摘要:本文简述了国有大型企业信息安全现状,并就信息安全管理中心设计进行了深入分析,重点对建设方法设计进行了阐述。
关键词:国有大型企业;信息安全管理中心;设计与建设
随着社会的发展与技术的进步,目前我国已经进入了信息时代,社会信息化进程推进的速度逐渐变快,这使得信息安全管理工作承担的意义重大,同时也面临着越来越严峻的安全形势。国有大型企业当下的信息安全工作仍然存在着较多的问题,这对于企业的生产安全与运行稳定性是极大的安全隐患,因此应就建设国有大型企业信息安全管理中心进行深入探究,从根本上提升企业信息安全系数。
一、国有大型企业信息安全现状
随着信息技术的发展与普及,大多数的国有大型企业都开始逐渐应用最新的信息技术以更好的促进工作效率的提升,使得企业的发展符合当下的时代发展特点。我国的国有大型企业目前已经基本完成了信息化建设,其在企业日常运行的各个阶段均有对应的信息技术体现,例如人员管理系统、工业控制系统、机房建设、网络建设以及企业门户网站等,涉及到了企业发展的各个方面[1]。另外在完善信息系统的同时各国有大型企业也针对企业的安全建设追加了安全建设投入,并就技术应用的安全性出台了对应的管理制度。但随着各种信息技术的普及范围逐渐增大,原有的安全管理制度已经不能满足当下企业对于信息安全管理的要求,需要从多个方面完善管理流程,这样才能保证企业的信息系统以及相关技术的应用安全性。
二、信息安全管理管理中心设计
(一)技术体系架构设计
不同的企业针对的信息安全保护对象也各不相同,信息安全管理中心的技术体系需要包含多种元素才能起到对应的信息保护作用,包括主机、终端、网络、信息系统、技术应用以及数据等,每一环节对应的安全产品都有所差异。以网络安全为例,目前保护网络安全除了利用各种专业的杀毒软件以外关键是应用网络防火墙以及具有电脑漏洞扫描特点的安全产品与安全系统。因此可以将信息安全管理管理中心的技术体系架构总结为七个子系统:主机安全、终端安全、应用安全、4A安全、信息系统安全、数据安全以及网络安全,在多个子系统的共同辅助下才能保证整个企业的信息管理安全[2]。
(二)安全保护环境框架
从目前的情况来看,绝大部分的信息安全管理中心想要建设并起到对应的作用应该必须要具有安全通信网络、区域边界、管理中心以及计算环境四个基本条件,这几个部分的对应子系统各不相同。其中,安全管理中心的作用是监控管理整个管理流程,包括系统管理、安全管理以及审计子系统;计算环境总的支撑子系统与节点子系统是其中的重要组成部分[3];安全区域边界中的区域边界子系统承担着确定安全管理边界的责任;保证网络安全的通信网络中同样有通信网络子系统用以保证在技术应用以及安全管理中心执行管理任务时的网络安全性。
应用支撑子系统对应的是服务结构的安全支撑部分,将之与系统的主客体与环境各个要素一一对应;节点子系统是针对整个控制系统的各个应用环节制定系统安全机制,在系统的各个层级分别设置防护层,防止权限混乱出现越权访问信息资料的事件发生;系统管理子系统起到的是对各个子系统进行综合管理与维护,包括用户身份确认以及资源的统一调配等;审计子系统相当于信息安全管理管理中心的监督枢纽,为各个子系统设计对应的强制执行策略,帮助实现系统的行为审计,在紧急状态下也能够保证用户不触犯系统安全策略,保证了企业信息安全;安全管理子系统是控制枢纽,在授权以及策略方面起到了对应的作用,并在边界子系统与通信子系统的辅助下完成对系统的集中管控;区域边界系统是对来往于系统的各种类型的信息进行安全分析与深入检查,防止有不符合安全系统管理规定的危险信息流入到系统中[4];通信网络子系统能保证数据包的安全性与完整性,没有经过授权的用户不能取得修改数据的权限,从根本上保证了在信息传输过程中的稳定性与安全性。
期刊文章分类查询,尽在期刊图书馆
(三)建设方法设计
整个信息安全管理中心的最终目标都是为了将信息安全融入到各个阶段的任务中国, 包括规划、开发、运维、评价以及综合管理等,保证建设的信息安全运营体系具有科学合理与高效的应用特。为了进一步提升系统与网络的稳定性与安全性,针对国有企业信息安全管理系统较为庞大的特性,需要采取分步建设的方式逐步完善建设方案。
第一是建立安全运营监控中心。在建设信息安全管理管理中心应对企业的业务关键点进行充分了解,保证业务系统的实用价值并对其进行合理布控,猴子那个店强调关键绩效指标指导与考核信息系统运行质量,确认无误后就才能执行与实施对应的安全运营监控中心的工作任务。对于大型国有企业来说,将信息系统作为监测中心的重要针对对象,能够在覆盖整个系统的监测下实现对突发事件迅速反应以及对信息动态的快速掌握的工作目标,从而更好地完成事前预警与事发快速定位等工作任务[5]。整个安全运营监控中心在运行阶段应该具有综合展现、快速定位、事前预警以及综合展现等特点。
第二是建立安全运营告警中心。通过自动关联与配置规则能够对采集到的各类信息智能关联与判断,从而综合展现出信息系统中存在的具有预警与告警特征的事件,为运维管理人员对事件的定位与排查做好了铺垫。另外通过建立安全运营告警中心还能够通过其中内治的原处理接口智能分析事件类型,从而触发已经预先设置好的处理办法,实现对整个运维管理突发事件的智能化问题处理。
第三是建立安全运营事件响应中心。在制定安全工作流程时需要具有开发图形化与可配置的特点,以此建立的流程管理系统能够融入先进管理规范、管理实践以及工作流模型,为后续建立科学且符合用户使用特点的工作流程打下坚实的基础。中心的建立还能够帮助企业在日常安全运营管理工作中实现工作的表单化与流程化,继而大大缩短运营响应周期,以减少人工错误,将问题的各个处理环节融入到自动化系统中,从而实现自动的监督、审计以及工作流程的完善。
第四是建立安全运营审核评估中心。审核评估中心的建立目的是为了保证系统的运行质量与服务水平,以此实现对工作绩效的综合评估与考核。中心的工作内容主要应该包括运维投入与风险的平衡点的展现,以此作为在建立评估模型后用户获得的基本知识[6];对工作的处理、强度确定以及工作效率等进行完整的评估分析,实现处理与状态考核的功能;将多种类型信息的安全审计作为基本框架,建立以电子数据处理作为基础的信息审计系统,保证信息处理的及时性。
结语
综上所述,想要建立国有大型企业信息安全管理中心在保证所应用信息安全技术的先进性的同时,还应保证在信息安全建设中技术的准确性、整体性以及成熟性,从而到达对应的安全等级保护规范水平,继而为实现企业信息安全的统一监控、维护以及管理的目标打下坚实的基础。
参考文献
[1]王继业,陈晋,岳鹏晖等.国有大型企业集团财务集中管控信息系统的构建[J].财务与会计,2017,(18):27-28.
[2]孔璋璋.北京京能集团网络和信息安全风险管理研究[D].华北电力大学(北京),2017.
[3]中国信息安全测评中心资质评估处.2017年度中国信息安全从业人员现状调查报告[J].中国信息安全,2017,(10):54-56.
[4]宋述贵.大型国有企业信息系统建设过程中的风险控制研究[D].华北电力大学(北京),2017.
[5]金鑫,闫龙川,刘军等.基于决策树的企业信息系统故障自动诊断分析方法[J].电信科学,2017,33(3):163-167.
[6]张磊,王俊鹏.大型国有企业信息系统数据集成发展研究[J].数字通信世界,2018,(9):120,77.
论文作者:和新永
论文发表刊物:《基层建设》2019年第28期
论文发表时间:2020/1/14
标签:信息安全论文; 子系统论文; 管理中心论文; 系统论文; 信息系统论文; 大型企业论文; 企业论文; 《基层建设》2019年第28期论文;