导语:如何才能写好一篇网络及信息安全管理办法,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。
关键词:市县一体化;信息;安全;保障
中图分类号:F291文献标识码:A
0引言
近年来,随着国家电网公司信息技术的深化应用,信息安全日益重要。渑池县电业局在市县一体化信息安全管理策略的设计和实现中以“硬件建设”为基础,以“软件建设”为关键,以“管理建设”为手段,深化安全管理,持续提升信息化安全水平。
1专业管理的顶层设计和指标体系
1.1市县一体化顶层设计目标。在现有的信息化平台基础上,通过2年的系统建设,分步实施“硬件组体、软件添翼、管理促飞”信息安全保障体系“三部曲”策略,最终构筑起坚强的市县一体化信息安全保障体系。
1.2从环境设施上加以提升,从技术流程上加以完善,从管理措施上严格要求,以确保更有效的抵御各种风险,实现安全稳定可靠运行。安全保障策略指标值如下:
1.2.1硬件指标:内网网络部署防火墙、内外网实现“物理隔离”;部署上网行为管理、门禁、防雷等硬件设施;部署数据中心虚拟容灾系统;建设市县网络主备通道。
1.2.2软件指标:桌面注册率达到100%;杀毒软件安装率达到100%;无账户弱口令;无安全防护漏洞;无违规邮件、网站。
2市县一体化策略的实现
2.1硬件组体“搭建体骼”。
2.1.2数据容灾建设。本着同城异地备份、确保数据安全的原则,建设60余平方米数据中心虚拟容灾机房,具备实时备份系统数据和集中统一管理的功能,满足各类系统扩展性和可靠性要求。
2.1.3市县网络扩容建设。按照河南省电力公司要求,单独配置双千兆路由器,配置双核心千兆交换机,实现与三门峡供电公司的联网带宽达到2*100M,市县APN备用通道1*10M,省公司至县局VPN联网带宽1*100M的目的。
2.1.4实现内外物理隔离。对边缘配线间进行改造,加装楼间层防水防潮装置,采用防鼠技术措施。对内网和外网采取平行布线模式,终端用户主机双配置,实现完全物理上的内外网分离。
2.1.5扩容后备电源。中心机房增设10kVA不间断UPS电源,与兰州大学联合开发了蓄电池除硫装置,当市电供电系统出现停电或电池容量不足时,以短信形式向维护人员发送告警信息,极大地提高了其设备的维护效率和系统运行安全性,延长UPS电源的使用寿命。
2.1.6从低压电源侧、通信线路、通讯设备及网络设备全方位、多层次部署机房三级防雷系统,有效地防止雷击对机房内设备所产生的危害。
2.2软件添翼“助翼双翅”。
2.2.2防病毒防御系统安装。全网桌面终端安装Nod32防病毒软件,安装率达到100%。对危害桌面终端安全的恶意软件和功能时刻保持着高度警惕。桌面终端安全系统、智能防御系统等级提升。
2.2.4市县联动安全措施。三门峡供电公司部署网管软件,定期对县局的终端设备扫描检测内网安全漏洞,丰富安全技术手段,为县局信息安全管理提供支撑。同时依据《关于企业使用正版软件通知》要求,与知名厂商签订购置正版操作系统供应协议。省市县三级所用桌面终端安装了国网公司下发的正版软件,增强了基础层业务应用稳定性和数据的安全性。
2.3管控结合“促力腾飞”。
2.3.1“引教结合”,强化安全管理。通过文件、公告、会议、信息安全竞赛等多种渠道,大力宣传保障网络与信息安全的重要性。组织信息技术人员和信息员进行网络与信息安全技术培训和现场宣贯。对关键岗位人员进行全面、严格的安全审查和技能考核,对在信息系统安全工作中做出显著成绩的单位和人员应给予奖励和表彰,对违反国家法律、法规和渑池县电业局有关规定,造成一定不良影响和后果的,追究其责任。这些措施的实施,使全局范围内从上到下统一了思想、明确了认识,强化了全员网络与信息安全意识。
2.3.2强化系统运行维护管理。对信息网络与系统运行状况等进行监测和报警,定期对监测和报警记录进行分析,根据需要采取必要的应对措施。建立安全管理中心,对安全设备、恶意代码、补丁升级、安全审计等安全设施进行集中管理。严格按照有关信息系统事故调查规定,及时报告信息系统事故情况,认真开展信息系统事故原因分析,坚持“四不放过”原则,有效落实整改,确保类似事故不再发生。
2.3.4强化弱口令管理。根据“信息安全通报”、“信息安全反违章”检查的结果,结合其实际,进行全面的信息系统弱口令专项治理工作[2]。对系统本单位及局属各部门的桌面计算机,信息应用系统、操作系统、中间件和数据库系统等用户的访问账号及口令进行彻底排查,对不符合口令要求的用户及系统下发相应的通知,使其进行限期的整改,杜绝信息系统泄密事件的发生。
2.3.5强化安全接入管理。通过在网络中部署相应的网络安全检查策略,确保用户满足身份认证的要求,同时用户的终端设备必须达到一定的安全和策略条件,才可以通过网关设备接入到网络中并获得相应的访问权限。一方面验证了用户的身份,避免了非法用户接入到网络中,限定了用户的访问权限;另一方面也避免了存在安全隐患的终端系统的接入,可以大大消除蠕虫病毒对网络系统以及承载的业务所带来的威胁和影响,实现帮助客户发现、预防和消除安全威胁的目标。
2.3.6强化保密工作管理。管理严格执行“不上网、上网不”纪律[3],重要工作资料不得在外网计算机上留存,严禁在信息外网上传输、处理涉及国家秘密和渑池县电业局秘密的信息。严格信息系统安全工作人员录用过程,审查其身份、背景、专业资格,及时终止离岗员工的所有访问权限。严格外部人员访问程序,对允许访问人员实行专人全程陪同或监督,并登记备案。
2.3.7强化运行通报管理。为进一步做好信息安全保障工作,定期对信息安全工作进行统计分析,在月报中透明的体现信息安全运维工作,使全体员工及时掌握信息系统的运行情况,更好的为生产经营业务服务,渑池县电业局每月《渑池县电业局信息化工作简报》对当月信息安全运维工作的整体情况进行统计分析。每月一期《渑池县电业局网络与信息安全运行月报》,对当月网络与信息安全运行情况进行统计分析。信息安全运行通报制度的执行,使全体员工对信息安全运维工作有了了解的途径,增强了全员信息安全意识。
2.4激活人力资源,提升管控空间。
2.4.1搭建核心保障体系。成立以科技信息副局长为组长的信息安全保障体系领导小组,各部门负责人为领导小组成员,对渑池县电业局整体信息安全保障体系工作进行全面督导。领导小组下设工作小组(办公室设在信息中心),具体负责协调、执行实现信息安全保障策略的各项工作,本单位各部门设有兼职信息管理员,负责配合本单位本部门信息安全保障体系的协调、执行。
2.4.2开展兼职信息员建设,发挥信息管理员潜能。在全局各部门设立兼职信息管理员36名,部门兼职信息管理员由各部门既通晓业务、又熟悉计算机知识的人员担任,职责为进行基础性的运维工作、信息安全宣传、督导与检查和整改工作。信息员管理以安全员的标准按照专业化管理思路统一管理,设立有合理的薪酬标准及详细的管理制度,每月定期召开信息安全会议,按月开展信息技术培训,严格执行各种业务考核和工作安排,不断强化责任心和业务能力,形成全局齐抓共管的局面。
3结语
近年来,国网公司实施了覆盖信息系统全生命周期的54项管理措施,立足国产化,积极探索自主可控安全管理模式,结合电网安全需求,加强顶层设计,对电网信息安全工作进行整体规划,经过努力,渑池县电业局在网络信息安全保障策略的设计和实施中的经验和做法,解决了县级供电企业信息安全保障体系中存在的一些突出问题和安全漏洞,广大员工在信息安全等重点环节,从制度执行、行为监控、防治体系等方面,有了稳步提升,总体来看,建成了电网信息安全等级保护纵深防御体系,为市县一体化的安全、稳定运行提供了强有力的信息安全运行保障,达到了预期的效果和目的。
参考文献
[1]国家电网公司信息系统安全管理办法[Z].北京:国家电网公司,2011.
[2]国家电网公司信息网络运行管理规程(试行)[S].北京:国家电网公司,2003.
[3]国家电网公司信息安全风险评估管理暂行办法[Z].北京:国家电网公司,2011.
[4]国家电网公司信息系统建转运实施细则[Z].北京:国家电网公司,2010.
--------------------
作者简介:赵江华(1978—),男,河南省三门峡市渑池县人,高级工程师,主要从事电网调度管理、光纤通信工程项目建设及网络应用方面的研究。
一、第三方支付平台存在的安全问题
随着第三方支付的广泛应用,其安全性问题也越来越突出。由于我国电子支付方面的法律较为滞后,对第三方支付市场监管不够,目前存在的300多家第三方支付产品质量参差不齐,员工安全意识薄弱,安全防护措施不够,用户的交易安全和个人信息存在很大的风险。安全问题可以归纳为几个方面:
第三方支付机构安全意识薄弱
相对于银行业金融机构,非金融支付机构安全意识还比较淡薄,还不能充分认识到信息安全面临的形势和信息安全工作的重要性,对支付平台的操作风险、信用风险和法律风险等重视不够。领导对信息安全的不重视,就会导致信息安全工作不到位和难于开展。一些员工思想上有麻痹意识,认为安全案件都是偶然发生,存在侥幸心理;一些员工总认为与己无关,信息科技引发的案件是科技部门的事。从而导致安全措施执行不到位,安全制度无法贯彻的现象。正是这些安全意识上的薄弱环节,导致了安全威胁有机可乘。很多信息安全事件往往不是因为技术原因,而是由于系统运维人员的疏忽或不作为。安全意识薄弱是安全问题发生的根源。
安全管理机构不健全安全管理制度不完善
多数第三方支付机构还没有形成信息安全组织结构,管理较混乱,安全管理人员配备不足。信息安全管理制度还不成体系,没有建立总体方针,安全管理制度和操作规程缺失,安全策略不完整等。已有的安全管理制度也不完善,易使工作上出现漏洞,操作上出现失误,引发安全事故,造成损失。
安全技术防护能力薄弱
在第三方支付平台建设中,没有充分重视安全技术防护能力的建设,安全技术防护能力薄弱,如,有些支付系统没有部署防火墙和入侵检测设备,没有划分安全域;没有安全事件监控、统一防病毒等防护措施;重要数据的传输和存储存在安全隐患;重要网络设备没有进行安全策略配置,致使非法访问网络系统、假冒网络终端/操作员、截获和篡改传输数据的安全事件发生;应急处理方案不完备,应对和处理危机的能力还比较弱。
应用程序中存在安全漏洞
个人信息不能得到保护
一些第三方支付平台要求用户提供真实姓名、联系方式、住址、银行账号甚至身份证号,个别网站在设计上存在问题,致使这些信息很容易泄露。第三方支付平台隐私政策不合理,免责条款过多,用户为了使用其服务只能同意该条款,导致发生问题时维权艰难。第三方支付机构除了应采用技术手段进行保护之外,还应该以文件、政策或公告的方式在网站上公开对用户信息进行安全承诺。
二、国家对第三方支付的监督管理
2009年4月,人民银行公告,对从事支付业务的非金融机构进行登记。2010年6月14日,人民银行《非金融机构支付服务管理办法》(以下简称《管理办法》),对非金融机构支付业务实施行政许可。2010年12月,《非金融支付服务管理办法实施细则》(以下简称《实施细则》)。《管理办法》和《实施细则》的,意味着我国非金融机构支付市场监管的基本原则已经确立。
《管理办法》中规定对于《支付业务许可证》的申请人必须具备有符合要求的支付业务设施,而且在向中国人民银行申请许可证是必须符合中国人民银行规定的非金融机构支付服务系统技术和安全标准,提交《技术安全检测认证证明》。可见央行对非金融机构支付的技术和安全性的高度重视,技术和安全检测是非金融机构申请许可证过程中最关键也是最严格的环节。
三、提高第三方支付平台安全性的建议
政府应加强监管力度
第三方支付机构应增强安全意识,加强信息安全体系建设
信息安全教育和培训是信息安全管理工作的重要基础,在实际工作中,大部分信息技术风险要依靠员工进行有效的控制,因此需要通过宣传、培训和教育等手段提升员工的信息安全认知(包括提高安全意识、了解安全职责、培养安全技能),发挥员工在信息安全管理中的主观能动性,以自律的方式来实现信息安全保障。
建立全面、科学的信息安全管理体系。建立组织、人员结构合理的安全组织结构。加强信息安全队伍建设,充实信息安全管理队伍,完善激励机制。建立完整的信息安全策略,主要包括信息安全策略、安全规章制度、安全操作流程和设备操作指南等方面。完善信息安全应急恢复体系,推进信息安全风险评估,实行信息安全等级保护,健全信息安全标准规范和有关制度。
构建一个科学合理的安全技术保障体系。加大网络安全设施建设力度,加强网络边界防护,实施网络安全域控制;加强软件开发控制,对软件进行安全测评核漏洞检测;保障基础设施和物理环境的安全,加强检测、监控和审计措施,实施安全加固;加强备份管理,建立灾备中心,保证支付业务的连续性。
【关键词】军队;计算机网络;信息安全
TheResearchontheArmy'sComputerNetworkandInformationSecurity
QiYong-li
(NavySubmarineAcdemcyQingDaoShandongQingdao266042)
【Abstract】Withtheincreasinglycomplexworldregionalmilitarystruggleandpeacefulevolutionofthesituation,thearmyalwaysfacesalltypesofemergencies;needstoanalysis,sortinformationanddatatimely.Allthesefactorsmakethearmybecomingincreasinglydependentoncomputernetwork.Thearmyfacesgreaterchallengesindataprivacy,becauseofarmyinformationneedinghighdegreeofconfidentiality,involvingthewide-ranging,needingtoaddresslargeamountofdata.Thispapermainlyresearchesthemanagementofthearmyofthecomputernetworkandinformationsecurity.Thenthepapertargetsscientificandeffectivemeasureswhichhavepracticalsignificancetopromotethedevelopmentofmilitaryinformationenhancethelevelofinformationsecurityofmilitarycomputernetworks.
【Keywords】military;computernetworks;informationsecurity
1引言
信息化时代,我国军队逐步开展了信息化建设,利用高科技对军队实行信息化管理,并取得了显著的阶段性成果。因为军队信息安全保密工作专业性强、技术性强,信息保密程度要求较高,军队各级部门、每一位人员都承受着较大的数据安全保密压力。军队信息化的迅猛发展,使军队对网络的依赖性越来越强,同时军事信息也面临着越来越严峻的安全威胁。
2计算机网络信息安全存在的问题
2.1安全法律法规有待完善
2.2信息安全管理机构设置不健全
1、档案数据库建设标准与规范。近几年,福建省档案局为保证档案数字化的工作规范和数据产品质量,先后制定并下发了有关档案数字化的标准与规范。
1998年,全省国家综合档案馆启动建国后档案目录数据库建设,制定了《福建省各级综合档案馆文件级档案目录数据库结构与著录要求》和《福建省国家综合档案馆档案目录数据库建设前处理规范》,确保了档案目录数据库的质量。
2000年开始,省档案局组织实施对全省档案目录数据库的规范和检查,在此基础上起草了《文书档案目录数据交换格式与著录细则》和《福建省综合档案馆档案目录数据库建设操作规范》。
2002年3月,《文书档案目录数据交换格式与著录细则》(DB35/T161-2002)作为福建省地方标准由福建省质量技术监督局实施,为馆室之间一体化档案信息数据移交、交换和共享打下了基础。
2003年,为配合“福建省分布式档案基础数据库”项目建设,制定了《照片档案扫描系统操作规范》与《照片档案扫描人员岗位职责及产品验收标准》与《缩微档案转换系统操作规范》、《缩微档案转换系统人员岗位职责及产品验收标准》《纸质档案扫描系统操作规范》与《纸质档案扫描系统人员岗位职责及产品验收标准》、《视音频档案转换系统操作规范与产品质量标准》等标准和规范,明确不同载体档案数据的采集要求,严格各种产品生产操作的程序。
2、档案信息管理标准与规范。电子档案是电子政务发展的必然产物,也是今后信息化环境下档案的主要载体形式,明确电子文件形成与归档的要求以及规范电子档案的管理,是解决今后电子档案交换与共享的基础,也是实现馆室一体化的一个重要前提。
2003年5月,福建省委办公厅、省政府办公厅联合印发了由省档案局起草的《福建省电子文件归档与电子档案管理办法(试行)》。
为配合项目建设中的应用平台―――数字档案信息管理系统的开发与应用,省档案局组织技术人员研究制定了《基于XML在线应用平台数据交换规范(试行)》和《档案数据管理安全要求(试行)》,为在WEB环境下电子档案数据交换传递提供了先进、规范的应用方式和强有力的数据安全保障。
建立和健全档案信息日常管理标准与规范是完善档案信息标准体系的一项重要内容。
2002年,福建省档案馆、局局域网相继建成使用,为确保档案局域网和档案网站的正常管理和维护,相继制定了《福建省档案局(馆)计算机局域网及信息系统管理规定(试行)》,《福建省档案局(馆)计算机局域网管理使用暂行规定》,明确了档案局域网管理和使用要求。
2001年10月出台了《福建省档案网站管理办法(试行)》,在管理办法中,规定了档案网站信息服务的内容范围,建立了档案网站信息服务备案制度和年检制度,进一步明确了档案数据上网的审批程序。在日常管理过程中,还制定了“网站信息采集制度”、“档案信息制度”、“栏目内容责任制度”、“网页更新制度”、“电子邮件与留言及时回复制度”等,以加强网站的规范管理。
3、档案信息安全标准与规范。档案信息安全的保护不单纯是技术问题,还需要通过更为规范严格的安全管理来弥补和解决。因此,通过制定档案信息安全标准和规范来加强档案信息安全显得尤为重要。
2001年为了确保全省各级国家综合档案馆计算机管理系统的安全可靠运行,下发了《福建省国家档案馆计算机管理系统安全要求》,要求各级综合档案馆建立健全管理制度,严格采取各项管理措施,确保系统环境、设备、档案载体等安全。
2002年,福建省档案局制定了《福建省档案局(馆)计算机局域网及信息管理系统安全规定》,按照这一规定要求,相应制定了《计算机设备维护管理办法》、《档案机房管理制度》、《档案安全备份管理办法》《档案数据库安全管理办法》、《系统管理员岗位职责》、《网络管理员岗位职责》、《网站管理员岗位职责》等一系列制度和岗位工作规范要求。
为了确保及时发现和解决信息网络安全存在的问题,防止和减少突发事件的发生所造成的影响,保障档案网络与信息安全,福建省档案局还专门制定了《网络安全与信息应急处置预案》,一旦事件发生,立即启动预案的处置程序,堵塞漏洞、消除隐患,确保档案网络和数据库的安全。
内网的安全风险
目前,整个信息安全状况存在日趋复杂和混乱的趋向:误报率增大,安全投入不断增加,维护与管理更加复杂和难以实施、信息系统使用效率大大降低,对新的攻击入侵毫无防御能力,尤其是对内部没有重视防范。
据美国FBI统计,83%的信息安全事故为内部人员和内外勾结所为,而且呈上升的趋势。从这一数字可见,内网安全的重要性不容忽视。据公安部最新统计,70%的泄密犯罪来自于内部,电脑应用单位80%未设立相应的安全管理系统、技术措施和制度。
中国科学院研究生院信息安全国家重点实验室赵战生教授表示,目前我国信息与网络安全的防护能力处于发展的初级阶段,许多应用系统处于不设防状态。国防科技大学的一项研究表明,我国与互联网相连的网络管理中心有95%都遭到过境内外黑客的攻击或侵入,其中银行、金融和证券机构是攻击重点。
“当前的信息与网络安全研究,处于忙于封堵现有信息系统安全漏洞的阶段。”公安部网络安全保卫局处长郭启全认为,“要彻底解决这些迫在眉睫的问题,归根结底取决于信息安全保障体系的建设。目前,我们迫切需要根据国情,从安全体系整体着手,在建立全方位的防护体系的同时,完善法律体系并加强管理体系。只有这样,才能保证国家信息化的健康发展,确保国家安全和社会稳定。”
2003年,国家出台《国家信息化领导小组关于加强信息安全保障工作的意见》(简称“27号文件”),明确要求我国信息安全保障工作实行等级保护制度,2007年出台《信息安全等级保护管理办法》(简称“43号文件”)。随着两项标志性文件的下发,2007年被称为等级保护的启动元年;由于要对现有信息安全系统进行加固,大量产品和服务采购即将开始,2008年则被普遍视为等级保护采购元年。
等级保护政策是信息安全保障的主要环节。在等级保护解决方案中,内网安全产品主要作用是对终端进行防护。
内网是核心
“事实上,信息安全等级保护的核心思想就是根据不同的信息系统保护需求,构建一个完整的信息安全保护体系。分析《计算机信息系统安全保护等级划分准则(GB17859-1999)》可以看出,信息安全等级保护的重点在于内网安全措施的建设和落实。建立一个完整的内网安全体系,是信息系统在安全等级保护工作中的一个重点。”郭启全说。
鼎普科技股份有限公司总经理于晴认为,大多数用户网络拓扑结构相似,用户对网络的安全管理比较一致,但由于用户使用习惯的不同,对终端的管理则千差万别。
于晴认为,内网安全领域的关键技术主要有内部网络接入、桌面安全管理和内网安全审计等。这些本质上的问题,应该从系统层面来解决,以信息安全等级保护为基础。内部网络接入基于等级保护技术,分别从终端自身的安全性评估,到网络地址的合法性,让信息系统“对号入座”。桌面安全管理侧重于桌面使用者的行为安全,对终端用户的电脑行为进行监控、管理与控制,来保障终端的安全。内网安全审计从主机和网络两个方面对网络数据和系统操作进行记录和恢复,强调出现问题后的案情追溯。
关键词:信息安全督查管理平台研制
系统简介:
《信息安全督查管理平台》(简称《管理平台》)方案的设计思想,就是以《管理办法》为依据,运用计算机和网络等技术手段,加强对河南省市政设施信息系统资产的管理,对信息系统涉及的硬件设备和软件系统的安装、调试、维护等过程实施有效的监督、管理和评估,对市政设施的维护实施有效监督和管理,为河南省市政系统信息安全督查管理工作提供规范化、标准化、信息化、网络化的解决方案。
《管理平台》涉及的范围包括:信息网络、网络服务系统、应用系统、信息安全系统、存储与备份系统、信息系统辅助系统、终端用户计算机设备、信息系统专用测试装置等系统,监督管理的范围,包括对上述系统的软硬件设备、运行环境以及系统规划、设计、实施、运行维护、废弃等各个环节的管理。
体系架构:
网络架构:
系统采用B/S架构,方便系统部署,符合用户使用浏览器的工作习惯,完全免客户端安装。
功能模块:
主要分为资产管理、技术标准库管理、资产评价评估、机房管理、数据模糊查询五个功能模块。
(一)资产管理:
资产管理是跟据《国有资产管理制度》的要求,对市政设备进行信息系统管理,对设备购置、运行维护、废弃等所有工作阶段实施有效监督,并符合省公司颁布的有关信息安全的技术标准与规程、规范。通过对资产生命周期各阶段检查、跟踪、分析,确保网络与信息系统工作的可靠性、稳定性和安全性。
资产管理包括设备台帐管理与资产生命周期管理两部分。
1、设备台帐管理:
设备台帐管理分为硬件设备登记和软件资产登记。
(1)硬件设备登记:
对购进的各种专用设备及计算机、打印机、扫描仪、网络设备的详细信息,如设备名称、技术指标、型号、购进日期、安装位置、报废日期等,进行记录并存储,形成硬件设备台帐库。
(2)软件资产登记:
2、资产生命周期管理:
(1)硬件生命周期管理:
(2)软件系统生命周期管理:
对软件系统的安装、调试、运行、升级、维护等进行记录、跟踪,保证系统安全、稳定的运行。
(二)技术标准库管理:
技术标准库管理,是收录各硬件设备、软件系统涉及的各类技术标准,并进行分类管理,为资产评价评估提供依据。
技术标准库可大致划分为三类:市政工程类、电气设备类、计算机硬件与网络设备类、计算机软件类。
1、市政工程类:
2、电气设备类:
收录电气设备的各种国家标准以及省、市制定的各类标准,如《省计量检定机构配备的电测仪表标准》、《公司计量检定机构配备电测仪标准》等。
2、计算机硬件与网络设备类:
收录省公司下发的关于计算机硬件与网络设备的安装运行管理标准,以及虽未收录,但会对设备运行有重要影响的各种技术标准、安装规范、安全运行标准、设备维护标准等信息。
3、计算机软件类:
收录各种软件开发、软件安装测试、软件运维等规范。
(三)资产评价评估:
根据技术标准库中收录的各种规范标准,对硬件设备和软件系统的购进、运行、维护等过程进行评价评估,并给出评价结果以便查询分析,为决策提供依据。
评价评估不定期进行,以保证系统运行的安全性、稳定性和可靠性。
(四)机房管理:
建立机房管理制度,采用两票制的管理办法,对机房管理、机房进出管理、机房内工作内容管理等内容;通过计算机管理系统,对机房的出入、设备巡检、物品带进、带出机房等工作进行管理;机房值班人员定期巡视检查机房设备、电源系统、网络系统、应用系统的运行状况及机房温度和湿度,并有巡视记录。
巡视记录包括:需进行登记的重大事项;各类障碍处理情况;机房电源、空调设备是否正常;温湿度是否符合要求;消防装置及灭火器材是否安全良好;告警装置是否正常。
机房内服务器、路由器、交换机、防火墙、电源系统、消防系统、监视系统等设备的资料有专人保管。各信息系统的技术文档、安装、维护手册齐全,随机的光盘、软盘及购置的各类软件母盘应有专人管理。
机房管理工作可分为以下两类:
(1)机房管理员日常工作:
即机房管理员日常维护工作,系统提供管理员作息、值勤工作提示功能,并登记PC服务器日常巡视表、机房24小时值班表、设备登记表、设备缺限记录、数据库日常巡视表、系统情况报告表、消防培训记录表以及应用程序日常维护表,记录到机房管理系统中备查。
(2)外来人员进出机房管理:
外来维护人员,需申请机房申请单,经批准后通过本系统进行登记,提交机房施工记录、系统维护报告和系统情况报告等,维护完毕,需提交维护结果报告。
(五)数据查询
本系统提供各种查询功能,方便管理员对资产资源信息、资产评价评估信息、技术指标库信息、机房维护信息等进行查询。
开发与运行环境:
本系统使用java技术,基于B/S型架构开发,具有良好的稳定性、交互性、安全性和跨平台性能,能稳定运行在Window、Liunx、FreeBSD及各种Unix平台。
结束语:
载中心省略
参考文献:
SUN,JavaProgrammingLanguage,SunMicrosystemsInc,2000
张桂珠刘丽陈爱国,Java面向对象程序设计(第2版),北京邮电大学出版社
SiyanKS,WeaverJ.精通JSP网页编程.北京:宇航出版社,1988年
陈鹏,程勇.J2EE项目开发实用案例.北京:科技出版社,2006
一、信息安全监管中存在的问题
(一)行业法规标准模糊,操作难度大美国、日本和印度早在1995年就出台国家信息安全法,通过出台基本法对计算机的硬件与软件、网上信息、用户数据进行保护、对利用网络传播有害信息的处罚作出相应规定,规范人们的网络行为,保证信息网络的安全运行和网络信息的合理利用。目前,银行业信息安全管理法规主要有国务院《国家信息化领导小组关于加强信息安全保障工作的意见》、中国人民银行和中国银监会下发的《关于进一步加强银行业金融机构信息安全保障工作的指导意见》和《银行业金融机构信息系统风险管理指引》,但这些法规制度中对信息安全的边界界定不明确,行业标准不清晰,不具有实际的可操作性,给银行信息安全管理带来一定的风险隐患。
二、问题解决的建议
(一)完善制度标准,做到有法可依规范信息安全管理,首先要完善信息安全的制度建设。一是加快行业信息安全标准统一的进程。管理部门应制定符合当地信息安全标准,组织建立银行业信息技术发展规划,保证银行业信息安全工作的健康发展。部分地区便曾出台信息安全法规,例如《北京市信息化促进条例》、《辽宁省计算机信息系统安全管理条例》、《北京市公共服务网络与信息系统安全管理规定》、《上海市公共信息系统安全测评管理办法》,这种做法值得借鉴。二是设立硬件设备的准入标准。将银行业信息安全问题作为新硬件产品销售及市场准入的重要参考,对进入银行的PC台式机、网络设备、系统服务器都必须经过国家保密部门的安全检查,只有经过筛选的特定型号的引硬件设备才能进入银行系统和网络,从根源上杜绝信息安全漏洞设备的进入。
【关键词】
电力系统;信息安全;信息监控;安全分析
1电力信息安全的组成结构
1.1电力信息流结构
电力信息安全系统的最终目的便是保证电力业务安全顺利的进行。因此对于信息流的构成就必须要了解,从电力企业的运营层面来看,电力信息流主要有以下几方面:办公自动化环境、生产管理、营销管理、资源管理、物理系统、辅助决策、自动化系统等。电力企业想要安全可靠的运行就必须要清楚地认识到各个层面之间的关系,为电力安全、优质、经济提供保障[1]。
1.2电力信息网络结构
为了满足社会对电力资源的需求以及网络的普及发展,需要将电力信息网络化,同时与信息流相匹配。目前大部分地区都在探索公用网络和专用网络相结合的结构网络,并整合办公自动化环境、生产管理、营销管理、资源管理、物理系统、辅助决策、自动化系统等,用网络系统来支撑电力信息的安全性,根据重要程度来排序分类,然后与互联网对接,将功能的重要性以及形式凸显出来,保证结构合理的前提下实现电力网络结构的安全性[2]。
1.3电力信息安全防护的结构
传统的国内电力系统功能主要体现在三个层面,即生产管理系统层面、电力信息管理层面、自动化系统层面。而在互联网发达的今天,将传统的电力系统安全防护融合在互联网中,又可以划为四个区域:第一个安全的区域可以将自动化系统的管理建立在SPDnet上,通过二者的协调来实现自动化系统的安全;第二个安全的区域是把SPDnet加入到生产管理系统,对生产管理进行把控,但是由于SPDnet存在一些局限性,因此再把生产管理系统与SPnet进行融合,成为第三个安全区域,实现了生产管理的完整性和全面性;第四个安全区域是将电力信息的管理层面通过融合SPnet的方法来实现,保证了电力信息的管理。电力信息安全管理的总体框架应该是以技术安全、管理安全、生产安全、策略安全为基础,通过安全网络、安全应用、安全系统等手段来实现,从而保障电力企业和用电用户的安全性[3]。
2电力信息安全问题概述
2.1安全问题表现形式
在明确电力安全结构组成之后,结合实际情况来分析目前电力信息安全的现状,通常来说电力信息的安全问题都表现为以下几点:信息的可控性,电力信息的掌握不仅仅只是为了了解信息,更为重要的是通过信息的采集来控制安全的生产和管理,因此信息的掌握要具备可控性;实用性,要保证所采集的电力信息具有实际的意义,透过数据能够了解电力的安全系数,不需要采集无用的数据信息,因此实用性的电力信息是十分重要的;保密性,由于网络的发达,电力信息在被收集的时候容易出现信息泄露的情况,因此在采集安全数据信息的时候要注意保证信息不被泄露,只有保证信息的保密性才会保证电力企业的安全生产;完整性,电力安全信息需要完整,不能缺失、混乱,保证数据的传输和分析过程不受干扰,避免信息被破坏;协调性,安全网络的建立使得电力安全管理更加方便,但是要注意管理运行的协调性,保证电力企业的运转。
2.2安全问题种类
电力信息安全监控要求构建完善的结构体系,从实际情况出发,结合电力系统的发展需求,确定电力系统运行的安全等级,保证安全等级能够满足电力信息网络的需求。在电力企业的信息安全上,要认识到安全的重要性,能够了解企业的信息安全不仅仅是网络信息化建设的基本保障,更是电力生产协调稳定运行的前提条件,还影响着电力生产的经济性。就目前国内的电力信息安全体系的构建情况来看,虽然基础条件已经比较完善,但是在实际的应用过程中都会存在或多或少的问题,虽能够实现电力信息网络和运行的稳定性,但是这些安全方法都具有一定的局限性,实际当中只对电力信息的局部进行了防护,并没有保证整体的安全安全协调性,使得电力信息安全水平仍旧比较低下[4]。
3电力信息安全监控方法
3.1设备的监控
3.2数据的管理
因为数据的安全影响着电力企业的安全效益,所以对于数据传输和管理办法决不能忽视。要保证数据和安全信息的统一性和协调性,注意标准化的管理模式,保证数据传输的过程中不被外界因素影响,避免出现数据的混乱、虚假数据,实现数据信息的准确性和完整性;加大对电力网络系统的安全管理,使得数据在存储当中不被恶意破坏,及时的对数据进行备份,避免出现数据丢失的情况。
3.3运行的管理
对系统的运行过程进行监督,可通过各个网络节点来采集系统信息,然后综合这些网络节点进行数据分析;对系统运行的方式进行分类,进行模块化实时性的监控,及时的反馈安全隐患;建立完善的安全事故应对机制,对安全事故进行预警和处理,总结分析事故原因,提出有效的解决办法,并制定相应的预防策略;建立离线安全分析办法,通过对数据的总结来进行评估,包括数据的分析计算、安全管理、事故报告等。
3.4优化监控技术
4结束语
作者:文勇单位:广州市紫晶通信科技有限公司
[1]李广林.电力信息安全监控系统的基本功能与技术分析[J].信息通信,2014(12):169~170.
[2]张栋.电力信息安全的监控与分析[J].通讯世界,2013(19):28~29.
[3]余勇,林为民.基于等级保护的电力信息安全监控系统的设计[J].计算机科学,2012(S3):440~442.
[4]高宇.基于监控日志的电力信息内网安全审计系统实现[J].硅谷,2012(21):156~157.
【关键词】信息系统身份鉴别漏洞扫描信息安全管理体系(ISMS)
目前,大多数企业的信息安全工作比较单一,主要是部署安全防护设备,进行简单的配置。信息安全工作不全面,安全管理相对薄弱,不足以抵抗来自外部的威胁。
1信息安全问题
1.1身份鉴别不严格
1.2外部攻击,层出不穷
随着计算机技术的发展,信息系统的外部攻簦层出不穷。攻击者利用网络系统的漏洞和缺陷,攻击系统软件、硬件和数据,进行非法操作,造成系统瘫痪或者数据丢失。目前主要存在的攻击手段包括扫描技术、邮件
攻击、拒绝服务攻击、口令攻击、恶意程序等等;入侵常用的步骤包括采用漏洞扫描工具进行扫描、选择合适的方式入侵、获取系统的一定权限、提升为系统最高权限、安装系统后门、获取敏感信息或者其他攻击目的。攻击者会根据系统特性和网络结构采取不同的手段对网络进行攻击,如果不采取相应的防御手段,很容易被黑客攻击,造成损失。
1.3员工安全意识薄弱
很多互联网企业的员工缺乏信息安全意识,存在离开办公电脑时不锁屏现象;将重要客户信息、合同等敏感材料放在办公桌上或者不及时取走打印机房内的材料;优盘未经杀毒直接连接公司电脑;随意点击不明邮件的链接;更有员工将系统账号、密码粘贴在办公桌上;在系统建设阶段,大到管理者,小到开发人员、测试人员,均注重技术实现和业务要求,而忽略了系统的安全和管理。由于员工的信息安全意识较为薄弱,很容易造成公司信息泄露,进而导致公司的损失。
1.4内部管理制度不完善
2防范措施
企业需依据《信息安全等级保护管理办法(公通字[2007]43号)》、《中华人民共和国网络安全法》》、《ISO/IEC27001》等标准和法律法规进行信息系统安全建设工作。测评机构在网安的要求下,对企业信息系统的安全进行测评,并出具相应测评结果。根据测评结果和整改建议,采用相应的技术手段(安全认证、入侵检测、漏洞扫描、监控管理、数据备份与加密等)和管理措施(安全团队、教育与培训、管理体系等)对信息系统进行整改。如图1所示。
2.1技术手段
2.1.1安全认证
不同的认证技术,在安全性、便捷性方面存在不同的特性。比如USB-Key的安全等级较高,但会遇到各种问题,导致便捷性较差(比如存在软硬件适配性问题,移动终端无USB口等)。一般认为在相同的便捷性前提下,选择安全等级较高的认证技术。针对重要系统应采用双因子认证技术。
2.1.2入侵检测
入侵检测能够依据安全策略,对网络和系统进行监视,发现各种攻击行为,能够实时保护内部攻击、外部攻击和误操作的情况,保证信息系统网络资源的安全。入侵检测系统(IDS)是一个旁路监听设备,需要部署在网络内部。如果信息系统中包含了多个逻辑隔离的子网,则需要在整个信息系统中实施分布部署,从而掌控整个信息系统安全状况。
2.1.3漏洞扫描
漏洞扫描是指基于漏洞数据库,通过扫描等手段对目标系统的安全脆弱性进行检测,发现可利用的漏洞的一种安全检测行为。常见的漏洞扫描类型主要包括系统安全隐患扫描、应用安全隐患扫描、数据库安全配置隐患扫描等。系统安全隐患扫描根据扫描方式的不同,分为基于网络的和基于主机的系统安全扫描,可以发现系统存在的安全漏洞、安全配置隐患、弱口令、服务和端口等。应用安全隐患扫描可以扫描出Web应用中的SQL注入、Cookie注入、XPath注入、LDAP注入、跨站脚本、第三方软件等大部分漏洞。数据库安全配置隐患扫描可以检测出数据库的DBMS漏洞、缺省配置、权限提升漏洞、缓冲区溢出、补丁未升级等自身漏洞。
漏洞扫描主要用于评估主机操作系统、网络和安全设备操作系统、数据库以及应用平台软件的安全情况,它能有效避免黑客攻击行为,做到防患于未然。
2.1.4监控管理
2.1.5数据备份与加密
企业高度重视业务信息、系统数据和软件系统。数据在存储时应加密存储,防止黑客攻击系统,轻易获得敏感数据,造成公司的重大经济损失。常用的加密算法包括对称加密(DES、AES)和不对称加密算法(RSA)。密码技术不仅可以防止信息泄露,同时可以保证信息的完整性和不可抵赖性。例如现在比较成熟的哈希算法、数字签名、数字证书等。
除了对数据进行加密存储外,由于存在数据丢失、系统断电、机房着火等意外,需对系统数据进行备份。按照备份环境,备份分为本地备份和异地备份;按照备份数据量的多少,备份分为全备、增备、差分备份和按需备份。各企业需根据自己的业务要求和实际情况,选取合适的备份方式进行备份。理想的备份是综合了软件数据备份和硬件冗余设计。
2.2管理措施
2.2.1安全团队
企业应设立能够统一指挥、协调有序、组织有力的专业的安全管理团队负责信息安全工作,该团队包括信息安全委员会,信息安全部门及其成员。安全部门负责人除了具备极强的业务处理能力,还需要有管理能力、沟通能力、应变能力。目前安全团队的从业人员数量在逐渐增加,话语权在增多,肩上的担子也越来越大。安全团队需要定好自己的位,多检查少运维,多帮企业解决问题。即安全团队修路,各部门在上面跑自己的需求。
2.2.2教育c培训
保护企业信息安全,未雨绸缪比亡羊补牢要强。培养企业信息安全意识文化,树立员工信息安全责任心,是解决企业信息安全的关键手段之一。企业的竞争实际上是人才的竞争,除了定期进行技能培训外,还需对员工的安全意识进行教育和培训。信息安全团队应制定信息安全意识教育和培训计划,包括但不限于在线、邮件、海报(标语)、视频、专场、外培等形式。通过对员工的安全意识教育,能从内部预防企业安全事件的发生,提高企业的安全保障能力。
2.2.3管理体系
随着计算机攻击技术的不断提高,攻击事件越来越多,且存在部分攻击来自公司组织内部。单靠个人的力量已无法保障信息系统的安全。因此,企业需建立自上而下的信息安全管理体系(ISMS,InformationSecurityManagementSystem),以达到分工明确,职责清晰,安全开发,可靠运维。安全管理制度作为安全管理体系的纲领性文件,在信息系统的整个生命周期中起着至关重要的作用。不同机构在建立与完善信息安全管理体系时,可根据自身情况,采取不同的方法,一般经过PDCA四个基本阶段(Plan:策划与准备;Do文件的编制;Check运行;Action审核、评审和持续改进)。可依据ISO27000,信息安全等级保护等,从制度、安全机构、人员、系统建设和系统运维5个方面去制定信息安全管理体系。通常,信息安全管理体系主要由总体方针和政策、安全管理制度、日常操作规程和记录文档组成,如图2所示。
[1]沈昌祥,张焕国,冯登国等.信息安全综述[J].中国科学杂志社,2007(37):129-150.
[2]李嘉,蔡立志,张春柳等.信息系统安全等级保护测评实践[M].哈尔滨工程大学出版社,2016(01).
[3]蒋欣.计算机网络战防御技术分析[J].指挥控制与仿真,2006(08),28-4.
作者简介
康玉婷(1988-),女,上海市人。硕士学位。现为信息安全等级测评师、初级工程师。主要研究方向为信息安全。
作者单位
一、指导思想
信息安全等级保护制度是全区信息安全保障工作的一项基本制度,实施信息安全等级保护是社会信息化进程中的一件大事,是维护国家基础信息网络和重要信息系统安全最直接、有效的措施。通过深化信息安全等级保护,全面推动重要信息系统安全整改和测评工作,增强信息系统安全保护的整体性、针对性和实效性,提高信息安全保障能力,维护国家安全、社会稳定和公共利益,保障和促进信息化建设。
二、组织领导
成立区信息安全等级保护工作领导小组。由区政府副区长李彦侠担任组长,区政府电子政务办、公安分局、区国家保密局为成员单位,领导小组下设办公室,办公室设在公安分局网监大队,由网监大队大队长韩迎飞兼任领导小组办公室主任,具体负责日常事务。
三、职责分工
公安分局负责信息安全等级保护工作的监督、检查、指导。区国家保密局负责等级保护工作中有关保密工作的监督、检查、指导。涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。区政府电子政务办负责等级保护工作部门间的协调工作。
四、工作目标
通过开展信息安全等级保护工作,使全区重要信息系统能够全面进行准确定级和审核备案,建立健全信息安全等级保护职能部门、行业主管部门、信息系统运营使用单位渠道畅通、责任明确、运作协调、通力合作的信息系统安全等级保护工作机制。
五、定级范围
(一)基础信息网络、互联网接入服务单位、互联网数据中心、大型互联网信息服务单位重要信息系统。
(二)铁路、银行、海关、税务、民航、电力、证劵、保险、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、卫生、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。
主要单位包括:区法院、区检察院、公安分局、区科协、区教育局、区住建局、区农业局、区卫生局、区计生局、区商务局、区工业办、区果业局、国土分局、国税分局、环保分局、工商分局、区人才交流中心。
(三)党政机关的重要网站和办公信息系统。
(四)涉及国家秘密的信息系统。
(五)其它重要信息系统。
六、工作内容
(一)开展信息系统基本情况的摸底调查。区信息安全等级保护工作领导小组对全区各行业、各单位所属信息系统进行摸底调查,全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构等基本情况,按照《信息安全等级保护管理办法》的要求,确定定级对象。
(四)备案管理。信息系统备案后,网监大队对信息系统的备案情况进行审核,发现不符合《信息安全等级保护管理办法》及有关标准的,应当通知备案单位予以纠正。
(五)监督检查。区政府电子政务办、公安分局、区国家保密局等单位将从今年起联合对各重要信息系统行业主管部门、运营使用单位开展的等级保护工作进行监督、检查、整改,对拒不落实安全等级保护工作的单位,将依法予以严肃处理。
七、工作要求
(二)明确责任,密切配合。定级工作由区政府牵头,组织区政府电子政务办、公安分局、区国家保密局、共同实施。各单位必须各司其职,加强联系,切实做好重要信息系统的安全等级保护。