網(wǎng)絡(luò)資產(chǎn)安全管理范文

時間:2023-12-06 17:42:27

導(dǎo)語:如何才能寫好一篇網(wǎng)絡(luò)資產(chǎn)安全管理,這就需要搜集整理更多的資料和文獻(xiàn),歡迎閱讀由公務(wù)員之家整理的十篇范文,供你借鑒。

網(wǎng)絡(luò)資產(chǎn)安全管理

篇1

【關(guān)鍵詞】信息安全;電力企業(yè);防護(hù)措施

前言

當(dāng)前,電力企業(yè)在生產(chǎn)運(yùn)行過程中離不開信息技術(shù)的支持,尤其是電力企業(yè)在建立了復(fù)雜的數(shù)據(jù)網(wǎng)和信息網(wǎng)后,信息技術(shù)的在電力企業(yè)中的地位日益提高,同時,信息安全也影響著電力企業(yè)的生產(chǎn)經(jīng)營。

1電力網(wǎng)絡(luò)和信息安全管理的主要內(nèi)容

電力網(wǎng)絡(luò)和信息安全管理主要包括三方面的內(nèi)容:①安全策略;②風(fēng)險管理;③安全教育。具體淺析如下:

1.1安全策略

信息安全策略根據(jù)企業(yè)規(guī)模、安全需求和業(yè)務(wù)發(fā)展的不同而不同,但是都具有簡單易懂、清晰通俗的特點,由高級管理部門制定并形成書面文字,屬于企業(yè)安全的最高方針,廣泛到企業(yè)所有員工手中。

1.2風(fēng)險管理

評估威脅企業(yè)信息資產(chǎn)的風(fēng)險,首先事先假定風(fēng)險可能會給企業(yè)帶來的風(fēng)險和損失,然后再通過各種手段,如:風(fēng)險的規(guī)避、風(fēng)險的轉(zhuǎn)嫁、降低風(fēng)險和接受風(fēng)險等多種方法為相關(guān)部門提供網(wǎng)絡(luò)和信息安全的對策建議。

1.3安全教育

所謂安全教育,就是對直接關(guān)聯(lián)企業(yè)安全生產(chǎn)的人員進(jìn)行的教育活動,其對象是安全策略執(zhí)行人員,具體來說就是與安全工作相關(guān)的技術(shù)人員、管理人員和客戶,并對其進(jìn)行安全培訓(xùn),讓其了解和掌握信息安全對策。安全管理是企業(yè)管理的重要內(nèi)容,必須引起企業(yè)領(lǐng)導(dǎo)層的高度重視,切實將安全相關(guān)教育納入到企業(yè)文化的組成中,確保信息安全管理的有效執(zhí)行。

2電力企業(yè)信息化發(fā)展的特征

隨著我國電力企業(yè)信息化的發(fā)展,與其他企業(yè)相比,在網(wǎng)絡(luò)信息安全方面具有以下優(yōu)勢特征。

2.1信息化基礎(chǔ)設(shè)施完善

經(jīng)過多年的發(fā)展,電力企業(yè)的信息化建設(shè)與其他行業(yè)的信息化建設(shè)水平相比,具有明顯的比較優(yōu)勢,進(jìn)程相對領(lǐng)先,各個部門工作中計算機(jī)的使用率為100%,電力企業(yè)局域網(wǎng)覆蓋率90%以上。

2.2營銷管理系統(tǒng)廣泛應(yīng)用

電力企業(yè)的營銷管理系統(tǒng)經(jīng)過多年的研究探索已基本建成,實現(xiàn)了用電管理信息化、業(yè)務(wù)受理計算機(jī)化,并建立了相應(yīng)的客戶服務(wù)中心。

2.3生產(chǎn)、調(diào)度自動化系統(tǒng)應(yīng)用熟練

電力企業(yè)信息化建設(shè)的重點是提高電網(wǎng)運(yùn)行質(zhì)量和電力調(diào)度的自動化水平,現(xiàn)階段,從電力企業(yè)發(fā)展的自動化水平上來看,其生產(chǎn)已基本達(dá)到國際先進(jìn)水平。

2.4管理信息系統(tǒng)的建設(shè)逐步推進(jìn)

電力企業(yè)積極建設(shè)管理信息系統(tǒng),開發(fā)了設(shè)備、生產(chǎn)、電力負(fù)荷、安全監(jiān)督、營銷管理等信息系統(tǒng),并將企業(yè)信息化建設(shè)放到重要位置,利用信息化推動企業(yè)現(xiàn)代化發(fā)展。

3電力企業(yè)網(wǎng)絡(luò)和信息安全管理中存在的問題

電力企業(yè)網(wǎng)絡(luò)和信息安全管理雖然具有以上優(yōu)勢特征,但同樣還是存在一定的問題,具體如下:

3.1信息化機(jī)構(gòu)建設(shè)不完善

部分電力企業(yè)還未設(shè)置專門的信息部門,信息科室有的在科技部門下,有的在綜合部門下,缺乏規(guī)范的制度與崗位設(shè)置,這種情況下,勢必會影響到網(wǎng)絡(luò)和信息安全的管理工作。

3.2網(wǎng)絡(luò)信息安全管理未成為企業(yè)文化的一部分

電力網(wǎng)絡(luò)信息貫穿于生產(chǎn)的全過程,涉及到電力生產(chǎn)的各層面,但是仍然處于從屬地,沒有納入電力企業(yè)安全文化建設(shè)中,進(jìn)而影響到安全管理的實施力度。

3.3企業(yè)管理革新跟不上信息化發(fā)展的步伐

電力企業(yè)管理革新與信息技術(shù)的發(fā)展與應(yīng)用相比還較為滯后,企業(yè)不能及時的引入先進(jìn)的管理與業(yè)務(wù)系統(tǒng),導(dǎo)致企業(yè)信息系統(tǒng)不能發(fā)揮預(yù)期的作用。

3.4網(wǎng)絡(luò)信息安全存在風(fēng)險

電力企業(yè)網(wǎng)絡(luò)信息安全與一般企業(yè)網(wǎng)絡(luò)信息相比,有共同點,也有自自身的特殊性,實踐中必須認(rèn)真分析研究,具體表現(xiàn)為:①網(wǎng)絡(luò)的結(jié)構(gòu)不夠合理,電力網(wǎng)絡(luò)建設(shè)要求,網(wǎng)絡(luò)建設(shè)要區(qū)分外網(wǎng)和內(nèi)網(wǎng),且內(nèi)外部網(wǎng)絡(luò)要保持物理隔離,但是部分電力企業(yè)的核心交換機(jī)選擇不合理,導(dǎo)致在網(wǎng)絡(luò)中所有網(wǎng)絡(luò)用戶的地位是平等的,因而很容易出現(xiàn)安全問題。②企業(yè)內(nèi)部風(fēng)險,由于企業(yè)內(nèi)部網(wǎng)絡(luò)管理人員對于企業(yè)的網(wǎng)絡(luò)信息結(jié)構(gòu)與系統(tǒng)應(yīng)用十分熟悉,一旦泄漏重要信息,就會帶來致命的信息安全威脅。③現(xiàn)階段互聯(lián)網(wǎng)使用存在的風(fēng)險,目前很多電力企業(yè)的網(wǎng)絡(luò)已經(jīng)與互聯(lián)網(wǎng)發(fā)生了關(guān)系,一些客戶甚至可以直接訪問電力系統(tǒng)的網(wǎng)絡(luò)資源,在提供方便之門的同時也要高度關(guān)注其可能帶來的信息安全和計算軟硬件安全風(fēng)險。④網(wǎng)絡(luò)管理專業(yè)技術(shù)人員帶來的風(fēng)險,主要是網(wǎng)絡(luò)管理人員的素質(zhì)風(fēng)險,現(xiàn)階段電力企業(yè)的網(wǎng)絡(luò)建設(shè)還存在重建輕管,重技輕管的問題。出現(xiàn)了諸如專業(yè)技術(shù)人員綜合素質(zhì)不高,一些安全管理制度不健全、落實不夠有力、安全意識不強(qiáng)、管理員配備不當(dāng)?shù)韧{到電力企業(yè)網(wǎng)絡(luò)信息安全性的問題。⑤計算機(jī)病毒侵害,計算機(jī)病毒的擴(kuò)散速度快,網(wǎng)絡(luò)一旦感染病毒,整個電力網(wǎng)絡(luò)系統(tǒng)就會處于崩潰的狀況。⑥系統(tǒng)出現(xiàn)的安全風(fēng)險,這方面主要指操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)以及內(nèi)部各種應(yīng)用軟件系統(tǒng)等存在的風(fēng)險,這些系統(tǒng)很容易導(dǎo)致外界的攻擊,一些黑客采取專業(yè)手段可以很輕易獲取管理員權(quán)限,實施拒絕服務(wù)攻擊。

4電力企業(yè)網(wǎng)絡(luò)和信息安全管理對策

4.1建立健全網(wǎng)絡(luò)和信息安全管理組織架構(gòu)

網(wǎng)絡(luò)和信息安全管理實行統(tǒng)一領(lǐng)導(dǎo)、分級管理原則,企業(yè)的決策層組成領(lǐng)導(dǎo)小組,由企業(yè)各部門的管理者作為安全小組的管理層。網(wǎng)絡(luò)和信息安全管理實行專業(yè)化管理,包含信息安全規(guī)劃、信息安全監(jiān)督審計、信息安全運(yùn)行保障等職能小組。

4.2構(gòu)建網(wǎng)絡(luò)和信息安全管理體系框架

在網(wǎng)絡(luò)信息安全模型與電力信息化的基礎(chǔ)上,科學(xué)構(gòu)建網(wǎng)絡(luò)和信息安全管理體系框架,主要區(qū)分信息安全策略、安全運(yùn)行、安全管理、安全技術(shù)措施四個模塊,

4.3建立網(wǎng)絡(luò)信息安全防護(hù)對策,合理劃分安全域

網(wǎng)絡(luò)信息安全防護(hù)實行雙網(wǎng)雙機(jī)管理,分為信息內(nèi)網(wǎng)和信息外網(wǎng),內(nèi)外網(wǎng)采用獨(dú)立的服務(wù)器及桌面終端,通過邏輯強(qiáng)隔離裝置隔離內(nèi)外網(wǎng)。按照業(yè)務(wù)類型進(jìn)行安全區(qū)域劃分為邊界、網(wǎng)絡(luò)、主機(jī)、應(yīng)用四個層次,實現(xiàn)不同區(qū)域防護(hù)的差異化及獨(dú)立性。對于網(wǎng)絡(luò)安全的核心區(qū)域必須實施重點安全防范,比如該區(qū)域的服務(wù)器、重要數(shù)據(jù)、數(shù)據(jù)庫服務(wù)器,一般用戶無法直接訪問,安全級別高。電力企業(yè)內(nèi)部計算機(jī)和網(wǎng)絡(luò)技術(shù)的應(yīng)用,劃分為管理信息區(qū)和生產(chǎn)控制區(qū),建立電力調(diào)度數(shù)據(jù)網(wǎng)專用網(wǎng)絡(luò),采用不同強(qiáng)度的安全設(shè)備隔離各安全區(qū),數(shù)據(jù)的遠(yuǎn)方安全傳輸采取加密、認(rèn)證、訪問控制等技術(shù)手段,實現(xiàn)縱向邊界的整體安全防護(hù)。

4.4網(wǎng)絡(luò)信息安全管理制度建設(shè)

為確保電力企業(yè)網(wǎng)絡(luò)信息安全,必須做好網(wǎng)絡(luò)信息安全管理制度建設(shè),具體要做好以下幾個方面的內(nèi)容:①建立計算機(jī)資產(chǎn)管理制度、網(wǎng)絡(luò)使用管理制度、健全變更管理制度,對資產(chǎn)進(jìn)行標(biāo)識和管理,執(zhí)行密碼使用管理制度。②實施信息的安全分級保護(hù)舉措,依據(jù)國家相關(guān)規(guī)定,開展網(wǎng)絡(luò)信息系統(tǒng)審批、定級、備案工作,嚴(yán)格執(zhí)行等級保護(hù)制度,嚴(yán)格保密核心程序和數(shù)據(jù)。③做好網(wǎng)絡(luò)信息安全運(yùn)行保障管理,對信息系統(tǒng)設(shè)備實行規(guī)范化管理,及時升級防病毒軟件,嚴(yán)格系統(tǒng)變更,及時報告信息系統(tǒng)事故情況,分析原因并落實整改。④建立病毒防護(hù)體系,安裝的防病毒軟件必須具有遠(yuǎn)程安裝、遠(yuǎn)程報警、集中管理等多種功能,不可將來歷不明或是隨意從互聯(lián)網(wǎng)上下載的數(shù)據(jù)在聯(lián)網(wǎng)計算機(jī)上使用,一旦發(fā)現(xiàn)病毒的存在,員工應(yīng)熟練掌握發(fā)現(xiàn)病毒后的處置辦法。

4.5信息安全技術(shù)保障舉措

為切實有效的落實信息安全防護(hù)要求,必須根據(jù)信息安全等級防護(hù)制度落實好“分級、分區(qū)、分域”的防護(hù)策略,從而更有效的落實信息安全防護(hù)預(yù)案,根據(jù)信息系統(tǒng)定級水平,實施強(qiáng)邏輯隔離措施,做好安全區(qū)域的隔離和劃分工作。

4.6規(guī)范企業(yè)人員的管理

規(guī)范人員管理首要的是用制度管好人:①企業(yè)高層應(yīng)以身作則,這樣員工才可以遵循信息安全管理的要求,由于高層掌握著企業(yè)更多的信息資源,密級也高,一旦出現(xiàn)泄漏,會給企業(yè)帶來更大的損失。②對于關(guān)鍵崗位人員管理要尤其重視,比如:開發(fā)源代碼人員,直接接觸商業(yè)機(jī)密的人員,從事信息安全管理的人員,需要進(jìn)行嚴(yán)格管理,定期檢查,避免出現(xiàn)“堡壘從內(nèi)部突破”的機(jī)會。③對于離職人員這個群體也不可忽視,必須做好離職人員信息安全審計工作,離職前,必須要求其變更其訪問權(quán)限,與接手人員一起清點和交接好信息資產(chǎn),避免信息泄漏事件的發(fā)生。④加強(qiáng)與供應(yīng)商和合作伙伴信息安全的管理,在日常的交流中嚴(yán)格遵守規(guī)定,不得隨意公開和透露相關(guān)信息。

4.7做好對企業(yè)信息資產(chǎn)管理分析

依據(jù)信息資產(chǎn)價值,實現(xiàn)根據(jù)載體性質(zhì)不同、形式不同、來源不同做好資產(chǎn)的識別,提高企業(yè)勞動生產(chǎn)率,強(qiáng)化信息資產(chǎn)觀念,樹立企業(yè)良好形象。全面、系統(tǒng)、科學(xué)的管理信息資產(chǎn),完善資產(chǎn)管理手段。利用信息資產(chǎn)資源使生產(chǎn)力要素保值增值,推動信息資產(chǎn)共享共建,實現(xiàn)實現(xiàn)外源信息資產(chǎn)的再增值,信息資產(chǎn)的再創(chuàng)新。4.8建立信息安全應(yīng)急保障機(jī)制有風(fēng)險的地方就要有應(yīng)急預(yù)案,對于電力企業(yè)網(wǎng)絡(luò)信息安全尤其應(yīng)該如此,要不斷健全電力企業(yè)信息安全預(yù)案,確保設(shè)備、人力、技術(shù)等應(yīng)急保障資源切實可用,要加強(qiáng)系統(tǒng)的容災(zāi)建設(shè),建立恢復(fù)和備份管理制度,妥善保存相關(guān)的備份記錄。

5結(jié)束語

電力網(wǎng)絡(luò)信息安全與企業(yè)的生產(chǎn)經(jīng)營管理密切相關(guān),電力企業(yè)網(wǎng)絡(luò)信息安全涉及到技術(shù)與管理,無論是硬件還是軟件出現(xiàn)問題都會威脅到整個網(wǎng)絡(luò)系統(tǒng),電力企業(yè)網(wǎng)絡(luò)信息安全管理涉及到人、硬件設(shè)備、軟件、數(shù)據(jù)等多個環(huán)節(jié),所以其必須著眼整個電力企業(yè)的網(wǎng)絡(luò)信息系統(tǒng)加強(qiáng)頂層建設(shè),實施統(tǒng)一規(guī)劃,搞好統(tǒng)籌兼顧,建立一套完整的信息安全管理體系,切實做好安全防范工作,解決電力企業(yè)信息安全管理問題,才能確保電力信息系統(tǒng)安全、穩(wěn)定、可靠、高效地運(yùn)行,有效避免安全問題的存在,保證電力企業(yè)的正常生產(chǎn)經(jīng)營。

參考文獻(xiàn)

[1]何雋文.電力企業(yè)網(wǎng)絡(luò)和信息安全管理策略思考[J].中國高新技術(shù)企業(yè),2016,28.

[2]郭建,顧志強(qiáng).電力企業(yè)信息安全現(xiàn)狀分析及管理對策[J].信息技術(shù),2013,01.

[3]牛斐.電力企業(yè)網(wǎng)絡(luò)信息安全的防范措施[J].科技傳播,2012,16.

[4]吳青.淺析網(wǎng)絡(luò)信息安全管理在電力企業(yè)中的應(yīng)用[J].中國新通信,2013,23.

[5]向繼東,黃天戊,孫東.電力企業(yè)信息網(wǎng)絡(luò)安全管理[J].電力系統(tǒng)自動化,2003,15.

篇2

關(guān)鍵詞:終端管理;安全;應(yīng)用

伴隨邢臺煙草業(yè)務(wù)發(fā)展和業(yè)務(wù)信息化建設(shè)的深入,現(xiàn)有網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大,連入邢臺煙草內(nèi)部網(wǎng)絡(luò)(內(nèi)部網(wǎng)絡(luò)全文簡稱內(nèi)網(wǎng))的計算機(jī)數(shù)量逐年增加。隨之而來安全問題與日俱增,不單單只是影響了內(nèi)網(wǎng)用戶自己,更為嚴(yán)重的是可能導(dǎo)致網(wǎng)絡(luò)癱瘓,從而使整個業(yè)務(wù)不能正常開展。面對上述安全隱患,邢臺煙草采用終端安全控制技術(shù),部署內(nèi)網(wǎng)終端安全管理系統(tǒng),加強(qiáng)對網(wǎng)絡(luò)終端的統(tǒng)一安全管理,保護(hù)內(nèi)網(wǎng)的安全。

1邢臺煙草內(nèi)網(wǎng)現(xiàn)狀

邢臺煙草內(nèi)網(wǎng)由機(jī)關(guān)網(wǎng)絡(luò)和19個下屬單位網(wǎng)絡(luò)兩部分組成,與外網(wǎng)物理分離。市公司機(jī)關(guān)網(wǎng)絡(luò)采用雙星形網(wǎng)絡(luò)架構(gòu),核心設(shè)備有冗余。中心機(jī)房服務(wù)器及房服務(wù)器核心交換機(jī)、機(jī)關(guān)樓層網(wǎng)絡(luò)直接接入核心交換,下屬單位網(wǎng)絡(luò)通過路由器接入核心交換。機(jī)房在關(guān)鍵出口和網(wǎng)段都部署防火墻、入侵檢測、防病毒網(wǎng)關(guān)等安全設(shè)備。大部分用戶終端安裝網(wǎng)絡(luò)版的殺毒軟件,采用靜態(tài)固定IP地址訪問網(wǎng)絡(luò),沒有任何接入控制措施。因為終端引發(fā)的內(nèi)網(wǎng)安全問題不斷出現(xiàn),除了危害終端自己外,更為嚴(yán)重的是可能導(dǎo)致網(wǎng)絡(luò)癱瘓,影響信息系統(tǒng)的正常運(yùn)行。

2邢臺煙草內(nèi)網(wǎng)安全建設(shè)需求

2.1終端合法性驗證需求

由于現(xiàn)有網(wǎng)絡(luò)沒有準(zhǔn)入控制,外來設(shè)備的接入無法控制,只能靠規(guī)章制度管理。假如這個漏洞被外來人員或者木馬利用,就可以訪問內(nèi)網(wǎng)任何資源,也可進(jìn)行任何攻擊,或者竊取公司的重要的數(shù)據(jù)和信息。這使得在網(wǎng)絡(luò)入口進(jìn)行身份認(rèn)證顯得尤為必要,確保只有合法身份的用戶才能進(jìn)行正常的網(wǎng)絡(luò)訪問。

2.2終端安全性判斷需求

公司內(nèi)網(wǎng)存在一定量的不符合安全策略的終端(比如如補(bǔ)丁更新不及時、未按要求裝防病毒軟件、病毒庫升級不及時、系統(tǒng)配置有缺陷等)計算機(jī),一旦被攻克,很可能帶有各種各樣的安全缺陷,導(dǎo)致網(wǎng)絡(luò)或系統(tǒng)癱瘓。

2.3降低終端管理需求

當(dāng)前對終端的管使用人工管理,造成網(wǎng)內(nèi)終端軟硬件資產(chǎn)統(tǒng)計費(fèi)事費(fèi)力,難以及時跟蹤終端設(shè)備的資產(chǎn)變化,造成設(shè)備管理的混亂。由于沒有升級服務(wù)器,也不能上外網(wǎng),現(xiàn)有系統(tǒng)升級包和補(bǔ)丁分發(fā)升級完全依賴人工,不但人力成本投入大,而且導(dǎo)致升級時間滯后,存在很大的安全隱患。因此,采用部署終端管理技術(shù)進(jìn)行集中管控,使信息人員有更大精力投入到安全中來,減輕運(yùn)維壓力。

2.4支持多種準(zhǔn)入控制方式需求

考慮到未來不同的終端設(shè)備(桌面終端、手機(jī)、平板等)需要不同的應(yīng)用場景或技術(shù)限制,需要網(wǎng)絡(luò)支持不同的準(zhǔn)入控制技術(shù)去適應(yīng)不同的終端設(shè)備,以確保網(wǎng)絡(luò)準(zhǔn)入控制的覆蓋率。

3邢臺煙草內(nèi)網(wǎng)終端安全管理系統(tǒng)的實現(xiàn)

3.1系統(tǒng)架構(gòu)

內(nèi)網(wǎng)終端安全管理系統(tǒng)主要由上層的網(wǎng)絡(luò)準(zhǔn)入層、中層的控制層和底層的終端管理構(gòu)成。由終端的客戶端進(jìn)行集中的身份驗證、安全掃描等;運(yùn)維人員可以在中控分析報告、配置安全標(biāo)準(zhǔn)和管理策略;底層的終端管理實現(xiàn)遠(yuǎn)程維護(hù)、補(bǔ)丁管理、軟件定制、資產(chǎn)管理等功能對終端設(shè)備集中管控。

3.2系統(tǒng)部署方式

該系統(tǒng)硬件由核心服務(wù)器、準(zhǔn)入控制器、補(bǔ)丁服務(wù)器、無線控制器和無線接入點構(gòu)成。相關(guān)的硬件安裝在旁路,不需要改動當(dāng)前的網(wǎng)絡(luò)拓?fù)洌瑳]有形成新的絡(luò)故障點。由于大部分網(wǎng)絡(luò)設(shè)備支持802.1x,并且它的認(rèn)證方式的控制力度強(qiáng),因此終端設(shè)備采用802.1x認(rèn)證的方式接入網(wǎng)絡(luò),。

4邢臺煙草內(nèi)網(wǎng)終端安全管理系統(tǒng)應(yīng)用效果

通過內(nèi)網(wǎng)終端安全管理系統(tǒng)應(yīng)用實現(xiàn)了對所有終端進(jìn)行管理和控制,符合邢臺煙草適合當(dāng)前信安全息工作需要,為信息安全管理提升提供了技術(shù)支撐。

4.1有效的保護(hù)了內(nèi)網(wǎng)的邊界

內(nèi)網(wǎng)終端安全管理系統(tǒng)不依賴于現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)架構(gòu),旁路接入,使現(xiàn)有的網(wǎng)絡(luò)無需做任何改動,實現(xiàn)集中的管理用戶終端對其所訪問網(wǎng)絡(luò)的限制。而終端想要接入到內(nèi)網(wǎng)時,內(nèi)網(wǎng)終端安全管理系統(tǒng)首先強(qiáng)制驗證身份,否則無法獲得使用網(wǎng)絡(luò)的權(quán)限;然后身份驗證沒有問題的終端也必須評估終端的健康狀態(tài);最后是只有合法身份并且符合管理要求的終端方能訪問內(nèi)網(wǎng)資源。為減少對網(wǎng)絡(luò)資源的占用,定期檢測終端的安全狀態(tài),對不合規(guī)的終端按照實際的需要,系統(tǒng)提供一定修復(fù)的機(jī)制,從而達(dá)到防護(hù)內(nèi)網(wǎng)邊界的目的。

4.2方便了信息資產(chǎn)管理,減輕了運(yùn)維的壓力

終端的管理是一項費(fèi)時費(fèi)力的工作,通過該系統(tǒng)對資產(chǎn)實現(xiàn)了統(tǒng)一管理,統(tǒng)計工作簡單了,可以實時關(guān)注信息資產(chǎn)的變化。面對對數(shù)量眾多的、最難以管理的桌面終端建立了安全加固、集中維護(hù)的安全管理體系,當(dāng)出現(xiàn)問題時,通過遠(yuǎn)程控制協(xié)助處理,減少信息人員的工作強(qiáng)度,降低了維護(hù)成本。

4.3使用了多種管理手段,提高安全能力

內(nèi)網(wǎng)終端安全管理系統(tǒng)把網(wǎng)絡(luò)管理延伸到了使用者的終端,通過終端管理、策略管理、補(bǔ)丁管理、安全管理等功能,有效的切斷了絕大多數(shù)病毒傳播途徑,縮短了對系統(tǒng)補(bǔ)丁從到安裝之間的時間差,實現(xiàn)了對用戶終端的統(tǒng)一管理和控制,大大地增強(qiáng)了終端的安全系數(shù),使內(nèi)網(wǎng)的安全進(jìn)一步強(qiáng)化。5結(jié)語內(nèi)網(wǎng)終端安全管理系統(tǒng)整合了準(zhǔn)入控制和終端管理這兩種技術(shù),實現(xiàn)了內(nèi)網(wǎng)管理從路由交換層延伸到網(wǎng)絡(luò)接入層,增強(qiáng)了終端的安全,從而整體提高網(wǎng)絡(luò)的安全性能。該系統(tǒng)從多個方面滿足對于信息安全防護(hù)的需求,將成為邢臺煙草信息安全防御體系中重要的一環(huán),為信息安全工作打下了堅實的基礎(chǔ)。

參考文獻(xiàn)

[1]楊永興.網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)在供電企業(yè)的應(yīng)用研究[J].信息通信,2017(1)

[2]胡海波.網(wǎng)絡(luò)準(zhǔn)入技術(shù)研究[J].中國信息化,2014(7).

篇3

為了不斷應(yīng)對新的安全挑戰(zhàn),企業(yè)和組織先后部署了防火墻、UTM、入侵檢測和防護(hù)系統(tǒng)、漏洞掃描系統(tǒng)、防病毒系統(tǒng)、終端管理系統(tǒng),等等,構(gòu)建起了一道道安全防線。然而,這些安全防線都僅僅抵御來自某個方面的安全威脅,形成了一個個“安全防御孤島”,無法產(chǎn)生協(xié)同效應(yīng)。更為嚴(yán)重地,這些復(fù)雜的IT資源及其安全防御設(shè)施在運(yùn)行過程中不斷產(chǎn)生大量的安全日志和事件,形成了大量“信息孤島”,有限的安全管理人員面對這些數(shù)量巨大、彼此割裂的安全信息,操作著各種產(chǎn)品自身的控制臺界面和告警窗口,顯得束手無策,工作效率極低,難以發(fā)現(xiàn)真正的安全隱患。另一方面,企業(yè)和組織日益迫切的信息系統(tǒng)審計和內(nèi)控要求、等級保護(hù)要求,以及不斷增強(qiáng)的業(yè)務(wù)持續(xù)性需求,也對客戶提出了嚴(yán)峻的挑戰(zhàn)。

針對上述不斷突出的客戶需求,從2000年開始,國內(nèi)外陸續(xù)推出了SOC(Security Operations Center)產(chǎn)品。目前國內(nèi)的SOC產(chǎn)品也稱為安全管理平臺,由于受到國內(nèi)安全需求的影響,具有很強(qiáng)的中國特色。

SOC這個概念,自傳人中國起,就深深的烙下了中國特色。由于信息安全產(chǎn)業(yè)和需求的特殊性使然,由于中國網(wǎng)絡(luò)與安全管理理念、制度、體系、機(jī)制的落后使然。

一般地,SOC被定義為:以資產(chǎn)為核心,以安全事件管理為關(guān)鍵流程,采用安全域劃分的思想,建立一套實時的資產(chǎn)風(fēng)險模型,協(xié)助管理員進(jìn)行事件分析、風(fēng)險分析、預(yù)警管理和應(yīng)急響應(yīng)處理的集中安全管理系統(tǒng)。

SOC 2.0時代到來

國內(nèi)市場原有的的SOC 1.0產(chǎn)品幫助客戶建立起了一個安全管理平臺,實現(xiàn)了安全管理從分散到集中的跨越,為客戶構(gòu)建整體安全體系奠定了堅實的基礎(chǔ)。但是由于傳統(tǒng)SOC理念和技術(shù)的局限性,尚不能真正滿足客戶更深層次的需求,關(guān)鍵在于:傳統(tǒng)SOC以資產(chǎn)為核心、缺乏業(yè)務(wù)視角,這是傳統(tǒng)SOC的軟肋。

對于用戶而言,真正的安全不是簡單的設(shè)備安全、也不僅是資產(chǎn)安全,而應(yīng)該是指業(yè)務(wù)系統(tǒng)安全。IT資源本身的安全管理不是目標(biāo),核心需求是要保障IT資源所承載的業(yè)務(wù)的可用性、連續(xù)性、以及安全性,因為業(yè)務(wù)才是企業(yè)和組織的生命線。要保障業(yè)務(wù)安全,就要求為用戶建立一套以業(yè)務(wù)為核心的管理體系,從業(yè)務(wù)的角度去看待IT資源的運(yùn)行和安全。網(wǎng)御神州科技有限公司總裁任增強(qiáng)表示:“如果把傳統(tǒng)的SOC稱為SOC1.O,那么面向業(yè)務(wù)的SOC就可以稱作SOC2.0。”網(wǎng)御神州提出的SOC2.0的理念,將現(xiàn)有的SOC系統(tǒng)帶入了一個新的發(fā)展階段。

SOC2.0是一個以業(yè)務(wù)為核心的、一體化的安全管理系統(tǒng)。SOC2.0從業(yè)務(wù)出發(fā),通過業(yè)務(wù)需求分析、業(yè)務(wù)建模、面向業(yè)務(wù)的安全域和資產(chǎn)管理、業(yè)務(wù)連續(xù)性監(jiān)控、業(yè)務(wù)價值分析、業(yè)務(wù)風(fēng)險和影響性分析、業(yè)務(wù)可視化等各個環(huán)節(jié),采用主動、被動相結(jié)合的方法采集來自企業(yè)和組織中構(gòu)成業(yè)務(wù)系統(tǒng)的各種IT資源的安全信息,從業(yè)務(wù)的角度進(jìn)行歸一化、監(jiān)控、分析、審計、報警、響應(yīng)、存儲和報告。SOC2.0以業(yè)務(wù)為核心,貫穿了信息安全管理系統(tǒng)建設(shè)生命周期從調(diào)研、部署、實施到運(yùn)維的各個階段。

如下圖所示,展示了SOC技術(shù)、產(chǎn)品和市場的發(fā)展路線路。

整體看來,SOC經(jīng)歷了一個從分散到集中,從以資產(chǎn)為核心到以業(yè)務(wù)核心的發(fā)展軌跡。隨著中國安全建設(shè)水平的不斷提升,安全管理的業(yè)務(wù)導(dǎo)向程度會越來越明顯。

在信息安全建設(shè)的早期,更多地是部署各類安全設(shè)備和系統(tǒng),逐漸形成了“安全防御孤島”,導(dǎo)致了安全管理的成本急劇上升,而安全保障效率迅速下降。為此,出現(xiàn)了最早的安全管理系統(tǒng),主要是實現(xiàn)對網(wǎng)絡(luò)中分散的防火墻/VPN等設(shè)備的集中監(jiān)控與策略下發(fā),構(gòu)建一個較為完整的邊界安全統(tǒng)一防護(hù)體系。

隨著對信息安全認(rèn)識的不斷深入,安全管理體系化思想逐漸成熟,出現(xiàn)了以信息系統(tǒng)資產(chǎn)為核心的全面安全監(jiān)控、分析、響應(yīng)系統(tǒng)――SOC1.0。SOC1.0以資產(chǎn)為主線,實現(xiàn)了較為全面的事件管理與處理流程,以及風(fēng)險管理與運(yùn)維流程。

網(wǎng)御神州總結(jié)大量安全管理(SOC)類項目的成敗得失,并與國內(nèi)各個類型的客戶深入交流、反復(fù)溝通需求,提煉出了新一代SOC產(chǎn)品的核心特征,提出了新一代的SOC2.0理念,并推出了SOC2.0的代表性產(chǎn)品――面向業(yè)務(wù)的統(tǒng)一管理系統(tǒng)――網(wǎng)神SecFox-UMS(Unified Management System)。

全方位的安全監(jiān)控

這套系統(tǒng)在保障系統(tǒng)安全運(yùn)行方面有很多高招,以全方位的安全調(diào)控為例,系統(tǒng)提供了全面的監(jiān)控信息,不但包括傳統(tǒng)安全管理系統(tǒng)被動采集的安全事件,而且提供主動探測的監(jiān)控功能,定時輪詢IT資源及其業(yè)務(wù)系統(tǒng),獲取相關(guān)的性能信息和安全信息,例如CPU利用率,內(nèi)存利用率等性能數(shù)據(jù),非法進(jìn)程和非法開啟服務(wù)端口等安全信息。

系統(tǒng)通過主動輪詢檢測,采集日志,網(wǎng)絡(luò)旁路嗅探等多種管理和檢測方式,避免了數(shù)據(jù)來源單一,提供了系統(tǒng)整體安全和性能狀態(tài)。因為一個系統(tǒng)的安全信息不是孤立的,單單檢測網(wǎng)絡(luò)攻擊,非法入侵等安全行為是遠(yuǎn)遠(yuǎn)不夠的,實際上在現(xiàn)實中很多安全問題造成的結(jié)果是系統(tǒng)性能下降和網(wǎng)絡(luò)阻塞,而這些安全問題本身是難于發(fā)現(xiàn)和規(guī)避的。例如ARP攻擊、后門或者蠕蟲病毒等,都是直接造成了系統(tǒng)和網(wǎng)絡(luò)的故障或者嚴(yán)重下降后才能發(fā)現(xiàn)。因此,對于網(wǎng)絡(luò)和系統(tǒng)的性能和故障檢測也是安全管理必不可少的重要一環(huán)。系統(tǒng)提供了根據(jù)性能和故障信息的設(shè)備聯(lián)動功能,可以根據(jù)性能和故障的直觀狀態(tài)表現(xiàn)來采取安全措施,而不是依賴探測到安全事態(tài)再進(jìn)行設(shè)備聯(lián)動,這樣可以極大地減少以往安全系統(tǒng)面臨的漏報和誤報問題。

所有監(jiān)控的內(nèi)容都以Protal的形式直觀的展示在系統(tǒng)大屏幕上,所有顯示內(nèi)容都可以自由定義、組合、切換。

全生命周期的安全管理

篇4

賽博興安的網(wǎng)絡(luò)安全管理與監(jiān)察系統(tǒng)的應(yīng)用情況到底如何?為客戶帶來了怎樣的價值?產(chǎn)品具有哪些特點和優(yōu)勢?賽博興安副總裁胡托任對這些問題進(jìn)行了回答。

胡托任介紹,賽博興安成立于2009年,是國家高新技術(shù)企業(yè)、軟件企業(yè),主要從事信息系統(tǒng)安全體系結(jié)構(gòu)規(guī)劃與設(shè)計、信息安全技術(shù)研究與核心產(chǎn)品開發(fā)、信息系統(tǒng)集成和信息安全服務(wù)等業(yè)務(wù),在不同安全域網(wǎng)絡(luò)互聯(lián)、接入控制、網(wǎng)絡(luò)安管、授權(quán)認(rèn)證、信息加密、互聯(lián)網(wǎng)大流量數(shù)據(jù)監(jiān)控及數(shù)據(jù)挖掘等方面具有相當(dāng)優(yōu)勢,在大型信息網(wǎng)絡(luò)安全防護(hù)和整體解決方案和產(chǎn)品研制方面積累了豐富的經(jīng)驗。

賽博興安業(yè)務(wù)主要面向大型行業(yè)用戶,是國內(nèi)某行業(yè)用戶的網(wǎng)絡(luò)安防技術(shù)總體單位。公司堅持以自主研發(fā)為核心,始終把產(chǎn)品研發(fā)能力作為核心競爭力。公司通過了國標(biāo)和國軍標(biāo)質(zhì)量管理體系認(rèn)證,獲得了國家二級保密資質(zhì)及多項專有技術(shù)和軟件著作權(quán)。2014年,賽博興安完成了對北京賽搏長城信息科技有限公司的收購與整合,使公司的產(chǎn)品領(lǐng)域進(jìn)一步拓展,技術(shù)能力進(jìn)一步增強(qiáng)。目前,公司與北京郵電大學(xué)國家重點實驗室建立了長期戰(zhàn)略合作伙伴關(guān)系,與北方工業(yè)大學(xué)建立了信息安全聯(lián)合實驗室。

據(jù)悉,賽博興安的研發(fā)技術(shù)人員人數(shù)占公司總?cè)藬?shù)的70%。胡托任說,這與賽博興安成立的背景相關(guān),因為公司的創(chuàng)始人都有很資深的技術(shù)背景,均具有15年以上的網(wǎng)絡(luò)安全從業(yè)經(jīng)驗。賽博興安自成立以來,始終把培養(yǎng)研發(fā)團(tuán)隊、積累核心技術(shù)作為立足之本。

胡托任指出,這幾年賽博興安的業(yè)績?nèi)〉贸掷m(xù)、快速增長,一方面,得益于客戶方對于賽博興安的產(chǎn)品和服務(wù)的認(rèn)可;另一方面,得益于公司注重研發(fā)團(tuán)隊的建設(shè)和技術(shù)的積累。著眼未來,國家對網(wǎng)絡(luò)安全越來越重視,賽博興安將把握這一良好機(jī)遇,持續(xù)加大研發(fā)投入,吸納技術(shù)人才,不斷推動技術(shù)創(chuàng)新。

“我們相信實實在在做技術(shù)、本本分分搞研發(fā)的企業(yè)會越來越得到市場的認(rèn)可。”胡托任說。

網(wǎng)絡(luò)安全管理平臺是近年來信息安全領(lǐng)域的一個熱點,市場上涌現(xiàn)出各種網(wǎng)絡(luò)安全管理平臺類的產(chǎn)品,賽博興安的網(wǎng)絡(luò)安全管理與監(jiān)察系統(tǒng)就是其一。

胡托任介紹,賽博興安的網(wǎng)絡(luò)安全管理與監(jiān)察系統(tǒng)立足于特定行業(yè)需求,為該行業(yè)構(gòu)建了從上級到下級縱向級聯(lián)貫通,最高達(dá)到5級級聯(lián)的多級安防體系,為行業(yè)用戶解決實實在在的安全問題。通過系統(tǒng)部署應(yīng)用,用戶在一級系統(tǒng)上能夠?qū)崟r監(jiān)控所有下級系統(tǒng)的工作狀態(tài),包括所有下級節(jié)點所部署的網(wǎng)絡(luò)安全設(shè)備的工作狀態(tài)和安全防護(hù)策略應(yīng)用情況。比如說,下級單位的防火墻設(shè)備是否正常工作,業(yè)務(wù)是否跳開防火墻進(jìn)行網(wǎng)絡(luò)訪問,防火墻策略配置是否合理,防病毒系統(tǒng)的病毒庫是否更新到最新。

篇5

關(guān)鍵詞:射頻識別技術(shù)

中圖分類號:TP391 文獻(xiàn)標(biāo)識碼:A文章編號:1007-9599 (2011) 15-0000-01

Enterprise Network Management of Using of Radio Frequency Identification Technology

Liu Wei

(China Machinery TDI International Engineering Company Ltd.,Luoyang471039,China)

Abstract:In the enterprise network equipment and network information management,the use of radio frequency identification technology on the traditional management approach to innovation,from the demand function,and so discussion of radio frequency identification technology in network management applications,network management provides a new direction.

Keywords:Radio frequency identification technology

企業(yè)的網(wǎng)絡(luò)建設(shè)已形成一定的規(guī)模,使用傳統(tǒng)的方式和手段已不能滿足網(wǎng)絡(luò)管理和資產(chǎn)管理的需要,采用射頻識別技術(shù),突破傳統(tǒng)管理模式,來實現(xiàn)信息化設(shè)備管理的飛躍。

一、企業(yè)網(wǎng)絡(luò)管理的需求分析

企業(yè)網(wǎng)絡(luò)設(shè)備不僅具有固定資產(chǎn)的特征(包括購入的時間、型號、價格、數(shù)量、統(tǒng)一的固定資產(chǎn)編號和企業(yè)的管理信息等),本身還具有設(shè)備的特征(MAC地址、IP地址、管理信息、設(shè)備位置信息等),同時一些非固定資產(chǎn)同時也存在管理使用的問題如(軟件鎖、序列號等)。在資產(chǎn)盤點、核查等工作中不斷重復(fù)地統(tǒng)計、效率低下、易發(fā)生錯誤,而設(shè)備的網(wǎng)絡(luò)信息及維護(hù)維修信息,既與資產(chǎn)屬性相互獨(dú)立又與其相互聯(lián)系,管理中往往溝通不暢,很難一一對應(yīng),信息的更新不及時,經(jīng)年累月,易造成混亂,而傳統(tǒng)的電子化管理又極為繁瑣,同時設(shè)備的安全管理要求也不斷提高,必須采用更科學(xué)的管理手段。

二、采用射頻識別技術(shù)實施網(wǎng)絡(luò)管理

射頻識別技術(shù)的基本原理是電磁理論,是一種非接觸式的自動識別技術(shù),具有識別距離遠(yuǎn),智能性高,使用壽命長,標(biāo)簽數(shù)據(jù)可以加密,存儲數(shù)據(jù)容量大,存儲信息更加自如等優(yōu)點,是一種應(yīng)用規(guī)模前景很大的高新技術(shù)。

在使用射頻識別技術(shù)的應(yīng)用系統(tǒng)中應(yīng)包括讀寫器、電子標(biāo)簽、計算機(jī)網(wǎng)絡(luò)、除此之外還應(yīng)考慮讀寫器天線的安裝、傳輸距離的遠(yuǎn)近等問題的影響,對應(yīng)于網(wǎng)絡(luò)管理的需求實施起來分為兩個部分:一部分是系統(tǒng)管理中心,主要負(fù)責(zé)系統(tǒng)各方面基礎(chǔ)信息和設(shè)備信息的錄入和系統(tǒng)初始化、變更、數(shù)據(jù)交換,信息的收集和處理。另一部分是手持系統(tǒng),負(fù)責(zé)初始化信息,貼標(biāo)簽,及數(shù)據(jù)導(dǎo)入,收集現(xiàn)場設(shè)備信息等。

(一)設(shè)備信息初始化。設(shè)備信息初始化是設(shè)備的固有信息登記,如固定資產(chǎn),在RFID固定讀寫器上,掃描身份卡和RFID卡,完成初始化,非固定資產(chǎn)則需要在身份卡上標(biāo)識非固定資產(chǎn)的時效、版本、形式等信息。

(二)設(shè)備的資產(chǎn)管理。設(shè)備的出入庫配合設(shè)備的電子化管理形成統(tǒng)一的手續(xù)通過讀取設(shè)備的RFID標(biāo)簽即可查詢設(shè)備的情況及信息。

(三)設(shè)備報廢。設(shè)備報廢必須經(jīng)過企業(yè)的設(shè)備報廢程序,經(jīng)過批準(zhǔn)、核實,實現(xiàn)報廢,同時更改設(shè)備信息,形成設(shè)備的報廢編號及詳細(xì)信息。

(四)電子標(biāo)簽的選擇。選擇適合企業(yè)情況的頻段的電子標(biāo)簽,確定和定義數(shù)據(jù)格式,形成統(tǒng)一的數(shù)據(jù)鏈。

(五)現(xiàn)場貼標(biāo)簽。將設(shè)備的初始化信息導(dǎo)入到手持機(jī),然后根據(jù)企業(yè)的部門編號找到設(shè)備,將必要的信息寫入標(biāo)簽并貼上標(biāo)簽。

(六)設(shè)備信息的讀取、更改、回寫。現(xiàn)場對設(shè)備進(jìn)行維護(hù)和操作的時候,先讀取標(biāo)簽內(nèi)的設(shè)備信息,設(shè)備維護(hù)更改信息后,臨時保存在手持機(jī)中,最后將更改后保存在手持機(jī)內(nèi)的信息回寫到標(biāo)簽內(nèi)。

(七)現(xiàn)場數(shù)據(jù)上傳。上傳時保持現(xiàn)場的數(shù)據(jù)和系統(tǒng)內(nèi)數(shù)據(jù)一致。

(八)數(shù)據(jù)庫的建立。建立統(tǒng)一的企業(yè)數(shù)據(jù)庫系統(tǒng),完成支持系統(tǒng)運(yùn)行的核心操作。

(九)數(shù)據(jù)同步和共享。進(jìn)入系統(tǒng)中心的數(shù)據(jù)保持同步,同時能夠隨時被企業(yè)各部門有條件的查詢和使用。

(十)系統(tǒng)的安全管理。形成系統(tǒng)獨(dú)立的權(quán)限管理和安全管理,對網(wǎng)絡(luò)環(huán)境、數(shù)據(jù)鏈形成保護(hù)。

三、射頻識別網(wǎng)絡(luò)化管理的功能

管理中心包括基礎(chǔ)信息管理、手持機(jī)初始化、設(shè)備信息維護(hù)、數(shù)據(jù)交換、數(shù)據(jù)查詢、報表等功能。

基礎(chǔ)信息管理是對標(biāo)簽的數(shù)據(jù)項定義、數(shù)據(jù)語法格式定義、以及權(quán)限的管理。手持機(jī)初始化是將設(shè)備信息、設(shè)備狀態(tài)信息、管理員信息等一系列基礎(chǔ)信息和相關(guān)手持機(jī)系統(tǒng)程序一起導(dǎo)入到手持機(jī),初始化后手持機(jī)原來存儲的系統(tǒng)數(shù)據(jù)和程序都被刷新。設(shè)備信息維護(hù)包括錄入、修改、更新設(shè)備的信息。數(shù)據(jù)交換是管理中心和手持機(jī)之間的數(shù)據(jù)交換,包括中心數(shù)據(jù)庫的建立,數(shù)據(jù)的流動,數(shù)據(jù)的安全以及數(shù)據(jù)的唯一判斷,不同的數(shù)據(jù)在不同數(shù)據(jù)元中處理,新、舊數(shù)據(jù)沖突等在管理中心和手持機(jī)中被定義。數(shù)據(jù)查詢提供管理中心隨時的系統(tǒng)及設(shè)備等信息的查詢功能,數(shù)據(jù)庫的選擇提供了數(shù)據(jù)的查詢能力。報表功能提供了管理中心的網(wǎng)絡(luò)報表輸出功能,根據(jù)企業(yè)管理功能支持多種報表功能。

手持機(jī)的功能包括身份確認(rèn)、貼標(biāo)簽、標(biāo)簽信息掃描、設(shè)備信息讀寫、手持機(jī)和管理中心數(shù)據(jù)交換、數(shù)據(jù)的安全管理。

篇6

【關(guān)鍵詞】企業(yè),信息,安全

【中圖分類號】F270.7 【文獻(xiàn)標(biāo)識碼】A 【文章編號】1672-5158(2012)11-0130-02

一、企業(yè)信息安全現(xiàn)狀

近年來,隨著企業(yè)信息化進(jìn)程的不斷推進(jìn),許多企業(yè)都完成了涵蓋基礎(chǔ)自動化、過程控制、生產(chǎn)執(zhí)行到專業(yè)管理的信息系統(tǒng),內(nèi)容覆蓋了硬件網(wǎng)絡(luò)平臺建設(shè)、辦公自動化(OA)、企業(yè)資源計劃(ERP)、對基礎(chǔ)網(wǎng)絡(luò)、過程自動化進(jìn)行升級改造等,企業(yè)業(yè)務(wù)的關(guān)鍵流程如研發(fā)、生產(chǎn)與銷售對信息系統(tǒng)的依賴性非常高。企業(yè)日益復(fù)雜龐大的信息系統(tǒng)也無時無刻在面臨來自于內(nèi)部和外部的威脅。

當(dāng)前企業(yè)信息可能面臨的安全威脅、存在的安全隱患。

1.可能面臨的安全威脅

物理安全威脅主要表現(xiàn)在企業(yè)的軟件資產(chǎn)和硬件資產(chǎn)、面臨自然災(zāi)害、環(huán)境事故及不法分子通過物理手段進(jìn)行的違法犯罪等威脅;網(wǎng)絡(luò)安全威脅主要表現(xiàn)在黑客攻擊、垃圾郵件泛濫、病毒、木馬造成網(wǎng)絡(luò)擁塞與癱瘓,內(nèi)部攻擊,沖突域造成網(wǎng)絡(luò)風(fēng)暴,黑客的入侵或者使得不法員工可以通過網(wǎng)絡(luò)泄漏企業(yè)機(jī)密等。

數(shù)據(jù)安全威脅主要表現(xiàn)在:數(shù)據(jù)庫數(shù)據(jù)丟失,財務(wù)、客戶信息及訂單數(shù)據(jù)被破壞或刪除、竊取、備份數(shù)據(jù)被人惡意篡改、不可預(yù)測的災(zāi)難導(dǎo)致數(shù)據(jù)庫的崩潰等。

內(nèi)部網(wǎng)絡(luò)之間、內(nèi)外網(wǎng)絡(luò)之間的連接安全——隨著企業(yè)的發(fā)展壯大,逐漸形成了企業(yè)總部、各地分支機(jī)構(gòu)、移動辦公人員這樣的新型互動運(yùn)營模式。怎么處理總部與分支機(jī)構(gòu)、移動辦公人員的信息共享安全,既要保證信息的及時共享,又要防止機(jī)密的泄漏已經(jīng)成為企業(yè)成長過程中不得不考慮的問題。

2.可能存在的安全隱患

網(wǎng)絡(luò)規(guī)劃不完善。信息網(wǎng)絡(luò)建設(shè)的初期,沒有把構(gòu)建信息安全體系作為主要的功能來實現(xiàn)。雖然以后采取了一些安全措施,缺乏整體性和系統(tǒng)性。目前從便攜設(shè)備到可移動存儲,再到智能手機(jī)、PDA,以及無線網(wǎng)絡(luò)等。每一項新技術(shù),每一類新產(chǎn)品的推廣伴隨著新的問題。企業(yè)在面臨著日趨復(fù)雜的威脅的同時,遭受的攻擊次數(shù)也日益增多。

技術(shù)設(shè)計不完善。隨著電腦技術(shù)的不斷發(fā)展,一些技術(shù)上的漏洞和設(shè)計方面的缺陷也就隨之而來。如操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)軟件及應(yīng)用軟件等各個層次及網(wǎng)絡(luò)設(shè)備本身存在的技術(shù)安全漏洞等。

安全管理不完善。由于信息安全管理制度不健全或貫徹落實不夠;員工的安全防范意識不強(qiáng);構(gòu)建安全體系的資金投入與運(yùn)維現(xiàn)狀需求存在矛盾等因素,導(dǎo)致安全管理層面的安全措施及安全技術(shù)難以有效實施。

為了防止信息安全事件的發(fā)生,通行的做法是通過部署防火墻、入侵檢測、入侵防范系統(tǒng)、防病毒系統(tǒng)、數(shù)據(jù)備份、數(shù)據(jù)加密、漏洞掃描、上網(wǎng)行為管理系統(tǒng)等進(jìn)行防范。然而,此類技術(shù)手段,卻無法阻止人為因素導(dǎo)致的破壞。

針對上述分析,筆者認(rèn)為,構(gòu)建一個規(guī)范的信息安全保障體系必須從管理、技術(shù)兩方面著手,通過建立企業(yè)內(nèi)部信息安全管理體系的有效措施把可能面臨的安全威脅最大限度地弱化,同時針對信息系統(tǒng)的“弱點”進(jìn)行改進(jìn),以此降低潛在的安全危險。

二、加強(qiáng)信息安全工作的途徑

1.建立安全體系結(jié)構(gòu)框架

俗話說“三分技術(shù),七分管理”,任何技術(shù)措施只能起到增強(qiáng)信息安全防范的作用。為此,管理部門首先需借助相應(yīng)的行政手段制定適合本單位的信息安全管理制度,建立一個長期有效的安全管理機(jī)制。加強(qiáng)安全技術(shù)的管理和人員的培訓(xùn),提高員工的信息化應(yīng)用水平。其次,技術(shù)部門要加強(qiáng)物理場所的安全管理,制定相應(yīng)的訪問控制策略規(guī)范網(wǎng)絡(luò)應(yīng)用安全,整合現(xiàn)有資源實現(xiàn)能夠支撐邊界安全和訪問控制的要件,同時實現(xiàn)從終端行為一主機(jī)全過程的完整安全,實現(xiàn)公司業(yè)務(wù)正常有序的運(yùn)行。

2.通過實施信息安全管理體系提升管理水平

信息安全管理體系是系統(tǒng)地對組織敏感信息進(jìn)行管理,涉及到人、程序和信息技術(shù)系統(tǒng),其依據(jù)是信息安全管理體系標(biāo)準(zhǔn)-IS027001。IS027001清晰地定義了ISMS是什么,并對企業(yè)主要安全管理過程進(jìn)行了詳細(xì)的描述。通過對企業(yè)信息系統(tǒng)的信息安全方針,信息安全組織,資產(chǎn)管理、人力資源安全、物理和環(huán)境安全管理、通信學(xué)術(shù)研究和操作管理、訪問控制、信息系統(tǒng)獲取開發(fā)和維護(hù),信息安全事故管理、業(yè)務(wù)連續(xù)性,符合性(IS027002要求的各個控制域)11個方面的處置,來建立企業(yè)信息安全管理體系。ISMS建設(shè)分為五個階段,有準(zhǔn)備階段、風(fēng)險評估階段、實施階段,運(yùn)行階段和持續(xù)改進(jìn)階段。

2.1 準(zhǔn)備現(xiàn)狀調(diào)研階段

現(xiàn)狀調(diào)研階段的主要工作是對組織的信息安全管理相關(guān)政策、制度和規(guī)范、業(yè)務(wù)特征或服務(wù)、現(xiàn)有的組織情況、網(wǎng)絡(luò)信息與配置、日常操作與管理等內(nèi)容進(jìn)行調(diào)查,以了解組織業(yè)務(wù),挖掘組織中存在的安全問題,分析組織內(nèi)可能存在的信息安全風(fēng)險,參照相關(guān)標(biāo)準(zhǔn)給出差距分析報告。可以采用文件審核、問卷調(diào)查、技術(shù)工具評估及現(xiàn)場訪談等方式進(jìn)行。

2.2 風(fēng)險評估階段

在準(zhǔn)備階段工作的基礎(chǔ)上,根據(jù)IS027001標(biāo)準(zhǔn)的要求,對企業(yè)目前的信息安全現(xiàn)狀進(jìn)行風(fēng)險評估,通過風(fēng)險評估確定風(fēng)險管理計劃以及需要采取的控制措施。此外,通過風(fēng)險評估,還可以了解到目前企業(yè)信息安全管理的現(xiàn)狀,為下一步編寫ISMS文件準(zhǔn)備基礎(chǔ)資料。

2.3 架構(gòu)設(shè)計階段

架構(gòu)設(shè)計階段可以考慮從安全策略保障體系、安全組織保障體系、安全運(yùn)行保障體系、安全技術(shù)保障體系、應(yīng)急恢復(fù)保障體系、保密體系等方面構(gòu)建組織的信息安全總體架構(gòu)。

2.4 實施階段

實施階段將進(jìn)行ISMS文件體系的策劃和編寫,確定需要編寫的文件數(shù)量以及各文件需要包括的控制措施。同時,將已有的操作規(guī)程、規(guī)范文件整理為具體操作手冊,作為三級文件,以指導(dǎo)信息安全管理體系項目的后繼實施,最終形成一整套符合企業(yè)信息安全管理現(xiàn)狀的、可實施的.文件化的信息安全管理體系。

2.5 運(yùn)行階段

運(yùn)行階段將依據(jù)建立的ISMS進(jìn)行實施。主要的活動有認(rèn)證機(jī)構(gòu)的預(yù)審、對企業(yè)信息安全專員培訓(xùn)、全員培訓(xùn)和意識教育整改活動、記錄系統(tǒng)運(yùn)行等各項活動。在體系運(yùn)行一段時間以后,將通過內(nèi)部審核的方式評審企業(yè)信息安全管理體系運(yùn)行的符合性。

2.6 持續(xù)改進(jìn)階段

項目的完成只是企業(yè)ISMS建立和完善的一個首要步驟。要通過內(nèi)審與管理評審等持續(xù)改進(jìn)活動,使企業(yè)的信息安全管理工作得到不斷的完善和提高。信息安全的最大挑戰(zhàn)在于必須面對各種各樣的威脅源、不斷更新和不可預(yù)知的方法、在不確定的時間對企業(yè)重要信息資產(chǎn)產(chǎn)生破壞,所以必須要有能夠進(jìn)行持續(xù)改善的績效管理。

3.實施、運(yùn)行ISMS需要注意的問題

4.1 提高風(fēng)險意識,加強(qiáng)安全組織建設(shè)工作;以風(fēng)險評估為基礎(chǔ),提高風(fēng)險管理的有效性;隊總體經(jīng)營目標(biāo)為核心,制定科學(xué)的安全管理策略;通過對企業(yè)安全管理流程及標(biāo)準(zhǔn)的建立,完善企業(yè)的安全運(yùn)維體系及響應(yīng)機(jī)制。

4.2 提高行業(yè)信息化管理水平,信息安全體系框架構(gòu)建是關(guān)鍵。而信息安全體系框架構(gòu)建必須管理、技術(shù)兩者雙管齊下。

4.3 循序漸進(jìn),動態(tài)管理。信息安全體系建設(shè)并不是一蹴而就的,是分步實施、循序漸進(jìn)的過程。定期進(jìn)行相關(guān)的安全評估,注重各層次、各方面、各時期的相互協(xié)調(diào)、匹配和銜接。根據(jù)當(dāng)前的技術(shù)環(huán)境和安全意識的深化及時排查、修改、調(diào)整相關(guān)的安全策略。

篇7

BYOD,已不僅僅只是一種潮流,也不會只是一時的流行。據(jù)相關(guān)調(diào)查顯示,超過7成的企業(yè)認(rèn)為在企業(yè)內(nèi)部網(wǎng)絡(luò)使用BYOD會增加企業(yè)信息安全問題,而接近8成的受訪者表示,他們網(wǎng)絡(luò)的個人設(shè)備數(shù)量比兩年前多出一倍。也有研究機(jī)構(gòu)表示,員工更愿意選擇允許他們使用自己設(shè)備到工作場所的公司,越年輕的員工,他們越可能接受允許員工使用自己設(shè)備辦公的公司。所以,禁止并不是最妥善的做法。對于我們來說,如何確保企業(yè)信息資產(chǎn)的安全,同時又享受BYOD帶來的便捷才是我們更多的需要考慮的。

那么我們該如何做才能管理好企業(yè)新的移動智能終端設(shè)備·

國內(nèi)著名的數(shù)據(jù)安全解決方案提供商,深圳虹安的安全專家認(rèn)為,應(yīng)對BYOD時代的新的安全需求,企業(yè)需要有新的安全管理視角。應(yīng)對BYOD安全威脅,企業(yè)需要從系統(tǒng)層面、應(yīng)用層面、設(shè)備層面建立起有效的,系統(tǒng)的安全管理策略,統(tǒng)一集中管理企業(yè)多種多樣的移動終端設(shè)備,這樣,才能最大程度的降低企業(yè)信息資產(chǎn)泄露的風(fēng)險。在這方面,虹安已推出了自己的移動辦公安全解決方案,并已經(jīng)成功在許多企業(yè)進(jìn)行了應(yīng)用部署。

應(yīng)用移動安全管理,解決企業(yè)BYOD安全困擾,讓你魚與熊掌兼得。

篇8

關(guān)鍵詞:工控;網(wǎng)絡(luò)安全;安全建設(shè)

1前言

隨著工業(yè)化與信息化的快速發(fā)展以及云、大、物、智、移等新技術(shù)的逐步發(fā)展和深化實踐,制造業(yè)工業(yè)控制系統(tǒng)的應(yīng)用越來越多,隨之而來的網(wǎng)絡(luò)安全威脅的問題日益突出。特別是國家重點行業(yè)例如能源、水利、交通等的工業(yè)控制系統(tǒng)關(guān)系到一個國家經(jīng)濟(jì)命脈,工業(yè)控制系統(tǒng)網(wǎng)絡(luò)一旦出現(xiàn)特殊情況可能會引發(fā)直接的人員傷亡和財產(chǎn)損失。本文主要以軌道交通行業(yè)CBTC系統(tǒng)業(yè)務(wù)的安全建設(shè)為例介紹工業(yè)信息安全防護(hù)思路,系統(tǒng)闡述了工業(yè)信息安全的發(fā)展背景及重要性,以網(wǎng)絡(luò)安全法和工業(yè)基礎(chǔ)設(shè)施的相關(guān)法規(guī)和要求等為依據(jù),并結(jié)合傳統(tǒng)工業(yè)控制系統(tǒng)的現(xiàn)狀,從技術(shù)設(shè)計和管理系統(tǒng)建設(shè)兩個方面來構(gòu)建工控系統(tǒng)網(wǎng)絡(luò)安全。

2工業(yè)信息安全概述

2.1工控網(wǎng)絡(luò)的特點

工業(yè)控制系統(tǒng)是指各種自動化組件、過程監(jiān)控組件共同構(gòu)成的以完成實時數(shù)據(jù)采集、工業(yè)生產(chǎn)流程監(jiān)測控制的管控系統(tǒng),也可以說工業(yè)控制系統(tǒng)是控制技術(shù)(Control)、計算機(jī)技術(shù)(Computer)、通信技術(shù)(Communication)、圖形顯示技術(shù)(CRT)和網(wǎng)絡(luò)技術(shù)(Network)相結(jié)合的產(chǎn)物[1]。工控系統(tǒng)網(wǎng)絡(luò)安全是指工業(yè)自動控制系統(tǒng)網(wǎng)絡(luò)安全,涉及眾多行業(yè)例如電力、水利、石油石化、航天、汽車制造等眾多工業(yè)領(lǐng)域,其中超過60%的涉及國計民生的關(guān)鍵基礎(chǔ)設(shè)施(如公路、軌道交通等)都依靠工控系統(tǒng)來實現(xiàn)自動化作業(yè)。

2.2國內(nèi)外工業(yè)安全典型事件

眾所周知,工業(yè)控制系統(tǒng)是國家工業(yè)基礎(chǔ)設(shè)施的重要組成部分,近年來由于網(wǎng)絡(luò)技術(shù)的快速發(fā)展,使得工控系統(tǒng)正逐漸成為網(wǎng)絡(luò)戰(zhàn)的重點攻擊目標(biāo),不斷涌現(xiàn)的安全事件也暴露出工控系統(tǒng)網(wǎng)絡(luò)安全正面臨著嚴(yán)峻的挑戰(zhàn)。(1)美國列車信號燈宕機(jī)事件2003年發(fā)生在美國佛羅里達(dá)州鐵路服務(wù)公司的計算機(jī)遭遇震網(wǎng)病毒感染,導(dǎo)致美國東部海岸的列車信號燈系統(tǒng)瞬間宕機(jī),部分地區(qū)的高速環(huán)線停運(yùn)。這次事件主要是由于感染震網(wǎng)病毒引起的,而這種病毒常被用來定向攻擊基礎(chǔ)(能源)設(shè)施,比如國家電網(wǎng)、水壩、核電站等。(2)烏克蘭電網(wǎng)攻擊事件2015年,烏克蘭的首都和西部地區(qū)電網(wǎng)突發(fā)停電,調(diào)查發(fā)現(xiàn)這次事故是由于黑客攻擊造成的。黑客攻擊了多座變電站,在電力公司的主控電腦系統(tǒng)里植入了病毒致使系統(tǒng)癱瘓造成停電事故。(3)舊金山輕軌系統(tǒng)遭勒索病毒攻擊事件2016年,黑客攻擊美國舊金山輕軌系統(tǒng),造成上千臺服務(wù)器和工作站感染勒索病毒,數(shù)據(jù)全部被加密,售票系統(tǒng)全面癱瘓。其實國內(nèi)也發(fā)生過很多工業(yè)控制系統(tǒng)里面的安全事件,主要也是因為感染勒索病毒引起的。勒索病毒感染了重要業(yè)務(wù)系統(tǒng)里面的一些工作站,例如在軌道交通行業(yè)里的典型系統(tǒng):綜合監(jiān)控系統(tǒng)、通信系統(tǒng)和信號系統(tǒng)等,其中大部分是由于移動接入設(shè)備的不合規(guī)使用而帶來的風(fēng)險。從以上事件可以看出,攻擊者要發(fā)動網(wǎng)絡(luò)攻擊只需發(fā)送一個普通的病毒就可以達(dá)到目的,隨著網(wǎng)絡(luò)攻擊事件的頻發(fā)和各種復(fù)雜病毒的出現(xiàn),讓我們的工業(yè)系統(tǒng)安全以及公共利益、人民財產(chǎn)安全正遭受著嚴(yán)重的威脅。

2.3工控安全參考標(biāo)準(zhǔn)、規(guī)范

作為國家基礎(chǔ)設(shè)施的工業(yè)控制系統(tǒng),正面臨著來自網(wǎng)絡(luò)攻擊等的威脅,為此針對工控網(wǎng)絡(luò)安全,我國制定和了相關(guān)法律法規(guī)來指導(dǎo)網(wǎng)絡(luò)安全建設(shè)防護(hù)工作。其中有國家標(biāo)準(zhǔn)委在2016年10月的《工業(yè)通信網(wǎng)絡(luò)網(wǎng)絡(luò)和系統(tǒng)安全建立工業(yè)自動化和控制系統(tǒng)安全程序》《工業(yè)自動化和控制系統(tǒng)網(wǎng)絡(luò)安全可編程序控制器(PLC)第1部分:系統(tǒng)要求》等多項國家標(biāo)準(zhǔn)[2]。同年,工信部印發(fā)《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》,該標(biāo)準(zhǔn)以當(dāng)前我國工業(yè)控制系統(tǒng)面臨的安全問題為出發(fā)點,分別從技術(shù)防護(hù)和管理設(shè)計兩方面來對工業(yè)控制系統(tǒng)的安全防護(hù)提出建設(shè)防護(hù)要求。2017年6月,《網(wǎng)絡(luò)安全法》開始實施,網(wǎng)安法從不同的網(wǎng)絡(luò)層次規(guī)定了網(wǎng)絡(luò)安全的檢測、評估以及防護(hù)和管理等要求,促進(jìn)了我國工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全的發(fā)展。

3工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全分析

軌道交通信號系統(tǒng)(CBTC)是基于通信技術(shù)的列車控制系統(tǒng),該系統(tǒng)依靠通信技術(shù)實現(xiàn)“車地通信”并且實時地傳遞“列車定位”信息[3]。目前CBTC安全建設(shè)存在以下問題:(1)網(wǎng)絡(luò)邊界無隔離隨著CBTC的集成度越來越高,各個子系統(tǒng)之間的聯(lián)系和數(shù)據(jù)通信也越來越密切,根據(jù)地域一般劃分為控制中心、車站、車輛段和停車場,根據(jù)業(yè)務(wù)又劃分為ATO、ATS、CI、DCS等多個子系統(tǒng),各區(qū)域之間沒有做好訪問控制措施,缺失入侵防范和監(jiān)測的舉措。各個子系統(tǒng)之間一般都是互聯(lián)互通的,不同的子系統(tǒng)由于承載的業(yè)務(wù)的重要等級不同也是需要對其邊界進(jìn)行防護(hù)的,還有一些安全系統(tǒng)和非安全系統(tǒng)之間也都沒有做隔離。(2)網(wǎng)絡(luò)異常查不到針對CBTC系統(tǒng)的網(wǎng)絡(luò)入侵行為一般隱蔽性很強(qiáng),沒有專門的設(shè)備去檢測的話很難發(fā)現(xiàn)入侵行為。出現(xiàn)安全事件后沒有審計記錄和追溯的手段,等下次攻擊發(fā)生依然沒有抵抗的能力。沒有對流量進(jìn)行實時監(jiān)測和記錄,不能及時發(fā)現(xiàn)高級持續(xù)威脅、不能有效應(yīng)對攻擊、不能及時發(fā)現(xiàn)各種異常操作。(3)工作站、服務(wù)器無防護(hù)CBTC系統(tǒng)工作站、服務(wù)器的大部分采用Windows系列的操作系統(tǒng),還有一部分Linux系列的操作系統(tǒng),系統(tǒng)建設(shè)之初基本不會對工作站和服務(wù)器的操作系統(tǒng)進(jìn)行升級,操作系統(tǒng)在使用過程中不斷暴露漏洞,而系統(tǒng)漏洞又無法得到及時的修復(fù),這都會導(dǎo)致工作站和服務(wù)器面臨風(fēng)險。沒有在系統(tǒng)上線前關(guān)閉冗余系統(tǒng)服務(wù),沒有加強(qiáng)系統(tǒng)的密碼策略。除此之外,運(yùn)維人員可以在調(diào)試過程中在操作站和服務(wù)器上安裝與業(yè)務(wù)無關(guān)的軟件,也可能會開啟操作系統(tǒng)的遠(yuǎn)程功能,上線后也不會關(guān)閉此功能,這些操作都會使得系統(tǒng)配置簡單,更容易受到攻擊。目前在CBTC系統(tǒng)各個區(qū)域部分尚未部署桌管軟件和殺毒軟件,無法對USB等外接設(shè)備的接入行為進(jìn)行管控,隨意使用移動存儲介質(zhì)的現(xiàn)象非常普遍,這種行為極易將病毒、木馬等威脅帶入到生產(chǎn)系統(tǒng)中。(4)運(yùn)維管理不完善單位內(nèi)安全組織機(jī)構(gòu)人員職責(zé)不完善,缺乏專業(yè)的人員。沒有針對信號系統(tǒng)成立專門的安全管理部門,未明確相關(guān)業(yè)務(wù)部門的安全職責(zé)和職員的技能要求,也缺乏專業(yè)安全人才。未形成完整的網(wǎng)絡(luò)安全管理制度政策來規(guī)劃安全建設(shè)和設(shè)計工控系統(tǒng)安全需求。另外將工業(yè)控制系統(tǒng)的運(yùn)維工作外包給第三方人員后并無相關(guān)的審計和監(jiān)控措施,當(dāng)?shù)谌竭\(yùn)維人員進(jìn)行設(shè)備維護(hù)時,業(yè)務(wù)系統(tǒng)的運(yùn)營人員不能及時了解第三方運(yùn)維人員是否存在誤操作行為,一旦發(fā)生事故無法及時準(zhǔn)確定位問題原因、影響范圍和責(zé)任追究。目前CBTC系統(tǒng)的網(wǎng)絡(luò)采用物理隔離,基本可以保證正常生產(chǎn)經(jīng)營。但是管理網(wǎng)接入工控系統(tǒng)網(wǎng)絡(luò)后,工控系統(tǒng)網(wǎng)絡(luò)內(nèi)部的安全防護(hù)措施無法有效抵御來自外部的攻擊和威脅,而且由于與管理網(wǎng)的數(shù)據(jù)安全交互必須在工控網(wǎng)絡(luò)邊界實現(xiàn),因此做好邊界保護(hù)尤為重要。

4工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系

工控系統(tǒng)信息化建設(shè)必須符合國家有關(guān)規(guī)定,從安全層面來看要符合國家級防護(hù)的相關(guān)要求,全面規(guī)劃設(shè)計網(wǎng)絡(luò)安全保障體系,使得工控體系符合相關(guān)安全標(biāo)準(zhǔn),確保工控安全保障體系的廣度和深度。根據(jù)安全需求建立安全防護(hù)體系,通過管理和技術(shù)實現(xiàn)主被動安全相結(jié)合,有效提升了工控業(yè)務(wù)系統(tǒng)的安全防護(hù)能力。根據(jù)業(yè)務(wù)流量和業(yè)務(wù)功能特點以及工控系統(tǒng)網(wǎng)絡(luò)安全的基本要求來設(shè)計不同的項目技術(shù)方案,從技術(shù)角度來識別系統(tǒng)的安全風(fēng)險,依據(jù)系統(tǒng)架構(gòu)來設(shè)計安全加固措施,同時還要按照安全管理的相關(guān)要求建立完善的網(wǎng)絡(luò)安全管理制度體系,來確保整體業(yè)務(wù)系統(tǒng)的安全有效運(yùn)行。

4.1邊界訪問控制

考慮到資產(chǎn)的價值、重要性、部署位置、系統(tǒng)功能、控制對象等要素,我們將軌道交通信號系統(tǒng)業(yè)務(wù)網(wǎng)絡(luò)劃分為多個子安全域,根據(jù)CBTC業(yè)務(wù)的重要性、實時性、關(guān)聯(lián)性、功能范圍、資產(chǎn)屬性以及對現(xiàn)場受控設(shè)備的影響程度等,將工控網(wǎng)絡(luò)劃分成不同的安全防護(hù)區(qū)域,所有業(yè)務(wù)子系統(tǒng)都必須置于相應(yīng)的安全區(qū)域內(nèi)。通過采取基于角色的身份鑒別、權(quán)限分配、訪問控制等安全措施來實現(xiàn)工業(yè)現(xiàn)場中的設(shè)備登錄控制、應(yīng)用服務(wù)資源訪問的身份認(rèn)證管理,使得只有獲得授權(quán)的用戶才能對現(xiàn)場設(shè)備進(jìn)行數(shù)據(jù)更新、參數(shù)設(shè)定,在控制設(shè)備及監(jiān)控設(shè)備上運(yùn)行程序、標(biāo)識相應(yīng)的數(shù)據(jù)集合等操作,防止未經(jīng)授權(quán)的修改或刪除等操作。4.2流量監(jiān)測與審計網(wǎng)絡(luò)入侵檢測主要用于檢測網(wǎng)絡(luò)中的惡意探測和惡意攻擊行為,常見有網(wǎng)絡(luò)蠕蟲、間諜和木馬軟件、高級持續(xù)性威脅攻擊、口令暴力破解、緩沖區(qū)溢出等各種深度攻擊行為[4]。可以利用漏洞掃描設(shè)備掃描探測操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)、中間件、數(shù)據(jù)庫等網(wǎng)絡(luò)資產(chǎn)和應(yīng)用,及時發(fā)現(xiàn)網(wǎng)絡(luò)中各種設(shè)備和應(yīng)用的安全漏洞,提出修復(fù)和整改建議來保障系統(tǒng)和設(shè)備自身的安全性。惡意代碼防護(hù)可以檢測、查殺和抵御各種病毒,如蠕蟲病毒、文件病毒等木馬或惡意軟件、灰色軟件等。通過安全配置核查設(shè)備來及時發(fā)現(xiàn)識別系統(tǒng)設(shè)備是否存在不合理的策略配置、系統(tǒng)配置、環(huán)境參數(shù)配置的問題。另外要加強(qiáng)安全審計管理,通常包括日常運(yùn)維操作安全審計、數(shù)據(jù)庫訪問審計以及所有設(shè)備和系統(tǒng)的日志審計,主要體現(xiàn)在對各類用戶的操作行為進(jìn)行審計和對重要安全事件進(jìn)行記錄和審計,審計日志的內(nèi)容需要包括事件發(fā)生的確切時間、用戶名稱、事件的類型、事件執(zhí)行情況說明等。

4.3建立統(tǒng)一監(jiān)測管理平臺

根據(jù)等級保護(hù)制度要求規(guī)定,重要等級在第二級以上的信息系統(tǒng)需要在網(wǎng)絡(luò)中建立統(tǒng)一集中管理中心,通過統(tǒng)一安全管理平臺能夠?qū)W(wǎng)絡(luò)設(shè)備、安全設(shè)備、各類操作系統(tǒng)等的運(yùn)行狀況、安全日志、配置策略進(jìn)行集中監(jiān)測、采集、日志范化和歸并處理,平臺可以呈現(xiàn)CBTC系統(tǒng)中各類設(shè)備間的訪問關(guān)系,形成基于網(wǎng)絡(luò)訪問關(guān)系、業(yè)務(wù)操作指令的工業(yè)控制環(huán)境的行為白名單,從而可以及時識別和發(fā)現(xiàn)未定義的行為以及重要的業(yè)務(wù)操作指令的異常行為。可以設(shè)置監(jiān)控指標(biāo)告警閾值,觸發(fā)告警并記錄,對各類報警和日志信息進(jìn)行關(guān)聯(lián)分析和預(yù)警通報。

4.4編制網(wǎng)絡(luò)安全管理制度

設(shè)立安全專屬職能的管理部門和領(lǐng)導(dǎo)者及管理成員的崗位,制定總體安全方針,指明組織機(jī)構(gòu)的總體目標(biāo)和工作原則。對于安全管理成員的角色設(shè)計需按三權(quán)分立的原則來規(guī)劃并落實,必須配備專職的安全成員來指導(dǎo)和管理安全的各方面工作。指派專人來制定安全管理制度,而且制度要經(jīng)過上層組織機(jī)構(gòu)評審和正式,保持對下發(fā)制度的定期評審和落實情況的核查。由專人來負(fù)責(zé)單位內(nèi)人員的招聘錄用工作,對人員的專業(yè)能力、背景及任職資格進(jìn)行審核和考察,人員錄用時需要跟被錄用人簽訂保密協(xié)議和崗位責(zé)任書。編制完善的制度規(guī)范,編制范圍應(yīng)涵蓋信息系統(tǒng)在規(guī)劃和建設(shè)、安全定級與備案、方案設(shè)計、開發(fā)與實施、驗收與測試以及完成系統(tǒng)交付的整個生命周期。針對不同系統(tǒng)建設(shè)階段分別編制軟件開發(fā)管理規(guī)范、代碼編寫規(guī)范、工程監(jiān)理制度、測試驗收制度,在測試和交付階段記錄和收集各類表單、清單。加強(qiáng)安全運(yùn)維建設(shè),制定包含物理環(huán)境管理、資產(chǎn)管理、系統(tǒng)設(shè)備介質(zhì)管理以及漏洞風(fēng)險管理等方面的規(guī)范要求,對于機(jī)房等辦公區(qū)域的人員進(jìn)出、設(shè)備進(jìn)出進(jìn)行記錄和控制,建立資產(chǎn)管理制度規(guī)范系統(tǒng)資質(zhì)的管理與使用行為,保存相關(guān)的資產(chǎn)清單,對各種軟硬件資產(chǎn)做好定期維護(hù),對資產(chǎn)采購、領(lǐng)用和發(fā)放制定嚴(yán)格的審批流程。針對漏洞做好風(fēng)險管理,針對發(fā)現(xiàn)的安全問題采取相關(guān)的應(yīng)對措施,形成書面記錄和總結(jié)報告。在第三方外包人員管理方面應(yīng)該與外包運(yùn)維服務(wù)商簽訂第三方運(yùn)維服務(wù)協(xié)議,協(xié)議中應(yīng)明確外包工作范圍和具體職責(zé)。

5結(jié)束語

由于工控系統(tǒng)安全性能不高和頻繁爆發(fā)的網(wǎng)絡(luò)安全攻擊的趨勢,近年來我國將網(wǎng)絡(luò)安全建設(shè)提升到了國家安全戰(zhàn)略的高度,并且制定了相關(guān)的標(biāo)準(zhǔn)、政策、技術(shù)、程序等來積極應(yīng)對安全風(fēng)險,業(yè)務(wù)主管部門還應(yīng)進(jìn)一步強(qiáng)化網(wǎng)絡(luò)安全意識,開展網(wǎng)絡(luò)安全評估,制定網(wǎng)絡(luò)安全策略,提高工控網(wǎng)絡(luò)安全水平,確保業(yè)務(wù)的安全穩(wěn)定運(yùn)行。

參考文獻(xiàn):

[1]石勇,劉巍偉,劉博.工業(yè)控制系統(tǒng)(ICS)的安全研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2008(4).

[2]李俊.工業(yè)控制系統(tǒng)信息安全管理措施研究[J].自動化與儀器儀表,2014(9).

篇9

一、企業(yè)財務(wù)管理的問題

企業(yè)信息技術(shù)的發(fā)展,需要依靠計算機(jī)和互聯(lián)網(wǎng)技術(shù)。依照企業(yè)財務(wù)經(jīng)營管理標(biāo)準(zhǔn),加強(qiáng)企業(yè)實際發(fā)展變化的管理,提升企業(yè)財務(wù)管理的內(nèi)部研究,提升企業(yè)財務(wù)處理問題的能力。依照企業(yè)財務(wù)管理模式加強(qiáng)企業(yè)發(fā)展變化分析,認(rèn)識企業(yè)財務(wù)管理中的問題。

(一)數(shù)據(jù)安全問題互聯(lián)網(wǎng)信息的傳播需要安全管理級別。依照企業(yè)信息發(fā)展變化,對企業(yè)進(jìn)行預(yù)期分析,采用開放是的互聯(lián)網(wǎng)環(huán)境,提升企業(yè)安全級別,處理企業(yè)各種安全問題。企業(yè)將財務(wù)數(shù)據(jù)信息管理放置于企業(yè)互聯(lián)網(wǎng)內(nèi)部,這樣方便財務(wù)安全的管理。但是,這樣依賴信息存儲的方式,會造成企業(yè)數(shù)據(jù)信息過分依賴企業(yè)存儲,如果出現(xiàn)各種存儲故障,就會影響企業(yè)的數(shù)據(jù)準(zhǔn)確度,數(shù)據(jù)庫的破壞會影響企業(yè)內(nèi)部信息發(fā)展的安全性級別。

(二)軟件質(zhì)量參差不齊企業(yè)財務(wù)應(yīng)用軟件完成各種財務(wù)數(shù)據(jù)的分析和存儲。財務(wù)軟件的安全性是有效控制企業(yè)財務(wù)管理水平的主要工具。依照信息存儲、傳遞、分析,提高企業(yè)安全軟件信息的準(zhǔn)確性,確保企業(yè)在各類軟件應(yīng)用中可以實現(xiàn)企業(yè)的財務(wù)管理。然而市場中,企業(yè)財務(wù)管理的種類良莠不齊,企業(yè)無法依照企業(yè)財務(wù)信息,區(qū)別企業(yè)軟件功能水平,無法確定企業(yè)安全級別。企業(yè)開發(fā)部門為了有效提高財務(wù)管理軟件的兼容性,將其企業(yè)的故障率,往往會造成企業(yè)軟件的信息泄漏,這直接影響企業(yè)財務(wù)數(shù)據(jù)的安全級別,造成企業(yè)數(shù)據(jù)信息不穩(wěn)定,直接影響企業(yè)的安全。

(三)財務(wù)業(yè)務(wù)數(shù)據(jù)更新脫節(jié)企業(yè)在分析財務(wù)業(yè)務(wù)數(shù)據(jù)狀況的時候,往往從財務(wù)數(shù)據(jù)入手,直觀的分析企業(yè)數(shù)據(jù)的基礎(chǔ)來源,依照企業(yè)財務(wù)數(shù)據(jù)標(biāo)準(zhǔn),確保企業(yè)的綜合戰(zhàn)略意義標(biāo)準(zhǔn)。依照企業(yè)財務(wù)數(shù)據(jù)對企業(yè)財務(wù)級別進(jìn)行編制,客觀性核真實性無法得到有效的要求。財務(wù)業(yè)務(wù)數(shù)據(jù)之間的聯(lián)系較低,業(yè)務(wù)運(yùn)營和上報數(shù)據(jù)之間存在偏差。財務(wù)工作人員在數(shù)據(jù)測算和接收過程中是被動的。財務(wù)人員對企業(yè)財務(wù)業(yè)務(wù)不了解,不熟悉,造成錄入數(shù)據(jù)錯誤。錄入數(shù)據(jù)不合理,無法按時完成工作,造成錯誤頻發(fā),企業(yè)財務(wù)業(yè)務(wù)數(shù)據(jù)脫節(jié),直接影響企業(yè)的財務(wù)成本,造成企業(yè)運(yùn)營過程中數(shù)據(jù)出現(xiàn)嚴(yán)重不合理的現(xiàn)象,這是不利于企業(yè)綜合發(fā)展的。

(四)財務(wù)指標(biāo)考核單一企業(yè)財務(wù)數(shù)據(jù)沒有經(jīng)過合理的規(guī)劃和預(yù)測,造成企業(yè)的財務(wù)單一,只能從單一角度分析到企業(yè)的基本經(jīng)營狀況,對企業(yè)的綜合經(jīng)營水平無法進(jìn)行估測。因此,無法全面的對企業(yè)整體狀況進(jìn)行分析,無法為企業(yè)提供合理的決策標(biāo)準(zhǔn),無法支持企業(yè)數(shù)據(jù)變化核考核。

二、財務(wù)管理改革的對策

(一)改變傳統(tǒng)落后財務(wù)管理思維在市場經(jīng)濟(jì)競爭發(fā)展的環(huán)境下,逐步改變傳統(tǒng)的財務(wù)管理模式,從國際化角度,分析財務(wù)多元化管理理念,加強(qiáng)企業(yè)的多元綜合資源配置,降低企業(yè)財務(wù)風(fēng)險,提高企業(yè)經(jīng)營決策發(fā)展目標(biāo),推進(jìn)企業(yè)財務(wù)管理發(fā)展的速度。

(二)確定財務(wù)管理目標(biāo)企業(yè)在發(fā)展經(jīng)營中,需要確定企業(yè)的發(fā)展現(xiàn)狀,依照企業(yè)傳統(tǒng)發(fā)展過程,對企業(yè)財務(wù)進(jìn)行必要定位,確定企業(yè)財務(wù)的管理目標(biāo),逐步提高企業(yè)綜合利潤,擴(kuò)大企業(yè)綜合規(guī)模,確保企業(yè)依照現(xiàn)代快速發(fā)展標(biāo)準(zhǔn)提高企業(yè)綜合資產(chǎn)經(jīng)濟(jì)建設(shè),確保企業(yè)資本利益,減少企業(yè)經(jīng)營過程中的各種抵觸心理狀態(tài),加強(qiáng)企業(yè)員工的個人利益,確保企業(yè)決策利潤的最大性。

(三)加強(qiáng)財務(wù)內(nèi)容變革加強(qiáng)財務(wù)內(nèi)容的統(tǒng)計分析,伊阿好企業(yè)財務(wù)信息管理要求,確保財務(wù)數(shù)據(jù)管理標(biāo)準(zhǔn),對企業(yè)隱形資產(chǎn)、未來資產(chǎn)進(jìn)行有效預(yù)測,分析企業(yè)財務(wù)管理中的創(chuàng)新變革內(nèi)容。其中,包括財務(wù)管理變更內(nèi)容,改變企業(yè)財務(wù)的資本結(jié)構(gòu)優(yōu)化,提高企業(yè)成本核算管理過程。通過分析企業(yè)財務(wù)生產(chǎn)標(biāo)準(zhǔn),確定以知識為基礎(chǔ)的無形資產(chǎn)的財務(wù)管理,確保企業(yè)綜合經(jīng)營規(guī)模的擴(kuò)大,實現(xiàn)對財務(wù)資產(chǎn)的快速變更管理。

(四)提高財務(wù)軟件創(chuàng)新管理根據(jù)市場發(fā)展標(biāo)準(zhǔn)分析企業(yè)財務(wù)軟件應(yīng)用水平,根據(jù)企業(yè)自身發(fā)展?fàn)顩r,對企業(yè)財務(wù)內(nèi)容進(jìn)行衡量。在軟件基本功能上,分析企業(yè)財務(wù)滿足的基本狀況,逐步提高企業(yè)財務(wù)運(yùn)行發(fā)展效果。通過宇互聯(lián)網(wǎng)的遠(yuǎn)程調(diào)控分析,確保企業(yè)業(yè)務(wù)之間的緊密溝通,確保財務(wù)數(shù)據(jù)之間的聯(lián)系,提高財務(wù)系統(tǒng)創(chuàng)新效果。通過加強(qiáng)財務(wù)數(shù)據(jù)安全級別,確保財務(wù)高效穩(wěn)定發(fā)展。引入企業(yè)財務(wù)數(shù)據(jù)防護(hù)方法,依照數(shù)據(jù)庫標(biāo)準(zhǔn)對現(xiàn)代軟件進(jìn)行安全考核,分析企業(yè)財務(wù)數(shù)據(jù)的安全環(huán)境級別。運(yùn)用法律手段,提高企業(yè)維護(hù)的合法效益,運(yùn)用安全技術(shù)能力,依照科學(xué)管理標(biāo)準(zhǔn),提高企業(yè)財務(wù)數(shù)據(jù)的安全級別,實現(xiàn)財務(wù)指標(biāo)的準(zhǔn)確性,構(gòu)架和諧的科學(xué)發(fā)展管理體系,有效的預(yù)測企業(yè)發(fā)展標(biāo)準(zhǔn),提高企業(yè)經(jīng)營發(fā)展數(shù)據(jù)的規(guī)劃。

三、財務(wù)管理信息的安全管理方案

(一)采用網(wǎng)絡(luò)安全管理體系采用合理的安全網(wǎng)絡(luò)管理體系,建立多層次、過結(jié)構(gòu)管理保護(hù)系統(tǒng),最大限度的確保系統(tǒng)基本安全。運(yùn)用電算自動化,采用網(wǎng)絡(luò)財務(wù)安全管理系統(tǒng),對各類數(shù)據(jù)進(jìn)行有效管理。在網(wǎng)絡(luò)用戶賬戶分析中,操作口令如果被控制,財務(wù)管理安全就會受到嚴(yán)重的影響。通過超級用戶的訪問,確定用戶基本權(quán)限,制定有效的專用登陸用戶核登陸密碼,實行多方面的邏輯登陸認(rèn)證方法。登陸后的時間也應(yīng)當(dāng)進(jìn)行限制,通過超級用戶限定,確定用戶的實用權(quán)限,。入侵者主要是對賬戶進(jìn)行入侵,通過口令提高安全級別,防止無法入侵性效果。創(chuàng)建一個用戶名欺騙訪問者,不設(shè)定安全權(quán)限,提高安全效果。

(二)采用多級結(jié)構(gòu)的安全管理系統(tǒng)變準(zhǔn)化的多級結(jié)構(gòu)適合安全化系統(tǒng)管理。依照防盜級別記性操作控制,確保機(jī)房內(nèi)部設(shè)備的溫度核濕度,自動安裝雙路電路電源系統(tǒng),組建財務(wù)信息管理信息系統(tǒng)。提高信息系統(tǒng)的安全可靠級別,依照網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行局域分析,確保網(wǎng)絡(luò)構(gòu)建標(biāo)準(zhǔn),提高企業(yè)多級結(jié)構(gòu)的安全管理。

(三)采用多元訪問設(shè)置端口在網(wǎng)絡(luò)操作過程中,通過運(yùn)用訪問控制方法,確保安全保護(hù)效果。依照操作級別,在開機(jī)時,輸入正確的用戶名、密碼,直接啟動系統(tǒng)。上網(wǎng)過程中,需要輸入口令對系進(jìn)行驗證,當(dāng)系統(tǒng)識別用戶合法性的時候,才可以進(jìn)入系統(tǒng)。否則,就不可以上網(wǎng)。進(jìn)入網(wǎng)絡(luò)后,需要對系統(tǒng)資源進(jìn)行分配,依照用戶訪問權(quán)限進(jìn)行核實,在系統(tǒng)設(shè)置統(tǒng)一的前提下訪問,否則不可以訪問。數(shù)據(jù)的存儲和修改過程中,同樣需要數(shù)據(jù)權(quán)限進(jìn)行處理,防止非法入侵的可能,提高會計信息電算化的控制效果,確保信息的核算標(biāo)準(zhǔn),降低信息丟失量。

(四)對財務(wù)信息管理進(jìn)行可靠解密企業(yè)財務(wù)信息的有效管理需要可靠的硬件設(shè)備配套,通過數(shù)據(jù)傳輸信息的功能分析,確定網(wǎng)絡(luò)可靠性級別,依照數(shù)據(jù)信息的目標(biāo)級別,確定財務(wù)數(shù)據(jù)信息的遠(yuǎn)程訪問和遠(yuǎn)程通信,提高通信網(wǎng)絡(luò)的設(shè)備動態(tài)實時監(jiān)管標(biāo)準(zhǔn)。依照網(wǎng)路設(shè)備的動態(tài)數(shù)據(jù)進(jìn)行實時備份,確保數(shù)據(jù)信息可以通過網(wǎng)絡(luò)磁盤完成設(shè)備熱備份核熱處理,確保企業(yè)財務(wù)信息的安全級別。依照財務(wù)信息量對企業(yè)管理進(jìn)行安全評分審核,設(shè)定合理的子系統(tǒng),提高財務(wù)信息管理的安全水平。

(五)附加病毒防御功能會計電算網(wǎng)絡(luò)依照局域網(wǎng)級別進(jìn)行劃分,通過區(qū)分信息類別,劃定信息級別,依照企業(yè)負(fù)債水平,分析企業(yè)財務(wù)結(jié)算標(biāo)準(zhǔn),確定不通銷售支出、信息處理水平。通過分析企業(yè)財務(wù)的結(jié)算權(quán)益量,對不通的銷售標(biāo)準(zhǔn)進(jìn)行信息支配管理,提升企業(yè)財務(wù)數(shù)據(jù)信息的管理,確保企業(yè)數(shù)據(jù)信息的安全性。通過信息加密提高財務(wù)管理軟件的安全級別,依照財務(wù)應(yīng)用方法核方式,確定企業(yè)財務(wù)控制口令的基本程序,依照不通保密級別,分析有效提高企業(yè)財務(wù)功能的正確運(yùn)行標(biāo)準(zhǔn),提高會計電算網(wǎng)絡(luò)的穩(wěn)定性。對財務(wù)信息訪問網(wǎng)絡(luò)進(jìn)行實效的管理,依照計算機(jī)操作標(biāo)準(zhǔn),確定財務(wù)管理體系中的防御抵抗能力。通過預(yù)防核分析計算機(jī)應(yīng)用過程中,可入侵的標(biāo)準(zhǔn)級別,確定客戶端入口防范水平,其中包含職能病毒防范系統(tǒng)。利用掃描技術(shù)提高病毒文件的消除,當(dāng)服務(wù)器無程序存儲的時候,病毒存在在無盤中,一旦有文件寫入,服務(wù)器就會對寫入的文件進(jìn)行傳播感染。一旦程序運(yùn)行,就會造成病毒拓展,直接影響系統(tǒng)的正常循環(huán)。另外,為了有效提高網(wǎng)路的安全級別,需要根據(jù)信息網(wǎng)絡(luò)水平,提高網(wǎng)絡(luò)信息局域網(wǎng)的安全級別,實現(xiàn)可靠性運(yùn)行管理。依照網(wǎng)絡(luò)監(jiān)控系統(tǒng),對訪問量進(jìn)行控制管理,分析網(wǎng)絡(luò)數(shù)據(jù)資源、網(wǎng)絡(luò)性能標(biāo)準(zhǔn)水平,分析有效提升財務(wù)管理系統(tǒng)的控制方法,確保網(wǎng)絡(luò)安全,提高密鑰安全性,增強(qiáng)財務(wù)信息的安全管理效果。依照安全性策略,確保財務(wù)信息安全效果,依照網(wǎng)絡(luò)資源創(chuàng)新發(fā)展,提升資源配置管理,確保程序的正規(guī)化發(fā)展。

四、結(jié)語

篇10

隨著軍隊物資采購機(jī)構(gòu)信息化建設(shè)的不斷推進(jìn),信息系統(tǒng)已經(jīng)成為當(dāng)前采辦系統(tǒng)的核心組成部分。信息安全風(fēng)險直接影響到軍隊物資采購系統(tǒng)為軍隊用戶提供服務(wù)和對各類供應(yīng)商等采購實體進(jìn)行管理的能力。在關(guān)鍵時刻,個別重大的信息系統(tǒng)發(fā)生故障或癱瘓,往往會給整個軍隊后勤保障帶來不可挽回的損失和影響,從而給整個軍隊建設(shè)和國防事業(yè)帶來損失。

當(dāng)前,軍隊物資采購系統(tǒng)根據(jù)總后關(guān)于信息化建設(shè)的精神,建立了依托干軍隊內(nèi)部的指揮自動化網(wǎng)、軍隊綜合信息網(wǎng)等內(nèi)部指揮控制網(wǎng)絡(luò)、辦公網(wǎng)絡(luò)、業(yè)務(wù)管理網(wǎng)絡(luò)等信息服務(wù)和指揮網(wǎng)絡(luò),為軍隊采購管理單位、采購業(yè)務(wù)單位、科研和教學(xué)單位、軍內(nèi)終端客戶提供廣泛的信息服務(wù)。

實施信息安全管理,不僅能夠有效地提高信息系統(tǒng)的安全性、完整性、可用性以及對相關(guān)應(yīng)急采購任務(wù)的快速反應(yīng)能力,同時也是保障軍隊物資采購系統(tǒng)科學(xué)發(fā)展,為軍隊提供最優(yōu)保障力的重要手段。

一、軍隊物資采購信息安全風(fēng)險

在軍隊物資采購活動中,存在各種各樣的風(fēng)險,都對采辦的結(jié)果產(chǎn)生不同程度的影響。根據(jù)風(fēng)險產(chǎn)生對象的不同,將風(fēng)險分為人為風(fēng)險、系統(tǒng)風(fēng)險、數(shù)據(jù)風(fēng)險等三個方面。

(一)人為風(fēng)險。

人是信息安全最主要的風(fēng)險因素,不適當(dāng)?shù)男畔⑾到y(tǒng)授權(quán),會導(dǎo)致未經(jīng)授權(quán)的人獲取不適當(dāng)?shù)男畔ⅰ2少徣藛T的操作失誤或疏忽會導(dǎo)致信息系統(tǒng)的錯誤動作或產(chǎn)生垃圾信息;違規(guī)篡改數(shù)據(jù)、修改系統(tǒng)時間、修改系統(tǒng)配置、違規(guī)導(dǎo)入或刪除信息系統(tǒng)的數(shù)據(jù),可能導(dǎo)致各種重大采購事故的發(fā)生。有令不行、有禁不止等人為因素形成的風(fēng)險,是軍隊物資采購信息安全的最大風(fēng)險。

(二)系統(tǒng)風(fēng)險。

系統(tǒng)風(fēng)險包括系統(tǒng)開發(fā)風(fēng)險和系統(tǒng)運(yùn)行風(fēng)險。在采購項目開發(fā)過程中沒有考慮到必要的信息系統(tǒng)安全設(shè)計,或安全設(shè)計存在缺陷,都會導(dǎo)致采辦信息系統(tǒng)安全免疫能力不足。沒有完善、嚴(yán)格的生產(chǎn)系統(tǒng)運(yùn)行管理體制,會導(dǎo)致機(jī)房管理、口令管理、授權(quán)管理、用戶管理、服務(wù)器管理、網(wǎng)絡(luò)管理、備份管理、病毒管理等方面出現(xiàn)問題,輕則產(chǎn)生垃圾信息,重則發(fā)生系統(tǒng)中斷、信息被非法獲取。

當(dāng)前的采購信息系統(tǒng)已是一個龐大的網(wǎng)絡(luò)化系統(tǒng),在網(wǎng)絡(luò)內(nèi)存在眾多的中小型機(jī)、服務(wù)器、前置機(jī)、路由器、終端設(shè)備,也包括數(shù)據(jù)庫、操作系統(tǒng)、中間件、應(yīng)用系統(tǒng)等軟件系統(tǒng)。網(wǎng)絡(luò)系統(tǒng)中的任何一個環(huán)節(jié)都有可能出現(xiàn)故障,一旦出現(xiàn)故障便有可能造成系統(tǒng)中斷,影響業(yè)務(wù)正常運(yùn)作。同時,由于自然災(zāi)害、戰(zhàn)爭等突發(fā)事件造成的系統(tǒng)崩潰、數(shù)據(jù)載體不可修復(fù)性損失等等,都能夠給采購信息系統(tǒng)帶來很大的影響。

(三)數(shù)據(jù)風(fēng)險。

數(shù)據(jù)是信息的載體,也是軍隊物資采購系統(tǒng)最重要的資產(chǎn)。對數(shù)據(jù)的存儲、處理、獲取、和共享均需要有一套完整的流程和審批制度,沒有健全的數(shù)據(jù)管理制度,便存在導(dǎo)致數(shù)據(jù)信息泄露的風(fēng)險。

二、軍隊物資采購信息安全的內(nèi)容

通過對信息安全定義的查詢,可以看到其是根據(jù)不同的環(huán)境情況各自不同的。在相對受到專業(yè)影響較小的國際標(biāo)準(zhǔn)ISOl7799信息安全標(biāo)準(zhǔn)中,信息安全是指:使信息避免一系列威脅,保障商務(wù)的連續(xù)性,盡量減少業(yè)務(wù)損失,從而最大限度地獲取投資和商務(wù)的回報。

對于軍隊物資采購系統(tǒng),信息安全管理則應(yīng)該堅持系統(tǒng)和全局的觀念,基于平戰(zhàn)結(jié)合、立足應(yīng)急保障的思想,指導(dǎo)組織建立安全管理體系。通過系統(tǒng)、全面、科學(xué)的安全風(fēng)險評估,體現(xiàn)“積極預(yù)防、綜合防范”的方針,強(qiáng)調(diào)遵守國家有關(guān)信息安全的法律法規(guī)及其他合同方要求,透過全過程和動態(tài)控制,本著控制費(fèi)用與風(fēng)險平衡的原則,合理選擇安全控制方式,保護(hù)組織所擁有的關(guān)鍵信息資產(chǎn),使信息風(fēng)險的發(fā)生概率降低到可接受的水平,確保信息的保密性、完整性和可用性,保持組織業(yè)務(wù)運(yùn)作的持續(xù)性。

(一)保密性。

信息安全的保密性,在確保遵守軍隊保密守則規(guī)定的前提下,確保信息僅可讓授權(quán)獲取的相關(guān)人員訪問。結(jié)合當(dāng)前的狀況,軍隊物資采購系統(tǒng)的信息安全保密應(yīng)當(dāng)做熟嚴(yán)格分崗授權(quán)制衡機(jī)制,杜絕不相容崗位兼崗現(xiàn)象;嚴(yán)格用戶管理和授權(quán)管理,防止非法用戶,用戶冗余和用戶授權(quán)不當(dāng);加強(qiáng)密碼管理,防止不設(shè)口令或者口令過于簡熟加強(qiáng)病毒防范管理,防范病毒損氰控制訪問信息,組織非法訪問信息系統(tǒng)確保對外網(wǎng)絡(luò)服務(wù)得到保護(hù),陰止非法訪問網(wǎng)絡(luò);檢測非法行為,防范道德風(fēng)險;保證在使用移動電腦和遠(yuǎn)程網(wǎng)絡(luò)設(shè)備時的信息安全,防止非法攻擊。

(二)完備性。

信息安全的完備性,是指信息準(zhǔn)確和具備完善的處理方法。具體要求是:嚴(yán)格采購業(yè)務(wù)流程管理,確保采購業(yè)務(wù)流程與采購信息系統(tǒng)操作流程完備一熟嚴(yán)格控制生產(chǎn)系統(tǒng)數(shù)據(jù)修改,防止數(shù)據(jù)丟失。防止不正確修改,減少誤操作;嚴(yán)格數(shù)據(jù)管理,確保數(shù)據(jù)得到完整積累與保全,使系統(tǒng)數(shù)據(jù)能夠真實、完整地反映采購業(yè)務(wù)信息;嚴(yán)格按照軍隊關(guān)于物資采購規(guī)定和要求操作,減少或杜絕非標(biāo)業(yè)務(wù)。避免任何違反法令、法規(guī)、合同約定及易導(dǎo)致業(yè)務(wù)信息與數(shù)據(jù)信息不一致、不完整的行為。

(三)可用性。

信息安全的可用性,要求確保被授權(quán)人可以獲取所需信息。具體要求是:加強(qiáng)生產(chǎn)系統(tǒng)運(yùn)行管理,確保生產(chǎn)系統(tǒng)安全、穩(wěn)定、可靠運(yùn)行;加強(qiáng)生產(chǎn)機(jī)房建設(shè)與管理,保障機(jī)房工作環(huán)境所必需的濕度、溫度、電源、防火、防水、防靜電、防雷、限制進(jìn)人等要求,減少安全隱患;加強(qiáng)生產(chǎn)系統(tǒng)日常檢查管理,及早發(fā)現(xiàn)故障苗頭;加強(qiáng)系統(tǒng)備份,防止數(shù)據(jù)損失;嚴(yán)格生產(chǎn)系統(tǒng)時間管理,禁止隨意修改生產(chǎn)系統(tǒng)時間;保障系統(tǒng)持續(xù)運(yùn)標(biāo)實施災(zāi)難備份,防止關(guān)鍵業(yè)務(wù)處理在災(zāi)難發(fā)生時受到影響。

三、軍隊物資采購信息安全管理

(一)信息安全機(jī)構(gòu)。

軍隊物資采購系統(tǒng)應(yīng)分出專人專職來負(fù)責(zé)信息安全管理工作,并協(xié)同上級業(yè)務(wù)管理單位制定信息安全管理制度和工作程序,設(shè)定安全等級,評估安全風(fēng)險程度,落實防范措施方案,提出內(nèi)控體系整改方案與措施,監(jiān)督和評估信息安全管理成效。在與上級總部和軍區(qū)、軍兵種物油部管理機(jī)構(gòu)之間還要有一個快速響應(yīng)的信息安全事故收集、匯總、處理及反饋體系。

(二)信息安全管理制度與策略。

信息安全管理制度應(yīng)針對軍隊物資采購系統(tǒng)現(xiàn)狀與發(fā)展方向來制定,要充分考慮可操作性。現(xiàn)階段可根據(jù)“積極防御、綜合防范”的方針,制定內(nèi)部網(wǎng)、OA網(wǎng)、外部網(wǎng)的管理辦法,明確用戶的訪問權(quán)限。制定生產(chǎn)系統(tǒng)運(yùn)行管理辦法。嚴(yán)格實行分崗制衡、分級授權(quán),嚴(yán)格執(zhí)行生產(chǎn)系統(tǒng)時間管理、備份管理、數(shù)據(jù)管理和口令管理。

(三)信息安全分級管理。

信息安全分級管理,是將信息資源根據(jù)重要性進(jìn)行分級,對不同級別的信息資產(chǎn)采用不同級別信息安全保護(hù)措施,國家已將信息安全等級保護(hù)監(jiān)督劃分為五個級別,分別為自主性保護(hù)、指導(dǎo)性保護(hù)、專控性保護(hù)。

軍隊物資采購系統(tǒng)可以結(jié)合實際情況,將信息資產(chǎn)分為“三級”或“五級”保護(hù),目的在于突出重點,抓住關(guān)鍵,兼顧一般,合理保護(hù)。分級管理的方法是分析危險源或危險點,評估其重要性,再分設(shè)等級,從而采取不同的保護(hù)措施。比如,對于采購機(jī)構(gòu)業(yè)務(wù)機(jī)房,可采取門禁與限制進(jìn)入等方式進(jìn)行保護(hù);針對采購中相關(guān)數(shù)據(jù)的提供,可設(shè)計一定的審判流程,根據(jù)數(shù)據(jù)的重要程度,分為公開信息、優(yōu)先共享信息、內(nèi)部一般信息、內(nèi)部控制信息、內(nèi)部關(guān)鍵信息和內(nèi)部核心信息,實施嚴(yán)格的授權(quán)控制;對于信息安全事故,可分為重大事故、一般事故、輕微事故等,采取不同的處置方案。

(四)信息安全集中監(jiān)控與處置。

設(shè)立集中運(yùn)行的信息安全監(jiān)控處置中心,及時監(jiān)控、發(fā)現(xiàn)安全事故,做到響應(yīng)快速、處置果斷,并實施應(yīng)急恢復(fù)。結(jié)合軍隊物資采購系統(tǒng)當(dāng)前實際情況,可對網(wǎng)絡(luò)、服務(wù)器等運(yùn)行設(shè)備進(jìn)行集中監(jiān)控,開展服務(wù)器容量管理、網(wǎng)絡(luò)流量監(jiān)控;對應(yīng)用系統(tǒng)采取防范與監(jiān)控相結(jié)合的方式,對信息系統(tǒng)的數(shù)據(jù)設(shè)置校驗碼,防止非法修改;在開發(fā)應(yīng)用系統(tǒng)的同時,還應(yīng)開發(fā)相應(yīng)的審計檢查監(jiān)控程序,由各單位分別運(yùn)行和維護(hù),由上級采購管理機(jī)構(gòu)定期查驗和監(jiān)督,及時發(fā)現(xiàn)數(shù)據(jù)信息存在的風(fēng)險。

四、信息安全管理系統(tǒng)

實現(xiàn)信息安全管理的集中運(yùn)行,需借助信息安全管理系統(tǒng)。各軍隊采購機(jī)構(gòu)和部門可以按照上級下達(dá)的統(tǒng)一標(biāo)準(zhǔn),構(gòu)建基于同一操作平臺的信息安全管理系統(tǒng),幫助安全管理中心實現(xiàn)系統(tǒng)的監(jiān)控、分析、預(yù)警等功能,實現(xiàn)信息安全事故處理的收集、存儲、分析等功能,及時對信息風(fēng)險作出反饋。

(一)監(jiān)控功能。

為采辦機(jī)構(gòu)和部門的相關(guān)信息處理和傳輸設(shè)備配置專人管理,并設(shè)置機(jī)房日志管理、服務(wù)器性能日志管理、服務(wù)器容量日志管理、數(shù)據(jù)修改日志管理、流量監(jiān)控日志等功能,酌情設(shè)置數(shù)據(jù)檢測結(jié)果日志管理功能。通過對存儲、傳輸和刪改的操作進(jìn)行管理,達(dá)到監(jiān)督控制的目的。

(二)處理功能.

根據(jù)采辦單位所在環(huán)境和情況,自主設(shè)置安全事故報告、響應(yīng)、處置等采辦信息管理功能,對于高級別信息,也可以采用每天零報告措施。通過信息處理的簡化、優(yōu)化和快速反應(yīng),提高信息安全保障能力,從而保證軍隊采購的正常進(jìn)行。

(三)安全等級管理功能。

針對采辦單位自身特點,設(shè)置信息資產(chǎn)、危險源、危險點定義與分級功能,對于不同級別的信息安全危機(jī)設(shè)定不同的保護(hù)等級,并采取不同的保護(hù)措施、監(jiān)控措施、事故響應(yīng)與處置措施,保證系統(tǒng)的穩(wěn)定性和完好性。