首页 >> 新闻中心 >> 行业动态
行业动态
石化销售企业信息安全体系建设
发布者:admin 日期:2013-6-9 点击次:1164
一、石化销售企业信息安全建设中存在的主要问题


1.没有信息安全的标准和规范,建设没有依据,信息安全建设还处于摸索中。


2.公司信息安全设备和系统建设严重不足,目前只应用了低端的亿阳防火墙,入侵检测系统、行为管理系统、网管系统、数据备份系统等都没有使用。


3.实施安全系统和技术后,会使网络行为受到一定的约束和限制,给日常工作带来不便,个别员工存在抵触心理或不支持。


4.通过操作系统管理或桌面安全管理系统可以很好控制USB设备和网络行为的开放,为数据安全提供一定保障,但以工作不便等为由,通过审批,导致开放数量越来越多。加密系统建设方面,考虑可能会给大家的工作带来更多不便,将会受到更多和更严重的用户抵制和不支持,导致无法实施。


5.企业信息安全与工作方便是一对矛盾体,日常工作中不重视或忽视安全的重要性,只考虑方便性,将会影响信息安全建设的效果,给信息安全带来一定隐患,同时会严重影响整个体系建设。


6.信息安全技术人员数量严重不足,缺少对应的组织机构,缺乏激励机制吸引人才。


7.个别领导或员工对信息安全的重视不够,信息安全意识急需加强。


8.信息安全投资效益不能直接显现,很难评估,不容易引起领导重视,人员价值也很难体现。


二、石化销售企业信息安全建设的基本原则


信息安全建设的思路应该遵循“以应用为龙头,以管理为核心,以技术和产品为手段”的基本原则。做到统一规划,分步实施,按照信息系统的安全需求统一规划,有重点,分步实施,最终建立一个全面的信息安全体系;对于重要的信息系统,不应仅仅依靠一项预防措施, 而应建立一个多层次的积极主动的防范体系;由于石化销售企业信息系统的严密性、等级性,系统划分的复杂性,权限设置的全面性,信息安全建设也要体现多层次、多等级的原则;信息技术飞速发展,因此为确保安全技术的先进性,信息安全的措施必须及时更新,以适应不断变化的威胁环境;信息安全技术和管理手段应相结合,任何信息系统的应用都离不开人和物,所以信息系统的安全方案必须充分考虑对人和物的约束和监管,单靠技术或单靠管理都不能真正解决安全问题;应实现先进性和可行性相结合,任何安全措施我们既要保持它的系统先进性,同时还要确保它的可操作性。
三、石化销售企业信息安全体系建设要素


1.在企业信息安全行为中,对所有信息系统、信息数据应采用分级管理、多重防护的管理原则,根据不同的业务重要性,设定不同的信息安全等级,实施信息安全保护。


2.管理安全在企业中的实施是企业信息得以安全的关键,应建立健全规范化的信息安全管理办法、法律法规制度,加强内部和外部的安全管理、安全审计和信息跟踪。同时为在企业内贯彻制定的信息安全方针和政策,确保整个企业信息安全控制措施的实施,需要构建有效的信息安全组织架构。


3.企业信息的安全离不开人,如果相关人员的安全意识薄弱,则比其他任何安全不足带来的损失会更大。安全意识和安全技能的培训是安全管理的重要组成部分,培训效果将直接影响信息安全的执行结果,因此需要不断开展企业员工的信息安全意识、信息安全技能和职业道德培训。


4.信息的使用需要借助于一定的物理资源,所以信息安全的保护也离不开各种物理资源(如移动硬盘、光盘)的管理。因此,需要对各种物理资源加以控制,落到实处。


5.制定信息安全应急制度,完善应急体系。成立由领导者、管理者、应用者以及各方面专家为成员的信息安全应急团队,定期组织信息安全培训,制定严格的、准确的、可操作的应急响应办法,对信息安全事故做出快速、及时、准确、合理的响应,将企业的风险和损失降到最低点。


6.为确保信息安全,必须合理的应用信息安全技术,因为,信息技术安全是实现企业信息安全的核心。必须应用成熟的防火墙技术,控制访问权限,实现网络集中管理,实施网络准入,拒绝或限制任何不符合安全策略的设备或信息进入内部网络;应用网络行为管理系统,强化员工网上行为管理,避免人为的信息安全隐患;为了保证网络不会受到外来人侵的攻击,应规划部署网络入侵防御系统和漏洞扫描系统;加强桌面安全管理系统和补丁管理系统的推广使用;强化网络防病毒系统的管理、应用;构建、应用一套强大的网络管理系统;部署信息安全审计及日志管理系统;创建企业内部虚拟专用网(VPN)。


7.完善备份策略,建立可靠的灾备系统。按照数据重要程度制定不同的备份策略,该策略应包含详细的数据备份和恢复的操作程序和制度。目前公司对员工的个人资料和信息还没有进行统一的备份,当出现计算机软硬件故障时,往往会导致许多重要信息和数据丢失,因此,必须建立统一的个人数据备份管理系统,对个人数据进行统一管理和集中备份。


总的来说,没有绝对的安全技术、标准和规范,石化销售企业信息安全是一个动态的概念,需要不断改进,要靠“三分技术,七分管理”。建立企业信息安全整体架构,必须以技术作支撑,管理为手段,管理与技术并重;必须以企业具体需求为前提,选择适合企业的技术产品;必须成立一个健全的管理机构,制定完善的管理制度,并严格执行;必须不断修正信息安全体系,才能真;正保障企业的信息安全。
京ICP备09010596号-1;版权所有:北京万任科技有限责任公司; 全国客服专线:010-84715358;   传真:010-84715358;地址:北京市海淀区北三环西路32号恒润国际大厦17层;(IE8以上)