時間:2023-10-10 10:38:38
引言:易發表網憑借豐富的文秘實踐,為您精心挑選了九篇企業信息安全現狀范例。如需獲取更多原創內容,可隨時聯系我們的客服老師。
關鍵詞:信息安全;現狀;策略
信息安全管理已經成為企業加強信息化進程以及提高企業管理水平的一項重要內容,它是確保企業信息管理系統高效運行,促進企業健康、穩定發展的一個重要前提。近幾年來,隨著ERP在企業中的投入使用,使企業的信息化工作內容得以拓展,企業對信息系統的安全性也日益關注,怎樣保證信息系統的安全、高效,已經成為擺在各個企業面前的一項重要課題。
1.信息安全管理意義
1.1信息安全是企業實現可持續發展的需要
隨著計算機網絡技術的普及應用,如何確保涉及到企業經營發展的各種信息、資料的安全性,已經成為企業必須要解決的一個問題。現階段,大多數企業的數據信息,甚至是關系到企業戰略規劃的重要信息,都是以電子文件的形式進行保存的,對于企業來說,這些信息如果泄露、丟失或者遭到惡意破壞,其后果是不堪設想的。因此,企業必須要具有預見性與前瞻性,要站在戰略發展的高度來看待信息安全問題,必須建立起一套操作性強的防范機制,要從操作系統、芯片技術以及網絡建設等方面入手,就安全保障體系進行積極構建。
1.2信息安全是實現企業平穩、健康發展的前提
現階段,我國企業的信息安全建設,還沒有形成一個成熟,可供廣泛借鑒的安全體系,同時基礎也相對薄弱,這些問題都亟待解決。而且信息安全已經成為關系企業未來發展的一個重要問題,我們必須要認清加強企業信息安全建設的緊迫性,要從維護企業利益的角度來看待信息安全建設問題,做好基礎設施的建設工作,以及信息安全體系的構建工作,實現企業的平穩、健康發展。
1.3信息安全是知識經濟時展的需要
計算機網絡技術的普及應用,使得企業內部各部門之間的信息交換,以及企業對外部信息的獲取日益頻繁,這也令企業對網絡技術愈加依賴,計算機網絡技術對整個商業運作方式也帶來了巨大的影響,從而出現了電子商務,也對企業生產方式、經營理念,產生了巨大的沖擊,推動了企業發展以及現代經營理念的構建。但是,信息的安全問題也日益突出,比如信息在存儲、處理以及傳輸過程中經常存在著被非法截取、惡意破壞以及篡改的現象。所以,信息安全是知識經濟時代這一大背景下,企業發展必須要解決的問題。
2.信息安全管理的現狀
2.1信息管理的安全意識方面
人員、機器設備、原材料、制度是一個企業在進行生產經營時不可缺少的幾個基本要素,隨著知識經濟的到來,信息的重要性日益受到企業管理界的認同,信息也理所當然的成為生產經營過程中,不可或缺的一個非常重要的因素。但是就目前的企業對信息安全管理的重視程度來看,遠遠還不夠,忽視對企業內部各種信息資產的保護,其結果必然會為企業帶來無法估計的損失,因此,企業必須要提高對信息管理安全系統的認識,積極構建、完善這一系統,保證企業信息的安全。
2.2網絡協議方面
我們在對計算機信息系統進行安全維護時,保證網絡協議的安全是維護系統安全的一個重要問題,但是計算機系統的部分協議,比如TCP/IP 協議,這部分協議以及其構架通常也是在因特網上進行共享的,這樣必然會為系統的安全埋下隱患。而且這也是計算機信息系統安全構成威脅的一個主要來源,而它對計算機系統的破壞是巨大的。所以,我們在對計算機信息系統進行維護時,必須要關注到這一點,杜絕類似事件的發生。現階段,注意網絡不明信息、非法訪問以及網絡協議等對系統安全構成威脅的問題,是確保信息傳送過程安全性的重要前提,是我們在構建企業信息網絡系統時,必須要考慮的問題。
2.3信息安全產品本身存在的問題
通常情況下,多數企業在建設信息管理系統的同時,也采用了相關的信息安全產品。如果信息安全產品本身存在著漏洞的話,這必然會直接導致企業信息系統安全機制的失效。但是計算機系統的安全隱患絕不局限于產品本身存在的缺陷,如果信息安全產品本身是完善的,不存在著任何缺陷與隱患,但是我們在使用產品的過程中,會因為用戶配置、操作上的失誤,或者對產品安全性能不夠了解,使其性能降低,而起不到保護系統安全的作用也是有可能的。
2.4資金投入不夠
我國企業想要對信息安全系統進行構建,就必須投入大量的資金,同時還要吸引IT人才,加入到信息安全系統建設團隊。但是就目前我國信息安全系統構建的現狀來看,還有很多不如人意的在方,尤其是在資金投入方面,一個項目如果缺少資金投入,那么一切都是空談。筆者在實際工作中發現,有些企業非常重視硬件設備的投入,但軟件投入比較滯后,這就使硬件部分強大的功能無法得到充分發揮。
3.加強信息安全管理的策略
3.1提高信息管理的安全意識
隨著計算機網絡技術的快速發展,網絡犯罪有逐年上升的趨勢,電腦病毒、網絡黑客對計算機系統的攻擊與日俱增,企業必須出于自身利益的考慮,來加強信息安全管理方面的建設,首先要從加大宣傳,提高安全意識方面入手。企業可以定期舉行有關信息管理安全意識方面的講座、報告以及相關的培訓教育工作,使領導干部、普通員工提高對信息管理安全的重視程度,使安全防范意識深入人心,這樣有利于加強信息安全管理工作的全面展開。
3.2設計加密體制對系統進行保護
當今社會是一個信息化程度高度發達的社會,人們利用互聯網對信息進行收集、整理、分析、處理的程度越來越高,這樣必然會導致信息安全方面存在著一定的隱患,如果我們不采取有效措施加以防范,一旦發生問題,對企業造成的危害是無法想象的。針對網絡所存在的安全隱患,我們可以采用加密系統對網內數據、文檔以及口令進行保護。如此一來,我們在網上進行數據傳送的過程,也更具針對性。加密管理過程,通常分為鏈路加密、節點加密與端點加密三個種類,我們可以根據企業的實際需求進行選擇。
3.3加強系統軟件方面的建設
一般來說,計算機無論使用哪一種版本的操作系統,都會存在著一定的安全隱患,這個世界沒有十全十美的東西,我們對操作系統也不能苛求太多。因此,這就需要我們采取積 極、有效的措施來提高系統的安全性,以期對操作系統進行很好的維護。比如對數據庫軟件、計算信息管理軟件進行更新,終端操作系統要與數據庫操作系統在版本上要統一,這樣可以便于管理,提高信息管理系統的防御能力。
3.4增加企業信息安全建設的投入
信息化已經成為社會發展的一個主流趨勢,企業必須要借助好這個“東風”,來加強自身的信息安全建設。任何一個項目的啟動,都離不開資金的投入,企業必須為信息安全建設提供物質基礎,比如購置專用服務器、軟件以及將IT資產外包等等,保證信息安全建設的順利完成。
4.總結:
綜上所述,信息安全對企業的發展有著非常重大的意義,它不但是企業自身實現可持續發展的需要,也是知識經濟時代背景下,企業的必然選擇,我們可以從提高信息管理的安全意識;設計加密體制對系統進行保護;加強系統軟件方面的建設;增加企業信息安全建設的投入等方面入手,加強企業信息安全管理方面的建設。
參考文獻:
[1]姜樺,郭永利.企業信息安全策略研究[J].焦作大學學報,2009,(01) .
關鍵詞:信息安全;網絡安全危脅;安全防護系統
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2012)26-6245-03
計算機網絡技術迅猛發展,各發電企業信息化網絡日漸普及,成為了企業科技化管理的重要手段。通過對數據的集中、共享、處理使得信息系統為發電企業生產經營、安全生產等各方面提供了巨大的科技支撐。但同時伴隨出現的病毒蔓延、不良黑客入侵、流氓軟件等多方面問題成為了不得不面對的問題,同時對發電企業的安全生產也形成了巨大的威脅,以此進一步加強發電企業信息化安全是在信息化建設初期首要考慮的問題。
1發電企業面臨的網絡安全威脅
因為信息網絡的互通性,發電企業信息化威脅,既有可能來自本企業內部,也同時可能來源于外部。其內部威脅主要來自于員工、各信息系統管理員等,根據統計,網絡安全破壞活動近80%來自于競爭對手、任何惡意的組織和個人。主要表現的安全威脅為:
1)截獲用戶標識:截獲標識指以非法手段取得合法用戶的身份信息,主要是用戶的帳號和密碼,這是絕大多數發電信息系統采用的認證防護措施。如果侵入者得知了某位合法用戶的帳號和密碼,即便該合法用戶并未被賦予其他的特權,也有可能威脅整個系統的安全。如果帳號,特別是密碼,被以明文的方式由信息網絡傳遞,侵入者通過安裝協議分析軟件對網絡通信進行監視,則可以輕松獲取。如果密碼通過明文格式保存在用戶的計算機的內存或者硬盤中,侵入者更能夠有方法發現并利用這些密碼,同時如果密碼很簡單(如手機號碼、用戶生日、私家車號牌、用戶姓名等),更加容易被侵入者通過軟件得知,在網絡上大肆傳播的黑客工具都是通過幾種常用習慣的詞典來獲取用戶密碼。
2)偽裝:當未通過授權的用戶假扮成具有合法授權的用戶,登錄發電信息系統時就形成了偽裝。當未通過授權的用戶經過偽裝成信息系統管理員或者具有信息管理超級特權的有關用戶時,截獲用戶標識的情況是威脅最大的。應為侵入者已經獲取了某位合法用戶的標識,或者因為侵入者已經使信息系統相信其擁有另外的而實際上并不存在的權限,所以偽裝是很容易出現的。網絡地址欺騙實際上就是偽裝的一中形式,侵入者通過一個合法的IP地址,然后通過此地址截獲已被授予該合法地址的系統或者是服務器訪問權限。
3)非授權操作:非授權操作使用信息系統或者資源時,信息網絡安全就受到了極大的威脅。例如,企業的發電數據和財務數據有可能被未經授權的侵入者,非法修改并利用。
4)病毒:病毒是伴隨計算機技術產生,能夠通過不斷自我復制,大范圍傳播,對計算機、信息系統及其數據產生極大破壞的程序。因為病毒具有的隱藏性和可變異性,使得廣大用戶無法防范。據有關資料調查,99%的企業或者個人受到過計算機病毒的感染,63%的數據和系統損壞來源于病毒。給受害企業或個人帶來巨大的時間和人力資源的浪費,同時重要數據文件的丟失和損壞是無法用金錢來衡量的。
5)服務拒絕:通過向發電企業信息化系統發送大量的請求或者垃圾數據,使得服務器的資源被大量占用,直至資源耗盡,使其達到無法繼續提供正常服務或者服務器崩潰的目的。在發電企業信息化系統中,這樣的攻擊可能造成重大的安全威脅。
6)惡意程序代碼:伴隨著可自執行的計算機程序與WWW站點的集成,惡意程序代碼通過Microsoft ActiveX控件或Sun Java程序的大量使用形成了極大的安全威脅。
7)特權濫用:信息系統的超級管理員故意或者錯誤地通過對某系統的特權來獲取其不應獲取的敏感數據。
8)誤操作:信息系統超級管理員、業務系統管理員、一般用戶等因對技術方面熟練度不高,操作時的失誤,引起對信息系統安全性、完整性和可靠性的損壞。
9)權限變更:一般用戶利用信息系統的漏洞提高其用戶等級,以獲取未經授權的系統權限。
10)后門:信息系統研發人員出于故意或者為了日后維護便利在信息系統中設置的專用通道,使用其可以不受企業信息系統安全措施的控制。經常被人為利用控制、破壞正常運行的系統。
11)系統研發中的錯誤和調試不全:其包含對有關數據不進行充分的檢查、對系統的邏輯運行定義不準確,同時這些錯誤和不完善沒有通過大量的、齊全的系統調試檢查出來,有可能在運行中導致數據被錯誤生成且引入信息系統,破壞了實際數據的準確性。
12)特洛伊木馬:它通過提供一些有價值的或者僅僅是有趣的功能,在用未經用戶許可的情況下拷貝文件、竊取用戶的帳號和密碼、發送用戶的重要資料或者破壞用戶系統等。木馬程序是一種常見的危害性較大的威脅,由于其不易被發現,在一般情況下,它是在二進制代碼中被發現,且大多數后綴名都為無法直接打開的文件,其特點與病毒有許多相似的地方。
13)社會工程共計:主要是的是攻擊者利用人的心理活動進行攻擊,其無需采用高深的科技手段,同時無需入侵系統來完成。僅需要通過向特定用戶了解帳號和密碼,達到其獲取數據或者信息系統訪問權的目的。絕大多數情況下、攻擊者的主要目標是企業的辦公室接待員、行政或者技術支撐人員,通過對這些類別的用戶通過電話、EMAIL或者聊天工具等方式即可完成攻擊。
2發電企業信息化情況(以五大發電集團某下屬發電公司為例)
2.1信息化網絡狀況
圖1
2.2信息化系統狀況
1)財務及資產管理(簡稱:FAM)系統,是集中部署的核心應用系統,涵蓋電廠財務核算、費用報銷、資金計劃、物資采購、庫存管理、物資計劃、超市管理、合同管理、缺陷管理、檢修管理、設備維護等功能模塊。
2)OA辦公自動化系統。實現下屬企業以及與集團公司間收發文交互、內部收發文管理、郵件及通訊目錄功能。系統還提供了值班管理、督察督辦、會議管理、車輛管理、辦公用品等行政辦公管理功能。
3)PI實時信息系統:本系統采集、存儲DCS系統、電能量、環保系統等實時運行參數,除滿足電廠對實施信息的管理需求外,還將有關數據實時傳送集成到集團公司實時系統、集團公司生產與營銷實時監管系統。
4)電廠多業務管理平臺。系統包括運行管理、計劃管理、生產統計、班組管理、標準制度、政工管理、監審管理、合理化建議等功能,其中統計、政工、監審等模塊實現了與集團公司層面相應管理模塊的系統集成。
5)安全管理平臺:功能包括安全信息、安全報表、安全檢查、工作票、操作票等管理。
6)公司MIS系統:本系統不僅作為下屬企業所有管理信息系統入口門戶,還提供了項目申報、生產日報、人力資源、融合機制管理、培訓考試、安全認證管理、靈活報表等應用功能。
7)檔案管理系統:本系統由集團公司統一實施,各單位檔案系統建設須按照集團公司統一規劃,以便于OA系統統一接口、版本升級、技術培訓等。
8)網站系統由各下屬企業自主建設和運維管理,界面設計須符合集團公司VI視覺識別系統標準,內容、運維管理遵照公司和集團公司有關規定和要求,嚴格執行安全保密等有關規定。
3發電企業網絡安全防護設計方案
發電企業信息安全體系機構由網絡安全防護、數據備份和恢復、應用系統安全、信息安全管理等幾部分組成。
3.1網絡安全防護
3.1.1系統安全域防護
將企業信息系統通過網絡安全域的形式,分為服務器、用戶兩個安全域,同時劃分多個二級安全域,主要為生產信息系統、財務系統、系統管理員、一線生產班組、普通用戶等。
3.1.2網絡的高可靠性
1)企業核心網絡設備采取雙機互為熱備形式,兩臺中心交換機設備通過雙鏈路互聯;接入層與核心層也通過雙鏈路互聯。
2)重要用戶安全域通過雙鏈路與企業核心交換連接,進一步保證其鏈路的可靠性。
3)企業核心業務系統服務器也必須通過雙鏈路接入核心層。
3.1.3防病毒
1)企業管理信息大區按照要求統一部署防病毒系統,采用國內知名品牌網絡版。安全區一、二與三區各自擁有自己的防病毒服務器。
2)對管理信息大區的服務器、終端用戶,強制按照規定部署統一的可網管的防病毒產品。
3)在互聯網接口部署防病毒網關,以防其從外部傳播到企業管理信息大區。
4)注重防病毒管理,保證病毒特征碼得到有效的更新,通過查看病毒軟件的歷史記錄,了解病毒威脅情況并積極應對。
3.1.4防火墻
在位于內外網接口處部署防火墻一臺,采用高性能硬件防火墻,國內知名品牌,具有雙安全操作系統;可以提供對復雜環境的接入支持,包括路由、透明以及混合接入模式;具備防火墻、IPSEC VPN,SSL VPN、防病毒、IPS等安全功能。
3.1.5入侵檢測系統
在核心層部署一個入侵檢測的探頭,保證入侵檢測系統能夠及時發現有關威脅。
3.1.6主機安全加固
發電企業的關鍵應用系統(如生產營銷實施監管系統、財務系統)的服務器,采取定期安全加固的形式。形式包括:定期檢查安全配置、安全補丁、加強服務器系統的訪問控制能力等。
3.2備份與恢復
對于關鍵應用系統,必須采用每天定期備份,同時人工每月全備份一次。備份的數據必須采用異地存儲的形式,且需做到專人定期檢查,防止遺漏。
3.3應用系統安全
管理信息大區中的發電企業應用系統應著重確保其安全性能夠得到保證。其主要安全建設內容包括:對系統的訪問控制、用戶帳號密碼及權限管理、操作審計管理、數據加密管理、數據完整性檢查等。
3.4信息安全管理
1)通過成立企業信息化領導小組,加強信息工作包括信息安全工作的整體管理;
2)通過制定信息網絡管理制度及各級安全防護策略;并通過正式公文下發,嚴格執行。
3)通過設立專業的信息管理人員和成立涵蓋各業務部門的兼職信息員,形成覆蓋全面的信息化安全管理網絡。
綜上所述,發電企業網絡信息安全是一個系統工程,不能僅靠殺毒軟件、防火墻、漏洞掃描等硬件設備的防護,還要意識到計算機網絡系統是一個人機系統,在建立以計算機網絡安全硬件產品為基礎的網絡安全系統的同時,也應樹立各個用戶的網絡信息安全意識才能防微杜漸,構建一個高效、安全的網絡系統。
綜上所述,發電企業信息安全是一個系統工程,不僅需要入侵檢測系統、防火墻等硬件安全設備,同時還要注意信息系統是一個廣泛使用的人機互動系統,必須通過系列的安全管理措施和規章制度,進一步強化各級用戶的信息安全意識,做到信息安全人人有責、信息安全從自我做起,才能構建起一個高效、安全的企業信息化網絡。
參考文獻:
網絡環境下保障企業信息的安全性對企業地發展具有重大的、直接的現實意義。深入研究與開發計算機信息安全技術,減少或避免網絡信息系統的破壞與故障,對企業發展具有積極的作用。但就現實發展來看,目前企業網絡信息安全建設仍處于探索階段,優化企業網絡安全,吸取前沿的安全技術,實現企業網絡信息又快又好地發展成為眾企業關注的焦點問題。
一、企業網絡信息安全的基本目標
企業網絡信息安全技術的研究與開發最終目的是實現企業信息的保密性、完整性、可用性以及可控性。具體來講市場化的發展背景,企業之間存在激烈的競爭,為增強市場競爭力,出現盜取商業機密與核心信息的不良網絡現象。企業加強網絡信息安全技術開發,一個重要的目的是防止企業關鍵信息的泄露或者被非授權用戶盜取。其次,保障信息的完整性,是指防止企業信息在未經授權的情況下被偶然或惡意篡改的現象發生。再次,實現數據的可用性,具體是指當企業信息受到破壞或者攻擊時,攻擊者不能破壞全部資源,授權者在這種情況下仍然可以按照需求使用的特性。最后,確保企業網絡信息的可控性,例如對企業信息的訪問、傳播以及內容具有控制的能力。
二、企業網絡信息安全面臨的主要威脅
根據相關調查顯示,病毒入侵、蠕蟲以及木馬程序破壞是對企業網絡信息安全造成威脅的主要原因。黑客攻擊或者網絡詐騙也是影響企業網絡信息安全的重要因素。當然部分企業網絡信息安全受到破壞是由于企業內部工作人員的操作失誤造成。總之威脅企業網絡信息安全的因素來自方方面面,無論是什么原因造成的企業網絡信息安全的破壞,結果都會對企業的生產發展造成惡劣的影響,導致企業重大的損失。在信息化發展背景下,企業只有不斷提高網絡信息的安全性,才是實現企業持續發展的有力保證。
三、企業網絡信息安全保護措施現狀
當前企業在進行網絡信息安全保護方面的意識逐漸增強,他們為確保企業網絡信息安全時大都應用了殺毒軟件來防止病毒的入侵。在對企業網絡信息安全進行保護時,方式比較單 一,技術比較落后。對于入侵檢測系統以及硬件防護墻的認識不足,尚未在企業中普及。因此推進企業網絡信息安全技術的開發,前提是提高企業對網絡信息安全保護的意識,增強企業應用網絡信息安全技術的能力,才能有效推動企業網絡信息安全技術的開發。
四、促進企業網絡信息安全技術開發的對策與建議
(一)定期實施重要信息的備份與恢復
加大對企業網絡信息安全技術的研發投入,一個重要的體現是對企業網絡信息的管理。企業對于重要的、機密的信息和數據應該定期進行備份或者是恢復工作。這是保障企業網絡信息安全簡單、基礎的工作內容。當企業網絡受到破壞甚至企業網絡系統出現癱瘓,企業能夠通過備份的信息保障生產工作的運行,把企業的損失降到最低。實現企業網絡信息安全技術開發的實效性的基礎工作是做好企業重要網絡信息的定期備份與恢復工作。
(二)構建和實施虛擬專用網絡(VPN)技術
以隧道技術為核心的虛擬專用網絡技術,是一項復雜的、專業的工程技術。該項技術對于保護企業網絡信息安全具有重要意義,并且效果顯著。它把企業專用的、重要的信息進行封裝,然后采取一定的方法利用公共網絡隧道傳輸企業專用網絡中的信息,如此一來可以實現對企業網絡信息的保護,避免出現對企業信息的竊取與惡意修改。當然提升虛擬專用網絡的兼容性、簡化應用程序是企業網絡信息安全技術研發重要課題。
(三)完善高效的防火墻技術
在企業內部網與外聯網之間設置一道保護企業網絡信息安全的屏障,即設置防火墻。這一技術是目前最有效、最經濟的保障企業網絡信息安全的技術。但由于當前大多數的遠程監控程序應用的是反向鏈接的方式,這就限制了防火墻作用的發揮。在進行企業網絡信息安全技術開發過程中,應進一步優化防火墻的工作原理或者研發與之相匹配的遠程監控程序,來實現防火墻對企業網絡信息安全的保護。
(四)對關鍵信息和數據進行加密
增強企業對關鍵信息和數據的加密技術水平也是企業網絡信息安全技術研發的主要方面。更新加密技術,是保障企業網絡信息安全的重要環節。企業在對重要信息和數據進行加密時可以同時采取一些例如CD檢測或者Key File等保護措施,來增強企業重要信息的保密效果。
五、結束語
企業網絡信息安全體系的構建是一項系統的、長期的、動態的工程。網絡環境下,信息安全技術發展的同時,新的破壞、攻擊、入侵網絡信息安全的手段也會不斷出現。企業只有與時俱進,加大對網絡信息安全技術的投入力度,才能加強對企業核心信息與數據的保護。在未來的發展過程中,企業在堅持技術策略與管理策略相結合的原則下,不斷升級完善企業網絡信息安全系統的開發與建設,不斷提高企業的信息化水平。
許梅:國網四川省電力公司廣安供電公司三新電力服務有限公司,黨支部書記、副總經理,高級工程師。研究方向:信息工程。
關鍵詞:信息安全;威脅;管理模式;桌面終端
在當今的信息時代,我們的生活和工作方式受到信息技術發展的巨大影響,時時刻刻都在發生著改變,而現行企事業單位的管理模式也在這種“大環境”下不斷地推陳出新。作為各大國有企事業信息管理部門,必須考慮到當前技術的發展給我們的工作帶來的機遇和威脅。
一、當前信息網絡的安全形勢
目前,幾乎所有企業、事業單位、行政部門都面臨著內部信息泄漏的問題。FBI對484家公司調查顯示:85%的安全損失是由企業內部原因造成的。面對來自于公司內部的安全威脅,很多員工都有切身感受,雖然不會有股票的跌漲刺激感官強烈,但是他們一定遇到過類似的事情。由于粗心誤操作造成公司服務器上重要文檔丟失;由于沒有設定員工在系統內的訪問權限,使一些業務秘密出現在本不應有查閱權的員工計算機上,并不小心將其泄露……對于這些來自公司內部的信息安全問題,不是簡單的安裝了殺毒軟件或防火墻就能解決的,單純的“免疫”手段在“網絡風險”、“軟件風險”日益嚴重的今天,都已經不足以讓人信任和依賴。
據調查統計,90%以上的計算機終端用戶使用的是windows2000,XP或以上的操作系統,而這些系統的安全漏洞及系統缺陷非常多。雖然微軟公司會通過定期在網站上安全補丁來彌補這些漏洞,而一些軟件公司也會對自己開發的軟件進行不斷地更新和升級,但由于終端用戶缺乏相關知識,導致補丁安裝的不及時、不完全,這就會影響終端計算機的安全,從而影響整個內部網絡安全。
二、企事業單位網絡終端計算機安全現狀
大中型企事業單位、政府辦公網絡,桌面終端計算機數量隨著辦公的需要不斷增多,而出現的網絡問題也日趨明顯。常見的情況主要有:計算機感染病毒、被安裝木馬;有些不明程序不斷搶占IP地址(ARP病毒)堵塞整個網段,使該網段用戶都不能上網。除此以外,部分員工使用公司辦公電腦私自從網絡上下載海量資源,迅雷、BT、電驢這些下載工具都會搶占網絡通道,這樣就導致了其他一些用戶使用辦公電腦辦公時網速非常低,嚴重時網頁無法顯示,不僅影響了其他員工的工作,還降低了整個公司的工作效率。
這種問題在當下的網絡時代普遍存在于現有的企事業單位,尤其是一些已經擺脫了紙張,進入“無紙化”辦公的先進單位更為明顯。由于難于發現高危計算機,并對其進行定位,因此一旦問題發生,就需要大量的故障排查時間。如果同時有多臺計算機感染網絡病毒或者進行非法操作,就會造成網絡癱瘓,從而致使其他正常網絡業務無法使用。
現階段,所有企業都在努力尋找一種有效的手段來扭轉這種嚴峻的局面,并盡可能地出臺大量的信息網絡管理規定。例如:禁止在辦公計算機內安裝BT下載軟件,禁止在個人終端設備中安裝網絡游戲軟件,禁止私自更改電腦的安全設置,禁止將外部的電腦接入單位的內部網絡等行為。但是,由于缺乏技術和管理手段、考核制度、使用標準、用機規范等,都不能夠有效切實地執行,這樣就使企業內部的信息網絡安全水平很低,衍生了諸多不可控制的安全隱患。
三、通過網絡防護與終端防護共筑信息安全長城
以往提起信息安全,人們更多地把注意力集中在防火墻、防病毒、IDS(入侵檢測)、網御設備、網絡交換設備的管理上,卻忽略了對網絡環境中的計算單元――服務器、臺式機乃至便攜機的管理。
近兩年的安全防御調查表明,政府、企事業單位中超過80%的管理和安全問題來自終端,計算機終端廣泛涉及每個用戶,由于其分散性、不被重視、安全手段缺乏的特點,已成為信息安全體系的薄弱環節。因此,隨著信息技術的不斷進步,網絡安全防護的工作重點開始發生轉移,安全戰場已經逐步由核心與主干的防護,轉向網絡邊緣的每一個終端。網絡管理員已經不是信息安全的唯一負責人,計算機終端用戶才是信息安全的第一責任人。
四、建設桌面終端安全管理系統的意義
伴隨著網絡管理業務密集度的增加,在信息安全防護領域興起了終端桌面安全管理技術。作為網絡管理技術衍生的邊緣產物,它同傳統安全防御體系的缺陷相關聯,是傳統網絡安全防范體系的補充,也是未來網絡安全防范體系的重要組成部分。由此看來,終端桌面管理的發展趨勢和技術特點,才是信息安全防護趨勢的導向。在進行桌面終端安全防護部署時,必須把提升信息安全的關鍵放在提升計算機終端安全水平上。
如何有效地管理計算機終端成了當前的熱點話題,而桌面計算機安全管理系統的應運而生就顯得尤為重要了。第一可以通過批量設置計算機的安全保護措施提高桌面計算機的安全性,及時更新桌面計算機的安全補丁,減少被攻擊的可能;第二,它還可以實現動態安全評估,實時評估計算機的安全狀態及其是否符合管理規定,比如說,評估計算機的網絡流量是否異常,評估計算機是否做了非法操作,評估計算機的安全設置是否合理等;第三,通過系統中進行策略的配置,對計算機終端進行批量的軟件安裝、批量的安全設置等,防止外來電腦非法接入,避免網絡安全遭受破壞或者信息泄密;第四,利用桌面系統的高科技手段,能夠確保本單位的計算機使用制度得到落實,使“禁止撥號上網,禁止使用外部郵箱,禁止訪問非法網站,禁止將單位機密文件復制、發送到外部”等這一系列管理措施得以貫徹和執行;第五,在網絡出現安全問題后,桌面終端系統可以對有問題的IP/MAC/主機名等進行快速的定位,便于管理員迅速排查故障;最后一點可以稱之為桌面系統的“增值服務”,在保證信息網絡安全的同時,還能對計算機的資產進行有效地管理和控制。
這些功能的實現,淺表地說能夠持續有效地解決大批量的計算機終端安全管理問題,真正的意義在于能夠切實地幫助企業內部各種管理規定有效地執行。如今憑借這些高科技手段,全面提升企事業單位內部信息化工作水平已經不再是紙上談兵。
五、結語
企事業單位要在信息技術高速發展的今天立于不敗之地,就必須結合自身客戶的網絡結構、終端特點和管理模式,搭建安全、穩固的內部IT架構。而桌面終端安全管理的應用,將極大地提高信息安全系數,使企業信息風險降到最低。
參考文獻:
[1] 閆龍川,劉永志,來鳳剛.計算機終端安全管理系統及其應用[J].電力信息化,2009,(7).
[2] 馬國勝.桌面安全管理系統的應用[J].中國金融電腦,2009,(4).
[關鍵詞]信息安全;管理;控制;構建
中圖分類號:X922;F272 文獻標識碼:A 文章編號:1009-914X(2015)42-0081-01
1 企業信息安全的現狀
隨著企業信息化水平的提升,大多數企業在信息安全建設上逐步添加了上網行為管理、內網安全管理等新的安全設備,但信息安全防護理念還停留在防的階段,信息安全策略都是在安全事件發生后再補救,導致了企業信息防范的主動性和意識不高,信息安全防護水平已經越來越不適應當今企業IT運維環境和企業發展的需求。
2 企業信息系統安全防護的構建原則
企業信息化安全建設的目標是在保障企業數字化成果的安全性和可靠性。在構建企業信息安全體系時應該遵循以下幾個原則:
2.1 建立企業完善的信息化安全管理體系
企業信息安全管理體系首先要建立完善的組織架構、制定信息安全管理規范,來保障信息安全制度的落實以及企業信息化安全體系的不斷完善。基本企業信息安全管理過程包括:分析企業數字化資產評估和風險分析、規劃信息系統動態安全模型、建立可靠嚴謹的執行策略、選用安全可靠的的防護產品等。
2.2 提高企業員工自身的信息安全防范意識
在企業信息化系統安全管理中,防護設備和防護策略只是其中的一部分,企業員工的行為也是維護企業數字化成果不可忽略的組成。所以企業在實施信息化安全管理時,絕對不能忽視對人的行為規范和績效管理。在企業實施企業信息安全前,應制定企業員工信息安全行為規范,有效地實現企業信息系統和數字化成果的安全、可靠、穩定運行,保證企業信息安全。其次階段遞進的培訓信息安全人才也是保障企業數字化成果的重要措施。企業對員工進行逐次的安全培訓,強化企業員工對信息安全的概念,提升員工的安全意識。使員工的行為符合整個企業信息安全的防范要求。
2.3 及時優化更新企業信息安全防護技術
當企業對自身信息安全做出了一套整體完善的防護規劃時,就應當考慮采用何種安全防護技術來支撐整個信息安全防護體系。對于安全防護技術來說可以分為身份識別、網絡隔離、網絡安全掃描、實時監控與入侵發現、安全備份恢復等。比如身份識別的目的在于防止非企業人員訪問企業資源,并且可以根據員工級別分配人員訪問權限,達到企業敏感信息的安全保障。
3 企業信息安全體系部署的建議
根據企業信息安全建設架構,在滿足終端安全、網絡安全、應用安全、數據安全等安全防護體系時,我們需要重點關注以下幾個方面:
3.1 實施終端安全,規范終端用戶行為
在企業信息安全事件中,數字化成果泄漏是屬于危害最為嚴重的一種行為。企業信息安全體系建立前,企業員工對自己的個人行為不規范,造成了員工可以通過很多方式實現信息外漏。比如通過U盤等存儲介質拷貝或者通過聊天軟件傳遞企業的核心數字化成果。對于這類高危的行為,我們在建設安全防護體系時,僅僅靠上網行為管理控制是不能完全杜絕的。應該當用戶接入企業信息化平臺前,就對用戶的終端系統進行安全規范檢查,符合企業制定的終端安全要求后再接入企業內網。同時配合上網行為管理的策略對員工的上網行為進行審計,使得企業員工的操作行為符合企業制定的上網行為規范,從終端用戶提升企業的防護水平。
3.2 建設安全完善的VPN接入平臺
企業在信息化建設中,考慮總部和分支機構的信息化需要,必然會采用VPN方式來解決企業的需求。不論是采用SSL VPN還是IPSecVPN,VPN加密傳輸都是通用的選擇。對于分支機構可以考慮專用的VPN設備和總部進行IPSec連接,這種方式更安全可靠穩定。對于移動終端的接入可以考慮SSL VPN方式。在這種情況下,就必須做好對于移動終端的身份認證識別。其實我們在設備采購時,可以要求設備商做好多種接入方式的需求,并且幫助企業搭建認證方式。這將有利于企業日常維護,提升企業信息系統的VPN接入水平。
3.3 優化企業網絡的隔離性和控制性
在規劃企業網絡安全邊際時,要面對多個部門和分支結構,合理的規劃安全網絡邊際將是關鍵。企業的網絡體系可以分為:物理層;數據鏈路層;網絡層;傳輸層;會話層;表示層;應用層。各體系之間的相互隔離和訪問策略是防止企業信息安全風險的重要環節。在企業多樣化網絡環境的背景下,根據企業安全優先級及面臨的風險程度,做出適合企業信息安全的防護策略和訪問控制策略。根據相應防護設備進行深層次的安全防護,真正實現OSI的L2~L7層的安全防護。
3.4 實現企業信息安全防護體系的統一管理
為企業信息安全構建統一的安全防護體系,重要的優勢就是能實現對全網安全設備及安全事件的統一管理,做到對整個網絡安全事件的“可視、可控和可管”。企業采購的各種安全設備工作時會產生大量的安全日志,如果單靠相關人員的識別日志既費時效率又低。而且不同安全廠商的日志報表還存在很大差異。所以當安全事件發生時,企業管理員很難實現對信息安全的統一分析和管理。所以在企業在構建信息安全體系時,就必須要考慮安全設備日志之間的統一化,設定相應的訪問控制和安全策略實現日志的歸類分析。這樣才能做到對全網安全事件的“可視、可控和可管”。
4 結束語
信息安全的主要內容就是保護企業的數字化成果的安全和完整。企業在實施信息安全防護過程中是一個長期的持續的工作。我們需要在前期做好詳盡的安全防護規劃,實施過程中根據不斷出現的情況及時調整安全策略和訪問控制,保證備份數據的安全性可靠性。同時全體企業員工一起遵守企業制定的信息安全防護管理規定,這樣才能為企業的信息安全提供生命力和主動性,真正為企業的核心業務提供安全保障。
參考文獻
[1] 段永紅.如何構建企業信息安全體系[J]. 科技視界,2012,16:179-180.
[2] 于雷.企業信息安全體系構建[J].科技與企業,2011,08:69.
[3] 彭佩,張婕,李紅梅. 企業信息安全立體防護體系構建及運行[J].現代電子技術,2014,12:42-45+48.
[4] 劉小發,李良,嚴海濤.基于企業網絡的信息安全體系構建策略探討[J]. 郵電設計技術,2013,12:25-28.
[5] 白雪祺,張銳鋒. 淺析企業信息系統安全體系建設[J].管理觀察,2014,27:81-83.
【關鍵詞】企業; 信息安全; 風險評估; 風險控制
引言:
計算機和網絡通信相結合的信息技術,是促進當代社會信息化發展的主要力量,為社會上各行各業的發展創造了良好的環境。許多企業在經營與管理中已經引用現代信息技術,從而使經營與管理更為科學,工作效率更高,獲得的經濟效益也越多。然而現代信息技術是一把雙刃劍,信息化的程度越高,由它帶來的風險也越大。當前,企業的信息安全風險評估工作存在著一些問題,這些問題對企業的發展造成很多不利的影響。
一、企業信息安全風險概述
對企業來說,信息是維持企業正常運作的必要資源。企業的信息包括重要的數據、企業的發展規劃、保密性文件、知識產權等。這些信息一旦被泄露,那么企業將面臨著或大或小的經濟損失,更嚴重的還會使企業面臨破產的危險。所謂的企業信息安全就是指信息在其生命周期中,它的完整性、保密性和可用性這三個特性的保留情況。如果這三個特性都得到了保障,那么信息的安全性就高;如果其中的某個特性被破壞,那么信息的安全性就低。而信息安全風險就是指信息在特定的環境與特定的時間里可能遭遇的安全威脅。
信息安全風險可以分為可控性風險與不可控風險、可接受風險與不可接受風險、自然風險與人為風險等[1],這些風險給企業的信息安全管理工作帶來了更多的不確定因素,加深了工作難度。
二、企業信息安全風險評估的現狀與問題
當前,我國企業的信息安全風險評估工作存在著許多問題,給企業的日常經營與管理帶來了許多不利的影響。
首先,企業沒有樹立正確的信息安全觀。很多企業的管理者在信息安全問題上會走向兩個極端,一種是認為只要加大信息建設的投入,信息就存在絕對安全的可能;另一種是忽視信息安全建設,信息安全風險意識淡薄。很多企業的管理層對信息資產的重要性認識不夠,因而他們在保護信息安全方面幾乎是無作為。
其次,企業在具體的信息安全風險評估工作中,表現出重安全技術而輕安全管理的思想與行為方式。這些企業在工作過程當中,不論是在心理還是在行為上都過分依賴安全技術,甚至認為只要安全技術過硬,信息安全就一定能夠得到保證,為此,企業普遍采用現代通信技術、計算機和網絡技術來構建企業信息安全系統。而在安全管理上,出現了管理措施不到位,員工在信息保密上不夠嚴肅等問題,造成信息安全技術做無用功。
此外,企業信息安全風險評估工作還存在著管理制度不夠完善、責任劃分不夠明確等問題。信息安全風險的評估工作需要收集各方面的大量的信息,如此才能增強評估的有效性。而企業由于管理制度不完善、職責劃分不明確等問題,造成各部門的工作不配合、不協調。信息技術部門被孤立,信息安全的風險評估工作也就不能得到及時有效的完成。
最后,我國有些企業在信息安全風險評估的技術與方法上落后于時代。現代信息系統越往后發展,結構就越復雜。這要求企業要根據不斷變化的信息技術來改進自己的風險管理理念和手段,同時也要吸收國際上的先進信息安全風險評估技術,保障自身的信息安全。
三、企業信息安全風險的控制
企業信息安全問題對企業來說是不應該被忽視的部分,企業應該在經營與管理的每個環節做好信息安全風險的控制工作,使企業的重要信息能夠得到充分的保護。企業信息安全風險的控制可以從風險分析、管理控制、技術控制三個方面來進行。
(一)風險分析
在進行信息安全風險控制之前,先對風險進行分析可以使風險控制工作更加具有針對性,能夠提高風險控制工作的效率。對風險的分析可以從信息資產面臨的威脅、存在的弱點等方面來進行[2]。在風險分析工作中,要明確以下幾點:首先是信息安全風險控制工作中需要保護哪些信息,這些信息具有什么樣的價值;信息資產面臨著哪些潛在的威脅,導致這些威脅產生的根源是什么,威脅發生的幾率有多大;信息資產中是否具有漏洞,這些漏洞是否會被人威脅利用;信息資產發生威脅之后,企業會面臨多大的損失;企業該采取什么樣的措施來應對風險帶來的損失,等等。
(二)管理控制
企業信息安全風險控制工作主要從組織管理、人員管理、政策實施等幾個方面來進行。首先,企業應該建立信息安全組織機構,吸收組織成員,協調企業內部的各項資源,制定信息安全控制的目標并通過組織成員履行職責來達到目標。其次,企業要培養素質高、責任心強、原則性強,能夠遵守企業政策的人員。企業信息安全風險的控制不僅與強大的技術力量有關,而且還有賴于執行人員對信息安全工作的支持與參與。此外,在政策實施上,企業要嚴格執行相關的信息安全保護政策,比如目前國際通用的《信息技術―信息安全管理實施細則》[1],為企業執行信息安全保護工作提供一個統一的標準,從而使工作能夠有序地展開。
(三)技術控制
技術對信息安全控制的影響力是比較大的,它在很大程度上決定了信息安全風險的大小、范圍,同時它也決定了修補信息安全漏洞的方式和方法。因此,在技術方面對信息安全風險進行控制是非常有必要的。首先,技術構架的設計應該遵循系統性原則、技術先進性原則、可控性原則、適度性原則等,使技術能夠更好地服務于風險控制;其次,要做好安全域的信息安全保障工作,根據不同的安全域所面臨的不同風險來進行信息安全保護工作;最后,要提高信息安全保障技術。目前而言,我國的信息安全保障技術與國際上的相比明顯處于落后狀態,因此,企業要引進先進的技術力量,加強信息安全風險的控制力度。
四、結語
在這個信息化高度發展的社會,任何企業與個人在享受信息化帶來的便利的同時,也要承擔信息化帶來的風險。我國企業在激烈的市場競爭中,不可避免會遇到信息安全上的威脅。因此每個企業都應該做好信息安全的管控工作,認真、嚴肅地對待當前網絡環境下的企業信息安全問題。
參考文獻:
[1]谷田.網絡環境下的企業信息安全問題研究[D].鄭州大學2012
企業經營信息對于企業來說是一種資源,對于企業自身來說具有重要意義,企業需要妥善管理自身企業的信息。近年來,企業的各項經營活動都逐漸開始通過計算機,網絡開展,因此,企業的信息安全管理對于企業越來越重要。許多企業開始通過各種技術手段以及制度改革,把更多的注意力放在企業內部的信息安全管理工作,同時將企業信息安全管理與風險控制結合起來,這是一個正確的選擇,能夠幫助企業實現穩定經營。在介紹企業信息安全管理以及風險控制前必須厘清企業信息安全管理的概念與企業風險控制定義,因此,本節將著重介紹企業信息安全管理的概念以及企業風險控制的定義。
企業的信息安全管理包含十分豐富的內容,簡單來說是指企業通過各種手段來保護企業硬件和軟件,保護網絡存儲中的各種數據不受偶然因素的破壞或者惡意的原因被攻擊。對于信息安全的認定通過包括4個指標,即保證信息數據的完整,保證信息數據不被泄露,保證信息數據能夠正常使用,保證信息數據能夠控制管理。要想做好企業的信息安全管理,首先需要了解的是關于信息的傳輸方式。隨著信息技術的不斷普及,信息傳遞的方式越來越多,常見的信息傳遞方式主要有互聯網傳播,局域網傳播,硬件傳播等等。要想實現企業的信息安全管理,其中很重要的一項工作在于保護信源、信號以及信息。信息安全管理是一項需要綜合學科知識基礎的工作,從事企業信息安全管理工作的人員通過需要具有網絡安全技術、計算機技術、密碼技術、通信技術。從企業的信息安全管理來講,最為關鍵的一項工作時保護企業內部經營信息數據的完整。經過近十年來的企業信息安全管理工作經驗總結,企業信息安全不僅僅需要信息技術的支持,更需要通過建立完善的企業風險控制體系來幫助企業實現更好地保護企業信息安全的目標。
所以,怎樣把企業信息安全管理與風險控制融合起來就是擺在企業經營管理者面前的一道難題。企業的信息安全風險控制必須通過企業建立完善的企業信息安全風險體系實現。企業的信息安全風險控制是指企業在企業信息安全遭遇威脅之前,提前對企業的信息進行風險預估,并采取一系列的有針對性的活動降低企業面臨的信息安全風險,從而盡可能減少因為企業本身信息安全管理中存在漏洞給企業帶來不必要的損失。常見的企業信息安全風險體系建立主要包含以下幾個方面的內容。第一,建立企業信息安全風險管理制度,明確企業信息安全管理的責任分配機制,明確企業各個部門對各自信息安全所應承擔的責任,并建立相應的問責機制。第二,設置規范的企業信息安全風險管理指標,對企業存在的可能威脅企業信息安全管理的漏洞予以風險定級,方便企業管理者對不同的信息安全管理漏洞采取有區別的對策。第三,企業要加強對信息安全管理人員的培訓,提高企業信息安全管理工作人員的風險意識,讓企業內部從事信息安全管理工作人員認識到自身工作的重要性,讓企業內部從事信息安全管理工作人員了解到規范自身行為,正確履行職責的重要性。第四,將企業信息安全管理與風險控制有效融合,重視企業信息安全管理工作,通過風險控制對企業內部信息安全的管理方式進行正確評估,找出現行的企業內部信息安全管理手段中存在容易忽視的地方。
二、企業信息安全管理與風險控制存在的不足
1.企業信息安全管理工作人員素質不高
對于企業來說,企業信息安全管理工作是一項極為重要而隱秘的工作,因此,必須增強對企業信息安全管理工作人員的素質要求。但是根據調查統計,目前很多企業對信息安全工作的管理僅僅停留在對企業信息安全管理工作人員的技術要求上,對企業信息安全管理工作人員的道德素養,職業素養,風險意識并沒有嚴格要求。此外,絕大多數企業并沒有意識開展對企業信息安全管理工作的道德素質的教育培訓,并沒有通過建立相關管理制度以及問責機制對企業信息安全管理工作人員實行監督,這無疑給別有用心或者立場不堅定的企業信息安全管理工作人員留下了危害企業信息安全的可乘之機。
2.企業信息安全管理技術不過關
企業信息安全管理工作涉及多許多技術,包括信息技術,計算機技術,密碼技術,網絡應用技術等等,應當說成熟的計算機應用技術是做好企業信息安全管理的基礎,但是,現實是許多企業的信息安全管理技術并不過關,一方面企業的信息安全管理硬件并不過關,在物理層面對企業信息缺乏保護,另一方面,企業信息安全管理工作的專業技術沒有及時更新,一些企業信息安全管理工作人員缺乏企業信息安全管理的實踐經驗,企業信息安全管理的知識也并沒有及時更新,從而導致企業的信息安全管理理論嚴重滯后,這種技術的落后很容易讓企業成為不法分子的攻擊對象。近年來網絡病毒的傳播越來越猖狂,很多服務器、系統提示安全補丁的下載更新以及客戶端的時常更新成為一個惱人的問題。作為一個行業中的大中型企業,企業內部設備數量比較多,尤其是客戶端數量占了較大比重,僅僅靠少數幾個管理員進行管理是難以承擔如此大量的工作量。另外,企業信息安全管理系統不成熟也是一個重大的隱患。
3.企業信息安全管理制度不健全
企業信息安全管理制度不僅僅需要理論制度的完善,更加需要一系列配套監督機制保障企業信息安全管理的有效執行。通過調查分析,許多企業雖然建立了企業信息安全管理制度,但是通常情況下,這些制度只能流于形式,企業信息安全管理工作缺少有效的制約和監督,企業信息安全管理工作人員缺乏執行力。企業信息安全管理制度不健全,企業信息安全管理工作缺乏執行力常常體現在以下幾個方面。第一,企業員工對于信息安全管理的認識嚴重不足,對企業信息安全管理工作不重視。企業內部計算機系統安全的計算機防病毒軟件并沒有及時更新,使用,甚至企業內部計算機的防病毒軟件還被企業員工卸載了。部分企業員工認為自己的工作與企業信息安全管理不相關,認為做好企業信息安全管理工作僅僅是企業信息安全部門的事。第二,企業內部信息安全管理制度并沒有形成聯動機制,企業信息安全管理工作僅僅由企業信息安全部門“一人包干”,企業信息安全反映的問題并沒有得到積極的反饋,一些企業領導對企業信息安全現狀所了解的少之又少。
三、企業信息安全管理常見的技術手段
1.OSI安全體系結構
OSI概念化的安全體系結構是一個多層次的結構,它的設計初衷是面向客戶的,提供給客戶各種安全應用,安全應用必須依靠安全服務來實現,而安全服務又是由各種安全機制來保障的。所以,安全服務標志著一個安全系統的抗風險的能力,安全服務數量越多,系統就越安全。
2.P2DR模型
P2DR模型包含四個部分:響應、安全策略、檢測、防護。安全策略是信息安全的重點,為安全管理提供管理途徑和保障手段。因此,要想實施動態網絡安全循環過程,必須制定一個企業的安全模式。在安全策略的指導下實施所有的檢測、防護、響應,防護通常是通過采用一些傳統的靜態安全技術或者方法來突破的,比如有防火墻、訪問控制、加密、認證等方法,檢測是動態響應的判斷依據,同時也是有力落實安全策略的實施工具,通過監視來自網絡的入侵行為,可以檢測出騷擾行為或錯誤程序導致的網絡不安全因素;經過不斷地監測網絡和系統來發現新的隱患和弱點。在安全系統中,應急響應占有重要的地位,它是解決危險潛在性的最有效的辦法。
3.HTP模型
HTP最為強調企業信息安全管理工作人員在整個系統中的價值。企業信息安全工作人員企業信息安全最為關鍵的參與者,企業信息安全工作人員直接主導企業信息安全管理工作,企業信息安全工作人員不僅僅是企業信息安全的保障者,也是企業信息安全管理的威脅者。因此,HTP模型最為強調對企業信息安全管理工作人員的管理與監督。另外,HTP模式同樣是建立在企業信心安全體系,信息安全技術防范的基礎上,HTP模式采取了豐富的安全技術手段確保企業的信息安全。最后,HTP強調動態管理,動態監督,對于企業信息安全管理工作始終保持高強度的監督與管理,在實際工作中,通過HTP模型的應用,找出HTP模型中的漏洞并不斷完善。
四、完善企業信息安全管理與降低風險的建議
1.建設企業信息安全管理系統
(1)充分調查和分析企業的安全系統,建立一個全面合理的系統模型,安全系統被劃分成各個子系統,明確實施步驟和功能摸塊,將企業常規管理工作和安全管理聯動協議相融合,實現信息安全監控的有效性和高效性。
(2)成立一個中央數據庫,整合分布式數據庫里的數據,把企業的所有數據上傳到中央數據庫,實現企業數據信息的集中管理與有效運用。
(3)設計優良的人機界面,通過對企業數據信息進行有效的運用,為企業管理階層人員、各級領導及時提供各種信息,為企業領導的正確決策提供數據支持,根本上提高信息數據的管理水平。
(4)簡化企業內部的信息傳輸通道,對應用程序和數據庫進行程序化設計,加強對提高企業內部信息處理的規范性和準確性。
2.設計企業信息安全管理風險體系
(1)確定信息安全風險評估的目標
在企業信息安全管理風險體系的設計過程中,首要工作是設計企業信息安全風險評估的目標,只有明確了企業信息安全管理的目標,明確了企業信息安全管理的要求和工作能容,才能建立相關圍繞信息安全風險控制為目標的信息安全管理工作制度,才能順利通過對風險控制的結果的定量考核,檢測企業信息安全管理的風險,定性定量地企業信息安全管理工作進行分析,找準企業信息安全管理的工作辦法。
(2)確定信息安全風險評估的范圍
不同企業對于風險的承受能力是有區別的,因此,對于不同的企業的特殊性應該采取不同的風險控制辦法,其中,不同企業對于能夠承受的信息安全風范圍有所不同,企業的信息安全風險承受范圍需要根據企業的實際能力來制定。不僅如此,企業的信息安全風險評估范圍也應當根據企業的實際經營情況變化采取有針對性的辦法。
關鍵詞:電力企業;信息安全;管控平臺;初步設計
中圖分類號:TP31 文獻標識碼:A
隨著我國社會經濟不斷地發展,人們的生活水平不斷地提高,我國電力企業得到高速發展,為滿足人們所提出的高要求,適應社會主義市場經濟體制的發展,電力企業必須轉變管理模式,采用現代化的管理手段,以尋求更好的發展。如今,計算機信息技術已被廣泛應用于社會各個領域中,具有重要的作用。電力企業在發展過程中,其規模越來越大,信息化的應用也有所突破,但仍然存在問題。為使信息化技術在電力企業中得到高效的應用,保障電力企業的信息安全,則必須建設電力企業信息安全管控平臺,以有效的控制電力企業的信息,充分發揮管控平臺的功能。
一、創建電力企業信息安全管控平臺的重要性
隨著我國電力企業的蓬勃發展,其經營規模越來越大,在企業中充分利用信息技術,以使電力企業具有時代特點。近幾年,計算機信息網絡技術不斷地改進和完善,逐漸成為我國社會生活生產中不可或缺的一部分,其在電力企業中的應用推動了電力企業的現代化發展,但與此同時其也為電力企業的信息安全帶來了挑戰。現階段,電力企業的信息安全問題已成為其發展過程中的亟待解決的重要研究課題。在電力企業中,由于其各級別的單位難以解決網絡分散性問題,無法有效地規避信息安全事件所帶來的高風險。在電力企業管理中無法全面的掌握企業信息安全狀況,缺少可靠的依據來開展風險評估工作,未能進行實時跟蹤監督,導致其難以制定科學的安全預警方案。鑒于這種情況,電力企業必須加強內部控制管理,做好事前預防、事中控制和事后監督。為實現有效的電力企業現代管理,必須創建具有實用性的電力企業信息安全管控平臺。這個平臺能讓電力企業實施可靠的安全監督,進行合理的安全預警工作,可促使電力企業做好風險評估工作,開展高效的監督工作,對企業信息進行統一管理,以建立完善的信息安全風險管理體系,從而提高電力企業信息安全管理水平。
二、電力企業信息安全管控平臺的初步設計
1電力企業信息安全管控平臺的設計原則
在設計電力企業信息安全管控平臺時,要遵循以下原則:首先,所創建的信息安全管控平臺必須滿足電力企業發展的需求,要以現代電力企業的管理體制為依據來創建,以保障信息安全管控平臺的可實行性;其次,電力企業信息安全管控平臺的設計需要先進的技術措施和科學的管理方法來支持,因而設計前,必須慎重的選擇技術和管理的實現方式;最后,電力企業所創建的信息安全管控平臺,其自身必須具有一定的安全性,為平臺在企業中的應用提供重要的保障。除此之外,在信息安全管控平臺的設計過程中,要先了解平臺工具的特殊性能,并以此為基礎來設計與之配套的功能服務,例如數據初始化,以保障信息安全管控平臺的順利運行。
2根據不同的角色來設計管控平臺
電力企業信息安全管控平臺的建設,必須與其企業的組織結構相配合。在設計管控平臺的時候,應該對不同角色的職能需求進行分析。對于上級信息安全主管單位,其所需要的是能全面掌握信息安全的動態,了解信息系統安全的狀況,做好網絡環境評估工作,主要功能是協調和監督;對于本地信息安全實施單位和主管單位,前者主要是設立安全運維人員等人來保障解本地信息安全,而后者則是全面了解企業信息安全狀況并且進行有效的細條;對外部信息安全支持單位,其主要是負責對企業信息安全實施監督和控制,以做好應急工作;對于應急聯動和專家機構,其職責在于為企業信息的安全提供技術保障。
3信息安全管控平臺在電力企業中的實現
信息安全管控平臺在電力企業中運行時,主要分為這幾個模塊:第一,基礎安全數據管理模塊,這一部分主要是的對企業信息系統中所產生的各類數據,如服務器的基本信息,安全配置知識庫等數據資料進行整合和儲存,具有查詢和修改的功能;第二,預案管理模塊,這一部分主要是用來對電力企業中的各級單位進行原的編制、和更新等。值得注意的是要為應急預案編制工作和審批制定統一的標準,加以規范。在預案管理部分,可充分利用工作流引擎來執行應急預案,以突出應急預案的作用和其有效性;第三,風險評估模塊,在這一部分主要是為信息安全風險評估工作提供可靠的數據信息作為依據,以根據矩陣型風險計算方式計算出風險,并制定出相應措施;第四,業務影響分析模塊,這一部分的功能與風險評估模塊的職責差不多,也是響應急預案提供有效信息,但是其在此過程中還必須注意信息系統業務之間的不同之處;第五部分是公告管理模塊,這一部分主要是提供瀏覽、查閱和管理等功能;第六。預警管理模塊,由兩個部分組成,一個是漏洞預警管理,另一個則是威脅預警管理,這兩個部分的級別分別是高、中、低;第七,安全事件管理模塊,這一部分是對信息安全事件進行處理;第八,信息安全狀況監視模塊,包括了宏觀態勢監視和應急監視。
結語
在電力企業中建立信息安全管控平臺,是保障電力企業信息安全的重要途徑,具有重要意義。電力企業信息安全管控平臺的建設是為了加強電力企業信息化程度,必須科學的制定設計方案,使其符合現階段電力企業的發展現狀和電力企業的發展特點。在電力企業中運行信息安全管控平臺,有利于及時發現信息安全中存在的問題,并加以解決,能確保企業信息的真實性、完整性和有效性。這種信息安全管控平臺的創建有其必要性,對電力企業的發展起到重要的影響作用,必須予以高度重視。總而言之,對電力企業信息安全管控平臺的研究具有重要的意義,而這一平臺的運行則具有較高的使用價值。
參考文獻
[1]樊凱.電力企業信息安全管控平臺設計與實現[J].現代計算機:下半月版,2012(17) .
[2]李正忠.電力企業信息安全網絡建設原則與實踐[J].中國新通信,2013(9) .
港口信息安全保障應貫穿在港口信息系統的整個生命周期中。港口信息安全保障的工作者應針對港口信息系統的發展特點,通過對港口信息系統的風險分析,制定并執行相應的安全保障策略,從多角度、多層面提出港口信息安全保障要求,確保港口信息系統的保密性、完整性和可用性,將安全風險降至最低或可接受的程度。港口信息化發展重點主要在于對外的數據交換和服務。港口信息安全風險主要來自于港口信息系統自身存在的漏洞和系統外部的威脅。為最大化控制該風險,港口信息系統安全保障工作者應在信息安全保障策略體系的指導下,設計并實現港口信息安全評價體系架構或模型,港口信息安全評價體系的制定應反映港口企業對信息系統安全保障及其目標的理解,其制定和貫徹執行對信息系統安全保障起著綱領性指導作用。港口信息安全評價體系應選用一種折中的機制,在有限資源前提下實現最優選擇。防范不足會造成直接的損失,防范過多又會造成間接的損失,在解決或預防安全問題時,要從經濟、技術、管理的可行性和有效性上做出權衡和取舍。從現代港口企業信息安全保障工作者的視角出發,其工作層面無外乎對港口信息安全保障的戰略管理、常態監管和應急響應。戰略管理體現其信息安全戰略的先進性,表現在港口企業對信息安全戰略規劃的制定情況、港口信息安全管理部門的戰略地位和港口企業對信息安全工作的資金保障力度等。這些評價能反映港口企業對信息安全的重視程度,預見港口企業信息安全工作未來的發展前景。常態監管主要指港口信息安全戰略的具體執行情況,包括基于對港口業務風險的認識,建立、實施、操作、監視、復查、維護和改進信息安全等一系列管理活動,具體表現為計劃活動、目標與原則、人員與責任、過程與方法、資源等諸多要素的集合。應急響應主要包括在一些緊急、無預測的危機下,快速應對、解決問題的能力,度過危機以減少損失或者把損失降低到最低程度。
2現代港口信息安全評價指標體系框架
為了讓指標體系更加科學、全面、綜合,力爭每個門類的指標定量、定性相結合,筆者選用了工作層面、保障要素、指標類型作為現代港口企業信息安全保障指標體系框架的3個維度。
3評價指標
按照評價指標體系框架,采用第一維度、第二維度、第三維度逐個相交的方式,對各評價點進行分解,可以設計出適應現代港口企業信息安全保障工作的評價指標體系。為了讓指標體系更加科學、可操作,筆者在對上海港、黃驊港等大中型港口調研的基礎上,梳理分析,設計出一套普適性較強的評價指標體系。該體系能夠較客觀、準確、全面地反映港口信息安全工作水平,供港口企業信息安全保障工作者參考。
4結語
1)信息安全評價體系對于現代港口評價信息安全保障工作的完備性,最大化降低、控制信息安全風險,減少技術故障、網絡攻擊等安全問題對業務帶來的影響具有十分重要的作用。
2)以現代港口企業信息安全保障工作為研究對象,遵循科學全面、簡單可操作、向導性原則,從工作層面、保障要素、指標類型出發,設計了一套三維評價指標體系框架,并結合國家對港口企業信息安全的相關要求,分析出56個具體指標,提出了評價指標的量化方法和計算方法,可為港口企業信息安全自評價提供參考。
