网络安全风险管理
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇网络安全风险管理范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
网络安全风险管理范文第1篇
关键词:铁路网络;信息;安全风险;管理措施
目前,我国已经进入信息网络技术普及的时代中,在信息技术应用越来越广泛、作用越来越强大的同时,铁路运输组织、服务、管理、建设等多方面的发展逐渐依赖于信息技术与网络技术,目前铁路生产与管理已经进入智能化、管控一体化的管理模式中,因此,信息与网络的安全性对铁路发展有着至关重要的影响。但是随着信息化越来越强烈,存在的风险越来越多,这对铁路发展无疑是一种严重的威胁,下面对控制网络与信息安全风险提出了几点参考建议。
一、信息安全管理体系结构
信息安全风险管理体系结构模型主要由技术、管理以及系统生命周期三大要素组成的三维模型。而信息安全是由信息安全技术与信息安全管理共同参与保护工作而实现的,信息安全技术的保护作用在于对信息安全保护采取的有效技术措施,而信息安全管理的作用主要在于对信息安全技术实施与运行过程中进行科学管理,促使信息安全技术发挥最大作用。随着信息安全风险越来越多,需要不断提高信息安全技术实施与运行能力,更重要的是加强信息安全管理,从政策、法律、技术、人员等方面进行全面管理,为保证信息安全采取有效的应对措施。
1、技术要素
在技术要素中主要含有环境、系统、网络、应用四个技术方面。铁路信息系统建设过程中,环境安全是保护信息系统安全的基础与屏障,对于机房环境安全要求非常严格,从机房建设过程开始就需要对机房地址、周边环境等方面进行考虑,特别是对防火、防雷击、防渗水、防鼠害等多种对机房安全有影响的因素全部考虑在内,同时还要加强对机房维护与管理等方面工作的考虑。值班人员管理、设备管理、电源管理、机房询问控制以及机房保密等方面中都会存在安全风险,因此需要对其采取相应的管理措施,来降低风险发生几率,保障信息安全。
系统主要是由硬件、软件以及数据组成,加强系统安全,首先要确保硬件安全、软件安全以及数据安全,一旦发生安全风险,就会使数据遭到破坏、更改、泄露等风险出现,因此,需要加强对其安全保护,保证数据安全、促使系统正常运行。网络是数据传输、分析、处理等方面的重要渠道,要对网络安全加以重视,网络安全是可以保证信息安全的基础,因此,需要对其加强管理,要从结构、访问、审计、设备、代码、病毒等方面进行全面加强防范措施。应用系统是实现信息权限管理的重要技术,具有赋予、变更、撤销等重要信息应用功能,因此,加强应用系统安全管理有一定的必要性。首先要完善专用用户登录识别功能;其次要提高访问控制功能;再次需要对重要信息进行加密保管;还要保证数据完整性,加强密码技术功能应用;最后要对资源进行合理控制,限制使用额度。
2、管理要素
信息安全风险管理效果与铁路内部组织结构、管理制度以及人员管理有着直接的关系,没有完善的组织结构,相应的管理制度,会使内部管理混乱,进而发生信息安全管理不得当,同时技术人员的技术水平以及个人素质等因素都会造成信息泄露、丢失等风险存在。因此,必须建立完善的组织结构,铁路信息系统的安全要在组织结构方面得到安全保证。铁路信息安全管理应建立由上级领导层、中级管理层、下级执行层三个层面的管理组织机构,并制定完善的管理制度,落实到实际工作中,加强技术人员的培训,以提高技术人员专业水平以及综合素质为目的,优化整个信息安全管理部门,促使铁路信息安全风险管理得到保证。
3、系统生命周期要素分析
设计阶段的安全风险管理过程应对设计方案中所提供的安全功能符合性进行判断,作为采购过程风险控制的依据。应详细评估设计方案中对系统可能面临威胁的描述,将使用的具体设备、软件等资产及其安全功能需求列表。基于设计阶段的资产列表、安全措施,实施阶段应对规划阶段的安全威胁进行进一步细分,同时评估安全措施的实现程度,从而确定安全措施能否抵御现有威胁、脆弱性的影响。运行维护阶段的风险评估应采取定期和非定期两种方式;当组织的业务流程、系统状况发生重大变更时,也应进行风险评估。
二、采取措施建议
在信息系统规划、设计阶段,应对信息系统的安全需求进行分析,同步规划、设计信息系统的安全等级和保护措施,建立安全环境,从源头上保障信息安全。对已定级的信息系统,应严格按照等保要求进行区域划分、边界防护、访问控制、安全审计及安全管理。构建一个全路信息系统可视化管理平台,对网络、计算机设备、应用系统部署、操作用户及角色、运维状态等关键信息进行全局监控,提高对系统中安全问题及其隐患的发现、分析和防范能力。建立全路统一的身份认证与授权机制,对各信息系统的用户进行统一管理,确保信息在产生、存储、传输、处理过程中的保密性、完整性、抗抵赖性和可用性。
铁路网络与信息安全风险管理,不仅仅是从加强技术或者管理任意一方面就可以实现的,而是需要对信息技术与安全管理相结合,共同完善信息安全风险管理。加强对信息技术内部结构的保护,从硬件、软件、数据、加密手段、权限管理手段等多方面进行安全防护,控制系统安全风险发生,同时还需要加强信息外部管理,从建设、人员、操作、管理等方面进行管理,保证铁路网络与信息安全,降低风险发生,为铁路发展提供信息安全保障。
参考文献:
网络安全风险管理范文第2篇
关键词:互联网金融;风险;风险管理
在信息化飞速发展的时代里,互联网金融的出现有着其必然性,互联网金融是社会发展的产物,它的出现促进了金融业务的革新。然而互联网金融是以互联网为依托的一种金融业务模式,而网络环境下,互联网金融面临的风险也将随之增加,一旦互联网金融出现风险,不仅会制约互联网金融的发展,同时也会给我国社会经济造成一定的影响。对于互联网金融而言,风险是一直存在的,其要想在这个竞争激励的市场环境下更好地发展下去,就必须对互联网风险进行全面的认识,做好风险管理工作。
一、互联网金融风险
互联网金融是信息技术高速发展的产物,是在传统金融机构上的一种重大创新,它结合了互联网技术,通过互联网来开展金融业务。在互联网金融模式下,我国金融行业迎来了巨大的转变,有助于金融机构的改革。但是,在互联网金融环境下,机遇与风险是并存的,风险的存在将成为制约互联网金融健康发展的一道门槛,如果互联网金融不能做好互联网金融风险管理工作,不仅会威胁到互联网金融的健康发展,同时也会给社会经济造成影响,故此,必须对互联网金融风险进行全面的认识。
(一)网络安全风险
在网络环境下,网络信息技术的快速发展使得互联网金融将面临着网络安全风险。在互联网金融业务过程中,很容易受到不法分子利用网络技术来窃取互联网金融业务过程中产生的重要信息,如用户密码等,一旦密码泄露,就容易造成利益损失,不利于互联网金融的发展。
(二)资金风险
在现代社会里,依托网络进行经济活动的行为越来越频繁,而网络具有虚拟性的特点,在依托网络进行金融业务的时候,网络上的信息都可能是虚假的,使得互联网金融将面临着较大的信誉风险。如某企业在向银行申请贷款时,企业可以利用网络来制造一些虚假的信息,如果银行不能做好相关工作,一旦企业破产,就难以偿还贷款,从而造成银行资金损失。
(三)信誉风险
信誉风险就是金融交易双方不按照规定的时间来履行金融业务要求的一种风险。互联网金融的发展虽然活跃了金融市场,同时也带来互联网金融信誉风险。例如,企业为了自身发展需求,向银行申请贷款,并签订在规定期限规范的合同,然而作为市场主体之一,其经济活动在市场环境下容易受到市场波动的影响,使得企业蒙受损失,如果企业亏损,企业就难以在规定时间内偿还贷款,从而造成信誉风险。
(四)竞争风险
互联网金融的发展带来的竞争性会越来越激烈,互联网有着不可比拟的优越性,越来越多的金融机构纷纷开展互联网金融业务来获得客源,获得效益,从而加剧了互联网金融竞争。另外,在互联网金融环境下,互联网的出现也会恶化金融市场环境,一些不法分子会利用互联网来扰乱金融市场,从而不利于互联网金融竞争,带来竞争风险。
二、互联网金融风险管理的重要性
对于互联网金融而言,它融合了互联网技术,而网络的开放性、虚拟性使得互联网金融面临的金融风险也不断增加。对于互联网金融而言,风险的发生不仅会威胁到互联网金融的健康发展,同时也会给我国社会经济造成影响。当下,互联网金融取得了快速发展,依托互联网开展金融业务的行为也越来越多,而对于互联网金融业务客户而言,一旦他们的利益受到损害,就会对互联网金融业务进行抵触,从而使得互联网金融失去市场、失去客源。互联网风险是制约互联网金融持续发展的一个重要问题,要想推动互联网金融的更好发展,就必须对互联网金融引起高度重视,要加强互联网金融风险管理,只有加强互联网风险管理,才能更好地规避互联网金融风险,从而促进互联网金融的可持续发展。
三、互联网金融风险管理措施
(一)提高对互联网金融的认识
互联网金融已成为社会发展的一种新趋势,越来越多的人投入到互联网金融中来,活跃了我国金融市场,然而互联网金融的载体就是互联网,要想保证自己的利益不受侵害,人们就必须对互联网金融有着全面的认识。互联网金融用户要加强互联网金融的学习,提高对互联网金融的认识,掌握一些基本的互联网金融风险防范措施,自觉的规避风险。作为金融机构,要加大互联网金融风险的宣传,提高广大客户对互联网金融风险的认识,要做好风险防范工作。
(二)加强网络安全技术的运用
在互联网金融模式下,网络安全风险的发生会给互联网金融的发展造成极大影响。而网络安全风险的发生就在于网络系统安全性较差,而网络安全技术是针对网络安全问题的一种有效解决途径,常见的网络安全技术有杀毒软件、身份认证技术、加密技术、防跟踪技术等,这些网络安全技术为互联网金融提供了技术保障。在发展互联网金融的过程中,加大网络安全技术的运用可以有效地提高网络系统的安全性,避免互联网金融造成恶意的攻击,从而促进互联网金融的健康发展。
(三)健全风险管理体系
互联网金融模式下,金融风险的发生率也在增加,对于互联网金融而言,风险管理是其健康发展的保障,为了在这个快速发展的社会里稳步发展,针对互联网金融风险问题,就必须建立健全的风险管理体系,首先,将风险管理工作纳入到日常管理工作中来,建立风险管理体制;其次,要全面了解市场、了解互联网金融环境,做好风险评估工作,建立有效的风险评估机制,减少互联网金融资金风险。另外,要运用现代化的管理手段,做好互联网金融管理工作,减少互联网金融风险的发生。
(四)健全信用评价体系
互联网金融的发展活跃了融资行为,在互联网金融模式下,市场主体融资更加便捷,然而互联网金融风险也会随之出现。社会信用评价体系作为考核社会个体信誉的重要途径,加快社会信用评价体系建设可以有效的规避互联网金融信誉风险的发生。一方面要加快信用体系建设,对完善市场主体信用评估体系,同时实现网络实名制;另一方面要善于利用互联网来对市场主体的信誉进行考核和评价,全面了解其信誉度,从而降低信誉风险的发生。
(五)完善互联网金融相关法律法规建设
就目前来看,我国互联网金融相关法律法规建设还不够完善,以至于一些不法分子利用网络诈骗、窃取他人信息的行为越来越猖獗,严重影响到了互联网金融的发展。而健全、完善的法律可以为互联网金融的发展提供依据和保障。相关部门就应当加快互联网金融法律法规建设,完善互联网金融法律法规,以法律为依据,为互联网金融的发展营造良好的环境。另外,互联网金融机构还必须强化金融监管,完善相关管理体制,为互联网金融营造一个健康的发展环境,引导互联网金融进入一个科学轨道。
(六)加强互联网金融专业人才的培养
在互联网金融模式下,要想有效的避免互联网金融风险的发生,加强互联网金融专业人才的培养十分重要。就目前来看,互联网金融专业人才还比较匮乏,难以满足互联网金融发展的需要。而人才作为现代社会中各大市场主体致胜的关键所在,加大人才的培养有着重大作用。为推动互联网金融的健康发展,就必须重视互联网金融专业人才的培养。金融机构要注重工作人员互联网金融专业知识的教育,提高工作人员对互联网金融的认识,强化互联网金融专业能力的培训,同时也要加强素质教育,提高他们的职业素养和服务意识。另外,还必须加强互联网金融工作人员风险教育,提高他们的风险意识,强化他们风险处理能力,从而更好地开展互联网金融工作,将互联网金融引入到一个健康的发展环境中去。
四、结语
在互联网金融快速发展的当先,对互联网金融风险管理工作要求也越来越高,风险管理是互联网金融管理的核心工作,加强风险管理为互联网金融的发展营造健康的发展环境。随着互联网金融的发展,风险问题也不断突出,而互联网金融要想快速、稳定、持续、健康的发展,就必须做好风险管理工作,采取有效的风险管理策略,从而降低互联网金融风险的发生。
参考文献:
[1]刘志洋,汤珂.互联网金融的风险本质与风险管理[J].探索与争鸣,2014(11).
[2]陈秀梅.论我国互联网金融市场信用风险管理体系的构建[J].宏观经济研究,2014(10).
[3]沈丽,林冬冬.互联网金融风险管理文献综述[J].山东财经大学学报,2014(05).
[4]王莹.互联网金融模式下的风险管理研究[J].经营管理者,2015(06).
网络安全风险管理范文第3篇
改革开放以来,我国社会经济得到了长足的发展,人民物质文化生活水平不断提高,用电量亦直线增涨,电力行业获得了前所未有的发展机遇。随着电力行业的不断发展壮大和信息网络技术日新月异的发展,电力行业和电力企业也面临着一系列的挑战,电力信息网络风险管理和防御显得日益重要,信息网络风险量化评估成为重中之重。由于我国电力信息化技术起步较晚,发展也比较滞后,电力信息网络风险管理与风险防御是一个新的课题,电力信息网络风险量化评估在最近几年才被重视,所以存在不少的问题急待完善。
1电力信息网络风险量化评估的必要性
随着信息技术的不断发展,电力信息网络存在的风险越来越大,电力企业不得不提高信息网络风险防控意识,重视电力信息网络的风险评估工作。进行电力系统信息网络风险量化评估意义体现在许多方面,可以提高电力企业管理层和全体员工的信息网络安全意识,促进电力企业不断完善电力信息网络技术的研发与提升,防范广大电力用户个人信息泄露,为电力企业今后的良好发展保驾护航。近年来,电力企业迎来了黄金发展时期,电力网络覆盖面不断扩大,电力企业管理理念也不断提升,电力系统也随之步入了数字化时代,信息网络安全防范成为当务之急。目前电力系统信息网络安全防范一般为安装防病毒软件、部署防火墙、进行入侵检测等基础性的安全防御,缺乏完整有效的信息安全保障体系。风险量化评估技术能够准确预测出电力信息网络可能面临的各种威胁,及时发现系统安全问题,进行风险分析和评估,尽最大可能地协助防御电力系统安全威胁。
2电力系统信息网络安全风险评估中存
在的问题我国电力信息网络安全风险评估是近几年才开始的,发展相对滞后,目前针对电力信息网络安全风险评估的相关研究特别少。2008年电力行业信息标准化技术委员会才讨论通过了《电力行业信息化标准体系》,因此电力信息网络安全风险评估中存在不少的问题和难题有待解决。
2.1电力信息网络系统的得杂性
电力行业,电力企业,各电网单位因为工作性质不同,对电力信息网络安全风险的认识各不相同,加上相关标准体系的不健全,信息识别缺乏参考,电力信息网络安全风险识别存在较大的困难。此外电力信息网络安全风险评估对象难以确定,也给评估工作带来了很大的困难。2.2电力信息网络安全风险量化评估方法缺乏科学性我国部分电力企业的信息网络安全风险评估方法比较落后简单,其主要方式是组织专家、管理人员、用户代表根据一些相关的信息数据开会研讨,再在研讨的基础上进行人为打分,形成书面的文字说明和统计表格来评定电力信息网络系统可能面临的各种风险,这种评估方法十分模糊,缺乏科学的分析,给风险防范决策带来了极大风险,实在不可取。
2.3传统的电力信息网络安全风险评估方法过于主观
目前用于电力信息网络安全风险分析计算的传统方法很多,如层次分析、模糊理论等方法。可是因为电力网络安全信息的复杂性、不确定性和人为干扰等原因,传统分析评估方法比较主观,影响评估结果。在评估的实际工作中存在很多干扰因素,如何排除干扰因素亦是一大难点。电力信息网络安全风险量化评估要面对海量的信息数据,如何采用科学方法进行数据筛选,简约数据简化评估流程是当前的又一重大课题。
3电力信息网络所面临的风险分析
电力信息网络系统面临的风险五花八门,影响电力信息网络系统的因素错综复杂,需要根据实际情况建立一个立体的安全防御体系。要搞好电力信息网络系统安全防护工作首先要分析电力信息网络系统面临的风险类别,然后才能各个突破,有效防范。电力信息网络系统面临的安全风险主要有两面大类别:安全技术风险和安全管理风险。
3.1电力信息网络安全技术风险
3.1.1物理性安全风险是指信息网络外界环境因素和物理因素,导致设备及线路故障使电力信息网络处于瘫痪状态,电力信息系统不能正常动作。如地震海啸、水患火灾,雷劈电击等自然灾害;人为的破坏和人为信息泄露;电磁及静电干扰等,都能够使电力信息网络系统不能正常工作。3.1.2网络安全风险是指电力信息系统内网与外网之间的防火墙不能有效隔离,网络安全设置的结构出现问题,关键设备处理业务的硬件空间不够用,通信线缆和信息处理硬件等级太低,电力信息网络速度跟不上等等。3.1.3主机系统本身存在的安全风险是指系统本身安全防御不够完善,存在系统漏洞,电力企业内部人员和外部人员都可以利用一定的信息技术盗取用户所有的权限,窃走或破坏电力信息网络相关数据。电力信息网络安全风险有两种:一是因操作不当,安装了一些不良插件,使电力信息网络系统门户大开,被他人轻而易举地进行网络入侵和攻击;二是因为主机硬件出故障使数据丢失无法恢复,以及数据库本身存在不可修复的漏洞导致数据的丢失。
3.2电力信息网络安全管理中存在的风险
电力信息网络是一个庞大复杂的网络,必须要重视安全管理。电力信息网络安全管理风险来源于电力企业的内部,可见其风险威胁性之大。电力信息网络安全管理中存在风险的原因主要是企业内部管理混乱,权责划分不清晰,操作人员业务技能不过关,工作人员责任心缺乏,最主要还是管理层对电力信息网络安全管理中存在的风险意识薄弱,风险管理不到位所致。
4电力信息网络风险评估的量化分析
4.1电力信息网络风险评估标准
目前我国一般运用的电力信息网络风险评估标准是:GB/T20984-2007《信息安全技术:信息安全风险评估规范》,该标准定义了信息安全风险评估的相关专业术语,规范了信息安全风险评估流程,对信息网络系统各个使用寿命周期的风险评估实施细节做出了详细的说明和规定。
4.2电力信息网络安全风险计算模型
学界认为电力信息网络的安全风险与风险事件发生概率与风险事件发生后造成的可能损失存在较高的相关性。所以电力信息系统总体风险值的计算公式如下:R(x)=f(p,c)其中R(x)为系统风险总值,p代表概率,c为风险事件产生的后果。由此可知,利用科学的计算模式来量化风险事件发生的概率,和风险事件发生后可能产生的后果,即可演算出电力信息网络安全的风险总值。
4.3电力信息网络安全风险量化评估的方法
4.3.1模糊综合评判法模糊综合评判法采用模糊数学进行电力信息网络安全风险量化评估的一种方法,利用模糊数学的隶属度理论,把对风险的定性评估转化成定量评估,一般运用于复杂庞大的电力信息网络安全防御系统的综全性评估。利用模糊综合评判法时,要确定好因数集、评判集、权重系数,解出综合评估矩阵值。模糊综合评判法是一种线性分析数学方法,多用于化解风险量化评估中的不确定因素。4.3.2层次分析法电力信息网络风险量化评估层次分析法起源于美国,是将定性与定量相结合的一种风险量化评估分析方法。层次分析法是把信息网络风险分成不同的层次等级,从最底层开始进行分析、比较和计算各评估要素所占的权重,层层向上计算求解,直到计算出最终矩阵值,从而判断出信息网络风险终值。4.3.3变精度粗糙集法电力信息网络风险量化评估变精度粗糙集法是一种处理模糊和不精确性问题的数学方法,其核心理念是利用问题的描述集合,用可辨关系与不可辨关系确定该问题的近似域,在数据中寻找出问题的内在规律,从而获得风险量化评估所需要的相关数据。在实际工作中,电力信息网络风险量化评估分析会受到诸多因素的影响和干扰,变精度粗糙集法可以把这些干扰因素模糊化,具有强大的定性分析功能。电力信息网络风险量化评估是运用数学工具把评估对象进行量化处理的一种过程。在现实工作中,无论采用哪种信息网络风险评估的量化分析方法,其目的都是为了更好地进行风险防控,为电力企业的发展保驾护航。
5总结
电力信息网络安全对保证人民财产安全和电力企业的日常营运都具有非常重要的意义,电力企业领导层必须要加以重视,加大科研投入,定向培养相关的专业人才,强化电力信息网络安全风险评估工作,为电力企业的良好发展打下坚实的基础。
参考文献
[1]庞霞,谢清宇.浅议电力信息安全运行维护与管理[J].科技与企业,2012(07):28.
[2]王申华,蒋健.电力信息安全运行维护及管理探讨[J].信息与电脑(理论版),2014(11):45.
网络安全风险管理范文第4篇
关键词:信息安全管理;网络安全;风险评估
中图分类号:TP393.08
随着信息化技术的高速发展和深入应用,企业对信息系统的依赖性越来越强,绝大部分的业务从纸面迁移到信息系统当中,如何建立稳固的信息安全管理体系已经成为各企业信息管理部门甚至管理层的重要课题。本文将通过对目前国际信息安全行业发展的分析,提出企业构建稳固的信息安全管理架构,提高信息安全水平的初步构想。
1企业信息安全政策
信息安全政策作为信息安全工作的重中之重,直接展现了企业的信息安全工作的思路。其应当由企业信息安全工作的使命和远景,实施准则等几部分组成。
1.1信息安全工作的使命
信息安全工作的核心意义是将企业所面临的风险管理至一个可接受的水平。
当前主流的风险控制包含以下四个步骤:通过风险评估方法来评估风险;制定安全策略来降低风险;通过监控控制恶意未授权行为;有效地审计。
1.2信息安全工作的愿景
安全的企业信息化环境可以为任何企业用户提供安全便捷的信息化服务,应用,基础设施,并保护用户的隐私。让用户有安全的身份验证;能安全便捷的使用需要的数据和应用资源;保证通讯和数据的保密性;明确自身的角色,了解角色在企业中的信息安全责任;身边出现的信息安全风险和威胁能得到迅速响应。
要达到上述目的,企业需要进行有效的风险管理。风险管理是一个识别风险、评估风险、降低风险的过程。在这个过程中,需要权衡降低风险的成本和业务的需求,确定风险的优先级别,为管理层的决策提供有效的支持。
1.3信息安全准则
信息安全准则是风险评估和制定最优解决方案的关键,优秀的信息安全准则包括:根据企业业务目标执行风险管理;有组织的确定员工角色和责任;对用户和数据实行最小化权限管理;在应用和系统的计划和开发过程中就考虑安全防护的问题;在应用中实施逐层防护;建立高度集成的安全防护框架;将监控、审计和快速反应结合为一体。
良好信息安全准则可以让企业内外部用户了解企业信息安全理念,从而让企业信息管理部门更好地对风险进行管控。
2企业信息安全管理的主要手段
2.1网络安全
(1)保证安全的外部人员连接。在日常工作中,外部合作伙伴经常会提出联入企业内网的需求,由于这些联入内网的外部人员及其终端并不符合企业的信息安全标准,因此存在信息安全隐患。控制此类风险的手段主要有:对用户账户使用硬件KEY等强验证手段;全面管控外部单位的网络接入等。
(2)远程接入控制。随着VPN[2-3]技术的不断发展,远程接入的风险已降低到企业的可控范围,而近年来移动办公的兴起更是推动了远程接入技术的发展。企业采用USB KEY,动态口令牌等硬件认证方式的远程接入要更加的安全。
(3)网络划分。在过去,企业内部以开放式的网络为主。随着网络和互联网信息技术的成熟,非受控终端给企业内网带来的安全压力越来越大。这些不受信任的终端为攻击者提供了访问企业网络的路径。信息管理部门可以利用IPSec[4]技术有效提高企业网络安全,实现对位于公司防火墙内部终端的完全管控。
(4)网络入侵检测系统。网络入侵检测系统作为防火墙的补充,主要用于监控网络传输,在检测到可疑传输行为时报警。作为企业信息安全架构的必备设备,入侵检测系统能有效防控企业外部的恶意攻击行为,随着信息技术的发展,各大安全厂商如赛门铁克,思科等均研发出来成熟的入侵检测系统产品。
(5)无线网络安全。无线网络现在已遍布企业的办公区域,给企业和用户带来便利的同时也存在信息安全的隐患。要保证企业内部无线网络的安全,信息管理部门需要使用更新更安全的协议(如无线保护接入WPA或WPA2);使用VLAN划分和域提供互相隔离的无线网络;利用802.1x和EAP技术加强对无线网络的访问控制。
2.2访问控制
(1)密码策略。高强度的密码需要几年时间来破解,而脆弱的密码在一分钟内就可以被破解。提高企业用户的密码强度是访问控制的必要手段。为避免弱密码可能对公司造成的危害,企业必须制定密码策略并利用技术手段保证执行。
(2)用户权限管理。企业的员工从进入公司到离职是一个完整的生命周期,要便捷有效地在这个生命周期中对员工的权限进行管理,需要企业具有完善的身份管理平台,从而实现授权流程的自动化,并实现企业内应用的单点登陆。
(3)公钥系统[5]。公钥系统是访问控制乃至信息安全架构的核心模块,无线网络访问授权,VPN接入,文件加密系统等均可以通过公钥系统提升安全水平,因此企业应当部署PKI/CA系统。
2.3监控与审计
(1)病毒扫描与补丁管理。企业需要统一的防病毒系统和终端管理系统,在终端定期更新病毒定义,进行病毒自扫描,自动更新操作系统补丁,以减少桌面终端的安全风险。此类管控手段通常需要在用户的终端上安装客户端,或对终端进行定制,在终端接入企业内网时,终端管理系统会在隔离区域对该终端进行综合评估打分,通过评估后方能接入内网。才能保证系统的安全策略被有效执行。
(2)恶意软件防控。主流的恶意软件防控体系主要由五部分构成:防病毒系统;内容过滤网关;邮件过滤网关;恶意网页过滤网关和入侵检测软件。
(3)安全事件记录和审计。企业应当配置日志审计系统,收集信息安全事件,产生审计记录,根据记录进行安全事件分析,并采取相应的处理措施。
2.4培训与宣传
提高企业管理层和员工的信息安全意识,是信息安全管理工作的基础。了解信息安全的必要性,管理层才会支持信息安全管理建设,用户才会配合信息管理部门工作。利用定期培训,宣传海报,邮件等方式定期反复对企业用户进行信息安全培训和宣传,能有效提高企业信息安全管理水平。
3总结
当前,越来越多的企业已经把信息安全看做影响业务发展的核心因素之一,信息安全管理已经成为企业管理的重点。本文对信息安全政策,安全管理手段等方面进行了剖析,结合当前国际主流的信息安全解决办法,为企业做好,做强信息安全管理体系给出了一些通用性的标准,对企业构建信息安全管理体系,消除信息安全隐患,避免信息安全事件造成的损失,确保信息系统安全、稳定运行具有探索意义。
参考文献:
[1]何剑虹,白晓颖,李润玲,崔智社.基于SLA的面向服务的基础设施[J].电讯技术,2011,51(9):100-105.
[2]胡道元,阂京华.网络安全[M].北京:清华大学出版社,2004.
[3]戴宗坤,唐三平.VPN与网络安全[M].北京:电子工业出版社,2002.
网络安全风险管理范文第5篇
[关键词]电力系统;计算机网络;信息安全
doi:10.3969/j.issn.1673 - 0194.2017.02.029
[中图分类号]TP393.08 [文献标识码]A [文章编号]1673-0194(2017)02-00-02
目前,我国电力系统计算机网络信息有着较好的发展。但仍存在一些问题,只有加强对电力系统计算机网络信息的管理工作、强化安全运行及操作管理、加强电力系统计算机网络信息风险的防范及加大系统运行的技术投入,才能确保电力系统计算机网络信息安全、稳定的运行,并将其发挥到最大作用。电力系统信息网络的管理是我国信息安全产业建设与发展的重要组成部分,但电力系统信息化管理的安全研究还存在很多不足,仍需加强对计算机网络信息安全方面的研究。
1 计算机信息安全的概述
不少发达国家的政治、经济及文化开始依赖于计算机信息的基础设施,但同时也出现了强大的黑客攻击,信息技术犹如新型的作战技术,在当前的形式下,计算机信息的安全问题已成为各国面临的巨大挑战。因此,还需进一步加强对计算机信息安全的风险管理。1990年,英、法、荷兰等欧共体国家联合了关于信息技术安全评估的准则。1991年,颁布了关于计算机信息安全管理实用规则。这两大准则的颁布,直接推动了计算机信息安全风险管理的发展。计算机信息安全的风险管理的研究内容有很多,比如,相关的制作规范和调节机制、业务信息和数据范围、动态和静态的数据管理要求、对交换的业务进行统一的规范、构建安全、协调、科学的管理体系和沟通协作模型、建立安全的管理支撑平台等。2001年,国际标准化组织颁布了《信息安全管理实施指南》,其主要提出了关于风险管理的信息安全管理体系的构建,信息安全管理体系是一个以构建信息系统安全的纵深防御体系,这也推动了我国计算机信息安全风险管理的进一步发展,使其进入了深层次研究的阶段。
目前,我国的计算机信息技术还处于发展阶段,比较脆弱,可能会对个体及整个国家的电网带来安全威胁。因此,还需构建规范的管理机制,建立高效、便捷的信息沟通管理平台,并通过相关机制对计算机信息进行集中管理,提高调控的管理水平,只有这样才能更好地确保计算机信息安全、稳定的运行。
2 计算机网络信息安全在电力系统中的重要性
随着我国经济体制的深入改革,我国对计算机网络信息管理安全的研究有了更进一步的发展。计算机网络信息管理建设中常常会出现软件、硬件、数据、病毒侵蚀等问题。对于电力企业来说,如果软件中出现问题,会降低工作人员的工作效率;当硬件出现问题时,会影响到计算机的正常运作;当数据出现问题时,这些机密性、不可外泄的信息就会泄漏;当运行中出现问题时,会直接影响到网络系统的正常运行;当计算机受到病毒侵蚀时,会造成整个系统的崩溃,直接影响网络的安全性建设等。在某种意义上,计算机网络信息安全在电力系统中实现了数据和信息资源直接的共享、数据之间的交换,构建了安全管理机制和支撑平台,保障了沟通的方式的安全、科学、智能,可以说,其安全智能管理体系的建立不仅满足了计算机行业可持续发展的要求,还提高了电力系统计算机网络信息安全的水平。因此,加强计算机网络信息管理建设的安全研究具有非常重要的现实意义,其在一定程度上关系到我国信息安全产业的健康发展。
3 我国电力系统信息网络安全中存在的主要问题
随着我国信息技术的不断发展,我国电力系统计算机网络信息的安全研究也有了进一步的发展。我国电力系统计算机网络信息的安全研究直接影响到个人的工作效率,国家的未来发展等。由于信息安全题日益突出,大家对计算机信息安全的风险管理及发展趋势有了更多的研究。我国电力系统信息网络建设中还存在一些安全隐患,比如网络安全、系统安全、数据安全等,电力系统信息网络管理也存在很多问题,比如:缺少专业技术人才、安全管理制度不健全、网络安全管理意识淡薄、没有健全的信息化管理的标准体系等。
为了能科学、合理地构建规范的管理机制,还需建立高效、便捷的电力系统计算机网络信息安全的制度,并通过相关机制进行集中管理,提高调控的管理水平,从而更好地确保电力系统计算机网络信息的安全运行。总的来说,我国的电力系统信息网络管理安全体系还处于发展的初级阶段,缺乏先进的技术和创新型的人才。为了确保网络系统的安全,仍需加强安全管理机制,且当务之急还是要迅速地建立起电力系统计算机网络信息的标准体系,只有这样才能进一步展现出我国科学、合理、完善的电力系统计算机网络信息。
4 提高电力系统计算机网络信息安全水平的策略
4.1 强化安全运行及操作管理
为了能更好地确保电力系统计算机网络信息管理的正常运行,强化安全运行及科学的操作管理是必不可少的内容。由于我国的计算机网络信息管理并不安全,所以,需通过强化安全运行,实施科学的网络安全管理措施,采用规范的方法进行管理和改善,比如,采取双机备、双机容错等方式,对一些关键的设备需要避免突发事件,对网络架构方面的设计,要提高主干网络链路的准确性。管理者也要加强自身科学文化、思想品德方面的教育,要做到与员工沟通,提高员工的思想认识和个人素质等。强化安全运行及操作管理能有效地解决我国计算机网络信息化管理中的安全风险问题,这也是降低计算机网络信息化管理中风险的有效策略。
4.2 强化密码管理及计算机网络信息化管理风险防范
为了能确保电力系统计算机网络的正常运行,强化密码管理、加强计算机网络信息化管理风险的防范是必不可少的内容。由于我国当下的电力系统计算机网络运行状况并不安全,丢失的密码很难找到,因此,对计算机网络设置密码时,不可设置默认密码,还需定期修改密码,强化密码管理,加强安全运行及操作,使用科学、规范的渠道和方法进行管理和改善。而计算机网络信息化管理本身就存在一定的风险,加强计算机网络信息化管理风险的规范和指导能将运行的风险降至最低,同时,这也是对计算机网络信息化管理安全运行的有力保障。此外,领导层需要重视计算机网络信息化管理安全的管理工作,改变陈旧的观念,对计算机网络信息化安全管理投入一定的资金和人才,才能使计算机网络信息安全系统不断地完善与成熟。
4.3 加大系统运行的技术投入,提高安全监控技术水平
加大系统运行的技术投入是确保计算机网络信息化管理安全的重要内容,是电力企业进行转型升级必不可少的一个环节。一般情况下,电力企业可以通过采用以计算机为基础的自动化技术,为计算机网络信息化管理的运行提供相关的技术支持和安全保障。计算机为基础的自动化技术是在网络运行中采集电度、保护系统等,也是常用的分布式综合自动化系统。为了能有效提升计算机网络信息化管理的安全监控技术水平,还需分析与研究黑客入侵的手段、网络防病毒的进展、检测报警技术、系统访问控制和审计技术及计算机网络信息化管理安全产品的研发等,探讨计算机网络信息化管理中的安全控制策略,建立全面、科学、合理的管理体系,实现各种数据之间的及时沟通和互动,确保信息安全产业的稳定运行。
5 结 语
由于我国电力系统计算机网络信息化管理的建设起步较晚、发展较慢,在安全风险管理体系的应用和建设上还存在很多的不足,所以,我国电力系统计算机网络信息化管理建设安全的风险管理工作还需进一步改善和管理。
加强对计算机网络信息化管理的管理工作、强化安全运行及操作管理、加强计算机网络信息化管理风险防范及加大系y运行的技术投入等,能有效确保计算机网络信息化管理安全、稳定地运行。此外,还要进一步加强对计算机网络信息化的研究和管理工作,对出现的问题要及时解决,这对我国电力系统计算机网络信息化管理的安全运行和未来发展都起到了直接的推动作用。
以上就是对电力系统计算机网络信息安全的具体介绍,笔者对其研究还不太全面,还存在一些不足之处,这也是笔者以后继续努力学习和探索的方向。
主要参考文献
[1]林万孝.计算机局域网络技术及其应用[J].今日科技,2001(3).
