信息安全管理提升的分析與研究的論文

　　引言

　　歷經多年的信息通信基礎設施建設，管道公司信息通信網絡已覆蓋分布在全國14個省市的二級單位、輸油站庫、碼頭和項目部，承載著工業電視、視頻會議、移動可視化等網絡應用以及智能化管線系統、ERP系統、OA系統等信息系統，成為公司生產運營、經營管理、綜合辦公的中樞神經。基于日趨完善的信息安全防護建設和日益豐富的信息安全管理手段，逐步建立了信息安全管理體系，部署了常規的技術防護措施，初步落實了信息安全等級保護要求，并定期開展信息安全風險評估。但是，必須看到，公司信息安全工作仍然面臨十分嚴峻的形勢。

　　1信息安全面臨的形勢與挑戰

　　（1）國際上圍繞網絡空間主導權與控制權的爭奪日趨激烈，信息基礎設施和社會基礎數據面臨新時期嚴峻的網絡攻擊風險；云計算、物聯網、移動互聯和大數據等新技術的快速發展使網絡安全邊界更加模糊，給信息安全帶來了新的更大的風險和挑戰。

　　（2）國家層面在不斷加強信息安全監管力度，專門成立了中央網絡安全與信息化領導小組。“網絡強國戰略”在十八屆五中全會上被納入國家十三五規劃的戰略體系，網絡信息安全逐漸被提升至國家安全戰略的新高度。國內先進企業也在體系化的全面推進信息安全風險管控工作，傳統的“被動靜態防護”逐漸被“主動動態防御”所取代。

　　（3）管道公司在信息安全管理、技術保障和合規性建設方面取得了一定的進展，但仍然存在以下不足：信息安全組織機構不健全，缺乏專業技術人才；部分員工缺乏信息安全意識，信息安全責任落實不到位；信息系統建設沒有完全落實信息安全防護同步規劃、同步建設、同步運行的“三同步”原則，信息系統等級保護沒有全面開展；互聯網出口尚未統一，信息安全整體防御能力相對薄弱；無線網絡應用、終端入網審計及系統用戶權限管控還有待進一步規范。

　　2信息安全管理體系與技術保障體系建設[1]

　　2.1健全信息安全管理體系

　　成立公司網絡安全和信息化領導小組，建立公司、二級單位兩級的信息安全管理與應急處置組織體系，建立安全方針政策、安全管理制度、技術標準規范、流程控制表單四個層級的信息安全標準與制度體系框架；以信息安全等級保護為主線，抓好信息化項目立項、驗收等關鍵節點，建立信息系統安全風險管控體系；按年度開展信息安全評估檢查，以問題為導向提升信息安全防護水平；建立信息安全通報機制，強化信息安全意識宣教與信息安全技術培訓、技能競賽，形成良好的信息安全氛圍。

　　2.2完善信息安全技術保障體系

　　在終端安全方面，部署網絡準入控制系統、桌面安全管理系統、防病毒系統；在應用系統安全方面，對關鍵服務器主機設備進行冗余部署，建立主機弱點分析機制、主機系統軟件備份和恢復機制、主機入侵檢測機制和主機系統操作規范。同時，通過實施現有網絡優化改造、網關部署等措施，實現公司生產網和辦公網的業務安全隔離，提升網絡邊界安全防護能力。

　　3信息安全管理提升

　　3.1建立信息安全責任制

　　分解落實信息化歸口管理部門、業務主管部門、建設運維單位、應用部門在信息系統全生命周期中的安全責任。明確各單位、部門的主要領導為信息安全第一責任人，明確各級信息安全管理員及各專業人員的信息安全崗位職責，強調像對待生產安全一樣對待信息安全，營造人人有責、人人盡責、齊抓共管的信息安全管控環境。

　　3.2加強信息系統安全等級

　　保護與信息化項目全生命周期的信息安全閉環管理，抓好過程管控，切實落實“三同步”要求。在立項階段確定安全等級，編制安全方案；在建設實施階段實施安全方案；在上線驗收階段嚴格安全檢查，杜絕系統“帶病”上線運行。同時，梳理檢查已投入運行維護的系統，確保全部納入信息系統安全等級保護管理。

　　3.3建立健全信息安全應急響應機制

　　豐富信息安全應急資源，完善信息安全應急預案并加強演練，提升信息安全事件的響應速度和處置水平。通過技術培訓和人才引進，加強信息安全技術團隊建設，提升信息安全態勢感知能力和動態主動防御水平，促使信息安全管理由“救火型”向“預防型”轉變。

　　3.4建立健全信息安全分析和通報制度

　　結合國內外及石化行業信息安全形勢，開展信息安全分析，查擺問題，研究制定解決方案。擴大《信息安全通報》影響面，充實通報內容，充分發揮通報發布信息安全信息、傳播信息安全知識、安排信息安全工作、通報信息安全考核結果的綜合作用。

　　3.5統一公司互聯網出口

　　按業務需要嚴格管控，互聯網訪問實行實名制管理，互聯網訪問資源實行白名單管理。對外應用發布統一至公司云平臺的對外發布區，建立統一遠程接入區。建立公司統一的無線網絡的認證系統，取締私自接入的無線路由器，規范無線網絡應用，為移動應用提供安全通道。

　　3.6加強用戶弱口令管理

　　全面啟用強密碼策略，提升用戶登錄認證的安全強度；將統一身份管理系統與HR系統集成，實時同步人員信息，強化用戶賬號的實名制管理。加強終端安全管理，實施用戶終端準入實名制管理，全面提高統一防病毒軟件和桌面管理軟件的安裝率，并積極推進虛擬桌面的普及應用。

　　3.7建立完善公司信息安全基線

　　以基線為基礎實現信息安全的全面管控，降低局部信息安全事件對整體信息安全形勢的影響，采取主動的防御思想，建設信息安全防護體系，并適時對基線進行調整，實現對信息安全事件的有效防御，切實提升信息安全管理和防護水平。

　　4結束語

　　信息安全管理要堅持技術與管理并重[1]，在提高信息安全技術防護能力、做好適度防護的同時，注重信息安全組織體系、風險控制和運行服務等方面的管理，形成信息安全動態長效管理機制以及預防為主的主動式信息安全保護模式；既要作為一個單項重要工作來抓，更要融入各項日常信息化工作，特別是信息系統全生命周期管理中去，才能保障企業信息化的健康有序發展。

　　參考文獻

　　[1]劉希儉等.企業信息化實務指南[M].北京：石油工業出版社；2011.

【信息安全管理提升的分析與研究的論文】相關文章：

大壩安全預警信息管理的分析論文10-12

信息安全管理中心設計研究論文10-09

計算機信息管理能力提升研究論文10-11

高校計算機信息安全管理研究論文10-09

關于檔案管理中信息安全研究論文10-09

路網管理的信息安全加固方案研究論文10-09

冶金企業中毒爆炸原因分析與安全管理研究論文10-12

信息安全工程分析論文10-11

電力信息安全監控研究論文10-12

連鎖企業的信息管理的分析論文10-10