信息安全方針和策略范文
時間:2024-03-06 17:36:15
導語:如何才能寫好一篇信息安全方針和策略,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。
篇1
【關鍵詞】 等級保護 電力調度 管理制度
引言
我單位開展了信息安全等級保護安全建設整改、等級測評等工作。然而,隨著整改進程的深入,建立規范、高效、安全的信息系統運行維護和管理體系,如何將等級保護中的管理制度與本單位自身的安全生產、班組文化等制度結合,給管理工作帶來了新的挑戰,通過建立等級保護管理制度體系能夠更全面的提高電力調度系統運維管理層次,實現信息系統、數據資源集成整合和綜合高效利用,支撐實現電力調度的信息化發展目標。本文結合筆者在信息安全管理中的實踐和理解,對等級保護管理體系在工作中的應用提出一些個人的想法,供讀者借鑒。
一、建立等級保護制度體系目的和意義
為更好的提高信息安全保障能力和水平,依據《信息安全等級保護管理辦法》(公通字[2007]43號)、國家電網公司《信息系統安全等級保護建設的實施指導意見》(信息運安[2009]27號)、《SG186工程信息系統安全等級保護驗收標準(試行)》(信息運安[2009]44號)、《關于加強電力二次系統安全防護和等級保護工作的通知》(調自〔2012〕65號)等要求。進一步加強電力調度系統重要信息系統的安全保護,落實國網公司關于信息安全等級保護和安全防護體系建設的總體要求,我單位開展了信息安全等級測評和整 改工作。
二、等級保護管理制度體系分析
等級保護管理制度體系提供了對組織機構中信息系統全生存周期過程實施符合安全等級責任要求的管理,包括落實安全管理機構及人員,明確角色與職責,制定安全規劃、開發安全策略、實施風險管理、進行監控、檢查,處理安全事件等,具體落實在要求則體現在等級保護測評指標中,等級保護管理要求如圖1所示。
三、等級保護管理體系建設實踐
在具體落實管理體系過程中,應結合原有的信息化管理制度,貫徹建立管理制度文件層級化和流程化管理概念,將方針策略、管理制度、操作規程和記錄表單等文件科學的管理運作;將信息化安全管理方針策略定義為一層策略文件;將溝通管理、信息化人員管理、授權與審批管理、文件規范性管理、介質管理、資產管理、網絡管理、系統管理、安全事件與應急管理、備份與恢復管理等方面定義為二層制度文件,落實一層文件中涉及的各方面運維和安全管理內容;將信息化運維管理的操作指導規范等定義為三層流程文件,支撐二層制度文件的具體操作;將所有信息化運維相關的表格定義為四層表格文件,落實并規范化所有運維操作,融合和動態的管理當前使用的管理制度體系結構,如圖2所示。
3.1安全管理的原則
1)基于安全需求原則:組織機構應根據其信息系統擔負的使命,積累的信息資產的重要性,可能受到的威脅及面臨的風險分析安全需求,遵從相應等級的規范要求,從全局上恰當地平衡安全投入與效果;
2)主要領導負責原則:主要領導應確立其組織統一的信息安全保障的宗旨和政策,負責提高員工的安全意識,組織有效安全保障隊伍,調動并優化配置必要的資源,協調安全管理工作與各部門工作的關系,并確保其落實、有效;
3)全員參與原則:信息系統所有相關人員應普遍參與信息系統的安全管理,并與相關方面協同、協調,共同保障信息系統安全;
4)持續改進原則:安全管理是一種動態反饋過程,貫穿整個安全管理的生存周期,隨著安全需求和系統脆弱性的分布變化,應及時地將現有的安全策略、風險接受程度和保護措施進行復查、修改、調整以至提升安全管理等級,維護和持續改進信息安全管理體系;
5)分權和授權原則:對特定職能或責任領域的管理功能實施分離、獨立審計等實行分權,避免權力過分集中所帶來的隱患,以減小未授權的修改或濫用系統資源的機會。
3.2管理制度體系框架構建
3.2.1工作目標
建立安全管理組織并落實各個部門信息安全責任人,明確組織內各機構人員責任和工作職能,確定信息安全管理體系方針策略,編制形成信息安全方針策略文件。
3.2.2建立信息安全管理組織
(1)建立信息安全管理組織架構
信息安全領導機構:供電公司信息化領導小組,主要負責對單位信息安全制定總體安全策略、監督和協調各項安全措施在單位的執行情況、設立落實信息安全責任。由供電公司分管領導擔任組長,小組成員為各個部門負責人組成。
(2)明確各相關機構和崗位角色的責任和職能
建立相應的職責文件,明確各相應領導、部門、崗位的職責。調度通信中心應設立信息安全工作的各關鍵崗位,如安全管理員、網絡管理員、操作系統管理員和數據庫管理員等,并將之與班組人員結合,并重視信息化人員的培養。
3.2.3確定安全管理總體方針策略
安全管理方針策略是為組織的每一個人提供基本的規則、指南、定義,從而在組織中建立一套信息資源保護標準,防止員工的不安全行為引入風險。同時,還是進一步制定控制規則、安全程序的必要基礎。應當目的明確、內容清楚,能廣泛地被組織成員接受與遵守,且要有足夠靈活性、適應性,能涵蓋較大范圍內的各種數據、活動和資源。可以使員工了解與自己相關的信息安全保護責任,強調安全對組織業務目標的實現、業務活動持續運營的重要性。
安全方針策略屬于高層管理文件,簡要陳述信息安全宏觀需求及管理承諾,應該篇幅短小,內容明確。信息安全方針應當簡明、扼要,便于理解,至少應包括以下內容:
(1)信息安全的定義,總體目標、范圍,安全對信息共享的重要性;
(2)管理層意圖、支持目標和信息安全原則的闡述;
(3)信息安全控制的簡要說明,以及依從法律、法規要求對組織的重要性;
(4)信息安全管理的一般和具體責任定義,包括報告安全事故;
(5)信息安全策略的主要功能就是要建立一套安全需求、控制措施及執行程序,定義安全角色賦予管理職責,陳述組織的安全目標,為安全措施在組織的強制執行建立相關輿論與規則的基礎。
3.3管理制度體系策略建立
3.3.1工作目標
建立覆蓋信息工作的全部文件,包含安全策略、制度、規定規范、表單,完善所有活動流程管理。
3.3.2建立體系策略制度文件
信息安全策略是組織信息安全活動的最高方針,需要根據信息工作的實際情況,分別制訂不同的信息安全策略。應該簡單明了、通俗易懂,并形成書面文件,發給單位內的所有成員。同時要對所有相關員工進行信息安全策略的培訓,以使信息安全方針真正植根于單位內所有員工的腦海并落實到實際工作中。根據本單位實際情況,建立的策略文件,所有文件均需進行論證和評審。
(1)信息安全管理策略
作為所有系統的指導性方針文件,提供信息安全的基本規則、指南、定義。依據本策略應制定各管理制度、操作和使用規范。
(2)系統運維安全管理策略
作為所有系統運行維護的指導性方針文件,提供系統安全運行維護的基本規則、指南、定義。依據本策略應制定系統運行維護中相關的各種管理制度和規定,以及控制各項活動的記錄表單和審批流程。應覆蓋機房、網絡、系統、資產、備份、日常運維等所有運行維護工作的范圍。
(3)系統建設安全管理策略
作為所有信息化工作建設的指導性方針文件,提供信息工作相關的建設安全管理的基本規則、指南、定義。依據本策略應形成項目管理、采購管理、工程實施管理、測試及驗收管理等建設管理的全過程管理制度,相應的控制表單和審批規定。
(4)人員安全管理策略
由于在系統、運維、建設方面已經對人員在該活動中的行為做了要求,人員安全管理主要需要考慮的問題是錄用、離崗、保密、教育培訓、考核及外來人員方面的管理,也可以直接制定比較詳細的人員安全管理制度。
(5)管理流程
梳理并完善各種活動的詳細流程圖,任何針對信息系統的活動均有流程可依據進行控制管理。如事件管理流程、變更管理流程等。
(6)其他輔助制度
建立輔助文件,如對以上策略、制度、表單等進行管理的文件管理制度、保密制度、信息規定等。
3.4管理制度體系運作落實
3.4.1工作目標
逐項實施,直至體系全面運行,監督落實安全策略制度,找出體系中的不適用和缺陷。
3.4.2實施
經過第一和第二階段的工作,理論上單位已初步形成完整的信息安全管理體系,但體系是否能正常運作發揮作用,需要對體系進行驗證,驗證的方法就是運行體系。
體系的運行分幾步進行:
對通過論證評審的文件,通過正規渠道正式發文的方式進行,的文件根據情況決定是否采取“征求意見稿”或“暫行”;
文件前召集相關部門的負責人學習文件,并要求確保落實力度;
的文件要求相關部門組織學習,并依照實施;
各相關部門對運行的文件制度運行情況進行收集,存在實際困難無法落實的報評審組織評審適用性;
對“征求意見稿”的文件,必須從實施的相關部門采集意見。
體系實施階段可以在體系建立階段同步開展,建立部門策略制度后,通過論證評審即可進行試運行,不需等全套文件完成。
3.4.3監督
指定或成立跨部門監督機構、人員,對文件實施的過程進行監督管理,制定相應的懲戒措施,對落實情況進行監督檢查,對違反文件實施和實施不力的部門或人員進行懲戒,切實落實文件的有效實施。收集監督過程中發現的文件問題、人員實施問題方面資料,反饋到編制組織。
本階段是系統建立的關鍵階段,是信息安全管理體系要分析運行效果,尋求改進機會的階段。如果發現一個控制措施不合理、不充分,就要采取糾正措施,以防止信息系統處于不可接受風險狀態。必須強調相關領導應重視本階段工作,并且從實際上支持和推動實施工作。且應加大學習培訓和監督力度,落實懲戒措施。讓文件涉及的相關部門和相關人員熟知該文件并能按要求準確執行。
3.5管理制度體系細化調整
3.5.1工作目標
總結體系運行情況,調整不適用和無法落實的部分,完善體系,使之能高效、有序的運作。
3.5.2評審
評審有兩個環節,第一個環節是針對出現的問題進行審核,論證其原因,進行改正完善。第二個環節是在大部分問題解決后、體系正常的情況下全面評審體系文件、組織、活動是否達到預期目標。
首先,信息安全領導小組組織相關部門人員,對體系實施中發現的問題進行審核,對落實不力的部門責成落實;對實際存在的問題進行論證,提出解決辦法;對不適用的文件或部分進行論證評審,確實存在不適用的文件則組織相關人員進行修訂,轉入修訂環節,對于不適用且沒必要存在的文件進行廢止。
而后,對于本階段計劃時間內反饋沒發現問題的文件,組織相關部門評審試行效果,達到預期要求則作為正式版運行,并采用持續優化階段的方式進行管理,未達預期目的則轉入重新編制程序。
3.5.3修訂
對于存在問題的策略文件,組織該策略文件涉及最多的主體部門和其他相關部門人員成立臨時修訂機構,針對文件存在問題進行修訂。修訂后進行新版本的頒布,同時該文件轉入落實階段。
3.5.4測評
經過細化調整,不斷地審核修訂后,體系應已基本完善,此時轉入評審的第二環節。按照符合等級保護要求的預期目標,委托等級保護測評機構進行等級保護測評,在保證客觀、合規、公正的前提下,對單位信息安全體系進行全面評審。整體測評后,對不滿足要求的部分進行整改,整改完成后轉入實施階段,直至符合要求。
3.6管理制度體系持續優化
通過前四個階段的工作,信息安全管理體系應基本穩定、成熟,后期的工作在于保持并進行不斷地優化。把經過檢驗的文件作為常態的管理遵循依據,在日常工作中保持,不因試行結束而松懈。部門和人員應把試行期間依照文件要求形成的工作模式進一步完善保持,在未發生異常情況之前,始終按照正式版本執行。定期進行評審,找出不適用部分進行優化調整;結合工作實際,尋求更高效安全的方法優化體系,提高效能。
篇2
1 社區衛生服務中心信息安全背景
20世紀90年代以來,信息技術不斷創新,信息產業持續發展,信息網絡廣泛普及,特別是原衛生部《衛生信息化發展規劃(2011~2015年)》之后,明確了衛生信息化是深化醫藥衛生體制改革的重要內容。那么作為整個衛生信息化體系的“網底”的社區衛生服務中心,其重要性不言而喻。隨著衛生信息化的建設不斷擴展和深入,依托于區域衛生信息中心的各類應用系統不斷上線推廣應用。網絡與數據安全已逐步成為各項衛生信息工作開展的重要基礎依托。因此社區衛生服務中心作為區域衛生信息中心的重要結點。信息安全管理就顯得尤為重要。
2 什么是信息安全管理
“三分技術,七分管理”是信息安全保障工作中經常提到的。可見,信息安全管理是信息安全保障的至關重要的組成部分。信息安全管理(Information Security Management)指組織中為了完成信息安全目標,遵循安全策略,按照規定的程序,運用恰當的方法,而進行的規劃、組織、指導、協調和控制等活動。作為組織完成的管理體系中的一個重要環節,它構成了信息安全具有能動性的部分,是指導和控制組織相互協調完成關于信息安全風險的活動,其對象就是包括人員在內的各類信息相關資產。在社區衛生服務中心由于信息系統應用較為廣泛,基本包含了醫療、護理、醫技、行政等所有科室及其人員。
長期以來,社區衛生服務中心在信息安全建設方面,存在重技術輕管理、重產品功能輕安全管理、缺乏整體性信息安全體系考慮等各方面的問題。區域衛生信息中心采用集中管理的信息安全技術及產品的應用,一定程度上可以來解決社區衛生服務中心在網絡傳輸時的信息安全問題。但是僅僅靠這些產品和技術還不夠,即使采購和使用了足夠先進、足夠多的信息安全產品,仍然無法避免一些信息安全事件的發生。近年來,由于管理不善、操作失誤等原因導致的衛生信息及病患基本信息泄露的安全事件數量不斷攀升,更加劇了社區衛生服務中心需要信息安全管理的迫切性。
3 社區衛生服務中心信息安全管理作用
社區衛生服務中心信息安全管理的作用體現任以下幾個方面。
3.1信息安全管理是社區衛生服務中心組織整體管理的重要的、固有的組織部分,是組織實現中心業務目標的重要保障。在信息時代的今天,信息安全威脅已經成為社區衛生服務中心等醫療機構業務正常運營和持續發展的最大威脅。如在社區衛生服務中心發生的費用結算85%以上通過醫保信息系統來進行,所有的醫生工作站都依托中心服務器來提供數據進行操作,醫技部門也通過信息系統獲取病人信息和傳送結果。一旦信息系統發生故障對于社區衛生服務中心來說是災難性的。因此中心需要信息安全管理,有其必然性。
3.2信息安全管理是信息安全技術的融合劑,是各項技術措施能夠發揮作用的重要保障。安全技術是信息安全控制的重要手段,許多信息系統的安全性保障都要依靠技術手段來實現,但光有安全技術還不行,要讓安全技術發揮應有的作用,必然要有適當的管理程序的支持,否則,安全技術職能趨于僵化和失敗。如果說安全技術是信息安全的構筑材料,那么信息安全管理就是融合劑和催化劑,良好的管理可以變廢為寶,使現有的各項技術相互配合發揮應有的作用,而糟糕的管理會使技術措施變得毫無用處。實現信息安全,技術和產品是基礎,管理才是關鍵。在信息安全保障工作中必須管理與技術并重,進行綜合防范,才能有效保障安全,這也是實現信息安全目標的必由之路
3.3信息安全管理是預防、阻止或減少信息安全事件發生的重要保障。早期人們對于信息安全的認識主要側重在技術措施的開發和利用上,這種技術主導論的思路能夠解決信息安全的一部分問題,但卻解決不了根本,據權威機構統計表明,信息安全問題大約70%以上是由管理方面原因造成的,大多數信息安全事件的發生,與其說是技術上的原因,不如說是管理不善造成的。因此解決信息安全問題、防止發生信息安全事件不應僅從技術方面著手,同時更應加強信息安全的管理工作。
信息安全涉及的范疇非常廣,信息安全不是產品的簡單堆積,也不是一次性的靜態過程,它是人員、技術、操作三者緊密結合的系統工程,是不斷演進、循環發展的動態過程。因此,要求社區衛生服務中心的相關人員正確理解信息安全、理解信息安全管理的關鍵作用,以更好地開展信息安全管理工作。強調信息安全管理的作用,并不是要削弱信息安全技術的作用;開展信息安全管理工作,要處理好管理和技術的關系,要堅持管理與技術并重的原則,這也是信息安全保障工作的主要原則之一。
4 社區衛生服務中心信息安全管理控制措施
在我國對于信息安全等同采用IS0 27002:2005,命名為《信息技術安全技術信息安全管理實用規則》(GB/T 22081-2008)。信息安全是通過實施一組合適的控制措施而達到的,包括策略、過程、規程、組織結構以及軟件和硬件功能。可見對于社區衛生服務中心的信息安全來說,安全控制措施是必要且十分重要的。其中比較重要的如下:
4.1安全方針 社區衛生服務中心的信息安全方針控制目標,是指中心的信息安全方針能夠依據業務的要求和相關法律法規提供管理指導并支持信息安全。社區衛生服務中心信息安全方針文件的內容應包含中心管理者的管理承諾、組織管理信息安全的方法、中心信息安全整體目標和范圍的定義、中心管理者意圖的聲明、控制目標和控制措施的框架、重要安全策略、原則、標準和符合性要求說明、中心信息安全管理的一般和特定職責的定義、支持方針的文件的引用等。
4.2信息安全組織 信息安全組織一般分為內部組織和外部組織。社區衛生服務中心內部組織的信息安全控制目標是指在中心內管理信息安全。組織的安全建立在每一位人員不同責任分工的劃分,不同的責任會有不同的工作指導原則。其中應當包括信息安全的管理承諾、信息安全協調、信息安全職責的分配、信息處理的授權、保密協議、信息安全的獨立評審等。社區衛生服務中心外部組織的信息安全控制目標是保持中心被外部各方訪問、處理、管理或與外部進行通信的信息和信息處理的安全。主要包括中心與系統外單位信息通信相關風險的識別、處理相關的安全問題和處理第三方協議中的安全問題等。
4.3人力資源安全 人員在中心的信息安全管理中是一個最重要的因素,有資料表明,70%的安全問題是來自人員管理的疏漏,為了對人員有一個有效的管理,需要從任用之前、任用中、任用的終止或變更三項控制目標進行管理。
4.3.1任用之前控制是指社區衛生服務中心任用人員之前為了確保人力資源的安全,需考慮到角色是否適合相應崗位,以降低設施被竊、信息泄露和誤用的風險,這一目標的實現需通過角色和職責、審查、任用條款和條件三項控制措施的落實來保障。
4.3.2任用中社區衛生服務中心的信息安全控制目標就是確保所有的員工、承包方人員和第三方人員知悉信息安全威脅和利害關系、他們的職責和義務、并準備好在其正常工作過程中支持組織的安全方針,以減少人為過失的風險。
4.3.3社區衛生服務中心發生任用的終止或變更時,應確保信息的安全不外泄,確保員工、承包方人員和第三方人員以一個規范的方式退出或改變其任用關系。可以通過終止職責、資產的歸還、撤銷訪問權限等控制措施來實現。
4.4物理和環境安全 社區衛生服務中心的物理和環境安全可以從安全區域和設備安全來入手管理。定義安全區域是為了防止對中心場所和信息的未授權物理訪問、損壞和干擾。可以通過設置物理安全邊界、物理入口控制、辦公室房間和設施的安全保護、外部和環境的安全防護、在安全區域工作、公共訪問和交接區安全。設備安全是指防止由于資產丟失、損壞、失竊而危及社區衛生服務中心的資產安全以及信息安全。中心可通過設備安置和保護、支持性設施、布纜安全、設備維護、場所外的設備安全、設備的安全處置和再利用,資產的移動等措施來進行保障。
4.5通信和操作管理 社區衛生服務中心的通信和操作管理一般可從操作規程和職責、第三方服務交付管理、系統規劃和驗收、防范惡意和移動代碼、備份、網絡安全管理、介質處置、信息的交換、電子商務服務、監視等方面入手。
4.6訪問控制 對于社區衛生服務中心來說,訪問控制可從訪問控制的業務要求、用戶訪問管理、用戶職責、網絡訪問控制、操作系統訪問控制、應用和信息訪問控制、移動計算和遠程工作等控制目標來入手。
4.7信息安全事件管理 社區衛生服務中心的信息安全事件管理可以從報告信息安全事態和弱點、信息安全事件和改進的管理兩個控制目標入手進行管理。
4.7.1報告信息安全事態和弱點這項控制目標旨在確保中心與信息系統有關的信息安全事態和弱點能夠以某種方式傳達,以便及時采取糾正措施。該目標下有報告信息安全事態和報告安全弱點這兩項控制措施來保障這一目標的實現。①報告信息安全事態控制措施,是指信息安全事態應該盡可能快地通過適當的管理渠道進行報告。實施過程中應建立正式的信息安全事態報告程序,以及在收到信息安全事態報告后采取措施的事件響應和上報程序。②報告安全弱點控制措施,是指中心應要求信息系統和服務的所有職員、承包方人員和第三方人員記錄并報告他們觀察到的或懷疑的任何系統或服務的安全弱點。報告機制應盡可能容易、易理解和方便可用。應告知他們在任何情況下,都不應試圖去證明被懷疑的弱點。
4.7.2信息安全事件和改進的管理。社區衛生服務中心信息安全事件和改進的管理這一控制目標旨在確保采用一致和有效的方法對信息安全事件進行管理。中心可以用職責和程序的控制措施、對信息安全事件的總結、證據的收集三項控制措施來保障這一目標的實現。①職責和程序的控制措施。它是指中心應當建立管理職責和程序,以確保能對信息安全事件做出快速、有效和有序的響應。該項措施實施時除了對中心的信息安全事態和弱點進行報告外,還應利用對系統、報警和脆弱性的監視來檢測中心信息安全事件。遵循嚴格的信息安全事件管理程序的前提是中心需建立規程以處理不同類型的信息安全事件,如惡意代碼、拒絕服務、信息系統故障和服務丟失、違反保密性和完整性、信息系統誤用等。中心除了考慮正常的應急計劃還要考慮事件原因的分析和確定、遏制事件影響擴大的策略、向合適的機構報告所采取的措施等。②中心對信息安全事件的總結控制措施,是指社區衛生服務中心應有一套機制量化和監視信息安全事件的類型、數量和代價。從信息安全事件評價中獲取的信息應用來識別再發生的事件或高影響的事件。③證據的收集。證據的收集對于社區衛生服務中心來說,是指當中心的一個信息安全事件涉及到訴訟(民事的或刑事的),需要進一步對個人或組織進行起訴時,應收集、保留和呈遞證據,以使證據符合相關訴訟管轄權。過程有:為應對懲罰措施而收集和提交證據,應制定和遵循內部程序,為了獲得被容許的證據,中心應確保其信息系統符合任何公布的標準或實用規則來產生被容許的證據:任何法律取證工作應僅在證據材料的拷貝上進行。
4.8業務連續性管理 對于社區衛生服務中心來說業務連續性管理是指防止中心業務中斷,保證中心重要業務流程不受重大故障與災難的影響。業務連續性管理過程中包含信息安全,該控制措施是指應為貫穿于組織的業務連續性開發和保持一個管理過程。解決中心的業務連續性所需的信息安全要求,保護關鍵業務過程免受信息系統重大失誤或災難的影響,并確保他們的及時恢復。應包含中心的信息安全、業務連續性和風險評估、制定和實施包含信息安全的連續性計劃、業務連續性計劃框架、測試、維護和再評估業務連續性計劃等內容。
5 社區衛生服務機構信息安全的展望
對于社區衛生服務中心來說信息安全保障不僅僅是一門技術學科,信息安全保障應綜合技術、管理和人。在中心的管理上,信息安全保障應考慮建立綜合的信息化的組織管理體系,明晰相應的崗位職責、規章制度并嚴格執行等等。在人員上,應加強所有使用信息系統人員的安全意識和技能,以及中心從事信息系統專業人員的專業技能和能力。社區衛生服務中心的信息安全保障亦不是一種項目性的暫時行為,而是融入信息系統生命周期的全過程的保障。信息安全保障不是一種打補丁,頭疼醫頭、腳疼醫腳的臨時行為,而是一種系統化、體系化的保障過程。信息安全保障的目的不僅僅是保障信息系統本身,信息安全保障的根本目的是通過保障信息系統進而保障運行于信息系統之上的中心業務系統。信息安全保障應以業務為主導、以社區衛生服務中心的使命、社會職責和社會服務性為出發點和落腳點。社區衛生服務中心的信息安全保障不僅僅是孤立的自身的問題,信息安全保障是一個社會化的、需要各方參與的工作。信息安全保障不僅僅是孤立的自身的問題,信息系統需要電信、電力等基礎設施的支持、信息系統需要承擔保密、公共安全、國家安全等社會職責,信息安全保障工作是一個社會化的、需要各方參與的綜合的工作。社區衛生服務中心的信息安全保障是主觀和客觀的結合。沒有絕對的安全,信息安全保障并不提供絕對的安全,信息安全保障是討論風險和策略,討論適度安全。因此,它是一個需要持之以恒和不斷完善與發展的工作。
篇3
【關鍵詞】電力企業;信息網絡;安全體系
【中圖分類號】TP309【文獻標識碼】A【文章編號】1672-5158(2013)07-0498-02
引言
隨著電力企業不斷發展,信息化已廣泛應用于生產運營管理過程中的各個環節,信息化在為企業帶來高效率的同時,也為企業帶來了安全風險。一方面企業對信息化依賴性越來越強,尤其是生產監控信息系統及電力二次系統直接關系到電力安全生產;另一方面黑客技術發展迅速,今天行之有效的防火墻或隔離裝置也許明天就可能出現漏洞。因此,建設信息安全防護體系建設工作是刻不容緩的。
1 信息安全防護體系的核心思想
電力企業信息安全防護體系的核心思想是“分級、分區、分域”(如圖1所示)。分級是將各系統分別確定安全保護級別實現等級化防護;分區是將信息系統劃分為生產控制大區和管理信息大區兩個相對獨立區進行安全防護;分域是依據系統級別及業務系統類型劃分不同的安全域,實現不同安全域的獨立化、差異化防護。
2 信息安全防護系統建設方針
2.1整體規劃:在全面調研的基礎上,分析信息安全的風險和差距,制訂安全目標、安全策略,形成安全整體架構。
2.2分步實施:制定信息安全防護系統建設計劃,分階段組織項目實施。
2.3分級分區分域:根據信息系統的重要程度,確定該系統的安全等級,省級公司的信息系統分為二級和三級系統;根據生產控制大區和管理信息大區,劃分為控制區(安全I區)、非控制區(安全II區)、管理信息大區(III區);依據業務系統類型進行安全域劃分,二級系統統一成域,三級系統獨立成域。
2.4等級防護:按照國家和電力行業等級保護基本要求,進行安全防護措施設計,合理分配資源,做好重點保護和適度保護。
2.5多層防御:在分域防護的基礎上,將各安全域的信息系統劃分為邊界、網絡、主機、應用、數據層面進行安全防護設計,以實現縱深防御。
2.6持續改進:定期對信息系統進行安全檢測,發現潛在的問題和系統可能的脆弱性并進行修正;檢查防護系統的運行及安全審計日志,通過策略調整及時防患于未然;定期對信息系統進行安全風險評估,修補安全漏洞、改進安全防護體系。
3 信息安全防護體系建設探索
一個有效的信息安全體系是在信息安全管理、信息安全技術、信息安全運行的整體保障下,構建起來并發揮作用的。
3.1 建立信息安全管理體系
安全管理體系是整個信息安全防護體系的基石,它包括安全管理機構、安全管理制度、人員安全管理、系統建設管理、系統運維管理五個方面,信息安全組織機構的建立尤為重要。
3.1.1建立信息安全管理小組
建立具有管理權的信息安全小組,負責整體信息安全管理工作,審批信息安全方針,分配安全管理職責,支持和推動組織內部信息安全工作的實施,對信息安全重大事項進行決策。處置信息安全事件,對安全管理體系進行評審。
3.1.2分配管理者權限
按照管理者的責、權、利一致的原則,對信息管理人員作級別上的限制;根據管理者的角色分配權限,實現特權用戶的權限分離。對工作調動和離職人員及時調整授權,根據管理職責確定使用對象,明確某一設備配置、使用、授權信息的劃分,制訂相應管理制度。
3.1.3職責明確,層層把關
制訂操作規程要根據職責分離和多人負責的原則各負其責,不能超越自己的管轄范圍。系統維護時要經信息管理部門審批,有信息安全管理員在場,對故障原因、維護內容和維護前后情況做詳細記錄。
(1)多人負責制度 每一項與安全有關的活動必須有2人以上在場,簽署工作情況記錄,以證明安全工作已得到保障。
(2)重要崗位定期輪換制度 應建立重要崗位應定期輪換制度,在工作交接期間必須更換口令,重要技術文件或數據必須移交清楚,明確泄密責任。
(3)在信息管理中實行問責制,各信息系統專人專管。
3.1.5系統應急處理
制定信息安全應急響應管理辦法,按照嚴重性和緊急程度及危害影響的大小來確定全事件的等級,采取措施,防止破壞的蔓延與擴展,使危害降到最低,通過對事件或行為的分析結果,查找事件根源,徹底消除安全隱患。
3.2 建立信息安全技術策略
3.2.1物理安全策略
物理安全策略的目的是保護計算機系統、網絡服務器等硬件實體和通信鏈路免受自然災害、人為破壞和搭線攻擊;確保計算機系統有一個良好的工作環境;防止非法進入機房和各種偷竊、破壞活動的發生,抑制和防止電磁泄露等采取的安全措施。
3.2.2 網絡安全策略
網絡安全防護措施主要包括以下幾種類型:
(1)防火墻技術。通過防火墻配置,控制內部和外部網絡的訪問策略,結合上網行為管理,監控網絡流量分配,對于重要數據實行加密傳輸或加密處理,使只有擁有密鑰的授權人才能解密獲取信息,保證信息在傳輸過程中的安全。
(2)防病毒技術。根據有關資料統計,對電力信息網絡和二次系統的威脅除了黑客以外,很大程度上是計算機病毒造成的。當今計算機病毒技術發展迅速,對計算機網絡和信息系統造成很大的損害。采用有效的防病毒軟件、惡意代碼防護軟件,保障升級和更新的時效性,是行之有效的措施。
(3)安全檢測系統。通過專用工具,定期查找各種漏洞,監控網絡的運行狀況。在電力二次系統之間安裝IDS入侵檢測軟件等,確保對網絡非法訪問、入侵行為做到及時報警,防止非法入侵。
3.2.3安全策略管理
對建的電力二次系統必須在建設過程中進行安全風險評估,并根據評估結果制定安全策略;對已投運且已建立安全體系的系統定期進行漏洞掃描,以便及時發現系統的安全漏洞;定期分析本系統的安全風險,分析當前黑客非法入侵的特點,及時調整安全策略。
3.2.4 數據庫的安全策略
數據庫的安全策略包括安全管理策略、訪問控制策略和信息控制策略。但數據庫的安全問題最主要的仍是訪問控制策略。就訪問控制策略分類而言,它可以分為以下幾種策略。
(1) 最小特權策略: 是讓用戶可以合法的存取或修改數據庫的前提下,分配最小的特權,使得這些權限恰好可以讓用戶完成自己的工作,其余的權利一律不給。
(2) 數據庫加密策略: 數據加密是保護數據在存儲和傳遞過程中不被竊取或修改的有效手段。
(3)數據庫備份策略:就是保證在數據庫系統出故障時,能夠將數據庫系統還原到正常狀態。
(4)審計追蹤策略:是指系統設置相應的日志記錄,特別是對數據更新、刪除、修改的記錄,以便日后查證。
篇4
【關鍵詞】信息系統;信息安全;風險評估;評估方法
【中圖分類號】C931.6 【文獻標識碼】A 【文章編號】1672-5158(2012)09-0025-01
一、信息安全風險評估的評估實施流程
信息安全風險評估包括:資產評估、威脅評估、脆弱性評估、現有安全措施評估、風險計算和分析、風險決策和安全建議,在風險評估之后就是要進行安全整改。
網省公司信息系統風險評估的主要內容包括:資產評估、威脅評估、脆弱性評估和現有安全措施評估,一般采用全面風險評估的方法,以安全顧問訪談、管理問卷調查、安全文檔分析等方式,并結合了漏洞掃描、人工安全檢查等手段,對評估范圍內的網絡、主機以及相應的部門的安全狀況進行了全面的評估,經過充分的分析后,得到了信息系統的安全現狀。
二、信息安全風險評估實施方法
2.1 資產評估
網省公司資產識別主要針對提供特定業務服務能力的應用系統展開,通常一個應用系統都可劃分為數據存儲、業務處理、業務服務提供和客戶端四個功能部分,這四個部分在信息系統的實例中都顯現為獨立的資產實體,例如:典型的協同辦公系統可分為客戶端、Web服務器、Domino服務器、DB2數據庫服務器四部分資產實體。綜合考慮資產的使命、資產本身的價值、資產對于應用系統的重要程度、業務系統對于資產的依賴程度、部署位置及其影響范圍等因素評估信息資產價值。資產賦值是資產評估由定性化判斷到定量化賦值的關鍵環節。
2.2 威脅評估
威脅評估是通過技術手段、統計數據和經驗判斷來確定信息系統面臨的威脅的過程。在實施過程中,根據各單位業務系統的具體系統情況,結合系統以往發生的信息安全事件及對網絡、系統管理員關于威脅發生可能性和發展趨勢的調查,下面按照威脅的主體分別對這些威脅及其可能發生的各種情形進行簡單描述:
2.3 脆弱性評估
脆弱性評估內容包括管理、運維和技術三方面的內容,具體實施可參照公司相應的技術或管理標準以及評估發起方的要求,根據評估選擇的策略和評估目的的不同進行調整。下表是一套脆弱性識別對象的參考:
管理脆弱性:安全方針、信息安全組織機構、人員安全管理、信息安全制度文件管理、信息化建設中的安全管理、信息安全等級保護工作、信息安全評估管理、信息安全的宣傳與培訓、信息安全監督與考核工作、符合性管理。
運維脆弱性:信息系統運行管理、資產分類管理、配置與變更管理、業務連續性管理、物理環境安全、設備與介質安全。
技術脆弱性:網絡系統、主機安全、通用系統安全、業務系統安全、現有安全措施。
管理、運維、技術三方面脆弱性是相互關聯的,管理脆弱性可能會導致運維脆弱性和技術脆弱性的產生,運維脆弱性也可能導致技術脆弱性的產生。技術的脆弱性識別主要采用工具掃描和人工審計的方式進行,運維和管理的脆弱性主要通過訪談和調查問卷來發現。此外,對以往的安全事件的統計和分析也是確定脆弱性的主要方法。
三、現有安全措施評估
通過現有安全措施指評估安全措施的部署、使用和管理情況,確定這些措施所保護的資產范圍,以及對系統面臨風險的消除程度。
3.1 安全技術措施評估
通過對各單位安全設備、防病毒系統的部署、使用和管理情況,對特征庫的更新方式、以及最近更新時間,設備自身資源使用率(CPU、MEM、DISK)、自身工作狀況、以及曾經出現過的異常現象、告警策略、日志保存情況、系統中管理員的個數、管理員所使用的口令的強度、弱口令情況等信息進行脆弱性分析,并確定級別。
3.2 安全管理措施評估
訪談被評估單位是否成立了信息安全領導小組,并以文件的形式明確了信息安全領導小組成員和相關職責,是否結合實際提出符合自身發展的信息化建設策略,其中包括是否制定了信息安全工作的總體方針和安全策略,建立健全了各類安全管理制度,對日常管理操作建立了規范的操作規程;定期組織全員學習國家有關信息安全政策、法規等。
3.3 物理與環境安全
查看被訪談單位信息機房是否有完善的物理環境保障措施,是否有健全的漏水監測系統,滅火系統是否安全可用,有無溫濕度監測及越限報警功能,是否配備精密空調嚴格調節控制機房內溫度及濕度,保障機房設備的良好運行環境。
3.4 應急響應與恢復管理
為正確、有效和快速處理網絡信息系統突發事件,最大限度地減少網絡信息系統突發事件對單位生產、經營、管理造成的損失和對社會的不良影響,需查看被評估單位是否具備完善網絡信息系統應急保證體系和應急響應機制,應對網絡信息系統突發事件的組織指揮能力和應急處置能力,是否及時修訂本單位的網絡信息系統突發事件應急預案,并進行嚴格的評審、。
3.5 安全整改
被評估單位根據信息安全風險評估結果,對本單位存在的安全風險進行整改消除,從安全技術及安全管理兩方面,落實信息安全風險控制及管理,確保信息系統安全穩定運行。
四、結語
公司近兩年推行了“雙網雙機、分區分域、等級保護、分層防御”的安全防護策略和一系列安全措施,各單位結合風險評估實踐情況,以技術促安全、以管理保安全,確保公司信息系統穩定運行,為公司發展提供有力信息支撐。
參考文獻
篇5
所謂的“當局者迷,旁觀者清”、“外來和尚好念經”,
在ISMS建設及認證項目上也是這個道理。
無論是選擇自我實施,還是請外部的咨詢機構和顧問,組織都應該知道,
實施ISMS認證項目,必須要有一套行之有效的方法,事先要對整個過程做好計劃。
信息安全管理體系(Information Security Management System,ISMS)是組織整體管理體系的一個部分,是組織在整體或特定范圍內建立信息安全方針和目標,以及完成這些目標所用方法的體系。基于對業務風險的認識,ISMS包括建立、實施、操作、監視、復查、維護和改進信息安全等一系列的管理活動,并且表現為組織結構、策略方針、計劃活動、目標與原則、人員與責任、過程與方法、資源等諸多要素的集合。
外來和尚好念經
組織在確定實施ISMS建設及ISO27001認證項目之后,通常有兩種途徑可以去操作,一種是自己做,在組織內部成立專人專項工作組,按照計劃自我實施。另一種就是選擇有實力的咨詢機構,幫助組織完成此項目。兩種途徑各有所長,關鍵是看組織自身特點和看問題的角度。如果組織規模不大、業務模式簡單、信息系統也不復雜,而且自身對信息安全的認識和運作已經達到了一定高度,有勝任的人員,選擇自我實施就是比較經濟快捷的途徑。不過,如果組織規模較大、組織結構相互關聯、對IT的依賴廣泛,更重要的是,組織本身對信息安全的意識和運作還處于較低水平,或者發展并不均衡,這就需要有外部力量來進行引導,他們以公正獨立的姿態,把一些成熟的經驗移植過來,以最直接快速的方式發現組織現有問題并對癥下藥。此外,有經驗的咨詢機構和顧問通常都能比較好地把握認證機構的“偏好”和習慣,這一點尤其對最終應對審核很重要。一般來說,咨詢機構可以在人員培訓、全程輔導、后續支持等方面給予組織大力的支持。所謂的“當局者迷,旁觀者清”、“外來和尚好念經”,在ISMS建設及認證項目上也是這個道理。
當然,無論是選擇自我實施,還是請外部的咨詢機構和顧問,組織都應該知道,實施ISMS認證項目,必須要有一套行之有效的方法,事先要對整個過程做好計劃。
完善計劃渠自成
在建設信息安全管理體系的方法上,ISO27001標準為我們提供了指導性建議,即基于PDCA的持續改進的管理模式。PDCA是一種通用的管理模式,適用于任何管理活動,體現了一種持續改進、維持平衡的思想,但具體到ISMS建立及認證項目上,就顯得不夠明確和細致,組織必須還要有一套切實可行的方法論,以符合項目過程實施的要求。在這方面,ISMS實施及認證項目可以借鑒很多成熟的管理體系實施方法,比如ISO9001、ISO14001、TS16949等,大致上說,這些管理體系都遵循所謂的PROC過程方法。
PROC過程模型(Preparation-Realization-Operation-Certification)是對PDCA管理模式的一種細化,它更富有針對性和實效性,并且更貼近認證審核自身的特點。
PROC模式將整個信息安全管理體系建設項目劃分成四個階段,共包含15項關鍵的活動,如果每項具有前后關聯關系的活動都能很好地完整,最終就能建立起有效的ISMS,實現信息安全建設整體藍圖,接受ISO27001認證并獲得認可更是水到渠成的事情。
準備階段(Preparation):在準備階段,項目小組要對ISMS實施及認證做好預備工作,明確ISMS實施范圍,提供相關資源,建立總體的安全管理方針,進行前期培訓和預先評估,分析了解業務狀況,進行詳細的風險評估,發掘安全需求。這一階段包括以下五項關鍵活動:
?項目啟動:前期溝通,實施計劃,項目小組,資源支持,啟動會議。
?前期培訓:信息安全管理基礎,風險評估方法。
?預先審核:初步了解信息安全現狀,分析與ISO27001標準要求的差距。
?業務分析:訪談調查,核心與支持業務,業務對資源的需求,業務影響分析。
?風險評估:資產、威脅、弱點、風險識別與評估。
實現階段(Realization):在實現階段,項目小組要組織相關資源,依據風險評估結果選擇控制措施,為實施有效的風險處理做好計劃,同時編寫、測試、修訂并完善ISMS運行和認證所需的文檔體系,管理者需要正式ISMS體系并要求開始實施,通過普遍的培訓活動來推廣執行。此階段包括四項關鍵活動:
?風險處理:針對風險問題,做文件編寫規劃、BCP規劃和技術方案規劃。
?文件編寫:編寫ISMS各級文件,多次Review及修訂,管理層討論確認。
?實施:ISMS實施計劃,體系文件,控制措施實施。
?中期培訓:全員安全意識培訓,ISMS實施推廣培訓,必要的考核。
運行階段(Operation):ISMS建立起來(體系文件正式實施)之后,要通過一定時間的試運行來檢驗其有效性和穩定性。在此階段,應該培訓專門人員,建立起內部審查機制,通過內部審計、管理評審和模擬認證,來檢查已建立的ISMS是否符合ISO27001標準以及企業自己規范的要求。此階段的關鍵活動有四項:
?認證申請:與認證機構磋商,準備材料申請認證,制定認證計劃,預審核。
?后期培訓:審核員等角色的專業技能培訓。
?內部審核:審核計劃,Checklist,內部審核,不符合項整改。
?管理評審:信息安全管理委員會組織ISMS整體評審,糾正預防。
認證階段(Certification):經過一定時間運行,ISMS達到一個穩定的狀態,各項文檔和記錄已經建立完備,此時,可以提請進行認證。此階段的關鍵活動就是為認證做好準備:
?認證準備:準備送審文件,安排部署審核事項。
篇6
1美國電力行業信息安全的戰略框架
為響應奧巴馬政府關于加強丨Kj家能源坫礎設施安全(13636行政令,即ExecutiveOrder13636-ImprovingCriticalInfrastructureCybersecurity)的要求,美國能源部出資,能源行業控制系統工作組(EnergySec*torControlSystemsWorkingGroup,ESCSWG)在《保護能源行業控制系統路線圖》(RoadmaptoSecureControlSystemsintheEnergySector)的基礎上,于2011年了《實現能源傳輸系統信息安全路線閣》。2011路線圖為電力行業未來丨0年的信息安全制定了戰略框架和行動計劃,體現了美國加強國家電網持續安全和可靠性的承諾和努力路線圖基于風險管理原則,明確了至2020年美國能源傳輸系統網絡安全目標、實施策略及里程碑計劃,指導行業、政府、學術界為共丨司愿景投入并協同合作。2011路線圖指出:至2020年,要設計、安裝、運行、維護堅韌的能源傳輸系統(resilientenergydeliverysystems)。美國能源彳了業的網絡安全目標已從安全防護轉向系統堅韌。路線圖提出了實現目標的5個策略,為行業、政府、學術界指明了發展方向和工作思路。(1)建立安全文化。定期回顧和完善風險管理實踐,確保建立的安全控制有效。網絡安全實踐成為能源行業所有相關者的習慣,,(2)評估和監測風險。實現對能源輸送系統的所有架構層次、信息物理融合領域的連續安全狀態監測,持續評估新的網絡威脅、漏洞、風險及其應對措施。(3)制定和實施新的保施。新一代能源傳輸系統結構實現“深度防御”,在網絡安全事件中能連續運行。(4)開展事件管理。開展網絡事件的監測、補救、恢復,減少對能源傳輸系統的影響。開展事件后續的分析、取證以及總結,促進能源輸送系統環境的改進。(5)持續安全改進。保持強大的資源保障、明確的激勵機制及利益相關者密切合作,確保持續積極主動的能源傳輸系統安全提升。為及時跟蹤2011路線圖實施情況,能源行業控制系統工作組(ESCSWG)提供了ieRoadmap交互式平臺。通過該平臺共享各方的努力成果,掌握里程碑進展情況,使能源利益相關者為路線圖的實現作一致努力。
2美國電力行業信息安全的管理結構
承擔美國電力行業信息安全相關職責的主要政府機構和組織包括:國土安全部(DHS)、能源部(1)0£)、聯邦能源管理委員會(FEUC)、北美電力可靠性公司(NERC)以及各州公共事業委員會(PUC)。2.1國土安全部美國國土安全部是美國聯邦政府指定的基礎設施信息安全領導部I'j'負責監督保護政府網絡安全,為私營企業提供專業援助。2009年DHS建立了國家信息安全和通信集成中心(NationalCyhersecurityandCommunicationsIntegrationCenter,NCCIC),負責與聯邦相關部門、各州、各行業以及國際社會共享網絡威脅發展趨勢,組織協調事件響應w。
2.2能源部
美國能源部不直接承擔電網信息安全的管理職責,而是通過指導技術研發和協助項目開發促進私營企業發展和技術進步能源部的電力傳輸和能源可靠性辦公室(Office(>fElectricityDelivery<&EnergyReliability)承擔加強國家能源基礎設施的可靠性和堅韌性的職責,提供技術研究和發展的資金,推進風險管理策略和信息安全標準研發,促進威脅信息的及時共享,為電網信息安全戰略性綜合方案提供支撐。
能源部2012年與美國國家標準技術研究院、北美電力可靠性公司合作編制了《電力安全風險管理過程指南》(ElectricitySubsectorCybersecurityRiskManagementProcess)151;2014年與國土安全部等共同協作編制完成了《電力行業信息安全能力成熟度模型》(ElectricitySubsectorcybersecurityCapabilityMaturityModel(ES-C2M2)丨6丨,以支撐電力行業的信息安全能力評估和提升;2014年資助能源行業控制系統工作組(ESCSWG)形成了《能源傳輸系統網絡安全采購用語指南》(CybersecurityProcurementlanguageforEnergyDeliverySystems)171,以加強供應鏈的信息安全風險管理。
在201丨路線圖的指導下,能源部啟動了能源傳輸系統的信息安全項目,資助愛達荷國家實驗室建立SCADA安全測試平臺,發現并解決行業面臨的關鍵安全漏洞和威脅;資助伊利諾伊大學等開展值得信賴的電網網絡基礎結構研究。
2.3聯邦能源管理委員會
聯邦能源管理委員會負責依法制定聯邦政府職責范圍內的能源監管政策并實施監管,是獨立監管機構。2005年能源政策法案(EnergyPolicyActof2005)授權FERC監督包括信息安全標準在內的主干電網強制可靠性標準的實施。2007年能源獨立與安全法案(EnergyIndependenceandSecurityActof2007(EISA))賦予FERC和國家標準與技術研究所(National丨nstituteofStandardsan<丨Technology,NIST)相關責任以協調智能電網指導方針和標準的編制和落實。2011年的電網網絡安全法案(GridCyberSecurityAct)要求FKRC建立關鍵電力基礎設施的信息安全標準。
2007年FERC批準由北美電力可靠性公司制定的《關鍵基礎設施保護》(criticalinfrastructureprotection,CIPW標準為北美電力可靠性標準之中的強制標準,要求各相關企業執行,旨在保護電網,預防信息系統攻擊事件的發生。
2.4北美電力可靠性公司
北美電力可靠性公司是非盈利的國際電力可靠性組織。NERC在FERC的監管下,制定并強制執行包括信息安全標準在內的大電力系統可靠性標準,開展可靠性監測、分析、評估、信息共享,確保大電力系統的可靠性。
NERC了一系列的關鍵基礎設施保護(CIP)標準181作為北美電力系統的強制性標準;與美國能源部和NIST編制了《電力行業信息安全風險管理過程指南》,提供了網絡安全風險管理的指導方針。
歸屬NERC的電力行業協凋委員會(ESCC)是聯邦政府與電力行業的主要聯絡者,其主要使命是促進和支持行業政策和戰略的協調,以提高電力行業的可靠性和堅韌性'NERC通過其電力行業信息共享和分析中心(ES-ISAC)的態勢感知、事件管理以及協調和溝通的能力,與電力企業進行及時、可靠和安全的信息共享和溝通。通過電網安全年會(GridSecCon)、簡報,提供威脅應對策略、最佳實踐的討論共享和培訓機會;組織電網安全演練(GridEx)檢查整個行業應對物理和網絡事件的響應能力,促2.5州公共事業委員會美國聯邦政府對地方電力公司供電系統的可靠性沒有直接的監管職責。各州公共事業委員會負責監管地方電力公司的信息安全,大多數州的PUC沒有網絡安全標準的制定職責。PUC通過監管權力,成為地方電力系統和配電系統網絡安全措施的重要決策者。全國公用事業監管委員協會(NationalAssociationofRegulatoryUtilitycommissioners,NARUC)作為PUC的一■個聯盟協會,也采取措施促進PUC的電力網絡安全工作,呼吁PUC密切監控網絡安全威脅,定期審查各自的政策和程序,以確保與適用標準、最佳實踐的一致性%
3美國電力行業信息安全的硏究資源
參與美國電力行業信息安全研究的機構和組織主要有商務部所屬的國家標準技術研究院及其領導下的智能電網網絡安全委員會、國土安全部所屬的能源行業控制系統工作組,重點幵展電力行業信息安全發展路線圖、框架以及標準、指南的研究。同時,能源部所屬的多個國家實驗室提供網絡安全測試、網絡威脅分析、具體防御措施指導以及新技術研究等。
3.1國家標準技術研究院(NIST)
根據2007能源獨立與安全法令,美_國家標準技術研究院負責包括信息安全協議在內的智能電網協議和標準的自愿框架的研發。NISTf20102014發#了《?能電網互操作標準的框架和路線圖》(NISTFrameworkaridRoadmapforSmartGridInteroperabilityStandard)1.0、2.0和3.0版本,明確了智能電網的網絡安全原則以及標準等。2011年3月,NIST了信息安全標準和指導方針系列中的旗艦文檔《NISTSP800-39,信息安全風險管理》丨叫(NISTSpedalPublication800—39,ManagingInformationSecurityRisk),提供了一系列有意義的信息安全改進建議。2014年2月,根據13636行政令,了《提高關鍵基礎設施網絡安全框架》第一版,以幫助組織識別、評估和管理關鍵基礎設施信息安全風險。
NIST正在開發工業控制系統(ICS)網絡安全實驗平臺用于檢測符合網絡安全保護指導方針和標準的_「.業控制系統的性能,以指導工業控制系統安全策略最佳實踐的實施。
3.2智能電網網絡安全委員會
智能電網網絡安全委員會其前身是智能電網互操作組網絡安全工作組(SGIP-CSWG)ra。SGCC一直專注于智能電網安全架構、風險管理流程、安全測試和認證等研究,致力于推進智能電網網絡安全的發展和標準化。在NIST的領導下,SGCC編制并進一步修訂了《智能電網信息安全指南》(NISTIR7628,GuidelinesforSmartGridCybersecurity),提出了智能電網信息安全分析框架,為組織級研究、設計、研發和實施智能電網技術提供了指導性T.具。
3.3國家電力行業信息安全組織(NESC0)
能源部組建的國家電力行業信息安全組織(NationalElectricSectorCybersecurityOrganization,NESCO),集結了美國國內外致力于電力行業網絡安全的專家、開發商以及用戶,致力于網絡威脅的數據分析和取證工作⑴。美國電力科學研究院(EPRI)作為NESC0成員之一提供研究和分析資源,開展信息安全要求、標準和結果的評估和分析。NESCO與能源部、聯邦政府其他機構等共同合作補充和完善了2011路線圖的關鍵里程碑和目標。
3.4能源行業控制系統工作組(ESCSWG)
隸屬國土安全部的能源行業控制系統工作組由能源領域安全專家組成,在關鍵基礎設施合作咨詢委員會框架下運作。在能源部的資助下,ESCSWG編制了《實現能源傳輸系統信息安全路線圖》、《能源傳輸系統網絡安全釆購用語指南》。3.5能源部所屬的國家實驗室
3.5.1愛達荷國家實驗室(INL)
愛達荷W家實驗室成立于1949年,是為美國能源部在能源研究、國家防御等方面提供支撐的應用工程實驗室。近十年來,INL與電力行業合作,加強了電網可靠性、控制系統安全研究。
在美國能源部的資助下,INL建立了包含美國國內和國際上多種控制系統的SCADA安全測試平臺以及無線測試平臺等資源,目的對SCADA進行全面、徹底的評估,識別控制系統脆弱點,并提供脆弱點的消減方法113】。通過能源部的能源傳輸系統信息安全項目,INL提出了采用數據壓縮技術檢測惡意流量對SCADA實時網絡保護的方法hi。為支持美國國土安全部控制系統安全項目,INL開發并實施了培訓課程以增強控制系統專家的安全意識和防御能力。1NL的相關研究報告有《SCADA網絡安全評估方法》、《控制系統十大漏洞及其補救措施》、《控制系統網絡安全:深度防御戰略》、《控制系統評估中常見網絡安全漏洞》%、《能源傳輸控制系統漏洞分析>嚴|等。
3.5.2太平洋西北國家實驗室(PNNL)
太平洋西北國家實驗室是美國能源部所屬的闊家綜合性實驗室,研究解決美國在能源、環境和國家安全等方面最緊迫的問題。
PNNL提出的安全SCADA通信協議(secureserialcommunicationsprotocol,SSCP)的概念,有助于實現遠程訪問設備與控制中心之間的安全通信。的相關研究報告有《工業控制和SCADA的安全數據傳輸指南》等。PNNL目前正在開展仿生技術提高能源領域網絡安全的研究項。
3.5.3桑迪亞國家實驗室(SNL)
桑迪亞國家實驗室是能源部所屬的多學科國家實驗室,也是聯邦政府資助的研究和發展中心。SNL的研究報告有《關鍵基礎設施保護網絡漏洞評估指南》、《控制系統數據分析和保護安全框架》、《過程控制系統的安全指標》I1'《高級計量基礎設施安全考慮》、《微電網網絡安全參考結構》等。在能源部的資助下,SNL開展了關于供應鏈威脅的研究項目,形成的威脅模型有助于指導安全解決方案的選擇以及新投資的決策hi。
4美國電力行業信息安全的運作策略
4.1標準只作為網絡安全的基線
NERC的關鍵基礎設施保護標準(CIP)作為強制性標準,是電力行業整體網絡安全策略的重要內容。CIP標準與電網規劃準則、系統有功平衡與調頻、無功平衡與調壓、安全穩定運行等系列標準相并列,成為北美大電網可靠性標準的重要組成部分。目前強制執行的是CIP-002至C⑴-009共8個標準的第3版。文獻1丨6]提供了CIP-002至CIP-009主要內容的描述列表。C〖P第5版近期已通過FERC批準即將于2016年實施。第5版新增了CIP-010配置變更管理和漏洞評估、C1P-011信息保護2個強制標準。
目前配電系統沒有強制標準,但NIST將C1P標準融入了智能電網互操作框架中。智能電網互操作框架雖然是自愿標準,但為配電系統提供了信息安全措施指導為系統性的指導智能電網信息安全工作,NIST組織編制了《美國智能電網信息安全指南》,提出了一個普適性的智能電網信息安全分析框架,為智能電網的各相關方提供了風險評估、風險識別以及安全要求的實施方法。DOE編制的《電力行業信息安全風險管理過程指南》提供了電力行業信息安全風險管理的方法[5】。DOE與DHS合作編制的《信息安全能力成熟度模型》(ES-C2M2)i6i,通過行業實踐幫助組織評估、優化和改善網絡安全功能,促進網絡安全行動和投資的有序開展以及信息安全能力的持續提升。2014年NIST了《提高關鍵基礎設施網絡安全框架》也作為電力行業網絡安全自愿標準。文獻f17]提到只有21%的公用事業采取了NERC推薦的預防震網措施,可見自愿標準的執行率偏低強制執行的CIP標準在大電力系統網絡安全方面確實發揮了基礎作用,然而網絡威脅的快速變化以及每個組織面對的風險的獨特性,強制性標準在某種程度上影響企業采取超過但不同于最低標準的合適的防護措施。文獻丨3]提出目前將強制性的解決方案擴展到配電網不是有效的方法,聯邦政府也在考慮縮小強制性范圍。持續提升網絡安全水平不能僅僅依賴于標準的符合度,監督管理不能保證安全。電力行業的網絡安全需要整體的網絡安全戰略,包括安全文化建設、共享與協作、風險管理等。無論是強制性的標準還是非強制性的標準都只是信息安全的最低要求'4.2安全文化建設成為信息安全路線圖首要策略
對能源傳輸系統安全風險的認知缺失或識別能力的不足,缺少有效的安全策略和技術環境訓練的人員,將阻礙能源行業的持續安全。安全文化建設已成為201丨路線圖的首要策略,以提升電力行業網絡安全運作的主動性。2011路線圖提出重點從最佳實踐、教育、認證等方面加強信息安全文化建設,以實現能源傳輸系統的最佳實踐被廣泛使用、具備能源傳輸和網絡安全技能的行業人員明顯增長等中長期目標'最佳實踐傳遞的目標效果是網絡安全實踐成為能源行業所有相關者的習慣。相關國家實驗室圍繞各自研究方向總結了評估方法、漏洞補救措施、操作指南等一系列最佳實踐。如INL根據其多年SCADA漏洞評估經驗,編制了《能源傳輸系統漏洞分析》、《SCADA網絡安全評估方法》等。PNNL編制的《丁業控制和SCADA系統的安全數據傳輸指南》,為工業控制系統提供了能及時發現并阻止人侵的數據傳輸結構。NIST將最佳實踐融入了安全框架、指南和導則中,如《提高關鍵基礎設施網絡安全框架》、《工業控制系統網絡安全指南》等。NESCO、NERC等通過電網安全年會等多種方式提供了最佳實踐的交流機會。
篇7
[關鍵詞]電子政務;信息安全;發展研究
中圖分類號:TP39 文獻標識碼:A 文章編號:1006-0278(2013)02-104-02
一、引言
根據電子政務的開放性、虛擬性以及網絡化的復雜性等可以看出,電子政務是一項復雜的系統工程。因此,對電子政務系統安全提出了嚴峻的挑戰。其中,安全性是電子政務正常發展的首要前提。電子政務建設作為網絡應用的一個特殊領域,既要考慮一般性的網絡安全問題,還要對政府的安全標準、系統的安全性和便利性的兼容、政府內部的安全管理問題等提出了特殊的要求。為了達到適應電子政務系統網絡動態變化的特點,發展適合電子政務系統的安全技術和產品,就需做到保證技術的先進性和可擴展性;還要制定相關的電子安全法規和安全標準,通過法律保障,加強安全管理。電子政務的發展很大程度上基于網絡信息技術的發展,只有網絡安全有保障,才能保證電子政務信息傳輸的安全性,從而保障電子政務的信息安全。所以,要對電子政務的安全建設統一考慮,長遠規劃,從制度和技術上加以保障。
二、電子政務信息安全的技術建設
(一)電子政務安全信息系統方面建設
電子政務信息安全技術建設,首先要保證系統中信息共享與保密性、完整性的關系,開放性與保護隱私的關系,互聯性與局部隔離的關系。其主要包括:信息技術安全和系統技術安全。
加強電子政務信息安全技術建設主要方面為:
1.隔離網閘技術整合網絡結構
電子政務實踐中往往產生內網與專網、外網間的信息交換需求,然而基于內網數據保密性的考慮,我們又不希望內網暴露在對外環境中。解決該問題的有效方式是設置安全島,通過安全島來實現信息的過濾和兩個網絡間的物理隔離,從而實現安全的數據交換。
2.使用漏洞掃描系統技術彌補缺陷
我國尚未突破CPU等核心技術,信息安全產業還依靠外國技術。通過漏洞掃描工具采取時間策略定時掃描整個網絡地址網段,對多種來自通訊、服務、設備、系統等的漏洞進行掃描。就是為彌補操作系統無自主產權的缺陷,操作系統安全設計方面必須布置漏洞掃描系統。為了有效檢查網絡系統的可靠性和安全性,就采用模擬攻擊的手段去檢測網絡上隱藏的漏洞,且對網絡不做任何修改或造成任何危害,并能夠提供漏洞檢測報告和解決方案。
3.網頁防篡改系統技術進行安全網站建設
選用網頁防篡改系統來構建安全網站,來滿足政府機關Web安全性的要求。做好服務器的安全策略配置,及時升級補丁程序;通過以防火墻為政府網站的安全方案配置,能將所有安全軟件(如口令、加密、身份認證、審計等)配置在防火墻上,對網絡存取和訪問進行監控審計,以此達到正確配置防火墻、入侵檢測設備策略。在政務內網與外網之間采用物理方式隔離,政務外網與互聯網之間采用邏輯方式隔離,這里就是既要注重外部防范,又要加強內部管理的雙重舉措。
4.使用PKI技術進行加密認證技術
PKI是公鑰基礎設施(Public Key In-frastructure),是用非對稱密碼算法原理和技術來實現并提供安全服務的、具有通用性的安全基礎設施。在電子政務和電子商務的建設中,PKI實際上是提供了一整套的、遵循標準的密鑰管理基礎平臺。PKI技術通過第三方的可信任機構認證中心CA把用戶的公鑰和用戶的其他標識信息(如名稱、E-mail、身份證號等)捆綁在一起,通過數字身份證、數據簽名、用戶名及其訪問口令,進行身份鑒別及訪問權限的控制,防止非法人員對網絡的登錄,保證網絡資源的使用安全性。
5.入侵檢測技術入侵檢測系統技術
入侵檢測技術入侵檢測系統(Intrusion Detection System,IDS)是一種識別面向計算機資源和網絡資源的惡意行為的系統。一個完善的入侵檢測系統可以對計算機網絡進行自主地、實時地攻擊檢測和響應,在不影響網絡上數據傳輸的前提下,對可疑的數據進行實時監控、分析,為用戶提供了最大限度的安全保障。
6.數據備份技術
備份是一種數據安全策略,通過備份軟件把數據備份到介質上,在原始數據遭到破壞或丟失的情況下,利用備份數據恢復原始數據,保證系統的正常工作。
備份策略可分為以下幾種:
(1)全備份(Full Backup),即每天都用一盤磁帶對整個系統進行完全備份,包括系統和數據。
(2)增量備份(Incremental Backup),即每次備份的數據只是相當于上一次備份后新增加的和修改過的數據。
(3)差分備份(Differential Backup),即每次備份的數據是相對于上一次全備份之后增加的和修改過的數據。
從備份的形式分可分為物理備份和邏輯備份:
1.物理備份:實際物理數據庫文件從一處拷貝到另一處(通常從磁盤到磁帶)的備份,主要用于數據庫的全恢復。
2.邏輯備份:用導入導出工具通過導入導出數據對象來達到對數據進行備份的目的。它主要用于不完全恢復。
除了以上技術外,還包括公共服務器的安全保護、防止黑客從外部攻擊、入侵檢測與監控、信息審計與記錄、病毒防護、數據安全、數據恢復、加密技術、訪問控制技術、安全體系結構等技術來進行保障。
三、電子政務信息安全的管理建設
一方面應積極籌建國家信息安全組織管理機構,并加強國家信息安全機構的管理職能,落實國家制定的“興利除弊,集中監控,分級管理,保障國家安全”這一信息安全系統管理的基本方針。另一方面,政府部門組織內部應制定嚴格的規章制度,實行有效的上網信息審批以及有關的人員管理與系統管理制度等。
(一)完善我國信息安全基礎設施
國家應大力扶持國有信息安全產業建設的發展。自主的信息產業或信息產品國產化是保證電子政務信息安全的根本,國家應對其發展予以充分的政策和財政支持。對于安全產品評測認證中心、病毒檢測和防治中心、關鍵網絡系統災難恢復中心、系統攻擊和反攻擊中心、信息戰防御研究中心等當前迫切需要建立的國家信息安全基礎設施進行建設。與此同時,還要重視技術及系統的綜合集成,以確保電子政務信息系統的安全可靠。
(二)建立政府部門內部安全管理制度
應該建立一定的安全責任制度,比如:系統運行維護管理制度、計算機處理控制管理制度、電子文檔資料管理制度、非計算機的各種憑證、單據、賬簿、報表和文字資料制定妥善保管和嚴格控制的規章制度、操作和管理人員管理制度等。部門內只有具備相對完善的安全管理制度,加上嚴格的執行,工作人員才能各司其職,減少差錯,防止由于人為因素導致的安全問題。為了使電子政務安全管理工作日趨程序化,還需要根據實際工作情況,在日常工作中不斷修正、完善各項規章制度。
(三)進行電子政務信息安全方面的教育
我國各級政府部門要利用多種途徑對公務員進行電子政務信息安全方面的教育,增強工作人員的責任感,提高工作人員的業務技能,豐富安全知識。強化電子政務環境下公務員的信息安全意識,樹立正確的安全觀念強化公務員的信息安全意識,就是要讓公務員認識到電子政務信息安全是電子政務正常而高效運轉的基礎,是保障國家信息安全甚至國家安全的重要前提,從而牢固樹立信息安全第一的思想。主要方式為:一、通過大眾傳播媒介,增強公務員信息安全意識,普及信息安全知識I二、積極組織各種專題講座和培訓班,培養信息安全人才,并確保防范手段和技術措施的先進性和主動性:三、積極開展安全策略研究,明確安全責任,增強公務員的責任心。
(四)健全法律,嚴格執法
法律是保障電子政務信息安全的最有力手段,發達國家巳經在政府信息安全立法方面積累了成功經驗,我國立法部門應加快立法進程,吸取和借鑒國外網絡信息安全立法的先進經驗,盡快制定和頒布個人隱私保護法、數據庫振興法、信息網絡安全性法規、預防和打擊計算機犯罪法規、網上知識產權法等,以完善我國的網絡信息安全法律體系,使電子政務信息安全管理走上法制軌道。另外,執法部門還要進一步嚴格執法,提高執法水平,確保各項法律法規落到實處。
篇8
北京圣博潤高新技術股份有限公司(簡稱:圣博潤)董事長兼總經理孟崗就是這樣一位信息安全領域知行合一的開拓者和實踐者。
剛剛喜獲“08年度中國軟件行業十大領軍人物”稱號的孟崗解釋說,“圣搏潤也是在不斷嘗試和不斷磨練中慢慢成長起來的,思想要慢慢積累才能轉化為能力,同樣,也只有實踐才能出真知。”
初涉信息安全領域
坦率地講,從傳統行業轉戰信息安全領域,孟崗感到肩負的責任更加重大,這片新領域絕非用“重視程度提升,前景美好”之類的話語就能簡單概括。孟崗深刻意識到,能夠在信息安全行業做大做強,更需要的是企業不懈的自主創新和突出的核心競爭力。
2000年的中國,信息安全領域正越來越受到國家的重視,孟崗表示:“國家當時先后出臺了系列文件對信息安全領域相關問題進行明確界定,要求必須加強對國內自主知識產權信息安全產品的采購,這里邊并沒有提到國外產品。這表明國家對于自主知識產權產品的扶植,以及對國內企業自主創新的重視。”
“我當時相信,國產信息安全產品是有機會的,而且是大有機會。而一系列國家相關政策的出臺,也不斷加強了我們扎根該領域的信心。”談起過往,孟崗眼中熠熠生輝。
正是這種靈敏的嗅覺和自信的判斷,使得圣博潤從最初安全產品,到安全項目集成,以及到后來的自主產品研發過程中,能夠始終將自己最精銳的力量投入到內網信息安全產品的研究開發中,并且在前進的道路上始終保持這個方向。
在談話中,孟崗認為好的市場環境、好的國家政策對自主創新企業的大力扶植給圣博潤的發展帶來了“幸運”。但是,在軟件行業有多少產品、技術和團隊都很不錯的公司都最終在市場的洗禮中倒下了?畢竟,軟件行業既是締造傳奇的福地,也是破滅神話的領域。
國家扶持很重要
所謂“天時地利人和”,能夠在行業內取得成績,僅靠單個企業的單打獨斗實在難成氣候,面對這個話題,孟崗很認真的說,“這要感謝近年來國家對信息安全行業持續地加大投入和政策扶植。”
“我們為什么能夠存活下來,并能大大發展,這首先得益于國家對信息安全這一塊的扶持,國內其他具有自主知識產權的信息安全企業也是如此。”孟崗如是說。
客觀來說,國內IT技術積累與國外相比在某些方面仍然存在一些差距,信息安全要想做到自主、可信、可控,國家對于這一塊的扶持是必不可少的。據了解,目前在信息安全產品的政府采購中,國內具備自主知識產權的產品獲得的空間正在不斷擴大和提升。
“經過幾年的國家支持和市場發展,現在正是內網信息安全行業千載難逢的好機會。”談到國家近年對于信息安全的投入和政策,孟崗加重的語氣中透出興奮。
“由最初的安全產品,到承接安全集成項目,再到自主安全產品研發,從最初看不清前方的道路,到現在被更廣泛的市場和用戶認可接受,圣博潤的成長之路走的曲折,但并不漫長。”
目前,圣博潤的業務主要有兩個,一個是內網安全管理,即桌面安全管理,另外一個是信息安全的服務,包括信息安全的評估、信息安全體系的管理咨詢、信息安全服務外包等。“圣博潤要利用好這一千載難逢的機會,一旦順風順水就要加足馬力!”孟崗強調。
依靠“產品和服務”兩條腿走路的方針,不僅僅局限于產品的提供,圣博潤的愿景是為用戶構建安全的信息體系,這是圣博潤作為一個信息安全廠商想要做的事情。在當今SaaS大行其道的背景下,圣博潤將會使服務的比例從30%提高到40%。
“這是一個趨勢。但是,服務的比例就目前預期來說不會超過50%。”孟崗坦言。
深挖用戶需求
俗話說,“創業容易守業難。”在孟崗看來,創業和守業一樣不易,尤其是在這個日新月異、創業求變的軟件行業。
“圣博潤不是靠研發起來的公司,認識過程要比別人慢一點,走的時間要比別人長一些,只有耐心、堅持才能保住創業。”孟崗說,“我們要能堅守住自己的方向,堅守住自己的客戶,不斷深入了解行業,不斷洞悉他們的新需求,這是我們每個圣博潤人內心的想法。”
前幾年,信息安全主要解決的是邊界防護的問題,網絡管理、防火墻等成了那時間出現頻率最高的安全防護詞。實際上,經過近幾年的發展,越來越多的用戶發現,來自內部的威脅也同樣不可小覷。
無論內網或局域網有多大,內部用戶的行為完全是自由狀態的,這種各自為戰的自由行為給局域網的運行帶來了很多問題,另外還可能引起重要信息泄露。
“現階段,信息安全方面用戶最迫切的需求是什么?”
“內網安全!”曾經一位用戶如此干練的回答給了孟崗很大的觸動。
事實上,信息安全的問題在任何時候任何一個層面都很重要。在早期,大家爭相“建圍墻、裝防盜門、安窗戶”,要把安全問題御之門外,這個階段過后,人們逐步意識到來自內部的安全問題如果不加防范,同樣會給用戶帶來不可估量的損失。
那么,是不是所有的企業都要“關上門好好處理自己的家務”?“這要取決于用戶對自己信息資產的關注程度。”孟崗說。
舉例來說,如果是一個普通的農戶,對自己內部的資產并不太在意,那么他裝一扇木門或鐵門就可以了,而對于比較富裕的家庭可能就得裝高級的防盜門。同樣的道理,如果用戶對自己內部信息資產的關注程度或認識程度非常高的話,他就會對自己的內網安全問題格外關注,反之則相應程度的降低。
信息安全的核心在于用戶需求,用戶采取什么樣的防護措施取決于用戶需要保護的是什么。
2008年2月18日,圣博潤公司因其良好的業務發展態勢受到中關村園區支持,在深交所掛牌OTC。當被記者問到,上市前后的圣博潤是否會在企業方向或策略方面做一些調整,或者實現多元化運作時,孟崗說,“我們會將精力繼續放在內網安全和安全服務方面,堅守我們的優勢行業,至少近10年,我們不會考慮在方向或策略上做大的調整。”
篇9
一、采購電子化過程中存在的安全隱患
采購改革起步晚,編制體制還在不斷完善,電子化采購也是近來提出的話題,管理思想、規章制度、管理技術、人才建設等都存在著一些不足,導致電子化采購在運行中存在很多安全隱患。
1、管理思想上的問題。一是缺乏系統的管理思想。隨著采購工作的規范化、信息化運行,采購機構為信息安全做了大量的工作,制定了一些安全管理制度,但基本上還是靜態的、局部的、少數人負責的、突擊式的、事后糾正式的傳統管理方式,而不是建立在風險評估基礎上的動態的持續改進管理的方法。結果不能從根本上避免、降低各類風險,也不能降低采購電子化中由信息安全故障引起的綜合效益損失。二是缺乏信息安全意識和信息安全方針。部分采購機構領導對電子化進程中信息資產所面臨的威脅認識不足,或者只局限于IT方面的安全,沒有形成一個合理的電子化采購方針來指導組織信息安全管理工作。表現為缺乏完整的信息安全管理制度,缺乏對網絡工作人員進行必要的安全法律法規和防范安全風險的教育與培訓,對現有的安全制度不能完全實施等。三是重視安全技術,輕視安全管理。目前,各級采購機構正處于信息化建設的關鍵時期,為此,各級都配備先進的計算機、網絡等技術,用以提高采購效率及服務水平。但是,相應的管理措施不到位,如系統的運行、維護、開發等崗位不清,職責不分,存在一人身兼數職的情況,造成安全隱患。
2、規章制度上的問題。網上采購作為采購信息化建設的產物,對傳統的采購模式已經構成挑戰。對于這樣的新生事物,相關的法律、制度至今還很不完善,即便在最近頒布實施的一些采購法規中提及的也很少。關于哪些方面信息應當公布、如何公布,網上采購程序的合法性如何界定,電子采購合同法律效力的確定,采購電子化的應急管理等,都是相關部門必須面對的問題。應盡快以法律方式來認可和保護電子簽章,建立采購信息公開規定,以實現采購信息的開放性與安全性之間的平衡。通過各項配套法律的完善,使在建立一整套行之有效的措施的同時,落實各項安全保障制度。
3、管理技術上的問題。電子化采購所依托的是路由器、交換機、工作站、網絡服務器,以及各類支持軟件,其安全性能、技術標準等對信息系統的安全有著重要影響。電子化管理技術上的缺陷來自三個方面:一是硬件缺陷。由于采購事業經費較少的原因,部分采購機構計算機配置較低,一些先進的安全硬件,如現代化的采購網絡中心還沒有建立。二是軟件缺陷。采購信息平臺正處于研發、試用階段,很多軟件技術還不成熟,如確認客戶身份真實性的技術、保證數據傳輸安全的技術等。三是先進的測試技術應用不夠,如網絡反病毒、網絡入侵檢測、網絡安全掃描等技術。
4、采購人才的問題。電子化采購專業人才的缺乏是當前采購電子化進程中安全隱患的重要原因。系統安全管理人員是復合型人才,電子化采購的發展需要大批既熟悉物資采購業務,又精通計算機網絡技術,具有豐富網絡工程建設經驗的工程技術人員、管理人員。由于電子化采購事業剛剛起步,現有采購工作人員長期從事的都是傳統采購工作,所以在一時間內難以適應新的采購方式的要求。
二、采購電子化進程中的安全策略
采購電子化改變了傳統采購業務的處理方式,優化了采購過程,提高了采購效率,降低了采購成本,使采購真正達到了公開、公平、公正。實施采購電子化,將推動整個“采購管理信息化”的建設和發展,并將促使采購經濟效益的整體提高。但是,這些優越性要通過良好的采購網絡運行平臺才能實現,因此,必須通過有效方式營造一個安全可靠的電子化采購網絡環境。
1、更新觀念,強化管理,深化科學的電子化采購管理理念。樹立系統管理思想。在考察、分析和解決電子化采購安全管理問題時要著眼于整個電子化采購安全系統,要以合作的精神從整個電子化采購事業全局出發,把一組具有特定目的、相互聯系、相互制約的安全因素組合起來,根據輕重緩急,予以通盤考慮,逐次解決。影響電子化安全的因素是多方面的、復雜的,同時又是相互聯系、相互制約的,一個安全隱患的存在通常會影響到整個電子化采購系統的有效運行。要確實樹立系統管理思想還需把電子化安全隱患當做動態的、發展的、持續的,把握其發展規律。
加強內部管理。安全的最高境界不是產品,也不是服務,而是管理。要想保證網絡的安全,在做好邊界防護的同時,更要做好內部網絡的管理。網絡的內部安全管理策略包括:確定安全管理等級和安全管理范圍;嚴格控制人員進出入機房;監督工作人員操作過程,理順信息安全工作與其他工作的區別。
確定安全管理原則。采購機構網絡中心的安全管理要本著多人負責、任期有限、職責分離的原則,將下列每組內的兩項信息處理工作分開:計算機操作與計算機編程;機密資料的接收和傳送;安全管理和系統管理;應用程序和系統程序的編制;訪問證件的管理與其他工作;計算機操作與信息系統使用媒介的保管。
2、建章立制,力促規范,加快電子化采購法規建設。安全的基石是社會法律、法規與手段,缺少法律、法規支持的安全是沒有保障、不能持久的。采購電子化是對傳統采購的一個突破,對采購工作人員的工作習慣和思維方式產生了一定的沖擊,法規支持的缺位,不利于統一規范用戶和采購機構的思想認識,不利于規范采購環節的當事各方。
借鑒《電子簽名法》、《電子商務示范法》,建立符合采購實際的電子簽名方法、電子合同保護方法。要實現真正意義上的電子化采購,電子合同、電子簽名是關鍵的一環,但從地方政府及企業的運行來看,這一環容易出現簽名無效或者采購當事人拒不承認采購合同的合法性等問題,為采購行為增添了不明朗的前景,頒布簽名及電子合同保護方法極為重要。
制定安全管理制度。信息系統的安全管理部門應根據管理原則和該系統處理數據的保密性,制訂相應的管理制度或采用相應的規范。具體工作包括:根據工作重要程度,確定系統安全等級;根據安全等級,確定安全管理的范圍;制訂相應的機房出入管理制度;制訂嚴格的操作規程;制訂完備的系統維護制度;制定應急等級轉換規定以及應急管理措施等。此外還包括電子化采購中的人員培訓制度、專業電子化采購人員選擇辦法等。
篇10
在全球信息化的推動下,計算機信息網絡作用不斷擴大的同時,信息網絡的安全也變得日益重要,一旦遭受破壞,其影響或損失也十分巨大,電力系統信息安全是電力系統安全運行和對社會可靠供電的保障,是一項涉及電網調度自動化、繼電保護及安全裝置、廠站自動化、配電網自動化、電力負荷控制、電力營銷、信息網絡系統等有關生產、經營和管理方面的多領域、復雜的大型系統工程。應結合電力工業特點,深入分析電力系統信息安全存在的問題,探討建立電力系統信息安全體系,保證電網安全穩定運行,提高電力企業社會效益和經濟效益,更好地為國民經濟高速發展和滿足人民生活需要服務。
研究電力系統信息安全問題、制定電力系統信息遭受內部外部攻擊時的防范與系統恢復措施等信息安全戰略是當前信息化工作的重要內容。
關鍵詞:電力系統;計算機網絡;可靠供電;安全體系;信息安全戰略
中圖分類號:TM715文獻標識碼: A 文章編號:
一、電力系統的信息安全體系
信息安全指的是為數據處理系統建立和采用的技術和管理的安全保護,保護計算機硬件、軟件和數據不因偶然和惡意的原因遭到破壞、更改和泄露。包括保密性、完雅性、可用性、真實性、可靠性、責任性等幾個方面。
信息安全涉及的因素有,物理安全、信息安全、網絡安全、文化安全。
作為全方位的、整體的信息安全體系是分層次的,不同層次反映了不同的安全問題。
信息安全應該實行分層保護措施,有以下五個方面,
①物理層面安全,環境安全、設備安全、介質安全,②網絡層面安全,網絡運行安全,網絡傳輸安全,網絡邊界安全,③系統層面安全,操作系統安全,數據庫管理系統安全,④應用層面安全,辦公系統安全,業務系統安全,服務系統安全,⑤管理層面安全,安全管理制度,部門與人員的組織規則。
二、電力系統的信息安全策略
電力系統的信息安全具有訪問方式多樣,用戶群龐大、網絡行為突發性較高等特點。信息安全問題需從網絡規劃設計階段就仔細考慮,并在實際運行中嚴格管理。為了保障信息安全,采取的策略如下:
(一)設備安全策略
這是在企業網規劃設計階段就應充分考慮安全問題。將一些重要的設備,如各種服務器、主干交換機、路由器等盡量實行集中管理。各種通信線路盡量實行深埋、穿線或架空,并有明顯標記,防止意外損壞。對于終端設備,如工作站、小型交挾機、集線器和其它轉接設備要落實到人,進行嚴格管理。
(二)安全技術策略
為了達到保障信息安全的目的,要采取各種安全技術,其不可缺少的技術層措施如下:
1.防火墻技術。防火墻是用于將信任網絡與非信任網絡隔離的一種技術,它通過單一集中的安全檢查點,強制實糟相應的安全策略進行檢查,防止對重要信息資源進行非法存取和訪問。電力系統的生產、計量、營銷、調度管理等系統之間,信息的共享、整合與調用,都需要在不同網段之間對這些訪問行為進行過濾和控制,阻斷攻擊破壞行為,分權限合理享用信息資源。
2.病毒防護技術。為免受病毒造成的損失,要采用的多層防病毒體系。即在每臺Pc機上安裝防病毒軟件客戶端,在服務器上安裝基于服務器的防病毒軟件,在網關上安裝基于網關的防病毒軟件。必須在信息系統的各個環節采用全網全面的防病毒策略,在計算機病毒預防、檢測和病毒庫的升級分發等環節統一管理,建立較完善的管理制度,才能有效的防止和控制病毒的侵害。
3.虛擬局域網技術(VLAN技術)。VLAN技術允許網絡管理者將一個物理的LAN邏輯地劃分成不同的廣播域,每一個VLAN都包含1組有著相同需求的計算機工作站,與物理上形成的LAN有相同的屬性。但由于它是邏輯而不是物理劃分,所以同一個LAN內的各工作站無須放置在同一物理空間里,既這些工作站不一定屬于同一個物理LAN網段。一個VLAN內部的廣播和單播流量都不會轉發到其他VLAN中,有助于控制流量、控制廣播風暴、減少設備投資、簡化網絡管理、提高網絡的安全性。
4.數據與系統備份技術。電力企業的數據庫必須定期進行備份,按其重要程度確定數據備份等級。配置數據備份策略,建立企業數據備份中心,采用先進災難恢復技術,對關鍵業務的數據與應用系統進行備份,制定詳盡的應用數據備份和數據庫故障恢復預案,并進行定期預演。確保在數據損壞或系統崩潰的情況下能快速恢復數據與系統,從而保證信息系統的可用性和可靠性。
5.安全審計技術。隨著系統規模的擴展與安全設施的完善,應該引入集中智能的安全審計系統,通過技術手段,實現自動對網絡設備日志、操作系統運行日志、數據庫訪問日志、業務應用系統運行日志、安全設施運行日志等進行統一安全審計,及時自動分析系統安全事件,實現系統安全運行管理。
6.建立信息安全身份認證體系。CA是Certificate Authority的縮寫,即證書授權。在電子商務系統中,所有實體的證書都是由證書授權中心(CA中心)分發并簽名的。一個完整、安全的電子商務系統必須建立起一個完整、合理的CA體系。CA體系由證書審批部門和證書操作部門組成。電力市場交易系統就其實質來說,是一個典型的電子商務系統,它必須保證交易數據安全。在電力市場技術支持系統中,作為市場成員交易各方的身份確認、物流控制、財務結算、實時數據交換系統中,均需要權威、安全的身份認證系統。在電力系統中,電子商務逐步擴展到電力營銷系統、電力物質采購系統、電力燃料供應系統等許多方面。因此,建立全國和網、省公司的cA機構,對企業員工上網用戶統一身份認證和數字簽名等安全認證,對系統中關鍵業務進行安全審計,并開展與銀行之間、上下級CA機構之間、其他需要CA機構之間的交叉認證的技術研究及試點工作。
(三)組織管理策略
信息安全是技術措施和組織管理措施的統一,“三分技術、七分管理”。沒有管理,就沒有安全。再好的第三方安全技術和產品,如果沒有科學的組織管理配合,都會形同虛設。
1.安全意識與安全技能。通過普及安全知識的培訓,可以提高電力企業職員安全知識和安全意識,使他們具備一些基本的安全防護意識和發現解決某些常見安全問題的能力。通過專業安全培訓提高操作維護者的安全操作技能,然后再配合第三方安全技術和產品,將使信息安全保障工作得到提升。
2.安全策略與制度。應該從企業發展角度對整體的信息安全工作提供方針性指導,制定一套指導性的、統一的安全策略和制度。沒有標準,無法衡量信息的安全,沒有法規,無從遵循信息安全的制度,沒有策略,無法形成安全防護體系。安全策略和制度管理是法律管理的形式化、具體化,是法規與管理的接口和信息安全得以實現的重要保證。
3.安全組織與崗位。企業的組織體系應實行“統一組織、分散管理”的方式,建立以信息中心作為企業的信息安全管理機構,全面負責企業范圍內的信息安全管理和維護工作。安全崗位是信息系統安全管理機構,根據系統安全需要設定的負責某一個或某幾個安全事務的職位,崗位在系統內部可以是具有垂直領導關系的若干層次的一個序列。這樣在全企業范圍內形成信息安全管理的專一工作,使各級信息技術部門也因此會很好配合信息安全推行工作。
- 上一篇:辦公室用電安全整改方案
- 下一篇:大氣污染防治整改方案
相關期刊
精品范文
4信息簡報