内网信息安全管理范文
时间:2023-10-09 17:06:59
内网信息安全管理篇1
【关键词】信息安全;电力企业;防护措施
前言
当前,电力企业在生产运行过程中离不开信息技术的支持,尤其是电力企业在建立了复杂的数据网和信息网后,信息技术的在电力企业中的地位日益提高,同时,信息安全也影响着电力企业的生产经营。
1电力网络和信息安全管理的主要内容
电力网络和信息安全管理主要包括三方面的内容:①安全策略;②风险管理;③安全教育。具体浅析如下:
1.1安全策略
信息安全策略根据企业规模、安全需求和业务发展的不同而不同,但是都具有简单易懂、清晰通俗的特点,由高级管理部门制定并形成书面文字,属于企业安全的最高方针,广泛到企业所有员工手中。
1.2风险管理
评估威胁企业信息资产的风险,首先事先假定风险可能会给企业带来的风险和损失,然后再通过各种手段,如:风险的规避、风险的转嫁、降低风险和接受风险等多种方法为相关部门提供网络和信息安全的对策建议。
1.3安全教育
所谓安全教育,就是对直接关联企业安全生产的人员进行的教育活动,其对象是安全策略执行人员,具体来说就是与安全工作相关的技术人员、管理人员和客户,并对其进行安全培训,让其了解和掌握信息安全对策。安全管理是企业管理的重要内容,必须引起企业领导层的高度重视,切实将安全相关教育纳入到企业文化的组成中,确保信息安全管理的有效执行。
2电力企业信息化发展的特征
随着我国电力企业信息化的发展,与其他企业相比,在网络信息安全方面具有以下优势特征。
2.1信息化基础设施完善
经过多年的发展,电力企业的信息化建设与其他行业的信息化建设水平相比,具有明显的比较优势,进程相对领先,各个部门工作中计算机的使用率为100%,电力企业局域网覆盖率90%以上。
2.2营销管理系统广泛应用
电力企业的营销管理系统经过多年的研究探索已基本建成,实现了用电管理信息化、业务受理计算机化,并建立了相应的客户服务中心。
2.3生产、调度自动化系统应用熟练
电力企业信息化建设的重点是提高电网运行质量和电力调度的自动化水平,现阶段,从电力企业发展的自动化水平上来看,其生产已基本达到国际先进水平。
2.4管理信息系统的建设逐步推进
电力企业积极建设管理信息系统,开发了设备、生产、电力负荷、安全监督、营销管理等信息系统,并将企业信息化建设放到重要位置,利用信息化推动企业现代化发展。
3电力企业网络和信息安全管理中存在的问题
电力企业网络和信息安全管理虽然具有以上优势特征,但同样还是存在一定的问题,具体如下:
3.1信息化机构建设不完善
部分电力企业还未设置专门的信息部门,信息科室有的在科技部门下,有的在综合部门下,缺乏规范的制度与岗位设置,这种情况下,势必会影响到网络和信息安全的管理工作。
3.2网络信息安全管理未成为企业文化的一部分
电力网络信息贯穿于生产的全过程,涉及到电力生产的各层面,但是仍然处于从属地,没有纳入电力企业安全文化建设中,进而影响到安全管理的实施力度。
3.3企业管理革新跟不上信息化发展的步伐
电力企业管理革新与信息技术的发展与应用相比还较为滞后,企业不能及时的引入先进的管理与业务系统,导致企业信息系统不能发挥预期的作用。
3.4网络信息安全存在风险
电力企业网络信息安全与一般企业网络信息相比,有共同点,也有自自身的特殊性,实践中必须认真分析研究,具体表现为:①网络的结构不够合理,电力网络建设要求,网络建设要区分外网和内网,且内外部网络要保持物理隔离,但是部分电力企业的核心交换机选择不合理,导致在网络中所有网络用户的地位是平等的,因而很容易出现安全问题。②企业内部风险,由于企业内部网络管理人员对于企业的网络信息结构与系统应用十分熟悉,一旦泄漏重要信息,就会带来致命的信息安全威胁。③现阶段互联网使用存在的风险,目前很多电力企业的网络已经与互联网发生了关系,一些客户甚至可以直接访问电力系统的网络资源,在提供方便之门的同时也要高度关注其可能带来的信息安全和计算软硬件安全风险。④网络管理专业技术人员带来的风险,主要是网络管理人员的素质风险,现阶段电力企业的网络建设还存在重建轻管,重技轻管的问题。出现了诸如专业技术人员综合素质不高,一些安全管理制度不健全、落实不够有力、安全意识不强、管理员配备不当等威胁到电力企业网络信息安全性的问题。⑤计算机病毒侵害,计算机病毒的扩散速度快,网络一旦感染病毒,整个电力网络系统就会处于崩溃的状况。⑥系统出现的安全风险,这方面主要指操作系统、数据库系统以及内部各种应用软件系统等存在的风险,这些系统很容易导致外界的攻击,一些黑客采取专业手段可以很轻易获取管理员权限,实施拒绝服务攻击。
4电力企业网络和信息安全管理对策
4.1建立健全网络和信息安全管理组织架构
网络和信息安全管理实行统一领导、分级管理原则,企业的决策层组成领导小组,由企业各部门的管理者作为安全小组的管理层。网络和信息安全管理实行专业化管理,包含信息安全规划、信息安全监督审计、信息安全运行保障等职能小组。
4.2构建网络和信息安全管理体系框架
在网络信息安全模型与电力信息化的基础上,科学构建网络和信息安全管理体系框架,主要区分信息安全策略、安全运行、安全管理、安全技术措施四个模块,
4.3建立网络信息安全防护对策,合理划分安全域
网络信息安全防护实行双网双机管理,分为信息内网和信息外网,内外网采用独立的服务器及桌面终端,通过逻辑强隔离装置隔离内外网。按照业务类型进行安全区域划分为边界、网络、主机、应用四个层次,实现不同区域防护的差异化及独立性。对于网络安全的核心区域必须实施重点安全防范,比如该区域的服务器、重要数据、数据库服务器,一般用户无法直接访问,安全级别高。电力企业内部计算机和网络技术的应用,划分为管理信息区和生产控制区,建立电力调度数据网专用网络,采用不同强度的安全设备隔离各安全区,数据的远方安全传输采取加密、认证、访问控制等技术手段,实现纵向边界的整体安全防护。
4.4网络信息安全管理制度建设
为确保电力企业网络信息安全,必须做好网络信息安全管理制度建设,具体要做好以下几个方面的内容:①建立计算机资产管理制度、网络使用管理制度、健全变更管理制度,对资产进行标识和管理,执行密码使用管理制度。②实施信息的安全分级保护举措,依据国家相关规定,开展网络信息系统审批、定级、备案工作,严格执行等级保护制度,严格保密核心程序和数据。③做好网络信息安全运行保障管理,对信息系统设备实行规范化管理,及时升级防病毒软件,严格系统变更,及时报告信息系统事故情况,分析原因并落实整改。④建立病毒防护体系,安装的防病毒软件必须具有远程安装、远程报警、集中管理等多种功能,不可将来历不明或是随意从互联网上下载的数据在联网计算机上使用,一旦发现病毒的存在,员工应熟练掌握发现病毒后的处置办法。
4.5信息安全技术保障举措
为切实有效的落实信息安全防护要求,必须根据信息安全等级防护制度落实好“分级、分区、分域”的防护策略,从而更有效的落实信息安全防护预案,根据信息系统定级水平,实施强逻辑隔离措施,做好安全区域的隔离和划分工作。
4.6规范企业人员的管理
规范人员管理首要的是用制度管好人:①企业高层应以身作则,这样员工才可以遵循信息安全管理的要求,由于高层掌握着企业更多的信息资源,密级也高,一旦出现泄漏,会给企业带来更大的损失。②对于关键岗位人员管理要尤其重视,比如:开发源代码人员,直接接触商业机密的人员,从事信息安全管理的人员,需要进行严格管理,定期检查,避免出现“堡垒从内部突破”的机会。③对于离职人员这个群体也不可忽视,必须做好离职人员信息安全审计工作,离职前,必须要求其变更其访问权限,与接手人员一起清点和交接好信息资产,避免信息泄漏事件的发生。④加强与供应商和合作伙伴信息安全的管理,在日常的交流中严格遵守规定,不得随意公开和透露相关信息。
4.7做好对企业信息资产管理分析
依据信息资产价值,实现根据载体性质不同、形式不同、来源不同做好资产的识别,提高企业劳动生产率,强化信息资产观念,树立企业良好形象。全面、系统、科学的管理信息资产,完善资产管理手段。利用信息资产资源使生产力要素保值增值,推动信息资产共享共建,实现实现外源信息资产的再增值,信息资产的再创新。4.8建立信息安全应急保障机制有风险的地方就要有应急预案,对于电力企业网络信息安全尤其应该如此,要不断健全电力企业信息安全预案,确保设备、人力、技术等应急保障资源切实可用,要加强系统的容灾建设,建立恢复和备份管理制度,妥善保存相关的备份记录。
5结束语
电力网络信息安全与企业的生产经营管理密切相关,电力企业网络信息安全涉及到技术与管理,无论是硬件还是软件出现问题都会威胁到整个网络系统,电力企业网络信息安全管理涉及到人、硬件设备、软件、数据等多个环节,所以其必须着眼整个电力企业的网络信息系统加强顶层建设,实施统一规划,搞好统筹兼顾,建立一套完整的信息安全管理体系,切实做好安全防范工作,解决电力企业信息安全管理问题,才能确保电力信息系统安全、稳定、可靠、高效地运行,有效避免安全问题的存在,保证电力企业的正常生产经营。
参考文献
[1]何隽文.电力企业网络和信息安全管理策略思考[J].中国高新技术企业,2016,28.
[2]郭建,顾志强.电力企业信息安全现状分析及管理对策[J].信息技术,2013,01.
[3]牛斐.电力企业网络信息安全的防范措施[J].科技传播,2012,16.
[4]吴青.浅析网络信息安全管理在电力企业中的应用[J].中国新通信,2013,23.
[5]向继东,黄天戊,孙东.电力企业信息网络安全管理[J].电力系统自动化,2003,15.
[6]朱琳娜,盛海港.网络信息安全管理在电力企业中的应用[J].中国电力教育,2010,S2.
内网信息安全管理篇2
关键词:计算机;网络安全;对策
0 引言
计算机应用发展迅速,加强计算机网络安全性的管理是极其重要的。计算机网络安全技术是一项复杂的工作,需要明确计算机网路系统技术的多方面管理步骤,明确计算机安全运行操作的基础性管理标准要求,按照计算机网络安全运行标准,对可能涉及需要防范的管理措施和管理标准进行技术分析,明确计算机相关设备的技术应用要素,根据计算机的网络安全性要点进行合理的分析,提出有效完善网络安全防范管理的技术措施,为计算机网络的安全化管理进行有效的技术水平提升。
1 计算机的网络化安全
计算机的网络化安全管理是根据实际需要采取的相关技术要点、处理措施、管理要求等内容进行合理的分析,充分研究计算机网路系统安全中的软件、硬件、数据资源内容,加强计算机网络系统的安全化运行管理,对网络化信息系统的相关处理过程和处理效果进行准确的分析,完善计算机网络内部、外部、数据网络信息之间的管理要点,结合互联网,不断提升计算机网络发展速度水平,为人们的日常生活提供良好的物质条件,不断完善计算机网络信息的安全化管理,提升网路数据信息的内部安全性水平,确保数据信息的及时调取和分析,不断完善计算机网络数据信息的安全性,防止可能出现的各种安全威胁,明确计算机应用安装的相关软件,对可能发生的各种类似事件进行预警分析,提升计算机的安全可靠性。
2 计算机网络安全隐患
2.1 计算机病毒
随着计算机病毒的发展,计算机网络受到严重的威胁,计算机信息数据受病毒的侵害,造成计算机的工作效率下降,严重的影响计算机系统的稳定性,部分计算机文件数据丢失,甚至造成计算机主板损坏。计算机病毒种类泛滥,传播速度快,种类复杂,对计算机网络的攻击性大,破坏性强,很难彻底的清除,这对于计算机网络的安全性造成严重的威胁。
2.2 IP盗用
计算机网络是利用局域网的IP地址进行区域的划分,如果这些IP地址被盗用,计算机的原始IP用户就无法登录使用网络,盗用者以隐藏的身份使用这些IP地址,对用户造成严重的威胁,影响网络信息的安全性。
2.3 黑客对计算机网络的威胁
计算机网络安全受黑客的攻击影响,系统出现运行错乱的现象。通常黑客采用破坏性的方式入侵目标用户的电脑,盗取、破坏用户的电脑数据信息,达到获取不良有益的目的。黑客往往对用户的电子邮件、登录口令进行攻击,设置欺骗性病毒,造成计算机网络系统出现漏洞,实现黑客的非法入侵行为。
2.4 垃圾邮件信息
电子计算机网络的垃圾信息极多,垃圾邮件是具有特点的一个类别。用户对每日的邮件只有接收的权利,而没有拒收的权利。网络邮件泛滥,入侵人们的工作生活信箱,根据人们日常操作的信息,窃取人们的个人信息内容。垃圾邮件占用服务器的内容,占用带宽,影响网络信息的有效传播。
2.5 计算机网络监管不足
计算机网络信息的安全管理不足,管理结构制度不够规范,岗位职责不够明确,这直接影响网络信息的安全化管理,对计算机的网络化安全运行造成一定的破坏,计算机病毒、黑客、计算机犯罪等问题严重的影响计算机数据平台,对计算机的网络信息造成严重的威胁问题。
3 激素啊你就网络安全的改进对策
3.1 建立防火墙软件
根据计算机网络安全的规划要求,建立防火墙软件。利用网络计算机硬件和软件的基本配置组合,明确网络公共信息的安全性水平,按照网络资源的私有规划制度进行合理的分析。防火墙可以极大程度的提升网络信息的安全级别,利用网络过滤的方式,降低网络信息的风险问题,制定合理的防火墙信息协议管理标准,确定网络环境的安全水平,提升计算机全方位的安全管理,提升对病毒的抵御水平。例如,使用360卫士、金山毒霸软件进行杀毒处理。
3.2 黑客的防御
制定安全用户管理标准,设置准确高级别的密码,结合用户权限制定智能卡,生物卡,指纹识别系统,尽可能的避免黑客的入侵。采用防火墙技术,通过对网络信息的限制访问,控制网络数据信息的访问级别,设置内外网络管理及时,确定数据访问级别,设置合理的网络黑客抵御防护标准。
3.3 口令设置
采用智能卡标注进行口令设置,采用生物特征对信息进行口令的分析,记录系统相关用户的信息内容,对不可以公开的信息进行限定。采用有效的用户信息管理系统,不断完善用户信息的数据内容,确定符合用户信息的口令表,提升信息系统准入级别。
3.4 网络安全意识的管理
在网路信息安全化技术管理上,不断完善网络信息技术人才的规划和管理,提升网络信息技术人才的安全意识管理水平,避免他们可能出现的各种失误问题,提升网络信息的安全性和有效可靠性级别。建立符合计算机网络应用的管理岗位,加强网络系统的信息安全管理级别,不断提升网络信息的管理水平和管理能力,做好数据信息的有效备份,提升数据信息的加密性,制定黑维护计算机网路信息安全管理运行的技术标准,逐步提升网络信息用户的管理意识,实现对网络信息安全的准确意识管理。
3.5 数据加密的处理方案
对高级别保密数据信息进行加密处理,提升数据信息传输的伪装性,提升数据信息的安全级别。在数据信息传递过程中,对于专用的高级别数据信息,采用单一线路的加密传输方式,不断完善数据信息的加密管理级别,设置准确的密钥,提升数据信息的安全级别,对TCP/IP进行封装管理,提升数据信息的保密性,传递成功后及时对保密数据进行恢复处理,确保数据信息的有效性。
4 结语
综上所述,计算机网络信息的安全管理是一项复杂而多项的内容,需要针对网络信息的发展管理目标,逐步完善网络计算机的网络信息安全性管理意识,提升网络信息的安全性技术水平,避免可能出现的黑客攻击问题,提高杀毒和预防管理工作,确保计算机网络信息的安全运行,实现计算机网络的阿全快速发展。
参考文献:
[1]张伟,庞永清.计算机网络安全现状及防治措施研究[J].计算机光盘软件与应用.2012(19)
[2]肖玉梅.探讨计算机网络安全现状及应对策略[J].计算机光盘软件与应用.2012(23)
内网信息安全管理篇3
【关键词】供电企业 信息网络 安全管理
现阶段,电力系统信息化已经成为了供电企业工作中的重要内容,信息化也是供电企业提高自身生产水平,保证自身生产效益的重要措施。目前,国家电网ER[系统已经上线运行,供电企业陆续的接入信息系统,并且进行频繁的数据交换。因此,加强供电企业内部信息网络安全管理工作,对于供电系统安全稳定运行,满足智能化电网建设需求有着重要的意义。
1 完善安全管理机制,落实安全管理责任
企业的良性发展,需要有严格的管理制度进行保证,信息安全管理工作的开展,也需要完善管理机制,落实安全管理责任。县级供电企业要建立安全管理组织,并且建立管理队伍,对于内部信息安全进行严格管理,提高整体网络信息系统的管理水平。领导小组需要对供电企业内部的信息安全工作进行监督,并且严格执行企业安全管理制度,确保企业内部信息系统的安全稳定运行。工作小组在日常工作中,对于信息安全的基础知识进行宣传与普及,提高企业员工对于信息安全的认识,并且严格落实信息安全管理条例,对企业信息安全监控系统的运行、维护进行管理,保证信息网络的正常运行。
2 对网络信息系统采用统一部署的方式,提高信息网络系统的安全性
在对于企业内部网络信息安全管理工作的开展过程上,要严格按照国家电网公司的要求,并且进行统一性部署,对外网接口实现统一。对于信息内外网的管理上,采用物理分离的方式,利用双网双机的网络拓扑方式,提高网络的安全性。在企业内部,禁止使用办公终端进行外网的接入,并且在外网出口安装防入侵设备,对于恶意攻击行为进行拦截,阻断非法访问进程。对于信息内网的管理上,要安装有效的桌面管理系统,对内网计算机进行控制。内网计算机的IP地址管理上,要将用户名、IP地址、MAC地址进行绑定,便于计算机网络管理员实时的对系统内部计算机运行状况进行查看。对于移动存储设备的使用,采用实名注册制度,对于信息的流入流出进行控制。
3 建立保护区域与防护等级措施,提高对信息系统的控制力
供电企业的信息系统应该根据自身生产特点,划分为生产控制区域管理信息区,并且对于业务处理进行分级,实现差异化的防护措施,提高防护水平与防护效果。其中,对于生产控制区的划分上,可以划分为控制区与非控制区,将专用数据网络进行网段阻隔,划分为安全控制区,并且与其他控制区之间安装电力专用正向单向隔离装置。对于管理信息区中,要安装硬件防火墙,对访问行为进行严格的控制,做好以下工作:
(1)加强口令管理与数据备份,提高系统安全性。口令信息是保证信息安全的重要环节,也是验证权限的重要手段。所有服务器与计算机,都需要设置开机口令,并且保证口令的安全性与复杂性。对于安全口令进行定期的更换,提高口令的安全性。
(2)在计算机日常使用的过程中,要设定屏幕保护,并开启屏幕保护密码。与此同时,还要关闭远程桌面功能,避免被外来人员进行远程访问与控制。数据备份是提高系统安全性的另一项重要举措,是保护系统数据完整性的主要方式。计算机管理人员需要对信息系统中的数据进行定期的备份,在出现病毒入侵、数据损坏等情况下,及时的进行数据恢复,保证信息系统的正常运作。个人电脑在日常使用中,也要注意做好信息的备份。
(3)加强杀毒与漏洞扫描的工作,消除系统安全隐患。电力企业的网络系统管理者,需要根据自身企业内部网络情况,购买专业杀毒软件,提高整体网络的安全性。对于杀毒软件,需要进行定期的病毒库更新,对计算机病毒库进行实时的升级,降低网络病毒与木马对计算机的影响。对于系统漏洞的管理上,要采用漏洞自动扫描系统,对于系统的安全风险进行评估,及时的对系统中的漏洞进行整改。信息系统管理员要对网络系统进行定期的评测,对于系统中存在的安全风险与漏洞进行有效的处理,降低系统运行风险,提高系统的可靠性与稳定性。4 加强物理安全和主机安全的管理,提高对安全事故的响应能力
电力企业内部员工在日常工作中,要注重对计算机电话的保护,下班后及时关闭计算机,从而延长计算机使用寿命,保护硬件设设备的安全。针对特殊雷雨天气,要做好防雷击与防潮工作,保护机房的环境。在对于机房的管理上,要执行严格的登记制度,避免无关人员进入机房。对于服务器与数据库的访问上,要严格对访问权限进行管理,关闭可能造成系统受攻击的服务与端口,最大限度的提高服务器的安全运行水平。在安全管理工作中,要建立科学有效的应急预案,争取在出现安全事件时,第一时间的进行响应与处理,降低影响与损失,保证电网最快的恢复正常运行。
5 结束语
完善和落实各项规章制度 ,构建良好的安全管理体系,将信息安全作为企业日常管理中的重要内容。企业管理者要重视信息安全,并且认识到网络信息安全对于电力系统正常运行的意义。管理者要制定和完善内部网络信息安全管理制度,并且对有关制度进行严格的执行,做好日常监督工作。在安全责任的划分上,要做好责任落实,对于专人签订专门的安全责任书。日常工作中还要积极的组织职工接受安全教育宣传与培训,提高职工安全认识与信息安全保护的水平。
参考文献
[1]邓韵东,钏涛.电网信息安全技术研究[J].云南电力技术,2011(02).
[2]高鹏.电力企业信息安全问题探讨[J].行政事业资产与财务,2011(08).
[3]张国芳.浅谈电力企业安全管理信息系统的设计及实现[J].中国电力教育,2011(24).
作者单位
内网信息安全管理篇4
【关键词】办公计算机信息安安全;桌面标准化管理系统
引言
办公计算机是电力系统人员办公最常用的设备,办公用的所有信息在办公电脑上都有储存,怎样保护这些信息以及怎样去管理这些办公计算机,这需要我们去研究讨论。信息技术高速发展,信息安全越发重要,不管是国家层面还是企业层面,都不愿意本范围内的重要信息外流,造成重大损失。国家电网公司将内外网分离,就是考虑到了信息安全,作为运维人员,怎么通过技术手段和人员管理方法来保护用户的信息安全,这是本篇文章将要阐述的。
1.电力系统办公计算机信息安全现状
1.1 电力系统办公计算机特点
现阶段电力系统已经实现内外网强隔离,内网办公网络和外网办公网络没有交叉节点,避免了内外网的信息交互。虽然内外网是隔离的,但是如果有用户误操作将内网与外网联通或者在内网上连接具有上网功能的外设,则会造成内外网的联通,从而有可能造成信息外露。内网的办公信息我们也不能让外来人员随意拷贝,外网的办公信息与公网也不能随意分发,这些都可以通过技术手段可管理措施尽量避免。
1.2 电力系统办公计算机信息安全已采取的措施
(1)信息内外网分别使用桌面管理系统将所有办公终端进行管理。
(2)内网与外网办公信息交互使用内网U盘,拷贝数据时需要输入密码,提高了数据交互过程中的安全性。
(3)配备专门的桌面运维人员,管理用户终端。
(4)信息内外网入网需履行内外网入网流程。
(5)U盘申请、维修、回收、报废等也编写了相关制度。
2.信息内外网入网流程
(1)用户需接入信息内网,必须填写信息内网网络入网申请表,经部门领导签字后,交给桌面终端运维人员办理。
(2)信息内网计算机必须安装指定的杀毒软件、内网安全管理客户端并进行病毒、木马库升级和查杀工作,修改用户计算机名为“房间号-用户姓名”。
(3)处理完网络接入后,更新用户信息记录表,包括IP、MAC、内网安全客户端、端口、信息点等信息。
(4)桌面运维人员将处理好的计算机注册桌面终端程序;注:所有表单的内容填写应内容详实,字迹清晰可辨,本部人员和外来人员均需填写和签订《人员入网申请表》《信息安全与保密承诺书》《培训学习记录表》,外来人员除填写以上表单外,还需签订《计算机入网申请表―第三方》
(5)外网入网流程与内网入网流程相同。
图1 内外网办公计算机入网络流程
3.内网U盘申请流程及U盘制作方法
(1)用户需要申请新U盘时,需要填写U盘申请表,交给其所属部门领导审核后盖章,然后交予桌面终端工作人员(如果用户之前的U盘丢失,需要重新领取新U盘的,需要再写一份U盘丢失证明)。
(2)桌面终端人员将U盘做成内网U盘给用户。
(3)告诉用户U盘初始密码为0000aaaa(均为小写)。
4.桌面终端标准化管理系统
桌面标准化管理系统是胪新疆电力公司内外网使用的内外网办公电脑管理软件,内网三级部署,分别为胪信通、新疆省公司、地州单位;外网二级部署,分别为胪信通、新疆省公司。桌面终端标准化管理系统作为管理全疆内外网办公计算机的软件,在新疆电力公司办公人员正常工作工程中起到非常重要的作用,它的功能涵盖了桌面运行的各个方面,包括杀毒软件的安装、终端运行软件的监控;通过网络保密自动检测工具可以对办公终端进行基本信息查看、电脑文件的常规检查、电脑文件的深度检查、敏感文件的清理与粉碎、白名单管理等。
4.1 终端计算机管理
办公计算机作为信息交互的载体,是信息安全的重中之重,办公人员在办公过程中,重要的信息都储存在办公计算机上,所以计算机的信息安全是办公信息安全的中心。桌面管理系统可以将办公计算机的IP地址、使用人、硬盘序列号、使用地点、注册时间、最后使用时间、是否安装杀毒软件等进行管理,这些数据在中心管理服务器上都可以体现出来。办公计算机在入网时必须连接相关网站下载注册程序对计算机进行注册,注册后中心服务器即可对终端进行管理。办公计算机注册后,中心管理服务器可以查看计算机的使用情况,是否按照规定安装相应的软件,是否安装违规软件等,如果计算机不安全,可以第一时间定为,将不安全计算机进行处理。
4.2 内外网隔离
国家电网公司实行内外网强隔离,内网服务器由国网公司统一管理,外网通过电力公司统一出口与公网连接。内网桌面管理系统安装有检测软件,当办公计算机连接外网网络、手机网络等公共网络时,内网桌面管理系统将会告警,提示有办公计算机违规外联。公司根据违规外联严重程度对个人及所在公司进行考核。日常办公拷贝数据时必须使用胪公司的专用U盘,U盘密码必须符合要求,外网向内网拷贝数据时不需要内网U盘。
4.3 保密检测系统
保密检测系统有常规信息检查、深度检查、清理与粉碎、白名单管理、基本信息五项功能,通过检测办公计算机储存的信息来检查是否处理过国家机密信息,敏感文件的关键字可以设置,通过此项功能可以排除办公人员处理涉及国家秘密的信息,办公人员也可以自查来删除敏感信息,保持办公计算机信息安全。
5.小结
内网信息安全管理篇5
关键词:信息安全;管理体系;PKI/CA;MPLS VPN;基线
在供电企业现代信息技术广泛运用生产经营、综合管理之中,实现资源和信息共享,为领导提供相关辅助决策。保障企业信息安全是企业领导层、专业人员及企业全员共同面对的。信息安全是集管理、人员、设备、技术为一体系统工程,木桶原理可以很好地诠释信息安全,一个企业安全不取决于最强项,而取决最短板。信息安全需从制度建设、体系架构、一体化防控体系、人员意识、专业人员技术水平等多方面共同建设,才能有效提高企业信息安全,才能为企业生产、经营保驾护航。
1基层供电信息安全现状
基层供电企业信息安全建设方面,在制度建设、安全分区、网络架构、一体化防护、人员意识、专业人员技术水平等多方面存在不同程度问题。
1.1管理制度不健全,制度多重化
信息安全制度建设方面较为被动,大多数都是现实之中出现某一问题,然后一个相关制度,制度修修补补。同一类问题有时出现不同管理规定里,处理办法不一,甚至发生冲突。原有信息安全管理制度宽泛,操作性较差。信息系统建设渠道不同,未提前进行信息安全方面考虑,管理职责不明,导致部分信息安全工作开始不顺畅。
1.2安全区域划分不明,网络架构不清晰
基层供电企业系统建设主要由上级推广系统和自建系统,系统建设时候相当部分系统未充分考虑系统,特别是业务部门自建系统更甚。网络建设需要什么就连接什么,存在服务器、终端、外联区域不明显,网络架构不清晰。
1.3未建立一体化安全防护体系
从近些年已经发生的各类信息安全事件来看,内部客户端问题造成超过将近70%。内部终端用户网络行为控制不足,存在网络带宽滥用;终端接入没有相应准入控制,不满足网络安全需求用户接入办公网络,网络环境安全构成极大风险;内部人员对核心服务器和网络设备未建立统一内部控制机制;移动介质未实施注册制管理等问题。
1.4未建立行之有效设备基线标准
网络安全设备、操作系统、数据库、中间件、应用系统等厂家为了某种方便需求,在设备和系统中常常保留有默认缺省安全配置项,这些恰恰是别人利用漏洞。基层供电企业在部署设备和系统时,没有统一基线标准,没有对设备和系统进行相应基线加固,企业存在潜在风险。
1.5信息安全意识较差,技术水平参差不齐
企业信息安全认识存在认识上误区,常常认为我们有较强信息安全保护设备,外部不易攻破内部,事实上堡垒常常是从内部攻破的。比如企业员工弱口令、甚至空口令、共用相同密码、木马、病毒、企业机密泄露等,这恰恰是基层供电企业全员信息安全意识较为薄弱表现。专业技术人员缺乏必要自我学习和知识主动更新,未取得专门信息安全专业人员资质,处理问题能力表现参差不齐。
2必要性
信息安全为国家安全重要组成部门,电力企业信息安全为国家信息安全的重要元素,电网安全事关国计民生。2014年2月,国家成立中央网络安全和信息化领导小组,将网络信息安全提升前所未有高度。近年发生的“棱镜门”事件,前几年发生伊朗核电站“震网”病毒(Stuxnet病毒)网络攻击,其中一个关键问题就是利用移动介质摆渡来进行攻击,造成设备瘫痪,这一系列信息安全事件都事关国家安全,因此人人都要有信息安全意识。首先要防止企业机密数据(财务、人资、投资、客户等)泄漏;其次,保持数据真实性和完整性,错误的或被篡改的不当信息可能会导致错误的决策或商业机会甚至信誉的丧失;最后,信息的可用性,防止由于人员、流程和技术服务的中断而影响业务的正常运作,业务赖以生存的关键系统如失效,不能得到及时有效恢复,会造成重大损失。建立严格的访问控制,前面数据分级时有制定数据的“所有者”及给敏感数据进行分级,按照分级的要求制定严格的访问控制策略,基本的思想是最小特权原则和权限分离原则。最少特权是给定使用者最低的只需完成其工作任务的权限;权限分离原则是将不同的工作职能分开,只给相关职能有必要让其知道的内容访问权限。通过对内部网络行为的监控可以规范内部的上网行为,提高工作效率,保护企业有限网络资源应用于主要生产经营上来。
3特点探析
通过我们对基层供电企业在信息安全存在问题及必要性来看,主要是管理制度、网络信息安全技术、人员意识等方面存在问题,有以下特点。
3.1管理制度方面
常说信息安全“三方技术、七分管理”,制度建设对信息安全保障至关重要。信息安全管理制度应该有上级主管部门建立一套统一管理制度,基层供电企业遵照执行,可以根据各单位具体情况进一步细化,让管理制度落地。从企业总体信息安全方针到具体专业制度管理上,实现全网一体化,规范化。
3.2网络信息安全技术方面
上级专业主管部门,站在企业高度,制定专业技术标准和技术细则。从网络安全分区、网络技术架构、互联网接入和访问方式、终端安全管理、网络准入控制等方面统一规划,分布实施,最终实现企业网络信息安全防控一体化。
3.3信息安全意识培养方面
企业员工信息安全意识培养是个长期的过程,不是通过一次两次培训就能解决的,采取形式多样化方式来培养员工安全意识,可以通过集中培训讲课、视频宣传、张贴宣传画等方式进行。针对专业人员,要让他们养成按照制度办事习惯,用户需要申请某项资源,严格按照制度执行,填写相应资源申请,有时候领导打招呼也要按照制度流程来执行。长此以往,人人都会知道自己该做什么,不该做什么,该怎么做,企业信息安全意识就会得到极大提高。
3.4专业技术人员水平方面
信息安全技术日新月异,不学习就落后,不断收集信息安全方面信息,共同讨论相关话题,建立相应培训机制,专业人员实行持证上岗,提升专业人员实际解决问题能力,有效提高人员专业素养,成为企业信息安全方面专家。
4实施和开展
从2009年开始,先后进行一系列信息安全建设,涉及到信息安全制度建设、网络信息安全体系架构、信息安全保障服务、人员培训等方面,整体提高基层供电企业信息安全状况。
4.1信息安全制度建设
2010年开始信息安全体系ISO27001、27002建设,结合企业情况,形成30个信息安全相关文件,涵盖企业信息安全方针、等级保护、人员管理、机房管理、网络信息系统运行维护管理、终端安全、病毒防护、介质管理、数据管理、日志管理、教育培训等诸多方面。2013年为进一步提示公司信息化管理水平,先后增加修改建设管理、实用化管理、项目管理、信息安全管理、运维管理、综合管理5个方面14个管理细则。经过这一系列制度建设,基层供电企业有章可循,全网信息安全依据统一,明确短板情况。
4.2建设一体化网络与信息安全防控
首先依据电监会5号文件要求,网络架构按照三层四区原则进行部署建设,生产实时控制大区(Ⅰ、Ⅱ区)与信息管理大区(Ⅲ、Ⅳ区)之间采用国家强制认证单向数据隔离装置进行强制隔离,网络架构采用核心、汇聚、接入部署。网络接入按照功能划分服务器区、网管区、核心交换区、用户办公区、外联区、互联网接入区,在综合数据网上,利用MPLSVPN,根据划分不同VPN业务、隔离相互间数据交叉。建立全网PKI/CA系统,构建企业员工在企业数字身份认证系统,已建成系统进行未采用PKI登陆系统,进行相应改造结合PKI/CA系统,采用PKI登陆,在建系统用户登陆必须集成PKI登陆。根据企业信息安全要求,进行互联网统一出口,部署统一互联网防控设备,建立统一上网行为管理策略,规范员工上网行为,合理使用有限互联网资源,审计员工上网日志,以备不时之需。建立企业统一病毒防护系统,实现病毒软件统一安装,病毒库自动更新,防护策略统一下发,定期统计病毒分布情况,同时作为终端接入内网必备选项,对终端病毒态势比较严重用户进行督促整改,有效防止病毒在企业内部蔓延,进一步进化内网环境。建立统一网络边界安全防护,在企业内网边界合理部署防火墙、IPS、UTM,并将其产生日志发送到统一安全管理平台,进行日志管理分析,展现企业内部信息安全态势,预警企业内部信息安全存在问题。利用AD域或PKI/CA进行用户身份认证,建设统一桌面管理,所有内网用户必须满足最基本防病毒、安全助手、IT监控要求方可接入内网,系统启用强制安全策略,终端采用采用DHCP,用户不能自动修改IP地址,在DHCP服务器上实现IP与MAC地址及人员绑定,杜绝用户私自更换IP地址引起冲突。安全认证方面可以采用NACC或交换机802.1x方式进行,不满足要求用户,自动重定向到指定网站进行安全合规性检查,满足要求后自动接入内网,强制所有用户采用统一网络安全准入规则。实行移动介质注册制,极大提高终端安全性,有效保护企业信息资产。建立内部运维控制机制,实现4A统一安全管理,认证、账号、授权、审计集中管控。规划统一服务器、网络设备资源池,按照用户需求,提交相应申请材料,授权访问特定设备和资源,并对用户访问行为全程记录审计。
5结语
上述讨论主要针对传统信息安全来说的,随着移动智能终端普及,移动设备应用在电网企业不断深化,传统信息安全管理存在一定盲区,无线网络安全和移动终端信息安全问题突显,如何在无线准入、移动终端统一管理、移动应用安全管理方面进一步面临更大考验。
内网信息安全管理篇6
[关键词] 信息时代;网络安全;法律体系
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2017. 13. 071
[中图分类号] D922.1;TP393.08 [文献标识码] A [文章编号] 1673 - 0194(2017)13- 0165- 03
0 引 言
在19世纪90年代,计算机尚处于单机防护时期,在那个年代终端计算机安全主要是查杀计算机的病毒。如果终端计算机被引导区的病毒或是文件型的病毒感染,需要用户购买病毒防护的软件,以便查杀计算机文件中的病毒与操作系统的病毒。近几年,渐渐迈入互联网的时代,终端计算机安全需求不仅是需要进行防毒防护,同时需要经防火墙的系统来过滤与控制互联网数据。尤其在云存储与云计算时代,用户全部信息均需要在云端实施储存与计算,使得传统安全管理的模式无法满足互联网发展的需求,这就需要相关人员构建互联网安全的管理系统,以保证信息数据的安全。
1 信息时代构建互联网安全管理法律体系的重要性
1.1 互联网信息化发展使得国内法律和科学技术实现融合
在互联网安全相关法律体系之中,不少法律规范均是间接或是直接通过肌束规范的演变而形成,其操作性比较强。互联网安全的立法和一般领域中传统的立法之间存在巨大区别。而在其他的领域立法时,很大一部分均是把专门立法机构作为前提,在特点程序上立法并且执行。互联网安全的立法技术性比较强,如果在互联网安全领域中立法仅仅依靠专门立法机构来完成,其难度比较大,需要在信息安全的管理以及计算机互联网技术等文理科、工科专业共同努力下,才可以达到互联网安全立法的目的。换句话说,在互联网安全管理的立法过程中,需要有效融合法学和计算机的科学技术,在新型交叉学科的背景下,构建互联网安全法律的体系。
1.2 互联网信息发展使得国内法律与国际法律系统趋近一体
互联网技术的发展不存在国界,全世界互联网法律体系趋近一体化与通用化是今后发展必然的趋势。因为互联网技术跨国性的特性比较强,在某种程度上突破了时间、空间以及国界的限制,所以为了更好地管理互联网的信息安全,需要国内安全法律的体系和国际上有关法律系统进行衔接。在2000年的5月份,全球第一次爆发出名字是 “我爱你”计算机的病毒,仅仅在两天的时间内,几十个国家上百万台的计算机被“我爱你”这种病毒所感染,导致全球范围内的经济损失高达上百亿元。而“我爱你”计算机病毒的制造者――菲律宾辍学高校学生古兹曼,他因为菲律宾缺乏这种惩处法律系统,一直都没有受到相应的惩罚。这就需要相关人员深入研究国际互联网安全立法的构建对策,使得本国互联网安全的管理体系可以和国际安全的法律体系接轨,提高互联网安全的治理水平,强化互联网安全跨国治理的能力。
1.3 互联网信息化发展使得法律体系不断发展与健全
伴随社会上信息技术飞速发展,在很大程度上促进了国家的各个领域发展,为我国当下法律体系建设带来了严峻挑战,同时也为现阶段人民健全既有法律体系创造了契机。在高速发展的信息化社会中,人民管理方式、生活方式以及工作方式均出现了颠覆性变化,群众对于法律需要也逐渐强烈。近几年,互联网技术逐渐渗入到军事、政治、文化与经济等领域中,并且国家发展对互联网依赖程度逐渐增强,这在某种程度上使得互联网安全的风险性大幅度提高。因此,国家需要对互联网安全的管理进行立法,以确保互联网信息化健康持续发展,对计算机的犯罪行为进行严厉打击,确保公民利益与国家利益。在上述需求基础上,我国渐渐出台一些信息安全的相关法律,在某种程度上保障了互联网的安全。此外,互联网信息化技术迅速发展,同样也会引起新型发展类型,而法律是人们生活、工作等得以规范的唯一保护伞,势必会促进新型法律法规出台。互联网立法是互联网安全管理的法制化主要环节,这就需要强化互联网立法,建立健全互联网安全管理的法律机制,以确保互联网安全的管理满足互联网环境需要。
2 在信息时代背景下构建互联网安全管理法律体系对策
2.1 增设互联网信息安全的立法,对法律系统的空缺进行填补
现阶段,国内现有互联网安全法律的法规体系之中仍然存在诸多漏洞与缺陷,这就需要相关人员针对各种漏洞与缺陷新增或是修改相关法律条文与规范,确保互联网安全的法律体系越来越完善。通常在法律的层面上,需要在公民的隐私权、信息安全的标准、电子商务的安全、信息的安全管理、信息化服务安全的问题以及信息安全管理六方面对法律法规进行完善。而在制度的用嫔希需要增设反技术的规避措施、通信和互联网完全的监控协助执法、互联网信息的过滤技术、信息化安全的产品管理以及互联网信息安全合作和共享五个制度,提升法律可操作性,保证互联网信息安全。
2.2 强化法律法规的主体地位,对兼容性进行优化与提升
在互联网安全管理的法律体系建设中,需要对互联网安全执法中互联网安全的法律法规主体地位进行明确,在完善电子商务与电子政务基础上,制定相关专门性单项法律与法规,确保所建立法律法规灵活性与针对性,同时强化相关法律法规协调性与兼容性。在建立健全互联网信息安全的法律法规时,需要彰显出与传统法律规范、法律原则之间的良好协调性,相关执法部门需要有清晰的职责,以便保证法律法规执行的有效性。在实际执法的过程中,不可以发生混乱与交叉情况,需要及时按照客观环境变化对有关的规章制度进行更新、清理与优化。同时需要完善规章制度,必要时可以实时更新,同时需要完善部门规章,落实好评估的制度,根据立法有关规定,对处罚权限与行政管理权限进行合理设置,确保在同一个领域中,立法的地位一样,在不同的部门规章间,需要确保规定的不冲突与内容的不重复,继而提高法律规章的可操作性。
2.3 构建科学立法的框架,拟定国家互联网信息的安全法规
在构建互联网安全法律与法规体系的主体框架时,社会公众、互联网安全管理的主体及各级党委政府以及有关部门,应在确保公民个人知识产权、隐私权与人身权基础上,对互联网经营管理的结构相关责任以及权利进行划分,对信息处理、获取、交换以及传输等方面的行为进行规范。同时需要在发展和管理并重的原则下,对既有法律的规章制度进行总结分析,然后制定互联网信息安全的法律,并且所制定法律需要保证内容的全面性与立法的高层次,主要内容要涵盖互联网信息服务、信息安全、知识产权的保护以及互联网安全等方面。
2.4 提升法律体系中技术与管理的融合性
技g是互联网信息安全立法的保障与前提,而管理属于互联网信息安全法律的执行。通过技术与管理的互相融合,可以实现互相制约与互相联系。其一,在技术层面需要不断完善安全立法,才可以对网络犯罪进行有效遏制。在建立互联网信息安全的立法体系时,需要在计算机的信息技术基础上构建,确保所建互联网安全体系有极高的技术含量,将计算机互联网安全标准当作互联网安全法律与法规构建主要内容。其二,国内应该加强互联网安全管理的规范立法,先要构建互联网安全的管理机制,确保机制具有一定的权威性,以便统筹规划互联网的安全管理,有效决断与指挥所面临信息安全的问题。同时在互联网管理的制度层面,需要经立法完善管理制度,主要包含信息系统的管理人员职责与权限,计算机的信息体系管理制度主要包含防火墙、数据的备份、身份口令的验证以及互联网使用的权限等。
2.5 在行业信息互联网中,建立系统终端的安全管理机制
2.5.1 终端数据的安全管理
在终端用户的规范中应用终端数据的安全管理时,需要根据终端安全的管理策略以及授权级别来管理与控制文件安全的使用情况以及存储介质应用情况,主要包含保密信息控制、储存介质的使用控制以及电子文档的管理控制等,旨在保证授权终端的用户能够有效管理以及操作设备使用、储存介质,使得终端用户可以控制可问,防止出现重要文件的信息泄露情况出现。
2.5.2 终端安全的审计管理
进行终端安全的审计管理旨在综合记录以及监控主机的操作行为、互联网访问的行为、数据库的访问行为、目录文件设定操作的行为、终端用户打印的行为以及共享文件输出的行为等,以便安全审计终端用户行为,方便调查取证与统一分析,继而保证互联网环境的安全。
2.5.3 终端安全的准入控制
在确认与识别用户身份信息方面常用终端安全的准入控制,旨在鉴别终端用户身份,保证只有合法用户可以应用终端的计算机,必要时应用技术手段来评估以及检测终端系统的安全状况,保证安全状况与既定安全基线、安全策略相符以后,才可以接入互联网,继而防止不安全终端的计算机或是非授权的用户进入计算机,破坏相关数据,引发数据泄露的风险。
2.5.4 终端桌面的安全管理
在终端的计算机硬件、软件资源中常会使用终端桌面的安全管理,以便对终端的计算机外联行为与运行状态进行监控,继而实现对终端的计算机远程维护、资产监管、运行的异常监控、安全加固以及外设管理等,保证经认证授权用户可以根据授权许可安全地科学操作与使用计算机,防止不法用户侵入计算机,威胁到信息数据的安全。
3 结 语
国内互联网信息安全的法律体系形成还处于初级阶段,政府没有指定统一化互联网信息的安全法律,只是在一些地方规章、相关法律、部门规章以及行政法规中分散渗透。加之,互联网安全的国际环境日渐紧迫,这就迫切需求我国建立法律机制,并且所建法律机制需要满足今后信息安全的发展趋势以及我国互联网信息的安全现状,同时需要对既有法律体系进行完善,促进国内网络环境的建设,防止出现互联网安全事故。
主要参考文献
[1]洪延青.“以管理为基础的规制”――对网络运营者安全保护义务的重构[J].环球法律评论,2016,21(4):20-40.
[2]王小石.网络安全执法面临的挑战及对策[D].呼和浩特:内蒙古大学,2016.
[3]方婷.《网络安全法(草案)》与现行相关法律的关系分析[J].中国信息安全,2015,16(8):78-82.
内网信息安全管理篇7
随着电子信息技术的进步,形成我国目前的信息时代全面大发展,网络技术的进步更进一步的推动电子信息技术的发展,但是信息时代下的电子信息系统面临较大的安全威胁。例如:黑客、电脑病毒等其他具有恶意性攻击的电子信息管理不良现象,对于电子信息的安全管理具有严重的威胁,会直接的造成经济损失,对使用电子信息安全管理的企业带来严重的影响。
【关键词】信息时代 电子信息 安全管理 途径 分析
社会科学技术的全面发展主要的表现就是网络信息时代的到来,网络电子信息技术在给人们日常的生活工作提供方便的时候,已经逐渐的渗透到了国家经济发展建设和人民日常生活的方方面面。所以网络电子信息安全管理既是为了提升网络技术的高效利用价值,又是为了保障国民的日常生活秩序和经济发展建设不受到其影响,进而稳定持续的发展社会经济。
1 分析信息时代背景下的电子信息安全管理的重要性
1.1 能够全面的稳定网络秩序
随着当前社会经济的发展繁荣程度不断加深,网络时代全面到来,网络信息时代形成的局面是人手一台电脑、或者是笔记本电脑,上网方便、联系交流也变得密切,因此人们愿意将更多的信息在网上进行展示和沟通,电子信息使用的面积扩大,所以网络的脆弱性也随之扩大,网络黑客、病毒成为威胁电子信息安全管理的主要威胁。
要尊重当前的信息时代背景下的电子信息安全管理,才能够全面的稳定网络秩序的正常有效性,从而不断地进行网络和电子信息技术安全管理能力的更新,为新时代的电子信息安全管理提供更多的实用价值。网络秩序也只有在电子信息安全管理的情况下才能真正的提升整个电子信息安全管理的价值。
1.2 有效地保证社会经济的稳定性发展和建设
电子信息安全管理是为了适应当前的社会经济发展的要求而进行开展的,因为电子信息安全管理能够提升各个生产经营组织个体的信任度,并及时的进行经济投资,促使电子信息安全管理被有效地落实和实践。目前我国的现代化建设进程已经迈入了正轨,各个经济发展个体只有借助电子信息技术的安全管理原则,将自己公司或者组织内部的资料进行集中分配和处理,能够提高企业的日常工作效率,而且促使公司内部的资源和结构更加的具有优良性和全面性,所以在电子信息安全管理的要求下,才会多的更多的经济个体的信任,并且提升整个电子信息系统安全管理的开展意义。
社会总体的经济进步和发展主要是依靠当前社会各个阶层的经济发展主体不断的进行生产革新以及管理创新,才推动了社会的总体经济进步。所以电子信息安全管理的开展实践和落实中,企业才会加大对于电子信息安全管理的认识,并不断的提升企业内部对于电子信息安全管理的实际操作能力,从而电子信息安全管理才能稳定社会的经济全面的发展和建设,全面的保障各个企业的日常工作运行和发展。
1.3 提升国民对电子信息安全管理的认识
社会大众对位网络资源服务的主要对象,对于电子信息安全管理的开展具有全面的推动作用。大众要增强对于电子信息安全管理的认识,才能真正的提升国民素质,对于网络中的不良现象也能有效地抵制。
所以大众人民在日常运用网络电子信息资源的时候,要注重对于本身电脑的保护,进行查毒、杀毒措施的落实,将威胁电子信息安全管理的潜在隐患进行及时的排除,从而进一步将电子信息安全管理落实起来,进而提升过敏对于电子信息安全管理的认识,真正的保护好电子信息。
2 信息时代背景下的电子信息安全管理的主要方法
如图1所示:开展信息时代下的电子信息安全管理方法。
2.1 树立电子信息安全管理的思想意识
电子信息的安全管理不光是为了维护各个经济个体的发展,更重要的是电子信息技术已经被推广到了社会生活的各个方面,从高校、到政府再到企业、组织等各个阶层,已经得出电子信息的高效性和及时性。所以在电子信息安全管理的要求下要开展对于各个阶层和方面的安全管理制度落实,就需要开展对于电子信息安全管理重要性的认识,树立电子信息安全管理的有效性和科学性。
实施电子信息安全管理的思想意识,才是制定各个相关的电子信息安全管理措施和方法的基础,才能将电子信息安全管理的要求贯彻执行,并落实在日常的经济运行和生活工作当中。高校、政府、企业无疑是在网络不稳定情况下、或者受到信息安全威胁较大情况下,会受到较为严重的经济破坏和损失,所以从意识中树立信息安全管理的重要性,进而给信息安全管理的全面开展奠定基础。
2.2 实施企业内部的纸质档案管理和电子信息安全管理相互结合
企业的内部资料较为丰富,因此为了提升企业内部的档案管理有效性,要结合电子信息安全管理的要求,开展建设电子档案。电子档案记录方式多样变化性大,并且具有非直读性的优点,电子档案对于元数据和背景信息具有很强的依赖性,也是实施企业内部的纸质档案管理的原因,因为纸质档案能够保存全部信息的保留痕迹,对电子档案的构建能够提供更加具有针对性的数据支持。
电子档案虽然减轻了档案之至管理人员的劳动强度提高了工作效率,但是电子档案更加的容易受到网络不良情况的影响,导致数据库资源的流失,最终还是要靠纸质的档案进行对照和修复。电子档案增加的企业信息的风险性,必须要建立纸质的档案管理模式,进行对电子档案的有效性补充,全面的提升电子信息安全管理的有效性。在平时的企业或者党政内部机关的档案数据输入中要注意对档案管理的加密,防止黑客的入侵,导致企业或者机关的内部资源外泄,引起更多的不良现象产生。
2.3 建立企业专门的电子信息安全管理部门
依照图2方式开展对于信息的保护:
因为企业的网络被用来和外界沟通的次数不断的增多,而且企业的电子信息安全管理所面临的具体问题较多,因此建立专门的电子信息安全管理部门,才能针对网络信息状况进行全面的维护和检查,进而提高电子信息安全管理的实际利用价值,也能提高企业或者公司的实际工作效率。
在更多的信息安全管理中能及时的制定相对应的企业内部的电子信息管理方针和政策,进而将更多的电子信息安全管理有效方式进行落实。所以建立企业专门的电子信息安全管理部门,要完善企业内部的体制建设和管理制度,严格的控制电子信息的流动方向,并设置计算机的专门管理要求,设置电子系统的管理操作代码和管理规范,并设置权限制度,确保电子信息安全管理部门能够提高其工作效率,维护企业的发展生产。
2.4 提升电子信息安全管理人员的自身素质
因为电子信息安全管理的本身具有较多的技术要求和理论要求,各个层面上的电子信息安全管理人员一定要及时的针对网络问题作出全面的反应,从而保障整个企业的经济运行更加的具有高效性和准确性。
而且科技是不断地进步的,如果电子信息安全管理人员的自身素质不能随着科技的发展而进行及时的提升,那么其早晚会被社会所淘汰,因此创建信息安全管理还要加强对管理人员的二次培训,扩充其专业知识,增添更多的实际数据进行对电子信息安全管理的有效性和全面性。而且电子信息安全管理的各项其他管理制度和管理规范,以及有效性的电子信息技术操作还是依靠电子信息安全管理人员的自身素质和能力进行示范,并进行员工培训,所以整个的企业运行在电子信息安全管理的专业人员管控下,才能高效发展。
2.5 制定法律制度对恶意破坏电子信息安全管理的不法分子进行制裁
当前的信息时代背景下,给网络系统的稳定性提供了较多的威胁,而且在当前的信息时代下,网络成为不法分子制造事端和危害社会公共安全的主要工具。因此信息时代下的电子信息安全管理才需要更多直接有效地法律制度进行电子信息的安全管理,对故意进行电子信息技术的不法人员要进行严厉的制裁,确保社会稳定、网络清明、经济发展有效。
3 信息时代背景下的电子信息安全管理的意义
3.1 提升网络信息的可利用价值
网络是带给人们生活享受和工作学习方便的有效工具,因此在网络信息的可利用价值中一定要做好电子信息的安全管理,增添网络信息的可靠性和实用性,维护网络工程的发展建设。
3.2 促进更多现代化的科技不断研发利用
电子信息的安全管理给各个经济发展企业提出更多的实际性要求,注重对于自身信息的管理提升网络的实用性。更给青少年对于网络技术的利用提供更多的基础保障,所以在现代化的发展中网络电子信息安全管理的情况下才能促进更多的现代化科技的开发和投入运行使用,逐渐以更多的形式体现对于网络的有效利用,从而推动社会现代化的文明建设不断进步。
4 结语
实施信息时代下的电子信息安全管理,能够针对性的重视电子信息安全管理的重要性,并针对安全管理的要求开展各个企业内部的信息管理调整,为达到企业的经济效益最大化提供了有效地保障,为社会的现代化发展打好了基础。
参考文献
[1]任成伟.浅谈信息时代背景下的电子信息安全管理[J].电子制作,2013(04).
[2]刘力源.浅谈计算机信息安全管理措施[J].计算机光盘软件与应用,2013(05).
[3]韦懿霖.我国新时代背景下的网络信息安全分析[J].信息与电脑(理论版),2010(12).
[4]丁道勤.论信息通信法的体系架构[J].经济法论丛,2013(02).
作者简介
顾建龙(1979-),男,江苏无锡人。大学本科学历。现为江苏蓝深远望系统集成有限公司工程师(中级),从事计算机信息化建设工作。
作者单位
内网信息安全管理篇8
医院网络信息安全与医疗卫生服务质量、效率息息相关,因此做好网络信息安全防护体系建设有助于确保医疗信息安全与信息服务平台应用,对于进一步提升医疗服务质量至关重要。文章分析了我国医院网络信息安全防护体系现状,并对医院网络信息安全防护体系的设计与应用进行了探讨,希望能为医疗信息服务改革与创新提供参考。
关键词:
医院;信息安全;防护体系;设计
0引言
医院作为提供医疗卫生服务的主体,本身的发展关键在于做好综合管理,信息平台作为进行医疗服务、医学研究、教学、对外交流宣传等工作的主要阵地,建设与服务情况直接关系到医院工作质量与效率,因此建立完善的信息安全防护体系不仅可有效保障信息平台运作的有效性,同时也可及时消除信息服务过程中出现的各类故障与问题,确保医院工作顺利进行。
1我国医院网络信息安全防护体系现状分析
(1)安全需求。
医院信息网络安全防护涉及计算机、通信安全、信息安全、密码、信息论、数论等多种专业知识与技术,计算机信息系统平台的防护要做好到不因偶然或者故意的外界因素影响系统运行,保障信息的安全,减少信息丢失、受损、更改、泄露等,确保信息提供服务医疗工作的延续性、长期性、可用性与高效性,提升系统运行安全性与可靠性。结合我国信息安全防护规范与医院医疗信息工作防护需求来看,技术层面上医院网络信息安全主要分为三个层次,一是硬件设施安全,包括计算机、网络交换机、机房、线路、电源等物理设备在内的设备安全,二是数据或应用安全,即软件安全,保证信息系统相关软件、程序、数据库等操作的访问安全,三是网络与系统安全,即包括网络通信、信息交换、信息应用、信息备份、计算机系统等在内的系统平台免受系统入侵、攻击等影响。
(2)安全防护现状。
目前国内经济发达地区的二级医院与三级医院基本上已经建立起了HIS系统与局域网,通过与因特网连接构建服务院内医疗工作的信息平台,信息网络运行遵照内外网物理隔离形式,因此相对而言运行风险减小,在安全防护方面投入比例相对较低,不过面对越来越进步的医疗需求,实现内外网合一成为必然,有助于构建更为高效的医疗信息共享模式、预防传染疾病、建立大范围医疗服务体系等,但是内外网合一将会面临更多的安全风险与漏洞,因此加强安全防护体系建设迫在眉睫,是保证医疗信息安全与高效管理的必然举措。医院信息安全防护体系的建设面临着来自安全管理、硬件软件等多方面的风险,目前防护体系建设主要是通过升级硬件、软件防护确保信息安全,通过加强人员管理与安全管理降低安全风险威胁,对于医院医疗系统而言,随着越来越多的信息化医疗设备、仪器、就医人员等介入信息平台,安全防护体系建设所面临的风险与需求也将会越来越大,因此针对医疗信息安全需求做好防护体系的建设与推广应用是目前进步发展的关键。
(3)信息安全建设问题。
当前医院网络信息安全问题已经成为困扰信息系统平台运行、应用的瓶颈,为了应对信息网络时代频繁的网络攻击与信息安全威胁,杀毒软件、防火墙、入侵检测技术、信息备份技术、数据库安全技术等广泛应用于医院网络信息安全建设。上述技术虽然在确保网络信息安全方面发挥了一定作用,但是同时也存在不足之处,就目前来看,我国医院网络信息安全防护体系还存在不少问题。医院网络信息安全防护系统使用的硬件、软件产品因不属于同一企业,在整合、规划、管理中容易存在漏洞导致重复建设或者潜在安全风险等问题,影响信息系统安全。信息平台的构造与使用专业性要求较高,并且设备、软件需进行专业整合,院内桌面终端的分散与多边、医护人员水平高低、使用情况等都直接增加了信息安全防护的难度。目前医院网络信息安全防护系统的建设与应用缺乏统一的技术标准与规范,不利于信息技术的整合和信息平台潜力的挖掘,一定程度上增加安全防护系统构建与应用的难度。网络信息技术的发展与安全防护本身处于此消彼长的态势,在制定安全防护策略、构建防护体系时必须做好与时俱进,最大限度的在降低经济成本的同时提升技术应用效率与效益。
2医院网络信息安全防护体系的设计与应用
(1)硬件设施建设。
医院安全防护系统硬件设施建设关键要做好核心服务器、交换机、应用计算机、网络设备等建设,硬件建设优劣直接决定信息服务效果与质量,是确保医院信息平台顺利运行的关键物质基础,因此为提升防护稳定性与可靠性,加强硬件设施建设势在必行。硬件设施建设要从设备型号、性能等入手,配合网络布局规划、服务需求制定最佳建设方案。以机房设计为例,作为安全防护信息系统的神经中枢,医院至少要建立两个A级标准机房作为主机房与备用机房,并对监控间、设备间、空调电源间做好设计,比如空调电源间要做好精密控温、恒温恒湿、备用UPS电源等建设,并留有充足的后续设备空间,另外要着重做好消防安全工作。监控间要应用专业的设备环境监控系统及时掌握主机房环境变化,以便在意外发生时做到准确应对。硬件配备方面为满足医院工作网络信息安全防护需求,要配备优质的设备以保证数据访问效率,利用HIS服务器、PACS服务器等为实现办公自动化、电子病历、信息安全管理提供强劲动力;应用混合光纤磁盘阵列、近线存储等完成海量数据的存储、交换与备份,并采用核心交换机、光纤宽带等构件高性能网络平台,并在医院内部配备优质计算机服务终端。网络布局方面,根据医院性质做好军网、医保专网、内网、外网的联合建设,内网建设是关键部分,要着重加强安全防护建设,并留有网站备份与未来拓展空间,为医院信息安全管理提供支持与保障。
(2)网络系统安全建设。
医院信息网络系统安全威胁主要来自于外部攻击入侵或者网络本身缺陷所导致的运行失误、效率下降、系统崩溃等问题,攻击入侵包括木马病毒攻击、系统漏洞等,因此要着重做好网络安全防护与系统安全防护。网络安全防护要根据医院网络性质做好内外网融合与统一,保证专网、军网等介入内网时受到物理防火墙、网闸的有效保护,屏蔽内网信息、运行情况及结构,有效预防、制止非法入侵及破坏行为,并且为了提升防护效果,要尽量配合网络运行监控系统以达到理想防护效果。系统安全防护需要建立完善的病毒防护体系,处理好系统终端计算机内的病毒、木马等,建立有效权限制度以达到保护信息、防护内外入侵等行为,可通过采购企业版病毒防护软件定期更新病毒库达到自动杀毒维护安全效果;系统内部防护安全与计算机个人网络终端关系密切,因此要在院内移动终端上增加桌面控制软件以实施全面安全管理,通过系统补丁分发、端口访问、安全准入等机制实现防护。
(3)数据应用安全。
数据应用安全关键要做好数据存储、访问、应用安全及信息系统软件运行安全。数据存储安全与系统环境、硬件设备、数据库安全密切相关,因系统漏洞、硬件损毁、数据库错误等造成数据毁坏要通过采取备份、恢复、数据容错等举措解决。为保证数据安全性与完整性,要建立数据库本机与多机备份机制,尤其是核心数据库要分别建立主、备用服务器,一旦其中之一发生意外立即采取补救措施实现自动切换,尤其是电子病历要进行专业备份及归档,确保数据完整性与可用性。数据访问安全问题主要以非法用户访问、非法篡改数据为主要表现,要完善医院内部访问权限与身份准入系统,实现统一授权管理,以减少信息丢失、错误等情况。要对数据库安全环境建设、应用软件环境建设倍加关注,如lP±IE址的设置、数据库配置、环境变量设置等,实现统一运行环境与地址绑定,降低安全运行风险。
(4)安全管理制度。
医院内部要做好信息安全管理制度的完善与执行,根据国家政策、行业法规、院内需求积极完善系统及数据应用,确保网络信息安全防护系统始终维持良性运行状态,为医院安全建设奠定基石。要加强网络安全值班制度建设,配备专业人员监督网络系统运行,并配备专业监控系统及时处理各类问题与意外,对于问题严重者要及时通报技术科室进行维修养护,确保医院信息系统始终处于24小时监控维护下。值班管理中,要做好系统运行情况记录,并进行数据备份,确保值班日记连贯、完整,为安全管理提供帮助。院内用户管理是安全管理另一重点,权限管理中要严格管理员权限准入机制,做好院内计算机终端设备的改造,做好院内工作人员专业培训,以便实现用户合法、合规访问系统,减少系统运行与访问风险,保证信息数据的安全性。
(5)应用实践。
为了确保医院网络安全信息防护系统得到有效运行,在实际运营中要增加相应的运维管理系统与安全防护系统达到理想防护效果。比如在主机房设置机房动力与环境监控系统,对机房准入权限、电源供应、通风、控温、消防等情况进行监控,确保机房始终维持在理想的恒温、恒湿现状,电压、电流、频率满足需求,并将变化做好数据记录监控,为机房高效管理提供保障;在医院内网设置专门的安全防护系统,以规范约束院内终端用户操作与应用,避免非法访问与数据篡改,该系统与院内身份认证系统合作,通过灵活的安全策略实现对内网用户、终端计算机的安全管理,充分践行事前预防、事中控制、事后审计的原则,实现安全行为管理;针对电子病历管理,要建立专门的VERITAS存储管理系统对病例数据进行存储、备份与恢复,并根据备份策略做好病程文件的保护与恢复,以确保医疗工作的顺利进行。
3结语
综上所述,医院网络安全防护体系的建设与应用有助于降低医院信息安全风险,提升信息系统可靠性、可用性与安全性,对于提升医院医疗服务质量与效果有积极意义,可有效减少院内信息系统安全故障、降低安全运行风险,提升系统运行服务质量,对于国内医疗改革进步、创新有重要实用价值。
作者:朱凌峰 单位:湖南省衡阳市南华大学附属第二医院
参考文献:
[1]胡祎.医院信息网络建设中的安全技术体系[J].网络安全技术与应用,2013(10):59
[2]刘夏娥.医院信息系统网络安全体系构造[J].计算机光盘软件与应用,2013(1):51