《信息安全管理提升的分析与研究的论文》由会员分享,可在线阅读,更多相关《信息安全管理提升的分析与研究的论文(5页珍藏版)》请在金锄头文库上搜索。
1、信息平安管理提升的分析与研究的论文 历经多年的信息通信基础设施建设,管道公司信息通信网络已覆盖分布在全国14个省市的二级单位、输油站库、码头和工程部,承载着工业电视、视频会议、移动可视化等网络应用以及智能化管线系统、ERP系统、OA系统等信息系统,成为公司生产运营、经营管理、综合办公的中枢神经。基于日趋完善的信息平安防护建设和日益丰富的信息平安管理手段,逐步建立了信息平安管理體系,部署了常规的技术防护措施,初步落实了信息平安等级保护要求,并定期开展信息平安风险评估。但是,必须看到,公司信息平安工作仍然面临十分严峻的形势。 (1)国际上围绕网络空间主导权与控制权的争夺日趋激烈,信息基础设施和社会
2、基础数据面临新时期严峻的网络攻击风险;云计算、物联网、移动互联和大数据等新技术的快速开展使网络平安边界更加模糊,给信息平安带来了新的更大的风险和挑战。 (2)国家层面在不断加强信息平安监管力度,专门成立了中央网络平安与信息化领导小组。“网络强国战略”在十八届五中全会上被纳入国家十三五规划的战略体系,网络信息平安逐渐被提升至国家平安战略的新高度。国内先进企业也在体系化的全面推进信息平安风险管控工作,传统的“被动静态防护”逐渐被“主动动态防御”所取代。 (3)管道公司在信息平安管理、技术保障和合规性建设方面取得了一定的进展,但仍然存在以下缺乏:信息平安组织机构不健全,缺乏专业技术人才;局部员工缺乏
3、信息平安意识,信息平安责任落实不到位;信息系统建设没有完全落实信息平安防护同步规划、同步建设、同步运行的“三同步”原那么,信息系统等级保护没有全面开展;互联网出口尚未统一,信息平安整体防御能力相对薄弱;无线网络应用、终端入网审计及系统用户权限管控还有待进一步标准。 2.1健全信息平安管理体系 成立公司网络平安和信息化领导小组,建立公司、二级单位两级的信息平安管理与应急处置组织体系,建立平安方针政策、平安管理、技术标准标准、流程控制表单四个层级的信息平安标准与制度体系框架;以信息平安等级保护为主线,抓好信息化工程立项、验收等关键节点,建立信息系统平安风险管控体系;按年度开展信息平安评估检查,以问
4、题为导向提升信息平安防护水平;建立信息平安通报机制,强化信息平安意识宣教与信息平安技术培训、技能竞赛,形成良好的信息平安气氛。 2.2完善信息平安技术保障体系 在终端平安方面,部署网络准入控制系统、桌面平安管理系统、防病毒系统;在应用系统平安方面,对关键效劳器主机设备进行冗余部署,建立主机弱点分析机制、主机系统软件备份和恢复机制、主机入侵检测机制和主机系统操作标准。同时,通过实施现有网络优化改造、网关部署等措施,实现公司生产网和办公网的业务平安隔离,提升网络边界平安防护能力。 3.1建立信息平安责任制 分解落实信息化归口管理部门、业务主管部门、建设运维单位、应用部门在信息系统全生命周期中的平安
5、责任。明确各单位、部门的主要领导为信息平安第一责任人,明确各级信息平安管理员及各专业人员的信息平安岗位职责,强调像对待生产平安一样对待信息平安,营造人人有责、人人尽责、齐抓共管的信息平安管控环境。 3.2加强信息系统平安等级 保护与信息化工程全生命周期的信息平安闭环管理,抓好过程管控,切实落实“三同步”要求。在立项阶段确定平安等级,编制平安方案;在建设实施阶段实施平安方案;在上线验收阶段严格平安检查,杜绝系统“带病”上线运行。同时,梳理检查已投入运行维护的系统,确保全部纳入信息系统平安等级保护管理。 3.3建立健全信息平安应急响应机制 丰富信息平安应急资源,完善信息平安应急预案并加强演练,提升
6、信息平安事件的响应速度和处置水平。通过技术培训和人才引进,加强信息平安技术团队建设,提升信息平安态势感知能力和动态主动防御水平,促使信息平安管理由“救火型”向“预防型”转变。 3.4建立健全信息平安分析和通报制度 结合国内外及石化行业信息平安形势,开展信息平安分析,查摆问题,研究制定解决方案。扩大信息平安通报影响面,充实通报内容,充分发挥通报信息平安信息、传播信息平安知识、安排信息平安工作、通报信息平安考核结果的综合作用。 3.5统一公司互联网出口 按业务需要严格管控,互联网访问实行实名制管理,互联网访问资源实行白管理。对外应用统一至公司云平台的对外区,建立统一远程接入区。建立公司统一的无线网
7、络的认证系统,取缔私自接入的无线路由器,标准无线网络应用,为移动应用提供平安通道。 3.6加强用户弱口令管理 全面启用强密码策略,提升用户认证的平安强度;将统一身份管理系统与HR系统集成,实时同步人员信息,强化用户账号的实名制管理。加强终端平安管理,实施用户终端准入实名制管理,全面提高统一防病毒软件和桌面管理软件的安装率,并积极推进虚拟桌面的普及应用。 3.7建立完善公司信息平安基线 以基线为基础实现信息平安的全面管控,降低局部信息平安事件对整体信息平安形势的影响,采取主动的防御思想,建设信息平安防护体系,并适时对基线进行调整,实现对信息平安事件的有效防御,切实提升信息平安管理和防护水平。 信息平安管理要坚持技术与管理并重1,在提高信息平安技术防护能力、做好适度防护的同时,注重信息平安组织体系、风险控制和运行效劳等方面的管理,形成信息平安动态长效管理机制以及预防为主的主动式信息平安保护模式;既要作为一个单项重要工作来抓,更要融入各项日常信息化工作,特别是信息系统全生命周期管理中去,才能保障企业信息化的健康有序开展。 1刘希俭等.企业信息化实务指南M.北京:石油工业出版社;xx. 模板,内容仅供参考
