng)進行安全檢查。運營使用單位應(yīng)當(dāng)接受公安機關(guān)的安全監(jiān)督、檢查、指導(dǎo),如實向公安機關(guān)提供有關(guān)材料。

2 電力信息系統(tǒng)等級保護工作開展

2.1 信息系統(tǒng)定級及審批

2007年7月,公安部、國家保密局、國家密碼管理局、國務(wù)院信息辦聯(lián)合下發(fā)《關(guān)于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》(公信安[2007]861號),按照有關(guān)工作要求,國家電力監(jiān)管委員會開展了電力行業(yè)等級保護定級工作,并印發(fā)《關(guān)于開展電力行業(yè)信息系統(tǒng)安全等級保護定級工作的通知》(電監(jiān)信息[2007]34號),電力公司按照《國家電網(wǎng)公司信息系統(tǒng)安全保護等級定級指南(試行)》(信息技術(shù)[2007]60號)對公司信息系統(tǒng)進行定級,按照要求填寫定級報告和備案表,并報送國家電力監(jiān)管委員會組織評審和審批。主要涉及4個3級系統(tǒng)、11個二級系統(tǒng),具體見表2。

2.2 信息系統(tǒng)等級保護備案

公司完成信息系統(tǒng)的定級工作后,開始對信息系統(tǒng)進行等級保護備案,認(rèn)真填寫《信息系統(tǒng)安全等級保護備案表》,梳理完成所有資料準(zhǔn)備后,于2011年向省公安廳提交了等級保護備案材料,最終公司15個管理信息系統(tǒng)完成了等級保護備案工作。

2.3 等級保護測評及整改工作

2011-2012年,按照國家電力監(jiān)管委員會要求,北京華電卓識信息安全測評技術(shù)中心相繼完成對公司電力市場交易系統(tǒng)、ERP系統(tǒng)、財務(wù)管理系統(tǒng)、營銷管理等15個系統(tǒng)的等級保護測評工作。

公司積極組織、協(xié)調(diào)、配合測評隊伍,遵循“流程規(guī)范、方法科學(xué)、結(jié)論公正”的原則,按照國家等級保護測評工作的有關(guān)標(biāo)準(zhǔn)、規(guī)范的要求,根據(jù)《電力行業(yè)信息系統(tǒng)安全等級保護要求(試行)》開展測評工作,公司信息系統(tǒng)等級保護測評符合率達到95%以上,順利通過了等級保護測評,但是測評中還是發(fā)現(xiàn)了部分問題,主要包括:

(1)網(wǎng)絡(luò)設(shè)備不具備雙因子驗證

根據(jù)國家《信息系統(tǒng)安全等級保護基本要求》規(guī)定,第2級以上(不含)信息系統(tǒng)網(wǎng)絡(luò)設(shè)備應(yīng)對同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來進行身份鑒別,按照此項基本要求,限于硬件條件,公司三級信息系統(tǒng)尚達不到安全防護要求。

(2)數(shù)據(jù)庫審計功能未開啟

根據(jù)國家《信息系統(tǒng)安全等級保護基本要求》規(guī)定,第2級及以上信息系統(tǒng)審計范圍應(yīng)覆蓋到服務(wù)器上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶;系統(tǒng)不支持該要求的,應(yīng)以系統(tǒng)運行安全和效率為前提。按照此項工作要求,公司部分系統(tǒng)未開啟數(shù)據(jù)庫審計功能,亦未部署第三方審計產(chǎn)品。

測評工作結(jié)束后測評人員對測評過程結(jié)果及以上問題進行了反饋,公司根據(jù)測評中發(fā)現(xiàn)的各類問題做好問題整改工作,確保公司信息系統(tǒng)安全穩(wěn)定運行。整改工作如下:

1)網(wǎng)絡(luò)設(shè)備未設(shè)置雙因子認(rèn)證。對于不具備雙因子驗證條件的問題,公司正在加快建設(shè)統(tǒng)一數(shù)字認(rèn)證系統(tǒng),系統(tǒng)上線后可實現(xiàn)雙因子驗證。

2)數(shù)據(jù)庫審計功能未開啟。因開啟數(shù)據(jù)庫審計功能會對系統(tǒng)性能產(chǎn)生較大影響,公司近期計劃購置部署第三方審計產(chǎn)品。

3 結(jié)束語

電力公司近年來高度重視信息安全工作,信息安全等級保護工作卓有成效,通過落實信息安全等級保護制度,開展管理制度建設(shè)、技術(shù)措施建設(shè)、落實等級保護各項工作要求,使信息系統(tǒng)安全管理水平明顯提高,安全防護能力顯著增強,安全隱患和安全事故明顯減少,有效保障公司信息化工作健康發(fā)展,公司下一步工作重點應(yīng)著手對等級保護測評發(fā)現(xiàn)的各項問題進行整改,保障公司網(wǎng)絡(luò)及信息系統(tǒng)安全穩(wěn)定運行。

參考文獻:

[1]王雪莉.淺談信息安全等級保護問題[J].數(shù)字技術(shù)與應(yīng)用,2012.

[2]易振宇.電力信息系統(tǒng)等級保護實施淺談[J].信息安全與通信保密,2011.

第9篇:公司信息安全建設(shè)范文

關(guān)鍵詞:水利水電;網(wǎng)絡(luò)建設(shè);信息技術(shù)

當(dāng)今社會是一個經(jīng)濟飛速發(fā)展的社會,其中可以展現(xiàn)經(jīng)濟飛速發(fā)展的一個方面便是水利水電工程技術(shù)的發(fā)展。為了能夠滿足水利水電工程技術(shù)快速發(fā)展的要求,計算機技術(shù)被大量引用到水利水電工程設(shè)計的各個方面。計算機網(wǎng)絡(luò)技術(shù)可以很快的解決水利水電工程設(shè)計中的各種問題,并能夠根據(jù)實際情況,不斷的更新信息化進程,使得水利水電工程能夠真正地跟上世界的發(fā)展,為我國社會的發(fā)展添磚加瓦。但是計算機網(wǎng)絡(luò)建設(shè)依然需要通過增強保障措施來使其更加完善,更加符合時代的發(fā)展要求。尤其是應(yīng)用到水利水電工程中以后,更是要對這些存在的問題加以重視才行,這樣才可以切實的保證我國水利水電事業(yè)在計算機技術(shù)的輔助下健康有序的發(fā)展下去。

1水利水電設(shè)計中計算機網(wǎng)絡(luò)建設(shè)的現(xiàn)狀

我國水利水電工程設(shè)計的發(fā)展經(jīng)歷了現(xiàn)代計算機技術(shù)的崛起時代,利用先進的科學(xué)技術(shù)手段取得了不可忽視的快速發(fā)展。其中將計算機網(wǎng)絡(luò)建設(shè)應(yīng)用到水利水電工程設(shè)計中去,是一項具有劃時代意義的改進方案。計算機網(wǎng)絡(luò)建設(shè)在取得的成就之余,其實也難免還存在著很多問題,可以從以下兩個方面來具體分析當(dāng)前計算機網(wǎng)絡(luò)建設(shè)在水利水電工程應(yīng)用中的現(xiàn)狀:現(xiàn)在我們所取得的成效以及依然存在的一些亟待解決的問題。

1.1水利水電設(shè)計中計算機網(wǎng)絡(luò)建設(shè)已經(jīng)取得的成效

在研究這個已經(jīng)取得的成效過程中,我們還可以細(xì)致的分成3個方面進行討論:首先,著眼于計算機網(wǎng)絡(luò)建設(shè)發(fā)展原則方面來看,計算機網(wǎng)絡(luò)建設(shè)的發(fā)展年限已經(jīng)有一個很長期的基礎(chǔ),并完美的建立了高效安全的以資源整合為主導(dǎo)的發(fā)展體系。其次,從基礎(chǔ)建設(shè)方面來看,現(xiàn)代社會筆記本電腦取得了大量的普及,這就保證了工作人員都能夠做到人手一機。并且現(xiàn)在的網(wǎng)絡(luò)光纖技術(shù)也非常成熟,確保網(wǎng)速能夠達到要求。最后,一些發(fā)展較好的技術(shù)軟件也已經(jīng)被廣泛的應(yīng)用到了水利水電工程的設(shè)計中,確保了水利水電工程設(shè)計的高效和精準(zhǔn)性。

1.2水利水電工程中計算機網(wǎng)絡(luò)建設(shè)依然存在的問題

通過研究人員對水利水電工程設(shè)計的深入研究,實際上我國的計算機網(wǎng)絡(luò)建設(shè)在取得了一些卓越的成效之余,還是存在著一些問題亟待解決的。首先,局域網(wǎng)的應(yīng)用使得數(shù)據(jù)傳輸以及數(shù)據(jù)的共享都處在高效和安全的環(huán)境下進行,但是在兄弟部門或者是兄弟單位中,局域網(wǎng)的共享性就被大大降低了,那不可避免的就降低了資源的共享性。其次,在網(wǎng)絡(luò)建設(shè)中暴露出來的第二個問題是數(shù)據(jù)的儲存問題。在很多水利水電工程公司內(nèi)部,數(shù)據(jù)的儲存依然是以紙質(zhì)版資料為主。紙質(zhì)版資料在保存上本身就很難,容易被各種不良環(huán)境損壞;除此之外,紙質(zhì)版資料儲存的太多了,再查詢時就會很麻煩,還會占據(jù)很大的空間。而電子版的資料,儲存在電腦或者硬盤中,如果技術(shù)上有漏洞,就會出現(xiàn)數(shù)據(jù)的丟失,甚至泄露極為重要的資料的情況。

2水利水電設(shè)計中計算機網(wǎng)絡(luò)的保障措施

在計算機網(wǎng)絡(luò)建設(shè)的過程中,存在著很多優(yōu)勢,但也有很多明顯的問題。在享受先進科技帶來的便利之余,我們也需要克服這些問題。

2.1加強計算機網(wǎng)絡(luò)建設(shè)的基礎(chǔ)建設(shè)

局域網(wǎng)是用來傳輸分享資料的一項有效途徑,加強對局域網(wǎng)的基礎(chǔ)建設(shè),根據(jù)實際情況對局域網(wǎng)進行合理的升級改造,是加強水利水電計算機網(wǎng)絡(luò)建設(shè)的一項有效措施。首先,水利水電工程設(shè)計單位可以對局域網(wǎng)進行重新規(guī)劃,根據(jù)實際業(yè)務(wù)需求,對計算機網(wǎng)絡(luò)進行合理劃分,這樣可以保證水利水電設(shè)計的信息化事業(yè)可以保持大數(shù)據(jù)流傳輸?shù)墓ぷ魈攸c。第二,水利水電單位可以對關(guān)鍵的服務(wù)器單位進行合理化配置優(yōu)化,以達到安全傳輸、安全儲存的目的,具體可以包括數(shù)據(jù)庫服務(wù)器的更新和維護、三維設(shè)計服務(wù)器的升級和改造、電子檔案服務(wù)器的規(guī)范和調(diào)整等等方面。第三,數(shù)據(jù)庫是水利水電工程設(shè)計部門的關(guān)鍵所在,對數(shù)據(jù)庫進行建設(shè),升級改進可以很大程度上推進水利水電設(shè)計工程的發(fā)展。具體內(nèi)容包括對項目數(shù)據(jù)庫的改進、管理數(shù)據(jù)庫的完善以及圖檔數(shù)據(jù)庫的建設(shè)等等。第四,網(wǎng)絡(luò)的信息安全建設(shè)方面也是制約水利水電工程發(fā)展的一大阻礙,完善網(wǎng)絡(luò)信息安全建設(shè),可以通過對集成應(yīng)用系統(tǒng)的完善來達到想要的目的。具體可以通過對辦公管理系統(tǒng)、經(jīng)營管理系統(tǒng)以及項目設(shè)計流程管理系統(tǒng)進行相關(guān)的強化、完善來達到完善網(wǎng)絡(luò)信息安全建設(shè)的目的。第五,人才是一個企業(yè)發(fā)展的核心力量,水利水電設(shè)計工程單位可以通過培養(yǎng)專業(yè)的管理人才來促進水利水電設(shè)計工程的發(fā)展。

2.2加強計算機網(wǎng)絡(luò)建設(shè)的信息安全建設(shè)

水利水電計算機網(wǎng)絡(luò)建設(shè)工程倚仗現(xiàn)代科技技術(shù)的發(fā)展,取得了飛速的發(fā)展。但科技是一把雙刃劍,有利又有弊。其中,網(wǎng)絡(luò)信息安全是制約其發(fā)展的一大因素。針對信息安全的建設(shè)問題,水利水電工程單位可以通過建設(shè)計算機中心來專門應(yīng)對計算機網(wǎng)絡(luò)安全建設(shè)問題。計算機中心建成以后,可以專門在其中設(shè)立一個督察小組,專門負(fù)責(zé)信息安全。其中可以參考武警水電部隊的做法,在部隊內(nèi)部,通過設(shè)定總隊和分隊,并在總隊和分隊之間建立虛擬通道,實現(xiàn)在部隊內(nèi)部的信息傳輸和分享。這種只針對內(nèi)部的分享模式,就隔絕了外界網(wǎng)絡(luò)對信息安全的危害,大大提升了計算機網(wǎng)絡(luò)建設(shè)的安全度。另外,武警部隊還對自身的信息儲備功能進行了改進和強化。在以往的備份當(dāng)中,其實依然存在著很大的安全隱患,比如一旦用來儲存?zhèn)浞莸挠嬎銠C出了問題,那么整個部門的數(shù)據(jù)就都遭到了破壞。武警部分對此專門創(chuàng)建了主機備份和介質(zhì)備份相結(jié)合的方式。在備份數(shù)據(jù)初期,就直接讓一臺或者多臺備份服務(wù)器一起進行備份,這樣就可以充分做到有備無患。在對主機的安全防護過程中,武警部分采用了先進的殺毒軟件來對信息安全進行全方位防護,大大提升了部隊的數(shù)據(jù)信息安全度,可以在很大程度上避免軍事機密泄露。