信息安全管理提升的分析與研究的論文

　　引言

　　歷經(jīng)多年的信息通信基礎設施建設，管道公司信息通信網(wǎng)絡已覆蓋分布在全國14個省市的二級單位、輸油站庫、碼頭和項目部，承載著工業(yè)電視、視頻會議、移動可視化等網(wǎng)絡應用以及智能化管線系統(tǒng)、ERP系統(tǒng)、OA系統(tǒng)等信息系統(tǒng)，成為公司生產(chǎn)運營、經(jīng)營管理、綜合辦公的中樞神經(jīng)。基于日趨完善的信息安全防護建設和日益豐富的信息安全管理手段，逐步建立了信息安全管理體系，部署了常規(guī)的技術防護措施，初步落實了信息安全等級保護要求，并定期開展信息安全風險評估。但是，必須看到，公司信息安全工作仍然面臨十分嚴峻的形勢。

　　1信息安全面臨的形勢與挑戰(zhàn)

　　（1）國際上圍繞網(wǎng)絡空間主導權與控制權的爭奪日趨激烈，信息基礎設施和社會基礎數(shù)據(jù)面臨新時期嚴峻的網(wǎng)絡攻擊風險；云計算、物聯(lián)網(wǎng)、移動互聯(lián)和大數(shù)據(jù)等新技術的快速發(fā)展使網(wǎng)絡安全邊界更加模糊，給信息安全帶來了新的更大的風險和挑戰(zhàn)。

　�。�2）國家層面在不斷加強信息安全監(jiān)管力度，專門成立了中央網(wǎng)絡安全與信息化領導小組�！熬W(wǎng)絡強國戰(zhàn)略”在十八屆五中全會上被納入國家十三五規(guī)劃的戰(zhàn)略體系，網(wǎng)絡信息安全逐漸被提升至國家安全戰(zhàn)略的新高度。國內(nèi)先進企業(yè)也在體系化的全面推進信息安全風險管控工作，傳統(tǒng)的“被動靜態(tài)防護”逐漸被“主動動態(tài)防御”所取代。

　�。�3）管道公司在信息安全管理、技術保障和合規(guī)性建設方面取得了一定的進展，但仍然存在以下不足：信息安全組織機構(gòu)不健全，缺乏專業(yè)技術人才；部分員工缺乏信息安全意識，信息安全責任落實不到位；信息系統(tǒng)建設沒有完全落實信息安全防護同步規(guī)劃、同步建設、同步運行的“三同步”原則，信息系統(tǒng)等級保護沒有全面開展；互聯(lián)網(wǎng)出口尚未統(tǒng)一，信息安全整體防御能力相對薄弱；無線網(wǎng)絡應用、終端入網(wǎng)審計及系統(tǒng)用戶權限管控還有待進一步規(guī)范。

　　2信息安全管理體系與技術保障體系建設[1]

　　2.1健全信息安全管理體系

　　成立公司網(wǎng)絡安全和信息化領導小組，建立公司、二級單位兩級的信息安全管理與應急處置組織體系，建立安全方針政策、安全管理制度、技術標準規(guī)范、流程控制表單四個層級的信息安全標準與制度體系框架；以信息安全等級保護為主線，抓好信息化項目立項、驗收等關鍵節(jié)點，建立信息系統(tǒng)安全風險管控體系；按年度開展信息安全評估檢查，以問題為導向提升信息安全防護水平；建立信息安全通報機制，強化信息安全意識宣教與信息安全技術培訓、技能競賽，形成良好的信息安全氛圍。

　　2.2完善信息安全技術保障體系

　　在終端安全方面，部署網(wǎng)絡準入控制系統(tǒng)、桌面安全管理系統(tǒng)、防病毒系統(tǒng)；在應用系統(tǒng)安全方面，對關鍵服務器主機設備進行冗余部署，建立主機弱點分析機制、主機系統(tǒng)軟件備份和恢復機制、主機入侵檢測機制和主機系統(tǒng)操作規(guī)范。同時，通過實施現(xiàn)有網(wǎng)絡優(yōu)化改造、網(wǎng)關部署等措施，實現(xiàn)公司生產(chǎn)網(wǎng)和辦公網(wǎng)的業(yè)務安全隔離，提升網(wǎng)絡邊界安全防護能力。

　　3信息安全管理提升

　　3.1建立信息安全責任制

　　分解落實信息化歸口管理部門、業(yè)務主管部門、建設運維單位、應用部門在信息系統(tǒng)全生命周期中的安全責任。明確各單位、部門的主要領導為信息安全第一責任人，明確各級信息安全管理員及各專業(yè)人員的信息安全崗位職責，強調(diào)像對待生產(chǎn)安全一樣對待信息安全，營造人人有責、人人盡責、齊抓共管的信息安全管控環(huán)境。

　　3.2加強信息系統(tǒng)安全等級

　　保護與信息化項目全生命周期的信息安全閉環(huán)管理，抓好過程管控，切實落實“三同步”要求。在立項階段確定安全等級，編制安全方案；在建設實施階段實施安全方案；在上線驗收階段嚴格安全檢查，杜絕系統(tǒng)“帶病”上線運行。同時，梳理檢查已投入運行維護的系統(tǒng)，確保全部納入信息系統(tǒng)安全等級保護管理。

　　3.3建立健全信息安全應急響應機制

　　豐富信息安全應急資源，完善信息安全應急預案并加強演練，提升信息安全事件的響應速度和處置水平。通過技術培訓和人才引進，加強信息安全技術團隊建設，提升信息安全態(tài)勢感知能力和動態(tài)主動防御水平，促使信息安全管理由“救火型”向“預防型”轉(zhuǎn)變。

　　3.4建立健全信息安全分析和通報制度

　　結(jié)合國內(nèi)外及石化行業(yè)信息安全形勢，開展信息安全分析，查擺問題，研究制定解決方案。擴大《信息安全通報》影響面，充實通報內(nèi)容，充分發(fā)揮通報發(fā)布信息安全信息、傳播信息安全知識、安排信息安全工作、通報信息安全考核結(jié)果的綜合作用。

　　3.5統(tǒng)一公司互聯(lián)網(wǎng)出口

　　按業(yè)務需要嚴格管控，互聯(lián)網(wǎng)訪問實行實名制管理，互聯(lián)網(wǎng)訪問資源實行白名單管理。對外應用發(fā)布統(tǒng)一至公司云平臺的對外發(fā)布區(qū)，建立統(tǒng)一遠程接入?yún)^(qū)。建立公司統(tǒng)一的無線網(wǎng)絡的認證系統(tǒng)，取締私自接入的無線路由器，規(guī)范無線網(wǎng)絡應用，為移動應用提供安全通道。

　　3.6加強用戶弱口令管理

　　全面啟用強密碼策略，提升用戶登錄認證的安全強度；將統(tǒng)一身份管理系統(tǒng)與HR系統(tǒng)集成，實時同步人員信息，強化用戶賬號的實名制管理。加強終端安全管理，實施用戶終端準入實名制管理，全面提高統(tǒng)一防病毒軟件和桌面管理軟件的安裝率，并積極推進虛擬桌面的普及應用。

　　3.7建立完善公司信息安全基線

　　以基線為基礎實現(xiàn)信息安全的全面管控，降低局部信息安全事件對整體信息安全形勢的影響，采取主動的防御思想，建設信息安全防護體系，并適時對基線進行調(diào)整，實現(xiàn)對信息安全事件的有效防御，切實提升信息安全管理和防護水平。

　　4結(jié)束語

　　信息安全管理要堅持技術與管理并重[1]，在提高信息安全技術防護能力、做好適度防護的同時，注重信息安全組織體系、風險控制和運行服務等方面的管理，形成信息安全動態(tài)長效管理機制以及預防為主的主動式信息安全保護模式；既要作為一個單項重要工作來抓，更要融入各項日常信息化工作，特別是信息系統(tǒng)全生命周期管理中去，才能保障企業(yè)信息化的健康有序發(fā)展。

　　參考文獻

　　[1]劉希儉等.企業(yè)信息化實務指南[M].北京：石油工業(yè)出版社；2011.

【信息安全管理提升的分析與研究的論文】相關文章：

大壩安全預警信息管理的分析論文10-12

信息安全管理中心設計研究論文10-09

計算機信息管理能力提升研究論文10-11

高校計算機信息安全管理研究論文10-09

關于檔案管理中信息安全研究論文10-09

路網(wǎng)管理的信息安全加固方案研究論文10-09

冶金企業(yè)中毒爆炸原因分析與安全管理研究論文10-12

信息安全工程分析論文10-11

電力信息安全監(jiān)控研究論文10-12

連鎖企業(yè)的信息管理的分析論文10-10