你好,欢迎访问云杂志! 关于我们 企业资质 权益保障 投稿策略
我的订单 购物车(0)
首页 学术杂志 教育杂志 医学杂志 经济杂志 金融杂志 管理杂志 科技杂志 工业杂志 SCI杂志 生活杂志
当前位置: 首页 精选范文 企业信息安全的概念

企业信息安全的概念范文

发布时间:2023-10-11 17:47:25

导语:想要提升您的写作水平,创作出令人难忘的文章?我们精心为您整理的13篇企业信息安全的概念范例,将为您的写作提供有力的支持和灵感!

企业信息安全的概念

篇1

2007年2月国务院国有资产监督管理委员会和国务院信息化工作办联合印发了《关于加强中央企业信息化工作的指导意见》,加快了国有企业信息化建设的步伐。国有企业审计是中国特色社会主义国家审计的重要组成部分。由于企业与公共部门在内部控制、管理和治理方面的差异,导致了企业信息系统审计与公共部门信息系统审计的不同特点。

一、增强国有企业信息系统的可信性

审计机关的审计目标取决于法定要求。根据《中华人民共和国审计法》的规定,审计机关对国有企业财务收支的真实、合法、效益,依法进行审计监督。显然,真实性是国有企业审计的目标之一。信息系统审计是国有企业审计的重要组成部分。国有企业审计的总体目标,决定了国有企业信息系统审计的目标。国有企业审计的真实性目标,必然要求国有企业信息系统提供真实性的信息,这意味着,审计机关的国有企业信息系统审计必须把真实性作为审计目标之一。

根据相关法律的规定,注册会计师也可以对国有企业进行审计。根据我国公司法第165条的规定,“公司应当在每一会计年度终了时编制财务会计报告,并依法经会计师事务所审计。”而且,2008年10月通过的《中华人民共和国企业国有资产法》第六十七条明确规定,“履行出资人职责的机构根据需要,可以委托会计师事务所对国有独资企业、国有独资公司的年度财务会计报告进行审计,或者通过国有资本控股公司的股东会、股东大会决议,由国有资本控股公司聘请会计师事务所对公司的年度财务会计报告进行审计,维护出资人权益。”大家知道,依据注册会计师执业审计准则的规定,会计师事务所对企业财务报表审计的目的是“提高财务报表预期使用者对财务报表的信赖程度。”①这说明,注册会计师国有企业审计的目标是要求财务报表提供的信息具有可信性。注册会计师所审计的国有企业财务报表中的信息是由国有企业的信息系统产生形成的,因而必须对信息系统进行审计。注册会计师对国有企业财务报表审计的可信性目标,决定了注册会计师对国有企业信息系统审计的可信性目标。

同样的审计对象,不同的审计主体,导致了两种不同的国有企业信息系统审计目标。从上述分析不难发现,无论是审计机关还是注册会计师对国有企业进行审计,其中对企业信息系统的审计都是不可或缺的重要组成部分。根据审计法的规定,审计机关对国有企业信息系统审计的目标是真实性。而根据注册会计师执业审计准则,对国有企业信息系统审计的目标是可信性。那么,什么是真实性?什么是可信性?这两种目标之间有什么样的联系和区别?为什么说审计机关应当把增强国有企业信息系统可信性作为审计目标呢?

(一)真实性与可信性的基本涵义

我国审计法强调真实性,根据2010年9月颁布的中华人民共和国国家审计准则(以下简称国家审计准则)的规定,“真实性是指反映财政收支、财务收支以及有关经济活动的信息与实际情况相符合的程度。”那么,什么是真实性呢?真实性只是对财政财务收支及有关经济活动信息质量的最低要求。如果会计信息是真实的,但是不够完整或者披露不及时,仍然不能满足信息使用者的需要,甚至会导致错误的投资决策。事实上,就真实性本身而言,由于会计估计、核算方法等因素的影响,会计信息的真实性也只是相对的,而不是绝对的。所以,把真实性作为审计目标,具有一定的局限性。所谓可信性,从国际审计准则第200号(ISA200)可以看出,当编制的财务报表公允表达(presented fairly)或真实公允(true and fair)时,它才是可信性的。从字面上讲,公允(fair)或公平的要求,强调了财务报表各种使用者之间的利益平衡。从理论上讲,公允表达或真实公允的概念比真实性概念具有更多的内涵,涉及会计适当性、适当披露及审计责任等概念。在国际审计准则第200号(ISA200)中,公允表达是指财务报表是否在所有重大方面按照适用的财务报告框架编制,“公允”还意味着超出财务报告框架所要求披露范围的必要性,以及在极端情况下必须偏离财务报告框架的可能性。适用的财务报告框架,主要是指适用的会计法律法规、会计准则、会计制度等。大家知道,我国会计法强调“保证会计资料真实、完整”。根据会计法的要求,我国的财务报表不仅要具有真实性,而且还要具有完整性。总的来说,可信性并不否认真实性,真实性是可信性的必要前提之一,但真实的并不一定是可信的,可信性的内涵更加丰富,真实性是对财务信息质量的最低要求,可信性反映了对财务信息质量更高的要求。

(二)可信性目标反映了注册会计师审计发展的新阶段

一般认为,受社会需求变化、自身技术手段及审计风险等因素的影响,注册会计师审计目标的发展演变至今经历了四个阶段,即20世纪30年代之前的查错纠弊阶段、30年代中期至80年代验证会计报表真实公允阶段、80年代至90年代中期真实公允与查错纠弊并重阶段,及90年代后期以来的增强信息可信性阶段。虽然同为注册会计师审计的目标,然而从历史发展演变的角度看,真实性只是注册会计师审计的早期目标,当前注册会计师审计准则中的可信性目标反映了注册会计师审计的最新发展,是更高级发展阶段的目标。

(三)可信性目标比“真实公允”具有更加广泛的适用性

20世纪90年代后期,传统的财务报表审计成为更为广义的概念――“保证业务”(Assurance Service)的一个组成部分。我国注册会计师协会译为“鉴证业务”②。2004年国际会计师联合会了《国际保证业务框架》,2005年1月1日生效。2006年我国制定了《中国注册会计师鉴证业务基本准则》,2007年1月1日起施行。鉴证业务是指注册会计师对鉴证对象信息提出结论,以增强除责任方之外的预期使用者对鉴证对象信息信任程度的业务。鉴证对象与鉴证对象信息具有多种形式,主要包括:当鉴证对象为财务业绩或状况时(如历史或预测的财务状况、经营成果和现金流量),鉴证对象信息是财务报表;当鉴证对象为非财务业绩或状况时(如企业的运营情况),鉴证对象信息可能是反映效率或效果的关键指标;当鉴证对象为物理特征时(如设备的生产能力),鉴证对象信息可能是有关鉴证对象物理特征的说明文件;当鉴证对象为某种系统和过程时(如企业的内部控制或信息技术系统),鉴证对象信息可能是关于其有效性的认定;当鉴证对象为一种行为时(如遵守法律法规的情况),鉴证对象信息可能是对法律法规遵守情况或执行效果的声明。不难看出,传统的财务报表审计只是鉴证业务中的一种。鉴证标准随着鉴证对象的不同,也从财务报表审计中按照适用的财务报表编制框架,如编制财务报表所使用的会计准则和相关会计制度,扩展到单位内部制定的行为准则、绩效水平等方面。从其定义看,鉴证业务的目的在于增强除责任方之外的预期使用者对鉴证对象信息的信任程度。真实公允目标是针对财务报表审计的审计目标,可信性目标在概念外延上具有更加广泛的适用性。可信性目标不仅适用于对财务信息的可信性,而且还适用于非财务信息(绩效信息)的可信性。对财务报表来说,如果它是真实公允的,即在所有重大方面是按照适用的财务报表框架编制的,它就是可信性;对于其他鉴证信息来说,如果它是符合适用的鉴证标准,就是可信性的。企业内部的信息系统,现在已不仅仅是财务信息系统,还包括各种业务和管理信息系统。与此同时,为满足企业的业务需求,信息系统所提供的信息也不局限于财务信息,而且还包括许多非财务信息。所以,在国有企业信息系统审计中,把可信性作为国有企业信息系统审计的目标比真实性目标更加符合企业信息化发展的客观要求。

(四)可信性目标反映了审计理论的深化和发展

可信性不是一个孤立的术语,它是新审计理论(或一组新的相互联系的审计概念)中的一个关键性概念。随着注册会计师的业务从传统的财务报表审计发展到鉴证业务,传统的审计理论也得到了深化和发展。大家知道,审计三方关系是指审计人、被审计人、审计授权或委托人之间的关系。传统的受托责任论,即审计动因论,是建立在传统的审计三方关系之上的。然而,在我国现行的《注册会计师鉴证业务基本准则》中给出了一种新的审计三方关系,即注册会计师、责任方和预期使用者。在新的审计三方关系中,被审计人与审计授权或委托人之间责任关系的含义更加丰富,除传统的受托责任关系外还有其他种类不带委托性质的责任关系③。在新的审计三方关系中,预期使用者应包括企业所有的利益相关者,除了传统受托责任关系中的股东外,还应包括经营者、员工、顾客、供应商、债权人、潜在的投资者、监管层、竞争者等。聘请注册会计师的通常是预期使用者或其代表,但也可能是责任方。责任方、预期使用者和注册会计师三方之间的关系,可以看作是信息提供者、信息使用者和信息可信性的保证者之间的关系④。增强信息的可信性,实际上是减少了信息提供者与预期使用者之间的信息不对称,鉴于预期使用者的广泛性,在市场经济条件下,将有利于完善市场机制,提高市场资源配置效率,从而拓展了审计的社会功能。可信性不是一个空洞的概念,鉴证对象信息是否具有可信性,需要执行一定的业务程序。审计师在收集证据的基础上,依据一定的标准,检查责任方的鉴证对象信息在所有重大方面是否符合适当的标准后,才能为鉴证对象信息的可信性提供一定程度的保证,从而提供给预期使用者。鉴证业务的保证程度被细分为合理保证和有限保证,鉴证对象信息被划分为财务信息和非财务信息,其中财务信息被进一步细分为历史财务信息和预测性财务信息。可信性概念是这些新审计理论中的关键性概念之一,相比之下,真实性概念在新的审计理论中却没有相应的理论地位。

(五)可信性目标反映了国家审计的发展趋势

在世界审计组织(INTOSAI)的道德准则(Code of Ethics)中,强调了信赖(trust)、信任(confidence)、信誉(credibility)对于审计机关的至关重要性。在南非审计署1911至2011年百年纪念的纪念品和网站首页上有一句格言:“Auditing to build public confidence”,即“审计旨在建立公共信任”。我国审计署2011年7月15日印发的《审计署关于深化经济责任审计工作的指导意见》中提出,要确保经济责任审计结果的可信、可靠和可用。刘家义审计长提出,国家审计是国家治理的一个组成部分。孔子曰:“足食,足兵,民信之矣”,“民无信不立”,说明了信任、守信在国家治理中的重要性。我们知道,“诚信友爱”是构建社会主义和谐社会的基本要求之一。国家审计可以增强政府的公信力,增强整个社会的诚信。从国家治理的角度看,可信性目标比真实性目标更好地体现了国家审计在国家治理中的作用。

经过上述真实性和可信性两种审计目标含义的对比,不难发现,虽然真实性目标是国有企业审计的传统目标之一,但是可信性比真实性的涵义更为丰富,可信性目标中不但包含了真实性目标,而且可信性目标要求信息系统提供更高质量的信息。两种目标都对信息系统提供的信息质量提出了要求,国家审计对信息质量的要求不应低于注册会计师审计。因此,笔者认为,尽管现行的审计法规定了国有企业信息系统审计的真实性目标,但是,从理论上讲以及从未来发展趋势看,审计机关应当选择可信性作为国有企业信息系统审计的目标,即国有企业信息系统审计应当促进企业信息系统提供可信的信息。

二、促进国有企业信息系统的遵循性

最高审计机关国际组织(INTOSAI)在审计基本原则(ISSAI-100)中,把政府审计业务分为两大类,即合规审计(regularity audit)和绩效审计(performance audit),并制定了相应的审计执行指南,即财务审计执行指南(Implementation Guidelines on Financial Audit)、遵循审计执行指南(implementation guidelines on compliance audit)和绩效审计执行指南(Implementation Guidelines on Performance Audit)。在这个准则指南框架中,合规性审计包括了财务审计和遵循性审计。遵循性审计是指对公共部门实体的活动是否与相关法律法规及授权要求相一致的审计。在《国际审计准则第250号――财务报表审计中对法律法规的考虑》(ISA250)中,非遵循(non-compliance),是指被审计单位不履行法律法规责任或者违反法律法规的犯罪,故意地或者非故意地,与执行的法律或法规对立的行为。在COSO内部控制框架中,遵循性(compliance)作为内部控制的目标之一,是指符合适用的法律法规。由此看来,在上述准则指南中,遵循性,就是我国国家审计中的合法性。但是,在本文中,作为国有企业信息系统审计的目标之一,遵循性与合法性不同。

为满足业务需求,对信息系统提供的信息有一般性的要求,在IT治理框架COBIT4.1中,这些要求也被称之为信息标准(information criteria)。遵循性(compliance)作为其中的标准之一,是指“涉及业务流程与所需遵守的法律、法规及合同约定之间的符合程度的属性,即外部的强制要求和内部政策的遵循性。”⑤在本文中,遵循性作为国有企业信息系统审计的目标之一,采用COBIT4.1中遵循性的概念,即国有企业信息系统的设计、建设、运行和监控不仅要符合来自企业外部的强制性要求(合法性),而且还应符合国有企业内部制定的各种规定的要求。

我国审计机关对国有企业的财务收支的真实、合法和效益,依法进行审计监督。合法性是国有企业审计的审计目标之一。作为国有企业审计的重要内容,信息系统审计应当促进国有企业信息系统的合法性。那么,为什么我们要把国有企业内部制定的各种规定同时也纳入国有企业信息系统审计的目标呢?企业内部如何制定关于其信息系统的规定是企业自己的事情,似乎审计机关不应干预,但是,效益性也是国有企业审计的审计目标之一。当信息系统不符合国有企业某些内部规定的要求时就会影响到企业效益,这些内部规定,如内部控制、管理和治理等,也应纳入国有企业信息系统审计的遵循性目标范围。

三、改善国有企业信息系统的绩效性

绩效性目标是企业信息化不断发展的产物。我国企业信息化建设已经发展到了关注绩效性的阶段。绩效性目标也是IT管理和IT治理的重要内容。IT管理和IT治理的国际标准或良好实务,为开展信息系统绩效审计提供了审计标准。

(一)企业信息系统绩效性的概念

当企业信息化发展水平达到一定程度后,信息系统的绩效问题逐渐引起了人们的关注。在企业信息化的早期阶段,信息系统主要应用于企业的财务会计领域,这时人们对信息系统关注的焦点主要是信息系统的可信性和遵循性问题,相应的措施主要集中在内部控制方面,强调信息系统的一般控制和应用控制。随着企业信息化水平的不断提高,信息系统在企业中的应用范围逐渐从财务会计领域扩展到整个业务领域和管理领域,与此同时,信息系统的建设投入和运行成本显著提高。这时人们发现,大量的信息化投入并不一定能够带来预期的收益,而且还带来巨大的潜在风险,个别企业甚至因高投入造成利润下降或财务危机,有的企业因业务流程改造滞后,还会导致管理混乱。在这种情况下,人们对信息系统关注的焦点,逐渐从“投入”转向“产出”,从技术和内部控制问题转向管理和治理问题,在企业内部出现了专门的IT管理部门,IT管理和IT治理逐渐从企业的一般管理和治理中独立出来,而“绩效”是描述信息系统投入产出、管理和治理的核心概念。

信息系统的绩效性是指利用IT资源提供企业信息服务的经济性、效率性和效果性。为它的利益相关者提供价值是企业存在的基本前提。企业信息系统的目的在于利用IT资源,通过IT流程,提供企业信息服务,以满足业务需求。信息系统要实现的绩效目标必须与企业的业务需求或业务目标相一致。

(二)绩效性目标的可行性

从我国企业信息化发展阶段看,目前信息系统的绩效问题已经成为关注的焦点。2011年2月,工信部电子一所和用友软件股份有限公司联合了《2010年中国企业信息化指数调研报告》。该报告将中国企业的信息技术应用分为四个阶段,分别为基础应用阶段、关键应用阶段、扩展整合及优化升级应用阶段以及战略应用阶段,如图1所示。

该报告认为,目前我国企业信息化总体上处于由基础应用和关键应用向扩展整合与优化升级过渡阶段。报告的主要结论之一是,2010年“信息技术应用范围的变化主要体现在应用广度和深度两方面,企业基本完成了信息技术在各业务领域的应用覆盖,已逐渐开始深度关注企业业务发展需求,着力提升信息技术的应用价值。”提高信息系统的绩效,也已经成为我国企业信息化深度发展的方向。把绩效性作为国有企业信息系统审计的目标,符合我国企业信息化发展的现状,在现实中具有可行性。

(三)绩效性是IT管理和IT治理的重要内容

IT管理目的在于如何降低成本,以更好的弹性及更快的响应速度,向组织内外部顾客提供高质量的IT服务,提供顾客的满意度。IT管理的目标就是要追求信息系统的绩效性,即经济性、效率性和效果性。

信息系统的绩效性也是IT治理追求的目标之一。在IT治理国际标准ISO/IEC38500(组织的信息技术治理)中规定了“绩效”原则,即IT应适合于支持组织的目的并提供服务,服务等级和服务质量应满足当前和将来的业务要求。IT治理框架COBIT4.1有四个基本特征:以业务为中心、以流程为导向、以控制为基础、以绩效测评为驱动。在该框架中,绩效测评是IT治理的关键,并且指出,“多项调研已经表明,IT成本、价值和风险管理缺乏透明是驱动IT治理最重要的一个因素。相对于其他关注的领域,提高透明度主要通过绩效测评来实现。”⑥

(四)绩效审计的参照标准

IT管理和IT治理从企业管理和治理中独立出来,为开展单独立项的信息系统绩效审计创造了条件。就像企业审计要关注被审计单位的管理和治理那样,企业信息系统审计要关注被审计单位的IT管理和IT治理情况。IT管理和IT治理的国际标准或良好实务,则为开展信息系统绩效审计提供了审计标准,也可以作为向被审计单位提出改进建议的参照标准。常见的IT管理和IT治理国际标准有:ISO/1EC20000(信息技术――服务管理)、ITIL(信息技术基础库)、ISO/IEC38500(组织的信息技术治理)、COBIT4.1(信息及其相关技术控制目标)等。

四、维护国有企业信息系统的安全性

维护国有企业信息系统的安全,对于维护国家经济安全至关重要。随着信息技术的发展和应用,人们对信息系统安全性的认识也不断深化。正确理解信息安全的涵义,对于开展信息系统安全性审计具有重要的意义。

(一)安全性目标的重要性

根据1994年我国颁布的《中华人民共和国计算机信息系统安全保护条例》,维护计算机信息系统的安全性,就是要保障计算机及其相关的和配套的设备、设施(含网络)的安全,运行环境的安全,保障信息的安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全运行⑦。从这里可以看出,信息系统的安全包括:信息本身的安全、系统设施设备的安全和系统运行环境的安全三个层面。就三个层面的关系而言,信息是核心,系统设施设备及其运行环境是保障,信息本身的安全是目的,系统设施设备的安全及其运行环境的安全是手段。

国有企业信息系统安全是国家信息安全和经济安全的重要组成部分。为了保护中央企业信息系统的安全稳定运行,2010年12月,公安部和国务院国有资产监督管理委员会联合颁布了《关于进一步推进中央企业信息安全等级保护工作的通知》。据统计,截至2010年5月,已有89.6%的中央企业开展了信息安全等级保护工作,中央企业总计建成投入使用的信息系统有16 092个,已定级14 539个,占比90.3%;应向公安机关备案的系统(二级及以上)有11 370个,已备案8 113个,占应备案系统的71.4%;列入2010年定级计划的有1 598个。中央企业在公安机关备案的信息系统总数约占全国信息系统备案总数的21%,第三、四级重要系统约占全国重要信息系统备案总数的30%⑧。这些数据表明,国有企业信息系统已成为国家信息安全的重要组成部分。《中华人民共和国企业国有资产法》第七条规定,“国家采取措施,推动国有资本向关系国民经济命脉和国家安全的重要行业和关键领域集中,优化国有经济布局和结构,推进国有企业的改革和发展,提高国有经济的整体素质,增强国有经济的控制力、影响力。”由于国有企业集中在国民经济命脉和国家安全的重要行业和关键领域,如电信、电力、石油、石化等重要行业,其重要信息系统已成为国家关键基础设施,是国民经济命脉之命脉,保护国有企业信息系统的安全稳定运行,对于维护国家经济安全和社会稳定具有重要的意义。

(二)信息安全概念的演变

根据我国计算机信息系统安全保护条例中的定义,计算机信息系统的安全性,包括信息本身的安全、系统设施设备的安全和支撑环境的安全。其中,信息本身的安全,即信息安全,是信息系统安全的核心和目的。那么,究竟什么是信息安全呢?

人们对信息系统安全性的认识经历了一个不断深化的发展过程。20世纪80年代美国国防部制定的《可信计算机系统评估准则TCSEC》把保密性当作信息安全的重点。20世纪90年代初由英、法、德、荷四国制定的《信息技术安全评估准则ITSEC》开始把完整性、可用性与保密性作为同等重要的因素。自此,信息安全的概念,即信息的保密性、完整性和可用性,逐渐被普遍接受。在2002年的国际标准ISO/IEC17799:2000《信息技术――信息安全管理业务规范》中明确规定,信息安全,是指保护:“保密性(confidentiality),即确保信息只能够由获得授权的人访问;完整性(integrity),即保护信息的正确性和完整性以及信息处理方法;可用性(availability),即保证经授权的用户可以访问到信息,如果需要的话,还能够访问相关资产。”然而,在2005年的该国际标准修订版即ISO/IEC17799:2005中,信息安全的定义,包括了七种安全特性:信息的保密性(confidentiality)、完整性(integrity)、可用性(availability)及其他属性,如真实性(authenticity)、责任性(accountability)、不可抵赖性(non-repudiation)、可靠性(reliability)等,而且,这种修订后的信息安全定义,被2007年的国际标准ISO/IEC27001(《信息安全管理体系――规范与使用指南》)引用。在学术界,有人认为,信息安全的特性还应进一步包括可控性(controllability)、可预测性(predictability)、可审计性(auditability)、遵循性(compliance)等。

随着信息技术的发展与应用,信息安全的内涵越来越丰富,从最初的信息保密性发展到保密性、完整性和可用性,进而又发展到相关的真实性、责任性、抗抵赖性、可靠性等。相应地,对企业信息安全的考虑,也从最初关注企业信息安全技术层面,发展到关注企业信息安全控制、管理和治理等层面。

(三)正确理解信息安全涵义需要注意的几个问题

1.信息安全与信息保密不同。从信息安全概念的涵义可以看出,信息保密与信息安全是两个不同的概念,信息安全比信息保密的涵义更加丰富。尽管我国新修订的保密法对信息系统的保密问题作出了规定,但是保密法不能代替信息安全法。目前,我国对信息安全的立法仍然比较滞后,尚无专门的信息安全法。信息安全法是国家信息安全保障体系不可或缺的组成部分。

2.微观信息安全与宏观信息安全的联系。企业信息系统的安全离不开系统运行环境的支撑,系统环境包括物理环境和社会环境。从社会环境看,主要是指有关信息安全法律法规、安全意识、人才培养等。这就是说,微观层面单个组织的信息系统安全,还离不开宏观层面国家信息安全保障体系的构建。与此同时,微观层面的信息安全是基础,没有微观层面的信息安全,也就没有宏观层面的信息安全。

3.授权管理的重要性。信息安全的概念有三个核心涵义:保密性、完整性和可用性。这三个核心涵义都涉及一个共同的要素,即“授权”。保密性意味着只有获得授权才能访问;完整性意味着没有授权不得对信息进行删除或修改;可用性意味着拥有授权者随时可以使用。这表明,授权管理是信息安全管理的一项关键内容。信息系统是一种人机系统,授权管理主要涉及对人员行为的安全管理。

4.安全性目标与遵循性、绩效性、可信性目标的联系。从信息安全的涵义可以看出,信息系统的安全性目标不同于其遵循性、绩效性和可信性目标,但是,安全性与它们之间又是相互联系的。首先,安全性必须满足遵循性的要求,信息系统的设计、运行、使用和管理可能要置于法律规定的和合同约定的安全要求的约束之下,特别是各种信息安全法律法规、保密法,以及知识产权、个人隐私权方面的法律法规;其次,信息安全没有绝对的安全,所有的信息安全都是风险可接受条件下的安全,高水平的安全保护需要大量的投入成本,因而需要在成本、收益、风险和安全之间进行权衡,即安全性与绩效性的联系;最后,在信息安全技术层面,可信计算技术是信息安全技术的一个重要研究领域,从而表明安全性与可信性之间也有内在的联系。

笔者认为,目前国际上制定的有关信息安全等级评估、信息安全风险评估、信息安全管理体系等方面的国际标准,无论是在理论概念还是在操作实务方面,对于我国审计机关开展信息系统审计都具有重要的借鉴价值。这些国际标准或良好实务可以作为审计的参照标准,同时也可以作为审计机关向被审计单位提出改进信息系统安全性建议的依据。同时,在对国有企业信息系统的安全性进行审计时,还要立足我国实际,由于我国国有企业信息系统是国民经济命脉之命脉,事关国家经济安全和社会稳定,在重视企业本身信息系统安全的同时,还应当从宏观上揭示国有企业信息系统的安全风险,维护国家经济安全。

篇2

二、企业信息安全管理与风险控制存在的不足

1.企业信息安全管理工作人员素质不高

对于企业来说,企业信息安全管理工作是一项极为重要而隐秘的工作,因此,必须增强对企业信息安全管理工作人员的素质要求。但是根据调查统计,目前很多企业对信息安全工作的管理仅仅停留在对企业信息安全管理工作人员的技术要求上,对企业信息安全管理工作人员的道德素养,职业素养,风险意识并没有严格要求。此外,绝大多数企业并没有意识开展对企业信息安全管理工作的道德素质的教育培训,并没有通过建立相关管理制度以及问责机制对企业信息安全管理工作人员实行监督,这无疑给别有用心或者立场不坚定的企业信息安全管理工作人员留下了危害企业信息安全的可乘之机。

2.企业信息安全管理技术不过关

企业信息安全管理工作涉及多许多技术,包括信息技术,计算机技术,密码技术,网络应用技术等等,应当说成熟的计算机应用技术是做好企业信息安全管理的基础,但是,现实是许多企业的信息安全管理技术并不过关,一方面企业的信息安全管理硬件并不过关,在物理层面对企业信息缺乏保护,另一方面,企业信息安全管理工作的专业技术没有及时更新,一些企业信息安全管理工作人员缺乏企业信息安全管理的实践经验,企业信息安全管理的知识也并没有及时更新,从而导致企业的信息安全管理理论严重滞后,这种技术的落后很容易让企业成为不法分子的攻击对象。近年来网络病毒的传播越来越猖狂,很多服务器、系统提示安全补丁的下载更新以及客户端的时常更新成为一个恼人的问题。作为一个行业中的大中型企业,企业内部设备数量比较多,尤其是客户端数量占了较大比重,仅仅靠少数几个管理员进行管理是难以承担如此大量的工作量。另外,企业信息安全管理系统不成熟也是一个重大的隐患。

3.企业信息安全管理制度不健全

企业信息安全管理制度不仅仅需要理论制度的完善,更加需要一系列配套监督机制保障企业信息安全管理的有效执行。通过调查分析,许多企业虽然建立了企业信息安全管理制度,但是通常情况下,这些制度只能流于形式,企业信息安全管理工作缺少有效的制约和监督,企业信息安全管理工作人员缺乏执行力。企业信息安全管理制度不健全,企业信息安全管理工作缺乏执行力常常体现在以下几个方面。第一,企业员工对于信息安全管理的认识严重不足,对企业信息安全管理工作不重视。企业内部计算机系统安全的计算机防病毒软件并没有及时更新,使用,甚至企业内部计算机的防病毒软件还被企业员工卸载了。部分企业员工认为自己的工作与企业信息安全管理不相关,认为做好企业信息安全管理工作仅仅是企业信息安全部门的事。第二,企业内部信息安全管理制度并没有形成联动机制,企业信息安全管理工作仅仅由企业信息安全部门“一人包干”,企业信息安全反映的问题并没有得到积极的反馈,一些企业领导对企业信息安全现状所了解的少之又少。

三、企业信息安全管理常见的技术手段

1.OSI安全体系结构

OSI概念化的安全体系结构是一个多层次的结构,它的设计初衷是面向客户的,提供给客户各种安全应用,安全应用必须依靠安全服务来实现,而安全服务又是由各种安全机制来保障的。所以,安全服务标志着一个安全系统的抗风险的能力,安全服务数量越多,系统就越安全。

2.P2DR模型

P2DR模型包含四个部分:响应、安全策略、检测、防护。安全策略是信息安全的重点,为安全管理提供管理途径和保障手段。因此,要想实施动态网络安全循环过程,必须制定一个企业的安全模式。在安全策略的指导下实施所有的检测、防护、响应,防护通常是通过采用一些传统的静态安全技术或者方法来突破的,比如有防火墙、访问控制、加密、认证等方法,检测是动态响应的判断依据,同时也是有力落实安全策略的实施工具,通过监视来自网络的入侵行为,可以检测出骚扰行为或错误程序导致的网络不安全因素;经过不断地监测网络和系统来发现新的隐患和弱点。在安全系统中,应急响应占有重要的地位,它是解决危险潜在性的最有效的办法。

3.HTP模型

HTP最为强调企业信息安全管理工作人员在整个系统中的价值。企业信息安全工作人员企业信息安全最为关键的参与者,企业信息安全工作人员直接主导企业信息安全管理工作,企业信息安全工作人员不仅仅是企业信息安全的保障者,也是企业信息安全管理的威胁者。因此,HTP模型最为强调对企业信息安全管理工作人员的管理与监督。另外,HTP模式同样是建立在企业信心安全体系,信息安全技术防范的基础上,HTP模式采取了丰富的安全技术手段确保企业的信息安全。最后,HTP强调动态管理,动态监督,对于企业信息安全管理工作始终保持高强度的监督与管理,在实际工作中,通过HTP模型的应用,找出HTP模型中的漏洞并不断完善。

四、完善企业信息安全管理与降低风险的建议

1.建设企业信息安全管理系统

(1)充分调查和分析企业的安全系统,建立一个全面合理的系统模型,安全系统被划分成各个子系统,明确实施步骤和功能摸块,将企业常规管理工作和安全管理联动协议相融合,实现信息安全监控的有效性和高效性。

(2)成立一个中央数据库,整合分布式数据库里的数据,把企业的所有数据上传到中央数据库,实现企业数据信息的集中管理与有效运用。

(3)设计优良的人机界面,通过对企业数据信息进行有效的运用,为企业管理阶层人员、各级领导及时提供各种信息,为企业领导的正确决策提供数据支持,根本上提高信息数据的管理水平。

(4)简化企业内部的信息传输通道,对应用程序和数据库进行程序化设计,加强对提高企业内部信息处理的规范性和准确性。

2.设计企业信息安全管理风险体系

(1)确定信息安全风险评估的目标

在企业信息安全管理风险体系的设计过程中,首要工作是设计企业信息安全风险评估的目标,只有明确了企业信息安全管理的目标,明确了企业信息安全管理的要求和工作能容,才能建立相关围绕信息安全风险控制为目标的信息安全管理工作制度,才能顺利通过对风险控制的结果的定量考核,检测企业信息安全管理的风险,定性定量地企业信息安全管理工作进行分析,找准企业信息安全管理的工作办法。

(2)确定信息安全风险评估的范围

不同企业对于风险的承受能力是有区别的,因此,对于不同的企业的特殊性应该采取不同的风险控制办法,其中,不同企业对于能够承受的信息安全风范围有所不同,企业的信息安全风险承受范围需要根据企业的实际能力来制定。不仅如此,企业的信息安全风险评估范围也应当根据企业的实际经营情况变化采取有针对性的办法。

篇3

伴随着我国电力行业的迅速发展,特别是南网、国网、华电等大型的电力企业,它们的发展速度更是非常迅速的,目前,电力行业在我国经济的发展当中发挥着中流砥柱的作用,并且是确保整个社会稳定剂经济健康迅速发展的根本性要素,可是,最近几年随着先进科学技术的不断研发,电力企业信息开始面临着泄漏、不可掌控等一系列的安全性威胁,并且,自云计算出现,其依赖于自身优质的性能与全新的有效计算、存储模式受到了各行各业的喜爱,云计算电力与以往的电力企业信息储存系统及运行性能相比具备非常明显的优势。为此,云计算环境下电力企业信息安全是目前整个电力行业急需探究的重要问题。

 

1 云计算的概念与基本原理

 

在分布式处理、并行式处理及先进网络计算科学技术不断发展的基本前提下形成的一种新型计算模式即云计算,其面对的是超大规模的分布式氛围,主要发挥着将供应数据储存及网络服务的作用,并且具体的实现平台、服务于应用程序都是在整个云计算环境下得以实现的。云计算能够把全部的计算资源融合在一起,通过具体软件促使自动化管理、无人为参与,并且能够提供各种各样的认为服务。

 

云计算的基本原理是把相关的计算逐一分布在多个分布式计算机当中,在远程服务器的具体计算当中可以促使电力企业信息处于正常的运行状态,有利于企业将资源更改为具体的需求得以运用,并且能够按照实际需求对计算机进行访问。云计算基本原理为一场历史性的转变创举。

 

2 目前我国电力企业信息安全结构状况

 

2.1 电力企业信息网络结构

 

随着电力企业逐渐进入网络自动化及智能化阶段,为此,目前电力企业信息安全结构一般是以公共网络与专用网络有效综合的一种网络结构形式,其中,专用电力信息网络指的是在因特网进行连接的基础上形成的一种电力企业信息网络及调度信息网络相互综合的形式。

 

2.2 电力信息安全系统结构

 

以信息中的信息性能及信息业务为出发点将电力企业信息划分为三种层面:自动化、生产管理、办公室自动化及电力企业信息管理。其中,办公室自动化及电力企业信息管理是与电力企业信息网络结构紧密联系在一起的,形成的是一个安全工作区域,在这个安全区域当中SPDnet支撑的一种自动化,可具备监控性能的实时监控,譬如,配电自动化、调度自动化、变电站自动化等,同时,安全生产管理区域同样也是SPDnet来作为基本支撑的。

 

3 云计算环境下电力企业信息安全技术的运用

 

3.1 数据传输-存储安全技术

 

在整个电力企业信息当中,涵盖了大量的有关电力企业发展的资料及所有数据信息,譬如:电力企业的财务信息、用户信息、经营管理信息等等,所以,对于整个电力企业而言,数据的传输-存储安全技术在其中发挥着极为重要的作用。

 

一般情况下,云计算环境下,严格加密技术可促使电力企业信息数据在具体的传输过程中将会处于非常安全的一种状态下,主要是由于云计算能够利用加密技术将那些潜存的非法访客完全的拒之门外,预防数据传输过程中发生窃取的事件。

 

从电力企业信息数据存储技术的角度进行分析,其涵盖了数据恢复、数据分离、数据备份、数据存贮位置的选择等几方面内容,而云计算环境下,电力企业便能够利用私有云这一高度集中的存储技术把相关的数据信息以基本性能、重要系数为依据来选择不同的存贮方位,这样可以促使不同种类数据间隔离的实现,并且可起到预防数据信息泄露的作用。

 

云计算的运用可促使电力企业信息能够实现实时备份,使得电力企业信息在有突况出现的时候能够在第一时间达到相关数据的及时恢复。

 

3.2 权限认证及身份管理安全技术

 

云计算能够成功的预防非工作人员使用非法用户对电力企业信息系统进行访问,这主要是由于在私有云的内部全部的企业信息都能够实现禁止访问技术,电力企业信息管理工作者能够通过私有云进行身份管理、权限认证技术的相关设置,按照企业工作人员的级别及具体的规定对于相关数据及应用业务作出明确的规定及权限的划分,这样可成功的预防了非法访问的事件发生,同时实现合法用户根据个人权限来进行企业信息的具体操作。

 

3.3 网络安全隔离技术

 

对于整个电力企业信息来讲,云计算实则是互联网当中的一种内部性系统,通常情况下,电力企业信息网络能够从网络安全的被动保护层面来促使入侵检验技术、防火墙设置等安全防火技术得以实现,可是,云计算环境下,电力企业信息安全采用的是防火墙技术、物理隔离技术、协议隔离技术等先进的科学技术,其中,防火墙技术是对于企业外部网络及电力企业信息网络而创建的一道安全性保护屏障,通过对个人信息的严格检测、审核,将具有破坏性入侵的访客实施的一种有效防护,能够最大限度上将那些越过防火墙对电力企业信息安全网络及正常运行造成破坏的数据流进行完全性的屏蔽;物理隔离技术指的是在云计算环境下对于电力企业内外部网络实施的一种分割,这样能够有效的将内外部网络系统的连接状态完全阻断;

 

协议隔离技术指的是在云计算环境下利用网络配置隔离器对内外部网络进行的一种隔离,在协议隔离技术的支撑下,内外部网络是完全分离的一种状态,而唯有云计算环境下的电力企业信息进行相互交换的过程当中,内外部网络才能够通过协议由隔离的状态转变为正常连接状态。

 

4 结语

 

篇4

引言

随着计算机信息的不断发展,云计算作为计算机中的新兴技术,受到了诸多企业的认可与广泛的应用,但随着时代的发展,云计算环境中的信息安全也被众多相关人士的所重视,而电力企业将云计算技术应用于自身的管理系统中,能够在一定程度上提升自身信息管理的水平。但在提升的同时,也存在着一定的风险性。

1云计算概念解析

云计算的核心里面便是互联网为基础将众多的计算机组合成可以控制的资源体系,最后利用该资源体系完成众多的计算任务。因此就云计算的实质而言,其就是以Internet为基础的计算方法。云计算经过长时间的发展具备了服务弹性大、可扩展性强等诸多优势,但云计算在具备这些优势同时也具备了相关的信息安全问题。所谓的信息安全问题指的便是基于互联网而衍生出来的信息风险。其具体包括数据访问权限风险、传输、储存安全风险等等,而电力企业需要用云计算完成的任务具体有以下几个方面,用户个人信息管理、电力营销、电力数据仿真等等。

2云计算环境下电力信息安全问题简析

有关技术人员根据云计算服务性质的不同,将云计算分为了混合云、私有云、公有云三类,根据我国现代电力企业对于云计算的应用情况,发现其不仅仅涉及到了公有云,而且还包涉及到私有云。而在电力企业中电力私有云在一般情况下是指电力企业为了实现系统内整个IT架构的提升专门构建的云计算。电力企业的私有云较之于公有云而言,提升了一定的安全性与服务质量,但其还存在着较多的风险。

2.1边界模糊

所谓边界风险指的就是因为云计算本身就是以虚拟化构架为基础建造起来的,因此其不具备明确的安全边界,而且传统的安全区分系统很难满足云计算对于安全的需求。

2.2访问权限风险

访问权限在现阶段的云计算系统中,已被大量广泛采用,因为电力企业很大一部分业务系统都处于云中。因此如果不具备相关的身份识别方式,很多人都有可能接触到企业的机密信息,从而导致机密泄露问题的发生。

2.3数据的存储与传输的问题

现阶段很多电力企业信息都会在存储与传输的过程中受到攻击,在很多时候会造成企业机密信息的泄露。很多电力企业信息在存储时会收到代码的恶意攻击,因此电力企业数据的存储与传输的问题必须得到解决。

3云计算环境下电力信息安全策略简析

3.1边界防护技术的应用得到加强计算机安全策略

常见的应用类型便是边界防护功能技术,最为常见的便是防火墙技术、入侵检测系统等等。防护墙技术从本质而言就是一种屏障技术,一般由软硬件组合而成,应用的方面是内部网与外部网之间,具体而言防火墙技术由服务访问规则、数据验证相关工具、包过滤、应用网关,这四大件构成,只要是经过这四大构建的数据都会被严格的审核,审核通过后才会被放行,因此电力信息安全的云计算可以提升防火墙技术来完成对信息的保护,而入侵检测技术其实是一种安全警报技术,入侵检测技术在运行的时候能将准确地识别外来信息的入侵,并且向相关的管理人员发出警报,而且入侵检测系统技术能够将入侵的,信息进行统一的收集处理,并且加以分析,便于工作人员的管理。因此电力企业应当应用较为先进的入侵检测技术系统,便能够在极短时间来发现外来信息的入侵并及时的采取相应的措施,便能够有效的防止电力企业核心资料的泄漏[2]。

3.2完善身份认证体系

屏蔽端口是完善身份认证体系作为主要的一个环节,上文也提及电力信息安全的一个主要问题便是访问权限安全,只有完善身份认证体系才能更好的保护电力企业的机密信息,而完善身份认证体系可以很好的防止个人信息账号被盗问题的发生,在一般情况下,非法攻击或者黑客在对管理员账号进行窃取时,一般都会选择采用服务器的3389端口来进行界限的突破工作,因此电力企业的技术人员只有把流经此端口的计算信息进行彻底的屏蔽,才能实现对电力企业信息的保障。

3.3加强云服务器的安全防护

关于数据的储存以及传输的安全可以通过相应的加密软件来解决,或者电力企业的技术人员根据企业数据的实际情况将数据进行了分类加密。对于核心的数据进行高端加密软件和多层加密。对于普通的数据流进行了一般的加密,如此一来不仅仅节约了企业成本,还解决了数据的存储以及传输的安全的问题。而且电力企业该应该对云服务器的安全防护能力进行一定的加强,其主要的措施就是应用清马以及修补漏洞的方式来实现,电力企业的技术人员对系统的漏洞的检查力度进行一定的加强,对于发现的漏洞进行及时的解决,对于网页上的木马进行及时的查杀,并且统计归纳已经出现的漏洞以及木马,建立较为完善的病毒库,以便下一次更好的防止木马的入侵。

4结语

本文通过对云计算环境下电力信息安全问题的深入分析,并结合了云计算相关的概念,提出了云计算环境下电力信息安全的相关策略,对云计算环境下电力信息安全的各个方面进行了深入的研究分析,最后得出,云计算环境下的电力企业信息安全是保证电力企业实现良好发展的保障之一,因此必须得到重视。

参考文献

篇5

中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2012) 20-0000-02

1 中小型企业网络安全

1.1 中小型企业网络安全概念。国际组织(ISO)对网络安全规定为在网络间进行数据处理系统建立是所采取的相应的安全技术,这些技术可以对网络进行时时监控和安全,并保证不让任何人使用的程序通过网络来进行计算机,并始终通过网络有效的保证计算机算硬件的安全,不通过网络泄露个人或者企业等单位的秘密。以此我们可以这样理解中小型企业网络安全为是通过采用各种高科技技术和一定的管理措施,使的中小企业网络系统能够进行正常运作,进而来保证中小企业网络数据的可用性、完整性和保密性。

1.2 中小型企业网络职能。一个安全的中小企业网络职能应该是具有一定的可靠性、可用性、完整性、保密性和真实性等的。中小企业网络的安全不仅要保护企业内部的计算机网络设备的安全和计算机网络系统安全,更重要的是要对企业数据安全的保护。所以对于一个中小型企业来说网络安全最终的职能就是保护企业重要的信息数据。

2 中小型企业信息网络安全的困惑

2.1 中小企业信息网络操作系统安全的困惑。中小型企业经常出现的困惑就是针对信息网络操作时出现的安全困惑,所谓中小型企业信息网络操作系统安全就是指通常是指进行信息网络操作系统的安全。操作系统的某一合法用户可任意运行一段程序来修改该用户拥有的文件访问控制信息,而操作系统无法区别这种修改是用户自己的合法操作还是计算机病毒的非法操作;另外,也没有什么一般的方法能够防止计算机病毒将信息通过共享客体从一个进程传送给另一个进程。为此,中小型企业认识到必须采取更强有力的访问控制手段,这就是强制访问控制。在强制访问控制中,系统对主体与客体都分配一个特殊的一般不能更改的安全属性,系统通过比较主体与客体的安全属性来决定一个主体是否能够访问某个客体。中小型企业为某个目的而运行的程序,不能改变它自己及任何其它客体的安全属性,包括该用户自己拥有的客体。强制访问控制还可以阻止某个进程生成共享文件并通过这个共享文件向其它进程传递信息。目前来说中小型企业的信息网络操作系统多为Windows和UNIX操作系统,这些操作系统本身就有自身的网络安全漏洞,因为操作系统本身都是有后门的,而这些后门和安全漏洞都将存在重大的信息网络安全隐患,造成中小企业信息网络的安全困惑。所以这就要求在进行中小型企业信息网络系统安装时,不只要考虑到企业的自身需求,更多的时候要考虑到中小型企业的信息网络安全,不能因为系统的安装造成过大的中小型企业信息安全的困惑。

2.2 中小企业信息网络应用安全的困惑。现阶段我国的中小型企业网络安全应用仅网络系统就存在很大的安全隐患,系统、应用和数据的安全存在较大的风险。目前,实施的安全方案是基于当时的认识进行的,主要工作集中于网络安全,对于系统和应用的安全防范缺乏技术和管理手段。如缺乏有效的身份认证,对服务器、网络设备和应用系统的访问都停留在用户名/密码的简单认证阶段,很容易被冒充;又如数据备份缺乏整体方案和制度规范,容易造成重要数据的丢失和泄露。当时的网络安全的基本是一种外部网络安全的概念,是基于这样一种信任模型的,即网络内部的用户都是可信的。在这种信任模型下,假设所有可能的对信息安全造成威胁的攻击者都来自于组织外部,并且是通过网络从外部使用各种攻击手段进入内部网络信息系统的。针对外部网络安全,人们提出了内部网络安全的概念,它基于这样一种信任模型:所有的用户都是不可信的。在这种信任模型中,假设所有用户都可能对信息安全造成威胁,并且可以各种更加方便的手段对信息安全造成威胁,比如内部人员可以直接对重要的服务器进行操控从而破坏信息,或者从内部网络访问服务器,下载重要的信息并盗取出去。内部网络安全的这种信任模型更符合现实的状况。美国联邦调查局(FBI)和计算机安全机构(CSI)等权威机构的研究也证明了这一点:超过80%的信息安全隐患是来自组织内部,这些隐患直接导致了信息被内部人员所窃取和破坏。信息系统的安全防范是一个动态过程,某公司缺乏相关的规章制度、技术规范,也没有选用有关的安全服务。不能充分发挥安全产品的效能。

2.3 中小企业信息网络管理安全的困惑。中小型企业信息网络管理方面存在的安全困惑主要包括了,中小型企业的内部管理人员们或者是员工们图方便省事,对自身的计算机不进行密码的设置,没用自己的用户口令,或者是有些管理者和员工设置的密码和口令过短或者是过于简单,这样就导致密码和口令很容易被破解,这样来当出现了信息网络的安全问题时,容易责任不清,并且很难一下就找到问题出现的计算机,因为整个公司都使用相同的用户名和口令,使得整体信息网络的管理出现严重的混乱,并且容易出现企业重要信息的泄密。进行中小型企业信息网络管理是信息网络安全的重要组成部分,是能保证中小型企业信息网络安全的重要组成部分,是可以对外来病毒进行防止的重要环节,是中小型企业内部信息网络不被入侵必须的部分。也是中小型企业信息网络暗中的管理困惑,是普遍中小型企业都会存在的困惑之一。

3 如何进行中小型企业信息网络安全的架构

3.1 中小型企业信息网络安全架构Internet的接入。中小型企业信息网络安全构架中Internet的接入,多是采用了PIX515作为外部边缘得防火墙设备,中小型企业内部的用户登录则是通过互联网时会经过NetEye防火墙,然后再由PIX映射到互联网。PIX与NetEye之间形成了DMZ映射区,这是一种需要进行提供互联网服务的邮件服务和Web服务器等防止在该DMZ区内。中小型企业进行此防火墙的安全策略步骤是:首先要从Internet上设置只能访问到DMZ内Web服务器的80端口和邮件服务器的25端口,其次,则是要从Internet和DMZ区设定出不能进行访问内部网任何资源,最后则是要从Internet进行访问内部网资源的时候只能通过VPN系统进行。

3.2 中小型企业信息网络安全架构用户的认证。中小型企业信息网络安全架构的用户认证系统主要就是用于解决通过电话进行拨号时出现的安全问题和通过VPN进行接入时出现的安全问题,信息网络安全架构的用户认证系统是目前为止运用最为完善的系统用户认证系统、访问控制系统和使用审计系统方面的功能来增强信息网络系统的安全性,并采用了目前为止最为高端的ACS用户认证系统。中小型企业的ERP系统一般采用C/S(客户机/服务器)体系结构,架构于企业内网Intranet上。通常,VPN是对企业内部网的扩展,通过它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输;VPN还可用于不断增长的移动用户的全球互联网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路。在信息网络的主域服务器上安装Radius服务器,在Cisco拨号路由器和PIX防火墙上配置了Radius客户端。这样当任何人进行电话拨号和VPN用户身份认证时,就会在Radius的服务器上直接进行,这样一来用户账号就会集中的在主域服务器上进行开设。这样做就可以在系统中设置较为严格的用户访问策略和口令策略,能有效的强制使用用户进行定期的口令修改。

综上所述,中小型企业信息网络安全保障是开展其它一切业务往来与技术交流的关键,要想企业长足发展,必须重视信息网络安全的构建。

篇6

在信息化时代,基于网络侵入技术的不断提升,黑客与病毒对计算机系统攻击事件不断发生,据此而言,信息化技术在给国企生产经营活动带来便捷的同时,也成为最为脆弱的地方,此时的数据挖掘技术的运用就显得十分必要,依靠数据挖掘技术就可以使得来往流量处于实时监控的状态,并及时会对入侵产生自动检测的工具,从而大大维护了国有企业信息化系统正常运行。

一、国有企业信息化建设中的信息安全概念及意义

(一)国有企业信息化建设中的信息安全概念

所谓的信息安全是指为保护国有企业计算机数据处理系统不受侵犯,在技术层面对计算机数据处理系统所采取保护的方式方法与手段,以达到维护计算机软硬件,以及数据安全,使机密信息可以在完整的状态下与既定对象实现信息共享的目的,从而确保了数据信息得到可用性保护,从技术的层面分析,主要分为下面三种主要形式。

一是物理隔离形式的信息安全技术。就是将计算机网络系统的硬件实体与公共网络线路链接在技术层面予以有条件隔离,即防火墙技术,这一技术起到了对来往信息数据筛查的作用,从而使国有企业计算机系统在不受外界非法侵入的前提下创设一个电磁兼容的内部网络环境。

二是访问可控形式的信息安全技术。访问可控安全是防火墙技术的协作部分,在这一技术手段的支持下,国有企业信息系统能够对外来信息数据进行甄别、预警,如果黑客和病毒等恶意流量得不到有效验证,则会使得网络侵袭问题飙升;

三是数据加密形式的信息安全技术。为切实保护网上与传输过程中数据的可用性,国有企业信息系统需要在网络节点间、源节点与目的节点间、原端用户与目的端用户间的数据传输实施密钥管理。

(二)国有企业信息化建设中信息安全的意义

在社会经济信息化的今天,国有企业生产经营与市场营销等各领域都离不开信息化建设,以计算机网络技术为支撑的信息化建设基于此而成为国有企业日常运作的有机组成部分,但是,在信息化系统开放的过程中,却由于其安全漏洞问题存在而为一些不法行为提供可乘之机,信息安全据此成为人们关注焦点。

1、保障了个人信息不被泄露

以计算机网络为技术支撑信息系统为国有企业日常运作带来了极大便利,基于此成为国有企业进行生产经营、市场营销,以及日常管理的主要工具。在国有企业人力资源管理中,个人信息资料往往成为信息化建设的一个领域,这些资料在法律上归属于个人隐私范畴,有关部门无权将资料予以公开,但是,一些黑客在对国有企业内部信息系统攻击过程中,往往会窃取国有企业人力资源隐私资料,并将此作为谋取非法利益的筹码,如果国有企业对自身的信息管理系统的安全等级予以升级,则就使得黑客攻击处于无效状态,从而使得国有企业人力资源隐私信息得到最大限度保障。

2、保障了国有企业科技信息共享的实现  

当前的国有企业通过搭建信息共享平台方式实现数据信息的共享,以国有企业与高校的科技信息共享平台搭建为例,高校通过自己在人力资源、馆藏资源、科技研究等方面的固有优势搭建了校企联合的科技信息平台,国有企业可以随时登陆这一平台搜索到自己所需要的科技信息,高校也可以通过这一平台将自己的科研成果及时转化为生产力,但是,这一平台的运作需要强大数据库的支持,在其运作过程中,黑客的攻击是必不可少,黑客可以通过截取网络信息传输、窃取用户口令、盗取数据库信息、篡改数据库内容等一系列非法手段,达到破坏科技信息共享平台正常运作的目的,因此,采取切实有效的措施,加强计算机网络系统的安全性能,就能够保障国有企业的合法利益。

二、国有企业信息化建设中信息安全问题

以计算机网络为技术支撑的信息系统是影响信息安全的最为主要的问题,这是因为计算机网络技术是支撑起其正常运作的最为主要的力量,从安全的角度出发,影响到以国有企业信息系统运作安全的问题主要可以细化为以下几点。

(一)网络信息资源共享使得黑客攻击频现

以计算机网络为技术支撑的信息系统运作的一个重要目的就是要实现资源共享,国有企业与高校领域所搭建的信息共享平台即是此例,在搭建信息共享平台实践中,国有企业即可通过相关计算机网络技术应用得到信息的共享,但是这一开放性的功能却存在一定的安全隐患,只要是有共享,就会有开放,共享的技术环境为黑客的攻击提供了便利。

(二)国有企业信息操作系统漏洞凸显

基于以计算机网络为技术支撑的国有企业信息系统快速进步,其系统升级也在同步进行,但是,国有企业信息操作系统的漏洞也在不断显现,这是因为国有企业对计算机网络技术的应用要求在不断提高,技术的发展相对滞后的问题始终存在,一些黑客就会对国有企业目标计算机网络操作系统进行深究,寻找其漏洞,然后通过不同的方式予以攻击,从而达到窃取国有企业信息资源、破坏国有企业信息系统等非法的目的。攻击的手段是多样式的,例如可以利用计算机网络系统的开放性的特点,制造出大流量的无效数据,并将这一些数据流形成系统阻隔,从而导致主机处于被隔离的实际发展状态;还可以阻隔其他服务请求,主机往往会存在提供服务或传输协议上处理重复连接的痼疾,黑客就会据此而重复性、高频度发出攻击性的请求,一旦请求发出,自然就会影响到其他正常的服务请求;再者黑客还根据目标主机的特点,向其发出带有病毒的错数数据信息,从而直接导致主机死机。

(三)人为因素导致信息系统安全保障效能低下

从根本上来说,以计算机网络为技术支撑的国有企业信息系统的运作离不开人的操作,因此,国有企业信息系统可持续发展就需要对其实施卓有成效的管理才能够达到既定的目标,在这其中,人力资源的因素必不可少。举例来说,如果在实施计算机网络管理的实践中,其人员基于自己的防范意识、认知水平、技术程度等方面的原因,就将会直接导致信息系统管理的安全保障效率趋于低下。

三、国有企业信息化建设中的信息安全保障策略

(一)制定与落实国有企业信息安全制度规范

为了提高以计算机网络为技术支撑的国有企业信息系统安全防范性能的提高,制度规范的制定与落实是基础,具体来说,则是要制定出信息系统安全管理、计算机网络硬件管理、数据信息保密等诸多制度规范,并进一步强化信息安全制度的落实;

(二)提升国有企业信息化技术人员操作水平

为促进国有企业信息安全规制的落实,人力资源的培养是关键环节,基于此而言,就应该对以计算机网络为技术支撑的国有企业信息系统操作技术人员进行安全法规的培训,从而使之既能够熟知这些法规,又能够认知自己的行为,促使自己的操作行为具有规范性,提高安全保障的能力。

(三)应用数据挖掘的信息安全技术

数据挖掘技术是一个新兴研究领域,涵盖了大型数据库、人工智能、统计学等诸多的方面,数据挖掘技术就是指在大型数据库中寻找并获取对自己“有价值”的、存在形式多用的数据信息。在其应用的过程中,静态和动态流量数据分析会对最终的检查结果作出及时的反映,将储存在数据库当中的既有模式与所确定的特征与规则进行比对,以此构建正确的模式来保障信息系统运作的安全。

1、静态流量数据分析算法

(1)建立模型的分类算法

模型的建立适合于通过分类算法来对静态流量数据予以分析,一般而言,就是根据数据挖掘的目标予以分类,需要从两个阶段进行。

第一个阶段模型的建立。这一阶段首先就是根据训练属性的分类的原则对目标数据库构建模型;第二个阶段模型的分类。模型的首要功能就是要对预测提供参考数据,基于此而言,模型就要通过在测试样本比较的基础上,对测试样本的准确率予以评估,如果准确率达到所要求的标准,则就可以以此为依据对该样本的类预测标号中不明数据元分类,这一模型的建立主要是在于将用户或程序中大量存在的数据予以吸纳,然后再通过模型来产生具有一定标准的分类算法,这一算法主要是测试这些未知数据的性质,为后继措施的实施奠定基础。

(2)数据关联性算法

挖掘数据之间的关联性是静态流量数据分析算法的一个较为主要的方式之一。这是因为各数据之间并非是互相间隔的而是存在必然的联系。具体而言,就需要深入挖掘数据之间潜藏的各种关系,并将其运用到检测威胁网络安全的各种现实情况中去,以此来探查各种入侵行为所存在的必然关系,从而寻求可解决的策略。

数据关联性算法主要是挖掘各数据之问隐藏的相互关系,具体应用到入侵检测系统中可以利用关联分析检测出入侵者的各种入侵行为之问的相关性,此种分析方法主要侧重于事件的因果关系。

(3)事务关联分析算法

所谓的事务关联分析就是在事务中寻找具有相似性的之间的联系,具体而言,就是在事务记录中打入某一关键字词,与之相关联的记录就会呈现出来,再在其中找出重复率较高的原始数据,从此而形成具有一定指向性的数据的集合,用于指导检查网络安全相关的诸如网络攻击与时间变量之间的关系,从而为分析相应的数据结构打下坚实的基础。

2、动态流量数据分析算法

动态流量数据分析的主要目标就是要在大量的数据中甄别并择取有效信息,同时要将无效,甚至于有害信息予以阻遏,为达到动态流量数据分析的有效性,建立一个动态流量数据分析系统是十分必要的,该系统承担了对动态流量数据分析、计算的任务。

一是数据的择取。数据择取的主要范围是在互联网上,其内容涉及安装使用对数据包的截获程序、提取网络数据包中的需要检测的信息等。

二是数据的处理。在互联网上截获的原始网络信息需要采取信息化处理的过程,这也就是说,可以将这一些信息进行诸如压缩等方式的处理,使之能够实现信息分类的储存,然后再将这些信息转换成具有持续时问、源IP地址、目的IP地址等连接特征的网络连接记录,这就完成了数据挖掘的前期准备工作,继而则在数据信息准备的基础上,再一次对这些数据信息予以“清洁”,即删除掉无效或无用的信息,而保存有效或有用的信息,最后环节则是数据信息的挖掘。

三是数据信息的分类。在所截取的数据信息库中存放大量的数据信息源,这些信息源处于无序与混乱的状态,应该按照一定的规则进行区别。一方面,就要在对所储存数据信息源特征与规则明晰的基础上,确立非正常与正常模式的基本状态,并将其储存在数据库当中,另一方面则要将储存在数据库当中的既有模式与所确定的特征与规则进行比对。当然,就业数据处于不断有新的数据信息充实的状态,原有的数据信息也会不断被淘汰,因此数据酷中非正常与正常模式、数据信息源特征与规则等都应该处在不断变化的过程中,只有如此,才能够使数据挖掘方法的使用更加有效。

四是应用模式评估。动态流量数据分析系统要根据最终的检查结果作出及时的反映,如果归属于恶意侵犯的性质(如窃取机密信息数据等黑客的行为性质)则不但要发出警报,而且还应该采取防火墙等技术手段及时切断内外网之间的关联,并查找入侵的路径,保留犯罪的证据;如果经过身份的甄别属于正常的进入,系统则要依照正常的程序继续对该用户进行检测。

在基于数据挖掘的动态流量数据分析过程之中的模式应用后,都应该对正常模式与非正常模式的应用予以全面的评估,简而言之,如果模式的应用起到了及时报警、阻遏非法侵犯的行为的作用,从而保障了数据信息的安全,就说明这一模式是成功的,起到了应有的效果,反之,则应该在多次试验中予以验证,直至建立起科学的模式。

四、结语:

在信息化的时代,基于网络侵入技术的不断提升,黑客与病毒对国有企业信息系统攻击事件不断发生,从而使得信息系统在为人们带来便捷的同时,也成为最为脆弱的地方,此时信息系统安全防范技术的运用就显得十分必要,依靠信息系统安全防范技术可以使得国有企业往来的数据信息都处于实时监控的状态,并及时会对入侵产生监测与防御,这就会在一定程度上维护了国有企业往来数据信息的安全。为达此目的,就应该从制定与落实国有企业信息安全制度规范、提升国有企业信息化技术人员操作水平、应用数据挖掘的信息安全技术这三方面着手,以此促进国有企业信息化建设的信息安全实践健康发展。

参考文献:

[1] 秦海峰.企业信息化建设中信息安全问题的分析研究[J].中国信息界.2012(05)

[2] 杜凡.新形式下加强财务信息安全的途径[J].当代经济.2011(21)

篇7

中图分类号:[TM622]文献标识码:A

一、电力系统信息安全概念和保护现状

电力系统信息安全是电力系统安全运行和对社会可靠供电的保障,是一项涉及电网调度自动化、继电保护及安全装置、厂、站自动化、配电网自动化、电力负荷控制、电力市场交易、电力营销、信息网络系统等有关生产、经营和管理方面的多领域、复杂的大型系统工程。结合电力工业特点,电力工业信息网络系统和电力运行实时控制系统,分析电力系统信息安全存在的问题,电力系统信息没有建立安全体系,只是购买了防病毒软件和防火墙。有的网络连防火墙也没有,没有对网络安全做统一长远的归划。网络中有许多的安全隐患。因此急需建立同电力行业特点相适应的计算机信息安全体系。

二、目前电力企业网络信息安全管理存在的主要问题

电力企业在网络信息安全管理方面存在以下问题。

(一)信息化机构建设尚需进一步健全

信息部门未受到应有的重视。信息部门在电力公司没有专门机构配置,没有规范的建制和岗位,这种状况势必不能适应信息化对人才、机构的要求。

(二) 企业管理革新滞后于信息化发展进程

相对于信息技术的发展与应用,电力企业管理革新处于落后状况,最终导致了信息系统未能发挥预期的、应有的作用。

(三)网络信息安全管理需要成为企业安全文化的重要组成部分

目前,在电力企业安全文化建设中,信息安全管理仍然处于从属地位,需要进行不断努力,使之成为企业安全文化的中坚力量。

(四)网络信息安全风险的存在

电力企业网络信息安全与一般企业网络信息同样具备多方面的安全风险,主要表现在以下几方面:

1、网络结构不合理

2、来自互联网的风险

3、来自企业内部的风险

4 、病毒的侵害

5 、管理人员素质风险

6、 系统的安全风险

三、电力企业网络信息安全管理问题的成因分析

(一)安全意识淡薄是网络信息安全的瓶颈

技术人员往往对网络信息的安全性无暇顾及,安全意识相当淡薄。电力企业注重的是网络效应,对安全领域的投入和管理远远不能满足安全防范的要求,网络信息安全处于被动的封堵漏涮状态。

(二) 运行管理机制的缺陷和不足制约了安全防范的力度

从目前的运行管理机制来看,有以下几方面的缺陷和不足:

1、 网络安全管理方面人才匮乏

2、 安全措施不到位

3、缺乏综合性的解决方案

四、 网络信息安全管理的内容

(一) 风险管理

识别企业的信息资产,评估威胁这些资产的风险,评估假定这些风险成为现实时企业所承受的灾难和损失。通过降低风险、避免风险、转嫁风险、接受风险等多种风险管理方式,来协助管理部门制定企业信息安全策略。

(二)安全策略

信息安全策略是企业安全的最高方针,由高级管理部门支持,必须形成书面文档,广泛到企业所有员工手中。

(三)安全教育

信息安全意识和相关技能的教育是企业安全管理中重要的内容,其实施力度将直接关系到企业安全策略被理解的程度和被执行的效果。为了保证信息安全的成功和有效,高级管理部门应当对企业各级管理人员、用户、技术人员进行安全培训,所有的企业人员必须了解并严格执行企业信息安全策略。

五、 加强电力企业网络信息安全管理的建议

(一)重视安全规划

企业网络安全规划的目的就是要对网络的安全问题有一个全面的思考,要以系统的观点去考虑安全问题。要进行有效的安全管理,必须建立起一套系统全面的信息安全管理体系。

(二)合理划分安全域

电力企业是完全实行物理隔离的企业网络,在内网上仍然要合理划分安全域。要根据整体的安全规划和信息安全密级,从逻辑上划分核心重点防范区域、一般防范区域和开放区域。重点防范的区域是网络安全的核心。

(三) 加强安全管理。重视制度建设

1、加强日志管理与安全审计

2、建立内网的统一认证系统

3、建立病毒防护体系

4、重视网络管理制度建设

严格的管理制度,是保证企业信息网络安全的重要措施之一。

(1)领导应当高度重视网络信息安全问题。

(2)加强基础设施和运行环境的管理建设。

(3)建立必要的安全管理制度。

(4)坚持安全管理原则、多人负责原则。

(5)定期督导检查制度。

(四)加强企业员工和网络管理人员安全意识教育

对于网络信息安全,企业员工和网络管理人员的素质非常重要。

1、在安全教育具体实施过程中应该有一定的层次性。

(1)对主管信息安全工作的高级负责人或各级管理人员,重点掌握企业信息安全的整体策略及目标、信息安全体系的构成、安全管理部门的建立和管理制度的制订等。

(2)对负责信息安全运行管理及维护的技术人员,重点是充分理解信息安全管理策略、安全评估基本方法、安全操作和维护技术运用等。

2、对于特定人员的安全培训

对于关键岗位和特殊岗位的人员,通过送往专业机构学习和培训,使其获得特定的安全方面的知识和技能。

六、总 论

电力网络安全是一个系统的,全局的管理问题,网络上的任何一个漏洞,都会导致全网的安全问题,我们应该用系统工程的观点、方法,分析网络的安全及具体措施。安全措施主要包括:行政法律手段、各种管理制度以及专业措施。解决网络信息安全问题,技术是安全的主体,管理是安全的灵魂。加强信息安全管理,建立安全长效机制才能有效的解决电力系统网络安全问题,只有将有效的安全管理实践自始至终贯彻落实于信息安全当中,网络安全的长期性和稳定性才能有所保证。在企业中建立安全文化,并将网络信息安全管理贯彻到整个企业文化体系中才是最根本的解决办法。

参考文献:

篇8

伴随着我国电力行业的迅速发展,特别是南网、国网、华电等大型的电力企业,它们的发展速度更是非常迅速的,目前,电力行业在我国经济的发展当中发挥着中流砥柱的作用,并且是确保整个社会稳定剂经济健康迅速发展的根本性要素,可是,最近几年随着先进科学技术的不断研发,电力企业信息开始面临着泄漏、不可掌控等一系列的安全性威胁,并且,自云计算出现,其依赖于自身优质的性能与全新的有效计算、存储模式受到了各行各业的喜爱,云计算电力与以往的电力企业信息储存系统及运行性能相比具备非常明显的优势。为此,云计算环境下电力企业信息安全是目前整个电力行业急需探究的重要问题。

1 云计算的概念与基本原理

在分布式处理、并行式处理及先进网络计算科学技术不断发展的基本前提下形成的一种新型计算模式即云计算,其面对的是超大规模的分布式氛围,主要发挥着将供应数据储存及网络服务的作用,并且具体的实现平台、服务于应用程序都是在整个云计算环境下得以实现的。云计算能够把全部的计算资源融合在一起,通过具体软件促使自动化管理、无人为参与,并且能够提供各种各样的认为服务。

云计算的基本原理是把相关的计算逐一分布在多个分布式计算机当中,在远程服务器的具体计算当中可以促使电力企业信息处于正常的运行状态,有利于企业将资源更改为具体的需求得以运用,并且能够按照实际需求对计算机进行访问。云计算基本原理为一场历史性的转变创举。

2 目前我国电力企业信息安全结构状况

2.1 电力企业信息网络结构

随着电力企业逐渐进入网络自动化及智能化阶段,为此,目前电力企业信息安全结构一般是以公共网络与专用网络有效综合的一种网络结构形式,其中,专用电力信息网络指的是在因特网进行连接的基础上形成的一种电力企业信息网络及调度信息网络相互综合的形式。

2.2 电力信息安全系统结构

以信息中的信息性能及信息业务为出发点将电力企业信息划分为三种层面:自动化、生产管理、办公室自动化及电力企业信息管理。其中,办公室自动化及电力企业信息管理是与电力企业信息网络结构紧密联系在一起的,形成的是一个安全工作区域,在这个安全区域当中SPDnet支撑的一种自动化,可具备监控性能的实时监控,譬如,配电自动化、调度自动化、变电站自动化等,同时,安全生产管理区域同样也是SPDnet来作为基本支撑的。

3 云计算环境下电力企业信息安全技术的运用

3.1 数据传输-存储安全技术

在整个电力企业信息当中,涵盖了大量的有关电力企业发展的资料及所有数据信息,譬如:电力企业的财务信息、用户信息、经营管理信息等等,所以,对于整个电力企业而言,数据的传输-存储安全技术在其中发挥着极为重要的作用。

一般情况下,云计算环境下,严格加密技术可促使电力企业信息数据在具体的传输过程中将会处于非常安全的一种状态下,主要是由于云计算能够利用加密技术将那些潜存的非法访客完全的拒之门外,预防数据传输过程中发生窃取的事件。从电力企业信息数据存储技术的角度进行分析,其涵盖了数据恢复、数据分离、数据备份、数据存贮位置的选择等几方面内容,而云计算环境下,电力企业便能够利用私有云这一高度集中的存储技术把相关的数据信息以基本性能、重要系数为依据来选择不同的存贮方位,这样可以促使不同种类数据间隔离的实现,并且可起到预防数据信息泄露的作用。云计算的运用可促使电力企业信息能够实现实时备份,使得电力企业信息在有突况出现的时候能够在第一时间达到相关数据的及时恢复。

3.2 权限认证及身份管理安全技术

云计算能够成功的预防非工作人员使用非法用户对电力企业信息系统进行访问,这主要是由于在私有云的内部全部的企业信息都能够实现禁止访问技术,电力企业信息管理工作者能够通过私有云进行身份管理、权限认证技术的相关设置,按照企业工作人员的级别及具体的规定对于相关数据及应用业务作出明确的规定及权限的划分,这样可成功的预防了非法访问的事件发生,同时实现合法用户根据个人权限来进行企业信息的具体操作。

3.3 网络安全隔离技术

对于整个电力企业信息来讲,云计算实则是互联网当中的一种内部性系统,通常情况下,电力企业信息网络能够从网络安全的被动保护层面来促使入侵检验技术、防火墙设置等安全防火技术得以实现,可是,云计算环境下,电力企业信息安全采用的是防火墙技术、物理隔离技术、协议隔离技术等先进的科学技术,其中,防火墙技术是对于企业外部网络及电力企业信息网络而创建的一道安全性保护屏障,通过对个人信息的严格检测、审核,将具有破坏性入侵的访客实施的一种有效防护,能够最大限度上将那些越过防火墙对电力企业信息安全网络及正常运行造成破坏的数据流进行完全性的屏蔽;物理隔离技术指的是在云计算环境下对于电力企业内外部网络实施的一种分割,这样能够有效的将内外部网络系统的连接状态完全阻断;协议隔离技术指的是在云计算环境下利用网络配置隔离器对内外部网络进行的一种隔离,在协议隔离技术的支撑下,内外部网络是完全分离的一种状态,而唯有云计算环境下的电力企业信息进行相互交换的过程当中,内外部网络才能够通过协议由隔离的状态转变为正常连接状态。

4 结语

通过上文针对云计算环境下电力企业信息安全的浅析,我们从当前电力企业信息安全的状况进行分析,云计算环境下用户信息安全依然是一个较为严峻的问题,一部分问题并未得到根本性的解决,在今后的工作当中,需要针对云计算环境下用户信息安全供应相应的帮助,这样才能够促使用户信息安全水平得到较为显著的提高。我们坚信,在未来的工作当中,云计算环境下的电力企业信息将会更加安全,用户信息的安全性能将会得到最大程度上的保障。

参考文献

[1]曹勇,王口品,牒亮等.试析电力企业信息安全保障体系建设原则及思路[J].信息通信,2013(04).

[2]陈宇丹.电力企业信息信息安全关键技术研究[J].中国科技信息,2013(23).

[3]程风刚.基于云计算的数据安全风险及防范策略[J].图书馆学研究,2014(02).

篇9

随着我国计算机技术和网络技术的迅速发展,很多国有大型企业对信息和信息技术的依赖程度越来越高,信息已经成为企业一种崭新的资产,对企业的发展起到了至关重要的作用[1]。研究发现,对于企业信息安全管理的评价多数侧重于信息安全系统技术层面的评价 [2],或对信息安全等级评估和风险的评估[3] [4]。但国有大型企业的信息安全管理是一个概念非常复杂的管理事务,不能单纯依赖技术及防护设备,还将涉及安全、风险、人员、规章制度等管理因素,对其评价是一个定性与定量指标共存的综合的评价,要运用综合评价的思想和方法,才能够使评价结果更严谨。

本文着重从管理的角度出发,构建了国有大型企业信息安全管理评价指标体系,应用模糊综合评价的方法建立评价模型,并结合实证研究,得出客观、科学的评价结果。

1.评价指标体系构建

1.1 指标体系的构建

本文在研究了国外信息安全管理的评价标准[5] [6],以及国内信息安全管理体系的发展状况基础上[7] [8],结合国家对国有大型企业信息系统安全性的基本要求[9],综合考虑信息安全的技术属性和管理要素,通过德尔菲法反复征询5位专家的意见,构建了国有大型企业信息安全管理评价指标体系。

该指标体系共分为5项一级指标和16项二级指标,其中一级指标包括安全管理、技术管理、风险管理、人员管理和制度管理。各二级指标分别为物理安全、软件安全、网络安全;防御攻击能力、预警能力、系统应急反应能力、技术创新能力;风险识别、风险评估、风险控制;专业人员比例、考评上岗合格率、对员工的培训率;企业保密机制、安全规章制度、应急处理预案。

1.2 指标权重的确定

选用层次分析法作为指标体系中确定权重的方法,具体步骤如下:

(1)建立递阶层次结构模型,将决策问题的因素自上而下划分为不同的层次,包括目标层、准则层、指标层等。

(2)构造判别矩阵。一般用1―9标度的表示方法,把处于同一子集上的指标相对重要性进行专家评分,构造一个以重要性标度Aij为元素的两两比较判别矩阵A=(Aij)m*n。

(3)层次单排序。根据判别矩阵,求解矩阵A的最大特征根?姿m?琢x=?蒡■■■所对应的特征向量,并且做归一化处理。

(4)一致性检验。判断所得到的特征向量是否是权向量。

(5)层次总排序。层次总排序所得到的二级指标权重值等于层次单排序中每个二级指标的权值乘以其对应的一级指标的权值。

应用该方法,选取5位专家,结合已构建的评价指标体系,分别对一级指标、二级指标进行1―9标度判别矩阵的排序,应用层次分析法软件得出各个指标的权重值,此数据将作为后续评价的主要依据。

2.案例研究

模糊综合评价(Fuzzy Comprehensive Evaluation, FCE)是一种非常有效的多因素决策方法,主要运用模糊变换原理和最大隶属度原则,综合考虑与被评价事物相关的各个因素,对评估对象作综合评价。一般分为确定评价因素集、评语集、权重集,进行单因素模糊综合评价、多因素模糊综合评价及对评价向量分析6个步骤[10]。

本文的评语集为{优秀、良好、中等、一般、差} 5个等级,建立隶属函数,根据5位专家对指标的评分数据,计算出各二级指标的隶属度,最后分别得到安全管理、技术管理、风险管理、人员管理和制度管理的综合评价关系矩阵R1、 R2、 R3、 R4、 R5。

根据模型的计算公式,多因素模糊综合评价矩阵Bn为权重向量Wn与单因素评价关系矩阵Rn相乘所得到的行向量,本指标体系的多因素模糊综合评价矩阵分别为:B1=(0.29,0.65,0.06,0,0,B2=(0.25,0.67,0.08,0,0),B3=(0.14,0.51,0.35,0,0),B4=(0.39,0.27,0.34,

0,0),B5=(0.25,0.57,0.18,0,0)。

由B1、B2、B3、B4和B5构成了该国有大型企业信息安全管理的单因素评价关系矩阵R,最终得到企业信息安全管理评价指标体系的总体评价结果如表1所示。

3.结论

根据表1,进一步对评价结果进行分析,该国有大型企业信息安全管理总体评价属于“优秀”、“良好”、“中等”的程度分别为24%、 57%、19%,按照隶属度最大原则,企业信息安全管理总体评价结果为“良好”偏上,总体可以评定为“优秀”。结合上述评价结果和企业自身的特点,给出以下几点对策建议。

(1)加强国有大型企业信息安全的技术管理,注重技术创新。提高技术的全面性,以及企业信息安全技术的创新能力,将信息安全列入企业战略规划之中,用先进的技术手段保证企业的信息安全、完整。

(2)进一步提高国有大型企业的风险管理,重视风险评估。企业要组建专业的评估管理与实施团队,进行系统、全面的调研工作,以确定信息安全风险评估的目标和范围。同时,及时进行风险评估的总结,将企业信息安全存在的风险问题控制在一定范围内,防止不必要的错误再次发生。

(3)加强企业对员工有关信息安全保密意识的培训力度。制定安全保密培训制度,增加对员工信息安全培训的次数,明确岗位职责,提高员工保密意识。

(4)重视企业信息安全的规章制度建设,提高执行能力。加强企业领导的重视,在信息安全管理的各个方面,成立安全监管小组。在企业涉及信息安全的部门,制定相应的规章制度,如机房管理制度、人员管理制度等,使企业高效率运行;设立绩效奖惩制度,提高员工保护企业信息的积极性。

国有大型企业信息安全管理是一个复杂的、动态的过程,涉及到很多的因素,且因素间相互影响,目前现有的研究并不多。本文从管理的角度出发,综合考虑了国有大型企业信息安全管理的特点,构建的评价指标体系具有科学、客观性。同时,采用模糊综合评价的方法将国有大型企业信息安全管理中的技术、安全、风险、人员和制度等因素纳入层次结构模型中,对难以评价、模糊的指标信息予以处理,评价方法容易实现。本文的研究为评价国有大型企业信息安全管理工作提供了方法,具有一定的实际应用价值。

*基金项目:国家自然科学基金项目“开放式服务交付平台(OSDP)的运营模式分析与研究”(71172135)。

参考文献:

[1]孟洁.国有企业中的信息安全管理和应用[J].科技信息,2012,(2):252

[2]孙博.企业信息安全及相关技术概述[J].科技创新导报,2009,(4):211

[3]傅璧,丁爽,张恺.信息系统的安全风险评估及风险管理[J].企业导报,2011,(13):89―90

[4]吉增瑞.信息安全等级保护浅析[J].网络安全技术与应用,2005,(1):55―57

[5]Mikko Siponen,Robert Willison. Information security management standards: Problems and solutions[J]. Information & Management, 2009,46(5):267-270

[6]Hyeun-Suk Rhee,Young U. Ryu, Cheong-Tag Kim.Unrealistic optimism on information security management[J].Computers & Security,2012,31(2):221-232

[7]高文涛.国内外信息安全管理体系研究[J].计算机安全,2008,(12):95―97

[8]李晓玉.国内外信息安全标准研究现状综述[J].信息安全与通信保密,2009,(8):167―171

[9]徐毅.信息安全管理标准及其应用探讨[J].科技信息,2008,(36):65―66

[10]黄芳芳,刘桥.基于模糊综合评判的信息安全风险量化分析[J].网络安全技术与应用,2009,(12):22―24

作者简介:

王宁(1984-),女,辽宁锦州。北京邮电大学经济与管理学院研究生,研究方向是消费者决策分析。

篇10

2007年,垃圾邮件、电脑病毒等传统的安全问题依然是CIO需要防范的重点。不久前,Gartner了年度安全软件市场增长评估报告,预测2007年的销售额将在2006年全年82亿美元的基础上增长10.7%,其中将有53.8%,约为49亿美元的销售额来自反病毒市场。

与此同时,安全威胁的性质正在发生实质性的转变。现在的黑客和病毒编写者已经不再倾向于使网络瘫痪,他们更关注的是如何通过网络获取经济利益。不同来源的行业报告均显示,通过木马程序等方式窃取商业和个人机密信息的行为,以及被远程黑客控制的计算机数量均呈上升势头。随着信息的海量增长,包括各种数据和应用的信息资产对于企业运营正发挥日益重要的作用,对企业应用和数据的进攻正在取代对企业网络环境的进攻成为主要的威胁。

一份IBM专门针对中国企业安全性的调查显示,有38%的中国企业已经意识到,信息安全比实际犯罪对他们的业务更具威胁,企业的品牌和声誉很容易因此造成严重的损失。面临变化了的安全环境和不断加剧的威胁,企业需要加强信息安全意识,从信息资产管理的宏观角度建立安全防御体系。

树立风险导向意识

目前中国的安全市场仍然以安全产品的销售为主。厂家和用户从购置产品的角度看待威胁,在应对病毒破坏、黑客攻击等问题时,基本停留在“兵来将挡”的阶段。总体而言,企业在安全项目方面的回报并不很好,花了很多钱却没有用在企业需要用的地方。其中一个原因是企业难以认识到自己的风险所在,也就难以从投资回报的角度衡量安全投资。同时,安全又是一个涵盖很广的领域,不同的厂家、集成商和用户对安全的理解各有千秋,但有限范围内最好的选择未必在全局上发挥最好的效果。

内部的安全漏洞和来自外部的威胁在数量和范围上都呈现愈演愈烈之势,也给企业用户提出了严重的挑战。针对企业在信息安全领域的管理、项目规划及信息技术的投资比例,笔者认为企业在信息安全管理方面可划分为四种模型,分别为事件导向、工具导向、流程导向和风险导向。

事件导向型企业或者对信息安全的认识较为薄弱,或者缺乏足够的技能和资源来应对安全问题,对安全攻击基本处于遇到问题再解决的被动响应状态。面对每年数量呈直线上升的各类病毒在网络上流行并不断生成新的变种,购置一些基本的防毒设备不可能做到万事大吉。同时,攻击者正在不断改进攻击方法和逃避检测,并更快地利用已知漏洞发起“零日攻击”。这都对事件导向型企业的信息安全管理提出挑战,由于缺乏业务连续性规划,一旦遭受攻击就会导致业务中断,给这类企业带来损失。

工具导向型企业拥有较多的安全预算,能够主动意识到安全问题,遇到问题习惯于通过安全技术或工具来解决,安全管理呈分布式。这类企业通常都在业务运营中大量应用IT技术,对于业务连续性、时效性具有很高的要求,不能承受业务中断带来的损失。由于业务扩展和防范未知风险的需要,他们不可能等待一个安全问题暴露出来才去应对,因此有较完善的安全规划,并主动投资、积极部署最新的安全技术。电信、金融等行业是这一类别的典型。他们需要关注的是需要加强安全管理方面的工作,以配合相关安全技术与工具真正发挥作用。

流程导向型企业受预算等限制,在安全方面的投入不会很多,而侧重于从管理的角度减少安全威胁,加强对人员和流程的控制力度。通常企业会建立较为完善的安全制度和组织。这类企业包括在中国市场的一些外资企业和信息安全观念较强的民营企业。需要关注的是如何将安全的管理制度落地。

以上三种类型的企业在信息安全上都存在不足,没有从企业风险控制的全局出发来看待安全威胁。IBM提倡风险导向型的信息安全管理,这是一种采用工具与流程相结合的方式,也是最为成熟的风险管理模式。风险导向型的企业能够识别风险和确定风险的优先级,根据识别出来的不同类别的风险,决定是加强管理、改善流程,还是进行技术投资,从而做到有的放矢,集中有限的资源应对企业面临的主要威胁。

如何掌控风险

安全项目最大的回报在于降低风险对企业运营带来的损失,但如何才能真正从风险管理的角度进行信息安全建设呢?笔者建议,企业首先需要了解有哪些风险存在,预测、评估其发生的可能性以及对企业的影响程度,尽可能量化风险,然后根据优先顺序,采取适当的预防措施。

仅仅通过预防只能在一定程度上降低风险,而无法解决所有的问题,这时还需要通过制定周密的安全策略以保护企业的关键信息。在防范信息安全风险的同时,用户也应该认识到,任何企业都不会有足够多的人力、物力和财力完全消除风险,要达到100%的信息安全其实是一种不符合客观实际的期望。笔者认为信息安全管理的目标是通过控制方法,把信息风险降到最低,使成本支出达到一个非常合理的状态。总有一些风险是不能避免的,把这些风险分类记录下来,并最终接受它,才是一个理智的风险管理者应有的态度。

信息安全的基本原则要求我们了解风险,并在了解情况的前提下进行决策,以根据消除风险所需要的成本,决定对风险做出反应或者接受。树立风险导向的信息安全管理意识,最终目的在于提高信息安全项目的投资回报,将IT风险作为企业运营风险中的一部分加以管理。

建立完整安全架构

当前信息安全的发展趋势已经不仅仅是升级传统的安全产品,而是从业务策略和整体系统上来考虑安全问题,帮助企业建立安全、完善的IT环境,以应对来自内外部的攻击,降低风险和损失。因此,全方位的安全策略及解决方案对保护企业信息系统的安全不可或缺。

对于多数企业而言,目前都已制定了相关的制度和流程,但还没有企业级整体的信息安全规划和建设,信息安全还没有或很少从整体上进行考虑。IBM企业IT安全服务是一套针对企业信息安全管理的完善解决方案,能够协助企业更加全面地认识信息技术、评估企业的信息安全隐患及薄弱环节,进一步完善企业安全架构,为企业的应用构建高度信息安全的运行环境,共同规划、设计、实施、运作,从而保护企业信息系统的安全。

随着中国信息化进程的发展,信息资产在企业中的重要性不断提升。企业管理者不应该再将信息安全看作一个孤立的或是纯技术的问题,而要从企业运营的全局角度整体看待,制定与企业特点和成长潜力相适应的安全管理架构。

关注市场变化

完善的安全架构必须能够因应市场的变化进行调整,IT部门的决策者必须密切关注市场的变化。2007年安全用户在三类需求上将有突出的增长。CIO需要更好地应对日益增长的法规遵从性要求,更多地关注应用层面,与此同时,积极利用外包的机遇实现更好的投资回报。

篇11

中图分类号:F273 文献标识码:A 文章编号:1009-2374(2013)04-0152-03

伴随信息技术的发展,电力企业的信息化程度越来越高。网络与信息系统有效支撑了公司各项业务的开展,全面提高了电网安全、生产效率和服务质量,其基础性、全局性、全员性作用日益增强。信息安全作为信息化深入推进的重要保障,与电网安全生产密切相关,对公司生产、经营、管理工作有重要意义,对电网安全有着重大影响,面临的形势严峻。

培育全员安全文化,要坚持“安全第一,预防为主,综合治理”的方针,牢固树立安全发展、健康发展的理念。在信息安全管理中要坚持“谁主管谁负责、谁运行谁负责、谁使用谁负责”原则,坚决执行各项规章制度,不断提升人员信息安全和保密意识,全面保障电力企业信息安全。

1 影响信息安全的人为因素分析

1.1 员工岗位调动带来的信息安全风险

由于工作需要,经常发生人员岗位调动的情况,尤其是在“三集五大”体系建设过程中,员工岗位调动较多。一方面,岗位的调动必然带来相关信息系统权限的变更,但在实际操作中,往往是信息系统权限的变更远远滞后于岗位变动,给信息系统带来安全风险。另一方面,岗位交接过程如不严格把关,会产生企业生产、管理等信息丢失的风险。

1.2 未严格执行信息安全规章制度

企业员工信息安全意识淡薄、疏于防范,对已知的信息安全风险存在侥幸的心理,一些人员不遵循企业的信息安全规章制度,出现如计算机弱口令、无屏保或屏保时间过长、未关闭不必要的服务等现象,信息安全保密意识淡薄,对违规操作明知故犯。

1.3 员工抵触情绪产生的计算机“裸奔”隐患

企业要求必须安装指定的防病毒软件和桌面管控系统,因此会造成计算机运行速度变慢,使用性能下降,部分员工主观上不愿接受技术防范安全管理,造成部分安全产品客户端软件安装不全,甚至出现没有安装的现象,使得计算机出现“裸奔”现象,成为计算机病毒、木马等各种黑客软件攻击的对象。更为严重的是,这会给整个电力系统内网带来安全威胁。

1.4 内网计算机存在违规外联隐患

部分员工通过USB接口将手机接入内网计算机,给手机充电或将手机上的照片导入计算机,导致违规外联;还有极个别员工企图用内网计算机插入无线网卡或直接接入互联网下载资料、升级软件等,同样导致违规外联。目前还存在对外来人员和新进人员的宣传教育不足,造成这些人员使用内网计算机时构成违规外联的安全隐患。

1.5 安全移动存储介质使用中的安全隐患

部分员工在使用安全移动存储介质时,未按要求进行注册或未修改初始密码,在企业信息内外网间及因特网数据交换的过程中,未将涉及企业秘密的信息放在保密区。同时还存在将安全移动存储介质随意乱放,安全移动存储介质的维修工作由非专业技术人员负责,出现故障报废的存储介质未及时销毁等现象。

1.6 笔记本电脑使用中的安全隐患

部分员工由于工作需要在笔记本电脑上处理、存储工作信息,在用完后未及时删除重要信息,造成信息泄露,或笔记本电脑故障外送维修时,未考虑到是否存有或工作信息,忽略监督维修过程,从而构成了泄密隐患。

1.7 员工的无意失误

人为的无意失误,如操作员安全配置不当造成的安全漏洞,用户安全意识不强、用户口令选择不慎、用户将自己的帐号密码随意转借他人等都会给网络信息安全带来威胁。

2 培育全员安全文化的途径

2.1 加强机构变动及人员岗位调动后信息安全管理

严格做好机构变动、人员岗位调动后的信息安全管理工作,确保信息网络设备安全运行。一方面加强对制度的宣贯。机构变动后要及时组织全员学习相关信息网络安全管理制度,要求全员严格遵守信息安全相关规定。另一方面及时梳理更新用户。根据人员调动情况,对内网终端计算机用户进行排查,及时增加新用户,删除岗位调离的用户,在新计算机入网前,要按照计算机管理办法履行接入申请手续后方可接入信息内网,并按照计算机管理办法和计算机加固指南,对原有用户或原计算机先进行注销,后进行注册,确保信息安全管理规范、有序进行。

2.2 加强安全组织管理,提高全员信息安全意识

要切实提高对信息安全管理工作的认识,充分发挥安全组织机构的管理作用,进一步强化三级安全生产责任制度,安全生产工作做到逐级负责、落实到人,提高全员信息安全意识。首先,要成立信息安全领导小组,根据工作需要及岗位的变化,适时调整小组成员,定期召开领导小组会议,解决信息安全工作中遇到的问题。其次,要设立信息安全专职管理员,规定相应的岗位职责,明确信息安全工作要求,为信息安全管理提供制度保障。最后,要明确各级员工的信息安全职责,并由信息部门定期开展信息安全检查,促使其规范地使用计算机。

2.3 重视信息安全管理制度的完善与落实

企业管理制度是基于企业组织结构之下的,企业为求得利益最大化,在生产与经营实践活动中制定的强制性规范。信息安全管理制度是电力企业管理制度的重要组成部分,是实现企业安全目标的强制性措施,是员工从事安全生产的行为规范。重视企业信息安全文化建设就要重视信息安全管理制度的完善与落实。

2.4 定期开展信息安全检查,促进企业信息安全

定期开展信息安全检查是促进企业信息安全管理的有效途径之一。在信息安全管理中要加强日常检查和指导,并定期地开展各项综合检查和专项检查,使各项规章制度渗透到日常的工作中,从而强化规章制度的约束力。通过检查,及时发现信息安全隐患,积极采取有效措施,及时清除安全隐患,促使员工不断提高信息安全的意识,自觉有效地降低人为的信息安全风险,将可能出现的信息安全事件消灭在萌芽状态。

2.5 建立信息安全培训长效机制

信息安全管理应建立信息安全培训的长效机制,保证信息安全管理的动态推进和持续改进。每年要制定切合实际的信息安全培训计划,并把安全培训与技能培训结合起来,以安全培训为契机,提高员工队伍的整体安全文化意识。培训内容除有关安全知识和技能外,还应包括对严格遵守安全规范的理解以及个人安全职责的重要意义等。

2.6 加强宣传,营造“保障信息安全人人有责”的良好氛围

信息运维人员在日常运维工作中,要坚持服务与传授计算机应用知识相结合,不断提高全员计算机操作水平。另外还可以利用公告、网站、协同办公平台、手机短信等多种方式加强宣传,有针对性地宣传上级有关信息安全的工作方针、政策;有选择性地公告一些安全技术、安全常识、事故案例等,供企业员工讨论学习,使员工真正认识到信息安全的重要性,努力营造“保障信息安全人人有责”的良好氛围,让全员为信息安全风险防范构筑一道坚实的职业道德防护屏障。

2.7 加强计算机实体安全管理

加强对计算机实体的管理,防止信息资料的泄露。加强密码与口令管理,密码设置必须符合安全要求并定期更换,确保口令、密码的有效性。注重计算机病毒的检测与防治,及时安装操作系统和应用程序漏洞补丁程序,安装桌面管控、防病毒等必需的信息安全产品,坚决杜绝内网计算机以任何形式的违规外联。

3 结语

建立信息安全文化意味着每一个员工都是保证安全的重要执行者,要增强网络与信息系统的安全,知道相关的安全风险和防范措施,并承担责任和采取措施。不能仅仅把信息安全视为技术层面的概念,而应当把它深化到全员意识中,将信息安全文化融入到员工的日常工作中,全面普及信息安全文化,只有这样才能为电力安全文化建设打下坚实的基础。

参考文献

[1] 刘燕辉,李南阳.全员安全文化是保障信息安全的有效手段[J].金融科技时代,2011,(10):72-74.

篇12

根据国家统计局年初公布的数字显示,国内企业总体的99%都是中小企业,他们贡献了超过一半的国内GDP。但截止到目前,这些中小企业的信息化水平仍然比较落后,其中针对信息安全的投人,更是凤毛麟角。

对于国内占大多数的中小企业来说,如何在充分利用信息化优势的同时,更好地保护自身的信息资产,已经成为一个严峻的挑战。特别是近两年来,网络上的病毒、攻击事件频发,信息安全问题正在日益成为中小企业信息化进程中的难题。

一、什么是信息安全

信息是一种资产,与其它重要的资产一样,它对一个组织而言具有一定的价值,因此需要适当的加以保护,而信息又可以以多种形式存在。如可以打印或者写在纸上,以数字化的方式存储,通过邮局邮寄或电子手段发送,表现在胶片上或以谈话的方式说出来。总之,信息无论以什么形式存在,以什么方式存储、传输或共享,都应得到恰当的保护。

所谓信息安全是指信息具有如下特征:

安全性:确保信息仅可让授权获取的人士访问;完整性:保护信息和处理方法的准确和完善;可用性:确保授权人需要时可以获取信息和相应的资产。

信息安全是指使信息避免一系列威胁,保障商务的连续性,最大限度地减少业务的损失,从而最大限度地获取投资和商务的回报。它主要涉及到信息传输的安全、信息存储的安全、以及网络传输信息内容的审计三个方面,它可以通过实施一整套恰当的措施来获得。但目前我国的信息安全令人堪忧,随着政府上网和企业信息化的推进,越来越多的企业的日常业务已经无法脱离网络和信息技术的支持,那么我国中小企业的信息安全现状如何呢?

二、我国企业信息安全的现状

(一)企业的重视程度

随着信息化的加快,企业信息安全越来越受到重视,而我国的中小企业信息安全现阶段正处于初级阶段。在推进企业信息化的进程中,有些中小企业对于信息化概念的认识远远不够,它们认为购置几台电脑放到公司,日常用来打打字,将单个机器连结到网上企业就信息化了,远远没有认识到信息技术给企业所能带来的巨大的变化,对于网络安全更是没有意识。

据调查,目前国内90%的网站存在安全问题,其主要原因是企业管理者缺少或没有安全意识。某些企业网络管理员甚至认为其公司规模较小,不会成为黑客的攻击目标。如此态度,网络安全更是无从谈起。

(二)资金、技术、人员方面情况

已建立了企业内部信息化平台的企业,由于资金、技术等方面的原因,还没有把重点放到网络安全管理上,尤其是中小企业的安全问题一直隐患重重。

据了解,许多中小企业没有专门的网络管理员,一般采用兼职管理方式,这使中小企业的网络管理在安全性方面存在严重的漏洞,与大型企业相比,它们更容易受到网络病毒的侵害,损失也比较严重。

根据IDC对年我国政府、企业用户的信息安全状况分析,约有34.8%的企业因内部雇员的行为(包括对内部资源的不合理使用和对内部数据缺乏有效保护)而造成企业出现安全问题。

(三)网络维护、运行、升级方面的情况

在网络的维护、运行、升级等事务性工作方面,由于工作繁重而且成本较高,一些善于精打细算的中小企业在防范黑客及病毒方面舍不得投入,据相关调查数据资料统计,国内七成以上的中小企业,一是缺乏基本的企业防毒知识,购买一些单机版防毒产品来防护整个企业网络的安全。二是采购了并不适合自身网络系统的企业防毒产品,因此留下许多安全隐患。三是技术力量薄弱,虽然部署了企业防毒产品,但是这些产品操作难度大、使用复杂,最终导致很难全面发挥效用,甚至成了摆设,这样一来企业内部网络就根本没有什么安全而言。

三、如何保证我国中小企业的信息安全

(一)从企业的自身情况考虑

要解决中小企业网络信息安全问题,不能仅依靠企业的安全设施和网络安全产品,而应该考虑如何提高企业自身的网络安全意识,将信息安全问题提升到重视的高度,要重视“人”的因素。具体表现在以下两个方面:

1.提高安全认识

定期对企业员工进行网络安全教育培训深化企业的全员信息安全意识,企业管理层要制定完整的信息安全策略并贯彻执行,对安全问题要做到预先考虑和防备。

2.要求中小企业在上网的过程中要做到“一做三不要”

(1)将存有重要数据的电脑坚决同网络隔离,同时设置开机密码,并将软驱、硬盘加密锁定,进行三级保护。

(2)不要在自己的系统之内使用任何具有记忆命令的程序,因为这些程序不但能记录用户的击键动作甚至能以快照的形式记录到屏幕上发生的一切。

(3)不在网上的任何场合下随意透露自己企业的任何安全信息。

(4)不要启动系统资源共享功能,最后要尽量减少企业资源暴露在外部网上的机会和次数,减少黑客进攻的机会。

(二)从网络安全角度考虑

1.从网络安全服务商的角度来说,服务商要重视中小企业对网络安全解决方案的需要,充分考虑中小企业的现实状况,仔细调查和分析中小企业的安全因素,开发出适合中小企业实际情况的网络安全综合解决方案。此外,还应该注意投入大量精力在安全策略的施行及安全教育的开展方面,这样才能为中小企业信息安全工作的顺利开展提供坚实的保证。

2.要用防火墙将企业的局域网(Intranet)与互联网之间进行隔离。由于网络攻击不断升级,对应的防火墙软件也应该及时跟着升级,这样就要求我们企业的网管人员要经常到有关网站上下载最新的补丁程序,以便进行网络维护,同时经常扫描整个内部网络,以发现任何安全隐患并及时更改,才能做到有备无患。

3.企业用户最好自己学会如何调试和管理自己的局域网系统,不要经常请别人来协助管理。中小企业要培养自己解决安全问题的能力,提高自己的信息安全技术。如果缺乏这方面的人才就应该去引进或者培养相关人才。

4.内部网络系统的密码要定期修改。

由于许多黑客利用穷举法来破解密码,像John这一类的密码破解程序可从因特网上免费下载,只要加上一个足够大的字典在足够快的机器上没日没夜地运行,就可以获得需要的账号及密码,因此,经常修改密码对付这种盗用就显得十分奏效。当然,设定密码也有很深的学问,只有随意性强、有足够的长度并及时更新的密码才能算是比较安全的密码。

5.要经常使用杀毒软件来维护局域网系统不受病毒攻击。现在国内的杀毒软件都推出了清除某些特洛伊木马的功能,可以不定期地在脱机的情况下进行检查和清除。另外,有的杀毒软件还提供网络实时监控功能,这一功能可以在黑客从远端执行用户机器上的文件时,提供报警或让执行失败,使黑客向用户机器上载可执行文件后无法正确执行,从而避免了进一步的损失。

6.同其它企业进行联合,共同抵制黑客的入侵,一旦被入侵要及时向有关部门汇报,并共同查找入侵来源,锁定黑客IP地址。将网络的TCP起时限制在15分钟以内,减少黑客入侵的机会。并扩大连接表,增加黑客填写整个连接表的难度。

篇13

云计算不仅带来了是技术上的革新,更改变了传统的管理理念和服务模式。在云计算时代,人们对资源的管理与利用将会更加集成化,虚拟化,并且不再受时间、地域、物理条件的限制。在全球化背景下,人们可以方便地对云端的资源进行统一的管理调度,还可以利用云端强大的数据处理能力进行信息的深入开发。

2 企业信息安全管理应用云计算技术的必要性分析

从企业层面来说,目前的信息安全管理出现了许多新问题,比如呈几何级数增长的信息需要大型的存储设备和处理器进行存储和管理、人们对企业信息的共享需求日益增多、企业信息安全管理流程日益繁杂等等,这些都需要云计算技术加以解决。从外围环境来说,如笔者开头提到的,云计算的发展普及是大势所趋,而且云计算技术主要涉及的就是信息的存储、管理、开发等环节,企业作为社会发展的主要力量,在今后的发展中不可能离开信息与云计算,尤其是信息安全管理环节。

信息安全要掌握主动性原则,越早采取措施越好。因为如果越晚发现存在的风险,那么需要弥补的时间就越长,花费的成本就越多,对企业的造成的损失也越大。而且企业信息安全的基础数据、标准往往是在初期设定好的,如果后期出现问题需要更改,将会耗费巨大的工作量。

基于上述分析,尽管云计算才刚刚到来,但是企业已经有必要将强对云计算的了解和研究,并逐步开始涉及基于云计算的信息安全管理。

3 云计算环境下信息安全管理的新特点

云计算对信息安全管理的影响主要体现在技术和管理模式这两个方面。云计算的特点之一便是高安全性。“云”使用了数据多副本容错、计算节点同构可互换等措施来保障服务的高可靠性,使用云计算比使用本地计算机可靠。同时,有专业的团队负责云端数据的安全维护,保证云端服务器的正常运行和信息安全。云计算的构成有天然的优势,包括云计算的云端集中管理,超大规模服务器的同时运作,还有近期提出的“共有云”、“私有云“等等都从各个方面分散了信息安全的风险。

但与之相对应的,目前的云端往往存储着多个用户的数据,而且存储的数据的规模和设计范围都极为广泛,这样也就造成了风险的集中,一旦出现问题,损失也会加大。

在传统环境下,企业的信息安全管理多是相对封闭的,因为按照一些人的理解就是“越封闭,越安全”。封闭只能是先对的,完全封闭更是不可能的。企业的运作管理需要时刻保持与外界的交流,其中很大一部分就是信息的交流;而且在信息的价值越来越被人们重视的今天,企业对自身信息资源的开发与利用越来越多的展开,在这种背景下谈封闭无异于明清时期的“闭关锁国”。云计算技术是以网络为基础的,也就是说是一个相对开放的平台。根据目前的发展来看,在控制好权限,做好软硬件维护的前提下,云计算环境下(亦或网络环境下)的信息安全管理的安全性是完全可以保障的。

4 云时代的信息安全风险管理

云计算环境下,由于云端与用户端的功能、作用、管理工作环节的不同,云端与用户端的风险来源也会有明显的不同。

云端的风险主要来自实体的、技术性的,操作性的,用户端的风险则主要来自内部人员和组织管理的漏洞。

本文结合传统的信息安全评估方法,参照《信息安全管理》(人民邮电出版社),云计算特点,从资产的识别与估价,威胁的识别与评估,脆弱性评估、现有安全控制确认的角度给出基于云计算的测评分析方法。

(1)、资产的识别与估价。在云计算环境下,云服务商拥有大多数的实体资产,而企业用则输出自己的信息资产。因而在对资产进行评估的时候也是双向的,尤其是信息资产,企业和云服务商可能对其价值会有不同的理解。但是双方又比较能够达成一致,因为对信息资产的不同估价涉及到之后对不同价值信息的不同强度的保管。企业和云服务商会在信息安全和保管成本之间找到平衡。

(2)、威胁的识别与评估。威胁识别与评估的主要任务是识别产生威胁的原因、确认威胁的目标以及评估威胁发生的可能性。云计算环境由以往的封闭环境转变为开放的网络环境,所面临的威胁更为复杂。就目前云计算的发展情况来看,云计算的威胁主要来自人员威胁和系统威胁。谷歌公司、亚马逊公司和微软公司的云计算服务都曾因为代码编写失误、软件故障、硬件故障等造成中断,给用户造成了损失。

(3)脆弱性评估。脆弱性评估一般分为技术脆弱性、操作脆弱性和管理脆弱性。云计算的脆弱性主要表现在技术脆弱性方面。云服务商的平台都是统一的,就如电脑的操作系统一样。如果其中某一个小小的文件或者某一句代码出现问题,都可能对整个系统以及上面运行的服务造成极大地影响,可以说是牵一发而动全身。

精选范文
学术杂志
友情链接