工业网络安全管理范文精选
工业网络安全管理范文第1篇
关键词:烟草行业网络安全;资产;体系
近年来,在信息化飞速发展的同时,网络安全形势也日趋严峻和复杂。国家、行业以及各级主管部门,对网络安全工作越来越重视,要求也越来越高。多次强调“网络安全与信息化是一体之两翼,驱动之双轮”,“没有网络安全就没有国家安全”。网络安全工作已上升到国家战略层面。因此网络安全工作,除了关系到企业的自身利益外,也具有一定的政治意义。面对当前网络安全工作的新形势、新变化和新要求,以及烟草行业本身的特殊性。必须理清网络安全工作的方方面面,形成一套相对完整的网络安全工作体系,才能把网络安全工作做的有条理、更全面、更轻省、见成效。
1构建基于网络安全工作体系的原因
(1)网络安全工作的本质是保护信息资产的安全。近些年网络安全工作的开展,基本上也是围绕信息化资产来开展的。如2014年开展的烟草行业信息系统全面梳理、全面诊断、全面加固整改情况专项检查工作,2015年烟草行业信息系统账号安全专项检查工作,2016年开展的烟草行业信息系统应用安全专项检查及同年开展的工控系统摸底调查,2017年业务信息系统风险调研都是围绕信息系统资产开展的工作。2018年开展的烟草行业网络安全检查。将检查范围扩大到信息系统、终端计算机、网络架构、安全产品的配备和使用情况、以及网络安全主体责任落实情况等方面,也都是围绕企业信息化资产进行;2019年开展的企业重要数据和个人信息梳理工作是围绕数据资产开展。即将于2019年出台的网络安全等级保护制度,所针对的对象也是信息系统、基础网络、云平台、物联网、大数据、移动平台等信息资产。由此可见网络安全一切工作的根本和中心就是信息化资产。(2)缺乏系统的网络安全工作体系来指导工作开展。网络安全近几年才开始重视,大多数企业网络安全工作都是处在初级阶段,网络安全管理体系、技术体系、工作保障体系等还没有完全建立起来。网络安全工作错综复杂,大多数情况下,很多企业只是在做好日常网络安全管理工作的同时,跟着上级主管部门的要求来开展各类工作,工作往往非常被动。若有相关工作体系来指导,网络安全工作的开展将会更加主动。做起事来不至于东一榔头西一棒槌,能够清楚的知道“做什么,怎么做,什么时候做,做的效果如何”。
2基于信息化资产的网络安全工作框架设计
2.1基于信息化资产的网络安全工作框架简介
该图是烟草行业网络安全工作体系的基本框架设计图,由图可见,网络安全工作体系,以信息化资产为中心,以人和信息资产为管理对象,包含安全形势、政策体系、工作支撑体系、管理体系和技术体系5大方面。它的架构如同一座房子,由屋顶、地基、和墙体组成,房屋里面是保护和管理的对象,就是人和信息化资产;房屋上面的乌云就是威胁企业信息资产的各类安全威胁,就是安全形势;房屋的地基就是支撑企业网络安全工作所必须的机构、人才队伍、资金以及领导的支持;房顶就是根据国家政策、上级指示、相关部门的要求以及企业生产经营的需要所制定的企业网络安全方针、政策和规划;墙体有两大支柱,一个是网络安全管理体系,一个是网络安全技术体系。由此形成一套系统的网络安全工作框架。
2.2信息化资产
信息化资产是重要的管理和保护对象,明确管理和保护的对象是一切工作的前提。烟草行业信息化资产主要包含以下6大类。分别是信息系统类、网络安全产品、基础信息网络、机房基础设施、计算机终端以及其他信息技术产品。(1)信息系统类资产。信息系统,是指由计算机硬件、网络和通讯设备、计算机软件、信息资源、信息用户和规章制度组成的以处理信息流为目的的人机一体化系统。包括但不限于工控系统、物联网系统、云计算平台、大数据平台、采用移动互联技术的信息系统以及类似网站、营销信息系统、财务信息系统、人力资源信息系统、协同办公平台(OA)等常规信息系统。在企业内部,信息系统往往承载着企业重要业务的运行以及重要数据的存储和交互,对企业十分重要,是企业网络安全保护和管理的主要对象。如对卷烟工厂来说,工业控制系统是否正常直接关系到企业的生产活动能够有序进行,一旦系统遭到攻击导致数据丢失或者系统瘫痪,将直接导致生产停滞,造成大量经济损失。再如对商业公司来说,卷烟统一订货平台,承载重要卷烟零售户信息和卷烟销售信息,一旦出现信息泄露或者系统瘫痪,影响业务的同时也会对社会造成不良影响。(2)网络安全产品。主要用于网络安全工作中的技术保障,主要有防火墙、上网行为管理、堡垒机、日志审计、数据库审计、网络准入设备、网络认证设备、防病毒系统,等等。(3)基础信息网络。基础信息网络是为信息流通、信息系统运行起基础支撑作用的信息网络,主要包括企业局域网、电信网、互联网、业务专网等网络设施设备。(4)机房基础设施。机房基础设施是承载基础信息网络、信息系统主要硬件资源的动力和环境设施。主要包括机房精密空调,机柜,供电设备(含市电控制设备和UPS电源等),机房防火、防水、防盗、防静电、防雷击设备,机房监控设备和门禁设备等。(5)计算机终端。主要办公业务人员使用的计算机终端,主要有台式计算机、笔记本电脑、平板电脑、手机终端等等。(6)其他信息技术产品。主要包含打印机、复印机、传真机、液晶电视、LED大屏等信息技术产品。
2.3了解政策、形势、企业生产经营的需要是工作的方向和指导
必须准确把握国家的政策,上级指示和工作部署,有关主管部门的相关要求以及企业生产经营的需要,才能在网络安全工作上有的放矢,不至于抓不住重点。从党的十八大以来,国家高度重视网络安全工作,网络安全和信息化已经上升到国家战略。随着2017年6月1日《中华人民共和国网络安全法》的颁布实施,做好企业网络安全工作,保障企业正常生产经营,不仅关乎企业自身利益,也与国家、社会和人民群众的利益息息相关。必须把网络安全工作上升到一定的政治高度,树立法律意识。在此大环境下,也为企业网络安全职能部门开展网络安全工作提供了政策支持。
2.4机构、队伍、资金和领导支持是一切工作的保障
机构和人才队伍方面,对于烟草行业工商企业来说,由于企业规模较大,需要管理的信息资产和内外部人员较多,因此成立指导和管理网络安全工作的领导小组,并设立具体办事机构十分必要。岗位和人才方面,网络安全主管部门应设立系统管理员、网络管理员和安全管理员等岗位,企业各部门应酌情设立部门兼职网络安全员,协同开展网络安全工作。资金方面,在开展信息化项目建设的同时,应保证有一定的网络安全方面的资金,科学合理地开展网络安全方面的投资。领导支持方面,要极力寻求企业领导的支持,对企业领导加强关于网络安全方面政策、风险和责任的宣传,并对网络安全工作的开展提出有价值的建议,提高领导对网络安全工作的重视。只有领导重视,网络安全工作才能有效落实。
2.5管理体系、技术体系建设是做好网络安全工作的方法
烟草行业信息网络定位为非涉及国家秘密网络,在网络安全防护方面采用管理和技术相结合的方式。网络安全管理体系和技术体系是网络安全保障体系的重要组成,二者相辅相成,互相促进。在实际的应用过程中,网络安全管理和技术手段之间并没有特别明确的界限。管理措施往往需要技术手段来实现,技术手段往往需要通过管理措施体现效果。网络安全管理体系和技术体系必须围绕企业信息化资产来设计。
2.5.1网络安全管理体系
(1)建立网络安全责任制。只有建立全员的网络安全责任体系,明确各责任主体的责任,才能将网络安全责任层层分解、层层落实,做到网络安全工作人人有责、全员参与。责任体系的设计应按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则,以“人—资产—权限—责任”对应关系为抓手,建立起以人员为主体,信息化资产为客体的网络安全责任体系。(2)完善网络安全管理制度体系。完善的制度体系是做好网络安全管理工作的前提和保障,应针对安全管理活动中的主要管理内容建立基于企业信息资产安全管理制度,形成由安全策略、管理制度、操作规程、记录表单等构成的全面的信息安全管理制度体系。目前烟草行业已建立的网络安全相关制度主要有《信息资产安全管理制度》,《信息安全管理办法》,《机房安全管理制度》,《网络安全管理制度》,《网络安全检查管理制度》,《服务器安全管理制度》,《信息系统用户及密码管理制度》,《信息系统数据备份及恢复管理制度》,《介质安全管理制度》以及《网络安全事件应急预案》等。基本上涵盖了对信息系统、终端计算机、机房基础设施、数据资产等信息化资产的安全管理内容。但是对于工控安全、云计算安全、大数据安全、物联网系统安全等方面制度尚不健全。(3)加强内外部人员管理。针对企业内部员工,要在人员录用环节和离岗环节加强管理,做好录用时的资格审查、技能考核以及安全保密协议的签订工作。离岗时做好相关设备、账号及权限的移交工作。在岗员工要加强网络安全意识培训,针对网络安全管理人员要加强网络安全相关技术和管理能力培训。针对外来人员(如第三方运维人员,外来访客等)要加强外来人员访问管理,确保外部人员接入网络访问系统前提出书面申请,批准后由专人开设账号,分配权限,并登记备案,外部人员离场后应及时清除其所有访问权限。(4)建立网络安全管理台账。拥有一套详细的网络安全管理台账,是做好网络安全工作的基础。通过台账网络安全管理人员能够清楚知道自己需要管理哪些对象,开展网络安全工作能够做到心中有数。下图是在日常网络安全工作中所需要的常见的几种网络安全管理台账。(5)建立良好的沟通协调机制。网络安全工作并非网络安全主管部门这一个部门的责任,更不是网络安全管理员一个人的责任,乃是全体人员共同的责任。应加强各类管理人员之间、组织内部机构之间以及信息安全主管部门内部的合作与沟通。作为网络安全主管部门应经常向企业领导层汇报网络安全工作开展情况及存在的问题和处理建议。必要时组织召开协调会议,与企业其他部门共同协作处理网络安全问题。同时应加强与上级主管部门、兄弟单位、公安机关、各类供应商、业界专家及安全组织的合作与沟通。建立上下贯通、左右协同、内外兼顾的网络安全工作协调机制。(6)信息化项目建设管理。应按照“三同步”(同步规划设计、同步实施、同步投入使用)原则开展网络安全和信息化项目建设工作。尤其在信息系统类项目建设过程中做好系统的定级和备案,安全方案设计,工程实施,测试验收,系统交付,等级测评等环节的工作。同时相关产品的采购和使用要符合国家相关规定的要求。(7)规范运维管理。制定相关运维管理制度,按照制度要求,规范运维管理工作。可以采用“日查月分季评”制度,通过开展网络安全日常巡检,月度事件分析,季度通报评价,建立安全运维长效机制。通过梳理和分析设备运行状况,做好设备维护,提高信息资产的可靠性、稳定性。通过规范网络设备、信息系统、终端计算机等信息资产的配置管理,账号密码管理,漏洞管理,变更管理,备份与恢复管理,安全事件处理,降低安全风险。通过堡垒机(运维审计设备)设置内部运维人员和第三方运维的运维权限,规范技术运维工作,规避运维风险。(8)应急保障。应制定突发网络安全事件的应急预案,预案至少包括风险分析、组织架构与职责、监测与预警、应急处置流程、预防工作、保障措施等内容。定期对相关人员进行应急预案的培训,并开展应急演练。通过演练提高相关人员处理突发安全事件的能力,并做好应急预案的评估和修订工作。(9)风险管理。仅从方法论来看网络安全风险管理,其过程涉及信息系统、基础网络等企业信息资产的全生命周期,包括规划、建设、运行、废弃等阶段的风险管理。通过安全自查、安全检测、认证和风险评估作为发现和识别风险源的手段,进而建立风险源清单,评估风险指数,进而结合实际情况开展安全加固,形成针对网络安全风险的闭环管理。(10)强化检查考核。定期开展网络安全检查,有助于进一步摸清风险状况和查找薄弱环节,有助于进一步增强员工网络安全意识、落实网络安全责任、明确网络安全保障重点,及时进行整改,从而加强网络安全管理和技术防护能力,全面提升网络安全防护能力。对于检查要制定详细的切实可行的检查标准和细则;对于整改要制定计划,按计划落实到位;对于考核要有力度,能够引起全员重视。
2.5.2网络安全技术体系
以信息资产为安全保护对象,从物理与环境、网络与通信、设备与计算、数据与应用4个层次,进行身份认证、访问控制、数据与内容安全、监控审计、备份恢复五个环节的安全防护。通过建立安全技术框架,能够清楚知道企业当前网络安全技术水平和存在的短板,结合自身实际,按照科学合理的原则,分步进行网络安全加固项目的投资实施。对烟草行业大多数企业来说,网络安全技术保障方面的建设可以按照以下几个阶段开展。第一阶段,弥补基础设施的不足,主要包含机房基础设施,如UPS电源,防火设备;网络设备,如关键节点网络设备的冗余;服务器主机及存储等。第二阶段,优化网络结构,实现分区分域管理,将网络划分成服务器区,生产区,办公区,DMZ区,互联网接入区,行业网接入区等区域,并用防火墙等网络隔离设备进行访问控制。第三阶段,抓好终端安全管理,网络准入管理、病毒防护、入侵防御等工作,。第四阶段,攻坚克难阶段,针对工控安全、移动互联安全、大数据安全制定专门的解决方案。第五阶段,建立安管平台,实现网络态势可视化管理。
3基于信息化资产的网络安全工作体系建设对网络安全工作开展的作用
(1)基于信息化资产的网络安全工作体系,是全面围绕企业信息资产开展网络安全工作,其组成由政策体系、安全形势、管理体系、技术体系、支撑保障体系有机结合。能够帮助企业决策层了解网络安全工作的方方面面,并全面指导网络安全主管部门开展工作。如对照体系架构,能够辅助制定企业网络安全规划、年度网络工作要点和工作计划,查找安全方面的薄弱环节,落实整改等。(2)基于信息化资产的网络安全工作体系框架图的建立过程,即是网络安全工作目录的建立过程。能够帮助网络安全工作人员形成工作资料库,及时将工作相关资料按照目录进行归档。在面对各类安全检查及工作总结的时候方便资料收集检索。
4结束语
基于信息化资产的网络安全工作体系基本涵盖了当前烟草行业网络安全工作的方方面面,但是随着信息化的发展,安全形势的不断变化,也会出现新的要求,尤其是云计算、大数据、物联网、移动互联、人工智能等新技术的逐步广泛应用,基于信息化资产网络安全工作体系也会在此基础上逐步完善。
参考文献
[1]聂君,李燕,何扬军.企业安全建设指南[M].北京:机械工业出版社,2019:1-436.
[2]蔡晶晶,李炜.网络空间安全导论[M].北京:机械工业出版社,2017:1-272.
工业网络安全管理范文第2篇
关键词:工业网络;安全防护
随着计算机和网络技术的发展以及国家“工业4.0”“两化融合”战略的推进,智能化工厂建设已成为企业节本降耗、提质增效的必由之路,对于工业控制系统而言,它必将成为智能化工厂整体设计架构中的重要组成部分。生产控制信息将贯穿于企业生产经营管理全过程,工业控制系统相对独立的运行环境正在被打破,工业控制系统面临着来自外部越来越多的安全威胁。尤其是化工流程行业高温高压、易燃易爆的特点,一旦工业控制系统出现问题,后果将极其严重。
一、行业现状分析
目前化工流程行业普遍运用数据采集与监控(SCADA)、分布式控制系统(DCS)、过程控制系统(PCS)、可编程逻辑控制器(PLC)等工业控制系统控制生产设备的运行。长期以来工业控制系统始终把稳定性、延时性、可操作性等作为重要的性能指标,很多企业对于工业网络安全没有足够的重视,管理制度不健全,技术防护措施不到位,有的企业甚至基本上没有任何防护措施,由于担心对操作系统的影响,不敢轻易对系统实施升级和漏洞补丁的操作。为了实现管控一体化,很多企业将工业控制网与企业管理网络甚至是与互联网进行了连接,且采取的防护措施也很简单,通常只是用一台上位机将工业控制网和管理网连接到一起,这种安全防护措施极易被攻破,在高度信息化的同时也减弱了工业控制系统的安全性,病毒、木马等威胁正在向工业控制系统蔓延,工业网络病毒、工控设备高危漏洞、外委设备后门、无线技术应用的风险等诸多因素对工业控制系统的安全造成了极大的威胁,工业控制系统安全问题日益突出。
二、安全防护技术探讨
1.工业控制系统病毒种类和传播途径分析。
工业控制系统受到攻击一般都是先感染病毒,系统被感染后会出现两种情况,一是系统运行效率下降,常出现运行速度慢和死机现象;二是系统被黑客利用病毒所控制,对系统进行操作。近年来出现的震网病毒、Duqu病毒、Flame病毒和Havex病毒都是针对工业控制系统的病毒,这些病毒的传播途径一般是通过互联网散布,通过互联网感染企业管理网络计算机或移动存储设备,通过管理网络和移动存储设备感染工业控制网络。目前很多化工企业用于生产控制的是DCS系统,针对这些DCS产品实施攻击是很容易做到的,因为这些DCS产品的协议参数、标准规范、接口参数等信息对于攻击者来说是很容易得到的,制作出有针对性的攻击程序技术难度也不大,攻击的关键就是如何使这些程序侵入到工业控制系统之中,这既是攻击者想方设法所要做的事情,也是防御者的工作重心。以震网病毒为例进行分析,震网病毒是一种基于WINDOWS操作系统平台的专门针对工业控制系统的蠕虫病毒,它具有传播能力强、能自我复制、隐身性好等特点,还具有多种扫描和渗透机制,该病毒可以根据环境不同做出相应的反应。震网病毒的攻击手段常常以黑客技术发动首次攻击,入侵到工业控制系统后进行蔓延、复制,渗透到更深层次的控制单元中,从而达到控制系统的目的。
2.工控安全防护理念的演变。
(1)强调网络隔离,一般是采用网关、网闸、单向隔离设备等硬件隔离技术,这些防护手段属于被动防护,起到抵御和阻挡威胁侵入的作用。但被动的防御是脆弱的,现代高端持续性攻击都是有针对性的应对这些隔离技术,只要是有物理连接,那攻破这些隔离设施只是技术上的问题。
(2)传统信息安全厂商提出了纵深防御体系的理念,其性质也是属于隔离的范畴,只不过是对传统隔离技术的一种演变,基本上是诸如防火墙、动态入侵检测(IPS)等一些信息安全设备的一种简单的堆砌,不能完全适应工业控制网络安全的特点。
(3)以工业控制系统生产厂家为代表的,基于产品端的持续性防御体系,其理念是基于工控产品硬件创新以提高其安全性,这种理念适应工业控制系统高可靠、低延时、可定制以及简单化的实施和操作等特点,这就需要制造厂家与客户之间需建立一种长期的合作关系,费用相对也较高。
(4)以攻为守的防护策略,通过注重攻击技术的研究以提高攻击技术,从而带动防御技术的提高,以此为基础衍生出多种检测技术和风险评估方法,运用这些技术和方法建立诸如离线威胁管理平台、威胁评估系统等工具挖掘系统漏洞,寻找安全渗透攻击,发现隐患及时报警或消除,这些技术和手段属于主动防御。
3.攻击技术分析。
(1)网络扫描技术分析。
工业控制系统网络协议对延时性很敏感,实施硬扫描通过占用资源对延时造成影响,就很有可能致使整个网络瘫痪。单单是进行简单的网络扫描操作,就可以达到中断系统服务的目的,在网络扫描过程中,如果发现防火墙、网关之类的网络保护设备,凭借基本的黑客技术,通过实施DOS攻击就可以达到目的。如果不希望系统崩溃,只是通过扫描获取相关设备信息,那就可以采取软扫描的方法进行目标系统定位,之后再根据系统的网络协议的特性进行后续扫描。通过扫描可以识别出关键设施保护设备及其属性,可以得到设备的各类同步信息,还可以发现DNP3的从属地址和相应的逻辑关系。
(2)账户破解技术。
目前大部分工控系统都是基于WIN-DOWS操作系统的,因此一些通用的专门破解WINDOWS账户的软件工具和方法同时也可以应用到破解工业控制系统上来。OPC是以OLE和COM机制作为应用程序的通讯标准,DCS系统可以通过OPC与外界建立联系,账户破解后通过主机认证就可以全面控制OPC环境,对DCS系统实施双向的数据通讯。若无法获得底层协议认证,也可以通过枚举方法破解系统人机界面用户信息,进入人机界面就可以直接控制管理进程,窃取各类信息。以上两种技术只是众多攻击技术的代表,攻击技术种类繁多,且还有多种复杂的变换,但最终目的就是要入侵到系统中来,所以防御和捕获技术的研发是关键,两者应结合运用才能保证系统安全。目前各类防御系统较多,但捕获技术应用较少,在入侵来源识别、I/O接口监控、动态检测分析和系统运行检测等方面开展工控系统保护工作效果将更加明显。
三、安全防护管理探讨
技术是手段,管理是保障,建立完善的工业控制网络安全管理体系对于安全防护更为重要,管理体系架构应包含以下六部分:
1.建立完善的组织机构。
企业要结合本单位实际,制定网络安全工作的总体方针和策略,明确本单位网络安全工作的总体目标、范围、原则和安全框架。应有专门的部门具体承担网络安全管理工作,组织制定和落实网络安全管理制度,实施网络安全技术防护措施,开展网络安全宣传教育培训,执行网络安全监督检查等。
2.加强人员管理。
建立相关岗位人员上岗管理规定,进行相关教育和培训、考核,与关键岗位的计算机使用和管理人员签订网络安全与保密协议,明确网络安全与保密要求和责任。建立相关岗位人员离岗管理规定,人员离岗时应终止其系统访问权限,收回各种软硬件设备及身份证件、门禁卡、UKey等,并签署安全保密承诺书。建立外来人员管理制度,外来人员访问机房等重要区域,应履行审批手续。
3.重视存储介质管理。
建立存储介质安全管理制度,对移动存储介质进行集中统一管理,记录介质领用、交回、维修、报废、销毁等情况。严格限制USB接口的使用,严格存储阵列、磁带库等大容量存储介质的管理,采取技术措施防范外联风险,确保存储数据安全。严格控制在工业控制系统和公共网络之间交叉使用移动存储介质以及便携式计算机。
4.规范网络管理和运维工作。
建立网络安全管理和日常运行维护管理制度,制定运维操作规程,规范日常运维操作记录。建立安全风险控制流程,采取书面审批、访问控制、在线监测、日志审计等安全防护措施进行安全风险控制。日常维护要建立巡检表,对网络监控日志和设备日志进行管理,定期审计分析,发现安全风险或问题,及时进行处理。严格口令管理,及时更改产品安装时的预设口令,杜绝弱口令、空口令。建立涉密计算机管理制度,对涉密计算机进行重点监控,严禁涉密计算机接入互联网。
5.严格外包服务机构的管理。
工业网络安全管理范文第3篇
摘要:随着互联网信息技术的进步,信息化技术为企业发展注入了新的生机与活力。经济全球化时代,信息技术与企业发展联系越来越紧密,烟草企业迎来了新的机遇与挑战。在烟草企业构建安全信息化系统有利于工作效率及质量的提升,推动烟草行业高质量发展。研究分析了烟草企业信息化建设现状及安全管理的重要性,构建了安全信息化系统,以期为烟草企业安全、稳定发展提供可靠的参考。
关键词:安全信息化系统;烟草企业;安全管理;系统功能;网络信息安全
0引言
作为特殊商品类型,烟草自身价值高,但安全系数低,存在火灾、霉变等安全隐患,一旦遇到明火将会导致大面积火灾,对烟草企业发展造成难以挽回的损失,甚至威胁工作人员人身安全,因此加强烟草企业安全管理尤为重要[1]。传统烟草企业安全管理存在管理手段落后、信息更新不及时、管理措施执行性不强等问题,信息技术的发展则为烟草企业管理提供了多元化路径。在互联网信息技术支持下,能够建立完善的信息化安全平台,保证烟草企业持续稳定发展。信息化建设应贯穿烟草企业生产、经营的方方面面,强调安全管理的重要性,引入监控功能,建立网络信息安全系统,构建案例管理系统,能够保障烟草企业安全管理效果。
1烟草企业信息化建设现状
基于现代互联网信息技术的发展,烟草企业信息化建设已经初具规模,烟草行业办公实现了自动化,烟草企业生产经营及销售过程中产生的数据均能够在大数据系统中查询与保存,通过数据分析为烟草企业宏观调控及经营决策提供参考依据。目前党和国家相关政策强调,在烟草企业管理过程中注重信息化技术的应用,引导烟草企业的发展,实现规范化管理与良好的组织建设。从烟草企业信息化建设现状看,大部分已经实现互联互通。在网络信息技术支持下,烟草企业网络运转管理得到了增强[2],但安全信息化系统尚不完善。目前,大部分烟草企业在信息化构建及工作检查方面仍凭借个人经验,缺乏完善的标准,或执行者对检查标准不明确,未能掌握潜在的隐患,缺乏强有力的整改措施,直接影响烟草企业正常生产活动,在安全管理及事故预防方面缺乏完善的制度保障与科学决策,使得烟草企业安全生产面临着严峻的挑战的巨大的压力[3]。目前,烟草企业安全生产面临的风险主要包括火灾、车辆伤害及机械伤害等,其中以车辆违章尤为常见,不仅增加了道路交通管理工作压力,而且埋下了诸多安全隐患。部分烟草企业对安全生产缺乏足够的重视,安全监管落实不到位,未能针对租赁场所、劳务服务以及设备安装维修等项目制定详细的安全管理制度,缺乏有效的监管,部分企业尽管设立了监管部门,但流于形式,难以从根本上消除隐患,控制风险事件的发生。安全管理人员综合素质参差不齐,人力资源配备不到位,缺乏专业培训。2020年国家信息部、工业部引发的关于互联网+安全生产的通知强调,应积极进行安全生产专项整治,贯彻落实安全信息化手段,实现信息资源的共享,同时缓解相关工作人员的负担,能够及时对安全隐患进行预测。部分烟草企业在内部建立了涵盖财务、配件、设施、安全管理等在内的信息系统,但在安全管理信息化建设方面尚存在一定的不足,系统模式单一,可借鉴的经验缺乏,系统运转过程中容易发生冲突,制度不健全,整体性能不佳,需要进行进一步夯实。
2烟草企业安全管理的重要性
作为烟草企业的基础,安全管理事关烟草企业的持续稳定发展,同时也与相关工作人员身体安全密切相关。当前烟草企业大部分为卷烟与烟叶,价值高,作为一种特殊商品,其安全系数低,一旦出现火灾将会造成难以估量的损失。从当前烟草企业发展现状看,大部分未能意识到安全管理的重要性,将安全管理视为可有可无,相关管理措施未能深入落实,对工作人员的培训走形式化、应付检查,片面强调利益,仍需要规范化的安全管理机制,在保障生产管理效率的同时,将生产成本控制在合理范围内,为企业长期、稳定发展注入力量。目前,国家对于企业安全管理给予了高度重视,对安全生产提出了更高的要求,出台一系列安全生产政策,并对现有的安全生产法律法规予以完善、修订,明确了企业安全生产的底线与目标,强调了安全生产的重要性。新《安全生产法》中明确提出要重视企业安全管理,建立奖惩制度,加大了对安全生产违法行为的处罚力度,对于性质恶劣、情节严重者追究法律责任。基于当前信息技术的进步及信息设备的更新,烟草企业的数字化转型成为不可阻挡的潮流趋势,应注重信息化与烟草生产的融合创新,打造“平台+数据+安全”平台,注重个人信息保护,加强数据安全管理,建设主动预警机制,制定风险处置与应急措施[4]。
3烟草企业安全信息化系统的构建
3.1安全信息化系统整体架构
信息化与工业化、商业化等交织发展,推动了烟草企业的改革与进步,在构建烟草企业安全管理平台时,应设立合理的烟草企业发展目标,规划长期发展战略,对安全信息化系统予以优化管理,综合现有的资源与数据资料,集成分析设计。研究搭建了一个安全平台、建立两大安全支撑体系、实现三级全员覆盖、采用六层技术架构设计、实现安全事故为零,其架构见图1。设施设备层:是安全管理落实到对象,责任到主体的基础实施前提条件。智能感知层:通过各种先进传感器,对物理世界真实数据智能进行感知,是实现数据驱动安全精益管控的基础必备手段。数据接入层:主要承担将传感器数据、设备数据以及其他信息系统数据采集并上传到平台的作用,通过数据接入层实现安全全量数据汇聚。数据平台层:主要负责安全大数据存储、分析并基于安全实际业务和管理需求,对安全数据进行可视化、3D建模、算法模型建立以以及API调用等;该层是安全管理的核心“决策大脑”。应用管理层:主要基于安全管理基础台账和标准,实现面向七个具体业务场景的管理,是从决策到执行的具体落地抓手。业务访问层:该层主要实现跨平台、跨地域、跨环境的快捷访问。
3.2搭建设备安全管控平台
采用先进的云计算和工业互联网技术搭建永州烟草安全精益监管云平台,通过物联网、移动互联网、5G技术进行安全相关大数据采集和集成,实现安全台账全生命周期动态管理、安全标准统一管理、设施设备统一接入、隐患消缺数据人工智能建模。最终达到安全监管对象能感知、过程能管控、结果能验证、隐患能分析、事故能预防的根本目标。其安全管理系统如图2所示。烟草企业设备安全管控系统主要由集控平台、网络传输与安全监控等部分构成,其中集控平台与互联网相连接,能够有效控制生产设备,调整生产环境,并对设备运行期间的参数予以监控,监测结果上传至安全监控中心,能够实现对系统的控制管理[5]。集控平台能够对视频监控、设备状况予以检测,具有报警功能与语音对讲功能,采用联动策略构建了集光、声、影等为一体的设备安全管理体系。
3.3全过程监控系统
为保障烟草企业信息安全,需要构建安全管控平台,结合烟草企业安全管理情况,应加强平台信息化管理,引入监控系统,提升监控水平,优化子系统流程与功能,保障烟草企业安全信息化,达到全面、统一的管理,解决企业设备投入不足、安全管理缺乏等问题。如在烟草企业安全管理工作中,应要求构建专门的安全检查机构,并针对安全管理问题制定详细的标准与细则,加强对烟草企业现场生产的监测,及时发现问题并予以整改,防患于未然,做好各项检查,可借助LEC评价法信息化评估安全隐患问题。若获得的结果与安全管理标准不相符,那么可以采用自动化的方式对风险问题进行分析,挖掘存在的隐患,并及时向相关工作人员发出警告,做好及时发现、及时处理[6]。不仅如此,烟草企业应构建科学的考核机制,加强对工作人员的培训与考核,掌握烟草企业常见的安全风险及管理措施,提升专业人才队伍创新能力。不仅如此,应改变烟草企业安全管理思路,加强管理人才培养,建立完善的机制,积极开展TWI一线督导工具培训,做到具体问题具体分析,准确应对平台预警提示,保障烟草安全管理措施的高效落实。
3.4智能风险管理系统设计
作为烟草企业信息化管理的核心,风险管理在整个烟草信息化安全管理中发挥着极为重要的作用,其主要涉及数据风险、设备风险以及信息风险等,与烟草企业生产效率及产品质量有着密不可分的关系,做好风险管理,可帮助烟草企业建立起核心竞争力。智能风险管理系统如图3所示,通过建立有效的安全设施设备物联管理机制和制度,运用先进的物联网、传感器、云计算、大数据、移动互联网手段,确保安全监管对象安全可靠运行。建立统一规范的安全标准库,明确各监管对象的安全标准和各作业活动的安全规范,实现安全精细化管控。两大安全支撑体系的构建能够满多角度安全状况分析,实现报警、统计、报告等多重功能。智能风险管理系统能够根据报警、配置等情况分析事件,依据的主要是短消息、邮件等。智能风险管理作为安全管理的神经末梢,覆盖整个网络所属区域的实时分析,及时发现各类风险,并将其作为风险事件向管理中心汇报。
3.5网络信息安全
近年来,烟草企业发展受到了国家及政府的高度重视,并针对企业信息安全管理出台了一系列相关政策,以提升企业信息管理效果,保障系统运行环境的安全性,注重对安全服务及安全制度等的建设,其将安全保护对象作为基础,所构建的安全管理体系不仅囊括安全技术,而且设计了合理化运行体系,注重运营绩效的提升,转变传统安全管理观念[7]。另外,针对烟草企业安全管理的短板问题与瓶颈问题,应落实动态化管理,构建一体化闭环管理。经过信息系统测评,能够对重要的信息进行评估,最好备份,提升了烟草企业边界防护能力,有利于建立更为安全、可靠的网络信息信任体系。首先应构建完善的安全组织体系,对现有的安全信息管理方案及制度规定、流程等进行修订与完善,制定安全事件应急响应与处理策略,建立网络安全事件的响应机制,并由专门的监督机关进行审查管理[8]。在局域网与广域网接入区域、互联网接入区均应部署防火墙及其他防御系统,同时安装终端安全管理系统与漏洞扫描系统,及时发现安全管理区域存在的安全问题,对管理员行为进行监控,应用身份认证、双因素认证等方式,做好身份鉴别,提升管理安全性。另外,要结合烟草企业发展实际问题,制定详细的管理对策,打造安全、稳定的设备运行环境。最后要对信息系统进行定期维护与管理,做好差距分析与风险评估,积极进行漏洞扫描,加固安全防御。
3.6嵌入内联网与物联网网络
随着现代互联网信息技术的发展,还应紧跟时展,设立二维码、智能门禁等物联网技术,为业务流程的顺利开展提供保障,与此同时采取安全管理技术,注重信息安全性,提升安全管理效果。强化烟草安全管理系统的保障功能,对各项基础设备进行更新与优化,夯实基础,认真梳理烟草企业安全管理的各个环节,包括质量监测、能源监测及职业风险健康监测等,针对重点流程应强化风险控制。充分利用大户数的评估技术与智能诊断技术,找到烟草企业发展的短板,改进业务流程。以“识风险、除隐患、防事故”为基本思想,将工业互联网、物联网、移动互联网、云计算、大数据、人工智能、5G等新一代信息技术与安全管理深度融合,构建一体化管理平台,完成智能搜索、数据挖掘等,从而更好地对接各个指标、设备等,优化管理流程。
4结束语
综上所述,烟草企业安全管理与企业发展密切相关,构建安全信息化系统能够实现对烟草企业全方位安全管控,完善安全信息化体系,保障烟草企业生产运行与经营管理的安全性,自上而下构建具有信息化特征的安全管控平台,提升生产效率与产品质量,将安全隐患扼杀在摇篮里,推动数字化烟草的安全构建。
作者:蔡建平 单位:永州市烟草公司道县分公司
建筑土木工程问题2
当前大数据、人工智能、云计算、物联网、虚拟技术等信息技术的高速发展,促进在线教育和教育领域信息化迅速发展。开放大学是以现代信息技术与远程教育深度融合为支撑,满足全体社会成员终身学习需要为目标的新型高校。随着开放大学承担的终身教育规模不断扩大,在线学习人数不断增多,对网络安全的要求也越来越高。基于网络安全等级保护2.0构建开放大学网络安全体系,为学习者提供安全可靠的网络环境是至关重要的。
1网络安全等级保护2.0标准
2019年5月,国家标准化委员会了包括《网络安全等级保护基本要求》、《网络安全等级保护测评要求》、《网络安全等级保护安全设计技术要求》的网络安全等级保护2.0国家标准体系(以下简称等保2.0标准),推动了新形势下网络安全等级保护工作。2.1等保2.0标准的特点网络安全等级保护制度是国家网络安全工作的基本制度,是履行安全保护义务、保障网络免受破坏、防止网络数据被窃取篡改的基本方法,等保2.0具有以下特点。(1)等级保护的对象更加广泛。等级保护2.0的对象更加广泛,包括基础信息网络、物联网、信息系统(含采用移动互联技术的系统)、大数据应用/平台/资源、云计算平台/系统、工业控制系统等。(2)构建了统一的网络安全体系结构。等保2.0标准采用系统化的设计方法,贯彻纵深防御和精细防御的安全保护理念,构建“一个中心,三重防护”的网络安全体系结构,形成了在安全管理中心统一管理下,安全计算环境、安全区域边界、安全通信网络层层防护的综合保障技术体系,规范了信息系统等级保护安全设计技术要求。(3)强化了可信计算技术的运用。可信计算是基于密码的计算机体系架构安全技术,等保2.0标准将可信计算技术的运用贯穿到各个安全保护级别,在安全计算环境、安全区域边界、安全通信网络均提出可信验证要求,实现网络安全保护由被动防御转变为主动防御、动态防御,实网络安全等级保护。2.2等保2.0标准的架构与内容概述2.2.1等保2.0标准的架构等保2.0构建“一个中心,三重防护”的网络安全体系结构,贯穿整体防护、精准防控、主动防御、动态防御的安全保护理念,形成安全通用要求+新应用安全扩展要求的架构,对各个级别的网络安全保护要求分为安全通用要求和安全扩展要求。2.2.2等保2.0标准的内容(1)安全通用要求(2)安全扩展要求安全扩展要求针对个性化保护需求提出,需要根据安全保护等级和使用的特定技术或特定的应用场景选择性实现安全扩展要求。等保2.0针对云计算、移动互联、物联网、工业控制系统提出了安全扩展要求。
2开放大学网络安全现状
随着开放大学在线学习者规模越来越大,与互联网技术进一步深度融合,学习过程和课程资源等数据不断增加,学习者信息化知识水平参差不齐,网络安全意识不强,网络安全问题越来越突出。
2.1网络安全管理不到位
在网络安全管理方面存在重视力度不足、落实等级保护制度2.0情况不佳、管理职责不明确、管理制度不完善、人员安全意识薄弱等问题。2.1.1网络安全重视力度不足网络安全设备设施不足,主要依靠防火墙设备,而上网行为管理系统、防病毒网关、安全审计系统、态势感知系统的应用率很低,防护类型单一。2.1.2落实等级保护制度2.0情况不佳等级保护制度2.0在2019年开始实施,开放大学未能及时落实等级保护制度2.0标准开展等级保护测评。2.1.3网络安全管理不到位(1)网络安全管理制度不完善。开放大学只有日常管理规范和操作表格,管理制度不够完备,没有跟随国家相关法律法规尽快出台相应的日常管理规范和操作规程。(2)网络安全管理职责不明确。网络安全专职人员的配置无法满足工作的需求,网络安全管理机构职责不够明确,网络安全管理制度没有发挥作用。(3)网络安全管理人员安全意识薄弱。网络安全管理人员持有相关证书的人数偏少,缺乏足够的网络安全培训,安全意识和业务能力没有保障。
2.2网络安全技术层面存在的风险
当前基层开放大学网络安全形势严峻,主要是网络探测与攻击、DDoS攻击增多、校园网内部漏洞多等。(1)校园网内部存在漏洞。校园网中各种网络设备存在系统漏洞和缺陷,入侵者利用这些漏洞进行非法操作。(2)基层开放大学网络应用系统容易受到攻击。为满足基层开放大学办公、教学等方面的需求,校园网内搭建了教务管理等应用网站,攻击者利用应用网站漏洞上传木马病毒。(3)受到分布式拒绝服务(DDoS)攻击快速增长。基层开放大学的教务管理系统、数字图书馆、办公OA等应用都在互联网线上开展,不法分子运用分布式拒绝服务攻击方式,无限制消耗系统和网络资源,使得学校无法向学习者提供正常服务。(4)校园网内网络病毒、木马程序层出不穷,蔓延迅速开放大学校园网用户规模大,因用户安全意识淡薄,没有使用杀毒软件,造成网络病毒、木马程序泛滥。
3基层开放大学网络安全体系的构建
网络安全等级保护2.0国家标准体系已实施,基层开放大学应严格按照“一个中心,三重防护”的理念,构建包括网络安全管理体系和网络安全技术体系的网络安全体系,为学习者提供安全可靠的网络环境。
3.1构建开放大学网络安全管理体系
要做好开放大学的网络安全工作,关键是做好网络安全管理工作,全面提升“三分靠技术、七分靠管理”的意识,要按网络安全等级保护2.0国家标准体系的第四级安全要求,建设网络安全管理体系。3.1.1建立完善的开放大学安全管理制度体系开放大学建立由安全策略、管理制度、操作规程、日常工作台账等构成的安全管理制度体系,一是安全策略方面,制定《网络安全工作总体方针》;二是管理制度方面,制定《网络安全事故处理及应急预案》、《数据备份与恢复管理规定》、《网络与系统安全管理规定》、《中心机房安全管理规定》、《信息系统建设管理规定》、《外部人员访问校园网管理规定》等;三是操作规程方面,制定《数字化校园系统操作手册》、《协同办公系统(OA)操作指南》、《信息系统运维操作规程》等;四是日常工作台账方面,在日常网络安全工作中,每项具体的事项应以台账的形式做好记录。3.1.2设立安全管理机构、打造网络安全专业团队(1)设置网络安全管理机构一是成立网络安全与信息化建设领导小组,由校长担任组长;二是成立网络安全及信息化办公室,职能是负责学校网络安全管理工作;(2)加强网络安全人员管理,打造网络安全专业团队一是制定学校岗位职责时,完善网络安全及信息化办公室岗位设置,设立系统管理员、专职安全管理员、安全审计员等岗位,并定义这些岗位的工作职责。二是制定学校的人事管理制度时,明确网络安全管理人员的录用条件、资格审查、技能考核、离岗要求等,与录用人员签订保密协议,约定保密范围、保密内容等。三是加强教职工网络安全培训,主要加强安全意识、基本安全知识、安全责任教育。四是加强网络安全及信息化办公室人员的培训和考核,主要是网络安全专业技能方面的培训,半年进行一次技能考核。3.1.3加强网络安全运维管理运维管理是网络安全日常工作最重要的部分,包括学校中心机房的管理、数字资产的管理、设备维护、网络与系统安全管理、安全事件的应急及处置管理、漏洞扫描及渗透测试等工作。(1)严格落实《中心机房安全管理规定》,按等保2.0标准配置中心机房的物理环境并定期维护管理,部署视频监控系统、门禁系统,建立中心机房出入登记台账,建立中心机房基础设施维护台账。(2)高度重视全面网络安全检查工作。每年完成一次渗透测试、每半年开展一次漏洞扫描、不定期进行恶意代码检测等安全测评,建立安全测评整改台账,加强恶意代码防范,严格落实安全测评整改责任到人,快速准确排除安全漏洞和隐患。(3)严格落实《网络与系统安全管理规定》,规范安全策略、账户管理、配置管理、日志管理、日常操作、升级及打补丁、口令更新周期等方面的管理,建立网络和系统运维台账,严格控制远程运维权限和运维工具的使用,做好审计日志的存档,加强密码管理,密码技术和产品务必要遵循国家标准和行业标准。(4)制定《网络安全事故处理及应急预案》,明确不同等级安全事件报告及处理流程,明确跨单位安全事件报告和处置机制,规定统一的安全事件应急预案,高度重视应急预案演练,上下半年各开展一次应急预案演练,根据演练情况修订完善应急预案。
3.2构建开放大学网络安全技术体系
开放大学根据等保2.0标准纵深防御和精细防御的安全保护理念,按照“一个中心,三重防护”的网络安全体系结构要求,结合开放大学的安全保障实际,推进包括安全计算环境、安全区域边界、安全通信网络等方面的网络安全技术体系构建。3.2.1重视网络基础设施的安全防护网络基础设施的安全是网络安全的前提,一要做好电源线和通信线缆隔离铺设;二是做好中心机房的防盗窃、防破坏、防水、防火、防潮、防雷、防静电等措施;三是配备稳压器和UPS后备电源;四是做好各教学楼的网络设备的安全。3.2.2根据等保2.0标准,重新部署开放大学校园网安全通信网络体系(1)重新规划学校校园网的网络拓扑,调整路由器、交换机和防火墙等部署,确保关键设备的硬件冗余和通信线路冗余。(2)结合校园网络和信息系统应用的实际,采用VLAN和防火墙技术,重新划分学校的网络系统区域,并在各区域之间部署网络安全设备,设置安全策略,确保不同区域之间完全隔离,保障各区域的安全。3.2.3加大投入,构建完善的安全区域边界一是根据等保2.0标准要求,部署IDS/IPS、防病毒网关、WEB应用防火墙、资源监控系统、上网行为管理系统、堡垒机、抗DDoS攻击系统、日志审计设备、VPN上网设备等,及时做好系统升级和规则库更新,提高网络安全防护能力。二是在防火墙部署安全策略,完成互联网与校园网、校园网内部之间的访问控制等。三是在网络安全设备中设置安全策略,监测和阻止端口扫描、木马攻击、拒绝服务攻击、缓冲区攻击、网络蠕虫攻击等。3.2.4加强技术保障,建设安全计算环境开放大学着重建设身份鉴别、安全审计、入侵防范、数据完整性、数据保密性、数据备份恢复、个人信息保护等安全计算环境。(1)用户身份鉴别是设备和信息系统安全的最重要防线之一。一要严格按照等保2.0标准要求,设置网络设备和信息系统的口令,不得保留设备出厂默认口令,不能存在弱口令;二要定期更新网络设备和信息系统的口令,三个月更新一次;三是使用各种技术达到双因素身份鉴别方式;四是加强系统管理员账号管理。(2)加强访问控制和网络安全审计。在网络中部署堡垒机系统、数据库审计系统、综合日志审计系统,加强操作全过程的审计,加强访问核心数据库的审计,采集学校服务器、网络核心设备、网络安全设备的系统日志,全面审计信息系统整体安全状况。(3)提升数据完整性和保密性保护技术能力,避免数据泄漏事件发生。一是应用密码技术保障学校的数据传输和存储的完整和保密,避免关键信息以明文形式存储;二是加强数据备份工作,建立异地灾难备份中心;三是切实落实《中华人民共和国个人信息保护法》,严格落实学习者个人信息的安全保护。
4结束语
开放大学应按照等保2.0标准的规范,严格落实信息安全等级保护制度,部署网络安全设备、配置安全的策略,完善各项安全管理制度,从网络安全管理体系和网络安全技术体系两方面落实网络安全责任制,为学校的高质量转型保驾护航。
作者:陈华清 单位:中山开放大学
建筑土木工程问题3
0引言
近年来,以大数据为支撑的信息化建设深入各个领域,人工智能、“互联网+”等信息技术被广泛应用于衣食住行、劳动工作、休闲娱乐和社会交往,其中高校管理、教学和科研工作是重要的应用领域。技术赋能给师生创造了便利,但同时也暴露了一些问题,只有尽快解决高校信息网络安全漏洞,制定针对性的防护策略,才能为高校教育、科研和日常生活保驾护航。“互联网+教育”飞速发展,其隐患和风险也层出不穷,数字高校逐渐陷入治理困境,几类突出问题包括:顶层设计不完善,安全管理体系不健全。从法制层面来看,近几年,我国为净化网络生态环境,保护网民信息安全,颁布了相关法律法规和社会公约,为信息化建设统筹发展提供了法律依据,也为信息安全问题划定了基本标准,但其落实程度还有待完善。从管理机制来看,高校信息网络规模大,周期长,投入多,需要建立多主体有效参与的管理机制[1]。然而,部分高校内部部门割裂,缺乏联动,没有统一的技术标准,没有集中管理、集中监控和集中审计的平台支撑[2],对于数据库和信息技术的维护不及时。使用群体安全意识淡薄。高校信息网络系统使用群体庞大,包括校内的师生群体、行政管理群体和校外的社会公众群体等。而这些群体并未接受过来自高校或其他方面的安全教育,没有形成敏感的危机感知度,面对庞杂的信息系统缺乏辨析力和防范意识。如对免费WiFi、陌生链接、陌生邮件、陌生U盘等警惕性低,不重视病毒查杀,常701常导致计算机受到病毒攻击,造成数据被篡改或信息丢失。另外,高校信息网络系统并不能完全筛除网络上的黑灰产业,仍有一些学生遭遇电信诈骗,损失财产。部分学生受到网络刷单等灰色兼职的诱惑,在法律边缘打“擦边球”。核心技术受制于人,专业人才不足。高校信息网络安全工作的硬性条件是智能化资源,即技术和人才。目前,我国尚未实现信息化建设的技术自给,核心技术发展不成熟,重要设备依赖进口。大数据背景下,信息技术更新换代很快,在未掌握技术的前提下,这种快速更迭会为安全保护带来更大阻力。我国高校信息化部门人员不足,无法充分供给学校的信息化研发、建设、维护工作需求,甚至许多信息网络运维工作者并不是专业人员,对于高校信息网络安全知识不了解,无法做好安全漏洞排查和清理工作,由此造成了安全危机无法尽快解决且重复出现的问题[3]。数据应用失范。虽然高校信息网络给师生教学生活带来了便利,但倘若管理层无法正确获取和使用数据,将会造成不良的社会影响。部分高校在数据应用过程中,以技术本位取代人本位思想,刻板使用信息化手段度量、评价个体,导致教育活动缺乏人文关怀。
1研究原理及方法
高校信息网络生命周期是高校信息系统从产生到报废的生命全过程,如图1所示。其包括顶层设计与规划、分析系统需求、设计系统软件、开发系统程序编码、系统投入使用和系统运行、评估与维护六个部分。“顶层设计与规划”是对现有高校信息系统进行评估,确定现有问题及解决方案;“分析系统需求”是对新开发的系统进行分析,包括安全需求、容量需求等诸多方面;“设计系统软件”和“开发系统程序编码”是通过技术手段开发新系统的过程;“系统投入使用”是系统开发完成后进行测试的环节;“系统运行、评估与维护”是新系统运行一段时间后,技术人员根据使用情况及新的漏洞问题进行评估与维护,从而使系统安全稳定运行的环节。高校信息化面临的主要问题是顶层设计方面管理不健全、技术人才方面有所欠缺、观念方面使用群体的安全意识薄弱、数据应用方面存在不合理现象。针对以上问题,针对性地制定防护策略,构建出高校信息网络安全治理的基本模型,如图2所示。通过联动分析高校信息网络生命周期与高校信息网络安全治理基本模型,找到其共同脉络并加以整合,在基本模型的基础上融合高校信息网络生命周期6部分,确定高校信息网络安全治理的多重性架构,如图3所示。高校应当在顶层设计与规划、分析系统需求这两个阶段集中处理顶层设计与管理体制维度问题,完成顶层框架设计和整体统筹;在设计系统软件、开发系统程序编码阶段,应处理技术人才维度的问题,提升核心科技竞争力,壮大专业人才队伍;在系统投入使用,系统运行、评估与维护阶段,应处理安全观念维度和合理应用维度问题,向信息网络使用群体普及安全知识,加强技术伦理教育。
2高校信息网络安全防护策略
2.1加快顶层框架设计,完善网络安全管理体系以强有力的法律手段约束网络行为,推动相关法律法规落地实施,使各项网络行为有法可依,有法必依,违法必究。高校信息网络安全相关法律法规必须加强实践能动性,要能转化为具体的、可行的实践方案,必要时可增加相应的数据报告和指导性文件,避免仅停留在对表面文字的理解。推动法律法规实施的过程中,要加强责任监管和责任落实,对于参与高校信息网络建设的各部门行为和产品要严格审查和评估,但不可过度干预使高校信息网络生态丧失灵活性和丰富性。以健全的管理体系规范高校信息化过程中的网络行为和数据流程。由于高校信息网络体量庞大,涉及多个部门和不同的应用系统,信息治理过程需要经过多个环节,因此必须形成体系化的管理机制,统一规划、统一部署,采取统一的技术标准,明确各环节中不同主体的责任和义务,加强部门联动,使信息化建设在技术、资金、人力资源等各方面都处于集中部署和管理之下,减少因管理不规范带来的安全风险。2.2加快技术创新,培养专业人才技术是推动我国高校信息网络安全可持续发展的关键,掌握核心技术,加快研发步伐,提高自主创新能力,是高校信息网络安全治理在设计系统软件、开发系统程序编码两个阶段的重要任务。目前需要攻破和有效提升的技术领域包括风险评估技术、病毒检测技术、动态防护技术和伤害恢复技术。这些技术可以评估可能出现的安全漏洞,快速进行数据备份,并实时监测、实时处理、实时防护,是重要的应急技术[4]。高校研发部门应按照国家相关标准,加快以上技术创新和应用,为高校信息网络安全治理提供强大的技术支撑。在专业人才方面,应保障人力资源的数量供应,杜绝一人多用、一部分多用的情况,及时补充高校信息化建设所需人力,使人员各司其职,各尽其责。高校是人才孵化的大本营,应充分发挥高校自身的教育资源优势,壮大专业IT人才队伍,建立完善的人才培养和管理体系,明确不同人才的责任和义务,如管理型、组织型、任务型等,使人才有效、有序地投入到高校信息化建设中。2.3加快技术伦理教育,规范信息数据的使用在安全观念、风险意识方面,高校可以将信息网络安全常识纳入教师职业培训中,通过课程教育的方式对学生群体进行宣传引导,开展网络安全知识普及课,教育学生重视病毒查杀,提高警惕性,拒绝网络黑灰产交易,保护好个人隐私数据。在数据合理应用方面,高校应尊重学生的知情权及正确认识技术与教育的关系。学生的知情权是学生自主参与、监督公共事务的权利,学生有权公开并自主处理个人信息,高校不得以任何名义在信息网络中侵犯学生的知情参与权。与此同时,高校应加强宣传,依据法律法规科学普及相关知识,帮助学生正确行使权利。技术伦理教育有助于高校正确认识技术与教育的关系,防止踏上技术本位的偏路。高校应明确以人为本的教学观,教育者不得单纯以数据表现对学生个体进行度量、评价和赏罚,否则将会打击智慧校园的社会信任度。此外,数字高校教育还应当加强实践性,因材施教,调动学生的主观能动性,注重学生的个人体验,融入人文关怀,在体验式教学中合理应用数字校园信息网络系统[1]。
3结语
数字校园、智慧校园正在逐渐取代传统的高校治理模式。结合当前高校信息化安全治理现状,搭建多重性治理架构,提出适应性、针对性的防护策略,为高校信息网络安全治理提供参考路径,呼应了新时代“互联网+教育”的需求。未来,高校信息化建设应兼顾高校信息网络安全建设,走多维度、全方位、高质量发展道路。
参考文献:
[1]王聪,薛静,王革明.智慧治理高校信息安全的多重线性规划策略[J].现代教育技术,2019,29(06):19-25.
[2]周立志,朱尚明.高校网络信息安全体系建设实践和思考[J].深圳大学学报(理工版),2020,37(S1):73-77.
[3]黄志宏,梁卓明.高校信息安全漏洞和威胁管理的研究与实践[J].重庆理工大学学报(自然科学),2019,33(02):117-124.
工业网络安全管理范文第4篇
关键词:烟草工业企业;信息化安全;存在问题;解决对策
一、烟草企业信息化安全存在的问题
(一)缺乏管理内容。在现代经济快速发展的背景下,运用信息化手段对烟草企业进行管理已经成为了企业领导者、经营者的目标,演变为紧跟时展的标志。陕西中烟工业有限责任公司也在对该模式进行不断的尝试,但大部分企业的管理层认为只要能够在日常办公中应用信息技术即可,并不用去构建专门的信息化经营管理系统,导致制定出的制度在内容上缺乏长远性、完整性和科学性。这使得该模式仍停留在大多烟草企业的表面(信息系统需求、开发、建设、使用、维护层面),形式化的运用制约信息化的深入开展。中国烟草属于垄断型企业,具有浓郁的计划经济色彩。例如,在人力资源管理方面,中国烟草企业还残留着许多问题。企业管理者将人力资源管理划分为人事管理,对其安全管理重视程度不够,没有利用专业信息化人才管理方式和手段进行管理,导致人力资源管理的安全问题仍然存在。
(二)安全技术薄弱。虽然现在的信息技术快速普及,但相应的安全措施还没有及时跟上。很多工业企业都在沿用着过去的信息安全管理模式和系统,没有将IPS等更加有效的防御工程进行安装。这导致当下各式各样的黑客技术与病毒能够轻易破解侵入,阻碍企业的信息化运作。因此,在对信息化安全进行建设时,工业企业要从技术和管理基础入手。管理者在管理的队伍方面还存在着素质不足、水平有限的问题,不具备前瞻性。这阻碍企业信息化的发展。
(三)系统模式单一。各级烟草工业企业现如今已经形成了较为完善的工业信息网络,内网主要用于烟叶、设备、财务和协同办公等方面,外网主要用于对外的宣传。内外网公用端口、有些甚至通过VPN等工具可以互联互通,导致信息系统安全运行出现问题。截止目前,虽然多数烟草工业企业信息化建设已经初见规模,大的框架已经建成,但信息安全保障方面还缺乏相应的细则,系统模式单一,不具备实践经验。无法将业务流、信息流和工作流进行前期的整合,导致信息系统安全运行出现问题。[1]
二、烟草工业企业信息化安全管理的对策
(一)完善管理内容,制定合理方法。烟草工业企业利用信息化管理的主要目的是让企业更加有效、高速、稳定发展。我国信息化技术起步比较晚,没有建立出完善且可行的管理制度,可操作性欠缺,阻碍烟草工业企业信息化的安全发展。因此,管理者要健全规章制度,充分优化信息安全管理的内容,制定出科学有效的方法,促使系统正常健康地运作,进而较好地为企业发展服务。与此同时,领导和信息化从业人员需要清楚地认识到安全信息化建设的内容和对企业的收益,积极参与到相应的培训和学习中,解决在发展时遇到的问题。管理者要与信息化专家一起商讨,分析在现代社会的背景下,会给企业带来怎样的挑战与机遇,说明与信息化安全建设的关联。
(二)成立专门的技术部门,建设系统的软、硬件保障环境。当下的烟草企业需要成立相应的IT技术部门来进行信息化安全管理和保障。烟草企业要在管理人员中设立一位首席技术主管,要求其具备丰富的烟草行业知识,了解工业企业的运营和发展特点。他带领技术部门,对其他人员进行信息化知识的普及,负责日常信息化设计、建设、运营维护等工作。他通过专业化的手段,提供方案,有效解决实际问题。安全信息系统的构建和运行需要将企业作为平台,在企业的信息平台上高效开展。其中,诸多应用服务器、核心网络和终端的信息是重要组成部分,其余的虚拟化技术、容灾备份设备、入侵审计日志系统等组件起到一定的辅助作用。企业的信息化安全建设不会一步到位,信息化从业人员要紧跟时代,从基础做起,逐渐构造出属于自己的安全、稳定、高效的网络环境。
(三)基于信息管理,建设安全体系。单单借助企业自身的力量是无法让信息系统持续安全运作的。烟草企业要建立安全管理的体系,充分发挥潜能,在组成范围、工作流程、信息反馈和人员分工等方面对其进行合理的规范,保证安全信息系统稳步构建。该模式可以将很多档案的基础资源进行更新保存,排查其中的隐患。运维管理系统需要工作人员正确熟练的使用,发挥出它的最佳效果。因此,企业要对其进行培训,秉着认真专注的态度,使他们可以胜任这份工作。企业的领导者也要对信息安全管理重视起来。[2]
三、结束语
综上所述,烟草企业管理者在进行安全信息化建设时,要实现对企业的有效管理,需要坚持做到:严格落实网络安全责任、压紧压实网络安全责任,落实信息安全等级保护制度,有效防范、控制和抵御网络安全风险,增强安全预警、应急处置和信息系统容灾能力;建立健全网络安全与信息化管理工作规章制度,形成与企业信息化发展相适应的、完备的网络安全与信息化保障体系,全面提高网络与信息安全防护能力;重点保障基础信息网络和重要信息系统安全,创建安全健康的企业生产经营网络环境,增强网络安全防御能力;制定并完善工厂网络改造实施方案,夯实网络基础,优化网络结构,系统提升工厂网络整体水平;充分调研论证两化融合管理体系在工厂的应用,积极探索虚拟化等先进技术应用于工厂的实践,配合公司开展信息化需求调研,通过技术驱动,实现管理提升,强化信息化基础管理和运维管理水平;扎实推进项目管理,以项目实施带动工厂网络安全和信息化水平不断提升,服务、支撑、驱动工厂高质量发展。
参考文献:
[1]万永华,王菁.烟草企业信息化引用现状分析及对策[J].企业科技与发展,2013(14).
工业网络安全管理范文第5篇
关键词:网络;安全
计算机网络安全策略是指在某个安全区域内,与安全活动有关的一套规则,由安全区域内的一个权威建立,它使网络建设和管理过程中的工作避免了盲目性,但在目前它并没有得到足够的重视。国际调查显示,目前55%的企业网没有自己的安全策略,仅靠一些简单的安全措施来保障网络安全。
计算机网络安全策略包括对企业各种网络服务的安全层次和权限进行分类,确定管理员的安全职责,如实现安垒故障处理.确定网络拓扑结构、入侵及攻击的防御和检测、备份和灾难恢复等。这里所说的安全策略主要涉及4个大的方面:物理安全策略、访问控制策略、信息加密策略和网络安全管理策略。
一、物理安全策略和访问控制策略
1、物理安全策略
制定安全策略的目的是保护路由器、交换机、工作站、各种网络服务器等硬件实体和通信链路免受自然灾害、人为破坏和搭线窃听攻击;验证用户的身份和使用权限,防止用户越权操作;确保网络设备有一个良好的电磁兼容工作环境;建立完备的机房安全管理制度,妥善保管备份磁带和文档资料;防止非法人员进入机房进行偷窃和破坏活动。
2、访问控制策略
访问控制策略是网络安垒防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问。它也是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到保护作用,而访问控制策略可以认为是保证网络安全最重要的核心策略之一。
(1)入网访问控制
入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源。用户的入网访问控制可分为3个步骤:用户名的识别以验证、用户帐号的缺省限制检查。
(2)网络的权限控制
网络权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限,控制用户和用户组可以访问哪些目录、子目录、文件和其他资源,可以指定用户对这些文件、目录、设备能够执行哪些操作。可以根据访问权限将用户分为以下几类:特殊用户(即系统管理员);一般用户,由系统管理员根据他们的实际需要为他们分配操作权限;审计用户,负责网络的安全控制与资源使用情况的审计。用户对网络资源的访问权限可以用一个访问控制表来描述。
(3)目录级安全控制
网络应能够控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效,用户还可进一步指定对目录下的子目录和文件的权限。对目录和文件的访问权限一般有以下8种:系统管理员权限,也叫超级用户权限、主动权限、写权限、创建权限、删除权限、修改权限、文件查找、存取控制。
(4)属性安全控制
当使用文件、目录和网络设备时,网络系统管理员应给文件、目录等指定访问属性。属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。属性安全在权限安全的基础上提供更进一步的安全。网络上的资源都应预先标出一组安全属性,网络的属性可以保护重要的目录和文件,防止用户对目录和文件的误删除,执行修改、显示等。
(5)网络服务器安全控制
计算机网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块,可以安装和删除软件等。网络服务器的安全控制包括:可以设置口令锁定服务器控制台,以防止非法用户修改、删除重要信息数据;可以设定服务器控登录时间限制、非法访问者检测和关闭的时间间隔。
(6)网络监测和锁定控制
计算机网络管理员对网络实施监控,服务器应记录用户对网络资源的访问。对非法的网络访问进行报警,以引起网络管理员的注意,并自动记录企图尝试进入网络的次数,如果非法访问的次数达到设定数值,那么该账户将被自动锁定。
(7)网络端口和节点的安全控制
网络中服务器的端口往往使用自动回呼设备和静默调制解调制器加以保护,并以加密的形式来识别节点的身份。自动回呼设备用于防止假冒合法用户,静默调制解调器用以防范黑客的自动拨号程序对计算机进行攻击。网络还通常对服务器端采取安全限制,用户必须携带证实身份的验证器。在对用户的身份进行验证之后,才允许用户进入用户端。然后,用户端和服务端再进行相互验证。
(8)防火墙控制
防火墙是近十多年来发展起来的一种保护计算机网络安全的技术性措施,它是一个用以阻止网络中的黑客访问某个机构网络的屏障,也可称之为控制进出方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离外部和内部网络,以阻止来自外部网络的侵入。
二、信息加密策略
信息加密的目的是保护网络的数据、文件、口令和控制信息,保护网络会话的完整性。网络加密可设在链路级、网络级,也可以设在应用级等,它们分别对应干网络体系结构中的不同层次形成加密通信通道。用户可以根据不同的需求,选择适当的加密方式。保护网络信息安全行之有效的技术之一就是数据加密策略。它是对计算机信息进行保护的最实用和最可靠的方法。
三、网络安全管理策略
网络安全管理策略是指在特定的环境里,为保证提供一定级别的安全保护所必须遵守的规则。实现网络安全,不仅要靠先进的技术,而且要靠严格控的管理和威严的法律。三者的关系如同安垒平台的三根支柱,缺一不可。网络安全管理策略包括:(1)确定安全管理等级和安全管理范围;(2)制定有关网络操作使用规程和人员出入机房管理制度;(3)制定网络系统的维护制度和应急措施等;安全管理的落实是实现网络安全的关键。
四、计算机网络物理安全管理
涉及计算机网络的物理安全管理是保护计算机网络设备、设施以及其他媒体免遭地震、水灾等环境事故和人为地操作失误导致的破坏过程。网络物理安全管理主要包括:机房的安全技术管理、通信线路的安全管理、设备安全管理和电源系统的安全管理。
