第1篇:网络安全规范化管理现况与实践论文
网络安全规范化管理现况与实践论文
摘要:为了解决单位内部和行业之间网络安全管理和指导中存在的诸如管理分散、效率低下等问题,人民银行成都分行创新建设了以“统一展示、集中管理、共享数据、量化考核、高效沟通”为主要诉求的“五位一体”安全管理平台,平台实现了对内外部安全监控数据和管理文档的统一采集、统一分析和统一展现,实现了日常安全管理工作规范化高效管理。
关键词:五位一体;网络安全;规范化;安全管理平台
引言
网络安全管理是科技管理工作的立基之本,也是信息化建设可持续发展的有力保障。近年来,人民银行以“规范先行、架构管控、技术管理、加强协调”为主线,坚持安全与发展并重的原则,通过不断完善网络安全基础设施建设,规范网络安全管理制度,建立健全网络安全保障体系,有效提升了网络安全综合保障水平。
1安全管理现状及困境
人民银行成都分行(以下简称“人行成都分行”)在网络安全管理中坚持技术和管理两手抓,近年来相继建设并升级了防病毒、防入侵、防外联、补丁分发、网络准入、漏洞扫描和流量分析等安全管理控制系统,同时组织开展了全省人民银行信息系统等级保护、科技专项治理、安全基线检查、应急能力评估等管理工作,并配合内审部门开展了科技综合管理审计、信息技术审计等,通过一系列专项工作进一步加强了安全技术保障,完善了安全管理体系。人行成都分行在做好自身安全管理工作的同时,还肩负着指导、协调辖内金融业机构网络安全工作的职责。比如建立了辖内银行业信息安全协调机制,制定了《四川省银行业金融机构信息安全管理指引》,督促各银行机构每年做好等级保护、风险评估、应急演练等工作,同时与相关管理部门形成了跨部门的协调机制和工作方案,进一步强化了对全省银行业机构的指导与服务,切实提高了四川省金融网络安全保障能力。但是在日常的安全管理工作中,仍然存在一些亟待解决的问题:一是已有的安全系统均各自独立、缺乏整合联动,安全管理员每天需要逐一登录系统查看监控报警情况,管理效率低下,容易发生遗漏。二是安全基础管理工作繁杂而琐碎,大部分日常管理文档材料的处理、汇总、统计、归档等流程都需人工处理,消耗了大量人力和时间,工作质量和工作效率低下。比如一个地市业务人员制作数字证书需要亲自将纸质的申请表分别提交到分行业务部门和科技部门审核,并现场制作领取,至少会消耗一整天时间。三是定期开展的网络安全日常工作没有实现自动化、电子化管理,难以做到深度、立体的综合分析,整体上也缺乏有效的横向联动和历史回溯,工作成果的信息共享程度较低,不能实现安全管理数据深层次利用。四是对于辖内各单位工作完成情况及完成质量缺乏有效记录,考核时难免会出现漏评、错评,并通过印象或记忆评分的情况,丧失了考核的权威性和客观性。五是缺乏高效率的信息通报、工作沟通的渠道,电话、微信可以进行快速和简单的交流,但是正式的事件通报、工作部署、意见收集等只能通过内部邮件沟通,反馈时效、处理效率都大打折扣。
2解决办法及实现方式
针对网络安全管理中的痛点,人行成都分行以“规范管理、提升效率”为出发点,以“统一展示、集中管理、共享数据、量化考核、高效沟通”为切入点,建设了覆盖全省人民银行及银行业金融机构的信息安全综合管理平台(以下简称“安全管理平台”),实现了人行成都分行安全管理各项工作智能化和有序化,切实提升了网络安全标准化和规范化管理。系统建设基于J2EE架构,使用人员通过web方式登录访问系统。系统主要功能模块及实现方式如图1所示。
2.1信息安全系统管理
该模块包括安全系统监控统一展示、病毒处理、入侵事件处理、数字证书管理等八个子模块。主要功能一是系统定时从各安全系统抽取数据,按照指定方式展示在统一监控界面中,同时可对病毒事件、入侵事件、非法外联事件等按地区、时间和类别进行统计,并提供重大安全事件处理反馈功能。二是提供数字证书电子化申请、审批、归档、统计汇总等功能。三是完成漏洞扫描、移动介质登记等其他安全系统文档资料归档。
2.2信息安全工作管理
该模块分为人民银行信息安全工作管理和金融机构信息安全管理。主要功能如下:一是可构建动态管理的等级保护、安全基线、风险评估等多级指标库并要求指定单位开展检查自评,可自动汇总填报内容并按要求展示;可显示某单位每月、每季、每年的指标变化情况,以及不同单位对比情况;还可汇总收集全省人民银行应急演练、安全检查、风险排查、信息报送等日常安全报告和文档。二是银行机构可动态维护本单位基本信息,报送应急演练、等级保护、自主可控、外包管理、重大事项等工作报告和重要材料;并按照风险评估规范数据库模板,每年按此模板开展两次风险评估并填报相关内容。三是系统自动汇总收集安全系统和安全工作中发现的.问题、隐患、风险,并按照类型、时间、单位、危险等级等进行分类统计和图形展示。四是所有模块均提供了统计报送完成情况的功能,对没有按时完成任务的单位,将自动记录到考核登记簿中。五是可建立工作办理管理流程和报告模块,统一发布工作安排并收集反馈情况。
2.3信息安全信息发布
该模块包括信息安全规章制度管理、信息安全知识库管理、安全设备资产管理等五个子模块。规章制度库包括信息安全标准库、人民银行信息安全制度库、金融业信息安全制度库。知识库包括案例库、安全风险隐患库、技术防护库、信息安全学习库等。
3“五位一体”安全管理平台建设成效
安全管理平台实现了四川省人民银行和银行业金融机构安全管理全覆盖,目前接入和使用系统的单位有66家,其中四川人民银行市州分支机构21家,银行业金融机构一级分行和地方性银行机构共45家,切实有效提升了网络安全规范化管理水平。
3.1高效整合安全系统
系统自动采集和分析单独部署的入侵检测、非法外联、补丁分发、病毒防治等安全系统的安全报警信息和日志信息,形成多种统计汇总图表和量化分析图。每日安全管理员直接从安全管理平台即可查看所有安全管理系统的监控情况,打破了安全系统各自为政的壁垒,构造了安全监控整体视角,实现了“一点登录、整体监控、集中展示”的安全运营平台功能。另外对于移动存储、数字证书等重要介质,通过安全管理平台进行统一申请、审批和撤销,实现了重要介质全生命周期管理。
3.2集中处理安全事务
安全管理平台大大简化了网络安全管理中日常的繁杂工作,实现了等级保护、风险评估、安全基线、安全检查、应急演练、信息报送等各项工作的标准化、自动化、无纸化处理,并且提供自动统计和丰富展示的功能,实现了各类工作文档的集中管理,大大减轻了后期汇总分析的压力,使得管理员能够把精力聚焦在分析问题和解决问题上,切实提升了安全管理水平和效率。
3.3跟踪分析共享数据
安全管理平台不仅抓取了安全系统产生的报警及日志数据,还自动收集了各单位信息安全基线自查、现场检查、应急演练、等级保护、风险评估等各项工作中的反馈情况和问题记录,并且还提供手工录入功能,可以将其他途径(比如审计)收集的问题手工登记到系统中。通过指定方式比较分析不同单位、不同地区、不同类型的风险情况,可总体把握系统内及行业内的安全管理状况,追踪责任单位的问题整改进展以及采取的风险控制措施,为进一步分析决策提供依据。
3.4直观量化考核结果
工作任务通过安全管理平台发布,考核时可直接查看各单位历史工作完成质量以及完成时效,特别是自动收集汇总了各项工作迟报、漏报、错报等情况,非常便于管理者直接依据统计结果考核打分。同时,各单位每年发生的安全事件数量、问题整改率、漏洞修补率、终端异常率等均可通过安全管理平台汇总统计,避免了通过经验、印象进行考核打分的情况,有效提高了安全工作考核的准确性和有效性。
3.5显著提升沟通效率
一是大大提升了日常监测发现问题的整改效率。比如对于发生的安全事件,可以一键生成事件处理工单派发到指定单位,督促和指导责任人员即刻开展排查和处置。二是创新实现了数字证书全流程的电子化管理,解决了纸质文件审批、签收传递周期冗长、效率低下的问题,提高了证书申请审批时效,目前通过安全管理平台申请、审批到领取证书,最快15分钟内即可完成。三是将各项制度规范、运维手册统一共享,便于管理人员及岗位新人查阅,提升了学习和解决问题的效率。四是克服了人民银行与辖内商业银行沟通协调不畅的问题。比如可以随时向商业银行发送信息公告、风险提示、工作要求等,商业银行也可按照指定的格式报送等级保护、风险评估、应急演练和安全年报等,还可随时向监管部门报送单位基本情况变更、重大事项报告、日常工作报告、自主可控和外包服务等情况。所以安全管理平台极大地提升了人行成都分行对全省银行业机构的指导与服务,为加强四川省银行业信息安全协调机制提供了有力保障。
4结束语
人行成都通过建立“统一展示、集中管理、共享数据、量化考核、高效沟通”五位一体的安全管理平台,有效规范了网络安全日常管理,丰富完善了网络安全管理体系,充分调动了各级机构的工作积极性,切实保障了各项管理措施得到有效落实,在实际工作取得了良好成效。
参考文献:
[1]王永红.切实加强金融信息安全管理提升金融信息安全保障水平[J].中国信息安全,2013.
[2]陈小娟.我国银行信息安全风险管理体系研究[D].江苏:苏州大学,2013.
[3]JR/T0071—2012.金融行业信息系统信息安全等级保护实施指引[S].中国人民银行,2012.
作者:刘宇 单位:中国人民银行成都分行
第2篇:网络安全与管理论文
网络安全与管理论文
当今社会数据网络和数据通信业务发展非常迅速,网络安全管理已成为影响国家大局和长远利益的重大关键问题。下文是小编给大家整理收集的关于网络安全与管理毕业论文的内容,欢迎大家阅读参考!
摘 要:网络安全管理涉及技术、硬件的管理,更多地涉及到人员岗位职责安排、安全管理制度、安全评估制度等。任何方面的疏漏都会使发生网络安全事件的可能性增大。本文讨论了网络安全建设中常见问题,给出了网络安全建设建议。
关键词:网络安全 网络管理 网络安全管理制度
在网络化信息化快速发展的今天,网络安全问题几乎对任何一个团体都不再是可有可无的话题。据赛门铁克诺顿2012 年 9 月11日公布的一年一度的诺顿网络安全报告推测,在之前的一年中网络犯罪致使全球个人用户蒙受的直接损失高达 1,100亿美元,而在中国,估计有超过2.57亿人成为网络犯罪受害者,所蒙受的直接经济损失达人民币2,890亿元。
网络安全已经受到各国家、企业团体的高度重视。美国国防部发布的《可信计算机系统评估准则》,将计算机安全划分为四个等级,带动了国际计算机安全的评估研究。加拿大颁布了《网络加密法》《个人保护与电子文档法》《保护消费者在电子商务活动中权益的规定》。我国也相继制定了一系列信息安全管理的法规制度,包括《计算机信息系统安全保护条例》《商用密码管理条例》《计算机信息网络国际联网安全保护管理办法》《互联网安全保护技术措施规定》《计算机病毒防治管理办法》《信息安全等级保护管理办法》等,并将计算机犯罪纳入刑事立法体系。各国对网络安全的重视也促进本国的企业团体的网络安全建设。我国各企事业单位、社会团体对网络安全管理越来越重视,纷纷制定本单位的网络安全监测、管理制度。但是由于网络技术的不断进步、网络新应用的持续发展,网络安全新情况、新问题仍然不断发生。
1目前网络安全建设存在的`问题
1.1忽视对网络安全技术人员的培训
很多单位对网络和安全设备等有形资产舍得投资,但对网络安全技术人员的培训等方面的投资却不够重视。好的设备需要掌握相关技能的人员操作管理才能充分发挥其功能,由缺乏技能的人员管理安全设备常常并不能起到安全保护作用。配置不当的网络和安全设备本身也有可能成为攻击对象,例如使用telnet、http等非安全方式登录管理设备,未限制或未关闭设备本身的FINGER 服务、tftp 服务等。
1.2对非信息安全部门的员工教育不足
现在很多网络攻击行为常常使用社会工程学等非技术方法,而且这种攻击行为越来越多。社会工程学是利用人的弱点,以顺从你的意愿、满足你的欲望的方式,让你上当的一些方法、一门艺术与学问。 Gartner集团信息安全与风险研究主任Rich Mogull认为:“社会工程学是未来10年最大的安全风险,许多破坏力最大的行为是由于社会工程学而不是黑客或破坏行为造成的。”
这种攻击行为本身并不需要太多的计算机网络技术,所以单纯靠提高网络安全技术人员的技术水平无法解决此类安全问题。这需要加强对员工的网络安全教育,提高所有员工的网络安全意识,使以符合网络安全规则的方式做事成为员工的习惯。
1.2.1网络安全管理制度建设缺乏持续性
网络安全管理是一个动态的系统工程。网络安全管理制度需要根据网络安全技术的发展、业务系统的发展而更新改进。网络安全管理制度既体现网络安全管理者对团体成员的行为标准的要求,又建立了一个保证安全策略及时下发实施的上传下达的通道,保证重大紧急事件的及时处理。例如安全事故处理流程既要规定各级管理人员能够自行处理的事件的级别,又要规定事故汇报请示流程,保证领导层能够掌握重要安全事件处理进度,及时做出决策。
1.2.2在网络安全评估量化方面存在困难
现在存在很多以量化指标衡量网络系统的安全程度的方法,例如以网络系统中各个分量的重要程度、被入侵的概率等作为权重来计算整个系统的安全量化指标,或者以系统从受到攻击到入侵成功所需时间来衡量其安全程度。这些方法对于网络安全系统的建设和评估具有重要指导意义,但是由于现实中网络安全涉及的不可控因素太多,这些衡量方法的使用效果并不总是令人满意。网络安全服从木桶理论,一个系统中的安全短板决定着这个系统整体的安全程度。不当的安全评估量化方法无法准确评估一个系统的安全程度,无法给领导层和网络安全管理人员以正确的回馈。
2网络安全建设建议
2.1结合本单位业务细化网络安全管理
首先,根据业务特点和安全要求,对整体网络进行物理和逻辑安全分区,在安全区域边界设置访问控制措施,防止越权访问资源。对于不同安全需求,可以采用单独组网、网闸隔离、防火墙等安全设备隔离、静态和动态VLAN逻辑隔离和ACL访问控制等。在服务器等重要区域,可以增设IPS或IDS、WEB防护设备、网页防篡改系统等增强保护力度。
第二,加强对IP地址和接入端口的管理。在条件允许的情况下,对于平时位置和配置固定的服务器和PC机,采用用户名/密码/MAC地址结合网络接入设备端口的身份验证策略,强制用户使用分配的IP地址和接入端口,不允许其随意修改。对于暂时不用的交换机端口应该予以关闭,避免外来计算机随意接入内部网络。
第三,网络和安全管理人员的管理权限、管理范围必须界定清楚,网络和安全设备的操作日志必须保存好。网络和安全管理人员的管理权限和范围根据各人的职责分工、管理能力进行划分,保证每位管理人员必要的操作管理权限,同时防止设备管理混乱。网络和安全设备操作日志应详细记录每个操作人员的操作,需要时应该可以追踪到所有操作人员的操作过程。
第四,以统一的安全管理策略利用安全设备和安全软件进行监管,减少人为干扰产生的例外情况。安全策略部署中的例外情况日后往往会成为安全隐患,例如,一些人员以各种借口拒绝在其工作用机上实施安全策略,或者需要开通特殊网络服务等。对于无法避免的例外情况应该指定专人负责记录、提醒、监督相关管理人员及时更改和恢复策略等。 2.2合理安排岗位职责
在一个大中型局域网中,网络管理人员不但需要保证诸如重要服务器、存储设备、门户网站等的网络畅通,而且常常需要担负IP地址规划、员工机器网络故障处理、网络系统升级改造、设备维保管理、机房环境管理、最新网络和安全技术跟进、新型网络和安全设备测试等诸多事项,所以一般无法做到单人单岗,人员的职责划分难免出现重叠区域。对于这种情况,应该按照重要程度对各岗位职责进行等级划分,把关系全局、实时性要求高的应用系统、数据存储系统等关键网络应用系统的网络安全保障作为关键工作,指定2~3人重点负责,并且把关键工作的维护人员之间的分工合作方式以制度的形式确定下来。
2.3管理层的重视和支持
首先,网络安全问题的暴露都具有滞后性,安全管理缺位造成的影响短期内并不一定能够显现出来,但是长期持续下去必然导致安全问题的发生。领导层应该对网络安全建设常抓不懈,并以制度的方式予以保证。
其次,网络安全基本数据、各部门对安全的需求等基础信息收集工作的开展常需要管理层的支持和协调,网络和安全管理策略的实施更是离不开管理层支持。目前网络安全很多威胁不是来自外部,而是缘自内咳嗽倍酝安全知识的缺乏和对安全制度、措施的漠视,例如,个别内部机器不按要求安装主机安全软件、私自下载安装来源不明软件等。所以应该指定领导专门负责网络安全的实施和监督,配合网络安全部门技术人员完成安全措施的部署落实,做好网络安全的定期检查工作。
第三,大部分企事业单位里安全投资是属于运营成本,领导层难以期望安全投资会直接带来利润。ITIL(Information Technology Infrastructure Library,信息技术基础架构库)提供了对IT资源进行财务计量的方法,在企事业内部把IT部门为其它部门提供的服务进行量化,以便更好地体现IT部门的经济效益。但是从企事业单位的整体来看,对于大部分企事业单位,内部网络安全管理的投入仍然划归为基础运营成本。尽管如此,网络安全管理的重要性不应被忽视。
2.4强化报警和应急机制建设
美国ISS公司提出的动态安全模型P2DR (Policy,Protection,Detection,Response)认为,安全就是及时检测和响应,就是及时检测和恢复。对于需要保护的目标系统,保证其安全就是要满足防护时间大于检测时间加上响应时间,在入侵者危害安全目标之前就能被检测到并及时处理,安全目标系统的暴露时间越小系统就越安全。要提高系统安全程度,就要提高系统的防护时间,减少攻击检测时间,提高应急响应速度。
第3篇:规范化管理论文
规范化管理论文
在学习和工作的日常里,许多人都写过论文吧,论文是对某些学术问题进行研究的手段。写起论文来就毫无头绪?以下是小编帮大家整理的规范化管理论文,希望能够帮助到大家。
规范化管理论文1
护理继续教育是一种终生教育,主要以学习新理论、新知识和新技术为主。随着医学的不断进步与卫生事业的快速发展,高素质护理人才的需求量愈来愈大,因此护理继续教育显得更加重要,继续教育不仅可以加强护士对岗位能力的适应,还巩固了护理学科的社会地位和发展的可持续性。因此,护士进行规范、系统的培训及加大继续教育管理力度是护理管理者的紧要责任。河南省人民医院20xx年1月—20xx年3月推行护理继续教育规范管理,获得良好效果,报告如下。
1对象
该院是全国综合性三级甲等医院之一,正规床位20xx余张。随机选取21个护理单元,38
第4篇:网络安全预警系统设计与实践论文
网络安全预警系统设计与实践论文
摘要: 本文分析了人们的网络行为并分析出恶意行为,进而开发了一款基于网络行为分析的网络安全预警系统,测试结果表明系统运行稳定,在网络安全预警实时性和精确度方面满足要求。
关键词: 网络行为;网络安全;预警系统;数据挖掘;工作流技术
1核心技术概述
1.1网络及安全技术网络安全技术涉及到的层面较多,本节主要分析系统自身安全。基于角色的访问控制,作为现阶段最具有发展前景的访问模式,已经充分的引起民众的广泛关注。和以往的权限直接下放到用户自身的手里相对比,在RBAC程序当中,权限和用户之间存在一定的联系,每一个“角色”则是一个用户或者一批用户的操控整合。注册用户在通过管理员同意之后赋予特定的访问权限以及操作权限后,能够大幅度的降低授权管理的工作任务量。在某个特定的组织结构当中,角
第5篇:网络安全预警系统设计与实践论文
摘要:本文分析了人们的网络行为并分析出恶意行为,进而开发了一款基于网络行为分析的网络安全预警系统,测试结果表明系统运行稳定,在网络安全预警实时性和精确度方面满足要求。
关键词:网络行为;网络安全;预警系统;数据挖掘;工作流技术
1核心技术概述
1.1网络及安全技术网络安全技术涉及到的层面较多,本节主要分析系统自身安全。基于角色的访问控制,作为现阶段最具有发展前景的访问模式,已经充分的引起民众的广泛关注。和以往的权限直接下放到用户自身的手里相对比,在RBAC程序当中,权限和用户之间存在一定的联系,每一个“角色”则是一个用户或者一批用户的操控整合。注册用户在通过管理员同意之后赋予特定的访问权限以及操作权限后,能够大幅度的降低授权管理的工作任务量。在某个特定的组织结构当中,角色是为了满足特定的任务组建而成
第6篇:公路工程管理规范化与科学化论文
公路工程管理规范化与科学化论文
[摘要] 本文主要探讨了公路工程现场管理存在的一些问题,并提出了以加强规范化及科学化为前提的改善建议,以供参考。
[关键词] 公路工程管理;问题;改善建议
1公路工程管理的内涵
公路工程管理主要是指通过一系列的计划、组织、协调及指挥,促使公路建设现场能够在确保质量及安全的前提下,如期完工,以下是具体内容:(1)目标明确,统一思想。通过宣传发动,促使每名员工了解确保质量达标是公路现场管理的首要目的,要采取目标管理方法对项目进行管理,促使各个子目标如期实现,达到保证整体质量的目的。(2)理顺工作流程。管理层要对整个现场作业程序进行方案设计,各部门要做到分工明确、职责清晰、作业程序细致及严抓落实;建立质量保证体系,对进场的原料、设备等质量要进行严格的把关;要加强员工质量意识教育,
