時間:2023-10-23 10:01:40
引言:易發表網憑借豐富的文秘實踐,為您精心挑選了九篇企業信息安全要求范例。如需獲取更多原創內容,可隨時聯系我們的客服老師。
由于電力企業以發電、經營電力為主,信息網絡安全問題并沒有得到足夠重視,管理方面存在重技術輕管理的問題,未建立完善的信息安全管理制度,面對上級檢查,簡單應付,腦子里輕視信息安全,信息安全觀念淡薄,這都會增加企業信息系統的安全風險。例如,缺少對企業職工的信息安全教育培訓、缺少定期對信息運維人員的安全技能的培訓等等,都會嚴重威脅企業信息網絡的安全。電力企業在針對信息系統的應用和信息網絡安全兩個方面時,更加注重的是前者。以此同時,可能部分職工還存在僥幸心理,忽視了網絡安全問題的重要性。
2電力企業網絡信息安全管理的有效策略
2.1注重建設基礎設施和管理運行環境
需要嚴格的管理配電室、信息、通信機房等關鍵性的基礎設施,對防水、防火、防盜裝置進行合理配備;對電力二次設備安全防護要做到,安全分區、網絡專用、橫向隔離、縱向認證,生產控制大區與信息管理大區要做好物理強隔離;機房需要安裝監控報警設備和動環監測系統;對桌面終端和主機等設備要做好補丁更新,控制權限;在網絡安全設備上要做好安全策略;做好流量監測和行為監測;此外,建立設備運行日志,對設備的運行狀況進行記錄,并且建立操作規程,從而保證信息系統運行的穩定性和安全性。
2.2建立并完善信息安全管理制度
建立健全信息安全管理制度,注重安全管理,確保根據安全管理制度進行操作;做好安全防護記錄、制定應急響應預案、系統操作規程、用戶應用手冊、網絡安全規范、管理好口令、落實安全保密要求、人員分工、管理機房建設方案等制度,確保信息系統運行的穩定性和安全性。由內至外,全面的貫徹,實施動態性地管理,持續提高信息安全、優化網絡拓撲結構。
2.3注重信息安全反違章督察工作的開展
建立信息安全督察隊伍,明確職責,按照信息安全要求,開展定期的督察,發現問題,限期整改。電力企業要對企業信息系統軟硬件設施、容災系統、桌面終端、防護策略等進行定期督查,實現信息安全設備加固和更新,培養信息安全督查專家隊伍,交叉互查、發現并解決問題,提高信息系統的安全性。
2.4積極探索電力企業信息安全等級保護
信息安全等級保護指的是,對涉及國計民生的基礎信息網絡和重要信息系統按照其重要程度及實際安全需求,合理投入,分級進行保護,分類指導,分階段實施,保障信息系統安全。針對電力企業信息系統,應建立相應的信息安全等級保護機制。技術上分級落實物理安全、網絡安全、主機安全、應用安全、數據安全;管理上要建立對應的安全管理制度、設置安全管理機構、做好人員安全管理、系統建設、運維管理。
2.5明確員工信息安全責任,實現企業信息安全文化建設
針對企業的所有員工,關鍵是明確自己需要擔負的安全責任、熟悉有關的安全策略,理解一系列的信息安全要求。針對信息運維人員,需要對信息安全的管理策略進行有效地把握,明確安全評估的策略,準確使用維護技術安全操作;針對管理電力企業信息網絡安全的管理人員,關鍵在于對企業的信息安全管理制度、信息安全體系的組成、信息安全目標的把握和熟悉。以上述作為基礎,實現企業信息安全文化的建設。
2.6提升人員的信息安全意識
針對電力企業信息安全而言,員工信息安全意識的提高十分關鍵。企業需要組織一系列有關的信息安全知識培訓,培養員工應用電腦的良好習慣,比如不允許在企業的電腦上使用未加密的存儲介質,不應當將無關軟件或者是游戲軟件安裝在終端上,對桌面終端進行強口令設置,以及啟用安全組策略,備份關鍵性的文件等,從而使員工的信息安全意識逐步提高。
3結語
[關鍵詞]信息安全;管理;控制;構建
中圖分類號:X922;F272 文獻標識碼:A 文章編號:1009-914X(2015)42-0081-01
1 企業信息安全的現狀
隨著企業信息化水平的提升,大多數企業在信息安全建設上逐步添加了上網行為管理、內網安全管理等新的安全設備,但信息安全防護理念還停留在防的階段,信息安全策略都是在安全事件發生后再補救,導致了企業信息防范的主動性和意識不高,信息安全防護水平已經越來越不適應當今企業IT運維環境和企業發展的需求。
2 企業信息系統安全防護的構建原則
企業信息化安全建設的目標是在保障企業數字化成果的安全性和可靠性。在構建企業信息安全體系時應該遵循以下幾個原則:
2.1 建立企業完善的信息化安全管理體系
企業信息安全管理體系首先要建立完善的組織架構、制定信息安全管理規范,來保障信息安全制度的落實以及企業信息化安全體系的不斷完善。基本企業信息安全管理過程包括:分析企業數字化資產評估和風險分析、規劃信息系統動態安全模型、建立可靠嚴謹的執行策略、選用安全可靠的的防護產品等。
2.2 提高企業員工自身的信息安全防范意識
在企業信息化系統安全管理中,防護設備和防護策略只是其中的一部分,企業員工的行為也是維護企業數字化成果不可忽略的組成。所以企業在實施信息化安全管理時,絕對不能忽視對人的行為規范和績效管理。在企業實施企業信息安全前,應制定企業員工信息安全行為規范,有效地實現企業信息系統和數字化成果的安全、可靠、穩定運行,保證企業信息安全。其次階段遞進的培訓信息安全人才也是保障企業數字化成果的重要措施。企業對員工進行逐次的安全培訓,強化企業員工對信息安全的概念,提升員工的安全意識。使員工的行為符合整個企業信息安全的防范要求。
2.3 及時優化更新企業信息安全防護技術
當企業對自身信息安全做出了一套整體完善的防護規劃時,就應當考慮采用何種安全防護技術來支撐整個信息安全防護體系。對于安全防護技術來說可以分為身份識別、網絡隔離、網絡安全掃描、實時監控與入侵發現、安全備份恢復等。比如身份識別的目的在于防止非企業人員訪問企業資源,并且可以根據員工級別分配人員訪問權限,達到企業敏感信息的安全保障。
3 企業信息安全體系部署的建議
根據企業信息安全建設架構,在滿足終端安全、網絡安全、應用安全、數據安全等安全防護體系時,我們需要重點關注以下幾個方面:
3.1 實施終端安全,規范終端用戶行為
在企業信息安全事件中,數字化成果泄漏是屬于危害最為嚴重的一種行為。企業信息安全體系建立前,企業員工對自己的個人行為不規范,造成了員工可以通過很多方式實現信息外漏。比如通過U盤等存儲介質拷貝或者通過聊天軟件傳遞企業的核心數字化成果。對于這類高危的行為,我們在建設安全防護體系時,僅僅靠上網行為管理控制是不能完全杜絕的。應該當用戶接入企業信息化平臺前,就對用戶的終端系統進行安全規范檢查,符合企業制定的終端安全要求后再接入企業內網。同時配合上網行為管理的策略對員工的上網行為進行審計,使得企業員工的操作行為符合企業制定的上網行為規范,從終端用戶提升企業的防護水平。
3.2 建設安全完善的VPN接入平臺
企業在信息化建設中,考慮總部和分支機構的信息化需要,必然會采用VPN方式來解決企業的需求。不論是采用SSL VPN還是IPSecVPN,VPN加密傳輸都是通用的選擇。對于分支機構可以考慮專用的VPN設備和總部進行IPSec連接,這種方式更安全可靠穩定。對于移動終端的接入可以考慮SSL VPN方式。在這種情況下,就必須做好對于移動終端的身份認證識別。其實我們在設備采購時,可以要求設備商做好多種接入方式的需求,并且幫助企業搭建認證方式。這將有利于企業日常維護,提升企業信息系統的VPN接入水平。
3.3 優化企業網絡的隔離性和控制性
在規劃企業網絡安全邊際時,要面對多個部門和分支結構,合理的規劃安全網絡邊際將是關鍵。企業的網絡體系可以分為:物理層;數據鏈路層;網絡層;傳輸層;會話層;表示層;應用層。各體系之間的相互隔離和訪問策略是防止企業信息安全風險的重要環節。在企業多樣化網絡環境的背景下,根據企業安全優先級及面臨的風險程度,做出適合企業信息安全的防護策略和訪問控制策略。根據相應防護設備進行深層次的安全防護,真正實現OSI的L2~L7層的安全防護。
3.4 實現企業信息安全防護體系的統一管理
為企業信息安全構建統一的安全防護體系,重要的優勢就是能實現對全網安全設備及安全事件的統一管理,做到對整個網絡安全事件的“可視、可控和可管”。企業采購的各種安全設備工作時會產生大量的安全日志,如果單靠相關人員的識別日志既費時效率又低。而且不同安全廠商的日志報表還存在很大差異。所以當安全事件發生時,企業管理員很難實現對信息安全的統一分析和管理。所以在企業在構建信息安全體系時,就必須要考慮安全設備日志之間的統一化,設定相應的訪問控制和安全策略實現日志的歸類分析。這樣才能做到對全網安全事件的“可視、可控和可管”。
4 結束語
信息安全的主要內容就是保護企業的數字化成果的安全和完整。企業在實施信息安全防護過程中是一個長期的持續的工作。我們需要在前期做好詳盡的安全防護規劃,實施過程中根據不斷出現的情況及時調整安全策略和訪問控制,保證備份數據的安全性可靠性。同時全體企業員工一起遵守企業制定的信息安全防護管理規定,這樣才能為企業的信息安全提供生命力和主動性,真正為企業的核心業務提供安全保障。
參考文獻
[1] 段永紅.如何構建企業信息安全體系[J]. 科技視界,2012,16:179-180.
[2] 于雷.企業信息安全體系構建[J].科技與企業,2011,08:69.
[3] 彭佩,張婕,李紅梅. 企業信息安全立體防護體系構建及運行[J].現代電子技術,2014,12:42-45+48.
[4] 劉小發,李良,嚴海濤.基于企業網絡的信息安全體系構建策略探討[J]. 郵電設計技術,2013,12:25-28.
[5] 白雪祺,張銳鋒. 淺析企業信息系統安全體系建設[J].管理觀察,2014,27:81-83.
【關鍵詞】 供電 網絡終端 計算機 信息安全
1 信息網絡安全面臨形勢
所謂信息安全是一個廣泛而抽象的概念,建立在網絡基礎之上的現代信息系統,其安全定義較為明確,那就是:保護信息系統的硬件、軟件及相關數據,使之不因為偶然或者惡意侵犯而遭受破壞、更改及泄露,保證信息系統能夠連續、可靠、正常地運行。
在電力企業,信息安全主要強調的是消減并控制風險,保持電力生產經營業務操作的連續性,并將風險造成的損失和影響降低到最低程度。
供電企業信息化的快速發展特別SG-ERP系統的實施,為工作帶來便利的同時也帶來了極大的安全風險,統一堅強智能電網的建設和“三集五大”體系的建設對信息安全提出了更高的要求。
2 信息網絡桌面終端存在的安全隱患和風險分析
供電企業經過多年的信息安全建設,已建成了“雙網雙機、分區分域、等級防護、多層防御”的信息安全防護總體架構,網絡隔離及網絡橫縱向邊界的信息安全防護措施已日趨完善。由于網絡用戶人員數量龐大、情況復雜、分布廣泛等問題的存在,信息安全的防護重點逐漸從網絡層面向終端用戶計算機層面轉移。
涉及信息網絡終端計算機的常見威脅、隱患和風險主要包括:惡意訪問、信息泄露、破壞信息的完整性、非法使用、竊聽、業務流分析、內部攻擊、特洛伊木馬、陷阱門、抵賴、電腦病毒、業務欺騙等。
上述風險對于供電企業信息安全產生巨大威脅,任何一臺網絡終端計算機出現信息風險漏洞,將直接波及到整個網絡的信息安全,已經采取的網絡邊界、數據審計等防護措施將形同虛設,黑客或惡意破壞者就能輕而易舉繞過所有安全防護、長驅直入、大肆破壞,對供電企業內部應用系統安全、網絡安全、數據安全和生產經營業務造成不可估量的損失。
3 網絡桌面終端信息安全防范措施
3.1 信息安全防范重在管理
由于網絡終端計算機分布的復雜性可知,在當前的新形勢下,信息安全并不僅僅是信息專業管理部門和運行維護單位要面對的問題,因此,全面加強信息安全管理是確保信息安全的首要解決措施。
(1)建章立制,規范信息安全全過程管理。針對信息網絡和終端安全風險,針對性地制定《信息安全管理規定》等規章制度,固化信息安全管理工作流程,建立網絡終端接入-調整-拆除-報廢的全過程控制體系,遵循“誰主管誰負責、誰運行誰負責、誰使用誰負責”原則,將信息安全責任和壓力層層下放,可以有效促進信息安全標準要求的貫徹落實。
(2)強化信息網絡運行維護。采取對信息內外網終端計算機的人工抽檢和技術巡檢方式,定期開展對網絡的全面核查,以及時發現安全隱患。高密度檢查路由器、交換機等信息網絡設備和防火墻、IPS等安全設備的策略配置,確保與業務需求相匹配。
(3)開展信息安全風險評估。作為信息安全保障基礎性工作,針對信息系統的潛在威脅、薄弱環節、等級化防護措施、信息內外網隔離措施等進行綜合評估分析,有效指導各單位系統地開展信息安全防護體系建設和安全整改加固工作。
(4)嚴防網絡終端計算機違規外聯。違規外聯是指信息網絡及終端計算機設備違反相關規定連接了包括互聯網在內的其他網絡。具體措施包括:計算機不得使用雙網卡、嚴禁“一機雙網”、內網計算機嚴禁外借、內部計算機統一外修出口、內部網絡嚴禁私設路由器、嚴禁使用無線上網卡、手機、無線路由器等方式私自接入互聯網、嚴禁任何單位和個人私設任何形式的互聯網出口、嚴禁外來人員使用內部計算機等。
(5)加強宣傳培訓,將信息安全要求傳達到每位終端用戶。信息安全并不僅是信息專業部門要面對的問題,如果大家不嚴格遵守相關的信息安全要求,信息安全事件就可能發生在每個人身上。考慮到網絡用戶的參培時間不可控的因素,可以采取分層級、多批次培訓的方式,將信息安全知識和相關要求層層傳達到每位用戶。
3.2 充分利用信息安全技術手段
(1)部署桌面終端安全管理軟件。桌面終端管理系統是確保桌面終端計算機安全的最有效的技術手段之一,基本功能應包括:內網計算機資產管理、運維管理、非法外聯監控、注冊基本管理、安全管理、安全監控強審計、網絡接入控制、補丁管理、文件分發管理等。通過桌面終端管理系統的部署,可以全面掌控網絡終端計算機的安全運行狀況,有效提升信息安全管理效率。
(2)實行網絡安全準入。綜合采用設備監控、隔離檢查、網絡協議檢測等多種技術,通過入網安全審核、賬號弱口令檢測、桌面管理系統客戶端和防病毒軟件安裝更新檢查等,及時保證終端達到安全入網要求。
(3)架設網絡版殺毒軟件和補丁更新。為了確保殺毒軟件安裝率100%,確保病毒庫和操作系統補丁隨時更新,在網絡內部架設網絡版殺毒軟件和補丁更新服務器,以服務器-客戶端的方式主動推送病毒庫和操作系統、應用系統補丁,及時封堵終端計算機安全漏洞。
(4)利用安全移動存儲介質交換數據。應用實施范圍界定為接入信息網絡的所有計算機設備,在終端計算機上安裝安全移動介質系統客戶端,通過服務器端平臺進行安全策略配置,使終端計算機上的移動介質使用符合相關安全要求,最大程度地封堵通過移動介質非法外傳或導入信息的漏洞。
(5)加強網絡邊界處防火墻、IPS、上網行為審計等系統防護。一方面防范外部網絡對于信息內網的安全攻擊和惡意入侵,另一方面可以全面核查內網計算機的上網行為,對于敏感信息、發送敏感郵件等違規行為予以自動阻斷。
4 結語
隨著信息技術的飛速發展,影響網絡安全的各種因素也會不斷變化,網絡安全不僅僅是技術問題,同時也是一個安全管理問題,是一個動態發展變化的過程,不是一勞永逸的,也不可能一蹴而就,這就要求每位終端計算機設備使用人員要在日常工作中時刻牢記信息安全,杜絕安全隱患,嚴格遵守信息安全規定,共同維護信息網絡和終端計算機的安全穩定運行。
參考文獻:
[1]邵波,王其和.計算機網絡安全技術及應用[M].北京:電子工業出版社,2005.
一、運用系統的思想和方法,查找信息安全管理的“短扳”
隨著企業信息化的快速發展,信息安全管理工作顯得相對滯后。管理思想和方法落后。過去基本上是參照電網安全管理一些傳統做法,沒有體現信息化特點和要求,越來越不適應信息系統的快速發展和變革;管理不夠全面。以往只考慮硬件、軟件,忽視了人、數據和文檔、服務、無形資產等重要對象,對外來人員也缺乏有效的識別管理;管理制度不夠系統。以前雖然制訂了較多的制度和標準,當信息化發展到一定程度,這些制度就顯得很單薄,就事論事的管理方式必然會產生安全管理的盲區,有些制度內容重復、交叉、不一致,有些制度不切實際,往往束之高閣;風險評估不夠科學。以往的信息風險評估不夠系統,主觀性過強,缺乏綜合平衡,抓不住重點,或過度保護,或產生管理死角,事后控制多,事前預控少,不能涵蓋信息系統的生命周期。
上述情形是企業在信息化建設中普遍感覺到的問題。隨著科學技術的進步,企業信息運行管理模式也發生了巨大的變化,為企業采用先進管理方式、建立信息安全管理體系打下了扎實的基礎。為此,嘉興電力局根據國際上信息安全管理的最佳實踐,結合供電企業的實際,從信息安全風險評估管理入手,貫徹ISO/IEC27001:**信息安全管理標準,建立了信息安全管理體系。通過體系有效運作,達到了供電企業信息安全管理“預控、能控、可控、在控”的目的。
二、從資產識別入手,搞好信息安全風險評估
按《信息安全風險評估控制程序》,對所有的資產進行了列表識別,并識別了資產的所有者。這些資產包括硬件與設施、軟件與系統、數據與文檔、服務及人力資源。對每一項資產按自身價值、信息分類、保密性、完整性、法律法規符合性要求進行了量化賦值。在風險評估中,共識別資產2810項,其中確定的重要資產總數為312項,形成了《重要資產清單》。
圖1.《重要信息資產按部門分布圖》
對重要的信息資產,由資產的所有者(歸口管理部門)對其可能遭受的威脅及自身的薄弱點進行識別,并對威脅利用薄弱點發生安全事件的可能性以及潛在影響進行了賦值分析,確定風險等級和可接受程度,形成了《重要資產風險評估表》。針對每一項威脅、薄弱點,對資產造成的影響,考慮現有的控制措施,判定措施失效發生的可能性,計算風險等級,判斷風險為可接受的還是需要處理的。根據風險評估的結果,形成風險處理計劃。對于信息安全風險,應考慮控制措施與費用的平衡原則,選用適當的措施,確定是接受風險、避免風險,還是轉移風險。
嘉興電力局經過風險評估,確定了不可接受風險84項,其中硬件和設施52項,軟件和系統0項,文檔和數據8項,服務0項,人力資源24項。
根據風險評估的結果,對可接受風險,保持原有的控制措施,同時按ISO/IEC17799:**《信息技術-安全技術-信息安全管理實施細則》和系統應用的要求,對控制措施進行完善。針對不可接受風險,由各部門制定了相應的安全控制措施。制訂控制措施主要考慮了風險評估的結果、管理與技術上的可行性、法律法規的要求,以期達到風險降低的目的。控制措施的實施將從避免風險、降低風險、轉移風險等方面,將風險降低到可接受的水平。
圖2.《各類不可接受風險按系統分布圖》。
三、按照ISO標準要求,建立信息安全管理體系
嘉興電力局在涉及生產、經營、服務和日常管理活動的信息系統,按ISO/IEC27001:**《信息技術-安全技術-信息安全管理體系要求》規定,參照ISO/IEC17799:**《信息技術-安全技術-信息安全管理實施細則》,建立信息安全管理體系,簡稱ISMS。確定信息安全管理體系覆蓋范圍,主要是根據業務特征、組織結構、地理位置、資產分布情況,涉及電力生產、營銷、服務和日常管理的40個重要信息系統。信息安全管理的方針是:“全面、完整、務實、有效。”
為實現信息安全管理體系方針,嘉興電力局在各層次建立完整的信息安全管理組織機構,確定信息安全目標和控制措施,明確信息安全的管理職責;識別并滿足適用法律、法規和相關方信息安全要求;定期進行信息安全風險評估,采取糾正預防措施,保證體系的持續有效性;采用先進有效的設施和技術,處理、傳遞、儲存和保護各類信息,實現信息共享;對全體員工進行持續的信息安全教育和培訓,不斷增強員工的信息安全意識和能力;制定并保持完善的業務連續性計劃,實現可持續發展。按照信息安全管理方針的要求,制訂的信息安全管理目標是:2級以上信息安全事件為0;不發生信息系統的中斷、數據的丟失、敏感信息的泄密;不發生導致供電中斷的信息事故;減少有關的法律風險。
嘉興電力局根據風險評估的結果、企業的系統現狀和管理現狀,按照ISO/IEC27001:**標準要求,整合原有的企業信息安全管理標準、規章制度,形成了科學、嚴密的信息安全管理體系文件框架,包括信息安全管理手冊;《信息安全風險評估管理程序》、《業務持續性管理程序》等53個程序文件,制定了16個支撐性作業文件。
四、運用過程方法,實施信息安全管理體系
在信息安全管理過程中,重點是抓好人員安全、風險評估、信息安全事件、保持業務持續性等重要環節,采取明確職責、動態檢查、嚴格考核等措施,使信息安全走上常態管理之路。
圖3:信息安全管理體系實施過程
重視信息系統安全管理。因為信息系統支撐著企業的各項業務,信息安全管理體系實施涵蓋信息系統的生命周期,表現在信息系統的軟(硬)件購置、設備安裝、軟件開發和系統測試、上線、系統(權限)變更等方面,嚴格執行體系的相關控制程序。
強化人員安全管理。在勞動合同、崗位說明書中,明確員工信息安全職責。特殊崗位的人員規定特別的安全責任,對信息關鍵崗位實行備案制度。對崗位調動或離職人員,及時調整安全職責和權限。定期對員工進行信息安全教育和技能培訓、比武、考試。
某企業信息中心(以下簡稱信息中心)負責全國各機構的信息化總體工作,同時,也是信息安全等級保護的重點執行部門,通過多年建設,信息中心在IT資產管理、監控平臺整合等方面已取得了較大成績,基礎平臺已經投入運行。
隨著信息中心信息安全管理成熟度的提升,風險評估、安全策略建設,信息安全等級保護實施等相關工作陸續開展,迫切需要一個處于管理層面的信息安全工作平臺,滿足信息中心各職能部門從信息安全要求、策略應答、到實施信息安全建設的需要,并且支持以風險為核心,通過評估、檢查,審計提高信息中心信息安全的防御能力。
神州泰岳Ultra―SCM信息安全工作管理平臺是一個構架于基礎信息平臺(服務臺系統、集中監控系統)之上,滿足信息安全職能管理要求,符合信息安全管理模型的一個信息化工作平臺。
該平臺在充分調研某信息中心安全管理現狀的基礎上,采取業務建模的方式完成平臺的架構設計。根據業務模型,信息安全管理工作平臺從業務功能上分解為五大模塊:安全要求管理、策略管理、評估與審計,風險管理、信息安全知識庫。
整個平臺圍繞一條主線來實現,通過策略應答的方式實現安全要求(需求),以風險管理提高信息安全策略應答的針對性和目的性,以檢測和審計驗證安全策略實施效果。
為適應不同階段管理成熟度的需求,平臺需滿足以下三類應用場景。首先它是一個學習平臺。建立信息安全要求、標準、策略、實踐參考等信息的知識庫,供平臺使用者學習用。
其次是基礎工作平臺。作為信息中心各專業部門的安全工作臺,實現信息安全要求、標準引入管理,進行職責分工,實施策略應答,對安全策略執行情況進行評估和審計,檢測安全檢測效果。即支持信息安全的正向建設實施。
最后是職能管理和全面風險管理。從外部信息安全要求、標準出發,實施差距性風險評估,以風險為核心實施管控,促進信息安全策略的完善,推動信息安全建設。
通過本平臺的建設,為信息中心各職能部門提供了一個信息安全學習交流平臺,用戶可以獲得大量信息安全知識,同時能夠通過這個平臺將工作中的經驗和知識進行共享;通過對信息安全等級保護要求、信息中心內部信息安全制度的引入管理,安全策略的應答,制定和實施,保障了依賴于信息系統的業務安全有效運行。
通過引入風險評估和審計方法,規范了信息中心風險評估和審計活動,有效的識別了當前存在的和潛在可能存在的風險,并制定風險控制措施,降低了風險對業務系統可能產生的影響,同時,通過審計活動驗證信息安全工作的落實情況,督促對不符合信息安全規定的內容進行改進,逐步提升信息中心信息安全建設的有序運行。
訊鳥,呼叫中心系統專家
北京訊鳥軟件有限公司創立于2001年,是專業的呼叫中心系統和服務提供商。主要業務包括呼叫中心系統建設,呼叫中心在線托管與呼叫中心服務外包等。
通過技術和服務幫助企業實現與客戶的互動式溝通,開發最大的價值潛能是訊鳥多年以來孜孜以求的目標。通過訊鳥的技術,呼叫中心這樣一個原本只有政府及機構和大型企業才有實力采用的奢侈品也可為廣大迫切需要提升與客服互動能力及服務水平的中小企業所采用。
在轉型中成長
從2001年進入呼叫中心行業以來,訊鳥就秉承著創新開拓的精神,不斷壯大自己的實力,調整行業定位,謀求更大的行業話語權和影響力,其自身角色也經歷了幾個轉變。7年來,訊鳥從呼叫中心應用集成商到呼叫中心中間件提供商,再到呼叫中心運營商和軟件供應商,不斷拓展著新的發展空間,同時也在引領呼叫中心的一個個新時代。
2001年訊鳥公司成立之初,主做呼叫中心應用集成。但在整個呼叫中心解決方案生態鏈上,應用集成的核心價值太低,且缺乏掌控力。訊鳥需要一個更有挑戰和控制力的角色。公司創始人吳益民果斷做出決定:改走呼叫中心中間件這條路。訊鳥的第一次成功轉型,為訊鳥今后的發展奠定了扎實的基礎。2002年,訊鳥成功研發出CTI產品,并成功簽約阿里巴巴、藝龍等客戶,取得了不錯的市場業績。2006年公司歷經2年多研發的Disco系統正式上線,成功應用于中國大都會人壽保險公司、廣東煙草公司,獲得客戶充分肯定。
訊鳥公司將呼叫中心基本功能和多年成功經驗融合在一起,創造出呼叫中心標準化組件。并通過少量的定制開發(包括界面交互展示、客戶流程設計、業務接口配合)與其完美結合。在專注呼叫中心領域的同時,訊鳥更重視用戶的應用體驗和應用價值的開發。追求幫助客戶實現最大范圍的多元化交互方式,創造突破時空、可控可管的有效溝通工具。
呼叫中心的“多面手”
訊鳥擁有強大的自主研發能力,多主體協同技術、軟交換技術、基于廣域網的IP語音傳輸協議和壓縮算法,基于關鍵字搜索的呼叫中心服務系統及方法,面向呼叫中心的電話信號音檢測方法及其系統等多項技術都處于國際領先水平。
傳統的呼叫中心集成式建設模式是建立在多個來自不同廠家的松散組合而形成的松散體系,難以做到整個體系在更深程度上的高效整合與緊密協同,而工程式的維護與服務模式也讓呼叫中心用戶吃盡了服務與維護的苦頭。
創新一體化呼叫中心系統
訊鳥軟件憑借多年呼叫中心行業的經驗與技術積累,提出了“整體化呼叫中心系統”的建設模式。訊鳥認為呼叫中心是一個企業與客戶保持緊密聯系的互動溝通樞紐,它是一個將人員、過程、技術和戰略統一協調的綜合系統,是公司大規模組織內部資源,開展規模化服務的戰略業務中樞,是一個能夠隨著公司業務柔性發展、靈活分布,高效運作的核心系統。
整體化呼叫中心系統不再是由多個廠家的產品拼湊而成,而是以通過完善的標準化軟件模塊,搭建在相應硬件上的一個整體,并根據客戶的需求進行相應的定制開發。在此基礎上,訊鳥軟件為客戶提供從選擇到使用的全面服務。訊鳥呼叫中心的模塊化功能是根據多年經驗,將行業中不同客戶的普遍需求進行整理研發而成。
發揚傳統交換機呼叫中心系統
訊鳥軟件基于交換機的呼叫中心系統,是為企業提供的一套獨立運營的呼叫中心系統。運用先進的CTI技術,將電話程控交換機、CTI中間件與計算機系統有機 的結合在一起,通過最佳的設計器,生成器和客戶信息系統,自始至終地對電子化的客戶交互進行跟蹤和管理,滿日益復雜的客戶交互需求。
阿里巴巴呼叫中心是由訊鳥公司參與建設的,其呼叫中心主要負責阿里巴巴旗下誠信通,淘寶、支付寶、口碑網等電子商務交易的主動銷售和客戶服務。該客服中心的規模在國內位居前列。整個呼叫中心以杭州作為中心點,已建成北京、杭州、上海、成都、廣州,青島六個地區共9個分支點。整個呼叫中心集中控制的方式實現中繼分散接入,座席分散與集中相結合。該項目充分考慮了交換機、網絡或其他故障。通過采用遠端交換機再生功能和訊鳥產品獨有的多機熱備系統,保證了該客服中心7×24小時不間斷運行的要求。
IP呼叫中心系統
訊鳥IP呼叫中心系統采用先進的互聯網技術,顛覆傳統呼叫中心的模式,給所有具備寬帶上網的客戶提供一個不受時間。空間限制的可控可管的新型呼叫中心系統。企業用戶除享受傳統呼叫中心的各種功能外,還可以根據自己的業務應用、辦公地點,任意部署固定座席、移動座席、手機座席,并通過報表等手段集中管理座席。訊鳥IP呼叫中心系統即提供對Web用戶的服務,用戶不僅可通過電話撥打,也可以通過因特網呼叫,直接和座席進行文字、語音交流,全面拓寬了企業和客戶之間的交流通道。
讓呼叫中心進入“平民時代”
2008年年初,訊鳥軟件正式推出命名為“啟通寶”的呼叫中心租賃運營業務,面向電子商務類企業開展呼叫中心出租業務。針對網商客戶的需求與特點,企通寶推出了全托管運營的模式,客戶可以按月按座席來租用呼叫中心系統,只需要配備人員和電腦就可以快速組建自己的呼叫中心。
該產品是訊鳥自主研發的全球領先的集散服務統一通信系統。即利用P2P技術、多主體無中心點分布處理技術、無上限堆疊式服務器和無總線技術,攻克了針對因特網的語音質量技術難關,在實現傳統lP聯絡中心所有功能的基礎上,還具有無瓶頸規模擴容、在線容錯容災、基于Web的DIY配置,基于Web運營、異地部署靈活分布等特點,可滿足用戶的多種需求。簡單說,訊鳥啟通寶讓昂貴的呼叫中心進入了“平民時代”,只要具備因特網,擁有普通電腦和耳麥,就可以實現呼叫中心的所有功能。
訊鳥的SaaS型呼叫中心座席數量沒有上限,可以服務上億級的客戶群。啟通寶座席可多可少、增減靈活,一處多點和異地分布辦公,都可輕松應對。對廣大中小企業而言,此產品更是帶來了一次商業模式和運營管理上的變革,“電子商務+呼叫中心”的商業模式為處在金融風暴風雨飄搖中的中小企業帶去了度過難關的有效方案。
現在,啟通寶已在全國擁有300多家企業用戶。2009年1月,功能更加強大的啟通寶2.0即將面世。
關鍵詞:信息安全;管理體系;PKI/CA;MPLSVPN;基線
在供電企業現代信息技術廣泛運用生產經營、綜合管理之中,實現資源和信息共享,為領導提供相關輔助決策。保障企業信息安全是企業領導層、專業人員及企業全員共同面對的。信息安全是集管理、人員、設備、技術為一體系統工程,木桶原理可以很好地詮釋信息安全,一個企業安全不取決于最強項,而取決最短板。信息安全需從制度建設、體系架構、一體化防控體系、人員意識、專業人員技術水平等多方面共同建設,才能有效提高企業信息安全,才能為企業生產、經營保駕護航。
1基層供電信息安全現狀
基層供電企業信息安全建設方面,在制度建設、安全分區、網絡架構、一體化防護、人員意識、專業人員技術水平等多方面存在不同程度問題。
1.1管理制度不健全,制度多重化
信息安全制度建設方面較為被動,大多數都是現實之中出現某一問題,然后一個相關制度,制度修修補補。同一類問題有時出現不同管理規定里,處理辦法不一,甚至發生沖突。原有信息安全管理制度寬泛,操作性較差。信息系統建設渠道不同,未提前進行信息安全方面考慮,管理職責不明,導致部分信息安全工作開始不順暢。
1.2安全區域劃分不明,網絡架構不清晰
基層供電企業系統建設主要由上級推廣系統和自建系統,系統建設時候相當部分系統未充分考慮系統,特別是業務部門自建系統更甚。網絡建設需要什么就連接什么,存在服務器、終端、外聯區域不明顯,網絡架構不清晰。
1.3未建立一體化安全防護體系
從近些年已經發生的各類信息安全事件來看,內部客戶端問題造成超過將近70%。內部終端用戶網絡行為控制不足,存在網絡帶寬濫用;終端接入沒有相應準入控制,不滿足網絡安全需求用戶接入辦公網絡,網絡環境安全構成極大風險;內部人員對核心服務器和網絡設備未建立統一內部控制機制;移動介質未實施注冊制管理等問題。
1.4未建立行之有效設備基線標準
網絡安全設備、操作系統、數據庫、中間件、應用系統等廠家為了某種方便需求,在設備和系統中常常保留有默認缺省安全配置項,這些恰恰是別人利用漏洞。基層供電企業在部署設備和系統時,沒有統一基線標準,沒有對設備和系統進行相應基線加固,企業存在潛在風險。1.5信息安全意識較差,技術水平參差不齊企業信息安全認識存在認識上誤區,常常認為我們有較強信息安全保護設備,外部不易攻破內部,事實上堡壘常常是從內部攻破的。比如企業員工弱口令、甚至空口令、共用相同密碼、木馬、病毒、企業機密泄露等,這恰恰是基層供電企業全員信息安全意識較為薄弱表現。專業技術人員缺乏必要自我學習和知識主動更新,未取得專門信息安全專業人員資質,處理問題能力表現參差不齊。
2必要性
信息安全為國家安全重要組成部門,電力企業信息安全為國家信息安全的重要元素,電網安全事關國計民生。2014年2月,國家成立中央網絡安全和信息化領導小組,將網絡信息安全提升前所未有高度。近年發生的“棱鏡門”事件,前幾年發生伊朗核電站“震網”病毒(Stuxnet病毒)網絡攻擊,其中一個關鍵問題就是利用移動介質擺渡來進行攻擊,造成設備癱瘓,這一系列信息安全事件都事關國家安全,因此人人都要有信息安全意識。首先要防止企業機密數據(財務、人資、投資、客戶等)泄漏;其次,保持數據真實性和完整性,錯誤的或被篡改的不當信息可能會導致錯誤的決策或商業機會甚至信譽的喪失;最后,信息的可用性,防止由于人員、流程和技術服務的中斷而影響業務的正常運作,業務賴以生存的關鍵系統如失效,不能得到及時有效恢復,會造成重大損失。建立嚴格的訪問控制,前面數據分級時有制定數據的“所有者”及給敏感數據進行分級,按照分級的要求制定嚴格的訪問控制策略,基本的思想是最小特權原則和權限分離原則。最少特權是給定使用者最低的只需完成其工作任務的權限;權限分離原則是將不同的工作職能分開,只給相關職能有必要讓其知道的內容訪問權限。通過對內部網絡行為的監控可以規范內部的上網行為,提高工作效率,保護企業有限網絡資源應用于主要生產經營上來。
3特點探析
通過我們對基層供電企業在信息安全存在問題及必要性來看,主要是管理制度、網絡信息安全技術、人員意識等方面存在問題,有以下特點。
3.1管理制度方面
常說信息安全“三方技術、七分管理”,制度建設對信息安全保障至關重要。信息安全管理制度應該有上級主管部門建立一套統一管理制度,基層供電企業遵照執行,可以根據各單位具體情況進一步細化,讓管理制度落地。從企業總體信息安全方針到具體專業制度管理上,實現全網一體化,規范化。
3.2網絡信息安全技術方面
上級專業主管部門,站在企業高度,制定專業技術標準和技術細則。從網絡安全分區、網絡技術架構、互聯網接入和訪問方式、終端安全管理、網絡準入控制等方面統一規劃,分布實施,最終實現企業網絡信息安全防控一體化。
3.3信息安全意識培養方面
企業員工信息安全意識培養是個長期的過程,不是通過一次兩次培訓就能解決的,采取形式多樣化方式來培養員工安全意識,可以通過集中培訓講課、視頻宣傳、張貼宣傳畫等方式進行。針對專業人員,要讓他們養成按照制度辦事習慣,用戶需要申請某項資源,嚴格按照制度執行,填寫相應資源申請,有時候領導打招呼也要按照制度流程來執行。長此以往,人人都會知道自己該做什么,不該做什么,該怎么做,企業信息安全意識就會得到極大提高。
3.4專業技術人員水平方面
信息安全技術日新月異,不學習就落后,不斷收集信息安全方面信息,共同討論相關話題,建立相應培訓機制,專業人員實行持證上崗,提升專業人員實際解決問題能力,有效提高人員專業素養,成為企業信息安全方面專家。
4實施和開展
從2009年開始,先后進行一系列信息安全建設,涉及到信息安全制度建設、網絡信息安全體系架構、信息安全保障服務、人員培訓等方面,整體提高基層供電企業信息安全狀況。
4.1信息安全制度建設
2010年開始信息安全體系ISO27001、27002建設,結合企業情況,形成30個信息安全相關文件,涵蓋企業信息安全方針、等級保護、人員管理、機房管理、網絡信息系統運行維護管理、終端安全、病毒防護、介質管理、數據管理、日志管理、教育培訓等諸多方面。2013年為進一步提示公司信息化管理水平,先后增加修改建設管理、實用化管理、項目管理、信息安全管理、運維管理、綜合管理5個方面14個管理細則。經過這一系列制度建設,基層供電企業有章可循,全網信息安全依據統一,明確短板情況。
4.2建設一體化網絡與信息安全防控
首先依據電監會5號文件要求,網絡架構按照三層四區原則進行部署建設,生產實時控制大區(Ⅰ、Ⅱ區)與信息管理大區(Ⅲ、Ⅳ區)之間采用國家強制認證單向數據隔離裝置進行強制隔離,網絡架構采用核心、匯聚、接入部署。網絡接入按照功能劃分服務器區、網管區、核心交換區、用戶辦公區、外聯區、互聯網接入區,在綜合數據網上,利用MPLSVPN,根據劃分不同VPN業務、隔離相互間數據交叉。建立全網PKI/CA系統,構建企業員工在企業數字身份認證系統,已建成系統進行未采用PKI登陸系統,進行相應改造結合PKI/CA系統,采用PKI登陸,在建系統用戶登陸必須集成PKI登陸。根據企業信息安全要求,進行互聯網統一出口,部署統一互聯網防控設備,建立統一上網行為管理策略,規范員工上網行為,合理使用有限互聯網資源,審計員工上網日志,以備不時之需。建立企業統一病毒防護系統,實現病毒軟件統一安裝,病毒庫自動更新,防護策略統一下發,定期統計病毒分布情況,同時作為終端接入內網必備選項,對終端病毒態勢比較嚴重用戶進行督促整改,有效防止病毒在企業內部蔓延,進一步進化內網環境。建立統一網絡邊界安全防護,在企業內網邊界合理部署防火墻、IPS、UTM,并將其產生日志發送到統一安全管理平臺,進行日志管理分析,展現企業內部信息安全態勢,預警企業內部信息安全存在問題。利用AD域或PKI/CA進行用戶身份認證,建設統一桌面管理,所有內網用戶必須滿足最基本防病毒、安全助手、IT監控要求方可接入內網,系統啟用強制安全策略,終端采用采用DHCP,用戶不能自動修改IP地址,在DHCP服務器上實現IP與MAC地址及人員綁定,杜絕用戶私自更換IP地址引起沖突。安全認證方面可以采用NACC或交換機802.1x方式進行,不滿足要求用戶,自動重定向到指定網站進行安全合規性檢查,滿足要求后自動接入內網,強制所有用戶采用統一網絡安全準入規則。實行移動介質注冊制,極大提高終端安全性,有效保護企業信息資產。建立內部運維控制機制,實現4A統一安全管理,認證、賬號、授權、審計集中管控。規劃統一服務器、網絡設備資源池,按照用戶需求,提交相應申請材料,授權訪問特定設備和資源,并對用戶訪問行為全程記錄審計。
5結語
【關鍵詞】信息化 量化 管理 流程
【中圖分類號】G647【文獻標識碼】A【文章編號】1672-5158(2013)02-0349-02
近年來,大部分企業信息化建設已初具規模,信息化基礎建設基本到位,信息系統滲透到企業生產經營的各個環節。在新的形勢下,如何使信息系統更好、更穩定、更安全運行,提高管理效率,落實有效益的信息化,是企業信息化工作的迫切需求。要實現這一目標,必然要管理與服務相結合,要求企業建立以國際行業標準為依據的較為完善的IT管控體系,提升IT運維服務水平。
企業加強IT管控,目的就是建立一個類似“輪流分粥,分者后取”的規則,明確區分母公司與各子分公司(含控股)、業務部門與IT部門和IT部門內部各崗位的責任、權力、利益。責、權、利分清后,對IT部門的約束力、執行力等會有很大的提高,其中IT管控對于組織工作的健康有序開展起到了重要作用。
一、IT管控對于IT工作的重要意義
1.IT管控能保障IT組織的穩定
有效的IT管控對IT組織的控制最主要是職責分離、合理設崗。要求完善人員管理與控制,能清晰定義IT部門相關崗位,能明顯一個人能同時給予多少相關權限,從而清楚規劃IT部門必要的崗位人數,最大程度保障IT組織的穩定。
2.IT管控能確保IT工作的有序
IT管控必然要求將建立完善的IT流程體系,制定完備服務目錄。信息化部門利用服務臺統一接收各種流程輸入的表單,根據服務級別協議(SLA)和操作級別協議(OLA),對相關需求或故障,安排不同的技術力量,進行針對性的解決,從而確保了IT工作的有序。
3.IT管控能促使IT工作強度的均勻
信息化日常運維工作量不均衡是因為有較多的突發事件,如信息基礎設施故障和信息系統故障等。要使運維工作量比較均衡,就要降低突發事件概率,使忙的時間少下來。IT管控能就是要讓“閑”的時間忙起來,要求IT部門各崗位在日常中加強監測,重視巡檢,加固系統,防患于未然;同時加強學習和演練,提高處置各種事件的能力。這樣,一旦發生突發事件,也可以有條不紊地進行處置,實現信息化日常運維工作的“削峰平谷”,強度均勻。
4.IT管控能確保IT風險的可控
IT風險主要包括IT技術風險和IT項目投資風險。隨著業務系統訪問、網絡應用行為日益頻繁,網絡被攻擊、數據被篡改、設備被入侵和信息被泄密等IT技術風險的壓力也日益增大。IT管控提供管理程序、技術和保障措施,確保信息技術服務的可用性,能適當地防御不正當操作、蓄意攻擊或自然災害,并從這些故障中盡快恢復;確保拒絕未經授權的訪問。IT管控體系要求IT項目投資必須事先經業務部門和IT部門共同把關,再報公司管理委員會決策,這樣能確保IT項目既符合業務需求,又符合IT技術規范,降低了IT投資的風險。萬物皆有規律,IT風險防范也是有規律可以把握,良好的IT管控能很好控制IT風險。
二、IT管控在企業信息化中的運用
從行業信息化發展戰略出發,從企業自身發展戰略出發,作為信息化建設到一定規模的企業,必然要求企業信息化建設的重點則從技術轉向管理,要求信息化工作必須精益求精,加強管控,夯實基礎,強化運作。
構建完整的IT管控體系是一項復雜的系統工程,涉及到人、硬件、軟件,以及管理層面的IT服務管理、風險管理和成本管理多個方面。因此,必須從更高的角度,更寬的視野,更新的理念去構建有效的IT管控體系。
1.選擇合適的IT管控模型
現今企業IT管控體系的國際標準,主要有COBIT、ITIL、ISO20000等,選擇構建一個既滿足企業的業務需要,又能夠符合國際標準的IT管控體系,是信息化工作的成功保障。就如筆者,結合企業實際、IT部門現有實際運作流程和知識框架,選擇以ITIL主要標準,采取聯邦制IT決策方式作為筆者企業的IT管控模型。
(一)IT部門內部運作的管控
要建立制度化、流程化工作機制,精益求精,穩步推進。根據ITIL/ ITSM(IT服務管理)的標準,繼續完善IT服務目錄,對各子服務定義不同的SLA(服務級別協議),建立服務臺,統一受理所有的流程輸入,建立IT服務管理體系,體系應包含事件管理、問題管理、變更管理、配置管理、管理和服務級別管理。根據IT技術標準和行業具體技術規范要求,建立先進、穩定、安全的信息通訊技術基礎設施(主要包括機房和信息化網絡),并完善巡檢、監控等基礎設施管理機制。
(二)企業信息化運作的管控
首先是加強對信息化項目的管控,必須堅持統一性、系統性、規范性、安全性原則,必須堅持“事先技術把關,事中實施監督,事后運行維護”的原則。即項目涉及的IT部門的責任或義務的,IT部門必須管控到位。事先對項目立項相關技術規范進行把關,確保項目符合行業相關技術規范;事中對項目供應商(軟件開發商)安裝實施等服務進行嚴格監督,確保項目在技術上能順利開展,保障設備(系統)能正常上線運行;事后必須將設備或系統運維維護好,確保設備(系統)安全、穩定運行。其次是加強對信息化資產的管控。加強對計算機設備調控,優化各終端計算機的配置。強化IT部門對軟件資產的歸口管理職能,堅決貫徹落實軟件正版化相關要求,統一采購正版成品軟件,規范信息系統的登記、領用、運維和報廢。規范IT設備維修保養機制,延長IT設備使用壽命。第三是加強對信息系統用戶的管控。建立操作上崗證機制,加強培訓,提升其規范操作水平,采取檢查監督等措施,促使其能正確操作,規范操作。
(三)信息安全的管控
信息安全管控體系是一項復雜的系統工程,必須采用系統工程的觀點和方法,分析信息安全問題及具體措施。結合企業實際,就是要嚴格貫徹相關信息安全要求,做好信息化安全規劃,業系統信息安全規劃,建立覆蓋日常維護,變更管理,安全監控的信息安全體系,將信息安全審計作為信息安全保障中的一項重要工作。建立三個長效保障機制:構建信息安全文化氛圍、信息安全獎懲機制和內部信息安全審計機制,以確保信息安全管控能夠有效長久運行。
2.利用合適先進工具軟件強化IT管控
對信息化日常運作層的管控,必須利用合適先進的工具軟件對信息化工作流程、設施和信息模型進行全面管控。引進先進的IT運維管理系統,建立IT服務管理監控平臺,管理IT服務所涉及的各個流程,監控信息相關基礎設施和中間件等。利用現有或將要購買的信息管理軟件,如桌面管理和軟件系統,綜合網管系統,接入管理系統和數字認證(CA)等,建立信息系統綜合管理系統,管理整個信息系統的設備、軟件等資產,管理桌面、應用等功能單元的運行,以及管理整個設備網絡和網絡上接入的各種系統的正常運行。
追根溯源,建立有效的IT管控體系,最終目的是為了提升IT部門服務水平,提高用戶的滿意度,發展有效益的企業信息化。隨著行業信息化的發展和實踐的深入,新技術的不斷應用,企業的信息化需求不斷變化,IT部門只有建立基于企業治理上的IT管控體系,才能適應不斷變化發展的信息化,為企業企業發展提供重要的信息支撐。
參考文獻
[1] [荷蘭]JanvanBon主編,章斌譯:基于ITIL的IT服務管理基礎篇[M].北京:清華大學出版社,2009.
[2] [荷蘭]JanvanBon主編,劉向暉譯:IT管理框架[M].北京:清華大學出版社,2009.
[3] 王仰富,劉繼承:中國企業的IT治理之道[M].北京:清華大學出版社,2010.
【 關鍵詞 】 信息安全;電力企業;風險評估;管理模式
1 引言
在如今的信息化社會中,信息通過共享傳遞實現其價值。在信息交換的過程中,人們肯定會擔心自己的信息泄露,所以信息安全備受關注,企業的信息安全就更為重要了。但是網絡是一個開放互聯的環境,接入網絡的方式多樣,再加上技術存在的漏洞或者人們可能的操作失誤等,信息安全問題一刻不容忽視。尤其是電力,是國家規定的重要信息安全領域。所以電力企業要把信息安全管理體系的建設,作為重要的一環納入到整個企業管理體系中去。
2 電力企業信息管理體系建設的依據
關于企業的安全管理體系方面的標準有很多。英國BSI/DISC的BDD信息管理委員會制定的安全管理體系主要包含兩個部分內容:信息安全管理實施規則和信息安全管理體系規范。信息安全管理實施規則是一個基礎性指導文件,里面有10大管理項、36個執行的目標和127種控制的方法,可以作為開發人員在信息安全管理體系開發過程中的一個參考文檔。信息安全管理體系規范則詳細描述了在建立、施工和維護信息安全管理體系過程的要求,并提出了一些具體操作的建議。
國際標準化組織也了很多關于信息安全技術的標準,如ISO x系列、ISO/IEC x系列等。我國也制定了一系列的信息安全標準,如GB 15851―1995。
關于企業信息安全管理體系方面的標準眾多,如何針對企業自身實際情況選擇合適的參考標準很重要,尤其是電力企業有著與其他企業不同的一些特殊性質,選擇信息安全體系建設的參考標準更要謹慎。我國電力企業已經引入了一些國際化標準作為建立和維護企業運轉的保證,關于信息安全體系的標準也應納入到保證企業運轉的一系列參考中去。電力企業總體應有一致的安全信息管理體系參考標準,但是具體地區的公司又有著本身自己的特殊環境,所以在總體一致的信息安全標準的情況下,也應該根據企業自身地區、人文、政策等的不同制定一些企業內部自己信息安全標準作為建立、實施和維護信息安全管理體系的依據。信息安全管理體系顧全大局又要有所側重的體現電力企業安全標準的要求。
3 信息安全管理體系里的重要環節
3.1 硬件環境要求
信息安全管理體系并沒有特別要求添加什么特別的設備,只是對企業用到的設備做一些要求。電力企業一般采用內外網結合的方式,內外網設備要盡量進行物理隔離。企業每個員工基本都有自己的移動設備,如手機等,為了增加信息安全的系數,企業可以限制公司設備的無線網絡拓展。另外,實時監控系統也應該覆蓋企業的重要設備,監控硬件設備的安全。
3.2 軟件環境要求
在企業設備(主要是計算機)上部署相關軟件環境是信息安全管理體系中最重要的部分。比如防病毒軟件的部署、桌面系統弱口令監控軟件的部署等,以此防止網絡攻擊或者提高安全系數。另外,企業設備所用系統的安全漏洞修復、數據的加密解密、數據的備份恢復及數據傳輸通道的加密解密等問題,都在信息安全管理體系設計的考慮范疇。
3.3 企業員工管理
盡管現在一直倡導智能化,但是企業內進行設備等操作的主體還是員工。不管是對設備終端操作來進行信息的首發,還是對企業軟硬件系統進行維護工作,都是有員工來進行的。所以,對企業內部員工進行信息安全培訓,提高員工的信息安全防范意識,讓員工掌握一定的信息安全防范與處理手段是非常重要的事情。針對不同的職位,在員工上崗前應該進行相關的信息安全方面的培訓,然后對培訓結果進行考核,不合格的人員不準上崗。在崗的人員也要定期進行培訓與考核。另外,如果有條件的話,企業應該定期(例如每年)進行一次信息安全的相關演習。
另外,電力企業有些項目是外包給其他相應公司的,這時候會有施工人員和駐場人員在電力企業,對這些人員也應該進行電力企業信息安全的培訓。
3.4 信息安全管理體系的風險系數評估
風險評估在信息安全管理體系中是確定企業信息安全需求的一個重要途徑,它是對企業的信息資產所面臨的威脅、存在的弱點、造成的影響,以及三者綜合作用下所帶來的風險可能性的評測。風險評估的主要任務是:檢測評估對象所面臨的各種風險,估計風險的概率和可能帶來的負面影響的程度,確定信息安全管理體系承受風險的能力,確定不同風險發生后消減和控制的優先級,對消除風險提出建議。在信息安全管理體系的風險系數評估過程中,形成《風險系數評估報告》、《風險處理方案》等文檔,作為對信息安全管理體系進行調整的參考。風險系數的評估要盡可能全面的反映企業的信息安全管理體系,除了常規手段,也可以使用一些相應的軟件工具的結果作為參考。另外很值得注意的是企業的員工對風險的理解,企業員工對他們所操作的對象有比較深刻的理解,對其中可能存在的不足也有自己的見解,在風險系數評估的過程中,可以進行一些員工的問卷調查等,把員工對風險的認識納入風險評估的考慮范疇。
企業的設備會老舊更換,員工也會更換,所以企業的信息安全是動態的,因此風險評估工作也要視具體情況定期進行,針對當前情況作評估報告,然后制定相應的風險處理方案。還有,之所以要建立信息安全管理體系,其中很重要的一點就是體系內各個模塊的結合,信息安全管理體系的風險評估與關鍵內容的實時監控就應該結合起來。
為了降低信息安全管理體系的風險系數,提升信息安全等級,要做的工作很多。滲透測試就是其中很有必要的一項工作。滲透測試是測試人員通過模擬惡意攻擊者的攻擊方式,來評估企業計算機網絡系統安全的一種評測方法。這個測試過程會對系統的可知的所有弱點、技術方面的缺陷或者漏洞等作主動的分析。滲透測試對于網絡信息安全的組織具有實際應用價值。隨著技術的不斷進步,可能還會出現其他的更有價值的信息安全技術,作為信息安全備受矚目的電力企業,應當時刻關注相關技術的進展,并及時將它們納入企業信息安全管理體系中來。
3.5 信息安全管理體系的管理模式
文章前面提到企業信息安全是動態的,所以信息安全管理體系需要建立一個長效的機制,針對最新的情況及時對自身作出調整,使信息安全管理體系有效的運行。現在一般會采用PDCA循環過程模式:計劃,依照體系整個的方針和目標,建立與控制風險系數、提高信息安全的有關的安全方針、過程、指標和程序等;執行:實施和運作計劃中建立的方針、過程、程序等;評測:根據方針、目標等,評估業績,并形成報告,也就是文章前面說到的風險系數評估;舉措:采取主動糾正或預防措施對體系進行調整,進一步提高體系運作的有效性。這四個步驟循環運轉,成為一個閉環,是信息安全管理體系得到持續的改進。
4 重要技術及展望
4.1 安全隔離技術
電力企業的信息網絡是由內外網兩部分組成,從被防御的角度來看的話,內網的主要安全防護技術為防火墻、桌面弱口令監控、入侵檢測技術等;而主動防護則主要采用的是安全隔離技術等。安全隔離技術包括物理隔離、協議隔離技術和防火墻技術。一般電力企業采用了物理隔離與防火墻技術,在內網設立防火墻,在內外網之間進行物理隔離。
4.2 數據加密技術
企業的數據在傳輸過程中一般都要進行加密來降低信息泄露的風險。可以根據電力企業內部具體的安全要求,對規定的文檔、視圖等在傳輸前進行數據加密。尤其是電力企業通過外網傳輸的時候,除了對數據進行加密外,還應該在鏈路兩端進行通道加密。
4.3 終端弱口令監控技術
終端設備眾多,而且是業務應用的主要入口,所以終端口令關乎業務數據的安全以及整個系統的正常運轉。如果終端口令過于簡單薄弱,相當于沒有設定而將設備暴露。終端的信息安全是電力企業信息安全的第一道防線,因此采用桌面系統弱口令監控技術來加強這第一道防線的穩固性對電力企業的信息安全非常重要。
電力企業信息安全管理體系是一個復雜的系統,包含眾多的安全技術,如數據備份及災難恢復技術、終端安全檢查與用戶身份認證技術、虛擬專用網技術、協議隔離技術等。凡是與信息安全相關的技術,電力企業都應當關注,并根據企業自身的情況決定是否將之納入到信息安全管理體系中去。
智能化已成為不管是研究還是社會應用的熱門詞匯。電力企業的信息安全管理體系是否可以智能化呢?不妨做一個展望,電力企業的信息安全管理體系有了很強的自我學習與自我改進的能力,在信息安全環境越來越復雜,信息量越來越龐大的情況下是否會更能發揮信息安全管理體系的作用呢?這應該是值得期待的。
5 防病毒軟件部署
電力企業信息安全管理體系有很多軟件系統的部署,如防病毒軟件部署、桌面弱口令監控系統部署、系統安全衛士部署等。但是它們的部署情況類似,這里用防病毒軟件的部署來展示電力企業信息安全管理體系中軟件系統的部署情況。如圖1所示為防病毒軟件的部署框架。
殺毒軟件種類有很多,這里以賽門鐵克殺毒軟件為例。企業版的賽門鐵克防病毒軟件系統相比單機版增加了網絡管理的功能,能夠很大程度地減輕維護人員的工作量。為了確保防病毒軟件系統的穩定運行,在電力企業內部正式使用時,盡量準備一立的服務器作為防病毒軟件專用的服務器。
服務器安裝配置好賽門鐵克防病毒軟件后,可以遠程控制客戶端與下級升級服務器的軟件安裝與升級。
電力企業內網可能是禁止接入外網的,這樣的話,防病毒軟件的更新可能無法自動完成。防病毒軟件需要升級的時候,維護人員在通過外網在相應網址下載賽門鐵克升級包,然后通過安全U盤拷貝到防病毒軟件系統專用服務器進行升級操作。在圖1中,省電力公司的防病毒管理控制臺獲得升級包可以下發給下級升級服務器和客戶端進行防病毒軟件系統的自動升級更新。圖1是一個簡單的框圖,如果電力企業的內網規模很大的話,還可以更多級地分布部署。
6 結束語
電力企業的信息安全與企業的生產與經營管理密切相關,是企業整個管理系統的一部分。信息安全管理體系是一個整體性的管理工作,把體系中涉及的內容統一進行管理,讓它們協調運作,實現信息安全管理體系的功能。電力企業信息安全的建立與體系不斷的改進定能穩定、有效地維護企業的信息安全。
參考文獻
[1] 王志強,李建剛.電網企業信息安全管理體系建設[J].浙江省電力公司,2008,6(3):26-29.
[2] 陳賀,宮俊峰.淺析信息安全體系如何建立[J].中國管理信息化,2014,17(1):74-76.
[3] 郭建,顧志強.電力企業信息安全現狀分析及管理對策[J].信息技術,2013(1):180-187.
[4] 沈軍.火力發電廠信息你安全體系構建與應用[J].電力信息通信技術,2013,11(8):103-108.
[5] 左鋒.信息安全體系模型研究[J].信息安全與通信保密,2010,01(10):68-71.
[6] 楊柳.構建供電企業信息安全體系[J].電腦知識與技術,2005(29).
[7] 曹鳴鵬, 趙偉, 許林英. J2EE技術及其實現[J]. 計算機應用,2001, 21(10): 20-23.
[8] 江和平.淺談網絡信息安全技術[J].現代情報學,2004(14):125-127.
作者簡介:
崔阿軍(1984-),男,甘肅平涼人,碩士研究生,工程師;主要研究方向和關注領域:電力信息通信安全技術研究。
張馴(1984-),男,江蘇揚州人,本科,工程師;主要研究方向和關注領域:電力信息通信安全技術研究。
李志茹(1984-),女,山東平度人,碩士研究生,工程師;主要研究方向和關注領域:信息化建設及安全技術。
龔波(1981-),男,湖南新邵人,本科,工程師;主要研究方向和關注領域:電力信息化建設及安全技術。
信息安全產業發展若干年以來,大多數的企業用戶已經基本完成了對“老三樣”產品的采購和部署。下一步,企業用戶還應該買什么?這個問題不但用戶在想,每個信息安全廠商也在想。用戶思考的原因是為了將信息安全網做得更密實、安全;廠商思考的原因無非是為了多賣產品,獲取利潤。
但是,由于傳統“老三樣”的購買群正在逐漸縮小,利潤率正在降低,什么樣的新產品才能勾起用戶的購買欲呢?我們看到,各個防病毒廠商正在努力組建并推銷其專業的防病毒服務,那么防火墻、入侵檢測類產品廠商們正在做什么?
安全信息管理(SIM)就是他們正在倡導的一類產品。為了應對企業內、外部的安全挑戰,企業先后部署了大量的安全系統,但卻往往形成各個防御孤島―系統間缺乏協同,由此,各種安全系統產生了大量告警,出現信息過載,造成很多誤報和漏報。此外,企業還面臨著不斷增長的內控和信息系統審計的壓力,要求增強業務持續性的呼聲不斷提高。所有這些都在呼喚面向全網的安全信息集中管理平臺的出現,這就是SIM。
安全信息管理也叫安全信息和事件管理(SIEM),是安全管理領域發展的新方向。SIM是一個面向企業IT計算環境的安全集中管理平臺,該平臺能夠收集來自企業計算環境中的各種設備、應用的安全日志和事件,并進行集中存儲、監控、分析、報警、響應和報告,變過去被動的單點防御為全網的綜合防御。目前,SIM正被廣泛應用于企業內部的威脅管理、合規審計、日志管理、安全審計及應急響應等方面。
某大型金融機構的CIO在使用了來自美國的SIM產品ArcSight ESM后,是這樣評價的:“我們每天用ArcSight ESM處理數以百萬計的安全事件,ArcSight能自動顯示需要特別關注的重要事件。我們在對這些事件做出反應時,無需將精力浪費在電話、Excel和電子郵件上,只需要使用ArcSight ESM跟蹤所有進展情況就行了。”
