信息安全整改方案(详情)范例精编4篇
【导言】此例“信息安全整改方案(详情)范例精编4篇”的范文资料由阿拉题库网友为您分享整理,以供您学习参考之用,希望这篇资料对您有所帮助,喜欢就复制下载支持吧!
信息安全整改方案【第一篇】
关键词:金保工程 信息网络 安全保障 体系设计与实现
中图分类号:TP309 文献标识码:A 文章编号:1007-9416(2016)05-0000-00
伴随着网络信息技术的不断发展和计算机办公系统的日益完善,金保工程作为一项基础性的安全规划建设工程越来越受到人们的广泛关注,逐渐成为各地区信息化建设的重点工程。依托于网络平台建立一个高起点的计算机管理信息系统,可以有效实现民生服务业务管理的现代化和规范化,真正做到“以人为本、记录一生、管理一生。服务一生”。为此,下面本文将首先来分析金保工程的内涵及工程目标。
1 金保工程的内涵及金保工程的工程目标
金保工程的内涵
所谓金保工程,是指关系民生、影响社会稳定的一项系统信息工程,它是各地区电子政务整体规划中的一个重要子系统,也是政府信息化建设的重点工程之一,是对现有的社会保障信息系统的一个优化和完善。从本质上说,金保工程是一个依托于网络平台的计算机管理信息系统,它是利用先进的信息技术来提供劳动和社会保障业务服务,并为公共服务的宏观决策提供基础信息的计算机管理系统建设工程。它的目标是建立覆盖中央、省、市三级网络的全国统一的网络系统。是将劳动和社会保障工作,融于电子政务工程的一项重要举措。2008年提出了金保工程建设工作要点,规定了金保工程建设所涉及的主要内容。要求金保工程要着力建设统一的数据库来实现全国社会保障数据的集中管理。
金保工程的项目目标
近几年来,针对金保工程的具体开展,国家已经出台了许多相关的规范标准文件,这些文件结合社保业务信息系统的实际情况来编制总体的设计目标,为社保机关的安全建设和整改工作提供了可行性的参照。它的目的是通过建立一个高起点的计算机管理信息系统来完善当前的社会保障系统,制定一个统一的标准和规范,优化当前的管理模式,构建开放性的体系结构。而且能够使所建立的计算机管理系统为政府部门的决策提供宏观的信息服务。金保工程的总体目标是要设计出符合社保实际业务情况、与当前网络信息系统运行模式相符合的社会保障建设的整改方案。
2 金保工程信息网络安全保障体系的设计
安全管理体系设计
安全管理体系的设计是指在宏观上构建安全组织、安全策略。安全管理体系的设计包括安全组织体系的建设和安全策略体系的建设。安全组织是指负责整个网络信息安全的管理和实施者,负责安全岗位的设置和管理、安全策略、制度、规划的制定和实施,是开展网络安全工作的直接责任人。安全策略体系是指为了达到网络安全目标而出台的一系列的安全管理指导策略、具体的安全指导方针。它的目的是为了有效保护网络信息资源,向上可以上升为指导方针,向下可以具体划分为安全实施细则。
安全技术体系设计
安全技术体系设计了包括监控体系设计和支撑性的基础设施设备设计两个方面的内容。首先安全监控体系是指安全监控平台,它包括网络管理平台和安全管理平台。网络管理平台的主要职责是通过对网络交换机、路由器和服务器的管理,实现安全技术体系的功能。安全管理平台主要是指对指具体的安全系统的管理。例如对防火墙、终端安全、病毒防护系统、漏洞扫描系统的管理等等。安全监控平台所包含的这两个管理系统的关系是安全管理平台可以收集网络管理平台的信息实现统一化管理。支撑性的基础设施涉及的安全技术主要包括身份鉴别、访问控制、授权管理、内容过滤、数据加密、入侵分析等内容。发展比较成熟的、在金保工程中运用较多的信息系统是防病毒系统、可信终端系统、数据库审计系统、主页防篡改系统、网络行为监控系统、防火墙系统、入侵防御系统等。防控系统是通过统一化的安全管理中心来进行调配和控制的,可以提升整个系统的总体安全性。
服务支持体系规划
服务支持体系是有效提升金保工程的信息安全保障水平、实现信息安全组织安全发展的重要途径。构建金保工程信息网络安全保障体系的目的是保障为了市级、县级、部级安全组织的网络安全,能够通过改善信息服务业务系统的安全性能来保障自己的网络信息安全,提升安全技术能力。因此,很多不同类别的服务中心需要引进第三方的专业安全厂商服务支持体系,用所引进的服务支持体系来与公司、企业或单位事业单位内的相关技术人员的专业技术实践相对接,可以保障在正常开展业务服务的同时提升现有的安全技术水平,保障网络系统的安全,实现信息系统的持续可靠运行。
3 结语
在计算机办公系统的日益完善的背景之下,借助于金保工程来完善我国当前的安全规划建设系统可以有效实现民生服务业务管理的现代化和规范化,真正实现以人为本的社会服务理念。通过上述本文的分析,笔者主要论述了金保工程的内涵和工程目标、金保工程信息网络安全保障体系的设计两大方面的内容,以期能够提升现有的安全技术水平,实现信息系统的持续可靠运行。
参考文献
[1] 杨智慧。中华人民共和国计算机信息系统安全法规汇编[M],群众出版社,1998.
[2] 赵泽茂,朱芳。信息安全技术[M].西安电子科技大学出版社,2009.
信息安全整改方案【第二篇】
共2页,当前第2页2
信息安全整改方案【第三篇】
关键词 安全管理 管理信息系统 危险源辨识
a modern method for safety management——the safety management information system
abstract
a new information system network for safety management is established taking safety department as the information processing centre and individual risk post and special section as terminals to from a closed loop of the safety management. in this way, the safety inspection, and rectification and reform could be carried out uninterruptedly.
key words: safety management management information system recognition of risk sources
1 前言
进入90年代,安全管理在企业中,越来越受到重视。在发达国家,各种现代化的安全管理方法应用得很普遍。由于他们的生产设备自动化程度很高,其安全管理多包含在整个企业管理系统之内。而在国内的一些企业,安全管理的方法多停留在宣传、教育、定期安全检查的水平上,并且多是在发生事故后才着手进行分析。这些管理手段落后、被动、反应慢,很难适应现代安全生产的要求。因此,迫切需要建立自己的、适合我国现有生产条件的安全管理方法。据此,笔者研制了安全管理信息系统,力求把安全管理从传统的事后追踪变为事前预防控制。
2 管理信息系统
管理信息系统(mis)主要包括对信息的收集、录入,信息的存贮,信息的传输,信息的加工和信息的输出(含信息的反馈)五种功能。它把现代化信息工具——电子计算机、数据通信设备及技术引进管理部门,通过通信网络把不同地域的信息处理中心联结起来,共享网络中的硬件、软件、数据和通信设备等资源,加速信息的周转,为管理者的决策及时提供准确、可靠的依据。在一个国家里,mis能否得到广泛应用,标志着这个国家近代科学技术的先进水平,美、日等国家mis已在企业中得到普及。在我国一些大、中型企业、事业单位及政府管理部门也建立了管理信息系统,并取得了较显著的成效。至于把mis单独应用到安全管理上,还尚未见报道。近年来,有些企业正在推行事故控制技术,其中的事故隐患检查方法是一种积极的、也比较适合我国企业生产条件的安全管理手段,它是根据危险源辨识和系统安全分析的结果,把主要的潜在事故隐患作为检查和控制的对象,编制成各类标准安全检查表。然而,在实际生产中,每天获取的事故信息量非常大,这些信息都是需要及时处理和综合分析、判断的,靠人很难在短时间内完成这些工作,这就需要应用计算机来建立管理系统。因此,笔者认为,管理信息系统在企业管理中的应用具有现实意义,其应用前景广阔。
3 安全管理信息系统分析及设计
按照管理信息系统的研制过程,笔者首先对多家生产企业进行了调研,总结出现有安全管理系统之症结所在,(主要是安全管理中作为决策依据的信息流通不畅,如果不改变信息的收集方式、渠道及处理周期,这个问题就无法解决)从而得出关于项目目标的比较明确的认识。根据事故控制的基本模式,在系统设计时,要考虑几个信息反馈回路,而以下两个基本回路尤为重要。
其一:制表(安全检查表)检查(工作岗位)隐患评价打印(整改通知)有关部门整改(工作岗位)
其二:隐患总库制表(安全检查表)检查发现新隐患(新隐患)存档总库
因此,系统应按如下方式运行:
首先,通过危险源辨识发现来自各分厂工段的事故隐患,经过汇总、分析后,输入安技部门的中心计算机,并分别建立了两个事故隐患档案:一个是按不同的岗位来分的事故隐患档案,安全检查表的制订就是以它作为依据;另一个是按其所属的不同的专业部门来分的事故隐患档案,它是用来区分事故隐患的类型,以便制订出各种专业报表,发送至各专业部门。各个不同岗位的安全检查表通过计算机打印出来后,发送至各生产岗位。工作人员依表进行安全检查,发现事故隐患后,及时通过网络系统反馈回安技部门的信息管理中心,进行汇总,建立当前事故隐患档案。再根据按专业分隐患档案对其进行分类汇总,制订出各种不同专业报表,再通过网络系统发至各专业部门,指导其进行事故隐患整改。
如果,在当前事故隐患检查中发现未列出的新事故隐患,则把它存入事故隐患档案(包括按岗位分和按专业分事故隐患档案)不断增加内容,因此,安全检查表的内容也随之丰富。当前事故隐患档案的建立,是为了实现对各专业部门进行的隐患整改情况的跟踪监督。通过与当前事故隐患档案中情况的对照,可发现以前的事故隐患是否已得到整改,从而采取相应措施。
在系统中,建立以上三种事故隐患档案之后,还可建立伤亡事故档案,以及危险作业岗位工作人员的素质、岗位安全教育培训档案等。
根据上述分析,笔者建立了企业安全管理信息系统,其信息反馈数据流程图如图1所示。
图1 安全信息系统数据流程图
4 系统说明
危险源辨识
危险源辨识是建立安全信息管理系统的基础,也是建立此系统的第一步。进行危险源辨识工作时,不仅要分析以往发生的伤亡事故资料,还要参照来自系统外部的其它有关信息资料。危险源辨识,应掌握下列几项内容:
1) 生产设备本质安全化水平,设计缺陷及作业环境缺陷;
2) 人机匹配问题;
3) 事故严重度和发生概率;
4) 事故可能发生的模式及波及范围预测。
按此要求进行危险源辨识,再辅以系统安全分析方法,即可找出各种潜在的事故隐患,从而为安全检查表的制订和隐患的整改工作打下基础。
信息管理系统
主要是指设在安技部门的中心计算机信息管理系统。
模块设计
该系统的模块设计包括两个方面:数据存贮设计和处理过程设计。
数据存贮设计主要是确定存贮的内容和文件的组织方式。它包括各种档案文件的建立及分类。
处理过程设计主要是把模块分为四类:输入汇总、查询、打印报表和复制。
系统主控模块由下述多个功能模块组成,在菜单提示下调用子程序执行其功能,见图2。
在此,信息收集模块包括两部分内容。第一部分是通过危险源辨识和系统安全分析,把各危险点的事故隐患收集、录入;第二部分是通过安全检查,发现各危险点的事故隐患,并将其反馈至主模块。由于这两部分工作主要靠人工参与完成,故在此统一用信息收集模块表示。
程序编制
在本系统中,编程使用的语言主要是中西文+,从数据库语言本身的优点看,+是开发本软件非常合适的语言,而且在我国普及很广,对汉字系统的要求也不很严格,具有很强的适应性和可移植性。系统升级也很容易,用foxbase语言编写的程序可不做任何修改而直接在foxpro系统下运行。且可编译成。exe文件,直接在dos下运行,加强了系统的保密性和装载速度。
该系统所要求的存贮和检索功能均属于操作级的管理工作,数据格式固定,数量也能为一般微型机所处理。软件依靠cc-dos操作系统支持。
安全检查
安全检查是安全管理信息系统成败之关键。安全检查表依据从危险源辨识和系统安全分析(主要是事故树分析)得到的事故隐患档案确定。因而其内容全面、客观、具有严格的科学性。要求设计岗位检查内容各异,表格形式通用的安全检查表,同时融安全检查和设备点检的要求于一表,以减轻工人负担。检查表的主要内容包括:检查项目,检查内容(包括其它新的内容)及标准,检查结果(包括备注)以及检查人和检查日期。各危险岗位的工作人员和安全员应严格按照检查表进行检查,及时将事故隐患反馈给安技部门。如果发现的事故隐患已由工作人员或车间内部自己解决,也需记入检查表内,并注明已得到整改。
隐患整改
隐患整改是安全管理信息系统的最后实施体现,前面所做的一切都是为实施隐患整改创造条件,而隐患整改才是系统起作用的极为重要的手段。
应该建立以安技、设备动力、生产、运输、保卫五个专业部门为主体的隐患整改机制,凡属于设备、电气方面的信息,直接由设备动力部门解决,交通车辆事故隐患由运输部门解决,这种按系统管理,分级负责的方法有利于充分发挥各专业部门的安全生产责任及其积极性。
安技部门的信息管理系统,分系统、按职责将事故隐患制成各种专业报表,通过安全管理信息系统网络,及时反馈到有关部门的终端上。
事故隐患整改过程就是一个系统调节反馈过程,每起事故隐患,不可能一次反馈、调节,它是控制危险因素,及时消除事故隐患,实现安全生产的重要环节。
5 总结
综上所述,建立的安全信息系统总的思想方法是:通过详细调查及系统安全分析,找出各种事故隐患,确立各个危险点面,特别是在各危险点建立安全管理信息系统网络终端,严格执行安全检查表制度,准确、及时地将各种隐患信息反馈到安技部门,以数据的形式存入安全管理信息系统数据库,进行信息处理(包括分析、辨别、分类、汇总),最后再以各种专业报表的形式输出至各部门的终端上,及时进行隐患整改。
概括而准确的表述这种现代的安全管理方法,就是通过建立以安技部门为信息处理中心(中央处理机),各危险岗位和各专业部门为终端的安全管理信息系统网络,从而由安全信息反馈来推进对隐患的不断检查、整改和监控,形成闭环管理。
此系统看似比较简单,仅是安全信息的收集和表格(报表,安检表)的输出,但它却解决了目前企业安全管理中普遍存在的关键问题——安全信息缺乏,信息传递渠道不畅通,反馈不及时,危险信息不能及时得到处理。因而,对企业安全管理向本质安全化管理方面发展,具有十分重要的现实意义。
当然,企业安全管理是一项非常复杂的系统工程,单凭向本质安全化管理一方面发展是不够的。还需要采取各种措施,提高作业人员的安全素质(安全技能和安全意识),增强职工执行安全规章的自觉性和自我保护能力。只有这两方面都做到,才有可能真正使企业安全管理水平上升一个新台阶
参考文献
1 丁贵宝.企业安全生产科学管理18法.南京:江苏科技出版社,1994.
2 冯师道.管理信息系统.北京:科学出版社,1992.
3 张景林.安全系统工程.太原机械学院讲义,1991.
4 刘 平.怎样使用中西文+.北京:电子工业出版社,1994.
信息安全整改方案【第四篇】
关键词 中小商业银行;等级保护;信息科技风险管理;信息安全体系框架
1 中小银行等级保护咨询服务的背景
随着信息技术的不断进步与发展,信息系统的安全建设显得尤为重要。2012年6月29日人民银行下发了“银发2012163号”文件,为进一步落实《信息安全等级保护管理办法》(公通字〔2007〕 43号文印发),加强对银行业信息安全等级保护工作的指导,结合近年来银行业信息安全等级保护工作开展情况,人民银行给出了银行业金融机构信息系统安全等级保护定级的指导意见,至此,正式的拉开了中小商业银行等级保护建设和整改工作的序幕。
2 等级保护咨询服务的项目目标
国内中小银行在信息安全的发展程度,大部分处于自我认知的阶段,一边忙于业务发展的保障需要,一边又要应对上级监管部门的监督检查,对于安全建设来说,大部分没有纳入到战略的层面来考虑。因此,借助于等级保护咨询服务来建立的这样一套信息安全体系,必须同时满足公安部等级保护基本要求、人民银行等级保护的测评要求和银监会关于IT风险管理的要求。这些目标相辅相承,互为补充。只有将通用的要求、标准、规范落实到自己IT风险管理体系的各方面,建立适合自己业务特点与发展需求的信息安全体系,才能达到有效管理风险、进行IT治理的目的,并最终通过等级测评。
3 等级保护咨询服务的总体思路
中小银行在咨询服务项目需要主动地全面的考量自身情况,综合分析人民银行、银监会和等级保护的要求,在现有的安全工作基础之上,建立统一的信息安全体系,同时满足这些主要的监管要求。这样面临检查时,只要客观反映出当前状态就可以,有效降低临时的材料组织工作。
同时满足三方面监管要求的信息安全体系,这个信息安全体系将以公安部的等级保护《基本要求》、人民银行的《等保测评指南》和银监会《管理指引》为主要依据来搭建起框架,以各专项监管指引为各个领域的具体工作指导,以ISO27000为代表的国内外信息安全标准为补充。
4 等级保护咨询服务的内容
等级保护的咨询服务具体实施过程可参考公安部下发的《信息系统安全等级保护实施指南》,“指南”中将等级保护工作分为了定级备案、规划设计、建设整改和等级测评四大过程。
系统定级
系统定级阶段需要完成的工作。
1) 等级保护的导入培训:在进行咨询服务之前,需要对银行相关科室信息人员进行等级保护的内容培训。只要讲清楚等保是什么,需要各级人员配合的工作点是什么就可以了。
2) 系统业务安全域划分:这个阶段需要进行信息搜集和资产调研。明确业务系统的范围、边界、功能、以及重要性等。
3) 编写系统定级报告和备案表:定级报告和备案表都是按照公安部等保办公室的通用模版来编写的,内容包含了系统功能描述、网络拓扑、定级的理由和依据等。
4) 召开专家评审会、获得备案证明:召开专家评审会并获得备案证明可视为一个里程碑式的阶段性成果,因为定级和备案是等级保护工作开展的前提,如果级别定错了,或者专家有不同的评审意见,则后续的设计方案、整改方案均无法执行。同时,对于银行信息科技部门的领导而言,服务工作做的怎么样无法量化,但是备案证书是看的见,摸的着的,如果能在评审会现场当场颁发,则意义更加重大。
规划与设计
规划与设计阶段的主要工作就是进行等级差距分析和风险评估。
1) 技术层面可直接参考人民银行关于金融行业的“测评指南”来完成,可操作性较强。可分物理、网络、主机、应用、数据五个层面进行差距评估,同时对网络流量和网络协议进行简单的分析,通过漏洞扫描设备、配置核查设备、渗透工具等进行风险分析,输出风险评估报告和技术层面的差距评估报告。
2) 管理层面上,等保的管理要求相对薄弱,集中体现在运维管理等方面,如果要达到人民银行和银监会的标准,还有很多需要加强和补充的地方,可以对现有的制度文档进行一个简单的梳理,用最短的时间完成等保的管理制度调研。
实施与整改
实施与整改阶段需要按照规划阶段的设计方案进行实施,以满足等级保护安全体系的建设要求。
1) 组织体系整改:安全管理组织应形成由主管领导牵头的信息安全领导小组、具体信息安全职能部门负责日常工作的组织模式。可参考已成立的《等保领导小组》设立模式,但应具体到管理员岗位。
2) 管理体系整改:按照等级保护的要求补充或重新制定管理制度,根据咨询方提供的制度模版,银行可根据自身的实际业务需求进行修改,并经内部讨论修订后,下文试运行。
3) 技术体系整改:技术体系整改应从三个层面进行考虑。
制定技术规范:包括windows、AIX、Informix、tuxedo、cisco等主流设备的安全配置规范;可考虑聘请专业安全公司进行咨询服务,制定适合银行长期发展的安全策略和技术安全规范。
安全配置加固:根据已制定的技术规范进行主机、服务器、网络设备、安全设备的全面的安全加固。
安全设备采购:在安全技术体系的具体实现过程中,需要落实安全技术详细设计方案中的具体技术要求,将先进的信息安全技术落实到具体安全产品中,形成合理、有效、可靠的安全防护体系。
等级测评
根据人民银行的《金融行业信息安全等级保护测评服务安全指引》选择具有资质的第三方测评机构进行等级测评,一般当地公安机关会指定2-3家评估中心进行等级测评,如果银行自行联系省外的测评机构,可能需要事先跟当地省公安厅取得联系,确保该测评机构的测评报告在本省是受到认可的。
实际上做了咨询服务之后,等级测评的工作就变的非常简单,因为咨询方会在规划与设计阶段就会与测评中心取得联系,确保其设计方案和整改实施方案得到专家和测评中心的认可,保障其顺利实施。所以在等级测评的时候,测评师从进场到出具评测报告大概只需一周左右的时间。
5 结束语
关于金融业等级保护的建设工作,是今后两年的一个重点工作,尤其是中小银行可借助合规要求,由信息科技部门立项,向行内申请更多的资源来完善自身的安全体系建设工作。
参考文献
[1] 武冬立。银行业安全防范建设指南。长安出版社,2008-11-1.
[2]李宗怡。 中国银行安全网构建基础研究。经济管理出版社,2006-6-1.
[3] 刘志友。商业银行安全问题研究。中国金融出版社, 2010-3-1.
[4] 曹子建,赵宇峰,容晓峰。网络入侵检测与防火墙联动平台设计[J].信息网络安全,2012,(09):12-14.
[5] 傅慧。动态包过滤防火墙规则优化研究[J].信息网络安全,2012,(12):12-14.
作者简介: