保障信息安全的措施范文1
由于计算机网络缺乏严格的管理规定,使得计算机以及网络的重要信息被非法侵入。关于计算机的一些重要的权限都掌握在个人的手里,这样就缺乏了安全的保障,缺乏管理制度和相应的措施。
计算机的信息安全保障要建立在完善的计算机安全防护系统之下,具体措施如下:
1计算机信息安全技术的相应对策
要使得计算机的信息得到安全的保障,就要采用安全性能高的系统,并对数据加密,加密技术要完善。可以通过隐藏、水印数字等手段将比较重要的文件与资料隐藏到一般的文件中,然后再通过信息的传递,这样可以提高信息的保密性。在电脑上安装杀毒软件和防火墙是很必要的,在主机上安装杀毒软件,能对定期的病毒入侵进行扫描检测,及时地补漏洞,主动地杀死病毒,这也对文件、资料等其他可能出现安全隐患的东西进行监测,发现异常情况时就可以直接处理。使用电脑时,要使用安全的路由器,采用安全性能高的密码算法的路由器,可以采用密码算法和加解密专用芯片的路由器。
2计算机信息安全管理对策
保障信息安全的措施范文2
论文摘要:本文强调审计工作的安全、高效和信息化,从审计工作的现状、发展瓶颈到信息化审计的制度健全、引入主机系统安全审计、业务系统安全审计等相关管理办法、新技术或新理念和待解决的问题等方面,论述构建安全高效的审计信息化安全保障体系的措施。
审计是客观评价个人,组织、制度、程序、项目或产品。审计执行是以确定有效性和可靠性的信息,还提供了一个可内控的评估系统。审计的目标是表达人、组织、系统等的评估意见,审计人员在测试环境中进行评估工作。审计必须出示合理并基本无误的报表,通常是利用统计抽样来完成。审计也是用来考察和防止虚假数据及欺骗行为,检查、考证目标的完整性、准确性,以及检查目标是否符合既定的标准、尺度和其它审计准则。实现审计的信息化,有利于管理层迅速准确的做出决定,对于政企业发展、社会经济的进步都具有重要作用。目前,我国的审计工作尚存在性质认定模糊、工作范围过于狭窄等问题,有待进一步加强和改进。
审计的基础工作是内部审计,内审是审计监督体系中不可或缺的重要组成部分,是全面经济管理必不可少的手段,是加强任何机构内部管理的必要,推动经济管理向科学化方向发展的重要环节也是审计。因此说审计部门是其他监督部门不能代替的,促进党风廉政建设、加强对党政领导干部及管理人员的监督都可以通过审计来完成。审计应用与高新技术机构中,在防范风险中发挥着重要作用,也有助于领导层做出正确决策。
一、审计工作的现状及存在的问题
随着我国经济迅猛发展,审计监督力度不断增强,审计范围也不断扩大。当前,审计方式已由财政财务审计向效益审计发展,由账项基础审计向制度基础审计、风险基础审计发展,由事后审计向事中、事前审计发展。审计管理上建立审计质量控制体系,要求审计机关把审计管理工作前移,把质量控制体系贯穿与审计工作中。在此趋势下,传统的审计方法暴露出其效率低、审计范围小等劣势,使得完成审计任务,达到审计目标越发缺乏及时性。
(一)内部审计性质认定较为模糊。内部审计是市场经济条件下,基于加强经营管理的内在需要,也是内部审计赖以存在的客观基础。但是,现代内部审计的产生却是一个行政命令产物,强调外向性服务。这种审计模式使人们对内部审计在性质认定上产生模糊,阻碍了内部审计的发展。内部审计很难融入经营管理中,审计工作很难正常开展,很难履行监督评价职能和开展保证咨询活动,因此就不能充分发挥其应有的内向性服务的作用。
(二)内部审计工作范围过于狭窄。内部审计的目的在于为组织增加价值并提高组织的运作效率,其职能是监督和服务。但是,我国内部审计工作的重心局限在财务收支的真实性及合规性审计。长久以来内部审计突出了监督职能,而忽视了服务职能。内部审计认识水平、思想观念的束缚以及管理体制等诸多因素,影响和阻碍着内审作用的有效发挥。原因有会计人员知识水平、业务素质不高,也有不重视法律、法规的因素,还有监管不力、查处不严的原因。目前内部审计尚处在查错阶段,停留在调账、纠正错误上,还不能多角度、深层次分析问题,没有较国际先进的审计理念,我国内部审计的作用尚待开发。审计人员的计算机知识匮乏,不适应电算化、信息化的迅速发展。目前多数审计人员硬件知识掌握不熟练,软件知识了解也不足,因此不能有效地评估信息系统的安全性、效益性。由于计算机审计软件开发标准不同,功能也不完整,因此全面推广计算机辅助审计就有一定难度,导致审计人员的知识和审计手段滞后于信息化的发展。
二、信息化审计体系的健全
当前国家审计信息化发展的趋势是建立审计信息资源的标准化、共享化、公开化,逐步达到向现代审计方式的转变。这一趋势是随着当前科学发展、和谐社会的推进,国家确立的公共财政建设、公共服务的实施、公共产品的提供应运而生的,三个“公共”的主旨是:国家财政资金的使用更注重民生;使用重点更注重服务;使用效益更注重民意。
信息安全审计是任何机构内控、信息系统治理、安全风险控制等不可或缺的关键手段。收集并评估证据以决定一个计算机系统是否有效地做到保护资产、维护数据完整、完成目标,同时能更经济的使用资源。信息安全审计与信息安全管理密切相关,信息安全审计的主要依据是出于不同的角度提出的控制体系的信息安全管理相关的标准。这些控制体系下的信息化审计可以有效地控制信息安全,从而达到安全审计的目的,提高信息系统的安全性。由此,国际组织也制定了相关文件规范填补信息系统审计方面的某些空白。例如《信息安全管理业务规范》通过了国际标准化组织ISO的认可,正式成为国际标准。我国法律也针对信息安全审计制定出了《中华人民共和国审计法》、《国务院办公厅关利用计算机信息系统开展审计工作有关的通知》等文件,基本规范了内部审计机制,健全了内部审计机构;强调机构应加强内审工作,机构内部要形成有权就有责、用权受监督的最佳氛围;审计委员会直接对领导班子负责,其成员需具有相应的独立性,委员会成员具良好的职业操守和能力,内审人员应当具备内审人员从业资格,其工作范围不应受到人为限制。内部审计机构对审计过程中发现的重大问题,视具体情况,可以直接向审计委员会或者领导层报告。 转贴于 三、主机系统安全审计
信息技术审计,或信息系统审计,是一个信息技术基础设施控制范围内的检查。信息系统审计是一个通过收集和评价审计证据,对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效地实现、使组织的资源得到高效地使用等方面做出判断的过程。
以技术划分,信息化安全审计主要分为主机审计、网络审计、应用审计、数据库审计,综合审计。简单的说获取、记录被审计主机的状态信息和敏感操作就是主机审计,主机审计可以从已有的系统审计记录中提取相关信息,并以审计规则为标准来分析判断被审计主机是否存在违规行为。总之,为了在最大限度保障安全的基础上找到最佳途径使得业务正常工作的一切行为及手段,而对计算机信息系统的薄弱环节进行检测、评估及分析,都可称作安全审计。
主机安全审计系统中事件产生器、分析器和响应单元已经分别以智能审计主机、系统中心、管理与报警处置控制台来替代。实现主机安全系统的审计包括系统安全审计、主机应用安全审计及用户行为审计。智能审计替代主机安装在网络计算机用户上,并按照设计思路监视用户操作行为,同时智能分析事件安全。从面向防护的对象可将主机安全审计系统分为系统安全审计、主机应用安全审计、用户行为审计、移动数据防护审计等方面。
四、待解决的若干问题
计算机与信息系统广泛使用,如何加强对终端用户计算机的安全管理成为一个急需解决的问题。这就需要建立一个信息安全体系,也就是建立安全策略体系、安全管理体系和安全技术体系。
保护网络设备、设施、介质,对操作系统、数据库及服务系统进行漏洞修补和安全加固,对服务器建立严格审核。在安全管理上完善人员管理、资产管理、站点维护管理、灾难管理、应急响应、安全服务、人才管理,形成一套比较完备的信息系统安全管理保障体系。
防火墙是保证网络安全的重要屏障,也是降低网络安全风险的重要因素。VPN可以通过一个公用网络建立一个临时的、安垒的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。借助专业的防DDos系统,可以有效的阻止恶意攻击。信息系统的安全需求是全方位的、系统的、整体的,需要从技术、管理等方面进行全面的安全设计和建设,有效提高信息系统的防护、检侧、响应、恢复能力,以抵御不断出现的安全威胁与风险,保证系统长期稳定可靠的运行。严格的安全管理制度,明确的安全职责划分,合理的人员角色定义,都可以在很大程度上减少网络的安全隐患。
从战略高度充分认识信息安全的重要性和紧迫性。健全安全管理组织体系,明确安全管理的相关组织、机构和职责,建立集中统一、分工协作、各司其职的安全管理责任机制。为了确保突发重大安全事件时,能得到及时的响应和支援,信息系统必须建立和逐步完善应急响应支援体系,确保整个信息系统的安全稳定运行。
参考文献:
[1]宋新月,内部审计在经济管理中的重要作用浅析[J],知识经济,2009
保障信息安全的措施范文3
【关键词】外汇 信息安全 风险 保障措施
近年来,国家外汇管理局加大了信息化建设步伐,信息系统已基本替代了手工操作用于处理外汇管理日常工作,在外汇监管与服务的过程中发挥着越来越重要的作用,外汇业务信息系统的安全正常运行已成为外汇局开展业务开展的前提,任何一个环节的信息系安全管理缺失,都可能给外汇管理工作带来严重的后果。
一、外汇信息系统和数据所面临的风险
信息安全就是保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏,即保证信息的保密性、完整性、可用性.可控性和平可否认性。
外汇管理信息系统和数据在采集、保存和使用等过程中存在诸多安全风险,例如硬盘损坏等物理环境风险,操作系统和网络协议漏洞导致外汇信息数据被非法访问、修改或恶意删除,最终导致外汇信息丧失上述安全特性,从而影响了外汇业务的正常开展。本节仅结合外汇信息系统和数据实际情况,简要介绍外汇信息常见的风险。
(一)电子设备存在软件和硬件故障风险
外汇信息系统在运行过程往往会面临硬件设备发生故障,软件系统出现运行错误的风险,例如服务器电源设备老化、硬盘出现坏道无法读写、软件崩溃、通讯网络故障等问题。上述问题是外汇信息系统实际运维过程中最为常见风险源。
(二)人为操作风险
因人为操作外汇信息系统产生的未授权的数据访问和数据修改、信息错误或虚假信息输入、授权的终端用户滥用、不完整处理等。产生该类风险的原因是用户安全意识淡薄,未授权访问数据造成外汇信息泄漏,数据手工处理导致的错误或虚假信息,未授权用户操作等行为都会造成信息系统安全性风险。实际外汇信息系统运行中,人为事件造成损失的概率远远大于其他威胁造成损失的。
(三)系统风险
一般所用的计算机操作系统以及大量的应用软件在组织业务交流的过程中使用,来自这些系统和应用软件的问题和缺陷会对一系列系统造成影响,特别是在多个应用系统互联时,影响会涉及整个组织的多个系统。例如,部分系统具有维护困难、结构不完善、缺乏文档和设计有漏洞等多个隐患,有时就会在系统升级和安装补丁的时候引入较高的风险。
(四)物理环境风险
由于组织缺乏对组织场所的安全保卫,或者缺乏防水、防火、防雷等防护措施,在面临自然灾难时,可能会造成极大的损失。
二、外汇信息安全基本准则和特性
外汇信息系统是一个以保障外汇业务系统正常运行的专用的信息系统,近年来在不断加大信息科技方面投入、加快信息化建设的过程中得到了有效整合和完善。为有效应对外汇信息系统安全风险,科技部门应同步提升科技管理制度的完整性和执行力度、管理精细化程度。制定外汇信息系统安全的具体保障措施之前,首先需要我们认清信息安全的基本准则和一些特性:
(一)信息安全短板效应
对信息系统安全所涉及的领域进行安全保护即全面构筑外汇管理信息安全保障工作,重点加强对安全洼地、薄弱环节的安全防护。
(二)信息安全系统化
信息系统安全其实是一项系统工程,要从管理、技术、工程等层面总体考量,全面保障外汇管理局信息系统安全。
(三)信息安全动态化
信息安全保障措施所防范的对象是一个动态变化的过程,所以信息系统也应该随着内外部安全形势的变化不断改进。
(四)信息安全常态化
信息安全从时间角度看是一个长期存在的问题,只有在信息安全技术方面严格把握重点,综合信息安全体系的可持续构建,才能保障外汇管理局信息系统安全。
(五)系统操作权责明确
信息系统安全的前提是要严格内部授权,划分各岗位职责,如加大内控风险防范和控制。使各系统角色操作者权限形成相互制约的控制机制。
三、外汇信息安全保障应对措施
外汇信息安全工作应以信息系统所面临的安全威胁依据,遵循基本准则,以信息基础设施建设和安全管理制度为我切入点制定相应的防护措施。
(一)建立系统性的安全管理制度
安全管理制度要包括人员管理、资产管理、数据管理、网络管理、运维管理、应急管理、事后审查等方面内容
(二)建立良好的网络信息安全防护体系
从物理环境安全、网络边界安全、设备安全、应用系统安全以及数据安全等方面部署相关的安全防护设备和措施。
(三)定期进行信息安全教育培训
因信息技术行业快速发展,信息安全形势也在不断变化,外汇管理局科技部门可定期对辖内外汇信息系统维护和操作人员进行信息系统安全培训,更新安全知识。为了有效防范未知威胁和隐患,外汇管理局科技部门可对辖内定期开展信息系统安全检查,确保外汇信息系统安全有效运行,保障外汇信息的可控、可用和完整性。
(四)开展信息系统安全风险评估,进一步做好系统等保工作
首先对外汇信息系统安全进行风险评估,根据评估识别威胁外汇信息系统安全的风险,作为制定、实施安全策略、措施的基础,风险评估同时也是外汇信息系统安全等级保护的重要前提与依据。其次确定信息系统安全级别,根据级别的不同,实施对应的保护措施,启动对应级别的安全事件应急响应程序。
(五)运用入侵检测等技术,预防恶意攻击
随着技术发展,当前恶意攻击手段呈现越来越隐蔽的趋势,需要科技部门采用具有预警功能的技术手段来应对,如入侵检测、数据挖掘等技术,通过分析历史数据,发现当前安全措施的缺陷,及时纠正和预防内外部风险再次发生。
保障信息安全的措施范文4
关键词:金融信息,网络安全,保障体系,服务
1金融信息系统安全保障体系的总体构架
金融信息系统安全保障体系的总体构架有系统安全、物理安全、应用安全、网络安全、和管理安全。毕业论文,网络安全。
1.1金融信息系统的安全
系统安全指的就是网络结构的安全和操作系统的安全,应用系统安全等等。毕业论文,网络安全。网络结构的安全就是指网络拓扑没有冗余的环路产生,线路比较畅通,结构合理。操作系统的安全就是指要采用较高的网络操作系统,删除一些不常用却存在安全隐患的应用,对一些用户的信息和口令要进行严格的把关和限制。应用系统的安全就是指只保留一些常用的端口号和协议,要严格的控制使用者的操作权限。在系统中要对系统有一些必要的备份和恢复,它是为了保护金融系统出现问题时,能够快速的恢复,在金融系统在运行的过程中要对其内容进行备份。
1.2金融信息系统的物理安全
物理安全就是要保证整个网络体系与信息结构都是安全的。物理安全主要涉及的就是环境的安全和设备的安全,环境安全主要就是防雷、防火、防水、等等,而设备的安全指的就是防盗、放干扰等等。
1.3金融信息系统的应用安全
金融信息系统的应用安全主要就是指金融信息系统访问控制的需要,对访问的控制采用不同的级别,对用户级别的访问授权也是不同。收集验证数据和安全传输的数据都是对目前使用者的身份识别和验证的重要步骤。而对于金融系统中数据资源的备份和恢复的机制也要采取相应的保护措施,在故障发生后第一时间恢复系统。
1.4金融信息系统的网络安全
金融信息都是通过才能向外界的,而通过采取数据链路层和网络层的加密来实现通信的保护,对网络中重要信息进行保护。而对网络进行入侵检测也是必要的,通过信息代码对进出的网段进行监控,来确保信息的安全性。毕业论文,网络安全。对系统也要进行不定期的部件检测,所是发现有漏洞要及时的进行补救。
1.5金融信息系统的安全管理
金融系统是一个涵盖多方面的网络,也运行着很多的网络,对金融系统进行信息管理,就应该设置安全的管理中心,要集中的管理,严格的规定和确定明确的责任和控制,确保金融系统可靠的运行。
2金融信息系统安全保障的措施
2.1设置安全保障的措施
对于任何未经允许的策略都严格的禁止,系统允许访问的都要经过眼的认证才能进入下一步,重要的金融信息要经加密的措施进行传输。要通过网络安全策略对金融信息系统的网络设置防火墙,用来保护各个金融节点的信息安全,允许授权用户访问局域网,允许授权用户访问该局域网内的特定资源;按业务和行政归属,在横向和纵向网络上通过采用MPLSVPN技术进行VPN划分。
2.2使用安全技术和安全产品的措施
为了金融系统有个安全可靠运行环境,遵循金融系统的安全保障体系策略,要在金融信息系统中安装一些安全技术和安全的产品。将金融信息系统划分为不同的安全区域,每个区域都不同的责任和任务,对不同的区域要有不同的保护措施,即方便又增强了安全性。在金融想呕吐中安装一道防火墙,用来防止不可预见的事故,若是有潜在的破坏性的攻击者,防火墙会起到一定的作用,对外部屏蔽内部的消息,以实现网络的安全防护。应该在金融信息系统中设置入侵检测系统,要对网络的安全状态进行定期的检测,对入侵的事件进行检测,对网络进行全方位的保护。在金融信息系统中安装防病毒的系统,对有可能产生的病源或是路径进行相对应的配置防病毒的软件,对金融信息系统提供一个集中式的管理,对反病毒的程序进行安装、扫描、更新和共享等,将日常的金融信息系统的维护工作简单化,对有可能侵入金融信息系统的病毒进行24小时监控,使得网络免遭病毒的危害。定期的对金融信息系统进行安全评估,对系统中的工作站、服务器、交换机、数据库一一的进行检测评估,根据评估的结果,向系统提供报告。安全的评估与防火墙的入侵检测是相互配合的,够使网络提供更高性能的服务。毕业论文,网络安全。
2.3金融信息管理的安全措施
在管理的技术手段上,也要提高安全管理的水平。金融信息系统是相对比较封闭的,金融信息系统的安全是最重要的,业务逻辑与操作规范的严密是重中之重。因此对于金融信息系统的内部管理,加强领导班子对安全管理的体系,强化日常的管理制度吗、,提升根本的管理层次。
2.3.1建立完善的组织机构
如今我国更加重视信息安全的发展,它可以促进经济发展和维护社会的稳定。在金融信息系统的内部要建立安全管理小组,安全管理小组的任务就是要制定出符合金融发展的安全策略。管理小组由责任和义务维护好系统的安全和稳定。
2.3.2制定一系列的安全管理办法和法规,主要就是抓住内网的管理,行为、应用等管理,进行内容控制和存储管理。对每个设施都要有一套预案,并定期进行测试。毕业论文,网络安全。
2.3.3 加强严格管理,加强登陆身份的认证,严格控制用户的使用权限,对每个用户都要进行信息跟踪,为系统的审核提供保障。毕业论文,网络安全。
2.3.4加强重视信息保护的等级,对金融信息系统中信息重点保护,对重要信息实施强制保护和强制性认证,以确保金融业务信息的安全。也要不断的加强信息管理人才与安全队伍的建设,加大对复合型人才的培养力度,通过各种会议、网站、广播、电视、报纸等媒体加大信息安全普法和守法宣传力度,提高全民信息安全意识,尤其是加强企业内部人员的信息安全知识培训与教育,提高员工的信息安全自律水平。
3结语
随着金融信息化的快速发展,金融信息系统的规模逐步扩大,金融信息资产的数量急剧增加,对网络与信息系统实施安全保护已势在必行。目前互联网的应用还缺乏一定的安全措施,这样就严重的影响和限制了金融系统通过网络向外界提供服务的质量和种类。因此,各个金融信息系统都必须要采取一定的安全防护措施,构建一个安全的合理的金融信息系统。
参考文献:
[1]卢新德.构建信息安全保障新体系:全球信息战的新形势与我国的信息安全战略[M].北京:中国经济出版社,2007.
[2]李改成.金融信息安全工程[M].北京:机械工业出版社,2010.
[3]方德英,黄飞鸣.金融业信息化战略——理论与实践[M].北京:电子工业出版社,2009.4.
保障信息安全的措施范文5
关键词:火力发电厂;信息安全体系;安全管理
随着我国社会经济的高速发展,火力发电厂规模不断扩大,受到人们的广泛关注,取得了较好的成效,但也面临一系列的挑战。应转变传统的经营管理模式,充分发挥现代计算机信息技术的作用,将网络信息技术融入火力发电厂中,逐步实现自动化生产,创新火力发电厂管理方式,提高其信息管理水平,实现数据共享。为推动火力发电厂的现代化发展,应根据火力发电厂的实际情况建立健全的信息安全体系,加强火力发电厂信息安全管理工作,消除其中存在的安全漏洞,保障火力发电厂安全运行,实现综合效益最大化。
1火力发电厂的相关内容
火力发电厂是利用燃料生产电能的工厂,在科学技术时代背景下,火力发电厂的经营管理发生了变化。为了应对日益激烈的市场竞争,开始充分应用现代信息技术,将其融入电力生产中,制定完善的信息管理系统,提高电力生产效率,为电力生产供应提供重要的安全保障。
2现阶段火力发电厂信息安全中存在的威胁
首先,在火力发电厂运营过程中,使用的信息管理系统存在安全风险。在电力生产过程中,目前使用的信息管理系统已具备相应的安全管理功能,但受多方面因素影响,其内部仍存在威胁。工作人员的安全防护意识不强,在操作过程中易导致安全信息系统出现故障。其次,受外部攻击存在的安全风险。信息管理系统受外来病毒入侵、网络攻击,导致系统无法正常运行,信息数据丢失,影响了火力发电厂信息系统的安全运行,难以保障火力发电厂的供电服务质量,不利于提升火力发电厂的经济效益[1]。
3构建火力发电厂信息安全体系的有效措施
3.1建立健全的火力发电厂信息安全技术体系。(1)应充分应用防火墙技术。在火力发电厂信息安全体系中安装防火墙,有利于强化信息系统的安全性,可对其进行有效防护。在信息网络出口处安装防火墙硬件时,需要根据实际需求选择适宜的防火墙类型,维护信息数据传输的稳定性、安全性。有效的防火墙技术可封闭操作信息管理系统中的数据包,并设计科学的过滤配置,不允许未经许可的IP地址访问信息管理系统,以免泄露火力发电厂的重要信息。可根据火力发电厂信息系统的特点、功能性,确定安全控制点,将其放置于信息系统和系统间,确保信息系统的独立性[2]。(2)做好系统安全分区防护工作。为保障火力发电厂信息安全技术的有效应用,应实施系统安全分区防护工作。遵循横向隔离原则,在网络专用的指导下,科学设计安全分区。应基于火力发电厂的实际经营状况,遵循信息系统安全分区原则,科学划分各区域的安全等级,实施有效的安全防护措施预防安全风险。①实时控制区域,如生产控制系统,应对其实施重点防护工作;②二级控制区域,如管理信息系统;③生产信息管理系统、脱销控制系统等区域,需要进行一级安全防护。可采用物理方式,安装单向隔离装置,科学调度和优化数据网络系统,有效开展实时控制工作。应基于各区域的类型和功能制定适宜的访问权限,优化安全隔离装置设计,以提高各信息系统区域的安全性。在管理自动电压控制系统、远程终端单元系统时,应将其放在重点安全防护区域中,线路母线录波、机组录波等划分至二级安全防护区域,可充分发挥加密认证的作用。(3)制定统一的防病毒系统。在火力发电厂信息安全系统中,应统一部署网络防病毒系统,主要针对生产控制区域、管理信息区域。所有的大区服务器、终端设备均须安装统一的防病毒客户端,以实施有效的防病毒管理。应在第一时间更新病毒特征码,科学分析获得的病毒防护相关数据,明确火力发电厂信息系统中存在威胁的病毒类型,根据其实际情况选择适宜的安全防护技术,保障信息系统的安全性。可将防病毒网设置于网络系统的出口位置,以免病毒透过网络传播至火力发电厂的内部信息系统中。(4)提高服务器安全水平。在火力发电厂信息安全系统中,应对关键服务器实施高效的安全加固工作,针对服务器运行中存在的问题,为其系统添加补丁,实施有效的系统审计工作,强化用户管理,优化资源配置,保障火力发电厂信息安全系统的正常运行。①在信息安全系统中,安装适宜的安全补丁,以强化系统操作的安全性;②定期清理安全系统中的各账号和信息,删除和清理无用的账号,设置负责口令,加强对账号的管理;③做好审计工作,关注系统中的日志,及时进行科学调整;④火力电厂信息系统中的特定账户,应进行有效的审计工作,实施全面的监督管理措施,优化配置信息资源;⑤在火力电厂信息系统中安装病毒防范软件,并定期进行升级,以提高信息系统的安全系数;⑥加强数据库服务器系统安全防护措施,及时发现数据库中存在的安全漏洞,并采取有效措施进行修复。应设置账户口令,拥有访问权限的账户方可操作数据库系统。可在数据库中安装安全补丁,删除无关账号,锁定数据库运行;设置账号口令,不可使用账户默认密码,超级管理员的账户不可远程登录。(5)建立健全的网络入侵防护系统。为保障火力发电厂信息系统安全,应创建网络入侵防护系统,以抵御黑客攻击,识别计非法访问,隔离病毒。可在网络入口处设置IPS,深度防护网络各层,应将IPS设置于核心交换机上,以加强对内网、外网的安全防护。内网出现黑客攻击等非法访问行为时,可利用IPS进行科学分析,找出攻击来源,查看异常状况,进而实施有效的安全防护措施进行处理,保障信息系统的安全运行。3.2制定完善的信息安全组织制度。在火力发电厂信息安全体系的构建过程中,应制定完善的信息安全组织制度,以保障信息安全。应根据实际情况培养专业的人员,实施有效的信息安全管理工作,成立专门的火力发电厂信息安全管理组织,各部门积极合作,加强彼此间的交流与互动。在部门成立安全管理小组,设置科学的责任机制,强化信息安全管理人员的责任意识,使工作人员全身心投入安全监督审查工作中,优化人力资源配置,保障信息系统的安全运行[3]。3.3建立健全的安全管理体系。建立健全的安全管理体系,有利于保障火力发电厂信息系统的安全性。(1)应制定完善的安全管理制度,并将其贯彻落实在信息安全管理工作中,做到有据可循、有法可依。制定的信息安全制度应具有全面性、可操作性,应规范相关人员的操作行为,统一技术标准,以充分发挥信息安全管理体系的有效作用,可制定《计算机网络管理办法》《信息安全风险评估管理办法》等。安全管理行为均须严格按照相关规章制度的要求执行,实施跟踪信息安全管理效果。(2)应根据当前火力发电厂信息安全体系的实际情况,科学部署网络准入策略,加强访问控制工作。拟定的技术方案应符合实际需求,做好入网登记备案工作,按照相关制度的要求,实施网络巡检工作,以提高火力发电厂信息网络建设水平,强化信息网络管理工作。(3)应积极开展信息安全培训工作,加强工作人员间信息交流。培养相关人员的信息安全意识,明确火电厂信息安全体系中的核心,贯彻落实相关安全措施,加大安全管理力度,提升信息网络系统的安全系数。(4)应保障信息系统的物理安全,加强对网络系统的硬件设施的安全管理。应保证计算机机房的安全性,做好防火、防潮等措施,定期对服务器、网络硬件设备等进行检查和维护,确保储存系统、备份系统的正常运行,保证供电质量安全。一方面,应从技术层面进行安全防护。设立专门的电子门禁系统,在机房等区域中设置防盗报警系统、监控报警系统、摄像头,可充分利用火灾自动消防系统,进行防水检测,控制计算机机房中的温度、湿度,为设备的日常运行创造良好的环境。另一方面,应从管理层方面进行有效防护。制定完善的规章制度,严格按照机房规定进行操作和管理,规范计算机房的使用标准,派遣专人进行安全巡检工作,实施全面监控工作。
4结语
综上所述,在火力发电厂信息安全体系的构建过程中,应明确当前信息系统运行中存在的安全威胁,实施有效的安全防范措施,保障信息管理系统的正常运行。应从技术、组织和管理等方面进行具体分析,建立健全的安全技术体系,制定完善的安全管理制度,优化安全监控组织,保障火力发电厂信息系统的安全运行,推动火力发电厂的可持续发展。
参考文献
[1]郭小诺.火力发电厂一体化监控信息系统的设计与应用[J].中国新技术新产品,2017(20):30-31.
[2]朱晓琴.火力发电厂一体化监控信息系统的设计与应用[J].贵州电力技术,2013,16(8):19-21.
保障信息安全的措施范文6
随着信息安全技术的不断发展深化,单纯的层次化方法已经不能适应新的安全形势,必须以体系化思想重新定义纵深防御,形成一个纵深的、动态的安全保障框架,亦即纵深防御体系。纵深防御体系是一种信息安全防护系统设计方法论,其基本思想是综合治理,它以信息安全为中心,以多层面安全手段为基础,以流程化管控为抓手,以贯穿信息系统的生命周期为管理范畴,采用等级化的思想,最终形成手段纵深、级别纵深、流程纵深的防御与保障体系,以等级化为原则等级保护作为国家信息安全的一项制度,为关系到国计民生的各类重大信息系统的安全防护提供了指导思路。等级保护的主体思想在于等级化和差异化,即为不同等级的保护对象提供合理的防护措施。纵深防御体系的建设,不能是防护设施和防护手段的一味堆砌,而是要以等级化为指导思想,充分考虑防护目标的等级特征,在防控框架、控制流程、生命周期管理等各个方面,都需要划分相应的等级,以等级特征为基础,提供合理的防护。没有等级标的的防护是盲目的,不仅浪费大量的人力物力,而且还会导致安全措施、手段脱离需求,造成防护手段不到位。以信息安全为中心信息是业务系统的产物,是各项业务的最终承载者。诸多单位、人员、系统进行的各项工作,其价值都体现在信息上,可以说信息是业务系统的核心所在。因此信息的安全是纵深防御体系的中心,保障信息安全也是纵深防御体系实施的最终目的。纵深防御体系建设必须围绕信息安全保障展开。以多层次安全手段为基础为实现信息安全,必须从4个层面加以控制防护:法律、规范、标准、制度,安全管理,物理安全,网络安全,系统安全,应用安全以及信息安全。信息安全包括了保护信息的保密性、完整性、可用性、不可否认性等安全属性的各类防护措施;应用安全包括计算机硬件、软件、数据库、操作系统安全等,以提供安全可靠的计算机系统作为保障。网络安全包括身份认证、访问控制、防病毒、数据传输的加解密等等,以提供安全的网络环境。物理安全是各类逻辑防护手段的基础,物理环境不安全,其他逻辑防护的安全性也无从谈起。这一系列的防护手段,都需要进行统一的管理,才能协调一致,才能保证防护的有效性。而管理的实施和技术方法手段的管理、部署以及运行管理都需要政策、规程、操作和组织架构等方面构成的政策框架来支撑和维护。这七个层面形成的控制框架是纵深防御体系的基础。
以流程化管控为抓手安全防护与管理一定是动态过程,再稳固的静态防护措施,最终都会在新型漏洞和威胁下土崩瓦解。因此,纵深防御体系的实施必须要实施流程化管控,其中包括四个阶段:防护、感知、决策和响应,并不断循环往复。防护是指对网络设备、业务系统、信息等采取的各类防护手段,即按照控制框架实施的防护措施。感知主要完成对网络中各类安全事件的监控,包括对网络空间的网络行为、网络资源状态、用户行为、网络流量、设备状态和系统脆弱的感知等。决策为安全事件的处理提供评判依据,包括了对防护对象和防护措施的等级划分和管理、安全事件的关联分析、安全风险评估、安全事件预警等。响应则完成对安全事件的处理过程,包括应急措施、灾难恢复、网络阻断、病毒删除、系统加固等措施。通过流程化管控的不断循环重复,及时调整安全防护策略,保证了安全防护系统防护效能的不断提升。以信息系统的生命周期为管理范畴信息系统的生命周期包括设计、建设、运行以及终止四个阶段。之所以出现信息系统建设和安全防护系统建设“两张皮”的情况,主要原因是在信息系统设计过程中,没有充分考虑安全防护需求,导致后期的安全防护手段只能在信息系统的修修补补,不能起到合理的防护作用。另外,由于日常防护管理只注重系统运行时的管理,而在系统终止后疏于监管,由此导致的信息丢失现象也日益严重。因此,为避免信息失控,纵深防御体系必须涵盖信息系统的生命周期全过程。在设计过程中,充分进行风险分析,紧密贴合安全防护需求,设计信息安全防护系统。在建设阶段,信息系统与安全防护系统同步建设,避免安全防护系统与信息系统的整体业务需求脱节。在运行阶段,实施安全防护,并依据信息系统的新变化,及时调整安全策略和安全配置。在信息系统终止阶段,应该具有完善的系统注销制度和管理规范,保证在系统中残留的有用信息不外泄,进而从信息系统的整个生命周期保证信息安全。总之,纵深防御体系并不是传统意义上的防护位置的纵深,也不是网络协议层次的纵深,而是深人贯彻等级化保护的思想,在信息系统的整个生命周期,采用合理化的防护和管理控制框架,实施不断循环的流程化管控,进而形成一体化的、动态的防护与保障框架,提供合理、有效的信息安全保护。纵深防御体系需要强调人的管理通常情况下,信息安全系统的实施具有三个层次。最低层次是技术手段建设。在这个阶段,主要以防护手段建设为主,部署防火墙,采用加密传输,实施身份认证、授权等等,这些技术手段都以消除某种特定威胁为主要目标,具有很强的局限性。第二层次为安全管理。经过第一阶段的手段建设,使每一种风险都有相应的措施应对,但是过多的手段带来的就是管理上的问题。
诸多防护系统的升级、维护和管理,成为维护人员的噩梦。各个防护措施间的协调配置也给维护人员提出了很高的挑战。保护对象是否安全已不是防护措施是否得当的简单问题,维护人员的负责程度、能力高低成为决定防护措施是否成功的关键,而这些因素是极不稳定的,迫切需要统一的安全管理规范、流程、措施来规范系统维护人员的操作,并建立管理系统来协助维护人员完成各项工作,确保实现稳定、有效的安全防护。第三层次为人的管理。技术上的问题一定是可以解决的,但人的问题是一个复杂问题,人是信息安全领域最不安全的因素。即便是制定了严格的规章制度,建立了全面、稳定的安全防护体系,如果人不遵守这些制度,违规操作或者无意行为,都可能绕过防护体系。在这种情况下,整个安全防护系统就像是马其诺防线一样形同虚设。因此,要实现纵深防御,必须强调对人员的管理。规范员工的安全操作行为,加强员工的安全意识培训,提升员工对安全的认识高度,从意识形态领域提高信息安全防护的强度。这不仅要求单位个体的努力,还需要全社会的共同努力,为我们的网络安全提供一个良好的人文环境。
作者:安辉耀 张鹏
