時間:2023-12-18 10:11:36
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇企業信息安全防護體系,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
隨著信息化進程的發展,信息技術與網絡技術的高度融合,現代企業對信息系統的依賴性與信息系統本身的動態性、脆弱性、復雜性、高投入性之間的矛盾日趨突顯,如何有效防護信息安全成為了企業亟待解決的問題之一。目前國內企業在信息安全方面仍側重于技術防護和基于傳統模式下的靜態被動管理,尚未形成與動態持續的信息安全問題相適應的信息安全防護模式,企業信息安全管理效益低下;另一方面,資源約束性使企業更加關注信息安全防護的投入產出效應,最大程度上預防信息安全風險的同時節省企業安全建設、維護成本,需要從管理角度上更深入地整合和分配資源。
本文針對現階段企業信息安全出現的問題,結合項目管理領域的一般過程模型,從時間、任務、邏輯方面界定了系統的霍爾三維結構,構建了標準化的ISM結構模型及動態運行框架,為信息網絡、信息系統、信息設備以及網絡用戶提供一個全方位、全過程、全面綜合的前瞻性立體防護,并從企業、政府兩個層面提出了提高整體信息安全防護水平的相關建議。
1 企業信息安全立體防護體系概述
1.1 企業信息安全立體防護體系概念
信息安全立體防護體系是指為保障企業信息的有效性、保密性、完整性、可用性和可控性,提供覆蓋到所有易被威脅攻擊的角落的全方位防護體系。該體系涵蓋了企業信息安全防護的一般步驟、具體階段及其任務范圍。
1.2 企業信息安全立體防護體系環境分析
系統運行離不開環境。信息產業其爆炸式發展的特性使企業信息安全的防護環境也相對復雜多變,同時,多樣性的防護需求要求有相適應的環境與之配套。
企業信息安全立體防護體系的運行環境主要包括三個方面,即社會文化環境、政府政策環境、行業技術環境。社會文化環境主要指在企業信息安全方面的社會整體教育程度和文化水平、行為習慣、道德準則等。政府政策環境是指國家和政府針對于企業信息安全防護出臺的一系列政策和措施。行業技術環境是指信息行業為支持信息安全防護所開發的一系列技術與相匹配的管理體制。
1.3 企業信息安全立體防護體系霍爾三維結構
為平衡信息安全防護過程中的時間性、復雜性和主觀性,本文從時間、任務、邏輯層面建立了企業信息安全立體防護體系的三維空間結構,如圖1所示。
時間維是指信息安全系統從開始設計到最終實施按時間排序的全過程,由分析建立、實施運行、監視評審、保持改進四個基本時間階段組成,并按PDCA過程循環[5]。邏輯維是指時間維的每一個階段內所應該遵循的思維程序,包括信息安全風險識別、危險性辨識、危險性評估、防范措施制定、防范措施實施五個步驟。任務維是指在企業信息安全防護的具體內容,如網絡安全、系統安全、數據安全、應用安全等。該霍爾三維結構中任一階段和步驟又可進一步展開,形成分層次的樹狀體系。
2 企業信息安全立體防護體系解釋結構模型
2.1 ISM模型簡介
ISM(Interpretation Structural Model)技術,是美國J·N·沃菲爾德教授于1973年為研究復雜社會經濟系統問題而開發的結構模型化技術。該方法通過提取問題的構成要素,并利用矩陣等工具進行邏輯運算,明確其間的相互關系和層次結構,使復雜系統轉化成多級遞階形式。
2.2 企業信息安全立體防護體系要素分析
本文根據企業信息安全的基本內容,將立體防護體系劃分為如下15個構成要素:
(1) 網絡安全:網絡平臺實現和訪問模式的安全;
(2) 系統安全:操作系統自身的安全;
(3) 數據安全:數據在存儲和應用過程中不被非授權用戶有意破壞或無意破壞;
(4) 應用安全:應用接入、應用系統、應用程序的控制安全;
(5) 物理安全:物理設備不受物理損壞或損壞時能及時修復或替換;
(6) 用戶安全:用戶被正確授權,不存在越權訪問或多業務系統的授權矛盾;
(7) 終端安全:防病毒、補丁升級、桌面終端管理系統、終端邊界等的安全;
(8) 信息安全風險管理:涉及安全風險的評估、安全代價的評估等;
(9) 信息安全策略管理:包括安全措施的制定、實施、評估、改進;
(10) 信息安全日常管理:巡視、巡檢、監控、日志管理等;
(11) 標準規范體系:安全技術、安全產品、安全措施、安全操作等規范化條例;
(12) 管理制度體系:包括配套規章制度,如培訓制度、上崗制度;
(13) 評價考核體系:指評價指標、安全測評;
(14) 組織保障:包括安全管理員、安全組織機構的配備;
(15) 資金保障:指建設、運維費用的投入。
2.3 ISM模型計算
根據專家對企業信息安全立體防護體系中15個構成要素邏輯關系的分析,可得要素關系如表1所示。
對可達矩陣進行區域劃分和級位劃分,確定各要素所處層次地位。在可達矩陣中找出各個因素的可達集R(Si),前因集A(Si)以及可達集R(Si)與前因集A(Si)的交集R(Si)∩A(Si),得到第一級的可達集與前因集(見表2)。
2.4 企業信息安全立體防護結構
結合信息安全防護的特點,企業信息安全立體防護體系15個要素相互聯系、相互作用,有機地構成遞階有向層級結構模型。圖2中自下而上的箭頭表示低一層因素影響高一層因素,雙向箭頭表示同級影響。
從圖2可以看出,企業信息安全防護體系內容為四級遞階結構。從下往上,第一層因素從制度層面闡述了企業信息安全防護,該層的五個因素處于ISM結構的最基層且相互獨立,構成了企業信息安全立體防護的基礎。第二層因素在基于保障的前提下,確定了企業為確保信息安全進行管理活動,是進行立體防護的方法和手段;第三層因素是從物理條件、傳輸過程方面揭示了企業進行信息安全防護可控點,其中物理安全是控制基礎。第四層要素是企業信息安全的直接需求,作為信息的直接表現形式,數據是企業信息安全立體防護的核心。企業信息安全防護體系的四級遞階結構充分體現了企業信息安全防護體系的整體性、層級性、交互性。
圖2 企業信息安全防護解釋結構模型
2.5 企業信息安全立體防護過程
企業信息安全立體防護是一個多層次的動態過程,它隨著環境和信息傳遞需求變化而變化。本文在立體防護結構模型的基礎上對企業信息安全防護結構進行擴展,構建了整體運行框架(見圖3)。
從圖3 中可以看出,企業信息安全防護過程按分析建立到體系保持改進的四個基本時間階段中有序進行,充分體現出時間維度上的動態性。具體步驟如下:
(1) 綜合分析現行的行業標準規范體系,企業內部管理流程、人員組織結構和企業資金實力,建立企業信息安全防護目標,并根據需要將安全防護內容進行等級劃分。
(2) 對防護內容進行日常監測(包括統計分析其他公司近期發生的安全事故),形成預警,進而對公司信息系統進行入侵監測,判斷其是否潛在威脅。
(3) 若存在威脅,則進一步確定威脅來源,并對危險性進行評估,判斷其是否能通過現有措施解決。
(4) 平衡控制成本和實效性,采取防范措施,并分析其效用,最終形成內部信息防護手冊。
3 分析及對策
3.1 企業層面
(1) 加強系統整體性。企業信息安全防護體系的15個構成要素隸屬于一個共同區域,在同一系統大環境下運作。資源受限情況下要最大程度地保障企業信息安全,就必須遵循一切從整體目標出發的原則,加強信息安全防護的整體布局,在對原有產品升級和重新部署時,應統一規劃,統籌安排,追求整體效能和投入產出效應。
(2) 明確系統層級性。企業信息安全防護工作效率的高低很大程度上取決于在各個防護層級上的管理。企業信息安全防護涉及技術層面防護、策略層面防護、制度層面防護,三個層面互相依存、互相作用,其中制度和保障是基礎,策略是支撐,技術是手段。要有效維護企業信息安全,企業就必須正確處理好體系間的縱向關系,在尋求技術支撐的同時,更要立足于管理,加強工作間的協調,避免重復投入、重復建設。
(3) 降低系統交互性。在企業信息安全防護體系同級之間,相關要素呈現出了強連接關系,這種交互式的影響,使得系統運行更加復雜。因此需要加快企業內部規章制度和技術規范的建設,界定好每個工作環節的邊界,準確定位風險源,并確保信息安全策略得到恰當的理解和有效執行,防止在循環狀態下風險的交叉影響使防范難度加大。
(4) 關注系統動態性。信息安全防護是一個動態循環的過程,它隨著信息技術發展而不斷發展。因此,企業在進行信息安全防護時,應在時間維度上對信息安全有一個質的認識,準確定位企業信息安全防護所處的工作階段,限定處理信息安全風險的時間界限,重視不同時間段上的延續性,并運用恰當的工具方法來對風險加以識別,辨別風險可能所帶來的危險及其危害程度,做出防范措施,實現企業信息安全的全過程動態管理。
3.2 政府層面
企業信息安全防護不是一個孤立的系統,它受制于環境的變化。良好的社會文化環境有助于整體安全防護能力主動性的提高,有力的政策是推動企業信息安全防護發展的前提和條件,高效的行業技術反應機制是信息安全防護的推動力。因此在注重企業層面的管理之外,還必須借助于政府建立一個積極的環境。
(1) 加強信息安全防護方面的文化建設。一方面,政府應大力宣傳信息安全的重要性及相關政策,提高全民信息安全素質,從道德層面上防止信息安全事故的發生;另一方面,政府應督促企業加強信息安全思想教育、職能教育、技能教育、法制教育,從思想上、理論上提高和強化社會信息安全防護意識和自律意識。
(2) 高度重視信息安全及其衍生問題。政府應加快整合和完善現有信息安全方面的法律、法規、行業標準,建立多元監管模式和長效監管機制,保證各項法律、法規和標準得到公平、公正、有效的實施,為企業信息安全創造有力的支持。
(3) 加大信息安全產業投入。政府應高度重視技術人才的培養,加快信息安全產品核心技術的自主研發和生產,支持信息安全服務行業的發展。
4 結 語
本文從企業信息安全防護的實際需求出發,構建企業信息安全防護基本模型,為企業信息安全防護工作的落實提供有效指導,節省企業在信息安全防護體系建設上的投入。同時針對現階段企業信息安全防護存在的問題從企業層面和政府層面提出相關建議。
參考文獻
[1] 中國信息安全產品測評認證中心.信息安全理論與技術[M].北京:人民郵電出版社,2003.
[2] 汪應洛.系統工程[M].3版.北京:高等教育出版社,2003.
[3] 齊峰.COBIT在企業信息安全管理中的應用實踐[J].計算機應用與軟件,2009,26(10):282?285.
[4] 肖餛.淺議網絡環境下的企業信息安全管理[J].標準科學,2010(8):20?23.
[關鍵詞]煙草企業;網絡安全防護;體系建設
doi:10.3969/j.issn.1673 - 0194.2016.24.028
[中圖分類號]TP393.08 [文獻標識碼]A [文章編號]1673-0194(2016)24-00-02
隨著信息化的逐步發展,國內煙草企業也愈加重視利用網絡提高生產管理銷售水平,打造信息化時代下的現代煙草企業。但享受網絡帶來便捷的同時,也正遭受到諸如病毒、木馬等網絡威脅給企業信息安全方面帶來的影響。因此,越來越多的煙草企業對如何強化網絡安全防護體系建設給予了高度關注。
1 威脅煙草企業網絡信息體系安全的因素
受各種因素影響,煙草企業網絡信息體系正遭受到各種各樣的威脅。
1.1 人為因素
人為的無意失誤,如操作員安全配置不當造成的安全漏洞,用戶安全意識不強,用戶口令選擇不慎,用戶將自己的賬號隨意轉借他人或與別人共享等都會對網絡安全帶來威脅。人為的惡意攻擊,這是計算機網絡所面臨的最大威脅,敵手的攻擊和計算機犯罪就屬于這一類。此類攻擊又可以分為以下兩種:一種是主動攻擊,它以各種方式有選擇地破壞信息的有效性和完整性;另一種是被動攻擊,他是在不影響網絡正常工作的情況下,進行截獲、竊取與破譯等行為獲得重要機密信息。
1.2 軟硬件因素
網絡安全設備投資方面,行業在防火墻、網管設備、入侵檢測防御等網絡安全設備配置方面處于領先地位,但各類應用系統、數據庫、軟件存在漏洞和“后門”。網絡軟件不可能是百分之百的無缺陷和無漏洞的,如Telnet漏洞、Web軟件、E-mail漏洞、匿名FTP等,這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標。曾經出現過黑客攻入網絡內部的事件,其大部分是因為安全措施不完善所招致的苦果。軟件的“后門”都是軟件公司的設計編程人員為了自便而設置的,一般不為外人所知,一旦被破解,其造成的后果將不堪設想。另外,各種新型病毒發展迅速,超出防火墻屏蔽能力等,都使企業安全防護網絡遭受嚴重威脅。
1.3 結構性因素
煙草企業現有的網絡安全防護體系結構,多數采用的是混合型結構,星形和總線型結構重疊并存,相互之間極易產生干擾。利用系統存在的漏洞和“后門”,黑客就可以利用病毒等入侵開展攻擊,或者,網絡使用者因系統過于復雜而導致錯誤操作,都可能造成網絡安全問題。
2 煙草企業網絡安全防護體系建設現狀
煙草企業網絡安全防護體系建設,仍然存在著很多不容忽視的問題,亟待引起高度關注。
2.1 業務應用集成整合不足
不少煙草企業防護系統在建設上過于單一化、條線化,影響了其縱向管控上的集成性和橫向供應鏈上的協同性,安全防護信息沒有實現跨部門、跨單位、跨層級上的交流,相互之間不健全的信息共享機制,滯后的信息資源服務決策,影響了信息化建設的整體效率。缺乏對網絡安全防護體系建設的頂層設計,致使信息化建設未能形成整體合力。
2.2 信息化建設特征不夠明顯
網絡安全防護體系建設是現代煙草企業的重要標志,但如基礎平臺的集成性、基礎設施的集約化、標準規范體系化等方面的建設工作都較為滯后。主營煙草業務沒有同信息化建設高度契合,對影響企業發展的管理制度、業務需求、核心數據和工作流程等關鍵性指標,缺乏宏觀角度上的溝通協調,致使在信息化建設中,業務、管理、技術“三位一體”的要求并未落到實處,影響了網絡安全防護的效果。
2.3 安全運維保障能力不足
缺乏對運維保障工作的正確認識,其尚未完全融入企業信息化建設的各個環節,加上企業信息化治理模式構建不成熟等原因,制約了企業安全綜合防范能力與運維保障體系建設的整體效能,導致在網絡威脅的防護上較為被動,未能做到主動化、智能化分析,導致遭受病毒、木馬、釣魚網站等反復侵襲。
3 加強煙草企業網絡安全防護體系建設的策略
煙草企業應以實現一體化數字煙草作為建設目標,秉承科學頂層設計、合理統籌規劃、力爭整體推進的原則,始終堅持兩級主體、協同建設和項目帶動的模式,按照統一架構、安全同步、統一平臺的技術規范,才能持續推動產業發展同信息化建設和諧共生。
3.1 遵循網絡防護基本原則
煙草企業在建設安全防護網絡時,應明白建設安全防護網絡的目標與原則,清楚網絡使用的性質、主要使用人員等基本情況。并在邏輯上對安全防護網絡進行合理劃分,不同區域的防御體系應具有針對性,相互之間邏輯清楚、調用清晰,從而使網絡邊界更為明確,相互之間更為信任。要對已出現的安全問題進行認真分析,并歸類統計,大的問題盡量拆解細分,類似的問題歸類統一,從而將復雜問題具體化,降低網絡防護工作的難度。對企業內部網絡來說,應以功能為界限來劃分,以劃分區域為安全防護區域。同時,要不斷地完善安全防護體系建設標準,打破不同企業之間網絡安全防護體系的壁壘,實現信息資源更大程度上的互聯互通,從而有效地提升自身對網絡威脅的抵御力。
3.2 合理確定網絡安全區域
煙草企業在使用網絡過程中,不同的區域所擔負的角色是不同的。為此,內部網絡,在設計之初,應以安全防護體系、業務操作標準、網絡使用行為等為標準對區域進行劃分。同時,對生產、監管、流通、銷售等各個環節,要根據其業務特點強化對應的網絡使用管理制度,既能實現網絡安全更好防護,也能幫助企業實現更為科學的管控與人性化的操作。在對煙草企業網絡安全區域進行劃分時,不能以偏概全、一蹴而就,應本著實事求是的態度,根據企業實際情況,以現有的網絡安全防護為基礎,有針對性地進行合理的劃分,才能取得更好的防護效果。
3.3 大力推行動態防護措施
根據網絡入侵事件可知,較為突出的問題有病毒更新換代快、入侵手段與形式日趨多樣、病毒防護效果滯后等。為此,煙草企業在構建網絡安全防護體系時,應根據不同的威脅形式確定相應的防護技術,且系統要能夠隨時升級換代,從而提升總體防護力。同時,要定期對煙草企業所遭受的網絡威脅進行分析,確定系統存在哪些漏洞、留有什么隱患,實現入侵實時監測和系統動態防護。系統還需建立備份還原模塊和網絡應急機制,在系統遭受重大網絡威脅而癱瘓時,確保在最短的時間內恢復系統的基本功能,為后期確定問題原因與及時恢復系統留下時間,并且確保企業業務的開展不被中斷,不會為企業帶來很大的經濟損失。另外,還應大力提倡煙草企業同專業信息防護企業合作,構建病毒防護戰略聯盟,為更好地實現煙草企業網絡防護效果提供堅實的技術支撐。
3.4 構建專業防護人才隊伍
人才是網絡安全防護體系的首要資源,缺少專業性人才的支撐,再好的信息安全防護體系也形同虛設。煙草企業網絡安全防護的工作專業性很強,既要熟知信息安全防護技術,也要對煙草企業生產全過程了然于胸,并熟知國家政策法規等制度。因此,煙草企業要大力構建專業的網絡信息安全防護人才隊伍,要采取定期選送、校企聯訓、崗位培訓等方式,充分挖掘內部人力資源,提升企業現有信息安全防護人員的能力素質,也要積極同病毒防護企業、專業院校和科研院所合作,引進高素質專業技術人才,從而為企業更好地實現信息安全防護效果打下堅實的人才基礎。
3.5 提升員工安全防護意識
技術防護手段效果再好,員工信息安全防護意識不佳,系統也不能取得好的效果。煙草企業要設立專門的信息管理培訓中心,統一對企業網絡安全防護系統進行管理培訓,各部門、各環節也要設立相應崗位,負責本崗位的網絡使用情況。賬號使用、信息、權限確定等,都要置于信息管理培訓中心的制約監督下,都要在網絡使用制度的規則框架中,杜絕違規使用網絡、肆意泄露信息等現象的發生。對全體員工開展網絡安全教育,提升其網絡安全防護意識,使其認識到安全防護體系的重要性,從而使每個人都能依法依規地使用信息網絡。
4 結 語
煙草企業管理者必須清醒認識到,利用信息網絡加快企業升級換代、建設一流現代化煙草企業是行業所向、大勢所趨,絕不能因為網絡存在安全威脅而固步自封、拒絕進步。但也要關注信息化時代下網絡安全帶來的挑戰,以實事求是的態度,大力依托信息網絡安全技術,構建更為安全的防護體系,為企業做大做強奠定堅實的基礎。
主要參考文獻
[1]楊波.基于安全域的煙草工業公司網絡安全防護體系研究[J].計算機與信息技術,2012(5).
“奇虎360是一家互聯網公司,”大部分人對于這樣的說法都會持認可態度。相比起這樣的認知,很多人都已經忘記,奇虎360從創立之初就將自己定位為一家安全企業。
不過,近期奇虎360拿出的整套企業安全解決方案則正式告訴外界:我們的根基還是在安全領域。在開拓了游戲、搜索甚至隨身Wi-Fi這樣的產品后,企業安全服務真正呼應了奇虎360品牌標識上的那個十字標識。
在加入奇虎360以前,李博已經在企業安全領域工作多年。在決心涉足企業安全領域后,奇虎360招募了大批像李博一樣于此有豐富經驗的人員,組成了一個新的團隊。以此為根基,360企業安全部門從一個全新的視角重新審視企業信息安全。這個新視角,指的是信息安全產品之間的數據共享、協同保護。360企業安全部門高級安全咨詢經理李博將其稱之為“立體安全防護體系”。
信息安全產品的類別非常多樣化,防病毒、數據泄漏防護、入侵檢測、防火墻、統一威脅管理等各類產品充斥于市場之上。這些產品大都單點式的演進,同時并不強調兼容,因此每一種產品就像一個安全孤島。在過去,這樣的做法一般來說是可以防護大部分安全威脅的。但是,在安全邊界被打破、移動、虛擬化等新技術興起,同時安全形勢愈發嚴峻的今天,單點式的部署已經不是什么好的選擇。如今這一點已經為安全業界所達成共識。
李博將當前的企業信息安全問題總結為五點:傳統防御技術失效、產品孤軍作戰、缺乏整體考慮、制度建設滯后,以及重產品、輕服務。
而新的“立體安全防護體系”,就是將眼光瞄準于解決這類問題。在這個體系中,大數據是非常重要的技術之一。李博表示:“大數據包含兩個部分,審計存儲與分析。審計只是一個亡羊補牢的手段,而加入了大數據分析后,可以做到事先和事中的發現。”除了大數據技術以外,未知威脅防御、云計算及虛擬化安全、移動終端安全,以及攻擊審計和全過程回溯技術。
依托于這些技術,李博認為,智能SOC平臺、搭載了APT檢測的IDS產品、云計算與虛擬化安全產品、工業安全、審計及攻擊回溯產品,以及移動安全產品,將會成為未來企業信息安全市場的大熱門。
在這樣的思維模式下,360的立體安全防護體系重點打造的就是面向未來的安全產品。“這是一個云與端點,以及邊界的縱深防御體系。”李博表示。在這個體系中,既包括了像360天眼這樣防范未知威脅的感知系統,也有像360天擎這樣的終端安全管理系統。此外,360天機移動終端管理,以及360企業版和XP盾甲也在這個體系中。這些不同的產品和系統,能夠共享信息,形成聯動。當360天眼發現APT威脅后,會迅速報告給360合作伙伴網神的防火墻,由防火墻對威脅進行阻攔。即使阻攔失效,再后端的360天擎也會接受到360天眼的報告,將受到威脅的系統進行隔離。
“大數據分析、APT防御、移動和終端防御、云安全平臺、虛擬化安全,再加上安全制度的管理,這就是未來絕大多數企業會采用的立體化安全防御架構”李博表示,“用戶的業務走向云端后,就必然會對云端進行防護,而大數據分析和APT防御在其中的重要性不言而喻。除此之外,終端,包括PC和移動端也是我們所要防護的一個重要的部分。”
【關鍵詞】 煙草 信息安全 體系 建設
隨著煙草行業的不斷發展,企業對信息化建設的要求越來越高。目前,煙草行業,尤其是以地市級煙草企業為代表的卷煙銷售終端企業,在信息安全建設上給予的重視越來越高,資金的投入也越來越大,地市級煙草企業信息安全工作有了保障。
1 信息安全體系規劃原則
根據國家和行業信息安全相關政策和標準,安全體系規劃與設計工作遵循以下的建設原則:
(1)重點保護原則。針對核心的服務支撐平臺,應采取足夠強度的安全防護措施,確保核心業務不間斷運行。
(2)靈活性原則。因信息技術日新月異的發展,而相應的安全標準滯后,應靈活設計相應的防護措施。
(3)責任制原則。安全管理應做到“誰主管,誰負責”,注重安全規章制度、應急響應的落實執行。
(4)實用性原則。以確保信息系統性能和安全為前提,充分利用資源,保障安全運行。
2 信息安全體系管理范圍
以地市級煙草企業中心機房核心網絡和系統為主,覆蓋市局(公司)、各縣級局(營銷部)、基層專賣管理所等,安全體系包括范圍:應用安全、網絡安全、主機安全、數據安全、終端安全等。
3 信息安全體系規劃框架
按照等級化保護“積極防御、綜合防范”的方針,地市級煙草企業信息化建設需要進行整體安全體系規劃設計,全面提高信息安全防護能力。
在綜合評估信息化安全現狀的基礎上,從管理和技術來進行信息安全管理工作。信息安全體系建設思路是:以保護信息系統為核心,嚴格參考等級保護的思路和標準,滿足地市級煙草企業信息系統在物理層面、網絡層面、系統層面、應用層面和管理層面的安全需求,為各項業務的開展提供有力保障。信息安全體系框架如圖1所示:
4 信息安全管理體系建設
從實際情況出發,體系包括安全組織機構、安全管理制度、人員安全、安全教育培訓在內的安全管理體系。
4.1 組織機構
由決策機構、管理機構、和執行機構三個層面組成信息安全組織機構,并通過合理的組織結構設置、人員配備和工作職責劃分,對信息安全工作實行全方位管理。
4.2 安全制度
信息安全規章制度是所有與信息安全有關的人員必須共同遵守的行為準則。應從信息安全組織機構和崗位職責、人員管理制度、信息系統管理制度、機房管理制度、網絡管理制度等。
4.3 人員安全
通過管理控制手段,確保單位內部人員以及第三方人員的安全意識,包括人員的崗前安全技能培訓、保密協議的簽訂等幾個方面。
4.4 安全教育培訓
通過有計劃培訓和教育手段,確保工作人員充分認識信息安全的重要性,具備符合要求的安全意識、知識和技能,提高其進行信息安全防護的主動性、自覺性和能力。
5 信息安全技術體系建設
按照等級保護方法,對信息系統進行安全區域的劃分,并根據保護強度來采用相應的安全技術,實行分區域、分級管理。基礎性保護措施實現后,建立地市級煙草企業的信息安全管理平臺,對地市級煙草企業整體信息系統的統一安全管理。
5.1 劃分安全區域
根據信息化資產屬性,可劃分為服務器區域、終端區域。目前,各業務域的服務器直接連接至核心交換機,無法對各個服務器區之間劃分明確邊界,在服務器區和核心交換機之間增加匯聚交換機,服務器經過匯聚交換機的匯聚再上聯至核心交換機。對局域網按照業務功能區建立不同的VLAN,分別賦予相應級別的服務訪問權限和安全防護措施。安全域網絡拓撲如圖2示:
一級安全域包括范圍:地市級煙草企業辦公區域、縣公司辦公區域、移動訪問用戶區域。部署上網行為管理、殺毒軟件等防護措施。二級安全域包括對象:業務與管理服務器區域、網站服務器區域、公共平臺服務器區(防病毒服務器、網管服務器)等。部署操作系統加固、身份認證、漏洞掃描、文件數據加密以及安全審計等措施。三級安全域包括數據服務器區域、存儲備份區域以及核心交換機、主干路由器等。部署核心交換設備、鏈路冗余備份,加載廣域網路由QOS策略,采用數據庫高強度口令訪問等措施。
5.2 保護計算環境
“云計算”和虛擬化技術的發展,打破了傳統意義上按物理位置劃分的計算環境。依照不同的保護等級,分別進行加強用戶身份鑒別、標記和強制訪問控制、系統安全審計、用戶數據完整性保護、保密性保護、系統安全監測等措施。
5.3 區域邊界保護
邊界保護是一組功能的集合,包括邊界的訪問控制、包過濾、入侵監測、惡意代碼防護以及區域邊界完整性保護等。在技術上通過防火墻、入侵防護、病毒過濾、終端安全管理等措施來實現保護。
5.4 通信網絡防護
信息系統的互聯互通是建立在安全暢通的通信網絡基礎之上。通訊網絡的構成主要包括網絡傳輸設備、軟件和通信介質。保護通信網絡的安全措施有:網絡安全監控、網絡審計、網絡冗余或備份以及可靠網絡設備接入。一是利用入侵防護系統以及UTM在關鍵的計算環境邊界,進行安全監控,防止非法的訪問;二是對骨干網中的防火墻設備進行配置,制定安全訪問控制策略,設置授信的訪問區域;啟用安全審計功能,對經過防火墻訪問關鍵的IP、系統或數據進行記錄、監控;通過網閘技術,對不同網絡進行物理隔離。通過VLAN技術對內部網絡進行邏輯隔離。
5.5 數據安全防護
建立數據安全備份和恢復機制,部署數據備份和恢復系統,制定相應的數據備份與恢復策略,完成對數據的自動備份,并建立數據恢復機制。建立異地數據級災備中心,在系統出現災難事故時,能夠恢復數據使系統應用正常運行。
5.6 信息安全平臺
關鍵詞:電力信息系統;安全防護;問題
中圖分類號: F407.61文獻標識碼:A 文章編號:
隨著網絡技術與計算機技術的發展和應用,經營管理及生產指揮的實踐更為迅速和高效,同時具備實時性的遠程控制作用。但在實際的系統運行過程中,尤其是電力企業的生產管理及經濟效益的發展,因信息泄漏、數據損壞等嚴重問題的發生而受到重大影響,對企業生產經營的實現非常不利。在這個高新技術應用普遍的時代,網絡信息安全隱患問題的存在也是人們必須注重的特殊性問題。對此,通過對信息系統的安全防護,可進一步促使電力系統的穩定及高效運行,從而較好的促使電力企業的效益增長和發展。
一、電力信息系統安全問題的探究
對于電力信息系統而言,在建設、設計以及規劃過程中,安全問題的防護往往容易被人們忽略,從而使系統運行中存在著較大的安全隱患。隨著網絡技術與計算機技術的不斷發展,應用信息系統的業務更為廣泛,也存在著較為復雜的業務種類。尤其是電力市場機制的建立與電力體制改革的推進過程中,用戶、調度中心、電廠之間的數據交換變得尤為頻繁。一方面,變電站、電廠在裁員增效的條件下,促使了遠程控制的有效實現,而數據網絡與電力控制系統的實時性、可靠性、安全性維護就成了系統運行發展所要面臨的重大挑戰;另一方面,黑客與病毒對計算機系統的侵害越來越猖獗。當前狀況下的部分電力企業對信息的安全維護并不重視,并沒有對完備的信息安全體系進行建立,通常只是對防火墻或防病毒軟件進行購買和應用,而在網絡信息系統安全的長遠規劃中,缺乏經驗、無所作為,使監控系統在實施過程中容易受到侵襲,對電網系統的安全運行帶來了重大隱患。另外,針對調度數據網,黑客容易通過“搭接”手段“竊聽”和“篡改”電力系統的控制信息,并對電力一次設備進行破壞性操作,對電網的安全運行造成了一定的影響。
二、應用系統在電力信息系統中的關系
作為電力信息系統,直接或間接地為電力的生產進行應用業務的服務,其類型主要包括三種,即非實時系統、準實時系統、實時系統。包括能量管理系統、電力市場支持系統、水調自動化系統、調度MIS系統等。一般來說,在電力專用通信網的作用下,這些業務的應用可以通過傳輸和交換得以實現。其中,傳輸手段通過不斷的發展,已從之初的電力線載波發展為數字模擬微波,直至今日應用的SDH技術;在傳輸容量方面,現已達到2.5Gb/s的速度。目前,電網發展過程中,電力信息系統作為一項基礎設施已經變得非常重要,隨著業務的不斷發展,人們對其應用的需求也會越來越大。然而,系統安全級別的升級一直是人們最為忽略的問題,且不同安全等級的系統沒有進行隔離措施的實施,而對信息系統的有效隔離及系統控制就會缺乏一定的有效性。圖1為電力信息系統應用業務關系圖,可較好的對網絡與信息系統業務的關系進行闡述。
圖1電力信息系統應用業務關系
三、電力信息系統的安全防護
電力信息化的進一步發展,推動了我國電力企業信息系統安全防護技術的實踐和應用,在現代電力企業管理中已經逐步成為最為關鍵的重要內容。電力信息系統運行過程中,對信息安全防護體系進行制定,通過科學措施的合理實施,實現對電力企業信息和網絡安全有效維護,是當前人們最為注重的話題。其中通過下列一些措施的實施,可較好的加強電力信息系統安全防護的能力,對電力信息系統的穩定運行有著一定的作用。
(一)安全技術的設計
對于信息系統的安全管理而言,安全防護技術是最為重要的基礎內容,在信息系統安全防護的要求下,必須對有效的防護技術措施進行應用,以加強對信息系統的應用和管理。實踐過程中,可以借助計算機網絡防病毒技術、信息加密技術、數據備份與災難恢復技術等措施的綜合運用,對信息系統設計技術安全的防護進行實現。
(二)安全管理的建設
電力信息系統安全的核心內容即信息系統建設管理,其作為信息系統安全的基礎,對電力信息系統的安全維護具有重要作用。其中,技術管理、密碼管理、安全管理、人員管理、數據管理等多個方面均屬于系統安全防護管理的加強措施。這一方面,信息系統建設管理的有效實踐需要通過對人員安全教育的加強來實現,且要確保安全管理人員與網絡管理人員的穩定,對網絡機密泄露的現象進行避免和控制。妥善管理各類密碼,合理的進行數據備份策略的制定,并對電力系統信息安全運行的制度和標準進行建立,較好的促使安全防護問題的解決和處理。
(三)安全監控、應急措施的實現
對統一的信息安全監控中心進行建立,可較好的確保電力系統信息的安全,通過對信息安全應用技術的整合,依據監視系統的信息提供,對有效的防護措施進行迅速實施,對存在的重大隱患進行處理,從而避免故障及異常的發生。另外,依據網絡信息安全的重要案例,對當前電網信息系統運行狀態存在的問題進行結合,較好的實現對安全應急措施的有效設計,進而對安全應對機制進行部署,做好相應的防護準備工作。當安全隱患問題發生時,就能夠在安全應急措施的預防控制下,利用相應的安全機制對發生的隱患問題進行解決和處理,最大程度的避免重大損失的發生。
四、電力信息系統安全工作的注意事項
1.管理與技術關系的梳理。對電力信息系統存在的問題進行解決和處理,僅僅依靠技術措施的實施是不可行的,還需要通過對人員管理和培訓的加強,促使工作人員業務素質的提升,進而綜合技術與管理的雙重作用,對電力信息系統的安全進行防護。
2.安全與經濟關系的合理解決。對于安全方案的制定,必須能夠適應電力企業的長遠發展及局部調整,避免不斷改造、投入現象的發生,最大程度的控制并促使經濟效益的提升,同時確保信息系統的安全維護與發展。
3.安全管理的有效實施。促使安全管理科學有效的實施,必須實現信息安全管理體系的全面建立,同時可以依據國際通行的標準對安全管理體系進行建立和完善,有效的促使信息系統安全防護。
4.安全防護措施的應用。作為系統、全面的管理問題,其網絡安全的防護較為復雜和脆弱,任何一個漏洞的發生都會使全網的安全運行受到威脅,對電力信息系統的建設和應用造成較大損害。為此,必須對系統工程的觀點、方法對網絡的安全問題進行分析,并促使有效防護措施的實施和應用。
結束語
總而言之,要確保電力企業的正常運行,就要對電力信息系統的安全防護工作進行開展和實施,通過有效的管理措施和技術措施,對社會的供電運行進行防護和管理,以便更好的促使現代化建設的實施和發展。為此,對于電力企業的改革,必須借助先進技術和經驗作用的發揮,在掌握電力企業實際情況的基礎上,對電力信息系統安全防護體系進行建立,從設計、管理、應用等方面對電力信息系統進行安全防護,更為有利的促使電力信息系統運行的安全與穩定,實現電力企業的有效發展和壯大。
參考文獻:
[1]林小村.數據中心建設與運行管理[M].北京:科學出版社,2010:393-452.
[2]耿新民,胡春光.電力企業信息系統安全的隱患與對策[J].2005,10.
[3]王先培,許靚,李峰,等.一種3層結構帶自保護的電力信息網絡容入侵系統[J].電力系統自動化,2005,29(10).
[4]朱世順.電力信息系統數據庫安全現狀與防護措施[J].電力信息化,2008,6(9).
企業計算機網絡所面臨的威脅
當前,大多數企業都實現了辦公自動化、網絡化,這是提高辦公效率、擴大企業經營范圍的重要手段。但也正是因為對計算機網絡的過分依賴,容易因為一些主客觀因素對計算機網絡造成妨礙,并給企業造成無法估計的損失。
1網絡管理制度不完善
網絡管理制度不完善是妨礙企業網絡安全諸多因素中破壞力最強的。“沒有規矩,不成方圓。”制度就是規矩。當前,一些企業的網絡管理制度不完善,尚未形成規范的管理體系,存在著網絡安全意識淡漠、管理流程混亂、管理責任不清等諸多嚴重問題,使企業相關人員不能采取有效措施防范網絡威脅,也給一些攻擊者接觸并獲取企業信息提供很大的便利。
2網絡建設規劃不合理
網絡建設規劃不合理是企業網絡安全中存在的普遍問題。企業在成立初期對網絡建設并不是十分重視,但隨著企業的發展與擴大,對網絡應用的日益頻繁與依賴,企業未能對網絡建設進行合理規劃的弊端也就會日益凸顯,如,企業所接入的網絡寬帶的承載能力不足,企業內部網絡計算機的聯接方式不夠科學,等等。
3網絡設施設備的落后
網絡設施設備與時展相比始終是落后。這是因為計算機和網絡技術是發展更新最為迅速的科學技術,即便企業在網絡設施設備方面投入了大筆資金,在一定時間之后,企業的網絡設施設備仍是落后或相對落后的,尤其是一些企業對于設施設備的更新和維護不夠重視,這一問題會更加突出。
4網絡操作系統自身存在漏洞
操作系統是將用戶界面、計算機軟件和硬件三者進行有機結合的應用體系。網絡環境中的操作系統不可避免地會存在安全漏洞。其中包括計算機工作人員為了操作方便而主動留出的“后門”以及一些因技術問題而存在的安全隱患,一旦這些為網絡黑客所了解,就會給其進行網絡攻擊提供便利。
網絡安全防護體系的構建策略
如前所述,企業網絡安全問題所面臨的形勢十分嚴峻,構建企業網絡安全防護體系已經刻不容緩。要結合企業計算機網絡的具體情況,構建具有監測、預警、防御和維護功能的安全防護體系,切實保障企業的信息安全。
1完善企業計算機網絡制度
制度的建立和完善是企業網絡安全體系的重要前提。要結合企業網絡使用要求制定合理的管理流程和使用制度,強化企業人員的網絡安全意識,明確網絡安全管護責任,及時更新并維護網絡設施設備,提高網絡設施的應用水平。如果有必要,企業應聘請專門的信息技術人才,并為其提供學習和培訓的機會,同時,還要為企業員工提供網絡安全的講座和培訓,引導企業人員在使用網絡時主動維護網絡安全,避免網絡安全問題的出現。
2配置有效的防火墻
防火墻是用于保障網絡信息安全的設備或軟件,防火墻技術是網絡安全防御體系的重要構成。防火墻技術主要通過既定的網絡安全規則,監視計算機網絡的運行狀態,對網絡間傳輸的數據包進行安全檢查并實施強制性控制,屏蔽一些含有危險信息的網站或個人登錄或訪問企業計算機,從而防止計算機網絡信息泄露,保護計算機網絡安全。
3采用有效的病毒檢測技術
計算機病毒是指編制或在計算機原有程序中插入的能夠破壞系統運行或破壞數據,并具有自我復制能力的計算機指令或程序代碼。病毒是對網絡造成最大威脅的因素,要采用一些有效的病毒檢測及反應技術,及時檢測到病毒并對其進行刪除。
1.1信息化機構建設不健全
電力企業很少為信息管理部門專門設置機構,因而缺乏應有的規范的崗位及建制。大多信息部門附屬在技術部、科技部或總經理工作部門下,甚至僅設置一個專責人員負責。信息化管理是一項系統性的工程,沒有專門的部門負責是不能滿足現代企業信息化安全的需求的。
1.2企業管理阻礙信息化發展
有些電力企業管理辦法革新緩慢,大多采用較落后的、非現代信息化企業的管理模式。這樣的企業即便引入最完善的信息管理系統、最先進的信息化設備,也只能受落后的企業管理模式所制約,無法發揮其應有的作用。
1.3網絡結構不合理
電力企業大多將公司網絡分為外網和內網,兩種網絡之間實行物理隔離措施,但很多企業的網絡交換機是一臺二層交換機,決定了內網和外網用戶在網絡中地位是平等的,導致安全問題只能靠完善管理系統去解決,給系統編寫帶來很多不必要的困難。
1.4身份認證缺陷
電力企業一般只建立內部使用的信息系統,而企業內部不同管理部門、不同層次員工有不同等級的授權,根據授權等級不同決定各部門和員工訪問的數據和信息不同。這類授權是以身份認證為基礎的信息訪問控制,但在當前的企業身份認證系統中大多存在缺陷和漏洞,給信息安全留下隱患。
1.5軟件系統安全風險較大
軟件系統安全風險指兩方面,一是編寫的各種應用系統可能有漏洞造成安全風險,二是操作系統本身風險,隨著近期微軟停止對windowsXP系統的服務支持,大量使用windowsXP系統的信息管理軟件都將得不到系統漏洞的修補,這無疑會給信息安全帶來極大風險。
1.6管理人員意識不足
很多電力企業員工網絡安全意識參差不齊,一方面是時代的迅速發展導致較年輕的管理人員安全意識較高,而對網絡接觸較少的中老年員工網絡安全意識較為缺乏;另一方面也有電力企業管理制度不夠完善、忽視對員工進行及時培訓的原因。在這種人員背景下,如果管理人員配備不當、信息管理系統設置不合理都會給企業信息埋下安全隱患。
2、電力企業網絡信息安全管理措施
要建立完善合理的網絡信息安全管理體系,需要各企業認清企業現狀,根據實際進行統一規劃,分部建設,保證建設內容能科學有效的運行。
2.1加強信息安全教育培訓
不論計算機程序有多么先進多么完善,如果操作管理人員素質和意識不足,那也不能保證企業信息化的安全。因此,實現企業網絡信息安全管理的根本在人,可以根據員工職責分層次進行培訓,一方面提高安全管理員工的專業知識水平及安全管理意識,另一方面加強對一線工作人員的安全意識教育,將網絡信息安全變為企業文化和精神支柱的一部分。
2.2完善管理制度建設
電力企業要把網絡信息安全管理視為一個系統工程來考慮,必須在企業內部建立起合理而完善的管理制度,比如:加強網絡日志管理;對安全審計數據嚴格管理;在企業網絡上安裝病毒防護軟件;規定不能隨意在內網主機上下載互聯網數據、不能在內網計算機上隨意使用來歷不明的移動存儲設備等。
2.3不斷更新完善信息安全管理系統
大力推進信息安全新技術的探索和應用,建立信息安全防護體系,可以圍繞數據庫安全、數據備份和恢復、網絡服務完全、病毒防護系統的應用、數據加密技術及數據傳輸安全等方面建立一個多方面多層次聯合的技術安全體系,從而提高信息系統安全防護能力,確保企業信息安全可靠。
3、總結
【關鍵詞】電力系統計算機網絡信息安全重要性問題解決措施
近些年我國電力行業的快速發展使得對信息系統的依賴程度越來越高。計算機網絡促進了電力系統的建設和發展,但也使得網絡容易受到病毒的侵害,加大了電力體系的運營安全風險。
一、計算機網絡信息安全在電力系統中的重要性
目前,在電力系統中的監控以及保護等領域,計算機網絡技術具有非常廣泛地作用,尤其是在現代的開放電力市場中。計算機網絡的信息安全受到電力企業的高度重視,電力企業中遭到黑客以及病毒的侵害,會對電力系統中直接操縱的設備以及數據受到嚴重的威脅,所以在電力系統計算機網絡信息中沒有安全保護措施,可能會對電力系統造成嚴重的破壞,因此在電力系統中加強計算機網絡信息安全防護措施是非常重要的。
二、電力系統計算機網絡信息安全存在的問題
1、工作環境的安全漏洞。目前在很多電力企業中電力操作系統以及數據庫系統等用戶環境自身就存在很多的安全漏洞,如對特定網絡協議實現的錯誤,自身體系結構中存在的問題等一些漏洞都會對電力系統造成嚴重的破壞,從而對電力企業造成嚴重的損失。
2、網絡協議存在的安全問題。在電力系統計算機網絡(Internet)中采用的TCP IIP協議主要是面向信息資源共享的,所以會造成部分的計算機網絡協議存在一定的安全漏洞,這種漏洞也是目前計算機網絡以及信息安全問題中最為重要的根源。比如常見有FTP、Telnet、SMTP等協議中。
3、計算機病毒的侵害。計算機病毒是最為常見的一種病毒形式,任何一個接觸計算機網絡的人員都可能會有遭到病危害的先向我。計算機病毒分為“蠕蟲”和“病毒”,計算機病毒是一種誠訊,是一段可以進行執行代碼的程序。計算機病毒如同生物病毒,具有獨特的復制能力,并且蔓延的速度是非常之快的。
三、電力系統計算機網絡信息安全的防護措施
1、雙網隔離原則。日趨完善的網絡隔離產品已成為網絡信息安全體系中不可缺少的重要環節,是防范非法入侵、阻擋網絡攻擊、防止內部信息泄密的一種簡單而有效的手段。2、分區分域防護原則。劃分安全域是構建企業信息安全網絡的基礎,提高抗擊風險能力,提高可靠性和可維護性。內網具體劃分為網絡核心區域、各業務應用服務器區域、桌面辦公區域、廣域網接入區域、測試服務器區域、集中管控服務器區域和與外網安全隔離區域。各安全域的信息系統之間邊界鮮明,為安全防護體系設計和層層遞進、逐級深入的安全防護策略提供了必要條件。3、防病毒原則。(1)在電力企業中管理信息系統應統一部署病毒防護的措施,嚴謹電力系統中的安全區Ⅰ和Ⅱ與管理信息系統共同使用一個防病毒的管理服務器;(2)在電力系統中對于所有系統中的服務器以及工作站都應該布置有恰當的防病毒產品的客戶端;(3)在對電力系統的計算機網絡進行布置單獨的電子郵件系統時,必須在電子郵件的服務器前段部署殺毒軟件以及病毒網關,從而可以有效防止帶有病毒的郵件在辦公網路中傳播蔓延;(4)電力系統與Internet的網絡接口處也應該部署防病毒的網關,從而可以防止蠕蟲以及病毒的傳播和蔓延到電力企業的管理信息系統中;(5)為了保證電力系統計算機網絡的安全性,還應該加強病毒的管理,從而可以保證病毒特征碼的全面及時的更新,并且應該及時進行查殺病毒的特征以及類型并掌握病毒對電力系統威脅的情況,從而可以采取有效的措施保證電力系統的網絡信息的安全性。4、主機防護原則。電力系統中的主機防護系統能夠有效的預防以及控制各種計算機已知病毒或者未知病毒、各種惡意程序以及木馬的入侵。并且在進行連接互聯網時,不用擔心由于中病毒而導致系統的癱瘓現象,并且可以不用重啟系統,只需要進行點擊按鈕,則系統就可以恢復到正常的狀態,主機的防護對增加服務器的安全性具有重要的作用和價值。
四、結束語
隨著信息時代的到來,信息化將深入到各個行業并發揮重要作用。計算機網絡信息的安全也在發生著改變,給電力系統的信息安全帶來挑戰。因此,加強對電力系統計算機網絡信息安全的防護是保證國家基礎設施電力系統安全的重要措施。
參考文獻
[1]張嘉興,電力系統計算機網絡信息安全的防護[J].電力系統,2010
關鍵詞:網絡安全;安全防護;接入控制;防火墻;訪問權限
隨著計算機技術的發展和Internet的廣泛應用,越來越多的企業都實現了業務系統的電子化和網絡化,計算機網絡安全已成為企業信息安全的重要組成部分。但計算機網絡也面臨著非法入侵,惡意攻擊、病毒木馬等多種威脅,對企業的信息系統安全造成損害。
因此,如何提高計算機網絡的防御能力,增強網絡的安全性和可靠性,已成為企業網絡建設時必須考慮的問題。下面介紹一些網絡安全建設方面的策略,希望能為企業網絡建設提供一些參考。
一、 做好網絡結構安全設計
網絡結構安全的核心是網絡隔離,即將整個網絡按照系統功能、信息安全等級、工作地點等原則劃分為相對獨立的子網絡,使得當某個子網絡內發生安全故障時,有害信息不能或不易擴散到別的子網絡中。
各個子網絡之間應部署防火墻、網閘等網絡安全設備,實現信息系統隔離和訪問控制。同時,充分利用IP地址、VLAN、訪問控制列表等工具,實現子網絡之間的邏輯隔離。
二、 網絡設備的安全防護
網絡設備的安全防護是指同設備交互時的安全防護,一般用于設備的配置和管理。同設備的交互有以下幾種方式:
* 通過設備Console 口訪問。
* 異步輔助端口的本地/遠程撥號訪問
* TELNET訪問
* SNMP訪問
* HTTP訪問
針對這幾種交互方式,采取的安全策略如下:
(1) 用戶登錄驗證
必須要求設備配置身份驗證,如果設備未配,將拒絕接受用戶登錄,可以通過本地用戶驗證或RADIUS驗證實現。
(2) 控制臺超時注銷
控制臺訪問用戶超過一段時間對設備沒有交互操作,設備將自動注銷本次控制臺配置任務,并切斷連接。超時時間必須可配置,缺省為10分鐘。
(3) 控制臺終端鎖定
配置用戶離開配置現場,設備提供暫時鎖定終端的能力,并設置解鎖口令。
(4) 限制telnet用戶數目
設備對telnet用戶數量必需做出上限控制。
三、 部署用戶安全接入控制系統
用戶安全接入控制是指企業員工在使用終端訪問企業資源前,先要經過身份認證和終端安全檢查。用戶在確認身份合法并通過安全檢查后,終端可以訪問用戶授權的內部資源,認證不通過則被拒絕接入網絡。終端安全接入控制主要是防止不安全的終端接入網絡和防止非法終端用戶訪問企業內部網絡。
用戶接入控制可通過部署終端安全管理系統實現。終端安全管理系統是一個包括軟件和硬件整體系統。在用戶終端上安裝安全服務程序,在用戶使用網絡前,必須啟動程序,然后輸入身份信息進行登錄。由安全管控服務器對終端用戶進行身份認證和安全檢查。通過之后服務器把檢查結果通知安全接入網關,安全接入網關根據用戶的角色,開放終端用戶的訪問權限,有效的制止用戶的非法訪問和越權訪問。
四、 網絡數據流控制
網絡數據流控制通過數據包過濾來實現。通過網絡數據包過濾,可以限制網絡通信量,限制網絡訪問到特定的用戶和設備。
訪問列表可用來控制網絡上數據包的傳遞,限制終端線路的通信量或者控制路由選擇更新,以達到增強網絡安全性的目的。在端口上設定數據流過濾,防止企業內部的IP地址欺騙。嚴格控制PING、Telnet、Discard、Echo、SNMP、Rsh、Rlogin、Rcp、TraceRT等數據流通過網絡設備,原則上只允許本系統應用需要的應用數據流才能通過網絡設備。
五、 部署網絡防病毒軟件
網絡病毒的入口點是非常多的。在一個具有多個網絡入口的連接點的企業網絡環境中,病毒可以由軟盤、光盤、U盤等傳統介質進入,也可能由企業信息網等進入,還有可能從外部網絡中通過文件傳輸等方式進入。所以不僅要注重單機的防毒,更要重要網絡的整體防毒措施。
任何一點沒有部署防病毒系統,對整個網絡都是一個安全的威脅。網絡中應部署一套網絡防病毒系統,在所有重要服務器、操作終端安裝殺毒軟件。通過網絡殺毒服務器及時更新病毒庫及殺毒引擎,保證內部網絡安全、穩定的運行。
六、 內部網絡使用安全
* 內部系統中資源共享
嚴格控制內部員工對網絡共享資源的使用。在內部子網中一般不要輕易開放共享目錄,否則較容易因為疏忽而在與員工間交換信息時泄漏重要信息。對有經常交換信息需求的用戶,在共享時也必須加上必要的口令認證機制,即只有通過口令的認證才允許訪問數據。雖然說用戶名加口令的機制不是很安全,但對一般用戶而言,還是起到一定的安全防護,即使有刻意破解者,只要口令設得復雜些,也得花費相當長的時間。
* 信息存儲
對有涉及企業秘密信息的用戶主機,使用者在應用過程中應該做到盡量少開放一些不常用的網絡服務。對數據庫服務器中的數據庫必須做安全備份,包括本地備份和遠程備份存儲。
* 構建安全管理平臺
構建安全管理平臺將會降低很多因為無意的人為因素而造成的風險。構建安全管理平臺從技術上如:組成安全管理子網,安裝集中統一的安全管理軟件,如病毒軟件管理系統、網絡設備管理系統以及網絡安全設備統一管理軟件。通過安全管理平臺實現全網的安全管理。
總之,網絡安全是一個系統的工程,要用系統的思想來建設全方位的、多層次的、立體的安全防護體系。這是一項長期而艱巨的任務,需要不斷的探索。網絡安全建設不能僅僅依靠于技術手段,而應建立包括安全規范、規章制度、人員培訓等全面的管理體系,提高全體員工的安全防范意識,保護好每臺接入網絡中的設備,才能實現高速穩定安全的信息化網絡系統。
參考文獻:
來自內部的信息泄露
難道信息泄密真的是防不勝防嗎?又或者是我們在信息安全體系建設上出現了沒有被注意到的“盲點”?讓我們來看看下面兩個案例。
案例一:一名被美國Gucci解雇的網絡工程師,因為對公司做法感到不忿,以及想要炫耀自己的才能,多番入侵Gucci的電腦系統,干擾網絡的運作,關閉服務器及刪除內存資料,使得Gucci的電腦系統癱瘓,網上購物平臺也不能運作。他目前被控50項入侵電腦、身分盜竊、制造虛假商業記錄等罪名,一經定罪最高可面對15年監禁。
案例二:某大型企業研發中心發現某國外競爭對手領先一步完成了產品的設計開發,該研發中心領導一下就蒙了。產品的設計開發可是該企業的重大研發項目,該企業想依托A產品完成產品線的轉換,大筆資金投入到該項目,眾多研發人員也付出了艱辛的勞動。企業在項目立項及開發過程中,還從未聽說有哪家單位也在進行A產品的開發,為什么競爭對手開發速度如此之快?
經過檢查,公安部門初步判定為內部人員泄密,但是要查出是誰將資料泄密,難度太大。最終企業也只能對研發中心領導進行降職處罰,該企業付出的1000余萬元研發費用、眾多研發人員的辛勤勞動全部付諸東流。
在案例一中,Gucci作為世界知名的大型企業,因為一名被解雇的網絡工程師,導致一片混亂。作為一家知名的創意性公司,Gucci非常注意對自己公司內部商業信息的保護,必然采用了眾多的手段,防護外部入侵。然而,一名普通的網絡工程師,僅僅通過職務之便,利用虛假的員工資料設立了一個賬號,便做到了暢通無阻地入侵Gucci的網絡。雖然,這次的泄露事件并沒有帶給Gucci多么巨大的損失。但是,我們假設,當這位工程師在成功進入Gucci公司網絡后,并不是將公司文件刪除,而是轉移或者拷貝復制,最后通過其他途徑將這些信息外泄出去,后果將如何?
這不由引人深思:當我們通過IDS、UTM、防火墻等等防護技術,為企業構建起一個牢固的“外殼”的時候,我們的核心信息就已經安全了嗎?
再看第二個案例,某大型企業研發中心,因為內部人員泄密,付出了1000余萬元研發費用、眾多研發人員辛勤勞動全部付諸東流的慘痛代價。公安部門技術人員到達現場后發現的問題,充分地表現出了該企業的信息防護體系是多么的脆弱與混亂,而這,也正是國內大多數企業所常見的現狀。
綜合上面兩個案例,我們可以發現,無論是國外的知名企業,還是國內的大型公司,他們都明顯忽略了一個問題――來自公司內部的泄露風險。“事實上,對于企業來說,它們最關注的不應該是系統有沒有遭到了入侵,而應該是在系統中存放的數據和信息有沒有被盜取,有沒有被篡改,或者說是不是已經被破壞掉了,這才是重點。”核心數據才是企業最應該關注的地方。所以能夠直接接觸核心信息的員工,才最有可能帶給公司最大的損害。然而,對于內部員工的管理,因為目前辦公均為電子化辦公,需要使用大量電子信息,包括技術資料、客戶信息等關鍵數據,數量龐大,流轉速度又非常迅速,僅僅通過管理手段與規章約束,可以說根本就無法起到實際性的效果。
同時案例二又體現出另外一個問題。信息一旦泄露根本無法追查,在實際的訴訟過程中取證也成為最大的問題,因為無法取證,或證據效力不夠,導致許多企業只能吃啞巴虧。
信息防泄露是企業信息安全的“補天石”
面對以上出現的信息安全問題,我們不禁要問:企業要如何進行有效的防護呢?這個問題其實早就已答案。那就是一直服務于國家秘密信息保密一線的信息防泄漏行業。
信息防泄漏行業起步于2002年左右,最早的一批廠商都不是專門做信息防泄漏的,如中軟、漢邦等,均是有一個部門或一個業務單元來做,但也有專門做信息防泄漏的企業,如鼎普等。發展到現在,信息防泄漏的技術已經較為成熟,通過一系列的國家政策規定與市場選擇淘汰,已有一大批的產品誕生并被使用。
目前中國信息防泄漏企業,主要的服務對象還是國家單位,遵照的主要還是國家政策。所有的產品都傾向于用高度安全性、適當高效性的原則設計與生產。所以所有的信息防泄漏產品的特點都是但是使用方便性相對較低,同時因符合國家政策并完全滿足國家單位的要求,具有極高的安全性。
隨著中國的企業正在由中國制造向中國創造轉變,企業內部如客戶資料、營銷方案、財務報表、研發數據等信息資產對于自身來說重要性越來越大。這些知識產權甚至是核心競爭力所在,一旦外泄后果不堪設想。與此同時,企業內部的IT應用不斷增多,企業對于IT的依賴性加強,這就導致信息外泄的渠道也大大增多,安全風險無處不在。使得企業對于自身信息安全有了更加高的要求。這也促使中國信息防泄漏這一行業漸漸浮現于廣大普通的公司企業的面前。一些專業從事信息防泄漏的企業例如鼎普、億賽通等廠商也開始為一般民用客戶服務,使普通企業也能享受到國家級的保密安全防護水平。
長期服務于國家機構、軍工單位的信息防泄漏行業,針對內網安全、內部信息防泄密等問題進行了深入的研究,已經形成成熟的防護體系,將內部信息泄露的途徑進行了劃分,例如網絡途徑,存儲途徑,端口外設途徑、打印途徑、電磁發射途徑等。并且,這一行業從信息系統安全基本要素的角度出發,針對網絡安全、主機安全、介質安全、數據與應用安全、網絡安全隔離與信息交換等5個方面,研發出以終端防護為目的、阻止核心信息外泄為核心,綜合解決內網終端、用戶行為、網絡通信、應用系統、數據庫面臨的安全隱患問題全面穩定的系列產品。
關鍵詞:電力系統;計算機網絡;安全;信息;防范
隨著計算機技術、信息技術的發展,計算機信息網絡已滲透到我們日常生活的各個角落,電力企業也實現了網絡資源、信息資源的共享和應用。然而,由于網絡的多元化特性以及網絡終端的技術問題,計算機信息網絡會受到網絡黑客和不法分子的利用進行惡意破壞。電力系統的信息安全和保密關系到國家的安全、社會的安全,決不能掉以輕心,必須制定出周密的安全防護方案,確定相應的信息防侵犯措施和恢復辦法,準備必要的安全應急預案,有效地保證電力系統的網絡信息安全。本文探究了電力系統的網絡安全問題,并就加強技術防范,提高安全管理闡明了相應的措施和意見。
一、電力系統網絡信息安全問題
當前,國家電網電力信息系統已建立了一套較為完備的安全管理體系,實現了信息網絡與電力運行的隔離控制,通過先進科學的網絡防火墻、防病毒軟件進行有效防護,并做好了數據資料的備份工作。可是部分基層電力部門對網絡信息的安全性重視不夠、關注不夠,并沒有采取必要措施防護網絡信息的安全,也沒有長遠的實施規劃,存在著很多安全風險,具體表現如下:
①安全管理意識亟待提高。隨著計算機信息管理技術的不斷提高,其安全防護管理也必須隨之增強,電力系統的計算機安全管理與實際需求仍有一定的差距,如果缺乏一定的認識就會對安全防護管理帶來疏漏,引起不必要的安全隱患,因此,必須從思想上高度重視。②缺乏網絡信息安全管理規范。完善的行之有效的安全管理規范是一切行動的指南,也是各項工作順利進行的保證,必須制定出符合電力行業特點的、與先進管理技術同步的安全管理規范,協調電力系統的網絡信息管理。③缺乏對安全管理體系建設的投入。電力系統在生產經營和日常管理上的投入比較多,對計算機網絡安全管理的技術、策略、措施和建設上投入相對較少,需要引起足夠重視。④網絡管理區域局限。電力系統中實際應用中通常是采用內部管理的局域網,沒有同外界相連,網絡信息管理人員的主要管理職責是防止局域網的意外破壞,并確保內部使用人員的安全管理,因此,在連接了外部的因特網后,如何面對外部網絡的各種安全攻擊、防止網絡病毒和黑客襲擊等,沒有有效的決策。⑤用戶認證程序的單薄。電力企業的網絡應用系統都是基于商用軟件的開發設計,在用戶身份認證上采用常見的口令和密碼的進入格式,沒有較高的技術突破,極易被不法分子攻破。個別情況下,一些用戶名、口令、安全控制信息等還以明文形式被記錄下來,保存在數據庫和文件格式中,都增加了系統的安全隱患。⑥缺乏對管理數據的有效備份。許多電力企業沒有制定對系統數據的備份管理制度和相應的管理策略,缺乏進行數據備份的完善設備和管理介質,具有重大的安全隱患。
二、電力系統網絡信息安全管理的防護措施
1.建立電力信息網絡安全管理防護體系
電力部門應根據行業特點和計算機網絡信息安全管理技術的應用,建立起電力企業的網絡信息安全管理防護體系。實行有效的分層、分區管理。首先,應將電力系統的信息管理分為三個層次,分別是:自動化管理層、生產管理層和信息管理層三部分。根據電氣企業信息業務的各項功能實行分層次的保護框架,各層次間應用隔離管理設施進行網絡間的信息隔離。其次,采用分區管理。分區管理可根據電力系統的信息管理結構,將信息業務分為實時控制區、生產管理區、管理信息區和非控制生產區四部分,區域之間通過網絡的物理隔離設備進行隔離。各安全區域內不同的業務系統需要采用不同強度等級的安全隔離手段,針對實時控制區域的關鍵業務則必須采取重點防護措施。
2.多種技術手段,加強安全防護
采用多種技術手段可以防止疏漏和破譯,有效地提高綜合管理指數。①信息加密技術。密碼管理技術是信息安全領域內非常重要且非常實用的技術,分為對稱密碼技術和非對稱密碼技術。對稱密碼技術包括DES算法,非對稱密碼技術也叫公開秘鑰技術,如RAS算法,都是當前應用較多的管理技術。②信息確認和網絡控制管理。這項技術都是基于網絡狀態下開展的,包括身份認證、數據存取、數據完整、防火墻、防止否認等,實際工作中應依據電力企業的信息管理業務性質,制定出相應的優勢控制措施,合理選擇科學的信息網絡管理技術。③網絡防病毒管理技術。電力企業應在省級區域電網建立起計算機防病毒網絡管理中心,與其他部門加強聯系,共同做好網絡病毒管理控制,抵制計算機病毒侵襲,防止網絡病毒的災難化、多態化發展。④采取反黑客措施。網絡黑客經常會對信息系統的主站和網絡中樞進行攻擊,針對存在漏洞突破,因此,反擊措施也應有針對地進行,可以根據工作業務的重要性制定相應的“防攻擊”措施,監測出系統中的安全漏洞,及時消除隱患,對于特別重要的管理系統,如電力實時運行控制系統,要采取必要的物理隔離措施,嚴防出現破壞。⑤數據備份和災難恢復技術。電力系統應根據工作需要采取多項措施進行數據備份,根據不同的信息質量和重要性確定備份的等級,執行相應的管理措施。同時應做好數據資料的區域和省級備份,使數據資料實現多地存儲備份。同時,應采用高科技的災難恢復技術,進一步保證信息系統主要數據的可靠性和完備性。
3.加強日常工作中的安全管理
電力企業應高度重視計算機網絡信息的安全管理工作,在日常工作中做好相應的管理要求,全面地提高安全管理質量和水平。首先,應加強人員管理。電力企業應做好對網絡信息管理人員的安全教育,防止網絡信息機密的泄露,為防范工作人員調離時泄露網絡信息機密,應努力保持計算機網絡信息管理人員和安全管理人員的相對穩定,在使用網絡設備、服務器、存儲設備時應履行簽字認可制度,并執行嚴格的操作監督管理,杜絕任何非法修改操作行為。其次,電力企業應加強密碼管理,針對各類密碼實施分項管理,嚴格控制默認密碼、出廠密碼、無密碼的現象。當出現人員調離時立即更新密碼,經常改換密碼,不要使用容易破解的密碼。其二,做好技術管理。電力企業應針對各種網絡設備、安全設備加強技術應用管理,做好防火墻、物理隔離設備、入侵檢測設備的安全技術管理,采取必要的合理的安全技術措施。其三,做好數據備份管理,選擇安全優質是備份介質,并實行異地保存。其四,安全制度管理。通過合理有效的電力系統信息安全管理標準、規范和制度,對管理組織、運行操作、場地設備、操作系統及數據庫等實施安全管理。最后,制訂應急管理措施。電力系統必須制定必要的安全應急預案,部署各級應對措施,奠定緊急情況下的控制基礎。可以有效地減少危害涉及的范圍,防止引起更大的損失。
結語:
電力信息網絡的安全影響著電力系統的安全運行和可靠供電,電力系統的安全管理又是一項復雜且系統的工程,電力企業應積極借鑒國際上先進的信息安全管理經驗,掌握各項科學管理技術,結合企業電網的自身特點,建立完備的電力信息網絡安全防護體系,采取必要的管理措施,提高安全管理技術水平,確保電力系統的安全、可靠運行。
參考文獻
[1]擺文志. 電力系統計算機信息網絡安全技術與防范淺議[J]. 黑龍江科技信息,2013,26:168-169.
[2]翟鏡榮. 電力系統強化計算機網絡信息安全管理措施[J]. 黑龍江科技信息,2013,29:172.
關鍵詞:數據管理數據安全技術手段
1數字經濟時代企業數據安全面臨多重挑戰
當前,云計算、大數據、區塊鏈、人工智能等技術創新和應用創新不斷賦能經濟社會各領域,新產品、新業態、新模式不斷涌現,數字經濟的內涵和外延不斷豐富。數字經濟發展的同時,也帶動了數據的產生、流通和應用更加普遍和密集,使企業數據安全防護面臨新的挑戰。
1.1新設施帶來的安全挑戰
網絡基礎設施是國家、企業和個人核心數據的載體,是數據安全保護的重要基礎性環節。從網絡基礎設施的傳統界定范疇來看,主要包括存儲設備、運算設備和其他基礎軟件等。然而,隨著新技術新業務的發展與創新,數據基礎設施的范疇不斷擴展,數據中心(IDC)和移動終端等集成了存儲、運算以及基礎軟件的功能,成為日益重要的數據基礎設施,也開始面臨越來越多的挑戰。一方面,攻擊者更多的將注意力集中到存儲海量數據的云計算數據中心,其遭遇DDoS攻擊的占比達到70%。另一方面,信息泄露事件頻發,數據泄露和丟失已成為數據中心面臨的巨大安全風險。根據RiskBasedSecurity公布的數據,2019年已經發現超過3800多起數據泄露事件攻擊了企業或者機構,并且在過去的四年里增加了超過50%。
1.2新技術帶來的安全挑戰
分布式計算存儲、數據深度挖掘及數據管理可視化等新技術能夠大大提升數據資源的規模存儲和處理能力,但也給企業數據的防護帶來了新的挑戰,云計算和多業務融合是其中顯著的代表。首先,云計算的主要特點是采用了分布式的存儲和計算,該方式能夠有效防止個人數據在本地出現大規模泄露,但目前黑客已經可通過分析信息分片的方式,對被分割的原始數據進行復原。其次,隨著多項信息通信技術的融合,新型業務的復雜度進一步提高,也帶來了更加復雜的應用安全風險,使得原有的安全防護技術和體系難以應對。對于單一的技術而言,通常已經形成了比較完善的安全解決方案,而隨著多項技術的交叉融合,針對單一技術的解決方案可能不再有效。例如,英特爾處理器在2018年5月初,又被曝出發現8個新的“幽靈式”硬件漏洞,攻擊者可以竊取運行在同一個物理內核的另外一個進程的隱私數據,顯示出云主機系統與虛擬機之間的兼容問題。
1.3新應用帶來的安全挑戰
數字經濟時代的新應用主要體現在信息通信技術與交通、金融、醫療等領域融合所產生的新的互聯網應用、平臺和場景,如自動駕駛、網絡約租車、智能投顧等。計算機信息技術對大數據的收集、儲存、歸類、處理及分享創造了更加方便和靈活的方式,許多企業決策、問題分析、模型構建等問題都要借助大數據分析來實現,大數據在各個領域的廣泛應用,不僅有助于提升各個領域的工作效率,同時也對計算機網絡信息安全的防護和管理帶來挑戰。首先,垂直行業線下管理機制自成體系,不同部門各司其職,在互聯網引入后,部門間的監管職責邊界較為模糊,已有線下管理職責發生交叉,目前尚未形成廣泛認可的監管體制框架,給新業務的安全管理帶來挑戰,網約車平臺監管就是明顯的例子。其次,數字化生活、智慧城市、工業大數據等新技術、新業務、新領域創造出紛繁多樣的數據應用場景,使得數據安全保護具體情境更為復雜。最后,企業隱私保護的安全責任更加突出,近年來各類隱私泄露事件層出不窮。據英國科技研究機構報道,Facebook公司于2019年12月再次出現數據泄露問題,超過2.67億用戶數據被泄露,任何人都可以直接訪問該數據庫。這反映出了互聯網平臺企業在確保數據多渠道流通的同時,需要更加注重保證數據的機密性、完整性和可用性。
1.4企業自身安全防護基礎和意識不足
數字經濟時代,雖然企業不斷完善信息化相關手段和舉措,但在利用新技術進行數據安全防護方面仍然比較被動。在基礎安全防護方面,我國在芯片、系統中央處理器(CPU)、核心元器件等硬件方面仍然主要依靠進口,且尚未形成安全自主可控的軟件系統生態,企業信息化建設在底部就面臨安全威脅。在安全意識方面,企業重技術、重業務、輕安全的思想還普遍存在,過度重視信息化設備和技術,對于數據安全防護緊迫性的認識不夠,影響了相關投入。根據相關數據統計,在企業信息化建設工作中,有超過50%的企業依然未設置防火墻,45.4%的企業未設置安全審計系統,超過60%的企業沒有設置網絡入侵監視系統。
2數字經濟時代完善企業數據防護體系的總體思路
2.1明確企業層面的防護目標
對企業而言,最為關鍵的防護目標是平衡好國家安全、企業商業秘密、業務正常運行和客戶合法利益這四方面。一是應滿足國家相關法律法規對于個人信息保護、重要數據安全等方面的制度性要求,履行企業自身的合規義務。二是還應確保企業自身數據和用戶數據的安全性、機密性、完整性、可用性。
2.2構建以數據為中心的安全防護體系
數據安全防護建設需要以“數據為中心”。具體而言,需要進一步明細數據來源、數據質量、數據生命周期、數據應用場景。基于此,構建起由數據安全制度規程、管理機制、技術手段組成的全面覆蓋的數據安全防護體系,形成閉環管理鏈條。(1)數據安全制度是企業數據安全實踐的指導。黨的十八屆四中全會提出有關全面推進依法治國的重要論斷,要求堅持法治國家、法治政府、法治社會一體建設,實現科學立法、嚴格執法、公正司法、全民守法,促進國家治理體系和治理能力現代化。因此,企業數據安全制度和規程應建立在國家整體對于企業商業秘密、國家重要數據、個人隱私保護制度的基礎之上,進一步根據企業自身業務流程,明確具體場景下的數據收集、處理、存儲、使用、轉移的規則和責任主體。(2)數據安全管理統籌是落實企業數據安全實踐的關鍵。隨著企業IT系統和環境的不斷完善,運維服務、系統集成、數據存儲的規模不斷擴大,信息和數據安全對于企業而言愈發重要。在這種態勢下,企業應著眼全局、把握細節,成立專門的數據安全管理機制,自上而下建立起相應的組織架構,確保企業數據安全的全生命周期管理的戰略、制度能夠有效實施。(3)數據安全技術手段是企業彌補數據制度不足的重要保障。技術的變化永遠超前于制度的構建,新的信息技術不僅會帶來新的安全風險,也是數據安全管理的重要輔助手段,為落實企業數據安全管理制度的總體目標提供技術支持。例如,云端技術將定義新的網絡安全導向,近年來廠商積極研發新技術,未來將有更多企業和用戶選擇虛擬機間安全問題的解決方案;可視化工具能夠有效洞察每臺虛擬機的獨立行動和互動,采用流量監控、應用識別及用戶識別等技術,幫助用戶鑒別是否存在攻擊和非正常行為。
3企業開展數據安全防護實踐的措施建議
數字經濟時代,企業應進一步加強技術研發,同步完善各項管理措施,實現“技管”與“人管”的有機結合,實現企業數據安全管理的目標。
3.1技術防護措施建議
企業應按照數據收集、存儲、傳輸、使用、共享、銷毀這一全生命周期加強數據安全的技術防護。(1)在數據的收集環節,企業重點工作為對于數據進行分類、對于數據類型和安全等級進行達標。同時,企業還應將相應功能內嵌入運維管理系統,保證各類數據安全制度有效地落地實施。(2)在數據的存儲環節,企業可以采取數據加密、硬盤加密等多種技術方式保障數據物理存儲的安全性。對于企業在云端數據的安全,則應按照數據中心或云計算安全評估技術標準要求,嚴格根據數據類型進行對應的技術手段。(3)在數據的傳輸環節,企業重點工作包括采用加密或匿名化等手段對于數據進行處理。一方面,應通過非對稱加密算法等不同技術手段對于數據傳輸鏈路或直接對于數據進行加密。另一方面,由于個人信息的收集、傳輸、處理標準較高,數據泄露風險日益嚴峻,企業還可通過算法等技術手段對于個人信息進行匿名化處理,再將相關數據用于流通領域。(4)在數據的使用環節,企業既可以沿用配置防火墻、數據加密等傳統網絡安全防護措施,也可以采用數據安全域、數據日志管理和審計等、數據流量異常監控等新的數據安全技術措施。(5)在數據共享環節,企業可加強對于共享第三方主體的背景審查,并且將共享和披露數據的具體場景與具體的數據安全域技術進行結合。此外,還可以構建統一的數據共享平臺,采用許可或授權的方式對數據離開平臺進行管理。(6)在數據的銷毀環節,企業需要采用硬件或軟件方式,實現磁盤中數據的永久刪除和不可恢復,包括硬盤粉碎機、硬盤折彎機等硬件處理方式,以及多次填充垃圾信息等軟件數據處理方式。
