第一篇:构建信息安全保密体系.
构建信息安全保密体系
摘要:信息安全保密已经成为当前保密工作的重点。本文从策略和机制的角度出发,给出了信息安全保密的服务支持、标准规范、技术防范、管理保障和工作能力体系,体现了技术与管理相结合的信息安全保密原则。
关键词:信息安全保密体系
一、引言
构建信息安全保密体系,不能仅仅从技术层面入手,而应该将管理和技术手段有机结合起来,用规范的制度约束人,同时建立、健全信息安全保密的组织体制,改变现有的管理模式,弥补技术、制度、体制等方面存在的不足,从标准、技术、管理、服务、策略等方面形成综合的信息安全保密能力,如图1所示。
图1 信息安全保密的体系框架
该保密体系是以信息安全保密策略和机制为核心,以信息安全保密服务为支持,以标准规范、安全技术和组织管理体系为具体内容,最终形成能够满足信息安全保密需求的工作能力。
二、信息安全保密的策略和机制
所谓信息安全保密策略,是指为了保护信息系统和信息网络中的秘密,对使用者(及其代理允许什么、禁止什么的规定。从信息资产安全管理的角度出发,为了保护涉密信息资产,消除或降低泄密风险,制订的各种纲领、制度、规范和操作流程等,都属于安全保密策略。例如:禁止(工作或技术人员将涉密软盘或移动存储设备带出涉密场所;严禁(使用人员将涉密计算机(连上互联网;不允许(参观人员在涉密场所拍照、录像等。
信息安全保密机制,是指实施信息安全保密策略的一种方法、工具或者规程。例如,针对前面给出的保密策略,可分别采取以下机制:为涉密移动存储设备安装射频标识,为涉密场所安装门禁和报警系统;登记上网计算机的(物理地址,实时监控上网设备;进入涉密场所前,托管所有摄录像设备等。
根据信息系统和信息网络的安全保密需求,在制定其安全保密策略时,应主要从物理安全保密策略,系统或网络的访问控制策略,信息的加密策略,系统及网络的安全管理策略,人员安全管理策略,内容监管策略等方面入手。在安全保密机制方面,应主要从组织管理、安全控制和教育培训等方面,针对给出的安全保密策略,确定详细的操作或运行规程,技术标准和安全解决方案。
三、信息安全保密的服务支持体系
信息安全保密的服务支持体系,主要是由技术检查服务、调查取证服务、风险管理服务、系统测评服务、应急响应服务和咨询培训服务组成的,如图2所示。其中,风险管理服务必须贯穿到信息安全保密的整个工程中,要在信息系统和信息网络规划与建设的初期,就进行专业的安全风险评估与分析,并在系统或网络的运营管理过程中,经常性地开展保密风险评估工作,采取有效的措施控制风险,只有这样才能提高信息安全保密的效益和针对性,增强系统或网络的安全可观性、可控性。其次,还要大力加强调查取证服务、应急响应服务和咨询培训服务的建设,对突发性的失泄密事件能够快速反应,同时尽可能提高信息系统、信息网络管理人员的安全技能,以及他们的法规意识和防范意识,做到“事前有准备,事后有措施,事中有监察”。
加强信息安全保密服务的主要措施包括: 借用安全评估服务帮助我们了解自身的安全性
通过安全扫描、渗透测试、问卷调查等方式对信息系统及网络的资产价值、存在的脆弱性和面临的威胁进行分析评估,确定失泄密风险的大小,并实施有效的安全风险控制。
采用安全加固服务来增强信息系统的自身安全性
具体包括操作系统的安全修补、加固和优化;应用服务的安全修补、加固和优化;网络设备的安全修补、加固和优化;现有安全制度和策略的改进与完善等。
部署专用安全系统及设备提升安全保护等级
借助目前成熟的安全技术和产品来帮助我们提升整个系统及网络的安全防护等级,可采用的产品包括防火墙、IDS、VPN、防病毒网关等。
运用安全控制服务增强信息系统及网络的安全可观性、可控性
通过部署面向终端、服务器和网络边界的安全控制系统,以及集中式的安全控制平台,增强对整个信息系统及网络的可观性,以及对使用网络的人员、网络中的设备及其所提供服务的可控性。
加强安全保密教育培训来减少和避免失泄密事件的发生
加强信息安全基础知识及防护技能的培训,尤其是个人终端安全技术的培训,提高使用和管理人员的安全保密意识,以及检查入侵、查处失泄密事件的能力。
引入应急响应服务及时有效地处理重大失泄密事件
具体包括:协助恢复系统到正常工作状态;协助检查入侵来源、时间、方法等;对网络进行安全评估,找出存在的安全隐患;做出事件分析报告;制定并贯彻实施安全改进计划。
采用安全通告服务来对窃密威胁提前预警
具体包括对紧急事件的通告,对安全漏洞和最新补丁的通告,对最新防护技术及措施的通告,对国家、军队的安全保密政策法规和安全标准的通告等。
四、信息安全保密的标准规范体系
信息安全保密的标准规范体系,主要是由国家和军队相关安全技术标准构成的,如图3所示。这些技术标准和规范涉及到物理场所、电磁环境、通信、计算机、网络、数据等不同的对象,涵盖信息获取、存储、处理、传输、利用和销毁等整个生命周期。既有对信息载体的相关安全保密防护规定,也有对人员的管理和操作要求。因此,它们是设计信息安全保密解决方案,提供各种安全保密服务,检查与查处失泄密事件的准则和依据。各部门应该根据本单位信息系统、信息网络的安全保密需
求,以及组织结构和使用维护人员的配置情况,制定相应的,操作性和针对性更强的技术和管理标准。
五、信息安全保密的技术防范体系
信息安全保密的技术防范体系,主要是由电磁防护技术、信息终端防护技术、通信安全技术、网络安全技术和其他安全技术组成的。这些技术措施的目的,是为了从信息系统和信息网络的不同层面保护信息的机密性、完整性、可用性、可控性和不可否认性,进而保障信息及信息系统的安全,提高信息系统和信息网络的抗攻击能力和安全可靠性。安全保密技术是随着信息技术、网络技术,以及各种入侵与攻击技术的发展不断完善和提高的,一些最新的安全防护技术,如可信计算技术、内网监控技术等,可以极大地弥补传统安全防护手段存在的不足,这就为我们降低安全保密管理的难度和成本,提高信息系统和信息网络的安全可控性和可用性,奠定了技术基础。因此,信息安全保密的技术防范体系,是构建信息安全保密体系的一个重要组成部分,应该在资金到位和技术可行的情况下,尽可能采用最新的、先进的技术防护手段,这样才能有效抵御不断出现的安全威胁。
六、信息安全保密的管理保障体系
俗话说,信息安全是“三分靠技术,七分靠管理”。信息安全保密的管理保障体系,主要是从技术管理、制度管理、资产管理和风险管理等方面,加强安全保密管理的力度,使管理成为信息安全保密工作的重中之重。
技术管理主要包括对泄密隐患的技术检查,对安全产品、系统的技术测评,对各种失泄密事件的技术取证;制度管理主要是指各种信息安全保密制度的制定、审查、监督执行与落实;资产管理主要包括涉密人员的管理,重要信息资产的备份恢复管理,涉密场所、计算机和网
络的管理,涉密移动通信设备和存储设备的管理等;风险管理主要是指保密安全风险的评估与控制。
现有的安全管理,重在保密技术管理,而极大地忽视了保密风险管理,同时在制度管理和资产管理等方面也存在很多问题,要么是管理制度不健全,落实不到位;要么是一些重要的资产监管不利,这就给失窃密和遭受网络攻击带来了人为的隐患。加强安全管理,不但能改进和提高现有安全保密措施的效益,还能充分发挥人员的主动性和积极性,使信息安全保密工作从被动接受变成自觉履行。
七、信息安全保密的工作能力体系
将技术、管理与标准规范结合起来,以安全保密策略和服务为支持,就能合力形成信息安全保密工作的能力体系,如图4所示。该能力体系既是信息安全保密工作效益与效率的体现,也能反映出当前信息安全保密工作是否到位。它以防护、检测、响应、恢复为核心,对信息安全保密的相关组织和个人进行工作考评,并通过标准化、流程化的方式加以持续改进,使信息安全保密能力随着信息化建设的进展不断提高。
八、结论
技术与管理相结合,是构建信息安全保密体系应该把握的核心原则。为了增强信息系统和信息网络的综合安全保密能力,重点应该在健全上述保密体系,尤其是组织体系、管理体系、服务体系和制度(技术标准及规范体系的基础上,规范数据备份、密钥管理、访问授权、风险控制、身份认证、应急响应、系统及应用安全等管理方案,努力提高系统漏洞扫描、信息内容监控、安全风险评估、入侵事件检测、病毒预防治理、系统安全审计、网络边界防护等方面的技术水平。
参考文献: [1]信息与网络安全研究新进展.全国计算机安全学术交流会论文集.第二十二卷[C].合肥:中国科技大学出版社, 2007 [2]中国计算机学会信息保密专业委员会论文集.第十六卷[C].合肥:中国科技大学出版社, 2006
[3]胡建伟.网络安全与保密[M].西安:西安电子科技大学出版社, 2003
第二篇:构建信息安全保密体系
构建信息安全保密体系
摘 要:信息安全保密已经成为当前保密工作的重点。本文从策略和机制的角度出发,给出了信息安全保密的服务支持、标准规范、技术防范、管理保障和工作能力体系,体现了技术与管理相结合的信息安全保密原则。关键词:信息 安全 保密 体系
一、引言
构建信息安全保密体系,不能仅仅从技术层面入手,而应该将管理和技术手段有机结合起来,用规范的制度约束人,同时建立、健全信息安全保密的组织体制,改变现有的管理模式,弥补技术、制度、体制等方面存在的不足,从标准、技术、管理、服务、策略等方面形成综合的信息安全保密能力,如图1所示。图 1 信息安全保密的体系框架
该保密体系是以信息安全保密策略和机制为核心,以信息安全保密服务为支持,以标准规范、安全技术和组织管理体系为具体内容,最终形成能够满足信息安全保密需求的工作能力。
二、信息安全保密的策略和机制 所谓信息安全保密策略,是指为了保护信息系统和信息网络中的秘密,对使用者(及其代理)允许什么、禁止什么的规定。从信息资产安全管理的角度出发,为了保护涉密信息资产,消除或降低泄密风险,制订的各种纲领、制度、规范和操作流程等,都属于安全保密策略。例如:禁止(工作或技术人员)将涉密软盘或移动存储设备带出涉密场所;严禁(使用人员将)涉密计算机(连)上互联网;不允许(参观人员)在涉密场所拍照、录像等。
信息安全保密机制,是指实施信息安全保密策略的一种方法、工具或者规程。例如,针对前面给出的保密策略,可分别采取以下机制:为涉密移动存储设备安装射频标识,为涉密场所安装门禁和报警系统;登记上网计算机的(物理)地址,实时监控上网设备;进入涉密场所前,托管所有摄录像设备等。
根据信息系统和信息网络的安全保密需求,在制定其安全保密策略时,应主要从物理安全保密策略,系统或网络的访问控制策略,信息的加密策略,系统及网络的安全管理策略,人员安全管理策略,内容监管策略等方面入手。在安全保密机制方面,应主要从组织管理、安全控制和教育培训等方面,针对给出的安全保密策略,确定详细的操作或运行规程,技术标准和安全解决方案。
三、信息安全保密的服务支持体系
信息安全保密的服务支持体系,主要是由技术检查服务、调查取证服务、风险管理服务、系统测评服务、应急响应服务和咨询培训服务组成的,如图2所示。其中,风险管理服务必须贯穿到信息安全保密的整个工程中,要在信息系统和信息网络规划与建设的初期,就进行专业的安全风险评估与分析,并在系统或网络的运营管理过程中,经常性地开展保密风险评估工作,采取有效的措施控制风险,只有这样才能提高信息安全保密的效益和针对性,增强系统或网络的安全可观性、可控性。其次,还要大力加强调查取证服务、应急响应服务和咨询培训服务的建设,对突发性的失泄密事件能够快速反应,同时尽可能提高信息系统、信息网络管理人员的安全技能,以及他们的法规意识和防范意识,做到“事前有准备,事后有措施,事中有监察”。
加强信息安全保密服务的主要措施包括: 借用安全评估服务帮助我们了解自身的安全性
通过安全扫描、渗透测试、问卷调查等方式对信息系统及网络的资产价值、存在的脆弱性和面临的威胁进行分析评估,确定失泄密风险的大小,并实施有效的安全风险控制。采用安全加固服务来增强信息系统的自身安全性 具体包括操作系统的安全修补、加固和优化;应用服务的安全修补、加固和优化;网络设备的安全修补、加固和优化;现有安全制度和策略的改进与完善等。部署专用安全系统及设备提升安全保护等级
借助目前成熟的安全技术和产品来帮助我们提升整个系统及网络的安全防护等级,可采用的产品包括防火墙、IDS、VPN、防病毒网关等。
运用安全控制服务增强信息系统及网络的安全可观性、可控性
通过部署面向终端、服务器和网络边界的安全控制系统,以及集中式的安全控制平台,增强对整个信息系统及网络的可观性,以及对使用网络的人员、网络中的设备及其所提供服务的可控性。
加强安全保密教育培训来减少和避免失泄密事件的发生 加强信息安全基础知识及防护技能的培训,尤其是个人终端安全技术的培训,提高使用和管理人员的安全保密意识,以及检查入侵、查处失泄密事件的能力。引入应急响应服务及时有效地处理重大失泄密事件
具体包括:协助恢复系统到正常工作状态;协助检查入侵来源、时间、方法等;对网络进行安全评估,找出存在的安全隐患;做出事件分析报告;制定并贯彻实施安全改进计划。采用安全通告服务来对窃密威胁提前预警 具体包括对紧急事件的通告,对安全漏洞和最新补丁的通告,对最新防护技术及措施的通告,对国家、军队的安全保密政策法规和安全标准的通告等。
四、信息安全保密的标准规范体系 信息安全保密的标准规范体系,主要是由国家和军队相关安全技术标准构成的,如图3所示。这些技术标准和规范涉及到物理场所、电磁环境、通信、计算机、网络、数据等不同的对象,涵盖信息获取、存储、处理、传输、利用和销毁等整个生命周期。既有对信息载体的相关安全保密防护规定,也有对人员的管理和操作要求。因此,它们是设计信息安全保密解决方案,提供各种安全保密服务,检查与查处失泄密事件的准则和依据。各部门应该根据本单位信息系统、信息网络的安全保密需求,以及组织结构和使用维护人员的配置情况,制定相应的,操作性和针对性更强的技术和管理标准。
五、信息安全保密的技术防范体系 信息安全保密的技术防范体系,主要是由电磁防护技术、信息终端防护技术、通信安全技术、网络安全技术和其他安全技术组成的。这些技术措施的目的,是为了从信息系统和信息网络的不同层面保护信息的机密性、完整性、可用性、可控性和不可否认性,进而保障信息及信息系统的安全,提高信息系统和信息网络的抗攻击能力和安全可靠性。安全保密技术是随着信息技术、网络技术,以及各种入侵与攻击技术的发展不断完善和提高的,一些最新的安全防护技术,如可信计算技术、内网监控技术等,可以极大地弥补传统安全防护手段存在的不足,这就为我们降低安全保密管理的难度和成本,提高信息系统和信息网络的安全可控性和可用性,奠定了技术基础。因此,信息安全保密的技术防范体系,是构建信息安全保密体系的一个重要组成部分,应该在资金到位和技术可行的情况下,尽可能采用最新的、先进的技术防护手段,这样才能有效抵御不断出现的安全威胁。
六、信息安全保密的管理保障体系
俗话说,信息安全是“三分靠技术,七分靠管理”。信息安全保密的管理保障体系,主要是从技术管理、制度管理、资产管理和风险管理等方面,加强安全保密管理的力度,使管理成为信息安全保密工作的重中之重。
技术管理主要包括对泄密隐患的技术检查,对安全产品、系统的技术测评,对各种失泄密事件的技术取证;制度管理主要是指各种信息安全保密制度的制定、审查、监督执行与落实;资产管理主要包括涉密人员的管理,重要信息资产的备份恢复管理,涉密场所、计算机和网络的管理,涉密移动通信设备和存储设备的管理等;风险管理主要是指保密安全风险的评估与控制。
现有的安全管理,重在保密技术管理,而极大地忽视了保密风险管理,同时在制度管理和资产管理等方面也存在很多问题,要么是管理制度不健全,落实不到位;要么是一些重要的资产监管不利,这就给失窃密和遭受网络攻击带来了人为的隐患。加强安全管理,不但能改进和提高现有安全保密措施的效益,还能充分发挥人员的主动性和积极性,使信息安全保密工作从被动接受变成自觉履行。
七、信息安全保密的工作能力体系
将技术、管理与标准规范结合起来,以安全保密策略和服务为支持,就能合力形成信息安全保密工作的能力体系,如图4所示。该能力体系既是信息安全保密工作效益与效率的体现,也能反映出当前信息安全保密工作是否到位。它以防护、检测、响应、恢复为核心,对信息安全保密的相关组织和个人进行工作考评,并通过标准化、流程化的方式加以持续改进,使信息安全保密能力随着信息化建设的进展不断提高。
八、结论
技术与管理相结合,是构建信息安全保密体系应该把握的核心原则。为了增强信息系统和信息网络的综合安全保密能力,重点应该在健全上述保密体系,尤其是组织体系、管理体系、服务体系和制度(技术标准及规范)体系的基础上,规范数据备份、密钥管理、访问授权、风险控制、身份认证、应急响应、系统及应用安全等管理方案,努力提高系统漏洞扫描、信息内容监控、安全风险评估、入侵事件检测、病毒预防治理、系统安全审计、网络边界防护等方面的技术水平。
参考文献:
[1]信息与网络安全研究新进展.全国计算机安全学术交流会论文集.第二十二卷[C].合肥:中国科技大学出版社, 2007 [2]中国计算机学会信息保密专业委员会论文集.第十六卷[C].合肥:中国科技大学出版社, 2006 [3]胡建伟.网络安全与保密[M].西安:西安电子科技大学出版社, 2003
第三篇:构建企业信息安全保密技术防范体系
构建企业信息安全技术防范措施
杜洪伟
天津第七市政公路工程有限公司,天津(300113)
摘 要:随着计算机网络的快速发展,网络资源共享也更加广泛。计算机网络面临着信息泄露、黑客攻击、病毒感染等多种威胁,信息安全保密工作面临着严峻挑。本文结合我国企业信息安全保密工作的相关要求和实际情况,从技术防范的角度出发,对保障网络的信息安全进行了分析,探讨了构建满足企业信息安全保密工作需要的防范措施。
关键词:企业信息化;信息安全保密;技术防范措施; 引言
信息网络国际化、社会化、开放化和个人化的特点, 决定了,它在给人们提供高效率、高效益、高质量的“信息共享”的同时,也投下了不安全的阴影。随着企业和人民对网络环境和网络资源依赖程度的不断加深, 信息泄露、黑客入侵、计算机病毒传播甚至于威胁信息安全的问题会出现得越来越多。因此,如何在企业机构中做好信息安全保密工作,事关企业发展的战略安全与重要利益。试想一下如果有关我国企业技术研究的重要信息系统安全遭到泄漏、破坏,那么就会对我国企业技术研究开发的各方面工作造成严重影响,使企业在该技术领域的研究陷于被动的处境,甚至会牵连整个社会和经济的发展进程,引致灾难性的经济损失后果。总之,在企业机构中做好信息安全保密工作是一项系统工程,本文从技术角度出发,以未雨绸缪,预防为主,兼顾防御及修复的原则为指导,加强信息安全保密工作的重要意识,在构建防范体系的过程中把该安全意识落实到每个技术细节上。最终构建一个系统、全面、可靠、有针对性的技术防范体系。网络信息安全问题
信息安全实质上是信息系统安全,信息系统主要由计算机系统构成,包括软件、硬件等。国际标准化组织(ISO)将“信息安全”定义为: 为数据处理系统建立和采取的技术和管理的安全保护, 保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄露。
网络信息安全面临的威胁是多方面的, 具有无边界性、突发性、蔓延性和隐蔽性等新的特点。网络模糊了地理、空间上的边疆概念, 使得网上的冲突和对抗更具隐蔽性。对计算机网络的攻击往往是在没有任何先兆的情况下突然发生的, 而且会沿着网络迅速蔓延。对网络信息安全防御的困难还在于, 一个攻击者仅需要发起一个成功的攻击, 而防御者则需要考虑所有可能的攻击;而且这种攻击是在动态变化的。因此,需从技术上采取综合、系统性的多种措施构建技术防范体系。
信息安全是一个综合、交叉的学科领域,要涉及到安全体系结构、安全协议、密码理论、信息分析、安全监控、应急处理等各个方面, 还要利用数学、电子、信息、通信、计算机等诸多学科的长期知识积累和最新发展成果。信息安全要综合利用数学、物理、通信和计算机诸多学科的长期知识积累和最新发展成果, 进行自主创新研究, 加强顶层设计, 提出系统的、完整的, 协同的解决方案。
实际上不论是局域网还是广域网, 都是一种系统, 所以系统安全问题的解决, 必然是一项系统工程, 必须采用系统工程学的方法、运用系统工程学的原理来设计网络信息安全体系。解决网络信息安全的基本策略是技术、管理和法制并举。技术是核心, 要通过关键技术的突破, 构筑起国家信息安全技术防范体系。管理是关键, 根据“木桶原理”, 信息安全链条中任何一个环节的脆弱都有可能导致安全防护体系的失效, 必须要加强各管理部门和有关人员间的密切合作。法制是保障, 通过建立信息安全法规体系, 规范信息化社会中各类主体的行为, 以维持信息化社会的正常运作秩序。
3.信息安全的技术体系构成
3.1信息安全技术基础 3.1.1边界隔离技术
边界隔离包括逻辑隔离、物理隔离、信息过滤、入侵检测、防火墙、防病毒网关等,其实就是一种用于信息系统边办防护的安全技术,以阻止来自网络系统外部的各种攻击。运用该项技术首先
巨大商业、社会价值,病毒的泛滥大有愈演愈烈之势,其危害的深度、广度和力度也越来越大。流行广泛、各类繁多、潜伏期长、破坏力大,对储存了大量科研数据的计算机信息系统构成了长期与现实的威胁。
其次就是黑客入侵。通过技术手段,非法侵入计算机信息系统,获取秘密信息或有选择地破坏信息的有效性与完整性。这是当前企业机构计算机信息系统所面临的最大威胁。黑客除了在网上编写程序利用软件进行直接的攻击和破坏,还采用信号截取和声像外露信号来获取秘密信息。
再者就是存储介质失密,特别是随着移动存储介质的广泛使用,使得利用存储介质窃取信息的事件日益增多。如涉密的优盘、硬盘、光盘、笔记本电脑等。
系统漏洞,软件是编程人员设计编写的,有时因为疏忽,有时为了自便而专门设置,总是或多或少存在一些大大小小的漏洞。因此没有无懈可击,天衣无缝的软件系统。利用计算机操作系统、信息管理系统、网络系统的自身安全漏洞,进行窃取与破坏活动。
非法访问,企业机构以外人员利用非法手段进入安全保密防范措施不完善的信息系统,对企业信息系统进行的破坏活动。另外还有人为因素。例如个别人员利用合法身份与国外的网络非法连接,或者使用随身携带的摄像等装备进行的窃取行为。
以上所列举的情况是目前存在于企业机构的主要信息安全威胁,针对上述威胁我们应构建有针对性的、强健的技术防范体系。
3.2.2构建有针对性的技术防范体系
构建符合企业机构工作特点且有针对性的信息安全保密技术防范体系,实际上就是从信息系统和信息网络的不同层面保证信息的机密性、完整性、可用性、可控性,进而保障信息系统的安全,提高信息系统及网络的防御能力。安全保密技术是随着信息技术、网络技术,以及各种入侵技术的发展而不断完善和提高的,不断采用一些最新的安全防护技术,可以极大地弥补传统安全防护手段存在的不足。因此,信息安全保密的技术防范体系,是构建整个信息安全保密体系的重要组成部分,在资金允许和技术可行的条件下,应该尽可能采用先进的、且经得住实践检验的技术防护手段,这样才能有效抵御不断出现的信息安全威胁。
(1)物理安全防护
物理安全防护主要指内网借助于某些网络设备及软件系统等方式间接地连接到外网,另外还包括对网络设备保护层及电磁辐射的物理防护。物理安全防护的方法有以下几种:
1)抑制电磁泄漏(即TEMPEST技术)是物理安全防护的一个重要问题。目前主要防护措施有两类:一类是对传导发射的防护,主要对电源线和信号线加装性能良好的滤波器,减小传输阻抗和导线间的交叉耦合。另一类是对辐射的防护,既要采用各种电磁屏蔽手段,还要应对可能出现的干扰。
2)网络隔离卡:在终端机上加装网络安全隔离卡,并额外配备1块硬盘,这样就能根据使用者的需求,灵活切换内外网。
3)最直接的方法应是一人双机:如果经济条件允许,给专业管理人员配备2台终端机,1台接外网,1台只接内网。
(2)防火墙
目前,常见的防火墙主要有三类:
1)应用代理型防火墙是内部网与外部网的隔离点,起着监视和隔离应用层通信流的作用。2)包过滤型防火墙:数据分组的过滤或包过滤,其中包过滤原理和技术可以认为是各种网络防火墙的基础构件。
3)综合型防火墙将数据包过滤和代理服务结合起来使用。
混合使用数据包过滤技术、代理服务技术和其他一些新技术将是未来防火墙的发展趋势。(3)抗攻击、防病毒网关
在通讯网络中使用抗攻击防病毒网关可以有效避免“拒绝服务攻击(DoS)”和“连接耗尽攻击”
第四篇:五步构建信息安全运维体系
五步构建信息安全运维体系
随着信息安全管理体系和技术体系在信息安全建设中不断推进,占信息系统生命周期70%-80%的信息安全运维体系的建设已经越来越被广大用户重视。尤其是随着信息系统建设工作从大规模建设阶段逐步转型到“建设和运维”并举的发展阶段,信息安全负责人员需要管理越来越庞大的IT系统的情况下,信息安全运维体系建设已经被提到了一个空前的高度上。
目前,大多数的信息安全运维体系的服务水平处在一个被动的阶段。这主要表现在信息技术和设备的应用越来越多,但运维人员在信息系统出现安全事件的时候却茫然不知所措。究其原因,是该组织未建设成完整的信息安全运维体系。
正是因为目前运维服务中存在的弊端,山东省软件评测中心依靠长期从事信息系统运维服务的经验,同时结合信息安全保障体系建设中运维体系建设的要求,遵循ITIL、ISO/IEC 27000系列服务标准、等级保护和分级保护制度,建立了一整套信息安全运维服务管理的建设方案。
信息安全运维体系的构建第一步:建立安全运维监控中心
基于关键业务点面向业务系统可用性和业务连续性进行合理布控和监测,以关键绩效指标指导和考核信息系统运行质量和运维管理工作的实施和执行,帮助用户建立全面覆盖信息系统的监测中心,并对各类事件做出快速、准确的定位和展现。实现对信息系统运行动态的快速掌握,以及运行维护管理过程中的事前预警、事发时快速定位。其主要包括:
● 集中监控:采用开放的、遵循国际标准的、可扩展的架构,整合各类监控管理工具的监控信息,实现对信息资产的集中监视、查看和管理的智能化、可视化监控系统。监控的主要内容包括:基础环境、网络、通信、安全、主机、中间件、数据库和核心应用系统等。
● 综合展现:合理规划与布控,整合来自各种不同的监控管理工具和信息源,进行标准化、归一化的处理,并进行过滤和归并,实现集中、综合的展现。● 快速定位和预警:经过同构和归并的信息,将依据预先配置的规则、事件知识库、关联关系进行快速的故障定位,并根据预警条件进行预警。
构建第二步:建立安全运维告警中心
基于规则配置和自动关联,实现对监控采集、同构、归并的信息的智能关联判别,并综合的展现信息系统中发生的预警和告警事件,帮助运维管理人员快速定位、排查问题所在。
同时,告警中心提供多种告警响应方式,内置与事件响应中心的工单和预案处理接口,可依据事件关联和响应规则的定义,触发相应的预案处理,实现运维管理过程中突发事件和问题处理的自动化和智能化。其中只要包括:
事件基础库维护:是事件知识库的基础定义,内置大量的标准事件,按事件类型进行合理划分和维护管理,可基于事件名称和事件描述信息进行归一化处理的配置,定义了多源、异构信息的同构规则和过滤规则。
智能关联分析:借助基于规则的分析算法,对获取的各类信息进行分析,找到信息之间的逻辑关系,结合安全事件产生的网络环境、资产重要程度,对安全事件进行深度分析,消除安全事件的误报和重复报警。
综合查询和展现:实现了多种视角的故障告警信息和业务预警信息的查询和集中展现。
告警响应和处理:提供了事件生成、过滤、短信告警、邮件告警、自动派发工单、启动预案等多种响应方式,内置监控界面的图形化告警方式;提供了与事件响应中心的智能接口,可基于事件关联响应规则自动生成工单并触发相应的预案工作流进行处理。
构建第三步:建立安全运维事件响应中心
借鉴并融合了ITIL(信息系统基础设施库)/ITSM(IT服务管理)的先进管理规范和最佳实践指南,借助工作流模型参考等标准,开发图形化、可配置的工作流程管理系统,将运维管理工作以任务和工作单传递的方式,通过科学的、符合用户运维管理规范的工作流程进行处置,在处理过程中实现电子化的自动流转,无需人工干预,缩短了流程周期,减少人工错误,并实现对事件、问题处理过程中的各个环节的追踪、监督和审计。其中包括:
图形化的工作流建模工具:实现预案建模的图形化管理,简单易用的预案流程的创建和维护,简洁的工作流仿真和验证。
可配置的预案流程:所有运维管理流程均可由用户自行配置定义,即可实现ITIL/ITSM的主要运维管理流程,又可根据用户的实际管理要求和规范,配置个性化的任务、事件处理流程。
智能化的自动派单:智能的规则匹配和处理,基于用户管理规范的自动处理,降低事件、任务发起到处理的延时,以及人工派发的误差。
全程的事件处理监控:实现对事件响应处理全过程的跟踪记录和监控,根据ITIL管理建议和用户运维要求,对事件处理的响应时限和处理时限的监督和催办。
事件处理经验的积累:实现对事件处理过程的备案和综合查询,帮助用户在处理事件时查找历史处理记录和流程,为运维管理工作积累经验。
构建第四步:建立安全运维审核评估中心
该中心提供对信息系统运行质量、服务水平、运维管理工作绩效的综合评估、考核、审计管理功能。其中包括:
评估:遵循国际和工业标准及指南建立平台的运行质量评估框架,通过评估模型使用户了解运维需求、认知运行风险、采取相应的保护和控制,有效的保证信息系统的建设投入与运行风险的平衡,系统地保证信息化建设的投资效益,提高关键业务应用的连续性。
考核:是为了在评价过程中避免主观臆断和片面随意性,应实现工作量、工作效率、处理考核、状态考核等功能。
审计:是以跨平台多数据源信息安全审计为框架,以电子数据处理审计为基础的信息审计系统。主要包括:系统流程和输入输出数据以及数据接口的完整性、合规性、有效性、真实性审计。构建第五步:以信息资产管理为核心
IT资产管理是全面实现信息系统运行维护管理的基础,提供的丰富的IT资产信息属性维护和备案管理,以及对业务应用系统的备案和配置管理。
基于关键业务点配置关键业务的基础设施关联,通过资产对象信息配置丰富业务应用系统的运行维护内容,实现各类IT基础设施与用户关键业务的有机结合,以及全面的综合监控。这其中包括:
综合运行态势:是全面整合现有各类设备和系统的各类异构信息,包括网络设备、安全设备、应用系统和终端管理中各种事件,经过分析后的综合展现界面,注重对信息系统的运行状态、综合态势的宏观展示。
系统采集管理:以信息系统内各种IT资源及各个核心业务系统的监控管理为主线,采集相关异构监控系统的信息,通过对不同来源的信息数据的整合、同构、规格化处理、规则匹配,生成面向运行维护管理的事件数据,实现信息的共享和标准化。
系统配置管理:从系统容错、数据备份与恢复和运行监控三个方面着手建立自身的运行维护体系,采用平台监测器实时监测、运行检测工具主动检查相结合的方式,构建一个安全稳定的系统。
第五篇:构建安全文化体系
构建安全文化体系,推进和谐企业建设
陈光远
广州珠江啤酒股份有限公司
摘要:安全建设直接关系到社会的和谐稳定,企业的兴衰以及职工个人的生命安全。家和万事兴,企业和谐发展是社会和谐的基础,和谐企业建设成了各企业的主要发展目标。和谐最必要、最重要的保证就是安全。如何做好安全工作是全社会全企业所有人应当关注的问题。本人认为企业应以构建安全文化体系,建设和谐企业为安全工作的指导方向。企业安全文化体系是以企业安全文化为中心,开展各项有效的安全工作,营造一种安全、和谐、生机的企业氛围。企业文化是文化、经济和管理相结合的产物,而安全文化是企业文化不可或缺的重要组成,是企业文化的内涵与外伸。在明确的工作方向指导下,把安全工作融入企业文化建设中,结合精细管理与6S管理等企业管理方法,并纳入企业工作计划日程,尽可能给予政策和物质上的支持。利用PDCA循环原理贯穿于整个安全体系建设,建立全员安全文化教育体系,培养全员安全心态,树立企业安全文化观念,完善制度安全体系,开展全员行为安全文化教育,精细管理充分发挥基层作用,进行企业安全文化现状评估,解决企业安全体系建设过程中出现或将出现的问题,不断完善企业安全体系。企业安全文化建设必须统一布置分步实施,建立长效机制。通过升华完善企业文化,改变员工的思想、行为以及价值观,形成积极向上的团队氛围,形成良好的企业文化氛围,安全和谐的工作环境,一步步把企业品牌做好做强,全员共同发展走进和谐。
关键字:安全文化体系、和谐企业、安全管理、PDCA循环理论
引子:在“知”本社会的今天,企业之间的竞争逐渐演变成企业文化上的竞争。无论在国内外,企业文化的重要性越来越明显。安全文化是企业文化的核心,但往往却是很多企业功于求成的一个忽略点,或是把企业文化与安全工作孤立起来,这些都是不可取的做法。安全文化是企业文化的一部分,它从保护人的生命安全和健康的基本目的出发,以“为了人”和“人的管理”为方针,强调人的因素在保证安全上的主导地位,促使企业所有员工都密切关注安全。安全生产与安全管理是安全文化体系的两大支点。安全生产是企业生存、发展、壮大的保障。世界上众多优秀企业越来越多的重视并强调安全生产,而且安全思想和安全理念也在不断的更新,这就需要与时俱进的安全管理。良好的企业安全文化氛围是和谐企业的根本。构建良好的企业安全文化体系,更加有利于推进和谐企业建设。
对企业安全文化的理解
安全是一种文化。文化是一个社会、一个国家、一个民族、一个时代普遍认同并追求的价值观和行为准则,是生活方式的理性表达。重视安全、尊重生命,是先进文化的体现;忽视安全,轻视生命,是落后文化的表现。一种文化的形成,要靠全社会的努力。生产区内大量的安全警示语、标示牌、危险因素的分析与评价就是一种文化。全体员工应认真学习安全文化,提高安全意识。安全文化是企业文化的主体,没有了安全,所谓的企业生产就要受到影响,没有了安全,所谓的企业文化还能是一个良好的企业文化吗? 企业安全文化作为企业文化的一部分,其形成和发展,首先是从生产实践出发,经归纳总结形成,再应用于安全生产实践中。因此,它在企业建设当中有着举足轻重的意义。现代企业的大规模发展,更为企业的安全文化提供了丰富的内涵。企业安全文化作为一种价值观得到进一步的树立和强化,并已成为安全生产中弘扬和倡导的主流。同时,企业的安全文化建设也是先进企业文化建设的重要组成部分,所以在安全生产中必须体现并建设企业安全文化,推动企业管理水平的全面提高。
企业安全管理是企业安全文化的一种表现形式,是企业安全文化在企业安全管理中的某些经验化、理性化不断发展和优化的体现,科学的企业安全管理也属于企业安全文化建设的范畴。抽象地来说,是指:企业安全管理者根据企业内外安全生产环境的变化,结合企业的历史、现状和发展趋势,从企业的生产实践中总结,提炼出企业安全生产理念或价值体系,作为企业安全生产的方针和原则。
一句话,企业安全文化是指企业为了安全生产所创造的一种文化氛围,是安全活动所创造的安全生产及劳动保护的观念、行为、环境、物态条件的总和,体现为每一个人、每一个单位、每一个群体对安全的态度、思维程度及采取的行动方式。企业安全文化有多种表现形式,如安全文明生产环境与秩序,健全的安全管理体制及安全生产规章与制度的建设,沉淀于企业及员工心灵中的安全意识形态,安全思维方式、安全行为准则、安全道德观、安全价值观等。
所以要把安全文化作为企业发展的重点来抓,也就是要把安全工作纳入企业文化工作中来,加强安全管理,在全公司上下形成一种良好的安全文化氛围。在企业的生产经营活动中,人是最宝贵、最活跃的生产力,由于受企业生产经营活动职责的影响,企业的员工容易被区分成现场作业人员、企业管理人员、企业生产经营主要负责人等不同层次,由此,带来了企业安全生产职责的多层次、多样性。企业安全生产管理最根本的目的是保护企业员工的生命和健康,是保护社会生产力,使之能正常生产,保护生产关系,使公司全体人的合法利益不受侵犯,这是安全生产管理的重要内容。也就是从人的因素入手。重视生产领域的安全,从“人”抓起。人,是企业的主宰者,提高人的安全意识、安全水平,强化安全、法制观念,树立正确的安全理念,是安全文化素养的主要表现手段。企业的员工人数众多,在自身的修养方面各有差异,层次区分明显,因此对安全的理解深浅不一,通过开展丰富多样的企业安全文化活动,可以引导员工关注安全、体会安全、共同提高。因此,企业安全文化建设非常有必要的。
企业要根据各自的特点,形成能被广大职工所理解,具有自己特色的企业文化,安全文化做为企业文化的主要组成部分之一,更是公司特色的体现,安全文化的影响是潜移默化、至深至远的。一个良好的安全、和谐、生机的企业氛围是广大职工开心工作的环境,是职工家人放心的地方,更是一个和谐企业所应具有的表现。故构建设企业安全文化体系,更加有利于推进和谐企业的建设。
应如何开展企业安全文化体系建设
INBEV集团在其VPO计划(生产最优化管理)中,安全是放在第一位的,若安全出现问题,其他的如劳动生产率、成本、消耗、质量指标等无论效绩多好,但总体一切都归于零。安全在企业日常生产管理工作中的重要性及重视性可见而知。要开展好企业安全文化体系建设工作,本人认为企业应以构建企业安全文化体系为目标,改进与完善多年沉淀下来企业文化,把安全工作融入企业文化工作中来,作为企业文化建设的重要组成部分,纳入企业工作计划日程,并尽可能地给予政策和物质上的支持。公司上层领导的积极参与也是一个必要因素,因为安全文化建设的运筹部署,需要得到组织的协调,单位领导的参与管理,以便安全工作的顺利进行和有效实施。同时要杜绝出现一方面员工对安全视若无睹、一方面又对安全生产大讲特讲的怪现象。这就要深入生产的一线,充分发挥各班组、车间安全员的作用,宣传与带头寻找出可能存在的“物”不安全状态,“人”的不安全思想,加以改善并制定合理的操作规程来规范员工的不安全行为。具体的企业安全文化体系的构建大体可以从几个方面着手:
建立全员的安全文化教育体系
良好的企业安全文化体系最重要的就是全员参与、强化管理。全员参与,主要有全员安全意识与全员安全行为两方面。在安全工作方面,最大的因素就是人。安全文化是企业文化的一部分,它从保护人的生命安全和健康的基本目的出发,以“为了人”和“人的管理”为方针,强调人的因素在保证安全上的主导地位,促使企业所有员工都密切关注安全。以人为本,提高全员安全意识,强化管理,确保全员安全行为是企业安全的保证。做好企业安全文化建设就必须全员参与安全文化建设。全员参与强化管理最直接有效的措施就是进行全员安全教育。针对全体员工,就安全认识长期进行思想、态度、责任、法制、价值观等方面的系统教育,从根本上提高其安全意识,树立“安全第一,以防为主”企业安全文化的观念。培养正确的安全意识、树立安全观念最基本、最有效的手段就是安全知识宣传与教育。通过一定的手段(讲座、黑板报、企业内部报、培训班、竞赛活动等)对职工进行生产作业安全技术知识、专业安全技术知识等教育及宣传,加强其自我保护意识。从安全哲学、安全文学、安全美学、安全心理、安全艺术等不同的角度,全视野对全体员工进行安全文化的渗透。通过各种形式的安全活动,逐步形成企业安全文化的浓厚氛围,制造安全需求环境(如多搞一些安全事故防真演习,危险源地带的应急演练;企业内报上开设安全文化专栏等),唤醒人们对生命安全健康的重视,提高安全觉悟性,从而让员工从“要我安全”转入到一种“我要安全”的积极心态。这种积极的安全心态就是员工树立正确安全观念的体现,也是良好企业安全文化的表现。
理论要与实践相结合,一个人树立了正确的安全观念,掌握了一定的安全知识还不够,必须进行反复的技能训练,才能真正做到自我保护、安全作业。在很多企业内,发生事故多的不一定是在生产旺季时,反而是在生产步入相对淡季时,为什么会出现这种情况?松懈,对安全的松懈,在旺季时大家都是百分之一百的警惕,公司领导也比较重视,并不断的强调,所以安全意识体现的比较好,很少出现不安全的行为。但是生产一松下来,就会有些领导及员工有了松懈的意识,这时往往出现一些不安全或不小心的行为,就容易形成事故发生的起源,这就要在这种时期多搞一些如搞现场危险源、危害因素辨识,相关的技能比赛,事故应急预演,相关抢救方法培训等。不断提高业务技能,工作责任感,充分掌握正确操作方法。通过这些活动规范员工的安全行为与安全活动。
全员参与最重要的基础就是安全文化教育体系的完善,在抓好安全工作各细节的基础上,狠抓员工队伍建设,强化安全教育和培训。也就是说,要营造一个安全、和谐、生机的安全文化氛围。从传统经验管理向科学现代化管理转化。要坚持以人为本,培育和导入安全文化。
完善安全制度体系
构建安全管理网络,执行“企业负责制”,各层次人员逐级落实责任;同时实行党员责任区,发挥党员的模范带头作用,建立起横向到边、纵向到底的安全管理网络。切实履行“社会监督”职责,奖惩严明、行之有效。不断搞高、强化企业内各层干部的执行力度。这就要建立健全的各项规章制度,常言执法有依。有了完善的安全法规和制度以及安全操作规程,就可以规范员工的安全行为,起到约束作用。当然不是说有了健全的规章制度,就可以高枕无忧了,必须将死的制度变成活的思想。认真落实安全层级责任制,重视安全安规章制度建设,不断完善,与时俱进,重在落实,没有制度的约束必然会造成安全生产的无度化,光有规章制度,执行无力,也仅仅是纸上谈兵。温家宝曾说:“天下之事,不难于立法,而难于法之行,不难于听言,而难于言之必效。”所以要不断通过对员工的宣传、教育,使其能掌握并接受,脑海中时常存在安全的意识,最终形成一种自主行为,还要定期进行再次培训、考核。古人常言温故可知新,所以有必要建立一套完善的安全文化教育体系,定时给职工进行安全培训、考核。
精细管理发挥基层作用
在理论上大家的认识都是一样,行动上也大同小异。可就是这个小异上,就出现不同的效果。细节是做好安全工作的关键环节。精细管理是以细节为元素,精耕细作,精益求精,不忽视每一个小细节,结合6S管理,对物进行精细管理,所谓的6S就是整理(Seiri)、整顿(Seiton)、清扫(Seiso)、清洁(Seiketsu)、素养(Shitsuke)、安全(Safety)。前面四个S是从“物”主要如设备材料等方面进行系统管理,做好设备的管理,确保设备本质安全。并升华到“人”的因素后两个S。使每个员工养成良好的习惯,确保人员、设备、产品、文件安全性。要做好安全的精细管理,基层的作用是不可或少的。在企业最基层的就是一线员工,发挥一线班组长、安全员的作用是搞好安全工作的最佳措施。一线班组长、安全员是一线员工的带头者,是员工与上级的联系人与问题反馈的代表。他们最直接接触危险因素,最了解危险源的所在,最快发现安全隐患。强化班组安全建议是企业安全文化体系的一个重要组成。
安全文化建设除了关注人的知识、技能、意识、思想、观念、态度、道德、伦理、情感等内在素质外,更重视人的行为,以及安全装置、技术工艺、生产设施和设备、工具材料、环境等外在因素和物态条件。因此可以说,安全文化是企业的一种精神。而这种精神,体现在全体人员的行为中。为此,管理层应运用现代安全管理的方法,公布企业的安全政策业绩以及存在的不足;加大安全宣传与培训力度;鼓励全体员工参与企业的安全工作;收集反馈信息,对安全方面的意见和建议予以重视。调动员工的安全积极性、责任感,使每一位员工都认识到企业的安全离不开自身的努力。企业通过安全文化建设,可以有效地提高企业员工的安全文化素质,使安全成为每位员工的共同的自觉行为。安全是生产的灵魂,安全生产的灵魂源自安全文化。
构建企业安全文化评价体系
安全文化工作中,真正去落实才是关键,所以我认为有必要构建安全文化评价体系加以评估,这样才可以找出问题,并能更好解决问题。可以按以下图示用PDCA循环理论来分析如何构建与实施企业安全文化评价体系
首先确定本的安全工作重点,收集资料,加以分析,结合公司活动年主题,确定本的安全文化工作目标。制订构建企业安全文化评价体系的相关计划;接着要实地去做,执行目标,完成计划工作的主要内容,如:消除事故危险,减少消除危险源,制定相关的安全制度,安全设施的落实,先进的技术应用、优良的作业环境的营建,安全知识培训等行动;再接着去总结执行计划并检查结果,注意效果,找出问题,进行企业安全文化现状评估;然后要对总结检查的结果进行处理,成功的经验加以肯定并适当推广、标准化;失败的教训加以总结,以免重现,未解决的问题放到下一个PDCA循环。以上四个过程不是运行一次就完结,而是要周而复始地进行。一个循环完了,解决了一部分的问题,可能还有其它问题尚未解决,或者又出现了新的问题,这就需要进行下一次循环(见图1)不断的循环。企业的每个部门、科室、车间、班组、甚至每个人的工作都有一个小PCDA循环,这样一层层地解决问题而且大环套小环,环扣一环,小环保大环并推动大循环(见图2)。企业安全文化评价体系,不只是对“人”行为的评价,更是对“物”的评价,对于设备的现存,安全隐患,存在不安全因素或凶险可能性等进行评估。PACD循环理论可以更好地保证安全文化的评价体系的进行,确保安全文化工作的持续性,是构建安全文化体系的行之有效的方法与保障。
小结
和谐企业是一个全新的概念,它是一个企业全体员工各尽其能、充满创造活力的企业,是各方面利益关系不断得到有效协调的企业,是管理体制和服务网络不断创新和健全的企业,是稳定有序、安定团结、各种矛盾得到妥善处理的企业。和谐企业不只是企业职工内的和谐,更重要的是对外界所表现出来的:客户满意,符合社会需求促进社会发展实质性的和谐。是和谐社会的一个重要组成部分。一个和谐企业的最主要表现就是安全,具有良好的企业安全文化氛围。构建企业文化安全体系,更加有利于推进和谐企业的建设发展。
企业安全文化建设必须统一布置,分步实施,建立长效机制。通过建立、完善企业文化,改变员工的思想、行为以及价值观,形成积极向上的团队氛围,与此同时创建企业安全文化,规范员工的安全行为,让安全管理工作逐步向自主管理、团队管理这样更高的目标发展。企业安全文化的形成是企业向“人本管理”转变的重要标志,是一个企业强大生命力的体现;也是一个企业为建设和谐社会的重大行动。一个企业安全工作有难度,但它是一件具有深远意义而又长期的工作。是企业做大做强的基础,是领先国际水平,向全球化进军的必由之路。所以企业经营者必须形成一致的共识和高度重视,热情支持,积极协同倡导,共建企业安全文化体系,构建和谐工作环境。
参考文献:
[1] 张景钢、谭允祯 企业安全文化建设[J].中国科技文在线(http://www.xiexiebang.com
点击咨询 