首页 > 实用范文 > 其他范文 >

内网信息安全管理3篇

网友发表时间 2333190

【引言】阿拉题库漂亮网友为您分享整理的“内网信息安全管理3篇”范文资料,以供参考学习,希望这篇文档资料对您有所帮助,喜欢就下载分享给朋友吧!

内网信息安全管理范文1

关键词:电子政务 内网 信息安全 风险分析

一、前言

政务内网是指政府机关内部专门用于处理业务工作的办公网络,是政府部门内部工作联络、信息传递的现代化信息基础设施。其特点有二:一是与社会信息网络物理隔离、相对独立运行;二是涵盖政府部门用于执行政府职能的信息系统,所涉及的众多信息都带有保密性[1]。

电子政务给传统的政府工作注入了全新活力,大大提高了行政管理效率,改善了政府工作环境,增强了政府行政能力。目前,信息技术已渗透并服务于政府工作的各个领域,正在发挥着越来越重要的作用。但是,信息技术也是一把“双刃剑”,它在提高政府工作效率的同时,也引入了众多安全隐患。特别是在政务内网的信息化建设过程中,从人、管理、技术三个方面衡量,还存在着内部公务人员信息安全意识不高、管理措施不到位、技术手段不足、信息化应用推进与信息安全建设不够同步等问题。在政府信息化推进过程中,这些问题产生的后果有可能给不法分子以可乘之机,而使政府造成损失;严重阻碍政府的行政工作,甚至还会造成政府工作系统的瘫痪,直接危害国家安全。

在信息时代,由网络信息安全问题引发的损失将会全方位地危及一个国家的政治、军事、经济、文化、社会生活的各个方面,使国家处于信息战和高度经济金融风险的威胁之中[2]。保证网络安全运行已提升到维护国家、保护国家安全的高度。因此,如何解决信息安全问题已经成为整个电子政务构建过程中所面临的重要课题。

二、政务内网安全风险分析

随着网络规模的不断扩大,网络及应用系统所受到的安全威胁就越严重。由于政府部门许多应用系统开发建设时间较早,早期的系统开发设计中对信息安全考虑较少,系统较脆弱,所面临的安全风险较大。为了达到信息安全的基本目的,必须积极预防可能出现的针对政务 内网信息及其应用系统的各种安全威胁。主要的安全风险包括以下6个方面。

⒈内部人员主动窃密和破坏

一是内部工作人员利用工作、职务之便,将其能接触到的文件、数据、内部工作信息等提供给敌对组织和个人。二是内部人员有意或无意泄密,更改记录信息,内部非授权人员有意或无意偷窃信息,更改网络配置和记录信息,内部人员破坏网络系统,等等。据统计,来自网络内部的攻击占整个安全攻击总量的70%以上[3]。

⒉工作人员安全保密意识薄弱

少数工作人员缺乏基本的信息安全保密知识,不了解信息化过程中对应的安全风险,如内部口令互串;没有意识到信息安全问题不仅仅是职能部门的事,更是每个人必须遵守和维护的重要工作。在具体工作中,违规操作、有章不循、监管不力、“制度如林,落实无人”等现象大量存在。

⒊各种移动存储介质管理和使用混乱

对移动存储介质,移动计算机设备的使用上缺乏有效的监控手段,普遍存在随意处理各类密级文件、随意使用私人存储介质、随意拷贝文件的现象,如此造成知密面扩大,甚至移动设备丢失,直接造成泄密。

⒋对保密信息监管不力

各类电子文档在使用过程中有效的认证、授权使用和监管措施不够。电子文档不同于一般纸质文件,它的拷贝、复制和传递都具有特殊性。电子文档随意拷贝、复制,很有可能造成知密面扩大、文件丢失、文件被篡改甚至发生泄密事件。重要应用系统没有审计功能,或审计功能相对薄弱,对可能发生窃取行为、未经授权或越权使用资源的现象没有有效的记录和取证能力,无法满足事后追究责任的需要。

⒌技术措施不完善

一是在某些应用系统中安全性考虑不够,开发队伍缺乏保证应用安全的经验,应用系统配置和部署考虑安全性还不周到,对重要信息系统中数据的访问控制措施不够。二是内部网络系统由于文件交换等情况感染计算机病毒、网络蠕虫和其他恶意代码,直接造成系统破坏、网络瘫痪、数据丢失等。三是信息安全专职管理人员在数量上和技术上还不能满足政府高标准的安全保密工作需求,这就造成工作人员因人手问题而无法分权管理,因能力问题而不能提供有效保障。

⒍信息安全责任体系尚不健全

政务内网的信息安全责任体系尚不健全,存在各部门职责划分不清,多头指导、政出多门,建设和监督未能有效分离,检查督促不到位,出现问题难以落实到人等问题。这些问题造成内部管理混乱,责任不明确,技术措施不能到位,出现问题互相推诿等现象,严重影响政务内网整体的信息安全防范能力。

三、政务内网信息安全状况

基于以上安全风险分析,当前政务内网的信息安全综合保障能力与政府职能部门对信息安全保密整体要求仍有较大的差距,其突出表现在以下5个方面。

⒈内部工作人员的保密安全意识亟待加强

政府的工作性质决定了对工作人员有很高的保密要求,但是在日常工作中工作人员对信息安全问题还存在不少认知盲区,对网络信息不安全的事实认识不足,误认为政务内网实施了物理隔离就安全无忧了。不少工作人员的安全保密意识淡薄,这种有章不循、有禁不止的现象导致了很大的安全隐患。

⒉信息加密措施不能满足实际需要

加密是信息安全的核心,目前政务信息化建设正在不断深化,许多应用系统已应用于政务内网,越来越多的数据信息通过网络和计算机完成处理和交换任务。虽然目前已经对加密问题采取了一些措施,但加密仍是政务内网信息安全保密工作亟待解决的问题之一。

⒊信息安全组织管理、培训工作滞后

信息安全是一项管理工程,任何技术手段都需要管理来落实。目前政务内网的信息安全管理人员大多属于兼职,缺乏有力的组织保障以及系统和规范的教育培训。组织机构不健全严重影响了信息安全管理工作的落实,造成信息安全管理工作的滞后。

⒋信息安全整体防范工作薄弱

政务内网信息安全工作,仍停留在查缺补漏阶段,防范方式简单,对防范手段缺乏系统的梳理和体系化的规划建设,整体防范能力较低,普遍存在侥幸心理,没有形成主动防范、积极应对的全民意识, 更无法从根本上提高网络监测、防护、响应、恢复和抗击能力。这种状况已不能适应政务工作信息化的需求[4]。

⒌缺乏有针对性的信息安全防范技术措施

政府业务应用各类多样,其保密要求高,社会上通用的技术手段远远不能满足其安全需求;急需与之相适应的各类专用安全保密技术措施。

四、政务内网的安全需求

政务内网的安全需求主要包括以下一些方面:

⑴需要与外部社会公共信息网络实施严格的物理隔离或物理隔断;

⑵政务内网需要保护核心网络免遭非信任主体的外部干扰或篡改,或者其安全功能被非信任主体旁路[5];

⑶需要提供访问控制机制,确保对核心网络的不信任连接进行控制与防范,对各类共享信息的安全和有序访问;

⑷需要提供信息在网络系统间的加密传输,保护其机密性和完整性的方法;

⑸需要提生证据的方法,该证据可用于抗抵赖服务;

⑹需要能唯一标识网络用户,在允许用户访问应用系统服务之前通过相应的身份鉴别;

⑺需要授权结果的有效性,确保授权数据源不能被非授权用户访问;

⑻需要提供集中的病毒检查和控制机制,确保所有内网主机系统和数据对病毒的侵扰具有预警和防范能力;

⑼需要提供与安全相关事件的记录和审计手段,并根据事件分析进行预警和防范的能力;

⑽需要提供管理和配置内部网络系统的安全措施,只有获得授权的管理员才能使用这些措施;

⑾需要提供相应的系统及数据备份机制。

五、政务内网信息安全防护对策

⒈强化安全教育

信息安全是电子政务开展各项工作的前提,更是维系工作的关键。信息化和信息安全的建设,需要带着安全保密意识来统一规划、规范指导、有效监管。信息安全是人、管理、技术的有机结合,其中人是根本,管理是关键,技术是保证。通过普及教育、专业培训等方式,对不同类型的人员进行相关的安全教育,要使所有公务人员都能充分认识到“人是安全信息系统的重要组成部分”,没有安全可靠的各级人员的参与,任何信息系统都是不安全的。越是对授予较高权限的人员,越要增强其安全意识。

⒉强化安全管理

建立信息安全责任体系,严格落实岗位责任制,建立全过程、全寿命的信息安全机制。通过加强组织保障、加强管理运行、加强针对措施、加强技术手段来减少人员违规操作和犯错误的机会。相关策略有:建立信息安全运行管理体系,以网络管理中心、审计与风险分析中心、检测与监控中心、CA中心、密钥管理中心、防病毒管理中心等为依托,分别对有关的安全机制进行统一配置和管理,汇集有关信息,并通过对汇集信息的分析做出行动决策;以严格的管理使技术措施发挥作用,以技术手段强化安全管理,使管理钢性化,形成威慑,不给不法分子以可乘之机,严防各类安全事件的发生。

⒊强化安全技术

⑴针对内部人员对网络信息系统的随意访问现象,可采取指纹、智能卡、网络身份认证(PKI/CA)等多种强认证方式实现身份认证和授权管理,保证内部信息的合法使用;

⑵针对内部人员随意拷贝、打印文件,安装、使用与工作无关软件等行为,可采用内部安全监控和审计技术,控制出入口,以保证信息的受控使用;

⑶针对信息的传输加密问题,在链路层和网络层可使用国家密码管理局批准装备使用的密码设备;

⑷针对网络和重要数据库的访问审计薄弱,可采用网络与数据库审计系统,记录所有用户的使用行为,以保证事后追查;

⑸针对网络中的非法访问、攻击和病毒传播等问题,可采用防火墙、入侵检测、防病毒等多种技术手段,以保证基础网络系统的安全;

⑹针对移动介质的使用管理混乱问题,可采取标识和鉴别技术,保证工作用移动介质的授权使用,统一编码,统一管理,同时禁止私人移动存储介质在内部信息系统使用。

六、结束语

在政务信息化推进过程中,信息安全风险分析及信息安全防范工作,是一项长期而复杂的系统工程。各级公务人员必须时刻牢记和必须做到:将安全保密理念贯穿于整个系统的生命周期,保证政务内网在规划、建设、测试、验收、运行、维护、升级以及废弃的全过程中都能处在一个符合规定要求、可接受的低风险状态。

参考文献:

1 杨敬。电子政务中的信息安全管理[J].内蒙古科技与经济,2007(16)

2 李彦辉,王述洋,王春艳。网络信息安全技术综述[J].林业劳动安全,2007,20(1):25-29

3 朱卫未。电子政务系统信息安全策略研究[D].合肥:中国科学技术大学,2006

4 陈淑兰。电子政务安全问题探讨[J].沿海企业与科技,2007(8)

5 吴晓平。PKI_CA在专用信息系统中的建设及应用研究[D].成都:四川大学,2006

作者简介:

内网信息安全管理范文2

一、国家电网公司信息安全的特点:

1.规模大:国家电网公司信息系统信息安全涉及电网调度自动化、生产管理系统、营销管理系统、供电服务、电子商务、协同办公、ERP等有关生产、经营和管理方面的多个领域,是一个复杂的大型系统工程;

2.点多面广:国家电网公司下属单位多、分布范围广,网络更加复杂,对如何保证边界清晰、管理要求实时准确落实等方面提出了更高的要求;

3.智能电网:同时随着智能电网的建设,网络边界向发电侧、用户侧延伸覆盖至智能电网各环节,具有点多、面广、技术复杂的特点,信息安全风险隐患更为突出;

4.新技术广泛应用:云计算、物联网、大数据等新技术的不断引入,对公司信息安全构成了新的挑战。

二、国家电网公司信息安全保护总体思路:

坚持“三同步”、“三个纳入”、“四全”、“四防”,信息安全全面融入公司安全生产管理体系。多年来,严格贯彻国资委、公安部、国家电监会工作要求,在国家主管部委、专家的指导帮助下,公司领导高度重视信息安全工作,坚持两手抓,一手抓信息化建设,一手抓信息安全:

1)坚持信息安全与信息化工作同步规划、同步建设、同步投入运行的“三同步”原则;2)坚持三个纳入,等级保护纳入信息安全工作中,将信息安全纳入信息化中,将信息安全纳入公司安全生产管理体系中;3)按照“人员、时间、精力”三个百分之百的原则、实现了全面、全员、全过程、全方位的安全管理;4)全面加强“人防、制防、技防、物防”的“四防”工作,落实安全责任,严肃安全运行纪律,确保公司网络与信息系统安全。

三、国家电网公司信息安全保护工作机制:

按照国家等级保护管理要求,结合电网企业长期以来的安全文化,建立了覆盖信息系统全生命周期的54项管理措施,形成了8项工作机制:

公司按照“谁主管谁负责、谁运行谁负责”和属地化管理原则,公司各级单位成立了信息化工作领导小组,统一部署信息安全工作,逐级落实信息安全防护责任。

1)信息化管理部门归口管理本单位网络与信息安全管理。2)网络与信息系统建设、运维和使用部门分别负责信息系统建设、运行维护和使用环节的网络与信息安全保障。3)业务部门在业务分管范围内协助做好相关系统的安全管理的检查监督和业务指导。4)总部、分部及公司级信息安全督查队伍负责开展信息安全技术督查。5)各单位与总部签定保密责任书和员工承诺书,建立自上而下、层层负责的保密责任体系。6)“不上网、上网不”。严禁计算机与信息内外网连接;严禁在连接外网的计算机上处理、存储信息;严禁信息内网和外网计算机交叉使用;严禁普通移动存储介质在内网和外网交叉使用;严禁扫描仪、打印机等计算机外设在内网和外网上交叉使用。7)技防:内外网强逻辑隔离+部署安全移动存储介质+安装桌面计算机监控系统+安装企业级防病毒系统+360卫士防护软件+对互联网出口+外网邮件内容+门户网站内容进行监控8)人防:培训竞赛+警示教育+检查+责任追究+《信息安全管理手册》+《信息系统安全典型案例手册》9)物防:保密管理系统,保密机及介质统一备案

四、国家电网公司信息安全的督察体系

建立公司级、省级两级信息安全技术督查体系,依托中国电科院、省电科院信息安全技术队伍,独立于日常安全建设和运行工作,有效监督检查、督促公司信息安全管理、技术要求和措施落实,及时发现各层面安全隐患,快速堵漏保全,消除短板,支撑公司网络与信息系统安全防御体系有效运转。

1)两级共计502人的信息安全技术督查队伍。2)开展常态、专项、年度和高级督查工作。3)督查覆盖各级单位,延伸至信息系统生命周期各环节。4)建立闭环整改、红黄牌督办、督查通报、群众举报等督查工作机制。5)充实督查技术装备,加强人员技能培养。6)2005年,电监会5号令,确立“安全分区、网络专用、横向隔离、纵向认证”的二次系统安全防护策略;。7)2007年,公司制定“双网双机、分区分域、等级防护、多层防御”的管理大区信息安全纵深防御策略。8)2010年,深化等级保护安全设计技术要求,结合智能电网防护需求深化完善,形成“双网双机、分区分域、安全接入、动态感知、全面防护”的管理大区信息安全主动防御策略。

五、国家电网公司信息安全的技术措施

1.信息安全的总体架构

a.双网双机。已完成信息内外网独立部署服务器及桌面主机,并安装安全防护措施。b.分区分域。依据等保定级情况及系统重要性,已基本实现各类边界、安全域的划分及差异化防护。c.安全接入。已实现对接入信息内外网各类终端采用安全加固、安全通道、加密、认证等措施,确保接入边界、终端及数据安全。d.动态感知。不断完善内外网安全监测与审计,实现事前预警、事中监测和事后审计。e.全面防护。对物理、网络边界、主机、应用和数据等进行深度防护,加强安全基础设施建设,覆盖防护各层次、各环节、各对象。

2.信息安全的边界安全

公司网络划生产控制大区和管理信息大区,同时在管理信息大区的基础上进一步划分信息内网和信息外网,形成“两个大区、九大边界”。针对信息内网边界重点区域进一步制定安全防护策略。a.内外网隔离策略:四特定特定业务应用、特定数据库、特定表单、特定操作指令。b.内网边界安全接入策略:五限制内网安全终端、无线加密专网、数据传输加密、交互操作固定、终端入网检测c.第三方专线接入防护策略:五专用专线连接、专区接入、特定内容交互、专机专用、专用程序、边界防护-逻辑强隔离设备。d.边界防护-内网安全接入平台。

1)保障非公司信息内网区域终端以安全专网方式接入信息内网;2)设备接入认证;3)数据隔离交换;4)实时安全监测;5)数据安全检查。

3.信息安全的安全检测

外网监测-信息外网安全监测系统。对互联网出口网络攻击事件、网络流量、敏感信息、病毒木马、用户上网行为、信息外网桌面终端安全态势进行实时监测与深度分析,日均监测并阻截外网边界高风险恶意攻击达2000余次,及时掌握全网互联网出口和信息外网实时安全态势。内网监测-信息运维综合监管系统对网络设备、383个骨干网节点、近400个业务指标。

1)内网边界实时监控2)网络设备、流量实时监控3)主机安全实时监控4)应用运行状态实时监控5)桌面终端标准化管理。

4.信息安全的数据保密

内网信息安全管理范文3

在国网公司“三集五大”体系建设的大环境下,信息化全业务覆盖将渗透到县公司各个环节,县公司信息化建设有了重大进展和显著成效,尤其是在省电力公司信息系统全面推广应用后,建立合理、高效地信息安全管理体系显得尤为重要。西平县电业公司结合自己的实际情况,实施了一系列的信息安全方面的建设和管理,有效地保证了我公司的信息安全,提高了公司信息系统整体安全防护水平。

一、工作思路

(一)现状分析

西平县电业公司原来的局域网网络,由于内外网没有隔离,制度制定不全面,管理比较混乱,局域网内的计算机终端可以随意上网,由于没有桌面管理软件,私自接入路由器、交换机的情况比较严重,严重威胁到了公司局域网的网络安全。

(二)工作思路

为进一步加强我公司的信息安全管理,强化日常信息安全的监督、防控及应急处理体系,杜绝发生信息安全事故,有效提升全我公司整体信息安全防护水平,消除安全隐患,解决信息安全短板,强化信息安全建设,重新制定各种信息安全规章制度,明确信息安全责任人,对引起信息安全责任事故的,从严处罚;实施内网物理隔离,局域网内所有计算机终端安装省公司统一部署的北信源桌面管理系统和趋势杀毒软件,配备安全移动存储介质,最大限度消除各类信息安全隐患,确保公司局域网的安全。

二、主要做法

(一)加强组织机构与制度建设

我公司成立信息安全组织,以公司经理为组长,主管副经理为副组长,各部室主任为成员的安全信息管理网络体系,分级负责信息安全工作;信息安全管理实行统一领导、分级管理,各部门主要负责人是本单位信息安全第一责任人,公司信息化领导小组负责本单位信息安全重大事项决策和协调工作。公司负责人与各部室及各单位签订信息安全责任书,全体员工签订信息安全保密承诺书,对员工宣传“八不准、三个不发生”的安全要求,明确“谁使用、谁负责”的信息安全原则。信息安全纳入公司安全管理体系,实行专业管理、归口监督,科技信息部负责管理信息大区(信息内网和信息外网)的安全保障,负责指导、协调和检查各单位信息安全工作,组织落实公司信息系统等级保护制度,统筹开展公司信息系统风险评估和安全检查工作,负责规范公司信息系统安全产品的测评和选型工作。组织本单位信息系统安全的宣传和培训,建立健全信息系统安全管理体系,设立系统管理员、网络管理员、安全管理员等岗位。一是完善制度,制定包括各级信息安全岗位职责、值班制度、巡视检修制度、机房管理制度、业务受理制度、数据备份制度、信息与审核制度、信息安全审计制度等在内的各项制度;二是建立健全监督考核机制,严格系统分级权限分配、监督与管理;三是加强流程控制,数据录用前,必须要保证信息系统数据的合法性、安全性以及处理后数据的正确性,更重要的是对各环节人员操作程序进行安全管理,同时还要引进和强化计算机自动控制系统,以保证计算机系统及数据的安全性和数据处理的可靠性。四是建立完善了信息安全责任制度、信息系统日志管理制度、账号与口令管理制度、数据备份制度及应急预案制度等。

(二)加强硬件与软件及信息安全技术建设

为保障信息系统的安全,实施了内外网物理隔离,使互联网和局域网成为两个独立的网络,并配合省、市公司,对县—市—省三级联网通道进行改造,建设成了主通道为100M、备用通道为20M的光纤通道,与省、市公司互联。在各计算机终端安装了北信源桌面管理系统和趋势杀毒软件,启用桌面管理系统的补丁安装功能,对存在漏洞的计算机进行了补丁安装,对于个别无法安装补丁的计算机进行了重新安装操作系统,并实施了弱口令专项治理工作,坚决杜绝弱口令的发生。指派专人实时监控桌面管理系统,确保杀毒软件安装率、桌面管理系统注册率等达到100%。严格执行“不上网、上网不”的纪律要求。在内外网的网络终端上安装安全管理终端,登记内外网终端使用信息,监控网络终端基本信息。严禁违规上国际互联网及其他的信息网的现象;严禁内外网互联现象;严禁使用未登记备案的外网接口;严禁安装、使用未经批准的无线网络等,杜绝违规外联的发生。加强移动存储介质的使用和管理,专门配备了安全移动存储介质,保证了病毒、木马依靠移动存储介质进行传播。在各信息系统服务器上增加软件防火墙,取消不必要的协议及远程登录功能。对于远抄、集抄、智能手机抄表等信息系统,把原来的互联网接入方式更换为APN接入方式,保证了信息系统服务器的安全。对于入网及互联网用户实行严格的审批制度,并对其进行了MAC地址绑定,使局域网安全得以保障。

三、对实践过程的思考和对效果的评价

相关推荐

热门文档

65 2333190