基于EDP的信息安全精細化管理

厲華梅

(國網(wǎng)山東省電力公司日照供電公司,山東日照 276826)

基于EDP的信息安全精細化管理

厲華梅

(國網(wǎng)山東省電力公司日照供電公司,山東日照 276826)

隨著信息系統(tǒng)應用全面深化,接入信息網(wǎng)絡的業(yè)務系統(tǒng)越來越多,信息化工作逐漸成長為企業(yè)的越來越強的支撐力量。公司信息安全管理人員創(chuàng)新思路,利用現(xiàn)有資源建立了基于EDP的信息安全精細化管理體系,通過對設備、數(shù)據(jù)和人員的全過程的安全控制,為用戶提供了完善的、高安全級別的信息安全管理,構(gòu)建了基于EDP體系的精細化管理模式,有效的防范了外部攻擊和內(nèi)部的管理失控鎖帶來的各種威脅。

設備 資產(chǎn) 人員 信息安全 精細化

1 信息安全精細化管理的實施背景

1.1 信息安全管理不夠全面

在日常信息安全管理工作中,對信息設備、信息系統(tǒng)等的運維和管理關注度高,忽視了人、文檔和數(shù)據(jù)、服務以及其他無形資產(chǎn)等重要對象的管理,對外來人員也缺乏有效的識別管理。

1.2 管理制度不夠系統(tǒng)

上級制定下發(fā)了較多的制度和標準,公司也自行制定了相關的制度與標準,但當信息化發(fā)展到一定程度,這種制度就顯得比較單薄,就事論事管理方式必然會產(chǎn)生安全管理的盲區(qū)。

基于上述分析,我們提出了基于EDP的信息安全精細化管理。

2 基于EDP的信息安全精細化管理的內(nèi)涵和做法

基于ED P的信息安全精細化管理的內(nèi)涵:以ED P即設備(Equipment)、數(shù)據(jù)(Data)、人(Person)為管理對象,完善制度建設、準入管理、運行建設、人員管理組成的一維管理建設,不斷驅(qū)動設備安全、數(shù)據(jù)安全、信息保密三個提升,實現(xiàn)信息安全管理精細化的目標。

2.1 從資產(chǎn)識別入手,做好設備安全管理

2.1.1 資產(chǎn)管理

將信息資產(chǎn)分為有形資產(chǎn)(信息機房、網(wǎng)絡設備、主機設備和安全設備)和無形資產(chǎn)(操作系統(tǒng)、數(shù)據(jù)庫等軟件和ERP等信息系統(tǒng))兩類。建立硬件設備臺賬,在系統(tǒng)中進行臺帳登記和安全備案,系統(tǒng)自動生成包含設備備案編號、責任人的二維碼標簽,通過標簽實現(xiàn)全程追蹤。建立無形資產(chǎn)檔案,明確資產(chǎn)責任人,由其負責系統(tǒng)安全配置、數(shù)據(jù)備份等日常安全運維工作。

2.1.2 配置管理

依據(jù)《信息安全配置手冊》,對網(wǎng)絡設備、主機、數(shù)據(jù)庫等進行了安全加固,共消除存在的漏洞隱患31項。每季度檢查配置有效性及安全性,每月對配置信息進行備份,確保配置數(shù)據(jù)安全。制定了《信息設備及系統(tǒng)管理辦法》,規(guī)范信息設備準入流程。

2.1.3 運維管理

建立了《信息設備巡視管理辦法》,規(guī)范巡視范圍、值班人員權(quán)利與義務、應急處置等,對中心機房及重要系統(tǒng)實行每日四次安全巡檢。成立了公司總經(jīng)理擔任信息安全領導辦公室主要負責人、各部門負責人擔任工作成員的信息安全管理組織機構(gòu),各部門配置信息安全管理兼職人員,建立起從上之下、從管理部室到建設基層的信息安全管理網(wǎng)絡。

2.2 以技術(shù)和制度相結(jié)合,做好人員安全管理

2.2.1 終端安全管理

利用H3C 終端準入控制方案,實現(xiàn)終端身份、權(quán)限、在線審計等全面控制。用戶終端安裝inode智能客戶端,通過輸入用戶名和密碼發(fā)起身份認證,經(jīng)過網(wǎng)絡服務器驗證許可后,正常連接到公司網(wǎng)絡。用戶私自更換網(wǎng)卡、外來設備無法登入公司網(wǎng)絡。在服務器端和用戶端部署防病毒軟件,幫助用戶偵測上萬種已知和未知的病毒。

2.2.2 制度約束

修訂了《信息通信設備管理辦法》,規(guī)范了設備在采購、使用、維修、報廢等環(huán)節(jié)的管理流程,為設備管理提供服務基準和管理依據(jù)。設備從投運到銷毀,采用“PDCA“的閉環(huán)管理,避免了設備的私自維修報廢等行為發(fā)生,保障設備始終處于信息的有效監(jiān)控之下。

2.2.3 人員隊伍管理

(1)構(gòu)建“業(yè)務專精”運維隊伍。運維隊伍是設備“診病醫(yī)療”的服務隊,按照“響應迅速,技術(shù)一流”的要求建設運維隊伍,通過學習培訓體制不斷完善隊伍,將運維維護隊伍建設成“招之能戰(zhàn),戰(zhàn)之能勝”的隊伍。

(2)開展全員信息安全培訓。針對部分員工信息安全意識淡薄的情況,定期開展全員信息安全技術(shù)培訓,對信息安全法律法規(guī)和公司相關制度進行宣貫,配合網(wǎng)絡和計算機操作等講解和模擬演練,提高員工信息安全意識和操作技能。劃分信息系統(tǒng)重點崗位人員,每年與各部門簽署《信息安全責任書》、與重點崗位人員簽署《涉密人員信息安全責任書》、與離崗人員簽署《離崗信息安全協(xié)議》。

2.3 依托云技術(shù),做好數(shù)據(jù)安全管理

2.3.1 集中管理終端數(shù)據(jù)

建設文檔管理系統(tǒng),提高公司文檔的管理水平。用戶在服務器端建立自己的文檔空間,按照個人方式進行歸類存儲。系統(tǒng)支持255種文檔格式,與OFFICE無縫隙連接,可以在線編輯、瀏覽文檔,具有新建、上傳、編輯等獨占功能。有效保護企業(yè)辦公中形成的資料文件,避免因本地硬盤損壞、數(shù)據(jù)全部丟失。

2.3.2 云終端試點

選取了部分單位,開展云終端試點工作,通過有線網(wǎng)絡和通信協(xié)議,共享服務器上的操作系統(tǒng),每個終端上配備了豐富的顯示器、鍵盤鼠標、網(wǎng)絡以及U盤等外設接口,替代從前貴重繁雜,維護性差的主機使用,每個終端匹配一個用戶,每個用戶之間互相獨立,操作互不影響。云終端具備低功耗,低維護,低噪音,高性能,高穩(wěn)定,無病毒的特性,極大的提高了終端物理及數(shù)據(jù)安全性能。

3 基于EDP的信息安全精細化管理的實施效果

3.1 社會效益顯著

進一步明確了分工,使安全風險和責任意識從傳統(tǒng)的IT部門擴展到組織機構(gòu)中的每個員工,提高了安全管理的整體效率。通過構(gòu)建靜態(tài)的組織保障體系和實施動態(tài)的對整個體系進行調(diào)整、改善的PDCA過程,使組織安全管理從“靜態(tài)、被動、散亂”的管理動向“動態(tài)、主動、系統(tǒng)”的管理轉(zhuǎn)變。文件實現(xiàn)云端存儲,更安全更便捷。

3.2 經(jīng)濟效益顯著

基于EDP的信息安全精細化管理自2012年實施應用以來,運轉(zhuǎn)情況良好,信息安全水平不斷提高,運維成本持續(xù)降低。嚴格落實每日四次巡檢要求,在巡檢中發(fā)現(xiàn)并及時解決供電模塊和板卡溫度異常、精密空調(diào)故障等缺陷12起,避免經(jīng)濟損失30余萬元,保障了信息通信系統(tǒng)的安全穩(wěn)定運行。設備、人員、數(shù)據(jù)在信息安全精細化管理模式下,企業(yè)信息得到很好保護,數(shù)據(jù)安全保護發(fā)揮作用產(chǎn)生的資金不可估量。