企业网络安全应急预案范文
时间:2023-09-13 17:17:51
导语:如何才能写好一篇企业网络安全应急预案,这就需要搜集整理更多的资料和文献,欢迎阅读由公文云整理的十篇范文,供你借鉴。
篇1
【关键词】网络安全;信息安全; 安全隔离;MPLS-VPN
1 引言
随着技术的不发展网络安全面临越来越多的挑战;从U盘到病毒、漏洞;从蠕虫到非法入侵等等电力信息网络面临各种各样的威胁。本文主要阐述电力信息网络安全的技术手段在实际工作中的应用。
2 电力企业信息安全技术手段
2.1 安全U盘
广泛使用安全U盘对文件加密、信息摘要和访问控制等安全措施,来实现文件存储和传输的保密和完整性要求,并实现对文件访问的控制。通过安全U盘对数据加密、信息摘要和数字签名等安全措施对通信过程中的信息进行保护,实现数据在通信中的保密、完整和不可抵赖性安全要求。即使安全U盘丢失都不会造成公司信息的泄露。
2.2 网络隐患扫描
通过我局统一网管平台对网络隐患扫描系统能够扫描网络范围内的所有支持TCP/IP协议的设备,扫描的对象包括扫描多种操作系统,扫描网络设备包括:服务器、工作站、防火墙、路由器、路由交换机等。在进行扫描时,可以从网络中不同的位置对网络设备进行扫描。扫描结束后生成详细的安全评估报告,采用报表和图形的形式对扫描结果进行分析,可以方便直观地对用户进行安全性能评估和检查。此项工作也可在防火墙的管理界面里监控;也可采用第三方的网管软件管理。
2.3 入侵检测
入侵检测系统是专门针对黑客攻击行为而研制的网络安全产品。国际上先进的分布式入侵检测构架,可最大限度地、全天候地实施监控,提供企业级的安全检测手段。在事后分析的时候,可以清楚地界定责任人和责任事件,为网络管理人员提供强有力的保障。入侵检测系统采用攻击防卫技术,具有高可靠性、高识别率、规则更新迅速等特点。系统具有强大的功能、方便友好的管理机制,可广泛应用于电力行业各单位。此设备与防火墙联动有效防止黑客等网络攻击。
2.4 网络防病毒放漏洞
此类设备以我局应用趋势防毒软件为例,趋势软件可以采用C/S模式,在网络防毒服务器中安装杀毒软件服务器端程序,以服务器作为网络的核心,通过派发的形式对整个网络部署查、杀毒,服务器通过Internet利用LiveUpdate(在线升级)功能,从免疫中心实时获取最新的病毒码信息和操作系统漏洞补丁信息,及时更新病毒代码库和系统漏洞补丁信息。为保护整个电力信息网络免受病毒侵害,保证网络系统中信息的可用性,应构建从主机到服务器的完善的防病毒体系。服务器和网络工作站都安装客户端软件,利用从服务器端获取的病毒码信息对本地工作站进行病毒扫描,并对发现的病毒采取相应措施进行清除。同时拒绝不安装客户端软件、有系统漏洞的用户接入信息网。客户端根据需要可用三种方式进行病毒扫描:实时扫描、预置扫描和人工扫描。由于病毒扫描可能带来服务器性能上的降低,因此可采用预置扫描方式,将扫描时间设定在服务器访问率最低的夜间。网络工作站可根据各自需要,选择合适的方式进行病毒扫描。客户端采用登录网络自动安装方式,确保每一台上网的计算机都安装并启动病毒防火墙。同时要注意,选择的网络防病毒软件应能够适应各种系统平台,各种数据库平台,各种应用软件。
2.5 物理隔离
主要用于电力信息网的内外网之间的隔离。并严格遵守“上网不,不上网”原则。使用隔离机或隔离卡等设备隔离信息内网计算机与信息外网计算机;物理隔离做到企业内网计算机与上外网计算机分开使用。
2.6 防火墙安全网关
此类设备以防火墙为代表。防火墙是企业信息网络的第一道屏障,这里的外网包括到不同层次的电力网、其他信息网如政府网和银行网络、internet,所有的访问都将通过防火墙进行,不允许任何绕过防火墙的连接。DMZ停火区放置了企业对外提供各项服务的服务器,即能够保证提供正常的服务,又能够有效地保护服务器不受攻击。要正确设置防火墙的访问策略,遵循“缺省全部关闭,按需求开通的原则”,拒绝除明确许可外的任何服务,也即是拒绝一切未予准许的服务。与Internet连接的防火墙的访问策略中,必须禁止Rlogin,NNTP,Finger,Gopher,RSH,NFS等危险服务,也必须禁止Telnet,Terminal Server等远程管理服务。
2.7 虚拟专用网络
数据安全传输: 采用MPLS-VPN 技术对网络信息进行加密、信息摘要和访问控制等安全措施,来实现文件存储和传输的保密和完整性要求,并实现对文件访问的控制。对通信安全,采用数据加密、信息摘要和数字签名等安全措施对通信过程中的信息进行保护,实现数据在通信中的保密、完整和不可抵赖性安全要求。对远程接入安全,通过VPN技术,提高时的信息(如电子公文,MAIL等等)在传输过程中的保密性和安全性。
3 结束语
电力信息网络安全是一个系统的、全局的安全问题,网络上的任何一个漏洞,都会导致全网的安全问题。不断积累完善针对网络实际情况的各类安全技术全面提高网络的安全管理水平。动态调整及时检测环境或系统中的变化,分析这些变化可能带来的风险,并在必要时调整修改原有安全保护及管理措施或增加新的措施,以控制或防范风险。
参考文献:
[1](美)米特尼克(Mitnick, K. D.),(美) 西蒙(Simon, W. L.).著.《网管天下:网络安全管理实践》,清华大学出版社,2014.02.05.
[2][英]Dafydd Stuttard Marcus Pinto.著 .《黑客攻防技术宝典:Web实战篇》.012.07.01.
篇2
飞速发展的社会经济将企业管理投入到信息技术的海洋之中,大中型企业管理的自动化水平正在不断提高。现代企业的核心管理手段是将计算机网络技术应用于业务管理系统,实现企业管理理念的宏观化、管理手段的智能化、管理方式的网络化,从而带来的是管理效率的高速化。具体的管理系统包括外门户网站系统、内部门户网站系统、办公自动化系统、营销管理系统、配网管理系统、财务管理系统、生产管理系统等[ 1 ]。
1 企业网络信息安全概述
1.1 网络信息安全面临的威胁
网络信息的安全主要是系统漏洞带来的病毒和黑客侵袭。漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统[ 2 ]。系统漏洞是危害网络安全的最主要因素,特别是软件系统的各种漏洞。黑客的攻击行为都是利用系统的安全漏洞来进行的。许多系统都有这样那样的安全漏洞(Bugs),其中有些是操作系统或应用软件由于设计缺陷本身所具有的,这些漏洞在补丁未被开发出来之前一般很难防御黑客的破坏,除非你不接入网络。还有就是程序员在设计一些功能复杂的程序时,预留的用于测试和维护的程序入口,由于疏忽或者其他原因(如将它留在程序中,便于日后访问、测试或维护)没有去掉,这就可能被一些黑客发现并利用作为后门。到目前为止,还没有出现真正安全无漏洞的产品,这也是当前黑客肆虐的主要原因[ 3 ]。
1.2 造成企业网络信息安全威胁的原因
1.2.1 计算机系统原生漏洞
目前计算机所依赖的依然是普遍通用的微软Windows系统。为了适应用户的需求,这一系统的研发进展不断进步,系统升级较为频繁,每两年左右便会有新系统推出面世。许多计算机用户,特别是企业用户,如果对新系统没有全面、专业、深入的了解而盲目进行了系统更新,有可能造成安装设置过程中缺陷导致的新系统带来的弊端,从而埋下漏洞隐患,给信息安全造成威胁。
1.2.2 计算机软件应用不当遭遇恶意软件
在企业管理计算机软件应用过程中,如果没有专业的识别和下载安装经验,极有可能遇到恶意软件。恶意软件常常故意不对用户做明确提示(如选项提示、退出安装提示等)或者在未经用户许可的情况下,在用户的计算机上强行安装;有的软件难以卸载(设置卸载障碍);还有的软件通过浏览器劫持行为,肆意:指未经用户许可,修改用户浏览器或设置,迫使用户访问特定网站或导致用户无法正常上网等。恶意软件造成的计算机病毒感染,黑客的乘虚而入将严重威胁企业网络信息安全,甚至导致系统崩溃,数据丢失。有的恶意软件甚至自带网络数据运行监视装置,被恶意使用后可以直接用于窃取商业数据和信息,给企业造成巨大损失。
1.2.3 企业网络信息系统维护规范欠缺
企业网络信息系统在运行过程中无论何种原因都难以避免可能产生的漏洞,而对信息系统的规范维护是信息安全保护的重要手段。但部分企业没有对系统维护规范作出规定,如系统维护工程师、助理工程师的职责与权限并不明确,生产或销售应用系统的监控记录不能定期建档,生产或办公系统主机的日常故障处理不做登记,应用系统的数据库启动情况和数据库设置得不到及时观察,重要数据库的变更操作,定期清理过期备份不能正常进行,应用数据库瘫痪后的异地备份恢复记录不完整等,都有可能造成企业网络信息系统的安全隐患。
2 企业信息系统安全管理存在的问题
2.1 企业对信息系统管理重视不足
许多企业顶层决策缺乏长久观念,比较重视信息网络的建设而较易忽视信息网络和系统的管理。在企业网络建设初期往往偏重于硬件设施的投资和技术成本的投入,盲目追求管理系统的高性能、高配置,忽略了硬件设施与实际应用的差距,认为高层次的网络系统一旦建成便万事大吉。这种认识不但造成了不必要的资金浪费,更容易形成轻视系统维护管理工作的状况。由于缺乏管理意识,许多企业在规章制度、人事安排、专业培训、技术队伍等几方面没有形成企业信息系统的专业团队,更没有针对系统瘫痪、数据丢失等突发事件的应急预案,往往是问题发生后临时应急解决,“头痛治头足痛治足”,致使现代化信息系统不能充分发挥在企业运行管理中应有的作用。
2.2 企业网络信息安全性难以保障
由于信息安全管理意识淡薄,部分企业没有专业的网络管理团队。现有网管人员维护、管理网联络信息技术没有保障,或者责任心不强。例如,民营生产销售企业由于操作不规范销售报表和潜在客户资料数据丢失现象时有发生;部分县级以上医院分科或多或少都存在体统停滞现象;中小型企业中财务资料的误删时有发生。虽然这些单位有的也具备系统维护应急预案,部分数据得到恢复,但依然给企业造成一定损失。
3 企业网络信息安全防范措施
3.1 建立系统安全检查制度
企业的规章制度要重视系统安全的保护,对重要信息系统的安全检查要建章立制,不能松懈。首先要对系统安全负责的团队人员构成和岗位职责进行明文规定。其次要确定具体的安全检查目标,如企业的基础网络是否完善、主服务器配置是否异常,对外门户网站防火墙是否坚固,数据中心的设置是否可靠,内部办公系统(包括财务、销售、服务等)更新是否正常等等。第三,信息安全检查规章制度中要具化检点内容,如安全管理保障系统方面,对岗位制度是否建全,人员负责是否落实,信息数据是否安全,应急响应是否稳妥等项目要做出详细检查记录。技术保障方面:服务器(包括操作系统、数据库、应用系统)的各项指标,网络设备和安全设备的各种配置,网站建设和终端等组织策略和运行维护等内容都要落实到检查实处。
3.2 加大企业网络信息安全的管理力度
第一,要增强网络信息管理人员的技术培训,使企业信息系统得到可靠的技术维护和管理,组件一只责任心强、分工明确、技术精湛的网管团队,以保障企业网络信息系统正常运转不出纰漏。
第二,提高企业核心机密资料的加密层次,在这方面要投入资金购买保密程度较有保障的计算机软件装备,防止黑客攻击和病毒感染。
第三,对企业信息管理和维护工作进行定期记录、责任到人,记录保护存档以备可查。
第四,要建立安全可靠的计算机数据异地备案和应急预案机制,有专门制定人员负责,定期检测数据,严格管理制度,以确保企业网络信息系统出现异常时得到有效维护和修复。
篇3
1.信用风险。信用是衡量一个企业能不能长久发展维持下去的标准。如果企业没有一个良好的信用,应就没有客户会长期选择与这样的企业进行合作。信用一直是企业和客户都看重的一点,企业愿意和信用良好的客户进行交易,客户在选择购买一件物品时肯定会首先考虑一家企业的信用是否良好。若企业在客户群里拥有良好的口碑和信用,这就会给企业带来长久大量的业务。
2.市场风险。我国改革开放几十年,取得了巨大的成就。国人的思想越来越前卫,越来越追求个性和独特,这也就是目前市场环境多变的原因。如果企业没有敏锐的市场嗅觉,那么这个企业只会走下坡路,渐渐的脱离市场走向没落。李宁,是1990年我国著名的“体操王子”李宁先生一手创立的体育用品公司。经过短短5年的发展在1995年李宁就成为了中国体育用品行业的领跑者。在2009年李宁的内地销售量超过了国际著名运动品牌阿迪达斯,但是随后李宁就开始走向没落。“一切皆有可能!”,这是李宁最广为传播的一句广告语,也一直陪伴着李宁的快速成长。“一切皆有可能”是运动者的心声,是年轻人的心声!但其产品的创新没有跟上步伐,以至于目标消费者与实际购买者严重错位,品牌老化,缺乏个性,被消费者视为时尚的门外汉。2014年息税前利润加折旧及摊销为亏损350,570,000元人民币。由此可以看出如果市场定位不准确,企业将会直接面临市场风险,从而使公司财务损失惨重,面临严重的财务风险。
3.网络风险。构建基于电子商务的网络财务系统和安全保障体系,重构企业组织结构,优化企业业务流程,以促进企业新的可持续发展。电子商务主要是依赖信息技术,即依赖互联网。而电子商务的经营一定不可忽视网络安全的重要性。因为在电子商务环境下供销双方的交易往来基本全是通过网络渠道,而企业之间通过网络发送的电子信息极有可能被不法分子给拦截。拦截之后文件等信息可以被修改,假冒企业的名义发送邮件,或者是通过一定的技术手段掩盖事实拒绝承认交易的存在。
4.法律风险。相对于传统商务来说,电子商务还太年轻。而传统商务在经过这么多年的发展与改进,从交易的开始一直到交易的完结,国家已经为其制定非常完善的法律体系来保证和维护交易活动的正常进行。而对于电子商务来说,由于国家还没有为其制定完善的法律法规,许多企业都在打球,近几年的3.15晚会曝光最多的就是电商企业。由于法律的不完善,国家的监管方式不全面,监管力度不够,电商企业成为最近几年消费者投诉最多的企业。而被投诉最多的内容就是电商企业侵权、售假、消费者个人信息被泄露。2014年法国Kering SA公司就状告阿里巴巴旗下的淘宝在全球范围内售假,其行为使Kering SA遭受巨大的损失,最后经过两家公司的协商与调节进行了私下解决。就在2015年Kering SA再次对阿里巴巴提讼要求作出赔偿,原因就在于阿里巴巴对淘宝网上店家的售假行为的不作为。由此能看出,尽管中国可能在电子商务方面存在法律上的缺陷,但侵权、售假、泄露个人信息等欺骗危害消费者和侵犯企业合法权益的行为终究是不合法的。随着法律的逐步完善,那些触犯法律的企业一定会受到相应的制裁,所以企业的领导者要防止企业触犯法律,不打球,避免在电子商务环境下企业面临严重的法律风险。
5.筹资以及用资风险。电子商务企业的资金投入不像传统商务企业一样把大部分资金投入到有形资产中,相反大多都是投入到企业的无形资产中。例如电子商务企业在电商平台开设店铺的费用,以及网站的设计费用和网站的日常维护费用等。这些无形资产需要的资金量相对于传统商务来说更多,因为电子商务是深深依赖信息技术的发展,即在网络上的资金需求量会很多,即使这样也不能满足电子商务企业发展对资金的需求。又因为电子商务是新兴事物,所以企业向银行等机构贷款也存在很大的难度。这就造成了企业的筹资风险。在电子商务环境下,企业资金的运用与传统商务企业不尽相同。一些电子商务企业的资金大部分都是投入到无形资产中,所以企业要对这部分资金进行监控和管理。每笔资金产生的原因以及资金使用的理由都要经过企业与收款方进行核对确定。否则资金的运用就不在企业的掌控范围内,就会给企业带来严重的用资风险。
二、电子商务环境下企业财务风险的控制措施
1.构建灵活的预算管理系统。电子商务环境下的预算管理系统与传统商务模式下的预算管理系统既有联系又有区别。由于电子商务资金运用的不确定性以及市场等变化速度快的特点,相应的要求预算管理系统要去适应电子商务的这些特点。企业可以在原来的预算管理系统基础上去做些变动来适合电子商务,只需要充分去考虑在电子商务环境下资金需求量的多变性和不规律性,使预算管理系统更加的灵活。而且在电子商务环境下,企业都在追寻“零库存”,这也对企业进行预算管理系统造成了很大的影响。“零库存”情况下销售方只能根据消费者的订单量来预算大致的资金需求量,而销量的不确定性,以及生产方和物流运输方的不确定性,也给企业的预算管理系统增加了难度。所以,企业要制定新型的预算管理系统来适应电子商务的多变性和灵活性。
2.设立合理准确的战略管理体系。传统商务模式下的战略目标可以在很长的一段时间内不用变动,但是由于电子商务环境下市场等变化的多样性和不规律性,使得企业的战略目标也要及时的跟着电子商务的变化而变化。如今消费者越来越注重生活的品质和个人风格的凸显。在电子商务便捷的消费方式下,一旦电子商务企业的产品定位和市场战略不紧跟大众潮流,将使企业直接面临市场风险,从而导致财务风险的发生。所以在电子商务环境下企业应当紧跟大众的眼光,紧跟时尚潮流,并制定准确的市场战略,这样才能使企业长久不衰、良好的发展下去。若是企业同时拥有线上和线下的业务,也要尽可能地避免线上和线下业务的正面冲突,否则就会像以纯那样忍痛关掉线上商城。要达到以上的要求就需要企业在设立战略管理体系时要充分的考虑电子商务的特点,制定出一个合理的战略管理体系。
3.重构组织结构及优化业务流程。首先企业应先建立完善的供应链服务渠道,确保商品的正常及r的流转。因为电子商务企业和商品的生产方以及物流公司、电商平台多方面相关联。电商企业应与生产方、物流公司、电商平台协商制定出一个适合每个参与者的商品流转的流程协议,整合改善设置合理的部门机构,优化各个机构部门之间的工作对接方式,保证商品能及时地送到消费者手里,形成一条及时高效的供应链服务渠道。其次企业应建立健全的网络维护小组,用来维护网络的正常运转以及防止企业网络遭受不法分子的攻击,亦可聘请外部专家来对公司网络进行专门优化与加固。增设网络防火墙,身份证识别等技术来使企业的网络更加的安全。还需要企业注意的就是企业之间通过网络传达的邮件等信息这一方面,为了防止在信息传输的过程中被不法分子拦截、篡改、伪造等风险,企业之间可以使用文件加密技术来保护邮件信息等的安全。可使用对称密匙或一公一私密匙来对邮件等信息进行加密。以此来减少企业面临的运营风险。
4.制定合理的财务风险监控预警体系。在电子商务环境下企业需要根据自身情况,量身制定出适合自己的财务风险监控预警体系。要对财务风险进行监控和预警的内容即要监控风险,有信用风险、市场风险、经营风险以及筹资用资风险,这就要求财务风险监控预警体系要把这些内容和环节紧紧整合到一起。预警体系就表示要求企业制定的系统要具有分析的功能,企业的管理层可根据系统给出的数据来分析企业是否将要面临财务风险。又因为电子商务市场等变化的多样性以及不规律性,要求企业制定的财务风险监控预警体系要具有相对的灵活性,这样制定出来的系统才能更好的被企业所运用,才能正确的为企业对财务风险进行监控和预警。
5.建立合理的资金流监管系统。资金流监管系统的作用就是对资金的筹集和使用等进行统计整理,以达到企业对资金的流动的原因和流动的终点有清晰的认识。电子商务环境下,企业的资金流动方向有电商平台、生产厂家、物流等。这就更需要企业制定一个合理完善的资金流监管系统。既能系统的整合各种类资金的流动方向,也能分类统计汇总单个方向的资金流动。能确保每一笔的资金流动方向都能被清晰合理的记录在管理系统中,方便管理层对资金流的掌握和控制。也要做到信息的实时共享,因为传统商务模式下,企业汇报的流程是逐级汇报,这样就产生了资金运动信息传递的滞后性,不利于企业对资金流的掌控和管理。只有及时的做到资金流信息在企业内部相关人员里传递共享,才能避免企业资金的不合理流失,减少企业面对用资风险的可能性。
篇4
―、影响供电企业信息安全的主要因素分析
增强信息系统安全的措施的制度,需要依据对影响信息安全的因素的分析。要保证硬件设备的安全,就要考虑自然环境以及各种不可抗拒因素,例如水灾、雷电等,会造成网络信号中断、数据遭到破坏等。还需考虑电磁产生的干扰因素,信息传输中受到电磁干扰,容易导致信息的泄漏。
物理设备的潜在风险不容忽视。在供电企业信息系统中使用了大量的网络设备,比如路由器等,这些设备本身的安全性能也会对网络的正常运行产生较大的影响。
严禁供电企业以及调度中心的电力控制系统直接和办公信息网络进行连接,务必安装经国家相关部门认证的专业安全隔离设施,同时选择专用设备组网,确保物理层面上和公用信息网络之间的安全隔离。
二、加强信息安全的对策
1.进一步提升广大职工的信息安全知识水平,加强员工的安全文化建设及其信息安全防患意识。开展信息安全管理工作,并非仅仅是系统使用或者管理部门的事,而是企业所有职工的事,因此务必增强全体员工的信息安全以及防患意识。通过采取培训各种考核等有力措施,进_步提升全体员工对企业信息安全的认识,让信息安全成为企业曰常工作业务的一个组成部分,从而提升企业整体信息安全水平。当前世界已进入知识经济时代,这一变化对电力企业安全文化建设提出了更加严格的要求,广大电力企业必须进一步强化安全文化建设,以便能够顺应知识经济时代的发展要求。
2.设置系统授权。为了预防非法用户侵入系统,应按照用户不同的级别所获得的相应权限对用户进行对应的限制,并且投入资金开展安全技术督查以及安全审计等相关活动。信息安全并非_朝_夕就能完成的事,它需要一个长期的过程才能达到较高的水平,建立并完善相应的管理制度,从平时的基础工作着手,及时发现问题,汇报问题,分析问题并解决问题。
3.预防计算机病毒的袭击。加速信息安全管控方法的建设,在电力信息化工作中,办公自动化是其中一项非常重要的内容;而核心工作业务就是电子邮件的发送与接收,这也正是计算机病毒的一个非常重要的传播渠道。因此,必须大力促进个人终端标准化工作的建设,完善人终端补丁程序并实现病毒软件进行自动更新、自动升级,不得随意下载并安装盗版软件。加强对木马病毒等的安全防范措施,对用户访问实施严格控制。
4.由硬性管理逐步转变为知识型管理。传统的安全管理大部分采取的是一种硬性的管理手段。在当今知识经济的时代,安全管理应当以知识管理为主,从而使得安全管理措施与手段也将愈来愈知识化、数字化以及智能化,促进信息安全管理工作进入一个崭新的阶段。
5.加强信息安全应急及其汇报制度,进一步完善信息安全应急预案,并且加强演练。严格规范信息安全事故通报程序,对于隐瞒信息事件的现象必须严肃查处。对于国家以及企业信息安全运行动态及时加以通报,强化对事件的分析,及时信息安全通告。对于已经制定的相关预案以及安全措施必须强化督促实施,进一步加强信息安全技术督查队伍的建设,提高信息安全考核与执行的力度。
三、结语
网络安全是一个系统的的管理问题,任何一个漏洞,都会导致全网的安全问题。对于广大供电企业而言,电力信息系统的安全工作与生产安全工作同样重要,电力信息安全也是国家安全的一个非常重要的组成部分。所以,积极开展信息安全技术的研究,进一步完善电力信息系统的安全体系,对于提高电力系统安全平稳、经济高效运行以及加快"数字电力系统〃的建设步伐,都有非常重大的现实意义。
参考文献:
[1]Christopher信息安全管理[M]北京:清华大学出版杜,2005.
[2]王瑞军,冼沛勇实现企业网络信息安全的具体方法[J].计算机与网络,2005(z1):87~89.
篇5
【关键词】CA证书认证 体系设计 非功能性技术设计 内外网统一安全接入――P2P VSN虚拟安全域 社会工程学入侵
目前大部分市区级政务信息网络主要着承载政务办公数据流系统、对公众提供业务办理等系统以及基本的互联网访问权限。随着政务信息业务系统业务逻辑日趋复杂,体量日益庞大,在政务信息系统的风险控制,安全运维成本,科学管理,方面将迎来一个全新的战场。
当前政务信息系统有或部分有以下问题:
区县的相关管理、运维人员能力匮乏,网络安全知识相对较落后,对全局政务网的硬件服务器、存储、数据库软件、应用服务器中间件、相关政务信息业务系统并没有做到了如指掌不能完全驾驭全局运维与安全保障。在出现故障时无法从业务角度快度锁定故障起源点,无法对故障进行深度解析并提供完整解决方案并实施。
区县政务信息系统是没有统一的认证授权并各自为政,无法做到访问控制,没有USB-KEY,CA证书认证等技术融入,病毒非常容相互间在各个系统中传递感染,重要数据岌岌可危;区县政务网基本没有全网的日志审计和客户机上网行为管理的,各种繁杂的应用安全系统设备产生的安全事件以及网络安全行为监控各自独立,冗余度过高,没有科学的审计,有效的整合,出现问题业务系统管理员根本无法防御爆炸式连锁攻击,安全风险系数极高。外网办公接入设备直接接入业务网,没有对过程数据流进行监察审计,业务数据在网络中的传输缺乏近乎透明传递,安全隐患非常严重。
政务信息网络发生故障或者爆发大规模病毒攻击时,无法精准锁定攻击源头,从根源控制攻击,整个处理过程也缺少科学的提高故障解决手段,缺少应急预案,缺少专家应急小组。
这些问题必须且毋庸置疑的解决和改善,应采用以下技术和策略:CA证书认证体系设计,非功能性技术设计,内外网统一安全接入――P2P VSN虚拟安全域,USB-KEY,动态短信密码,一次性口令等方式,堵着社会工程学入侵缺口。
1 政务信息系统及网络安全运维的实践
实现终端内外网统一接入:整合梳理办公内网和Internet网络的用户认证、访问授权、资源权限等问题,彻底不留隐患的有效的解决办公内网的安全接入和Internet网络安全接入,彻底清除未授权终端非法用户对政务信息系统的存在威胁,确保了政务业务系统的数据在政务网络中安全数据流传输的可靠性。
完整的用户行为和关键政务信息系统数据流日志审计,记录并保留一个月以上的用户上网行为是非常有必要的,在庞大的用户痕迹日志信息中进行初步数据挖掘,能发现潜在的安全隐患,防患于未然,将安全隐患控制牢牢控制,并扼杀。若已发生安全事故,可迅速定位事故爆发点,妥善快速解决问题,如事故造成严重的财产损失,可提交公安机关进行取证。
定期由专业安全运维第三方服务公司提供专家级业务报告,为下一步网络优化提供建议,保障网络持续、健康发展、安全:对整个被监控网络能够提供全面安全健康状态检测报告。报告内容包含客户机非安全访问记录、并发数异常记录、带宽控制效果、攻击发生统计等等。
2 政务信息系统及网络安全运维建设
2.1 政务信息系统建设内容应涵盖以下方面
建立覆盖区县政务信息系统所涉及的硬件服务器设备、存储设备、核心网络链路拓扑、政务业务系统结构、数据库并发数据链路流和中间件异常并况的综合管理安全运维平台,包括集中授权管理中心、面向业务的精确带宽流量控制系统和业务服务中心,系统应具备完整业务功能和良好伸缩性。
实现集中授权管理中心,建立集中安全管控平台:构建全网集中的用户账号管理、认证管理、授权管理、日志审计,为内外网用户提供统一的接入服务,加强内控管理,并且为精确带宽流量控制系统和业务服务管理中心提供管理控制依据。
面向业务的带宽流量控制系统:构建业务网络分析、净化、控制系统,进行全面的流量监视、净化和控制,有效提高链路的带宽利用率,保障重点业务的网络质量。
2.2 CA证书认证体系设计
为切实做好政务信息系统安全认证工作,提高各个区县网络安全保障水平和对应用系统的防护能力,建立CA证书认证体系。
遵循“建设政务信息系统统一的身份认证体系,为构建政务网络信任体系奠定基础,提高应用系统安全保障和防护能力”的目标,保证数据的完整性和保密性,确保用户来源和行为的真实性和不可否认性。
2.3 内外网统一安全接入――P2P VSN虚拟安全工作域
建立P2P构成的虚拟安全域,确保政务信息业务应用环境的安全性。
通过集中安全管控平台,用户终端无论在企业网内或是在互联网中,只需要能够在网络层与安全网关之间可达、通过身份认证后即可建立P2P VSN虚拟安全工作域,借由端到端的加密隧道与授权业务系统进行通信。
2.4 防止社会工程学入侵渗透
在以上的技术应用可以阻止90%以上的黑客攻击,但是有关信息系统及其网络安全的问题是矛与盾永无休止的话题,事实上,没有任何技术能防范社会工程学攻击。这就是安全方面做薄弱的环节:人!
政务信息所有工作人员都应该进行定期前言安全知识培训。
政务信息系统所有业务干系人都应懂得基本的安全策略,策略是指导业务人员行为保护政务信息系统与敏感信息所必须的规则。
参考文献
[1]张丽丽.新常态下推进“互联网+政务服务”建设研究――以浙江省政务服务网为例[J].浙江学刊,2016(05).
[2]冯巧玲.IPS在电子政务系统中的部署与实现[J].西安文理学院学报(自然科学版), 2015(02).
[3]刘邦凡,关梦颖.电子政务的信息安全立法[J].电子商务,2014(01).
篇6
关键词:计算机;安全管理;现代通信
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2016)19-0016-02
随着网络时代的到来,尤其是移动互联网的日益普及,人们的生活与信息网络的交际日益紧密,信息安全方面的问题“应运而生”,不法分子利用计算机来从事窃密、盗窃等犯罪活动已然成为影响世界的一大共同难题。在现代通信领域中,网络安全上的技术应用包含有诸多内容,要用到几何管理技术和通信方面的技术应用,有效避免网络存储过程中的信息窃密以及网络传送过程中信息遭到毁坏,从而实现安全的现代通信。
1 现代通信领域中的计算机安全管理概述
与以往的通信相比,现代通信领域的发展健全通常都离不开计算机技术提供强大的技术支持和网络环境塑造。计算机技术极大丰富了通信的内容结构,提高了现代通信中的数据传输效率,是现代通信有别于传统通信的重要表现[1]。与此同时,互联网的开放性也让计算机技术的运用给现代通信带来了安全方面的挑战,制约了现代通信行业的健康稳定发展。
从具体的应用角度来讲,现代通信中的计算机安全管理是指通过特定的措施来确保网络环境的安全性和完整性,包括对网络的控制和管理等方面的内容。同时,保持网络信息的私密性也是网络信息安全的重要内容。要做好通信网络中的计算机安全管理通常要两个方面入手,首先是物理方面,通过一系列措施的运用,确保通信设备设施在运行过程中不会出现物理性的损害以影响通信安全,确保数据运行具有必要的完整性。其次,从逻辑层面出发以保证网络信息的完整和安全,并严守保密性。在现代通信工作的计算机应用安全管理的实际工作过程中,我们通常需要在这两个层面科学结合,确保计算机安全管理落到实处。
2 涉及计算机安全管理的配套举措
2.1 接收电子邮件的安全处理
在企业的生产经营过程中,接收电子邮件是一项非常重要的内容。现阶段,很多电子邮件都会依附着各式病毒,倘若不能及时发现处理,会给企业的生产经营带来非常重大的安全隐患。面对这种情况的出现,企业的相关部门要重视电子邮件的接收工作,即刻删除未知邮件,也可以用杀毒软件对其进行杀毒处理[2]。此外,企业要定期向员工发放经过更新的病毒库,并强制落实,让每一位相关员工都能具备高度责任感,并定期更新升级病毒库,进而实现邮件接收等工作过程中的网络信息安全。
2.2 安全漏洞防范
随着计算机网络应用的飞速发展,各种安全漏洞也呈现层出不穷的姿态,不法分子往往都是通过各种社交手段渗透到企业内部,降低企业的安全警惕性,进而对企业的通信设施进行攻击破坏。另外,企业还要防止企业内部员工的信息泄露。有些工作人员的技术水平较低,甚至有目的地对敏感材料进行泄露,这些都会给企业带来严重的信息安全隐患。
2.3 设置密码要注重安全
相关研究发现,不少企业在通信安全方面都面临着密码泄露的隐患。造成密码泄露问题的主要原因是企业相关人员因时间有限把密码设施的过于简单,或者是因为把相关密码进行了共享。这些过于简单的密码因难度太低,不法分子可以很容易猜出密码,并进入系统内部对企业资料进行盗窃[3]。此外,随着计算机技术的日新月异,不法分子违法技术也水涨船高,他们通常会利用电话以及电子邮件等手段蒙蔽企业员工,直接从员工手里获得密码。这些密码安全隐患都会对现代通信安全带来严重影响。
2.4 安全机制的建立
对于现代通信领域来说,安全防护机制的建立是至关重要的。企业的安全防护机制的建立,需要从多方面入手,包括相关政策制度的制定,并且需要给新员工培训相关内容,以书面形式把安全防护机制的相关政策、制度告知员工,并要确保每一位员工都能签字确认。另一方面,企业的网络技术人员要注重先进通信技术的应用,构建高技术含量的通信安全防护机制,做到快速处理企业设置中出现的各种安全漏洞,并能及时向上级领导部门上报当前可能出现的各种状况。
3 计算机安全管理及其在现代通信中的应用
3.1 制定应对入侵攻击的紧急处理机制
不法分子利用企业通信系统中出现的安全漏洞,运用高超的计算机技术入侵通信系统,攻击系统运行,破坏企业的通信机构,窃取数据库中的信息数据和企业的保密资料,这对企业的安全影响巨大,会给企业带来不可估量的损失。
针对不法分子的攻击入侵,企业要充分利用好通信网络安全产品,例如安全防火墙、企业网络入侵检测系统等等。相关安全产品的合理利用对企业的网络运行状况进行有机监控,及时准确地找出攻击对象,并采取有效措施及时处理并做好相对应的防范。此外,企业要充分考虑紧急情况下能做到恢复系统,为此企业要构建出应对相关状况的应急预案机制。
3.2 强化开放的网络服务方法
开放的网络服务有助于提高通信企业的服务质量,对广大用户的日常生活便利起到积极的推动作用,是改善通信服务的重要举措[4]。但在服务网络开放的同时,不法分子往往会利用开放的网络服务来攻击企业的通信系统,因此,企业要对开放的网络服务方法进行强化。
企业要在此过程中充分利用因特网的安全策略,其中主要包含两方面的应用,其一是要快捷广泛地利用好网络信息资源的同时,确保自身网络系统不会受到外部攻击,其主要方法是接入技术的运用,充分利用好防火墙技术;此外企业要对WEB、FTP服务进行严格审查,强化内部网络用户相关责任感,对于网络系统的特殊情况,还要积极充分的利用好审计手段等相关技术。
3.3 网络防病毒能力的强化
互联网世界浩瀚无边鱼目混杂,各种元素带着各种目的参与到互联网世界,不法分子更是会乘机游弋其中,利用病毒伺机作案。不法分子往往会制作出各种无限裂变复制传播的病毒对企业的通信网络进行攻击,破坏系统运行,窃取数据信息。
针对病毒入侵隐患,企业要切实安装好病毒防火墙系统,及时有效地对现代通信中各式网络信息实行过滤。安装好相关安全系统之后,可以试试监控网络运行中的各种数据概况,对网络服务器中的相关文件进行实时扫描,还能在工作站中加装防病毒卡。如果出现特殊情况,还能用过科学合理的权限设置,对有关文件及网络目的访问权进行有效控制,这样一来,重要文件的传输、存储和利用,职能在确保信任、安全的服务器中才能打开、执行。
3.4 有效切断病毒的传播途径
由于网络运行过程中不能避免上传下载,因此各式U盘、硬盘的利用变得习以为常,而不法分子通常会在服务器中上传各种隐藏的病毒文件,相关操作人员稍有疏忽,便会把病毒下载到自己的存储设备当中,再在其他终端上传文件的时候,便会造成病毒的上传,而且会交互感染,影响尤为严重。不法分子正是利用这种线下传播,避开企业的网络病毒防火墙,把病毒移植到系统中,因此,企业要切实切断病毒的此类传播途径。
企业相关人员在U盘和各式硬盘的使用过程中要尤为注意,必须实时对其进行病毒查杀。在网络系统中出现不确定的网络推送页面,切忌随意接受。倘若发现U盘、硬盘灯已经感染病毒,并且在进行病毒查杀之后仍不能保证其安全性,这时就需要对其进行必要的格式化处理,这样才能及时有效的切除病毒等不安全元素的传播途径。
3.5 严控网络访问控制权的授予
对于通信企业的网络服务系统中,安全隐患的由来通常与网络访问是离不开的,倘若不能做好入网控制,不法分子便会把攻击文件伪装成普通的入网用户,伺机把病毒文件上传到网络系统当中,再由其他用户的疏忽操作来形成大肆入侵攻击。而网络控制权限的监管不严,会造成非法操作盛行,极大增加企业的网络安全防范难度,对企业的网络安全运行带来重大隐患,甚至会带来不可估量的损失。
对于通信企业来说,严格控制好网络的访问权限,是对企业网络安全运行的基本防护和有效的保护措施。通过相关人员实践研究和大量的实际网络安全实例可以看出,网络访问权的管控,可以极大促进净化互联网信息资源的有效性,可以极大减少互联网信息系统的非法入侵和非法攻击,在出现特殊情况时能快速有效的进行处理,最大限度减少非法入侵带来的损失,能切实保护企业的现代通信网络安全。访问控制权的授予是控制网络访问的技术主体,涵盖诸多技术类别,例如入网控制权限技术、网络控制权技术等等。
4 结语
综上所述,在互联网技术应用范围不断扩大的今天,在信息化网络通信不断健全的当下,计算机安全管理和信息保密也势必越来越受到广大用户的密切关注。现代通信的发展创新离不开功能强大的计算机技术和相关系统,因此,要确保现代通信事业的健全发展,相关企业必须以计算机安全管理作为通信业务发展的基本前提,要提升现代通信企业的业务发展水平,净化通信行业的网络环境。
参考文献:
[1] 黄飞. 计算机安全管理及其在现代通信中的应用分析[J]. 信息通信,2014(6):148.
篇7
关键词:企业内部控制;信息化;安全管理
随着信息化技术的发展,企业信息化工具扩展度越来越高,扩展面越来越广,大大提升了企业运营及管理的便捷性,企业依赖系统大数据的信息处理和分析来提升效率,信息化技术应用为企业创造了不可替代的价值。企业财务系统、资源管理系统、办公系统等形成企业信息化综合平台,随着信息数据的大量输入、输出、交换、应用,信息处理的便捷使企业信息化安全工作越来越重要。任何信息安全方面缺失或弱化都可能造成工作的中止、信息的丢失或泄露,使企业产生影响或经济损失,以信息化平台为重要工作工具的单位,影响更加重大。4G时代的到来,为企业信息走向移动化铺好了平台,也为企业信息安全管理提出了新一步要求。
我国的《企业内部控制基本规范》中提到信息化安全管理问题,该规范第四十一条指出:“企业应当利用信息技术促进信息的集成与共享,充分发挥信息技术在信息沟通中的作用。企业应当加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制,保证信息系统安全稳定运行。”所以信息化安全管理应为现代企业内部控制管理重要内容,如何优化信息化管理,提升信息化安全,成为需要思考的问题。
一、信息化安全管理分析
企业信息化安全管理包括物理安全管理、网络安全管理、系统安全管理、应用安全管理等,内部控制的实施有助于预防信息化管理下企业信息数据尤其是财务数据丢失的风险,降低借助信息系统舞弊的可能性,保证企业各项经营活动有效运行。企业应通过企业信息化安全工作分析,定期进行信息化安全工作检查,落实信息化安全内部控制管理。
(一)物理安全内部控制管理
1.硬件安全
信息化处理以电脑、服务器、存储设备、网络设备、安全设备作为硬件设备,电脑等信息终端设备不完善或故障会影响办公;服务设备如服务器、存储设备的损坏,会直接造成数据的丢失和数据处理的中断;网络设备如路由器、交换机的损坏,会让系统停止。没有安全设备或安全设备不工作会让系统受外界所攻击或盗取重要信息。企业信息化安全管理应对硬件安全有应急预案,增加必要的备用设备,如服务器、路由器、交换机等,设备一旦损坏,备用设备马上进入工作状态,使业务不中止或恢复时间短。设备应支持双路电源供电,对于有可能的停电,企业应准备和启用备用电源。
2.信息设备环境安全
环境安全包含防火、防盗、温度、湿度、洁净度等环境安全,只有安全的信息设备环境才能保障信息设备正常、高效工作,防范设备灭失或信息损失。对于一个大型或中型企业应专门建设符合上述环境要素的机房,服务器等设备应放在机房,因机器不间断运转造成温度较高,应配备精密空调等制冷设备,确保温湿度得到精确控制,服务器的放置空间要合理,保持空气的流通并符合设备散热需求。机房配置消防报警装置、气体灭火装置,以应对突发火灾事件。机房重地应有门禁管理,确保防盗和人为破坏的发生,信息化管理人员应就机房建设及日常管理进行检查。
另外移动办公设备(笔记本电脑、平板电脑、手机)的广泛使用使设备不安全性增加,云技术、云方案不断推新应用,使移动办公增加,企业应对于移动办公设备丢失制订预案,对重要移动设备做防盗防丢失部署,以使设备被盗或丢失时由信息管理员实施远程锁定,阻止非法入侵或直接销毁设备中的数据。
3.数据安全
数据的安全分为数据保护、数据保密和数据恢复。存储设备是数据的载体,也是实施信息化企业的生命,数据丢失可以是致命的,一个安全稳定的存储设备对数据保护至关重要。重要数据应以加密存储,存储介质废弃时的完全抹除是数据保密应注意事项,可使用硬件自加密硬盘简化数据保密过程。而存储备份和恢复方案的实施是数据安全的最后一道防线,可以在事件发生后数据得以恢复。企业应及时做好数据备份、异地备份,防范火灾、地震等不可预知事项带来的数据灭失。企业应做出数据恢复预案并进行演习以应对可能的数据安全事故。
(二)网络安全与信息传输安全内部控制管理
网络提供了便捷的信息传递、快速的信息查询,实现多人多组织的便捷工作,但也带来网络风险。企业首先应做好网络访问控制,最主要的措施是建立有效的防火墙,应检查企业网络设备是否安装了有效的防火墙,防火墙的版本是否能及时最新,是否安排专门人员定期通过收集分析网络行为、安全日志等进行入侵检测,检查访问控制权限审批授予是否得当,是否对不适当的人做访问权限的撤销管理。
终端用户操作不当,如违规安装软件或互联网资讯点击可能使病毒侵入网络,故企业防止内部局域网风险,需规范终端用户操作,对网上下载文件有必要要求及管理。针对承载保密信息的电脑,企业应专机专用并禁止与外网进行连接。对于有特殊安全需求的部门可部署桌面云方案,将数据和操作安全策略放置到服务器上统一管理。企业可通过部署网络防病毒软件并实时更新保证各终端使用相同的安全策略,避免个体不正确的安全习惯,保证定期进行病毒和恶意软件的查杀和清除,保障系统不因病毒侵入而崩溃,是信息化安全内控管理的有效手段。
运营商的线路故障,可能造成整个网络信息沟通中断,虽然几率较少,但对于以信息化工具为重要手段的单位影响会很大;为防止外部网络中断,检查评估是否需要选择两家运营商,保证信息传输的正常。
(三)系统安全内部控制管理
软件是信息化实现的载体,所有信息都是基于软件进行输入、输出、运算、分析和应用的。
软件安全成为一个越来越不容忽视的问题,软件漏洞会造成信息丢失、信息泄露。软件病毒会造成系统崩溃、信息错误。提升软件安全性,是企业信息化建设的重要环节。
企业的软件安全管理应检查是否使用可靠的系统操作平台软件,比如:Windows、Linux;是否安装有效的防病毒软件并及时更新,比如:卡巴斯基、诺顿等;是否选择安全保障高的信息化应用系统软件,比如:SAP、Oracle、金蝶、用友软件等;信息化软件是否有稳定后期保障服务。完善的软件是信息化数据安全和信息化功能应用的保证。
(四)应用安全内部控制管理
1.系统平台应用内部控制管理
企业信息化最主要应用是使用系统平成会计信息自动化处理与分析、实现业务流程记录与信息传递。企业应做到信息化平台统筹规划,使财务信息化和业务流程信息化充分结合,提高信息处理效率及信息管控力度,将企业的管理思想有效置入信息化流程使信息化平台成为企业内部控制管理的有效工具和手段。
企业信息化系统平台应用工作包括系统上线实施建设和系统日常运维管理,都有内部控制风险点管理。系统上线实施建设为系统平台应用的基础,对企业信息化应用起到关键作用。对于信息化应用程度深的企业,若实施不成功会给企业带来经济损失乃至巨大风险,为内部控制管理重大风险点,应予以高度重视。企业应制定详细的工作计划及实施方案,优化系统流程,制定编码规则,项目经理应实施有效的进度管理以保证系统上线成功,系统上线后应对项目进行验收,对应用中发现问题予以改善。系统日常运维管理(包括变更管理)是信息化有效稳定运行的保证,企业应制定管理制度进行规范化管理,信息化管理人员做好工作表单记录,通过检查表单记录评估信息化工作开展是否得当。
系统平台应用离不开系统流程与系统授权管理,只有信息化系统操作流程及权限设置合适,内部控制管理工作才能有效开展,风险得到即时控制。系统流程管理要求系统流程与企业管理流程文件相符;系统流程设置应合理有效,以企业增值及反应速度为原则,在实现内部控制基础上尽量做到流程简化,体现内部控制管理的全面性、重要性、制衡性、适应性和成本效益性。授权管理为企业内部控制管理关键点,如何做好系统授权?首先,授权人适岗,要求系统授权人或批准人对公司流程掌握,对内部控制管理有清醒的认识,对不相容岗位分离有清楚的把握,保证授权批准人与执行人分离,业务执行人与审核人分离,执行人和记录人分离,物资保管人与记录人分离,执行业务人与物资保管人分离;其次,配备必要的授权审核人员,授权审核人员可以是企业内控管理人员也可以是企业制度制订及管理人员,在系统流程制订时对授权设置进行审核,定期开展授权审计,以发现授权中问题,及时更正;再次,授权管理包括授权工作也包括撤销授权工作,需及时做好离职离岗人员系统权限调整,以保证系统操作人权限适合。
鉴于系统平台将企业信息做了大规模的集中,信息泄露的风险加大,所以对于系统数据、信息引出(下载)的权限管理应高度重视,尤其是关键数据及信息引出,避免信息批量式流出或关键信息被不适合人使用,给企业带来灾难性损失或技术成果和管理成果被他人窃取。
2.密码内部控制管理
服务器、电脑、平台系统进入都需要密码管理,企业应要求操作人员有效设置密码,不得将密码告知他人,定期更换密码,企业应检查企业员工外出离岗时有无告知他人密码协助处理流程的行为。随着技术进步,企业可通过技术手段实施密码管理。
3.电子邮件和即时交流工具安全管理
信息传输的便捷性使信息化风险加大,信息传输风险包括重要信息流出后不受控制及内部数据信息通过电子邮件、QQ等即时通讯工具方式泄露,企业应评估重要岗位、重要文档信息流出的风险度,必要时使用信息安全软件管理,进行重要文档加密或对特定区域信息加密管理;通过网络行为管理软件跟踪敏感文件和信息的泄露,使企业信息安全得到控制。对于即时通讯系统如QQ等可能带来的病毒和入侵风险,企业可根据信息化管理的重要程度确定是否部署内部专用即时通讯系统予以防范。
(五)随着信息技术的不断发展与进步,各种云平台服务推出,服务提供商可以提供专业的机房、服务器、存储、网络、信息化平台等供企业租用,企业只需付一定的服务费,为企业解决大部分信息化安全问题。使用云平台服务要做好服务商的选择,对于关键信息和数据采用做好方案选择。
二、结语
篇8
(一)信息安全组织临时化
通常,制造型企业只有在发生了信息泄露、病毒攻击、系统破坏等信息安全事件时,才会临时从信息技术部和业务部门抽调人手处理和解决信息安全事件.出现新的信息安全要求时,才会临时组建项目小组,根据新的信息安全要求制定解决方案并实施计划,项目完成后,临时小组就会解散,没有人会继续跟进和执行解决方案.由于没有定期的信息安全评估,安全计划不断地重复开始和结束,带来大量的人财物重复投入,这将导致安全计划成本不断增加,企业的工作效率不断降低,信息安全防护也未得到有效提升.
(二)员工上网无限制
虽然制造型企业为员工上网提供了用户名及密码,并且对其登录的网站进行了监测,但是员工在工作时间还是可以无设防地利用外网进行网页游览、网络社交等行为,并且使用一些网站的免费邮箱随意地接收和发送电子邮件,这些给黑客、病毒、钓鱼软件等创造了对企业内部网络攻击的机会.于是,员工在不了解原因的情况下,使得企业的信息被泄露或者内部网络瘫痪,从而影响企业的正常工作,造成企业资产的损失.
(三)个人移动设备(BYOD)使用泛滥
在制造型企业的办公场合,员工会携带个人移动设备(BYOD)如笔记本电脑、平板电脑、智能手机、移动硬盘等进行办公.企业员工可以较为随意地使用这些移动存储设备对内部文件进行拷贝,并且可以使用移动设备接入企业内网的无线WiGFi,并拥有一定程度的内网数据读取权限,这样做虽然节约了企业的办公成本,提高了办公的效率,但是也增加了企业内网病毒感染及遭受黑客恶意入侵的风险.
(四)信息安全防护水平有限
出于性能、技术等因素的考虑,加之国内自主研发的信息安全产品较少,目前进口的信息安全产品受到许多制造型企业的广泛采用.尽管这些企业的信息安全需求以此得到了满足,但近几年来,进口产品设备故障的频繁发生也对制造型企业的业务带来了不同程度的影响.同时,进口信息安全产品已经占据了这些企业信息系统的关键节点,这使得企业的商业机密时刻处于高危状态.不仅如此,部分制造型企业仍旧停留在使用免费的个人版杀毒软件阶段,而这些软件不仅无法解决病毒交叉感染的问题,也没有统一的管理平台对企业内网的安全系统进行统一的升级与维护.另外,信息安全产品在企业内的无序堆叠不仅使得各安全产品存在兼容性问题,同时也使得各产品厂商只能提供与自己产品有关的技术支持,导致企业对问题很难进行跟踪和排查.最后,企业电脑终端上的防毒程序未开启或者未升级至最新版本,以及系统漏洞修补的不及时都造成了多病毒大面积入侵企业内网.
(五)信息安全事件处理不及时
制造型企业在发生信息安全事件时,即使有相关的信息安全管理产品,但无法迅速定位安全事件,更无法快速进行安全事件响应处理,常处于混乱、无序的运维管理状态.由于企业的安全管理人员无法全面了解整个企业网络中正在发生的内部越权访问和外部攻击,出现问题时,他们多表现得无从下手或者手忙脚乱.而且,企业各部门各自为政,对发生信息安全事件无法进行统一规范的快速处理.
二、制造型企业信息安全薄弱的原因
(一)员工信息安全意识淡薄
制造型企业员工信息安全意识比较淡薄,主要表现为企业管理层没有充分认识到信息安全的重要性,没有将信息安全管理工作与企业生产安全管理工作放在同等重要的高度来对待,更没有把它作为日常管理工作的一部分.管理层之所以没有信息安全意识主要是因为信息安全不会直接为企业带来经济效益,反而需要投入大量的时间和资源,尤其是对于受部门业绩压力和资源限制的业务部门来说,他们不愿意把时间和资源放在信息安全防护工作上,并且他们还认为不采取安全防护措施不一定会造成损失.普通员工则表现在他们不了解什么信息安全,不知道遵守和执行信息安全制度对自己及企业带来的影响,缺少必要的信息安全教育与培训,有意或无意地导致信息安全事件的发生.
(二)信息安全技术体系不完善
信息安全防护水平受到限制除了受上述因素影响外,还有就是没有完善的物理安全、运行安全和数据安全相统一的信息安全技术体系,具体体现在企业使用的软件设计存在缺陷或者技术漏洞、杀毒软件不及时更新;信息系统设计没有以风险评估为基础、业务流程描述错误或漏洞、数据访问权限设置不清晰、关键数据没有备份等因素;物理安全边界不明确、设备或存储介质缺乏安全措施、电缆损坏、不可抗力的自然灾害等.
(三)信息安全事件应急响应机制缺失
信息安全事件处理不及时很大程度上是因为没有建立信息安全事件应急响应机制.制造型企业没有对信息安全事件进行分级响应与处置,也没有结合企业的实际情况通过预测、评估和分析安全事件对企业造成的后果程度进行等级划分,并针对不同的安全事件制定相应的应急预案.同时,大部分制造型企业在处理信息安全事件时更多依靠的是人的经验和责任心,缺少标准化的信息安全事件处理流程,以及必要的审核和工具支撑.
三、改进制造型企业信息安全的对策
通过上述分析可知,信息安全问题不仅出现在技术方面,还更多地出现在管理方面.因此,为了保障企业的业务持续运行,加强企业的股东、客户以及服务提供商对企业信息安全的信任,增强企业的核心竞争能力,制造型企业可以将管理、技术和运维三方面有效地结合起来,促进企业的可持续发展.
(一)建立健全的信息安全组织层级结构
企业信息安全组织架构的建立是围绕企业信息安全管理的战略目标,对企业的信息资源、人力资源、安全技术产品等进行合理安排和配置,构成相互协作的有机整体,使企业的信息安全活动协调有效地运行.制造型企业通过建立多层次、跨部门的信息安全决策委员会、信息安全工作部、信息安全执行部的层级结构,不仅能在企业中形成一张网,覆盖企业的各个部门,有利于信息安全措施的实施和针对信息安全事件的快速响应,而且还能为后续建立信息安全管理体系提供组织上的保证.信息安全决策委员会主要负责制定信息安全制度和策略、明确各部门信息安全职责、协调各部门实施信息安全控制措施以及信息安全活动的实施等.信息安全工作部由各部门负责信息安全管理的工作人员构成,实施决策委员会制定的信息安全策略、制度和方针,并负责各部门的信息安全管理工作.信息安全执行部具体有三个部门,即信息安全规划部、信息安全监督审计部、信息安全运行保障部,并且由各部门进行业务支撑。
(二)加强人员教育培训和规范管理
信息安全最大的威胁不是来自于企业外部的攻击或是企业信息安全技术的缺陷,而是企业人员缺乏信息安全意识.为了能够有效地提高企业员工的信息安全意识,企业需要对员工进行完善的信息安全教育培训,这不仅能提高员工的信息安全保护技能,还能更好地保护企业的信息安全.制造型企业在制定信息安全教育培训内容时,可以根据员工在企业中所处的职位高低和工作性质的不同有针对性地制定.对于企业管理者而言,教育培训以信息安全核心知识、风险管理、信息安全政策等为主;企业的信息技术人员,则是以信息安全技术教育培训为主;一般员工结合所在部门的业务特点以信息安全意识培训为主.除了对企业的人员进行教育培训,还需对其进行规范化管理.对掌握产品生产、原材料采购等核心信息的管理者实施更加严格的信息安全监督管理制度;对负责计算机系统及日常维护的人员界定其工作权限;规范化管理员工的上网行为,合理利用网络资源,避免人为的网络安全隐患.同时在规范管理中引入绩效考核机制,这样不仅使信息安全管理的指标量化,而且,通过信息安全监督审计工作组对员工信息安全工作进行考核,使员工更加重视企业信息安全.因此,加强企业员工的教育培训和规范化管理,不仅可以营造企业信息安全文化氛围,还可以约束员工的行为,减少人为因素导致的信息安全事件发生.
(三)完善信息安全技术体系
信息安全技术是企业信息安全的保障,完善的信息安全技术体系可以防止由于技术因素导致的信息安全漏洞,避免给外部攻击者留下可乘之机,从而减少技术因素导致的信息安全事件发生.制造型企业需从以下六个方面去建立完善的信息安全技术体系,并采用“适度防御”的原则,选择合适的安全技术与产品,形成企业适用的安全技术防线.一是保障并完善数据安全,制造型企业需通过加密的手段保护企业系统中数据的机密性和完整性,从而提高数据访问的抗抵赖性,同时加强数据的异地灾难恢复机制,实现本地数据的实时远程复制与备份,避免本地系统遭受灾难性破坏导致企业系统中数据的遗失.二是保障并完善终端安全,制造型企业除了要采用全面可靠的防病毒体系和防火墙技术外,还需制定严格的移动终端设备使用制度,一方面是为了避免内部员工利用移动终端设备随意拷贝企业内部文件,导致企业内部信息向外泄露,另一方面是为了防止移动终端设备携带的病毒漏过企业系统设置的防火墙而直接在系统内部传播.三是保障和完善应用安全,除了提供用户名和口令外其他身份验证机制,必要时还需支持双因素认证和具备登录控制模块,同时在日常工作不受影响的情况下,控制员工访问权限,减少越权操作的现象,最大限度地保障个人系统的安全.四是保障和完善网络安全,制造型企业还需通过内外部署相应的网络与信息安全设施使计算机设备的物理管理得到加强,并对入侵检测系统和漏洞扫描系统进行内外部攻击和误操作的实时保护的安全设计,使系统免于网络攻击的同时,也提升了系统管理人员的安全管理水平.五是保障主机安全,除了采用系统扫描技术对操作系统层设备和系统进行智能化检测来帮助网络管理人员高效地完成定期检测和操作系统安全漏洞修复的工作,还应采用系统实时入侵探测技术来监控主机系统事件,检测攻击的可疑特征,并给予响应和处理.六是保证物理安全,制造型企业需要保证机房与设施的安全,针对环境的物理灾害、自然灾害和人为的蓄意破坏采取安全措施,并通过防盗、防毁、防电磁干扰来保证设备的安全.
(四)建立信息安全事件应急响应机制
篇9
一、以信息化手段为支撑,积极推进国际化工城建设
围绕国际化工城的战略定位,紧紧依托区现有化工产业基础、物流配套设施和战略枢纽的区位优势,充分发挥大化工企业的引领作用,强化生产、经营、物流、金融和信息资源的整合。
1、加快信息基础设施建设,完善信息化发展规划。围绕区域功能定位,协调各大通信运营商实施管线、基站、机房等信息基础设施的集约化建设。组织编制亭林等镇的信息基础设施专业规划,全年共建设管线120多沟公里。全区宽带用户9.8万户,出口带宽30G,固定电话装机20.9万户,移动电话52万户。区域内信息基础设施得到进一步完善,服务能力得到进一步提高。
2、协调建设“化工品电子交易平台”。根据国务院《关于加快电子商务发展的若干意见》和市信息委《关于组织实施BtoB电子商务专项试点工作的通知》的精神,协助化工品交易市场经营管理公司开展“化工品电子交易平台”建设。该平台可实现产品数量、价格的和更新、网上交易;洽谈、交易合同撮合;合同处理与查询、成交信息查询、交易统计等的电子交易功能,已获得中国石化石化股份公司、中国石化化工销售分公司的支持,并得到了市信息委的专项资金扶持。
3、举办企业信息化系列培训讲座。我们对全区的规模企业进行了调研,摸清其信息化基本状况,分析其信息化观念和形势。结合调研宣传,引荐软件研发企业进行信息产业资质的申报,并在门户网、企业网等网站设立信息产业政策相关栏目,宣传和解读各类信息产业政策,供企业参考和应用。年度,共举办企业信息化系列培训讲座4次,130余家企业的200多名企业管理人员参加了培训。
二、以农村信息化为抓手,深入推进社会主义新农村建设
按照原国家信息产业部和市信息委的试点要求,认真组织开展国家农村信息化综合信息服务试点工作,进展顺利。
1、加强农村信息化宣传,明确农村信息化建设目标和任务。运用多种媒体和渠道,因地制宜地宣传农村信息化建设的意义,组织召开了区农村信息化现场推进会,回顾总结前期我区农村信息化主要工作情况,并对下一阶段的工作进行部署。市信息委领导对我区的农村信息化工作给予了高度评价,充分肯定了农村信息化建设的“模式”。
2、整合农村信息化资源,扩大“为农综合信息服务站”建设。按照统一网络、统一场所、统一管理的原则,综合考虑各方面要求,实现集约化建设和规范化管理。在去年完成廊下镇、枫泾镇、卫镇和吕巷镇的55个村为“农综合信息服务站”建设的基础上,今年进一步扩大覆盖面,又建成了69个“为农综合信息服务站”,覆盖到全区124个行政村(5个农村居委会)。基本体现了为农综合信息服务站“为民办事、合作医疗服务、文化娱乐、政府管理、教育培训、便民服务”六大功能,推动了农业生产、农民生活、农村管理的信息化。
3、开发“二大”应用平台,切实推进农村信息化应用。
建立全区统一的城镇政务管理公共服务平台。实现城镇政务综合管理、城镇党务管理、村务管理等应用,并完成对区人口库系统、社区事务受理系统、区级OA系统等应用系统的整合,达到资源充分利用和便民利民的目的。
开发涉农综合信息服务平台。以市农委等条线资源为支撑,深入挖掘本区个性化、特色性的涉农信息资源。对外,通过农业网、农信通、农产品交易平台等多种渠道,为农业龙头企业、种养业大户、农产品购销大户、农村经纪人和广大农民提供农业政策、农业技术、农产品市场信息等各类信息服务;对内,通过建设规模经营户管理系统,有效落实农业补贴,提供辅助决策等服务。规模经营户管理系统被评为年度市区县信息化优秀成果奖。此外,通过建设蔬菜管理子系统,将优质农产品加工、产品、服务等信息进行信息化管理,为农民组织化生产提供服务。
4、广泛开展农村信息化培训。为进一步提升农村的信息化应用水平和农民的信息化意识,按照本市“千村万户”农村信息化培训普及工程的要求,成立了由区信息委、教育局、妇联、农委组成的区“千村万户”农村信息化培训普及工程工作小组,对本区10个培训点进行了认定与授牌,并对各培训点的相关教师进行了农村信息化师资培训及指导,规范操作流程,确保培训质量。制定了培训普及计划并积极实施针对农村基层管理者、专业农民及有积极性的普通农民的培训工作和针对普通农民的宣传工作,经过精心组织与合理安排,目前已完成3066人的培训和20139人的宣传普及工作,分别达到年度培训和宣传普及指标的110%和101%。
三、以发展信息产业为先导,努力促进经济发展方式的转变
1、认真开展企业服务月活动。严格按照区委、区政府的要求,紧紧围绕“宣传、引导、服务、交流”的宗旨,认真做好了信息产业政策、专项资金申报、“双软”资质认定等方面的宣传和服务工作,使企业受惠于产业政策。加强了传统企业和软件企业间的合作与提升,对处于游离状态的从事软件开发的企业做好了规范和引导服务。通过举办信息化培训与讲座等系列活动,为企业营造了互动交流和学习的平台。
2、认真开展软件和信息服务业统计工作。按照《软件业统计报表制度》,对注册于我区的软件认定企业进行按季度定期网上报表统计,根据获得的相关运营指标,全面分析和掌握我区软件产业的基本情况、总体规模和发展现状等,并对我区信息产业运营状况进行了量化分析,为进一步开展和落实企业信息化工作提供依据,也为履行服务企业的职能提供数据基础。年度,共有40家软件企业季度报表数据进入统计系统,其中软件认定企业和系统集成企业33家,非认定软件企业7家。
3、完成了软件认定企业年审、软件和集成电路专项资金申报初审工作。根据《软件企业认定标准及管理办法(试行)》有关“软件企业认定实行年审制度”的要求,经自愿申报,市软件企业认定联席会议办公室对2007年度通过年审的软件企业及2007年度认定的软件企业进行了年审。年我区共有30家软件认定企业参加了年审,其中通过区信息委初审的28家软件企业全部顺利通过市信息委年审。今年又有3家企业获得软件认定企业资质,使我区获得软件认定和系统集成相关资质的企业数量已增至33家。
根据市软件和集成电路产业发展专项资金纳入部门预算管理的要求,及时组织开展了2009年度软件和集成电路产业发展专项资金项目申报初审工作。共有注册于区的13家软件和集成电路企业的项目参与申报,其中“AutoCAPP—全自动工艺生成系统V1.0”项目获得市信息委100万元的专项资金支持。
四、以电子政务应用为基础,不断提升政府的服务管理能力
1、升级改版区办公自动化系统。通过升级电子邮件系统及镇、区OA办公平台,更新数字证书等工作,有效地提高了全区办公网络平台的稳定性和安全性,提高了系统维护的便捷性。同时,政务网应用范围进一步扩大,已覆盖到全区各部委办局、区直属单位(部门)、区属企业、各医院、学校、村(居)委会,联网计算机用户已超过5000户。
2、有序推进城市网格化管理。协调各大通信运营商接入城市网格化管理平台,及时发现和处理信息管理中存在的问题。促进区、镇(街道)二级城市管理相关信息资源的共享,不断增强城市管理领域的统筹监管、综合分析和信息服务能力。
3、开发政务管理公共服务平台。建设城镇政务综合管理子系统。围绕城镇政务管理工作中民政事务、劳动就业等内容,建设全区统一的城镇政务综合管理子系统,形成较完整的城镇政务信息化的应用,进一步提升了社区事务的管理水平。建设城镇党务管理子系统。围绕基层组织、党员、党务等党建工作,开发全区统一的党务管理系统。建设村务管理子系统。将社区事务受理工作向村级的延伸,实现在村一级的民政事务、计生事务、残联事务三大类事务的服务。并实现一体化的村务公开信息公布。建设城镇门户及授权管理子系统。通过统一门户系统,对区内各单位的资源进行了整合,通过授权实现不同用户不同的办公平台,增强了个性化的办公平台功能。同时,将区内已有的系统和在建的系统中的数据资源进行整合,使各个系统的数据资源可以进行数据共享和资源的充分利用。
4、完成区公共服务中心机房建设。针对区公共服务中心的功能定位,我们对新大楼的中心机房进行了总体规划,充分考虑和遵循新中心机房的标准性、实用性和可扩展性。完成了地板敷设、UPS电源安装、精密空调安装、机柜安装、气体消防系统安装,大楼弱电间的网络布线以及交换机的安装和调试,下半年陆续将服务器和安全设备搬进新中心机房进行调试,将服务器群分为内网服务器群、外网服务器和托管服务器群进行分类管理,在国庆期间完成了光缆的切割。
5、拓展人口基础数据应用。一是完善来沪人员管理系统。根据人口办等相关部门的要求,对来沪人员管理系统进行了进一步完善,增加了多项统计功能,修改了部分程序,确保系统的运行稳定性。二是完善人口库系统。对原有人口库系统进行了整合,完善和丰富了统计功能,对人口库数据进行了整理和筛选,确保数据的准确性。三是开发了残疾人就业信息管理系统。建立了全区所有残疾人员信息库,并定期进行维护和更新,全区各相关职能部门通过该系统将各自掌握的残疾人员信息通报给残疾人联合会,以达到优化信息、资源共享的目的。
6、加强了区级公务网分级保护改造。为了进一步提高区级公务网的安全性,根据区保密局的要求,对区级公务网域各接入点进行分级保护改造,对原有的网络方案、保密要求进行了梳理,并制定了分级保护的改造方案。区级公务网改造实施后,能够提升区级公务网的安全性、保密性。
7、加强信息化项目管理。为了更好地规范我区财政投资的信息化项目建设和管理,统筹各政府财力渠道建设经费的使用,抓好重点项目建设,避免重复投资,促进资源整合和共享。按照《区信息化建设项目管理实施办法》,制定了相关的操作流程和审核办法,对全区信息化建设项目开展统一管理和资金审核。组织各相关单位进行2009年度信息化项目支出预算编制申报工作,并按照轻重缓急原则,对所申报的项目进行筛选排序和分组归档。
8、加强信息网络安全监管。一是制订信息安全应急预案,完善了相关的规章制度,购置了相关的信息安全设备和安全软件,完成了信息安全等级保护评定。二是突出重要时刻的安全保障,通过加强外网网站漏洞扫描,内网服务器群系统加固,健全值班制度等措施,确保了奥运期间信息网络安全。三是加强网络的日常安全维护,定时地对中心机房的所有服务器的系统进行补丁升级,加强托管网站的管理,加大网络监控力度,防治病毒和控制流量,保证了区政务网的安全、畅通。
9、全力推动社保卡的发放和应用。围绕“突出应用、强化服务”的宗旨,积极做好社会保障卡和居住证的申领、发放和补换卡工作。一是推进社保卡扩大申领工作,将社保卡发放范围扩大至0-18岁的人群,共发放社保卡23701张、婴儿卡16819张。二是认真做好敬老服务专用卡发放工作。按照政府有关部门的统一安排,为本区户籍的七十周岁以上老年人免费发放具有乘车记次功能的社会保障卡31628张。三是开展新学年学籍卡申领工作,共发放学籍卡11540张。四是办理来沪人员临时居住证65711人次,为市民补换卡8705张。
五、以政务诚信建设为重点,深入推进社会诚信体系建设
根据区“作风建设年”的总体要求,深入开展政务诚信建设。进一步增强全社会的信用意识,营造文明守信的社会环境。一是组织召开区社会诚信体系建设联席会议全体成员会议,总结部署年度工作,明确了年度诚信体系建设的目标和任务。二是指导推进全区诚信建设活动开展。组织开展3.15消费者维权宣传活动。指导和帮助区劳动局、食药监管局等相关部门开展诚信体系建设工作。区劳动局组织开展了“劳动保障诚信示范企业和劳动保障诚信企业”评选活动,有2家企业被评选为诚信示范企业,40家企业被评选为诚信企业;区科委组织开展了“创建诚信企业评选活动”,有12家企业被评选为“2007年度创建诚信企业活动先进单位”。三是组织开展年“诚信活动周”宣传活动,召开政府行政执法信息共享及应用研讨,探讨执法信息共享内容、方式、途径以及长效运行机制,促进政府的执法信息逐步公开透明,提高了政府的行政效能。上街设摊宣传,普及信用知识,提高市民和企业对信用认知度,不断营造“诚信,和谐生活”氛围。举办企业信用管理及应用讲座,让企业知道如何建设信用管理制度和如何规避商业交易风险,促进商务诚信健康发展。
六、以推进信息公开为契机,切实加强执政能力建设
按照《中华人民共和国政府信息公开条例》及《市政府信息公开规定》要求,通过加强宣传培训,公开意识进一步提高,工作机制更加健全,公开渠道有效拓宽,受理程序明显规范,公开内容不断深化。
1、开展宣传培训,提高公开意识。组织开展《条例》和《规定》的学习宣传,深刻理解精神实质。进一步明确公开的范围、方式和责任,把与社会公众生活密切相关的信息作为公开的重点。同时对照《条例》对已公开的目录、指南和信息进行了修改补充。
2、加强组织领导,理顺工作机制。按照《条例》和《规定》的要求,重新明确了分管领导,明确责任部门。区级层面由区政府办公室负责全区政府信息公开的协调推进,各职能部门按职责分工落实相关工作。同时,明确了各政府机关的办公室为本单位政府信息公开工作的责任部门,负责推进、落实本单位的政府信息公开工作。
3、工作机制完善,公开内容丰富。政府信息公开的工作制度、操作流程、保密审查制度、信息协调制度、内容核对更新制度,监督考核机制进一步完善,确保政府信息公开工作依法有序推进。截止年底,全区各政府机关,主动公开政府信息2698条,全文电子化率为96.4%,新增规范性文件110条,提供服务类信息1021条,提供依申请公开信息目录1882条,网站专栏页面的访问量161万人次;收到公开申请43条,答复42条。
4、加强信息技术应用,提高信息公开效率。开发《政府信息公开管理系统》,整合公开申请网上处理、公文目录报备、公开信息外网、月度统计报表统计上报、公开信息的网络化送交等多项功能,统一全区的网上申请与公开专栏的版面,减少工作人员的重复操作次数,有效地提高了政府信息公开工作的效率。
