时间:2023-03-15 14:59:01
绪论:在寻找写作灵感吗?爱发表网为您精选了8篇信息安全管理,愿这些内容能够启迪您的思维,激发您的创作热情,欢迎您的阅读与分享!
中图分类号:U283.4 文献标识码:A
企业信息安全管理是运用科学的方法和手段,系统地分析网络与信息系统所面临的威胁及其存在的薄弱点,提出有针对性的抵御威胁的防护对策和控制措施,这是企业推进信息化进程和促进生产经营管理的重要内容,是保障企业信息系统正常运行、高效应用和健康发展的前提条件。
1我国企业信息安全管理存在的问题
1.1缺少企业信息安全的法规和规范。企业信息安全是一个比较新的领域,目前还缺少比较完善的法规,即便现有的法规,由于相关安全技术和手段还没有成熟和标准化,法规也不能很好地被执行,安全标准和规范的缺少,导致无从制定合理的安全策略并确保此策略能被有效执行。
1.2存在物理安全风险。物理安全是指各种服务器、路由器、交换机、工作站等硬件设备和通信链路的安全。风险的来源有:水灾、火灾、雷击等自然灾害,人为的破坏或误操作外界的电磁干扰,设备固有的弱点或缺陷等。物理安全的威胁可以直接造成设备的损坏、系统和网络的不可用、数据的直接损坏或丢失等。
1.3信息外泄现象时有发生。进入信息化时代后,企业的诸多资料都由原先的纸介质变成了电子文档。电子文档的特点就是复制十分容易,许多跳槽的员工和竞争对手都会将这些资料通过各种手段带离企业。而且,在企业信息管理系统中,大量购、销、存等业务、财务数据、文档及客户资料,以存储介质形式存在于计算机中,由于电磁辐射或数据可访问性等弱点,受到人为和非人为因素的破坏。数据一旦遭到破坏,将会严重影响企业日常业务的正常运作。因此,保证数据的安全,就是保证企业的安全。
1.4缺少安全管理制度和责任性。目前企业的安全解决方案,基本上只是一个安全产品方案,这使人们误以为企业的信息安全只是信息技术部门的工作和责任,与其他人员不直接相关.但是一个企业的信息系统是企业全体人员参与的,因为他们才是企业信息系统的提供者和使用者,他们是影响信息安全系统能否达到预期要求的决定因素.
2加强我国企业信息安全管理的几点建议
2.1全面提高职工的信息安全知识素质,加强安全文化建设,提升防患水平,防微杜渐。对于信息安全工作的开展,不是系统管理部门的事,也不是系统使用部门的事,而是全体员工的事,必须要提高全体员工的信息安全意识。通过培训和考核等措施,提高员工对公司信息安全的认识,让信息安全成为业务开展的一部分,才能有效提高公司整体信息安全水平,也是信息安全工作得到有效的支持和推进。在此基础上,要建立适应21世纪知识经济时代的企业信息安全文化,只有加强安全文化建设,才能适应知识经济时代的发展。
2.2完善企业信息安全管理制度。首先,数据安全管理制度,即确保数据存储介质(设备)的安全;定时进行数据备份,备份数据必须异地存放;对数据的操作需经主管部门的审批、同意方可进行;数据的清除、整理工作需两人或两人以上在场,并由相关部门进行监督、记录。第二,准入管理制度。准入管理又称密码、权限管理,通过准入系统可以判断请求登录的用户是否是合法的、值得信任的。一个安全的准入系统则需要收集请求登录者的以下信息:一是请求方式。当同一网段在单位时间内多次请求登录或多次登录用户、密码错误者,就应在一定时间内封闭其所在网段的请求,并发出报警信号。二是系统安全验证,即对登录用户的操作系统进行安全证,并提示登录用户进行一系列的修复操作。三是检测设备自身数据是否被修改或篡改,并对登录户相应的操作进行记录备案。
2.3采取传统的信息安全防范策略。物理安全策略:包括环境安全、设备安全、媒体安全、信息资产的物理分布、人员的访问控制、审计记录、异常情况的追查等;网络安全策略:包括网络拓扑结构、网络设备的管理、网络安全访问措施、安全扫描、远程访问、不同级别网络的访问控制方式、识别/认证机制等;数据加密策略:包括加密算法、适用范围、密钥交换和管理等;数据备份策略:包括适用范围、备份方式、备份数据的安全存储、备份周期、负责人等;身份认证及授权策略:包括认证及授权机制、方式、审计记录等;灾难恢复策略:包括负责人员、恢复机制、方式、归档管理、硬件、软件等;事故处理、紧急响应策略:包括响应小组、联系方式、事故处理计划、控制过程等。
2.4实施、检查和改进信息安全管理体制。企业应按照规划阶段编制安全管理体系文件的控制要求来实施活动,主要实施和运行ISMS方针、控制措施、过程和程序,包括安全策略、所选择的安全措施或控制、安全意识和培训程序等。在实施期间,企业应及时检查发现规划中存在的问题,找出问题根源,采取纠正措施,并按照更改控制程序要求对体系予以更改,以达到进一步完善信息安全管理体系的目的。信息安全实施过程的效果如何,需要通过监视、审计、复查、评估等手段来进行检查,检查的依据就是计划阶段建立的安全策略、目标、程序,以及标准、法律法规和实践经验,检查的结果是进一步采取措施的依据。
2.5加强信息安全监控,保障信息系统安全运行。在信息安全监控、信息安全配置和系统访问控制方面,信息管理部门借助先进成熟的信息技术,充分挖掘和利用现有资源功能潜力,进一步提升企业信息系统的安全防范能力。例如,加强信息系统监控管理和风险评估,优化信息系统安全架构,开展入侵检测分析防范、核心网络冗余和服务器架构调整等工作,确保公司信息系统安全稳定运行。统一企业桌面安全管理体系,建立网络运维管理系统,加强接入层管理、桌面安全管理和安全监控管理,有效保障联网计算机的安全运行。优化企业内外网连接架构和访问控制策略,增加网络出口流量监控环节,使有限的网络带宽资源得到合理分配和充分利用。针对因特网浏览用户违规现象较多,造成非授权用户占用大量网络资源的问题,加强用户访问监控,严肃处理违规用户,加强保密教育,促进用户规范使用信息系统。
2.6构建信息安全管理团队。信息安全管理团队是由决策者、管理者以及计算机、信息、通讯、安全和网络技术等方面的专家为提升企业信息安全管理水平而组建的团队。信息安全管理团队是企业信息安全管理的直接管理者,其管理能力、技术能力的高低会直接影响到企业信息安全管理的效率。因此必须增加对企业内部信息安全管理人员、技术人员的定期培训,同时与外部专业技术企业建立长期有效的外部技术支持网络,才能对企业信息安全事件做出及时、快速、准确的响应,确定并及时排除突发事件,使企业的风险和损失最小化,最终形成一套有效的一体化管理体系,给企业带来更大的管理效益与管理效率的提升。
综上所述,随着网络普及和企业信息化业务的不断拓展,信息成为一种重要的战略资源,信息安全保障能力成为一个企业综合能力的重要组成部分。因此,要提高企业信息安全管理的效率,为企业决策提供信息支持,确保企业信息数据安全、可靠、真实,为企业发展和经营管理提供有力保障。
参考文献
关键词:石油企业;信息安全;管理手段
0引言
随着信息化建设进程飞速发展,作为信息载体的计算机、互联网已在企业生产、经营管理各个层面得到广泛应用。计算机网络的开放性、灵活性和广泛性在全面数字化的今天给经营管理带来了便捷、高效、有序的工作环境,同时也带来了较大的安全管理隐患。黑客的出现、安全漏洞的增多、管理的交叉混乱、恶意的网络攻击使网络安全管理遭受了较大的冲击,成为信息化健康发展的绊脚石。网络信息管理疏于安全的防范将危及到企业生产经济的有序发展。石油企业在国民经济中发挥着重要作用,任何风险都可能导致国家经济受到重大影响。因此,提高石油企业信息安全意识,加强信息管理应以保瘴服务和应用为目标,强化安全意识、制定周密的安全手段从而构建完善的信息安全管理体系。
1加强企业信息管理的必要性
1.1企业信息管理概念
企业信息管理是通过现代化的信息技术和设备,以网络技术和网络设备实现企业管理的自动化,进而对企业进行全方位和多角度的管理,以此来促进企业生产、经营管理的优化配置,进而通过企业资源的开发和信息技术的有效利用来提高企业的管理水平,增强企业的核心竞争力。企业信息管理的主要内容,一般包括企业未来的经济形势分析、预测资料、资源的可获量、市场和竞争对手的发展动向,以及政府政策与政治情况的环境变化等等。企业信息管理与制订企业发展战略、制订规划、合理地分配资源是密切相关的。同时,企业的信息管理也应当包括企业内部的信息资源,如财务管理信息、物资库存、钻井施工、职工档案管理等多方面的内容,并且促进企业的全面发展。
1.2企业信息安全管理的必要性
企业信息的存在方式有着多样性,而进行企业安全信息管理的主要目的,在于保护企业的信息安全,保证企业能够顺利的参与到市场经济活动中,进而提高企业的经济效益和社会效益,构筑起信息安全管理系统的保密性、完整性、可用性、可维护性、可验证性的目标,使企业安全信息管理能够通过有效的控制措施来实现。第一,企业管理的信息具有很强的保密性和完整性的特点,因此其对于企业的生产势力、科技含量、资金流动、企业的综合竞争力等多方面都有着重要的影响,同时对于企业的商业形象与合法经营也至关重要,因此加强企业信息安全管理是必要的。第二,由于网络自身所具有的开放性特性,决定了企业信息管理也面临着来自各方面的安全威胁,比如计算机病毒、黑客等,以及计算机诈骗、泄密等问题,也说明了加强企业信息安全管理势在必行。第三,企业对于信息系统产生的依赖也从另一方面暴露出了信息管理系统的脆弱,公共网络与私人网络的连接增强了信息的控制难度,使得信息在分散化的管理模式下,集中、专业控制的有效性大大减弱。另外,由于很多信息管理系统设计的缺陷,其自身就存在着不合理之处,这对于信息安全管理也带来了一定的难度。基于此,对于企业信息管理的安全性也成为了当前企业管理面临的一个重大课题。
2加强企业信息管理安全的防范措施
2.1不断完善信息管理系统
随着企业信息化的发展,目前应用的管理系统有PKI、邮箱、AD域、普OA、合同系统、A6、ERP、网络、操作系统、A7、档案系统、物采系统、OSC、视频会议、企业微信、门户网站、宝石花、数字营房、会议保障、E2、一体化、RTX、移动应用、短信平台。信息系统的连续稳定运行越来越重要,一旦系统中断,将会给企业的生产经营管理带来混乱,而数据一旦丢失,后果是不可估量的。为此,信息管理系统的投入和使用,是建立在充分的实践经验的基础上,通过一段时间的运行和观察,才能够投入使用。在不同的部门进行信息系统的引入时,应当按照部门的实际情况,通过多方引进,使用统一的信息管理系统。对于信息安全来说,首先要解决的就是系统是否能够通过安全验证对用户进行有效的管理,并且赋予不同等级的用户不同的使用权限,这样则能够有效的防止无权访问信息的用户对核心区域的访问,保证信息不会被盗用。同时,为保证信息系统的连续稳定运行,应采用双机服务器和从服务器。一旦发生服务器故障,由从服务器自动接替主服务器工作。
2.2有效的设备管理
设备安全主要涉及到由于自然灾害、人为因素造成的数据丢失。信息安全应建设完善的容灾备份系统,容灾备份系统一般由两个数据中心构成,主中心和备份中心。通过异地数据备份,实时地将主中心数据拷贝至备份中心存储系统中,使主中心存储数据与备份中心数据完全保持一致。同时,对于管理系统中使用的设备品牌、机型、内部配置以及使用时间等信息都要进行专门的记录,通过这些记录,定期对设备进行维护,同时也能够通过这些信息判断出信息的使用效率以及运行情况,对于设备的损坏或者是丢失情况都能够及时地了解。
2.3加强对人员的监督与管理
企业信息安全不单纯是技术问题,而是一个综合性的问题。其中最重要的因素是人,人是设备的主要操作者,因此对于信息的安全管理,就需要加强对人的管理,需要操作人员具有足够的安全意识,对于每一位操作人员进行相关的培训,对于唯一的用户名和密码等信息要进行妥善保管,同时让操作人员认识到泄密会导致的严重后果,增强责任意识。只有通过不断地学习及意识的培养,管理人员才能养成定期维护、按时打补丁、及时更新的操作习惯,以不变应万变的态度应对各种网络攻击手段。通过不断的加强过程管理,通过对每个细节的严密审查,能够有效减少人为出错的现象,同时通过科学的评价机制和激励机制,刺激人员工作的积极性,加强自身的责任意识。
2.4网络传输安全
关键词:信息安全;管理体系;ISMS
中图分类号:TP315 文献标识码:A 文章编号:1009-8631(2010)05-0171-02
一、概述
当前,信息资源的开发和利用,已成为信息化建设的核心。信息作为一种重要的资产,已成为大家的共识。其一旦损毁、丢失、或被不失当地曝光。将会给组织带来一系列损失。这些损失是我们不愿意面对的。因此信息安全越来越成为大家关注的热点问题。前国家科技部部长徐冠华曾经指出:“没有信息安全保障的信息工程一定是豆腐渣工程”。
所谓信息安全,是针对技术和管理来说的,为信息处理体统提供安全保护,保护计算机软硬件及信息内容不因偶然意外和恶意的原因而遭到破坏、更改和泄漏。信息安全包括实体安全、运行安全、信息(针对信息内容)安全和管理安全四个方面:
1)实体安全是指保护计算机设备、网络设施以及其他通信与存储介质免遭地震、水灾、火灾、有害气体和其他环境事故破坏的措施、过程。
2)运行安全是指为保障系统功能的安全实现。提供一套安全措施(如风险分析、审计跟踪、备份与恢复、应急措施)来保护信息处理过程的安全。
3)信息安全是指防止信息资源的非授权泄漏、更改、破坏,或使信息被非法系统辨别、控制和否认。即确保信息的完整性、机密性、可用性和可控性。
4)管理安全是指通过信息安全相关的法律法令和规章制度以及安全管理手段,确保系统安全生存和运营。
信息安全是一个多层面、多因素、综合和动态的过程。安全措施必须渗透到所有的环节。才能获得全面的保护。为了防范和减少风险,一般的信息系统都部署了基本的防御和检测体系,如防火墙、防病毒软件、入侵检测系统、漏洞扫描设备等等。这些安全技术和安全设备及软件的应用,在很大程度上提高了信息系统的安全性。但是这样做不能从根本上降低安全风险。解决安全问题。因为不能把信息安全问题仅仅当做是技术问题,日常所说的防范黑客入侵和病毒感染只能是信息安全问题的一个方面。一方面由于所有安全产品的功能都是针对某一类问题,并不能应用到所有问题上,所以说它们的功能相对比较狭窄,因此想通过设置安全产品来彻底解决信息安全问题是不可能的;另一方面,信息安全问题并不是固定的、静态的,它会随着信息系统和操作流程的改变而变化。而设置安全产品则是一种静态的解决办法。一般情况下,当产品安装和配置一段时期后,旧的问题解决了。新的安全问题就会产生,安全产品无法进行动态调整来适应安全问题的变化。有效解决上述问题的关键是搭建一个信息安全体系。建设体系化管理手段,通过安全产品的辅助,从而保障信息系统的安全。
二、搭建信息安全管理体系
(一)BS7799
信息安全管理体系是安全管理和安全控制的有效结合体,通过分析信息安全各个环节的实际需求情况和风险情况,建立科学合理的安全控制措施,并且同信息系统审计相结合,从而保证信息资产的安全性、完整性和可用性。国际上制定的信息安全管理标准主要有:英国标准协会制定的信息安全管理体系标准-BS7799;国际信息系统审计与控制协会制定的信息和相关技术控制目标-COBIT;是目前国际上通用的信息系统审计标准;英国政府的中央计算机和通信机构提出的一套IT服务管理标准-ITIL;国际标准化组织(IS01和国际电工委员会(IEC)所制定信息安全管理标准-IS0/IECl335。其中BS7799英国的工业、政府和商业共同需求而发展的一个标准,于1995年2月制定的、世界上第一个信息安全管理体系标准。经过不断的修订,目前已经成为信息安全管理领域的权威标准。其两个组成部分目前已分别成为IS017799和IS027001标准。BST799涵盖了安全所应涉及的方方面面,全面而不失操作性,提供了一个可持续发展提高的信息安全管理环境。在该标准中,信息安全已经不只是人们传统上所讲的安全,而是成为一种系统化和全局化的观念。和以往的安全体系相比,该标准提出的信息安全管理体系(SMS)具有系统化、程序化和文档化的管理特点。
(二)息安全管理体系(ISMs)
信息安全管理体系(LSMS)是组织整体管理体系的一个重要组成部分,是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。基于对业务风险的分析和认识,ISMS包括建立、实施、操作、监视、复查、维护和改进信息安全等一系列的管理活动。IS027001是建立和维护信息安全管理体系的准绳,它一般是要求通过确定的过程来建立ISMS框架:确定体系范围,制定信息安全策略,明确管理职责,通过风险评估确定控制目标和控制方式。整个体系一旦建立起来,组织就必须实施、维护和不断改进ISMS,保持整个体系运作的有效性。
(三)ISMS搭建步骤
当一个组织建立和管理信息安全体系时。BS7799提供了指导性的建议,即遵循PDCA(Plan,Check和Act)的持续改进的管理模式。PDCA循环实际上是有效进行任何一项工作的合乎逻辑的工作程序。对于搭建和管理信息安全体系,其PDCA过程如下:
1)信息安全体系(PLAN)
在PLAN阶段通过风险评估来了解安全需求,根据需求设计解决方案。根据BS7799-2。搭建ISMS一般有如下步骤:
A、定义安全方针:信息安全方针是组织的信息安全委员会制定的高层文件,用于指导组织如何对资产,包括敏感信息进行管理、保护和分配的规则和指示。
B、定义1SMS的范围:ISMS的范围是需要重点进行信息安全管理的领域,组织可根据自己的实际情况。在整个组织范围内、或者在个别部门或领域架构ISMS。
C、实施风险评估:首先对ISMS范围内的信息资产进行鉴定或估计,然后对信息资产面对的各种威胁和脆弱性进行评估,同时对已存在的或规划的安全控制措施进行鉴定。
D、风险管理:根据风险评估与现状调查的结果。确定安全需求,决定如何对信息资产实施保护及保护到何种程度限(如接受风险、避免风险、转移风险或降低风险)。
E、选择控制目标和控制措施:根据风险评估和风险管理的结果,选择合适的控制目标和控制措施来满足特定的安全需求。可以从BS7799-1的中进行选择,也可以应选择一些其它适宜的控制方式。
F、准备适用性申明(SOA):SOA是适合组织需要的控制目标和控制的评论,记录组织内相关的风险控制目标和针对每种风险所采取的各种控制措施。
2)实施信息安全体系(D01
在DO阶段将解决方案付诸实现,实施组织所选择的控制目标与控制措施。
3)检查信息安全体系(cHECK)
在CH ECK阶段进行有关方针、程序、标准与法律法规的符合性检查,对存在的问题采取措施,予以改进,以保证控制措施的有效运行。在此过程中,要根据风险评估的对象及范围的变化情况。以及时调整或完善控制措施。常见的检查措施有:日常检查、从其他处学习、内部ISMS审核、管理评审、趋势分析等。
4)改进信息安全体系(ACT)
在ACT阶段对ISMS进行评价。以检查阶段发现的问题为基础,寻求改进的机会,采取相应的措施进行调整与改进。
关键词:校园网;校园网信息;安全管理
中图分类号:G647 文献标识码:A文章编号:1007-9599 (2011) 11-0000-02
To Strengthen the Campus Network Information Security Management
Liu Yong
(Guangdong Maoming Shi Gaoji Jigong Xuexiao,Maoming525000,China)
Abstract:Rapid development in information technology today,the campus network has penetrated into the campus life of each person,but the corresponding situation is a campus network information security has become increasingly prominent,which threaten the normal operation of the campus network,the consequences of the campus network breakdown,school work can not be carried out,serious influence the school is in normal operation,therefore,to strengthen the campus network security management is very important.
Keywords:Campus network;Campus network information;Security management
一、引言
前年茂名市政府免费为我校提供了一条10M的政府网光纤,我校由此组建了校园网。校园网的组建后,学校办公自动化得以实现,校内的教师与互联网世界的联系也越来越紧密,极大的提高了学校的教学水平和办公效率。但是随着校园网逐渐深入到我们每一教师的教学和工作当中,网络所常见的问题也一并出现在我们每一位教师的面前,例如有些教师经常使用U盘在校内的电脑上进行交换数据的操作;或者在上网时随意下载文件等原因,经常就导致了校内某些电脑中病毒,而中毒后的电脑自然就会对正在正常运行的校园网系统造成威胁,出现大量无效数据堵塞校园网网络,使网络出现突然变得缓慢等现象,甚至在蠕虫泛滥的局域网中,使校园网瘫痪的事件屡有发生,所以我们必须加强校园网信息安全管理,从而确保校园网安全、稳定、高效地运行。
二、校园网信息安全的解决思路
校园网通过信息接入点与外部互联网相连,校园范围内部所有计算机所组成的局域网我们将其称为内网;信息接入点外部的网络我们将它称为外网。基于资金、设备和技术所限,我们校园网信息安全最主要的工作是保证内网的安全、稳定、高效地运行。这要求我们从两方面入手:分别是校园网主干网络设备的安全和校园网的安全使用
(一)校园网内网的安全
由于资金、设备和技术所限,校园网外部的网络信息安全我们不用考虑,也轮不到我们去考虑,我们要充分考虑的是校园网内部的信息安全,采取确实有效的防范措施来防止校园网内部各电脑主机对网络主干设备进行攻击而导致系统崩溃,保证校园网正常运行。
(二)校园网内各用户主机的安全
校园网的网络运行环境是一个十分复杂的环境,各用户主机安装不同的操作系统,各用户的的电脑使用水平差异较大等原因,使得各用户的主机难以避免存在各种系统安全漏洞,不及时修补这些漏洞,就会给电脑病毒以可乘之机,而中毒后的校园网用户主机会对校园网主干设备造成影响。
(三)控制校园网计算机病毒
计算机病毒是校园网信息安全的头号杀手,必须做到有效控制。在校园网主干网络设备和各用户主机都要求安装有效的杀毒软件,并且及时对病毒库进行更新,定期进行杀毒操作,坚持将计算机病毒扼杀在萌芽状态,使其对校园网信息安全的危害降到最低。
三、加强校园网信息安全管理的具体措施
(一)构建网络防范措施
如果单位经济条件允许建议在网络信息接入点使用硬件防火墙,防火墙可在校园网内部“编织”好一张安全的大网,保证校园网正常运行,是目前非常有效的网络安全防范手段,它提供一整套的安全控制策略,包括访问控制(例如ACL策略)、数据包过滤和攻击防范等网络必需功能,能有效地检测和防范校园网各种病毒的攻击、入侵,监控网络异常通信,并对攻击的主机进行隔离等,是我们校园网信息安全最值得信赖的好助手。
由于每间学校的内部地理结构有差异,我们很难从物理方面划分VLAN,但我们可使用具有网管功能的交换机中的VLAN的技术优化校园网内部网络结构,增强网络的灵活性,并根据不同的区域划分不同的网段来限制相互间的访问,达到限制用户非法访问的目的。
使用静态IP,在校园内一定要将各用户主机的MAC地址与我们事先分配给他IP进行绑定,并详细登记各用户的资料,如使用人姓名、职务、办公室、IP、MAC、联系电话等资料,方便对中毒的电脑主机快速定位提供依据。
在校园网服务器端使用网络行为管理软件,例如IP-GUARD(威盾)、聚生网管等,实时扫描客户端的主机的使用情况、流量信息,分析网络带宽流量,防止大量的长时间的占用网络带宽、防止使用BT、电驴等独占带宽的下载方式,造成网络拥挤、繁忙,做到遇故障能及时准确地定位和排查。
通过上述措施,我们基本上能保证校园网内网的信息安全,将网络病毒对校园主干设备的攻击降到最低的程度,使校园网的主干网络设备正常运行。
(二)加强校园网信息安全教育,养成良好的电脑使用习惯
校园网信息安全涉及到校内每一位教师,因此对于校园网用户来说,要进一步提高网络信息安全意识,加强关于计算机信息安法律知识的学习,自觉规范操作行为,同时掌握一些有关信息安全技术和技能,养成良好的电脑使用习惯,把可能的危险排除在发生之前。对于个人而言,可从以下几个方面入手:
现在多数用户在电脑中病毒或者因为其他原因导致电脑系统崩溃后,首要的选择是重新安装电脑系统,而安装系统时普遍采用GHOST覆盖安装方法。这种方法的缺陷是虽然电脑暂时可以使用,但病毒依然有可能保留在电脑的C盘内,建议在系统安装时先格式化电脑的C盘,然后再采用GHOST覆盖进行覆盖安装,磁盘文件格式要采用NTFS格式,系统安装好后立刻进行全硬盘病毒扫描,可减少安全隐患。
及时对系统进行漏洞扫描、修补个人电脑的系统漏洞。现在网络上比较流行的一款软件360安全卫士就具有这方面的功能,它能及时扫描你的电脑系统是否还有容易被电脑黑客攻击的漏洞,并及时通知你修补这方面的漏洞。这里要注明一下的就是:有很多电脑用户为图方便不喜欢花时间做这方面的工作,理由就是我的电脑一旦中毒,我就重新安装系统。这种习惯在自己家里没什么大问题,但现在我们同处在一个校园网的大环境下,一台电脑中病毒就有可能会对整个校园网系统造成攻击,使大家都无法正常上网。因此我们应定期使用类似360安全卫士这类软件漏洞扫描、修补个人电脑的系统漏洞。
操作系统安装完成后,要对系统的安全策略进行必要的设置。如登录用户名和密码。用户权限的分配,共享目录的开放与否、磁盘空间的限制、注册表的安全配置、浏览器的安全等级等,使用系统默认的配置安全性较差。
使用个人防火墙和反病毒软件,目前互联网上的病毒非常猖獗,达几万种之多,传播途径也相当广泛。可通过u盘、光盘、电子邮件和利用系统漏洞进行主动病毒传播等,这就需要在用户计算机上安装防病毒软件来控制病毒的传播。在单机版的防病毒软件使用中,必须要定期或及时升级防病毒软件和病毒码特征库。现在互联网上很多杀毒软件功能强大而且都是免费的,例如360安全卫士、360杀毒等,如果我们能安装这类杀毒软件和防火墙,一般都足以抵御各类网络攻击,它能够在一定程度上保护操作系统信息不对外泄漏,也能监控个人电脑正在进行的网络连接,把有害的数据拒绝于门外。
四、结束语
校园网信息安全牵涉到校园内的每一个用户,想享用安全、稳定、高效的校园网络,我们必须加强校园网信息安全管理,确保校园网正常运行,让校园网络为我们的教学和办公的好助手。
参考文献:
[1]谢希仁.计算机网络(第4版)[M].电子工业出版社
关键词:信息安全等级保护信息安全管理体系
ComparisonofCPISandISMS
LiJun(InnerMongoliaAutonomousRegionPublicSecurity)
XieZongxiao(ChinaFinancialCertificationAuthority,CFCA)
Abstract:Basedontheanalysisofdefinitionofclassifiedprotectionofinformationsystem(CPIS)andinformationsecuritymanagementsystem(ISMS),fromthelogicalframework,theimplementationofprocessesandcontrols,wecomparedboth.
Keywords:informationSecurity,CPIS,ISMS
1信息安全等级保护(CPIS)
信息安全等级保护,或者信息系统安全等级保护(简称等级保护),在公文中,一般是前者,但是在标准中,例如,最典型的GB/T22239—2008和GB/T22240—2008用的标题是后者。单就这2个标准而言的话,描述的对象却是主要围绕“信息系统安全”,而不是广义的“信息安全”。当然,本质上来说,等级是针对“信息系统”划分的,而不是针对“信息”划分的。在实践中,这两者不需要刻意区分。等级保护具体的定义如下:
信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和8SeEVmi7me7sxRCjGkySNg==存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
这个定义来自《关于信息安全等级保护工作的实施意见》(公通字〔2004〕66号1))[2,3]。
注意信息系统的定义:
信息系统是指由计算机及其相关和配套的设备、设施构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络;信息是指在信息系统中存储、传输、处理的数字化信息。
信息系统的定义也来自《关于信息安全等级保护工作的实施意见》。更早的相关定义,应该来自GB17859—1999,其中的定义3.1,定义了计算机信息系统(computerinformationsystem),具体为:
计算机信息系统是由计算机及其相关的和配套的设备、实施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
这种人机系统的定义,在实践中不容易理解,但是最接近学术中的最初理解,例如,Davis(2000)[4]认为信息系统包括信息技术设施、数据、应用系统和人员(informationtechnologyinfrastructure,data,applicationsystems,andpersonnelthatemployITto...)
2信息安全管理体系(ISMS)
原则上说,信息安全管理体系(简称ISMS)并不是一个专用术语,在较早版本的标准中2)对其进行了定义3),满足其中描述条件的应该都是ISMS[5,6]。但實际情况是,由于这个术语起源于ISO/IEC27002和ISO/IEC27001的早期版本,属于新生出来的一个词汇,其他文献中,就很少见到。所以在实践中,ISMS几乎成了一个专用术语。这如同,一提“质量管理体系(QMS4))”,大家就认为是ISO9000标准族道理是一样的。因为某种产品过于普及,就成为某类行为的代名词,这是很常见的现象。例如,你把快递地址微信给我,或者,回头我把文件QQ给你。由于ISO/IEC27000标准族在全球范围内实施广泛,在实践中,就会有此类对话,例如:我们在做27001,意思是说,我们在部署ISMS,或者说,我们在根据ISO/IEC27001部署信息安全。
换个说法,ISMS是一整套的保障组织信息安全的方案(或方法),是组织管理体系的一部分,定义和指导ISMS的标准是ISO/IEC27000标准族,而这其中,ISO/IEC27002和ISO/IEC27001是最重要也是出现最早的2个标准。由于这个原因,导致这一堆词汇在实践中开始混用,而不必刻意地去区分。因此,在下文中,这几个词汇都认为是同义词:
·信息安全管理体系(ISMS);
·ISO/IEC27000标准族;
·ISO/IEC27002或ISO/IEC27001视上下文,也可能是指代ISMS。
3逻辑框架及实施流程的比较
等级保护是强制实施的,建立在一系列国家公文、一个强制性标准以及诸多推荐性标准的基础之上。ISMS则是建立在国际互认基础上的推荐性的标准5),这导致两者在框架上存在很大的区别。两者的框架对比,如图1所示。
或者说,对于ISMS来说,“组织(或企业)自己负责正确的应用6)”,目的是保护组织(或企业)自身的利益,(如果申请第三方认证)同时向其他人证明组织有良好的信息安全管理水准。对于等级保护而言,则是国家监管机构负责企业(或组织)正确的应用,主要目的是为了保护国家和公众利益。
4對“控制措施”理解的比较
等级保护的相关支持文件主要包括政府公文和国家标准,也可以称为“政策体系”和“标准体系”[2]。以一系列的公文作为依据,是等级保护的一个特点,倒不是因为ISMS缺乏国家监管,而是因为ISMS的监管与其他管理体系(例如,ISO9000和ISO14000等)基本一致,整个的架构设计倒显得没那么重要。等级保护是一个全新的设计,因此整个管理架构就显得非常重要,例如,《信息安全等级保护管理办法》(公安部〔2007〕43号)就是一个非常重要的公文,从国家层面确立了等级划分与保护、等级保护实施与管理以及可能涉及的分级保护管理等整个管理架构。
但是,就这两者的框架而言,还存在一个不同,即如何理解“控制措施”7)。简而言之,等级保护部署“控制措施”为中心,ISMS部署是以“控制目标”8)为中心。
这仅仅是一个描述方式的区别,严格讲,等级保护也是以控制目标为中心,虽然没有非常明确。因为所有的控制措施,最终还是为了实现安全目标。但这两者还是不同的,在等级保护中,一旦信息系统的等级被确定,控制措施都是确定的,同时也要注意,等级本身已经隐含了信息系统的控制目标。对于ISMS而言,由于是自愿部署,组织自己负责识别安全要求,自己设定控制目标,之后自愿部署控制措施。
通俗地讲,等级保护中,是组织和监管机构共同确定(是组织确定,之后提交监管机构确认)信息系统等级(其中隐含着控制目标),然后按要求部署。在ISMS中,是组织自己确定控制目标,然后按照要求部署,是一个自圆其说的逻辑。在下文中,我们讨论定级备案等过程,两者的区别就很清晰了。
当然,无论是等级保护还是ISMS,“控制”都是其核心内容之一,在等级保护中表现为GB/T22239—2008,在ISMS中表现为ISO/IEC27002:2013。
在GB/T22239—2008中,针对不同安全保护等级应该具有的基本安全保护能力,提出基本安全要求。标准的架构,如图2所示。
在基本要求的基础上,自上而下又分为:类、控制点和控制项[7]。在图2的10个大类中,每个大类下面分为一系列的关键控制点,控制点下又包括了具体的控制项。本文中不再讨论具体条款,具体可以见参考文献[8]。
在ISO/IEC27002:2013中,并不区分技术要求或管理要求,或者说,不关心实现途径。其中控制的描述结构,自上而下又分为:类、目标和控制。具体而言,就是包含了如表1所示,ISO/IEC27002:2013描述了14个大类,这些大类又细化为35个目标,接着由114项控制来实现相应的目标。
具体到每一个主要安全控制类和控制的描述结构,参考ISO/IEC27002:2013中的描述,如下所述:
每一个主要安全控制类别包括11):
a)一个控制目标,声明要实现什么;
b)一个或多个控制,可被用于实现该控制目标。
控制的描述结构如下:
控制
为满足控制目标,给出定义特定控制的陈述。
实现指南
为支持该控制的实现并满足控制目标,提供更详细的信息。该指南可能不能完全适用或不足以在所有情况下适用,也可能不能满足组织的特定控制要求。
其他信息
提供需要考虑的进一步的信息,例如法律方面的考虑和对其他标准的参考。如无其他信息,本项将不给出。
关于ISO/IEC27002:2013,可见参考文献[9]和[10]。
关键词:网络;会计;安全;管理
会计信息的安全是指会计信息具有完整性、可用性、保密性和可靠性的状态,它来自于会计数据的完整和会计数据的安全,并保证会计信息的持续性和有效性。随着网络的发展,信息技术越来越多的渗透到会计领域,但传统会计软件的设计多是考虑从业务操作功能上满足会计实务的要求,对其安全性的考虑较少。会计信息化的辅助软件虽然具备了强大的信息安全技术,但是又易使人陷入技术决定一切的误区。迄今为止,网络环境下的多种安全技术尚未能够确保信息的安全性。企业只有从技术和管理两方面构建会计信息安全系统,充分考虑技术的持续有效性,重视对安全工程建成后的管理,才能最大限度地保障网络环境下会计信息的安全性。国际信息安全管理标准(ISO/IEC 17799:2005)对于信息系统安全管理和安全认证的分析表明,解决信息系统的安全问题不能只局限于技术。更重要的还在于管理。因此,要让安全技术发挥应有的作用,必然要有适当管理措施的支持。按照该标准(ISO/IEC 17799:2005)“制订自己的准则”的建议,探讨管理对于会计信息安全的重要作用,兼重管理和技术。对于真正实现会计信息安全目标具有重要意义。
一、目前会计信息安全的现状及研究
目前会计实务中的信息安全面临诸多问题。如会计管理越权、不相容岗位分工不清会导致会计信息的损坏:在网络环境下,伴随电子商务的发展而出现的会计数据载体无纸化使会计数据被篡改成为可能:网络本身的安全性问题,则可能会使会计数据在传输过程中受病毒、黑客的威胁等。目前国内被大量使用的传统会计软件主要是代替手工会计核算和减轻会计人员的计账工作量,本身的安全性设计相对较差,当其在网络环境下使用时,上述的某些问题就更加显著。据一份针对英国900家不同类型组织做的问卷调查,1999―2000年有超过一半的政府机构及2/3的民营组织,正面临信息科技的不法入侵、滥用甚至破坏。而对大部分组织而言,信息安全的问题尚无一个明确的解决方案。许多文献针对会计信息安全问题进行了研究,但大多集中在技术方面。如电子数据的存储加密技术、传输加密技术、密钥管理加密技术和确认加密技术、数字签名等。也有很多文献从不同的角度对会计信息安全的管理保障进行了有益的探讨。本文从内部控制,计算机软、硬件管理的角度,参考ISO/IEC 17799:2005推荐的部分控制措施,探讨了针对会计实务的信息安全管理控制方法,结合对信息安全技术应用的分析,阐述了会计信息安全管理系统的构建过程中需注意的几个薄弱环节。
二、会计信息安全管理
(一)内部控制
2002年美国FBI(联邦调查局)和CSI通过对484家公司的调查,安全威胁和安全事件研究统计表明:超过85%的安全威胁来自企业内部。本文先从企业内部分析网络环境下会计安全问题。
1、确保不相容岗位相分离。防止越权。管理越权、分工不清这些问题在传统会计模式下也会出现,但应用信息技术后,信息载体的无纸化等特点使此类问题更易出现且较隐蔽,多数文献指出,实行用户分级授权管理,建立岗位责任制,并赋予不同的操作权限,拒绝其他非授权用户的访问。对操作密码要严格管理,指定专人定期更换密码。在会计实务中可以推广应用生物识别技术,其具有更多优点,比如会计与出纳有不同的权限,拥有各自的密码,因为会计与出纳工作往来频繁,密码被对方获取的情况时有发生,影响了会计信息的安全性。而生物识别技术如指纹只能本人在场的情况下方可操作,并且不存在遗忘或丢失的问题。
2、保障原始数据安全性。信息来源复杂性、接触信息的部门和人员多样性,增加内部控制难度,使原始数据错误、信息篡改的风险加大。例如,原始凭证是进行会计核算的原始资料,是证明经济业务发生的唯一初始文件,有较强的法律效力。在网络环境下,有些原始凭证是通过网上交易取得。如电子单据、电子货币结算等网络经营业务。为使其与纸质原始凭证在安全性上达到同样的功效,多数文献提出的建议是利用网上公证技术及各种加密技术。但以磁(光)性介质为载体的凭证易被篡改或伪造而不留任何痕迹的问题是计算机及网络本身的缺陷,即使是采用了网上公证技术,其法律效力仍无法与印鉴相比,因此其安全性并不能超过纸质原始凭证,作为会计核算唯一凭据的原始凭证,其地位至关重要,所以网上交易完成后必须索要纸质原始凭证,以备核对、保留,尽可能确保会计信息完整性、可用性。
3、保障会计档案安全性。会计档案是唯一保存完整的会计历史资料,是核实已发生会计活动最重要的依据,信息技术应用于会计后,部分会计档案是以磁性介质存储的。若保管、备份策略和方法不合理,会形成会计安全隐患。例如,电子档案存储介质体积小、无纸化等特点与传统档案相比更易于被窃取或泄漏,所以管理人员必须持有上岗证。并且要经常进行档案法、保密法培训。在收集过程中要注意相关设备或软件的收集,使会计电子档案在将来任何时间都可查阅使用。企业备份电子档案的同时。应对已存档的电子档案定期检查、复制。电子档案的定期复制的时间应根据存储介质的性质而定,在不浪费成本同时保障会计档案安全。
2008年6月,财政部公布的《企业内部控制基本规范》第4章明确指出:“内部会计控制的方法主要包括:不相容职务相互分离控制、授权批准控制、会计系统控制、预算控制……”有文献提出,将这些有效的内部控制方法、思想集成在软件功能中。单纯地依靠企业制定的内部控制制度来加以内部控制,当内部人员协同舞弊时,会导致内部控制制度的失效。将内部控制集成在会计软件中可以确保会计信息正确、安全。但将这些有效的内部控制方法、思想集成在软件功能中需要高素质会计人员及熟悉信息技术的人员参与,并且需要投入相当数量的资金。维护容易跟不上,因此现阶段对多数企业来说有一定困难,但资金、人员基础好的企业可以实施;并且要把基于PDCA(Plan,Do、Check和Act)的持续改进的管理模式应用其中。
(二)计算机硬件管理
PC客户端。数据存储设备,网络设备都会影响硬件系统安全。所以应制定主控机房和相应网络设备的管理制度,例如专
机专用。计算机机房充分满足防火、防潮、防尘、防磁和防辐射及恒温等技术要求,关键性的硬件设备可采用双机备份,硬件系统安全预警方案。同时采取相应的激励措施,把相应人员职责列入目标考核,与奖金相对应,提高其履行制度的积极性,确保计算机硬件安全。
(三)计算机软件管理
设计、开发的财务软件系统功能与用户实际操作不相适应,软件存在漏洞。软件售后服务不及时都会影响网络环境下会计安全。因此,在设计、开发和使用财务软件时,应重点考虑会计数据及会计软件系统自身的安全问题,采取的措施能有效确保系统安全运行。保障会计软件安全的具体措施有:
1、身份认证与权限控制。坚持多重登录和多重密码制。只有被赋予一定权限的人员、且密码核对吻合时才能进行相关业务操作,最好采用生物技术。 2、软件升级必须慎重,与原系统有可兼容性,便于查阅往年会计电子档案。
3、定期备份计算机工作日志文件。
4、选择售后服务好、财政部推荐的会计软件企业的产品。
(四)人为因素的管理
现阶段。多数企业的会计人员业务经验丰富。而计算机专业知识和网络知识却知之甚少,不能很好地胜任计算机和互联网相关会计业务处理工作。复合型高素质人才的缺乏制约着信息技术在会计中的应用,部分网络会计人员虽然具备较高业务水平,但缺乏职业道德素质。他们凭借精通网络会计的优势进行非法转移电子资金和会计数据、泄密等活动。多数文献提出要加快调整现行会计教育体系,加大对现有会计人员关于网络会计知识的后续教育。同时由于现阶段我国会计人员不可能通过短期培训就成为复合型高素质人才,所以还要从实际出发,使信息技术逐步应用于会计,在现阶段辅助以传统手工会计,确保会计安全,如电子交易中原始凭证的确认与保留。
三、信息安全技术的应用
网络的开放性使网络易受攻击,网络的庞大性使病毒易滋生、传播,会计更易面临诸如泄密、黑客的侵袭而导致企业跨区域协同工作或与企业合作方网上交易时会计信息被盗或丢失等风险。计算机网络病毒的存在直接破坏系统内重要会计数据,使系统不能正常运行,影响会计数据和信息的安全性和真实性。给网络系统安全带来了极大危害。多数文献指出电子商务的信息安全在很大程度上依赖于技术的完善,这些技术包括加密技术、认证技术、访问控制技术、信息流控制技术、数据保护技术、软件保护技术、病毒检测及清除技术等。但还应该注意以下方面。第一,采用以上技术的过程中需要花费一定的成本,一般情况下,费用是随着安全性的提高而增加的,所以在采用安全技术的同时要考虑成本收益因素。第二。破解安全技术的成本不需大于所保护会计信息的价值。如果盗取信息的人破解密码所花费的费用大于获得信息而得到的收益,将不会去截取信息。第三。好的系统和好的协议必须根据人的观念来进行设计。忽略易用性问题导致系统无法达到预期目标,安全功能非常难以理解,以至于用户无法正确使用,从而避开这些安全功能,或者完全不在使用该系统。第四。在网络本身存在种种安全性问题的情况下,要想保证会计的安全。在利用信息技术快捷的同时,在相当长的一段时间内仍要依靠印鉴来确保凭证、合同的有效性以明确经济责任。
四、结论
会计信息安全不仅依赖于会计信息技术的合理可靠应用。还依赖于一个完善的会计安全管理制度。既有的很多会计信息安全管理制度尚存一些薄弱环节,其完善是一个从实际出发的渐进过程。同时,会计信息技术在我国的应用也将是一个长期的过程,依赖于高素质技术人员的培训及各类相应配套设施的投资和建立。
参考文献:
1、潘婧,网络会计信息系统的安全风险及防范措施[J],财会研究,2008(2)
2、谷增军,基于数据加密拉书的会计电子数据安全对策[J],财会通讯,2008(2)
3、昊亚飞,李新友等,信息安全风险评估[J],清华大学出版社,2007
4、李筱佳,会计信息化对会计实务的影响及对策[J],财会研究,2009(6)
5、金丽荣,会计信息系统的安全控制措施[J],科技资讯,2008(1)
6、尹晓伟IT环境下会计电算化内部控制研究[J],会计之友,2008(11)
7、田志刚,刘秋生,现代管理型会计信息系统的内部控制研究[J],会计研究,2008(10)
8、郝玉清,网络会计的信息安全问题及其防范策略[J],北方经贸,2007(11)
关键词 管理;信息;安全;违章
中图分类号:X934 文献标识码:A 文章编号:1671-7597(2013)20-0163-02
随着科学技术的发展,信息化的进程越来越快,并在电力市场经济环境的促使下,供电企业开始加大自身的信息化建设,信息安全管理逐步得到完善。作为新时代的一员,每个人都自然而然的成为了信息化的一部分,所以信息化同时也影响着社会上的每个人,信息安全管理的问题也成为了人们最关切的问题。
1 信息安全管理的目标描述
1.1 信息安全管理的理念
信息安全就是要确保信息内容在存取、处理和传输过程中保持机密性、完整性和可用性。信息安全包含信息本身(数据)的安全和信息系统的安全。其中,数据安全就是防止数据丢失、防止数据被窃取,防止数据被篡改;信息安全就是要保证系统安全稳定运行,确保有权使用系统的人能顺利地使用,无权使用该系统的人无法访问它。
1.2 信息安全管理的范围和目标
1)信息安全管理的范围。海安县供电公司信息安全的范围包括:信息系统网络、业务应用系统及数据库服务器、计算机终端、桌面终端、移动存储介质等全方面的管理控制。
2)信息安全管理的目标及目标值。海安县供电公司信息系统安全管理严格按照上级单位要求,巩固公司信息安全防护基础,强化安全风险预控手段,提高应急反应和处置能力,确保网络与信息系统安全的万无一失。公司信息安全管理主要包括以下指标(见附表)。
2 信息安全分类考核的主要做法
2.1 建立信息安全分类考核机制的目的
为贯彻国网以及省市公司关于信息安全工作的管理要求,确保信息系统安全稳定运行,加强公司员工信息安全责任意识,界定信息安全违章行为,进一步明确考核细则,海安县供电公司借鉴生产安全的管理制度,出台了《海安县供电公司信息安全违章考核办法(试行)》。
2.2 信息安全分类考核的依据和原则
依据国家电网公司、省市公司信息安全考核管理工作要求,以“谁主管谁负责、谁使用谁负责、谁用工谁负责、谁是设备主人谁负责”为原则。
2.3 信息安全违章行为界定
违反国家信息安全有关法律和法规;违反国家电网公司和省市公司信息安全管理规章制度。
2.4 信息安全违章行为的分类
2.4.1 一般性违章(III类违章)
1)部门及人员未按公司要求及时签订《信息安全保密承诺书》。
2)计算机未按规定安装运行公司统一的防病毒软件、补丁更新策略、桌面终端管理软件等。
3)未按要求使用安全移动存储介质进行内外网信息交换;擅自删除或破坏已注册安全移动存储介质内的管理软件。
4)擅自卸载(含格式化)本单位规定安装的操作系统和业务应用系统客户端。
5)计算机未按要求进行注册或注册信息与责任人信息不一致。
6)在公司所有工作场所的计算机终端上做任何与工作无关的事情(如游戏、看电影或电视剧、聊天、炒股等)。
7)违反上级公司信息安全管理规定被认定为一般违章的其他行为。
2.4.2 较严重违章(II类违章)
1)计算机维修未按公司要求送至指定的电脑公司处理导致与工作有关的信息外泄。
2)计算机和硬盘更换或报废未按相关要求送至公司安全运检部进行规范处理。
3)在计算机上安装双网卡或双操作系统,进行内外网切换;私自拆卸与混用内外网计算机硬盘。
4)私自开启文件共享导致共享文件被非授权访问、破坏或造成泄密。
5)擅自更改计算机网卡的MAC地址或网络端口以及在网络设备上私拉乱接。
6)计算机、移动存储介质、应用系统、内网邮件系统未设置登录口令;设置了登录口令,但口令长度低于8位且不是由大写字母、小写字母、数字或符号中至少3种组合构成;使用系统内的通用密码;擅自新增用户,未按安全密码要求设置密码。
7)未按规定设置密码被桌面终端系统监控报警并经调查认定为弱口令事件。
8)未经许可在计算机上架设网站、游戏服务器、论坛等非正常网络应用服务。
9)在非计算机中存储和处理及通过互联网传输国家、公司的信息。
10)内网计算机私自带出公司。
11)擅自组建无线网络并接入信息内网。
12)干扰他人正常工作行为,包括:不真实信息、垃圾信息;散布病毒及木马;未经授权或通过口令猜测和破解等手段使用他人设备、系统、邮箱等。
13)擅自在内网计算机中安装黑客程序、端口扫描或漏洞扫描软件并使用其进行网络扫描或攻击破坏。
14)内外网计算机同处一室,经查实仍未按要求进行整改。
15)违反上级公司信息安全管理规定被认定为较严重违章的其他行为。
2.4.3 严重违章(Ⅰ类违章)
1)未经公司安全运检部安全检测和许可,擅自将计算机(含公用、私用笔记本、长期未使用的计算机、仓库报废的计算机、外来人员的计算机)等接入信息内、外网,被桌面终端系统监控报警并经调查认定为内网违规外联事件。
2)在内、外网计算机上利用无线上网卡、WIFI或具备上网功能的手机和PDA等设备访问互联网,被桌面终端系统监控报警并经调查认定为内网违规外联事件。
3)手机与内、外网计算机相连,用于充电、同步或收发短信(彩信)、邮件等,被桌面终端系统监控报警并经调查认定为内网违规外联事件。
4)违反上级公司信息安全管理规定被认定为严重违章的其他行为。
2.5 信息安全违章的督查
1)各类人员必须严格执行信息安全规章制度,遵章守纪。各部门、供电所(含工程队)必须认真开展自查自纠,对于发现的违章行为,严格按照“四不放过”的原则认真分析和严肃处理。实施四级信息安全日常管理制度,即个人每日一查、班组每周一查、部门每月一查、公司每季度抽查,并对管理不到位的相关责任人及管理人员进行考核。
2)对违章的查处采用专项督查、日常检查及应用工具软件检查相结合的方式进行。公司将对违章行为及相应责任者进行曝光,以使责任者和广大员工受到教育。
2.6 信息安全违章的处罚
1)处罚标准。
①I类违章:10000元以上或待岗处理。
②II类违章:500-2000元。
③III类违章:200-500元。
2)违章处罚的对象为公司全体员工(含农电人员),包括社会化用工、承(分)包单位人员、外协人员等。
3)连带责任考核。
连带责任考核标准:因管理不到位,视管理到位情况对相关部门、供电所(含工程队)的负责人、管理人员、班组长等进行考核。
4)对于信息安全反违章处罚的认定、处理有异议的,可逐级向上申请复议,最终以公司安委会的认定为最终结果。
5)一年内发生一起及以上严重违章,取消该部门、供电所(含工程队)当年度的先进集体评选资格。
3 评估与改进
3.1 信息安全违章分类考核的评价
参照生产安全中的管理方法,建立信息安全违章分类考核机制,有利于公司全体员工信息安全意识的灌输、宣传、培训,培养了良好的信息安全使用习惯,提高了全员信息安全技能水平,使信息安全意识深入人心。
建立信息安全违章分类考核机制至今,海安县供电公司信息安全工作获得省市公司的普遍认可与高度评价,没有发生一起违规内网外联事件。
3.2 信息安全管理的提升
1)加强信息安全防范工作。
近几年来,公司对信息化的依赖程度越来越大,对信息安全工作也越来越重视,信息化水平也取得了高速的发展,但同时也出现病毒泛滥、网络端口扫描、恶意软件、信息外泄等威胁,企业信息和企业信息系统未经授权被访问、使用、泄露、中断、修改和破坏。为适应不断变化的信息化工作,通过管理手段和技术手段强化信息安全管理工作非常必要。
2)持续提高运维人员业务水平。
随着信息技术的发展,公司信息化水平的提高,对信息系统运维人员的技能水平提出了更高的要求。因此,为适应信息系统运行与维护工作的需要,公司信息系统运维人员的技能水平和综合业务水平应该持续加强。
3)进一步加强员工信息安全意识。
加强对信息化人员的培训和全员信息安全意识宣传,通过多种渠道普及网络与信息安全相关知识。安全意识和相关技能的教育是公司安全管理中重要的内容,应当对公司各级管理人员,用户,技术人员进行安全培训,减少人为差错、失误造成的安全风险。
4 结束语
生产安全是供电企业生产管理的根本,而信息系统安全是供电企业安全生产的基础。许多生产安全管理中的制度、措施和办法,值得我们在信息安全管理中借鉴。
参考文献
[1]林世溪.电力企业网络信息安全防护体系的建立[J].华东电力,2010.
[2]杜新光.电力安全生产管理中存在的问题及其解决措施[J].中国电力教育,2009.
国家、省市已经颁布各种法律法规,各大单位也根据自己的具体情况,建立了自己的规章制度,维护信息安全已经有法可依。但是信息安全管理工作涉及的知识面非常广,需要了解国家信息安全管理法规,需要学习信息技术一般理论,需要知道信息安全漏洞知识,需要明白信息安全禁令范畴。为提高学习效率和质量,全面掌握信息安全理论和方法,按照信息安全管理知识体系,建设信息安全管理教学系统,提供学习信息安全管理的教学条件,从而为各方面人员学习和执行各种规章制度提供依据。相比其他管理工作,信息安全管理工作需要比较多的理工专业基础和比较高的电脑技术要求,在实际的信息安全管理工作中,需要灵活的信息安全管理处置能力,更多的是判断信息安全问题、识别信息安全陷阱、规范信息安全管理。由于知识背景和工作性质特点,管理干部需要花费更多的时间和精力学习信息安全管理知识和技术,才能具备基本的信息安全防范技能。为帮助他们更好地独立处置信息安全管理问题,掌握发现问题解决问题技能,依据现代教育理念和方法,不仅需要提供深入浅出、知识完备的知识体系学习训练系统,而且需要信息安全管理能力训练系统。
二、信息安全管理培训思路
为满足信息安全管理工作在人员培训方面的需要,需要依托各级培训学校,按照国家和省市地方的制度法规,借助现代教育思想,借助现代教育技术,明确符合实际需要的功能定位,建设信息安全管理复合应用型人才培训体系,实现信息安全管理工作对培训教育、终身教育的培训要求。
1.培训依据
(1)依据各种信息安全管理制度法规。信息安全人员在履行工作职责的时候,必须按照各种信息安全管理法规、制度和要求实施,制订人才培养方案和教学计划必须依据国家、省市和本部门的信息安全管理的相关规定,这样的教学内容才能保证人才培养的针对性和实用性,保证管理干部履行信息安全管理职责的有效性。涉及信息安全制度法规的相关文件很多,有的是专门为信息安全制订的,有的制度和法规散落在各个业务管理制度中。在建设信息安全管理知识体系时,必须将业务部门的相关规定融入知识体系中,使得管理干部在处理具体业务中的信息安全管理工作具有针对性和有效性。
(2)符合培训教育特点规律。信息安全管理技能是从事管理工作人员的基本技能,属于岗位专业培训或专业技能培训,属于培训教育培训。受训人员专业背景不同,理论基础不同,学习能力不同,必须避免材、统一授课、统一训练、和统一考核的传统教学模式,采取因人而异、因材施教的有针对性的教学方式,强调个性化学习,将不同层次受训者的信息安全管理能力达到信息安全管理工作所需要的水平上来。
(3)遵循现代教育思想。在实施教育训练过程中,现代教育思想要求采取“学为主体、教为主导”的教学理念,学员能够方便地获得完整的知识体系和解决问题的技能和方法,自主学习,开放学习,自主理解、掌握知识和技能。为实现教学目的,需要分析信息安全管理技能特点,需要分析管理干部学习动力,结合教学目标,设计学员学习和训练的教育训练环境,提供完整的知识体系、丰富的教学资源、模拟的问题情况、交互的学习平台和方便的使用途径,提供与培训教育特点规律和技能训练要求相适应的培训条件。
2.信息安全管理培训目标
按照信息安全管理工作的实际情况,培养信息安全管理工作中管理、业务和技术三支人才队伍,突出业务和管理人才需要,兼顾信息安全技术人员的人才培养,以现代教育思想为指导,以信息技术为核心支持技术,建设满足信息安全人才培养的现代培训条件。信息安全管理培训以管理干部为培训对象,以信息安全管理工作为培训内容,区分信息安全管理人员、业务干部和信息技术专门人员等不同层次,跟踪信息安全管理形势,实行阶段反复轮训,以适应信息安全管理不断发展的需要,确保信息安全管理工作的正常开展。
三、信息安全管理培训环境构建
为适应信息安全管理培训需要,适应管理干部培训教育需要,必须构建遵循信息安全管理规定、符合现代教育思想、依托信息技术手段、瞄准复合型适用人才培养的教育环境。信息安全管理培训条件涉及面很广,包括组织机构、舍堂馆所、师资队伍、后勤保障等等,这里我们更关心符合培训思路的培训模式和教学支持。从知识体系、学习途径、训练场所和训练系统多方面着手,构建信息安全管理训练体系,构建管理人员信息安全人才培养条件。依据教育信息化研究成果和培训教育教学特点,需要建立完整的信息安全管理知识体系,建立开放式、自主式教育网络平台,建立强时效性的教学资源体系,建立信息安全管理知识测试系统,建立信息安全管理能力训练系统,等等。
1.构建信息安全管理知识体系
培训教育的一个特点就是受训对象知识背景和技能掌握程度千差万别,必须首先建立完整的知识体系,以满足不同基础、不同需求受训者对知识掌握和能力训练的要求。知识体系必须建立覆盖学科知识和管理手段的所有内容,包括理论体系和教学资源两部分,其中理论体系包括基础知识、安全理论、规范制度、管理方法、历史沿革、防范手段和操作方法,教学资源包括现状分析、经典案例、技术讲解、训练题库和数据模型,适应和满足每个受训对象的需求。为满足个性化服务需要,可以按照知识点建设模块化框架结构,设计具备菜单选择功能的专家系统,允许受训者建立适合自己的个性化教学计划和实施方案,确保受训者完成培训任务后胜任安全管理的岗位需要。可以建立智能教学计划生成系统,系统对每位受训者进行知识和技能测试,按照教学目标,根据测试结果,将该学员没有掌握或掌握不够的知识内容和技能形成列表,从知识体系中搜寻相关知识和技能的概念、理论、技术和操作技能,形成该受训者个性化的教学计划。随着信息技术的发展和信息安全管理需求的变化,信息安全管理知识体系应该是动态更新的,剔除修改陈旧的,充实替换实用的。
2.搭建开放、共享和交流的网络平台
网络平台是信息资源共享的基础,是交流互动的基础。按照学科专业建设与管理规范建设知识体系,以数字化形式在互联网,实现信息安全管理教育资源共享。作为资源共享平台的网络平台,不仅为建设者资源共享提供平台,而且可以为学习者提供资源上传服务,成为学习者之间相互交流资源的共享平台,更为信息资源积累提供了很好的机制和存储条件。网络具有两个特点,一是允许网络用户365天24小时使用,可以提供受训者随时学习和训练,二是允许网络用户在任何有信息覆盖的地方登录,可以提供受训者随地学习和训练,这两个特点打破了传统教学时空的限制,为学员自主学习、教师开放教学、师生互动交流提供了可能,也为实施现代教育思想提供了条件。
3.建立虚拟讲堂
优秀教师的讲授可以将学习效果演绎得趣味精彩,可以将学习内容组织得明白易懂,可以将现实运用解析得透彻自然。为更多学员获得完美的教学体验,为积累并共享优秀教学资源,为学员快捷准确全面理解知识运用知识提供帮助,记录、整理并优秀教师或专家授课录像,供更多受训者学习参考。教学录像在网上成为虚拟讲堂,成为不同专业不同时期受训者良好的教学资源,目前全球风行的慕课,可以成为这种培训目的的教学模式,成本低,效益好。因为技术层面的因素,信息安全管理知识体系在理论基础和原理解释有大量不易理解的知识点和疑难问题,学习时需要佐证的理论和严谨的逻辑,需要传授者环环相扣的谨密推演,因此针对重要知识点和疑难杂诊的讲授片段是受训者自主式学习时需要的重要教学参考资料。各个大学基本都建设了网络课堂,为虚拟讲堂建设提供了很好的技术平台。依据此平台,建设信息安全管理和教学资源和网络课程,可以构筑完整的知识体系,为培训教育自主式学习提供了很好的学习资源。
4.建设信息安全管理实验室
培训教育能力训练是教学环节中的主要部分,验证理论、观摩操作方法和训练技能需要包括场所、设备和软件等实验条件,实验室是完成实验任务和检验方法效果必须具备的教学条件。理论、方法和技能的实验和训练是信息安全管理培训需要完成的教学环节,这些需要信息安全专业实验室的支持。信息技术具有可设计、可复制、可重用的特点,使得基于信息技术的教育训练条件具备降低训练费用、提高学员学习自主性、提供学员反复学习等长处,结合音频处理技术、视频处理技术、三维动画技术,可以为学员学习提供强烈逼真的感官刺激、美轮美奂的艺术表现和自主操控的虚幻体验。从训练目的而言,实验室可以分为虚拟实验室和能力训练场两部分。
(1)虚拟实验室。信息安全管理涉及大量技术手段,信息安全技术攻击和防范具有不可见、不易理解的特点,需要显而易见、通俗易懂的形象展示。虚拟实验室是依托信息技术按照实验室运行规律、要求和任务,以网页形式在计算机网络上建立的可以模拟实验室运行的软件系统。虚拟实验室内设信息安全管理所需要的各种理论、方法和技能引擎,可以多维形象地反复演示信息安全管理的理论、方法和技能,可以允许受训者以第一人称介入并依据受训者干预情况展示相应信息安全分析结果,虚拟实验室可以记录并考核受训者实验过程和成绩。