信息安全審核制度精選(九篇)
前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的信息安全審核制度主題范文,僅供參考,歡迎閱讀并收藏。
第1篇:信息安全審核制度范文
關鍵詞:等級保護;測評;信息安全;管理
中圖分類號:TP393
文獻標志碼:C
文章編號:1006-8228(2011)12-60-02
0 引言
信息安全等級保護作為國家信息安全工作的一項基本制度、基本國策,已經在全國實行多年,各信息系統運營使用單位都深刻認識到等級保護制度的重要性。在我國信息安全等級保護制度中,等級保護分五個工作環節――定級、備案、建設整改、等級測評和監督檢查。其中,等級測評是等級測評機構依據國家信息安全等級保護制度規定,受有關單位委托,按照有關管理規范和技術標準,對非涉及國家秘密信息系統安全等級保護狀況進行的檢測評估活動,是信息安全等級保護工作的重要環節。
隨著等級保護工作的不斷推進,等級測評機構的體系建設也在不斷深入,全國等級測評機構的數量在不斷增加,測評機構的品質和能力、測評人員的水平和素質、測評競爭環境等諸多方面的問題將不斷出現。因此,加強對等級測評機構的合理、有效監管,對提升測評行業質量,保證測評數據公正、客觀,以及保障重點行業的重要信息系統安全等至關重要。
1 國家層面對測評機構的監管模式
測評工作作為等級保護制度中最重要工作環節,具有明顯的專業性和技術性恃點,其政策導向性強。因此,僅有相關測評技術標準是不夠的,測評機構的體系化、規范化管理也是關鍵。
2009年7月公安部開始信息安全等級保護測評體系建設試點工作,其目的是探索信息安全等級保護測評體系建設和管理的模式和經驗,保證全國重要信息系統等級保護安全建設工作的順利開展。試點工作主要在浙江、重慶、河南、廣東等省市展開。其主要內容是根據《信息安全等級保護管理辦法》和有關技術標準完成五個方面的工作:一是檢驗并完善等級測評機構應具備的條件;二是檢驗并完善等級測評機構建設的主要內容;三是檢驗并完善等級測評人員管理的主要內容;四是檢驗并完善等級測評工作規范性要求的主要內容;五是檢驗并完善測評機構監督管理的主要內容等。從試點工作情況分析,國家對等級保護測評機構的監管模式采用的是能力評估和政府干預相結合的模式。
從工作程序上分為四個步驟:
(1)各測評機構向設區的市級以上所在地公安網安部門申請,公安網安部門根據《信息安全等級保護測評工作管理規范(試行)》對測評機構所提交的申請材料進行審核,審核通過后,提交給上一級公安網安部門報批,并予以受理。
(2)公安部網絡安全保衛局統一將各地上報的測評機構信息轉發給公安部信息安全等級保護評估中心,由評估中心按照《信息安全等級測評機構能力要求(試行)》對各測評機構進行能力評估。能力評估通過后,由評估中心將能力評估材料遞交公安部網絡安全保衛局審核批準。
(3)各省公安網安部門收到公安部網絡安全保衛局對測評機構審核的意見及相關證書,下發給各地網安部門。
(4)公安部信息安全等級保護評估中心在網站上公布測評機構名單,接受社會監督。
能力評估的內容和要求上,分為組織管理能力、測評實施能力、設施和設備安全與保障能力、質量管理能力、規范性保證能力、風險控制能力、可持續發展能力等七個方面和基本要求、約束性要求等兩個部分。
2 浙江省等級測評機構現有監管模式
浙江省信息等級保護工作一直處于國內前列,2006年就頒布了《浙江省信息安全等級保護管理辦法》(省政府第223號令),并在同年開展了全國等級保護試點項目。通過多年積累的經驗,2007年浙江省開始在測評機構管理、測評工作模式等方面進行探索,初步形成具有浙江特色的等級保護測評機構監管模式。
(1)以社會協會管理為主,政府監管為輔的管理模式
浙江省結合實際,政府層面出臺了《浙江省信息安全等級保護測評機構管理規定(試行)》,明確了省內從事等級測評工作的單位性質、條件和義務等要素。社會協會層面出臺了《浙江省信息安全測評機構資信等級評定管理辦法(試行)》實現測評機構資信等級一、二級管理,形成測評機構管理行業規范,變政府由市場參與主體向市場監管主體轉變,由管理審批型向管理服務型轉變、由直接行政干預向間接宏觀調控轉變。
(2)建立以行業自律管理為主的監管體系
嚴格測評機構行業自律管理,測評機構間簽署《信息安全等級保護測評機構行業自律公約》,強化機構自律化管理,進一步規范測評機構行為和工作秩序。
(3)建立機構統一管理標準,專控審查機構自身及人員能力建設
全省測評機構必須按照“審核標準統一,管理規范標準統一、技術標準統一、測評工具標準統一、報告樣式標準統一”的五統一規范開展測評工作,并由政府組織機構年審,設立準入準出機制。測評機構的能力審查對測評過程中技術人員行為的規范性、合理性和程序標準性,對機構業務范圍、管理能力和技術能力要求等給予明確規定,規范申請、審核、查驗和推薦流程,組建由公安、保密、密碼管理、信息辦和安全等部門專家組成的專門審查小組對機構背景、管理水平、資格和技術能力進行量化評價,作為推薦依據。同時,嚴格規范測評機構工作程序,加強對機構內部管理規范化建設督導,要求健全人員管理、項目管理、文檔管理、設備管理、保密制度等各項制度,要求制定《質量手冊》、《程序文件》、《作業指導書》、《測評過程記錄表單》等測評實施過程文檔,完善測評實施規程。
全省機構都已被要求必須獲得CMA中國計量認證,并被引導和鼓勵去獲得CNAS實驗室認證、ISO27001認證等。所有從業人員必須獲得初級以上“測評師”技術證書,測評工作中持證上崗。對測評從業人員要進行錄用考核、備案和背景審查等工作。
3 現有監管模式的不足
在現行的測評機構監管模式中,我們側重于對測評機構應具備條件(包括審核是否在境內注冊成立、注冊資本多少、法人資格、公司已有的資質、測評人員已獲得的技術認證等)的監管;僅關注機構是否已具有完備的保密管理、項目管理、質量管理、人員管理和培訓教育等制度,而對這些制度的落實情況及執行情況缺乏有效監督;對測評活動實施過程中的合法性,有效性問題缺乏必要的考量。
4 對測評機構進行有效性監管方法的探討
(1)對測評機構的測評大綱實行報備審核
測評大綱應是等級測評機構的整體測評策略性文件,能綜合反映不同測評機構從事等級測評活動的經驗、知識、測評方法和測評程序。基于對被測評單位的利益保護以及對測評機構的監管要求,測評大綱應具有法律效力,須報公安機關審核備案后使用。測評機構只有按照測評大綱中明確的指標嚴格檢測、測評,其測評結果才能真實地反映被測單位計算機信息
系統的安全狀況,為安全整改建設提供科學的依據和指南。
(2)對等級測評活動的各周期程序實行監督指導
等級測評流程分為四個階段:測評準備、方案編制、現場測評及報告編制,政府部門的督導工作須貫穿其中。如,在測評準備階段,為了避免測評小組成員和委托人之間存在利害關系,影響測評結果的公平、客觀、真實,測評機構在確定測評小組成員名單后讓測評委托人確認簽字,確認書要留檔備查,未經確認開展的項目測評報告不具有法律效力。方案編制中,必須明確測評對象、范圍、依據法律法規和標準、制定具體的測評檢查表,記錄文件要測評雙方簽字確認,方案和測評過程文檔應留檔備查。現場測評中,測評小組必須使用可信、安全等級測評工具采集數據,測評工具要向公安機關報備,現場測評要按照檢測程序全面檢測關鍵測評項,依據測評標準客觀、公正、準確評價,政府主管部門應隨機駐點督查現場測評過程實施情況。測評報告反映的是被測評單位信息系統的安全保護現狀,應具有法律效力,報告要使用標準模板,起草過程中測評機構和測評人員應當遵守國家的有關法律法規,保守被測評單位秘密、保障被測單位利益,政府部門有必要明確測機構及其工作人員的法律責任來規范其職業道德。測評機構的測評結果直接對信息系統運營使用單位的建設、整改和運營成本,以及對監管部門的行政監管成本產生影響,也就是說,測評報告對國家和社會都會產生影響。因此,測評機構要對自身的測評行為負責,政府主管部門將對機構及從業人員違反法律規定的行為予以民事、行政或刑事處罰。
(3)對測評人員實行從錄用到離職的全程監督
等級測評涉及用戶單位的核心業務系統,是一項高技術的專業安全服務,需要具有一定政治素質、道德素質和專業素質的測評人員來支撐。管理應進一步加大對測評人員的政治背景、從業背景、專業背景、技術素養的審查力度,建立完備測評人員檔案庫,考量測評機構測評人員穩定性,重點加大對離職測評人員的管控,明確保密條約,關注人員離職去向。
(4)制定測評機構優劣考量機制,促進誠信服務的企業文化
等級測評的執行主體是測評機構,測評機構的企業文化是否具有凝聚性,企業價值觀是否誠信,內部管理模式是否健康,關乎其市場競爭力,更關乎測評機構能否為信息系統安全等級保護工作提供安全、客觀、公正的檢測評估服務。因此,要求測評企業必須有一定的政治覺悟,要嚴格遵守國家有關法律法規,要承擔社會責任和法律責任,不能唯利是圖。政府部門要定期開展管理評審,制定考量測評機構優劣評判標準,完善被測評單位滿意度反饋機制,建立機構誠信狀況、信用狀況、評級結果等信息公開機制,將政府監管和社會監督結合起來,通過評星評級、市場退出和獎懲機制的建立,鼓勵誠信機構,懲戒不誠信機構,增加機構不規范測評行為的風險成本。
(5)規范價格體系,推動測評機構良性發展
等級測評是近兩年才興起的行業,政府要引導建立良好的測評市場價格體系,借鑒其他行業自律的經驗手段,避免惡性價格競爭,要保障等級測評有一定的利潤空間,以使得測評機構能朝更專業、更具實力方向發展,充分調動測評機構提升品牌建設、服務工作效率、專業能力、測評人員素質的內在動力。
第2篇:信息安全審核制度范文
信息安全大致可以分為兩個方面一個是管理層方面;另一個是網絡方面。本段將會對這兩個方面所包含的內容作一下概述,以方便企業在進行信息安全管理制度的建立上可以進行全方位的掌控。
1.1管理層方面
管理層方面的信息安全大致也包括物理層方面和管理層方面。
(1)物理層方面的信息安全主要是指物理環境建設安全尤其是信息中心物理環境安全。環境安全包括防火防水防自然災害和物理災害等。在環境安全中,企業必須要有足夠的認識,機房建設要嚴格按國家機房建設標準進行,做好防雷、防水、防靜電等安全措施,從而杜絕各類安全隱患的發生。對企業內部員工要加強計算機安全使用規程的教育,確保計算機在安全的環境中使用,保證人長時間離開計算機時斷開電源以確保安全。
(2)管理層方面的信息安全主要是指企業內部的管理制度建立是否完善,執行效果如何,企業內部員工對于信息安全的認識程度,企業內部員工職業道德的培養,企業內部員工信息安全的教育培訓,網絡技術人員技術能力的審核與培訓以及企業內部部門的分工等。企業必須要建立完善的信息安全管理制度,這個制度是由一個總的管理制度和各部門的管理制度和監督制度共同構成的。每一個部門根據信息資產內容的不同應該有自己相應的信息安全管理制度以確保制度的行之有效。其次要設有完善的監督機制來配合管理制度的實施,一個制度的建立,必須要能夠執行下去,且執行過程是有效的才能夠發揮管理制度的功效。而監督機制就是對制度執行情況的進行監測,對執行的效果進行審核作用的機制。其次是對于企業員工的職業素養和信息安全的教育培訓,這方面將在下一部分進行具體論述。最后就是對干企業內部各部門之間的分工。在一個企業內部是有一套自己的工作流程的,但是這個工作流程是伴隨著信息的流動產生的。所以在信息流動的過程中需要將信息轉變的過程進行分工,以此來保障信息在局部過程中的完整性,以防止一個環節出現問題導致全局崩潰的情況發生。對此,企業內部不但要細化工作流程,對于信息轉化過程也要進行分工,以防止問題的發生。
1.2網絡層方面
網絡層方面的信息安全主要是指網絡,系統和應用三個方面。在網絡層方面的信息安全不只存在于IT部門,它應該在整個企業內部的員工中都得到重視。(1)網絡。主要是包括網絡上的信息以及設備的安全性能。其中可細化為網絡層身份的認證,系統的安全,信息數據傳輸過程中的保密性,真實性和完整性以及網絡資源的訪問控制等。而這些網絡層的信息安全出現問題,可能導致有網絡黑客的侵入,計算機犯罪,信息丟失,信息竊取等威脅的存在。
(2)系統。造成系統層信息安全威脅的原因,可能出在兩個方面:操作系統本身就存在安全隱患,在配置操作系統的過程中存在安全配置的問題。
(3)應用。在應用層影響信息安全的問題上,是指應用軟件以及一些業務往來數據的安全,例如即時通訊系統和電子郵件等。當然,也包括一些病毒的入侵,對于系統所造成的威脅。
二、信息安全教育
2.1保密協議
在信息安全教育培訓的第一步需要對保密協議進行細致設計。有的企業認為,保密協議應該只針對于不同部門間需要保密的內容進行設計,使不同部門的員工簽署不同的保密協議。這是不妥的想法,而且也比較繁善。雖然不同部門間員工經常涉及到的信息保密不同,但有可能員工會有不同部門間的調配或者是不同部門間信息的相互獲取。所以在保密協議上要讓員工簽署的是整個企業內所有需要保密的內容都要進行保密協議的確認。有些企業認為保密協議的簽署應該是在員工熟悉信息安全制度和進行安全教育培訓之后再進行。這也是不妥的想法,因為在員工進入公司的那一刻幵始,他就開始接觸企業內的信息,所以需要員工在簽署勞動合同的同時就要進行保密協議的簽署。在新員工簽署保密協議的時候,企業的人力資源部門如果沒有對新員工講解企業保密協議,新員工對保密協議的內容都不了解而盲目簽署,這使保密協議形同虛設,并不能發揮真正的作用,新員工對干信息安全的重要性也就得不到足夠的重視,所以必須認真講解保密協議內容后,使員工理解保密協議的重要性再進行簽署。
2.2信息安全管理制度
信息安全管理制度確立以后,需要對員工進行信息安全制度的培訓。在培訓過程中,企業不光要對于員工本崗位信息安全內容作介紹,對于其他部門信息安全內容也要做介紹,以確保員工形成信息安全的意識。在企業內部,很多員工對于信息安全的意識不夠,甚至認為企業的信息根本就沒有什么重要性,在工作外的時間里隨意的就將企業的一些重要信息透露出去從而可能導致企業受到損失。對此,加強企業內部員工的信息安全教育培訓是十分重要的。其中培訓可以分為兩個部分。(1)對于企業內部所有員工進行信息安全意識的教育培訓。(2)對于企業內部的信息技術人員進行扣關技術知識的教育培訓。
2.3員工職業素養的教育
在企業內部對員工的職業素養也需要進行培訓。譬如對干一些業務員來說,職業素養的培訓是非常重要的,業務員手中掌握的業務信息對于企業來說是至關重要的信息,如果這方面的信息出現問題就可能導致企業業務的流失,以及業務的持續性中斷。所以企業要對內部員工的職業素養進行培訓,從而促使員工清楚保證企業的信息安全也是對一個員工職業素養的基要求。
2.4普及計算機及網絡知識的教育
企業內部員工根據職能的不同對于計算機熟悉程度的要求也是不同的。對于普通的辦公室職員來說,會簡單的基本操作就可以了。但是,如果從信息安全的角度來講的話,員工只會基本的操作是遠遠不夠的,必須要普及網絡安全等方面的知識。譬如在計算機旁盡量不要有水或飲料的出現,因為有可能因為員工的不小心而將水灑在計算機:,從而導致計算機的短路等情況的發生。還有,員工在使用U盤的時候,有可能將家見或是其他計算機k的病毒帶到企業內部,導致企、計算機被病毒入侵,促使信息的安全受到威脅。所以說,對于企業內部的員工,應該普及計算機及網絡知識的教育和培訓,以確保信息的安全,從而促使員工有更尚的信息安全意識。
三、結語
第3篇:信息安全審核制度范文
1.銷售系統設施建設。
硬件方面,各石油銷售企業都具有設施完善的中心計算機系統,供電采用UPS方式,采用“雙機熱備”的核心服務器工作模式,以確保整個硬件的可靠性和安全性;網絡方面,采用SDH光纖接入廣域網,包括接入層、匯聚層、核心層。核心層中路由器和交換機采用雙機模式,設備之間,層層之間以光纖方式連接,以均衡網絡負載。除了安裝必備的防火墻,部分企業為進一步提高安全防范能力還安裝了外網入侵檢測系統;大多數加油站采用SSLVPN方式訪問企業內部網,以保證網絡接入的安全性。在PC系統方面,大多數企業統一安裝了企業版的病毒防護軟件系統和桌面安全網絡接入系統,實現PC機的MAC地址綁定。
2.銷售系統信息化建設。
目前,企業的銷售信息系統主要包括:加油卡系統、辦公自動化系統、加油站零售管理系統、企業門戶網站、ERP系統等。信息系統具有如下特點:一是用戶眾多,幾乎所有企業管理人員都是各系統用戶;二是應用領域廣,涉及企業經營、管理、對外服務諸多方面;三是要求連續運轉,如ERP系統必須滿足7×24小時運轉。由于信息系統的安全運轉不僅關系到企業經營管理的可持續性,其數據的安全性和保密性更關系到廣大客戶的利益。所以,基于上述的原因,企業對銷售信息系統的安全運轉提出了更高的要求。
3.銷售系統的信息安全現狀。
石油銷售管理系統是關系國家安全、經濟命脈、社會穩定的重要信息系統,國家對其信息安全高度重視,并在《2006-2020年國家信息化發展戰略》中強調,我國要全面加強國家信息安全保障體系的建設,大力增強國家信息安全保障能力,實現信息化建設與信息安全保障的協調發展。同時,國內石油銷售企業也長期重視信息安全工作,逐步建立了相應的保障體系和規章制度,但還存在以下問題:
(1)范圍涉及廣泛。
石油銷售企業分支機構多,終端運營組織龐大且分散,以中石油集團為例,其截至2013年分布在全國的加油站已超過30000座。在如此龐大的銷售系統中,信息網絡承載著指導業務運行的重要功能。大量、分散部署的加油終端,必然會造成聯網方式的多樣化、網絡環境的復雜化。
(2)設備系統眾多。
石油銷售企業信息化管理系統中所涉及的設備精度髙、技術要求深,并且范圍廣泛,包括加油站、油庫等大量的自動化控制系統。因此,業務管理流程復雜,安全風險增大。
(3)人員素質不齊。
由于石油銷售屬于傳統行業,因此企業人員年齡跨度較大,對信息安全管理的職業組織參差不齊;甚至對于企業管理人員,對于信息安全的認識也多停留在紙上談兵;基層人員眾多,且直接面對客戶,流動性大,信息泄露風險極高。而且新生代的企業員工對計算機和網絡接觸早,應用水平高,日常使用頻繁,在缺乏網絡安全防護意識的情況下更易導致信息泄漏,甚至在好奇心理的鼓動下主動發起網絡攻擊行為,所以企業內網安全也成為一個突出的問題。
(4)資金投入有限。
國外企業在信息安全方面的資金投入達到了企業整體基建的5%-20%,而我國企業基本都在2%以下。全世界每年因信息安全方面的漏洞導致的經濟損失達數萬億美元,中國的損失也達到了一百億美元以上,但是中國企業在這方面的投資只有幾十億美元。因此,我國企業整體信息化安全建設預算不足。石油企業信息化工程是一項繁重的任務,需要在信息安全方面有更大的投入。大型油企需要建立復雜龐大的數據庫備份體系,建立并維護高效的網絡殺毒系統、企業級防火墻、IDS、IPS系統和完善的補丁更新及發放機制,以保證企業各方面的數據安全。建立這一復雜的系統需要大量的資金投入,而且其投入回報慢,因此石油企業普遍輕視這方面的投入和維護,信息安全建設相對于企業的發展整體滯后。
二、石油銷售系統的信息安全管理系統設計
石油銷售系統的信息安全管理系統是一個程序化、系統化、文件化的管理體系,以預防控制為主,強調動態全過程控制。建立相應的信息安全管理系統,需要從物理、信息、網絡、系統、管理等多方面保證整體安全;建立綜合防范機制,確保銷售信息安全以及加油卡、EPR等電子銷售系統的可靠運行,保障整體信息網絡的安全、高效、可靠運轉,規避潛在風險,供系統的可靠性和安全性。因此,石油銷售系統的信息安全管理系統構架分為以下組成:
(1)組織層面。
石油銷售部門應建立責任明確的各級信息安全管理組織,包括信息安全委員會、信息安全管理部門,并通過設立信息安全員,指定專人專項負責。通過這些部門和負責人開展信息安全認知宣傳和培訓,提高企業員工對信息安全重要性的認識。
(2)制度層面。
制定安全方針、安全管理制度、安全操作規程和突發事件應急預案等一系列章程,經科學性審核和測試后下發各級部門,提升企業的信息安全管理的效能,減少事故發生風險,提高應急響應能力。
(3)執行層面。
信息安全管理部門應當定期檢查和隨機抽查相結合,監督安全制度在各級部門的執行情況,評估安全風險,負責PDCA的循環控制。
(4)技術層面。
信息安全管理部門要提供安全管理、防護、控制所需的技術支持,全面保障企業整體信息安全管理系統建設。通常信息安全技術分為物理安全、網絡安全、主機安全、終端安全、數據安全以及應用安全等六個方面,主要包括監控與審核跟蹤,數據備份與恢復,訪問管理與身份認證,信息加密與加固等具體技術措施。通過有效的信息安全管理平臺和運作平臺,在最短時間內對信息安全事件進行響應處理,保障信息安全管控措施的落實,實現信息安全管理的目標。
三、結語
第4篇:信息安全審核制度范文
關鍵詞:電力信息化;安全保障體系;
1關于電力信息化及其建設模式特點
電力信息化是由電力信息基礎設施(PII)和信息化應用系統部分組成。計算機信息網絡及其通信網絡是電力信息化的基礎,各類電力信息資源的開發利用是電力信息化的核心。電力企業信息化是指各類電力企業在電力生產和經營、管理和決策、研究和開發、市場和營銷等各方面應用信息技術,建設應用系統和網絡,通過對信息和知識資源的有效開發和利用,調整和重構企業組織結構和業務模式,服務企業發展目標,提高企業競爭力的過程。企業信息化包括生產過程自動化和管理信息化兩方面內容。生產型企業信息化的重點在于生產過程中供應鏈的調配與優化,如發電廠的重點是生產過程自動化:商業銷售型企業,則利用信息系統進行訂單管理、客戶關系管理、營銷管理,與合作伙伴進行協作交流,如供電企業的重點是營銷自動化:無論哪類企業,其信息化的共同之處就是應具備辦公自動化、共享信息查詢、業務數據處理、電子郵件等基本功能即信息網扣安全保障體系的建立,如防病毒系統,防火墻系統、入侵檢測系統、存儲備份系統等。現針對不同類型的電力企業,探討在電力信息化的建設特點。
2電力信息安全現狀與需求
2.1電力信息安全內涵
電力信息安全是指電力主營業務系統及企業信息安全,保障不被未經授權者訪問、利用和修改,為合法用戶提供安全、可信的信息服務,保證信息和信息系統的機密性、完整性、可用性、真實性和不可否認性。
2.2電力信息安全存在的問題
1)信息安全意識薄弱。信息安全由于無法量化、未發生重大事故等原因,往往被忽視,不少單位的網絡與系統基本處于不設防狀態;另外,電力企業IT用戶由于不了解安全威脅的嚴峻形勢和當前的安全現狀,在使用個人計算機、應用系統、網絡時只關注易用性,忽視了安全性。
2)信息安全保障工作沒有常態化。信息安全保障工作以檢查為主,如電監會、上級公司的安全檢查,信息安全領導小組、工作組只在有信息安全事件發生時發揮作用,沒有形成常態化的工作機制。
3)信息安全運作機制不完善。主要體現在業務連續性計劃不完備、業務系統開發交付環節缺乏安全測試和對測試數據的管理、信息文檔管理不規范等。
4)短板現象顯著。電力企業辦公地理位置分散(如供電所、營業廳),不同片區的IT運行維護(以下簡稱運維)、安全管理缺乏規范,在信息化建設落后的地方,由于受經濟、技術水平等因素限制,往往存在信息安全短板。
5)系統安全設計不足。業務系統建設時缺乏安全設計方案,造成系統存在sql注入、跨占腳本攻擊、無詳細的審計日志、身份認證信息強度不足、軟件容錯性差等問題。
2.3信息安全保障需求
電力企業信息安全面臨的風險有病毒木馬、非法篡改信息、信息泄露、服務癱瘓,應對風險安全保障需求可分為信息安全管理和信息安全技術2大類 。
信息安全管理需求包括信息安全評估、安全策略規劃、制度規范和實施細則制訂、安全管理組織建立、信息安全培訓、信息安全運行管理、安全監控、應急響應和恢復、安全監督審計等方面;信息安全技術需求主要是通用信息安全技術手段(或安全服務),如身份認證、訪問管理、加密、防惡意代碼、加固、監控、審核跟蹤和備份恢復等。
3建立安全的電力信息保障體系
3.1信息安全策略
信息安全策略應由安全決策層制定并進行宣傳,可從省級電網層面制定公司安全策略,各地市級供電局負責貫徹落實。電力信息安全策略的制定應結合國家信息安全等級保護政策,以提升企業整體防病毒、防篡改、防攻擊、防泄密、防癱瘓能力為基礎,并結合自身信息化建設水平。
3.2信息安全管理
對比信息安全保障框架,電力企業在信息安全管理方面亟待加強,集中體現在以下幾個方面:雖然建立了信息安全管理組織,但并沒有有效運轉;公司員工仍認為信息安全是某一個IT部門的事,包括信息技術部內部部分管理人員,沒有樹立起全員信息安全意識;部分安全職責不明確或不履行職責,對安全管理制度置之不理;缺乏有效的安全通報考核機制;沒有建立起風險管理控制機制;信息安全管理體系沒有形成計劃、實施、檢查、處理閉環。
1)信息安全組織方面,應建立安全決策機構、管理機構、執行機構和督察機構。安全決策機構應由省級電網公司成立,并至少每年召開信息安全工作會議,通報電力信息安全現狀和安全規劃;督察機構可抽調企業內部各單位信息安全業務骨干組成,至少每個月對信息安全狀況進行檢察和上報;明確各級信息安全崗位職責,使安全管理組織真正運轉起來。
2)安全風險管理是對企業殘余風險的管理控制,防止風險發生。實施信息安全風險管理流程優化,控制變化帶來的風險,確保風險受控,實施年度風險管理審核機制, 由安全督察機構實施風險審核。
3)電力信息安全保障應引入PDCA閉環管理思想,建立安全監察評價機制和信息安全考核評價指標,通過對信息安全政策、標準、規章制度、措施執行情況的檢查及借助信息技術手段分析信息安全情況,不斷優化安全管理運作過程。
信息系統運維部門對系統安全風險最清楚,但運維人員通常怕擔責任,受批評,增加工作量,參與風險排查的積極性不高,故應調動一線運維人員排查風險的積極性,在各信息系統的管理維護部門內部建立風險排查機制,每個月進行排查,提交月報;安全管理人員與各信息系統的管理維護部門聯合組織專題排查;安全督察機構每年進行強制性抽樣檢查,形成部門主動排查為主,專家年度安全檢察為補充的安全監察機制。安全考核評價應結合安全監察,至少每年1次,先由各單位或機構根據自查情況進行自評估,之后由安全督察機構根據自評估結果,對部分部門實施強制性抽樣檢查,以保障安全考核評價的客觀性。另外,必須根據安全考核結果進行通報和獎勵。
3.3保證電力信息安全的技術措施
身份認證和訪問控制可通過公鑰基礎設施(publickeyinfrastructure,PKI)技術進行統一管理,建立省電網級認證授權中心,提供目錄服務、身份管理、認證管理、訪問管理等功能。實現主機系統、網絡設備、安全設備、應用系統等的統一身份認證管理。對營銷、財務等系統中的機密數據,應使用加解密、數字簽名、消息認證碼等手段進行保護,提高系統服務和數據訪問的抗抵賴性。目前,電力企業多數系統通信過程都未采取加密、數字簽名等安全措施,加之企業內網未實施有效的準入控制,這給電力信息安全造成巨大風險,必須盡快梳理各類信息的機密屬性,整體規劃,對應用系統進行升級改造,并實施內網準入機制。
電力管理信息大區網絡內部應建立病毒預防、檢測、隔離和清除機制,預防未知病毒入侵,迅速隔離被感染的主機,識別并清除網內的已知病毒。
加固是指對信息系統安全領域受保護的對象進行自身安全加固的保護,內容主要包括安全漏洞掃描、滲透性測試、對象補丁的獲取和實施安全、關閉不必要的服務和防止拒絕服務的攻擊5部分。針對終端安全,應由省級電網公司建立統一的桌面操作系統安全補丁管理體系、建立規范的桌面計算機系統軟件管理體系、建立完善的桌面計算機系統資產管理體系、建立嚴格的軟件監控管理體系、建立有效的桌面辦公安全管理規范和技術規范等。針對主機安全,需搭建統一的補丁測試環境,對電力典型業務系統進行補丁測試,建立統一的補丁測試、更新機制,建立主機平臺配置技術規范等。
監控和審計可提高信息的安全性,提高問題發生時的反應速度,有效預防安全問題的發生。應進行統一規劃,建立IT監控平臺。目前廣東電網等省級電網公司都已經開始實施監控平臺的建設。
備份恢復技術主要包括備份技術、冗余技術、容錯技術和不間斷電源保護4個方面的內容。備份恢復與容災中心具有關聯性,建立容災中心的單位應每年至少進行一次災備恢復的演練,沒有容災中心的單位應將營銷、生產、財務等核心數據定期進行異地備份,并定期進行備份恢復演練,提升應對自然災害的能力。
第5篇:信息安全審核制度范文
隨著近年來信息安全話題的持續熱議,越來越多的企業管理人員開始關注這一領域,針對黑客入侵、數據泄密、系統監控、信息管理等問題陸續采取了一系列措施,開始構筑企業的信息安全防護屏障。然而在給企業做咨詢項目的時候,還是經常會聽到這樣的話:
“我們已經部署了防火墻、入侵檢測設備防范外部黑客入侵,采購了專用的數據防泄密軟件進行內部信息資源管理,為什么還是會出現企業敏感信息外泄的問題?”
“我們的IT運營部門建立了系統的運行管理和安全監管制度和體系,為什么卻遲遲難以落實?各業務部門都大力抵制相關制度和技術措施的應用推廣。”
“我們已經在咨詢公司的協助下建立了ISMS體系,投入了專門的人力進行安全管理和控制,并且通過了企業信息安全管理體系的認證和審核,一開始的確獲得了顯著的成效,但為什么經過一年的運行后,卻發現各類安全事件有增無減?”
這些問題的出現往往是由于管理人員采取了“頭痛醫頭,腳痛醫腳”的安全解決方案,自然顧此失彼,難以形成有效的安全防護能力。上述的三個案例,案例一中企業發生過敏感信息外泄事件,于是采購了專用的數據防泄密軟件,卻并未制定相關的信息管理制度和進行員工保密意識培訓,結果只能是防外不防內,還會給員工的正常工作帶來諸多不便;案例二中企業管理者認識到安全管理的重要性,要求相關部門編制了大量的管理制度和規范,然而缺乏調研分析和聯系業務的落地措施,不切實際的管理制度最終因為業務部門的排斥而束之高閣;案例三中ISMS的建立有效地規范了公司原有的技術保障體系,然而認證通過后隨著業務發展卻并未進行必要的改進和優化,隨著時間的推移管理體系與實際工作脫節日益嚴重,各類安全隱患再次出現也就不足為奇。
其實,企業面臨的各種安全威脅和隱患,與人體所面臨的各種疾病有諸多類似之處,我們常說西醫治標不治本,指的就是采取分片分析的發現問題―分析問題―解決問題的思路處理安全威脅,通過技術手段的積累雖然可以解決很多問題,但總會產生疲于應付的狀況,難以形成有效的安全保障體系;類比于中醫理論將人體看為一個互相聯系的整體,信息安全管理體系的建立正是通過全面的調研分析,充分發現企業面臨的各種問題和隱患,緊密聯系業務工作和安全保障需要,形成系統的解決方案,通過動態的維護機制形成完善的防護體系。
總體來說,信息安全管理體系是企業在整體或特定范圍內建立信息安全方針和目標,以及完成這些目標所用方法的體系。它是基于業務風險方法,來建立、實施、運行、監視、評審、保持和改進企業的信息安全系統,目的是保障企業的信息安全。它是直接管理活動的結果,表示成方針、原則、目標、方法、過程、核查表(Checklists)等要素的集合,涉及到人、程序和信息系統。
針對ISMS的建立,我們可以從中醫“望聞問切對癥下藥治病于未病”的三個角度來進行分析和討論:
第一,“望聞問切”,全面的業務、資產和風險評估是ISMS建設的基礎;
第二,“對癥下藥”,可落實、可操作、可驗證的管理體系是ISMS建設的核心;
第三,“治病于未病”,持續跟蹤,不斷完善的思想是ISMS持續有效的保障。
望聞問切
為了完成ISMS建設,就必然需要對企業當前信息資源現狀進行系統的調研和分析,為企業的健康把把脈,畢竟我們需要在企業現有的信息條件下進行ISMS建設。
首先,自然是對企業現有資源的梳理,重點可以從以下幾個方面入手:
1.業務主體(設備、人員、軟件等)。
業務主體是最直觀、最直接的信息系統資源,比如多少臺服務器、多少臺網絡設備,都屬于業務主體的范疇,按照業務主體本身的價值進行一個估值,也是進行整個信息系統資源價值評估的基礎評估。由于信息技術日新月異的變化,最好的主體未必服務于最核心的信息系統,同時價值最昂貴的設備未必最后對企業的價值也最大。在建立體系的過程中,對業務設備的盤點和清理是很重要的,也是進行基礎業務架構優化的一個重要數據。
2.業務數據(服務等)。
業務數據是現在企業信息化負責人逐步關注的方面,之前我們只關注設備的安全,網絡的良好工作狀態,往往忽略了數據對業務和企業的重要性。現在,核心的業務數據真正成為信息工作人員最關心的信息資產,業務數據存在于具體設備的載體之上,很多還需要軟件容器,所以,單純地看業務數據意義也不大,保證業務數據,必須保證其運行的平臺和容器都是正常的,所以,業務數據也是我們重點分析的方面之一。
3.業務流程。
企業所有的信息資源都是通過業務流程實現其價值的,如果沒有業務流程,所有的設備和數據就只是一堆廢銅爛鐵。所以,對業務流程的了解和分析也是很重要的一個方面。
以上三個方面是企業信息資源的三個核心方面,孤立地看待任何一個方面都是毫無意義的。
其次,當我們對企業的當前信息資產進行分析以后需要對其價值進行評估。
評估的過程就是對當前的信息資產進行量化的數據分析,進行安全賦值,我們將信息資產的安全等級劃分為 5 級,數值越大,安全性要求越高,5 級的信息資產定義非常重要,如果遭到破壞可以給企業的業務造成非常嚴重的損失。1 級的信息資產定義為不重要,其被損害不會對企業造成過大影響,甚至可以忽略不計。對信息資產的評估在自身價值、信息類別、保密性要求、完整性要求、可用性要求和法規合同符合性要求等 5 個方面進行評估賦值,最后信息資產的賦值取 5 個屬性里面的最大值。
這里需要提出的是,這里不僅僅應該給硬件、軟件、數據賦值,業務流程作為核心的信息資源也必須賦值,而且幾個基本要素之間的安全值是相互疊加的,比如需要運行核心流程的交換機的賦值,是要高于需要運行核心流程的交換機的賦值的。很多企業由于歷史原因,運行核心業務流程的往往是比較老的設備,在隨后的分析可以看得出來,由于其年代的影響,造成資產的風險增加,也是需要重點注意的一點。
最后,對企業當前信息資產的風險評估。
風險評估是 ISMS 建立過程中非常重要的一個方面,我們對信息資產賦值的目的就是為了計算風險值,從而我們可以看出整個信息系統中風險最大的部分在哪里。對于風險值的計算有個簡單的參考公式:風險值 = 資產登記 + 威脅性賦值 + 脆弱性賦值(特定行業也有針對性的經驗公式)。
ISMS 建設的最終目標是將整個信息系統的風險值控制在一定范圍之內。
對癥下藥
經過上階段的調研和分析,我們對企業面臨的安全威脅和隱患有一個全面的認識,本階段的ISMS建設重點根據需求完成“對癥下藥”的工作:
首先,是企業信息安全管理體系的設計和規劃。
在風險評估的基礎上探討企業信息安全管理體系的設計和規劃,根據企業自身的基礎和條件建立ISMS,使其能夠符合企業自身的要求,也可以在企業本身的環境中進行實施。管理體系的規范針對不同企業一定要具體化,要和企業自身具體工作相結合,一旦缺乏結合性ISMS就會是孤立的,對企業的發展意義也就不大了。我們一般建議規范應至少包含三層架構,見圖1。
圖1 信息安全管理體系
一級文件通過綱領性的安全方針和策略文件描述企業信息安全管理的目標、原則、要求和主要措施等頂層設計;二級文件主要涉及業務工作、工程管理、系統維護工作中具體的操作規范和流程要求,并提供模塊化的任務細分,將其細化為包括“任務輸入”、“任務活動”、“任務實施指南”和“任務輸出”等細則,便于操作人員根據規范進行實施和管理人員根據規范進行工作審核;三級文件則主要提供各項工作和操作所使用的表單和模板,以便各級工作人員參考使用。
同時,無論是制定新的信息管理規章制度還是進行設備的更換,都要量力而行,依據自己實際的情況來完成。例如,很多公司按照標準設立了由企業高級領導擔任組長的信息安全領導小組和由信息化管理部門、后勤安全部門和審計部門組成的信息安全辦公室,具體負責企業的信息安全管理工作,在各級信息化技術部門均設置系統管理員、安全管理員、安全審計員,從管理結構設計上保證人員權限互相監督和制約。但是事實上繁多的職能部門和人員不僅未能提升企業信息系統安全性,反而降低了整個信息系統的工作效率。
其次,是企業信息安全管理體系的實施和驗證
實施過程是最復雜的,實施之后需要進行驗證。實施是根據 ISMS 的設計和體系規劃來做的,是個全面的信息系統的改進工作,不是單獨的設備更新,也不是單獨的管理規范的,需要企業從上至下,全面地遵照執行,要和現有系統有效融合。
這里的現有系統既包含了現有的業務系統,也包含了現有的管理體制。畢竟ISMS是從國外傳入的思路和規范,雖然切合國人中醫理論的整體思維方式,但在國內水土不服是正常的,主要表現就在于是否符合企業本身的利益,是否能夠和企業本身的業務、管理融合起來。往往最難改變的還是企業管理者的固有思維,要充分理解到進行信息安全管理體系的建設是一個為企業長久發展必須進行的工程。
到目前為止,和企業本身業務融合并沒有完美的解決方案,需要企業領導組織本身、信息系統技術人員、業務人員和負責 ISMS 實施的工程人員一同討論決定適合企業自身的實施方案
最后,是企業信息安全管理體系的認證和審核
針對我們周圍很多重認證,輕實施的思想,這里有必要談一下這個問題,認證僅代表認證過程中的信息體系是符合 ISO27000(或者其他國家標準)的規范要求,而不是說企業通過認證就是一個在信息安全管理體系下工作的信息系統了。更重要的是貫徹實施整個體系的管理方式和管理方法。只有安全的思想深入人心了,管理制度才能做到“不只是掛在墻上的一張紙,放在抽屜里的一本書”。
“治病于未病”
企業信息安全管理體系需要動態改進和和優化,畢竟企業和信息系統是不斷發展和變化的,ISMS 是建立在企業和信息系統基礎之上的,也需要有針對性地發展和變化,道高一尺魔高一丈,必須通過各種方法,進行不斷地改進和完善,才有可能保證ISMS 系統的持續作用。
就像我們前面案例中提到的某公司一樣,缺乏了持續改進和跟蹤完善的手段,經過測評的管理體系僅僅一年之后就失去了大部分作用。對于這些企業及未來即將建立ISMS的企業,為了持續運轉ISMS,我們認為可以主要從以下三個方面著手:
第一,人員。
人員對于企業來講是至關重要且必不可缺的,在ISMS建立過程中,選擇合適的人員參與體系建立是ISMS建立成功的要素之一。在持續運轉過程中,人員都應該投入多少呢?通常在體系建立過程中,我們會建議所有體系管理范圍內的部門各自給出一名信息安全代表作為安全專員配合體系建立實施,且此名專員日后要持續保留,負責維護各自部門的信息資產、安全事件跟蹤匯報、配合內審與外審、安全相關記錄收集維護等信息安全相關工作。
但很多事情是一種企業文化的培養,需要更多的人員甚至全員參與,例如面向全員的定期信息安全意識培訓,面向專業人員的信息安全技術培訓等,因此對于企業來講,除了必要的體系維護人員,在ISMS持續運轉過程中,若能將企業內的每名員工都納入到信息安全管理范圍內,培養出“信息安全,人人有責”的企業氛圍,則會為企業帶大巨大的潛在收益。且有些企業在面向自身員工展開信息安全各項活動的同時,還會納入客戶、合作伙伴、供應商等需要外界相關人員的參與,對外也樹立起自身對重視信息安全的形象,大力降低外界給企業帶來的風險。
第二,體系。
ISMS自身的持續維護,往往是企業建立后容易被忽視的內容,一套信息安全管理文檔并不是在日益變化的企業中一直適用的,對于信息資產清單、風險清單、體系中的管理制度流程等文檔每年至少需要進行一次正式的評審回顧,這項活動由于也是在相關標準中明確指出的,企業通常不會忽略;但日常對于這些文檔記錄的更新也是必不可少的,尤其是重要資產發生重大變更,組織業務、部門發生重大調整時,都最好對ISMS進行重新的評審,必要時重新進行風險評估,有助于發現新出現的重大風險,并且可以將資源合理調配,將有限的資源使用到企業信息安全的“短板”位置。
唯一不變的就是變化,企業每天所面臨的風險同樣也不是一成不變的,在更新維護信息資產清單的同時,對風險清單的回顧也是不可疏忽的,而這點往往是很多信息安全專員容易忽視的內容。持續的維護才能保證ISMS的運轉,有效控制企業所面臨的各種風險。
第三,工具。
工具往往是企業在建立ISMS過程中投入大量資金的方面,工具其實是很大的一個泛指,例如網絡安全設備、備份所需設備、防病毒軟件、正版軟件、監控審計等各類工具,即使沒有實施ISMS,企業在工具方面的投入也是必不可少的,但往往缺乏整體的規劃及與業務的結合,經常會出現如何將幾種類似工具充分利用,如何在各工具間建立接口,使數據流通共用,哪些工具應該替換更新,數據如何遷移,甚至出現新購買的工具無人使用或無法滿足業務需求等問題,導致資金資源的浪費,因此在持續運轉ISMS過程中,根據風險評估報告,及信息安全專員反映的各部門業務需求各種信息數據的收集,應對工具進行統一規劃,盡量減少資源的浪費。
第6篇:信息安全審核制度范文
關鍵詞:計算機技術;網絡數據庫;安全管理技術
引言:
數據庫安全管理的工作重心應始終放在保證用戶信息數據的完整性、一致性、安全性和保密性等方面,通過對硬軟件的規律維護、用戶賬號驗證、審核訪問操作、數據管理,備份與恢復、建設網絡防護系統等措施開展安全管理工作。對此,管理人員應積極加強工作能力的培養,切實落實管理步驟,保證信息安全。
1目前網絡數據庫存在的安全問題
1.1軟硬件的穩定與安全問題
硬件的質量與狀態是確保數據庫運行穩定性與安全性的前提,若出現硬件故障和問題,可能會導致數據庫系統崩潰,信息數據丟失或損壞;系統與軟件的安全問題表現在版本落后、漏洞沒有及時修復等,若無法及時解決,則可能造成信息數據遺失、或遭泄露、篡改等。
1.2賬戶認證環節缺乏有效管理
目前數據庫的用戶密碼強度普遍偏低,在賬戶配置等方面留有隱患,加之賬戶審核與認證環節缺乏有效管理,嚴重威脅了數據庫的安全。
1.3信息數據加密、備份與恢復工作不到位
數據庫運營應時刻防范黑客攻擊和病毒、木馬等的入侵,同時也應加強信息的加密、備份與恢復工作,否則可能導致庫內信息被輕易破譯,或在遭遇非法操作與攻擊時無法及時恢復應有狀態,對用戶造成損失。
1.4管理制度與體系不夠完善
目前與網絡信息安全相關的管理制度依舊不夠完善,法律對影響信息安全行為的打擊力度不足,且由于數據庫運營方安全管理體系建設不足,安全管理工作多由信息管理員兼任,導致了管理人員工作能力與精力不足、工作效率低、管理措施落實不到位等問題[1]。
2加強網絡數據庫安全管理的措施
2.1加強對軟硬件的維護與管理
為保證數據庫系統的安全與穩定,需要加強對軟硬件的維護與管理。維護人員應對電源、網絡服務器和線路等硬件設備進行規律性的檢修、維護、調整、更換與更新,確保硬件設備以最佳狀態運行,同時,也應及時對系統和軟件進行調整與更新,及時修復漏洞,定期查毒,確保軟件性能和設置的安全性。
2.2加強賬戶認證,對賬戶信息進行加密
加強賬戶認證、增強密碼強度、及時修補用戶配置預設中的隱患,是提升賬戶安全性的重要舉措。對此,應及時修復賬戶驗證系統中存在的漏洞與不足,使其達到應有的阻隔惡意訪問和操作的目標。為有效保護賬戶密碼和用戶個人信息的安全,安全管理人員應采取措施,對該部分數據進行強制加密,用以抵御不法分子的破譯與攻擊,增加破譯難度與成本,進一步加強數據庫信息安全建設。
2.3加強對數據的加密、備份與恢復
為增強數據的保密性,數據庫管理方應及時更新相關的加密技術,增加破譯成本與難度,從而有效保障數據安全,如今業內主流的加密技術大致可分為全盤加密和驅動級加密兩類。其中驅動級加密技術具有強制性和透明性的特征,操作上配置靈活、方便調整、監督與控制,且不會影響用戶的正常操作,現已被廣泛運用于企業文件與數據的加密操作。在強化數據加密的同時,為有效防范因系統故障或遭攻擊等造成的信息數據遺失或損壞,應隨時做好數據備份、并及時在發生問題時進行數據恢復,盡量減少損失。目前在業內常用的數據備份與恢復技術包括數據轉儲、數據鏡像和日志登記等。另外,為防止數據被非法篡改或刪除,可對數據進行寫保護操作,或在用戶權限上加大對修改文件數據方面的審核與監控。
2.4積極建設并完善數據庫安全管理制度與體系
在采取各類優化、加密與保護措施的基礎上,數據庫管理方還應積極與相關部門展開合作,進一步建設并完善相關的管理制度與體系,增強管理人員的安全意識,具體包括設立專業的安全管理崗位,對員工進行安全管理培訓,提高管理人員的綜合素質與工作能力。完善并發展與網絡信息安全相關的制度法規,需要政府相關部門和數據庫管理方的通力合作和共同努力。對此,政府相關部門應對網絡信息安全問題給予高度重視,及時出臺相關的法律法規,明確運營方在保證數據安全方面的責任,并針對攻擊數據庫,損害或泄露重要、機密、敏感的信息與數據,危害他人利益的行為,追究當事人的法律責任。對數據庫運營方而言,應建立起一套完整的安全管理規章制度,并嚴格實施、貫徹到數據庫管理的各方面工作中。對此,管理方應積極設立安全管理方面的獨立崗位,明確區分安全管理職責與系統管理與維護職責,從而有效減輕數據管理員的工作量與壓力,進一步提升管理人員的專業技能水平,從而保證各方管理工作的有效進行,提高數據管理和安全管理的效率與質量。同時,單位還應積極開展安全管理相關培訓,加強到崗人員的工作責任感,提升其安全管理能力,培養其面臨突發狀況或故障時的處理能力,盡可能在保證規范操作的基礎上縮短處理故障所需的時間,盡量減少系統故障對用戶使用體驗的負面影響。在進行安全管理工作時,安全管理人員應始終堅持嚴格遵守相關規章制度,明確并規范具體操作流程,減少不規范操作可能帶來的故障與問題[2]。
3結語
積極增強網絡數據庫安全管理,有效防范泄露、篡改、非法竊取信息數據等行為,對維護先進網絡信息安全、構建和諧網絡環境意義重大。為此,數據庫管理方應積極采取措施,消除目前網絡數據庫的安全與穩定患,積極完善相關管理制度、提高管理人員素質,從而為網絡數據庫的未來發展提供安全保障。
參考文獻:
第7篇:信息安全審核制度范文
【關鍵詞】船岸網絡;信息安全;航運企業
0引言
一些航運企業已開始實施“數字化+互聯網”戰略,船舶運營參數及管理量化指標被轉移至信息更加透明的互聯網平臺,船舶所有人可以通過互聯網平臺隨時隨地查看船舶動態。航運企業將船舶全權委托給第三方船舶管理公司管理,并通過互聯網平臺監控船舶動態。這種管理模式帶來一個全新的課題:船岸網絡信息化程度越高,信息系統遭受攻擊導致數據泄露的風險越大。近年來已發生多起船員個人信息泄露導致的詐騙案件。這些個人信息泄露的源頭是船舶管理公司的信息系統。信息泄露會給個人造成損失,而信息系統遭受病毒攻擊則會給航運企業造成巨大損失。因此,信息安全對航運企業而言極為重要。
1船岸網絡管理現狀
船岸網絡技術的發展非常迅速,特別是海上衛星通信服務商提供的海上高速網絡在資費下降后極大地提高了船舶與管理方、服務供應商、租船人和船舶所有人/經營人之間的信息交換頻率。海上高速網絡的普及給信息安全帶來更大的隱患。網絡沒有物理界限,任何具有網絡攻防知識并熟悉船舶扁平化網絡架構的人或組織都可以通過Shodan搜索引擎獲得相關信息,對船岸網絡實施遠程攻擊。通過對衛星通信服務商IP地址段批量掃描發現:眾多安裝VSAT、FBB設備的船舶未加安全措施就向公網開放了21/80/445/3389等弱口令TCP、UDP端口;供應商為節約成本、方便遠程維護管理,將Cobham、KVHCommBox、Inmarsat、Marlink等產品內建的管理后臺映射到外網;絕大部分船舶沒有配置專業的硬件防火墻,岸基管理人員缺乏專業技能,最終導致船舶網絡安全得不到保障。
要做好船岸網絡安全工作,首先要了解船岸網絡設備運行機制和原理。船舶內網GPS、ECDIS、主機監控系統服務器等多網卡設備既通過串口總線和CANBUS、MODBUS等協議控制舵機、智能電站及壓載水調平系統等設備,又通過網卡和SNMP、NMEA等協議進行網絡通信,從而形成了一個可以網絡遠程控制的船舶物聯網。由于某些船用通信協議存在設計缺陷,例如NMEA0183協議通過明文傳輸,缺乏加密、身份認證和校驗機制,為實施網絡攻擊制造了機會――攻擊者只需遠程更改一兩個字符就可以命令船舶轉向。
2常見的網絡攻擊方式
廣義上對船岸網絡的攻擊主要有兩類:(1)無目標的攻擊。岸基或船舶內網操作系統和第三方軟件漏洞是潛在受攻擊目標之一,攻擊者利用0day漏洞進行廣撒網式的無差別化攻擊,近幾年馬士基航運集團和中遠海運集運北美公司遭遇的網絡攻擊屬于此類。(2)有針對性的攻擊。攻擊者將某船岸信息系統設定為滲透目標,利用專門開發的繞過技術和工具躲避網絡防御機制(如震網病毒事件),實施多步驟攻擊,其破壞程度較無目標的攻擊更大。
有針對性攻擊又分為以下6種類型:
(1)主動攻擊。攻擊者主動攻擊網絡安全防線。主動攻擊的方式為修改或創建錯誤的數據流,主要攻擊形式有假冒、重放、篡改消息和使網絡拒絕服務等。
(2)被動攻擊。攻擊者監視相關信息流以獲得某些信息。被動攻擊基于網絡跟蹤通信鏈路或系統,用秘密抓取數據的木馬程序代替系統部件。
(3)物理攻擊。未被授權者在物理上接入網絡、系統或設備,以達到修改、收集信息或使網絡拒絕訪問的目的。
(4)內部攻擊。被授權修改信息安全處理系統,或具有直接訪問信息安全處理系統權力的內部人員,主動傳播非法獲取的信息。
(5)邊界攻擊。網絡邊界由路由器、防火墻、入侵檢測系統(IDS)、虛擬專用網(VPN、DMZ)和被屏蔽的子網等硬件和軟件組成。硬件的操作系統與其他軟件一樣存在安全漏洞,攻擊者可利用操作系統漏洞,繞過已知安全協議達到攻擊的目的。
(6)持續性威脅。商業間諜組織可能會通過“釣魚手法”進行攻擊。如以“某某船公司2020中期戰略企劃書”為關鍵詞投放電子誘餌,通過文檔追蹤工具進行精準定位,誘騙受害人打開附件或點擊郵件鏈接從而入侵或破壞其信息系統。
3船岸網絡中易受攻擊的系統
船岸網絡中易受攻擊的系統有綜合船橋和電子海圖系統、配載儀和船舶維修保養系統、主機遙控和能效系統、保安限制區域閉路電視監控系統和各重點艙室門禁系統、乘員服務和管理系統、面向船員娛樂的公共網絡系統、船岸網絡通信系統、計算機操作系統及常用軟件等。
4船舶網絡安全配置建議
(1)禁用公網IP,使用URA系統遠程管理。
(2)修改系統默認密碼并使用高強度密碼。
(3)將船岸網絡操作系統和第三方軟件補丁、病毒特征庫升級至最新版本。
(4)對工控網絡、辦公網絡、娛樂網絡實施網絡隔離和訪問控制。
(5)通過策略制定公用電腦進程白名單,禁用USB接口。
(6)向船員普及網絡安全風險防范知識。
(7)要求設備供應商提供必要的網絡安全事件應對措施。
(8)不過度依賴遠程網絡監控技術,增加現場勘查頻率。
5網絡攻擊事件的處置步驟
(1)風險識別。定義相關人員的崗位和職責,確保在日常管理中能夠及時發現可疑風險。
(2)事件預防。制定風險控制流程和應急計劃,降低網絡風險,防范網絡攻擊。
(3)事件發現。檢查已確認的網絡攻擊事件,評估損失并制定后續恢復方案。(4)事件恢復。制定計劃使系統恢復正常運行。
(5)免疫措施。制定措施避免類似網絡攻擊事件再次發生。
6網絡信息安全團隊崗位職責
航運企業應設立信息安全官(CISO)崗位,其職責為:建立船岸網絡安全團隊并管理成員,牽頭制定全面的船舶網絡安全應急保護計劃(CSP),以持續保障船岸網絡安全。團隊成員崗位職責如下:
(1)對船舶VSAT/FBB設備端口映射及防火墻規則進行審核、分發、監控,熟悉Infinity、XchangeBox等通信管理系統的后臺設置,監控船岸網絡的可疑流量。
(2)對船岸內網信息設備和辦公電腦軟硬件及時更新維護,熟悉GTMailPlus、SkyfileMail、Super-Hub、RYDEX、AmosConnect等軟件操作知識。
(3)定期優化單船拓撲結構和更新船岸網絡病毒特征庫和漏洞補丁庫,不斷完善船岸網絡信息事故應急預案。
(4)收集供應商技術文件并集中存儲,向設備和服務供應商提交并跟蹤審核通導信息類設備保修工單(如KVH、Marlink、GEE、OneNet等)。
(5)跟蹤記錄新造船FBB、銥星移動通信系統、VSAT和船載物聯網設備安裝調試情況,審核通信類費用憑證。
(6)具備防火墻、路由器、入侵檢測系統、交換機的豐富知識,MacOS、Windows、Linux等3大操作系統及域控、數據庫的基礎知識,并能熟練使用SQL、CrystalReports提取分析數據。
(7)參與船岸網絡的設計開發和信息系統的迭代開發,提出必要的安全策略規范要求。
(8)具備妥善監控并處理網絡安全事件的能力和獨立撰寫網絡安全事件調查報告的能力,并提出改進措施。
7船岸網絡信息安全管理目標
船岸網絡信息安全問題從根本上說是人的問題,如何在制度上讓人遵守規則,如何在技術上減少或避免人為惡意攻擊,這是船岸網絡信息安全組織架構設計的目標。船岸網絡信息安全組織架構設計的總體目標可定義為:針對船岸網絡和信息安全需要,構建系統的網絡安全技術和信息防護策略及措施,通過制度管理和技術防范來規范員工行為,達到網絡和信息資產安全可控的目的,最終達到“外人進不來、進來看不到、看到拿不走、拿走用不了、操作可追溯”的目的。首席信息安全總監的基本職責是建立船岸網絡和信息安全團隊并確保團隊成員各司其職。團隊成員既包括企業內部的計算機安全專家,也包括企業外部的資深律師、會計師、技術專家等。
8經驗交流
網絡信息安全對于大部分人而言比較陌生。在實踐中,大部分航運企業由總裁辦(行政事務部)或保密部門負責網絡信息安全,而網絡信息安全職能又隸屬話語權不高的IT部門,最終導致企業網絡信息安全工作進展遲滯,制度實施緩慢。因此,建議由公司領導牽頭,技術保障部門負責具體實施。有條件的航運公司應該定期針對船岸網絡信息系統進行安全演習并配置網絡信息安全設備,以便當船岸網絡信息系統被攻擊時,能夠迅速作出應急反應,盡快恢復網絡系統,盡可能挽回損失。此外,在員工手冊、船員上船協議中應該賦予航運公司相關職能部門通過技術手段來防止內部威脅的權力,打擊隱蔽性較強的涉及船岸網絡的職務犯罪。
以某航運企業為例,2018年初由公司領導牽頭與某船級社聯合成立了船岸網絡信息安全專項課題組,針對公司船岸網絡的特殊性制定了一套通用船舶網絡安全管理體系,并在超大型集裝箱船試行《船舶網絡信息安全實施指南(征求意見稿)》和相關配套制度,如《船舶網絡信息資產管理辦法》《船舶VSAT、局域網及防火墻設置規范》《船舶網絡信息安全員崗位職責》《船員網絡信息安全應知手冊》等。此外,還對試點船舶就域控服務器(解決內網信息審計問題)、KMS激活服務器(解決操作系統、辦公軟件授權問題)、自建CA授權機構頒發數字證書(解決SHA256數據加密問題)、某開源局域網遠程管理軟件以及等級保護一體機硬件部署(解決病毒庫、補丁庫離線升級問題)等項目進行技術驗證,為下一步推廣應用船岸網絡信息安全課題研究成果奠定了良好基礎。
第8篇:信息安全審核制度范文
以來,我鎮在縣委、縣政府的正確領導下,在縣信息中心的幫助和指導下,認真按照市、縣關于電子政務工作的總體部署和要求,加強對電子政務的建設與管理,取得了一定的成效。現將我鎮電子政務工作自查情況報告如下:
一、主要工作及成效
(一)組織及制度建設情況。一是領導重視,機構健全。我鎮高度重視電子政務工作,成立了以鎮長任組長、鎮相關部門負責人為成員的鎮電子政務工作領導小組,統一領導鎮電子政務工作,研究決定鎮電子政務建設中的重大問題。領導小組辦公室設在鎮黨政綜合辦公室,并指定2名懂電腦操作、保密意識強的黨政綜合辦公室成員具體負責信息更新及網絡維護等日常工作,形成了機構健全、分工明確、責任到人的良好工作格局。二是制定制度,按章辦事。根據市、縣文件要求,制定了電子政務工作各項管理制度及維護制度,包括專人維護、文件審核簽發等制度。三是加強培訓,提高素質。有計劃地組織各類運行維護人員進行電子政務系統應用有關知識、技能的培訓,并按縣信息中心要求參加各類培訓,切實提高了各類運行維護人員的素質,確保系統正常運轉使用。
(二)網絡和信息安全情況。一是加強網絡運行維護工作。加強網絡運行維護隊伍建設,進一步充實網絡運行維護人員,鎮直各部門均確定1名兼職網絡信息管理員,負責及時提供和審核本部門信息內容。同時按照縣安全管理要求,制定和完善了我鎮電子政務安全保密措施,落實安全保密工作責任制,要求網絡運行維護人員及時將異常情況上報至縣信息中心。全年未發現網絡異常。二是切實做好信息安全工作。安裝了專門的殺毒、殺木馬軟件,互聯網出口處部署了防火墻、日志審計等安全系統,有效防范了病毒、木馬、黑客等網絡攻擊,確保了信息和網絡運行安全。三是開展不定期檢查。我鎮電子政務工作領導小組不定期對電子政務工作辦公室的環境安全、設備安全、信息安全、管理制度落實情況等內容進行檢查,對存在的問題及時進行糾正,消除安全隱患。
(三)政務平臺應用推廣情況。已經應用全縣政務統一平臺開展網上協同辦公,及時收發公文和相關信息,積極開展公文網上起草、登記、簽批、歸檔等日常工作,基本實現同全市其他政府機關網上協同辦公。
二、存在的困難和不足
雖然我鎮電子政務工作取得了一定的成效,但還存在一些困難和不足之處,主要體現在:一是辦公電腦設備陳舊老化,只有一臺已經使用6年、內存256m的電腦專門用于電子政務。二是機關工作人員年齡偏大,計算機知識程度不高,培訓沒有完全跟上。三是信息未能完全做到及時更新,電子政務管理、使用有待于進一步加強。
三、下一步改進措施
(一)積極爭取財政資金支持。積極爭取上級部門資金支持,更新或配備電腦等必要的辦公設備。
(二)努力提高業務素質。加強宣傳教育,進一步提高全鎮人員對電子政務的認知水平和責任意識,積極組織人員參加全縣電子政務培訓,為電子政務的有效實施奠定更加堅實的基礎。
第9篇:信息安全審核制度范文
證券業是無紙化的行業,證券業務完全是依賴信息系統完成的。中國證券市場從誕生、發展到現在僅僅十幾年時間,但由于技術起點高,中國證券業的信息化建設已達到了較高水平。
隨著我國證券業信息化的加速建設,信息系統規模越來越大,信息資產急劇增加,如何對這些資產進行有效管理,對其實施不同級別的安全保護將是證券業面臨的巨大挑戰。同時,信息系統內部采集、存儲、傳輸、處理的信息量越來越大,對證券信息系統及其網絡的依賴性更強,必須保證數據的安全采集、安全存儲、安全傳輸和安全處理。來自互聯網的威脅、網上交易潛在的威脅等都是值得我們關注的問題。
中國銀河證券是國內大型券商之一,全國有167家營業部,分布在全國56個城市,客戶達到300多萬。可想而知,銀河證券的信息系統也是十分龐大的。因此,銀河證券的信息安全保障工作也是十分艱巨的。
構建安全體系
目前,銀河證券的安全保障體系已經初步建立并在不斷完善中。公司已經制定并了總體的安全策略文件。公司的信息安全體系文件是信息安全工作的內部“法規”、實際工作的標準、內部培訓和審核的依據。信息安全體系建設過程中文件的創建工作是十分艱巨的,所以制定適合公司實際情況的信息安全體系文件是重點工作。策略文件包含建立信息安全體系的方針與目標文件、風險評估方法描述文件、文件控制程序、內部審核程序等文件。相關文件都應符和相應的標準。
信息安全體系是一個“人工系統”,需要組織管理才能運行。在安全組織體系建設中,銀河證券建立了信息安全管理機構――信息安全工作領導小組。信息安全工作由主管公司信息系統的公司領導負責,工作小組由信息技術中心領導牽頭,成員由各部門指定人員組成,形成了高層、中層、操作層的層次化管理。管理機構負責定義信息安全體系方針和目標、定義風險評估方法、創建體系文件、執行風險評估、制定風險處理計劃、選擇和實施控制措施、評審及改進等工作。
在信息安全體系建設的技術層面上,銀河證券已具有了相當的技術實力。IDS、防病毒、補丁分發、網絡加固、監控系統、垃圾郵件網關等技術的應用很好地保證了信息系統的安全。另外,公司聘請信息安全顧問服務提供廠商,提供7×24小時信息安全解決方案和應急服務。通過廠商的專業服務銀河證券信息安全工作得到很大改觀。
信息安全制度的實施十分關鍵,公司管理機構高度重視,加大了執行力度,并且計劃將績效考核與員工對相關制度的執行情況掛鉤。同時,公司計劃通過內部審核等手段來評估、完善相關制度。
集中管理與分散交易
銀河證券在信息安全保證體系建設中注重對關鍵業務系統的高等級保護。
首先,對公司所有的信息資產進行徹底清查,為公司資產的等級化劃分及制定、實施相應的保護策略提供了第一手資料,可以說這是對公司信息資產實施等級保護的基礎工作。
第二,公司正在實施大集中項目建設。目前由于歷史的原因,公司的業務模式一直是以營業部為中心運營,各營業部采用不同的軟硬件平臺和交易系統,客戶的交易數據全放在營業部,客戶的股票和資金全部由營業部自行管理,每個營業部直接將客戶的委托上報交易所。應該講,這種業務模式在市場發展的初級階段是合理的、有效的。但隨著證券市場業務多樣化、監管規范化,市場競爭更加激烈,這種模式的弊端就日益顯現出來,特別是這種模式存在資源分散、重復建設、安全漏洞和系統風險大、缺乏行之有效的管理和監控手段等問題。
證券公司的IT系統是推動業務轉型、推動客戶服務的重要基石,建立集約化管理、集中式證券交易系統已經成為業界共同的目標。
銀河證券大集中交易總體目標是實現“集中管理、分散交易”。在總部設立集中的業務管理中心,承擔所有營業部的業務管理、清算等職能。營業部剝離管理功能,形成以委托交易、營銷服務為主的交易通道功能。
采用這種方案不僅實現了銀河這樣大型證券公司大集中交易的各項目標,同時又不受客戶規模的影響,出現故障時能把損失減少到最小。各個交易中心可以在和總部通信中斷的情況下,不影響進行本地委托交易。某個交易中心的故障不會影響到其他交易中心。簡單地說,就是前臺僅負責實時交易,后臺負責統一清算、統一賬戶管理、統一客戶管理、第三方存管等工作。
通過大集中項目,將公司的核心數據集中到總部統一管理,這樣不僅做到了核心資產的集中管理和監控,同時也做到了風險控制點的集中管理,而且公司的集中模式并不會因為集中帶來更大的風險。這樣就突出了公司最核心的等級保護級別,從而制定了針對此核心保護級別的保護策略。
實現兩網分離
另外,公司還實施了兩網分離項目。在項目實施之前,辦公網和業務網沒有分開,辦公網主機的問題很容易影響到業務網,例如辦公網的主機感染病毒,就很容易影響業務主機。同時沒有一個統一的IP地址規劃,一旦病毒等問題出現,就很難快速地對病毒做控制,因為即使針對的是同一項業務,也不能做統一的策略,必須對各個營業部分別采取措施,這需要花費大量的時間,而且不易實施,往往在控制病毒的同時也將一些正常的業務控制住了,影響了正常的業務開展。
公司的業務網是公司的核心網絡,它的安全等級要比辦公網高得多,所以通過將業務網和辦公網分離,實施對業務網更高的保護級別達到保障公司關鍵業務的安全穩定運行。這樣,當公司辦公網出現問題時,不會影響到業務網,而一旦業務網出現問題,可以切換到辦公網,保證業務運行。通過兩網分離,加強了業務網的安全性,同時在連接辦公網的路由器上可以增加訪問控制列表,使營業部的辦公網只能訪問總部的辦公網,如果營業部的辦公主機想訪問本營業部的業務網,可以通過中間件來進行。
項目實施后,完全達到了項目的要求,有利于公司根據兩網的不同特征制定不同的策略,實現不同的安全級別,從而使公司業務網達到了更高的保護級別,使業務系統運行更加穩定、安全,防止辦公網的問題影響業務網。同時在實施過程中,通過及時調整業務網和辦公網的劃分及訪問控制列表,達到了持續改進的目的。
鏈接:何為風險評估?
風險評估是對信息及信息處理設施的威脅、影響、脆弱性及三者發生的可能性的評估。它是確認安全風險及其大小的過程,即利用適當的風險評估工具,包括定性和定量的方法,確定信息資產的風險等級和優先風險控制順序。
在風險評估中,考慮的主要因素包括: 信息資產及其價值、對這些資產的威脅、它們發生的可能性、薄弱點、已有的安全控制措施等。
- 上一篇:社區衛生服務的重要性范文
- 下一篇:中職學校思想政治教育范文
