第一篇:集团安全生产信息化
集团信息安全管理
关于加强集团信息安全管理的重要通知
长期以来,外部网络信息环境复杂,木马病毒及各类恶意软件泛滥,严重威胁信息平台的安全和健康运行,用户误入沟通陷阱、机密材料被篡改窃取、网上财务损失等事件层出不穷。随着集团及各子公司信息化和办公自动化进程的推进,各类沟通渠道中所含信息的安全管理成为集团安全管理工作的重要内容。为确保集团各类信息的安全运行,保障集团各项利益不受损害,依据集团保密制度的相关规定,现将有关事项通知如下:
一、会议信息安全管理
1、会议须按集团会议级别分类,将会议记录资料交由会议主办部门(单位)指定专人进行归档存储;
2、重要涉密会议,应事先制定保密计划或预案,并做到有领导分管、有专门机构和人员负责保密工作。
3、涉密会议应当选择有利于保密的场所进行,事前应对会议场所进行安全保密技术检查。
4、涉密会议必须明确规定参加人员的范围,并对有关工作人员进行保密教育,规定保密纪律,严禁无关人员进入会议场所。
5、涉及企业绝密的会议禁止使用无线话筒,参加会议人员不得将移动电话带入涉密会议的会场,因特殊原因带入会场的移动电话应关闭手机并取出电池,统一放置于座位左手上方。会议期间严禁使用手机接打电话或录音录像。重大涉密会议应使用保密会议移动通信干扰器。
1 / 6
6、涉密会议期间的秘密文件、资料,要有专人负责管理;要在载体上标明密级、保密期限和份数序号;分发要履行登记、签收手续,并按照涉密文件资料管理。未经批准不得提供给新闻记者。
7、领导在会议上的讲话未经本人同意,不得整理散发。参加会议的人员和工作人员不得以任何形式对外泄露会议内容。
8、秘密会议的传达,应当按会议主办部门(单位)确定的内容和范围进行;确需扩大知悉范围的,应当经主办部门(单位)批准。
二、办公自动化及通信设备安全管理
1、涉密办公自动化设备,应安置在安全保密的场所,并按照保密要害部门、部位的要求,配备保密安全设施。
2、不得使用移动电话谈及企业秘密信息,确需交谈的,应使用有线电话。
3、不得将移动电话带入谈论涉及秘密事项的场所,因特殊原因带入的移动电话应取出电池或采取屏蔽功能。
4、单位打印机、复印机、扫描仪,应统一由法务文印部专人管理,严禁擅自打印、复印、扫描涉密文件、资料、图表等。
5、涉密部门的领导和重要涉密岗位的工作人员不得使用他人赠送的移动电话。
6、未经允许严禁私自使用手机或其它电子设备进行重要文件、要害部门设施设备的拍摄、图片视频上传及发送等。
7、不得随意另存、复制、打印、发送、截屏、拍摄集团内部文件及公文流转系统中文件(包括但不限于审批件、呈报件等)。
2 / 6
8、使用涉密计算机的人员,必须妥善保管好自己账号、密码,严禁外泄。
9、不得以集团企业邮箱以外的电子邮箱传递企业秘密文件、信息,电子邮件讨论、部署、汇报涉密内容应加密;不得在网上发布秘密文件、信息。
10、严禁使用计算机端或手机端的QQ、飞信、微信、易信等网络沟通联络软件进行传送、发布、散布企业秘密文件。
11、不得将集团内部文件和资料提供给与工作无关的任何单位和个人,严禁将集团内部审批件提供给集团以外的任何单位和个人。
12、不得利用办公网络系统从事损害集团信息安全、泄露信息机密的活动。
13、不得查阅、下载、复制、传播、使用与工作内容无关的电子信息,不得利用网络聊天。上班期间,不得浏览与工作无关的网站。
14、严禁未经批准擅自接入集团信息网络,网络及计算机使用人要增强安全防范意识,不得擅自修改IP地址、网络端口、用户账号、密码,并将信息化系统中的信息、数据传播给他人。
15、办公计算机使用人不得私接网线,不得私自安装与工作无关的软件,不得私自删除网络客户端软件、杀毒软件和操作系统文件。
16、办公网络严禁私自使用无线WIFI路由设备,严禁私接无线网卡,一经发现,没收该设备并将直接追究该使用人责任。
17、非网络管理人员,严禁私自登录网络设备、服务器并进行非法设置,一经发现,将直接追究该私设人员责任并除名。
3 / 6
18、所有外来信息数据,包括邮箱、QQ客户端、网站下载等来源的数据,在导入计算机使用时必须首先进行杀毒处理,未经处理导致病毒感染、网络系统使用不正常或出现网络瘫痪的,一经发现,将直接追究该使用人责任。
19、严禁恶意使用非法网络软件进行网络端口的扫描、地址获取、密码探测等干扰网络正常运行的行为,一经发现,将直接追究该使用人责任并除名。
20、严禁外来人员在办公场所内利用手机或其它电子设备拍摄照片视频资料,集团任何部门及人员均有权应予以制止,并令其删除拍摄内容。
21、集团电信号码所开通的微信号码,自本通知下达后持卡人应立即停止使用。
22、集团内部严禁私自架设微信群、QQ群等讨论群并在群内传播、散发集团重要信息。一经发现,将直接追究该使用人责任并除名。
23、集团闭路监控视频、电话录音、车辆GPS信息、网络操作记录等重要信息,应由专门部门(单位)负责,信息的调阅、查询均要按规定进行登记,并做好信息的备份和保密工作。
三、秘密载体的安全管理
1、承载秘密的纸介质、光介质、电磁介质等秘密载体,如纸张、光盘、硬盘、U盘、磁带、录音笔等,应当做出秘密标志,应当根据有关保密规定确定密级和保密期限。
4 / 6
2、秘密载体必须由集团机要(保密)部门统一管理,密件收发、交换、借阅应履行登记签字手续。相关载体借出时,应确保载体内信息不泄露。
3、集团文件只允许发放于部门(单位),一般不得发给个人。
4、传递密件应使用安全可靠的交通工具,不得通过普通邮政进行。绝密件的传递,应单独密封,专人护送,不得使用普通传真机、电话、短信、微信等任何通讯手段和工具。
5、密件传阅应专夹专人直传,不得横传,并做到当天阅读当天退还,不得在无保密条件的场所存放。
6、销毁秘密载体,必须认真登记,经集团分管领导和总经理审批后,统一送公文销毁机构销毁。个人不得擅自销毁密件。
7、因工作需要随身携带秘密载体外出的,必须经集团分管领导及总经理批准,并采取可靠的安全措施。
8、集团领导参加会议带回的密件应及时交集团信息资料部登记管理,个人不得留存。
自此通知下发之日起各部门(单位)负责人应严格按照上述要求执行,具体做好以下工作:
1、综合部做好会议保密级别的划分及重要会议的设备使用管理、移动通信设备检查及干扰器设置工作;
2、信息资料部做好有关网络及文件信息安全的监督检查和管理工作。
3、人资部做好有关企业职工的保密安全教育和引导工作。
5 / 6
4、法务文印部做好有关企业秘密的遗失、泄露等事件的应对及应急处理方案。
5、财务部做好财务报表、往来凭证等重要经济数据的保密和管理工作。
6、集团其他各部门做好各自部门业务范畴内的重要信息的保密工作。
7、各子公司做好各自公司内部业务范畴内的重要信息的保密工作。
8、集团各部门及子公司负责人应严格按照各自签订的《2014年目标责任书》和《保密协议书》之要求,做好涉及商业秘密及工作秘密的内容审查工作。
信息部
2014年10月30日
6 / 6
第二篇:集团安全管理信息化系统平台项目建设会议纪要(范文)
中平会纪„2014‟4号
集团安全管理信息化系统平台项目建设
会 议 纪 要
2014年1月3日上午,受集团安监局局长杜波委托集团副总工程师李永生在集团信息楼二楼会议室主持召开了集团安全管理信息化系统平台项目建设会议。会议对项目课题组进行了专业分组、明确了各专业组职责,听取了项目合作方北京恒科天地矿业测控技术有限公司的项目研发进展工作汇报,并就做好项目下一步的研发工作提出了要求。现纪要如下:
一、会议指出
安全信息系统平台建设是集团2013年重大安全科技攻关项目,也是落实“三基三抓一追究”管理模式、实施科技兴安的具体体现;是利用现有信息技术,结合集团自身的局域网资源,建
立相应的安全信息管理系统,为集团安全管理工作的现代化、信息化、系统化、规范化提供科学可行的管理手段;是主要服务于集团决策层、领导管理层、业务战线层、煤矿管理层和基层区队安全管理信息化运行的平台。项目的实施将增加安全管理过程中人、机、环、管的协调性,加快安全管理信息的传递和处理,提升集团安全管理和超前防范水平。
二、会议决定
按照集团领导指示,成立集团安全信息系统平台项目课题组。课题组设在集团安监局。
组 长:杜 波
副组长:李永生 向 阳 王新义 康国锋 陈林清
王和平
课题组分为6个专业组,各专业组成员部门及主要职责为:
(一)生产调度专业组 组长:陈林清
成员部门:总调度室、平煤股份生产处,许平煤业生产技术处
主要职责: 1.总调度室
提供生产调度、调度专业安全质量标准化检查情况、应急管理情况等方面的安全管理信息。
2.平煤股份生产处、许平煤业生产技术处
提供采煤工作面生产管理方面的动态安全管理信息,如初采初放、安装、回收、过地质构造带等特殊情况下的进度、存在的重大安全隐患及采取的措施等方面的安全管理信息。
(二)开拓掘进专业组 组长:王和平
成员部门:规划发展部、建工集团、平煤股份开拓处、 许平煤业工程计划处
主要职责: 1.规划发展部
提供建设项目安全生产“三同时”等方面的安全管理信息。 2.建工集团
提供建工集团层面及下属单位安全管理信息、汇报反馈的流程、模式等方面的安全管理信息。
3.平煤股份开拓处、许平煤业工程计划处
提供开掘工作面生产管理动态等方面的安全管理信息。
(三)“一通三防”专业组 组长:康国锋
成员部门:平煤股份通风处、许平煤业通风处 主要职责:
提供矿井“一通三防”和防突、监测监控、供水施救、压风 3
自救及紧急避险系统等方面的安全管理信息。
(四)机电运输专业组 组长:向 阳
成员部门:平煤股份机电处、许平煤业机电处、信通公司、 中南检测公司
主要职责:
1.平煤股份机电处、许平煤业机电处
提供煤矿机电运输、通信联络系统、机电设备管理、防爆管理等方面的安全管理信息。
2.信通公司
负责安全信息系统平台与集团已有安全管理方面的系统的对接、联网;安全信息系统平台运行的技术支持等。
3.中南检测公司
提供集团煤矿机电、通风等各类强检设备方面的安全管理信息。
(五)地测技术专业组 组长:王新义
成员部门:平煤股份总办室、地测处,许平煤业地测处、生产技术处
主要职责:
1.平煤股份总办室、许平煤业生产技术处
提供安全生产技术管理方面的有关信息,如作业规程、施工安全技术措施的编制、审批、复审,灾防计划的编制,采区设计审批等方面的安全管理信息。
2.平煤股份地测处、许平煤业地测处
提供煤矿地质、防治水及“三量”管理、采矿许可证等方面的安全管理信息。
(六)综合管理专业组
组长:李永生
成员部门:宣传部、人力资源部、安监局、保卫处、工会、团委、能源化工研究院、救护大队、职防院、平煤股份安全培训处、许平煤业安全培训处。
主要职责: 1.宣传部
提供企业安全文化等方面的安全管理信息。 2.人力资源部
提供集团煤矿矿长资格证、矿长安全资格证,煤炭板块各类特殊工种、一般工种等方面的安全管理信息。
3.安监局
(1)监察一处、监察二处、综合处
提供煤炭板块安全隐患排查、安全评价、职业病危害、应急管理、安全信息调度、安全生产许可证等方面的安全管理信息。
(2)质量标准化处
提供煤矿安全质量标准化方面的安全管理信息。 (3)风险预控管理办公室
提供安全生产风险预控管理体系方面的安全管理信息。 (4)技措处
提供煤炭生产安全费用管理、成本安全技措资金管理、人员定位系统、自救器管理和使用监管、井下钻场视频监控系统监管等方面的安全管理信息。
4.保卫处
提供爆炸材料的管理、爆破工、消防管理、车辆管理等方面的安全管理信息。
5.工会
提供煤矿班组建设、群众安全监督网等方面的安全管理信息。 6.团委
提供青年安全监督岗等方面的安全管理信息。 7.能源化工研究院
提供煤炭板块安全科技项目等方面的管理信息。 8.救护大队
提供救护大队、各救护中队的救护指战员及设备,应急救援等方面的安全管理信息。
9.职防院
提供建设项目职业卫生“三同时”,职业病防治方面医护人员、治疗设备,煤炭板块职工健康监护(体检、治疗)等方面的安全管理信息。
10.平煤股份安全培训处、许平煤业安全培训处
提供所属各矿的矿长资格证、矿长安全资格证,各类特殊工种培训、复审,各类安全培训统计等方面的安全管理信息。
三、会议要求
(一)专业组实行组长负责制。各专业组成员部门的安全管理业务和工作流程,经论证后,以纪要形式、由专业组组长签字,报送项目课题组。
(二)各专业组成员部门的安全管理工作流程,要和集团现有安全管理架构、安全管理层级相适应。
(三)各专业组成员部门要选派业务熟练、工作认真,有责任心、能够创造性地开展工作的专业技术人员,具体负责业务范围内的项目研发工作。
(四)安全信息系统平台项目建设要紧密结合集团实际,做到与煤矿安全质量标准化相结合,与集团“三三三一”安全管理模式相结合,与安全生产风险预控管理体系建设相结合。
(五)安全信息系统平台项目建设要充分利用集团信息化资源,各部门已有的系统,尽可能不重复建设,尽可能做到信息资源共享。
(六)安全信息系统平台项目建设要结合集团安全生产实际,系统各模块内容不能重复,系统需设置阅读权限,分级管理。
(七)为加快项目开发,提高工作效率,按期完成项目研究内容,确保安全信息系统平台按计划投入运行,2014年各专业组成员部门专题研发时间如下(暂定):
1月6日,安监局综合处。 1月7日,安监局质量标准化处。 1月8日,安监局风险预控办公室。
1月9日,安监局监察一处、二处,技措处。 1月10日,平煤股份生产处、许平煤业生产技术处。 1月13日,平煤股份机电处、许平煤业机电处。 1月14日,平煤股份通风处、许平煤业通风处。 1月15日,平煤股份地测处、许平煤业地测处。
1月16日,人力资源部、平煤股份安全培训处、许平煤业安全培训处。
1月17日,总调度室、平煤股份总办室、许平煤业生产技术处。
1月20日,平煤股份开拓处、许平煤业工程计划处、建工集团、规划发展部。
1月21日,宣传部、工会、团委、保卫处。
1月22日,中南检测、职防院、救护大队、能源化工研究院。
1月23日,信通公司。
各专业组成员部门专题研发之后,课题组形成集团安全信息系统平台建设的阶段性进展报告,征求各专业组意见,并进行修改、补充和完善。通过各专业组的共同努力和专家支持,最后建成全国一流的安全管理信息化系统平台。
与会人员:
副 总 师 李永生 王新义 聂世勇职能部室 徐继民 马民生 王利民直属单位 席 波 侯和平 张红伟群团组织 乔明翰 陈 磊 建工集团 杨建民 梁亚明 总调度室 和德江 李世杰
平煤股份 王焕忠 宋建军 郭春生 陶建平 徐其祥 何宗礼 戴莉丽 姜 军
许平煤业 李永杰 杜卫东 李元杰 杨孝虎 胡 城 李清锋救护大队 刘 伟 汪洪奎 中南检测 刘 杰 梁冠营 职 防 院 郭献勇 潘宏伟
闫成章
李喜员 陈星明 张平卿 王书庆 张晋京 孙引忠
信通公司 郑晓伟
安 监 局 陈留武 张志强 谭绍先 杜传献 张永灿
滕国栋 孙 斌 范 红 陈超凡 陈中彦
陈建忠 杨国权 孙明磊
(电子公文)
本期发:与会各单位
中国平煤神马集团综合办 2014年1月17日印发
校对人:李磊
第三篇:中国石化集团公司信息管理部开展2011年信息安全检查
10月8日至11月25日,中国石化集团公司信息系统管理部组织8个专家检查组,对抽选出来的39家企业进行现场检查。检查企业涵盖油田、炼化、销售、科研及工程各板块。
据了解,信息系统管理部共对110家单位开展信息安全大检查活动。检查采取企业自查、现场抽查和专用工具检查相结合的方式,检查内容包括信息安全管理、网络安全、系统安全、应用安全等几个方面。(孙维)
第四篇:建工集团有限责任公司网络信息安全应急预案
第一章 总则
第一条
本预案根据《中华人民共和国计算机信息系统安全保护条例》、《信息系统安全等级保护基本要求》及《建工集团有限责任公司网络信息安全管理规定》等文件编制。
第二条
本预案适用于集团公司计算机网络及信息安全突发事件的组织指挥、应急行动、后期处置。
第三条 网络信息安全应急响应工作原则是:统一领导、各司其职、整体作战、发挥优势、准确及时、保障安全。
第四条 实施信息安全事故预警机制。预警信息分为外部预警信息和内部预警信息两类。外部预警信息指集团公司外突发的可能破坏网络或者最新病毒等可能产生重大影响的事件警报;内部预警信息指集团公司内通信网络中断或部分计算机、服务器系统中毒、流量及资源占用异常的事件警报。
第五条 集团公司信息管理部负责应急预案的制定和执行,并负责协调有关单位和部门共同开展应急响应工作。
第六条 安全主管负责安全事件发生时的现场指挥和对安全管理员、网络管理员、系统管理员等专业人员的调度工作。
第七条 安全管理员负责安全事件的技术分析,并根据事件及现场情况配合网络管理员和系统管理员开展具体工作。
第八条 网络管理员负责安全事件发生时的网络设备及网络策略的紧急处置。
第九条 系统管理员负责安全事件发生时的系统服务器及有关软件的应急处置。
第十条 计算机管理员负责对外沟通联系、信息传递及可能的人员疏散等。
第二章 应急保障措施
第十一条 应建立完善的数据备份策略,做好备份系统的维护及保养工作。 第十二条
应加强对员工安全使用计算机的宣传教育工作,全面提高员工的安全意识。定期或不定期地对专业岗位人员进行技术培训和应急演练,提高应急保障的能力,保证应急预案的有效实施。 第十三条
应急文档的备存:
1、各类网络设备和服务器、磁盘阵列及其附属设备的型号、序列号等;
2、硬件设备供应商、生产厂商的电话、联系人、网址;
3、操作系统、关键业务应用软件开发商或供应商的电话、联系人;
4、网络拓扑图;
5、路由器、防火墙、入侵检测设备的配置文档,服务器登陆用户及原始密码文档;
6、各类软件的技术文档及其他需要保存的文档。 第十四条 应急设备及软件备存:
1、操作系统启动盘、安装盘;
2、防病毒软件(注明安装及升级序列号);
3、数据库管理系统软件,数据库备份软件及最近完整的数据备份存储介质;
4、备用网线、测网仪、螺丝刀等必要工具;
5、其它必备的应急工具。
第十五条 信息安全工作应坚持预防为主的方针,做好日常预防工作。主要包括:
1、定期检查服务器及重要网络设备;
2、及时更新服务器的防病毒软件病毒库;
3、定期对所有服务器进行漏洞扫描、补丁修复;
4、定时备份重要数据;
5、特殊时期实行值班制度。
第十六条
集团公司信息管理部获得外部预警信息后,对预警信息加以分析,通知各单位、各部门做好预防和网络保障应急准备工作;通过网络监测或普通操作人员报告获得内部预警信息,分析后按照早发现、早报告、早处置的原则,解决可能演变为严重应急事件的情况。
第三章 应急处理
第十七条 黑客入侵或软件系统遭破坏性攻击时
1、重要的信息系统必须保留两个以上镜像备份,与软件系统相对应的业务数据必须有多个时间点的备份,出现黑客入侵或攻击时能够尽快恢复到被破坏前状态;
2、当发现网页内容被篡改,或通过入侵监测系统发现有黑客正在进行攻击时,应立即向安全主管报告。安全管理员、网络管理员应尽快赶到现场,首先将被攻击(或病毒感染)的服务器等设备从网络中隔离出来,立即记录系统状况,复制系统登录文件、历史文件、日志文件等重要文件;
3、利用完整性检查工具进行检查,尽快恢复与重建被攻击或被破坏的系统,恢复系统数据,并及时追查非法信息来源,做好记录;
4、事态严重的,立即向集团CIO报告,必要时向公安机关报告并申请技术协助;
5、编写报告,详述事件过程及处理步骤。 第十八条 网络中断
1、防火墙、交换机等硬件故障:立刻使用备份端口或备份硬件进行替换,如没有冗余硬件应立刻与设备供应商联系申请备机;
2、通信线路故障:重要信息系统应立刻改用其他通信线路进行NAT映射,同时到域名解析商网址修改配置,并向线路供应商联系,在线路供应商承诺的时间内解决问题。
3、网络带宽阻塞:判断阻塞原因及阻塞包发包点,再按情况逐个断网排查,直至网络恢复正常。对已断网计算机进行系统补丁升级、查毒等方式,找到原因并恢复正常后方能接入网络。
第十九条 断电
1、使用备用UPS进行供电;
2、与相关部门联系,尽快恢复供电;
3、若在UPS供电时间范围内不能恢复供电,要在UPS能正常供电的时间段内进行对主要系统及数据进行备份工作,备份工作完毕后,对主要设备进行系统关闭。
第二十条 火灾
1、一旦机房发生火灾,应遵循下列原则:首先保证人员安全;其次保证关键数据、设备安全;三是保证一般设备安全。
2、立即发出火灾警报并报告相关部门,情况允许的情况下,立即对所有设备进行断电操作。
3、其他人员按照预先确定的路线,迅速从机房中有序撤出。让相关消防人员协助有秩序、有步骤地抢救数据资料和硬件设备。
4、火险情况解除后,尽快检查并恢复应用系统的工作。
第四章 事后处理
第二十一条 事件后期恢复及评估
1、把所有被攻破的系统和网络设备彻底还原到它们正常的任务状态。恢复工作应避免出现误操作导致数据的丢失。
2、备份硬件设备或配件代替使用后,应及时将损坏设备进行维修或者更新。
3、检查威胁造成的结果,评估事件带来的影响和损害:如检查系统、服务、数据的完整性、保密性或可用性,检查攻击者是否侵入了系统,以后是否能再次随意进入,损失的程度,确定暴露出的主要危险等。
第二十二条 总结报告。每次应急预案完成后对应急事件进行分析,形成总结报告。报告应包括事件发生时间、参与人员、采取的措施及效果、事件损失评估,经验教训等内容。并及时向集团公司信息化工作领导小组报备。
第五章 附则
第二十三条 本预案由信息管理部负责解释。 第二十四条 本预案自发布之日起实施。
第五篇:企业集团网络与信息安全保密总体方案及策略
对大型企业集团网络与信息安全现状及安全隐患进行分析,提出了总体解决方案以及企业集团的管理对策,加强安全保密技术措施,构建系统的安全保密防范体系。主要内容包括:网络安全准入、移动介质注册管理、电子文件加密保护、内部网页授权管理、国际互联网应用管控、操作El志和邮件归档审计等。企业集团实施网络与信息安全保密技术和管理策略将取得明显的信息安全及保密效果。
1、大型企业集团的网络与信息安全保密工作现状与分析
1.1大型企业集团网络与信息系统安全保密工作现状
经过对国内大型企业集团的了解和分析得知,国内大型企业集团的网络和信息化部有一些共性。大型企业集团一般拥有自己国内或国际的广域网,一般集团总部和各分部/分企业集团都有单独的互联网出口。集团和自已的上下游的合作伙伴会通过专线或互联网交换信息(见图1)。企业集团这种网络架构存在互联网出口多、安全性低,信息孤岛、OA等应用需要整合等典型问题。同时企业和合作伙伴的联网安伞也需要考虑。集团信息安全系统主要是由防火墙、入侵监测和病毒防范等组成,这种方法造成安全投入不断增加、维护与管理更加复杂、信息系统的使用效率大大降低、对内部没有防范,对新的攻击入侵毫无防御能力(如冲击波、振荡波)等一系列问舾。目前企业集团急需一套完整的符合国家信息安全保障工作要求的安全保密方案。
1.2大型企业集团信息网络的安全隐患
1.2.1互联网的安全使用问题
由于互联网使用的广泛性、接入手段的多样性(modem拨号、以太网卡、无线网卡、蓝牙、红外等等)、应用的复杂性以及攻击行为的隐蔽性(蠕虫,病毒、木马、僵尸等等),近年来我国已发生多起严重的网上失、窃密案件。威胁互联网安全的因素包括“黑客”的入侵,计算机病毒,数据“窃听”和拦截等方面。
企业集团内同样存在因广泛使用互联网而可能发生的核心企业秘密外泄的严重风险。因此,必须采用有效的技术手段,加强监督管理,规范互联网的使用,以达到保护国家秘密和集团企业核心秘密的目的。
1.2.2终端安全问题
随着企业信息网的对外开放,终端数量的日渐庞大,使企业信息网正在承受来自互联网的各种信息安全威胁,如网络蠕虫、安全攻击,垃圾邮件等。企业网终端没有统一的管理,病毒库不能得到严格升级,每台终端上的操作系统安全漏洞补丁不能得到及时更新,这些威胁都会严再影响企业内部网络的安全使用,并进一步威胁企业的健康发展。
在现有网络架构下,只要接入集团的一台终端感染网络病毒,就可能导致往有数千台终端的网络内爆发蠕虫病毒,网络中会充斥大量的无用数据包,占用几乎全部的网络设备资源和带宽,导致真正的应用数据包无法被传输,甚至出现交换机由于CPU利用率过高而近似死机的现象。因此,必须对集团网络从交换机终端即网络边缘开始进行安全控制。
1.2.3 Web应用系统分级授权控制问题
企业集团一般授权系统比较单一,需要建立分级授权系统对应用系统进行保护,主要包括:(1)边界权限控制:各企业集团内部上页属于内部办公平台,必须受限访问。(2)重要模块控制:各企业集团内部主页有企业秘密信息模块,也有公开信息模块。企业秘密信息模块包括OA系统、竞争情报、工作报告、会议纪要、科技成果、管珲课题研究等内容。应加强对企业秘密信息模块的保密管理,依据工作分工、分级授权进行访问控制和管理。
1.2.4文件保护问题
由于企业集团内部网络监控的缺位,目前存在以下内部泄密途径:(1)内部人员将资料通过移动存储介质从电脑中拷出带走;(2)内部人员通过互联网将资料通过电子邮件发送给外部人员;(3)将文件打印后带出。(4)将办公用便携式电脑直接带回家中,(5)电脑易手后,硬盘上的资料没有处理;(6)随意将文件设成共享,导致非相关人员获取资料;(7)移动存储介质设备共用,导致非相关人员获取资料;(8)将私人便携式电脑带到企业集团,接入局域网,窃取资料;(9)开启同事电脑,浏览、复制同事电脑里的资料。此外,还有很多其他途径可以被别有用心的内部人员利用以窃取资料。
1.2.5移动存储介质和设备管理问题
越来越多的敏感信息、秘密数据和档案资料被存贮在移动存储介质里,给企业信息资源管理带来相当人的安全隐患。企业集团移动存储介质使用管理中存在的问题主要包括:非法拷贝敏感信息和涉密信息到移动存储介质中;企业外部移动仔储介质未经授权在内部使用;企业内部移动存储介质及信息资源被带出,在外部非授权使用;存贮征媒体中的秘密信息在联网或人工交换时被泄露或被窃取;处理废旧移动存储介质时,末做信息清理;存有秘密信息的介质不经处理或任无人监督的情况下被带出修理;存有秘密信息的存储介质失窃;秘密信息和非秘密信息放在同一介质上。另外公私混用,存在一定安全隐患。
1.2.6涉密文件的等级保护问题
如果将涉密文件以明文方式存储在涉密存储介质中,一旦涉密存储介质(硬盘、移动硬盘、U盘、笔记本电脑)意外遗失或者被盗,或者存储在上面的涉密信息被恶意通过网络发送出去,则可能造成涉密信息的泄漏。必须采用一定的技术于段,根据涉密文件的级别,以不同等级自动进行加密,使涉密存储介质中存储的文件为密文,即便涉密存储介质被盗或意外遗失,或者被恶意外泄,也不至于造成直接泄密的重大损失。
1.2.7邮件加密及归档审计
企业集团一般用户自主邮件恢复功能只能恢复30天之内的数据。且有一定的限制,无法查询和监督更长时期内的历史邮件。
据调查显示,目前全球范围内正式实行邮件归档系统的企业并不多,在我国企业中真正实施邮件归档的企业更是少之又少。与国外企业对邮件归档的认识不同的是,对于国内的企业负责人来说,也许他们更关心的是企业中的机密文件是否会被不轨员工利用电子邮件外泄。因此,必须采用一定的技术手段,实现邮件加密传输以及对邮件进行归档审计。利用邮件系统归档功能,可以根据企业集团工作需要查询和监督用户利用企业集团的邮件平台收发的电子邮件,尤其是公务邮件,对知识产权的保护具钉现实意义。
1.2.8 网络涉密传输
对于涉及氽业集团或国家秘密的数据传输,传输通道必须加密,以保证特殊条件下信息不被轻易窃取。
2、网络与信息安全保密建设总体方案
2.1总体目标
大型企业集团网络与信息安伞保密工作的总体目标可以定义为:针对集团网络及信息安全保密需要,构建系统的安全保密技术和防护策略及其措施,通过制度管理和技术防范,双管齐下,规范员工行为,以达到网络和信息资产安全的总体目标。最终达到“外人进不来,进来之后看不到,看到了拿不走, 拿走了用不了,操作了可追溯”的效果。
2.2总体要求
对于网络与信息保密工作而言,管理方法和技术手段同等重要,缺一不可。只重视管理流程,缺乏足够的技术手段,信息安全保密工作就只能取决于执行者自身的政治觉悟。对于觉悟不高者而言,容易流于形式,只审视技术手段。不加强管理,信息安伞保密工作就容易受到轻视,技术手段反而成为绊脚石,安全保密工作无法有效开展。安全,特别是信息安全是一个系统工程,在这个系统工程中,体现着“三分技术,七分管理”。
2.3管理改进
大型企业集团应建立网络与信息安全保密组织,制定相关的管理制度,大力宣传信息保密工作的重要性。最大程度地保护企业的各种秘密信息。具体工作任务包括:(1)根据企业集团信息保密工作的具体要求建立适合本企业集团或部门的电子信息保密规定,建立可操作的工作制度。(2)对本企业集团有涉密信息的部门划分级别,对用户的电脑进行严格的安全配置,例如禁止使用USB盘、只能登录特定的电脯等;(3)用户不明确信息是否涉密时,由保密工作部门进行甄别;(4)为信息技术管理部门提供有关信息保密管理、技术改进、提升与完善的具体建议;(5)对本企业的员工进行信息保密培训与教育;(6)对涉密信息的交流与传递进行监督;(7)协助安全部门对违反保密规定的信息泄漏事件进行调查、取证。(8)与审计部门配合,定期或不定期对本企业集团的信息保密工作进行审计;(9)定期或不定期向企业高层与集团信息保密工作组报告本企业集团的信息保密工作情况。
2.4总体方案
2.4.1建立网络分区分级管理
目前,企业集团的整个信息网络是一个整体,没有内、外网之分以及保密专网,网络结构存在安全隐患。
为了提高信息安全性,根据信息的密级,结合工作的需要,对信息网络进行分区分级管理。从长远看,企业集团网络应该分为困密网、专用网、外网、办公内网四个安全区,如图2所示。对于安全区内的系统根据审要性进行分级管理。
2.4.2建立网络安全准入系统
在企业集团范围内建立终端安全防护和全面的网络准入控制系统,实现如下目标:
(1)网络准入控制。工作站必须符合定义的安全策略(例如安装了指定的防病毒软件、更新了病毒特征代码、安装了最新的微软补丁等)才能够接入网络,实现自动修复以及用户和设备的认证,保证网络上所有终端都是健康的。
(2)应用程序控制。只有指定版本的软件才能够访问网络资源,禁止用户私自安装的软件或木马程序、蠕虫访问网络。
(3)基于用户/组的访问控制策略。可以对不同的成员企业集团、部门、承包商、项目组、第三方接人人员采用不同的网络访问控制策略,构建集中管理的分布式防火墙体系。
2.4.3实施Web应用分级授权控制系统
随着企业集团业务的发腰和集团各部门之间信息交流的增多,因估息系统建没周期较长、系统众多,技术架构趋于复杂,需要一套灵活的、易于管理的Web应用授权控制系统。
新的Web授权系统作为企业集团内部Web应用统一的授权服务平台,为企业门户任应用层面提供信息浏览的安伞保障,满足企业在业务需求不断发展的过程中产生的信息安全方面的需要。同时,该系统也可以作为一项独立的安全服务,为以后的集团门户系统提供强有力的支撑。
2.4.4建立企业电子文件保护平台
建立企业集团范围的电子文件保护平台,解决如下问题:
(1)按需对涉密电子文件进行加密。
(2)单一或组合授予用户阅读,打印、复制、编辑等权限。
(3)对于脱离受控环境的电子文件,可以限制其只能在特定的计算机上使用;或设置其可读取的次数和有效期限。
(4)与各类信息系统进行集成。使得这些信息系统具备电子文件保护能力,并且不会改变系统的原有流程。
(5)无论使用U盘、移动硬盘、还是通过Email发附件的方式,在受控环境之外不能有效使用经保护的涉密电子文件。
(6)关注电子文件本身,而不是层出不穷的各类电子设备和文件载体。
2.4.5移动存储设备的使用管理
移动存储设备应分密级使用,并必须保证密级文件的安全。
移动存储设备应根据所保存的涉密内容。分级别进行登记和管理;采取技术手段,禁止未经许可的U盘在涉密计算机上进行使用,保证经过许可的U盘在涉密计算机上能正常使用,保证存储涉密文件的U盘丢失后不造成内容泄密。
2.4.6涉密文件安全等级保护
(1)所有文件只能任内部才能使用。即使被恶意通过互联网发出去,或者通过U盘拷贝出去,文件不能被正常读取。
(2)对文件征内部的流转进行等级划分。密级文件只能在具备相应或更高密级的计算机上才能被读取。
(3)文件以密文的方式在内部流转,即使在流转过程中被窃取,也不会造成重大泄密。
(4)对加密文件进行解密时,必须得到明确的授权。
(5)文件的整个流转过程具备完整的审计日志。
2.4.7实现邮件加密及归档审计
建立公开密钥基础设施(PKI)证书系统,要求部门经理以上用户采用PKI/CA(CA证书)邮件加密与数字签名的方式增加邮件系统访问的安全性。建立归档机制,自动、实时地对现有邮件系统中的邮件进行分类存储。终端用户删除邮件不会造成系统中数据的丢失。管理员可以根据需要随时根据各种条件进行检索。
2.4.8网络涉密传输
采用内置国家密码管理局认证硬件加密卡的网络加密机(VPN)进行数据传输通道的加密。即采用密码技术在公用网络中开辟出专用的隧道,形成专用网络,主要用于解决公共网络中数据传输的安全问题,保证内部网中的重要数据能够安全地借助公共网络进行交换。
3、网络与信息安全保密技术基本实施策略
根据大型企业集团网络与信息安伞保密总体方案,从六个方面加强安全保密技术措施,构建系统的安全保密防范体系。主要内容包括:网络安全准入、移动介质注册管理、电子文件加密保护、内部网页授权管理、国际互联网应用管控、操作日志和邮件归档审计等。
3.1网络安全准入
策略内容:对终端电脑实行注册管理,接入企业集团网络时需进行设备和账号双重认证控制。首先,通过系统后台验证终端电脑是否已在企业集团注册,是否符合安全标准(安装准入客户端和指定病毒防火墙),验证合格后方允许接入系统;其次,用户输入账号、密码,经身份验证后方可访问内部信息资源。非注册终端设备或非授权账号不能接入内部办公网络,非安全终端设备(染毒)访问内部办公网络资源时受限。
解决问题:网络入口控制。防范非法接入网络;降低网络被病毒感染和攻击的概率。
3.2移动介质注册管理
策略内容:对移动存储介质(U盘、移动硬盘等)的使用进行注册管理。已注册移动存储介质在企业集团内网、工作电脑上可正常使用和交换数据;在外网或外部设备中,只有将移动存储介质设置为商旅模式并输入密码后方可使用;非注册移动仔储介质中的电子数据可拷贝至企业集团内网、工作电脑上,企业集团内网、工作电脑上的电子数据不能拷贝到非注册移动存储介质上;因工作需要向企业集团以外的电脑中拷贝电子数据时,经保密审查后,统一由企业集团或部门机要员将移动存储介质设置为商旅模式并进行解密;对注册移动存储介质中资料的所有更改、转移、交换、解密等行为,进行后台记录,作为审计依据。
解决问题:防范电子文件通过移动介质拷贝泄密,防范移动介质遗失造成失、泄密。
3.3 Web网页授权管理
策略内容:对企业集团内部主页进行三级授权管理。第一级为整个丰页的访问授权;第二级为主页内栏目或业务系统的访问授权,第三级为应用程序授权。各级授权管理分别由网页、栏目、业务系统的用户应用管理员负责。
解决问题:按授权范围查阅、利用网络信息资源,在安全范围内进行成果交流。
3.4电子文件加密保护
策略内容:禁止在企业集团网络上存储、处理、传输涉及国家秘密的电子文件、信息,对涉及企业秘密的电子文件、信息进行加密保护。丰委包括以下三个方面:
(1)对网页中需要保护的附件电子文件进行加密,根据需要对附件的查阅、修订、复制、下载、打印等权限进行控制。
(2)对部门或个人的最终成果类电子文件提供网络存储、备份管理审问,提供基于加密和授权保护的共享利用手段,进行成果管理和共享。设置个人文件夹备份保管个人成果文件,设置部门成果文件夹存储保管部门成果文件,设置部门共享文件夹任加密授权保护的前提下对成果文件进行共享。
(3)使用加密技术对重要或涉及企业秘密的电子文件进行加密管理,设置查阅、修订、复制、下载、打印等权限,按授权利用文件成果。
解决问题:进行成果管理,提供基于加密和授权保护的共享。防范非授权或无关人员接触涉密或敏感电于文件;防范二次传输泄密(授权人二次传送给无关人员或集团以外人员造成泄密);防范移动电脑遗失造成的数据丢失或泄密。
3.5国际互联网应用管控
策略内容:实施互联网出口认证和流量管理系统,加强互联网系统监控和管理。禁止进行联机游戏、基金炒股、P2P下载、BBS交流以及QQ、MSN等即时通讯网络操作;禁止使用超文本传输协议(http)以外的应用;禁止一个账号在多台机器上同时登录互联网;按国家相关规定对访问互联网的行为进行后台监控,必要时对后台监控日志进行审计;禁止访问非工作相关网站或不良信息网站。对违反互联网使用管理规定的用户,收回其权限并在企业集团内部通告。
解决问题:依法安全使用互联网,提高网络安全性。监督防范擅自向外网(如BBS、博客等)张贴涉密文件资料而造成泄密。
3.6电子邮件管理
策略内容:与集团外部进行工作邮件往来时必须使用企业集团外部邮件系统,禁止使用邮件系统传送国家秘密文件信息;使用邮件系统传送企业秘密文件信息时,应使用电于文件保护系统或企业集团配发的USB Key CA证书对邮件进行加密;企业集团对员工的邮件收发行为进行监控、记录并归档,作为审计依据。
解决问题:防范通过非企业集团邮箱发送工作邮件可能造成的泄密,提供监控和追溯审查手段,加强邮件安全保密管理。
3.7监控审计
策略内容:完整记录用户访问互联网、收发邮件、电子文件拷贝、电脑操作以及信息系统管理员操作等所有信息传递活动日志,可对重点部门、部位或个人的电脑操作进行监控;根据需要对各种信息进行监控审计。审计工作由审计郜人员组织执行。
解决问题:提供监控审计手段,便于稽核追踪管理。区分管理权(用户)、操作杈(管理员)、审计权(审计人员)。
4、结束语
大型企业集团实施上述网络与信息安全保密技术和管理策略将取得明显的效果。比如,限制非法或不安全登录网络,提高了计算机信息系统的安全性;对计算机及移动存储介质进行注册管理,对涉密电子文件采取加密措施,实现了对电子文件的有效保密管控;安装应用国际互联网监控管理系统,确保安全、合法、规范地使用互联网,加强了信息保密管理;制定计算机网络与信息安全保密管理规定,提高了规范化管理水平;此外,通过该项日的建设与实施,深入推动了保密宣传教育工作,提高了员工的保密意识,对深入开展网路与信息安全保密工作具有重要的现实意义。
随着上述方案在大璎企业集团的逐步伞面推广实施,集团的网络与信息安伞保密技术防范能力将显著得到加强,安令保密管理水平必将迈上新台阶。
【集团安全生产信息化】相关文章:
集团信息安全管理制度01-03
集团公司财务信息安全论文04-21
集团公司财务信息安全论文提纲11-15
越秀集团信息化范文06-20
集团财务信息化建设08-17
集团信息化建设经验08-17
集团信息化管控思路08-17
集团信息化工作要点08-17
集团信息化工作汇报08-17
越秀集团信息化项目09-05