導(dǎo)語(yǔ):在企業(yè)信息安全現(xiàn)狀的撰寫(xiě)旅程中�����,學(xué)習(xí)并吸收他人佳作的精髓是一條寶貴的路徑�����,好期刊匯集了九篇優(yōu)秀范文�����,愿這些內(nèi)容能夠啟發(fā)您的創(chuàng)作靈感�����,引領(lǐng)您探索更多的創(chuàng)作可能�����。
第1篇
【關(guān)鍵詞】煤礦 信息網(wǎng)絡(luò)信息系統(tǒng) 網(wǎng)絡(luò)安全
隨著信息技術(shù)、網(wǎng)絡(luò)技術(shù)、自動(dòng)化技術(shù)�����、視頻技術(shù)、傳感器技術(shù)等一系列先進(jìn)技術(shù)的快速發(fā)展和融合�����,煤礦企業(yè)信息網(wǎng)絡(luò)建設(shè)也取得了豐碩成果�����。目前國(guó)內(nèi)大�����、中型煤礦企業(yè)基本上都已經(jīng)構(gòu)建和裝備了企業(yè)互聯(lián)網(wǎng)�����、工業(yè)以太網(wǎng)�����、監(jiān)測(cè)監(jiān)控�����、人員定位�����、工業(yè)控制等信息系統(tǒng)�����,這些信息系統(tǒng)已經(jīng)深入到煤礦安全生產(chǎn)的方方面面�����,而且很多工業(yè)系統(tǒng)自動(dòng)化程度非常的高�����,比如提升系統(tǒng)�����、選煤系統(tǒng)等已經(jīng)實(shí)現(xiàn)了無(wú)人操作�����,遠(yuǎn)程開(kāi)停�����、故障閉鎖等�����,操作人員只需要對(duì)運(yùn)行的參數(shù)進(jìn)行觀測(cè)和記錄�����,大大提高了人員工作效率�����、增強(qiáng)了企業(yè)的核心競(jìng)爭(zhēng)力�����。所以今天煤礦企業(yè)信息網(wǎng)安全就顯得尤為重要�����,本文將就煤礦企業(yè)信息網(wǎng)絡(luò)安全現(xiàn)狀及重要性進(jìn)行分析和探究。
1 現(xiàn)狀分析
我國(guó)中�����、大型煤礦企業(yè)建設(shè)和應(yīng)用了大量的信息系統(tǒng)和工業(yè)控制系統(tǒng)�����,并且這些信息系統(tǒng)已經(jīng)深入到生產(chǎn)經(jīng)營(yíng)的方方面面�����,促使煤礦企業(yè)從傳統(tǒng)的密集型�����、重體力生產(chǎn)模式向“采掘機(jī)械化�����、生產(chǎn)自動(dòng)化�����、管理信息化”模式轉(zhuǎn)變�����,有力地提升了煤礦企業(yè)管理效率�����,加速了煤礦的企業(yè)轉(zhuǎn)型升級(jí)�����。但是煤礦企業(yè)在信息網(wǎng)絡(luò)安全管理方面還存在諸多問(wèn)題:
1.1 企業(yè)管理人員對(duì)信息網(wǎng)絡(luò)安全的重要性認(rèn)識(shí)不足
主要表現(xiàn)在四點(diǎn)�����,一是沒(méi)有建立完善的信息網(wǎng)絡(luò)組織體系�����,相關(guān)的制度建立和落實(shí)不到位�����。二是企業(yè)大都沒(méi)有編制詳實(shí)可行的信息網(wǎng)絡(luò)安全預(yù)案�����,也沒(méi)有進(jìn)行相關(guān)的應(yīng)急演練�����;三是信息網(wǎng)絡(luò)安全方面的投入比較少�����,企業(yè)安全防護(hù)設(shè)施不全�����;四是企業(yè)管理人員對(duì)于信息網(wǎng)絡(luò)安全的知識(shí)非常欠缺�����,只注重信息系統(tǒng)具體應(yīng)用和預(yù)設(shè)功能�����,對(duì)于操作可能帶來(lái)的網(wǎng)絡(luò)威脅沒(méi)有防范意識(shí)�����。
1.2 信息孤島與信息網(wǎng)絡(luò)安全之間的矛盾日益沖突
早期煤礦企業(yè)建設(shè)的信息系統(tǒng)和工業(yè)控制系統(tǒng)都是一個(gè)單一的個(gè)體�����,相互獨(dú)立�����,之間沒(méi)有任何聯(lián)系�����,隨著信息技術(shù)的發(fā)展和企業(yè)管控一體化進(jìn)程的不斷推進(jìn)�����?����!靶畔⒐聧u”的問(wèn)題得到了很大程度的解決�����,但同時(shí)產(chǎn)生的信息網(wǎng)絡(luò)安全問(wèn)題也日益突出�����?����!靶畔⒐聧u”的消除依賴網(wǎng)絡(luò)的廣泛應(yīng)用�����,而網(wǎng)絡(luò)正是信息安全的薄弱環(huán)節(jié)�����。消除“信息孤島”勢(shì)必使工業(yè)控制系統(tǒng)增加大量的對(duì)外聯(lián)系通道�����,這使得信息網(wǎng)絡(luò)安全面臨更加復(fù)雜的環(huán)境�����,安全保障的難度大大增加�����。
1.3 信息安全管理人員信息安全知識(shí)和技能不足�����,主要依靠外部安全服務(wù)公司的力量
主要原因有三點(diǎn):
(1)煤礦企業(yè)地處偏遠(yuǎn)山區(qū)�����、工作環(huán)境和生活環(huán)境相對(duì)都比較差�����,很難招聘到高科技人才�����,即是招到人也很難留下來(lái)�����。
(2)企業(yè)以煤炭生產(chǎn)�����、加工、銷售為主業(yè)�����,信息技術(shù)人才發(fā)展空間小�����、大多數(shù)人員都只是從事信息維修工和桌面支持之類的工作�����。
(3)信息安全管理人員長(zhǎng)期得不到培訓(xùn)和學(xué)習(xí)的機(jī)會(huì)�����,信息技術(shù)知識(shí)的儲(chǔ)備量有限�����、業(yè)務(wù)水平處在較低的一個(gè)水平�����,所以只能依靠外部安全服務(wù)公司。
1.4 信息網(wǎng)絡(luò)安全防護(hù)設(shè)備利用率低�����,很難發(fā)揮應(yīng)有的功能
煤礦企業(yè)在信息網(wǎng)絡(luò)建設(shè)初期都會(huì)做網(wǎng)絡(luò)安全方面的布置�����,比如在網(wǎng)絡(luò)邊界架設(shè)防火墻�����、入侵檢測(cè)設(shè)備�����,在內(nèi)部部署殺毒軟件�����,形成了軟硬件相結(jié)合的防御模式�����,可是很多企業(yè)的防火墻和入侵檢測(cè)設(shè)備從安裝到被替換可能從來(lái)都沒(méi)有做過(guò)配置更新,和漏洞修復(fù)�����、打補(bǔ)丁之類的操作�����,大多數(shù)的員工電腦也從不安裝殺毒軟件�����,這就做法無(wú)形中弱化了我們防御的盾牌和進(jìn)攻的長(zhǎng)矛�����,使網(wǎng)絡(luò)安全防護(hù)設(shè)備長(zhǎng)期處于半“休眠”狀態(tài)�����。
2 重要性
“沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全”�����,在浙江烏鎮(zhèn)世界互聯(lián)網(wǎng)大會(huì)上提出的網(wǎng)絡(luò)安全觀,足以證明網(wǎng)絡(luò)安全對(duì)于國(guó)家的重要性�����。那么同樣對(duì)于現(xiàn)今充分利用信息網(wǎng)絡(luò)和工業(yè)控制系統(tǒng)的現(xiàn)代化煤礦企業(yè)來(lái)說(shuō)�����,如果沒(méi)有足夠的信息網(wǎng)絡(luò)安全也就沒(méi)有企業(yè)的安全生產(chǎn)�����。信息技術(shù)是一把“雙刃劍”�����,它改變了企業(yè)的生產(chǎn)方式�����,優(yōu)化了企業(yè)的管理流程�����,提高了企業(yè)管理效率�����,可是同樣卻又不得不將企業(yè)置身于互聯(lián)網(wǎng)之中�����?����;ヂ?lián)網(wǎng)是一個(gè)“超領(lǐng)土”存在的虛擬空間�����,存在各種潛在的威脅�����,比如利用木馬�����、病毒�����、遠(yuǎn)程攻擊、控制等方式,泄露企業(yè)的商業(yè)機(jī)密�����、修改控制系統(tǒng)指令�����、攻陷服務(wù)器�����、盜取個(gè)人信息等�����,這些都有可能對(duì)企業(yè)造成嚴(yán)重安全事故和經(jīng)濟(jì)損失�����。這些還只是企業(yè)內(nèi)部的損失�����,很多大�����、中型煤礦企業(yè)為了提升企業(yè)管理效率都開(kāi)通與集團(tuán)公司之間的專線VPN�����,承載了很多應(yīng)用服務(wù)包括協(xié)同OA、生產(chǎn)調(diào)度�����、銷售等等的數(shù)據(jù)都要進(jìn)行通信�����,如果信息網(wǎng)絡(luò)安全受到攻擊癱瘓�����,都會(huì)對(duì)企業(yè)的生產(chǎn)經(jīng)營(yíng)造成影響�����,更有甚者可能通過(guò)煤礦企業(yè)本地發(fā)起攻擊�����,致使整個(gè)集團(tuán)的信息網(wǎng)絡(luò)受到嚴(yán)重威脅�����,所以煤礦企業(yè)管理人員一定要樹(shù)立正確的信息網(wǎng)絡(luò)安全觀�����,充分認(rèn)知信息網(wǎng)絡(luò)安全的重要性�����,加快構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系�����,增強(qiáng)企業(yè)信息網(wǎng)絡(luò)安全的防御能力�����。
3 總結(jié)
總之�����,信息網(wǎng)絡(luò)技術(shù)發(fā)展的今天�����,信息網(wǎng)絡(luò)安全已經(jīng)是每一個(gè)煤礦企業(yè)必須面對(duì)和正視的問(wèn)題�����,也是每一個(gè)企業(yè)管理者應(yīng)該積極參與和考慮的問(wèn)題�����。古人云“知己知彼 百戰(zhàn)不殆”�����,煤礦企業(yè)應(yīng)該立即行動(dòng)起來(lái)�����,通過(guò)開(kāi)展關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全檢查�����,準(zhǔn)確掌握企業(yè)關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全狀況�����,詳細(xì)評(píng)估企業(yè)所面R的網(wǎng)絡(luò)安全威脅�����,制定對(duì)應(yīng)的防范措施�����,構(gòu)建企業(yè)信息網(wǎng)絡(luò)安全的“防火墻”�����,為企業(yè)安全生產(chǎn)經(jīng)營(yíng)�����、職工娛樂(lè)生活營(yíng)造一個(gè)安全�����、穩(wěn)定�����、健康的網(wǎng)絡(luò)環(huán)境�����。
參考文獻(xiàn)
[1]陳龍.煤炭企業(yè)網(wǎng)絡(luò)安全建設(shè)與管理探究[J].煤炭技術(shù)�����,2013.
[2]劉永軍.關(guān)于煤炭網(wǎng)絡(luò)信息安全問(wèn)題分析及對(duì)策研究[J].科技創(chuàng)新與應(yīng)用�����,2014.
第2篇
關(guān)鍵詞:企業(yè)信息化�����;信息安全管理體系;信息安全保障
1 企業(yè)信息安全需求與目標(biāo)
近年來(lái)隨著企業(yè)信息系統(tǒng)建設(shè)的不斷發(fā)展�����,企業(yè)的信息化安全也面臨著前所未有的挑戰(zhàn)�����。作為中國(guó)高速列車產(chǎn)業(yè)化制造基地和城軌地鐵車輛定點(diǎn)制造企業(yè)�����,公司的發(fā)展對(duì)高速動(dòng)車行業(yè)產(chǎn)生著舉足輕重的作用�����;從企業(yè)信息安全現(xiàn)狀分析�����,公司IT部門(mén)主管深深意識(shí)到�����,盡管從自身情況來(lái)看�����,在信息安全方面已經(jīng)做了很多工作�����,如部署了防火墻�����、SSL VPN�����、入侵檢測(cè)系統(tǒng)、入侵防御系統(tǒng)�����、防病毒系統(tǒng)、文檔加密、終端安全管理系統(tǒng)等�����。但是安全系統(tǒng)更多的在于防堵來(lái)自某個(gè)方面的安全威脅�����,無(wú)法產(chǎn)生協(xié)同效應(yīng)�����,距離國(guó)際同行業(yè)企業(yè)還存在一定的差距�����。
公司通過(guò)可行性研究及論證�����,決定借助外力�����,通過(guò)知名的咨詢公司協(xié)助企業(yè)發(fā)現(xiàn)存在的信息安全不足點(diǎn)�����,以科研項(xiàng)目方式�����,通過(guò)研究國(guó)家安全標(biāo)準(zhǔn)體系及國(guó)家對(duì)央企和上市企業(yè)的信息化安全要求�����,分析企業(yè)目前的現(xiàn)狀和國(guó)際標(biāo)準(zhǔn)ISO27001之間的差距�����,繼而完善企業(yè)信息安全體系的規(guī)劃與設(shè)計(jì)�����,最終建立一套適合企業(yè)現(xiàn)狀的信息安全標(biāo)準(zhǔn)和管理體系�����。目標(biāo)是使公司信息安全從管理到技術(shù)均得到全面加強(qiáng)�����,建立一個(gè)有責(zé)(職責(zé))�����、有序(秩序)�����、有效(效率)的信息安全管理體系�����,預(yù)防信息安全事件的發(fā)生,確保更小的業(yè)務(wù)損失�����,提供客戶滿意度�����,獲取更多的管理支持�����。在行業(yè)內(nèi)樹(shù)立標(biāo)桿和示范�����,提升企業(yè)形象�����,贏取客戶信任�����,增強(qiáng)競(jìng)爭(zhēng)力�����。同時(shí)�����,使信息安全體系通過(guò)信息安全管理體系通過(guò)ISO 27001認(rèn)證標(biāo)準(zhǔn)�����。
2 企業(yè)信息安全管理體系建設(shè)過(guò)程
凡事預(yù)則立�����,不預(yù)則廢�����。對(duì)于信息安全管理建設(shè)的工作也先由計(jì)劃開(kāi)始�����。信息安全管理體系建設(shè)分為四個(gè)階段:實(shí)施安全風(fēng)險(xiǎn)評(píng)估�����、規(guī)劃體系建設(shè)方案�����、建立信息安全管理體系�����、體系運(yùn)行及改進(jìn)�����。也符合信息安全管理循環(huán)PDCA(Plan-Do-Check-Action)模型及ISO27001要求,即有效地保護(hù)企業(yè)信息系統(tǒng)的安全�����,確保信息安全的持續(xù)發(fā)展�����。本文結(jié)合作者經(jīng)驗(yàn)�����,重點(diǎn)論述上述幾個(gè)方面的內(nèi)容�����。
2.1 確立范圍
首先是確立項(xiàng)目范圍�����,從機(jī)構(gòu)層次及系統(tǒng)層次兩個(gè)維度進(jìn)行范圍的劃分�����。從機(jī)構(gòu)層次上�����,可以考慮內(nèi)部機(jī)構(gòu):需要覆蓋公司的各個(gè)部門(mén)�����,其包括總部�����、事業(yè)部�����、制造本部�����、技術(shù)本部等�����;外部機(jī)構(gòu):則包括公司信息系統(tǒng)相連的外部機(jī)構(gòu)�����,包括供應(yīng)商�����、中間業(yè)務(wù)合作伙伴�����、及其他合作伙伴等�����。
從系統(tǒng)層次上,可按照物理環(huán)境:即支撐信息系統(tǒng)的場(chǎng)所�����、所處的周邊環(huán)境以及場(chǎng)所內(nèi)保障計(jì)算機(jī)系統(tǒng)正常運(yùn)行的設(shè)施�����。包括機(jī)房環(huán)境�����、門(mén)禁�����、監(jiān)控等�����;網(wǎng)絡(luò)系統(tǒng):構(gòu)成信息系統(tǒng)網(wǎng)絡(luò)傳輸環(huán)境的線路介質(zhì)�����,設(shè)備和軟件�����;服務(wù)器平臺(tái)系統(tǒng):支撐所有信息系統(tǒng)的服務(wù)器�����、網(wǎng)絡(luò)設(shè)備�����、客戶機(jī)及其操作系統(tǒng)�����、數(shù)據(jù)庫(kù)�����、中間件和Web系統(tǒng)等軟件平臺(tái)系統(tǒng)�����;應(yīng)用系統(tǒng):支撐業(yè)務(wù)�����、辦公和管理應(yīng)用的應(yīng)用系統(tǒng)�����;數(shù)據(jù):整個(gè)信息系統(tǒng)中傳輸以及存儲(chǔ)的數(shù)據(jù)�����;安全管理:包括安全策略�����、規(guī)章制度�����、人員組織�����、開(kāi)發(fā)安全�����、項(xiàng)目安全管理和系統(tǒng)管理人員在日常運(yùn)維過(guò)程中的安全合規(guī)�����、安全審計(jì)等�����。
2.2 安全風(fēng)險(xiǎn)評(píng)估
企業(yè)信息安全是指保障企業(yè)業(yè)務(wù)系統(tǒng)不被非法訪問(wèn)�����、利用和篡改�����,為企業(yè)員工提供安全�����、可信的服務(wù)�����,保證信息系統(tǒng)的可用性�����、完整性和保密性�����。
本次進(jìn)行的安全評(píng)估�����,主要包括兩方面的內(nèi)容:
2.2.1 企業(yè)安全管理類的評(píng)估
通過(guò)企業(yè)的安全控制現(xiàn)狀調(diào)查、訪談�����、文檔研讀和ISO27001的最佳實(shí)踐比對(duì)�����,以及在行業(yè)的經(jīng)驗(yàn)上進(jìn)行“差距分析”�����,檢查企業(yè)在安全控制層面上存在的弱點(diǎn)�����,從而為安全措施的選擇提供依據(jù)�����。
評(píng)估內(nèi)容包括ISO27001所涵蓋的與信息安全管理體系相關(guān)的11個(gè)方面�����,包括信息安全策略�����、安全組織�����、資產(chǎn)分類與控制、人員安全�����、物理和環(huán)境安全�����、通信和操作管理�����、訪問(wèn)控制�����、系統(tǒng)開(kāi)發(fā)與維護(hù)�����、安全事件管理�����、業(yè)務(wù)連續(xù)性管理、符合性�����。
2.2.2 企業(yè)安全技術(shù)類評(píng)估
基于資產(chǎn)安全等級(jí)的分類�����,通過(guò)對(duì)信息設(shè)備進(jìn)行的安全掃描�����、安全設(shè)備的配置�����,檢查分析現(xiàn)有網(wǎng)絡(luò)設(shè)備�����、服務(wù)器系統(tǒng)�����、終端�����、網(wǎng)絡(luò)安全架構(gòu)的安全現(xiàn)狀和存在的弱點(diǎn)�����,為安全加固提供依據(jù)�����。
針對(duì)企業(yè)具有代表性的關(guān)鍵應(yīng)用進(jìn)行安全評(píng)估�����。關(guān)鍵應(yīng)用的評(píng)估方式采用滲透測(cè)試的方法�����,在應(yīng)用評(píng)估中將對(duì)應(yīng)用系統(tǒng)的威脅�����、弱點(diǎn)進(jìn)行識(shí)別�����,分析其和應(yīng)用系統(tǒng)的安全目標(biāo)之間的差距�����,為后期改造提供依據(jù)�����。
提到安全評(píng)估�����,一定要有方法論�����。我們以ISO27001為核心�����,并借鑒國(guó)際常用的幾種評(píng)估模型的優(yōu)點(diǎn)�����,同時(shí)結(jié)合企業(yè)自身的特點(diǎn)�����,建立風(fēng)險(xiǎn)評(píng)估模型:
在風(fēng)險(xiǎn)評(píng)估模型中�����,主要包含信息資產(chǎn)�����、弱點(diǎn)�����、威脅和風(fēng)險(xiǎn)四個(gè)要素�����。每個(gè)要素有各自的屬性�����,信息資產(chǎn)的屬性是資產(chǎn)價(jià)值�����,弱點(diǎn)的屬性是弱點(diǎn)在現(xiàn)有控制措施的保護(hù)下�����,被威脅利用的可能性以及被威脅利用后對(duì)資產(chǎn)帶來(lái)影響的嚴(yán)重程度�����,威脅的屬性是威脅發(fā)生的可能性及其危害的嚴(yán)重程度�����,風(fēng)險(xiǎn)的屬性是風(fēng)險(xiǎn)級(jí)別的高低�����。風(fēng)險(xiǎn)評(píng)估采用定性的風(fēng)險(xiǎn)評(píng)估方法,通過(guò)分級(jí)別的方式進(jìn)行賦值�����。
2.3 規(guī)劃體系建設(shè)方案
企業(yè)信息安全問(wèn)題根源分布在技術(shù)�����、人員和管理等多個(gè)層面�����,須統(tǒng)一規(guī)劃并建立企業(yè)信息安全體系�����,并最終落實(shí)到管理措施和技術(shù)措施�����,才能確保信息安全。
規(guī)劃體系建設(shè)方案是在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上�����,對(duì)企業(yè)中存在的安全風(fēng)險(xiǎn)提出安全建議�����,增強(qiáng)系統(tǒng)的安全性和抗攻擊性。
在未來(lái)1-2年內(nèi)通過(guò)信息安全體系制的建立與實(shí)施�����,建立安全組織�����,技術(shù)上進(jìn)行安全審計(jì)�����、內(nèi)外網(wǎng)隔離的改造�����、安全產(chǎn)品的部署�����,實(shí)現(xiàn)以流程為導(dǎo)向的轉(zhuǎn)型�����。在未來(lái)的 3-5 年內(nèi)�����,通過(guò)完善的信息安全體系和相應(yīng)的物理環(huán)境改造和業(yè)務(wù)連續(xù)性項(xiàng)目的建設(shè)�����,將企業(yè)建設(shè)成為一個(gè)注重管理�����,預(yù)防為主,防治結(jié)合的先進(jìn)型企業(yè)�����。
2.4 企業(yè)信息安全體系建設(shè)
企業(yè)信息安全體系建立在信息安全模型與企業(yè)信息化的基礎(chǔ)上�����,建立信息安全管理體系核心可以更好的發(fā)揮六方面的能力:即預(yù)警(Warn)�����、保護(hù)(Protect)�����、檢測(cè)(Detect)�����、反應(yīng)(Response)�����、恢復(fù)(Recover)和反擊(Counter-attack)�����,體系應(yīng)該兼顧攘外和安內(nèi)的功能�����。
安全體系的建設(shè)一是涉及安全管理制度建設(shè)完善�����;二是涉及到信息安全技術(shù)�����。首先�����,針對(duì)安全管理制度涉及的主要內(nèi)容包括企業(yè)信息系統(tǒng)的總體安全方針�����、安全技術(shù)策略和安全管理策略等�����。安全總體方針涉及安全組織機(jī)構(gòu)�����、安全管理制度�����、人員安全管理�����、安全運(yùn)行維護(hù)等方面的安全制度。安全技術(shù)策略涉及信息域的劃分�����、業(yè)務(wù)應(yīng)用的安全等級(jí)�����、安全保護(hù)思路�����、說(shuō)以及進(jìn)一步的統(tǒng)一管理�����、系統(tǒng)分級(jí)�����、網(wǎng)絡(luò)互聯(lián)�����、容災(zāi)備份�����、集中監(jiān)控等方面的要求�����。
其次�����,信息安全技術(shù)按其所在的信息系統(tǒng)層次可劃分為物理安全技術(shù)�����、網(wǎng)絡(luò)安全技術(shù)�����、系統(tǒng)安全技術(shù)�����、應(yīng)用安全技術(shù),以及安全基礎(chǔ)設(shè)施平臺(tái)�����;同時(shí)按照安全技術(shù)所提供的功能又可劃分為預(yù)防保護(hù)類、檢測(cè)跟蹤類和響應(yīng)恢復(fù)類三大類技術(shù)�����。結(jié)合主流的安全技術(shù)以及未來(lái)信息系統(tǒng)發(fā)展的要求�����,規(guī)劃信息安全技術(shù)包括:
2.5 體系運(yùn)行及改進(jìn)
信息安全管理體系文件編制完成以后�����,由公司企劃部門(mén)組織按照文件的控制要求進(jìn)行審核。結(jié)合公司實(shí)際,在體系文件編制階段��,將該標(biāo)準(zhǔn)與公司的現(xiàn)有其他體系��,如質(zhì)量、環(huán)境保護(hù)等體系文件�����,改歸并的歸并�����。該修訂審核的再繼續(xù)修訂審核��。最終歷經(jīng)幾個(gè)月的努力,批準(zhǔn)并實(shí)施了信息安全管理系統(tǒng)的文檔。至此�����,信息安全管理體系將進(jìn)入運(yùn)行階段��。
有人說(shuō),信息系統(tǒng)的成功靠的是“三分技術(shù)��,七分管理,十二分執(zhí)行”��。“執(zhí)行”是要需要在實(shí)踐中去體會(huì)�����、總結(jié)與提高��。對(duì)于信息系統(tǒng)安全管理體系建設(shè)更是如此�����!在此期間,以IT部門(mén)牽頭�����,加強(qiáng)宣傳力度�����,組織了若干次不同層面的宣導(dǎo)培訓(xùn)����,充分發(fā)揮體系本身的各項(xiàng)功能��,及時(shí)發(fā)現(xiàn)存在的問(wèn)題�����,找出問(wèn)題根源�����,采取糾正措施����,并按照更改控制程序要求對(duì)體系予以更改��,以達(dá)到進(jìn)一步完善信息安全管理體系的目的��。
3 總結(jié)
總結(jié)項(xiàng)目��,建立健全的信息安全管理制度是進(jìn)行安全管理的基礎(chǔ)��。當(dāng)然,體系建設(shè)過(guò)程中還存在不足,如崗位原有職責(zé)與現(xiàn)有安全職責(zé)的界定����,員工的認(rèn)知及接受程度還有待提高����,體系在各部門(mén)領(lǐng)導(dǎo)重視程度��、執(zhí)行力度��、審核效果存在差距等等����。最終�����,在公司各部門(mén)的共同努力下����,體系經(jīng)歷了來(lái)自國(guó)際知名品牌認(rèn)證公司DNV及中國(guó)認(rèn)可委(CNAS)的雙重檢驗(yàn)����,并通過(guò)嚴(yán)格的體系審核。確認(rèn)了公司在信息安全管理體系達(dá)到國(guó)內(nèi)和國(guó)際信息安全管理標(biāo)準(zhǔn),提升公司信息安全管理的水平��,從而為企業(yè)向國(guó)際化發(fā)展與合作提供有力支撐�����。
[參考文獻(xiàn)]
[1]沈昌祥.《信息系統(tǒng)安全導(dǎo)論》.電子工業(yè)出版社��,2003.7.
第3篇
隨著企業(yè)信息化水平的提升,大多數(shù)企業(yè)在信息安全建設(shè)上逐步添加了上網(wǎng)行為管理����、內(nèi)網(wǎng)安全管理等新的安全設(shè)備��,但信息安全防護(hù)理念還停留在防的階段,信息安全策略都是在安全事件發(fā)生后再補(bǔ)救,導(dǎo)致了企業(yè)信息防范的主動(dòng)性和意識(shí)不高��,信息安全防護(hù)水平已經(jīng)越來(lái)越不適應(yīng)當(dāng)今企業(yè)IT運(yùn)維環(huán)境和企業(yè)發(fā)展的需求。
2企業(yè)信息系統(tǒng)安全防護(hù)的構(gòu)建原則
企業(yè)信息化安全建設(shè)的目標(biāo)是在保障企業(yè)數(shù)字化成果的安全性和可靠性����。在構(gòu)建企業(yè)信息安全體系時(shí)應(yīng)該遵循以下幾個(gè)原則:
2.1建立企業(yè)完善的信息化安全管理體系
企業(yè)信息安全管理體系首先要建立完善的組織架構(gòu)�����、制定信息安全管理規(guī)范,來(lái)保障信息安全制度的落實(shí)以及企業(yè)信息化安全體系的不斷完善��?���;酒髽I(yè)信息安全管理過(guò)程包括:分析企業(yè)數(shù)字化資產(chǎn)評(píng)估和風(fēng)險(xiǎn)分析����、規(guī)劃信息系統(tǒng)動(dòng)態(tài)安全模型�����、建立可靠嚴(yán)謹(jǐn)?shù)膱?zhí)行策略��、選用安全可靠的的防護(hù)產(chǎn)品等����。
2.2提高企業(yè)員工自身的信息安全防范意識(shí)
在企業(yè)信息化系統(tǒng)安全管理中�����,防護(hù)設(shè)備和防護(hù)策略只是其中的一部分�����,企業(yè)員工的行為也是維護(hù)企業(yè)數(shù)字化成果不可忽略的組成�����。所以企業(yè)在實(shí)施信息化安全管理時(shí)��,絕對(duì)不能忽視對(duì)人的行為規(guī)范和績(jī)效管理��。在企業(yè)實(shí)施企業(yè)信息安全前,應(yīng)制定企業(yè)員工信息安全行為規(guī)范,有效地實(shí)現(xiàn)企業(yè)信息系統(tǒng)和數(shù)字化成果的安全����、可靠�����、穩(wěn)定運(yùn)行,保證企業(yè)信息安全����。其次階段遞進(jìn)的培訓(xùn)信息安全人才也是保障企業(yè)數(shù)字化成果的重要措施�����。企業(yè)對(duì)員工進(jìn)行逐次的安全培訓(xùn)��,強(qiáng)化企業(yè)員工對(duì)信息安全的概念�����,提升員工的安全意識(shí)����。使員工的行為符合整個(gè)企業(yè)信息安全的防范要求�����。
2.3及時(shí)優(yōu)化更新企業(yè)信息安全防護(hù)技術(shù)
當(dāng)企業(yè)對(duì)自身信息安全做出了一套整體完善的防護(hù)規(guī)劃時(shí)����,就應(yīng)當(dāng)考慮采用何種安全防護(hù)技術(shù)來(lái)支撐整個(gè)信息安全防護(hù)體系��。對(duì)于安全防護(hù)技術(shù)來(lái)說(shuō)可以分為身份識(shí)別、網(wǎng)絡(luò)隔離����、網(wǎng)絡(luò)安全掃描����、實(shí)時(shí)監(jiān)控與入侵發(fā)現(xiàn)�����、安全備份恢復(fù)等����。比如身份識(shí)別的目的在于防止非企業(yè)人員訪問(wèn)企業(yè)資源��,并且可以根據(jù)員工級(jí)別分配人員訪問(wèn)權(quán)限��,達(dá)到企業(yè)敏感信息的安全保障��。
3企業(yè)信息安全體系部署的建議
根據(jù)企業(yè)信息安全建設(shè)架構(gòu)����,在滿足終端安全、網(wǎng)絡(luò)安全、應(yīng)用安全����、數(shù)據(jù)安全等安全防護(hù)體系時(shí)�����,我們需要重點(diǎn)關(guān)注以下幾個(gè)方面:
3.1實(shí)施終端安全,規(guī)范終端用戶行為
在企業(yè)信息安全事件中�����,數(shù)字化成果泄漏是屬于危害最為嚴(yán)重的一種行為��。企業(yè)信息安全體系建立前�����,企業(yè)員工對(duì)自己的個(gè)人行為不規(guī)范�����,造成了員工可以通過(guò)很多方式實(shí)現(xiàn)信息外漏��。比如通過(guò)U盤(pán)等存儲(chǔ)介質(zhì)拷貝或者通過(guò)聊天軟件傳遞企業(yè)的核心數(shù)字化成果��。對(duì)于這類高危的行為�����,我們?cè)诮ㄔO(shè)安全防護(hù)體系時(shí)��,僅僅靠上網(wǎng)行為管理控制是不能完全杜絕的����。應(yīng)該當(dāng)用戶接入企業(yè)信息化平臺(tái)前����,就對(duì)用戶的終端系統(tǒng)進(jìn)行安全規(guī)范檢查��,符合企業(yè)制定的終端安全要求后再接入企業(yè)內(nèi)網(wǎng)。同時(shí)配合上網(wǎng)行為管理的策略對(duì)員工的上網(wǎng)行為進(jìn)行審計(jì),使得企業(yè)員工的操作行為符合企業(yè)制定的上網(wǎng)行為規(guī)范����,從終端用戶提升企業(yè)的防護(hù)水平����。
3.2建設(shè)安全完善的VPN接入平臺(tái)
企業(yè)在信息化建設(shè)中�����,考慮總部和分支機(jī)構(gòu)的信息化需要����,必然會(huì)采用VPN方式來(lái)解決企業(yè)的需求��。不論是采用SSLVPN還是IPSecVPN����,VPN加密傳輸都是通用的選擇。對(duì)于分支機(jī)構(gòu)可以考慮專用的VPN設(shè)備和總部進(jìn)行IPSec連接�����,這種方式更安全可靠穩(wěn)定。對(duì)于移動(dòng)終端的接入可以考慮SSLVPN方式����。在這種情況下��,就必須做好對(duì)于移動(dòng)終端的身份認(rèn)證識(shí)別。其實(shí)我們?cè)谠O(shè)備采購(gòu)時(shí)�����,可以要求設(shè)備商做好多種接入方式的需求,并且?guī)椭髽I(yè)搭建認(rèn)證方式�����。這將有利于企業(yè)日常維護(hù),提升企業(yè)信息系統(tǒng)的VPN接入水平�����。
3.3優(yōu)化企業(yè)網(wǎng)絡(luò)的隔離性和控制性
在規(guī)劃企業(yè)網(wǎng)絡(luò)安全邊際時(shí)�����,要面對(duì)多個(gè)部門(mén)和分支結(jié)構(gòu)����,合理的規(guī)劃安全網(wǎng)絡(luò)邊際將是關(guān)鍵。企業(yè)的網(wǎng)絡(luò)體系可以分為:物理層����;數(shù)據(jù)鏈路層��;網(wǎng)絡(luò)層����;傳輸層;會(huì)話層�����;表示層�����;應(yīng)用層。各體系之間的相互隔離和訪問(wèn)策略是防止企業(yè)信息安全風(fēng)險(xiǎn)的重要環(huán)節(jié)��。在企業(yè)多樣化網(wǎng)絡(luò)環(huán)境的背景下����,根據(jù)企業(yè)安全優(yōu)先級(jí)及面臨的風(fēng)險(xiǎn)程度�����,做出適合企業(yè)信息安全的防護(hù)策略和訪問(wèn)控制策略�����。根據(jù)相應(yīng)防護(hù)設(shè)備進(jìn)行深層次的安全防護(hù),真正實(shí)現(xiàn)OSI的L2~L7層的安全防護(hù)����。
3.4實(shí)現(xiàn)企業(yè)信息安全防護(hù)體系的統(tǒng)一管理
為企業(yè)信息安全構(gòu)建統(tǒng)一的安全防護(hù)體系,重要的優(yōu)勢(shì)就是能實(shí)現(xiàn)對(duì)全網(wǎng)安全設(shè)備及安全事件的統(tǒng)一管理��,做到對(duì)整個(gè)網(wǎng)絡(luò)安全事件的“可視����、可控和可管”�����。企業(yè)采購(gòu)的各種安全設(shè)備工作時(shí)會(huì)產(chǎn)生大量的安全日志��,如果單靠相關(guān)人員的識(shí)別日志既費(fèi)時(shí)效率又低����。而且不同安全廠商的日志報(bào)表還存在很大差異����。所以當(dāng)安全事件發(fā)生時(shí)��,企業(yè)管理員很難實(shí)現(xiàn)對(duì)信息安全的統(tǒng)一分析和管理。所以在企業(yè)在構(gòu)建信息安全體系時(shí)�����,就必須要考慮安全設(shè)備日志之間的統(tǒng)一化,設(shè)定相應(yīng)的訪問(wèn)控制和安全策略實(shí)現(xiàn)日志的歸類分析�����。這樣才能做到對(duì)全網(wǎng)安全事件的“可視、可控和可管”��。
4結(jié)束語(yǔ)
第4篇
關(guān)鍵詞:信息安全�����;影響因素;管理措施
中圖分類號(hào):TP393.08
信息技術(shù)的飛速發(fā)展在給社會(huì)經(jīng)濟(jì)帶來(lái)巨大便利性的同時(shí)�����,也帶來(lái)了巨大的風(fēng)險(xiǎn),信息的安全已成為國(guó)際社會(huì)經(jīng)濟(jì)發(fā)展亟待解決的問(wèn)題?���,F(xiàn)代企業(yè)在日常業(yè)務(wù)運(yùn)營(yíng)、行政管理����、檔案管理、數(shù)據(jù)交換等方面都離不開(kāi)信息網(wǎng)絡(luò)技術(shù)����,然而��,部分企業(yè)對(duì)自身信息安全的不重視以及在管理機(jī)制上的欠缺��,致使社會(huì)重大信息安全事故頻發(fā),給社會(huì)與企業(yè)帶來(lái)了不可估量的損失及危害��。當(dāng)然�����,企業(yè)的信息安全是一項(xiàng)艱巨的工作����,它涉及到企業(yè)組織結(jié)構(gòu)的各個(gè)方面,是一項(xiàng)系統(tǒng)的工程�����,無(wú)論是網(wǎng)絡(luò)技術(shù)還是管理組織體系�����,或者企業(yè)信息硬件設(shè)備,都會(huì)影響到企業(yè)信息的安全,要保障企業(yè)信息的安全��,就必須從信息技術(shù)安全以及信息管理制度兩大方面入手��,不斷完善信息保密措施��,如此����,方可有效控制企業(yè)信息泄露�����。
1 企業(yè)信息安全風(fēng)險(xiǎn)的現(xiàn)狀
企業(yè)在信息化建設(shè)的過(guò)程中�����,對(duì)信息安全的理解與重視并不相同����,部分企業(yè)的對(duì)自身信息安全的防護(hù)級(jí)別較低,難以有效抵御外部信息竊取以及內(nèi)部泄密�����。當(dāng)前,我國(guó)企業(yè)在信息安全建設(shè)中主要存在如下三個(gè)問(wèn)題:
1.1 企業(yè)信息安全管理機(jī)制不健全����。信息安全是一個(gè)全新的領(lǐng)域,在過(guò)去�����,企業(yè)管理者對(duì)于自身信息的安全并沒(méi)有高度重視�����,而在現(xiàn)代社會(huì)中,企業(yè)之間的競(jìng)爭(zhēng)越來(lái)越激烈�����,任何有價(jià)值的信息泄露都可能會(huì)造成企業(yè)的重大損失,甚至破產(chǎn)倒閉��,這也使得企業(yè)管理者不得不重視信息安全問(wèn)題。然而,在社會(huì)法律法規(guī)��、技術(shù)監(jiān)管��、安全標(biāo)準(zhǔn)等方面還存在諸多的不完善之處��,同時(shí),由于企業(yè)信息管理是一個(gè)不斷發(fā)展的動(dòng)態(tài)過(guò)程��,企業(yè)的網(wǎng)絡(luò)安全軟硬件技術(shù)、管理人員的保密意識(shí)以及對(duì)商業(yè)間諜的防范措施等都會(huì)影響到企業(yè)的信息安全�����。從總體上來(lái)講,信息安全管理機(jī)制的缺失是企業(yè)信息安全面臨的最大問(wèn)題��。
1.2 企業(yè)信息安全技術(shù)不足����。信息安全是當(dāng)前社會(huì)共同面臨的重大問(wèn)題����,企業(yè)的信息系統(tǒng)構(gòu)建離不開(kāi)計(jì)算機(jī)系統(tǒng)以及網(wǎng)絡(luò)系統(tǒng)的支持,而通過(guò)網(wǎng)絡(luò)傳播的數(shù)據(jù)將面臨極大的技術(shù)風(fēng)險(xiǎn)。現(xiàn)代信息安全技術(shù)是以密碼技術(shù)��、病毒技術(shù)����、數(shù)據(jù)恢復(fù)技術(shù)、操作系統(tǒng)維護(hù)技術(shù)�����、數(shù)據(jù)庫(kù)技術(shù)以及網(wǎng)絡(luò)技術(shù)等所組成的系統(tǒng)技術(shù)。而由于企業(yè)對(duì)相關(guān)技術(shù)的認(rèn)識(shí)和技術(shù)管理人才培養(yǎng)的局限性����,導(dǎo)致在計(jì)算機(jī)信息應(yīng)用過(guò)程中難免會(huì)出現(xiàn)一些漏洞缺陷。另外����,在面對(duì)外部信息竊取攻擊行為時(shí)����,部分安全技術(shù)管理人員防范能力較弱����,不能從根本上抵御黑客的攻擊����,這就導(dǎo)致企業(yè)的信息安全完面臨嚴(yán)重的泄密危險(xiǎn)��。
1.3 企業(yè)員工缺乏安全管理的責(zé)任心和防范意識(shí)���。企業(yè)的信息安全并不只是管理人員的責(zé)任����,而是全體員工共同的責(zé)任,不過(guò)在企業(yè)信息安全建設(shè)過(guò)程中���,往往忽略了企業(yè)員工環(huán)節(jié),導(dǎo)致信息安全建設(shè)難以達(dá)到預(yù)期的目的����。目前,企業(yè)信息安全事件最突出的便是信息泄密���,其主要表現(xiàn)為員工的無(wú)意泄密���、故意泄密以及離職后信息資源的自我利用,可以說(shuō)���,企業(yè)內(nèi)部的信息安全風(fēng)險(xiǎn)遠(yuǎn)遠(yuǎn)大于外部風(fēng)險(xiǎn)����。然而,針對(duì)內(nèi)部信息安全問(wèn)題,企業(yè)卻并無(wú)一個(gè)全面����、系統(tǒng)����、有效的保障體系����,尤其是在員工責(zé)任心建設(shè)以及信息安全防范意識(shí)建設(shè)方面�,一直是企業(yè)信息安全體系建設(shè)的弱點(diǎn)所在����。
2 影響企業(yè)信息安全的主要因素分析
企業(yè)的信息安全一直是現(xiàn)代企業(yè)管理中的難點(diǎn),尤其是通信類企業(yè)以及嚴(yán)重依賴網(wǎng)絡(luò)的電子商務(wù)類企業(yè),其在信息安全環(huán)節(jié)的投入往往最大����,但仍然是面臨風(fēng)險(xiǎn)最大的環(huán)節(jié)�。根據(jù)美國(guó)FBI以及CSI對(duì)其國(guó)內(nèi)部分企業(yè)的調(diào)查顯示,信息安全內(nèi)部威脅占85%�,外部入侵占15%�,專利信息被竊取占14%����,內(nèi)部人員的財(cái)務(wù)欺騙占12%����,資料或網(wǎng)絡(luò)數(shù)據(jù)的破壞占11%。由此可見(jiàn)���,企業(yè)內(nèi)部信息安全已成為企業(yè)信息安全管理的重中之重���,其泄密的途徑主要包括互聯(lián)網(wǎng)泄密���,如電子郵件���、即時(shí)通訊工具、網(wǎng)頁(yè)空間���、ftp���、病毒黑客攻擊等方式�;局域網(wǎng)絡(luò)泄密����,包括內(nèi)網(wǎng)與外網(wǎng)的連通����、私人電腦與內(nèi)部電腦的連接等���;終端設(shè)備的泄密等等�。企業(yè)信息安全是企業(yè)穩(wěn)定與發(fā)展的基礎(chǔ)�,但是����,企業(yè)信息安全形勢(shì)卻不容樂(lè)觀�,在現(xiàn)實(shí)中�,影響企業(yè)信息安全的因素較多����,其主要包括如下幾種:
2.1 實(shí)體環(huán)境安全因素。(1)信息技術(shù)承載硬件安全����。信息網(wǎng)絡(luò)技術(shù)的硬件設(shè)備是支撐企業(yè)信息安全建設(shè)的基礎(chǔ)���,包括硬盤(pán)設(shè)備、內(nèi)存設(shè)備����、I/O控制器���、電源等����。(2)機(jī)房環(huán)境安全����。機(jī)房是企業(yè)信息網(wǎng)絡(luò)的管理中樞,其環(huán)境的好壞將直接影響企業(yè)信息的安全�。一般來(lái)說(shuō)�,機(jī)房管理必須要專人專管�,對(duì)于出入人員應(yīng)該有記錄�,并且����,機(jī)房應(yīng)具有防火���、防水、防靜電���、防鼠害、防雷擊等設(shè)施���,還要安裝空調(diào)設(shè)備,以確保機(jī)房運(yùn)行溫度和濕度的穩(wěn)定�。(3)傳輸線路安全。網(wǎng)絡(luò)線路以及電纜線路在傳輸過(guò)程中都具有一定的輻射性����,其對(duì)信息具有一定的干擾�,我們?cè)诎惭b時(shí)要采用屏蔽布線或者光纜傳輸���,并采取技術(shù)手段,阻止線路對(duì)信息的干擾���,以確保傳輸線路的安全。
2.2 內(nèi)部環(huán)境因素。影響企業(yè)信息安全的內(nèi)部因素主要包括:(1)軟件因素���。軟件是企業(yè)信息化建設(shè)的重要工具�,但同時(shí)也是信息安全風(fēng)險(xiǎn)較大的環(huán)節(jié)�,它包括系統(tǒng)軟件和應(yīng)用軟件���。系統(tǒng)軟件的是信息系統(tǒng)的運(yùn)行平臺(tái),其本身就存在漏洞����,若系統(tǒng)軟件遭到攻擊���,將極可能導(dǎo)致信息的損壞或者泄密�。而應(yīng)用軟件在設(shè)計(jì)過(guò)程中的不周全以及對(duì)數(shù)據(jù)校驗(yàn)的不完善,都將威脅到企業(yè)的信息安全����。(2)人為因素����。企業(yè)內(nèi)部人的因素是影響信息安全的最大部分���,員工對(duì)數(shù)據(jù)的操作或者對(duì)相關(guān)威脅處理的不合理����、不及時(shí)都會(huì)直接影響信息的可靠性����。(3)網(wǎng)絡(luò)因素�。企業(yè)的一切信息交換幾乎都是通過(guò)網(wǎng)絡(luò)來(lái)實(shí)現(xiàn)的,包括外部網(wǎng)絡(luò)和局域網(wǎng)���,而由于網(wǎng)絡(luò)故障所導(dǎo)致的信息丟失情況比比皆是�,另外���,網(wǎng)絡(luò)中一些非授權(quán)訪問(wèn)行為也容易造成敏感數(shù)據(jù)的泄密或者丟失����。(4)硬件因素����。硬件主要是指存儲(chǔ)設(shè)備以及電源�、顯示設(shè)備、網(wǎng)絡(luò)設(shè)備等����,其中儲(chǔ)存硬件設(shè)備對(duì)企業(yè)信息安全影響最大,我們?cè)谟布?chǔ)存設(shè)備的管理中要注重防霉變�、防輻射�、防雷擊等等����,及時(shí)做好數(shù)據(jù)備份和數(shù)據(jù)恢復(fù)�。
2.3 外部環(huán)境因素?��,F(xiàn)代企業(yè)信息安全不僅面臨著內(nèi)部安全風(fēng)險(xiǎn)�,還遭受著嚴(yán)重的外部隱患���,其主要包括病毒風(fēng)險(xiǎn)���、黑客攻擊風(fēng)險(xiǎn)以及意外事故,如火災(zāi)����、爆炸���、水災(zāi)等�,其對(duì)企業(yè)的信息安全影響甚大���。
3 加強(qiáng)企業(yè)信息安全防范的措施
面對(duì)著如此眾多的信息安全隱患�,企業(yè)的信息安全管理形勢(shì)十分嚴(yán)峻,要想真正做好信息的安全管理�,保障信息安全,那么企業(yè)必須系統(tǒng)地進(jìn)行改革�,從根本上阻止信息的泄漏����。
3.1 建立健全信息安全管理制度���。企業(yè)必須根據(jù)內(nèi)部信息的安全級(jí)別�,建立一套適合其技術(shù)規(guī)范的管理標(biāo)準(zhǔn)���,尤其注重在人員組織結(jié)構(gòu)以及培訓(xùn)���,要建立完善的信息安全管理制度規(guī)范,并嚴(yán)格執(zhí)行���。
3.2 采取新型網(wǎng)絡(luò)安全技術(shù),及時(shí)更新軟硬件系統(tǒng)�。企業(yè)要對(duì)內(nèi)部計(jì)算機(jī)及服務(wù)器系統(tǒng)進(jìn)行及時(shí)更新?lián)Q代����,尤其是其軟硬件系統(tǒng)����,要做好防病毒措施����,并及時(shí)做好數(shù)據(jù)備份�,加強(qiáng)網(wǎng)絡(luò)密碼建設(shè)以及入侵檢測(cè)技術(shù)建設(shè),為信息安全上一把“鎖”�。
3.3 加強(qiáng)內(nèi)部信息的監(jiān)管,對(duì)非授權(quán)訪問(wèn)以及敏感接入進(jìn)行嚴(yán)格的控制。企業(yè)必須加強(qiáng)對(duì)內(nèi)部數(shù)據(jù)的有效監(jiān)管,在與外界進(jìn)行數(shù)據(jù)交換過(guò)程中���,有必要對(duì)敏感數(shù)據(jù)或者有威脅的行為進(jìn)行干預(yù)�、阻止、監(jiān)控等措施����,控制非法接入與攻擊行為�。
3.4 定期巡查與評(píng)估���,不斷改善和調(diào)整安全防護(hù)策略�。企業(yè)的信息安全管理是一個(gè)動(dòng)態(tài)的過(guò)程�,我們的信息安全防范也必須做好及時(shí)的評(píng)估和調(diào)整���,對(duì)計(jì)算機(jī)硬件設(shè)備����、機(jī)房環(huán)境等定期進(jìn)行巡查����,發(fā)現(xiàn)并及時(shí)解決潛在的安全威脅,并根據(jù)最新的信息安全形勢(shì)來(lái)調(diào)整防護(hù)策略�,未雨綢繆����,做好信息安全的預(yù)防工作。
參考文獻(xiàn):
[1]羅慶云���,趙巾幗.企業(yè)網(wǎng)信息安全的探討[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用�,2005.
[2]姜樺,郭永利.企業(yè)信息安全策略研究[J].焦作大學(xué)學(xué)報(bào)���,2009.
第5篇
【關(guān)鍵詞】信息安全���;電力企業(yè);防護(hù)措施
前言
當(dāng)前�,電力企業(yè)在生產(chǎn)運(yùn)行過(guò)程中離不開(kāi)信息技術(shù)的支持���,尤其是電力企業(yè)在建立了復(fù)雜的數(shù)據(jù)網(wǎng)和信息網(wǎng)后����,信息技術(shù)的在電力企業(yè)中的地位日益提高����,同時(shí)�,信息安全也影響著電力企業(yè)的生產(chǎn)經(jīng)營(yíng)。
1電力網(wǎng)絡(luò)和信息安全管理的主要內(nèi)容
電力網(wǎng)絡(luò)和信息安全管理主要包括三方面的內(nèi)容:①安全策略�;②風(fēng)險(xiǎn)管理����;③安全教育����。具體淺析如下:
1.1安全策略
信息安全策略根據(jù)企業(yè)規(guī)模、安全需求和業(yè)務(wù)發(fā)展的不同而不同���,但是都具有簡(jiǎn)單易懂����、清晰通俗的特點(diǎn)����,由高級(jí)管理部門(mén)制定并形成書(shū)面文字,屬于企業(yè)安全的最高方針�,廣泛到企業(yè)所有員工手中�。
1.2風(fēng)險(xiǎn)管理
評(píng)估威脅企業(yè)信息資產(chǎn)的風(fēng)險(xiǎn)���,首先事先假定風(fēng)險(xiǎn)可能會(huì)給企業(yè)帶來(lái)的風(fēng)險(xiǎn)和損失����,然后再通過(guò)各種手段,如:風(fēng)險(xiǎn)的規(guī)避、風(fēng)險(xiǎn)的轉(zhuǎn)嫁�、降低風(fēng)險(xiǎn)和接受風(fēng)險(xiǎn)等多種方法為相關(guān)部門(mén)提供網(wǎng)絡(luò)和信息安全的對(duì)策建議���。
1.3安全教育
所謂安全教育���,就是對(duì)直接關(guān)聯(lián)企業(yè)安全生產(chǎn)的人員進(jìn)行的教育活動(dòng),其對(duì)象是安全策略執(zhí)行人員���,具體來(lái)說(shuō)就是與安全工作相關(guān)的技術(shù)人員����、管理人員和客戶�,并對(duì)其進(jìn)行安全培訓(xùn),讓其了解和掌握信息安全對(duì)策����。安全管理是企業(yè)管理的重要內(nèi)容�,必須引起企業(yè)領(lǐng)導(dǎo)層的高度重視�,切實(shí)將安全相關(guān)教育納入到企業(yè)文化的組成中�,確保信息安全管理的有效執(zhí)行���。
2電力企業(yè)信息化發(fā)展的特征
隨著我國(guó)電力企業(yè)信息化的發(fā)展,與其他企業(yè)相比����,在網(wǎng)絡(luò)信息安全方面具有以下優(yōu)勢(shì)特征。
2.1信息化基礎(chǔ)設(shè)施完善
經(jīng)過(guò)多年的發(fā)展���,電力企業(yè)的信息化建設(shè)與其他行業(yè)的信息化建設(shè)水平相比����,具有明顯的比較優(yōu)勢(shì),進(jìn)程相對(duì)領(lǐng)先����,各個(gè)部門(mén)工作中計(jì)算機(jī)的使用率為100%�,電力企業(yè)局域網(wǎng)覆蓋率90%以上�。
2.2營(yíng)銷管理系統(tǒng)廣泛應(yīng)用
電力企業(yè)的營(yíng)銷管理系統(tǒng)經(jīng)過(guò)多年的研究探索已基本建成,實(shí)現(xiàn)了用電管理信息化����、業(yè)務(wù)受理計(jì)算機(jī)化����,并建立了相應(yīng)的客戶服務(wù)中心。
2.3生產(chǎn)、調(diào)度自動(dòng)化系統(tǒng)應(yīng)用熟練
電力企業(yè)信息化建設(shè)的重點(diǎn)是提高電網(wǎng)運(yùn)行質(zhì)量和電力調(diào)度的自動(dòng)化水平���,現(xiàn)階段�,從電力企業(yè)發(fā)展的自動(dòng)化水平上來(lái)看�,其生產(chǎn)已基本達(dá)到國(guó)際先進(jìn)水平。
2.4管理信息系統(tǒng)的建設(shè)逐步推進(jìn)
電力企業(yè)積極建設(shè)管理信息系統(tǒng)����,開(kāi)發(fā)了設(shè)備����、生產(chǎn)、電力負(fù)荷���、安全監(jiān)督、營(yíng)銷管理等信息系統(tǒng)�,并將企業(yè)信息化建設(shè)放到重要位置����,利用信息化推動(dòng)企業(yè)現(xiàn)代化發(fā)展���。
3電力企業(yè)網(wǎng)絡(luò)和信息安全管理中存在的問(wèn)題
電力企業(yè)網(wǎng)絡(luò)和信息安全管理雖然具有以上優(yōu)勢(shì)特征����,但同樣還是存在一定的問(wèn)題����,具體如下:
3.1信息化機(jī)構(gòu)建設(shè)不完善
部分電力企業(yè)還未設(shè)置專門(mén)的信息部門(mén),信息科室有的在科技部門(mén)下�,有的在綜合部門(mén)下�,缺乏規(guī)范的制度與崗位設(shè)置����,這種情況下�,勢(shì)必會(huì)影響到網(wǎng)絡(luò)和信息安全的管理工作�。
3.2網(wǎng)絡(luò)信息安全管理未成為企業(yè)文化的一部分
電力網(wǎng)絡(luò)信息貫穿于生產(chǎn)的全過(guò)程����,涉及到電力生產(chǎn)的各層面����,但是仍然處于從屬地����,沒(méi)有納入電力企業(yè)安全文化建設(shè)中,進(jìn)而影響到安全管理的實(shí)施力度�。
3.3企業(yè)管理革新跟不上信息化發(fā)展的步伐
電力企業(yè)管理革新與信息技術(shù)的發(fā)展與應(yīng)用相比還較為滯后����,企業(yè)不能及時(shí)的引入先進(jìn)的管理與業(yè)務(wù)系統(tǒng)�,導(dǎo)致企業(yè)信息系統(tǒng)不能發(fā)揮預(yù)期的作用���。
3.4網(wǎng)絡(luò)信息安全存在風(fēng)險(xiǎn)
電力企業(yè)網(wǎng)絡(luò)信息安全與一般企業(yè)網(wǎng)絡(luò)信息相比�,有共同點(diǎn)���,也有自自身的特殊性����,實(shí)踐中必須認(rèn)真分析研究�,具體表現(xiàn)為:①網(wǎng)絡(luò)的結(jié)構(gòu)不夠合理����,電力網(wǎng)絡(luò)建設(shè)要求,網(wǎng)絡(luò)建設(shè)要區(qū)分外網(wǎng)和內(nèi)網(wǎng)����,且內(nèi)外部網(wǎng)絡(luò)要保持物理隔離,但是部分電力企業(yè)的核心交換機(jī)選擇不合理����,導(dǎo)致在網(wǎng)絡(luò)中所有網(wǎng)絡(luò)用戶的地位是平等的����,因而很容易出現(xiàn)安全問(wèn)題���。②企業(yè)內(nèi)部風(fēng)險(xiǎn)���,由于企業(yè)內(nèi)部網(wǎng)絡(luò)管理人員對(duì)于企業(yè)的網(wǎng)絡(luò)信息結(jié)構(gòu)與系統(tǒng)應(yīng)用十分熟悉�,一旦泄漏重要信息���,就會(huì)帶來(lái)致命的信息安全威脅�。③現(xiàn)階段互聯(lián)網(wǎng)使用存在的風(fēng)險(xiǎn)���,目前很多電力企業(yè)的網(wǎng)絡(luò)已經(jīng)與互聯(lián)網(wǎng)發(fā)生了關(guān)系���,一些客戶甚至可以直接訪問(wèn)電力系統(tǒng)的網(wǎng)絡(luò)資源,在提供方便之門(mén)的同時(shí)也要高度關(guān)注其可能帶來(lái)的信息安全和計(jì)算軟硬件安全風(fēng)險(xiǎn)���。④網(wǎng)絡(luò)管理專業(yè)技術(shù)人員帶來(lái)的風(fēng)險(xiǎn)����,主要是網(wǎng)絡(luò)管理人員的素質(zhì)風(fēng)險(xiǎn),現(xiàn)階段電力企業(yè)的網(wǎng)絡(luò)建設(shè)還存在重建輕管�,重技輕管的問(wèn)題���。出現(xiàn)了諸如專業(yè)技術(shù)人員綜合素質(zhì)不高�,一些安全管理制度不健全���、落實(shí)不夠有力���、安全意識(shí)不強(qiáng)���、管理員配備不當(dāng)?shù)韧{到電力企業(yè)網(wǎng)絡(luò)信息安全性的問(wèn)題����。⑤計(jì)算機(jī)病毒侵害,計(jì)算機(jī)病毒的擴(kuò)散速度快����,網(wǎng)絡(luò)一旦感染病毒�,整個(gè)電力網(wǎng)絡(luò)系統(tǒng)就會(huì)處于崩潰的狀況���。⑥系統(tǒng)出現(xiàn)的安全風(fēng)險(xiǎn)����,這方面主要指操作系統(tǒng)���、數(shù)據(jù)庫(kù)系統(tǒng)以及內(nèi)部各種應(yīng)用軟件系統(tǒng)等存在的風(fēng)險(xiǎn)����,這些系統(tǒng)很容易導(dǎo)致外界的攻擊,一些黑客采取專業(yè)手段可以很輕易獲取管理員權(quán)限���,實(shí)施拒絕服務(wù)攻擊����。
4電力企業(yè)網(wǎng)絡(luò)和信息安全管理對(duì)策
4.1建立健全網(wǎng)絡(luò)和信息安全管理組織架構(gòu)
網(wǎng)絡(luò)和信息安全管理實(shí)行統(tǒng)一領(lǐng)導(dǎo)���、分級(jí)管理原則���,企業(yè)的決策層組成領(lǐng)導(dǎo)小組,由企業(yè)各部門(mén)的管理者作為安全小組的管理層����。網(wǎng)絡(luò)和信息安全管理實(shí)行專業(yè)化管理���,包含信息安全規(guī)劃�、信息安全監(jiān)督審計(jì)�、信息安全運(yùn)行保障等職能小組���。
4.2構(gòu)建網(wǎng)絡(luò)和信息安全管理體系框架
在網(wǎng)絡(luò)信息安全模型與電力信息化的基礎(chǔ)上,科學(xué)構(gòu)建網(wǎng)絡(luò)和信息安全管理體系框架����,主要區(qū)分信息安全策略�、安全運(yùn)行���、安全管理�、安全技術(shù)措施四個(gè)模塊�,
4.3建立網(wǎng)絡(luò)信息安全防護(hù)對(duì)策,合理劃分安全域
網(wǎng)絡(luò)信息安全防護(hù)實(shí)行雙網(wǎng)雙機(jī)管理���,分為信息內(nèi)網(wǎng)和信息外網(wǎng)����,內(nèi)外網(wǎng)采用獨(dú)立的服務(wù)器及桌面終端���,通過(guò)邏輯強(qiáng)隔離裝置隔離內(nèi)外網(wǎng)����。按照業(yè)務(wù)類型進(jìn)行安全區(qū)域劃分為邊界�、網(wǎng)絡(luò)、主機(jī)、應(yīng)用四個(gè)層次�,實(shí)現(xiàn)不同區(qū)域防護(hù)的差異化及獨(dú)立性����。對(duì)于網(wǎng)絡(luò)安全的核心區(qū)域必須實(shí)施重點(diǎn)安全防范���,比如該區(qū)域的服務(wù)器����、重要數(shù)據(jù)����、數(shù)據(jù)庫(kù)服務(wù)器����,一般用戶無(wú)法直接訪問(wèn)���,安全級(jí)別高����。電力企業(yè)內(nèi)部計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的應(yīng)用����,劃分為管理信息區(qū)和生產(chǎn)控制區(qū)�,建立電力調(diào)度數(shù)據(jù)網(wǎng)專用網(wǎng)絡(luò),采用不同強(qiáng)度的安全設(shè)備隔離各安全區(qū)�,數(shù)據(jù)的遠(yuǎn)方安全傳輸采取加密����、認(rèn)證�、訪問(wèn)控制等技術(shù)手段,實(shí)現(xiàn)縱向邊界的整體安全防護(hù)����。
4.4網(wǎng)絡(luò)信息安全管理制度建設(shè)
為確保電力企業(yè)網(wǎng)絡(luò)信息安全,必須做好網(wǎng)絡(luò)信息安全管理制度建設(shè)��,具體要做好以下幾個(gè)方面的內(nèi)容:①建立計(jì)算機(jī)資產(chǎn)管理制度�、網(wǎng)絡(luò)使用管理制度、健全變更管理制度,對(duì)資產(chǎn)進(jìn)行標(biāo)識(shí)和管理��,執(zhí)行密碼使用管理制度��。②實(shí)施信息的安全分級(jí)保護(hù)舉措����,依據(jù)國(guó)家相關(guān)規(guī)定��,開(kāi)展網(wǎng)絡(luò)信息系統(tǒng)審批��、定級(jí)�、備案工作����,嚴(yán)格執(zhí)行等級(jí)保護(hù)制度,嚴(yán)格保密核心程序和數(shù)據(jù)����。③做好網(wǎng)絡(luò)信息安全運(yùn)行保障管理,對(duì)信息系統(tǒng)設(shè)備實(shí)行規(guī)范化管理����,及時(shí)升級(jí)防病毒軟件,嚴(yán)格系統(tǒng)變更����,及時(shí)報(bào)告信息系統(tǒng)事故情況����,分析原因并落實(shí)整改����。④建立病毒防護(hù)體系��,安裝的防病毒軟件必須具有遠(yuǎn)程安裝��、遠(yuǎn)程報(bào)警��、集中管理等多種功能�,不可將來(lái)歷不明或是隨意從互聯(lián)網(wǎng)上下載的數(shù)據(jù)在聯(lián)網(wǎng)計(jì)算機(jī)上使用,一旦發(fā)現(xiàn)病毒的存在��,員工應(yīng)熟練掌握發(fā)現(xiàn)病毒后的處置辦法。
4.5信息安全技術(shù)保障舉措
為切實(shí)有效的落實(shí)信息安全防護(hù)要求�,必須根據(jù)信息安全等級(jí)防護(hù)制度落實(shí)好“分級(jí)��、分區(qū)��、分域”的防護(hù)策略�,從而更有效的落實(shí)信息安全防護(hù)預(yù)案,根據(jù)信息系統(tǒng)定級(jí)水平����,實(shí)施強(qiáng)邏輯隔離措施��,做好安全區(qū)域的隔離和劃分工作。
4.6規(guī)范企業(yè)人員的管理
規(guī)范人員管理首要的是用制度管好人:①企業(yè)高層應(yīng)以身作則��,這樣員工才可以遵循信息安全管理的要求����,由于高層掌握著企業(yè)更多的信息資源����,密級(jí)也高��,一旦出現(xiàn)泄漏��,會(huì)給企業(yè)帶來(lái)更大的損失����。②對(duì)于關(guān)鍵崗位人員管理要尤其重視,比如:開(kāi)發(fā)源代碼人員,直接接觸商業(yè)機(jī)密的人員,從事信息安全管理的人員,需要進(jìn)行嚴(yán)格管理����,定期檢查,避免出現(xiàn)“堡壘從內(nèi)部突破”的機(jī)會(huì)。③對(duì)于離職人員這個(gè)群體也不可忽視��,必須做好離職人員信息安全審計(jì)工作,離職前�,必須要求其變更其訪問(wèn)權(quán)限,與接手人員一起清點(diǎn)和交接好信息資產(chǎn)��,避免信息泄漏事件的發(fā)生�。④加強(qiáng)與供應(yīng)商和合作伙伴信息安全的管理�,在日常的交流中嚴(yán)格遵守規(guī)定�,不得隨意公開(kāi)和透露相關(guān)信息�。
4.7做好對(duì)企業(yè)信息資產(chǎn)管理分析
依據(jù)信息資產(chǎn)價(jià)值����,實(shí)現(xiàn)根據(jù)載體性質(zhì)不同����、形式不同�、來(lái)源不同做好資產(chǎn)的識(shí)別����,提高企業(yè)勞動(dòng)生產(chǎn)率��,強(qiáng)化信息資產(chǎn)觀念,樹(shù)立企業(yè)良好形象����。全面����、系統(tǒng)����、科學(xué)的管理信息資產(chǎn)�,完善資產(chǎn)管理手段。利用信息資產(chǎn)資源使生產(chǎn)力要素保值增值����,推動(dòng)信息資產(chǎn)共享共建��,實(shí)現(xiàn)實(shí)現(xiàn)外源信息資產(chǎn)的再增值��,信息資產(chǎn)的再創(chuàng)新����。4.8建立信息安全應(yīng)急保障機(jī)制有風(fēng)險(xiǎn)的地方就要有應(yīng)急預(yù)案,對(duì)于電力企業(yè)網(wǎng)絡(luò)信息安全尤其應(yīng)該如此�,要不斷健全電力企業(yè)信息安全預(yù)案��,確保設(shè)備��、人力�、技術(shù)等應(yīng)急保障資源切實(shí)可用�,要加強(qiáng)系統(tǒng)的容災(zāi)建設(shè)��,建立恢復(fù)和備份管理制度�,妥善保存相關(guān)的備份記錄����。
5結(jié)束語(yǔ)
電力網(wǎng)絡(luò)信息安全與企業(yè)的生產(chǎn)經(jīng)營(yíng)管理密切相關(guān)�,電力企業(yè)網(wǎng)絡(luò)信息安全涉及到技術(shù)與管理��,無(wú)論是硬件還是軟件出現(xiàn)問(wèn)題都會(huì)威脅到整個(gè)網(wǎng)絡(luò)系統(tǒng)�,電力企業(yè)網(wǎng)絡(luò)信息安全管理涉及到人����、硬件設(shè)備����、軟件����、數(shù)據(jù)等多個(gè)環(huán)節(jié),所以其必須著眼整個(gè)電力企業(yè)的網(wǎng)絡(luò)信息系統(tǒng)加強(qiáng)頂層建設(shè)����,實(shí)施統(tǒng)一規(guī)劃�,搞好統(tǒng)籌兼顧��,建立一套完整的信息安全管理體系��,切實(shí)做好安全防范工作����,解決電力企業(yè)信息安全管理問(wèn)題,才能確保電力信息系統(tǒng)安全�、穩(wěn)定�、可靠�、高效地運(yùn)行,有效避免安全問(wèn)題的存在,保證電力企業(yè)的正常生產(chǎn)經(jīng)營(yíng)。
參考文獻(xiàn)
[1]何雋文.電力企業(yè)網(wǎng)絡(luò)和信息安全管理策略思考[J].中國(guó)高新技術(shù)企業(yè)��,2016,28.
[2]郭建�,顧志強(qiáng).電力企業(yè)信息安全現(xiàn)狀分析及管理對(duì)策[J].信息技術(shù)��,2013����,01.
[3]牛斐.電力企業(yè)網(wǎng)絡(luò)信息安全的防范措施[J].科技傳播,2012,16.
[4]吳青.淺析網(wǎng)絡(luò)信息安全管理在電力企業(yè)中的應(yīng)用[J].中國(guó)新通信�,2013��,23.
[5]向繼東����,黃天戊��,孫東.電力企業(yè)信息網(wǎng)絡(luò)安全管理[J].電力系統(tǒng)自動(dòng)化,2003����,15.
第6篇
現(xiàn)代科學(xué)技術(shù)的發(fā)展與壯大����,科學(xué)技術(shù)產(chǎn)物不斷改變著人類社會(huì)生活,而網(wǎng)絡(luò)技術(shù)更甚�,網(wǎng)絡(luò)像一個(gè)無(wú)形的網(wǎng),連接著社會(huì)各個(gè)地方��,便利著人類社會(huì)?�,F(xiàn)代企業(yè)的發(fā)展或多或少依賴著網(wǎng)絡(luò)�,企業(yè)依靠網(wǎng)絡(luò)進(jìn)行信息的傳遞與處理��。有了網(wǎng)絡(luò)的支撐����,企業(yè)的競(jìng)爭(zhēng)力量在不斷加強(qiáng)�。
1 網(wǎng)絡(luò)安全技術(shù)
就目前而言,常見(jiàn)的網(wǎng)絡(luò)安全技術(shù)包括防火墻技術(shù)、虛擬局域網(wǎng)技術(shù)、入侵檢測(cè)與防御技術(shù)以及計(jì)算機(jī)防病毒技術(shù)�。
1.1 防火墻技術(shù)
防火墻顧名思義就是保護(hù)屏障��,即通過(guò)軟件與硬件設(shè)備的組合��,在內(nèi)部網(wǎng)與外部網(wǎng)之間搭建一個(gè)保護(hù)屏障��,通過(guò)在網(wǎng)絡(luò)邊界上建立網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)來(lái)隔絕內(nèi)外網(wǎng)絡(luò)����,阻擋外網(wǎng)的不良入侵����。防火墻主要針對(duì)的是網(wǎng)絡(luò)上的不安全因素。通過(guò)利用防火墻技術(shù)�,可以有效保護(hù)企業(yè)內(nèi)部網(wǎng)的主要信息資源。
1.2 虛擬局域網(wǎng)技術(shù)
虛擬局域網(wǎng)是通過(guò)因特網(wǎng)將網(wǎng)絡(luò)設(shè)備劃分成多個(gè)子網(wǎng)��,是對(duì)企業(yè)內(nèi)部網(wǎng)的擴(kuò)展��,實(shí)現(xiàn)了企業(yè)在虛擬環(huán)境下的數(shù)據(jù)交換。虛擬局域網(wǎng)正如它的名字“虛擬”兩個(gè)字一樣����,是看不見(jiàn)的,但是它能夠很好的防控廣播風(fēng)暴,有效提高網(wǎng)絡(luò)的速度��,增強(qiáng)網(wǎng)絡(luò)的整體性能和安全性能。
1.3 入侵檢測(cè)與防御技術(shù)
入侵檢測(cè)與防御是對(duì)防火墻技術(shù)的補(bǔ)充與升級(jí)��,依靠設(shè)定的安全策略,對(duì)計(jì)算機(jī)系統(tǒng)與入侵網(wǎng)絡(luò)的行為進(jìn)行檢測(cè),類似于“安檢”�,并對(duì)相應(yīng)的檢測(cè)做出響應(yīng)��,以此來(lái)確保網(wǎng)絡(luò)信息的完整性�,提高網(wǎng)絡(luò)監(jiān)控與識(shí)別攻擊等能力��,拓展了防火墻安全管理范圍����。入侵防御技術(shù)是對(duì)檢測(cè)技術(shù)的又一次開(kāi)拓��,是一個(gè)智能且主動(dòng)的防御技術(shù),緊密的串聯(lián)在網(wǎng)絡(luò)邊界����,對(duì)進(jìn)出的數(shù)據(jù)信息進(jìn)行監(jiān)控與處理��。
1.4 計(jì)算機(jī)防病毒技術(shù)
計(jì)算機(jī)防病毒技術(shù)應(yīng)用比較廣泛�,通過(guò)建立有效的計(jì)算機(jī)病毒防護(hù)系統(tǒng)與制度,及時(shí)準(zhǔn)確的監(jiān)控處理病毒的入侵,如果發(fā)現(xiàn)病毒跡象����,會(huì)立刻采取相應(yīng)措施阻斷病毒的破壞��,同時(shí)迅速的對(duì)遭到破壞的部分進(jìn)行修復(fù),高效穩(wěn)定的保障信息的安全。
2 企業(yè)信息管理中的網(wǎng)絡(luò)安全問(wèn)題
2.1 缺乏網(wǎng)絡(luò)安全防范意識(shí)
網(wǎng)絡(luò)應(yīng)用的不斷深化����,辦公方式網(wǎng)絡(luò)化受到越來(lái)越多企業(yè)的歡迎��。很多企業(yè)對(duì)網(wǎng)絡(luò)應(yīng)用近乎癡迷,辦公自動(dòng)化成為當(dāng)下企業(yè)主流。由于過(guò)度的依賴于網(wǎng)絡(luò)辦公,往往忽視企業(yè)內(nèi)部的安全防護(hù)問(wèn)題��。落后的網(wǎng)絡(luò)防御系統(tǒng)�、充滿漏洞的安全機(jī)制�,低下的網(wǎng)絡(luò)恢復(fù)能力等等都會(huì)造成企業(yè)信息資源的破壞��,嚴(yán)重影響企業(yè)的正常運(yùn)行。
2.2 非法網(wǎng)絡(luò)入侵現(xiàn)象頻發(fā)
網(wǎng)絡(luò)的應(yīng)用,使不良居心的有了新的破壞手段。一些居心叵測(cè)的人利用網(wǎng)絡(luò)��,非法入侵企業(yè)內(nèi)部��,盜取網(wǎng)絡(luò)信息或者冒充內(nèi)部人員進(jìn)行網(wǎng)絡(luò)詐騙����,或者盜取網(wǎng)絡(luò)信息進(jìn)行泄露勒索,那些非法入侵行為無(wú)處不在�,成為威脅企業(yè)信息的不安全因素�。
2.3 肆虐的網(wǎng)絡(luò)病毒
從我國(guó)出現(xiàn)的第一個(gè)網(wǎng)絡(luò)病毒開(kāi)始,網(wǎng)絡(luò)病毒就不斷改變感染途徑�,比如常見(jiàn)的下載軟件、打開(kāi)文件��、電子郵件等網(wǎng)絡(luò)行為����,都有可能感染病毒,病毒以其告訴的傳染性讓人措手不及。當(dāng)人們還在唏噓這個(gè)網(wǎng)絡(luò)病毒的危害時(shí)����,比這個(gè)病毒更厲害的病毒也許正在散播中����,病毒也會(huì)以看不見(jiàn)的形式被攜帶傳染�,造成更大范圍的信息損失。
2.4 管理人員技術(shù)水平不足
網(wǎng)絡(luò)管理人員是直接管理企業(yè)網(wǎng)絡(luò)信息的技術(shù)人物,網(wǎng)絡(luò)管理人員的技術(shù)水平是影響企業(yè)網(wǎng)絡(luò)安全的關(guān)鍵因素。企業(yè)信息的運(yùn)行與管理都有網(wǎng)絡(luò)管理人員進(jìn)行����,但在很多企業(yè)中�,網(wǎng)絡(luò)管理崗位的從業(yè)人員,存在技術(shù)水平有限,專業(yè)度不足的現(xiàn)象,有的網(wǎng)絡(luò)管理人員職業(yè)素養(yǎng)不足,隨意泄露本公司的賬號(hào)等會(huì)造成企業(yè)信息安全受到傷害�。
3 企業(yè)信息管理網(wǎng)絡(luò)安全措施
3.1 先進(jìn)技術(shù)
先進(jìn)的技術(shù)手段是應(yīng)對(duì)企業(yè)信息危機(jī)的基礎(chǔ)�,只有不斷提高技術(shù)技能,利用先進(jìn)的技術(shù)手段才能對(duì)企業(yè)信息的威脅做到防范����,才能提高企業(yè)信息安全管理水平�。
3.1.1 信息加密技術(shù)
信息加密是針對(duì)信息泄露采取的保護(hù)性措施����,能夠有效的提高企業(yè)信息數(shù)據(jù)的安全性能��,防止數(shù)據(jù)泄露。就目前信息加密技術(shù)來(lái)講�,主要應(yīng)用在信息的存儲(chǔ)����、傳輸以及鑒別方面�。信息加密是目前企業(yè)信息安全管理的重要手段��,在企業(yè)信息安全管理上作用顯著����。
3.1.2 防火墻技術(shù)
防火墻技術(shù)在上過(guò)解釋,在企業(yè)信息管理中�,防火墻能夠阻止網(wǎng)絡(luò)中人為產(chǎn)生的信息破壞與攻擊,防火墻能夠幫助企業(yè)攔截很多不良或者惡意病毒與垃圾�。但是防火墻也有局限性,就是不能夠阻止來(lái)自內(nèi)網(wǎng)的網(wǎng)絡(luò)病毒與惡意文件��。
3.1.3 數(shù)據(jù)備份
網(wǎng)絡(luò)病毒很多會(huì)造成企業(yè)的重要信息數(shù)據(jù)永久失去,無(wú)法恢復(fù)��,對(duì)企業(yè)造成不可估量的損失�。數(shù)據(jù)備份就是通過(guò)對(duì)企業(yè)信息數(shù)據(jù)復(fù)制,作為備用����,即使企業(yè)信息收到損壞�,無(wú)法恢復(fù)�,有了備用信息就不會(huì)造成損失��。
3.2 企業(yè)管理
3.2.1 企業(yè)局域網(wǎng)管理
加強(qiáng)對(duì)企業(yè)局域網(wǎng)的管理是企業(yè)信息管理的關(guān)鍵����。企業(yè)局域網(wǎng)管理不僅是對(duì)企業(yè)內(nèi)部使用網(wǎng)絡(luò)進(jìn)行隔離��,同時(shí)也要對(duì)企業(yè)所接觸到的網(wǎng)頁(yè)進(jìn)行安全把控��。在企業(yè)員工工作時(shí)��,要根據(jù)員工實(shí)際狀況進(jìn)行內(nèi)外網(wǎng)權(quán)限設(shè)置�,隔離內(nèi)外網(wǎng),有效降低感染病毒的機(jī)會(huì)。
3.2.2 網(wǎng)絡(luò)管理人員管理
提高網(wǎng)絡(luò)管理人員專業(yè)素養(yǎng)是企業(yè)信息管理的核心。首先要對(duì)網(wǎng)絡(luò)管理人員進(jìn)行專業(yè)培訓(xùn),提高管理人員專業(yè)水平與素養(yǎng)�,另外����,要進(jìn)行權(quán)責(zé)制度��,按照需求對(duì)人員進(jìn)行劃分��,責(zé)任到人����,提高網(wǎng)絡(luò)管理人員對(duì)企業(yè)信息安全的重視。
4 結(jié)語(yǔ)
通過(guò)從技術(shù)的手段與企業(yè)管理兩個(gè)方面進(jìn)行企業(yè)信息管理��,嚴(yán)格把握企業(yè)信息的每個(gè)關(guān)卡����,責(zé)任到人��,同時(shí)要不斷地對(duì)企業(yè)信息安全系統(tǒng)進(jìn)行檢查,更新技術(shù)支持,完善信息防御與修復(fù)系統(tǒng)����,創(chuàng)造一個(gè)穩(wěn)定����、安全的企業(yè)信息環(huán)境����。
第7篇
關(guān)鍵詞:信息安全管理��;信息資產(chǎn)�;模型;推廣方案
中圖分類號(hào):TP309 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1674-7712 (2013) 02-0175-01
所謂的信息安全就是指信息的可用性、完整性����、安全性以及保密性。信息安全管理主要是指組織為了確保信息的安全而進(jìn)行的控制、領(lǐng)導(dǎo)�、組織����、計(jì)劃的相關(guān)過(guò)程��。隨著企業(yè)的飛速發(fā)展以及信息技術(shù)的不斷完善�,各類企業(yè)的信息化程度也在不斷地提高��,信息安全已經(jīng)成為了企業(yè)發(fā)展過(guò)程中的核心內(nèi)容之一。
一、企業(yè)信息安全管理的現(xiàn)狀
目前�,絕大部分企業(yè)在發(fā)展的過(guò)程中已經(jīng)開(kāi)始對(duì)企業(yè)的信息安全工作制定出了一系列的管理措施,不過(guò)�,企業(yè)在對(duì)那些信息進(jìn)行安全管理的過(guò)程中�,基本上是部署或購(gòu)買信息安全產(chǎn)品����。而這些產(chǎn)品基本上是為了達(dá)到某項(xiàng)安全功能而研發(fā)生產(chǎn)的、針對(duì)性較強(qiáng)的硬件或軟件產(chǎn)品。當(dāng)前市場(chǎng)上所出售的信息安全產(chǎn)品主要有四個(gè)層次:系統(tǒng)安全設(shè)備、網(wǎng)絡(luò)安全設(shè)備�、終端安全設(shè)備��、基礎(chǔ)安全設(shè)備。
企業(yè)通過(guò)這些信息安全產(chǎn)品雖然在某些方面具有一定的安全效果��,不過(guò)企業(yè)自身的信息安全度仍沒(méi)有得到提高��。所謂的企業(yè)信息安全管理就是指針對(duì)當(dāng)前企業(yè)所面臨的信息失控����、惡意軟件、人為因素等復(fù)雜環(huán)境給予相應(yīng)的防護(hù)��,確保企業(yè)的信息系統(tǒng)以及相關(guān)信息不會(huì)被非授權(quán)使用����、訪問(wèn)����、中斷或修改�。這樣做的目的主要是對(duì)企業(yè)的信息安全進(jìn)行適當(dāng)?shù)谋Wo(hù)����,并確保其具有可用性、真實(shí)性����、完整性以及保密性�。就目前的情況而言,絕大部分企業(yè)的信息安全管理存在下列問(wèn)題:(1)缺乏足夠的安全防護(hù)意識(shí),員工的信息安全教育力度較為薄弱��;(2)管理過(guò)程中對(duì)于人為因素的管理較為缺乏;(3)只重視技術(shù)而忽略了管理����;(4)缺乏系統(tǒng)性的管理方案�;(5)缺乏專業(yè)的信息安全管理人員�。
二����、企業(yè)信息資產(chǎn)的安全管理方式
一般情況下,企業(yè)的信息資產(chǎn)具有以下三個(gè)重要屬性:即可用性����、完整性以及保密性����。在對(duì)企業(yè)的信息進(jìn)行管理的過(guò)程中�,這三者缺一不可��。在企業(yè)發(fā)展的不同時(shí)期以及不同階段�,這三者的屬性以及地位也大不相同��。對(duì)于絕大部分企業(yè)而言����,對(duì)企業(yè)信息進(jìn)行安全管理的主要目的就是確保企業(yè)的信息資產(chǎn)具有較好的保密性,因此,信息的可用性以及完整性在信息安全管理過(guò)程中基本上就成為了附屬品。由此可見(jiàn)�,對(duì)于絕大多數(shù)企業(yè)來(lái)說(shuō),信息的保密性更為重要��。
由于企業(yè)的信息安全管理活動(dòng)通常會(huì)涉及到企業(yè)的所有員工以及各個(gè)管理階層����,因此��,企業(yè)在開(kāi)展此項(xiàng)活動(dòng)的過(guò)程中��,一定要注重全員參與的重要性��,讓企業(yè)的各項(xiàng)工作以及每個(gè)員工都對(duì)企業(yè)的信息安全引起高度重視�,并將企業(yè)的信息安全管理與企業(yè)文化融為一體,以便于從根本上實(shí)現(xiàn)企業(yè)的信息安全管理目標(biāo)。不過(guò)對(duì)于絕大部分企業(yè)而言�,經(jīng)濟(jì)指標(biāo)才是員工以及管理層關(guān)注的重點(diǎn)內(nèi)容����,而信息安全管理需要投入大量的人力����、物力以及財(cái)力方能實(shí)現(xiàn),因此,這對(duì)于大部分企業(yè)來(lái)說(shuō)其操作性相對(duì)較低。由此可見(jiàn)��,在對(duì)企業(yè)的信息安全進(jìn)行管理的過(guò)程中����,一定要盡最大可能確保信息安全管理的簡(jiǎn)潔性。
三�、企業(yè)在進(jìn)行信息安全管理時(shí)所涵蓋的具體內(nèi)容
目前,信息安全管理過(guò)程中的內(nèi)容經(jīng)簡(jiǎn)化和提煉后主要有“執(zhí)行力”、“堵”�、“護(hù)”,在不同企業(yè)或同一企業(yè)發(fā)展過(guò)程中的不同階段��,信息安全管理的計(jì)劃實(shí)施先后順序以及側(cè)重點(diǎn)也會(huì)有所不同����。對(duì)于企業(yè)的普通員工以及管理人員而言�,通過(guò)簡(jiǎn)單地宣傳教育就很容易讓他們牢記“執(zhí)行力”����、“堵”����、“護(hù)”��,而對(duì)于專業(yè)的信息安全管理人員則必須從以下幾個(gè)方面著手����。
(一)構(gòu)建與企業(yè)文化相符合的安全體系
企業(yè)在構(gòu)建信息安全管理體系的過(guò)程中,它與企業(yè)文化的適應(yīng)程度有著十分密切的聯(lián)系����,不同的企業(yè)有著不同的企業(yè)文化�,因此��,在進(jìn)行信息安全管理的過(guò)程中,其管理思路以及管理方法也會(huì)大不相同����。一些執(zhí)行力較強(qiáng)的單位�,通常會(huì)采用強(qiáng)制手段來(lái)進(jìn)行管理�,且管理的效果相對(duì)較好�,而對(duì)于執(zhí)行力相對(duì)較差的單位,通過(guò)制定出科學(xué)合理的管理方法,并加以相應(yīng)的監(jiān)控管理��、審計(jì)以及技術(shù)支持也會(huì)取得相對(duì)較好的效果。
(二)對(duì)信息傳遞渠道進(jìn)行嚴(yán)格的管理
企業(yè)在對(duì)信息資產(chǎn)進(jìn)行安全管理時(shí)����,一定要強(qiáng)化對(duì)信息傳遞渠道的管理,對(duì)信息資產(chǎn)的各個(gè)傳輸渠道進(jìn)行嚴(yán)格的分析,嚴(yán)禁出現(xiàn)非授權(quán)或授權(quán)范圍外的傳遞或訪問(wèn)�。在此過(guò)程中����,“堵”的核心內(nèi)容就是人員的安全管理����,這主要是因?yàn)槠髽I(yè)的信息資產(chǎn)都是通過(guò)人來(lái)進(jìn)行控制、管理的����。在所有的信息安全管理過(guò)程中�,對(duì)人的管理難度最大����,因此,在開(kāi)展信息安全管理活動(dòng)時(shí),一定要對(duì)員工的調(diào)動(dòng)以及離職情況進(jìn)行嚴(yán)格的審計(jì),以此來(lái)防止信息資產(chǎn)的不合理傳遞�。
(三)核心信息資產(chǎn)的保護(hù)
所謂的核心信息資產(chǎn)的保護(hù)主要是指對(duì)企業(yè)的核心信息資產(chǎn)進(jìn)行科學(xué)有效的保護(hù)����,這對(duì)于企業(yè)的發(fā)展有著至關(guān)重要的作用����,同時(shí)它還是企業(yè)進(jìn)行信息資產(chǎn)安全管理的有效手段����。由于企業(yè)的資源具有一定的有限性����,因此����,企業(yè)的信息安全也具有一定的相對(duì)性�,基于此�,在對(duì)企業(yè)的信息資產(chǎn)進(jìn)行安全管理的過(guò)程中,對(duì)核心信息資產(chǎn)進(jìn)行保護(hù)就顯得尤為重要了。所謂的核心信息資產(chǎn)就是指一旦泄露就有可能對(duì)企業(yè)造成嚴(yán)重的損失,或者是價(jià)值相對(duì)較高的信息�。
四�、結(jié)束語(yǔ)
隨著市場(chǎng)經(jīng)濟(jì)的不斷發(fā)展以及信息技術(shù)的日漸完善��,企業(yè)在發(fā)展過(guò)程中的信息資產(chǎn)保護(hù)所面臨的形式也變得越來(lái)越嚴(yán)峻。為此�,企業(yè)在發(fā)展的過(guò)程中,一定要根據(jù)自身的實(shí)際情況,建立相應(yīng)的管理體系��,并將其納入企業(yè)的風(fēng)險(xiǎn)管理中��,盡量降低信息泄露對(duì)企業(yè)發(fā)展所造成的影響。
參考文獻(xiàn):
[1]齊峰.COBIT在企業(yè)信息安全管理中的應(yīng)用實(shí)踐[J].計(jì)算機(jī)應(yīng)用與軟件��,2009��,26(10):282-285.
[2]伏原.網(wǎng)絡(luò)信息安全管理在電力企業(yè)中的應(yīng)用[J].中華民居,2011��,(8):385-386.
[3]孟潔.國(guó)有企業(yè)中的信息安全管理和應(yīng)用[J].科技信息��,2012�,(2):252.
第8篇
【關(guān)鍵詞】桌面安全管理����;信息建設(shè)�;桌面終端����;應(yīng)用
在信息技術(shù)飛速發(fā)展的大背景下�,桌面終端已經(jīng)成為企業(yè)生產(chǎn)運(yùn)營(yíng)的重要組成部分并被廣泛應(yīng)用于企業(yè)之中。但是受到種種原因的影響�,桌面終端增多帶來(lái)了許多安全問(wèn)題,威脅著企業(yè)的信息安全�。基于此,桌面安全管理系統(tǒng)應(yīng)運(yùn)而生。桌面安全管理系統(tǒng)簡(jiǎn)稱BES��,是一種基于企業(yè)桌面客戶端內(nèi)網(wǎng)安全管理系統(tǒng),對(duì)客戶端系統(tǒng)安全漏洞和安全隱患進(jìn)行評(píng)估的管理控制平臺(tái)����。本文簡(jiǎn)要分析了目前我國(guó)企業(yè)桌面計(jì)算機(jī)系統(tǒng)的安全現(xiàn)狀����,主要研究桌面安全管理系統(tǒng)在企業(yè)信息建設(shè)中的應(yīng)用����,這對(duì)于企業(yè)的信息建設(shè)而言具有重要現(xiàn)實(shí)意義。
1目前企業(yè)桌面計(jì)算機(jī)系統(tǒng)的安全狀況
桌面終端系統(tǒng)因?yàn)椴僮鞣奖愕葍?yōu)點(diǎn)而被廣泛應(yīng)用����,但由于計(jì)算機(jī)數(shù)目過(guò)多過(guò)雜����、內(nèi)部員工的不當(dāng)操作等因素導(dǎo)致目前企業(yè)桌面計(jì)算機(jī)系統(tǒng)存在著許多問(wèn)題:(1)沒(méi)有嚴(yán)格對(duì)待外網(wǎng)接入工作,容易讓外網(wǎng)接入盜取企業(yè)信息����。很多企業(yè)為了更好地管理,便將許多電腦連成一個(gè)整體來(lái)進(jìn)行高效運(yùn)營(yíng)。但是這么做也存在一個(gè)弊端:給外網(wǎng)入侵帶來(lái)可乘之機(jī),由于計(jì)算機(jī)管理人員不能使每臺(tái)計(jì)算機(jī)都能得到合理配置�,因此容易讓外網(wǎng)接入�,造成企業(yè)信息泄露等損失��。(2)缺乏有序規(guī)劃����,設(shè)備配置良莠不齊?,F(xiàn)階段我國(guó)很多企業(yè)計(jì)算機(jī)系統(tǒng)設(shè)備配置混亂且質(zhì)量參差不齊����,給維修以及耗材的配備增加了成本。(3)隨著信息技術(shù)的飛速發(fā)展����,涌現(xiàn)出來(lái)的許多操作系統(tǒng)以及軟件給企業(yè)系統(tǒng)安全管理帶來(lái)巨大的壓力。(4)缺乏統(tǒng)一的手段統(tǒng)計(jì)分析桌面運(yùn)行狀況��,缺乏跟蹤監(jiān)督桌面設(shè)備受到侵害的狀況,缺乏跟蹤監(jiān)測(cè)安全漏洞的修復(fù)狀況��。(5)一些企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜��,十分難管理����。加上一些內(nèi)部員工的不良操作以及對(duì)移動(dòng)存儲(chǔ)介質(zhì)使用的隨意性容易導(dǎo)致企業(yè)信息泄露�?���;谀壳捌髽I(yè)桌面計(jì)算機(jī)系統(tǒng)的安全現(xiàn)狀,企業(yè)需要實(shí)施桌面安全管理系統(tǒng)來(lái)解決桌面終端存在的問(wèn)題,有效地保護(hù)企業(yè)的信息安全。
2桌面安全管理系統(tǒng)在企業(yè)信息建設(shè)中的具體應(yīng)用
2.1系統(tǒng)補(bǔ)丁管理
目前我國(guó)很多企業(yè)操作人員在應(yīng)用桌面安全管理系統(tǒng)過(guò)程中會(huì)出現(xiàn)安裝完系統(tǒng)后就沒(méi)有再打過(guò)補(bǔ)丁的現(xiàn)象,很多用戶也缺乏系統(tǒng)升級(jí)的意識(shí)�,對(duì)數(shù)據(jù)庫(kù)系統(tǒng)以及應(yīng)用程序不打補(bǔ)丁升級(jí)����。桌面安全管理系統(tǒng)的補(bǔ)丁管理是及時(shí)地更新系統(tǒng)漏洞的特征以及系統(tǒng)補(bǔ)丁源�,保證補(bǔ)丁服務(wù)器能夠及時(shí)獲取新的系統(tǒng)漏洞特征和補(bǔ)丁源�。桌面安全管理系統(tǒng)自動(dòng)地收集����、統(tǒng)計(jì)以及檢測(cè)所管理桌面終端系統(tǒng)的漏洞信息和補(bǔ)丁安裝進(jìn)度,隨后根據(jù)每一臺(tái)桌面終端操作系統(tǒng)以及已經(jīng)安裝的補(bǔ)丁情況����,打包�、分配����、安裝所需要的補(bǔ)丁����。桌面安全管理系統(tǒng)可以自動(dòng)對(duì)漏洞進(jìn)行及時(shí)檢測(cè)修復(fù)����,保障系統(tǒng)的安全��。
2.2IT資產(chǎn)管理
桌面安全管理系統(tǒng)根據(jù)所管理范圍的桌面終端系統(tǒng)的軟件和硬件資產(chǎn)變更進(jìn)行管理��,以小時(shí)��、天�、周為周期通過(guò)軟件或者人工只能收集資產(chǎn)信息��,然后再將所收集的信息納入資產(chǎn)信息庫(kù)��。桌面安全管理人員根據(jù)資產(chǎn)編號(hào)、資產(chǎn)所歸屬部門(mén)����、資產(chǎn)使用人等信息進(jìn)行查詢和管理����,最后定時(shí)生成資產(chǎn)信息報(bào)表�����。在桌面安全管理系統(tǒng)控制臺(tái)管理中��,管理人員可以清楚地了解有多少計(jì)算機(jī)沒(méi)有安裝桌面安全管理系統(tǒng),利于管理人員掌握網(wǎng)絡(luò)資產(chǎn)數(shù)據(jù)����。
2.3軟件分發(fā)
在安裝軟件時(shí)����,很多企業(yè)用戶因?yàn)橛?jì)算機(jī)水平良莠不齊等原因無(wú)法自行完成�����。一些通用軟件或者專業(yè)軟件覆蓋范圍廣����,因此利用軟件分發(fā)功能便可以自動(dòng)化部署網(wǎng)絡(luò)客戶機(jī)的各個(gè)軟件����,確保版本軟件以及配置保持同一性�����。桌面安全系統(tǒng)維護(hù)人員還要根據(jù)企業(yè)的實(shí)際需要來(lái)研究分析桌面安全管理系統(tǒng)的軟件開(kāi)發(fā)功能�����,編寫(xiě)包含工具軟件����、系統(tǒng)軟件����、補(bǔ)丁等常用軟件的自動(dòng)安裝包以及自動(dòng)卸載包��,最后根據(jù)客戶的實(shí)際需要進(jìn)行軟件分發(fā),這極大地降低了管理人員的工作強(qiáng)度�����,提高了工作效率。
2.4外接設(shè)備的管理
統(tǒng)一管理所有安裝了客戶端主機(jī)的外接設(shè)備��,管理人員只要在控制中心進(jìn)行相應(yīng)配置后便可以控制是否允許USB接口����、光驅(qū)����、串口等外接設(shè)備的接入�����。同時(shí)值得注意的是�����,在管理人員對(duì)USB接口進(jìn)行管理時(shí)��,用戶使用USB鍵盤(pán)����、鼠標(biāo)不會(huì)受到限制�����,只有當(dāng)使用USB硬盤(pán)等存儲(chǔ)設(shè)備時(shí)才會(huì)受到限制��。
2.5病毒防護(hù)管理
桌面安全管理系統(tǒng)可以很好地對(duì)客戶機(jī)的病毒防護(hù)情況進(jìn)行監(jiān)控��,包括是否安裝了病毒防護(hù)軟件����、是否將病毒代碼庫(kù)升級(jí)為最新等�����。在系統(tǒng)控制臺(tái)上��,所有客戶機(jī)的信息都集合在一起��,管理人員可以更好地管理�����。一些客戶機(jī)違規(guī)安裝了某些病毒防護(hù)軟件�����,或者是同時(shí)安裝了兩種病毒防護(hù)軟件,可能會(huì)導(dǎo)致系統(tǒng)運(yùn)行速度緩慢�����,增加了管理人員和維護(hù)人員的工作負(fù)擔(dān)��。針對(duì)這種情況��,桌面安全管理系統(tǒng)可以識(shí)別計(jì)算機(jī)屬性�����,統(tǒng)計(jì)違規(guī)客戶機(jī)信息�����,并采取限制使用網(wǎng)絡(luò)資源等方法來(lái)使用戶卸載違規(guī)安裝的病毒防護(hù)軟件,促進(jìn)病毒防護(hù)管理的規(guī)范化����、合理化。
2.6遠(yuǎn)程維護(hù)
桌面安全管理系統(tǒng)的遠(yuǎn)程維護(hù)有兩種方式����,分別是遠(yuǎn)程桌面查看以及遠(yuǎn)程桌面控制����,通過(guò)遠(yuǎn)程維護(hù)方式��,管理維護(hù)人員可以進(jìn)行遠(yuǎn)程診斷以及修復(fù)��,極大提高了工作效率�����。與此同時(shí)��,遠(yuǎn)程維護(hù)還支持客戶端確認(rèn)的過(guò)程,如遇客戶沒(méi)有確認(rèn)就不能接管客戶終端�����。終端遠(yuǎn)程維護(hù)服務(wù)只在需要時(shí)開(kāi)啟�����,此外使用動(dòng)態(tài)密碼可以確保遠(yuǎn)程維護(hù)服務(wù)的安全性����。
3結(jié)語(yǔ)
綜上所述��,桌面安全管理系統(tǒng)充分運(yùn)用了信息安全管理技術(shù)來(lái)提高企業(yè)信息建設(shè)水平和安全管理效率����,加強(qiáng)對(duì)網(wǎng)絡(luò)客戶端的控制并進(jìn)行實(shí)時(shí)監(jiān)控����,集成其他網(wǎng)絡(luò)安全設(shè)備為可靠的����、安全的局域網(wǎng)絡(luò)��,極大地鞏固加強(qiáng)了對(duì)企業(yè)信息安全的保障��。此外�����,桌面安全管理系統(tǒng)雖然越來(lái)越受到重視����,但其在應(yīng)用領(lǐng)域仍處于比較不成熟狀態(tài),需要企業(yè)進(jìn)行進(jìn)一步探究����。
參考文獻(xiàn)
[1]盧緒平.桌面安全管理系統(tǒng)在企業(yè)信息建設(shè)中的應(yīng)用研究[J].化工管理,2015(11).
第9篇
關(guān)鍵詞:企業(yè)��;信息網(wǎng)絡(luò);安全體系��;安全技術(shù)
大中型企業(yè)作為我國(guó)國(guó)民經(jīng)濟(jì)的骨干企業(yè)�����,在國(guó)家經(jīng)濟(jì)發(fā)揮舉足輕重的作用�����,現(xiàn)代經(jīng)濟(jì)活動(dòng)離不開(kāi)信息和網(wǎng)絡(luò)����,大中型企業(yè)對(duì)網(wǎng)絡(luò)和信息技術(shù)的依賴性很強(qiáng)�����,企業(yè)員工多�����、信息化互聯(lián)設(shè)備多�����、種類多樣,企業(yè)的關(guān)鍵業(yè)務(wù)大多架構(gòu)在IT系統(tǒng)之上����,網(wǎng)絡(luò)環(huán)境的穩(wěn)定性、安全性、高效性直接影響公司信息化應(yīng)用��。目前,許多大中型企業(yè)提出了建立“數(shù)字化企業(yè)”的目標(biāo)��,在企業(yè)信息化建設(shè)中����,信息安全問(wèn)題是必須要首先考慮的問(wèn)題�����,可見(jiàn),建立企業(yè)信息安全體系勢(shì)在必行��。
1 企業(yè)信息網(wǎng)絡(luò)安全威脅及風(fēng)險(xiǎn)
近年來(lái),許多大中型企業(yè)十分重視信息網(wǎng)絡(luò)建設(shè)的應(yīng)用和開(kāi)發(fā)�����,但是對(duì)于信息網(wǎng)絡(luò)安全的防護(hù)并沒(méi)有得到足夠重視����。根據(jù)調(diào)研機(jī)構(gòu)的調(diào)查報(bào)告顯示����,國(guó)內(nèi)企業(yè)中63%經(jīng)常遭受病毒或蠕蟲(chóng)攻擊,而41%的企業(yè)受到惡意間諜軟件或惡意軟件的威脅����。主要體現(xiàn)在:病毒和蠕蟲(chóng)攻擊、黑客入侵����、惡意攻擊����、完整性破壞、網(wǎng)絡(luò)資源濫用�����、員工信息安全意識(shí)淡薄等。
目前企業(yè)面臨著網(wǎng)絡(luò)攻擊的“外部威脅”及內(nèi)部人員信息泄露的“內(nèi)部威脅”的雙重考驗(yàn)����,垃圾郵件、企業(yè)機(jī)密泄露�����、網(wǎng)絡(luò)資源濫用��、病毒泛濫以及網(wǎng)絡(luò)攻擊等問(wèn)題成為企業(yè)最為頭疼的網(wǎng)絡(luò)安全問(wèn)題�����,企業(yè)網(wǎng)絡(luò)環(huán)境日趨嚴(yán)峻����。
2 企業(yè)網(wǎng)絡(luò)安全體系
大中型企業(yè)網(wǎng)絡(luò)面臨嚴(yán)峻的安全形勢(shì)�����,迫使各企業(yè)意識(shí)到構(gòu)建完備安全體系的重要性,隨著網(wǎng)絡(luò)攻擊的多樣化����,只針對(duì)網(wǎng)絡(luò)層以下的安全解決方案已經(jīng)不足以應(yīng)付各種各樣的攻擊�����,同時(shí)還要隨時(shí)注重操作系統(tǒng)�����、數(shù)據(jù)庫(kù)����、軟硬件設(shè)備的安全性��;企業(yè)安全體系建設(shè)不僅要有效抵御外網(wǎng)攻擊,而且要能防范可能來(lái)自內(nèi)部的安全泄密等威脅����。企業(yè)必須采用多層次的安全系統(tǒng)架構(gòu)才能保障企業(yè)網(wǎng)絡(luò)安全�����,最終建立一套以內(nèi)外兼防為特征的企業(yè)安全保障體系�����。
企業(yè)信息網(wǎng)絡(luò)安全體系由物理安全����、鏈路安全、網(wǎng)絡(luò)安全�����、系統(tǒng)安全�����、信息安全五部分構(gòu)成。
物理安全:物理安全主要是保護(hù)企業(yè)數(shù)據(jù)庫(kù)服務(wù)器��、應(yīng)用服務(wù)器����、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)介質(zhì)及其他物理實(shí)體設(shè)備的安全�����,提供一個(gè)安全可靠的物理運(yùn)行環(huán)境����。
鏈路安全:數(shù)據(jù)鏈路層(第二協(xié)議層)的通信連接就安全而言,是較為薄弱的環(huán)節(jié)��。目的是保證網(wǎng)絡(luò)鏈路傳送的數(shù)據(jù)不被竊聽(tīng)和篡改。
網(wǎng)絡(luò)安全:網(wǎng)絡(luò)安全主要包括:通過(guò)防火墻隔離內(nèi)外網(wǎng)絡(luò)����,不同區(qū)域的訪問(wèn)控制�����,部署基于網(wǎng)絡(luò)的身份認(rèn)證及入侵檢測(cè)系統(tǒng)����、VPN����、網(wǎng)絡(luò)集中防病毒等手段實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備自身的安全可靠�����。
系統(tǒng)安全:系統(tǒng)安全主要指數(shù)據(jù)庫(kù)�����、操作系統(tǒng)的安全保護(hù)。保證應(yīng)用系統(tǒng)的可靠性��、完整性和高效性��。
信息安全:主要通過(guò)數(shù)據(jù)加密��、CA認(rèn)證�����、授權(quán)等手段保證信息處理����、傳遞��、存儲(chǔ)的保密性��、完整性和可用性��。
典型企業(yè)信息網(wǎng)絡(luò)安全管理體系拓?fù)浣Y(jié)構(gòu)如圖一所示:
3 信息安全體系設(shè)計(jì)原則
企業(yè)安全設(shè)計(jì)應(yīng)遵循如下原則:
3.1保密性:信息不能夠泄露給非授權(quán)用戶�����、實(shí)體或過(guò)程����,或供其利用的特性��。
3.2完整性:信息完整性是指信息在輸入和傳輸?shù)倪^(guò)程中,不被非法授權(quán)修改和破壞����,保證數(shù)據(jù)的一致性����。
3. 3可用性:保障授權(quán)用戶在需要時(shí)可以獲取信息并按要求使用的特性����。
3.4可控性:對(duì)信息的處理、傳遞��、存儲(chǔ)等具有控制能力��。
信息安全就是要保障維護(hù)信息的機(jī)密性��、完整性����、可用性以及保障維護(hù)信息的真實(shí)性�����、可問(wèn)責(zé)性����、不可抵賴性����、可靠性�����、守法性��。
4 企業(yè)網(wǎng)絡(luò)安全防范技術(shù)手段
目前企業(yè)信息網(wǎng)絡(luò)布署的安全技術(shù)手段主要方式有:
4.1防火墻系統(tǒng)
防火墻系統(tǒng)作為企業(yè)網(wǎng)絡(luò)安全系統(tǒng)必不可少的組成部分��,用于防范來(lái)自外部interne非法用戶對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)的主動(dòng)威脅��。防火墻系統(tǒng)搭建在內(nèi)部網(wǎng)絡(luò)與外部公共Internet網(wǎng)絡(luò)之間�����,通過(guò)合理配置訪問(wèn)控制策略��,管理Internet和內(nèi)部網(wǎng)絡(luò)之間的訪問(wèn)。其主要功能包括訪問(wèn)控制����、信息過(guò)濾����、流量分析和監(jiān)控��、阻斷非法數(shù)據(jù)傳輸?shù)取F髽I(yè)在外部攻擊的頻度和攻擊流量非常嚴(yán)重的情況下����,建議配置專用的DDOS防火墻�����。
4.2入侵檢測(cè)系統(tǒng)
入侵檢測(cè)系統(tǒng)(簡(jiǎn)稱“IDS”)是一種對(duì)網(wǎng)絡(luò)傳輸進(jìn)行即時(shí)監(jiān)視�����,在發(fā)現(xiàn)可疑傳輸時(shí)發(fā)出警報(bào)或者采取主動(dòng)反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備�����。IDS是一種積極主動(dòng)的安全防護(hù)技術(shù)�����,可以彌補(bǔ)防火墻相對(duì)靜態(tài)防御的不足�����,通過(guò)對(duì)來(lái)自外部網(wǎng)和內(nèi)部的各種行為進(jìn)行實(shí)時(shí)檢測(cè)��,及時(shí)發(fā)現(xiàn)未授權(quán)或異?����,F(xiàn)象以及各種可能的攻擊企圖��,記錄有關(guān)事件����,以便網(wǎng)管員及時(shí)采取防范措施,為事后分析提供依據(jù)的依據(jù)�����。
4.3漏洞掃描系統(tǒng)
企業(yè)內(nèi)部部署漏洞掃描系統(tǒng)�����,不間斷地對(duì)企業(yè)工作站����、服務(wù)器、防火墻����、交換機(jī)等進(jìn)行安全檢查��,提供記錄有關(guān)漏洞的詳細(xì)信息和最佳解決對(duì)策�����,協(xié)助網(wǎng)管員及時(shí)發(fā)現(xiàn)和堵絕漏洞��、降低風(fēng)險(xiǎn),防患于未然��。
4.4網(wǎng)頁(yè)防篡改系統(tǒng)
網(wǎng)頁(yè)防篡改系統(tǒng)主要是防止企業(yè)對(duì)外Web遭受黑客的篡改�����,保證企業(yè)外部網(wǎng)站的正常運(yùn)行。防篡改系統(tǒng)利用先進(jìn)的Web服務(wù)器核心內(nèi)嵌技術(shù)����,將篡改檢測(cè)模塊(數(shù)字水印技術(shù))和應(yīng)用防護(hù)模塊(防注入攻擊)內(nèi)嵌于Web服務(wù)器內(nèi)部�����,并輔助以增強(qiáng)型事件觸發(fā)檢測(cè)技術(shù),不僅實(shí)現(xiàn)了對(duì)靜態(tài)網(wǎng)頁(yè)和腳本的實(shí)時(shí)檢測(cè)和恢復(fù),更可以保護(hù)數(shù)據(jù)庫(kù)中的動(dòng)態(tài)內(nèi)容免受來(lái)自于Web的攻擊和篡改��,徹底解決網(wǎng)頁(yè)防篡改問(wèn)題��。
4.5上網(wǎng)行為管理系統(tǒng)
上網(wǎng)行為管理系統(tǒng)主要部署在企業(yè)外部防火墻和內(nèi)部核心交換機(jī)之間��,針對(duì)企業(yè)內(nèi)部員工訪問(wèn)Internet行為進(jìn)行集中管理與控制����。其主要功能有:網(wǎng)頁(yè)過(guò)濾����、應(yīng)用控制(IM聊天、P2P下載����、在線娛樂(lè)、炒股軟件�����、論壇發(fā)帖等)����、帶寬管理�����、內(nèi)容審計(jì)(郵件收發(fā)、論壇發(fā)帖��、FTP、HTTP文件傳輸?shù)龋?���、用戶管理、日志管理等功能?/p>
4.6內(nèi)網(wǎng)安全管理平臺(tái)
據(jù)FBI/CSI中國(guó)CNISTEC調(diào)查報(bào)告:來(lái)自企業(yè)外部威脅占20%�����,內(nèi)部威脅高達(dá)80%。針對(duì)大型企業(yè)日益復(fù)雜的內(nèi)部網(wǎng)絡(luò)環(huán)境以及基于企業(yè)保密管理的需求�����,必須構(gòu)造一套內(nèi)網(wǎng)安全管理平臺(tái)����,規(guī)范和管理內(nèi)部網(wǎng)絡(luò)環(huán)境,提高內(nèi)部網(wǎng)絡(luò)資源的可控性��。其功能應(yīng)包括:用戶認(rèn)證與授權(quán)����、IP與MAC綁定、網(wǎng)絡(luò)監(jiān)控�����、桌面監(jiān)控�����、安全域管理����、 存儲(chǔ)介質(zhì)管理、補(bǔ)丁分發(fā)����、文檔安全管理�����、資產(chǎn)管理�����、日志報(bào)表管理等。
4.7企業(yè)集中防病毒系統(tǒng)
在病毒肆虐的時(shí)代����,反病毒已經(jīng)成為企業(yè)信息安全非常重要的一環(huán)�����,企業(yè)網(wǎng)絡(luò)情況比較復(fù)雜����,由于員工計(jì)算機(jī)水平大多不高�����,構(gòu)造一套完整的企業(yè)集中防病毒網(wǎng)絡(luò)系統(tǒng)平臺(tái)�����,可以強(qiáng)化病毒防護(hù)系統(tǒng)的應(yīng)用策略和統(tǒng)一管理策略�����,并且使企業(yè)員工電腦的病毒庫(kù)及時(shí)得到更新�����,增強(qiáng)病毒防護(hù)有效性��,降低病毒對(duì)安全帶來(lái)的威脅。
集中防病毒系統(tǒng)應(yīng)具有:集中管控����、遠(yuǎn)程安裝��、智能升級(jí)、遠(yuǎn)程報(bào)警�����、分布查殺等多種功能�����。
4.8建立健全企業(yè)安全管理組織體系及制度�����,加強(qiáng)企業(yè)信息安全意識(shí)
企業(yè)在建設(shè)信息網(wǎng)絡(luò)安全建設(shè)技術(shù)手段的同時(shí)����,更需要考慮管理的安全性�����,不斷完善企業(yè)信息安全制度�����。通過(guò)培訓(xùn)��,增強(qiáng)每個(gè)員工的安全意識(shí)��,為大中型企業(yè)信息安全管理奠定基礎(chǔ)�����。
隨著信息技術(shù)的發(fā)展,企業(yè)無(wú)線接入�����、電子商務(wù)交易����、數(shù)字簽名��、數(shù)字證書(shū)等安全管理也應(yīng)逐步納入企業(yè)信息安全體系范疇�����。
五��、 結(jié)束語(yǔ)
目前,大中型企業(yè)信息進(jìn)程的深入和互聯(lián)網(wǎng)的快速發(fā)展��,網(wǎng)絡(luò)化已經(jīng)成為企業(yè)信息化的發(fā)展大趨勢(shì)�����,針對(duì)各種網(wǎng)絡(luò)應(yīng)用的攻擊和破壞方式也變得異常頻繁����,信息化發(fā)展而來(lái)的網(wǎng)絡(luò)安全問(wèn)題日漸突出�����,網(wǎng)絡(luò)安全問(wèn)題已成為信息時(shí)代人類共同面臨的挑戰(zhàn)�����,同時(shí)��,網(wǎng)絡(luò)信息安全是一個(gè)系統(tǒng)工程�����,涉及人員�����、硬軟件設(shè)備�����、資金��、制度等因素����,沒(méi)有絕對(duì)可靠的安全技術(shù),科學(xué)有效的管理可以彌補(bǔ)技術(shù)安全漏洞的缺陷��。
參考文獻(xiàn):
[1]向宏��,傅鸝,詹榜華 著 信息安全測(cè)評(píng)與風(fēng)險(xiǎn)評(píng)估 電子工業(yè)出版社 2009-01
[2]謝宗曉�����,郭立生 著 信息安全管理體系應(yīng)用手冊(cè)中國(guó)標(biāo)準(zhǔn)出版社 2008-10
