1 信息安全建設(shè)的目標
呂梁供電公司信息安全建設(shè)的目標是:基于安全基礎(chǔ)設(shè)施、以安全策略為指導(dǎo),提供全面的安全服務(wù)內(nèi)容,覆蓋從物理、網(wǎng)絡(luò)、系統(tǒng)、直至數(shù)據(jù)和應(yīng)用平臺各個層面,構(gòu)建全面、完整、高效的信息安全體系,從而提高公司信息系統(tǒng)的整體安全等級。為公司的業(yè)務(wù)發(fā)展提供堅實的信息安全保障。
1.1信息安全管理的理念或策略
從宏觀的、整體的角度出發(fā),系統(tǒng)的建設(shè)公司信息安全體系,不僅僅局限于技術(shù)層面,而是全面構(gòu)架信息安全技術(shù)體系,覆蓋從物理安全、網(wǎng)絡(luò)安全、主機系統(tǒng)安全、到數(shù)據(jù)和應(yīng)用系統(tǒng)安全各個層面。同時,建立全面有效的安全管理體系和運行保障體系。技術(shù)和管理并重,突出安全管理在信息安全體系中的重要性,僅僅憑借安全技術(shù)體系,無法解決所有的安全問題,安全管理體系和技術(shù)防護相互配合,增強技術(shù)防護體系的效率和效果,同時也彌補當前技術(shù)無法完全解決的安全缺陷,使得安全技術(shù)體系發(fā)揮最佳的保障效果。
1.2信息安全管理的范圍和目標
呂梁供電公司信息安全防護的總體目標是為了貫徹和落實公安部、國家保密局、國家密碼管理局、電監(jiān)會等國家有關(guān)部門信息安全工作要求,全面完善公司信息安全防護體系,落實國網(wǎng)公司“雙網(wǎng)雙機、分區(qū)分域、等級防護、多層防御”的安全防護策略,確保信息系統(tǒng)持續(xù)、穩(wěn)定、可靠運行,確保信息內(nèi)容的機密性、完整性、可用性,防止因信息系統(tǒng)本身故障導(dǎo)致信息系統(tǒng)不能使用和系統(tǒng)崩潰,抵御黑客、病毒、惡意代碼等對信息系統(tǒng)發(fā)起的各類攻擊和破壞,防止信息內(nèi)容及數(shù)據(jù)丟失和失密,防止有害信息在網(wǎng)上傳播,防止公司對外服務(wù)中斷和由此造成的一次系統(tǒng)事故。確保信息安全工作在公司的順利開展,逐步提高公司信息安全整體防護水平。對呂梁供電公司信息系統(tǒng)進行安全風(fēng)險評估,涵蓋管理與技術(shù)兩部分,其中管理包括管理機構(gòu)、管理制度、系統(tǒng)運維、人員安全和系統(tǒng)建設(shè)五個方面,技術(shù)則包括物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全和數(shù)據(jù)安全五個方面。通過評估的實施,不僅可以進一步提高信息系統(tǒng)安全保護符合性要求,而且可以將整個信息系統(tǒng)的安全狀況提升到一個較高的水平,并盡可能地消除或降低信息系統(tǒng)的安全風(fēng)險。
1.3信息安全管理的指標體系及目標值
1.3.1分區(qū)分域
依據(jù)國家電網(wǎng)公司安全分區(qū)、分級、分域及分層防護的原則,呂梁供電公司信息網(wǎng)絡(luò)已劃分為信息內(nèi)網(wǎng)和信息外網(wǎng)。
信息內(nèi)網(wǎng)依據(jù)總體方案“二級系統(tǒng)統(tǒng)一成域,三級系統(tǒng)獨立分域”方法,結(jié)合公司實際,信息內(nèi)網(wǎng)系統(tǒng)可分為:營銷系統(tǒng)二級域;財務(wù)系統(tǒng)二級域;公共服務(wù)域(WWW 、DNS、辦公自動化系統(tǒng)等);桌面終端域。
信息外網(wǎng)的系統(tǒng)可分為:對外應(yīng)用系統(tǒng)域:桌面終端域。安全域的具體實現(xiàn)采用物理防火墻、虛擬防火墻或VLAN、VPN等隔離方法;緦崿F(xiàn)目標為劃分的各域邊界可進行訪問控制。
進行安全域劃分后,公司內(nèi)網(wǎng)二級域3個,桌面終端域1個:外網(wǎng)服務(wù)域1個,桌面終端域1個。
1.3.2控制指標
公司同業(yè)對標指標目標值:信息安全次數(shù)為0次,信息系統(tǒng)可用率為100% ,信息系統(tǒng)應(yīng)用指標為100%。
2專業(yè)管理的主要做法
2.1主要做法說明
2.1.1物理安全
物理安全主要是網(wǎng)絡(luò)設(shè)備及主機安全,呂梁供電公司網(wǎng)絡(luò)設(shè)備及系統(tǒng)服務(wù)器存放在專門的計算機機房,首先通過門禁系統(tǒng)保證這些設(shè)備自身的安全性,并建立了專門的人員出入訪問控制機制,嚴格控制人員出入計算機機房和其他重要安全區(qū)域,便于檢查和分析。其次,指定專門的人員,負責計算機機房地建設(shè)和管理工作,建立了計算機機房管理制度,對設(shè)備安全管理、介質(zhì)安全管理、人員出入訪問控制管理等作出了詳細的規(guī)定,并定期對計算機機房各項安全措施和安全管理制度的有效性和實施狀況進行檢查,發(fā)現(xiàn)問題,及時整改。
2.1.2運行安全
為了保證信息網(wǎng)絡(luò)的安全運行,呂梁供電公司開展了雙網(wǎng)雙機建設(shè),也就是內(nèi)網(wǎng)和外網(wǎng)物理邏輯隔離,內(nèi)網(wǎng)用計算機與外網(wǎng)用計算機物理分開的建設(shè)。
2.1.3信息安全
呂梁供電公司要求每位員工有效利用各種口令,每臺機器都設(shè)置有開機口令,確?诹铋L度至少8個字符,并且是大小寫字母、數(shù)字和特殊字符中的三種組合,并要求至少3個月更換一次口令。
關(guān)于信息加密方面,公司要求重要信息、文件等不能在外網(wǎng)傳送,必須在內(nèi)網(wǎng)發(fā)送,并且要加密發(fā)送,并要求關(guān)閉計算機文件共享,確保信息不會泄露。
每臺計算機必須安裝省公司統(tǒng)一推廣的趨勢殺毒軟件及啟用防火墻,發(fā)現(xiàn)有未安裝殺毒軟件的機器立即短網(wǎng),防止外部用戶非法進入。
2.2確保流程正常運行的人力資源保證
根據(jù)省公司對于信息安全的總體部署,為切實做好信息系統(tǒng)安全工作,我公司成立了以公司經(jīng)理為組長,分管科技信息工作的副經(jīng)理為常務(wù)副組長,各部門和所屬單位一把手為成員的“網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組”,全面負責公司的信息安全工作。領(lǐng)導(dǎo)組下設(shè)辦公室,由科信部全體成員和所屬各單位專責人共同組成,負責信息安全方面的有關(guān)技術(shù)保障、事故應(yīng)急處理以及信息風(fēng)險和事故評估等具體工作。
公司要求所屬各單位、各部門要認真按照“誰主管誰負責、誰運行誰負責、誰使用誰負責”和屬地化管理的要求,認真履行信息系統(tǒng)安全職責,嚴格按照“三個百分之百”要求,落實公司信息系統(tǒng)與保密工作的制度和規(guī)定,執(zhí)行“雙網(wǎng)雙機、分區(qū)分域、等級防護、多層防御”的信息安全總體防護策略,切實抓好信息系統(tǒng)安全責任和制度的落實,確保完成了雙網(wǎng)隔離、等級保護,確保了信息系統(tǒng)安全建設(shè),安全運行,安全應(yīng)用。
組織所屬各單位的信息專責人進行了信息安全學(xué)習(xí)和警示教育,組織學(xué)習(xí)公司信息化規(guī)章制度,重點學(xué)習(xí)電監(jiān)會《關(guān)于開展電網(wǎng)企業(yè)信息安全檢查的通知》(電監(jiān)信息[2009]3號,國網(wǎng)公司《關(guān)于進一步加強網(wǎng)絡(luò)和信息系統(tǒng)安全的緊急通知》(辦信息[2009]3號),以及《信息化“SG186”工程安全防護總體方案(試行)》(國家電網(wǎng)信息f20081316號),深入了解公司面臨的嚴峻的信息系統(tǒng)安全形勢,全面掌握公司部署的應(yīng)對措施,結(jié)合工作實際,借鑒信息安全保電經(jīng)驗,對曾經(jīng)出現(xiàn)的信息系統(tǒng)安全事件與薄弱環(huán)節(jié)進行匯總、分析,普及信息系統(tǒng)安全警示教育,整肅安全管理作風(fēng)。
整理完成了包括電監(jiān)辦、國網(wǎng)公司、省公司、公司規(guī)章制度在內(nèi)的《網(wǎng)絡(luò)與信息系統(tǒng)規(guī)章制度匯編》,修訂下發(fā)了《呂梁供電公司信息系統(tǒng)安全管理辦法》、《呂梁供電公司信息安全總體防護方案》。進一步完善了專項應(yīng)急預(yù)案的制訂和審查備案等工作。
3 評估與改進
通過在管理方面和技術(shù)方面采取的有效措施,使公司同業(yè)對標信息化指標上半年完成情況:信息安全次數(shù)為為0次,信息系統(tǒng)可用率為100%,信息系統(tǒng)應(yīng)用指標為100%。
但在信息中心機房的物理安全等方面仍存在一些問題,比如電源室空調(diào)制冷效果,監(jiān)控等問題,我們?nèi)匀灰粩嗉訌姽芾,在網(wǎng)省公司的指導(dǎo)下采取有效措施,進行整改,把呂梁供電公司的信息安全防護水平提高到一個新的階段。
4 結(jié)束語
信息安全是一個相對的概念,我們只能使系統(tǒng)越來越安全,而做不到絕對的安全。為了保護計算機系統(tǒng)里各種信息,我們必須時刻保持高度的警惕,做到對自己的系統(tǒng)安全情況始終有一個清醒的認識。只有這樣才能使你的信息系統(tǒng)受到最大程度的保護,從而保障單位及個人信息的安全。
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/1083952655.html