欧美日韩亚洲一区二区精品_亚洲无码a∨在线视频_国产成人自产拍免费视频_日本a在线免费观看_亚洲国产综合专区在线电影_丰满熟妇人妻无码区_免费无码又爽又刺激又高潮的视频_亚洲一区区
公務員期刊網(wǎng) 精選范文 企業(yè)信息安全要求范文

企業(yè)信息安全要求精選(九篇)

前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的企業(yè)信息安全要求主題范文,僅供參考,歡迎閱讀并收藏。

企業(yè)信息安全要求

第1篇:企業(yè)信息安全要求范文

【關鍵詞】信息安全 管理 控制 構建

1 企業(yè)信息安全的現(xiàn)狀

隨著企業(yè)信息化水平的提升,大多數(shù)企業(yè)在信息安全建設上逐步添加了上網(wǎng)行為管理、內(nèi)網(wǎng)安全管理等新的安全設備,但信息安全防護理念還停留在防的階段,信息安全策略都是在安全事件發(fā)生后再補救,導致了企業(yè)信息防范的主動性和意識不高,信息安全防護水平已經(jīng)越來越不適應當今企業(yè)IT運維環(huán)境和企業(yè)發(fā)展的需求。

2 企業(yè)信息系統(tǒng)安全防護的構建原則

企業(yè)信息化安全建設的目標是在保障企業(yè)數(shù)字化成果的安全性和可靠性。在構建企業(yè)信息安全體系時應該遵循以下幾個原則:

2.1 建立企業(yè)完善的信息化安全管理體系

企業(yè)信息安全管理體系首先要建立完善的組織架構、制定信息安全管理規(guī)范,來保障信息安全制度的落實以及企業(yè)信息化安全體系的不斷完善?;酒髽I(yè)信息安全管理過程包括:分析企業(yè)數(shù)字化資產(chǎn)評估和風險分析、規(guī)劃信息系統(tǒng)動態(tài)安全模型、建立可靠嚴謹?shù)膱?zhí)行策略、選用安全可靠的的防護產(chǎn)品等。

2.2 提高企業(yè)員工自身的信息安全防范意識

在企業(yè)信息化系統(tǒng)安全管理中,防護設備和防護策略只是其中的一部分,企業(yè)員工的行為也是維護企業(yè)數(shù)字化成果不可忽略的組成。所以企業(yè)在實施信息化安全管理時,絕對不能忽視對人的行為規(guī)范和績效管理。在企業(yè)實施企業(yè)信息安全前,應制定企業(yè)員工信息安全行為規(guī)范,有效地實現(xiàn)企業(yè)信息系統(tǒng)和數(shù)字化成果的安全、可靠、穩(wěn)定運行,保證企業(yè)信息安全。其次階段遞進的培訓信息安全人才也是保障企業(yè)數(shù)字化成果的重要措施。企業(yè)對員工進行逐次的安全培訓,強化企業(yè)員工對信息安全的概念,提升員工的安全意識。使員工的行為符合整個企業(yè)信息安全的防范要求。

2.3 及時優(yōu)化更新企業(yè)信息安全防護技術

當企業(yè)對自身信息安全做出了一套整體完善的防護規(guī)劃時,就應當考慮采用何種安全防護技術來支撐整個信息安全防護體系。對于安全防護技術來說可以分為身份識別、網(wǎng)絡隔離、網(wǎng)絡安全掃描、實時監(jiān)控與入侵發(fā)現(xiàn)、安全備份恢復等。比如身份識別的目的在于防止非企業(yè)人員訪問企業(yè)資源,并且可以根據(jù)員工級別分配人員訪問權限,達到企業(yè)敏感信息的安全保障。

3 企業(yè)信息安全體系部署的建議

根據(jù)企業(yè)信息安全建設架構,在滿足終端安全、網(wǎng)絡安全、應用安全、數(shù)據(jù)安全等安全防護體系時,我們需要重點關注以下幾個方面:

3.1 實施終端安全,規(guī)范終端用戶行為

在企業(yè)信息安全事件中,數(shù)字化成果泄漏是屬于危害最為嚴重的一種行為。企業(yè)信息安全體系建立前,企業(yè)員工對自己的個人行為不規(guī)范,造成了員工可以通過很多方式實現(xiàn)信息外漏。比如通過U盤等存儲介質(zhì)拷貝或者通過聊天軟件傳遞企業(yè)的核心數(shù)字化成果。對于這類高危的行為,我們在建設安全防護體系時,僅僅靠上網(wǎng)行為管理控制是不能完全杜絕的。應該當用戶接入企業(yè)信息化平臺前,就對用戶的終端系統(tǒng)進行安全規(guī)范檢查,符合企業(yè)制定的終端安全要求后再接入企業(yè)內(nèi)網(wǎng)。同時配合上網(wǎng)行為管理的策略對員工的上網(wǎng)行為進行審計,使得企業(yè)員工的操作行為符合企業(yè)制定的上網(wǎng)行為規(guī)范,從終端用戶提升企業(yè)的防護水平。

3.2 建設安全完善的VPN接入平臺

企業(yè)在信息化建設中,考慮總部和分支機構的信息化需要,必然會采用VPN方式來解決企業(yè)的需求。不論是采用SSL VPN還是IPSecVPN,VPN加密傳輸都是通用的選擇。對于分支機構可以考慮專用的VPN設備和總部進行IPSec連接,這種方式更安全可靠穩(wěn)定。對于移動終端的接入可以考慮SSL VPN方式。在這種情況下,就必須做好對于移動終端的身份認證識別。其實我們在設備采購時,可以要求設備商做好多種接入方式的需求,并且?guī)椭髽I(yè)搭建認證方式。這將有利于企業(yè)日常維護,提升企業(yè)信息系統(tǒng)的VPN接入水平。

3.3 優(yōu)化企業(yè)網(wǎng)絡的隔離性和控制性

在規(guī)劃企業(yè)網(wǎng)絡安全邊際時,要面對多個部門和分支結(jié)構,合理的規(guī)劃安全網(wǎng)絡邊際將是關鍵。企業(yè)的網(wǎng)絡體系可以分為:物理層;數(shù)據(jù)鏈路層;網(wǎng)絡層;傳輸層;會話層;表示層;應用層。各體系之間的相互隔離和訪問策略是防止企業(yè)信息安全風險的重要環(huán)節(jié)。在企業(yè)多樣化網(wǎng)絡環(huán)境的背景下,根據(jù)企業(yè)安全優(yōu)先級及面臨的風險程度,做出適合企業(yè)信息安全的防護策略和訪問控制策略。根據(jù)相應防護設備進行深層次的安全防護,真正實現(xiàn)OSI的L2~L7層的安全防護。

3.4 實現(xiàn)企業(yè)信息安全防護體系的統(tǒng)一管理

為企業(yè)信息安全構建統(tǒng)一的安全防護體系,重要的優(yōu)勢就是能實現(xiàn)對全網(wǎng)安全設備及安全事件的統(tǒng)一管理,做到對整個網(wǎng)絡安全事件的“可視、可控和可管”。企業(yè)采購的各種安全設備工作時會產(chǎn)生大量的安全日志,如果單靠相關人員的識別日志既費時效率又低。而且不同安全廠商的日志報表還存在很大差異。所以當安全事件發(fā)生時,企業(yè)管理員很難實現(xiàn)對信息安全的統(tǒng)一分析和管理。所以在企業(yè)在構建信息安全體系時,就必須要考慮安全設備日志之間的統(tǒng)一化,設定相應的訪問控制和安全策略實現(xiàn)日志的歸類分析。這樣才能做到對全網(wǎng)安全事件的“可視、可控和可管”。

4 結(jié)束語

信息安全的主要內(nèi)容就是保護企業(yè)的數(shù)字化成果的安全和完整。企業(yè)在實施信息安全防護過程中是一個長期的持續(xù)的工作。我們需要在前期做好詳盡的安全防護規(guī)劃,實施過程中根據(jù)不斷出現(xiàn)的情況及時調(diào)整安全策略和訪問控制,保證備份數(shù)據(jù)的安全性可靠性。同時全體企業(yè)員工一起遵守企業(yè)制定的信息安全防護管理規(guī)定,這樣才能為企業(yè)的信息安全提供生命力和主動性,真正為企業(yè)的核心業(yè)務提供安全保障。

參考文獻

[1]郝宏志.企業(yè)信息管理師[M].北京:機械工業(yè)出版社,2005.

[2]蔣培靜.歐美國家如何培養(yǎng)網(wǎng)絡安全意識[J].中國教育網(wǎng)絡,2008(7):48-49.

作者簡介

常勝(1982-),男,回族,天津市人?,F(xiàn)為中國市政工程華北設計研究總院有限公司工程師。研究方向為網(wǎng)絡安全與服務器規(guī)劃部署。

第2篇:企業(yè)信息安全要求范文

關鍵詞:信息安全防護體系;風險評估;信息安全隱患;應急預案

中圖分類號:F470.6 文獻標識碼:A 文章編號:

信息安全管理是信息安全防護體系建設的重要內(nèi)容,也是完善各項信息安全技術措施的基礎,而信息安全管理標準又是信息安全管理的基礎和準則,因此要做好信息安全防護體系建設,必須從強化管理著手,首先制定信息安全管理標準。電力系統(tǒng)借鑒 ISO27000國際信息安全管理理念,并結(jié)合公司信息安全實際情況,制訂了信息安全管理標準,明確了各單位、各部門的職責劃分,固化了信息系統(tǒng)安全檢測與風險評估管理、信息安全專項檢查與治理、信息安全預案管理、安全事件統(tǒng)計調(diào)查及組織整改等工作流程,促進了各單位信息安全規(guī)范性管理,為各項信息安全技術措施奠定了基礎,顯著提升了公司信息安全防護體系建設水平。

1電力系統(tǒng)信息安全防護目標

規(guī)范、加強公司網(wǎng)絡和信息系統(tǒng)安全的管理,確保信息系統(tǒng)持續(xù)、穩(wěn)定、可靠運行和確保信息內(nèi)容的機密性、完整性、可用性,防止因信息系統(tǒng)本身故障導致信息系統(tǒng)不能正常使用和系統(tǒng)崩潰, 抵御黑客、病毒、惡意代碼等對信息系統(tǒng)發(fā)起的各類攻擊和破壞,防止信息內(nèi)容及數(shù)據(jù)丟失和失密,防止有害信息在網(wǎng)上傳播,防止公司對外服務中斷和由此造成的電力系統(tǒng)運行事故,并以此提升公司信息安全的整體管理水平。

2信息安全防護體系建設重點工作

電力系統(tǒng)信息安全防護體系建設應遵循“強化管理、標準先行”的理念。下面,結(jié)合本公司信息安全防護體系建設經(jīng)驗,對信息安全防護體系建設四項重點工作進行闡述。

2.1 信息系統(tǒng)安全檢測與風險評估管理

信息管理部門信息安全管理專職根據(jù)年度信息化項目綜合計劃,每年在綜合計劃正式下達后,制定全年新建應用系統(tǒng)安全檢測與風險評估計劃,確保系統(tǒng)上線前符合國網(wǎng)公司信息安全等級保護要求。 應用系統(tǒng)在建設完成后 10個工作日內(nèi),按照《國家電網(wǎng)公司信息系統(tǒng)上下線管理辦法》要求進行上線申請。 由信息管理部門信息安全管理專職在接到上線申請 10個工作日內(nèi), 組織應用系統(tǒng)專職及業(yè)務主管部門按照《國家電網(wǎng)公司信息安全風險評估實施指南》對系統(tǒng)的安全性進行風險評估測試,并形成評估報告交付業(yè)務部門。 對應用系統(tǒng)不滿足安全要求的部分, 業(yè)務部門應在收到評估報告后 10個工作日內(nèi)按照《國家電網(wǎng)公司信息安全加固實施指南(試行)》進行安全加固,加固后 5個工作日內(nèi),經(jīng)信息管理部門復查,符合安全要求后方可上線試運行。應用系統(tǒng)進入試運行后,應嚴格做好數(shù)據(jù)的備份、保證系統(tǒng)及用戶數(shù)據(jù)的安全,對在上線后影響網(wǎng)絡信息安全的,信息管理部門有權停止系統(tǒng)的運行。

2.2 信息安全專項檢查與治理

信息管理部門信息安全管理專職每年年初制定公司全年信息安全專項檢查工作計劃。檢查內(nèi)容包括公司本部及各基層單位的終端設備、網(wǎng)絡設備、應用系統(tǒng)、機房安全等。 信息安全專職按照計劃組織公司信息安全督查員開展信息安全專項檢查工作,對在檢查中發(fā)現(xiàn)的問題,檢查后 5 個工作日內(nèi)錄入信息安全隱患庫并反饋給各相關單位,隱患分為重大隱患和一般隱患,對于重大隱患,信息安全專職負責在錄入隱患庫 10 個工作日內(nèi)組織制定重大隱患治理方案。 各單位必須在收到反饋 5 個工作日內(nèi)對發(fā)現(xiàn)的問題制定治理方案, 并限期整技信息部信息安全專職。信息管理部門安全專職對隱患庫中所有隱患的治理情況進行跟蹤,并組織復查,對未能按期完成整改的單位,信息安全專職 10 個工作日內(nèi)匯報信息管理部門負責人, 信息管理部門有權向人資部建議對其進行績效考核。

2.3 信息安全應急預案管理

信息管理部門信息安全管理專職每年 年初制定公司全年信息安全應急預案編制、演練及修訂計劃,并下發(fā)給各單位。各單位信息安全專職按照計劃組織本單位開展相關預案的制定,各種預案制定后 5 個工作日內(nèi)交本部門主要負責人審批,審批通過后 5 個工作日內(nèi)報信息管理部門信息安全專職。各單位信息安全專職負責組織對系統(tǒng)相關人員進行應急預案培訓,并按年度計劃開展預案演練。 根據(jù)演練結(jié)果,10 個工作日內(nèi)組織對預案進行修訂。各單位信息安全預案應每年至少進行一次審查修訂, 對更新后的內(nèi)容, 需在 10 個工作日內(nèi)經(jīng)本部門領導審批,并在審批通過后 5 個工作日內(nèi)報信息管理部門備案。

2.4 安全事件統(tǒng)計、調(diào)查及組織整改

信息管理部門信息安全專職負責每月初對公司本部及各基層單位上個月信息安全事件進行統(tǒng)計。 各系統(tǒng)負責人、各單位信息安全管理專職負責統(tǒng)計本系統(tǒng)、單位的信息安全事件,并在每月 30 日以書面形式報告信息管理部門信息安全專職, 對于逾期未報的按無事件處理。 出現(xiàn)信息安全事件后 5 個工作日內(nèi),信息管理部門信息安全專職負責組織對事件的調(diào)查,調(diào)查過程嚴格按照《國家電網(wǎng)公司信息系統(tǒng)事故調(diào)查及統(tǒng)計規(guī)定(試行)》執(zhí)行,并組織開展信息系統(tǒng)事故原因分析,堅持“四不放過”原則,調(diào)查后 5 個工作日內(nèi)組織編寫事件調(diào)查報告。調(diào)查、分析完成后 10 個工作日內(nèi)組織落實各項整改措施。信息安全事件調(diào)查嚴格執(zhí)行《國家電網(wǎng)公司網(wǎng)絡與信息系統(tǒng)安全運行情況通報制度》制度。

3評估與改進

通過執(zhí)行“強化管理、標準先行”的信息安全防護體系建設理念和實施電力公司信息安全管理標準, 明確了各項工作的“5W1H”。 使信息管理部門和各部門及下屬各單位的接口與職責劃分進一步清晰,有效協(xié)調(diào)了相互之間的分工協(xié)作。 并通過 ITMIS 系統(tǒng)進行對上述流程進行固化,在嚴格執(zhí)行國網(wǎng)公司、省公司各項安全要求的基礎上簡化了工作流程, 搭建了信息安全防護建設工作的基礎架構,實現(xiàn)了信息安全防護建設工作的體系化。同時在標準的 PDCA 四階段循環(huán)周期通過管理目標、職責分工,管理方法,管理流程、考核要求,文檔記錄 6 種管理要素對信息系統(tǒng)安全檢測與風險評估管理、信息安全專項檢查與治理、信息安全預案管理、安全事件統(tǒng)計調(diào)查及組織整改4 項管理內(nèi)容進行持續(xù)改進,使信息安全防護體系建設工作的質(zhì)量有了質(zhì)變提升。 在信息安全防護建設工作的基礎架構搭建完成后,江蘇省電力公司常州供電公司下一步將重點完善信息安全防護體系中技術體系建設,管理與技術措施并舉,構建堅強信息安全防護體系。

第3篇:企業(yè)信息安全要求范文

中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2010)06-1317-02

On Security Architecture for Enterprise Information Systems to Establish

LI Yu-lu

(Changzhou, Jiangsu Electric Power Company Power Company Information Center, Changzhou 213003, China)

Abstract: To improve the security of enterprise information systems that needs to start from the structure. This article describes the system structure of information system security status and structure of the standardized safety systems analysis, which describes the security requirements to meet the various security elements in the relationship between the proposed enterprise information security architecture model, in order to guide enterprise the development of safety standards, the system provides a reference.

Key words: enterprise information security; architecture; safety standard system

企業(yè)信息系統(tǒng)安全結(jié)構是計算機網(wǎng)絡安全系統(tǒng)結(jié)構的擴展。20 世紀80 年代末、90 年代初,信息系統(tǒng)安全系統(tǒng)結(jié)構的重要性開始引起發(fā)達國家關注。如,美國國家安全局(NAS) 20 世紀90 年代公布的國防信息系統(tǒng)安全計劃(DISSP) ,是由安全特性、系統(tǒng)組成部分、擴展的IS0 協(xié)議層等三維構成,它不僅考慮了信息傳輸安全、網(wǎng)絡安全,還考慮了信息處理安全、端系統(tǒng)及接口安全問題;此外,還增加了互操作性、質(zhì)量保證、性能等安全特性。2001 年美國國家安全局(NAS )制定了信息技術保證框架(IATF),是從整體、過程的角度看待信息安全問題,它強調(diào)以人、技術、操作這三個核心原則,關注四個信息安全保障領域:保護網(wǎng)絡和基礎設施、保護邊界、保護計算環(huán)境、支撐基礎設施,并在4 個重點技術領域?qū)嵤┲T如應用層護衛(wèi)、電路、文件加密等多種安全技術手段。再如,美國國防部所屬的國防信息系統(tǒng)局(DISA)1996 年制定了防御目標安全系統(tǒng)結(jié)構框架(DGSA V3.0),從系統(tǒng)單元構成的角度,提出了信息系統(tǒng)中各單元分的安全服務配置框架,目的是要從安全系統(tǒng)結(jié)構的高度對信息統(tǒng)的安全保護提出技術上和管理上的規(guī)范要求等。

在信息系統(tǒng)安全系統(tǒng)結(jié)構理論研究領域,有人提出開放分布式系統(tǒng)的安全結(jié)構;有人對網(wǎng)絡及信息系安全系統(tǒng)結(jié)構進行了初步的探討和研究,提出了計算機網(wǎng)絡實體安全系統(tǒng)結(jié)構和基于智能協(xié)作技術的信息系統(tǒng)安全系結(jié)構概念模型等。通過對上述的研究分析,可以看到國內(nèi)外己有的安全系統(tǒng)結(jié)構和框架都描述了信息系統(tǒng)相關的安全系統(tǒng)結(jié)構及模型等安全要素,它們各不相同,實現(xiàn)方法等也并且都不完備。由于研究問題的層次和角度不同,對安全系統(tǒng)結(jié)構的具體含義的理解也同,從而導致信息系統(tǒng)安全系統(tǒng)結(jié)構在概念上、類型上及結(jié)構上的不一致,因此,為使信息系統(tǒng)安全系統(tǒng)結(jié)構研究和應用共同的概念依據(jù)和構建基礎,需要加強對信息系統(tǒng)安全結(jié)構的一些基本問題,諸如安全結(jié)構的類型及特征、構成要素及構建步驟等內(nèi)容的學習研究,以引導企業(yè)安全系統(tǒng)的建立。

1 信息系統(tǒng)安全系統(tǒng)結(jié)構組成要素

實現(xiàn)信息安全系統(tǒng)結(jié)構的安全,要從多個方面考慮,通常定義的包括安全屬性、系統(tǒng)組成、安全策略、安全模型、安全機制等5 個方面。在每一個方面中,還可以繼續(xù)劃分多個層次;對于一個給定的層次,包括著多種安全要素。

1.1 安全屬性

安全本身是對信息系統(tǒng)一種屬性要求,信息系統(tǒng)通過安全服務來實現(xiàn)安全性?;镜陌踩瞻俗R與鑒別、保密性、完整性、可用性等。在1S07498 一2 中對安全服務和安全機制的對應關系給予了描述。它的核心內(nèi)容是將5 大類安全服務:身份鑒別、訪問控制、數(shù)據(jù)保密、數(shù)據(jù)完整性、不可否認性及提供這些服務的8 類安全機制及其相應的0SI 安全管理等放置于0SI模型的7層協(xié)議中,以實現(xiàn)端系統(tǒng)信息安全傳送的通信通路。這樣從安全性到安全服務機制到具體安全技術手段形成了安全屬性的不同層次。

1.2 系統(tǒng)組成

系統(tǒng)組成描述信息系統(tǒng)的組成要素。對于信息系統(tǒng)的組成劃分,有不同的方法??梢苑譃橛布蛙浖?在硬件和軟件中又可以進一步地劃分。對于分布的信息系統(tǒng),可以將信息系統(tǒng)資源分為用戶單元和網(wǎng)絡單元,即將信息系統(tǒng)的組成要素分為本地計算環(huán)境和網(wǎng)絡,以及計算環(huán)境邊界。本地計算環(huán)境和網(wǎng)絡都還可以進一步劃分等。例如本地計算環(huán)境可以分為端系統(tǒng)、中繼系統(tǒng)和局部通信系統(tǒng)。端系統(tǒng)作為信息處理單元,可以繼續(xù)分為應用平臺和應用軟件;應用平臺包括操作系統(tǒng)、軟件工程服務、分布式服務、數(shù)據(jù)管理等:應用軟件中包括消息處理、web 應用等。

1.3 安全策略

在安全系統(tǒng)結(jié)構中,安全策略指用于限定一個系統(tǒng)、實體或?qū)ο筮M行安全相關活動的規(guī)則。 即要表明在安全范圍內(nèi)什么是允許的,什么是不允許的。它直體現(xiàn)了安全需求,井且也有面向不同層次、視圖及原理的安全策略。其描述內(nèi)容和形式也各不相同。對于抽象型和一般型安全系統(tǒng)結(jié)構而言,安全策略主要是對加密、訪問控制、多級安全等策略的通用規(guī)定,不涉及具體的軟硬件實現(xiàn);而對于具體型安全系統(tǒng)結(jié)構,其安全策咯則是要對實現(xiàn)系統(tǒng)安全功能的主體和客體特性進行具體的標識和說明,亦即要描述允許或禁止系統(tǒng)和用戶何時執(zhí)行哪些動作,井要能反射到軟硬件安全組件的具體配置,如,網(wǎng)絡操作系統(tǒng)的帳戶策略用戶權限策略和審計策略等安全策略就最終體現(xiàn)為發(fā)全功能的各種選項等。

1.4 安全模型

安全模型用于準確描述系絞在功能和結(jié)構上的安全特性,它反映了一定的支全策略,是引導、驗證安全系統(tǒng)開發(fā)設計的概念模型要求。對安全策略及形式化模型的研究起源于美國軍方對高安全級別的計算機系統(tǒng)的需求,它為計算機操作系統(tǒng)的安全性設計提供了理論基礎。這些安全模型通常被認為是經(jīng)典安全模型。經(jīng)典安全模型主要由身份標識、認證、授權、審核等4個環(huán)節(jié)構成。經(jīng)典安全模型的前提假設是:引用監(jiān)視器是主體對客體進行訪問的唯一路徑。身份標識與認證的機制是可靠的;審核文件和訪問控制數(shù)據(jù)庫本身受到充分的保護。而這些前提在實際的信怠系統(tǒng)中并不一定成立。因此,信息系統(tǒng)安全摸型的描述應反映相應層次和視圖上的安全策略。

1.5 安全機制

安全機制是實現(xiàn)信息系統(tǒng)安全需求及空全策略的各種措施,具體可以表現(xiàn)為所需要的安全白標準、安全協(xié)議、安全技術、安全單元等。對于不同層次、不同視圖及不同原理的安全系統(tǒng)結(jié)構,安全機制側(cè)重點也有所不同。例如:OSI安全系統(tǒng)結(jié)構中建議采用7種安全機制。而對于特定系統(tǒng)的安全系統(tǒng)結(jié)構,則要進一步說明有關安全機制的具體實現(xiàn)技術,如認證機制的實現(xiàn)可以有口令、密碼技術及實體特征鑒別等方法。

2 數(shù)學模型

把整個信息系統(tǒng)安全系統(tǒng)結(jié)構可看成為一個空間:組成信息系統(tǒng)安全系統(tǒng)結(jié)構的這些方面稱之為維,層次劃分中的特定層次下所包括的安全要素值均是每一維上的具體元素值的體現(xiàn),通用的信息系統(tǒng)安全系統(tǒng)結(jié)構就是具有多維、多層和動態(tài)特性的空間(這里只是借用維空間的概念,除了考慮各維元素之間的相互作用而外并不考慮維空間中各個元素之間的運算)。通過數(shù)學描述,可以更好地對知識進行歸納和運用:一方面更容易量化,使得描述更為清晰;另一方面可以指導新的未知問題的探索,演繹出新的概念或理論。

3 結(jié)束語

企業(yè)信息系統(tǒng)安全系統(tǒng)結(jié)構的研究是一項復雜的系統(tǒng)工程。需要我們用系統(tǒng)工程的概念、理論和方法來研究、開發(fā)和實施系統(tǒng)安全結(jié)構的設計,安全系統(tǒng)結(jié)構理論就是要從整體上解決信息系統(tǒng)的安全問題,但目前在很多企業(yè)對安全系統(tǒng)結(jié)構的概念、類型、構建等問題上還沒有得到系統(tǒng)化的研究,以上從學習研究的角度對目前國內(nèi)外安全系統(tǒng)結(jié)構和安全系統(tǒng)的研究進行了粗淺的學習分析,通過分析使對整個安全系統(tǒng)結(jié)構的認識進一步加深和清晰化,從而提出企業(yè)信息安全系統(tǒng)結(jié)構和模型。要使企業(yè)信息系統(tǒng)安全系統(tǒng)結(jié)構適合企業(yè)信息系統(tǒng)安全、全面、準確、可行的要求,同時要適應信息技術及其安全技術的飛速發(fā)展。只有這樣,才能確保信息安全系統(tǒng)適應更好地為企業(yè)服務。

參考文獻:

第4篇:企業(yè)信息安全要求范文

隨著近年來信息安全話題的持續(xù)熱議,越來越多的企業(yè)管理人員開始關注這一領域,針對黑客入侵、數(shù)據(jù)泄密、系統(tǒng)監(jiān)控、信息管理等問題陸續(xù)采取了一系列措施,開始構筑企業(yè)的信息安全防護屏障。然而在給企業(yè)做咨詢項目的時候,還是經(jīng)常會聽到這樣的話:

“我們已經(jīng)部署了防火墻、入侵檢測設備防范外部黑客入侵,采購了專用的數(shù)據(jù)防泄密軟件進行內(nèi)部信息資源管理,為什么還是會出現(xiàn)企業(yè)敏感信息外泄的問題?”

“我們的IT運營部門建立了系統(tǒng)的運行管理和安全監(jiān)管制度和體系,為什么卻遲遲難以落實?各業(yè)務部門都大力抵制相關制度和技術措施的應用推廣?!?/p>

“我們已經(jīng)在咨詢公司的協(xié)助下建立了ISMS體系,投入了專門的人力進行安全管理和控制,并且通過了企業(yè)信息安全管理體系的認證和審核,一開始的確獲得了顯著的成效,但為什么經(jīng)過一年的運行后,卻發(fā)現(xiàn)各類安全事件有增無減?”

這些問題的出現(xiàn)往往是由于管理人員采取了“頭痛醫(yī)頭,腳痛醫(yī)腳”的安全解決方案,自然顧此失彼,難以形成有效的安全防護能力。上述的三個案例,案例一中企業(yè)發(fā)生過敏感信息外泄事件,于是采購了專用的數(shù)據(jù)防泄密軟件,卻并未制定相關的信息管理制度和進行員工保密意識培訓,結(jié)果只能是防外不防內(nèi),還會給員工的正常工作帶來諸多不便;案例二中企業(yè)管理者認識到安全管理的重要性,要求相關部門編制了大量的管理制度和規(guī)范,然而缺乏調(diào)研分析和聯(lián)系業(yè)務的落地措施,不切實際的管理制度最終因為業(yè)務部門的排斥而束之高閣;案例三中ISMS的建立有效地規(guī)范了公司原有的技術保障體系,然而認證通過后隨著業(yè)務發(fā)展卻并未進行必要的改進和優(yōu)化,隨著時間的推移管理體系與實際工作脫節(jié)日益嚴重,各類安全隱患再次出現(xiàn)也就不足為奇。

其實,企業(yè)面臨的各種安全威脅和隱患,與人體所面臨的各種疾病有諸多類似之處,我們常說西醫(yī)治標不治本,指的就是采取分片分析的發(fā)現(xiàn)問題―分析問題―解決問題的思路處理安全威脅,通過技術手段的積累雖然可以解決很多問題,但總會產(chǎn)生疲于應付的狀況,難以形成有效的安全保障體系;類比于中醫(yī)理論將人體看為一個互相聯(lián)系的整體,信息安全管理體系的建立正是通過全面的調(diào)研分析,充分發(fā)現(xiàn)企業(yè)面臨的各種問題和隱患,緊密聯(lián)系業(yè)務工作和安全保障需要,形成系統(tǒng)的解決方案,通過動態(tài)的維護機制形成完善的防護體系。

總體來說,信息安全管理體系是企業(yè)在整體或特定范圍內(nèi)建立信息安全方針和目標,以及完成這些目標所用方法的體系。它是基于業(yè)務風險方法,來建立、實施、運行、監(jiān)視、評審、保持和改進企業(yè)的信息安全系統(tǒng),目的是保障企業(yè)的信息安全。它是直接管理活動的結(jié)果,表示成方針、原則、目標、方法、過程、核查表(Checklists)等要素的集合,涉及到人、程序和信息系統(tǒng)。

針對ISMS的建立,我們可以從中醫(yī)“望聞問切對癥下藥治病于未病”的三個角度來進行分析和討論:

第一,“望聞問切”,全面的業(yè)務、資產(chǎn)和風險評估是ISMS建設的基礎;

第二,“對癥下藥”,可落實、可操作、可驗證的管理體系是ISMS建設的核心;

第三,“治病于未病”,持續(xù)跟蹤,不斷完善的思想是ISMS持續(xù)有效的保障。

望聞問切

為了完成ISMS建設,就必然需要對企業(yè)當前信息資源現(xiàn)狀進行系統(tǒng)的調(diào)研和分析,為企業(yè)的健康把把脈,畢竟我們需要在企業(yè)現(xiàn)有的信息條件下進行ISMS建設。

首先,自然是對企業(yè)現(xiàn)有資源的梳理,重點可以從以下幾個方面入手:

1.業(yè)務主體(設備、人員、軟件等)。

業(yè)務主體是最直觀、最直接的信息系統(tǒng)資源,比如多少臺服務器、多少臺網(wǎng)絡設備,都屬于業(yè)務主體的范疇,按照業(yè)務主體本身的價值進行一個估值,也是進行整個信息系統(tǒng)資源價值評估的基礎評估。由于信息技術日新月異的變化,最好的主體未必服務于最核心的信息系統(tǒng),同時價值最昂貴的設備未必最后對企業(yè)的價值也最大。在建立體系的過程中,對業(yè)務設備的盤點和清理是很重要的,也是進行基礎業(yè)務架構優(yōu)化的一個重要數(shù)據(jù)。

2.業(yè)務數(shù)據(jù)(服務等)。

業(yè)務數(shù)據(jù)是現(xiàn)在企業(yè)信息化負責人逐步關注的方面,之前我們只關注設備的安全,網(wǎng)絡的良好工作狀態(tài),往往忽略了數(shù)據(jù)對業(yè)務和企業(yè)的重要性?,F(xiàn)在,核心的業(yè)務數(shù)據(jù)真正成為信息工作人員最關心的信息資產(chǎn),業(yè)務數(shù)據(jù)存在于具體設備的載體之上,很多還需要軟件容器,所以,單純地看業(yè)務數(shù)據(jù)意義也不大,保證業(yè)務數(shù)據(jù),必須保證其運行的平臺和容器都是正常的,所以,業(yè)務數(shù)據(jù)也是我們重點分析的方面之一。

3.業(yè)務流程。

企業(yè)所有的信息資源都是通過業(yè)務流程實現(xiàn)其價值的,如果沒有業(yè)務流程,所有的設備和數(shù)據(jù)就只是一堆廢銅爛鐵。所以,對業(yè)務流程的了解和分析也是很重要的一個方面。

以上三個方面是企業(yè)信息資源的三個核心方面,孤立地看待任何一個方面都是毫無意義的。

其次,當我們對企業(yè)的當前信息資產(chǎn)進行分析以后需要對其價值進行評估。

評估的過程就是對當前的信息資產(chǎn)進行量化的數(shù)據(jù)分析,進行安全賦值,我們將信息資產(chǎn)的安全等級劃分為 5 級,數(shù)值越大,安全性要求越高,5 級的信息資產(chǎn)定義非常重要,如果遭到破壞可以給企業(yè)的業(yè)務造成非常嚴重的損失。1 級的信息資產(chǎn)定義為不重要,其被損害不會對企業(yè)造成過大影響,甚至可以忽略不計。對信息資產(chǎn)的評估在自身價值、信息類別、保密性要求、完整性要求、可用性要求和法規(guī)合同符合性要求等 5 個方面進行評估賦值,最后信息資產(chǎn)的賦值取 5 個屬性里面的最大值。

這里需要提出的是,這里不僅僅應該給硬件、軟件、數(shù)據(jù)賦值,業(yè)務流程作為核心的信息資源也必須賦值,而且?guī)讉€基本要素之間的安全值是相互疊加的,比如需要運行核心流程的交換機的賦值,是要高于需要運行核心流程的交換機的賦值的。很多企業(yè)由于歷史原因,運行核心業(yè)務流程的往往是比較老的設備,在隨后的分析可以看得出來,由于其年代的影響,造成資產(chǎn)的風險增加,也是需要重點注意的一點。

最后,對企業(yè)當前信息資產(chǎn)的風險評估。

風險評估是 ISMS 建立過程中非常重要的一個方面,我們對信息資產(chǎn)賦值的目的就是為了計算風險值,從而我們可以看出整個信息系統(tǒng)中風險最大的部分在哪里。對于風險值的計算有個簡單的參考公式:風險值 = 資產(chǎn)登記 + 威脅性賦值 + 脆弱性賦值(特定行業(yè)也有針對性的經(jīng)驗公式)。

ISMS 建設的最終目標是將整個信息系統(tǒng)的風險值控制在一定范圍之內(nèi)。

對癥下藥

經(jīng)過上階段的調(diào)研和分析,我們對企業(yè)面臨的安全威脅和隱患有一個全面的認識,本階段的ISMS建設重點根據(jù)需求完成“對癥下藥”的工作:

首先,是企業(yè)信息安全管理體系的設計和規(guī)劃。

在風險評估的基礎上探討企業(yè)信息安全管理體系的設計和規(guī)劃,根據(jù)企業(yè)自身的基礎和條件建立ISMS,使其能夠符合企業(yè)自身的要求,也可以在企業(yè)本身的環(huán)境中進行實施。管理體系的規(guī)范針對不同企業(yè)一定要具體化,要和企業(yè)自身具體工作相結(jié)合,一旦缺乏結(jié)合性ISMS就會是孤立的,對企業(yè)的發(fā)展意義也就不大了。我們一般建議規(guī)范應至少包含三層架構,見圖1。

圖1 信息安全管理體系

一級文件通過綱領性的安全方針和策略文件描述企業(yè)信息安全管理的目標、原則、要求和主要措施等頂層設計;二級文件主要涉及業(yè)務工作、工程管理、系統(tǒng)維護工作中具體的操作規(guī)范和流程要求,并提供模塊化的任務細分,將其細化為包括“任務輸入”、“任務活動”、“任務實施指南”和“任務輸出”等細則,便于操作人員根據(jù)規(guī)范進行實施和管理人員根據(jù)規(guī)范進行工作審核;三級文件則主要提供各項工作和操作所使用的表單和模板,以便各級工作人員參考使用。

同時,無論是制定新的信息管理規(guī)章制度還是進行設備的更換,都要量力而行,依據(jù)自己實際的情況來完成。例如,很多公司按照標準設立了由企業(yè)高級領導擔任組長的信息安全領導小組和由信息化管理部門、后勤安全部門和審計部門組成的信息安全辦公室,具體負責企業(yè)的信息安全管理工作,在各級信息化技術部門均設置系統(tǒng)管理員、安全管理員、安全審計員,從管理結(jié)構設計上保證人員權限互相監(jiān)督和制約。但是事實上繁多的職能部門和人員不僅未能提升企業(yè)信息系統(tǒng)安全性,反而降低了整個信息系統(tǒng)的工作效率。

其次,是企業(yè)信息安全管理體系的實施和驗證

實施過程是最復雜的,實施之后需要進行驗證。實施是根據(jù) ISMS 的設計和體系規(guī)劃來做的,是個全面的信息系統(tǒng)的改進工作,不是單獨的設備更新,也不是單獨的管理規(guī)范的,需要企業(yè)從上至下,全面地遵照執(zhí)行,要和現(xiàn)有系統(tǒng)有效融合。

這里的現(xiàn)有系統(tǒng)既包含了現(xiàn)有的業(yè)務系統(tǒng),也包含了現(xiàn)有的管理體制。畢竟ISMS是從國外傳入的思路和規(guī)范,雖然切合國人中醫(yī)理論的整體思維方式,但在國內(nèi)水土不服是正常的,主要表現(xiàn)就在于是否符合企業(yè)本身的利益,是否能夠和企業(yè)本身的業(yè)務、管理融合起來。往往最難改變的還是企業(yè)管理者的固有思維,要充分理解到進行信息安全管理體系的建設是一個為企業(yè)長久發(fā)展必須進行的工程。

到目前為止,和企業(yè)本身業(yè)務融合并沒有完美的解決方案,需要企業(yè)領導組織本身、信息系統(tǒng)技術人員、業(yè)務人員和負責 ISMS 實施的工程人員一同討論決定適合企業(yè)自身的實施方案

最后,是企業(yè)信息安全管理體系的認證和審核

針對我們周圍很多重認證,輕實施的思想,這里有必要談一下這個問題,認證僅代表認證過程中的信息體系是符合 ISO27000(或者其他國家標準)的規(guī)范要求,而不是說企業(yè)通過認證就是一個在信息安全管理體系下工作的信息系統(tǒng)了。更重要的是貫徹實施整個體系的管理方式和管理方法。只有安全的思想深入人心了,管理制度才能做到“不只是掛在墻上的一張紙,放在抽屜里的一本書”。

“治病于未病”

企業(yè)信息安全管理體系需要動態(tài)改進和和優(yōu)化,畢竟企業(yè)和信息系統(tǒng)是不斷發(fā)展和變化的,ISMS 是建立在企業(yè)和信息系統(tǒng)基礎之上的,也需要有針對性地發(fā)展和變化,道高一尺魔高一丈,必須通過各種方法,進行不斷地改進和完善,才有可能保證ISMS 系統(tǒng)的持續(xù)作用。

就像我們前面案例中提到的某公司一樣,缺乏了持續(xù)改進和跟蹤完善的手段,經(jīng)過測評的管理體系僅僅一年之后就失去了大部分作用。對于這些企業(yè)及未來即將建立ISMS的企業(yè),為了持續(xù)運轉(zhuǎn)ISMS,我們認為可以主要從以下三個方面著手:

第一,人員。

人員對于企業(yè)來講是至關重要且必不可缺的,在ISMS建立過程中,選擇合適的人員參與體系建立是ISMS建立成功的要素之一。在持續(xù)運轉(zhuǎn)過程中,人員都應該投入多少呢?通常在體系建立過程中,我們會建議所有體系管理范圍內(nèi)的部門各自給出一名信息安全代表作為安全專員配合體系建立實施,且此名專員日后要持續(xù)保留,負責維護各自部門的信息資產(chǎn)、安全事件跟蹤匯報、配合內(nèi)審與外審、安全相關記錄收集維護等信息安全相關工作。

但很多事情是一種企業(yè)文化的培養(yǎng),需要更多的人員甚至全員參與,例如面向全員的定期信息安全意識培訓,面向?qū)I(yè)人員的信息安全技術培訓等,因此對于企業(yè)來講,除了必要的體系維護人員,在ISMS持續(xù)運轉(zhuǎn)過程中,若能將企業(yè)內(nèi)的每名員工都納入到信息安全管理范圍內(nèi),培養(yǎng)出“信息安全,人人有責”的企業(yè)氛圍,則會為企業(yè)帶大巨大的潛在收益。且有些企業(yè)在面向自身員工展開信息安全各項活動的同時,還會納入客戶、合作伙伴、供應商等需要外界相關人員的參與,對外也樹立起自身對重視信息安全的形象,大力降低外界給企業(yè)帶來的風險。

第二,體系。

ISMS自身的持續(xù)維護,往往是企業(yè)建立后容易被忽視的內(nèi)容,一套信息安全管理文檔并不是在日益變化的企業(yè)中一直適用的,對于信息資產(chǎn)清單、風險清單、體系中的管理制度流程等文檔每年至少需要進行一次正式的評審回顧,這項活動由于也是在相關標準中明確指出的,企業(yè)通常不會忽略;但日常對于這些文檔記錄的更新也是必不可少的,尤其是重要資產(chǎn)發(fā)生重大變更,組織業(yè)務、部門發(fā)生重大調(diào)整時,都最好對ISMS進行重新的評審,必要時重新進行風險評估,有助于發(fā)現(xiàn)新出現(xiàn)的重大風險,并且可以將資源合理調(diào)配,將有限的資源使用到企業(yè)信息安全的“短板”位置。

唯一不變的就是變化,企業(yè)每天所面臨的風險同樣也不是一成不變的,在更新維護信息資產(chǎn)清單的同時,對風險清單的回顧也是不可疏忽的,而這點往往是很多信息安全專員容易忽視的內(nèi)容。持續(xù)的維護才能保證ISMS的運轉(zhuǎn),有效控制企業(yè)所面臨的各種風險。

第三,工具。

工具往往是企業(yè)在建立ISMS過程中投入大量資金的方面,工具其實是很大的一個泛指,例如網(wǎng)絡安全設備、備份所需設備、防病毒軟件、正版軟件、監(jiān)控審計等各類工具,即使沒有實施ISMS,企業(yè)在工具方面的投入也是必不可少的,但往往缺乏整體的規(guī)劃及與業(yè)務的結(jié)合,經(jīng)常會出現(xiàn)如何將幾種類似工具充分利用,如何在各工具間建立接口,使數(shù)據(jù)流通共用,哪些工具應該替換更新,數(shù)據(jù)如何遷移,甚至出現(xiàn)新購買的工具無人使用或無法滿足業(yè)務需求等問題,導致資金資源的浪費,因此在持續(xù)運轉(zhuǎn)ISMS過程中,根據(jù)風險評估報告,及信息安全專員反映的各部門業(yè)務需求各種信息數(shù)據(jù)的收集,應對工具進行統(tǒng)一規(guī)劃,盡量減少資源的浪費。

第5篇:企業(yè)信息安全要求范文

【 關鍵詞 】 新版ISO27000;軟件行業(yè);信息安全管理體系;PDCA模型

Based on the New ISO27000 to the Understanding of the Software Industry, Information Security

Wen Yan-ge Chen Wen-e Wang Gang

(Tianjin University of Commerce Tianjin 300134)

【 Abstract 】 The effective corporate security system will become the basic requirement of modern enterprise development. As the software industry, good information security system was the core of enterprise competitiveness. This article from the ISO27000 redesign is interpreted accordingly-the enterprise will how to adjust and improve their information security management system to the new standard and new control measures.

【 Keywords 】 the new iso27000; software industry; information security management system; the pdca model

1 引言

如今隨著信息化的步伐日益加速以及信息相關技術的飛猛發(fā)展,信息資源也日漸成為所有企業(yè)維持正常運轉(zhuǎn)的重要資源。信息以及載體信息系統(tǒng)、網(wǎng)絡等已經(jīng)成為了企業(yè)生存和發(fā)展的重要資產(chǎn)。然而企業(yè)的信息安全和數(shù)據(jù)泄露仍然是企業(yè)管理者關注的主要問題之一。大部分企業(yè)基于企業(yè)實際情況,通過引入國際信息安全管理體系IS027000以及通過最佳的業(yè)務實踐,建立、實施、運行、監(jiān)視、評審、保持和改進文件化的信息安全管理體系(即ISMS),實現(xiàn)對信息安全的預控、在控、可控、能控。

而隨著2013年的ISO27000的改版,各行各業(yè)勢必會根據(jù)自身信息安全的情況對信息安全體系作出調(diào)整。本文將針對軟件行業(yè)在調(diào)整下的信息安全管理體系下,如何更好地保持和改進信息安全體系作出解讀,使企業(yè)更好地依據(jù)標準體系和方法論,制定出符合企業(yè)長久發(fā)展的信息安全管理體系。

2 ISO標準

2.1 ISO標準及變化

ISO/IEC27000(Information Security Management System Fundamentals And Vocabulary)是信息安全管理體系基礎和術語,ISO/IEC 27000提供了ISMS標準族中所涉及的通用術語及基本原則,是ISMS標準族中最基礎的標準之一。最新版本于2013年9月25日。

相對于2005版,新版本對于ISMS建立的基礎進行了調(diào)整和明確,相較于2005年版本以資產(chǎn)和技術為主題,新版標準則把更多的目光投向組織業(yè)務關系,更多地考慮到組織自身及利益相關方的需求,這也是時展的整體趨勢。新版控制措施ISO27002從舊版的11個領域更新為14個領域,刪除了舊版中一些重復的和操作級的控制項。具體是舊版通信與操作管理被劃分成為兩個獨立的領域操作安全和通信安全,足以見新版對這兩個領域的重視;新增密碼學和供應關系兩個獨立領域。新版ISO27001將舊版中4.1章節(jié)即有關建立和管理ISMS的總要求獨立成出來;為了使邏輯性更加嚴謹,人力資源安全、資產(chǎn)管理以及訪問控制位置發(fā)生一定改變;從章節(jié)上講,由8個章節(jié)拓展到10個章節(jié),重新構建了ISO標準PDCA的章節(jié)構架。

2.2 關于PDCA模型

此處對于PDCA模型以及新版標準的劃分做一簡單說明:PDCA模式是國際認可的模型,很多著名的標準和管理體系都遵循這一模式。該模型是一個很好的周期性框架,每個階段都與其他階段相關聯(lián)。

PDCA模型分別由四部分組成:P(Plan)――建立ISMS, 根據(jù)組織的整體策略和目標,確定活動的計劃,包括第四至七章(組織背景、領導力、計劃、支持);D(Do)――實施和運作ISMS,實際地去完成計劃中的內(nèi)容,包括第八章(運行);C(Check)――監(jiān)視和評審ISMS,總結(jié)實施和運作的結(jié)果,查找問題,包括第九章(績效評價);A(Action)――保持和改進ISMS,對評審的結(jié)果做出處理,成功的經(jīng)驗要進行保持和推廣,失敗的教訓要尋找原因,避免下次再出現(xiàn)同樣的錯誤,沒有解決的問題放到下一個PDCA循環(huán)中,包括第十章(改進)。

PDCA模型是管理學中常用的一個模型。該模型在運作過程中,按照P-D-C-A 的順序依次進行,一次完整的循環(huán)可以看作是管理學上的一個管理周期,每經(jīng)過一次循環(huán),管理情況就會得到改善,同時進入更高的P-D-C-A周期循環(huán),組織的管理體系不斷的得到提升,管理水平也不斷提高。而這四個步驟成為一個閉環(huán),通過這個環(huán)的不斷運轉(zhuǎn),使信息安全管理體系得到持續(xù)改進,使信息安全績效螺旋上升。

新的內(nèi)容將使企業(yè)的側(cè)重點不同,從上面的論述中明顯可以看出新標準在企業(yè)建立信息安全體系之前加重了對企業(yè)內(nèi)外環(huán)境信息安全的重視,在構建信息安全體系之前需要企業(yè)全方位考慮其組織環(huán)境、企業(yè)資源、管理現(xiàn)狀,了解其發(fā)展所面臨的機遇與風險,從而高標準、高精度、高要求來對待信息安全管理工作。

對于軟件行業(yè)來說,信息安全體系已初步建立和實施,主要是監(jiān)視評審并持續(xù)改進自身信息安全體系的工作――PDCA模型的C和A。

3 軟件行業(yè)信息安全現(xiàn)狀及新標準變化下應對策略

軟件行業(yè)是對信息安全要求最高的行業(yè),也是企業(yè)引入國際信息安全管理體系IS027000通過認證最多的行業(yè)。前面已經(jīng)提到,軟件行業(yè)已經(jīng)初步建立和實施自己的信息安全體系,面對新版ISO27000的要求,大刀闊斧地重新開始構建體系勢必會給企業(yè)帶來大的浪費和困擾。因此,在新的要求下如何監(jiān)視并改進ISMS是軟件行業(yè)中企業(yè)面臨的最大的問題。ISO27001新標準中把舊版4.1獨立成章作為建立體系之前的組織環(huán)境的了解,將原來的領導力、可實現(xiàn)信息安全的計劃、資源等的支持都放入構建ISMS之前,也就是說軟件行業(yè)在監(jiān)控并改進信息安全管理體系上要從這些方面完善自身。而這些方面在其信息安全管理措施上簡單歸納為兩個方面:管理和技術。企業(yè)需要通過管理和技術的雙方面進行控制和管理來改善信息安全體系。

3.1 管理角度分析

從管理角度考慮,企業(yè)信息安全管理體系中所需采取的安全管理方面的措施主要包括物理安全管理、數(shù)據(jù)安全管理、人員安全管理、軟件安全管理、運行安全管理、系統(tǒng)安全管理、技術文檔安全管理,通過對風險的技術性控制和管理的實施、部署后,在風險控制管理中能保證防御大量存在的威脅,技術性的控制管理手段不僅包括從簡單直至復雜的各種具體的技術手段,還包括系統(tǒng)架構、系統(tǒng)培訓以及一系列的軟件、硬件的安全設備,這些措施和方式應該配套使用,從而保護關鍵數(shù)據(jù)、敏感信息及信息系統(tǒng)的功能。而這些也是ISO27001中第四章組織的背景、第五章領導力、第六章計劃、第七章支持對企業(yè)的具體要求。

主要管理措施可以從幾個方面出發(fā)。

(1)建立信息安全管理體系監(jiān)督機制、在體系運行期間,要進行有效的檢查、監(jiān)督、反饋和溝通,保證信息安全管理體系能夠按照公司制訂的方針策略,滿足公司業(yè)務的需求。

(2)根據(jù)企業(yè)自身的特點,制訂可行的獎懲制度,將信息安全的管理納入到績效考核,直接與工作和獎金掛鉤,將對違反信息安全管理體系規(guī)定進行懲罰。

(3)建立內(nèi)部審核制度,各部門應按照信息安全管理體系的要求,進行自查和由負責部門進行隨時抽查,并在每年定期組織檢查,對表現(xiàn)好的單位給予嘉獎,同時對違反的單位進行懲罰,并進行公示;同時對信息安全審計、安全事件處理和外部組織進行反饋溝通,檢查信息安全管理體系的有效性和合理性。

(4)考慮組織和技術等的變化對信息安全管理體系的影響,應實時更新相關的規(guī)章制度,具體變化情況如:組織變化、技術變革、業(yè)務目標流程的改變、新的威脅和風險點的出現(xiàn)、法律法規(guī)的變化等;通過不斷的優(yōu)化和改善,使信息安全管理體系能夠永遠適合企業(yè)業(yè)務的需要。

3.2 技術角度分析

新版ISO270002控制措施中新增和調(diào)整了一些措施,涉及信息系統(tǒng)開發(fā)、信息安全事件管理、業(yè)務連續(xù)性管理等部分,這些要求對軟件行業(yè)中企業(yè)的具體實行至關重要。從技術角度考慮,軟件行業(yè)企業(yè)信息安全管理體系中所需采取的安全技術體系包括幾個方面。

3.2.1物理環(huán)境安全信息系統(tǒng)硬件安全

這是無論舊版控制措施還是新版都沒有絲毫改變的控制項,也是軟件行業(yè)中企業(yè)應加強管理的基礎。在公司的信息系統(tǒng)硬件管理上,首先對機房的硬件環(huán)境進行安全管理,包括溫度、濕度、消防、電力等安全管理,對關鍵的應用需要采取UPS供電,同時采取相應的備份,對硬件的使用率進行實時地監(jiān)控,避免硬件的使用率過高造成業(yè)務持續(xù)性的影響,另外需要對硬件的物理環(huán)境進行監(jiān)控,避免非法人員的進入,同時也是對管理員的日常行動進行監(jiān)控,最后需要對機房人員和物品的出入進行權限的管理和等級制度。

3.2.2操作系統(tǒng)與應用程序安全

這是新版控制措施新增的安全開發(fā)策略和系統(tǒng)開發(fā)程序等對企業(yè)新的要求,保證操作系統(tǒng)與應用程序的安全會保護企業(yè)在系統(tǒng)開發(fā)和集成工作的安全開發(fā)環(huán)境,使企業(yè)整個開發(fā)周期安全。

(1) 操作系統(tǒng)安全。除了進行必要的補丁和漏洞的管理和更新外,最主要的是進行防病毒管理,通過殺毒軟件來防止非法的木馬、惡意代碼、軟件對操作系統(tǒng)的安全影響;應用程序安全――直接關系信息系統(tǒng)的安全性,通過硬件、軟件的安全保護來保證應用程序的安全。

(2) 密碼算法技術。密碼學在新版控制措施中獨立成為一個領域,這就是企業(yè)必須要引起重視的理由,密碼算法技術,密碼算法技術應用主要是確保信息在傳送的過程中不被非法的人員竊取、篡改和利用,同時接收方能夠完整無誤的解讀發(fā)送者發(fā)送的原始信息。

(3) 安全傳輸技術與安全協(xié)議技術。這是針對新增供應關系領域企業(yè)需要加強的技術。為減緩供應商以及其他用戶訪問企業(yè)資產(chǎn)帶來的風險,對于重要的系統(tǒng)和對外的訪問,進行安全的傳輸技術,以此來保證信息在傳輸過程中的安全,避免被非法用戶竊取、篡改和利用。

(4) 安全協(xié)議技術。主要是指身份認證功能,目前企業(yè)系統(tǒng)的安全保護主要都是依賴于操作系統(tǒng)的安全,這樣入侵系統(tǒng)就非常容易,因此需要建立一套完善的身份認證系統(tǒng),其目的是保證信息系統(tǒng)能確認系統(tǒng)訪問者的真正身份,身份認證協(xié)議都是使用數(shù)據(jù)加密或數(shù)字簽名等方法來確認消息發(fā)送方的身份。

(5) 信息處理設備冗余部署。這在新版控制措施第十七章信息安全方面的業(yè)務連續(xù)性管理中作為新增的控制措施,要求企業(yè)識別信息系統(tǒng)可用性的業(yè)務需求,如果現(xiàn)有系統(tǒng)框架不能保證可用性,應該考慮冗余組建或架構。在適當情況下,對冗余信息系統(tǒng)進行測試,保證在發(fā)生故障時可以從一個組件順利切換到另外一個組件。

4 結(jié)束語

信息安全管理體系的建設改進工作是持續(xù)進行的,是會隨著公司業(yè)務的發(fā)展、技術的更新、以及新標準的要求等不斷變化的。它需要采用科學的方法來保證體系的持續(xù)穩(wěn)定運行,從而使信息安全管理體系化、常態(tài)化的保持下去。而新版ISO27000在信息安全體系的工作上,使各行各業(yè)都有了新的指導。本文主要針對軟件行業(yè)做出一定解讀??傮w來講,我們需要對己經(jīng)建立的信息安全管理體系進行監(jiān)督、完善、優(yōu)化,這實際上還是要求企業(yè)貫徹執(zhí)行PDCA模型,無論從管理還是具體操作上不斷進行PDCA循環(huán),才能使得企業(yè)信息安全管理體系不斷改進和優(yōu)化。

參考文獻

[1] 高仁斗.企業(yè)安全工作中存在的問題與對策[J].中國職業(yè)安全衛(wèi)生管理體系認證,2004(05).

[2] 蔣永康,朱冬林,潘豐.我國中小企業(yè)法律法規(guī)體系建設現(xiàn)狀及對策[J].管理工程師,2012(06).

[3] 楊愛民.電子商務安全的現(xiàn)狀及對策探討[J].科技資訊,2006.6.

作者簡介:

文艷閣(1993-),女,山西孝義人,天津商業(yè)大學,本科(在讀)。

第6篇:企業(yè)信息安全要求范文

早在去年8月份,國家發(fā)改委和信息產(chǎn)業(yè)部共同宣布組織實施“中小企業(yè)信息化推進工程”,這項工程包括萬家中小企業(yè)的免費培訓、百萬中小企業(yè)上網(wǎng)等,有望大大提高中小企業(yè)的信息化水平。此項工程得到了主流電信運營商的鼎立支持,各大運營商都充分利用自己的網(wǎng)絡資源優(yōu)勢和客戶資源優(yōu)勢推出了自己的中小企業(yè)信息化公共服務平臺,如廣東電信推出的“藍色魅力”、上海電信推出的“理想商務”平臺、江西電信推出的“商務領航”、網(wǎng)通推出的“寬帶商務”等。另外,不少地方政府相關部門也推出了中小企業(yè)信息化公共服務平臺,讓中小企業(yè)可以低成本地利用信息化手段來提高管理水平和生產(chǎn)率。

所謂中小企業(yè)信息化公共服務平臺,簡稱ASP平臺,就是讓中小企業(yè)無需投資昂貴的硬件、軟件系統(tǒng)和網(wǎng)絡設施,以及配置專業(yè)的IT技術人才,只要有電腦上網(wǎng)就可以以瀏覽器方式登錄ASP平臺,使用企業(yè)信息化所需的所有服務,包括域名注冊、企業(yè)郵局、虛擬主機、主機托管、網(wǎng)站設計(包括自助生成系統(tǒng))、供求信息、企業(yè)即時通信、網(wǎng)站在線幫助、在線殺毒、客戶關系管理(CRM)、進銷存管理、辦公自動化(針對不同的行業(yè))、供應鏈管理(SCM)、ERP、商業(yè)智能、知識管理、業(yè)務流程管理、企業(yè)POS、企業(yè)服務總線、企業(yè)門戶、網(wǎng)絡傳真、網(wǎng)絡電話(VoIP)、企業(yè)短信和移動辦公等。但據(jù)有關媒體報道,面對電信運營商和有關政府部門的大投入,中小企業(yè)并不買賬,出現(xiàn)建設熱鬧、買單使用少的現(xiàn)象。甚至面對免費贈送,一些中小企業(yè)也不愿使用。是中小企業(yè)不需要這些信息化服務嗎?答案當然是否定的。

筆者認為,主要原因是中小企業(yè)用戶不信任ASP服務平臺。造成這種不信任的一個重要因素是,ASP服務平臺的信息安全措施不足以讓用戶放心地把企業(yè)的機密信息(如客戶信息、財務信息)放在上面,是這些平臺缺乏“安全魅力”。那么,ASP服務平臺應該采用哪些技術措施才能讓用戶放心呢?除了防火墻等必要的網(wǎng)絡安全措施外,還需要有確保機密信息安全的技術措施。

首先,ASP平臺的所有應用服務器一定要部署全球通用的、支持所有瀏覽器的、真正 128 位的 SSL 數(shù)字證書。這樣可以確保用戶在使用瀏覽器登錄各個應用系統(tǒng)時,從瀏覽器到ASP服務器之間所有機密信息的高強度加密傳輸,從而有效地保證了用戶賬號、密碼和企業(yè)機密信息的機密性和完整性,杜絕非法竊聽和非法篡改。

其次,ASP平臺應為每個平臺用戶頒發(fā)一個全球通用的客戶端數(shù)字證書(個人數(shù)字證書和單位數(shù)字證書)。該證書用于登錄ASP平臺各個應用系統(tǒng)的身份認證和用于每個交易的數(shù)字簽名,從而杜絕了使用簡單的用戶名/口令認證系統(tǒng)容易造成的機密信息泄露,同時提供了網(wǎng)上交易不可否認的證據(jù)。為了杜絕使用公用電腦(網(wǎng)吧)和專用電腦的間諜軟件(木馬軟件)或其他可能的手段非法使用數(shù)字證書問題,推薦對安全要求高的企業(yè)用戶使用USB Key移動數(shù)字證書來確保是真實的用戶在合法登錄各個應用系統(tǒng),在登錄時把USB Key插入電腦的USB口,退出登錄時拔下即可。

另外,ASP平臺中涉及到企業(yè)核心機密信息的系統(tǒng)(如客戶關系管理系統(tǒng)、辦公自動化系統(tǒng))應該使用用戶的客戶端數(shù)字證書來加密存儲機密信息。這使得該機密信息只有用戶本人使用用戶自己的數(shù)字證書才能閱讀(即使是ASP平臺系統(tǒng)管理員也無法看到,因為客戶端數(shù)字證書在用戶手中),ASP平臺就像房地產(chǎn)開發(fā)商,房子賣或租給用戶就要把房子的鑰匙給用戶,只有用戶本人使用該鑰匙才能進屋,這個鑰匙就是分配給ASP用戶的客戶端數(shù)字證書。只有這樣,才能讓用戶放心地使用ASP平臺。

第7篇:企業(yè)信息安全要求范文

【關鍵詞】電力企業(yè);網(wǎng)絡信息化

【中圖分類號】TM73

【文獻標識碼】A

【文章編號】1672-5158(2012)12-0016-01

1 電力行業(yè)網(wǎng)絡與信息安全工作開展情況

2000年以來,我國相繼發(fā)生了“二灘電廠停機事件”、“故障錄波器事件”、“邏輯炸彈事件”、“換流站病毒感染事件”等多起電力行業(yè)網(wǎng)絡與信息安全事件,造成了不同程度的事故影響,威脅到了電力系統(tǒng)安全穩(wěn)定運行,同時也暴露出了我國電力行業(yè)在網(wǎng)絡安全接入方面、安全生產(chǎn)管理方面、人員信息安全培訓等方面存在薄弱環(huán)節(jié)。

針對類似電力信息安全事件,2002年,原國家經(jīng)貿(mào)委第30號令《電網(wǎng)和電廠計算機監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡安全防護規(guī)定》,對電網(wǎng)和電廠計算機監(jiān)控系統(tǒng)防護提出了要求。國家電監(jiān)會成立后,對電力二次系統(tǒng)及網(wǎng)絡信息安全防護明確提出了“安全分區(qū)、專網(wǎng)專用、橫向隔離、縱向認證”的總體防護策略,并制定印發(fā)了《電力行業(yè)網(wǎng)絡與信息安全信息報送暫行辦法》、《電力行業(yè)網(wǎng)絡與信息安全應急預案》、《電力行業(yè)網(wǎng)絡與信息安全監(jiān)督管理暫行辦法》等一系列管理辦法,使電力行業(yè)網(wǎng)絡與信息安全防護的理念更加系統(tǒng)化、具體化,增強了可操作性,電力行業(yè)網(wǎng)絡與信息安全防護工作進入了實質(zhì)性建設階段。

2 目前我國電力信息網(wǎng)絡的現(xiàn)狀

(一)信息化網(wǎng)絡基本形成多年來我國一直非常重視電力行業(yè)信息化建設。從目前狀況來看,電力企業(yè)信息化建設硬件環(huán)境已經(jīng)基本構建完成,硬件設備數(shù)量和網(wǎng)絡建設狀況良好,無論是在生產(chǎn)、調(diào)度還是營業(yè)等部門都已實現(xiàn)了信息化管理,在網(wǎng)絡硬件方面,基本能夠保證電力行業(yè)工作的正常運轉(zhuǎn);在軟件建設方面,也實現(xiàn)了包括調(diào)度自動化系統(tǒng)、生產(chǎn)管理信息系統(tǒng)、營銷信息系統(tǒng)、負荷監(jiān)控系統(tǒng)及各專業(yè)相關在內(nèi)的應用系統(tǒng)設施。電力系統(tǒng)網(wǎng)絡化的實現(xiàn),對保證安全生產(chǎn)、節(jié)能消耗、降低成本、縮短工期、提高勞動生產(chǎn)率等起到了促進作用。

(二)信息安全仍然存在不可忽視的問題、雖然網(wǎng)絡系統(tǒng)已經(jīng)基本形成,但是信息安全還不盡樂觀,主要表現(xiàn)在信息網(wǎng)絡安全還沒有涉及到各個領域,其發(fā)展也是不平衡的。有的電力企業(yè)對信息的安全重視不夠。如很多電力企業(yè)的網(wǎng)絡系統(tǒng)還沒有防火墻,有的甚至沒有數(shù)據(jù)備份的概念,更沒有對網(wǎng)絡安全做統(tǒng)一長遠的規(guī)劃,因此,電力企業(yè)網(wǎng)絡中存在許多隱患。這種安全意識的淡薄,具體工作的不到位,導致了網(wǎng)絡信息系統(tǒng)的不完善,給網(wǎng)絡的安全帶來了很多的不利因素??梢哉f,目前我國電力系統(tǒng)信息安全體系還不完備,缺乏統(tǒng)一的信息安全管理規(guī)范。

(三)對電力系統(tǒng)信息網(wǎng)絡的投入不足從目前我國電力行業(yè)網(wǎng)絡信息的綜合情況看,國家對電力行業(yè)信息化管理的投入還不均衡,特別是對邊遠地區(qū)的投入還有待加強。與電力行業(yè)其它方面的硬件投入相比,對網(wǎng)絡信息的投入也不夠。這就需要加大投入,以建立一個統(tǒng)一安全的信息網(wǎng)絡,以保證電力系統(tǒng)安全。

(四)電力行業(yè)的軟件開發(fā)還不到位由于經(jīng)費不足等種種原因,軟件開發(fā)還沒有細化。如很多單位的數(shù)據(jù)庫數(shù)據(jù)和文件都停留在明文存儲階段,以明文形式存儲的信息存在泄漏的可能,拿到存儲介質(zhì)的人可以讀出這些信息,黑客也可以繞過操作系統(tǒng),從數(shù)據(jù)庫管理系統(tǒng)的控制處獲取信息。再如,用戶身份認證基本上采用口令鑒別模式,而這種模式很容易被攻破。還有的應用系統(tǒng)使用自己的用戶鑒別方法,將用戶名、口令以及一些安全控制信息以明文的形式記錄在數(shù)據(jù)庫或文件中,這種脆弱的安全控制措施在操作人員計算機應用水平不斷提高、信息敏感性不斷增強的今天風險特別大。以上種種情況,究其原因,還是電力軟件開發(fā)得不夠所致,目前的軟件還不能完全適應形勢的需要和工作的需要。這是個亟待解決的問題,如果這個問題解決不好,會導致大的問題出現(xiàn)。

3 加強電力行業(yè)網(wǎng)絡信息安全的措施

(一)提高認識,強化信息化安全教育信息網(wǎng)絡如何能使用安全,很大程度上在于工作人員的認識程度。安全意識和相關技能的教育是企業(yè)安全管理中重要的內(nèi)容,其實施力度將直接關系到電力企業(yè)安全策略被理解的程度和被執(zhí)行的效果。如何能保證網(wǎng)絡信息的安全,一個重要的措施就是廣泛地進行信息管理人員的培訓。為了保證安全的成功和有效,電力行業(yè)的管理部門應該及時對企業(yè)各級管理人員、用戶、技術人員進行安全培訓,所有的企業(yè)人員必須了解并嚴格執(zhí)行電力企業(yè)安全策略,要讓各級信息管理人員,重點是了解和掌握企業(yè)信息安全的整體策略及目標、信息安全體系的構成、安全管理部門的建立和管理制度的制定等。負責信息安全運行管理及維護的技術人員,重點是充分理解信息安全管理策略,掌握安全評估的基本方法,對安全操作和維護技術的合理運用等。只有這樣,才能保證電力網(wǎng)絡信息系統(tǒng)的安全操作。

(二)采取措施,提高信息網(wǎng)安全防護技術水平一是對網(wǎng)絡防火墻高度重視。防火墻是電力企業(yè)信息網(wǎng)絡的唯一出口,所有的訪問都將通過防火墻進行,不允許任何繞過防火墻的連接。因此,做好這一通道的把關尤為關鍵,應該對這方面的技術重視起來,研究出更高水平的防護軟件,以適應信息網(wǎng)安全工作的需要。二是對入侵檢測系統(tǒng)高度重視。要部署先進的分布式入侵檢測構架,保證電力企業(yè)信息系統(tǒng)的安全檢測。入侵檢測系統(tǒng)要采用攻擊防衛(wèi)技術,要具有高可靠性、高識別率、規(guī)則更新迅速等特點。三是對網(wǎng)絡隱患掃描系統(tǒng)高度重視。掃描網(wǎng)絡設備包括:服務器、工作站、防火墻、路由器、路由交換機等。掃描結(jié)束后生成詳細的安全評估報告,采用報表和圖形的形式對掃描結(jié)果進行分析,可以直觀地對用戶進行安全性能評估和檢查。四是對數(shù)據(jù)加密系統(tǒng)高度重視。要通過文件加密、信息摘要和訪問控制等安全措施,來實現(xiàn)文件存儲和傳輸?shù)谋C芎屯暾砸螅瑢崿F(xiàn)對文件訪問的控制。對通信安全,采用數(shù)據(jù)加密,信息摘要和數(shù)字簽名等安全措施對通信過程中的信息進行保護,實現(xiàn)數(shù)據(jù)在通信中的保密、完整和不可抵賴性安全要求。五是對數(shù)據(jù)庫安全高度重視。要通過數(shù)據(jù)存儲加密、完整性檢驗和訪問控制來保證數(shù)據(jù)庫數(shù)據(jù)的機密和完整性,并實現(xiàn)數(shù)據(jù)庫數(shù)據(jù)的訪問安全??傊W(wǎng)絡信息的安全技術對維護網(wǎng)絡信息的真正安全尤為重要,因此這方面的工作需要加強。

(三)加大力度,建立統(tǒng)一的信息網(wǎng)防護體系

一是要保證信息管理工作人員體系的相對穩(wěn)定。防止網(wǎng)絡機密泄露,特別是注意人員凋離時的網(wǎng)絡機密的泄露。二是完善軟件和硬件管理體系。主要是指各種網(wǎng)絡設備,網(wǎng)絡安全設備的安全策略,如防火墻、物理隔離設備、入侵檢測設備、路由器的安全策略管理要切合實際。三是要注意信息介質(zhì)的安全管理。主要是備份的介質(zhì)要防止丟失和被盜,報廢的介質(zhì)要及時清除和銷毀,特別要注意送出修理的設備上存儲信息的安全。

第8篇:企業(yè)信息安全要求范文

[關鍵詞] 桌面安全;大型企業(yè);中國石油

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 14. 034

[中圖分類號] F272.7 [文獻標識碼] A [文章編號] 1673 - 0194(2012)14- 0058- 02

1 引 言

經(jīng)過數(shù)十年的信息安全建設,國內(nèi)大型企業(yè)的網(wǎng)絡及應用系統(tǒng)的安全防護能力已經(jīng)達到一定水平。但是信息安全故障并沒有隨著信息安全投入的增加而下降。經(jīng)過統(tǒng)計發(fā)現(xiàn),內(nèi)部網(wǎng)絡和應用系統(tǒng)發(fā)生故障的原因少部分是由于網(wǎng)絡設備和應用系統(tǒng)自身的問題所引起,更多的是因為內(nèi)網(wǎng)的其他安全因素導致,如病毒爆發(fā)、資源濫用、惡意接入、用戶誤操作等。而這些安全因素,大多來源于用戶桌面計算機,桌面安全管理已經(jīng)是各個企業(yè)迫在眉睫的安全建設內(nèi)容。

2 影響桌面安全的因素

2.1 企業(yè)安全組織體系不健全,專職人員缺失

大型企業(yè)的業(yè)務跨度大,地域分布廣。各個二級單位的信息安全水平發(fā)展不一。有的二級單位信息部門職工上千名,有的單位卻沒有獨立的信息部門。但所有的二級單位都統(tǒng)一在企業(yè)內(nèi)網(wǎng)中運行,各類統(tǒng)建系統(tǒng)在所有二級單位中運行。對于沒有沒有獨立的信息部門的二級單位 ,更沒有負責安全體系建設、運行和管理的專職機構及人員,兼職安全管理員有責無權的現(xiàn)象普遍存在,依據(jù)“短板”理論,極易從信息安全力量較弱的單位為突破口,進而影響到整個企業(yè)信息安全。特別是信息安全技術的快速發(fā)展,信息安全人員需不斷提升自身素質(zhì),加強業(yè)務水平,才能保證桌面安全運行。

2.2 企業(yè)職工計算機缺乏安全加固手段

盡管多數(shù)大型企業(yè)對桌面計算機的安全加固已經(jīng)采取了部分安全措施,如安裝防病毒軟件和個人防火墻軟件,甚至部署了漏洞掃描系統(tǒng)定期對桌面計算機進行漏洞掃描,督促用戶及時更新操作系統(tǒng)補丁。但是,首先由于企業(yè)規(guī)模較大,管理者無法保證所有的終端用戶都安裝了防病毒軟件和防火墻軟件。其次,即便安裝了這些防護軟件,用戶也常常因為各種原因無法及時更新病毒庫。另外,系統(tǒng)漏洞掃描雖然可以獲得桌面計算機的補丁缺失情況,但是卻缺乏有效的補丁安裝手段。所有這些因素,均導致桌面計算機的安全無法得到有效的保障。

2.3 企業(yè)職工計算機缺少有效的接入控制手段

對于大型企業(yè),內(nèi)網(wǎng)計算機數(shù)量眾多且分布地域廣闊。網(wǎng)絡管理人員很難統(tǒng)計內(nèi)網(wǎng)計算機的確切數(shù)量,也無法區(qū)分哪些是內(nèi)網(wǎng)授權使用的計算機,哪些是外來的非授權使用的計算機。這種狀況下,很難控制外來人員隨意的計算機接入。很容易導致企業(yè)內(nèi)網(wǎng)機密信息的泄漏,往往等泄密事件發(fā)生了,卻還無法判斷到底是哪一個環(huán)節(jié)出了差錯。另外,對于內(nèi)網(wǎng)授權使用的計算機,任何一臺感染了病毒和木馬,網(wǎng)絡管理人員也無法及時定位和自動阻斷該計算機的破壞行為。往往需要花費很長的時間才能判斷和定位該計算機,然后再通過手動的方式斷網(wǎng)。對安全強度差的桌面計算機缺乏有效的安全狀態(tài)檢測和內(nèi)網(wǎng)接入控制,是導致內(nèi)網(wǎng)安全事件不斷發(fā)生的重要原因之一。

3 大型企業(yè)桌面安全管理建設

中國石油信息化建設處于我國大型企業(yè)領先地位,在國資委歷年信息化評比中都名列前茅,“十一五”期間,將企業(yè)信息安全保障體系建設列入信息化整體規(guī)劃中,并逐步實施,其中桌面安全管理建設是信息安全保障體系建設的重點工作,從組織、管理及技術3個方面進行全面建設。

3.1 完善安全組織體系建設

中國石油建立三級的終端安全組織架構,分別為石油總部、地區(qū)公司、地區(qū)二級單位。終端安全組織在每一級設立專門的組織,明確主管領導,確定組織責任,設置相應崗位,配備必要人員。其中集團信息化領導小組是信息系統(tǒng)安全工作的最高決策機構,信息管理部是集團公司信息系統(tǒng)安全的歸口管理部門,負責落實信息化工作領導小組的各項決策。企事業(yè)單位信息部門負責本單位信息系統(tǒng)安全的管理,并設立信息系統(tǒng)安全管理、審計、技術崗位,包括信息系統(tǒng)安全、應用系統(tǒng)、數(shù)據(jù)庫、操作系統(tǒng)、網(wǎng)絡等負責人和管理員,重要崗位設置兩名員工互為備份。

3.2 強化安全管理體系建設

安全管理體系從管理制度、培訓教育、運行管理及檢查考核4方面進行強化。①管理制度。根據(jù)中國石油信息安全的需求,分階段逐步制定并完善信息系統(tǒng)安全管理的規(guī)章制度,加大整個信息安全制度體系的貫徹執(zhí)行力度,才能使安全防護能力得到不斷的提高,整體信息安全才能落到實處。②培訓教育。信息安全培訓涉及信息安全法律法規(guī)、信息安全事件案例等多方面,通過培訓一方面提高企業(yè)員工的安全意識,使員工自覺約束自我行為,遵守各項信息安全規(guī)章制度、標準規(guī)范;另一方面及時掌握必要的信息安全技術知識和技能,在實際工作中充分利用技術手段保障信息安全。③運行管理。 通過統(tǒng)一設計、統(tǒng)一平臺,統(tǒng)一硬件體系架構,建立中石油桌面運行管理系統(tǒng)。采用三級架構,分別在總部、區(qū)域數(shù)據(jù)中心部署服務器和管理軟件,各企事業(yè)單位的桌面計算機安裝客戶端軟件,整個運行管理由防病毒子系統(tǒng)、補丁分發(fā)子系統(tǒng)、端點準入子系統(tǒng)、電子文檔保護子系統(tǒng)、后臺管理子系統(tǒng)組成。其中通過端點準入防御系統(tǒng),只有符合安全要求且通過用戶認證的計算機才能接入內(nèi)部網(wǎng)絡使用,防止“危險”、“易感”終端接入網(wǎng)絡,控制病毒、蠕蟲的蔓延。補丁管理系統(tǒng)與防病毒系統(tǒng)相結(jié)合,實時監(jiān)測和殺除病毒,實現(xiàn)對漏洞、病毒及惡意代碼的管理和控制,電子文檔保護子系統(tǒng)、后臺管理子系統(tǒng)增強系統(tǒng)及電腦文檔的安全性。④檢查考核。信息管理部門定期進行信息系統(tǒng)安全檢查與考核,包括信息系統(tǒng)安全政策與標準的培訓與執(zhí)行情況、重大信息系統(tǒng)安全事件及整改措施落實情況、現(xiàn)有信息系統(tǒng)安全措施的有效性、信息系統(tǒng)安全技術指標的完成情況。各企事業(yè)單位信息部門按照本辦法和《集團公司信息系統(tǒng)運行維護管理辦法》進行信息系統(tǒng)安全自我考核,信息管理部進行綜合評價,形成年度考核報告,報信息主管領導。

3.3 增強桌面安全技術建設

桌面安全技術指物理安全、邏輯安全及運行安全三大模塊,通過與企業(yè)內(nèi)控管理進行有機結(jié)合,依據(jù)《中國石油天然氣集團公司信息系統(tǒng)總體控制實施要求》,嚴格執(zhí)行相關操作規(guī)范,其中物理安全指進入機房的物理安全訪問控制機制、設備的物理安全管理、敏感的紙質(zhì)系統(tǒng)文件管理。邏輯安全包括系統(tǒng)登錄身份驗證、用戶賬號及特權用戶賬戶管理、密碼管理、用戶權限管理、終端合規(guī)性管理等。運行安全包括病毒防護及病毒事件的處理、安全系統(tǒng)的備份與恢復、應急事件的處理。

4 結(jié)束語

隨著信息技術應用的不斷深入,國內(nèi)大型企業(yè)信息系統(tǒng)集中程度不斷提高,業(yè)務對信息系統(tǒng)依賴程度的不斷加大,迫切需要建立與業(yè)務發(fā)展和信息化水平相適應的信息安全體系。與此同時,國家了一系列相關文件,提出對涉及國家安全、經(jīng)濟命脈、社會穩(wěn)定的重點行業(yè)、企業(yè)的關鍵信息系統(tǒng)實施信息安全等級保護等要求。桌面安全責任也日益增大。只有通過從組織、管理、技術全面建設,才能有效提升桌面計算機抵御安全威脅的能力,提高桌面安全管理水平,達到桌面計算機有防護、有檢測、可控制、可審計,建設統(tǒng)一桌面安全管理系統(tǒng),中石油通過兩年的桌面安全建設,取得了良好效果。

主要參考文獻

[1]孫海.醫(yī)院桌面終端信息安全管理思考 [J].現(xiàn)代醫(yī)院,2011(5).

第9篇:企業(yè)信息安全要求范文

【關鍵詞】電力 信息化管理 研究

中圖分類號: F406 文獻標識碼: A 文章編號:

1 我國電力企業(yè)信息化發(fā)展的特征

1.1信息化基礎設施相對完善

我國電力企業(yè)信息化起源于20世紀60年代,電力行業(yè)相比其他行業(yè)的信息化進程較為領先。目前,電力系統(tǒng)的計算機裝備水平已大大提高,中小型機、微型計算機裝備級別不斷更新提高,路由器、交換機等網(wǎng)絡設備數(shù)量增加較快。

1.2電力調(diào)度自動化系統(tǒng)應用成熟

對于電網(wǎng)企業(yè),提高電力調(diào)度自動化水平、提高電網(wǎng)運行質(zhì)量是信息化建設的重點方向。目前電力調(diào)度自動化的各種系統(tǒng),如SCADA、AGC、以及EMS等系統(tǒng)已建成,省電力調(diào)度機構全部建立了SCADA系統(tǒng),電網(wǎng)的三級調(diào)度100%實現(xiàn)了自動化。我國電廠、電力調(diào)度的自動化水平達到國際先進水平。

1.3電力營銷管理系統(tǒng)得到廣泛應用

為適應電力市場化改革的需求,為客戶提供更好的服務,原國家電力公司在2002年提出改革傳統(tǒng)供電營銷管理模式,實施電力營銷全過程的計算機網(wǎng)絡化改造。各省公司供電局響應這種要求,普遍建立了用電管理信息系統(tǒng),地(市)級供電企業(yè)基本實現(xiàn)了業(yè)務受理的計算機化。

1.4管理信息系統(tǒng)的建設與應用

管理信息系統(tǒng)(MIS)建設初具規(guī)模,建立了辦公自動化系統(tǒng)、綜合指標查詢系統(tǒng),開發(fā)了計劃統(tǒng)計管理、人事勞資管理、生產(chǎn)管理、設備管理、安全監(jiān)督管理、電力負荷管理、營銷管理、燃料管理、工程管理、財務管理、電網(wǎng)實時信息等應用系統(tǒng)為主要功能的網(wǎng)絡化的企業(yè)管理信息系統(tǒng),實現(xiàn)辦公環(huán)境網(wǎng)絡化和計算機化。

1.5信息化機構建設尚需進一步健全

長期以來,信息部門在電力公司沒有一個專門機構配置,沒有規(guī)范的建制和崗位,信息化作為一項系統(tǒng)工程,需要專門的機構來推進和企業(yè)各個部門的配合。在當前企業(yè)信息化發(fā)展形勢下,這種狀況勢必不能適應信息化對人才、機構的要求。

1.6信息安全管理是電力企業(yè)信息化重點

電力信息網(wǎng)絡已經(jīng)深入到電力生產(chǎn)和管理的全過程,涉及到電力生產(chǎn)的各個層面,電力生產(chǎn)與管理對其依賴性日益增大。因此對于信息系統(tǒng)的安全要求也更加提高,信息安全已納入到企業(yè)安全生產(chǎn)管理中。

2 電力企業(yè)信息化管理存在的問題

2.1規(guī)劃缺失導致信息化缺乏系統(tǒng)性

我國電力企業(yè)在不同時期不同部門為了滿足業(yè)務需要而進行了一系列信息系統(tǒng)建設,到目前為止,這些大大小小的信息系統(tǒng)數(shù)量眾多。由于這些系統(tǒng)都是在未經(jīng)科學合理的整體規(guī)劃下建成的,各系統(tǒng)之間缺乏聯(lián)系,信息不同共享,業(yè)務不能協(xié)同開展,對企業(yè)管理決策的作用十分有限。

2.2 電力行業(yè)信息化缺乏統(tǒng)一的標準體系

目前,電力行業(yè)信息化尚未制定統(tǒng)一的信息化標準體系,電力企業(yè)內(nèi)部信息系統(tǒng)的信息編碼、技術標準、規(guī)范也不統(tǒng)一。這就造成企業(yè)內(nèi)部“信息孤島”無處不在、系統(tǒng)不能集成、資源不能共享的局面,嚴重制約企業(yè)信息化建設和應用。

2.3 電力企業(yè)管理模式阻礙了信息化的快速發(fā)展

電力行業(yè)長期的壟斷性經(jīng)營導致了其特有的經(jīng)營管理模式:重安全生產(chǎn)、輕企業(yè)管理,條塊分割、信息分散,以安全生產(chǎn)為中心的意識深深植入電力企業(yè)的領導、職工的觀念中。當前,電力行業(yè)競爭機制正在逐漸建立,電力企業(yè)面對競爭需要提升管理水平,信息化建設正是提升管理水平的有力途徑。

2.4信息系統(tǒng)建設缺乏統(tǒng)一規(guī)劃,統(tǒng)一組織的力度不強

信息化的開展往往是想到哪干到那,硬件設施更新快,應用系統(tǒng)成功使用不多,信息化發(fā)展不平衡,各區(qū)域信息化水平差異較大,在一定程度上阻礙了信息化的集約發(fā)展和整體應用水平的提高。此外,信息化組織建設滯后不利于信息化的推進

2.5 硬件與軟件投入上存在“重硬輕軟”

由于對信息化認識上的誤區(qū),部分電力企業(yè)認為搞信息化主要就是買機器、建網(wǎng)絡,表現(xiàn)出一定程度的“重硬輕軟”情結(jié)。這種做法的結(jié)果是硬件設施脫離了軟件系統(tǒng),從而硬件也發(fā)揮不出應有的作用,信息化建設沒有成效。

2.6企業(yè)信息系統(tǒng)孤立存在不能發(fā)揮整合效益

目前電力企業(yè)的生產(chǎn)自動化系統(tǒng)與管理信息系統(tǒng)處于相互分離狀態(tài),彼此不能有效結(jié)合,不能實現(xiàn)管控一體化,數(shù)據(jù)信息不能集成共享,不利于實現(xiàn)企業(yè)的綜合管理。此外,由于缺乏總體數(shù)據(jù)規(guī)劃、數(shù)據(jù)整合,存在或多或少的“信息孤島”,部分數(shù)據(jù)有冗余和二意性,不能融合到整個管理信息平臺上。

3 電力行業(yè)信息化管理發(fā)展趨勢

3.1信息化觀念由重視生產(chǎn)自動化向重視管理信息化轉(zhuǎn)變,表現(xiàn)為由“硬”到“軟”。

3.2應用模式由管控分離向信息一體化轉(zhuǎn)變,即實現(xiàn)生產(chǎn)實時信息與管理信息的集成。

3.3應用架構由分散應用向整合應用轉(zhuǎn)變,即從部門級單項應用到企業(yè)級涵蓋生產(chǎn)、營銷及財務、人事、設備等環(huán)節(jié)的整體應用。

3.4數(shù)據(jù)管理由分散管理向集中管理轉(zhuǎn)變,形成信息共享、增值的機制,適應企業(yè)業(yè)務處理和經(jīng)營運作快捷化、實時化的要求。

3.5實施模式由“用戶-供應商”模式向“用戶-咨詢/監(jiān)理商-供應商”模式轉(zhuǎn)變,保證企業(yè)信息化切實從用戶需求出發(fā),控制信息化建設的質(zhì)量和風險。

4 提高電力行業(yè)信息化管理策略研究

4.1構建系統(tǒng)、完善的電力行業(yè)信息化架構

電力信息化的核心是由各方面建設內(nèi)容構成的一個系統(tǒng)的、完整的架構。從以下六方面入手進行完善。

4.1.1應用功能架構:從業(yè)務運作與管理決策的需求出發(fā),分析功能需求,建立企業(yè)信息化的功能模型。

4.1.2信息資源架構:對企業(yè)業(yè)務與管理活動涉及的信息進行分析、規(guī)劃,抽象提煉出信息分類體系,提供使用、共享、集成和管理信息的策略。

4.1.3應用系統(tǒng)架構:基于應用功能架構構建實現(xiàn)信息化功能的應用系統(tǒng)及其相互集成的模型。

4.1.4系統(tǒng)平臺架構:即支撐應用系統(tǒng)運行的操作系統(tǒng)平臺、數(shù)據(jù)庫平臺、應用服務平臺框架。

4.1.5網(wǎng)絡與基礎設施架構:規(guī)劃、選擇企業(yè)信息系統(tǒng)運行的基礎網(wǎng)絡與設施,保證信息系統(tǒng)高效、穩(wěn)定、安全運行。

4.1.6信息安全架構:構建從網(wǎng)絡設備層、系統(tǒng)層到應用層的系統(tǒng)安全和科學的安全管理體系。

4.2以專業(yè)化的規(guī)劃為指導,制定企業(yè)信息化的頂層設計藍圖。電力集團以信息化整合產(chǎn)業(yè)鏈的資源,增強整體價值鏈的綜合競爭優(yōu)勢。

4.3中小型電力企業(yè)以信息化規(guī)范管理、提高效率、增強對市場的響應能力和速度;以信息化帶動管理創(chuàng)新,以管理創(chuàng)新促進信息化,實現(xiàn)電力企業(yè)價值鏈的協(xié)同化運作,以整合化的系統(tǒng)應用為目標,促進信息化的價值實現(xiàn),推動電力企業(yè)綜合競爭力的提升。

4.4以需求為導向,充分開發(fā)利用電力系統(tǒng)內(nèi)部信息資源,有效整合電力企業(yè)現(xiàn)有信息資源,積極搜集各類電力信息,完善全國電力信息資源開發(fā)利用的保障體系,形成集中、統(tǒng)一、穩(wěn)定的信息采集渠道,基本形成覆蓋全行業(yè)各門類的信息資源共享機制。

4.5在信息資源集成的基礎上,逐步建立多種形式的決策咨詢機制和完善的企業(yè)輔助決策支持系統(tǒng);研究典型電力企業(yè)的業(yè)務流程重組(BPR),塑造科學合理的電力企業(yè)業(yè)務流程,為順利實施企業(yè)ERP系統(tǒng)奠定堅實的基礎;配合電力體制改革進程,推動企業(yè)網(wǎng)上競價系統(tǒng)和電子商務平臺的實施工作。

4.6大力推進信息系統(tǒng)聯(lián)網(wǎng),加大應用整合力度,實現(xiàn)部分關鍵業(yè)務系統(tǒng)的應用集成,構建統(tǒng)一的應用系統(tǒng)總體框架和企業(yè)信息門戶(EIP)平臺,在多個企業(yè)應用之間實現(xiàn)無縫集成,切實解決現(xiàn)存的“信息孤島”、重復建設等問題,為信息資源的整合和綜合利用奠定基礎。

久久精品国产a三级三级三级| 精品熟女少妇av免费看| 亚洲欧美精品专区久久| 午夜久久久在线观看| 精品国产国语对白av| 亚洲精品中文字幕在线视频 | a级毛片在线看网站| 日韩不卡一区二区三区视频在线| 综合色丁香网| 一级av片app| 80岁老熟妇乱子伦牲交| 22中文网久久字幕| 国产亚洲91精品色在线| 大香蕉97超碰在线| 中文字幕久久专区| 国产免费福利视频在线观看| 我的女老师完整版在线观看| 卡戴珊不雅视频在线播放| a级毛色黄片| 精品一区二区三卡| 国产永久视频网站| 久久久久视频综合| av不卡在线播放| 内地一区二区视频在线| 女性生殖器流出的白浆| 视频区图区小说| 少妇人妻 视频| 观看美女的网站| 在线免费观看不下载黄p国产| 国产一区有黄有色的免费视频| 日韩熟女老妇一区二区性免费视频| 亚洲精品日韩av片在线观看| 成人18禁高潮啪啪吃奶动态图 | 男人狂女人下面高潮的视频| 国产成人精品福利久久| 国产一区二区在线观看日韩| 嫩草影院新地址| 啦啦啦啦在线视频资源| 国产精品不卡视频一区二区| 国产伦在线观看视频一区| 亚洲伊人久久精品综合| 少妇人妻 视频| 国产男女内射视频| 青春草亚洲视频在线观看| 观看美女的网站| 久久99热6这里只有精品| kizo精华| 最黄视频免费看| 嫩草影院新地址| 晚上一个人看的免费电影| 欧美高清成人免费视频www| 内射极品少妇av片p| 制服丝袜香蕉在线| 精品久久久久久电影网| 热99国产精品久久久久久7| 欧美精品高潮呻吟av久久| 人人妻人人澡人人爽人人夜夜| 一区在线观看完整版| 在线观看美女被高潮喷水网站| 人妻系列 视频| 人人妻人人看人人澡| 久久久亚洲精品成人影院| 国产男女内射视频| 另类精品久久| 久久女婷五月综合色啪小说| 国产精品秋霞免费鲁丝片| 卡戴珊不雅视频在线播放| 亚洲不卡免费看| 亚洲经典国产精华液单| 日本vs欧美在线观看视频 | av有码第一页| 日日撸夜夜添| 久久精品夜色国产| 99re6热这里在线精品视频| 国产 一区精品| 校园人妻丝袜中文字幕| 婷婷色av中文字幕| 人人妻人人澡人人爽人人夜夜| 少妇人妻久久综合中文| 精品一区二区三区视频在线| 日日摸夜夜添夜夜添av毛片| 久久久久精品久久久久真实原创| 高清欧美精品videossex| 一级爰片在线观看| 久久久精品94久久精品| 水蜜桃什么品种好| 欧美激情国产日韩精品一区| 精品国产一区二区久久| 日韩精品免费视频一区二区三区 | 久久精品国产a三级三级三级| .国产精品久久| 成人亚洲精品一区在线观看| 久久久a久久爽久久v久久| 亚洲人成网站在线播| 久久99精品国语久久久| 久久久午夜欧美精品| 汤姆久久久久久久影院中文字幕| 26uuu在线亚洲综合色| 日韩三级伦理在线观看| www.色视频.com| 91精品一卡2卡3卡4卡| 少妇高潮的动态图| 女人久久www免费人成看片| 高清午夜精品一区二区三区| 日产精品乱码卡一卡2卡三| 亚洲av成人精品一二三区| 久久久久人妻精品一区果冻| 欧美日韩国产mv在线观看视频| 国产精品一二三区在线看| 亚洲av成人精品一区久久| 高清黄色对白视频在线免费看 | 搡老乐熟女国产| 久久精品夜色国产| 欧美激情极品国产一区二区三区 | 欧美日韩在线观看h| 色视频在线一区二区三区| 亚洲国产欧美日韩在线播放 | 丝袜脚勾引网站| 国产av一区二区精品久久| a级毛片在线看网站| 亚洲精品国产成人久久av| 观看免费一级毛片| 九九在线视频观看精品| 精品久久国产蜜桃| 香蕉精品网在线| h日本视频在线播放| 久久久久久伊人网av| 最近手机中文字幕大全| 日日摸夜夜添夜夜添av毛片| 中国三级夫妇交换| 韩国高清视频一区二区三区| 国产精品一区二区在线观看99| 黑人高潮一二区| 欧美最新免费一区二区三区| 亚洲伊人久久精品综合| 美女cb高潮喷水在线观看| 99热这里只有是精品在线观看| 成人黄色视频免费在线看| 中文字幕人妻熟人妻熟丝袜美| 亚洲欧美成人精品一区二区| 边亲边吃奶的免费视频| 菩萨蛮人人尽说江南好唐韦庄| 欧美日韩视频高清一区二区三区二| 久久国内精品自在自线图片| 亚洲国产成人一精品久久久| 国产免费一级a男人的天堂| 日韩熟女老妇一区二区性免费视频| 美女大奶头黄色视频| 国内揄拍国产精品人妻在线| 夫妻午夜视频| 成人漫画全彩无遮挡| videossex国产| 国产精品伦人一区二区| 九九在线视频观看精品| 一区二区三区精品91| 搡老乐熟女国产| 一本一本综合久久| 18禁动态无遮挡网站| 久久久国产欧美日韩av| 人妻 亚洲 视频| 人妻一区二区av| 国产成人一区二区在线| 人人妻人人澡人人爽人人夜夜| 久久99蜜桃精品久久| √禁漫天堂资源中文www| 99九九在线精品视频 | tube8黄色片| 国产欧美亚洲国产| 亚洲精品亚洲一区二区| 大码成人一级视频| 嫩草影院入口| 丝袜在线中文字幕| 99国产精品免费福利视频| 亚洲天堂av无毛| 久久 成人 亚洲| 亚洲第一av免费看| 日韩不卡一区二区三区视频在线| 水蜜桃什么品种好| 国产伦在线观看视频一区| 极品人妻少妇av视频| 国产 精品1| 欧美变态另类bdsm刘玥| 如日韩欧美国产精品一区二区三区 | 一级毛片电影观看| 春色校园在线视频观看| 在线亚洲精品国产二区图片欧美 | 亚洲中文av在线| 日韩中字成人| 亚洲精品久久午夜乱码| 天堂俺去俺来也www色官网| av视频免费观看在线观看| 亚洲天堂av无毛| 99久国产av精品国产电影| 久久亚洲国产成人精品v| 亚洲国产欧美在线一区| 日韩 亚洲 欧美在线| 九草在线视频观看| 有码 亚洲区| 纯流量卡能插随身wifi吗| 亚洲欧美精品自产自拍| 国产综合精华液| 中文在线观看免费www的网站| 亚洲激情五月婷婷啪啪| 美女cb高潮喷水在线观看| 高清视频免费观看一区二区| 国产精品国产三级国产av玫瑰| 久久精品国产亚洲网站| 国产成人免费无遮挡视频| 中文字幕制服av| 国产免费一级a男人的天堂| 91在线精品国自产拍蜜月| videos熟女内射| 蜜臀久久99精品久久宅男| 精品卡一卡二卡四卡免费| 成人午夜精彩视频在线观看| 视频区图区小说| 欧美精品亚洲一区二区| 成人免费观看视频高清| 久久影院123| 涩涩av久久男人的天堂| 精华霜和精华液先用哪个| 亚洲国产最新在线播放| 国产一区亚洲一区在线观看| 最近中文字幕2019免费版| 欧美亚洲 丝袜 人妻 在线| 欧美国产精品一级二级三级 | 欧美xxⅹ黑人| 国产亚洲午夜精品一区二区久久| 国产老妇伦熟女老妇高清| 成人综合一区亚洲| 国产成人精品久久久久久| 大片电影免费在线观看免费| 国产淫片久久久久久久久| 成人综合一区亚洲| 亚洲av中文av极速乱| 狂野欧美激情性bbbbbb| 内射极品少妇av片p| 国产男人的电影天堂91| 国产在线一区二区三区精| 欧美亚洲 丝袜 人妻 在线| 高清欧美精品videossex| 一个人看视频在线观看www免费| 黑人高潮一二区| 亚洲av不卡在线观看| 国产免费一级a男人的天堂| 亚洲,一卡二卡三卡| a级一级毛片免费在线观看| 日韩不卡一区二区三区视频在线| 久久精品国产亚洲网站| 久久热精品热| 一本大道久久a久久精品| 日韩,欧美,国产一区二区三区| 国产91av在线免费观看| 久久99蜜桃精品久久| 中文乱码字字幕精品一区二区三区| 精品酒店卫生间| 国产男人的电影天堂91| 国产日韩欧美亚洲二区| 亚洲欧洲国产日韩| 国产精品国产三级国产专区5o| 全区人妻精品视频| 王馨瑶露胸无遮挡在线观看| 看免费成人av毛片| 久久综合国产亚洲精品| 97超碰精品成人国产| 各种免费的搞黄视频| 丝袜在线中文字幕| 久久韩国三级中文字幕| 久久久久久久久久成人| 久久午夜综合久久蜜桃| 久久毛片免费看一区二区三区| 99热国产这里只有精品6| 久久人人爽人人片av| 久久人妻熟女aⅴ| 日日爽夜夜爽网站| 91精品一卡2卡3卡4卡| 国产男人的电影天堂91| 一级爰片在线观看| 亚州av有码| 欧美成人午夜免费资源| 日本-黄色视频高清免费观看| 国产精品福利在线免费观看| 18禁裸乳无遮挡动漫免费视频| 国模一区二区三区四区视频| 在线观看一区二区三区激情| 交换朋友夫妻互换小说| xxx大片免费视频| 国产中年淑女户外野战色| 久久亚洲国产成人精品v| 最黄视频免费看| 精品久久久精品久久久| 青春草视频在线免费观看| 亚洲av国产av综合av卡| 日本爱情动作片www.在线观看| 伊人久久国产一区二区| 一本—道久久a久久精品蜜桃钙片| 国产精品久久久久久精品电影小说| 特大巨黑吊av在线直播| 欧美性感艳星| 免费在线观看成人毛片| 中国美白少妇内射xxxbb| 久久精品国产自在天天线| 我要看黄色一级片免费的| 久久久欧美国产精品| 最黄视频免费看| 春色校园在线视频观看| av视频免费观看在线观看| 日韩伦理黄色片| 亚洲四区av| 欧美老熟妇乱子伦牲交| 蜜桃久久精品国产亚洲av| 大陆偷拍与自拍| 夫妻午夜视频| 美女中出高潮动态图| 我的女老师完整版在线观看| 黑人巨大精品欧美一区二区蜜桃 | 三级经典国产精品| 成人漫画全彩无遮挡| 80岁老熟妇乱子伦牲交| 久久久精品94久久精品| 国产又色又爽无遮挡免| 91久久精品国产一区二区三区| 日韩电影二区| 国产精品免费大片| 日韩精品免费视频一区二区三区 | 亚洲av欧美aⅴ国产| 亚洲综合精品二区| 日本-黄色视频高清免费观看| 精品卡一卡二卡四卡免费| 黄色配什么色好看| 国产av国产精品国产| 一个人看视频在线观看www免费| 国产精品免费大片| 熟女av电影| 男人舔奶头视频| 一本色道久久久久久精品综合| videossex国产| 99热这里只有是精品50| 日韩成人伦理影院| 日本黄色日本黄色录像| 一级片'在线观看视频| 国产一级毛片在线| 免费大片黄手机在线观看| 十分钟在线观看高清视频www | 18禁动态无遮挡网站| 交换朋友夫妻互换小说| 午夜福利视频精品| 一级毛片aaaaaa免费看小| 久久6这里有精品| 黑人高潮一二区| 国产乱来视频区| 边亲边吃奶的免费视频| 2021少妇久久久久久久久久久| 欧美最新免费一区二区三区| 人妻人人澡人人爽人人| 亚洲电影在线观看av| 欧美日韩国产mv在线观看视频| 亚洲成色77777| 久久韩国三级中文字幕| h日本视频在线播放| 青春草亚洲视频在线观看| 97超碰精品成人国产| 国产高清国产精品国产三级| 国产伦理片在线播放av一区| 久久99热这里只频精品6学生| 人人妻人人爽人人添夜夜欢视频 | 熟女人妻精品中文字幕| 国产极品天堂在线| 久久精品久久久久久久性| 国产精品福利在线免费观看| 韩国高清视频一区二区三区| 五月伊人婷婷丁香| 久久精品国产a三级三级三级| 精华霜和精华液先用哪个| 免费看av在线观看网站| 永久免费av网站大全| 久久午夜综合久久蜜桃| 97在线人人人人妻| 婷婷色麻豆天堂久久| 成人无遮挡网站| 欧美变态另类bdsm刘玥| 视频区图区小说| 欧美精品亚洲一区二区| 成年人免费黄色播放视频 | 久久97久久精品| 国产欧美日韩精品一区二区| 国产亚洲5aaaaa淫片| 成人无遮挡网站| 99re6热这里在线精品视频| 色婷婷av一区二区三区视频| 精品亚洲乱码少妇综合久久| 亚州av有码| 中文字幕久久专区| 亚洲欧洲精品一区二区精品久久久 | 纯流量卡能插随身wifi吗| 国产一区二区在线观看日韩| 十八禁高潮呻吟视频 | 亚洲精品一二三| 亚洲精品乱久久久久久| 亚洲美女视频黄频| 99视频精品全部免费 在线| 亚洲国产最新在线播放| 精品熟女少妇av免费看| 国产精品99久久99久久久不卡 | 久久精品久久久久久噜噜老黄| 99热这里只有精品一区| 久久久久久久久大av| 国产永久视频网站| 久久国内精品自在自线图片| 成人毛片60女人毛片免费| 乱系列少妇在线播放| 最新的欧美精品一区二区| 欧美丝袜亚洲另类| 亚洲av成人精品一二三区| 丁香六月天网| √禁漫天堂资源中文www| 免费看不卡的av| 成人漫画全彩无遮挡| 伊人久久精品亚洲午夜| 一区二区三区免费毛片| 永久网站在线| 一级黄片播放器| 亚洲欧美精品专区久久| 黑人巨大精品欧美一区二区蜜桃 | 人人妻人人澡人人看| 精品人妻一区二区三区麻豆| 九色成人免费人妻av| 自拍偷自拍亚洲精品老妇| 国产高清有码在线观看视频| 精品少妇黑人巨大在线播放| 国产男人的电影天堂91| 亚洲成色77777| 国产午夜精品久久久久久一区二区三区| 日本欧美国产在线视频| 久久久久久久久久久免费av| 丰满迷人的少妇在线观看| 国产色爽女视频免费观看| 免费播放大片免费观看视频在线观看| 久久狼人影院| 亚洲精品亚洲一区二区| 久久97久久精品| 美女中出高潮动态图| 我的女老师完整版在线观看| 亚洲精品国产av蜜桃| 国产精品国产三级专区第一集| 2021少妇久久久久久久久久久| 久久女婷五月综合色啪小说| 一级毛片我不卡| 天天操日日干夜夜撸| 在线免费观看不下载黄p国产| 久久国产乱子免费精品| 国产在线一区二区三区精| 99re6热这里在线精品视频| 国产伦精品一区二区三区视频9| tube8黄色片| 丰满乱子伦码专区| 日韩,欧美,国产一区二区三区| 午夜91福利影院| 亚洲国产精品一区二区三区在线| 国产精品一二三区在线看| av免费观看日本| 精品亚洲乱码少妇综合久久| 精品久久国产蜜桃| 国产亚洲欧美精品永久| 一级毛片aaaaaa免费看小| 18禁在线播放成人免费| 老司机影院毛片| 国产老妇伦熟女老妇高清| 国产亚洲5aaaaa淫片| 国产爽快片一区二区三区| 爱豆传媒免费全集在线观看| 亚洲欧美成人精品一区二区| 嫩草影院入口| 国内少妇人妻偷人精品xxx网站| 建设人人有责人人尽责人人享有的| 精品久久久久久久久亚洲| av在线app专区| 夫妻午夜视频| 国产精品一区二区三区四区免费观看| 久久国内精品自在自线图片| 自拍偷自拍亚洲精品老妇| 欧美成人午夜免费资源| 九色成人免费人妻av| 国产精品99久久久久久久久| 色视频在线一区二区三区| 王馨瑶露胸无遮挡在线观看| 性色avwww在线观看| 精品人妻熟女毛片av久久网站| 免费av中文字幕在线| 久久国产精品男人的天堂亚洲 | 极品少妇高潮喷水抽搐| 日韩精品有码人妻一区| 国产欧美日韩一区二区三区在线 | 国产精品嫩草影院av在线观看| 一级,二级,三级黄色视频| 亚洲国产成人一精品久久久| 国产男人的电影天堂91| 精品少妇黑人巨大在线播放| 我要看黄色一级片免费的| 在线观看国产h片| 色5月婷婷丁香| 久久午夜福利片| 中文天堂在线官网| 三上悠亚av全集在线观看 | 亚洲性久久影院| 精品国产国语对白av| 在线观看av片永久免费下载| 如何舔出高潮| 中文精品一卡2卡3卡4更新| 久久亚洲国产成人精品v| 好男人视频免费观看在线| 久久久久久久久久久久大奶| 三上悠亚av全集在线观看 | 精品人妻熟女毛片av久久网站| 亚洲综合精品二区| 国产黄频视频在线观看| 丁香六月天网| 亚洲情色 制服丝袜| av天堂中文字幕网| 一级黄片播放器| 精品一区二区免费观看| 蜜桃在线观看..| 毛片一级片免费看久久久久| 91午夜精品亚洲一区二区三区| 不卡视频在线观看欧美| 91在线精品国自产拍蜜月| 欧美xxⅹ黑人| 91精品国产九色| xxx大片免费视频| 十八禁网站网址无遮挡 | 一区二区三区精品91| 精品人妻一区二区三区麻豆| 成人18禁高潮啪啪吃奶动态图 | 婷婷色麻豆天堂久久| 久久久久久久久久久丰满| 黑人巨大精品欧美一区二区蜜桃 | 亚洲精品乱久久久久久| 欧美激情国产日韩精品一区| 一本一本综合久久| av福利片在线| a级一级毛片免费在线观看| 在线观看免费高清a一片| 22中文网久久字幕| 99久久人妻综合| 久久ye,这里只有精品| 亚洲成人av在线免费| 国产精品国产三级国产专区5o| 亚洲国产精品专区欧美| 中文资源天堂在线| 久久国内精品自在自线图片| 久久国产乱子免费精品| 美女中出高潮动态图| 91久久精品国产一区二区成人| 在线观看av片永久免费下载| 一级av片app| 一区二区av电影网| 精品亚洲成a人片在线观看| 国产成人精品婷婷| xxx大片免费视频| 久久午夜福利片| 夫妻性生交免费视频一级片| 色视频在线一区二区三区| 欧美日本中文国产一区发布| 久久韩国三级中文字幕| 国产欧美亚洲国产| 一级毛片我不卡| 在线看a的网站| 在线免费观看不下载黄p国产| 免费高清在线观看视频在线观看| 国产无遮挡羞羞视频在线观看| 久久精品久久久久久噜噜老黄| 精品亚洲乱码少妇综合久久| 日韩大片免费观看网站| 国产精品麻豆人妻色哟哟久久| 国产一区亚洲一区在线观看| 男女无遮挡免费网站观看| 激情五月婷婷亚洲| 亚洲国产精品999| 免费观看性生交大片5| 免费av不卡在线播放| 欧美 亚洲 国产 日韩一| 色网站视频免费| 国产精品熟女久久久久浪| 看非洲黑人一级黄片| 国产精品一区二区在线观看99| 美女福利国产在线| 国产亚洲5aaaaa淫片| 一个人免费看片子| 久久97久久精品| 亚洲精品视频女| 丁香六月天网| 国产高清有码在线观看视频| 男女边摸边吃奶| 在线观看人妻少妇| 亚洲,一卡二卡三卡| 亚洲精品视频女| 欧美精品高潮呻吟av久久| 久久 成人 亚洲| av在线观看视频网站免费| 欧美97在线视频| 王馨瑶露胸无遮挡在线观看| 亚洲美女黄色视频免费看| 精品视频人人做人人爽| 99久久综合免费| 深夜a级毛片| 成年女人在线观看亚洲视频| 日韩成人伦理影院| 好男人视频免费观看在线| 日本av免费视频播放| a级一级毛片免费在线观看| 亚洲va在线va天堂va国产| 最黄视频免费看| 熟女av电影| 丝袜脚勾引网站| 中国三级夫妇交换|