企业信息安全管控
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇企业信息安全管控范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
企业信息安全管控范文第1篇
关键词:内部信息网络;信息安全;管理
中图分类号:F270.7 文献标志码:A 文章编号:1674-9324(2014)21-0018-02
做好企业信息安全管控工作,首先要结合所在企业的实际情况,了解来自内部和外部环境的主要威胁,抓住工作重点,发现解决难点问题。下面就信息安全管控的一些重点和难点问题,谈一点看法。
一、信息安全管控的重点
我们常说,“信息安全控制三分靠技术、七分靠管理”,尤其是对非IT行业来说,它首先是信息系统的使用者,其次才是运行和维护者。它的内部信息网络运行人员,可能仅占到总人数的1%甚至更低。所以技术措施主要是作为管理人员的手段来发挥作用,维持信息网络安全稳定运行,最重要的还是明确管理制度、细化安全职责、加强监督考核。大部分企业的内部网络出口,都装有防火墙和入侵检测系统,理论上说一个外界的入侵者想绕过防火墙和入侵检测系统进入到企业内部网络进行非法操作,难度很大。
二、信息安全管控的难点
随着企业各项业务的信息化,其信息资产的价值也在迅速提升,这势必会吸引一些有目的性的内部或外部威胁,从而带来信息安全性的下降。信息系统可用性已经不再是信息安全管控的唯一目标,系统数据的保密性和完整性也已经成为了信息安全工作的重要内容。在信息网络运行工作中,这就需要我们关注更广的范围,监控更多的节点,进入更多的层面。
同时我们必须认识到,在某些方面,信息安全性的提高是以降低应用的便利性为代价的。例如:一些员工为了避免一系列限制,不使用企业统一的外网出口,而是自己利用3G上网,虽然有很强的自由性,也能提高访问速度,但是这样就打开了一个不经过防火墙和入侵检测系统的外网接口,一旦外部有影响恶劣的新型病毒爆发,病毒就可以在信息管理人员做好准备之前入侵内部网络,造成较大的安全事故。安全性和便利性的这种冲突,需要我们针对网络和信息系统重要程度,划分级别,寻找一个两者之间的平衡,在达到安全标准的前提下,提高应用的便利性。
三、安全管控的实施原则
基于以上理解,在企业内部信息网络中进行安全管控措施规划、实施时,可以遵循以下原则。
1.整体性原则。从应用系统的视角,分析信息网络的安全的具体措施。安全措施主要包括各种管理制度以及专业技术措施等。一个较好的安全措施往往是多种方法适当综合的应用结果,只有从系统综合整体的角度去看待、分析,才能选取有效可行的措施,着重加以落实。
2.平衡性原则。对于一个计算机网络,绝对的安全很难达到,也不一定非要达到不可。应结合企业实际,对其内部网络的性能结构进行研究,并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后选取急需落实执行的规范和措施,确定当前一个时间段的重点安全策略。
3.一致性原则。一致性原则主要是指网络安全措施应与整个网络的生命周期同时存在,制定的安全体系结构必须与网络的安全需求相一致。实际上,在网络建设的开始就有前瞻性的考虑到网络安全问题,比在网络建设好后再考虑安全措施,不但容易,且花费也小得多。
4.容易性原则。安全制度需要人去遵守,安全措施需要人去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性。
5.动态性原则。企业信息系统的应用范围将越来越广阔,随着网络规模的扩大及应用的增加,网络脆弱性也会不断增加。一劳永逸地解决网络安全问题是不现实的。应该随着企业信息化的发展,不断完善现有网络安全体系结构,适时增加或减少应该重点落实的安全措施。
6.多重性原则。任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,采取多项安全措施进行多层防护,各层防护相互补充,当一层保护出现漏洞时,其他层仍可保护信息网络的安全。
四、安全管控的重点措施
信息安全的保障,还要靠制度细则的执行,具体措施的落实。近几年来,在电力行业内部,各级单位制定了一系列的安全管理措施,来保障内部信息网络的安全可靠。
1.“不上网、上网不”,切实避免将的计算机、存储设备与信息网络连接,避免在接入外部网络或互联网的计算机设备上存储、处理、传递信息或内部办公信息。
2.计算机接入信息内网必须严格执行审批登记制度,使用规范的计算机名称,实现IP和MAC绑定。必须纳入企业统一的域安全管理,接受统一的监管。
3.执行统一的互联网出口策略,禁止单位和个人私自设置互联网出口。
4.接入企业信息内网的计算机设备,应严禁配置、使用无线上网卡等无线设备,严禁通过电话拨号、无线技术等各种方式与互联网互联。信息内网应避免使用无线网络组网方式。
5.在计算机的运行使用中,所涉及到的用户帐户应执行口令强度的要求与定期更换的规定,采取有效措施监控、发现、并及时修改弱口令,防止被他人利用。应禁止内部员工未经授权侵犯他人通信秘密,擅自利用他人业务系统权限获取企业电子商密信息。
6.应使用企业集中统一的内外网邮件系统,接受统一的内容审计管理。对于在外部网络和互联网上传输的内容,也要采用加密压缩方式进行传输。
7.连接内网的传真、打印、复印一体机,应切断电话线连接,取消智能存储功能。应禁止将普通移动存储介质和扫描仪、打印机等计算机外设在信息内网和外部网络上交叉使用。
企业信息安全管控范文第2篇
关键词:电力企业;安全生产;信息化管控
引言
自从改革开放以来,电力能源一直是我国经济发展的重要力量,并逐渐成为国民经济重要的领导性产业,并始终致力于电力供应、节能高效、技术创新等方面的责任。计算机通信技术的飞速发展有效提高了电力行业的新技术研发,增强了风险管控能力,并且使电力企业朝着综合化及集约化方向发展,同时对电力企业提出了更高的要求。所以,加强对电力企业安全生产管理信息化管控的措施,提高电力生产的有效管控,并增强企业安全生产管理的能力,不断研发新技术及新设备,努力适应市场化变革,是电力企业未来发展的重要方向。
1水电信息化管控与安全生产管理
随着科技的进步,我国电力系统也在与时俱进。现如今,整个电力系统以信息化手段为中心,围绕该中心开展一系列的信息收集和资源共享工作,从而加快高质量电网供电、科学化电网供电、智能化电网供电的建设,最终降低整个电力系统的功耗,推动我国电网的跨越式发展。大数据时代,电力系统信息化的搭建,可以将所有电力参数进行实时采集,在线分析。这对于我国电力的部署问题会有很大的帮助。一般来说,信息化是一个企业欣欣向荣、积极进取的标志,尤其在促进水电厂企业的发展方面有着不可估量作用。通过信息化的注入,水电厂企业将更加灵动运作,从而更好地为人民服务。对水电厂进行信息化建设可以加速我国电网从量变到质变的步伐,然而管控工作则可以起到事半功倍的效果。管控,顾名思义就是监管控制。通过对整套电力系统的全面监控从而达到提高工作效率,促进电网工作的进步。如对电力系统的工作人员的管控,可以提高生产效率;对电网一线的管控,可以减低工作危险;对电网基础设施的管控,可以降低故障发生的概率。因此,管控工作不容忽视。为了有效管理电能,必须实施信息化管控,通过大数据的实时采集与分析,使得准确有效的数据信息实时传递给电网系统的高层管理,为进行战略布局而起到良好的辅助作用,增强电力企业在市场竞争中的核心竞争力。对电站设备实现自动监视与记录:计算机监控系统自动完成电站设备数据的采集、处理以及设备运行状况的自动监视与记录,包括开关量信息监视,模拟量信息监视,故障/事故报警、记录与显示,SOE点记录与显示[1]。
2信息化现状和安全信息管控的问题
由于电力系统是一直技术密集及设备繁多的有机整体,系统自动化程度非常高,电力设备之间耦合程度也紧密,需要设备具有很高的可靠性及可利用率。电力行业信息化系统建设是非常重要的一个部分,从目前电力行业发展来看,每个系统之间普遍建立了高水平的信息化水平,但是这些系统之间大多数没有直接联系,并且耦合度也比较低,这使得电力系统的整体性及连续性受到很大限制,不能有效发挥电力系统最大的功能。自从改革开放以来。我国电力企业有了很大的发展,逐渐发展成了规范化检修管理、安全隐患管理、运行经济性评估、技术管理、两票三制等为主要操作及管理手段的安全生产管理体系。同时,安全生产管理也逐渐发展成为专业的信息化应用系统。虽然我国电力企业在开展安全生产管理信息化发展方面有了很大提高,但依然存在下面几个问题。1)通常电力企业安全生产管理系统存在很大的孤岛问题。电力系统运行与企业内部各部门之间耦合不完善,并缺乏与外部信息系统的沟通联系手段,严重与电力企业要求的强耦合、密切协同关系不相符,并与电力企业想要达到的精细化运行、集团化管理及集约化发展的目标相差很大,不能完全实现对安全生产的管控效果。2)经常出现重复建设及投资的问题。因为没有完善的信息管理体系,导致整体规划及构架缺乏合理性,使得信息系统不能及时共享,从而出现重叠建设及投资的现象。3)安全生产管理信息系统自身的安全性能与实际需要相差甚远。因此,缺乏对系统的全面规划及构架,甚至具有一定的漏洞,如果出现不安全事件问题,将会造成不可以快速地做出全局性判断,导致事态进一步严重。
3水电安全生产管理信息化管控的措施
科学技术水平的提升为现代公司的快速发展创造了诸多条件,信息技术的运用就是其中的代表,其不仅能够为电力公司奠定技术基础,还能够进行有效地内控。这具体体现在:第一,公司的成长与内部信息的沟通密切相关,公司精神的战略传输,企业文化的推广指引,均需迅速加以传播,信息技术就有效地满足了该要求,增快了公司内部信息的传输速率,提升了工作成效。第二,信息技术的运用为公司管理提供了新的方式,不仅能够科学安排员工工作任务,还能够促进文化的建设。信息技术在提高企业关键竞争优势的同时,也需要公司持续改革、革新知识储备、更新系统设施,一味遵守老的规矩,便会无法适应市场的发展,无法追随市场的步伐。要结合企业现实状况和将来发展的现实需求,全面利用其在互联网、资源、信息等方面的便利条件,增强公司内部信息安全管控平台的构建,深化所有职工互联网安全管控的认知,在技术方面也应当持续增大信息安全管控力度,确保信息储存与传播的安全,健全网络系统。虽然国内电力公司的网络化建设工作在持续开展,然而依旧有诸多电力公司对该项工作的注重水平低下,对于有关从业者也未提出较高的技术要求,致使信息管控工作无法将自身的功能有效发挥出来。为了防止此种现象的产生,电力公司应当依据现实状况,整体考量自身的现实需要,明晰信息管控工作者的责任,且定期组织有关技术培训,提高人员专业水准,并对工作人员的专业技能加以考评,对于技术不达标的员工,将其辞退。另外,应当利用思想教育培训,深化信息化建设工作者的思想认知,明晰权利和责任,引导其在工作过程中进行实践经验的归纳剖析,持续提高自身水平,且逐渐健全信息化管理平台。
4实际案例分析
川内某水电厂的安全生产管理系统采用面向对象开发语言JAVA来进行开发,该系统与用户的交互形式使用B/S模式。移动安全管理应用模块基于智能手机Android系统平台进行APP开发。移动安全管理客户端应用硬件以手机为主,在Web(外网)上通过4G网络(或WiFi)以APP的形式进行访问和操作,通过4G网络与后台服务端进行实时通讯、数据交互,并实现后台服务端对移动端数据的接收和存储。该水电厂遵循“先进、整体、统一、个性、开放、可扩展和一体化”的原则,进行了安全生产管理系统建设,解决系统中对安全监管业务覆盖不全和薄弱环节问题,实现小湾水电厂安全管理的信息化、智能化。以下笔者主要是列举几个关键点:第一,监控系统异常监视:对机组现地控制单元硬件、软件故障自动监视,报警并上送数据信息给电站控制层。实时监视监控系统本身的工作状况,通信状态等。第二,事件报警:故障报警记录:计算机监控系统周期性扫描故障信号,故障发生时,立即响应并处理,同时记录故障发生时间(时、分、秒)、动作设备器件名称、事故内容等信息,并显示、打印故障报警语句,发出声光报警信号,按故障发生的先后次序排列,形成故障记录并存入数据库。故障记录表格为故障汇总记录表,可供值班人员查寻,并定时打印,也可召唤打印或显示。第三,事故追忆及相关量记录:电站发生事故时,需对事故发生前后的某些重要参数进行追忆记录,以供运行人员事故分析。事故发生时,计算机将按顺序将事故报警信息、事故的名称及这些追忆数据保存于磁盘中,形成历史数据。并自动显示、打印这些数据。事故追忆的重要参数有:线路三相电流和电压(正常值和故障值);主变的电流和温度(正常值和故障值);发电机定子三相电流和电压(正常值和故障值)、机组推力轴瓦最高温度等。第四,控制、操作与调节功能:依据水电厂机械运行的状况与相关调研结果,依照预定流程远距离和现场的管控命令对该厂机械的运行加以管理和调控。运行机械管理方式设定,自动或者手动管控、远距离或者现场操作,都能够在操作页面中点击达成,无功和有功功率调控和机组开机、停机的操控也能够在操作页面中点击达成。控制优先权为:电站控制层模块、现场控制层模块。可达成机械运行模式设定和调换:闸门开启或者闭合操作;机组无功和有功的调控;报警信号复位;隔离开关、断路器操作;机组压油设施与公共设施电动机启动和切断操作,此便是有代表性的水电公司安全生产网络化所取得的成效[2-3]。
5结语
随着计算机通信技术的飞速发展,我国信息化水平不断进步,电力企业的安全生产管理水平也有了提高。电力企业应该将行业安全管理自身的特点作为根本,采用计算机网络技术,构件完善的企业安全生产管理信息化系统。通过高效的数据整合,为电力企业提供科学有效的数据信息,使得信息化在电力企业实际生产中发挥有效作用。通过不断提高电力企业安全生产管理的技术水平,可以减小事故发生几率,提高电力企业电能生产的效率,从而增强电力企业的核心竞争力。
参考文献
[1]孟碧波,万诗新.水电厂计算机监控系统AGC安全问题对策[J].电网技术,2004,28(14):49-52;56.
[2]张智明.水电站如何开展“反措”和“安措”管理工作[J].小水电,2011(4):81;88.
企业信息安全管控范文第3篇
关键词:信息安全;防护体系
随着企业各个业务系统的深化应用,企业的日常运作管理越来越倚重信息化,越来越多的数据都存储在计算机上。信息安全防护变得日益重要,信息安全就是要保证信息系统安全、可靠、持续运行,防范企业机密泄露。信息安全包括的内容很多,包括主机系统安全、网络安全、防病毒、安全加密、应用软件安全等方面。其中任何一个安全漏洞便可以威胁全局。随着信息化建设地不断深入和发展,数据通信网改造后,市县信息网络一体化相互融合,安全防护工作尤显重要。如何保障县公司信息网络安全成为重要课题。信息安全健康率主要由两方面体现,一是提升安全防护技术手段,二是完善安全管理体系。安全防护技术手段主要侧重于安全设备的应用、防病毒软件的部署、安全策略的制定、桌面终端的监管、安全移动介质、主机加固和双网双机等方面,安全管理则侧重于信息安全目标的建立、制度的建设、人员及岗位的规范、标准流程的制定、安全工作记录、信息安全宣传等方面[1]。因此,企业要提升信息安全,必须从管理机制、技术防护、监督检查、风险管控等方面入手,并行采取多种措施,严密部署县公司信息安全防护体系,确保企业信息系统及网络的安全稳定运行,主要体现在以下几方面:
1机制建立是关键
企业信息安全防护“七分靠管理,三分靠技术”,没有严谨的管理机制,安全工作是一纸空谈,因此,做好防护工作必须先建立管理体系。一是完善组织机制。在企业信息安全工作领导小组之下,设立县公司数据通信网安全防护工作组,由信通管理部门归口负责日常工作,落实信息安全各级责任。将信息安全纳入县公司安全生产体系,进而明确信息安全保障管理和监督部门的职责。建立健全信息安全管理等规章制度,加强信息安全规范化管理。二是强化培训机制。根据近年来信息安全的研究,企业最大信息安全的威胁来自于内部,因此,企业应以“时时讲信息安全,人人重信息安全,人人懂信息安全”为目标,开展“教育培训常态化、形式内容多样化、培训范围全员化、内容难度层次化”培训工作,为信息安全工作开展提供充分的智力保障。企业应充分利用网络大学、企业门户、即时通讯等媒介,充实信息安全内容,营造信息安全氛围,进而强化全员信息安全意识。三是建立应急机制。完善反应灵敏、协调有力的信息安全应急协调机制,修订完善县公司数据网现场应急处置预案,加强演练。严格执行特殊时期领导带班和骨干技术人员值班制度,进一步畅通安全事件通报渠道,规范信息安全事件通报程序,做好应急抢修人员、物资和车辆准备工作,及时响应和处理县公司信息安全事件。重点落实应对光缆中断、电源失去、设备故障应急保障措施,确保应急处置及时有效。杜绝应急预案编制后束之高阁和敷衍应付的行为。
2技术防护是基础
技术防护要从基础管理、边界防护、安全加固等方面入手[2]。(1)基础管理方面。一是技术资料由专人负责组织归类、整理,设备或接线如有变化,其图纸、模拟图板、设备台帐和技术档案等均应及时进行修正。二是将设备或主要部件进行固定,并设置明显的不易除去的标识,屏(柜)前后屏眉有信息专业统一规范的名称。三是设备自安装运行之日起建立单独的设备档案,有月度及年度检修计划并按计划进行检修,检修记录完整。所有设备的调试、修复、移动及任一信息线或网络线的拔插和所有设备的开关动作,都按有关程序严格执行,并在相应的设备档案中做好记录。四是加强运行值班监视和即时报告,确保系统缺陷和异常及时发现,及时消除。(2)安全隔离方面。安全隔离与信息交换系统(网闸)由内、外网处理单元和安全数据交换单元组成。安全数据交换单元在内外网主机间按照指定的周期进行安全数据的摆渡,从而在保证内外网隔离的情况下,实现可靠、高效的安全数据交换,而所有这些复杂的操作均由隔离系统自动完成,用户只需依据自身业务特点定制合适的安全策略,既可以实现内外网络进行安全数据通信,在保障用户信息系统安全性的同时,最大限度保证客户应用的方便性。(3)边界防护方面。一是部署防火墙,做好网络隔离。在路由器与核心交换机之间配置防火墙,并设置详细的安全防护策略。防火墙总体策略应是白名单防护策略(即整体禁止,根据需要开放白名单中地址)。将内部区域(下联口)权限设置为禁止、外部区域(上联口)权限设置为允许。定义防火墙管理地址范围,针对PING、Webui、Gui三种服务进行设置:只允许特定管理员地址远程管理。二是严格执行防火墙策略调整审批程序,需要进行策略调整的相关单位,必须填写申请单,且必须符合相关安全要求,经审批后进行策略调整。三是严禁无线设备接入。(4)安全加固方面。一是应以最小权限原则为每个帐号分配其必须的角色、系统权限、对象权限和语句权限,删除系统多余用户,避免使用弱口令。二是安装系统安全补丁,对扫描或手工检查发现的系统漏洞进行修补。三是关闭网络设备中不安全的服务,确保网络设备只开启承载业务所必需的网络服务。四是配置网络设备的安全审计功能和访问控制策略。五是开展风险评估工作中,认真分析网络与信息系统安全潜在威胁、薄弱环节,综合运用评估工具,在常规评估内容基础上,加强渗透性验证测试和密码脆弱性测试,重视对系统结构与配置的安全评估。根据评估结果,及时提出并落实整改方案,实施安全加固措施。
3监督检查是保障
全面落实“按制度办事,让标准说话”的信息安全管理准则,在企业指导下,由县公司信通专业牵头,业务部门主导,分工协作建立督查机制,加强过程安全管控与全方位安全监测,推进安全督查队伍一体化管理,完善督查流程和标准,开展好安全督查工作,以监督促进安全提升。一是全面提升责任部门安全人员专业技术水平,加强督查队伍建设。二是完善督查机制,对督查中发现的问题督促落实整改,并开展分析总结,通报相关情况。三是开展常态督查,通过软件扫描、终端监测等手段,确保监测全方位。四是加强考核,开展指标评价。保障督查管理水平和工作质量。
险管控是对策
为确保公司信息化网络安全,公司要将被动的事件驱动型管理模式转变为主动的风险管控模式,主动地对威胁和风险进行评估,主动地采取风险处置措施。通过资源的调控实现对信息安全工作的调控。公司应在信息安全治理过程中大量借鉴管理学方法,进行动态的控制和治理,通过治理的流程控制措施进行资源的调配,实现对关键项目、关键技术、关键措施的扶持,对非关键活动的控制,确保公司信息化网络安全。数据通信网升级改造为企业信息化发展扩展了领域,同时,对信息安全工作提出了新的课题和更高的要求。本文通过分析企业信息化安全管理过程中的一些薄弱环节,提出了安全防护经验的措施,从管理机制、技术防护、监督检查、风险管控等方面入手,提高了县公司全体人员信息化安全意识,极大地保障了企业系统(含县公司)信息网络系统的安全、稳定运行,完善了县公司信息安全策略及总体防护体系,密织信息安全防护网,保障数据网不失密、不泄密,不发生信息安全事件。公司下一步将加强信息化常态安全巡检,加强信息化相关资料的管理,加强单位干部员工的信息化安全培训力度,进一步完善信息安全策略及总体防护体系。提高全体人员信息化安全意识,保障信息化网络安全。企业信息安全建设是一项复杂的综合系统工程,涵盖了公司员工、技术、管理等多方面因素。企业要实现信息安全,必须加强安全意识培训,制定明确的规章制度,综合各项信息安全技术,建立完善的信息安全管理体系,并将信息安全管理始终贯彻落实于企业各项活动的方方面面,做到管理和技术并重,形成一套完善的信息安全防护体系。
参考文献:
[1]马贵峰,马巨革.构建网络信息安全防护体系的思路及方法——浅谈网络信息安全的重要发展方向[J].信息系统工程,2010(6).
企业信息安全管控范文第4篇
关键词:电子科技企业;信息安全;策略
电子企业作为高科技企业,在电子科技企业发展的过程中,信息安全直接关系到电子企业的存亡。在电子科技企业文件流转和文件管理当中,会涉及到一些十分重要的文件和信息,对企业的发展有着直接的影响。如果电子科技企业内部缺乏科学的信息安全管理技术,导致了信息泄露,会对电子科技企业的发展造成重大的影响。因此,在电子科技企业快速发展的今天,如何采取合理的措施,保证电子科技企业的信息安全是电子科技企业在发展中所面临的一个十分重要的课题。
1.信息安全在电子科技企业发展中的意义
在信息时代,科学技术获得快速发展,在现代技术的推动下,我国电子科技企业获得了巨大发展,并在我国经济建设和经济结构调整中发挥着重要的角色。电子科技企业在发展中,信息和资源成为关乎电子科技企业生存和发展的关键因素。为了确保电子科技企业在日益激烈的市场竞争当中获得更好的发展空间,电子科技企业需要对涉及自身发展的重要信息进行保护,确保企业信息安全。从现代企业的发展来看,企业信息不仅能够决定一个企业的命运,同时在企业发展的过程中,通过对企业信息的合理管控能够迅速提高一个企业的管理水平,服务于企业发展战略。随着我国电子商务产业的快速发展,当前越来越多企业的商务活动都是通过电子商务的方式进行的,同时在电子科技企业发展过程当中,企业生产、运输以及管理工作都离不开信息。在现代社会中,信息化建设在电子科技企业发展中发挥着巨大的作用,这就要求电子科技企业在其发展当中,需要紧跟时代步伐,加强信息安全保护和利用,促进电子科技的可持续发展。
2.电子科技企业信息安全技术分析
2.1电子科技企业信息加密技术
信息在电子科技企业发展和管理工作当中发挥着重要的作用,对电子科技企业信息进行加密能够保证企业的信息安全。信息加密技术主要指的是对企业要进行传递的信息加强保护,并且能够确保电子科技企业信息在传递中变得更加完整和安全。从整体上看,在电子科技企业信息保护中,加密技术是保证企业信息安全的重要措施。从加密技术本身来看,加密技术可以具体被划分为对称和不对称两种。加密技术主要是通过序列密码或者分组机密来完成。其中包括了密钥、加密算法等五个有机组成部分构成。非加密技术主要要具备密钥和私有密钥,可并且在这两种密钥配对使用时才能够对加密信息完成解密工作。加密技术在电子科技企业信息管理工作中的应用在很大程度上保证电子科技企业信息的安全。例如在电子科技企业进行邮件传输时,通过加密职后进行传播,即使文件被窃取也只是得到相关密文,难以获取重要的具体信息。这样在进行信息传递时增强了信息的安全等级。因此,加密技术在我国众多行业中得到广泛应用而不是仅限于电子科技企业。
2.2防火墙技术
在信息环境下,随着现代网络技术的不断发展进步,信息安全防护技术也取得了快速发展,虽然在很大程度上保证了信息安全,但是,窃取信息的技术也在进步,并且对企业信息安全造成了很大威胁。在电子科技企业发展当中,仍然有一些病毒和黑客仍旧能够渗透进企业网络,窃取企业信息,这对电子科技企业的健康发展带来了很大影响。为了防止商业间谍活动、病毒对企业信息安全带来的威胁,保护信息安全一种常用的方法就是防火墙。这种技术能够有效防止黑客入侵,并且能够保证企业的信息安全。在电子科技企业快速发展的过程中,加强相关基础设施建设,保证企业信息系统安全,能够保证电子科技企业的快速发展。在电子科技企业快速发展的过程当中,通过开展一些活动以及服务,构建一个强大的信息安全数据库,能够为保证企业信息安全提供重要的服务。同时通过建立信息安全数据库,能够使企业加强对数据信息的开发和利用,从而能够为企业制定发展决策提供重要的依据与指导。
3.提高电子科技企业信息安全的策略分析
3.1建立系统的信息管理体系
通过对文章的分析可以指出,在现代企业发展当中企业信息对于电子企业的发展具有重要的意义。在电子科技企业发展当中为了保障企业信息安全,除了要采用相关的技术之外,还有必要建立起系统的信息工作管理体系,这样一方面能够保证企业信息安全,另一方面能够加强对企业信息的利用。现代电子科技企业在其发展当中,企业最初建立的相关信息制度在一定程度上制约着企业信息系统的安全。一旦安全管理制度出现问题,那么企业采用的安全工作也无法正常进行。因此,在电子科技企业发展中建立严格的信息安全管理体系对于保障企业信息安全发挥着重要的作用。在企业发展中只有当信息安全工作能够形成一个完整的体系,才能保证信息安全工作能够顺利进行。
3.2加强网络管理
现代电子科技企业在发展当中,很多企业都建立局域网,加强各个部门之间联系与合作。因此,在电子科技企业信息安全管理工作当中,能够利用局域网加强企业信息安全管理工作。电子科技企业通过局域网联接,不仅可以在这一平台上即使安全公告和相关规则,还能够进行安全软件下载,提高员工的企业信息安全培训工作。这样局域网不仅能够为企业员工提供了一个重要的相互交互的平台,同时还能够有效保护企业信息的安全。
4.结语
企业信息安全管控范文第5篇
关键词:信息安全管理 业务连续性 运作方式 管理内容
中图分类号:TP393108 文献标识码:A 文章编号:1674-098X(2015)09(b)-0186-02
Strengthening Enterprise Business Continuity Management by ISO27001
Wu Qiumei Yao Li Yang Ou Che Yong bo Ding Dong
(Yunnan Power Grid Co.,Ltd.Puer Power Supply Bureau,Puer Yunnan,665000,China)
Abstract:The Business Continuity management is ISO27001 standard of a safety control target,its purpose is to prevent the effects of interruptions to business activities and to protect critical business processes from major failures of information systems or disasters,and ensure their timely recovery.Author Puer power supply bureau information security management system construction process in the business continuity management mode of operation,the implementation process of business continuity management carried out and Puer electric power supply bureau business continuity management achievement basis,from two aspects of IT systems and IT services on how to strengthen the business continuity management are described.
Key Words:Information security management;Business continuity;Operation mode;Management content
业务连续性管理起源于20世纪70年代的容灾和恢复计划,它的发展与计算机信息技术的发展密不可分。随着信息技术的不断发展,大量计算机系统应用于不同的企业业务流程,提高了企业的业务运行效率,从而使企业对信息系统的依赖度逐步上升。在这种情况下,企业对信息系统运作的稳定性和可靠性提出了更高的要求。1995年,英国BSI在信息安全管理标准BS7799(ISO27001的前身)中,建立了信息安全管理体系的模型,其中业务连续性管理(BCM)被作为一个重要部分包括在模型中,从而确立了业务连续性管理对于企业信息安全运营的重要地位。我国也于2014年1月正式了国家标准GB/T 30146《公共安全 业务边续性管理体系 要求》,为如何建立和管控一个文件化的业务连续性管理体系指明了方向。
1 业务连续性管理的目标
业务连续性管理将找出对组织有潜在影响的威胁以及对组织业务正常运行可能存在的影响,制定有效响应措施保护组织的利益、信誉、品牌和创造价值的活动,并为组织提供建设健壮度框架的整体管理过程。通过此过程确保重要业务和流程具备以下三个方面的能力。
(1)高可用性:是指提供在本地故障情况下,能继续访问应用的能力。无论这个故障是业务流程、物理设施、IT软/硬件的故障。
(2)连续操作:是指当所有设备无故障时保持业务连续运行的能力。
(3)灾难恢复:是指当灾难破坏系统中心时在不同的地点恢复数据的能力。
普洱供电局信息安全管理体系中业务连续性管理的目标是:防止普洱供电局各类信息业务活动中断,保护关键业务过程免受信息系统重大失误或灾难的影响,并确保它们的及时恢复。
2 业务连续性管理运作方式
根据业务连续性管理目标可以知道业务连续性管理是一项综合管理流程,它包括组织在面临灾难时对业务活动的恢复和连续性的管理,以及为保证业务连续性的切合适宜所进行的培训、演练和评审等涵盖整个方案的管理。但究其核心则是业务连续性计划的制定和实施。普洱供电局分六个阶段开展了业务连续性管理,主要包括启动项目、业务影响分析、确定恢复策略、编制业务连续性计划、测试与演练计划、维护与更新计划等六个阶段。
2.1 项目初始化
此阶段主要为项目实施进行资源准备,需要明确项目实施管控的组织机构和人员责任。普洱供电局成立了相应的信息安全工作领导小组,明确了各小组成员的工作职责,当发生影响业务连续运作的危机时,领导小组作为危机管理组织,集中应对处理危机,确保业务系统快速恢复。
2.2 业务影响分析
业务影响分析主要对可能引起业务过程中断的事件(如:设备故障、火灾、电力中断、地震等),以及每一个中断对普洱供电局产生的影响(如:中断引起的损害、恢复与替换的费用,以及业务中断所造成的损失)进行分析,分析重大安全失效和灾难的发生将对普洱供电局业务产生的冲击和影响程度。然后根据影响程度的定性评估,确定关键业务活动的关键性级别、恢复目标时间以及普洱供电局可接受的业务中断时间。对于可能造成关键业务活动中断小于等于可接受业务中断时间的灾难与安全失效进行分析;对影响关键业务活动中断小于等于可接受业务中断时间的灾难与安全失效等威胁发生可能性(P)和业务影响程度级别(B)两方面进行分析。
2.3 确定恢复策略
信息安全工作领导小组根据分析结果,从灾难的影响程度、发生可能性、制作实施业务连续性计划和灾难恢复计划成本等因素进行综合考虑,决定对于哪些灾难与安全失效制定实施业务连续性计划;接受哪些灾难和安全失效;对哪些灾难和安全失效采取日常控制措施或其它方法(如:保险、与客户/供应商/相关组织分担风险等)降低业务中断可能造成的损失,从而确定相关业务系统的恢复等级和可容忍系统中断时间(RTO)及可容忍数据丢失量(RPO),从业务系统恢复等级指标(表1),可以看出,业务恢复等级最高的是生产业务管理系统。
2.4 编制业务连续性计划
根据已确定的业务连续性指标,找出关键设备和关键数据,编制应急策略,确保在恢复时间目标范围内完成恢复。根据业务连续计划和灾难恢复计划的目标,普洱供电局信息安全工作领导小组决定将业务连续性通过《普洱供电局管理信息系统网络与信息安全应急预案》的管理来提高。
2.5 测试与演练计划
对于业务连续性计划的测试与演练,普洱供电局结合网络与信息安全应急预案管理要求,确定每年对其进行一次演练,通过演练来检测业务连续性计划对灾难的应对成效。另外,在业务环境发生重大变更时,应对业务连续性计划的可用性和服务连续性进行测试,确保业务连续性计划的适用性。
2.6 维护与更新计划
对演练的结果进行记录和评估,找出业务连续性计划存在的问题,并制定新的措施以维持其连续性能力。
3 普洱供电局业务连续性管理成果
普洱供电局依据信息安全管理体系的标准要求,开展了业务连续性管理工作,通过业务连续性管理的实施,得到了以下几项结果。
(1)用于防范危害的评测指标。
(2)发生危害时,有明确的人员知道如何处理各种危害事件。
(3)用于应对灾难的应对计划,提供危险发生时的操作流程。
从上述结果可以看出,普洱供电局业务连续性管理的重点是对灾难的应对,但从实际情况来看,在企业的业务连续性管理中,最大的威胁主要来源于业务运行过程中因人为误操作、设备或流缺陷等事件带来的威胁。虽然这些危害的影响力远不如地震、火灾等重大灾难,但是它们却时刻潜伏在周围,随时会对企业造成致命的打击。这类危害在演变成灾难前都是可以通过相应的管控手段加以管控的,所以本人认为,对于业务连续性管理的管控重点,应集中到事件发生前的预防阶段(如图1),通过加强预防控制,提升业务连续性运行能力。
4 完善业务连续性管理
加强业务连续性管理,可以帮助企业建立一套有效应对威胁的自我恢复能力体系,确保灾难发生时关键业务的连续服务能力。但对于业务连续性管理,应加强预防阶段的管控,从而降低灾难事件发生的可能性,提升业务连续性。对于预防阶段的业务连续性管理,主要应加强IT系统及IT服务的业务连续管理。
4.1 IT系统的业务连续性管理
IT系统的业务连续性管理主要包含对IT软、硬件的连续性安全管控。其管控重点内容如下。
(1)明确硬件设备巡视内容及评价标准、硬件性能测试方法及评价标准,并在日常运营中严格执行。
(2)对硬件设备的运行周期进行密切跟踪,做好维护记录并定期进行分析,对于关键核心设备应做好备品备件管理。
(3)采用身份签别及访问控制方式加强系统硬件设备的安全管理,并做好日志审计。
(4)明确各类软件的性能检测方法,并做好性能监测工作。
(5)对各类软件的运行数据进行定期备份,并做好存储管理。
(6)加强各类软件的身份认证及访问控制管理,并做好运行日志审计。
(7)对IT软、硬件的运行环境做好安全监控管理工作。
4.2 IT服务的业务连续性管理
IT服务的业务连续性管理主要包含对IT技术及人员的安全管控。其管控重点内容如下。
(1)积极引进新技术,改善业务系统的应用功能,提升其可用性。
(2)选择资质良好的第三方技术支持服务商,将其作为加强业务系统运行能力的技术支持力量。
(3)加强员工安全培训,提升员工安全意识,提高员工对业务系统的使用操作能力。
(4)加强IT专业人员的技术培训,提升专业人员的技术水平,提高专业人员对业务系统的运维能力。
(5)加强业务系统应急处置演练,提升各级人员在应急状况下的应急处置能力。
从IT系统和IT服务的连续性管理内容可以看出这些工作都是企业信息管理部门的日常运营工作,这也恰好印证了企业信息管理部门的服务宗旨:深化信息化应用,确保网络与信息系统的可靠、稳定运行。所以对于业务连续性管理工作,我们需要从日常工作抓起,在日常工作中做好对设备、系统、人员的安全管理,最大限度地将设备及人为风险控制在源头,预防此类灾难事件的发生,从而确保各类业务系统的稳定、可靠运行。
5 结语
业务连续性管理是企业运营的重要指标,确保业务信息系统的稳定与可靠运行是实施业务连续性管理的目标。对于业务连续性管理,需要具备应对灾难时有效而快速的恢复体系,确保各项业务的快速恢复;还需要加强日常运营安全管理,通过控制设备及人为风险因素灾难事件的预防管理,降低此类灾难事件的发生概率,这对保障企业各类业务的连续性有着非常重要的作用。
参考文献
[1] 魏军,赵海.全面认识业务连续性管理体系[J].质量与认证,2014(5):39-40,43.
[2] 潘蓉.有效实施业务连续性管理[J].中国电信业,2007(9):64-65.
[3] 万东,曹木恒.基于ISO27001的IDC信息安全管理体系[J].信息安全与通信保密,2009(1):75-77.
