信息系統(tǒng)安全管理論文淺談網(wǎng)絡與重要信息系統(tǒng)安全管理.doc_第1頁
信息系統(tǒng)安全管理論文淺談網(wǎng)絡與重要信息系統(tǒng)安全管理.doc_第2頁
信息系統(tǒng)安全管理論文淺談網(wǎng)絡與重要信息系統(tǒng)安全管理.doc_第3頁
信息系統(tǒng)安全管理論文淺談網(wǎng)絡與重要信息系統(tǒng)安全管理.doc_第4頁
信息系統(tǒng)安全管理論文淺談網(wǎng)絡與重要信息系統(tǒng)安全管理.doc_第5頁
已閱讀5頁,還剩2頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權,請進行舉報或認領

文檔簡介

信息系統(tǒng)安全管理論文:淺談網(wǎng)絡與重要信息系統(tǒng)安全管理摘要:介紹了電力企業(yè)信息化的應用情況,通過對電力企業(yè)網(wǎng)絡與重要信息系統(tǒng)安全大檢查,找出了一些主要弱點,分析了問題的成因,提出了一系列切實可行的建議和方法。關鍵詞:電力企業(yè)信息化;網(wǎng)絡與重要信息系統(tǒng);安全檢查;安全管理0引言隨著信息技術日新月異的發(fā)展,近些年來,電力企業(yè)在信息化應用方面的要求也在逐步提高,信息網(wǎng)絡覆蓋面也越來越大,網(wǎng)絡的利用率穩(wěn)步提高;利用計算機網(wǎng)絡技術與各重要業(yè)務系統(tǒng)相結合,可以實現(xiàn)無紙辦公,大大地提高了工作效率,如外門戶網(wǎng)站系統(tǒng)、內(nèi)部門戶網(wǎng)站系統(tǒng)、辦公自動化系統(tǒng)、營銷管理系統(tǒng)、配網(wǎng)管理系統(tǒng)、財務管理系統(tǒng)、生產(chǎn)管理系統(tǒng)等。然而,信息化技術帶來便利的同時,各種網(wǎng)絡與信息系統(tǒng)安全問題也逐漸暴露出來,下面針對共性問題做一些探討。1開展網(wǎng)絡與重要信息系統(tǒng)安全大檢查網(wǎng)絡與信息安全檢查具體內(nèi)容包括:基礎網(wǎng)絡與服務器、對外門戶網(wǎng)站、數(shù)據(jù)中心、內(nèi)部辦公系統(tǒng)、營銷管理系統(tǒng)、財務資金管理系統(tǒng)等重點業(yè)務系統(tǒng)的現(xiàn)有安全防護措施、信息安全管理的組織與策略、信息系統(tǒng)安全運行和維護情況。信息安全管理保障檢查點序號檢查內(nèi)容檢查項1安全規(guī)章制度2安全組織與人員管理3資產(chǎn)管理4安全運維管理5信息數(shù)據(jù)安全6應急響應合計2根據(jù)檢查情況得出主要弱點2.1安全管理保障檢查2. 1. 1安全規(guī)章制度主要弱點(1)未制訂信息安全審計管理規(guī)定。(2)未制訂應用系統(tǒng)開發(fā)安全管理規(guī)定。(3)部分單位未制訂關鍵資產(chǎn)的操作審批流程。(4)操作系統(tǒng)、數(shù)據(jù)庫、設備的操作與配置管理不完善。信息安全技術保障檢查點序號檢查內(nèi)容檢查項1服務器操作系統(tǒng)數(shù)據(jù)庫中間件應用系統(tǒng)2網(wǎng)絡設備3安全設備4網(wǎng)站5終端合計自查內(nèi)容和數(shù)量統(tǒng)計序號類別檢查數(shù)量1網(wǎng)絡及安全設備2操作系統(tǒng)3數(shù)據(jù)庫4中間件5網(wǎng)站6應用系統(tǒng)7終端(5)未制訂移動存儲介質(zhì)管理規(guī)定。(6)未制訂信息安全風險評估規(guī)范及實施指南。2. 1. 2安全組織與人員管理主要弱點(1)沒有與信息管理和技術人員簽訂保密協(xié)議。(2)未制訂信息安全的培訓計劃,未定期開展信息安全技術培訓。(3)部分單位未配備專職信息安全管理人員。(4)信息技術人員身兼多職:操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡管理等。2. 1. 3資產(chǎn)管理主要弱點(1)沒有對資產(chǎn)變更進行安全審計。(2)沒有磁盤、光盤、U盤和移動硬盤等存儲介質(zhì)的銷毀記錄。(3)未對設備或應用系統(tǒng)進行上線前的安全測試。2. 1. 4安全運維管理主要弱點(1)未對主機、網(wǎng)絡設備、安全設備、應用系統(tǒng)、數(shù)據(jù)庫進行定期日志審計。(2)未對主機、網(wǎng)絡、應用系統(tǒng)、數(shù)據(jù)庫的用戶與密碼進行定期安全審計。(3)未對終端接入網(wǎng)絡進行準入控制,沒有非法外聯(lián)控制措施。(4)未定期對主機、網(wǎng)絡、應用系統(tǒng)、數(shù)據(jù)庫、終端進行漏洞掃描。(5)沒有用于系統(tǒng)和設備上線測試的網(wǎng)絡測試區(qū)域。(6)沒有對網(wǎng)絡流量進行監(jiān)控。2. 1. 5信息數(shù)據(jù)安全主要弱點(1)未對重要數(shù)據(jù)采取存儲加密或傳輸加密措施。(2)多數(shù)未對信息技術數(shù)據(jù)、資料的登記、使用、報廢進行統(tǒng)一管理。2. 1. 6應急響應管理主要弱點(1)未制訂完整的單項應急預案。(2)未制訂網(wǎng)絡與信息安全應急預案培訓與演練計劃。(3)沒有定期開展應急培訓和演練。2.2安全技術保障檢查2. 2. 1操作系統(tǒng)主要弱點(1)未對登陸密碼的長度和更換時間做出系統(tǒng)配置限制。(2)未做登陸源IP或MAC地址以及用戶捆綁。(3)沒有關閉不必要的端口,沒有停止不必要的服務。(4)沒有定期進行安全漏洞檢測和加固。(5)部分W indows操作系統(tǒng)的服務器管理員的默認帳號名沒有修改。2. 2. 2數(shù)據(jù)庫主要弱點(1)未定期審核數(shù)據(jù)庫用戶的權限,并及時調(diào)整。(2)MS SQLServer數(shù)據(jù)庫中未去掉危險的存儲服務。(3)沒有數(shù)據(jù)庫備份操作規(guī)程。2. 2. 3中間件主要弱點沒有對中間件管理操作進行登陸源限制。2. 2. 4應用系統(tǒng)主要弱點(1)沒有進行上線前的安全檢查。(2)沒有采用安全加密的方式登錄。(3)登陸管理后臺時,多數(shù)未做登陸源限制。(4)沒有定期進行安全檢查。2. 2. 5設備主要弱點(1)未做登陸源限制。(2)未采用安全加密的方式登陸。(3)未啟用日志審計或日志保存時間小于3個月。2. 2. 6網(wǎng)站(內(nèi)、外)主要弱點(1)部分網(wǎng)站沒有備份和冗余能力。(2)部分網(wǎng)站沒有部署防篡改系統(tǒng)。(3)多數(shù)未對登陸網(wǎng)站管理后臺的登陸源做出限制。(4)大部分網(wǎng)站存在SQL注入的隱患。(5)大部分網(wǎng)站沒有文件上傳過濾功能。(6)部分網(wǎng)站沒有日志審計功能。(7)部分網(wǎng)站沒有部署入侵檢測系統(tǒng)。2. 2. 7終端主要弱點(1) 大部分未設置超時鎖屏功能。(2)沒有定期進行安全漏洞掃描。(3)沒有修改默認的系統(tǒng)管理員名。(4)沒有定期修改系統(tǒng)管理員密碼。(5)未關閉不必要的端口。3加強網(wǎng)絡與重要信息系統(tǒng)安全管理的建議通過檢查,識別企業(yè)的信息資產(chǎn)及信息系統(tǒng)安全的弱點,進行風險評估,假定這些風險成為現(xiàn)實時企業(yè)所承受的災難和損失,通過降低風險、避免風險、接受風險等多種風險管理方式,采取整改措施制定企業(yè)信息安全策略。(2) 3.1開展網(wǎng)絡與信息系統(tǒng)安全等級保護定級工作信息安全等級保護制度開始向多種行業(yè)推進,應逐漸認識到,只有良好的安全管理才能有效地解決定級過程中所發(fā)現(xiàn)的安全問題,并且為后續(xù)的信息安全提供長時間的保障。電力企業(yè)根據(jù)信息安全等級保護管理辦法、電力行業(yè)信息系統(tǒng)等級保護定級工作指導意見實施信息安全等級保護工作,綜合考慮信息系統(tǒng)的業(yè)務類型、業(yè)務重要性及物理位置差異等各種因素,全面分析業(yè)務信息安全被破壞時及系統(tǒng)服務安全被破壞時所侵害的客體以及對相應客體的侵害程度,將信息系統(tǒng)分為不同安全保護等級。開展信息安全等級保護工作有利于加強和規(guī)范信息安全等級保護管理,提高信息安全保障能力和水平,保障和促進信息化建設健康發(fā)展。(3) 3.2開展網(wǎng)絡與信息安全綜合防護工作及應急預案(1)嚴格落實機房管理制度,嚴格控制機房人員出入;禁止無關人員進入機房,禁止無關設備接入內(nèi)部網(wǎng)絡和系統(tǒng)。(2)各企業(yè)應統(tǒng)一互聯(lián)網(wǎng)出口通道,內(nèi)部網(wǎng)絡的其他個人計算機不得通過任何方式私自與互聯(lián)網(wǎng)建立網(wǎng)絡通道;對網(wǎng)絡關鍵點進行IDS監(jiān)控,并對策略進行優(yōu)化,重點關注端口掃描、網(wǎng)站漏洞攻擊、郵件發(fā)送等事件;加強防火墻、鏈路優(yōu)化器、IDS及DNS等設備的日志管理與安全審計,做好配置定時備份;加強接入環(huán)節(jié)管理,有效使用防火墻和入侵檢測設備;關閉或刪除不必要的應用、服務、端口和鏈接。(3)嚴格執(zhí)行信息安全“五禁止”規(guī)定。禁止將涉密信息系統(tǒng)接入互聯(lián)網(wǎng)等公共信息網(wǎng)絡;禁止在涉密計算機與非涉密計算機之間交叉使用U盤等移動存儲設備;禁止在沒有防護措施的情況下將公共信息網(wǎng)絡上的數(shù)據(jù)拷貝到涉密信息系統(tǒng);禁止涉密計算機、涉密移動存儲設備與非涉密計算機、非涉密移動存儲設備混用;禁止使用具有無線互聯(lián)功能的設備處理涉密信息。(4)加強重要管理信息系統(tǒng)的安全監(jiān)控和管理。企業(yè)內(nèi)外網(wǎng)站按照有關要求加強系統(tǒng)防護措施,在系統(tǒng)方面關閉不必要的進程和端口,消除程序代碼方面的漏洞,消除程序代碼中的SQL注入和跨站漏洞等代碼漏洞,加強網(wǎng)站發(fā)布信息的審核,加強監(jiān)控,發(fā)現(xiàn)網(wǎng)站被攻擊或被篡改的,馬上啟動應急預案恢復網(wǎng)站系統(tǒng);對重要應用系統(tǒng)(包括營銷管理系統(tǒng)、財務管理系統(tǒng)等),要加強日常監(jiān)控和運維管理,及時做好數(shù)據(jù)的備份工作。(5)加強終端設備的管理,有條件的可實施防病毒、域和桌面管理及PKI/CA管理。對管理信息系統(tǒng)的用戶、口令、補丁等進行仔細的檢查,杜絕弱口令,及時更新和升級。(6)加強企業(yè)員工及網(wǎng)絡管理人員安全意識教育,通過多種形式進行信息安全宣傳和教育,明白違規(guī)操作產(chǎn)生的危害,規(guī)范日常計算機使用操作行為,提高信息安全意識。(7)有針對性地制訂網(wǎng)絡與信息安全應急單項預案,并落實責任到人。應急預案編制完成后,要組織開展應急演練工作。通過演練,總結經(jīng)驗,對預案進行修改與完善,切實提高應急處置能力。(4) 4結束語(5) 網(wǎng)絡與重要信息系

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論