信息安全策略(精选十篇)
信息安全策略 篇1
本书共包括15章的征文和12个附录,全文100多万文字。主要领域包括:安全策略、信息安全组织、资产管理、人力资源安全、物理与环境安全、通讯与操作管理、访问控制、信息系统的获取及开发与维护、信息安全事件管理、业务连续性管理、符合性,除此之外,在内容上还涵盖了密码学、供应商管理等新内容。本书(第12 版)顺应新技术发展情况,增加了最新的信息技术与管理内容,适用于新形势下的信息安全管理和应用。
本书可作为企业、政府部门编制信息安全策略的参考工具书,也可作为信息安全服务商、信息安全从业人员、研究机构、高等院校的重要参考资料。
作者:查尔斯·克雷森·伍德高卓刘炯邓小四等译
出版社:化学工业出版社
定价:980 元(购买2 册八折优惠)
书款另加:15% 邮费
工业和信息化部电子工业标准化研究院标准咨询服务部:
函购传真:(010)64102617
函购电话:(010)64102617联系人:高伟E-mail:1584691088@qq.com
负责地区:四川、重庆、陕西、山西、辽宁、黑龙江、浙江
函购电话:(010)64102617联系人:吴敏E-mail:wum9217@163.com
负责地区:江苏、上海、广东、天津、湖南、广西、贵州
函购电话:(010)64102616联系人:杨靳娇E-mail:87803142@qq.com
负责地区:安徽、湖北、吉林、云南、福建、江西、甘肃、新疆
函购电话:(010)64102616联系人:申铁燕E-mail:sty19021977@qq.com
北京门市电话:(010)64102612联系人:张雯E-mail:710982143@qq.com
门市传真:(010)64102612开户行:工商行北京北新桥支行
网址: www.cesinet.com账号:0200004309088116710
信息安全策略纲要 篇2
1范围
信息系统是技术密集的大型复杂的网络化人机系统,其面临的安全问题非常突出。为了保障海南电网信息通信分公司(以下简称“公司”)信息系统的安全可靠运行,依据《信息系统安全等级保护基本要求》等相关标准法规制定本策略纲要。本纲要适用于公司信息系统。总体目标
总体目标:保护公司信息系统的硬件、软件、业务信息和数据、通信网络设备等资源的安全,有效防范各类安全事故,合法合规发展各类信息系统,确保为社会提供高效稳定的电力服务。规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡注明日期的引用文件,其随后所有的修改单或修订版均不适用于本标准(不包括勘误、通知单),然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡未注日期的引用文件,其最新版本适用于本标准
《信息安全技术 信息系统安全保障评估框架》(GB/T 20274.1-2006)《信息安全技术 信息系统安全管理要求》(GB/T 20269-2006)
《信息安全技术 信息系统安全等级保护基本要求》(GBT 22239-2008)本标准未涉及的管理内容,参照国家、电力行业、南方电网公司的有关标准和规定执行。总体方针
4.1组织与体制
构筑确保信息安全所必需的组织与体制,明确其责任与权限。
4.2 遵守法令法规
遵守与信息安全有关的法令法规,制定并遵守按基本方针所制定的信息安全相关的规定。
4.3信息资产的分类与管理
按照重要级别信息资产进行分类,并妥善管理。
4.4培训与教育
为使相关人员全面了解信息安全的重要性,适当开展针对性培训与教育教育活动。使他们充分认识信息安全的重要性以及掌握正确的管理方法。
4.5物理性保护
为避免非法入侵、干扰及破坏信息资产等事故的发生,对其保管场所与保管办法加以明确。
4.6技术性保护
为切实保护信息资产不受来自外部的非法入侵,对信息系统的登录方法、使用限制、网络管理等采取适当的措施。
4.7运用
为确保基本方针的实际成效,在对遵守情况进行监督的同时,对违反基本方针时的处置办法及针对来自外部的非法入侵等紧急事态采取的应对措施等加以规定。
4.8评价及复审
随着社会环境的变化、技术的进步等,应定期对基本方针与运用方式进行评价与复审安全策略
5.1安全管理制度
在信息安全中,最活跃的因素是人,对人的管理包括法律、法规与政策的约束、安全指南的帮助、安全意识的提高、安全技能的培训、人力资源管理措施以及企业文化的熏陶,这些功能的实现都是以完备的安全管理政策和制度为前提。安全管理制度包括信息安全工作的总体方针、策略、规范各种安全管理活动的管理制度以及管理人员或操作人员日常操作的操作规程。
安全管理制度重点关注管理制度、制定和发布、评审和修订三方面。
目的是根据系统的安全等级,依照国家相关法律法规及政策标准,建立信息安全的各项管理规范和技术标准,规范基础设施建设、系统和网络平台建设、应用系统开发、运行管理等重要环节,奠定信息安全的基础。
5.2安全管理机构
建立组织管理体系是为了建立自上而下的信息安全工作管理体系,确定安全管理组织机构的职责,统筹规划、专家决策,以推动信息安全工作的开展。
公司成立信息安全领导小组,是信息安全的最高决策机构,负责研究重大事件,落实方针政策,制定实施策略和原则,开展安全普及教育等。下设办公室负责信息安全领导小组的日常事务。
信息安全领导小组下设两个工作组:信息安全工作组、应急处理工作组。组长均由公司负责人担任。
5.3人员安全管理
通过建立安全岗位责任制,最大限度降低人为失误所造成的风险。人是决定性因素,人员安全管理的原则是:职责分离、有限授权、相互制约、任期审计。
人员安全管理的要素包括:安全管理人员配备、信息系统关键岗位、人员录用、人员离岗、人员考核与审查、第三方人员管理等。
信息安全人员的配备和变更情况,应向上一级单位报告、备案。
信息安全人员调离岗位,必须严格办理调离手续,承诺其调离后的保密义务。涉及公司业务核心技术的信息安全人员调离单位,必须进行离岗审计,并在规定的脱密期后,方可调离。
5.4系统建设管理
信息系统的安全管理贯穿系统的整个生命周期,系统建设管理主要关注的是生命周期中的前三个阶段(初始、采购、实施)中各项安全管理活动。
系统建设管理分别从工程实施建设前、建设过程以及建设完毕交付等三方面考虑,具体包括系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、等级测评和安全服务商选择十一个控制点。
5.5系统运维管理
目的是保障信息系统日常运行的安全稳定,对运行环境、技术支持、操作使用、病毒防范、备份措施、文档建立等全方位管理。包括用户管理、运行操作管理、运行维护管理、外包服务管理、有关安全机制保障、安全管理控制平台等方面的管理要素。
对运行过程的任何变化,数据、软件、物理设置等,都应实施技术监控和管理手段以确保其完整性,防止信息非法复制、篡改,任何查询和变更操作需经过授权和合法性验证。
应急管理也是运维的重要内容,目的是分析信息系统可能出现的紧急事件或灾难,建立一整套应急措施,以保障核心业务的快速恢复和持续稳定运行。应急计划包括应急处理和灾难恢复策略、应急计划、应急计划的实施保障等管理要素。
在海南省电网公司统一的应急规划下,针对信息系统面临的各种应急场景编制相应的应急预案,并经过测试演练修订,同时宣传普及。
5.6物理安全
目的是保护计算机设备、设施(含网络)以及信息系统免遭自然灾害和其他形式的破坏,保证信息系统的实体安全。
有关物理环境的选址和设计应遵照相关标准,配备防火、防水、防雷击、防静电、防鼠害等机房措施,维持系统不间断运行能力,确保信息系统运行的安全可靠。
对重要安全设备的选择,需符合国家相关标准规范,相关证书齐全。
严格确定设备的合法使用人,建立详细运行日志和维护记录。
5.7网络安全
目的是有效防范网络体系的安全风险,为业务应用系统提供安全、可靠、稳定的网络管理和技术平台。
对于依赖网络架构安全的业务应用系统,需根据其安全级别,实施相应的访问控制、身份认证、审计等安全服务机制;在网络边界处,需根据资源的保护等级,实施相应安全级别的防火墙、认证、审计、动态检测等技术,防范信息资源的非法访问、篡改和破坏。
5.8主机安全
主机安全包括服务器、终端/工作站等在内的计算机设备在操作系统及数据库系统层面的安全。终端/工作站是带外设的台式机与笔记本计算机,服务器则包括应用程序、网络、web、文件与通信等服务器。主机承载着各种应用,是保护信息安全的中坚力量。
主机安全需着重关注和加强身份鉴别、访问控制、恶意代码防范、安全审计、入侵防范几个方面,同时定期或不定期的进行安全评估(含渗透性测试)和加固,实时确保主机的健壮性。
5.9应用安全
应用安全成是信息系统整体防御的最后一道防线,目的是保障业务应用系统开发过程及最终产品的安全性。
在应用层面运行着信息系统的基于网络的应用以及特定业务应用。基于网络的应用是形成其他应用的基础,是基本的应用;业务应用采纳基本应用的功能以满足特定业务的要求;故最终是保护系统的各种业务应用程序的安全运行。
应用系统的总体需求计划阶段,应全面评估系统的安全风险,确定系统的访问控制、身份认证、审计跟踪等安全需求;总体架构设计阶段,应实施安全需求设计,确立安全服务机制、开发人员技术要求和操作规程;应用系统的实现阶段,应全程实施质量控制,防止程序后门,减少代码漏洞;在上线运行之前,应充分进行局部功能、整体功能、压力测试,以及系统安全性能、操作流程、应急方案的测试。5.10数据安全及备份恢复
信息系统处理的各种数据(用户数据、系统数据、业务数据等)在维持系统正常运行上起着至关重要的作用。由于信息系统的各个层面(网络、主机、应用等)都对各类数据进行传输、存储和处理等,因此,对数据的保护需要物理环境、网络、数据库和操作系统、应用程序等提供支持。
数据备份也是防止数据被破坏后无法恢复的重要手段,而硬件备份等更是保证系统可用的重要内容。附 则
本标准由海南电网公司信息通信分公司负责解释。
医院信息系统安全防控策略 篇3
[关键词]医院;信息系统;安全防控;策略
[中图分类号]TP393.08
[文献标识码]A
[文章编号]1672—5158(2013)05—0431—01
1医院中心机房安全防控建设
1.1服务器安全架构
为了确保承担数据库服务器的小型机能持续不断提供服务,提升医院信息系统整体稳定性,可以采用将两台小型机经由心跳连接的方式来组建双机热备架构,并将磁盘阵列存储系统也使用双阵列镜像结构,存储系统和小型机之间经由SAN交换机来进行数据交换。使用双机热备系统架构,不管是对系统进行维护需要重启另一台服务器,也不必在人工干涉情况下完成自动接管系统,提供持续服务,确保用户端使用的持续性。
1.2机房电源系统安全架构
为了提升医院中心机房供电系统运转的稳定性、安全性,可以采用两台UPS冗余架构,可以采用并联冗余或者是串联冗余,采用双UPS冗余架构能够确保一台能持续提供稳定的电源,如果是另外一台出现故障的话,也不会出现医院中心机房断电的情况,确保电源系统稳定性。
2网络系统安全防控建设
2.1核心交换层架构
医院核心交换层架构,可以考虑采用2台核心交换机来建设核心交换层的冗余模式。在该架构下,如果是一台核心交换机出现故障的话,另外一台还能实现全负荷工作。此外,主干网络链路方面也需要建设冗余模式,也就是汇接设备与主干设备间的链接需要使用线路冗余方式。当主干网络中的线路出现故障情况下,可以充分采用冗余线路,能正常进行数据传输。
2.2科学划分网络安全系统
医院网络是大型复杂网络系统,为了能确保医院整个系统的安全运转,需参照组网技术将业务网络分为三层,分别是接人层、汇聚层与核心层,分别使用接人层交换机、汇聚交换机以及核心交换机等设备,并且将网络规划成多个VEAN,这样能让每一个VLAN组建逻辑子网,做到覆盖多个网络设备,让不同地理位置的用户能加入到该逻辑子网内。之所以划分VLAN是为了控制网络的广播风暴,控制逻辑网段大小与客户访问权限等,大大提升交换式网络安全性与整体性能。除了使用网络技术外,还可以将医院中的网络系统根据使用功能,分为内网与外网,对内网与外网进行安全分离,避免出现互联网与医院业务网混搭的情况,杜绝医院医疗数据经由互联网外泄,禁止外部非法用户入侵医院内网进行非法破坏。
3用户端系统安全防控建设
用户端涉及到的人员比较多,包含医生、技师、护士、收费人员等,每一个人的使用权限存在差别,对电脑使用方式上也不一样,这就需要做好用户端电脑的日常维护工作。首先,对医院内网的终端安装病毒查杀软件,并且定期进行木马、病毒查杀,与此同时,用户端的个人电脑需要安全桌面终端管理系统,便于医院电脑信息技术人员能对用户端电脑进行监控与管理。其次,对于接人到医院内网的所有终端计算机,全部拆掉光驱,并且禁用移动存储设备,避免因为使用外接设备,造成木马、病毒的入侵。最后,还需要做好对系统盘备份工作。可以采用Ghost软件来制作系统盘镜像,便于用户端个人计算机因为感染病毒或者是计算机系统崩溃的情况下,能快速恢复到工作状态。
总之,医院信息系统安全防控建设,对确保医院正常运转起到保驾护航的作用。为此,采取医院中心机房安全防控建设,网络系统安全防控建设,用户端系统安全防控建设等防控措施,从根本上提升医院信息系统的安全水平,推动医院信息安全建设再上一个新台阶。
参考文献
[1]武志红.医院信息系统的安全维护措列[J]中国医学装备,2009(01)
[2]丁振波.浅论医院信息系统的安全管理[J].今日科苑,2009(06)
信息安全策略 篇4
我院是一所综合性三级甲等医院,医院信息系统历经10多年的努力已完成了门诊、住院HIS、LIS、PACS、麻醉手术管理、输血管理等系统建设,建成了拥有3500多个信息点、1800多个终端工作站的有线和无线局域网络系统。医院网络已覆盖门诊、住院、检查、检验、治疗、实验室及管理部门(科室)。软件及相关系统也多次升级改造,已建成一套基于医院信息系统应用的服务于医、教、研、管理、办公的全流程、多系统、网络化的体系。系统的安全性将直接影响到医疗活动能否正常运作。因此,建立一个完整的安全体系,显得越来越重要。许多医院曾经因此蒙受过巨大的损失,为了有效避免网络灾难的发生,我们有针对性的从理论与实践的角度进行了初步的探索和研究,逐步形成了一套实用、有效的安全管理体系,取得了较好的效果。
根据《信息安全技术信息系统安全等级保护基本要求》,结合医院实际,制定了我院信息系统安全策略:实体可信,行为可控,资源可管,事件可查,运行可靠的原则。
1 依据及技术
《计算机信息系统安全保护等级划分准则》GB17859-1999、《中华人民共和国计算机信息系统安全保护条例》、《信息安全技术信息系统安全等级保护基本要求》GB/T 22239—2008。防恶意代码技术:主要通过防毒、终端防护等手段实现;数据防护技术:主要通过终端防护、数据防泄露、数据加密等手段实现;PC生命周期管理:通过资产生命周期管理产品,配合采购、使用、维护、报废等资产管理各环节的操作流程,进行标准化、流程化管理;通过身份认证、备份恢复等技术手段加强终端安全的管理;网络访问控制:主要是通过终端的网络准入机制进行策略遵从和强制策略执行,并实施网络接入的控制;通过防火墙、隔离网闸实现网络不通安全区域分隔;管理和报告问题:通常需要建立一个安全管理平台将上述技术手段、产品相关的事件、日志等进行集中收集和分析,形成综合性的管理性报告,满足管理需要。
2 总体框架
任何一个安全工作的落实,都依赖于组织(人)、技术、流程作为支撑。结合医院的实际情况,我们提出了从网络、系统、数据,终端的行为,以及整体管理几个方面的全方位安全总体规划框架(图1),并提出了相应的规划内容。
3 安全策略内容
3.1 机房及物理线路安全
机房的设计和管理要符合国家规范。建立较为完善的机房监控设施,包括:门禁、供电、漏水、温湿度等,设置警戒值并能通过声、光及短信报警。机房应采用两路供电系统,设置专用配电箱,与其它负荷应分别供电。主机房配备的不间断电源(UPS),保证8h的后备供电量。还须做好防火、防雷、防静电和接地工作,确保机房安全。在各栋的楼层设置专用配线间,专人负责管理,主干光缆冗余布放。
3.2 网络安全与准入控制
遵循安全分区、横向隔离、纵向认证的原则。内网与外网应用(医保、新农合等),使用防火墙、IDS(入侵检测)、隔离网闸设备,实现网络访问控制、流量及连接数控制、内容过滤、入侵检测、VPN(虚拟专用网)接入。院区局域网为3层架构,交换机均为cisco产品。按科室(部门)及工作站用途(如医生、护士、财务)规划ip地址和vlan,在核心交换机上配置多生成树协议(Multiple Spanning Tree Protocol,MSTP)+GLBP(Gateway Load Balancing Protocol,网关负载均衡协议)进行vlan融合和逻辑隔离,在接入层交换机上进行cisco的端口安全配置,当MAC地址改变时,端口将自动变迁为shutdown状态,阻止非授权设备接入内部网络,实现不同安全区域的独立化、差异化防护。
通过用户名+口令和标准的RADIUS服务器配合,完成对用户的身份认证的强制检查。进行基于角色的访问控制技术,实现用户的分级管理及系统管理员、安全管理员与审计管理员的三权分立。通过终端准入控制、Windows2003的活动目录或RADIUS服务器来控制第三方合作人员准入。
3.3 系统及应用安全
虚拟机服务器的管理已经成为服务器管理中很重要的一部分,通过虚拟机管理解决方案,通过统一的平台架构对于VMWARE ESX进行统一有效的管理,将虚拟机服务器管理纳入服务器管理规范中。
内部网络部署Symantec™Endpoint Protection 12.1基于特征的防病毒和反间谍软件防护。它提供代理端,通过管理控制台即可进行管理,从而简化端点安全管理,如策略更新、统一的集中报告及授权许可和维护计划。使用威胁防御能力,能够保护端点免遭目标性攻击以及之前没有发现的未知攻击。使用主动防御,从而建立一个覆盖全网的、可伸缩、抗打击的防病毒体系。建立统一部署、统一管理的个人防火墙,个人防火墙依据应用程序、主机ip地址及vlan、通讯特征,制定过滤规则,阻止/容许端口和协议进出。利用个人防火墙技术,一方面可以防止病毒利用漏洞渗透进入终端,另一方面,可以有效地阻断病毒传播路径。在核心交换机上将各vlan转发的数据包镜像到入侵检测系统(IDS)上,入侵检测和防火墙设备联动,产生自动阻断识别的攻击行为和误操作,这样即实现了各网段黑客攻击行为的检测,也及时对重要区域的攻击行为进行阻断。定期对相关日志进行收集、审计、分析,以发现系统的脆弱性和漏洞。定期进行安全检查、风险分析和安全隐患整改。
配置主域、备份域服务器,应用Windows2003的活动目录,根据科室(部门)及工作站用途及用户角色,建立域树、域,规划组织单元,建立组策略规则,利用组策略管理组织单元中的用户,实现应用程序的统一部署,保证各类工作站具有统一的用户界面、统一的应用软件版本,同时软件限制策略可以防止计算机环境中被安装运行未知的或不被信任的软件(阻止通过exe文件进行软件安装;阻止终端透过msi文件进行软件安装);并能实现补丁的统一发布。
3.4 数据备份与容灾
对数据库采用日备份、差量备份策略,将生产数据库数据备份到带库中,即便当天数据出现了错误的情况下仍然可以将数据库恢复到前2小时的状态,保障将数据损失控制在最小情况;建立在线存储、近线存储和离线存储的三级存储机制,每天将30天前的生产数据转储到近线存储和离线存储阵列中,这样既保证了历史数据的安全,也确保了新增数据存储的高效响应。在院区相距1500米的另1楼体内,建设双活应用级容灾被用机房,以保证医院24h系统不间断运行。
3.5 资产管理与运维
建立运维管理系统,对终端以及服务器进行全面管理,从购买到部署、使用到管理,维护到报废。控制台可对资产变更自动监控,及时反映资产变化状况,能实现全面的收集,快速统计分析,快速生成满足各个部门所需要的资产报表,为资产评估以及更新提供依据。资产信息自动收集(如计算机硬件信息、安装的软件包、操作系统配置等),可协助实现终端以及服务器管理的合规性、可管理性。同时,也作为故障申报平台,记录申报的设备故障、维修维护结果记录,从而建立运维知识库,提高信息设备资产的维护、管理效率。
3.6 安全管理组织机构
建立以信息主管副院长为负责人、信息中心为安全技术实施、管理负责、科室设置安全管理员的三级安全组织机构,坚持“谁主管谁负责,谁运行谁负责”的原则。
3.7 安全管理制度
我院制定了一套较为健全完善的安全管理制度建立并有效执行,安全管理制度包括:《信息中心岗位职责》、《信息中心保密制度》、《信息中心值班制度》、《中心机房管理制度》、《信息中心设备管理制度》、《信息系统设备维修流程》、《信息中心网站管理办法》、《信息系统查询统计功能和规定》、《信息系统安全巡检制度》、《信息系统人员权限设置制度》、《医院信息变更与发布管理制度》、《计算机信息资源共享管理制度》、《个人桌面终端管理办法》、《医院计算机网络安全管理制度》、《信息中心应急预案》等,从组织和制度上强化安全管理。
4 结束语
我们清楚的认识到,无论所使用安全技术有多先进,都只是实现信息安全的手段而已,三分技术,七分管理,信息安全源于有效的管理,为此,我们建立了信息安全管理机构,坚持“谁主管谁负责,谁运行谁负责”的原则;坚持决策层参与信息安全管理工作,建立健全了安全管理制度,它是计算机网络安全的重要保证,需要不断加大计算机信息网络的规范化管理力度。我们也清楚的认识到信息安全建设、管理工作要坚持从实际出发,区分不同情况,分级、分类、分阶段进行信息安全建设和管理。加强各工作站操作人员的教育和培训,在医务人员中普及安全知识,对安全管理人员进行专门培训和考核。只有从安全技术、安全服务、和安全管理三个方面高度重视,不断提高,才能保障医院信息系统健康稳定的运行。
参考文献
[1]杨俊志.医院信息系统安全体系建设实践[J].医学信息.2011.
[2]GB50174-2008.电子信息系统机房设计规范.[S].
[3]GB9361,计算站场地安全要求[S].
[4]GB2887.计算站场地技术条件[S].
[5]曾凡.医院信息系统安全策略中值得关注的问题[J].重庆医学.2009.
[6]李娜,卢沙林.军队医院网络信息系统的安全分析[J].计算机与现代化.2011.
[7]胡建理,李小华,周斌.医院信息系统安全保障策略探析[J].中国数字医学.2010.
[8]王越,杨平利,李卫军.涉密计算机信息安全管理体系的设计与实现[J].计算机工程与设计.2010.
[9]王保中,庄军,刘侃等.应用活动目录加强医院网络管理[J].医疗卫生装备.2008.
网络与信息安全策略 篇5
信息化是当今世界发展的大趋势,也是我国面临的重大发展机遇。
大力推进信息化,以信息化带动工业化,以工业化促进信息化,走新型工业化道路,是全面建设海峡西岸经济区、构建和谐社会的必然选择。
网络与信息安全工作是数字福建建设的重要组成部分。
加快建设与数字福建发展水平相适应的福建省网络与信息安全保障体系,对维护国家安全和社会稳定,保障公民合法权益,促进数字福建健康、有序发展具有重要意义。
二、福建省网络与信息安全的现状与挑战
“十五”期间,福建省信息安全保障整体布局已初步形成,信息安全基础性工作和基础设施建设取得了显著成绩,信息安全产业初具规模。
目前,福建省已建成了福建省电子商务认证中心、省政务数字认证中心和密钥管理中心,发放了13万张企业数字证书和4400多张电子政务数字证书;建成了省政务信息网和国际互联网安全监控中心,实现对政务网和互联网的安全监控;利用密码技术在省政务信息网上建成覆盖全部省直单位的省政务网涉密子网,确保联网单位之间秘密信息的安全通信;建成全省保密系统的信息网络及其网络安全防范体系,防止国家秘密信息的泄漏;建成了数字福建数据灾难备份中心。
信息安全管理体制和工作机制逐步建立,信息安全责任制基本落实;信息安全等级保护、信息安全风险评估、信息安全产品认证认可、信息安全应急协调机制建设、网络信任体系建设、信息安全标准化制定等基础性工作和基础设施建设取得较大进展;信息安全问题受到了福建全省人民的普遍关注,民众对信息安全的理解和认识更加深入全面。
总的来看,通过全社会的共同努力,一种齐抓共管、协调配合的有效机制基本形成,信息安全保障工作的局面已经打开。
但从总体上看,福建省的信息安全防护水平还不高,与国际水平和先进省份相比还有一定的差距,网络与信息系统的防护水平依然有限,应急处理能力还不强;信息安全管理和技术人才还比较缺乏,信息安全法律法规还不够完善;信息安全管理还比较薄弱,面临的风险和威胁仍然比较突出。
随着数字福建的进一步推进,海峡西岸经济区建设对信息化的依赖程度将进一步提高,网络与信息安全的问题将摆上更重要的议事日程。
福建省将充分利用已有的信息安全保障资源,按照中央提出的“确保国家经济安全、政治安全、文化安全和信息安全”的要求,加快建设数字福建网络与信息安全保障体系,以保障和促进国民经济和社会信息化的持续快速健康发展。
三、网络与信息安全保障体系总体框架
信息安全策略 篇6
关键词:互联网计算机 信息安全 防护 策略
中图分类号:TM73文献标识码:A文章编号:1674-098X(2013)05(a)-0176-01
当今的互联网已经与生活密不可分,从开始使用至今已经逐渐的深入到生活、社会以及经济社会中,并依旧引领着社会的变革。互联网作为一种信息传播的重要媒介,为此保证信息传播的安全就成为了一个重要的难题。安全机制的建立不仅仅是政府监管部门的职责,同时也必须配合是社会监督才能充分的保证信息安全。
1 信息安全的目标
信息安全的指的是指位于软件、系统以及网络中的数据可以在保护下而免受恶意或者是偶然的更改、破坏以及泄露,从而保证系统的连续可靠以及服务质量。进行信息系统安全防护的目的就是对可能被破坏以及侵犯的挤密信息进行有力的保护而免受非法的使用。在信息安全中被给予保护的有数据、信息、数据域信息的处理服务以及通信设备与设施。要达到的具体目标可以分为三方面。
保密性。保密性指的是信息在非授权的情况下不能泄露给其他人、实体,或者是提供其利用特性。这一特性强调信息只能被授权对象所使用。
完整性。在保密性的基础上还要求信息在交换、传输以及存储的过程中要保持数据、信息免于破坏、修改以及丢失等,从而保证信息的原样性,实现信息的正确生成、存储以及传输。
可用性。可用性主要是保护被授权用户可以正确访问,从而实现正常使用,这也是衡量网络信息系统面向用户的一种安全性能。
可控性。可控性指的是在网络系统中的信息传播可以被有效的控制,从而实现任何信息在一定范围或者存放空间中可控。一般采用的形式主要为传播站点以及传播内容的监控,其中加密码的托管政策最为典型。而当加密算法由第三方交管理时要严格的按照规定予以执行。
不可否认性。这一性质指通信的双方在进行信息交互过程中要确信参与者以及参与者本身所提供的信息真实性,从而避免所有参与者抵赖自身身份的真实性、信息的原样性以及承诺。
2 信息安全防护策略
信息安全策略为信息安全提供了一系列的规则,而要实现信息安全既要依赖于先进的技术,同时也要依靠严格管理、安全教育以及法律约束。尽管当下互联网信息安全受到威胁但是如果采取了行之有效的信息安全系统,借助于有效地信息保护措施就可以极大地提升信息安全性。
2.1 数据加密
数据加密借助于加密密匙或者是加密算法将明文转化为密文,而解密是以上操作的逆过程,常用的数据加密方法有两种,即对称加密与不对称加密。其中对称加密是信息传输双方使用同一个密匙进行加密与解密,例如常用的DES及其变形、高级加密标准AES衱IDEA等。而非对称加密使用了不同的密匙分别加密与解密,例如常用的RSA、椭圆曲线密码算法、ELGamal等。这种方法是目前较为可靠的信息保护方法,借助于密码技术可以有效地保护信息安全。
2.2 身份认证
认证的目的是确认被认证对象是否属实、有效。其对象可以使指纹、口令、密码、声音以及视网膜等。这一技术主要用于通信双方相互身份的确认,例如常用的用户名/密码方法、动态口令、智能卡认证、USBKey认证以及基于生物特性认证等。这一管口作为网络安全的第一屏障,具有举足轻重的意义。
2.3 数字签名
数字签名目前主要应用于电子交易,是一种使用公钥加密的一种技术。这种技术通常定义两种互补的算法,分别用于签名与验证,从而有效地避免抵赖、伪造、篡改以及冒充等问题。
2.4 入侵检测
入侵检测可以对计算机系统受到的未授权或者异常操作而发出报告的一种技术,主要用于检测网络中的违反安全的行为。计算机借助于入侵检测系统可以发现任何的不该有的活动,从而限制异常操作,保护系统安全。为此在进行校园网络安全维护中可以采用混合如侵检测技术,从而构造完整的主动防御体系。
2.5 访问控制
访问控制仅允许被授权的用户才有资格进行访问,从而保证网络资源不被非法使用、访问。这一技术主要应用于系统管理员对用户进行的访问控制,从而保证服务器、文件以及目录等的安全。
此外还有漏洞扫描系统,通过执行脚本发现并完善漏洞;网络病毒的防范要使用全方位的防病毒产品,并通过定期、不定期的自动升级进行完善;数据备份也是防止系统故障、操作失误而导致数据丢失的有力手段。最后还可以借助于信息伪装将有用的真实信息伪装成无关信息,从而难以让不法用户发觉。
3 完善信息安全保障机制
安全保障机制的完善要首先强化有关立法,逐步改变立法缺乏系统性问题。为此可以出台一些单行法、信息安全基本法,从而弥补互联网信息基本法的空白;其次要明确互联网监管工作的政府职责,其职责不仅包括对信息安全法律法规的监管,同时也要针对暴露出来的弱点进行补充,并当好指导者与指挥者的班;最后还要通过建立统一的管理机构、权威性的咨询委员会,其中委员会负责参谋与质询。通过这一手段将分散于公安部、安全部以及信息产业部等部门的制定权集中到一个管理机构。
4 结语
随着计算机网络技术的发展,网络安全面临的挑战也是层出不穷,与此同时信息安全问题所带来的损失也随之增加。总之,计算机网络的普及着实为广大的用户带来了极大的方便,为了保障用户的信息安全要更加注重互联网计算机信息安全的维护,防止由此为用户带来的损失以及使用上的不便。
参考文献
[1]邹学强,杨海波.从网络域名系统管理权看国家信息安全[J].信息网络安全,2008(9):23-24.
[2]闰宏强,韩夏.互联网国际治理问题综述[J].电信网技术,2007(10):6-20.
企业信息安全策略研究 篇7
1 企业信息安全的意义
网络的发展使得信息的交换和传播变得非常容易,尤其是企业在利用公共通信网络传输信息时会被非法窃听、截取、篡改和破坏,从而给企业带来不可估量的损失,所以重视信息安全问题是十分必要的。
1.1 信息安全是时代发展的需要
计算机网络的迅速发展,使得企业的信息交换和传播越来越依赖网络,网络也改变了传统的商务运作模式,出现了电子商务、信息财务等,也改变了企业的生产方式和思想观念,极大推动企业的发展和企业文化,也把企业和人类带入了崭新的时代———信息时代。同时,企业对信息在储存、处理和传递过程中会被非法窃听、截取、篡改和破坏,信息领域的安全问题变得非常突出,企业越来越关注信息安全问题,信息安全保密成为现代信息安全的重要内容,成为企业信息安全的头等大事。
1.2 信息安全是企业发展的需要
随着信息技术和网络技术的快速发展及广泛应用,如何保护企业内部各种信息数据的安全已成为企业活动中一项艰巨且长期的任务。当前越来越多的企业信息和数据包括许多敏感信息或机密数据,都是以电子文档的形式存在,对企业来说,安全是艰巨的工作,关系到企业的发展。所以,要注重前瞻性和预见性,要充分预见可能发生的各种威胁、攻击及所造成的损失,在积极防御、综合防范的方针指导下,有效地防范和规避风险,建立起一套切实可行的长效防范机制,逐步建立起基于自主知识产权的网络基础设施、操作系统、中间件、关键芯片技术之上的信息安全保障体系,以适应企业发展的需要。
1.3 信息安全是企业稳定的必要前提
目前企业信息安全工作还处于起步阶段,基础薄弱,存在一些亟待解决的问题。信息安全面临的形势还很严峻,因此,信息安全成为保障和促进企业稳定和信息化发展的重点。要充分认识信息安全工作的紧迫性和长期性,从企业的安全、经济发展和企业的稳定和保护企业利益的角度来考虑问题,扎扎实实地抓好基础性工作和基础设施建设,在建立信息安全保障体系的过程中,搞好链接信息安全保障体系建设安全、建设健康的网络环境,关注信息战略,保障和促进信息化的健康发展。
2 威胁企业信息安全的根源
信息时代的到来,从根本上改变了企业经营形式,尤其是2004年以后,来自网络的威胁呈现出多样性,病毒成为威胁计算机安全的帮凶,间谍软件的危害甚至超越传统病毒,非法窃取和利用信息,给企业造成直接经济损失;制造和传播计算机病毒,破坏系统数据和系统正常运行等,成为企业信息安全的最大威胁,使企业信息安全存在风险因素。
2.1 病毒威胁
计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据影响计算机使用,并能自我复制的一组计算机指令或者程序代码。计算机病毒实质上是一些恶意的计算机软件程序,它们往往趁人不备进入到计算机系统,破坏数据或者干扰系统的正常运行,严重者甚至造成系统瘫痪。就像生物病毒一样,计算机病毒有独特的复制能力,能够发生变异,导致新的病毒产生。随着Internet技术的发展,企业网络环境的日趋成熟和企业网络应用的增多,病毒感染、传播能力和途径也由原来的单一、简单而变得复杂、隐蔽,尤其是Internet环境和企业网络环境为病毒传播、生存提供了环境。
2.2“.黑客”攻击
“黑客”是英文Hacker的谐音,黑客是利用技术手段进入其权限以外的计算机系统的人。是利用计算机系统、网络协议及数据库等方面的漏洞和缺陷,采用后门程序、信息炸弹、拒绝服务、网络监听、密码破解等手段侵入计算机系统,盗窃系统保密信息,进行信息破坏或占用系统资源,黑客攻击已经成为近年来经常出现的问题。
2.3 网络攻击
网络攻击就是对网络安全威胁的具体体现,由于系统脆弱性的客观存在和Internet本身所具有的开放性和共享性,操作系统、应用软件、硬件设备不可避免地存在一些安全漏洞,这些都为攻击者采用非法手段入侵提供了可乘之机。
3 企业信息安全策略
为确保企业信息安全,要坚持积极防御、综合防范的方针,全面提高信息安全防护能力,企业采用加密、认证、授权、通道安全策略,重点保障计算机基础信息网络和重要信息系统安全,创建安全健康的网络环境,保障和促进信息化发展,保护企业利益,维护企业安全。
3.1 认证与密钥管理技术
认证技术主要用于防止对系统进行的主动攻击。目的是验证信息的发送者是合法的和完整性,即实体认证,包括信源、信宿的认证和识别,验证数据在传输和存储过程中是否被篡改、重放或延迟。通常采用身份识别技术,零知识证明识别技术和密钥管理技术,而企业认证密钥管理技术就是采用不同密钥进行加密和解密,使信息安全管理变得简单,解决了企业安全管理体制模式中存在的管理、传输的可靠性问题和鉴别问题。
3.2 PKI公钥基础设施原理
PKI是一个用公钥概念与技术实施和提供安全服务的普通使用的安全基础设施,是一个为综合数字信息系统提供广泛需要的加密和数字签名服务的基础设施,企业PKI公钥主要是管理密钥和证书,基本功能是为企业信息管理提供身份认证、机密性、完整性和不可否认服务,即签发认证、注销认证、证书的取得、解读和验证,所有企业信息安全的操作都要通过证书来实现。
3.3 防火墙与入侵检测技术
防火墙是一种非常有效的网络安全技术,是企业系统安全的第一道屏障,在企业系统安全方面起着关键性作用。防火墙用于加强网络间的访问控制,防止外部用户非法使用内部网资源,保护内部网络的设备不被破坏,防止内部网络的敏感数据被窃取。防火墙系统还决定了哪些内部服务可以被外部访问,外界的那些人可以访问内部的服务,以及哪些外部服务可以被内部人员访问。通过它可以隔离风险区域与安全区域的连接,同时不会妨碍安全区域对风险区域的访问。入侵检测技术是一种增强系统安全的有效办法,对系统资源的非授权使用能够做出及时判断、记录和报警,能检测出系统中违背系统安全性规则或者威胁系统安全的活动,通过对企业系统中用户行为或系统行为的可疑程度进行评估,并根据评估结果来鉴别系统中行为的正常性,从而帮助系统管理员进行安全管理或对系统所受到的攻击采取相应的对策。
3.4 IP安全与WEB安全
为了加强Internet的安全性,从1950年开始IETF制定了一套用于保护IP通信安全的IP安全协议,IP安全协议维系整个TCP/IP协议的体系结构,提供具有较强的互操作能力、高质量和基于密码的安全功能,通过支持一系列的加密算法确保通信双方的机密性。WEB是运行在Internet和TCP/IP Internet之上的基本客户—服务器应用。WEB具有双向性,实现端对端的安全、虚拟专用网络和安全隧道的计算。
总之,企业要适应现代化发展的需要,要提高自身信息安全意识,加强对信息安全风险防范意识的认识,重视安全策略的施行及安全教育,做好信息需求分析和评估,为企业设计适合实际情况的安全解决方案,制定正确和采取适当的安全策略和安全机制,保护企业信息的完整性、保密性、可用性、不可否认性、可控制性,保证企业安全体系处于应有的健康状态。
参考文献
[1]项菲,林山.中小企业信息安全策略研究[J].电脑知识与技术,2009(1):325-326.
[2]张帆.企业信息安全威胁分析与安全策略[J].网络安全技术与应用,2007(5):66-67.
信息系统数据安全策略探讨 篇8
随着通信技术的发展, 计算机信息系统体系变得越来越庞大, 也更加的复杂, 信息系统的数据一旦丢失或遭到破环, 会对使用信息系统的企业或个人造成重大的损失。因此, 要求系统管理或设计人员必须具备相应的安全策略和整体的安全解决方案, 才能不断提供安全的保证。
一、信息系统数据安全隐患
目前, 随着大中型关系数据库的广泛使用, 在信息系统中开发模式逐渐以C/S、B/S架构和多层的应用系统为主流。这些信息系统的共同特征为:用户在终端机上直接或通过中间层的应用服务器来访问数据, 而数据则集中存放在数据库中。利用这些信息系统固有的弱点和脆弱性, 信息系统中的具有重要价值的信息可以被不留痕迹地窃取, 非法访问可以造成系统内信息受到侵害, 存储媒质失控, 数据可访问性降低等。
二、信息系统数据安全的原则
信息系统数据安全策略是一个网络安全程序目标的高层计划, 体现了网络安全的方方面面。在一个特定的环境里, 为保证提供限定级别的安全保护, 就必须遵守一些规则, 不仅要靠先进的技术, 还要靠严格的管理、法律约束和安全教育, 可以说安全策略是一种思想、一种责任, 也是一种权限、选择与行动。着重考虑以下原则:
(1) 最小访问权限原则。将执行任务所需要的访问权限约束在最小适用的范围内。
(2) 整体性原则。既要保证系统内部的稳定性、安全性, 也要保证系统间的友善性和互联、互通、互操作性, 避免有价值信息的泄漏, 避免己方受到外界的恶意攻击。
(3) 分区原则。通过在信息系统的各部分建立隔离带来试图阻止破坏的将一步扩散。
(4) 实用性原则。网络的安全系数越高, 就需要付出越高的代价。对网络安全的追求必须与网络服务高效灵活和应用成本之间寻求一个最佳平衡点。
三、信息系统数据安全策略
1、信息系统容灾策略
它包括本地容灾策略、异地容灾策略、系统管理和系统恢复策略等。容灾的主要手段是容错, 利用外加资源的冗余技术来达到掩蔽故障的影响, 从而自动地恢复系统或把危害降到最低。容错是依靠外加资源的方法来换取可靠性的。
2、隔离策略
网络隔离技术的目标是确保隔离有害的网络攻击, 保证网络内部信息不外泄的前提下, 完成网间数据的安全交换。分为逻辑隔离和物理隔离两种。
(1) 逻辑隔离。目前路由器、虚拟局域网VLAN、防火墙是当前主要的网络分段的主要手段。防火墙就是一种典型的逻辑隔离技术。其主要手段有两种:一种是分组 (包) 过滤技术;一种是代理技术。 (2) 物理隔离。网闸技术是一个好的选择。网闸是连接两个独立网络系统的信息安全设备。网闸在任一时刻只与其中一个网络系统联接, 可以从物理上隔离、阻断具有潜在攻击可能的一切连接, 使的信息系统不被入侵, 实现了真正的安全。
3、系统存储备份策略
对数据进行备份, 就要保证数据备份的频率、以及备份介质上数据的保存时间符合预期设计的目标。数据备份有多种方式:完全备份、增量备份、差分备份、按需备份等。在多数信息系统中, 数据分布集中、数据量较大、备份的服务器较多, 采用增量备份与完全备份相结合的备份策略比较适合。理想的数据备份系统应该是全方位、多层次的, 不仅能够有效地防止物理损坏, 还能够比较好的防止逻辑损坏。
4、访问控制技术策略
将信息数据分层次和等级进行保护。建立数据的安全等级, 为防止用户的越权访问, 我们只赋予用户所需的最小权限。使用分级授权的体系, 可以减轻系统管理人员的负担。角色分配和独立的分配权限策略, 将分配权和使用权彼此独立开来, 从某中角度讲, 是对系统管理人员的一种限制。采取一系列的措施来降低风险, 以便在一层防御不够时, 另一层防御将会阻止风险的近一布扩大。访问控制主要手段是身份认证, 必要时可将密码技术和安全管理中心结合起来, 实现多重防护体系, 防止内容非法泄漏。由此可以将攻击和人侵造成的威胁分别限制在较小的区域内, 提高网络的整体安全水平。
5、数据加密策略
信息系统的数据加密常用的方法有链路加密、端点加密和节点加密三种。对于网络信息和电子文件具体加密的方法很多, 如名称加密、内容加密、属性加密、形式加密等, 但这些措施都只是加大对它们进行更改或解密的难度。采用有效的信息加密措施, 可使攻击者不能了解、修改敏感信息, 即使这些重要信息被截获, 也不至于泄密, 或者延缓泄密的时间。用户可根据网络情况, 酌情选择上述加密方式。
四、结束语
信息系统的数据安全涉及到很多方面, 不但要求系统具有一套周密、有效的安全防范体系, , 而且要制定完善的信息安全管理措施, 建立从上而下的信息安全培训体系, 根据科学的网络安全策略, 定期进行风险评估/分析和审计, 才能确保信息系统数据的安全有效性。因此, 认清网络的脆弱性和潜在威胁, 采取强有力的安全策略, 对于保障网络的安全性将变得十分重要。
摘要:如今信息系统应用已经非常广泛, 各种业务的运行和控制, 更加紧密的依赖于计算机的信息系统。人们使用的信息数据量成爆炸形式的增长。保证重要数据安全, 避免造成灾难性的后果, 已成为研究热点之一。数据的安全就显得尤为重要。本文从不同方面探讨了信息系统数据安全的策略, 也提出了自己的看法。
关键词:信息系统,数据安全,备份
参考文献
[1]清华大学出版社, 信息安全风险评估, 2007年。
电力信息系统安全策略研究 篇9
1 电力信息系统安全技术
信息系统是由多个方面共同组成的, 涵盖了电力系统各个环节的主要信息, 在对信息系统进行安全保护的时候必须包含与信息安全有关的所有内容, 需要运用多种不同的信息安全技术。
1.1 密码技术
密码技术是最常用也是最基础最核心的信息安全技术。日常工作中使用的密码体制一般由对称很不对称两种。对称体制的加密和解密密钥是相同的, 只要有密钥就可以读取信息。一般在加密的时候可以单独对每一个比特位进行加密, 这种方式成为流加密, 也可以对多个比特位一起加密, 称为块加密。对称体制的密钥处理速度较快, 但是在共享密钥的时候又涉及到另外一种信息安全问题, 必须有一个安全的交换渠道。非对称密钥算法一般不使用, 处理速度太慢, 应用也不方便。另外还有数字签名的方式来对信息进行加密再进行传递, 现在应该比较广泛。
1.2 防病毒技术
病毒是一种影响范围比较广, 危害比较大的信息安全问题。一般要进行相关的防病毒技术设置, 对信息文件进行保护。首先要对病毒具有识别功能, 及时发现异常文件并进行分析处理;其次要加强对可执行文件请求的检测, 严格检验可执行文件的安全性;另外要有提前保护功能, 对重要文件进行不可写设置, 放置爱安全箱内, 防止被病毒感染。同时要注意对病毒库对更新, 逐渐形成比较完善的病毒防御系统。
1.3 防火墙技术
随着互联网技术的发展, 电力信息系统不可避免要接入网络。在进行网络信息保护中, 最重要的技术就是防火墙技术。它能够有效实现内网与外网的分隔, 能够有针对性的屏蔽一危险网站, 可以满足企业用网需求的同时保护网络信息安全。
1.4 入侵检测技术
随着电力信息系统的入网, 将直接面临越来越多的网络攻击。入侵检测技术一般是作为防火墙的补充技术使用, 能够扩展管理员的管理能力, 不断完善信息安全结构。利用入侵检测技术能够对系统出现的非正常操作进行识别, 及时发现网络攻击现象。并对攻击对象进行锁定屏蔽, 及时制止网络入侵。
2 电力信息系统安全策略
(1) 分区防护, 根据当地电力系统的基本运行状况以及具体的信息安全要求, 将整个系统分为四个主要的安全区:实施控制、非控制生产、生产管理以及管理信息区。然后根据不同是任务特征把所有业务分别放置在对应的安全区内, 从而实现对不同系统不同任务的安全保护。
(2) 电力系统运行中会涉及到电力监控、办公自动化以及信息管理三个并行的系统, 一般采取物理隔离的方式进行隔离;针对信息网络和电力调度数据使用网络也要进行物理隔离, 避免从一种网络向另一种网络的信息侵入。
(3) 为了对不同网络, 不同的系统功能实现对接, 往往在电力系统内部存在大量的接口, 为了防止冗余接口的存在, 需要对系统接口设置相应的识别保护边界, 将不需要使用的接口直接断开, 对于暂时不用的接口要加强安全保护, 避免非法接入造成信息外泄和外来入侵。
(4) 除了系统内部的物理接口外, 在不同网络直接还存在大量的网络接口。这些接口之间的信息沟通一般都是通过服务协议进行连接传递。在信息保护中要合理设置相关网络和系统的配置服务, 尽量减少安全漏洞。严禁使用系统默认设置, 同时要及时进行补丁的更新, 减少系统后门的存在。
3 电力信息系统安全基本框架
电力系统的安全平稳运行对于整个社会的经济发展影响较大。在构建电力信息安全体系的时候首先就是要保证基本安全, 另外要考虑满足电力系统的基本职能要求。安全框架的构建要具体参照电力系统中各类信息的流向以及主要的安全等级和信息网络构架。
3.1 电力信息流
电力系统中的各项信息流通是以物理设备为基础进行的, 对于信息的安全要求程度而言, 整个电力系统中的实时运行状态的监控信息处于安全级别的最高等级, 这些信息的安全直接关系到其他管理信息。生产、销售、财务等方面的信息都是以此为基础, 比自动化信息的安全等级低一些。
3.2 电力信息网络结构
根据电力信息的重要程度的不同, 系统中不同的功能需要使用不同的网络来支撑。电力信息使用的网络主要有三种:信息调度网、电力信息网以及互联网。前两个是电力系统专业的信息网络, 后者是公用外网。首先是依靠信息调度网、电力信息网支撑电力信息系统内部的信息流通, 保证信息安全, 其次在安全前提下将内部信息网络与外部互联网对接, 实现全网信息流通。
3.3 电力信息安全防护工作中的总体的框架结构
如图1所示为现阶段电力信息安全防护工作中使用的总体的框架结构, 由图可知, 在安全防护系统中, 各类信息化应用彼此之间都有相应的安全隔离措施, 内部信息应用与外部网络之间也有防火墙进行隔离, 从而有效保证了整个电力信息系统各方面信息的安全, 构建了完整的信息保护体系。
4 结论
电力信息系统的安全对于电力系统的运行至关重要, 在平时工作中要充分利用各项信息安全技术, 不断提高电力信息系统的安全可靠性。在制定安全策略的时候要不断完善基本安全框架, 不断建立健全电力信息系统安全体系。
摘要:本文简单介绍现阶段在电力信息系统中的主要安全技术和安全策略, 重点分析研究电力信息系统安全基本框架的构建, 从而为后期制定更加科学完善的电力信息系统安全策略提供理论参考, 更好的保障电力信息系统安全。
关键词:电力信息系统,安全策略,基本框架
参考文献
[1]胡炎.电力信息系统安全体系结构化设计方法的研究[D].北京:清华大学, 2003.
[2]陆川, 杨劲涛.信息系统安全与评测策略研究[J].广东水利电力职业技术学院学报, 2006, 4 (02) :52-56.
商业企业信息系统安全策略浅析 篇10
信息化是当今世界经济和社会发展的大趋势, 也是我国实现传统产业升级和加快现代化建设的关键环节。推动国民经济和社会信息化已被确立为我国重要的国家发展战略。二十多年来, 我国商业企业信息技术应用经历了电子结算、单机 (计算机) 管理、网络技术及电子商务等阶段, 已形成了一定的基础, 并开始进入应用普及阶段。
凡事都具有两面性, 商业企业在收获信息化成果的同时, 也应该看到信息化带来的巨大风险, 比如前段时间网上报道《上海超市收银记录被篡改巨额钱财流入“黑客”手》, 类似的信息系统安全事故在商业企业中频频发生, 应该对这类风险安排适当的控制措施。信息系统的风险和系统的应用是伴生的, 风险是永远客观存在的, 怎样防范风险、怎样控制风险, 这是商业企业信息化建设过程中必须应对的问题。本文结合作者从事IT行业的经历和经验, 对商业信息系统面临的安全和风险进行初步分析, 并提出自己初步的应对策略。
二、商业信息系统面临安全风险分析
1. 系统硬件环境风险
商业信息系统的运行, 依赖于特定的硬件环境, 例如各类数据库和网络服务器、局域网络、INTERNET、银行POS终端等等, 这些环境依赖大量的硬件设备, 这些设备自身都存在一定的故障率, 这类故障发生时必然影响信息系统正常运行。经常发生的故障主要有电气机械等方面硬故障、网络通讯异常等通讯故障等。这类故障比较常见, 大多数人也都能理解。
2. 软件环境风险
商业企业信息化实施后, 系统中运行着各类操作系统、数据库引擎、OA系统、POS终端系统、财务以及物流等各类应用系统、各类网络协议和通讯软件等。作为软件系统, 必然存在未被发现的错误隐患, 可能导致账务错乱、数据信息受损等, 以及软件系统的兼容性等风险。此类风险很难预知和检测, 即便经过较长的一段时间的测试运行也难以发现。
3. 网络环境风险
信息技术发展到今天, 网络是最伟大的技术创新, 目前商业企业几乎所有的应用系统都基于网络进行构建, 从内部办公网到电子商务、从财务系统到网上结算, 从物流管理到电子商务, 网络也成为商业企业提升服务质量、扩宽营销渠道的一个重要的手段。网络的大量应用, 也带来了大量的风险, 例如黑客、病毒等等。应当说, 网络环境风险在商业企业面临的信息系统风险中占的比重最大, 主要包括黑客攻击、数据篡改、病毒传播、蠕虫攻击、垃圾邮件泛滥、敏感信息泄露等。
4. 信息管理风险
管理风险是指由于管理体制的偏差、管理制度的不完善导致具体管理过程中出现漏洞而给计算机及网络系统带来的额外的风险。
(1) 体制风险
所谓体制风险, 主要是指在管理上缺乏统一的组织和领导所引发的风险。在信息管理方面往往只注重计算机在商业信息化业务中的应用, 过分强调科技的服务职能, 而忽略了计算机安全管理工作, 忽视监管。信息部门人员单兵作战, 除了承担业务软件的推广应用, 还要负责设备的维护与管理, 往往是顾此失彼。各业务职能部门还没有将计算机安全作为一项重要工作来抓, 计算机风险管理几乎是一片空白。
(2) 制度风险
所谓制度风险, 主要是指在商业信息化中, 由于制度制定有漏洞或执行不到位所造成的潜在风险。网络安全运行管理、密码专人管理、操作员管理、数据备份媒体存放管理等制度还有待于进一步完善。
(3) 人员素质风险
所谓人员素质风险, 主要是指因人员素质参差不齐以及人员流动性大而引发计算机及网络系统的风险。
三、商业信息系统安全应对策略
针对如上所列商业信息系统风险, 提出如下初步应对策略:
1. 硬件环境方面
改善硬件运行环境, 机房建设要按照国家统一颁布的标准进行建设、施工、装修、安装, 配备防盗、防火、防水、防雷、防磁、防鼠害等设备, 如果有条件可以安装电视监控系统。做好设备维护工作。建立对各种计算机及网络设备定期检修、维护制度, 并做好检修、维护记录;对突发性的安全事故处理要有应急计划, 对主要服务器和网络设备, 要指定专人负责, 发生故障保证及时修复, 从而确保所有设备处于最佳运行状态。定期与电力、电信等部门协调, 争取技术支持, 保证良好的供电环境和畅通的网络环境。
2. 软件环境方面
首先要作好信息化系统的方案设计, 包括采用何种操作系统、数据库引擎, 如何进行系统集成等, 为以后应用打好基础。各类业务系统软件正式投入推广使用前要进行全面的测试, 以及时发现并修正软件设计过程中的缺陷。加强操作人员权限和密码管理。对访问数据库的所有用户要科学的分配权限, 实现权限等级管理, 严禁越权操作, 密码强制定期修改, 数据输入检查严密, 尽量减少人工操作机会。做好数据备份, 确保数据安全。对数据库本身的安全脆弱问题, 更要作相应处理, 对数据要进行多重备份、异地异处存放, 以便发生类似意外掉电这类不可预见性故障时能提供快速恢复手段, 以保证数据信息的完整性。
3. 网络环境方面
网络安全的基本要求是保密、完整、可用、可控和可审查。从技术角度讲, 商业企业网络系统的安全体系应包括:操作系统和数据库安全、加密技术、网络安全访问控制、身份认证、攻击监控、防火墙技术、防病毒技术、备份和灾难恢复等。从管理角度看, 应着力健全计算机管理制度和运行规程, 加强员工管理, 不断提高员工的安全防范意识和责任感, 杜绝内部作案的可能性, 建立起良好的故障处理反应机制。
4. 信息管理方面
建立计算机风险防范组织体系。商业企业各部门领导要重视计算机安全工作, 成立计算机安全领导小组, 明确权利责任, 做好对安全运行领导、检查和监督工作。整章建制, 落实内控制度。对现有的计算机安全制度进行全面清理, 建立健全各项计算机安全管理和防范制度, 完善业务的操作规程;加强要害岗位管理, 建立和不断补充完善要害岗位人员管理制度。解决人员素质对计算机及网络风险的影响, 提高其处理计算机及网络故障、防范计算机及网络风险的能力。
四、结论
商业企业的信息系统安全问题是一个系统工程, 涉及到计算机技术和网络技术以及管理等方方面面, 同时, 随着信息系统的延伸和新兴技术集成应用升级换代, 它又是一个不断发展的动态过程。因此对商业企业信息系统运行风险和安全需求应进行同期化的管理, 不断制定和调整安全策略, 只有这样, 才能在享受商业信息系统便利高效的同时, 把握住信息系统安全的大门。
参考文献
[1]戴伟汪希杰戚雪辉:银行计算机网络风险防范与对策研究[J].中国农业银行武汉培训学院学报, 2002 (06)
[2]杨荣:信息系统应用中的风险控制[J].希赛网www.csai.cn
[3]刘守珍:电子商务信息系统中网络技术的安全性分析和策略[J].电脑知识与技术, 2005 (18)
相关文章:
冬奥会带来的开学第一课优秀作文800字02-21
手机信息安全02-21
外出考察心得体会5则范文02-21
学校安全名言警句02-21
安全格言警句理念02-21
安全月考试试题02-21
安全生产月安全之我见02-21
舞蹈室简介02-21
江苏2014年3月安全员B类考试重点02-21
