信息安全工作思路范文
前言:我們精心挑選了數(shù)篇優(yōu)質(zhì)信息安全工作思路文章,供您閱讀參考。期待這些文章能為您帶來啟發(fā),助您在寫作的道路上更上一層樓。
第1篇
面對復(fù)雜的安全環(huán)境,P2P網(wǎng)貸平臺要轉(zhuǎn)變工作思路,以人員、技術(shù)和流程為核心,構(gòu)建主動式防御體系,才能確保平臺信息安全。投資者在投資過程中也要對相關(guān)知識加以了解,提高信息保護(hù)意識,盡可能地避免個(gè)人信息安全泄露帶來的安全問題。
令人擔(dān)憂的P2P信息安全環(huán)境
P2P信息安全環(huán)境可從外部環(huán)境和內(nèi)部環(huán)境兩方面來看。
外部環(huán)境
2013年年底,廣東地區(qū)多家P2P網(wǎng)絡(luò)借貸平臺遭到黑客惡意攻擊及勒索。2014年年初,多家P2P網(wǎng)絡(luò)借貸平臺遭到Ddos攻擊,攻擊流量達(dá)到數(shù)萬兆,并發(fā)送連接請求超過10億次。2014年,多家P2P平臺曾遭遇黑客攻擊。黑客通過申請賬號、篡改數(shù)據(jù)、冒充投資人進(jìn)行惡意提現(xiàn)。
通常,黑客會進(jìn)行“精準(zhǔn)打擊”,即在一個(gè)網(wǎng)貸平臺處于“薄弱”時(shí)下手,如產(chǎn)品到期兌付期間。另外,也有因黑客惡意攻擊P2P網(wǎng)貸平臺,導(dǎo)致客戶信息泄露的情況。例如2014年7月轟動一時(shí)的烏云安全漏洞事件——某軟件公司服務(wù)的100多家P2P平臺都遭到了黑客的攻擊,大部分被攻擊的P2P平臺損失慘重。
內(nèi)部環(huán)境
除了外部因素,企業(yè)自身也存在諸多問題,問題的存在使平臺的信息安全無法得到保障。主要有以下幾方面原因,如圖1所示。
一是P2P平臺經(jīng)營者主要以創(chuàng)業(yè)者為主,平臺與架構(gòu)投入不大,技術(shù)門檻較低。
二是內(nèi)部安全技術(shù)能力有待提高,安全投入不足。
三是內(nèi)部操作人員安全意識較低,操作流程不規(guī)范。
四是P2P網(wǎng)貸平臺雖然提供金融服務(wù),但相比其他金融機(jī)構(gòu)的安全防護(hù)水平還有一定差距。
五是黑客攻擊、Ddos攻擊以及CC攻擊等常見的攻擊手段調(diào)查取證難,同時(shí),為了維護(hù)平臺形象,往往采取“息事寧人”的方式。
六是平臺處于生存與發(fā)展期,缺乏對信息安全的重視與規(guī)劃。
構(gòu)建縱深防御體系
建立安全管理學(xué)概念:通過設(shè)置多層重疊的安全防護(hù)系統(tǒng)而構(gòu)成多道防線,使得即使某一防線失效也能被其他防線彌補(bǔ)或糾正,即通過增加系統(tǒng)的防御屏障或?qū)⒏鲗又g的漏洞錯(cuò)開的方式防范差錯(cuò)的發(fā)生,如圖2所示。 以人員、技術(shù)和流程為核心,構(gòu)建主動式防御體系,通過以下六個(gè)維度轉(zhuǎn)變信息安全工作思路,保證管理體系滿足前瞻的、相對領(lǐng)先的和可持續(xù)管理的要求,從而將信息安全工作由被動轉(zhuǎn)變?yōu)橹鲃樱瑒?chuàng)造業(yè)務(wù)價(jià)值。
信息安全 建立從上到下的主動管理機(jī)制,主動更新各層次安全策略。
組織、職責(zé)、流程 建立高效的信息安全組織以及科學(xué)的信息安全績效考核機(jī)制。
主動式信息資產(chǎn)保護(hù) 信息資產(chǎn)管理標(biāo)準(zhǔn)和工具平臺,設(shè)立分級保護(hù)措施、主動的信息資產(chǎn)變更和追蹤機(jī)制。
自動化的審計(jì)和監(jiān)控 采用全自動、全天候監(jiān)控系統(tǒng),實(shí)時(shí)地分析和響應(yīng),使得安全事故在最短時(shí)間內(nèi)得以發(fā)現(xiàn)和處置。
主動式的信息系統(tǒng)安全防御 建立主動防御的技術(shù)體系,分別在網(wǎng)絡(luò)、數(shù)據(jù)庫、服務(wù)器和用戶端部署主動防御的工具。
信息安全風(fēng)險(xiǎn)評估 主動進(jìn)行信息安全風(fēng)險(xiǎn)的識別和評估,包括:漏洞掃描、滲透測試和補(bǔ)丁管理等。
P2P面臨的信息安全威脅
當(dāng)前,P2P網(wǎng)貸企業(yè)信息安全威脅正在向產(chǎn)業(yè)化、復(fù)雜性、技術(shù)更新快等趨勢發(fā)展。
攻擊的趨利與產(chǎn)業(yè)化 所謂黑色產(chǎn)業(yè)(簡稱黑產(chǎn)),就是不法分子利用計(jì)算機(jī)技術(shù)漏洞獲取利益的一個(gè)地下產(chǎn)業(yè)。在黑產(chǎn)中,成熟的產(chǎn)業(yè)鏈條已經(jīng)形成,有偷取數(shù)據(jù)的;有販賣數(shù)據(jù)的;有利用數(shù)據(jù)推銷詐騙的;也有直接利用網(wǎng)民網(wǎng)銀數(shù)據(jù)盜取財(cái)產(chǎn)犯罪的。也就是說,除了網(wǎng)銀賬戶、密碼等賬戶信息外,網(wǎng)民的手機(jī)號碼、家庭住址、興趣愛好等隱私信息也是黑產(chǎn)中較為常見的交易商品。
新技術(shù)的影響 新技術(shù)運(yùn)用對P2P網(wǎng)貸平臺信息安全的影響主要來自以下幾方面。
一是云安全與虛擬化安全,包括云架構(gòu)安全、云應(yīng)用安全、云存儲安全、虛擬化。
二是移動安全,包括個(gè)人終端安全、移動商務(wù)安全、移動應(yīng)用安全。
三是數(shù)據(jù)安全與隱私保護(hù),包括數(shù)據(jù)安全、大數(shù)據(jù)安全、隱私保護(hù)、跨境數(shù)據(jù)流。
行業(yè)屬性 網(wǎng)絡(luò)安全不僅僅是信息技術(shù)的問題,還涉及人員、信息、系統(tǒng)、流程、文化以及物理的環(huán)境。其目的是建立一個(gè)動態(tài)的安全環(huán)境,面對攻擊威脅時(shí)企業(yè)仍可以保持業(yè)務(wù)正常運(yùn)作,即保障業(yè)務(wù)的可用性、完整性與保密性,如圖3所示。
當(dāng)前防護(hù)體系面臨的困境
當(dāng)前,P2P網(wǎng)貸企業(yè)防護(hù)企業(yè)面臨的困境主要有以下幾方面。
一是行業(yè)內(nèi)的安全威脅,如針對行業(yè)的特定攻擊、黑名單、同質(zhì)化平臺的威脅、針對業(yè)務(wù)的攻擊威脅等,這類威脅一般無法及時(shí)有效應(yīng)對。
二是某一點(diǎn)確認(rèn)的威脅事件不能及時(shí)在組織內(nèi)有效地進(jìn)行共享,組織內(nèi)部難以有效協(xié)調(diào)。
三是難以從海量的安全事件發(fā)現(xiàn)真正的攻擊行為,IDS、SOC等傳統(tǒng)安全產(chǎn)品使用效率低下。
四是不同類型、不同廠商的安全設(shè)備之間的漏洞、威脅信息不通用,不利于大型網(wǎng)絡(luò)的維護(hù)管理。
第2篇
2019年以來,黨組認(rèn)真按照《市委關(guān)于進(jìn)一步加強(qiáng)和改進(jìn)意識形態(tài)工作的實(shí)施意見》文件要求,在網(wǎng)絡(luò)安全工作方面扎扎實(shí)實(shí)地做到了一些工作,現(xiàn)將具體情況報(bào)告如下:
一、領(lǐng)導(dǎo)重視 機(jī)構(gòu)健全
年初,召開了網(wǎng)絡(luò)安全專題會議,會上對網(wǎng)絡(luò)安全工作進(jìn)行了專門安排和部署,明確了網(wǎng)絡(luò)安全工作任務(wù)分解。市場辦成立以副縣級任為組長、綜合處長任副組長、各處室微機(jī)員為成員的網(wǎng)絡(luò)工作小組,下設(shè)網(wǎng)絡(luò)安全工作辦公室,辦公室設(shè)在綜合處,日常工作由綜合處負(fù)責(zé)。
二、建章立制 科學(xué)管理
首先,根據(jù)上級文件求,網(wǎng)絡(luò)安全工作領(lǐng)導(dǎo)小組成員針對單位實(shí)際情況進(jìn)行了綜合分析。并確定了在網(wǎng)絡(luò)安全方面應(yīng)重點(diǎn)加強(qiáng)三個(gè)方面的管理和規(guī)范:一是利用郵箱、微信、QQ、固定電話等通訊方式傳達(dá)上級文件和會議精神存在不安全因素問題;二是日常文檔存儲工具優(yōu)盤、可移動硬盤在交叉使用中易感染病毒的問題。三是微機(jī)房的管理問題。為解決這一問題,市場辦立足于建章立制,先后制訂了《網(wǎng)絡(luò)機(jī)房管理制度》、《文件傳輸管理制度》、《保密制度》,并倡導(dǎo)各單位要使用正版軟件,防止網(wǎng)絡(luò)病毒侵害計(jì)算機(jī)數(shù)據(jù),造成系統(tǒng)癱瘓、數(shù)據(jù)丟失或泄秘事件的發(fā)生。
三、加強(qiáng)培訓(xùn) 確保安全
進(jìn)一步規(guī)范市場辦網(wǎng)絡(luò)安全管理工作,明確網(wǎng)絡(luò)安全責(zé)任,強(qiáng)化網(wǎng)絡(luò)安全工作,今年上半年,我單位對機(jī)關(guān)處室、基層各單位辦公室工作人員進(jìn)行了有關(guān)網(wǎng)絡(luò)知識的專業(yè)培訓(xùn),提高了工作人員的網(wǎng)絡(luò)安全意識,確保了辦公網(wǎng)絡(luò)安全。除此之外,還對加強(qiáng)網(wǎng)絡(luò)邊界管理、細(xì)化防火墻安全策略、關(guān)閉不必要的應(yīng)用、服務(wù)和端口,對需要開放的遠(yuǎn)程服務(wù)采用白名單方式進(jìn)行訪問控制。利用殺毒軟件和安全客戶端進(jìn)行極端及病毒查殺,強(qiáng)化Ip地址與U盤使用管理,開展計(jì)算機(jī)弱口令自查工作,繼續(xù)完善網(wǎng)絡(luò)信息安全技術(shù)防護(hù)設(shè)施,配備必要的安全防御和監(jiān)測準(zhǔn)入制度,從根本上降低安全風(fēng)險(xiǎn)。定期對操作系統(tǒng)進(jìn)行漏洞掃描和隱患排查,計(jì)算機(jī)辦公主動防護(hù)體系得到了完善和加強(qiáng)。
四、加強(qiáng)硬件建設(shè),防患于未然
在網(wǎng)絡(luò)安全方面,市場辦做到了軟、硬件建設(shè)結(jié)合,硬件上下功夫,對機(jī)房進(jìn)行了上檔升級,安裝了靜電地板、配備了不間斷電源組、對舊線路進(jìn)行了更新、新安裝了避雷設(shè)備,確保了網(wǎng)絡(luò)機(jī)房的正常運(yùn)轉(zhuǎn)和使用安裝。
第3篇
一、引言
當(dāng)前,基層央行內(nèi)聯(lián)網(wǎng)計(jì)算機(jī)都安裝了信息安全產(chǎn)品(Symantec Endpoint Protection防殺毒軟件、LANDesk Management補(bǔ)丁自動分發(fā)系統(tǒng)、H3C iNode身份認(rèn)證智能客戶端、TSMS-Agent桌面桌面安全助手),對增強(qiáng)基層央行網(wǎng)絡(luò)和信息系統(tǒng)安全的技防水平、防范信息安全風(fēng)險(xiǎn)發(fā)揮了重要作用。但由于信息安全產(chǎn)品功能齊全、防御能力強(qiáng)大、界面眾多、操作復(fù)雜,干部職工對信息安全產(chǎn)品知識了解不深、操作能力不強(qiáng)、熟練程度不高,而基層央行科技人員少,大多數(shù)是兼職,科技力量薄弱,管理力度不夠,檢查頻度不到位,對信息安全風(fēng)險(xiǎn)點(diǎn)防控難于全覆蓋。為了改變這種現(xiàn)狀,人行宜黃縣支行秉承信息安全“三分技術(shù)、七分管理”的理念,堅(jiān)持針對性、實(shí)用性的原則,以圖文并茂、簡明扼要的形式,圍繞基層央行四大信息安全產(chǎn)品編制了《信息安全產(chǎn)品操作簡本》。該《簡本》對信息安全產(chǎn)品客戶端的功能、安裝和卸載、運(yùn)行維護(hù)、操作管理以及常見問題的解決措施等方面進(jìn)行了提煉和重點(diǎn)解讀,規(guī)范了信息安全產(chǎn)品操作使用流程,給干部職工提供了明確的工作目標(biāo)、清晰的工作思路、簡捷的操作手段。
二、主要做法
(一)高度重視,周密部署
多年來,支行始終重視信息安全管理工作,狠抓信息風(fēng)險(xiǎn)防范不放松。今年按照上級行信息安全工作部署,支行建立了領(lǐng)導(dǎo)責(zé)任制,落實(shí)了責(zé)任人,形成了上下互動、整體聯(lián)動的組織體制和層層抓落實(shí)的工作格局,以健全制度為抓手,以創(chuàng)新簡本為手段,以規(guī)范操作為支撐,認(rèn)真抓好信息安全工作。支行多次召開《金融信息安全工程》工作專題會,研究部署《信息安全產(chǎn)品操作簡本》編制工作,分解落實(shí)各項(xiàng)任務(wù),按照任務(wù)分工和時(shí)間要求,有序推進(jìn)信息安全工作。
(二)多方互動,循序漸進(jìn)
支行科技人員貼近業(yè)務(wù),貼近實(shí)際,深入調(diào)查;積極組織各業(yè)務(wù)股室人員召開會議,認(rèn)真討論分析,研究信息安全產(chǎn)品操作簡本編制方案;積極與中支科技科通過電話、郵件溝通交流,在科技科指導(dǎo)下開展創(chuàng)新;經(jīng)過多次修改、完善,力求使信息安全產(chǎn)品操作簡本內(nèi)容詳盡、使用方便、實(shí)用高效;最后形成電子文檔,并打印成冊。
(三)依托簡本,規(guī)范操作
支行強(qiáng)化“授人以魚、不如授人以漁”的教育理念,以信息安全產(chǎn)品操作簡本為藍(lán)本,將簡本通過郵件下發(fā)給各股室,并在支行信息港上提供下載,方便干部職工學(xué)習(xí)使用;同時(shí)支行科技人員依托“每月一講”教育機(jī)制,經(jīng)常性、多形式地對全行干部職工進(jìn)行了信息安全產(chǎn)品知識培訓(xùn)和計(jì)算要安全知識培訓(xùn),組織了信息安全產(chǎn)品知識測試,并深入到各股室進(jìn)行專門上機(jī)輔導(dǎo),營造“學(xué)知識、促規(guī)范、保安全”的氛圍。通過對信息安全知識輔導(dǎo)培訓(xùn)和測試,使信息安全產(chǎn)品操作使用知識入眼、入耳、入心,提高了全行干部職工遵章守紀(jì)的意識和熟練操作的技能;各股室人員在實(shí)際操作中,充分發(fā)揮簡本的作用,熟練、快速、規(guī)范地操作安全產(chǎn)品,為支行防范信息安全風(fēng)險(xiǎn)架起一道新防線。
(四)開展競賽,強(qiáng)化考核
支行以信息安全產(chǎn)品操作簡本為基礎(chǔ),積極開展信息安全競賽活動,將信息安全工作列入各股室年終績效考核的重點(diǎn)內(nèi)容,確定了涵蓋計(jì)算機(jī)安全產(chǎn)品使用、計(jì)算機(jī)病毒風(fēng)險(xiǎn)監(jiān)控、計(jì)算機(jī)系統(tǒng)漏洞修復(fù)等方面的安全目標(biāo),同時(shí)加大了巡查和考核力度,把過去的計(jì)算機(jī)安全“軟任務(wù)”轉(zhuǎn)化為現(xiàn)在便于落實(shí)的“硬指標(biāo)”,達(dá)到“以競賽促管理,以管理促規(guī)范,以規(guī)范促發(fā)展”的目標(biāo),不斷推動支行信息安全工作健康有序發(fā)展。
(五)探索機(jī)制,形成長效
在使用信息安全產(chǎn)品操作簡本的同時(shí),支行總結(jié)多年信息安全風(fēng)險(xiǎn)防范工作經(jīng)驗(yàn),立足風(fēng)險(xiǎn)點(diǎn),建立了“三色”預(yù)警機(jī)制(藍(lán)色突出警示引導(dǎo)功能,橙色突出監(jiān)督糾錯(cuò)功能,紅色突出懲處警戒功能),通過“導(dǎo)”、“督”、“懲”,深入推進(jìn)支行金融信息風(fēng)險(xiǎn)預(yù)警與控制機(jī)制建設(shè),充分發(fā)揮引導(dǎo)一人、督促一片、教育全行的警示作用。
三、取得成效
(一)增強(qiáng)了信息安全管理的責(zé)任心
《信息安全產(chǎn)品操作簡本》針對性、實(shí)用性很強(qiáng),干部職工一冊在手,對信息安全產(chǎn)品的操作不再束手無策,而是胸有成竹,變信息安全“觀念淡”為“意識濃”,變被動接受科技人員安全服務(wù)為自身主動實(shí)施安全管理,變信息安全管理“單打一”為“大家抓”,強(qiáng)化了安全管理的責(zé)任心、積極性。
(二)增強(qiáng)了信息安全管理的執(zhí)行力
《信息安全產(chǎn)品操作簡本》內(nèi)容豐富,簡潔明了,查找方便,對全行干部職工提供了強(qiáng)有力的技術(shù)支撐和保障,使復(fù)雜的工作實(shí)現(xiàn)了可見、可觸的具體管理,安全產(chǎn)品操作上更簡捷、快速、高效,信息安全管理制度的執(zhí)行效果更明顯,自覺加強(qiáng)開機(jī)密碼和屏保保護(hù),定期檢查防病毒系統(tǒng)和補(bǔ)丁分發(fā)系統(tǒng),計(jì)算機(jī)補(bǔ)丁升級、病毒庫更新、禁用U盤和卸載非法軟件等全部執(zhí)行到位,嚴(yán)防磁介質(zhì)、U盤等載體病毒,從源頭上控制了內(nèi)聯(lián)網(wǎng)計(jì)算機(jī)感染病毒現(xiàn)象的發(fā)生,很好地堵塞了計(jì)算機(jī)操作系統(tǒng)漏洞、杜絕了業(yè)務(wù)信息系統(tǒng)犯罪、隔離了內(nèi)外網(wǎng)非法互聯(lián)風(fēng)險(xiǎn)。
(三)增強(qiáng)了網(wǎng)絡(luò)平臺的安全度
《信息安全產(chǎn)品操作簡本》幫助支行干部職工對安全產(chǎn)品操作的側(cè)重點(diǎn)更加清楚,信息安全管理和風(fēng)險(xiǎn)控制意識更強(qiáng),網(wǎng)絡(luò)操作行為更加規(guī)范化,有效地提升了業(yè)務(wù)人員安全管理水平,由過去主要依托科技專管員“單獨(dú)抓”轉(zhuǎn)變?yōu)楝F(xiàn)在全行員工“共同抓”,從而構(gòu)建了一張全方位、多層次、立體型綜合網(wǎng)絡(luò),為建造綠色安全的網(wǎng)絡(luò)平臺奠定了基礎(chǔ),為各項(xiàng)信息系統(tǒng)安全穩(wěn)定運(yùn)行提供了保障。
(四)增強(qiáng)了內(nèi)控監(jiān)督的實(shí)效性
《信息安全產(chǎn)品操作簡本》幫助支行業(yè)務(wù)部門操作人員實(shí)現(xiàn)信息安全“自控”、相互制約崗位信息安全之間“互控”、不同部門之間信息安全的“聯(lián)控”、科技人員的信息安全“專控”以及支行計(jì)算機(jī)安全領(lǐng)導(dǎo)小組的“監(jiān)控”,完善了支行信息安全內(nèi)控監(jiān)督機(jī)制,強(qiáng)化了信息安全內(nèi)控約束力度,堵塞各類計(jì)算機(jī)安全案件和事故隱患發(fā)生。
