信息系統(tǒng)安全管理論文淺談網(wǎng)絡(luò)與重要信息系統(tǒng)安全管理.doc

信息系統(tǒng)安全管理論文：淺談網(wǎng)絡(luò)與重要信息系統(tǒng)安全管理摘要:介紹了電力企業(yè)信息化的應(yīng)用情況,通過對電力企業(yè)網(wǎng)絡(luò)與重要信息系統(tǒng)安全大檢查,找出了一些主要弱點,分析了問題的成因,提出了一系列切實可行的建議和方法。關(guān)鍵詞:電力企業(yè)信息化;網(wǎng)絡(luò)與重要信息系統(tǒng);安全檢查;安全管理0引言隨著信息技術(shù)日新月異的發(fā)展,近些年來,電力企業(yè)在信息化應(yīng)用方面的要求也在逐步提高,信息網(wǎng)絡(luò)覆蓋面也越來越大,網(wǎng)絡(luò)的利用率穩(wěn)步提高;利用計算機網(wǎng)絡(luò)技術(shù)與各重要業(yè)務(wù)系統(tǒng)相結(jié)合,可以實現(xiàn)無紙辦公,大大地提高了工作效率,如外門戶網(wǎng)站系統(tǒng)、內(nèi)部門戶網(wǎng)站系統(tǒng)、辦公自動化系統(tǒng)、營銷管理系統(tǒng)、配網(wǎng)管理系統(tǒng)、財務(wù)管理系統(tǒng)、生產(chǎn)管理系統(tǒng)等。然而,信息化技術(shù)帶來便利的同時,各種網(wǎng)絡(luò)與信息系統(tǒng)安全問題也逐漸暴露出來,下面針對共性問題做一些探討。1開展網(wǎng)絡(luò)與重要信息系統(tǒng)安全大檢查網(wǎng)絡(luò)與信息安全檢查具體內(nèi)容包括:基礎(chǔ)網(wǎng)絡(luò)與服務(wù)器、對外門戶網(wǎng)站、數(shù)據(jù)中心、內(nèi)部辦公系統(tǒng)、營銷管理系統(tǒng)、財務(wù)資金管理系統(tǒng)等重點業(yè)務(wù)系統(tǒng)的現(xiàn)有安全防護措施、信息安全管理的組織與策略、信息系統(tǒng)安全運行和維護情況。信息安全管理保障檢查點序號檢查內(nèi)容檢查項1安全規(guī)章制度2安全組織與人員管理3資產(chǎn)管理4安全運維管理5信息數(shù)據(jù)安全6應(yīng)急響應(yīng)合計2根據(jù)檢查情況得出主要弱點2.1安全管理保障檢查2. 1. 1安全規(guī)章制度主要弱點(1)未制訂信息安全審計管理規(guī)定。(2)未制訂應(yīng)用系統(tǒng)開發(fā)安全管理規(guī)定。(3)部分單位未制訂關(guān)鍵資產(chǎn)的操作審批流程。(4)操作系統(tǒng)、數(shù)據(jù)庫、設(shè)備的操作與配置管理不完善。信息安全技術(shù)保障檢查點序號檢查內(nèi)容檢查項1服務(wù)器操作系統(tǒng)數(shù)據(jù)庫中間件應(yīng)用系統(tǒng)2網(wǎng)絡(luò)設(shè)備3安全設(shè)備4網(wǎng)站5終端合計自查內(nèi)容和數(shù)量統(tǒng)計序號類別檢查數(shù)量1網(wǎng)絡(luò)及安全設(shè)備2操作系統(tǒng)3數(shù)據(jù)庫4中間件5網(wǎng)站6應(yīng)用系統(tǒng)7終端(5)未制訂移動存儲介質(zhì)管理規(guī)定。(6)未制訂信息安全風(fēng)險評估規(guī)范及實施指南。2. 1. 2安全組織與人員管理主要弱點(1)沒有與信息管理和技術(shù)人員簽訂保密協(xié)議。(2)未制訂信息安全的培訓(xùn)計劃,未定期開展信息安全技術(shù)培訓(xùn)。(3)部分單位未配備專職信息安全管理人員。(4)信息技術(shù)人員身兼多職:操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)管理等。2. 1. 3資產(chǎn)管理主要弱點(1)沒有對資產(chǎn)變更進行安全審計。(2)沒有磁盤、光盤、U盤和移動硬盤等存儲介質(zhì)的銷毀記錄。(3)未對設(shè)備或應(yīng)用系統(tǒng)進行上線前的安全測試。2. 1. 4安全運維管理主要弱點(1)未對主機、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)、數(shù)據(jù)庫進行定期日志審計。(2)未對主機、網(wǎng)絡(luò)、應(yīng)用系統(tǒng)、數(shù)據(jù)庫的用戶與密碼進行定期安全審計。(3)未對終端接入網(wǎng)絡(luò)進行準(zhǔn)入控制,沒有非法外聯(lián)控制措施。(4)未定期對主機、網(wǎng)絡(luò)、應(yīng)用系統(tǒng)、數(shù)據(jù)庫、終端進行漏洞掃描。(5)沒有用于系統(tǒng)和設(shè)備上線測試的網(wǎng)絡(luò)測試區(qū)域。(6)沒有對網(wǎng)絡(luò)流量進行監(jiān)控。2. 1. 5信息數(shù)據(jù)安全主要弱點(1)未對重要數(shù)據(jù)采取存儲加密或傳輸加密措施。(2)多數(shù)未對信息技術(shù)數(shù)據(jù)、資料的登記、使用、報廢進行統(tǒng)一管理。2. 1. 6應(yīng)急響應(yīng)管理主要弱點(1)未制訂完整的單項應(yīng)急預(yù)案。(2)未制訂網(wǎng)絡(luò)與信息安全應(yīng)急預(yù)案培訓(xùn)與演練計劃。(3)沒有定期開展應(yīng)急培訓(xùn)和演練。2.2安全技術(shù)保障檢查2. 2. 1操作系統(tǒng)主要弱點(1)未對登陸密碼的長度和更換時間做出系統(tǒng)配置限制。(2)未做登陸源IP或MAC地址以及用戶捆綁。(3)沒有關(guān)閉不必要的端口,沒有停止不必要的服務(wù)。(4)沒有定期進行安全漏洞檢測和加固。(5)部分W indows操作系統(tǒng)的服務(wù)器管理員的默認(rèn)帳號名沒有修改。2. 2. 2數(shù)據(jù)庫主要弱點(1)未定期審核數(shù)據(jù)庫用戶的權(quán)限,并及時調(diào)整。(2)MS SQLServer數(shù)據(jù)庫中未去掉危險的存儲服務(wù)。(3)沒有數(shù)據(jù)庫備份操作規(guī)程。2. 2. 3中間件主要弱點沒有對中間件管理操作進行登陸源限制。2. 2. 4應(yīng)用系統(tǒng)主要弱點(1)沒有進行上線前的安全檢查。(2)沒有采用安全加密的方式登錄。(3)登陸管理后臺時,多數(shù)未做登陸源限制。(4)沒有定期進行安全檢查。2. 2. 5設(shè)備主要弱點(1)未做登陸源限制。(2)未采用安全加密的方式登陸。(3)未啟用日志審計或日志保存時間小于3個月。2. 2. 6網(wǎng)站(內(nèi)、外)主要弱點(1)部分網(wǎng)站沒有備份和冗余能力。(2)部分網(wǎng)站沒有部署防篡改系統(tǒng)。(3)多數(shù)未對登陸網(wǎng)站管理后臺的登陸源做出限制。(4)大部分網(wǎng)站存在SQL注入的隱患。(5)大部分網(wǎng)站沒有文件上傳過濾功能。(6)部分網(wǎng)站沒有日志審計功能。(7)部分網(wǎng)站沒有部署入侵檢測系統(tǒng)。2. 2. 7終端主要弱點(1) 大部分未設(shè)置超時鎖屏功能。(2)沒有定期進行安全漏洞掃描。(3)沒有修改默認(rèn)的系統(tǒng)管理員名。(4)沒有定期修改系統(tǒng)管理員密碼。(5)未關(guān)閉不必要的端口。3加強網(wǎng)絡(luò)與重要信息系統(tǒng)安全管理的建議通過檢查,識別企業(yè)的信息資產(chǎn)及信息系統(tǒng)安全的弱點,進行風(fēng)險評估,假定這些風(fēng)險成為現(xiàn)實時企業(yè)所承受的災(zāi)難和損失,通過降低風(fēng)險、避免風(fēng)險、接受風(fēng)險等多種風(fēng)險管理方式,采取整改措施制定企業(yè)信息安全策略。(2) 3.1開展網(wǎng)絡(luò)與信息系統(tǒng)安全等級保護定級工作信息安全等級保護制度開始向多種行業(yè)推進,應(yīng)逐漸認(rèn)識到,只有良好的安全管理才能有效地解決定級過程中所發(fā)現(xiàn)的安全問題,并且為后續(xù)的信息安全提供長時間的保障。電力企業(yè)根據(jù)信息安全等級保護管理辦法、電力行業(yè)信息系統(tǒng)等級保護定級工作指導(dǎo)意見實施信息安全等級保護工作,綜合考慮信息系統(tǒng)的業(yè)務(wù)類型、業(yè)務(wù)重要性及物理位置差異等各種因素,全面分析業(yè)務(wù)信息安全被破壞時及系統(tǒng)服務(wù)安全被破壞時所侵害的客體以及對相應(yīng)客體的侵害程度,將信息系統(tǒng)分為不同安全保護等級。開展信息安全等級保護工作有利于加強和規(guī)范信息安全等級保護管理,提高信息安全保障能力和水平,保障和促進信息化建設(shè)健康發(fā)展。(3) 3.2開展網(wǎng)絡(luò)與信息安全綜合防護工作及應(yīng)急預(yù)案(1)嚴(yán)格落實機房管理制度,嚴(yán)格控制機房人員出入;禁止無關(guān)人員進入機房,禁止無關(guān)設(shè)備接入內(nèi)部網(wǎng)絡(luò)和系統(tǒng)。(2)各企業(yè)應(yīng)統(tǒng)一互聯(lián)網(wǎng)出口通道,內(nèi)部網(wǎng)絡(luò)的其他個人計算機不得通過任何方式私自與互聯(lián)網(wǎng)建立網(wǎng)絡(luò)通道;對網(wǎng)絡(luò)關(guān)鍵點進行IDS監(jiān)控,并對策略進行優(yōu)化,重點關(guān)注端口掃描、網(wǎng)站漏洞攻擊、郵件發(fā)送等事件;加強防火墻、鏈路優(yōu)化器、IDS及DNS等設(shè)備的日志管理與安全審計,做好配置定時備份;加強接入環(huán)節(jié)管理,有效使用防火墻和入侵檢測設(shè)備;關(guān)閉或刪除不必要的應(yīng)用、服務(wù)、端口和鏈接。(3)嚴(yán)格執(zhí)行信息安全“五禁止”規(guī)定。禁止將涉密信息系統(tǒng)接入互聯(lián)網(wǎng)等公共信息網(wǎng)絡(luò);禁止在涉密計算機與非涉密計算機之間交叉使用U盤等移動存儲設(shè)備;禁止在沒有防護措施的情況下將公共信息網(wǎng)絡(luò)上的數(shù)據(jù)拷貝到涉密信息系統(tǒng);禁止涉密計算機、涉密移動存儲設(shè)備與非涉密計算機、非涉密移動存儲設(shè)備混用;禁止使用具有無線互聯(lián)功能的設(shè)備處理涉密信息。(4)加強重要管理信息系統(tǒng)的安全監(jiān)控和管理。企業(yè)內(nèi)外網(wǎng)站按照有關(guān)要求加強系統(tǒng)防護措施,在系統(tǒng)方面關(guān)閉不必要的進程和端口,消除程序代碼方面的漏洞,消除程序代碼中的SQL注入和跨站漏洞等代碼漏洞,加強網(wǎng)站發(fā)布信息的審核,加強監(jiān)控,發(fā)現(xiàn)網(wǎng)站被攻擊或被篡改的,馬上啟動應(yīng)急預(yù)案恢復(fù)網(wǎng)站系統(tǒng);對重要應(yīng)用系統(tǒng)(包括營銷管理系統(tǒng)、財務(wù)管理系統(tǒng)等),要加強日常監(jiān)控和運維管理,及時做好數(shù)據(jù)的備份工作。(5)加強終端設(shè)備的管理,有條件的可實施防病毒、域和桌面管理及PKI/CA管理。對管理信息系統(tǒng)的用戶、口令、補丁等進行仔細(xì)的檢查,杜絕弱口令,及時更新和升級。(6)加強企業(yè)員工及網(wǎng)絡(luò)管理人員安全意識教育,通過多種形式進行信息安全宣傳和教育,明白違規(guī)操作產(chǎn)生的危害,規(guī)范日常計算機使用操作行為,提高信息安全意識。(7)有針對性地制訂網(wǎng)絡(luò)與信息安全應(yīng)急單項預(yù)案,并落實責(zé)任到人。應(yīng)急預(yù)案編制完成后,要組織開展應(yīng)急演練工作。通過演練,總結(jié)經(jīng)驗,對預(yù)案進行修改與完善,切實提高應(yīng)急處置能力。(4) 4結(jié)束語(5) 網(wǎng)絡(luò)與重要信息系