摘要:随着公司信息系统、信息网络应用日益频繁,用户在体验便捷的同时,容易忽略信息安全防护,造成信息泄露。为了加强和规范企业信息安全防范,提高公司信息安全整体防护水平,实现信息安全的可控、能控、在控。本文结合本企业信息安全防护实际措施和工作经验,对信息安全防护措施进行了论述和研究,具有重要参考意义。
关键词:信息网络;安全防范;措施;管理
1.信息安全管理
企业信息安全管理实行统一领导、分级管理。确立了单位主要负责人是本单位信息安全第一责任人,信息通信公司负责本单位信息安全保障和协调工作。信息安全纳入同业对标考核,细分为内网桌面终端违规外联、内网桌面终端安全措施规范性、终端弱口令、内网保密检查系统敏感信息检查执行率、病毒感染率、准入系统安装率、内外网漏洞整改完成率等。
1.1信息安全管理职责划分
企业信息系统运检班具体负责本单位信息系统建设和运维工作,信息系统管理根据职责划分为:信息安全员、系统安全员、机房安全员、数据安全员。
1.1.1信息安全员的职责
负责网络信息安全,监督检查信息的报送、接受和传输的安全性;负责监督检查对外发布信息,保证符合安全保密规定;负责监督检查各部门涉密信息安全保密措施,防止泄密事件的发生;负责对信息泄密事件进行调查与技术分析。
1.1.2系统安全员的职责
负责信息网络操作系统及服务器操作系统的安装、运行和维护、管理,保障系统的安全稳定运行;负责对用户身份进行验证,防止非法用户进入系统;负责用户口令管理,建立口令管理规范和检验创建账户机制,避免口令泄露;负责实时监控系统,发现异常现象及时采取措施,恢复系统正常运行状态;
1.1.3机房安全员的责任
负责信息机房防火、防水、防静电、防雷击和防辐射等安全设施的管理;负责信息机房内部装修,落实电磁波防护等技术规范与要求;负责信息机房配电系统、空调系统的维护与管理;负责信息机房门禁及监控系统的维护与管理;
1.1.4数据安全员的职责
负责信息网络数据的安全,保障信息的保密性、完整性和可用性;负责对信息网络数据备份与恢复系统的维护与管理,实时对重要数据进行安全备份;负责对信息采集、传输及存储的技术手段和工作环境以及介质管理各环节的监督检查,发现问题及漏洞及时解决。
1.2信息安全管理措施
1.2.1制度建设
不断建立健全信息系统安全管理制度体系,通过操作规程实现安全管理和操作人员的标准化作业;定期对信息系统安全管理制度进行检查和审定,对存在不足或需要改进的安全管理制度及时进行修订。
1.2.2明确岗位职责
明确安全管理机构,设立系统管理员、网络管理员、安全管理员等岗位,并明确各岗位职责。应加强信息系统安全管理人员之间、信息职能部门和业务部门之间的合作与沟通,定期或不定期召开协调会议,共同协作处理信息系统安全问题。
1.2.3信息工作安全红线
严格信息调度运行7×24小时值班制度,严禁发生信息故障时不执行即时汇报制度;严禁无计划、超计划检修,严禁无告知、无审批检修,严禁在检修准备不充分的情况下开展检修。
1.2.4加强信息系统运行维护全过程管理
1、严格执行信息机房管理有关规范,确保机房运行环境符合要求,严格机房出入管理。要编制信息系统资产清单,建立资产管理制度,根据资产重要程度对资产进行标识。
2、对信息系统软硬件设备选型、采购、使用等实行规范化管理,建立相应操作规程,对终端计算机、工作站、便携机、系统和网络等设备实行标准化作业。强化存储介质存放、使用、维护和销毁等各项措施。
3、按照最小服务配置和最小授权原则,对安全策略、安全配置、日志和操作等方面做出具体规定,明确各个角色的权限、责任和风险;详细记录日常操作、运行维护记录、参数设置和修改等内容,严禁任何未经授权的操作;定期开展运行日志和审计数据分析工作,及时发现异常行为。及时根据需要进行软件升级更新,并在更新前做好备份;定期进行漏洞扫描,及时发现安全漏洞并进行修补;及时安装补丁程序,在安装补丁前做好测试和备份工作。
期刊文章分类查询,尽在期刊图书馆
4、及时升级防病毒软件,加强全员防病毒、木马的意识,不打开、阅读来历不明的邮件;要指定专人对网络和主机进行恶意代码检测并做好记录,定期开展分析;加强防恶意代码软件授权使用、恶意代码库升级等管理。
5、严格系统变更、系统重要操作、物理访问和系统接入申报和审批程序,建立健全变更管理制度。保证所有与外部系统的连接均得到授权和批准,进行必要的安全隔离,配置严格的访问控制策略,开展必要的安全评估。
6、建立和执行密码使用管理制度,使用符合国家密码管理规定的密码技术和产品。
7、对信息网络与系统运行状况等进行监测和报警;定期对监测和报警记录进行分析,根据需要采取必要的应对措施;应建立安全管理中心,对安全设备、恶意代码、补丁升级、安全审计等安全设施进行集中管理。
1.2.5加强数据存储管理
建立备份与恢复管理相关安全管理制度,严格控制数据备份和恢复过程,妥善保存备份记录,定期执行恢复程序。要切实根据需要开展业务应用容灾系统建设。
1.2.6加强教育培训
切实加强员工信息系统安全培训,提高全员信息系统安全意识;强化信息系统安全人员专业技能培训,做到培训工作有计划、有总结,培训效果有评价。要对关键岗位人员进行全面、严格的安全审查和技能考核,对在信息系统安全工作中做出显著成绩的单位和人员应给予奖励和表彰。对违反国家法律、法规和公司有关规定,造成一定不良影响和后果的,要追究其责任。
2.信息安全技术措施
企业采取多种技术措施,从机房基础环境治理、信息安全防范措施等,途径入手,切实保障内网信息安全运行。
2.1基础环境
对机房建筑,设置符合要求的避雷装置、灭火和火灾自动报警系统;设置温、湿度自动调节设施,控制机房温、湿度在设备运行所允许范围之内;保证双路供电,电源线和控制电缆采取隔离,避免互相干扰;采用接地方式防止外界电磁干扰和设备寄生耦合干扰;安装UPS电源,保障设备不间断运行,提高系统抗电源冲击;设置门禁系统,严格核查进出机房人员信息。
2.2信息安全防范措施
2.2.1严格访问控制
内部网络按部门划分不同子网,根据业务需求在核心交换上设置访问控制规则,对重要用户采取交换机端口IP MAC绑定策略。采用防火墙对内网边界实施访问审查和控制,严格审查访问用户需求和影响范围;
2.2.2统一身份认证
企业采用域管理模式,来集中管理域内账号和权限,账号信息保存在域控制器内,访问权限由域控制器统一管理。域控制器中包含了域内账号、密码,当终端入网时,域控制器首先鉴别终端是否属于该域,用户使用的登录账号是否存在、密码是否正确。企业具体要求接入终端进行身份认证、上接第285页
终端第一次接入网络要求进行注册、安全检查内容包括:杀毒软件检测、桌面客户端VRV检查、终端账号弱口令检查、密码复杂度检查、违规外联检查等。
2.2.3信息设备(系统)风险规避
绿盟科技“远程安全评估系统”安全评估报告,按月定期检测包括终端设备、网络设备、服务器风险存在。风险类别包含服务类、系统分类、应用程序分布、威胁程度分布。
3.结束
在信息网络发展应用的同时,加强信息安全防范措施,更好的保障用户信息资源,促使信息传输更加可靠。还需要近一步的探索和研究,从组织、管理、技术等措施入手,全面保障信息的安全性。
参考文献:
[1]周和平.班组建设系列讲座之三 班组管理与班组建设[J].现代班组,2011.
[2]王东升.赤峰供电公司引进班组管理软件系统,提高班组建设水平[J].现代班组,2009.
[3]企业应用集成.NET实现之道.北京:电子工业出版社,2007.
[4]C#和.Net2.0实战 平台、语言与框架.北京:人民邮电出版社,2008.
[5]葛秀慧.计算机网络安全管理[M].2008 清华大学出版社,58-90
论文作者:刘刚
论文发表刊物:《基层建设》2017年第35期
论文发表时间:2018/3/15
标签:信息安全论文; 信息论文; 系统论文; 机房论文; 安全员论文; 终端论文; 班组论文; 《基层建设》2017年第35期论文;