前言:中文期刊网精心挑选了企业信息安全管控范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
企业信息安全管控范文1
关键词:管控系统 企业信息网络 优化升级
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9416(2016)12-0199-01
1 企业信息网络安全系统存在的问题
网络信息的开放与共享、信息化的快速发展给信息网络安全带来了安全风险以及隐患,使得计算机容易受到黑客、病毒等攻击,从而导致企业的整个网络系统瘫痪、信息数据遭到篡改、内部员工资料和机密信息泄露,使得网络传输的信息失去了保密性和真实性,这严重影响了企业的正常运行,并且带来巨大的经济损失。因此,企业的信息网络安全面临严峻的挑战。
面对这种情况,我国的许多企业都开始重视并且投入到信息网络安全工作的开发与建设中。然而目前,我国企业信息网络安全管控系统仍然存在很大的问题:在信息网络安全管理方面,管理机制不健全,管理人员的安全意识低下、管理能力不高、安全管理操作不规范;在信息网络安全技术方面,技术比较落后。各个安全区域的划分不够合理,用于认证以及管理方面存在很大漏洞。同时系统的安全性能没有得到切实的保障,在连接外网的时候,一旦某台计算机中毒之后,就会导致所有内部资料丢失。
因此,作为企业,应该深入的分析自身企业的安全需求,并且利用目前的先进信息网络技术,对企业原有的信息网络安全管控系统进行优化、升级与改造,研究设计出满足自身需求的信息网络安全管控系统。
2 企业信息网络安全管控系统的优化设计
2.1 优化原则
在对企业信息网络安全管控系统进行优化调整时,应该注意以下几个基本原则:(1)优化调整后的信息网络安全管控系统,具有高度的稳定性与系统性能,要确保系统在高性能的条件下,也能稳定的运行;(2)优化调整后的信息网络安全管控系统,要确保数据的安全性要求,为了防止非授权用户访问数据中心,系统应该采取相应的保护措施;(3)优化调整后的信息网络安全管控系统,应该具有可扩展性和可维护性,管理员能够很方便对系统的软硬件资源进行维护与管理,当系统无法再满足安全要求时,其结构以及功能模块应该可以方便的进行扩展;(4)优化调整后的信息网络安全管控系y的建设投入成本应该尽可能的低,但降低成本的同时,也应该按照计划规定的时间完成系统的总目标。
2.2 安全系统功能模块的划分
在确定了信息网络安全管控系统的框架之后,根据企业的现有网络安全系统的设施、管理模式以及安全需求,对企业的安全区域重新划分为五个区域,如图1所示。
安全区域经过重新划分之后,可以有效的增加安全管控系统的保护能力,当外层保护机制检测到有入侵时,会及时的通知系统管理中心。当进一步入侵时,应用层与核心层就会启动双重保护,防止入侵。与此同时,由于外层保护机制能够及时的通知管理中心,这样管理人员就能及时的采取有效措施阻止入侵。这样不仅增加了入侵管控系统的难度,而且还有效的增加了主动防御时间。
2.3 网络安全系统优化、升级与改造的总体思路
当企业的内网连接到外网的时候,企业的网络安全问题则需要给予高度的重视。为了提高企业网络的安全性,应该采用相应的安全策略来防范和阻止网络攻击的发生,同时,也应该防止企业内部人员向外网提供非法的网络服务。因此,为了解决这些问题,企业应该对其安全设备以及网络结构进行重新优化、升级与改造,主要包括以下几个部分:(1)入侵检测系统。入侵检测系统对信息网络进行实时的监控,在发现可以入侵时发出警告通知系统管理中心,管理员采取相应的措施防止入侵。(2)防病毒系统。由于我国企业的计算机水平总体比较低,没有一套完善、有效的防病毒系统,导致企业内网经常受到攻击,因此,对于企业中的服务器系统、员工办公计算机以及工作站,安装防病毒防护系统,有效的阻止病毒的传播,对全网造成威胁,以确保企业的日常工作能够正常的运行。(3)防火墙系统。防火墙系统是确保企业信息网络安全通信的屏障,能够防御一部分攻击,但像木马攻击、DDoS攻击却无法防御。因此,需要对企业内部的攻击进行实时的保护,在发现攻击时能够有效的拦截,防止入侵。(4)漏洞扫描系统。在企业内部安装漏洞扫描系统,能够对企业的内部服务器、交换机、防火墙等设施进行安全检查,并且为管理人员提供相应的数据,以便及时的修复漏洞,降低企业的信息网络安全风险。
3 结语
综上所述,随着信息时代的发展,信息网络安全管控已经成为了人们急需解决的重要问题。只有切实的提高企业信息网络安全管理系统的管控能力,提升管理人员的专业水平,建立科学合理的信息安全管控系统,才能达到安全保护和集中统一管理网络信息的目的。
参考文献
企业信息安全管控范文2
关键词:企业运维管理;信息系统;安全风险
随着信息时代的来临,信息系统和技术已经成为当下各个领域不可或缺以及赖以生存的基础性建设。现今信息已经成为衡量一个企业综合竞争水平的重要标志。但是,信息技术在不断支撑着企业业务开展的同时,其在运维方面也会产生相应的安全风险,主要表现为非法访问、信息篡改以及信息泄露。这些风险就会对企业的信息安全带来巨大的隐患。
1信息系统安全风险的控制难点
近年来随着网络技术的不断更新,企业也通过各种安全措施加强了信息系统安全风险的防护措施,但仍存在两个难点,首先是信息系统的高风险性,由于当下信息系统较为复杂,且漏洞较多,就会使得系统处于高风险性,使得运维人员很难进行控制。其次是当下IP管理以及信息系统的规模逐渐增加,也就使得攻击源变得多样化,运维人员无法进行有效的追踪,也无法进行有效的防护。
2企业运维管理中信息系统安全风险分析
近年来,信息时代的脚步逐渐加快,信息化的水平也在与日俱增。信息技术也以其方便、实用等特点广泛地应用在各企业之间。而为了更好地将信息技术的最大作用发挥出来,就需要定期对其维护。但是随着信息系统的应用需求逐渐增加,网络规模的不断扩大,使得信息系统的结构愈加复杂,也使得技术漏洞逐渐增加,这就会对企业的信息系统带来安全隐患。在现今运维管理中信息系统的安全风险主要包括下述几个方面。
2.1服务器终端层面的风险
服务器终端层面的风险主要分为下述几个部分:①信息系统的基本安全保密配置不够完善,管理不够成熟,这就使得用户可以私自更改BIOS的启动顺序,使得安全防护产品的失效,从而进行信息的窃取和篡改;②安全风险的报警装置不够成熟,不能够达到预期的效果,通常会由于安全产品之间的兼容性问题失去应用的效用,出现误报或者漏报的情况。然后就是系统含有漏洞,信息系统最主要的部分就是系统,在当下的企业中应用的操作系统基本上都为Windows系列,而一些停止补丁升级的Windows系统就存在着漏洞,很容易受到侵蚀,进而造成数据的丢失。2.2网络层面的风险在网络层面安全风险主要为网络设备的安全配置不当,通常会开启多余的服务或者端口,这就存在了被非法访问的隐患。同时在访问控制方面不能对接入进行有效的控制,会造成设备非法接入的风险。另外,企业通常不会对用户进行分层、分级,这就会导致网络拓扑混乱,使得企业重要的信息资源存在被非法授权访问的安全隐患。
2.3硬件层面的风险
现今,企业都拥有大量的硬件,且都是采用的国外进口。企业根本无法知晓底层硬件的工作机制,其是否含有隐藏通道等。例如惠普的某型号服务器已经被证实存在后门,这些设备的运维都需要专业的工作人员进行,这也就会使得维修过程容易发生信息篡改或者信息窃取的风险。2.4应用层面的风险应用层面的风险主要就是身份认证的管理不够完善。管理员的口令较弱、用户名和密码过于简单等都会被攻击者利用。甚至在当下一些企业还有用户名公用、滥用的现象,这就更给攻击者提供了良好的机会,攻击者可以通过这些漏洞进行水平提权,进而对信息进行窃取,甚至其可以获取管理者的权限,对系统进行控制,这就会给企业造成巨大的经济损失。
2.5安全审计层面的风险
在当下的信息系统风险管理都会部署一些安全监测产品,例如防火墙、杀毒软件等。这些产品只能针对某类安全问题有效,这就使得信息系统的审计工作变得松散,不能形成完整的体系。而且由于系统的兼容性等原因,总会出现误报、漏报的现象,这就会对审计的作用带来巨大的影响,使其无法发挥其应有的效用。另外,企业虽然相应的部署了安全管理平台进行日志的收集,但在当下的信息系统中智能分析能力较弱,不能够对全局进行有效的监控,也就没有办法实现综合监控和安全风险的态势分析。
3企业运维管理中信息系统安全风险的控制策略
通过对上述安全风险的问题进行有效的分析,基于信息的特点,本文提出了下述信息系统安全风险的控制策略。
3.1加强信息系统数据资源的安全风险控制
数据资源的风险控制主要从三个方面进行:①存储安全,可以采用先进的加密技术对信息数据库进行加密处理,从数据资产产生的源头进行安全防护体系的构建;②标识安全,通过标识技术对信息进行去区分标注,经过审计后,让标识与信息系统密不可分,这样就不会出现信息篡改的问题;③访问安全,可以采用强制访问控制的方式,对访问主体进行限制。例如,某些数据非管理员权限仅能读取,不能够打印或者重新编辑,而一些重要信息限制再无权观看。
3.2加强信息系统的信息安全风险控制
信息安全主要就是对应用安全进行控制,通过对系统的需求进行有效的分析,设计开发指导验收运维过程中进行安全保障。同时还要定期对系统进行渗透测试,如果企业的技术较为先进,还可以通过源代码进行安全风险分析,仔细地对漏洞进行查找,如果发现及时进行修复,长此以往就会不断提高系统的整体安全性。另外还要将运维过程中出现的问题进行整体分析,这样就能够形成较为完善的风险控制规范,为后续的系统安全提供可行性较高的参考数据。
3.3构建运维风险控制平台
针对认证管理和孤岛等问题,就可以亿堡垒机为中间体进行控制平台的构建,形成对企业信息系统全面的安全监控。通过安全防护产品的报警日志和应用系统的审计日志,构建威胁事件的审计模型,构建完善的综合安全事件分析统计平台,这样才能对风险事件进行关联审计分析,最终实现实时报警的效果。
3.4加强信息系统的管理和梳理
要想切实地提高企业的信息系统运维管理能力,必须要加强信息安全专项检查,要制定详细的规范来明确信息系统日常需要进行的管理操作,还要对日常管理的具体细节进行定义,这样才能使信息系统日常管理规范、明确,继而使其信息化和制度化。还要闭环管理信息安全风险和运维实践,防止低层次的信息安全问题发生。另外还要加强专项检查整体提高信息系统的安全运维能力。同时还要对信息资源进行有效的分类整理,要构建完善的应急备灾能力,还要定期对应急备灾的能力进行检测,例如可以临时构建信息丢失的问题,看其恢复能力,只有这样才能有效地保障备份能够及时地恢复。
3.5构建完善的信息风险防护体系
正与邪、矛与盾、攻与防,永远都是相对存在的。在信息系统风险控制上也是一样的,要想预防攻击者的非法入侵,就必须要建立完善的信息风险防护体系。所以,企业要培养构建一支团队,让其不断进行学习,掌握攻击的技术,然后让其对企业的防护系统进行破坏,进而完善,只有不断地从攻击者的角度去思考,才能够构建完善的防护体系,只有不断进行攻防,才能够更好地提升信息风险防护体系,让其更好地保护信息系统,防止信息窃取和篡改的问题出现。
4结语
综上所述,虽然当下企业对信息安全风险的防护工作不断重视,也构建了许多防护的措施,具备了一些防护能力,但由于信息技术的不断发展,使漏洞变得更加隐蔽。所以,企业要想稳定发展,必须要采取措施对信息系统安全风险进行运维控制,只有这样才能有效的保障企业的经济利益,为企业的发展做出有力的支撑。
作者:徐美霞 单位:广东电网有限责任阳江供电局
参考文献:
[1]上官琳琳.企业信息系统的管理与运维研究[J].管理观察,2014(18):100-101+104.
[2]何芬.企业运维管理中信息系统安全风险控制探究[J].信息技术与信息化,2014(5):208-210+212.
[3]石磊,王刚.关于企业信息安全风险管理系统的研究[J].华北电力技术,2013(9):65-70.
企业信息安全管控范文3
【关键词】信息系统;安全建设;防护体系
1.企业信息系统安全防护的价值
随着企业信息化水平的提高,企业对于IT系统的依赖性也越来越高。一方面,“业务系统流程化”正在成为IT安全建设的驱动力。企业的新业务应用正在逐渐标准化和流程化,各种应用系统如ERP、MES为企业的生产效率的提高起到了关键的作用。有效的管控IT环境,确保IT业务系统的持续稳定运行作为企业竞争力的一部分,已成为IT系统安全防护的主要目标和关键驱动力。另一方面,企业IT安全的建设也是“法规遵从”的需要。IT系统作为企业财务应用系统的重要支撑,必须提供可靠的运行保障和数据正确性保证。
2.企业信息系统安全建设的现状分析
在企业信息化建设的过程中,业务系统的建设一直是关注的重点,但是IT业务系统的安全保障方面,往往成为整个信息化最薄弱的环节,尤其是在信息化水平还较低的情况下,IT系统的安全建设缺乏统一的策略作为指导。归结起来,企业在IT系统安全建设的过程中,存在以下几方面的不足:
2.1 安全危机意识不足,制度和规范不健全
尽管知道IT安全事故后果比较严重,但是企业的高层领导心中仍然存在着侥幸心理,更多的时候把IT安全建设的预算挪用到其他的领域。企业在信息安全制度及信息安全紧急事件响应流程等方面缺乏完整的制度和规范保证,由此带来的后果是诸如对网络的任意使用,导致公司的机密文档被扩散。同时在发生网络安全问题的时候,也因为缺乏预先设置的各种应急防护措施,导致安全风险得不到有效控制。
2.2 应用系统和安全建设相分离,忽视数据安全存储建设
在企业IT应用系统的建设时期,由于所属的建设职能部门的不同,或者是因为投资预算的限制,导致在应用系统建设阶段并没有充分考虑到安全防护的需要,为后续的应用系统受到攻击瘫痪埋下了隐患。数据安全的威胁表现在核心数据的丢失;各种自然灾难、IT系统故障,也对数据安全带来了巨大冲击。遗憾的是很多企业在数据的安全存储方面,并没有意识到同城异地灾难备份或远程灾难备份的重要性。
2.3 缺乏整体的安全防护体系,“简单叠加、七国八制”
对于信息安全系统的建设,“头痛医头、脚痛医脚”的现象比较普遍。大多数企业仍然停留在出现一个安全事故后再去解决一个安全隐患的阶段,缺乏对信息安全的全盘考虑和统一规划,这样的后果就是网络上的设备五花八门,设备方案之间各自为战,缺乏相互关联,从而导致了多种问题。
3.企业信息系统安全建设规划的原则
企业的信息化安全建设的目标是要保证业务系统的正常运转从而为企业带来价值,在设计高水平的安全防护体系时应该遵循以下几个原则:
(1)统一规划设计。信息安全建设,需要遵循“统一规划、统一标准、统一设计、统一建设”的原则;应用系统的建设要和信息安全的防护要求统一考虑。
(2)架构先进,突出防护重点。要采用先进的架构,选择成熟的主流产品和符合技术发展趋势的产品;明确信息安全建设的重点,重点保护基础网络安全及关键应用系统的安全,对不同的安全威胁进行有针对性的方案建设。
(3)技术和管理并重,注重系统间的协同防护。“三分技术,七分管理”,合理划分技术和管理的界面,从组织与流程、制度与人员、场地与环境、网络与系统、数据与应用等多方面着手,在系统设计、建设和运维的多环节进行综合协同防范。
(4)统一安全管理,考虑合规性要求。建设集中的安全管理平台,统一处理各种安全事件,实现安全预警和及时响应;基于安全管理平台,输出各种合规性要求的报告,为企业的信息安全策略制定提供参考。
(5)高可靠、可扩展的建设原则。这是任何网络安全建设的必备要求,是业务连续性的需要,是满足企业发展扩容的需要。
4.企业信息系统安全建设的部署建议
以ISO27001等企业信息安全法规[1]遵从的原则为基础,通过分析企业信息安全面临的风险和前期的部署实践,建立企业信息安全建设模型,如图1所示。
图1 企业信息系统安全建设模型
基于上述企业信息安全建设模型,在建设终端安全、网络安全、应用安全、数据安全、统一安全管理和满足法规遵从的全面安全防护体系时,需要重点关注以下几个方面的部署建议:
4.1 实施终端安全,关注完整的用户行为关联分析
在企业关注的安全事件中,信息泄漏是属于危害比较严重的行为。现阶段由于企业对网络的管控不严,员工可以通过很多方式实现信息外泄,常见的方式有通过桌面终端的存储介质进行拷贝或是通过QQ/MSN等聊天工具将文件进行上传等。针对这些高危的行为,企业在建设信息安全防护体系的时候,单纯的进行桌面安全控制或者internet上网行为控制都不能完全杜绝这种行为。而在统一规划实施的安全防护体系中,系统从用户接入的那一时刻开始,就对用户的桌面行为进行监控,同时配合internet上网行为审计设备,对该员工的上网行为进行监控和审计,真正做到从员工接入网络开始的各种操作行为及上网行为都在严密的监控之中,提升企业的防护水平。
4.2 建设综合的VPN接入平台
无论是IPSec、L2TP,还是SSL VPN,都是企业在VPN建设过程中必然会遇到的需求。当前阶段,总部与分支节点的接入方式有广域网专线接入和通过internet接入两种。使用VPN进行加密数据传输是通用的选择。对于部分移动用户接入,也可以考虑部署SSL VPN的接入方式[2],在这种情况下,如何做好将多种VPN类型客户的认证方式统一是需要重点考虑的问题。而统一接入认证的方式,如采用USBKEY等,甚至在设备采购时就可以预先要求设备商使用一台设备同时支持这些需求。这将给管理员的日常维护带来极大的方便,从而提升企业整体的VPN接入水平。
4.3 优化安全域的隔离和控制,实现L2~L7层的安全防护
在建设安全边界防护控制过程中,面对企业的多个业务部门和分支机构,合理的安全域划分将是关键。按照安全域的划分原则,企业网络包括内部园区网络、Internet边界、DMZ、数据中心、广域网分支、网管中心等组成部分,各安全域之间的相互隔离和访问策略是防止安全风险的重要环节。在多样化安全域划分的基础上,深入分析各安全域内的业务单元,根据企业持续性运行的高低优先级以及面临风险的严重程度,设定合适的域内安全防护策略及安全域之间的访问控制策略,实现有针对性的安全防护。例如,选择FW+IPS等设备进行深层次的安全防护,或者提供防垃圾邮件、Web访问控制等解决方案进行应对,真正实现L2~L7层的安全防护。
4.4 强调网络和安全方案之间的耦合联动,实现网络安全由被动防御到主动防御的转变
统一规划的技术方案,可以做到方案之间的有效关联,实现设备之间的安全联动。在实际部署过程中,在接入用户侧部署端点准入解决方案,实现客户端点安全接入网络。同时启动安全联动的特性,一旦安全设备检测到内部网用户正在对网络的服务器进行攻击,可以实现对攻击者接入位置的有效定位,并采取类似关闭接入交换机端口的动作响应,真正实现从被动防御向主动防御的转变。
4.5 实现统一的安全管理,体现对整个网安全事件的“可视、可控和可管”
统一建设的安全防护系统,还有一个最为重要的优势,就是能实现对全网安全设备及安全事件的统一管理。面对各种安全设备发出来的大量的安全日志,单纯靠管理员的人工操作是无能为力的,而不同厂商之间的安全日志可能还存在较大的差异,难以实现对全网安全事件的统一分析和报警管理。因此在规划之初,就需要考虑到各种安全设备之间的日志格式的统一化,需要考虑设定相关安全策略以实现对日志的归并分析并最终输出各种合规性的报表,只有这样才能做到对全网安全事件的统一可视、安全设备的统一批量配置下发,以及整网安全设备的防控策略的统一管理,最终实现安全运行中心管控平台的建设。[3]
4.6 关注数据存储安全,强调本地数据保护和远程灾难备份相结合
在整体数据安全防护策略中,可以采用本地数据保护和远程灾备相结合的方式。基于CDP的数据连续保护技术可以很好地解决数据本地安全防护的问题,与磁带库相比,它具有很多的技术优势。在数据库的配合下,通过连续数据快照功能实现了对重要数据的连续数据保护,用户可以选择在出现灾难后恢复到前面保存过的任何时间点的状态,同时支持对“渐变式灾难”的保护和恢复。在建设异地的灾备中心时,可以考虑从数据级灾备和应用级灾备两个层面进行。生产中心和异地灾备中心的网络连接方式可以灵活选择,即可采用光纤直连,也可采用足够带宽的IP网络连接。在数据同步方式选择上,生产中心和灾备中心采用基于磁盘阵列的异步复制技术,实现数据的异地灾备。异地灾备中心还可以有选择地部署部分关键应用服务器,以提供对关键业务的应用级接管能力,从而实现对数据安全的有效防护。
5.结束语
企业信息安全防护体系的建设是一个长期的持续的工作,不是一蹴而就的,就像现阶段的信息安全威胁也在不断的发展和更新,针对这些信息安全威胁的防护手段也需要逐步的更新并应用到企业的信息安全建设之中,这种动态的过程将使得企业的信息安全防护更有生命力和主动性,真正为企业的业务永续运行提供保障。
参考文献
[1]李纳.计算机系统安全与计算机网络安全浅析[J].科技与企业,2013.
[2]李群,周相广,陈刚.中国石油上游信息系统灾难备份技术与实践[J].信息技术与信息化,2010,06.
企业信息安全管控范文4
【关键词】军工企业;信息安全;问题
军工企业是国家国防科技工业的重要组成部分,也是国防综合实力重要发展的企业。随着信息技术的全面发展,信息化建设已成为军工企业科研发展不可或缺的一部分,信息化的建设可以快速推进军工企业的科研、工艺等方面的技术发展,同时可提供企业决策的可靠数据,所以,军工企业的信息化可为企业提供强大的技术支撑与快捷的数据分析,提高了企业的整体竞争力。但是,由于军工企业的特殊性与保密性,在军工企业信息化建设方面,信息安全的问题尤为突出。特别是随着信息化的快速发展,军工企业一般都面临网络建设日益庞大,但信息安全的建设却无法满足网络发展的问题,这就导致网络安全日益严重的隐患,同时问题也在不断增多。
一、信息安全的不稳定因素
随着网络的建设,信息安全的不稳定因素主要体现在以下各方面:
1.客户端数量不断增多,意味着使用人员的增多。但实际情况中,许多人员并不重视自己所使用设备的安全性与可靠性,盲目的认为只要客户端可以使用,数据存在就可以,殊不知,由于不重视将造成了网络信息的严重安全隐患。
2.信息安全制度的不规范或实施不力,信息安全制度属于信息管理制度,目前主要由信息部门进行制定同时推广实施,但由于信息部门工作任务重,同时还要承担信息技术研究、开发工作,无法兼顾实施,即使制度进行了推广,但由于部门的局限性也无法得到很好的响应,就造成了安全制度的执行不力,也给网络信息安全带来严重的安全隐患。
3.客户端操作系统漏洞升级不及时及安全应用软件安装不到位,目前一般的客户端使用的均为微软的操作系统,安全应用软件为国产软件。由于军工企业一般要求内外网完全物理隔离,所以,当微软公司成批量推出操作系统漏洞补丁时,如果信息部门不及时从互联网上下载补丁同时下发,将造成客户端计算机的漏洞大量存在,形成极大的安全隐患,同时,客户端如果不按要求安装安全应用软件,也会给网络造成安全隐患。
4.企业中便携式设备管理松散,一般的军工企业中都存在一部分便携式设备,包括便携式计算机、存储设备等,虽然针对这部分设备一般企业都会制定严格的管理制度,包括使用、归还、数据拷贝等都有详细的要求描述,但由于各方面的原因,往往存在不按制度办理的情况,造成信息安全的人为隐患。
二、解决安全隐患的有效途径
以上四个问题是军工企业信息安全中常见的安全隐患问题,如何解决,将是以下讨论的重点:
1.做到制度从上到下一致执行,同时制度发行要讲究方式方法,如组织全员学习制度规范,同时真正发挥企业领导小组的职能作用;信息安全的学习与意识培养,也是重要的组成部分,只有全员信息安全意识提升,才能时所有的信息安全制度深入到各方面的工作中,同时发挥信息中心的监管作用,对网络客户端制定信息安全制度制定的定期检查工作,只有定期或不定期的排查、宣灌,才能真正的将信息安全制度推行到企业的每一个使用者,得到真正的执行。
2.由于军工企业的特殊性,在企业的园区网络中会存在大量的敏感信息,所以客户端作为使用终端,是信息流通的一个重要环节,控制敏感信息的流向与操作权限将是企业信息安全的重要组成部分。加强企业客户端的管理,安装对客户端使用行为进行管控的安全产品,制定不同客户端的响应管控安全策略,同时保证策略下发到位是企业保证信息安全的一个重要手段。安全管理人员也应重视日常客户端监控监控行为的日志分析工作,确保网络客户端的信息安全。
3.安装漏洞扫描系统,对网络进行统一的漏洞扫描,并及时安装补丁下发系统(wsus),确保网络中所有设备操作系统安全性与可靠性,防止应漏洞引起的安全问题。同时,及时对网络防病毒软件的病毒库更新升级,网络管理员在病毒库更新后要下发到全网设备,对不及时升级的设备要执行强制升级,保证网络的纯净,防止因后门或木马病毒的扩散造成的信息安全隐患。
4.加强企业中便携式设备的管理,对可以安装安全软件的设备一定要安装,同时,要对所有便携式设备统一管理,定期检查。因在便携式设备中安装文档加密软件,防止设备中的敏感信息泄漏。
5.安装必须的网络安全设备,加强网络信息安全的管理力度,同时安全管理人员应及时收集各个设备的日志,并加以分析,通过日志分析,统一规划网络的安全策略,并针对常见的安全隐患制定响应的安全策略,并对网络中存在的薄弱环节进行重点管理、重点监控。
企业信息安全管控范文5
1.1电信企业的特点
近10年来,电信企业经历了高速的发展,网络规模庞大、用户数量众多、业务发展多元化,使得电信企业具有了如下的主要运营特点:(1)电信企业业务种类繁多,流程复杂程度高。当前,随着人们需求的多元化和个性化,单一的话音业务已不能满足用户通信的需求,电信企业根据不同细分市场的用户需求提供多种多样的增值电信业务,业务流程复杂性增大。同时,电信企业的部分业务涉及多方参与,除了最终用户,还有众多第三方公司,甚至还有当地政府部门。在监管方面,电信企业也必须依照国家法律对第三方提供内容监管,防止其提供违法信息。(2)电信业务涉及大量的电子业务数据交互,数据涉及用户的个人敏感信息。电信企业内部运作主要依赖于各种IT系统,大部分业务数据和内部管理运作轨迹数据都是以电子数据的形式存在于各系统的数据库中。海量的业务数据中,包含了用户的个人敏感信息,诸如用户个人身份信息、订购信息、交易信息等;内部管理数据中,包含了企业发展战略、重要规章制度、管理信息等机密内容。不同的业务数据之间要进行交互,如果人为通过系统后台改变用户的账户或交易信息,将会对业务结算或者财务带来风险。(3)业务运营和企业内部运作对支撑系统依赖程度高,平台种类繁多。电信企业所提供的服务都需要后台支撑系统的支持,如业务运营支撑系统就承载着计费、结算、营业账务和客户服务等多项核心业务,这些业务都要求有一个高度稳定、运行顺畅、安全可靠的系统。同时,企业内部工作主要依赖管理信息系统,如现在重要的公文审批都会通过OA系统进行签批,业务系统账号申请与维护也是在内部管理信息系统中完成。电信行业的这些特点,不难得出信息化运营和管理在电信行业发展中的重要地位,一旦信息安全出现问题,必将带来十分严重的后果。因此,从电信行业的运营特点出发,构建全面的信息安全合规管理体系,是电信企业实现业务快速、稳定、健康发展的必由之路。
1.2信息安全管理面临的问题
近年来,各大电信企业针对信息安全建设进行了大量的工作,但是依然面临着很多问题,主要表现在:(1)信息安全管控要求多。存在多个部门、维护信息安全制度的情况,缺乏平台化的制度管理机制,具体的执行人员很难在第一时间了解最新的安全制度要求。此外,针对同样的安全管控内容,不同的信息安全制度常常存在标准不统一的情况,令执行人员无所适从。(2)部分信息安全制度中的规定缺乏实质性管控要求,无法明确有效地转化到执行层面予以落实。同时,往往信息安全管理要求没有落实到具体的部门,更没有落实到具体的岗位,面对大量的安全管控要求,执行起来非常困难。(3)信息安全检查缺乏统一的标准,并且主要采用人工检查,每次检查往往需要进行人工访谈、资料查阅、现场测试等多个环节,耗费大量的时间、人力和物力。检查内容、检查方法、检查工具、检查人员的能力等都成为影响检查效果的因素。(4)针对企业各个层面的信息安全管理情况缺乏统一的评价标准,不能进行量化考核;没有量化数据,无法实现对部门和系统合规水平综合评价的数据支撑。(5)没有统一的信息安全合规管理平台,就无法为信息安全合规管理的体系落地、执行提示、监督检查和水平评价提供统一、全面的系统管理支撑基础。
1.3信息安全管理的解决之道
针对上述信息安全管理面临的问题,本文借鉴国际上的GRC管理理念和SOX内控矩阵的思想,按照PDCA管理模式来构建电信企业的信息安全合规管理体系,从而解决信息安全体系化管理难、落实执行难、监督检查难、量化管理难的问题。通过建立信息安全合规管理系统,形成信息安全合规整体视图,实现安全要求、任务执行、监督检查、整改跟踪、量化评价的管理闭环,支撑信息安全全生命周期的管理,最终达到信息安全水平的持续螺旋式提升。
2信息安全合规管理体系
信息安全合规管理应借鉴国际先进管理理念,明确管理体系的核心要素,从信息安全组织与人员的构建、信息安全矩阵的知识支撑、信息安全合规管理平台建设等方面入手,来构建电信企业的信息安全合规管理体系。
2.1GRC理念
GRC理念是国际先进的现代化企业管理理念。作为企业上层建筑,GRC包含了公司治理、战略绩效管理、风险管理、审计、法律、合规遵从、IT治理、道德和企业社会责任、质量管理、人力资本、企业文化、财务等广泛的领域。GRC理念应用的价值在于,以企业管控、风险和法规遵从为对象,为决策层和管理层提供综合信息和流程控制支持,帮助企业安全、高效地实现预期目标。
2.2管理体系的核心机制
信息安全合规管理体系以制度策略、管控执行、安全检查、整改跟踪为主线,实现信息安全合规的闭环管理,也即管理体系的核心机制:(1)制度策略:信息安全管理体系的建设阶段,针对信息安全制度进行统筹化、体系化管理,掌握制度体系建设全貌,有效警示制度的缺失和盲点。(2)管控执行:信息安全管理体系的实施阶段,将信息安全管控要求明确落实到企业的各个责任部门、岗位和人员,具体执行人员在落实管控要求时,都能得到知识的指导和定期的提醒。(3)安全检查:信息安全管理体系的检查阶段,推动执行标准化、统一化、平台化的安全检查,及时发现安全管控薄弱环节,为潜在风险提供有效的预警和整改过程的跟踪。(4)整改跟踪:信息安全管理体系的评价阶段,收集并分析安全检查的结果数据,跟踪整改效果,评价安全管控水平,通过统计视图展现安全合规整体视图,获取可视化的安全决策信息,支撑今后的信息安全建设方向。制度策略和管控执行,对应的即是GRC中的G,前者作为信息安全治理的依据和执行指导,后者正是治理要求在具体执行层面的事实与落实;安全检查,则对应着GRC中的R,检查信息安全治理要求的落实情况和风险规避的水平;合规评价,对应着GRC中的C,评价信息安全管控措施的内外部合规程度,指导未来的改进方向。
2.3管理体系的实现要素
企业任何业务的有效运行,都离不开人、流程和技术3个层面的有机组合。因而,成熟的电信行业信息安全合规管理体系,人、流程和技术也构成了其实现的要素。针对信息安全合规管理,具体来说,“人”这一要素构成了企业的信息安全组织,“技术”这一要素就是指信息安全矩阵,即支撑信息安全管理执行落实、安全检查以及合规评价的知识基础,“流程”这一要素指的是信息安全合规管理平台,将制度管理、控制落实、安全检查、合规评价以及整改等信息安全管理流程固化到平台中,提供流程化、平台化的高效管理。
2.3.1信息安全组织
电信企业都是大型企业,包含有集团总部和各个省市公司,因而应该建立自上而下、分层分级、涵盖各IT相关部门的信息安全组织。信息安全组织由安全决策层、安全管理层和安全执行层3个层面的人员组成。安全决策层负责制定公司的信息安全目标、掌握整体的信息安全管控与风险水平,部署信息安全改进建设方向。安全管理层负责制定并审查信息安全制度规定,建立信息安全的管控要求、执行标准和检查依据,监督安全问题的整改落实情况。安全执行层主要是按照要求,落实好公司的各项管控要求,保证信息安全工作落实到岗到人,对于存在问题的地方做好彻底的整改工作。
2.3.2信息安全矩阵
信息安全合规管理的核心是建立信息安全矩阵。需要对内外部信息安全合规要求进行体系化梳理,建立信息安全矩阵框架,包括控制矩阵、检查矩阵、对应矩阵以及资产矩阵。控制矩阵,主要提供信息安全的各项管控要求,指导执行人员予以落实,其关键属性主要包含有控制点描述、控制领域、控制类型、控制频率。检查矩阵,主要提供对控制矩阵中的各个控制点执行情况的好坏,提供检查的标准和具体的检查步骤,用以指导检查人员进行安全检查工作,其关键属性主要包含有检查点描述、检查方式、检查步骤、检查点固有严重度、执行建议、控制点编号、资产类型。对应矩阵,主要提供企业内部信息安全制度与信息安全控制矩阵的对应关系,便于相应的查询分析的需要;提供外部信息安全监管规范要求与信息安全控制矩阵的对应关系,便于分析当前的控制矩阵是否能够充分满足外部监管机构的监管要求,其关键属性主要包含有内部制度/外部规范控制要求编号和控制点编号。资产矩阵,主要提供对信息安全资产进行定义、分类、管理和查询等;为控制点执行管理、信息安全检查、信息安全合规与风险评价等,提供统一的资产数据接口,其关键属性主要包含有资产编号、所属部门、资产责任人、资产类型、资产重要性等级。如图1所示,通过信息安全各个矩阵的映射关联关系,可以进行多维度的查询分析。
2.3.3信息安全合规管理平台
在构建了企业级的全面层次化的信息安全组织,建立了信息安全矩阵后,为了能够有效地进行信息安全合规闭环管理,就需要搭建一个信息安全合规管理平台,支撑各个信息安全管理流程的平台化管理和实施。信息安全合规管理平台,从业务角度出发,需要实现以下功能需求:(1)企业各类信息安全管理工作要求能够成体系、易维护。(2)企业任何人员可以通过该平台了解企业针对自己所属组织乃至自身所提出的信息安全工作要求。(3)企业各级部门通过该平台明确自己的安全工作目标,各级信息安全管理部门可以通过该平台对企业各组织、系统进行安全管理工作检查、评价和整改指导。(4)企业各级信息安全管理部门可以通过该平台进行安全风险分析和量化评价。
3信息安全合规管理平台的建设思路
为了有效地解决电信行业当前信息安全合规所面临的问题和挑战,未来的合规平台将通过制度管理、信息安全矩阵管理、执行管理、合规检查、合规风险评价等功能模块,来实现并支撑信息安全合规的全生命周期流程管理。基于上述各功能模块的平台整体业务功能框架视图如图2所示。其中,平台的核心功能主要包含如下。(1)信息安全矩阵管理:该功能模块主要提供信息安全矩阵的导入导出与维护管理、关联查询、版本管理和分级管理等功能,支撑对企业各级公司均适用的信息安全矩阵的统一和管理,作为整个企业的信息安全管控要求的统一标准。(2)执行管理:该功能模块主要是提供执行任务分配、执行人变更管理、控制执行提醒和控制执行查询等功能,保证将控制点和检查点的具体执行要求落实到具体的控制点执行人员;针对那些周期性执行的控制点,通过平台向执行人员定期发送提醒,督促其按时完成控制点的执行要求。(3)合规检查:该功能模块主要是提供检查计划管理、人工检查管理和自动检查管理功能,用来完成信息安全检查计划的制定,对人工检查和自动检查进行过程管理,在线记录或者自动生成相应的安全检查结果。(4)合规风险评价:该功能模块主要是根据安全检查的结果,提供量化的合规评价、风险评价和综合评价功能。合规评价,主要是通过对检查点结果统计,得出满足检查要求的控制点的比例,主要反映控制点管控落实的工作量。风险评价,主要是针对那些不合规的控制点,根据其实际的执行情况,分析并得出该控制点的潜在风险高低和影响大小。综合评价,主要是基于对合规满足度的评价结果和不合规控制点的风险大小,综合给出合规管控工作的完成效果,便于进行横向比较。根据电信企业的特点和信息安全分级管理的需要,可考虑实施集团总部和各个省市公司的两级/多级平台基础架构的部署。其中,集团总部的合规一级平台将主要负责制度管理、信息安全矩阵管理,制定全集团的安全检查计划,分析和评价各省市公司的安全管控水平和风险。省市公司的合规二级平台,则侧重于分配落实好集团控制矩阵的各项控制点和要求的责任人,落实集团或者制定省内的安全检查计划,实施安全检查工作,分析和评价省内的安全管控水平和安全风险,根据检查结果完成后期安全整改工作。
4信息安全合规管理体系的应用与价值
通过搭建信息安全合规管理平台,实施信息安全合规管理体系,能够带来重要的价值。(1)提升信息安全管理的统一性和有效性。将分散的信息安全制度进行集中管理,形成以信息安全合规矩阵为核心,在全公司普遍适用,具有标杆意义的制度框架体系。通过制度体系在平台中的固化,可以随时随地进行信息安全制度的查询、分析和对标,制度体系的更新与维护也变得十分便捷。同时,建立整个企业的标准的信息安全合规管理体系框架,通过平台统一企业总部及子公司的信息安全管控落实与检查评价工作,有效避免实际执行工作中的差异性。(2)实现信息安全合规管控落实的常态化和流程化。通过信息安全合规管理平台固化了信息安全管控执行流程和信息安全矩阵,包括控制执行方式、控制执行频率、控制所属岗位、控制关联资产配置等信息,指导具体的IT人员执行落实安全管控的工作要求。通过执行工作的流程化,将安全管控要求落实到人,确保管理要求能有效执行,或结合安全控制要求的执行频率,定期自动向执行人员发送例行提醒,推动合规管控落实的常态化。(3)提升信息安全合规检查的效率。通过集成标准化检查工具,遵循规范的检查要求和步骤,大大降低了人工检查的成本,避免检查过程中标准不一致和质量参差不齐的问题。针对不同的专项检查需要,可以通过平台方便地定制有针对性的检查计划。针对新的内外部信息安全监管要求,能够及时便捷的更新补充相应的检查内容和要求到平台中,保证与外部监管要求的一致性和实效性。同时,针对检查中发现的问题,通过平台能够提供流程化的整改任务派发工单,发送给安全管理人员予以整改,并限定时间,与提醒机制联动,整改过程可以通过平台进行有效的跟踪,保证信息安全问题得到及时整改。(4)提升信息安全合规的量化评价水平和决策支撑能力。建立统一的信息安全量化的评价体系和标准,固化到平台中,实现安全合规水平的量化管理,结合平台的数据处理分析能力,提供信息安全合规管控情况和风险的多维度、可视化视图。执行层可以获得基于部门、省市公司、IT或者业务流程、资产、外部合规要求等不同维度的统计和分析信息,为信息安全合规工作的持续改进提供充足的信息。管理层可以通过统计的结果,直观地掌握企业整体安全管控水平全貌和当前面临的主要风险,为决策提供有力的数据支撑。
5展望
企业信息安全管控范文6
【关键词】本质安全 烟草信息化 信息安全
1 本质安全思想概述
本质安全是应用人机工程学的原则,通过机械的设计者,在设计阶段采取措施来消除设备隐患的一种实现本质安全的方法。本质安全包含四个要素:环境、设备、人员、管理。
本质安全的四个要素存在着辩证统一的关系,本质安全是“安全第一、预防为主、综合治理”的根本体现,安全事故来源于要素内部或要素之间的矛盾。几个要素之间发生冲突,就有可能激发形成事故,如果某个要素存在不安全因素,也会出现这种情况。在四个因素中,环境是外部条件,设备是本质安全的基础,人是本质安全的灵魂,管理制度是本质安全的关键。
下面将从本质安全角度出发对烟草信息化建设安全风险进行分析,提出解决的对策及方案。
2 烟草行业信息化建设安全风险分析
2.1 内部安全存在隐患
随着信息技术应用的日益普遍和成熟,各烟草企业已建立起属于自己的内部局域网,并开发出各种所需信息系统,包括信息管理系统、生产销售系统、办公系统、综合服务系统、决策系统等。信息系统在给企业带来巨大便利的同时,也给企业信息安全带来了更多、更大的风险,如不良信息对员工思想的冲击,员工结构频繁的变化流动等,都给企业的内部安全控制造成了很大隐患。
2.2 易受外部干扰和攻击
烟草企业为方便基层员工,内部网络与外部网络的频繁连接,为外部网络中病毒、木马、黑客等对企业内部网络的干扰、攻击与破坏创造了便利的通道。一旦企业内部网络遭受外部干扰和攻击,将很可能导致企业信息系统遭受不良影响而中断,甚至造成整个网络系统瘫痪和计算机的崩溃,给企业造成巨大的经济损失。
3 烟草信息安全建设措施
3.1 环境与设备方面,提高技术手段,确保风险可控
首先,以风险管控为核心,搭建安全生产管理应用框架。建设的重点在风险管控,进行危险源辨识、评价和结果审批、,针对危险源制定管控措施,自动生成各个岗位的预控方案,形成对所辖危险源的有效督管机制。其次,以标准化达标为基础,搭建工作协同应用框架。以安全生产标准化和职业健康体系做理论依据,结合与各级企业的实际工作流程拆分设置不同的模块。同时运用先进信息化手段,使不同层面的业务人员直接在计算机上完成日常采集信息、处理信息、分析信息等方面的工作,实现安全生产管理工作的流程化、标准化。
3.2 提高系统安全管理
对于烟草公司信息安全系统来说主要包括如下几点:根据业务需求和系统安全分析确定系统的访问控制策略;定期进行漏洞扫描,对发现的系统安全漏洞及时进行修补;安装系统的最新补丁程序,在安装系统补丁前,首先在测试环境中测试通过,并对重要文件进行备份后,方可实施系统补丁程序的安装。在此基础上,建立系统安全管理制度,对系统安全策略、安全配置、日志管理、日常操作流程等方面作出具体规定,同时指定专人对系统进行管理,划分系统管理员角色,明确各个角色的权限、责任和风险,进而依据操作手册对系统进行维护。从基础与操作两方面提高信息系统的安全性。
3.3 加强恶意攻击防范管理,提高系统风险抵御能力
恶意攻击层出不穷,需要提高所有网络用户的防病毒意识,在读取移动存储设备上的数据以及网络上接收文件或邮件之前,由操作系统自动进行病毒检查;并指定专人对网络和主C进行恶意代码检测并保存检测记录。在此寄出上,定期检查信息系统内各种产品的恶意代码库的升级情况,对主机防病毒产品、防病毒网关和邮件防病毒网关上截获的危险病毒或恶意代码进行及时分析处理,进而系统病毒库的先进性。
4 结束语
信息技术在烟草行业得到了普遍应用,并对烟草行业的信息整合、资源优化配置、管理理念更新等发挥了无可比拟的作用。然而其信息安全性却存在着很多风险,如何控制好这些风险已成为烟草行业当前所迫切需要解决的一个问题。近年来,烟草行业各级单位上下宣贯国家和行业政策文件的精神和要求,明确现阶段行业安全生产信息化建设处于基础建设阶段,未来还需要充分做好员工沟通理解、应用框架搭建、培训实践结合、人机协作尝试等几个方面的工作,促进烟草行业健康有序发展。
参考文献
[1]李庆诚,张文生.本质安全型集中式控制安全操作系统研究[J].单片机与嵌入式系统应用,2004(07):8-11.
[2]王德吉.“互联网+”时代的“工业4.0”信息安全探索与实践[J].自动化博览,2015(z2):30-33.
[3]武晓芳,温克强.工业网络信息安全隐患分析与解决[C].//中国石油和化工自动化第十一届年会论文集.2012:7-11.
[4]朱益F.烟草行业信息安全风险分析与控制策略研究[J].中国管理信息化,2015,18(24):182.
[5]罗晓龙.浅析烟草行业信息安全管理对策[J].科技创新与应用,2015(01):172-172.
[6]高萍,黄伟达.烟草企业信息安全方面的思考[J].黑龙江科技信息,2010(31):80.
作者简介
盛丰,男,现供职于安徽省烟草公司马鞍山市公司。
