基于EDP的信息安全精細化管理

厲華梅

(國網山東省電力公司日照供電公司,山東日照 276826)

基于EDP的信息安全精細化管理

厲華梅

(國網山東省電力公司日照供電公司,山東日照 276826)

隨著信息系統應用全面深化,接入信息網絡的業務系統越來越多,信息化工作逐漸成長為企業的越來越強的支撐力量。公司信息安全管理人員創新思路,利用現有資源建立了基于EDP的信息安全精細化管理體系,通過對設備、數據和人員的全過程的安全控制,為用戶提供了完善的、高安全級別的信息安全管理,構建了基于EDP體系的精細化管理模式,有效的防范了外部攻擊和內部的管理失控鎖帶來的各種威脅。

設備 資產 人員 信息安全 精細化

1 信息安全精細化管理的實施背景

1.1 信息安全管理不夠全面

在日常信息安全管理工作中,對信息設備、信息系統等的運維和管理關注度高,忽視了人、文檔和數據、服務以及其他無形資產等重要對象的管理,對外來人員也缺乏有效的識別管理。

1.2 管理制度不夠系統

上級制定下發了較多的制度和標準,公司也自行制定了相關的制度與標準,但當信息化發展到一定程度,這種制度就顯得比較單薄,就事論事管理方式必然會產生安全管理的盲區。

基于上述分析,我們提出了基于EDP的信息安全精細化管理。

2 基于EDP的信息安全精細化管理的內涵和做法

基于ED P的信息安全精細化管理的內涵:以ED P即設備(Equipment)、數據(Data)、人(Person)為管理對象,完善制度建設、準入管理、運行建設、人員管理組成的一維管理建設,不斷驅動設備安全、數據安全、信息保密三個提升,實現信息安全管理精細化的目標。

2.1 從資產識別入手,做好設備安全管理

2.1.1 資產管理

將信息資產分為有形資產(信息機房、網絡設備、主機設備和安全設備)和無形資產(操作系統、數據庫等軟件和ERP等信息系統)兩類。建立硬件設備臺賬,在系統中進行臺帳登記和安全備案,系統自動生成包含設備備案編號、責任人的二維碼標簽,通過標簽實現全程追蹤。建立無形資產檔案,明確資產責任人,由其負責系統安全配置、數據備份等日常安全運維工作。

2.1.2 配置管理

依據《信息安全配置手冊》,對網絡設備、主機、數據庫等進行了安全加固,共消除存在的漏洞隱患31項。每季度檢查配置有效性及安全性,每月對配置信息進行備份,確保配置數據安全。制定了《信息設備及系統管理辦法》,規范信息設備準入流程。

2.1.3 運維管理

建立了《信息設備巡視管理辦法》,規范巡視范圍、值班人員權利與義務、應急處置等,對中心機房及重要系統實行每日四次安全巡檢。成立了公司總經理擔任信息安全領導辦公室主要負責人、各部門負責人擔任工作成員的信息安全管理組織機構,各部門配置信息安全管理兼職人員,建立起從上之下、從管理部室到建設基層的信息安全管理網絡。

2.2 以技術和制度相結合,做好人員安全管理

2.2.1 終端安全管理

利用H3C 終端準入控制方案,實現終端身份、權限、在線審計等全面控制。用戶終端安裝inode智能客戶端,通過輸入用戶名和密碼發起身份認證,經過網絡服務器驗證許可后,正常連接到公司網絡。用戶私自更換網卡、外來設備無法登入公司網絡。在服務器端和用戶端部署防病毒軟件,幫助用戶偵測上萬種已知和未知的病毒。

2.2.2 制度約束

修訂了《信息通信設備管理辦法》,規范了設備在采購、使用、維修、報廢等環節的管理流程,為設備管理提供服務基準和管理依據。設備從投運到銷毀,采用“PDCA“的閉環管理,避免了設備的私自維修報廢等行為發生,保障設備始終處于信息的有效監控之下。

2.2.3 人員隊伍管理

(1)構建“業務專精”運維隊伍。運維隊伍是設備“診病醫療”的服務隊,按照“響應迅速,技術一流”的要求建設運維隊伍,通過學習培訓體制不斷完善隊伍,將運維維護隊伍建設成“招之能戰,戰之能勝”的隊伍。

(2)開展全員信息安全培訓。針對部分員工信息安全意識淡薄的情況,定期開展全員信息安全技術培訓,對信息安全法律法規和公司相關制度進行宣貫,配合網絡和計算機操作等講解和模擬演練,提高員工信息安全意識和操作技能。劃分信息系統重點崗位人員,每年與各部門簽署《信息安全責任書》、與重點崗位人員簽署《涉密人員信息安全責任書》、與離崗人員簽署《離崗信息安全協議》。

2.3 依托云技術,做好數據安全管理

2.3.1 集中管理終端數據

建設文檔管理系統,提高公司文檔的管理水平。用戶在服務器端建立自己的文檔空間,按照個人方式進行歸類存儲。系統支持255種文檔格式,與OFFICE無縫隙連接,可以在線編輯、瀏覽文檔,具有新建、上傳、編輯等獨占功能。有效保護企業辦公中形成的資料文件,避免因本地硬盤損壞、數據全部丟失。

2.3.2 云終端試點

選取了部分單位,開展云終端試點工作,通過有線網絡和通信協議,共享服務器上的操作系統,每個終端上配備了豐富的顯示器、鍵盤鼠標、網絡以及U盤等外設接口,替代從前貴重繁雜,維護性差的主機使用,每個終端匹配一個用戶,每個用戶之間互相獨立,操作互不影響。云終端具備低功耗,低維護,低噪音,高性能,高穩定,無病毒的特性,極大的提高了終端物理及數據安全性能。

3 基于EDP的信息安全精細化管理的實施效果

3.1 社會效益顯著

進一步明確了分工,使安全風險和責任意識從傳統的IT部門擴展到組織機構中的每個員工,提高了安全管理的整體效率。通過構建靜態的組織保障體系和實施動態的對整個體系進行調整、改善的PDCA過程,使組織安全管理從“靜態、被動、散亂”的管理動向“動態、主動、系統”的管理轉變。文件實現云端存儲,更安全更便捷。

3.2 經濟效益顯著

基于EDP的信息安全精細化管理自2012年實施應用以來,運轉情況良好,信息安全水平不斷提高,運維成本持續降低。嚴格落實每日四次巡檢要求,在巡檢中發現并及時解決供電模塊和板卡溫度異常、精密空調故障等缺陷12起,避免經濟損失30余萬元,保障了信息通信系統的安全穩定運行。設備、人員、數據在信息安全精細化管理模式下,企業信息得到很好保護,數據安全保護發揮作用產生的資金不可估量。