公司信息安全管理体系篇1
一、引言
时代的发展和科技的进步,使得互联网信息技术被迅速普及,作为需要保持与时俱进思想的公司管理阶层,毫无疑问地将网络技术的高效和便利进行了充分利用,许多公司的业务发展也交由网络全权处理。这无疑是公司运营的一项革新,为公司带来了极大的便利,既然网络应用受到如此器重,更是提醒了我们要对公司的信息安全做到万全的保障。
信息网络存在有终端分布不均、开放程度较大、相互链接用户多一级连接形式多元化等特性,并且在面对日趋增长的网络攻击和数据入侵现象时,公司的网络安全保障显得分外重要。对此,我们应该加强相关的管理力度,除了更好的预防经济损失以外,也使得人力物力资源方面得以节省。下面,笔者就公司网络运营的风险分析和如何提高公司网络系统的安全性,建立相应的安全保障体系做详细的介绍。
二、当下公司信息安全体系中较为常见的管理问题
作为一个新生名词,公司信息安全体系的定义还不被大众所知。所谓公司信息安全体系,其所包括的内容有:信息安全组织、信息安全策略、信息技术安全以及相关安全管理的构建及管理。它是公司内部信息不被人侵盗取或恶意泄露的基本安全保障措施,上述四项内容是公司安全体系的重要组成部分,它们既是彼此关联的也是彼此支撑的。据笔者对当下公司信息安全体系建立情况的了解,普遍存在有以下问题。
2.1信息安全网络建设规划不够全面
信息安全网络的建设存在一定的缺陷,其中,当下的公司信息的安全网络中,既没有较为完善的管理制度,相关部门也没有岗位职责的明确划分,从而使得相关信息安全工作的开展和施行难以落实到位;同时,公司职员中懂得信息安全管理的人数并不多,甚至是十分匮乏,以至于公司内部没有建立相关的安全管理制度,公司成员也没有信息安全保护的意识。信息安全网络建设的到位是公司信息安全保障的基础,而当下所反映的情况看来,其建设构架还是不够全面。
2.2信息安全技术不够完善
现阶段的公司信息安全技术没有一个统一的运行标准。而信息网络自其诞生以来,就在安全管理方面存在有许多不足之处,这些不足对于信息数据库系统、操作系统以及应用软件等关键的公司内部资料掌控部分存在着“致命”的潜在威胁。恶意用户可以通过这些系统漏洞进行系统入侵,从而引发公司的信息危机。相对而言,依照当下的信息安全技术,公司信息安全运行体系的构建不全面的情况下,相关的安全保障决策并没有被组织并颁布,从而在贯彻实施方面不够彻底。
2.3网络安全管理存在有一定的风险
大部分公司的网络用户认证的强度都是比较薄弱的,而公司业务不断拓展的过程中,数据和信息之间的交换是其网络技术所依附的基本形式,为了信息获取与交换之间的便利,公司的网络联接关系变得十分复杂,而当下的网络安全管理中,公司没有意识到网络技术防范措施实行的必要性,这样的思想对公司的信息安全存在一定的威胁。不管是应用系统的安全功能管理还是用户认证的强度,都是现阶段公司网络技术管理需要注意的方面,针对一些必要的信息系统审计和监控,都需要给予高度重视。
2.4信息安全管理的不足
关于it项目安全管理体系的建设,现阶段仍是不完善的,由于相关的应用系统进行建设时没有考虑到信息安全的同步要求,所以存在有一定的安全漏洞。而且据笔者了解,公司的信息安全管理并没有成立具体的职责部门,并且对于其安全管理的制度不够完善,导致其贯彻落实的不到位。
三、从管理角度探讨如何构建公司信息安全体系
信息安全的保障不仅仅是依靠于一些基础的信息技术,现阶段所迫切需要的是高效的管理制度。某一体系从构建到运行再到发展性的保持,技术层面所占有的运用比例为百分之三十,发挥其持久性作用的主要支撑力量还是有效的管理。只有进行了恰当的管理措施,才能保障其技术的有效发挥,从而控制住公司信息安全管理的局面。下面,笔者主要就动态闭环管理的过程的建立和信息安全管理的加强来谈谈自己的看法。
3.1动态闭环管理方式的建立
现阶段的公司信息网络仍然处于一个不稳定的阶段,基本的建设和调整还在进行当中。安全漏洞的出现总是接连不断的,传统的静态管理方式已经不能满足当下的安全管理需求。因此,动态闭环的管理是应该受到大力推广的管理方式。直白的说,采取了这样的管理方式后,以公司的安全决策和控制体系为依据,经过相关的审核评测工具来排除信息网络中存在的安全隐患和问题,并就此结果制定出一系列的建设规划和维护方案,使得信息安全系统处于较为稳定的状态。在这个过程中,还有以下两点需要予以注意:
3.1.1信息安全评测的施行
信息安全体系的构建和相关安全决策的制定,必须要对公司内部的信息安全情况有较为全面的了解和掌握,即施行信息安全评测。公司信息资产的安全技术和现阶段的管理状况是安全评测的主要内容,这两点是公司所要弄清的潜在安全问题,通过测评使得公司管理层面对其安全隐患有所了解以后,方能制定出适宜公司的安全决策。
3.1.2适宜的安全决策制定
就公司的信息安全而言,其相关决策的制定是体系构建的关键所在。明确、清晰、高效是公司安全决策制定的标准,公司的安全组织部门能够依据该决策的方向确立规划信息安全规章制度、相关测评标准以及信息安全体系构建方案等,进一步保障了公司内部信息安全规章制度实行落实,就此保护公司不受到由于信息泄露而造成的经济损失。
3.2安全管理过程的加强
3.2.1加强安全建设及管理规划
信息安全体系在构建的过程中,公司应该充分考虑到内部信息安全体系构建的要求和标准,规划人力、物力、财力的投入力度,做到有条理、有思路的完成安全体系的构建。不管公司规模的大小,其安全体系的构建都是逐步发展的过程,阶段性目标的实现是达成稳定信息安全体系的基础。
3.2.2构建阶段的管理
信息安全体系构建的过程中,内部信息的安全要求、需要加强巩固的安全性能以及保护措施的检测试验都是安全管理部门所要考虑全面的安全构建基础。需要给予注意的就是技术开发的内部资料、技术人员的保密管理,同时不能松懈对于技术施行环境、用户认证、内部网络、管理资源以及核心代码的加强管理。
公司的安全体系构建是一个漫长且系统的工作过程,本文结合笔者的实际工作经验,简单的就公司的安全体系构建进行了阐述。总而言之,公司信息安全的管理和加强所依附的安全体系构建,是保障公司信息安全的基础,我们必须对其管理加以重视并付出努力。
公司信息安全管理体系篇2
一、国家电网公司信息安全的特点:
1.规模大:国家电网公司信息系统信息安全涉及电网调度自动化、生产管理系统、营销管理系统、供电服务、电子商务、协同办公、eRp等有关生产、经营和管理方面的多个领域,是一个复杂的大型系统工程;
2.点多面广:国家电网公司下属单位多、分布范围广,网络更加复杂,对如何保证边界清晰、管理要求实时准确落实等方面提出了更高的要求;
3.智能电网:同时随着智能电网的建设,网络边界向发电侧、用户侧延伸覆盖至智能电网各环节,具有点多、面广、技术复杂的特点,信息安全风险隐患更为突出;
4.新技术广泛应用:云计算、物联网、大数据等新技术的不断引入,对公司信息安全构成了新的挑战。
二、国家电网公司信息安全保护总体思路:
坚持“三同步”、“三个纳入”、“四全”、“四防”,信息安全全面融入公司安全生产管理体系。多年来,严格贯彻国资委、公安部、国家电监会工作要求,在国家主管部委、专家的指导帮助下,公司领导高度重视信息安全工作,坚持两手抓,一手抓信息化建设,一手抓信息安全:
1)坚持信息安全与信息化工作同步规划、同步建设、同步投入运行的“三同步”原则;2)坚持三个纳入,等级保护纳入信息安全工作中,将信息安全纳入信息化中,将信息安全纳入公司安全生产管理体系中;3)按照“人员、时间、精力”三个百分之百的原则、实现了全面、全员、全过程、全方位的安全管理;4)全面加强“人防、制防、技防、物防”的“四防”工作,落实安全责任,严肃安全运行纪律,确保公司网络与信息系统安全。
三、国家电网公司信息安全保护工作机制:
按照国家等级保护管理要求,结合电网企业长期以来的安全文化,建立了覆盖信息系统全生命周期的54项管理措施,形成了8项工作机制:
公司按照“谁主管谁负责、谁运行谁负责”和属地化管理原则,公司各级单位成立了信息化工作领导小组,统一部署信息安全工作,逐级落实信息安全防护责任。
1)信息化管理部门归口管理本单位网络与信息安全管理。2)网络与信息系统建设、运维和使用部门分别负责信息系统建设、运行维护和使用环节的网络与信息安全保障。3)业务部门在业务分管范围内协助做好相关系统的安全管理的检查监督和业务指导。4)总部、分部及公司级信息安全督查队伍负责开展信息安全技术督查。5)各单位与总部签定保密责任书和员工承诺书,建立自上而下、层层负责的保密责任体系。6)“不上网、上网不”。严禁计算机与信息内外网连接;严禁在连接外网的计算机上处理、存储信息;严禁信息内网和外网计算机交叉使用;严禁普通移动存储介质在内网和外网交叉使用;严禁扫描仪、打印机等计算机外设在内网和外网上交叉使用。7)技防:内外网强逻辑隔离+部署安全移动存储介质+安装桌面计算机监控系统+安装企业级防病毒系统+360卫士防护软件+对互联网出口+外网邮件内容+门户网站内容进行监控8)人防:培训竞赛+警示教育+检查+责任追究+《信息安全管理手册》+《信息系统安全典型案例手册》9)物防:保密管理系统,保密机及介质统一备案
四、国家电网公司信息安全的督察体系
建立公司级、省级两级信息安全技术督查体系,依托中国电科院、省电科院信息安全技术队伍,独立于日常安全建设和运行工作,有效监督检查、督促公司信息安全管理、技术要求和措施落实,及时发现各层面安全隐患,快速堵漏保全,消除短板,支撑公司网络与信息系统安全防御体系有效运转。
1)两级共计502人的信息安全技术督查队伍。2)开展常态、专项、年度和高级督查工作。3)督查覆盖各级单位,延伸至信息系统生命周期各环节。4)建立闭环整改、红黄牌督办、督查通报、群众举报等督查工作机制。5)充实督查技术装备,加强人员技能培养。6)2005年,电监会5号令,确立“安全分区、网络专用、横向隔离、纵向认证”的二次系统安全防护策略;。7)2007年,公司制定“双网双机、分区分域、等级防护、多层防御”的管理大区信息安全纵深防御策略。8)2010年,深化等级保护安全设计技术要求,结合智能电网防护需求深化完善,形成“双网双机、分区分域、安全接入、动态感知、全面防护”的管理大区信息安全主动防御策略。
五、国家电网公司信息安全的技术措施
1.信息安全的总体架构
a.双网双机。已完成信息内外网独立部署服务器及桌面主机,并安装安全防护措施。b.分区分域。依据等保定级情况及系统重要性,已基本实现各类边界、安全域的划分及差异化防护。c.安全接入。已实现对接入信息内外网各类终端采用安全加固、安全通道、加密、认证等措施,确保接入边界、终端及数据安全。d.动态感知。不断完善内外网安全监测与审计,实现事前预警、事中监测和事后审计。e.全面防护。对物理、网络边界、主机、应用和数据等进行深度防护,加强安全基础设施建设,覆盖防护各层次、各环节、各对象。
2.信息安全的边界安全
公司网络划生产控制大区和管理信息大区,同时在管理信息大区的基础上进一步划分信息内网和信息外网,形成“两个大区、九大边界”。针对信息内网边界重点区域进一步制定安全防护策略。a.内外网隔离策略:四特定特定业务应用、特定数据库、特定表单、特定操作指令。b.内网边界安全接入策略:五限制内网安全终端、无线加密专网、数据传输加密、交互操作固定、终端入网检测c.第三方专线接入防护策略:五专用专线连接、专区接入、特定内容交互、专机专用、专用程序、边界防护-逻辑强隔离设备。d.边界防护-内网安全接入平台。
1)保障非公司信息内网区域终端以安全专网方式接入信息内网;2)设备接入认证;3)数据隔离交换;4)实时安全监测;5)数据安全检查。
3.信息安全的安全检测
外网监测-信息外网安全监测系统。对互联网出口网络攻击事件、网络流量、敏感信息、病毒木马、用户上网行为、信息外网桌面终端安全态势进行实时监测与深度分析,日均监测并阻截外网边界高风险恶意攻击达2000余次,及时掌握全网互联网出口和信息外网实时安全态势。内网监测-信息运维综合监管系统对网络设备、383个骨干网节点、近400个业务指标。
1)内网边界实时监控2)网络设备、流量实时监控3)主机安全实时监控4)应用运行状态实时监控5)桌面终端标准化管理。
4.信息安全的数据保密
公司信息安全管理体系篇3
发电企业一体化信息管理系统是小水电企业采用的一种高效生产管理平台,它具有许多特点和优势。本文简单介绍了深圳博达公司发电企业一体化信息管理系统建设、应用情况及发展思路,并提出了一些改进意见。
【关键词】
发电企业一体化信息管理系统建设应用发展
一、前言
深圳博达公司下属贵州大田河公司(100mw)、贵州中山包公司(40mw)、贵州白水河公司(40mw)、黔西南州赵家渡公司(100mw)四家控股管理子公司,控股公司各电站分散在贵州省黔西南州及云南迪庆州境内各县,具有单机容量小、机组数量多、电站分布广、地理位置偏远、交通及通讯均不便等特点。此外,由于规模及体制原因,各级专业技术管理人员相对缺乏、人员文化技术相对较低,对电厂安全生产的标准化、规范化、精细化管理带来诸多的不变,还存在安全生产信息的收集、报送滞后等等问题,安全生产管理基础较为薄弱。针对小水电点多面广、地理位置偏远、信息报送迟后的特点,要及时掌握生产现场的信息,加强对下属公司及下属各电站的监控和管理,快速、有效应对突发事件,合理安排各个电站的安全生产任务,建立一个高效便捷的信息系统成为解决这一问题的必要的手段,建设生产管理信息平台势在必行。
二、发电企业一体化信息管理系统建设的思路
一体化信息化建设的总体目标是实现博达公司小水电站群的安全监督、运行管理、设备管理、检修管理、技术管理、物资管理等的信息管理系统。该系统为企业生产部门提供统一平台,实现公司与电站运作的信息交换、多个岗位上的工作人员协同办公,实现各类生产信息系统的集成和信息资源的共享。
结合公司现状,采取“分阶段”建设策略。第一个阶段建立整个信息系统架构以及运行管理、两票管理及设备缺陷管理等三个模块;第二个阶段在原有的三个模块的基础上,逐年增加相应的安全管理、设备管理、检修管理、技术管理等模块,最后建设成完整的博达公司系统生产信息化管理平台。
三、发电企业一体化信息管理系统软件特点:
(一)具有高品质的产品优化特点
在同一个系统平台下使用一体化的生产信息管理系统,极大节约了博达各控股下属公司系统开发投入成本。各下属公司在使用系统时信息数据相互独立,互不影响。该信息管理系统的使用有如下优点:
1.对生产过程进行了有效的规范,实现了生产过程的标准化;
2.解决了因为不在现场而引起的任务滞留,提高了工作效率;
3.解决了博达公司以及各公司之间的信息孤岛,实现了信息共享;
4.摆脱旧有的纸质办公情况,基本实现无纸化办公;
(二)技术先进性
1.信息管理系统采用B/S架构方式,采用先进的中间件技术构建三层架构,使系统在安全性、稳定性、高效性、灵活性等方面都具备了无可比拟的优势。
2.将服务器架设在博达公司总部,各分公司采用互联网的方式访问服务器使用一体化系统。
3.信息管理系统基于先进的工作流技术,实现了缺陷单、工作票等工作的网上审批、网上签发的工作流程,极大的提高了缺陷处理、两票处理的工作效率。
4.信息管理系统提供明确的权限管理方式,为每个人定岗、确定明确的权限,无论是缺陷登记、缺陷接收、工作验收,还是工作票负责人、工作票签发人等权限,都有明确的定义,使管理工作职责明确,任务明确,工作流程明确。
5.该系统完全结合了集团公司生产任务管理及两票使用和管理标准的相关要求,形成相应的关联,无生产任务单无法开出工作票,操作票与相应的工作票自动关联,设备缺陷的消缺与工作票关联等,规范了现场作业人员的行为,从源头有效的杜绝了无票作业。
(三)全面优化企业管理、改善企业管理质量
1、实现了一体化
一体化的信息管理系统的应用,使企业管理的标准、规范、内容、要求得到了统一,使公司内部和外协单位的管理融为一体,使得企业管理向一体化迈进。
2、实现了信息化
充分利用了信息网络平台,消除了管理人员与生产现场在时间上、地域上的界限,实现了生产信息与管理信息的互动,基本实现了管理的无纸化。通过现场管理信息化的实现,减少了企业内部工作环节,提高了工作效率,有助于实现企业管理的扁平化,使各级管理者及时掌握生产现场管理情况,增加管理人员对生产现场管理的深度,有针对性地指导、监督、检查生产现场的各项工作,从而提高企业的管理水平。
3、实现了过程化
由于系统设计对每项内容的录入、修改功能均可采用自动时限,使得用户必须在指定的时期内完成记录内容,减少了以往纸介质中经常出现的补填现象,保证了生产管理的时效性及记录的真实性,达到了生产管理工作的过程化控制目的;此外由于管理人员可实时检查生产管理记录,从而使对生产管理的监督也实现了过程化管理。
4、实现了共享化
由于信息化平台的使用,无论是各级生产人员,只要在任何一网计算机上都可以实现实时填报、浏览和检查,大大提高了信息的共享化程度,也减少了各种不必要的重复性劳动,此外各级生产人员也实现了与其人员管理信息的共享,便于总结交流各种管理经验。
四、发电企业一体化信息管理系统软件及网络配置:
操作系统:windows2000、windowsnt、windowsXp、vista
数据库:oracle10G
服务器:weblogical
框架结构:j2ee企业级架构
网络建设上采取分布式网络建设模式,在博达总公司和子公司内部实现局域网的建设,并通过因特网将总公司和子公司的网络进行链接。在总公司架设服务器,采取双机热备的方式,保证系统的数据安全,在子公司处架设备用服务器,保证系统的持续可靠运行。一般情况下,各个子公司直接访问总公司的服务器应用系统。当因特网链接出现故障时,子公司可以访问本公司的备用服务器,保证生产工作的持续运行,待到因特网链接恢复后,子公司服务器上的数据将自动与总公司数据进行同步。
五、发电企业一体化信息管理系统功能介绍:
2009年3月份,由博达公司统一组织各控股下属公司共同出资与吉林省科迪信息技术有限公司达成了共同开发一套针对博达公司系统特点的水电厂的企业一体化信息管理平台,目前只开发实现了miS架构、运行管理、缺陷管理和“两票”管理四大功能模块,这些功能模块实现以下功能:
(一)功能介绍
1、miS架构
完成了对整个系统的miS架构,组织架构的功能,实现了以博大公司为中心,分布式管理下属四个子公司的组织架构模式,完成了对部门、人员信息的收集、整理,对岗位权限的明确划分,完成了对系统基本数据的收集和整理工作。组织架构模块包括部门设置、岗位设置、人员设置、值班类型、基础数据等模块,并且包含了miS架构的核心逻辑层内容。
2、运行管理
对运行工作进行管理,目前包含了交接班、值班记事、报表管理等功能。运行管理系统实现了交接班、值班记事、运行日报等的网络传输,使信息能在各相关部门中传输并且过程简便、快捷。
3、缺陷管理
以工作流的方式,对缺陷的处理过程管理起来,实现了缺陷的过程管理,从缺陷登记、缺陷接收到缺陷处理、验收总结对缺陷工作的各个环节进行管理,将缺陷发现消除工作串联起来,落实到人,做到每一个缺陷都能有效跟踪以及及时、准确处理。同时,通过对数据的积累统计,为生产管理层提供及时、准确、可靠的设备统计数据。通过信息化的缺陷流程,统一和规范了博达公司系统小水电的缺陷管理。
4、“两票”管理
两票管理模块是依据集团公司工作票、操作票使用和管理标准开发的两票信息管理模块。涵盖集团公司所有两票票型,以工作流的方式将两票工作串联起来,实现两票的网上操作。工作票、操作票可根据工作任务需要求,实现远程、提前无纸化开票;开票内容及信息能够自动加入到运行管理模块的值班记事中。
六、发电企业一体化信息管理系统发展思路
目前博达公司系统发电企业一体化信息管理平台还只是处于初步阶段,未能涵盖安全生产管理的全部内容。下一步我们在现有的三个模块的基础上,逐年增加相应的设备管理、检修管理、技术管理、安全管理等模块,建设成完整的博达公司系统生产信息化管理平台。整个系统全部建立完毕后的业务模块如下:
设备管理模块:
主要功能包括建立设备所需各个方面的台帐,如设备基本信息、设备主要参数、备品备件定额等。
检修管理模块:首先将以审批通过的检修项目按一定的层次划分方式在系统中建立起来;然后将检修计划录入到系统中,通过层层分解,最后形成检修计划的甘特图,在检修工作实施过程中,以检修计划和甘特图作为检修项目的总体参考依据。其次,根据检修计划和项目,指定检修工单,依照创建、接收,执行、验收、总结、结束的流程逐步完成检修工单的工作内容,并确保施工质量。
技术管理模块:
拟在本系统中增加技术管理管理模块,将技术规程、管理制度、技术图纸等纳入本系统管理。
安全管理模块:
拟在本系统中增加安全管理模块,班组在组织生产工作过程中,按照“三讲一落实”规定的流程执行,即讲工作任务,讲作业过程的安全风险,讲安全风险的控制措施,做好安全风险控制措施的落实。
实时监控模块:
实时监控包括发电负荷、开关状态、主要故障信息等基础数据及日统计、月统计、图线分析等功能,通过与SiS系统的接口,实时的提取现场数据,经过整理分析后,展示在领导的面前。
七、结束语:
通过信息化管理平台的建设,我公司逐步实现从手工办理安全生产中的各项工作到实现自动化无纸化办公,然后实现深层次的管理,利用信息化高科技手段,不断提升企业管理手段和水平,节约成本,提高生产安全性、可靠性,规范工作流程,从而为企业在宏观上的决策提供准确、可靠的依据和有力的支援。
作者介绍:
徐声健男汉族机电工程师1986年毕业于贵州工业大学电力系统及自动化专业学士学位主要从事水电站机电设计工作。
公司信息安全管理体系篇4
关键词信息网络;监测监控;数据库;路由器;防火墙
中图分类号tp3文献标识码a文章编号1674-6708(2013)87-0226-02
1概述
随着信息技术、计算机技术、自动化技术和网络技术的迅速发展,利用信息技术提升传统的煤炭企业整体水平,已成为煤炭生产和煤炭销售企业的发展趋势。陕北矿业有限责任公司,是陕西煤业化工集团下辖煤炭系统直属企业,公司所属单位韩家湾煤矿、大哈拉煤矿、神木煤炭运销公司、包头煤炭运销公司,分布在陕、蒙两省境内。为构建本质安全型数字化企业,依靠科技进步,建设一流现代化矿区,进一步提高企业创新能力,公司计划实施陕北矿业公司信息化平台建设项目。通过信息化,提高企业生产、经营、管理以及安全技术水平。建设内容主要包括目前全公司及各下属煤矿的信息资源整合,全公司信息化管理,下属各单位远程管理,以及实现与陕西煤业化工集团安全、生产信息互通。
2煤炭企业信息网络建设的现实性
2.1符合煤矿安全生产管理工作的迫切需要
煤矿安全事故中,水、火、瓦斯、煤尘、顶板事故是我国当前煤矿生产的主要灾害,目前安全生产监督管理部门无法及时了解生产矿井现场的安全状况,不能对煤矿生产环境进行实时的在线监测,导致煤矿事故频发。
煤矿安全监控是我国当前煤矿安全生产监督管理的重中之重。建设一个系统的、全面的矿井生产状况及环境实时监测、预防报警系统,对煤矿进行分级管理,进行有效监管,减少和预防煤矿事故的发生。矿井安全监测监控系统的建立,不仅能随时掌握矿井瓦斯、一氧化碳、风量、风速、风压、温度等矿井环境参数的变化情况,而且可以掌握矿井风机运转情况、风门开闭、矿井排水、皮带运输、矿井供电等主要设备的工况参数。实现煤矿生产状况、安全状况及环境远程实时监测,早期预警,全方位识别,全天候处理,可以有效防范煤矿事故。充分运用当前先进的通信网络及信息技术,是提高安全生产监督、监察、管理的有效途径。
2.2是完善安全生产信息系统的重要措施
目前煤炭行业的信息化网络建设已初具规模。但从整体上来讲,煤炭企业的信息化建设还是落于其它行业,特别是产、运、销等业务,大多数煤矿企业仍采用手工处理,信息收集效率不高,统计过程中人为失误较多,造成煤炭企业的管理决策水平跟不上信息化发展的需要,对市场信息反应迟钝。
在网络平台的基础设施建设方面,目前陕北矿业公司还不具备自己统一的管理信息系统应用平台、数据库和经营调度系统。需要采用现代化的信息技术,逐步实现企业从经营决策、生产管理、安全监控、自动化办公的全面集成。
3陕北矿业公司企业内部信息网络建设内容
项目总体建设目标是建设完成陕北矿业有限责任公司信息化平台,通过全公司及各下属煤矿的信息资源整合,实现全公司信息化管理,下属各单位远程管理,以及实现与上级主管单位陕西煤业化工集团安全、生产信息互通。具体内容见图1。
3.1主要建设内容
1)陕北矿业有限责任公司信息平台建设,包括计算机局域网网络建设、核心数据库建设、网络管理、网络安全系统建设;
2)陕北矿业有限责任公司门户平台建设,建设公司weB站点;
3)传输系统建设,主要包括陕北矿业有限责任公司与下属各单位之间工业视频及数据传输系统、陕北矿业有限责任公司与上级主管单位陕西煤业化工集团之间工业视频及数据传输系统建设。包括传输线路、路由设备、数据安全设备等;
4)陕北矿业有限责任公司总调度中心建设。包括调度平台建设、调度中心建设、数据机房建设;
5)大屏幕显示系统及会议电视系统建设。实现下属单位及与上级主管单位陕煤集团间工业视频监控,计算机信息显示、会议电视系统显示功能;
6)电力监控系统建设;
7)管理信息系统建设。包括安全生产监测系统、办公自动化系统、物资管理系统、运销系统、人力资源系统、企业文化建设等企业管理信息系统建设。
3.2项目建设规范
依据《煤炭工业十二五发展规划》、《煤炭工业设计规范》、《煤矿安全规程》和相关设计规范。其中包括
1)煤矿“一通三防”远程监察信息网络系统;
2)国家安全生产信息系统建设技术指导书;
3)实时数据采集与传输技术要求;
4)煤矿安全监察地理信息系统(GiS)规范;
5)《煤矿安全监控系统通用技术要求》;
6)国家煤监局《关于加强煤矿安全监控系统装备联网和维护使用工作的指导意见》;
7)国家安监总局《关于推广煤矿数字化瓦斯远程监控系统的通知》。
4设计原则
考虑到本项目的实际应用需求和技术发展趋势,结合系统建设的具体特点,兼顾技术发展,整体方案设计遵循以下设计原则。
4.1先进性、成熟性和实用性
充分考虑到煤炭行业信息系统的现状和发展趋势,使用先进、成熟、实用和具有良好发展前景的技术,使整个系统具有整体技术先进,同时兼顾经济适用,既能满足当前需求,又能适应未来发展。
4.2可靠性
系统的稳定可靠是项目实施正常运行的关键保障,在设计中选用高可靠性的产品,合理设计系统架构,制定可靠的技术方案,最大限度地支持系统正常运行。
4.3安全性
全面考虑整个系统的安全保障,制定统一的全网安全策略,以有效防止因病毒、木马、恶意攻击、误操作等对整个系统安全的影响。
4.4灵活性、可扩展性
根据未来应用的增长与变化,系统应可平滑升级,最大程度的减少重复投资及对系统架构及调整。兼顾集团公司规模发展、技术发展及未来与国家安全生产信息监控网络连接需求,系统应具备较强的扩展性。
4.5统一标准性
系统的互联互通关键是对标准的遵循程度。本项目建设中,由于有多种系统并存,同时要实现业务整合及数据集中等建设,未来还要与地区安全生产信息监控网络连接,就必须统一标准。
5结论
煤炭企业信息网络建设,进一步加强了安全生产监督管理,满足了事故抢险的需要,既是安全生产监管工作的重要组成部分,也是企业经营管理科学决策的基础。该系统建成后,通过作业现场信息采集、特征提取、加工处理和数据传输,实现企业安全、生产、管理、调度、物流、销售、财务等各个环节的全面信息化管理。信息化技术将为企业创造出好的经济效益和社会效益。
参考文献
公司信息安全管理体系篇5
【关键字】it服务外包;信息资产;iSo27000
a企业是某欧洲跨国金融公司在广东的it服务外包公司,主要对母公司在亚太地区的业务提供软件开发和维护工作,企业的核心业务构建和运行在以信息技术为基础的网络和系统上。作为金融行业的it外包公司,提升a企业的信息安全管理水平也成为企业内部和外部的紧迫要求。
iSo27000信息安全管理体系要求是国际标准化组织颁布的有关信息安全管理的标准,此标准采用了pDCa循环管理的方法,以求最终建立适合企业需要的信息安全管理体系。其实现主要通过现场诊断、风险评估、体系制度编写、试运行和外部审核几个阶段,而整个项目的出发点就是完善资产管理。
a企业正是选择了通过iSo27000架构构建信息安全体系。在iSo27000的管理框架下,资产是指任何对组织有价值的信息或资源,根据表现形式的不同,与信息相关的资产可分为数据、文件、软件、硬件、服务、人员等类型。资产识别的正确性和准确性对于后续的风险要素评估及信息安全策略至关重要。
本项目之前,a企业有来自总部的一些信息安全方面的基本要求,但要求较为抽象、概括,并没有在本地形成有效的管理体系。在信息资产管理方面,a企业就信息资产进行了一些定义,制定了部分规章,但不够系统和完整。对于信息资产的管理更多地限于it部门管理的硬件及软件等有形资产的管理上,没有从数据的角度出发,也没有把服务、人员以及其他非it资产视为信息资产的一部分纳入信息资产保护的范畴。
因此,在构建新信息安全管理体系项目中,a公司在进行资产识别时,将信息资产按照信息、文档、软件、硬件、人员及服务六大类进行分类。其具体实施过程为:
1、将原有的信息资产清单依照上述六类进行划分。在此基础上,依照公司的组织架构和业务范围与各部门负责人进行访谈,了解业务流程,以识别所有的信息资产。
2、对于每一项信息资产,根据“谁使用,谁负责”的原则确定责任人。由责任人负责对信息资产进行分类、分级。同时可设定“维护人”,由“责任人”将具体的安全职责委派给“维护人”,但“责任人”仍须承担资产安全的最终责任。
3、由信息资产责任人对资产进行分级评分。按照信息安全的三要素:机密性、完整性、可用性,对资产分三个要素进行赋值(如表1示):
4、基于对每一项信息资产的在机密性、完整性、可用性三方面的赋值,通过矩阵计算出信息资产的总价值(如表2示)。
由上表可见,信息资产总价值总共分为5级,其中,评分为4的资产为最高级,0为最低级。设置重要资产划分的基准线为1,即选取评分为1及以上的资产,进入下一步的资产风险评价。
公司信息安全管理体系篇6
关键词:公司;财务管理;信息化建设;问题;解决措施
一、公司财务管理信息化中存在的问题
公司作为国有企业,其财务管理显得极其重要。省级公司应通过构建财务管理信息化体系,全面掌握企业运行状态,提高财务管控能力,从而具备高效的资金运作机制和先进技术手段,不断提高管理水平,加快发展步伐,在激烈的市场竞争中立于不败之地,保障企业战略目标的实现。当前的社会是信息发展迅速的社会,很多的企业也逐渐迈向信息化的发挥在那趋向。结合相关的资料,目前我国的集团公司的财务管理信息化建设中存在的问题具体如下:1.没有结合实际建立财务管理系统。作为国有企业,在多年的发展经验过程中,拥有自己独特的多元化经营方式。但是,公司只是在自己的经营模式下开展各类经营工作,这样就会造成不同行业的公司财务信息无法交流和传播,总公司没有办法实时的掌握地市的子公司财务信息,如此一来,就会因为下属子公司的财务没有及时上报、总公司对有效信息很难获取、全面监管的力度实施不够、直接影响成本的核算出现误差。因此,在建立公司的财务管理系统的时候,要结合实际的情况建立适用的财务管理系统。2.财务决策支持体系缺乏完整性。包括公司在内的很多企业,在财务管理信息化建设的时候,都没有重视财务决策中系统信息的完整性,一旦系统内的信息过大就会影响信息的准确性。近几年,伴随着社会科技的迅速发展,具有信息化特色的资金管理系统、财务预算管理系统被越来越多的企业采纳。企业采纳的目的是因为这些系统确实能够为企业的财务管理人员提供数据方面的便利,但是,根据目前的实施状况来看,公司在财务信息管理各方面还存在很大的问题,财务管理系统很容易出现信息过多、数据混乱的情况。3.管理方面侧重结算功能。资金信息管理主要是在整个管理流程中采取一系列管理措施,其财务信息的收集和分析管理的基础。通过笔者对相关案例的分析,总结出目前我国的公司存在着对财务信息化管理还不够明确的问题,均是将重点集中在公司资金的核算上面。公司财务管理信息化建设中侧重于结算功能,虽说能够对企业内部的结算资金一目了然,却忽视企业的融资管理、资金投放的风险,不利于公司的长远发展。4.未重视网络完全管理。由于当前的时代是一个信息化发展比较迅速的时代,在这一时代背景下也加快了企业财务管理信息化的步伐。但是,在实际的运用中公司的财务管理也会有很多的网络安全隐患问题。如果对网络安全防范不到位的化就会导致财务管理系统出现较大的问题,给公司带来巨大的经济损失。
二、公司财务管理信息化存在问题的解决措施
财务管理信息化能够有效的推动企业的发展,对企业的转型也有很大的推进作用,针对上文分析的公司在财务信息化管理中存在的问题为基础,下面笔者将进一步探讨关于上述问题的解决措施:1.结合实际健全财务管理系统。公司的财务管理信息化建设的首要条件就是要结合公司的实际运营情况,设计出适合公司发展的软件系统和硬件设施。在设计的时候要结合公司的发展特点,运营情况等问题。同时还要重视总公司对地市子公司的管理,这就需要在总公司、子公司实施财务信息化管理的基础上,在研发设计出一台为子公司向总公司提供数据、信息的交流平台,实现上下属公司之间的交流,同时还可以进行技术、资金、物流等方面的监管和查阅。需要注意的是,财务信息管理平台应该要包含各类财务报表,使得财务报表能够在平台上全面的展现出来,还要将企业中的财务数据进行统一的核算和统计,构建出一个合理的整体结构,促使财务管理人员在日常的工作开展中能够得到有效的财务数据,以此提升公司财务信息汇总的准确性。2.加快健全决策支持系统。从目前公司的财务信息管理来看,对于财务信息的收集和整理都采用的是比较松散的管理方式。这样的管理方式时间一久的话就会导致企业的财务数据杂乱无章,后期中若是想要查找有效的信息量就会比较困难。同时还会增加企业财务人员的工作量,由于财务信息的处理量多大就会导致公司的财务决策效率降低。想要加快企业财务的信息化管理就需要线健全企业的财务决策支持系统,更加详细的解释就是要健全企业的信息来源、数据收集的依据,促使信息数据的筛选更加科学化,使得整个财务管理系统更加具有互动性、透明性的特点。3.加强企业资金管理流程。根据调查的数据显示,目前公司的财务信息化管理体系中资金管理流程不完善是最主要的问题,完善的资金管理流程有利于加强公司对财务管理的监管力度,资金管理流程主要从以下两点入手:(1)要将公司的草屋核算作为主要的依据,以此加强企业对资金流向的监控。(2)还要重视公司和银行之间的合作,要充分发挥企业的资金作用,对资金短缺的下属公司要加大支持力度。4.重视企业财务信息的安全防范。网络安全问题是影响着企业财务信息化管理的重要问题,企业必须要重视网络安全防范,可以从以下两个方面入手:(1)公司必须要重视财务管理软件的设计,硬件的完善。例如:在信息查询中要设置身份认证,不同等级的身份,所涉及查阅的信息重要性也会不同;同时还要运用网络防火墙、病毒测试等安全技术,有效的提升网络的安全性。(2)重视企业内部的信息监管,财务管理人员要具备较高的信息化管理模式下的病毒入侵防范意识,还要结合实际健全数据信息技术和比较重要的材料等方面的保密机制和查询认证。加强企业财务管理信息化人才队伍建设。财务信息化是现代信息技术与企业财务管理的有机结合,跨专业领域的复合型人才是财务信息化实施、运行与应用的重要保障。企业应当高度重视财务信息化人才队伍建设,设立相应机构和专门岗位,配备既懂财务又掌握信息技术的专业人才,充实人才队伍力量。
三、结语
在信息技术发展也来越快的今天,财务管理信息化建设对企业的发展具有重要的意义,特别是像公司这样的国有企业实施财务管理的信息化建设具有非常重要的意义。但是,在实际的运用中还是要注意,公司财务管理信息化建设是一个循序渐进的过程,需要在运用中集合公司的实际情况,不断的改善财务管理信息化的管理,同时还需要公司深化财务管理人员对财务信息化管理的认知,以此不断的加快公司财务管理信息化的发展步伐。
作者:吴素梅单位:河南省商丘市梁园区公司
参考文献:
[1]王金平.财务管理信息化的实现路径[D].西北大学,2010.
[2]刘礼兰.D市公司财务预算管理研究[D].四川师范大学,2016.
[3]尹远.湖南省公司财务管理模式优化探讨[D].中南大学,2009.
公司信息安全管理体系篇7
关键词:湖南烟草;信息系统;安全;总体目标
经过多年的信息化工作,目前湖南省烟草行业已经建立起全省的计算机网络信息系统。全省信息网络系统建设包括各市级分公司局域网和省域网建设。局域网建设方面,全省包括省局(公司)机关、白沙物流中心、市级分公司、县公司都已完成了局域网建设,省域网络的建设也规划完毕开始实施。省公司办公区域白沙物流中心机房通过千兆裸光纤相连,白沙物流以及各个市级分公司通过专线连入电信mStp专网。省公司、白沙物流中心机房和14个市级分公司都有internet接口,并且可以通过10mVpn相连接作为备份链路。市级分公司与其下属的县级分公司之间通过电信mStp专网相连接,同时还有一条2m的aDSL备份线路。省公司及14个市级分公司分别购买了2台iBm小型机,是全省烟草信息系统的核心设备。
一、湖南烟草信息系统安全现状
目前,在进行安全系统建设初期,全省整个烟草行业网络安全体系非常薄弱,基本上没有建立完善的安全防范体系,因此安全问题非常突出。总体情况来看,各个市级分公司仅仅有防火墙,无其他的安全防护设施。省公司和各个分公司在信息安全方面均各自为政,没有采取统一的有效的安全策略和防护措施。还有,虽然省公司、部分分公司采用了病毒防杀软件,但是没有覆盖全网的网络防毒系统,缺乏统一的管理和控制,因此病毒问题显得尤其突出。下面列出了已有的安全设施和措施:
(一)物理与链路层安全设施
在湖南烟草信息系统系统建设中,现有的物理与链路层安全设施如下:
1、物理安全方面:
通过对省中心机房和各个市级分公司机房的改造,增加了包括门禁、录像监控等等安全设备。另外加强了多种安全防护措施,包括:防火、防水、防静电、电源安全等等新的设备,使全省网络的物理安全性基本满足了现阶段的需求。
2、数据传输链路安全方面:
目前的信息系统建设过程中,采用了CiscopiX防火墙建立Vpn链路,而且在网络主干路上采用mpLSVpn技术,使得:信息在传输过程中保持保密性、完整性、可靠性,防篡改,采用ipSeC加密技术和产品,对敏感数据的传输进行加密,同时对传输双方的身份加以鉴别,从而达到安全保密性以及完整性的要求。
省域网(mStp)的链路为主链路,通过internet的Vpn链路为备份链路,在主链路发生故障的情况下,及时采用备份链路,最大程度的保障网络的可用性,保证相关信息的传输不受到人为、物理的其它因素的影响。
结合湖南烟草的实际情况来看,从物理与数据传输链路层的安全设施可以看出,当前信息系统的建设主要侧重于保障网络系统的可用性,在此基础上综合考虑完整性以及保密性的要求。在今后的安全系统建设中,也要遵循这个原则。
(二)网络层安全设施
在湖南烟草网络平台现有的体系中,网络层的安全设施主要包括以下内容:
优化整个网络的安全
骨干网络采用mpLSVpn技术,不同地市的不同业务网络,统一地市的不同业务网络,不同地市的统一业务网络抖逻辑隔离。不同的业务网络可以独立管理QoS。省中心和各个市级节点可以相互访问,但是市级节点不可以相互之间访问。
防火墙
防火墙是用于隔离信任网络与不信任网络的有效工具,在省公司、白沙物流信息中心、各个市级分公司网络的internet出口处部署piX防火墙,可以隔离内外网,设置nat等等安全策略,不仅仅节省了公网ip地址,而且隐藏了内网的网络结构,屏蔽了大多数的网络攻击,免收外来侵扰。
Vpn
通过piX防火墙通过internet建立Vpn链路,实现分公司与省公司之间通过internet进行备份数据传输通道以及移动用户拨入省公司内网的安全加密措施。
网络安全监管与故障处理
目前已经采购了多种网络管理软件,包括Ciscoworks管理软件(设备管理模块、Vpn管理模块、无线网络管理模块),可以管理所有的Cisco设备。aCS安全认证管理软件,用于建立和管理全网的身份认证系统。Sniffer软件,用于监控网络流量,发现、分析、排除各种网络故障。还有iBm的tivolienterpriseConsole管理管理软件,带有tivolinetview模块,可以检查并长期监控多种网络设施的运行状态。
通过这些工具建立网络管理系统,实现对全网关键网络设备的运行状态、链路的情况进行实时监控与管理,及时发现网络故障情况,并采取相应的响应报警机制,马上通知管理人员进行处理,尽量保障网络的可用性。
(三)系统层安全设施
在湖南烟草网络平台现有的体系中,网络层的安全设施主要包括以下内容:
主机安全监管
通过iBm的管理软件tivolimonitor,对关键主机和服务器系统的运行状态、资源的使用情况、安全日志等进行监管,及时发现系统的异常行为和故障,保障主机与业务系统的可用性。
系统冗余和备份
通过对关键的主机应用系统建立相应的系统冗余与备份措施--服务器双机热备等措施,最大程度保障主机系统的可用性,最大程度的保障烟草业务的连续性。
(四)应用层安全设施
在湖南烟草安全系统建设过程中,应用层的安全已经包括:
建立了全省数据备份中心,所有的省、市各级公司的业务数据每日备份到了省数据备份中心,有效地建立数据的本地在线备份以及异地远程备份的机制,确保数据在意外情况下的及时恢复,建立灾难和应急相应机制。
通过tivolimonitoringforDatabase实时监控数据库以及应用系统的关键性操作,并且对意外事件提供反应措施,从而进一步增加对网络及信息资源的可控性;
通过tivolimonitoringforwebinfrastructure,对关键应用和业务系统的运行状态进行监管,及时发现并排除应用故障问题,保障业务的连续性。
目前湖南烟草的信息安全管理的技术平台和管理制度,都已经具备了简单的雏形,但是还不能满足现有的网络安全需求和今后的进一步发展,还有待于进一步的加强。虽然湖南省烟草信息安全系统的建设已经开始起步,也具备了一定的安全防护能力,但是整体的安全防护还有很多的需求没有得到满足,尤其是网络层的防护,还有很多的安全设施没有到位,远远没有达到国家烟草总局在《烟草行业计算机网络和信息安全技术与管理规范》所提出的"纵深防御体系"和"动态防护"的要求。
二、湖南烟草信息安全建设总体目标
针对湖南烟草的现状以及安全需求分析,提出在湖南烟草信息安全系统建设的总体目标描述如下:
基于安全基础设施、以安全策略为指导,通过统一的安全管理平台,提供全面的安全服务内容,覆盖从物理通信到网络、系统平台直至数据和应用平台的各个层面的安全需求,构建全面、完整、可靠、高效的省行业信息安全体系构架。从而在烟草行业信息化整体发展的基础上,极大地提高湖南省烟草行业的整体安全等级,为保障烟草行业的健康发展提供坚实的信息安全保障体系。
可以分解为以下四个具体目标:
网络和系统实体的可用性以及抗攻击性;
信息的安全性、保密性和可靠性;
系统安全的可管理性;
整体系统运行状态的可控性;
安全需求是建立良好的安全体系的前提条件,我们从湖南烟草行业网络系统得实际情况出发,根据对用户网络系统脆弱性以及安全威胁的风险评估,结合湖南烟草安全系统的总体建设目标,我们把整体的安全需求根据不同的侧重点,从信息安全管理体系、物理与链路层安全、网络层安全、系统层安全、应用层安全等五个方面进行充分的考虑。安全需求涵盖了整个信息系统的每个层次,具有一定的纵深性和涵盖面,其中安全管理部分我们认为是非中重要的一项,因为完善的安全防御体系是以各类安全技术的应用加以安全管理贯穿于始终,才能实现安全系统的良好运作发挥其性能。信息安全保障体系各层次的安全需求目标具体描述如下:
(一)物理与链路层安全需求目标分析
在湖南烟草安全系统建设中,物理与链路层安全需求阐述如下:
考虑到大量内部的数据跨过广域网(如internet、电信省域网等)进行传输,可能被它人窃听和破坏,因此对数据的传输的安全具有以下需求:
信息在传输过程中保持保密性、完整性、可靠性,防篡改,拟采用相关加密技术和产品,对敏感数据的传输进行加密,同时对传输双方的身份加以鉴别,从而达到安全保密性以及完整性的要求。
关键信息传输的链路必须通过备份链路等方式,保证相关信息的传输不受到人为、物理的其它因素的影响。
对系统中的关键应用以及关键的网络连接建立相应的安全机制,如建立备份通道,以便在主通道发生故障的情况,及时采用备份通道,最大程度的保障网络的可用性。
(二)网络层安全需求目标分析
网络层是网络入侵者进攻信息系统的渠道和通路,因此许多安全问题都集中体现在网络的安全方面。在湖南烟草网络平台安全体系中,安全需求主要包括以下内容:
网络安全优化
主要是对系统中不同网段的、不同功能要求以及不同的安全等级的区域的划分,同时根据不同的安全级别,针对性的制定各区域之间的访问控制规则。主要是对现有的网络设备加强安全策略配置如访问控制列表,进行严格的访问控制,并对核心网络设备进行相应的安全设置。
防火墙
防火墙是网络层安全领域最成熟、使用最广泛的技术,用于隔离信任网络与不信任网络的有效工具。需要在全省各网络中部署防火墙隔离内外网,设置各级安全屏蔽,将全网在网络上分割为相对独立的子网,免收外来袭击。
网络入侵防护与相应的安全审计系统
建立全网网络入侵防护检测与相应的安全审计系统,及时监测、拦截并记录来自外部和网络其它部分的黑客入侵行为,拒绝服务攻击,违规操作等,并能对相关入侵行为进行多个日志系统的关联分析,排除虚假的报警信息、过滤掉低风险事件,得到最准确的关键安全事件信息。
Vpn
建立Vpn链路,实现分公司与省公司之间通过internet进行备份数据传输通道以及移动用户拨入省公司内网的安全加密措施。
(三)系统层安全需求目标分析
主机服务器系统是整个应用业务的基础平台设施,因此其安全性会影响到整个应用业务系统能否正常的运营。在湖南烟草安全系统中,系统平台的安全建设主要有:
主机系统漏洞扫描与加固
采用安全扫描技术,对烟草系统中关键的主机和服务器进行定期漏洞扫描与评估,针对相关的系统漏洞,自动提出修补的措施,并定期进行相关操作系统的裁剪、修补和加固的工作。
操作系统安全
通过使用主机访问控制等技术措施及手段,对系统中的主机与服务器系统严格划分、管理、控制用户的权限和行为,增强操作系统的健壮性以及安全性,使操作系统达到更高层次的安全级别。
网络病毒防杀系统
建立全网的病毒检测与防范系统,及时检测和控制各种文件、宏和其它网络病毒的传播和破坏,具有集中统一的管理界面,系统具有自动升级,自动数据更新,可管理性等特性。
主机安全监管
通过网络安全综合管理,对关键主机和服务器系统的运行状态、资源的使用情况、安全日志等进行监管,及时发现系统的异常行为和故障,保障主机与业务系统的可用性。
(四)应用层安全需求目标分析
应用平台安全是系统最终保障的目标,数据的保密性、高可靠性和防篡改等特性,以及应用系统对于系统功能和相关数据的严格控制,将成为整个应用和数据安全体系的主要需求。在湖南烟草安全系统建设过程中,应用安全需求具体包括:
建立pKi/Ca体系,为应用安全提供认证、加密、数字签名、数据完整性等功能和服务。
有效地建立信息资源的标记、加密存储和保管机制。考虑应用层对传输数据进行加密。
建立全省数据备份中心,有效地建立数据的本地在线备份以及异地远程备份的机制,确保数据在意外情况下的及时恢复,建立灾难和应急相应机制。
实时监控数据库以及应用系统的关键性操作,并且对意外事件提供反应措施,从而进一步增加对网络及信息资源的可控性;
通过网络安全综合管理系统,对关键应用和业务系统的运行状态进行监管,及时发现并排除应用故障问题,保障业务的连续性。
从上述湖南烟草安全系统的建设需求分析中可以看出,整个系统的建需要包含从安全管理体系、物理与链路安全、网络安全、系统安全以及应用安全等五个方面的要求,结合了从管理到技术的各个层次。根据湖南烟草计算机网络系统的实际情况,现阶段的建设重点是解决网络安全和网络的高可用性,解决网络系统在信道传输、访问控制、运行保障以及与外界的网络的互连接口等方面的安全问题。最终按照国家烟草总局的相应安全规范,建设一个集策略、防护、检测、反应为一体的,基于国际先进的p2DR(策略/police,防护/protection,检测/Detection,反应/Response)模型的、动态适应的计算机网络安全防护体系。
参考文献:
[1]李红等.管理信息系统开发与应用[m].电子工业出版社出版社.2003年:8页
公司信息安全管理体系篇8
根据关于对政府信息系统安全检查的通知要求,我局认真进行了检查梳理。现我局共有信息系统总数5个,面向社会公众提供服务的信息系统数2个,委托社会第三方进行日常运维管理的信息系统数1个,经过安
全测评(含风险评估、等级评测),5个系统数均为安全。在系统运行中,无失泄密和受到过病毒木马等恶意代码感染,本部门门户网站未受攻击和篡改(含内嵌恶意代码)。与上一年度相比信息安全工作取得的好的长足的进展,整体信息安全状况良好。
二、2011年信息安全主要工作情况
(一)信息安全组织管理。我局成立了以吕艳副局长为组长,各个科室负责人为成员的信息安全工作领导小组,全面负责信息安全工作。确定了局办公室为信息安全管理工作的具体承办机构,办公室主任为具体负责人,并指定公文收发员为我局兼职信息安全员。
(二)日常信息安全管理。在人员管理上,认真落实信息安全工作领导小组、安全管理工作的具体承办机构及信息安全员的职责,制定了较为完善的检查信息安全和保密责任制建立并认真严格地落实情况,对于重要涉密电脑和设备,严禁人员在离岗离职信息的情况打开运行。对于违反信息安全管理制度规定造成信息安全事件的认真追究相关人员责任。在资产管理上,办公软件、应用软件等安装与使用情况严格按规定办理,计算机及相关设备维修维护管理、存储设备报废销毁管理按保密相关要求执行,杜绝随意马虎。在运维管理上。信息系统运营和使用按相关权限进行管理、日常运维操作由具体负责人进行操作、定期进行安全日志备份和信息安全分析。委托了昆明众彩科贸有限公司文山分公司运行管理的我局门户网站,在与昆明众彩科贸有限公司文山分公司签订服务协议的同时,明确了相关的安全保密事项和协议。
(三)信息安全防护管理。在办公计算机和移动存储设备安全防护上。计算机采取集中安全管理措施,设置每台计算机账号口令并随时更新。计算机接入互联网实行了实名接入、对计算机
ip和mac地址进行绑定、指定固定上网ip地址,并安装病毒防护软件,定期进行漏洞扫描、病毒木马检测。杜绝在非涉密和涉密信息系统间混用了计算机和移动存储设备,禁止使用了非涉密计算机处理涉密信息等。在门户网站安全防护上,落实网站信息审批制度,实行了边界防护、抗拒绝服务攻击、网页防篡改等安全防护设备的部署,定期进行漏洞扫描、木马检测。
(四)信息安全应急管理。根据《云南省网络与信息安全事件应急预案》精神,制定了本部门信息安全应急预案,认真组织开展了相应的宣贯培训。按照应急预案要求明确了昆明众彩科贸有限公司文山分公司为我局的应急技术支援队伍。根据实际需要对重要数据和信息系统进行了灾难备份。
(五)信息安全教育培训。我局领导干部和科室工作人员全员参加信息安全教育培训、掌握信息安全常识和基本技能。对于信息安全管理和技术人员也定期参加信息安全专业培训
三、信息安全检查等方面开展的工作情况
我局经常、制度性地开展信息安全检查,重点是办公计算机和移动存储设备安全防护以及门户网站安全防护。经检查,无失泄密和受到过病毒木马等恶意代码感染,本部门门户网站未受攻击和篡改(含内嵌恶意代码)。我局将严格按照信息安全的相关要求的制度,在下一步的工作中,认真做好信息安全工作
公司信息安全管理体系篇9
it应急管理的特殊要求
1.证券业务的实时交易和全电子化交易结算体系,对证券公司it系统的连续性运行提出很高的要求。在证券市场中,证券公司只是中介机构,主要负责客户证券交易指令的传送工作,客户证券交易的最终完成是在上海证券交易所和深圳证券交易所。目前证券市场有100余家证券公司,单个证券公司的信息技术系统出现故障,并不会导致全市场的证券交易停止,只是这个证券公司所属的客户在故障期间不能参与交易了,证券市场的产品价格是瞬息万变的,所以证券公司的信息技术系统出现故障,很容易引起客户的纠纷和经济损失,如果经常出现故障,将会给证券公司的生存带来致命的打击。可以说信息技术系统是证券公司的核心竞争力,信息技术系统连续稳定运行是证券公司生存的基本保障。
2.证券公司的it系统需要与多家合作单位互联,其it系统的开放性和复杂性决定了it系统应急管理的复杂性。证券市场体系主要有证券开户、登记、交易委托指令验证和发送、交易撮合和交易结果反馈、清算、客户资金验证和存管等环节,证券市场的参与者主要有投资者、证券发行人、证券公司、证券登记结算公司、证券投资咨询公司、证券交易所、证券监管机构和银行等。证券公司作为体系中的中介机构(即体系中最中间的环节),其信息技术系统需要和证券登记结算公司(上海分公司和深圳分公司)、证券交易所(上海证券交易所和深圳证券交易所)、各商业银行(客户资金三方存管)、互联网系统(网上交易)相连,这决定了证券公司的it系统是开放的、复杂的系统,只有和各方稳定、可靠的连接才能为客户提供服务。it系统越复杂,其故障恢复和应急管理难度就越大,it系统是由硬件、软件、通信信号等组成的,诸多因素集合在一起也就难以使故障点直观地展现在我们面前。
it系统安全运行的关键点
1.基础环境和设施的安全保障。it系统所处的环境和基础设施是it系统能够安全运行的基础保障。it系统基础环境和设施是指:机房选址、机房装修、机房接地与防雷、机房空调、机房消防、机房监控系统、机房供电系统等7项内容。证券公司一直都高度重视it系统基础环境和设施的建设,经过多年的发展,在有关国家标准的基础上,形成了适合证券行业特点的规范和标准。
2.网络与通信系统的可用性。和银行相类似,证券公司也需要设置很多营业网点,分布在全国各地,证券公司的it系统架构采用了星型大集中的架构。证券公司需要建设企业内部广域网络,用来连接营业部网点和总部,实现集中交易和集中管理。证券公司为客户提供网上交易系统,其it系统需要和互联网相连。证券公司作为市场的中介机构,it系统还需要和证券登记结算公司(上海分公司和深圳分公司)、证券交易所(上海证券交易所和深圳证券交易所)、各商业银行(客户资金三方存管)、互联网系统(网上交易)相连,才能为客户提供服务。任何一个环节的网络中断,都会影响证券公司的业务开展。证券公司要想拥有健壮的网络和通信系统,目前主要依靠的是冗余技术。证券公司对网络和通信系统的要求是:应使用不同运营商或不同介质的2条以上通信线路建立可靠通信联接,且线路带宽能够满足业务需要并留有冗余。网络通信设备应有冗余备份,避免单设备故障,并能保证发生故障时实现及时切换。
3.应用系统的安全保障。证券公司信息管理应用系统,是指提供行情、开户、交易、资讯等客户服务的信息技术系统,此外还包括安全、财务、办公等信息技术系统。证券公司的应用系统安全保障,目前主要依靠冗余技术,使得系统处理能力具有一定的冗余度。行情、交易、资讯系统等关键硬件设备应通过热备、冷备等手段,避免单点故障,提高系统可用性。服务器应采用双电源、双网卡等方式,提高系统可靠性。应当为客户提供两种以上行情揭示与分析系统,应当为客户提供现场委托以及网上委托、电话委托等两种以上非现场委托交易发式。
4.关键业务数据和系统数据的安全保障。对于证券行业来说,证券、资金的流转都是通过信息技术系统进行的,实现了无纸化交易。因此数据安全的风险防范尤其重要,数据是公司至关重要的资产之一。为防止数据丢失、崩溃和被非法访问,以数据安全实际威胁为依据,证券公司保障数据安全包括如下内容:介质与载体安全保护、数据访问控制、系统数据访问控制检查、标识与鉴别、数据完整性、数据可用性、数据监控和审计、数据存储与备份安全。数据安全首先表现在如何防止窃密、纂改、重发、伪造数据和否认交易数据等方面,也就是要保障交易数据和相关业务数据的机密性、完整性和不可否认性。其次,体现在如何对数据提供高可靠性的保护。数据安全牵涉到数据库的安全和数据本身安全,针对两者应有相应的安全措施。在集中交易系统基础设施建设、网络通信、数据传输、硬件选型、软件开发、系统使用、系统运行维护与管理等方面都存在一定的数据安全风险。化解和防范数据安全风险的技术方案比较多。在进行集中交易系统方案设计时,需要将灾备中心建设、广域网络通信平台建设、应用系统开发等综合考虑,统一进行安全防范设计。同时,要通过推行全面技术管理的理念,加强计算机信息系统的优化建设和安全管理,加强计算机信息技术人员的管理,防止数据的遗失、损坏、篡改和泄漏,提高系统运行的安全性、可靠性与稳定性,推动证券集中交易信息系统建设与技术管理水平的协调发展。
5.网络安全防护。证券公司的信息技术系统是为广大投资者服务的,随着使用者数量的不断增加,其系统所受到的威胁也越来越多。实践证明病毒木马、黑客对证券公司信息技术系统安全构成严重威胁,例如SQLSlammer蠕虫的爆发可以耗尽网络资源,导致网络正常业务通信瘫痪。为了加强网络安全防护,提高信息技术应急管理水平,首先从技术上建立从信息技术系统核心到边缘网络立体化安全防护,采用冗余技术,建立安全有效的冗余系统。其次提高信息技术系统运维人员及最终用户的安全意识,规范操作流程,降低因操作不当而带来的安全风险。第三要密切与公安系统、监管部门合作,打击互联网仿冒网站和恶意攻击犯罪行为。
6.系统运维安全管理,遏制内鬼和防止人员操作失误。要保证庞大、复杂的信息技术系统正常运行,要求系统运维人员必须具有很高的技术能力、高度的责任心和良好的沟通能力,人员操作失误和人员之间的沟通是证券公司信息技术系统安全运行的重要威胁之一。内部人员故意违法操作也是重点防范的内容。经过多年的发展和规范,证券公司已经形成了整套的运维管理制度和内控制度,在很大程度上防止内鬼的出现,降低了人员操作失误给公司造成损失的风险。加强系统运维应急管理关键三要素为:制度流程、人和制度流程的落实。经过10多年的发展,证券公司的信息技术系统有关运维的制度、流程虽然还谈不上十全十美,但至少已经基本成形。目前最主要的困难是如何加强人员管理,保障制度、流程得到很好的执行,并落实到位。现在行业内流行根据itiL、iSo20000等国际最佳it运行实践和标准,来建立运维管理系统,这必然为我们运维管理水平的提高提供了有力支持,但他们同样面临着如何被落实和执行的问题。制度执行落地的解决之道其实没有什么深奥的方法,首先保证领导和运维人员学习和掌握了制度,其次技术部门内部加强制度执行情况的检查。如果这两条能够做到位,信息技术系统应急管理会提升至很高的水平。
it应急管理的组织保障和安全规范证券公司已经建立了比较完善的it应急管理组织保障体系。2008年5月,中国证监会成立证券期货业信息化工作领导小组及其办公室和专家委员会,强化了证券期货信息安全的统一组织领导和组织协调,从高层上增强应急反应速度和处置能力。中国证券会信息中心发挥总协调的作用,牵头负责行业信息安全工作的组织协调。中国证券业、期货业协会发挥自律、传导和服务的作用,负责对会员进行信息安全自律管理。证券公司负责本单位及下属单位信息化建设和信息系统安全保障工作。证券公司应遵守的有关信息技术的规范和标准有:《证券公司信息技术管理规范》、《会员交易及相关系统管理指引》、《证券期货经营机构信息技术治理工作指引(试行)》、《证券公司集中交易安全管理技术指引》、《证券公司网上证券信息系统技术指引》、《网上基金销售信息系统技术指引》、《证券营业部信息技术指引》等。
网络与信息安全事件应急预案为建立健全证券期货业网络与信息安全事件应急工作机制,提高行业应对网络与信息安全事件的应急处置能力,预防和减少网络与信息安全事件造成的损失和危害,保护投资者的合法权益,2009年6月,中国证监会了《证券期货业网络与信息安全事件应急预案(2009版)》。这标志着在证券行业内,建立了统一的应急预案机制,证券公司的it应急预案不再是单兵作战,已经可以扩展到整个行业,调动行业内所有资源进行it应急处置。在该预案中,对应急处置机构与职责、预防预警、事件通报和处置、后期处置、宣传、培训和演练等方面进行了详细规定,证券公司在《证券期货业网络与信息安全事件应急预案(2009版)》的基础上,能够制定本公司详细的应急预案,为证券公司it系统安全运行提供了保障。在该应急预案后,中国证监会在全行业分三次组织422名应急处置技术顾问进行了集中培训,动员了约625名监管干部和应急处置技术顾问,组成了135个演练小组,开展了行业内规模庞大的一次应急演练,全面提升了行业对应急工作的重视程度,进一步理顺了应急处理流程。
根据实际经验,在故障应急演练的过程中,要确保达到预期效果,需要注意以下几方面。
1.演练场景设计要详细,尽量向实战靠拢。it系统出现故障后,要想尽快恢复系统首先要准确找到真正的故障点。it系统是由硬件、软件、通信信号等组成的,特别是软件、通信信号均不能用视觉直接触及到运行过程,大多数情况下我们看到的真实情况下的it系统故障现象只能是实际感觉到的“按下鼠标不响应了”或弹出一个不知所云的“报错对话”框。通过这些表象去判断故障点,即使对系统非常熟悉的专业运维人员,几乎不可能马上判断出系统出现的故障在哪里,往往都需要运用排除方法去探索故障点。在设计演练场景时,就要模拟出真实情况下的it系统故障现象。在过去所做过的多次的应急演练,大多数的演练场景都是直接将故障点告知演练人员,例如:“主服务器死机了,请进行应急处理”,这相当于直接告诉演练人员目前it系统的故障点是“主服务器死机”,其他网络、中间件等环节都正常,不需要自己去诊断故障点,这样的演练就容易多了,但这样的演练和我们实际处理it系统故障的情况差距很远。
公司信息安全管理体系篇10
彬县煤炭深入推进“两化融合”的基本战略是:通过应用信息技术实现企业管理流程再造,包括改造管理流程,提高管理效率,实现企业体制创新、技术创新和管理创新,实现改造传统生产方式,调整产品结构、增强企业核心竞争力,构建以信息化带动企业发展之路,在较短时间内实现“企业管理信息化、矿山综合数字化”,为打造百亿元企业集团提供信息化保障。公司从传统煤炭产业拓宽发展而来,开展以高科技为鲜明特征和前沿技术为主要支撑的信息化工作,的确能给企业带来脱胎换骨的变化和新的发展后劲。
it系统与矿山业务融合
按照《彬县煤炭有限责任公司企业信息化2008年2015年规划》,共计划投资1.2亿元实施彬煤公司信息化工程。该规划对公司管理信息系统和数字矿山的网络及应用平台建设、系统集成、数据归集利用、业务融合等作出了清晰规划。
在此之前,彬煤公司完成了经营管理和企业办公手段的初始改造和升级,在部分子公司、矿山、科室实现了办公自动化,建设了若干小型局域网络,实现了公司内部的互联互通。并且在信息、运销管理、财务资金管理、人力资源管理等方面开发建设了若干独立系统,有效地提升了这些业务口的工作效率,并且通过计算机技能培训,使公司全体职工对信息化建设的重要性和好处有了初步的正面认识。
自2008年至今,公司的信息化建设步入高速发展时期,全面铺开eRp系统和矿山数字系统建设。彬煤公司eRp系统计划投入资金1800万元,于2007年底完成方案设计和论证工作。2008年4月,通过招标方式,确定由陕西安源公司为开发单位,负责建设公司的eRp系统,由西安交大捷普公司为技术服务单位,负责信息系统的技术咨询、论证及技术服务工作。该系统分两个阶段实施,已于2010年6月基本开发完成并上线试运行。
据记者了解,彬煤公司eRp主要包括办公平台、工程管理、运销管理等22个子系统,目前系统已初步完成了设计目标:实现了数据集中管理、多层次维护,确保数据源的准确性、完整性和唯一性;同时实现信息采集和处理的及时性,准确地反映生产、经营状况;建立指标体系和辅助决策体系,提高管理、决策的系统性和科学性,实现了与行业和社会信息网络的互连;建立信息码头和信息仓库,在全局范围内提供全面的信息服务。
矿山数字系统是彬县煤炭的另一个重要信息系统。该系统计划资金约1亿元,主要包括井下安全监控与管理系统、生产控制与管理系及生产制造执行系统(meS)、矿山资源与环境监测管理中心三大部分。数字矿山系统运行上线后,企业可以实现井下探测、掘进、采矿、运输等设备的数据链集成与一体化控制管理;矿山地上地下实时三维数字化展示、矿产资源实时三维模拟;矿山环境监测与管理;全集团经营管理数据化、图形化、图表化,经营管理信息实时化、趋势化;资金管理集中化、统一化、科学化。
“两化”融合成效突出
在推进两化融合的过程中,公司成立了“彬煤公司信息化建设领导小组”,负责公司信息化战略规划的审查、项目实施进度考评等工作,将信息化建设作为“一把手工程”列人工作计划。为了保证信息化建设的顺利实施,公司将信息化建设资金纳入企业预算管理,设立信息化专项资金,集中投入,统一管理,专款专用。