厉华梅

(国网山东省电力公司日照供电公司,山东日照 276826)

基于EDP的信息安全精细化管理

厉华梅

(国网山东省电力公司日照供电公司,山东日照 276826)

随着信息系统应用全面深化,接入信息网络的业务系统越来越多,信息化工作逐渐成长为企业的越来越强的支撑力量。公司信息安全管理人员创新思路,利用现有资源建立了基于EDP的信息安全精细化管理体系,通过对设备、数据和人员的全过程的安全控制,为用户提供了完善的、高安全级别的信息安全管理,构建了基于EDP体系的精细化管理模式,有效的防范了外部攻击和内部的管理失控锁带来的各种威胁。

设备 资产 人员 信息安全 精细化

1 信息安全精细化管理的实施背景

1.1 信息安全管理不够全面

在日常信息安全管理工作中,对信息设备、信息系统等的运维和管理关注度高,忽视了人、文档和数据、服务以及其他无形资产等重要对象的管理,对外来人员也缺乏有效的识别管理。

1.2 管理制度不够系统

上级制定下发了较多的制度和标准,公司也自行制定了相关的制度与标准,但当信息化发展到一定程度,这种制度就显得比较单薄,就事论事管理方式必然会产生安全管理的盲区。

基于上述分析,我们提出了基于EDP的信息安全精细化管理。

2 基于EDP的信息安全精细化管理的内涵和做法

基于ED P的信息安全精细化管理的内涵:以ED P即设备(Equipment)、数据(Data)、人(Person)为管理对象,完善制度建设、准入管理、运行建设、人员管理组成的一维管理建设,不断驱动设备安全、数据安全、信息保密三个提升,实现信息安全管理精细化的目标。

2.1 从资产识别入手,做好设备安全管理

2.1.1 资产管理

将信息资产分为有形资产(信息机房、网络设备、主机设备和安全设备)和无形资产(操作系统、数据库等软件和ERP等信息系统)两类。建立硬件设备台账,在系统中进行台帐登记和安全备案,系统自动生成包含设备备案编号、责任人的二维码标签,通过标签实现全程追踪。建立无形资产档案,明确资产责任人,由其负责系统安全配置、数据备份等日常安全运维工作。

2.1.2 配置管理

依据《信息安全配置手册》,对网络设备、主机、数据库等进行了安全加固,共消除存在的漏洞隐患31项。每季度检查配置有效性及安全性,每月对配置信息进行备份,确保配置数据安全。制定了《信息设备及系统管理办法》,规范信息设备准入流程。

2.1.3 运维管理

建立了《信息设备巡视管理办法》,规范巡视范围、值班人员权利与义务、应急处置等,对中心机房及重要系统实行每日四次安全巡检。成立了公司总经理担任信息安全领导办公室主要负责人、各部门负责人担任工作成员的信息安全管理组织机构,各部门配置信息安全管理兼职人员,建立起从上之下、从管理部室到建设基层的信息安全管理网络。

2.2 以技术和制度相结合,做好人员安全管理

2.2.1 终端安全管理

利用H3C 终端准入控制方案,实现终端身份、权限、在线审计等全面控制。用户终端安装inode智能客户端,通过输入用户名和密码发起身份认证,经过网络服务器验证许可后,正常连接到公司网络。用户私自更换网卡、外来设备无法登入公司网络。在服务器端和用户端部署防病毒软件,帮助用户侦测上万种已知和未知的病毒。

2.2.2 制度约束

修订了《信息通信设备管理办法》,规范了设备在采购、使用、维修、报废等环节的管理流程,为设备管理提供服务基准和管理依据。设备从投运到销毁,采用“PDCA“的闭环管理,避免了设备的私自维修报废等行为发生,保障设备始终处于信息的有效监控之下。

2.2.3 人员队伍管理

(1)构建“业务专精”运维队伍。运维队伍是设备“诊病医疗”的服务队,按照“响应迅速,技术一流”的要求建设运维队伍,通过学习培训体制不断完善队伍,将运维维护队伍建设成“招之能战,战之能胜”的队伍。

(2)开展全员信息安全培训。针对部分员工信息安全意识淡薄的情况,定期开展全员信息安全技术培训,对信息安全法律法规和公司相关制度进行宣贯,配合网络和计算机操作等讲解和模拟演练,提高员工信息安全意识和操作技能。划分信息系统重点岗位人员,每年与各部门签署《信息安全责任书》、与重点岗位人员签署《涉密人员信息安全责任书》、与离岗人员签署《离岗信息安全协议》。

2.3 依托云技术,做好数据安全管理

2.3.1 集中管理终端数据

建设文档管理系统,提高公司文档的管理水平。用户在服务器端建立自己的文档空间,按照个人方式进行归类存储。系统支持255种文档格式,与OFFICE无缝隙连接,可以在线编辑、浏览文档,具有新建、上传、编辑等独占功能。有效保护企业办公中形成的资料文件,避免因本地硬盘损坏、数据全部丢失。

2.3.2 云终端试点

选取了部分单位,开展云终端试点工作,通过有线网络和通信协议,共享服务器上的操作系统,每个终端上配备了丰富的显示器、键盘鼠标、网络以及U盘等外设接口,替代从前贵重繁杂,维护性差的主机使用,每个终端匹配一个用户,每个用户之间互相独立,操作互不影响。云终端具备低功耗,低维护,低噪音,高性能,高稳定,无病毒的特性,极大的提高了终端物理及数据安全性能。

3 基于EDP的信息安全精细化管理的实施效果

3.1 社会效益显著

进一步明确了分工,使安全风险和责任意识从传统的IT部门扩展到组织机构中的每个员工,提高了安全管理的整体效率。通过构建静态的组织保障体系和实施动态的对整个体系进行调整、改善的PDCA过程,使组织安全管理从“静态、被动、散乱”的管理动向“动态、主动、系统”的管理转变。文件实现云端存储,更安全更便捷。

3.2 经济效益显著

基于EDP的信息安全精细化管理自2012年实施应用以来,运转情况良好,信息安全水平不断提高,运维成本持续降低。严格落实每日四次巡检要求,在巡检中发现并及时解决供电模块和板卡温度异常、精密空调故障等缺陷12起,避免经济损失30余万元,保障了信息通信系统的安全稳定运行。设备、人员、数据在信息安全精细化管理模式下,企业信息得到很好保护,数据安全保护发挥作用产生的资金不可估量。