你好,欢迎访问云杂志! 关于我们 企业资质 权益保障 投稿策略
咨询热线:400-838-9661 订阅热线:400-838-9662
我的订单 购物车(0)
首页 学术杂志 教育杂志 医学杂志 经济杂志 金融杂志 管理杂志 科技杂志 工业杂志 机械杂志 生活杂志
当前位置: 首页 精选范文 公司信息安全管理体系

公司信息安全管理体系合集13篇

时间:2023-10-09 17:41:58

公司信息安全管理体系

公司信息安全管理体系篇1

笔者就职于四川电力建设三公司(以下简称为“公司”),从事企业信息化管理工作。四川电力建设三公司是一家典型的电力施工企业,拥有众多的施工项目,分散在国内外各地。随着信息技术的飞速发展,公司也紧跟时代的脚步,开发并使用了一系列信息系统,包括公司OA办公系统、数据报表系统、人事管理系统、财务资金管理系统、资产管理系统、邮件系统等。由于公司是一家大型电力施工企业,主营业务为电源建设,项目投资金额大、项目周期长、生产环节繁杂、参与人员较多,因此信息系统的数据流链条较长、信息采集点较多,且包含大量公司商业秘密,信息系统的安全保障是公司异常关注的重点工作。本人在多年的工作实践中,积累了一定的信息系统保障工作经验,现对此项工作进行全面总结。信息系统安全保障工作,从宏观角度可以分为信息安全管理体系建设、信息安全组织与管理、信息安全法规与标准化工作、信息安全技术工程几个方面。

信息安全体系建设主要指信息安全管理体系ISMS的建立与运行。信息安全管理体系ISMS是目前国际上使用较广泛的信息安全管理方法,其认证标准对企业进行信息安全保障工作具有较强的指导意义。公司作为一家大型电力施工企业,未雨绸缪,在本世纪初就开始了相关的体系建设工作。信息安全管理体系ISMS的相关标准有ISO/IEC27001和GB/ T22080,主要有规划建立、实施运行、监视评审、保持改进四个过程。

1、在规划建立阶段,公司参照国际国内先进企业经验,确定了公司ISMS组织结构范围、业务范围、信息系统范围和物理范围,制订了ISMS方针,确定了风险评估方法。2、在实施运行阶段,公司制定了风险处理计划、实施风险处理计划、开发有效测量程序、实施培训和意识教育计划、管理ISMS运行。其中,工作重点是对具体风险的有效应对与控制。公司针对面临的各项风险制定了专门的风险管理计划,对每一项风险的处理优先顺序、处理措施、所需资源、责任人、验证方式进行了详细定义,确保风险管理的可执行性。3、在监视评审阶段,公司通过日常监视与检查、内部审核、风险评估、管理评审等活动确保整体监控水平。4、保持改进阶段,公司主要活动为实施纠正和预防措施,消除各个管理不符合项,确保在发生信息安全事件时,能够从容应对、科学分析,并采取最优的处理措施。

公司信息安全管理体系篇2

1 信息安全建设的目标

吕梁供电公司信息安全建设的目标是:基于安全基础设施、以安全策略为指导,提供全面的安全服务内容,覆盖从物理、网络、系统、直至数据和应用平台各个层面,构建全面、完整、高效的信息安全体系,从而提高公司信息系统的整体安全等级,为公司的业务发展提供坚实的信息安全保障。

1.1 信息安全管理的理念或策略 从宏观的、整体的角度出发,系统的建设公司信息安全体系,不仅仅局限于技术层面,而是全面构架信息安全技术体系,覆盖从物理安全、网络安全、主机系统安全、到数据和应用系统安全各个层面。同时,建立全面有效的安全管理体系和运行保障体系。技术和管理并重,突出安全管理在信息安全体系中的重要性,仅仅凭借安全技术体系,无法解决所有的安全问题,安全管理体系和技术防护相互配合,增强技术防护体系的效率和效果,同时也弥补当前技术无法完全解决的安全缺陷,使得安全技术体系发挥最佳的保障效果。

1.2 信息安全管理的范围和目标 吕梁供电公司信息安全防护的总体目标是为了贯彻和落实公安部、国家保密局、国家密码管理局、电监会等国家有关部门信息安全工作要求,全面完善公司信息安全防护体系,落实国网公司“双网双机、分区分域、等级防护、多层防御”的安全防护策略,确保信息系统持续、稳定、可靠运行,确保信息内容的机密性、完整性、可用性,防止因信息系统本身故障导致信息系统不能使用和系统崩溃,抵御黑客、病毒、恶意代码等对信息系统发起的各类攻击和破坏,防止信息内容及数据丢失和失密,防止有害信息在网上传播,防止公司对外服务中断和由此造成的一次系统事故。确保信息安全工作在公司的顺利开展,逐步提高公司信息安全整体防护水平。

对吕梁供电公司信息系统进行安全风险评估,涵盖管理与技术两部分,其中管理包括管理机构、管理制度、系统运维、人员安全和系统建设五个方面,技术则包括物理安全、网络安全、主机安全、应用安全和数据安全五个方面。通过评估的实施,不仅可以进一步提高信息系统安全保护符合性要求,而且可以将整个信息系统的安全状况提升到一个较高的水平,并尽可能地消除或降低信息系统的安全风险。

1.3 信息安全管理的指标体系及目标值

1.3.1 分区分域 依据国家电网公司安全分区、分级、分域及分层防护的原则,吕梁供电公司信息网络已划分为信息内网和信息外网。

信息内网依据总体方案“二级系统统一成域,三级系统独立分域”方法,结合公司实际,信息内网系统可分为:营销系统二级域;财务系统二级域;公共服务域(WWW、DNS、办公自动化系统等);桌面终端域。

信息外网的系统可分为:对外应用系统域;桌面终端域。

安全域的具体实现采用物理防火墙、虚拟防火墙或VLAN、VPN等隔离方法。基本实现目标为划分的各域边界可进行访问控制。

进行安全域划分后,公司内网二级域3个,桌面终端域1个;外网服务域1个,桌面终端域1个。

1.3.2 控制指标 公司同业对标指标目标值:信息安全次数为0次,信息系统可用率为100%,信息系统应用指标为100%。

2 专业管理的主要做法

2.1 主要做法说明

2.1.1 物理安全 物理安全主要是网络设备及主机安全,吕梁供电公司网络设备及系统服务器存放在专门的计算机机房,首先通过门禁系统保证这些设备自身的安全性,并建立了专门的人员出入访问控制机制,严格控制人员出入计算机机房和其他重要安全区域,便于检查和分析。其次,指定专门的人员,负责计算机机房地建设和管理工作,建立了计算机机房管理制度,对设备安全管理、介质安全管理、人员出入访问控制管理等作出了详细的规定,并定期对计算机机房各项安全措施和安全管理制度的有效性和实施状况进行检查,发现问题,及时整改。

2.1.2 运行安全 为了保证信息网络的安全运行,吕梁供电公司开展了双网双机建设,也就是内网和外网物理逻辑隔离,内网用计算机与外网用计算机物理分开的建设。

2.1.3 信息安全 吕梁供电公司要求每位员工有效利用各种口令,每台机器都设置有开机口令,确保口令长度至少8个字符,并且是大小写字母、数字和特殊字符中的三种组合,并要求至少3个月更换一次口令。

关于信息加密方面,公司要求重要信息、文件等不能在外网传送,必须在内网发送,并且要加密发送,并要求关闭计算机文件共享,确保信息不会泄露。

每台计算机必须安装省公司统一推广的趋势杀毒软件及启用防火墙,发现有未安装杀毒软件的机器立即短网,防止外部用户非法进入。

2.2 确保流程正常运行的人力资源保证 根据省公司对于信息安全的总体部署,为切实做好信息系统安全工作,我公司成立了以公司经理为组长,分管科技信息工作的副经理为常务副组长,各部门和所属单位一把手为成员的“网络与信息安全领导小组”,全面负责公司的信息安全工作。领导组下设办公室,由科信部全体成员和所属各单位专责人共同组成,负责信息安全方面的有关技术保障、事故应急处理以及信息风险和事故评估等具体工作。

公司要求所属各单位、各部门要认真按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”和属地化管理的要求,认真履行信息系统安全职责,严格按照“三个百分之百”要求,落实公司信息系统与保密工作的制度和规定,执行“双网双机、分区分域、等级防护、多层防御”的信息安全总体防护策略,切实抓好信息系统安全责任和制度的落实,确保完成了双网隔离、等级保护,确保了信息系统安全建设,安全运行,安全应用。

组织所属各单位的信息专责人进行了信息安全学习和警示教育,组织学习公司信息化规章制度,重点学习电监会《关于开展电网企业信息安全检查的通知》(电监信息[2009]3号,国网公司《关于进一步加强网络和信息系统安全的紧急通知》(办信息[2009]3号),以及《信息化“SG186”工程安全防护总体方案(试行)》(国家电网信息[2008]316号),深入了解公司面临的严峻的信息系统安全形势,全面掌握公司部署的应对措施,结合工作实际,借鉴信息安全保电经验,对曾经出现的信息系统安全事件与薄弱环节进行汇总、分析,普及信息系统安全警示教育,整肃安全管理作风。

整理完成了包括电监办、国网公司、省公司、公司规章制度在内的《网络与信息系统规章制度汇编》,修订下发了《吕梁供电公司信息系统安全管理办法》、《吕梁供电公司信息安全总体防护方案》。进一步完善了专项应急预案的制订和审查备案等工作。

3 评估与改进

通过在管理方面和技术方面采取的有效措施,使公司同业对标信息化指标上半年完成情况:信息安全次数为为0次,信息系统可用率为100%,信息系统应用指标为100%。

公司信息安全管理体系篇3

2供电企业信息安全的影响因素

尽管供电公司投入了大量的财力、物力建设电网信息安全系统,但供电企业内部网络仍不健全,存在许多安全隐患。另外,供电公司信息化水平不高,信息安全保障措施薄弱也制约了其信息安全系统的建设。要构建一个健全的供电公司信息安全保障体系,就要首先分析供电公司信息安全的影响因素,对症下药,进一步提出供电企业加强信息安全管理的对策。

2.1不可抗拒因素

所谓“不可抗拒因素”,就是由于火灾、水灾、供电、雷电、地震等自然灾害影响,供电公司的供电线路、计算机网络信号、计算机数据等受到破坏,并威胁到供电公司的信息安全。

2.2计算机网络设备因素

供电公司计算机系统中使用大量的网络设备,包括集线器、网络服务器和路由器等,其正常运行关系着供电公司内部网络的正常运行,而计算机网络设备的安全直接关系着供电公司的正常运行。

2.3数据库安全因素

供电公司计算机系统监控用户峰值,管理用电客户信息及其他用户缴费等情况,计算机数据库的系统安全决定了供电企业的调度效率,也决定了供电公司公共信息的安全。供电公司应该使用专用网络设备,确保企业内部网络与外部互联网的隔离。

2.4管理因素

供电公司员工的业务素质和职业修养参差不齐,直接影响到供电公司的网络安全。供电公司应该建立过错追究制度,提高员工的信息化素质,有效防止和杜绝管理因素造成的信息安全问题。

3供电企业加强信息安全管理的对策

3.1提升员工信息安全防患意识

开展信息安全管理工作,并非仅仅是系统使用或者管理部门的事,而是企业所有职工的事,因此,要增强全体员工的信息安全和防患意识。通过采取培训和考核等有力措施,进一步提升全体员工对企业信息安全的认识,让信息安全成为企业日常工作业务的一个组成部分,从而提升企业整体信息安全水平。

3.2采用知识型管理

传统的安全管理大部分采取的是一种硬性的管理手段。在当今知识经济的时代,安全管理应当以知识管理为主,从而使得安全管理措施与手段也越来越知识化、数字化和智能化,促使信息安全管理工作进入一个崭新的阶段。

3.3设置系统用户权限

为了预防非法用户侵入系统,应按照用户不同的级别限制用户的权限,并投入资金开展安全技术督查和安全审计等相关活动。信息安全并非一朝一夕就能完成的事,它需要一个长期的过程才能达到较高的水平,需建立并完善相应的管理制度,从平时的基础工作着手,及时发现问题,汇报问题,分析问题并解决问题。

3.4防范计算机病毒攻击

加速信息安全管控措施的建设,在电力信息化工作中,办公自动化是其中一项非常重要的内容,而核心工作业务就是电子邮件的发送与接收,这也正是计算机病毒一个非常重要的传播渠道。因此,必须大力促进个人终端标准化工作的建设,实现病毒软件的自动更新、自动升级,不得随意下载并安装盗版软件;加强对木马病毒等的安全防范措施,对用户访问实施严格的控制。

3.5完善信息安全应急预案

严格规范信息安全事故通报程序,对于隐瞒信息事件的现象,必须严肃查处。对于国家和企业信息安全运行动态,要及时通报,分析事件,及时信息安全通告。对于己经制定的相关预案和安全措施,必须落到实处。另外,还要进一步加强信息安全技术督查队伍的建设,提高信息安全考核与执行的力度。

3.6建立信息安全保密机制

加强信息安全保密措施的落实,禁止将计算机连接到互联网及其他公共信息网络,完善外部人员访问的相关授权、审批程序。定期组织开展信息系统安全保密的各项检查工作,切实做好文档的登记、存档和解密等环节的工作。

公司信息安全管理体系篇4

引言

随着池州市县公司电网规模的不断增长,变电站、供电营业所等基础设施的增加使得信息通信网络覆盖地域增大、信息通信设备数量激增,业务应用对信息通信的支撑要求越来越高,对信息通信的运维管理均提出了更高的标准。同时随着国网公司对信息通信专业安全运行要求的标准化、精细化和规范化,市公司信息通信管理运维水平不断提升,基本保障了业务应用的稳定、安全运行。但县公司作为电网的有机组成部分,其信息通信专业业务与市公司逐步融合,县公司信息通信的管理水平也成为整个市公司信息通信专业管理水平的基线,只有全面掌握县公司信息通信专业运行现状,有效提升县公司信息通信的管理水平才可提升全网的信息通信安全。为此有必要加强县公司信息通信网络系统的运行监控,构建全新的信息通信市县一体化运行监控体系(以下简称运监体系)已成为迫切需求。

1.需求现状分析

1.1 现状分析

池州供电公司下属县公司根据自身信息通信运行现状及管理需求,本着满足生产应用基本需求、避免重复建设的原则,在市公司的统一安排下进行了部分支撑系统的建设,包括VRV桌面管控系统、防病毒系统及北塔网络管理系统,其中多数系统依托市公司硬件设施及部署的信息系统。目前系统建设可满足县公司日常运行监控基本需求,但存在如下问题:

(1)县公司部分业务系统部署在市公司虚拟机或业务系统中,受限于或系统缺陷、系统运行效率低、系统故障维护不及时。如贵池、青阳、石台公司的趋势系统直接接入市公司系统,由于系统不支持分区域告警,使得运维工作主要集中在市公司,县公司被动接受运维工单,整个处理流程效率较低。

(2)县公司部分信息通信业务系统缺乏必要的系统运维与系统完善,目前多数系统只能提供设备故障告警。同时由于版本差异,不能和市公司系统实现级联管理。

(3)由于缺乏运维人员及完善的管理考核机制,县公司信息系统基础数据质量不高,深化应用水平较低,无法适应更精细化的管理需求。

1.2 运行监控体系需求

针对池州供电公司信息通信运维现状,提出建立市县信息通信运行监控一体化平台,并满足以下管理需求:

(1)借鉴市公司实行的信息运行过程评价指标体系,结合县公司管理现状,给出适用县公司信息运行过程评价的动态指标体系设计,并建立指标动态调整机制;依据指标评价体系定期开展县公司指标对标活动,发现市、县公司管理差异点并进行改善;

(2)建设一体化监控平台,打通市县公司北塔网管系统、趋势防病毒系统、VRV等系统之间的数据级联,并基于指标体系在市公司层面实现统一的系统应用指标监控;实现县公司信息、通信故障的实时告警及市公司层面的实时监控,并建立工单闭环处理流程,通过规范工单处理流程提升县公司的运维水平;

(3)以建立监控运行一体化平台为依托,实现对信息通信网络、设备、业务系统、终端、信息安全、机房的全面、全方位、全过程监管,全面提升信息通信系统运行管控能力;以平台建设、运维经验为基础,依托网省公司信息通信制度标准,研究制定市县信息通信一体化监控标准体系、一体化运维工作标准体系。

2.系统建设

2.1 建设目标

根据1.2节描述的需求,同时依据网省公司对信息通信专业的运维管理规范,通过建设信息通信一体化运行监控体系,统一市县公司信息通信管理方法,将市县公司信息通信资源纳入统一监控运行,建成信息通信设备实时监控、信息通信资源统一调配、信息通信缺陷闭环管理、信息通信方式在线管控的信息通信一体化运行监控系统。健全完善信息通信市县一体化运行监控管理和技术标准,优化信息通信运行调度人力资源配置,最终建成信息通信市县一体化运行监控体系,保障信息通信系统安全稳定运行。

2.2 建设方法

体系建设涉及到多应用系统数据抽取、分析及管理流程优化,是一项长期优化工程。为此立足池州供电公司信息通信专业现状,在体系建设时先确定建设范围及建设目标,在此基础上设计满足市县一体化运行监控需求的业务流程并确定体系建设功能。

(a)运监范围定义

根据信息通信运监业务需求,结合信息通信考核指标体系,确定信息通信运监范围。运行监控对象包括网络设备、机房环境和服务系统三类。其中网络设备包括信息专业的网络设备(内外信息网)、主机、终端及安全设备,通信专业的传输网、交换网、支撑网及接入网设备;机房环境包括视频监控系统、动力环境监控系统;服务系统包括VRV桌面系统、趋势防病毒系统。

(b)运监业务流程设计

现有市、县公司信息通信业务流程独立运行,难以支撑目前的市县一体化运行监控需求,运行监控信息流转不及时、运维人员调配效率较低,需要重新设计综合市县公司人力资源、系统资源及管理目标的运行监控业务流程,并以业务流程为指导建设信息通信一体化运行监控体系。

本文流程设计以信息通信运行监控运行值班和186服务台为核心,实时监管信息通信系统运行状态,统筹监管信息通信资源变更、检修等工作(承担许可、安全监护职责)。主要流程包括运行值班、186服务台、一单两票、缺陷管理、检修管理、方式管理、日志管理(信息)、基本信息管理和资源管理。

(c)运监功能设计

围绕综合运行指标及业务流程,一体化运行监控体系建设监控中心、告警中心、运维中心及评价中心,主要功能规划如图1所示,详细功能规划如图2所示。

图1 一体化运行监控体系功能规划

图2 一体化运行监控体系功能设计

图3 信息通信系统市县一体化全景监控视图

为最大复用现有系统功能,监控中心采用异构数据抽取方法集成多个应用系统的监控功能模块,同时在监控中心的不同屏幕展示业务系统的监控界面。

2.3 综合运行指标管理

信通信运维工作的量化考核是管理工作的重点,合理的量化考核机制可促进信息通信运维水平的不断提升。如何合理的设计运行考核指标,评价信息通信专业运维质量,是一体化运行监控体系建设的重点。本文以现有市公司运行指标库为基础,结合县公司的运维管理现状,首先建立起全面的考核指标库,再根据县公司的运维水平及各个阶段的管理需求,从指标库中选取部分指标构成当前阶段的考核指标体系。考核指标包括现有各类设备和系统的各类异构信息,如网络设备、安全设备、应用系统和终端管理中各种事件,以及经过综合分析后设备运行状态预测等。为便于监控人员直观掌握指标现状,一体化平台通过图形化方式实现关键指标的综合展示。以下是池州供电公司建设的运行指标图形化综合展示系统界面。

2.4 系统实现 (下转第109页)(上接第73页)

监控中心及运维管理中心是一体化体系建设的重点。

(a)监控中心

在市公司建立集中监控中心,实现市县信息通信系统运行监控一体化管理和集中实时监控,实现对市、县公司信息通信网络、网络设备、业务系统、终端设备、信息安全、机房的实时全面监测,实现信息通信系统运行监控和故障信息的统一显示和。

在图3中上方通过气泡图的形式展现各个系统的运行情况,图中每个小气泡代表一个系统的一项指标,绿色图标表示系统的这项指标运行正常,红色图标代表系统指标有告警信息并提示业务人员处理,带感叹号的图标表示系统指标有告警信息并提示业务人员处理。当图标是红色或者是带感叹号业务人员可以点击查看该指标的具体告警信息。

在图3中下方是以图表的形式展现告警信息的处理情况、待办工单和链接地址,告警信息的处理情况显示各系统的运行告警信息包含告警时间、单位、系统、事件等级、描述、状态和事件类型,当其中一条告警信息变成已处理,该行字体的颜色变成银灰色以便区分未处理的告警信息。链接地址是把各个运行系统的地址集成在以便业务人员快捷的进入各个运行系统查看告警情况,点击右边的箭头即可进入该系统。待办工单和库存资源统计各个状态的数量。

(b)运维管理中心

以集中监控中心为依托,采用分级处理模式,建立市县公司信息通信一体化运维流程,将运维管理工作以任务工作单的方式传递,设计科学的、符合运维管理规范的工作流程,在处理过程中实现电子化的自动流转,缩短流程周期,减少人工错误,并实现对事件、问题处理过程中的各个环节的追踪、监督和审计。同时提供对市县一体化运行监控信息系统运行情况、事件响应、运维工单等的综合评估、考核管理功能。

3.建设成效

市县公司信息安全水平的整体提升是保障电力信息网络安全运行的重要基础,池州供电公司通过建设信息通信一体化监控体系在市县公司信息通信一体化运行管理方面做了有益的实践。通过将市公司信息专业化管理方法延伸至县公司,结合信息通信考核指标体系,确定信息通信运监内容,部署运行监控平台,最终实现了信息通信专业的统一客服、统一运维和统一监控。随着一体化运维体系的建设,公司信息通信专业管理效率、运维质量、服务能力及安全水平全面提升,取得了很好的应用实效。

(1)设备集中管控

实现对市县公司信息通信设备的集中管控,管控率达100%。

(2)终端规范管理

实现对市县公司内外网终端进行集中监管,规范终端入网、维修、更换、应用等流程,确保终端设备状态在控、可控、能控。

(3)业务规范操作

实现市县公司信息通信设备集中管控、资源统一调度,通过工作联系单、工作票等措施,规范信息通信业务操作,确保信息通信系统稳定运行。

(4)安全有效管控

通过对市县公司信息通信设备的集中管控,实时监视,及时发现隐患、消除缺陷,切实降低安全风险。

(5)安全可靠的技术支撑

通过信息通信市县一体化运行监控体系试点建设,打造安全、稳定的信息通信系统,为“三集五大”体系正常运转提供安全、可靠的技术支撑。

4.总结与展望

信息通信市县一体化运行监控体系建设是一项复杂的系统工程,需要持续的发展完善,建设过程中涉及环境、网络、系统、业务、人员培训等各方面的管理,任何一个环节的缺位或失误都可能影响运维工作的质量与效率,既不能一蹴而就,也不能一劳永逸。为此,需要进一步深化强化信息通信一体化管理体系,加强信息通信系统调度管理体系建设,形成“统一指挥、反应灵敏、协调有序、运转高效”的管理机制,切实提高信息通信系统运维水平和工作质效,确保信息通信一体化监控体系在电力生产中发挥重要作用。

参考文献

[1]梁云,姚继明,建波.电力信息通信一体化运维体系探讨[J].价值工程,2012,36:43-45.

[2]潘崎.浅谈电力系统中信息通信融合的应用[J].中国新通信,2013,12.

[3]常英贤,张鑫,谢飞.信息通信融合的一体化管理体系研究[J].电力信息化,2013(04):36-38.

[4]王志强,蒋城颖.电网企业信息通信融合的探讨[J].电力信息与通信技术,2013(10):1-4.

[5]周海艳.浅谈县级供电公司信息通信一体化管理[J].科技创新导报,2012,29:212-213.

公司信息安全管理体系篇5

根据信息管理的具体应用业务流程,并且结合系统级安全策略,动态对系统中的不同信息和用户赋予不同的权限。例如,在OA系统中,可以设定系统中的具体文档、合同的阅读者和审核者范围,甚至可以对哪些用户可以文档中某一部分的内容进行阅读或者修改的权限进行设定,采用动态权限机制来保证系统的安全;

(2)操作记录

将用户操作进行自动记录和存档,同时保存文档修改之前和之后的版本,从而记录下文档的修改轨迹。

2安全技术具体应用案例

2.1信息管理系统安全分析

由于电力市场的特点决定,电力系统参与的各个主体分别代表了不同的利益团体,例如电力公司信息管理系统中的交易热暖,能够申报授权范围内的交易数据,对市场信息进行查询;结算人员可以对各类交易的执行情况和执行结果进行考核结算。因此,为了防止系统用户在信息管理系统中进行越权操作,或者操作不当给各方带来的损失,需要对电力公司的信息管理系统进行安全控制。由于电力公司所涉及的业务广泛,为此电力公司内部信息管理系统数量众多,主要包括负责对发电厂、输配电线、变电站的正常运行和生产进行监控的SCADA/EMS系统,负责电网调度运行、电网通信、继电保护进行综合管理的DMIS系统,负责电力企业决策支持的MIS系统,以及负责电力企业办公自动化的OAS系统等。根据电力行业的特点,要求在电力公司信息管理系统中必须要确保SCADA/EMS系统的安全性,其他信息管理系统安全性要求也较高。

2.2信息管理系统网络结构设计

目前,为了提高电力公司信息管理系统的安全性,电力公司采取如图1所示的,包括SPnet(电力信息网)和SPDnet(调度信息网)的专用网络和Internet公共网络相结合的网络结构。通过内网与外网的物理隔离,既满足了MIS系统、OAS系统的Internet用网需求,同时也保证SCADA/EMS不能够直接访问Internet,从而最大程度上的保证系统安全。

2.3信息管理系统安全体系结构设计

信息管理系统的安全体系结构设计。在电力公司信息管理系统安全体系结构中采用了如下的安全策略来保证信息管理系统的安全。

(1)分区安全保护策略

根据电力公司内部各信息管理系统所管理业务的重要性,对信息管理系统的安全级别进行划分,重点保护网络内的安全区Ⅰ内的SCADA/EMS实时监控系统,和安全区Ⅱ内的交易系统;

(2)横向隔离

安全区Ⅰ与安全区Ⅱ内部的时监控系统,和交易系统采用防火墙进行逻辑隔离,而安全区Ⅰ、Ⅱ与安全区Ⅲ、Ⅳ之间采用正向和反向专用的安全隔离装置进行物理隔离;

(3)专网专用

SPDnet调度网提供两个逻辑隔离的安全隔离装置与安全区Ⅰ和Ⅱ进行通信,SPnet电力信息网与SPDnet调度网实现物理隔离;

(4)纵向认证与保护

安全区Ⅰ和Ⅱ的边界都设置了具有加密和认证功能的安全网关,而Ⅲ和Ⅳ的边界部署了防火墙;

(5)整个网络只有安全级别最低的安全区Ⅳ通过防火墙直接访问Internet

从如上的分析可以看出,根据不同信息管理系统的需要,可以灵活应用物理隔离技术、逻辑隔离技术,以及辅以系统安全技术和应用安全技术,来多方位的保证系统中信息管理系统的安全。

公司信息安全管理体系篇6

中图分类号:X934 文献标识码:A 文章编号:1671-7597(2013)20-0163-02

随着科学技术的发展,信息化的进程越来越快,并在电力市场经济环境的促使下,供电企业开始加大自身的信息化建设,信息安全管理逐步得到完善。作为新时代的一员,每个人都自然而然的成为了信息化的一部分,所以信息化同时也影响着社会上的每个人,信息安全管理的问题也成为了人们最关切的问题。

1 信息安全管理的目标描述

1.1 信息安全管理的理念

信息安全就是要确保信息内容在存取、处理和传输过程中保持机密性、完整性和可用性。信息安全包含信息本身(数据)的安全和信息系统的安全。其中,数据安全就是防止数据丢失、防止数据被窃取,防止数据被篡改;信息安全就是要保证系统安全稳定运行,确保有权使用系统的人能顺利地使用,无权使用该系统的人无法访问它。

1.2 信息安全管理的范围和目标

1)信息安全管理的范围。海安县供电公司信息安全的范围包括:信息系统网络、业务应用系统及数据库服务器、计算机终端、桌面终端、移动存储介质等全方面的管理控制。

2)信息安全管理的目标及目标值。海安县供电公司信息系统安全管理严格按照上级单位要求,巩固公司信息安全防护基础,强化安全风险预控手段,提高应急反应和处置能力,确保网络与信息系统安全的万无一失。公司信息安全管理主要包括以下指标(见附表)。

2 信息安全分类考核的主要做法

2.1 建立信息安全分类考核机制的目的

为贯彻国网以及省市公司关于信息安全工作的管理要求,确保信息系统安全稳定运行,加强公司员工信息安全责任意识,界定信息安全违章行为,进一步明确考核细则,海安县供电公司借鉴生产安全的管理制度,出台了《海安县供电公司信息安全违章考核办法(试行)》。

2.2 信息安全分类考核的依据和原则

依据国家电网公司、省市公司信息安全考核管理工作要求,以“谁主管谁负责、谁使用谁负责、谁用工谁负责、谁是设备主人谁负责”为原则。

2.3 信息安全违章行为界定

违反国家信息安全有关法律和法规;违反国家电网公司和省市公司信息安全管理规章制度。

2.4 信息安全违章行为的分类

2.4.1 一般性违章(III类违章)

1)部门及人员未按公司要求及时签订《信息安全保密承诺书》。

2)计算机未按规定安装运行公司统一的防病毒软件、补丁更新策略、桌面终端管理软件等。

3)未按要求使用安全移动存储介质进行内外网信息交换;擅自删除或破坏已注册安全移动存储介质内的管理软件。

4)擅自卸载(含格式化)本单位规定安装的操作系统和业务应用系统客户端。

5)计算机未按要求进行注册或注册信息与责任人信息不一致。

6)在公司所有工作场所的计算机终端上做任何与工作无关的事情(如游戏、看电影或电视剧、聊天、炒股等)。

7)违反上级公司信息安全管理规定被认定为一般违章的其他行为。

2.4.2 较严重违章(II类违章)

1)计算机维修未按公司要求送至指定的电脑公司处理导致与工作有关的信息外泄。

2)计算机和硬盘更换或报废未按相关要求送至公司安全运检部进行规范处理。

3)在计算机上安装双网卡或双操作系统,进行内外网切换;私自拆卸与混用内外网计算机硬盘。

4)私自开启文件共享导致共享文件被非授权访问、破坏或造成泄密。

5)擅自更改计算机网卡的MAC地址或网络端口以及在网络设备上私拉乱接。

6)计算机、移动存储介质、应用系统、内网邮件系统未设置登录口令;设置了登录口令,但口令长度低于8位且不是由大写字母、小写字母、数字或符号中至少3种组合构成;使用系统内的通用密码;擅自新增用户,未按安全密码要求设置密码。

7)未按规定设置密码被桌面终端系统监控报警并经调查认定为弱口令事件。

8)未经许可在计算机上架设网站、游戏服务器、论坛等非正常网络应用服务。

9)在非计算机中存储和处理及通过互联网传输国家、公司的信息。

10)内网计算机私自带出公司。

11)擅自组建无线网络并接入信息内网。

12)干扰他人正常工作行为,包括:不真实信息、垃圾信息;散布病毒及木马;未经授权或通过口令猜测和破解等手段使用他人设备、系统、邮箱等。

13)擅自在内网计算机中安装黑客程序、端口扫描或漏洞扫描软件并使用其进行网络扫描或攻击破坏。

14)内外网计算机同处一室,经查实仍未按要求进行整改。

15)违反上级公司信息安全管理规定被认定为较严重违章的其他行为。

2.4.3 严重违章(Ⅰ类违章)

1)未经公司安全运检部安全检测和许可,擅自将计算机(含公用、私用笔记本、长期未使用的计算机、仓库报废的计算机、外来人员的计算机)等接入信息内、外网,被桌面终端系统监控报警并经调查认定为内网违规外联事件。

2)在内、外网计算机上利用无线上网卡、WIFI或具备上网功能的手机和PDA等设备访问互联网,被桌面终端系统监控报警并经调查认定为内网违规外联事件。

3)手机与内、外网计算机相连,用于充电、同步或收发短信(彩信)、邮件等,被桌面终端系统监控报警并经调查认定为内网违规外联事件。

4)违反上级公司信息安全管理规定被认定为严重违章的其他行为。

2.5 信息安全违章的督查

1)各类人员必须严格执行信息安全规章制度,遵章守纪。各部门、供电所(含工程队)必须认真开展自查自纠,对于发现的违章行为,严格按照“四不放过”的原则认真分析和严肃处理。实施四级信息安全日常管理制度,即个人每日一查、班组每周一查、部门每月一查、公司每季度抽查,并对管理不到位的相关责任人及管理人员进行考核。

2)对违章的查处采用专项督查、日常检查及应用工具软件检查相结合的方式进行。公司将对违章行为及相应责任者进行曝光,以使责任者和广大员工受到教育。

2.6 信息安全违章的处罚

1)处罚标准。

①I类违章:10000元以上或待岗处理。

②II类违章:500-2000元。

③III类违章:200-500元。

2)违章处罚的对象为公司全体员工(含农电人员),包括社会化用工、承(分)包单位人员、外协人员等。

3)连带责任考核。

连带责任考核标准:因管理不到位,视管理到位情况对相关部门、供电所(含工程队)的负责人、管理人员、班组长等进行考核。

4)对于信息安全反违章处罚的认定、处理有异议的,可逐级向上申请复议,最终以公司安委会的认定为最终结果。

5)一年内发生一起及以上严重违章,取消该部门、供电所(含工程队)当年度的先进集体评选资格。

3 评估与改进

3.1 信息安全违章分类考核的评价

参照生产安全中的管理方法,建立信息安全违章分类考核机制,有利于公司全体员工信息安全意识的灌输、宣传、培训,培养了良好的信息安全使用习惯,提高了全员信息安全技能水平,使信息安全意识深入人心。

建立信息安全违章分类考核机制至今,海安县供电公司信息安全工作获得省市公司的普遍认可与高度评价,没有发生一起违规内网外联事件。

3.2 信息安全管理的提升

1)加强信息安全防范工作。

近几年来,公司对信息化的依赖程度越来越大,对信息安全工作也越来越重视,信息化水平也取得了高速的发展,但同时也出现病毒泛滥、网络端口扫描、恶意软件、信息外泄等威胁,企业信息和企业信息系统未经授权被访问、使用、泄露、中断、修改和破坏。为适应不断变化的信息化工作,通过管理手段和技术手段强化信息安全管理工作非常必要。

2)持续提高运维人员业务水平。

随着信息技术的发展,公司信息化水平的提高,对信息系统运维人员的技能水平提出了更高的要求。因此,为适应信息系统运行与维护工作的需要,公司信息系统运维人员的技能水平和综合业务水平应该持续加强。

3)进一步加强员工信息安全意识。

加强对信息化人员的培训和全员信息安全意识宣传,通过多种渠道普及网络与信息安全相关知识。安全意识和相关技能的教育是公司安全管理中重要的内容,应当对公司各级管理人员,用户,技术人员进行安全培训,减少人为差错、失误造成的安全风险。

4 结束语

生产安全是供电企业生产管理的根本,而信息系统安全是供电企业安全生产的基础。许多生产安全管理中的制度、措施和办法,值得我们在信息安全管理中借鉴。

参考文献

[1]林世溪.电力企业网络信息安全防护体系的建立[J].华东电力,2010.

公司信息安全管理体系篇7

随着国航信息系统建设的飞速发展,在奥运安全保障工作中,安全不再只是空防安全和飞行安全,信息安全已成为奥运安保的重要环节,并纳入公司和信息管理部2008年重点工作之中。国航信息安全规划咨询项目就是在奥运安保和国航信息系统跨越式发展的大背景下立项建设的,它旨在为国航信息安全体系建设打下坚实的理论基础。

国航也是通过这个项目完成了未来3~5年信息安全建设的发展规划,建立了信息安全管理体系,于近日最终通过了ISO 27001信息安全管理体系认证,使国航成为国内首家通过此国际认证的航空企业,进一步提升了公司的综合竞争实力。

记者了解到,ISO 27001是国际信息安全领域的重要标准,它的前身源自英国标准协会(British Standards Institute,BSI)在1995年2月制定的信息安全管理标准 BS 7799,经修订后,于2005年10月15日作为国际标准ISOIEC 27001/2005。该标准基于风险评估的风险管理理念,可用于信息安全管理体系的建立和实施,保障信息安全,全面系统地持续改进安全管理。国航的信息安全管理体系已于2008年12月就通过了国际权威认证机构的现场审核,具备了获取ISO 27001信息安全管理体系国际认证的条件。

在国航发展战略中,信息安全占有非常重要的位置,几乎所有业务都与信息技术相关,特别是涉及到飞行安全、客户信任度的商务及财务方面信息等,都需要信息安全管理体系这张保护网的保障,在这种发展趋势下,国航以建立起成熟的、具备国际水平的信息安全保障体系,保障核心业务不中断、核心系统不被攻击、客户信息不泄露为信息安全愿景目标,

中国国际航空股份有限公司信息管理部总经理刘东说,国航有几百个系统每天运营着国航所有的正常航线、飞机维护、机组人员的管理、人员的编排,还有财务的收益管理,以及订座系统、离岗系统、网络收益系统。对于航空公司来讲,每个系统都不能失控,也不能出问题。

安全跷跷板

曾经主抓飞行安全如今管信息安全的中国国际航空股份有限公司副总裁贺利,在回顾国航在信息安全方面取得建设的一些建设成果时表示,“信息安全的体系是一个很复杂的体系,我们在业界经常叫“安全跷跷板”,这个跷跷板主要是在IT基础结构的基础上,包括三方面内容:一是技术平台,二是组织和人员,三是制度和流程,由这三方面一起通过我们来执行,去构成信息安全体系。”

国航信息管理部技术管理办公室高级经理李宗琦表示,如果没有信息安全管理体系这张保护网,应该说国航的飞行安全可能也无法得到保障。

公司信息安全管理体系篇8

实事求是地说,财务公司做存贷、结算、票据业务方面,优势可能不如银行;做租赁业务的优势可能不如金融租赁公司,做担保业务优势可能不如担保公司。如果与这些机构进行同质化竞争,不但业务做不大,形成不了核心竞争力,还有较大的政策风险。财务公司只能是在银行和其他金融服务机构的夹缝中求生存谋发展,这也对财务公司的信息化建设提出了更特殊、更高的要求,要求信息化系统要来源于银行又要在某些方面,特别是在贴近企业、服务企业方面要优于银行、高于银行、快于银行。

现就财务公司信息化建设的相关问题谈几点体会:

1 加强队伍建设 ,进一步充实专业人才 ,形成对业务的快速反应和有效带动。

这是最关键的问题,没有充足的专业人才,细节的事情都不易于操作,总体规划无法落实。当然财务公司也没有必要建立像大银行那样的庞大的开发中心,今后的信息化建设工作还是应该与特定的 1- 2 家软件公司达成长期合作意向,主要工作还是要依靠软件公司来做,但基本的人员配置是必须的。必须建立高效精干的项目经理团队,这些项目经理应该具备银行 IT 系统建设经验,最好也对企业特点有一定的了解,他们一方面要对业务进行分析,一方面要对系统进行总体规划,同时还要组织监督项目的实施。只有这样才能将规划迅速落地,快速满足业务部门的需要,并且带动和促进业务的发展。

2 要全面部署,分步实施。

在具体实施过程中,要针对目前财务公司信息化的现状,充分考虑公司管理变革的承受力,制定分步实施计划,充分分析、研究业务需求,对项目实际目标做出切合实际的估计,明确阶段性目标,不断巩固、强化应用,不盲目追求高标准和期望一步到位,不影响正常的生产经营活动秩序,用全面、科学、规范的业务流程、操作规范来巩固实施效果和规范公司基本业务处理行为,确保该管理模式符合公司管理需要,逐步实现财务公司信息化建设的整体目标,保证项目整体实施效果。

3 要突出重点,以点带面,加快财务公司信息化建设步伐。

以点带面中的“点”是紧迫要建立的业务系统,“面”既包括基础架构建设,也包括与此“点”相关的决策支持系统。要实现这个目标,首先必须对现有系统进行全面梳理,明确各系统之间的关系,找出不足;其次必须参考银行信息化系统,对财务公司未来信息化系统的概貌有清楚的认识和定位;最后还需要在满足不断增长的业务需要的同时,顺势开展基础架构建设,否则业务系统林立,底层难以融合,又步入了银行的老路。

财务公司信息化建设基础比较弱,这也是发展中难以避免的问题,银行也都曾经历过这个阶段。现在财务公司信息化部门的主要目标应该跨越式地经过这个阶段而不是照着银行走过的路再重新走一遍。有些步骤财务公司可以迅速跨越,而银行则无法迅速跨越。所以财务公司的信息化建设工作理论上应该能够比银行快,也必须比银行快。要实现这个目标,困难是现实的,但这些困难也必须是要克服的,否则一步赶不上步步赶不上,始终处于落后地位。

4 要加强流程、环节控制,保障网络安全性。

在系统建设、运行等不同阶段应遵守不同的安全管理目标,对系统建设、规划进行全面调查、分析、研究,对实施方案进行充分验证,充分考虑公司的实际情况,在合适的时间通过合理的方式,循序渐进,逐步改善,保证公司管理体系的完整和安全。在系统建设过程中,各单位还必须建立、健全安全管理责任制,制定安全策略,建立操作系统的安全机制,使用安全方式连接客户端与应用服务器,划分管理权限,实行身份认证,形成数据库系统、数据存放的安全机制和网络备份机制。信息安全与信息系统同步规划、同步建设,完善信息安全保障体系,建立对病毒和黑客的防范措施,确保财务管理业务不间断和财务信息高度安全。

5 厘清财务公司 IT 系统与集团的关系, 建立相对独立的 IT 运作机制。

公司信息安全管理体系篇9

能士已经成为我国信息安全领域的知名品牌。

深圳能士公司秉承“惟精惟一,唯士为能”的企业精神,不断开拓进取,现已在信息安全及以信息安全为支撑的应用领域居领先地位。

深圳能士公司在身份认证、加密存储、人脸识别等技术领域具有很强的技术实力,处于世界先进、国内领先水平,在互联网、物联网、云计算等方面具有多项技术创新。

深圳能士公司下属的深圳市能信安物联网技术有限公司注册资本为800万元。它是由深圳能士公司投资的专注于物联网和云计算技术开发及运营的专业技术公司。能信安物联网技术公司拥有专业的物联网技术研发中心。

该研发中心设有硬件部、软件部、测试部、生产部等多个部门,同时建立了一整套的研发、生产、产品检测流程。能信安物联网技术公司拥有加密智能卡、加密ZIGBEE卡、活体指纹强身份认证、人脸识别等技术,在智能交通、安防等领域的应用处于领先地位。

能信安物联网技术公司自主开发的《能信安驾驶人培训质量监管及计时计程管理系统》在国内相关领域具有多项创新,已成为国内较先进、全面、科学的行业应用解决方案。

获得多个资质

深圳市能士信息安全有限公司作为信息技术领域优秀的专业技术公司,已获得如下资质:

・ 国家保密局颁发的《涉及国家秘密的计算机信息系统集成资质证书》

・ 国家保密局系统保密技术防护研发生产指定单位

・工业和信息化部颁发的《计算机信息系统集成资质证书》

・ 中国信息安全认证中心颁发的《ISCCC信息安全应急响应服务资质证书》

・ 中国信息安全测评中心颁发的《信息安全服务资质证书》

・ 广东省公安厅颁发的《广东省计算机信息系统安全服务资质证》

・ 广东省公安厅和深圳市公安局指定的等级保护技术支持单位

・ 国家密码管理局商用密码生产定点单位

・ 国家密码管理局商用密码销售许可单位

・ ISO9001∶2008质量管理体系认证证书

・ 深圳市《高新技术企业认定证书》

・ 深圳市“软件企业资质”

在新形势下,深圳能士公司致力于为客户提供建立在可靠、安全保障平台基础上的系统集成服务。深圳能士公司拥有一支高素质、长期从事信息系统集成工程的技术团队,以及完善的设计、施工、管理、维护服务体系,为客户提供优质工程及完善服务保障,相关工程曾多次获得省部级主管部门“试点工程”或“样板工程”荣誉称号。公司已发展成为大规模的企业级信息系统集成完整解决方案提供商。

深圳能士公司从2008年即开始着手研究网络综合布线的安全问题,致力于塑料光纤在我国系统部署中的应用研究,并形成全面的系统塑料光纤综合布线解决方案。这是因为塑料光纤传输频带很宽,通信容量大,对人体影响小,随着社会信息化应用的不断发展,可以满足光纤到桌面的技术需求。据悉,深圳能士公司的民用信息系统塑料光纤综合布线的整体解决方案在技术方面在国内处于领先水平。

深圳能士公司下属的深圳能信安物联网技术公司致力于应用引导和技术研发的互动式发展,带动物联网的产业发展。深圳能信安物联网技术公司在物联网和云计算领域的专业信息安全方面有领先的技术优势,在业界享有较高的声誉,并且基于安全识别核心技术、物联网、云计算等多个领域开发了多款自主知识产权软硬件产品。

深圳能士公司具有非常稳定的技术队伍。鉴于国家对集成单位的严格管理规定和信息安全行业的特殊性,公司按照国家相关规定制定了严格的人事管理制度,为核心技术人员(人员)提供深造机会和期权激励机制,保证了技术人员的稳定性。公司管理严格,技术人员政治上可靠,业务上过硬。公司成立了专门的保密领导小组,制定了人员保密管理制度、技术保密管理制度等,从而进一步保证公司所提供的安全产品和安全服务的可靠性、安全性和保密性,从而保护国家秘密和客户利益。

公司信息安全管理体系篇10

1 供电公司信息系统数据安全的总体设计分析

1.1 设计的总体目标

供电公司是我国国民经济的重要组成部分。电力企业的发展一直都是我国政府重点关注的部分。它不仅是提升国民经济收入的重要来源,还是促进社会生产、生活稳定发展的重要基础。近些年来,供电公司一直追随着国家提出的对电网发展的要求,致力于信息系统数据安全的建设。但是,供电公司信息系统数据受到“黑客”等不良袭击的事件屡屡发生。对社会生活,以及国家政治,都造成了较大的负面影响。因此,供电公司投入精力,建设信息系统数据安全是当前的重要任务。

1.2 信息系统数据安全的基本原则

1.2.1 针对性

对于我国的供电公司来说,要想进行现代化的信息系统数据安全建设,就要充分跟着国家政府提出的相关设计方案。着重关注当前社会时常出现的信息安全风险防范问题,提出针对性更强的改革创新策略。因此,在进行供电公司信息系统数据安全改革的过程中,必须要从公司自身的情况出发,再结合社会风险应对经验,提出更加适合自己的信息安全建设模式。

1.2.2 可扩展性

在充分针对公司面临的问题之后,信息系统安全建设还要具有更强的可扩展性,以及秀的伸缩性。在我国经济和科技飞速发展的条件下,各大公司在几十年的发展下,不断扩展自身的业务范围。当社会市场的需求发生变化时,我们创建的信息系统数据安全系统还能够不断容纳新的内容,防止短时期内的不良伤害。然后再在维护的基础上,进行进一步的改革创新。

1.2.3 实用性

从我国供电公司的实际发展过程中,我们发现信息安全建设是一项重要的经济支出项目。但是如果供电公司在信息安全建设当中投入过多,并不利于公司的长久稳定发展。因此,从经济条件的角度考量,我们认为,在创建信息系统数据安全项目时,要尽可能地缩短项目开发的周期,降低其耗费的资金和时间。保障信息数据系统的可操作性,为用户提供真正便捷的方式。

1.2.4 可靠性

在供电公司信息系统数据安全的建设过程当中,其信息网络系统的改革方案必须要具备较强的可靠性。这是保障供电公司信息系统稳定运营的基础。在此,我们可以采取实用性较强的现代化软件,来提升系统的稳定性。除了考虑现有软件之外,还可以采取一些集群管理功能的产品。这种产品在一定程度上,能够保障系统的稳定性。

1.2.5 集成性

在我国的供电公司信息系统当中,数据的分类和用途十分复杂。因此,在保障信息安全时,必然也要从系统本身特点出发。确保所使用的信息安全系统结构清晰明了,扩展的形式更加便捷。

2 供电公司信息系统数据安全建设需求

2.1 物理安全建设

2.1.1 物理环境的安全需求

在一般情况下,电力公司存放的重要信息能够通过电磁辐射等形式被盗用。因此,在对信息安全进行管理时,要对信息存放的机房进行有效的创新。创新主要针对的就是对电磁辐射等形式的拦截或干扰。除了要防范人为因素之外,还要有效防范某些自然的因素,例如自然的丢失,或者系统性能不稳定导致的信息损坏等。对于那些管理数据的关键设备,要进行冗余配置,保障更强的数据恢复和数据备份能力,确保重要信息的安全。除此之外,为了充分保障网络传输线路的安全性、稳定性,就要对网络传输线路的备份进行升级。因为供电公司的许多设施都无法进行精密的保护,如网络线缆等。供电公司要充分关注这些设备的安全性,防止其因雷击、火灾等不可控因素造成破坏。

2.1.2 物理隔离需求

在供电公司的业务范围内,有许多业务都具有较强的特殊性,对基本的物理隔离也有特殊的要求。因此,电力公司在执行这些业务时,要注意设置有效的物理隔离设施,在需要的地方,保障内外网的隔离,以及不同网段之间的隔离。从根源上防止出现信息病毒的侵袭。

2.2 网络层安全建设

2.2.1 防火墙需求

防火墙是保障信息安全的最为经济的防护方式之一,通过配置相应的信息安全策略,防火墙能够承担一大部分的安全防护。它能够帮助实现内网与外网连接部分的安全。

2.2.2 网络管理安全

在我国供电公司的网络信息系统当中,一般情况下,不同的信息管理系统,或有相应的子网作支撑。因此,对子网安全的保护,也就是对信息系统的保护。为此,我们可以采用在子网建立防火墙,采用物理隔离的方式,来实现安全防护。在对子网进行保护时,还要充分关注子网接口处的安全。

2.3 系统安全

2.3.1 操作系统的安全需求

电力公司要根据自身信息系统的重要性来考虑,尽量使用安全性能较强的操作系统。实时做好系统的维护工作,关闭一些使用性不强,或者安全性能不高的程序。将对用户负责放在服务的第一位。当用户部分的网络出现安全隐患时,要及时采取有效措施,帮助合理解决。

2.3.2 防病毒系统安全建设

在网络信息系统数据安全建设的过程中,防御占据重要的地位。计算机中包含的信息病毒一旦传播开来,对该网络领域就是难以恢复的打击。因此,电力公司要首先做好防病毒系统安全的建设。在主机和服务器当中,设置防病毒系统,并时常观察其运行状况。

2.4 安全管理

电力公司要想做好安全管理,就必须在全公司内部宣传安全体系建立的基本思想。让公司的领导者、工作人员都从观念上重视信息系统数据安全。然后再结合公司自身的特点,配合创建安全管理规范,设计好安全防范责任制度。让公司的信息系统安全管理有法可依。在安全防范责任制度当中,尽量将信息安全责任划分到区域、再到个人,督促工作人员严格执行信息安全保护工作。

3 结语

在当前网络和应用系统的飞速发展下,供电公司的信息安全管理任务更加紧急。供电公司的一切业务,都需要完善的网络信息系统来达成。这种依赖会完善供电公司的信息安全保护措施,同时也会促进网络信息系统的发展。从而走向良性循环发展的道路。

参考文献

[1]崔宝娣.信息系统数据安全管理综述[J].电力信息化,2007(05).

公司信息安全管理体系篇11

中图分类号:TP277 文献标识码:A 文章编号:1007-9416(2016)06-0156-01

随着国网公司“三集五大”体系建设[1]的完成及深化应用的推进,安徽省电力公司通过信息系统安全评价指标体系加强了对市县公司信息通信专业的管理力度[2];同时市县公司围绕安徽省电力公司信息通信管理考核指标,不断强化信息通信运维工作精细化管理,目前逐步形成了以VRV桌面管控系统、Beta、趋势防病毒系统、IMS系统为基础支撑的信息运维体系[3]。为更好实现市县一体化信息运维体系,亳州公司建设了信息运维一体化平台进行运维全过程管控,以实现信息运维统一管理、协调运转、主动预警及量化评估的全面运行维护体系。

1 市县信息一体化运行平台技术实现

1.1 系统架构

市县信息一体化监控平台集成市县两级网络管理、桌面管理、防病毒等系统功能,集中监控各网络、通信链路、系统、IT基础设备,实现各类信息通信系统的指标、告警、性能、配置、漏洞、资产等数据的统一采集,全面支持网络地址资源管理及终端安全准入控制,以网络安全指标监控为主线、以市县两级IT事件运维体系为支撑、实现市县两级信息通信系统各类事件的集中统一展现。平台业务架构如图1所示。

根据一体化平台的设计思想,将整个系统技术架构分为:应用展示层、协同调度层、数据采集处理层和统一信息库,如图2所示。

(1)数据采集处理层。充分利用现有的VRV、BETA、趋势防病毒、机房环境监测、统一视频等系统提供的数据采集功能,通过Syslog、SNMP、Socket、ODBC、flow、SOAP、SQL等技术,实现对网络设备、安全设备、主机、数据库、中间件、应用、机房环境等的配置、性能、告警、日志以及各类安全事件的信息数据采集,并对各类事件数据进行标准化、归并压制、过滤、汇聚等预处理工作。

(2)协同调度层。协同调度层将性能数据、故障数据、网络信息、流量情况、风险信息、故障信息、告警信息、配置信息等处理后信息发送给流程运维管理中的统一信息库,同时将告警信息发送给IT流程运维管理组件。IT运维流程管理自动根据告警信息形成事件工单,并将流程信息和处理结果通过数据总线发送到统一信息库和展现平台。

(3)应用展示层。集中展现平台提供一个图形化的显示界面,使得系统的展现可以通过统一平台进行实现。具体提供统一事件管理、网络状态监控、系统运行状态监控、安全状态监控、业务状态监控、拓扑管理、趋势预警分析、服务管理、系统维护、权限管理、报表管理、知识管理、故障管理、告警管理、审计管理等功能。

(4)统一信息库。统一信息库存储集中监控告警后的性能数据、配置数据、故障数据、告警数据、资产信息和运维工单信息等,包括历史数据和实时数据以及分析报告信息,是平台重要展现数据支撑,为其他应用、展示模块通过统一的数据总线接口提供统一、完整、准确的数据。

1.2 异构数据集成采集

一体化平台将根据监控对象的具体情况以及其开发商提供的技术规范和支持,遵循Syslog、SNMP、Socket、ODBC、flow、SOAP、SQL等标准化接口协议,开发专用的数据采集接口,按照不同策略从不同系统获取相关的数据,实现与不同监控对象的数据集成,考虑到系统的兼容性和扩展性,市县公司同一系统采取相同的数据接口方案,如图3所示。

从监控对象获取的数据类型有配置、性能、告警、日志以及各类安全事件的信息数据,从不同系统获取同一类型数据时,系统将进行格式标准化,按照统一的数据格式存储和展示,所获取的数据都保存在平台的统一数据库中。

2 结语

市县信息通运行监控一体化平台是亳州供电公司推进市县公司垂直管理的重要专业支撑工具,平台通过接入动环告警、终端审计、病毒审计、网络监测等全面的信息运行数据,实现了信息专业运行态势的统一感知,并通过市县一体化工单流程实现了运维事件的垂直管理,降低了县公司运行监控压力,较好的提升了县公司的运维水平。

参考文献

公司信息安全管理体系篇12

中图分类号:F230;F270.7 文献标识码:A 文章编号:1004-5937(2014)35-0089-04

云计算作为新一代信息技术,我国国民经济和社会发展“十二五”规划纲要中,已确定为战略性新兴产业的发展重点,云计算环境下的云会计很快会取代传统的手工会计和本地本行业的电算会计。从目前情况看,上市公司有条件或创造条件在云计算环境下率先构建云会计。

一、云计算、云会计的新认识

“云”是互联网的大数据环境,这已经形成共识,但对云计算(Cloud Computing)定义还没有一个统一的确认。鉴于用户在云计算应用环境下所处理的数据保存在互联网的管理信息系统中而不是存储在用户的计算机内,这就可以看出:云计算服务提供商通过按使用量收费,负责管理和维护信息系统中的大数据运作,为用户提供足够的存储空间和强大的计算功能;用户则通过互联网,用电脑、手机等终端设备在任何地点任何时候使用管理信息系统中的数据资源。据此,我们认为:云计算是一种高新技术的有偿服务模式,是一个软件研发成果并依赖互联网实施的数据处理和存储的云技术平台,是一个为企业在内的用户提供技术设施资源且使用方便的动态管理信息系统。

云会计则是云计算环境和云计算应用条件下,对用户(含企业)发生的各种交易和事项进行会计确认、会计计量、会计存储和会计资源利用的大数据大会计的动态管理信息系统。也可以简单地理解为:云会计就是能适应云计算环境和条件的在线会计,是会计和云计算的融会贯通。由此可见:云会计是包含财务管理、管理会计、会计核算、会计监督以及相关经营管理业务在内的大会计。从广义上讲,云会计是用户实施信息管理的大会计、大数据和大系统。

二、上市公司构建云会计的有利条件

上市公司会计基础工作规范,其生产经营具有完整的业务体系和直接面向市场独立经营的能力,还具有独立的财务管理和会计核算体系,能够独立作出公司治理和会计管理决策。从以下三个条件看,上市公司构建云会计势在必行。

(一)上市公司大会计信息有公开披露的法定依据

我国颁发实施的《公司法》、《证券法》、《股票发行与交易暂行条例》、《企业会计准则》、《公开发行股票公司信息披露实施细则》等法规政策,规范了上市公司的会计信息及会计相关信息披露问题。已经形成的上市公司具体规范的会计信息及会计相关信息披露的基本框架,如招股说明书,上市公告书,年度报告,股利分配和企业收购、兼并、合并、破产等重大事项报告的信息披露内容,都给予了明确的确认和规定。公开披露的信息中,还包括了注册会计师对上市公司公开披露的会计信息及会计相关信息所作的各种审查、鉴定、评估、验资、查账、审计的报告和意见。会计信息及会计相关信息是云会计的重要内容。进入云会计这个大系统后,包括上市公司在内的用户就可以在任何地点、任何时间使用云会计这个管理信息系统中的数据资源,享受云会计基础设施和软件供应商的有偿服务。

(二)上市公司率先实施与国际趋同的企业会计准则

企业会计准则是上市公司会计行为和会计信息的准绳。云会计这个管理信息系统中需要的是客观的、规范的数据资源。上市公司率先实施符合国家统一标准并与国际趋同的企业会计准则,其生成的会计凭证、账簿、报表等会计资料和财务管理信息,与其他企业相比,在技术上保证了数据资源和大会计资料的安全、完整,有利于对云会计资源进行储存、转换、输出、分析和利用。

(三)上市公司的既定ERP系统适合向云会计转型

ERP管理模式已涉及企业财务、采购、生产、销售、会计、人力资源、设备等众多的管理系统。上市公司ERP系统是个完整的集成化管理信息系统,基本上覆盖了上市公司管理工作的各个方面,ERP已成为上市公司信息化的主要部分。只要软件公司能够找出现行ERP系统与云会计的连接差异,并在云会计软件或ERP系统中解决这些差异,做好与ERP的连接,那么,上市公司的既定ERP系统就可以成为向云会计转型的突破口。

三、上市公司构建云会计的基本步骤

云计算助推云会计的构建,上市公司根据上述三个有利条件,可按以下基本步骤构建和运行本公司在云计算环境下的云会计。

第一步:强化规范上市公司信息化要求下的各项管理工作

上市公司构建大数据大系统的云会计,达到信息管理的最佳效应,首先要摒弃上市公司那些粗放式经营方式和管理模式,强化规范公司以会计信息化为主要内容的各项信息化管理工作,将公司信息管理逐一分解为具体的程序并用标准化的制度规范下来,因为这些规范不仅是保持上市公司持续稳步发展的“生命力”,也是构建云会计的前提条件。从目前实际情况看:更多的上市公司在这一步可以按既定ERP系统与云会计软件供应商一道找出与云会计软件的连接差异,按云会计软件标准,强化规范上市公司以会计信息化为主要内容的各项信息化管理程序,做好与云会计软件的连接。

这一步工作的核心要素是上市公司可靠数据的归集和规范。上市公司通过信息管理系统把本公司的会计、财务、预算、采购、生产经营、成本管理、销售、内部控制、绩效考核、决策等各个环节的信息分模块集成起来,实现各模块的有机整合,使之成为公允、真实、充分、及时的上市公司大会计信息,并符合云会计软件系统中能够接收这些信息资源的标准化要求。

第二步:选择供应商提供的云会计应用模式

供应商提供的云计算环境下的云会计软件一定要能够保证具体的会计数据安全地存储于服务器,能够实时通过互联网的终端提交处理、记录、存储,还能够让公司与相关联的银行、税务、会计师事务所、供应商和客户等云端用户远程访问,享受实施网上报税、银行对账、在线审计、在线交易等云会计综合服务。

从目前情况看,云计算供应商提供的云会计应用模式有三种:一是软件及服务(SaaS)应用模式。这种应用模式要求供应商将上市公司云会计软件部署在供应商自己的云基础设施之上,并提供上市公司云会计所有前期、实施期和后期的全部服务。上市公司根据订购的云会计软件及接受的服务向供应商付费。选择SaaS模式,上市公司可以通过互联网使用浏览器来获取所需的大会计信息化的资源。供应商和上市公司之间是一种服务和被服务的关系。二是平台及服务(PaaS)应用模式。这种应用模式要求供应商向上市公司提供云会计的开发环境和运行服务平台。上市公司接受供应商提供服务器平台、硬件资源和大会计信息系统开发环境等服务,并利用供应商的开发语言和工具,自主开发具有个性化的大会计信息资源。三是基础设施及服务(IaaS)应用模式。这种应用模式要求供应商将适用于云会计的服务器、计算机网络、数据中心等基础设施组成的云端基础设施提供给上市公司使用,上市公司按照设备的实际使用量向供应商付费。供应商拥有这些基础设施的所有权,并负责设备的日常运行和维护。笔者认为:从长远发展的角度考虑,上市公司应选用IaaS模式。如北京华胜天成科技股份有限公司提供的天成云IaaS资源管理平台,不但具有云端会计资源管理的服务平台,还可以根据上市公司不同经营业务的不同需求提供定制开发。

第三步:接受IaaS供应商的有偿服务

IaaS是云计算环境下构建云会计的一种应用模式。上市公司可以通过分阶段开发与实施,逐步让公司符合云部署的大会计资料进入IaaS供应商的云端基础设施,接受IaaS供应商的有偿服务。具体可从三个方面依次入手:首先按供应商的要求,将上市公司符合条件且基本无差异的既定ERP系统与供应商的云端基础设施实施连接,使上市公司的财务管理、会计核算等进入IaaS供应商的云端并接受服务。然后上市公司与供应商共同努力,将包含管理会计、会计监督等,以及相关经营管理业务在内的大会计,全部进入供应商的云端基础设施,使上市公司发生的各种交易和事项在云计算环境下进行确认、计量和披露,形成一个公司信息管理的大系统。最后,上市公司每一项业务发生或变更时,其相关的数据都会分模块集成到供应商提供云端设施中的公司信息管理大系统。供应商对每个上市公司用网络连接的云会计信息管理资源池实施统一管理、监控和调度。

上市公司通过存储在供应商云端基础设施中的大会计信息管理资源池,有偿接受四项服务:一是供应商在云计算环境下保证适时接收和存储上市公司持续不断发送的新信息资源,并分模块进入资源池。二是供应商要确保大会计信息系统规模可以动态调整,能够满足上市公司经营业务扩大和规模增长的需要。三是供应商要像“银行保护储户存款安全”一样,做好云会计数据泄露的防护和云会计数据在外部使用的监视等工作,通过设置网络资源保护系统,提供上市公司网络信息资源的保护服务。四是上市公司根据需要,可以随时调用云端设施中的本公司信息管理资源。

第四步:实施上市公司构建云会计所需人才的全员培训

上市公司在云计算环境下构建的云会计,使会计工作的功能从核算型向管理型发展,其过程运作、信息管理及信息资源的利用需要高技术水平、高分析能力的高层次会计人员对大会计信息化过程进行规划、组织、协调、控制和操作。但从上市公司会计人员目前的实力看,亟待培训一大批能适应云会计工作的复合型技术人才。

实施上市公司云会计人才的全员培训方式很多,但最好的方式是利用会计人员每年三天继续教育的时间进行强化培训,做到集中三天上课和个人自学相结合,网络培训、脱产培训与在职学习相结合。每家上市公司在云计算环境下构建云会计的短期内至少有1至2名合格的云会计人才。通过强化培训和自学,云会计合格人才应在原有专业技术水平的基础上增加以下内容:一要拓宽云会计人员所需的知识面。云会计合格人才在已有的财务与会计专业知识前提下,需要掌握税法知识、公司生产经营业务知识、经济管理知识、金融证券知识、会计与计算机相关的英语知识等,还需要更加熟悉计算机的使用和维护。二要熟练掌握更多的操作技能。云会计的实务操作技能不在于日常编制记账凭证、登记账簿、编制报表的手工操作技能,而是需要能够熟练地把公司所有的大会计信息资源通过计算机送入云端资源池进行储存、整理和利用的综合性操作技能。三要有效提高信息处理能力。云会计合格人才要能够做到实时对云端的各模块的专业信息进行挖掘、融合、分析、整理和归纳,为公司高层的管理人员进行决策及时提供重要的信息资源。

四、云会计在上市公司有效应用的安全防范措施

云会计应用中,各种大会计数据都通过网络传递到供应商的云端信息资源池,在整个传递过程和数据存储的期间,有可能会出现一些安全问题,如:传输过程中的数据被非法截获或恶意篡改;存储资源池的机密数据被盗窃,或被泄露,或被病毒入侵;等等。上市公司为云端大会计信息系统安全的担忧是客观存在的,虽然任何事项都没有绝对的安全,但云会计的应用可以采取以下安全防范措施。

(一)选择一个具有运营资质和值得信赖的云会计服务商

上市公司在选择云会计应用模式和接受服务商的有偿服务之前,必须要确认一个合适的值得信赖并有运营资质的云会计服务供应商。因为,这不仅会直接关系到上市公司云会计实施的成效,而且还需要这个服务商向上市公司的云会计提供切实的安全保障。笔者认为:云会计服务商应主要从三个方面向上市公司提供安全保障。一是云会计服务商要保证上市公司存放在云端的大会计信息不被非授权使用,大会计数据不被泄露或转移。二是云会计服务商要严格控制云端系统软件的安装和更改,对云端基础设施要有能力进行定期的预防性检查和维护。三是云会计服务商的专业技术人员要具有云端软件和硬件发生突发性故障的应对能力,并有规范性的恢复措施,事先对云端资源池的所有数据有备份的能力。

另外,笔者认为:应由政府云服务资格认定部门确认的云服务商成立“云会计事务所”或“云服务事务所”中介组织。上市公司经过考察,从中介组织选定具有云会计安全保障的云服务供应商承担该公司云会计的所有服务。

(二)尽快颁布和实施《云信息安全管理法》

美国政府采取强有力的立法措施,在近年通过颁布实施一系列法律、法规,如《联邦信息资源管理法》、《国家信息基础设施保护法案》、《联邦信息安全管理法案》和《联邦网络空间安全及信息保护研究与发展计划》等,不但强化了网络信息的监控力度,还依法构建信息网络安全机构,依法健全维护信息安全的管理体制,逐步形成了一整套包括云会计信息系统在内的信息安全防范体系。

我国应在已颁布实施《信息安全保护条例》、《计算机系统安全规范》的基础上,加快信息安全立法进度,完善我国信息安全法律体系,并尽快制定和实施包括云计算和云会计在内的《云信息安全管理法》,依法对云计算服务商和云会计服务商实施监管,切实保障网络设备和设施的安全,保障运行环境的安全,保障数据存储的安全,保障云计算功能的安全。

(三)制定和实施严格的账号密码管理制度

上市公司云会计的数据资料属重大商业机密,云计算环境下,大会计数据在“进─存─出”各个环节,存有各种安全隐患,如被泄露,将会给公司造成不可估量的损失。

为了保证云会计数据传输、数据储存、数据迁移和数据输出的安全,要制定严格的账号密码管理制度。由上市公司掌管密钥,防止云计算服务商和云会计服务商、商业竞争对手以及其他所有不相关人员窃取或篡改云端资源池中的大会计数据。具体来说,可以从四个方面采取防范措施:一是通过身份鉴证技术、防火墙技术以及保密传真技术,防止病毒入侵和保证对大会计信息的安全存取,特别是输出端的安全。二是通过数据加密与认证技术,对数据的“进─存─出”,层层设密钥。每一个入口要加密,出口要解密,实施动态安全保密。三是利用安全的口令系统实施口令控制,防止伪造的信息进入云端的大会计信息系统,做到在云端中可靠地交换相关信息。四是建立云端资源池数据的报文验证码,即对云会计数据本身不加密,但对云会计数据按一定的函数处理,将处理结果截取一定的长度作为验证码,对云会计信息进行完整性扫描检查,防止非法字符进入云端资源池的数据流。

(四)建立和实施上市公司内部的安全操作规程

上市公司对云会计数据的安全管理和控制,重点体现在公司内部的安全操作规程。

1.建立和实施云会计工作人员的岗位责任制

建立、健全岗位责任制,从安全角度看:一方面是为了加强内部牵制,保护资金财产的安全;另一方面通过提高工作质量,确保云会计信息系统的运行安全。

实施岗位责任制是云会计工作顺利实施的保证,也是云会计工作安全操作规程的重要组成部分。对云会计工作人员的管理要体现“责、权、利相结合”的原则,明确公司内各类人员的职责、权限并与利益挂钩,切实做到云会计工作事事有人管,人人有专责,做事有要求,工作有检查,安全有保障。

2.强化对云会计信息输入的安全管理

把好信息输入关,才能保证云会计数据输入的真实性和安全性。云会计信息输入工作可以分模块分小组进行,每个小组至少两位工作人员,一人操作一人对输入的数据、代码等进行不可缺少的校检,校检无误后,再及时分模块集成到供应商提供云端设施中的公司大会计信息管理大系统。另外,还要建立云会计数据输入时包括操作人、校检人、操作时间、校检时间、操作内容和校检内容的输入操作日志,以便随时检查和核对各模块数据输入的连续性,并结合各模块的操作日志,检查是否有外来的非正常数据和本公司错误的数据进入云会计信息系统。

3.随时做到对云会计数据存储安全和输出安全的控制

云会计数据存储和输出的控制,要做好两个方面的工作:一是将能够进入云会计信息系统的工作人员按各自的权限分为三类:(1)云会计数据输入操作人。享有数据库信息的输入权,还可以进入云会计数据库管理系统,对所负责模块中输入的数据进行查询,如发生数据输入的错误,应及时予以更正。(2)云会计数据库管理人。享有云端资源池的数据管理权,除享有资源池数据的访问权之外,还享有各模块数据的索引和修改权等,当云会计数据库在运作过程中发生故障或遭到破坏时,能通过事先的数据备份及时恢复数据资源。(3)云会计数据资源使用人。享有获取所需的云会计数据使用权,但不能对资源池数据进行修改。二是进入云会计信息系统的人员要有解密的密钥,实施身份鉴证。

4.严格审查外部访问,严防云端大会计资源的对外连接

外部访问和资源的对外连接,稍有不当,就会给云会计信息系统带来严重的错乱和损失。按照公司内部的安全操作规程,云会计工作人员应按照各自岗位的权限进行业务操作,严格执行云会计数据库的访问授权和身份认证制度。还可以设置安全检测预警系统,通过实时报警,阻止违法违规的外部访问和资源的对外连接。

【参考文献】

[1] 财政部.关于全面推进我国会计信息化工作的指导意见[S].财会〔2009〕6 号,2009.

[2] 财政部.企业会计信息化工作规范[S].财会〔2013〕20号,2013.

公司信息安全管理体系篇13

中图分类号:F291 文献标识码:A

0引言

《国家电网公司信息系统安全管理办法》对建设国网一体化信息安全保障体系的目标给出了指导性意见,就是要增强信息安全防护能力,提升信息安全自主可控能力,防止承载各类业务系统被恶意渗透,防止关键业务信息系统数据或信息被窃取或篡改,以确保更有效的抵御各种风险,最终实现国网自上而下信息系统网络安全、服务器及应用系统、桌面终端、移动存储介质等全方面的管控,使各层级信息化应用水平及信息安全防护水平达到一个新的高度[1]。

近年来,随着国家电网公司信息技术的深化应用,信息安全日益重要。渑池县电业局在市县一体化信息安全管理策略的设计和实现中以“硬件建设”为基础,以“软件建设”为关键,以“管理建设”为手段,深化安全管理,持续提升信息化安全水平。

1专业管理的顶层设计和指标体系

1.1市县一体化顶层设计目标。在现有的信息化平台基础上,通过2年的系统建设,分步实施“硬件组体、软件添翼、管理促飞”信息安全保障体系“三部曲”策略,最终构筑起坚强的市县一体化信息安全保障体系。

1.2从环境设施上加以提升,从技术流程上加以完善,从管理措施上严格要求,以确保更有效的抵御各种风险,实现安全稳定可靠运行。安全保障策略指标值如下:

1.2.1硬件指标:内网网络部署防火墙、内外网实现“物理隔离”;部署上网行为管理、门禁、防雷等硬件设施;部署数据中心虚拟容灾系统;建设市县网络主备通道。

1.2.2软件指标:桌面注册率达到100%;杀毒软件安装率达到100%;无账户弱口令;无安全防护漏洞;无违规邮件、网站。

1.2.3管理制度:制定或修编渑池县电业局《安全移动存储介质管理办法》《桌面终端设备安全管理办法》《计算机信息系统安全管理办法》《信息网络运行管理办法》《计算机信息系统安全管理办法》《计算机机房管理制度》《计算机设备管理办法(试行)》《网络与信息安全突发事件应急预案(试行)》《信息安全保密协议书》《信息系统口令管理办法》、《信息内外网办公终端准入管理办法》。

2市县一体化策略的实现

2.1硬件组体“搭建体骼”。

2.1.1基础环境建设。长远规划,进行机房资源整合,按照国家二类机房建设要求,改扩建中心机房面积达到160平方米,进行机房区域划分,增设直流电源室、公共上网区、备品备件室、维修间共128平方米,开展门禁系统、信息防雷系统及监控系统建设,添置网络测试仪器及相关办公用品,机房具备防水、防火、防灰尘、防盗、防雷等多种功能,完全满足运维、管理、办公需求。

2.1.2数据容灾建设。本着同城异地备份、确保数据安全的原则,建设60余平方米数据中心虚拟容灾机房,具备实时备份系统数据和集中统一管理的功能,满足各类系统扩展性和可靠性要求。

2.1.3市县网络扩容建设。按照河南省电力公司要求,单独配置双千兆路由器,配置双核心千兆交换机,实现与三门峡供电公司的联网带宽达到2*100M,市县APN备用通道1*10M,省公司至县局VPN联网带宽1*100M的目的。

2.1.4实现内外物理隔离。对边缘配线间进行改造,加装楼间层防水防潮装置,采用防鼠技术措施。对内网和外网采取平行布线模式,终端用户主机双配置,实现完全物理上的内外网分离。

2.1.5扩容后备电源。中心机房增设10kVA不间断UPS电源,与兰州大学联合开发了蓄电池除硫装置,当市电供电系统出现停电或电池容量不足时,以短信形式向维护人员发送告警信息,极大地提高了其设备的维护效率和系统运行安全性,延长UPS电源的使用寿命。

2.1.6从低压电源侧、通信线路、通讯设备及网络设备全方位、多层次部署机房三级防雷系统,有效地防止雷击对机房内设备所产生的危害。

2.2软件添翼“助翼双翅”。

2.2.1终端用户防护。按照《国家电网公司信息化“SG186”工程安全防护总体方案》,对信息内外网部署北信源桌面终端标准化管理系统,实现桌面终端安全访问、安全接入,硬件资产全生命周期应用等功能,桌面终端标准化管理系统级联至市公司,实现桌面运行监测及相关考核指标的标准化,安装率达到100%。

2.2.2防病毒防御系统安装。全网桌面终端安装Nod32防病毒软件,安装率达到100%。对危害桌面终端安全的恶意软件和功能时刻保持着高度警惕。桌面终端安全系统、智能防御系统等级提升。

2.2.3补丁系统完善。通过标准化的管理流程实时为桌面终端提供标准、最新的补丁漏洞信息及数据更新服务。定期自动从互联网获取操作系统软件厂商的补丁,在仿真的网络环境中严格测试认证后,确保补丁安全,再将安全的补丁分发到实际网络环境中的计算机终端,并可以进行相关的补丁分发行为控制和流量管理,在简化人工干预的同时,确保终端系统的安全和网络的稳定。

2.2.4市县联动安全措施。三门峡供电公司部署网管软件,定期对县局的终端设备扫描检测内网安全漏洞,丰富安全技术手段,为县局信息安全管理提供支撑。同时依据《关于企业使用正版软件通知》要求,与知名厂商签订购置正版操作系统供应协议。省市县三级所用桌面终端安装了国网公司下发的正版软件,增强了基础层业务应用稳定性和数据的安全性。

2.3管控结合“促力腾飞”。

2.3.1“引教结合”,强化安全管理。通过文件、公告、会议、信息安全竞赛等多种渠道,大力宣传保障网络与信息安全的重要性。组织信息技术人员和信息员进行网络与信息安全技术培训和现场宣贯。对关键岗位人员进行全面、严格的安全审查和技能考核,对在信息系统安全工作中做出显著成绩的单位和人员应给予奖励和表彰,对违反国家法律、法规和渑池县电业局有关规定,造成一定不良影响和后果的,追究其责任。这些措施的实施,使全局范围内从上到下统一了思想、明确了认识,强化了全员网络与信息安全意识。

2.3.2强化系统运行维护管理。对信息网络与系统运行状况等进行监测和报警,定期对监测和报警记录进行分析,根据需要采取必要的应对措施。建立安全管理中心,对安全设备、恶意代码、补丁升级、安全审计等安全设施进行集中管理。严格按照有关信息系统事故调查规定,及时报告信息系统事故情况,认真开展信息系统事故原因分析,坚持“四不放过”原则,有效落实整改,确保类似事故不再发生。

2.3.3强化移动存储规范化管理。移动存储设备集中授权分发,数据交换前必须通过正确的身份认证,符合密码复杂度身份认证策略,记录数据交换过程的工作日志,便于以后进行跟踪审计,非授权的移动存储介质,在工作环境不可用。利用信息保密、访问控制、审计等技术手段,对移动存储设备实施安全保护,登记存储信息资产、日志记录、审计记录和信息不能被移动存储设备非法流失,实现存储设备信息安全的“五不”原则,即:进不来、拿不走、读不懂、改不了、信不丢。

2.3.4强化弱口令管理。根据“信息安全通报”、“信息安全反违章”检查的结果,结合其实际,进行全面的信息系统弱口令专项治理工作[2]。对系统本单位及局属各部门的桌面计算机,信息应用系统、操作系统、中间件和数据库系统等用户的访问账号及口令进行彻底排查,对不符合口令要求的用户及系统下发相应的通知,使其进行限期的整改,杜绝信息系统泄密事件的发生。

2.3.5强化安全接入管理。通过在网络中部署相应的网络安全检查策略,确保用户满足身份认证的要求,同时用户的终端设备必须达到一定的安全和策略条件,才可以通过网关设备接入到网络中并获得相应的访问权限。一方面验证了用户的身份,避免了非法用户接入到网络中,限定了用户的访问权限;另一方面也避免了存在安全隐患的终端系统的接入,可以大大消除蠕虫病毒对网络系统以及承载的业务所带来的威胁和影响,实现帮助客户发现、预防和消除安全威胁的目标。

2.3.6强化保密工作管理。管理严格执行“不上网、上网不”纪律[3],重要工作资料不得在外网计算机上留存,严禁在信息外网上传输、处理涉及国家秘密和渑池县电业局秘密的信息。严格信息系统安全工作人员录用过程,审查其身份、背景、专业资格,及时终止离岗员工的所有访问权限。严格外部人员访问程序,对允许访问人员实行专人全程陪同或监督,并登记备案。

2.3.7强化运行通报管理。为进一步做好信息安全保障工作,定期对信息安全工作进行统计分析,在月报中透明的体现信息安全运维工作,使全体员工及时掌握信息系统的运行情况,更好的为生产经营业务服务,渑池县电业局每月《渑池县电业局信息化工作简报》对当月信息安全运维工作的整体情况进行统计分析。每月一期《渑池县电业局网络与信息安全运行月报》,对当月网络与信息安全运行情况进行统计分析。信息安全运行通报制度的执行,使全体员工对信息安全运维工作有了了解的途径,增强了全员信息安全意识。

2.3.8强化系统上下线管理。加强应用系统的管理审批流程,形成闭环管理。新建信息系统涉及安全防护措施建设时,明确安全需求,确定安全等级,结合渑池县电业局安全防护总体策略,进行安全防护方案设计。严格规范系统变更、系统重要操作、物理访问和系统接入申报和审批程序,建立健全变更管理制度。保证所有与外部系统的连接均得到授权和批准,并进行必要的安全隔离,配置严格的访问控制策略,开展必要的安全评估[4]。

2.4激活人力资源,提升管控空间。

2.4.1搭建核心保障体系。成立以科技信息副局长为组长的信息安全保障体系领导小组,各部门负责人为领导小组成员,对渑池县电业局整体信息安全保障体系工作进行全面督导。领导小组下设工作小组(办公室设在信息中心),具体负责协调、执行实现信息安全保障策略的各项工作,本单位各部门设有兼职信息管理员,负责配合本单位本部门信息安全保障体系的协调、执行。

2.4.2开展兼职信息员建设,发挥信息管理员潜能。在全局各部门设立兼职信息管理员36名,部门兼职信息管理员由各部门既通晓业务、又熟悉计算机知识的人员担任,职责为进行基础性的运维工作、信息安全宣传、督导与检查和整改工作。信息员管理以安全员的标准按照专业化管理思路统一管理,设立有合理的薪酬标准及详细的管理制度,每月定期召开信息安全会议,按月开展信息技术培训,严格执行各种业务考核和工作安排,不断强化责任心和业务能力,形成全局齐抓共管的局面。

2.4.3绩效考核与控制。为保证市县信息安全保障体系的正常运转,明确职责分工,对工作项目和内容进行标准化、规范化管理,依据国网公司、省公司等上级单位的相关要求,修订完善了《渑池县电业局信息网络运行管理办法》等11项管理规范及标准,进一步规范了信息系统运行管理,确保安全保障策略持续、稳步实施。

3结语

近年来,国网公司实施了覆盖信息系统全生命周期的54项管理措施,立足国产化,积极探索自主可控安全管理模式,结合电网安全需求,加强顶层设计,对电网信息安全工作进行整体规划,经过努力,渑池县电业局在网络信息安全保障策略的设计和实施中的经验和做法,解决了县级供电企业信息安全保障体系中存在的一些突出问题和安全漏洞,广大员工在信息安全等重点环节,从制度执行、行为监控、防治体系等方面,有了稳步提升,总体来看,建成了电网信息安全等级保护纵深防御体系,为市县一体化的安全、稳定运行提供了强有力的信息安全运行保障,达到了预期的效果和目的。

参考文献

[1]国家电网公司信息系统安全管理办法[Z].北京:国家电网公司,2011.

[2]国家电网公司信息网络运行管理规程(试行)[S].北京:国家电网公司,2003.

[3]国家电网公司信息安全风险评估管理暂行办法[Z].北京:国家电网公司,2011.

[4]国家电网公司信息系统建转运实施细则[Z].北京:国家电网公司,2010.

--------------------

精选范文
学术杂志
友情链接