前言:中文期刊网精心挑选了如何保障网络信息安全范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
如何保障网络信息安全范文1
关键词:网络信息;信息安全;信息传播;保障体系
随着网络信息资源越来越丰富,信息安全问题涉及到国家安全、社会公共安全,世界各国已经认识到信息安全涉及重大国家利益,是互联网经济的制高点,也是推动互联网发展、电子政务和电子商务的关键,发展信息安全技术是目前面临的迫切要求。如何构建网络信息传播保障体系,是世界各国都面临的紧迫课题。然而,国内外对此问题的研究还比较少,不够完善。如何保障网络信息传播和安全。
一、 构建网络信息安全传播保障体系遵循的原则
构建网络信息传播保障体系的最终目的是“用”,应本着旨在破解网络信息传播存在的难题的目的,向此目标努力,尽可能发挥体系的重要作用,注重体系实施的实际效用。因此,要运用系统工程的观点、方法,结合实际情况,分析网络信息传播存在的问题,制定具体措施。 网络信息传播具有的强大的威力和威胁就是信息的自由性。所以,在构建网络信息传播保障体系的过程中,应考虑在管理和控制网络信息的传播时要保持信息的“自由”与“平衡”,即尽量保持信息“自由”与“管理”的平衡。 任何安全保护措施都不是绝对安全的,都可能被攻破,所以网络信息传播保障不应只依赖一种安全机制,应建立多层安全机制、多种防御体系,各防御层及体系相互补充保护,相互支撑以达到尽可能安全的目的。
网络信息传播保障体系构建的重要前提和基础是网络信息开放共享,而在信息的开放共享和保密的法律法规不健全的情况下,如果将部分信息公开披露,既缺乏相应的法律依据,同时又会带来一系列实际问题。因此在网络信息传播保障体系构建的过程中,要注意解决网络信息的披露与保密之间的矛盾,坚持网络信息开放共享和保密相协调的原则。
网络信息传播保障体系的构建不是哪一个体单独努力就能完成的,它是一个复杂的社会系统工程,需要政府、企业、社会团体、个人及司法等多方协调配合、全方位努力。网络信息传播保障体系构建的过程中坚持政府、企业、个人分工合作、协同作战是个非常重要的原则,必须明确各自的地位和作用。
二、计算机网络安全是计算机安全概念在网络环境下的扩展,深入了解计算机系统安全的基本概念,是进一步了解计算机网络安全的基础。国际标准化组织为计算机安全做了如下定义:为保护数据处理系统而采取的技术和管理的安全措施,保护计算机硬件、软件和数据不会因偶然和故意的原因而遭到破坏、更改和泄露。计算机网络由计算机和通信网络两部分组成,计算机是通信网络的终端,通信网络为计算机之间的数据传输和交换提供了必要的手段。
计算机网络最重要的资源是它向用户提供了服务及所拥有的信息。由于互联网的开放性、连通性和技术性,用户在享受各类共有信息资源的同时,也存在着自己的秘密信息可能被侵犯或被恶意破坏的危险,信息安全的目标就是保护有可能被侵犯或破坏的机密信息不被外界非法操作者所控制,达到保密性、完整性、可用性、可控性等目标。
三-出现问题事故响应及补救机制
安全的相对性注定了计算机事故的发生是不可避免的,因而建立一个事故响应小组,建立数据备份、制定不同的紧急响应计划和操作流程,能够对发生的事故再第一时间作处理,努力将损失降到最低点。
当遇到黑客、病毒或垃圾信息,死机等能够成功传播到信宿或对系统造成破坏时,此时网络信息传播保障体系的补救机制将采取补救措施,补救措施包括:使用杀毒软件查杀病毒,使用备份系统对丢失或损害的数据进行恢复,或使用临时的动态站点替代当前被破坏的信息系统等。之后,再将这些病毒、垃圾信息、系统漏洞和脆弱点等形成分析报告,反馈给检测中心数据库,进行必要的总结回顾,修改安全策略,更新网络信息传播保障体系。补救机制是整个保障体系中一个不可忽视的环节,是减小损失和实现持续发展的重要措施。
四、加密技术应用来保障计算机安全
.在电子商务方面的应用。为了保证顾客在网上进行各种商务活动,不必担心自己的信用卡会被人盗用,现在人们开始用RSA(一种公开/私有密钥)的加密技术,提高信用卡交易的安全性。NETSCAPE公司提供了一种基于RSA和保密密钥的应用于因特网的技术,被称为安全插座层(SSL)。SSL同时使用“对称”和“非对称”加密方法,在客户与电子商务的服务器进行沟通的过程中,客户会产生一个SessionKey(SK),然后客户用服务器端的公钥将SK转自省略进行加密,再传给服务器端,在双方都知道SK后,传输的数据都是以SK进行加密与解密的,但服务器端发给用户的公钥必需先向有关发证机关申请,以得到公证。
加密技术在VPN中的应用。当数据离开发送者所在的局域网时,该数据首先被用户端连接到互联网上的路由器进行硬件加密,数据在互联网上是以加密的形式传送的,当达到目的LAN的路由器时,该路由器就会对数据进行解密,这样目的LAN中的用户就可以看到真正的信息了。
在网络安全中运用内容过滤器和防火墙技术。由于上网人员的种类繁杂,有些人的法律意识不强,对网络中的一些非法内容鉴别力不高,因此有必要在互联网的接口处使用内容过滤器。内容过滤器的主要用途是对一些不良网站或非法网站的内容进行过滤,从而达到净化网络信息资源的目的,保证网络信息安全。配置防火墙则是实现网络安全最基本、最经济、最有效的安全措施之一。防火墙是指一个由软件或和硬件设备组合而成,处于企业或网络群体计算机与外界通道之间,限制外界用户对内部网络访问及管理内部用户访问外界网络的权限。当一个网络接上Internet之后,系统的安全除了考虑计算机病毒、系统的健壮性之外,更主要的是防止非法用户的入侵,而目前防止的措施主要是靠防火墙的技术完成。
如何保障网络信息安全范文2
随着社会经济的不断发展,网络时代逐渐进入人们的生活,计算机被运用在了各个领域中,成为促进社会发展的重要媒介。而与此同时,企业信息安全问题也逐渐凸显出来,严重阻碍了企业的可持续发展,因此,在网络时代背景下研究企业安全风险和控制具有重要意义。
1 企业信息安全相关概述
1.1 信息安全的含义
迄今为止,对信息安全依然没有一个统一和公认的定义。但是从国内外研究来看,对其主要存在2种说法:一种指的是具体信息安全技术系统的安全;而另一种则指的是某些特定的信息体系的安全。上述2种定义主要站在静态的角度上阐述了信息安全的基本层面,但是信息系统和网络的影响决定了信息安全是一个动态的改变,其主要是防止企业信息遭到恶意泄露、破坏、更改[1]。信息安全的最终目的是向合法的对象提供安全、可靠的信息。
1.2 信息安全在企业中发挥的重要作用
企业信息作为企业的宝贵资源,保证企业信息的安全性对企业的生存和发展具有重要作用,主要体现在以下3个方面:一是企业信息安全是保障企业正常运行的基本前提。在网络时代背景下,企业信息安全的内容更广泛,再加上现代企业制度的不断建立和完善,越来越多的企业依靠信息数据库开展各项工作,例如:对于市场情况的分析、做出重大决策等等。二是保障企业信息安全是提高企业市场竞争力的必备条件。随着市场经济的不断完善,企业面临的竞争也越来越激烈,在这种形势下,企业要想获取市场竞争优势就需要依靠信息安全来实现。三是企业信息安全作为企业发展战略中重要的组成部分,而企业实施各项战略主要是通过自身的经营活动、财务信息等开展的,这些数据也能够将企业的战略实施方法以及下一步计划详细地反应出来,因此,如果企业的信息安全无法得到保障,那么企业要实施各项战略难度也很大。
2 网络时代下企业信息安全风险分析
2.1 缺乏高度的信息安全风险意识
在网络时代的浪潮下,很多企业都在逐步加强自身信息安全的建设,通过加大资金投入、创新技术等措施来保障自身的信息安全,然而,对信息风险的控制并非仅仅依靠技术就可以实现,更重要的是人们要树立起信息安全的风险意识。但是从当前来看,还有很大一部分企业的领导者、管理者、员工缺乏对信息安全风险的高度重视,主要表现在:个别人甚至片面地认为信息安全仅仅是网络部门的责任,跟自身没有多大关系;二是有个别企业领导者认为对信息安全的宣传过度夸张,遭受网络攻击的概率小,一般不会发生在自己身上;三是个别企业没有建立信息安全风险管理体系,再加上企业缺乏具体的故障系统,导致企业信息安全遭到风险时,员工往往手足无措,虽说有些企业针对自身的信息安全制定了一系列规章和制度,但是由于缺乏针对性和操作性,导致这些制度无法得到真正落实。
2.2 应用系统的安全性不高
企业要实现信息化建设的目的,少不了各种应用系统作支撑,但是从实际情况来看,很多企业还存在着应用系统的安全性不高等问题,进而导致企业在数据传输和存储等方面存在漏洞。如此容易被一些病毒、恶意软件窃取,实现非法访问,进而引发企业信息丢失或者泄露等安全风险。另外,很多企业应用系统的安全方模式也较为单一,绝大部分主要是采用“口令”的方式进行认证,无法实现对信息安全全方位的防范。另外,企业设置的密码过于简单、操作不规范等等都会增加应用系统安全的风险。
2.3 技术设备和设施的作用发挥不足
个别企业为了防范信息安全风险,针对一些重要信息设置了安全设备,但是由于操作条件和参数设施不够合理,无法将这些设备的作用充分发挥出来。还有很多企业没有通过建立工作日志来对安全设备、设施的运行情况进行监控,进而不能根据企业的经营情况对信息安全进行风险控制,更无法采取有效措施保障企业风险管理。
3 网络时代下控制企业信息安全风险途径分析
3.1 加强信息安全教育,提高信息安全风险意识
由于在企业信息安全控制中,提高员工的信息安全意识是保证企业信息安全的决定性因素,因此,企业应该加强对员工的信息安全教育,帮助员工树立起信息安全风险意识,例如:企业可以利用一些重大节日开展关于信息安全的演讲比赛、征文比赛,也可以通过建立适当的激励制度以及开展培训活动等途径来加强员工对信息安全重要性的认识,进而提高自身的信息安全风险防范意识和观念。
3.2 加强信息化建设,设置信息安全管理部门
在企业信息化建设中,信息安全作为重要的基础,企业要强化自身的内部控制,就应该落实信息安全的建设工作。加强信息化建设首先需要企业将信息安全纳入安全管理范围内,进而突出信息安全建设管理的重要地位;然后不断健全信息安全的责任制度,争取形成信息安全联动管理机制,确保信息安全管理的有效性;最后,在企业中设置信息安全管理机构,该部分的主要职能为企业信息安全建设、管理以及员工的信息安全教育培训工作等,从而为企业的信息安全风险控制创建一个良好的内部环境[2]。
3.3 运用新技术,加强信息安全风险防范
当前控制信息安全风险常见的主要有VPN技术和防火墙技术:(1)VPN技术。VPN主要指的是在公共网络的虚拟专用网络中建立一个临时的安全链接,在通常情况下,对VPN内部进行扩展可以实现远程操作,建立一条分公司、商业合作商和供应商跟公司内部网络安全联系,从而确保信息交换的安全性,保证数据传输的安全性。(2)防火墙技术。防火墙也被称为访问控制系统,主要是通过对网络做拓扑结构和服务类型上的隔离来保障网络安全。运用防火墙技术可以保证企业的内部网络免受外部网络的侵占,并阻断非法访问的外部网络进入企业内部网络,保证企业信息和资源的安全。
4 结 语
总之,网络时代的产生为企业发展创造了新的模式和发展契机,但与此同时,企业的信息安全也面临着很大的威胁,在很大程度上制约了企业的可持续发展。要实现对企业信息安全风险的控制,首先应该找准企业信息安全的风险点,然后采取对应措施,如:加强信息安全教育、加强信息化建设、运用新技术等几个方面来控制信息安全风险。
作者:袁亮 来源:中国管理信息化 2015年17期
如何保障网络信息安全范文3
【关键词】通信计算机;信息安全;解决对策
前言:
在科技时代的大背景下,通信计算机的安全使用对人们的日常生活工作具有重要意义,如何确保通信计算机的信息安全,弥补通信计算机现阶段存在的不足是一个急需解决的问题。解决计算机信息安全的一大关键即是将理论和实践相结合,重视对网络技术和网络管理的同步改进。
一、通信计算机信息安全概念
通信计算机信息安全通俗来讲就是网络信息的防窃性,通过通信计算机基本运行手段可发现,通信计算机的信息传播是以电磁为基础,是利用网络系统进行交互传播、整理及分析储存的信息处理过程。保障通信计算机的信息安全就是要防止黑客、病毒等恶意第三方对信息的窃取和篡改,不管是对于企业还是个人,一旦计算机的信息安全受到威胁就会遭受重大且不可估量的损失。[1]不管是国内还是国外,通信计算机信息安全都是一个老生常谈的话题。如何保障通信计算机的的信息安全,增强网络安全意识是一个世界性的命题。
二、通信计算机存在的安全问题
1、计算机使用者操作存在问题
一般情况下,通信计算机的运行工作由人工主导,所以在通信计算机的运行过程中,人员操作不当是造成通信计算机出现问题一个重要原因。加上计算机需要定时的维护管理,由于人员的疏于管理也会造成通信计算机出现信息安全问题。
2、黑客恶意攻击
网络黑客一直是威胁计算机信息安全的重要因素,很多不法企业为了达到个人目而雇佣黑客大肆对其他企业进行攻击,这样的事件屡见不鲜。一般黑客攻击电脑是通过对计算机或网络的程序攻击,毁坏电脑的主要程序,直接使计算机处于瘫痪状态。或者黑客利用网络,将监视软件移植到他人计算机当中,能够通过移植程序达到窃取信息的目的,会造成用户的信息泄露,危害了网络信息安全。[2]
3、电脑病毒传播
计算机病毒在计算机普及之时就已经为大众熟知,计算机病毒是一种病毒程序,是根据计算机系统的存在的缺陷进行的针对性设计的。计算机病毒通常不容易被发现,具有一定的隐蔽性。且计算机病毒形式多种多样,计算机病毒一般能够破坏计算机的内部文件,使计算机重要的文件受损,而且当计算机病毒移植到计算机内部时,会使计算机的数据出现错误,进而破坏计算机的内部数据库,计算机病毒不仅能使计算机的信息安全受到威胁,还能够使计算机的系统崩溃,破坏计算机的正常运行。严重威胁了通信计算机的信息安全和正常使用。
三、如何有效解决计算机信息安全问题
3.1更新操作系统,修补系统漏洞
计算机系统是维持计算机运行的主要平台,将系统完善更新,能够有效预防外在威胁的恶意攻击,当前计算机的操作系统处在不断更新中,但不代表更新后操作系统就是刀枪不入的,任何操作系统都存在一定的缺陷,需要计算机开发者不断修补系统漏洞,以此应对新的威胁。
3.2重要文件域的保密措施
通信计算机随着网络的发展迈入“云”时代,计算机的信息数据库的加密形式不能够按照传统标准进行加密,相关通信密码、服务器密码、访问权限都应该有更加严格的保密措施。在保护信息安全时可采用保密性较高的专业编码将重要信息进行保护,一般专业编码不容易被破解,具有高度的保密性。
3.3更新网络防火墙设置
杀毒软件和网络防火墙是保障计算机信息安全的重要手段,常见的有金山毒霸、360木马查杀等等,网络防火墙的设置能够有效减少黑客的威胁。防火墙有识别功能,只有内部工作人员通过身份验证才可以使用相关功能,能够有效降低信息安全风险。一些木马查杀软件也能够及时隔离并清除电脑病毒,能够减少电脑病毒对计算机的影响。不过由于电脑病毒的形式是多样的,且处于不断更新换代中,因此,网络病毒杀毒数据库也应该实时更新数据,提前做好准备,查缺补漏,及时应对新形式的电脑病毒威胁。
3.4加强对计算机操作人员的培训
人为操作也决定着计算机使用的安全性,如果操作人员网络安全意识不足,会造成操作失误,使计算机的信息安全受到威胁的几率增大。因此计算机管理人员应该加强计算机知识培训,加强通信计算机的信息安全意识,相关企业也要加强对通信计算机信息安全的重视程度。
结论:
总之,计算机是人们生活工作中的常伴物品,计算机信息安全对于企业和个人来说都是至关重要的,保障通信计算机的信息安全主要还是在于对计算机技术的提高和创新计算机管理手段,重视对计算机信息安全的保护,保障网络环境的纯净,能够有效提高计算机使用的安全性。
参考文献
[1]闫丰,王梅.通信计算机信息安全问题及解决对策[J].信息通信,2014,(12):203.
如何保障网络信息安全范文4
关键词:信息安全;技术;网络系统;管理
中图分类号:TP393.08
1 概述
随着电力信息化的快速发展,电力系统对信息网络与信息系统的依赖程度也越来越大,各类电力信息系统由于信息共享和协作已经实现互连,网络通信协议也逐步采用开放通用的TCP/IP 协议,这使得非法者可以采用各种攻击技术在信息空间对电力信息系统进行攻击,破坏电力系统信息安全,影响电力系统可靠运行,甚至导致系统振荡或大范围停电。在这样的大环境下,如何有效保障电力企业的信息安全,避免信息安全风险,便成为电力企业亟待解决的关键问题。文章基于供电公司信息网络与系统运行的实际情况,对公司为保障信息安全在安全技术策略与组织管理策略上的创新进行了介绍。
2 信息安全防护的安全技术策略
供电公司在办公大楼规划设计施工阶段就充分考虑了信息安全防护的问题。将一些重要的设备,如主干交换机、路由器、各种服务器等尽量实行集中管理。各种通信线路尽量实行深埋、穿线或架空,并有明显标记,防止意外损坏。在保障了信息设备安全的前提下,公司也采取了一系列安全技术来保障信息安全。除具备一些基本的安全技术策略以外,例如防火墙技术,防病毒技术,VLAN技术等,还采取了一些网络管理安全技术策略来进一步提升信息安全。
2.1 入网规范管理系统
入网规范管理系统是一套基于先进的第三代准入控制技术的纯硬件网络准入控制设备。公司在机房核心交换机旁路接入了入网规范管理设备。在公司的实际应用中,主要应用了它信息安全规范检查和对违规私接集线器、路由器设备的检测两方面的功能。
(1)信息安全规范检查
入网规范管理系统的接入,不需要对网络结构进行大幅调整,具有较强的网络环境适应性,而且无需安装客户端。接入系统后,在公司内网机器联网前,系统会对公司要求的信息安全规范进行自动检测,主要包括防病毒软件的安装与更新情况,注册情况,防违规外联屏保的安装以及弱口令等进行安全检查,并为存在安全风险的机器提供一键修复功能。
供电公司的员工分布在不同的年龄阶段上,这也造成了员工对信息技术的掌握情况存在着一定的差距,也容易在内网机器上因技术或者个人原因埋下安全隐患。入网规范管理系统无需安装客户端且带有一键修复功能,让操作更加简单,不仅提高了公司内网信息的安全防护能力,并且给信息运维人员提供了便利,减小了工作压力。
(2)对违规私接集线器、路由器设备的检测
随着公司人动,经常会出现办公场所网络接口不够用的情况,有些人会采用加集线器、路由器等设备来拓展网络接口。这样的做法会对信息安全会造成较大的安全隐患,也是公司不允许的行为。
私接集线器、路由器的危害有很多,一方面如果存在多个集线器,容易因人为原因将集线器连接成环路,引起广播风暴,此时几个小集线器就会影响整个公司的网络稳定,另一方面,路由器,甚至无线路由器易被不法分子利用,轻松地介入公司内网,造成公司秘密泄露。入网规范管理系统的接入,可以在系统中检测到违规私接的集线器、路由器设备。这样可以使信息运维人员及时发现并对这些违规行为进行制止,从而消除安全隐患,保障公司信息安全。
2.2 网络分析系统
随着公司内部网络的不断发展与扩大,不断有新的终端设备、网络设备、存储设备、服务器设备及各种应用系统的加入,使得网络环境越来越复杂多变,出现的网络故障越来越难以定位与处理。
为了解决这一问题,公司在机房核心交换机旁路接入网络分析设备,网络分析系统具有网络故障分析,网络安全分析和网络应用分析三大功能,可以实时获取到当前网络正在发生的具体流量,如图1所示,并通过分析系统的专家系统对数据包进行进一步的解码分析。通过解码分析不仅可以很快的定位网络故障,确认网络带宽的瓶颈,在故障发生前消除网络隐患,而且对于维护网络安全更是起着非常重要的作用。
网络分析系统可以通过数据包级的网络行为分析,进行深度网络通讯检测,快速发现网络攻击、蠕虫、木马等危害网络安全的异常行为,并提供针对蠕虫、DoS攻击、ARP攻击、TCP端口扫描等安全事件的智能化诊断,快速定位问题主机,有利于信息运维人员及时消除信息安全隐患,应对恶意攻击行为。
这些功能不仅给信息运维人员日常的网络工作带来很大方便,也让我们在网络维护和信息安全防护工作上处于主动地位,使公司的信息安全防范措施更加完善。
3 信息安全防护的组织管理策略
3.1 病毒防护管理
在病毒防护的管理上,公司安排专人每日随时查看病毒木马感染的客户端,并对发现受感染的用户及时处理。对感染病毒情况严重的机器,在IMS中进行截图,并在每月底对用户提出考核意见。除此之外,公司还制作了可移动设备安全使用说明,并发给了每一位员工,促进大家从自我做起,维护信息安全。
3.2 集线器和路由器的管理
对于公司人员私接集线器、路由器等网络接口拓展设备,仅仅靠技术手段是无法彻底解决的,对于公司早期建起的办公楼,由于设计规划的不足,在办公室里开设的网口往往不足,不接集线器或者路由器就无法连接内网进行工作,为了解决这一问题,公司在2013年开始,开始对各个工区网络需求进行统计,根据统计结果,为各个工区配置交换机,并进行重新布线,解决网络接口不足的问题。这一举措不仅可以便于信息运维人员进行管理,而且可以从根本上消除公司员工私接集线器和路由器的问题。
3.3 用户安全教育
信息安全意识教育有助于加强用户对各种安全威胁的防范。为此,电力企业需要对相关人员进行安全意识和相关技能的教育,特别是信息系统的管理人员,一定要给他们提供培训机会,以不断提高其业务能力。公司在各个工区都设置了信息安全专责人,并根据信息技术的发展定期对专责人进行培训,帮助他们更好的维护公司的信息安全。对于关键岗位和特殊岗位的人员通过送往信息专业机构学习和培训,使其获得特定的信息安全方面的知识和技能通过信息安全培训,确保在电力信息安全保障体系逐步建立的过程中,各类人员的信息安全意识和技术能力获得提高,各岗位人员的技术能力和管理能力与安全保障体系的运行和维护相适应。
4 结语
技术是安全的主题,管理是安全的灵魂,保障信息安全就必须将技术与管理结合起来。总之,随着信息技术日新月异的发展,信息安全的需求也是逐步变化的,新的安全问题也会不断产生,。从国内外电网停电事故的形成原因来看,其中信息传送的不畅通是造成大面积停电事故的重要因素。因此,电力系统的安全、稳定、可靠运行有赖于系统的信息安全,这也提示我们,如何正确识别电力系统信息安全隐患和风险来源,积极应对威胁,从而采取有针对性的防范措施,是需要我们广大电力工作者不断探索的课题。
参考文献:
[1]黄远洋.电力系统信息安全隐患及防范措施分析[J].机电信息,2010.
如何保障网络信息安全范文5
关键词:电力系统;信息网络安全;PKI
中图分类号:TN915.08 文献标识码:A文章编号:1007-9599 (2011) 14-0000-01
Analysis of PKI-Based Power System Information Network Security
Li Yan1,Gao Jian2
(1.Jilin Communications Polytecnnic,Changchun130012,China;2.Datang Changchun Third Thermal Power,Chnagchun130103,China)
Abstract:With the rapid development of scientific technology and the increasing usage of information network,the covering security has become a major concern and is waiting to be dealt with.As a basic infrastructure and essential tool to provide information network the necessary protection,PKI need to be improved and play its important role in the power system information network security.This article is a brief research and analysis of this kind of security with a view to improve the power system information network.
Keywords:Power system;Information network security;PKI
一、引言
如何充分发挥PKI在电力系统信息网络安全中的基础作用,确保电力系统信息网络的高效、通畅、安全运行,成为广大电力系统信息网络管理人员必须面对的现实问题。基于PKI的电力系统信息安全成为电力系统不可或缺的重要组成部分,。PKI通过标准接口将安全服务延伸到每一个本地用户,使每一个用户通过标准插座得到无差别的能源供应,实现了网络信息安全的有效应用,满足了用户对电力系统信息网络的安全性以及快捷性要求,不断提升用户对电力系统信息网络安全的满意度。
二、基于PKI技术的电力系统信息网络安全概述
PKI是Public Key Infrastructure的英文缩写,中文名称是公钥基础设施。PKI作为为信息网络提供安全保障的基础设施,能够为不同的信息网络拥有者提供全方位的安全服务,正是由于这种普适性的特点,PKI成为了保障信息网络安全的基础和核心技术。电力系统信息网络安全采用PKI技术,有利于电力系统实现安全与网络应用的分离,有利于电力系统基础设施建设同网络的运行相分离,从而有效保证电力系统基础设施建设的独立发展和信息网络的通畅运行。
三、基于PKI的电力系统信息网络安全在电力自动化控制中的优势
随着电力系统自动化控制的快速发展,PKI作为基础安全设施得到了广泛的应用,在电力系统自动化控制中应用PKI收到了良好的效果。相对于其他网络信息安全基础设施,PKI具有明显的优势。首先,PKI作为专业的安全基础设施,具有普及应用的最大一个特性――普适性,公钥密码学的理论得到了充分利用,普遍适用安全基础设施得到了推广,开放的签名验证和安全的数字签名成为PKI使广大电力系统及电力用户网络信息安全服务更完善的基础保障。其次,PKI密钥备份及恢复系统给电力系统及电力用户提供了使用信心,如果用户不小心丢失了密钥,通过可信机构掌握的不做备份的签名私钥,就可以直接解密数据,防止了合法数据的丢失,为用户安心使用PKI进行操作树立了信心。第三,互联能力的高低决定着系统的使用范围,PKI的互联能力是其他系统所不能比拟的,PKI能够按照通用的信任方式实现无论是上下级关系还是第三方平等信任关系的互联互通。第四,PKI的证书的撤销机制解除了电力系统网络信息应用的具体限制。第五,PKI的密钥管理方式更加适应电力系统网络信息安全的需求,PKI采用的用户独立验证的安全验证服务方式,可以充分保障电力系统网络信息服务范围的无限扩张,为电力系统用户群的发展提供了重要的技术保证,为电力系统的稳步发展奠定了坚实的基础。
参考文献:
[1]顾勇涛,葛利宏,剧树春.电力系统信息网络安全架构分析[J].内蒙古电力技术,2010,S2
[2]杨海霞.电力企业信息网络安全问题及解决对策[J].中国电力教育,2009,4
[3]赵志宇.谈电力信息系统安全保障体系建设原则及思路[J].计算机安全,2009,6
如何保障网络信息安全范文6
1 综合治理信息安全的战略背景
IT管理技术发展历程,从被动管理转向主动管理,从服务导向转向业务价值。在科学的IT管理方法论方面形成了一系列标准:诸如ITIL/ITSM以流程为中心的IT管理行业标准;ISO20000ITIL 的国际标准; COBIT面向IT审计的IT管理标准;COSO企业内部控制框架,面向内部控制;ISO17799:信息安全管理国际标准。当前有很多非常好的综合性标准与规范可以参考,其中非常有名的就是ISO/IEC27000系列标准。ISO/IEC 27001通过PDCA过程,指导企业如何建立可持续改进的体系。
目前企业IT运维管理现状。需求变化:IT本身快速变更;管理目标多角度变换并存。资源不足:IT 复杂性成长快于人员成长;IT 人员持续流动。业务影响:难以判断事件对业务的影响和处理事件的优先级。信息孤岛:IT 资源多样性的,不能进行事件的关联分析,缺少统一的健康视图。IT网络与信息系统运维存在监测盲点,缺少主动预警和事件分析机制。
如何把此项复杂的工程进行细化与落地,建立信息安全保障框架?在企业有限的IT资源(包括人员、系统等)等的前提下,IT运营面临严峻的挑战,企业多半缺乏信息系统应用开发能力,在很大程度上依赖于产品开发商的支持,为此,要想实现从混乱到清晰、从被动到主动、从应付到实现价值取向的服务思想,自主加外包的混合运维方式无疑是一种好的服务方式。
2 建立和实施信息安全保障体系思路和方法
针对IT管理问题和价值取向的服务方式,借鉴PDCA工作循环原理和标准化体系建设方法,从建立安全目标和组织体系、制度体系和技术体系等三个主要层面构建实施信息安全保障体系,以规范引导人、以标准流程引导人,以业绩激励人,从而促被动变主动,坚持持续改善,促进工作效率,促进安全保障。
2.1 建立和推行目标管理
体系建设应以目标管理为先导、循序渐进,按顶层布局、中层发力、底层推动内容设计与构建,为此,借鉴当前IT运维管理目标演进方式,确立各阶段建设目标。
基础架构建设阶段(SMB),手工维护阶段。主要实现IT基础架构建设。
网络和系统监控(NSM)阶段,重视自动化监控阶段。主要实现IT设备维护和管理。
IT服务管理(ITSM)阶段,重视流程管理阶段。主要实现IT服务流程管理。
业务服务管理(BSM)阶段,重视用户服务质量与满意度。主要实现IT与业务融合管理。
从IT投入和业务价值来看,前三个阶段是间接业务价值,第四阶段才是直接业务价值。
根据ITIL这个IT服务管理的方法论,先是搭建一个框架,借用工具的配合促进落地。如图1、IT运维管理系统参考模型。
从安全目标出发,结合IT运维管理系统参考模型,每个阶段的工作向着实现直接业务价值,不断消除或减轻对性能的约束,促进IT产品或服务满足确定的规范,实现企业效益最大化。服务好用属性通过最终的绩效和检验结果监视测量价值成分。如图2。
2.2 规划融合信息安全保障体系
通过从组织体系、制度体系、技术体系层面建立和实施纵深防御体系,实现稳健的信息安全保障状态。
①组织体系:通过企业中高层的支持实现业务驱动和共同推动信息安全体系建设。当然,需要提出的问题,组织有可能要依赖长期可靠的合作伙伴:通过长期可靠的合作关系,快速引进外部专业资源和先进技术,可以帮助企业推动信息安全建设工作。为了帮助组织内外信息系统人员更好地遵守行业规范及法律要求,企业实施IT网络与信息系统安全运维体系标准,组织应做到定期对全体员工进行信息安全相关教育,包括:技能、职责和意识,通过相关审核,证明组织具备实施体系的意识和能力。
②制度体系:企业IT网络与信息系统安全运维系统建设的范围包括机房安全、数据安全、网络安全、服务器安全、业务应用安全、终端安全等。为此,企业应明确内部运维和外部协同的内容及其标准规范,包括绩效标准。建立实施IT网络与信息系统安全运维体系标准,首先把高效的信息安全做法固化下来形成规则制度或标准,成为组织中信息安全行为准则。保证事前预防、事中监控和事后审计等安全措施的得到有效执行与落实。
③技术体系:一般来说,网络设备技术体系可以按照从上到下信息所流经的设备来部署工具。即从数据安全、终端安全、应用安全、操作系统与数据库安全、网络安全、物理安全六个方面来选择不同的安全工具。按照“适度防御”原则,综合采用各种安全工具进行组合,形成企业“适用的”安全技术防线。适时根据风险评估的结果,采取相应措施,降低风险。
其中,需要采用1~2种综合管理的工具来帮助把所有的安全监控工具进行统一管控。例如SOC是给企业日常维护管理者使用,ITRM作为综合风险呈现,是给企业风险或安全管理层使用。
④体系运行和监控:体系的日常运行和监控就是从信息的生命周期进行流程控制,即在信息的创建、使用、存储、传递、更改、销毁等各个阶段进行安全控制。之前不能忽视在信息创建开发安全阶段的一个细化控制手段。在运行体系建设中,往往需要结合流程分析来关注信息的生命周期安全。运行过程中还有一个应急管理,包括灾备中心建设、业务连续性计划、应急响应等等都有相应的标准与理论支持。特别是BS25999标准的颁布,给如何建立一套完善的应急体系提供了参考。
3 企业建立和实施信息安全保障体系实践
面对网络系统互连,网络技术与设备的安全管理规范的完善这个复杂而且浩大的工程,井冈山卷烟厂不仅依靠个体分散的技术措施或者管理防护,而且结合国家、社会和个人的力量构建综合保障体系。
①依据ISO9000、ISO14000和OHSAS18000标准,国家计算机网络和信息安全相关法律法规,参考当前科学的IT管理方法论方面形成了一系列标准,结合YC/T384烟草企业安全生产标准等,识别这些与信息安全相关的法律法规及其它要求,将信息安全保障体系(框架)融合到企业质量、环境和职业健康安全(以下简称为三标)综合管理体系。
②确定信息安全管理目标并分步实施企业三年信息化发展规划。自2012年开始,企业对照YC/T384烟草企业安全生产标准要求,在梳理和评价2000年以来企业多个企业信息化三年实施规划实践环境以后,制订了新的三年信息安全管理目标和建设规划,将目标和规划分解到各年度实施,并纳入到企业年度三标综合管理体系建设目标和管理绩效考核。
③建立信息安全管理组织和工作标准,同时纳入三标综合管理体系管理考核。从体系结构上促成企业作业层、管理层(中间层)和决策层的信息化,实现企业的物资(服务)流、资金流和信息流的一体化,及时、准确和完整地传递企业的经营数据,保证企业的经营管理。利用信息化改进管理,形成企业信息安全文化,促进员工接受、理解和主动配合,不断提升全员的信息安全意识和技能,从而使信息安全管理真正落到实处。
④建立和实施信息安全保障体系文件标准。根据国家信息安全相关的法律法规及其它要求,结合行业和企业的特点和发展趋势,规范管理流程和模式。网络与信息系统建设“立足长远、分步实施、突出重点”,做到“统一规划、统一标准、统一平台、统一编码”,同步实施信息系统等级保护制度,促进企业与信息系统项目合作单位、地方通讯和公安等部门的社会化合作主要方式。企业内部各项工作实现规范化、信息化,做到一切工作都按照程序办,同时,事事处于相互制衡的环境之下、人人处于监督管理之中,从而形成职责明确、运转协调、相互制衡的工作机制,为企业内部信息安全监管提供强有力的保障。
几年来,企业坚持企业信息安全方针目标,以迅速响应服务为宗旨。企业信息安全保障体系建设紧紧围绕建立科学、规范、和谐、统一、开放的管理体系,全面融入了质量、安全和环境管理体系一体化建设和实践,截止到2015年底,企业共梳理建立或整合并实施安全保障类文件包括企业管理标准、技术标准和工作标准共计31个标准文件。通过创新与改善和体系审核、管理评审和提高文件执行率及持续改进方式保持了信息安全保障管理体系的持续改进和有效运行。
