前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的信息安全情況報告主題范文,僅供參考,歡迎閱讀并收藏。
市委網(wǎng)信辦:
根據(jù)《市委網(wǎng)絡安全和信息化委員會辦公室關于開展網(wǎng)絡數(shù)據(jù)安全和個人信息保護專項治理的通知》要求,我局高度重視,召開專題會議,安排專人和科室負責,制定我市商務系統(tǒng)數(shù)據(jù)安全和個人信息保護專項治理工作方案,現(xiàn)將專項治理情況報告如下:
一、專項治理范圍及具體內(nèi)容
對全局范圍內(nèi)的應用系統(tǒng)、網(wǎng)站、電腦終端、電子郵件及個人電子信息等方面進行專項治理。一是應用系統(tǒng)及網(wǎng)站。重點排查處理、存儲公眾和個人信息及重要業(yè)務數(shù)據(jù)的服務器、存儲設備等。檢查日常運維制度落實情況,排查服務器操作系統(tǒng)、數(shù)據(jù)庫、中間件等系統(tǒng)軟件和應用軟件的漏洞修復、補丁安裝情況,排查服務器賬號、訪問日志及安全日志,確保無異常登錄,并杜絕使用弱口令、默認口令、通用口令等。二是電腦終端。排查個人電腦終端是否安裝殺毒軟件,是否定期更新病毒庫并查殺病毒、木馬等惡意程序。三是電子郵件。按照上級文件要求,禁止使用互聯(lián)網(wǎng)免費郵箱傳輸、存儲工作信息,因此各科室需排查使用互聯(lián)網(wǎng)免費郵箱(如qq郵箱、163郵箱等)處理工作信息的情況,若存在,應立即清理數(shù)據(jù)和注銷賬號。四是個人電子信息。排查本單位采集、處理、存儲、應用、廢棄個人信息的情況。排查涉及個人信息管理的應用系統(tǒng)、網(wǎng)站、服務器、數(shù)據(jù)庫等各環(huán)節(jié)管理制度和防護措施的有效性。排查在互聯(lián)網(wǎng)個人信息時,是否進行脫敏處理,不能把完整的身份證號碼、手機號碼等出來,明確個人信息防護責任和措施,確保個人信息安全。
二、專項治理結果
通過此次專項治理活動對全局應用系統(tǒng)及網(wǎng)站排查情況、電腦終端排查情況、電子郵件排查情況、個人電子信息排查情況、是否存在重要數(shù)據(jù)丟失、泄露或大量個人信息泄露的情況、自查發(fā)現(xiàn)的問題及整改情況等六部分內(nèi)容進行自查,未發(fā)現(xiàn)存在重要數(shù)據(jù)丟失、泄露或大量個人信息泄露的情況。
隨著信息安全等級保護工作的不斷深化,已延伸到醫(yī)療衛(wèi)生行業(yè)。衛(wèi)計委要求三級醫(yī)院核心業(yè)務系統(tǒng)定級不低于第三級。本文結合醫(yī)院實際,介紹了醫(yī)院信息安全等級保護工作的建設,闡明了信息系統(tǒng)的定級、備案、整改、測評四個實施步驟,以供大家探討。
關鍵詞:
醫(yī)院信息安全;等級保護工作;等級測評
一、引言
隨著我國信息化建設的快速發(fā)展與廣泛應用,信息安全的重要性愈發(fā)突出。在國家重視信息安全的大背景下,推出了信息安全等級保護制度。為統(tǒng)一管理規(guī)范和技術標準,公安部等四部委聯(lián)合了《信息安全等級保護管理辦法》(公通字[2007]43號)。隨著等級保護工作的深入開展,原衛(wèi)生部制定了《衛(wèi)生行業(yè)信息安全等級保護工作的指導意見》(衛(wèi)辦發(fā)[2011]85號),進一步規(guī)范和指導了我國醫(yī)療衛(wèi)生行業(yè)信息安全等級保護工作,并對三級甲等醫(yī)院核心業(yè)務信息系統(tǒng)的安全等級作了要求,原則上不低于第三級。從《關于信息安全等級保護工作的實施意見》中可知信息安全等級保護對象是國家秘密信息、法人和其他組織以及公民的專有信息和公開信息。對信息系統(tǒng)及其安全產(chǎn)品進行等級劃分,并按等級對信息安全事件響應[1]。
二、醫(yī)院信息安全等級保護工作實施步驟
2.1定級與備案[2]。
根據(jù)公安部信息安全等級保護評估中心編制的《信息安全等級保護政策培訓教程》,有兩個定級要素決定了信息系統(tǒng)的安全保護等級,一個是等級保護對象受到破壞時所侵害的客體,另外一個是對客體造成侵害的程度。對于三級醫(yī)院,門診量與床位相對較多,影響范圍較廣,一旦信息系統(tǒng)遭到破壞,將會給患者造成生命財產(chǎn)損失,對社會秩序帶來重大影響。因此,從影響范圍和侵害程度來看,我們非常認同國家衛(wèi)計委對三級甲等醫(yī)院的核心業(yè)務信息系統(tǒng)安全等級的限制要求。在完成定級報告編制工作后,填寫備案表,并按屬地化管理要求到市級公安機關辦理備案手續(xù),在取得備案回執(zhí)后才算完成定級備案工作。我院已按照要求向我市公安局網(wǎng)安支隊,同時也是我市信息安全等級保護工作領導小組辦公室,提交了定級報告與備案表。
2.2安全建設與整改[3]。
在完成定級備案后,就要結合醫(yī)院實際,分析信息安全現(xiàn)狀,進行合理規(guī)劃與整改。
2.2.1等保差距分析與風險評估。
了解等級保護基本要求?!缎畔⑾到y(tǒng)安全等級保護基本要求》分別從技術和管理兩方面提出了基本要求?;炯夹g要求包括五個方面:物理安全、網(wǎng)絡安全、主機安全、應用安全和數(shù)據(jù)安全,主要是由在信息系統(tǒng)中使用的網(wǎng)絡安全產(chǎn)品(包括硬件和軟件)及安全配置來實現(xiàn);基本管理要求也包括五個方面:安全管理制度、安全管理機構、人員安全管理、系統(tǒng)建設管理和系統(tǒng)運維管理,主要是根據(jù)相關政策、制度以及規(guī)范流程等方面對人員活動進行約束控制,以期達到安全管理要求[4]。技術類安全要求按保護側重點進一步劃分為三類:業(yè)務信息安全類(S類)、系統(tǒng)服務安全類(A類)、通用安全保護類(G類)。如受條件限制,可以逐步完成三級等級保護,A類和S類有一類滿足即可,但G類必須達到三級,最嚴格的G3S3A3控制項共計136條[5]。醫(yī)院可以結合自身建設情況,選擇其中一個標準進行差距分析。管理方面要求很嚴格,只有完成所有的154條控制項,達到管理G3的要求,才能完成三級等級保護要求。這需要我們逐條對照,發(fā)現(xiàn)醫(yī)院安全管理中的不足與漏洞,找出與管理要求的差距。對于有條件的三甲醫(yī)院,可以先進行風險評估,通過分析信息系統(tǒng)的資產(chǎn)現(xiàn)狀、安全脆弱性及潛在安全威脅,形成《風險評估報告》。經(jīng)過與三級基本要求對照,我院還存在一定差距。比如:在物理環(huán)境安全方面,我院機房雖有滅火器,但沒安裝氣體滅火裝置。當前的安全設備產(chǎn)品較少,不能很好的應對網(wǎng)絡入侵。在運維管理方面,缺乏預警機制,無法提前判斷系統(tǒng)潛在威脅等。
2.2.2建設整改方案。
根據(jù)差距分析情況,結合醫(yī)院信息系統(tǒng)安全實際需求和建設目標,著重于保證業(yè)務的連續(xù)性與數(shù)據(jù)隱私方面,滿足于臨床的實際需求,避免資金投入的浪費、起不到實際效果。整改方案制訂應遵循以下原則:安全技術和安全管理相結合,技術作保障,管理是更好的落實安全措施;從安全區(qū)域邊界、安全計算環(huán)境和安全通信網(wǎng)絡進行三維防護,建立安全管理中心[6]。方案設計完成后,應組織專家或經(jīng)過第三方測評機構進行評審,以保證方案的可用性。整改方案實施。實施過程中應注意技術與管理相結合,并根據(jù)實際情況適當調(diào)整安全措施,提高整體保護水平。我院整改方案是先由醫(yī)院內(nèi)部自查,再邀請等級測評公司進行預測評,結合醫(yī)院實際最終形成的方案。網(wǎng)絡技術人員熟悉系統(tǒng)現(xiàn)狀,易于發(fā)現(xiàn)潛在安全威脅,所以醫(yī)院要先自查,對自身安全進行全面了解。等級測評公司派專業(yè)安全人員進駐醫(yī)院,經(jīng)過與醫(yī)院技術人員溝通,利用安全工具進行測試,可以形成初步的整改報告,對我院安全整改具有指導意義。
2.3開展等級保護測評[7]。
下一步工作就是開展等級測評。在測評機構的選擇上,首先要查看其是否具有“DICP”認證,有沒有在當?shù)毓膊块T進行備案,還可以到中國信息安全等級保護網(wǎng)站進行核實。測評周期一般為1至2月,其測評流程如下。
2.3.1測評準備階段。
醫(yī)院與測評機構共同成立項目領導小組,制定工作任務與測評計劃等前期準備工作。項目啟動前,為防止醫(yī)院信息泄露,還需要簽訂保密協(xié)議。項目啟動后,測評機構要進行前期調(diào)研,主要是了解醫(yī)院信息系統(tǒng)的拓撲結構、設備運行狀況、信息系統(tǒng)應用情況及安全管理等情況,然后再選擇相應的測評工具和文檔。在測評準備階段,主要是做好組織機構建設工作,配合等級測評公司人員的調(diào)查工作。
2.3.2測評方案編制階段。
測評內(nèi)容主要由測評對象與測評指標來確定。我院測評對象包含三級的醫(yī)院信息系統(tǒng)、基礎網(wǎng)絡和二級的門戶網(wǎng)站。測評機構要與醫(yī)院溝通,制定工具測試方法與測評指導書,編制測評方案。在此階段,主要工作由等級測評機構來完成。
2.3.3現(xiàn)場測評階段。
在經(jīng)過實施準備后,測評機構要對上述控制項進行逐一測評,大約需要1至2周,需要信息科人員密切配合與注意。為保障醫(yī)院業(yè)務正常開展,測評工作應盡量減少對業(yè)務工作的沖擊。當需要占用服務器和網(wǎng)絡資源時應避免業(yè)務高峰期,可以選擇下班時間或晚上。為避免對現(xiàn)有業(yè)務造成影響,測評工具應在接入前進行測試,同時要做好應急預案準備,一旦影響醫(yī)院業(yè)務,應立即啟動應急預案[8]。在對209條控制項進行測評后應進行結果確認,并將資料歸還醫(yī)院。該階段是從真實情況中了解信息系統(tǒng)全面具體的主要工作,也是技術人員比較辛苦的階段。除了要密切配合測評,還不能影響醫(yī)院業(yè)務開展,除非必要,不然安全測試工作必須在夜間進行。
2.3.4報告編制階段。
通過判定測評單項,測評機構對單項測評結果進行整理,逐項分析,最終得出整體測評報告。測評報告包含了醫(yī)院信息安全存在的潛在威脅點、整改建議與最終測評結果[9]。對于公安機關來講,醫(yī)院能否通過等級測評的主要標準就是測評結果。因此,測評報告的結果至關重要。測評結果分為:不符合、部分符合、全部符合。有的測評機構根據(jù)單項測評結果進行打分,最后給出總分,以分值來判定是否通過測評。為得到理想測評結果,需要醫(yī)院落實安全整改方案。
2.4安全運維。
我們必須清醒地認識到,實施安全等級保護是一項長期工作,它不僅要在信息化建設規(guī)劃中考慮,還要在日常運維管理中重視,是不斷循環(huán)的過程。按照等級保護制度要求,信息系統(tǒng)等級保護級別定為三級的三甲醫(yī)院每年要自查一次,還要邀請測評機構進行測評并進行整改,監(jiān)管部門每年要抽查一次。因此,醫(yī)院要按照PDCA的循環(huán)工作機制,不斷改進安全技術與管理上,完善安全措施,更好地保障醫(yī)院信息系統(tǒng)持續(xù)穩(wěn)定運行[10]。
三、結語
醫(yī)院信息安全工作是信息化建設的一部分,是一項長期的系統(tǒng)工程,需要分批分期的循序改建。還要結合醫(yī)院實際,考慮安全產(chǎn)品的實用性,不能盲目的進行投資。醫(yī)院通過實施等級保護工作,可以有效增強網(wǎng)絡與信息系統(tǒng)整體安全性,有力保障醫(yī)院各項業(yè)務的持續(xù)開展,適應醫(yī)院信息化不斷發(fā)展的需求。
作者:王磊 單位:蚌埠醫(yī)學院第二附屬醫(yī)院
參考文獻
[1]公安部,國家保密局,國家密碼管理局,國務院信息化辦公室文件.關于信息安全等級保護工作的實施意見(公通字[2004]66號)[R],2004-9-15.
[2]GB/T22240-2008.信息安全技術信息系統(tǒng)安全等級保護定級指南[S],2008-06-19.
[3]GB/T25058-2010.信息安全技術信息系統(tǒng)安全等級保護實施指南[S],2010-09-02.
[4]GB/T22239-2008.信息安全技術信息系統(tǒng)安全等級保護基本要求[S],2008-06-19.
[5]魏世杰.醫(yī)院信息安全等級保護三級建設思路[J].科技傳播,2013,5(99):208-209.
[6]張濱.構建醫(yī)院信息安全等級保護縱深防護體系[J].信息通信,2014(141):148-149.
[7]GB/T28449-2012.信息安全技術信息系統(tǒng)安全等級保護測評過程指南[S],2012-06-29.
[8]姚紅磊,楊文.三級系統(tǒng)信息安全等級保護測評指標體系研究[J].鐵路計算機應用,2015,24(2):59-61.
[關鍵詞]數(shù)據(jù)安全;文檔管理;保密
[中圖分類號]F270 [文獻標識碼]A [文章編號]1005-6432(2012)6-0065-02
1 企業(yè)的核心數(shù)據(jù)面臨內(nèi)外兩方面的安全保密隱患
1.1 缺乏統(tǒng)一管理
組織里某人或某些人起草的重要文件缺乏集中統(tǒng)一管理:企業(yè)員工的離職,電腦的丟失,有意或無意的刪除操作,或病毒的侵襲造成文件丟失。傳統(tǒng)上,像含有機密財務數(shù)據(jù)的投融資報告,月度、季度、年度銷售分析報告,財務分析報告,商業(yè)往來文件和合同,重要內(nèi)部會議的會議紀要等。這些對一個組織來講非常重要的文件大多是由組織里的某個人或某些人撰寫,保留在個人的電腦里,容易由于有意或者無意的原因造成文件丟失。
1.2 缺乏有效加密
很多企業(yè)在文檔和核心數(shù)據(jù)資產(chǎn)的加密方面意識不強,并且沒有有效的加密手段:文件在員工的電腦里可以輕松地通過電子郵箱、移動存儲設備、通信工具、打印設備等將文檔原文直接拷貝出來,最終導致信息的泄露。
2 加強文檔數(shù)據(jù)管理的手段
2.1 建立組織級文檔保護機制
一個組織中最難管理的是人員,要管理好企業(yè)的核心文檔首先要管理好這些文檔的管理者。建立一套合理而健全的機制,是具有關鍵意義的做法。組織內(nèi)信息安全制度的建立,往往比購買設備、提高技術還重要。國外信息安全管理的經(jīng)驗表明,大多數(shù)的攻擊來自系統(tǒng)內(nèi)部,并且外部可利用內(nèi)部進行攻擊。而對內(nèi)部攻擊的防范比對外部攻擊的防范更困難。防范內(nèi)部的安全攻擊,管理措施(行政的和法律的)顯得更為重要。建立并執(zhí)行一整套科學、合理、嚴密的管理制度,從每一個環(huán)節(jié)堵塞電子文檔信息安全的漏洞,這些環(huán)節(jié)包括從電子文件形成、處理、傳輸、收集、積累、整理、歸檔,到電子檔案的保管、提供利用的全過程,即要進行全過程管理,任何一個環(huán)節(jié)疏于管理,都有可能導致電子文檔信息的丟失或失真。加強對電子文件制作人員和管理人員的管理;電子文件制作過程要職責分明;電子文件形成后要及時積累;建立和執(zhí)行科學的歸檔制度;制定和嚴格執(zhí)行電子文檔的鑒定、保管制度和標準;加強對電子文檔利用活動的管理;建立電子文檔管理的記錄系統(tǒng)等。
2.2 利用數(shù)據(jù)安全保護軟件加強文檔管理
(1)加強訪問控制
訪問控制是網(wǎng)絡環(huán)境下電子文檔信息安全防范和保護的主要措施和手段,它的主要任務是保證包括電子文檔信息在內(nèi)的網(wǎng)絡資源不被非法訪問和非法使用。具體措施包括:入網(wǎng)訪問控制,控制組織內(nèi)的用戶是否用戶能夠登錄到服務器并獲取網(wǎng)絡資源,控制準許用戶的訪問時間和準入范圍;權限控制,控制用戶允許訪問哪些目錄、子目錄、文件和其他資源;指定用戶對這些文件、目錄、設備能夠執(zhí)行哪些操作,如只讀、改寫、創(chuàng)建、刪除、查找、存取控制等,而最基本的控制是防止電子文檔的拷貝篡改和打印;
(2)數(shù)據(jù)加密
信息加密的目的是保護網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息的傳輸,確保不宜公開的電子文檔的非公開性。在多數(shù)情況下,信息加密是保證電子文檔機密性的唯一方法。如果有權使用受控文件的內(nèi)部人士將受控文件通過郵件,聊天工具,U盤等任何方式傳遞給第三者,第三者打開文件看到的是亂碼,確保信息不被泄露。
(3)文檔備份
由于網(wǎng)絡的不安全性,導致電子文檔信息易丟失或失真,給信息安全帶來嚴重威脅。盡管可以采取各種各樣的技術和方法來保證網(wǎng)絡的安全,但客觀地說,任何一個網(wǎng)絡都不能確保萬無一失,信息丟失和失真的現(xiàn)象難免不會發(fā)生。如果建立備份與恢復系統(tǒng),即使信息丟失和失真,也能夠做到有備無患,只要啟動該系統(tǒng),丟失或失真的信息就會重新恢復原來的面貌。
(4)事后跟蹤
企業(yè)在加強管控的同時還應注意文檔泄露后的跟蹤管理。應該準備好正常的事件報告和分類程序,這類程序用來報告可能對機構的財產(chǎn)安全造成影響的不同種類的事件和弱點,所有的員工、合同方和第三方用戶都應該知曉這套報告程序。他們需要盡可能快地將文檔泄露事件和弱點報告給指定的聯(lián)系方。組織應明確信息安全事故報告的方式、報告的內(nèi)容、報告的受理部門,即安全事件應在被發(fā)現(xiàn)之后盡快由適當?shù)氖芾硗緩竭M行通報。應當盡可能快速地通過適當管理渠道來報告安全事故。組織的普通員工通常是安全事件的最早發(fā)現(xiàn)者,如果安全事件能及時發(fā)現(xiàn)并報告相應的主管部門,作出及時的處理,能使組織的經(jīng)濟損失及聲譽損失降到最低。為及時發(fā)現(xiàn)安全事件,組織應建立正式的報告程序,分別對安全事故的報告作出明確規(guī)定。應當讓所有員工和第三方的簽約人都了解報告程序并鼓勵他們在安全事件發(fā)生的第一時間就盡快報告。還應當建立起事故反應機制,以便在接到事故報告時,有關部門能及時采取措施。應當建立適當?shù)姆答仚C制,確保在處理完事故之后,使員工能夠知道所報告事故的處理結果。同時可以用這些事故來提高用戶的安全意識,使他們了解發(fā)生了什么情況、對這種情況怎樣做出反應并且將來如何避免這些事故。針對不同的類型的安全事件,作出相應的應急計劃,規(guī)定事件處理步驟。
3 結 論
企業(yè)核心文檔的安全保密工作關系到企業(yè)的核心競爭力和可持續(xù)發(fā)展水平,加強保密工作、建立有效的防范機制、提高員工的保密意識、利用系統(tǒng)手段進行文檔管理是全面提高保密管理能力的有效途徑。
參考文獻:
[1] 陳運.信息安全概要[J].數(shù)據(jù)通信.2001(3):36-38.
[2] 同志敏.信息安全的內(nèi)容和實現(xiàn)[J].軟件世界. 2002 (1):17-19.
[3] 吳江.信息安全的三個重要領域[J].數(shù)據(jù)通信,2001(3):19-21.
信息安全檢查的作用
為了收集信息系統(tǒng)的運行數(shù)據(jù)、了解信息安全管理體系的運行情況,及時發(fā)現(xiàn)信息系統(tǒng)存在的安全問題和修補安全漏洞,各大銀行普遍采用安全檢查的方法,提升信息系統(tǒng)的安全保障能力:一是檢查信息安全保障體系的建設情況、信息系統(tǒng)安全管理制度的落實情況,提高信息系統(tǒng)安全管理水平;二是檢查科技人員的安全技術水平以及安全培訓教育情況,強化他們的信息安全意識;三是檢查信息系統(tǒng)運行情況、日常操作中的安全控制措施,促進完善安全內(nèi)控機制,及時處置操作安全風險;四是檢查信息系統(tǒng)數(shù)據(jù)存儲、傳輸、使用等數(shù)據(jù)管理情況,防范數(shù)據(jù)泄露風險;五是檢查應急預案制定情況以及應急演練結果,提高對突發(fā)事件的應對能力。信息安全檢查工作的內(nèi)容信息安全檢查工作是為了查找信息安全問題和薄弱環(huán)節(jié),采取一定的檢查或檢測方法,發(fā)現(xiàn)安全現(xiàn)狀與安全要求之間的差距,以便有針對性地采取防范對策、改進防范措施,進一步提升安全防范能力,預防和減少重大信息安全事件的發(fā)生,切實保障信息系統(tǒng)的安全穩(wěn)定運行。在進行安全檢查前,首先要確定安全要求、明確信息安全檢查工作中要檢查的項目。郵儲銀行以信息安全保障評估框架為指導,以等級保護系列標準為基礎,結合銀監(jiān)會、中國人民銀行等監(jiān)管機構對信息安全管理的相關監(jiān)管要求,提取內(nèi)部管理制度中對安全的相關要求,制定了具有特色的安全檢查要求,形成了《郵政金融計算機系統(tǒng)安全檢查手冊》。該《手冊》從主機安全、網(wǎng)絡及邊界安全、應用安全、數(shù)據(jù)安全、基礎設施安全、網(wǎng)點終端安全、運行安全、安全管理8個方面歸納整理出400多個安全檢查項。該《手冊》明確了信息安全檢查工作的檢查內(nèi)容、檢查要點和檢查方法。
信息安全檢查的實踐
郵儲銀行開展的2014~2015年度信息安全檢查工作,包括了制定檢查工作計劃、信息安全檢查、問題整改和檢查總結等階段。制定檢查工作計劃。在選取安全檢查項目時,緊緊圍繞年度安全管理目標,結合年度信息安全工作的重點領域以及運行維護工作中容易忽視的安全問題。2015年的安全檢查在兼顧檢查全面性的同時,確定以網(wǎng)絡邊界安全、主機安全、數(shù)據(jù)安全3方面為檢點,從《手冊》中選取100個檢查項,同時規(guī)劃了現(xiàn)場檢查工作的方法、工作過程等內(nèi)容,從而形成年度安全檢查方案。隨后,根據(jù)各安全檢查項目在保障信息安全中的作用以及現(xiàn)有條件下實現(xiàn)的難度等實際情況,將安全檢查項分成基本要求項和增強要求項并對其賦予不同的分值,建立起安全檢查的量化評價標準。檢查完成后,可以通過評價標準直接給出的分數(shù),直觀地評價、比較各分行信息安全工作的情況。在組建安全檢查隊伍時,每個檢查小組由總行、分行的信息安全人員組成。各分行分組交叉檢查的方式,便于各分行通過檢查相互學習、取長補短,提高信息安全的保障能力和水平。
實施信息安全檢查
信息安全檢查圍繞安全檢查項目,采用登錄系統(tǒng)檢查、在線工具檢查、查閱制度文檔、訪談關鍵人員、巡查網(wǎng)點等方法,收集安全運行數(shù)據(jù),評價安全管理水平。登錄信息系統(tǒng)設備檢查安全配置基本情況,重點關注系統(tǒng)日志、操作日志、配置文件等信息;使用安全漏洞掃描工具檢測設備存在的風險點;通過檢查設備的使用狀況,評價基層單位對信息資源的控制能力是否滿足安全保護的要求。查看各監(jiān)控系統(tǒng)的監(jiān)控記錄,確認各項報警得到及時處理。查閱規(guī)章制度,了解安全規(guī)定是否覆蓋安全工作的所有領域;瀏覽審批記錄、登記表等詳細信息,了解日常工作中安全規(guī)定的執(zhí)行情況。通過訪談相關崗位人員、現(xiàn)場觀察各崗位人員的實際配合情況,了解日常工作流程中是否存在安全漏洞;通過實地檢查網(wǎng)點,最直觀地從工作環(huán)境考察安全管理細節(jié),查看基層各項安全制度的落實情況。在檢查過程中發(fā)現(xiàn)的問題,現(xiàn)場檢查組以事實確認單的形式進行記錄,并在現(xiàn)場檢查總結會上與被檢查機構的人員進行溝通和確認,作為后期整改工作的基礎依據(jù)。
問題整改
在完成了現(xiàn)場檢查工作之后,各檢查小組匯總事實確認單,梳理出需要各分行著手整改的問題,針對每個分行簽發(fā)安全檢查整改通知書,要求各分行對癥下藥完成整改工作,以完善信息系統(tǒng)的安全防護措施。對網(wǎng)絡邊界問題的整改,完善了網(wǎng)絡各區(qū)域特別是第三方接入?yún)^(qū)防火墻、路由器、交換機的安全配置,對經(jīng)過網(wǎng)絡邊界的重要信息實施相應保護,提升了抵御外部網(wǎng)絡攻擊的能力。對主機安全問題的整改,調(diào)整了各類軟件的安全配置參數(shù),使之遵循最新版本安全配置基線的要求,提升了主機的安全防護能力。對數(shù)據(jù)安全問題的整改,增強了數(shù)據(jù)訪問的身份認證和訪問控制機制,防止非授權使用,保證數(shù)據(jù)免遭泄露和篡改。同時加強了對備份數(shù)據(jù)管理,有效保護了數(shù)據(jù)的高可用性。對檢查中發(fā)現(xiàn)的其他問題進行整改,促進了在運行維護過程中主動采取更加有效的安全措施,升級管理手段,使安全管理更加全面覆蓋到安全保障架構的各個方面。
檢查總結
經(jīng)過一段時間的信息安全檢查整改工作,各分行報告了每個問題的整改完成情況??傂幸罁?jù)整改報告評價各項整改措施的有效性,評估信息安全狀況和防護水平,促進總行對信息安全管理工作進行持續(xù)監(jiān)管。
持續(xù)改進的信息安全檢查工作
信息安全責任制落實的具體措施。
以下是對*公司信息安全保密工作的簡要匯報:
一、嚴格遵守各項安全保密管理制度
根據(jù)研究院的有關規(guī)定,*公司根據(jù)自身業(yè)務情況,已陸續(xù)了一些管理制度:如《公司知識產(chǎn)權與保密規(guī)定》,《關于公司員工退、離(辭)職有關問題的規(guī)定》、《公司計算機使用及電子郵箱、網(wǎng)絡管理規(guī)定》《關于公司局域網(wǎng)的管理辦法》、《研究報告四級質(zhì)量控制體系管理規(guī)定》等等。
公司要求各級領導和全體員工嚴格遵守各項安全(保密)管理制度與規(guī)定,加強信息安全保密工作的防范,嚴格各項工作的業(yè)務流程,認真履行、互相監(jiān)督,及時發(fā)現(xiàn)并消除隱患。
二、建立健全相關組織,加強信息安全隊伍建設
1、為進一步做好信息安全管理工作,加強對信息安全、保密工作的統(tǒng)一管理,公司于20*年*月成立以執(zhí)行總裁為第一責任人的*公司安全工作小組和*公司保密工作小組。小組成員包括:財務部、人力資源部、項目管理部、品牌市場部、客戶服務部、知識管理部、辦公室等職能部門的經(jīng)理和公司各業(yè)務部門總經(jīng)理及各部門崗位的人員。
2、安全(保密)工作小組成員,負責建立健全、貫徹實施有關安全(保密)管理制度,組織公司安全(保密)教育和知識學習等項工作。定期組織對公司安全(保密)工作的監(jiān)督、檢查,及時解決安全(保密)工作中存在的問題。
三、認真落實有關信息安全(保密)制度,加強信息安全保密工作的管理
1、職能部門郵箱加密。
公司財務部、人力資源部、項目管理部等職能部門郵箱全部加密碼,避免通過郵件泄密。
2、人力資源部:a、所有人事檔案入柜,封存,由專人保管;b、涉及薪酬的文件全部加密。c、與新、老員工簽訂《保密協(xié)議》。協(xié)議中規(guī)定:賽迪顧問員工所有研究成果是公司商業(yè)秘密的重要組成部分,其知識產(chǎn)權歸公司所有。未經(jīng)批準,員工不得向外界傳播或提供有關公司的一切有關文件及資料,也不得交給無關人員,否則應賠償公司因此而遭受的一切經(jīng)濟損失。必要時,追究其法律責任。保密條款不因《勞動合同書》的終止而失效。d、嚴格加強對離職人員的交接流程的管理,細化員工離職的交接程序,規(guī)定交接時間。
3、財務部門:安裝監(jiān)控攝像頭;每位財務人員電腦個人賬號均加密。
4、市場部門:加強媒體網(wǎng)站的政審工作。
5、項目管理部:a、每年通過招標的形式確定與供應商的合作,并與印刷公司、翻譯公司簽訂保密協(xié)議,以確保外部打印、翻譯的安全。b、報告發(fā)送采用pdf格式,并設置開啟密碼。c、嚴格報告借閱和贈送審批手續(xù)。d、要求各部門嚴格遵守研究報告四級質(zhì)量控制體系規(guī)定,加強審核流程的管理。d、要求研究部門嚴格遵守“研究報告四級質(zhì)量控制體系”規(guī)定,加臺研究報告的審核流程。
e、合同設專人管理
6、各業(yè)務部門:各產(chǎn)業(yè)研究中心、咨詢中心有關保密的電子資料都由部門總經(jīng)理或項目負責人保管或存放,并加鎖。
7、辦公室:a、設置檔案管理專人保管和借閱審批制度。b、加強辦公區(qū)域的安全防盜管理,增加監(jiān)控攝像裝置。c、為保障公司服務器的安全,未經(jīng)公司計算機系統(tǒng)維護員同意,不得私自操作服務器。
*公司信息安全保密工作下一階段需要繼續(xù)完善的地方:
1、進一步加強日常對員工的多種形式的保密培訓工作。尤其是強化新員工入職培訓。
2、進一步細化員工離職的交接程序,進一步嚴格勞動合同的管理。
3、多與各兄弟單位交流,學習借鑒先進經(jīng)驗。
4、財務部門、人力資源部門、項目管理部設置專用打印機。
5、加強各公司各業(yè)務部門對專項咨詢保密工作的管理,并與客戶簽訂《保密協(xié)議》。
6、加強品牌市場部門會議策劃案的保密工作管理。
突發(fā)安全事故應急預案與方案
為全面落實“安全第一、預防為主、綜合治理”的方針,切實搞好廠區(qū)安全工作,認真做好各種突發(fā)事件應對工作,將可能發(fā)生的事故降到最低限度,根據(jù)《安全生產(chǎn)法》、《浙江省安全生產(chǎn)條例》、和上級有關部門要求,結合公司實際情況,制定以下應急預案。
一.組織機構及主要職責.
公司成立突發(fā)事件應急預案領導小組,組長黨支部書記xx同志擔任,副組長由生產(chǎn)經(jīng)理xx、技術經(jīng)理xx同志擔任,成員由部門、車間負責人組成,領導小組下設指揮組,搶險組和后勤保障組。
1.指揮組由xx、xx組成。在第一時間突發(fā)事件的相關情況,第一時間組織員工疏散,第一時間組織員工自救,保證員工人身安全,第一時間保證公司財產(chǎn)和員工財產(chǎn)安全,第一時間組織協(xié)調(diào)各項工作有序進行。
2.搶險組:由20名員工組程:由xx任組長,xx任副組長,組員由xx、xx、xx、xx、xx、xx承擔危難工作,在保證自身安全的前提下完成任務。
3.后勤保障組:由6名同志組成,xx任組長,xx為副組長,組員由xx、xx擔物資裝備供應,切實保證突發(fā)事件工作所需。
二.突發(fā)事件應急救援預案措施
1.發(fā)生一般火警、火災事故、設備事故、人身傷害事故及其他突發(fā)事件,當班值班人員應立即報告車間、部門和公司領導,逐級上報?;鹁馂膿艽?19請求救援。人身傷亡事故應立即送醫(yī)院治療,或撥打120請求救援,但不管是哪類事故,搶險救護時都要先切斷電源或采取防護措施后再組織救護,防止事態(tài)擴大。
2.發(fā)生重大火災事故,應立即切斷電源,迅速向公司匯報,公司逐級向上反映。崗位人員撥打119救援電話請求援后,首先組織自救,使用現(xiàn)場的滅火器進行滅火,根據(jù)著火部位、性質(zhì)也可用現(xiàn)場備用的防火沙、土、水進行滅火,電氣火災要用干粉滅火器,變壓器、油罐等用水冷卻時,人要遠離,嚴防爆炸傷人,待消防專業(yè)人員趕到后,在專業(yè)人員指揮下配合滅火。
3.發(fā)生人身傷亡事故,發(fā)現(xiàn)人員要立即向班組長、車間主任、部門、公司逐級上報后,還要通知醫(yī)院工傷搶救小組,立即趕赴現(xiàn)場組織救援。若傷部位屬擦傷、碰傷、壓傷等要及時用消炎止痛藥物擦洗患處,若為出血嚴重,要用干凈布料進行包扎止血。若傷者發(fā)生骨折要保持靜從事靜臥。若發(fā)生嚴重燒傷、燙傷,要立即用冷水沖洗30分鐘以上,若傷者已昏迷、休克,要立即抬至通風良好的地方,進行人工呼吸或按摩心臟,待醫(yī)生到達后立即送醫(yī)院搶救。
4.若發(fā)生食物中毒事故,救援人員在救援時要了解中毒原因,迅速把中毒人員抬至通風良好處進行一般性搶救,并立刻送往醫(yī)院搶救。
5.發(fā)生重大設備事故,要立即報告,同時停止設備運轉(zhuǎn),處理事故時,要有專業(yè)人監(jiān)護。嚴格執(zhí)行檢修程序和停送電確認制度,防止打亂仗,冒險作業(yè)。
6.發(fā)生爆炸事故,要立即關閉爆炸源,若有人員傷亡,按人員傷亡預案救援。
7.發(fā)生各類事故都要保護好現(xiàn)場,待事故調(diào)查分析處理。
三.注意事項
1.突發(fā)事件應急預案工作領導小組成員要保證24小時開機,認真做好各項預防工作,隨時準備應付各類突發(fā)事件發(fā)生。
2.突發(fā)事件應急預案工作要聽從指揮,服從安排,要切實做到安全第一、預防為主、綜合治理。
3.本預案可根據(jù)實際情況進行修改完善。
突發(fā)安全事故應急預案與方案
為切實做好網(wǎng)絡突發(fā)事件的防范和應急處理工作,進一步提高預防和控制網(wǎng)絡突發(fā)事件的能力和水平,減輕或消除突發(fā)事件的危害和影響,確保我局網(wǎng)絡與信息安全,根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《中華人民共和國計算機信息網(wǎng)絡國際聯(lián)網(wǎng)安全保護管理辦法》等有關法規(guī)文件精神,結合我局實際情況,特制定本應急預案。
一、指導思想
認真落實“教育在先,預防在前,積極處置”的工作原則,牢固樹立安全意識,提高防范和救護能力,以維護正常的工作秩序和營造綠色健康的網(wǎng)絡環(huán)境為中心,進一步完善網(wǎng)絡管理機制,提高突發(fā)事件的應急處置能力。
二、組織領導及職責
成立計算機信息系統(tǒng)安全保護工作領導小組
組 長:xx
副組長:xx
成 員:xx
主要職責:負責召集領導小組會議,部署工作,安排、檢查落實計算機網(wǎng)絡系統(tǒng)重大事宜。副組 長負責計算機網(wǎng)絡系統(tǒng)應急預案的落實情況,處理突發(fā)事故,完成局領導交辦的各項任務。
三、安全保護工作職能部門
1. 負責人: xx
2. 信息安全技術人員:xx
四、應急措施及要求
1. 各處室要加強對本部門人員進行及時、全面地教育和引導,提高安全防范意識。
2. 網(wǎng)站配備信息審核員和安全管理人員,嚴格執(zhí)行有關計算機網(wǎng)絡安全管理制度,規(guī)范辦公室、計算機機房等上網(wǎng)場所的管理,落實上網(wǎng)電腦專人專用和日志留存。
3. 信息所要建立健全重要數(shù)據(jù)及時備份和災難性數(shù)據(jù)恢復機制。
4. 采取多層次的有害信息、惡意攻擊防范與處理措施。各處室信息員為第一層防線,發(fā)現(xiàn)有害信息保留原始數(shù)據(jù)后及時刪除;信息所為第二層防線,負責對所有信息進行監(jiān)視及信息審核,發(fā)現(xiàn)有害信息及時處理。
5. 切實做好計算機網(wǎng)絡設備的防火、防盜 、防雷和防信號非法接入。
6.所有涉密計算機一律不許接入國際互聯(lián)網(wǎng),做到專網(wǎng)、專機、專人、專用,做好物理隔離。連接國際互聯(lián)網(wǎng)的計算機絕對不能存儲涉及國家秘密、工作秘密、商業(yè)秘密的文件。
附:
應急處理措施指南
(一)當人為、病毒破壞或設備損壞的災害發(fā)生時,具體按以下順序進行:判斷破壞的來源與性質(zhì),斷開影響安全與穩(wěn)定的信息網(wǎng)絡設備,斷開與破壞來源的網(wǎng)絡物理連接,跟蹤并鎖定破壞來源的ip或其它網(wǎng)絡用戶信息,修復被破壞的信息,恢復信息系統(tǒng)。按照災害發(fā)生的性質(zhì)分別采用以下方案:
1、網(wǎng)站、網(wǎng)頁出現(xiàn)非法言論事件緊急處置措施
(1)網(wǎng)站、網(wǎng)頁由信息所值班人員負責隨時密切監(jiān)視信息內(nèi)容。
(2)發(fā)現(xiàn)在網(wǎng)上出現(xiàn)內(nèi)容被篡改或非法信息時,值班人員應立即向本單位信息安全負責人通報情況;情況緊急的,首先中斷服務器網(wǎng)線連接,再按程序報告。
(3)信息安全相關負責人應在接到通知后立即趕到現(xiàn)場,作好必要記錄,清理非法信息,妥善保存有關記錄及日志或?qū)徲嬘涗?,強化安全防范措施,并將網(wǎng)站網(wǎng)頁重新投入使用。
(4)追查非法信息來源,并將有關情況向本單位網(wǎng)絡領導小組匯報。
(5)信息化領導小組召開會議,如認為事態(tài)嚴重,則立即向市政府信息化辦公室和公安部門報警。
2、 黑客攻擊事件緊急處置措施
(1)當發(fā)現(xiàn)黑客正在進行攻擊時或者已經(jīng)被攻擊時,首先()將被攻擊的服務器等設備從網(wǎng)絡中隔離出來,保護現(xiàn)場,并將有關情況向本單位信息化領導小組匯報。
(2)信息安全相關負責人應在接到通知后立即趕到現(xiàn)場,對現(xiàn)場進行分析,并做好記錄,必要時上報主管部門。
(3)恢復與重建被攻擊或破壞系統(tǒng)。
(4)信息化領導小組召開會議,如認為事態(tài)嚴重,則立即向市政府信息化辦公室和公安部門報警。
3、病毒事件緊急處置措施
(1)當發(fā)現(xiàn)有計算機被感染上病毒后,應立即向信息安全負責人報告,將該機從網(wǎng)絡上隔離開來。
(2)信息安全相關負責人員在接到通報后立即趕到現(xiàn)場。
(3)對該設備的硬盤進行數(shù)據(jù)備份。
(4)啟用反病毒軟件對該機進行殺毒處理,同時通過病毒檢測軟件對其他機器進行病毒掃描和清除工作。
(5)如果現(xiàn)行反病毒軟件無法清除該病毒,應立即向本單位信息化領導小組報告,并迅速聯(lián)系有關產(chǎn)品商研究解決。
(6)信息化領導小組開會研究,認為情況嚴重的,應立即市政府信息化辦公室和公安部門報警。
4、軟件系統(tǒng)遭破壞性攻擊的緊急處置措施
(1)重要的軟件系統(tǒng)平時必須存有備份,與軟件系統(tǒng)相對應的數(shù)據(jù)必須按本單位容災備份規(guī)定的間隔按時進行備份,并將它們保存于安全處。
(2)一旦軟件遭到破壞性攻擊,應立即向信息安全負責人報告,并將該系統(tǒng)停止運行。
(3)檢查信息系統(tǒng)的日志等資料,確定攻擊來源,并將有關情況向本單位信息化領導小組匯報,再恢復軟件系統(tǒng)和數(shù)據(jù)。
(4)信息化領導小組召開會議,如認為事態(tài)嚴重,則立即市政府信息化辦公室和公安部門報警。
5、數(shù)據(jù)庫安全緊急處置措施
(1)對于重要的信息系統(tǒng),主要數(shù)據(jù)庫系統(tǒng)應按雙機設備設置,并至少要準備兩個以上數(shù)據(jù)庫備份,平時一個備份放在機房,另一個備份放在另一安全的建筑物中。
(2)一旦數(shù)據(jù)庫崩潰,值班人員應立即啟動備用系統(tǒng),并向信息安全負責人報告。
(3)在備用系統(tǒng)運行期間;信息安全工作人員應對主機系統(tǒng)進行維修并作數(shù)據(jù)恢復。
(4)如果兩套系統(tǒng)均崩潰而無法恢復,應立即向有關廠商請求緊急支援。
6、廣域網(wǎng)外部線路中斷緊急處置措施
(1)廣域網(wǎng)線路中斷后,值班人員應立即向信息安全負責人報告。
(2)信息安全相關負責人員接到報告后,應迅速判斷故障節(jié)點,查明故障原因。
(3)如屬我方管轄范圍,由信息安全工作人員立即予以恢復。
(4)如屬電信部門管轄范圍,立即與電信維護部門聯(lián)系,要求修復。
(5)如有必要,向本單位信息化領導小組匯報。
7、局域網(wǎng)中斷緊急處置措施
(1)設備管理部門平時應準備好網(wǎng)絡備用設備,存放在指定的位置。
(2)局域網(wǎng)中斷后,信息安全相關負責人員應立即判斷故節(jié)點,查明故障原因,并向網(wǎng)絡安全組組長匯報。
(3)如屬線路故障,應重新安裝線路。
(4)如屬路由器、交換機等網(wǎng)絡設備故障,應立即從指定位置將備用設備取出接上,并調(diào)試通暢。
(5)如屬路由器、交換機配置文件破壞,應迅速按照要求重新配置,并調(diào)測通暢。
(6)如有必要,向本單位信息化領導小組匯報。
8、設備安全緊急處置措施
(1)服務器等關鍵設備損壞后,值班人員應立即()向信息安全負責人報告。
(2)信息安全相關負責人員立即查明原因。
(3)如果能夠自行恢復,應立即用備件替換受損部件。
(4)如屬不能自行恢復的,立即與設備提供商聯(lián)系,請求派維護人員前來維修。
(5)如果設備一時不能修復,應向本單位信息化領導小組匯報。
(二)當發(fā)生的災害為自然災害時,應根據(jù)當時的實際情況,在保障人身安全的前提下,首先保障數(shù)據(jù)的安全,然后是設備安全。具體方法包括:硬盤的拔出與保存,設備的斷電與拆卸、搬遷等。
(三)當發(fā)生火災時,若因用電等原因引起火災,立即切斷電源,撥打119報警,組織人員開啟滅火器進行撲救。
(1)對于初起火災,現(xiàn)場人員應立即實施撲救工作,使用滅火器具實施滅火撲救工作;
(2)火勢較大時,應立即撥打119火災報警電話和根據(jù)火災情況啟動有關消防設備,通知有關人員到場滅火;
(3)在保障人員安全的前提下,按上款保護數(shù)據(jù)及設備。
(四)當市電不正常時,采用ups供電,供電時間視電池容量而定,一般不超過1小時,若超過此時間,關團服務器等網(wǎng)絡設備,等市電供應正常后半小時再重新啟動服務器。
(五)其它
做好機房及戶外網(wǎng)絡設備的防盜竊、防雷擊、防鼠害等工作。若發(fā)生事故,應立即組織人員自救,并報警。
其它沒有列出的不確定因素造成的災害,可根據(jù)總的安全原則,結合具體的情況,做出相應的處理。不能處理的可以請示相關的專業(yè)人員。
突發(fā)安全事故應急預案與方案
為了尊重生命、維護顧客的生命安全,在堅持"以預防為主"的前提下,按照《xx市人民政府突發(fā)公共事件總體應急預案》的要求,為落實游泳館的屬地責任制,更科學有效地處理泳館安全事故突發(fā)事件,特制定應急預案。
一、突發(fā)事件應急小組
組長:
副組長:
成員:
聯(lián)絡員:
二、突發(fā)事件應急處理方法
1.緊急處理并報案
在場的救生員及安全員應在第一時間實施搶救措施,并向120急救中心、應急小組負責人報告;
2.處理
游泳館接到安全事故突發(fā)事件報告,應迅速派人趕到事故現(xiàn)場,立即進行專業(yè)處理,應急小組負責人應迅速趕到事故現(xiàn)場指揮解決問題,并及時上報董事會。
3.聯(lián)系電話
處理溺水的應急小組電話:
處理受傷、突發(fā)疾病等事故電話:
急救中心:120
安全事故:110報警,
【 關鍵詞 】 信息安全;電力企業(yè);風險評估;管理模式
1 引言
在如今的信息化社會中,信息通過共享傳遞實現(xiàn)其價值。在信息交換的過程中,人們肯定會擔心自己的信息泄露,所以信息安全備受關注,企業(yè)的信息安全就更為重要了。但是網(wǎng)絡是一個開放互聯(lián)的環(huán)境,接入網(wǎng)絡的方式多樣,再加上技術存在的漏洞或者人們可能的操作失誤等,信息安全問題一刻不容忽視。尤其是電力,是國家規(guī)定的重要信息安全領域。所以電力企業(yè)要把信息安全管理體系的建設,作為重要的一環(huán)納入到整個企業(yè)管理體系中去。
2 電力企業(yè)信息管理體系建設的依據(jù)
關于企業(yè)的安全管理體系方面的標準有很多。英國BSI/DISC的BDD信息管理委員會制定的安全管理體系主要包含兩個部分內(nèi)容:信息安全管理實施規(guī)則和信息安全管理體系規(guī)范。信息安全管理實施規(guī)則是一個基礎性指導文件,里面有10大管理項、36個執(zhí)行的目標和127種控制的方法,可以作為開發(fā)人員在信息安全管理體系開發(fā)過程中的一個參考文檔。信息安全管理體系規(guī)范則詳細描述了在建立、施工和維護信息安全管理體系過程的要求,并提出了一些具體操作的建議。
國際標準化組織也了很多關于信息安全技術的標準,如ISO x系列、ISO/IEC x系列等。我國也制定了一系列的信息安全標準,如GB 15851―1995。
關于企業(yè)信息安全管理體系方面的標準眾多,如何針對企業(yè)自身實際情況選擇合適的參考標準很重要,尤其是電力企業(yè)有著與其他企業(yè)不同的一些特殊性質(zhì),選擇信息安全體系建設的參考標準更要謹慎。我國電力企業(yè)已經(jīng)引入了一些國際化標準作為建立和維護企業(yè)運轉(zhuǎn)的保證,關于信息安全體系的標準也應納入到保證企業(yè)運轉(zhuǎn)的一系列參考中去。電力企業(yè)總體應有一致的安全信息管理體系參考標準,但是具體地區(qū)的公司又有著本身自己的特殊環(huán)境,所以在總體一致的信息安全標準的情況下,也應該根據(jù)企業(yè)自身地區(qū)、人文、政策等的不同制定一些企業(yè)內(nèi)部自己信息安全標準作為建立、實施和維護信息安全管理體系的依據(jù)。信息安全管理體系顧全大局又要有所側重的體現(xiàn)電力企業(yè)安全標準的要求。
3 信息安全管理體系里的重要環(huán)節(jié)
3.1 硬件環(huán)境要求
信息安全管理體系并沒有特別要求添加什么特別的設備,只是對企業(yè)用到的設備做一些要求。電力企業(yè)一般采用內(nèi)外網(wǎng)結合的方式,內(nèi)外網(wǎng)設備要盡量進行物理隔離。企業(yè)每個員工基本都有自己的移動設備,如手機等,為了增加信息安全的系數(shù),企業(yè)可以限制公司設備的無線網(wǎng)絡拓展。另外,實時監(jiān)控系統(tǒng)也應該覆蓋企業(yè)的重要設備,監(jiān)控硬件設備的安全。
3.2 軟件環(huán)境要求
在企業(yè)設備(主要是計算機)上部署相關軟件環(huán)境是信息安全管理體系中最重要的部分。比如防病毒軟件的部署、桌面系統(tǒng)弱口令監(jiān)控軟件的部署等,以此防止網(wǎng)絡攻擊或者提高安全系數(shù)。另外,企業(yè)設備所用系統(tǒng)的安全漏洞修復、數(shù)據(jù)的加密解密、數(shù)據(jù)的備份恢復及數(shù)據(jù)傳輸通道的加密解密等問題,都在信息安全管理體系設計的考慮范疇。
3.3 企業(yè)員工管理
盡管現(xiàn)在一直倡導智能化,但是企業(yè)內(nèi)進行設備等操作的主體還是員工。不管是對設備終端操作來進行信息的首發(fā),還是對企業(yè)軟硬件系統(tǒng)進行維護工作,都是有員工來進行的。所以,對企業(yè)內(nèi)部員工進行信息安全培訓,提高員工的信息安全防范意識,讓員工掌握一定的信息安全防范與處理手段是非常重要的事情。針對不同的職位,在員工上崗前應該進行相關的信息安全方面的培訓,然后對培訓結果進行考核,不合格的人員不準上崗。在崗的人員也要定期進行培訓與考核。另外,如果有條件的話,企業(yè)應該定期(例如每年)進行一次信息安全的相關演習。
另外,電力企業(yè)有些項目是外包給其他相應公司的,這時候會有施工人員和駐場人員在電力企業(yè),對這些人員也應該進行電力企業(yè)信息安全的培訓。
3.4 信息安全管理體系的風險系數(shù)評估
風險評估在信息安全管理體系中是確定企業(yè)信息安全需求的一個重要途徑,它是對企業(yè)的信息資產(chǎn)所面臨的威脅、存在的弱點、造成的影響,以及三者綜合作用下所帶來的風險可能性的評測。風險評估的主要任務是:檢測評估對象所面臨的各種風險,估計風險的概率和可能帶來的負面影響的程度,確定信息安全管理體系承受風險的能力,確定不同風險發(fā)生后消減和控制的優(yōu)先級,對消除風險提出建議。在信息安全管理體系的風險系數(shù)評估過程中,形成《風險系數(shù)評估報告》、《風險處理方案》等文檔,作為對信息安全管理體系進行調(diào)整的參考。風險系數(shù)的評估要盡可能全面的反映企業(yè)的信息安全管理體系,除了常規(guī)手段,也可以使用一些相應的軟件工具的結果作為參考。另外很值得注意的是企業(yè)的員工對風險的理解,企業(yè)員工對他們所操作的對象有比較深刻的理解,對其中可能存在的不足也有自己的見解,在風險系數(shù)評估的過程中,可以進行一些員工的問卷調(diào)查等,把員工對風險的認識納入風險評估的考慮范疇。
企業(yè)的設備會老舊更換,員工也會更換,所以企業(yè)的信息安全是動態(tài)的,因此風險評估工作也要視具體情況定期進行,針對當前情況作評估報告,然后制定相應的風險處理方案。還有,之所以要建立信息安全管理體系,其中很重要的一點就是體系內(nèi)各個模塊的結合,信息安全管理體系的風險評估與關鍵內(nèi)容的實時監(jiān)控就應該結合起來。
為了降低信息安全管理體系的風險系數(shù),提升信息安全等級,要做的工作很多。滲透測試就是其中很有必要的一項工作。滲透測試是測試人員通過模擬惡意攻擊者的攻擊方式,來評估企業(yè)計算機網(wǎng)絡系統(tǒng)安全的一種評測方法。這個測試過程會對系統(tǒng)的可知的所有弱點、技術方面的缺陷或者漏洞等作主動的分析。滲透測試對于網(wǎng)絡信息安全的組織具有實際應用價值。隨著技術的不斷進步,可能還會出現(xiàn)其他的更有價值的信息安全技術,作為信息安全備受矚目的電力企業(yè),應當時刻關注相關技術的進展,并及時將它們納入企業(yè)信息安全管理體系中來。
3.5 信息安全管理體系的管理模式
文章前面提到企業(yè)信息安全是動態(tài)的,所以信息安全管理體系需要建立一個長效的機制,針對最新的情況及時對自身作出調(diào)整,使信息安全管理體系有效的運行?,F(xiàn)在一般會采用PDCA循環(huán)過程模式:計劃,依照體系整個的方針和目標,建立與控制風險系數(shù)、提高信息安全的有關的安全方針、過程、指標和程序等;執(zhí)行:實施和運作計劃中建立的方針、過程、程序等;評測:根據(jù)方針、目標等,評估業(yè)績,并形成報告,也就是文章前面說到的風險系數(shù)評估;舉措:采取主動糾正或預防措施對體系進行調(diào)整,進一步提高體系運作的有效性。這四個步驟循環(huán)運轉(zhuǎn),成為一個閉環(huán),是信息安全管理體系得到持續(xù)的改進。
4 重要技術及展望
4.1 安全隔離技術
電力企業(yè)的信息網(wǎng)絡是由內(nèi)外網(wǎng)兩部分組成,從被防御的角度來看的話,內(nèi)網(wǎng)的主要安全防護技術為防火墻、桌面弱口令監(jiān)控、入侵檢測技術等;而主動防護則主要采用的是安全隔離技術等。安全隔離技術包括物理隔離、協(xié)議隔離技術和防火墻技術。一般電力企業(yè)采用了物理隔離與防火墻技術,在內(nèi)網(wǎng)設立防火墻,在內(nèi)外網(wǎng)之間進行物理隔離。
4.2 數(shù)據(jù)加密技術
企業(yè)的數(shù)據(jù)在傳輸過程中一般都要進行加密來降低信息泄露的風險??梢愿鶕?jù)電力企業(yè)內(nèi)部具體的安全要求,對規(guī)定的文檔、視圖等在傳輸前進行數(shù)據(jù)加密。尤其是電力企業(yè)通過外網(wǎng)傳輸?shù)臅r候,除了對數(shù)據(jù)進行加密外,還應該在鏈路兩端進行通道加密。
4.3 終端弱口令監(jiān)控技術
終端設備眾多,而且是業(yè)務應用的主要入口,所以終端口令關乎業(yè)務數(shù)據(jù)的安全以及整個系統(tǒng)的正常運轉(zhuǎn)。如果終端口令過于簡單薄弱,相當于沒有設定而將設備暴露。終端的信息安全是電力企業(yè)信息安全的第一道防線,因此采用桌面系統(tǒng)弱口令監(jiān)控技術來加強這第一道防線的穩(wěn)固性對電力企業(yè)的信息安全非常重要。
電力企業(yè)信息安全管理體系是一個復雜的系統(tǒng),包含眾多的安全技術,如數(shù)據(jù)備份及災難恢復技術、終端安全檢查與用戶身份認證技術、虛擬專用網(wǎng)技術、協(xié)議隔離技術等。凡是與信息安全相關的技術,電力企業(yè)都應當關注,并根據(jù)企業(yè)自身的情況決定是否將之納入到信息安全管理體系中去。
智能化已成為不管是研究還是社會應用的熱門詞匯。電力企業(yè)的信息安全管理體系是否可以智能化呢?不妨做一個展望,電力企業(yè)的信息安全管理體系有了很強的自我學習與自我改進的能力,在信息安全環(huán)境越來越復雜,信息量越來越龐大的情況下是否會更能發(fā)揮信息安全管理體系的作用呢?這應該是值得期待的。
5 防病毒軟件部署
電力企業(yè)信息安全管理體系有很多軟件系統(tǒng)的部署,如防病毒軟件部署、桌面弱口令監(jiān)控系統(tǒng)部署、系統(tǒng)安全衛(wèi)士部署等。但是它們的部署情況類似,這里用防病毒軟件的部署來展示電力企業(yè)信息安全管理體系中軟件系統(tǒng)的部署情況。如圖1所示為防病毒軟件的部署框架。
殺毒軟件種類有很多,這里以賽門鐵克殺毒軟件為例。企業(yè)版的賽門鐵克防病毒軟件系統(tǒng)相比單機版增加了網(wǎng)絡管理的功能,能夠很大程度地減輕維護人員的工作量。為了確保防病毒軟件系統(tǒng)的穩(wěn)定運行,在電力企業(yè)內(nèi)部正式使用時,盡量準備一立的服務器作為防病毒軟件專用的服務器。
服務器安裝配置好賽門鐵克防病毒軟件后,可以遠程控制客戶端與下級升級服務器的軟件安裝與升級。
電力企業(yè)內(nèi)網(wǎng)可能是禁止接入外網(wǎng)的,這樣的話,防病毒軟件的更新可能無法自動完成。防病毒軟件需要升級的時候,維護人員在通過外網(wǎng)在相應網(wǎng)址下載賽門鐵克升級包,然后通過安全U盤拷貝到防病毒軟件系統(tǒng)專用服務器進行升級操作。在圖1中,省電力公司的防病毒管理控制臺獲得升級包可以下發(fā)給下級升級服務器和客戶端進行防病毒軟件系統(tǒng)的自動升級更新。圖1是一個簡單的框圖,如果電力企業(yè)的內(nèi)網(wǎng)規(guī)模很大的話,還可以更多級地分布部署。
6 結束語
電力企業(yè)的信息安全與企業(yè)的生產(chǎn)與經(jīng)營管理密切相關,是企業(yè)整個管理系統(tǒng)的一部分。信息安全管理體系是一個整體性的管理工作,把體系中涉及的內(nèi)容統(tǒng)一進行管理,讓它們協(xié)調(diào)運作,實現(xiàn)信息安全管理體系的功能。電力企業(yè)信息安全的建立與體系不斷的改進定能穩(wěn)定、有效地維護企業(yè)的信息安全。
參考文獻
[1] 王志強,李建剛.電網(wǎng)企業(yè)信息安全管理體系建設[J].浙江省電力公司,2008,6(3):26-29.
[2] 陳賀,宮俊峰.淺析信息安全體系如何建立[J].中國管理信息化,2014,17(1):74-76.
[3] 郭建,顧志強.電力企業(yè)信息安全現(xiàn)狀分析及管理對策[J].信息技術,2013(1):180-187.
[4] 沈軍.火力發(fā)電廠信息你安全體系構建與應用[J].電力信息通信技術,2013,11(8):103-108.
[5] 左鋒.信息安全體系模型研究[J].信息安全與通信保密,2010,01(10):68-71.
[6] 楊柳.構建供電企業(yè)信息安全體系[J].電腦知識與技術,2005(29).
[7] 曹鳴鵬, 趙偉, 許林英. J2EE技術及其實現(xiàn)[J]. 計算機應用,2001, 21(10): 20-23.
[8] 江和平.淺談網(wǎng)絡信息安全技術[J].現(xiàn)代情報學,2004(14):125-127.
作者簡介:
崔阿軍(1984-),男,甘肅平?jīng)鋈?,碩士研究生,工程師;主要研究方向和關注領域:電力信息通信安全技術研究。
張馴(1984-),男,江蘇揚州人,本科,工程師;主要研究方向和關注領域:電力信息通信安全技術研究。
李志茹(1984-),女,山東平度人,碩士研究生,工程師;主要研究方向和關注領域:信息化建設及安全技術。
龔波(1981-),男,湖南新邵人,本科,工程師;主要研究方向和關注領域:電力信息化建設及安全技術。
關鍵詞:氣象信息網(wǎng)絡;安全;病毒
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1674-7712 (2012) 06-0101-01
一、引言
氣象信息網(wǎng)絡已經(jīng)成為氣象業(yè)務正常運行的重要組成部分,它是相關人員了解氣象政務和天氣預報等信息的重要媒體。通過這一媒介,預報人員可通過氣象信息網(wǎng)絡傳輸?shù)哪J綌?shù)據(jù)等,做出準確的天氣預報和氣候預測。決策服務人員可根據(jù)實際天氣情況,氣象災害預警和氣候預測等信息。公眾氣象信息網(wǎng)絡的這些信息來安排自己的工作、學習和生活。但隨著網(wǎng)絡病毒、計算機黑客的不斷入侵,互聯(lián)網(wǎng)的安全性越來越低,我們的氣象信息網(wǎng)絡正面臨日益嚴重的安全威脅。氣象信息網(wǎng)絡隨時都有可能遭到有意或無意的黑客攻擊或者病毒傳播。人們是如此地依賴氣象信息網(wǎng)絡,以至于任何因素網(wǎng)絡安全事故都可能造成無法估量的損失和社會影響。維護氣象信息網(wǎng)絡安全性已經(jīng)刻不容緩。由于氣象網(wǎng)絡系統(tǒng)在管理和制度上普遍存在缺陷,一些條件較差的基層臺站甚至沒有專職計算機網(wǎng)絡管理人員。還有一些再基層氣象職工計算機水平較低,機房設備較差,這對氣象網(wǎng)絡的安全極為不利。
二、提高氣象信息網(wǎng)絡安全的幾個途徑
(一)加強路由器控制,防止IP地址非法探測
加強路由器控制,防止IP地址非法探測時提高氣象信息網(wǎng)絡安全的重要步驟之一。有時候非法黑客會采用“IP地址欺騙”的方法來進行網(wǎng)絡攻擊前的準備。其具體做法是:先假扮成氣象信息網(wǎng)絡內(nèi)部的一個IP地址,通過Ping、traeeroute或其他命令探測網(wǎng)絡命令來探測網(wǎng)絡。一旦發(fā)現(xiàn)漏洞,黑客會利用這些漏洞對氣象信息網(wǎng)絡進行攻擊。針這類安全隱患,網(wǎng)絡管理人員應該在路由器上建立安全訪問控制列表,以防止IP地址非法探測。當建立安全訪問控制列表后,可將其放到路由器連接外網(wǎng)接口入口,形成一道控制墻,假如非法訪問者頻繁地利用Ping、traeeroute或其他網(wǎng)絡探測命令攻擊主機,可對其進行隔斷或阻斷處理。
(二)進行端口管理,阻止病毒傳播
很多網(wǎng)絡病毒利用固定的端口進行黑客攻擊和病毒傳播。例如,臭名昭著的Blaster蠕蟲病毒往往利用TCP 4444端口和UDP 69端口向網(wǎng)絡內(nèi)部的正常主機傳播病毒。在氣象信息網(wǎng)絡安全管理時,加強計算機端口管理可在一定程度上阻礙病毒的傳播范圍。例如,網(wǎng)絡安全管理人員可在路由器的內(nèi)、外網(wǎng)結構設置ACL,這樣當?shù)竭_路由器時,病毒數(shù)據(jù)會被路由器的ACL設置過濾。因此,進行端口管理是一種“防患于未然”的安全策略。當發(fā)生端口攻擊等計算機信息系統(tǒng)安全事故和計算機違法犯罪案件時,網(wǎng)絡管理人員應該立即向單位信息安全責任人報告,并采取必要的措施,避免危害擴大,并編寫違章報告、運行日志和其他與計算機網(wǎng)絡端口攻擊有關的安全材料。
(三)提高內(nèi)網(wǎng)安全級別,實行分級權限制度
氣象部門為維護常規(guī)氣象業(yè)務的正常運行,必須實行網(wǎng)絡安全級別的安全管理。一般來說,可將氣象部門的內(nèi)部網(wǎng)絡按照安全級別分為三個級別:即業(yè)務子網(wǎng)級別、辦公子網(wǎng)級別和服務器級別,并實行分級權限制度。通過利用三層交換機策略對子網(wǎng)間的相互訪問進行權限控制安全級別高的子網(wǎng)可以訪問安全級別低的子網(wǎng),同時禁止低級別的子網(wǎng)訪問高級別的子網(wǎng)。當?shù)图墑e的子網(wǎng)網(wǎng)絡感染病毒后,不至于傳染至高級別子網(wǎng),這樣可在很大程度上防止和阻斷網(wǎng)絡間病毒的傳播。網(wǎng)絡管理人員要執(zhí)行氣象信息網(wǎng)絡安全的分級保護技術措施,對計算機信息系統(tǒng)安全運行情況進行檢查,及時查處不安全因素,排除安全隱患。
(四)實行網(wǎng)絡流量控制,確保業(yè)務數(shù)據(jù)正常通行
通常在氣象信息網(wǎng)絡沒有感染病毒時網(wǎng)絡帶寬應該能夠滿足業(yè)務數(shù)據(jù)的正常傳輸。假如網(wǎng)絡中的終端計算機感染了“蠕蟲”病毒或一些木馬程序后,網(wǎng)絡流量會出現(xiàn)異動。有時,網(wǎng)絡中會產(chǎn)生海量的數(shù)據(jù)流量,嚴重的甚至會將氣象信息網(wǎng)絡的帶寬完全耗盡,并導致業(yè)務網(wǎng)絡的阻塞或完全癱瘓。由于天氣預報、氣候預測等正常的氣象業(yè)務運行需要氣象數(shù)據(jù)及時準確的傳輸和傳達,網(wǎng)絡流量耗盡或阻塞將給氣象業(yè)務的正常運行帶來巨大的隱患。因此,為確保常規(guī)氣象業(yè)務數(shù)據(jù)的準確、及時傳輸,必須要對一些非業(yè)務的數(shù)據(jù)流量加強管理和限制,防止因為少量終端計算機的不正常而殃及整個網(wǎng)絡。氣象信息安全的相關人員應根據(jù)國家法律法規(guī)和有關政策要求,遵循國家“積極防御、綜合防范”的方針,確定氣象信息安全工作的策略、重點、制度和措施順利事實。
(五)終端計算機的網(wǎng)絡安全管理
計算機終端的安全是是氣象信息網(wǎng)絡安全的重要組成部分。病毒、惡意軟件、木馬等電腦病毒以及終端本身的軟硬件故障,常常給整個網(wǎng)絡帶來安全隱患,嚴重的甚至能導致系統(tǒng)崩潰。因此,對于終端計算機一定要加強網(wǎng)絡安全管理。因此要定期或不定期組織終端計算機系統(tǒng)的安全風險評估,檢查安全運行情況,并根據(jù)評估報告對系統(tǒng)安全措施進行完善與升級,及時排除安全隱患。具體的辦法和措施有:進入安全模式,使用殺毒軟件、360安全衛(wèi)士、金山清理專家進行殺毒或者重裝系統(tǒng)等。
三、結語
總之,氣象信息網(wǎng)絡的安全保障工作是一項關系氣象業(yè)務健康穩(wěn)定發(fā)展的長期任務,要充分認識加強信息安全保障工作的重要性和緊迫性,把信息安全工作列入重要議事日程,明確任務,落實責任,建立并認真落實信息安全責任制。在管理制度方面,要建立健全氣象信息安全組織機構、建立健全氣象信息網(wǎng)絡安全責任體系、建立一整套氣象信息網(wǎng)絡安全管理和信息安全應急處置等制度,最后,相關部門要宣傳貫徹國家信息安全相關法律、法規(guī)、規(guī)章和有關政策,并組織對氣象信息網(wǎng)絡管理人員進行信息安全教育建設并完善信息安全保障體系,推動信息安全工作的發(fā)展。信息網(wǎng)絡安全責任人要正確處理好安全與發(fā)展的關系,建立信息安全長效機制,落實信息安全措施,切實履行好信息安全保障責任。
參考文獻:
[1]陳曉字,王曉明,孫鵬.淺談廣東省氣象局網(wǎng)絡安全防護體系的部署[J].廣東氣象,2004,26(3):41-43
(一)安全管理制度落實情況。重點檢查信息安全主管領導、管理機構和管理人員的落實情況,信息安全制度落實情況,信息安全經(jīng)費保障情況。
(二)安全防范措施落實情況。重點檢查安全技術措施的有效性以及安全防護措施的落實情況。
(三)應急響應機制建設情況。重點檢查應急預案制定、演練、落實情況,應急技術支援隊伍建設情況,重大信息安全事故處置情況以及系統(tǒng)備份情況。
(四)信息技術產(chǎn)品和服務國產(chǎn)化情況。重點檢查使用國產(chǎn)產(chǎn)品情況,信息安全服務外包情況,以及對因特殊原因選用國外信息技術產(chǎn)品和信息安全服務的安全審查情況。
(五)安全教育培訓情況。重點檢查工作人員參加信息安全培訓、掌握信息安全常識和技能、重點崗位持證上崗等情況。
(六)責任追究情況。重點檢查對違反信息安全規(guī)定行為和造成泄密事故、信息安全事故的查處情況,對責任人和有關負責人的責任追究以及懲處措施落實情況。
(七)安全隱患排查及整改情況。重點檢查對安全制度、防范措施、設備措施等方面存在的漏洞和薄弱環(huán)節(jié)的排查情況,以及分析產(chǎn)生問題和隱患的原因,研究制定和落實整改措施等情況。
(八)評估信息系統(tǒng)的安全風險狀況。深入分析外部安全形式和內(nèi)部防范措施的有效性,全面評估信息系統(tǒng)的安全風險狀況。
二、檢查方式
安全檢查以各單位自查與統(tǒng)一組織現(xiàn)場檢查相結合的方式進行。市信息化工作領導小組辦公室負責政府信息系統(tǒng)安全檢查的協(xié)調(diào)、指導、監(jiān)督工作,會同保密、機要、公安等部門和信息安全領域的專家聯(lián)合成立*市政府信息系統(tǒng)安全檢查組,對各級、各部門進行現(xiàn)場檢查,聽取被檢查單位網(wǎng)絡與信息安全有關情況匯報,對機房、安全防護設施等重要部位進行實地檢查,對網(wǎng)絡及系統(tǒng)進行必要的安全測試。檢查結束后,對存在的問題提出整改措施和建議。
三、檢查步驟與時間安排
本次檢查分三個階段進行:
(一)自查階段(2009年5月-2009年6月)。各級、各部門開展自查,形成自查報告報市信息化工作領導小組辦公室。聯(lián)系人:*;聯(lián)系電話*;傳真*。
(二)現(xiàn)場檢查階段(2009年6月-2009年10月)。檢查工作組對各縣(市)、區(qū)和重點要害單位開展現(xiàn)場檢查,針對存在問題提出整改要求,相關單位根據(jù)檢查工作組的要求進行整改。
(三)總結階段(2009年10月)。檢查組將檢查結果以書面形式報市信息化工作領導小組辦公室,市信息化工作領導小組辦公室匯總整理后將有關情況進行通報。
四、具體要求
(一)切實加強領導。開展信息安全檢查既是對各重要信息系統(tǒng)安全狀況的調(diào)查了解,也是促進各級、各部門加強信息系統(tǒng)安全工作和規(guī)范化管理的過程,要從維護全市信息安全、講政治講大局的高度,充分認識其重要性,主管領導要親自抓,按照本方案的要求,認真組織和完成單位信息系統(tǒng)安全檢查工作。
(二)明確責任分工。政府信息系統(tǒng)安全檢查組負責組織現(xiàn)場檢查,并將結果向市信息化領導小組辦公室匯報。市信息化領導小組辦公室負責組織、協(xié)調(diào)本次專項檢查工作,公安局重點檢查等級保護制度落實情況,保密局重點檢查網(wǎng)絡和信息系統(tǒng)保密管理情況,機要局重點檢查密碼設備使用和管理情況。各單位信息化主管部門,負責網(wǎng)絡與信息安全檢查組織實施、材料上報等工作,配合政府信息系統(tǒng)安全檢查組進行檢查。