信息系统安全管理论文浅谈网络与重要信息系统安全管理.docVIP

信息系统安全管理论文：浅谈网络与重要信息系统安全管理 摘　要:介绍了电力企业信息化的应用情况,通过对电力企业网络与重要信息系统安全大检查,找出了一些主要弱点,分析了问题的成因,提出了一系列切实可行的建议和方法。 关键词:电力企业信息化;网络与重要信息系统;安全检查;安全管理　 0引言 随着信息技术日新月异的发展,近些年来,电力企业在信息化应用方面的要求也在逐步提高,信息网络覆盖面也越来越大,网络的利用率稳步提高;利用计算机网络技术与各重要业务系统相结合,可以实现无纸办公,大大地提高了工作效率,如外门户网站系统、内部门户网站系统、办公自动化系统、营销管理系统、配网管理系统、财务管理系统、生产管理系统等。然而,信息化技术带来便利的同时,各种网络与信息系统安全问题也逐渐暴露出来,下面针对共性问题做一些探讨。 1　开展网络与重要信息系统安全大检查网络与信息安全检查具体内容包括:基础网络与服务器、对外门户网站、数据中心、内部办公系统、营销管理系统、财务资金管理系统等重点业务系统的现有安全防护措施、信息安全管理的组织与策略、信息系统安全运行和维护情况。信息安全管理保障检查点序号检查内容检查项1安全规章制度2安全组织与人员管理3资产管理4安全运维管理5信息数据安全6应急响应合计 2　根据检查情况得出主要弱点 2.1　安全管理保障检查 2. 1. 1　安全规章制度主要弱点(1)未制订信息安全审计管理规定。(2)未制订应用系统开发安全管理规定。(3)部分单位未制订关键资产的操作审批流程。(4)操作系统、数据库、设备的操作与配置管理不完善。信息安全技术保障检查点序号检查内容检查项1服务器操作系统数据库中间件应用系统2网络设备3安全设备4网站5终端合计　自查内容和数量统计序号类别检查数量1网络及安全设备2操作系统3数据库4中间件5网站6应用系统7终端　　(5)未制订移动存储介质管理规定。(6)未制订信息安全风险评估规范及实施指南。 2. 1. 2　安全组织与人员管理主要弱点(1)没有与信息管理和技术人员签订保密协议。(2)未制订信息安全的培训计划,未定期开展信息安全技术培训。(3)部分单位未配备专职信息安全管理人员。(4)信息技术人员身兼多职:操作系统、数据库、网络管理等。 2. 1. 3　资产管理主要弱点(1)没有对资产变更进行安全审计。(2)没有磁盘、光盘、U盘和移动硬盘等存储介质的销毁记录。(3)未对设备或应用系统进行上线前的安全测试。2. 1. 4　安全运维管理主要弱点(1)未对主机、网络设备、安全设备、应用系统、数据库进行定期日志审计。(2)未对主机、网络、应用系统、数据库的用户与密码进行定期安全审计。(3)未对终端接入网络进行准入控制,没有非法外联控制措施。(4)未定期对主机、网络、应用系统、数据库、终端进行漏洞扫描。(5)没有用于系统和设备上线测试的网络测试区域。(6)没有对网络流量进行监控。 2. 1. 5　信息数据安全主要弱点(1)未对重要数据采取存储加密或传输加密措施。(2)多数未对信息技术数据、资料的登记、使用、报废进行统一管理。 2. 1. 6　应急响应管理主要弱点(1)未制订完整的单项应急预案。(2)未制订网络与信息安全应急预案培训与演练计划。(3)没有定期开展应急培训和演练。 2.2　安全技术保障检查 2. 2. 1　操作系统主要弱点(1)未对登陆密码的长度和更换时间做出系统配置限制。(2)未做登陆源IP或MAC地址以及用户捆绑。(3)没有关闭不必要的端口,没有停止不必要的服务。(4)没有定期进行安全漏洞检测和加固。(5)部分W indows操作系统的服务器管理员的默认帐号名没有修改。 2. 2. 2　数据库主要弱点(1)未定期审核数据库用户的权限,并及时调整。(2)MS SQLServer数据库中未去掉危险的存储服务。(3)没有数据库备份操作规程。 2. 2. 3　中间件主要弱点没有对中间件管理操作进行登陆源限制。 2. 2. 4　应用系统主要弱点(1)没有进行上线前的安全检查。(2)没有采用安全加密的方式登录。(3)登陆管理后台时,多数未做登陆源限制。(4)没有定期进行安全检查。 2. 2. 5　设备主要弱点(1)未做登陆源限制。(2)未采用安全加密的方式登陆。(3)未启用日志审计或日志保存时间小于3个月。 2. 2. 6　网站(内、外)主要弱点(1)部分网站没有备份和冗余能力。(2)部分网站没有部署防篡改系统。(3)多数未对登陆网站管理后台的登陆源做出限制。(4)大部分网站存在SQL注入的隐患。(5)大部分网站没有文件上传过滤功能。(6)部分网站没有日志审计功能。(7)部分网站没有部署入侵检测系统。 2. 2. 7　终端主要弱点 大部分未设置超时锁屏功能。(2)没有定期进行安全漏洞扫描。(3)没有修改默认的系统管