时间:2023-10-23 10:01:40
引言:易发表网凭借丰富的文秘实践,为您精心挑选了九篇企业信息安全要求范例。如需获取更多原创内容,可随时联系我们的客服老师。
由于电力企业以发电、经营电力为主,信息网络安全问题并没有得到足够重视,管理方面存在重技术轻管理的问题,未建立完善的信息安全管理制度,面对上级检查,简单应付,脑子里轻视信息安全,信息安全观念淡薄,这都会增加企业信息系统的安全风险。例如,缺少对企业职工的信息安全教育培训、缺少定期对信息运维人员的安全技能的培训等等,都会严重威胁企业信息网络的安全。电力企业在针对信息系统的应用和信息网络安全两个方面时,更加注重的是前者。以此同时,可能部分职工还存在侥幸心理,忽视了网络安全问题的重要性。
2电力企业网络信息安全管理的有效策略
2.1注重建设基础设施和管理运行环境
需要严格的管理配电室、信息、通信机房等关键性的基础设施,对防水、防火、防盗装置进行合理配备;对电力二次设备安全防护要做到,安全分区、网络专用、横向隔离、纵向认证,生产控制大区与信息管理大区要做好物理强隔离;机房需要安装监控报警设备和动环监测系统;对桌面终端和主机等设备要做好补丁更新,控制权限;在网络安全设备上要做好安全策略;做好流量监测和行为监测;此外,建立设备运行日志,对设备的运行状况进行记录,并且建立操作规程,从而保证信息系统运行的稳定性和安全性。
2.2建立并完善信息安全管理制度
建立健全信息安全管理制度,注重安全管理,确保根据安全管理制度进行操作;做好安全防护记录、制定应急响应预案、系统操作规程、用户应用手册、网络安全规范、管理好口令、落实安全保密要求、人员分工、管理机房建设方案等制度,确保信息系统运行的稳定性和安全性。由内至外,全面的贯彻,实施动态性地管理,持续提高信息安全、优化网络拓扑结构。
2.3注重信息安全反违章督察工作的开展
建立信息安全督察队伍,明确职责,按照信息安全要求,开展定期的督察,发现问题,限期整改。电力企业要对企业信息系统软硬件设施、容灾系统、桌面终端、防护策略等进行定期督查,实现信息安全设备加固和更新,培养信息安全督查专家队伍,交叉互查、发现并解决问题,提高信息系统的安全性。
2.4积极探索电力企业信息安全等级保护
信息安全等级保护指的是,对涉及国计民生的基础信息网络和重要信息系统按照其重要程度及实际安全需求,合理投入,分级进行保护,分类指导,分阶段实施,保障信息系统安全。针对电力企业信息系统,应建立相应的信息安全等级保护机制。技术上分级落实物理安全、网络安全、主机安全、应用安全、数据安全;管理上要建立对应的安全管理制度、设置安全管理机构、做好人员安全管理、系统建设、运维管理。
2.5明确员工信息安全责任,实现企业信息安全文化建设
针对企业的所有员工,关键是明确自己需要担负的安全责任、熟悉有关的安全策略,理解一系列的信息安全要求。针对信息运维人员,需要对信息安全的管理策略进行有效地把握,明确安全评估的策略,准确使用维护技术安全操作;针对管理电力企业信息网络安全的管理人员,关键在于对企业的信息安全管理制度、信息安全体系的组成、信息安全目标的把握和熟悉。以上述作为基础,实现企业信息安全文化的建设。
2.6提升人员的信息安全意识
针对电力企业信息安全而言,员工信息安全意识的提高十分关键。企业需要组织一系列有关的信息安全知识培训,培养员工应用电脑的良好习惯,比如不允许在企业的电脑上使用未加密的存储介质,不应当将无关软件或者是游戏软件安装在终端上,对桌面终端进行强口令设置,以及启用安全组策略,备份关键性的文件等,从而使员工的信息安全意识逐步提高。
3结语
[关键词]信息安全;管理;控制;构建
中图分类号:X922;F272 文献标识码:A 文章编号:1009-914X(2015)42-0081-01
1 企业信息安全的现状
随着企业信息化水平的提升,大多数企业在信息安全建设上逐步添加了上网行为管理、内网安全管理等新的安全设备,但信息安全防护理念还停留在防的阶段,信息安全策略都是在安全事件发生后再补救,导致了企业信息防范的主动性和意识不高,信息安全防护水平已经越来越不适应当今企业IT运维环境和企业发展的需求。
2 企业信息系统安全防护的构建原则
企业信息化安全建设的目标是在保障企业数字化成果的安全性和可靠性。在构建企业信息安全体系时应该遵循以下几个原则:
2.1 建立企业完善的信息化安全管理体系
企业信息安全管理体系首先要建立完善的组织架构、制定信息安全管理规范,来保障信息安全制度的落实以及企业信息化安全体系的不断完善。基本企业信息安全管理过程包括:分析企业数字化资产评估和风险分析、规划信息系统动态安全模型、建立可靠严谨的执行策略、选用安全可靠的的防护产品等。
2.2 提高企业员工自身的信息安全防范意识
在企业信息化系统安全管理中,防护设备和防护策略只是其中的一部分,企业员工的行为也是维护企业数字化成果不可忽略的组成。所以企业在实施信息化安全管理时,绝对不能忽视对人的行为规范和绩效管理。在企业实施企业信息安全前,应制定企业员工信息安全行为规范,有效地实现企业信息系统和数字化成果的安全、可靠、稳定运行,保证企业信息安全。其次阶段递进的培训信息安全人才也是保障企业数字化成果的重要措施。企业对员工进行逐次的安全培训,强化企业员工对信息安全的概念,提升员工的安全意识。使员工的行为符合整个企业信息安全的防范要求。
2.3 及时优化更新企业信息安全防护技术
当企业对自身信息安全做出了一套整体完善的防护规划时,就应当考虑采用何种安全防护技术来支撑整个信息安全防护体系。对于安全防护技术来说可以分为身份识别、网络隔离、网络安全扫描、实时监控与入侵发现、安全备份恢复等。比如身份识别的目的在于防止非企业人员访问企业资源,并且可以根据员工级别分配人员访问权限,达到企业敏感信息的安全保障。
3 企业信息安全体系部署的建议
根据企业信息安全建设架构,在满足终端安全、网络安全、应用安全、数据安全等安全防护体系时,我们需要重点关注以下几个方面:
3.1 实施终端安全,规范终端用户行为
在企业信息安全事件中,数字化成果泄漏是属于危害最为严重的一种行为。企业信息安全体系建立前,企业员工对自己的个人行为不规范,造成了员工可以通过很多方式实现信息外漏。比如通过U盘等存储介质拷贝或者通过聊天软件传递企业的核心数字化成果。对于这类高危的行为,我们在建设安全防护体系时,仅仅靠上网行为管理控制是不能完全杜绝的。应该当用户接入企业信息化平台前,就对用户的终端系统进行安全规范检查,符合企业制定的终端安全要求后再接入企业内网。同时配合上网行为管理的策略对员工的上网行为进行审计,使得企业员工的操作行为符合企业制定的上网行为规范,从终端用户提升企业的防护水平。
3.2 建设安全完善的VPN接入平台
企业在信息化建设中,考虑总部和分支机构的信息化需要,必然会采用VPN方式来解决企业的需求。不论是采用SSL VPN还是IPSecVPN,VPN加密传输都是通用的选择。对于分支机构可以考虑专用的VPN设备和总部进行IPSec连接,这种方式更安全可靠稳定。对于移动终端的接入可以考虑SSL VPN方式。在这种情况下,就必须做好对于移动终端的身份认证识别。其实我们在设备采购时,可以要求设备商做好多种接入方式的需求,并且帮助企业搭建认证方式。这将有利于企业日常维护,提升企业信息系统的VPN接入水平。
3.3 优化企业网络的隔离性和控制性
在规划企业网络安全边际时,要面对多个部门和分支结构,合理的规划安全网络边际将是关键。企业的网络体系可以分为:物理层;数据链路层;网络层;传输层;会话层;表示层;应用层。各体系之间的相互隔离和访问策略是防止企业信息安全风险的重要环节。在企业多样化网络环境的背景下,根据企业安全优先级及面临的风险程度,做出适合企业信息安全的防护策略和访问控制策略。根据相应防护设备进行深层次的安全防护,真正实现OSI的L2~L7层的安全防护。
3.4 实现企业信息安全防护体系的统一管理
为企业信息安全构建统一的安全防护体系,重要的优势就是能实现对全网安全设备及安全事件的统一管理,做到对整个网络安全事件的“可视、可控和可管”。企业采购的各种安全设备工作时会产生大量的安全日志,如果单靠相关人员的识别日志既费时效率又低。而且不同安全厂商的日志报表还存在很大差异。所以当安全事件发生时,企业管理员很难实现对信息安全的统一分析和管理。所以在企业在构建信息安全体系时,就必须要考虑安全设备日志之间的统一化,设定相应的访问控制和安全策略实现日志的归类分析。这样才能做到对全网安全事件的“可视、可控和可管”。
4 结束语
信息安全的主要内容就是保护企业的数字化成果的安全和完整。企业在实施信息安全防护过程中是一个长期的持续的工作。我们需要在前期做好详尽的安全防护规划,实施过程中根据不断出现的情况及时调整安全策略和访问控制,保证备份数据的安全性可靠性。同时全体企业员工一起遵守企业制定的信息安全防护管理规定,这样才能为企业的信息安全提供生命力和主动性,真正为企业的核心业务提供安全保障。
参考文献
[1] 段永红.如何构建企业信息安全体系[J]. 科技视界,2012,16:179-180.
[2] 于雷.企业信息安全体系构建[J].科技与企业,2011,08:69.
[3] 彭佩,张婕,李红梅. 企业信息安全立体防护体系构建及运行[J].现代电子技术,2014,12:42-45+48.
[4] 刘小发,李良,严海涛.基于企业网络的信息安全体系构建策略探讨[J]. 邮电设计技术,2013,12:25-28.
[5] 白雪祺,张锐锋. 浅析企业信息系统安全体系建设[J].管理观察,2014,27:81-83.
【关键词】 供电 网络终端 计算机 信息安全
1 信息网络安全面临形势
所谓信息安全是一个广泛而抽象的概念,建立在网络基础之上的现代信息系统,其安全定义较为明确,那就是:保护信息系统的硬件、软件及相关数据,使之不因为偶然或者恶意侵犯而遭受破坏、更改及泄露,保证信息系统能够连续、可靠、正常地运行。
在电力企业,信息安全主要强调的是消减并控制风险,保持电力生产经营业务操作的连续性,并将风险造成的损失和影响降低到最低程度。
供电企业信息化的快速发展特别SG-ERP系统的实施,为工作带来便利的同时也带来了极大的安全风险,统一坚强智能电网的建设和“三集五大”体系的建设对信息安全提出了更高的要求。
2 信息网络桌面终端存在的安全隐患和风险分析
供电企业经过多年的信息安全建设,已建成了“双网双机、分区分域、等级防护、多层防御”的信息安全防护总体架构,网络隔离及网络横纵向边界的信息安全防护措施已日趋完善。由于网络用户人员数量庞大、情况复杂、分布广泛等问题的存在,信息安全的防护重点逐渐从网络层面向终端用户计算机层面转移。
涉及信息网络终端计算机的常见威胁、隐患和风险主要包括:恶意访问、信息泄露、破坏信息的完整性、非法使用、窃听、业务流分析、内部攻击、特洛伊木马、陷阱门、抵赖、电脑病毒、业务欺骗等。
上述风险对于供电企业信息安全产生巨大威胁,任何一台网络终端计算机出现信息风险漏洞,将直接波及到整个网络的信息安全,已经采取的网络边界、数据审计等防护措施将形同虚设,黑客或恶意破坏者就能轻而易举绕过所有安全防护、长驱直入、大肆破坏,对供电企业内部应用系统安全、网络安全、数据安全和生产经营业务造成不可估量的损失。
3 网络桌面终端信息安全防范措施
3.1 信息安全防范重在管理
由于网络终端计算机分布的复杂性可知,在当前的新形势下,信息安全并不仅仅是信息专业管理部门和运行维护单位要面对的问题,因此,全面加强信息安全管理是确保信息安全的首要解决措施。
(1)建章立制,规范信息安全全过程管理。针对信息网络和终端安全风险,针对性地制定《信息安全管理规定》等规章制度,固化信息安全管理工作流程,建立网络终端接入-调整-拆除-报废的全过程控制体系,遵循“谁主管谁负责、谁运行谁负责、谁使用谁负责”原则,将信息安全责任和压力层层下放,可以有效促进信息安全标准要求的贯彻落实。
(2)强化信息网络运行维护。采取对信息内外网终端计算机的人工抽检和技术巡检方式,定期开展对网络的全面核查,以及时发现安全隐患。高密度检查路由器、交换机等信息网络设备和防火墙、IPS等安全设备的策略配置,确保与业务需求相匹配。
(3)开展信息安全风险评估。作为信息安全保障基础性工作,针对信息系统的潜在威胁、薄弱环节、等级化防护措施、信息内外网隔离措施等进行综合评估分析,有效指导各单位系统地开展信息安全防护体系建设和安全整改加固工作。
(4)严防网络终端计算机违规外联。违规外联是指信息网络及终端计算机设备违反相关规定连接了包括互联网在内的其他网络。具体措施包括:计算机不得使用双网卡、严禁“一机双网”、内网计算机严禁外借、内部计算机统一外修出口、内部网络严禁私设路由器、严禁使用无线上网卡、手机、无线路由器等方式私自接入互联网、严禁任何单位和个人私设任何形式的互联网出口、严禁外来人员使用内部计算机等。
(5)加强宣传培训,将信息安全要求传达到每位终端用户。信息安全并不仅是信息专业部门要面对的问题,如果大家不严格遵守相关的信息安全要求,信息安全事件就可能发生在每个人身上。考虑到网络用户的参培时间不可控的因素,可以采取分层级、多批次培训的方式,将信息安全知识和相关要求层层传达到每位用户。
3.2 充分利用信息安全技术手段
(1)部署桌面终端安全管理软件。桌面终端管理系统是确保桌面终端计算机安全的最有效的技术手段之一,基本功能应包括:内网计算机资产管理、运维管理、非法外联监控、注册基本管理、安全管理、安全监控强审计、网络接入控制、补丁管理、文件分发管理等。通过桌面终端管理系统的部署,可以全面掌控网络终端计算机的安全运行状况,有效提升信息安全管理效率。
(2)实行网络安全准入。综合采用设备监控、隔离检查、网络协议检测等多种技术,通过入网安全审核、账号弱口令检测、桌面管理系统客户端和防病毒软件安装更新检查等,及时保证终端达到安全入网要求。
(3)架设网络版杀毒软件和补丁更新。为了确保杀毒软件安装率100%,确保病毒库和操作系统补丁随时更新,在网络内部架设网络版杀毒软件和补丁更新服务器,以服务器-客户端的方式主动推送病毒库和操作系统、应用系统补丁,及时封堵终端计算机安全漏洞。
(4)利用安全移动存储介质交换数据。应用实施范围界定为接入信息网络的所有计算机设备,在终端计算机上安装安全移动介质系统客户端,通过服务器端平台进行安全策略配置,使终端计算机上的移动介质使用符合相关安全要求,最大程度地封堵通过移动介质非法外传或导入信息的漏洞。
(5)加强网络边界处防火墙、IPS、上网行为审计等系统防护。一方面防范外部网络对于信息内网的安全攻击和恶意入侵,另一方面可以全面核查内网计算机的上网行为,对于敏感信息、发送敏感邮件等违规行为予以自动阻断。
4 结语
随着信息技术的飞速发展,影响网络安全的各种因素也会不断变化,网络安全不仅仅是技术问题,同时也是一个安全管理问题,是一个动态发展变化的过程,不是一劳永逸的,也不可能一蹴而就,这就要求每位终端计算机设备使用人员要在日常工作中时刻牢记信息安全,杜绝安全隐患,严格遵守信息安全规定,共同维护信息网络和终端计算机的安全稳定运行。
参考文献:
[1]邵波,王其和.计算机网络安全技术及应用[M].北京:电子工业出版社,2005.
一、运用系统的思想和方法,查找信息安全管理的“短扳”
随着企业信息化的快速发展,信息安全管理工作显得相对滞后。管理思想和方法落后。过去基本上是参照电网安全管理一些传统做法,没有体现信息化特点和要求,越来越不适应信息系统的快速发展和变革;管理不够全面。以往只考虑硬件、软件,忽视了人、数据和文档、服务、无形资产等重要对象,对外来人员也缺乏有效的识别管理;管理制度不够系统。以前虽然制订了较多的制度和标准,当信息化发展到一定程度,这些制度就显得很单薄,就事论事的管理方式必然会产生安全管理的盲区,有些制度内容重复、交叉、不一致,有些制度不切实际,往往束之高阁;风险评估不够科学。以往的信息风险评估不够系统,主观性过强,缺乏综合平衡,抓不住重点,或过度保护,或产生管理死角,事后控制多,事前预控少,不能涵盖信息系统的生命周期。
上述情形是企业在信息化建设中普遍感觉到的问题。随着科学技术的进步,企业信息运行管理模式也发生了巨大的变化,为企业采用先进管理方式、建立信息安全管理体系打下了扎实的基础。为此,嘉兴电力局根据国际上信息安全管理的最佳实践,结合供电企业的实际,从信息安全风险评估管理入手,贯彻ISO/IEC27001:**信息安全管理标准,建立了信息安全管理体系。通过体系有效运作,达到了供电企业信息安全管理“预控、能控、可控、在控”的目的。
二、从资产识别入手,搞好信息安全风险评估
按《信息安全风险评估控制程序》,对所有的资产进行了列表识别,并识别了资产的所有者。这些资产包括硬件与设施、软件与系统、数据与文档、服务及人力资源。对每一项资产按自身价值、信息分类、保密性、完整性、法律法规符合性要求进行了量化赋值。在风险评估中,共识别资产2810项,其中确定的重要资产总数为312项,形成了《重要资产清单》。
图1.《重要信息资产按部门分布图》
对重要的信息资产,由资产的所有者(归口管理部门)对其可能遭受的威胁及自身的薄弱点进行识别,并对威胁利用薄弱点发生安全事件的可能性以及潜在影响进行了赋值分析,确定风险等级和可接受程度,形成了《重要资产风险评估表》。针对每一项威胁、薄弱点,对资产造成的影响,考虑现有的控制措施,判定措施失效发生的可能性,计算风险等级,判断风险为可接受的还是需要处理的。根据风险评估的结果,形成风险处理计划。对于信息安全风险,应考虑控制措施与费用的平衡原则,选用适当的措施,确定是接受风险、避免风险,还是转移风险。
嘉兴电力局经过风险评估,确定了不可接受风险84项,其中硬件和设施52项,软件和系统0项,文档和数据8项,服务0项,人力资源24项。
根据风险评估的结果,对可接受风险,保持原有的控制措施,同时按ISO/IEC17799:**《信息技术-安全技术-信息安全管理实施细则》和系统应用的要求,对控制措施进行完善。针对不可接受风险,由各部门制定了相应的安全控制措施。制订控制措施主要考虑了风险评估的结果、管理与技术上的可行性、法律法规的要求,以期达到风险降低的目的。控制措施的实施将从避免风险、降低风险、转移风险等方面,将风险降低到可接受的水平。
图2.《各类不可接受风险按系统分布图》。
三、按照ISO标准要求,建立信息安全管理体系
嘉兴电力局在涉及生产、经营、服务和日常管理活动的信息系统,按ISO/IEC27001:**《信息技术-安全技术-信息安全管理体系要求》规定,参照ISO/IEC17799:**《信息技术-安全技术-信息安全管理实施细则》,建立信息安全管理体系,简称ISMS。确定信息安全管理体系覆盖范围,主要是根据业务特征、组织结构、地理位置、资产分布情况,涉及电力生产、营销、服务和日常管理的40个重要信息系统。信息安全管理的方针是:“全面、完整、务实、有效。”
为实现信息安全管理体系方针,嘉兴电力局在各层次建立完整的信息安全管理组织机构,确定信息安全目标和控制措施,明确信息安全的管理职责;识别并满足适用法律、法规和相关方信息安全要求;定期进行信息安全风险评估,采取纠正预防措施,保证体系的持续有效性;采用先进有效的设施和技术,处理、传递、储存和保护各类信息,实现信息共享;对全体员工进行持续的信息安全教育和培训,不断增强员工的信息安全意识和能力;制定并保持完善的业务连续性计划,实现可持续发展。按照信息安全管理方针的要求,制订的信息安全管理目标是:2级以上信息安全事件为0;不发生信息系统的中断、数据的丢失、敏感信息的泄密;不发生导致供电中断的信息事故;减少有关的法律风险。
嘉兴电力局根据风险评估的结果、企业的系统现状和管理现状,按照ISO/IEC27001:**标准要求,整合原有的企业信息安全管理标准、规章制度,形成了科学、严密的信息安全管理体系文件框架,包括信息安全管理手册;《信息安全风险评估管理程序》、《业务持续性管理程序》等53个程序文件,制定了16个支撑性作业文件。
四、运用过程方法,实施信息安全管理体系
在信息安全管理过程中,重点是抓好人员安全、风险评估、信息安全事件、保持业务持续性等重要环节,采取明确职责、动态检查、严格考核等措施,使信息安全走上常态管理之路。
图3:信息安全管理体系实施过程
重视信息系统安全管理。因为信息系统支撑着企业的各项业务,信息安全管理体系实施涵盖信息系统的生命周期,表现在信息系统的软(硬)件购置、设备安装、软件开发和系统测试、上线、系统(权限)变更等方面,严格执行体系的相关控制程序。
强化人员安全管理。在劳动合同、岗位说明书中,明确员工信息安全职责。特殊岗位的人员规定特别的安全责任,对信息关键岗位实行备案制度。对岗位调动或离职人员,及时调整安全职责和权限。定期对员工进行信息安全教育和技能培训、比武、考试。
某企业信息中心(以下简称信息中心)负责全国各机构的信息化总体工作,同时,也是信息安全等级保护的重点执行部门,通过多年建设,信息中心在IT资产管理、监控平台整合等方面已取得了较大成绩,基础平台已经投入运行。
随着信息中心信息安全管理成熟度的提升,风险评估、安全策略建设,信息安全等级保护实施等相关工作陆续开展,迫切需要一个处于管理层面的信息安全工作平台,满足信息中心各职能部门从信息安全要求、策略应答、到实施信息安全建设的需要,并且支持以风险为核心,通过评估、检查,审计提高信息中心信息安全的防御能力。
神州泰岳Ultra―SCM信息安全工作管理平台是一个构架于基础信息平台(服务台系统、集中监控系统)之上,满足信息安全职能管理要求,符合信息安全管理模型的一个信息化工作平台。
该平台在充分调研某信息中心安全管理现状的基础上,采取业务建模的方式完成平台的架构设计。根据业务模型,信息安全管理工作平台从业务功能上分解为五大模块:安全要求管理、策略管理、评估与审计,风险管理、信息安全知识库。
整个平台围绕一条主线来实现,通过策略应答的方式实现安全要求(需求),以风险管理提高信息安全策略应答的针对性和目的性,以检测和审计验证安全策略实施效果。
为适应不同阶段管理成熟度的需求,平台需满足以下三类应用场景。首先它是一个学习平台。建立信息安全要求、标准、策略、实践参考等信息的知识库,供平台使用者学习用。
其次是基础工作平台。作为信息中心各专业部门的安全工作台,实现信息安全要求、标准引入管理,进行职责分工,实施策略应答,对安全策略执行情况进行评估和审计,检测安全检测效果。即支持信息安全的正向建设实施。
最后是职能管理和全面风险管理。从外部信息安全要求、标准出发,实施差距性风险评估,以风险为核心实施管控,促进信息安全策略的完善,推动信息安全建设。
通过本平台的建设,为信息中心各职能部门提供了一个信息安全学习交流平台,用户可以获得大量信息安全知识,同时能够通过这个平台将工作中的经验和知识进行共享;通过对信息安全等级保护要求、信息中心内部信息安全制度的引入管理,安全策略的应答,制定和实施,保障了依赖于信息系统的业务安全有效运行。
通过引入风险评估和审计方法,规范了信息中心风险评估和审计活动,有效的识别了当前存在的和潜在可能存在的风险,并制定风险控制措施,降低了风险对业务系统可能产生的影响,同时,通过审计活动验证信息安全工作的落实情况,督促对不符合信息安全规定的内容进行改进,逐步提升信息中心信息安全建设的有序运行。
讯鸟,呼叫中心系统专家
北京讯鸟软件有限公司创立于2001年,是专业的呼叫中心系统和服务提供商。主要业务包括呼叫中心系统建设,呼叫中心在线托管与呼叫中心服务外包等。
通过技术和服务帮助企业实现与客户的互动式沟通,开发最大的价值潜能是讯鸟多年以来孜孜以求的目标。通过讯鸟的技术,呼叫中心这样一个原本只有政府及机构和大型企业才有实力采用的奢侈品也可为广大迫切需要提升与客服互动能力及服务水平的中小企业所采用。
在转型中成长
从2001年进入呼叫中心行业以来,讯鸟就秉承着创新开拓的精神,不断壮大自己的实力,调整行业定位,谋求更大的行业话语权和影响力,其自身角色也经历了几个转变。7年来,讯鸟从呼叫中心应用集成商到呼叫中心中间件提供商,再到呼叫中心运营商和软件供应商,不断拓展着新的发展空间,同时也在引领呼叫中心的一个个新时代。
2001年讯鸟公司成立之初,主做呼叫中心应用集成。但在整个呼叫中心解决方案生态链上,应用集成的核心价值太低,且缺乏掌控力。讯鸟需要一个更有挑战和控制力的角色。公司创始人吴益民果断做出决定:改走呼叫中心中间件这条路。讯鸟的第一次成功转型,为讯鸟今后的发展奠定了扎实的基础。2002年,讯鸟成功研发出CTI产品,并成功签约阿里巴巴、艺龙等客户,取得了不错的市场业绩。2006年公司历经2年多研发的Disco系统正式上线,成功应用于中国大都会人寿保险公司、广东烟草公司,获得客户充分肯定。
讯鸟公司将呼叫中心基本功能和多年成功经验融合在一起,创造出呼叫中心标准化组件。并通过少量的定制开发(包括界面交互展示、客户流程设计、业务接口配合)与其完美结合。在专注呼叫中心领域的同时,讯鸟更重视用户的应用体验和应用价值的开发。追求帮助客户实现最大范围的多元化交互方式,创造突破时空、可控可管的有效沟通工具。
呼叫中心的“多面手”
讯鸟拥有强大的自主研发能力,多主体协同技术、软交换技术、基于广域网的IP语音传输协议和压缩算法,基于关键字搜索的呼叫中心服务系统及方法,面向呼叫中心的电话信号音检测方法及其系统等多项技术都处于国际领先水平。
传统的呼叫中心集成式建设模式是建立在多个来自不同厂家的松散组合而形成的松散体系,难以做到整个体系在更深程度上的高效整合与紧密协同,而工程式的维护与服务模式也让呼叫中心用户吃尽了服务与维护的苦头。
创新一体化呼叫中心系统
讯鸟软件凭借多年呼叫中心行业的经验与技术积累,提出了“整体化呼叫中心系统”的建设模式。讯鸟认为呼叫中心是一个企业与客户保持紧密联系的互动沟通枢纽,它是一个将人员、过程、技术和战略统一协调的综合系统,是公司大规模组织内部资源,开展规模化服务的战略业务中枢,是一个能够随着公司业务柔性发展、灵活分布,高效运作的核心系统。
整体化呼叫中心系统不再是由多个厂家的产品拼凑而成,而是以通过完善的标准化软件模块,搭建在相应硬件上的一个整体,并根据客户的需求进行相应的定制开发。在此基础上,讯鸟软件为客户提供从选择到使用的全面服务。讯鸟呼叫中心的模块化功能是根据多年经验,将行业中不同客户的普遍需求进行整理研发而成。
发扬传统交换机呼叫中心系统
讯鸟软件基于交换机的呼叫中心系统,是为企业提供的一套独立运营的呼叫中心系统。运用先进的CTI技术,将电话程控交换机、CTI中间件与计算机系统有机 的结合在一起,通过最佳的设计器,生成器和客户信息系统,自始至终地对电子化的客户交互进行跟踪和管理,满日益复杂的客户交互需求。
阿里巴巴呼叫中心是由讯鸟公司参与建设的,其呼叫中心主要负责阿里巴巴旗下诚信通,淘宝、支付宝、口碑网等电子商务交易的主动销售和客户服务。该客服中心的规模在国内位居前列。整个呼叫中心以杭州作为中心点,已建成北京、杭州、上海、成都、广州,青岛六个地区共9个分支点。整个呼叫中心集中控制的方式实现中继分散接入,座席分散与集中相结合。该项目充分考虑了交换机、网络或其他故障。通过采用远端交换机再生功能和讯鸟产品独有的多机热备系统,保证了该客服中心7×24小时不间断运行的要求。
IP呼叫中心系统
讯鸟IP呼叫中心系统采用先进的互联网技术,颠覆传统呼叫中心的模式,给所有具备宽带上网的客户提供一个不受时间。空间限制的可控可管的新型呼叫中心系统。企业用户除享受传统呼叫中心的各种功能外,还可以根据自己的业务应用、办公地点,任意部署固定座席、移动座席、手机座席,并通过报表等手段集中管理座席。讯鸟IP呼叫中心系统即提供对Web用户的服务,用户不仅可通过电话拨打,也可以通过因特网呼叫,直接和座席进行文字、语音交流,全面拓宽了企业和客户之间的交流通道。
让呼叫中心进入“平民时代”
2008年年初,讯鸟软件正式推出命名为“启通宝”的呼叫中心租赁运营业务,面向电子商务类企业开展呼叫中心出租业务。针对网商客户的需求与特点,企通宝推出了全托管运营的模式,客户可以按月按座席来租用呼叫中心系统,只需要配备人员和电脑就可以快速组建自己的呼叫中心。
该产品是讯鸟自主研发的全球领先的集散服务统一通信系统。即利用P2P技术、多主体无中心点分布处理技术、无上限堆叠式服务器和无总线技术,攻克了针对因特网的语音质量技术难关,在实现传统lP联络中心所有功能的基础上,还具有无瓶颈规模扩容、在线容错容灾、基于Web的DIY配置,基于Web运营、异地部署灵活分布等特点,可满足用户的多种需求。简单说,讯鸟启通宝让昂贵的呼叫中心进入了“平民时代”,只要具备因特网,拥有普通电脑和耳麦,就可以实现呼叫中心的所有功能。
讯鸟的SaaS型呼叫中心座席数量没有上限,可以服务上亿级的客户群。启通宝座席可多可少、增减灵活,一处多点和异地分布办公,都可轻松应对。对广大中小企业而言,此产品更是带来了一次商业模式和运营管理上的变革,“电子商务+呼叫中心”的商业模式为处在金融风暴风雨飘摇中的中小企业带去了度过难关的有效方案。
现在,启通宝已在全国拥有300多家企业用户。2009年1月,功能更加强大的启通宝2.0即将面世。
关键词:信息安全;管理体系;PKI/CA;MPLSVPN;基线
在供电企业现代信息技术广泛运用生产经营、综合管理之中,实现资源和信息共享,为领导提供相关辅助决策。保障企业信息安全是企业领导层、专业人员及企业全员共同面对的。信息安全是集管理、人员、设备、技术为一体系统工程,木桶原理可以很好地诠释信息安全,一个企业安全不取决于最强项,而取决最短板。信息安全需从制度建设、体系架构、一体化防控体系、人员意识、专业人员技术水平等多方面共同建设,才能有效提高企业信息安全,才能为企业生产、经营保驾护航。
1基层供电信息安全现状
基层供电企业信息安全建设方面,在制度建设、安全分区、网络架构、一体化防护、人员意识、专业人员技术水平等多方面存在不同程度问题。
1.1管理制度不健全,制度多重化
信息安全制度建设方面较为被动,大多数都是现实之中出现某一问题,然后一个相关制度,制度修修补补。同一类问题有时出现不同管理规定里,处理办法不一,甚至发生冲突。原有信息安全管理制度宽泛,操作性较差。信息系统建设渠道不同,未提前进行信息安全方面考虑,管理职责不明,导致部分信息安全工作开始不顺畅。
1.2安全区域划分不明,网络架构不清晰
基层供电企业系统建设主要由上级推广系统和自建系统,系统建设时候相当部分系统未充分考虑系统,特别是业务部门自建系统更甚。网络建设需要什么就连接什么,存在服务器、终端、外联区域不明显,网络架构不清晰。
1.3未建立一体化安全防护体系
从近些年已经发生的各类信息安全事件来看,内部客户端问题造成超过将近70%。内部终端用户网络行为控制不足,存在网络带宽滥用;终端接入没有相应准入控制,不满足网络安全需求用户接入办公网络,网络环境安全构成极大风险;内部人员对核心服务器和网络设备未建立统一内部控制机制;移动介质未实施注册制管理等问题。
1.4未建立行之有效设备基线标准
网络安全设备、操作系统、数据库、中间件、应用系统等厂家为了某种方便需求,在设备和系统中常常保留有默认缺省安全配置项,这些恰恰是别人利用漏洞。基层供电企业在部署设备和系统时,没有统一基线标准,没有对设备和系统进行相应基线加固,企业存在潜在风险。1.5信息安全意识较差,技术水平参差不齐企业信息安全认识存在认识上误区,常常认为我们有较强信息安全保护设备,外部不易攻破内部,事实上堡垒常常是从内部攻破的。比如企业员工弱口令、甚至空口令、共用相同密码、木马、病毒、企业机密泄露等,这恰恰是基层供电企业全员信息安全意识较为薄弱表现。专业技术人员缺乏必要自我学习和知识主动更新,未取得专门信息安全专业人员资质,处理问题能力表现参差不齐。
2必要性
信息安全为国家安全重要组成部门,电力企业信息安全为国家信息安全的重要元素,电网安全事关国计民生。2014年2月,国家成立中央网络安全和信息化领导小组,将网络信息安全提升前所未有高度。近年发生的“棱镜门”事件,前几年发生伊朗核电站“震网”病毒(Stuxnet病毒)网络攻击,其中一个关键问题就是利用移动介质摆渡来进行攻击,造成设备瘫痪,这一系列信息安全事件都事关国家安全,因此人人都要有信息安全意识。首先要防止企业机密数据(财务、人资、投资、客户等)泄漏;其次,保持数据真实性和完整性,错误的或被篡改的不当信息可能会导致错误的决策或商业机会甚至信誉的丧失;最后,信息的可用性,防止由于人员、流程和技术服务的中断而影响业务的正常运作,业务赖以生存的关键系统如失效,不能得到及时有效恢复,会造成重大损失。建立严格的访问控制,前面数据分级时有制定数据的“所有者”及给敏感数据进行分级,按照分级的要求制定严格的访问控制策略,基本的思想是最小特权原则和权限分离原则。最少特权是给定使用者最低的只需完成其工作任务的权限;权限分离原则是将不同的工作职能分开,只给相关职能有必要让其知道的内容访问权限。通过对内部网络行为的监控可以规范内部的上网行为,提高工作效率,保护企业有限网络资源应用于主要生产经营上来。
3特点探析
通过我们对基层供电企业在信息安全存在问题及必要性来看,主要是管理制度、网络信息安全技术、人员意识等方面存在问题,有以下特点。
3.1管理制度方面
常说信息安全“三方技术、七分管理”,制度建设对信息安全保障至关重要。信息安全管理制度应该有上级主管部门建立一套统一管理制度,基层供电企业遵照执行,可以根据各单位具体情况进一步细化,让管理制度落地。从企业总体信息安全方针到具体专业制度管理上,实现全网一体化,规范化。
3.2网络信息安全技术方面
上级专业主管部门,站在企业高度,制定专业技术标准和技术细则。从网络安全分区、网络技术架构、互联网接入和访问方式、终端安全管理、网络准入控制等方面统一规划,分布实施,最终实现企业网络信息安全防控一体化。
3.3信息安全意识培养方面
企业员工信息安全意识培养是个长期的过程,不是通过一次两次培训就能解决的,采取形式多样化方式来培养员工安全意识,可以通过集中培训讲课、视频宣传、张贴宣传画等方式进行。针对专业人员,要让他们养成按照制度办事习惯,用户需要申请某项资源,严格按照制度执行,填写相应资源申请,有时候领导打招呼也要按照制度流程来执行。长此以往,人人都会知道自己该做什么,不该做什么,该怎么做,企业信息安全意识就会得到极大提高。
3.4专业技术人员水平方面
信息安全技术日新月异,不学习就落后,不断收集信息安全方面信息,共同讨论相关话题,建立相应培训机制,专业人员实行持证上岗,提升专业人员实际解决问题能力,有效提高人员专业素养,成为企业信息安全方面专家。
4实施和开展
从2009年开始,先后进行一系列信息安全建设,涉及到信息安全制度建设、网络信息安全体系架构、信息安全保障服务、人员培训等方面,整体提高基层供电企业信息安全状况。
4.1信息安全制度建设
2010年开始信息安全体系ISO27001、27002建设,结合企业情况,形成30个信息安全相关文件,涵盖企业信息安全方针、等级保护、人员管理、机房管理、网络信息系统运行维护管理、终端安全、病毒防护、介质管理、数据管理、日志管理、教育培训等诸多方面。2013年为进一步提示公司信息化管理水平,先后增加修改建设管理、实用化管理、项目管理、信息安全管理、运维管理、综合管理5个方面14个管理细则。经过这一系列制度建设,基层供电企业有章可循,全网信息安全依据统一,明确短板情况。
4.2建设一体化网络与信息安全防控
首先依据电监会5号文件要求,网络架构按照三层四区原则进行部署建设,生产实时控制大区(Ⅰ、Ⅱ区)与信息管理大区(Ⅲ、Ⅳ区)之间采用国家强制认证单向数据隔离装置进行强制隔离,网络架构采用核心、汇聚、接入部署。网络接入按照功能划分服务器区、网管区、核心交换区、用户办公区、外联区、互联网接入区,在综合数据网上,利用MPLSVPN,根据划分不同VPN业务、隔离相互间数据交叉。建立全网PKI/CA系统,构建企业员工在企业数字身份认证系统,已建成系统进行未采用PKI登陆系统,进行相应改造结合PKI/CA系统,采用PKI登陆,在建系统用户登陆必须集成PKI登陆。根据企业信息安全要求,进行互联网统一出口,部署统一互联网防控设备,建立统一上网行为管理策略,规范员工上网行为,合理使用有限互联网资源,审计员工上网日志,以备不时之需。建立企业统一病毒防护系统,实现病毒软件统一安装,病毒库自动更新,防护策略统一下发,定期统计病毒分布情况,同时作为终端接入内网必备选项,对终端病毒态势比较严重用户进行督促整改,有效防止病毒在企业内部蔓延,进一步进化内网环境。建立统一网络边界安全防护,在企业内网边界合理部署防火墙、IPS、UTM,并将其产生日志发送到统一安全管理平台,进行日志管理分析,展现企业内部信息安全态势,预警企业内部信息安全存在问题。利用AD域或PKI/CA进行用户身份认证,建设统一桌面管理,所有内网用户必须满足最基本防病毒、安全助手、IT监控要求方可接入内网,系统启用强制安全策略,终端采用采用DHCP,用户不能自动修改IP地址,在DHCP服务器上实现IP与MAC地址及人员绑定,杜绝用户私自更换IP地址引起冲突。安全认证方面可以采用NACC或交换机802.1x方式进行,不满足要求用户,自动重定向到指定网站进行安全合规性检查,满足要求后自动接入内网,强制所有用户采用统一网络安全准入规则。实行移动介质注册制,极大提高终端安全性,有效保护企业信息资产。建立内部运维控制机制,实现4A统一安全管理,认证、账号、授权、审计集中管控。规划统一服务器、网络设备资源池,按照用户需求,提交相应申请材料,授权访问特定设备和资源,并对用户访问行为全程记录审计。
5结语
【关键词】信息化 量化 管理 流程
【中图分类号】G647【文献标识码】A【文章编号】1672-5158(2013)02-0349-02
近年来,大部分企业信息化建设已初具规模,信息化基础建设基本到位,信息系统渗透到企业生产经营的各个环节。在新的形势下,如何使信息系统更好、更稳定、更安全运行,提高管理效率,落实有效益的信息化,是企业信息化工作的迫切需求。要实现这一目标,必然要管理与服务相结合,要求企业建立以国际行业标准为依据的较为完善的IT管控体系,提升IT运维服务水平。
企业加强IT管控,目的就是建立一个类似“轮流分粥,分者后取”的规则,明确区分母公司与各子分公司(含控股)、业务部门与IT部门和IT部门内部各岗位的责任、权力、利益。责、权、利分清后,对IT部门的约束力、执行力等会有很大的提高,其中IT管控对于组织工作的健康有序开展起到了重要作用。
一、IT管控对于IT工作的重要意义
1.IT管控能保障IT组织的稳定
有效的IT管控对IT组织的控制最主要是职责分离、合理设岗。要求完善人员管理与控制,能清晰定义IT部门相关岗位,能明显一个人能同时给予多少相关权限,从而清楚规划IT部门必要的岗位人数,最大程度保障IT组织的稳定。
2.IT管控能确保IT工作的有序
IT管控必然要求将建立完善的IT流程体系,制定完备服务目录。信息化部门利用服务台统一接收各种流程输入的表单,根据服务级别协议(SLA)和操作级别协议(OLA),对相关需求或故障,安排不同的技术力量,进行针对性的解决,从而确保了IT工作的有序。
3.IT管控能促使IT工作强度的均匀
信息化日常运维工作量不均衡是因为有较多的突发事件,如信息基础设施故障和信息系统故障等。要使运维工作量比较均衡,就要降低突发事件概率,使忙的时间少下来。IT管控能就是要让“闲”的时间忙起来,要求IT部门各岗位在日常中加强监测,重视巡检,加固系统,防患于未然;同时加强学习和演练,提高处置各种事件的能力。这样,一旦发生突发事件,也可以有条不紊地进行处置,实现信息化日常运维工作的“削峰平谷”,强度均匀。
4.IT管控能确保IT风险的可控
IT风险主要包括IT技术风险和IT项目投资风险。随着业务系统访问、网络应用行为日益频繁,网络被攻击、数据被篡改、设备被入侵和信息被泄密等IT技术风险的压力也日益增大。IT管控提供管理程序、技术和保障措施,确保信息技术服务的可用性,能适当地防御不正当操作、蓄意攻击或自然灾害,并从这些故障中尽快恢复;确保拒绝未经授权的访问。IT管控体系要求IT项目投资必须事先经业务部门和IT部门共同把关,再报公司管理委员会决策,这样能确保IT项目既符合业务需求,又符合IT技术规范,降低了IT投资的风险。万物皆有规律,IT风险防范也是有规律可以把握,良好的IT管控能很好控制IT风险。
二、IT管控在企业信息化中的运用
从行业信息化发展战略出发,从企业自身发展战略出发,作为信息化建设到一定规模的企业,必然要求企业信息化建设的重点则从技术转向管理,要求信息化工作必须精益求精,加强管控,夯实基础,强化运作。
构建完整的IT管控体系是一项复杂的系统工程,涉及到人、硬件、软件,以及管理层面的IT服务管理、风险管理和成本管理多个方面。因此,必须从更高的角度,更宽的视野,更新的理念去构建有效的IT管控体系。
1.选择合适的IT管控模型
现今企业IT管控体系的国际标准,主要有COBIT、ITIL、ISO20000等,选择构建一个既满足企业的业务需要,又能够符合国际标准的IT管控体系,是信息化工作的成功保障。就如笔者,结合企业实际、IT部门现有实际运作流程和知识框架,选择以ITIL主要标准,采取联邦制IT决策方式作为笔者企业的IT管控模型。
(一)IT部门内部运作的管控
要建立制度化、流程化工作机制,精益求精,稳步推进。根据ITIL/ ITSM(IT服务管理)的标准,继续完善IT服务目录,对各子服务定义不同的SLA(服务级别协议),建立服务台,统一受理所有的流程输入,建立IT服务管理体系,体系应包含事件管理、问题管理、变更管理、配置管理、管理和服务级别管理。根据IT技术标准和行业具体技术规范要求,建立先进、稳定、安全的信息通讯技术基础设施(主要包括机房和信息化网络),并完善巡检、监控等基础设施管理机制。
(二)企业信息化运作的管控
首先是加强对信息化项目的管控,必须坚持统一性、系统性、规范性、安全性原则,必须坚持“事先技术把关,事中实施监督,事后运行维护”的原则。即项目涉及的IT部门的责任或义务的,IT部门必须管控到位。事先对项目立项相关技术规范进行把关,确保项目符合行业相关技术规范;事中对项目供应商(软件开发商)安装实施等服务进行严格监督,确保项目在技术上能顺利开展,保障设备(系统)能正常上线运行;事后必须将设备或系统运维维护好,确保设备(系统)安全、稳定运行。其次是加强对信息化资产的管控。加强对计算机设备调控,优化各终端计算机的配置。强化IT部门对软件资产的归口管理职能,坚决贯彻落实软件正版化相关要求,统一采购正版成品软件,规范信息系统的登记、领用、运维和报废。规范IT设备维修保养机制,延长IT设备使用寿命。第三是加强对信息系统用户的管控。建立操作上岗证机制,加强培训,提升其规范操作水平,采取检查监督等措施,促使其能正确操作,规范操作。
(三)信息安全的管控
信息安全管控体系是一项复杂的系统工程,必须采用系统工程的观点和方法,分析信息安全问题及具体措施。结合企业实际,就是要严格贯彻相关信息安全要求,做好信息化安全规划,业系统信息安全规划,建立覆盖日常维护,变更管理,安全监控的信息安全体系,将信息安全审计作为信息安全保障中的一项重要工作。建立三个长效保障机制:构建信息安全文化氛围、信息安全奖惩机制和内部信息安全审计机制,以确保信息安全管控能够有效长久运行。
2.利用合适先进工具软件强化IT管控
对信息化日常运作层的管控,必须利用合适先进的工具软件对信息化工作流程、设施和信息模型进行全面管控。引进先进的IT运维管理系统,建立IT服务管理监控平台,管理IT服务所涉及的各个流程,监控信息相关基础设施和中间件等。利用现有或将要购买的信息管理软件,如桌面管理和软件系统,综合网管系统,接入管理系统和数字认证(CA)等,建立信息系统综合管理系统,管理整个信息系统的设备、软件等资产,管理桌面、应用等功能单元的运行,以及管理整个设备网络和网络上接入的各种系统的正常运行。
追根溯源,建立有效的IT管控体系,最终目的是为了提升IT部门服务水平,提高用户的满意度,发展有效益的企业信息化。随着行业信息化的发展和实践的深入,新技术的不断应用,企业的信息化需求不断变化,IT部门只有建立基于企业治理上的IT管控体系,才能适应不断变化发展的信息化,为企业企业发展提供重要的信息支撑。
参考文献
[1] [荷兰]JanvanBon主编,章斌译:基于ITIL的IT服务管理基础篇[M].北京:清华大学出版社,2009.
[2] [荷兰]JanvanBon主编,刘向晖译:IT管理框架[M].北京:清华大学出版社,2009.
[3] 王仰富,刘继承:中国企业的IT治理之道[M].北京:清华大学出版社,2010.
【 关键词 】 信息安全;电力企业;风险评估;管理模式
1 引言
在如今的信息化社会中,信息通过共享传递实现其价值。在信息交换的过程中,人们肯定会担心自己的信息泄露,所以信息安全备受关注,企业的信息安全就更为重要了。但是网络是一个开放互联的环境,接入网络的方式多样,再加上技术存在的漏洞或者人们可能的操作失误等,信息安全问题一刻不容忽视。尤其是电力,是国家规定的重要信息安全领域。所以电力企业要把信息安全管理体系的建设,作为重要的一环纳入到整个企业管理体系中去。
2 电力企业信息管理体系建设的依据
关于企业的安全管理体系方面的标准有很多。英国BSI/DISC的BDD信息管理委员会制定的安全管理体系主要包含两个部分内容:信息安全管理实施规则和信息安全管理体系规范。信息安全管理实施规则是一个基础性指导文件,里面有10大管理项、36个执行的目标和127种控制的方法,可以作为开发人员在信息安全管理体系开发过程中的一个参考文档。信息安全管理体系规范则详细描述了在建立、施工和维护信息安全管理体系过程的要求,并提出了一些具体操作的建议。
国际标准化组织也了很多关于信息安全技术的标准,如ISO x系列、ISO/IEC x系列等。我国也制定了一系列的信息安全标准,如GB 15851―1995。
关于企业信息安全管理体系方面的标准众多,如何针对企业自身实际情况选择合适的参考标准很重要,尤其是电力企业有着与其他企业不同的一些特殊性质,选择信息安全体系建设的参考标准更要谨慎。我国电力企业已经引入了一些国际化标准作为建立和维护企业运转的保证,关于信息安全体系的标准也应纳入到保证企业运转的一系列参考中去。电力企业总体应有一致的安全信息管理体系参考标准,但是具体地区的公司又有着本身自己的特殊环境,所以在总体一致的信息安全标准的情况下,也应该根据企业自身地区、人文、政策等的不同制定一些企业内部自己信息安全标准作为建立、实施和维护信息安全管理体系的依据。信息安全管理体系顾全大局又要有所侧重的体现电力企业安全标准的要求。
3 信息安全管理体系里的重要环节
3.1 硬件环境要求
信息安全管理体系并没有特别要求添加什么特别的设备,只是对企业用到的设备做一些要求。电力企业一般采用内外网结合的方式,内外网设备要尽量进行物理隔离。企业每个员工基本都有自己的移动设备,如手机等,为了增加信息安全的系数,企业可以限制公司设备的无线网络拓展。另外,实时监控系统也应该覆盖企业的重要设备,监控硬件设备的安全。
3.2 软件环境要求
在企业设备(主要是计算机)上部署相关软件环境是信息安全管理体系中最重要的部分。比如防病毒软件的部署、桌面系统弱口令监控软件的部署等,以此防止网络攻击或者提高安全系数。另外,企业设备所用系统的安全漏洞修复、数据的加密解密、数据的备份恢复及数据传输通道的加密解密等问题,都在信息安全管理体系设计的考虑范畴。
3.3 企业员工管理
尽管现在一直倡导智能化,但是企业内进行设备等操作的主体还是员工。不管是对设备终端操作来进行信息的首发,还是对企业软硬件系统进行维护工作,都是有员工来进行的。所以,对企业内部员工进行信息安全培训,提高员工的信息安全防范意识,让员工掌握一定的信息安全防范与处理手段是非常重要的事情。针对不同的职位,在员工上岗前应该进行相关的信息安全方面的培训,然后对培训结果进行考核,不合格的人员不准上岗。在岗的人员也要定期进行培训与考核。另外,如果有条件的话,企业应该定期(例如每年)进行一次信息安全的相关演习。
另外,电力企业有些项目是外包给其他相应公司的,这时候会有施工人员和驻场人员在电力企业,对这些人员也应该进行电力企业信息安全的培训。
3.4 信息安全管理体系的风险系数评估
风险评估在信息安全管理体系中是确定企业信息安全需求的一个重要途径,它是对企业的信息资产所面临的威胁、存在的弱点、造成的影响,以及三者综合作用下所带来的风险可能性的评测。风险评估的主要任务是:检测评估对象所面临的各种风险,估计风险的概率和可能带来的负面影响的程度,确定信息安全管理体系承受风险的能力,确定不同风险发生后消减和控制的优先级,对消除风险提出建议。在信息安全管理体系的风险系数评估过程中,形成《风险系数评估报告》、《风险处理方案》等文档,作为对信息安全管理体系进行调整的参考。风险系数的评估要尽可能全面的反映企业的信息安全管理体系,除了常规手段,也可以使用一些相应的软件工具的结果作为参考。另外很值得注意的是企业的员工对风险的理解,企业员工对他们所操作的对象有比较深刻的理解,对其中可能存在的不足也有自己的见解,在风险系数评估的过程中,可以进行一些员工的问卷调查等,把员工对风险的认识纳入风险评估的考虑范畴。
企业的设备会老旧更换,员工也会更换,所以企业的信息安全是动态的,因此风险评估工作也要视具体情况定期进行,针对当前情况作评估报告,然后制定相应的风险处理方案。还有,之所以要建立信息安全管理体系,其中很重要的一点就是体系内各个模块的结合,信息安全管理体系的风险评估与关键内容的实时监控就应该结合起来。
为了降低信息安全管理体系的风险系数,提升信息安全等级,要做的工作很多。渗透测试就是其中很有必要的一项工作。渗透测试是测试人员通过模拟恶意攻击者的攻击方式,来评估企业计算机网络系统安全的一种评测方法。这个测试过程会对系统的可知的所有弱点、技术方面的缺陷或者漏洞等作主动的分析。渗透测试对于网络信息安全的组织具有实际应用价值。随着技术的不断进步,可能还会出现其他的更有价值的信息安全技术,作为信息安全备受瞩目的电力企业,应当时刻关注相关技术的进展,并及时将它们纳入企业信息安全管理体系中来。
3.5 信息安全管理体系的管理模式
文章前面提到企业信息安全是动态的,所以信息安全管理体系需要建立一个长效的机制,针对最新的情况及时对自身作出调整,使信息安全管理体系有效的运行。现在一般会采用PDCA循环过程模式:计划,依照体系整个的方针和目标,建立与控制风险系数、提高信息安全的有关的安全方针、过程、指标和程序等;执行:实施和运作计划中建立的方针、过程、程序等;评测:根据方针、目标等,评估业绩,并形成报告,也就是文章前面说到的风险系数评估;举措:采取主动纠正或预防措施对体系进行调整,进一步提高体系运作的有效性。这四个步骤循环运转,成为一个闭环,是信息安全管理体系得到持续的改进。
4 重要技术及展望
4.1 安全隔离技术
电力企业的信息网络是由内外网两部分组成,从被防御的角度来看的话,内网的主要安全防护技术为防火墙、桌面弱口令监控、入侵检测技术等;而主动防护则主要采用的是安全隔离技术等。安全隔离技术包括物理隔离、协议隔离技术和防火墙技术。一般电力企业采用了物理隔离与防火墙技术,在内网设立防火墙,在内外网之间进行物理隔离。
4.2 数据加密技术
企业的数据在传输过程中一般都要进行加密来降低信息泄露的风险。可以根据电力企业内部具体的安全要求,对规定的文档、视图等在传输前进行数据加密。尤其是电力企业通过外网传输的时候,除了对数据进行加密外,还应该在链路两端进行通道加密。
4.3 终端弱口令监控技术
终端设备众多,而且是业务应用的主要入口,所以终端口令关乎业务数据的安全以及整个系统的正常运转。如果终端口令过于简单薄弱,相当于没有设定而将设备暴露。终端的信息安全是电力企业信息安全的第一道防线,因此采用桌面系统弱口令监控技术来加强这第一道防线的稳固性对电力企业的信息安全非常重要。
电力企业信息安全管理体系是一个复杂的系统,包含众多的安全技术,如数据备份及灾难恢复技术、终端安全检查与用户身份认证技术、虚拟专用网技术、协议隔离技术等。凡是与信息安全相关的技术,电力企业都应当关注,并根据企业自身的情况决定是否将之纳入到信息安全管理体系中去。
智能化已成为不管是研究还是社会应用的热门词汇。电力企业的信息安全管理体系是否可以智能化呢?不妨做一个展望,电力企业的信息安全管理体系有了很强的自我学习与自我改进的能力,在信息安全环境越来越复杂,信息量越来越庞大的情况下是否会更能发挥信息安全管理体系的作用呢?这应该是值得期待的。
5 防病毒软件部署
电力企业信息安全管理体系有很多软件系统的部署,如防病毒软件部署、桌面弱口令监控系统部署、系统安全卫士部署等。但是它们的部署情况类似,这里用防病毒软件的部署来展示电力企业信息安全管理体系中软件系统的部署情况。如图1所示为防病毒软件的部署框架。
杀毒软件种类有很多,这里以赛门铁克杀毒软件为例。企业版的赛门铁克防病毒软件系统相比单机版增加了网络管理的功能,能够很大程度地减轻维护人员的工作量。为了确保防病毒软件系统的稳定运行,在电力企业内部正式使用时,尽量准备一立的服务器作为防病毒软件专用的服务器。
服务器安装配置好赛门铁克防病毒软件后,可以远程控制客户端与下级升级服务器的软件安装与升级。
电力企业内网可能是禁止接入外网的,这样的话,防病毒软件的更新可能无法自动完成。防病毒软件需要升级的时候,维护人员在通过外网在相应网址下载赛门铁克升级包,然后通过安全U盘拷贝到防病毒软件系统专用服务器进行升级操作。在图1中,省电力公司的防病毒管理控制台获得升级包可以下发给下级升级服务器和客户端进行防病毒软件系统的自动升级更新。图1是一个简单的框图,如果电力企业的内网规模很大的话,还可以更多级地分布部署。
6 结束语
电力企业的信息安全与企业的生产与经营管理密切相关,是企业整个管理系统的一部分。信息安全管理体系是一个整体性的管理工作,把体系中涉及的内容统一进行管理,让它们协调运作,实现信息安全管理体系的功能。电力企业信息安全的建立与体系不断的改进定能稳定、有效地维护企业的信息安全。
参考文献
[1] 王志强,李建刚.电网企业信息安全管理体系建设[J].浙江省电力公司,2008,6(3):26-29.
[2] 陈贺,宫俊峰.浅析信息安全体系如何建立[J].中国管理信息化,2014,17(1):74-76.
[3] 郭建,顾志强.电力企业信息安全现状分析及管理对策[J].信息技术,2013(1):180-187.
[4] 沈军.火力发电厂信息你安全体系构建与应用[J].电力信息通信技术,2013,11(8):103-108.
[5] 左锋.信息安全体系模型研究[J].信息安全与通信保密,2010,01(10):68-71.
[6] 杨柳.构建供电企业信息安全体系[J].电脑知识与技术,2005(29).
[7] 曹鸣鹏, 赵伟, 许林英. J2EE技术及其实现[J]. 计算机应用,2001, 21(10): 20-23.
[8] 江和平.浅谈网络信息安全技术[J].现代情报学,2004(14):125-127.
作者简介:
崔阿军(1984-),男,甘肃平凉人,硕士研究生,工程师;主要研究方向和关注领域:电力信息通信安全技术研究。
张驯(1984-),男,江苏扬州人,本科,工程师;主要研究方向和关注领域:电力信息通信安全技术研究。
李志茹(1984-),女,山东平度人,硕士研究生,工程师;主要研究方向和关注领域:信息化建设及安全技术。
龚波(1981-),男,湖南新邵人,本科,工程师;主要研究方向和关注领域:电力信息化建设及安全技术。
信息安全产业发展若干年以来,大多数的企业用户已经基本完成了对“老三样”产品的采购和部署。下一步,企业用户还应该买什么?这个问题不但用户在想,每个信息安全厂商也在想。用户思考的原因是为了将信息安全网做得更密实、安全;厂商思考的原因无非是为了多卖产品,获取利润。
但是,由于传统“老三样”的购买群正在逐渐缩小,利润率正在降低,什么样的新产品才能勾起用户的购买欲呢?我们看到,各个防病毒厂商正在努力组建并推销其专业的防病毒服务,那么防火墙、入侵检测类产品厂商们正在做什么?
安全信息管理(SIM)就是他们正在倡导的一类产品。为了应对企业内、外部的安全挑战,企业先后部署了大量的安全系统,但却往往形成各个防御孤岛―系统间缺乏协同,由此,各种安全系统产生了大量告警,出现信息过载,造成很多误报和漏报。此外,企业还面临着不断增长的内控和信息系统审计的压力,要求增强业务持续性的呼声不断提高。所有这些都在呼唤面向全网的安全信息集中管理平台的出现,这就是SIM。
安全信息管理也叫安全信息和事件管理(SIEM),是安全管理领域发展的新方向。SIM是一个面向企业IT计算环境的安全集中管理平台,该平台能够收集来自企业计算环境中的各种设备、应用的安全日志和事件,并进行集中存储、监控、分析、报警、响应和报告,变过去被动的单点防御为全网的综合防御。目前,SIM正被广泛应用于企业内部的威胁管理、合规审计、日志管理、安全审计及应急响应等方面。
某大型金融机构的CIO在使用了来自美国的SIM产品ArcSight ESM后,是这样评价的:“我们每天用ArcSight ESM处理数以百万计的安全事件,ArcSight能自动显示需要特别关注的重要事件。我们在对这些事件做出反应时,无需将精力浪费在电话、Excel和电子邮件上,只需要使用ArcSight ESM跟踪所有进展情况就行了。”