时间:2023-10-27 10:41:26
导语:在公司信息安全建设的撰写旅程中,学习并吸收他人佳作的精髓是一条宝贵的路径,好期刊汇集了九篇优秀范文,愿这些内容能够启发您的创作灵感,引领您探索更多的创作可能。
关键词 食品安全;信息追溯;终端查询
中图分类号:TS201 文献标识码:A 文章编号:1671-7597(2014)10-0137-01
当前食品、药品等关系国计民生的行业屡屡出现严重的质量问题,从毒果冻、毒酸奶、毒胶囊到三聚氰胺、瘦肉精、塑化剂等,无一不在震撼大众视听,社会上对于产品的质量安全保证要求呼声越来越高,企业也非常希望能建立一套完善的质量追踪追溯系统。《国家十二五规划》中明确提出要“建立食品药品质量追溯制度,形成来源可追溯、去向可查证、责任可追究的安全责任链”。
2007年吐鲁番地区提出加快实施“精品哈密瓜品牌战略”,开展了包括质量安全信息追溯体系建设等为内容的多种举措工作,新疆标准化研究院抓住这一契机,在当地相关部门的支持下,建设完成了“吐鲁番哈密瓜质量安全追溯体系建设应用示范”项目。项目的建设完成成为质监部门在开展质量安全信息追溯工作方面的首个应用示范工程。随后通过几年的努力,截至2011年,又先后在和田、吐鲁番、喀什、昌吉等4个地州对总计12个农产品完成了体系建设工作,取得了一定的效果:如追溯体系的建设得到国家中心及兄弟省市同行的认可,产生了一定的影响力;纳入平台企业的信息化管理水平得到了提高,农户取得了一定的收益。
然而,目前追溯体系建设工作的开展在定位、运作方式、系统功能完善及市场开拓和制度建设等方面还需要进一步地研究与探索,以满足食品安全信息追溯工作在新形势下实现快速发展的新要求。
1 平台网站建设
1.1 平台网站功能框架
架设应用子系统,主要包括“果蔬类追溯系统”、“乳制品电子信息追溯系统”、“水产品追溯系统”、“畜禽肉追溯系统”等,完善食品安全追溯信息中心数据库。
主要版块:新疆食品安全追溯信息查询服务,新加入会员的产品宣传,企业展示、营销,食品安全相关资讯的,力争将网站建成新疆权威的食品安全追溯网站;同时不断优化平台,提高在google、baidu中的排名。
信息方式以实现互联网、查询终端、电话、手机接入wap网站服务、短信等。
提供系统智能统计分析;整合各个已有的食品安全信息追溯应用服务,形成对外统计、查询接口。
1.2 为平台的可扩展性预留接口,实现追溯信息的资源共享
1)考虑与国家质监总局追溯平台数据对接。
2)与第三方检测机构数据对接。
3)考虑与销售终端网点、信息门户网站、网上营销等实现的数据对接与资源共享。
1.3 追溯码长度适应多样化要求
可依据企业需求,按照国家标准可自由选择在编码要求规定范围内编制追溯码;同时,查询平台满足不同长度追溯码的查询。
2 平台主要内容
2.1 平台的软件环境
软件环境:Windows 2000 Server以上的操作系统,Microsoft SQL Server 2000以上的数据库、IIS(Internet信息服务) 5.0以上、Microsoft .NET Framework 2.0以上、与Microsoft .NET Framework对应的Crystal Reports、Microsoft 2.0 AJAX Extensions。
2.2 平台建设目的
1)满足职能部门的监管需要;通过提供有效的追溯信息,为职能部门依法行政、打击假冒伪劣等工作提供服务。
2)满足企业管理的需要;“总平台”建设以“扶优抚强”为基本出发点,通过加强追溯信息链条各环节的管理控制工作,提升企业质量控制能力的水平。
3)满足消费者知情权的需要;通过强化企业的应用主体责任,向社会明示追溯产品信息的真实、有效并公开承诺责任义务,为社会监督企业行为获取追溯信息提供渠道。
4)满足研究部门提供有效服务的需要;通过对“总平台”管理体系、标准体系、技术体系的研究与建设,全面提高向社会各界提供有效服务的能力和水平。
2.3 平台特点
通过平台的建设,政府监管部门通过此平台可及时对企业及食品进行流向跟踪、抽检,并拉近了企业与消费者的距离,主要体现在以下几个方面。
1)实现信息查询的完整性。在种植/养殖过程、原辅料供应、生产管理、仓储物流、销售业务等各个环节采取合适的技术手段实时记录产品信息,可通过查询随时跟踪产品的生产状态、仓储状态和流向,以达到产品追溯管理的目的。
2)信息的唯一性。通过追溯码的唯一性,能够定位到每个或每批次包装产品。
3)信息查询的准确性。消费者查询到的食品安全信息应与企业食品实际生产过程相一致,保证数据的真实性,同时应对数据传输各环节进行监控,防止数据篡改和前后不一致。
4)信息查询的方便性。消费者可通过手机、PC、超市扫描设备等终端随时随地对食品安全信息进行查询。
2.4 平台建设原则
平台建设的5个原则:
1)法律法规为基础的原则:平台建设充分考虑政策的支持,贯彻落实《食品安全法》、《农产品食品安全法》、《标准化法》、《食品安全法实施条例》、《国务院关于加强食品等产品安全监督管理的特别规定》等相关法律法规。
2)政府引导、企业自愿加入的原则:以“会员制”方式发展成员,以三种模式开展会员制建设工作,一是“政府引导、企业参与”的方式带动区域追溯体系建设工作;二是以经济合作方式下的社团参与模式;三是企业化的运作模式。
3)符合“扶优扶强”的原则:加入平台的企业具备一定的条件,通过“准入制度”的相关要求进行审核评价后,满足追溯体系建设的最低标准要求方可成为平台的加盟企业。
4)企业应用主体责任原则:强调企业在食品安全信息追溯中主体责任的内容,通过落实企业在食品安全中第一责任人的角色,协助企业建立“食品质量安全记录制度”。企业对的信息确保其真实性、准确性、有效性,并向社会公开承诺。
5)整体规划、分步实施的原则:以完成追溯管理要求和查询的要求出发,逐步完成较全面的综合网站平台建设任务。
3 结束语
质量安全追溯系统的应用,无论对企业还是社会,都具有重大的意义和价值。对于企业来讲,追溯系统能解决其生产经营过程中的质量管理问题,有助于企业提高产品质量,提升客户满意度;对于社会来讲,追溯系统的广泛应用可以有效地实现产品质量监管。因此,无论企业还是政府部门都在不断加大力度推动生产、流通领域建立质量安全追溯体系。
(北京中油瑞飞信息技术有限责任公司北京100007)
摘要:通过对大中型跨国企业海外信息安全体系的研究,形成了一个完整的海外信息安全体系框架,包括安全策略、安全技术体系、安全管理体系、运行保障体系和建设实施规划等。依照该框架,企业可以针对各部分进行具体实施,从而完成整个的海外信息安全建设。
关键词 :大中型企业;信息安全体系;框架;理论指导;安全模型
1海外信息安全体系建设原则
大中型企业海外信息安全体系的建设,涉及面广、工作量大,整体设计必须坚持以下的原则,以保证建设和运营的效果。
1.1统一规划管理
要对信息安全体系建设进行统一的规划,制定信息安全体系框架,明确保障体系中所包含的内容。同时,还要制定统一的信息安全建设标准和管理规范,使得信息安全体系建设遵循一致的标准、管理遵循一致的规范。
1.2分步有序实施
信息安全体系建设的内容庞杂,必须坚持分步有序的实施原则,循序渐进。
1.3技术管理并重
仅有全面的安全技术和机制是远远不够的,安全管理也具有同样的重要性。信息安全体系的建设,必须遵循安全技术和安全管理并重的原则,制定统一的安全建设管理规范,指导安全管理工作。
1.4突出安全保障
信息安全体系建设要突出安全保障的重要性,通过数据备份、冗余设计、应急响应、安全审计、灾难恢复等安全保障机制,保障业务的持续性和数据的安全性。
2海外信息安全体系建设目标
大型跨国企业海外信息安全的建设目标是:基于安全基础设施、以安全策略为指导,提供全面的安全服务内容,覆盖从物理、网络、系统直至数据和应用平台各个层面,以及保护、检测、响应、恢复等各个环节,构建全面、完整、高效的信息安全体系,从而提高企业信息系统的整体安全等级,为企业海外业务发展提供坚实的信息安全保障。
3海外信息安全体系框架
企业进行信息安全建设的目标是建立起一个全面、有效的信息安全体系,包括了安全技术、安全管理、人员组织、教育培训、资金投入等关键因素,信息安全建设的内容多,规模大,必须进行全面的统筹规划,明确信息安全建设的工作内容、技术标准、组织机构、管理规范、人员岗位配备、实施步骤、资金投入,才能够保证信息安全建设有序可控地进行,使信息安全体系发挥最优的保障效果。
同时还应该制定一系列的安全管理规范,指导信息安全建设和运营工作,使得信息安全建设能够依据统一的标准开展,信息安全体系的运营和维护能够遵循统一的规范进行。
3.1安全目标模型
根据大型跨国企业海外信息安全体系建设目标和总体安全策略,建立与之对应的目标模型,称为WP2DRR安全模型。该模型由预警( Warning)、策略(Policy)、保护(Protectlon)、检测(Detection)、响应(Response)、恢复(Recovery)6个要素环节构成了一个基于时间的、完整的、动态的信息安全体系。WP2DRR模型在P2DR模型的基础上新增加了预警Warnlng和恢复Recover,增强了安全保障体系的事前预防和事后恢复能力,系统一旦发生安全事故,也能恢复系统功能和数据,恢复系统的正常运行。
安全目标模型是信息安全体系框架的基础,大型跨国企业的海外信息安全体系框架应该紧密围绕安全模型的6个要素环节进行设计,每个要素环节的功能都在安全技术体系、安全组织和管理体系以及运行保障体系中体现出来。
3.2信息安全体系框架组成
通过对企业的网络和应用现状、安全现状、面临的安全风险的分析,根据安全保障目标模型,制定了大型跨国企业海外信息安全体系框架。制定该框架的目的在于从宏观上指导和管理信息安全体系的建设和运营。
该框架由一组相互关联、相互作用、相互弥补、相互推动、相互依赖、不可分割的信息安全保障要素组成。此框架中,以安全策略为指导,融会了安全技术、安全管理和运行保障3个层次的安全体系,以达到系统可用性、可控性、抗攻击性、完整性、保密性的安全目标。大型跨国企业海外信息安全体系框架的总体结构如图1所示。
3.2.1安全策略
在这个框架中,安全策略是指导,与安全技术体系、安全组织和管理体系以及运行保障体系这3大体系相互作用。一方面,3大体系是在安全策略的指导下构建的,主要是要将安全策略中制定的各个要素转化成为可行的技术实现方法和管理、运行保障手段,全面实现安全策略中所制定的目标。另一方面,安全策略本身也有包括草案设计、评审、实施、培训、部署、监控、强化、重新评佶、修订等步骤在内的生命周期,需要采用一些技术方法和管理手段进行管理,保证安全策略的及时性和有效性。
按照要保障的资产对象的不同,总体策略划分为物理安全、网络安全、系统安全、病毒防治、身份认证、应用授权和访问控制、数据加密、数据备份和灾难恢复、应急响应、教育培训等若干方面进行阐述。
随着技术的发展以及系统的升级、调整,安全策略也应该进行重新评估和制定,随时保持策略与安全目标的一致性。
3.2.2安全技术体系
安全技术体系是整个信息安全体系框架的基础,包括了安全基础设施平台、安全应用系统平台和安全综合管理平台这3个部分,以统一的信息安全基础设施平台为支撑,以统一的安全系统应用平台为辅助,在统一的综合安全管理平台管理下的技术保障体系框架。
安全基础设施平台是以安全策略为指导,立足于现有的成熟安全技术和安全机制,从物理和通信安全防护、网络安全防护、主机系统安全防护、应用安全防护等多个层次出发,建立起的一个各个部分相互协同的完整的安全技术防护体系。
应用信息系统通过使用安全基础设施平台所提供的各类安全服务,提升自身的安全等级,以更加安全的方式,提供业务服务和内部信息管理服务。安全综合管理平台的管理范围尽可能地涵盖安全技术体系中涉及的各种安全机制与安全设备,对这些安全机制和安全设备进行统一的管理和控制,负责管理和维护安全策略,配置管理相应的安全机制,确保这些安全技术与设施能够按照设计的要求协同运作,可靠运行。它在传统的信息系统应用体系与备类安全技术、安全产品、安全防御措施等安全手段之间搭起桥梁,使得各类安全手段能与现有的信息系统应用体系紧密的结合实现无缝连接,促成信息系统安全与信息系统应用的真正的一体化,使得传统的信息系统应用体系逐步过渡向安全的信息系统应用体系。
统一的安全管理平台有助于各种安全管理技术手段的相互补充和有效发挥,也便于从系统整体的角度来进行安全的监控和管理,从而提高安全管理工作的效率,使人为的安全管理活动参与量大幅下降。
3.2.3安全管理体系
安全组织和管理体系是安全技术体系真正有效发挥保护作用的重要保障,安全管理体系的设计立足于总体安全策略,并与安全技术体系相互配合,增强技术防护体系的效率和效果,同时也弥补当前技术无法完全解决的安全缺陷。
技术和管理是相互结合的。一方面,安全防护技术措施需要安全管理措施来加强,另一方面技术也是对管理措施贯彻执行的监督手段。在大型跨国企业海外信息安全体系框架中,安全管理体系的设计充分参考和借鉴了国际信息安全管理标准《BS7799 (IS017799)》的建议。
大型跨国企业海外信息安全管理体系由若干信息安全管理类组成,每项信息安全管理类可分解为多个安全目标和安全控制。每个安全目标都有若干安全控制与其相对应,这些安全控制是为了达成相应安全目标的管理工作和要求。
3.2.4运行保障体系
运行与保障体系由安全技术和安全管理紧密结合的内容所组成,包括了系统可靠性设计、系统数据的备份计划、安全事件的应急响应计划、安全审计、灾难恢复计划等,运行和保障体系对于企业网络和信息系统的可持续性运营提供了重要的保障手段。
3.2.5建设实施规划
建设实施规划是在安全管理体系、安全技术体系、运行保障体系设计的基础上进一步制定的建设步骤和实施方案。在建设实施规划中突出体现了分步有序实施的原则。
任何信息安全建设都需要人员负责管理和实施,因此,首先应该建立信息安全工作监管组织机构,明确各级管理机构的人员配备,职能和责任。其中信息安全管理机构负责信息安全策略的审核与颁布、统一技术标准和管理规范的制定、指导和监督信息安全建设工作、对信息安全系统进行监控与审计管理。
信息安全体系建设,应该首先从物理环境安全建设入手,确保机房建设按照的统一标准进行建设,并且按照统一的管理规范进行管理。
在接下来的网络安全建设中,应对计算机网络的安全域进行划分,对网络结构进行调整,以确保内部网络与外部网络、业务网络与办公网络边界清晰;在各安全域的边界处部署防火墙、网络入侵检测等安全产品,形成立体的区域边界保护机制,对各安全域进行逻辑安全隔离,禁止未授权的网络访问;在内部网络中部署网络脆弱性分析工具,定期对内部网络进行检查,并采取措施及时弥补新发现的安全漏洞。
在进行网络安全建设的同时,还可以进行系统安全建设,在内部网络中全面部署网络病毒查杀系统,有效抑制计算机病毒在内部网络中传播,避免对系统和数据造成损害。另外,主机系统管理员还应该按照主机系统管理规范的要求,借助主机脆弱性分析和安全加固工具,定期对主机系统进行检查,更新安全漏洞补丁的级别,修正不当的系统和服务配置,查看和分析系统审计日志,控制和保证主机系统的良好安全状态。
应用安全建设包括建立身份认证系统、应用授权和访问控制系统、数据安全传输系统等,对专业业务应用系统和内部信息管理系统提供各种安全服务。
按照统一标准,建立安全审计与分析系统、系统和数据备份计划、安全事件应急响应计划、灾难恢复计划等安全保障机制,重在保护业务数据等信息资产,保证内外应用服务的持续可用性。
对所有员工进行基本安全教育,为信息安全系统相关技术人员提供专门的安全理论和安全技能培训,提高全员的安全意识,打造一支高素质的专业技术和管理队伍。
4结论
海外信息安全体系是一个全方位的体系,从技术到管理、从网络到设备再到人。任何一个方面都要考虑周全,只有每一个部分的安全才是整体的安全。
参考文献
关键词:智能电网 信息安全 必要性
今年11月18日召开的国家电网公司学习贯彻党的十八届三中全会精神暨2013年第四季度工作会议,就坚强智能电网建设提出要求,强调当前要把握第三次工业革命孕育发展的新机遇,加快建设坚强智能电网,承载和推动第三次工业革命,实现安全发展、高效发展、清洁发展、友好发展的目标。坚强智能电网建设自2009年实施起发展至今已有五年之久。在此期间,国家电网公司结合电网用户服务新需求,通过对当前国内外供电服务形势的研究,提出了符合本国国情的坚强智能电网的战略发展思路,即“一个目标,两条主线、三个阶段、四个体系、五个内涵”。该框架基于变电站、智能供配电、智能用电、电力调度等业务规模,结合网络通信科技和长远战略规划,从基础设施和开发需求两方面对本国智能电网建设情况进行了细致的分析,在此基础上提出了智能电网建设的关键技术研究内容及实施计划,为坚强智能电网建设埋下良好的伏笔。
随着经济社会持续快速发展,以及雾霾等环境问题不断加剧,电网发展面临一系列新课题、新挑战:电网“两头薄弱”问题亟待解决,新能源和分布式电源发展迅猛,社会用电友好互动要求不断提高。应对挑战,满足经济社会发展的需要,根本在于加快建设坚强智能电网。从本质上看,坚强智能电网就是以坚强网架为基础,集成现代网络技术、控制技术和信息技术,联接大型能源基地、分布式电源和各类电力客户的“能源互联网”,是功能强大的能源转换、高效配置和互动服务综合平台。当前,要加快建设坚强智能电网,承载和推动第三次工业革命,实现安全、高效、清洁、友好发展的目标。但随着智能电网建设的逐步展开,电网信息系统的安全防御逐渐成为业界关注的焦点问题,构建一套实用型的信息安全防御体系,从而为智能电网信息系统安全运行提供基本保障。
1 智能电网信息安全需求必要性分析
1.1 电网系统信息化建设的需要 近期,“棱镜门”的持续发酵使网络信息安全问题再次受到社会的广泛关注。实际上,不仅在传统的公用互联网领域,由于关注度不高以及前期起步阶段受到诸多客观因素的制约,相较于传统互联网行业来说,智能电网信息安全问题隐患更大。为确保电网系统的安全稳定运行,应该结合本国国情和电网行业发展规划,构建一套稳定可靠的安全防护体系,创建“本质安全”的安全控制网。
1.2 电网系统对网络安全防护体系的需要 当前,网络科技的发展极大的方便了居民的日常生活,但由此产生的网络病毒、黑客攻击事件也使企业内部网络面临诸多考验。尤其近几个月以来,由斯诺登曝光的数据泄密问题已经造成各国政府、金融业及网络科技行业的高度关注。在国内,以网络科技为主线的信息安全产业链已逐步完善,但行业集中度很低导致技术仍然比较落后,部分企业甚至缺乏技术产品化的能力。中国工程院沈昌祥院士指出,由老三样(防火墙、入侵监测和病毒防范)为主要构成的传统信息安全系统,是以防外与封堵为特征,与目前信息安全主要威胁源自内部的实际状况不相符合,并且从组成信息系统的服务器、网络、终端三个层面上来看,现有的保护手段是逐层递减的。因此,从信息安全的角度来看,进一步加强和改进电网信息系统安全防护体系建设确有必要。
1.3 解决电网信息系统存在的问题 针对电网信息安全系统建设中存在的问题,笔者强调,电网信息系统建设应立足国产化,积极探索自主可控安全管理模式,结合电网安全需求,加强顶层设计,对电网信息安全工作进行整体规划,建成电网信息安全等级保护纵深防御体系,为建设世界一流电网和国际一流企业提供了强有力的信息安全运行保障。电力行业主管部门高度评价公司信息安全建设工作,对电力行业和其他中央企业的信息安全建设都具有很好的示范性。
2 智能电网信息安全体系可行性分析
随着电力通信和网络科技的发展,各种攻击技术、网络入侵技术水平也得到了飞速发展。电网的升级改造和业务规模的拓展,不仅面临众多考验,而且必须解决电网信息安全防御体系建设的问题。过去十余年来,电力信息技术的发展主要致力于实现互联,而未来十年电力信息技术的发展将侧重于安全防护。在全面深化改革的重大历史进程中,我们要坚定不移加快转变电网发展方式,着力解决电网“两头薄弱”问题;同时,建立纵深防御的安全系统,有效抵御各类不法行为的攻击,使电力信息系统成为智能电网建设的有力支撑。就目前智能电网建设要求而言,加强电力信息系统安全防御体系建设,不仅是电力系统自身建设的需求,而且是关系国民经济和居民生活的大问题。从经济发展的角度来分析,加强电力信息系统安全建设,就是通过现代网络信息技术的应用拓展业务规模的重要手段,是我国电网行业适应全球化经济特征的基本要求。
3 智能电网信息安全体系建设的目标
信息安全体系建设是电网安全稳定运行的基本保障。作为智能电网建设的有力支撑信息系统建设,应立足国产化,积极探索自主可控安全管理模式,结合电网安全需求,加强顶层设计,对电网信息安全工作进行整体规划,建成电网信息安全等级保护纵深防御体系,为建设世界一流电网和国际一流企业提供了强有力的信息安全运行保障。电力行业主管部门高度评价公司信息安全建设工作,对电力行业和其他中央企业的信息安全建设都具有很好的示范性。
智能电网信息安全体系建设,应科学制定规划目标,推进设计变革,促进电力流、信息流、业务流的深度融合;制定统一标准的技术规范,规范地下电力管线建设,完善智能电网技术标准体系;积极争取优惠支持政策,争取电价、财政、税收与金融等激励政策,争取地方政府政策支持,提高电网信息的实用性和可审计性,确保电网信息系统机密、安全,最终实现“实体可信、行为可控、资源可管、事件可查、运行可靠”的目标。
4 结语
站在新的历史起点上,我们要强化政治意识和大局意识,科学谋划电网发展,让生产要素的活力竞相迸发,让创新发展的源泉充分涌动,坚定不移实现中央改革决策部署,不断赢得发展新优势、开创事业新局面。
参考文献:
[1]张明辉.浅析电力企业信息化建设[J].电力信息化,2004,06,28
-310.
当前信息安全的发展趋势已经不仅仅是升级传统安全产品,而是从业务策略和整体系统上来考虑安全问题,帮助企业建立安全、完善的IT环境,以应对来自内外部的攻击,降低风险和损失。因此,全方位安全策略及解决方案对保护电信运营商信息系统的安全不可或缺。
对于电信运营商而言,目前都已制定了相关的制度和流程,但还没有企业级整体的信息安全规划和建设,信息安全还没有或很少从整体上进行考虑。IBM企业IT安全服务是一套针对企业信息安全管理的完善解决方案,能够协助企业更加全面地认识信息技术、评估企业的信息安全隐患及薄弱环节,进一步完善运营商安全架构,为电信运营商的应用构建高度信息安全的运行环境,共同规划、设计、实施、运作,从而保护企业信息系统的安全。
事实上,管理者不应该再将信息安全看作一个孤立的或是纯技术的问题,而要从企业运营的全局角度整体看待,制定与企业特点和成长潜力相适应的安全管理架构。
完善的安全架构必须能够随着市场的变化进行调整,IT部门的决策者必须密切关注市场的变化。2007年安全用户在三类需求上将有突出的增长。CIO需要更好地应对日益增长的法规遵从性要求,更多地关注应用层面,与此同时,积极利用外包的机遇实现更好的投资回报。
在中国,随着信息安全和上市公司相关立法的完善,法规遵从性和相关审计在行业中的要求也正在不断普及,越来越多的公司和行业正努力去满足法律所规定的安全要求。电信运营商在信息管理方面需要做到三点:信息的完整性、信息的保密性和要求信息能够在适当的时间以适当的格式被访问,这都与信息安全密不可分。保护企业数据安全,达到法规遵从性的要求将是CIO们2007年的一大职责。
应用安全是另一个市场焦点。随着企业业务更多依赖于各类基础性应用,让企业安全、顺畅地访问应用数据,保证业务永续运行的同时保障应用性能成为CIO的重要目标。过去信息安全的老三样(防火墙、入侵检测和防病毒)的概念已经过时,网络边界这样的概念会越来越模糊,而基于身份和用户管理的网络行为控制将会成为主流。安全即意味着只有允许的人在允许的时间访问允许的数据,故而身份管理可以整合各种不同类型的安全工具。同时,它也可以帮助企业认清和应对新技术部署带来的新问题,例如无线技术在企业范围内的广泛应用,已经使得安全阵地从有形的网络线路扩展到无形空间。
在电信运营商运营商强化自身安全的同时,网络安全外包的发展给电信运营商带来了更多的选择。对于缺乏安全技能和人力的中小企业来说,安全管理服务(ManagedSecurityService,MSS)是一条捷径,即通过在电信网络上提供托管形式的安全服务,代客户管理及监控信息安全系统与设备,并在安全事件发生的第一时间做出适当回应。在这个过程中,用户则将目光转向安全运维中心(SOC)服务。尽管国内用户对SOC的理解不完全一致,但都希望借助SOC融合安全技术、安全产品、安全策略和安全措施,与电信运营商的安全咨询、安全响应、特别是与安全运维相结合,协调各方面资源以最具成本效益的方式处理安全问题,为企业和机构提供了整体性的解决方案。
链接天津移动构建全面信息安全管理体系
根据中国移动集团公司制定的安全指导原则,天津移动从2000年起就开始着手IT安全建设,特别是将信息安全管理体系的建立与建全作为了一项重点工作,并在全局性的安全规划上进行了积极探索。2007年,通过与IBM的合作,天津移动对信息安全进行了全方位的考量和整体规划,并分三个阶段进行具体实施:
安全体系建立:在对企业IT安全现状进行评估及需求调研的基础上,进行安全管理体系的规划和建立,包括按ISO27001信息安全管理体系建立,汇总、归纳、体系化各种规章制度,以及相关人员的安全意识培训等;
安全建设实施:主要包括各种软件、硬件设备的购买、评估及加强等,辅助安全管理体系的执行;
现代供应链中无论是企业内部的生产、销售订单、合作企业的生产进度,还是企业间的资金转帐、招投标信息,都是需要高度保密的敏感信息,这些信息的准确性、机密性将直接影响到供应链企业的生产和经营决策[2]。在供应链中,由于信息在节点企业间共享,对信息安全提出了新的要求:(1)信息安全不再是某个企业个体的事情,而是整条供应链所有节点企业共同面临的问题,任何一家企业由于自身原因导致的信息安全事故,将可能危害整条供应链的利益。供应链信息安全保障工作要远比单个企业复杂。(2)供应链上下游企业形成“委托—”关系,具有优势的方往往倾向于增加信息不对称,来获得额外的利益。(3)由于供应链企业间共享的信息具有较高的商业价值,有些企业为了自身利益,可能会将共享的信息泄露给供应链外企业。如何既保证节点企业间的信息共享,又防止企业泄露信息、身份欺诈等有害行为的发生是供应链信息安全需要研究的问题。
2供应链信息安全现状与问题
目前,我国企业在供应链管理的实践中,对供应链信息安全或者重视不够或者束手无策,存在一些较为突出的问题。
(1)信息安全意识淡薄目前我国很多供应链节点企业没有意识到信息是重要资产,没有把信息安全管理工作作为日常工作的重点。据北京谷安天下公司开展的《2011年度中国企业员工信息安全意识调查》活动结果显示,受访者的工作胸卡保管、个人及公司物品保管、出差物理环境安全、办公桌面安全、打印机安全、尾随、口令/密码设置、敏感数据保护、数据备份、密级资料处理、电脑桌面安全等相关安全意识相对较差。
(2)信息安全管理无章可循、有章不循现象普遍供应链信息安全工作缺乏统一的依据和准则,节点企业的安全制度互相间存在内容交叉甚至矛盾,边界定义不明确,安全职责模糊不清,部门责任和岗位责任制得不到真正落实,执行监督机制薄弱。许多企业对移动存储设备的使用无严格规定,员工可以随意使用移动存储设备对文件进行存储备份,企业信息逐步成为个人资产,随着人员流动而广泛传播。员工工作时间上网畅通无阻,无限制地使用QQ、MSN等传送、接收文件,容易导致机密泄露和病毒、木马、黑客的攻击。掌握大量机密信息的特权员工,例如数据库管理员、网络管理员、营销主管和技术研发人员容易将掌握的机密信息出售给企业的竞争对手。
(3)缺乏信息安全技术与管理人才信息化建设中存在重硬件,轻软件和管理的现象,对信息人才的培养与引进关注不够。为了节约人力成本,往往一个信息安全管理员既要负责系统的配置,又要负责系统安全管理,管理权限过于集中,一旦出现管理员的权限失控或离职等情况,极易导致重要信息泄露。
(4)缺乏统一的信息安全战略规划和防范机制许多企业的信息安全措施随意性很强,缺少严格的科学论证,采取的是“贴膏药”式的安全策略,从而引起软硬件安全设备(系统)间防护功能的重叠和弱化,导致管理难度加大,重复投资现象普遍[6]。有些企业经常出现“先业务,后安全”的现象[7],安全管理严重滞后于业务的发展。安全事件发生后才去解决,信息安全人员变成“救火员”,安全建设经常是“亡羊补牢”。
(5)供应链企业之间信息的共享与交流存在安全问题供应链各节点企业在合作过程中一再强调依靠信息共享实现双赢,但又都是独立的利益个体,一旦企业之间发生利益冲突,则容易出现的主要问题有:①合作伙伴的逆向选择风险[8]。由于信息不对称,各节点企业形成的“委托—”关系往往导致了一种逆向选择的风险。委托方往往比方处于更不利的位置,企业往往通过阻碍信息共享,增加供应链中信息的不对称,从合作伙伴那里获得更大利益。②供应链节点企业的败德行为。当前我国企业与供应链(网络信息犯罪)相关法律法规不健全的法制环境下,节点企业会利用信息优势而采取一些违背供应链整体利益或者其它成员企业利益的措施。企业会主动或有意将供应链内共享的信息泄露给没用参与共享的企业来获得额外利益。企业成员间还存在欺诈行为,如不法企业利用身份欺骗,以某企业成员的名义,欺骗其他企业成员[9]。诸如此类败德行为如不加控制会降低供应链的服务水准,导致供应链其余节点企业、顾客的不满和利益流失。
3供应链信息安全体系框架
供应链信息安全系统中的各个安全组件或要素只有整合成为一个整体协同作用时,才能有效保证整体安全管控的目标得以实现。然而,对于我国大多数供应链企业说,信息安全存在上述诸多问题,主要原因是在信息安全建设之初,没有根据供应链整体业务发展的需要确立合理的信息安全需求,导致供应链信息安全架构不合理。供应链信息安全框架旨在为供应链及其节点企业提供一个全面的、自上而下的、结合了国际国内相关安全标准的安全模172型[1]。供应链信息安全框架由企业信息安全治理、信息安全管理、基础安全服务和架构、第三方信息安全服务与认证机构和供应链信息安全技术标准体系五个模块构成。安全治理作为架构的核心内容,是安全管理模块的服务对象,同时,它们也是信息安全策略制定的基础和依据,还是基础安全服务和架构模块中的各个子系统提供选择和建设的依据。基础安全服务和架构模块是信息安全建设技术需求和功能的实现者,是信息安全建设的重要支柱。中间的安全管理模块则通过一系列控制措施,确保基础安全服务功能的实现,最终实现安全治理的要求,满足供应链系统的信息安全需求。供应链信息技术标准体系为供应链和第三方信息安全服务与认证机构提供了标准保障和依据,有利于形成健康法制的第三方信息安全服务市场环境。第三方信息安全服务与认证机构可弥补供应链企业信息安全技术和经验的不足,提供安全托管及信息安全认证服务。
4供应链信息安全体系框架的应用
供应链信息安全框架参考了众多企业所积累的经验,吸取了供应链信息安全领域的最新理论研究成果。在具体运用中可结合信息安全相关方法论、模型及标准,从企业需求出发,参照供应链信息安全管理框架,通过评估和风险分析等方法,定义供应链及其节点企业安全需求,再根据安全需求定义信息安全建设的内容和方向,如图2所示。图2供应链信息安全体系框架应用。
5结论
铁路投产运行的信息系统很多,有的系统按照等级保护要求确定了安全等级并建立了安全系统;有的系统在设计中考虑了安全等级,但在建设过程中并未按设计要求实施安全方案;还有的系统没有考虑安全措施。针对铁路信息系统投产运行后的实际情况,铁路总公司有必要组织内外部测评队伍,根据国家和总公司对信息安全的建设要求,对信息系统开展技术和管理两方面的现状评估,检查信息系统在物理安全、网络安全、主机安全、应用安全、数据安全以及安全管理上与相应安全等级标准的差距,进行差距分析,提出建设整改意见。
2安全等级测评
在信息系统等级保护安全建设完成和投产之前,首先组织内部测评队伍对安全建设情况进行效果测评,发现不符合性提出整改建议。内部测评结束及整改验收后,再聘请有第三方测评资质的测评机构进行等级测评,验证与国家及行业等级保护标准的符合性。通过总公司内部和专业测评机构的两级测评,可有效地推进国家及行业信息安全标准在全路的落实完善。按照GB/T22239-2008《信息安全技术—信息系统安全等级保护基本要求》中的等级测评要求,信息系统在运行过程中,等级保护测评工作要定期开展,其中三级系统每年要测评一次,四级系统每半年要测评一次。根据该要求,结合每年铁路安全大检查工作的需要,制定每年的安全大检查计划,组织内外部专业测评队伍,对三级及以上的信息系统开展安全等级测评工作。
3安全建设整改
3.1机房物理环境整改
按照《铁路行业信息机房设计及建设规范》、《铁路行业信息机房管理规范》的要求,完善机房环境、设备管理、电源管理、安全管理和资料管理,并从防雷、防火、防水、防静电、防盗窃、防破坏、电力供应、机房电源及环境监控等方面对机房环境进行改造。
3.2安全域划分
按照《铁路行业信息系统安全体系总体设计方案》,根据信息系统的安全等级,采用交换机划分VLAN、设置访问控制策略、部署防火墙等技术措施对信息系统进行安全域划分。
3.3边界网络防护
明确总公司信息网络、业务专网和互联网的网络边界,对网络边界部署内、外部网络访问控制策略、入侵检测等多项防护措施,并加强网络边界的监测。
3.4主机安全加固
遵照《铁路行业信息系统安全加固实施指南》,通过配置安全策略、安装安全补丁、修补系统漏洞、强化身份鉴别等方法对各类主机设备的操作系统、数据库、中间件等及时进行策略配置和加固。
3.5应用及数据安全防护
依照国家和行业标准,从用户身份认证、访问控制、数据加密、容错能力、日志审计等方面进行应用系统安全改造和建设。在数据安全防护方面,采用有效的数据备份策略对重要数据进行定期和增量备份,采用安全移动存储介质进行必要的数据交换。
3.6强化信息安全队伍建设
从安全管理、运行、监督、技术支持等方面加强行业内信息安全队伍建设,确保安全责任落实。做好总公司、铁路局两级和一线服务、二线运维、三线技术支持安全运维服务队伍,负责各系统日常安全运行维护工作。
3.7完善信息安全管理工作
为切实做好信息安全管理工作,总公司需要结合信息安全管理体系建设项目,以等级保护为抓手,将等级保护与信息安全日常管理紧密结合,将信息安全管理全面纳入铁路运输安全生产管理体系,按照“谁主管谁负责、谁运行谁负责”和属地化管理原则,逐级落实信息安全责任,建立与总公司信息化发展相适应的信息安全监督机制、应急机制、故障通报与处理机制、事件责任追究机制和风险管理机制。总公司在加强信息系统建设管理方面,需制定一系列的规章制度,包括《铁路行业信息系统上下线管理规范》和《铁路行业计算机应用软件通用安全要求》等,明确系统定级备案、方案设计、产品采购使用、密码使用、软件开发、验收交付、等级测评、安全服务等管理内容。
4安全措施落实
4.1建立铁路信息系统安全技术体系
研究建立“一个中心(安全管理中心),三重防护(计算环境、区域边界、信息网络)”的铁路信息系统安全纵深防护和主动防御的技术体系,按总公司、铁路局、站段三级管理模式和信息系统运输生产专网、内部服务网、外部服务网三网的特点,实现运输组织及客货营销类信息系统“分级分区、专网专用、横向隔离、纵向认证”的安全策略,经营管理类信息系统“三级独立成域、主动防御、内外兼防”的安全策略。
4.2建设铁路信息安全综合管理平台
铁路信息安全综合管理平台是为总公司及下属单位开展与信息安全管理相关工作的综合工作平台,功能将覆盖总公司及其下属单位的信息安全管理工作的主要内容,并支持公安部等级保护管理工作。平台主要提供以下3类功能:
(1)以信息系统定级、备案、整改、测评和检查等规定步骤为主线,实现等级保护工作任务的下发、执行、进度监控和督办;
(2)风险管理、应急管理、安全检查和事故通报等专项管理功能;
(3)日常办公的综合管理、培训教育、标准管理等。
4.3建设铁路信息安全一体化运行监控平台
铁路信息安全一体化运行监控平台是集综合网管、应用防护、IT运维、机房监控为一体的信息系统安全运行监控管理平台,实现网络监控、主机监控、机房监控、边界防御、桌面终端安全的全方位监控功能。
4.4开展国产化和自主可控技术研究
在信息安全越来越重视国产化的大技术背景下,开展铁路行业的信息安全国产化和自主可控技术的研究尤为重要。在国产化方面,紧紧围绕铁路网络安全自主可控战略目标,根据国产产品成熟情况,结合铁路业务发展、业务需求,按照“统筹规划、分步实施,应用牵引、平台重构,项目推动、政策保障”的工作思路,采取“直接采用、对等替换、平台替换”技术策略,进行信息系统国产化改造和构建铁路信息安全等级保护技术体系的积极探索。在自主可控方面,通过统一标准、自主研发、自主实施、产权管理、风险评估、安全测评、安全管控、安全巡检等手段实现信息系统全生命周期各阶段的安全可控。
4.5开展基于云计算的安全技术探索
云计算已成为信息技术的重要发展方向,建立铁路云应用平台将对铁路信息化应用技术产生深远影响。云计算环境下的信息安全问题是信息安全技术领域面临的一个新课题,在开展铁路云应用平台研究的同时,同步开展云安全应用技术的研究和探索,使基于云计算的铁路应用平台在设计、建设、投产3个环节将信息安全同步纳入。
4.6建立铁路信息安全评测体系与技术督查体系
采用安全检查、风险评估、内外评测、安全运维等管理和技术手段,建立有效的安全测评与技术督查体系。通过在重要时间节点(如春运、暑运等)开展安全检查和自查工作,使路局、站段管理人员保持安全意识;按照等级保护标准要求定期开展风险评估、等级评测等工作,确保等级保护安全手段能贯穿重要信息系统的始终;通过完善铁路两级三线安全运维服务体系,建立总公司、铁路局两级信息安全技术督查工作机制,将信息安全技术和管理有机结合起来,实现安全管理、运维、督办相辅相成、相互监督的局面。
4.7等级保护示范工程仿真实验环境及试点工程建设
[关键词] 信息等级保护概述;中国石油;等级保护建设
[中图分类号] TP391;X913.2 [文献标识码] A [文章编号] 1673 - 0194(2013)05- 0057- 02
1 信息等级保护制度概述
信息安全等级保护制度是国家信息安全保障工作的基本制度,是促进信息化健康发展的根本保障。其具体内容包括:①对国家秘密信息,法人和其他组织及公民的专有信息以及公开信息,存储、传输、处理这些信息的信息系统实行分等级安全保护、分等级监管;②对信息系统中使用的信息安全产品实行按等级管理;③对信息系统中发生的信息安全事件分等级响应、处置。信息安全等级保护配套政策体系及标准体系如图1、图2所示。
定条件的测评机构开展等级测评;④建设整改:备案单位根据信息系统安全等级,按照国家政策、标准开展安全建设整改;⑤检查:公安机关定期开展监督、检查、指导。
2 中国石油信息安全等级保护制度建设
中国石油信息化建设处于我国大型企业领先地位,在国资委历年信息化评比中都名列前茅。2007 年全国开展信息安全等级保护工作之后,中国石油认真贯彻国家信息安全等级保护制度各项要求,全面开展信息安全等级保护工作。逐步建成先进实用、完整可靠的信息安全体系,保障信息化建设和应用,支撑公司业务发展和总体战略的实施,使中国石油的信息安全保障能力显著提高。主要采取的措施有以下几个方面:
(1)以信息安全等级保护工作为契机 , 全面梳理业务系统并定级备案。中国石油根据国家信息安全等级保护制度要求,建立自上而下的工作组织体系,明确信息安全责任部门,对中国石油统一建设的应用系统进行等级保护定级和备案,通过制定《中国石油天然气集团公司重要信息系统安全等级保护定级实施暂行意见》,加强桌面安全、网络安全、身份认证等安全基础防护工作,加快开展重要信息系统的等级测评和安全建设整改工作,进一步提高信息系统的安全防御能力,提高系统的可用性和安全性。在全面组织开展信息系统等级保护定级备案工作之后,聘请专业测评机构,及时开展等级测评、安全检查和风险评估工作,并通过等级测评工作查找系统的不足和安全隐患,制订安全整改方案,开展安全整改和加固改造,保障信息系统持续安全稳定运行。
(2)以信息安全等级保护工作为抓手 , 全面推动中国石油信息安全体系建设。中国石油以信息安全等级保护工作为抓手,完善信息安全整体解决方案,建立技术保障体系、管理保障体系和控制保障体系。采用分级、分域的纵深防御理念,将桌面安全、身份认证、网络安全、容灾等相关技术相互结合,建立统一的安全监控平台和安全运行中心,实现对应用系统的授权访问、桌面计算机的安全控制、网络流量的异常监控、恶意软件与攻击行为的及时发现与防御、业务与数据安全保障等功能,显著提高抵御外部和内部信息安全威胁的能力。建立了总部、区域网络中心、企事业单位三级信息系统安全运维队伍;采用集中管理、分级维护的管理模式,网络与安全运维人员采用授权方式,持证上岗,建立网络管理员、安全管理员和安全审计员制度;初步建立起中国石油内部信息安全风险评估队伍,并于 2010 年完成地区公司的网络安全风险评估工作。
(3)建立重要信息系统应急处置预案,完善灾难恢复机制。2008 年,中国石油了《网络与信息安全突发事件专项应急预案》,所有业务系统、网络管理、安全管理等都建立了应急响应处置预案和灾备系统,保障业务系统在遭遇突发事件时,能快速反应并恢复业务系统可用性。通过灾难恢复项目研究,形成了现状及风险分析、灾难恢复等级划分、灾备部署策略分析和灾备部署方案四步法,划分了信息系统灾难恢复等级,完善了灾难恢复机制。
(4)规划信息安全运行中心,建立重要信息系统安全监控机制。中国石油规划了信息安全运行中心的建设方案,提出了信息安全运行中心建设目标,通过网络运行状态、安全信息数据汇集、安全监测分析功能和安全管理流程的有机整合,实现中国石油 信息安全状况的可感知、可分析、可展示、可管理和可指挥,形成中国石油信息安全事件分析、风险分析、预警管理和应急响应处理一体化的技术支撑能力;通过完善安全运行管理体系,将安全运行管理组织、安全运维管理流程和安全监测预警系统三方面有机结合,实现事前预警防范、事中监控处置、事后追溯定位的信息安全闭环运行机制,形成中国石油统一的应急指挥与协调调度能力,为中国石油信息安全保障奠定良好的基础。
3 信息安全等级保护工作存在的不足及改进建议
信息安全等级保护管理办法 (公通字[2007]43号)正式标志着全国范围内的信息安全等级保护工作开始,通过5年的努力,全国信息安全工作形成了以落实信息安全等级保护制度为核心,信息通报、应急处理、技术研究、产业发展、网络信任体系和标准化建设等工作快速发展的良好局面,重要行业部门的信息安全意识、重视程度、工作能力有了显著提高。40余个重要行业出台了100余份行业等级保护政策文件,20余个重要行业出台了40余份行业等级保护标准,但同时存在着以下不足:
(1)对信息安全工作的认识不到位,对重要信息系统安全保护缺乏应有的重视。依据公安部相关资料统计,截至2012年6月,我国有18%的单位未成立信息安全工作领导机构;21%的单位未落实信息安全责任部门,缺乏信息安全整体规划;14个行业重要信息系统底数不清、安全保护状况不明;12个行业未组织全行业信息安全专门业务培训,开展信息安全工作的思路和方法不得当,措施不得力。20%的单位在信息系统规划过程中,没有认真制定安全策略和安全体系规划,导致安全策略不得当;22%的信息系统网络结构划分不合理,核心业务区域部署位置不当,业务应用不合理,容易导致黑客入侵攻击,造成网络瘫痪,数据被窃取和破坏。34.6%的重要信息系统未配置专职安全管理人员,相关岗位设置不完整,安全管理人员身兼多职;48%的单位信息安全建设资金投入不足,导致重要信息系统安全加固和整改经费严重缺乏;27%的单位没有针对安全岗位人员制订相关的培训计划,没有组织开展信息安全教育和培训,安全管理、运维技术人员能力较弱。
(2)重要信息系统未落实关键安全保护技术措施。重要信息系统未落实安全审计措施。在主机层面,有34.9%的信息系统没有保护主机审计记录,34.8%的信息系统没有保护主机审计进程,容易导致事故责任无法认定,无法确定事故(事件)原因,影响应急处理效率。38%的信息系统没有落实对重要系统程序和文件进行完整性检测和自动恢复的技术措施,35%的信息系统没有采取监测重要服务器入侵行为的技术措施,容易使内部网络感染病毒,对攻击行为无法进行有效监测和处置。
(3)我国信息技术与国外存在一定差距,安全专业化服务力量薄弱。具有我国自主知识产权的重要信息技术产品和核心技术水平还有待提高,依赖国外产品的情况还比较普遍;国内信息安全专业化服务力量薄弱,安全服务能力不强,部分重要信息系统的关键产品维护和系统运维依赖国外厂商,给重要信息系统安全留下了隐患。
为了有效提高我国企业信息安全水平,增加等级保护的可行性及执行力,建议:①各企业开展以信息安全等级保护为核心的安全防范工作,提高网络主动防御能力,并制订应急处置预案,加强应急演练,提高网络应急处置能力。②加大人员和资金投入,提高保障能力。③国家层面加快关键技术研究和产品化,重视产品供应链的安全可控。
主要参考文献
[1]中国石油天然气集团公司. 中国石油天然气集团公司全面开展信息安全等级保护工作为信息化建设保驾护航[J].信息网络安全,2012(1).
1当前国有大型企业信息化管理体系安全现状和差距
1.1信息化管理体系安全现状
当前,一些国有大型企业的信息安全建设,有效保障了内部网络的安全性和保密性,并形成了一套相关信息的安全管理制度,为后续信息系统安全体系的完善和发展奠定了坚实基础。1.1.1安全基础设施和系统信息基础设施的安全是信息安全的基础,目前企业已在物理层、网络层和桌面系统加固与监控这3个方面,建设了一系列网络安全防护设备,完善了企业的信息安全系统。1.1.2安全管理和制度信息安全管理制度是信息安全技术真正发挥作用的保证,企业已将信息安全管理作为信息化管理的主要内容之一,实施信息安全分类管理。在信息分类管理中制定了一系列管理制度、流程和标准,确保信息安全管理的有效和规范。同时,将信息安全管理纳入各项安全管理工作,在财务管理、HES管理等重要业务管理中强化信息安全管理。由此可见,企业在信息化安全建设方面已做出巨大努力,但距离建立一套完整可用的信息安全体系的目标还存在一定差距。
1.2信息化管理体系安全问题的差距
部分企业虽然已经建立了专门的信息安全组织,制定了一些管理制度,部署的信息安全基础设施也能提供基本的网络安全性保障,但信息安全组织还不健全,信息标准的范围和执行力度薄弱,未制定针对信息系统等级保护的相关制度,没有部署上网行为管理系统等安全设备,缺少与信息管理、信息质量管理有关的规范,如各类编码标准,信息质量控制流程等。因此,需要进一步制定、完善统一的信息管理制度和信息标准,依托强有力的技术手段,支撑信息化管理体系,并对标准执行建立相应的监督考核机制。
2企业信息化管理体系安全优化策略
2.1完善信息化制度管理体系
企业的信息化建设要采用制度化管理方法,通过制定企业信息系统相关的安全管理制度,做好服务器和数据库系统的安全管理工作,保障企业珍贵数据资源安全。同时还要加强网络舆情管理、企业机房管理、计算机现场管理及服务器相关管理制度建设,以及通信、网络和信息系统相关应急预案等制度建设,规范网络、服务器管理人员以及终端用户的行为,逐步完善信息化制度管理体系。
2.2建立信息化安全管理体系
信息系统安全建设不仅是安全模块功能的实现,还是一个整合的安全体系。信息安全是保护信息免受各种威胁和损害,确保业务的连续性,使业务风险最小化,投资回报和商业机遇最大化。信息安全是组织的一个业务问题,需要管理层的承诺和支持,还需要企业安全文化和运营流程作保障。
2.3建立信息化流程管理体系
信息安全管理流程首先要提升全体员工的信息安全意识、技能培训和专业教育,然后对信息安全进行风险管理,要进行需求分析、控制实施、运行监控和响应恢复4个步骤,最后是信息安全监督检查和改进,通过检查和改进进一步提升员工的信息安全意识,形成闭环管理,如图1所示。
2.4通过信息化技术支撑管理体系
为保障以安全可靠为核心的信息化管理体系的运行正常,有必要利用信息化技术给其最有效的支撑。2.4.1上网行为管理上网行为管理的主要目的是有效规范员工上网行为,助力构建企业安全、和谐、稳定的生产经营环境,其原则是“事前预防,事后溯源”。事前预防就是要做到事前制订安全防范策略,最大限度保证机密数据和有害信息不由公司网络流向社会。事后溯源就是要记录每台内部计算机与互联网的信息交互内容,发生问题后迅速准确地定位到问题源头,做到有据可查,能追本溯源。2.4.2端点防护建立企业级的端点防护系统,对终端实现安全合规性检查和控制,加强策略管理。使用总体安全策略与本地自定义安全策略相结合的方式,在大规模部署端点防护系统的前提下,提升防病毒等安全管理系统的安装率,促进网络安全的综合治理和改善。2.4.3端点准入控制可采用VRV系统作为端点准入控制的手段。端点准入控制包括对公司内网计算机,也包括由VPN接入的外网计算机。VRV强化了对网络计算机终端状态、行为以及事件的管理,提供了防火墙、IDS、防病毒系统、专业网管软件所不能提供的防护功能,对它们管理的盲区进行监控,扩展成为一个实时可控的内网管理平台,并能同其他安全设备进行安全集成和报警联动。2.4.4身份认证管理通过加强身份认证管理,实现用户通过使用USBKey实现单点登录,更为方便和安全地访问应用系统,集中实现应用系统用户帐号的电子化流程管理,并与员工HR信息的变化联动,提高应用系统账号管理的时效性,加强账号管理力度,身份认证管理流程如图2所示。2.4.5安全域根据安全需求强度的不同,可将安全域划分为不同层次,要有针对性的采取安全控制和防护策略,针对信息系统网络的网络结构、数据流通模式以及安全防护需求,可将整体网络划分为3个安全域:核心安全域、接入安全域、边界安全域。2.4.6边界隔离网络划分安全区域后,在不同信任级别的安全区域之间就形成了网络边界。跨边界的攻击种类繁多、破坏力强,边界防护解决方案可彻底解决以上问题。企业边界防护方案由防火墙、入侵防御系统、物理隔离网关组成。关键路径上部署独立的具有深度检测防御的IPS(入侵防御系统)。深度检测防御是为了检测计算机网络中违反安全策略的行为。使用IPS系统可以滤出DDOS攻击,间谍软件、BitTorrent数据流、钓鱼攻击等几十类近100万种攻击类型。2.4.7流量控制和审计流量控制和审计方案主要涉及两个方面,一是对流量的深度检测和带宽控制,二是对用户访问的网站进行海量筛查。通过这两个手段在主观或客观上都能防止网络用户的不良行为,避免网络性能和安全性受到负面影响。2.4.8访问控制列表访问控制列表(ACL)是为了阻止部分用户不能访问另一部分用户或者服务而提出的。访问控制列表通常应用于路由器或者三层交换机上,能阻止或允许某些网段的用户访问资源,也能阻止或允许某个用户访问资源。2.4.9网络设备安全管理(1)网络设备登录安全通过用户状态进行存取控制,保证设备控制安全。限制SNMP和Telnet的用户访问。(2)网络设备日志记录对于网络安全,不仅要关注网络的事前防范能力,还要充分考虑事后跟踪能力,在安全事件发生前后,可通过对用户上网端口、时间、访问地的记录,全面追溯用户上网的状态,从而为后期分析提供第一手资料。(3)路由信息安全路由协议的安全管理主要通过路由信息交换的认证来保证。启用PassiveInterface命令后,该接口的网段路由可以照常出去,但该接口不会再收发OSPF协议报文,也就不会再与任何其他路由设备建立邻居关系,从而避免路由泄露。2.4.10专网企业可按照国家保密局、中办机要局要求及国家相关标准建设办公专网,通过验收用于处理国家秘密及以下级别的文件和信息,供企业员工日常办公使用。该网与互联网物理隔离,并利用安全保密设备提高网络和数据传输的安全性,与其他相关企业可采用专线方式单点连接。企业办公专网的网络架构如图3所示。
2.5建立信息化考核评价管理体系
企业信息化流程管理系统评价体系可包含信息化建设有关的基础管理内容及建立在此基础上的资源、信息、程序、过程等要素管理。从信息化过程监控和改善来看,通过考核评价体系建立一组有效描述信息化建设与运行过程情况的信息,帮助公司识别相关技术和管理的不足,逐步改善公司的信息化过程,达到持续改进的目标。
2.6建立信息化队伍管理体系
成立由公司领导班子成员、机关部门、基层单位主要领导组成的信息化领导小组,决策公司信息化建设中的重大问题,指导信息化项目建设;依托公司信息化工作的归口管理部门,负责制订企业信息化发展规划,负责信息化工作的有关政策、管理办法、技术标准和工作规范的制订,并组织实施和检查等工作。同时,注重对企业员工的专业培训,采取激励措施,培养一支高素质阶梯化专业人才队伍。
3结语
一、电子政务建设取得阶段性成效
(一)2014年我县职能部门建立电子政务平台37个,涉及党政、教育、水务、医疗、金融、烟草、公共安全等多个方面。其中电信新开通平台1个,联通开通平台4个,万网工程建设外网平台32个。
(二)移动公司完成了101条信息化专线建设。
二、城乡信息化发展迅速
(一)2014年全县新建基站119个,其中电信在、县城等区域新建基站11个,移动投资1200余万元建设基站61个,联通建设基站47个,覆盖全县所有乡镇。
(二)为推动城乡信息化发展,各通信服务企业纷纷出台城乡优惠政策,通过改造农村宽带、话费优惠、话机促销等方式,促进城乡信息消费,提高城乡信息化程度。其中移动公司投资600余万元,完成63个小区宽带、11个乡镇宽带和25个农村宽带建设。
三、“两化融合”工作进展顺利
(一)为更好进行“大社会”治安管理监控,我县先后完成了21家大社会视频监控项目,对56家煤矿企业进行实时监控。
(二)为做好全县经济运行分析工作,我县将具有行业代表性的32家中小企业纳入省中小企业生产经营运行监测平台进行监测,为全县经济分析提供有效参数。
(三)为更好的服务于企业,提高企业生产、管理、销售信息化水平,2014年我县共为11户企业建立移动信息基站。
四、园区信息化发展机制完善
(一)园区无线宽带建设
无线接入网在公共区域采用最新的802.11n协议标准,实现300mbit/s的高速无线接入,全面实现移动办公。
(二)骨干网建设
1、在有线接入网络上采用pon和ftto接入,实现电话网、电视网、计算机网络的三网融合。
2、在各单位内部采用塑料光纤建设以太局域网,通过千兆路由器上联到园区ip骨干网,从而实现万兆到园区,千兆到大楼,百兆到桌面的高速宽带上网。
3、在园区机房建设汇聚路由器,实现对园区信息输送的汇聚。
(三)电子商务
1、基于建设好的网络承载平台,以园区网站建设为龙头,建设统一的数据交换平台,发展统一的园区电子政务平台,实现“阳光政务”。
2、通过园区网站的建设及与大型电子商务平台的对接,为企业提供高端的电子商务平台,同时嵌入主流物流平台软件,使园区的所有物流情况全部通过电子物流平台实现指令传送和过程监管。
五、信息化安全建设体系完善
(一)贯彻落实手机实名制
积极贯彻工信部手机实名入网相关文件精神,严格要求电信、移动、联通三大电信运行商自9月起执行新用户入网时必须登记实名信息。通过手机实名制的推进,有利于杜绝非法使用手机通讯现象,促进我县的通讯事业健康发展。
(二)园区信息安全建设
1、采用mpls-vpn功能的olt设备,为园区企业提供端到端服务,为建设vpn网络提供极大方便,增强了园区企业内部网络安全性。
2、在园区环形骨干光缆的多物理路由保护下,实现对入驻企业内部网络的多路由保护。
3、在园区汇聚路由器的前端安装硬件防火墙,加强园区企业信息安全。
(三)认真开展通讯行业应急工作
根据省、市、县通讯保障应急工作安排,由我局牵头对县域三大通讯公司进行通讯应急工作检查,重点查看应急预案,车辆配备,应急器材保养等情况,对不符合规范的情况责令整改,要求三大运营商在保障日常通讯的同时,配备专人开展应急通讯工作,维护相关器材,确保在大灾大害等特殊情况下的通讯畅通。
六、2014年工作计划
(一)积极推进企业“两化融合”工作
1、促进园区企业综合信息平台建设,实现信息资源优化配制,节约企业运行成本。
2、选择双星茶业、好牛旺食品公司、同心木业等行业代表企业开展电子商务应用示范,充分发挥其辐射和示范作用。
(二)加快推进电子政务建设工程
推进全县政务外网网络基础设施的改造升级,进一步完善网络结构,打造全县党政机关各部门信息共享、数据交换的政务外网统一平台。
(三)加强信息安全
完善和落实《网络与信息安全应急预案》,提高我县处置网络与安全突发公共事件能力,确保重要计算机信息系统的实体安全、运行安全和数据安全。