前言:中文期刊网精心挑选了内网信息安全管理范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
内网信息安全管理范文1
一、国家电网公司信息安全的特点:
1.规模大:国家电网公司信息系统信息安全涉及电网调度自动化、生产管理系统、营销管理系统、供电服务、电子商务、协同办公、ERP等有关生产、经营和管理方面的多个领域,是一个复杂的大型系统工程;
2.点多面广:国家电网公司下属单位多、分布范围广,网络更加复杂,对如何保证边界清晰、管理要求实时准确落实等方面提出了更高的要求;
3.智能电网:同时随着智能电网的建设,网络边界向发电侧、用户侧延伸覆盖至智能电网各环节,具有点多、面广、技术复杂的特点,信息安全风险隐患更为突出;
4.新技术广泛应用:云计算、物联网、大数据等新技术的不断引入,对公司信息安全构成了新的挑战。
二、国家电网公司信息安全保护总体思路:
坚持“三同步”、“三个纳入”、“四全”、“四防”,信息安全全面融入公司安全生产管理体系。多年来,严格贯彻国资委、公安部、国家电监会工作要求,在国家主管部委、专家的指导帮助下,公司领导高度重视信息安全工作,坚持两手抓,一手抓信息化建设,一手抓信息安全:
1)坚持信息安全与信息化工作同步规划、同步建设、同步投入运行的“三同步”原则;2)坚持三个纳入,等级保护纳入信息安全工作中,将信息安全纳入信息化中,将信息安全纳入公司安全生产管理体系中;3)按照“人员、时间、精力”三个百分之百的原则、实现了全面、全员、全过程、全方位的安全管理;4)全面加强“人防、制防、技防、物防”的“四防”工作,落实安全责任,严肃安全运行纪律,确保公司网络与信息系统安全。
三、国家电网公司信息安全保护工作机制:
按照国家等级保护管理要求,结合电网企业长期以来的安全文化,建立了覆盖信息系统全生命周期的54项管理措施,形成了8项工作机制:
公司按照“谁主管谁负责、谁运行谁负责”和属地化管理原则,公司各级单位成立了信息化工作领导小组,统一部署信息安全工作,逐级落实信息安全防护责任。
1)信息化管理部门归口管理本单位网络与信息安全管理。2)网络与信息系统建设、运维和使用部门分别负责信息系统建设、运行维护和使用环节的网络与信息安全保障。3)业务部门在业务分管范围内协助做好相关系统的安全管理的检查监督和业务指导。4)总部、分部及公司级信息安全督查队伍负责开展信息安全技术督查。5)各单位与总部签定保密责任书和员工承诺书,建立自上而下、层层负责的保密责任体系。6)“不上网、上网不”。严禁计算机与信息内外网连接;严禁在连接外网的计算机上处理、存储信息;严禁信息内网和外网计算机交叉使用;严禁普通移动存储介质在内网和外网交叉使用;严禁扫描仪、打印机等计算机外设在内网和外网上交叉使用。7)技防:内外网强逻辑隔离+部署安全移动存储介质+安装桌面计算机监控系统+安装企业级防病毒系统+360卫士防护软件+对互联网出口+外网邮件内容+门户网站内容进行监控8)人防:培训竞赛+警示教育+检查+责任追究+《信息安全管理手册》+《信息系统安全典型案例手册》9)物防:保密管理系统,保密机及介质统一备案
四、国家电网公司信息安全的督察体系
建立公司级、省级两级信息安全技术督查体系,依托中国电科院、省电科院信息安全技术队伍,独立于日常安全建设和运行工作,有效监督检查、督促公司信息安全管理、技术要求和措施落实,及时发现各层面安全隐患,快速堵漏保全,消除短板,支撑公司网络与信息系统安全防御体系有效运转。
1)两级共计502人的信息安全技术督查队伍。2)开展常态、专项、年度和高级督查工作。3)督查覆盖各级单位,延伸至信息系统生命周期各环节。4)建立闭环整改、红黄牌督办、督查通报、群众举报等督查工作机制。5)充实督查技术装备,加强人员技能培养。6)2005年,电监会5号令,确立“安全分区、网络专用、横向隔离、纵向认证”的二次系统安全防护策略;。7)2007年,公司制定“双网双机、分区分域、等级防护、多层防御”的管理大区信息安全纵深防御策略。8)2010年,深化等级保护安全设计技术要求,结合智能电网防护需求深化完善,形成“双网双机、分区分域、安全接入、动态感知、全面防护”的管理大区信息安全主动防御策略。
五、国家电网公司信息安全的技术措施
1.信息安全的总体架构
a.双网双机。已完成信息内外网独立部署服务器及桌面主机,并安装安全防护措施。b.分区分域。依据等保定级情况及系统重要性,已基本实现各类边界、安全域的划分及差异化防护。c.安全接入。已实现对接入信息内外网各类终端采用安全加固、安全通道、加密、认证等措施,确保接入边界、终端及数据安全。d.动态感知。不断完善内外网安全监测与审计,实现事前预警、事中监测和事后审计。e.全面防护。对物理、网络边界、主机、应用和数据等进行深度防护,加强安全基础设施建设,覆盖防护各层次、各环节、各对象。
2.信息安全的边界安全
公司网络划生产控制大区和管理信息大区,同时在管理信息大区的基础上进一步划分信息内网和信息外网,形成“两个大区、九大边界”。针对信息内网边界重点区域进一步制定安全防护策略。a.内外网隔离策略:四特定特定业务应用、特定数据库、特定表单、特定操作指令。b.内网边界安全接入策略:五限制内网安全终端、无线加密专网、数据传输加密、交互操作固定、终端入网检测c.第三方专线接入防护策略:五专用专线连接、专区接入、特定内容交互、专机专用、专用程序、边界防护-逻辑强隔离设备。d.边界防护-内网安全接入平台。
1)保障非公司信息内网区域终端以安全专网方式接入信息内网;2)设备接入认证;3)数据隔离交换;4)实时安全监测;5)数据安全检查。
3.信息安全的安全检测
外网监测-信息外网安全监测系统。对互联网出口网络攻击事件、网络流量、敏感信息、病毒木马、用户上网行为、信息外网桌面终端安全态势进行实时监测与深度分析,日均监测并阻截外网边界高风险恶意攻击达2000余次,及时掌握全网互联网出口和信息外网实时安全态势。内网监测-信息运维综合监管系统对网络设备、383个骨干网节点、近400个业务指标。
1)内网边界实时监控2)网络设备、流量实时监控3)主机安全实时监控4)应用运行状态实时监控5)桌面终端标准化管理。
4.信息安全的数据保密
内网信息安全管理范文2
1.1网络安全
网络安全主要通过硬件防火墙及防病毒系统来实现。硬件防火墙可以将整个网络有效分隔为内部网络、外部网络以及中立区,通过对每个区域配置不同的安全级别,可以保证核心业务系统的安全。防病毒系统用于保护整个网络避免受到病毒的入侵。
1.2数据安全
数据安全包括数据备份恢复、数据库安全管理、访问控制以及系统数据加密。数据存储以及关键应用服务器均按照硬件冗余和数据备份方式配置。数据库系统通过数据库权限控制、身份认证、审计以及检查数据完整性和一致性加以保护。访问控制通过划分不同的VLAN以及设置访问控制列表,对主机之间的访问进行控制。系统数据加密考虑备份数据及传输数据进行加密,保证系统专有信息的安全及保护。
2系统现状
2.1现有系统构成
目前,路政分局路网管理系统划分为六大区域,即办公网区域、远程接入设备区域、视频会议终端区域、控制室接入区域、服务器区域以及核心网络设备区域,如图1所示。
2.2安全防护现状
在机房及监控室设置了防静电地板、温湿度表、门禁系统、不间断电源系统等,从物理上保护信息安全。在政务外网出口处部署了防火墙系统,实现办公终端区域、路网管理业务区及市政务外网3个区域之间的逻辑隔离,防止非授权人员的分发访问,保证业务系统的正常运行。在广域网(如中国联通IP专网、中国电信CD-MA)与路政分局内部局域网之间部署了防火墙系统,实现分局内部局域网与广域网之间的逻辑隔离,防止来自外部人员的非法探测与攻击,保证内网安全。在内网中部署网络版防病毒系统、网页防篡改系统、入侵检测设备以及漏洞扫描系统,用于防御病毒、木马等恶意代码的传播,保障重要WEB服务器数据的完整性和可靠性,及时发现内网中的安全隐患,有效地防止内部人员的故意犯罪。建立全网统一身份认证及授权系统,确保用户身份的安全性和可靠性,并在此基础上实现了全面灵活的用户授权管理。
2.3存在风险
(1)内部终端主机未设置监控与审计,将出现非法外联等非授权访问控制事件。(2)内网未部署安全审计系统,无法控制用户上网行为、重要业务系统及重要数据库系统。(3)内网出口处未部署应用层攻击检测与阻断设备,应用层不可避免会受到各种攻击。
3信息安全加固方案
3.1信息安全要求
路政分局路网管理系统必须按照国标《信息安全技术信息系统安全等级保护基本要求》(GB/T22239)中二级安全等级防护要求。第二级安全保护能力要求:应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的重要资源损害,能够发现重要的安全漏洞和安全事件,在系统遭到损害后,能够在一段时间内恢复部分功能。
3.2实施方案
根据路政分局的实际安全需求,参照等级保护的相关要求,通过采用安全审计技术、内网管理技术以及入侵保护技术,加固现有网络安全,以保障路政分局业务的持续正常运行,如图2路所示。(1)安全审计系统安全审计系统对系统运维信息、上网行为、数据图2路政分局路网管理系统构成图(加固)库操作行为、网络流量进行审计,并实现日志的统一保存。(2)内网安全管理系统内网安全管理系统在产品安装部署前保证所有终端与策略管理中心通过TCP/IP协议可以互联互通。策略管理中心部署在路政分局路网管理系统和OA系统业务系统的安全管理区域。安全部署在内部网络所有终端设备以及移动设备上。内网安全管理系统不仅能对内网终端进行身份认证和安全检查,防止内网终端非法外联行为,还能实现对内部终端用户行为进行审计。(3)入侵保护系统入侵保护系统部署在电子政务外网出口防火墙、远程接入防火墙与路网管理系统核心交换机与之间,防御来自政务外网、中国联通IP网、中国电信CD-MA网络的基于应用层的各种攻击。入侵保护系统高度融合高性能、高安全性、高可靠性和易操作性等特性,具备深度入侵防御、精细流量控制,以及全面用户上网行为监管等3大功能。
4结语
内网信息安全管理范文3
[关键词] 桌面安全;大型企业;中国石油
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 14. 034
[中图分类号] F272.7 [文献标识码] A [文章编号] 1673 - 0194(2012)14- 0058- 02
1 引 言
经过数十年的信息安全建设,国内大型企业的网络及应用系统的安全防护能力已经达到一定水平。但是信息安全故障并没有随着信息安全投入的增加而下降。经过统计发现,内部网络和应用系统发生故障的原因少部分是由于网络设备和应用系统自身的问题所引起,更多的是因为内网的其他安全因素导致,如病毒爆发、资源滥用、恶意接入、用户误操作等。而这些安全因素,大多来源于用户桌面计算机,桌面安全管理已经是各个企业迫在眉睫的安全建设内容。
2 影响桌面安全的因素
2.1 企业安全组织体系不健全,专职人员缺失
大型企业的业务跨度大,地域分布广。各个二级单位的信息安全水平发展不一。有的二级单位信息部门职工上千名,有的单位却没有独立的信息部门。但所有的二级单位都统一在企业内网中运行,各类统建系统在所有二级单位中运行。对于没有没有独立的信息部门的二级单位 ,更没有负责安全体系建设、运行和管理的专职机构及人员,兼职安全管理员有责无权的现象普遍存在,依据“短板”理论,极易从信息安全力量较弱的单位为突破口,进而影响到整个企业信息安全。特别是信息安全技术的快速发展,信息安全人员需不断提升自身素质,加强业务水平,才能保证桌面安全运行。
2.2 企业职工计算机缺乏安全加固手段
尽管多数大型企业对桌面计算机的安全加固已经采取了部分安全措施,如安装防病毒软件和个人防火墙软件,甚至部署了漏洞扫描系统定期对桌面计算机进行漏洞扫描,督促用户及时更新操作系统补丁。但是,首先由于企业规模较大,管理者无法保证所有的终端用户都安装了防病毒软件和防火墙软件。其次,即便安装了这些防护软件,用户也常常因为各种原因无法及时更新病毒库。另外,系统漏洞扫描虽然可以获得桌面计算机的补丁缺失情况,但是却缺乏有效的补丁安装手段。所有这些因素,均导致桌面计算机的安全无法得到有效的保障。
2.3 企业职工计算机缺少有效的接入控制手段
对于大型企业,内网计算机数量众多且分布地域广阔。网络管理人员很难统计内网计算机的确切数量,也无法区分哪些是内网授权使用的计算机,哪些是外来的非授权使用的计算机。这种状况下,很难控制外来人员随意的计算机接入。很容易导致企业内网机密信息的泄漏,往往等泄密事件发生了,却还无法判断到底是哪一个环节出了差错。另外,对于内网授权使用的计算机,任何一台感染了病毒和木马,网络管理人员也无法及时定位和自动阻断该计算机的破坏行为。往往需要花费很长的时间才能判断和定位该计算机,然后再通过手动的方式断网。对安全强度差的桌面计算机缺乏有效的安全状态检测和内网接入控制,是导致内网安全事件不断发生的重要原因之一。
3 大型企业桌面安全管理建设
中国石油信息化建设处于我国大型企业领先地位,在国资委历年信息化评比中都名列前茅,“十一五”期间,将企业信息安全保障体系建设列入信息化整体规划中,并逐步实施,其中桌面安全管理建设是信息安全保障体系建设的重点工作,从组织、管理及技术3个方面进行全面建设。
3.1 完善安全组织体系建设
中国石油建立三级的终端安全组织架构,分别为石油总部、地区公司、地区二级单位。终端安全组织在每一级设立专门的组织,明确主管领导,确定组织责任,设置相应岗位,配备必要人员。其中集团信息化领导小组是信息系统安全工作的最高决策机构,信息管理部是集团公司信息系统安全的归口管理部门,负责落实信息化工作领导小组的各项决策。企事业单位信息部门负责本单位信息系统安全的管理,并设立信息系统安全管理、审计、技术岗位,包括信息系统安全、应用系统、数据库、操作系统、网络等负责人和管理员,重要岗位设置两名员工互为备份。
3.2 强化安全管理体系建设
安全管理体系从管理制度、培训教育、运行管理及检查考核4方面进行强化。①管理制度。根据中国石油信息安全的需求,分阶段逐步制定并完善信息系统安全管理的规章制度,加大整个信息安全制度体系的贯彻执行力度,才能使安全防护能力得到不断的提高,整体信息安全才能落到实处。②培训教育。信息安全培训涉及信息安全法律法规、信息安全事件案例等多方面,通过培训一方面提高企业员工的安全意识,使员工自觉约束自我行为,遵守各项信息安全规章制度、标准规范;另一方面及时掌握必要的信息安全技术知识和技能,在实际工作中充分利用技术手段保障信息安全。③运行管理。 通过统一设计、统一平台,统一硬件体系架构,建立中石油桌面运行管理系统。采用三级架构,分别在总部、区域数据中心部署服务器和管理软件,各企事业单位的桌面计算机安装客户端软件,整个运行管理由防病毒子系统、补丁分发子系统、端点准入子系统、电子文档保护子系统、后台管理子系统组成。其中通过端点准入防御系统,只有符合安全要求且通过用户认证的计算机才能接入内部网络使用,防止“危险”、“易感”终端接入网络,控制病毒、蠕虫的蔓延。补丁管理系统与防病毒系统相结合,实时监测和杀除病毒,实现对漏洞、病毒及恶意代码的管理和控制,电子文档保护子系统、后台管理子系统增强系统及电脑文档的安全性。④检查考核。信息管理部门定期进行信息系统安全检查与考核,包括信息系统安全政策与标准的培训与执行情况、重大信息系统安全事件及整改措施落实情况、现有信息系统安全措施的有效性、信息系统安全技术指标的完成情况。各企事业单位信息部门按照本办法和《集团公司信息系统运行维护管理办法》进行信息系统安全自我考核,信息管理部进行综合评价,形成年度考核报告,报信息主管领导。
3.3 增强桌面安全技术建设
桌面安全技术指物理安全、逻辑安全及运行安全三大模块,通过与企业内控管理进行有机结合,依据《中国石油天然气集团公司信息系统总体控制实施要求》,严格执行相关操作规范,其中物理安全指进入机房的物理安全访问控制机制、设备的物理安全管理、敏感的纸质系统文件管理。逻辑安全包括系统登录身份验证、用户账号及特权用户账户管理、密码管理、用户权限管理、终端合规性管理等。运行安全包括病毒防护及病毒事件的处理、安全系统的备份与恢复、应急事件的处理。
4 结束语
随着信息技术应用的不断深入,国内大型企业信息系统集中程度不断提高,业务对信息系统依赖程度的不断加大,迫切需要建立与业务发展和信息化水平相适应的信息安全体系。与此同时,国家了一系列相关文件,提出对涉及国家安全、经济命脉、社会稳定的重点行业、企业的关键信息系统实施信息安全等级保护等要求。桌面安全责任也日益增大。只有通过从组织、管理、技术全面建设,才能有效提升桌面计算机抵御安全威胁的能力,提高桌面安全管理水平,达到桌面计算机有防护、有检测、可控制、可审计,建设统一桌面安全管理系统,中石油通过两年的桌面安全建设,取得了良好效果。
主要参考文献
[1]孙海.医院桌面终端信息安全管理思考 [J].现代医院,2011(5).
内网信息安全管理范文4
【关键词】内网 网络安全 加密 身份认证
一、引言
随着信息技术特别是网络技术的发展,大部分的企业或机关单位都组建了内部局域网,实现了资源共享,信息传递快速有效,极大地提高了工作效率。内网已成为企事业单位日常工作不可或缺的重要组成部分,同时,内网中一般会有大量的保密数据文件和信息通过网络进行传递。例如政府、军队或军工单位内具有一定密级的文件、文档、设计图纸等;设计院所的图纸和设计图库等;研发型企业的设计方案、源代码和图纸等数字知识产权;企事业单位的财务数据等,都是保密数据信息。如何对这些保密数据信息进行全方位的保护,是非常重要的。
二、内部网络安全面临的威胁
随着技术的发展,网络让信息的获取、共享和传播更加方便,同时内部局域网开放共享的特点,使得分布在各台主机中的重要信息资源处于一种高风险的状态,很容易受到来自系统内部和外部的非法访问。防火墙、入侵检测、网络隔离装置等网络安全保护对于防止外部入侵有不可替代的作用,而对于内部泄密显得无可奈何,内部人员的非法窃密事件逐渐增多。据中国国家信息安全测评认证中心调查,信息安全的现实威胁也主要为内部信息泄露和内部人员犯罪,而非病毒和外来黑客引起。根据对内网具体情况的总结分析,来自内部的安全威胁(见图1)主要有4类:a.窃取者将自己的计算机非法接入内网或者非法直接链接计算机终端,窃取内网重要数据;b.窃取者直接利用局域网中的某一台主机,通过网络攻击或欺骗的手段,非法取得其他主机甚至是某台服务器的重要数据;c.内部员工将只允许在局域网内部使用的数据通过磁盘复制、打印、非法拨号外联等手段泄漏到外部;d.内部人员窃取管理员用户名和密码,非法进入重要的系统和应用服务器获取内部重要数据。
在网络互联互通实现信息快速交换的同时,如何加强网络内部的安全,防止企事业单位的关键数据从网络中泄漏出去,是网络安全领域内一个主要的发展方向。
三、现有内部网络安全产品分析
为了解决内网安全问题,市场上也出现了诸多的内网信息安全产品,主要分为三类。1.监控与审计系统
现有各厂商的监控与审计系统一般都由三部分组成:客户端、服务器。其中,客户端安装在受控的计算机终端,用来收集数据信息,并执行来自服务器模块的指令;服务器端一般安装在内网中一台具有高性能CPU和大容量内存的用作服务器的计算机上,存储和管理所有客户端计算机数据;系统安全管理员可以登录到服务器端管理各类审计功能模块,并制定各种安全策略。客户端根据控制端下发的安全策略,对受控主机进行相应的监控,并将相应的信息上传至服务器。它能够获取受控主机的信息资料,对各类输入输出端口如USB、软驱、光驱、网卡、串/并口、调制解调器、红外通信等进行控制与监控,也可以对各类应用程序进行监控,防止终端计算机非法接入、非法外联,对文件操作等行为进行审计。
这类产品提供了一定的安全控制功能,但由于其重点是按照安全策略进行记录和审计,属于事后审计产品,因此并不能很好地阻止单位信息泄密事件的发生,一旦发现泄密事件发生,损失已经造成,所以这类产品的安全作用有一定的局限性。2.文档加密系统文档加密系统采用一定的加密算法对文件进行加密,实现对各类电子文档内容级的安全保护,一般由客户端加解密软件和认证服务器构成。加密软件对涉密文件进行加密,设置不同级别的使用权限。权限设计可由管理员或加密文件的拥有者进行设置。管理员可以控制终端用户对重要文件的读取、存储、复制、打印等,从而防止用户之间非法复制、外部发行、光盘拷贝,可以杜绝使用U盘、软盘、光盘、电子邮件等方式窃取企事业单位的电子文档。
文档加密可以实现对重要数据的加密保护,但是管理不灵活,而且内网资源众多,需要分别进行权限的设置,管理难度大,尤其当用户权限发生频繁更换的时候,容易造成漏洞,此类产品可操作性较差。3.身份认证系统用户认证系统采用各种认证方式实现用户的安全登陆和认证,独立于计算机原有的登陆系统,安全可靠性更高。一般由认证服务器和认证组成,有些产品提供认证令牌。认证服务器是网络中的认证引擎,由安全管理员进行管理,主要用于令牌签发,安全策略的设置与实施,日志创建等;认证是一种安装在终端计算机上的专用软件,实施认证服务器建立的各种安全策略;认证令牌以硬件、软件或智能卡等多种形式向用户提供,用来确认用户身份,如果令牌认证正确,就可以高度确信该用户是合法用户。目前这类产品主要实现了单一的用户身份鉴别,并不能实现对计算机的有效访问控制,其应用范围相对有限。
上述三类产品在一定程度上或某些方面解决了内网信息安全问题,并没有实现计算机、用户、策略三个方面的全面防护。
四、内网安全产品关键性能探讨
内网对信息安全的要求越来越高,内网安全产品不应该只是解决单方面的问题,应该从用户身份认证、计算机安全性、网络通信安全性、数据自身安全性、外设安全管理、综合安全审计等方面提供一整套完善的解决方案(见图2),对数据的存储、传输和使用在整个生命周期内进行控制、保护和审计,确保数据的完整性和保密性,从而防止敏感信息泄漏,为企事业单位构建可信可控的内部网络。
1.统一建立身份认证授权体系应完全独立于计算机、网络系统原有的认证体系,采用软硬件相结合的多重认证体系,提高可靠性,使用方便,对原有的内网体系影响很小。同时,对所有外设、输入/输出端口及操作的授权管理,实现授权的人仅能操作授权的计算机,仅能使用授权的磁盘、磁盘分区、外设、移动存储设备等,仅能使用授权的输入输出接口,为安全系统的可靠运行奠定基础。2.透明模式强制网络通讯加密由于标准的计算机通信协议本身设计上没有考虑安全性,是一个开放的协议,使得网络中传输的数据能够被截获。为确保内网信息安全,必须要解决内网中任意两台机器之间进行通信时数据的安全性问题。内网安全产品应实现网络传输的强制加密,任意两台计算机间的通信密钥都是不一样的,这有效防止了网内使用恶意侦听软件的行为。同时,由于网络协议数据封装格式不通,内部网络的计算机的各种方式非法外联也无法进行通信,这有效的防止了非法外联行为的发生。非法接入内部网络的计算机,因为无法获得有效的网络通信密钥,也都将无法联通,有效防止了非法接入行为的发生。3.透明模式强制加密本地硬盘采用强加密算法改写系统层对文件的读写操作,使得本地硬盘中的除系统盘外的所有文件均为加密存储,只能在内网安全产品启动的情况下才能正常读写这些文件。同时根据需要制定审计策略,对特别重要的文件的读写操作进行审计。所有本地文件,都将被系统自动强制加密保存在磁盘中。同时为了在保证数据安全性的同时不影响用户日常使用习惯,加解密必须采用透明方式。通过强制加密,即使磁盘被盗用或者丢失,都不会造成重要信息的泄密。防止了因为硬盘丢失、多操作系统和光盘启动等造成的数据泄密事件的发生。4.加强对移动存储介质的安全管理通过管理员的注册、认证、授权后才能在指定的范围内按照指定的读写策略使用移动存储设备,可以实现对软盘、U盘和移动硬盘等便携式移动存储设备的有效管理。
当移动存储设备被注册为加密读写策略的时候,所有写入该移动存储设备的文件数据将被强制加密,只能在管理员授权允许的终端上正常使用。如果使用移动存储介质将这些数据携带到出此范围,无法正常读写,只是毫无意义的加密数据。这种方式有效地限定了数据的可用范围,对于用户来说,既可以享受移动存储设备共享数据的方便性,又可以实现有效地数据共享范围管理。
总之,新型的内网信息安全产品要提供一种方便、有效、先进的内网信息安全管理控制技术和解决方案,解决内部网络的用户身份和计算机管理、网络信息保密等安全问题,达到外部入侵进不来、非法外接出不去、内外勾结拿不走、拿走东西看不懂的效果,有效防止机密敏感信息的泄漏,为企事业单位构建了一个可信可控的内网。
参考文献
[1]张敏波.网络安全实战详解[M].北京:电子工业出版社,2008.
[2]吴亚非,李新友,禄凯.信息安全风险评估[M].北京:清华大学出版社,2007.
内网信息安全管理范文5
关键词:信息安全;管理体系;PKI/CA;MPLSVPN;基线
在供电企业现代信息技术广泛运用生产经营、综合管理之中,实现资源和信息共享,为领导提供相关辅助决策。保障企业信息安全是企业领导层、专业人员及企业全员共同面对的。信息安全是集管理、人员、设备、技术为一体系统工程,木桶原理可以很好地诠释信息安全,一个企业安全不取决于最强项,而取决最短板。信息安全需从制度建设、体系架构、一体化防控体系、人员意识、专业人员技术水平等多方面共同建设,才能有效提高企业信息安全,才能为企业生产、经营保驾护航。
1基层供电信息安全现状
基层供电企业信息安全建设方面,在制度建设、安全分区、网络架构、一体化防护、人员意识、专业人员技术水平等多方面存在不同程度问题。
1.1管理制度不健全,制度多重化
信息安全制度建设方面较为被动,大多数都是现实之中出现某一问题,然后一个相关制度,制度修修补补。同一类问题有时出现不同管理规定里,处理办法不一,甚至发生冲突。原有信息安全管理制度宽泛,操作性较差。信息系统建设渠道不同,未提前进行信息安全方面考虑,管理职责不明,导致部分信息安全工作开始不顺畅。
1.2安全区域划分不明,网络架构不清晰
基层供电企业系统建设主要由上级推广系统和自建系统,系统建设时候相当部分系统未充分考虑系统,特别是业务部门自建系统更甚。网络建设需要什么就连接什么,存在服务器、终端、外联区域不明显,网络架构不清晰。
1.3未建立一体化安全防护体系
从近些年已经发生的各类信息安全事件来看,内部客户端问题造成超过将近70%。内部终端用户网络行为控制不足,存在网络带宽滥用;终端接入没有相应准入控制,不满足网络安全需求用户接入办公网络,网络环境安全构成极大风险;内部人员对核心服务器和网络设备未建立统一内部控制机制;移动介质未实施注册制管理等问题。
1.4未建立行之有效设备基线标准
网络安全设备、操作系统、数据库、中间件、应用系统等厂家为了某种方便需求,在设备和系统中常常保留有默认缺省安全配置项,这些恰恰是别人利用漏洞。基层供电企业在部署设备和系统时,没有统一基线标准,没有对设备和系统进行相应基线加固,企业存在潜在风险。1.5信息安全意识较差,技术水平参差不齐企业信息安全认识存在认识上误区,常常认为我们有较强信息安全保护设备,外部不易攻破内部,事实上堡垒常常是从内部攻破的。比如企业员工弱口令、甚至空口令、共用相同密码、木马、病毒、企业机密泄露等,这恰恰是基层供电企业全员信息安全意识较为薄弱表现。专业技术人员缺乏必要自我学习和知识主动更新,未取得专门信息安全专业人员资质,处理问题能力表现参差不齐。
2必要性
信息安全为国家安全重要组成部门,电力企业信息安全为国家信息安全的重要元素,电网安全事关国计民生。2014年2月,国家成立中央网络安全和信息化领导小组,将网络信息安全提升前所未有高度。近年发生的“棱镜门”事件,前几年发生伊朗核电站“震网”病毒(Stuxnet病毒)网络攻击,其中一个关键问题就是利用移动介质摆渡来进行攻击,造成设备瘫痪,这一系列信息安全事件都事关国家安全,因此人人都要有信息安全意识。首先要防止企业机密数据(财务、人资、投资、客户等)泄漏;其次,保持数据真实性和完整性,错误的或被篡改的不当信息可能会导致错误的决策或商业机会甚至信誉的丧失;最后,信息的可用性,防止由于人员、流程和技术服务的中断而影响业务的正常运作,业务赖以生存的关键系统如失效,不能得到及时有效恢复,会造成重大损失。建立严格的访问控制,前面数据分级时有制定数据的“所有者”及给敏感数据进行分级,按照分级的要求制定严格的访问控制策略,基本的思想是最小特权原则和权限分离原则。最少特权是给定使用者最低的只需完成其工作任务的权限;权限分离原则是将不同的工作职能分开,只给相关职能有必要让其知道的内容访问权限。通过对内部网络行为的监控可以规范内部的上网行为,提高工作效率,保护企业有限网络资源应用于主要生产经营上来。
3特点探析
通过我们对基层供电企业在信息安全存在问题及必要性来看,主要是管理制度、网络信息安全技术、人员意识等方面存在问题,有以下特点。
3.1管理制度方面
常说信息安全“三方技术、七分管理”,制度建设对信息安全保障至关重要。信息安全管理制度应该有上级主管部门建立一套统一管理制度,基层供电企业遵照执行,可以根据各单位具体情况进一步细化,让管理制度落地。从企业总体信息安全方针到具体专业制度管理上,实现全网一体化,规范化。
3.2网络信息安全技术方面
上级专业主管部门,站在企业高度,制定专业技术标准和技术细则。从网络安全分区、网络技术架构、互联网接入和访问方式、终端安全管理、网络准入控制等方面统一规划,分布实施,最终实现企业网络信息安全防控一体化。
3.3信息安全意识培养方面
企业员工信息安全意识培养是个长期的过程,不是通过一次两次培训就能解决的,采取形式多样化方式来培养员工安全意识,可以通过集中培训讲课、视频宣传、张贴宣传画等方式进行。针对专业人员,要让他们养成按照制度办事习惯,用户需要申请某项资源,严格按照制度执行,填写相应资源申请,有时候领导打招呼也要按照制度流程来执行。长此以往,人人都会知道自己该做什么,不该做什么,该怎么做,企业信息安全意识就会得到极大提高。
3.4专业技术人员水平方面
信息安全技术日新月异,不学习就落后,不断收集信息安全方面信息,共同讨论相关话题,建立相应培训机制,专业人员实行持证上岗,提升专业人员实际解决问题能力,有效提高人员专业素养,成为企业信息安全方面专家。
4实施和开展
从2009年开始,先后进行一系列信息安全建设,涉及到信息安全制度建设、网络信息安全体系架构、信息安全保障服务、人员培训等方面,整体提高基层供电企业信息安全状况。
4.1信息安全制度建设
2010年开始信息安全体系ISO27001、27002建设,结合企业情况,形成30个信息安全相关文件,涵盖企业信息安全方针、等级保护、人员管理、机房管理、网络信息系统运行维护管理、终端安全、病毒防护、介质管理、数据管理、日志管理、教育培训等诸多方面。2013年为进一步提示公司信息化管理水平,先后增加修改建设管理、实用化管理、项目管理、信息安全管理、运维管理、综合管理5个方面14个管理细则。经过这一系列制度建设,基层供电企业有章可循,全网信息安全依据统一,明确短板情况。
4.2建设一体化网络与信息安全防控
首先依据电监会5号文件要求,网络架构按照三层四区原则进行部署建设,生产实时控制大区(Ⅰ、Ⅱ区)与信息管理大区(Ⅲ、Ⅳ区)之间采用国家强制认证单向数据隔离装置进行强制隔离,网络架构采用核心、汇聚、接入部署。网络接入按照功能划分服务器区、网管区、核心交换区、用户办公区、外联区、互联网接入区,在综合数据网上,利用MPLSVPN,根据划分不同VPN业务、隔离相互间数据交叉。建立全网PKI/CA系统,构建企业员工在企业数字身份认证系统,已建成系统进行未采用PKI登陆系统,进行相应改造结合PKI/CA系统,采用PKI登陆,在建系统用户登陆必须集成PKI登陆。根据企业信息安全要求,进行互联网统一出口,部署统一互联网防控设备,建立统一上网行为管理策略,规范员工上网行为,合理使用有限互联网资源,审计员工上网日志,以备不时之需。建立企业统一病毒防护系统,实现病毒软件统一安装,病毒库自动更新,防护策略统一下发,定期统计病毒分布情况,同时作为终端接入内网必备选项,对终端病毒态势比较严重用户进行督促整改,有效防止病毒在企业内部蔓延,进一步进化内网环境。建立统一网络边界安全防护,在企业内网边界合理部署防火墙、IPS、UTM,并将其产生日志发送到统一安全管理平台,进行日志管理分析,展现企业内部信息安全态势,预警企业内部信息安全存在问题。利用AD域或PKI/CA进行用户身份认证,建设统一桌面管理,所有内网用户必须满足最基本防病毒、安全助手、IT监控要求方可接入内网,系统启用强制安全策略,终端采用采用DHCP,用户不能自动修改IP地址,在DHCP服务器上实现IP与MAC地址及人员绑定,杜绝用户私自更换IP地址引起冲突。安全认证方面可以采用NACC或交换机802.1x方式进行,不满足要求用户,自动重定向到指定网站进行安全合规性检查,满足要求后自动接入内网,强制所有用户采用统一网络安全准入规则。实行移动介质注册制,极大提高终端安全性,有效保护企业信息资产。建立内部运维控制机制,实现4A统一安全管理,认证、账号、授权、审计集中管控。规划统一服务器、网络设备资源池,按照用户需求,提交相应申请材料,授权访问特定设备和资源,并对用户访问行为全程记录审计。
5结语
内网信息安全管理范文6
【关键词】供电企业 信息网络 安全管理
现阶段,电力系统信息化已经成为了供电企业工作中的重要内容,信息化也是供电企业提高自身生产水平,保证自身生产效益的重要措施。目前,国家电网ER[系统已经上线运行,供电企业陆续的接入信息系统,并且进行频繁的数据交换。因此,加强供电企业内部信息网络安全管理工作,对于供电系统安全稳定运行,满足智能化电网建设需求有着重要的意义。
1 完善安全管理机制,落实安全管理责任
企业的良性发展,需要有严格的管理制度进行保证,信息安全管理工作的开展,也需要完善管理机制,落实安全管理责任。县级供电企业要建立安全管理组织,并且建立管理队伍,对于内部信息安全进行严格管理,提高整体网络信息系统的管理水平。领导小组需要对供电企业内部的信息安全工作进行监督,并且严格执行企业安全管理制度,确保企业内部信息系统的安全稳定运行。工作小组在日常工作中,对于信息安全的基础知识进行宣传与普及,提高企业员工对于信息安全的认识,并且严格落实信息安全管理条例,对企业信息安全监控系统的运行、维护进行管理,保证信息网络的正常运行。
2 对网络信息系统采用统一部署的方式,提高信息网络系统的安全性
在对于企业内部网络信息安全管理工作的开展过程上,要严格按照国家电网公司的要求,并且进行统一性部署,对外网接口实现统一。对于信息内外网的管理上,采用物理分离的方式,利用双网双机的网络拓扑方式,提高网络的安全性。在企业内部,禁止使用办公终端进行外网的接入,并且在外网出口安装防入侵设备,对于恶意攻击行为进行拦截,阻断非法访问进程。对于信息内网的管理上,要安装有效的桌面管理系统,对内网计算机进行控制。内网计算机的IP地址管理上,要将用户名、IP地址、MAC地址进行绑定,便于计算机网络管理员实时的对系统内部计算机运行状况进行查看。对于移动存储设备的使用,采用实名注册制度,对于信息的流入流出进行控制。
3 建立保护区域与防护等级措施,提高对信息系统的控制力
供电企业的信息系统应该根据自身生产特点,划分为生产控制区域管理信息区,并且对于业务处理进行分级,实现差异化的防护措施,提高防护水平与防护效果。其中,对于生产控制区的划分上,可以划分为控制区与非控制区,将专用数据网络进行网段阻隔,划分为安全控制区,并且与其他控制区之间安装电力专用正向单向隔离装置。对于管理信息区中,要安装硬件防火墙,对访问行为进行严格的控制,做好以下工作:
(1)加强口令管理与数据备份,提高系统安全性。口令信息是保证信息安全的重要环节,也是验证权限的重要手段。所有服务器与计算机,都需要设置开机口令,并且保证口令的安全性与复杂性。对于安全口令进行定期的更换,提高口令的安全性。
(2)在计算机日常使用的过程中,要设定屏幕保护,并开启屏幕保护密码。与此同时,还要关闭远程桌面功能,避免被外来人员进行远程访问与控制。数据备份是提高系统安全性的另一项重要举措,是保护系统数据完整性的主要方式。计算机管理人员需要对信息系统中的数据进行定期的备份,在出现病毒入侵、数据损坏等情况下,及时的进行数据恢复,保证信息系统的正常运作。个人电脑在日常使用中,也要注意做好信息的备份。
(3)加强杀毒与漏洞扫描的工作,消除系统安全隐患。电力企业的网络系统管理者,需要根据自身企业内部网络情况,购买专业杀毒软件,提高整体网络的安全性。对于杀毒软件,需要进行定期的病毒库更新,对计算机病毒库进行实时的升级,降低网络病毒与木马对计算机的影响。对于系统漏洞的管理上,要采用漏洞自动扫描系统,对于系统的安全风险进行评估,及时的对系统中的漏洞进行整改。信息系统管理员要对网络系统进行定期的评测,对于系统中存在的安全风险与漏洞进行有效的处理,降低系统运行风险,提高系统的可靠性与稳定性。4 加强物理安全和主机安全的管理,提高对安全事故的响应能力
电力企业内部员工在日常工作中,要注重对计算机电话的保护,下班后及时关闭计算机,从而延长计算机使用寿命,保护硬件设设备的安全。针对特殊雷雨天气,要做好防雷击与防潮工作,保护机房的环境。在对于机房的管理上,要执行严格的登记制度,避免无关人员进入机房。对于服务器与数据库的访问上,要严格对访问权限进行管理,关闭可能造成系统受攻击的服务与端口,最大限度的提高服务器的安全运行水平。在安全管理工作中,要建立科学有效的应急预案,争取在出现安全事件时,第一时间的进行响应与处理,降低影响与损失,保证电网最快的恢复正常运行。
5 结束语
完善和落实各项规章制度 ,构建良好的安全管理体系,将信息安全作为企业日常管理中的重要内容。企业管理者要重视信息安全,并且认识到网络信息安全对于电力系统正常运行的意义。管理者要制定和完善内部网络信息安全管理制度,并且对有关制度进行严格的执行,做好日常监督工作。在安全责任的划分上,要做好责任落实,对于专人签订专门的安全责任书。日常工作中还要积极的组织职工接受安全教育宣传与培训,提高职工安全认识与信息安全保护的水平。
参考文献
[1]邓韵东,钏涛.电网信息安全技术研究[J].云南电力技术,2011(02).
[2]高鹏.电力企业信息安全问题探讨[J].行政事业资产与财务,2011(08).
[3]张国芳.浅谈电力企业安全管理信息系统的设计及实现[J].中国电力教育,2011(24).
