前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網(wǎng)絡(luò)安全整改計(jì)劃主題范文,僅供參考,歡迎閱讀并收藏。
(一)全盤掃描安全檔案,縱向到底,橫向到邊
根據(jù)上周中心行政辦公會(huì)議上安全隱患整治階段性工作匯報(bào)情況,針對(duì)各部門隱患整治推進(jìn)過程中工作開展不平衡現(xiàn)象,對(duì)安全生產(chǎn)百日大會(huì)戰(zhàn)安全檔案上的隱患清單進(jìn)行全盤掃描自查,追蹤銷號(hào),壓實(shí)責(zé)任、加快整改力度,聚焦薄弱環(huán)節(jié)、突出工作重點(diǎn)、堅(jiān)持標(biāo)本兼治,將安全生產(chǎn)檢查徹底做到縱向到底,橫向到邊,不留一點(diǎn)死角。
(二)仔細(xì)排查,及時(shí)整改,雙向進(jìn)行兩不誤
1.消防安全
本周,各直屬分中心對(duì)所屬急救點(diǎn)的氧氣房和用電安全進(jìn)行了全面檢查,未發(fā)現(xiàn)違規(guī)情況。中心后勤保障科堅(jiān)持每周開展安全隱患排查工作,對(duì)直屬分中心的值班站點(diǎn)、救護(hù)車進(jìn)行了全面檢查,確保滅火器配置到位并能有效使用。
2.信息安全
在做好網(wǎng)絡(luò)、網(wǎng)站和關(guān)鍵信息基礎(chǔ)設(shè)施的信息安全保護(hù)工作基礎(chǔ)上,重點(diǎn)加強(qiáng)互聯(lián)網(wǎng)、專網(wǎng)等網(wǎng)絡(luò)邊界的網(wǎng)絡(luò)安全保護(hù)工作,重點(diǎn)做好120指揮調(diào)度系統(tǒng)、電子病歷系統(tǒng)等關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作。中心還根據(jù)應(yīng)急預(yù)案,定期開展應(yīng)急演練,并根據(jù)演練結(jié)果,總結(jié)經(jīng)驗(yàn)和不足,及時(shí)整改。定期對(duì)本單位網(wǎng)絡(luò)安全情況進(jìn)行自查,評(píng)估風(fēng)險(xiǎn),明確優(yōu)化需求,制定完備的安全策略。對(duì)部分信息安全制度進(jìn)行了更新,強(qiáng)化了信息安全宣傳工作。在季度日志分析的基礎(chǔ)上,對(duì)日志審計(jì)系統(tǒng)及其他信息安全設(shè)備的日志又進(jìn)行了仔細(xì)的分析,及時(shí)排查信息安全漏洞及不規(guī)范的網(wǎng)絡(luò)操作。強(qiáng)化了信息安全宣傳,對(duì)信息安全制度進(jìn)行了更新。完成了三級(jí)等保一期整改招標(biāo)工作、優(yōu)化安全設(shè)備策略,簽訂了整改項(xiàng)目合同,整改工作目前已經(jīng)開始,對(duì)信息安全日志記錄進(jìn)行了完善及分析,從中排查問題隱患。機(jī)房安裝了入侵報(bào)警系統(tǒng)。對(duì)安全設(shè)備的配置做了更加細(xì)致的梳理,制定了對(duì)弱電井線路的整改計(jì)劃。
3.醫(yī)療安全
醫(yī)務(wù)急救科起草完成《死亡病歷討論制度》,并與質(zhì)量管理科共同完成院前急救核心制度考試。3個(gè)直屬分中心通過病歷系統(tǒng)軟件開展對(duì)急救醫(yī)療行為的監(jiān)督,不定時(shí)檢查和監(jiān)控醫(yī)療安全。開展對(duì)轉(zhuǎn)院原則風(fēng)險(xiǎn)評(píng)估排查3次,督促職工對(duì)核心制度的學(xué)習(xí)和落實(shí)。對(duì)每輛救護(hù)車的醫(yī)療艙進(jìn)行檢查,確保急救物品按照中心要求配置到位并能安全使用
二、存在主要問題
第九醫(yī)院急救點(diǎn)醫(yī)療器械管理、病歷書寫不規(guī)范。
一、我院信息網(wǎng)絡(luò)安全工作開展情況
(一)概況:我院信息化建設(shè)起步晚,基礎(chǔ)薄弱。在院領(lǐng)導(dǎo)的重視支持下,自2013年開始信息化建設(shè)得以快速發(fā)展。目前醫(yī)院設(shè)立單獨(dú)中心機(jī)房,配備有服務(wù)器、存儲(chǔ)、核心交換機(jī)、防火墻、UPS、VPN、IPS等專用設(shè)備。工作人員為4人,負(fù)責(zé)全院信息網(wǎng)絡(luò)建設(shè),信息系統(tǒng)維護(hù)、軟硬件設(shè)備維護(hù)等工作。相繼建設(shè)運(yùn)行的系統(tǒng)有:HIS系統(tǒng)、LIS系統(tǒng)、體檢系統(tǒng)、電子病歷等業(yè)務(wù)。
(二)關(guān)鍵信息基礎(chǔ)設(shè)施情況:我院關(guān)鍵信息基礎(chǔ)設(shè)施主要是業(yè)務(wù)類系統(tǒng),負(fù)責(zé)全院醫(yī)療業(yè)務(wù)流程管理和質(zhì)量管理、醫(yī)院日常辦公管理。醫(yī)院網(wǎng)站為托管模式,與我院內(nèi)網(wǎng)完全分離,制定較為嚴(yán)格的管理及訪問規(guī)則,保證網(wǎng)站安全運(yùn)行。
(三)醫(yī)院網(wǎng)絡(luò)安全主要工作情況:
(1)加強(qiáng)制度建設(shè)和培訓(xùn)宣傳。我院近兩年完善了信息網(wǎng)絡(luò)管理及安全建設(shè)相關(guān)的管理制度、應(yīng)急預(yù)案,制定了網(wǎng)絡(luò)及安全管理崗位職責(zé)、工作流程,開展了全員參與的信息網(wǎng)絡(luò)安全培訓(xùn),通過不斷的宣傳和督促,讓員工樹立信息網(wǎng)絡(luò)安全意識(shí),主動(dòng)參與網(wǎng)絡(luò)安全防護(hù)、防止信息泄露,確保醫(yī)院信息網(wǎng)絡(luò)運(yùn)行安全。
(2)健全組織,強(qiáng)化責(zé)任。信息管理作為醫(yī)院管理的重要工作之一,院領(lǐng)導(dǎo)十分重視。醫(yī)院調(diào)整了信息化建設(shè)領(lǐng)導(dǎo)小組,由院長(zhǎng)任組長(zhǎng),相關(guān)人員為成員。領(lǐng)導(dǎo)小組下設(shè)工作小組,由相關(guān)職能科室負(fù)責(zé)人、信息技術(shù)專業(yè)人員為成員。明確了包括醫(yī)院信息規(guī)劃、信息網(wǎng)絡(luò)建設(shè)、信息網(wǎng)絡(luò)安全、網(wǎng)絡(luò)應(yīng)急、人員培訓(xùn)等方面的職能職責(zé)。為了進(jìn)一步落實(shí)各級(jí)主管部門強(qiáng)調(diào)加強(qiáng)網(wǎng)絡(luò)安全建設(shè)的要求,醫(yī)院成立了醫(yī)院網(wǎng)絡(luò)安全管理小組并明確責(zé)任。對(duì)照國(guó)家及上級(jí)有關(guān)部門的要求,不斷完善醫(yī)院信息網(wǎng)絡(luò)系統(tǒng)功能,不斷提升信息系統(tǒng)安全性與穩(wěn)定性,滿足日益增加的信息網(wǎng)絡(luò)技術(shù)服務(wù)需求。
(3)加強(qiáng)信息科管理??剖覂?nèi)經(jīng)常性對(duì)信息網(wǎng)絡(luò)安全工作加以強(qiáng)調(diào),盡量安排人員參加每一次信息網(wǎng)絡(luò)安全知識(shí)培訓(xùn)。落實(shí)機(jī)房中心設(shè)備定期巡查制度,及時(shí)排除隱患。信息科組織專人到科室開展信息網(wǎng)絡(luò)安全巡查,提醒和糾正員工在日常操作中不規(guī)范行為,減少隱患。對(duì)醫(yī)院重要數(shù)據(jù)庫(kù)數(shù)據(jù)采用每日備份,和定期拷貝備份的方式,確保數(shù)據(jù)安全。
(4)多種防護(hù)措施保證信息網(wǎng)絡(luò)安全。一是業(yè)務(wù)用局域網(wǎng)與互聯(lián)網(wǎng)物理隔離。同時(shí)連接的有醫(yī)保專網(wǎng)、新農(nóng)和專網(wǎng),與互聯(lián)網(wǎng)一樣通過防火墻設(shè)備進(jìn)入。二是訪問公網(wǎng)的計(jì)算機(jī)均為固定IP,并綁定計(jì)算機(jī),且與內(nèi)網(wǎng)隔離。防止外來計(jì)算機(jī)的進(jìn)入,帶來安全隱患。財(cái)務(wù)管理軟件系統(tǒng)的計(jì)算機(jī)連接財(cái)政專網(wǎng)與內(nèi)網(wǎng)完全隔離。三是今年購(gòu)置了一臺(tái)新IPS設(shè)備,嚴(yán)把入口,局域內(nèi)網(wǎng)分區(qū)域分段管理,限制訪問權(quán)限,避免病毒全網(wǎng)傳播。四是院內(nèi)局域網(wǎng)中客戶端均實(shí)行域控管理,對(duì)客戶端系統(tǒng)安裝均為本科專人管理預(yù)防病毒感染和威脅。五是重點(diǎn)部位重點(diǎn)管理,機(jī)房不準(zhǔn)無關(guān)人員進(jìn)入,系統(tǒng)數(shù)據(jù)庫(kù)均設(shè)置復(fù)雜密碼,專人保管。六是定期監(jiān)控局域網(wǎng)內(nèi)計(jì)算機(jī)是否異常,通過限制局域網(wǎng)內(nèi)計(jì)算機(jī)使用U盤來防止病毒在網(wǎng)內(nèi)傳播。七是服務(wù)器區(qū)關(guān)閉非必須端口,提升防護(hù)能力。八是對(duì)辦公使用的外網(wǎng)計(jì)算機(jī),安裝了免費(fèi)防病毒軟件。
二、主要存在的問題
盡管采取了一定的防范措施和手段,我們依然感覺到網(wǎng)絡(luò)發(fā)展之快,和現(xiàn)實(shí)工作對(duì)網(wǎng)絡(luò)的依賴程度之高,給我們的網(wǎng)絡(luò)管理帶來了很大壓力,特別是隨著業(yè)務(wù)的擴(kuò)展和增加,以及上級(jí)各部門的工作通過互聯(lián)網(wǎng)完成的趨勢(shì)要求,網(wǎng)絡(luò)及數(shù)據(jù)安全問題的壓力陡增。通過自查及整改后防護(hù)有所好轉(zhuǎn),但仍然存在一些問題,主要表現(xiàn)在:
(一)隨著互聯(lián)網(wǎng)+醫(yī)療的推進(jìn),未來將會(huì)多系統(tǒng)通過互聯(lián)網(wǎng)進(jìn)入,對(duì)醫(yī)院局域網(wǎng)將帶來很大威脅,存在一定的安全隱患。醫(yī)院的業(yè)務(wù)系統(tǒng)獨(dú)成一體,在醫(yī)院內(nèi)部應(yīng)用,通過內(nèi)部局域網(wǎng)的管理和控制,基本可以保證安全與穩(wěn)定。但隨著各部門要求醫(yī)院實(shí)時(shí)上報(bào)相關(guān)數(shù)據(jù),雖然大部分專線來完成數(shù)據(jù)傳輸,但也有通過公共互聯(lián)網(wǎng)進(jìn)行上報(bào)如網(wǎng)上預(yù)約、線上線下支付等,對(duì)醫(yī)院的管理和安全防護(hù)帶來壓力。醫(yī)院目前的安全防護(hù)設(shè)備相對(duì)較少,僅靠人力被動(dòng)處理,抵御能力有限。
(二)信息安全需要一定經(jīng)費(fèi)投入,對(duì)醫(yī)院來說有壓力。醫(yī)院也通過購(gòu)置相關(guān)設(shè)備對(duì)醫(yī)院的信息安全進(jìn)行一定的管理,但這些設(shè)備需要不斷的更新,需要費(fèi)用不斷投入,而且因?yàn)閮r(jià)格過高而沒有單獨(dú)購(gòu)置主要系統(tǒng)(操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、網(wǎng)絡(luò)殺毒)的正版軟件,對(duì)安全來說沒有保障。
(三)安全防護(hù)本身就是一個(gè)難題,涉及的點(diǎn)面較多,普通應(yīng)用人員對(duì)網(wǎng)絡(luò)威脅的辨別能力和防范意識(shí)不高,也容易產(chǎn)生隱患。而目前醫(yī)院網(wǎng)絡(luò)管理專業(yè)技術(shù)人員缺乏也是安全防護(hù)隱患存在的一個(gè)因素。
三、下一步工作措施及建議
通過本次的自查,我們將進(jìn)行下一步整改,通過對(duì)制度的完善,加強(qiáng)培訓(xùn),增購(gòu)設(shè)備等,使我院信息網(wǎng)絡(luò)安全進(jìn)一步強(qiáng)化。下一步我們?nèi)匀粫?huì)對(duì)照各級(jí)部門對(duì)信息網(wǎng)絡(luò)安全的要求,利用有限的資金做好安全防護(hù),逐步達(dá)到信息安全管理工作的各項(xiàng)要求。
(一)加強(qiáng)信息安全組織管理。完善信息管理組織的職能,堅(jiān)持定期開展專題工作會(huì)議,安排部署信息網(wǎng)絡(luò)建設(shè)及安全等各項(xiàng)工作。巡查常態(tài)化,通過督促檢查,提升員工安全防護(hù)意識(shí)。
(二)根據(jù)實(shí)際落實(shí)和變化情況,修訂完善細(xì)化各類規(guī)章制度,通過網(wǎng)絡(luò)宣傳、現(xiàn)場(chǎng)指導(dǎo)培訓(xùn)、集中培訓(xùn)等多種方式提高大家在網(wǎng)絡(luò)環(huán)境中的安全意識(shí)。辨識(shí)虛擬環(huán)境中的不安全因素。
(三)進(jìn)行嚴(yán)格的訪問權(quán)限設(shè)置,降低安全風(fēng)險(xiǎn),嚴(yán)令禁止內(nèi)網(wǎng)用戶使用移動(dòng)介質(zhì)訪問,杜絕病毒網(wǎng)內(nèi)傳播蔓延。
【關(guān)鍵詞】發(fā)電企業(yè);網(wǎng)絡(luò)安全;管理;技術(shù)
近些年,隨著電力體制改革的逐步深入和信息技術(shù)的飛速發(fā)展,發(fā)電企業(yè)對(duì)信息系統(tǒng)的依賴性逐漸提高,信息系統(tǒng)在企業(yè)生產(chǎn)經(jīng)營(yíng)和管理中扮演的角色越來越重要。發(fā)電企業(yè)通過信息化方式進(jìn)行生產(chǎn)管理和辦公得到了廣泛認(rèn)同,并因此大幅提高了生產(chǎn)效率和管理水平。
其中,網(wǎng)絡(luò)安全工作的落實(shí)情況是企業(yè)信息化管理水平的集中體現(xiàn)。作為國(guó)家能源行業(yè)的一份子,發(fā)電企業(yè)的信息網(wǎng)絡(luò)安全尤為重要,保障發(fā)電企業(yè)的網(wǎng)絡(luò)安全也是保障國(guó)家和社會(huì)安全的重要一環(huán)。發(fā)電企業(yè)對(duì)于信息化的重視程度也體現(xiàn)在加強(qiáng)自身信息網(wǎng)絡(luò)安全工作上,網(wǎng)絡(luò)安全已經(jīng)成為發(fā)電企業(yè)安全生產(chǎn)的一項(xiàng)重要內(nèi)容,不論對(duì)于火力、水力、核電、風(fēng)能、太陽能還是新能源發(fā)電企業(yè),網(wǎng)絡(luò)安全同等重要。
從電力行業(yè)信息化的發(fā)展現(xiàn)狀來看,網(wǎng)絡(luò)安全工作大致可以分為以下幾個(gè)方面:網(wǎng)絡(luò)安全管理、安全防護(hù)技術(shù)、應(yīng)急保障和宣傳教育等。網(wǎng)絡(luò)安全管理包括:企業(yè)要有網(wǎng)絡(luò)安全領(lǐng)導(dǎo)責(zé)任制、管理機(jī)構(gòu)和信息化網(wǎng)絡(luò)專責(zé)工作人員;網(wǎng)絡(luò)安全責(zé)任制的具體落實(shí)以及責(zé)任追究機(jī)制;人員、信息化經(jīng)費(fèi)、信息資產(chǎn)、采購(gòu)、培訓(xùn)、外包人員等日常安全管理;完整、完善的網(wǎng)絡(luò)安全管理制度體系;安全監(jiān)測(cè)、硬件冗余、安全審計(jì)、補(bǔ)丁管理。安全防護(hù)技術(shù)包括:防病毒、防篡改、防癱瘓、防攻擊、防泄密等安全措施;服務(wù)器、防火墻、物理隔離設(shè)備等網(wǎng)絡(luò)安全設(shè)備的安全策略和功能有效性;局域網(wǎng)、互聯(lián)網(wǎng)、無線網(wǎng)絡(luò)安全措施;和非計(jì)算機(jī)、移動(dòng)介質(zhì)及密碼設(shè)備的安全防護(hù)措施。應(yīng)急保障工作包括:信息安全事件應(yīng)急預(yù)案、數(shù)據(jù)備份和恢復(fù)演練、應(yīng)急技術(shù)支撐隊(duì)伍、重大安全事件處置等。宣傳教育工作包括:企業(yè)日常網(wǎng)絡(luò)安全培訓(xùn)(包含:企業(yè)領(lǐng)導(dǎo)、信息化人員和業(yè)務(wù)人員)和網(wǎng)絡(luò)安全管理員專業(yè)技術(shù)培訓(xùn)。
發(fā)電企業(yè)已經(jīng)在網(wǎng)絡(luò)安全方面取得了很大的成績(jī),軟件正版化率、自主開發(fā)軟件和國(guó)產(chǎn)信息系統(tǒng)的使用率都在逐年提高,國(guó)產(chǎn)網(wǎng)絡(luò)安全防護(hù)設(shè)備也已經(jīng)大范圍應(yīng)用在企業(yè)網(wǎng)絡(luò)中。發(fā)電企業(yè)在取得一些成績(jī)的同時(shí),還需要充分認(rèn)識(shí)到自身的不足之處,很多發(fā)電企業(yè)認(rèn)為發(fā)電才是自己的主業(yè),對(duì)企業(yè)信息化不夠重視,人員和資金的投入都很少,導(dǎo)致企業(yè)網(wǎng)絡(luò)安全得不到有效的保障,網(wǎng)絡(luò)安全事件時(shí)有發(fā)生,這對(duì)于企業(yè)和國(guó)家都是一筆損失。
綜上所述,發(fā)電企業(yè)要從以下幾個(gè)方面入手,逐步改進(jìn)并完善網(wǎng)絡(luò)信息安全工作:企業(yè)應(yīng)該有獨(dú)立的信息化管理部門,設(shè)置專門負(fù)責(zé)網(wǎng)絡(luò)安全管理員,明確崗位安全責(zé)任制,成立信息化領(lǐng)導(dǎo)小組、信息安全工作小組和招標(biāo)小組等信息化工作組織機(jī)構(gòu);定期召開網(wǎng)絡(luò)安全管理工作會(huì)議,商議決策企業(yè)信息化工作,強(qiáng)化網(wǎng)絡(luò)安全;做好企業(yè)網(wǎng)絡(luò)安全規(guī)劃,按照年度、短期和長(zhǎng)期規(guī)劃來制定,信息安全工作的整體策略及總體規(guī)劃(方案)需要完善,在今后工作中不斷補(bǔ)充、調(diào)整與細(xì)化;將信息網(wǎng)絡(luò)安全管理納入到企業(yè)年度工作計(jì)劃和績(jī)效考核中;每年都要進(jìn)行定期的信息安全培訓(xùn)和宣傳,讓員工充分了解和熟知網(wǎng)絡(luò)安全對(duì)于企業(yè)的重要性;劃分明確的分區(qū)界限,根據(jù)生產(chǎn)、管理等要素進(jìn)行分區(qū)管理;完善企業(yè)網(wǎng)絡(luò)信息安全管理制度,并落實(shí)執(zhí)行;加強(qiáng)局域網(wǎng)、廣域網(wǎng)和對(duì)外網(wǎng)站的管理;按照公安部和上級(jí)部門的有關(guān)要求,進(jìn)行信息系統(tǒng)安全等級(jí)保護(hù)備案工作,進(jìn)行安全風(fēng)險(xiǎn)測(cè)評(píng);定期開展網(wǎng)絡(luò)安全自查工作,并按照檢查問題進(jìn)行相關(guān)整改,需要定期開展網(wǎng)絡(luò)安全自查及整改工作,有條件的企業(yè)可以請(qǐng)外面高水平的專家組來企業(yè)做安全測(cè)評(píng)指導(dǎo),通過這些檢查可以及時(shí)發(fā)現(xiàn)問題,進(jìn)行有效的整改工作,保障企業(yè)信息網(wǎng)絡(luò)安全,使得員工可以通過信息系統(tǒng)提高生產(chǎn)管理和辦公效率;定期進(jìn)行信息系統(tǒng)數(shù)據(jù)備份和恢復(fù)演練,進(jìn)一步完善企業(yè)的網(wǎng)絡(luò)與信息安全應(yīng)急管理體系,保障應(yīng)急資源的及時(shí)到位,進(jìn)一步制定有針對(duì)性的、實(shí)用化的專項(xiàng)應(yīng)急預(yù)案,同時(shí)預(yù)案的演練要實(shí)現(xiàn)常態(tài)化;設(shè)定賬戶鎖定時(shí)間、賬戶鎖定閥值、重置賬戶鎖定計(jì)數(shù)器等安全策略;信息系統(tǒng)管理員需要定期檢查補(bǔ)丁更新、防病毒軟件和防惡意代碼軟件工作日志;口令執(zhí)行策略需要包括:密碼必須符合復(fù)雜性要求、密碼長(zhǎng)度最小值、密碼短期使用期限、密碼長(zhǎng)期使用期限、強(qiáng)制密碼歷史和用可還原的加密來存儲(chǔ)密碼等安全策略;盡可能采用每個(gè)賬戶和每個(gè)人一一對(duì)應(yīng)的關(guān)系,避免了賬戶的重復(fù)和共享賬戶的存在,對(duì)于多余的、過期的賬戶進(jìn)行定期檢查和及時(shí)刪除;實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)特權(quán)用戶的權(quán)限分離,實(shí)現(xiàn)數(shù)據(jù)庫(kù)賬戶獨(dú)立管理;要有完整的機(jī)房進(jìn)出記錄和系統(tǒng)安全維護(hù)檢查記錄;完善備份系統(tǒng)建設(shè);企業(yè)應(yīng)建立長(zhǎng)效機(jī)制以確保信息安全建設(shè)及運(yùn)行維護(hù)經(jīng)費(fèi)及時(shí)到位,以實(shí)現(xiàn)經(jīng)費(fèi)投入的常態(tài)化;加大信息安全產(chǎn)品的投入力度并盡量采購(gòu)國(guó)內(nèi)廠家的安全產(chǎn)品,降低對(duì)國(guó)外產(chǎn)品的依賴程度;對(duì)在信息安全崗位及其他敏感崗位工作的人員一定要搞好審查工作,只有符合規(guī)定的人員才能上崗,一旦人員離崗必須簽署保密承諾書且其權(quán)限要及時(shí)收回;按照國(guó)家有關(guān)要求,需要做到所有計(jì)算機(jī)類產(chǎn)品不安裝Windows 8操作系統(tǒng),并采取措施應(yīng)對(duì)Windows XP停止安全服務(wù);安全防護(hù)產(chǎn)品采取白名單、卸載與工作無關(guān)的應(yīng)用程序、關(guān)閉不必要服務(wù)和端口等安全措施情況。
不論在哪個(gè)行業(yè)或領(lǐng)域,安全都是第一位的,而網(wǎng)絡(luò)安全在涉及國(guó)家安全的發(fā)電企業(yè)更是尤為重要。發(fā)電企業(yè)要按照“誰主管誰負(fù)責(zé),誰運(yùn)營(yíng)誰負(fù)責(zé)”的原則,明確任務(wù),落實(shí)責(zé)任,加強(qiáng)網(wǎng)絡(luò)安全工作,保障企業(yè)網(wǎng)絡(luò)與信息系統(tǒng)的安全穩(wěn)定運(yùn)行。因?yàn)殡娏儆趪?guó)家能源行業(yè)的重要一環(huán),必須遵循“上網(wǎng)不、不上網(wǎng)”的原則??傊?,發(fā)電企業(yè)面臨的網(wǎng)絡(luò)安全形勢(shì)是復(fù)雜多變的,還有很長(zhǎng)的路要走。
參考文獻(xiàn)
[1]羅寧.P2P安全問題初探[A].第十七次全國(guó)計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)暨電子政務(wù)安全研討會(huì)論文集[C].2002.
[2]祝崇光,姚旺.檢察系統(tǒng)信息網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)評(píng)估[A].全國(guó)計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集(第二十二卷)[C].2007.
[3] 朱修陽. 檢察機(jī)關(guān)專網(wǎng)系統(tǒng)信息網(wǎng)絡(luò)安全體系初探[A].全國(guó)計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集(第二十二卷)[C].2007.
[4]曾德賢,李睿.信息網(wǎng)絡(luò)安全體系及防護(hù)[A].第十八次全國(guó)計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集[C].2003.
[5]劉威,劉鑫,杜振華.2010年我國(guó)惡意代碼新特點(diǎn)的研究[A].第26次全國(guó)計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集[C].2011.
全年協(xié)助主任落實(shí)完成部門工作及學(xué)校部署、以及臨時(shí)安排的各項(xiàng)工作,除了完成日常工作、處理部門內(nèi)各項(xiàng)事宜外還完成了。
一、撰寫中心關(guān)于中央財(cái)政專項(xiàng)規(guī)劃材料,含7個(gè)項(xiàng)目計(jì)劃表、申請(qǐng)書、績(jī)效目標(biāo)申報(bào)表,目前剩下2個(gè)項(xiàng)目;
二、與省機(jī)要局建設(shè)保密傳輸系統(tǒng)項(xiàng)目完成對(duì)接、設(shè)備上線,并在投入使用中提供技術(shù)支持,完成保密工作欄目建設(shè);
三、AAA、BBB完成黑龍江省“全面加強(qiáng)網(wǎng)絡(luò)安全 推進(jìn)教育信息化”專題網(wǎng)絡(luò)培訓(xùn)示范班學(xué)習(xí),獲得學(xué)習(xí)證書;
四、完成省教育廳《關(guān)于加快推進(jìn)教育行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)的通知》文件附件填寫,設(shè)計(jì)規(guī)劃我校信息系統(tǒng)安全等級(jí)保護(hù)工作方案;
五、完成鍋爐房二、三、四樓綜合布線及光纜鋪設(shè)工程,綜合訓(xùn)練館光纜維修,解決老干部、后勤等部門上網(wǎng)辦公需求,解決求智樓與機(jī)關(guān)樓核心機(jī)房光纖互聯(lián)及求智樓內(nèi)所有房間上網(wǎng)問題;
六、幫助安裝機(jī)關(guān)樓八樓會(huì)議室電視及線路,解決視頻播放、幻燈片播放問題;
七、參加業(yè)務(wù)交流及學(xué)習(xí)7次;
八、幫助財(cái)務(wù)處施工、部署安心付服務(wù)器及系統(tǒng)上線,并在其投入使用后提供技術(shù)支持;
九、在OA平臺(tái)《提升師生信息技術(shù)應(yīng)用能力的培訓(xùn)》信息20余期;
十、假期不休息,配合后勤部門解決學(xué)生第四、第五公寓樓內(nèi)綜合布線、網(wǎng)絡(luò)無線覆蓋工程,后勤整改工作情況匯報(bào)材料制作,29屆大冬會(huì)火炬?zhèn)鬟f線路繪圖等工作;
十一、大冬會(huì)火炬?zhèn)鬟f現(xiàn)場(chǎng)技術(shù)服務(wù)等工作;
十二、組織網(wǎng)絡(luò)安全宣傳周、省教育廳網(wǎng)絡(luò)安全檢查、省保密檢查、首都體院來訪等相關(guān)事宜;
1.1具有開放性,治安情況較復(fù)雜
醫(yī)院是一種開放性公共場(chǎng)所,人員具有流動(dòng)頻繁、結(jié)構(gòu)復(fù)雜等特點(diǎn),且服務(wù)對(duì)象的不確定性以及巨大的現(xiàn)金流量都造成了醫(yī)院環(huán)境的不安全性。許多不法分子行騙盜竊時(shí)往往會(huì)盯住來醫(yī)院治療疾病的患者,因?yàn)檫@些患者為了治病往往籌集了大量現(xiàn)金,這些都成為犯罪分子實(shí)施不法行為的目標(biāo)。另外,醫(yī)院內(nèi)毀壞醫(yī)療設(shè)施、偷竊非機(jī)動(dòng)車輛、張貼小廣告等事件對(duì)醫(yī)院正常工作造成了嚴(yán)重困擾,這就需要保衛(wèi)部門加強(qiáng)平時(shí)巡邏工作力度。以本院即安康市中心醫(yī)院為例,由于我院車庫(kù)正在建設(shè)當(dāng)中,來院的車輛較多,停車位有限,加之金州南路取締停車位給保衛(wèi)科的管理工作增加了很大難度,為此保衛(wèi)科安排專人每天在醫(yī)院各個(gè)路點(diǎn)指揮疏堵來院車輛,確保了院內(nèi)車輛停放有序,車輛正常通行,即為應(yīng)急醫(yī)療救治保障了救生通道,也為患者進(jìn)出醫(yī)院提供了便捷的綠色通道。
1.2易燃易爆特殊物品多,存在大量潛在隱患
醫(yī)院往往會(huì)為了方便群眾就醫(yī),將各項(xiàng)診斷、檢查以及實(shí)驗(yàn)的場(chǎng)地集中在一起,目的在于縮短醫(yī)療流程,由于各種檢測(cè)儀以及治療儀比較多,再加上持續(xù)使用時(shí)間長(zhǎng)、負(fù)載大以及線路老化等特點(diǎn),使得醫(yī)院中存在大量潛在隱患。而且醫(yī)院保存有很多腐蝕性強(qiáng)、可燃性強(qiáng)的試劑或者藥品,在運(yùn)轉(zhuǎn)過程中,也會(huì)存在大量隱患。除此之外,醫(yī)院內(nèi)部出于對(duì)供氣、供電、供暖、制冷以及供氧的需要,往往擁有中心供氧、配電房以及鍋爐房等重要要害部位,這些部分也極易發(fā)生爆炸、火災(zāi)以及其他一些人為破壞事故。
1.3醫(yī)患糾紛頻發(fā),情況復(fù)雜
隨著國(guó)家對(duì)法律知識(shí)的廣泛普及和宣傳,人們對(duì)自身權(quán)益的保護(hù)觀念也越來越重,另一方面,一些醫(yī)護(hù)人員由于自身繁重的護(hù)理和醫(yī)療工作,不排除個(gè)別醫(yī)護(hù)人員會(huì)存在安全責(zé)任意識(shí)淡薄的情況,這樣就極易造成醫(yī)療糾紛。當(dāng)醫(yī)患矛盾發(fā)生時(shí),雙方往往會(huì)因?yàn)檎{(diào)查取證難等問題通過協(xié)商來解決,但是一旦意見產(chǎn)很分歧,就極易引發(fā)矛盾進(jìn)而發(fā)生沖突,最后演變?yōu)橹伟布m紛乃至刑事案件。醫(yī)院保衛(wèi)科應(yīng)當(dāng)合理進(jìn)行人力、行為的處置,有效疏導(dǎo)或制止群體性鬧事事件發(fā)生。安康中心醫(yī)院保衛(wèi)科就嚴(yán)格遵循工作規(guī)范,在2014年醫(yī)患糾紛的處理表現(xiàn)良好,上半年共協(xié)調(diào)處理"三無患者"9名,處理尸體2名;追討疑難患者欠費(fèi)40余萬元,遣送疑難患者8名以及協(xié)助處理醫(yī)療糾紛3起等。
2.強(qiáng)化醫(yī)院安全保衛(wèi)管理的措施
2.1提高思想認(rèn)識(shí),落實(shí)領(lǐng)導(dǎo)責(zé)任
醫(yī)院負(fù)責(zé)人必須從自身做起,充分認(rèn)識(shí)到醫(yī)院安全保衛(wèi)工作的重要性,提高自身參與的意識(shí),將醫(yī)院安全保衛(wèi)工作作為重要議程列入到醫(yī)院行政管理項(xiàng)目中去,只有這樣才能抓好、抓實(shí)安全保衛(wèi)工作。如果醫(yī)院出現(xiàn)安全秩序混亂,治安事件以及醫(yī)患糾紛事件頻發(fā)等問題,不僅對(duì)患者的信心造成了打擊,對(duì)醫(yī)護(hù)人員的積極性也造成惡劣的影響。醫(yī)院的安全穩(wěn)定,必須依靠和諧的醫(yī)患關(guān)系和人際關(guān)系,這樣才能確保醫(yī)院各項(xiàng)工作的有序開展。安康市中心醫(yī)院的相關(guān)領(lǐng)導(dǎo)高度重視醫(yī)院的綜合治理工作,把該工作納入重要議事日程,常抓不懈,成立了安全生產(chǎn)委員會(huì),落實(shí)領(lǐng)導(dǎo)責(zé)任制,上半年共召開綜合治理專題會(huì)議5次,安全檢查15次,下發(fā)綜合治理整改通知書5份。
2.2提高人員素質(zhì),加強(qiáng)隊(duì)伍建設(shè)
醫(yī)院保衛(wèi)科工作人員應(yīng)當(dāng)加強(qiáng)對(duì)業(yè)務(wù)知識(shí)和政治的學(xué)習(xí),認(rèn)真掌握有關(guān)工作的法規(guī)、法律,在實(shí)際工作中,對(duì)社會(huì)上的不良風(fēng)氣堅(jiān)決杜絕,并且嚴(yán)厲打擊違法分子。保衛(wèi)干部應(yīng)定期組織安保人員學(xué)習(xí)法律法規(guī),并在安?;A(chǔ)知識(shí)和業(yè)務(wù)技能上下功夫,對(duì)新形式的安全保衛(wèi)工作進(jìn)行探討,盡力打造出一支政治過硬、技術(shù)高超的安全保衛(wèi)隊(duì)伍。本文的研究對(duì)象為安康市中心醫(yī)院,2014年上半年我院就成立了義務(wù)消防隊(duì),上半年進(jìn)行一次消防演練,讓職工掌握消防知識(shí),人人學(xué)會(huì)使用滅火器材,2人參加了陜西省消防專業(yè)資質(zhì)培訓(xùn)。2、5月份邀請(qǐng)消防專家到醫(yī)院舉辦培訓(xùn)講座,200余人參加了消防培訓(xùn),從而提高了職工的消防安全意識(shí)。
2.3開展宣傳教育,提高安全防范意識(shí)
要做好醫(yī)院的保衛(wèi)工作,也必須注重對(duì)安全防范宣傳教育工作的重視,經(jīng)常性地開展安全知識(shí)宣傳活動(dòng),必須結(jié)合醫(yī)院安保工作的任務(wù)、特點(diǎn)及形勢(shì),才能全面提高醫(yī)院全體人員的安全防范意識(shí)。具體宣傳可以通過網(wǎng)站、院報(bào)、演習(xí)等方式對(duì)職工進(jìn)行廣角度、多層次的安全、消防知識(shí)宣傳。只有有的放矢才能提高人員安全防范意識(shí)和應(yīng)對(duì)能力,進(jìn)而嚴(yán)防各類治安事件的發(fā)生。安康市中心醫(yī)院于2014年就組織了多次宣傳活動(dòng),包括3、6月份在白天鵝廣場(chǎng)參加市委組織的安全生產(chǎn)月宣傳活動(dòng),發(fā)放消防安全宣傳資料200余份。以及,制定火災(zāi)應(yīng)急預(yù)案和消防知識(shí)宣傳資料,在每個(gè)科室進(jìn)行宣傳學(xué)習(xí),每月定期或不定期對(duì)全院各科室進(jìn)行消防安全生產(chǎn)檢查,通過檢查整改,徹底排除了安全隱患。上半年共發(fā)消防隱患4處,整改5處,因因消防工作不重視通報(bào)2個(gè)科室,通報(bào)個(gè)人4人次。
2.4加強(qiáng)三防工作(人防、物防、技防)
現(xiàn)如今,醫(yī)院內(nèi)部往往存在人際混雜等情況,在這樣的情況下醫(yī)療環(huán)境也逐步發(fā)生了變化,鑒于此開展三防工作就顯得尤為重要,保衛(wèi)工作的各個(gè)環(huán)節(jié)都迫在眉睫。安康市中心醫(yī)院2014年就進(jìn)一步加強(qiáng)了人防力量建設(shè)的投入,科室今年新增保安兩名,工作人員一名。實(shí)行定崗責(zé)任制,醫(yī)院實(shí)行24小時(shí)巡邏簽名制,做到重點(diǎn)位置,重點(diǎn)科室重點(diǎn)巡邏制度。此外,醫(yī)院應(yīng)當(dāng)注重治安防范的網(wǎng)絡(luò)化,安全管理網(wǎng)絡(luò)化不僅起到震懾作用還能對(duì)醫(yī)務(wù)人員的服務(wù)行為進(jìn)行規(guī)范。安康市中心醫(yī)院就加大技防投入建設(shè),醫(yī)院對(duì)全院技防實(shí)行"全覆蓋,無死角"的原則3月份請(qǐng)?jiān)O(shè)計(jì)公司進(jìn)行設(shè)計(jì),計(jì)劃投入近300萬對(duì)醫(yī)院監(jiān)控系統(tǒng)進(jìn)行改造,現(xiàn)一期工程已開始,預(yù)計(jì)12月份全部安裝調(diào)試完成,"全覆蓋、無死角"既保證了醫(yī)院、患者醫(yī)療安全,也全面提供了詳實(shí)的視頻資料,為各類醫(yī)患糾紛提供了有力證明。此外,該醫(yī)院還增加物防投入建設(shè),按照公安部衛(wèi)計(jì)委要求對(duì)警務(wù)室進(jìn)行完善,購(gòu)置鋼叉10個(gè),警棍20根,辣椒水10瓶,電警棍5個(gè),鋼盔10個(gè)。正是人防、技防和物防的有效投入,對(duì)各種違法分子起到了震懾左右,醫(yī)院2014年上半年未發(fā)生重大的治安案件和刑事案件。
2.5網(wǎng)絡(luò)安全管理防范
【關(guān)鍵字】 桌面終端 補(bǔ)丁 準(zhǔn)入管理 綜合網(wǎng)管
防患于未然――這是一句古話。這句話用在信息網(wǎng)絡(luò)安全中最能體會(huì)。
隨著信息化建設(shè)的逐步深入,網(wǎng)絡(luò)結(jié)構(gòu)日趨復(fù)雜,信息系統(tǒng)趨于多元化,信息安全面臨許多問題,如內(nèi)外網(wǎng)安全、主機(jī)安全、應(yīng)用系統(tǒng)安全、物理環(huán)境安全、桌面終端安全成為信息化建設(shè)的重中之重。桌面終端任意接入,安全策略得不到統(tǒng)一和有效控制,對(duì)資產(chǎn)信息采集統(tǒng)計(jì)與遠(yuǎn)程監(jiān)控手段不足,用戶行為難以控制,存在引發(fā)信息安全事件的風(fēng)險(xiǎn),終端維護(hù)成本較高等問題制約和影響著信息化健康持續(xù)發(fā)展??茖W(xué)、合理的構(gòu)建和完善信息安全防護(hù)體系成為解決信息安全的有效途徑。
如何將信息安全隱患降到最低,如何抵御病毒、黑客的入侵,如何安心使用網(wǎng)絡(luò)這都是在信息行業(yè)中醒目的問題。
桌面安全管理系統(tǒng)是一個(gè)完全集成的模塊化桌面管理解決方案,可以管理企業(yè)所有Windows平臺(tái)設(shè)備。涵蓋了策略管理中心、設(shè)備管理、遠(yuǎn)程協(xié)助、移動(dòng)存儲(chǔ)介質(zhì)管理等模塊,對(duì)信息網(wǎng)絡(luò)安全起到了重要的作用。
設(shè)備和資產(chǎn)管理
隨著公司企業(yè)的發(fā)展,IT產(chǎn)業(yè)也在不斷擴(kuò)展,終端設(shè)備增加了不少。作為IT管理員,要將不同配置,位置分散的PC機(jī)等相關(guān)設(shè)備進(jìn)行統(tǒng)一管理,把設(shè)備臺(tái)帳做好做細(xì)是件比較費(fèi)時(shí)的事情。
在桌面管理系統(tǒng)里,每新增一臺(tái)終端設(shè)備,不管是PC機(jī)還是其他辦公設(shè)備等,只要設(shè)有IP地址,分配了部門,在終端上注冊(cè)了桌面管理系統(tǒng),都能在桌面安全管理系統(tǒng)內(nèi)監(jiān)測(cè)到。并且終端機(jī)的詳細(xì)參數(shù)配置、進(jìn)程、安裝軟件等都能一目了然,這對(duì)設(shè)備資產(chǎn)管理有很大的幫助。
遠(yuǎn)程協(xié)助和成本控制管理
桌面管理系統(tǒng)內(nèi)的遠(yuǎn)程協(xié)助,可以幫助網(wǎng)絡(luò)管理員遠(yuǎn)程運(yùn)維電腦終端,這樣不僅降低了故障響應(yīng)時(shí)間也提升信息運(yùn)維人員的工作效率,還可通過系統(tǒng)內(nèi)的點(diǎn)對(duì)點(diǎn)控制,遠(yuǎn)程取得計(jì)算機(jī)的安裝程序,應(yīng)用進(jìn)程,系統(tǒng)版本等關(guān)鍵資料和使用狀況。
遠(yuǎn)程控制使工程師在任何內(nèi)網(wǎng)接入的工作場(chǎng)所就能對(duì)任何出現(xiàn)的故障做出迅速的反應(yīng)并處理問題。這方面大大節(jié)約了工作人員的時(shí)間,降低了運(yùn)維成本。
桌面管理系統(tǒng)補(bǔ)丁管理
桌面終端管理系統(tǒng)重要的補(bǔ)丁下發(fā)功能可為公司內(nèi)網(wǎng)終端自動(dòng)下發(fā)并安裝最新的系統(tǒng)補(bǔ)丁,使系統(tǒng)保持最安全的運(yùn)行方式,可以根據(jù)各種計(jì)劃任務(wù),或者根據(jù)批處理策略統(tǒng)一下發(fā)下載補(bǔ)丁。當(dāng)系統(tǒng)監(jiān)測(cè)到有終端未安裝補(bǔ)丁時(shí),可對(duì)缺少的補(bǔ)丁進(jìn)行重新下發(fā)。并能夠?qū)ρa(bǔ)丁下載及安裝的情況進(jìn)行查詢,避免因病毒侵襲及應(yīng)用系統(tǒng)漏洞而導(dǎo)致?lián)p失。
違規(guī)外聯(lián)準(zhǔn)入管理
針對(duì)違規(guī)外聯(lián)進(jìn)行全面整改,不僅出臺(tái)了公司違規(guī)外聯(lián)事件整改方案,而且在管理上加強(qiáng)力度。一是做到定期病毒及安全使用公告,禁止手機(jī)聯(lián)入內(nèi)網(wǎng)充電;二是定期開展信息安全知識(shí)教育培訓(xùn),將違規(guī)外聯(lián)原理、違規(guī)外聯(lián)的嚴(yán)重性、可能發(fā)生違規(guī)外聯(lián)情況公示;三是全網(wǎng)粘貼內(nèi)網(wǎng)計(jì)算機(jī)標(biāo)簽標(biāo)識(shí),杜絕違規(guī)外聯(lián)誤操作。四是違規(guī)外聯(lián)堅(jiān)決執(zhí)行公司的規(guī)定,懲治力度決不放松。
防非法外聯(lián)系統(tǒng)在終端連接內(nèi)網(wǎng)前,通過安裝準(zhǔn)入系統(tǒng)認(rèn)證客戶端對(duì)計(jì)算機(jī)進(jìn)行健康狀況檢查,是否安裝防病毒軟件,是否安裝桌面管理系統(tǒng),對(duì)不滿足安全要求的終端禁止分配內(nèi)網(wǎng)合法IP地址,當(dāng)用戶完成入網(wǎng)的要求后,準(zhǔn)入系統(tǒng)會(huì)自動(dòng)識(shí)別系統(tǒng)狀態(tài)并分配合法的內(nèi)網(wǎng)IP地址,完整用戶終端的準(zhǔn)入流程,并通過桌面管理系統(tǒng)下發(fā)防違規(guī)外聯(lián)IP策略,進(jìn)一步控制非法外聯(lián)的發(fā)生。
移動(dòng)存儲(chǔ)介質(zhì)管理
移動(dòng)存儲(chǔ)的隨意接入網(wǎng)絡(luò)或者丟失出現(xiàn)信息數(shù)據(jù)泄密的都對(duì)信息安全造成很大威脅。桌面管理系統(tǒng)內(nèi)的移動(dòng)存儲(chǔ)管理可大大提高移動(dòng)存儲(chǔ)的安全性。通過桌面終端管理系統(tǒng)能夠安全的進(jìn)行移動(dòng)存儲(chǔ)的管理,防止信息泄密事件的發(fā)生,杜絕因移動(dòng)存儲(chǔ)介質(zhì)泄密對(duì)內(nèi)網(wǎng)安全的威脅。
雙數(shù)據(jù)區(qū)交互使用:專用U盤支持交換區(qū)和保密區(qū)。交換區(qū)在分配相同桌面標(biāo)簽的計(jì)算機(jī)上支持口令登錄使用;保密區(qū)在分配相同桌面標(biāo)簽的計(jì)算機(jī)上受限制使用,在不同標(biāo)簽的計(jì)算機(jī)上無法使用,插入即會(huì)報(bào)警。
綜合以上幾個(gè)模塊的功能,作為管理員能充分體會(huì)桌面管理系統(tǒng)在信息網(wǎng)絡(luò)安全中的起到的強(qiáng)大作用。
參 考 文 獻(xiàn)
[1]徐沛沛.統(tǒng)一桌面管理系統(tǒng)建設(shè)分析與研究 電力信息化 2012(10)
自2020年12月加入***醫(yī)療集團(tuán)以來擔(dān)任信息安全經(jīng)理一職,在這六個(gè)月的試用期中通過與各位同事、領(lǐng)導(dǎo)的相處,使我漸漸開始適應(yīng)現(xiàn)在的工作環(huán)境和節(jié)奏,在工作中體會(huì)到的領(lǐng)導(dǎo)和同事踏實(shí)認(rèn)真的工作態(tài)度,讓我更加嚴(yán)格的要求主機(jī),把工作做好做細(xì)。在此,我需真誠(chéng)的向各位領(lǐng)導(dǎo)和同事表達(dá)我深深的謝意,感謝大家在這段時(shí)間給予我足夠的寬容、鼓勵(lì)和幫助。下面就我六個(gè)月的試用期工作進(jìn)行總結(jié)。
1. 已完成項(xiàng)目總結(jié):
1)三級(jí)等保測(cè)評(píng):根據(jù)國(guó)家相關(guān)法律法規(guī)要求,北京和睦家醫(yī)院需通過等級(jí)保護(hù)三級(jí)測(cè)評(píng)。入職時(shí),此項(xiàng)目已過初測(cè)階段進(jìn)入到整改階段,根據(jù)測(cè)評(píng)機(jī)構(gòu)給出的差異分析報(bào)告進(jìn)行高風(fēng)險(xiǎn)項(xiàng)和中風(fēng)險(xiǎn)項(xiàng)的整改工作,作為整個(gè)項(xiàng)目的執(zhí)行者,之前的工作經(jīng)驗(yàn)在整改過程中起到了一定的作用,提高了整改工作的效率并編寫了等級(jí)保護(hù)要求相關(guān)文檔,例如:信息安全應(yīng)急預(yù)案,操作系統(tǒng)基線檢查模板等,同時(shí)也存在一些不足,例如對(duì)于等級(jí)保護(hù)要求的一些條例理解不夠深刻,對(duì)于等保測(cè)評(píng)的算分公式不夠熟悉等。在最終測(cè)評(píng)時(shí),積極配合測(cè)評(píng)機(jī)構(gòu)的測(cè)評(píng)工作,回答測(cè)評(píng)機(jī)構(gòu)提到的關(guān)鍵問題,使得終測(cè)過程較為順利的完成,并以優(yōu)異的分?jǐn)?shù)通過了三級(jí)等保測(cè)評(píng),拿到了三級(jí)等保報(bào)告,當(dāng)然這也少不了其他同事的共同努力。
2)安全體系建設(shè)--評(píng)估階段:根據(jù)領(lǐng)導(dǎo)要求,負(fù)責(zé)和睦家信息安全體系建設(shè),作為此項(xiàng)目的負(fù)責(zé)人,我將此項(xiàng)目分為三個(gè)階段完成,分別為:評(píng)估階段,建設(shè)階段,以及運(yùn)營(yíng)階段。在評(píng)估階段的主要目標(biāo)是需要評(píng)估和睦家現(xiàn)狀,以及為安全體系建設(shè)第二階段做準(zhǔn)備,如不做評(píng)估的話是無法進(jìn)行從0-1的安全體系建設(shè),在評(píng)估的過程中利用自己的專業(yè)知識(shí)并結(jié)合等級(jí)保護(hù)三級(jí)的要求,進(jìn)行了多維度的評(píng)估。完成評(píng)估后,列出了安全體系建設(shè)架構(gòu)圖,但由于做評(píng)估時(shí)有些方向沒有做深入的調(diào)研,導(dǎo)致安全體系架構(gòu)圖的某些模塊無法實(shí)現(xiàn),后期會(huì)進(jìn)行一系列的調(diào)整及優(yōu)化。
3)安全意識(shí)培訓(xùn):企業(yè)無時(shí)無刻都面臨著信息安全的威脅及風(fēng)險(xiǎn),根據(jù)領(lǐng)導(dǎo)要求,作為該項(xiàng)目的負(fù)責(zé)人,已于近期針對(duì)于和睦家內(nèi)部IT部門進(jìn)行了安全意識(shí)培訓(xùn)工作,培訓(xùn)內(nèi)容包括安全意識(shí)概念、密碼安全、系統(tǒng)安全、郵件安全、物理安全、社會(huì)工程攻擊等內(nèi)容,通過安全意識(shí)培訓(xùn),提升了企業(yè)內(nèi)部對(duì)于信息安全的理解以及信息安全的重要性,同時(shí)也在一定程度上提升了員工識(shí)別信息安全風(fēng)險(xiǎn)的技能和意識(shí),但美中不足的是培訓(xùn)內(nèi)容過多,培訓(xùn)時(shí)間較長(zhǎng),所以需要對(duì)培訓(xùn)的素材進(jìn)行優(yōu)化。
4)支持其他Site網(wǎng)絡(luò)安全工作情況:
遠(yuǎn)程支持**網(wǎng)安檢查,配合IT Manger通過青島市網(wǎng)安的例行檢查,并提出與網(wǎng)安檢查相關(guān)的檢查項(xiàng)及關(guān)鍵點(diǎn),最終***以較高的分?jǐn)?shù)通過檢查。
青島互聯(lián)網(wǎng)醫(yī)院上線前審查,配合IT Manager通過青島互聯(lián)網(wǎng)醫(yī)院上線前審查,提供了網(wǎng)絡(luò)安全應(yīng)急預(yù)案的培訓(xùn)以及相關(guān)檢查項(xiàng)的整改方案,并在審查當(dāng)天進(jìn)行遠(yuǎn)程技術(shù)支持。
***三級(jí)等保測(cè)評(píng)工作,遠(yuǎn)程配合***在三級(jí)等保終測(cè),并提供相關(guān)漏掃報(bào)告,以及技術(shù)答疑等,最終***復(fù)核等保三級(jí)測(cè)評(píng)要求,通過三級(jí)等保測(cè)評(píng)。
2. 正在進(jìn)行中的項(xiàng)目:
a)安全運(yùn)營(yíng)中心部署:根據(jù)三級(jí)等保要求以及安全體系建設(shè)需求,需成立安全運(yùn)營(yíng)中心,和睦家購(gòu)買了IBM的SIEM平臺(tái)QRadar,目前該項(xiàng)目已完成北京區(qū)域部署,進(jìn)入到優(yōu)化策略階段,目前已將AD認(rèn)證類的告警策略優(yōu)化完成,下一步準(zhǔn)備優(yōu)化病毒類告警以及服務(wù)器相關(guān)告警,待策略優(yōu)化完成后,部署全國(guó)各Site日志采集器和流量采集器,預(yù)計(jì)本年度完成全國(guó)部署。
b)Knowbe4釣魚郵件測(cè)試平臺(tái):由于釣魚郵件對(duì)企業(yè)造成的安全風(fēng)險(xiǎn)較高,威脅較大,所以準(zhǔn)備采購(gòu)響應(yīng)的釣魚郵件測(cè)試平臺(tái),通過該平臺(tái)的釣魚郵件測(cè)試來提升員工對(duì)于防釣魚的安全意識(shí),目前該項(xiàng)目已將報(bào)價(jià)提交給采購(gòu)進(jìn)行價(jià)格評(píng)估,待采購(gòu)評(píng)估價(jià)格后進(jìn)行購(gòu)買實(shí)施。
c) ***全國(guó)安全意識(shí)培訓(xùn):為提升和睦家員工的信息安全意識(shí),計(jì)劃于本年度完成***全國(guó)員工的信息安全意識(shí)培訓(xùn),目前已完成北京***部門的培訓(xùn),下一步進(jìn)行***的信息安全意識(shí)培訓(xùn)。
3. 個(gè)人能力自我評(píng)估:
通過六個(gè)月的工作,我發(fā)現(xiàn)了自身存在的一些優(yōu)點(diǎn)與不足:
a)溝通能力方面:樂于與同事及領(lǐng)導(dǎo)積極溝通,并了解自己的任務(wù)和角色,樂于與同事合作以達(dá)成目標(biāo),但有的時(shí)候溝通方式存在一定的問題,導(dǎo)致溝通效果欠佳。在今后的工作中,也會(huì)注意自己與領(lǐng)導(dǎo)和同事之間的溝通方式及方法,做到高效溝通。
b)項(xiàng)目管理能力:擅長(zhǎng)項(xiàng)目管理,因?yàn)橹跋到y(tǒng)的學(xué)習(xí)過項(xiàng)目管理的知識(shí),所以在工作中可以利用學(xué)習(xí)到的知識(shí)去進(jìn)行高效工作,但偶爾會(huì)出現(xiàn)不熟悉企業(yè)內(nèi)部的工作流程導(dǎo)致對(duì)于項(xiàng)目的管理出現(xiàn)偏差,我會(huì)在未來的工作中盡快的熟悉各項(xiàng)工作流程,避免再次出現(xiàn)同樣的問題。
c) 崗位知識(shí)方面:在信息安全體系建設(shè)、安全運(yùn)營(yíng)、安全意識(shí)培訓(xùn)以及安全事件分析方面較為擅長(zhǎng),由于網(wǎng)絡(luò)安全涉及到的知識(shí)面非常廣,在工作的過程中也意識(shí)到我所在的崗位上,有些需要用到的信息安全相關(guān)知識(shí)自己并不夠?qū)I(yè),所以在今后的工作和生活中還需要加強(qiáng)學(xué)習(xí)相關(guān)崗位知識(shí),并實(shí)際運(yùn)用到工作中。
d)工作態(tài)度方面:工作態(tài)度積極、主動(dòng),時(shí)常保持良好的狀態(tài)完成工作或解決問題。
關(guān)鍵詞:高速公路;聯(lián)網(wǎng)收費(fèi);網(wǎng)絡(luò)安全;優(yōu)化分析
高速公路聯(lián)網(wǎng)收費(fèi)網(wǎng)絡(luò)的安全是一個(gè)復(fù)雜的系統(tǒng)工程,涉及到技術(shù)和管理等多個(gè)層面。高速公路收費(fèi)系統(tǒng)的電子化、信息化的發(fā)展越來越快,聯(lián)網(wǎng)收費(fèi)系統(tǒng)信息化在給交通行業(yè)帶來效益的同時(shí),由于網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大,安全漏洞也在增加。另一方面隨著計(jì)算機(jī)日益普及,計(jì)算機(jī)犯罪技術(shù)也在不斷提高,利用計(jì)算機(jī)犯罪的案件呈逐年上升趨勢(shì),因此進(jìn)一步加強(qiáng)和完善聯(lián)網(wǎng)收費(fèi)系統(tǒng)的W絡(luò)安全建設(shè)顯得十分必要。必須從網(wǎng)絡(luò)、操作系統(tǒng)、應(yīng)用業(yè)務(wù)系統(tǒng)以及系統(tǒng)安全管理規(guī)范、使用人員安全意識(shí)等各個(gè)層面統(tǒng)籌考慮,構(gòu)建有效安全管理機(jī)制,這樣才能真正做到整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全。
一、高速公路聯(lián)網(wǎng)收費(fèi)系統(tǒng)
目前,高速公路聯(lián)網(wǎng)收費(fèi)系統(tǒng)一般采取分級(jí)管理體制,就遼寧路網(wǎng)而言。聯(lián)網(wǎng)收費(fèi)系統(tǒng)采取收費(fèi)結(jié)算中心-路段分中心-管理所-收費(fèi)站4級(jí)管理體制。系統(tǒng)采用TCP/IP協(xié)議,依托先進(jìn)、可靠的通信系統(tǒng)網(wǎng)絡(luò)平臺(tái)進(jìn)行跨平臺(tái)數(shù)據(jù)傳輸,依賴可靠的系統(tǒng)平臺(tái)、業(yè)務(wù)功能、用戶接口3層體系結(jié)構(gòu)體系保證傳輸?shù)囊恢滦?。收費(fèi)結(jié)算中心系統(tǒng)設(shè)在省收費(fèi)管理中心,主要完成對(duì)全省高速公路網(wǎng)收費(fèi)的實(shí)時(shí)管理和通行費(fèi)的拆分,并通過銀行完成通行費(fèi)收入的清算劃撥,以及流通IC卡和儲(chǔ)值IC卡的管理。路段分中心系統(tǒng)設(shè)在路網(wǎng)內(nèi)各個(gè)不同的高速公路經(jīng)營(yíng)管理單位,完成對(duì)所轄路段的各個(gè)收費(fèi)站的運(yùn)營(yíng)監(jiān)督管理和調(diào)配管理,同時(shí)完成與中心系統(tǒng)數(shù)據(jù)的校核工作。收費(fèi)站系統(tǒng)的主要功能是實(shí)時(shí)管理站內(nèi)出入口收費(fèi)車道的收費(fèi)操作,完成收費(fèi)數(shù)據(jù)的傳送。收費(fèi)結(jié)算中心、路段分中心、收費(fèi)站均建有各自的計(jì)算機(jī)局域網(wǎng)絡(luò)。
二、高速公路聯(lián)網(wǎng)收費(fèi)系統(tǒng)網(wǎng)絡(luò)安全分析
高速公路的聯(lián)網(wǎng)收費(fèi)系統(tǒng)是由專門的傳輸線纜與網(wǎng)絡(luò)進(jìn)行連接的,然而,網(wǎng)絡(luò)設(shè)備以及應(yīng)用系統(tǒng)等都或多或少的存在一定漏洞,使攻擊者有機(jī)可乘。在較為復(fù)雜的收費(fèi)網(wǎng)絡(luò)當(dāng)中,各個(gè)路段的網(wǎng)絡(luò)缺少具有統(tǒng)一性的管理,系統(tǒng)與網(wǎng)絡(luò)的結(jié)合又徹底打開了各個(gè)路段之間的聯(lián)系。同時(shí),計(jì)算機(jī)病毒因此得到了良好的傳播媒介,入侵者也可通過這樣的方式進(jìn)行攻擊。調(diào)查顯示,內(nèi)壁網(wǎng)絡(luò)遭到侵入是網(wǎng)絡(luò)攻擊案例中的主要形式,約占到總量的80%。此外,各個(gè)節(jié)點(diǎn)當(dāng)中的基本網(wǎng)絡(luò)設(shè)施,比如路由器或交換機(jī)等,都可能成為入侵者的攻擊對(duì)象,由于網(wǎng)絡(luò)結(jié)構(gòu)相對(duì)復(fù)雜,所以必須重視配置的安全性。操作系統(tǒng)在執(zhí)行安裝的過程中,相關(guān)負(fù)責(zé)技術(shù)人員忽視了系統(tǒng)的安全問題,致使安裝操作缺乏對(duì)應(yīng)的設(shè)置,在此情況下,收費(fèi)系統(tǒng)會(huì)自動(dòng)默認(rèn)設(shè)置多種無意義模塊,同時(shí)向外界開放多種端口,間接為入侵者敞開大門。操作系統(tǒng)的研究與生產(chǎn)機(jī)構(gòu)一般都會(huì)為產(chǎn)品設(shè)置后門,加之系統(tǒng)本身存在的一些漏洞,使系統(tǒng)的安全保障幾乎完全喪失。在應(yīng)用的過程中,安全性能與其配置有著緊密的聯(lián)系,如果能夠在安全配置上投入更多的力量,入侵者想要進(jìn)入網(wǎng)絡(luò)內(nèi)部并進(jìn)行破壞,將具有非常大的難度。物理傳輸鏈?zhǔn)窃撓到y(tǒng)中最為基礎(chǔ)的運(yùn)行平臺(tái),如果發(fā)生安全性問題,大多是由于工作人員的管理不善造成的。此外,信息盜取者可以利用竊取手段,直接從傳輸線纜中截取信號(hào),最終造成數(shù)據(jù)丟失或惡意篡改。數(shù)據(jù)庫(kù)在系統(tǒng)中十分重要。目前,數(shù)據(jù)庫(kù)安全仍然沒有得到足夠的重視,而且在實(shí)際情況中,有許多工作人員都不太了解數(shù)據(jù)庫(kù),所以對(duì)數(shù)據(jù)庫(kù)的相關(guān)研究少之又少。
三、高速公路聯(lián)網(wǎng)收費(fèi)網(wǎng)絡(luò)安全模型的構(gòu)建
從信息安全模型控制的對(duì)象來看,一般有2種不同方法建立安全模型:一種是信息流模型;另一種是訪問控制模型。信息流模型主要針對(duì)客體之間信息傳輸過程的控制,而訪問控制模型主要針對(duì)系統(tǒng)中主體對(duì)客體的訪問及其安全控制。高速公路聯(lián)網(wǎng)收費(fèi)網(wǎng)絡(luò)安全模型涵蓋了安全管理策略與計(jì)劃、制度、人為因素、技術(shù)、操作等多個(gè)層面。在安全管理策略方面,該模型強(qiáng)調(diào)安全問題首先是制度規(guī)范問題和人的問題,其次是技術(shù)問題。高速公路聯(lián)網(wǎng)收費(fèi)網(wǎng)絡(luò)安全防護(hù)模型必須能夠體現(xiàn)交通系統(tǒng)信息安全管理相關(guān)規(guī)范與制度的要求。在安全技術(shù)側(cè)面層面,高速公路聯(lián)網(wǎng)收費(fèi)網(wǎng)絡(luò)的安全技術(shù)平臺(tái)包括主機(jī)防護(hù)、防火墻、病毒防范、入侵檢測(cè)、漏洞掃描等,并且各模塊之間能夠協(xié)同工作。作為全方位的、整體的網(wǎng)絡(luò)安全防范體系也是分層次的,不同層次反映了不同的安全問題,根據(jù)網(wǎng)絡(luò)的應(yīng)用現(xiàn)狀情況和網(wǎng)絡(luò)的結(jié)構(gòu),可以將高速公路聯(lián)網(wǎng)收費(fèi)網(wǎng)絡(luò)安全防范體系的層次劃分為物理層安全、系統(tǒng)層安全、網(wǎng)絡(luò)層安全、應(yīng)用層安全和安全管理5個(gè)方面。該層次的安全問題包括高速公路聯(lián)網(wǎng)收費(fèi)網(wǎng)絡(luò)通信線路的安全、物理設(shè)備的安全、機(jī)房的安全等。物理層的安全主要體現(xiàn)在通信線路的可靠性,硬件設(shè)備安全性??刹捎貌婚g斷電源或發(fā)電機(jī)保障供電;采用磁盤陣列系統(tǒng),做好服務(wù)器備份和設(shè)備的防盜、防毀、防磁,提高防災(zāi)害、抗干擾能力等。該層次的安全問題主要體現(xiàn)在高速公路聯(lián)網(wǎng)收費(fèi)網(wǎng)絡(luò)方面的安全性,包括網(wǎng)絡(luò)層身份認(rèn)證、網(wǎng)絡(luò)資源的訪問控制、數(shù)據(jù)傳輸?shù)谋C芘c完整性、遠(yuǎn)程接入的安全、域名系統(tǒng)的安全、路由系統(tǒng)的安全、網(wǎng)絡(luò)設(shè)施防病毒等??刹捎肐P地址分配管理限制非法用戶進(jìn)入網(wǎng)絡(luò),設(shè)在網(wǎng)絡(luò)邊界的路由器、防火墻是第一道防線,提供基本的網(wǎng)絡(luò)訪問控制功能;部署在防火墻后面的入侵檢測(cè)系統(tǒng)可以有效地防止黑客的入侵行為以及內(nèi)部人員非授權(quán)的網(wǎng)絡(luò)訪問。該層次的安全問題主要體現(xiàn)在高速公路聯(lián)網(wǎng)收費(fèi)系統(tǒng)提供服務(wù)所采用的收費(fèi)軟件和數(shù)據(jù)的安全性。目前,后臺(tái)數(shù)據(jù)庫(kù)大都采用SQL server、Oracle,可采用登錄控制、權(quán)限管理、數(shù)據(jù)的加密、日志記錄、數(shù)據(jù)庫(kù)備份等。
參考文獻(xiàn):
關(guān)鍵詞:信息安全;防護(hù)體系
隨著企業(yè)各個(gè)業(yè)務(wù)系統(tǒng)的深化應(yīng)用,企業(yè)的日常運(yùn)作管理越來越倚重信息化,越來越多的數(shù)據(jù)都存儲(chǔ)在計(jì)算機(jī)上。信息安全防護(hù)變得日益重要,信息安全就是要保證信息系統(tǒng)安全、可靠、持續(xù)運(yùn)行,防范企業(yè)機(jī)密泄露。信息安全包括的內(nèi)容很多,包括主機(jī)系統(tǒng)安全、網(wǎng)絡(luò)安全、防病毒、安全加密、應(yīng)用軟件安全等方面。其中任何一個(gè)安全漏洞便可以威脅全局。隨著信息化建設(shè)地不斷深入和發(fā)展,數(shù)據(jù)通信網(wǎng)改造后,市縣信息網(wǎng)絡(luò)一體化相互融合,安全防護(hù)工作尤顯重要。如何保障縣公司信息網(wǎng)絡(luò)安全成為重要課題。信息安全健康率主要由兩方面體現(xiàn),一是提升安全防護(hù)技術(shù)手段,二是完善安全管理體系。安全防護(hù)技術(shù)手段主要側(cè)重于安全設(shè)備的應(yīng)用、防病毒軟件的部署、安全策略的制定、桌面終端的監(jiān)管、安全移動(dòng)介質(zhì)、主機(jī)加固和雙網(wǎng)雙機(jī)等方面,安全管理則側(cè)重于信息安全目標(biāo)的建立、制度的建設(shè)、人員及崗位的規(guī)范、標(biāo)準(zhǔn)流程的制定、安全工作記錄、信息安全宣傳等方面[1]。因此,企業(yè)要提升信息安全,必須從管理機(jī)制、技術(shù)防護(hù)、監(jiān)督檢查、風(fēng)險(xiǎn)管控等方面入手,并行采取多種措施,嚴(yán)密部署縣公司信息安全防護(hù)體系,確保企業(yè)信息系統(tǒng)及網(wǎng)絡(luò)的安全穩(wěn)定運(yùn)行,主要體現(xiàn)在以下幾方面:
1機(jī)制建立是關(guān)鍵
企業(yè)信息安全防護(hù)“七分靠管理,三分靠技術(shù)”,沒有嚴(yán)謹(jǐn)?shù)墓芾頇C(jī)制,安全工作是一紙空談,因此,做好防護(hù)工作必須先建立管理體系。一是完善組織機(jī)制。在企業(yè)信息安全工作領(lǐng)導(dǎo)小組之下,設(shè)立縣公司數(shù)據(jù)通信網(wǎng)安全防護(hù)工作組,由信通管理部門歸口負(fù)責(zé)日常工作,落實(shí)信息安全各級(jí)責(zé)任。將信息安全納入縣公司安全生產(chǎn)體系,進(jìn)而明確信息安全保障管理和監(jiān)督部門的職責(zé)。建立健全信息安全管理等規(guī)章制度,加強(qiáng)信息安全規(guī)范化管理。二是強(qiáng)化培訓(xùn)機(jī)制。根據(jù)近年來信息安全的研究,企業(yè)最大信息安全的威脅來自于內(nèi)部,因此,企業(yè)應(yīng)以“時(shí)時(shí)講信息安全,人人重信息安全,人人懂信息安全”為目標(biāo),開展“教育培訓(xùn)常態(tài)化、形式內(nèi)容多樣化、培訓(xùn)范圍全員化、內(nèi)容難度層次化”培訓(xùn)工作,為信息安全工作開展提供充分的智力保障。企業(yè)應(yīng)充分利用網(wǎng)絡(luò)大學(xué)、企業(yè)門戶、即時(shí)通訊等媒介,充實(shí)信息安全內(nèi)容,營(yíng)造信息安全氛圍,進(jìn)而強(qiáng)化全員信息安全意識(shí)。三是建立應(yīng)急機(jī)制。完善反應(yīng)靈敏、協(xié)調(diào)有力的信息安全應(yīng)急協(xié)調(diào)機(jī)制,修訂完善縣公司數(shù)據(jù)網(wǎng)現(xiàn)場(chǎng)應(yīng)急處置預(yù)案,加強(qiáng)演練。嚴(yán)格執(zhí)行特殊時(shí)期領(lǐng)導(dǎo)帶班和骨干技術(shù)人員值班制度,進(jìn)一步暢通安全事件通報(bào)渠道,規(guī)范信息安全事件通報(bào)程序,做好應(yīng)急搶修人員、物資和車輛準(zhǔn)備工作,及時(shí)響應(yīng)和處理縣公司信息安全事件。重點(diǎn)落實(shí)應(yīng)對(duì)光纜中斷、電源失去、設(shè)備故障應(yīng)急保障措施,確保應(yīng)急處置及時(shí)有效。杜絕應(yīng)急預(yù)案編制后束之高閣和敷衍應(yīng)付的行為。
2技術(shù)防護(hù)是基礎(chǔ)
技術(shù)防護(hù)要從基礎(chǔ)管理、邊界防護(hù)、安全加固等方面入手[2]。(1)基礎(chǔ)管理方面。一是技術(shù)資料由專人負(fù)責(zé)組織歸類、整理,設(shè)備或接線如有變化,其圖紙、模擬圖板、設(shè)備臺(tái)帳和技術(shù)檔案等均應(yīng)及時(shí)進(jìn)行修正。二是將設(shè)備或主要部件進(jìn)行固定,并設(shè)置明顯的不易除去的標(biāo)識(shí),屏(柜)前后屏眉有信息專業(yè)統(tǒng)一規(guī)范的名稱。三是設(shè)備自安裝運(yùn)行之日起建立單獨(dú)的設(shè)備檔案,有月度及年度檢修計(jì)劃并按計(jì)劃進(jìn)行檢修,檢修記錄完整。所有設(shè)備的調(diào)試、修復(fù)、移動(dòng)及任一信息線或網(wǎng)絡(luò)線的拔插和所有設(shè)備的開關(guān)動(dòng)作,都按有關(guān)程序嚴(yán)格執(zhí)行,并在相應(yīng)的設(shè)備檔案中做好記錄。四是加強(qiáng)運(yùn)行值班監(jiān)視和即時(shí)報(bào)告,確保系統(tǒng)缺陷和異常及時(shí)發(fā)現(xiàn),及時(shí)消除。(2)安全隔離方面。安全隔離與信息交換系統(tǒng)(網(wǎng)閘)由內(nèi)、外網(wǎng)處理單元和安全數(shù)據(jù)交換單元組成。安全數(shù)據(jù)交換單元在內(nèi)外網(wǎng)主機(jī)間按照指定的周期進(jìn)行安全數(shù)據(jù)的擺渡,從而在保證內(nèi)外網(wǎng)隔離的情況下,實(shí)現(xiàn)可靠、高效的安全數(shù)據(jù)交換,而所有這些復(fù)雜的操作均由隔離系統(tǒng)自動(dòng)完成,用戶只需依據(jù)自身業(yè)務(wù)特點(diǎn)定制合適的安全策略,既可以實(shí)現(xiàn)內(nèi)外網(wǎng)絡(luò)進(jìn)行安全數(shù)據(jù)通信,在保障用戶信息系統(tǒng)安全性的同時(shí),最大限度保證客戶應(yīng)用的方便性。(3)邊界防護(hù)方面。一是部署防火墻,做好網(wǎng)絡(luò)隔離。在路由器與核心交換機(jī)之間配置防火墻,并設(shè)置詳細(xì)的安全防護(hù)策略。防火墻總體策略應(yīng)是白名單防護(hù)策略(即整體禁止,根據(jù)需要開放白名單中地址)。將內(nèi)部區(qū)域(下聯(lián)口)權(quán)限設(shè)置為禁止、外部區(qū)域(上聯(lián)口)權(quán)限設(shè)置為允許。定義防火墻管理地址范圍,針對(duì)PING、Webui、Gui三種服務(wù)進(jìn)行設(shè)置:只允許特定管理員地址遠(yuǎn)程管理。二是嚴(yán)格執(zhí)行防火墻策略調(diào)整審批程序,需要進(jìn)行策略調(diào)整的相關(guān)單位,必須填寫申請(qǐng)單,且必須符合相關(guān)安全要求,經(jīng)審批后進(jìn)行策略調(diào)整。三是嚴(yán)禁無線設(shè)備接入。(4)安全加固方面。一是應(yīng)以最小權(quán)限原則為每個(gè)帳號(hào)分配其必須的角色、系統(tǒng)權(quán)限、對(duì)象權(quán)限和語句權(quán)限,刪除系統(tǒng)多余用戶,避免使用弱口令。二是安裝系統(tǒng)安全補(bǔ)丁,對(duì)掃描或手工檢查發(fā)現(xiàn)的系統(tǒng)漏洞進(jìn)行修補(bǔ)。三是關(guān)閉網(wǎng)絡(luò)設(shè)備中不安全的服務(wù),確保網(wǎng)絡(luò)設(shè)備只開啟承載業(yè)務(wù)所必需的網(wǎng)絡(luò)服務(wù)。四是配置網(wǎng)絡(luò)設(shè)備的安全審計(jì)功能和訪問控制策略。五是開展風(fēng)險(xiǎn)評(píng)估工作中,認(rèn)真分析網(wǎng)絡(luò)與信息系統(tǒng)安全潛在威脅、薄弱環(huán)節(jié),綜合運(yùn)用評(píng)估工具,在常規(guī)評(píng)估內(nèi)容基礎(chǔ)上,加強(qiáng)滲透性驗(yàn)證測(cè)試和密碼脆弱性測(cè)試,重視對(duì)系統(tǒng)結(jié)構(gòu)與配置的安全評(píng)估。根據(jù)評(píng)估結(jié)果,及時(shí)提出并落實(shí)整改方案,實(shí)施安全加固措施。
3監(jiān)督檢查是保障
全面落實(shí)“按制度辦事,讓標(biāo)準(zhǔn)說話”的信息安全管理準(zhǔn)則,在企業(yè)指導(dǎo)下,由縣公司信通專業(yè)牽頭,業(yè)務(wù)部門主導(dǎo),分工協(xié)作建立督查機(jī)制,加強(qiáng)過程安全管控與全方位安全監(jiān)測(cè),推進(jìn)安全督查隊(duì)伍一體化管理,完善督查流程和標(biāo)準(zhǔn),開展好安全督查工作,以監(jiān)督促進(jìn)安全提升。一是全面提升責(zé)任部門安全人員專業(yè)技術(shù)水平,加強(qiáng)督查隊(duì)伍建設(shè)。二是完善督查機(jī)制,對(duì)督查中發(fā)現(xiàn)的問題督促落實(shí)整改,并開展分析總結(jié),通報(bào)相關(guān)情況。三是開展常態(tài)督查,通過軟件掃描、終端監(jiān)測(cè)等手段,確保監(jiān)測(cè)全方位。四是加強(qiáng)考核,開展指標(biāo)評(píng)價(jià)。保障督查管理水平和工作質(zhì)量。
險(xiǎn)管控是對(duì)策
為確保公司信息化網(wǎng)絡(luò)安全,公司要將被動(dòng)的事件驅(qū)動(dòng)型管理模式轉(zhuǎn)變?yōu)橹鲃?dòng)的風(fēng)險(xiǎn)管控模式,主動(dòng)地對(duì)威脅和風(fēng)險(xiǎn)進(jìn)行評(píng)估,主動(dòng)地采取風(fēng)險(xiǎn)處置措施。通過資源的調(diào)控實(shí)現(xiàn)對(duì)信息安全工作的調(diào)控。公司應(yīng)在信息安全治理過程中大量借鑒管理學(xué)方法,進(jìn)行動(dòng)態(tài)的控制和治理,通過治理的流程控制措施進(jìn)行資源的調(diào)配,實(shí)現(xiàn)對(duì)關(guān)鍵項(xiàng)目、關(guān)鍵技術(shù)、關(guān)鍵措施的扶持,對(duì)非關(guān)鍵活動(dòng)的控制,確保公司信息化網(wǎng)絡(luò)安全。數(shù)據(jù)通信網(wǎng)升級(jí)改造為企業(yè)信息化發(fā)展擴(kuò)展了領(lǐng)域,同時(shí),對(duì)信息安全工作提出了新的課題和更高的要求。本文通過分析企業(yè)信息化安全管理過程中的一些薄弱環(huán)節(jié),提出了安全防護(hù)經(jīng)驗(yàn)的措施,從管理機(jī)制、技術(shù)防護(hù)、監(jiān)督檢查、風(fēng)險(xiǎn)管控等方面入手,提高了縣公司全體人員信息化安全意識(shí),極大地保障了企業(yè)系統(tǒng)(含縣公司)信息網(wǎng)絡(luò)系統(tǒng)的安全、穩(wěn)定運(yùn)行,完善了縣公司信息安全策略及總體防護(hù)體系,密織信息安全防護(hù)網(wǎng),保障數(shù)據(jù)網(wǎng)不失密、不泄密,不發(fā)生信息安全事件。公司下一步將加強(qiáng)信息化常態(tài)安全巡檢,加強(qiáng)信息化相關(guān)資料的管理,加強(qiáng)單位干部員工的信息化安全培訓(xùn)力度,進(jìn)一步完善信息安全策略及總體防護(hù)體系。提高全體人員信息化安全意識(shí),保障信息化網(wǎng)絡(luò)安全。企業(yè)信息安全建設(shè)是一項(xiàng)復(fù)雜的綜合系統(tǒng)工程,涵蓋了公司員工、技術(shù)、管理等多方面因素。企業(yè)要實(shí)現(xiàn)信息安全,必須加強(qiáng)安全意識(shí)培訓(xùn),制定明確的規(guī)章制度,綜合各項(xiàng)信息安全技術(shù),建立完善的信息安全管理體系,并將信息安全管理始終貫徹落實(shí)于企業(yè)各項(xiàng)活動(dòng)的方方面面,做到管理和技術(shù)并重,形成一套完善的信息安全防護(hù)體系。
參考文獻(xiàn):
[1]馬貴峰,馬巨革.構(gòu)建網(wǎng)絡(luò)信息安全防護(hù)體系的思路及方法——淺談網(wǎng)絡(luò)信息安全的重要發(fā)展方向[J].信息系統(tǒng)工程,2010(6).
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)期刊全文數(shù)據(jù)庫(kù)(CJFD)
級(jí)別:省級(jí)期刊
榮譽(yù):中國(guó)學(xué)術(shù)期刊(光盤版)全文收錄期刊
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)