信息系統(tǒng)安全管理論文淺談網(wǎng)絡(luò)與重要信息系統(tǒng)安全管理.doc

信息系統(tǒng)安全管理論文：淺談網(wǎng)絡(luò)與重要信息系統(tǒng)安全管理摘要:介紹了電力企業(yè)信息化的應(yīng)用情況,通過對(duì)電力企業(yè)網(wǎng)絡(luò)與重要信息系統(tǒng)安全大檢查,找出了一些主要弱點(diǎn),分析了問題的成因,提出了一系列切實(shí)可行的建議和方法。關(guān)鍵詞:電力企業(yè)信息化;網(wǎng)絡(luò)與重要信息系統(tǒng);安全檢查;安全管理0引言隨著信息技術(shù)日新月異的發(fā)展,近些年來,電力企業(yè)在信息化應(yīng)用方面的要求也在逐步提高,信息網(wǎng)絡(luò)覆蓋面也越來越大,網(wǎng)絡(luò)的利用率穩(wěn)步提高;利用計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)與各重要業(yè)務(wù)系統(tǒng)相結(jié)合,可以實(shí)現(xiàn)無紙辦公,大大地提高了工作效率,如外門戶網(wǎng)站系統(tǒng)、內(nèi)部門戶網(wǎng)站系統(tǒng)、辦公自動(dòng)化系統(tǒng)、營(yíng)銷管理系統(tǒng)、配網(wǎng)管理系統(tǒng)、財(cái)務(wù)管理系統(tǒng)、生產(chǎn)管理系統(tǒng)等。然而,信息化技術(shù)帶來便利的同時(shí),各種網(wǎng)絡(luò)與信息系統(tǒng)安全問題也逐漸暴露出來,下面針對(duì)共性問題做一些探討。1開展網(wǎng)絡(luò)與重要信息系統(tǒng)安全大檢查網(wǎng)絡(luò)與信息安全檢查具體內(nèi)容包括:基礎(chǔ)網(wǎng)絡(luò)與服務(wù)器、對(duì)外門戶網(wǎng)站、數(shù)據(jù)中心、內(nèi)部辦公系統(tǒng)、營(yíng)銷管理系統(tǒng)、財(cái)務(wù)資金管理系統(tǒng)等重點(diǎn)業(yè)務(wù)系統(tǒng)的現(xiàn)有安全防護(hù)措施、信息安全管理的組織與策略、信息系統(tǒng)安全運(yùn)行和維護(hù)情況。信息安全管理保障檢查點(diǎn)序號(hào)檢查內(nèi)容檢查項(xiàng)1安全規(guī)章制度2安全組織與人員管理3資產(chǎn)管理4安全運(yùn)維管理5信息數(shù)據(jù)安全6應(yīng)急響應(yīng)合計(jì)2根據(jù)檢查情況得出主要弱點(diǎn)2.1安全管理保障檢查2. 1. 1安全規(guī)章制度主要弱點(diǎn)(1)未制訂信息安全審計(jì)管理規(guī)定。(2)未制訂應(yīng)用系統(tǒng)開發(fā)安全管理規(guī)定。(3)部分單位未制訂關(guān)鍵資產(chǎn)的操作審批流程。(4)操作系統(tǒng)、數(shù)據(jù)庫(kù)、設(shè)備的操作與配置管理不完善。信息安全技術(shù)保障檢查點(diǎn)序號(hào)檢查內(nèi)容檢查項(xiàng)1服務(wù)器操作系統(tǒng)數(shù)據(jù)庫(kù)中間件應(yīng)用系統(tǒng)2網(wǎng)絡(luò)設(shè)備3安全設(shè)備4網(wǎng)站5終端合計(jì)自查內(nèi)容和數(shù)量統(tǒng)計(jì)序號(hào)類別檢查數(shù)量1網(wǎng)絡(luò)及安全設(shè)備2操作系統(tǒng)3數(shù)據(jù)庫(kù)4中間件5網(wǎng)站6應(yīng)用系統(tǒng)7終端(5)未制訂移動(dòng)存儲(chǔ)介質(zhì)管理規(guī)定。(6)未制訂信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范及實(shí)施指南。2. 1. 2安全組織與人員管理主要弱點(diǎn)(1)沒有與信息管理和技術(shù)人員簽訂保密協(xié)議。(2)未制訂信息安全的培訓(xùn)計(jì)劃,未定期開展信息安全技術(shù)培訓(xùn)。(3)部分單位未配備專職信息安全管理人員。(4)信息技術(shù)人員身兼多職:操作系統(tǒng)、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)管理等。2. 1. 3資產(chǎn)管理主要弱點(diǎn)(1)沒有對(duì)資產(chǎn)變更進(jìn)行安全審計(jì)。(2)沒有磁盤、光盤、U盤和移動(dòng)硬盤等存儲(chǔ)介質(zhì)的銷毀記錄。(3)未對(duì)設(shè)備或應(yīng)用系統(tǒng)進(jìn)行上線前的安全測(cè)試。2. 1. 4安全運(yùn)維管理主要弱點(diǎn)(1)未對(duì)主機(jī)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)進(jìn)行定期日志審計(jì)。(2)未對(duì)主機(jī)、網(wǎng)絡(luò)、應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)的用戶與密碼進(jìn)行定期安全審計(jì)。(3)未對(duì)終端接入網(wǎng)絡(luò)進(jìn)行準(zhǔn)入控制,沒有非法外聯(lián)控制措施。(4)未定期對(duì)主機(jī)、網(wǎng)絡(luò)、應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)、終端進(jìn)行漏洞掃描。(5)沒有用于系統(tǒng)和設(shè)備上線測(cè)試的網(wǎng)絡(luò)測(cè)試區(qū)域。(6)沒有對(duì)網(wǎng)絡(luò)流量進(jìn)行監(jiān)控。2. 1. 5信息數(shù)據(jù)安全主要弱點(diǎn)(1)未對(duì)重要數(shù)據(jù)采取存儲(chǔ)加密或傳輸加密措施。(2)多數(shù)未對(duì)信息技術(shù)數(shù)據(jù)、資料的登記、使用、報(bào)廢進(jìn)行統(tǒng)一管理。2. 1. 6應(yīng)急響應(yīng)管理主要弱點(diǎn)(1)未制訂完整的單項(xiàng)應(yīng)急預(yù)案。(2)未制訂網(wǎng)絡(luò)與信息安全應(yīng)急預(yù)案培訓(xùn)與演練計(jì)劃。(3)沒有定期開展應(yīng)急培訓(xùn)和演練。2.2安全技術(shù)保障檢查2. 2. 1操作系統(tǒng)主要弱點(diǎn)(1)未對(duì)登陸密碼的長(zhǎng)度和更換時(shí)間做出系統(tǒng)配置限制。(2)未做登陸源IP或MAC地址以及用戶捆綁。(3)沒有關(guān)閉不必要的端口,沒有停止不必要的服務(wù)。(4)沒有定期進(jìn)行安全漏洞檢測(cè)和加固。(5)部分W indows操作系統(tǒng)的服務(wù)器管理員的默認(rèn)帳號(hào)名沒有修改。2. 2. 2數(shù)據(jù)庫(kù)主要弱點(diǎn)(1)未定期審核數(shù)據(jù)庫(kù)用戶的權(quán)限,并及時(shí)調(diào)整。(2)MS SQLServer數(shù)據(jù)庫(kù)中未去掉危險(xiǎn)的存儲(chǔ)服務(wù)。(3)沒有數(shù)據(jù)庫(kù)備份操作規(guī)程。2. 2. 3中間件主要弱點(diǎn)沒有對(duì)中間件管理操作進(jìn)行登陸源限制。2. 2. 4應(yīng)用系統(tǒng)主要弱點(diǎn)(1)沒有進(jìn)行上線前的安全檢查。(2)沒有采用安全加密的方式登錄。(3)登陸管理后臺(tái)時(shí),多數(shù)未做登陸源限制。(4)沒有定期進(jìn)行安全檢查。2. 2. 5設(shè)備主要弱點(diǎn)(1)未做登陸源限制。(2)未采用安全加密的方式登陸。(3)未啟用日志審計(jì)或日志保存時(shí)間小于3個(gè)月。2. 2. 6網(wǎng)站(內(nèi)、外)主要弱點(diǎn)(1)部分網(wǎng)站沒有備份和冗余能力。(2)部分網(wǎng)站沒有部署防篡改系統(tǒng)。(3)多數(shù)未對(duì)登陸網(wǎng)站管理后臺(tái)的登陸源做出限制。(4)大部分網(wǎng)站存在SQL注入的隱患。(5)大部分網(wǎng)站沒有文件上傳過濾功能。(6)部分網(wǎng)站沒有日志審計(jì)功能。(7)部分網(wǎng)站沒有部署入侵檢測(cè)系統(tǒng)。2. 2. 7終端主要弱點(diǎn)(1) 大部分未設(shè)置超時(shí)鎖屏功能。(2)沒有定期進(jìn)行安全漏洞掃描。(3)沒有修改默認(rèn)的系統(tǒng)管理員名。(4)沒有定期修改系統(tǒng)管理員密碼。(5)未關(guān)閉不必要的端口。3加強(qiáng)網(wǎng)絡(luò)與重要信息系統(tǒng)安全管理的建議通過檢查,識(shí)別企業(yè)的信息資產(chǎn)及信息系統(tǒng)安全的弱點(diǎn),進(jìn)行風(fēng)險(xiǎn)評(píng)估,假定這些風(fēng)險(xiǎn)成為現(xiàn)實(shí)時(shí)企業(yè)所承受的災(zāi)難和損失,通過降低風(fēng)險(xiǎn)、避免風(fēng)險(xiǎn)、接受風(fēng)險(xiǎn)等多種風(fēng)險(xiǎn)管理方式,采取整改措施制定企業(yè)信息安全策略。(2) 3.1開展網(wǎng)絡(luò)與信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作信息安全等級(jí)保護(hù)制度開始向多種行業(yè)推進(jìn),應(yīng)逐漸認(rèn)識(shí)到,只有良好的安全管理才能有效地解決定級(jí)過程中所發(fā)現(xiàn)的安全問題,并且為后續(xù)的信息安全提供長(zhǎng)時(shí)間的保障。電力企業(yè)根據(jù)信息安全等級(jí)保護(hù)管理辦法、電力行業(yè)信息系統(tǒng)等級(jí)保護(hù)定級(jí)工作指導(dǎo)意見實(shí)施信息安全等級(jí)保護(hù)工作,綜合考慮信息系統(tǒng)的業(yè)務(wù)類型、業(yè)務(wù)重要性及物理位置差異等各種因素,全面分析業(yè)務(wù)信息安全被破壞時(shí)及系統(tǒng)服務(wù)安全被破壞時(shí)所侵害的客體以及對(duì)相應(yīng)客體的侵害程度,將信息系統(tǒng)分為不同安全保護(hù)等級(jí)。開展信息安全等級(jí)保護(hù)工作有利于加強(qiáng)和規(guī)范信息安全等級(jí)保護(hù)管理,提高信息安全保障能力和水平,保障和促進(jìn)信息化建設(shè)健康發(fā)展。(3) 3.2開展網(wǎng)絡(luò)與信息安全綜合防護(hù)工作及應(yīng)急預(yù)案(1)嚴(yán)格落實(shí)機(jī)房管理制度,嚴(yán)格控制機(jī)房人員出入;禁止無關(guān)人員進(jìn)入機(jī)房,禁止無關(guān)設(shè)備接入內(nèi)部網(wǎng)絡(luò)和系統(tǒng)。(2)各企業(yè)應(yīng)統(tǒng)一互聯(lián)網(wǎng)出口通道,內(nèi)部網(wǎng)絡(luò)的其他個(gè)人計(jì)算機(jī)不得通過任何方式私自與互聯(lián)網(wǎng)建立網(wǎng)絡(luò)通道;對(duì)網(wǎng)絡(luò)關(guān)鍵點(diǎn)進(jìn)行IDS監(jiān)控,并對(duì)策略進(jìn)行優(yōu)化,重點(diǎn)關(guān)注端口掃描、網(wǎng)站漏洞攻擊、郵件發(fā)送等事件;加強(qiáng)防火墻、鏈路優(yōu)化器、IDS及DNS等設(shè)備的日志管理與安全審計(jì),做好配置定時(shí)備份;加強(qiáng)接入環(huán)節(jié)管理,有效使用防火墻和入侵檢測(cè)設(shè)備;關(guān)閉或刪除不必要的應(yīng)用、服務(wù)、端口和鏈接。(3)嚴(yán)格執(zhí)行信息安全“五禁止”規(guī)定。禁止將涉密信息系統(tǒng)接入互聯(lián)網(wǎng)等公共信息網(wǎng)絡(luò);禁止在涉密計(jì)算機(jī)與非涉密計(jì)算機(jī)之間交叉使用U盤等移動(dòng)存儲(chǔ)設(shè)備;禁止在沒有防護(hù)措施的情況下將公共信息網(wǎng)絡(luò)上的數(shù)據(jù)拷貝到涉密信息系統(tǒng);禁止涉密計(jì)算機(jī)、涉密移動(dòng)存儲(chǔ)設(shè)備與非涉密計(jì)算機(jī)、非涉密移動(dòng)存儲(chǔ)設(shè)備混用;禁止使用具有無線互聯(lián)功能的設(shè)備處理涉密信息。(4)加強(qiáng)重要管理信息系統(tǒng)的安全監(jiān)控和管理。企業(yè)內(nèi)外網(wǎng)站按照有關(guān)要求加強(qiáng)系統(tǒng)防護(hù)措施,在系統(tǒng)方面關(guān)閉不必要的進(jìn)程和端口,消除程序代碼方面的漏洞,消除程序代碼中的SQL注入和跨站漏洞等代碼漏洞,加強(qiáng)網(wǎng)站發(fā)布信息的審核,加強(qiáng)監(jiān)控,發(fā)現(xiàn)網(wǎng)站被攻擊或被篡改的,馬上啟動(dòng)應(yīng)急預(yù)案恢復(fù)網(wǎng)站系統(tǒng);對(duì)重要應(yīng)用系統(tǒng)(包括營(yíng)銷管理系統(tǒng)、財(cái)務(wù)管理系統(tǒng)等),要加強(qiáng)日常監(jiān)控和運(yùn)維管理,及時(shí)做好數(shù)據(jù)的備份工作。(5)加強(qiáng)終端設(shè)備的管理,有條件的可實(shí)施防病毒、域和桌面管理及PKI/CA管理。對(duì)管理信息系統(tǒng)的用戶、口令、補(bǔ)丁等進(jìn)行仔細(xì)的檢查,杜絕弱口令,及時(shí)更新和升級(jí)。(6)加強(qiáng)企業(yè)員工及網(wǎng)絡(luò)管理人員安全意識(shí)教育,通過多種形式進(jìn)行信息安全宣傳和教育,明白違規(guī)操作產(chǎn)生的危害,規(guī)范日常計(jì)算機(jī)使用操作行為,提高信息安全意識(shí)。(7)有針對(duì)性地制訂網(wǎng)絡(luò)與信息安全應(yīng)急單項(xiàng)預(yù)案,并落實(shí)責(zé)任到人。應(yīng)急預(yù)案編制完成后,要組織開展應(yīng)急演練工作。通過演練,總結(jié)經(jīng)驗(yàn),對(duì)預(yù)案進(jìn)行修改與完善,切實(shí)提高應(yīng)急處置能力。(4) 4結(jié)束語(5) 網(wǎng)絡(luò)與重要信息系