信息安全管理提升的分析与研究的论文.doc

信息安全管理提升的分析与研究的论文 引言 历经多年的信息通信基础设施建设管道公司信息通信网络已覆盖分布在全国14个省市的二级单位、输油站库、码头和项目部承载着工业电视、视频会议、移动可视化等网络应用以及智能化管线系统、ERP系统、OA系统等信息系统成为公司生产运营、经营管理、综合办公的中枢神经基于日趋完善的信息安全防护建设和日益丰富的信息安全管理手段逐步建立了信息安全管理體系部署了常规的技术防护措施初步落实了信息安全等级保护要求并定期开展信息安全风险评估但是必须看到公司信息安全工作仍然面临十分严峻的形势 1信息安全面临的形势与挑战 （1）国际上围绕网络空间主导权与控制权的争夺日趋激烈信息基础设施和社会基础数据面临新时期严峻的网络攻击风险；云计算、物联网、移动互联和大数据等新技术的快速发展使网络安全边界更加模糊给信息安全带来了新的更大的风险和挑战 （2）国家层面在不断加强信息安全监管力度专门成立了中央网络安全与信息化领导小组“网络强国战略”在十八届五中全会上被纳入国家十三五规划的战略体系网络信息安全逐渐被提升至国家安全战略的新高度国内先进企业也在体系化的全面推进信息安全风险管控工作传统的“被动静态防护”逐渐被“主动动态防御”所取代 （3）管道公司在信息安全管理、技术保障和合规性建设方面取得了一定的进展但仍然存在以下不足：信息安全组织机构不健全缺乏专业技术人才；部分员工缺乏信息安全意识信息安全责任落实不到位；信息系统建设没有完全落实信息安全防护同步规划、同步建设、同步运行的“三同步”原则信息系统等级保护没有全面开展；互联网出口尚未统一信息安全整体防御能力相对薄弱；无线网络应用、终端入网审计及系统用户权限管控还有待进一步规范 2信息安全管理体系与技术保障体系建设1 2.1健全信息安全管理体系 成立公司网络安全和信息化领导小组建立公司、二级单位两级的信息安全管理与应急处置组织体系建立安全方针政策、安全管理制度、技术标准规范、流程控制表单四个层级的信息安全标准与制度体系框架；以信息安全等级保护为主线抓好信息化项目立项、验收等关键节点建立信息系统安全风险管控体系；按年度开展信息安全评估检查以问题为导向提升信息安全防护水平；建立信息安全通报机制强化信息安全意识宣教与信息安全技术培训、技能竞赛形成良好的信息安全氛围 2.2完善信息安全技术保障体系 在终端安全方面部署网络准入控制系统、桌面安全管理系统、防病毒系统；在应用系统安全方面对关键服务器主机设备进行冗余部署建立主机弱点分析机制、主机系统软件备份和恢复机制、主机入侵检测机制和主机系统操作规范同时通过实施现有网络优化改造、网关部署等措施实现公司生产网和办公网的业务安全隔离提升网络边界安全防护能力 3信息安全管理提升 3.1建立信息安全责任制 分解落实信息化归口管理部门、业务主管部门、建设运维单位、应用部门在信息系统全生命周期中的安全责任明确各单位、部门的主要领导为信息安全第一责任人明确各级信息安全管理员及各专业人员的信息安全岗位职责强调像对待生产安全一样对待信息安全营造人人有责、人人尽责、齐抓共管的信息安全管控环境 3.2加强信息系统安全等级 保护与信息化项目全生命周期的信息安全闭环管理抓好过程管控切实落实“三同步”要求在立项阶段确定安全等级编制安全方案；在建设实施阶段实施安全方案；在上线验收阶段严格安全检查杜绝系统“带病”上线运行同时梳理检查已投入运行维护的系统确保全部纳入信息系统安全等级保护管理 3.3建立健全信息安全应急响应机制 丰富信息安全应急资源完善信息安全应急预案并加强演练提升信息安全事件的响应速度和处置水平通过技术培训和人才引进加强信息安全技术团队建设提升信息安全态势感知能力和动态主动防御水平促使信息安全管理由“救火型”向“预防型”转变 3.4建立健全信息安全分析和通报制度 结合国内外及石化行业信息安全形势开展信息安全分析查摆问题研究制定解决方案扩大信息安全通报影响面充实通报内容充分发挥通报发布信息安全信息、传播信息安全知识、安排信息安全工作、通报信息安全考核结果的综合作用 3.5统一公司互联网出口 按业务需要严格管控互联网访问实行实名制管理互联网访问资源实行白名单管理对外应用发布统一至公司云平台的对外发布区建立统一远程接入区建立公司统一的无线网络的认证系统取缔私自接入的无线路由器规范无线网络应用为移动应用提供安全通道 3.6加强用户弱口令管理 全面启用强密码策略提升用户登录认证的安全强度；将统一身份管理系统与HR系统集成实时同步人员信息强化用户账号的实名制管理加强终端安全管理实施用户终端准入实名制管理全面提高统一防病毒软件和桌面管理软件的安装率并积极推进虚拟桌面的普及应用 3.7建立完善公司信息安全基线 以基线为基础实现信息安全的全面管控降低局部信息安全事件对整体信息安全形势的影响采取主动的防御思想建设信息安全防护体系并适时对基线进行调整实现对信息安全事件的有效防御切实提升信息安全管理和防护水平 4结束语 信息安全管理要坚持技术与管理并重1在提高信息安全技术防护能力、做好适度防护的同时注重信息安全组织体系、风险控制和运行服务等方面的管理形成信息安全动态长效管理机制以