公司信息安全建設精選(九篇)
前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的公司信息安全建設主題范文,僅供參考,歡迎閱讀并收藏。
第1篇:公司信息安全建設范文
關鍵詞:信息安全;信息科技風險;管理體系
1信息安全建設現狀
現行制度方面,現行有效制度涵蓋軟件開發、軟硬件運維、應急管理、安全操作、外包管理、供應商管理等方面,覆蓋面較為全面,但是缺乏體系,沒有根據一個標準系統的制定出一整套操作性強、執行性強的制度體系。上報機制方面,目前采取信息處內部逐級上報機制,即發現問題上報至科長,科長根據重要等級不同決定上報給處長、主管主任、信息科技委員會。內部評審方面,現階段只針對現行制度對文檔的完整性和準確性進行事后自評,定期配合外部審計機構進行專項審計;監控平臺只對機房環境、硬件設備、網絡及系統軟件進行實時監控。信息科技風險評估方面,根據國家標準從信息資產、威脅、脆弱性的識別、風險值評估、風險項統計分析、總體評價和不可接受風險處理等7個方面,對整體信息化系統包含的硬件設備、軟件系統、數據信息和管理制度等內容進行了全面的評估,每半年上報一次信息科技風險報告,并制定相應的整改計劃。
2信息安全建設存在的問題
2.1管理制度建立不完善
目前,在信息科技風險的上報機制、自評機制和監控機制都存在著不同程度上有所缺失,例如尚未建立雙向上報機制;自評范圍不全面,缺少對數據資產、人員資產、軟件資產等的覆蓋;缺少殘余信息科技風險的控制緩釋措施及評價流程。同時,現有信息科技風險管理制度的完整性、可操作性需要進一步改進。
2.2信息安全意識不強
職工信息安全意識較為缺乏,沒能把信息安全意識變成一種習慣、一種常態化的意識真正融入到日常的工作生活中,沒能真正意識到加強信息安全的重要程度。
3信息安全建設工作思路
隨著互聯網+迅猛發展,加強信息安全建設日益重要,我認為應從加強安全審計、建立風險上報機制、強化信息安全管理、科技信息風險防范等四個方面不斷加強信息安全建設工作:
3.1分析差距,完善內審監控管理體系
按照信息安全管理體系ISO27001標準梳理現狀,認真分析研究,查找存在的差距,制定信息安全內控操作規程,針對軟件開發、軟件運維、硬件管理各項工作中具體內控操作流程制定信息安全審計依據。可聯合相關處室,定期組織信息安全內部審計,建立事前預警、事后考評的整套內審監控管理體系,對潛在的信息風險進行有效控制。
3.2安全防控,建立風險上報長效機制
依據CIA屬性對現有信息資產按照實物資產、人員資產、數據資產、軟件資產、服務資產進行分類賦值,識別信息資產面臨的威脅與弱點,推導出信息資產面臨的安全風險,提出相應的安全措施并制定整改計劃。另外,建立風險點上報機制,各個分管機構風險管理員負責收集存在的風險點隱患并及時上報信息處、風險處,由信息處匯總風險點,雙向上報給風險處及相關領導,針對風險點中提出的問題及時跟進,并協調相關處室進行有效處理。
3.3強化意識,緊抓信息安全管理
針對目前職工信息安全意識較為薄弱的現狀,一是借助官方網站、微博、月刊、簡報等宣傳載體,開展形式多樣的信息安全的宣傳教育活動,讓每名干部職工時刻緊繃信息安全這根弦;二是邀請專家定期組織信息安全培訓,普及安全應用技術,強化全員的安全責任和意識。三是結合各部門信息安全工作實際,就一段時期內容易產生的安全問題組織不定期的安全技術人員專題講座,提高信息網絡安全管理人員的能力。
3.4抓好關鍵,確保信息安全工作無死角
第2篇:公司信息安全建設范文
關鍵詞:地市煙草;網絡安全;技術;管理
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1674-7712 (2014) 02-0000-02
煙草行業自1985年有了第一臺計算機以來,經過20多年行業信息化工作者孜孜不倦的努力,行業的信息化建設工作取得了長足的發展,建立了涵蓋行業各個方面工作的完備的信息網絡,為行業工作的便捷開展提供了可靠的信息化助力,為“卷煙上水平”做出了應有的貢獻。但不可否認的是,在信息化建設之初,由于經驗的缺乏及技術的限制,沒有形成一個具有遠見性及科學性,能與行業整體業務發展戰略緊密融合的信息網絡安全建設戰略,導致多年來行業信息網絡安全建設工作缺乏統一的導向和組織,雖然各省煙草公司都制定并出臺了計算機網絡建設與管理規范,指導各地市的信息網絡建設,但因為制度出臺時間較短,及網絡改造需要流程與時間,可以說目前各地市網絡安全建設水平仍不夠理想,信息網絡安全建設發展至今,越來越多的困難與矛盾開始逐漸凸顯。
一、地市煙草公司信息網絡安全建設現狀
地市煙草信息網絡是構成全省煙草信息網絡的個體,因此地市信息網絡安全建設水平便直接關系全省信息網絡建設水平,是構成全省信息網絡安全建設的一環,就像構成木桶的一板,依據管理學上“木桶效應”的短板理論,木桶的盛水量由構成木桶的最短的一板決定,當有一個地市信息網絡安全建設水平大大低于平均水平,就將大大拉低全省煙草信息網絡整體安全防護水平。可以說全省煙草的信息網路安全建設必將是環環相扣的,一環均不得松懈,一環均不得落后。
地市信息網絡安全建設關系到全行業主干的網絡的安全與穩定,而信息網絡環境的復雜性、多變性以及系統的脆弱性、開放性和易受攻擊性,決定了信息網絡安全威脅的客觀存在。當行業人員在享受著信息網絡給日常辦公帶來便利性的同時,信息網絡安全問題也日漸突出,信息網絡安全建設形勢日益嚴峻。結合地市煙草實際情況分析總結(某地市煙草信息網絡安全結構圖如下),以及筆者日常的實際工作體會,主要可以總結出當前地市煙草信息網絡安全建設還主要存在著以下幾方面問題:
(一)將信息網絡安全建設理解為單純的安全設備采購
經過多年的信息化網絡安全建設投入,一種簡單的理念容易令一些行業信息化工作從業者產生誤解,即所謂的信息網絡安全建設就是網絡安全設備的采購,只要網絡安全設備采購部署到位,信息網絡安全便高枕無憂,從一定角度來說,這種觀點并沒有錯誤,隨著信息技術的發展,日益先進強大的網絡安全設備層出不窮,人性化的操作界面也使得設備使用與配置變得不再困難,對信息網絡安全起到很好的保障。各地市煙草公司也在逐年增加著安全設備的采購數量,網絡安全隨著安全設備的增加看起來已經不再是問題。但實際情況是這樣嗎?在實際情況中我們仍然會發現,地市煙草在重視網絡安全設備采購的時卻較為忽視對網絡安全設備采購的前期規劃,導致亟需網絡設備沒有得到采購,或者采購的安全設備沒有得到很好的實施。造成重復投資及資產浪費的局面,同時設備上線實施后期的運行維護及更新升級,隨著時間的流逝,人為的懈怠與忽視,都導致購買的安全設備沒有起到最大的作用。
(二)信網絡安全建設偏重技術鉆研,忽略日常管理
信息網絡安全不能完全依賴技術手段來解決,更多的需要從信息安全日常管理上入手,畢竟信息網絡的使用者是人,只有對人的管理到位,才能保證在技術手段搭建的網絡安全保障平臺下不出現人為操作引發的漏洞。當前地市信息化工作從業者在對信息安全技術鉆研方面投以了很大的熱情,但對信息網絡安全日常管理方面卻顯得無能為力,或者說掌控能力還不夠,雖然制定并頒布了涵蓋網絡安全各方面的信息化制度,但相關制度卻沒有得到很好的貫徹執行,很多制度名存實亡,而行業各級員工良好信息網絡安全使用習慣始終沒有得到養成,信息安全問責機制得不到很好實施,同時而信息中心作為相關信息安全管理制度的制定者,受限于部門職能及自身管理水平所限,導致對制度執行的監督管理能力低下。而在信息網絡安全管理不力的情況下,致使再強大的技術防護都無法避免管理缺失形成的隱患。
(三)信息網絡安全建設重視對外防護,忽視對內防護
當前網絡安全建設更多的針對外來攻擊的防護,而忽視對內的安全防護,更多的是在網絡邊界搭設安全設備抵御從外部而來的非法入侵及非法訪問,而針對內部終端用戶的審計及跟蹤則較為缺失。根據統計結果標明,99.9%的網絡安全事件來源于網絡內部,而只有0.1%安全事件來自于外部,絕大多網絡安全事件來自于以內部客戶端為跳板進行的網絡攻擊。當企業內部存在有惡意的攻擊者,他們就能較好的規避防火墻等安全設備的安全策略,并把安全策略轉向對于他們有利的一面,對內部網絡進行攻擊。同時外部的黑客,也能通過木馬,能讓內部用戶運行他們指定的程序,操縱主機,竊取數據,這些都源于當前的信息網絡建設對來自網絡內部攻擊防護較為薄弱,同時對內部網絡準入控制把控力度做得較為不足,雖部署有桌面終端管理系統,但在相應策略部署上,沒有及時到位,而該系統特殊的技術阻斷方式,也在一定程度容易導致其阻斷率無法達到100%。
(四)網絡安全建設應急機制不健全
目前地市信息網絡安全建設更多的是重視的日常安全巡檢等日常檢查工作,但是對網絡突發事件的應急處置則較為欠缺,地市網絡安全建設應急機制建立不健全,缺乏相應網絡事故應急預案及相關演練,對突況的應變不熟練,導致出現突發的網絡安全事故時則會變得手忙腳亂,無法很好應對突發事件帶來的異常,促使事故造成的損失愈發嚴重,同時沒有良好的容災備份機制,一旦信息安全事故發生,是否能快速有效的恢復關鍵數據成為疑問。
二、針對當前網絡安全建設現狀的一些建議
針對當前地市煙草信息網絡安全建設過程中存在的問題,通過一定的分析總結,參照最新的技術規范及管理理念,以及上級的制度規定,我們試提出以下幾條改進建議,以達到全面提升信息網絡安全建設實用性、科學性、全面性、穩定性的效果,具體如下:
(一)加強網絡安全設備采購的前期規劃及合理配置實用
網絡安全設備的采購應加強前期規劃及需求分析工作,不能無目的,無原則的一味追求高新設備,當前的現狀是各地市對網絡安全的設備采購均存在著檔次及匹配性問題,存在過大及追高的弊病,形成投資浪費,同時由于項目管控能力較弱,前期規劃不足,購置的設備在配置實施后等不到很好的使用,或起不到原先預想的效果。因此要加強項目前期規劃,做好需求調研與需求分析工作,對網絡安全設備應起到的效果及采購設備級別有準確的預估,加強采購項目的整體實施管控,并重點關注設備采購后的實施上線工作,做好安全策略的制定和部署,要充分利用設備、活用設備,充分達到應起的效用,在設備正式上線運行后,要做好安全防護策略的及時更新與修訂,作好安全設備的日常巡檢工作,保證安全設備始終發揮作用,而不是上線運行一段時間后就閑置不管。通過對購置網絡安全設備活用、善用,提升資產投資價值,搭建堅固穩妥信息網絡安全環境,促進信息網絡安全建設的實用性。
(二)建立完善的信息網絡安全日常管理體系
加強網絡安全建設的日常管理工作,應以培養員工的良好的網絡安全習慣為工作重點。所謂信息網絡安全建設“三分技術,七分管理”,管理到位,信息網絡安全建設也將事半功倍。一味單純的依靠技術進行網絡安全防護,而管理上存在漏洞,再強大的技術也將一無所用。好的技術,加上完善嚴密的管理,才能確保信息網絡安全、堅固、穩妥。因此要注重建立完善信息安全管理保障體系,加強安全監管和信息安全等級保護工作,要對網絡設備的安全性和信息安全專用產品實行強制認證。同時在加強對員工日常信息安全理念培訓的同時,要與接入網內的計算機終端使用者簽訂信息安全責任狀,樹立“誰使用、誰負責”、“誰管理、誰負責”的信息安全理念,嚴格落實信息安全責任制,確保員工不敢輕易觸碰信息安全底限,養成良好信息網路安全使用習慣。通過建立全面多級信息網絡安全管理體系,增進信息網絡建設的科學性。
(三)加強信息網絡安全建設對內防護工作
地市公司目前均在互聯網出口及邊界架設了硬件防火墻等安全設備,但由于防火墻的特殊技術架構,其對內部通過防火墻外部的數據是不進行檢測的,這就導致黑客可以利用內網主機上的后門程序,建立隱蔽信道,攻破防火墻,因此其在抵御外部攻擊上起到較好作用,但面對來自網絡內部的攻擊就顯得束手無策,針對這一情況,在進行信息網絡安全建設的同時,應重點加強信息網絡安全的內部防護工作,而加強對客戶端的上網行為審計及網絡準入控制,就成了加強信息網絡內部安全建設的必然選擇。客戶端接入網絡的同時,通過對其安全狀況及授權情況進行檢測,只有安全狀況符合要求,得到合理授權的客戶端才能正常接入辦公網絡。應在互聯網出口處,防火墻之前,部署上網行為管理設備,對客戶端出互聯網的數據進行檢測及篩選,降低客戶端進行危險的互聯網訪問,感染病毒,遭受攻擊的分險。通過加強信息網絡安全建設的內部防護,提升信息網絡安全的全面性。
(四)加強信息網路安全建設應急機制建設及演練
要加強信息網絡安全建設的應急機制建設,加強應急預案的實施演練,增強對網絡安全突發事件的應急處理能力。每年應進行定期仿真度高的應急方案演練,模擬網絡安全事故發生時可能發生的情況,進行針對性演習。在方案演練前,要做好演練前期的方案策劃,演練過程的完全記錄,演練過后的總結分析工作。并以此來不斷改進現有的應急預案。同時應做好容災備份工作,進行關鍵網絡設備的冗余配置及重要數據庫的備份工作,確保發生突發事件后,能夠及時進行網絡及數據恢復工作,將突發事件帶來的影響降到最低,不過多的影響正常辦公業務的開展,確保信息網絡安全的穩定性。
四、結束語
煙草是個比較特殊的行業,在專賣體制下實行“統一領導?垂直管理?壟斷經營”,處于一種行政限產型的壟斷狀態。行業的特殊性要求我們必須克服特殊體制帶來的缺陷,高效的開展行業信息化建設工作。地市信息網絡安絡,作為全省信息網絡的組成部分,其信息安全建設水平決定了全省信息網絡安全性與穩定性,其重要性不言而喻,只有重視信息網絡安全建設,重視當前信息網絡安全建設過程中發現的問題,通過科學的規劃,合理的布局,周密的實施,去逐漸改變當前的不利局面,才能確保信息網絡安全建設的科學性、全面性、穩定性與實用性,確保日常信息網絡的平穩運轉,為全行業的快速發展提供穩定強大的信息化助力!
參考文獻:
[1]福建省煙草公司.計算機網絡建設與管理規范[Z].2012.
[2]盧昱,王宇.信息網絡安全控制[M].北京:國防工業出版社,2011.
第3篇:公司信息安全建設范文
關鍵詞: 縣級供電企業;信息網絡;安全體系;安全建設
中圖分類號:C29 文獻標識碼:A 文章編號:
前言
隨著電力信息網的互聯和完全溶進Internet,電力信息網絡面臨日益突出的信息系統安全問題。國家電力產業體制開始向市場轉變,各級供電企業紛紛建立信息系統和基于Internet的管理應用,以提高勞動生產率,提高管理水平,加強信息反饋,提高決策的科學性和準確性,提高企業的綜合競爭力。目前我國電力企業網絡安全建設的發展很不平衡,總體來看,存在以下薄弱環節。因此,必須采取更加科學有效的方法和思路,加快縣級供電企業網絡建設及網絡安全建設的步伐。
1 縣級供電企業信息網絡安全防范體系概述
1.1 安全策略
總的來說,其基本策略包括網絡系統的防護策略、對主機的防護策略、對郵件系統的防護策略、對終端的防護策略、對數據安全的防護策略以及建立集中控制平臺等。
1.2 安全技術
從技術的層面上,則是通過采用包括建設安全的主機系統和安全的網絡系統,同時配備適當的安全產品的方法來實現,其包括了病毒防護、訪問控制、入侵檢測、漏洞掃描、數據加密、數據備份以及身份認證等這些方面。
1.3 安全培訓
通過在線模擬考試功能和題庫,實現對培訓記錄、培訓師資隊伍、培訓資料以及考試成績的電力化管理,并對培訓結果進行在線統計分析。
2 縣級供電企業信息網絡整體安全建設
2.1 物理層安全建設
物理層安全建設主要保護的是通信線路、物理設備以及機房的安全等三大方面。從技術上,可以進行對設備的備份、防災害和防干擾的能力、設備的運行環境的調配以及保持電源的正常使用等這些方面。
2.2 網絡層安全建設
網絡層安全建設所指的是網絡方面的安全性建設,它可以通過實行身份認證、訪問控制、數據的完整性和保密性、域名系統及路由系統的安全、入侵檢測及防火墻等技術來實現。
2.3 系統層安全建設
系統層安全建設所指的是在進行網絡使用時,關于操作系統安全的建設。對于系統自身而引起的系統漏洞可以通過身份認證、訪問控制、系統漏洞修復等手段來進行。
2.4 用戶層安全建設
用戶層安全所指的是對用戶使用的過程中所存在的安全建設。用戶層安全技術包括分組管理、單口令的登錄的方式及用戶身份認證等主要方面。
2.5 管理層安全建設
管理層安全建設主要是通過供應商使用應用軟件和數據的安全性的建設,包括對Web服務、電子郵件系統、DNS等方面進行優化。此外,還包括病毒對系統的威脅。
2.6 數據層安全建設
首先應考慮對應用系統和數據進行備份和恢復措施,應用系統的安全涉及到數據庫系統的安全,數據庫系統的安全性很大程度上依賴于數據庫管理系統,如果數據管理系統安全機制非常強大,則數據庫系統的安全性就較好。
在以上的各個層面上,每個層面都應該有不同的技術來達到相應的安全保護。如表1所示。
表1 根據安全層面技術來進行縣級供電公司信息網絡整體安全建設
3 縣級供電企業如何有效進行信息網絡安全體系建設
(1)整合現有系統,實現生產實時信息與管理信息的集成,建立電網信息一體化平臺。看似簡單的數據交換和信息共享,由于沒有統一的信息平臺,形成企業信息化發展的瓶頸。縣級供電企業以后的重點工作是整合、集成現有的各子信息系統,搭建統一的運行平臺,規范、整理、合并各種基礎數據,逐步建立集中、統一、開放式中心數據庫,實現各信息系統的無縫連接。對縣級供電企業網絡來講,網絡整體穩定性要求非常高,網絡應該提供多種冗余備份的方式,確保業務的連續。在縣局網絡平臺搭建好之后,這要考慮到未來系統的擴展性。縣級供電企業的信息化建設是一項復雜的系統工程,只有以企業效益為核心,通過構建統一的信息化基礎平臺,部署企業一體化應用系統,才能適應縣域經濟發展,滿足人民群眾對電力的需要,才能提高企業的核心競爭力,才能信步于未來的信息化發展之路。并以信息化帶動企業內部管理機制的改革,實現機制創新、管理創新、技術創新,努力發揮信息化對企業可持續發展的支撐作用。
(2)運用現代網絡技術,構建技術先進、穩定可靠的信息化通道。網絡安全裝置、服務器、PC機等不同種類配置不斷出新的發展。信息安全技術管理方面的人才無論是數量還是水平,都無法適應企業信息安全形勢的需要。隨著電力體制改革的不斷深化,計算機網絡系統網絡上將承載著大量的企業生產和經營的重要數據。因此,保障計算機網絡信息系統安全、穩定運行至關重要,通常可以采取新的技術,如桌面安全管理系統等對終端行為進行管理,從而保證整個內網的可信任和可控制。目前,大部分病毒是通過計算機系統的漏洞來進行肆意的傳播,為此,對于計算機系統的供應商而言,應該要對大部分的漏洞進行及時地提供相應的補丁系統,而對于使用者而言,則需要通過不斷地更新服務的系統來進行對系統的更新。
(3)加強技術和應用培訓,為發展縣級供電企業信息化建設提供基礎保障。先進的管理方式對員工素質提出了更高的要 求,推行信息化建設不但要有“科技興企、人才先行”的觀念,而且還需要既懂電力知識又懂信息技術的人才。管理信息系統的生命力很大程度上取決于應用。信息化建設既是階段性工程又是一種長期行為,對待信息化建設要有長遠眼光,動態地考慮和評價信息化建設問題,不能只看到眼前利益,急于求成。
(4)加強信息制度和信息化安全建設,為縣級供電企業信息化的建設提供根本保證。信息安全不僅要考慮到從安全問題的角度來進行分析,從而提出各個層面的安全保障,為此,信息安全它包括的是策略、技術以及管理的安全體系。供電企業在實現網絡信息安全的有效途徑的時候,需要從技術的層面以及管理的良好配合才得以實現,從而才能為縣級供電企業信息化的建設提供根本性的保證。
4、結束語
電力企業的各個業務對網絡的依賴性越來越強,對信息網絡安全性的要求也越來越高,電力系統信息網絡安全已經成為電力企業生產、經營和管理的重要組成部分。電力企業必須運用現代網絡技術,加強信息制度和信息化安全建設,確保信息系統的安全運行,為企業的安全生產提供有力的保證,從而打造更加穩固堅強的管理技術支撐平臺。
參考文獻:
[1]徐偉鋒、張虹、李莉.構建電力企業的網絡信息安全[J].陜西電力,2007
[2]王廣河,縣級供電公司信息網絡的安全風險與防護策略[J].電力安全技術,2008
第4篇:公司信息安全建設范文
通過安全認證
隨著國航信息系統建設的飛速發展,在奧運安全保障工作中,安全不再只是空防安全和飛行安全,信息安全已成為奧運安保的重要環節,并納入公司和信息管理部2008年重點工作之中。國航信息安全規劃咨詢項目就是在奧運安保和國航信息系統跨越式發展的大背景下立項建設的,它旨在為國航信息安全體系建設打下堅實的理論基礎。
國航也是通過這個項目完成了未來3~5年信息安全建設的發展規劃,建立了信息安全管理體系,于近日最終通過了ISO 27001信息安全管理體系認證,使國航成為國內首家通過此國際認證的航空企業,進一步提升了公司的綜合競爭實力。
記者了解到,ISO 27001是國際信息安全領域的重要標準,它的前身源自英國標準協會(British Standards Institute,BSI)在1995年2月制定的信息安全管理標準 BS 7799,經修訂后,于2005年10月15日作為國際標準ISOIEC 27001/2005。該標準基于風險評估的風險管理理念,可用于信息安全管理體系的建立和實施,保障信息安全,全面系統地持續改進安全管理。國航的信息安全管理體系已于2008年12月就通過了國際權威認證機構的現場審核,具備了獲取ISO 27001信息安全管理體系國際認證的條件。
在國航發展戰略中,信息安全占有非常重要的位置,幾乎所有業務都與信息技術相關,特別是涉及到飛行安全、客戶信任度的商務及財務方面信息等,都需要信息安全管理體系這張保護網的保障,在這種發展趨勢下,國航以建立起成熟的、具備國際水平的信息安全保障體系,保障核心業務不中斷、核心系統不被攻擊、客戶信息不泄露為信息安全愿景目標,
中國國際航空股份有限公司信息管理部總經理劉東說,國航有幾百個系統每天運營著國航所有的正常航線、飛機維護、機組人員的管理、人員的編排,還有財務的收益管理,以及訂座系統、離崗系統、網絡收益系統。對于航空公司來講,每個系統都不能失控,也不能出問題。
安全蹺蹺板
曾經主抓飛行安全如今管信息安全的中國國際航空股份有限公司副總裁賀利,在回顧國航在信息安全方面取得建設的一些建設成果時表示,“信息安全的體系是一個很復雜的體系,我們在業界經常叫“安全蹺蹺板”,這個蹺蹺板主要是在IT基礎結構的基礎上,包括三方面內容:一是技術平臺,二是組織和人員,三是制度和流程,由這三方面一起通過我們來執行,去構成信息安全體系。”
國航信息管理部技術管理辦公室高級經理李宗琦表示,如果沒有信息安全管理體系這張保護網,應該說國航的飛行安全可能也無法得到保障。
第一要保證國航的核心業務不中斷,第二要保證國航信息系統不被攻擊,第三要保證重要客戶的信息不被泄漏,通過這樣的保障體系為國航的業務愿景的目標實現保駕護航。
第5篇:公司信息安全建設范文
作為一個大型的金融企業,中國長城資產管理公司(以下稱長城資產管理公司)深知信息技術和網絡技術對公司發展的重要性,公司總部與各省分支機構之間已經有2M鏈路相連,總部與各省分支機構均與Internet連接。
“雙刃劍”困擾公司發展
隨著金融科技的發展,現代金融企業的業務開展越來越依賴于網絡。但網絡是一柄雙刃劍,在幫助公司發展業務的同時也帶來了一系列的安全問題。長城資產管理公司意識到網絡安全的重要性,并決定建立網絡安全體系。
長城資產管理公司總部的安全建設已經部署了防火墻FW、防病毒AV、入侵檢測IDS和補丁管理系統。但各省分支機構在安全建設方面幾乎是一片空白,技術力量弱,IT技術人員缺乏。
關注“短板”的建設
長城資產管理公司信息技術部安全處處長曾德超表示,長城資產管理公司的關鍵和核心數據存儲在總部,分支機構的服務器沒有存儲重要數據。針對目前的這個現狀,把總部的安全建設作為工作重點的做法是比較可取的,也是比較經濟的。但是分支機構的安全建設與總部之間存在著嚴重的不平衡,這種不平衡會使總部的安全建設的成果和效果大打折扣。因為信息安全建設的總體效果不是取決于最堅固的環節,相反是取決于最薄弱的鏈條,這就是著名的“木桶原理”。因此,分支機構的基本安全保障建設就顯得尤為重要。
細粒度的訪問控制、病毒和蠕蟲的防護以及總部與分支機構之間數據的加密傳輸和身份認證等等,都是來自分支機構的安全需求,因此對于分支機構來講,選擇一種包含防火墻、VPN和病毒防護等多種功能的安全產品,即UTM(統一威脅管理)是滿足上述要求的最佳解決方案。
長城資產管理公司總部與分支機構之間通過單一鏈路很容易出現單點故障,因此,需要增加冗余鏈路作為備份。另外,就當前網絡現狀和應用功能,該公司的安全建設和管理,比較適合采用總部統一安全管理策略,對分支機構進行集中管理的方式。
經過仔細的調研和分析之后,長城資產管理公司決定實施如下的安全戰略:采用集中管理策略,并使用UTM產品 ,在公司總部和各個分支機構進行統一部署。
一方面,集中管理可以從最大程度上節約公司的安全成本,特別是安全管理成本。同時利于總部及時掌握各個分支機構的安全狀況,對整個公司的安全狀況了然于心,也便于進行安全檢查和安全審計。
另一方面,選擇UTM產品進行統一實施,可順利解決分支機構的基本安全保障問題,在所有的分支機構全部部署UTM產品,一攬子解決所有分支機構的安全問題。此外,UTM產品具有如下功能上和管理上的優勢:支持點對點VPN連接,實現集中式管理;建立總部與各省分支機構之間的VPN連接,作為現有專線的備份鏈路;保護各省分支機構免受來自Internet的惡意攻擊或者蠕蟲/病毒感染;實現移動用戶的安全接入;實現統一威脅管理,構成立體防御體系,避免多種安全產品各自為政,條塊分割等。
擇UTM鑄造網絡長城
“長城資產管理公司對市場上的多功能安全網關產品進行逐一比較和分析后,最終選擇了天清漢馬多功能安全網關,它集成了多種強大的功能,不僅提供防火墻、病毒過濾功能,還提供TCP技術防范拒絕服務攻擊、連接數限制、靈活的策略路由、AAA認證、準確的BT封鎖功能及完備的NAT功能等,能夠很好地滿足長城資產管理公司的安全需求。” 曾德超如是說。
該項目實施后,長城資產管理公司總部與各分支機構IT系統的安全性得到大大加強,公司運營效率和管理效率也得到了很大的提高。
編輯點評:現代金融企業的業務開展越來越依賴于網絡已是不爭的事實,而與之相應的安全問題亦越來越突出。對金融行業來說,安全問題往往是致命的,網絡安全的建設任重而道遠!
?業界動態?
McAfee發現第20萬個惡意威脅
McAfee 近期宣布McAfee Avert實驗室把第10萬個威脅添加到其2004年9月份的數據庫當中,并已經發現第20萬個惡意威脅。 (李)
SONICWALL公布UTM設備市場報告
7月25日,SonicWALL宣布連續第五季度保持全球統一威脅管理(UTM)安全設備市場領導地位。根據今年7月IDC的全球安全設備跟蹤報告,于第一季度SonicWALL在銷售數量和工廠營收方面處于總體領導地位。 (剛)
聯想網御開啟全國技術巡禮
近日,聯想網御正式在廣州開啟主題為“藍海”的“2006年聯想網御全國技術巡禮”。本次巡禮歷時3個多月,覆蓋了包括華東、華南、西北等在內的全國上百個城市,是目前業界覆蓋范圍最大的一次信息安全技術巡禮。 (何)
第6篇:公司信息安全建設范文
長期以來,中國大多數企業的信息安全建設遵循“木桶理論”,但實踐證明,在企業信息安全領域應用木桶理論仍存在一定缺陷,很難實現“標本兼治”。企業信息安全應從安全策略、安全管理體系、安全技術體系和安全運維體系四個方面建設一個完善的信息安全體系對企業的信息資源提供全方位的安全防護。整個安全體系以安全策略為核心,管理、技術、運維三者有機結合,又相互支撐。三者之間的關系為“根據管理體系中的策略,由相關組織或人員,利用技術體系作為工具和手段,進行操作來維持運行體系”。在建立信息安全體系的過程中,可采用ISO27001:2005所述的“過程方法”,即將“規劃(Plan)-實施(Do)-檢查(Check)-處置(Act)”(PDCA)四個步驟。
2安全策略
信息安全策略研究就是依據國家信息安全的方針政策、法律法規和工作要求,結合企業實際情況和管理要求,制訂企業信息安全防護的建設方針和基本要求,對信息安全管理體系、技術體系和運維體系中的各種安全控制措施和機制的部署提出目標和原則,是信息化“建、管、用”各項工作和各個環節必須遵守的安全規則,也是針對每個系統和設備制訂分項安全策略的依據。
3安全管理
信息安全管理可參照信息安全管理模型,按照先進的信息安全管理標準ISO17799標準建立組織完整的安全管理體系并實施與保持,達到動態的、系統的、全員參與、制度化的、以預防為主的信息安全管理方式。管理體系架構可分為四層,最高層為企業信息安全總體策略,為下面的各項分策略和具體的規章制度提供指導。第二層為企業信息安全組織體系,作用在于指導實施安全體系,制定安全的相關標準和方針,監管安全事件等。組織體系須設立專門的管理機構,配備相應的安全管理人員,明確主管領導,落實部門責任,各盡其職。第三層為根據總策略,對信息安全涉及的各方面制定有針對性的分項策略,為安全的具體實施提供管理和技術上的指導。第四層為具體的安全管理制度。
4安全技術
第7篇:公司信息安全建設范文
至去年“棱鏡門”事件后,國內連續爆出一系列數據泄密事件:如家等快捷酒店開房記錄泄露、中國人壽80萬保單信息泄露、搜狗手機輸入法漏洞、315晚會上央視也曝光了二維碼等網銀支付的安全漏洞,近日又曝光攜程用戶信息泄露,導致信用卡被盜刷的惡性事件,再次讓互聯網用戶數據安全成為關注焦點。為企業在數據防泄密建設方面敲響警鐘。
據烏云平臺披露:攜程將用于處理用戶支付的服務接口開啟了調試功能,使所有向銀行驗證持卡所有者接口傳輸的數據包均直接保存在本地服務器。同時因為保存支付日志的服務器未做校嚴格的基線安全配置,存在目錄遍歷漏洞,導致所有支付過程中的調試信息可被任意駭客讀取。這些信息包括持卡人姓名、身份證、銀行卡類別、銀行卡號、CVV碼和6位Bin。
根據CNNIC最新數據顯示,2013年因網上數據泄露發生的安全問題涉及的網民數占整體上網人數的4.0%以上,影響人數達2010.6萬人。其中,個人信息泄露比例達42.9%,賬號密碼被盜比例達23.8%。在享受互聯網與手機帶來的便捷之時,人已經“透明”了。層出不窮的新型騙術、花樣翻新的黑客木馬,無一不在拷問著網絡數據安全問題。“創新永遠伴隨著風險,相關機構應提高自身安全技術業務;同時,希望更多宣傳和普及用戶安全意識教育。”某互聯網公司首席知識管理專家趙煥焱強調。在他看來,幾乎每次數據泄露的安全事件都是對商業公司的督促,而各個商業公司的安全意識也在逐漸加強。
事實上,目前,政府、企業等各方面都已經認識到信息安全建設的重要性和緊迫性。怎樣避免數據泄密風險成為每位CIO迫切希望解決的問題。從眾多數據泄密事件看,數據泄密途徑主要有數據非授權使用、內部人員有意或無意泄密、離職雇員盜取信息及第三方合作人員數據竊取、數據被隨意拷貝等。從本質上講,數據加密技術是確保數據安全的治本之法,核心信息資產只用通過加密技術實現權限管理:知道核心數據哪些人能看,在哪兒能看,看的環境是否安全,才能建立完善的數據安全管理體系,實現對數據的安全管控。采用多種加密技術,結合用戶身份和權限控制等技術實現對數據全生命周期的安全管理。構建以信息防泄密為核心的數據安全管理體系。對數據產生、交換、使用和存儲全生命周期實現權限控制和安全管理,讓核心信息牢牢掌握在內部,從而保護信息資產安全。
聯系到中央網絡安全與信息化領導小組成立,全國兩會上信息安全焦點問題備受關注都充分說明國家信息安全建設高度重視。大數據時代,信息資產成為企業發展的命脈,如果數據信息被泄密,后果將不堪設想。(姜姝)
第8篇:公司信息安全建設范文
【關鍵詞】電力;信息系統;信息安全;等級保護
隨著科學技術的快速提高,我國的信息化發展迅速,信息化在各行各業都得到廣泛應用。城市電網是經濟社會發展的重要基礎設施,是能源產業鏈的重要環節。隨著信息、通信技術的廣泛應用,智能化已成為世界電網發展的新趨勢。電力企業網絡建立信息安全等級保護制度旨在為國家信息安全保護工作建立起一個長久有效的安全機制,保障信息化建設的健康發展。然而目前我國電網的信息安全等級保護政策的實施處于初步進行階段,還有很多工作需要完成。這需要業內外人士的共同參與,為保障信息安全盡最大的努力。同時伴隨著計算機技術的發展,信息安全等級保護技術和水平也要不斷優化升級,確保能夠及時解決安全保護中遇到的問題,讓信息安全等級保護政策的實施暢行無阻。
1 電力信息安全等級保護
信息系統等級保護制度是我國信息安全領域一項重要政策,信息系統安全等級保護是指對信息安全實行等級化保護和等級化管理。根據信息系統實用業務重要程度及其安全實際需求,實行分級、分類、分階段實施保護,保障信息安全和系統安全穩定運行,維護國家利益、公共利益和社會穩定,等級保護的核心是對信息系統特別是對業務應用系統安全分等級、按標準進行建設、管理和監督。國家對信息安全等級保護工作運用法律和技術規范逐級加強監管力度,保障重要信息資源和重要信息系統的安全。
1.1 等級保護定級
信息系統的安全保護等級由兩個定級要素決定:等級保護對象受到破壞時所侵害的客體和對客體造成侵害的程度,其中等級保護對象受到破壞時所侵害的客體包括三方面:公民、法人和其他組織的合法權益,社會秩序、公民利益,國家安全。等級保護對象受到破壞后對客體造成侵害的程度分為三種:一般損害,嚴重損害,特別嚴重損害。定級要素與信息系統定級的關系見下表所示。
1.2 基本要求與主要流程
等級保護的基本要求是:各基礎信息網絡和重要信息系統,按照“準確定級、嚴格審批、及時備案、認真整改、科學測評”的要求完成等級保護的定級、備案、整改、測評等工作。公安機關和保密、密碼工作部門要及時開展監督檢查,嚴格審查信息系統所定級別,嚴格檢查信息系統開展備案、整改、測評等工作。等級保護的主要流程包括6項內容。
(1)自主定級與審批:信息系統運營使用單位按照等級保護管理辦法和定級指南,自主確定信息系統的安全保護等級。有上級主管部門的,應當經上級主管部門審批。跨省或全國統一聯網運行的信息系統可以由其主管部門統一確定安全保護等級。
(2)評審:在信息系統確定安全保護等級過程中,可以組織專家進行評審。對擬確定為第4級以上信息系統的,運營使用單位或主管部門應當邀請國家信息安全等級專家評審委員會評審。
(3)備案:第2級以上信息系統定級單位到所在地的市級以上公安機關辦理備案手續。
(4)系統安全建設:信息系統安全保護等級確定后,運營使用單位按照慣例規范和技術標準,選擇管理辦法要求的信息安全產品,建設符合等級要求的信息安全設施,建立安全組織,制定并落實信息安全管理制度。
(5)等級測評:信息系統建設完成后,運營使用單位選擇符合管理辦法要求的檢測機構,對信息系統安全等級狀況開展等級測評。
(6)監督檢查:公安機關依據信息安全等級保護管理規范,監督檢查運營使用單位開展等級保護工作,定期對第3級以上的信息系統進行安全檢查。運營使用單位應當接受公安機關的安全監督、檢查、指導,如實向公安機關提供有關材料。
2 電力信息系統等級保護工作開展
2.1 信息系統定級及審批
2007年7月,公安部、國家保密局、國家密碼管理局、國務院信息辦聯合下發《關于開展全國重要信息系統安全等級保護定級工作的通知》(公信安[2007]861號),按照有關工作要求,國家電力監管委員會開展了電力行業等級保護定級工作,并印發《關于開展電力行業信息系統安全等級保護定級工作的通知》(電監信息[2007]34號),電力公司按照《國家電網公司信息系統安全保護等級定級指南(試行)》(信息技術[2007]60號)對公司信息系統進行定級,按照要求填寫定級報告和備案表,并報送國家電力監管委員會組織評審和審批。主要涉及4個3級系統、11個二級系統,具體見表2。
2.2 信息系統等級保護備案
公司完成信息系統的定級工作后,開始對信息系統進行等級保護備案,認真填寫《信息系統安全等級保護備案表》,梳理完成所有資料準備后,于2011年向省公安廳提交了等級保護備案材料,最終公司15個管理信息系統完成了等級保護備案工作。
2.3 等級保護測評及整改工作
2011-2012年,按照國家電力監管委員會要求,北京華電卓識信息安全測評技術中心相繼完成對公司電力市場交易系統、ERP系統、財務管理系統、營銷管理等15個系統的等級保護測評工作。
公司積極組織、協調、配合測評隊伍,遵循“流程規范、方法科學、結論公正”的原則,按照國家等級保護測評工作的有關標準、規范的要求,根據《電力行業信息系統安全等級保護要求(試行)》開展測評工作,公司信息系統等級保護測評符合率達到95%以上,順利通過了等級保護測評,但是測評中還是發現了部分問題,主要包括:
(1)網絡設備不具備雙因子驗證
根據國家《信息系統安全等級保護基本要求》規定,第2級以上(不含)信息系統網絡設備應對同一用戶選擇兩種或兩種以上組合的鑒別技術來進行身份鑒別,按照此項基本要求,限于硬件條件,公司三級信息系統尚達不到安全防護要求。
(2)數據庫審計功能未開啟
根據國家《信息系統安全等級保護基本要求》規定,第2級及以上信息系統審計范圍應覆蓋到服務器上的每個操作系統用戶和數據庫用戶;系統不支持該要求的,應以系統運行安全和效率為前提。按照此項工作要求,公司部分系統未開啟數據庫審計功能,亦未部署第三方審計產品。
測評工作結束后測評人員對測評過程結果及以上問題進行了反饋,公司根據測評中發現的各類問題做好問題整改工作,確保公司信息系統安全穩定運行。整改工作如下:
1)網絡設備未設置雙因子認證。對于不具備雙因子驗證條件的問題,公司正在加快建設統一數字認證系統,系統上線后可實現雙因子驗證。
2)數據庫審計功能未開啟。因開啟數據庫審計功能會對系統性能產生較大影響,公司近期計劃購置部署第三方審計產品。
3 結束語
電力公司近年來高度重視信息安全工作,信息安全等級保護工作卓有成效,通過落實信息安全等級保護制度,開展管理制度建設、技術措施建設、落實等級保護各項工作要求,使信息系統安全管理水平明顯提高,安全防護能力顯著增強,安全隱患和安全事故明顯減少,有效保障公司信息化工作健康發展,公司下一步工作重點應著手對等級保護測評發現的各項問題進行整改,保障公司網絡及信息系統安全穩定運行。
參考文獻:
[1]王雪莉.淺談信息安全等級保護問題[J].數字技術與應用,2012.
[2]易振宇.電力信息系統等級保護實施淺談[J].信息安全與通信保密,2011.
第9篇:公司信息安全建設范文
關鍵詞:水利水電;網絡建設;信息技術
當今社會是一個經濟飛速發展的社會,其中可以展現經濟飛速發展的一個方面便是水利水電工程技術的發展。為了能夠滿足水利水電工程技術快速發展的要求,計算機技術被大量引用到水利水電工程設計的各個方面。計算機網絡技術可以很快的解決水利水電工程設計中的各種問題,并能夠根據實際情況,不斷的更新信息化進程,使得水利水電工程能夠真正地跟上世界的發展,為我國社會的發展添磚加瓦。但是計算機網絡建設依然需要通過增強保障措施來使其更加完善,更加符合時代的發展要求。尤其是應用到水利水電工程中以后,更是要對這些存在的問題加以重視才行,這樣才可以切實的保證我國水利水電事業在計算機技術的輔助下健康有序的發展下去。
1水利水電設計中計算機網絡建設的現狀
我國水利水電工程設計的發展經歷了現代計算機技術的崛起時代,利用先進的科學技術手段取得了不可忽視的快速發展。其中將計算機網絡建設應用到水利水電工程設計中去,是一項具有劃時代意義的改進方案。計算機網絡建設在取得的成就之余,其實也難免還存在著很多問題,可以從以下兩個方面來具體分析當前計算機網絡建設在水利水電工程應用中的現狀:現在我們所取得的成效以及依然存在的一些亟待解決的問題。
1.1水利水電設計中計算機網絡建設已經取得的成效
在研究這個已經取得的成效過程中,我們還可以細致的分成3個方面進行討論:首先,著眼于計算機網絡建設發展原則方面來看,計算機網絡建設的發展年限已經有一個很長期的基礎,并完美的建立了高效安全的以資源整合為主導的發展體系。其次,從基礎建設方面來看,現代社會筆記本電腦取得了大量的普及,這就保證了工作人員都能夠做到人手一機。并且現在的網絡光纖技術也非常成熟,確保網速能夠達到要求。最后,一些發展較好的技術軟件也已經被廣泛的應用到了水利水電工程的設計中,確保了水利水電工程設計的高效和精準性。
1.2水利水電工程中計算機網絡建設依然存在的問題
通過研究人員對水利水電工程設計的深入研究,實際上我國的計算機網絡建設在取得了一些卓越的成效之余,還是存在著一些問題亟待解決的。首先,局域網的應用使得數據傳輸以及數據的共享都處在高效和安全的環境下進行,但是在兄弟部門或者是兄弟單位中,局域網的共享性就被大大降低了,那不可避免的就降低了資源的共享性。其次,在網絡建設中暴露出來的第二個問題是數據的儲存問題。在很多水利水電工程公司內部,數據的儲存依然是以紙質版資料為主。紙質版資料在保存上本身就很難,容易被各種不良環境損壞;除此之外,紙質版資料儲存的太多了,再查詢時就會很麻煩,還會占據很大的空間。而電子版的資料,儲存在電腦或者硬盤中,如果技術上有漏洞,就會出現數據的丟失,甚至泄露極為重要的資料的情況。
2水利水電設計中計算機網絡的保障措施
在計算機網絡建設的過程中,存在著很多優勢,但也有很多明顯的問題。在享受先進科技帶來的便利之余,我們也需要克服這些問題。
2.1加強計算機網絡建設的基礎建設
局域網是用來傳輸分享資料的一項有效途徑,加強對局域網的基礎建設,根據實際情況對局域網進行合理的升級改造,是加強水利水電計算機網絡建設的一項有效措施。首先,水利水電工程設計單位可以對局域網進行重新規劃,根據實際業務需求,對計算機網絡進行合理劃分,這樣可以保證水利水電設計的信息化事業可以保持大數據流傳輸的工作特點。第二,水利水電單位可以對關鍵的服務器單位進行合理化配置優化,以達到安全傳輸、安全儲存的目的,具體可以包括數據庫服務器的更新和維護、三維設計服務器的升級和改造、電子檔案服務器的規范和調整等等方面。第三,數據庫是水利水電工程設計部門的關鍵所在,對數據庫進行建設,升級改進可以很大程度上推進水利水電設計工程的發展。具體內容包括對項目數據庫的改進、管理數據庫的完善以及圖檔數據庫的建設等等。第四,網絡的信息安全建設方面也是制約水利水電工程發展的一大阻礙,完善網絡信息安全建設,可以通過對集成應用系統的完善來達到想要的目的。具體可以通過對辦公管理系統、經營管理系統以及項目設計流程管理系統進行相關的強化、完善來達到完善網絡信息安全建設的目的。第五,人才是一個企業發展的核心力量,水利水電設計工程單位可以通過培養專業的管理人才來促進水利水電設計工程的發展。
2.2加強計算機網絡建設的信息安全建設
水利水電計算機網絡建設工程倚仗現代科技技術的發展,取得了飛速的發展。但科技是一把雙刃劍,有利又有弊。其中,網絡信息安全是制約其發展的一大因素。針對信息安全的建設問題,水利水電工程單位可以通過建設計算機中心來專門應對計算機網絡安全建設問題。計算機中心建成以后,可以專門在其中設立一個督察小組,專門負責信息安全。其中可以參考武警水電部隊的做法,在部隊內部,通過設定總隊和分隊,并在總隊和分隊之間建立虛擬通道,實現在部隊內部的信息傳輸和分享。這種只針對內部的分享模式,就隔絕了外界網絡對信息安全的危害,大大提升了計算機網絡建設的安全度。另外,武警部隊還對自身的信息儲備功能進行了改進和強化。在以往的備份當中,其實依然存在著很大的安全隱患,比如一旦用來儲存備份的計算機出了問題,那么整個部門的數據就都遭到了破壞。武警部分對此專門創建了主機備份和介質備份相結合的方式。在備份數據初期,就直接讓一臺或者多臺備份服務器一起進行備份,這樣就可以充分做到有備無患。在對主機的安全防護過程中,武警部分采用了先進的殺毒軟件來對信息安全進行全方位防護,大大提升了部隊的數據信息安全度,可以在很大程度上避免軍事機密泄露。
