亚洲成色777777女色窝,777亚洲妇女,色吧亚洲日本,亚洲少妇视频

企業(yè)信息安全現(xiàn)狀

時(shí)間:2023-10-12 09:45:56

導(dǎo)語(yǔ):在企業(yè)信息安全現(xiàn)狀的撰寫(xiě)旅程中,學(xué)習(xí)并吸收他人佳作的精髓是一條寶貴的路徑,好期刊匯集了九篇優(yōu)秀范文,愿這些內(nèi)容能夠啟發(fā)您的創(chuàng)作靈感,引領(lǐng)您探索更多的創(chuàng)作可能。

企業(yè)信息安全現(xiàn)狀

第1篇

【關(guān)鍵詞】煤礦 信息網(wǎng)絡(luò)信息系統(tǒng) 網(wǎng)絡(luò)安全

隨著信息技術(shù)、網(wǎng)絡(luò)技術(shù)、自動(dòng)化技術(shù)、視頻技術(shù)、傳感器技術(shù)等一系列先進(jìn)技術(shù)的快速發(fā)展和融合,煤礦企業(yè)信息網(wǎng)絡(luò)建設(shè)也取得了豐碩成果。目前國(guó)內(nèi)大、中型煤礦企業(yè)基本上都已經(jīng)構(gòu)建和裝備了企業(yè)互聯(lián)網(wǎng)、工業(yè)以太網(wǎng)、監(jiān)測(cè)監(jiān)控、人員定位、工業(yè)控制等信息系統(tǒng),這些信息系統(tǒng)已經(jīng)深入到煤礦安全生產(chǎn)的方方面面,而且很多工業(yè)系統(tǒng)自動(dòng)化程度非常的高,比如提升系統(tǒng)、選煤系統(tǒng)等已經(jīng)實(shí)現(xiàn)了無(wú)人操作,遠(yuǎn)程開(kāi)停、故障閉鎖等,操作人員只需要對(duì)運(yùn)行的參數(shù)進(jìn)行觀測(cè)和記錄,大大提高了人員工作效率、增強(qiáng)了企業(yè)的核心競(jìng)爭(zhēng)力。所以今天煤礦企業(yè)信息網(wǎng)安全就顯得尤為重要,本文將就煤礦企業(yè)信息網(wǎng)絡(luò)安全現(xiàn)狀及重要性進(jìn)行分析和探究。

1 現(xiàn)狀分析

我國(guó)中、大型煤礦企業(yè)建設(shè)和應(yīng)用了大量的信息系統(tǒng)和工業(yè)控制系統(tǒng),并且這些信息系統(tǒng)已經(jīng)深入到生產(chǎn)經(jīng)營(yíng)的方方面面,促使煤礦企業(yè)從傳統(tǒng)的密集型、重體力生產(chǎn)模式向“采掘機(jī)械化、生產(chǎn)自動(dòng)化、管理信息化”模式轉(zhuǎn)變,有力地提升了煤礦企業(yè)管理效率,加速了煤礦的企業(yè)轉(zhuǎn)型升級(jí)。但是煤礦企業(yè)在信息網(wǎng)絡(luò)安全管理方面還存在諸多問(wèn)題:

1.1 企業(yè)管理人員對(duì)信息網(wǎng)絡(luò)安全的重要性認(rèn)識(shí)不足

主要表現(xiàn)在四點(diǎn),一是沒(méi)有建立完善的信息網(wǎng)絡(luò)組織體系,相關(guān)的制度建立和落實(shí)不到位。二是企業(yè)大都沒(méi)有編制詳實(shí)可行的信息網(wǎng)絡(luò)安全預(yù)案,也沒(méi)有進(jìn)行相關(guān)的應(yīng)急演練;三是信息網(wǎng)絡(luò)安全方面的投入比較少,企業(yè)安全防護(hù)設(shè)施不全;四是企業(yè)管理人員對(duì)于信息網(wǎng)絡(luò)安全的知識(shí)非常欠缺,只注重信息系統(tǒng)具體應(yīng)用和預(yù)設(shè)功能,對(duì)于操作可能帶來(lái)的網(wǎng)絡(luò)威脅沒(méi)有防范意識(shí)。

1.2 信息孤島與信息網(wǎng)絡(luò)安全之間的矛盾日益沖突

早期煤礦企業(yè)建設(shè)的信息系統(tǒng)和工業(yè)控制系統(tǒng)都是一個(gè)單一的個(gè)體,相互獨(dú)立,之間沒(méi)有任何聯(lián)系,隨著信息技術(shù)的發(fā)展和企業(yè)管控一體化進(jìn)程的不斷推進(jìn)?!靶畔⒐聧u”的問(wèn)題得到了很大程度的解決,但同時(shí)產(chǎn)生的信息網(wǎng)絡(luò)安全問(wèn)題也日益突出?!靶畔⒐聧u”的消除依賴網(wǎng)絡(luò)的廣泛應(yīng)用,而網(wǎng)絡(luò)正是信息安全的薄弱環(huán)節(jié)。消除“信息孤島”勢(shì)必使工業(yè)控制系統(tǒng)增加大量的對(duì)外聯(lián)系通道,這使得信息網(wǎng)絡(luò)安全面臨更加復(fù)雜的環(huán)境,安全保障的難度大大增加。

1.3 信息安全管理人員信息安全知識(shí)和技能不足,主要依靠外部安全服務(wù)公司的力量

主要原因有三點(diǎn):

(1)煤礦企業(yè)地處偏遠(yuǎn)山區(qū)、工作環(huán)境和生活環(huán)境相對(duì)都比較差,很難招聘到高科技人才,即是招到人也很難留下來(lái)。

(2)企業(yè)以煤炭生產(chǎn)、加工、銷售為主業(yè),信息技術(shù)人才發(fā)展空間小、大多數(shù)人員都只是從事信息維修工和桌面支持之類的工作。

(3)信息安全管理人員長(zhǎng)期得不到培訓(xùn)和學(xué)習(xí)的機(jī)會(huì),信息技術(shù)知識(shí)的儲(chǔ)備量有限、業(yè)務(wù)水平處在較低的一個(gè)水平,所以只能依靠外部安全服務(wù)公司。

1.4 信息網(wǎng)絡(luò)安全防護(hù)設(shè)備利用率低,很難發(fā)揮應(yīng)有的功能

煤礦企業(yè)在信息網(wǎng)絡(luò)建設(shè)初期都會(huì)做網(wǎng)絡(luò)安全方面的布置,比如在網(wǎng)絡(luò)邊界架設(shè)防火墻、入侵檢測(cè)設(shè)備,在內(nèi)部部署殺毒軟件,形成了軟硬件相結(jié)合的防御模式,可是很多企業(yè)的防火墻和入侵檢測(cè)設(shè)備從安裝到被替換可能從來(lái)都沒(méi)有做過(guò)配置更新,和漏洞修復(fù)、打補(bǔ)丁之類的操作,大多數(shù)的員工電腦也從不安裝殺毒軟件,這就做法無(wú)形中弱化了我們防御的盾牌和進(jìn)攻的長(zhǎng)矛,使網(wǎng)絡(luò)安全防護(hù)設(shè)備長(zhǎng)期處于半“休眠”狀態(tài)。

2 重要性

“沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全”,在浙江烏鎮(zhèn)世界互聯(lián)網(wǎng)大會(huì)上提出的網(wǎng)絡(luò)安全觀,足以證明網(wǎng)絡(luò)安全對(duì)于國(guó)家的重要性。那么同樣對(duì)于現(xiàn)今充分利用信息網(wǎng)絡(luò)和工業(yè)控制系統(tǒng)的現(xiàn)代化煤礦企業(yè)來(lái)說(shuō),如果沒(méi)有足夠的信息網(wǎng)絡(luò)安全也就沒(méi)有企業(yè)的安全生產(chǎn)。信息技術(shù)是一把“雙刃劍”,它改變了企業(yè)的生產(chǎn)方式,優(yōu)化了企業(yè)的管理流程,提高了企業(yè)管理效率,可是同樣卻又不得不將企業(yè)置身于互聯(lián)網(wǎng)之中?;ヂ?lián)網(wǎng)是一個(gè)“超領(lǐng)土”存在的虛擬空間,存在各種潛在的威脅,比如利用木馬、病毒、遠(yuǎn)程攻擊、控制等方式,泄露企業(yè)的商業(yè)機(jī)密、修改控制系統(tǒng)指令、攻陷服務(wù)器、盜取個(gè)人信息等,這些都有可能對(duì)企業(yè)造成嚴(yán)重安全事故和經(jīng)濟(jì)損失。這些還只是企業(yè)內(nèi)部的損失,很多大、中型煤礦企業(yè)為了提升企業(yè)管理效率都開(kāi)通與集團(tuán)公司之間的專線VPN,承載了很多應(yīng)用服務(wù)包括協(xié)同OA、生產(chǎn)調(diào)度、銷售等等的數(shù)據(jù)都要進(jìn)行通信,如果信息網(wǎng)絡(luò)安全受到攻擊癱瘓,都會(huì)對(duì)企業(yè)的生產(chǎn)經(jīng)營(yíng)造成影響,更有甚者可能通過(guò)煤礦企業(yè)本地發(fā)起攻擊,致使整個(gè)集團(tuán)的信息網(wǎng)絡(luò)受到嚴(yán)重威脅,所以煤礦企業(yè)管理人員一定要樹(shù)立正確的信息網(wǎng)絡(luò)安全觀,充分認(rèn)知信息網(wǎng)絡(luò)安全的重要性,加快構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系,增強(qiáng)企業(yè)信息網(wǎng)絡(luò)安全的防御能力。

3 總結(jié)

總之,信息網(wǎng)絡(luò)技術(shù)發(fā)展的今天,信息網(wǎng)絡(luò)安全已經(jīng)是每一個(gè)煤礦企業(yè)必須面對(duì)和正視的問(wèn)題,也是每一個(gè)企業(yè)管理者應(yīng)該積極參與和考慮的問(wèn)題。古人云“知己知彼 百戰(zhàn)不殆”,煤礦企業(yè)應(yīng)該立即行動(dòng)起來(lái),通過(guò)開(kāi)展關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全檢查,準(zhǔn)確掌握企業(yè)關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全狀況,詳細(xì)評(píng)估企業(yè)所面R的網(wǎng)絡(luò)安全威脅,制定對(duì)應(yīng)的防范措施,構(gòu)建企業(yè)信息網(wǎng)絡(luò)安全的“防火墻”,為企業(yè)安全生產(chǎn)經(jīng)營(yíng)、職工娛樂(lè)生活營(yíng)造一個(gè)安全、穩(wěn)定、健康的網(wǎng)絡(luò)環(huán)境。

參考文獻(xiàn)

[1]陳龍.煤炭企業(yè)網(wǎng)絡(luò)安全建設(shè)與管理探究[J].煤炭技術(shù),2013.

[2]劉永軍.關(guān)于煤炭網(wǎng)絡(luò)信息安全問(wèn)題分析及對(duì)策研究[J].科技創(chuàng)新與應(yīng)用,2014.

第2篇

關(guān)鍵詞:企業(yè)信息化;信息安全管理體系;信息安全保障

1 企業(yè)信息安全需求與目標(biāo)

近年來(lái)隨著企業(yè)信息系統(tǒng)建設(shè)的不斷發(fā)展,企業(yè)的信息化安全也面臨著前所未有的挑戰(zhàn)。作為中國(guó)高速列車產(chǎn)業(yè)化制造基地和城軌地鐵車輛定點(diǎn)制造企業(yè),公司的發(fā)展對(duì)高速動(dòng)車行業(yè)產(chǎn)生著舉足輕重的作用;從企業(yè)信息安全現(xiàn)狀分析,公司IT部門(mén)主管深深意識(shí)到,盡管從自身情況來(lái)看,在信息安全方面已經(jīng)做了很多工作,如部署了防火墻、SSL VPN、入侵檢測(cè)系統(tǒng)、入侵防御系統(tǒng)、防病毒系統(tǒng)、文檔加密、終端安全管理系統(tǒng)等。但是安全系統(tǒng)更多的在于防堵來(lái)自某個(gè)方面的安全威脅,無(wú)法產(chǎn)生協(xié)同效應(yīng),距離國(guó)際同行業(yè)企業(yè)還存在一定的差距。

公司通過(guò)可行性研究及論證,決定借助外力,通過(guò)知名的咨詢公司協(xié)助企業(yè)發(fā)現(xiàn)存在的信息安全不足點(diǎn),以科研項(xiàng)目方式,通過(guò)研究國(guó)家安全標(biāo)準(zhǔn)體系及國(guó)家對(duì)央企和上市企業(yè)的信息化安全要求,分析企業(yè)目前的現(xiàn)狀和國(guó)際標(biāo)準(zhǔn)ISO27001之間的差距,繼而完善企業(yè)信息安全體系的規(guī)劃與設(shè)計(jì),最終建立一套適合企業(yè)現(xiàn)狀的信息安全標(biāo)準(zhǔn)和管理體系。目標(biāo)是使公司信息安全從管理到技術(shù)均得到全面加強(qiáng),建立一個(gè)有責(zé)(職責(zé))、有序(秩序)、有效(效率)的信息安全管理體系,預(yù)防信息安全事件的發(fā)生,確保更小的業(yè)務(wù)損失,提供客戶滿意度,獲取更多的管理支持。在行業(yè)內(nèi)樹(shù)立標(biāo)桿和示范,提升企業(yè)形象,贏取客戶信任,增強(qiáng)競(jìng)爭(zhēng)力。同時(shí),使信息安全體系通過(guò)信息安全管理體系通過(guò)ISO 27001認(rèn)證標(biāo)準(zhǔn)。

2 企業(yè)信息安全管理體系建設(shè)過(guò)程

凡事預(yù)則立,不預(yù)則廢。對(duì)于信息安全管理建設(shè)的工作也先由計(jì)劃開(kāi)始。信息安全管理體系建設(shè)分為四個(gè)階段:實(shí)施安全風(fēng)險(xiǎn)評(píng)估、規(guī)劃體系建設(shè)方案、建立信息安全管理體系、體系運(yùn)行及改進(jìn)。也符合信息安全管理循環(huán)PDCA(Plan-Do-Check-Action)模型及ISO27001要求,即有效地保護(hù)企業(yè)信息系統(tǒng)的安全,確保信息安全的持續(xù)發(fā)展。本文結(jié)合作者經(jīng)驗(yàn),重點(diǎn)論述上述幾個(gè)方面的內(nèi)容。

2.1 確立范圍

首先是確立項(xiàng)目范圍,從機(jī)構(gòu)層次及系統(tǒng)層次兩個(gè)維度進(jìn)行范圍的劃分。從機(jī)構(gòu)層次上,可以考慮內(nèi)部機(jī)構(gòu):需要覆蓋公司的各個(gè)部門(mén),其包括總部、事業(yè)部、制造本部、技術(shù)本部等;外部機(jī)構(gòu):則包括公司信息系統(tǒng)相連的外部機(jī)構(gòu),包括供應(yīng)商、中間業(yè)務(wù)合作伙伴、及其他合作伙伴等。

從系統(tǒng)層次上,可按照物理環(huán)境:即支撐信息系統(tǒng)的場(chǎng)所、所處的周邊環(huán)境以及場(chǎng)所內(nèi)保障計(jì)算機(jī)系統(tǒng)正常運(yùn)行的設(shè)施。包括機(jī)房環(huán)境、門(mén)禁、監(jiān)控等;網(wǎng)絡(luò)系統(tǒng):構(gòu)成信息系統(tǒng)網(wǎng)絡(luò)傳輸環(huán)境的線路介質(zhì),設(shè)備和軟件;服務(wù)器平臺(tái)系統(tǒng):支撐所有信息系統(tǒng)的服務(wù)器、網(wǎng)絡(luò)設(shè)備、客戶機(jī)及其操作系統(tǒng)、數(shù)據(jù)庫(kù)、中間件和Web系統(tǒng)等軟件平臺(tái)系統(tǒng);應(yīng)用系統(tǒng):支撐業(yè)務(wù)、辦公和管理應(yīng)用的應(yīng)用系統(tǒng);數(shù)據(jù):整個(gè)信息系統(tǒng)中傳輸以及存儲(chǔ)的數(shù)據(jù);安全管理:包括安全策略、規(guī)章制度、人員組織、開(kāi)發(fā)安全、項(xiàng)目安全管理和系統(tǒng)管理人員在日常運(yùn)維過(guò)程中的安全合規(guī)、安全審計(jì)等。

2.2 安全風(fēng)險(xiǎn)評(píng)估

企業(yè)信息安全是指保障企業(yè)業(yè)務(wù)系統(tǒng)不被非法訪問(wèn)、利用和篡改,為企業(yè)員工提供安全、可信的服務(wù),保證信息系統(tǒng)的可用性、完整性和保密性。

本次進(jìn)行的安全評(píng)估,主要包括兩方面的內(nèi)容:

2.2.1 企業(yè)安全管理類的評(píng)估

通過(guò)企業(yè)的安全控制現(xiàn)狀調(diào)查、訪談、文檔研讀和ISO27001的最佳實(shí)踐比對(duì),以及在行業(yè)的經(jīng)驗(yàn)上進(jìn)行“差距分析”,檢查企業(yè)在安全控制層面上存在的弱點(diǎn),從而為安全措施的選擇提供依據(jù)。

評(píng)估內(nèi)容包括ISO27001所涵蓋的與信息安全管理體系相關(guān)的11個(gè)方面,包括信息安全策略、安全組織、資產(chǎn)分類與控制、人員安全、物理和環(huán)境安全、通信和操作管理、訪問(wèn)控制、系統(tǒng)開(kāi)發(fā)與維護(hù)、安全事件管理、業(yè)務(wù)連續(xù)性管理、符合性。

2.2.2 企業(yè)安全技術(shù)類評(píng)估

基于資產(chǎn)安全等級(jí)的分類,通過(guò)對(duì)信息設(shè)備進(jìn)行的安全掃描、安全設(shè)備的配置,檢查分析現(xiàn)有網(wǎng)絡(luò)設(shè)備、服務(wù)器系統(tǒng)、終端、網(wǎng)絡(luò)安全架構(gòu)的安全現(xiàn)狀和存在的弱點(diǎn),為安全加固提供依據(jù)。

針對(duì)企業(yè)具有代表性的關(guān)鍵應(yīng)用進(jìn)行安全評(píng)估。關(guān)鍵應(yīng)用的評(píng)估方式采用滲透測(cè)試的方法,在應(yīng)用評(píng)估中將對(duì)應(yīng)用系統(tǒng)的威脅、弱點(diǎn)進(jìn)行識(shí)別,分析其和應(yīng)用系統(tǒng)的安全目標(biāo)之間的差距,為后期改造提供依據(jù)。

提到安全評(píng)估,一定要有方法論。我們以ISO27001為核心,并借鑒國(guó)際常用的幾種評(píng)估模型的優(yōu)點(diǎn),同時(shí)結(jié)合企業(yè)自身的特點(diǎn),建立風(fēng)險(xiǎn)評(píng)估模型:

在風(fēng)險(xiǎn)評(píng)估模型中,主要包含信息資產(chǎn)、弱點(diǎn)、威脅和風(fēng)險(xiǎn)四個(gè)要素。每個(gè)要素有各自的屬性,信息資產(chǎn)的屬性是資產(chǎn)價(jià)值,弱點(diǎn)的屬性是弱點(diǎn)在現(xiàn)有控制措施的保護(hù)下,被威脅利用的可能性以及被威脅利用后對(duì)資產(chǎn)帶來(lái)影響的嚴(yán)重程度,威脅的屬性是威脅發(fā)生的可能性及其危害的嚴(yán)重程度,風(fēng)險(xiǎn)的屬性是風(fēng)險(xiǎn)級(jí)別的高低。風(fēng)險(xiǎn)評(píng)估采用定性的風(fēng)險(xiǎn)評(píng)估方法,通過(guò)分級(jí)別的方式進(jìn)行賦值。

2.3 規(guī)劃體系建設(shè)方案

企業(yè)信息安全問(wèn)題根源分布在技術(shù)、人員和管理等多個(gè)層面,須統(tǒng)一規(guī)劃并建立企業(yè)信息安全體系,并最終落實(shí)到管理措施和技術(shù)措施,才能確保信息安全。

規(guī)劃體系建設(shè)方案是在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上,對(duì)企業(yè)中存在的安全風(fēng)險(xiǎn)提出安全建議,增強(qiáng)系統(tǒng)的安全性和抗攻擊性。

在未來(lái)1-2年內(nèi)通過(guò)信息安全體系制的建立與實(shí)施,建立安全組織,技術(shù)上進(jìn)行安全審計(jì)、內(nèi)外網(wǎng)隔離的改造、安全產(chǎn)品的部署,實(shí)現(xiàn)以流程為導(dǎo)向的轉(zhuǎn)型。在未來(lái)的 3-5 年內(nèi),通過(guò)完善的信息安全體系和相應(yīng)的物理環(huán)境改造和業(yè)務(wù)連續(xù)性項(xiàng)目的建設(shè),將企業(yè)建設(shè)成為一個(gè)注重管理,預(yù)防為主,防治結(jié)合的先進(jìn)型企業(yè)。

2.4 企業(yè)信息安全體系建設(shè)

企業(yè)信息安全體系建立在信息安全模型與企業(yè)信息化的基礎(chǔ)上,建立信息安全管理體系核心可以更好的發(fā)揮六方面的能力:即預(yù)警(Warn)、保護(hù)(Protect)、檢測(cè)(Detect)、反應(yīng)(Response)、恢復(fù)(Recover)和反擊(Counter-attack),體系應(yīng)該兼顧攘外和安內(nèi)的功能。

安全體系的建設(shè)一是涉及安全管理制度建設(shè)完善;二是涉及到信息安全技術(shù)。首先,針對(duì)安全管理制度涉及的主要內(nèi)容包括企業(yè)信息系統(tǒng)的總體安全方針、安全技術(shù)策略和安全管理策略等。安全總體方針涉及安全組織機(jī)構(gòu)、安全管理制度、人員安全管理、安全運(yùn)行維護(hù)等方面的安全制度。安全技術(shù)策略涉及信息域的劃分、業(yè)務(wù)應(yīng)用的安全等級(jí)、安全保護(hù)思路、說(shuō)以及進(jìn)一步的統(tǒng)一管理、系統(tǒng)分級(jí)、網(wǎng)絡(luò)互聯(lián)、容災(zāi)備份、集中監(jiān)控等方面的要求。

其次,信息安全技術(shù)按其所在的信息系統(tǒng)層次可劃分為物理安全技術(shù)、網(wǎng)絡(luò)安全技術(shù)、系統(tǒng)安全技術(shù)、應(yīng)用安全技術(shù),以及安全基礎(chǔ)設(shè)施平臺(tái);同時(shí)按照安全技術(shù)所提供的功能又可劃分為預(yù)防保護(hù)類、檢測(cè)跟蹤類和響應(yīng)恢復(fù)類三大類技術(shù)。結(jié)合主流的安全技術(shù)以及未來(lái)信息系統(tǒng)發(fā)展的要求,規(guī)劃信息安全技術(shù)包括:

2.5 體系運(yùn)行及改進(jìn)

信息安全管理體系文件編制完成以后,由公司企劃部門(mén)組織按照文件的控制要求進(jìn)行審核。結(jié)合公司實(shí)際,在體系文件編制階段,將該標(biāo)準(zhǔn)與公司的現(xiàn)有其他體系,如質(zhì)量、環(huán)境保護(hù)等體系文件,改歸并的歸并。該修訂審核的再繼續(xù)修訂審核。最終歷經(jīng)幾個(gè)月的努力,批準(zhǔn)并實(shí)施了信息安全管理系統(tǒng)的文檔。至此,信息安全管理體系將進(jìn)入運(yùn)行階段。

有人說(shuō),信息系統(tǒng)的成功靠的是“三分技術(shù),七分管理,十二分執(zhí)行”。“執(zhí)行”是要需要在實(shí)踐中去體會(huì)、總結(jié)與提高。對(duì)于信息系統(tǒng)安全管理體系建設(shè)更是如此!在此期間,以IT部門(mén)牽頭,加強(qiáng)宣傳力度,組織了若干次不同層面的宣導(dǎo)培訓(xùn),充分發(fā)揮體系本身的各項(xiàng)功能,及時(shí)發(fā)現(xiàn)存在的問(wèn)題,找出問(wèn)題根源,采取糾正措施,并按照更改控制程序要求對(duì)體系予以更改,以達(dá)到進(jìn)一步完善信息安全管理體系的目的。

3 總結(jié)

總結(jié)項(xiàng)目,建立健全的信息安全管理制度是進(jìn)行安全管理的基礎(chǔ)。當(dāng)然,體系建設(shè)過(guò)程中還存在不足,如崗位原有職責(zé)與現(xiàn)有安全職責(zé)的界定,員工的認(rèn)知及接受程度還有待提高,體系在各部門(mén)領(lǐng)導(dǎo)重視程度、執(zhí)行力度、審核效果存在差距等等。最終,在公司各部門(mén)的共同努力下,體系經(jīng)歷了來(lái)自國(guó)際知名品牌認(rèn)證公司DNV及中國(guó)認(rèn)可委(CNAS)的雙重檢驗(yàn),并通過(guò)嚴(yán)格的體系審核。確認(rèn)了公司在信息安全管理體系達(dá)到國(guó)內(nèi)和國(guó)際信息安全管理標(biāo)準(zhǔn),提升公司信息安全管理的水平,從而為企業(yè)向國(guó)際化發(fā)展與合作提供有力支撐。

[參考文獻(xiàn)]

[1]沈昌祥.《信息系統(tǒng)安全導(dǎo)論》.電子工業(yè)出版社,2003.7.

第3篇

隨著企業(yè)信息化水平的提升,大多數(shù)企業(yè)在信息安全建設(shè)上逐步添加了上網(wǎng)行為管理、內(nèi)網(wǎng)安全管理等新的安全設(shè)備,但信息安全防護(hù)理念還停留在防的階段,信息安全策略都是在安全事件發(fā)生后再補(bǔ)救,導(dǎo)致了企業(yè)信息防范的主動(dòng)性和意識(shí)不高,信息安全防護(hù)水平已經(jīng)越來(lái)越不適應(yīng)當(dāng)今企業(yè)IT運(yùn)維環(huán)境和企業(yè)發(fā)展的需求。

2企業(yè)信息系統(tǒng)安全防護(hù)的構(gòu)建原則

企業(yè)信息化安全建設(shè)的目標(biāo)是在保障企業(yè)數(shù)字化成果的安全性和可靠性。在構(gòu)建企業(yè)信息安全體系時(shí)應(yīng)該遵循以下幾個(gè)原則:

2.1建立企業(yè)完善的信息化安全管理體系

企業(yè)信息安全管理體系首先要建立完善的組織架構(gòu)、制定信息安全管理規(guī)范,來(lái)保障信息安全制度的落實(shí)以及企業(yè)信息化安全體系的不斷完善?;酒髽I(yè)信息安全管理過(guò)程包括:分析企業(yè)數(shù)字化資產(chǎn)評(píng)估和風(fēng)險(xiǎn)分析、規(guī)劃信息系統(tǒng)動(dòng)態(tài)安全模型、建立可靠嚴(yán)謹(jǐn)?shù)膱?zhí)行策略、選用安全可靠的的防護(hù)產(chǎn)品等。

2.2提高企業(yè)員工自身的信息安全防范意識(shí)

在企業(yè)信息化系統(tǒng)安全管理中,防護(hù)設(shè)備和防護(hù)策略只是其中的一部分,企業(yè)員工的行為也是維護(hù)企業(yè)數(shù)字化成果不可忽略的組成。所以企業(yè)在實(shí)施信息化安全管理時(shí),絕對(duì)不能忽視對(duì)人的行為規(guī)范和績(jī)效管理。在企業(yè)實(shí)施企業(yè)信息安全前,應(yīng)制定企業(yè)員工信息安全行為規(guī)范,有效地實(shí)現(xiàn)企業(yè)信息系統(tǒng)和數(shù)字化成果的安全、可靠、穩(wěn)定運(yùn)行,保證企業(yè)信息安全。其次階段遞進(jìn)的培訓(xùn)信息安全人才也是保障企業(yè)數(shù)字化成果的重要措施。企業(yè)對(duì)員工進(jìn)行逐次的安全培訓(xùn),強(qiáng)化企業(yè)員工對(duì)信息安全的概念,提升員工的安全意識(shí)。使員工的行為符合整個(gè)企業(yè)信息安全的防范要求。

2.3及時(shí)優(yōu)化更新企業(yè)信息安全防護(hù)技術(shù)

當(dāng)企業(yè)對(duì)自身信息安全做出了一套整體完善的防護(hù)規(guī)劃時(shí),就應(yīng)當(dāng)考慮采用何種安全防護(hù)技術(shù)來(lái)支撐整個(gè)信息安全防護(hù)體系。對(duì)于安全防護(hù)技術(shù)來(lái)說(shuō)可以分為身份識(shí)別、網(wǎng)絡(luò)隔離、網(wǎng)絡(luò)安全掃描、實(shí)時(shí)監(jiān)控與入侵發(fā)現(xiàn)、安全備份恢復(fù)等。比如身份識(shí)別的目的在于防止非企業(yè)人員訪問(wèn)企業(yè)資源,并且可以根據(jù)員工級(jí)別分配人員訪問(wèn)權(quán)限,達(dá)到企業(yè)敏感信息的安全保障。

3企業(yè)信息安全體系部署的建議

根據(jù)企業(yè)信息安全建設(shè)架構(gòu),在滿足終端安全、網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全等安全防護(hù)體系時(shí),我們需要重點(diǎn)關(guān)注以下幾個(gè)方面:

3.1實(shí)施終端安全,規(guī)范終端用戶行為

在企業(yè)信息安全事件中,數(shù)字化成果泄漏是屬于危害最為嚴(yán)重的一種行為。企業(yè)信息安全體系建立前,企業(yè)員工對(duì)自己的個(gè)人行為不規(guī)范,造成了員工可以通過(guò)很多方式實(shí)現(xiàn)信息外漏。比如通過(guò)U盤(pán)等存儲(chǔ)介質(zhì)拷貝或者通過(guò)聊天軟件傳遞企業(yè)的核心數(shù)字化成果。對(duì)于這類高危的行為,我們?cè)诮ㄔO(shè)安全防護(hù)體系時(shí),僅僅靠上網(wǎng)行為管理控制是不能完全杜絕的。應(yīng)該當(dāng)用戶接入企業(yè)信息化平臺(tái)前,就對(duì)用戶的終端系統(tǒng)進(jìn)行安全規(guī)范檢查,符合企業(yè)制定的終端安全要求后再接入企業(yè)內(nèi)網(wǎng)。同時(shí)配合上網(wǎng)行為管理的策略對(duì)員工的上網(wǎng)行為進(jìn)行審計(jì),使得企業(yè)員工的操作行為符合企業(yè)制定的上網(wǎng)行為規(guī)范,從終端用戶提升企業(yè)的防護(hù)水平。

3.2建設(shè)安全完善的VPN接入平臺(tái)

企業(yè)在信息化建設(shè)中,考慮總部和分支機(jī)構(gòu)的信息化需要,必然會(huì)采用VPN方式來(lái)解決企業(yè)的需求。不論是采用SSLVPN還是IPSecVPN,VPN加密傳輸都是通用的選擇。對(duì)于分支機(jī)構(gòu)可以考慮專用的VPN設(shè)備和總部進(jìn)行IPSec連接,這種方式更安全可靠穩(wěn)定。對(duì)于移動(dòng)終端的接入可以考慮SSLVPN方式。在這種情況下,就必須做好對(duì)于移動(dòng)終端的身份認(rèn)證識(shí)別。其實(shí)我們?cè)谠O(shè)備采購(gòu)時(shí),可以要求設(shè)備商做好多種接入方式的需求,并且?guī)椭髽I(yè)搭建認(rèn)證方式。這將有利于企業(yè)日常維護(hù),提升企業(yè)信息系統(tǒng)的VPN接入水平。

3.3優(yōu)化企業(yè)網(wǎng)絡(luò)的隔離性和控制性

在規(guī)劃企業(yè)網(wǎng)絡(luò)安全邊際時(shí),要面對(duì)多個(gè)部門(mén)和分支結(jié)構(gòu),合理的規(guī)劃安全網(wǎng)絡(luò)邊際將是關(guān)鍵。企業(yè)的網(wǎng)絡(luò)體系可以分為:物理層;數(shù)據(jù)鏈路層;網(wǎng)絡(luò)層;傳輸層;會(huì)話層;表示層;應(yīng)用層。各體系之間的相互隔離和訪問(wèn)策略是防止企業(yè)信息安全風(fēng)險(xiǎn)的重要環(huán)節(jié)。在企業(yè)多樣化網(wǎng)絡(luò)環(huán)境的背景下,根據(jù)企業(yè)安全優(yōu)先級(jí)及面臨的風(fēng)險(xiǎn)程度,做出適合企業(yè)信息安全的防護(hù)策略和訪問(wèn)控制策略。根據(jù)相應(yīng)防護(hù)設(shè)備進(jìn)行深層次的安全防護(hù),真正實(shí)現(xiàn)OSI的L2~L7層的安全防護(hù)。

3.4實(shí)現(xiàn)企業(yè)信息安全防護(hù)體系的統(tǒng)一管理

為企業(yè)信息安全構(gòu)建統(tǒng)一的安全防護(hù)體系,重要的優(yōu)勢(shì)就是能實(shí)現(xiàn)對(duì)全網(wǎng)安全設(shè)備及安全事件的統(tǒng)一管理,做到對(duì)整個(gè)網(wǎng)絡(luò)安全事件的“可視、可控和可管”。企業(yè)采購(gòu)的各種安全設(shè)備工作時(shí)會(huì)產(chǎn)生大量的安全日志,如果單靠相關(guān)人員的識(shí)別日志既費(fèi)時(shí)效率又低。而且不同安全廠商的日志報(bào)表還存在很大差異。所以當(dāng)安全事件發(fā)生時(shí),企業(yè)管理員很難實(shí)現(xiàn)對(duì)信息安全的統(tǒng)一分析和管理。所以在企業(yè)在構(gòu)建信息安全體系時(shí),就必須要考慮安全設(shè)備日志之間的統(tǒng)一化,設(shè)定相應(yīng)的訪問(wèn)控制和安全策略實(shí)現(xiàn)日志的歸類分析。這樣才能做到對(duì)全網(wǎng)安全事件的“可視、可控和可管”。

4結(jié)束語(yǔ)

第4篇

關(guān)鍵詞:信息安全;影響因素;管理措施

中圖分類號(hào):TP393.08

信息技術(shù)的飛速發(fā)展在給社會(huì)經(jīng)濟(jì)帶來(lái)巨大便利性的同時(shí),也帶來(lái)了巨大的風(fēng)險(xiǎn),信息的安全已成為國(guó)際社會(huì)經(jīng)濟(jì)發(fā)展亟待解決的問(wèn)題?,F(xiàn)代企業(yè)在日常業(yè)務(wù)運(yùn)營(yíng)、行政管理、檔案管理、數(shù)據(jù)交換等方面都離不開(kāi)信息網(wǎng)絡(luò)技術(shù),然而,部分企業(yè)對(duì)自身信息安全的不重視以及在管理機(jī)制上的欠缺,致使社會(huì)重大信息安全事故頻發(fā),給社會(huì)與企業(yè)帶來(lái)了不可估量的損失及危害。當(dāng)然,企業(yè)的信息安全是一項(xiàng)艱巨的工作,它涉及到企業(yè)組織結(jié)構(gòu)的各個(gè)方面,是一項(xiàng)系統(tǒng)的工程,無(wú)論是網(wǎng)絡(luò)技術(shù)還是管理組織體系,或者企業(yè)信息硬件設(shè)備,都會(huì)影響到企業(yè)信息的安全,要保障企業(yè)信息的安全,就必須從信息技術(shù)安全以及信息管理制度兩大方面入手,不斷完善信息保密措施,如此,方可有效控制企業(yè)信息泄露。

1 企業(yè)信息安全風(fēng)險(xiǎn)的現(xiàn)狀

企業(yè)在信息化建設(shè)的過(guò)程中,對(duì)信息安全的理解與重視并不相同,部分企業(yè)的對(duì)自身信息安全的防護(hù)級(jí)別較低,難以有效抵御外部信息竊取以及內(nèi)部泄密。當(dāng)前,我國(guó)企業(yè)在信息安全建設(shè)中主要存在如下三個(gè)問(wèn)題:

1.1 企業(yè)信息安全管理機(jī)制不健全。信息安全是一個(gè)全新的領(lǐng)域,在過(guò)去,企業(yè)管理者對(duì)于自身信息的安全并沒(méi)有高度重視,而在現(xiàn)代社會(huì)中,企業(yè)之間的競(jìng)爭(zhēng)越來(lái)越激烈,任何有價(jià)值的信息泄露都可能會(huì)造成企業(yè)的重大損失,甚至破產(chǎn)倒閉,這也使得企業(yè)管理者不得不重視信息安全問(wèn)題。然而,在社會(huì)法律法規(guī)、技術(shù)監(jiān)管、安全標(biāo)準(zhǔn)等方面還存在諸多的不完善之處,同時(shí),由于企業(yè)信息管理是一個(gè)不斷發(fā)展的動(dòng)態(tài)過(guò)程,企業(yè)的網(wǎng)絡(luò)安全軟硬件技術(shù)、管理人員的保密意識(shí)以及對(duì)商業(yè)間諜的防范措施等都會(huì)影響到企業(yè)的信息安全。從總體上來(lái)講,信息安全管理機(jī)制的缺失是企業(yè)信息安全面臨的最大問(wèn)題。

1.2 企業(yè)信息安全技術(shù)不足。信息安全是當(dāng)前社會(huì)共同面臨的重大問(wèn)題,企業(yè)的信息系統(tǒng)構(gòu)建離不開(kāi)計(jì)算機(jī)系統(tǒng)以及網(wǎng)絡(luò)系統(tǒng)的支持,而通過(guò)網(wǎng)絡(luò)傳播的數(shù)據(jù)將面臨極大的技術(shù)風(fēng)險(xiǎn)。現(xiàn)代信息安全技術(shù)是以密碼技術(shù)、病毒技術(shù)、數(shù)據(jù)恢復(fù)技術(shù)、操作系統(tǒng)維護(hù)技術(shù)、數(shù)據(jù)庫(kù)技術(shù)以及網(wǎng)絡(luò)技術(shù)等所組成的系統(tǒng)技術(shù)。而由于企業(yè)對(duì)相關(guān)技術(shù)的認(rèn)識(shí)和技術(shù)管理人才培養(yǎng)的局限性,導(dǎo)致在計(jì)算機(jī)信息應(yīng)用過(guò)程中難免會(huì)出現(xiàn)一些漏洞缺陷。另外,在面對(duì)外部信息竊取攻擊行為時(shí),部分安全技術(shù)管理人員防范能力較弱,不能從根本上抵御黑客的攻擊,這就導(dǎo)致企業(yè)的信息安全完面臨嚴(yán)重的泄密危險(xiǎn)。

1.3 企業(yè)員工缺乏安全管理的責(zé)任心和防范意識(shí)。企業(yè)的信息安全并不只是管理人員的責(zé)任,而是全體員工共同的責(zé)任,不過(guò)在企業(yè)信息安全建設(shè)過(guò)程中,往往忽略了企業(yè)員工環(huán)節(jié),導(dǎo)致信息安全建設(shè)難以達(dá)到預(yù)期的目的。目前,企業(yè)信息安全事件最突出的便是信息泄密,其主要表現(xiàn)為員工的無(wú)意泄密、故意泄密以及離職后信息資源的自我利用,可以說(shuō),企業(yè)內(nèi)部的信息安全風(fēng)險(xiǎn)遠(yuǎn)遠(yuǎn)大于外部風(fēng)險(xiǎn)。然而,針對(duì)內(nèi)部信息安全問(wèn)題,企業(yè)卻并無(wú)一個(gè)全面、系統(tǒng)、有效的保障體系,尤其是在員工責(zé)任心建設(shè)以及信息安全防范意識(shí)建設(shè)方面,一直是企業(yè)信息安全體系建設(shè)的弱點(diǎn)所在。

2 影響企業(yè)信息安全的主要因素分析

企業(yè)的信息安全一直是現(xiàn)代企業(yè)管理中的難點(diǎn),尤其是通信類企業(yè)以及嚴(yán)重依賴網(wǎng)絡(luò)的電子商務(wù)類企業(yè),其在信息安全環(huán)節(jié)的投入往往最大,但仍然是面臨風(fēng)險(xiǎn)最大的環(huán)節(jié)。根據(jù)美國(guó)FBI以及CSI對(duì)其國(guó)內(nèi)部分企業(yè)的調(diào)查顯示,信息安全內(nèi)部威脅占85%,外部入侵占15%,專利信息被竊取占14%,內(nèi)部人員的財(cái)務(wù)欺騙占12%,資料或網(wǎng)絡(luò)數(shù)據(jù)的破壞占11%。由此可見(jiàn),企業(yè)內(nèi)部信息安全已成為企業(yè)信息安全管理的重中之重,其泄密的途徑主要包括互聯(lián)網(wǎng)泄密,如電子郵件、即時(shí)通訊工具、網(wǎng)頁(yè)空間、ftp、病毒黑客攻擊等方式;局域網(wǎng)絡(luò)泄密,包括內(nèi)網(wǎng)與外網(wǎng)的連通、私人電腦與內(nèi)部電腦的連接等;終端設(shè)備的泄密等等。企業(yè)信息安全是企業(yè)穩(wěn)定與發(fā)展的基礎(chǔ),但是,企業(yè)信息安全形勢(shì)卻不容樂(lè)觀,在現(xiàn)實(shí)中,影響企業(yè)信息安全的因素較多,其主要包括如下幾種:

2.1 實(shí)體環(huán)境安全因素。(1)信息技術(shù)承載硬件安全。信息網(wǎng)絡(luò)技術(shù)的硬件設(shè)備是支撐企業(yè)信息安全建設(shè)的基礎(chǔ),包括硬盤(pán)設(shè)備、內(nèi)存設(shè)備、I/O控制器、電源等。(2)機(jī)房環(huán)境安全。機(jī)房是企業(yè)信息網(wǎng)絡(luò)的管理中樞,其環(huán)境的好壞將直接影響企業(yè)信息的安全。一般來(lái)說(shuō),機(jī)房管理必須要專人專管,對(duì)于出入人員應(yīng)該有記錄,并且,機(jī)房應(yīng)具有防火、防水、防靜電、防鼠害、防雷擊等設(shè)施,還要安裝空調(diào)設(shè)備,以確保機(jī)房運(yùn)行溫度和濕度的穩(wěn)定。(3)傳輸線路安全。網(wǎng)絡(luò)線路以及電纜線路在傳輸過(guò)程中都具有一定的輻射性,其對(duì)信息具有一定的干擾,我們?cè)诎惭b時(shí)要采用屏蔽布線或者光纜傳輸,并采取技術(shù)手段,阻止線路對(duì)信息的干擾,以確保傳輸線路的安全。

2.2 內(nèi)部環(huán)境因素。影響企業(yè)信息安全的內(nèi)部因素主要包括:(1)軟件因素。軟件是企業(yè)信息化建設(shè)的重要工具,但同時(shí)也是信息安全風(fēng)險(xiǎn)較大的環(huán)節(jié),它包括系統(tǒng)軟件和應(yīng)用軟件。系統(tǒng)軟件的是信息系統(tǒng)的運(yùn)行平臺(tái),其本身就存在漏洞,若系統(tǒng)軟件遭到攻擊,將極可能導(dǎo)致信息的損壞或者泄密。而應(yīng)用軟件在設(shè)計(jì)過(guò)程中的不周全以及對(duì)數(shù)據(jù)校驗(yàn)的不完善,都將威脅到企業(yè)的信息安全。(2)人為因素。企業(yè)內(nèi)部人的因素是影響信息安全的最大部分,員工對(duì)數(shù)據(jù)的操作或者對(duì)相關(guān)威脅處理的不合理、不及時(shí)都會(huì)直接影響信息的可靠性。(3)網(wǎng)絡(luò)因素。企業(yè)的一切信息交換幾乎都是通過(guò)網(wǎng)絡(luò)來(lái)實(shí)現(xiàn)的,包括外部網(wǎng)絡(luò)和局域網(wǎng),而由于網(wǎng)絡(luò)故障所導(dǎo)致的信息丟失情況比比皆是,另外,網(wǎng)絡(luò)中一些非授權(quán)訪問(wèn)行為也容易造成敏感數(shù)據(jù)的泄密或者丟失。(4)硬件因素。硬件主要是指存儲(chǔ)設(shè)備以及電源、顯示設(shè)備、網(wǎng)絡(luò)設(shè)備等,其中儲(chǔ)存硬件設(shè)備對(duì)企業(yè)信息安全影響最大,我們?cè)谟布?chǔ)存設(shè)備的管理中要注重防霉變、防輻射、防雷擊等等,及時(shí)做好數(shù)據(jù)備份和數(shù)據(jù)恢復(fù)。

2.3 外部環(huán)境因素?,F(xiàn)代企業(yè)信息安全不僅面臨著內(nèi)部安全風(fēng)險(xiǎn),還遭受著嚴(yán)重的外部隱患,其主要包括病毒風(fēng)險(xiǎn)、黑客攻擊風(fēng)險(xiǎn)以及意外事故,如火災(zāi)、爆炸、水災(zāi)等,其對(duì)企業(yè)的信息安全影響甚大。

3 加強(qiáng)企業(yè)信息安全防范的措施

面對(duì)著如此眾多的信息安全隱患,企業(yè)的信息安全管理形勢(shì)十分嚴(yán)峻,要想真正做好信息的安全管理,保障信息安全,那么企業(yè)必須系統(tǒng)地進(jìn)行改革,從根本上阻止信息的泄漏。

3.1 建立健全信息安全管理制度。企業(yè)必須根據(jù)內(nèi)部信息的安全級(jí)別,建立一套適合其技術(shù)規(guī)范的管理標(biāo)準(zhǔn),尤其注重在人員組織結(jié)構(gòu)以及培訓(xùn),要建立完善的信息安全管理制度規(guī)范,并嚴(yán)格執(zhí)行。

3.2 采取新型網(wǎng)絡(luò)安全技術(shù),及時(shí)更新軟硬件系統(tǒng)。企業(yè)要對(duì)內(nèi)部計(jì)算機(jī)及服務(wù)器系統(tǒng)進(jìn)行及時(shí)更新?lián)Q代,尤其是其軟硬件系統(tǒng),要做好防病毒措施,并及時(shí)做好數(shù)據(jù)備份,加強(qiáng)網(wǎng)絡(luò)密碼建設(shè)以及入侵檢測(cè)技術(shù)建設(shè),為信息安全上一把“鎖”。

3.3 加強(qiáng)內(nèi)部信息的監(jiān)管,對(duì)非授權(quán)訪問(wèn)以及敏感接入進(jìn)行嚴(yán)格的控制。企業(yè)必須加強(qiáng)對(duì)內(nèi)部數(shù)據(jù)的有效監(jiān)管,在與外界進(jìn)行數(shù)據(jù)交換過(guò)程中,有必要對(duì)敏感數(shù)據(jù)或者有威脅的行為進(jìn)行干預(yù)、阻止、監(jiān)控等措施,控制非法接入與攻擊行為。

3.4 定期巡查與評(píng)估,不斷改善和調(diào)整安全防護(hù)策略。企業(yè)的信息安全管理是一個(gè)動(dòng)態(tài)的過(guò)程,我們的信息安全防范也必須做好及時(shí)的評(píng)估和調(diào)整,對(duì)計(jì)算機(jī)硬件設(shè)備、機(jī)房環(huán)境等定期進(jìn)行巡查,發(fā)現(xiàn)并及時(shí)解決潛在的安全威脅,并根據(jù)最新的信息安全形勢(shì)來(lái)調(diào)整防護(hù)策略,未雨綢繆,做好信息安全的預(yù)防工作。

參考文獻(xiàn):

[1]羅慶云,趙巾幗.企業(yè)網(wǎng)信息安全的探討[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2005.

[2]姜樺,郭永利.企業(yè)信息安全策略研究[J].焦作大學(xué)學(xué)報(bào),2009.

第5篇

【關(guān)鍵詞】信息安全;電力企業(yè);防護(hù)措施

前言

當(dāng)前,電力企業(yè)在生產(chǎn)運(yùn)行過(guò)程中離不開(kāi)信息技術(shù)的支持,尤其是電力企業(yè)在建立了復(fù)雜的數(shù)據(jù)網(wǎng)和信息網(wǎng)后,信息技術(shù)的在電力企業(yè)中的地位日益提高,同時(shí),信息安全也影響著電力企業(yè)的生產(chǎn)經(jīng)營(yíng)。

1電力網(wǎng)絡(luò)和信息安全管理的主要內(nèi)容

電力網(wǎng)絡(luò)和信息安全管理主要包括三方面的內(nèi)容:①安全策略;②風(fēng)險(xiǎn)管理;③安全教育。具體淺析如下:

1.1安全策略

信息安全策略根據(jù)企業(yè)規(guī)模、安全需求和業(yè)務(wù)發(fā)展的不同而不同,但是都具有簡(jiǎn)單易懂、清晰通俗的特點(diǎn),由高級(jí)管理部門(mén)制定并形成書(shū)面文字,屬于企業(yè)安全的最高方針,廣泛到企業(yè)所有員工手中。

1.2風(fēng)險(xiǎn)管理

評(píng)估威脅企業(yè)信息資產(chǎn)的風(fēng)險(xiǎn),首先事先假定風(fēng)險(xiǎn)可能會(huì)給企業(yè)帶來(lái)的風(fēng)險(xiǎn)和損失,然后再通過(guò)各種手段,如:風(fēng)險(xiǎn)的規(guī)避、風(fēng)險(xiǎn)的轉(zhuǎn)嫁、降低風(fēng)險(xiǎn)和接受風(fēng)險(xiǎn)等多種方法為相關(guān)部門(mén)提供網(wǎng)絡(luò)和信息安全的對(duì)策建議。

1.3安全教育

所謂安全教育,就是對(duì)直接關(guān)聯(lián)企業(yè)安全生產(chǎn)的人員進(jìn)行的教育活動(dòng),其對(duì)象是安全策略執(zhí)行人員,具體來(lái)說(shuō)就是與安全工作相關(guān)的技術(shù)人員、管理人員和客戶,并對(duì)其進(jìn)行安全培訓(xùn),讓其了解和掌握信息安全對(duì)策。安全管理是企業(yè)管理的重要內(nèi)容,必須引起企業(yè)領(lǐng)導(dǎo)層的高度重視,切實(shí)將安全相關(guān)教育納入到企業(yè)文化的組成中,確保信息安全管理的有效執(zhí)行。

2電力企業(yè)信息化發(fā)展的特征

隨著我國(guó)電力企業(yè)信息化的發(fā)展,與其他企業(yè)相比,在網(wǎng)絡(luò)信息安全方面具有以下優(yōu)勢(shì)特征。

2.1信息化基礎(chǔ)設(shè)施完善

經(jīng)過(guò)多年的發(fā)展,電力企業(yè)的信息化建設(shè)與其他行業(yè)的信息化建設(shè)水平相比,具有明顯的比較優(yōu)勢(shì),進(jìn)程相對(duì)領(lǐng)先,各個(gè)部門(mén)工作中計(jì)算機(jī)的使用率為100%,電力企業(yè)局域網(wǎng)覆蓋率90%以上。

2.2營(yíng)銷管理系統(tǒng)廣泛應(yīng)用

電力企業(yè)的營(yíng)銷管理系統(tǒng)經(jīng)過(guò)多年的研究探索已基本建成,實(shí)現(xiàn)了用電管理信息化、業(yè)務(wù)受理計(jì)算機(jī)化,并建立了相應(yīng)的客戶服務(wù)中心。

2.3生產(chǎn)、調(diào)度自動(dòng)化系統(tǒng)應(yīng)用熟練

電力企業(yè)信息化建設(shè)的重點(diǎn)是提高電網(wǎng)運(yùn)行質(zhì)量和電力調(diào)度的自動(dòng)化水平,現(xiàn)階段,從電力企業(yè)發(fā)展的自動(dòng)化水平上來(lái)看,其生產(chǎn)已基本達(dá)到國(guó)際先進(jìn)水平。

2.4管理信息系統(tǒng)的建設(shè)逐步推進(jìn)

電力企業(yè)積極建設(shè)管理信息系統(tǒng),開(kāi)發(fā)了設(shè)備、生產(chǎn)、電力負(fù)荷、安全監(jiān)督、營(yíng)銷管理等信息系統(tǒng),并將企業(yè)信息化建設(shè)放到重要位置,利用信息化推動(dòng)企業(yè)現(xiàn)代化發(fā)展。

3電力企業(yè)網(wǎng)絡(luò)和信息安全管理中存在的問(wèn)題

電力企業(yè)網(wǎng)絡(luò)和信息安全管理雖然具有以上優(yōu)勢(shì)特征,但同樣還是存在一定的問(wèn)題,具體如下:

3.1信息化機(jī)構(gòu)建設(shè)不完善

部分電力企業(yè)還未設(shè)置專門(mén)的信息部門(mén),信息科室有的在科技部門(mén)下,有的在綜合部門(mén)下,缺乏規(guī)范的制度與崗位設(shè)置,這種情況下,勢(shì)必會(huì)影響到網(wǎng)絡(luò)和信息安全的管理工作。

3.2網(wǎng)絡(luò)信息安全管理未成為企業(yè)文化的一部分

電力網(wǎng)絡(luò)信息貫穿于生產(chǎn)的全過(guò)程,涉及到電力生產(chǎn)的各層面,但是仍然處于從屬地,沒(méi)有納入電力企業(yè)安全文化建設(shè)中,進(jìn)而影響到安全管理的實(shí)施力度。

3.3企業(yè)管理革新跟不上信息化發(fā)展的步伐

電力企業(yè)管理革新與信息技術(shù)的發(fā)展與應(yīng)用相比還較為滯后,企業(yè)不能及時(shí)的引入先進(jìn)的管理與業(yè)務(wù)系統(tǒng),導(dǎo)致企業(yè)信息系統(tǒng)不能發(fā)揮預(yù)期的作用。

3.4網(wǎng)絡(luò)信息安全存在風(fēng)險(xiǎn)

電力企業(yè)網(wǎng)絡(luò)信息安全與一般企業(yè)網(wǎng)絡(luò)信息相比,有共同點(diǎn),也有自自身的特殊性,實(shí)踐中必須認(rèn)真分析研究,具體表現(xiàn)為:①網(wǎng)絡(luò)的結(jié)構(gòu)不夠合理,電力網(wǎng)絡(luò)建設(shè)要求,網(wǎng)絡(luò)建設(shè)要區(qū)分外網(wǎng)和內(nèi)網(wǎng),且內(nèi)外部網(wǎng)絡(luò)要保持物理隔離,但是部分電力企業(yè)的核心交換機(jī)選擇不合理,導(dǎo)致在網(wǎng)絡(luò)中所有網(wǎng)絡(luò)用戶的地位是平等的,因而很容易出現(xiàn)安全問(wèn)題。②企業(yè)內(nèi)部風(fēng)險(xiǎn),由于企業(yè)內(nèi)部網(wǎng)絡(luò)管理人員對(duì)于企業(yè)的網(wǎng)絡(luò)信息結(jié)構(gòu)與系統(tǒng)應(yīng)用十分熟悉,一旦泄漏重要信息,就會(huì)帶來(lái)致命的信息安全威脅。③現(xiàn)階段互聯(lián)網(wǎng)使用存在的風(fēng)險(xiǎn),目前很多電力企業(yè)的網(wǎng)絡(luò)已經(jīng)與互聯(lián)網(wǎng)發(fā)生了關(guān)系,一些客戶甚至可以直接訪問(wèn)電力系統(tǒng)的網(wǎng)絡(luò)資源,在提供方便之門(mén)的同時(shí)也要高度關(guān)注其可能帶來(lái)的信息安全和計(jì)算軟硬件安全風(fēng)險(xiǎn)。④網(wǎng)絡(luò)管理專業(yè)技術(shù)人員帶來(lái)的風(fēng)險(xiǎn),主要是網(wǎng)絡(luò)管理人員的素質(zhì)風(fēng)險(xiǎn),現(xiàn)階段電力企業(yè)的網(wǎng)絡(luò)建設(shè)還存在重建輕管,重技輕管的問(wèn)題。出現(xiàn)了諸如專業(yè)技術(shù)人員綜合素質(zhì)不高,一些安全管理制度不健全、落實(shí)不夠有力、安全意識(shí)不強(qiáng)、管理員配備不當(dāng)?shù)韧{到電力企業(yè)網(wǎng)絡(luò)信息安全性的問(wèn)題。⑤計(jì)算機(jī)病毒侵害,計(jì)算機(jī)病毒的擴(kuò)散速度快,網(wǎng)絡(luò)一旦感染病毒,整個(gè)電力網(wǎng)絡(luò)系統(tǒng)就會(huì)處于崩潰的狀況。⑥系統(tǒng)出現(xiàn)的安全風(fēng)險(xiǎn),這方面主要指操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)以及內(nèi)部各種應(yīng)用軟件系統(tǒng)等存在的風(fēng)險(xiǎn),這些系統(tǒng)很容易導(dǎo)致外界的攻擊,一些黑客采取專業(yè)手段可以很輕易獲取管理員權(quán)限,實(shí)施拒絕服務(wù)攻擊。

4電力企業(yè)網(wǎng)絡(luò)和信息安全管理對(duì)策

4.1建立健全網(wǎng)絡(luò)和信息安全管理組織架構(gòu)

網(wǎng)絡(luò)和信息安全管理實(shí)行統(tǒng)一領(lǐng)導(dǎo)、分級(jí)管理原則,企業(yè)的決策層組成領(lǐng)導(dǎo)小組,由企業(yè)各部門(mén)的管理者作為安全小組的管理層。網(wǎng)絡(luò)和信息安全管理實(shí)行專業(yè)化管理,包含信息安全規(guī)劃、信息安全監(jiān)督審計(jì)、信息安全運(yùn)行保障等職能小組。

4.2構(gòu)建網(wǎng)絡(luò)和信息安全管理體系框架

在網(wǎng)絡(luò)信息安全模型與電力信息化的基礎(chǔ)上,科學(xué)構(gòu)建網(wǎng)絡(luò)和信息安全管理體系框架,主要區(qū)分信息安全策略、安全運(yùn)行、安全管理、安全技術(shù)措施四個(gè)模塊,

4.3建立網(wǎng)絡(luò)信息安全防護(hù)對(duì)策,合理劃分安全域

網(wǎng)絡(luò)信息安全防護(hù)實(shí)行雙網(wǎng)雙機(jī)管理,分為信息內(nèi)網(wǎng)和信息外網(wǎng),內(nèi)外網(wǎng)采用獨(dú)立的服務(wù)器及桌面終端,通過(guò)邏輯強(qiáng)隔離裝置隔離內(nèi)外網(wǎng)。按照業(yè)務(wù)類型進(jìn)行安全區(qū)域劃分為邊界、網(wǎng)絡(luò)、主機(jī)、應(yīng)用四個(gè)層次,實(shí)現(xiàn)不同區(qū)域防護(hù)的差異化及獨(dú)立性。對(duì)于網(wǎng)絡(luò)安全的核心區(qū)域必須實(shí)施重點(diǎn)安全防范,比如該區(qū)域的服務(wù)器、重要數(shù)據(jù)、數(shù)據(jù)庫(kù)服務(wù)器,一般用戶無(wú)法直接訪問(wèn),安全級(jí)別高。電力企業(yè)內(nèi)部計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的應(yīng)用,劃分為管理信息區(qū)和生產(chǎn)控制區(qū),建立電力調(diào)度數(shù)據(jù)網(wǎng)專用網(wǎng)絡(luò),采用不同強(qiáng)度的安全設(shè)備隔離各安全區(qū),數(shù)據(jù)的遠(yuǎn)方安全傳輸采取加密、認(rèn)證、訪問(wèn)控制等技術(shù)手段,實(shí)現(xiàn)縱向邊界的整體安全防護(hù)。

4.4網(wǎng)絡(luò)信息安全管理制度建設(shè)

為確保電力企業(yè)網(wǎng)絡(luò)信息安全,必須做好網(wǎng)絡(luò)信息安全管理制度建設(shè),具體要做好以下幾個(gè)方面的內(nèi)容:①建立計(jì)算機(jī)資產(chǎn)管理制度、網(wǎng)絡(luò)使用管理制度、健全變更管理制度,對(duì)資產(chǎn)進(jìn)行標(biāo)識(shí)和管理,執(zhí)行密碼使用管理制度。②實(shí)施信息的安全分級(jí)保護(hù)舉措,依據(jù)國(guó)家相關(guān)規(guī)定,開(kāi)展網(wǎng)絡(luò)信息系統(tǒng)審批、定級(jí)、備案工作,嚴(yán)格執(zhí)行等級(jí)保護(hù)制度,嚴(yán)格保密核心程序和數(shù)據(jù)。③做好網(wǎng)絡(luò)信息安全運(yùn)行保障管理,對(duì)信息系統(tǒng)設(shè)備實(shí)行規(guī)范化管理,及時(shí)升級(jí)防病毒軟件,嚴(yán)格系統(tǒng)變更,及時(shí)報(bào)告信息系統(tǒng)事故情況,分析原因并落實(shí)整改。④建立病毒防護(hù)體系,安裝的防病毒軟件必須具有遠(yuǎn)程安裝、遠(yuǎn)程報(bào)警、集中管理等多種功能,不可將來(lái)歷不明或是隨意從互聯(lián)網(wǎng)上下載的數(shù)據(jù)在聯(lián)網(wǎng)計(jì)算機(jī)上使用,一旦發(fā)現(xiàn)病毒的存在,員工應(yīng)熟練掌握發(fā)現(xiàn)病毒后的處置辦法。

4.5信息安全技術(shù)保障舉措

為切實(shí)有效的落實(shí)信息安全防護(hù)要求,必須根據(jù)信息安全等級(jí)防護(hù)制度落實(shí)好“分級(jí)、分區(qū)、分域”的防護(hù)策略,從而更有效的落實(shí)信息安全防護(hù)預(yù)案,根據(jù)信息系統(tǒng)定級(jí)水平,實(shí)施強(qiáng)邏輯隔離措施,做好安全區(qū)域的隔離和劃分工作。

4.6規(guī)范企業(yè)人員的管理

規(guī)范人員管理首要的是用制度管好人:①企業(yè)高層應(yīng)以身作則,這樣員工才可以遵循信息安全管理的要求,由于高層掌握著企業(yè)更多的信息資源,密級(jí)也高,一旦出現(xiàn)泄漏,會(huì)給企業(yè)帶來(lái)更大的損失。②對(duì)于關(guān)鍵崗位人員管理要尤其重視,比如:開(kāi)發(fā)源代碼人員,直接接觸商業(yè)機(jī)密的人員,從事信息安全管理的人員,需要進(jìn)行嚴(yán)格管理,定期檢查,避免出現(xiàn)“堡壘從內(nèi)部突破”的機(jī)會(huì)。③對(duì)于離職人員這個(gè)群體也不可忽視,必須做好離職人員信息安全審計(jì)工作,離職前,必須要求其變更其訪問(wèn)權(quán)限,與接手人員一起清點(diǎn)和交接好信息資產(chǎn),避免信息泄漏事件的發(fā)生。④加強(qiáng)與供應(yīng)商和合作伙伴信息安全的管理,在日常的交流中嚴(yán)格遵守規(guī)定,不得隨意公開(kāi)和透露相關(guān)信息。

4.7做好對(duì)企業(yè)信息資產(chǎn)管理分析

依據(jù)信息資產(chǎn)價(jià)值,實(shí)現(xiàn)根據(jù)載體性質(zhì)不同、形式不同、來(lái)源不同做好資產(chǎn)的識(shí)別,提高企業(yè)勞動(dòng)生產(chǎn)率,強(qiáng)化信息資產(chǎn)觀念,樹(shù)立企業(yè)良好形象。全面、系統(tǒng)、科學(xué)的管理信息資產(chǎn),完善資產(chǎn)管理手段。利用信息資產(chǎn)資源使生產(chǎn)力要素保值增值,推動(dòng)信息資產(chǎn)共享共建,實(shí)現(xiàn)實(shí)現(xiàn)外源信息資產(chǎn)的再增值,信息資產(chǎn)的再創(chuàng)新。4.8建立信息安全應(yīng)急保障機(jī)制有風(fēng)險(xiǎn)的地方就要有應(yīng)急預(yù)案,對(duì)于電力企業(yè)網(wǎng)絡(luò)信息安全尤其應(yīng)該如此,要不斷健全電力企業(yè)信息安全預(yù)案,確保設(shè)備、人力、技術(shù)等應(yīng)急保障資源切實(shí)可用,要加強(qiáng)系統(tǒng)的容災(zāi)建設(shè),建立恢復(fù)和備份管理制度,妥善保存相關(guān)的備份記錄。

5結(jié)束語(yǔ)

電力網(wǎng)絡(luò)信息安全與企業(yè)的生產(chǎn)經(jīng)營(yíng)管理密切相關(guān),電力企業(yè)網(wǎng)絡(luò)信息安全涉及到技術(shù)與管理,無(wú)論是硬件還是軟件出現(xiàn)問(wèn)題都會(huì)威脅到整個(gè)網(wǎng)絡(luò)系統(tǒng),電力企業(yè)網(wǎng)絡(luò)信息安全管理涉及到人、硬件設(shè)備、軟件、數(shù)據(jù)等多個(gè)環(huán)節(jié),所以其必須著眼整個(gè)電力企業(yè)的網(wǎng)絡(luò)信息系統(tǒng)加強(qiáng)頂層建設(shè),實(shí)施統(tǒng)一規(guī)劃,搞好統(tǒng)籌兼顧,建立一套完整的信息安全管理體系,切實(shí)做好安全防范工作,解決電力企業(yè)信息安全管理問(wèn)題,才能確保電力信息系統(tǒng)安全、穩(wěn)定、可靠、高效地運(yùn)行,有效避免安全問(wèn)題的存在,保證電力企業(yè)的正常生產(chǎn)經(jīng)營(yíng)。

參考文獻(xiàn)

[1]何雋文.電力企業(yè)網(wǎng)絡(luò)和信息安全管理策略思考[J].中國(guó)高新技術(shù)企業(yè),2016,28.

[2]郭建,顧志強(qiáng).電力企業(yè)信息安全現(xiàn)狀分析及管理對(duì)策[J].信息技術(shù),2013,01.

[3]牛斐.電力企業(yè)網(wǎng)絡(luò)信息安全的防范措施[J].科技傳播,2012,16.

[4]吳青.淺析網(wǎng)絡(luò)信息安全管理在電力企業(yè)中的應(yīng)用[J].中國(guó)新通信,2013,23.

[5]向繼東,黃天戊,孫東.電力企業(yè)信息網(wǎng)絡(luò)安全管理[J].電力系統(tǒng)自動(dòng)化,2003,15.

第6篇

 

現(xiàn)代科學(xué)技術(shù)的發(fā)展與壯大,科學(xué)技術(shù)產(chǎn)物不斷改變著人類社會(huì)生活,而網(wǎng)絡(luò)技術(shù)更甚,網(wǎng)絡(luò)像一個(gè)無(wú)形的網(wǎng),連接著社會(huì)各個(gè)地方,便利著人類社會(huì)?,F(xiàn)代企業(yè)的發(fā)展或多或少依賴著網(wǎng)絡(luò),企業(yè)依靠網(wǎng)絡(luò)進(jìn)行信息的傳遞與處理。有了網(wǎng)絡(luò)的支撐,企業(yè)的競(jìng)爭(zhēng)力量在不斷加強(qiáng)。

 

1 網(wǎng)絡(luò)安全技術(shù)

 

就目前而言,常見(jiàn)的網(wǎng)絡(luò)安全技術(shù)包括防火墻技術(shù)、虛擬局域網(wǎng)技術(shù)、入侵檢測(cè)與防御技術(shù)以及計(jì)算機(jī)防病毒技術(shù)。

 

1.1 防火墻技術(shù)

 

防火墻顧名思義就是保護(hù)屏障,即通過(guò)軟件與硬件設(shè)備的組合,在內(nèi)部網(wǎng)與外部網(wǎng)之間搭建一個(gè)保護(hù)屏障,通過(guò)在網(wǎng)絡(luò)邊界上建立網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)來(lái)隔絕內(nèi)外網(wǎng)絡(luò),阻擋外網(wǎng)的不良入侵。防火墻主要針對(duì)的是網(wǎng)絡(luò)上的不安全因素。通過(guò)利用防火墻技術(shù),可以有效保護(hù)企業(yè)內(nèi)部網(wǎng)的主要信息資源。

 

1.2 虛擬局域網(wǎng)技術(shù)

 

虛擬局域網(wǎng)是通過(guò)因特網(wǎng)將網(wǎng)絡(luò)設(shè)備劃分成多個(gè)子網(wǎng),是對(duì)企業(yè)內(nèi)部網(wǎng)的擴(kuò)展,實(shí)現(xiàn)了企業(yè)在虛擬環(huán)境下的數(shù)據(jù)交換。虛擬局域網(wǎng)正如它的名字“虛擬”兩個(gè)字一樣,是看不見(jiàn)的,但是它能夠很好的防控廣播風(fēng)暴,有效提高網(wǎng)絡(luò)的速度,增強(qiáng)網(wǎng)絡(luò)的整體性能和安全性能。

 

1.3 入侵檢測(cè)與防御技術(shù)

 

入侵檢測(cè)與防御是對(duì)防火墻技術(shù)的補(bǔ)充與升級(jí),依靠設(shè)定的安全策略,對(duì)計(jì)算機(jī)系統(tǒng)與入侵網(wǎng)絡(luò)的行為進(jìn)行檢測(cè),類似于“安檢”,并對(duì)相應(yīng)的檢測(cè)做出響應(yīng),以此來(lái)確保網(wǎng)絡(luò)信息的完整性,提高網(wǎng)絡(luò)監(jiān)控與識(shí)別攻擊等能力,拓展了防火墻安全管理范圍。入侵防御技術(shù)是對(duì)檢測(cè)技術(shù)的又一次開(kāi)拓,是一個(gè)智能且主動(dòng)的防御技術(shù),緊密的串聯(lián)在網(wǎng)絡(luò)邊界,對(duì)進(jìn)出的數(shù)據(jù)信息進(jìn)行監(jiān)控與處理。

 

1.4 計(jì)算機(jī)防病毒技術(shù)

 

計(jì)算機(jī)防病毒技術(shù)應(yīng)用比較廣泛,通過(guò)建立有效的計(jì)算機(jī)病毒防護(hù)系統(tǒng)與制度,及時(shí)準(zhǔn)確的監(jiān)控處理病毒的入侵,如果發(fā)現(xiàn)病毒跡象,會(huì)立刻采取相應(yīng)措施阻斷病毒的破壞,同時(shí)迅速的對(duì)遭到破壞的部分進(jìn)行修復(fù),高效穩(wěn)定的保障信息的安全。

 

2 企業(yè)信息管理中的網(wǎng)絡(luò)安全問(wèn)題

 

2.1 缺乏網(wǎng)絡(luò)安全防范意識(shí)

 

網(wǎng)絡(luò)應(yīng)用的不斷深化,辦公方式網(wǎng)絡(luò)化受到越來(lái)越多企業(yè)的歡迎。很多企業(yè)對(duì)網(wǎng)絡(luò)應(yīng)用近乎癡迷,辦公自動(dòng)化成為當(dāng)下企業(yè)主流。由于過(guò)度的依賴于網(wǎng)絡(luò)辦公,往往忽視企業(yè)內(nèi)部的安全防護(hù)問(wèn)題。落后的網(wǎng)絡(luò)防御系統(tǒng)、充滿漏洞的安全機(jī)制,低下的網(wǎng)絡(luò)恢復(fù)能力等等都會(huì)造成企業(yè)信息資源的破壞,嚴(yán)重影響企業(yè)的正常運(yùn)行。

 

2.2 非法網(wǎng)絡(luò)入侵現(xiàn)象頻發(fā)

 

網(wǎng)絡(luò)的應(yīng)用,使不良居心的有了新的破壞手段。一些居心叵測(cè)的人利用網(wǎng)絡(luò),非法入侵企業(yè)內(nèi)部,盜取網(wǎng)絡(luò)信息或者冒充內(nèi)部人員進(jìn)行網(wǎng)絡(luò)詐騙,或者盜取網(wǎng)絡(luò)信息進(jìn)行泄露勒索,那些非法入侵行為無(wú)處不在,成為威脅企業(yè)信息的不安全因素。

 

2.3 肆虐的網(wǎng)絡(luò)病毒

 

從我國(guó)出現(xiàn)的第一個(gè)網(wǎng)絡(luò)病毒開(kāi)始,網(wǎng)絡(luò)病毒就不斷改變感染途徑,比如常見(jiàn)的下載軟件、打開(kāi)文件、電子郵件等網(wǎng)絡(luò)行為,都有可能感染病毒,病毒以其告訴的傳染性讓人措手不及。當(dāng)人們還在唏噓這個(gè)網(wǎng)絡(luò)病毒的危害時(shí),比這個(gè)病毒更厲害的病毒也許正在散播中,病毒也會(huì)以看不見(jiàn)的形式被攜帶傳染,造成更大范圍的信息損失。

 

2.4 管理人員技術(shù)水平不足

 

網(wǎng)絡(luò)管理人員是直接管理企業(yè)網(wǎng)絡(luò)信息的技術(shù)人物,網(wǎng)絡(luò)管理人員的技術(shù)水平是影響企業(yè)網(wǎng)絡(luò)安全的關(guān)鍵因素。企業(yè)信息的運(yùn)行與管理都有網(wǎng)絡(luò)管理人員進(jìn)行,但在很多企業(yè)中,網(wǎng)絡(luò)管理崗位的從業(yè)人員,存在技術(shù)水平有限,專業(yè)度不足的現(xiàn)象,有的網(wǎng)絡(luò)管理人員職業(yè)素養(yǎng)不足,隨意泄露本公司的賬號(hào)等會(huì)造成企業(yè)信息安全受到傷害。

 

3 企業(yè)信息管理網(wǎng)絡(luò)安全措施

 

3.1 先進(jìn)技術(shù)

 

先進(jìn)的技術(shù)手段是應(yīng)對(duì)企業(yè)信息危機(jī)的基礎(chǔ),只有不斷提高技術(shù)技能,利用先進(jìn)的技術(shù)手段才能對(duì)企業(yè)信息的威脅做到防范,才能提高企業(yè)信息安全管理水平。

 

3.1.1 信息加密技術(shù)

 

信息加密是針對(duì)信息泄露采取的保護(hù)性措施,能夠有效的提高企業(yè)信息數(shù)據(jù)的安全性能,防止數(shù)據(jù)泄露。就目前信息加密技術(shù)來(lái)講,主要應(yīng)用在信息的存儲(chǔ)、傳輸以及鑒別方面。信息加密是目前企業(yè)信息安全管理的重要手段,在企業(yè)信息安全管理上作用顯著。

 

3.1.2 防火墻技術(shù)

 

防火墻技術(shù)在上過(guò)解釋,在企業(yè)信息管理中,防火墻能夠阻止網(wǎng)絡(luò)中人為產(chǎn)生的信息破壞與攻擊,防火墻能夠幫助企業(yè)攔截很多不良或者惡意病毒與垃圾。但是防火墻也有局限性,就是不能夠阻止來(lái)自內(nèi)網(wǎng)的網(wǎng)絡(luò)病毒與惡意文件。

 

3.1.3 數(shù)據(jù)備份

 

網(wǎng)絡(luò)病毒很多會(huì)造成企業(yè)的重要信息數(shù)據(jù)永久失去,無(wú)法恢復(fù),對(duì)企業(yè)造成不可估量的損失。數(shù)據(jù)備份就是通過(guò)對(duì)企業(yè)信息數(shù)據(jù)復(fù)制,作為備用,即使企業(yè)信息收到損壞,無(wú)法恢復(fù),有了備用信息就不會(huì)造成損失。

 

3.2 企業(yè)管理

 

3.2.1 企業(yè)局域網(wǎng)管理

 

加強(qiáng)對(duì)企業(yè)局域網(wǎng)的管理是企業(yè)信息管理的關(guān)鍵。企業(yè)局域網(wǎng)管理不僅是對(duì)企業(yè)內(nèi)部使用網(wǎng)絡(luò)進(jìn)行隔離,同時(shí)也要對(duì)企業(yè)所接觸到的網(wǎng)頁(yè)進(jìn)行安全把控。在企業(yè)員工工作時(shí),要根據(jù)員工實(shí)際狀況進(jìn)行內(nèi)外網(wǎng)權(quán)限設(shè)置,隔離內(nèi)外網(wǎng),有效降低感染病毒的機(jī)會(huì)。

 

3.2.2 網(wǎng)絡(luò)管理人員管理

 

提高網(wǎng)絡(luò)管理人員專業(yè)素養(yǎng)是企業(yè)信息管理的核心。首先要對(duì)網(wǎng)絡(luò)管理人員進(jìn)行專業(yè)培訓(xùn),提高管理人員專業(yè)水平與素養(yǎng),另外,要進(jìn)行權(quán)責(zé)制度,按照需求對(duì)人員進(jìn)行劃分,責(zé)任到人,提高網(wǎng)絡(luò)管理人員對(duì)企業(yè)信息安全的重視。

 

4 結(jié)語(yǔ)

 

通過(guò)從技術(shù)的手段與企業(yè)管理兩個(gè)方面進(jìn)行企業(yè)信息管理,嚴(yán)格把握企業(yè)信息的每個(gè)關(guān)卡,責(zé)任到人,同時(shí)要不斷地對(duì)企業(yè)信息安全系統(tǒng)進(jìn)行檢查,更新技術(shù)支持,完善信息防御與修復(fù)系統(tǒng),創(chuàng)造一個(gè)穩(wěn)定、安全的企業(yè)信息環(huán)境。

第7篇

關(guān)鍵詞:信息安全管理;信息資產(chǎn);模型;推廣方案

中圖分類號(hào):TP309 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1674-7712 (2013) 02-0175-01

所謂的信息安全就是指信息的可用性、完整性、安全性以及保密性。信息安全管理主要是指組織為了確保信息的安全而進(jìn)行的控制、領(lǐng)導(dǎo)、組織、計(jì)劃的相關(guān)過(guò)程。隨著企業(yè)的飛速發(fā)展以及信息技術(shù)的不斷完善,各類企業(yè)的信息化程度也在不斷地提高,信息安全已經(jīng)成為了企業(yè)發(fā)展過(guò)程中的核心內(nèi)容之一。

一、企業(yè)信息安全管理的現(xiàn)狀

目前,絕大部分企業(yè)在發(fā)展的過(guò)程中已經(jīng)開(kāi)始對(duì)企業(yè)的信息安全工作制定出了一系列的管理措施,不過(guò),企業(yè)在對(duì)那些信息進(jìn)行安全管理的過(guò)程中,基本上是部署或購(gòu)買信息安全產(chǎn)品。而這些產(chǎn)品基本上是為了達(dá)到某項(xiàng)安全功能而研發(fā)生產(chǎn)的、針對(duì)性較強(qiáng)的硬件或軟件產(chǎn)品。當(dāng)前市場(chǎng)上所出售的信息安全產(chǎn)品主要有四個(gè)層次:系統(tǒng)安全設(shè)備、網(wǎng)絡(luò)安全設(shè)備、終端安全設(shè)備、基礎(chǔ)安全設(shè)備。

企業(yè)通過(guò)這些信息安全產(chǎn)品雖然在某些方面具有一定的安全效果,不過(guò)企業(yè)自身的信息安全度仍沒(méi)有得到提高。所謂的企業(yè)信息安全管理就是指針對(duì)當(dāng)前企業(yè)所面臨的信息失控、惡意軟件、人為因素等復(fù)雜環(huán)境給予相應(yīng)的防護(hù),確保企業(yè)的信息系統(tǒng)以及相關(guān)信息不會(huì)被非授權(quán)使用、訪問(wèn)、中斷或修改。這樣做的目的主要是對(duì)企業(yè)的信息安全進(jìn)行適當(dāng)?shù)谋Wo(hù),并確保其具有可用性、真實(shí)性、完整性以及保密性。就目前的情況而言,絕大部分企業(yè)的信息安全管理存在下列問(wèn)題:(1)缺乏足夠的安全防護(hù)意識(shí),員工的信息安全教育力度較為薄弱;(2)管理過(guò)程中對(duì)于人為因素的管理較為缺乏;(3)只重視技術(shù)而忽略了管理;(4)缺乏系統(tǒng)性的管理方案;(5)缺乏專業(yè)的信息安全管理人員。

二、企業(yè)信息資產(chǎn)的安全管理方式

一般情況下,企業(yè)的信息資產(chǎn)具有以下三個(gè)重要屬性:即可用性、完整性以及保密性。在對(duì)企業(yè)的信息進(jìn)行管理的過(guò)程中,這三者缺一不可。在企業(yè)發(fā)展的不同時(shí)期以及不同階段,這三者的屬性以及地位也大不相同。對(duì)于絕大部分企業(yè)而言,對(duì)企業(yè)信息進(jìn)行安全管理的主要目的就是確保企業(yè)的信息資產(chǎn)具有較好的保密性,因此,信息的可用性以及完整性在信息安全管理過(guò)程中基本上就成為了附屬品。由此可見(jiàn),對(duì)于絕大多數(shù)企業(yè)來(lái)說(shuō),信息的保密性更為重要。

由于企業(yè)的信息安全管理活動(dòng)通常會(huì)涉及到企業(yè)的所有員工以及各個(gè)管理階層,因此,企業(yè)在開(kāi)展此項(xiàng)活動(dòng)的過(guò)程中,一定要注重全員參與的重要性,讓企業(yè)的各項(xiàng)工作以及每個(gè)員工都對(duì)企業(yè)的信息安全引起高度重視,并將企業(yè)的信息安全管理與企業(yè)文化融為一體,以便于從根本上實(shí)現(xiàn)企業(yè)的信息安全管理目標(biāo)。不過(guò)對(duì)于絕大部分企業(yè)而言,經(jīng)濟(jì)指標(biāo)才是員工以及管理層關(guān)注的重點(diǎn)內(nèi)容,而信息安全管理需要投入大量的人力、物力以及財(cái)力方能實(shí)現(xiàn),因此,這對(duì)于大部分企業(yè)來(lái)說(shuō)其操作性相對(duì)較低。由此可見(jiàn),在對(duì)企業(yè)的信息安全進(jìn)行管理的過(guò)程中,一定要盡最大可能確保信息安全管理的簡(jiǎn)潔性。

三、企業(yè)在進(jìn)行信息安全管理時(shí)所涵蓋的具體內(nèi)容

目前,信息安全管理過(guò)程中的內(nèi)容經(jīng)簡(jiǎn)化和提煉后主要有“執(zhí)行力”、“堵”、“護(hù)”,在不同企業(yè)或同一企業(yè)發(fā)展過(guò)程中的不同階段,信息安全管理的計(jì)劃實(shí)施先后順序以及側(cè)重點(diǎn)也會(huì)有所不同。對(duì)于企業(yè)的普通員工以及管理人員而言,通過(guò)簡(jiǎn)單地宣傳教育就很容易讓他們牢記“執(zhí)行力”、“堵”、“護(hù)”,而對(duì)于專業(yè)的信息安全管理人員則必須從以下幾個(gè)方面著手。

(一)構(gòu)建與企業(yè)文化相符合的安全體系

企業(yè)在構(gòu)建信息安全管理體系的過(guò)程中,它與企業(yè)文化的適應(yīng)程度有著十分密切的聯(lián)系,不同的企業(yè)有著不同的企業(yè)文化,因此,在進(jìn)行信息安全管理的過(guò)程中,其管理思路以及管理方法也會(huì)大不相同。一些執(zhí)行力較強(qiáng)的單位,通常會(huì)采用強(qiáng)制手段來(lái)進(jìn)行管理,且管理的效果相對(duì)較好,而對(duì)于執(zhí)行力相對(duì)較差的單位,通過(guò)制定出科學(xué)合理的管理方法,并加以相應(yīng)的監(jiān)控管理、審計(jì)以及技術(shù)支持也會(huì)取得相對(duì)較好的效果。

(二)對(duì)信息傳遞渠道進(jìn)行嚴(yán)格的管理

企業(yè)在對(duì)信息資產(chǎn)進(jìn)行安全管理時(shí),一定要強(qiáng)化對(duì)信息傳遞渠道的管理,對(duì)信息資產(chǎn)的各個(gè)傳輸渠道進(jìn)行嚴(yán)格的分析,嚴(yán)禁出現(xiàn)非授權(quán)或授權(quán)范圍外的傳遞或訪問(wèn)。在此過(guò)程中,“堵”的核心內(nèi)容就是人員的安全管理,這主要是因?yàn)槠髽I(yè)的信息資產(chǎn)都是通過(guò)人來(lái)進(jìn)行控制、管理的。在所有的信息安全管理過(guò)程中,對(duì)人的管理難度最大,因此,在開(kāi)展信息安全管理活動(dòng)時(shí),一定要對(duì)員工的調(diào)動(dòng)以及離職情況進(jìn)行嚴(yán)格的審計(jì),以此來(lái)防止信息資產(chǎn)的不合理傳遞。

(三)核心信息資產(chǎn)的保護(hù)

所謂的核心信息資產(chǎn)的保護(hù)主要是指對(duì)企業(yè)的核心信息資產(chǎn)進(jìn)行科學(xué)有效的保護(hù),這對(duì)于企業(yè)的發(fā)展有著至關(guān)重要的作用,同時(shí)它還是企業(yè)進(jìn)行信息資產(chǎn)安全管理的有效手段。由于企業(yè)的資源具有一定的有限性,因此,企業(yè)的信息安全也具有一定的相對(duì)性,基于此,在對(duì)企業(yè)的信息資產(chǎn)進(jìn)行安全管理的過(guò)程中,對(duì)核心信息資產(chǎn)進(jìn)行保護(hù)就顯得尤為重要了。所謂的核心信息資產(chǎn)就是指一旦泄露就有可能對(duì)企業(yè)造成嚴(yán)重的損失,或者是價(jià)值相對(duì)較高的信息。

四、結(jié)束語(yǔ)

隨著市場(chǎng)經(jīng)濟(jì)的不斷發(fā)展以及信息技術(shù)的日漸完善,企業(yè)在發(fā)展過(guò)程中的信息資產(chǎn)保護(hù)所面臨的形式也變得越來(lái)越嚴(yán)峻。為此,企業(yè)在發(fā)展的過(guò)程中,一定要根據(jù)自身的實(shí)際情況,建立相應(yīng)的管理體系,并將其納入企業(yè)的風(fēng)險(xiǎn)管理中,盡量降低信息泄露對(duì)企業(yè)發(fā)展所造成的影響。

參考文獻(xiàn):

[1]齊峰.COBIT在企業(yè)信息安全管理中的應(yīng)用實(shí)踐[J].計(jì)算機(jī)應(yīng)用與軟件,2009,26(10):282-285.

[2]伏原.網(wǎng)絡(luò)信息安全管理在電力企業(yè)中的應(yīng)用[J].中華民居,2011,(8):385-386.

[3]孟潔.國(guó)有企業(yè)中的信息安全管理和應(yīng)用[J].科技信息,2012,(2):252.

第8篇

【關(guān)鍵詞】桌面安全管理;信息建設(shè);桌面終端;應(yīng)用

在信息技術(shù)飛速發(fā)展的大背景下,桌面終端已經(jīng)成為企業(yè)生產(chǎn)運(yùn)營(yíng)的重要組成部分并被廣泛應(yīng)用于企業(yè)之中。但是受到種種原因的影響,桌面終端增多帶來(lái)了許多安全問(wèn)題,威脅著企業(yè)的信息安全。基于此,桌面安全管理系統(tǒng)應(yīng)運(yùn)而生。桌面安全管理系統(tǒng)簡(jiǎn)稱BES,是一種基于企業(yè)桌面客戶端內(nèi)網(wǎng)安全管理系統(tǒng),對(duì)客戶端系統(tǒng)安全漏洞和安全隱患進(jìn)行評(píng)估的管理控制平臺(tái)。本文簡(jiǎn)要分析了目前我國(guó)企業(yè)桌面計(jì)算機(jī)系統(tǒng)的安全現(xiàn)狀,主要研究桌面安全管理系統(tǒng)在企業(yè)信息建設(shè)中的應(yīng)用,這對(duì)于企業(yè)的信息建設(shè)而言具有重要現(xiàn)實(shí)意義。

1目前企業(yè)桌面計(jì)算機(jī)系統(tǒng)的安全狀況

桌面終端系統(tǒng)因?yàn)椴僮鞣奖愕葍?yōu)點(diǎn)而被廣泛應(yīng)用,但由于計(jì)算機(jī)數(shù)目過(guò)多過(guò)雜、內(nèi)部員工的不當(dāng)操作等因素導(dǎo)致目前企業(yè)桌面計(jì)算機(jī)系統(tǒng)存在著許多問(wèn)題:(1)沒(méi)有嚴(yán)格對(duì)待外網(wǎng)接入工作,容易讓外網(wǎng)接入盜取企業(yè)信息。很多企業(yè)為了更好地管理,便將許多電腦連成一個(gè)整體來(lái)進(jìn)行高效運(yùn)營(yíng)。但是這么做也存在一個(gè)弊端:給外網(wǎng)入侵帶來(lái)可乘之機(jī),由于計(jì)算機(jī)管理人員不能使每臺(tái)計(jì)算機(jī)都能得到合理配置,因此容易讓外網(wǎng)接入,造成企業(yè)信息泄露等損失。(2)缺乏有序規(guī)劃,設(shè)備配置良莠不齊?,F(xiàn)階段我國(guó)很多企業(yè)計(jì)算機(jī)系統(tǒng)設(shè)備配置混亂且質(zhì)量參差不齊,給維修以及耗材的配備增加了成本。(3)隨著信息技術(shù)的飛速發(fā)展,涌現(xiàn)出來(lái)的許多操作系統(tǒng)以及軟件給企業(yè)系統(tǒng)安全管理帶來(lái)巨大的壓力。(4)缺乏統(tǒng)一的手段統(tǒng)計(jì)分析桌面運(yùn)行狀況,缺乏跟蹤監(jiān)督桌面設(shè)備受到侵害的狀況,缺乏跟蹤監(jiān)測(cè)安全漏洞的修復(fù)狀況。(5)一些企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜,十分難管理。加上一些內(nèi)部員工的不良操作以及對(duì)移動(dòng)存儲(chǔ)介質(zhì)使用的隨意性容易導(dǎo)致企業(yè)信息泄露?;谀壳捌髽I(yè)桌面計(jì)算機(jī)系統(tǒng)的安全現(xiàn)狀,企業(yè)需要實(shí)施桌面安全管理系統(tǒng)來(lái)解決桌面終端存在的問(wèn)題,有效地保護(hù)企業(yè)的信息安全。

2桌面安全管理系統(tǒng)在企業(yè)信息建設(shè)中的具體應(yīng)用

2.1系統(tǒng)補(bǔ)丁管理

目前我國(guó)很多企業(yè)操作人員在應(yīng)用桌面安全管理系統(tǒng)過(guò)程中會(huì)出現(xiàn)安裝完系統(tǒng)后就沒(méi)有再打過(guò)補(bǔ)丁的現(xiàn)象,很多用戶也缺乏系統(tǒng)升級(jí)的意識(shí),對(duì)數(shù)據(jù)庫(kù)系統(tǒng)以及應(yīng)用程序不打補(bǔ)丁升級(jí)。桌面安全管理系統(tǒng)的補(bǔ)丁管理是及時(shí)地更新系統(tǒng)漏洞的特征以及系統(tǒng)補(bǔ)丁源,保證補(bǔ)丁服務(wù)器能夠及時(shí)獲取新的系統(tǒng)漏洞特征和補(bǔ)丁源。桌面安全管理系統(tǒng)自動(dòng)地收集、統(tǒng)計(jì)以及檢測(cè)所管理桌面終端系統(tǒng)的漏洞信息和補(bǔ)丁安裝進(jìn)度,隨后根據(jù)每一臺(tái)桌面終端操作系統(tǒng)以及已經(jīng)安裝的補(bǔ)丁情況,打包、分配、安裝所需要的補(bǔ)丁。桌面安全管理系統(tǒng)可以自動(dòng)對(duì)漏洞進(jìn)行及時(shí)檢測(cè)修復(fù),保障系統(tǒng)的安全。

2.2IT資產(chǎn)管理

桌面安全管理系統(tǒng)根據(jù)所管理范圍的桌面終端系統(tǒng)的軟件和硬件資產(chǎn)變更進(jìn)行管理,以小時(shí)、天、周為周期通過(guò)軟件或者人工只能收集資產(chǎn)信息,然后再將所收集的信息納入資產(chǎn)信息庫(kù)。桌面安全管理人員根據(jù)資產(chǎn)編號(hào)、資產(chǎn)所歸屬部門(mén)、資產(chǎn)使用人等信息進(jìn)行查詢和管理,最后定時(shí)生成資產(chǎn)信息報(bào)表。在桌面安全管理系統(tǒng)控制臺(tái)管理中,管理人員可以清楚地了解有多少計(jì)算機(jī)沒(méi)有安裝桌面安全管理系統(tǒng),利于管理人員掌握網(wǎng)絡(luò)資產(chǎn)數(shù)據(jù)。

2.3軟件分發(fā)

在安裝軟件時(shí),很多企業(yè)用戶因?yàn)橛?jì)算機(jī)水平良莠不齊等原因無(wú)法自行完成。一些通用軟件或者專業(yè)軟件覆蓋范圍廣,因此利用軟件分發(fā)功能便可以自動(dòng)化部署網(wǎng)絡(luò)客戶機(jī)的各個(gè)軟件,確保版本軟件以及配置保持同一性。桌面安全系統(tǒng)維護(hù)人員還要根據(jù)企業(yè)的實(shí)際需要來(lái)研究分析桌面安全管理系統(tǒng)的軟件開(kāi)發(fā)功能,編寫(xiě)包含工具軟件、系統(tǒng)軟件、補(bǔ)丁等常用軟件的自動(dòng)安裝包以及自動(dòng)卸載包,最后根據(jù)客戶的實(shí)際需要進(jìn)行軟件分發(fā),這極大地降低了管理人員的工作強(qiáng)度,提高了工作效率。

2.4外接設(shè)備的管理

統(tǒng)一管理所有安裝了客戶端主機(jī)的外接設(shè)備,管理人員只要在控制中心進(jìn)行相應(yīng)配置后便可以控制是否允許USB接口、光驅(qū)、串口等外接設(shè)備的接入。同時(shí)值得注意的是,在管理人員對(duì)USB接口進(jìn)行管理時(shí),用戶使用USB鍵盤(pán)、鼠標(biāo)不會(huì)受到限制,只有當(dāng)使用USB硬盤(pán)等存儲(chǔ)設(shè)備時(shí)才會(huì)受到限制。

2.5病毒防護(hù)管理

桌面安全管理系統(tǒng)可以很好地對(duì)客戶機(jī)的病毒防護(hù)情況進(jìn)行監(jiān)控,包括是否安裝了病毒防護(hù)軟件、是否將病毒代碼庫(kù)升級(jí)為最新等。在系統(tǒng)控制臺(tái)上,所有客戶機(jī)的信息都集合在一起,管理人員可以更好地管理。一些客戶機(jī)違規(guī)安裝了某些病毒防護(hù)軟件,或者是同時(shí)安裝了兩種病毒防護(hù)軟件,可能會(huì)導(dǎo)致系統(tǒng)運(yùn)行速度緩慢,增加了管理人員和維護(hù)人員的工作負(fù)擔(dān)。針對(duì)這種情況,桌面安全管理系統(tǒng)可以識(shí)別計(jì)算機(jī)屬性,統(tǒng)計(jì)違規(guī)客戶機(jī)信息,并采取限制使用網(wǎng)絡(luò)資源等方法來(lái)使用戶卸載違規(guī)安裝的病毒防護(hù)軟件,促進(jìn)病毒防護(hù)管理的規(guī)范化、合理化。

2.6遠(yuǎn)程維護(hù)

桌面安全管理系統(tǒng)的遠(yuǎn)程維護(hù)有兩種方式,分別是遠(yuǎn)程桌面查看以及遠(yuǎn)程桌面控制,通過(guò)遠(yuǎn)程維護(hù)方式,管理維護(hù)人員可以進(jìn)行遠(yuǎn)程診斷以及修復(fù),極大提高了工作效率。與此同時(shí),遠(yuǎn)程維護(hù)還支持客戶端確認(rèn)的過(guò)程,如遇客戶沒(méi)有確認(rèn)就不能接管客戶終端。終端遠(yuǎn)程維護(hù)服務(wù)只在需要時(shí)開(kāi)啟,此外使用動(dòng)態(tài)密碼可以確保遠(yuǎn)程維護(hù)服務(wù)的安全性。

3結(jié)語(yǔ)

綜上所述,桌面安全管理系統(tǒng)充分運(yùn)用了信息安全管理技術(shù)來(lái)提高企業(yè)信息建設(shè)水平和安全管理效率,加強(qiáng)對(duì)網(wǎng)絡(luò)客戶端的控制并進(jìn)行實(shí)時(shí)監(jiān)控,集成其他網(wǎng)絡(luò)安全設(shè)備為可靠的、安全的局域網(wǎng)絡(luò),極大地鞏固加強(qiáng)了對(duì)企業(yè)信息安全的保障。此外,桌面安全管理系統(tǒng)雖然越來(lái)越受到重視,但其在應(yīng)用領(lǐng)域仍處于比較不成熟狀態(tài),需要企業(yè)進(jìn)行進(jìn)一步探究。

參考文獻(xiàn)

[1]盧緒平.桌面安全管理系統(tǒng)在企業(yè)信息建設(shè)中的應(yīng)用研究[J].化工管理,2015(11).

第9篇

關(guān)鍵詞:企業(yè);信息網(wǎng)絡(luò);安全體系;安全技術(shù)

大中型企業(yè)作為我國(guó)國(guó)民經(jīng)濟(jì)的骨干企業(yè),在國(guó)家經(jīng)濟(jì)發(fā)揮舉足輕重的作用,現(xiàn)代經(jīng)濟(jì)活動(dòng)離不開(kāi)信息和網(wǎng)絡(luò),大中型企業(yè)對(duì)網(wǎng)絡(luò)和信息技術(shù)的依賴性很強(qiáng),企業(yè)員工多、信息化互聯(lián)設(shè)備多、種類多樣,企業(yè)的關(guān)鍵業(yè)務(wù)大多架構(gòu)在IT系統(tǒng)之上,網(wǎng)絡(luò)環(huán)境的穩(wěn)定性、安全性、高效性直接影響公司信息化應(yīng)用。目前,許多大中型企業(yè)提出了建立“數(shù)字化企業(yè)”的目標(biāo),在企業(yè)信息化建設(shè)中,信息安全問(wèn)題是必須要首先考慮的問(wèn)題,可見(jiàn),建立企業(yè)信息安全體系勢(shì)在必行。

1  企業(yè)信息網(wǎng)絡(luò)安全威脅及風(fēng)險(xiǎn)

近年來(lái),許多大中型企業(yè)十分重視信息網(wǎng)絡(luò)建設(shè)的應(yīng)用和開(kāi)發(fā),但是對(duì)于信息網(wǎng)絡(luò)安全的防護(hù)并沒(méi)有得到足夠重視。根據(jù)調(diào)研機(jī)構(gòu)的調(diào)查報(bào)告顯示,國(guó)內(nèi)企業(yè)中63%經(jīng)常遭受病毒或蠕蟲(chóng)攻擊,而41%的企業(yè)受到惡意間諜軟件或惡意軟件的威脅。主要體現(xiàn)在:病毒和蠕蟲(chóng)攻擊、黑客入侵、惡意攻擊、完整性破壞、網(wǎng)絡(luò)資源濫用、員工信息安全意識(shí)淡薄等。

目前企業(yè)面臨著網(wǎng)絡(luò)攻擊的“外部威脅”及內(nèi)部人員信息泄露的“內(nèi)部威脅”的雙重考驗(yàn),垃圾郵件、企業(yè)機(jī)密泄露、網(wǎng)絡(luò)資源濫用、病毒泛濫以及網(wǎng)絡(luò)攻擊等問(wèn)題成為企業(yè)最為頭疼的網(wǎng)絡(luò)安全問(wèn)題,企業(yè)網(wǎng)絡(luò)環(huán)境日趨嚴(yán)峻。

2 企業(yè)網(wǎng)絡(luò)安全體系

大中型企業(yè)網(wǎng)絡(luò)面臨嚴(yán)峻的安全形勢(shì),迫使各企業(yè)意識(shí)到構(gòu)建完備安全體系的重要性,隨著網(wǎng)絡(luò)攻擊的多樣化,只針對(duì)網(wǎng)絡(luò)層以下的安全解決方案已經(jīng)不足以應(yīng)付各種各樣的攻擊,同時(shí)還要隨時(shí)注重操作系統(tǒng)、數(shù)據(jù)庫(kù)、軟硬件設(shè)備的安全性;企業(yè)安全體系建設(shè)不僅要有效抵御外網(wǎng)攻擊,而且要能防范可能來(lái)自內(nèi)部的安全泄密等威脅。企業(yè)必須采用多層次的安全系統(tǒng)架構(gòu)才能保障企業(yè)網(wǎng)絡(luò)安全,最終建立一套以內(nèi)外兼防為特征的企業(yè)安全保障體系。

企業(yè)信息網(wǎng)絡(luò)安全體系由物理安全、鏈路安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、信息安全五部分構(gòu)成。

物理安全:物理安全主要是保護(hù)企業(yè)數(shù)據(jù)庫(kù)服務(wù)器、應(yīng)用服務(wù)器、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)介質(zhì)及其他物理實(shí)體設(shè)備的安全,提供一個(gè)安全可靠的物理運(yùn)行環(huán)境。

鏈路安全:數(shù)據(jù)鏈路層(第二協(xié)議層)的通信連接就安全而言,是較為薄弱的環(huán)節(jié)。目的是保證網(wǎng)絡(luò)鏈路傳送的數(shù)據(jù)不被竊聽(tīng)和篡改。

網(wǎng)絡(luò)安全:網(wǎng)絡(luò)安全主要包括:通過(guò)防火墻隔離內(nèi)外網(wǎng)絡(luò),不同區(qū)域的訪問(wèn)控制,部署基于網(wǎng)絡(luò)的身份認(rèn)證及入侵檢測(cè)系統(tǒng)、VPN、網(wǎng)絡(luò)集中防病毒等手段實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備自身的安全可靠。

系統(tǒng)安全:系統(tǒng)安全主要指數(shù)據(jù)庫(kù)、操作系統(tǒng)的安全保護(hù)。保證應(yīng)用系統(tǒng)的可靠性、完整性和高效性。

信息安全:主要通過(guò)數(shù)據(jù)加密、CA認(rèn)證、授權(quán)等手段保證信息處理、傳遞、存儲(chǔ)的保密性、完整性和可用性。

典型企業(yè)信息網(wǎng)絡(luò)安全管理體系拓?fù)浣Y(jié)構(gòu)如圖一所示:

3  信息安全體系設(shè)計(jì)原則

企業(yè)安全設(shè)計(jì)應(yīng)遵循如下原則:

3.1保密性:信息不能夠泄露給非授權(quán)用戶、實(shí)體或過(guò)程,或供其利用的特性。

3.2完整性:信息完整性是指信息在輸入和傳輸?shù)倪^(guò)程中,不被非法授權(quán)修改和破壞,保證數(shù)據(jù)的一致性。

3. 3可用性:保障授權(quán)用戶在需要時(shí)可以獲取信息并按要求使用的特性。

3.4可控性:對(duì)信息的處理、傳遞、存儲(chǔ)等具有控制能力。

信息安全就是要保障維護(hù)信息的機(jī)密性、完整性、可用性以及保障維護(hù)信息的真實(shí)性、可問(wèn)責(zé)性、不可抵賴性、可靠性、守法性。

4 企業(yè)網(wǎng)絡(luò)安全防范技術(shù)手段

目前企業(yè)信息網(wǎng)絡(luò)布署的安全技術(shù)手段主要方式有:

4.1防火墻系統(tǒng)

  防火墻系統(tǒng)作為企業(yè)網(wǎng)絡(luò)安全系統(tǒng)必不可少的組成部分,用于防范來(lái)自外部interne非法用戶對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)的主動(dòng)威脅。防火墻系統(tǒng)搭建在內(nèi)部網(wǎng)絡(luò)與外部公共Internet網(wǎng)絡(luò)之間,通過(guò)合理配置訪問(wèn)控制策略,管理Internet和內(nèi)部網(wǎng)絡(luò)之間的訪問(wèn)。其主要功能包括訪問(wèn)控制、信息過(guò)濾、流量分析和監(jiān)控、阻斷非法數(shù)據(jù)傳輸?shù)取F髽I(yè)在外部攻擊的頻度和攻擊流量非常嚴(yán)重的情況下,建議配置專用的DDOS防火墻。

4.2入侵檢測(cè)系統(tǒng)

入侵檢測(cè)系統(tǒng)(簡(jiǎn)稱“IDS”)是一種對(duì)網(wǎng)絡(luò)傳輸進(jìn)行即時(shí)監(jiān)視,在發(fā)現(xiàn)可疑傳輸時(shí)發(fā)出警報(bào)或者采取主動(dòng)反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。IDS是一種積極主動(dòng)的安全防護(hù)技術(shù),可以彌補(bǔ)防火墻相對(duì)靜態(tài)防御的不足,通過(guò)對(duì)來(lái)自外部網(wǎng)和內(nèi)部的各種行為進(jìn)行實(shí)時(shí)檢測(cè),及時(shí)發(fā)現(xiàn)未授權(quán)或異?,F(xiàn)象以及各種可能的攻擊企圖,記錄有關(guān)事件,以便網(wǎng)管員及時(shí)采取防范措施,為事后分析提供依據(jù)的依據(jù)。

4.3漏洞掃描系統(tǒng)

企業(yè)內(nèi)部部署漏洞掃描系統(tǒng),不間斷地對(duì)企業(yè)工作站、服務(wù)器、防火墻、交換機(jī)等進(jìn)行安全檢查,提供記錄有關(guān)漏洞的詳細(xì)信息和最佳解決對(duì)策,協(xié)助網(wǎng)管員及時(shí)發(fā)現(xiàn)和堵絕漏洞、降低風(fēng)險(xiǎn),防患于未然。

4.4網(wǎng)頁(yè)防篡改系統(tǒng)

網(wǎng)頁(yè)防篡改系統(tǒng)主要是防止企業(yè)對(duì)外Web遭受黑客的篡改,保證企業(yè)外部網(wǎng)站的正常運(yùn)行。防篡改系統(tǒng)利用先進(jìn)的Web服務(wù)器核心內(nèi)嵌技術(shù),將篡改檢測(cè)模塊(數(shù)字水印技術(shù))和應(yīng)用防護(hù)模塊(防注入攻擊)內(nèi)嵌于Web服務(wù)器內(nèi)部,并輔助以增強(qiáng)型事件觸發(fā)檢測(cè)技術(shù),不僅實(shí)現(xiàn)了對(duì)靜態(tài)網(wǎng)頁(yè)和腳本的實(shí)時(shí)檢測(cè)和恢復(fù),更可以保護(hù)數(shù)據(jù)庫(kù)中的動(dòng)態(tài)內(nèi)容免受來(lái)自于Web的攻擊和篡改,徹底解決網(wǎng)頁(yè)防篡改問(wèn)題。

4.5上網(wǎng)行為管理系統(tǒng)

上網(wǎng)行為管理系統(tǒng)主要部署在企業(yè)外部防火墻和內(nèi)部核心交換機(jī)之間,針對(duì)企業(yè)內(nèi)部員工訪問(wèn)Internet行為進(jìn)行集中管理與控制。其主要功能有:網(wǎng)頁(yè)過(guò)濾、應(yīng)用控制(IM聊天、P2P下載、在線娛樂(lè)、炒股軟件、論壇發(fā)帖等)、帶寬管理、內(nèi)容審計(jì)(郵件收發(fā)、論壇發(fā)帖、FTP、HTTP文件傳輸?shù)龋?、用戶管理、日志管理等功能?/p>

4.6內(nèi)網(wǎng)安全管理平臺(tái)

據(jù)FBI/CSI中國(guó)CNISTEC調(diào)查報(bào)告:來(lái)自企業(yè)外部威脅占20%,內(nèi)部威脅高達(dá)80%。針對(duì)大型企業(yè)日益復(fù)雜的內(nèi)部網(wǎng)絡(luò)環(huán)境以及基于企業(yè)保密管理的需求,必須構(gòu)造一套內(nèi)網(wǎng)安全管理平臺(tái),規(guī)范和管理內(nèi)部網(wǎng)絡(luò)環(huán)境,提高內(nèi)部網(wǎng)絡(luò)資源的可控性。其功能應(yīng)包括:用戶認(rèn)證與授權(quán)、IP與MAC綁定、網(wǎng)絡(luò)監(jiān)控、桌面監(jiān)控、安全域管理、 存儲(chǔ)介質(zhì)管理、補(bǔ)丁分發(fā)、文檔安全管理、資產(chǎn)管理、日志報(bào)表管理等。

4.7企業(yè)集中防病毒系統(tǒng)

在病毒肆虐的時(shí)代,反病毒已經(jīng)成為企業(yè)信息安全非常重要的一環(huán),企業(yè)網(wǎng)絡(luò)情況比較復(fù)雜,由于員工計(jì)算機(jī)水平大多不高,構(gòu)造一套完整的企業(yè)集中防病毒網(wǎng)絡(luò)系統(tǒng)平臺(tái),可以強(qiáng)化病毒防護(hù)系統(tǒng)的應(yīng)用策略和統(tǒng)一管理策略,并且使企業(yè)員工電腦的病毒庫(kù)及時(shí)得到更新,增強(qiáng)病毒防護(hù)有效性,降低病毒對(duì)安全帶來(lái)的威脅。

集中防病毒系統(tǒng)應(yīng)具有:集中管控、遠(yuǎn)程安裝、智能升級(jí)、遠(yuǎn)程報(bào)警、分布查殺等多種功能。

4.8建立健全企業(yè)安全管理組織體系及制度,加強(qiáng)企業(yè)信息安全意識(shí)

企業(yè)在建設(shè)信息網(wǎng)絡(luò)安全建設(shè)技術(shù)手段的同時(shí),更需要考慮管理的安全性,不斷完善企業(yè)信息安全制度。通過(guò)培訓(xùn),增強(qiáng)每個(gè)員工的安全意識(shí),為大中型企業(yè)信息安全管理奠定基礎(chǔ)。

隨著信息技術(shù)的發(fā)展,企業(yè)無(wú)線接入、電子商務(wù)交易、數(shù)字簽名、數(shù)字證書(shū)等安全管理也應(yīng)逐步納入企業(yè)信息安全體系范疇。

五、 結(jié)束語(yǔ)

目前,大中型企業(yè)信息進(jìn)程的深入和互聯(lián)網(wǎng)的快速發(fā)展,網(wǎng)絡(luò)化已經(jīng)成為企業(yè)信息化的發(fā)展大趨勢(shì),針對(duì)各種網(wǎng)絡(luò)應(yīng)用的攻擊和破壞方式也變得異常頻繁,信息化發(fā)展而來(lái)的網(wǎng)絡(luò)安全問(wèn)題日漸突出,網(wǎng)絡(luò)安全問(wèn)題已成為信息時(shí)代人類共同面臨的挑戰(zhàn),同時(shí),網(wǎng)絡(luò)信息安全是一個(gè)系統(tǒng)工程,涉及人員、硬軟件設(shè)備、資金、制度等因素,沒(méi)有絕對(duì)可靠的安全技術(shù),科學(xué)有效的管理可以彌補(bǔ)技術(shù)安全漏洞的缺陷。

參考文獻(xiàn):

[1]向宏,傅鸝,詹榜華 著  信息安全測(cè)評(píng)與風(fēng)險(xiǎn)評(píng)估 電子工業(yè)出版社  2009-01

[2]謝宗曉,郭立生 著  信息安全管理體系應(yīng)用手冊(cè)中國(guó)標(biāo)準(zhǔn)出版社  2008-10