1管理措施
1.1建设标准化的信息安全管理体系
通过标准化管理实现信息安全标准化作业管理,定期对信息安全管理制度进行评价审定,对存在问题或需要改善的管理制度进行修订改善。
1.2建立完善信息安全管理组织机构
设立信息安全管理工程师、网络工程师、系统工程师等岗位,并明确各岗位相关职责,关键岗位实行备岗制度。应加强各岗位人员之间、信息安全管理负责部门和业务部门、后勤保障部门之间的沟通,共同负责协调处理信息安全问题。
1.3建立严格的审核流程
严格审查信息安全管理人员的聘用录取流程,审查其工作经历和任职过程,关键岗位应签署保密协议,明确相关人员信息安全责任;及时终止离退休人员的系统访问权限;对外来人员、第三方技术支持人员进行严格控制和监督,实行专人陪同或监督,并将访问时间、访问过程全过程登记备案。
1.4开展测试评估工作
新开发的业务系统、新建设的网络系统应加强安全防护措施建设,结合企业实际情况,建设针对性的安全防护方案;从长期安全和国际安全来看,最好使用安全性较高、质量较好的国产化产品;系统正式投入使用之前,应委托有资质的第三方专业测试单位对系统进行安全性、稳定性测试,根据测试报告对系统进行可用性、稳定性、安全性评估,不符合评估要求的,需要进行相关整改,整改之后重新进行测试评估,满足要求之后应该试运行一段时间。
1.5加强系统软硬件环境的全过程管理
(1)加强系统相关硬件环境的规范管理,特别是重要信息机房、通信机房的规范管理,确保机房温湿度、防水、防火、防盗、安全监控等运行环境符合要求,制定机房出入管理规定,严格机房出入管理,包括设备巡视维护人员、业务人员、第三方人员等等在内的所有人员都应严格实行出入管理规定,做好出入记录和工作过程的记录。(2)加强软件系统授权管理,根据各个系统角色的单位部门、工作职责、安全责任及工作范围等方面进行访问权限划分,按照最小授权原则,明确各个系统角色的权限、责任和风险;日常维护操作过程都应详细记录,严格操作授权管理机流程管理,任何未经授权的操作和错误的操作流程都要严格禁止和限制;定期进行漏洞扫描和补丁更新工作。(3)加强病毒防护管理,通过多种方式开展培训教育,增强企业员工防病毒意识,不打开、阅读来历不明的邮件,不随意发送涉及公司企业秘密的邮件;要指定专人做好病毒分析、记录和查杀工作。(4)严格系统变更、系统重要操作、物理访问和系统接入申报和审批程序,建立健全变更管理制度。保证所有访问均得到授权和批准,进行必要的安全隔离,配置严格的访问控制策略。
1.6加强员工信息安全培训
每年开展信息安全知识普及工作,提高企业全体员工信息安全意识;每年开展信息安全专项知识培训,并将信息安全培训纳入到企业培训考核工作当中,确保信息安全培训达到应有效果;加强企业领导和管理人员的信息安全培训,增强领导层、管理层的信息安全意识。
1.7加强应急预案管理工作
不断完善应急预案,做好应急预案的分类管理工作,既要有企业整体应急预案,也要有各个专项应急预案;做好应急物资储备调用工作,确保人员、物资等应急保障资源能及时可调可用。
1.8严格制定实施细则
确保信息安全风险评估工作做到常态化和制度化,及时落实整改,消除信息安全隐患。
2安全技术措施
2.1加强信息机房管理
通信机房安全建设管理工作,机房建设要符合国家相关规定,机房位置选择时,应选择远离强噪声源、粉尘、油烟、有害气体等场地,并且要避开强电磁场干扰,不要将机房选在地下室或者顶层等场地,选择中间二、三层较安全。
2.2加强信息网络安全管理
(1)信息网络核心交换机、汇聚交换机、核心路由器等核心网络设备要配置冗余设备,其上下行链路也要做好双链路备份,并根据业务需要合理分配网络资源;做好设备的授权访问控制,配置访问列表、IP/MAC绑定、vlan访问限制等安全措施,防止未经授权的访问操作发生。(2)采用网络行为管理设备、安全隔离装置、入侵防御设备(IPS)等安全设备对网络边界实施网络隔离、流量控制、访问行为审查和防御。(3)严格数据库访问管理,实现操作系统和数据库系统特权用户访问权限分离,对访问权限一致的用户进行分组,访问控制粒度应达到主体为用户级,客体为文件、数据库表级;控制单个用户的多重并发会话和最大并发连接数,限制单个用户对系统资源、磁盘空间的最大或最小使用限度,当系统服务水平降低到预先规定的最小值时,应能检测并报警。
2.3加强保密存储管理
对重要和敏感信息实行加密传输和存储,特别是移动存储管理,应严格限制移动设备的访问权限,包括办公笔记本和存储U盘,防止信息泄密;对重要信息实行自动、定期备份,防止数据丢失。
3结语
所讨论的管理模式是以安全管理为核心、安全技术为支撑,安全策略为手段的管理模式,结合国家相关标准、行业标准、企业发展情况,从信息安全管理措施和技术措施入手分析,给出一些安全建议与思考。
作者:卢伟东 单位:国网廊坊供电公司信息通信分公司