企业信息安全工作报告(精选8篇)
企业信息安全工作报告 篇1
年信息安全报告
为认真贯彻落实信息安全防护工作,依照《印发Xx重点领域网络与信息安全检查工作方案和信息安全自查操纵指南的通知》,我局立即组织展开信息系统安全检查工作,现将自查情况汇报以下。
一、信息安全组织管理
领导重视,机构健全。针对信息系统安全检查工作,理事会高度重视,做到了主要领导亲身抓,并成立了专门的信息安全工作领导小组,组长由Xx担负,副组长由Xx,成员由各科(室)、直属单位负责人组成,领导小组下设办公室,办公室设在Xx。建立健全信息安全工作制度,积极主动展开信息安全自查工作,保证了残疾人工作的良好运行,确保了信息系统的安全。
二、健全制度,严格管理
建立全面的信息安全管理体系,包括集团信息安全工作方针和策略、信息安全组织结构及职责、信息安全事件处置与报告制度、网络与信息系统应急预案管理办法、变更管理办法、网络管理制度、系统管理制度、资产管理办法、人员安全管理办法等内容。并严格网络信息保密管理制度,实行“涉密不上网,上网不涉密”坚持“谁发布,谁负责”的原则,信息系统安全方面实行领导审查签字制度,凡互联网上传的信息,必须经本单位主要领导审查批准,并按照台里新闻领导三审制度,做好信息审批才能上传。特别是针对重点岗位人员鉴证了保密安全责任书,制定了日常考核监督制度,确保管理监查到位。
三、技术落实
日常管理方面切实抓好网内、外网和硬件、应用软件“三层管理”,落实具体负责信息安全工作人员,对涉密信息文件、材料实行专人管理,对重点部门、岗位等进行严格管理,确保信息安全工作。同时,重点抓好“三大安全”排查:一是硬件安全。包括传输、防雷、防火、监控和电源等硬件设备都具有灾难备份,确保所有设备正常运转。二是网络安全。包括网络结构、安全日志管理、密码管理、互联网行为管理等;数据库存储备份、移动存储设备管理、数据加密等安全防护措施,明确了网络安全责任,强化了网络安全工作。三是应用安全。包括网站、软件管理等;上传文件提前进行病素检测;分模块分权限进行维护。各机房和网站的服务器使用专属权限密码锁登陆后台,主要管理人员负责保密管理,服务器的用户名和开机密码为其专有,且规定严禁外泄。同时,涉密计算机相互共享之间设有严格的身份认证和访问控制。
2、技术防护
按照等级保护、密码防护等标准规范要求,各信息系统安装了硬件防火墙,同时配置安装了瑞星专业杀毒软件,涉密计算机经过保密技术检查,加强了在防篡改、防病毒、防攻击、防瘫痪、防泄密等方面的有效性。并要求安全信息管理员积极与网络安全保障经验丰富的人员取得联系,定期对网站安全保障工作进行检查指导,在突发信息安全事件时给予技术支持。
3、应急处置与灾备
我局信息系统系统,在突发事件时候,安全信息人员马上切换应急备份系统,并上报主管领导,启动安全应急预案及时处置,保证信息系统万无一失。同时,为了技术安全与服务提供商签订硬件、软件维护事宜,商定给予应急技术最大程度的支持。
四、存在的主要问题和面临的威胁分析
1、发现的主要问题和薄弱环节
(1)专业技术人员较少,信息系统安全方面可投入的力量有限;(2)规章制度体系初步建立,但还不完善,未能覆盖相关信息系统安全的所有方面。
2、面临的安全威胁与风险
(1)拒绝服务攻击:供给者通过某种方法使系统响应减慢甚至瘫痪,组织合法用户获得服务。
(2)非授权访问:没有预先经过同意,就使用网络或计算机资源。(3)传播病毒:通过网络传播计算机病毒,其破坏性非常高,而且用户很难防范。
3、整体安全状况的基本判断
我局对信息安全工作严格按照有关要求,对涉及到的信息进行安全检查,严格落实有关网络信息安全保密方面的各项规定,采取了多种措施防范安全保密有关事件的发生,总体上看,我局网络信息安全保密工作做得比较扎实,效果也比较好,近年来未发现失泄密问题。
五、改进措施与整改效果
我局针对存在的问题采取一些改进措施:一是继续加强对工作人员的安全意识教育和技术培训;二是切实增强信息安全制度的落实工作,不定期的对安全制度执行情况进行检查,对于导致不良后果的责任人,要严肃追究责任;三是以制度为根本,在进一步完善信息安全制度的同时,安排专人,完善设施,密切监测,随时随地解决可能发生的信息系统安全事故;四是提高安全工作的现代化水平,便于我们进一步加强对计算机信息系统安全的防范和保密工作。同时密切联系网络安全技术专业人员,加强机房和网站安全措施建设力度;五是加强对信息系统的监督管理,严格信息发布制度,加大对信息内容,信息权威性、一致性和时效性及网上信息办理情况的监管力度。
六、对信息安全工作开展的意见和建议
1、希望上级有关部门加强信息网络安全技术人员培训和演练,使安全技术人员及时更新信息网络安全管理知识,提高相关管理及法律法规等的认识,不断地加强信息网络安全管理和技术防范水平。
2、加大信息安全网络安全防护设备的投入。
年 月 日
企业信息安全工作报告 篇2
计算机信息安全的概念和意义
计算机信息安全指的是一种安全保护的技术, 它主要服务于数据处理系统, 在保护计算机信息数据安全的同时, 也可以有效的保护计算机软硬件的安全。换个说法就是, 保护计算机的逻辑安全和物理安全, 信息数据的安全就是逻辑安全, 主要保护信息在偶然或者恶意的作用下不会遭到破坏和泄露, 从而实现其完整性和保密性;计算机的硬件安全就是物理安全。
根据相关的统计数据我们可以得知, 一些企业因为计算机信息安全工作存在着缺陷, 企业内部的数据库因为病毒入侵或者其他原因出现了泄露或者损坏, 从而造成的经济损失高达数百亿美元。在通常情况下, 都是以电子文件的形式来传播病毒, 当然也有部分是受到了黑客的入侵或者是内部人员将一些重要的商业机密有偿的泄露了出去, 这些现象的出现都是因为企业的计算机信息安全工作存在着不足, 在造成很大经济损失的基础上, 还会泄露企业的知识产权或者是一些新技术产品的专利技术等等, 对企业的长远发展也造成了很大的负面影响。所以, 企业应该对计算机信息安全工作产生足够的重视程度, 并且采取一些有效的措施。
加强企业计算机信息安全管理的措施
加强企业计算机信息安全的教育工作, 并且建立健全相关的制度:要采取一些措施让广大的员工了解到计算机信息安全工作的重要性, 还可以采用教育或者培训的方式增强企业员工的计算机信息安全技术, 由专门的技术人员来指导一般的员工, 从而保证每个员工都能够熟练的掌握计算机信息安全的基本技术;要邀请一些计算机方面的专家和专门的技术人员来对企业计算机管理人员进行辅导和培训, 从而增强他们的一系列的信息安全技术, 比如计算机信息加密, 比如软件的运行管理等;企业要想做好计算机信息安全的工作, 还应该注意挖掘和培养网络信息安全人才, 对优秀的人才给予一定的奖励或者相关的晋升渠道, 从而鼓励其努力工作以及积极提升自身信息安全技术。
在建立健全信息安全管理制度方面, 可以在企业领导的组织下, 成立专人负责的信息管理机构, 并且引进相关的人才, 领导和专门技术人员以及基本员工应该团结合作。要将责任制落实到每一个技术工作人员, 哪一个环节出现问题, 就严厉追究相关负责人的责任。要对工作人员合理的分工, 比如领导应该责令相关的人员制定出来一些制度、策略等信息安全管理措施, 并且对这些安全措施领导应该亲自进行实施和监督;具体管理系统的信息安全工作自然由有着过硬专业知识的技术人员来负责, 为了保证工作的质量, 还可以将其继续往下分, 比如系统管理员、信息安全管理员、信息保密员等等不同的项目, 并且将安全的责任也继续的细分, 保证责任落实到个人。在分工的时候, 不应该忘了设置一个专门的负责人员, 对整个网络系统的安全全权负责;从而建立起职责分离和多人负责以及责任落实到个人的安全管理体制。另外, 在这个企业背景下的大制度之下, 还可以在各个部门建立一些小的制度, 应该紧密结合相应工作部门的特点, 并且将这些制定出来的制度落实下去。比如, 相关的部门工作人员应该对重要资料定期进行备份和管理、对电脑中的杀毒软件定期进行升级, 要保证企业内部数据不会被随意的更改和泄露, 只能够访问授权的数据资源, 不能够随意在重要的电脑上安装一些不安全的插件和软件等, 还应该特别注意的是对陌生的邮件产生足够程度的防范意识。
安装必要的防火墙和入侵检测系统:在电脑上安装防火墙, 可以有效的防止一些未经过允许的通信数据访问电脑, 这样就可以保护电脑数据的安全。防火墙一般具有这些功能:代理服务器技术、动态分组过滤技术以及静态分组过滤技术和状态过滤等, 在这些技术的综合作用之下, 可以有效的保证自己网络的安全。在选择防护墙的时候, 应该综合考虑各个方面的因素, 比如安全防护能力、价格等等, 从而选择出最合适的防火墙。
入侵检测技术是目前网络安全研究中的一个重点, 主要是检测, 这种安全防护技术可以积极主动的对外来数据源进行检测, 并且对于防护内部入侵、外部入侵和错误操作也有着很大的作用, 因为它可以提前处理相应的数据, 从而有效的避免危害到网络系统。并且, 入侵检测技术可以归档和保存入侵事件, 这些保存的数据就可以作为法律依据, 并且还可以对网络遭受威胁的程度做出一个准确的评估。
建立相应的企业计算机信息安全应急响应机制:企业计算机信息安全应急响应机制指的是安全技术人员在遇到影响系统正常工作的事件的时候, 所及时采取的措施。一般对系统正常工作产生影响的事件有这些:黑客的入侵、携带病毒的邮件、信息窃取以及网络流量异常等。企业建立相应的计算机安全应急响应机制, 可以有效的对这些问题进行及时的解决, 从而大大的降低企业所遭受的损失。要将企业各个部门的专业人员都拉进建立应急响应机制中来, 比如, 技术专家、安全专家、技术支持人员、法律顾问、最终用户等等。这样就可以在突发事件发生的第一时间按照响应的应急机制, 做出有效的措施。
应急响应小组的工作内容主要包括这些:对公司所面临的风险进行及时的识别, 从而采取一些措施来应对这些风险;制定相关的安全政策, 并且建立相应的协作体系和应急制度;在配置相关安全设备和软件的时候, 应该按照相应的安全政策来进行;还应该为网络的安全采取一些措施, 比如定期扫描、分析风险、打一些必要的补丁, 并且根据企业的具体情况, 建立相应的监控设施和信息沟通渠道以及相关的通报机制;并且制定一些能够有效实现应急响应目标的措施和方法, 建立有效的响应工作包等等,
结语
随着时代的发展和社会的进步, 计算机技术在企业的发展和管理中将会占据越来越大的地位;先进的计算机技术在给工作带来极大便利的同时, 也会带来一定程度的安全问题, 影响到企业信息数据的安全, 如果企业的信息数据出现了问题, 比如泄露、破坏和更改等等, 就会在给企业造成很大经济损失的基础上, 出现一些知识产权以及新技术产品专利外漏等情况, 严重影响到企业的长远发展。本文针对这种情况, 简单介绍了计算机信息安全的概念与意义, 并且重点分析了如何有效的加强企业计算机信息安全工作, 希望可以提供一些有价值的参考意见。
企业信息安全研究 篇3
摘要:本文从企业信息化建设中遇到的各种安全状况着手,分析产生这些现象的原因,最后给出解决方案。
关键词:信息安全;网络安全;信息化
遵循着摩尔定律,IT技术的发展飞速千里,硬件、软件、网络、安全等技术日新月异。正所谓任何事物都具有两面性。它造福着人类的同时,也给人们留下了许多隐患。
随着信息技术的发展,我国大中型企业基本上都实现了信息化,各企业对信息化都非常重视。但是,很多企业在信息化建设中存在很多误区,信息化建设的任务主要集中在了财务系统、公司网站、企业邮箱、办公自动化、ERP等初级阶段,信息安全没有得到足够重视。
1企业信息安全中常遇到的几类问题
下面概要谈一下企业信息安全中常遇到的几类问题:
(1)移动存储:最近两年的u盘容量呈爆炸性增长,几G、几十G的U盘已经比较常见。按照现在U盘读写速率,一分钟拷贝走几百Mb的东西不成问题。在办公时间里很多工作人员没有养成人走锁机的习惯,这就造成了一个潜在的安全威胁。其他的移动存储器,比如:移动砸盘、存储卡、MP3播放器等,同样具有拷贝文件的功能。
移动存储连接上电脑以后,还有另外一个威胁,就是把存储在自身的病毒、木马等自动复制到电脑上,为信息安全埋下隐患。
(2)网络:现在基本上已是互联网络时代。互联网的发展为病毒、木马、黑客等的发展提供了最好的温床。通过电子邮件,或者即时通讯软件,几个G的文件很容易被转移到外部。同时网络中也存在着木马威胁,顽强的木马可使整个公司网络瘫痪,造成的经济损失数额巨大,成为一段时间以来危害网络安全的罪魁祸首。作为企业用户,不应随意打开来历不明的邮件;不要随意下载和运行来历不明的软件;及时修补漏洞和关闭可疑端口;及时升级病毒库;设置复杂型密码等。
(3)内部因素:内部人员的不保密性,商业间谍的出现,为企业信息外传提供可能。职员辞职后带走部分企业机密信息的不在少数。很多有价值的资料,在不经意间已经流出公司。
(4)外部因素:比如说。A公司有零件需要B公司加工,A公司会把加工图纸发送给B公司,而B公司有可能把加工图纸泄漏给A公司的竞争对手C公司。C公司对这份图纸得来全不费功夫。
(5)不可测因素:例如最近的地震。有可能造成公司数据资料的丢失;服务器的瘫痪,对企业的正常运转,信息的传递,都造成了不可估计的影响。
2产生这些问题的原因
一方面,没有信息安全方面的观念。在现在的企业信息化建设过程中,财务软件、人力资源管理软件、ERP软件等比较受欢迎,因为这些软件直接参与企业的生产经营活动,而对信息安全方面关注的人比较少。
另一方面,因为管理、技术、人员、制度的不健全。
(1)管理:没有完善的管理方法,管理人员专注于企业的生产经营。对企业的信息安全无暇顾及。
(2)技术:信息技术的发展,带来了很多新技术,这些新技术没有经过时间的检验,很可能在以后的发展过程中成为一个隐患。另外,信息安全的技术很多种,不是少数几个人能掌握得了的。所以,搞信息化建设的专业人才,要不断学习。不断提高自身水平。
(3)人员:由于企业对信息安全重视程度不高,对信息安全人员的需求度不高,基本上没有设置专业的信息安全岗位。企业中其他职员。是计算机普通使用者,没有形成良好的安全习惯。给有企图的人留下了可乘之机。
(4)制度:关于信息安全的制度不健全。即使有,信息安全方面的行为准则也是一纸空文,无法严格执行。
这些原因构成了信息安全隐患的主要部分。针对这些原因下手。可以提高企业的信息安全度。
3解决这些问题的方法
我们可以从以下几个方面进行解决:
我们要对企业信息安全建立整体架构规划,首先要了解企业的信息安全需求。企业的信息安全需求,以可用性、完整性、保密性为基础。实施信息安全要注意一个度的问题,比方说,产品图纸的信息价值一百万元,而我们花费两百万元对它进行保护。这就颠倒了主次,混淆了本末。我们如何才能知道我们的信息价值,可以借助于价值评估来完成。
企业信息安全架构规划可以从信息安全的不同领域:物理安全、系统安全、数据安全、网络安全、应用安全等各个领域分别解决。
3.1物理安全
企业信息安全的物理安全的风险是多种多样的。主要是指地震、水灾、火灾等环境事故;电源故障;人为操作失误或错误:设备被盗、被毁;电磁干扰;线路截获。我们要有针对性的解决:服务器要有专门的专业机房,能防雷、防静电、防灰尘、防盗;客户机要确保计算机主机的安全,防止丢失电脑配件或者整机。
3.2系统安全
包含计算机操作系统安全及在系统架构上的软件安全。没有绝对安全的操作系统,只有相对安全的操作系统。计算机上最好能安装正版操作系统,并及时下载补丁升级。对操作系统平台进行安全配置,对操作和访问权限进行严格控制,以确保把系统的危险降低到最低。应用软件方面。尽量安装大型软件公司出品的产品。免费软件、共享软件、破解软件等有安全隐患没有通过安全验证的软件,尽量不要安装。安装的软件要尽量避免与计算机内已有的软件发生冲突,以免引起系统不能稳定运行,频繁死机重启,造成数据丢失。
3.3数据安全
重要的文档要加密。密码在方便记忆的情况下,越复杂越好。重要数据要“狡兔三窟”,除了在本机有,还要做好备份工作。定期做好数据的备份工作,当计算机发生故障时,可以将损失减少到最低。
3.4网络安全
网络安全是一个热门的话题。下面我们就几种网络安全基础防护设施作一下介绍,它主要包含防火墙、入侵检测、漏洞扫描、病毒防治等。
(1)防火墙
防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。
防火墙是网络安全的屏障,它可以强化网络安全策略,可以对网络存取和访问进行监控审计,同时可以防止内部信息的外泄。
(2)入侵检测系统
入侵检测系统(Intrusion-detection system,下称“lDS'’)是一种对网络传输进行即时监视。在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处在于,IDS是一种积极主动的安全防护技术。
(3)漏洞扫描系统
漏洞扫描系统是一种系统安全评估技术,它包括网络模拟攻击、漏洞测试、报告服务进程以及评测风险,提供安全建议和改进措施等功能。
(4)防病毒系统
对付病毒最理想的办法是预防,就是不让病毒进入系统。但这个目标不可能实现,只能通过加强预防措施来减少病毒攻击的成功次数。
世界上没有完美的防病毒系统,国内和国外的都有其特点。一般来说,国外的技术先进,国内的有本地化优势。具体选择哪款,要综合考虑。但没有能通杀所有病毒的杀毒软件,并且,杀毒软件要经常更新病毒库,这样才能发挥它的最大效力。
3.5安全审计系统
上面介绍的几种安全防护措施,它们对防止外部入侵有一定的效果,但并不能完全阻止入侵者的攻击,特别对于内部安全问题的防范比较薄弱。在这种情况下,就需要网络安全审计系统进行补充。网络安全审计系统是一种基于信息流的数据采集、分析、识别和资源审计封锁软件。通过实时审计网络数据流,根据用户设定的安全控制策略,对受控对象的活动进行审计。
3.6应用安全
建立在操作系统之上的应用服务软件,如数据库服务器、电子邮件服务器、WEB服务器等,这些服务器管理系统本身的安全等级要达到与操作系统安全等级相当的级别,特别是数据库服务器应划分安全等级和范畴,对有关数据库安全的事件进行跟踪、记录、报警和处理等。
企业信息安全工作报告 篇4
关于电力企业信息安全和电力监管统计情况的自查报告
1、某火电电厂信息安全自查报告
1.1、规章制度
电厂建立了物理安全、网络安全、数据库安全、二次系统、系统运行维护、系统开发相关的工作标准和规章制度,并根据实际情况,实时更新。同时,电厂还执行赛班斯法案要求的内部控制文档,并有电厂审计部门每月按内控文档要求进行审计控制,集团每年随时审计。
1.2、组织机构
我厂建立了由厂长直接领导的信息化领导小组,主管信息化工作的副厂长任领导小组副组长,组员由各部门领导组成,负责信息化建设和信息安全管理。信息化工作小组由信息中心员工组成,负责信息化建设和信息安全工作的具体实施。对于信息安全管理设有专人负责。组织机构根据实际情况,实时调整。
详见《火电电厂信息化领导小组成员》。
1.3、信息安全和电力二次系统安全资金保障
公司每年给电厂批复专门用于信息安全运行维护方面的经费,该经费每年都是专款专用,落实情况良好。
为了提升信息化管理水平,改造信息化管理的硬件服务器平台,建立一套稳定可靠、技术先进的硬件环境,去年底对机房和网络进行了改造,并在2010年3月份顺利竣工。该项目为提升我厂信息安全提供了强有力的保障。
1.4、人员管理
由人资部编写的信息中心岗位职责,每年更新,其规定了各岗位的责任与权限,具体描述了岗位基本技能、工作内容与要求。按照《信息化管理程序》和内控的要求,全厂所有员工(含信息中心全体员工)每年进行一次信息安全原则以及信息安全意识的培训和教育。信息中心每年开展专业技能的培训,包括新开发/变更的系统、新公布的信息行业标准等。
对于外来人员有相应的内控管理措施,其出入机房及查看系统,都需要填写
相应的申请单,经由信息中心主任同意后方可访问。
1.5、安全总体防护策略制定情况
我厂有相应的《二次系统安全防护管理标准》,电厂系统分为三个大区,各大区之间的安全防护完全按照电监会的《电力二次系统安全防护总体方案》布置。实现了“安全分区。网络专用,横向隔离,纵向认证”的方针。
各大区之间采用了科东的StoneWall-2000正向隔离装置进行隔离,与电力调度网之间采用了PS-TUNNEL2000纵向加密认证网关,电厂MIS网与公司广域网之间采用防火墙隔离;互联网采用单独的一套网络,与厂内其它网络实现物理隔离。
1.6、运维管理
根据内控要求,设备、系统的运维都有相应的日志记录和程序变更记录。系统的开发依照《应用系统开发管理标准》执行,开发环境与运行环境分离。
电厂应用系统采用域认证方式,管理制度中对密码管理有统一的要求。应用系统有安全审计功能,但是内网中没有安全漏洞检测和自动补丁升级功能,补丁升级靠手动实施。
1.7、数据安全
数据安全按照《数据备份与恢复管理标准》和《数据分类及安全保护管理标准》管理,对于数据备份与恢复操作以及备份介质都有明确规定,并且严格遵照执行。数据库均设有严密密码保护,按照内控要求,定期进行数据库直接访问检查。对于磁盘、光盘、U盘盒移动硬盘等移动存储介质的管理都有相应的管理制度,并严格遵照执行。
1.8、信息网络安全设备国产化情况。
电厂网络设备包括防火墙、隔离装置、纵向认证设备均是国产设备。
1.9、物理环境安全
去年底电厂进行了机房与网络改造项目,大大提高的物理安全可靠性。生产调度区、计算机机房均按有门禁、防盗门窗、监视器、防火防灾报警装置。供电和通信系统采用双路冗余。人员出入有严格的登记制度。
1.10、应急响应与灾难恢复。
《二次系统安全防护管理标准》以及《重大网络信息安全事件应急预案》具体规定了二次系统的安全应急处理。
应急预案中需要的物资,随时保证可取可用,并对预案定期演练。
半年一次异地备份,定期系统灾难备份(无异地灾难备份),对于信息系统信息安全情况每月定期报送总公司和分公司。
1.11、信息网络安全等级保护定级工作。
2007年底完成信息网络安全等级保护定级备案工作,共上报8个信息系统,其中定级为三级的有一个,是SIS系统。其它7个为二级系统。
通过自查,我厂信息安全情况符合电监会各项检查依据。
2、某火电电厂电力监管统计情况自查报告
1.1、规章制度
火电电厂依据【中华人民共和国统计法】、【统计法规实施细则】、【电力监管条例】、【电力企业信息报送规定】(电监会13号令)、【电力监管统计报表制度】(2008年修订版)、【某国际电力股份有限公司综合统计管理办法】、【能源、物资统计报表制度及报表说明】、【某国际电力股份有限公司对外报表管理办法】、【某国际电力股份有限公司生产经营活动分析管理办法】建立了某火电电厂综合统计分析管理程序,并根据实际情况,实时更新。程序文件规定了
电厂综合统计分析工作的统计调查、统计报表(日、月、季、年)、统计分析、统计监督、统计服务和数据信息披露的保密性等管理内容。
1.2、组织机构
火电电厂建立了全厂生产经营活动的领导机构,组长为厂长,副组长为各主管副厂长,各部门主要负责人为组员;下设生产经营活动办公室,组织机构挂靠在策划部,由策划部主任担当组长,并设一名联络员,负责日常生产经营管理工作及编制全厂生产经营管理统计数据分析。在策划部设专职综合统计核算员一名,负责生产现场记录(原始数据)的收集、整理、存档;负责生产日报、统计台帐的编制、汇总;负责编制电监局、市统计局、辽宁省电力公司、某东北分公司、某国际电力股份有限公司(以下简称公司)等上级主管部门下发的综合生产月报、季报、年报等。组织机构根据实际情况,实时调整。
详见《综合统计分析管理程序》。
1.3、电力监管统计工作开展情况
火电电厂建立了报送系统的常态机制,能够及时、准确、完整地向各级主管单位进行数据报送。2010年4月19日~23日在锦州市召开的“东北区域6000KW及以上统调发电企业统计年报审核会”上,电监会审核的:CEC101-《电厂基本情况》、CEC102-《发电生产能力》、CEC206-《电源项目建设规模和新增生产能力年报》、发电01-《发电机组变动情况表》、发电06-《发电企业电煤燃料价格情况表》、《发电企业财务、生产月报表》、《生产事故情况表》等报表,我厂均通过审核,符合要求。
企业信息安全管理制度 篇5
关键字: 密码 数据 机房 ISO27001 作者:亚远景科技有限公司 转载请注明出处
一、计算机设备管理制度
1.计算机的使用部门要保持清洁、安全、良好的计算机设备工作环境,禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。
2.非本单位技术人员对我单位的设备、系统等进行维修、维护时,必须由本单位相关技术人员现场全程监督。计算机设备送外维修,须经有关部门负责人批准。
3.严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许带电插拨计算机外部设备接口,计算机出现故障时应及时向电脑负责部门报告,不允许私自处理或找非本单位技术人员进行维修及操作。
二、操作员安全管理制度
(一).操作代码是进入各类应用系统进行业务操作、分级对数据存取进行控制的代码。操作代码分为系统管理代码和一般操作代码。代码的设置根据不同应用系统的要求及岗位职责而设置;
(二).系统管理操作代码的设置与管理
1、系统管理操作代码必须经过经营管理者授权取得;
2、系统管理员负责各项应用系统的环境生成、维护,负责一般操作代码的生成和维护,负责故障恢复等管理及维护;
3、系统管理员对业务系统进行数据整理、故障恢复等操作,必须有其上级授权;
4、系统管理员不得使用他人操作代码进行业务操作;
5、系统管理员调离岗位,上级管理员(或相关负责人)应及时注销其代码并生成新的系统管理员代码;
(三).一般操作代码的设置与管理
1、一般操作码由系统管理员根据各类应用系统操作要求生成,应按每操作用户一码设置。
2、操作员不得使用他人代码进行业务操作。
3、操作员调离岗位,系统管理员应及时注销其代码并生成新的操作员代码。
三、密码与权限管理制度
1.密码设置应具有安全性、保密性,不能使用简单的代码和标记。密码是保护系统和数据安全的控制代码,也是保护用户自身权益的控制代码。密码分设为用户密码和操作密码,用户密码是登陆系统时所设的密码,操作密码是进入各应用系统的操作员密码。密码设置不应是名字、生日,重复、顺序、规律数字等容易猜测的数字和字符串;
2.密码应定期修改,间隔时间不得超过一个月,如发现或怀疑密码遗失或泄漏应立即修改,并在相应登记簿记录用户名、修改时间、修改人等内容。
3.服务器、路由器等重要设备的超级用户密码由运行机构负责人指定专人(不参与系统开发和维护的人员)设置和管理,并由密码设置人员将密码装入密码信封,在骑缝处加盖个人名章或签字后交给密码管理人员存档并登记。如遇特殊情况需要启用封存的密码,必须经过相关部门负责人同意,由密码使用人员向密码管理人员索取,使用完毕后,须立即更改并封存,同时在“密码管理登记簿”中登记。
4.系统维护用户的密码应至少由两人共同设置、保管和使用。
5.有关密码授权工作人员调离岗位,有关部门负责人须指定专人接替并对密码立即修改或用户删除,同时在“密码管理登记簿”中登记。
四、数据安全管理制度
1.存放备份数据的介质必须具有明确的标识。备份数据必须异地存放,并明确落实异地备份数据的管理职责;
2.注意计算机重要信息资料和数据存储介质的存放、运输安全和保密管理,保证存储介质的物理安全。
3.任何非应用性业务数据的使用及存放数据的设备或介质的调拨、转让、废弃或销毁必须严格按照程序进行逐级审批,以保证备份数据安全完整。
4.数据恢复前,必须对原环境的数据进行备份,防止有用数据的丢失。数据恢复过程中要严格按照数据恢复手册执行,出现问题时由技术部门进行现场技术支持。数据恢复后,必须进行验证、确认,确保数据恢复的完整性和可用性。
5.数据清理前必须对数据进行备份,在确认备份正确后方可进行清理操作。历次清理前的备份数据要根据备份策略进行定期保存或永久保存,并确保可以随时使用。数据清理的实施应避开业务高峰期,避免对联机业务运行造成影响。
6.需要长期保存的数据,数据管理部门需与相关部门制定转存方案,根据转存方案和查询使用方法要在介质有效期内进行转存,防止存储介质过期失效,通过有效的查询、使用方法保证数据的完整性和可用性。转存的数据必须有详细的文档记录。
7.非本单位技术人员对本公司的设备、系统等进行维修、维护时,必须由本公司相关技术人员现场全程监督。计算机设备送外维修,须经设备管理机构负责人批准。送修前,需将设备存储介质内应用软件和数据等涉经营管理的信息备份后删除,并进行登记。对修复的设备,设备维修人员应对设备进行验收、病毒检测和登记。
8.管理部门应对报废设备中存有的程序、数据资料进行备份后清除,并妥善处理废弃无用的资料和介质,防止泄密。
9.运行维护部门需指定专人负责计算机病毒的防范工作,建立本单位的计算机病毒防治管理制度,经常进行计算机病毒检查,发现病毒及时清除。
10.营业用计算机未经有关部门允许不准安装其它软件、不准使用来历不明的载体(包括软盘、光盘、移动硬盘等)。
五、机房管理制度
1.进入主机房至少应当有两人在场,并登记“机房出入管理登记簿”,记录出入机房时间、人员和操作内容。
2.IT部门人员进入机房必须经领导许可,其他人员进入机房必须经IT部门领导许可,并有有关人员陪同。值班人员必须如实记录来访人员名单、进出机房时间、来访内容等。非IT部门工作人员原则上不得进入中心对系统进行操作。如遇特殊情况必须操作时,经IT部门负责人批准同意后有关人员监督下进行。对操作内容进行记录,由操作人和监督人签字后备查。
3.保持机房整齐清洁,各种机器设备按维护计划定期进行保养,保持清洁光亮。
4.工作人员进入机房必须更换干净的工作服和拖鞋。
5.机房内严禁吸烟、吃东西、会客、聊天等。不得进行与业务无关的活动。严禁携带液体和食品进入机房,严禁携带与上机无关的物品,特别是易燃、易爆、有腐蚀等危险品进入机房。
6.机房工作人员严禁违章操作,严禁私自将外来软件带入机房使用。
7.严禁在通电的情况下拆卸,移动计算机等设备和部件。
8.定期检查机房消防设备器材。
9.机房内不准随意丢弃储蓄介质和有关业务保密数据资料,对废弃储蓄介质和业务保密资料要及时销毁(碎纸),不得作为普通垃圾处理。严禁机房内的设备、储蓄介质、资料、工具等私自出借或带出。
10.主机设备主要包括:服务器和业务操作用PC机等。在计算机机房中要保持恒温、恒湿、电压稳定,做好静电防护和防尘等项工作,保证主机系统的平稳运行。服务器等所在的主机要实行严格的门禁管理制度,及时发现和排除主机故障,根据业务应用要求及运行操作规范,确保业务系统的正常工作。
11.定期对空调系统运行的各项性能指标(如风量、温升、湿度、洁净度、温度上升率等)进行测试,并做好记录,通过实际测量各项参数发现问题及时解决,保证机房空调的正常运行。
12.计算机机房后备电源(UPS)除了电池自动检测外,每年必须充放电一次到两次。
一、机房管理制度
1、路由器、交换机和服务器以及通信设备是网络的关键设备,须放置计算机机房内,不得自行配置或更换,更不能挪作它用。
2、计算机房要保持清洁、卫生,并由专人7*24负责管理和维护(包括温度、湿度、电力系统、网络设备等),无关人员未经管理人员批准严禁进入机房。
3、严禁易燃易爆和强磁物品及其它与机房工作无关的物品进入机房。
4、建立机房登记制度,对本地局域网络、广域网的运行,建立档案。未发生故障或故障隐患时当班人员不可对中继、光纤、网线及各种设备进行任何调试,对所发生的故障、处理过程和结果等做好详细登记。
5、网管人员应做好网络安全工作,服务器的各种帐号严格保密。监控网络上的数据流,从中检测出攻击的行为并给予响应和处理。
6、做好操作系统的补丁修正工作。
7、网管人员统一管理计算机及其相关设备,完整保存计算机及其相关设备的驱动程序、保修卡及重要随机文件。
8、计算机及其相关设备的报废需经过管理部门或专职人员鉴定,确认不符合使用要求后方可申请报废。
9、制定数据管理制度。对数据实施严格的安全与保密管理,防止系统数据的非法生成、变更、泄露、丢失及破坏。当班人员应在数据库的系统认证、系统授权、系统完整性、补丁和修正程序方面实时修改。
二、计算机病毒防范制度
1、网络管理人员应有较强的病毒防范意识,定期进行病毒检测(特别是邮件服务器),发现病毒立即处理并通知管理部门或专职人员。
2、采用国家许可的正版防病毒软件并及时更新软件版本。
3、未经上级管理人员许可,当班人员不得在服务器上安装新软件,若确为需要安装,安装前应进行病毒例行检测。
4、经远程通信传送的程序或数据,必须经过检测确认无病毒后方可使用。
三、数据保密及数据备份制度
1、根据数据的保密规定和用途,确定使用人员的存取权限、存取方式和审批手续。
2、禁止泄露、外借和转移专业数据信息。
3、制定业务数据的更改审批制度,未经批准不得随意更改业务数据。
4、每周五当班人员制作数据的备份并异地存放,确保系统一旦发生故障时能够快速恢复,备份数据不得更改。
5、业务数据必须定期、完整、真实、准确地转储到不可更改的介质上,并要求集中和异地保存,保存期限至少2年。
6、备份的数据必须指定专人负责保管,由管理人员按规定的方法同数据保管员进行数据的交接。交接后的备份数据应在指定的数据保管室或指定的场所保管。
8、备份数据资料保管地点应有防火、防热、防潮、防尘、防磁、防盗设施。
网络安全管理员的职责
一、网络安全管理员主要负责全公司网络(包含局域网、广域网)的系统安全性。
二、负责日常操作系统、网管系统、邮件系统的安全补丁、漏洞检测及修补、病毒防治等工作。
三、网络安全管理员应经常保持对最新技术的掌握,实时了解INTERNET的动向,做到预防为主。
四、良好周密的日志记录以及细致的分析经常是预测攻击,定位攻击,以及遭受攻击后追查攻击者的有力武器。察觉到网络处于被攻击状态后,网络安全管理员应确定其身份,并对其发出警告,提前制止可能的网络犯罪,若对方不听劝告,在保护系统安全的情况下可做善意阻击并向主管领导汇报。
五、在做好本职工作的同时,应协助机房管理人员进行机房管理,严格按照机房制度执行日常维护。
六、每月安全管理人员应向主管人员提交当月值班及事件记录,并对系统记录文件保存收档,以备查阅。具体文件及方法如下:在NT中是使用Administrative Tools菜单中Event Viewer查看系统的SYSTEM、SECURITY、APPLICATION日志文件。对Netware而言,错误日志是SYS$LOG.ERR文件,通过syscon菜单中supervisor options下view file server errorlog观察记录,另外文卷错误日志文件是各文卷中的VOL$LOG.LOG以及事务跟踪处理系统错误日志文件SYS:文卷中的TTS$LOG.ERR文件。Unix中各项日志包括/usr/adm目录下的系统错误登记文件message、使用su命令的记录文件sulog、每个用户记录上次注册时间的登记文件lastlog、系统中注册用户的有关信息文件wtmp、每个用户所执行命令的内容项文件acct以及/etc目录下当前注册用户的有关信息文件utmp和其他应用程序产生的日志文件。对于其中的一些日志文件,可以采用who或w命令查看当前系统的登录使用者(XENIX系统中还可以用whodo命令确定当前用户的行为);last命令查看以前的登录情况,这些命令都可以合并使用grep进行条件控制选择过滤;用find查看文件及其属主,特别监控具有根访问权的进程及文件以及检查开机文件/etc/inetd.conf、/etc/rc.local、/etc/passwd和corn或at运行的文件,并用corntab -l 与corntab -r命令对用户的corntab文件进行列出与删除管理;使用ls -lR生成主检查表,并定期生成新表,使用diff命令进行比较,并使检查通过的新表成为新的主检查表,直到下一次检查为止。强烈建议在inetd.conf中注释掉所有的r打头的命令文件,以及去掉/etc/hosts.equiv中的所有项并不允许用户设立个人的.rhosts文件,使可信主机不予设立或为空以加强系统的安全。
一、机房管理制度
服务器机房由网络维护员专门负责管理。其它人员不得入内。机房钥匙不得转借他人。
网络维护员负责局域网的防毒和杀毒工作。并经常为服务器及其计算机设备进行病毒检查。
网络维护员要确保机房内各设备正常工作,出现故障应及时处理。如不能及时处理应向部门经理报告。
机房内保持环境清洁,地面、窗台和窗户无灰尖。并经常为服务器及交换机等设备除尘。保持室内空气干燥流通。
在原有设备的基础上,为了更好的利有现有打印机的资源。使用上实现分片共享。
服务器和交换机等设备无特殊情况不得随意关闭,所有设备必须接UPS保护电池,以防止突然停电对设备造成损坏和资料丢失。
二、局域网管理制度
1、局域网管理工作由网络维护员负责。
2、出现问题、故障或发现病毒,及时通知网络维护员。由网络维护员及时处理和排除,并做记录。
3、网络客户如果确实要进行如上操作,可向网络维护员说明,获得同意后方可操作。
4、严禁在计算机有未杀的情况下发送电子邮件和拷贝文件到其它客户机上。
5、除网络维护员外,其它人员不得在服务器上任意安装和删除软件,不得随意更改服务器和交换机上的各项系统设置。
6、网络客户机上的操作人员不得更改计算机上的各系统设置。网络客户机不得使用盗版的软件和计算机游戏软件。
7、需要对局域网做大的改动时,须向部门经理请示,征得批准后方可进行。
8、上班期间不准上网聊天或玩游戏。网上客户机不得装载任何游戏软件或下载软件。下载软件须经信息资源部批准方可下载。
一、服务器机房由机房主管人员和管理人员专门负责管理。其它人员未经允许不得入内。机房钥匙不得转借他人。
二、机房管理人员负责校园网的防毒和杀毒工作。并经常为服务器及其微机设备进行病毒检查。
三、机房管理人员要确保机房内各设备正常工作,出现故障应及时处理。如不能及时处理应向主管和部门负责人报告。
四、机房内保持环境清洁,地面、窗台和窗户无灰尖。并经常为服务器及交换机等设备除尘。保持室内空气干燥流通。
五、服务器和交换机等设备无特殊情况不得随意关闭,所有设备必须接UPS保护电池,以防止突然停电对设备造成损坏和资料丢失。
六、机房应做好防潮、防尘、防水、防热、防火、防盗等工作。下班人员离开前应切断电源,关好门窗,以确保安全。
七、机房主管人员对所管机房的微机及设备负全部责任。未经机房主管人员同意,任何人不准自行使用,移动和调换。
八、机房管理人员要坚守值班岗位,密切监视校园网网络的工作情况,防止黑客袭击,做好每天的数据备份,不得无故脱离岗,并做好交接班记录。
九、机房管理人员要注意保密工作,不得随意泄露学校秘密信息。
企业网络信息安全解决方案 篇6
一、信息安全化定义
企业信息安全管理即针对当前企业面临的病毒泛滥、黑客入侵、恶意软件、信息失控等复杂的应用环境制定相应的防御措施,保护企业信息和企业信息系统不被未经授权的访问、使用、泄露、中断、修改和破坏,为企业信息和企业信息系统提供保密性、完整性、真实性、可用性、不可否认性服务。简而言之,使非法者看不了、改不了信息,系统瘫不了、信息假不了、行为赖不了。
二、企业信息安全管理现状
当前企业在信息安全管理中普遍面临的问题:
(1)缺乏来自法律规范的推动力和约束;
(2)安全管理缺乏系统管理的思想。被动应付多于主动防御,没有做前期的预防,而是出现问题才去想补救的办法,不是建立在风险评估基础上的动态的持续改进的管理方法;
(3)重视安全技术,忽视安全管理。企业愿意在防火墙等安全技术上投资,而相应的管理水平、手段没有体现,包括管理的技术和流程,以及员工的管理;
(4)在安全管理中不够重视人的因素;(5)缺乏懂得管理的信息安全技术人员;
(6)企业安全意识不强,员工接受的教育和培训不够。
三、企业信息安全管理产品
建立完善的企业信息安全管理系统,必须内外兼修,一方面要防止外部入侵,另一方面也要防范内部人员泄密可能。所以在选择企业信息安全管理产品时,必须是一个完整的体系结构。目前,在市场上比较流行,而又能够代表未来发展方向的安全产品大致有以下几类:用户身份认证,如静态密码、动态密码(短信密码、动态口令牌、手机令牌)、USB KEY、IC卡、数字证书、指纹虹膜等。
防火墙
即访问控制系统,它在内部网络与不安全的外部网络之间设置障碍,阻止外界对内部资源的非法访问,防止内部对外部的不安全访问。但它其本身可能存在安全问题,也可能会是一个潜在的瓶颈。
安全路由器
由于WAN连接需要专用的路由器设备,因而可通过路由器来控制网络传输。通常采用访问控制列表技术来控制网络信息流。
安全服务器
安全服务器主要针对一个局域网内部信息存储、传输的安全保密问题,其实现功能包括对局域网资源的管理和控制,对局域网内用户的管理,以及局域网中所有安全相关事件的审计和跟踪。
安全管理中心
由于网上的安全产品较多,且分布在不同的位置,这就需要建立一套集中管理的机制和设备,即安全管理中心。它用来给各网络安全设备分发密钥,监控网络安全设备的运行状态,负责收集网络安全设备的审计信息等。
入侵检测系统(IDS)
入侵检测,作为传统保护机制(比如访问控制,身份识别等)的有效补充,形成了信息系统中不可或缺的反馈链。
入侵防御系统(IPS)
入侵防御,入侵防御系统作为IDS很好的补充,是信息安全发展过程中占据重要位置的计算机网络硬件。
安全数据库
由于大量的信息存储在计算机数据库内,有些信息是有价值的,也是敏感的,需要保护。安全数据库可以确保数据库的完整性、可靠性、有效性、机密性、可审计性及存取控制与用户身份识别等。
数据容灾设备
数据容灾作为一个重要的企业信息安全管理体系中的一个重要补救措施,在整个企业信息安全管理体系中有着举足轻重的作用。数据容灾设备包括数据恢复设备、数据复制设备、数据销毁设备等。目前应用较多的数据容灾设备包括效率源HD Doctor、Data Compass数据指南针、Data Copy King硬盘复制机、开盘机等。
编辑本段企业信息安全管理对策 1.网络管理
一般企业网与互联网物理隔离, 因而与互联网相比, 其安全性较高, 但在日常运行管理中我们仍然面临网络链路维护、违规使用网络事件等问题, 具体而言:
(1)在IP 资源管理方面, 采用IP MAC 捆绑的技术手段防止用户随意更改IP 地址和随意更换交换机上的端口。这分两种情况实现, 第一种情况是如果客户机连在支持网管的交换机上的, 可以通过网管中心的管理软件, 对该交换机远程实施Port Security 策略, 将客户端网卡MAC 地址固定绑在相应端口上。第二种情况是如果客户机连接的交换机或集线器不支持网管, 则可以通过Web 网页调用一个程序, 通过该程序把MAC 地址和IP 地址捆绑在一起。这样, 就不会出现IP 地址被盗用而不能正常使用网络的情况。
(2)在网络流量监测方面, 可使用网络监测软件对网络传输数据协议类型进行分类统计, 查看数据、视频、语音等各种应用的利用带宽, 防止频繁进行大文件的传输, 甚至发现病毒的转移及传播方向。
2.服务器管理
常见应用服务器安装的操作系统多为Windows 系列,服务器的管理包括服务器安全审核、组策略实施、服务器的备份策略。服务器安全审核是网管日常工作项目之一, 审核的范围包括安全漏洞检查、日志分析、补丁安装情况检查等, 审核的对象可以是DC、Exchange Server、SQL Server、IIS 等。
在组策略实施时, 如果想使用软件限制策略, 即哪些客户不能使用哪个软件, 则需要把操作系统升级到Windows 2003 Server。服务器的备份策略包括系统软件备份和数据库备份两部分, 系统软件备份拟利用现有的专用备份程序, 制定一个合理的备份策略, 如每周日晚上做一次完全备份, 然后周一到周五晚上做增量备份或差额备份;定期对服务器备份工作情况等。
3.客户端管理
对大多数单位的网管来说, 客户端的管理都是最头痛的问题, 只有得力的措施才能解决这个问题, 这里介绍以下几种方法:
1)将客户端都加入到域中, 这一点很重要, 因为只有这样, 客户端才能纳入管理员集中管理的范围。
2)只给用户以普通域用户的身份登录到域, 因为普通域用户不属于本地Administrators 和Power Users 组, 这样就可以限制他们在本地计算机上安装大多数软件(某些软件普通用户也可以安装)。当然为了便于用户工作, 应通过本地安全策略, 授予他们“关机”和“修改系统时间”等权利。
3)实现客户端操作系统补丁程序的自动安装。4)实现客户端防病毒软件的自动更新。
5)利用SMS 对客户端进行不定期监控, 发现不正常情况及时处理。
4.数据备份与数据加密
由于应用系统的加入, 各种数据库日趋增长, 如何确保数据在发生故障或灾难性事件情况下不丢失, 是当前面临的一个难题。这里介绍四种解决方法: 第一种解决办法是用磁带机或硬盘进行数据备份。该办法价格最低, 保存性最强, 不足之处是备份的只是某个时间点。第二种方案是采用本地磁盘阵列来分别实现各服务器的本地硬盘数据冗余。第三种方案是采用双机容错方式, 两台机器系统相互备份, 应用层数据全部放在共享的磁盘阵列柜中, 这种方式能解决单机故障或宕机的问题, 同时又能防止单个硬盘故障导致的数据丢失, 但前期投资较大。第四种方案是采用NAS 或SAN 来实现各服务器的集中区域存储, 实现较高级别的磁盘等硬件故障的数据备份, 但是成本较高, 一般不能防止系统层的故障, 如感染病毒或系统崩溃。考虑到网络上非认证用户可能试图旁路系统的情况, 如物理地“取走”数据库, 在通信线路上窃听截获。对这样的威胁最有效的解决方法就是数据加密, 即以加密格式存储和传输敏感数据。发送方用加密密钥, 通过加密设备或算法, 将信息加密后发送出去。接收方在收到密文后, 用解密密钥将密文解密, 恢复为明文。如果传输中有人窃取,他只能得到无法理解的密文, 从而对信息起到保密作用。
5.病毒防治
对防病毒软件的要求是: 能支持多种平台, 至少是在Windows 系列操作系统上都能运行;能提供中心管理工具, 对各类服务器和工作站统一管理和控制;在软件安装、病毒代码升级等方面, 可通过服务器直接进行分发, 尽可能减少客户端维护工作量;病毒代码的升级要迅速有效。在实施过程中, 本单位以一台服务器作为中央控制一级服务器, 实现对网络中所有计算机的保护和监控, 并使用其中有效的管理功能, 如: 管理员可以向客产端发送病毒警报、强制对远程客户端进行病毒扫描、锁定远程客产端等。正常情况下, 一级服务器病毒代码库升级后半分钟内, 客户端的病毒代码库也进行了同步更新。
四、企业网络、信息安全解决方案 1)大型企业
大型企业部门林立,相当一部分会在外地有分支机构,业务系统普遍采用建设虚拟专网的方式,起到外部分支访问总部数据的通道和安全加密作用。传统的网络安全设备基本都已经部署,比如防火墙,可以把企业访问互联网的风险降低,但是大型企业的网络、信息安全威胁主要来源于恶意的攻击行为和企业员工有意、无意的操作行为,致使业务系统不能正常使用,或者机密数据外泄,对企业的网络安全,信息保密造成很大的威胁,拥有功能强大的上网行为管理设备、入侵检测系统和防泄密系统能有效杜绝各个环节可能出现的不安全隐患,保障业务系统的政策正常安全运行和企业机密数据的安全。
建议大型企业在网络中部署:防火墙、IDS、上网行为管理、防泄密系统、VPN、安全服务器等。
2)中型企业
中型企业基本已具备完整的网络体系,但是企业的信息化技术力量相对大型企业可能薄弱一点,对于员工的上网行为和电脑操作行为可能要求得不会太严格,即使向员工制定了一定的管理制度,也会在制度的执行过程中因为人为的因素而变成一纸空文,所以用硬件设备来保障和规范网络、信息的安全尤为重要,中型企业的网络、信息安全威胁主要来源于外网的攻击、内部网络使用的不规范导致的木马、病毒等安全威胁。
建议中型企业部署:防火墙、IDS、路由器、上网行为管理、防泄密系统等。
3)小型企业
企业的信息安全建设 篇7
随着信息化应用的日益广泛, 企业的信息系统中存储的大量有价值的信息和数据已成为各种网络犯罪组织和恶意势力的攻击目标, 网络非法行为日趋复杂, 且更为频繁, 各种攻击方法相互融合, 攻击手段更为隐秘, 破坏性更强, 攻击从网络层向应用层迁移。但是, 我们也应该看到, 信息安全虽然是由信息技术问题引起的, 但信息安全问题的解决不能够单纯地由技术问题入手, 还得从系统的、管理的角度切入, 一个完美的解决安全问题的技术方案在现实中是不存在的, 而且用信息技术解决信息技术的脆弱性和不完善性有可能带来另外的脆弱性和不完善性。因此, 信息安全中的技术问题是一个关键问题, 不能解决全部问题。信息安全界有句名言:三分技术, 七分管理, 安全和管理是分不开的。即使有再好的安全设备和系统, 而没有一套良好的安全管理制度、管理方法并贯彻实施, 信息安全问题就是空谈。许多出现信息安全事故的单位, 要么是有安全管理制度但没有执行, 要么就是没有安全管理制度。
一、信息系统的安全风险评估
所谓信息系统的安全风险, 是指由于系统存在的脆弱性、人为或自然的威胁导致安全事件发生的可能性及其造成的影响。风险评估是分析分析确定风险的过程。任何系统的安全性都可通过风险的大小来衡量。
网络信息系统得安全建设应该建立在风险评估的基础上, 这是信息化建设的内在要求, 系统主管部门和运营、应用单位都必须做好本系统得信息安全评估工作。只有在建设的初期, 在规划的过程中, 就运用风险评估、风险管理的手段, 才可以避免重复建设和投资的浪费。信息安全风险评估是风险评估理论和方法在信息系统中的运用, 是科学分析理解信息和信息系统在机密性、完整性、可用性等方面所面临的风险, 并在风险的预防、风险的控制、风险的转移、风险的补偿、风险的分散等之间做出抉择的过程。所有信息安全建设都应该是基于信息安全风险评估, 只有在正确地、全面地理解风险后, 才能在控制风险、减少风险之间做出正确的判断, 决定调动多少资源、以什么样的代价、采取什么样的应对措施去化解、控制风险。在风险评估中, 最终要根据对安全事件发生的可能性和负面影响的评估来识别信息系统的安全风险。造成信息安全事件的源头, 可以归为外因和内因。外因为威胁, 内因则为脆弱性。因此, 在风险评估中要刻意刻画信息安全事件, 就必须对威胁和脆弱性都有深入了解, 这构成了风险评估工作的关键。
要确保信息网络系统得安全高效, 就必须建立和完善信息安全风险评估机制, 也就是要构建一个“发现隐患、制定对策、提高强度、效果认证”的封闭式、反馈型、非线性的评估系统。同时, 信息网络在建设规划阶段必须进行风险评估以确定系统的安全目标;在工程验收阶段一定要进行效果认证和风险在评估以判定系统得安全目标达成与否;在运行维护阶段要针对安全形势和问题, 进行制度化的风险评估工作, 以确定安全措施的有效性和决定是否采取隔离或实施升级行动, 以确保安全保障形势始终维持在期望的目标水平之上。
信息安全风险评估有助于信息化建设的有序开展, 促进信息安全保障体系得完善, 提高信息系统的安全防护能力。其目的是借助科学的评估体系和技术方法, 弄清本单位信息安全的基本态势和网络环境安全状况, 及时采取或完善安全保障措施, 确保信息安全策略和方针在常态化中得到贯彻与执行。对于企业具体涵盖的内容来说, 首先要明确企业的哪些资产需要保护:企业必须花费时间与精力来首先确定关键数据和相关的业务支持技术资产的价值。通常, 各公司认为表述资产的价值是很容易的, 但具体如要按级别界定就不那么简单。对此, 就需要用安全厂商与企业共同制定规范以确定需要保护的资产的安全级别, 并为制定切实可行的安全管理策略打下基础。另外, 还需完成威胁识别的任务:如果企业想增强竞争实力, 必须随时改进和更新系统和网络, 但是机会增加常伴随着安全风险的增加, 尤其是机构的数据对更多用户开放的时候———因为技术越先进, 安全管理就越复杂。所以企业为了消除安全隐患, 下一步就需要安全厂商与企业一起必须要对现有的网络、系统、应用进行相应的风险评估, 确定在企业的具体环境下到底存在哪些和安全隐患。在此基础上, 制定并实施, 完成安全策略的责任分配, 设立安全标准:几乎所有企业目前都有策略, 只不过许多策略都没有书面化, 只作为完成任务的一种手段。恰当的安全策略必须与机构的所有业务需求直接相关。它基于几类安全标准。标准分类将使企业能发现违反策略的行为, 并指出每个区域的漏洞或潜在安全威胁区。最后, 管理还应包括安全厂商与企业共同组织的对企业安全管理人员进行安全培训, 以便维护和管理整个的实施和运行情况。
企业的网络信息系统必须按照风险管理的思想, 对可能存在的威胁、脆弱性和需要保护的信息资源进行分析, 依据风险评估的结果为信息系统选择适当的安全措施, 妥善应对可能发生的风险。目前, 信息安全等级保护是发达国家保护关键信息基础设施, 保障信息安全的通行。
二、信息安全等级保护
(一) 信息安全等级保护和风险评估的关系
1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》规定计算机信息系统实行信息系统安全等级保护。2003年中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》中明确提出:“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统, 抓紧建立信息系统安全等级保护制度, 制定信息系统安全等级保护的管理办法和技术指南”。2004年公安部等四部委《关于信息系统安全等级保护工作的实施意见》也指出:“信息系统安全等级保护制度是国家在国民经济和社会信息化的发展过程中, 提高信息安全保障能力水平, 维护国家安全、社会稳定和公共利益, 保障和促进信息化建设健康发展的一项基本制度”。等级保护工作的核心是对信息安全分等级, 按标准进行建设、管理和监督。风险评估做为信息安全工作的一种重要技术手段, 为系统安全等级保护的定级、测评和整改等工作阶段提供重要依据, 在实施信息安全等级保护周期和层次中发挥着重要作用。在等级保护周期的系统等级阶段中, 依据信息安全风险评估国家标准对所评估资产的重要性、客观威胁发生的频率、以及系统自身脆弱性的严重程度进行识别和关联分析, 判断信息系统应采取什么强度的安全措施, 然后将安全事件一旦发生后可能造成的影响控制在可接受的范围内;在安全实施阶段, 按照风险评估标准, 对现有系统进行评估和加固, 然后进行安全设备的部署, 对在安全实施过程中也会发生事件并可能带来长期的隐患, 风险评估能及早发现并解决这些问题;在安全运维阶段, 按照风险评估标准开展定期和不定期的风险评估以便帮助确认它保持的安全等级是否发生变化。
风险评估的技术手段包括有系统审计、漏洞扫描和渗透测试, 他们在等级保护的各个层。
(二) 等级保护制度的落实
目前, 国家通过制定统一的信息安全等级保护管理规范和技术标准, 组织公民、法人和其他组织对信息系统分等级实行安全防护, 对等级保护工作的实施实行监督、管理, 从而大力推行信息化建设的全面发展, 但是, 绝大多数的信息系统得运营、使用单位依旧采用传统的工作方式解决等级保护工作中的一系列问题, 尤其是相对数量的信息安全等级保护工作的职能部门, 他们在落实等级保护工作中存在很大的问题, 表现在以下几个方面:
一是信息系统安全等级保护工作认识不深刻、重视不到位。信息系统得安全性问题不仅仅是用户自身财产安全的问题, 其所有者应当承担相应的社会安全和公众利益安全的义务。然而, 部分执行部门在开展等级保护工作中从始至终都在被动的应付监管部门的检查, 这种思想上的不重视给监管部门工作开展带来困难的同时, 也阻碍整个信息系统安全等级保护工作的开展;二是信息系统安全等级保护工作管理无序、缺乏约束力。目前, 一部分执行单位他们对信息系统安全等级保护工作组织开展、管理实施无从下手, 甚至对相关法律、政策和标准还不是很清楚, 同时没有各自内部专门机构对等保工作实施监督;三是执行单位的安全分工不清, 没有建立相应得安全职能部门, 这使得在安全等级保护工作中无法确定各相关部门的职责, 从而无法落实安全责任制。
针对这些问题, 建立信息安全管理组织是做好信息安全等级保护工作的必要条件。
1. 建立信息安全管理组织的必要性
一个单位应该也必须建立信息安全管理组织, 这个组织是这个单位在信息系统安全方面的最高权力组织。信息安全是所有管理层成员所共有的责任, 一个管理组织应确保有明确的安全目标。在一个单位内部, 有关信息安全的工作需要一个强有力领导机构来领带和推动, 这是由于:1) 首先是一些单位的业务对信息系统形成了完全的依赖, 另外信息安全会导致对社会公众利益、社会秩序和国家安全造成侵害, 甚至是严重的侵害。2) 在一个单位中多个部门的信息任务既有联系又有相对的独立性, 而这些任务又是这个单位全部信息任务的组成部分, 所有这些都需要一个强有力的机构进行协调和指导。3) 全员使用的信息系统中不同员工在其中所对应的是不同的角色, 在工作中的权限也有4) 一个单位对信息系统安全所采取的各类措施和决策是需要权威机构来审批和决定的。
2. 信息系统使用单位的安全管理机构的职能包括
1) 信息系统安全管理就够负责与信息安全有关的规划、建设、投资、人事、安全政策、资源利用和事故处理等方面的决策和实施。2) 负责与各级国家安全信息安全监管机构、上级主管部门和技术保卫机构建立日常的工作关系。3) 组织、协调、指导计算机信息系统得安全开发工作。4) 建立健全本系统的系统安全保护规程、制度。5) 确定信息安全各岗位人员的职责和权限、建立岗位责任制。6) 审议并通过安全规划、年度安全报告、与信息安全相关的安全宣传、教育培育计划。7) 执行信息安全报告制度, 定期向当地公安信息安全监管部门报告本单位信息安全保护管理情况, 及时报告重大安全事件。8) 安全审计跟踪分析和安全检查, 及时发现安全隐患和犯罪嫌疑, 防患于未然, 将可能的攻击拒之门外。9) 负责向所属组织或机构的领导层汇报工作, 积极争取领导层对信息安全的支持。10) 信息发布的审核管理。
三、结束语
这种现代化、信息化的以等级保护为核心的信息安全管理体系, 不仅有助于职能部门解决其使用传统方式开展登记保护所导致的问题, 也为各职能部门积极主动地解决自身安全问题提供了有效帮助。根据企业实际情况, 进一步发展完善, 加强定级对象信息系统整体防护, 建设管理中心支持下的计算环境、区域边界、通信网络三重防护体系结构, 做好操作人员使用的终端防护, 把住攻击发生的源头关, 做到操作使用安全, 以防内为主, 内外兼防, 提高计算节点自身防护能力, 减少从外部入口上封堵, 做到不同级别信息系统安全保护技术和管理逐级增强。
摘要:针对企业信息安全形势, 进行信息系统安全的风险评估, 落实安全等级的维护, 加强信息网络安全保障, 做好网络安全管理, 而完成这些工作的必要条件是建立的有完善工作只能的信息安全管理组织。
关键词:信息安全,风险评估,等级保护,信息安全管理组织
参考文献
[1]李明, 吴忠.信息安全发展与研究[J].上海工程技术大学学报, 2005.
[2]吴晓明.美国信息安全风险评估探悉[J].信息网络安全, 2009.
企业信息安全工作报告 篇8
【关键词】信息社会,企业,信息安全
【中图分类号】C931.6【文献标识码】A【文章编号】1672-5158(2013)07-0151-01
一、我国信息网络安全存在的问题
网络安全本质上指的是网络信息安全,目前的公共网络存在着很多安全漏洞,涉及到诸多领域。只要涉及到网络信息的保密性、可用性、完整性、真实性和可控性,都属于网络安全研究范围内的。威胁网络安全的因素主要是黑客攻击、电脑病毒、数据监听和拦截。
1、黑客攻击
黑客通过技术手段,选择有漏洞的路径,进入网络或者个人电脑窃取数据信息、破坏文件或程序,阻碍合法用户使用网络,对企业的信息安全带来威胁。
2、病毒入侵
电脑病毒隐藏于文件或程序代码内部,并自动复制,通过网络、磁盘进行传播扩散。
3、数据监听和拦截
直接或间接获取网络中特定的数据,并分析数据,以此来获取所需信息。
二、企业信息安全的影响因素
企业信息安全包括信息系统的安全、信息的安全和人为的因素。企业信息安全有以下几个方面的影响因素:
1、信息环境
影响信息环境的因素是外部网络环境,外来攻击分为闯入、拒绝服务、信息窃取三类。最为常见的是闯入,黑客通过第三方电脑闯入企业主机内,使用主机内的信息。他们通过搜索系统寻找软件或者磁盘的漏洞或者配置错误,从而侵入系统。
2、系统软件和数据信息
系统软件中,对信息安全构成影响的是系统设计漏洞和程序兼容性的问题,这些漏洞和问题会使系统出现故障,给黑客入侵带来条件。系统安装的应用软件中,应用软件设计开发的错误和漏洞,也会造成数据错误或者丢失。
数据信息往往存储在硬盘上,硬盘的故障,软件的故障,病毒入侵,黑客入侵,人为破坏都有可能使数据丢失。
3、人为原因
人为的一些因素对信息安全的影响最为深刻,在企业内部,管理信息的人员如果操作不当或者其他原因造成数据丢失,导致巨额资金打造的网络安全机制形同虚设。
三、企业信息安全防范措施
信息安全防范措施在不影响网络正常功能的前提之下,在网络系统的不同层面进行安全规划,采取相应的安全防范措施。
企业采取的信息安全措施包括防火墙技术、数据加密技术、入侵检测技术、漏洞扫描技术。
1、防火墙技术
系统安全最为常见的技术就是防火墙技术,防火墙意思是在外网和内网之间架设一个防火墙隔离开来。
对于企业来说,设立防火墙必须要设定网络安全策略,网络安全策略是用来过滤交换信息,对外网和内网之间的数据传递信息进行筛选,符合条件的可以继续访问,不符合条件的不能进行交流活动。但防火墙仅限于外网访问内网时使用,内网安全还是要通过控制和管理实现。
2、数据加密技术
数据加密技术用来提高信息系统的安全性和保密性,防止内网的资料信息被外网破解。数据加密技术分为数据传输、存储和完整性的识别和密钥管理。数据加密是信息安全的核心所在。
3、入侵检测技术
通过网络或者系统内的关键点采集信息,分析这些信息中是否有非法企图或其他行为,并做出回应。
4、漏洞扫描技术
自动检测远端和内部,查询各个服务端口,记录目标的响应,收集特定项目的有用信息。
四、信息社会环境下企业的信息安全防范的长远策略
1、加强信息安全意识
我国社会的信息安全意识逐步提高,但是将信息安全问题提到议事日程的情况并不是很多,每当发生网络安全威胁时,很大程度上是安全管理疏漏引起的,很多企业的信息网络系统于毫无防备的状态。
加强信息安全管理,提高信息安全意识,增强网络信息的安全防护能力是非常有必要的。
2、建立健全信息安全管理体系
一个信息化程度非常高的企业,网络信息安全不单是一个技术层面的问题,同样是一个管理模式的问题。很多病毒、漏洞出现之后,网络中会及时出现相应的杀毒补丁或插件。企业要形成良好的信息安全管理制度和系统安全维护措施,即是技术与制度相结合,制定恰当的管理策略,并认真执行,才能够提高企业的信息安全。
总结
信息是经济社会发展的重要战略资源,也是评定一个企业甚至国家的重要指标。随着信息化社会的不断推进,人们对信息的依赖程度越来越高,在这个过程中,信息安全显得尤为重要。企业发展壮大的前提是要有一个安全的信息系统,所以说,科学的管理制度和技术是企业求得生存和发展的必经之路。
参考文献
[1] 黎继子,刘春玲.基于互联网的企业信息安全防范策略[J].CAD/ CAM与制造业信息化.2008(1):22-24
[2] 周学广,刘艺.信息安全学[J].机械工业出版社.2009(8):195-214
[3]明丽宏.我国互联网安全问题及解决措施[J].vocational technology. 2010(2):60-64
【企业信息安全工作报告】推荐阅读:
企业的信息安全05-24
企业合作信息安全07-24
做好企业信息安全08-03
企业信息安全系统10-29
企业信息安全保障08-26
电子科技企业信息安全06-04
企业信息安全管理研究05-31
石化销售企业信息安全06-16
企业信息系统的安全论文09-09
供电企业信息安全管理11-03