一、加强领导
为进一步加强全委网络信息系统安全管理工作,我委成立了网络和信息安全督查自查领导小组,由主任任组长,副主任任副组长,综合股张俊为成员。做到分工明确,责任具体到人。。
二、我委现状
1、网络安全方面。我委配备了防病毒软件,采用了强口令密码、数据库存储备份、移动存储设备管理、数据加密等安全防护措施,明确了网络安全责任,强化了网络安全工作。
2、信息系统安全方面。。
3、日常管理方面。。
4、硬件设备情况。硬件设备使用合理,软件设置规范,设备运行状况良好。我委每台终端机都安装了防病毒软件,系统相关设备的应用一直采取规范化管理,硬件设备的使用符合国家相关产品质量安全规定,单位硬件的运行环境符合要求,打印机配件、色带架等基本使用设备原装产品。
5、通讯设备运转正常。我委网络系统的组成结构及其配置合理,并符合有关的安全规定;网络使用的各种硬件设备、软件和网络接口也是通过安全检验、鉴定合格后才投入使用的,自安装以来运转基本正常。
6、严格管理、规范设备维护。我委对电脑及其设备实行“谁使用、谁管理、谁负责”的管理制度。在管理方面我们一是坚持“制度管人”。二是强化信息安全教育、提高员工计算机技能。同时在委开展网络安全知识宣传,使全体职工意识到计算机安全保护是“三防一保”工作的有机组成部分,而且在新形势下,计算机犯罪还将成为安全保卫工作的重要内容。
三、网络安全存在的不足及
1、对于线路不整齐、暴露的,立即对线路进行限期整改,并做好防鼠、防火安全工作。
2、加强设备维护,及时更换和维护好故障设备。
【关键词】企业内网 安全风险 防范措施
1 企业内网安全的重要性
互联网全面渗透到经济社会的各个领域,对企业生产经营活动产生了举足轻重的作用。企业网络常采用路由器、防火墙、VPN、IDS、等众多设备布置在网络入口,在管控网络边界方面的工作比较重视,在内网安全方面的重视度往往做的不如前者。
随着企业发展的需求,内部网络越来越复杂,系统应用越来越多,一旦内网有不可控设备故障、病毒、、破坏以及断网等事件的发生,将会对企业的生产经营造成严重的后果。正是如此,企业内网安全的重要性也尤显突出。
2 企业内网目前存在的安全风险与防范措施
针对典型的企业内网结构现状,将从网络设备、机房设施、管理制度、系统应用及桌面终端五个方面分析内网安全风险与防范措施。
2.1 网络设备安全风险与防范措施
(1)常用网络设备包括:服务器、防火墙、路由器、交换机;存储、行为管理、入侵检测设备等。众多的网络设备都需要设置管理员用户与口令。而现实中管理员为了方便管理,存在使用简单密码、多个设备使用相同密码及长期不修改密码的现象,使服务器及其它网络设备处在不安全状态。
防范措施:制定网络安全员口令管理制度,严禁使用弱口令,要求口令长度不小于8位,且必须由大写、小写字母与数字共同组成,严禁使用重复或连续的字母与数字;不同的设备设立不同的密码,对密码加以时效性。
(2)网络设备硬件故障安全风险。防范措施:资金条件宽裕,尽量配备冗余设备;若无法配备冗余设备时,要制定相关紧急预案,并定期按照预案内容进行演练,以提高应对突发事件时的工作效率,保障网络设备快速恢复正常运行。
2.2 机房设施的安全风险与防范措施
网络机房是企业网络的核心部位,达标机房的建设也是一项庞大的系统工程,其中UPS供电、空调、自动防灭火报警、防静电及应急照明系统是最基本的组成部分。这里简要说一下这几个系统普遍存在的安全风险。
2.2.1 UPS供电系统安全风险
机房市电供电长期稳定,UPS系统存在不能单独放电现象;电池组长期使用,部分电池接线柱出现腐蚀不容易被发现或忽视此现象。
防范措施:定期断开UPS系统的市电,让UPS单独处在放电状态,同时记录系统放电时间情况,做到心中有数;定期对电池组接线柱及外观进行检查并形成记录日志,发现问题及时处理或上报。
2.2.2 空调系统安全风险
机房空调为专用空调,需7X24小时不间断工作,一旦空调中断,网络设备产生的热量在短时间足以使其工作性能降低或宕机;或有部分小型机房使用普通空调,无法做到断电自启功能,若有短时断电现象出现,网络设备将因机房温度过高存在宕机风险。
防范措施:定期对机房空调做好保养工作,尤其在夏季来临前做好室外机散热器与室内过滤网除尘工作,保障空调设备正常工作;对普通空调加装断电自动启动模块,确保来电后空调自动启动。
2.2.3 自动防灭火报警系统安全风险
机房自动防灭火报警系统很少启用,随着使用时间增长,部分设备达到或接近失效期,如灭火压力装置、报警感应装置等,一旦启用时发现失效则为时已晚。
防范措施:按设备说明书定期进行检测、检验与保养,做好设备检测记录,发现失效部件及时更换,不留后患。
2.2.4 防静电系统安全风险
防静电系统中金属接线部位随时间变化会产生氧化现象,电阻值会升高,再加以机房湿度过低,导致防静电系统成一摆设。
防范措施:使用摇表定期对地线阻值进行达标测量,形成记录文件。在北方冬季期间加强监测频次,减少静电导致设备故障的风险。
2.2.5 应急照明系统安全风险
机房应急照明系统由于市电线路正常,也会存在过充电现象。
防范措施:定期进行人为放电,测试并记录照明时长,以满足市电中断时机房照明亮度与照明时长的要求。
2.3 管理制度存在安全风险与整改措施
常说 “三分技术,七分管理”,由于管理制度上的不完善、人员责任心差而导致的网络安全事件层出不穷。另一方面执行意识差,造成“有章不循”,流于形式、成为摆设。
防范措施:企业信息管理部配备上网行为管理设备,规范员工网上行;同时制定适合本企业的网络安全制度,对执行力度采取奖罚措施,使“技术+管理”的方案得到全面落实。
2.4 系统应用存在安全风险与整改措施
应用服务器中超级管理员及应用系统用户存在弱口令现象、操作人员误操作、计算机病毒及网络黑客入侵、系统应用数据的不安全因素都会对内网安全产生较大影响。
防范措施:从系统应用中设置禁止使用弱口令,加强专业技能培训、应用服务器安装防病毒程序、关闭无用的服务与端口、关闭不必要的共享,重要数据采取进行定期备份与异地备份的措施。
2.5 桌面终端存在安全风险与防范措施
终端操作系统安全配置不健全、存在系统漏洞,或计算机受病毒感染导致数据泄露以及局域网受arp攻击;终端用户对数据安全意识不足,部分桌面终端“带毒”、“带马”运行;不良好的操作习惯,如重要数据文件长时间存放桌面、C盘或只用U盘保存;。
防范措施:对终端用户计算机设备安装病毒木马防护软件,定期修补系统漏洞;通过培训或讲解提高终端用户计算机操作水平与技能,进而提高安全防范意识,对于系统出现异常情况要及时反馈给信息管理部门;。
一、确保一流工作常态化运行
按照国网农技13号文件要求,将现行标准与原标准进行对照查找,吃透新标准的内涵,领会实质,有的放矢的开展新一轮的一流建设工作。。二是上下联动不留死角。用一流建设标准完善基层单位的创“优”考核细则,力求作到管理层与基层同部署同落实。三是强化督导和考核,确保达到效果。采取即时调度,定期听取汇报,随时解决问题的方法掌握进度,并严格按照责任分工实施考核,确保了工作质量。在一流资料管理上,开发软件,将全部资料网络化管理,不仅有利于共享,同时也减少了费用支出。
二、坚持计划管理的引领作用
按照上台阶方案要求,不断丰富计划管理的内涵,创新计划平衡会的指导方法,统筹各部门之间的工作协调关系,集中下发工作计划,指导基层工作开展,避免资源的无端浪费,每月及时通报工作完成情况以及整改落实情况,使计划管理的引领作用很好的运行起来。
三、信息化建设
一是优化网络架构,加强网络安全,改造信息通道
与专业公司联手对原网络的核心设备进行更换,使其具有双电源、双引擎、各项技术指标均能满足公司五年内信息化建设的需要,新增加了硬件防火墙和企业版杀毒软件,使网络安全和病毒查杀能力得到全面提高。。通过对350多台客户端安装网络版的杀毒软件,有效抑制了病毒在网内的爆发,通过实施网络安全改造,解决了信息不畅、网络安全等级低等技术难题,提高了网络运行速度,使网络的整体状况、综合性能指标、安全等级得到明显提升,为信息化建设提供了安全可靠、高效迅捷、稳定的网络环境。
二是充分挖掘,不断完善升级,加快一体化建设
信息化建设以营配一体化建设为目标,目前,在计量器具上实现了计量管理系统与营销计费管理系统的无缝连接,实现了客户计量信息与营销计费系统表计信息的数据共享,并使其数据源具有唯一性。结合工作实际,完善了物资管理系统,实行物资管理从审批到出库网络化控制,杜绝了材料浪费,促进了材料物资管理精益化、规范化。;不断完善地理位置信息管理系统,强化电网数据闭环覆盖和无缝连接,确保数据唯一性和准确性,指导电网建设和改造,增加了报修导航定位、停电范围显示统计,导航抄表等功能,为抄管分离、营配一体化的实施奠定基础。全部数据采集完成后,将实现生产信息取自现场、营销取自生产、财务取自营销的科学数据链条。优化了远程抄表系统,完善了线损管理、数据分析、电费催费管理、时时监测等管理功能,并逐渐实现智能化管理的目标。
四、八月份重点工作
1、深入完善建标工作。目前,我们已经从兄弟单位拿到了三个标准的摸板,由于操作软件不支持,导致操作繁琐,必须逐一复制粘贴,信息中心针对此问题,正在进行整理,最终实现资料可导出,并分发到相关部门,对照公司现行的三大标准进行梳理、补充、完善。
2、以阳光采购会的形式,对各供电所目前使用的财务计算机进行更换和升级,提高工作效率。
。
4、进一步完善地理信息系统建设,召集项目组工作会,总结试点过程中的经验,对存在的不足与技术人员和相关管理人员进一步研究解决,为全面实施做好准备。
5、按省公司要求,协调营销部,做好营业报表和全省95598统一平台后客户信息查询接口程序及数据准备工作。
五、下半年工作安排
一是深化创一流同业对标工作,广泛开展内、外部对标,制定科学合理的标杆选树办法,采取走出去、请进来的方式,借鉴先进经验、扬长避短,促进企业科学管理水平不断提高。
二是加快推进业扩报装网上流转工作进程,引进先进管理软件,使业扩报装工作的每个环节、每个流程都有痕迹管理、时限管理,提高工作效率,促进窗口服务质量的全面提高。
三是总结0.4kv地理信息系统试点工作的经验,为全面实施全电压等级地理信息系统奠定基础。
一、高度重视,精心组织
县经信局和农网办高度重视农电安全工作,12月22日至29日,会同县水务局、安监局组建3个工作组,由三名副局长带队深入全县供电企业及供区全面开展安全检查。检查前进行了统一培训,制定了《县农村配电网络安全检查评分细则》,明确了检查内容、方法和工作要求,对15家发供电企业,采用事先不打招呼直接赴现场、不听汇报直接查阅资料、询问领导及员工等方式,详细了解各电力企业2014年安全生产工作开展情况,针对发现的问题,提出了整改措施和建议,要求对照国家法律法规,认真排查安全隐患,加大整治力度,建立长效机制,坚决杜绝各类事故发生。
二、突出重点,严格检查
此次检查突出五个重点:一是对各单位的安全生产“双主体”责任落实及履职情况。二是安全生产制度及执行情况。三是主要设备、设施安全运行情况。四是隐患排查和治理情况。五是事故应急预案制定情况。
三、发现问题,及时整改
通过检查,督促了各供电企业的安全生产工作的开展。大部分企业都已落实了安全生产责任,成立了安全生产工作领导小组,落实了专(兼)职安全人员,做到了有机构、有制度,层层签订了安全生产责任书;制定了应急处置预案,能严格执行“两票三制”;能积极组织职工安规培训和考试,持证上岗制度落实较好。通过检查,共查出安全隐患136处,下达了整改通知书16份,并限期整改,定期复查。
1、部分企业安全生产双主体责任不落实。个别企业年初未签订安全生责任书,未落实专兼职安全生产员,员工未进行安全培训和考试,未定期召开安全生产例会,分析解决安全生产中的问题。如:红渠电站未签订2014年安全目标责任书,安全员未取得安全员资格证上岗。
2、电网安全隐患严重。由于投入不足,小水电供区未实施农网改造,木电杆多,线路对地安全距离不够,档距跨度大,线径小,长期超负荷带病运行,安全隐患十分突出。如:西清电业公司汇滩供区低压线全部使用木质电杆且电杆高度不够;电力公司供区村3社220V线路对地距离不够,村一社低压线路老化;桃园电站工地线路凌乱,对地对物安全距离不够,消防器材未定期检修,灭火器超过使用期且受潮严重。
3、小水电站,由于建设年代久远,生产设备陈旧老化,未全面实施技术改造,设备更新进度缓慢;人员技术素质较低,规范管理差,潜在安全隐患较多。机械传动部分无防护罩,设施设备未进行评级和编号挂牌。小水电站对发供电设备设施提出保护的水平参差不齐,部份小水电企业不能及时排除故障,可能导致主网跳闸事故的发生,严重威胁电网的安全稳定运行。
4、安全经费投入不足。小水电供区资产清理后,对低压供电设施维护和隐患整治无积极性,不愿意再投入,存在的隐患不能完全消除。S101线升级改造,造成新的安全隐患未整治。上关10KV、上银10KV线路,由于业主单位未支付补助资金,迁改不及时,S101线道路施工,部分电杆基础破坏,随时都有倒杆断线涉及施工、行人触电的危险,同时危及110KV寨坡变电站安全运行。
5、高低压线路障碍多,进户线、广播通讯线路交叉,用户用电安全保护装置不齐全,入户线路零乱,线径小,导线老化严重。
6、用电企业安全隐患排查不到位,整改责任不落实,措施不具体,造成了重大安全生产事故,如赶场供电公司年内发生人员伤亡事故,下两电站排查的安全隐患未落实责任人限期整治。
7、个别企业两票三制执行不到位。工作票未执行,操作票填写不规范。
8、安全工器具、消防器材未配备齐全,无台账,未定置摆放。
9、配电台区警示标志不齐全,变压器未按规定校验。如乡街道变压器跌落开关、接地装置锈蚀严重。镇村4社变台开关箱锈蚀严重。
10、安全管理软件资料不齐全,填写不规范。如:桃园电站2014年未建立安全管理制度,应急预案未及时修订和演练,无安全管理记录,未建立隐患排查整治台账。
关键词:央行;信息安全基线
中图分类号:F832.2 文献标识码:A 文章编号:1001-828X(2012)11-0-01
一、构建基层央行信息安全基线
(一)安全基线管理的职责分工
基层央行负责本单位安全基线的建立、维护、不定期评估和定期上报。安全基线管理设置操作员和审核员,负责安全基线的日常维护。
安全基线操作员负责提交新增、删除、变更基线要求项的申请;负责配合安全基线审核员对安全基线进行不定期评估;负责对不合格的基线要求项进行整改。
安全基线审核员负责对申请材料进行审核,并完成安全基线的新增、删除、变更等日常维护操作;负责组织完成本单位安全基线的不定期评估,对于高风险基线要求项,建立督办单,跟踪其整改过程;负责将本单位的安全基线定期上报至上级单位。
(二)安全基线要求项的定义
安全基线项遵循统一的定义,包括基线编号、基线要求、基线当前状态、状态说明、基线整改措施、审批单编号及备注等七个要素。
基线版本是对基线要求项的变更情况进行跟踪的途径,其分为两节,第一节为版本号,由四位阿拉伯数字组成,表示基线要求项内容发生变更,每次变更时号码加1;第二节为安全基线发生变更时的变更单编号,变更单编号由六位阿拉伯数字组成。
在安全基线的第一次初始化时,审批单编号中须填写“初始化”,之后每次对基线要求项进行新增、变更和删除时,都需要记录相关的审批单编号,以便对基线要求项的历史状态进行追溯。
(三)安全基线的变更管理
安全基线操作员在申请进行基线要求项的新增或删除前,填写审批单并说明原因,在安全基线审核员审核通过后,进行相应的新增和删除操作。
当信息化基础设施、网络以及应用系统发生变更时,相关人员对变更进行充分评估,若该变更会对安全基线产生影响,同步进行安全基线要求项的变更。
不定期开展本单位的安全基线自评估,对于处于“不符合”状态的基线要求项,及时进行整改。
对于高风险基线要求项启动跟踪督办流程。首先由安全基线审核员建立督办单,在得到部门负责人同意后,将其交给负责整改的相关人员(若为多人,则指定其中一人为整改工作的主要负责人),要求其在规定时间内进行整改;负责整改人员在收到督办单后,及时组织进行整改,在整改期间,定期将整改进展情况在督办单上进行具体描述,并由安全基线审核员签字确认。
(四)基线的上报和检查
基层央行按照上级行的要求频率定期上报安全基线,并接受上级行不定期的抽查和全面检查,对安全基线不符合的要求项进行整改。
二、以信息安全基线管理促进信息安全建设
人民银行信息安全基线细化为机房管理、网络安全、应用安全、保密技术管理、信息安全管理、安全运维等十大类近一千个要求项,涵盖了央行信息安全工作的各个方面,对信息安全工作的要求进行了分类、明确和规范,制定了统一的模板,为今后的信息安全工作奠定了一个良好的基础。
基层央行信息安全工作历年来受到各级领导的高度重视,来自总行、省会中支、内审部门等不同口径的检查,促进了基层行信息安全工作良性的发展,但同时来自不同目标的检查工作,不同的安全要求,给基层央行的信息安全工作带来了很大的困惑,究竟应以什么标准为依据,一直是基层行近年来迫切需要明确的问题。人民银行信息安全基线的建立,规范了信息安全要求,对基层央行的信息安全建设具有里程碑的意义。
三、做好基层央行信息安全基线管理的几点思考
(一)制度把关,做好基层央行信息安全基线管理
很多人觉得严格按制度办事已经是老生常谈了,但工作中就是有这样的情况发生,人情高于制度、执行先于审批、业绩重于安全,没有高度的安全责任感,没有制度的严格把关,信息安全工作就不能落到实处,再多的工作业绩也只能是为信息工作种下更多的安全隐患,进而影响到央行的正常履职。
随着央行信息化建设的发展,安全基线是在不断地更新和拓展的,那么制度的建立、完善、梳理也是同步的,制度的内容应当反映着信息安全工作最新的要求,制度的建设应作为一项重点的工作来抓,使制度的建设同步于信息建设的步伐,覆盖信息工作的各个方面,真正成为信息工作的行为规范。制度建设的同时要把制度的执行落到实处,坚持学习、监督、检查并重,逐步形成严格按制度办事不违规操作的工作氛围,以制度执行力的不断提高来保证信息安全基线的落实。
(二)严格审批,做好信息安全基线的变更工作
基层行根据上级行的安全基线模板建立了本行的第一个安全基线,作为一个初始化的安全基线,必然会存在一些不符合的要求项,信息安全基线的变更和定期上报,使上级行能够更加清晰地了解和掌握基层行信息安全工作情况,哪些工作做得到位,哪些工作存在问题,存在问题的原因和整改的计划,整改中存在的困难,需要的技术、资金等方面的支持等等。信息安全基线的初始化要客观、准确,建立在初始化基础上的信息安全基线的变更管理更加重要,只有通过审批的变更才可以实施,严把变更审批关,加强变更项的检查和复核,保证安全基线是对基层行信息安全工作的真实反映。
(三)钻研技术,提高信息安全基线的管理水平
一、加强营业厅渠道管理,积极提升服务质量
营业厅渠道作为企业面向客户的直接窗口,营业厅的业务氛围与服务质量,是影响到整个市场运营好坏的关键环节,是为人民群众提供优质服务的基础。为此,我们加强了营业厅渠道的人员管理,积极梳理存在的薄弱环节,不断完善工作流程,全力提升服务质量。
(一)制定完善营业人员工作规范考核细则,加强业务培训。针对少数营业人员工作散漫,积极性不高,工作难于落实的情况,出台制定完善了营业人员工作规范考核细则。加强培训,多次组织营业人员开展培训学习,提升营业人员的整体思想素质;加强监督考核,确保工作规范落实到位。每月,相关管理人员对各营业厅的工作进行抽查,并将检查结果进行考核通报,并提出整改方案。
(二)做好营业厅氛围营造及支撑管理工作。通过积极争取,为营业人员配置了工服、头花、领结,统一了仪容仪表;落实了营业人员的台牌、胸牌和工作牌;规范了营业厅内部布局,针对营业厅测评细项逐个落实。通过一系列的整改措施,营业厅的工作有了很大的改善。
(三)开展班组建设,提高员工效率。我们全面加强班组建设,实现班组管理的科学化、制度化、规范化,我们做到以诚相待、以心换心;靠一点一滴的细致工作赢得客户信赖,提高营业厅管理水平。
二、营造氛围,创新管理,增强主动营销能力
营销是营业厅作为实体渠道的核心功能之一,也是满足客户消费需求并提升客户对产品、品牌感知的重要途径。我们公司把提升员工主动营销能力放在工作的首位,充分发挥员工潜能,做好交叉向上营销和业务产品推介,不断创新服务手段。
(一)开展了“金牌服务,满意100”系列活动。根据公司的要求,我们营业厅推出了“亚运服务大使、亚运优秀服务团队”评比等系列活动,我们营业厅整体服务能力和服务水平得到显著提升。
(二)抓综合治理,建设和谐平营业厅。营业厅始终把社会治安综合治理、平安建设作为一项事关全局的头等大事和基础性工作来抓,社会治安综合治理、交通安全管理机构及管理制度健全,深入开展和谐平安创建活动,在亚运会和残亚会,在盛会期间,我们紧抓安全生产,落实安检制度,从而使亚运会和残亚会召开期间的安全。
(三)抓好资金管理,确保稽核资金安全。随着公司业务的不断拓展,对稽核人员的素质要求必然越来越高。我积极提高政治思想觉悟,加强自身道德修养,主动强化新制度及相关法律法规的学习,不断更新和充实自己的业务知识,努力提高综合业务水平,做好稽核工作。1-11月共完成收入1939万元,其中渠道完成1760万元,自办厅完成179万元;完成存费送费154万元,其中渠道完成111万元,自办厅完成43万元。
三、加强网络维护,做好转型业务各项工程
1、为保障网络安全,我们制定了通信保障应急预案,并组织相关维护人员对预案进行学习和演练,使维护人员熟练掌握应急预案,达到了预期效果。对存在的隐患进行了及时整改和整治,排除了一切隐患,保证了网络运行正常。加强网点保障工作,特别是加强了发电管理工作,取得了较大的成效,网点中断次数明显降低,大大提升了网络服务质量,提升了客户感知度。一年来我们共组织线路抢险37次,使用光缆线路6.55公里,光缆接头盒59个,共组织基站抢险82次。
因篇幅问题不能全部显示,请点此查看更多更全内容