国有大型企业信息化管理体系安全优化策略研究

2015-06-08 11:24段超锋
中国管理信息化 2015年18期
关键词:管理体系信息安全信息化

彭 慧,段超锋

(兰州石化公司自动化研究院,兰州 730060)

信息化建设已成为国有大型企业发展战略的一个重要组成部分,它能为企业带来经济效益和保持企业可持续发展的观念已被广泛认同。随着企业信息资源的不断开发,先进技术、管理理念的引入,企业的生产经营模式也发生了深刻变化。作为国有大型企业,保障信息系统的安全可靠运行,对于实现社会稳定、国家安全有着重要作用。因此,建设先进实用、安全可靠的信息安全保障体系,是企业信息化建设的必然要求。

1 当前国有大型企业信息化管理体系安全现状和差距

1.1 信息化管理体系安全现状

当前,一些国有大型企业的信息安全建设,有效保障了内部网络的安全性和保密性,并形成了一套相关信息的安全管理制度,为后续信息系统安全体系的完善和发展奠定了坚实基础。

1.1.1 安全基础设施和系统

信息基础设施的安全是信息安全的基础,目前企业已在物理层、网络层和桌面系统加固与监控这3个方面,建设了一系列网络安全防护设备,完善了企业的信息安全系统。

1.1.2 安全管理和制度

信息安全管理制度是信息安全技术真正发挥作用的保证,企业已将信息安全管理作为信息化管理的主要内容之一,实施信息安全分类管理。在信息分类管理中制定了一系列管理制度、流程和标准,确保信息安全管理的有效和规范。同时,将信息安全管理纳入各项安全管理工作,在财务管理、HES管理等重要业务管理中强化信息安全管理。

由此可见,企业在信息化安全建设方面已做出巨大努力,但距离建立一套完整可用的信息安全体系的目标还存在一定差距。

1.2 信息化管理体系安全问题的差距

部分企业虽然已经建立了专门的信息安全组织,制定了一些管理制度,部署的信息安全基础设施也能提供基本的网络安全性保障,但信息安全组织还不健全,信息标准的范围和执行力度薄弱,未制定针对信息系统等级保护的相关制度,没有部署上网行为管理系统等安全设备,缺少与信息管理、信息质量管理有关的规范,如各类编码标准,信息质量控制流程等。

因此,需要进一步制定、完善统一的信息管理制度和信息标准,依托强有力的技术手段,支撑信息化管理体系,并对标准执行建立相应的监督考核机制。

2 企业信息化管理体系安全优化策略

2.1 完善信息化制度管理体系

企业的信息化建设要采用制度化管理方法,通过制定企业信息系统相关的安全管理制度,做好服务器和数据库系统的安全管理工作,保障企业珍贵数据资源安全。同时还要加强网络舆情管理、企业机房管理、计算机现场管理及服务器相关管理制度建设,以及通信、网络和信息系统相关应急预案等制度建设,规范网络、服务器管理人员以及终端用户的行为,逐步完善信息化制度管理体系。

2.2 建立信息化安全管理体系

信息系统安全建设不仅是安全模块功能的实现,还是一个整合的安全体系。信息安全是保护信息免受各种威胁和损害,确保业务的连续性,使业务风险最小化,投资回报和商业机遇最大化。信息安全是组织的一个业务问题,需要管理层的承诺和支持,还需要企业安全文化和运营流程作保障。

2.3 建立信息化流程管理体系

信息安全管理流程首先要提升全体员工的信息安全意识、技能培训和专业教育,然后对信息安全进行风险管理,要进行需求分析、控制实施、运行监控和响应恢复4个步骤,最后是信息安全监督检查和改进,通过检查和改进进一步提升员工的信息安全意识,形成闭环管理,如图1所示。

图1 信息安全管理流程

2.4 通过信息化技术支撑管理体系

为保障以安全可靠为核心的信息化管理体系的运行正常,有必要利用信息化技术给其最有效的支撑。

2.4.1 上网行为管理

上网行为管理的主要目的是有效规范员工上网行为,助力构建企业安全、和谐、稳定的生产经营环境,其原则是“事前预防,事后溯源”。事前预防就是要做到事前制订安全防范策略,最大限度保证机密数据和有害信息不由公司网络流向社会。事后溯源就是要记录每台内部计算机与互联网的信息交互内容,发生问题后迅速准确地定位到问题源头,做到有据可查,能追本溯源。

2.4.2 端点防护

建立企业级的端点防护系统,对终端实现安全合规性检查和控制,加强策略管理。使用总体安全策略与本地自定义安全策略相结合的方式,在大规模部署端点防护系统的前提下,提升防病毒等安全管理系统的安装率,促进网络安全的综合治理和改善。

2.4.3 端点准入控制

可采用VRV系统作为端点准入控制的手段。端点准入控制包括对公司内网计算机,也包括由VPN接入的外网计算机。VRV强化了对网络计算机终端状态、行为以及事件的管理,提供了防火墙、IDS、防病毒系统、专业网管软件所不能提供的防护功能,对它们管理的盲区进行监控,扩展成为一个实时可控的内网管理平台,并能同其他安全设备进行安全集成和报警联动。

2.4.4 身份认证管理

通过加强身份认证管理,实现用户通过使用USBKey实现单点登录,更为方便和安全地访问应用系统,集中实现应用系统用户帐号的电子化流程管理,并与员工HR信息的变化联动,提高应用系统账号管理的时效性,加强账号管理力度,身份认证管理流程如图2所示。

图2 身份认证管理流程

2.4.5 安全域

2.4.6 边界隔离

网络划分安全区域后,在不同信任级别的安全区域之间就形成了网络边界。跨边界的攻击种类繁多、破坏力强,边界防护解决方案可彻底解决以上问题。企业边界防护方案由防火墙、入侵防御系统、物理隔离网关组成。

关键路径上部署独立的具有深度检测防御的IPS(入侵防御系统)。深度检测防御是为了检测计算机网络中违反安全策略的行为。使用IPS系统可以滤出DDOS攻击,间谍软件、Bit Torrent数据流、钓鱼攻击等几十类近100万种攻击类型。

2.4.7 流量控制和审计

流量控制和审计方案主要涉及两个方面,一是对流量的深度检测和带宽控制,二是对用户访问的网站进行海量筛查。通过这两个手段在主观或客观上都能防止网络用户的不良行为,避免网络性能和安全性受到负面影响。

2.4.8 访问控制列表

访问控制列表(ACL)是为了阻止部分用户不能访问另一部分用户或者服务而提出的。访问控制列表通常应用于路由器或者三层交换机上,能阻止或允许某些网段的用户访问资源,也能阻止或允许某个用户访问资源。

人的大脑不是被动地接受知识,它是永恒活动着的,能对外部的刺激做出最精密的反应[8].在数学教学中运用留白艺术,能提高学生的课堂参与度,促进学生的思维活动,他们不再是机械地记忆老师传递的“知识”,而是可以及时对所获得的信息做出反应,融入自己的理解,积极建构自己的数学认知结构.数学课堂留白的过程是学生主动进行思维活动的过程,有助于学生形成自己的认知策略,培养其创新能力,对学生核心素养的达成具有重要意义.

2.4.9 网络设备安全管理

(1)网络设备登录安全

通过用户状态进行存取控制,保证设备控制安全。限制SNMP和Telnet的用户访问。

(2)网络设备日志记录

对于网络安全,不仅要关注网络的事前防范能力,还要充分考虑事后跟踪能力,在安全事件发生前后,可通过对用户上网端口、时间、访问地的记录,全面追溯用户上网的状态,从而为后期分析提供第一手资料。

(3)路由信息安全

路由协议的安全管理主要通过路由信息交换的认证来保证。启用Passive Interface命令后,该接口的网段路由可以照常发布出去,但该接口不会再收发OSPF协议报文,也就不会再与任何其他路由设备建立邻居关系,从而避免路由泄露。

2.4.10 涉密专网

企业可按照国家保密局、中办机要局要求及国家相关标准建设涉密办公专网,通过验收用于处理国家秘密及以下级别的文件和信息,供企业员工日常办公使用。该网与互联网物理隔离,并利用安全保密设备提高网络和数据传输的安全性,与其他相关企业可采用专线方式单点连接。企业办公专网的网络架构如图3所示。

图3 办公专网网络架构

2.5 建立信息化考核评价管理体系

企业信息化流程管理系统评价体系可包含信息化建设有关的基础管理内容及建立在此基础上的资源、信息、程序、过程等要素管理。从信息化过程监控和改善来看,通过考核评价体系建立一组有效描述信息化建设与运行过程情况的信息,帮助公司识别相关技术和管理的不足,逐步改善公司的信息化过程,达到持续改进的目标。

2.6 建立信息化队伍管理体系

成立由公司领导班子成员、机关部门、基层单位主要领导组成的信息化领导小组,决策公司信息化建设中的重大问题,指导信息化项目建设;依托公司信息化工作的归口管理部门,负责制订企业信息化发展规划,负责信息化工作的有关政策、管理办法、技术标准和工作规范的制订,并组织实施和检查等工作。同时,注重对企业员工的专业培训,采取激励措施,培养一支高素质阶梯化专业人才队伍。

3 结 语

信息技术已渗透到企业发展的各个领域,延伸到企业生产、管理的各个环节,在创新管理模式、强化管理控制、优化业务流程等方面发挥了重要作用。企业一方面要充分发挥信息化系统的技术支撑作用,另一方面要努力打造以安全为核心的信息化管理模式,不断优化企业信息化管理体系,保障内部网络的安全性和保密性,为企业持续信息化建设奠定坚实基础。

[1]Michael E Whitman,Herbert J Mattord.信息安全原理[M].北京:清华大学出版社,2006.

[2]朱建军,熊兵.网络安全防范手册[M].北京:人民邮电出版社,2007.

[3]刘若珍.网络信息系统常见安全问题及其对策[J].中小企业管理与科技,2010(6).

[4]金伟超.计算机局域网技术发展及维护研究[J].电脑知识与技术,2014(29).

猜你喜欢
管理体系信息安全信息化
对质量管理体系不符合项整改的理解与实施
基于KPI的绩效管理体系应用研究
当代经济管理体系中的会计与统计分析
控制系统价格管理体系探索与实践
幼儿教育信息化策略初探
保护信息安全要滴水不漏
高校信息安全防护
保护个人信息安全刻不容缓
信息化是医改的重要支撑
信息安全