導語:在企業(yè)信息安全意識的撰寫旅程中��,學習并吸收他人佳作的精髓是一條寶貴的路徑,好期刊匯集了九篇優(yōu)秀范文,愿這些內(nèi)容能夠啟發(fā)您的創(chuàng)作靈感,引領(lǐng)您探索更多的創(chuàng)作可能。
第1篇
>> 企業(yè)移動信息化安全不可小覷 移動安全:企業(yè)移動信息化發(fā)展的保障 警惕移動信息化的安全隱患 試論4G時代的智能終端信息安全 企業(yè)移動信息化浪潮 BYOD時代的移動信息安全 關(guān)于3G移動信息化平臺的行業(yè)應用研究 4G時代的移動互聯(lián)應用研究 4G移動互聯(lián)網(wǎng)時代的思考 基于4G時代移動互聯(lián)網(wǎng)的探討 高校移動信息化建設(shè)探討 電力科研企業(yè)移動信息化模式研究 企業(yè)移動信息化建設(shè)全面加速 助力企業(yè)移動信息化轉(zhuǎn)型 智能機爆棚時代的企業(yè)移動信息化分析 4G移動通信技術(shù)的安全缺陷分析 4G移動通信系統(tǒng)的安全機制研究 天暢信息:做企業(yè)移動信息化的領(lǐng)跑者 4G網(wǎng)絡(luò)及其應用對城市信息化發(fā)展的促進 對4G移動通信技術(shù)的探討 常見問題解答 當前所在位置:l.
[3] 熊小明���,周民立. 電信基礎(chǔ)數(shù)據(jù)網(wǎng)絡(luò)的現(xiàn)狀及發(fā)展分析[J]. 信息網(wǎng)絡(luò), 2005(10): 42-45.
[4] 陳濤��,彭勁. 二層MPLS VPN技術(shù)與部署[J]. 廣播電視信息��, 2010(7): 52-54.
[5] 李洪�����,渠凱. SSL VPN安全方案與發(fā)展趨勢分析[J]. 電信技術(shù)���, 2011(1): 72-74.
[6] 易觀智庫. 中國企業(yè)級移動管理市場專題研究報告[Z]. 2014.
[ 7 ] 易觀智庫. 中國手機安全市場現(xiàn)狀研究報告2014
[Z]. 2014.
[8] 移動信息化. EMM六大移動管理元素[EB/OL]. (2015-02-11). .
[9] 移動信息化. MDM存缺陷 EMM為BYOD安全護航
第2篇
關(guān)鍵詞:供水企業(yè)?信息安全?安全管理
中圖分類號:F29 文獻標識碼:A文章編號:1672-3791(2012)02(c)-0000-00
1 前言
當前��,隨著網(wǎng)絡(luò)和信息化建設(shè)的不斷發(fā)展,企業(yè)對信息網(wǎng)絡(luò)的依賴越來越強���,供水企業(yè)也不例外���。供水企業(yè)信息安全問題關(guān)系到供水系統(tǒng)的穩(wěn)定和安全運行���。目前,供水企業(yè)的信息安全風險主要來自于兩個方面���,即內(nèi)部和外部的因素���。內(nèi)部威脅主要為企業(yè)信息安全管理問題;外部因素主要包括因病毒�����、黑客���、惡意軟件等造成的數(shù)據(jù)丟失�����,系統(tǒng)運行失常等問題��。本文圍繞著這兩個方面的因素���,就供水企業(yè)的信息安全問題進行探討���。
2 供水企業(yè)面臨的信息安全威脅
2.1 計算機病毒的傳播
計算機病毒的傳播是帶來企業(yè)信息安全風險的因素之一。自上世紀九十年代以來���,計算機病毒以迅猛的增長速度危害著個人用戶和企業(yè)用戶�����,給企業(yè)和個人造成了嚴重的經(jīng)濟損失�����。目前�����,隨著智能手機的普及��,一種新型的病毒��,即手機病毒也開始威脅到企業(yè)的信息安全���。
2.2 企業(yè)內(nèi)部網(wǎng)絡(luò)受到黑客攻擊
黑客對企業(yè)內(nèi)部網(wǎng)絡(luò)的攻擊是帶來企業(yè)信息安全風險的因素之二��。由于Internet具有自由行和廣泛性,而供水企業(yè)一般又建立了企業(yè)內(nèi)部網(wǎng)絡(luò)�����。當企業(yè)內(nèi)部網(wǎng)絡(luò)與Internet發(fā)生間接或直接關(guān)聯(lián)的時候���,企業(yè)內(nèi)部網(wǎng)絡(luò)就有可能成為黑客攻擊的目標���,從而泄露或丟失一些重要的企業(yè)信息,或使企業(yè)內(nèi)部網(wǎng)絡(luò)處于失?�;虬c瘓的狀態(tài)��。
2.3 企業(yè)安全管理的不足
企業(yè)的信息系統(tǒng)不夠健全���,企業(yè)員工的安全意識薄弱�����,這也是造成企業(yè)信息安全威脅的因素���。在信息機構(gòu)設(shè)置方面���,供水企業(yè)缺乏規(guī)范的機構(gòu)體制,相關(guān)的專業(yè)技術(shù)人員偏少���。同時��,很多供水企業(yè)對相關(guān)的專業(yè)技術(shù)人員缺乏系統(tǒng)的專業(yè)培訓��,使得企業(yè)員工缺乏必要的安全意識�����,“防黑防毒”意識淡薄���,對一些惡意攻擊也缺乏警惕性,有的甚至因為操作失誤而給各種信息安全威脅帶來了可能�����。
3 供水企業(yè)信息安全建設(shè)
3.1 采用防水墻技術(shù)
防水墻是保障企業(yè)信息安全的有效手段���。通過控制進出供水企業(yè)網(wǎng)絡(luò)的權(quán)限�����,監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)流��,檢查所有的數(shù)據(jù)連接���,防水墻技術(shù)可以有效地控制和管理對企業(yè)網(wǎng)絡(luò)系統(tǒng)的訪問控制和安全管理��,隔離和過濾危險數(shù)據(jù)包��,防止企業(yè)網(wǎng)絡(luò)受到黑客和病毒的破壞與干擾。同時�����,由于所有的訪問都得通過防火墻���,防火墻還能實時記錄和統(tǒng)計網(wǎng)絡(luò)訪問��,這對企業(yè)信息安全管理人員管理維護企業(yè)網(wǎng)絡(luò)提供了有利條件�����。
3.2 采用入侵檢測技術(shù)
防火墻可以限制對企業(yè)網(wǎng)絡(luò)系統(tǒng)的非法訪問或攻擊���,檢測并防御非法訪問���。然而,防火墻無法防止企業(yè)網(wǎng)絡(luò)內(nèi)部用戶之間的攻擊不經(jīng)過防火墻��。因此��,在采用防火墻的同時�����,有必要用入侵檢測技術(shù)�����。入侵檢測技術(shù)(Intrusion-detection?system)���,簡稱IDS,?是一種對網(wǎng)絡(luò)傳輸進行即時監(jiān)視�����,在發(fā)現(xiàn)可疑傳輸時發(fā)出警報或者采取主動反應措施的網(wǎng)絡(luò)安全設(shè)備���。它能夠分析通過網(wǎng)絡(luò)收集的信息�����,檢測并識別出惡意行為��,及時有效地發(fā)現(xiàn)網(wǎng)絡(luò)異常���,檢測出網(wǎng)絡(luò)中違反安全策略的行為。如果說防火墻是一幢大樓的門衛(wèi)��,那么IDS就是這幢大樓里的監(jiān)視系統(tǒng)��。一旦小偷爬窗進入大樓�����,或內(nèi)部人員有越界行為�����,只有實時監(jiān)視系統(tǒng)才能發(fā)現(xiàn)情況并發(fā)出警告�����。除了簡單的記錄和發(fā)出警報之外�����,IDS還可以進行主動反應:打斷會話���,和實現(xiàn)過濾管理規(guī)則�����。所以說�����,要確保供水企業(yè)網(wǎng)絡(luò)處于安全的狀態(tài)�����,入侵檢測技術(shù)也是必不可少的�����,它是防火墻技術(shù)的一個有效的補充���。
3.3 采用VPN技術(shù)
VPN(Virtual?Private?Network),即虛擬專用網(wǎng)�����,是通過一個公用網(wǎng)絡(luò)(通常為Internet)建立一個臨時的、安全的連接�����,是一條穿過混亂的公用網(wǎng)絡(luò)的安全�����、穩(wěn)定的隧道��。它主要是通過路由器�����、防火墻技術(shù)��、隧道技術(shù)���,安全秘鑰以及加密協(xié)議而組建成的Internet?VPN。它是對企業(yè)內(nèi)部網(wǎng)絡(luò)的擴展��,通過VPN可以在企業(yè)分支機構(gòu)��,合作伙伴、供應商或遠程用戶與企業(yè)內(nèi)部網(wǎng)絡(luò)之間建立可靠的安全連接�����,向他們提供安全而有效的信息服務���,保證數(shù)據(jù)的安全傳輸��,實現(xiàn)企業(yè)網(wǎng)絡(luò)安全通信的虛擬專用線路���,使得外部非法用戶無法訪問公司內(nèi)部信息。與此同時�����,VPN技術(shù)還可以極大降低企業(yè)信息共享的成本�����。
3.4 加強企業(yè)員工的安全管理
實現(xiàn)供水企業(yè)的信息安全���,除了做好技術(shù)防護之外���,還得加強企業(yè)內(nèi)部員工的安全管理��。做好技術(shù)防護并不意味著一勞永逸��,企業(yè)員工的信息安全管理也是至關(guān)重要的�����。加強企業(yè)關(guān)公的安全管理需做好以下幾點:1)增強企業(yè)員工的安全意識�����。員工的安全意識淡薄是造成企業(yè)信息安全風險的一大因素�����。為保障企業(yè)信息安全�����,供水企業(yè)需對員工進行企業(yè)網(wǎng)絡(luò)系統(tǒng)的專業(yè)培訓與教育���,掌握信息安全問題的基礎(chǔ)知識與常識�����,提高對外部惡意攻擊和病毒的警惕性,加強安全防護意識�����,能及時發(fā)現(xiàn)并處理常見的安全問題��。2)健全企業(yè)信息安全管理規(guī)章制度��。根據(jù)供水企業(yè)的實際情況�����,建立健全的信息安全管理制度���,如網(wǎng)絡(luò)系統(tǒng)使用規(guī)范�����、機房管理制度�����、保密制度���、值班制度��、設(shè)備維護制度等��。企業(yè)員工必須遵照相關(guān)管理制度���,明確職責,按照相關(guān)用戶口令或操作口令���,確保日常操作符合信息安全規(guī)章制度���,最大限度地防止人為失誤或違規(guī)操作帶來的信息安全問題。3)配置專門的企業(yè)信息安全管理技術(shù)人才�����。在互聯(lián)網(wǎng)高速發(fā)展的幾天��,沒有絕對的信息安全���。企業(yè)需配置專門的信息安全管理人員�����,在及時有效地處理企業(yè)信息安全風險的同時�����,增強企業(yè)信息安全管理的人才儲備���,加強信息安全技術(shù)管理隊伍,培養(yǎng)弓雖企業(yè)網(wǎng)絡(luò)系統(tǒng)硬件和軟件的開發(fā)設(shè)計人才���,掌握保障企業(yè)信息安全的核心技術(shù)�����。
4 結(jié) 語
本文以供水企業(yè)為例��,對企業(yè)的信息安全風險進行了分析�����,認為計算機病毒的傳播���,黑客對企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)的攻擊以及企業(yè)在員工安全管理方面的不足是造成供水企業(yè)信息安全問題的三大原因。因此���,要保障信息安全�����,供水企業(yè)需在技術(shù)和管理兩方面下功夫���。在技術(shù)方面�����,企業(yè)可采用防火墻技術(shù)���、入侵檢測技術(shù)和VPN技術(shù)。在管理層面上�����,企業(yè)需增強員工的安全意識��,建立健全企業(yè)信息安全管理規(guī)章制度�����,配置專門的信息安全管理技術(shù)人才�����。
參考文獻
[1]丁麗川,曹暉.計算機網(wǎng)絡(luò)信息安全探析[J].?科技創(chuàng)新導報.?2010(35):28.
[2]范紅���,馮登國.?信息安全風險評估方法與應用[M].?北京:清華大學出版社,2006.
第3篇
關(guān)鍵詞:信息安全�����;管理體系���;PKI/CA���;MPLS VPN;基線
在供電企業(yè)現(xiàn)代信息技術(shù)廣泛運用生產(chǎn)經(jīng)營���、綜合管理之中�����,實現(xiàn)資源和信息共享��,為領(lǐng)導提供相關(guān)輔助決策���。保障企業(yè)信息安全是企業(yè)領(lǐng)導層��、專業(yè)人員及企業(yè)全員共同面對的�����。信息安全是集管理���、人員、設(shè)備�����、技術(shù)為一體系統(tǒng)工程�����,木桶原理可以很好地詮釋信息安全���,一個企業(yè)安全不取決于最強項�����,而取決最短板���。信息安全需從制度建設(shè)��、體系架構(gòu)�����、一體化防控體系��、人員意識、專業(yè)人員技術(shù)水平等多方面共同建設(shè)���,才能有效提高企業(yè)信息安全���,才能為企業(yè)生產(chǎn)、經(jīng)營保駕護航�����。
1基層供電信息安全現(xiàn)狀
基層供電企業(yè)信息安全建設(shè)方面���,在制度建設(shè)���、安全分區(qū)�����、網(wǎng)絡(luò)架構(gòu)��、一體化防護���、人員意識、專業(yè)人員技術(shù)水平等多方面存在不同程度問題�����。
1.1管理制度不健全���,制度多重化
信息安全制度建設(shè)方面較為被動��,大多數(shù)都是現(xiàn)實之中出現(xiàn)某一問題���,然后一個相關(guān)制度,制度修修補補���。同一類問題有時出現(xiàn)不同管理規(guī)定里��,處理辦法不一�����,甚至發(fā)生沖突��。原有信息安全管理制度寬泛�����,操作性較差���。信息系統(tǒng)建設(shè)渠道不同���,未提前進行信息安全方面考慮���,管理職責不明���,導致部分信息安全工作開始不順暢。
1.2安全區(qū)域劃分不明��,網(wǎng)絡(luò)架構(gòu)不清晰
基層供電企業(yè)系統(tǒng)建設(shè)主要由上級推廣系統(tǒng)和自建系統(tǒng)��,系統(tǒng)建設(shè)時候相當部分系統(tǒng)未充分考慮系統(tǒng)�����,特別是業(yè)務部門自建系統(tǒng)更甚。網(wǎng)絡(luò)建設(shè)需要什么就連接什么�����,存在服務器���、終端��、外聯(lián)區(qū)域不明顯�����,網(wǎng)絡(luò)架構(gòu)不清晰�����。
1.3未建立一體化安全防護體系
從近些年已經(jīng)發(fā)生的各類信息安全事件來看���,內(nèi)部客戶端問題造成超過將近70%。內(nèi)部終端用戶網(wǎng)絡(luò)行為控制不足���,存在網(wǎng)絡(luò)帶寬濫用���;終端接入沒有相應準入控制���,不滿足網(wǎng)絡(luò)安全需求用戶接入辦公網(wǎng)絡(luò),網(wǎng)絡(luò)環(huán)境安全構(gòu)成極大風險��;內(nèi)部人員對核心服務器和網(wǎng)絡(luò)設(shè)備未建立統(tǒng)一內(nèi)部控制機制���;移動介質(zhì)未實施注冊制管理等問題�����。
1.4未建立行之有效設(shè)備基線標準
網(wǎng)絡(luò)安全設(shè)備��、操作系統(tǒng)���、數(shù)據(jù)庫�����、中間件��、應用系統(tǒng)等廠家為了某種方便需求,在設(shè)備和系統(tǒng)中常常保留有默認缺省安全配置項��,這些恰恰是別人利用漏洞��?����;鶎庸╇娖髽I(yè)在部署設(shè)備和系統(tǒng)時���,沒有統(tǒng)一基線標準���,沒有對設(shè)備和系統(tǒng)進行相應基線加固,企業(yè)存在潛在風險�����。
1.5信息安全意識較差��,技術(shù)水平參差不齊
企業(yè)信息安全認識存在認識上誤區(qū)���,常常認為我們有較強信息安全保護設(shè)備���,外部不易攻破內(nèi)部,事實上堡壘常常是從內(nèi)部攻破的。比如企業(yè)員工弱口令�����、甚至空口令���、共用相同密碼��、木馬���、病毒、企業(yè)機密泄露等���,這恰恰是基層供電企業(yè)全員信息安全意識較為薄弱表現(xiàn)���。專業(yè)技術(shù)人員缺乏必要自我學習和知識主動更新,未取得專門信息安全專業(yè)人員資質(zhì)�����,處理問題能力表現(xiàn)參差不齊�����。
2必要性
信息安全為國家安全重要組成部門���,電力企業(yè)信息安全為國家信息安全的重要元素��,電網(wǎng)安全事關(guān)國計民生���。2014年2月,國家成立中央網(wǎng)絡(luò)安全和信息化領(lǐng)導小組���,將網(wǎng)絡(luò)信息安全提升前所未有高度��。近年發(fā)生的“棱鏡門”事件��,前幾年發(fā)生伊朗核電站“震網(wǎng)”病毒(Stuxnet病毒)網(wǎng)絡(luò)攻擊�����,其中一個關(guān)鍵問題就是利用移動介質(zhì)擺渡來進行攻擊�����,造成設(shè)備癱瘓��,這一系列信息安全事件都事關(guān)國家安全��,因此人人都要有信息安全意識��。首先要防止企業(yè)機密數(shù)據(jù)(財務�����、人資��、投資���、客戶等)泄漏���;其次,保持數(shù)據(jù)真實性和完整性��,錯誤的或被篡改的不當信息可能會導致錯誤的決策或商業(yè)機會甚至信譽的喪失�����;最后���,信息的可用性���,防止由于人員��、流程和技術(shù)服務的中斷而影響業(yè)務的正常運作,業(yè)務賴以生存的關(guān)鍵系統(tǒng)如失效��,不能得到及時有效恢復��,會造成重大損失��。建立嚴格的訪問控制�����,前面數(shù)據(jù)分級時有制定數(shù)據(jù)的“所有者”及給敏感數(shù)據(jù)進行分級���,按照分級的要求制定嚴格的訪問控制策略��,基本的思想是最小特權(quán)原則和權(quán)限分離原則���。最少特權(quán)是給定使用者最低的只需完成其工作任務的權(quán)限;權(quán)限分離原則是將不同的工作職能分開��,只給相關(guān)職能有必要讓其知道的內(nèi)容訪問權(quán)限���。通過對內(nèi)部網(wǎng)絡(luò)行為的監(jiān)控可以規(guī)范內(nèi)部的上網(wǎng)行為��,提高工作效率�����,保護企業(yè)有限網(wǎng)絡(luò)資源應用于主要生產(chǎn)經(jīng)營上來�����。
3特點探析
通過我們對基層供電企業(yè)在信息安全存在問題及必要性來看���,主要是管理制度��、網(wǎng)絡(luò)信息安全技術(shù)��、人員意識等方面存在問題�����,有以下特點���。
3.1管理制度方面
常說信息安全“三方技術(shù)、七分管理”�����,制度建設(shè)對信息安全保障至關(guān)重要。信息安全管理制度應該有上級主管部門建立一套統(tǒng)一管理制度���,基層供電企業(yè)遵照執(zhí)行���,可以根據(jù)各單位具體情況進一步細化�����,讓管理制度落地�����。從企業(yè)總體信息安全方針到具體專業(yè)制度管理上�����,實現(xiàn)全網(wǎng)一體化���,規(guī)范化��。
3.2網(wǎng)絡(luò)信息安全技術(shù)方面
上級專業(yè)主管部門���,站在企業(yè)高度���,制定專業(yè)技術(shù)標準和技術(shù)細則。從網(wǎng)絡(luò)安全分區(qū)���、網(wǎng)絡(luò)技術(shù)架構(gòu)�����、互聯(lián)網(wǎng)接入和訪問方式���、終端安全管理、網(wǎng)絡(luò)準入控制等方面統(tǒng)一規(guī)劃���,分布實施��,最終實現(xiàn)企業(yè)網(wǎng)絡(luò)信息安全防控一體化�����。
3.3信息安全意識培養(yǎng)方面
企業(yè)員工信息安全意識培養(yǎng)是個長期的過程�����,不是通過一次兩次培訓就能解決的��,采取形式多樣化方式來培養(yǎng)員工安全意識���,可以通過集中培訓講課��、視頻宣傳���、張貼宣傳畫等方式進行。針對專業(yè)人員�����,要讓他們養(yǎng)成按照制度辦事習慣��,用戶需要申請某項資源���,嚴格按照制度執(zhí)行,填寫相應資源申請�����,有時候領(lǐng)導打招呼也要按照制度流程來執(zhí)行��。長此以往,人人都會知道自己該做什么�����,不該做什么��,該怎么做�����,企業(yè)信息安全意識就會得到極大提高��。
3.4專業(yè)技術(shù)人員水平方面
信息安全技術(shù)日新月異��,不學習就落后��,不斷收集信息安全方面信息�����,共同討論相關(guān)話題��,建立相應培訓機制���,專業(yè)人員實行持證上崗���,提升專業(yè)人員實際解決問題能力�����,有效提高人員專業(yè)素養(yǎng)��,成為企業(yè)信息安全方面專家��。
4實施和開展
從2009年開始�����,先后進行一系列信息安全建設(shè)��,涉及到信息安全制度建設(shè)、網(wǎng)絡(luò)信息安全體系架構(gòu)��、信息安全保障服務�����、人員培訓等方面�����,整體提高基層供電企業(yè)信息安全狀況。
4.1信息安全制度建設(shè)
2010年開始信息安全體系ISO27001��、27002建設(shè)���,結(jié)合企業(yè)情況�����,形成30個信息安全相關(guān)文件�����,涵蓋企業(yè)信息安全方針��、等級保護��、人員管理���、機房管理、網(wǎng)絡(luò)信息系統(tǒng)運行維護管理��、終端安全���、病毒防護���、介質(zhì)管理�����、數(shù)據(jù)管理��、日志管理��、教育培訓等諸多方面���。2013年為進一步提示公司信息化管理水平,先后增加修改建設(shè)管理���、實用化管理���、項目管理、信息安全管理�����、運維管理���、綜合管理5個方面14個管理細則�����。經(jīng)過這一系列制度建設(shè)�����,基層供電企業(yè)有章可循��,全網(wǎng)信息安全依據(jù)統(tǒng)一��,明確短板情況��。
4.2建設(shè)一體化網(wǎng)絡(luò)與信息安全防控
首先依據(jù)電監(jiān)會5號文件要求�����,網(wǎng)絡(luò)架構(gòu)按照三層四區(qū)原則進行部署建設(shè)���,生產(chǎn)實時控制大區(qū)(Ⅰ、Ⅱ區(qū))與信息管理大區(qū)(Ⅲ�����、Ⅳ區(qū))之間采用國家強制認證單向數(shù)據(jù)隔離裝置進行強制隔離���,網(wǎng)絡(luò)架構(gòu)采用核心���、匯聚�����、接入部署��。網(wǎng)絡(luò)接入按照功能劃分服務器區(qū)���、網(wǎng)管區(qū)、核心交換區(qū)�����、用戶辦公區(qū)���、外聯(lián)區(qū)��、互聯(lián)網(wǎng)接入?yún)^(qū)���,在綜合數(shù)據(jù)網(wǎng)上�����,利用MPLSVPN,根據(jù)劃分不同VPN業(yè)務�����、隔離相互間數(shù)據(jù)交叉�����。建立全網(wǎng)PKI/CA系統(tǒng)�����,構(gòu)建企業(yè)員工在企業(yè)數(shù)字身份認證系統(tǒng)��,已建成系統(tǒng)進行未采用PKI登陸系統(tǒng)���,進行相應改造結(jié)合PKI/CA系統(tǒng)�����,采用PKI登陸���,在建系統(tǒng)用戶登陸必須集成PKI登陸�����。根據(jù)企業(yè)信息安全要求���,進行互聯(lián)網(wǎng)統(tǒng)一出口,部署統(tǒng)一互聯(lián)網(wǎng)防控設(shè)備�����,建立統(tǒng)一上網(wǎng)行為管理策略�����,規(guī)范員工上網(wǎng)行為���,合理使用有限互聯(lián)網(wǎng)資源��,審計員工上網(wǎng)日志��,以備不時之需�����。建立企業(yè)統(tǒng)一病毒防護系統(tǒng)���,實現(xiàn)病毒軟件統(tǒng)一安裝,病毒庫自動更新�����,防護策略統(tǒng)一下發(fā)���,定期統(tǒng)計病毒分布情況�����,同時作為終端接入內(nèi)網(wǎng)必備選項��,對終端病毒態(tài)勢比較嚴重用戶進行督促整改���,有效防止病毒在企業(yè)內(nèi)部蔓延,進一步進化內(nèi)網(wǎng)環(huán)境���。建立統(tǒng)一網(wǎng)絡(luò)邊界安全防護�����,在企業(yè)內(nèi)網(wǎng)邊界合理部署防火墻��、IPS���、UTM���,并將其產(chǎn)生日志發(fā)送到統(tǒng)一安全管理平臺,進行日志管理分析���,展現(xiàn)企業(yè)內(nèi)部信息安全態(tài)勢��,預警企業(yè)內(nèi)部信息安全存在問題�����。利用AD域或PKI/CA進行用戶身份認證�����,建設(shè)統(tǒng)一桌面管理���,所有內(nèi)網(wǎng)用戶必須滿足最基本防病毒、安全助手���、IT監(jiān)控要求方可接入內(nèi)網(wǎng)���,系統(tǒng)啟用強制安全策略���,終端采用采用DHCP,用戶不能自動修改IP地址��,在DHCP服務器上實現(xiàn)IP與MAC地址及人員綁定��,杜絕用戶私自更換IP地址引起沖突���。安全認證方面可以采用NACC或交換機802.1x方式進行,不滿足要求用戶���,自動重定向到指定網(wǎng)站進行安全合規(guī)性檢查���,滿足要求后自動接入內(nèi)網(wǎng),強制所有用戶采用統(tǒng)一網(wǎng)絡(luò)安全準入規(guī)則�����。實行移動介質(zhì)注冊制�����,極大提高終端安全性,有效保護企業(yè)信息資產(chǎn)�����。建立內(nèi)部運維控制機制��,實現(xiàn)4A統(tǒng)一安全管理���,認證�����、賬號��、授權(quán)�����、審計集中管控��。規(guī)劃統(tǒng)一服務器���、網(wǎng)絡(luò)設(shè)備資源池��,按照用戶需求��,提交相應申請材料��,授權(quán)訪問特定設(shè)備和資源�����,并對用戶訪問行為全程記錄審計�����。
5結(jié)語
第4篇
一、目前企業(yè)網(wǎng)絡(luò)信息安全管理中存在的問題
目前各級供電企業(yè)對信息安全日趨重視���,但主要側(cè)重于防備外來未授權(quán)用戶的非訪問���,并過于注重如防火墻、入侵檢測等技術(shù)問題�����,忽略了信息安全中人的管理�����,造成了幾個突出問題:
1、人員安全意識淡薄
由于系統(tǒng)的專業(yè)教育與培訓不足�����,許多專業(yè)技術(shù)人員仍然抱著“防火墻等于安全”的僥幸心理��,缺乏“防黑防毒”的意識和內(nèi)部員工操作失誤或惡意攻擊的警惕性���,對信息安全采取的防護措施非常簡單���。大多數(shù)信息系統(tǒng)使用員工對信息安全知識和技能掌握不夠,認為信息安全只是技術(shù)部門的事�����,安全防護意識不強��。
2���、網(wǎng)絡(luò)信息機構(gòu)不健全
有些供電企業(yè)沒有專門的信息技術(shù)運行機構(gòu)或沒有規(guī)范的建制和崗位���,人員配置又偏少���,而且信息系統(tǒng)架構(gòu)的分散也導致人力資源不集中,信息戰(zhàn)線拉得大長��,幾乎沒有時間關(guān)注信息安全���。由于IT技術(shù)發(fā)展很快���,基層信息技術(shù)人員得不到相應的培訓,難以對日新月異的IT技術(shù)中有關(guān)主機���、操作系統(tǒng)�����、數(shù)據(jù)庫、網(wǎng)絡(luò)��、存儲���、安全等方面作全面的了解和掌握�����,運行維護能力低下�����,系統(tǒng)安全監(jiān)控不到位�����。
3���、網(wǎng)絡(luò)信息安全管理專業(yè)化程度不夠
大多數(shù)基層供電公司缺乏專門的信息安全監(jiān)督管理機構(gòu)���,或者沒有配備專業(yè)的信息安全監(jiān)督管理人員,或者只設(shè)兼職��。由于缺乏信息安全管理專業(yè)知識和技能��,對信息安全特殊性認識不足�����,難于發(fā)揮有效的信息安全監(jiān)督管理�����,使信息安全管理工作處于一種似管非管或基本不管的真空狀態(tài)。
4��、管理制度滯后且執(zhí)行不力
隨著國網(wǎng)公司集中集成工作的展開和信息網(wǎng)絡(luò)基礎(chǔ)建設(shè)不斷加強��,原有的信息安全管理制度已相對滯后�����,而且有些制度不完全適合基層實際�����,個別條款操作性較差��,難于執(zhí)行���,這就造成制度執(zhí)行不力��、有章不循、違規(guī)操作���,這些都增加了信息安全風險�����。
二��、加強企業(yè)網(wǎng)絡(luò)信息安全管理的幾點建議
1�����、加強全員網(wǎng)絡(luò)信息安全意識教育
通過普及信息安全知識教育��,提高企業(yè)員工網(wǎng)絡(luò)信息安全知識和安全意識��,掌握發(fā)現(xiàn)�����、解決某些常見安全問題的能力���。信息安全教育的具體內(nèi)容一般應包括以下內(nèi)容:(1)信息安全所面臨的風險�����;
(2)企業(yè)信息安全方針及目標��;
(3)企業(yè)安全管理規(guī)章制度���;
(4)與信息安全有關(guān)的其它內(nèi)容�����。通過安全教育使所有員工增強整體信息系統(tǒng)的安全防護意識���。
2、加強企業(yè)員工相應技能培訓
為了確保企業(yè)員工在日常工作過程中具有保護企業(yè)信息安全方面的能力��,應當加強對員工計算機安全技能培訓���,教育員工平時應做到所有操作應符合規(guī)定��、不得向他人泄露自己的操作口令��、不訪問陌生的網(wǎng)站��、不瀏覽或打開一些來歷不明的郵件及附件�����、外來光盤�����、U盤等存儲設(shè)備須先殺毒后使用���、發(fā)現(xiàn)問題立即通知技術(shù)人員處理等基本的安全技能。
3�����、健全信息技術(shù)部門建設(shè)
根據(jù)需要合理配置信息技術(shù)人員���,加強信息技術(shù)隊伍建設(shè)���,明確機房管理員、網(wǎng)絡(luò)管理員�����、應用系統(tǒng)管理員���、數(shù)據(jù)庫管理員�����、防病毒管理員�����、運行維護員等崗位配置�����,重要崗位設(shè)置A�����、B崗�����,落實崗位職責具體到人�����。對技術(shù)人員應注重技術(shù)培訓��,可以定期或不定期參加各種針對性的技術(shù)培訓���,增強技術(shù)儲備力度�����。
4�����、加強信息安全規(guī)章制度建設(shè)
建立健全適應企業(yè)實際的安全管理制度是信息安全管理的前提�����。標準化的安全管理���,能夠克服傳統(tǒng)管理中個人的主觀意志驅(qū)動的管理模式。應在對企業(yè)信息安全評估下�����,根據(jù)單位實際情況���,遵照上級有關(guān)規(guī)定��,制定出切實可行��、全面的安全管理制度��。如:保密制度��、機房管理制度���、網(wǎng)絡(luò)運行管理制度���、應用系統(tǒng)運行管理制度、設(shè)備維護工作制度��、值班制度��、計算機系統(tǒng)使用規(guī)范等�����,管理制度應明確描述所有信息技術(shù)人員以及信息系統(tǒng)使用人員的信息安全職責和信息系統(tǒng)日常使用規(guī)范��,規(guī)范信息系統(tǒng)操作流程�����,減少人為失誤�����。
5��、建立安全監(jiān)督保證體系
成立安全領(lǐng)導小組,由分管領(lǐng)導抓信息安全工作���,并設(shè)置一個獨立于信息技術(shù)部門的信息安全管理監(jiān)督部門作為企業(yè)的信息安全日常管理機構(gòu)�����,根據(jù)信息系統(tǒng)安全需要設(shè)定安全事務的職位,負責企業(yè)范圍內(nèi)信息安全監(jiān)督管理工作�����。各部門應配備計算機技能較強的信息安全專兼職人員��,負責所在部門信息安全制度的落實和執(zhí)行��,形成良好的信息安全監(jiān)督保證體系�����。
6��、加強信息安全考核力度
第5篇
關(guān)鍵詞:石油企業(yè);信息安全;管理手段
0引言
隨著信息化建設(shè)進程飛速發(fā)展��,作為信息載體的計算機��、互聯(lián)網(wǎng)已在企業(yè)生產(chǎn)、經(jīng)營管理各個層面得到廣泛應用��。計算機網(wǎng)絡(luò)的開放性���、靈活性和廣泛性在全面數(shù)字化的今天給經(jīng)營管理帶來了便捷��、高效�����、有序的工作環(huán)境�����,同時也帶來了較大的安全管理隱患���。黑客的出現(xiàn)、安全漏洞的增多�����、管理的交叉混亂�����、惡意的網(wǎng)絡(luò)攻擊使網(wǎng)絡(luò)安全管理遭受了較大的沖擊,成為信息化健康發(fā)展的絆腳石�����。網(wǎng)絡(luò)信息管理疏于安全的防范將危及到企業(yè)生產(chǎn)經(jīng)濟的有序發(fā)展�����。石油企業(yè)在國民經(jīng)濟中發(fā)揮著重要作用���,任何風險都可能導致國家經(jīng)濟受到重大影響��。因此,提高石油企業(yè)信息安全意識���,加強信息管理應以保瘴服務和應用為目標�����,強化安全意識���、制定周密的安全手段從而構(gòu)建完善的信息安全管理體系。
1加強企業(yè)信息管理的必要性
1.1企業(yè)信息管理概念
企業(yè)信息管理是通過現(xiàn)代化的信息技術(shù)和設(shè)備,以網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)設(shè)備實現(xiàn)企業(yè)管理的自動化�����,進而對企業(yè)進行全方位和多角度的管理���,以此來促進企業(yè)生產(chǎn)�����、經(jīng)營管理的優(yōu)化配置�����,進而通過企業(yè)資源的開發(fā)和信息技術(shù)的有效利用來提高企業(yè)的管理水平��,增強企業(yè)的核心競爭力���。企業(yè)信息管理的主要內(nèi)容,一般包括企業(yè)未來的經(jīng)濟形勢分析���、預測資料�����、資源的可獲量��、市場和競爭對手的發(fā)展動向��,以及政府政策與政治情況的環(huán)境變化等等���。企業(yè)信息管理與制訂企業(yè)發(fā)展戰(zhàn)略�����、制訂規(guī)劃��、合理地分配資源是密切相關(guān)的���。同時,企業(yè)的信息管理也應當包括企業(yè)內(nèi)部的信息資源���,如財務管理信息、物資庫存��、鉆井施工��、職工檔案管理等多方面的內(nèi)容�����,并且促進企業(yè)的全面發(fā)展。
1.2企業(yè)信息安全管理的必要性
企業(yè)信息的存在方式有著多樣性��,而進行企業(yè)安全信息管理的主要目的�����,在于保護企業(yè)的信息安全��,保證企業(yè)能夠順利的參與到市場經(jīng)濟活動中�����,進而提高企業(yè)的經(jīng)濟效益和社會效益�����,構(gòu)筑起信息安全管理系統(tǒng)的保密性�����、完整性���、可用性���、可維護性���、可驗證性的目標,使企業(yè)安全信息管理能夠通過有效的控制措施來實現(xiàn)��。第一�����,企業(yè)管理的信息具有很強的保密性和完整性的特點�����,因此其對于企業(yè)的生產(chǎn)勢力�����、科技含量�����、資金流動�����、企業(yè)的綜合競爭力等多方面都有著重要的影響���,同時對于企業(yè)的商業(yè)形象與合法經(jīng)營也至關(guān)重要�����,因此加強企業(yè)信息安全管理是必要的���。第二,由于網(wǎng)絡(luò)自身所具有的開放性特性���,決定了企業(yè)信息管理也面臨著來自各方面的安全威脅���,比如計算機病毒、黑客等���,以及計算機詐騙�����、泄密等問題��,也說明了加強企業(yè)信息安全管理勢在必行�����。第三�����,企業(yè)對于信息系統(tǒng)產(chǎn)生的依賴也從另一方面暴露出了信息管理系統(tǒng)的脆弱��,公共網(wǎng)絡(luò)與私人網(wǎng)絡(luò)的連接增強了信息的控制難度�����,使得信息在分散化的管理模式下�����,集中�����、專業(yè)控制的有效性大大減弱�����。另外,由于很多信息管理系統(tǒng)設(shè)計的缺陷���,其自身就存在著不合理之處,這對于信息安全管理也帶來了一定的難度���?����;诖?����,對于企業(yè)信息管理的安全性也成為了當前企業(yè)管理面臨的一個重大課題��。
2加強企業(yè)信息管理安全的防范措施
2.1不斷完善信息管理系統(tǒng)
隨著企業(yè)信息化的發(fā)展��,目前應用的管理系統(tǒng)有PKI�����、郵箱��、AD域�����、普OA�����、合同系統(tǒng)��、A6��、ERP���、網(wǎng)絡(luò)��、操作系統(tǒng)��、A7���、檔案系統(tǒng)、物采系統(tǒng)�����、OSC���、視頻會議�����、企業(yè)微信��、門戶網(wǎng)站���、寶石花、數(shù)字營房��、會議保障��、E2�����、一體化�����、RTX�����、移動應用、短信平臺���。信息系統(tǒng)的連續(xù)穩(wěn)定運行越來越重要���,一旦系統(tǒng)中斷,將會給企業(yè)的生產(chǎn)經(jīng)營管理帶來混亂���,而數(shù)據(jù)一旦丟失�����,后果是不可估量的��。為此�����,信息管理系統(tǒng)的投入和使用�����,是建立在充分的實踐經(jīng)驗的基礎(chǔ)上���,通過一段時間的運行和觀察��,才能夠投入使用���。在不同的部門進行信息系統(tǒng)的引入時,應當按照部門的實際情況�����,通過多方引進��,使用統(tǒng)一的信息管理系統(tǒng)�����。對于信息安全來說���,首先要解決的就是系統(tǒng)是否能夠通過安全驗證對用戶進行有效的管理,并且賦予不同等級的用戶不同的使用權(quán)限��,這樣則能夠有效的防止無權(quán)訪問信息的用戶對核心區(qū)域的訪問���,保證信息不會被盜用�����。同時�����,為保證信息系統(tǒng)的連續(xù)穩(wěn)定運行�����,應采用雙機服務器和從服務器��。一旦發(fā)生服務器故障��,由從服務器自動接替主服務器工作��。
2.2有效的設(shè)備管理
設(shè)備安全主要涉及到由于自然災害��、人為因素造成的數(shù)據(jù)丟失�����。信息安全應建設(shè)完善的容災備份系統(tǒng)�����,容災備份系統(tǒng)一般由兩個數(shù)據(jù)中心構(gòu)成���,主中心和備份中心�����。通過異地數(shù)據(jù)備份���,實時地將主中心數(shù)據(jù)拷貝至備份中心存儲系統(tǒng)中�����,使主中心存儲數(shù)據(jù)與備份中心數(shù)據(jù)完全保持一致�����。同時,對于管理系統(tǒng)中使用的設(shè)備品牌��、機型�����、內(nèi)部配置以及使用時間等信息都要進行專門的記錄�����,通過這些記錄,定期對設(shè)備進行維護���,同時也能夠通過這些信息判斷出信息的使用效率以及運行情況�����,對于設(shè)備的損壞或者是丟失情況都能夠及時地了解�����。
2.3加強對人員的監(jiān)督與管理
企業(yè)信息安全不單純是技術(shù)問題�����,而是一個綜合性的問題���。其中最重要的因素是人,人是設(shè)備的主要操作者��,因此對于信息的安全管理��,就需要加強對人的管理�����,需要操作人員具有足夠的安全意識,對于每一位操作人員進行相關(guān)的培訓��,對于唯一的用戶名和密碼等信息要進行妥善保管���,同時讓操作人員認識到泄密會導致的嚴重后果���,增強責任意識。只有通過不斷地學習及意識的培養(yǎng)��,管理人員才能養(yǎng)成定期維護�����、按時打補丁��、及時更新的操作習慣��,以不變應萬變的態(tài)度應對各種網(wǎng)絡(luò)攻擊手段���。通過不斷的加強過程管理,通過對每個細節(jié)的嚴密審查���,能夠有效減少人為出錯的現(xiàn)象�����,同時通過科學的評價機制和激勵機制�����,刺激人員工作的積極性���,加強自身的責任意識�����。
2.4網(wǎng)絡(luò)傳輸安全
第6篇
關(guān)鍵詞:信息化 信息安全 網(wǎng)絡(luò)安全
根據(jù)國家統(tǒng)計局年初公布的數(shù)字顯示��,國內(nèi)企業(yè)總體的99%都是中小企業(yè)��,他們貢獻了超過一半的國內(nèi)GDP���。但截止到目前,這些中小企業(yè)的信息化水平仍然比較落后���,其中針對信息安全的投人�����,更是鳳毛麟角���。
對于國內(nèi)占大多數(shù)的中小企業(yè)來說�����,如何在充分利用信息化優(yōu)勢的同時�����,更好地保護自身的信息資產(chǎn)�����,已經(jīng)成為一個嚴峻的挑戰(zhàn)��。特別是近兩年來���,網(wǎng)絡(luò)上的病毒、攻擊事件頻發(fā)���,信息安全問題正在日益成為中小企業(yè)信息化進程中的難題。
一���、什么是信息安全
信息是一種資產(chǎn)���,與其它重要的資產(chǎn)一樣��,它對一個組織而言具有一定的價值��,因此需要適當?shù)募右员Wo��,而信息又可以以多種形式存在���。如可以打印或者寫在紙上,以數(shù)字化的方式存儲��,通過郵局郵寄或電子手段發(fā)送�����,表現(xiàn)在膠片上或以談話的方式說出來���?�?傊?����,信息無論以什么形式存在�����,以什么方式存儲���、傳輸或共享��,都應得到恰當?shù)谋Wo���。
所謂信息安全是指信息具有如下特征:
安全性:確保信息僅可讓授權(quán)獲取的人士訪問;完整性:保護信息和處理方法的準確和完善���;可用性:確保授權(quán)人需要時可以獲取信息和相應的資產(chǎn)��。
信息安全是指使信息避免一系列威脅���,保障商務的連續(xù)性,最大限度地減少業(yè)務的損失���,從而最大限度地獲取投資和商務的回報��。它主要涉及到信息傳輸?shù)陌踩?����、信息存儲的安全��、以及網(wǎng)絡(luò)傳輸信息內(nèi)容的審計三個方面���,它可以通過實施一整套恰當?shù)拇胧﹣慝@得。但目前我國的信息安全令人堪憂��,隨著政府上網(wǎng)和企業(yè)信息化的推進���,越來越多的企業(yè)的日常業(yè)務已經(jīng)無法脫離網(wǎng)絡(luò)和信息技術(shù)的支持��,那么我國中小企業(yè)的信息安全現(xiàn)狀如何呢?
二��、我國企業(yè)信息安全的現(xiàn)狀
(一)企業(yè)的重視程度
隨著信息化的加快�����,企業(yè)信息安全越來越受到重視��,而我國的中小企業(yè)信息安全現(xiàn)階段正處于初級階段��。在推進企業(yè)信息化的進程中�����,有些中小企業(yè)對于信息化概念的認識遠遠不夠�����,它們認為購置幾臺電腦放到公司�����,日常用來打打字��,將單個機器連結(jié)到網(wǎng)上企業(yè)就信息化了�����,遠遠沒有認識到信息技術(shù)給企業(yè)所能帶來的巨大的變化��,對于網(wǎng)絡(luò)安全更是沒有意識��。
據(jù)調(diào)查���,目前國內(nèi)90%的網(wǎng)站存在安全問題��,其主要原因是企業(yè)管理者缺少或沒有安全意識�����。某些企業(yè)網(wǎng)絡(luò)管理員甚至認為其公司規(guī)模較小���,不會成為黑客的攻擊目標��。如此態(tài)度�,網(wǎng)絡(luò)安全更是無從談起�。
(二)資金��、技術(shù)、人員方面情況
已建立了企業(yè)內(nèi)部信息化平臺的企業(yè)��,由于資金��、技術(shù)等方面的原因����,還沒有把重點放到網(wǎng)絡(luò)安全管理上,尤其是中小企業(yè)的安全問題一直隱患重重�。
據(jù)了解,許多中小企業(yè)沒有專門的網(wǎng)絡(luò)管理員����,一般采用兼職管理方式����,這使中小企業(yè)的網(wǎng)絡(luò)管理在安全性方面存在嚴重的漏洞�,與大型企業(yè)相比,它們更容易受到網(wǎng)絡(luò)病毒的侵害�,損失也比較嚴重。
根據(jù)IDC對2005年我國政府��、企業(yè)用戶的信息安全狀況分析����,約有34.8%的企業(yè)因內(nèi)部雇員的行為(包括對內(nèi)部資源的不合理使用和對內(nèi)部數(shù)據(jù)缺乏有效保護)而造成企業(yè)出現(xiàn)安全問題。
(三)網(wǎng)絡(luò)維護����、運行、升級方面的情況
在網(wǎng)絡(luò)的維護��、運行�、升級等事務性工作方面,由于工作繁重而且成本較高��,一些善于精打細算的中小企業(yè)在防范黑客及病毒方面舍不得投入�,據(jù)相關(guān)調(diào)查數(shù)據(jù)資料統(tǒng)計�,國內(nèi)七成以上的中小企業(yè)�,一是缺乏基本的企業(yè)防毒知識,購買一些單機版防毒產(chǎn)品來防護整個企業(yè)網(wǎng)絡(luò)的安全����。二是采購了并不適合自身網(wǎng)絡(luò)系統(tǒng)的企業(yè)防毒產(chǎn)品,因此留下許多安全隱患����。三是技術(shù)力量薄弱,雖然部署了企業(yè)防毒產(chǎn)品����,但是這些產(chǎn)品操作難度大�、使用復雜,最終導致很難全面發(fā)揮效用�,甚至成了擺設(shè),這樣一來企業(yè)內(nèi)部網(wǎng)絡(luò)就根本沒有什么安全而言��。
三��、如何保證我國中小企業(yè)的信息安全
(一)從企業(yè)的自身情況考慮
要解決中小企業(yè)網(wǎng)絡(luò)信息安全問題����,不能僅依靠企業(yè)的安全設(shè)施和網(wǎng)絡(luò)安全產(chǎn)品�,而應該考慮如何提高企業(yè)自身的網(wǎng)絡(luò)安全意識����,將信息安全問題提升到重視的高度,要重視“人”的因素����。具體表現(xiàn)在以下兩個方面:
1.提高安全認識
定期對企業(yè)員工進行網(wǎng)絡(luò)安全教育培訓深化企業(yè)的全員信息安全意識,企業(yè)管理層要制定完整的信息安全策略并貫徹執(zhí)行��,對安全問題要做到預先考慮和防備�。
2.要求中小企業(yè)在上網(wǎng)的過程中要做到“一做三不要”
(1)將存有重要數(shù)據(jù)的電腦堅決同網(wǎng)絡(luò)隔離,同時設(shè)置開機密碼����,并將軟驅(qū)、硬盤加密鎖定����,進行三級保護。
(2)不要在自己的系統(tǒng)之內(nèi)使用任何具有記憶命令的程序����,因為這些程序不但能記錄用戶的擊鍵動作甚至能以快照的形式記錄到屏幕上發(fā)生的一切。
(3)不在網(wǎng)上的任何場合下隨意透露自己企業(yè)的任何安全信息。
(4)不要啟動系統(tǒng)資源共享功能�,最后要盡量減少企業(yè)資源暴露在外部網(wǎng)上的機會和次數(shù),減少黑客進攻的機會�。
(二)從網(wǎng)絡(luò)安全角度考慮
1.從網(wǎng)絡(luò)安全服務商的角度來說,服務商要重視中小企業(yè)對網(wǎng)絡(luò)安全解決方案的需要�,充分考慮中小企業(yè)的現(xiàn)實狀況,仔細調(diào)查和分析中小企業(yè)的安全因素�,開發(fā)出適合中小企業(yè)實際情況的網(wǎng)絡(luò)安全綜合解決方案。此外��,還應該注意投入大量精力在安全策略的施行及安全教育的開展方面�,這樣才能為中小企業(yè)信息安全工作的順利開展提供堅實的保證。
2.要用防火墻將企業(yè)的局域網(wǎng)(Intranet)與互聯(lián)網(wǎng)之間進行隔離��。由于網(wǎng)絡(luò)攻擊不斷升級����,對應的防火墻軟件也應該及時跟著升級����,這樣就要求我們企業(yè)的網(wǎng)管人員要經(jīng)常到有關(guān)網(wǎng)站上下載最新的補丁程序,以便進行網(wǎng)絡(luò)維護�,同時經(jīng)常掃描整個內(nèi)部網(wǎng)絡(luò),以發(fā)現(xiàn)任何安全隱患并及時更改����,才能做到有備無患��。
3.企業(yè)用戶最好自己學會如何調(diào)試和管理自己的局域網(wǎng)系統(tǒng)�,不要經(jīng)常請別人來協(xié)助管理����。中小企業(yè)要培養(yǎng)自己解決安全問題的能力,提高自己的信息安全技術(shù)�。如果缺乏這方面的人才就應該去引進或者培養(yǎng)相關(guān)人才。
4.內(nèi)部網(wǎng)絡(luò)系統(tǒng)的密碼要定期修改�。
第7篇
【關(guān)鍵詞】電力企業(yè);網(wǎng)絡(luò)信息安全��;管理
新時代是網(wǎng)絡(luò)信息時代��,全世界信息網(wǎng)絡(luò)系統(tǒng)都在迅猛發(fā)展中�。電力企業(yè)作為各行業(yè)中重中之重的國家基礎(chǔ)行業(yè),整個行業(yè)都對網(wǎng)絡(luò)信息系統(tǒng)有著極大的依賴性��,網(wǎng)絡(luò)信息系統(tǒng)也以它快速��、全面����、及時的優(yōu)點給電力企業(yè)帶來了極大的經(jīng)濟效益。但是網(wǎng)絡(luò)信息系統(tǒng)所帶來的不僅是經(jīng)濟效益,同樣還有信息泄露的巨大風險��,一旦發(fā)生信息泄露或信息數(shù)據(jù)遭篡改��,將為國家造成不可估計的經(jīng)濟損失��。
近年來全球范圍內(nèi)計算機犯罪活動猖獗�,不斷發(fā)生黑客入侵、電腦病毒肆虐事件����,給電力企業(yè)敲響了警鐘,網(wǎng)絡(luò)安全防范刻不容緩��。很多受害者的網(wǎng)絡(luò)硬件及軟件技術(shù)都處于時展的主流����,然而依然發(fā)生信息安全受損事件,這充分證明��,僅僅依靠軟硬件的更新是不能很好的提升網(wǎng)絡(luò)信息安全水平的����,除了安裝網(wǎng)絡(luò)安全產(chǎn)品��,同樣重要的還有網(wǎng)絡(luò)信息的安全管理措施。所以�,各電力企業(yè)都必須認真面對和研究當前網(wǎng)絡(luò)信息安全問題,及時采取合理有效的防范措施�。
1、我國電力企業(yè)網(wǎng)絡(luò)信息安全現(xiàn)狀
1.1電力企業(yè)信息化的優(yōu)勢
進入二十一世紀以來��,隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展����,我國電力企業(yè)的信息化也有著很大的進步:電力行業(yè)信息化設(shè)施較其他行業(yè)更完善,各電力企業(yè)主要崗位使用計算機工作的比率已經(jīng)基本達到100%�,而且90%以上都建立起了覆蓋本部機關(guān)工作的局域網(wǎng);電力生產(chǎn)�、調(diào)度自動化系統(tǒng)廣泛應用,已經(jīng)形成了較成熟的管理模式��。其中發(fā)電生產(chǎn)自動化監(jiān)控系統(tǒng)����、電力調(diào)度SCADA系統(tǒng)等,大大提高了生產(chǎn)過程和電力調(diào)度的自動化水平����;電力營銷管理系統(tǒng)在全國各大電力企業(yè)廣泛應用,各地(市)級電力企業(yè)都已實現(xiàn)業(yè)務受理計算機化��。同時各地也在大力建設(shè)客戶服務中心,已經(jīng)有一批服務中心先行初步建立起來�;國家電網(wǎng)公司及其下各級子公司開發(fā)應用了電力生產(chǎn)、設(shè)備安檢����、電力負荷及營銷管理的企業(yè)管理信息系統(tǒng),各大電力企業(yè)也在積極規(guī)劃企業(yè)信息化發(fā)展藍圖��,大力進行企業(yè)信息化建設(shè)��,推動實現(xiàn)電力工業(yè)現(xiàn)代化進程����。
1.2當前存在的問題
上述信息化優(yōu)勢證明我國電力企業(yè)近年來關(guān)于網(wǎng)絡(luò)信息化建設(shè)取得了一些成果,給行業(yè)信息化建設(shè)打下了良好的基礎(chǔ)��,但在網(wǎng)絡(luò)信息安全管理方面仍普遍存在較多問題��。
1.2.1信息化機構(gòu)建設(shè)不健全��。電力企業(yè)很少為信息管理部門專門設(shè)置機構(gòu)�,因而缺乏應有的規(guī)范的崗位及建制。大多信息部門附屬在技術(shù)部�、科技部或總經(jīng)理工作部門下,甚至僅設(shè)置一個專責人員負責�。信息化管理是一項系統(tǒng)性的工程,沒有專門的部門負責是不能滿足現(xiàn)代企業(yè)信息化安全的需求的��。
1.2.2企業(yè)管理阻礙信息化發(fā)展����。有些電力企業(yè)管理辦法革新緩慢,大多采用較落后的����、非現(xiàn)代信息化企業(yè)的管理模式。這樣的企業(yè)即便引入最完善的信息管理系統(tǒng)����、最先進的信息化設(shè)備,也只能受落后的企業(yè)管理模式所制約��,無法發(fā)揮其應有的作用����。
1.2.3網(wǎng)絡(luò)結(jié)構(gòu)不合理。電力企業(yè)大多將公司網(wǎng)絡(luò)分為外網(wǎng)和內(nèi)網(wǎng)�,兩種網(wǎng)絡(luò)之間實行物理隔離措施,但很多企業(yè)的網(wǎng)絡(luò)交換機是一臺二層交換機��,決定了內(nèi)網(wǎng)和外網(wǎng)用戶在網(wǎng)絡(luò)中地位是平等的��,導致安全問題只能靠完善管理系統(tǒng)去解決,給系統(tǒng)編寫帶來很多不必要的困難�。
1.2.4身份認證缺陷。電力企業(yè)一般只建立內(nèi)部使用的信息系統(tǒng)��,而企業(yè)內(nèi)部不同管理部門�、不同層次員工有不同等級的授權(quán),根據(jù)授權(quán)等級不同決定各部門和員工訪問的數(shù)據(jù)和信息不同�。這類授權(quán)是以身份認證為基礎(chǔ)的信息訪問控制,但在當前的企業(yè)身份認證系統(tǒng)中大多存在缺陷和漏洞�,給信息安全留下隱患。
1.2.5軟件系統(tǒng)安全風險較大��。軟件系統(tǒng)安全風險指兩方面����,一是編寫的各種應用系統(tǒng)可能有漏洞造成安全風險,二是操作系統(tǒng)本身風險�,隨著近期微軟停止對windows XP系統(tǒng)的服務支持,大量使用windows XP系統(tǒng)的信息管理軟件都將得不到系統(tǒng)漏洞的修補��,這無疑會給信息安全帶來極大風險��。
1.2.6管理人員意識不足����。很多電力企業(yè)員工網(wǎng)絡(luò)安全意識參差不齊��,一方面是時代的迅速發(fā)展導致較年輕的管理人員安全意識較高�,而對網(wǎng)絡(luò)接觸較少的中老年員工網(wǎng)絡(luò)安全意識較為缺乏�;另一方面也有電力企業(yè)管理制度不夠完善����、忽視對員工進行及時培訓的原因。在這種人員背景下����,如果管理人員配備不當、信息管理系統(tǒng)設(shè)置不合理都會給企業(yè)信息埋下安全隱患�。
2、電力企業(yè)網(wǎng)絡(luò)信息安全管理措施
要建立完善合理的網(wǎng)絡(luò)信息安全管理體系�,需要各企業(yè)認清企業(yè)現(xiàn)狀,根據(jù)實際進行統(tǒng)一規(guī)劃����,分部建設(shè),保證建設(shè)內(nèi)容能科學有效的運行����。
2.1加強信息安全教育培訓
不論計算機程序有多么先進多么完善,如果操作管理人員素質(zhì)和意識不足�,那也不能保證企業(yè)信息化的安全�。因此��,實現(xiàn)企業(yè)網(wǎng)絡(luò)信息安全管理的根本在人����,可以根據(jù)員工職責分層次進行培訓,一方面提高安全管理員工的專業(yè)知識水平及安全管理意識��,另一方面加強對一線工作人員的安全意識教育�,將網(wǎng)絡(luò)信息安全變?yōu)槠髽I(yè)文化和精神支柱的一部分。
2.2完善管理制度建設(shè)
電力企業(yè)要把網(wǎng)絡(luò)信息安全管理視為一個系統(tǒng)工程來考慮��,必須在企業(yè)內(nèi)部建立起合理而完善的管理制度��,比如:加強網(wǎng)絡(luò)日志管理�;對安全審計數(shù)據(jù)嚴格管理;在企業(yè)網(wǎng)絡(luò)上安裝病毒防護軟件��;規(guī)定不能隨意在內(nèi)網(wǎng)主機上下載互聯(lián)網(wǎng)數(shù)據(jù)��、不能在內(nèi)網(wǎng)計算機上隨意使用來歷不明的移動存儲設(shè)備等��。
2.3不斷更新完善信息安全管理系統(tǒng)
大力推進信息安全新技術(shù)的探索和應用����,建立信息安全防護體系�,可以圍繞數(shù)據(jù)庫安全����、數(shù)據(jù)備份和恢復、網(wǎng)絡(luò)服務完全��、病毒防護系統(tǒng)的應用�、數(shù)據(jù)加密技術(shù)及數(shù)據(jù)傳輸安全等方面建立一個多方面多層次聯(lián)合的技術(shù)安全體系��,從而提高信息系統(tǒng)安全防護能力�,確保企業(yè)信息安全可靠。
3��、總結(jié)
電力企業(yè)信息化是不可避免的發(fā)展趨勢��,因此要實現(xiàn)企業(yè)的可持續(xù)發(fā)展就必須做好企業(yè)信息網(wǎng)絡(luò)安全的管理��,電力企業(yè)要在不斷的探索實踐中����,摸索新時期網(wǎng)絡(luò)信息安全管理措施,不斷完善和健全網(wǎng)絡(luò)信息安全建設(shè)�。
參考文獻
[1]王雋.電力企業(yè)網(wǎng)絡(luò)信息安全防護體系的建立[J].信息與電腦(理論版),2012,07:22-23.
第8篇
1.1信息安全管理有效性測量目的
信息安全管理有效性測量的根本目的�,是評估企業(yè)信息安全管理的真實水平。在企業(yè)建立信息系統(tǒng)時�,通常都會依據(jù)企業(yè)的發(fā)展需要、組織結(jié)構(gòu)����、信息組成、利益關(guān)系�、安全標準等方面的要求,來設(shè)定企業(yè)信息系統(tǒng)的安全管理目標��,構(gòu)筑相應的安全管理體系和措施��。對企業(yè)信息安全管理有效性進行測量����,不僅可以對企業(yè)信息安全管理目標實現(xiàn)程度進行科學準確的評估,還能準確地評測企業(yè)信息安全管理系統(tǒng)的效能����,作為企業(yè)信息安全管理考核的依據(jù)。實際上�,如果不進行有效性測量,只依賴于信息系統(tǒng)安全測量標準來評估企業(yè)信息系統(tǒng)安全管理水平�,將會造成極大的誤差��,甚至產(chǎn)生很多安全漏洞�,使企業(yè)實際信息安全管理水平與所需達到的水平相差甚遠��,如果僅依賴于表面的數(shù)據(jù)將使這些漏洞和不足無法得到有效的解決��,造成巨大的信息安全隱患��。通過有效性測量�,能更好地找出企業(yè)信息安全管理需要改進的地方,充分反應企業(yè)信息安全管理存在的問題和嚴重程度�,為企業(yè)信息安全管理工作的改進提供依據(jù)。
1.2信息安全管理有效性測量指標
信息安全管理不僅是國內(nèi)企業(yè)的需要��,也是國外企業(yè)的需要��,相對來說�,國外在信息安全管理方面的水平更高��。目前��,在國際上普遍采用ISO/IEC27002作為信息安全管理標準��,以此來實施信息安全管理��,這一標準是當前最權(quán)威和最科學的信息安全管理標準,在這一標準中從信息安全方針����、組織、管理等方面����,提出了100余個控制措施,信息安全管理中可以根據(jù)企業(yè)的需要選擇相應的措施進行信息安全管理�,該標準所提出的措施,基本覆蓋了企業(yè)信息安全管理的各個方面����。在構(gòu)建信息安全管理有效性測量指標體系時,也可以按照ISO/IEC27002標準進行����,將測量內(nèi)容分解為管理控制、運行控制��、技術(shù)控制3個方面�,并根據(jù)企業(yè)實際情況采用具有代表性、可測量的指標建立起測量指標集�,對這些指標實施情況進行采集分析,再通過專家咨詢評測最終得到企業(yè)信息安全管理有效性的具體指標����,評估企業(yè)信息安全達到的水平����,找出企業(yè)信息安全管理的不足�。
2測量方法和指標計算
2.1測量方法
在信息安全管理有效性測量中,應當對指標進行量化處理�,最終形成量化測量結(jié)果。不同的指標��,所采用的測量方法并不相同��,通常采用的測量方法有風險分析����、風險評估、問卷調(diào)查�、個人訪談����、內(nèi)部審核、報表統(tǒng)計����、滲透性測試����、內(nèi)外對比等方法��。對不同的指標采用相應的測量方法進行測量后����,得到各指標的基本測度結(jié)果,再運用不同的技術(shù)對所獲得的基本測度結(jié)果進行取值����,賦予不同指標以不同的安全風險權(quán)重,最終算出企業(yè)信息安全管理有效性水平��。例如在信息安全管理控制方面�,需要對信息系統(tǒng)安全性,信息處理����、信息傳輸、信息存儲安全性進行評價����,并評估這些風險可能對企業(yè)資產(chǎn)造成的威脅以及威脅程度,結(jié)合安全問題所涉及的資產(chǎn)價值來判斷可能造成的影響��,以評估信息安全管理控制的有效性,這其中��,就需要將信息安全管理控制分解為多個指標進行測量����,并根據(jù)對資產(chǎn)價值的影響能力賦予不同的權(quán)重和取值,才能最終確定出企業(yè)信息安全管理控制方面的有效性水平�。再如在信息安全管理運行有效性方面,需要對人員安全����、安全意識、環(huán)境安全����、業(yè)務聯(lián)系、事件管理等進行有效性評估����,其中人員安全包括各個人員的安全評級和安全管理情況,安全意識包括企業(yè)安全教育��、人員安全技術(shù)水平等����,環(huán)境安全包括物理安全環(huán)境、技術(shù)安全環(huán)境等��。
2.2指標計算
在信息安全管理有效性測量中����,各指標的在安全管理有效性中的權(quán)重并不相同,因此信息安全管理有效性測量結(jié)果����,不是對各指標的測量結(jié)果進行簡單相加,而是要對不同的指標賦予不同的權(quán)重��,構(gòu)建起評測矩陣�,并充分考慮各指標之間的聯(lián)系賦值,如極端重要��、強烈重要�、明顯重要、稍微重要等��,根據(jù)不同指標的權(quán)重進行重要性排序后�,對其特征向量進行求解,確定各指標在企業(yè)信息安全管理中的影響能力��。各指標的權(quán)重,并沒有統(tǒng)一的標準��,也不可能簡單地借鑒其他企業(yè)的測量權(quán)重��,根據(jù)不同企業(yè)有不同的特點��,在進行測量時�,應當有相當數(shù)量的專家參與權(quán)重賦值,在消除偶然因素的影響后建立起符合企業(yè)特點的指標權(quán)重體系�,得出較為科學合理的指標權(quán)重,這樣才能使最重的測量結(jié)果更為科學合理�。
3結(jié)束語
第9篇
摘要:隨著計算機技術(shù)與通信技術(shù)的高速發(fā)展,信息安全在企業(yè)中扮演著越來越重要的角色����,為此,筆者從企業(yè)信息系統(tǒng)所面臨的安全威脅以及企業(yè)信息系統(tǒng)安全運行應當采取的防范措施兩方面進行了探討����。
關(guān)鍵詞:信息系統(tǒng)安全;防火墻技術(shù)�;防范
隨著計算機技術(shù)與通信技術(shù)的飛速發(fā)展,信息安全已成為制約企業(yè)發(fā)展的瓶頸技術(shù),進而使得企業(yè)對信息系統(tǒng)安全的依賴性達到了空前的程度,但是企業(yè)在享受著信息系統(tǒng)給公司帶來巨大經(jīng)濟效益的同時,也面臨著非常大的安全風險。一旦企業(yè)信息系統(tǒng)受到攻擊而遭遇癱瘓,整個企業(yè)就會陷入危機的境地��。特別是近幾年來全球范圍內(nèi)的計算機犯罪,病毒泛濫,黑客入侵等幾大問題,使得企業(yè)信息系統(tǒng)安全技術(shù)受到了嚴重的威脅��。因此,這就使得企業(yè)必須重新審視當前信息系統(tǒng)所面臨的安全問題,并從中找到針對企業(yè)的行之有效的安全防范技術(shù)。為此,筆者首先分析了現(xiàn)代企業(yè)所面臨的信息系統(tǒng)安全問題,然后提出了企業(yè)應當采取的相應防范措施����。
1企業(yè)信息系統(tǒng)所面臨的安全威脅
企業(yè)在信息系統(tǒng)的實際操作過程中,威脅是普遍存在且不可避免的����。一般來說威脅就是企業(yè)所面臨的潛在的安全隱患。個人電腦只通過一個簡易的應用便可以滿足普通用戶的要求,但是企業(yè)的信息系統(tǒng)一般都要充當多個角色,基本上都得為多個部門提供服務,其中任何一個局部的隱患都可能給整體的安全性帶來致命的打擊����。正是由于企業(yè)信息安全系統(tǒng)本身所固有的這些缺陷,必然會導致病毒與黑客的容易盛行。目前����,影響企業(yè)系統(tǒng)安全的因素各種各樣,但是其主要的威脅可以歸結(jié)為以下幾個方面:
①黑客的蓄意攻擊:隨著信息技術(shù)的普及��,企業(yè)一般都會利用互聯(lián)網(wǎng)接入來加速提高本公司業(yè)務與工作績效,黑客的惡意攻擊行為無疑會成為阻礙這一進程發(fā)展最大也最嚴重的威脅����。其中,有來自競爭公司的幕后黑手,或者來自對本企業(yè)有怨恨情緒的員工����,以及對該企業(yè)持不滿態(tài)度的顧客等,出于不同目的或報復情緒都可能對企業(yè)網(wǎng)絡(luò)進行破壞與盜竊。另外,一個更嚴重的問題——網(wǎng)絡(luò)敲詐,正有逐步提升的趨勢。許多不法分子利用木馬��、病毒��、間諜軟件,或者dos攻擊等非法方式對企業(yè)網(wǎng)絡(luò)進行破壞或盜用企業(yè)數(shù)據(jù),并以此作為向企業(yè)敲詐勒索的交換條件,由于大部分企業(yè)普遍存在著信息安全環(huán)等薄弱問題,因此很多企業(yè)都成為這種違法行為最大的受害者�。
②病毒木馬的破壞:現(xiàn)今的互聯(lián)網(wǎng)已基本成為了一個病毒肆虐生長繁殖的土壤,幾乎每一天都會有上百種新的病毒或者木馬產(chǎn)生,而在很大部分企業(yè)中,安全技術(shù)不足,管理設(shè)備松散��、員工安全意識淡薄等問題的存在進一步滋長了病毒��、蠕蟲����、木馬等的危害,嚴重時甚至有可能造成整個企業(yè)網(wǎng)絡(luò)的癱瘓,導致企業(yè)業(yè)務無法正常進行。
③員工對信息網(wǎng)的誤用:如企業(yè)技術(shù)員工由于安全配置不當引起的安全漏洞,員工安全意識薄弱,用戶密碼選擇不恰當,將自己的賬戶名與口令隨意告訴他人或與別人共享都會對信息系統(tǒng)安全帶來威脅��。
④技術(shù)缺陷:由于當前人類認知能力和技術(shù)發(fā)展的有限性,要想使硬件和軟件設(shè)計都達到完美沒有缺陷,基本上不可能����。其次,網(wǎng)絡(luò)硬件、軟件產(chǎn)品多數(shù)依靠進口等這些隱患都可能可造成網(wǎng)絡(luò)的安全問題����。
2企業(yè)信息系統(tǒng)安全運行的防范措施
企業(yè)信息系統(tǒng)安全運行的防范措施是企業(yè)信息系統(tǒng)高效運行的方針,其能在很大程度上確保信息系統(tǒng)安全有效的運行。相應的企業(yè)安全運行的措施一般可以分為以下幾類:
①安全認證機制:安全認證機制是確保企業(yè)信息系統(tǒng)安全的一種常用技術(shù),主要用來防范對系統(tǒng)進行主動攻擊的惡意行為��。安全認證,一方面需要驗證信息發(fā)送者的真實性,防止出現(xiàn)不真實;另一方面可以防止信息在傳送或存儲過程中被篡改、重放或延遲的可能��。一般來說����,安全認證的實用技術(shù)主要由身份識別技術(shù)和數(shù)字簽名技術(shù)組成����。
②數(shù)據(jù)的加密以及解密:數(shù)據(jù)的加密與解密主要是用來防止存儲介質(zhì)的非法被竊或拷貝,以及信息傳輸線路因遭竊聽而造成一些重要數(shù)據(jù)的泄漏,故在系統(tǒng)中應對重要數(shù)據(jù)進行加密存儲與傳輸?shù)劝踩C艽胧<用苁前哑髽I(yè)數(shù)據(jù)轉(zhuǎn)換成不能直接辨識與理解的形式;而解密是加密的逆行式即把經(jīng)過加密以后的信息�、數(shù)據(jù)還原為原來的易讀形式。
③入侵檢測系統(tǒng)的配備:入侵檢測系統(tǒng)是最近幾年來才出現(xiàn)的網(wǎng)絡(luò)安全技術(shù),它通過提供實時的入侵檢測,監(jiān)視網(wǎng)絡(luò)行為并進而來識別網(wǎng)絡(luò)的入侵行為,從而對此采取相應的防護措施�。
④采用防火墻技術(shù):防火墻技術(shù)是為了確保網(wǎng)絡(luò)的安全性而在內(nèi)部和外部之間構(gòu)建的一個保護層。其不但能夠限制外部網(wǎng)對內(nèi)部網(wǎng)的訪問,同時也能阻止內(nèi)部網(wǎng)絡(luò)對外部網(wǎng)中一些不健康或非法信息的訪問�。
⑤加強信息管理:在企業(yè)信息系統(tǒng)的運行過程中,需要要對全部的信息進行管理,對經(jīng)營活動中的物理格式和電子格式的信息進行分類并予以控制,將所有抽象的信息記錄下來并存檔。
3結(jié)語
總之����,企業(yè)信息系統(tǒng)的安全問題將會越來越得到人們的重視,其不但是一個技術(shù)難,同時更是一個管理安全的問題。企業(yè)信息系統(tǒng)安全建設(shè)是一個非常復雜的系統(tǒng)工程��。因此,企業(yè)必須綜合考慮各種相關(guān)因素,制定合理的目標����、規(guī)劃相應的技術(shù)方案等��。筆者相信��,信息安全技術(shù)必將隨著網(wǎng)絡(luò)技術(shù)與通信技術(shù)的發(fā)展而不斷得到完善��。
參考文獻:
[1]肖雪.計算機網(wǎng)絡(luò)安全的研究[J].科技創(chuàng)新導報,2008,(20):27.
[2]張宗府.電子政務建設(shè)的安全對策研究[J].科技創(chuàng)新導報,2008,(9).
