信息安全在造船企业中的应用.doc

信息安全在造船企业中的应用 ——加强桌面计算机管理，保护企业信息安全 陈凌宙，戎朝阳，宋 娇 （） 摘要：随着信息化技术在船舶建造各个阶段的全面，信息安全问题日显重要。任何疏忽和漏洞都可能造成企业核心竞争力的削弱和国家秘密（商业秘密）的泄漏。本文简述了信息安全体系在造船企业中的应用着重了加强用户桌面计算机管理。 关键词： 中图分类号： 文献标识码：B 文章编号：1005 01-0064-05 Abstract: Information Security becomes increasingly important with information technology completely carrying out in a deep-going way. Any carelessness and vulnerabilities could cause not only weakness of the core competitive power of an enterprise but also betrayal of state secrets (business secrets). The article, emphasized on strengthening the desktop computer management on clients to protect safety of information in enterprises, would explain the application of the information security system to shipbuilding enterprises. Key words: information security; shipbuilding enterprise; desktop computer; secret 当前，通过实现数字化造船提高企业核心竞争力已成为做大做强船舶企业的重要举措。要在竞争中立于不败之地，必须重视信息安全体系建设，好专有技术在内的设计图纸、生产工艺、建造大纲、厂商表等敏感信息的安全有效保护企业信息资产1 信息安全体系的组成和分类 信息安全体系的组成和分类可以用图1表示图可以看出信息安全贯穿信息化建设的全过程，涉及每一个信息模块。信息安全体系中与造船企业密切相关的有两方面内容：信息安全技术体系和信息安全管理体系。 一般来讲，大型造船企业在信息化建设过程中面临的信息安全技术问题可分为网络/系统安全和信息数据安全。 网络/系统安全方面，企业需要防止网络系统遭到没有授权的存取或破坏以及非法入侵（包括拒绝服务攻击DoS/DDoS），保证网络设备、服务器系统、群件系统、应用系统等基础设施和应用环境的稳定性、可靠性可用性。采技术手段解决方案产品有：防火墙、入侵检测、非法外联、准入控制、漏洞扫描系统、防病毒和恶意代码、防止信息泄漏系统、安全网关、审计系统等。 在信息数据安全方面，信息生成单位需要防止机要的、敏感的信息数据被窃取、篡改、破坏或非法复制、传递、使用等，保证信息的机密性完整性。目前主要技术手段产品有：身份认证、用户管理、访问控制、数字证书系统、电子签名、加密解密、安全事件收集与分析、密码技术数据备份恢复等。 信息安全不仅仅是技术问题，更重要的是管理，与社会道德、人员意识、行业管理水平以及人们的行为模式紧密地联系在一起。“人是信息安全的核心，人的因素是信息安全概念的核心主题，实施安全保障的不是技术而是人”。技术是手段，管理是核心，尤其在信息安全初始发展阶段，更应该发挥人在信息保障中的主观能动性。加强信息安全管理制度的建设，通过不断完善规章制度反复宣传认真执行强化监督审查奖惩并举，逐步全员自觉保守国家/商业秘密的。信息安全管理体系包括多方面的内容，主要有：安全政策与标准体系框架、安全组织、人员安全／安全意识教育、安全审计与监督、信息资产管理、应用安全管理、身份认证与访问控制管理、网络与系统安全管理、物理和环境安全管理业务持续与灾难恢复管理等。 图1 信息安全的组成和分类图 2 造船企业信息安全建设应遵循的原则 信息安全建设的设计思路应该遵循“以应用为龙头，以管理为核心，以技术和产品为手段”的基本原则具体： 统一规划、分步实施的原则。在总体规划的基础上，应根据信息系统的安全需求，重点突出，分步实施，最终建立一套完善的信息安全体系。 多层次防御、主动防御的设计原则。对于重要的信息系统，不能仅仅依靠一种防范措施，必须建立多级防范体系，建立安全管理中心，从多方面、多层次对系统进行保护。 分层次、分级别的安全防护原则。由于造船企业信息系统的用户级别划分的严格性、系统的复杂性、文档的多密级性，信息安全