前言:中文期刊网精心挑选了信息安全方针范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
信息安全方针范文1
关键词:RSSP-1安全协议;安全通信模块;有轨电车仿真培训系统
中图分类号:TP311.1 文献标识码:A 文章编号:1009-3044(2016)28-0036-02
Abstract:This paper is aimed at the secure communication requirements between the tram operation management system and the simulation training system ,through writing c + + class by VS2005, realized the security communication module which transmited data between two systems safely. The communication function of this module used c + + datagram socket function to realize, which can set up end-to-end communication without connection between two computers, the real-timing of communication is high;the security functions is designed by RSSP C 1 which is the railway signal safety communication protocol , the function is realized by software design ,which can make the module reach the standard of the railway’s safety communication. In addition, the secure communication module is universal, and can be used for data communication between various systems of the tram signal system.
Key words: RSSP C 1 protocol; safety communication; Trams simulation training system
有轨电车信号系统是有轨电车重要组成部分,实现行车指挥、列车运行监督和管理技术措施及配套装备的集合体。有轨电车信号系统分为运营控制子系统(Operating Control Center,OCC)[1]、正线道岔控制子系统[2]、平交路口信号控制子系统、车载子系统。其中运营控制子系统具有时刻表编制、行车运营调度等功能。信号系统的子系统之间通过封闭式传输网络和无线网络传递信息。
1 有轨电车仿真培训系统设计
设计有轨电车仿真培训系统的目的是:本系统搭建了一个仿真平台,可以对OCC系统进行使用前的测试验证,也可以为使用本套OCC系统的运维人员进行培训。本系统由运营控制系统和仿真平台两部分组成。为了便于培训,本系统的运营控制系统与有轨电车信号系统的OCC系统一致。仿真平台与OCC系统有数据安全传输需求,有必要设计安全通信模块来保障安全通信。
2 安全通信模块设计
安全通信模块通过封闭式传输网络与OCC系统的通信服务器完成通信过程。安全通信模块采集了仿真平台的车辆速度位置、正线道岔正反位、平交路口信号灯、线路等信息,发送给OCC系统的通信服务器,并实时获取OCC系统下发的指令。本模块安全功能根据RSSP-1安全协议[3]设计,以保障数据安全传输。传输层采用以太网通信[4]传输数据。
2.1 RSSP-1协议简介
EN50159-2011标准[5]判定封闭式传输系统存在以下安全隐患:数据帧重复、丢失、插入、错序、错码、延迟。RSSP-1安全协议针对这些安全隐患设计,能提供有效的防御措施。RSSP-1协议是由我国原铁道部科技司制定的铁路信号安全通信协议,用于封闭式数据传输系统防御潜在风险。
2.2 安全通信模块结构设计
按照功能定位的不同,安全通信模块分为四个部分,分别是通信模块,套接字模块,为传输数据添加安全防护的安全校验模块,提供对外接口的接口模块。本模块具有参数初始化、数据收/发、通信开/关接口。应用程序通过调用安全通信模块的接口,实现数据通信,应用程序的数据均保存在数据缓冲区以便读写。
2.3 静态类图设计
根据UML语言设计安全通信模块的类图[6],如图1所示。安全通信模块分为4个部分,因此设计了4个类。类的说明如下:
(1) 通信模块的Communication类:该类是整个安全通信模块的通信核心,实现安全通信的功能。设计了Binary结构体和Telegram结构体,以便存储传输的数据和报文。该类的主要方法有两个,分别是sendSafetyData方法和udpReceive方法。功能是调用安全模块发送安全数据和UDP端口接收数据。还有主方法调用的其他方法,如创建套接字、UDP端口发送数据、解析数据包、报文头尾校验等。
(2) 安全校验模块的Safety类:该类根据RSSP-1协议设计,保证数据传输符合铁路信号系统的安全标准。设计了通信节点结构体Node保存通信参数。主要方法分别是对接收到的安全数据进行校验的SafetyCheck方法,生成安全校验数据的GetSafeData方法。
(3) 接口模块的Interface类:该类提供了安全通信模块的接口。在类中定义了通信参数结构体CommPara,用于初始化通信节点的通信参数。本类的主要方法,一个是InitApplication方法,初始化应用程序的各种通信参数和安全参数;另一个是TimerProcess方法,定时发送数据。
(4) 套接字模块的CClientSocket类:该类继承自mfc类库的套接字类,是实现网络通信的基础步骤。
2.4 动态时序图设计
图2为安全通信模块UML时序图设计,是本模块运行详细动态描述,具体过程如下:
(1)打开通信: 应用程序打开通信,首先调用初始化接口,初始化通信层通信参数、安全层安全参数、分配内存、建立CRC校验表[7]等,然后调用套接字模块打开通信、建立连接。
(2)发送数据:应用程序的定时器程序每隔250ms定时发送数据到对方通信节点。
1通信层的数据发送函数采集并打包站场数据,按协议转化为传输过程中使用的二进制数据。
2调用安全层的安全校验数据生成函数[8],为二进制数据添加安全防护,按协议生成RSD安全报文。
3通信层调用套接字模块的数据发送函数,向通信节点的所有关联IP发送数据。
4若检测到通信中断等通信问题,通信层触发SSE报文函数,以校正时序。
(3)接收数据:通信层调用套接字的接收函数,被动接收数据。首先端口接收到数据,进行安全传输校验。
安全传输校验:通信功能模块对接收到的整包数据进行处理,判断报文头的源地址和目的地址是否正确,数据包是否为完整数据包,以及CRC报文尾校验,若传输有误则直接丢弃该报文。
若传输无误,则根据协议判断报文的数据类型,有三种可能。
1若报文为RSD数据包,判断该包数据序列号是否正确,时序有误则触发SSE报文以矫正时序。时序正确就进行安全编码校验,通过则将数据保存在缓冲区,若未通过触发SSE报文。
2若报文为SSE请求数据包,则判断刚发送数据包是否为SSR数据包,若是则不再处理,若不是则根据协议生成SSR数据包,调用安全模块的生成安全校验数据函数,生成SSR安全校验数据,并发送给对方。
3若报文为SSR请求回应数据包,判断是否发起了SSE请求、SSE等待SSR是否未超时、SSR与发送的SSE数据包序列号是否相一致。若无误,则调用安全模块的时序校正恢复功能恢复时序。若有误,则不再处理。
(4)结束通信:若需断开通信,接口层调用套接字模块直接关闭通信。
2.5 安全通信功能模块的封装
安全通信功能模块根据RSSP-1协议设计,适合封闭式网络信息安全传输,具有通用性。在有轨电车信号系统中可以广泛使用,只需要配置不同的参数(IP地址和端口号),就能实现通信功能。因此有必要将安全通信模块封装为一个独立的模块,通信时直接调用该模块。通过VC++的DLL封装功能,封装了该模块。DLL文件的预留接口包括初始化、通信开/关、数据收/发,可以实现完整的数据安全通信过程。
3 总结
安全通信功能模块已经实现,它是有轨电车仿真培训系统的一个重要模块,负责有轨电车仿真平台和OCC系统之间命令消息的传递。本模块实现通信功能,并依据RSSP-1协议,设计一系列安全措施防御通信安全问题。进行模块封装设计,使用简便。本设计能够安全稳定的传输数据,满足了安全通信的需求。
参考文献:
[1] 唐贾言. 现代有轨电车的运营控制系统[J]. 自动化应用, 2010(12).
[2] 杨小会,乔玉蓉. 新型有轨电车道岔控制系统方案研究[J]. 电子科技, 2016,29(3).
[3] 中华人民共和国铁道部.RSSP-1铁路信号安全通信协议(V1.0) [s].铁道部科学技术司,铁道部运输局,2010: 1-22.
[4] 吴功宜,吴英编.计算机网络应用技术教程[M]. 清华大学出版社, 2002.
[5] 杨霓霏,段武,卢佩玲. 铁路信号系统安全相关通信标准与安全协议研究[J]. 中国铁路. 2008.
[6] 哈贵庭. 基于UDP协议进行数据传输的研究与设计[J]. 电脑编程技巧与维护, 2010(18).
信息安全方针范文2
关键词:信息安全管理体系;信息资产;业务连续性;风险评估
中图分类号:TP393.08 文献标识码:A 文章编号:1001-828X(2014)08-0136-02
当前,随着税务部门管理和服务水平不断提升的客观需要,加强对税收核心业务系统和关键信息资产的保护,成为信息化工作中一项十分重要的使命。
本省地税部门信息安全现状及面临形势
(一)取得的成绩
多年来,本省地税部门在认真学习贯彻国家税务总局和各相关主管部门颁布的信息安全管理制度、政策法规及技术标准基础上,结合工作实际,陆续颁布、制定了一系列信息安全管理办法与措施,具体包括:
1.安全管理制度方面,制定了涵盖物理层、网络层和主机系统层的管理制度,总体目标、范围、方针、原则和责任基本明确。
2.安全管理机构方面,建立了信息安全领导小组,配备了具有一定安全管理能力及技术能力的系统管理员、网络管理员、安全管理员等。
3.人员安全管理方面,在内外部人员录用前,对被使用人的身份、背景和资质等进行严格审查,按期组织信息安全岗位知识技能培训。
4.系统建设管理方面,严格遵照信息系统安全等级保护要求制定建设方案,并对定级结果的合理性和正确性进行论证和审定。
5.系统运维管理方面,对各种设备运转情况进行定期检查和实时监测、报警,权限设定遵循最小化授权原则,有配置变更管理的审批流程,对重要应用程序和数据库进行定期备份。
(二)存在的不足
通过近期开展的风险评估工作,暴露出本省在信息系统安全方面还存在着一定程度的不足,主要是:
1.在安全管理方面,已制定的各项管理规定缺乏全面性、系统性,要求规范与实施细则未能很好的实现层次划分;有些制度、标准更新不快,缺乏可操作性,对基层的指导作用不十分明显;信息安全责任制度还需要进一步细化和落实。
2.在安全技术方面,现有机房空间环境已不能完全适应税收业务发展的需要;部分网络、安全设备老化需要更新,部分核心业务网络还未进行功能区域的细分,操作级的审计管理还不尽完善;应用系统开发中的安全机制尚不健全,身份认证等安全技术手段还未得到全面应用。
3.在安全运维方面,现有巡检工作中不包括安全技术措施的有效性检查等内容;网管、动环、安管等监控系统还基本处于独立运行状态,对于网络或系统故障缺乏关联性分析,未能形成统一的监控、分析、处置策略;尚未结合实际业务制定出操作性较强的应急预案,未进行过应急演练。
(三)面临的形势
随着经济的持续发展和国际地位的不断提高,我国基础信息网络和重要信息系统面临的安全风险日益严峻,计算机病毒传播和网络非法入侵十分猖獗,网络违法犯罪持续大幅上升,犯罪分子利用一些安全漏洞进行网络盗窃、网络诈骗、信息系统破坏等违法活动,给国家政治、经济和社会生活造成严重负面影响。中央已经将信息安全与政治安全、经济安全、文化安全并列为国家安全的重要组成要素。税务信息系统作为政府信息系统的重要组成部分,其安全运行不仅关系到政府机关的形象和税收业务的持续运行,还关系到社会稳定和国家安全。
提高税务信息安全保障能力的有效途径
国家税务总局在“金税三期”项目建设中明确提出,要高度重视信息安全保障工作:按照“四防”工作要求,进一步推进“人防”,做好信息安全教育培训工作;认真落实“制防”,推进信息安全标准体系和管理制度建设;稳步提升“技防”,持续保障“物防”,做好安全防护体系建设和运行管理工作。因此,构建符合信息系统运行需要的信息安全管理体系,对进一步加强税务部门内部网络的整体安全防护能力,全面提升信息安全管理水平,就显得尤为重要。
信息安全管理体系,即Information Security Management System(简称ISMS),是组织在整体或特定范围内建立的信息安全方针和目标,以及完成这些目标所用的方法和体系。它是直接管理活动的结果,表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合。组织通过确定信息安全管理体系范围,制定信息安全方针,明确管理职责,以风险评估为基础选择控制目标与控制措施等一系列活动来建立信息安全管理体系。
信息安全管理体系的建设可以提高税务干部的信息安全意识,规范各层级的信息安全行为;对组织的关键信息资产进行全面系统的保护,在信息系统受到侵袭时,确保业务持续开展并将损失降到最低程度;在税收各项工作顺利开展的同时,提高社会公众对政府部门的公信度;另外,通过信息安全管理体系建设,可以有效加强对信息技术风险的管控,通过与信息安全等级保护、信息技术风险评估等工作的融合与衔接,使信息安全管理更加具有科学性和系统性。
税务信息安全管理体系建设实践
税务信息安全管理体系的构建,应结合税收改革发展要求,根据信息化工作职责,制定相应的策略,并最终实现总体的信息安全目标。
(一)基本定位
1.在策略制度层面,形成从方针策略、到要求规范、操作规程直至记录表单在内的层次化文件体系,为信息安全管理体系奠定技术基础;
2.在组织建设方面,建立决策、管理、执行和监督多维的组织架构,明确信息安全相关角色和职责,奠定信息安全管理体系的组织基础;
3.在风险管理方面,通过风险评估和处置过程,建立起全面的信息安全内部控制,结合信息安全事件管理和业务连续性管理,确保从整体上将信息安全风险控制在可接受水平;
4.在人员意识方面,通过有序组织信息安全培训及相关意识宣传活动,确保人员具备基本的信息安全意识和操作技能;
5.在支持保障方面,建立起内(外)部审核、管理评审、有效度量、日常检查等多项检查监督机制,确保信息安全管理体系的持续运行和改进有着推动和保障基础。
(二)设计原则
1.体现全面的特性。信息安全管理体系是一个涵盖各个方面的工程,它要求多角度、多层次,从各个环节人手,进行系统的考虑和规划。任何环节上的缺陷都会对信息系统构成威胁,要实现信息安全目标,必须保证构成信息安全管理体系这只“木桶”的所有木板都达到一定的标准。
2.体现持续改进、动态发展的特性。信息安全管理体系不仅仅是一套全面的规则集合,而且还是在体系建设与实施过程中与所有利益相关者的互动过程。另外,环境的动态性也决定了体系建设的动态性。因此,在体系架构设计和实施中应遵循PDCA的模式,通过P(策划)、D(实施)、C(检查)、A(纠正)这四个步骤的循环运行,使信息安全管理水平获得可持续性的发展。
3.以保证业务连续性为根本目标。信息安全管理必须为业务服务,脱离业务的信息安全管理也就失去了其真正的意义。因此,保证信息系统的正常运行,进而保障业务的连续开展,是信息安全的根本目标,也是信息安全管理体系的根本目标。
4.领导重视、全员参与的原则。在信息安全管理体系的建设中,应由最高管理者确立统一的信息安全方针、政策和方向,创造并保持使员工能充分、积极地参与实现信息安全战略目标的内部环境;全体员工应明确自己在信息安全管理中的职责,积极参与信息安全管理体系的建设。
5.技术与管理并重的原则。信息技术是信息安全管理的手段,信息安全管理是利用信息技术实现安全目标的保障,在信息安全管理体系中,技术与管理同等重要,缺一不可,忽略任何一方都会阻碍信息安全工作的开展。
(三)总体架构
在税务信息安全建设中,包含了信息安全管理、信息安全运作、信息安全技术三方面内容。信息安全管理体系则处于“管理一运行一技术”三元架构的最上层,包含信息安全政策、规范与标准、指南与细则等,从人员、意识、职责、监督等方面,保证并指导下一层级的顺利运行。其建立和完善,应充分依据国家标准和税务行业规范,以融合化和层次化为指导,并最大化地整合现有资源,基本框架模型,可分为五层:
第一层,总体方针,是由省局信息安全领导小组签署的书面文件,其目的是明确信息安全管理工作的总体目标、适用范围、总体方针和原则等方向性纲领性文件。
第二层,管理要求,是省局对全系统提出要求的管理性文件,包括安全组织、资产安全、人员安全、信息系统安全等各个方面。
第三层,标准规范,是针对管理要求中提出的内容,制定的对共同使用和重复行为进行指导或规范的文件,文件可以由省局制定,也可以由基层单位制定。
信息安全方针范文3
1 社区卫生服务中心信息安全背景
20世纪90年代以来,信息技术不断创新,信息产业持续发展,信息网络广泛普及,特别是原卫生部《卫生信息化发展规划(2011~2015年)》之后,明确了卫生信息化是深化医药卫生体制改革的重要内容。那么作为整个卫生信息化体系的“网底”的社区卫生服务中心,其重要性不言而喻。随着卫生信息化的建设不断扩展和深入,依托于区域卫生信息中心的各类应用系统不断上线推广应用。网络与数据安全已逐步成为各项卫生信息工作开展的重要基础依托。因此社区卫生服务中心作为区域卫生信息中心的重要结点。信息安全管理就显得尤为重要。
2 什么是信息安全管理
“三分技术,七分管理”是信息安全保障工作中经常提到的。可见,信息安全管理是信息安全保障的至关重要的组成部分。信息安全管理(Information Security Management)指组织中为了完成信息安全目标,遵循安全策略,按照规定的程序,运用恰当的方法,而进行的规划、组织、指导、协调和控制等活动。作为组织完成的管理体系中的一个重要环节,它构成了信息安全具有能动性的部分,是指导和控制组织相互协调完成关于信息安全风险的活动,其对象就是包括人员在内的各类信息相关资产。在社区卫生服务中心由于信息系统应用较为广泛,基本包含了医疗、护理、医技、行政等所有科室及其人员。
长期以来,社区卫生服务中心在信息安全建设方面,存在重技术轻管理、重产品功能轻安全管理、缺乏整体性信息安全体系考虑等各方面的问题。区域卫生信息中心采用集中管理的信息安全技术及产品的应用,一定程度上可以来解决社区卫生服务中心在网络传输时的信息安全问题。但是仅仅靠这些产品和技术还不够,即使采购和使用了足够先进、足够多的信息安全产品,仍然无法避免一些信息安全事件的发生。近年来,由于管理不善、操作失误等原因导致的卫生信息及病患基本信息泄露的安全事件数量不断攀升,更加剧了社区卫生服务中心需要信息安全管理的迫切性。
3 社区卫生服务中心信息安全管理作用
社区卫生服务中心信息安全管理的作用体现任以下几个方面。
3.1信息安全管理是社区卫生服务中心组织整体管理的重要的、固有的组织部分,是组织实现中心业务目标的重要保障。在信息时代的今天,信息安全威胁已经成为社区卫生服务中心等医疗机构业务正常运营和持续发展的最大威胁。如在社区卫生服务中心发生的费用结算85%以上通过医保信息系统来进行,所有的医生工作站都依托中心服务器来提供数据进行操作,医技部门也通过信息系统获取病人信息和传送结果。一旦信息系统发生故障对于社区卫生服务中心来说是灾难性的。因此中心需要信息安全管理,有其必然性。
3.2信息安全管理是信息安全技术的融合剂,是各项技术措施能够发挥作用的重要保障。安全技术是信息安全控制的重要手段,许多信息系统的安全性保障都要依靠技术手段来实现,但光有安全技术还不行,要让安全技术发挥应有的作用,必然要有适当的管理程序的支持,否则,安全技术职能趋于僵化和失败。如果说安全技术是信息安全的构筑材料,那么信息安全管理就是融合剂和催化剂,良好的管理可以变废为宝,使现有的各项技术相互配合发挥应有的作用,而糟糕的管理会使技术措施变得毫无用处。实现信息安全,技术和产品是基础,管理才是关键。在信息安全保障工作中必须管理与技术并重,进行综合防范,才能有效保障安全,这也是实现信息安全目标的必由之路
3.3信息安全管理是预防、阻止或减少信息安全事件发生的重要保障。早期人们对于信息安全的认识主要侧重在技术措施的开发和利用上,这种技术主导论的思路能够解决信息安全的一部分问题,但却解决不了根本,据权威机构统计表明,信息安全问题大约70%以上是由管理方面原因造成的,大多数信息安全事件的发生,与其说是技术上的原因,不如说是管理不善造成的。因此解决信息安全问题、防止发生信息安全事件不应仅从技术方面着手,同时更应加强信息安全的管理工作。
信息安全涉及的范畴非常广,信息安全不是产品的简单堆积,也不是一次性的静态过程,它是人员、技术、操作三者紧密结合的系统工程,是不断演进、循环发展的动态过程。因此,要求社区卫生服务中心的相关人员正确理解信息安全、理解信息安全管理的关键作用,以更好地开展信息安全管理工作。强调信息安全管理的作用,并不是要削弱信息安全技术的作用;开展信息安全管理工作,要处理好管理和技术的关系,要坚持管理与技术并重的原则,这也是信息安全保障工作的主要原则之一。
4 社区卫生服务中心信息安全管理控制措施
在我国对于信息安全等同采用IS0 27002:2005,命名为《信息技术安全技术信息安全管理实用规则》(GB/T 22081-2008)。信息安全是通过实施一组合适的控制措施而达到的,包括策略、过程、规程、组织结构以及软件和硬件功能。可见对于社区卫生服务中心的信息安全来说,安全控制措施是必要且十分重要的。其中比较重要的如下:
4.1安全方针 社区卫生服务中心的信息安全方针控制目标,是指中心的信息安全方针能够依据业务的要求和相关法律法规提供管理指导并支持信息安全。社区卫生服务中心信息安全方针文件的内容应包含中心管理者的管理承诺、组织管理信息安全的方法、中心信息安全整体目标和范围的定义、中心管理者意图的声明、控制目标和控制措施的框架、重要安全策略、原则、标准和符合性要求说明、中心信息安全管理的一般和特定职责的定义、支持方针的文件的引用等。
4.2信息安全组织 信息安全组织一般分为内部组织和外部组织。社区卫生服务中心内部组织的信息安全控制目标是指在中心内管理信息安全。组织的安全建立在每一位人员不同责任分工的划分,不同的责任会有不同的工作指导原则。其中应当包括信息安全的管理承诺、信息安全协调、信息安全职责的分配、信息处理的授权、保密协议、信息安全的独立评审等。社区卫生服务中心外部组织的信息安全控制目标是保持中心被外部各方访问、处理、管理或与外部进行通信的信息和信息处理的安全。主要包括中心与系统外单位信息通信相关风险的识别、处理相关的安全问题和处理第三方协议中的安全问题等。
4.3人力资源安全 人员在中心的信息安全管理中是一个最重要的因素,有资料表明,70%的安全问题是来自人员管理的疏漏,为了对人员有一个有效的管理,需要从任用之前、任用中、任用的终止或变更三项控制目标进行管理。
4.3.1任用之前控制是指社区卫生服务中心任用人员之前为了确保人力资源的安全,需考虑到角色是否适合相应岗位,以降低设施被窃、信息泄露和误用的风险,这一目标的实现需通过角色和职责、审查、任用条款和条件三项控制措施的落实来保障。
4.3.2任用中社区卫生服务中心的信息安全控制目标就是确保所有的员工、承包方人员和第三方人员知悉信息安全威胁和利害关系、他们的职责和义务、并准备好在其正常工作过程中支持组织的安全方针,以减少人为过失的风险。
4.3.3社区卫生服务中心发生任用的终止或变更时,应确保信息的安全不外泄,确保员工、承包方人员和第三方人员以一个规范的方式退出或改变其任用关系。可以通过终止职责、资产的归还、撤销访问权限等控制措施来实现。
4.4物理和环境安全 社区卫生服务中心的物理和环境安全可以从安全区域和设备安全来入手管理。定义安全区域是为了防止对中心场所和信息的未授权物理访问、损坏和干扰。可以通过设置物理安全边界、物理入口控制、办公室房间和设施的安全保护、外部和环境的安全防护、在安全区域工作、公共访问和交接区安全。设备安全是指防止由于资产丢失、损坏、失窃而危及社区卫生服务中心的资产安全以及信息安全。中心可通过设备安置和保护、支持性设施、布缆安全、设备维护、场所外的设备安全、设备的安全处置和再利用,资产的移动等措施来进行保障。
4.5通信和操作管理 社区卫生服务中心的通信和操作管理一般可从操作规程和职责、第三方服务交付管理、系统规划和验收、防范恶意和移动代码、备份、网络安全管理、介质处置、信息的交换、电子商务服务、监视等方面入手。
4.6访问控制 对于社区卫生服务中心来说,访问控制可从访问控制的业务要求、用户访问管理、用户职责、网络访问控制、操作系统访问控制、应用和信息访问控制、移动计算和远程工作等控制目标来入手。
4.7信息安全事件管理 社区卫生服务中心的信息安全事件管理可以从报告信息安全事态和弱点、信息安全事件和改进的管理两个控制目标入手进行管理。
4.7.1报告信息安全事态和弱点这项控制目标旨在确保中心与信息系统有关的信息安全事态和弱点能够以某种方式传达,以便及时采取纠正措施。该目标下有报告信息安全事态和报告安全弱点这两项控制措施来保障这一目标的实现。①报告信息安全事态控制措施,是指信息安全事态应该尽可能快地通过适当的管理渠道进行报告。实施过程中应建立正式的信息安全事态报告程序,以及在收到信息安全事态报告后采取措施的事件响应和上报程序。②报告安全弱点控制措施,是指中心应要求信息系统和服务的所有职员、承包方人员和第三方人员记录并报告他们观察到的或怀疑的任何系统或服务的安全弱点。报告机制应尽可能容易、易理解和方便可用。应告知他们在任何情况下,都不应试图去证明被怀疑的弱点。
4.7.2信息安全事件和改进的管理。社区卫生服务中心信息安全事件和改进的管理这一控制目标旨在确保采用一致和有效的方法对信息安全事件进行管理。中心可以用职责和程序的控制措施、对信息安全事件的总结、证据的收集三项控制措施来保障这一目标的实现。①职责和程序的控制措施。它是指中心应当建立管理职责和程序,以确保能对信息安全事件做出快速、有效和有序的响应。该项措施实施时除了对中心的信息安全事态和弱点进行报告外,还应利用对系统、报警和脆弱性的监视来检测中心信息安全事件。遵循严格的信息安全事件管理程序的前提是中心需建立规程以处理不同类型的信息安全事件,如恶意代码、拒绝服务、信息系统故障和服务丢失、违反保密性和完整性、信息系统误用等。中心除了考虑正常的应急计划还要考虑事件原因的分析和确定、遏制事件影响扩大的策略、向合适的机构报告所采取的措施等。②中心对信息安全事件的总结控制措施,是指社区卫生服务中心应有一套机制量化和监视信息安全事件的类型、数量和代价。从信息安全事件评价中获取的信息应用来识别再发生的事件或高影响的事件。③证据的收集。证据的收集对于社区卫生服务中心来说,是指当中心的一个信息安全事件涉及到诉讼(民事的或刑事的),需要进一步对个人或组织进行起诉时,应收集、保留和呈递证据,以使证据符合相关诉讼管辖权。过程有:为应对惩罚措施而收集和提交证据,应制定和遵循内部程序,为了获得被容许的证据,中心应确保其信息系统符合任何公布的标准或实用规则来产生被容许的证据:任何法律取证工作应仅在证据材料的拷贝上进行。
4.8业务连续性管理 对于社区卫生服务中心来说业务连续性管理是指防止中心业务中断,保证中心重要业务流程不受重大故障与灾难的影响。业务连续性管理过程中包含信息安全,该控制措施是指应为贯穿于组织的业务连续性开发和保持一个管理过程。解决中心的业务连续性所需的信息安全要求,保护关键业务过程免受信息系统重大失误或灾难的影响,并确保他们的及时恢复。应包含中心的信息安全、业务连续性和风险评估、制定和实施包含信息安全的连续性计划、业务连续性计划框架、测试、维护和再评估业务连续性计划等内容。
5 社区卫生服务机构信息安全的展望
对于社区卫生服务中心来说信息安全保障不仅仅是一门技术学科,信息安全保障应综合技术、管理和人。在中心的管理上,信息安全保障应考虑建立综合的信息化的组织管理体系,明晰相应的岗位职责、规章制度并严格执行等等。在人员上,应加强所有使用信息系统人员的安全意识和技能,以及中心从事信息系统专业人员的专业技能和能力。社区卫生服务中心的信息安全保障亦不是一种项目性的暂时行为,而是融入信息系统生命周期的全过程的保障。信息安全保障不是一种打补丁,头疼医头、脚疼医脚的临时行为,而是一种系统化、体系化的保障过程。信息安全保障的目的不仅仅是保障信息系统本身,信息安全保障的根本目的是通过保障信息系统进而保障运行于信息系统之上的中心业务系统。信息安全保障应以业务为主导、以社区卫生服务中心的使命、社会职责和社会服务性为出发点和落脚点。社区卫生服务中心的信息安全保障不仅仅是孤立的自身的问题,信息安全保障是一个社会化的、需要各方参与的工作。信息安全保障不仅仅是孤立的自身的问题,信息系统需要电信、电力等基础设施的支持、信息系统需要承担保密、公共安全、国家安全等社会职责,信息安全保障工作是一个社会化的、需要各方参与的综合的工作。社区卫生服务中心的信息安全保障是主观和客观的结合。没有绝对的安全,信息安全保障并不提供绝对的安全,信息安全保障是讨论风险和策略,讨论适度安全。因此,它是一个需要持之以恒和不断完善与发展的工作。
信息安全方针范文4
随着信息技术的不断发展,我国信息安全管理工作质量不断提高,但是,目前仍然存在着一些问题,阻碍了信息安全管理的发展。首先,我国信息安全管理法规体系不够完善,相关方面的法律规定较少,导致信息安全管理的实施得不到有效的法律保障。其次,我国信息安全管理片面注重技术层面的维护,缺乏有效的管理手段,信息安全管理比较薄弱。最后,信息安全管理主要采取被动手段,科学性不高,不能实现全面性管理,而且一些高层领导对信息安全管理工作的重视程度偏低,信息安全管理工作比较薄弱。
二、信息安全管理体系的构建
2.1策划准备
在构建信息安全管理体系前,需要做好各种准备工作,包括计划的制定、相关培训安排、组织调研活动、职责划分等内容。
2.2确定范围
根据组织中IT技术水平、信息资产、工作人员等实际情况,进行信息安全管理体系适用的安全范围,既可以选择部分区域,也可选择整个区域。确定合理的安全范围后,信息的安全管理更加方便。
2.3风险评估
构建信息安全管理体系时,要做好信息处理、存储等工作的安全性调查,预测可能发生的危害信息安全性的事件,并对可能性危害事件会造成的影响做出判断,然后根据评估结果做好信息风险管理工作。
2.4建立框架
要完成信息安全管理体系的构建,离不开信息安全管理框架的建立,这就需要我们要做到全方面考虑,根据信息系统的实际情况,结合组织特点、技术水平等条件建立相应的信息清单,对信息管理做好风险分析、需求分析等内容,并提出相应的问题解决方案,进一步保证信息的安全性。
2.5文件编写
要构建信息安全管理体系,还需要对范围确定、安全方针、风险评估等内容进行相应的文件编写,建立各种文档,为风险管理、体系改进等工作提供依据。
2.6体系运行
以上步骤完成后,信息安全管理体系开始运行。在运行时期,我们要进一步提高体系运作力度,使体系的整体功能得到有效发挥。一旦发现体系存在问题,要尽快找出解决措施,及时解决相关问题,不断完善信息安全管理体系。
2.7体系审核
信息安全管理体系的审核主要是对体系进行客观评价,通过内部审核及外部审核两种方式对体系的运行及相关文件进行全方面检查。其中内部审核主要是组织内部的自我审核,外部审核主要由外部相应的组织对体系进行检查,通过内外审核进一步确定信息安全管理体系的安全性。
三、总结
信息安全方针范文5
【 关键词 】 信息安全;电力企业;风险评估;管理模式
1 引言
在如今的信息化社会中,信息通过共享传递实现其价值。在信息交换的过程中,人们肯定会担心自己的信息泄露,所以信息安全备受关注,企业的信息安全就更为重要了。但是网络是一个开放互联的环境,接入网络的方式多样,再加上技术存在的漏洞或者人们可能的操作失误等,信息安全问题一刻不容忽视。尤其是电力,是国家规定的重要信息安全领域。所以电力企业要把信息安全管理体系的建设,作为重要的一环纳入到整个企业管理体系中去。
2 电力企业信息管理体系建设的依据
关于企业的安全管理体系方面的标准有很多。英国BSI/DISC的BDD信息管理委员会制定的安全管理体系主要包含两个部分内容:信息安全管理实施规则和信息安全管理体系规范。信息安全管理实施规则是一个基础性指导文件,里面有10大管理项、36个执行的目标和127种控制的方法,可以作为开发人员在信息安全管理体系开发过程中的一个参考文档。信息安全管理体系规范则详细描述了在建立、施工和维护信息安全管理体系过程的要求,并提出了一些具体操作的建议。
国际标准化组织也了很多关于信息安全技术的标准,如ISO x系列、ISO/IEC x系列等。我国也制定了一系列的信息安全标准,如GB 15851―1995。
关于企业信息安全管理体系方面的标准众多,如何针对企业自身实际情况选择合适的参考标准很重要,尤其是电力企业有着与其他企业不同的一些特殊性质,选择信息安全体系建设的参考标准更要谨慎。我国电力企业已经引入了一些国际化标准作为建立和维护企业运转的保证,关于信息安全体系的标准也应纳入到保证企业运转的一系列参考中去。电力企业总体应有一致的安全信息管理体系参考标准,但是具体地区的公司又有着本身自己的特殊环境,所以在总体一致的信息安全标准的情况下,也应该根据企业自身地区、人文、政策等的不同制定一些企业内部自己信息安全标准作为建立、实施和维护信息安全管理体系的依据。信息安全管理体系顾全大局又要有所侧重的体现电力企业安全标准的要求。
3 信息安全管理体系里的重要环节
3.1 硬件环境要求
信息安全管理体系并没有特别要求添加什么特别的设备,只是对企业用到的设备做一些要求。电力企业一般采用内外网结合的方式,内外网设备要尽量进行物理隔离。企业每个员工基本都有自己的移动设备,如手机等,为了增加信息安全的系数,企业可以限制公司设备的无线网络拓展。另外,实时监控系统也应该覆盖企业的重要设备,监控硬件设备的安全。
3.2 软件环境要求
在企业设备(主要是计算机)上部署相关软件环境是信息安全管理体系中最重要的部分。比如防病毒软件的部署、桌面系统弱口令监控软件的部署等,以此防止网络攻击或者提高安全系数。另外,企业设备所用系统的安全漏洞修复、数据的加密解密、数据的备份恢复及数据传输通道的加密解密等问题,都在信息安全管理体系设计的考虑范畴。
3.3 企业员工管理
尽管现在一直倡导智能化,但是企业内进行设备等操作的主体还是员工。不管是对设备终端操作来进行信息的首发,还是对企业软硬件系统进行维护工作,都是有员工来进行的。所以,对企业内部员工进行信息安全培训,提高员工的信息安全防范意识,让员工掌握一定的信息安全防范与处理手段是非常重要的事情。针对不同的职位,在员工上岗前应该进行相关的信息安全方面的培训,然后对培训结果进行考核,不合格的人员不准上岗。在岗的人员也要定期进行培训与考核。另外,如果有条件的话,企业应该定期(例如每年)进行一次信息安全的相关演习。
另外,电力企业有些项目是外包给其他相应公司的,这时候会有施工人员和驻场人员在电力企业,对这些人员也应该进行电力企业信息安全的培训。
3.4 信息安全管理体系的风险系数评估
风险评估在信息安全管理体系中是确定企业信息安全需求的一个重要途径,它是对企业的信息资产所面临的威胁、存在的弱点、造成的影响,以及三者综合作用下所带来的风险可能性的评测。风险评估的主要任务是:检测评估对象所面临的各种风险,估计风险的概率和可能带来的负面影响的程度,确定信息安全管理体系承受风险的能力,确定不同风险发生后消减和控制的优先级,对消除风险提出建议。在信息安全管理体系的风险系数评估过程中,形成《风险系数评估报告》、《风险处理方案》等文档,作为对信息安全管理体系进行调整的参考。风险系数的评估要尽可能全面的反映企业的信息安全管理体系,除了常规手段,也可以使用一些相应的软件工具的结果作为参考。另外很值得注意的是企业的员工对风险的理解,企业员工对他们所操作的对象有比较深刻的理解,对其中可能存在的不足也有自己的见解,在风险系数评估的过程中,可以进行一些员工的问卷调查等,把员工对风险的认识纳入风险评估的考虑范畴。
企业的设备会老旧更换,员工也会更换,所以企业的信息安全是动态的,因此风险评估工作也要视具体情况定期进行,针对当前情况作评估报告,然后制定相应的风险处理方案。还有,之所以要建立信息安全管理体系,其中很重要的一点就是体系内各个模块的结合,信息安全管理体系的风险评估与关键内容的实时监控就应该结合起来。
为了降低信息安全管理体系的风险系数,提升信息安全等级,要做的工作很多。渗透测试就是其中很有必要的一项工作。渗透测试是测试人员通过模拟恶意攻击者的攻击方式,来评估企业计算机网络系统安全的一种评测方法。这个测试过程会对系统的可知的所有弱点、技术方面的缺陷或者漏洞等作主动的分析。渗透测试对于网络信息安全的组织具有实际应用价值。随着技术的不断进步,可能还会出现其他的更有价值的信息安全技术,作为信息安全备受瞩目的电力企业,应当时刻关注相关技术的进展,并及时将它们纳入企业信息安全管理体系中来。
3.5 信息安全管理体系的管理模式
文章前面提到企业信息安全是动态的,所以信息安全管理体系需要建立一个长效的机制,针对最新的情况及时对自身作出调整,使信息安全管理体系有效的运行。现在一般会采用PDCA循环过程模式:计划,依照体系整个的方针和目标,建立与控制风险系数、提高信息安全的有关的安全方针、过程、指标和程序等;执行:实施和运作计划中建立的方针、过程、程序等;评测:根据方针、目标等,评估业绩,并形成报告,也就是文章前面说到的风险系数评估;举措:采取主动纠正或预防措施对体系进行调整,进一步提高体系运作的有效性。这四个步骤循环运转,成为一个闭环,是信息安全管理体系得到持续的改进。
4 重要技术及展望
4.1 安全隔离技术
电力企业的信息网络是由内外网两部分组成,从被防御的角度来看的话,内网的主要安全防护技术为防火墙、桌面弱口令监控、入侵检测技术等;而主动防护则主要采用的是安全隔离技术等。安全隔离技术包括物理隔离、协议隔离技术和防火墙技术。一般电力企业采用了物理隔离与防火墙技术,在内网设立防火墙,在内外网之间进行物理隔离。
4.2 数据加密技术
企业的数据在传输过程中一般都要进行加密来降低信息泄露的风险。可以根据电力企业内部具体的安全要求,对规定的文档、视图等在传输前进行数据加密。尤其是电力企业通过外网传输的时候,除了对数据进行加密外,还应该在链路两端进行通道加密。
4.3 终端弱口令监控技术
终端设备众多,而且是业务应用的主要入口,所以终端口令关乎业务数据的安全以及整个系统的正常运转。如果终端口令过于简单薄弱,相当于没有设定而将设备暴露。终端的信息安全是电力企业信息安全的第一道防线,因此采用桌面系统弱口令监控技术来加强这第一道防线的稳固性对电力企业的信息安全非常重要。
电力企业信息安全管理体系是一个复杂的系统,包含众多的安全技术,如数据备份及灾难恢复技术、终端安全检查与用户身份认证技术、虚拟专用网技术、协议隔离技术等。凡是与信息安全相关的技术,电力企业都应当关注,并根据企业自身的情况决定是否将之纳入到信息安全管理体系中去。
智能化已成为不管是研究还是社会应用的热门词汇。电力企业的信息安全管理体系是否可以智能化呢?不妨做一个展望,电力企业的信息安全管理体系有了很强的自我学习与自我改进的能力,在信息安全环境越来越复杂,信息量越来越庞大的情况下是否会更能发挥信息安全管理体系的作用呢?这应该是值得期待的。
5 防病毒软件部署
电力企业信息安全管理体系有很多软件系统的部署,如防病毒软件部署、桌面弱口令监控系统部署、系统安全卫士部署等。但是它们的部署情况类似,这里用防病毒软件的部署来展示电力企业信息安全管理体系中软件系统的部署情况。如图1所示为防病毒软件的部署框架。
杀毒软件种类有很多,这里以赛门铁克杀毒软件为例。企业版的赛门铁克防病毒软件系统相比单机版增加了网络管理的功能,能够很大程度地减轻维护人员的工作量。为了确保防病毒软件系统的稳定运行,在电力企业内部正式使用时,尽量准备一立的服务器作为防病毒软件专用的服务器。
服务器安装配置好赛门铁克防病毒软件后,可以远程控制客户端与下级升级服务器的软件安装与升级。
电力企业内网可能是禁止接入外网的,这样的话,防病毒软件的更新可能无法自动完成。防病毒软件需要升级的时候,维护人员在通过外网在相应网址下载赛门铁克升级包,然后通过安全U盘拷贝到防病毒软件系统专用服务器进行升级操作。在图1中,省电力公司的防病毒管理控制台获得升级包可以下发给下级升级服务器和客户端进行防病毒软件系统的自动升级更新。图1是一个简单的框图,如果电力企业的内网规模很大的话,还可以更多级地分布部署。
6 结束语
电力企业的信息安全与企业的生产与经营管理密切相关,是企业整个管理系统的一部分。信息安全管理体系是一个整体性的管理工作,把体系中涉及的内容统一进行管理,让它们协调运作,实现信息安全管理体系的功能。电力企业信息安全的建立与体系不断的改进定能稳定、有效地维护企业的信息安全。
参考文献
[1] 王志强,李建刚.电网企业信息安全管理体系建设[J].浙江省电力公司,2008,6(3):26-29.
[2] 陈贺,宫俊峰.浅析信息安全体系如何建立[J].中国管理信息化,2014,17(1):74-76.
[3] 郭建,顾志强.电力企业信息安全现状分析及管理对策[J].信息技术,2013(1):180-187.
[4] 沈军.火力发电厂信息你安全体系构建与应用[J].电力信息通信技术,2013,11(8):103-108.
[5] 左锋.信息安全体系模型研究[J].信息安全与通信保密,2010,01(10):68-71.
[6] 杨柳.构建供电企业信息安全体系[J].电脑知识与技术,2005(29).
[7] 曹鸣鹏, 赵伟, 许林英. J2EE技术及其实现[J]. 计算机应用,2001, 21(10): 20-23.
[8] 江和平.浅谈网络信息安全技术[J].现代情报学,2004(14):125-127.
作者简介:
崔阿军(1984-),男,甘肃平凉人,硕士研究生,工程师;主要研究方向和关注领域:电力信息通信安全技术研究。
张驯(1984-),男,江苏扬州人,本科,工程师;主要研究方向和关注领域:电力信息通信安全技术研究。
李志茹(1984-),女,山东平度人,硕士研究生,工程师;主要研究方向和关注领域:信息化建设及安全技术。
龚波(1981-),男,湖南新邵人,本科,工程师;主要研究方向和关注领域:电力信息化建设及安全技术。
信息安全方针范文6
由于审计职业的特殊性,审计人员往往经常出差到异地工作,笔记本电脑已经成为审计人员随身携带的必备工具;笔记本数据的安全又成为审计人员实现计算机数据安全的关键。笔者从“硬件”、“软件”以及“制度”三方面谈谈如何实现计算机数据的安全。笔记本电脑,应从整体上制订集体的安全方案,至于个人应根据自身的情况加以区别,但都应包括防盗、防止系统崩溃、防止黑客攻击和病毒感染以及数据备份,认证加密等。
一、“软”环境应放在安全意识的首位
从软件以及相关配置方面,是电脑操作者最关注的事,也是与其最密切相关的。审计人员的笔记本电脑应设置BIOS开机密码、硬盘密码,并且使用加密软件对重要数据进行加密保护外,还要安装防病毒和防火墙软件,或者将机密数据保存在移动硬盘、U盘或者刻录到光盘等存储介质上加以备份,以防不测。具体应注意以下几方面:
(一)从开机开始,检查笔记本电脑的安全保护性能是否完备。这其中又应设置开机密码,且开机密码应经常更换和无规律可循。
(二)如有可能要设置硬盘锁定密码,确保笔记本电脑被盗后其中所存储的重要数据不会落入他人之手。大多数笔记本电脑采用密码机制对数据提供基本的保护措施,所以,最简单的措施是设置开机密码。但只设置开机密码还不能保证数据的安全性,因为窃密人可以将硬盘拆卸下来拿到另外一台计算机上读取原始数据,所以还要设置硬盘锁定密码,这样,该笔记本电脑在每次启动时都必须使用密码对硬盘解密,这样一来即使窃密人将硬盘拔插到另一台计算机上也很难读取原始数据。
(三)笔记本电脑所使用的操作系统应具有较好的稳定性,同时应使用具有安全防护性能的操作系统,最好在笔记本上安装WINDOWS2000作为操作系统平台,并将分区设置为NTFS格式,然后设置登录密码,并确保在不使用时处于登录前状态,以防止他人乘机窃取笔记本电脑上的机密信息。
(四)对笔记本电脑中所存储的重要文件采用加密存放的方式进行保护。由于盗窃者攻击破坏手段的不断发展,仅仅依靠密码并不足以阻止经验丰富的窃密人擦除系统配置信息(包括密码在内),而后侵入系统,进而获取其中存放的机密信息。所以,要切实保护笔记本电脑中存储的机密数据的安全,最好使用磁盘加密程序,如ISS LIMITED公司出品的IPROTECT,至少对于最重要的数据要采取以上保护措施(当然也不要对所有对象都加密,这样会降低计算机性能)。
(五)时常进行数据备份,以防在万一丢失笔记本电脑的情况下减小损失。为预防意外,应对笔记本电脑上的数据存有备份,这样即使笔记本电脑丢失,仍能保证信息不至于丢失,将损失降至最低。
(六)使用数据恢复软件,减少误删除所带来的影响,建议使用FINAL DATA2.0以上版本。同时对于重要数据要作到彻底的删除,市场上相关软件也较多,另外新版的杀毒软件有许多也拥有上述功能,可以加以发掘使用。
二、硬件方面是实现数据安全的捷径
如果可能,可以考虑通过购买相关的硬件提高审计人员笔记本电脑整体的安全性,防盗和防泄密。其中电脑防盗锁简单实用,成为首选。电脑防盗锁是专门为保护电脑而设计的。通常笔记本电脑身上都会有一个被称为“SECURITY SLOT(安全接口)”的椭圆形防盗锁孔,旁边有一个锁形标志,这是KENSINGTON公司的专利标志,现在已经成为电脑业界的标准,目前市场上主流的笔记本产品、PDA、投影仪等都有这种防盗锁孔。我们常用的笔记本电脑用的防盗锁孔有线缆锁和扣式锁两种。线缆相对比较便宜且耐用,扣式锁功能较多但价格较高。
如果审计人员经常在人多的场所使用笔记本电脑,存在向外泄密的可能性,会对计算机数据的安全带来一定的威胁,可以选配防泄密滤镜。他是一块暗色的塑料屏幕,将他用胶带粘在液晶屏后就只有笔记本正前方的人才能看见屏幕上的内容,而旁边的人只看见黑屏,从而防止了信息泄密。对于高级用户,除了上述措施外,建议选购带有安全解决方案、IC智能卡、指纹识别系统等产品。
当然,移动办公的安全防护是一个系统工程,也是一个体系,不但包含信息在存储过程中的安全保护,还包括信息在传输流转过程中的安全防护问题,单是针对移动办公中的笔记本电脑的信息安全问题,也有很多方面还需要进一步引起重视。
三、安全意思必须通过制度和相应的规则上加以规范
信息安全在于保证信息的保密性、完整性、可用性三种属性不被破坏。目前,我国的信息安全管理主要依靠传统的管理方式与技术手段来实现,传统的管理模式缺乏现代的系统管理思想,用于管理现代信息往往不适用,而技术手段又有局限性。保护信息安全,国际公认最有效的方式是采用系统的方式(管理+技术),即确定信息安全管理方针和范围,在风险分析的基础上选择适宜的控制目标与方式来进行控制。我们在制订部门信息安全制度或规则时,具体可以考虑具体研究BS7799。BS7799是英国标准协会(BRITISH STANDARDS INSTITUTION,简称BSI)制订的信息安全管理体系标准,它还包括两部门,其第一部分《信息安全管理实施规则》于2000年底已经被国际标准化组织(ISO)纳入世界标准,编号为ISO/IEC17799。
BS7799广泛地涵盖了所有的信息安全议题,如安全方针的制定、责任的归属、风险的评估、定义与强化安全参数及访问控制,甚至包含防病毒的相关策略等,其中对于信息安全,特别是计算机数据安全有明确的规定。BS7799已经成为国际公认的信息安全实施标准,适用于各种产业与组织。
