導(dǎo)語(yǔ):在企業(yè)信息安全現(xiàn)狀的撰寫旅程中����,學(xué)習(xí)并吸收他人佳作的精髓是一條寶貴的路徑����,好期刊匯集了九篇優(yōu)秀范文,愿這些內(nèi)容能夠啟發(fā)您的創(chuàng)作靈感����,引領(lǐng)您探索更多的創(chuàng)作可能。
第1篇
【關(guān)鍵詞】煤礦 信息網(wǎng)絡(luò)信息系統(tǒng) 網(wǎng)絡(luò)安全
隨著信息技術(shù)����、網(wǎng)絡(luò)技術(shù)、自動(dòng)化技術(shù)����、視頻技術(shù)����、傳感器技術(shù)等一系列先進(jìn)技術(shù)的快速發(fā)展和融合����,煤礦企業(yè)信息網(wǎng)絡(luò)建設(shè)也取得了豐碩成果。目前國(guó)內(nèi)大����、中型煤礦企業(yè)基本上都已經(jīng)構(gòu)建和裝備了企業(yè)互聯(lián)網(wǎng)、工業(yè)以太網(wǎng)����、監(jiān)測(cè)監(jiān)控、人員定位����、工業(yè)控制等信息系統(tǒng),這些信息系統(tǒng)已經(jīng)深入到煤礦安全生產(chǎn)的方方面面����,而且很多工業(yè)系統(tǒng)自動(dòng)化程度非常的高,比如提升系統(tǒng)����、選煤系統(tǒng)等已經(jīng)實(shí)現(xiàn)了無(wú)人操作����,遠(yuǎn)程開停����、故障閉鎖等,操作人員只需要對(duì)運(yùn)行的參數(shù)進(jìn)行觀測(cè)和記錄����,大大提高了人員工作效率����、增強(qiáng)了企業(yè)的核心競(jìng)爭(zhēng)力。所以今天煤礦企業(yè)信息網(wǎng)安全就顯得尤為重要����,本文將就煤礦企業(yè)信息網(wǎng)絡(luò)安全現(xiàn)狀及重要性進(jìn)行分析和探究。
1 現(xiàn)狀分析
我國(guó)中����、大型煤礦企業(yè)建設(shè)和應(yīng)用了大量的信息系統(tǒng)和工業(yè)控制系統(tǒng),并且這些信息系統(tǒng)已經(jīng)深入到生產(chǎn)經(jīng)營(yíng)的方方面面����,促使煤礦企業(yè)從傳統(tǒng)的密集型����、重體力生產(chǎn)模式向“采掘機(jī)械化����、生產(chǎn)自動(dòng)化、管理信息化”模式轉(zhuǎn)變����,有力地提升了煤礦企業(yè)管理效率,加速了煤礦的企業(yè)轉(zhuǎn)型升級(jí)����。但是煤礦企業(yè)在信息網(wǎng)絡(luò)安全管理方面還存在諸多問(wèn)題:
1.1 企業(yè)管理人員對(duì)信息網(wǎng)絡(luò)安全的重要性認(rèn)識(shí)不足
主要表現(xiàn)在四點(diǎn),一是沒(méi)有建立完善的信息網(wǎng)絡(luò)組織體系����,相關(guān)的制度建立和落實(shí)不到位。二是企業(yè)大都沒(méi)有編制詳實(shí)可行的信息網(wǎng)絡(luò)安全預(yù)案����,也沒(méi)有進(jìn)行相關(guān)的應(yīng)急演練;三是信息網(wǎng)絡(luò)安全方面的投入比較少����,企業(yè)安全防護(hù)設(shè)施不全����;四是企業(yè)管理人員對(duì)于信息網(wǎng)絡(luò)安全的知識(shí)非常欠缺����,只注重信息系統(tǒng)具體應(yīng)用和預(yù)設(shè)功能,對(duì)于操作可能帶來(lái)的網(wǎng)絡(luò)威脅沒(méi)有防范意識(shí)����。
1.2 信息孤島與信息網(wǎng)絡(luò)安全之間的矛盾日益沖突
早期煤礦企業(yè)建設(shè)的信息系統(tǒng)和工業(yè)控制系統(tǒng)都是一個(gè)單一的個(gè)體,相互獨(dú)立����,之間沒(méi)有任何聯(lián)系����,隨著信息技術(shù)的發(fā)展和企業(yè)管控一體化進(jìn)程的不斷推進(jìn)?���!靶畔⒐聧u”的問(wèn)題得到了很大程度的解決,但同時(shí)產(chǎn)生的信息網(wǎng)絡(luò)安全問(wèn)題也日益突出����?���!靶畔⒐聧u”的消除依賴網(wǎng)絡(luò)的廣泛應(yīng)用����,而網(wǎng)絡(luò)正是信息安全的薄弱環(huán)節(jié)。消除“信息孤島”勢(shì)必使工業(yè)控制系統(tǒng)增加大量的對(duì)外聯(lián)系通道����,這使得信息網(wǎng)絡(luò)安全面臨更加復(fù)雜的環(huán)境,安全保障的難度大大增加����。
1.3 信息安全管理人員信息安全知識(shí)和技能不足,主要依靠外部安全服務(wù)公司的力量
主要原因有三點(diǎn):
(1)煤礦企業(yè)地處偏遠(yuǎn)山區(qū)����、工作環(huán)境和生活環(huán)境相對(duì)都比較差,很難招聘到高科技人才����,即是招到人也很難留下來(lái)。
(2)企業(yè)以煤炭生產(chǎn)、加工����、銷售為主業(yè),信息技術(shù)人才發(fā)展空間小����、大多數(shù)人員都只是從事信息維修工和桌面支持之類的工作。
(3)信息安全管理人員長(zhǎng)期得不到培訓(xùn)和學(xué)習(xí)的機(jī)會(huì)����,信息技術(shù)知識(shí)的儲(chǔ)備量有限、業(yè)務(wù)水平處在較低的一個(gè)水平����,所以只能依靠外部安全服務(wù)公司。
1.4 信息網(wǎng)絡(luò)安全防護(hù)設(shè)備利用率低����,很難發(fā)揮應(yīng)有的功能
煤礦企業(yè)在信息網(wǎng)絡(luò)建設(shè)初期都會(huì)做網(wǎng)絡(luò)安全方面的布置,比如在網(wǎng)絡(luò)邊界架設(shè)防火墻����、入侵檢測(cè)設(shè)備����,在內(nèi)部部署殺毒軟件����,形成了軟硬件相結(jié)合的防御模式����,可是很多企業(yè)的防火墻和入侵檢測(cè)設(shè)備從安裝到被替換可能從來(lái)都沒(méi)有做過(guò)配置更新,和漏洞修復(fù)����、打補(bǔ)丁之類的操作,大多數(shù)的員工電腦也從不安裝殺毒軟件����,這就做法無(wú)形中弱化了我們防御的盾牌和進(jìn)攻的長(zhǎng)矛,使網(wǎng)絡(luò)安全防護(hù)設(shè)備長(zhǎng)期處于半“休眠”狀態(tài)����。
2 重要性
“沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全”,在浙江烏鎮(zhèn)世界互聯(lián)網(wǎng)大會(huì)上提出的網(wǎng)絡(luò)安全觀����,足以證明網(wǎng)絡(luò)安全對(duì)于國(guó)家的重要性。那么同樣對(duì)于現(xiàn)今充分利用信息網(wǎng)絡(luò)和工業(yè)控制系統(tǒng)的現(xiàn)代化煤礦企業(yè)來(lái)說(shuō)����,如果沒(méi)有足夠的信息網(wǎng)絡(luò)安全也就沒(méi)有企業(yè)的安全生產(chǎn)����。信息技術(shù)是一把“雙刃劍”����,它改變了企業(yè)的生產(chǎn)方式,優(yōu)化了企業(yè)的管理流程����,提高了企業(yè)管理效率,可是同樣卻又不得不將企業(yè)置身于互聯(lián)網(wǎng)之中����。互聯(lián)網(wǎng)是一個(gè)“超領(lǐng)土”存在的虛擬空間,存在各種潛在的威脅,比如利用木馬�����、病毒�����、遠(yuǎn)程攻擊、控制等方式,泄露企業(yè)的商業(yè)機(jī)密�����、修改控制系統(tǒng)指令�����、攻陷服務(wù)器�����、盜取個(gè)人信息等�����,這些都有可能對(duì)企業(yè)造成嚴(yán)重安全事故和經(jīng)濟(jì)損失�����。這些還只是企業(yè)內(nèi)部的損失�����,很多大�����、中型煤礦企業(yè)為了提升企業(yè)管理效率都開通與集團(tuán)公司之間的專線VPN,承載了很多應(yīng)用服務(wù)包括協(xié)同OA�����、生產(chǎn)調(diào)度�����、銷售等等的數(shù)據(jù)都要進(jìn)行通信�����,如果信息網(wǎng)絡(luò)安全受到攻擊癱瘓�����,都會(huì)對(duì)企業(yè)的生產(chǎn)經(jīng)營(yíng)造成影響�����,更有甚者可能通過(guò)煤礦企業(yè)本地發(fā)起攻擊�����,致使整個(gè)集團(tuán)的信息網(wǎng)絡(luò)受到嚴(yán)重威脅,所以煤礦企業(yè)管理人員一定要樹立正確的信息網(wǎng)絡(luò)安全觀�����,充分認(rèn)知信息網(wǎng)絡(luò)安全的重要性�����,加快構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系�����,增強(qiáng)企業(yè)信息網(wǎng)絡(luò)安全的防御能力�����。
3 總結(jié)
總之�����,信息網(wǎng)絡(luò)技術(shù)發(fā)展的今天�����,信息網(wǎng)絡(luò)安全已經(jīng)是每一個(gè)煤礦企業(yè)必須面對(duì)和正視的問(wèn)題�����,也是每一個(gè)企業(yè)管理者應(yīng)該積極參與和考慮的問(wèn)題�����。古人云“知己知彼 百戰(zhàn)不殆”�����,煤礦企業(yè)應(yīng)該立即行動(dòng)起來(lái)�����,通過(guò)開展關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全檢查�����,準(zhǔn)確掌握企業(yè)關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全狀況�����,詳細(xì)評(píng)估企業(yè)所面R的網(wǎng)絡(luò)安全威脅�����,制定對(duì)應(yīng)的防范措施,構(gòu)建企業(yè)信息網(wǎng)絡(luò)安全的“防火墻”�����,為企業(yè)安全生產(chǎn)經(jīng)營(yíng)�����、職工娛樂(lè)生活營(yíng)造一個(gè)安全�����、穩(wěn)定�����、健康的網(wǎng)絡(luò)環(huán)境�����。
參考文獻(xiàn)
[1]陳龍.煤炭企業(yè)網(wǎng)絡(luò)安全建設(shè)與管理探究[J].煤炭技術(shù)�����,2013.
[2]劉永軍.關(guān)于煤炭網(wǎng)絡(luò)信息安全問(wèn)題分析及對(duì)策研究[J].科技創(chuàng)新與應(yīng)用�����,2014.
第2篇
關(guān)鍵詞:企業(yè)信息化�����;信息安全管理體系�����;信息安全保障
1 企業(yè)信息安全需求與目標(biāo)
近年來(lái)隨著企業(yè)信息系統(tǒng)建設(shè)的不斷發(fā)展�����,企業(yè)的信息化安全也面臨著前所未有的挑戰(zhàn)�����。作為中國(guó)高速列車產(chǎn)業(yè)化制造基地和城軌地鐵車輛定點(diǎn)制造企業(yè)�����,公司的發(fā)展對(duì)高速動(dòng)車行業(yè)產(chǎn)生著舉足輕重的作用�����;從企業(yè)信息安全現(xiàn)狀分析,公司IT部門主管深深意識(shí)到�����,盡管從自身情況來(lái)看�����,在信息安全方面已經(jīng)做了很多工作�����,如部署了防火墻�����、SSL VPN�����、入侵檢測(cè)系統(tǒng)�����、入侵防御系統(tǒng)�����、防病毒系統(tǒng)�����、文檔加密�����、終端安全管理系統(tǒng)等�����。但是安全系統(tǒng)更多的在于防堵來(lái)自某個(gè)方面的安全威脅�����,無(wú)法產(chǎn)生協(xié)同效應(yīng)�����,距離國(guó)際同行業(yè)企業(yè)還存在一定的差距�����。
公司通過(guò)可行性研究及論證,決定借助外力�����,通過(guò)知名的咨詢公司協(xié)助企業(yè)發(fā)現(xiàn)存在的信息安全不足點(diǎn)�����,以科研項(xiàng)目方式�����,通過(guò)研究國(guó)家安全標(biāo)準(zhǔn)體系及國(guó)家對(duì)央企和上市企業(yè)的信息化安全要求�����,分析企業(yè)目前的現(xiàn)狀和國(guó)際標(biāo)準(zhǔn)ISO27001之間的差距�����,繼而完善企業(yè)信息安全體系的規(guī)劃與設(shè)計(jì)�����,最終建立一套適合企業(yè)現(xiàn)狀的信息安全標(biāo)準(zhǔn)和管理體系�����。目標(biāo)是使公司信息安全從管理到技術(shù)均得到全面加強(qiáng)�����,建立一個(gè)有責(zé)(職責(zé))�����、有序(秩序)�����、有效(效率)的信息安全管理體系�����,預(yù)防信息安全事件的發(fā)生�����,確保更小的業(yè)務(wù)損失�����,提供客戶滿意度,獲取更多的管理支持�����。在行業(yè)內(nèi)樹立標(biāo)桿和示范�����,提升企業(yè)形象�����,贏取客戶信任�����,增強(qiáng)競(jìng)爭(zhēng)力�����。同時(shí)�����,使信息安全體系通過(guò)信息安全管理體系通過(guò)ISO 27001認(rèn)證標(biāo)準(zhǔn)�����。
2 企業(yè)信息安全管理體系建設(shè)過(guò)程
凡事預(yù)則立�����,不預(yù)則廢�����。對(duì)于信息安全管理建設(shè)的工作也先由計(jì)劃開始�����。信息安全管理體系建設(shè)分為四個(gè)階段:實(shí)施安全風(fēng)險(xiǎn)評(píng)估�����、規(guī)劃體系建設(shè)方案�����、建立信息安全管理體系�����、體系運(yùn)行及改進(jìn)。也符合信息安全管理循環(huán)PDCA(Plan-Do-Check-Action)模型及ISO27001要求�����,即有效地保護(hù)企業(yè)信息系統(tǒng)的安全�����,確保信息安全的持續(xù)發(fā)展�����。本文結(jié)合作者經(jīng)驗(yàn)�����,重點(diǎn)論述上述幾個(gè)方面的內(nèi)容�����。
2.1 確立范圍
首先是確立項(xiàng)目范圍�����,從機(jī)構(gòu)層次及系統(tǒng)層次兩個(gè)維度進(jìn)行范圍的劃分�����。從機(jī)構(gòu)層次上�����,可以考慮內(nèi)部機(jī)構(gòu):需要覆蓋公司的各個(gè)部門�����,其包括總部�����、事業(yè)部�����、制造本部�����、技術(shù)本部等;外部機(jī)構(gòu):則包括公司信息系統(tǒng)相連的外部機(jī)構(gòu)�����,包括供應(yīng)商�����、中間業(yè)務(wù)合作伙伴�����、及其他合作伙伴等�����。
從系統(tǒng)層次上�����,可按照物理環(huán)境:即支撐信息系統(tǒng)的場(chǎng)所�����、所處的周邊環(huán)境以及場(chǎng)所內(nèi)保障計(jì)算機(jī)系統(tǒng)正常運(yùn)行的設(shè)施�����。包括機(jī)房環(huán)境、門禁�����、監(jiān)控等�����;網(wǎng)絡(luò)系統(tǒng):構(gòu)成信息系統(tǒng)網(wǎng)絡(luò)傳輸環(huán)境的線路介質(zhì)�����,設(shè)備和軟件�����;服務(wù)器平臺(tái)系統(tǒng):支撐所有信息系統(tǒng)的服務(wù)器�����、網(wǎng)絡(luò)設(shè)備�����、客戶機(jī)及其操作系統(tǒng)�����、數(shù)據(jù)庫(kù)�����、中間件和Web系統(tǒng)等軟件平臺(tái)系統(tǒng)�����;應(yīng)用系統(tǒng):支撐業(yè)務(wù)�����、辦公和管理應(yīng)用的應(yīng)用系統(tǒng)�����;數(shù)據(jù):整個(gè)信息系統(tǒng)中傳輸以及存儲(chǔ)的數(shù)據(jù)�����;安全管理:包括安全策略�����、規(guī)章制度、人員組織�����、開發(fā)安全�����、項(xiàng)目安全管理和系統(tǒng)管理人員在日常運(yùn)維過(guò)程中的安全合規(guī)�����、安全審計(jì)等�����。
2.2 安全風(fēng)險(xiǎn)評(píng)估
企業(yè)信息安全是指保障企業(yè)業(yè)務(wù)系統(tǒng)不被非法訪問(wèn)�����、利用和篡改�����,為企業(yè)員工提供安全�����、可信的服務(wù)�����,保證信息系統(tǒng)的可用性�����、完整性和保密性�����。
本次進(jìn)行的安全評(píng)估�����,主要包括兩方面的內(nèi)容:
2.2.1 企業(yè)安全管理類的評(píng)估
通過(guò)企業(yè)的安全控制現(xiàn)狀調(diào)查�����、訪談�����、文檔研讀和ISO27001的最佳實(shí)踐比對(duì),以及在行業(yè)的經(jīng)驗(yàn)上進(jìn)行“差距分析”�����,檢查企業(yè)在安全控制層面上存在的弱點(diǎn)�����,從而為安全措施的選擇提供依據(jù)�����。
評(píng)估內(nèi)容包括ISO27001所涵蓋的與信息安全管理體系相關(guān)的11個(gè)方面�����,包括信息安全策略�����、安全組織�����、資產(chǎn)分類與控制�����、人員安全�����、物理和環(huán)境安全�����、通信和操作管理�����、訪問(wèn)控制�����、系統(tǒng)開發(fā)與維護(hù)�����、安全事件管理�����、業(yè)務(wù)連續(xù)性管理、符合性�����。
2.2.2 企業(yè)安全技術(shù)類評(píng)估
基于資產(chǎn)安全等級(jí)的分類�����,通過(guò)對(duì)信息設(shè)備進(jìn)行的安全掃描�����、安全設(shè)備的配置�����,檢查分析現(xiàn)有網(wǎng)絡(luò)設(shè)備�����、服務(wù)器系統(tǒng)�����、終端�����、網(wǎng)絡(luò)安全架構(gòu)的安全現(xiàn)狀和存在的弱點(diǎn)�����,為安全加固提供依據(jù)�����。
針對(duì)企業(yè)具有代表性的關(guān)鍵應(yīng)用進(jìn)行安全評(píng)估�����。關(guān)鍵應(yīng)用的評(píng)估方式采用滲透測(cè)試的方法�����,在應(yīng)用評(píng)估中將對(duì)應(yīng)用系統(tǒng)的威脅�����、弱點(diǎn)進(jìn)行識(shí)別,分析其和應(yīng)用系統(tǒng)的安全目標(biāo)之間的差距�����,為后期改造提供依據(jù)�����。
提到安全評(píng)估�����,一定要有方法論�����。我們以ISO27001為核心�����,并借鑒國(guó)際常用的幾種評(píng)估模型的優(yōu)點(diǎn)�����,同時(shí)結(jié)合企業(yè)自身的特點(diǎn)�����,建立風(fēng)險(xiǎn)評(píng)估模型:
在風(fēng)險(xiǎn)評(píng)估模型中�����,主要包含信息資產(chǎn)�����、弱點(diǎn)�����、威脅和風(fēng)險(xiǎn)四個(gè)要素�����。每個(gè)要素有各自的屬性�����,信息資產(chǎn)的屬性是資產(chǎn)價(jià)值�����,弱點(diǎn)的屬性是弱點(diǎn)在現(xiàn)有控制措施的保護(hù)下,被威脅利用的可能性以及被威脅利用后對(duì)資產(chǎn)帶來(lái)影響的嚴(yán)重程度�����,威脅的屬性是威脅發(fā)生的可能性及其危害的嚴(yán)重程度�����,風(fēng)險(xiǎn)的屬性是風(fēng)險(xiǎn)級(jí)別的高低�����。風(fēng)險(xiǎn)評(píng)估采用定性的風(fēng)險(xiǎn)評(píng)估方法�����,通過(guò)分級(jí)別的方式進(jìn)行賦值�����。
2.3 規(guī)劃體系建設(shè)方案
企業(yè)信息安全問(wèn)題根源分布在技術(shù)�����、人員和管理等多個(gè)層面�����,須統(tǒng)一規(guī)劃并建立企業(yè)信息安全體系�����,并最終落實(shí)到管理措施和技術(shù)措施�����,才能確保信息安全�����。
規(guī)劃體系建設(shè)方案是在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上�����,對(duì)企業(yè)中存在的安全風(fēng)險(xiǎn)提出安全建議�����,增強(qiáng)系統(tǒng)的安全性和抗攻擊性�����。
在未來(lái)1-2年內(nèi)通過(guò)信息安全體系制的建立與實(shí)施,建立安全組織�����,技術(shù)上進(jìn)行安全審計(jì)�����、內(nèi)外網(wǎng)隔離的改造�����、安全產(chǎn)品的部署�����,實(shí)現(xiàn)以流程為導(dǎo)向的轉(zhuǎn)型�����。在未來(lái)的 3-5 年內(nèi)�����,通過(guò)完善的信息安全體系和相應(yīng)的物理環(huán)境改造和業(yè)務(wù)連續(xù)性項(xiàng)目的建設(shè)�����,將企業(yè)建設(shè)成為一個(gè)注重管理,預(yù)防為主�����,防治結(jié)合的先進(jìn)型企業(yè)�����。
2.4 企業(yè)信息安全體系建設(shè)
企業(yè)信息安全體系建立在信息安全模型與企業(yè)信息化的基礎(chǔ)上�����,建立信息安全管理體系核心可以更好的發(fā)揮六方面的能力:即預(yù)警(Warn)�����、保護(hù)(Protect)�����、檢測(cè)(Detect)�����、反應(yīng)(Response)�����、恢復(fù)(Recover)和反擊(Counter-attack)�����,體系應(yīng)該兼顧攘外和安內(nèi)的功能�����。
安全體系的建設(shè)一是涉及安全管理制度建設(shè)完善�����;二是涉及到信息安全技術(shù)�����。首先�����,針對(duì)安全管理制度涉及的主要內(nèi)容包括企業(yè)信息系統(tǒng)的總體安全方針、安全技術(shù)策略和安全管理策略等�����。安全總體方針涉及安全組織機(jī)構(gòu)�����、安全管理制度�����、人員安全管理�����、安全運(yùn)行維護(hù)等方面的安全制度�����。安全技術(shù)策略涉及信息域的劃分�����、業(yè)務(wù)應(yīng)用的安全等級(jí)�����、安全保護(hù)思路�����、說(shuō)以及進(jìn)一步的統(tǒng)一管理�����、系統(tǒng)分級(jí)�����、網(wǎng)絡(luò)互聯(lián)�����、容災(zāi)備份�����、集中監(jiān)控等方面的要求�����。
其次,信息安全技術(shù)按其所在的信息系統(tǒng)層次可劃分為物理安全技術(shù)�����、網(wǎng)絡(luò)安全技術(shù)�����、系統(tǒng)安全技術(shù)�����、應(yīng)用安全技術(shù)�����,以及安全基礎(chǔ)設(shè)施平臺(tái)�����;同時(shí)按照安全技術(shù)所提供的功能又可劃分為預(yù)防保護(hù)類�����、檢測(cè)跟蹤類和響應(yīng)恢復(fù)類三大類技術(shù)�����。結(jié)合主流的安全技術(shù)以及未來(lái)信息系統(tǒng)發(fā)展的要求�����,規(guī)劃信息安全技術(shù)包括:
2.5 體系運(yùn)行及改進(jìn)
信息安全管理體系文件編制完成以后�����,由公司企劃部門組織按照文件的控制要求進(jìn)行審核�����。結(jié)合公司實(shí)際�����,在體系文件編制階段�����,將該標(biāo)準(zhǔn)與公司的現(xiàn)有其他體系�����,如質(zhì)量、環(huán)境保護(hù)等體系文件�����,改歸并的歸并�����。該修訂審核的再繼續(xù)修訂審核�����。最終歷經(jīng)幾個(gè)月的努力�����,批準(zhǔn)并實(shí)施了信息安全管理系統(tǒng)的文檔�����。至此�����,信息安全管理體系將進(jìn)入運(yùn)行階段�����。
有人說(shuō)�����,信息系統(tǒng)的成功靠的是“三分技術(shù)�����,七分管理�����,十二分執(zhí)行”�����?����!皥?zhí)行”是要需要在實(shí)踐中去體會(huì)�����、總結(jié)與提高。對(duì)于信息系統(tǒng)安全管理體系建設(shè)更是如此�����!在此期間�����,以IT部門牽頭�����,加強(qiáng)宣傳力度�����,組織了若干次不同層面的宣導(dǎo)培訓(xùn)�����,充分發(fā)揮體系本身的各項(xiàng)功能�����,及時(shí)發(fā)現(xiàn)存在的問(wèn)題�����,找出問(wèn)題根源�����,采取糾正措施�����,并按照更改控制程序要求對(duì)體系予以更改�����,以達(dá)到進(jìn)一步完善信息安全管理體系的目的�����。
3 總結(jié)
總結(jié)項(xiàng)目�����,建立健全的信息安全管理制度是進(jìn)行安全管理的基礎(chǔ)�����。當(dāng)然,體系建設(shè)過(guò)程中還存在不足�����,如崗位原有職責(zé)與現(xiàn)有安全職責(zé)的界定�����,員工的認(rèn)知及接受程度還有待提高�����,體系在各部門領(lǐng)導(dǎo)重視程度�����、執(zhí)行力度�����、審核效果存在差距等等�����。最終,在公司各部門的共同努力下�����,體系經(jīng)歷了來(lái)自國(guó)際知名品牌認(rèn)證公司DNV及中國(guó)認(rèn)可委(CNAS)的雙重檢驗(yàn)�����,并通過(guò)嚴(yán)格的體系審核�����。確認(rèn)了公司在信息安全管理體系達(dá)到國(guó)內(nèi)和國(guó)際信息安全管理標(biāo)準(zhǔn)�����,提升公司信息安全管理的水平�����,從而為企業(yè)向國(guó)際化發(fā)展與合作提供有力支撐�����。
[參考文獻(xiàn)]
[1]沈昌祥.《信息系統(tǒng)安全導(dǎo)論》.電子工業(yè)出版社�����,2003.7.
第3篇
隨著企業(yè)信息化水平的提升�����,大多數(shù)企業(yè)在信息安全建設(shè)上逐步添加了上網(wǎng)行為管理�����、內(nèi)網(wǎng)安全管理等新的安全設(shè)備�����,但信息安全防護(hù)理念還停留在防的階段�����,信息安全策略都是在安全事件發(fā)生后再補(bǔ)救�����,導(dǎo)致了企業(yè)信息防范的主動(dòng)性和意識(shí)不高�����,信息安全防護(hù)水平已經(jīng)越來(lái)越不適應(yīng)當(dāng)今企業(yè)IT運(yùn)維環(huán)境和企業(yè)發(fā)展的需求。
2企業(yè)信息系統(tǒng)安全防護(hù)的構(gòu)建原則
企業(yè)信息化安全建設(shè)的目標(biāo)是在保障企業(yè)數(shù)字化成果的安全性和可靠性�����。在構(gòu)建企業(yè)信息安全體系時(shí)應(yīng)該遵循以下幾個(gè)原則:
2.1建立企業(yè)完善的信息化安全管理體系
企業(yè)信息安全管理體系首先要建立完善的組織架構(gòu)�����、制定信息安全管理規(guī)范�����,來(lái)保障信息安全制度的落實(shí)以及企業(yè)信息化安全體系的不斷完善�����?����;酒髽I(yè)信息安全管理過(guò)程包括:分析企業(yè)數(shù)字化資產(chǎn)評(píng)估和風(fēng)險(xiǎn)分析�����、規(guī)劃信息系統(tǒng)動(dòng)態(tài)安全模型�����、建立可靠嚴(yán)謹(jǐn)?shù)膱?zhí)行策略�����、選用安全可靠的的防護(hù)產(chǎn)品等�����。
2.2提高企業(yè)員工自身的信息安全防范意識(shí)
在企業(yè)信息化系統(tǒng)安全管理中�����,防護(hù)設(shè)備和防護(hù)策略只是其中的一部分�����,企業(yè)員工的行為也是維護(hù)企業(yè)數(shù)字化成果不可忽略的組成�����。所以企業(yè)在實(shí)施信息化安全管理時(shí)�����,絕對(duì)不能忽視對(duì)人的行為規(guī)范和績(jī)效管理。在企業(yè)實(shí)施企業(yè)信息安全前�����,應(yīng)制定企業(yè)員工信息安全行為規(guī)范�����,有效地實(shí)現(xiàn)企業(yè)信息系統(tǒng)和數(shù)字化成果的安全�����、可靠�����、穩(wěn)定運(yùn)行�����,保證企業(yè)信息安全�����。其次階段遞進(jìn)的培訓(xùn)信息安全人才也是保障企業(yè)數(shù)字化成果的重要措施�����。企業(yè)對(duì)員工進(jìn)行逐次的安全培訓(xùn)�����,強(qiáng)化企業(yè)員工對(duì)信息安全的概念�����,提升員工的安全意識(shí)�����。使員工的行為符合整個(gè)企業(yè)信息安全的防范要求�����。
2.3及時(shí)優(yōu)化更新企業(yè)信息安全防護(hù)技術(shù)
當(dāng)企業(yè)對(duì)自身信息安全做出了一套整體完善的防護(hù)規(guī)劃時(shí)�����,就應(yīng)當(dāng)考慮采用何種安全防護(hù)技術(shù)來(lái)支撐整個(gè)信息安全防護(hù)體系�����。對(duì)于安全防護(hù)技術(shù)來(lái)說(shuō)可以分為身份識(shí)別、網(wǎng)絡(luò)隔離�����、網(wǎng)絡(luò)安全掃描�����、實(shí)時(shí)監(jiān)控與入侵發(fā)現(xiàn)�����、安全備份恢復(fù)等�����。比如身份識(shí)別的目的在于防止非企業(yè)人員訪問(wèn)企業(yè)資源�����,并且可以根據(jù)員工級(jí)別分配人員訪問(wèn)權(quán)限�����,達(dá)到企業(yè)敏感信息的安全保障�����。
3企業(yè)信息安全體系部署的建議
根據(jù)企業(yè)信息安全建設(shè)架構(gòu)�����,在滿足終端安全�����、網(wǎng)絡(luò)安全�����、應(yīng)用安全�����、數(shù)據(jù)安全等安全防護(hù)體系時(shí)�����,我們需要重點(diǎn)關(guān)注以下幾個(gè)方面:
3.1實(shí)施終端安全�����,規(guī)范終端用戶行為
在企業(yè)信息安全事件中,數(shù)字化成果泄漏是屬于危害最為嚴(yán)重的一種行為�����。企業(yè)信息安全體系建立前�����,企業(yè)員工對(duì)自己的個(gè)人行為不規(guī)范�����,造成了員工可以通過(guò)很多方式實(shí)現(xiàn)信息外漏�����。比如通過(guò)U盤等存儲(chǔ)介質(zhì)拷貝或者通過(guò)聊天軟件傳遞企業(yè)的核心數(shù)字化成果�����。對(duì)于這類高危的行為�����,我們?cè)诮ㄔO(shè)安全防護(hù)體系時(shí)�����,僅僅靠上網(wǎng)行為管理控制是不能完全杜絕的�����。應(yīng)該當(dāng)用戶接入企業(yè)信息化平臺(tái)前�����,就對(duì)用戶的終端系統(tǒng)進(jìn)行安全規(guī)范檢查�����,符合企業(yè)制定的終端安全要求后再接入企業(yè)內(nèi)網(wǎng)�����。同時(shí)配合上網(wǎng)行為管理的策略對(duì)員工的上網(wǎng)行為進(jìn)行審計(jì)�����,使得企業(yè)員工的操作行為符合企業(yè)制定的上網(wǎng)行為規(guī)范�����,從終端用戶提升企業(yè)的防護(hù)水平。
3.2建設(shè)安全完善的VPN接入平臺(tái)
企業(yè)在信息化建設(shè)中�����,考慮總部和分支機(jī)構(gòu)的信息化需要�����,必然會(huì)采用VPN方式來(lái)解決企業(yè)的需求�����。不論是采用SSLVPN還是IPSecVPN�����,VPN加密傳輸都是通用的選擇�����。對(duì)于分支機(jī)構(gòu)可以考慮專用的VPN設(shè)備和總部進(jìn)行IPSec連接�����,這種方式更安全可靠穩(wěn)定。對(duì)于移動(dòng)終端的接入可以考慮SSLVPN方式�����。在這種情況下�����,就必須做好對(duì)于移動(dòng)終端的身份認(rèn)證識(shí)別�����。其實(shí)我們?cè)谠O(shè)備采購(gòu)時(shí)�����,可以要求設(shè)備商做好多種接入方式的需求�����,并且?guī)椭髽I(yè)搭建認(rèn)證方式�����。這將有利于企業(yè)日常維護(hù)�����,提升企業(yè)信息系統(tǒng)的VPN接入水平�����。
3.3優(yōu)化企業(yè)網(wǎng)絡(luò)的隔離性和控制性
在規(guī)劃企業(yè)網(wǎng)絡(luò)安全邊際時(shí)�����,要面對(duì)多個(gè)部門和分支結(jié)構(gòu)�����,合理的規(guī)劃安全網(wǎng)絡(luò)邊際將是關(guān)鍵�����。企業(yè)的網(wǎng)絡(luò)體系可以分為:物理層�����;數(shù)據(jù)鏈路層�����;網(wǎng)絡(luò)層;傳輸層�����;會(huì)話層�����;表示層�����;應(yīng)用層�����。各體系之間的相互隔離和訪問(wèn)策略是防止企業(yè)信息安全風(fēng)險(xiǎn)的重要環(huán)節(jié)�����。在企業(yè)多樣化網(wǎng)絡(luò)環(huán)境的背景下�����,根據(jù)企業(yè)安全優(yōu)先級(jí)及面臨的風(fēng)險(xiǎn)程度�����,做出適合企業(yè)信息安全的防護(hù)策略和訪問(wèn)控制策略�����。根據(jù)相應(yīng)防護(hù)設(shè)備進(jìn)行深層次的安全防護(hù)�����,真正實(shí)現(xiàn)OSI的L2~L7層的安全防護(hù)�����。
3.4實(shí)現(xiàn)企業(yè)信息安全防護(hù)體系的統(tǒng)一管理
為企業(yè)信息安全構(gòu)建統(tǒng)一的安全防護(hù)體系�����,重要的優(yōu)勢(shì)就是能實(shí)現(xiàn)對(duì)全網(wǎng)安全設(shè)備及安全事件的統(tǒng)一管理�����,做到對(duì)整個(gè)網(wǎng)絡(luò)安全事件的“可視�����、可控和可管”。企業(yè)采購(gòu)的各種安全設(shè)備工作時(shí)會(huì)產(chǎn)生大量的安全日志�����,如果單靠相關(guān)人員的識(shí)別日志既費(fèi)時(shí)效率又低�����。而且不同安全廠商的日志報(bào)表還存在很大差異�����。所以當(dāng)安全事件發(fā)生時(shí)�����,企業(yè)管理員很難實(shí)現(xiàn)對(duì)信息安全的統(tǒng)一分析和管理�����。所以在企業(yè)在構(gòu)建信息安全體系時(shí)�����,就必須要考慮安全設(shè)備日志之間的統(tǒng)一化�����,設(shè)定相應(yīng)的訪問(wèn)控制和安全策略實(shí)現(xiàn)日志的歸類分析�����。這樣才能做到對(duì)全網(wǎng)安全事件的“可視�����、可控和可管”�����。
4結(jié)束語(yǔ)
第4篇
關(guān)鍵詞:信息安全�����;影響因素�����;管理措施
中圖分類號(hào):TP393.08
信息技術(shù)的飛速發(fā)展在給社會(huì)經(jīng)濟(jì)帶來(lái)巨大便利性的同時(shí)�����,也帶來(lái)了巨大的風(fēng)險(xiǎn),信息的安全已成為國(guó)際社會(huì)經(jīng)濟(jì)發(fā)展亟待解決的問(wèn)題?����,F(xiàn)代企業(yè)在日常業(yè)務(wù)運(yùn)營(yíng)�����、行政管理�����、檔案管理�����、數(shù)據(jù)交換等方面都離不開信息網(wǎng)絡(luò)技術(shù)�����,然而�����,部分企業(yè)對(duì)自身信息安全的不重視以及在管理機(jī)制上的欠缺�����,致使社會(huì)重大信息安全事故頻發(fā)�����,給社會(huì)與企業(yè)帶來(lái)了不可估量的損失及危害�����。當(dāng)然�����,企業(yè)的信息安全是一項(xiàng)艱巨的工作�����,它涉及到企業(yè)組織結(jié)構(gòu)的各個(gè)方面�����,是一項(xiàng)系統(tǒng)的工程�����,無(wú)論是網(wǎng)絡(luò)技術(shù)還是管理組織體系,或者企業(yè)信息硬件設(shè)備�����,都會(huì)影響到企業(yè)信息的安全�����,要保障企業(yè)信息的安全�����,就必須從信息技術(shù)安全以及信息管理制度兩大方面入手�����,不斷完善信息保密措施�����,如此�����,方可有效控制企業(yè)信息泄露�����。
1 企業(yè)信息安全風(fēng)險(xiǎn)的現(xiàn)狀
企業(yè)在信息化建設(shè)的過(guò)程中�����,對(duì)信息安全的理解與重視并不相同�����,部分企業(yè)的對(duì)自身信息安全的防護(hù)級(jí)別較低�����,難以有效抵御外部信息竊取以及內(nèi)部泄密�����。當(dāng)前�����,我國(guó)企業(yè)在信息安全建設(shè)中主要存在如下三個(gè)問(wèn)題:
1.1 企業(yè)信息安全管理機(jī)制不健全�����。信息安全是一個(gè)全新的領(lǐng)域,在過(guò)去�����,企業(yè)管理者對(duì)于自身信息的安全并沒(méi)有高度重視�����,而在現(xiàn)代社會(huì)中�����,企業(yè)之間的競(jìng)爭(zhēng)越來(lái)越激烈�����,任何有價(jià)值的信息泄露都可能會(huì)造成企業(yè)的重大損失�����,甚至破產(chǎn)倒閉�����,這也使得企業(yè)管理者不得不重視信息安全問(wèn)題�����。然而�����,在社會(huì)法律法規(guī)�����、技術(shù)監(jiān)管�����、安全標(biāo)準(zhǔn)等方面還存在諸多的不完善之處�����,同時(shí)�����,由于企業(yè)信息管理是一個(gè)不斷發(fā)展的動(dòng)態(tài)過(guò)程�����,企業(yè)的網(wǎng)絡(luò)安全軟硬件技術(shù)、管理人員的保密意識(shí)以及對(duì)商業(yè)間諜的防范措施等都會(huì)影響到企業(yè)的信息安全�����。從總體上來(lái)講�����,信息安全管理機(jī)制的缺失是企業(yè)信息安全面臨的最大問(wèn)題�����。
1.2 企業(yè)信息安全技術(shù)不足�����。信息安全是當(dāng)前社會(huì)共同面臨的重大問(wèn)題�����,企業(yè)的信息系統(tǒng)構(gòu)建離不開計(jì)算機(jī)系統(tǒng)以及網(wǎng)絡(luò)系統(tǒng)的支持�����,而通過(guò)網(wǎng)絡(luò)傳播的數(shù)據(jù)將面臨極大的技術(shù)風(fēng)險(xiǎn)。現(xiàn)代信息安全技術(shù)是以密碼技術(shù)�����、病毒技術(shù)�����、數(shù)據(jù)恢復(fù)技術(shù)�����、操作系統(tǒng)維護(hù)技術(shù)�����、數(shù)據(jù)庫(kù)技術(shù)以及網(wǎng)絡(luò)技術(shù)等所組成的系統(tǒng)技術(shù)�����。而由于企業(yè)對(duì)相關(guān)技術(shù)的認(rèn)識(shí)和技術(shù)管理人才培養(yǎng)的局限性�����,導(dǎo)致在計(jì)算機(jī)信息應(yīng)用過(guò)程中難免會(huì)出現(xiàn)一些漏洞缺陷�����。另外�����,在面對(duì)外部信息竊取攻擊行為時(shí)�����,部分安全技術(shù)管理人員防范能力較弱�����,不能從根本上抵御黑客的攻擊�����,這就導(dǎo)致企業(yè)的信息安全完面臨嚴(yán)重的泄密危險(xiǎn)�����。
1.3 企業(yè)員工缺乏安全管理的責(zé)任心和防范意識(shí)�����。企業(yè)的信息安全并不只是管理人員的責(zé)任,而是全體員工共同的責(zé)任�����,不過(guò)在企業(yè)信息安全建設(shè)過(guò)程中�����,往往忽略了企業(yè)員工環(huán)節(jié)�����,導(dǎo)致信息安全建設(shè)難以達(dá)到預(yù)期的目的�����。目前�����,企業(yè)信息安全事件最突出的便是信息泄密�����,其主要表現(xiàn)為員工的無(wú)意泄密�����、故意泄密以及離職后信息資源的自我利用�����,可以說(shuō)�����,企業(yè)內(nèi)部的信息安全風(fēng)險(xiǎn)遠(yuǎn)遠(yuǎn)大于外部風(fēng)險(xiǎn)�����。然而�����,針對(duì)內(nèi)部信息安全問(wèn)題�����,企業(yè)卻并無(wú)一個(gè)全面�����、系統(tǒng)、有效的保障體系�����,尤其是在員工責(zé)任心建設(shè)以及信息安全防范意識(shí)建設(shè)方面�����,一直是企業(yè)信息安全體系建設(shè)的弱點(diǎn)所在�����。
2 影響企業(yè)信息安全的主要因素分析
企業(yè)的信息安全一直是現(xiàn)代企業(yè)管理中的難點(diǎn)�����,尤其是通信類企業(yè)以及嚴(yán)重依賴網(wǎng)絡(luò)的電子商務(wù)類企業(yè)�����,其在信息安全環(huán)節(jié)的投入往往最大�����,但仍然是面臨風(fēng)險(xiǎn)最大的環(huán)節(jié)�����。根據(jù)美國(guó)FBI以及CSI對(duì)其國(guó)內(nèi)部分企業(yè)的調(diào)查顯示�����,信息安全內(nèi)部威脅占85%�����,外部入侵占15%�����,專利信息被竊取占14%�����,內(nèi)部人員的財(cái)務(wù)欺騙占12%�����,資料或網(wǎng)絡(luò)數(shù)據(jù)的破壞占11%�����。由此可見(jiàn),企業(yè)內(nèi)部信息安全已成為企業(yè)信息安全管理的重中之重�����,其泄密的途徑主要包括互聯(lián)網(wǎng)泄密�����,如電子郵件�����、即時(shí)通訊工具�����、網(wǎng)頁(yè)空間�����、ftp�����、病毒黑客攻擊等方式�����;局域網(wǎng)絡(luò)泄密�����,包括內(nèi)網(wǎng)與外網(wǎng)的連通�����、私人電腦與內(nèi)部電腦的連接等�����;終端設(shè)備的泄密等等�����。企業(yè)信息安全是企業(yè)穩(wěn)定與發(fā)展的基礎(chǔ)�����,但是�����,企業(yè)信息安全形勢(shì)卻不容樂(lè)觀,在現(xiàn)實(shí)中�����,影響企業(yè)信息安全的因素較多�����,其主要包括如下幾種:
2.1 實(shí)體環(huán)境安全因素�����。(1)信息技術(shù)承載硬件安全�����。信息網(wǎng)絡(luò)技術(shù)的硬件設(shè)備是支撐企業(yè)信息安全建設(shè)的基礎(chǔ)�����,包括硬盤設(shè)備�����、內(nèi)存設(shè)備�����、I/O控制器�����、電源等�����。(2)機(jī)房環(huán)境安全�����。機(jī)房是企業(yè)信息網(wǎng)絡(luò)的管理中樞�����,其環(huán)境的好壞將直接影響企業(yè)信息的安全�����。一般來(lái)說(shuō)�����,機(jī)房管理必須要專人專管,對(duì)于出入人員應(yīng)該有記錄�����,并且�����,機(jī)房應(yīng)具有防火�����、防水�����、防靜電�����、防鼠害�����、防雷擊等設(shè)施�����,還要安裝空調(diào)設(shè)備�����,以確保機(jī)房運(yùn)行溫度和濕度的穩(wěn)定�����。(3)傳輸線路安全�����。網(wǎng)絡(luò)線路以及電纜線路在傳輸過(guò)程中都具有一定的輻射性�����,其對(duì)信息具有一定的干擾�����,我們?cè)诎惭b時(shí)要采用屏蔽布線或者光纜傳輸,并采取技術(shù)手段�����,阻止線路對(duì)信息的干擾�����,以確保傳輸線路的安全�����。
2.2 內(nèi)部環(huán)境因素�����。影響企業(yè)信息安全的內(nèi)部因素主要包括:(1)軟件因素�����。軟件是企業(yè)信息化建設(shè)的重要工具�����,但同時(shí)也是信息安全風(fēng)險(xiǎn)較大的環(huán)節(jié)�����,它包括系統(tǒng)軟件和應(yīng)用軟件。系統(tǒng)軟件的是信息系統(tǒng)的運(yùn)行平臺(tái)�����,其本身就存在漏洞�����,若系統(tǒng)軟件遭到攻擊�����,將極可能導(dǎo)致信息的損壞或者泄密�����。而應(yīng)用軟件在設(shè)計(jì)過(guò)程中的不周全以及對(duì)數(shù)據(jù)校驗(yàn)的不完善�����,都將威脅到企業(yè)的信息安全�����。(2)人為因素�����。企業(yè)內(nèi)部人的因素是影響信息安全的最大部分�����,員工對(duì)數(shù)據(jù)的操作或者對(duì)相關(guān)威脅處理的不合理�����、不及時(shí)都會(huì)直接影響信息的可靠性�����。(3)網(wǎng)絡(luò)因素�����。企業(yè)的一切信息交換幾乎都是通過(guò)網(wǎng)絡(luò)來(lái)實(shí)現(xiàn)的�����,包括外部網(wǎng)絡(luò)和局域網(wǎng)�����,而由于網(wǎng)絡(luò)故障所導(dǎo)致的信息丟失情況比比皆是,另外�����,網(wǎng)絡(luò)中一些非授權(quán)訪問(wèn)行為也容易造成敏感數(shù)據(jù)的泄密或者丟失�����。(4)硬件因素�����。硬件主要是指存儲(chǔ)設(shè)備以及電源�����、顯示設(shè)備�����、網(wǎng)絡(luò)設(shè)備等�����,其中儲(chǔ)存硬件設(shè)備對(duì)企業(yè)信息安全影響最大�����,我們?cè)谟布?chǔ)存設(shè)備的管理中要注重防霉變�����、防輻射�����、防雷擊等等�����,及時(shí)做好數(shù)據(jù)備份和數(shù)據(jù)恢復(fù)�����。
2.3 外部環(huán)境因素?����,F(xiàn)代企業(yè)信息安全不僅面臨著內(nèi)部安全風(fēng)險(xiǎn)�����,還遭受著嚴(yán)重的外部隱患,其主要包括病毒風(fēng)險(xiǎn)�����、黑客攻擊風(fēng)險(xiǎn)以及意外事故�����,如火災(zāi)�����、爆炸�����、水災(zāi)等�����,其對(duì)企業(yè)的信息安全影響甚大。
3 加強(qiáng)企業(yè)信息安全防范的措施
面對(duì)著如此眾多的信息安全隱患,企業(yè)的信息安全管理形勢(shì)十分嚴(yán)峻�����,要想真正做好信息的安全管理,保障信息安全�����,那么企業(yè)必須系統(tǒng)地進(jìn)行改革�����,從根本上阻止信息的泄漏�����。
3.1 建立健全信息安全管理制度�����。企業(yè)必須根據(jù)內(nèi)部信息的安全級(jí)別�����,建立一套適合其技術(shù)規(guī)范的管理標(biāo)準(zhǔn)�����,尤其注重在人員組織結(jié)構(gòu)以及培訓(xùn),要建立完善的信息安全管理制度規(guī)范�����,并嚴(yán)格執(zhí)行�����。
3.2 采取新型網(wǎng)絡(luò)安全技術(shù)�����,及時(shí)更新軟硬件系統(tǒng)�����。企業(yè)要對(duì)內(nèi)部計(jì)算機(jī)及服務(wù)器系統(tǒng)進(jìn)行及時(shí)更新?lián)Q代�����,尤其是其軟硬件系統(tǒng)�����,要做好防病毒措施�����,并及時(shí)做好數(shù)據(jù)備份�����,加強(qiáng)網(wǎng)絡(luò)密碼建設(shè)以及入侵檢測(cè)技術(shù)建設(shè)�����,為信息安全上一把“鎖”�����。
3.3 加強(qiáng)內(nèi)部信息的監(jiān)管�����,對(duì)非授權(quán)訪問(wèn)以及敏感接入進(jìn)行嚴(yán)格的控制�����。企業(yè)必須加強(qiáng)對(duì)內(nèi)部數(shù)據(jù)的有效監(jiān)管�����,在與外界進(jìn)行數(shù)據(jù)交換過(guò)程中,有必要對(duì)敏感數(shù)據(jù)或者有威脅的行為進(jìn)行干預(yù)�����、阻止�����、監(jiān)控等措施�����,控制非法接入與攻擊行為�����。
3.4 定期巡查與評(píng)估�����,不斷改善和調(diào)整安全防護(hù)策略�����。企業(yè)的信息安全管理是一個(gè)動(dòng)態(tài)的過(guò)程�����,我們的信息安全防范也必須做好及時(shí)的評(píng)估和調(diào)整�����,對(duì)計(jì)算機(jī)硬件設(shè)備�����、機(jī)房環(huán)境等定期進(jìn)行巡查�����,發(fā)現(xiàn)并及時(shí)解決潛在的安全威脅�����,并根據(jù)最新的信息安全形勢(shì)來(lái)調(diào)整防護(hù)策略�����,未雨綢繆�����,做好信息安全的預(yù)防工作。
參考文獻(xiàn):
[1]羅慶云�����,趙巾幗.企業(yè)網(wǎng)信息安全的探討[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用�����,2005.
[2]姜樺�����,郭永利.企業(yè)信息安全策略研究[J].焦作大學(xué)學(xué)報(bào)�����,2009.
第5篇
【關(guān)鍵詞】信息安全�����;電力企業(yè)�����;防護(hù)措施
前言
當(dāng)前,電力企業(yè)在生產(chǎn)運(yùn)行過(guò)程中離不開信息技術(shù)的支持�����,尤其是電力企業(yè)在建立了復(fù)雜的數(shù)據(jù)網(wǎng)和信息網(wǎng)后�����,信息技術(shù)的在電力企業(yè)中的地位日益提高�����,同時(shí)�����,信息安全也影響著電力企業(yè)的生產(chǎn)經(jīng)營(yíng)�����。
1電力網(wǎng)絡(luò)和信息安全管理的主要內(nèi)容
電力網(wǎng)絡(luò)和信息安全管理主要包括三方面的內(nèi)容:①安全策略�����;②風(fēng)險(xiǎn)管理�����;③安全教育�����。具體淺析如下:
1.1安全策略
信息安全策略根據(jù)企業(yè)規(guī)模�����、安全需求和業(yè)務(wù)發(fā)展的不同而不同�����,但是都具有簡(jiǎn)單易懂�����、清晰通俗的特點(diǎn)�����,由高級(jí)管理部門制定并形成書面文字�����,屬于企業(yè)安全的最高方針,廣泛到企業(yè)所有員工手中�����。
1.2風(fēng)險(xiǎn)管理
評(píng)估威脅企業(yè)信息資產(chǎn)的風(fēng)險(xiǎn)�����,首先事先假定風(fēng)險(xiǎn)可能會(huì)給企業(yè)帶來(lái)的風(fēng)險(xiǎn)和損失�����,然后再通過(guò)各種手段�����,如:風(fēng)險(xiǎn)的規(guī)避�����、風(fēng)險(xiǎn)的轉(zhuǎn)嫁�����、降低風(fēng)險(xiǎn)和接受風(fēng)險(xiǎn)等多種方法為相關(guān)部門提供網(wǎng)絡(luò)和信息安全的對(duì)策建議�����。
1.3安全教育
所謂安全教育�����,就是對(duì)直接關(guān)聯(lián)企業(yè)安全生產(chǎn)的人員進(jìn)行的教育活動(dòng)�����,其對(duì)象是安全策略執(zhí)行人員�����,具體來(lái)說(shuō)就是與安全工作相關(guān)的技術(shù)人員�����、管理人員和客戶�����,并對(duì)其進(jìn)行安全培訓(xùn)�����,讓其了解和掌握信息安全對(duì)策�����。安全管理是企業(yè)管理的重要內(nèi)容�����,必須引起企業(yè)領(lǐng)導(dǎo)層的高度重視�����,切實(shí)將安全相關(guān)教育納入到企業(yè)文化的組成中�����,確保信息安全管理的有效執(zhí)行�����。
2電力企業(yè)信息化發(fā)展的特征
隨著我國(guó)電力企業(yè)信息化的發(fā)展�����,與其他企業(yè)相比�����,在網(wǎng)絡(luò)信息安全方面具有以下優(yōu)勢(shì)特征�����。
2.1信息化基礎(chǔ)設(shè)施完善
經(jīng)過(guò)多年的發(fā)展�����,電力企業(yè)的信息化建設(shè)與其他行業(yè)的信息化建設(shè)水平相比�����,具有明顯的比較優(yōu)勢(shì)�����,進(jìn)程相對(duì)領(lǐng)先�����,各個(gè)部門工作中計(jì)算機(jī)的使用率為100%�����,電力企業(yè)局域網(wǎng)覆蓋率90%以上。
2.2營(yíng)銷管理系統(tǒng)廣泛應(yīng)用
電力企業(yè)的營(yíng)銷管理系統(tǒng)經(jīng)過(guò)多年的研究探索已基本建成�����,實(shí)現(xiàn)了用電管理信息化�����、業(yè)務(wù)受理計(jì)算機(jī)化�����,并建立了相應(yīng)的客戶服務(wù)中心�����。
2.3生產(chǎn)�����、調(diào)度自動(dòng)化系統(tǒng)應(yīng)用熟練
電力企業(yè)信息化建設(shè)的重點(diǎn)是提高電網(wǎng)運(yùn)行質(zhì)量和電力調(diào)度的自動(dòng)化水平�����,現(xiàn)階段�����,從電力企業(yè)發(fā)展的自動(dòng)化水平上來(lái)看�����,其生產(chǎn)已基本達(dá)到國(guó)際先進(jìn)水平�����。
2.4管理信息系統(tǒng)的建設(shè)逐步推進(jìn)
電力企業(yè)積極建設(shè)管理信息系統(tǒng)�����,開發(fā)了設(shè)備�����、生產(chǎn)�����、電力負(fù)荷�����、安全監(jiān)督、營(yíng)銷管理等信息系統(tǒng)�����,并將企業(yè)信息化建設(shè)放到重要位置�����,利用信息化推動(dòng)企業(yè)現(xiàn)代化發(fā)展�����。
3電力企業(yè)網(wǎng)絡(luò)和信息安全管理中存在的問(wèn)題
電力企業(yè)網(wǎng)絡(luò)和信息安全管理雖然具有以上優(yōu)勢(shì)特征�����,但同樣還是存在一定的問(wèn)題�����,具體如下:
3.1信息化機(jī)構(gòu)建設(shè)不完善
部分電力企業(yè)還未設(shè)置專門的信息部門,信息科室有的在科技部門下�����,有的在綜合部門下,缺乏規(guī)范的制度與崗位設(shè)置�����,這種情況下�����,勢(shì)必會(huì)影響到網(wǎng)絡(luò)和信息安全的管理工作�����。
3.2網(wǎng)絡(luò)信息安全管理未成為企業(yè)文化的一部分
電力網(wǎng)絡(luò)信息貫穿于生產(chǎn)的全過(guò)程�����,涉及到電力生產(chǎn)的各層面�����,但是仍然處于從屬地�����,沒(méi)有納入電力企業(yè)安全文化建設(shè)中,進(jìn)而影響到安全管理的實(shí)施力度�����。
3.3企業(yè)管理革新跟不上信息化發(fā)展的步伐
電力企業(yè)管理革新與信息技術(shù)的發(fā)展與應(yīng)用相比還較為滯后�����,企業(yè)不能及時(shí)的引入先進(jìn)的管理與業(yè)務(wù)系統(tǒng),導(dǎo)致企業(yè)信息系統(tǒng)不能發(fā)揮預(yù)期的作用�����。
3.4網(wǎng)絡(luò)信息安全存在風(fēng)險(xiǎn)
電力企業(yè)網(wǎng)絡(luò)信息安全與一般企業(yè)網(wǎng)絡(luò)信息相比�����,有共同點(diǎn)�����,也有自自身的特殊性�����,實(shí)踐中必須認(rèn)真分析研究�����,具體表現(xiàn)為:①網(wǎng)絡(luò)的結(jié)構(gòu)不夠合理�����,電力網(wǎng)絡(luò)建設(shè)要求�����,網(wǎng)絡(luò)建設(shè)要區(qū)分外網(wǎng)和內(nèi)網(wǎng)�����,且內(nèi)外部網(wǎng)絡(luò)要保持物理隔離�����,但是部分電力企業(yè)的核心交換機(jī)選擇不合理,導(dǎo)致在網(wǎng)絡(luò)中所有網(wǎng)絡(luò)用戶的地位是平等的�����,因而很容易出現(xiàn)安全問(wèn)題�����。②企業(yè)內(nèi)部風(fēng)險(xiǎn)�����,由于企業(yè)內(nèi)部網(wǎng)絡(luò)管理人員對(duì)于企業(yè)的網(wǎng)絡(luò)信息結(jié)構(gòu)與系統(tǒng)應(yīng)用十分熟悉�����,一旦泄漏重要信息�����,就會(huì)帶來(lái)致命的信息安全威脅�����。③現(xiàn)階段互聯(lián)網(wǎng)使用存在的風(fēng)險(xiǎn)�����,目前很多電力企業(yè)的網(wǎng)絡(luò)已經(jīng)與互聯(lián)網(wǎng)發(fā)生了關(guān)系,一些客戶甚至可以直接訪問(wèn)電力系統(tǒng)的網(wǎng)絡(luò)資源�����,在提供方便之門的同時(shí)也要高度關(guān)注其可能帶來(lái)的信息安全和計(jì)算軟硬件安全風(fēng)險(xiǎn)�����。④網(wǎng)絡(luò)管理專業(yè)技術(shù)人員帶來(lái)的風(fēng)險(xiǎn),主要是網(wǎng)絡(luò)管理人員的素質(zhì)風(fēng)險(xiǎn)�����,現(xiàn)階段電力企業(yè)的網(wǎng)絡(luò)建設(shè)還存在重建輕管�����,重技輕管的問(wèn)題�����。出現(xiàn)了諸如專業(yè)技術(shù)人員綜合素質(zhì)不高�����,一些安全管理制度不健全、落實(shí)不夠有力�����、安全意識(shí)不強(qiáng)�����、管理員配備不當(dāng)?shù)韧{到電力企業(yè)網(wǎng)絡(luò)信息安全性的問(wèn)題�����。⑤計(jì)算機(jī)病毒侵害�����,計(jì)算機(jī)病毒的擴(kuò)散速度快�����,網(wǎng)絡(luò)一旦感染病毒�����,整個(gè)電力網(wǎng)絡(luò)系統(tǒng)就會(huì)處于崩潰的狀況�����。⑥系統(tǒng)出現(xiàn)的安全風(fēng)險(xiǎn),這方面主要指操作系統(tǒng)�����、數(shù)據(jù)庫(kù)系統(tǒng)以及內(nèi)部各種應(yīng)用軟件系統(tǒng)等存在的風(fēng)險(xiǎn)�����,這些系統(tǒng)很容易導(dǎo)致外界的攻擊�����,一些黑客采取專業(yè)手段可以很輕易獲取管理員權(quán)限�����,實(shí)施拒絕服務(wù)攻擊�����。
4電力企業(yè)網(wǎng)絡(luò)和信息安全管理對(duì)策
4.1建立健全網(wǎng)絡(luò)和信息安全管理組織架構(gòu)
網(wǎng)絡(luò)和信息安全管理實(shí)行統(tǒng)一領(lǐng)導(dǎo)�����、分級(jí)管理原則�����,企業(yè)的決策層組成領(lǐng)導(dǎo)小組�����,由企業(yè)各部門的管理者作為安全小組的管理層�����。網(wǎng)絡(luò)和信息安全管理實(shí)行專業(yè)化管理�����,包含信息安全規(guī)劃�����、信息安全監(jiān)督審計(jì)�����、信息安全運(yùn)行保障等職能小組�����。
4.2構(gòu)建網(wǎng)絡(luò)和信息安全管理體系框架
在網(wǎng)絡(luò)信息安全模型與電力信息化的基礎(chǔ)上,科學(xué)構(gòu)建網(wǎng)絡(luò)和信息安全管理體系框架�����,主要區(qū)分信息安全策略�����、安全運(yùn)行�����、安全管理�����、安全技術(shù)措施四個(gè)模塊�����,
4.3建立網(wǎng)絡(luò)信息安全防護(hù)對(duì)策�����,合理劃分安全域
網(wǎng)絡(luò)信息安全防護(hù)實(shí)行雙網(wǎng)雙機(jī)管理�����,分為信息內(nèi)網(wǎng)和信息外網(wǎng)�����,內(nèi)外網(wǎng)采用獨(dú)立的服務(wù)器及桌面終端�����,通過(guò)邏輯強(qiáng)隔離裝置隔離內(nèi)外網(wǎng)�����。按照業(yè)務(wù)類型進(jìn)行安全區(qū)域劃分為邊界�����、網(wǎng)絡(luò)�����、主機(jī)�����、應(yīng)用四個(gè)層次,實(shí)現(xiàn)不同區(qū)域防護(hù)的差異化及獨(dú)立性�����。對(duì)于網(wǎng)絡(luò)安全的核心區(qū)域必須實(shí)施重點(diǎn)安全防范�����,比如該區(qū)域的服務(wù)器�����、重要數(shù)據(jù)�����、數(shù)據(jù)庫(kù)服務(wù)器�����,一般用戶無(wú)法直接訪問(wèn)�����,安全級(jí)別高�����。電力企業(yè)內(nèi)部計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的應(yīng)用�����,劃分為管理信息區(qū)和生產(chǎn)控制區(qū)�����,建立電力調(diào)度數(shù)據(jù)網(wǎng)專用網(wǎng)絡(luò)�����,采用不同強(qiáng)度的安全設(shè)備隔離各安全區(qū)�����,數(shù)據(jù)的遠(yuǎn)方安全傳輸采取加密�����、認(rèn)證�����、訪問(wèn)控制等技術(shù)手段,實(shí)現(xiàn)縱向邊界的整體安全防護(hù)�����。
4.4網(wǎng)絡(luò)信息安全管理制度建設(shè)
為確保電力企業(yè)網(wǎng)絡(luò)信息安全�����,必須做好網(wǎng)絡(luò)信息安全管理制度建設(shè)�����,具體要做好以下幾個(gè)方面的內(nèi)容:①建立計(jì)算機(jī)資產(chǎn)管理制度�����、網(wǎng)絡(luò)使用管理制度�����、健全變更管理制度�����,對(duì)資產(chǎn)進(jìn)行標(biāo)識(shí)和管理�����,執(zhí)行密碼使用管理制度�����。②實(shí)施信息的安全分級(jí)保護(hù)舉措�����,依據(jù)國(guó)家相關(guān)規(guī)定�����,開展網(wǎng)絡(luò)信息系統(tǒng)審批�����、定級(jí)�����、備案工作,嚴(yán)格執(zhí)行等級(jí)保護(hù)制度�����,嚴(yán)格保密核心程序和數(shù)據(jù)�����。③做好網(wǎng)絡(luò)信息安全運(yùn)行保障管理�����,對(duì)信息系統(tǒng)設(shè)備實(shí)行規(guī)范化管理�����,及時(shí)升級(jí)防病毒軟件�����,嚴(yán)格系統(tǒng)變更�����,及時(shí)報(bào)告信息系統(tǒng)事故情況�����,分析原因并落實(shí)整改�����。④建立病毒防護(hù)體系�����,安裝的防病毒軟件必須具有遠(yuǎn)程安裝�����、遠(yuǎn)程報(bào)警�����、集中管理等多種功能�����,不可將來(lái)歷不明或是隨意從互聯(lián)網(wǎng)上下載的數(shù)據(jù)在聯(lián)網(wǎng)計(jì)算機(jī)上使用�����,一旦發(fā)現(xiàn)病毒的存在,員工應(yīng)熟練掌握發(fā)現(xiàn)病毒后的處置辦法�����。
4.5信息安全技術(shù)保障舉措
為切實(shí)有效的落實(shí)信息安全防護(hù)要求�����,必須根據(jù)信息安全等級(jí)防護(hù)制度落實(shí)好“分級(jí)�����、分區(qū)�����、分域”的防護(hù)策略�����,從而更有效的落實(shí)信息安全防護(hù)預(yù)案�����,根據(jù)信息系統(tǒng)定級(jí)水平�����,實(shí)施強(qiáng)邏輯隔離措施,做好安全區(qū)域的隔離和劃分工作�����。
4.6規(guī)范企業(yè)人員的管理
規(guī)范人員管理首要的是用制度管好人:①企業(yè)高層應(yīng)以身作則�����,這樣員工才可以遵循信息安全管理的要求�����,由于高層掌握著企業(yè)更多的信息資源�����,密級(jí)也高�����,一旦出現(xiàn)泄漏�����,會(huì)給企業(yè)帶來(lái)更大的損失�����。②對(duì)于關(guān)鍵崗位人員管理要尤其重視�����,比如:開發(fā)源代碼人員�����,直接接觸商業(yè)機(jī)密的人員�����,從事信息安全管理的人員�����,需要進(jìn)行嚴(yán)格管理�����,定期檢查�����,避免出現(xiàn)“堡壘從內(nèi)部突破”的機(jī)會(huì)。③對(duì)于離職人員這個(gè)群體也不可忽視�����,必須做好離職人員信息安全審計(jì)工作�����,離職前�����,必須要求其變更其訪問(wèn)權(quán)限�����,與接手人員一起清點(diǎn)和交接好信息資產(chǎn)�����,避免信息泄漏事件的發(fā)生�����。④加強(qiáng)與供應(yīng)商和合作伙伴信息安全的管理�����,在日常的交流中嚴(yán)格遵守規(guī)定�����,不得隨意公開和透露相關(guān)信息�����。
4.7做好對(duì)企業(yè)信息資產(chǎn)管理分析
依據(jù)信息資產(chǎn)價(jià)值�����,實(shí)現(xiàn)根據(jù)載體性質(zhì)不同�����、形式不同�����、來(lái)源不同做好資產(chǎn)的識(shí)別�����,提高企業(yè)勞動(dòng)生產(chǎn)率,強(qiáng)化信息資產(chǎn)觀念�����,樹立企業(yè)良好形象�����。全面�����、系統(tǒng)�����、科學(xué)的管理信息資產(chǎn)�����,完善資產(chǎn)管理手段�����。利用信息資產(chǎn)資源使生產(chǎn)力要素保值增值�����,推動(dòng)信息資產(chǎn)共享共建�����,實(shí)現(xiàn)實(shí)現(xiàn)外源信息資產(chǎn)的再增值�����,信息資產(chǎn)的再創(chuàng)新�����。4.8建立信息安全應(yīng)急保障機(jī)制有風(fēng)險(xiǎn)的地方就要有應(yīng)急預(yù)案�����,對(duì)于電力企業(yè)網(wǎng)絡(luò)信息安全尤其應(yīng)該如此�����,要不斷健全電力企業(yè)信息安全預(yù)案,確保設(shè)備�����、人力�����、技術(shù)等應(yīng)急保障資源切實(shí)可用�����,要加強(qiáng)系統(tǒng)的容災(zāi)建設(shè)�����,建立恢復(fù)和備份管理制度�����,妥善保存相關(guān)的備份記錄�����。
5結(jié)束語(yǔ)
電力網(wǎng)絡(luò)信息安全與企業(yè)的生產(chǎn)經(jīng)營(yíng)管理密切相關(guān)�����,電力企業(yè)網(wǎng)絡(luò)信息安全涉及到技術(shù)與管理�����,無(wú)論是硬件還是軟件出現(xiàn)問(wèn)題都會(huì)威脅到整個(gè)網(wǎng)絡(luò)系統(tǒng)�����,電力企業(yè)網(wǎng)絡(luò)信息安全管理涉及到人�����、硬件設(shè)備�����、軟件�����、數(shù)據(jù)等多個(gè)環(huán)節(jié)�����,所以其必須著眼整個(gè)電力企業(yè)的網(wǎng)絡(luò)信息系統(tǒng)加強(qiáng)頂層建設(shè),實(shí)施統(tǒng)一規(guī)劃�����,搞好統(tǒng)籌兼顧�����,建立一套完整的信息安全管理體系�����,切實(shí)做好安全防范工作�����,解決電力企業(yè)信息安全管理問(wèn)題�����,才能確保電力信息系統(tǒng)安全�����、穩(wěn)定�����、可靠�����、高效地運(yùn)行�����,有效避免安全問(wèn)題的存在�����,保證電力企業(yè)的正常生產(chǎn)經(jīng)營(yíng)�����。
參考文獻(xiàn)
[1]何雋文.電力企業(yè)網(wǎng)絡(luò)和信息安全管理策略思考[J].中國(guó)高新技術(shù)企業(yè)�����,2016�����,28.
[2]郭建,顧志強(qiáng).電力企業(yè)信息安全現(xiàn)狀分析及管理對(duì)策[J].信息技術(shù)�����,2013�����,01.
[3]牛斐.電力企業(yè)網(wǎng)絡(luò)信息安全的防范措施[J].科技傳播�����,2012�����,16.
[4]吳青.淺析網(wǎng)絡(luò)信息安全管理在電力企業(yè)中的應(yīng)用[J].中國(guó)新通信�����,2013�����,23.
[5]向繼東�����,黃天戊�����,孫東.電力企業(yè)信息網(wǎng)絡(luò)安全管理[J].電力系統(tǒng)自動(dòng)化�����,2003�����,15.
第6篇
現(xiàn)代科學(xué)技術(shù)的發(fā)展與壯大�����,科學(xué)技術(shù)產(chǎn)物不斷改變著人類社會(huì)生活�����,而網(wǎng)絡(luò)技術(shù)更甚�����,網(wǎng)絡(luò)像一個(gè)無(wú)形的網(wǎng),連接著社會(huì)各個(gè)地方�����,便利著人類社會(huì)?����,F(xiàn)代企業(yè)的發(fā)展或多或少依賴著網(wǎng)絡(luò)�����,企業(yè)依靠網(wǎng)絡(luò)進(jìn)行信息的傳遞與處理�����。有了網(wǎng)絡(luò)的支撐�����,企業(yè)的競(jìng)爭(zhēng)力量在不斷加強(qiáng)�����。
1 網(wǎng)絡(luò)安全技術(shù)
就目前而言,常見(jiàn)的網(wǎng)絡(luò)安全技術(shù)包括防火墻技術(shù)�����、虛擬局域網(wǎng)技術(shù)�����、入侵檢測(cè)與防御技術(shù)以及計(jì)算機(jī)防病毒技術(shù)�����。
1.1 防火墻技術(shù)
防火墻顧名思義就是保護(hù)屏障�����,即通過(guò)軟件與硬件設(shè)備的組合�����,在內(nèi)部網(wǎng)與外部網(wǎng)之間搭建一個(gè)保護(hù)屏障�����,通過(guò)在網(wǎng)絡(luò)邊界上建立網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)來(lái)隔絕內(nèi)外網(wǎng)絡(luò)�����,阻擋外網(wǎng)的不良入侵�����。防火墻主要針對(duì)的是網(wǎng)絡(luò)上的不安全因素�����。通過(guò)利用防火墻技術(shù)�����,可以有效保護(hù)企業(yè)內(nèi)部網(wǎng)的主要信息資源�����。
1.2 虛擬局域網(wǎng)技術(shù)
虛擬局域網(wǎng)是通過(guò)因特網(wǎng)將網(wǎng)絡(luò)設(shè)備劃分成多個(gè)子網(wǎng)�����,是對(duì)企業(yè)內(nèi)部網(wǎng)的擴(kuò)展�����,實(shí)現(xiàn)了企業(yè)在虛擬環(huán)境下的數(shù)據(jù)交換。虛擬局域網(wǎng)正如它的名字“虛擬”兩個(gè)字一樣�����,是看不見(jiàn)的�����,但是它能夠很好的防控廣播風(fēng)暴�����,有效提高網(wǎng)絡(luò)的速度�����,增強(qiáng)網(wǎng)絡(luò)的整體性能和安全性能�����。
1.3 入侵檢測(cè)與防御技術(shù)
入侵檢測(cè)與防御是對(duì)防火墻技術(shù)的補(bǔ)充與升級(jí)�����,依靠設(shè)定的安全策略�����,對(duì)計(jì)算機(jī)系統(tǒng)與入侵網(wǎng)絡(luò)的行為進(jìn)行檢測(cè)�����,類似于“安檢”�����,并對(duì)相應(yīng)的檢測(cè)做出響應(yīng)�����,以此來(lái)確保網(wǎng)絡(luò)信息的完整性�����,提高網(wǎng)絡(luò)監(jiān)控與識(shí)別攻擊等能力�����,拓展了防火墻安全管理范圍�����。入侵防御技術(shù)是對(duì)檢測(cè)技術(shù)的又一次開拓,是一個(gè)智能且主動(dòng)的防御技術(shù)�����,緊密的串聯(lián)在網(wǎng)絡(luò)邊界�����,對(duì)進(jìn)出的數(shù)據(jù)信息進(jìn)行監(jiān)控與處理�����。
1.4 計(jì)算機(jī)防病毒技術(shù)
計(jì)算機(jī)防病毒技術(shù)應(yīng)用比較廣泛�����,通過(guò)建立有效的計(jì)算機(jī)病毒防護(hù)系統(tǒng)與制度�����,及時(shí)準(zhǔn)確的監(jiān)控處理病毒的入侵�����,如果發(fā)現(xiàn)病毒跡象�����,會(huì)立刻采取相應(yīng)措施阻斷病毒的破壞�����,同時(shí)迅速的對(duì)遭到破壞的部分進(jìn)行修復(fù)�����,高效穩(wěn)定的保障信息的安全�����。
2 企業(yè)信息管理中的網(wǎng)絡(luò)安全問(wèn)題
2.1 缺乏網(wǎng)絡(luò)安全防范意識(shí)
網(wǎng)絡(luò)應(yīng)用的不斷深化�����,辦公方式網(wǎng)絡(luò)化受到越來(lái)越多企業(yè)的歡迎�����。很多企業(yè)對(duì)網(wǎng)絡(luò)應(yīng)用近乎癡迷�����,辦公自動(dòng)化成為當(dāng)下企業(yè)主流。由于過(guò)度的依賴于網(wǎng)絡(luò)辦公�����,往往忽視企業(yè)內(nèi)部的安全防護(hù)問(wèn)題�����。落后的網(wǎng)絡(luò)防御系統(tǒng)�����、充滿漏洞的安全機(jī)制�����,低下的網(wǎng)絡(luò)恢復(fù)能力等等都會(huì)造成企業(yè)信息資源的破壞�����,嚴(yán)重影響企業(yè)的正常運(yùn)行�����。
2.2 非法網(wǎng)絡(luò)入侵現(xiàn)象頻發(fā)
網(wǎng)絡(luò)的應(yīng)用�����,使不良居心的有了新的破壞手段�����。一些居心叵測(cè)的人利用網(wǎng)絡(luò)�����,非法入侵企業(yè)內(nèi)部�����,盜取網(wǎng)絡(luò)信息或者冒充內(nèi)部人員進(jìn)行網(wǎng)絡(luò)詐騙�����,或者盜取網(wǎng)絡(luò)信息進(jìn)行泄露勒索�����,那些非法入侵行為無(wú)處不在�����,成為威脅企業(yè)信息的不安全因素。
2.3 肆虐的網(wǎng)絡(luò)病毒
從我國(guó)出現(xiàn)的第一個(gè)網(wǎng)絡(luò)病毒開始�����,網(wǎng)絡(luò)病毒就不斷改變感染途徑�����,比如常見(jiàn)的下載軟件�����、打開文件�����、電子郵件等網(wǎng)絡(luò)行為�����,都有可能感染病毒�����,病毒以其告訴的傳染性讓人措手不及�����。當(dāng)人們還在唏噓這個(gè)網(wǎng)絡(luò)病毒的危害時(shí)�����,比這個(gè)病毒更厲害的病毒也許正在散播中�����,病毒也會(huì)以看不見(jiàn)的形式被攜帶傳染�����,造成更大范圍的信息損失�����。
2.4 管理人員技術(shù)水平不足
網(wǎng)絡(luò)管理人員是直接管理企業(yè)網(wǎng)絡(luò)信息的技術(shù)人物�����,網(wǎng)絡(luò)管理人員的技術(shù)水平是影響企業(yè)網(wǎng)絡(luò)安全的關(guān)鍵因素�����。企業(yè)信息的運(yùn)行與管理都有網(wǎng)絡(luò)管理人員進(jìn)行,但在很多企業(yè)中�����,網(wǎng)絡(luò)管理崗位的從業(yè)人員�����,存在技術(shù)水平有限�����,專業(yè)度不足的現(xiàn)象�����,有的網(wǎng)絡(luò)管理人員職業(yè)素養(yǎng)不足�����,隨意泄露本公司的賬號(hào)等會(huì)造成企業(yè)信息安全受到傷害�����。
3 企業(yè)信息管理網(wǎng)絡(luò)安全措施
3.1 先進(jìn)技術(shù)
先進(jìn)的技術(shù)手段是應(yīng)對(duì)企業(yè)信息危機(jī)的基礎(chǔ),只有不斷提高技術(shù)技能�����,利用先進(jìn)的技術(shù)手段才能對(duì)企業(yè)信息的威脅做到防范�����,才能提高企業(yè)信息安全管理水平�����。
3.1.1 信息加密技術(shù)
信息加密是針對(duì)信息泄露采取的保護(hù)性措施�����,能夠有效的提高企業(yè)信息數(shù)據(jù)的安全性能�����,防止數(shù)據(jù)泄露�����。就目前信息加密技術(shù)來(lái)講�����,主要應(yīng)用在信息的存儲(chǔ)�����、傳輸以及鑒別方面�����。信息加密是目前企業(yè)信息安全管理的重要手段�����,在企業(yè)信息安全管理上作用顯著�����。
3.1.2 防火墻技術(shù)
防火墻技術(shù)在上過(guò)解釋�����,在企業(yè)信息管理中�����,防火墻能夠阻止網(wǎng)絡(luò)中人為產(chǎn)生的信息破壞與攻擊,防火墻能夠幫助企業(yè)攔截很多不良或者惡意病毒與垃圾�����。但是防火墻也有局限性�����,就是不能夠阻止來(lái)自內(nèi)網(wǎng)的網(wǎng)絡(luò)病毒與惡意文件�����。
3.1.3 數(shù)據(jù)備份
網(wǎng)絡(luò)病毒很多會(huì)造成企業(yè)的重要信息數(shù)據(jù)永久失去�����,無(wú)法恢復(fù)�����,對(duì)企業(yè)造成不可估量的損失�����。數(shù)據(jù)備份就是通過(guò)對(duì)企業(yè)信息數(shù)據(jù)復(fù)制�����,作為備用�����,即使企業(yè)信息收到損壞�����,無(wú)法恢復(fù)�����,有了備用信息就不會(huì)造成損失�����。
3.2 企業(yè)管理
3.2.1 企業(yè)局域網(wǎng)管理
加強(qiáng)對(duì)企業(yè)局域網(wǎng)的管理是企業(yè)信息管理的關(guān)鍵�����。企業(yè)局域網(wǎng)管理不僅是對(duì)企業(yè)內(nèi)部使用網(wǎng)絡(luò)進(jìn)行隔離�����,同時(shí)也要對(duì)企業(yè)所接觸到的網(wǎng)頁(yè)進(jìn)行安全把控。在企業(yè)員工工作時(shí)�����,要根據(jù)員工實(shí)際狀況進(jìn)行內(nèi)外網(wǎng)權(quán)限設(shè)置�����,隔離內(nèi)外網(wǎng)�����,有效降低感染病毒的機(jī)會(huì)�����。
3.2.2 網(wǎng)絡(luò)管理人員管理
提高網(wǎng)絡(luò)管理人員專業(yè)素養(yǎng)是企業(yè)信息管理的核心�����。首先要對(duì)網(wǎng)絡(luò)管理人員進(jìn)行專業(yè)培訓(xùn)�����,提高管理人員專業(yè)水平與素養(yǎng)�����,另外�����,要進(jìn)行權(quán)責(zé)制度�����,按照需求對(duì)人員進(jìn)行劃分�����,責(zé)任到人�����,提高網(wǎng)絡(luò)管理人員對(duì)企業(yè)信息安全的重視�����。
4 結(jié)語(yǔ)
通過(guò)從技術(shù)的手段與企業(yè)管理兩個(gè)方面進(jìn)行企業(yè)信息管理�����,嚴(yán)格把握企業(yè)信息的每個(gè)關(guān)卡,責(zé)任到人�����,同時(shí)要不斷地對(duì)企業(yè)信息安全系統(tǒng)進(jìn)行檢查�����,更新技術(shù)支持�����,完善信息防御與修復(fù)系統(tǒng)�����,創(chuàng)造一個(gè)穩(wěn)定�����、安全的企業(yè)信息環(huán)境�����。
第7篇
關(guān)鍵詞:信息安全管理�����;信息資產(chǎn)�����;模型�����;推廣方案
中圖分類號(hào):TP309 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1674-7712 (2013) 02-0175-01
所謂的信息安全就是指信息的可用性�����、完整性�����、安全性以及保密性�����。信息安全管理主要是指組織為了確保信息的安全而進(jìn)行的控制�����、領(lǐng)導(dǎo)、組織�����、計(jì)劃的相關(guān)過(guò)程�����。隨著企業(yè)的飛速發(fā)展以及信息技術(shù)的不斷完善�����,各類企業(yè)的信息化程度也在不斷地提高�����,信息安全已經(jīng)成為了企業(yè)發(fā)展過(guò)程中的核心內(nèi)容之一�����。
一�����、企業(yè)信息安全管理的現(xiàn)狀
目前�����,絕大部分企業(yè)在發(fā)展的過(guò)程中已經(jīng)開始對(duì)企業(yè)的信息安全工作制定出了一系列的管理措施�����,不過(guò)�����,企業(yè)在對(duì)那些信息進(jìn)行安全管理的過(guò)程中�����,基本上是部署或購(gòu)買信息安全產(chǎn)品�����。而這些產(chǎn)品基本上是為了達(dá)到某項(xiàng)安全功能而研發(fā)生產(chǎn)的�����、針對(duì)性較強(qiáng)的硬件或軟件產(chǎn)品�����。當(dāng)前市場(chǎng)上所出售的信息安全產(chǎn)品主要有四個(gè)層次:系統(tǒng)安全設(shè)備、網(wǎng)絡(luò)安全設(shè)備�����、終端安全設(shè)備�����、基礎(chǔ)安全設(shè)備�����。
企業(yè)通過(guò)這些信息安全產(chǎn)品雖然在某些方面具有一定的安全效果�����,不過(guò)企業(yè)自身的信息安全度仍沒(méi)有得到提高�����。所謂的企業(yè)信息安全管理就是指針對(duì)當(dāng)前企業(yè)所面臨的信息失控�����、惡意軟件�����、人為因素等復(fù)雜環(huán)境給予相應(yīng)的防護(hù)�����,確保企業(yè)的信息系統(tǒng)以及相關(guān)信息不會(huì)被非授權(quán)使用�����、訪問(wèn)�����、中斷或修改�����。這樣做的目的主要是對(duì)企業(yè)的信息安全進(jìn)行適當(dāng)?shù)谋Wo(hù)�����,并確保其具有可用性�����、真實(shí)性、完整性以及保密性�����。就目前的情況而言�����,絕大部分企業(yè)的信息安全管理存在下列問(wèn)題:(1)缺乏足夠的安全防護(hù)意識(shí)�����,員工的信息安全教育力度較為薄弱�����;(2)管理過(guò)程中對(duì)于人為因素的管理較為缺乏�����;(3)只重視技術(shù)而忽略了管理�����;(4)缺乏系統(tǒng)性的管理方案;(5)缺乏專業(yè)的信息安全管理人員�����。
二�����、企業(yè)信息資產(chǎn)的安全管理方式
一般情況下�����,企業(yè)的信息資產(chǎn)具有以下三個(gè)重要屬性:即可用性�����、完整性以及保密性�����。在對(duì)企業(yè)的信息進(jìn)行管理的過(guò)程中�����,這三者缺一不可�����。在企業(yè)發(fā)展的不同時(shí)期以及不同階段�����,這三者的屬性以及地位也大不相同�����。對(duì)于絕大部分企業(yè)而言�����,對(duì)企業(yè)信息進(jìn)行安全管理的主要目的就是確保企業(yè)的信息資產(chǎn)具有較好的保密性�����,因此�����,信息的可用性以及完整性在信息安全管理過(guò)程中基本上就成為了附屬品�����。由此可見(jiàn),對(duì)于絕大多數(shù)企業(yè)來(lái)說(shuō)�����,信息的保密性更為重要�����。
由于企業(yè)的信息安全管理活動(dòng)通常會(huì)涉及到企業(yè)的所有員工以及各個(gè)管理階層�����,因此�����,企業(yè)在開展此項(xiàng)活動(dòng)的過(guò)程中�����,一定要注重全員參與的重要性�����,讓企業(yè)的各項(xiàng)工作以及每個(gè)員工都對(duì)企業(yè)的信息安全引起高度重視�����,并將企業(yè)的信息安全管理與企業(yè)文化融為一體�����,以便于從根本上實(shí)現(xiàn)企業(yè)的信息安全管理目標(biāo)�����。不過(guò)對(duì)于絕大部分企業(yè)而言�����,經(jīng)濟(jì)指標(biāo)才是員工以及管理層關(guān)注的重點(diǎn)內(nèi)容�����,而信息安全管理需要投入大量的人力�����、物力以及財(cái)力方能實(shí)現(xiàn)�����,因此,這對(duì)于大部分企業(yè)來(lái)說(shuō)其操作性相對(duì)較低�����。由此可見(jiàn)�����,在對(duì)企業(yè)的信息安全進(jìn)行管理的過(guò)程中�����,一定要盡最大可能確保信息安全管理的簡(jiǎn)潔性�����。
三�����、企業(yè)在進(jìn)行信息安全管理時(shí)所涵蓋的具體內(nèi)容
目前�����,信息安全管理過(guò)程中的內(nèi)容經(jīng)簡(jiǎn)化和提煉后主要有“執(zhí)行力”�����、“堵”�����、“護(hù)”�����,在不同企業(yè)或同一企業(yè)發(fā)展過(guò)程中的不同階段�����,信息安全管理的計(jì)劃實(shí)施先后順序以及側(cè)重點(diǎn)也會(huì)有所不同�����。對(duì)于企業(yè)的普通員工以及管理人員而言�����,通過(guò)簡(jiǎn)單地宣傳教育就很容易讓他們牢記“執(zhí)行力”�����、“堵”、“護(hù)”�����,而對(duì)于專業(yè)的信息安全管理人員則必須從以下幾個(gè)方面著手�����。
(一)構(gòu)建與企業(yè)文化相符合的安全體系
企業(yè)在構(gòu)建信息安全管理體系的過(guò)程中�����,它與企業(yè)文化的適應(yīng)程度有著十分密切的聯(lián)系�����,不同的企業(yè)有著不同的企業(yè)文化�����,因此�����,在進(jìn)行信息安全管理的過(guò)程中�����,其管理思路以及管理方法也會(huì)大不相同�����。一些執(zhí)行力較強(qiáng)的單位�����,通常會(huì)采用強(qiáng)制手段來(lái)進(jìn)行管理�����,且管理的效果相對(duì)較好�����,而對(duì)于執(zhí)行力相對(duì)較差的單位�����,通過(guò)制定出科學(xué)合理的管理方法�����,并加以相應(yīng)的監(jiān)控管理、審計(jì)以及技術(shù)支持也會(huì)取得相對(duì)較好的效果�����。
(二)對(duì)信息傳遞渠道進(jìn)行嚴(yán)格的管理
企業(yè)在對(duì)信息資產(chǎn)進(jìn)行安全管理時(shí)�����,一定要強(qiáng)化對(duì)信息傳遞渠道的管理�����,對(duì)信息資產(chǎn)的各個(gè)傳輸渠道進(jìn)行嚴(yán)格的分析�����,嚴(yán)禁出現(xiàn)非授權(quán)或授權(quán)范圍外的傳遞或訪問(wèn)�����。在此過(guò)程中�����,“堵”的核心內(nèi)容就是人員的安全管理�����,這主要是因?yàn)槠髽I(yè)的信息資產(chǎn)都是通過(guò)人來(lái)進(jìn)行控制�����、管理的�����。在所有的信息安全管理過(guò)程中�����,對(duì)人的管理難度最大�����,因此�����,在開展信息安全管理活動(dòng)時(shí)�����,一定要對(duì)員工的調(diào)動(dòng)以及離職情況進(jìn)行嚴(yán)格的審計(jì),以此來(lái)防止信息資產(chǎn)的不合理傳遞�����。
(三)核心信息資產(chǎn)的保護(hù)
所謂的核心信息資產(chǎn)的保護(hù)主要是指對(duì)企業(yè)的核心信息資產(chǎn)進(jìn)行科學(xué)有效的保護(hù)�����,這對(duì)于企業(yè)的發(fā)展有著至關(guān)重要的作用�����,同時(shí)它還是企業(yè)進(jìn)行信息資產(chǎn)安全管理的有效手段�����。由于企業(yè)的資源具有一定的有限性�����,因此�����,企業(yè)的信息安全也具有一定的相對(duì)性,基于此�����,在對(duì)企業(yè)的信息資產(chǎn)進(jìn)行安全管理的過(guò)程中�����,對(duì)核心信息資產(chǎn)進(jìn)行保護(hù)就顯得尤為重要了�����。所謂的核心信息資產(chǎn)就是指一旦泄露就有可能對(duì)企業(yè)造成嚴(yán)重的損失�����,或者是價(jià)值相對(duì)較高的信息�����。
四�����、結(jié)束語(yǔ)
隨著市場(chǎng)經(jīng)濟(jì)的不斷發(fā)展以及信息技術(shù)的日漸完善�����,企業(yè)在發(fā)展過(guò)程中的信息資產(chǎn)保護(hù)所面臨的形式也變得越來(lái)越嚴(yán)峻�����。為此�����,企業(yè)在發(fā)展的過(guò)程中�����,一定要根據(jù)自身的實(shí)際情況�����,建立相應(yīng)的管理體系�����,并將其納入企業(yè)的風(fēng)險(xiǎn)管理中�����,盡量降低信息泄露對(duì)企業(yè)發(fā)展所造成的影響。
參考文獻(xiàn):
[1]齊峰.COBIT在企業(yè)信息安全管理中的應(yīng)用實(shí)踐[J].計(jì)算機(jī)應(yīng)用與軟件�����,2009�����,26(10):282-285.
[2]伏原.網(wǎng)絡(luò)信息安全管理在電力企業(yè)中的應(yīng)用[J].中華民居�����,2011�����,(8):385-386.
[3]孟潔.國(guó)有企業(yè)中的信息安全管理和應(yīng)用[J].科技信息�����,2012�����,(2):252.
第8篇
【關(guān)鍵詞】桌面安全管理�����;信息建設(shè)�����;桌面終端�����;應(yīng)用
在信息技術(shù)飛速發(fā)展的大背景下�����,桌面終端已經(jīng)成為企業(yè)生產(chǎn)運(yùn)營(yíng)的重要組成部分并被廣泛應(yīng)用于企業(yè)之中�����。但是受到種種原因的影響�����,桌面終端增多帶來(lái)了許多安全問(wèn)題�����,威脅著企業(yè)的信息安全?����;诖?����,桌面安全管理系統(tǒng)應(yīng)運(yùn)而生�����。桌面安全管理系統(tǒng)簡(jiǎn)稱BES�����,是一種基于企業(yè)桌面客戶端內(nèi)網(wǎng)安全管理系統(tǒng)�����,對(duì)客戶端系統(tǒng)安全漏洞和安全隱患進(jìn)行評(píng)估的管理控制平臺(tái)�����。本文簡(jiǎn)要分析了目前我國(guó)企業(yè)桌面計(jì)算機(jī)系統(tǒng)的安全現(xiàn)狀�����,主要研究桌面安全管理系統(tǒng)在企業(yè)信息建設(shè)中的應(yīng)用�����,這對(duì)于企業(yè)的信息建設(shè)而言具有重要現(xiàn)實(shí)意義�����。
1目前企業(yè)桌面計(jì)算機(jī)系統(tǒng)的安全狀況
桌面終端系統(tǒng)因?yàn)椴僮鞣奖愕葍?yōu)點(diǎn)而被廣泛應(yīng)用�����,但由于計(jì)算機(jī)數(shù)目過(guò)多過(guò)雜�����、內(nèi)部員工的不當(dāng)操作等因素導(dǎo)致目前企業(yè)桌面計(jì)算機(jī)系統(tǒng)存在著許多問(wèn)題:(1)沒(méi)有嚴(yán)格對(duì)待外網(wǎng)接入工作�����,容易讓外網(wǎng)接入盜取企業(yè)信息�����。很多企業(yè)為了更好地管理,便將許多電腦連成一個(gè)整體來(lái)進(jìn)行高效運(yùn)營(yíng)�����。但是這么做也存在一個(gè)弊端:給外網(wǎng)入侵帶來(lái)可乘之機(jī)�����,由于計(jì)算機(jī)管理人員不能使每臺(tái)計(jì)算機(jī)都能得到合理配置�����,因此容易讓外網(wǎng)接入�����,造成企業(yè)信息泄露等損失�����。(2)缺乏有序規(guī)劃�����,設(shè)備配置良莠不齊?����,F(xiàn)階段我國(guó)很多企業(yè)計(jì)算機(jī)系統(tǒng)設(shè)備配置混亂且質(zhì)量參差不齊�����,給維修以及耗材的配備增加了成本�����。(3)隨著信息技術(shù)的飛速發(fā)展�����,涌現(xiàn)出來(lái)的許多操作系統(tǒng)以及軟件給企業(yè)系統(tǒng)安全管理帶來(lái)巨大的壓力�����。(4)缺乏統(tǒng)一的手段統(tǒng)計(jì)分析桌面運(yùn)行狀況�����,缺乏跟蹤監(jiān)督桌面設(shè)備受到侵害的狀況�����,缺乏跟蹤監(jiān)測(cè)安全漏洞的修復(fù)狀況。(5)一些企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜�����,十分難管理�����。加上一些內(nèi)部員工的不良操作以及對(duì)移動(dòng)存儲(chǔ)介質(zhì)使用的隨意性容易導(dǎo)致企業(yè)信息泄露�����?����;谀壳捌髽I(yè)桌面計(jì)算機(jī)系統(tǒng)的安全現(xiàn)狀�����,企業(yè)需要實(shí)施桌面安全管理系統(tǒng)來(lái)解決桌面終端存在的問(wèn)題�����,有效地保護(hù)企業(yè)的信息安全�����。
2桌面安全管理系統(tǒng)在企業(yè)信息建設(shè)中的具體應(yīng)用
2.1系統(tǒng)補(bǔ)丁管理
目前我國(guó)很多企業(yè)操作人員在應(yīng)用桌面安全管理系統(tǒng)過(guò)程中會(huì)出現(xiàn)安裝完系統(tǒng)后就沒(méi)有再打過(guò)補(bǔ)丁的現(xiàn)象�����,很多用戶也缺乏系統(tǒng)升級(jí)的意識(shí)�����,對(duì)數(shù)據(jù)庫(kù)系統(tǒng)以及應(yīng)用程序不打補(bǔ)丁升級(jí)�����。桌面安全管理系統(tǒng)的補(bǔ)丁管理是及時(shí)地更新系統(tǒng)漏洞的特征以及系統(tǒng)補(bǔ)丁源�����,保證補(bǔ)丁服務(wù)器能夠及時(shí)獲取新的系統(tǒng)漏洞特征和補(bǔ)丁源�����。桌面安全管理系統(tǒng)自動(dòng)地收集、統(tǒng)計(jì)以及檢測(cè)所管理桌面終端系統(tǒng)的漏洞信息和補(bǔ)丁安裝進(jìn)度�����,隨后根據(jù)每一臺(tái)桌面終端操作系統(tǒng)以及已經(jīng)安裝的補(bǔ)丁情況�����,打包�����、分配�����、安裝所需要的補(bǔ)丁�����。桌面安全管理系統(tǒng)可以自動(dòng)對(duì)漏洞進(jìn)行及時(shí)檢測(cè)修復(fù)�����,保障系統(tǒng)的安全�����。
2.2IT資產(chǎn)管理
桌面安全管理系統(tǒng)根據(jù)所管理范圍的桌面終端系統(tǒng)的軟件和硬件資產(chǎn)變更進(jìn)行管理�����,以小時(shí)�����、天�����、周為周期通過(guò)軟件或者人工只能收集資產(chǎn)信息�����,然后再將所收集的信息納入資產(chǎn)信息庫(kù)�����。桌面安全管理人員根據(jù)資產(chǎn)編號(hào)�����、資產(chǎn)所歸屬部門、資產(chǎn)使用人等信息進(jìn)行查詢和管理�����,最后定時(shí)生成資產(chǎn)信息報(bào)表�����。在桌面安全管理系統(tǒng)控制臺(tái)管理中�����,管理人員可以清楚地了解有多少計(jì)算機(jī)沒(méi)有安裝桌面安全管理系統(tǒng)�����,利于管理人員掌握網(wǎng)絡(luò)資產(chǎn)數(shù)據(jù)�����。
2.3軟件分發(fā)
在安裝軟件時(shí)�����,很多企業(yè)用戶因?yàn)橛?jì)算機(jī)水平良莠不齊等原因無(wú)法自行完成�����。一些通用軟件或者專業(yè)軟件覆蓋范圍廣,因此利用軟件分發(fā)功能便可以自動(dòng)化部署網(wǎng)絡(luò)客戶機(jī)的各個(gè)軟件�����,確保版本軟件以及配置保持同一性�����。桌面安全系統(tǒng)維護(hù)人員還要根據(jù)企業(yè)的實(shí)際需要來(lái)研究分析桌面安全管理系統(tǒng)的軟件開發(fā)功能�����,編寫包含工具軟件�����、系統(tǒng)軟件�����、補(bǔ)丁等常用軟件的自動(dòng)安裝包以及自動(dòng)卸載包�����,最后根據(jù)客戶的實(shí)際需要進(jìn)行軟件分發(fā)�����,這極大地降低了管理人員的工作強(qiáng)度�����,提高了工作效率�����。
2.4外接設(shè)備的管理
統(tǒng)一管理所有安裝了客戶端主機(jī)的外接設(shè)備�����,管理人員只要在控制中心進(jìn)行相應(yīng)配置后便可以控制是否允許USB接口�����、光驅(qū)�����、串口等外接設(shè)備的接入�����。同時(shí)值得注意的是,在管理人員對(duì)USB接口進(jìn)行管理時(shí)�����,用戶使用USB鍵盤�����、鼠標(biāo)不會(huì)受到限制�����,只有當(dāng)使用USB硬盤等存儲(chǔ)設(shè)備時(shí)才會(huì)受到限制�����。
2.5病毒防護(hù)管理
桌面安全管理系統(tǒng)可以很好地對(duì)客戶機(jī)的病毒防護(hù)情況進(jìn)行監(jiān)控�����,包括是否安裝了病毒防護(hù)軟件�����、是否將病毒代碼庫(kù)升級(jí)為最新等�����。在系統(tǒng)控制臺(tái)上�����,所有客戶機(jī)的信息都集合在一起�����,管理人員可以更好地管理�����。一些客戶機(jī)違規(guī)安裝了某些病毒防護(hù)軟件�����,或者是同時(shí)安裝了兩種病毒防護(hù)軟件�����,可能會(huì)導(dǎo)致系統(tǒng)運(yùn)行速度緩慢�����,增加了管理人員和維護(hù)人員的工作負(fù)擔(dān)。針對(duì)這種情況�����,桌面安全管理系統(tǒng)可以識(shí)別計(jì)算機(jī)屬性�����,統(tǒng)計(jì)違規(guī)客戶機(jī)信息�����,并采取限制使用網(wǎng)絡(luò)資源等方法來(lái)使用戶卸載違規(guī)安裝的病毒防護(hù)軟件�����,促進(jìn)病毒防護(hù)管理的規(guī)范化�����、合理化�����。
2.6遠(yuǎn)程維護(hù)
桌面安全管理系統(tǒng)的遠(yuǎn)程維護(hù)有兩種方式�����,分別是遠(yuǎn)程桌面查看以及遠(yuǎn)程桌面控制�����,通過(guò)遠(yuǎn)程維護(hù)方式�����,管理維護(hù)人員可以進(jìn)行遠(yuǎn)程診斷以及修復(fù)�����,極大提高了工作效率�����。與此同時(shí)�����,遠(yuǎn)程維護(hù)還支持客戶端確認(rèn)的過(guò)程,如遇客戶沒(méi)有確認(rèn)就不能接管客戶終端�����。終端遠(yuǎn)程維護(hù)服務(wù)只在需要時(shí)開啟�����,此外使用動(dòng)態(tài)密碼可以確保遠(yuǎn)程維護(hù)服務(wù)的安全性�����。
3結(jié)語(yǔ)
綜上所述�����,桌面安全管理系統(tǒng)充分運(yùn)用了信息安全管理技術(shù)來(lái)提高企業(yè)信息建設(shè)水平和安全管理效率�����,加強(qiáng)對(duì)網(wǎng)絡(luò)客戶端的控制并進(jìn)行實(shí)時(shí)監(jiān)控�����,集成其他網(wǎng)絡(luò)安全設(shè)備為可靠的�����、安全的局域網(wǎng)絡(luò)�����,極大地鞏固加強(qiáng)了對(duì)企業(yè)信息安全的保障�����。此外�����,桌面安全管理系統(tǒng)雖然越來(lái)越受到重視�����,但其在應(yīng)用領(lǐng)域仍處于比較不成熟狀態(tài)�����,需要企業(yè)進(jìn)行進(jìn)一步探究�����。
參考文獻(xiàn)
[1]盧緒平.桌面安全管理系統(tǒng)在企業(yè)信息建設(shè)中的應(yīng)用研究[J].化工管理,2015(11).
第9篇
關(guān)鍵詞:企業(yè);信息網(wǎng)絡(luò)�����;安全體系�����;安全技術(shù)
大中型企業(yè)作為我國(guó)國(guó)民經(jīng)濟(jì)的骨干企業(yè)�����,在國(guó)家經(jīng)濟(jì)發(fā)揮舉足輕重的作用�����,現(xiàn)代經(jīng)濟(jì)活動(dòng)離不開信息和網(wǎng)絡(luò)�����,大中型企業(yè)對(duì)網(wǎng)絡(luò)和信息技術(shù)的依賴性很強(qiáng)�����,企業(yè)員工多�����、信息化互聯(lián)設(shè)備多�����、種類多樣�����,企業(yè)的關(guān)鍵業(yè)務(wù)大多架構(gòu)在IT系統(tǒng)之上�����,網(wǎng)絡(luò)環(huán)境的穩(wěn)定性�����、安全性�����、高效性直接影響公司信息化應(yīng)用�����。目前,許多大中型企業(yè)提出了建立“數(shù)字化企業(yè)”的目標(biāo)�����,在企業(yè)信息化建設(shè)中�����,信息安全問(wèn)題是必須要首先考慮的問(wèn)題�����,可見(jiàn)�����,建立企業(yè)信息安全體系勢(shì)在必行�����。
1 企業(yè)信息網(wǎng)絡(luò)安全威脅及風(fēng)險(xiǎn)
近年來(lái),許多大中型企業(yè)十分重視信息網(wǎng)絡(luò)建設(shè)的應(yīng)用和開發(fā)�����,但是對(duì)于信息網(wǎng)絡(luò)安全的防護(hù)并沒(méi)有得到足夠重視�����。根據(jù)調(diào)研機(jī)構(gòu)的調(diào)查報(bào)告顯示�����,國(guó)內(nèi)企業(yè)中63%經(jīng)常遭受病毒或蠕蟲攻擊�����,而41%的企業(yè)受到惡意間諜軟件或惡意軟件的威脅�����。主要體現(xiàn)在:病毒和蠕蟲攻擊�����、黑客入侵�����、惡意攻擊�����、完整性破壞、網(wǎng)絡(luò)資源濫用�����、員工信息安全意識(shí)淡薄等�����。
目前企業(yè)面臨著網(wǎng)絡(luò)攻擊的“外部威脅”及內(nèi)部人員信息泄露的“內(nèi)部威脅”的雙重考驗(yàn)�����,垃圾郵件�����、企業(yè)機(jī)密泄露�����、網(wǎng)絡(luò)資源濫用�����、病毒泛濫以及網(wǎng)絡(luò)攻擊等問(wèn)題成為企業(yè)最為頭疼的網(wǎng)絡(luò)安全問(wèn)題,企業(yè)網(wǎng)絡(luò)環(huán)境日趨嚴(yán)峻�����。
2 企業(yè)網(wǎng)絡(luò)安全體系
大中型企業(yè)網(wǎng)絡(luò)面臨嚴(yán)峻的安全形勢(shì)�����,迫使各企業(yè)意識(shí)到構(gòu)建完備安全體系的重要性�����,隨著網(wǎng)絡(luò)攻擊的多樣化�����,只針對(duì)網(wǎng)絡(luò)層以下的安全解決方案已經(jīng)不足以應(yīng)付各種各樣的攻擊�����,同時(shí)還要隨時(shí)注重操作系統(tǒng)�����、數(shù)據(jù)庫(kù)�����、軟硬件設(shè)備的安全性�����;企業(yè)安全體系建設(shè)不僅要有效抵御外網(wǎng)攻擊�����,而且要能防范可能來(lái)自內(nèi)部的安全泄密等威脅�����。企業(yè)必須采用多層次的安全系統(tǒng)架構(gòu)才能保障企業(yè)網(wǎng)絡(luò)安全�����,最終建立一套以內(nèi)外兼防為特征的企業(yè)安全保障體系�����。
企業(yè)信息網(wǎng)絡(luò)安全體系由物理安全�����、鏈路安全、網(wǎng)絡(luò)安全�����、系統(tǒng)安全�����、信息安全五部分構(gòu)成�����。
物理安全:物理安全主要是保護(hù)企業(yè)數(shù)據(jù)庫(kù)服務(wù)器�����、應(yīng)用服務(wù)器�����、網(wǎng)絡(luò)設(shè)備�����、數(shù)據(jù)介質(zhì)及其他物理實(shí)體設(shè)備的安全�����,提供一個(gè)安全可靠的物理運(yùn)行環(huán)境�����。
鏈路安全:數(shù)據(jù)鏈路層(第二協(xié)議層)的通信連接就安全而言�����,是較為薄弱的環(huán)節(jié)�����。目的是保證網(wǎng)絡(luò)鏈路傳送的數(shù)據(jù)不被竊聽和篡改�����。
網(wǎng)絡(luò)安全:網(wǎng)絡(luò)安全主要包括:通過(guò)防火墻隔離內(nèi)外網(wǎng)絡(luò)�����,不同區(qū)域的訪問(wèn)控制�����,部署基于網(wǎng)絡(luò)的身份認(rèn)證及入侵檢測(cè)系統(tǒng)、VPN�����、網(wǎng)絡(luò)集中防病毒等手段實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備自身的安全可靠�����。
系統(tǒng)安全:系統(tǒng)安全主要指數(shù)據(jù)庫(kù)�����、操作系統(tǒng)的安全保護(hù)�����。保證應(yīng)用系統(tǒng)的可靠性�����、完整性和高效性�����。
信息安全:主要通過(guò)數(shù)據(jù)加密�����、CA認(rèn)證�����、授權(quán)等手段保證信息處理�����、傳遞�����、存儲(chǔ)的保密性�����、完整性和可用性�����。
典型企業(yè)信息網(wǎng)絡(luò)安全管理體系拓?fù)浣Y(jié)構(gòu)如圖一所示:
3 信息安全體系設(shè)計(jì)原則
企業(yè)安全設(shè)計(jì)應(yīng)遵循如下原則:
3.1保密性:信息不能夠泄露給非授權(quán)用戶�����、實(shí)體或過(guò)程,或供其利用的特性�����。
3.2完整性:信息完整性是指信息在輸入和傳輸?shù)倪^(guò)程中�����,不被非法授權(quán)修改和破壞�����,保證數(shù)據(jù)的一致性�����。
3. 3可用性:保障授權(quán)用戶在需要時(shí)可以獲取信息并按要求使用的特性�����。
3.4可控性:對(duì)信息的處理�����、傳遞�����、存儲(chǔ)等具有控制能力�����。
信息安全就是要保障維護(hù)信息的機(jī)密性�����、完整性�����、可用性以及保障維護(hù)信息的真實(shí)性�����、可問(wèn)責(zé)性�����、不可抵賴性�����、可靠性、守法性�����。
4 企業(yè)網(wǎng)絡(luò)安全防范技術(shù)手段
目前企業(yè)信息網(wǎng)絡(luò)布署的安全技術(shù)手段主要方式有:
4.1防火墻系統(tǒng)
防火墻系統(tǒng)作為企業(yè)網(wǎng)絡(luò)安全系統(tǒng)必不可少的組成部分�����,用于防范來(lái)自外部interne非法用戶對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)的主動(dòng)威脅�����。防火墻系統(tǒng)搭建在內(nèi)部網(wǎng)絡(luò)與外部公共Internet網(wǎng)絡(luò)之間�����,通過(guò)合理配置訪問(wèn)控制策略�����,管理Internet和內(nèi)部網(wǎng)絡(luò)之間的訪問(wèn)�����。其主要功能包括訪問(wèn)控制�����、信息過(guò)濾�����、流量分析和監(jiān)控�����、阻斷非法數(shù)據(jù)傳輸?shù)?����。企業(yè)在外部攻擊的頻度和攻擊流量非常嚴(yán)重的情況下�����,建議配置專用的DDOS防火墻�����。
4.2入侵檢測(cè)系統(tǒng)
入侵檢測(cè)系統(tǒng)(簡(jiǎn)稱“IDS”)是一種對(duì)網(wǎng)絡(luò)傳輸進(jìn)行即時(shí)監(jiān)視�����,在發(fā)現(xiàn)可疑傳輸時(shí)發(fā)出警報(bào)或者采取主動(dòng)反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。IDS是一種積極主動(dòng)的安全防護(hù)技術(shù)�����,可以彌補(bǔ)防火墻相對(duì)靜態(tài)防御的不足�����,通過(guò)對(duì)來(lái)自外部網(wǎng)和內(nèi)部的各種行為進(jìn)行實(shí)時(shí)檢測(cè)�����,及時(shí)發(fā)現(xiàn)未授權(quán)或異?����,F(xiàn)象以及各種可能的攻擊企圖�����,記錄有關(guān)事件�����,以便網(wǎng)管員及時(shí)采取防范措施,為事后分析提供依據(jù)的依據(jù)�����。
4.3漏洞掃描系統(tǒng)
企業(yè)內(nèi)部部署漏洞掃描系統(tǒng)�����,不間斷地對(duì)企業(yè)工作站�����、服務(wù)器�����、防火墻�����、交換機(jī)等進(jìn)行安全檢查�����,提供記錄有關(guān)漏洞的詳細(xì)信息和最佳解決對(duì)策�����,協(xié)助網(wǎng)管員及時(shí)發(fā)現(xiàn)和堵絕漏洞�����、降低風(fēng)險(xiǎn)�����,防患于未然�����。
4.4網(wǎng)頁(yè)防篡改系統(tǒng)
網(wǎng)頁(yè)防篡改系統(tǒng)主要是防止企業(yè)對(duì)外Web遭受黑客的篡改�����,保證企業(yè)外部網(wǎng)站的正常運(yùn)行�����。防篡改系統(tǒng)利用先進(jìn)的Web服務(wù)器核心內(nèi)嵌技術(shù)�����,將篡改檢測(cè)模塊(數(shù)字水印技術(shù))和應(yīng)用防護(hù)模塊(防注入攻擊)內(nèi)嵌于Web服務(wù)器內(nèi)部,并輔助以增強(qiáng)型事件觸發(fā)檢測(cè)技術(shù)�����,不僅實(shí)現(xiàn)了對(duì)靜態(tài)網(wǎng)頁(yè)和腳本的實(shí)時(shí)檢測(cè)和恢復(fù)�����,更可以保護(hù)數(shù)據(jù)庫(kù)中的動(dòng)態(tài)內(nèi)容免受來(lái)自于Web的攻擊和篡改�����,徹底解決網(wǎng)頁(yè)防篡改問(wèn)題�����。
4.5上網(wǎng)行為管理系統(tǒng)
上網(wǎng)行為管理系統(tǒng)主要部署在企業(yè)外部防火墻和內(nèi)部核心交換機(jī)之間�����,針對(duì)企業(yè)內(nèi)部員工訪問(wèn)Internet行為進(jìn)行集中管理與控制�����。其主要功能有:網(wǎng)頁(yè)過(guò)濾�����、應(yīng)用控制(IM聊天�����、P2P下載�����、在線娛樂(lè)�����、炒股軟件�����、論壇發(fā)帖等)�����、帶寬管理�����、內(nèi)容審計(jì)(郵件收發(fā)、論壇發(fā)帖�����、FTP�����、HTTP文件傳輸?shù)龋?����、用戶管理�����、日志管理等功能?/p>
4.6內(nèi)網(wǎng)安全管理平臺(tái)
據(jù)FBI/CSI中國(guó)CNISTEC調(diào)查報(bào)告:來(lái)自企業(yè)外部威脅占20%�����,內(nèi)部威脅高達(dá)80%�����。針對(duì)大型企業(yè)日益復(fù)雜的內(nèi)部網(wǎng)絡(luò)環(huán)境以及基于企業(yè)保密管理的需求�����,必須構(gòu)造一套內(nèi)網(wǎng)安全管理平臺(tái)�����,規(guī)范和管理內(nèi)部網(wǎng)絡(luò)環(huán)境�����,提高內(nèi)部網(wǎng)絡(luò)資源的可控性�����。其功能應(yīng)包括:用戶認(rèn)證與授權(quán)�����、IP與MAC綁定�����、網(wǎng)絡(luò)監(jiān)控�����、桌面監(jiān)控、安全域管理�����、 存儲(chǔ)介質(zhì)管理�����、補(bǔ)丁分發(fā)�����、文檔安全管理�����、資產(chǎn)管理�����、日志報(bào)表管理等�����。
4.7企業(yè)集中防病毒系統(tǒng)
在病毒肆虐的時(shí)代�����,反病毒已經(jīng)成為企業(yè)信息安全非常重要的一環(huán)�����,企業(yè)網(wǎng)絡(luò)情況比較復(fù)雜�����,由于員工計(jì)算機(jī)水平大多不高�����,構(gòu)造一套完整的企業(yè)集中防病毒網(wǎng)絡(luò)系統(tǒng)平臺(tái)�����,可以強(qiáng)化病毒防護(hù)系統(tǒng)的應(yīng)用策略和統(tǒng)一管理策略�����,并且使企業(yè)員工電腦的病毒庫(kù)及時(shí)得到更新�����,增強(qiáng)病毒防護(hù)有效性,降低病毒對(duì)安全帶來(lái)的威脅�����。
集中防病毒系統(tǒng)應(yīng)具有:集中管控�����、遠(yuǎn)程安裝�����、智能升級(jí)�����、遠(yuǎn)程報(bào)警�����、分布查殺等多種功能�����。
4.8建立健全企業(yè)安全管理組織體系及制度�����,加強(qiáng)企業(yè)信息安全意識(shí)
企業(yè)在建設(shè)信息網(wǎng)絡(luò)安全建設(shè)技術(shù)手段的同時(shí)�����,更需要考慮管理的安全性�����,不斷完善企業(yè)信息安全制度�����。通過(guò)培訓(xùn)�����,增強(qiáng)每個(gè)員工的安全意識(shí)�����,為大中型企業(yè)信息安全管理奠定基礎(chǔ)�����。
隨著信息技術(shù)的發(fā)展,企業(yè)無(wú)線接入�����、電子商務(wù)交易�����、數(shù)字簽名�����、數(shù)字證書等安全管理也應(yīng)逐步納入企業(yè)信息安全體系范疇�����。
五�����、 結(jié)束語(yǔ)
目前�����,大中型企業(yè)信息進(jìn)程的深入和互聯(lián)網(wǎng)的快速發(fā)展�����,網(wǎng)絡(luò)化已經(jīng)成為企業(yè)信息化的發(fā)展大趨勢(shì)�����,針對(duì)各種網(wǎng)絡(luò)應(yīng)用的攻擊和破壞方式也變得異常頻繁�����,信息化發(fā)展而來(lái)的網(wǎng)絡(luò)安全問(wèn)題日漸突出�����,網(wǎng)絡(luò)安全問(wèn)題已成為信息時(shí)代人類共同面臨的挑戰(zhàn)�����,同時(shí)�����,網(wǎng)絡(luò)信息安全是一個(gè)系統(tǒng)工程�����,涉及人員、硬軟件設(shè)備�����、資金�����、制度等因素�����,沒(méi)有絕對(duì)可靠的安全技術(shù)�����,科學(xué)有效的管理可以彌補(bǔ)技術(shù)安全漏洞的缺陷�����。
參考文獻(xiàn):
[1]向宏�����,傅鸝,詹榜華 著 信息安全測(cè)評(píng)與風(fēng)險(xiǎn)評(píng)估 電子工業(yè)出版社 2009-01
[2]謝宗曉�����,郭立生 著 信息安全管理體系應(yīng)用手冊(cè)中國(guó)標(biāo)準(zhǔn)出版社 2008-10
