信息安全管理论文6篇Word下载.docx
《信息安全管理论文6篇Word下载.docx》由会员分享,可在线阅读,更多相关《信息安全管理论文6篇Word下载.docx(34页珍藏版)》请在冰豆网上搜索。
4系统性与动态性相结合原则信息安全管理是一项系统工程。
要按照系统工程的要求,注意各方面、各层次、各时期的相互协
调、匹配和衔接,体现出系统集成效果和前期投入的收益。
同时,信息安全管理又是一种状态的动态反馈过程,应随着安全利益和系统脆弱性的时空分布的变化、威胁程度的提高、系统环境的
演变以及管理人员对系统安全认识的不断深化等,及时将现有的安全策略、风险接受程度和保护措施进行复查、修改、调整以至提升管理等级。
1.2信息安全技术保障体系建设范围和目标1.2.1信息安全技术保障体系建设范围信息安全技术保障体系,包括保护、检测、响应、审计等多种技术。
防御领域覆盖地市供电公司信息内、外网网络边界、网络基础设施、终端计算环境以及支撑性基础设施建设。
[1]1网络边界防御体系建设。
通过确定不同资产的安全等级和防护等级,以采用适合的边界防护技术。
2网络基础设施防御体系建设。
网络基础设施防御的主要目标包括提高网络拓扑的安全可靠性、提高网络设备特别是骨干设备的安全性、保证网络设备远程管理的安全性等。
3终端计算环境防御体系建设。
为了达到减少内部环境中存在的弱点和漏洞,防止计算机病毒及蠕虫在内部环境的传播,提高对网络攻击的发现能力以及在安全事件发生后的跟踪和追查,加强对内部用户的保护、管理、监控和审计能力的终端计算机环境安全目标,可以采用自动补丁管理、访问控制、防病毒、入侵防护、完整性检查和强制认证、网络准入控制等技术来实现。
4支撑性基础设施建设。
信息安全支撑设施是指为网络用户、设备、应用系统提供安全运作的基础设施,包括密钥管理设施、安全管理中心等。
1.2.2信息安全技术保障体系建设目标1坚持安全第一、预防为主、综合治理方针,强化全员信息安全意识。
2高度重视信息化建设中的安全问题,将网络与信息安全全面纳
入公司安全管理体系,建立多层次的安全防御体系,实现信息安全的可控、能控、在控。
3建立完善的信息安全技术保障体系,保护信息的保密性、完整性和可用性。
4确保不发生重大系统停运事故。
5确保不发生重大信息泄露事故。
6确保不发生网站被篡改造成重大影响事故。
7确保信息化有效支撑公司发展方式和电网发展方式转变。
1.3信息安全技术保障体系建设的指标体系及目标值根据国网、省公司指标考核内容,信息安全技术保障体系建设的指标,主要包括内、外网R未注册情况,内、外网弱口令数等。
具体如表1所示。
2主要做法2.1信息安全技术保障体系建设管理工作流程图。
信息安全技术保障体系建设管理分为风险评估、方案设计、方案
落实、验收测评等4个节点。
如图1所示。
2.2主要节点说明2.2.1风险评估当前,影响信息安全的因素很多。
一是日益复杂的网络系统和安全系统不断地增加运行维护的难度,以及工作量和人力成本,对于位置分散的、数目众多的各类主机、网络设备、安全设备等进行逐一管理耗时又耗力。
传统意义上的安全防护措施只关注安全的某一方面,对这些分散
独立的安全事件信息难以形成全面的风险抵御,导致了安全策略和配置难于统一协调,安全事件无法迅速响应。
二是由于与安全相关的信息量越来越大,关键的安全信息和告警事件常常被低价值或无价值的告警信息所淹没,一些全局性的、影响重大的问题很难被分析和提炼出来。
三是由于新的安全威胁总是出现在安全应对措施之前,完全依赖安全技术的安全防护系统无法真正确保网络的安全和提高企业的安全防护能力。
根据国网、省公司要求,确定地市公司的信息安全需求和可接受的残余风险,建立常态风险评估机制。
开展信息安全风险评估工作,了解和评价公司的信息安全现状,提出信息系统的安全需求,公司领导层再依据评估报告,选择最佳的风险控制措施,确立有效的信息安全保障体系。
2.2.2制定策略,设计方案[3]建立安全信息监管系统,将来自不同设备的事件记录例如防火墙、入侵检测系统、防毒软件、网络设备、操作系统、数据库及其它应用系统等,进行数据采集、关联
分析、事件优先重要性分析及视觉图形化呈现。
并自动地将杂乱无章的系统信息转换成有意义、且利于用户对安全事件做出响应的有用信息,最终完成从安全信息来源,到安全信息采集,再到安全信息处理,直至安全事件管理的全部监管过程。
建立重要数据安全管理系统。
采用高可用性冗灾技术、加密技术、数据检索技术,通过完善的人员组织建设和培训,以及周密的流程设计和测试演练,最大限度地降低突发性灾难对企业关键业务环境的影响,切实保障企业重要数据资料安全。
开发运维监管平台。
通过对桌面终端管理系统、综合管理系统等进行有效整合,集中监控管理网络、主机、软件的基本信息资料,通过运维流程管理,简化业务支撑系统的硬件、软件的多样性,降低系统管理维护的复杂性,从而达到集中监控、集中维护、集中管理的目标。
同时,减少系统建设维护成本,节约投资和降低人力成本。
2.2.3方案审查信息化领导小组负责审查相关信息化建设方案,负责公司信息安全重大事项决策和协调工作,全过程监督方案的落实和各个项目的建设。
2.2.4组织实施各相关部门严格遵守公司下发的信息安全管理规章制度,执行各种信息安全管理办法,全面落实安全措施,加强对部门内部安全检查与改进,着力做好各项安全工作。
公司与各单位签订《信息安全责任书》,把安全责任和安全措施
落实到每个环节、每个岗位和每位员工身上,形成大安全管理局面,把谁主管谁负责、谁运行谁负责、谁使用谁负责、谁督查谁负责的原则落到实处。
2.2.5检查验收公司对方案的落实情况、项目的实施情况采取验收测评、跟踪检查等手段,并查找问题,提出整改措施,形成整套完备有效的信息安全防护体系。
3评估与改进评估与改进是安全保障体系中的重要环节。
真正的安全保障体系,不是一次性完备的架构,而是一个由安全评估与改进-安全防护-安全评估与改进-安全防护……的循环发展、动态完善的系统工程。
可以说,没有安全评估与改进的安全保障体系不具备真正的安全
性。
如图2所示,反馈式的评估和检查能加强网络安全防护,能够通过评估和改进达到自我调整和完善,是检验网络安全与否的动态标准。
3.1评估3.1.1评估的方法1委托信息安全专家对公司信息安全项目评估、验收。
2开展各种信息安全反违章、专项治理活动进行检查、评估。
3通过技术手段进行安全检查、评估。
3.1.2评估的内容1贯彻、落实各级安全管理制度、规范情况。
2保护定级方案执行情况。
3重点项目的实施情况。
3.2信息安全技术保障体系建设中存在的问题3.2.1信息安
全技术标准规范体系不够完善1信息安全技术标准数量少,尤其缺乏信息安全风险评估标准,导致信息化建设缺乏统一的评估规范。
2在实施过程中,缺乏必要的监督管理,致使标准未能得到有效实施。
3.2.2全员信息安全意识较淡薄1很多用户对信息安全问题认识不足,在系统缺乏保护的情况下就接入互联网,致使系统频频受到病毒、木马、黑客的攻击,经常处于被动修补状态。
2由于信息安全法律意识淡薄,一些员工将不该发布的信息发布到了网上,导致不良信息的影响日益突出。
3重硬轻软现象突出,把信息安全防护希望全部寄托在信息安全产品和技术解决方案上,而忽视信息安全管理和信息安全人才的培养。
3.2.3信息安全管理和技术人才缺乏1信息安全技术人才缺乏,导致信息安全技术保障功能得不到充分发挥。
2信息安全管理人才不足,难以对信息系统、信息安全产品进行有效管理、配置,增加了信息安全事件的发生概率。
3.3改进的方向和对策1加快推进信息安全标准化工作。
加强信息安全标准的制定和实施,不断完善信息安全标准体系建设,不断增强信息安全标准的创新,提高自主开发的比重;
加大宣传培训力度,有效推进标准的实施工作。
2持续开展安全服务管理各项活动。
信息安全管理是一个动态、持续的过程。
信息安全生命周期是各种活动的不断循环,包括完善策略体系,
改进各项信息安全计划,加强人才培养和意识教育,定期进行信息安全评估与检查,长期的信息安全系统运维与支持,不间断的安全功能改进和实施等内容。
3提高全员的信息安全防范意识。
开展信息安全教育,增强信息安全意识。
要提高信息安全意识,真正认识到信息安全防护的重要性,消除无所谓的错误思想;
加大信息安全防护知识的普及教育工作,加强人员的培训和管理,推广信息安全技术和产品应用,提高企业用户和个人用户的信息安全知识水平,从技术上和管理上切实提高公司信息安全保障能力。
[4]4结语信息安全技术保障体系建设是一个复杂的系统工程,
同时也是一个不断完善的过程,从无到有,从不完善到完善,贯穿信息系统的整个生命期。
实践告诉我们,随着网络信息的发展和规模的扩大,网络的安全缺陷也会加大。
同时,不断变化的信息安全需求和环境也要求有不断改进的信息
安全体系与之相适应。
我们必须清醒地认识到,安全是一个过程,世界上没有一劳永逸的安全。
信息安全技术保障体系建设,要以用户身份认证为基础,以信息安全保密为核心,以网络边界防护和信息安全管理为辅助,建立起全面有机的安全整体,从而建立起真正有效的、能够为信息化建设提供
安全保障的可靠平台,最终才能够为电网的安全稳定运行保驾护航。
本文作者刘立亮王军徐畅工作单位安徽省宣城供电公司第二篇
项目信息安全管理方法一、前言业务应用的不断拓展,信息系统已全面渗透到企业的运营中,而随着网络和通信技术的快速发展,网络互联与开放、信息共享带来了日益增长的安全威胁[1];
病毒和黑客攻击越来越多,安全事件爆发越来越频繁,直接影响企业正常业务运作。
特别是对于移动通信运营商而言,信息安全尤为重要,为了保障客户利益,加强对信息系统的信息安全管理工作刻不容缓。
新建项目中容易忽视信息安全问题,如果安全管理工作不到位,安全风险就得不到控制,而对安全风险进行控制所需的成本则随着安全管理工作介入项目的时间越晚而越高如图1所示;
因此,为降本增效,在项目的建设过程中,越早引入信息安全管理,安全风险控制的成本就越低,达到的安全水平也越高。
对项目进行全生命周期的安全管理,满足集团安全管理三同步的要求,即在系统的设计、建设和运行过程中,做到同步规划、同步建设、同步运行[1]。
二、项目全生命周期安全管理要求对项目进行安全管理,一方面是要求项目能应达到与其承载业务相符的安全特性,如认证、账户管理、操作审计等功能;
另一方面,对项目进行全生命周期的安全管理,在项目的不同阶段进
升级会员 