信息安全行业分析篇1
一、电力信息系统的安全现状
一是尚未形成统一的电力信息安全管理规范。电力信息系统运转阶段,受多种体制性因素的约束,业内至今尚未建成能实现全面管理电力系统的网络安全规范标准,在政策层面上缺乏科学指导,以致电力信息安全管理自立门户,大量资源被重复建设,确没有取得预期成效。二是信息安全系统和电力行业特征很难实现有机结合。虽然目前越来越多的电力企业生产经营活动中采用了信息技术,在针对维护系统运行安全性方面采用的措施并不多,资源保障力度整体薄弱化。三是在计算机网络化发展阶段,初有局域网相互独立的格局被打破,形成了互相衔接的广域网,这在无形只能怪给电力信息系统运行安稳性构成威胁,外部安全隐患十分严峻。在网络互连互通的大格局下,系统运行阶段时刻面临着各种网络病毒与黑客的侵扰、攻击。四是在数据库的存储及其他备份文件的选择方面尚不规范、电力系统运行阶段会形成海量数据,这些数据在电力系统实现安全运转及生产经营活动稳步推进方面均起到保障性作用。而当下电力信息系统产生的大部分信息是由数据库管护,部分工作人员操作欠缺规范性、网络病毒及黑客恶意攻击等,均可能造成企业重要信息外泄,使电力企业社会形象与经济效益均承受了不同程度的折损。
二、电力企业网络信息安全管理的方法
(一)重视信息安全规划实际状况
网行安全合理设计规划的宗旨在于帮助相关人员更全面、深度的思考网络环境内存在的安全风险问题,进而探究相关解除方法。为提高电力信息安全管理工作水平,一定要建设一套完善的信息安全管理体系,这一点可以参照当下国际上通用的部分标准去进行,比如BS7799、iSo15408等。
(二)科学规划安全域
现如今,国内多数供电企业搭建的是物理式隔离网络,需配合采用适宜的方法规划内网上的安全域。实践操作中需结合安全规划、信息安全密度的所属级别,于逻辑层设计出核心重点、常规与开放型域。重点防范域的运转状态对网络安全程度会形成直接影响,普通用户不具备直接访问该区域内容的权限,这就预示着其安全等级处于较高层次上建议电力企业把各种重要数据仓库、服务器、应用系统、oa系统等布设在该区域内,从根本上使其运行安全性得到保障。
(三)加大对系统漏洞的扫描
明确要求电力企业信息安全管理人员在现实工作中认真落实电力信息系统安全脆弱性的检测工作,在全面掌握信息系统运行状态的基础上,及时探查到其内存有的安全风险问题,采用有效的方法及时解除,最后实现对系统安全漏洞的有效处理。选用适宜的漏洞扫描技术扫描系统漏洞,即确保电力企业能在复杂、庞大的计算机网络环境内有针对性的扫描网络层与操作系统,并利用安全风险测评报告的形式将扫描结果呈现出来,借此方式提高电力行业信息安全管理的综合效率。
(四)加大制度建设力度
1.日志管理和安全审计防火墙和入侵检测系统具具备审计功能,应充分利用以上技术,进而高效率的落实电力信息网络的日志管理与安全审计工作。依照相关规范要求严格管理审计数据,人和人不许篡改、删减审计记录。2.构建内网的统一认证系统认证为当下维护与巩固网络信息安全型的有效技术之一,其功能在于提供身份甄别、访问控制、机密性及不可否认性服务等。3.构建病毒防护体系实质上就是将防病毒体系装设到信息网络内,防病毒软件系统具备强大的远程化安装、运程预警及集中化管控等功能。在该防护体系运行阶段,也要建设相配套的管理体制,即防病毒管理制度,明确要求企业员工针对从互联网上下载的数据信息,不可随意将其拷贝到内网主机上,针对始源不明确的移动存储设备也禁止用于联网计算机设备上。加强电力企业职员防病毒意识与能力的培养,这样他们在实践中若察觉到网络病毒,便能快速、娴熟的采用相关处理方法。4.构建网络管理制度首先,电力企业高层领导者应从思想上重视网络信息的安全性问题,不能信息安全管理与制度建设均交由技术部门单独执行。电力企业应主动建设信息安全领导小组,指派分管领导严抓网络安全工作,清晰设定其职责与需落实的工作制度,编制行之有效的安全事故处置流程、应急预案等。其次,做好基础设施与运行环境的管理建设工作。具体是加大对企业网络信息中心的机房、配电房等重要基础设施的管理力度,及时引进防盗、防火、防水等设施,装设监控系统、报警装备等。建立严格的设备操作、管理及维护日志,规范软、硬件的操作规程,进而从多个方面确保计算机相关设备运行过程的安稳性。再者,建设相配套的安全管理体制。不论是电力企业的中心机房,还是各业务部门计算机系统,均要建设完善的计算机规范化使用管理制度,网络管理员、安全员、各个业务部门主管与计算机设备操作人员的密码管理规则等内控制度。有关人员需有修改计算机应用系统重要数据的需求,则要将书面申请材料提交给相关部门,经授权后由专人负责完成该种工作。建设备份制度,针对核心流程及数据均要做到严格保密,推行专人专管机制。严肃性、权威性、强制性均是管理制度的特征,制度一旦建成就要严格实施。电力企业要指派专人定其检查督导制度的实施情况,确保其能真正落实到位。最后,建立保密制度。以是创设保密委员会,全面落实和电力信息保密工作相关的法律条文,执行国家电网、省委省政府下达的要求。加大保密机构与队伍的建设,督导各单位在实践中积极完善保密工作体制,将各项防范控制措施落到实处。针对工作用计算机登录互联网,要加大保密管理力度,严禁出现通过互联网传送涉密电力信息的违规行为,不可以在未配置保密措施的计算机系统内处理、存储于传送企业秘密。针对加密机及其秘钥,均要有专人管理,并建设相配套的审批、登记、管理制度。明确要求任何单位与个人不可在电子公告系统、聊天室内、讨论与传播国家秘密信息,企业在网络上采用电子函件进行信息交流时,一定要严格遵守现行的国家相关保密规定。
(五)建设安全长效机制
为了能从根源上解除电力系统网络安全问题,科学技术是实现安全的主体,管理则是安全的魂魄。通过建设安全长效机制,进一步提升信息资源管理的安全性,以下几种因素决定了其建设与实施的必然性:电力企业形成的安全文化对社会能形成一定辐射作用;新时期下落实安全生产要求的有效办法;满足电网科学技术快速发展的主观需求;以人为本的现代化管理模式是企业安全文化体系的核心构成管理。电力企业积极建设现代化、先进的安全文化,对本企业安全生产、运用起到凝聚、调控等诸多作用,引导全体员工形成积极向上的职业观念、规范化行为追责,最后增强员工的自我管理与自我协调能力。
三、结束语
信息安全行业分析篇2
伴随着金融电子化需求的日益迫切和信息技术的日新月异,商业银行传统金融业务与新兴互联网技术正在经历密切的融合,这种融合促进了商业银行的金融模式创新和服务渠道转型,但同时也带来了严峻的网络安全威胁挑战。信息安全风险在银行信息化进程中一直受到监管部门的重视。
早在1999年,巴塞尔银行监管委员会就专门设立电子银行小组(eBG),并在2004年的《巴塞尔资本协议ii》中将信息安全风险作为新型风险纳入总体风险框架中,使信息安全成为商业银行风险管理中的重要内容,随后全球各地区的银行监管机构都设立专门的it风险监管部门,并推行严格的信息安全管理制度和框架,例如美国三大银行业监管机构制定的《电子银行最终规则》、《银行用户身份认证体系》等,欧洲中央银行的《eSCB信息系统安全政策》、《关键系统支付体系业务连续性纵览》等。我国银监会近年也陆续推出《商业银行信息科技风险管理指引》、《电子银行安全评估指引》等制度规范。2014年,在中央网络安全与信息化领导小组成立的大背景下,银监会了《关于应用安全可控信息技术加强银行业网络安全和信息化建设的指导意见》,表明我国银行业对信息安全的重视程度已达到空前高度。在此趋势下,国内对银行信息安全问题的理论研究逐渐增多,如吴溥峰(2010)提出一个综合动态的网上银行信息安全体系框架模型,可有效降低、控制网上银行的运行风险。汪轶(2011)对商业银行信息安全风险的VaR计量方法进行研究,为建立完整的信息科技风险监管框架提供了依据。在移动金融发展的背景下,夏伟等(2012)对移动网银方案进行研究,提出了一种假设移动终端不可信的基于智能银行卡的移动安全网银解决方案。
银行业关系到国计民生和社会稳定,在当前日益严峻的金融信息安全威胁形势下,重新审视商业银行信息系统和安全管理体系中的缺陷,优化甚至重构已有的信息安全技术架构,实施安全管理与策略的升级转型,将成为我国商业银行构建自主可控的信息安全体系的重要内容。
二、全球银行业网络安全威胁事件汇总及形势分析
纵观全球,无论从技术建设水平还是从风险监管环境看,银行业的信息安全体系相比其他行业更为成熟和完善,商业银行除了具有网络防御、信息备份、灾难恢复和系统性能保障等完备的信息安全保障措施,还要定期接受严格的合规检查。然而,随着银行自身业务电子化依赖程度的加深以及金融服务趋于开放互联,近年来全球银行业的网络安全威胁事件不降反升,严重影响了银行声誉和社会稳定,也打击了公众对数字金融的使用信心,这些威胁事件突显了金融领域信息安全问题的严峻性、持续性和衍生性。(1)在欧洲,2007年~2010年,黑客先后多次攻破荷兰银行的防火墙,盗取了部分账户信息并成功进行了转账操作。2014年,俄罗斯央行和商业银行的在线服务遭受DDoS攻击,造成长时间服务瘫痪。2015年伊始,芬兰波赫尤拉银行和瑞典北欧联合银行同时遭受了24小时持续性DDoS攻击,致使其停止线上服务访问,经调查本次攻击技术并不复杂,实施者可能是业余黑客。(2)在美洲,2011年,美国花旗银行数据库系统被黑客侵入,20万用户的信用卡信息被盗。2014年,摩根大通发现黑客利用复杂的技术潜入其内部网络2个月,窃取了8300万客户资料等大量情报,震动了奥巴马政府,经调查攻击者来自当时正被西方经济制裁的俄罗斯,可能有国家黑客背景。(3)在亚洲,2012年,香港汇丰银行的汇丰理财服务等全球多个网站受到攻击,经调查可能系伊斯兰极端组织所为。2009年~2014年,韩国友利、韩亚、农协、济州等银行多次遭遇大型网络攻击,致使网络瘫痪,全国柜台和atm无法提供数字服务,甚至灾备系统全部失效。2014年更是发生了银行信用卡信息泄露事件,导致韩国全民排队更换信用卡,影响了社会秩序。(4)在非洲,2012年南非邮政银行遭受一次策划已久的网银偷盗活动,黑客通过潜入内部员工计算机数月闯进银行核心系统,共盗取700万美元。
经过对上述安全事件的汇总分析,可以发现银行业网络威胁环境正面临着新形势,不仅涉及安全管理和技术问题,背后还常常伴随着国家政治经济环境问题,信息安全风险边界呈现出扩大化、分散化的趋势,主要表现在以下几点:
1.从威胁模式看,商业银行面临多样化的网络攻击形式,高等级攻击增多。从案例中可以发现,商业银行面临的最主要的网络威胁是资金盗窃、数据泄露以及系统服务中断。具体到攻击模式,商业银行由于数据资产附加值高且安防体系健全,攻击者愿意付出更大代价,尝试新型复杂的技术手段和社会工程方法。一是针对大型银行系统的apt攻击日渐流行,其攻击行为潜伏策划期长,入侵行为隐蔽,通过层层渗透逐步获取核心系统权限;二是对于“零日”漏洞,攻守两端存在知识不对等的局面,已成为网络攻击中最有效的突破口;三是很多案例中反映出攻击者已不仅仅依靠单纯的技术手段,还表现出周密的侦察组织能力以及对银行业务流程的熟悉,甚至还出现内部技术人员参与协作的情况。
2.从涉及地域看,信息安全风险正在威胁全球范围的商业银行。区别于实地"抢银行"的概念,在互联网金融时代,黑客已突破洲际地域界限,可以将任何区域的商业银行信息系统作为攻击目标,开展有组织的网络窃取和破坏活动,针对商业银行的网络攻击行为已成为全球性的普遍问题。从案例中可以看出无论是位于全球金融中心的美国摩根大通,还是远在非洲的南非邮政银行,都出现过较为严重的网络威胁事件记录,很多银行还不止一次的遭受黑客攻击。随着国内商业银行线上经营环境的快速开放,网络威胁事件发生的概率将进一步提高。
3.从成本投入看,攻击成本和防御成本呈现严重不对称性。商业银行在安全设施、人才培养和技术研发方面的投入正逐年增加,例如摩根大通宣称其2014年的网络安全开支已达25亿美元,并配备了上千名专职员工,远高于it巨头谷歌公司,但庞大的投资并未阻止其2014年发生严重的信息泄露事件。随着同类业务的泛化、攻击方法的简化和恶意工具的普及,网络攻击难度和成本正在降低,很多案件的攻击者文化水平并不高,甚至使用开源工具和简单技术即能实施攻击,即便无法实现难度较高的资金和信息窃取,也存在利用蛮力方法造成服务中断的可能。
4.从外部因素看,网络安全与地缘政治、民族宗教等问题紧密相连,存在跨界震荡。当前,国际政治、军事、宗教等领域发生区域冲突和争端越来越多的转嫁于网络空间,带有政治意图或意识形态的网络威胁大幅增加,最典型的例子是2010年美国利用“震网”病毒入侵伊朗核设施网络,成功改变了系统相关参数,导致伊朗核计划延迟。思科在2015年度安全报告中首次将地缘政治因素纳入网络安全威胁考量。从全球银行业网络安全威胁的案例中,同样能发现“国家黑客”或恐怖主义所带来的影响。因此,商业银行作为国民经济的命脉,其网络安全环境必然与外部情报态势存在联系。
三、我国商业银行应对网络威胁遇到的困难与挑战
全球金融信息安全形势为我国商业银行的经营发展敲响警钟,以人为镜,可以明得失,从不同维度分析我国商业银行在新形势下存在的信息安全风险,主要存在以下几点困难和挑战:
1.系统架构日趋复杂考验自主可控能力。这主要涉及两个方面:一是国内银行网络基础设施和核心业务系统长期依赖国外厂商的技术和设备,国外it厂商的大型机、小型机、数据库、存储设备等在国内银行业处于垄断地位。基础设施和核心架构受制于人,无法实现安全自主可控。二是信息安全技术架构日趋复杂,业务系统增长使安全加固点增多,不同网络位置的安全设备产生海量、多源、异构的原始流量信息和安全日志,同时业务数据本身也隐藏安全风险,目前尚欠缺对这些数据有效的关联分析和安全联动,难以掌握整体网络安全态势,实现安全可控。
2.新兴业务应用的增长带来安全隐患。移动金融、网络理财、第三方支付、企业网络融资、直销银行等新应用的出现使银行线上业务链条拉长,漏洞隐患随之增多,不仅带来了技术安全问题,还表现出业务安全隐患,传统的信息安全风险评估方法已难以适应。更根本的原因是目前银行的安全体系建设并未纳入到业务发展整体中考虑,导致业务发展与安全建设脱节。
3.网络数据量的上升引发性能瓶颈。随着传统金融业务进一步向互联网迁移,网络流量呈指数级上升,网络设备数据报文转发速率要求越来越高,银行系统产生的海量数据为现有安全设备与分析方法带来了性能考验,一是对于事中的流量安全检测,实时处理、检测和响应难度加大,二是对于事后的安全审计与取证,对海量数据归集存储能力和快速全文检索能力提出较高要求。
4.新型攻击模式考验防御技术体系。从对现有案例的分析发现,apt等新型攻击已逐渐成为网络攻击者渗透大型商业银行网络的常态化模式,这类攻击具有潜伏期长、不确定性强、弱特征的特点,善于利用未知漏洞形成单点突破,再逐层开展内网渗透,慢速的窃取数据或有计划的破坏网络。现有防御思路更关注单点防御和阶段性防御,对于新型攻击模式缺乏有效应对手段。
5.信息安全管理手段仍存较大缺陷。目前,商业银行通常采用较为成熟的信息安全管理规范来制定安全管理制度,其中运维保障、网络隔离、数据加密存储等技术性基础工作一般完成较好,但人员管理成为难点。核心科技人员和外包技术人员的增多,使银行网络设备及敏感数据越来越多的机会被直接操作,增加了系统不确定性和数据泄露的风险。
四、我国商业银行信息安全体系建设转型要点
外部威胁环境的变化、监管合规要求的提高以及自身业务系统架构的复杂化都要求商业银行在信息安全体系发展建设中进行多方位转型,以实现整体的安全自主可控。本文主要从系统架构、安全技术、风险评估、安全管理和安全规划五个维度对商业银行信息安全体系转型进行要点分析。
1.系统架构向自主可控转型。“棱镜门”事件反映出以国外软硬件产品为核心的银行信息系统存在安全隐患,根据国家政策导向趋势,“去ioe”已成为国内各大银行不得不面对的问题。然而“去ioe”并不等于生硬的国产化替代,在具体实施时将面对极为复杂的技术挑战和业务风险。要解决好这个问题,商业银行应化被动为主动,把国家层面自主可控战略作为一次系统架构升级转型契机,以业务长期发展需求为核心统筹规划,改善自主创新环境,逐步向高弹性、可扩展的架构模式转型,一方面实现对ioe架构依赖度的降低,另一方面实现业务发展的自主可控。这个问题可以借鉴互联网企业的成功经验,例如阿里巴巴从2007年开始实施“去ioe”计划,到2012年最后一台iBm小型机下线,共历时5年,主要思路包括:一是一切以业务为导向,逐步向云计算服务模式迁移;二是向x86架构转型,降低成本;三是开源软件与自主研发相结合的技术发展路线;四是通过业务创新推动技术创新,实现基础架构的高可用(例如“双十一”、“抢红包”等新兴业务访问量大,使后台技术能力不断站上新的台阶)。
2.安全技术向大数据智能安全升级。传统的安全软硬件产品如杀毒软件、入侵检测、web防火墙等,主要解决的是单点安全问题,且多是基于特征码和规则库的检测方法,缺乏网络全局的安全态势感知能力和基于行为的智能分析手段,无法应付新型的高等级威胁。基于大数据技术的智能安全将是银行安全技术转型的方向,著名信息技术咨询公司Gartner(2014)预测2016年25%的国际型大公司会将大数据技术应用于至少一个安全或异常检测中。大数据智能安全技术主要包括两大部分:一是安全数据的感知归集。主要任务是对异源异构的安全数据进行采集、过滤、存储和格式化,对于银行系统,数据源不仅要包含网络设备的流量数据和应用系统的服务日志,还要包含业务系统的各类操作日志,为后续的安全分析和取证提供基础。二是安全数据的关联分析。建立在大数据存储的基础上,安全防护具备了长周期检测和异源异构关联分析条件,Hadoop、Spark等技术的发展为海量数据的高效并行计算为技术团队基于大数据的安全建模能力。
3.风险评估向动态开放方向转型。目前,我国商业银行主要是遵从或参考《商业银行信息科技风险管理指引》、《信息安全等级保护管理办法》、GB20984、iSo27001、CoBit等国内外较为成熟的安全评估管理标准和规范,开展信息安全风险评估、测试、改进等工作,以满足内部控制和合规管理的要求。从实际效果看,这些标准在实践中有效帮助商业银行建立了规范完善的信息安全评估管理体系,能够及时发现风险并采取控制措施。而在新技术条件下,现有的评估管理体系略显机械,很多评估结果仅是列出孤立的风险项,无法反映核心问题,以年为周期组织的评估活动也无法适应不断变化的网络威胁环境。建议在现有风险评估体系基础上增加灵活性:一是可酌情引入“白帽子”评估测试机制,“白帽子”漏洞发现能力强,评估方法客观,可避免评估思路的固化单一;二是常态化的开展动态局部的评估活动,而不是简单应付几月一次的整体合规检查;三是对新业务开展有效的专项安全评估,例如手机银行安全评估、私有云安全评估等。
信息安全行业分析篇3
[关键词]安全审计;审计手段;异构环境审计
0引言
随着社会信息化程度的加深,各大中型企事业单位逐渐形成了科学化、多样化的各类信息系统,往往一个企业的信息化系统就多达十余个,在这种复杂的多系统条件下,如何实现细粒度的精准安全审计已成为审计领域一个热点问题。
本文首先对目前信息化环境下的细粒度安全审计进行了概要描述,接下来详细分析了各种安全审计方法特点,最后对异构性多信息化系统环境下的有效审计手段进行分析总结。
1信息系统安全审计简介
1.1信息系统安全审计定义
信息系统安全审计主要指对与安全有关的活动的相关信息进行识别、记录、存储和分析;审计记录的结果用于检查网络上发生了哪些与安全有关的活动,谁(哪个用户)对这个活动负责;主要功能包括:安全审计自动响应、安全审计数据生成、安全审计分析、安全审计浏览、安全审计事件选择、安全审计事件存储等[1]。
1.2信息系统主要安全审计手段
对信息化系统环境下用户操作行为的安全审计可以通过以下几种典型手段实现:
(1)基础日志层面审计:对信息化系统的基础it支撑硬件环境内设备的自身日志进行分析的手段。
(2)网络层面审计:通过采集网络数据包后进行协议解析还原来分析信息系统网络活动的审计手段。
(3)业务层面审计:对信息化系统中业务操作行为日志进行记录审计的手段。
(4)敏感数据专项审计:针对信息化系统定义的具有高风险的企业敏感数据进行细粒度审计的手段。
2安全审计技术特点分析
2.1概述
基础层面日志审计、网络层面审计、业务层面审计及敏感数据专项审计是4种比较典型的对信息化系统的审计手段,本文将对各种审计手段的特点进行分析。
2.2安全审计手段特点分析
2.2.1基础层面日志审计
基础层面日志审计面向it支撑系统中的设备层面,是安全审计的基础手段之一,通过对设备自身运行日志、配置变更日志等底层设备日志的审计分析,可对目前设备的自身安全运行状态得出基础判断。
2.2.2网络层面审计
网络层面审计需利用网络抓包分析手段对网络中的数据流进行分析。在分析过程中,主要需重点关注访问源地址异常、访问协议异常、访问次数异常的数据流[2]。
2.2.3业务层面审计
业务层面审计需依赖于良好的业务梳理,形成业务合规操作定义。进行业务审计前,需对信息化系统中业务操作进行日志记录,结合合规操作定义进行比对审计。
2.2.4敏感数据专项审计
信息化环境下保有的大量数据中存在着对企业来讲极为重要的数据,这些重要的、涉及企业较大利益的敏感数据在安全审计层面需要通过专项审计来满足审计需求。敏感数据审计通过定义需审计的具体数据内容、数据具体存放位置、数据可被访问的手段等具体内容,针对违反上述定义的情况对数据进行逐一的细粒度重点审计。
3安全审计手段整合技术
用基础层面日志审计、网络层面审计、业务层面审计及敏感数据专项审计等手段虽然可对信息化系统进行安全审计,但复杂多信息化系统环境下大量的审计数据的获取、过滤、关联,必然耗费较大的人力且容易出现审计风险[3]。为避免上述问题,本文综合现有安全审计需求,提出如图1所示的安全审计手段整合架构。首先将各信息化系统的全量日志送入多日志采集平台,由平台统一将各类日志进行标准化处理、过滤后送往不同的二次分析模块(分为网络类与设备类及业务数据类两种),由分析模块根据自己的审计策略进行关联分析,最后将各自模块处理后的数据送入综合审计平台,由综合审计平台对各层面日志进行关联化的综合审计。
4结论
多信息化系统环境下安全审计的精准实现,需要采用精准化的日志处理及多级关联审计策略,将日志处理为标准可读日志后按照信息化系统的审计需求,横向关联多层面日志、纵向关联多时间段日志,最终满足灵活多变的安全审计需求。
主要参考文献
[1]国际标准化组织.信息技术安全性评估准则(iso/iec15408-2:1999)[s].1999.
信息安全行业分析篇4
关键词:旅游业;旅游安全信息管理;问题与对策
由于近些年来人们对业余娱乐项目要求有很大的提高,这就从根本的角度上导致我国旅游行业得到非常迅速的发展。对旅游行业的发展来说,其中还存在很多安全性问题,对这些安全性问题制成的信息在进行管理,可以促使在人们进行旅游的过程中对自身的安全性有很好的保障。但是由于旅游行业目前处于不断发展的过程中,这就导致了对旅游安全信息管理过程中出现了一些问题,这些问题的存在限制了我国旅游行业的继续发展,因此这就需要对理由安全信息管理过程中存在的问题进行全面的研究并提出合理的解决对策。以下就针对于旅游安全信息管理问题和相应解决对策进行深入分析。
1旅游安全信息管理中存在的问题
在旅游行业不断发展的过程中,对其中安全信息管理也成为旅游行业发展中最重要的一项。而且在目前开展的旅游安全信息管理中,我国也针对旅游行业的发展特点制定一系列实用性的信息管理方法。但是这种实用性的信息管理方式还存在一些弊端,对游客的需求不能做到全面的满足,对旅游中相应的安全也不能有一定的保证,对旅游行业的继续发展产生非常严重的阻碍。
1.1管理制度不健全
和很多信息档案管理一样,在进行管理的时候对其自身的管理制度并没有按照社会的发展需求制定合理的信息管理制度规章。尤其对旅游安全信息管理中如果没有制定健全的制度规章就会导致在进行信息的时候,多层次的管理模式就会对游客造成很大的不便利。而且这种多层次的管理模式还会导致的安全信息与实际的信息之间存在很大的差异,使得游客对旅游中的安全信息不能准确的获知,这就会提高游客在旅游过程中发生灾害的可能性。另外,在没有形成合理的旅游安全信息管理制度的同时,对相应的安全信息进行收集也会出现很大的困难,对收集来的旅游安全信息也缺乏一定的权威性,这种情况的出现就会对游客自身的安全不能进行有效的保障。
1.2安全信息匮乏
在对整个旅游行业的安全信息管理过程中清楚的发现,安全信息匮乏对整个旅游行业的发展也会造成非常大的影响。而且造成旅游安全信息匮乏的根本原因也非常广泛,主要可以分为四个方面。在这里笔者就对这四个方面进行详细的论述。第一,很多旅游行业为了减少对安全信息的获取时间,就会收集大量质量不能得到保障的信息以次充好,而且还有很多安全信息是凭空捏造的,自身的质量不能受到良好的保证,这种情况的出现就会导致游客在旅游过程中依靠的安全信息质量不合格,对游客自身的安全也不能进行合理的保证。第二,对收集的信息数量也非常少,使得信息的质量和准确性都不能得到良好的保证。第三,由于对旅游行业安全信息管理没有建立合理的管理制度,这就导致在对安全信息收集和整理过程还存在很大的缺失,这种缺失对安全信息的综合性不能进行良好的保证,使得旅游安全信息出现综合性过低的情况。第四,目前对旅游行业在发生事故的时候进行调查还有很大的不足,这就导致在发生旅游事故之后没有进行有效的事故分析,这就提高了再次发生旅游事故的概率。
1.3传播渠道分布散乱
一般来讲,旅游安全信息往往会涉及社会的各个行业和领域,甚至有些安全信息还会与国家的安全稳定相关联,因此,对这类数据的数量、类型、质量、时间和发送方式往往会提出较高的要求。然而,目前传播旅游安全信息的各类渠道分布散乱,尚未得到统一的整合,严重影响了旅游安全信息的有效传播。
2加强旅游安全信息管理的对策
2.1健全和完善旅游安全信息管理机制
相关部门要基于目前我国旅游安全信息管理现状,结合旅游业的发展需求,制定相应的法规制度,健全和完善旅游安全信息管理机制。作为旅游安全管理的重要职能部门,在完善旅游安全信息管理的各项政策和制度的过程中,国家旅游局应该起到很好地牵头带动作用,建立相应的奖惩和激励机制,具体落实各部门或个人的职责责任,确保旅游安全信息管理工作的顺利推进。
2.2建立旅游安全信息分析中心
旅游业是一项综合性非常强的产业,往往会涉及到社会的方方面面,针对此问题,国家旅游局应该设置专门用于分析旅游安全信息的中心部门,构建一个综合的安全信息分析系统,从而为集成、开发、序化和利用旅游安全信息提供强有力的支持。安全信息分析中心应该根据旅游安全信息的层次和来源构建并设置相应的安全风险检测系统、环境及各部门的安全信息系统等,并在此基础上进一步创建旅游安全信息的综合分析系统,通过该系统提供的决策支持来实现旅游业的安全风险预警以及安全状态的评估,进一步提升分析及利用旅游安全信息的能力,从而促进旅游业健康持续的发展。
2.3规范化管理旅游安全信息
目前,我国旅游安全信息在数量上存在明显的不足,针对这一问题,相关机构和部门要规范旅游安全管理中各项环节的工作流程,明确和落实管理工作中具体岗位人员的责任、权利,做到权责分明,保证旅游安全信息管理工作的顺利开展,只有这样,才可以实现旅游安全信息的高质高量,信息的完整度也才能得到合理的保障,从而满足游客以及其他信息需求者对旅游安全信息不断增长的需求。
结束语
总而言之,做好旅游安全管理工作,一方面能够促进旅游业健康可持续的发展,另一方面还能够实现社会管理水平综合性和全面性的提升。而加强旅游安全管理,首先要实现旅游安全信息的有效管理,这就需要建立有效的信息管理机制和信息共享平台,解决旅游安全信息管理中现存的诸多问题,保证对外供给的旅游安全信息的高质高量,为旅游业的安全预警和安全风险评估提供科学的信息支持。
参考文献
信息安全行业分析篇5
关键词:建筑安全信息机制;分析;构建
建筑行业具有高危险特征,在实际施工与管理期间,相关部门必须要做好建筑安全信息管理工作,制定完善的管理机制,提升自身工作质量,满足现代化建筑施工企业的发展需求。
1建筑安全信息内涵分析
在建筑企业实际发展中,相关部门必须要对安全信息的内涵进行分析,保证可以根据安全事故的原因等开展分析工作,除了可以提升施工人员生命安全性之外,还要保证建筑管理工作的安全性符合相关规定。在此期间,建筑施工企业需要建设完善的安全管理模型,对安全信息进行管理,提升施工工作的安全性,将文字与图像等作为主要载体,利用先进的沟通渠道等,对信息进行传播,保证组织机构与施工人员都能全面了解安全管理信息,并制定完善的决策与规划方案,落实上级部门的要求,提升自身工作质量。对于建筑安全信息而言,具有预防、控制等特征,可以弥补传统建筑信息的不足,并预防建筑施工安全问题,全面开展法律培训、制度培训与安全技能培训等活动,提升建筑施工企业管理工作质量。第一,建筑安全信息机制的主体。对于建筑信息安全机制而言,主要就是利用网络信息技术,及时获取其中的数据信息,并分析其安全性与经济效益,在数据信息处理与交流之后,根据其实际特征开展相关管控活动,明确信息机制使用者与管理者的职责,并完善安全信息机制[1]。第二,传导模式。对于建筑安全信息而言,其传导模式较多,主要为时间与空间方面的沟通,满足建筑企业的实际发展需求,并构成完善的信息流或是网络机制。目前,我国部分建筑施工企业在安全信息传导过程中,还存在一些问题,难以突破传统传导模式的局限性,甚至会出现信息机制主体各自为政的现象,无法在相互合作与联系的情况下,提升建筑安全信息机制的完善性与可行性。部分建筑企业在建立安全信息机制之后,会出现各类损耗问题,导致出现信息量缩减的现象,无法提升数据信息真实性与合理性,缺乏一定的指导价值,甚至会导致建筑施工过程出现安全事故,甚至会导致施工企业出现严重的经济损失。一些建筑施工企业还没有明确安全信息传递负责人,甚至会出现隐瞒真相的现象,难以提升安全信息机制的运行效率,无法增强其可靠性。
2建筑安全信息机制的构建措施
建筑施工企业在实际工作中,必须要全面构建安全信息机制,将其应用在实际施工中。但是,我国建筑安全信息机制属于初步建立阶段,在实际工作中,安全信息机制还存在较多问题,需要相关部门对其进行完善与创新,提升自身管理工作质量,优化其发展体系。具体措施包括以下几点:(1)建筑安全信息机制设计措施。在实际工作中,相关部门需要做好安全信息机制设计工作,根据建筑企业的实际发展需求,制定完善的信息搜索与传输系统,并拓宽信息处理渠道,积极借鉴国外先进的工作技术,明确安全信息机制的核心内容,保证可以提升自身工作质量,优化其发展体系。相关部门需要提升安全信息机制的构建效率,科学控制建筑企业的运行成本,同时,还要利用安全信息机制,规避施工事故,减少施工事故对于企业带来的危害,并为建筑施工人员营造安全的工作环境,提升建筑施工企业的安全性,并提高施工工作效率。另外,施工企业必须要重视自身经济效益,利用安全信息机制等,防范安全问题,降低事故成本,提高经济效益。施工企业在设计安全信息机制的过程中,必须要建设系统工程,并对安全信息系统等其他内容进行全面的分析处理,设计总框架图,然后利用框架图开展相关管理工作。如图所示,施工企业在设计安全信息机制的时候,必须要明确整体信息核心,构建完善的信息系统,提升自身工作质量。相关设计人员还要对法律法规、组织信息、先进技术、经济效益、企业文化与其他管理工作进行全面分析,将其设计在安全信息机制模型中,并建设其他子系统,规划管理建筑施工企业的各类项目。同时,建筑施工企业需要完善相关系统,保证各类项目之间的配合密切性,并构建完善的安全信息机制,提升自身工作质量与可靠性,达到预期的管理目的。(2)建筑安全信息机制构成措施。在建筑施工企业对安全信息机制进行设计之后,需要全面分析其构成要求,并将其分为核心系统与系统,利用先进的网络信息技术等,建设完善的数据库,然后对各类安全信息数据进行共享,并构建统一的信息机制。同时,相关管理人员需要对建筑施工经济效益、技术与法律等进行管理,制定阶段性的培训方案,建设高素质人才队伍,支持建筑施工企业的长远进步,逐渐优化其发展体系,满足施工企业安全信息机制的建设要求。(3)制定安全预警方案。建筑施工企业在完善安全信息机制之后,需要制定完善的安全预警方案,针对建筑施工安全问题等,全面开展事故预防与处理工作,对事故进行动态监管,及时发现建筑施工中存在的安全事故萌芽,并采取有效措施预防各类问题,例如:建设专门的事故预防监测系统,对建筑四个进行全面的分析,获得原材料质量数据信息、施工人员施工水平数据信息、施工机械设备质量数据信息与地质安全数据信息等,并对其进行简易化处理,构成完善的信息处理模型,在提升事故预防工作效率的基础上,规避建筑企业事故安全事故问题,满足建筑安全信息机制的完善需求。
3结语
在建筑安全信息机制实际构建期间,相关部门必须要制定完善的管理方案,创新安全信息机制的构建方式,明确自身工作要求,积极引进先进的信息技术,提升自身管理工作质量,满足建筑企业的实际发展需求。
参考文献:
信息安全行业分析篇6
随着宽带网络和用户规模的不断增长,用户对宽带接入业务的高可用性要求不断增强,对电信运营商在ip城域、接入网络和支撑系统提出了更高的安全性要求。本文从信息安全管理的理念、方法学和相关技术入手,结合电信ip城域网,提出电信ip城域网安全管理、风险评估和加固的实践方法建议。
关键字(Keywords):
安全管理、风险、弱点、评估、城域网、ip、aaa、DnS
1信息安全管理概述
普遍意义上,对信息安全的定义是“保护信息系统和信息,防止其因为偶然或恶意侵犯而导致信息的破坏、更改和泄漏,保证信息系统能够连续、可靠、正常的运行”。所以说信息安全应该理解为一个动态的管理过程,通过一系列的安全管理活动来保证信息和信息系统的安全需求得到持续满足。这些安全需求包括“保密性”、“完整性”、“可用性”、“防抵赖性”、“可追溯性”和“真实性”等。
信息安全管理的本质,可以看作是动态地对信息安全风险的管理,即要实现对信息和信息系统的风险进行有效管理和控制。标准iSo15408-1(信息安全风险管理和评估规则),给出了一个非常经典的信息安全风险管理模型,如下图一所示:
图一信息安全风险管理模型
既然信息安全是一个管理过程,则对pDCa模型有适用性,结合信息安全管理相关标准BS7799(iSo17799),信息安全管理过程就是pLan-Do-CHeCK-aCt(计划-实施与部署-监控与评估-维护和改进)的循环过程。
图二信息安全体系的“pDCa”管理模型
2建立信息安全管理体系的主要步骤
如图二所示,在pLan阶段,就需要遵照BS7799等相关标准、结合企业信息系统实际情况,建设适合于自身的iSmS信息安全管理体系,iSmS的构建包含以下主要步骤:
(1)确定iSmS的范畴和安全边界
(2)在范畴内定义信息安全策略、方针和指南
(3)对范畴内的相关信息和信息系统进行风险评估
a)planning(规划)
b)informationGathering(信息搜集)
c)Riskanalysis(风险分析)
uassetsidentification&valuation(资产鉴别与资产评估)
uthreatanalysis(威胁分析)
uVulnerabilityanalysis(弱点分析)
u资产/威胁/弱点的映射表
uimpact&Likelihoodassessment(影响和可能性评估)
uRiskResultanalysis(风险结果分析)
d)identifying&SelectingSafeguards(鉴别和选择防护措施)
e)monitoring&implementation(监控和实施)
f)effectestimation(效果检查与评估)
(4)实施和运营初步的iSmS体系
(5)对iSmS运营的过程和效果进行监控
(6)在运营中对iSmS进行不断优化
3ip宽带网络安全风险管理主要实践步骤
目前,宽带ip网络所接入的客户对网络可用性和自身信息系统的安全性需求越来越高,且ip宽带网络及客户所处的信息安全环境和所面临的主要安全威胁又在不断变化。ip宽带网络的运营者意识到有必要对ip宽带网络进行系统的安全管理,以使得能够动态的了解、管理和控制各种可能存在的安全风险。
由于网络运营者目前对于信息安全管理还缺乏相应的管理经验和人才队伍,所以一般采用信息安全咨询外包的方式来建立ip宽带网络的信息安全管理体系。此类咨询项目一般按照以下几个阶段,进行项目实践:
3.1项目准备阶段。
a)主要搜集和分析与项目相关的背景信息;
b)和客户沟通并明确项目范围、目标与蓝图;
c)建议并明确项目成员组成和分工;
d)对项目约束条件和风险进行声明;
e)对客户领导和项目成员进行意识、知识或工具培训;
f)汇报项目进度计划并获得客户领导批准等。
3.2项目执行阶段。
a)在项目范围内进行安全域划分;
b)分安全域进行资料搜集和访谈,包括用户规模、用户分布、网络结构、路由协议与策略、认证协议与策略、DnS服务策略、相关主机和数据库配置信息、机房和环境安全条件、已有的安全防护措施、曾经发生过的安全事件信息等;
c)在各个安全域进行资产鉴别、价值分析、威胁分析、弱点分析、可能性分析和影响分析,形成资产表、威胁评估表、风险评估表和风险关系映射表;
d)对存在的主要风险进行风险等级综合评价,并按照重要次序,给出相应的防护措施选择和风险处置建议。
3.3项目总结阶段
a)项目中产生的策略、指南等文档进行审核和批准;
b)对项目资产鉴别报告、风险分析报告进行审核和批准;
c)对需要进行的相关风险处置建议进行项目安排;
4ip宽带网络安全风险管理实践要点分析
运营商ip宽带网络和常见的针对以主机为核心的it系统的安全风险管理不同,其覆盖的范围和影响因素有很大差异性。所以不能直接套用通用的风险管理的方法和资料。在项目执行的不同阶段,需要特别注意以下要点:
4.1安全目标
充分保证自身ip宽带网络及相关管理支撑系统的安全性、保证客户的业务可用性和质量。
4.2项目范畴
应该包含宽带ip骨干网、ip城域网、ip接入网及接入网关设备、管理支撑系统:如网管系统、aaa平台、DnS等。
4.3项目成员
应该得到运营商高层领导的明确支持,项目组长应该具备管理大型安全咨询项目经验的人承担,且项目成员除了包含一些专业安全评估人员之外,还应该包含与宽带ip相关的“业务与网络规划”、“设备与系统维护”、“业务管理”和“相关系统集成商和软件开发商”人员。
4.4背景信息搜集:
背景信息搜集之前,应该对信息搜集对象进行分组,即分为ip骨干网小组、ip接入网小组、管理支撑系统小组等。分组搜集的信息应包含:
a)ip宽带网络总体架构
b)城域网结构和配置
c)接入网结构和配置
d)aaa平台系统结构和配置
e)DnS系统结构和配置
f)相关主机和设备的软硬件信息
g)相关业务操作规范、流程和接口
h)相关业务数据的生成、存储和安全需求信息
i)已有的安全事故记录
j)已有的安全产品和已经部署的安全控制措施
k)相关机房的物理环境信息
l)已有的安全管理策略、规定和指南
m)其它相关
4.5资产鉴别
资产鉴别应该自顶向下进行鉴别,必须具备层次性。最顶层可以将资产鉴别为城域网、接入网、aaa平台、DnS平台、网管系统等一级资产组;然后可以在一级资产组内,按照功能或地域进行划分二级资产组,如aaa平台一级资产组可以划分为RaDiUS组、DB组、计费组、网络通信设备组等二级资产组;进一步可以针对各个二级资产组的每个设备进行更为细致的资产鉴别,鉴别其设备类型、地址配置、软硬件配置等信息。
4.6威胁分析
威胁分析应该具有针对性,即按照不同的资产组进行针对性威胁分析。如针对ip城域网,其主要风险可能是:蠕虫、p2p、路由攻击、路由设备入侵等;而对于DnS或aaa平台,其主要风险可能包括:主机病毒、后门程序、应用服务的DoS攻击、主机入侵、数据库攻击、DnS钓鱼等。
4.7威胁影响分析
是指对不同威胁其可能造成的危害进行评定,作为下一步是否采取或采取何种处置措施的参考依据。在威胁影响分析中应该充分参考运营商意见,尤其要充分考虑威胁发生后可能造成的社会影响和信誉影响。
4.8威胁可能性分析
是指某种威胁可能发生的概率,其发生概率评定非常困难,所以一般情况下都应该采用定性的分析方法,制定出一套评价规则,主要由运营商管理人员按照规则进行评价。
信息安全行业分析篇7
关键词:信息化建设;大数据分析;煤矿安全决策
通过不断完善煤矿信息化应用,煤矿已具备大数据分析应用的建设条件,利用大数据分析为煤矿安全生产管理提供相应的数据支持,对提高生产效率和煤矿安全管理水平,降低煤矿事故发生概率具有重大意义。
1煤矿信息化建设
为满足煤矿安全生产的需要,目前煤矿已有的信息化系统包括井下人员定位系统、瓦斯监测系统、通风监控系统、供电监测系统、井下移动通信系统、设备运输监控系统、放炮作业监控系统、提升机监控系统、应急广播系统、排水监控系统和视频监视系统等。这些信息化系统在煤矿日常管理、安全生产监测和事故调查工作中发挥着重要作用。现阶段煤矿信息化系统虽已较为完善,但在数据采集、整理、分析应用方面仍然存在许多问题:(1)系统之间联通性不强。系统之间关联程度不高,仅较少系统之间存在一定的关联,大部分系统为独立运行系统。(2)各系统专业性较强。大部分系统仅限于极少数专业人员使用或个别部门使用,尚未普及或关注较少。(3)数据完整性差。由于系统故障等客观原因的存在,导致系统数据不够完整,缺失数据较多。(4)有效信息时效性差[1]。系统相对独立,大部分系统均由专业部室管理,系统状况或使用情况、监测情况大多不能直接或及时到达管理人员或业务人员手中,造成信息滞后。(5)系统功能未能充分利用[2]。大部分系统功能只使用了部分或关键的系统功能。(6)数据更新维护效率不高。系统的变化管理不到位,部分数据需及时更新,但实际情况明显滞后。(7)系统之间数据不一致。为满足不同需求方的要求,多套系统之间信息内容不一致。为解决以上问题,需要借助大数据分析手段,集成各个信息化系统,采集各系统数据,进行统一整理、分析,真正将信息化的作用充分发挥[3]。
2大数据分析应用规划
大数据分析需要将煤矿已有的安全监测监控、人员定位、煤炭产量监控、工业视频和矿压监测等系统进行集成,并结合3DGiS(三维地理信息系统)技术进行直观地展现和交互,实现各业务系统综合监控、统一调度、报警联动,并对数据进行分析,建立安全评价模型,提高安全管理水平。总体架构自下而上分别为数据采集层、数据传输层、数据存储层、大数据分析建模层和表现交互层[4],如图1所示。(1)数据采集层是对系统所需实时动态数据和非实时静态数据两方面的数据进行采集。①非实时静态数据是各实体的地测信息数据,即实体的地理位置、长宽高等几何状态,采集目的是用来构建实体的三维模型,此类数据一般可从地测资料中获取,少部分可人工现场测绘;②实时动态数据是指井下环境参数、设备状态和人员位置等的动态数据,这类数据一般通过传感器或摄像头获取。(2)数据传输层是将采集到的原始数据传输至系统进行后续处理。非实时静态数据主要通过人工录入和导入(电子表格),实时动态数据主要通过工业以太环网传输。矿已有部分系统将传感器数据实时传输至井下分站,然后再传输至opC服务器,这类系统只需从opC服务器读取实时数据即可。(3)数据存储层是将得到的原始数据进行过滤、解析、转换和存储。删除无用或冗余数据,统一数据格式,对数据字段和含义进行解析和转换,最终存储到数据仓库。监测数据可按统一的opC协议获取方式从各系统的opC服务器读取,根据厂商提供的数据格式进行解析存储。(4)大数据分析建模层是对数据仓库中的数据分析和建模,为上层功能提供理论模型和算法支持。①三维建模功能,利用成熟的三维建模软件,根据采集到的实体对象的静态数据进行建模,最终形成矿区整体的三维模型;②空间分析是对于地理空间现象的定量研究,在三维建模基础上对点、线、面等地理实体进行分析,进行几何量算、最短路径计算等;③预警模型[5],建立煤矿安全统一预警指标体系和模型,实现预警信息的智能分析与及时推送,包括煤与瓦斯突出预警模型、自然发火预警模型、水害预警模型、冲击地压预警模型;④联动模型是传感器和各设备之间的关联配置,实现各系统间的关联展示;⑤风险评价分析模型能实现对矿井和下属各部门的总体安全评价与考核;⑥态势预测分析是运用云计算、数学、统计学理论,充分利用海量样本数据(历史数据),对安全形势进行预测。(5)表现交互层是对系统功能进行展现和交互,可直接从数据库中获取数据进行统计分析,也可对大数据分析结果进行展示。在三维建模的基础上,实现各专业的综合信息展示,直观了解自身关注的重点实体和状态信息。对重要设备、传感器等实体可进行交互查看,达到与到现场相似的效果;在安全评价模型的支持下,展示各实体发生危险的理论值,协助决策;在预警模型的支持下,当发现传感器的数值超过设置的阈值时,系统进行声光报警,并通过短信或微信方式通知相关人员;当发生险情时,根据人员定位信息,可规划避灾线路,统一调度救援;对数据进行统计,可导出各专业相应的电子图表;充分利用碎片化时间的优势,将pC端的部分功能同步到移动端(如安全环境监测、人员定位、产量监控、综合查询等),通过终端app实现移动查看。
3系统建设预期效果
(1)实现矿井安全管理的综合化和可视化。将矿井安全管理中的元素整合在一起,实现矿井各个生产环节的可视化,分析整个生产链条上的数据,以识别生产问题、管理问题、质量问题、跟踪生产和安全。(2)安全管理信息的动态化管理,即时报警、信息推送。将一部分pC端的功能开发到移动端,可随时随地查询和接收安全信息,掌握矿井安全生产状况。(3)实现自定义配置。根据矿井安全生产管理的实际状况,配置重点关注信息。例如雨季可重点显示水文监测信息,对于管理层可显示矿井宏观性指标信息和异常信息,对专业人员可显示本专业相关信息。(4)实现应急联动。当某一系统警戒值超过规定阈值即出现紧急情况时,则相关联的系统、设备进行相关动作。(5)按系统、时间段进行数据统计分析,图形化显示,为领导层提供安全管理决策依据。。(6)通过三维建模,实现不同模式的场景展示。(7)提高工作效率。用户只需要登录一次就可以访问所有集成的业务系统。数字化与自动化可使操作人员和技术人员快速获取重要信息,轻松管理关键数据,加快决策制定、故障排除,并提升设备性能与效率。
信息安全行业分析篇8
前言
银行信息系统的安全保障要以缜密的分析为前提,制定详细的对策,充分利用安全技术、安全产品来实现安全措施。本文以泰安农村信用社为例阐述银行信息安全问题。
1。信息安全分析
银行信息系统具有服务范围广泛,平台复杂多样,业务品种不断更新的特点。因此银行信息系统庞大而复杂,信息安全涉及方面众多,我们大体可以按照安全管理、信息资产与环境、主机系统、网络系统、日常运维五个方面进行分析。
1。1安全管理问题分析.
泰安农村信用社信息系统一贯重视系统安全,但对与系统安全的管理仍处于比较传统的模式,即一种静态的、局部的、少数人负责的、突击式的、事后纠正式的管理方式;安全管理偏重对业务的保障,在内部管理上相对比较松散;一些安全管理策略和制度规范比较宏观,在可操作性和实效性上还值得进一步探讨与改进。
1。2信息资产与环境问题分析.
泰安农信信息系统依照相关的规定进行建设。目前还需要改进的问题为包括物理环境的单点故障隐患及不可抗力因素导致的系统安全的风险;对信息资产的保护缺乏信息资产分类体系,无法实现对设备的购置、维修、报废等环节的实时管理.
1.3主机系统问题分析信息中心的主机上存放大量的业务数据,对全辖提供数据服务及技术支持,保证辖内计算机系统全年365天、全天24小时不间断运行,因此主机采用高可用性和全冗余结构的主机系统,配置磁盘阵列存储数据.
目前面临维护错误和操作失误、未经授权访问和操作、权限滥用、硬件故障、数据库本身存在的安全漏洞等威胁.
1.4网络系统问题分析现行银行计算机网络是银行计算机信息系统中最易受攻击又最难以防范的薄弱环节,为了保障网络安全,目前采取的的措施有增加防火墙,对连接科技中心主机全部做了限制,安装了iDS入侵检测系统。还存在以下问题:主交换机虽然划分了VLan,但划分VLan数量少,无法满足业务高速发展需要;办公网现在没有逻辑划分;在省市和市县之间没有实施QoS策略,存在一定网络拥塞的风险.
1.5日常运维问题分析目前日常运维工作繁重,日常运维只是通过已有的书面的操作流程进行操作,无法记录操作结果,对日常运维缺乏审计性;机房主要依靠人工巡查等手段进行监控,存在不能及时发现问题的隐患。对于登陆信息系统的网点柜员身份验证停留在用户名+密码阶段,存在非法入侵的安全隐患.
2.信息安全风险识别
通过对泰安农村信用社进行信息资产识别,逐项进行风险评估,并制订风险控制措施.
2.1确定资产风险等级全面了解泰安农信信息系统安全现状,采用定性与定量相结合的方法,并依据标准要求充分考虑到资产的安全价值、威胁、薄弱点、威胁发生的可能性、威胁造成的潜在响应等因素,将各个资产所面临的众多威胁因素统一起来描述.
2.2明确风险控制方法根据风险评估表,对该资产已经识别出的风险点,在现有的控制措施之外,进一步提出解决该风险点的新方法或新措施,以使风险降低到可接受的程度,并明确责任人,制定一个切实可行的风险处理计划。
3.信息安全问题解决
根据风险评估的结果及风险控制方案,依照安全管理体系的要求对准备阶段中涉及的各类问题集中解决,使得在信息系统受到侵袭时,确保业务持续开展并将损失降到最低程度.
3.1安全管理的安全实现针对目前泰安农信信息系统在安全管理方面存在的问题,信息安全人员仔细分析问题,提出问题解决方案如下.
3.1.1明确指出系统中每位员工的责权问题.
3.1.2建立较完善的信息科技制度体系,明确泰安农信信息系统工作流程,避免管理混乱.
3.1.3建立规范的信息系统风险防控和应急处置流程,逐步提高突发事件的应急能力.
3.2信息资产与环境的安全实现针对目前泰安农信信息系统在信息资产与环境方面存在的问题,信息安全人员仔细分析问题,提出如下问题解决方案.
3.2.1引入计算机设备管理系统软件,规范设备管理。对设备的购置、维修、报废等环节的管理的问题进行跟踪记录.
3.2.2对银行设备与物理环境进行容灾规划,实施容灾系统。对通讯线路及硬件设备进行冗余备份;对重要数据制定完善的备份规则.
3.3主机系统的安全实现针对目前泰安农信信息系统在主机系统方面存在的问题,信息安全人员仔细分析问题,提出如下问题解决方案.
3.3.1开发备份配置软件,保存每次设置变更情况,使设置变更有迹可循.
3.3.2为保证数据信息安全,采用双机热备、重要数据远程备份、异地存放等多种措施避免系统风险.
3.3.3应用运维安全管理系统对操作员的操作进行限制,杜绝由于操作用户权限过大而造成的安全隐患.
3.4网络信息的安全实现主要包括信用社内部数据传输线路的安全实现、第三方接入的安全实现等。泰安农信采用SDH线路进行组网;通过端点隔离方式实现业务和办公网络分离;通过整体路由规划和QoS规划实现对各业务数据流的控制;内网配置了多套防火墙,实现对内网的通讯访问的控制与隔离.
3.5日常运维的安全实现针对目前泰安农信信息系统在日常运维方面存在的问题,信息安全人员仔细分析问题,提出如下问题解决方案.
3.5.1建立网络化的运维机制。探索建立科技服务联动网.
3.5.2分析日常工作流程,开发电子日志系统,确保日常工作不会遗漏,并记录操作员日常操作,保证操作过程的可审计性.
3.5.3建立机房自动监控系统,实时监控放置、设备的运行状态及工作参数,发现部件故障或参数异常,及时报警,并可记录历史数据和报警时间.
3.5.4对营业网点操作柜员加强身份验证,防范非法入侵.
信息安全行业分析篇9
机场网络的安全是保证飞机正常运行的保障,也是保证顾客的利益所在,网络的安全如今越来越重视,网络的安全性让顾客更加全面地了解该个机场的境况,更加透明化,使得机场的体制更加健全。机场的信息化程度在我国主要应用在航空航天领域,航空航天领域对机场信息化的要求很高,要求其可靠度、安全性能极限值度均需满足我国航空航天相关要求,保证信息的及时、准确无误。如何保证机场的信息化程度较高,机场的网络安全性指数较高,使其在恶劣环境条件下依然能够保持良好的性能指标,抗外界环境因素影响的能力,就需要对机场信息化系统进行全面而系统的设计和研究,从设计加工源头出发。机场的网络安全保障了机场信息化程度的发展,对于网络信息化的安全性分析方法包括功能危险性分析(对功能进行系统、综合的检查,识别这些功能的失效状态,并根据严重程度对失效状态进行分类)、初步安全性分析(用于完成失效状态清单以及相应安全性要求)、故障树分析(是自上而下的分析技术)。这些分析通过依次展开更详细(即更低层次)的设计层次向下进行。通过这些安全性验证方法,全面而系统地保证系统的安全可靠性、安全性能、稳定性能。
2机场信息化建设
机场企业是需要密切和外部进行联系的企业,机场企业需要支持与客户、合作伙伴和员工的信息共享和业务运作,将企业的各业务系统逐步整合进来,自动将信息给相关管理者和内部成员企业并实现互动,并在业务条件成熟时,和客户、供应商以及其他合作伙伴建立联系。加强机场网络安全建设,促进机场行业信息化程度的提高,需要一个阶段、一个阶段的相互促进相互协调,不断的完善,达到设计的要求,机场安全信息化程度的提高是机场设计中的重中之重,有必要提升机场的信息化程度。
3结语
信息安全行业分析篇10
【关键词】电力信息安全;监控;安全隐患;电网
数字化时代的到来,对电力信息系统服务服务功能的不断完善产生了深远的影响,一定程度上扩大了电力企业的产业规模。与此同时,随着电力信息系统运行中所承载信息量的不断加大,电力信息安全能否得到有效的保障,影响着电力系统的稳定运行。因此,需要采取科学的监控方法,实现电力信息系统长期运行中的实时监控,确保所有电力信息安全性。
1电力信息安全基本组成架构分析
电力信息安全所关注的是所有电力信息的安全有效性,并严格遵循信息保密性、可用性、完整性及可控性原则,确保电力系统的稳定、高效运行。实现这样的发展目标,需要明确电力信息安全基本组成架构,最大限度地满足电力系统安全运行的多样化需求。当前电力信息安全基本组成架构包括:①电力信息流结构。该结构的存在是为了确保各项电力业务的顺利开展,确保了电力信息的安全传递;②性能可靠的电力信息网络结构。通过专用网络与公用网络配合使用电力信息网络结构的合理设置,可以保障电力信息安全,确保了电力网络结构与互联网的有效结合;③完善的电力信息安全预防与保护体系结构。该结构的设置与不断完善,实现了电力信息系统组成结构的科学划分,为电力信息安全策略的制定提供了重要的参考依据,也为电力信息系统的安全运行打下了坚实的基础。
2电力信息安全监控系统构建要点分析
电力信息安全监控水平的提升,依赖于安全监控系统构建,从而实现电力信息系统运行及电力信息传递的实时监控。同时,随着电力企业业务量的不断加大,对电力信息安全管理提出了更高的要求,需要注重电力信息安全监控系统构建,明确系统的主要功能及相关的支撑技术。
2.1安全监控系统的主要功能
电力信息安全监控系统的主要功能包括:确保所有信息化设备的完好性;实时监控信息化监控系统运行,了解其安全状况。通过在线监视的方式,有利于提升电力信息化设备的安全管理水平,促使信息化系统长期处于稳定的运行状态,优化资源配置的同时保持系统良好的安全性。具体表现在:①对所有电力信息化设备进行安全管理。在这种管理方式的作用下,可以实时地监视信息设备的运行状态,合理配置各种信息设备,并对设备进行维护与升级;②对系统运行进行实时安全管理。通过对信息系统运行状况了解,可以有效的应对各类突发事件,促使系统中存在的问题能够得到及时处理。在这种安全管理模式中,系统运行信息采集中是以网络节点为单位,能够对各类安全事件进行实时响应,可以显示出系统的运行状态;③离线状态下进行安全性分析,促使其中的安全数据能够得到分析与处理,逐渐形成完善的安全机制,并获得安全评估报告;④对用户、系统日志、安全制度等进行日常管理,并通过安全监控中心对下级电力信息安全进行检查与评估。
2.2安全监控系统的主要支撑技术
电力信息安全监控系统服务功能的不断完善及服务范围的扩大,对各类技术有着较强的依赖性。因此,需要了解该监控系统的主要支撑技术。这些技术包括:①面向对象的高效管理组织技术。通过对电力信息系统中各对象特征的深入分析,可以进行高效管理;②适用范围广的数据统一管理技术。在该技术在支持下,可以提高电力信息安全监控系统运行效率;③电力信息化设备管理技术。将设备内部或者外部与计算机相连,能够在标准协议支持下确保各设备的安全使用;④确保各厂商产品信息共享的安全管理适配器技术。
3电力信息安全分析
为了提高对电力信息安全的正确认识,需要构建相关的模型对电力系统安全事件可能造成的影响进行分析,从而为电力信息安全控制提供保障。构建模型进行电力信息安全分析时,需要从这些方面入手:①确定所有信息安全事件可能影响电力系统安全的集合;②对电力信息安全隐患相关性进行分析,大致确定各类安全事件可能发生的概率;③通过信息安全事件结合及安全隐患相关性分析,确定信息安全事件权重。
4结束语
综上所述,合理设置电力信息安全基本架构,构建可靠的电力信息安全监控系统,可以确保电力信息安全,增强电力系统运行稳定性。因此,未来电力信息系统构建中应充分地考虑电力系统正常工作的具体要求,注重电力信息安全分析,灵活运用信息技术及专业技术手段保持电力信息安全监控系统运行良好性,促使其中存在的问题能够得到高效处理。
作者:林康单位:首都医科大学附属北京世纪坛医院
参考文献
[1]余勇,林为民.基于等级保护的电力信息安全监控系统的设计[J].计算机科学,2012(13).