时间:2023-09-15 17:31:15
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇企业网络安全预案,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
近些年,随着电力体制改革的逐步深入和信息技术的飞速发展,发电企业对信息系统的依赖性逐渐提高,信息系统在企业生产经营和管理中扮演的角色越来越重要。发电企业通过信息化方式进行生产管理和办公得到了广泛认同,并因此大幅提高了生产效率和管理水平。
其中,网络安全工作的落实情况是企业信息化管理水平的集中体现。作为国家能源行业的一份子,发电企业的信息网络安全尤为重要,保障发电企业的网络安全也是保障国家和社会安全的重要一环。发电企业对于信息化的重视程度也体现在加强自身信息网络安全工作上,网络安全已经成为发电企业安全生产的一项重要内容,不论对于火力、水力、核电、风能、太阳能还是新能源发电企业,网络安全同等重要。
从电力行业信息化的发展现状来看,网络安全工作大致可以分为以下几个方面:网络安全管理、安全防护技术、应急保障和宣传教育等。网络安全管理包括:企业要有网络安全领导责任制、管理机构和信息化网络专责工作人员;网络安全责任制的具体落实以及责任追究机制;人员、信息化经费、信息资产、采购、培训、外包人员等日常安全管理;完整、完善的网络安全管理制度体系;安全监测、硬件冗余、安全审计、补丁管理。安全防护技术包括:防病毒、防篡改、防瘫痪、防攻击、防泄密等安全措施;服务器、防火墙、物理隔离设备等网络安全设备的安全策略和功能有效性;局域网、互联网、无线网络安全措施;和非计算机、移动介质及密码设备的安全防护措施。应急保障工作包括:信息安全事件应急预案、数据备份和恢复演练、应急技术支撑队伍、重大安全事件处置等。宣传教育工作包括:企业日常网络安全培训(包含:企业领导、信息化人员和业务人员)和网络安全管理员专业技术培训。
发电企业已经在网络安全方面取得了很大的成绩,软件正版化率、自主开发软件和国产信息系统的使用率都在逐年提高,国产网络安全防护设备也已经大范围应用在企业网络中。发电企业在取得一些成绩的同时,还需要充分认识到自身的不足之处,很多发电企业认为发电才是自己的主业,对企业信息化不够重视,人员和资金的投入都很少,导致企业网络安全得不到有效的保障,网络安全事件时有发生,这对于企业和国家都是一笔损失。
综上所述,发电企业要从以下几个方面入手,逐步改进并完善网络信息安全工作:企业应该有独立的信息化管理部门,设置专门负责网络安全管理员,明确岗位安全责任制,成立信息化领导小组、信息安全工作小组和招标小组等信息化工作组织机构;定期召开网络安全管理工作会议,商议决策企业信息化工作,强化网络安全;做好企业网络安全规划,按照年度、短期和长期规划来制定,信息安全工作的整体策略及总体规划(方案)需要完善,在今后工作中不断补充、调整与细化;将信息网络安全管理纳入到企业年度工作计划和绩效考核中;每年都要进行定期的信息安全培训和宣传,让员工充分了解和熟知网络安全对于企业的重要性;划分明确的分区界限,根据生产、管理等要素进行分区管理;完善企业网络信息安全管理制度,并落实执行;加强局域网、广域网和对外网站的管理;按照公安部和上级部门的有关要求,进行信息系统安全等级保护备案工作,进行安全风险测评;定期开展网络安全自查工作,并按照检查问题进行相关整改,需要定期开展网络安全自查及整改工作,有条件的企业可以请外面高水平的专家组来企业做安全测评指导,通过这些检查可以及时发现问题,进行有效的整改工作,保障企业信息网络安全,使得员工可以通过信息系统提高生产管理和办公效率;定期进行信息系统数据备份和恢复演练,进一步完善企业的网络与信息安全应急管理体系,保障应急资源的及时到位,进一步制定有针对性的、实用化的专项应急预案,同时预案的演练要实现常态化;设定账户锁定时间、账户锁定阀值、重置账户锁定计数器等安全策略;信息系统管理员需要定期检查补丁更新、防病毒软件和防恶意代码软件工作日志;口令执行策略需要包括:密码必须符合复杂性要求、密码长度最小值、密码短期使用期限、密码长期使用期限、强制密码历史和用可还原的加密来存储密码等安全策略;尽可能采用每个账户和每个人一一对应的关系,避免了账户的重复和共享账户的存在,对于多余的、过期的账户进行定期检查和及时删除;实现操作系统和数据库系统特权用户的权限分离,实现数据库账户独立管理;要有完整的机房进出记录和系统安全维护检查记录;完善备份系统建设;企业应建立长效机制以确保信息安全建设及运行维护经费及时到位,以实现经费投入的常态化;加大信息安全产品的投入力度并尽量采购国内厂家的安全产品,降低对国外产品的依赖程度;对在信息安全岗位及其他敏感岗位工作的人员一定要搞好审查工作,只有符合规定的人员才能上岗,一旦人员离岗必须签署保密承诺书且其权限要及时收回;按照国家有关要求,需要做到所有计算机类产品不安装Windows 8操作系统,并采取措施应对Windows XP停止安全服务;安全防护产品采取白名单、卸载与工作无关的应用程序、关闭不必要服务和端口等安全措施情况。
不论在哪个行业或领域,安全都是第一位的,而网络安全在涉及国家安全的发电企业更是尤为重要。发电企业要按照“谁主管谁负责,谁运营谁负责”的原则,明确任务,落实责任,加强网络安全工作,保障企业网络与信息系统的安全稳定运行。因为电力属于国家能源行业的重要一环,必须遵循“上网不、不上网”的原则。总之,发电企业面临的网络安全形势是复杂多变的,还有很长的路要走。
参考文献
[1]罗宁.P2P安全问题初探[A].第十七次全国计算机安全学术交流会暨电子政务安全研讨会论文集[C].2002.
[2]祝崇光,姚旺.检察系统信息网络安全的风险评估[A].全国计算机安全学术交流会论文集(第二十二卷)[C].2007.
[3] 朱修阳. 检察机关专网系统信息网络安全体系初探[A].全国计算机安全学术交流会论文集(第二十二卷)[C].2007.
[4]曾德贤,李睿.信息网络安全体系及防护[A].第十八次全国计算机安全学术交流会论文集[C].2003.
[5]刘威,刘鑫,杜振华.2010年我国恶意代码新特点的研究[A].第26次全国计算机安全学术交流会论文集[C].2011.
关键词:网络安全;防火墙;网络管理;VPN
一、 前言
我国的网络安全产业经过十多年的探索和发展已得到长足了发展。特别是近几年来,随着我国互联网的普及以及政府和企业信息化建设步伐的加快,对网络安全的需求也以前所未有的速度迅猛增长,这也是由于网络安全问题的日益突出,促使网络安全企业不断采用最新安全技术,不断推出满足用户需求、具有时代特色的安全产品,也进一步促进了网络安全技术的发展。
二、 企业网络安全系统现状
如果想从根本上克服网络安全问题,我们需要首先分析距真正意义上的网络安全到底存在哪些差距。
就目前而言,企业的网络安全还存在这样或那样的问题,离真正的安全的网络还有不可逾越的差距。
1. 网络安全管理体系不完善,需要通过实施策略对流程进行细化,其它体系也需要按照网络安全管理体系和流程要求不断完善其内容。
2. 涉及网络安全的各个层次,特别是基层人员对网络安全工作的重要性认识不足,必须强化把网络安全作为一项重点工作开展,并对如何开展安全工作和需要做哪些安全工作、达到什么目标有明确要求。
3. 网络安全管理组织不完整,现阶段网络/应用系统的安全工作基本上由各维护单位和人员承担,安全责任相对比较分散,存在一定程度的安全责任无法落实到具体人的现象。
4. 具有普及性的安全教育和培训不足,人员信息安全意识水平不统一。
5. 在物理与环境安全、系统和网络安全管理、系统接入控制方面仍然存在一定差距,在安全策略、安全组织、人员管理、资产分类控制、安全审计方面存在明显不足。
6. 防病毒系统没有实现整体统一,存在防病毒的局部能力不足。
7. 网络/应用系统防护上采取了防火墙等安全产品和硬件冗余等安全措施,但安全产品之间无法实现联动,安全信息无法挖掘,安全防护效果低,投资重复,存在一定程度的安全孤岛现象。另外,安全产品部署不均衡,各个系统部署了多个安全产品,但在系统边界存在安全空白,没有形成纵深的安全防护。
8. 对终端管理没有统一策略,操作系统版本、操作系统补丁等没有统一的标准和管理。
9. 没有应急响应流程和业务持续性计划,发生安全事件后的处理和恢复流程不足,对可能造成的业务中断没有紧急预案。
三、企业网络安全对策
现阶段,为了保证网络的正常运行,可采用以下几种技术方法:
1.防范网络病毒。网络病毒传播扩散快,仅用单机防病毒产品已经很难彻底清除网络病毒,必须有适合于局域网的全方位防病毒产品。所以,最好使用全方位的防病毒产品,针对网络中所有可能的病毒攻击点设置对应的防病毒软件,通过全方位、多层次的防病毒系统的配置,通过定期或不定期的自动升级,使网络免受病毒的侵袭。
2.设置防火墙。利用防火墙在网络通信时执行一种访问控制尺度,允许防火墙同意访问的人与数据进入自己的内部网络,同时将不允许的用户与数据拒之门外,最大限度地阻止网络中的黑客来访问自己的网络,防止他们随意更改、移动甚至删除网络上的重要信息。
3.VPN: 企业规模的扩大,不同分支机构之间的网络连接既要考虑到安全可靠,又同时要考虑到成本问题,所有的网络通讯均使用专线连接固然是安全,但成本因素却是无法回避的问题。因而,安全、廉价的VPN技术应运而生并得到了广泛的应用,通过在网络边界处架设VNP网关,实现企业的分支机构间通过Internet实现安全可靠的低成本连接。
4.采用入侵检测系统。入侵检测系统能够识别出任何不希望有的活动,并限制这些活动,以保护系统的安全。内部局域网采用入侵检测技术,最好采用混合入侵检测,在网络中同时采用基于网络和基于主机的入侵检测系统,构架成一套完整的主动防御体系。
5.建立网络安全监测系统。在网络的www服务器、E-mail服务器等中使用网络安全监测系统,实时跟踪、监视网络,截获网上传输的内容,并将其还原成完整的www、E-mail、FTP、Telnet应用的内容,同时建立保存相应记录的数据库,发现在网络上传输的非法内容,及时向上级安全网管中心报告,予以解决。
6.利用网络监听并维护子网系统安全。对于网络内部的侵袭,可以采用对各个子网建立一个具有一定功能的过滤文件,为管理人员分析自己的网络运作状态提供依据。设计一个子网专用的监听程序,该软件的主要功能是长期监听子网络内计算机间相互联系的情况,为系统中各个服务器的过滤文件提供备份。
7.安全技术培训
提供层次化的安全专题讲座,包括安全技术基础、各操作系统安全、信息安全管理以及一系列培训。
四、结论
综合以上的分析,我们可以得出一个结论:那就是企业当前所面临的安全形势在变得更加严峻,不同种类的安全威胁混合在一起给企业网络的安全带来了极大的挑战,从而要求我们的网络安全解决方案集成不同的产品与技术,来针对性地抵御各种威胁。我们的总体目标就是通过信息与网络安全工程的实施,建立完整的企业信息与网络系统的安全防护体系,在安全法律、法规、政策的支持与指导下,通过制定客户化的安全策略采用合适的安全技术和进行制度化的安全管理,保障企业信息与网络系统稳定可靠地运行,确保企业与网络资源受控合法地使用。
参考文献:
[1]卢开澄:《计算机密码学—计算机网络中的数据预安全》(清华大学出版社 1998)
[2]余建斌:《黑客的攻击手段及用户对策》(北京人民邮电出版社 1998)
[3]蔡立军:《计算机网络安全技术》(中国水利水电出版社 2002)
随着信息时代的到来,互联网技术在各行各业备受推崇,尤其在现代企业的信息化建设和发展过程中,信息网络的应用和推广力度不断加大。同时,不可避免也会衍生信息网络安全问题,对企业信息安全以及现代企业信息系统的正常运行造成负面影响。本文立足于现代企业信息网络中存在的问题,提出加强信息网络安全优化的重要性,制定针对性的优化策略。
【关键词】
现代企业;信息网络;安全优化
21世纪是网络化、信息化的时代,互联网技术的飞速发展为我国各行业的发展创造了机遇。与此同时,现代企业的信息网络业发展也面临着巨大挑战,信息网络安全问题的产生为企业发展埋下了安全隐患。例如,同行业之间的恶性竞争、网络犯罪等不正当的市场竞争,均可以网络形式展开。针对此种情况,企业要认识到加强信息网络安全优化的重要性,并针对具体的安全问题,提出针对性的优化策略,切实解决现代企业存在的信息网络安全隐患。
一、加强企业信息网络安全优化的重要性
1.1提升现代企业的管理质量
在现代企业的发展过程中,信息安全具有不可或缺的重要作用。因此,加强现代企业信息网络安全优化管理,可保障企业信息的安全性和真实性,同时也可保障现代企业信息系统的可用性和机密性。企业信息网络的安全性得以保障,可为信息系统工作质量提供重要的参考数据。此外,信息网络管理人员要对信息网络优化和管理中体现出的实际问题进行总结,并针对信息系统管理中反馈出的实际问题,在企业内部制定针对性的应对方案和措施。最终,接提升现代企业的管理质量,提升整体管理水平。
1.2为现代企业获得更大的经济利益
任何一个企业发展的最终目的均为获得经济利益,利润是企业发展的主要动力。作为现代企业而言,保障企业的信息安全,并保障信息系统的正常运行,方可在有效安全技术的支持,为企业后期发展创造更大的利润空间。通过对企业近年来的发展情况进行分析和总结,利用数据和统计分析的方法,为企业的发展制定全面的发展方案[1]。同时,在进行数据分析和总结的过程中,可及时发现企业发展中存在的问题,并针对具体存在的问题,提出针对性的解决对策,保障现代企业获得更大的经济利益,获得更大的利润空间。
二、现代企业信息网络中存在的安全问题
2.1企业信息网络安全管理制度不健全
纵观目前我国现代企业的信息网络安全管理现状,仍存在较多的安全问题,其中,最为显著的安全问题就是企业内部尚未建立健全的网络安全管理制度。管理制度的不健全势必造成企业信息网络安全出现问题,例如,企业的网络管理工作中频繁出现违规操作的现象,造成信息网络的正常运行受到影响。
2.2企业信息网络安全管理人员的综合素质相对较低
从现代企业的网络安全人员配置上看,大部分现代企业在发展过程中仍存在技术人员缺乏的现象。企业在缺乏专业的技术人员和管理人员,导致企业在发展的过程中难以及时发现信息网络中存在的问题和漏洞。在网络信息技术不断发展的当今社会,企业信息网络安全面临着新的发展机遇[2]。当一些先进的技术、管理方式和操作方式引入到企业中,而企业内缺乏相关的专业人才,将造成企业信息系统的安全性和操作规范化受到影响。因此,现代企业的发展过程中,需要解决信息网络安全管理人员专业技能差、综合素质相对较低的问题,保障网络管理人员可及时解决信息系统在安全维护方面的问题,方可促进现代企业的全面发展。但就目前我国大部分企业的信息网络安全管理人员配置情况上看,解决此问题仍需要经历较长的一段时间,也需要企业付出更多的精力和财力。
2.3尚未制定完善的网络安全事故应急处理预案
在现代企业的发展过程中,加强对企业信息和信息系统安全运行的管理至关重要。企业出现网络信息安全是不可避免的,但企业可通过分析总结出现信息网络安全问题的原因,制定针对性的解决对策,预防信息网络安全事故的发生。但纵观现阶段我国大多数企业的发展现状,大多数企业仅仅意识到了加强网络信息安全管理的重要性,但并未在实际行动上体现出来。通过对现代企业的调查,发现大部分企业尚未制定完善的网络安全事故应急处理预案,当信息网络安全事故发生后,企业在面对安全问题上显得手足失措,难以有效应对。而这样的问题,对于信息网络的安全维护和安全管理而言,将造成较大的负面影响,不利于现代企业的长足发展。
三、实现现代企业信息网络安全优化的策略
3.1加强现代企业信息网络系统的规范化管理
在现代企业信息网络安全管理中,要实现企业信息网络的规范化和系统化,首先需要在企业内部制定严格的责任管理制度,加强安全管理。在网络管理中,通过建构多层防御和等级保护体系,加强对信息网络安全的控制和规范化管理。与此同时,企业要在现代化的发展过程中,要保障自身信息网络系统的安全性,要加强对网络性能的检测力度,并将外网和内网进行有效隔离[3],为信息网络系统提供安全管理,并在企业的各部门实现信息系统安全管理。
3.2提升现代企业信息网络管理人员的综合素质
在现代企业的发展过程中,信息网络安全优化和管理是一项相对较为复杂且系统的工作。因此,在信息网络安全优化中,网络管理人员的专业能力和综合素质对安全优化管理的工作质量均可产生决定性作用。这则要求企业要对信息网络管理人员进行定期培训,通过在企业内部开展培训项目可使管理人员的管理能力提升,同时也可培养网络安全管理人员严谨的工作态度,让其意识到信息网络安全优化工作的重要性和必要性。与此同时,现代企业还可组织相关技术人员和专家,对企业信息网络安全优化的相关措施进行专题分析。通过系列的专题分析,可了解企业信息网络运行的实际情况,从而激发现代企业网络管理人员的工作热情和工作积极性。最终,可提升网络管理人员的综合能力,提升现代企业信息网络安全管理质量,提升整体管理水平。
3.3制定企业信息网络安全事故的应急方案
现代企业在发展的过程中,难免会遇到各种各样的信息网络安全问题。鉴于此种情况,不仅要提升网络管理人员的综合素质,加强对信息网络的规范化管理。还需要针对企业自身的信息网络安全管理现状,制定完善的现代企业信息网络安全事故应急预案。在制定应急预案的过程中,企业要将目标性、针对性、合理性以及全面化、规范化等特征融入其中。同时,在信息网络的运行过程中,要针对具体的运行情况,适当增加安全事故模拟演习和模拟训练等,提升信息网络管理人员的警惕性,保持认真的工作态度。只有在日常工作中,加强管理和训练,方可在事故发生时从容应对,最大限度降低信息网络安全事故对现代企业信息安全和自身发展造成的负面影响。
四、总结
综上所述,时代在发展,社会在进步,现代企业对信息网络安全优化提出了更多的要求和建议。信息网络是一项复杂的任务,具有涵盖范围广、涉及信息资源多等特征。在信息技术飞速发展的当今社会,信息网络安全优化是保障现代企业信息安全的重要途径,可有效解决企业中面临的网络信息安全问题。因此,现代企业要不断强化并规范企业内部信息网络建设,提升管理人员的职业素养和综合素质,为现代企业的发展提供更加安全、稳定的网络环境。
作者:赖连春 单位:云南华电鲁地拉水电有限公司
参考文献
[1]王国强.现代企业信息网络安全改善措施[J].信息技术与信息化,2014(9):64-65.
由于电力企业以发电、经营电力为主,信息网络安全问题并没有得到足够重视,管理方面存在重技术轻管理的问题,未建立完善的信息安全管理制度,面对上级检查,简单应付,脑子里轻视信息安全,信息安全观念淡薄,这都会增加企业信息系统的安全风险。例如,缺少对企业职工的信息安全教育培训、缺少定期对信息运维人员的安全技能的培训等等,都会严重威胁企业信息网络的安全。电力企业在针对信息系统的应用和信息网络安全两个方面时,更加注重的是前者。以此同时,可能部分职工还存在侥幸心理,忽视了网络安全问题的重要性。
2电力企业网络信息安全管理的有效策略
2.1注重建设基础设施和管理运行环境
需要严格的管理配电室、信息、通信机房等关键性的基础设施,对防水、防火、防盗装置进行合理配备;对电力二次设备安全防护要做到,安全分区、网络专用、横向隔离、纵向认证,生产控制大区与信息管理大区要做好物理强隔离;机房需要安装监控报警设备和动环监测系统;对桌面终端和主机等设备要做好补丁更新,控制权限;在网络安全设备上要做好安全策略;做好流量监测和行为监测;此外,建立设备运行日志,对设备的运行状况进行记录,并且建立操作规程,从而保证信息系统运行的稳定性和安全性。
2.2建立并完善信息安全管理制度
建立健全信息安全管理制度,注重安全管理,确保根据安全管理制度进行操作;做好安全防护记录、制定应急响应预案、系统操作规程、用户应用手册、网络安全规范、管理好口令、落实安全保密要求、人员分工、管理机房建设方案等制度,确保信息系统运行的稳定性和安全性。由内至外,全面的贯彻,实施动态性地管理,持续提高信息安全、优化网络拓扑结构。
2.3注重信息安全反违章督察工作的开展
建立信息安全督察队伍,明确职责,按照信息安全要求,开展定期的督察,发现问题,限期整改。电力企业要对企业信息系统软硬件设施、容灾系统、桌面终端、防护策略等进行定期督查,实现信息安全设备加固和更新,培养信息安全督查专家队伍,交叉互查、发现并解决问题,提高信息系统的安全性。
2.4积极探索电力企业信息安全等级保护
信息安全等级保护指的是,对涉及国计民生的基础信息网络和重要信息系统按照其重要程度及实际安全需求,合理投入,分级进行保护,分类指导,分阶段实施,保障信息系统安全。针对电力企业信息系统,应建立相应的信息安全等级保护机制。技术上分级落实物理安全、网络安全、主机安全、应用安全、数据安全;管理上要建立对应的安全管理制度、设置安全管理机构、做好人员安全管理、系统建设、运维管理。
2.5明确员工信息安全责任,实现企业信息安全文化建设
针对企业的所有员工,关键是明确自己需要担负的安全责任、熟悉有关的安全策略,理解一系列的信息安全要求。针对信息运维人员,需要对信息安全的管理策略进行有效地把握,明确安全评估的策略,准确使用维护技术安全操作;针对管理电力企业信息网络安全的管理人员,关键在于对企业的信息安全管理制度、信息安全体系的组成、信息安全目标的把握和熟悉。以上述作为基础,实现企业信息安全文化的建设。
2.6提升人员的信息安全意识
针对电力企业信息安全而言,员工信息安全意识的提高十分关键。企业需要组织一系列有关的信息安全知识培训,培养员工应用电脑的良好习惯,比如不允许在企业的电脑上使用未加密的存储介质,不应当将无关软件或者是游戏软件安装在终端上,对桌面终端进行强口令设置,以及启用安全组策略,备份关键性的文件等,从而使员工的信息安全意识逐步提高。
3结语
[论文摘要]随着高职院校数字校园建设的推进和信息系统的广泛应用,网络信息安全问题也随之不断涌现,这就要求我们必须对网络危险信号的入侵有所预测。本文建立了一套高效、通用、安全的高职院校数字化校园网络安全防控体系,确保高职院校数字化校园的网络安全。
1 引言
随着高职院校数字校园建设的推进和信息系统的广泛应用,也产生了网络信息安全的问题。信息时代,信息可以企业或个人受益,一些不法分子也会盗取破坏信息来谋利。因此,当今计算机网络安全已经上升为焦点问题。
计算机网络安全包括组成网络系统的硬件、软件及在网络传输过程中信息的安全性,使其不遭受破坏。网络安全既有技术方面的问题,也有管理方面的问题。本文建立一个高效、通用、安全的高职数字化校园网络安全防控体系,进而提高工作效率,降低风险,减少不必要的损失。
2 高职数字化校园网络安全防控体系
高职数字化校园网络安全防控体系需要具有前瞻性,从而加强计算机的网络安全性的防控。
2.1物理实体安全防控策略
物理实体安全策略目的是保护网络服务器、计算机、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击等。
(1)硬件环境。服务器机房的建设要严格按照国家统一标准进行建设。并将配电室、空调间、计算机机房等连接计算机系统的重要部门进行严格管理,同时配备防火、防水、防雷、防震、防盗、防磁等设备。
(2)设备维护。建立维护日志管理系统。对计算机及网络设备定期检修、维护,并作好检修、维护日志记录。对突发安全事故处理有应急预案,对主要服务器及网络设备,需要指派专人负责,发生故障确保及时修复,力求所有设备处于最佳运行状态。
(3)安全管理制度。制定健全的安全管理体制,不断地加强计算机信息网络的安全规范化管理力度,强化使用人员和管理人员的安全防范意识,尽可能地把不安全的因素降到最低,从而使广大用户的利益得到保障。
2.2网络安全隔离防控策略
网络安全隔离防控策略具体如下:
(1)路由器。网络架构的第一层设备就是路由器,它也是黑客攻击的首要目标。所以,路由器必须设置一定的过滤规则,用以滤掉被屏蔽的1p地址及服务。
(2)防火墙。防火墙是用于限制被保护校园网内部网络与外部网络之间进行信息存取、传递操作,是防止“黑客”进入网络的防御体系。它所处的位置在内部网络与外部网络之间。它是根据连接网络的数据包来进行监控的,掌管系统的各端口,对其进行身份核实,限制外部用户进入内部网,同时过滤掉危及网络的不安全服务,拒绝非法用户的进入。如分布式防火墙。
(3)ids(入侵监测系统)。它是安装在计算机网络的关键部位,负责监测网络上所有的包,用来实时监测网络和信息系统访问的异常行为。其目的就是捕捉危险或有恶意的动作.并及时发出警告信息。与防火墙的区别之处是按用户指定的规则对端口进行实时监测、扫描,及时发现入侵者,能识别防火墙通常不能识别的攻击,如来自企业内部的攻击。
(4)网闸。它是物理隔离与信息交换系统,运用物理隔离网络安全技术设计的安全隔离系统。当企业网内部的生产系统因为信息化建设过程中对外网访问的需求而影响内部网络系统的安全性及可用性时,物理隔离与信息交换系统能够对内部网络与不可信网络进行物理隔断,可以及时阻止各种已知和未知的网络层和操作系统层攻击,提供比防火墙、入侵检测等技术更好的安全性能。
(5)访问控制。它是网络安全防控的核心策略之一,其目的是保证网络资源不被非法使用和访问。访问控制涉及的技术比较广,包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。传统的访问控制策略包括自主访问和强制访问,为考虑网络安全和传输流,目前采用的是基于对象和任务的访问控制。
2.3网络主机安全防控策略
网络主机的安全防控策略对保护数字化校园的网络安全至关重要,具体包括如下几个方面:
(1)操作系统的安全。网络主机操作系统的安全极为重要,首先要确保是正版的操作系统,并实时更新。然后要保证以下几个内容:操作系统的裁剪,不安装或删除不必要使用的系统组件;操作系统服务裁剪,关闭所有不使用的服务和端口,并清除不使用的磁盘文件;操作系统漏洞控制,在内网中建立操作系统漏洞管理服务器。
(2)数据库的备份与恢复。数据库的备份与恢复可以确保数据安全性和完整性,备份策略包括只备份数据库、备份数据库和事务日志、增量备份。做好数据的备份是解决数据安全问题的最直接与最有效措施之一,如双机热备份、异地备份。
(3)密码技术。它是信息安全核心技术,为信息安全提供了可靠保证。基于密码的数字签名和身份认证是当前保证信息完整性的最主要方法之一。
(4)病毒防护。安装病毒防火墙、杀病毒软件,进行实时过滤。对网络服务器中的文件进行频繁扫描和监测,在工作站上采用防病毒卡,加强网络目录和文件访问权限的设置。
(5)数字签名与认证。应用系统须利用ca提供的数字证书进行应用级的身份认证,对文件和数据进行数字签名和认证,保证文件和数据的完整性以及防止源发送者抵赖。
(6)虚拟机技术及其虚拟网络环境。虚拟机是支持多操作系统并行在单个物理服务器上的一种系统,能够提供更加有效的底层硬件使用。虚拟机能在同一台电脑使用好几个os,不但方便,而且可安全隔离。
3 结论
总之,高职院校数字化校园的发展及应用,方便了信息的共享、交流与获取的同时,网络安全的重要性也越显突出。本文构建了一套网络安全防控体系,全方位,多角度地实时防控,确保数字化校园的网络安全。安全管理制度是安全的基石,技术是安全的保障,执行是安全的防线,从而提高网络安全性,并不断增强全意识,完善安全技术,补充安全策略,加强安全教育和安全管理,从而提高防范风险的能力。
参考文献:
[1]熊晨潞.计算机网络安全与防范措施的认识[j].华章,2008(18).
[2]吴建军. 2010年计算机网络安全前瞻[j].科技传媒,2010(9).
[3]苏姗娜.浅谈计算机网络安全[j].电工理工,2008(1).
在信息化渗透到社会各个领域的今天,除了我们和家人所拥有的欢天喜地的氛围,一个新的话题走到面前,企业网,怎么过年?
春节来了。
每年的这段时期,全国范围的人潮流动,于此同时,长久的假期也将促使公众互联网上的“流动人口”大大增加,“来自办公室的访问”则迅速减少。
信息化的概念已经“深植”到企业网络,而企业网的专用特点,决定了该类网络在过年期间体现出完全不同于公网的特征。
如何既保障业务承载在过年期间得以维系,同时合理减少企业网络的设备能耗?同时,更进一步,如何在春节期间,通过给企业网“放假”,为企业节约不必要的成本?哪些网络不仅不能停运,反而更为繁忙?――根据《计算机世界》的调查,企业网过年时,因为所处行业的不同,过年期间的工作状态不同,“各行其道”的情况相当明显。
停机与否要斟酌
春节期间,大部分企业都在放假,根据我们的调查,诸多的公司、信息机构并没有意识到停运部分企业网所能带来的安全便利、开支节约和维护便利性。
但企业网的范畴,已经远远超出常规的公司、企业范畴,而扩展到太多的领域,例如超市、医院、校园等等。在这种前提下,企业网过年,就显得复杂多了。
对于大多数常规性企业、特别是中小型企业来说,为了避免资源浪费、特别是从用防火防电的安全角度出发,会对机房做一些常规性的调整,“一些设备将会停掉。”北京某大学信息中心主任告诉记者,“比如学生机房,假期中我们将会关闭掉全部的4个主要机房,只留一个规模较小的机房给寒假留校的学生用。”据他告诉记者,部分的实验室也将交换机关掉了,“这些工作基本上是各实验室自行处理,总体上来说,学校的数据量减少了70%以上,而接入交换机停得比较多,但是核心的东西基本上还是没有动。”
常规企业又将停运哪些设备呢?
计算机世界传媒集团网络中心主管吴传威告诉记者,春节假期里,出于安全和维护便利上的考虑,整个集团将会关闭一些设备,诸如绝大多数个人终端、内部的网络交换机、内部无线局域网、打印设备等等内网设备都会停掉,而另一些关键应用,诸如邮件服务器、客户响应设备等,都将正常工作。
而另一些企业则表示,春节期间除了邮件服务器,其他设备将全部关闭,“因为公司对外的网站是托管在电信IDC的,所以过年期间不会受到任何影响。”
泰康人寿保险股份有限公司总部设在北京,据主管信息网络的李经理介绍,泰康人寿全国的28家分公司和北京总部组成的星型网络,并为200多家三级机构提供专线连接服务。“通常来说,类似于我们这样性质的企业,基本不会完全按照国家的放假政策来安排假期。春节期间,泰康人寿的业务将停止运行,但是网络不能停,因为我们的网络系统的整体启动,需要24小时,而假期一般也就一至3天,所以基本上不会停机。”但他同时也表示,在春节期间,会要求所有停止运行的终端不仅关机,而且还要拔下电源,“这是从防火安全角度考虑。”
“此外,利用过年期间对系统进行检查、维护、检修,是个好时机,这样对工作的影响最小。尽管大多数公司不会选择这个时候,但泰康人寿认为这样是最高效的做法。”李经理说。
图1 PACS诊断提高了医疗效率。
还有谁在工作?
特殊的企业,不仅不能在春节期间放假,反而会更为繁忙,以医院为例,这是典型的“没有传统假日”的企业类型,越是节假期间,医院工作保障需求越是突出,7*24小时“全天候”运行,在这一行业最为直接和明显,甚至于,随着信息技术越来越发达,有人断定,如果远程医疗和诊断的重要性进一步上升的话,医院网络承载的,将不仅是数据,还有病员的生命。
作为京城医院数字化建设颇有代表性的医院,北京市儿童医院的网络由工作相当细化的信息中心负责。信息中心主任孙宏国表示,每年的两个三大假(“暑假、寒假、春节”“五一、十一、春节”)都是医院最忙的时候。这其中,春节既在国家规定的公众假期,也是寒假的一部分,更重要的是,春节意味着全国的绝大多数人群的假期。“所以每当春节临近,我们都备感压力,工作更是丝毫不敢懈怠。”孙宏国说。
信息中心负责人王庭骇告诉记者,儿童医院的网络主要包括住院信息系统HIS(Hospital Information System)、影像存储传输系统PACS(Picture achieve Communication System)和实验室信息系统LIS(Laboratory Information System)三大块,“我们医院总共有400多台工作站,每天要处理大量的物资信息、药品分类管理、临床信息管理等业务,随着信息化的不断加强,当前这些业务数据都已经网络化了,所以主网络是任何时间都不能停下的。”他说,“但是有一些其他的非临床医疗业务,例如办公系统,因为有一些科室开始执行值班制度,所以使用量会有所降低,但是即使这样,我们也不能关闭任何一台服务器或交换机。”
当记者就医院应对繁忙高峰时是否增加网络设备或者新业务支持时,王庭骇说,网络在设计之初就按照最高峰值进行配备,有足够的冗余,所以不需要再行扩充。
同样在春节期间更忙的,还有气象部门。天气预报作为出行指南,和人们的生活息息相关,特别是在假期,人们对天气预报的关注就更多,需求也相对要迫切一些。
据北京市气象局信息网络中心副经理余东昌介绍,北京市气象局的网络包括了主办公大楼的内部网络,以及和外部门连接的专线(主要通往中国气象局、南郊观象台、各区县气象局的连接,以及与市政府、消防、环保、水利、市政、国土资源、民航等部门的连接),“此外,还有用于自动气象站点收集数据、进行探测的基于GPRS/CDMA的数据收集网点。”余东昌说。
对于北京市气象局而言,春节期间的所有网络设备,包括所有的站点,将进行更为频繁的数据测试和传输,以便对气象信息进行更多的分析和预测。“北京市气象局的网络业务众多,包括探测数据收集和处理、数据预报系统、决策服务支持系统、电视会商系统(即视频系统――编者注)、海量存储系统等。”余东昌介绍说,“此外,还有诸如内部办公系统、奥运气象服务网站(省略)、短信服务系统平台等等,无论什么情况下都不能停运,因为天气预报工作本身是全年运行并且不允许宕机的。”
据了解,北京市气象局的大部分数据,都通过性能更为稳定的高端网络设备及高端终端实现,以确保业务连续性,主要涉及高性能计算机、服务器、网络交换机、路由器、磁盘阵列、自动磁带库、MCU(多点控制单元)以及UPS(不间断电源)等等多种设备,都是24小时不间断运行的。“一旦天气情况比较复杂,我们的电视会商系统将24小时开通,以便随时了解各区县站点所测的天气情况。”他说。
网络峰值应对有余
对于过年期间运转正常、甚至更为繁忙的企业来说,由于业务流量及内容的增加,是否不仅不能停机,还会产生设备新的需求?多数被调查企业表示,由于在建设过程中已经留足了冗余,应对春节网络峰值基本没有问题。
北京市大中电器有限公司信息管理部经理丁磊表示:“尽管逢年过节消费者会激增,销售量也会大大增加,但是由于我们的各个网点信息化系统还不完备,最主要的就是入账划账系统,过年繁忙的时候,基本考虑的还是增加人力,而不是添加信息设备。”
记者调查发现,大部分的商厦商户在信息化系统方面,远没有宣传得那么完备,众多企业在物流控制系统方面的建设仍有诸多欠缺,而这就使得过年期间利用信息系统提高效率成了空话。
北京市儿童医院信息中心负责人王庭骇告诉记者:“医院网络,在设计之初,就已经是按照最高峰值、而不是病人流量去设计的,网络设计本身要求的是承担各种数据的突然增长,更主要的是软系统方面的建设,而不只是单纯的硬件设备,因此在春节时,我们更多的将加强应急预案和应急手段的准备,而不是将重点放在设备上。”他同时表示,为了强化一些应用保障性,已经要求网络方案的提供商提供尽可能快的响应和备件更换服务。“当然,春节的技术压力还是要比平时大一些的,因为既要保证一部分医生、护士、后勤等有休息时间,也要保证医院业务的正常运行,所以在信息系统的变更上,我们花了一些功夫。”他说。
清华大学网络学校则表示,在春节假期各种网络上的活动有所增加,访问也将增多,为此,学校特别增加了一些节点服务器,以提供更多访问回应,同时也针对整个系统的安全做了一些“加固”工作。
持类似观点的还有机械工业信息中心,该中心原属国家机关单位,目前已改制为企业,主要业务是提供邮箱服务、主机托管、虚拟主机、域名解析、计算机网络安全等服务,同时也为其他的企业提供Internet接入服务以及内部网络平台搭建工作。该公司网管表示,春节期间,为了确保客户网络的维护,机械工业信息中心会在自己的网络系统中添加新的设备,以提高服务能力,适应业务需要。
我们十分好奇,没有添加设备的企业,在维护和保障上,将采取哪些更谨慎的做法来应对业务的增加?
对此每个企业都有自己的一套方法。
儿童医院的服务器会有步骤地定期重启,不断做数据迁移和处理,以优化内存保持持续稳定的状态。硬件方面采用了双服务器、双交换机、双路供电的UPS电源来保障。
北京市气象局则针对不同业务对设备采取了包括双机热备份、降级备份、冷备份等不同级别的备份措施。数据备份采用自动备份系统每天进行备份。
机械工业信息中心每天都会对托管网站进行备份工作,每个月或节假日会进行一次全面的备份工作,年前的一个星期会把之前的备份汇总进行年终的总备份工作,以保证重要数据不会丢失。
相对的,泰康和清华网校都表示只会通过安排专人值班,来保障所有设备正常运转和业务顺利运营。
链接一
典型企业的春节网络情况
一、泰康人寿
问:企业当前的业务模式、企业规模、网络规模怎样?
答:集中的业务模式,全国大约有28家分公司通过专线与总公司数据中心相连,大约有200家三级机构通过专线连接到相应的分公司,再通过分公司到北京的专线连接到总公司数据中心。整体网络是星型结构。
问:春节期间是否有停机情况?
答:公司节假日不停机(除检修外),由于全部系统启动需要24小时,所以一般不停。春节期间,所有业务将继续保持运行。
二、机械工业信息中心
问:机械工业信息中心网络情况如何?
答:机械工业信息中心原属于国家机关单位,2006年将改成企业单位,设专门的网络中心,为用户提供邮箱服务、主机托管、虚拟主机、域名解析、计算机网络安全等服务,还可以提供办公楼内的Internet接入服务以及内部网络平台搭建工作。
问:春节期间网络运行情况怎样?
答:由于网络中心承接了一些网站的运行维护工作,并且承担了整个单位的内部网络安全工作,所以过年期间所有的设备不会停止运行,以便提供足够的安全保障。
链接二
北京儿童医院的应用转变
记者在采访中北京儿童医院的时候,发现许多惊人的变化:医院正在悄悄地向数字化发展并取得了一定成效,既简化了病人看病时的流程,也方便了医院对病人资料的保存和病史的备案。
以放射科为例,随着影像诊断学和设备的不断发展,病人的图像数量也逐渐增多。因此,需要有一种全新的方式来管理、传输、显示病人的影像资料。
以前,病人登记挂号后,医生先要到胶片存储库查找病人原有的影像档案,然后在控制台重新录入病人的资料,病人进行扫描检查后,医生打印胶片后送到诊断室,诊断医生诊断和审核后,诊断报告再被拿到临床科室借阅,最后将胶片归档还到胶片存储库作为备案。
应用了PACS(影像存储传输系统)后,病人只需要通过电子申请单或者RIS预约,直接进行扫描检查,诊断医生和临床医生可直接在电脑上诊断和察看报告及相关影像。
“病人看病的流程简化了,医生诊断的设备和手段却更先进了,病人从2003年到现在的资料都保存在电脑里,现在胶片库已经很少去了。”放射科负责人告诉记者,“只是目前电子申请单有很多科室还无法做到,医院正在逐步推行。”
新的方式也解决了胶片的保存和处理上的问题。以前,保存胶片需要很大的存放空间,不仅查找、使用和管理困难,胶片的丢失、片损和变质也会导致影像信息的严重丢失,更不利于传输、影像资料的共享,给后期应用带来了很大困难。
关键词: 网络威协;安全策略;访问控制;信息加密;病毒防治;定期备份
0 引言
当前,企业信息化建设已进入最好发展时期,信息技术在各个业务领域不断深入应用,信息系统集中度不断提高,信息化在企业经营管理等领域发挥着不可替代的作用。计算机网络中的信息安全问题就日益突出,对信息系统安全带来新的挑战。信息化程度越高,潜在的威胁就越大,计算机网络安全已上升到企业安全、公共安全的高度。
1 当今企业中计算机网络面临的威胁
企业中计算机网络面临的威胁可分为两种:
1.1 人为行为所至的威胁
操作系统人员安装的系统配置不够严格,选择的安全级别过低造成系统漏洞;用户安全意识不强,登录口令选择的过于简单,把系统帐号随意转借他人,与别人共享账户;不法分子设法盗取商业机密,敌对势力对网络进行恶意攻击。这些行为均可对企业计算机网络造成极大的危害,并导致企业机密数据的泄漏。
1.2 应用系统和网络软件的漏洞或“后门”
在信息化建设大规模推进的同时,尽管企业采取了有力的措施,但是许多信息系统不可避免会存在漏洞和安全隐患;网上下载免费的网络软件,有时有“后门”,一般是软件开发公司的设计编程人员为了软件升级或便利而设置的,当被不法人利用,其造成的后果将不堪设想。
2 企业中计算机网络的安全策略
计算机网络资源的高效、快捷为计算机给企业提供了高额利润,但同时也带来了计算机网络中的安全威协,甚至给用户造成巨大的损失。因此加强计算机网络安全性管理,制定一套具有可靠性、可用性、完整性、保密性计算机网络安全策略是计算机管理人员的责任。分别讨论以下几种策略:
2.1 用户主观防护策略
设定此安全策略的目的是让网络用户清醒认识当前信息安全形势,增强计算机网络系统安全工作的责任感和紧迫感。建立可操作性、实效性的安全管理制度,不断优化制度和标准,指导信息系统安全建设、运维等工作。同时加强制度的学习和宣贯,把新制度、新规范及时融入并固化到信息系统的功能模块中,建立规章制度实施的保障机制,强化规章制度实施的检查监督,增强执行力,加强信息系统安全队伍建设,防止非法进入计算机控制室和各种偷窃、破坏活动的发生。
2.2 物理环境保障策略
物理环境要保障网络设备免受自然灾害。机房中配备专业的视频监控系统、供电系统、消防系统、防闪电雷击系统,完善的门禁系统,以及恒温恒湿系统等。
2.3 专业技术层面的访问控制策略
网络访问控制是保护计算机系统中硬件实体和通信链路免受人为破坏和攻击的主要策略。它的主要任务是保证网络资源不被非法使用和非常访问。主要分为几种策略:
2.3.1 用户入网控制
用户入网控制是网络安全访问要做的第一层哨卡。可以设置何种用户在固定时间入网,何种用户准许登录到哪台服务器并获取何种资源;实施网络安全域控制:分域边界控制、域与域间控制、域内控制等三部分,就是对互联网出口集中控制和域接入边界的安全控制;域间与数据中心边界安全控制;域内各业务网络内部的安全控制与规范。
2.3.2 监视和自动锁定系统
网络管理员通过网络设备定时监视网络的性能和流量,对于可疑包要实时跟踪。监视服务器应记录用户对网络资源的访问,服务器设置多媒体形式报警系统。如果有人试图非法进入网络,服务器应自动记录企图尝试进入网络的次数,设定登录最大次数,然后将该帐户锁定。
2.3.3 网络服务器及密钥管理
网络服务器的是被攻击的的几率最高,密钥管理也最为重要。可以设置口令锁定服务器控制台。服务器均禁用弱口令,密码强度加高,减少暴力破解和溢出攻击的可能性;所有磁盘统一分区格式,并设置锁定时间;所有服务器的安全、系统和应用日志审计策略均开启;系统补丁及时更新,防止高危系统漏洞。
2.3.4 文档属性控制
网络系统管理员应给文件、目录等指定访问属性,用户分只读(R)、可写(W)、可执行性(X)三种,重要数据也可设隐藏。也可使用“受托”或“委派”属性,多层管理,保护上一级文档。
2.3.5 设置防火墙机制
防火墙是用来阻止网络中的黑客访问某个机构网络的硬设备或软件。在Internet与Intranet之间构造的一个保护屏障,这一道关卡可以保护内部网免受非法用户的侵入。目前防火墙技术也在不断提高,一般由服务访问规则、验证工具、包过滤和应用网关4个部分构成。局域网上进出的所有网络通信数据包均要经过防火墙过滤。
2.4 信息加密策略
企业机密信息在网络传输过程中,一般文件内容、口令或控制信息不能公开,即使被被截包,也令其无法读取,要实施信息加密。一般的数据加密方式可以在“链路加密”、“端点加密”和“节点加密”三个层次实现。“链路加密”在网络节点之间的链路信息实施加密;“端点加密”是对源端用户到目的端用户的信息实施加密;“节点加密”是对源节点到目的节点之间的传输链路实施加密。网络用户可根据网络传输协议情况和技术水平实施哪种加密方式。
3 企业网安全管理具体实施办法
3.1 加强行政管理
现代化企业都离不开计算机,更离不开网络,设立信息中心办公室,设置计算机安全管理和技术岗位,并落实到人;对工作人员定期进行网络与信息安全培训工作,查漏补缺,及时整改问题,防患未然,提高风险防范能力。
3.2 实施桌面安全管理
遵循“统一平台、集中部署、分级管理”原则,设计和构建企业终端计算机安全防护及安全管理系统平台,达到协防效果。具体做法如下:
3.2.1 中心布控
在企业中心机房内部署SEP(SYMANTEC ENDPOINT PROTEC
TION)策略服务器N台,端点准入控制访问服务器M台,安全管理服务器X台。划分防病毒、补丁分发、端点准入、后台管理、电子文档保护和信息安全等保护综合管理六个子系统,形成一个防病毒体系。配置日志服务器和审计员,定期进行日志审计。
3.2.2 客户端安装
局域网用户桌面全部安装SEP客户端并实施VRV注册,进行实时的补丁分发和病毒预警查杀。只有VRV用户方可在局网上浏览。
3.3 网络安全域实施
是根据网络中不同信息资产的重要程度,划分不同等级的网络区域,实现网络分级保护。针对各单位互联网出口多、地域分散所带来的安全隐患,需要大量缩减互联网出口,实行集中统一管理,提高整体管控能力。各单位按照项目要求关闭互联网出口和自建VPN系统,统一使用一个互联网出口和VPN系统
3.4 实施网络资源管理项目
是通过统一的网络资源管理平台和网络资源数据库对网络IP地址、网络设备、网络准入情况等进行规范化管理。各单位信息部门与项目组相互配合,要做到组织到位,层层落实,确保项目顺利、有序、按期完成。
3.5 设置备份机制
企业的数据是企业的资产,价值无法估量,无论设计得多好的软件,可能因为一些意外造成资料的丢失。制定一个可靠的备份机制,实施本地与异地两种备份,同时做好恢复试验。如果备份的数据具有机密的性质,对过期的备份要进行彻底的销毁,不可随意处置。
3.6 专业技术人员尽责
对于服务器上的软件其定期检查,对于购置的系统软件应及时查看新的补丁包,尽快升级打好补丁。人为的误操作误删文件,应及时维护,尽快恢复。不要在系统中安装非专业用的软件;定期的做注册表清理、磁盘整理等。
4 结论
计算机技术和通信技术在迅猛发展,计算机网络已成为企业现代化办公重要手段,渗透到企业管理的各个领域。“千里之堤、溃于蚁穴”,处理好计算机网络安全的每一个环节和细节,认清网络的潜在威胁,采取有力的安全策略,实施有效的措施防护办法,做到:
1)防范为主,制定好网络安全控制策略。
2)备份为辅,设置数据备份机制。
3)定期检测,同时做好应急预案。
才能保证企业计算机网络的安全、可靠,才能实现网络用户的信息安全。
参考文献:
[1]网络安全策略,互动百科,3.2.1-3.2.8.
[2]鲁士文,计算机网络原理与网络技述,机械工业出版社,1996.10.6.
[3]葛秀慧,计算机网络安全管理,清华大学出版社,2005:1.9-1.11.
[4]周天明,TCP/IP网络原理与技术,1993:3.2-3.4.
[5]胡道元等,网络安全(第2版),清华大学出版社,2008:2-3.
【关键词】电力企业;网络信息化
【中图分类号】TM73
【文献标识码】A
【文章编号】1672-5158(2012)12-0016-01
1 电力行业网络与信息安全工作开展情况
2000年以来,我国相继发生了“二滩电厂停机事件”、“故障录波器事件”、“逻辑炸弹事件”、“换流站病毒感染事件”等多起电力行业网络与信息安全事件,造成了不同程度的事故影响,威胁到了电力系统安全稳定运行,同时也暴露出了我国电力行业在网络安全接入方面、安全生产管理方面、人员信息安全培训等方面存在薄弱环节。
针对类似电力信息安全事件,2002年,原国家经贸委第30号令《电网和电厂计算机监控系统及调度数据网络安全防护规定》,对电网和电厂计算机监控系统防护提出了要求。国家电监会成立后,对电力二次系统及网络信息安全防护明确提出了“安全分区、专网专用、横向隔离、纵向认证”的总体防护策略,并制定印发了《电力行业网络与信息安全信息报送暂行办法》、《电力行业网络与信息安全应急预案》、《电力行业网络与信息安全监督管理暂行办法》等一系列管理办法,使电力行业网络与信息安全防护的理念更加系统化、具体化,增强了可操作性,电力行业网络与信息安全防护工作进入了实质性建设阶段。
2 目前我国电力信息网络的现状
(一)信息化网络基本形成多年来我国一直非常重视电力行业信息化建设。从目前状况来看,电力企业信息化建设硬件环境已经基本构建完成,硬件设备数量和网络建设状况良好,无论是在生产、调度还是营业等部门都已实现了信息化管理,在网络硬件方面,基本能够保证电力行业工作的正常运转;在软件建设方面,也实现了包括调度自动化系统、生产管理信息系统、营销信息系统、负荷监控系统及各专业相关在内的应用系统设施。电力系统网络化的实现,对保证安全生产、节能消耗、降低成本、缩短工期、提高劳动生产率等起到了促进作用。
(二)信息安全仍然存在不可忽视的问题、虽然网络系统已经基本形成,但是信息安全还不尽乐观,主要表现在信息网络安全还没有涉及到各个领域,其发展也是不平衡的。有的电力企业对信息的安全重视不够。如很多电力企业的网络系统还没有防火墙,有的甚至没有数据备份的概念,更没有对网络安全做统一长远的规划,因此,电力企业网络中存在许多隐患。这种安全意识的淡薄,具体工作的不到位,导致了网络信息系统的不完善,给网络的安全带来了很多的不利因素。可以说,目前我国电力系统信息安全体系还不完备,缺乏统一的信息安全管理规范。
(三)对电力系统信息网络的投入不足从目前我国电力行业网络信息的综合情况看,国家对电力行业信息化管理的投入还不均衡,特别是对边远地区的投入还有待加强。与电力行业其它方面的硬件投入相比,对网络信息的投入也不够。这就需要加大投入,以建立一个统一安全的信息网络,以保证电力系统安全。
(四)电力行业的软件开发还不到位由于经费不足等种种原因,软件开发还没有细化。如很多单位的数据库数据和文件都停留在明文存储阶段,以明文形式存储的信息存在泄漏的可能,拿到存储介质的人可以读出这些信息,黑客也可以绕过操作系统,从数据库管理系统的控制处获取信息。再如,用户身份认证基本上采用口令鉴别模式,而这种模式很容易被攻破。还有的应用系统使用自己的用户鉴别方法,将用户名、口令以及一些安全控制信息以明文的形式记录在数据库或文件中,这种脆弱的安全控制措施在操作人员计算机应用水平不断提高、信息敏感性不断增强的今天风险特别大。以上种种情况,究其原因,还是电力软件开发得不够所致,目前的软件还不能完全适应形势的需要和工作的需要。这是个亟待解决的问题,如果这个问题解决不好,会导致大的问题出现。
3 加强电力行业网络信息安全的措施
(一)提高认识,强化信息化安全教育信息网络如何能使用安全,很大程度上在于工作人员的认识程度。安全意识和相关技能的教育是企业安全管理中重要的内容,其实施力度将直接关系到电力企业安全策略被理解的程度和被执行的效果。如何能保证网络信息的安全,一个重要的措施就是广泛地进行信息管理人员的培训。为了保证安全的成功和有效,电力行业的管理部门应该及时对企业各级管理人员、用户、技术人员进行安全培训,所有的企业人员必须了解并严格执行电力企业安全策略,要让各级信息管理人员,重点是了解和掌握企业信息安全的整体策略及目标、信息安全体系的构成、安全管理部门的建立和管理制度的制定等。负责信息安全运行管理及维护的技术人员,重点是充分理解信息安全管理策略,掌握安全评估的基本方法,对安全操作和维护技术的合理运用等。只有这样,才能保证电力网络信息系统的安全操作。
(二)采取措施,提高信息网安全防护技术水平一是对网络防火墙高度重视。防火墙是电力企业信息网络的唯一出口,所有的访问都将通过防火墙进行,不允许任何绕过防火墙的连接。因此,做好这一通道的把关尤为关键,应该对这方面的技术重视起来,研究出更高水平的防护软件,以适应信息网安全工作的需要。二是对入侵检测系统高度重视。要部署先进的分布式入侵检测构架,保证电力企业信息系统的安全检测。入侵检测系统要采用攻击防卫技术,要具有高可靠性、高识别率、规则更新迅速等特点。三是对网络隐患扫描系统高度重视。扫描网络设备包括:服务器、工作站、防火墙、路由器、路由交换机等。扫描结束后生成详细的安全评估报告,采用报表和图形的形式对扫描结果进行分析,可以直观地对用户进行安全性能评估和检查。四是对数据加密系统高度重视。要通过文件加密、信息摘要和访问控制等安全措施,来实现文件存储和传输的保密和完整性要求,实现对文件访问的控制。对通信安全,采用数据加密,信息摘要和数字签名等安全措施对通信过程中的信息进行保护,实现数据在通信中的保密、完整和不可抵赖性安全要求。五是对数据库安全高度重视。要通过数据存储加密、完整性检验和访问控制来保证数据库数据的机密和完整性,并实现数据库数据的访问安全。总之,网络信息的安全技术对维护网络信息的真正安全尤为重要,因此这方面的工作需要加强。
(三)加大力度,建立统一的信息网防护体系
一是要保证信息管理工作人员体系的相对稳定。防止网络机密泄露,特别是注意人员凋离时的网络机密的泄露。二是完善软件和硬件管理体系。主要是指各种网络设备,网络安全设备的安全策略,如防火墙、物理隔离设备、入侵检测设备、路由器的安全策略管理要切合实际。三是要注意信息介质的安全管理。主要是备份的介质要防止丢失和被盗,报废的介质要及时清除和销毁,特别要注意送出修理的设备上存储信息的安全。
虚拟化在资源利用率、方便性、可管理性等方面的优势日渐凸显,因此越来越多的企业对自己的IT系统开始进行虚拟化改造。但是,虚拟化在带来各种便利的同时,也在某种方面增加了安全风险。只有充分了解系统虚拟化之后在安全方面发生的变化,才能部署相应安全措施,做到趋利避害,化解因虚拟化带来安全风险。
一个典型的企业网络架构(如上图)往往都是分为了内网和外网,其中内网区域中有多种业务系统,如用于登录认证的Radius服务器和动态目录(AD)服务器、办公自动化(OA)系统和企业管理系统服务器、内部Web和文件共享服务器等;外网区域中有例如企业门户网站这样的面对公众服务的多种业务系统服务器。
针对这样的网络架构,企业用户虚拟化多分为服务器虚拟化、网络虚拟化、存储虚拟化、桌面虚拟化四个领域。服务器虚拟化主要任务是将多个物理服务器用虚拟机的方式整合到一个物理主机上,从而提高就有系统的兼容性,提高设备利用率和管理效率,降低能耗。网络虚拟化不是新概念,VLAN和VPN都是网络虚拟化的具体体现,也早已被广泛应用。同时它也是服务器虚拟化的基础。存储虚拟化是将分散的存储资源整合在一起,形成一个统一的存储池。在很多企业中,还是实现了桌面虚拟化,即将用户终端环境在服务器端虚拟化实现,通过虚拟化交付协议呈现在客户端界面上。
理清虚拟化的衍生风险
企业信息系统在虚拟化改造之后,在某些方面会提高安全性,同时也会带来一些新的风险,这些风险是新技术的必然产物,其表现形式与传统网络环境中的风险类似。本章节罗列的风险只涵盖了因虚拟化所衍生的新风险,而不涉及虚拟机内部与传统网络环境中完全一样的风险,例如虚拟机被植入僵尸程序后发动拒绝服务攻击。
漏洞和配置错误
如同传统的IT系统一样,虚拟化系统中也存在大量漏洞,一部分漏洞是存在于虚拟机上,另一部分则属于Hypervisor。类似地,虚拟化系统中也同样会有配置错误的情况。
Hypervisor上常见的配置错误包括:虚拟机集群非常庞大的情况下多个虚拟网络的配置;对于虚拟机之间通讯的配置存在错误;对Hypervisor管理接口的访问限制的配置不够严格;对虚拟机可访问物理接口(磁盘驱动器和网络适配器等)的配置错误。
当虚拟机上存在漏洞,使得攻击者完全控制一个虚拟机后,通过利用各种Hypervisor安全漏洞,可以进一步渗透到Hypervisor甚至其它虚拟机中。这就是所谓的逃逸威胁。同时还可能导致数据泄露以及针对其它虚拟机的拒绝服务攻击。
脆弱的身份认证
在传统网络环境中,各业务系统是分立的,管理员口令和密码也是单独的。即使口令被暴力破解,影响面也比较小。而在虚拟化环境中,如果虚拟化管理系统的管理员口令被暴力破解,将会影响到整个虚拟化网络。因此在虚拟化环境中使用用户名和口令进行本地认证,风险非常高。
监管障碍
实现虚拟化后,一方面会造成网络流量监控的盲点,因为在传统网络环境中,基于区域(Zone)划分保护的硬件防火墙,以及基于行为特征分析的IDS/IPS对整个网络防护(从外到内、从内到外、从内到内等通信)起关键作用。但在虚拟化环境中,同一物理机上各虚拟机之间通信流量根本不经过这些网络安全设备,这显然是网络安全防护中的盲点;另一方面使得整个系统的安全边界模糊化,传统的安全域有明确的物理边界,而在虚拟化环境下,这种安全边界变得模糊起来,同一物理主机上有多个属于不同安全域的节点。
数据残留风险
数据残留是数据在被以某种形式擦除后所残留的物理表现,存储介质被擦除后可能留有一些物理特性使数据能够被重新恢复。在虚拟化环境中,因为存储资源和计算资源的公共共享,数据残留有可能会无意泄露敏感信息。但是在企业网络环境中,所有的存储资源都是自有的,这种风险相对要小很多。
虚拟化安全的方案与对策
为了应对虚拟化的衍生风险,需要从技术、管理、人员等几个方面考虑安全方案和策略。即增加必要的技术手段,覆盖因虚拟化产生的管理盲区。调整管理流程并加强人员培训,以适应虚拟化环境下的新要求。与传统网络环境的安全管理类似,虚拟化信息体系的安全管理也需要从变更管理、异常监控、攻击防护、访问控制、身份认证、行为审计、通讯加密、追踪取证、数据管理等方面入手。
变更管理
变更管理的任务包括:及时安装Hypervisor 和虚拟机的各种更新和补丁;正确配置系统Hypervisor 和虚拟机的各种设置选项(如与可信任的授权时钟服务器同步、虚拟机之间通讯的配置、虚拟机对物理接口访问的配置、虚拟机 集群配置、Hypervisor 的隐形化处理等);监控系统配置的变化,防止非法篡改。
在实际案例中,可以采用VMware vSphere Update Manager和 VMware vCenter Configuration Manager作为变更管理的工具。
Update Manager 可以安全地修补离线虚拟机,即在非启动的状态下直接修改镜像文件中的二进制文件然后再保存,而无需将其暴露在网络上,从而降低了生产环境中非遵从虚拟机造成安全问题的风险。
Configuration Manager可以对系统进行策略驱动的变更检测,并识别变更是否在策略范围内。这些策略是基于整个行业规范的预期的可接受行为或自定义的最佳实践。
异常监控与攻击防护
对虚拟机的监控包括性能和流量两个方面。在虚拟化环境中,由于虚拟机的通信是通过虚拟交换完成的,这部分网络通讯无法像传统网络中那样通过监听或嗅探获得,因此必须找到一种监控虚拟机网络流量的手段,并对这些流量进行分析,及时发现异常。对虚拟机的性能监控情况也是类似,需要在Hypervisor层部署相应的监控才能获得每个虚拟机的性能情况。对于硬件性能的监控,需要虚拟化平台自身提供相应的支持。
对虚拟环境的攻击防护分为两方面。一方面防止从外部对整个虚拟化系统进行DDoS攻击防护。本案例采了中科慧创的主机主动防御系统进行防护。另一方面在现实虚拟化环境中,已经出现某个虚拟机对其它虚拟机的攻击的案例。因此需要对不同虚拟机集群以及不同的虚拟机之间采取安全防护和隔离措施。
访问控制与身份认证
虚拟化平台自身通常都带有访问控制组件,例如VMware vCenter Server提供一个单一控制点。它还提供与活动目录的访问接口,与活动目录相连以获得用户访问控制信息。为防止对虚拟机和Hypervisor的访问认证被暴力破解,本案例中使用双因子的RSA动态令牌认证系统。甚至在某些认证安全等级要求较高的场合,可以考虑采用数字证书的方式实现身份认证。此外,还可以通过防火墙等访问控制机制,限制远程Hypervisor的管理访问。
镜像管理、灾难恢复与追踪取证
虚拟化环境下是镜像管理可以包括:对镜像文件和快照的访问要进行严格控制,防止非授权访问;检查加密校验和来判断镜像是否被篡改;保存一份好的Guest OS 镜像备份,以便在虚拟机被攻陷或镜像文件损坏后,使用备份的镜像文件快速恢复;一旦确定虚拟机被攻陷,应对被攻陷的虚拟机 操作系统进行研究,查找恶意软件;对被攻陷的虚拟机应立即封装映像文件并留下快照,形成司法证据并作为后续攻击机制分析的资料线索。
管理策略与风险评估
虚拟化安全管理是一项系统性工作,仅靠一些技术手段无法保证安全运行,还要结合一些管理规定和策略,以及必要的人员培训,才能最终达到安全保证的要求。
所以虚拟化改造以后,需要对原有的安全管理流程和规定重新梳理,以适应新的网络环境要求。例如,应对虚拟化环境应制定应急预案,以确保在灾难发生时,能迅速应对。
对虚拟化环境的安全管理,还应包括定期的风险评估工作。主要的评估项目包括:日志审计、漏洞扫描、渗透测试、配置核查、镜像文件一致性核查等内容。这些评估项目在传统IT环境中已经存在,所不同的是需要针对虚拟化环境的特殊性进行相应的调整。
关键词:信息技术 电力信息系统 安全性
中图分类号:TM769 文献标识码:A 文章编号:1007-3973(2013)010-040-02
1 引言
电力系统在国民经济中的影响与日俱增,人们的日常生活已经与电力紧密相连,任何一处的电力系统的发生不稳定现象都将对该范围人们的生产生活产生重大的影响。伴随着信息技术的出现,电力监控系统逐步转化为分布式监控,每部分地区发生电力系统的不安全、不稳定现象,都能通过该系统进行监控,进而在最短时间内解决问题。随着电网规模的扩大、电力需求度的急速增长,各行业对电力系统的各方要求越来越高。信息技术的出现可以很好地对电网整体情形进行高效地控制,相比以往的配人值守等方式,准确性与安全性得到了很大的提高。利于信息技术可以把电力系统中分布遥远的发电厂、调度中心以及变电站等子系统紧密有序地联系起来,使电力系统的整体性更加稳定。信息化程度的深化,可以将电力中的调度业务和市场业务升级到因特网层面上,使业务处理显得更加灵活有序。然而,信息化技术的深入在充分提高电力效率、保持系统性能稳定等作出巨大贡献的同时,也对电网的系统网络安全产生了一定的影响。因此,本文以电力信息系统中的网络与信息安全防护为对象,全面分析电力信息系统安全风险及需求,提出了电力信息系统安全防护方案和改进措施。
2 电力信息系统安全体系现状
电力系统是一个与社会稳定、人民生活息息相关的复杂体系,保证期安全、稳定地运行是保证国民经济正常运行的基础。做好安全防护工作的内容通常包括以下几个方面,例如信息安全管理策略的运行、信息安全体系总体框架的建立、信息安全技术方案的研究及实施、总系统下的各有关子系统的安全故障排除等方面。2003年,电力信息网络的安全运行被国家电网正式纳入电力安全生产管理范畴,电力系统信息安全同时也被国家科技部列入国家信息安全示范工程之一,可见电力系统的网络安全问题也由此被相关部门所重视。2008年是电力系统经受了重重考验的时期,例如年初的雨雪冰冻灾害、5月发生了汶川大地震、8月举办了北京奥运会和残奥会等等。即使我国加大了在电网的现代化建设中引入信息化技术,但我国对电力系统安全性的研究相对而言尚处于发展探索阶段。电力系统的信息化现状主要体现在以下几个方面:
2.1 初步完成了信息化基础设施建设
信息技术在电力系统中广泛应用的背景下,我国初步完成了信息化电力系统的基础设施建设,同时,电力系统的各个子系统的管理水平得到了很大的提高,包括发电生产管理信息化水平、电网管理水平、企业管理水平等。电力信息基础设施的广泛建设,使得信息技术得到了飞速发展。以电力通信网为基础的调度数据网络系统、信息网络系统等已经初步形成,为电力的高效管理奠定了坚实的基础。信息技术的深入发展使得电力通信网已发展成为集光纤、卫星、数字微波等手段为一体的电力信息网络系统,覆盖了包括发电、输电、配电等多个环节。
2.2 独立自主地坚持了创新之路
纵观国内外电力系统信息化的发展历史,可以发现我国的电力系统信息化水平已经处于高速发展阶段。通过技术引进和自主开发,配电系统自动化领域总体达到国际先进水平,一些国际领先的、独立的研究的能源管理系统和其他关键控制系统已在电力电网调度系统中得到了广泛地应用。其中,SG186等多个应用系统平台、电力信息安全专用装置在开发完成之后,已经投入到实际运行当中,产生了巨大的经济效益。由此可见,我国在电力行业信息产业道路上取得了丰硕的成果。
2.3 信息安全技术取得了重大突破
由于电力系统逐步升级为自动化管理,信息在处理过程容易发生偏差,造成各种损失,因此,我国在信息安全方面加大了投入。经过多年的研究探索,电力信息安全取得了很大的进展,主要体现在以下几个方面:(1)基本完成了第一批电力企业信息系统的安全防护工作。(2)开展了以网络安全为主的电力行业信息安全的基础性工作。(3)初步建立了有关电力行业信息安全的法律法规,使信息安全逐渐变得合法化、规范化。(4)建立了电力行业网络与信息安全的管理制度,完善了信息安全责任体制。
3 电力系统信息安全的有关防护方案
由于信息系统安全是一个复杂的系统工程,且电力处于国民经济产业中的重要位置,更应系统地、全面地进行分析和把握,从全局角度加以设计和实施。按照安全风险类别及安全建设原则,电力信息系统的安全防护方案大致可分为以下几个方面:数据安全、系统安全、网络安全、物理安全等四个方面。
3.1 数据安全
数据安全的核心工作是做好数据的安全存储、信息鉴定、安全传输等三方面内容。信息安全存储是要保证企业业务安全运行的关键,日常生活中最安全、最有效的方法就是采用数据备份,一旦发生操作系统瘫痪、或者数据库系统的数据丢失等情形,备份的数据可以及时弥补。数据在传输过程中容易发生被非法窃取、篡改等威胁,信息鉴定技术可以保证数据完整。由于电力系统在国民经济生活中起着重要作用,因而其传输的都是重要信息,实际操作中可以结合传输加密技术实现数据的机密性。最后,信息传输安全主要指的是为了保护数据信息传输过程的安全。
3.2 系统安全
系统安全方案设计中主要包括安全评估、病毒防护、操作系统安全等三方面内容:(1)安全评估是为了减轻因系统的安全漏洞而导致的黑客攻击,安全评估系统可以有效地对系统进行扫描,搜索并修补安全漏洞,增强系统对网络攻击的防护能力。(2)病毒防护必须通过防病毒系统来实现。一个完整的防毒系统应该包含从网络、服务器、应用平台到桌面的多级结构,此种体系下才能有效地防治病毒,从而保证整个体系范围内病毒防护体系的有效性和完整性。(3)由于操作系统是整个安全系统的核心控制部位,因此要应该行之有效地进行防护,尽量采用安全性较高的操作系统,关闭存在安全隐患的程序和文件,严格限制用户使用权限,及时修补系统安全漏洞。
3.3 网络安全
网络安全方案设计中应该主要注意安全检测和网络结构安全两个方面:(1)作为防火墙的合理补充,安全检测须在内部核心部位配备入侵检测系统,以对抗来自系统系统内部和外部透过防火墙的各种攻击,在入侵检测系统和防火墙的共同作用下,可有效地减小系统的损害程度。(2)网络结构布局的合理布置也影响着网络的安全性。对于电力系统内部的各种联系,例如办公网络、业务网络和外单位互联网等接口之间应该设置保密程序,避免安全系数较低的其他网络对其构成威胁。
3.4 物理安全
一般意义上的物理安全主要指的是环境安全、设备安全、媒介安全等三个方面:(1)应注意环境安全保护,以确保电力系统的信息设备不因环境问题而出现故障。(2)加强设备的安全保护,防止发生设备被盗、损毁现象,也要限制设备防护人员的数量,限制设备出现损毁的客观条件。(3)媒介安全方案的设计主要是加强场地基础设施建设,严格制止信息通过辐射、线路截获等方式造成泄露。
4 电力系统信息化过程中的安全防护措施
由于电力系统信息安全是社会可靠供电的保障,因而需要严格控制。笔者根据多年从事电厂管理工作的经验,综合国内外学者的相关研究,提出以下几条措施建议:
4.1 加强安全管理
除了电力网络系统自身的不稳定因素外,内部的人为因素也占有很大比例。因此,加强内部的安全管理可减少人为风险的产生。具体措施如下:
(1)适时进行安全教育。安全知识和相关技能的教育是企业安全生产的保证,各个从业人员须了解并严格执行企业安全策略,并且防止重技术轻管理的倾向,加强对人员的管理和培训,否则无法建立一个真正安全的网络信息系统。
(2)建立安全管理制度。电力行业中,管理的各方面主要包括人员管理、机房管理、设备管理、技术资料管理、操作管理、应急事件管理、开发与维护管理等。
(3)完善安全技术规范。主要包括信息维护、数据保护、软件安全开发、数据备份规范等,保证后续电力信息系统的开发安全。
(4)建立安全保证体系。其中明确各有关部门的工作职责,包括落实责任制,实行信息安全责任追究制度。
4.2 加强防护措施
基于电力系统信息技术的防护措施应立足于风险可能发生的部位。主要包括以下几个方面:(1)加强数据防御,即保证数据在存储、使用过程中的完整性,同时也要保证系统出现意外故障时数据依然能够及时恢复。(2)完善系统自身物理防御,包括主机防御和边界防御,主要指的是对系统漏洞进行扫描、对主机加固,利用防火墙等安全设备来保护网络入口点等。(3)增强应用防御,因为应用程序中完整的应用开发安全规范可以实时控制应用程序的各种功能,在此基础上生产的产品可消除已知安全漏洞,因而风险最低。
以上几项措施的核心技术体现在以下几点:
(1)物理隔离。主要用于电力信息网不同区之间的隔离,由于其隐蔽性,使得该系统不易遭受攻击。
(2)数据备份。电力企业的数据需经常进行备份,建立企业数据备份中心,制定详尽的应用数据备份预案,从而保证信息系统的可用性和可靠性。
(3)网络防火墙。防火墙是用于将信任网络与非信任网络隔离的一种技术,它可以阻断攻击破坏行为,分权限合理享用信息资源。
5 结束语
随着信息技术在电力系统中的应用日益广泛,其风险问题的研究不容忽视的主题。本文通过分析了我国电力信息系统当前的现状和主要构成,综合已有学者及笔者自身从事电厂管理的经验,提出了包括管理措施和技术措施等两方面的措施建议,主要针对电力信息系统中存在的威胁系统安全的因素,提出合理化的建议,设立严格的安全管理制度,增强人员的技术水平和安全意识,以此保障电力信息系统的安全与稳定。
参考文献:
[1] 王建永.电力系统信息安全应用研究[J].硅谷,2008(12).
[2] 谢翔.如何解决电力系统的信息安全问题[J].电力安全技术,2008,10(1).
[3] 梁永华,谈顺涛.安全技术在地区电网计量计费系统中的应用[J].电网技术,2004,28(20).
[4] 陈思勤.华能上海石洞口第二电厂实时系统安全分析及防护对策[J].电网技术,2004,28(11).
[5] 余贻鑫,赵义术,刘辉,等.基于实用动态安全域的电力系统安全成本优化[J].中国电机工程学报,2004,24(6).
[关键词] 云计算;金融信息;系统安全
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2014 . 06. 018
[中图分类号] TP393;F931 [文献标识码] A [文章编号] 1673 - 0194(2014)06- 0026- 04
1 引 言
在经济全球化和信息技术高速发展的今天,瞬息万变的市场环境对金融企业管理、业务创新、市场开拓、服务水平等提出了更高的要求,金融企业信息化进程成为制约金融企业快速发展或转型的关键。而传统的信息化建设和管理模式很难满足金融企业在灵活性、多样性、个性化等需求。面对逐年增加的IT建设和运营投入,越来越多的金融企业开始寻找新的途径。云计算作为新型的计算和服务模式为金融系统信息化建设提供了新的实施方式。云计算提供了一种计算机资源按需获取和交付的业务模式,可以向用户提供可无限伸缩的服务来满足客户和业务需求。云计算的技术优势极大降低了金融企业 IT 建设及运营维护成本,使金融企业能够更快捷、廉价地获取必需的IT资源[1]。
“云金融”是云计算在金融领域的行业应用,可以将金融机构的数据中心与客户端分散到“云”里,提高信息共享程度。通过有效的基础实施即服务、平台即服务、软件即服务的众多业内知名金融企业,联合将线上线下资源整合成一套包括交易平台、结算平台、网上支付平台、外汇交易实体平台、中小金融企业云服务平台等经济活动融为一体的、全面的、综合的金融信息系统,为金融客户提供生产中心、灾备中心、存储中心、灾难恢复、金融演练、远程数据保护、网络优化、安全管理等全方位的外包服务及各种云应用平台服务,最终形成面对金融行业的整体解决方案[2]。
目前,我国金融云应用尚处在探索和起步阶段,没有统一的行业技术标准,缺乏相关的监管政策支持。云环境的安全性问题是金融信息系统需要考虑的重点问题。
随着云计算平台相关技术的发展以及SaaS等新型架构的成熟,云环境下的金融信息系统成为现实,而安全问题是云平台需要重点考虑的问题。本文结合当前金融信息系统的云计算发展趋势以及存在的问题展开研究,通过分析现有云平台以及基于SaaS的金融信息系统中的安全隐患,提出云金融信息系统的安全框架,为云计算环境下的金融信息系统提供了安全解决方案[2]。
2 云平台核心安全问题分析
基于云平台SaaS架构的金融信息系统由于云计算环境的公开化、开放性等特征面临着安全问题。云计算平台需要得到用户的信任,这样用户才能将数据托管在这个云环境中;同时,云计算服务提供商应该保障云资源的可靠性和完整性,要具备高水平的灾难恢复能力。根据美国著名市场研究公司Gartner的研究表明,云安全服务存在7大潜在安全风险[3-4]。基于对云计算环境以及SaaS的分析,得出云平台的如下核心安全问题:
(1)特权用户访问。在云平台中能够绕过公司内部对于相关程序的物理、逻辑以及人员进行操作,因此,在企业外部处理敏感数据的方式具有与生俱来的风险性。
(2)法规遵从。云服务提供商只托管企业数据,客户对于自身的数据的安全性和一致性仍然负有最终责任。传统的服务供应商受制于到外部审计和安全认证。而云计算技术则拒绝接受类似的审查。
(3)数据位置。云服务的分布式特性使得企业在使用云服务时无法知道数据托管的具置,更无法知道当地运营机构是否严格遵守隐私保护要求。
(4)数据隔离。云服务中的数据通常是与其他客户的数据一起共享存储的,但是加密方式不能绝对的保障数据绝对安全,所以要将自己数据与其他企业用户的数据隔离开来。
(5)灾难恢复。云服务提供商应当对用户数据进行有效的备份,保证在灾难时能及时恢复保证业务正常运行。如果缺失,对企业而言将是巨大损失。所以企业用户一定要求云服务商做出承诺,必须对所托管数据进行备份。
(6)调查支持。云计算会将多个用户的数据和记录同时存放在一起,或者跨主机、数据中心存储,企业的正常的数据调查会得不到许可或困难重重。如果你的供应商无法做出相关承诺,那么一旦违法行为发生时,你将面临无法取证的尴尬。
3 基于云计算技术的金融信息系统安全风险分析
云环境下金融信息系统将某个银行的全部的数据集中在总行计算机系统中统一管理、协调,为加速资金的流动和创新业务的实施奠定基础。在互联网上部署这类系统可以极大地提升企业的业务数据处理能力,但同时也向那些企图进入金融企业信息系统内部获取机密数据的人敞开了大门,因此,保证软件系统的安全显得尤为重要。从以下几个方面对云计算SaaS基础上的金融信息系统所面临的安全风险进行分析[2]。
3.1 物理和环境安全
物理安全对金融企业基础设施来说非常重要,所面临的问题比较多元化,主要涉及数据中心设计、弱电规划、火灾等突发事件应急、访问控制、闭路电视(closed-circuit television,CCTV)实施等。物理安全用于保护金融企业资产不受损失,是对环境风险和不可预知认为活动的第一道防线。这类风险主要有:①内部人员“滥用”造成的资产损失;②设施缺陷造成的业务中断或数据损失;③缺少有效的访问控制和监控制度;④缺少必要的灾备和业务连续性计划[5]。在云计算环境中,数据资源保存在远程服务器中,其物理和环境安全对于金融企业用户来说具有不可控性。
3.2 灾备和业务连续性
服务器群突发技术故障会造成数以千计金融企业网站服务中断,给金融企业造成巨大损失。灾难恢复的目的是将灾难造成的损失降到最低程度,业务连续性计划的目的则是从更长远的角度来解决问题来保障业务能够长期、稳定的运营。中小金融企业中往往都缺少相关管理制度和规划,在突发事件中,不稳定管理业务系统将会给金融企业带来极大的运营风险甚至直接经济损失。云计算服务器的灾备回复能力是关系到业务系统能否连续性运行的关键。
3.3 网络安全
网络包含了许多不同的机制、设备、软件和协议,它们互相关联形成一个整体。网络安全涉及了网络上数据信息的保密性、完整性、可用性、真实性和可控性。拒绝服务攻击和无加密的数据传输是常见的两类网络安全隐患。在云平台SaaS架构下,不安全的协议和密码泄露都会对金融信息系统的安全保密造成破坏;无加密的数据传输对金融信息系统而言将会是致命打击,数据在传输过程中可能会被截取并被篡改,这不仅会造成金融企业数据丢失,甚至还会影响到金融企业的正常运营、数据的泄露等,同时有可能需要金融企业来承担法律责任。因此,需要探讨SaaS所带来的网络安全隐患,并采取措施来避免这些安全问题。
3.4 数据安全
数据是SaaS金融信息系统的核心资产, 直接关系到金融企业的商业隐私。数据安全除了传输安全之外还包括存储安全、静止数据安全等。存储或备份在磁盘上的业务数据往往都缺少必要的安全机制,例如存储加密,直接或者间接访问和篡改都会给金融企业造成巨大风险;存放在数据库中的静态数据通常而言都没有进行加密。在多组户环境下,上层应用的逻辑缺陷将导致其他恶意“租户”对金融企业私有静态数据进行直接访问或操作。Web应用安全和数据安全紧密结合相辅相成缺一不可。
3.5 Web应用安全
绝大部分SaaS信息系统都是以浏览器作为用户访问的瘦客户端,Web服务器就成为联通互联网和内部网络的桥梁。应用安全的架构决定了SaaS金融信息系统的安全性,多组户环境下的配置管理、权限分配、虚拟资源的访问控制都和安全息息相关。据美国应急响应中心统计,2010年全年披露的漏洞80%以上和Web应用相关。作为业务前端的Web应用程序的脆弱性直接影响到整个系统的质量保证。开放式Web应用程序安全项目(OWASP,Open Web Application Security Project)是一个组织,它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。如表1所示,OWASP十大页面应用程序安全风险项目提出了当前最具有风险的漏洞类型及攻击方法。
3.6 访问控制
访问控制是保证金融企业信息安全的重要手段,信息安全的根本也是通过控制信息资源访问来保护系统资源免受未授权访问。SaaS金融信息系统中访问控制包含的范围很广泛,涵盖了从上层应用的用户身份管理到底层网络边界控制的很多方面。在缺少有效的身份供应机制的系统中,离职员工账户或存在弱口令的账户都将对业务模块造成严重的威胁。底层架构在缺乏有效边界保护或安全域划分的情况下同样会产生更多安全隐患。
3.7 网络病毒及木马程序
SaaS金融信息系统威胁主要来自网络病毒,在受到病毒攻击时,服务器未受到有效保护的话,数据就会丢失,造成的破坏是无法弥补的。木马程序也是业务数据安全的隐患之一。如果数据服务器被植入木马程序后,木马程序平常是隐藏的,但其会随着系统悄无声息地启动,一旦木马在服务器后台运行起来,服务器系统就会有端口被打开,黑客就会利用控制端程序潜入到服务器内部,服务器上的所有程序和数据暴露无疑,这样安全和隐私就全无保障了。病毒和木马的防范对于系统安全来说至关重要,需要有健全的病毒木马防御体系来保证数据的安全。
3.8 系统安全
云计算的分布式特性导致了在任何一个系统中都可能找到金融企业的敏感数据,在这个前提下系统的安全性同样不能忽视,尤其是在访问控制不到位的环境下,很有可能存在直接暴露在互联网上的IT系统。
系统安全漏洞根据对其系统造成的潜在威胁 (破坏性、危害性、严重性)以及被利用的可能性为依据将系统漏洞分为紧急、重要、警告、注意等。对“紧急”或者“重要”级别的系统漏洞需要及时的安装补丁程序。常见的漏洞类型归类如表2所示。
4 云环境下金融信息系统安全框架构建
基于上述云平台自身安全问题以及SaaS金融信息系统所面临的常见安全风险的分析,对于每个风险点都可以采用相应的策略来进行规避,从而提升系统的整体安全水平。本文提出如图1所示的安全框架,以解决基于SaaS的金融信息系统的安全问题。
如图1所示的金融信息系统安全框架,包括金融企业信息安全治理、第三方管控、风险评估等6个主要解决方案,具体详细介绍如下。
4.1 金融企业信息安全治理
由于金融信息系统的特殊性,不管金融企业采用的是什么服务或部署模型,金融企业用户和服务提供商应当协商进行信息安全治理来达到支持业务需求和信息安全保障的一致目标。信息安全治理类似于IT治理,都是为了确保企业的生存和发展为目标的。随着新的法规法案的颁布,对金融企业管理要求的提高会增加金融企业安全治理的需求。金融企业用户应当制订符合自身发展的信息安全规划,投入适当人力对IT系统进行定期评估和审计。
4.2 第三方管控
对云服务提供商的供应链进行深入的调查和评估涉及事件管理、业务连续性、灾难恢复等方面的策略、流程和规程,包括对共用场地和相关设施的审查。对云服务提供商遵从自身策略和规范的执行力进行内部评估,同时评估提供商在相关领域的指标体系。考察服务提供商是否有完备的安全治理能力,文档化的风险评估实施过程、安全审计流程。
4.3 风险评估
对应用系统、操作系统、网络架构进行定期的风险评估和渗透测试,最大程度地发现整系统中的安全隐患并及时修复。划分安全域对网络边界有效控制,采用三层架构将表示层、业务层、后端层逻辑隔离。创建符合金融企业自身需求的安全基线,对IT系统定期人工核查。对于上市及金融和电子商务客户可能还需要满足SOX、PCIDSS、DISA、ISO 27001等标准的合规遵从要求,涉及人员管理、Web应用安全、系统安全、数据保护、网络安全、审计、 物理安全、代码安全生命周期等。
4.4 信息内控
加强对业务信息系统进行信息内控,建立IAA(Identification, Authentication and Access)体系对用户身份认证访问控制管理与审计。创建用户角色和职务列表,记录用户的所有操作并强制性审计。从制度上完善对用户工作职务变更与中断进行管理[6]。在金融企业执行管理层,制定信息安全保障策略,做出如何执行金融企业安全战略的决策,确定IT治理和控制的整体方法。在业务层对特定业务活动进行控制,尤其是对于IT应用系统关联紧密的业务过程。在IT基础层,对网络、数据库、操作系统以及存储设施等采取一般性IT控制,不完善的变更管理会破坏IT基础层的完整性和可靠性。
4.5 业务连续性计划
制定满足金融企业自身特点的业务连续性计划和策略,提供为实施应急响应、数据备份、灾后恢复操作的流程规范确保在紧急情况下做出适当响应。根据BSI的BS 25999业务连续性标准,业务连续性计划实施可以包括为6个步骤,启动项目、业务影响分析、确定恢复计划、制订业务连续性计划、测试和演练、维护和更新计划。①项目启动阶段主要工作是准备必须的资源和前期调研工作,如得到管理层对项目的支持和授权、明确项目实施的组织结构和人员角色权责,为项目实施分配资源、制订项目实施计划;②业务影响分析主要是对公司业务流程进行分析和评估影响程度;③恢复计划制订时需要从组织、流程、技术、资源等几个角度考虑,建立了战略层、战术层和操作层面的应急管理组织;④灾难恢复预案主要包括灾难恢复的时间和范围、灾难恢复组织架构、联络清单、应急处理流程、事件通报流程、损害识别和评估流程、灾难宣告流程、核心金融信息系统恢复流程、业务恢复流程、重续运营管理流程、灾后重建流程、灾后回退流程、计划内切换与回退流程等[7]。
4.6 安全风险防范措施
云计算的发展加快了金融信息系统的发展进程,但随之也带来一些安全性问题。我们不能因为网络的不安全性而停止网络服务,要使云服务平台良好地运行需要单位负责人树立好安全意识,系统操作人员提高业务素质,服务器维护人员要有良好的技术水平。针对云计算应用中的安全性问题,需要预先采取措施来减轻这些威胁。
(1)系统运行服务器和数据存储服务器一定要请专业的安全公司指导定期升级操作系统漏洞,关闭不必要的服务和不用的网络端口。
(2)安装网络版杀毒软件,并及时更新病毒库,使服务器系统安全性提高,能抵抗最新病毒的攻击。
(3)系统服务器和工作站要安装防火墙,一定不要直接暴露在互联网上,对接入Internet要严格限制。服务器端只开放必须的应用端口,封闭其他端口,最好只对接入客户端的IP地址段开放。
(4)密码攻击是黑客们最常见的入侵方式之一。为提高系统的安全性,一定要设置一个高强度密码。密码的“弱”和“强”是相对的,不同的环境对于密码强度有不同的要求,即使再强的密码也有可能被破译或泄漏,所以密码要经常更新,更新的时间长度基于数据的敏感程度。
(5)要保证数据的安全性,一定要对服务器业务数据进行有效备份,异地备份是最可靠的备份方式,如果当地发生毁灭性的自然灾害,事故后还能从远程恢复数据和业务,可以保证业务数据的完整性和安全性。
5 结 语
云计算的浪潮已经无法阻挡,云环境下的金融信息系统使得金融系统与信息技术高度融合,提高了金融机构迅速发现并解决问题的能力,提升了整体工作效率,改善了流程,降低了金融企业信息采集的成本。然而安全问题很大程度上阻碍了这种模式的普及。本文从宏观上介绍了当前云环境下基于SaaS的金融信息系统所面临的安全风险,提出了相应的解决方案。随着云技术的发展、安全策略的更新、攻击技术的演变,本文提出的安全解决方案所产生的实际防御效果还需要进一步证实。
主要参考文献
[1]张建文,汪鑫.云计算技术在银行中的应用探讨[J].华南金融电脑,2009(6).
[2]谢世清,论云计算及其在金融领域的应用[J].金融与经济,2010(11).
[3]Gartner.Seven Cloud-Computing Security Risks[EB/OL].http:///d/security-central/gartner-seven-cloud-computing-security-risks-853,2008.
[4]和讯网.云计算技术的七大安全风险[EB/OL].http:///133/8201133. shtml,2009.
[5]哈里斯.CISSP认证考试指南[M]. 北京:科学出版社,2009.
一、以信息化手段为支撑,积极推进国际化工城建设
围绕国际化工城的战略定位,紧紧依托金山区现有化工产业基础、物流配套设施和战略枢纽的区位优势,充分发挥大化工企业的引领作用,强化生产、经营、物流、金融和信息资源的整合。
1、加快信息基础设施建设,完善信息化发展规划。围绕区域功能定位,协调各大通信运营商实施管线、基站、机房等信息基础设施的集约化建设。组织编制亭林等镇的信息基础设施专业规划,全年共建设管线120多沟公里。全区宽带用户9.8万户,出口带宽30G,固定电话装机20.9万户,移动电话52万户。区域内信息基础设施得到进一步完善,服务能力得到进一步提高。
2、协调建设“化工品电子交易平台”。根据国务院《关于加快电子商务发展的若干意见》和市信息委《关于组织实施BtoB电子商务专项试点工作的通知》的精神,协助化工品交易市场经营管理公司开展“化工品电子交易平台”建设。该平台可实现产品数量、价格的和更新、网上交易;洽谈、交易合同撮合;合同处理与查询、成交信息查询、交易统计等的电子交易功能,已获得中国石化石化股份公司、中国石化化工销售分公司的支持,并得到了市信息委的专项资金扶持。
3、举办企业信息化系列培训讲座。我们对全区的规模企业进行了调研,摸清其信息化基本状况,分析其信息化观念和形势。结合调研宣传,引荐软件研发企业进行信息产业资质的申报,并在金山门户网、金山企业网等网站设立信息产业政策相关栏目,宣传和解读各类信息产业政策,供企业参考和应用。年度,共举办企业信息化系列培训讲座4次,130余家企业的200多名企业管理人员参加了培训。
二、以农村信息化为抓手,深入推进社会主义新农村建设
按照原国家信息产业部和市信息委的试点要求,认真组织开展国家农村信息化综合信息服务试点工作,进展顺利。
1、加强农村信息化宣传,明确农村信息化建设目标和任务。运用多种媒体和渠道,因地制宜地宣传农村信息化建设的意义,组织召开了金山区农村信息化现场推进会,回顾总结前期我区农村信息化主要工作情况,并对下一阶段的工作进行部署。市信息委领导对我区的农村信息化工作给予了高度评价,充分肯定了农村信息化建设的“金山模式”。
2、整合农村信息化资源,扩大“为农综合信息服务站”建设。按照统一网络、统一场所、统一管理的原则,综合考虑各方面要求,实现集约化建设和规范化管理。在去年完成廊下镇、枫泾镇、金山卫镇和吕巷镇的55个村为“农综合信息服务站”建设的基础上,今年进一步扩大覆盖面,又建成了69个“为农综合信息服务站”,覆盖到全区124个行政村(5个农村居委会)。基本体现了为农综合信息服务站“为民办事、合作医疗服务、文化娱乐、政府管理、教育培训、便民服务”六大功能,推动了农业生产、农民生活、农村管理的信息化。
3、开发“二大”应用平台,切实推进农村信息化应用。
建立全区统一的城镇政务管理公共服务平台。实现城镇政务综合管理、城镇党务管理、村务管理等应用,并完成对区人口库系统、社区事务受理系统、区级OA系统等应用系统的整合,达到资源充分利用和便民利民的目的。
开发涉农综合信息服务平台。以市农委等条线资源为支撑,深入挖掘本区个性化、特色性的涉农信息资源。对外,通过金山农业网、农信通、农产品交易平台等多种渠道,为农业龙头企业、种养业大户、农产品购销大户、农村经纪人和广大农民提供农业政策、农业技术、农产品市场信息等各类信息服务;对内,通过建设规模经营户管理系统,有效落实农业补贴,提供辅助决策等服务。规模经营户管理系统被评为年度市区县信息化优秀成果奖。此外,通过建设蔬菜管理子系统,将金山优质农产品加工、产品、服务等信息进行信息化管理,为农民组织化生产提供服务。
4、广泛开展农村信息化培训。为进一步提升农村的信息化应用水平和农民的信息化意识,按照本市“千村万户”农村信息化培训普及工程的要求,成立了由区信息委、教育局、妇联、农委组成的金山区“千村万户”农村信息化培训普及工程工作小组,对本区10个培训点进行了认定与授牌,并对各培训点的相关教师进行了农村信息化师资培训及指导,规范操作流程,确保培训质量。制定了培训普及计划并积极实施针对农村基层管理者、专业农民及有积极性的普通农民的培训工作和针对普通农民的宣传工作,经过精心组织与合理安排,目前已完成3066人的培训和20139人的宣传普及工作,分别达到年度培训和宣传普及指标的110%和101%。
三、以发展信息产业为先导,努力促进经济发展方式的转变
1、认真开展企业服务月活动。严格按照区委、区政府的要求,紧紧围绕“宣传、引导、服务、交流”的宗旨,认真做好了信息产业政策、专项资金申报、“双软”资质认定等方面的宣传和服务工作,使企业受惠于产业政策。加强了传统企业和软件企业间的合作与提升,对处于游离状态的从事软件开发的企业做好了规范和引导服务。通过举办信息化培训与讲座等系列活动,为企业营造了互动交流和学习的平台。
2、认真开展软件和信息服务业统计工作。按照《软件业统计报表制度》,对注册于我区的软件认定企业进行按季度定期网上报表统计,根据获得的相关运营指标,全面分析和掌握我区软件产业的基本情况、总体规模和发展现状等,并对我区信息产业运营状况进行了量化分析,为进一步开展和落实企业信息化工作提供依据,也为履行服务企业的职能提供数据基础。年度,共有40家软件企业季度报表数据进入统计系统,其中软件认定企业和系统集成企业33家,非认定软件企业7家。
3、完成了软件认定企业年审、软件和集成电路专项资金申报初审工作。根据《软件企业认定标准及管理办法(试行)》有关“软件企业认定实行年审制度”的要求,经自愿申报,市软件企业认定联席会议办公室对2007年度通过年审的软件企业及2007年度认定的软件企业进行了年审。年我区共有30家软件认定企业参加了年审,其中通过区信息委初审的28家软件企业全部顺利通过市信息委年审。今年又有3家企业获得软件认定企业资质,使我区获得软件认定和系统集成相关资质的企业数量已增至33家。
根据市软件和集成电路产业发展专项资金纳入部门预算管理的要求,及时组织开展了2009年度软件和集成电路产业发展专项资金项目申报初审工作。共有注册于金山区的13家软件和集成电路企业的项目参与申报,其中“AutoCAPP—全自动工艺生成系统V1.0”项目获得市信息委100万元的专项资金支持。
四、以电子政务应用为基础,不断提升政府的服务管理能力
1、升级改版区办公自动化系统。通过升级电子邮件系统及镇、区OA办公平台,更新数字证书等工作,有效地提高了全区办公网络平台的稳定性和安全性,提高了系统维护的便捷性。同时,政务网应用范围进一步扩大,已覆盖到全区各部委办局、区直属单位(部门)、区属企业、各医院、学校、村(居)委会,联网计算机用户已超过5000户。
2、有序推进城市网格化管理。协调各大通信运营商接入城市网格化管理平台,及时发现和处理信息管理中存在的问题。促进区、镇(街道)二级城市管理相关信息资源的共享,不断增强城市管理领域的统筹监管、综合分析和信息服务能力。
3、开发政务管理公共服务平台。建设城镇政务综合管理子系统。围绕城镇政务管理工作中民政事务、劳动就业等内容,建设全区统一的城镇政务综合管理子系统,形成较完整的城镇政务信息化的应用,进一步提升了社区事务的管理水平。建设城镇党务管理子系统。围绕基层组织、党员、党务等党建工作,开发全区统一的党务管理系统。建设村务管理子系统。将社区事务受理工作向村级的延伸,实现在村一级的民政事务、计生事务、残联事务三大类事务的服务。并实现一体化的村务公开信息公布。建设城镇门户及授权管理子系统。通过统一门户系统,对区内各单位的资源进行了整合,通过授权实现不同用户不同的办公平台,增强了个性化的办公平台功能。同时,将区内已有的系统和在建的系统中的数据资源进行整合,使各个系统的数据资源可以进行数据共享和资源的充分利用。
4、完成区公共服务中心机房建设。针对区公共服务中心的功能定位,我们对新大楼的中心机房进行了总体规划,充分考虑和遵循新中心机房的标准性、实用性和可扩展性。完成了地板敷设、UPS电源安装、精密空调安装、机柜安装、气体消防系统安装,大楼弱电间的网络布线以及交换机的安装和调试,下半年陆续将服务器和安全设备搬进新中心机房进行调试,将服务器群分为内网服务器群、外网服务器和托管服务器群进行分类管理,在国庆期间完成了光缆的切割。
5、拓展人口基础数据应用。一是完善来沪人员管理系统。根据人口办等相关部门的要求,对来沪人员管理系统进行了进一步完善,增加了多项统计功能,修改了部分程序,确保系统的运行稳定性。二是完善人口库系统。对原有人口库系统进行了整合,完善和丰富了统计功能,对人口库数据进行了整理和筛选,确保数据的准确性。三是开发了残疾人就业信息管理系统。建立了全区所有残疾人员信息库,并定期进行维护和更新,全区各相关职能部门通过该系统将各自掌握的残疾人员信息通报给残疾人联合会,以达到优化信息、资源共享的目的。
6、加强了区级公务网分级保护改造。为了进一步提高区级公务网的安全性,根据区保密局的要求,对区级公务网域各接入点进行分级保护改造,对原有的网络方案、保密要求进行了梳理,并制定了分级保护的改造方案。区级公务网改造实施后,能够提升区级公务网的安全性、保密性。
7、加强信息化项目管理。为了更好地规范我区财政投资的信息化项目建设和管理,统筹各政府财力渠道建设经费的使用,抓好重点项目建设,避免重复投资,促进资源整合和共享。按照《金山区信息化建设项目管理实施办法》,制定了相关的操作流程和审核办法,对全区信息化建设项目开展统一管理和资金审核。组织各相关单位进行2009年度信息化项目支出预算编制申报工作,并按照轻重缓急原则,对所申报的项目进行筛选排序和分组归档。
8、加强信息网络安全监管。一是制订信息安全应急预案,完善了相关的规章制度,购置了相关的信息安全设备和安全软件,完成了信息安全等级保护评定。二是突出重要时刻的安全保障,通过加强外网网站漏洞扫描,内网服务器群系统加固,健全值班制度等措施,确保了奥运期间信息网络安全。三是加强网络的日常安全维护,定时地对中心机房的所有服务器的系统进行补丁升级,加强托管网站的管理,加大网络监控力度,防治病毒和控制流量,保证了区政务网的安全、畅通。
9、全力推动社保卡的发放和应用。围绕“突出应用、强化服务”的宗旨,积极做好社会保障卡和居住证的申领、发放和补换卡工作。一是推进社保卡扩大申领工作,将社保卡发放范围扩大至0-18岁的人群,共发放社保卡23701张、婴儿卡16819张。二是认真做好敬老服务专用卡发放工作。按照政府有关部门的统一安排,为本区户籍的七十周岁以上老年人免费发放具有乘车记次功能的社会保障卡31628张。三是开展新学年学籍卡申领工作,共发放学籍卡11540张。四是办理来沪人员临时居住证65711人次,为市民补换卡8705张。
五、以政务诚信建设为重点,深入推进社会诚信体系建设
根据区“作风建设年”的总体要求,深入开展政务诚信建设。进一步增强全社会的信用意识,营造文明守信的社会环境。一是组织召开金山区社会诚信体系建设联席会议全体成员会议,总结部署年度工作,明确了年度诚信体系建设的目标和任务。二是指导推进全区诚信建设活动开展。组织开展3.15消费者维权宣传活动。指导和帮助区劳动局、食药监管局等相关部门开展诚信体系建设工作。区劳动局组织开展了“劳动保障诚信示范企业和劳动保障诚信企业”评选活动,有2家企业被评选为诚信示范企业,40家企业被评选为诚信企业;区科委组织开展了“创建诚信企业评选活动”,有12家企业被评选为“2007年度创建诚信企业活动先进单位”。三是组织开展年金山“诚信活动周”宣传活动,召开政府行政执法信息共享及应用研讨,探讨执法信息共享内容、方式、途径以及长效运行机制,促进政府的执法信息逐步公开透明,提高了政府的行政效能。上街设摊宣传,普及信用知识,提高市民和企业对信用认知度,不断营造“诚信金山,和谐生活”氛围。举办企业信用管理及应用讲座,让企业知道如何建设信用管理制度和如何规避商业交易风险,促进商务诚信健康发展。
六、以推进信息公开为契机,切实加强执政能力建设
按照《中华人民共和国政府信息公开条例》及《市政府信息公开规定》要求,通过加强宣传培训,公开意识进一步提高,工作机制更加健全,公开渠道有效拓宽,受理程序明显规范,公开内容不断深化。
1、开展宣传培训,提高公开意识。组织开展《条例》和《规定》的学习宣传,深刻理解精神实质。进一步明确公开的范围、方式和责任,把与社会公众生活密切相关的信息作为公开的重点。同时对照《条例》对已公开的目录、指南和信息进行了修改补充。
2、加强组织领导,理顺工作机制。按照《条例》和《规定》的要求,重新明确了分管领导,明确责任部门。区级层面由区政府办公室负责全区政府信息公开的协调推进,各职能部门按职责分工落实相关工作。同时,明确了各政府机关的办公室为本单位政府信息公开工作的责任部门,负责推进、落实本单位的政府信息公开工作。
3、工作机制完善,公开内容丰富。政府信息公开的工作制度、操作流程、保密审查制度、信息协调制度、内容核对更新制度,监督考核机制进一步完善,确保政府信息公开工作依法有序推进。截止年底,全区各政府机关,主动公开政府信息2698条,全文电子化率为96.4%,新增规范性文件110条,提供服务类信息1021条,提供依申请公开信息目录1882条,网站专栏页面的访问量161万人次;收到公开申请43条,答复42条。
4、加强信息技术应用,提高信息公开效率。开发《政府信息公开管理系统》,整合公开申请网上处理、公文目录报备、公开信息外网、月度统计报表统计上报、公开信息的网络化送交等多项功能,统一全区的网上申请与公开专栏的版面,减少工作人员的重复操作次数,有效地提高了政府信息公开工作的效率。
