前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇信息安全技术报告范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
1 调研项目的设计与调研范围及方法
1.1 项目设计。“十一五”期间,省人口计生委全面推进人口信息化管理,启动建设国家中部人口信息中心和河南全员人口统筹管理信息系统(“金人”工程)。以省级集中方式实现全员户籍人口和流动人口信息管理,个案信息纳入省库管理,人口计生信息化网络已经覆盖省、市、县、乡和30%以上的行政村。信息工作全面推开,数字档案信息安全管理出现了许多亟待解决的问题。项目目的是为摸清数字档案信息安全现状,发现信息安全管理工作中存在的问题及困难,提出合理化建议,以便采取有针对性的措施。
1.2 调研范围与方式。此次调研从2011年3月起至2013年3月30日止,在全省随机选取4个省级计生部门(省计生科研院、省药具管理站和省计生协会、省计生干部学院)、26个市级计生部门(包括市计生委、市药具站、市协会、市技术指导站)、63个县区级计生部门(包括县计生委、县计生指导站、县药具站)单位和个人,发放调查表200份,收回问卷196份,有效率98%。
主要运用问卷调查、电话采访与实地调研相结合的方法,把影响数字档案信息安全的管理、硬件设施和人员素质三个方面作为问卷设计和访谈内容。根据国家有关的电子文件归档管理文件和计生系统的实际,针对单位和个人设计了两张问卷,单位问卷设置了21道题目,个人问卷设置了2大类题,16道小题。
2 数字档案信息安全现状与调查分析
2.1 数字档案业务概况。在省级机构,2个单位有综合档案室,其他单位档案按照业务划分科室管理,都有专兼职固定的档案员,单位档案管理状况较好,数字档案占全部档案资料的7%;受编制限制和工作业务限制,市县区级计生档案部门纸质档案文件来源少,最少的内部发文只有10件,数字档案数量更少,没有实现集中管理;全系统的档案管理工作大多停留在传统的保管纸质档案文件的工作模式上,电子文件不能有效归档,从而无法实现妥善保管。
2.2 管理体制情况。参与调研的单位中,数字档案信息安全工作均实行统一领导、分级管理的模式,包括业务督导和组织培训。省市级单位按要求全部参加全省人口计生系统网络安全培训班,对网络基础知识、交换原理、路由技术与路由器、信息安全有一定了解。对本单位档案部门或下属单位档案工作主要通过组织人员参加基本业务或专题培训班(如安装统一的管理软件)以及个别指导的方式进行。市县级计生部门的数字档案信息安全工作以接受上级监督指导为主,95%单位把数字档案信息安全工作纳入了年度工作计划或“十二五”档案数字加工与信息安全发展规划;用于数字档案信息安全工作所需经费全部来自财政拨款,投入比例信息大都不愿透露,无法了解到;参与调研单位全部配备信息员和专、兼职人员管理数字档案信息工作。
2.3 制度建设情况。在省人口计生委突发公共事件应急处理工作领导小组领导下,出台了《河南省人口计生委突发公共事件应急预案》,其中包含了数字档案信息安全内容。70%以上的单位有信息安全紧急预案,但是数字档案信息安全专项制度缺失。
2.4 硬件配备情况。安全基础设施是数字档案信息安全管理的保障。对安全基础设施包括设备配置、网站建设、是否安装防病毒设施等方面进行了调研。在被调研的单位中,98.89%市县人口计生委单机配备数量和机关公务员编制人数(不含机房设备和笔记本计算机)持平,市县药具站单机配备数量达到每个业务科室至少1台标准,95.37%以上单位计算机安装有防火墙,但在入侵检测、信息加密方面设施不足;大多应用office办公软件对档案进行目录级管理,数字化管理档案水平普遍偏低;省级、市级计生部门全部建有网站和局域网,26个市级调研单位中安装数字化档案采集转化系统的有6个,占23.08%;安装在线档案存储管理与安全系统的有4个,占15.38%,县区级计生部门安全设施建设在经费紧张的情况下,投入较少。
2.5 人员数字档案信息安全素质情况。从参加调研的196名工作人员中了解到,工作上大量使用计算机,每天使用电脑工作2小时~5小时的有83人,占总数的42.34%,使用5小时~8小时的有54人,占总数的27.55%。使用电脑的主要目的,选工作的有164人,占总数的83.67%;查阅资料的有129人,占总数的65.82%。人员学历水平,中专学历的有31人,占总数的15.81%;大专以上学历的有94人,占总数的47.95%;本科以上学历的有67人,占总数的34.18%;硕士学位的有1人,占总数的0.05%。
平常工作中,使用杀毒软件的有193人,占总数的98.47%;能够自行处理病毒(求助他人或者找专业人士)的有161人,占总数的82.14%。在“您了解哪类信息安全技术和产品”问题的备选答案“防火墙、反病毒软件、反垃圾邮件、动态密码令牌”中,选择最多的是防火墙,占总数的83.81%。认为当前数字档案信息安全障碍主要有:选择信息安全人才不够的有66人,占总数的33.67%;选择技术不过关的有60人,占总数的30.61%;选择普遍缺乏信息安全意识的有44人,占总数的22.45%。参加了计算机安全知识培训的有158人,占总数的80.61%,其中,参加本单位档案信息安全培训的有77人,占总数的39.29%,参加计生委培训的有85人,占总数的43.37%,86.53%的人员只接受过一次培训。
3 关于我省计生系统数字档案安全的建议
通过定量和定性的分析,得出当前计生系统的数字档案信息安全存在以下问题:档案的数字化水平偏低,多数人员对数字档案信息安全管理的重要性、紧迫性认识不足,认为保障信息安全就是保障数字档案信息安全;对数字档案信息安全知识了解甚少,认为保障数字档案信息安全就是安装杀毒软件、设置防火墙;接受档案业务培训和数字档案信息安全教育频次偏低;行业性的数字档案信息安全制度缺失;缺乏专业数字档案安全管理人才和硬件设备等问题,与当前数字档案信息安全工作发展有相当大差距,与大量应用计算机工作实际情况极不协调。针对以上问题,提出如下建议:
一是加强数字档案信息安全意识教育和宣传。建议在已有的人口数据信息平台的基础上,利用全员、流动人口、利导、人事、财务等人口信息系统服务基层,同时宣传档案和数字档案信息安全知识,以期达到良好效果。在实际工作中,加强宣传和管理力度,将数字档案信息安全工作实行工作考核制,纳入年度考核和目标考评。
二是培养复合型人才。专业信息安全管理人才是保障信息安全的最有效措施。对计生部门全体人员根据对象的业务需求分层级、有重点、有周期地组织数字档案信息安全知识培训,提高数字档案安全意识水平,并保证各层级档案人员接受培训的频次。如通过上级对下级的业务监督指导或参加相关的数字档案信息安全培训、组建QQ业务群、制作数字档案整理流程教学光盘、电子版制度汇编及业务手册等手段,实行多渠道、多层次、多类型的方法培养人才,提高队伍的整体数字档案信息安全业务素质。
三是建立健全数字档案信息安全规章制度。针对调研中发现的缺乏人口计生数字档案信息安全标准规范体系问题,今后,应着重建立管理制度:首先是实行数字档案信息安全管理岗位责任制,做到分工明确、层层负责,确保网络、系统和数据的安全,让参与数字档案信息安全保障的所有人员都能够按照确定的要求去行动。其次是建立符合实际的数字档案信息安全管理制度。根据数字档案业务实际,对数字档案信息化管理的软件、操作系统、数据的维护、防灾和恢复建立相关制度,制定应急处置预案。定期开展应急演练,提高整体数字档案信息安全防范水平。最后是业务工作制度化,对新发现的问题,如人口科技档案、免费计生项目电子档案的归档范围及整理方式等制定相应的管理规范,及时统一归档,为科技业务工作提供高质量的数据支持。
四是项目带动,加快数字档案信息硬件设施的建设。数字档案信息安全工作包括人财物投入、软硬件的集成,需要资金、技术、政策等各方面的支持,通过计划生育科技服务项目带动数字档案信息安全工作是很好的一个途径,争取把数字档案信息安全建设纳入信息化建设总体规划中,从项目获取数字档案信息安全建设的专项资金支持。例如,我院的孕前优生项目数据库的建设,不仅为项目提供了所需的软硬件设施,也推动了单位的数字档案信息安全网络建设。
计划生育系统形成的档案,含有大量民生信息,与改善民生、维护广大人民群众的合法权益息息相关,数字档案信息安全显得尤为重要。由于此次调研样本量有限,难免使所得结论存在一定的局限性。期望此次调研对计生系统不同层级的部门数字档案信息安全工作所作的客观描述,能为推进和改善计生数字档案安全工作提供参考。
安全技术需自主研发
网络信息安全行业不是普通行业,是关系到国家安全的特殊行业,中国国产企业在从事信息安全行业时,需要有强烈的爱国主义情怀和刻苦研发技术的实干精神。
表示,中国的信息安全更应重视核心技术的自主研发能力。在电子银行与移动支付兴起的今天,金融业务中电子银行和证券等领域面临着网络攻击、病毒侵扰、非法窃取账户信息、客户信息泄漏等新的信息安全问题。众人科技研发的‘iKEY多因素动态密码身份认证系统’正是针对信息安全问题所研发的认证系统。
记者了解到,“iKEY多因素动态密码身份认证系统”是基于时间同步技术的多因素认证系统,该系统已获得了国家密码管理局颁发的国内首张动态口令产品证书,相关的专用安全芯片也获得了国内产品型号证书。
去介质下的认证技术
最新数据显示,截止2015年底,全国网民数规模已达到6.88亿人,手机网民数达到6.2亿人,占网民总数的90.1%,其中网购用户规模达到4.13亿,比例高达六成;截至2015年12月,网上支付用户规模达4.16亿人,手机网上支付用户规模达3.58亿人,增长率为64.5%。网民手机网上支付的比例由2014年底的39.0%提升至57.7%。
庞大的网民逐渐使用起网上支付这种便捷移动的方式,但背后却有着巨大的网络安全隐患。就中国而言,每年造成805亿资金损失,人均124元。其中约4500万网民近一年遭受经济损失在1000元以上,全球范围内的网络犯罪掘金已高达3万亿美金。
推测,随着支付、存款、转账、理财、信贷等金融服务的线上化,未来金融服务不再依赖于实体的银行卡,银行物理网点也将转型并逐渐消失,未来银行的介质是可以多元化的,比如虹膜、指纹等,甚至银行卡实体会“消失”或者虚拟化。
基于这些实际情况,上海众人网络安全技术有限公司的研发团队最新发明了移动互联网创新密码技术——SOTP,即“多因素动态可重构的确定真实性认证技术”,实现了密钥和算法的融合,在无需增加硬件的前提下,采用软件方式解决移动设备中存储密钥的关键性问题。表示:“该项技术从加密协议到密码算法的所有部件都由众人科技自主研发,在业界具有领先优势。”
提高全民安全意识
据《中国网民权益保护调查报告(2015)》显示,79.2%的中国网民个人身份信息被泄露过,包括网民的姓名、学历、家庭住址、身份证号和工作单位等;63.4%的网民个人网上活动信息被泄露过,包括通话记录、网购记录、网站浏览痕迹、IP地址等等。
未来,随着民众对信息安全的重视,信息安全技术逐渐升温,很多信息网络企业开始积极投身到这个领域,说:“网络信息安全企业不同于普通行业,信息安全人士需要有持久的耐心,由于安全密码行业的认证许可门槛高,研发的新技术从获得政府监管部门的认证许可,到产品真正被市场认可并应用,需要经过漫长的时间。”
另一方面,认为提高广大民众和企业的信息安全意识是发展自主信息安全产品的根本与前提。但大多数人对信息安全还停留在模糊认识的阶段,为此,众人科技团队曾四处奔走为信息安全摇旗呐喊,致力于提高广大民主的信息安全意识,增进公众对信息安全的关注和投入,为信息安全行业的发展创造一个良好的环境。
关键词:计算机技术 网络 不安全问题 信息安全
中图分类号:TP393 文献标识码:A 文章编号:1007-9416(2013)02-0172-01
随着计算机网络的发展,它的开放性,共享,互联程度的增加,网络的重要性和对社会的影响越来越大。网络与信息安全问题日益突出,已成为国家安全,社会稳定和人民生活,网络安全技术的发展及相应的网络技术,安全、有序、高效的网络安全运行,是保证网络的一个关键,高效,有序的应用。
1 网络信息不安全原因
不安全的网络从总体上看主要来自两方面,一是人为和自然灾害;另一方面是网络系统本身的缺陷。人的原因是人的入侵和攻击,破坏网络系统的正常运行。一些“黑客”计算机病毒可以方便地在网络中传播,入侵和攻击,摧毁单位或个人计算机系统,窃取机密信息和帐户密码,从事各种违法犯罪活动。自然灾害的主要原因是指火灾,洪水,暴雨,雷电,地震的破坏,环境(温度,湿度,振动,冲击,污染的影响)。据调查,许多大型计算机房,没有地震,防水,雷击,电磁泄漏或干扰措施,接地系统缺乏周密考虑,因而抵抗自然灾害和意外事故,计算机信息系统不能正常、可靠地运行,这是常见的。设备损坏,数据丢失等现象。
2 网络信息安全的现状和特点
根据中国互联网络信息中心,中国的统计数据显示,截至2010年12月31日,中国网民规模占全球互联网用户总数的23.2%,在亚洲互联网用户总数的55.4%。网络购物用户规模达161000000人,网络购物用户每年增长48.6%,是增长最快的应用程序用户。互联网已经融入到人们的生活,所有的学习领域,使人们的生活变得丰富多彩,但也带来了许多安全问题,并越来越严重。主要表现在以下几个方面:
2.1 网络安全防范意识薄弱
目前,企业已在其内部办公网络的数据进行整合,从上到下建立一个数据采集系统,网上办公系统,对网络的需求越来越大,但相比于网络安全的维护网络安全投资网络建设的投资远远落后。许多人没有目的和清晰的认识,对本单位网络安全现状,有许多认知盲区,没有形成主动预防的意识,积极响应,更不用说提高网络监测,保护,响应,恢复和战斗了。
2.2 病毒泛滥防不胜防
据公安部的《第九次全国信息网络安全状况与计算机病毒疫情调查报告》。在已发生的网络信息安全事件中,感染计算机病毒、蠕虫和木马程序的情况占全部类型的70.5%。
目前,加重计算机病毒木马本土化的趋势,品种更快,更多的变化,潜伏性和隐蔽性增强,识别难度更大,和杀毒软件的能力更强,攻击目标是明确的,显著的盈利目标。因此,一个计算机用户账号密码被盗的现象越来越多。木马病毒传播的主要渠道是网页挂马和移动存储介质中,网页,网页木马和可移动的存储介质,其中的网页木马出现复合化的趋势。病毒,木马,蠕动蔓延的长期影响的总体情况,网络与信息安全。
2.3 黑客的威胁
黑客们利用单位的安全漏洞,非法访问内部网络,未经许可,任何修改各类数据,非法获取相关信息,扰乱了网络的秩序。
3 网络安全的防范策略
加强网络安全技术应用:(1)虚拟网络技术的使用,网络监控和入侵的预防手段。(2)用于保护网络免受黑客防火墙技术。(3)检测和病毒查杀病毒保护技术。(4)为了保证应用平台和操作系统,利用电子邮件安全应用系统的安全技术。有关法律、法规和提高网络安全教育。除了上面提到的技术手段,大力开展网络安全教育和完善有关法律法规,为人工措施不容忽视。近年来,网络安全威胁,网络欺骗是因为网络安全意识的淡薄等相关的原因。因此,有必要进行改进,结合网络安全技术手段发挥有效的影响。
参考文献
[1]唐明双.论对计算机网络安全及建设的研究[J].数字技术与应用.2012(12).
[2]王大鹏.计算机网络安全与防范策略研究[J].科技视界.2012(26).
[3]朝晓华.浅析计算机信息安全技术[J].黑龙江科技信息,2010,15.
[4]关良辉.电力企业局域网的信息安全研究[J].电力安全技术,2010.(6).
【 关键词 】 信息安全;电力企业;风险评估;管理模式
1 引言
在如今的信息化社会中,信息通过共享传递实现其价值。在信息交换的过程中,人们肯定会担心自己的信息泄露,所以信息安全备受关注,企业的信息安全就更为重要了。但是网络是一个开放互联的环境,接入网络的方式多样,再加上技术存在的漏洞或者人们可能的操作失误等,信息安全问题一刻不容忽视。尤其是电力,是国家规定的重要信息安全领域。所以电力企业要把信息安全管理体系的建设,作为重要的一环纳入到整个企业管理体系中去。
2 电力企业信息管理体系建设的依据
关于企业的安全管理体系方面的标准有很多。英国BSI/DISC的BDD信息管理委员会制定的安全管理体系主要包含两个部分内容:信息安全管理实施规则和信息安全管理体系规范。信息安全管理实施规则是一个基础性指导文件,里面有10大管理项、36个执行的目标和127种控制的方法,可以作为开发人员在信息安全管理体系开发过程中的一个参考文档。信息安全管理体系规范则详细描述了在建立、施工和维护信息安全管理体系过程的要求,并提出了一些具体操作的建议。
国际标准化组织也了很多关于信息安全技术的标准,如ISO x系列、ISO/IEC x系列等。我国也制定了一系列的信息安全标准,如GB 15851―1995。
关于企业信息安全管理体系方面的标准众多,如何针对企业自身实际情况选择合适的参考标准很重要,尤其是电力企业有着与其他企业不同的一些特殊性质,选择信息安全体系建设的参考标准更要谨慎。我国电力企业已经引入了一些国际化标准作为建立和维护企业运转的保证,关于信息安全体系的标准也应纳入到保证企业运转的一系列参考中去。电力企业总体应有一致的安全信息管理体系参考标准,但是具体地区的公司又有着本身自己的特殊环境,所以在总体一致的信息安全标准的情况下,也应该根据企业自身地区、人文、政策等的不同制定一些企业内部自己信息安全标准作为建立、实施和维护信息安全管理体系的依据。信息安全管理体系顾全大局又要有所侧重的体现电力企业安全标准的要求。
3 信息安全管理体系里的重要环节
3.1 硬件环境要求
信息安全管理体系并没有特别要求添加什么特别的设备,只是对企业用到的设备做一些要求。电力企业一般采用内外网结合的方式,内外网设备要尽量进行物理隔离。企业每个员工基本都有自己的移动设备,如手机等,为了增加信息安全的系数,企业可以限制公司设备的无线网络拓展。另外,实时监控系统也应该覆盖企业的重要设备,监控硬件设备的安全。
3.2 软件环境要求
在企业设备(主要是计算机)上部署相关软件环境是信息安全管理体系中最重要的部分。比如防病毒软件的部署、桌面系统弱口令监控软件的部署等,以此防止网络攻击或者提高安全系数。另外,企业设备所用系统的安全漏洞修复、数据的加密解密、数据的备份恢复及数据传输通道的加密解密等问题,都在信息安全管理体系设计的考虑范畴。
3.3 企业员工管理
尽管现在一直倡导智能化,但是企业内进行设备等操作的主体还是员工。不管是对设备终端操作来进行信息的首发,还是对企业软硬件系统进行维护工作,都是有员工来进行的。所以,对企业内部员工进行信息安全培训,提高员工的信息安全防范意识,让员工掌握一定的信息安全防范与处理手段是非常重要的事情。针对不同的职位,在员工上岗前应该进行相关的信息安全方面的培训,然后对培训结果进行考核,不合格的人员不准上岗。在岗的人员也要定期进行培训与考核。另外,如果有条件的话,企业应该定期(例如每年)进行一次信息安全的相关演习。
另外,电力企业有些项目是外包给其他相应公司的,这时候会有施工人员和驻场人员在电力企业,对这些人员也应该进行电力企业信息安全的培训。
3.4 信息安全管理体系的风险系数评估
风险评估在信息安全管理体系中是确定企业信息安全需求的一个重要途径,它是对企业的信息资产所面临的威胁、存在的弱点、造成的影响,以及三者综合作用下所带来的风险可能性的评测。风险评估的主要任务是:检测评估对象所面临的各种风险,估计风险的概率和可能带来的负面影响的程度,确定信息安全管理体系承受风险的能力,确定不同风险发生后消减和控制的优先级,对消除风险提出建议。在信息安全管理体系的风险系数评估过程中,形成《风险系数评估报告》、《风险处理方案》等文档,作为对信息安全管理体系进行调整的参考。风险系数的评估要尽可能全面的反映企业的信息安全管理体系,除了常规手段,也可以使用一些相应的软件工具的结果作为参考。另外很值得注意的是企业的员工对风险的理解,企业员工对他们所操作的对象有比较深刻的理解,对其中可能存在的不足也有自己的见解,在风险系数评估的过程中,可以进行一些员工的问卷调查等,把员工对风险的认识纳入风险评估的考虑范畴。
企业的设备会老旧更换,员工也会更换,所以企业的信息安全是动态的,因此风险评估工作也要视具体情况定期进行,针对当前情况作评估报告,然后制定相应的风险处理方案。还有,之所以要建立信息安全管理体系,其中很重要的一点就是体系内各个模块的结合,信息安全管理体系的风险评估与关键内容的实时监控就应该结合起来。
为了降低信息安全管理体系的风险系数,提升信息安全等级,要做的工作很多。渗透测试就是其中很有必要的一项工作。渗透测试是测试人员通过模拟恶意攻击者的攻击方式,来评估企业计算机网络系统安全的一种评测方法。这个测试过程会对系统的可知的所有弱点、技术方面的缺陷或者漏洞等作主动的分析。渗透测试对于网络信息安全的组织具有实际应用价值。随着技术的不断进步,可能还会出现其他的更有价值的信息安全技术,作为信息安全备受瞩目的电力企业,应当时刻关注相关技术的进展,并及时将它们纳入企业信息安全管理体系中来。
3.5 信息安全管理体系的管理模式
文章前面提到企业信息安全是动态的,所以信息安全管理体系需要建立一个长效的机制,针对最新的情况及时对自身作出调整,使信息安全管理体系有效的运行。现在一般会采用PDCA循环过程模式:计划,依照体系整个的方针和目标,建立与控制风险系数、提高信息安全的有关的安全方针、过程、指标和程序等;执行:实施和运作计划中建立的方针、过程、程序等;评测:根据方针、目标等,评估业绩,并形成报告,也就是文章前面说到的风险系数评估;举措:采取主动纠正或预防措施对体系进行调整,进一步提高体系运作的有效性。这四个步骤循环运转,成为一个闭环,是信息安全管理体系得到持续的改进。
4 重要技术及展望
4.1 安全隔离技术
电力企业的信息网络是由内外网两部分组成,从被防御的角度来看的话,内网的主要安全防护技术为防火墙、桌面弱口令监控、入侵检测技术等;而主动防护则主要采用的是安全隔离技术等。安全隔离技术包括物理隔离、协议隔离技术和防火墙技术。一般电力企业采用了物理隔离与防火墙技术,在内网设立防火墙,在内外网之间进行物理隔离。
4.2 数据加密技术
企业的数据在传输过程中一般都要进行加密来降低信息泄露的风险。可以根据电力企业内部具体的安全要求,对规定的文档、视图等在传输前进行数据加密。尤其是电力企业通过外网传输的时候,除了对数据进行加密外,还应该在链路两端进行通道加密。
4.3 终端弱口令监控技术
终端设备众多,而且是业务应用的主要入口,所以终端口令关乎业务数据的安全以及整个系统的正常运转。如果终端口令过于简单薄弱,相当于没有设定而将设备暴露。终端的信息安全是电力企业信息安全的第一道防线,因此采用桌面系统弱口令监控技术来加强这第一道防线的稳固性对电力企业的信息安全非常重要。
电力企业信息安全管理体系是一个复杂的系统,包含众多的安全技术,如数据备份及灾难恢复技术、终端安全检查与用户身份认证技术、虚拟专用网技术、协议隔离技术等。凡是与信息安全相关的技术,电力企业都应当关注,并根据企业自身的情况决定是否将之纳入到信息安全管理体系中去。
智能化已成为不管是研究还是社会应用的热门词汇。电力企业的信息安全管理体系是否可以智能化呢?不妨做一个展望,电力企业的信息安全管理体系有了很强的自我学习与自我改进的能力,在信息安全环境越来越复杂,信息量越来越庞大的情况下是否会更能发挥信息安全管理体系的作用呢?这应该是值得期待的。
5 防病毒软件部署
电力企业信息安全管理体系有很多软件系统的部署,如防病毒软件部署、桌面弱口令监控系统部署、系统安全卫士部署等。但是它们的部署情况类似,这里用防病毒软件的部署来展示电力企业信息安全管理体系中软件系统的部署情况。如图1所示为防病毒软件的部署框架。
杀毒软件种类有很多,这里以赛门铁克杀毒软件为例。企业版的赛门铁克防病毒软件系统相比单机版增加了网络管理的功能,能够很大程度地减轻维护人员的工作量。为了确保防病毒软件系统的稳定运行,在电力企业内部正式使用时,尽量准备一立的服务器作为防病毒软件专用的服务器。
服务器安装配置好赛门铁克防病毒软件后,可以远程控制客户端与下级升级服务器的软件安装与升级。
电力企业内网可能是禁止接入外网的,这样的话,防病毒软件的更新可能无法自动完成。防病毒软件需要升级的时候,维护人员在通过外网在相应网址下载赛门铁克升级包,然后通过安全U盘拷贝到防病毒软件系统专用服务器进行升级操作。在图1中,省电力公司的防病毒管理控制台获得升级包可以下发给下级升级服务器和客户端进行防病毒软件系统的自动升级更新。图1是一个简单的框图,如果电力企业的内网规模很大的话,还可以更多级地分布部署。
6 结束语
电力企业的信息安全与企业的生产与经营管理密切相关,是企业整个管理系统的一部分。信息安全管理体系是一个整体性的管理工作,把体系中涉及的内容统一进行管理,让它们协调运作,实现信息安全管理体系的功能。电力企业信息安全的建立与体系不断的改进定能稳定、有效地维护企业的信息安全。
参考文献
[1] 王志强,李建刚.电网企业信息安全管理体系建设[J].浙江省电力公司,2008,6(3):26-29.
[2] 陈贺,宫俊峰.浅析信息安全体系如何建立[J].中国管理信息化,2014,17(1):74-76.
[3] 郭建,顾志强.电力企业信息安全现状分析及管理对策[J].信息技术,2013(1):180-187.
[4] 沈军.火力发电厂信息你安全体系构建与应用[J].电力信息通信技术,2013,11(8):103-108.
[5] 左锋.信息安全体系模型研究[J].信息安全与通信保密,2010,01(10):68-71.
[6] 杨柳.构建供电企业信息安全体系[J].电脑知识与技术,2005(29).
[7] 曹鸣鹏, 赵伟, 许林英. J2EE技术及其实现[J]. 计算机应用,2001, 21(10): 20-23.
[8] 江和平.浅谈网络信息安全技术[J].现代情报学,2004(14):125-127.
作者简介:
崔阿军(1984-),男,甘肃平凉人,硕士研究生,工程师;主要研究方向和关注领域:电力信息通信安全技术研究。
张驯(1984-),男,江苏扬州人,本科,工程师;主要研究方向和关注领域:电力信息通信安全技术研究。
李志茹(1984-),女,山东平度人,硕士研究生,工程师;主要研究方向和关注领域:信息化建设及安全技术。
龚波(1981-),男,湖南新邵人,本科,工程师;主要研究方向和关注领域:电力信息化建设及安全技术。
【 关键词 】 中小商业银行;等级保护;信息科技风险管理;信息安全体系框架
1 中小银行等级保护咨询服务的背景
随着信息技术的不断进步与发展,信息系统的安全建设显得尤为重要。2012年6月29日人民银行下发了“银发【2012】163号”文件,为进一步落实《信息安全等级保护管理办法》(公通字〔2007〕 43号文印发),加强对银行业信息安全等级保护工作的指导,结合近年来银行业信息安全等级保护工作开展情况,人民银行给出了银行业金融机构信息系统安全等级保护定级的指导意见,至此,正式的拉开了中小商业银行等级保护建设和整改工作的序幕。
2 等级保护咨询服务的项目目标
国内中小银行在信息安全的发展程度,大部分处于自我认知的阶段,一边忙于业务发展的保障需要,一边又要应对上级监管部门的监督检查,对于安全建设来说,大部分没有纳入到战略的层面来考虑。因此,借助于等级保护咨询服务来建立的这样一套信息安全体系,必须同时满足公安部等级保护基本要求、人民银行等级保护的测评要求和银监会关于IT风险管理的要求。这些目标相辅相承,互为补充。只有将通用的要求、标准、规范落实到自己IT风险管理体系的各方面,建立适合自己业务特点与发展需求的信息安全体系,才能达到有效管理风险、进行IT治理的目的,并最终通过等级测评。
3 等级保护咨询服务的总体思路
中小银行在咨询服务项目需要主动地全面的考量自身情况,综合分析人民银行、银监会和等级保护的要求,在现有的安全工作基础之上,建立统一的信息安全体系,同时满足这些主要的监管要求。这样面临检查时,只要客观反映出当前状态就可以,有效降低临时的材料组织工作。
同时满足三方面监管要求的信息安全体系,这个信息安全体系将以公安部的等级保护《基本要求》、人民银行的《等保测评指南》和银监会《管理指引》为主要依据来搭建起框架,以各专项监管指引为各个领域的具体工作指导,以ISO27000为代表的国内外信息安全标准为补充。
4 等级保护咨询服务的内容
等级保护的咨询服务具体实施过程可参考公安部下发的《信息系统安全等级保护实施指南》,“指南”中将等级保护工作分为了定级备案、规划设计、建设整改和等级测评四大过程。
4.1 系统定级
系统定级阶段需要完成的工作。
1) 等级保护的导入培训:在进行咨询服务之前,需要对银行相关科室信息人员进行等级保护的内容培训。只要讲清楚等保是什么,需要各级人员配合的工作点是什么就可以了。
2) 系统业务安全域划分:这个阶段需要进行信息搜集和资产调研。明确业务系统的范围、边界、功能、以及重要性等。
3) 编写系统定级报告和备案表:定级报告和备案表都是按照公安部等保办公室的通用模版来编写的,内容包含了系统功能描述、网络拓扑、定级的理由和依据等。
4) 召开专家评审会、获得备案证明:召开专家评审会并获得备案证明可视为一个里程碑式的阶段性成果,因为定级和备案是等级保护工作开展的前提,如果级别定错了,或者专家有不同的评审意见,则后续的设计方案、整改方案均无法执行。同时,对于银行信息科技部门的领导而言,服务工作做的怎么样无法量化,但是备案证书是看的见,摸的着的,如果能在评审会现场当场颁发,则意义更加重大。
4.2 规划与设计
规划与设计阶段的主要工作就是进行等级差距分析和风险评估。
1) 技术层面可直接参考人民银行关于金融行业的“测评指南”来完成,可操作性较强。可分物理、网络、主机、应用、数据五个层面进行差距评估,同时对网络流量和网络协议进行简单的分析,通过漏洞扫描设备、配置核查设备、渗透工具等进行风险分析,输出风险评估报告和技术层面的差距评估报告。
2) 管理层面上,等保的管理要求相对薄弱,集中体现在运维管理等方面,如果要达到人民银行和银监会的标准,还有很多需要加强和补充的地方,可以对现有的制度文档进行一个简单的梳理,用最短的时间完成等保的管理制度调研。
4.3 实施与整改
实施与整改阶段需要按照规划阶段的设计方案进行实施,以满足等级保护安全体系的建设要求。
1) 组织体系整改:安全管理组织应形成由主管领导牵头的信息安全领导小组、具体信息安全职能部门负责日常工作的组织模式。可参考已成立的《等保领导小组》设立模式,但应具体到管理员岗位。
2) 管理体系整改:按照等级保护的要求补充或重新制定管理制度,根据咨询方提供的制度模版,银行可根据自身的实际业务需求进行修改,并经内部讨论修订后,下文试运行。
3) 技术体系整改:技术体系整改应从三个层面进行考虑。
制定技术规范:包括windows、AIX、Informix、tuxedo、cisco等主流设备的安全配置规范;可考虑聘请专业安全公司进行咨询服务,制定适合银行长期发展的安全策略和技术安全规范。
安全配置加固:根据已制定的技术规范进行主机、服务器、网络设备、安全设备的全面的安全加固。
安全设备采购:在安全技术体系的具体实现过程中,需要落实安全技术详细设计方案中的具体技术要求,将先进的信息安全技术落实到具体安全产品中,形成合理、有效、可靠的安全防护体系。
4.4 等级测评
根据人民银行的《金融行业信息安全等级保护测评服务安全指引》选择具有资质的第三方测评机构进行等级测评,一般当地公安机关会指定2-3家评估中心进行等级测评,如果银行自行联系省外的测评机构,可能需要事先跟当地省公安厅取得联系,确保该测评机构的测评报告在本省是受到认可的。
实际上做了咨询服务之后,等级测评的工作就变的非常简单,因为咨询方会在规划与设计阶段就会与测评中心取得联系,确保其设计方案和整改实施方案得到专家和测评中心的认可,保障其顺利实施。所以在等级测评的时候,测评师从进场到出具评测报告大概只需一周左右的时间。
5 结束语
关于金融业等级保护的建设工作,是今后两年的一个重点工作,尤其是中小银行可借助合规要求,由信息科技部门立项,向行内申请更多的资源来完善自身的安全体系建设工作。
参考文献
[1] 武冬立.银行业安全防范建设指南.长安出版社,2008-11-1.
[2]李宗怡. 中国银行安全网构建基础研究.经济管理出版社,2006-6-1.
[3] 刘志友.商业银行安全问题研究.中国金融出版社, 2010-3-1.
[4] 曹子建,赵宇峰,容晓峰.网络入侵检测与防火墙联动平台设计[J].信息网络安全,2012,(09):12-14.
[5] 傅慧.动态包过滤防火墙规则优化研究[J].信息网络安全,2012,(12):12-14.