時間:2023-10-27 10:41:26
導語:在公司信息安全建設的撰寫旅程中,學習并吸收他人佳作的精髓是一條寶貴的路徑,好期刊匯集了九篇優秀范文,愿這些內容能夠啟發您的創作靈感,引領您探索更多的創作可能。
關鍵詞 食品安全;信息追溯;終端查詢
中圖分類號:TS201 文獻標識碼:A 文章編號:1671-7597(2014)10-0137-01
當前食品、藥品等關系國計民生的行業屢屢出現嚴重的質量問題,從毒果凍、毒酸奶、毒膠囊到三聚氰胺、瘦肉精、塑化劑等,無一不在震撼大眾視聽,社會上對于產品的質量安全保證要求呼聲越來越高,企業也非常希望能建立一套完善的質量追蹤追溯系統。《國家十二五規劃》中明確提出要“建立食品藥品質量追溯制度,形成來源可追溯、去向可查證、責任可追究的安全責任鏈”。
2007年吐魯番地區提出加快實施“精品哈密瓜品牌戰略”,開展了包括質量安全信息追溯體系建設等為內容的多種舉措工作,新疆標準化研究院抓住這一契機,在當地相關部門的支持下,建設完成了“吐魯番哈密瓜質量安全追溯體系建設應用示范”項目。項目的建設完成成為質監部門在開展質量安全信息追溯工作方面的首個應用示范工程。隨后通過幾年的努力,截至2011年,又先后在和田、吐魯番、喀什、昌吉等4個地州對總計12個農產品完成了體系建設工作,取得了一定的效果:如追溯體系的建設得到國家中心及兄弟省市同行的認可,產生了一定的影響力;納入平臺企業的信息化管理水平得到了提高,農戶取得了一定的收益。
然而,目前追溯體系建設工作的開展在定位、運作方式、系統功能完善及市場開拓和制度建設等方面還需要進一步地研究與探索,以滿足食品安全信息追溯工作在新形勢下實現快速發展的新要求。
1 平臺網站建設
1.1 平臺網站功能框架
架設應用子系統,主要包括“果蔬類追溯系統”、“乳制品電子信息追溯系統”、“水產品追溯系統”、“畜禽肉追溯系統”等,完善食品安全追溯信息中心數據庫。
主要版塊:新疆食品安全追溯信息查詢服務,新加入會員的產品宣傳,企業展示、營銷,食品安全相關資訊的,力爭將網站建成新疆權威的食品安全追溯網站;同時不斷優化平臺,提高在google、baidu中的排名。
信息方式以實現互聯網、查詢終端、電話、手機接入wap網站服務、短信等。
提供系統智能統計分析;整合各個已有的食品安全信息追溯應用服務,形成對外統計、查詢接口。
1.2 為平臺的可擴展性預留接口,實現追溯信息的資源共享
1)考慮與國家質監總局追溯平臺數據對接。
2)與第三方檢測機構數據對接。
3)考慮與銷售終端網點、信息門戶網站、網上營銷等實現的數據對接與資源共享。
1.3 追溯碼長度適應多樣化要求
可依據企業需求,按照國家標準可自由選擇在編碼要求規定范圍內編制追溯碼;同時,查詢平臺滿足不同長度追溯碼的查詢。
2 平臺主要內容
2.1 平臺的軟件環境
軟件環境:Windows 2000 Server以上的操作系統,Microsoft SQL Server 2000以上的數據庫、IIS(Internet信息服務) 5.0以上、Microsoft .NET Framework 2.0以上、與Microsoft .NET Framework對應的Crystal Reports、Microsoft 2.0 AJAX Extensions。
2.2 平臺建設目的
1)滿足職能部門的監管需要;通過提供有效的追溯信息,為職能部門依法行政、打擊假冒偽劣等工作提供服務。
2)滿足企業管理的需要;“總平臺”建設以“扶優撫強”為基本出發點,通過加強追溯信息鏈條各環節的管理控制工作,提升企業質量控制能力的水平。
3)滿足消費者知情權的需要;通過強化企業的應用主體責任,向社會明示追溯產品信息的真實、有效并公開承諾責任義務,為社會監督企業行為獲取追溯信息提供渠道。
4)滿足研究部門提供有效服務的需要;通過對“總平臺”管理體系、標準體系、技術體系的研究與建設,全面提高向社會各界提供有效服務的能力和水平。
2.3 平臺特點
通過平臺的建設,政府監管部門通過此平臺可及時對企業及食品進行流向跟蹤、抽檢,并拉近了企業與消費者的距離,主要體現在以下幾個方面。
1)實現信息查詢的完整性。在種植/養殖過程、原輔料供應、生產管理、倉儲物流、銷售業務等各個環節采取合適的技術手段實時記錄產品信息,可通過查詢隨時跟蹤產品的生產狀態、倉儲狀態和流向,以達到產品追溯管理的目的。
2)信息的唯一性。通過追溯碼的唯一性,能夠定位到每個或每批次包裝產品。
3)信息查詢的準確性。消費者查詢到的食品安全信息應與企業食品實際生產過程相一致,保證數據的真實性,同時應對數據傳輸各環節進行監控,防止數據篡改和前后不一致。
4)信息查詢的方便性。消費者可通過手機、PC、超市掃描設備等終端隨時隨地對食品安全信息進行查詢。
2.4 平臺建設原則
平臺建設的5個原則:
1)法律法規為基礎的原則:平臺建設充分考慮政策的支持,貫徹落實《食品安全法》、《農產品食品安全法》、《標準化法》、《食品安全法實施條例》、《國務院關于加強食品等產品安全監督管理的特別規定》等相關法律法規。
2)政府引導、企業自愿加入的原則:以“會員制”方式發展成員,以三種模式開展會員制建設工作,一是“政府引導、企業參與”的方式帶動區域追溯體系建設工作;二是以經濟合作方式下的社團參與模式;三是企業化的運作模式。
3)符合“扶優扶強”的原則:加入平臺的企業具備一定的條件,通過“準入制度”的相關要求進行審核評價后,滿足追溯體系建設的最低標準要求方可成為平臺的加盟企業。
4)企業應用主體責任原則:強調企業在食品安全信息追溯中主體責任的內容,通過落實企業在食品安全中第一責任人的角色,協助企業建立“食品質量安全記錄制度”。企業對的信息確保其真實性、準確性、有效性,并向社會公開承諾。
5)整體規劃、分步實施的原則:以完成追溯管理要求和查詢的要求出發,逐步完成較全面的綜合網站平臺建設任務。
3 結束語
質量安全追溯系統的應用,無論對企業還是社會,都具有重大的意義和價值。對于企業來講,追溯系統能解決其生產經營過程中的質量管理問題,有助于企業提高產品質量,提升客戶滿意度;對于社會來講,追溯系統的廣泛應用可以有效地實現產品質量監管。因此,無論企業還是政府部門都在不斷加大力度推動生產、流通領域建立質量安全追溯體系。
(北京中油瑞飛信息技術有限責任公司北京100007)
摘要:通過對大中型跨國企業海外信息安全體系的研究,形成了一個完整的海外信息安全體系框架,包括安全策略、安全技術體系、安全管理體系、運行保障體系和建設實施規劃等。依照該框架,企業可以針對各部分進行具體實施,從而完成整個的海外信息安全建設。
關鍵詞 :大中型企業;信息安全體系;框架;理論指導;安全模型
1海外信息安全體系建設原則
大中型企業海外信息安全體系的建設,涉及面廣、工作量大,整體設計必須堅持以下的原則,以保證建設和運營的效果。
1.1統一規劃管理
要對信息安全體系建設進行統一的規劃,制定信息安全體系框架,明確保障體系中所包含的內容。同時,還要制定統一的信息安全建設標準和管理規范,使得信息安全體系建設遵循一致的標準、管理遵循一致的規范。
1.2分步有序實施
信息安全體系建設的內容龐雜,必須堅持分步有序的實施原則,循序漸進。
1.3技術管理并重
僅有全面的安全技術和機制是遠遠不夠的,安全管理也具有同樣的重要性。信息安全體系的建設,必須遵循安全技術和安全管理并重的原則,制定統一的安全建設管理規范,指導安全管理工作。
1.4突出安全保障
信息安全體系建設要突出安全保障的重要性,通過數據備份、冗余設計、應急響應、安全審計、災難恢復等安全保障機制,保障業務的持續性和數據的安全性。
2海外信息安全體系建設目標
大型跨國企業海外信息安全的建設目標是:基于安全基礎設施、以安全策略為指導,提供全面的安全服務內容,覆蓋從物理、網絡、系統直至數據和應用平臺各個層面,以及保護、檢測、響應、恢復等各個環節,構建全面、完整、高效的信息安全體系,從而提高企業信息系統的整體安全等級,為企業海外業務發展提供堅實的信息安全保障。
3海外信息安全體系框架
企業進行信息安全建設的目標是建立起一個全面、有效的信息安全體系,包括了安全技術、安全管理、人員組織、教育培訓、資金投入等關鍵因素,信息安全建設的內容多,規模大,必須進行全面的統籌規劃,明確信息安全建設的工作內容、技術標準、組織機構、管理規范、人員崗位配備、實施步驟、資金投入,才能夠保證信息安全建設有序可控地進行,使信息安全體系發揮最優的保障效果。
同時還應該制定一系列的安全管理規范,指導信息安全建設和運營工作,使得信息安全建設能夠依據統一的標準開展,信息安全體系的運營和維護能夠遵循統一的規范進行。
3.1安全目標模型
根據大型跨國企業海外信息安全體系建設目標和總體安全策略,建立與之對應的目標模型,稱為WP2DRR安全模型。該模型由預警( Warning)、策略(Policy)、保護(Protectlon)、檢測(Detection)、響應(Response)、恢復(Recovery)6個要素環節構成了一個基于時間的、完整的、動態的信息安全體系。WP2DRR模型在P2DR模型的基礎上新增加了預警Warnlng和恢復Recover,增強了安全保障體系的事前預防和事后恢復能力,系統一旦發生安全事故,也能恢復系統功能和數據,恢復系統的正常運行。
安全目標模型是信息安全體系框架的基礎,大型跨國企業的海外信息安全體系框架應該緊密圍繞安全模型的6個要素環節進行設計,每個要素環節的功能都在安全技術體系、安全組織和管理體系以及運行保障體系中體現出來。
3.2信息安全體系框架組成
通過對企業的網絡和應用現狀、安全現狀、面臨的安全風險的分析,根據安全保障目標模型,制定了大型跨國企業海外信息安全體系框架。制定該框架的目的在于從宏觀上指導和管理信息安全體系的建設和運營。
該框架由一組相互關聯、相互作用、相互彌補、相互推動、相互依賴、不可分割的信息安全保障要素組成。此框架中,以安全策略為指導,融會了安全技術、安全管理和運行保障3個層次的安全體系,以達到系統可用性、可控性、抗攻擊性、完整性、保密性的安全目標。大型跨國企業海外信息安全體系框架的總體結構如圖1所示。
3.2.1安全策略
在這個框架中,安全策略是指導,與安全技術體系、安全組織和管理體系以及運行保障體系這3大體系相互作用。一方面,3大體系是在安全策略的指導下構建的,主要是要將安全策略中制定的各個要素轉化成為可行的技術實現方法和管理、運行保障手段,全面實現安全策略中所制定的目標。另一方面,安全策略本身也有包括草案設計、評審、實施、培訓、部署、監控、強化、重新評佶、修訂等步驟在內的生命周期,需要采用一些技術方法和管理手段進行管理,保證安全策略的及時性和有效性。
按照要保障的資產對象的不同,總體策略劃分為物理安全、網絡安全、系統安全、病毒防治、身份認證、應用授權和訪問控制、數據加密、數據備份和災難恢復、應急響應、教育培訓等若干方面進行闡述。
隨著技術的發展以及系統的升級、調整,安全策略也應該進行重新評估和制定,隨時保持策略與安全目標的一致性。
3.2.2安全技術體系
安全技術體系是整個信息安全體系框架的基礎,包括了安全基礎設施平臺、安全應用系統平臺和安全綜合管理平臺這3個部分,以統一的信息安全基礎設施平臺為支撐,以統一的安全系統應用平臺為輔助,在統一的綜合安全管理平臺管理下的技術保障體系框架。
安全基礎設施平臺是以安全策略為指導,立足于現有的成熟安全技術和安全機制,從物理和通信安全防護、網絡安全防護、主機系統安全防護、應用安全防護等多個層次出發,建立起的一個各個部分相互協同的完整的安全技術防護體系。
應用信息系統通過使用安全基礎設施平臺所提供的各類安全服務,提升自身的安全等級,以更加安全的方式,提供業務服務和內部信息管理服務。安全綜合管理平臺的管理范圍盡可能地涵蓋安全技術體系中涉及的各種安全機制與安全設備,對這些安全機制和安全設備進行統一的管理和控制,負責管理和維護安全策略,配置管理相應的安全機制,確保這些安全技術與設施能夠按照設計的要求協同運作,可靠運行。它在傳統的信息系統應用體系與備類安全技術、安全產品、安全防御措施等安全手段之間搭起橋梁,使得各類安全手段能與現有的信息系統應用體系緊密的結合實現無縫連接,促成信息系統安全與信息系統應用的真正的一體化,使得傳統的信息系統應用體系逐步過渡向安全的信息系統應用體系。
統一的安全管理平臺有助于各種安全管理技術手段的相互補充和有效發揮,也便于從系統整體的角度來進行安全的監控和管理,從而提高安全管理工作的效率,使人為的安全管理活動參與量大幅下降。
3.2.3安全管理體系
安全組織和管理體系是安全技術體系真正有效發揮保護作用的重要保障,安全管理體系的設計立足于總體安全策略,并與安全技術體系相互配合,增強技術防護體系的效率和效果,同時也彌補當前技術無法完全解決的安全缺陷。
技術和管理是相互結合的。一方面,安全防護技術措施需要安全管理措施來加強,另一方面技術也是對管理措施貫徹執行的監督手段。在大型跨國企業海外信息安全體系框架中,安全管理體系的設計充分參考和借鑒了國際信息安全管理標準《BS7799 (IS017799)》的建議。
大型跨國企業海外信息安全管理體系由若干信息安全管理類組成,每項信息安全管理類可分解為多個安全目標和安全控制。每個安全目標都有若干安全控制與其相對應,這些安全控制是為了達成相應安全目標的管理工作和要求。
3.2.4運行保障體系
運行與保障體系由安全技術和安全管理緊密結合的內容所組成,包括了系統可靠性設計、系統數據的備份計劃、安全事件的應急響應計劃、安全審計、災難恢復計劃等,運行和保障體系對于企業網絡和信息系統的可持續性運營提供了重要的保障手段。
3.2.5建設實施規劃
建設實施規劃是在安全管理體系、安全技術體系、運行保障體系設計的基礎上進一步制定的建設步驟和實施方案。在建設實施規劃中突出體現了分步有序實施的原則。
任何信息安全建設都需要人員負責管理和實施,因此,首先應該建立信息安全工作監管組織機構,明確各級管理機構的人員配備,職能和責任。其中信息安全管理機構負責信息安全策略的審核與頒布、統一技術標準和管理規范的制定、指導和監督信息安全建設工作、對信息安全系統進行監控與審計管理。
信息安全體系建設,應該首先從物理環境安全建設入手,確保機房建設按照的統一標準進行建設,并且按照統一的管理規范進行管理。
在接下來的網絡安全建設中,應對計算機網絡的安全域進行劃分,對網絡結構進行調整,以確保內部網絡與外部網絡、業務網絡與辦公網絡邊界清晰;在各安全域的邊界處部署防火墻、網絡入侵檢測等安全產品,形成立體的區域邊界保護機制,對各安全域進行邏輯安全隔離,禁止未授權的網絡訪問;在內部網絡中部署網絡脆弱性分析工具,定期對內部網絡進行檢查,并采取措施及時彌補新發現的安全漏洞。
在進行網絡安全建設的同時,還可以進行系統安全建設,在內部網絡中全面部署網絡病毒查殺系統,有效抑制計算機病毒在內部網絡中傳播,避免對系統和數據造成損害。另外,主機系統管理員還應該按照主機系統管理規范的要求,借助主機脆弱性分析和安全加固工具,定期對主機系統進行檢查,更新安全漏洞補丁的級別,修正不當的系統和服務配置,查看和分析系統審計日志,控制和保證主機系統的良好安全狀態。
應用安全建設包括建立身份認證系統、應用授權和訪問控制系統、數據安全傳輸系統等,對專業業務應用系統和內部信息管理系統提供各種安全服務。
按照統一標準,建立安全審計與分析系統、系統和數據備份計劃、安全事件應急響應計劃、災難恢復計劃等安全保障機制,重在保護業務數據等信息資產,保證內外應用服務的持續可用性。
對所有員工進行基本安全教育,為信息安全系統相關技術人員提供專門的安全理論和安全技能培訓,提高全員的安全意識,打造一支高素質的專業技術和管理隊伍。
4結論
海外信息安全體系是一個全方位的體系,從技術到管理、從網絡到設備再到人。任何一個方面都要考慮周全,只有每一個部分的安全才是整體的安全。
參考文獻
關鍵詞:智能電網 信息安全 必要性
今年11月18日召開的國家電網公司學習貫徹黨的十八屆三中全會精神暨2013年第四季度工作會議,就堅強智能電網建設提出要求,強調當前要把握第三次工業革命孕育發展的新機遇,加快建設堅強智能電網,承載和推動第三次工業革命,實現安全發展、高效發展、清潔發展、友好發展的目標。堅強智能電網建設自2009年實施起發展至今已有五年之久。在此期間,國家電網公司結合電網用戶服務新需求,通過對當前國內外供電服務形勢的研究,提出了符合本國國情的堅強智能電網的戰略發展思路,即“一個目標,兩條主線、三個階段、四個體系、五個內涵”。該框架基于變電站、智能供配電、智能用電、電力調度等業務規模,結合網絡通信科技和長遠戰略規劃,從基礎設施和開發需求兩方面對本國智能電網建設情況進行了細致的分析,在此基礎上提出了智能電網建設的關鍵技術研究內容及實施計劃,為堅強智能電網建設埋下良好的伏筆。
隨著經濟社會持續快速發展,以及霧霾等環境問題不斷加劇,電網發展面臨一系列新課題、新挑戰:電網“兩頭薄弱”問題亟待解決,新能源和分布式電源發展迅猛,社會用電友好互動要求不斷提高。應對挑戰,滿足經濟社會發展的需要,根本在于加快建設堅強智能電網。從本質上看,堅強智能電網就是以堅強網架為基礎,集成現代網絡技術、控制技術和信息技術,聯接大型能源基地、分布式電源和各類電力客戶的“能源互聯網”,是功能強大的能源轉換、高效配置和互動服務綜合平臺。當前,要加快建設堅強智能電網,承載和推動第三次工業革命,實現安全、高效、清潔、友好發展的目標。但隨著智能電網建設的逐步展開,電網信息系統的安全防御逐漸成為業界關注的焦點問題,構建一套實用型的信息安全防御體系,從而為智能電網信息系統安全運行提供基本保障。
1 智能電網信息安全需求必要性分析
1.1 電網系統信息化建設的需要 近期,“棱鏡門”的持續發酵使網絡信息安全問題再次受到社會的廣泛關注。實際上,不僅在傳統的公用互聯網領域,由于關注度不高以及前期起步階段受到諸多客觀因素的制約,相較于傳統互聯網行業來說,智能電網信息安全問題隱患更大。為確保電網系統的安全穩定運行,應該結合本國國情和電網行業發展規劃,構建一套穩定可靠的安全防護體系,創建“本質安全”的安全控制網。
1.2 電網系統對網絡安全防護體系的需要 當前,網絡科技的發展極大的方便了居民的日常生活,但由此產生的網絡病毒、黑客攻擊事件也使企業內部網絡面臨諸多考驗。尤其近幾個月以來,由斯諾登曝光的數據泄密問題已經造成各國政府、金融業及網絡科技行業的高度關注。在國內,以網絡科技為主線的信息安全產業鏈已逐步完善,但行業集中度很低導致技術仍然比較落后,部分企業甚至缺乏技術產品化的能力。中國工程院沈昌祥院士指出,由老三樣(防火墻、入侵監測和病毒防范)為主要構成的傳統信息安全系統,是以防外與封堵為特征,與目前信息安全主要威脅源自內部的實際狀況不相符合,并且從組成信息系統的服務器、網絡、終端三個層面上來看,現有的保護手段是逐層遞減的。因此,從信息安全的角度來看,進一步加強和改進電網信息系統安全防護體系建設確有必要。
1.3 解決電網信息系統存在的問題 針對電網信息安全系統建設中存在的問題,筆者強調,電網信息系統建設應立足國產化,積極探索自主可控安全管理模式,結合電網安全需求,加強頂層設計,對電網信息安全工作進行整體規劃,建成電網信息安全等級保護縱深防御體系,為建設世界一流電網和國際一流企業提供了強有力的信息安全運行保障。電力行業主管部門高度評價公司信息安全建設工作,對電力行業和其他中央企業的信息安全建設都具有很好的示范性。
2 智能電網信息安全體系可行性分析
隨著電力通信和網絡科技的發展,各種攻擊技術、網絡入侵技術水平也得到了飛速發展。電網的升級改造和業務規模的拓展,不僅面臨眾多考驗,而且必須解決電網信息安全防御體系建設的問題。過去十余年來,電力信息技術的發展主要致力于實現互聯,而未來十年電力信息技術的發展將側重于安全防護。在全面深化改革的重大歷史進程中,我們要堅定不移加快轉變電網發展方式,著力解決電網“兩頭薄弱”問題;同時,建立縱深防御的安全系統,有效抵御各類不法行為的攻擊,使電力信息系統成為智能電網建設的有力支撐。就目前智能電網建設要求而言,加強電力信息系統安全防御體系建設,不僅是電力系統自身建設的需求,而且是關系國民經濟和居民生活的大問題。從經濟發展的角度來分析,加強電力信息系統安全建設,就是通過現代網絡信息技術的應用拓展業務規模的重要手段,是我國電網行業適應全球化經濟特征的基本要求。
3 智能電網信息安全體系建設的目標
信息安全體系建設是電網安全穩定運行的基本保障。作為智能電網建設的有力支撐信息系統建設,應立足國產化,積極探索自主可控安全管理模式,結合電網安全需求,加強頂層設計,對電網信息安全工作進行整體規劃,建成電網信息安全等級保護縱深防御體系,為建設世界一流電網和國際一流企業提供了強有力的信息安全運行保障。電力行業主管部門高度評價公司信息安全建設工作,對電力行業和其他中央企業的信息安全建設都具有很好的示范性。
智能電網信息安全體系建設,應科學制定規劃目標,推進設計變革,促進電力流、信息流、業務流的深度融合;制定統一標準的技術規范,規范地下電力管線建設,完善智能電網技術標準體系;積極爭取優惠支持政策,爭取電價、財政、稅收與金融等激勵政策,爭取地方政府政策支持,提高電網信息的實用性和可審計性,確保電網信息系統機密、安全,最終實現“實體可信、行為可控、資源可管、事件可查、運行可靠”的目標。
4 結語
站在新的歷史起點上,我們要強化政治意識和大局意識,科學謀劃電網發展,讓生產要素的活力競相迸發,讓創新發展的源泉充分涌動,堅定不移實現中央改革決策部署,不斷贏得發展新優勢、開創事業新局面。
參考文獻:
[1]張明輝.淺析電力企業信息化建設[J].電力信息化,2004,06,28
-310.
當前信息安全的發展趨勢已經不僅僅是升級傳統安全產品,而是從業務策略和整體系統上來考慮安全問題,幫助企業建立安全、完善的IT環境,以應對來自內外部的攻擊,降低風險和損失。因此,全方位安全策略及解決方案對保護電信運營商信息系統的安全不可或缺。
對于電信運營商而言,目前都已制定了相關的制度和流程,但還沒有企業級整體的信息安全規劃和建設,信息安全還沒有或很少從整體上進行考慮。IBM企業IT安全服務是一套針對企業信息安全管理的完善解決方案,能夠協助企業更加全面地認識信息技術、評估企業的信息安全隱患及薄弱環節,進一步完善運營商安全架構,為電信運營商的應用構建高度信息安全的運行環境,共同規劃、設計、實施、運作,從而保護企業信息系統的安全。
事實上,管理者不應該再將信息安全看作一個孤立的或是純技術的問題,而要從企業運營的全局角度整體看待,制定與企業特點和成長潛力相適應的安全管理架構。
完善的安全架構必須能夠隨著市場的變化進行調整,IT部門的決策者必須密切關注市場的變化。2007年安全用戶在三類需求上將有突出的增長。CIO需要更好地應對日益增長的法規遵從性要求,更多地關注應用層面,與此同時,積極利用外包的機遇實現更好的投資回報。
在中國,隨著信息安全和上市公司相關立法的完善,法規遵從性和相關審計在行業中的要求也正在不斷普及,越來越多的公司和行業正努力去滿足法律所規定的安全要求。電信運營商在信息管理方面需要做到三點:信息的完整性、信息的保密性和要求信息能夠在適當的時間以適當的格式被訪問,這都與信息安全密不可分。保護企業數據安全,達到法規遵從性的要求將是CIO們2007年的一大職責。
應用安全是另一個市場焦點。隨著企業業務更多依賴于各類基礎性應用,讓企業安全、順暢地訪問應用數據,保證業務永續運行的同時保障應用性能成為CIO的重要目標。過去信息安全的老三樣(防火墻、入侵檢測和防病毒)的概念已經過時,網絡邊界這樣的概念會越來越模糊,而基于身份和用戶管理的網絡行為控制將會成為主流。安全即意味著只有允許的人在允許的時間訪問允許的數據,故而身份管理可以整合各種不同類型的安全工具。同時,它也可以幫助企業認清和應對新技術部署帶來的新問題,例如無線技術在企業范圍內的廣泛應用,已經使得安全陣地從有形的網絡線路擴展到無形空間。
在電信運營商運營商強化自身安全的同時,網絡安全外包的發展給電信運營商帶來了更多的選擇。對于缺乏安全技能和人力的中小企業來說,安全管理服務(ManagedSecurityService,MSS)是一條捷徑,即通過在電信網絡上提供托管形式的安全服務,代客戶管理及監控信息安全系統與設備,并在安全事件發生的第一時間做出適當回應。在這個過程中,用戶則將目光轉向安全運維中心(SOC)服務。盡管國內用戶對SOC的理解不完全一致,但都希望借助SOC融合安全技術、安全產品、安全策略和安全措施,與電信運營商的安全咨詢、安全響應、特別是與安全運維相結合,協調各方面資源以最具成本效益的方式處理安全問題,為企業和機構提供了整體性的解決方案。
鏈接天津移動構建全面信息安全管理體系
根據中國移動集團公司制定的安全指導原則,天津移動從2000年起就開始著手IT安全建設,特別是將信息安全管理體系的建立與建全作為了一項重點工作,并在全局性的安全規劃上進行了積極探索。2007年,通過與IBM的合作,天津移動對信息安全進行了全方位的考量和整體規劃,并分三個階段進行具體實施:
安全體系建立:在對企業IT安全現狀進行評估及需求調研的基礎上,進行安全管理體系的規劃和建立,包括按ISO27001信息安全管理體系建立,匯總、歸納、體系化各種規章制度,以及相關人員的安全意識培訓等;
安全建設實施:主要包括各種軟件、硬件設備的購買、評估及加強等,輔助安全管理體系的執行;
現代供應鏈中無論是企業內部的生產、銷售訂單、合作企業的生產進度,還是企業間的資金轉帳、招投標信息,都是需要高度保密的敏感信息,這些信息的準確性、機密性將直接影響到供應鏈企業的生產和經營決策[2]。在供應鏈中,由于信息在節點企業間共享,對信息安全提出了新的要求:(1)信息安全不再是某個企業個體的事情,而是整條供應鏈所有節點企業共同面臨的問題,任何一家企業由于自身原因導致的信息安全事故,將可能危害整條供應鏈的利益。供應鏈信息安全保障工作要遠比單個企業復雜。(2)供應鏈上下游企業形成“委托—”關系,具有優勢的方往往傾向于增加信息不對稱,來獲得額外的利益。(3)由于供應鏈企業間共享的信息具有較高的商業價值,有些企業為了自身利益,可能會將共享的信息泄露給供應鏈外企業。如何既保證節點企業間的信息共享,又防止企業泄露信息、身份欺詐等有害行為的發生是供應鏈信息安全需要研究的問題。
2供應鏈信息安全現狀與問題
目前,我國企業在供應鏈管理的實踐中,對供應鏈信息安全或者重視不夠或者束手無策,存在一些較為突出的問題。
(1)信息安全意識淡薄目前我國很多供應鏈節點企業沒有意識到信息是重要資產,沒有把信息安全管理工作作為日常工作的重點。據北京谷安天下公司開展的《2011年度中國企業員工信息安全意識調查》活動結果顯示,受訪者的工作胸卡保管、個人及公司物品保管、出差物理環境安全、辦公桌面安全、打印機安全、尾隨、口令/密碼設置、敏感數據保護、數據備份、密級資料處理、電腦桌面安全等相關安全意識相對較差。
(2)信息安全管理無章可循、有章不循現象普遍供應鏈信息安全工作缺乏統一的依據和準則,節點企業的安全制度互相間存在內容交叉甚至矛盾,邊界定義不明確,安全職責模糊不清,部門責任和崗位責任制得不到真正落實,執行監督機制薄弱。許多企業對移動存儲設備的使用無嚴格規定,員工可以隨意使用移動存儲設備對文件進行存儲備份,企業信息逐步成為個人資產,隨著人員流動而廣泛傳播。員工工作時間上網暢通無阻,無限制地使用QQ、MSN等傳送、接收文件,容易導致機密泄露和病毒、木馬、黑客的攻擊。掌握大量機密信息的特權員工,例如數據庫管理員、網絡管理員、營銷主管和技術研發人員容易將掌握的機密信息出售給企業的競爭對手。
(3)缺乏信息安全技術與管理人才信息化建設中存在重硬件,輕軟件和管理的現象,對信息人才的培養與引進關注不夠。為了節約人力成本,往往一個信息安全管理員既要負責系統的配置,又要負責系統安全管理,管理權限過于集中,一旦出現管理員的權限失控或離職等情況,極易導致重要信息泄露。
(4)缺乏統一的信息安全戰略規劃和防范機制許多企業的信息安全措施隨意性很強,缺少嚴格的科學論證,采取的是“貼膏藥”式的安全策略,從而引起軟硬件安全設備(系統)間防護功能的重疊和弱化,導致管理難度加大,重復投資現象普遍[6]。有些企業經常出現“先業務,后安全”的現象[7],安全管理嚴重滯后于業務的發展。安全事件發生后才去解決,信息安全人員變成“救火員”,安全建設經常是“亡羊補牢”。
(5)供應鏈企業之間信息的共享與交流存在安全問題供應鏈各節點企業在合作過程中一再強調依靠信息共享實現雙贏,但又都是獨立的利益個體,一旦企業之間發生利益沖突,則容易出現的主要問題有:①合作伙伴的逆向選擇風險[8]。由于信息不對稱,各節點企業形成的“委托—”關系往往導致了一種逆向選擇的風險。委托方往往比方處于更不利的位置,企業往往通過阻礙信息共享,增加供應鏈中信息的不對稱,從合作伙伴那里獲得更大利益。②供應鏈節點企業的敗德行為。當前我國企業與供應鏈(網絡信息犯罪)相關法律法規不健全的法制環境下,節點企業會利用信息優勢而采取一些違背供應鏈整體利益或者其它成員企業利益的措施。企業會主動或有意將供應鏈內共享的信息泄露給沒用參與共享的企業來獲得額外利益。企業成員間還存在欺詐行為,如不法企業利用身份欺騙,以某企業成員的名義,欺騙其他企業成員[9]。諸如此類敗德行為如不加控制會降低供應鏈的服務水準,導致供應鏈其余節點企業、顧客的不滿和利益流失。
3供應鏈信息安全體系框架
供應鏈信息安全系統中的各個安全組件或要素只有整合成為一個整體協同作用時,才能有效保證整體安全管控的目標得以實現。然而,對于我國大多數供應鏈企業說,信息安全存在上述諸多問題,主要原因是在信息安全建設之初,沒有根據供應鏈整體業務發展的需要確立合理的信息安全需求,導致供應鏈信息安全架構不合理。供應鏈信息安全框架旨在為供應鏈及其節點企業提供一個全面的、自上而下的、結合了國際國內相關安全標準的安全模172型[1]。供應鏈信息安全框架由企業信息安全治理、信息安全管理、基礎安全服務和架構、第三方信息安全服務與認證機構和供應鏈信息安全技術標準體系五個模塊構成。安全治理作為架構的核心內容,是安全管理模塊的服務對象,同時,它們也是信息安全策略制定的基礎和依據,還是基礎安全服務和架構模塊中的各個子系統提供選擇和建設的依據。基礎安全服務和架構模塊是信息安全建設技術需求和功能的實現者,是信息安全建設的重要支柱。中間的安全管理模塊則通過一系列控制措施,確保基礎安全服務功能的實現,最終實現安全治理的要求,滿足供應鏈系統的信息安全需求。供應鏈信息技術標準體系為供應鏈和第三方信息安全服務與認證機構提供了標準保障和依據,有利于形成健康法制的第三方信息安全服務市場環境。第三方信息安全服務與認證機構可彌補供應鏈企業信息安全技術和經驗的不足,提供安全托管及信息安全認證服務。
4供應鏈信息安全體系框架的應用
供應鏈信息安全框架參考了眾多企業所積累的經驗,吸取了供應鏈信息安全領域的最新理論研究成果。在具體運用中可結合信息安全相關方法論、模型及標準,從企業需求出發,參照供應鏈信息安全管理框架,通過評估和風險分析等方法,定義供應鏈及其節點企業安全需求,再根據安全需求定義信息安全建設的內容和方向,如圖2所示。圖2供應鏈信息安全體系框架應用。
5結論
鐵路投產運行的信息系統很多,有的系統按照等級保護要求確定了安全等級并建立了安全系統;有的系統在設計中考慮了安全等級,但在建設過程中并未按設計要求實施安全方案;還有的系統沒有考慮安全措施。針對鐵路信息系統投產運行后的實際情況,鐵路總公司有必要組織內外部測評隊伍,根據國家和總公司對信息安全的建設要求,對信息系統開展技術和管理兩方面的現狀評估,檢查信息系統在物理安全、網絡安全、主機安全、應用安全、數據安全以及安全管理上與相應安全等級標準的差距,進行差距分析,提出建設整改意見。
2安全等級測評
在信息系統等級保護安全建設完成和投產之前,首先組織內部測評隊伍對安全建設情況進行效果測評,發現不符合性提出整改建議。內部測評結束及整改驗收后,再聘請有第三方測評資質的測評機構進行等級測評,驗證與國家及行業等級保護標準的符合性。通過總公司內部和專業測評機構的兩級測評,可有效地推進國家及行業信息安全標準在全路的落實完善。按照GB/T22239-2008《信息安全技術—信息系統安全等級保護基本要求》中的等級測評要求,信息系統在運行過程中,等級保護測評工作要定期開展,其中三級系統每年要測評一次,四級系統每半年要測評一次。根據該要求,結合每年鐵路安全大檢查工作的需要,制定每年的安全大檢查計劃,組織內外部專業測評隊伍,對三級及以上的信息系統開展安全等級測評工作。
3安全建設整改
3.1機房物理環境整改
按照《鐵路行業信息機房設計及建設規范》、《鐵路行業信息機房管理規范》的要求,完善機房環境、設備管理、電源管理、安全管理和資料管理,并從防雷、防火、防水、防靜電、防盜竊、防破壞、電力供應、機房電源及環境監控等方面對機房環境進行改造。
3.2安全域劃分
按照《鐵路行業信息系統安全體系總體設計方案》,根據信息系統的安全等級,采用交換機劃分VLAN、設置訪問控制策略、部署防火墻等技術措施對信息系統進行安全域劃分。
3.3邊界網絡防護
明確總公司信息網絡、業務專網和互聯網的網絡邊界,對網絡邊界部署內、外部網絡訪問控制策略、入侵檢測等多項防護措施,并加強網絡邊界的監測。
3.4主機安全加固
遵照《鐵路行業信息系統安全加固實施指南》,通過配置安全策略、安裝安全補丁、修補系統漏洞、強化身份鑒別等方法對各類主機設備的操作系統、數據庫、中間件等及時進行策略配置和加固。
3.5應用及數據安全防護
依照國家和行業標準,從用戶身份認證、訪問控制、數據加密、容錯能力、日志審計等方面進行應用系統安全改造和建設。在數據安全防護方面,采用有效的數據備份策略對重要數據進行定期和增量備份,采用安全移動存儲介質進行必要的數據交換。
3.6強化信息安全隊伍建設
從安全管理、運行、監督、技術支持等方面加強行業內信息安全隊伍建設,確保安全責任落實。做好總公司、鐵路局兩級和一線服務、二線運維、三線技術支持安全運維服務隊伍,負責各系統日常安全運行維護工作。
3.7完善信息安全管理工作
為切實做好信息安全管理工作,總公司需要結合信息安全管理體系建設項目,以等級保護為抓手,將等級保護與信息安全日常管理緊密結合,將信息安全管理全面納入鐵路運輸安全生產管理體系,按照“誰主管誰負責、誰運行誰負責”和屬地化管理原則,逐級落實信息安全責任,建立與總公司信息化發展相適應的信息安全監督機制、應急機制、故障通報與處理機制、事件責任追究機制和風險管理機制。總公司在加強信息系統建設管理方面,需制定一系列的規章制度,包括《鐵路行業信息系統上下線管理規范》和《鐵路行業計算機應用軟件通用安全要求》等,明確系統定級備案、方案設計、產品采購使用、密碼使用、軟件開發、驗收交付、等級測評、安全服務等管理內容。
4安全措施落實
4.1建立鐵路信息系統安全技術體系
研究建立“一個中心(安全管理中心),三重防護(計算環境、區域邊界、信息網絡)”的鐵路信息系統安全縱深防護和主動防御的技術體系,按總公司、鐵路局、站段三級管理模式和信息系統運輸生產專網、內部服務網、外部服務網三網的特點,實現運輸組織及客貨營銷類信息系統“分級分區、專網專用、橫向隔離、縱向認證”的安全策略,經營管理類信息系統“三級獨立成域、主動防御、內外兼防”的安全策略。
4.2建設鐵路信息安全綜合管理平臺
鐵路信息安全綜合管理平臺是為總公司及下屬單位開展與信息安全管理相關工作的綜合工作平臺,功能將覆蓋總公司及其下屬單位的信息安全管理工作的主要內容,并支持公安部等級保護管理工作。平臺主要提供以下3類功能:
(1)以信息系統定級、備案、整改、測評和檢查等規定步驟為主線,實現等級保護工作任務的下發、執行、進度監控和督辦;
(2)風險管理、應急管理、安全檢查和事故通報等專項管理功能;
(3)日常辦公的綜合管理、培訓教育、標準管理等。
4.3建設鐵路信息安全一體化運行監控平臺
鐵路信息安全一體化運行監控平臺是集綜合網管、應用防護、IT運維、機房監控為一體的信息系統安全運行監控管理平臺,實現網絡監控、主機監控、機房監控、邊界防御、桌面終端安全的全方位監控功能。
4.4開展國產化和自主可控技術研究
在信息安全越來越重視國產化的大技術背景下,開展鐵路行業的信息安全國產化和自主可控技術的研究尤為重要。在國產化方面,緊緊圍繞鐵路網絡安全自主可控戰略目標,根據國產產品成熟情況,結合鐵路業務發展、業務需求,按照“統籌規劃、分步實施,應用牽引、平臺重構,項目推動、政策保障”的工作思路,采取“直接采用、對等替換、平臺替換”技術策略,進行信息系統國產化改造和構建鐵路信息安全等級保護技術體系的積極探索。在自主可控方面,通過統一標準、自主研發、自主實施、產權管理、風險評估、安全測評、安全管控、安全巡檢等手段實現信息系統全生命周期各階段的安全可控。
4.5開展基于云計算的安全技術探索
云計算已成為信息技術的重要發展方向,建立鐵路云應用平臺將對鐵路信息化應用技術產生深遠影響。云計算環境下的信息安全問題是信息安全技術領域面臨的一個新課題,在開展鐵路云應用平臺研究的同時,同步開展云安全應用技術的研究和探索,使基于云計算的鐵路應用平臺在設計、建設、投產3個環節將信息安全同步納入。
4.6建立鐵路信息安全評測體系與技術督查體系
采用安全檢查、風險評估、內外評測、安全運維等管理和技術手段,建立有效的安全測評與技術督查體系。通過在重要時間節點(如春運、暑運等)開展安全檢查和自查工作,使路局、站段管理人員保持安全意識;按照等級保護標準要求定期開展風險評估、等級評測等工作,確保等級保護安全手段能貫穿重要信息系統的始終;通過完善鐵路兩級三線安全運維服務體系,建立總公司、鐵路局兩級信息安全技術督查工作機制,將信息安全技術和管理有機結合起來,實現安全管理、運維、督辦相輔相成、相互監督的局面。
4.7等級保護示范工程仿真實驗環境及試點工程建設
[關鍵詞] 信息等級保護概述;中國石油;等級保護建設
[中圖分類號] TP391;X913.2 [文獻標識碼] A [文章編號] 1673 - 0194(2013)05- 0057- 02
1 信息等級保護制度概述
信息安全等級保護制度是國家信息安全保障工作的基本制度,是促進信息化健康發展的根本保障。其具體內容包括:①對國家秘密信息,法人和其他組織及公民的專有信息以及公開信息,存儲、傳輸、處理這些信息的信息系統實行分等級安全保護、分等級監管;②對信息系統中使用的信息安全產品實行按等級管理;③對信息系統中發生的信息安全事件分等級響應、處置。信息安全等級保護配套政策體系及標準體系如圖1、圖2所示。
定條件的測評機構開展等級測評;④建設整改:備案單位根據信息系統安全等級,按照國家政策、標準開展安全建設整改;⑤檢查:公安機關定期開展監督、檢查、指導。
2 中國石油信息安全等級保護制度建設
中國石油信息化建設處于我國大型企業領先地位,在國資委歷年信息化評比中都名列前茅。2007 年全國開展信息安全等級保護工作之后,中國石油認真貫徹國家信息安全等級保護制度各項要求,全面開展信息安全等級保護工作。逐步建成先進實用、完整可靠的信息安全體系,保障信息化建設和應用,支撐公司業務發展和總體戰略的實施,使中國石油的信息安全保障能力顯著提高。主要采取的措施有以下幾個方面:
(1)以信息安全等級保護工作為契機 , 全面梳理業務系統并定級備案。中國石油根據國家信息安全等級保護制度要求,建立自上而下的工作組織體系,明確信息安全責任部門,對中國石油統一建設的應用系統進行等級保護定級和備案,通過制定《中國石油天然氣集團公司重要信息系統安全等級保護定級實施暫行意見》,加強桌面安全、網絡安全、身份認證等安全基礎防護工作,加快開展重要信息系統的等級測評和安全建設整改工作,進一步提高信息系統的安全防御能力,提高系統的可用性和安全性。在全面組織開展信息系統等級保護定級備案工作之后,聘請專業測評機構,及時開展等級測評、安全檢查和風險評估工作,并通過等級測評工作查找系統的不足和安全隱患,制訂安全整改方案,開展安全整改和加固改造,保障信息系統持續安全穩定運行。
(2)以信息安全等級保護工作為抓手 , 全面推動中國石油信息安全體系建設。中國石油以信息安全等級保護工作為抓手,完善信息安全整體解決方案,建立技術保障體系、管理保障體系和控制保障體系。采用分級、分域的縱深防御理念,將桌面安全、身份認證、網絡安全、容災等相關技術相互結合,建立統一的安全監控平臺和安全運行中心,實現對應用系統的授權訪問、桌面計算機的安全控制、網絡流量的異常監控、惡意軟件與攻擊行為的及時發現與防御、業務與數據安全保障等功能,顯著提高抵御外部和內部信息安全威脅的能力。建立了總部、區域網絡中心、企事業單位三級信息系統安全運維隊伍;采用集中管理、分級維護的管理模式,網絡與安全運維人員采用授權方式,持證上崗,建立網絡管理員、安全管理員和安全審計員制度;初步建立起中國石油內部信息安全風險評估隊伍,并于 2010 年完成地區公司的網絡安全風險評估工作。
(3)建立重要信息系統應急處置預案,完善災難恢復機制。2008 年,中國石油了《網絡與信息安全突發事件專項應急預案》,所有業務系統、網絡管理、安全管理等都建立了應急響應處置預案和災備系統,保障業務系統在遭遇突發事件時,能快速反應并恢復業務系統可用性。通過災難恢復項目研究,形成了現狀及風險分析、災難恢復等級劃分、災備部署策略分析和災備部署方案四步法,劃分了信息系統災難恢復等級,完善了災難恢復機制。
(4)規劃信息安全運行中心,建立重要信息系統安全監控機制。中國石油規劃了信息安全運行中心的建設方案,提出了信息安全運行中心建設目標,通過網絡運行狀態、安全信息數據匯集、安全監測分析功能和安全管理流程的有機整合,實現中國石油 信息安全狀況的可感知、可分析、可展示、可管理和可指揮,形成中國石油信息安全事件分析、風險分析、預警管理和應急響應處理一體化的技術支撐能力;通過完善安全運行管理體系,將安全運行管理組織、安全運維管理流程和安全監測預警系統三方面有機結合,實現事前預警防范、事中監控處置、事后追溯定位的信息安全閉環運行機制,形成中國石油統一的應急指揮與協調調度能力,為中國石油信息安全保障奠定良好的基礎。
3 信息安全等級保護工作存在的不足及改進建議
信息安全等級保護管理辦法 (公通字[2007]43號)正式標志著全國范圍內的信息安全等級保護工作開始,通過5年的努力,全國信息安全工作形成了以落實信息安全等級保護制度為核心,信息通報、應急處理、技術研究、產業發展、網絡信任體系和標準化建設等工作快速發展的良好局面,重要行業部門的信息安全意識、重視程度、工作能力有了顯著提高。40余個重要行業出臺了100余份行業等級保護政策文件,20余個重要行業出臺了40余份行業等級保護標準,但同時存在著以下不足:
(1)對信息安全工作的認識不到位,對重要信息系統安全保護缺乏應有的重視。依據公安部相關資料統計,截至2012年6月,我國有18%的單位未成立信息安全工作領導機構;21%的單位未落實信息安全責任部門,缺乏信息安全整體規劃;14個行業重要信息系統底數不清、安全保護狀況不明;12個行業未組織全行業信息安全專門業務培訓,開展信息安全工作的思路和方法不得當,措施不得力。20%的單位在信息系統規劃過程中,沒有認真制定安全策略和安全體系規劃,導致安全策略不得當;22%的信息系統網絡結構劃分不合理,核心業務區域部署位置不當,業務應用不合理,容易導致黑客入侵攻擊,造成網絡癱瘓,數據被竊取和破壞。34.6%的重要信息系統未配置專職安全管理人員,相關崗位設置不完整,安全管理人員身兼多職;48%的單位信息安全建設資金投入不足,導致重要信息系統安全加固和整改經費嚴重缺乏;27%的單位沒有針對安全崗位人員制訂相關的培訓計劃,沒有組織開展信息安全教育和培訓,安全管理、運維技術人員能力較弱。
(2)重要信息系統未落實關鍵安全保護技術措施。重要信息系統未落實安全審計措施。在主機層面,有34.9%的信息系統沒有保護主機審計記錄,34.8%的信息系統沒有保護主機審計進程,容易導致事故責任無法認定,無法確定事故(事件)原因,影響應急處理效率。38%的信息系統沒有落實對重要系統程序和文件進行完整性檢測和自動恢復的技術措施,35%的信息系統沒有采取監測重要服務器入侵行為的技術措施,容易使內部網絡感染病毒,對攻擊行為無法進行有效監測和處置。
(3)我國信息技術與國外存在一定差距,安全專業化服務力量薄弱。具有我國自主知識產權的重要信息技術產品和核心技術水平還有待提高,依賴國外產品的情況還比較普遍;國內信息安全專業化服務力量薄弱,安全服務能力不強,部分重要信息系統的關鍵產品維護和系統運維依賴國外廠商,給重要信息系統安全留下了隱患。
為了有效提高我國企業信息安全水平,增加等級保護的可行性及執行力,建議:①各企業開展以信息安全等級保護為核心的安全防范工作,提高網絡主動防御能力,并制訂應急處置預案,加強應急演練,提高網絡應急處置能力。②加大人員和資金投入,提高保障能力。③國家層面加快關鍵技術研究和產品化,重視產品供應鏈的安全可控。
主要參考文獻
[1]中國石油天然氣集團公司. 中國石油天然氣集團公司全面開展信息安全等級保護工作為信息化建設保駕護航[J].信息網絡安全,2012(1).
1當前國有大型企業信息化管理體系安全現狀和差距
1.1信息化管理體系安全現狀
當前,一些國有大型企業的信息安全建設,有效保障了內部網絡的安全性和保密性,并形成了一套相關信息的安全管理制度,為后續信息系統安全體系的完善和發展奠定了堅實基礎。1.1.1安全基礎設施和系統信息基礎設施的安全是信息安全的基礎,目前企業已在物理層、網絡層和桌面系統加固與監控這3個方面,建設了一系列網絡安全防護設備,完善了企業的信息安全系統。1.1.2安全管理和制度信息安全管理制度是信息安全技術真正發揮作用的保證,企業已將信息安全管理作為信息化管理的主要內容之一,實施信息安全分類管理。在信息分類管理中制定了一系列管理制度、流程和標準,確保信息安全管理的有效和規范。同時,將信息安全管理納入各項安全管理工作,在財務管理、HES管理等重要業務管理中強化信息安全管理。由此可見,企業在信息化安全建設方面已做出巨大努力,但距離建立一套完整可用的信息安全體系的目標還存在一定差距。
1.2信息化管理體系安全問題的差距
部分企業雖然已經建立了專門的信息安全組織,制定了一些管理制度,部署的信息安全基礎設施也能提供基本的網絡安全性保障,但信息安全組織還不健全,信息標準的范圍和執行力度薄弱,未制定針對信息系統等級保護的相關制度,沒有部署上網行為管理系統等安全設備,缺少與信息管理、信息質量管理有關的規范,如各類編碼標準,信息質量控制流程等。因此,需要進一步制定、完善統一的信息管理制度和信息標準,依托強有力的技術手段,支撐信息化管理體系,并對標準執行建立相應的監督考核機制。
2企業信息化管理體系安全優化策略
2.1完善信息化制度管理體系
企業的信息化建設要采用制度化管理方法,通過制定企業信息系統相關的安全管理制度,做好服務器和數據庫系統的安全管理工作,保障企業珍貴數據資源安全。同時還要加強網絡輿情管理、企業機房管理、計算機現場管理及服務器相關管理制度建設,以及通信、網絡和信息系統相關應急預案等制度建設,規范網絡、服務器管理人員以及終端用戶的行為,逐步完善信息化制度管理體系。
2.2建立信息化安全管理體系
信息系統安全建設不僅是安全模塊功能的實現,還是一個整合的安全體系。信息安全是保護信息免受各種威脅和損害,確保業務的連續性,使業務風險最小化,投資回報和商業機遇最大化。信息安全是組織的一個業務問題,需要管理層的承諾和支持,還需要企業安全文化和運營流程作保障。
2.3建立信息化流程管理體系
信息安全管理流程首先要提升全體員工的信息安全意識、技能培訓和專業教育,然后對信息安全進行風險管理,要進行需求分析、控制實施、運行監控和響應恢復4個步驟,最后是信息安全監督檢查和改進,通過檢查和改進進一步提升員工的信息安全意識,形成閉環管理,如圖1所示。
2.4通過信息化技術支撐管理體系
為保障以安全可靠為核心的信息化管理體系的運行正常,有必要利用信息化技術給其最有效的支撐。2.4.1上網行為管理上網行為管理的主要目的是有效規范員工上網行為,助力構建企業安全、和諧、穩定的生產經營環境,其原則是“事前預防,事后溯源”。事前預防就是要做到事前制訂安全防范策略,最大限度保證機密數據和有害信息不由公司網絡流向社會。事后溯源就是要記錄每臺內部計算機與互聯網的信息交互內容,發生問題后迅速準確地定位到問題源頭,做到有據可查,能追本溯源。2.4.2端點防護建立企業級的端點防護系統,對終端實現安全合規性檢查和控制,加強策略管理。使用總體安全策略與本地自定義安全策略相結合的方式,在大規模部署端點防護系統的前提下,提升防病毒等安全管理系統的安裝率,促進網絡安全的綜合治理和改善。2.4.3端點準入控制可采用VRV系統作為端點準入控制的手段。端點準入控制包括對公司內網計算機,也包括由VPN接入的外網計算機。VRV強化了對網絡計算機終端狀態、行為以及事件的管理,提供了防火墻、IDS、防病毒系統、專業網管軟件所不能提供的防護功能,對它們管理的盲區進行監控,擴展成為一個實時可控的內網管理平臺,并能同其他安全設備進行安全集成和報警聯動。2.4.4身份認證管理通過加強身份認證管理,實現用戶通過使用USBKey實現單點登錄,更為方便和安全地訪問應用系統,集中實現應用系統用戶帳號的電子化流程管理,并與員工HR信息的變化聯動,提高應用系統賬號管理的時效性,加強賬號管理力度,身份認證管理流程如圖2所示。2.4.5安全域根據安全需求強度的不同,可將安全域劃分為不同層次,要有針對性的采取安全控制和防護策略,針對信息系統網絡的網絡結構、數據流通模式以及安全防護需求,可將整體網絡劃分為3個安全域:核心安全域、接入安全域、邊界安全域。2.4.6邊界隔離網絡劃分安全區域后,在不同信任級別的安全區域之間就形成了網絡邊界。跨邊界的攻擊種類繁多、破壞力強,邊界防護解決方案可徹底解決以上問題。企業邊界防護方案由防火墻、入侵防御系統、物理隔離網關組成。關鍵路徑上部署獨立的具有深度檢測防御的IPS(入侵防御系統)。深度檢測防御是為了檢測計算機網絡中違反安全策略的行為。使用IPS系統可以濾出DDOS攻擊,間諜軟件、BitTorrent數據流、釣魚攻擊等幾十類近100萬種攻擊類型。2.4.7流量控制和審計流量控制和審計方案主要涉及兩個方面,一是對流量的深度檢測和帶寬控制,二是對用戶訪問的網站進行海量篩查。通過這兩個手段在主觀或客觀上都能防止網絡用戶的不良行為,避免網絡性能和安全性受到負面影響。2.4.8訪問控制列表訪問控制列表(ACL)是為了阻止部分用戶不能訪問另一部分用戶或者服務而提出的。訪問控制列表通常應用于路由器或者三層交換機上,能阻止或允許某些網段的用戶訪問資源,也能阻止或允許某個用戶訪問資源。2.4.9網絡設備安全管理(1)網絡設備登錄安全通過用戶狀態進行存取控制,保證設備控制安全。限制SNMP和Telnet的用戶訪問。(2)網絡設備日志記錄對于網絡安全,不僅要關注網絡的事前防范能力,還要充分考慮事后跟蹤能力,在安全事件發生前后,可通過對用戶上網端口、時間、訪問地的記錄,全面追溯用戶上網的狀態,從而為后期分析提供第一手資料。(3)路由信息安全路由協議的安全管理主要通過路由信息交換的認證來保證。啟用PassiveInterface命令后,該接口的網段路由可以照常出去,但該接口不會再收發OSPF協議報文,也就不會再與任何其他路由設備建立鄰居關系,從而避免路由泄露。2.4.10專網企業可按照國家保密局、中辦機要局要求及國家相關標準建設辦公專網,通過驗收用于處理國家秘密及以下級別的文件和信息,供企業員工日常辦公使用。該網與互聯網物理隔離,并利用安全保密設備提高網絡和數據傳輸的安全性,與其他相關企業可采用專線方式單點連接。企業辦公專網的網絡架構如圖3所示。
2.5建立信息化考核評價管理體系
企業信息化流程管理系統評價體系可包含信息化建設有關的基礎管理內容及建立在此基礎上的資源、信息、程序、過程等要素管理。從信息化過程監控和改善來看,通過考核評價體系建立一組有效描述信息化建設與運行過程情況的信息,幫助公司識別相關技術和管理的不足,逐步改善公司的信息化過程,達到持續改進的目標。
2.6建立信息化隊伍管理體系
成立由公司領導班子成員、機關部門、基層單位主要領導組成的信息化領導小組,決策公司信息化建設中的重大問題,指導信息化項目建設;依托公司信息化工作的歸口管理部門,負責制訂企業信息化發展規劃,負責信息化工作的有關政策、管理辦法、技術標準和工作規范的制訂,并組織實施和檢查等工作。同時,注重對企業員工的專業培訓,采取激勵措施,培養一支高素質階梯化專業人才隊伍。
3結語
一、電子政務建設取得階段性成效
(一)2014年我縣職能部門建立電子政務平臺37個,涉及黨政、教育、水務、醫療、金融、煙草、公共安全等多個方面。其中電信新開通平臺1個,聯通開通平臺4個,萬網工程建設外網平臺32個。
(二)移動公司完成了101條信息化專線建設。
二、城鄉信息化發展迅速
(一)2014年全縣新建基站119個,其中電信在、縣城等區域新建基站11個,移動投資1200余萬元建設基站61個,聯通建設基站47個,覆蓋全縣所有鄉鎮。
(二)為推動城鄉信息化發展,各通信服務企業紛紛出臺城鄉優惠政策,通過改造農村寬帶、話費優惠、話機促銷等方式,促進城鄉信息消費,提高城鄉信息化程度。其中移動公司投資600余萬元,完成63個小區寬帶、11個鄉鎮寬帶和25個農村寬帶建設。
三、“兩化融合”工作進展順利
(一)為更好進行“大社會”治安管理監控,我縣先后完成了21家大社會視頻監控項目,對56家煤礦企業進行實時監控。
(二)為做好全縣經濟運行分析工作,我縣將具有行業代表性的32家中小企業納入省中小企業生產經營運行監測平臺進行監測,為全縣經濟分析提供有效參數。
(三)為更好的服務于企業,提高企業生產、管理、銷售信息化水平,2014年我縣共為11戶企業建立移動信息基站。
四、園區信息化發展機制完善
(一)園區無線寬帶建設
無線接入網在公共區域采用最新的802.11n協議標準,實現300mbit/s的高速無線接入,全面實現移動辦公。
(二)骨干網建設
1、在有線接入網絡上采用pon和ftto接入,實現電話網、電視網、計算機網絡的三網融合。
2、在各單位內部采用塑料光纖建設以太局域網,通過千兆路由器上聯到園區ip骨干網,從而實現萬兆到園區,千兆到大樓,百兆到桌面的高速寬帶上網。
3、在園區機房建設匯聚路由器,實現對園區信息輸送的匯聚。
(三)電子商務
1、基于建設好的網絡承載平臺,以園區網站建設為龍頭,建設統一的數據交換平臺,發展統一的園區電子政務平臺,實現“陽光政務”。
2、通過園區網站的建設及與大型電子商務平臺的對接,為企業提供高端的電子商務平臺,同時嵌入主流物流平臺軟件,使園區的所有物流情況全部通過電子物流平臺實現指令傳送和過程監管。
五、信息化安全建設體系完善
(一)貫徹落實手機實名制
積極貫徹工信部手機實名入網相關文件精神,嚴格要求電信、移動、聯通三大電信運行商自9月起執行新用戶入網時必須登記實名信息。通過手機實名制的推進,有利于杜絕非法使用手機通訊現象,促進我縣的通訊事業健康發展。
(二)園區信息安全建設
1、采用mpls-vpn功能的olt設備,為園區企業提供端到端服務,為建設vpn網絡提供極大方便,增強了園區企業內部網絡安全性。
2、在園區環形骨干光纜的多物理路由保護下,實現對入駐企業內部網絡的多路由保護。
3、在園區匯聚路由器的前端安裝硬件防火墻,加強園區企業信息安全。
(三)認真開展通訊行業應急工作
根據省、市、縣通訊保障應急工作安排,由我局牽頭對縣域三大通訊公司進行通訊應急工作檢查,重點查看應急預案,車輛配備,應急器材保養等情況,對不符合規范的情況責令整改,要求三大運營商在保障日常通訊的同時,配備專人開展應急通訊工作,維護相關器材,確保在大災大害等特殊情況下的通訊暢通。
六、2014年工作計劃
(一)積極推進企業“兩化融合”工作
1、促進園區企業綜合信息平臺建設,實現信息資源優化配制,節約企業運行成本。
2、選擇雙星茶業、好牛旺食品公司、同心木業等行業代表企業開展電子商務應用示范,充分發揮其輻射和示范作用。
(二)加快推進電子政務建設工程
推進全縣政務外網網絡基礎設施的改造升級,進一步完善網絡結構,打造全縣黨政機關各部門信息共享、數據交換的政務外網統一平臺。
(三)加強信息安全
完善和落實《網絡與信息安全應急預案》,提高我縣處置網絡與安全突發公共事件能力,確保重要計算機信息系統的實體安全、運行安全和數據安全。