企业信息安全泄露范文
发布时间:2023-10-12 17:41:09
导语:想要提升您的写作水平,创作出令人难忘的文章?我们精心为您整理的13篇企业信息安全泄露范例,将为您的写作提供有力的支持和灵感!
篇1
在我国,大多数中小企业信息建设管理中存在着明显的认知不足,全球联系的增强和市场的激烈竞争促使中小企业认识到了信息化建设的重要性,但是缺少足够的信息安全管理认知,日常安全管理工作过于疏忽,没有形成科学有效地安全管理体制,作为重要保护对象。中小企业内部不同的信息需要不同的方式进行安全管理,由于企业对于信息安全管理的重视程度不够,针对安全管理投入力度难以形成有效的安全体系,无法保证信息安全。
(二)信息化安全管理制度不够完善
由于我国信息化建设起步较晚,我国中小企业相较于西方发达国家信息建设程度还有所欠缺。企业内部对于信息安全管理缺乏科学的规章制度,难以做到信息合理有效的安全防护。安全管理制度的不完善导致了各项制度之间出现混淆,安全职责定位不够明确,安全问题出现无从追求,这种现象在中小企业信息泄露中时有发生。
(三)缺乏相关技术人才
大部分中小企业由于对信息安全管理重视程度不够,投入力度较轻,导致安全管理出现盲区。信息安全建设过程中对于相关人才的培养力度不够,企业内部缺少专门的技术人才对安全管理盲区予以修复,进而导致信息泄露。
二、中小企业信息化安全管理完善措施
(一)强化信息安全意识
企业信息安全是企业健康平稳发展的基础,由此中小企业内部每个员工都应该予以承担相应的义务和责任。强化员工对于信息安全的意识,相比于技术安全更值得重视。所以,企业内部必须强化员工信息安全意识,营造内部良好的安全意识氛围,提升员工信息安全防护能力。
(二)完善安全管理制度
有效地安全措施离不开科学的安全管理制度,企业需要强化制度建设力度,做到安全管理有章可循,对于企业内部用户相关信息权限予以限制,明确,减少个人操作可能引发的信息泄露风险。在企业不断发展的过程中,制度应随着企业发展而创新升级,以满足企业发展的需要。
(三)重点培养信息安全管理人才
任何一个企业发展的根本动力都是人才的支持,优秀的人才能够促进企业内部稳定,工作效率提升,企业发展收益增强。在企业发展过程中,安全管理盲区需要相应的技术人员进行定期检查,维护,针对存在的安全隐患及时有效地解决,规避风险的发生。
篇2
1.企业信息安全评估的内容
企业在运行中会产生大量的运营数据,这些数据既有日常办公方面的数据,也有涉及企业生产和研发方面的数据。随着企业规模的扩大,对这些信息的管理大都是建立在一定的信息管理系统基础上的,如ERP资源管理系统、MES系统等。这些管理系统管理的内容包含了企业运行中的各类信息,就涉及到如何保障系统运行中信息安全的问题。不同的信息管理模式会伴随不同的信息泄露风险,因此需要对企业的信息管理风险程度进行评估,在此基础上寻找弥补信息安全隐患的策略。对企业信息安全的评估主要有以下几个方面的内容。
1.1 评估企业的管理制度
企业管理制度是企业有序运行的基础,企业的信息安全也和此密切相关。很多企业信息外泄的案例都和企业管理制度漏洞直接联系。因此在评估企业信息安全时企业的管理制度是必要的环节之一。在这个层面上评估企业信息安全主要是评估以下几类基本的管理制度。①企业信息系统的使用制度;②企业信息系统的维护制度;③企业信息系统操作人员培训制度;④系统设备和文件管理制度。
1.2 企业信息系统计算机安全评估
实践表明大量的企业信息外泄都和计算机系统的安全漏洞有关系,因此对企业信息系统的安全评估是必不可少的环节。这类问题的评估需要专业计算机人员来进行,弥补系统安全漏洞是保障企业信息安全的重要手段。定期或不定期的对企业信息系统的运行日志和统计资料进行检查是一种行之有效的方法。
2.企业信息安全风险定量评估方法
对上述几类评估内容的定量估计是衡量企业信息安全的量化手段,其衡量得出的数值就是企业信息安全的风险值或安全程度指标。企业信息安全的定量风险评估考虑因素主要有三个:资产价值、威胁和脆弱性。在定量评估中这三类因素都需要用定量数据采集的方式来进行合成计算,安全风险的数学表达式为:。其中为风险指标,表示企业资产指标,为代表威胁,为脆弱性指标。上述三类因素的基础数据都需要从实践中通过调研和测试来获得。
2.1 企业信息安全估价的描述方法
企业的资产既包括有形的资产,也包括无形的资源,表现形式也从机械设备到软件文档等多种多样。企业信息安全又有其特殊性。企业信息安全的安全属性估价需要从资产的保密性、完整性和可用性三个方面来展开评估。由于企业各类资产的形式各异,资产的安全级别无法用通用的量化标准来记性评估,因此采用的方法为定性的CIA模糊集合方式来描述,如“资产安全级别”={“很高”、“高”、“中等”、“低”、“较低”}等模糊语言来描述,对应的论域为{5、4、3、2、1}。企业信息安全安全的保密性、完整性和可用性三个方面的属性都可以用上述模糊语言来定性描述,综合上述三类安全属性的公式为:。上式中分别为企业信息安全的保密性、完整性和可用性的赋值,取值为1,2…5,为综合评定指标。笔者这里提供一些评价指标的选取标准:
(1)信息保密性的评定标准
①很高:这类级别的企业信息包含企业的核心关键决策信息,信息泄漏将严重影响企业的利益;②高:这类级别的企业信息泄露会对到企业经济效益造成明显损害;③中等:企业的一般性的经营、决策信息,泄露对企业不利;④低:这类企业信息一般指企业内部部门的局部信息;⑤较低:企业可对外界公布的信息类型。
(2)信息完整性的评定标准
①很高:这类级别的企业信息包含企业的核心关键决策信息,其完整性直接决定企业的业务完整性,一旦缺失就无法弥补;②高:这类信息修改必须经过高层授权,一旦缺失将严重影响业务,一旦缺失弥补难度很大;③中等:企业的一般性的经营、决策信息,其修改需授权,缺失后可弥补;④低:这类企业信息一般指企业内部部门的局部信息,缺失后对企业运行影响较小,易于弥补;⑤较低:企业可对外界公布的信息类型,缺失后对企业运行无明显影响。
(3)信息可用性的评定标准
①很高:这类信息具有最重要的实用性,企业的运作必须依照运行的信息类型;②高:这类信息的可用性价值较高,企业运作对其依赖性较高;③中等:这类信息属于可部分不可用的类型,部分不可用不影响企业的正常运作;④低:这类企业信息一般指企业内部部门的局部信息,信息不可用不会造成明显影响;⑤较低:这类信息使用性不高,信息不可用的影响可以忽略。
2.2 企业信息安全威胁程度的量化方法
企业信息安全的威胁通常定义为潜在的破坏性因素或突发事件。威胁是客观存在的,既可能来自于系统的用户(合法用户或非法入侵)操作,也可能来自于系统的物理组件的损坏。这两类威胁中最大也最常见的是系统用户在操作方面的失误、非法用户利用系统漏洞来窃取企业机密信息,以及计算机病毒对信息系统的侵袭等。但这些事件都不易量化,在做风险评估时需要依赖专家经验,对各种潜在的威胁因素给出一定的概率值,对各类威胁因素可按照和上节类似的方法,用形如:“威胁程度”={“很高”、“高”、“中等”、“低”、“较低”}等模糊集合来表达,对应于相应的论域{5、4、3、2、1}。建议评定标准如下:①很高:风险事件发生的频率很高,或对企业信息安全具有明显的威胁,但又很难避免的情形;②高:风险事件发生的可能性较大或有发生先例;③中等:风险事件有可能发生,但尚未实际发生过的情形;④较低:风险事件发生的可能性较小,通常情况下不会发生;⑤很低:几乎不可能发生的风险事件类型;
2.3 信息系统脆弱性的量化方法
信息系统脆弱性的评估和系统面临的威胁是紧密相关的,所有的实际威胁都是利用系统安全的薄弱环节来发挥破坏性作用的,因此信息系统的脆弱性和威胁存点对点或单点对多点的关系。为便于计算,也采用和衡量系统威胁程度时相同的表示方法,“系统脆弱性”={“很高”、“高”、“中等”、“低”、“较低”},对应于相应的论域{5、4、3、2、1}。建议评定标准为:①很高:这类评定往往要基于企业信息系统存在明显而易于攻击的技术漏洞或者是管理规范上的缺陷,极易被非法使用的情形;②高:企业信息系统存在一定的技术漏洞或管理规范上的缺陷,容易被攻击和利用;③中等:企业信息系统存在不易被发现(下转第125页)(上接第121页)的技术漏洞,或必须经过人为非法操作才能被攻击的管理规范上的漏洞;④低:企业信息系统不存在明显的技术漏洞,或企业信息管理制度较为完善,不易被攻击利用;⑤较低:企业信息系统技术较为完善,管理制度也较为合理,被攻击点可能性很小。
2.4 信息安全的风险计算
按照风险的定义,风险包括风险事件发生的可能性和相应的后果。在企业信息系统中,各组成部分发生风险事件后的后果是不一样的,其严重程度也存在差异。因此在风险计算时需要明确两个方面的内容,一是风险的计算方式,二是对风险计算量化数值的评价。各因素风险值的计算按:来计算,即按资产价值、资产脆弱性和资产面临的威胁性的乘积来衡量某种信息资产的风险值。上述几类因素的取值按照评价论域中的取值来作为乘积因子。在计算出风险值之后,还需要建立起以风险值为基础的风险评价体系。
由前文的分析可见,风险的定量估计是一个由三类风险因素的线性乘积得出的。每一类信息的最高等级论域数值为5,最低为1,因此组合情况下风险值的最高值为125,最低值为1。由此可建立其与之对应的风险定量评价体系。笔者建议采用与之对应的5级评定方式:①很高:风险值估计范围在100~125之间,表明企业信息系统存在很高的安全风险,发生信息泄露的可能性非常高;②高:风险估计值在75~100之间,表明企业信息系统存在较大的安全风险,发生信息泄露的可能性较大;③中等:风险估计值在50~75之间,企业信息系统的安全风险一般,经过审查后能够避免风险事件;④低:风险估计值在25~50之间,企业信息系统发生信息泄露的可能性很小;⑤很低:风险估计值在0~25之间,企业信息系统比较安全,但需要定期维护。
3.结语
企业信息系统安全管理关系到企业的内部运营数据的安全,是需要引起高度重视的问题。本文将企业信息安全评估中几类常用的信息类型进行了风险量化评估,给出了以线性乘积为基础的风险量化方法,最后给出了分等级的企业信息安全综合评定。
参考文献
[1]沈昌样.关于强化信息安全保障体系的思考[J].信息安全与通信保密,2009,06.
篇3
1.1信息安全管理问题
目前企业的信息安全管理上存在的问题,首先,信息管理人员缺乏或者人员经验不足:计算机信息安全很大程度上取决于管理人才,调查显示,我国七成IT企业信息安全系统保障不足,主要原因是管理人员没有及时更新系统补丁程序、没有及时维护系统。企业信息安全是上不断完善的动态过程,需要不断对现有系统进行安全检查、评估,及时发现新的问题,跟踪最新安全技术,及时调整安全策略,增强企业信息安全性。其次,在企业的信息化建设中信息安全管理系统不完善,信息安全管理系统,如果没有一个很好的保障体系,会使得信息的管理错乱,无秩序,重复管理、漏管等现象发生,使得信息系统出现漏洞,安全性降低。最后,安全以人为本,如果管理不善,人为原因,造成的操作失误,误用或滥用关键、敏感数据或资源等导致信息丢失泄露,外部人员和硬件的商家等对于企业的系统有一定的了解,有权限合法访问,这也会造成信息的安全问题。
1.2信息化建设中的硬件问题
近年来,由于信息化发展较快,企业信息化建设的成本也在不断提高,由于信息化建设投资大、回报慢,一些企业虽然有信息化建设的意愿,但是在实际投入上比较小,这就使得企业信息化建设过程中,企业的硬件设施跟不上时代的不发,导致企业信息化建设止步不前,计算机硬件设施的老化,对企业信息化建设过程中的安全问题存在这一定的隐患,而且,计算机的硬件决定着信息化建设的稳定性。另外在链路传输、网络设备(路由器、交换机、防火墙、通讯线路故障)等以及物量的一些不可抗力造成的地震、水灾、火灾等环境事故使系统毁灰。
1.3信息化建设中的软件问题
(1)国内的软件水平与世界先进水平还存在较大的差距,更容易受到黑客和病毒的攻击。这样就会造成使用这些软件的企业信息化建设中存在信息安全问题。
(2)配置中存在的问题,很多的系统和应用软件在初装后会使用默认的用户名和口令以及开放的端口,而这些都容易造成信息的泄露。
(3)Web服务中的安全问题,www体系的主要特点是开放、共享、交互,这使得信息安全问题增加,安全漏洞多样,如果服务器的保密信息被窃取,信息系统就会受到攻击,获取Web主机信息,使机器暂时不能使用,使机器暂时不能使用,服务器和客户端之间的信息被监听等。
(4)路由器信息的不安全行为,路由器简单的密码或共享密码、安全功能没有设置会导致信息的泄露。
2企业信息化建设中信息安全的对策
信息安全是企业信息化建设中的重要问题,只有保证信息的安全才能使企业在信息化建设中走得更远。企业在信息化建设进行信息安全的建设,主要可以从强化信息安全观念、加强硬件建设安全防护、提升软件建设安全措施三个方面进行。
2.1强化信息安全观念
在企业信息化建设中,一旦企业信息被盗取或丢失,对企业肯定会造成损失甚至是致命的打击。要从企业的基层员工到管理者都要正确认识信息安全的重要性,强化信息安全的观念,提高信息安全意识,从思想上认识提高信息安全的必要性。
2.2加强硬件建设安全防护
加强企业信息化建设过程中的硬件建设安全,首先要保证计算机的安全。企业的信息化建设离不开计算机,要保证计算机的安全就要对计算机进行定期的维护与保养,避免计算机在运行过程中出现突发性故障而导致企业信息的丢失。
另外,企业的信息化建设中,要加强网络硬件的建设。目前,市场上应用比较广泛的企业网络协议就是TCP/IP协议,硬件组成有服务器、通信设备、网络安全设备,主要应用技术是网络交换、网络管理、WEB数据库技术、防火墙等技术,同时还有支持网络运行的支撑系统,整个硬件建设安全、稳定、可靠。
2.3提升软件建设安全措施
要解决企业信息化建设过程中的信息安全问题还需要加强企业信息系统的软件安全防御措施,要采用高性能的安全软件对系统进行防护,使用防护软件要使其发挥其价值所在,不要因小失大。目前,大多数企业的软件防护措施不到位,主要原因就在于软件防护措施不到位,例如企业在公共区域设置无密码的无线路由器,等于是向所有人公开企业的信息,安全无法保证。因此,企业在信息化建设过程中有必要采取高性能的安全防护软件来保证信息的安全。
篇4
随着信息技术和网络技术的快速发展,信息安全问题引起了社会各界的广泛关注,并且已经成为当今时代十分重要的研究话题。影响企业信息安全的因素诸多,除了网络本身的开放性之外,内部用户访问控制以及用户身份识别等系统还不够完善,会给企业信息安全带来巨大的威胁。信息安全技术主要就是控制数据,保障数据传输的安全性和可靠性。
1 企业信息安全的意义
1.1 信息安全是时展的需要
随着计算机网络的快速发展,不仅改变了人们生活和工作方式,也给企业的商务运行带来了全新的模式,改变了传统企业生产和管理模式,进一步推动了我国社会的发展。企业信息安全技术得到了进一步的重视和发展,并且逐渐的与国际先进水平接轨,为企业国际化发展提供了强有力的支持。
1.2 信息安全是企业发展的需要
我国大部分企业积极的引用了信息技术和安全技术,信息技术和网络技术给企业带来了诸多优势,比如生产效率的提高、成本的降低以及业务拓展等优势。目前企业的信息和数据主要都是以电子文档的形式保存,对于企业来讲,信息安全技术是保障企业信息和数据不收侵害和威胁的基础保障之一,更是企业生存的保障,所以,必须要提高信息安全技术,避免网络和信息系统中可能存在的风险,逐步的建立信息安全保障体系,有利于企业的可持续性发展。
1.3 信息安全是企业稳定的必要前提
信息安全是保障企业稳定发展的重要措施,必须要充分的认识到信息安全工作的重要性和长期性,无论是从企业的经济效益还是企业的稳定发展等角度来考虑,必须要做好信息安全工作,做好基础性工作,在建立信息安全保障体系的时候,必须要建设良好的网络环境,重视信息战略,保障企业的信息化能够健康发展。
2 企业信息安全的现状
2.1 企业缺少信息安全管理制度
企业信息安全功过还是一个比较崭新的领域,相关的法律法规还不够完善,并且信息安全技术和手段还没有成熟,进而导致相关规定和标准并不能贯彻执行,安全标准和规范也是比较缺少的,从而并没有制定科学、合理的信息安全管理制度。企业信息系统安全问题是一项非常科学的系统工程,所涉及的范围比较广,随着科学技术的快速发展,信息技术和网络技术不断的更新和升级,是不断发展的动态过程,所以,企业信息系统运行风险和安全必须要定期的进行调整和规划,才能够从根本上保障企业信息的安全性和可靠性。
2.2 员工缺少安全管理的责任心
企业信息系统的安全性需要全体人员的参与,信息安全系统中最为重要的因素就是员工,其主要原因就是因为员工们才是企业信息系统的提供者和使用者,员工们能够直接影响到信息安全系统是否能够达到预期的要求。在诸多的信息安全问题中,最多的安全事件就是信息泄露时间。其主要泄露原因来源于内部员工,并不是外部黑客的攻击,给企业带来巨大经济损失的主要原因就是因为内部员工有意或者无意的泄露企业的相关信息,但是,目前我国还没有完善、成熟的系统预防内部员工泄密事件的发生,也是整个信息安全体系中的难点和弱点。
2.3 信息系统缺乏信息安全技术
计算机信息安全技术的本质就是由密码应用技术、操作系统维护技术、信息安全技术以及数据库应用技术等各个学科组成的计算机综合应用学科。但是由于我国计算机技术还有待进一步完善,导致我国技术的发展还存在一定的局限性,在硬件和软件设计的过程中难免会存在着一些弊端,网络硬件和软件系统大多数都需要依靠进口,为企业信息安全带来了一定的隐患,随着科学技术的快速发展,黑客已经不在是传统的破坏底层系统,目前黑客主要是入侵应用,窃取相应的数据,带着非常显著的商业性质。随着网络技术的普及,针对应用的攻击越来越多,不仅需要从管理方面来保障企业信息的安全性,还必须要从技术方面给予强力的支持。
2.4 病毒危害
计算机病毒主要就是指编制对计算机程序有破坏性的程序,进而影响计算机的使用并且能够通过自我不断的复制来代替计算机指令或者程序代码,其具有很强的破坏性。随着网络技术的快速发展,当今时代的计算机病毒已经泛滥成灾,根据相关统计,计算机病毒的种类已经高达4万多种,并且每年还在快速的增长,病毒随着计算机网络技术的发展而传播速度越来越快,破坏性也就越来越高,给计算机用户和企业的信息安全带来了巨大的安全隐患。
2.5 “黑客”攻击
黑客主要就是指通过技术手段侵入到他人计算机系统的人,黑客破解或者破坏计算机以及网络系统,导致计算机用户信息数据的泄露。目前比较常见的黑客手段有后门程序、信息炸弹、网络监听以及密码破解等手段来侵入他人的计算机系统来窃取数据信息,随着网络技术和信息技术的快速发展,黑客攻击已经成为当今时代十分常见的安全问题。
3 企业信息安全改进建议
3.1 技术安全
3.1.1 数字签名和加密技术
为了能够预防黑客的入侵,可以在传统的数字签名和加密技术的基础上不断的完善和创新,进而提高信息安全技术。比如数字签名技术,可以通过设定数字签名,用户在进行操作的时候能够打上自身独有的印记,其主要目的就是为了能够避免其他人擅自修改计算机数据,从而能够提高计算机的安全系数,预防黑客的攻击。在设定数字签名的时候,必须要重视数字证书的获取渠道,一般主要就是从以下三个渠道来获取数字证书,即软件自身所带的数字证书;商业认证授权机构获取;内部专门负责认证的安全管理机构处获取。
3.1.2 入侵防护系统(IPS)
传统的防火墙主要功能就是拒绝明显可疑的网络流量,但是依然能够允许一些流量通过,所以,传统的防火墙防护功能并不到位,面对一些入侵攻击的时候依然无可奈何。大部分IDS系统都是被动的,然而IPS更加倾向于提供主动的防护功能,其主要目的就是预先拦截入侵活动和攻击性网络流量,避免给用户带来不必要的损失,相比于传统的防火墙具有更多的防护优势。IPS主要就是通过网络流量实现这个功能的,也就是指通过网络端口接收外部系统的流量来检测其内是否还有可疑的内容,然后在通过另外一个端口将其送到内容系统中,进而一旦发现可以的数据包就能够自动的清除掉,避免病毒的入侵,从根本上提高了信息的安全性和保密性。
3.1.3 统一威胁管理(UTM)
根据美国权威企业对统一威胁管理做出了严格的定义,即由硬件、软件以及网络技术组成的具有专门用途的设备,其主要可以提供一项或者多项的安全功能。它能够将诸多安全特性集成到一个硬设备里,然后建立一个统一标准的平台。统一威胁管理的主要功能有网络防火墙、网络入侵检测以及网关防病毒功能。这些功能都是统一威胁管理本身所自带的功能。另外,统一威胁管理安全设备本身也具有诸多特性,比如安全管理、日志以及服务质量等特点,这些特性主要就是为安全功能服务的。
3.2 录级安全控制
为了能够保障企业信息的安全,网络必须要允许控制用户对目录、文件以及设备的访问。用户在目录一级指定的权限对所有文件以及子目录都是有效的,还应该可以进一步对目录下的子目录和文件的权限进行指定。目前比较常见的访问权限有系统管理员权限、读权限、创建权限、删除权限以及存取控制权限等。网络系统管理人员应该为用户指定合适的访问权限,因为这些权限的作用非常大,主要控制了用户对服务器的访问。
3.3 网络监测和锁定控制
网络管理人员必须要对网络进行实时的监控,服务器应该及时的记录用户对网络资源的访问,尤其是对非法网站访问的时候,服务器应该以各种方式加以报警,从而引起网络管理人员的注意。如果黑客试图侵入网络的时候,网络服务器必须要自动记录企图进入网络的次数,如果访问达到一定数值之后,帐户将会被自动锁定。
3.4 提高企业员工的安全意识
无论哪个领域,主体都是人,信息安全方面的主体也是人员,通过人来维护企业的根本利益,所以在建立信息网络安全体系的时候必须要重视人的因素,做出相应的规范和绩效管理。企业员工信息安全意识普遍比较薄弱,企业必须要定期的开展相应的培训工作,从根本上提高企业员工整体的信息安全意识,并且要有专业的信息安全体系管理人才,才能够从根本上提高企业信息数据的安全性、可靠性。
随着信息时代和网络时代的来临,企业纷纷引进先进的信息技术和网络技术,并且成立自身的信息系统和网络系统来服务于企业运营管理和生产管理工作,信息技术和网络技术在我国得到了广泛的普及。但是,随之而来的信息安全问题日益凸显,为了能够保障企业信息数据的安全性和可靠性,必须要不断的提高信息安全防护技术,做好相应的预防工作,避免各种入侵、盗取信息数据的事件发生,才能够保障企业的可持续性发展。
参考文献
[1]袁浩,张金荣.INTERNET接入、网络安全[M].北京:电子工业出版社,2011.
[2]徐国芹.浅议如何建立企业信息安全体系架构[J].中国高新技术企业,2009(5).
[3]付沙,企业信息安全策略的研究与探讨[J].商场现代化,2007(26).
[4]姜桦、郭永利,企业信息安全策略研究[J].焦作大学学报,2009(1).
篇5
中图分类号:F208 文献标志码:A 文章编号:1673-291X(2017)08-0147-02
高效的经济信息管理是企业不断发展的重要保障,而要想实现高效的信息管理,对信息安全性的管理与控制是十分重要的一个因素。近年来,随着科技与管理理念的不断丰富,对信息管理中的信息安全性控制也在不断强化并起到了一定的作用。但是,由于企业信息管理涉及的因素较多,导致目前仍旧存在一定的安全隐患。因此,有必要对企业的经济信息管理中的信息安全进行分析与探讨。
一、企业经济信息管理的信息安全存在的问题
(一)企业管理力度不足
企业管理力度不足是信息管理目前存在的普遍问题,也是导致企业信息管理存在安全隐患的主要原因之一。一方面,部分企业将管理重点放在了人员管理与财务控制方面,忽视了对经济信息安全的管理与控制;另一方面,部分企业的管理人员由于专业素质与工作经验的缺乏,对信息安全管理没有采取科学的方式方法,导致信息安全管理难以充分发挥其作用与价值,进而导致信息管理存在一定的安全隐患。总之,管理人员与管理制度是导致企业管理力度不足的重要因素。
(二)缺乏总体规划
在企业管理中,对经济信息的管理涉及到许多因素,所以高效的管理需要一个科学的总体规划。对于企业来说,经济信息管理不是单个部门或人员的工作,而是需要整个企业人员都具有信息保护的意识。但在实际工作中,由于工作内容具有一定的差异性或工作重点不同等原因,使得不同的员工与信息安全的意识程度不同,所以管理效果也难以达到最佳状态。考虑到这些问题,企业在进行经济信息管理时就需要制定一个整体规划,但许多企业在这方面的工作力度仍有不足。
(三)对信息安全不够重视
随着我国经济的不断发展,市场竞争也越来越激烈,此时保证企业的经济信息安全是管理中十分重要的一部分。但是,在实际竞争中,许多企业对经济信息的安全保障意识不够强烈。只是单一的对市场信息进行分析,而没有完善的管理系统,难免会导致信息储存或管理出现一定的问题,甚至造成企业关键经济信息的泄露,给企业发展带来不可挽回的损失。另外,信息管理中管理人员作用的发挥也非常重要。部分企业没有重视到这一点,管理人员的管理能力提升速度较慢,导致安全隐患的存在。
二、对企业信息管理安全产生影响的主要因素分析
(一)环境因素的影响
由于市场竞争比较激烈,许多企业将管理重心放在了市场拓展与产品优化等方面,出现了先重视产品与业务,再考虑信息安全的现象,导致信息安全管理滞后于业务的进行,产生一定的安全隐患。这是外部环境的影响,内部环境对企业的信息管理也有着一定的影响。企业的业务流程对信息管理体系的设置与实施有着一定的影响。此外,部分企业虽然重视对信息安全的管理,但由于防范体系的不够完善等原因,使得安全责任没有落实到具体,这些都是导致经济信息管理存在安全隐患的因素。
(二)人为因素的影响
人为因素的影响主要是指经济信息管理人员的工作能力与工作态度等因素的影响。一方面,安全管理人员是接触机密信息的直接人员,这部分工作人员若是出现刻意泄露或工作疏忽等现象,极易导致企业关键经济信息的泄露,给企业带来不可挽回的损失,影响企业的稳定发展。另一方面,技术人员也是人为因素中的重要部分,技术人员主要对相关设备进行管理与维护,也能够直接接触到关键信息。需要S护的设备较多,但部分企业为了节约人力成本,让同一个技术人员负责多个设备的维护,导致技术人员的工作难度增加,进而影响其工作效率。
(三)技术因素的影响
信息安全技术是保证信息安全的重要因素,也是企业在这方面管理中比较重视的一部分。具体来说,技术因素对信息安全的影响主要体现在以下两个方面:一是软件方面影响,包含了设计漏洞或技术缺陷,以及杀毒软件更新较慢或临时发生的运行故障等问题,这些都是对信息安全管理产生影响的因素。二是信息管理体系的设计方面,包含了风险评估数据、业务流程数据、测试数据、访问权限设置以及对信息资产的保护程度等。这些因素导致信息管理体系存在必然的安全隐患或漏洞,而这些漏洞将会为整个企业管理带来严重的不利影响。
三、强化企业经济信息管理中信息安全的必要性
(一)企业信息管理的主要特征
企业信息管理的特征主要包括三个内容:第一是具有保密性,这是信息管理的基本特征,也是信息管理的基本要求。各个部门负责的事项不同,部门人员只能获取应当了解的信息,而不能越权了解其他私密信息。第二是完整性。保证经济信息的完整是企业信息管理的基本原则,只有保证信息具有基本的完整性,才能更加精准地获得数据价值,从而发挥其作用。第三是可用性。只有具有较强的可用价值与企业的私密信息,才具有一定的安全保护价值,才能在企业发展中发挥其本身的作用。
(二)强化信息管理安全的必要性
正是由于经济信息具有的这些特征,才使其有了明确的强化必要性。首先,强化信息安全的管理有助于保证数据的保密性与完整性。只有保证信息的完整与私密,才能促使其在企业竞争中充分发挥价值。其次,信息的高效运用与价值发挥的实现,本身就需要一定的网络条件,而网络环境比较复杂,所以对数据的安全保护就显得十分关键。例如,不法分子的信息盗取、网路黑客的恶意攻击等,都是影响信息安全的因素。所以,对信息安全管理进行加强,是企业实现进一步发展的重要手段。
四、提高企业经济信息管理安全性的建议
(一)健全经济信息体系的安全保障
构建健全的经济信息体系的安全保障,是实现高效经济信息管理的重要前提,也是实现信息管理制度能够稳定发展的重要条件。在健全管理体系的保障过程中,最为首要的任务,即是在系统设计过程中就强调安全性。
从目前来看,由于市场的宽容度逐渐升高,越来越多的企业参与到市场竞争中。由于部分企业对信息安全的认知不够明确,或者管理制度不够合理等因素,导致其经济信息管理制度本身就存在一定的安全隐患,不利于企业的发展。因此,企业需充分明确自身实力与发展情况,确定当前发展中的关键,设计针对性的安全管理制度。具体来说,企业可加强对进入内部信息系统的准入设置与权限、增加必要的保护屏障技术等。另外,还可借助科学技术与计算机技术,将指纹识别等运用到信息管理中,以保障管理制度的安全性。
(二)提高工作人员的工作能力
企业重要的经济信息泄露,其中一个关键的原因,即是工作人员的刻意为之或工作疏忽导致的。因此,在企业的经济信息管理中,提升工作人员的工作能力与安全意识是十分有必要的一项措施。一方面,企业可加强对管理人员的培训,促使其对信息安全有明确的认识;同时,还可借助培训,提升管理人员的管理能力与风险意识。另一方面,管理责任的落实也十分重要。企业的经济信息涉及到许多企业的重要信息,要在日常管理者中将管理责任落实到具体,进而提高工作人员的管理责任心。此外,提高管理人员的职业道德以及综合素质等,也是一个比较有效的方式,能够在一定程度上提高企业的经济信息管理效率。
(三)强调对硬件的安全管理
在信息安全这个问题上,管理设备与硬件条件的强化是必不可少的一部分。可以说,硬件设备是高效的信息安全管理中的重要基础。
首先,针对企业的实际情况,可淘汰一部分功能比较传统的设备,购进更先进、安全保障程度更高的设备,进而促使设备在信息安全管理中充分发挥作用。
其次,在运用过程中,随着运用时间的增长硬件设备的损耗程度也更大,所以对硬件设备的维护工作必须得到重视。企业可安排专门的维护人员,定期对设备进行检查或零件更换,避免因硬件系统而导致的信息泄露等问题。同时,还可对维护人员进行培训,以提高其技术水平。此外,合理的安全屏障与接入控制、禁止未授权访问或下载文件等措施都是硬件强化中的重要方法,能够在一定程度上加强对经济信息的安全保障。
(四)健全企业信息安全管理制度
企业信息安全管理制度的完善,是保证企业经济信息管理安全性的重要因素。从企业管理的角度来讲,企业对经济信息进行的管理是根据本身的信息安全需要、业务分析以及风险预测等的结果,并结合科学技术与计算机技术实现的信息管理。构建完善的信息管理制度,能够为信息管理提供包括设计、运行等各个方面的安全保障,并有效避免因安全隐患导致的各类安全事故。一方面,企业可建立起相关的安全管理w系与防范制度,加强对关键数据的保存与备份,以保证在发生安全事故时能够及时进行弥补,避免业务受到影响,进而将企业的损失降到最小程度;另一方面,还可建立起集中的管理控制体系,将经济信息进行综合管理,并借助企业内部的管理平台对其进行管理。
结语
据上述的分析可知,强化企业经济信息管理中的信息安全,不仅是推动企业不断发展的重要方法,更是推进我国企业管理理念不断完善的重要手段。通过健全经济信息体系的安全保障、提高工作人员的工作能力、强调对硬件的安全管理,以及健全企业信息安全管理制度等方式,从企业管理的各个角度强调了信息安全的重要性,在一定程度上提高了企业信息管理中的信息安全。
参考文献:
[1] 马志程,张磊,王琼.基于ISO/IEC17799标准体系的企业信息安全管理新模式[J].电力信息与通信技术,2016,(1):80-83.
[2] 梁俊荣.基于信息安全的企业经济信息管理探讨[J].信息化建设,2016,(5):335.
篇6
1.1 信息安全组织临时化
通常,企业只有在发生了信息泄露、病毒攻击、系统破坏等信息安全事件时,才会临时从信息技术部和业务部门抽调人手处理和解决信息安全事件。出现新的信息安全要求时,才会临时组建项目小组,根据新的信息安全要求制定解决方案并实施计划,项目完成后,临时小组就会解散,没有人会继续跟进和执行解决方案。由于没有定期的信息安全评估,安全计划不断地重复开始和结束,带来大量的人财物重复投入,这将导致安全计划成本不断增加,企业的工作效率不断降低,信息安全防护也未得到有效提升。
1.2 员工上网无限制
虽然企业为员工上网提供了用户名及密码,并且对其登录的网站进行了监测,但是员工在工作时间还是可以无设防地利用外网进行网页游览、网络社交等行为,并且使用一些网站的免费邮箱随意地接收和发送电子邮件,这些给黑客、病毒、钓鱼软件等创造了对企业内部网络攻击的机会。于是,员工在不了解原因的情况下,使得企业的信息被泄露或者内部网络瘫痪,从而影响企业的正常工作,造成企业资产的损失。
1.3 个人移动设备(BYOD)使用泛滥
在企业的办公场合,员工会携带个人移动设备(BYOD)如笔记本电脑、平板电脑、智能手机、移动硬盘等进行办公。企业员工可以较为随意地使用这些移动存储设备对内部文件进行拷贝,并且可以使用移动设备接入企业内网的无线Wi-Fi,并拥有一定程度的内网数据读取权限,这样做虽然节约了企业的办公成本,提高了办公的效率,但是也增加了企业内网病毒感染及遭受黑客恶意入侵的风险。
1.4 信息安全防护水平有限
出于性能、技术等因素的考虑,加之国内自主研发的信息安全产品较少,目前进口的信息安全产品受到许多企业的广泛采用。尽管这些企业的信息安全需求以此得到了满足,但近几年来,进口产品设备故障的频繁发生也对企业的业务带来了不同程度的影响。同时,进口信息安全产品已经占据了这些企业信息系统的关键节点,这使得企业的商业机密时刻处于高危状态。不仅如此,部分企业仍旧停留在使用免费的个人版杀毒软件阶段,而这些软件不仅无法解决病毒交叉感染的问题,也没有统一的管理平台对企业内网的安全系统进行统一的升级与维护。
1.5 信息安全事件处理不及时
企业在发生信息安全事件时,即使有相关的信息安全管理产品,但无法迅速定位安全事件,更无法快速进行安全事件响应处理,常处于混乱、无序的运维管理状态。由于企业的安全管理人员无法全面了解整个企业网络中正在发生的内部越权访问和外部攻击,出现问题时,他们多表现得无从下手或者手忙脚乱。而且,企业各部门各自为政,对发生信息安全事件无法进行统一规范的快速处理。
2 改进企业信息安全管理的对策
2.1 建立健全的信息安全组织层级结构
企业信息安全组织架构的建立是围绕企业信息安全管理的战略目标,对企业的信息资源、人力资源、安全技术产品等进行合理安排和配置,构成相互协作的有机整体,使企业的信息安全活动协调有效地运行。企业通过建立多层次、跨部门的信息安全决策委员会、信息安全工作部、信息安全执行部层级结构,不仅能在企业中形成一张网,覆盖企业的各个部门,有利于信息安全措施的实施和针对信息安全事件的快速响应,而且还能为后续建立信息安全管理体系提供组织上的保证。信息安全决策委员会主要负责制定信息安全制度和策略、明确各部门信息安全职责、协调各部门实施信息安全控制措施以及信息安全活动的实施等。
2.2 加强人员教育培训和规范管理
信息安全最大的威胁不是来自于企业外部的攻击或是企业信息安全技术的缺陷,而是企业人员缺乏信息安全意识。为了能够有效地提高企业员工的信息安全意识,企业需要对员工进行完善的信息安全教育培训,这不仅能提高员工的信息安全保护技能,还能更好地保护企业的信息安全。企业在制定信息安全教育培训内容时,可以根据员工在企业中所处的职位高低和工作性质的不同有针对性地制定。对于企业管理者而言,教育培训以信息安全核心知识、风险管理、信息安全政策等为主;企业的信息技术人员,则是以信息安全技术教育培训为主;一般员工结合所在部门的业务特点以信息安全意识培训为主。除了对企业的人员进行教育培训,还需对其进行规范化管理。对掌握产品生产、原材料采购等核心信息的管理者实施更加严格的信息安全监督管理制度;对负责计算机系统及日常维护的人员界定其工作权限;规范化管理员工的上网行为,合理利用网络资源,避免人为的网络安全隐患。
2.3 完善信息安全技术体系
一是保障并完善数据安全,企业需通过加密的手段保护企业系统中数据的机密性和完整性,从而提高数据访问的抗抵赖性,同时加强数据的异地灾难恢复机制,实现本地数据的实时远程复制与备份,避免本地系统遭受灾难性破坏导致企业系统中数据的遗失。
二是保障并完善终端安全,企业除了要采用全面可靠的防病毒体系和防火墙技术外,还需制定严格的移动终端设备使用制度,一方面是为了避免内部员工利用移动终端设备随意拷贝企业内部文件,导致企业内部信息向外泄露,另一方面是为了防止移动终端设备携带的病毒漏过企业系统设置的防火墙而直接在系统内部传播。
三是保障和完善应用安全,除了提供用户名和口令外其他身份验证机制,必要时还需支持双因素认证和具备登录控制模块,同时在日常工作不受影响的情况下,控制员工访问权限,减少越权操作的现象,最大限度地保障个人系统的安全。
篇7
随着社会经济的不断发展,网络时代逐渐进入人们的生活,计算机被运用在了各个领域中,成为促进社会发展的重要媒介。而与此同时,企业信息安全问题也逐渐凸显出来,严重阻碍了企业的可持续发展,因此,在网络时代背景下研究企业安全风险和控制具有重要意义。
1 企业信息安全相关概述
1.1 信息安全的含义
迄今为止,对信息安全依然没有一个统一和公认的定义。但是从国内外研究来看,对其主要存在2种说法:一种指的是具体信息安全技术系统的安全;而另一种则指的是某些特定的信息体系的安全。上述2种定义主要站在静态的角度上阐述了信息安全的基本层面,但是信息系统和网络的影响决定了信息安全是一个动态的改变,其主要是防止企业信息遭到恶意泄露、破坏、更改[1]。信息安全的最终目的是向合法的对象提供安全、可靠的信息。
1.2 信息安全在企业中发挥的重要作用
企业信息作为企业的宝贵资源,保证企业信息的安全性对企业的生存和发展具有重要作用,主要体现在以下3个方面:一是企业信息安全是保障企业正常运行的基本前提。在网络时代背景下,企业信息安全的内容更广泛,再加上现代企业制度的不断建立和完善,越来越多的企业依靠信息数据库开展各项工作,例如:对于市场情况的分析、做出重大决策等等。二是保障企业信息安全是提高企业市场竞争力的必备条件。随着市场经济的不断完善,企业面临的竞争也越来越激烈,在这种形势下,企业要想获取市场竞争优势就需要依靠信息安全来实现。三是企业信息安全作为企业发展战略中重要的组成部分,而企业实施各项战略主要是通过自身的经营活动、财务信息等开展的,这些数据也能够将企业的战略实施方法以及下一步计划详细地反应出来,因此,如果企业的信息安全无法得到保障,那么企业要实施各项战略难度也很大。
2 网络时代下企业信息安全风险分析
2.1 缺乏高度的信息安全风险意识
在网络时代的浪潮下,很多企业都在逐步加强自身信息安全的建设,通过加大资金投入、创新技术等措施来保障自身的信息安全,然而,对信息风险的控制并非仅仅依靠技术就可以实现,更重要的是人们要树立起信息安全的风险意识。但是从当前来看,还有很大一部分企业的领导者、管理者、员工缺乏对信息安全风险的高度重视,主要表现在:个别人甚至片面地认为信息安全仅仅是网络部门的责任,跟自身没有多大关系;二是有个别企业领导者认为对信息安全的宣传过度夸张,遭受网络攻击的概率小,一般不会发生在自己身上;三是个别企业没有建立信息安全风险管理体系,再加上企业缺乏具体的故障系统,导致企业信息安全遭到风险时,员工往往手足无措,虽说有些企业针对自身的信息安全制定了一系列规章和制度,但是由于缺乏针对性和操作性,导致这些制度无法得到真正落实。
2.2 应用系统的安全性不高
企业要实现信息化建设的目的,少不了各种应用系统作支撑,但是从实际情况来看,很多企业还存在着应用系统的安全性不高等问题,进而导致企业在数据传输和存储等方面存在漏洞。如此容易被一些病毒、恶意软件窃取,实现非法访问,进而引发企业信息丢失或者泄露等安全风险。另外,很多企业应用系统的安全方模式也较为单一,绝大部分主要是采用“口令”的方式进行认证,无法实现对信息安全全方位的防范。另外,企业设置的密码过于简单、操作不规范等等都会增加应用系统安全的风险。
2.3 技术设备和设施的作用发挥不足
个别企业为了防范信息安全风险,针对一些重要信息设置了安全设备,但是由于操作条件和参数设施不够合理,无法将这些设备的作用充分发挥出来。还有很多企业没有通过建立工作日志来对安全设备、设施的运行情况进行监控,进而不能根据企业的经营情况对信息安全进行风险控制,更无法采取有效措施保障企业风险管理。
3 网络时代下控制企业信息安全风险途径分析
3.1 加强信息安全教育,提高信息安全风险意识
由于在企业信息安全控制中,提高员工的信息安全意识是保证企业信息安全的决定性因素,因此,企业应该加强对员工的信息安全教育,帮助员工树立起信息安全风险意识,例如:企业可以利用一些重大节日开展关于信息安全的演讲比赛、征文比赛,也可以通过建立适当的激励制度以及开展培训活动等途径来加强员工对信息安全重要性的认识,进而提高自身的信息安全风险防范意识和观念。
3.2 加强信息化建设,设置信息安全管理部门
在企业信息化建设中,信息安全作为重要的基础,企业要强化自身的内部控制,就应该落实信息安全的建设工作。加强信息化建设首先需要企业将信息安全纳入安全管理范围内,进而突出信息安全建设管理的重要地位;然后不断健全信息安全的责任制度,争取形成信息安全联动管理机制,确保信息安全管理的有效性;最后,在企业中设置信息安全管理机构,该部分的主要职能为企业信息安全建设、管理以及员工的信息安全教育培训工作等,从而为企业的信息安全风险控制创建一个良好的内部环境[2]。
3.3 运用新技术,加强信息安全风险防范
当前控制信息安全风险常见的主要有VPN技术和防火墙技术:(1)VPN技术。VPN主要指的是在公共网络的虚拟专用网络中建立一个临时的安全链接,在通常情况下,对VPN内部进行扩展可以实现远程操作,建立一条分公司、商业合作商和供应商跟公司内部网络安全联系,从而确保信息交换的安全性,保证数据传输的安全性。(2)防火墙技术。防火墙也被称为访问控制系统,主要是通过对网络做拓扑结构和服务类型上的隔离来保障网络安全。运用防火墙技术可以保证企业的内部网络免受外部网络的侵占,并阻断非法访问的外部网络进入企业内部网络,保证企业信息和资源的安全。
4 结 语
总之,网络时代的产生为企业发展创造了新的模式和发展契机,但与此同时,企业的信息安全也面临着很大的威胁,在很大程度上制约了企业的可持续发展。要实现对企业信息安全风险的控制,首先应该找准企业信息安全的风险点,然后采取对应措施,如:加强信息安全教育、加强信息化建设、运用新技术等几个方面来控制信息安全风险。
篇8
中图分类号:TU758.7 文献标识码:A 文章编号:1009-914X(2016)04-0071-01
引言
现代信息技术的发展和应用,促进了我国社会的快速发展,现代信息技术的应用领域在不断扩大,在人们的工作、生活、学习等过程中都有所应用,尤其是在企业信息化过程中,扮演的角色越来越重要。信息技术的应用给我们的生活带来了很大的变化,在企业的发展过程中,也积极加强了对信息系统的应用。随着计算机信息技术为越来越多的人所接受,各种信息的泄露、不良信息的传播成为人们使用网络时的安全忧患。尤其是各种信息的泄露,导致当前很多人的生活受到影响,企业管理过程中应该要加强对安全隐患的防范,可以使得企业的管理水平得到提升。
一、企业信息化过程中的安全隐患
在新的时代背景下,企业管理过程中加强对信息化的应用,可以使得企业的各项资料、信息管理更加井然有序,并且可以提高信息资料传递的速率,使得企业的管理效率不断提升。但是由于信息系统本身就面临一些威胁,所以企业网络信息安全在进行传递、存储以及使用的过程中,都面临着较大的危害。一些企业网络信息安全系统存在软件和硬件的漏洞,比如一个恶意的数据包就有可能导致各种设备出现瘫痪,最终使得各种信息出现泄漏。这些危害很有可能导致企业网络信息的安全受到威胁,严重时还有可能导致整个信息系统出现瘫痪。比如一些企业中存储有关于国家历史的文件资料,一旦出现了信息安全危害,严重时还会对整个国家造成影响。在企业的发展和管理过程中加强对信息系统的应用,常常出现的一个严重的问题就是信息泄露。信息泄露主要有几个方面,第一,失密、泄密。失密、泄密指的是非法的用户在使用过程中采用各种违法的手段获取企业的信息从而导致信息出现泄漏的现象。企业网络信息的失密和泄密的途径主要有几种,即磁泄漏、传输泄漏、侦收破译泄密、存储不利泄露等。这种泄密方式具有不可见性和不易察觉性,危害比较严重、持续时间也比较长。这种对于企业以及各种机构组织产生的影响比较大,很有可能会导致一些机密信息的出现。第二,数据遭受破坏。企业在日常管理过程中往往会利用计算机技术、互联网等对各种信息进行传递,在这个过程中也会对信息进行相应的处理,比如企业的工作人员在利用网络上传或者下载信息的时候,有些资源会被压缩,在信息处理过程中最容易出现数据破坏的现象,这种信息的破坏往往是不可逆转的,也就是修改之后的数据恢复起来难度比较大。第三,网络入侵威胁。由于当前的时代是信息网络时代,企业网络系统的基础是互联网,没有网络,企业的网络系统不能正常工作。但是企业网络系统应用的过程中,往往会存在很多恶意的侵犯,最终使得信息受损。
二、 企业网络信息安全隐患的防护
在新形势下,企业的信息化发展是一个必然的趋势,在这个过程中,必须要加强对网络信息安全的保护,加强对计算机系统的安全保护,从而使得企业发展过程中能够对各种信息进行加密处理,确保企业的健康发展。
(一)加强工作人员对信息安全工作的重视
在企业的发展过程中,工作人员对信息安全工作的重视程度如何,将会对企业的发展带来十分重要的影响,只有不断提高工作人员的信息安全意识,才能从根本上杜绝一些危害的出现。比如引导企业的工作人员形成安全意识,使得他们在使用计算机以及网络的时候可以注意不要去点一些不安全的网站,不会下载一些非法的东西,从而确保企业的信息系统的运营环境的安全性,确保企业的各种信息数据可以得到有效的保护。
(二)采用技术手段对各种安全隐患进行控制
在企业的发展过程中,为了对各种信息进行安全保护,则必须要从技术手段加强安全保护,比如对于企业的电脑,要安装防病毒系统,购买一些正版的杀毒软件,安装防火墙等,使得企业的信息系统可以得到有效的保护,加强对病毒的预防,从而不断提高企业的信息安全水平。其次,对于企业发展过程中的各种重要的信息要进行加密处理,尤其是在各种商业信息,是企业发展过程中的重要内容,为了防止信息被黑客窃取,则可以使用相应的数据加密技术,使得密码破译的难度增大,从而对一些违法的入侵行为进行规避,这种方法可以规避数据破坏、窃听等恶意行为。另外,在企业内部应该要建立一个相对独立的网络,从而可以对企业发展过程中的各种信息进行有效的传递,使得信息传递的网络环境是健康的,相关的技术人员应该要定期对该网络进行检查,确定内部网络的健康性。
(三)加强企业网络信息安全管理体制的建立
在企业网络信息安全防护过程中,应该要对管理制度进行完善,首先要定期修改管理制度,加强对技术人员安全的培训,以更好地适应现代化信息社会。其次,要开发计算机信息与网络安全的监督管理系统,并且对安全监管系统的管理责任进行细分,落实到具体的责任人身上,一旦出现网络信息安全时要及时找到相应的责任人,对网络和信息安全应用与管理工作实行“谁主管、谁负责、预防为主、综合治理、人员防范与技术防范相结合”的原则,实现安全保护责任制,逐渐实现企业网络信息完全管理的科学化和规范化发展。第三,在管理的过程中,要对企业的安全技术管理人员的责任进行确定,一旦企业的信息系统出现了安全问题,则应该要按照相应的责任关系找到责任人,对具体的责任进行承担,从而使得企业的信息安全系统管理更加科学。
结语
综上所述,在信息技术时代,信息网络系统在企业管理过程中的应用越来越多,同时也产生了较大的信息安全隐患。对此要积极加强信息安全工作,从人员安全意识的提升以及应用安全防护技术手段角度着手,对企业的信息安全保护工作进行加强,并且建立相应的严密的管理制度,从而使得企业的网络信息安全管理工作水平可以得到有效的提升,促进企业在信息化过程中的健康发展。
参考文献
篇9
[关键词] 安全;信息系统;审计;虚拟化
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2017. 07. 028
[中图分类号] F239.1 [文献标识码] A [文章编号] 1673 - 0194(2017)07- 0058- 04
1 引 言
随着信息技术的高速发展,企业业务对于IT系统的依赖性不断增强,信息和业务交付的灵活性与信息安全保护、防止泄露成为实际工作中的矛盾,企业IT运营既要满足业务发展对业务交付灵活性的要求,又要防止信息泄露,因为信息安全问题关系到企业的声誉,同时关系到企业的经营风险,更关系到国家的机密信息安全。
2 目前化工行业信息安全风险分析
2.1 化工行业信息化发展趋势
石油化学工业是基础性产业,在国民经济中占有举足轻重的地位,是我国的支柱产业部门之一,化工行业之所以重视信息化工作,首先与2015年总理提出的“互联网+”的大发展背景密不可分,工艺流程的制定、化工装置的运行、化工产品的销售都高度依赖于信息化、互联网技术;其次是从化工行业的自身特点衍生出来的,其产品数量多、种类多,产品各个环节的各个控制点特别多,这就要求用信息化技术能够对化工生产中的各个环节产生积极和促进作用。
2.2 化工行业信息安全管理的现状和挑战
因为信息安全管理的要求,在网络管理层面,石油系统内的企业已经建立了完善的内、外网隔离的管理平台,两个网络完全物理隔离,不能互相访问;石油系统内还部署了病毒防御、主动攻击防御系统(Symantec Endpoint Protection),保密安全,漏洞防护等一系列安全防护系统,看似已经建立了一个信息非常安全、固若金汤的基础架构。但在实际业务发展中,仍然存在一些隐患,不容忽视,面临挑战。
一方面企业的业务已经非常依赖信息系统,因为业务发展需要急需把内网系统交付到外网去,即人员在出差过程中能处理内网的业务。现有的内外网隔离架构,只有特权用户能够进行办公,为新的用户授权又需要经过一系列严格的程序,交付周期相对较长,因此不具备实现业务交付的灵活性。
另一方面,即使建立了内外网隔离的架构,也不能从根本阻止信息泄露,而且对于信息泄露事件也不能做到追本溯源,以避免类似事件发生。据全球权威的调查机构报告显示客户发生的信息泄露75%来自系统内部网络,而且超过50%的信息泄露没有找到信息泄露的源头。外网通过入侵,只能获得企业非关键信息;而对内网进行的各种违规操作,才是最致命的,给企业带来巨大的经营风险。所以即使进行了完全隔离,也不能杜绝信息泄露,内部网络的信息泄露主要来自于以下三个方面(见图1):
(1)由外包服务公司员工引起信息泄露。伴随着IT系统越来越复杂,客户本身很难成为各种应用系统、各种管理系统的专家,往往采用服务外包方式进行管理,现实的问题在于,由于没有一套完善的监控、审计机制,外包服务公司人员究竟在管理平台上修改了什么,平台上的数据被是否被保存到了IT服务外包人员本地电脑上并被泄漏出去,是否有危及系统安全和数据保密的操作都不得而知,出现人为操作故障后,追溯问题根源存在争执,追究责任困难,这就成为了信息泄露的最大漏洞。
(2)由内部IT人员引起信息泄露。在IT系统管理过程中,IT管理人员通常有非常大的权限,如何管理和评估这些人员在日常工作中是否有超过权限的操作,怎么清晰地知道哪个IT人员什么时间做过什么操作,都是摆在企业面前的现实问题。
(3)由内部业务人员引起信息泄露。业务人员因为直接掌握了企业财务、设备、销售、物料、物流等各个方面的数据,也是信息泄露的关键因素之一。
3 建设审计系统的意义
由于企业信息安全管理存在外包服务公司员工引起信息泄露、炔IT人员引起信息泄露、内部业务人员引起信息泄露的情况,因此围绕业务系统需要建立可控的、有序的安全架构,以防止和杜绝任何企业数据泄漏的隐患,通过使用信息内容审计系统能够在已建立起的网络安全平台上再增加一道安全防护屏障,从而实现真正完善的信息安全防护体系,这对企业的信息化发展具有重要意义,使用信息内容审计系统的具体价值体现在以下几点:
(1)审计敏感信息接触者,如IT管理员、业务人员、外包公司员工,他们都需要通过审计管控平台,才能获得信息系统的访问、管理权限,获得其需要的应用和数据,如此便可实现从源头上防范信息数据的泄露。
(2)IT管理员、业务人员、外包公司员工的所有操作行为可以通过回放录像的方式进行检索,从而捕捉到关键行为、操作,对于出现的信息泄露等重大问题,责任范围可追溯,做到有依可循、有据可查。
(3)对于系统故障,误删除等操作造成的数据丢失可以通过操作行为录像回放,找出故障原因,找回丢失的重要数据,从而保证企业的财产不受损失,保证企业的名誉不受损失。
4 审计的方法、特点
审计系统综合了核心系统运维和安全审计管控两大主干功能,从技术实现上讲,通过切断终端计算机对网络和服务器资源的直接访问,而采用协议的方式,接管了终端计算机对网络和服务器的访问。目前普遍采用的审计方式有两种,一种采用一体堡垒机的方法,一种采用服务器、审计软件两层架构的方法。
4.1 一体堡垒机功能
(1)单点登录功能:支持对Windows、LINUX、UNIX、数据库、网络设备、安全设备等一系列授权账号进行密码的自动化周期更改,简化密码管理,让使用者无需记忆众多系统密码,即可实现自动登录目标设备,便捷安全。
(2)统一的账号管理:能够对所有服务器、网络设备、安全设备等账号进行集中管理,化繁为简,实现对维护管理员的统一审核。
(3)资源授权:设备提供基于用户、目标设备、时间、协议类型IP、行为等要素实现细粒度的操作授权,最大限度保护用户资源的安全。
(4)访问控制:设备支持对不同用户进行不同策略的制定,细粒度的访问控制能够最大限度的保护用户资源的安全,严防非法、越权访问事件的发生。
(5)操作审计:能够对字符、图形、文件传输、数据库等全程操作行为审计;通过设备录像方式实时监控运维人员对操作系统、安全设备、网络设备、数据库等进行的各种操作,对违规行为进行事中控制。对终端指令信息能够进行精确搜索,进行录像精确定位。
4.2 审计软件功能
新一代的审计软件克服了传统堡垒机的很多不足,如专用硬件不易维修、升级困难、不能实现应用和数据管控、不能对图像操作进行检索等,在继承了传统堡垒机的基础上又具备以下优点:
(1)应用管控。实现独立管控,不同人员获得使用不同应用程序的权限。
(2)数据管控。无论局域网操作者还是广域网远程操作者,在审计环境下可以看到数据,使用数据,但无法下载数据。
(3)高安全性。以客户端/服务器方式运行,将用户行为变为可视、可跟踪、可鉴定,保护重要数据的安全。
(4)集中审计,审计无盲点。实现集中审计、集中访问控制,对于企业重要系统和数据的管理,有非常重要的价值;
(5)准确追溯历史。在服务器上部署审计软件的科学方式能够将来访人员的行为完整的记录,并保存在服务器上,审计人员能够按照其想调查的时间点、调查的操作人、调查的内容进行选择,通过清晰的视频回放准确的定位操作行为。
(6)行为分析报表。能够提供准确、详细的审计报表,直观的展现历史过程。
此外,新一代的审计软件还具备更为可靠、先进的核心业务非法访问监测、恶意程序篡改进程、关键数据的访问监测、多维度的行为分析和查询、云终端用户操作等行为审计等功能。
5 审计系统的建设
鉴于石油化工系统的信息安全、数据保密的重要性,在设计企业信息安全防护系统时要充分考虑到架构是否能够有效的起到安全防护作用、规范作用,是否能够为企业运营节省成本、提升企业运营效率等因素,因此在设计架构时要打破传统安全防护的壁垒,在创新发展与严密管控之间找到平衡点,充分发挥出架构的优势。
5.1 架构组成
架构由三个部分组成,分别是客户部分、集中访问控制部分、信息系统部分(见图2)。
(1)客户部分,包括IT管理人员、IT运维人员、IT外包人员、审计人员等。
(2)集中访问控制部分,这里是审计系统的核心控制区,包括行为审计应用产品、审计数据存储产品、访问控制程序区(SSH、Putty、SecureCRT、远程桌面等)。
(3)信息系统部分,包含企业的各个生产、销售、物料等信息系统。
5.2 架构设计
方案采用应用虚拟化技术+智能审计解决方案,采用行业中技术领先的CitrixXenapp+AuditSys审计产品,构建一个安全的集中访问平台,将用户与信息系统分隔开。
首先建立XenApp平台,将远程服务器和客户机上的应用程序部署到XenApp平台上,客户端设备只需通过IE就可以运行应用系统,多用户同时访问时,由XenApp管理应用客户端软件的多进程访问,并控制向不同用户的权限,服务器与客户端之间的数据传输只是屏幕变化和鼠标键盘的指令信息,而不传输任何实际操作数据,真实的数据传输发生在XenApp平台与信息系统部分之间,从安全性角度分析,这种安全性接近于物理环境隔离。
然后在XenApp平台上部署AuditSys产品,实现审计任何通过Xenapp平台访问的用户会话,也可以审计任何通过远程桌面、终端服务、PCANYWHERE等远程协议访问过来的会话,也可以审计通过KVM或者通过本地登的用户会话,通过与Citrix XenApp的无缝集成,不仅可以构建一个安全的远程集中访问平台,还可以对所有的用户会话,管理员维护操作等用户行为进行审计。
所有的行为审计过程需要完整的记录并保存,这里部署了Auditsys App Server,保存了Auditsys记录的完整的行为过程,为检查人员、审核人员的安全检查提供可靠依据。
5.3 架构优势
XenApp集中化方法将所有应用程序和数据存储都集中在数据中心服务器上,并把数据的管理严格控制在数据中心。
该方法从安全角度和先进角度出发,在安全防护方面做到了数据的不可复制,在该架构下,只有用户界面、键盘敲击和鼠标操作等小量交互信息通过网络传输,且都是经过加密处理的。
XenApp上的应用程序需要上层管理者授权才能使用,保证了应用的管控和规范使用。
客户部分使用计算机在完成数据操作时,只能够看到所使用的数据,真正的数据依然存放在集中访问控制部分和信息系统中,充分做到了数据的安全防护。
AuditSys具备功能强大的数据搜索引擎,支持细化的组合查询、多条件选择查询,帮助用户快速完成记录搜索。
6 总 结
信息化是企业工业生产的重要驱动力,是企业可持续发展的重要因素,互联网+工业是未来工业发展的方向,且工业信息化发展的前提又是信息安全,因此,企业信息安全防护系统做的好不好,企业信息安全管理规范,直接作用于企业的工业信息化发展,进而影响企业的发展动力、产品创新、技术产品等多个方面。而信息安全体系中,人员的管控的是最复杂、最困难的,信息工作中,能否通过有效的安全系统及时有效的发现、制止信息泄密事件,做到未雨绸缪;能否在发生泄密事件后,准确的查出泄密原因,找出泄密人员,亡羊补牢,这尤其需要企业在信息安全工作中重点考虑,以保证企业的信息安全防护系统坚固、夯实,以保证企业的信息化发展健康、稳步。
主要参考文献
[1]邓小榕,陈龙.安全审计数据的综合审计分析方法[J].重庆邮电学院学报:自然科学版,2005(5).
[2]许霆,袁萌,史美林.网络监控审计系统的设计与实现[J].计算机工程与应用,2002(18).
[3]邓瑛,常国岑.网络安全监控与审计系统的设计与实现[J],计算机工程,2002(12).
[4]张俊良.基于信息过滤的网络安全审计系统的研究与实现[D].西安:西北大学,2009.
[5]曹晖,王青青.新型数据库安全审计系统[J].计算机工程与应用,2007,43(5):163-165.
[6]王渊,马骏.一种基于入侵检测的数据库安全审计[J].计算机仿真,2007,24(2):33-36.
[7]高彩容.基于数据挖掘的网络安全审计技术研究[D].西安:西安电子科技大学,2008.
[8]韦猛,程克非.基于主机信息内容审计系统的设计与实现[J].重庆邮电大学学报,2008,20(6):725-728.
篇10
关键词:信息安全;风险管理;框架探究
Key words: information security;risk management;framework research
中图分类号:F270 文献标识码:A 文章编号:1006-4311(2017)18-0053-03
0 引言
在社会不断发展的同时,信息化技术也获得了长足的进步,并且已经广泛地应用到人们的生活与工作中。对于企业单位而言,信息资源是保证正常运营的关键因素,企业运营的重要数据、客户资料以及知识产权等信息都是重要的信息资源,这些资源一旦泄露或丢失,会对企业造成极大的影响。因此,企业必须重视自身信息系统安全风险管理的框架的建设,有效防止来自网络的恶意攻击,防止内部重要信息泄露或丢失,保证企业信息安全。
1 企业信息安全实践的需求分析
在信息时代的大背景下,企业的信息化程度是衡量其发展水平的重要因素。但是,我国的信息安全形势不容乐观,大部分企业没有树立信息安全风险管理概念,企业的信息安全无法得到良好的保障。信息安全是一项综合性的工程,不能仅凭企业短期内需要就采取某些措施,无法从根本上提高信息安全水平。想要做好企业信息安全实践工作,必须事先做好企业对信息安全的需求分析,形成全面的分析报告,并根据报告中的内容采取相应的措施,改善企业信息安全现状。但是,需求分析的具体过程也不是始终不变的,而是会根据企业的发展与信息技术的进步发生改变的。信息安全风险的独特性必须在框架中体现出来。信息安全风险源于信息,信息本身具有不断发生变化的特性,从其以数据的形势出现开始,直至在各项功能中发挥相关的作用,这个周期内的每个阶段都有相的价值。信息安全管理就是要对企业的信息资源进行全面的保护,避免因这些资源受到损失而对企业的运营造成影响。企业信息安全风险管理框架中,必须能够发现信息资源即将受到的威胁,评估这些威胁会对信息资源造成的后果,以确定应对这些威胁的顺序。在制定风险计划时,需要明确对于风险的应对方式以及合理的控制措施。在风险的监督与改进过程中,需要根据这些风险采取适当的监控手段。总之,在此过程框架每个过程要素的分析中,都必须体现信息安全风险的独特性。
2 企业信息安全风险的类型及内容
一般来说,在企业运营过程中,信息安全系统通常面临以下风险因素:
①因线路故障、停电、网络通信设备损坏等导致网络突然中断。
②网站遭到非法攻击,主页被恶意篡改或者被非法植入煽动国家分裂或抗拒法律法规、歪曲事实、散布谣言的言论,以及破坏社会稳定、损害公司名誉的不当言论等。
③公司内部网络服务器或他服务器被非法入侵,相关网络设置被非法拷贝、修改、删除,发生泄密事件。
④公司内外网终端混用,被国网公司信息管理部门查处,造成公司信息泄露、丢失事件。
信息系统是企业正常开展生产运营工作的基本前提,信息管理系统一旦出现问题,轻则影响企业内部业务项目的正常进行,重则导致企业蒙受巨大的经济亏损。因此,针对信息安全风险加强管控对企业来说意义重大。
3 企业信息安全风险管理方案
3.1 建立信息安全风险管理流程
企业信息安全风险管理工作可按照图1所示流程逐步展开。
3.2 完善信息安全风险管理措施
对信息安全风险的管理可以以阶段化的管理模式逐步展开,具体措施如下:
3.2.1 实施准备阶段
信息安全风险管理实施的准备阶段主要包括管理开端的建立、风险评估以及制定行动方案三个步骤。第一,在管理开端的建立中,首先要获得企业管理部门与业务部门的支持,并且建立完善的管理质素,明确参与到管理过程中的工作人员的职责;第二,在风险评估步骤中,首先,确定风险评估对象的范围,其次,确定评估小组的成员,并且制定评估方案;最后,对评估小组成员进行与评估方案有关的培训。在这些准备工作结束后,评估人员就可以开始通过访谈或调查的形式来确定公司信息资源的具体情况,明确用户对信息安全的需求。再通过对风险进行识别与分析,发现企业信息系统中存在的风险。第三,在制定行动方案的步骤中,需要完成保护方案的制定以及确定风险处理方式两部分工作。通常情况下,保护方案就是需要企业长期持续执行,能够帮助企业保证自身信息安全的方案,但不足以满足企业在短期内提高信息安全性的需求。因此,企业必须对所有控制措施制定相应的处理方式,在短期内解决企业最需要解决的问题。
3.2.2 部署与执行阶段
行动的部署与执行阶段主要有计划的部署与安全培训两方面工作组成。第一,行动计划部署。在这个过程中,安全风险管理计划中的所有措施都必须被执行,需要对具体行动方案进行必要的理解并执行。首先,要与企业中的员工进行事先沟通,防止在实施中遇到反对或抵触的情绪。其次,确保被安排到行动计划的员工能够把握这些工作的优先级。此外,必须制定行动执行保障制度,为计划执行准备足够的资源,以保证计划顺利执行。第二,安全培训工作的实施。在企业内部,从事安全风险管理工作的员工有时会将普通工作人员视为技术人员,显然这种想法是有问题的,并不是企业内的所有员工都了解信息安全风险管理。所以,我们必须了解企业中大部分员工知识利用信息系统完成自己的工作任务,信息安全的保护是需要专业的信息安全人员进行的。所以,企业必须组织安全培训,通过培训提高员工安全意识,保证他们在信息系统遇到危险时能够采取一些有效的行动,对系统进行适当的保护。
3.2.3 风险监督检查阶段
在信息安全风险管理团队中,必须组建风险监督小组,在风险管理的整个过程中对其进行监督与检查,小组应由小组负责人与检查人员组成。实施风险监督检查的目的就是为了掌握企业信息安全的实际状态,并且收集信息安全环境变更信息,方便对未来的风险进行预测。风险监督小组在获得这些信息后,必须及时向风险管理团队反馈,确保他们能够掌握企业最近的信息安全状态。
3.2.4 风险改进阶段
在这一阶段,我们必须做好以下工作:制定详细的风险改进措施。风险管理团队需要根据企业的信息安全状态制定详细的风险改进措施。通过对监督检查过程中发现的问题进行分析,可以找出导致问题产生的原因,制定相应的改进措施并限期完成,检查人员则要负责对具体的实施情况进行检查。在改进过程中,需要注意的是,改进措施必须获得最高管理者的批准,特别是关系到整个企业或大多数部门的改进措施。风险监督小组必须随时跟踪纠正措施实施情况,验证改进措施的执行是否符合标准。
3.3 建立企业信息安全风险评估体系,促进信息管理工作不断优化改进
3.3.1 明_信息安全风险评估流程
企业信息安全风险评估工作可以参照图2逐步实行。
3.3.2 信息安全风险的计算及处理措施
企业的风险可以通过多种计算方法得到,但通常资产的风险值可以定义为:风险值=f(安全事件发生的可能性,安全事件发生的危害性)=g(资产,威胁,脆弱性,已实施的控制措施)。评估人员根据这样的函数形式,可以采用一种类似5×5形式的矩阵来计算风险,其中行和列分别代表了安全事件发生的可能性或发生的危害性等级。当然,评估人员为了细化这些风险可以采用维数更多(更细)的矩阵。
4 结论及建议
企业通过信息安全风险管理的实施,能够确定长时间的安全风险管理计划,并且可以有效地缓解企业信息系统中的安全风险,提高工作人员对与信息安全风险的认识,建立健康的安全风险管理氛围,推动企业信息化发展。
另外,建议企业在实施信息风险管理的同时,及时建立信息安全风险预警系统,特别要加强网络与信息系统安全管理,充分发挥技术支撑、机制保障作用,不断完善预防与抢险相结合,有效地预防和减少信息系统安全事故的发生,保障信息安全稳定运行。
参考文献:
篇11
【作者简介】 胡鹏,中石化湖北石油分公司工程师,研究方向:网络安全。
【中图分类号】 X913.2 【文献标识码】 A 【文章编号】 2095-5103(2015)04-0051-02
信息安全建设包括三大部分,即人员、管理和技术,尤其是信息安全管理,已经越发受到各界的广泛关注,并以此为核心来打造信息安全保障体系。信息安全对于各行各业来说,均具有极其重要的地位,其不仅关乎企业自身信息安全,也关乎普通消费者信息安全。因此构建信息安全体系,是企业未来发展的重点工作。
一、传统行业信息安全建设现状分析
(一)对信息安全建设缺乏足够认识。就目前国内实际情况来说,传统行业对于信息安全建设尚没有足够的认识,导致信息安全建设难以切实施行。具体来说,这主要表现在三个方面。一是传统行业的领导者对信息安全建设缺少必要的认识,在面对信息化浪潮的冲击时,其最先想到的是提升行业品质来面对新挑战,却忽视了通过信息安全建设保护行业核心信息资源,导致行业信息被逐渐泄露,无法与新行业相抗衡,以致逐渐失去竞争力。最典型的就是传统出版行业,在数字化刊物逐渐普及的情况下,传统出版行业已经显得捉襟见肘,出版物印刷量与销售量逐年下降。二是行业内部员工缺少对信息安全的认识,在日常工作中,会在不经意间泄露行业信息。更有甚者为了一己私利出卖行业信息。这些举动都对传统行业造成了极其恶劣的影响。三是普通消费者缺少对信息安全的认识,在某些需要消费者个人信息资料的行业中,消费者往往没有考虑个人信息资料是否安全,是否存在泄露的风险以及相应的后果。忽视这些的结果就是消费者缺少对相关企业信息安全的要求,在发生意外情况后无法挽回。
(二)信息安全建设技术水平较低。传统行业虽然缺乏对信息安全建设的认识,但也并非没有进行信息安全建设,只是其信息安全建设技术水平较低,无法切实满足对企业信息安全的保护。信息安全建设技术水平低主要表现在两个方面。一是信息安全管理体系架构技术层次低,一个体系架构的技术高低,决定了该体系所能发挥的功能高低。越先进越高端的技术,其对信息安全的保护也就越安全,反之亦然。传统行业信息安全管理体系的基础架构以及权限设置等信息保障措施,其技术相对一些新行业而言较为落后,无法符合不断更新的计算机技术,更无法有效弥补信息安全漏洞,只能说是徒有其表。二是人员管理技术水平较低,人员管理也是信息安全建设的重要环节。每一个员工都携带着一定程度的行业信息,只有加强对员工的管理,建立科学人性的管理体系,才能确保企业人员不会因为失误或利益泄露行业信息。
(三)信息安全建设覆盖范围较窄。信息安全建设覆盖范围较窄主要可以分为两个方面,一是进行信息安全建设的传统行业范围较窄;二是行业内部信息安全建设的范围较窄。对于所有传统行业而言,已经完成信息安全建设或正在建设的行业并不多。根据相关统计资料,传统行业中完成或进行中的信息安全建设的企业,尚不到20%。这一数据说明信息安全建设率在传统行业中来讲还很低,还需要加强相关理念的宣传,引导更多的传统企业进行信息安全建设。在行业内部,信息安全建设集中在企业核心机密,即企业相关财务数据、产品数据和市场数据等,忽视了员工信息安全及一些外在信息安全的构建。虽然此举能够保障企业核心利益,却无法保证企业正常良性的运转。
二、传统行业信息安全建设中的问题及原因
(一)缺少完善的法律法规。在信息安全方面,我国尚缺少有效完善的法律法规来加强信息安全建设,这主要表现在两个方面。一方面是缺少对传统行业信息安全建设的强制性法律法规。传统行业本身对信息安全缺少足够的认识,再加之缺少必须的法律法规,就致使传统行业基本忽视了信息安全建设。另一方面是缺少对信息安全犯罪的法律法规,近年来随着信息技术发展迅猛,各种信息安全犯罪层出不穷,犯罪性质也从经济犯罪上升到了更加恶劣的性质。各种由于个人信息泄露而出现的绑架、抢劫等案件,急需出台相应的信息安全法律法规来加以制约。
(二)传统行业内部信息安全管理不力。信息安全管理主要包括体系建设、制度建设和人员管理。这三个方面的工作在传统行业中来说都并不到位。体系建设主要是指信息安全管理体系,一套完整的管理体系,应当从上至下,由内而外,将方方面面的信息安全包罗其中,以形成一个上下一体的信息安全管理系统。制度建设主要针对信息安全制定相应的信息安全管理制度,通过确实的规章制度,对企业员工形成约束,避免其出现一些不利企业信息安全的行为。人员管理主要是加强对企业员工的信息安全意识教育,让其树立起保护信息安全的基本意识。
(三)基础信息安全建设设施缺乏。基础信息安全建设设施缺乏,是摆在传统行业面前的关键问题,这主要包括两个方面的问题。一是技术基础缺乏,目前我国信息安全建设的技术基础基本源自国外,这从信息安全的角度来说本身就是一种不安全的行为。只有创建完全自主的信息安全技术,才能杜绝国外技术可能存在的技术后门。二是硬件基础缺乏,这与技术基础缺乏对信息安全的不利影响是一致的。总的来说,硬软件的缺乏,是传统行业信息安全建设的最大问题。
三、传统行业信息安全建设策略分析
(一)完善信息安全法律法规。要做好传统行业信息安全建设,最首要的就是完善相应的信息安全法律法规,从法律层面对信息安全建设进行定性。首先是明确传统行业信息安全建设的义务,通过法律规定强制传统行业进行信息安全建设,迫使其领导层重视信息安全建设,进而在行业全局决策中增加对信息安全建设的思考与倾斜。其次是对信息安全犯罪作出全面的定性与量刑,加强对信息安全犯罪的打击力度,通过法律手段减少信息安全威胁。
(二)加强行业内部信息安全管理。加强行业内部信息安全管理,是信息安全建设的重要环节,其可以从三个方面来进行。第一是构建企业员工信息梯度,针对企业不同部门以及不同职位,制定不同的信息等级制度,以此改善员工功能与信息的不对等关系。第二是构建信息管理制度,针对企业类型、企业所包含信息的类型以及其机密程度,制定合理的信息管理制度,加强对内部员工的约束。第三是加强对企业员工的信息安全建设培训,使企业员工具有一定的信息安全建设意识,能够从一些小事上进行信息安全建设。
(三)自主化信息安全建设基础设施。自主化信息安全建设基础设施应当从基础技术与基础硬件两个方面进行。就基础技术而言,传统行业应该大量参考国外相关技术,博采众长,创建不依赖于国外技术的信息安全建设技术,真正实现信息安全建设技术国产化,从根源上排除国外技术对传统行业信息安全可能存在的技术风险。在基础硬件方面,传统行业可以加强与国内硬件厂商的合作,共同研发具有行业特点的信息安全建设硬件,减少国外硬件的引入与应用。总的来说,信息安全建设应该在国外硬软件的基础上,开发自主的硬软件设备,使信息安全建设完全实现国产化。
(四)综合采取多种有效措施构建信息安全大环境。信息安全建设并非企业一己之力就能够做好,还需要多方协作,构建信息安全大环境,如此才能在整个行业中进行信息安全建设。第一,加强企业之间的信息交流与合作管理。对于同一行业而言,企业的核心信息在一定程度上来说相似甚至相同,即企业的信息安全建设在一定程度上形成了交集。同类型企业可以加强信息交流,合作构建信息安全管理体系,加强信息安全管理。第二,构建企业信息安全评级制度,由国家相关部门牵头,联合行业内的优秀企业,组建企业信息安全评级机构,对行业内企业进行信息安全评级,并将评级结果公布于众,让消费者能够清楚认识到企业的信息安全等级以选择能够保障自身信息安全的企业。此举还可以加强企业对信息安全建设的重视程度,促使企业进行信息安全建设。第三,构建信息安全犯罪打击网络,由公安部牵头,联合国内优秀的信息安全商构建信息安全犯罪打击平台,加强对信息安全的监管及信息安全犯罪的打击。
篇12
1 企业计算机网络安全方案的构建意义
目前,我国大中型企业信息化建设中的关键部分就是信息安全建设,解决信息安全问题有利于企业信息化建设工作的全面推进。企业信息安全建设的最终目的是要真正做到“防患于未然”,信息安全的有效性建设能够控制企业信息化建设的总体成本,为企业节约大量资金,实现资源优化配置。企业计算机网络安全建设工作要始终坚持等级保护理念,才能促进企业信息安全建设工作的稳步实施,保证企业信息管理系统的建设符合行业标准和政策规定,全面提升企业在激烈的市场竞争中的竞争力。
2 企业计算机网络安全的弱点和威胁
2.1 信息安全弱点
信息安全弱点与企业信息资源密切相关,信息安全弱点的暴露很有可能导致企业资产的严重损失。但是,信息安全弱点本身并不会为企业带来损失,只是在特定的环境下被非法者利用后才会造成企业资产损失,例如,企业信息系统开发过程中的脆弱性问题,管理员的管理措施问题等,这些信息安全弱点都为非法攻击者提供了非法入侵的可能。
2.2 信息安全威胁
信息安全威胁指的是对企业资产构成潜在性的破坏因素,信息安全威胁的产生包括人为因素和自然环境因素。信息安全威胁可能是偶然发生的事件,也有可能是人为蓄意制造的时间,包括信息泄露、信息篡改等,这些事件都会导致企业信息的可用性、完整性和保密性遭到破坏,属于对企业信息的恶意攻击。
2.3 网络安全事件
由于网络特有的开放性特点,造成了非法攻击、黑客入侵、病毒传播等海量安全事件发生,信息安全领域对于网络安全的研究也日益重视。根据大量网络安全事件分析来看,企业信息管理系统的应用设计存在着诸多缺陷和弊端,给情报机构的非法入侵提供了极大的可能性。由此,内容分级制度、脆弱性检测技术、智能分析技术已经广泛应用于企业信息系统开发过程中。
3 企业计算机网络安全存在的主要问题
⑴企业分部采用宽带拨号上网的方式与企业总部实现通信传输,这种落后的网络通信方式难以保证数据传输的安全性。企业信息安全级别较高的部门通过互联网实现数据传输的过程中,没有采取任何数据加密措施,非常容易造成数据信息的泄露和篡改,同时,企业信息管理系统的操作应用没有设置明确的管理人员,导致其他非法用户也可以入侵到企业内部网络中,对服务器数据进行窃取和篡改。以上两种网络安全问题都容易造成企业重要数据的泄露,甚至给企业带来不看估计的损失。
⑵随着企业网络规模的日益扩大,在网络边界如果仍然采用路由器连接企业内部网络和外部网络,已经无法适应飞速发展的网络互连技术。企业虽然可以在网络边界的路由器中设置访问控制策略,但是仍然存在来自互联网的各种非法攻击、IP地址攻击、ARP协议欺骗等问题,这表明了企业需要一善可靠的防火墙设备,来对企业网络的数据传输提供有效控制和保护。
⑶由于互联网技术的飞速发展,为企业提供了丰富的信息资源,除了企业日常运营需要使用网络资源,其他工作人员也有可能通过网络获取信息资源,例如使用迅雷、BT等软件下载视音频信息等,网络下载会占用企业大部分带宽资源,严重的会导致系统管理员无法对网络终端的访问情况进行有效管理,或者某一个计算机终端因下载感染病毒而引发ARP欺骗。
⑷随着互联网应用的日益普及,木马病毒的广泛传播,企业员工计算机使用水平参差不齐,不能保证对网络中的有害信息进行有效识别,由此导致了木马病毒在企业内部网络的感染和传播。因此,需要定期对企业数据传输的原始数据流进行病毒查杀和威胁分析,以此起到有害信息过滤的作用,使流入企业内部网络的数据信息能够安全可靠,真正降低企业信息安全风险。同时,企业可以采用网关防病毒产品,在企业内部网络与外部网络处进行隔离保护,当木马病毒出现时可以被拦截在企业内部网络之外,为企业提供可靠的安全边界保护。
4 企业计算机网络安全方案的构建实施
企业总部需要与企业分部,以及其他合作企业之间实现数据传输与交换,企业派往外地出差的员工也需要通过远程网络访问企业总部内网的信息管理系统,因此,不同用户企业总部内部网络的访问有着不同需求,企业必须具有安全可靠、性能较高、成本较低的网络接入方式。由于企业分部大部分与企业总部不在一个城市,在企业总部与企业分部之间铺设光缆线路是极为不现实的;如果租用专用光纤网络通信线路,高额的租赁费用会严重增加企业运营发展的经济负担;如果将企业总部内部网络的应用服务器映射在网关位置,虽然能够方面用户远程访问企业内部信息管理系统,但会给企业网络带来巨大的安全隐患。本文基于以上分析,本文选择利用VPN技术(虚拟局域网)在企业内部网络出口处,虚拟设置一条网络专线,以此将企业总部与企业分部网络进行有效连接,形成一个规模较大的局域网,真正实现了用户远程访问和接入。VPN技术不仅能够满足异地用户对企业总部网络信息管理系统的访问需求,而且充分保证了用户访问的安全性,避免了单点登录技术对企业整个网络构成的安全威胁。
企业在部署上网行为管理设备(SINFOR M5X00-AC)时,应该开启VPN功能,在企业总部内部网络的边界防火墙设备中进行端口映射,同时在企业分部网络中安装上网行为管理设备,并且与企业总部的上网行为管理设备共同利用VPN技术建立虚拟专用网络,在对数据信息进行加密后在互联网上传输。企业在构建虚拟专用网络时,只要在任何一端的连接管理设置中输入对方网络地址,VPN设备就可以自动进行虚拟局域网组建,网络中的任何计算机终端都可以通过虚拟专用网实现数据传输与共享。如果还有其他分部需要加入到虚拟局域网中,则可以通过输入加密的访问WAN扣地址实现。需要注意的是,已将连通的虚拟局域网的内网网段不能完全相同。
企业在部署上网行为管理设备时,由于访问控制策略是信息安全策略的核心部分,也是对网络中数据传输的关键保护措施,由此,需要对接入企业总部网络的用户进行身份认证,根据不同用户的身份授予不同权限,再利用配置逻辑隔离服务器实现不同用户身份对不同应用服务器的接入,从而对企业内部网络中的业务信息管理系统进行访问和使用。同时,安全级别为五级的QoS安全机制能够为企业不同信息系统提供相应的安全服务保障,并且可以按照业务类别划分优先级别,重要的数据信息将会获得优先传输的权限。对用户访问权限的细致划分可以限制非法用户对网络资源的访问和使用,防止非法用户入侵企业内部网络进行破坏性操作,直接对接入企业内部网络的各项访问应用进行管控,真正提高了企业网络系统的安全性。
在企业内部网络部署应用安全产品过程中,需要综合考虑如何完成安全产品的部署策略,才能使安全产品的性能充分发挥,同时,企业内部网络还可以将不同的安全产品集成应用,使其发挥最大功能,充分提高企业信息管理系统的安全性和可靠性。
本文基于信息安全等级指导思想下,对企业内部网络存在的问题进行了分析,并提出了良好的解决方案,包括防火墙的部署、入侵检测设备的部署、上网行为管理设备的部署、防毒墙的部署、企业版杀毒软件的部署等。
5 结论
综上所述,本文在网络信息安全等级保护理念下,将企业内部网络的安全防护的有效性作为最终目标,对企业网络信息安全存在的风险进行深入分析,结合企业实际情况,提出了企业计算机网络安全设计方案,保障了企业总部内部网络与分部网络之间数据传输通信的安全性和可靠性。
[参考文献]
[1]李正忠.电力企业信息安全网络建设原则与实践[J].中国新通信,2013,09:25-27.
[2]王迅.电信企业计算机网络安全构建策略分析[J].科技传播,2013,07:217+209.
篇13
随着信息技术在供电企业中的应用日益广泛,计算机信息网络对供电企业的运行和发展越来越重要。供电企业一直秉持着“双网双机、分区分域、等级防护、多层防御”的信息安全防护措策略,以确保信息系统稳定、可靠、持续运行。由于计算机网络技术是一把双刃剑,其为工作带来便捷、提高工作效率的同时,也存在着一定的安全隐患,给供电企业发展和社会稳定带来了严峻挑战。因此,有必要进一步探讨供电企业信息安全的防护措施,为其日常工作的正常运行奠定坚实基础。
一、供电企业重视信息安全防护的必要性
从技术角度分析,计算机信息技术在供电企业中的应用十分深入,企业上下一切事务的运行都要以计算机技术为凭借,甚至于“牵一发而动全身”。如果信息技术的应用实践出现问题,必然为供电企业的日常运行稳定带来致命性影响。另外,供电企业的工作系统由信息技术构成,作为一种以信息技术为载体的系统,长期运转中必然存在一定漏洞,需定期维护才能维持系统稳定、安全。可见,维护系统信息安全、防护信息损毁,极其重要。
从生产角度分析,供电企业从事的业务主要与“电”有关。“电”对人类社会发展而言极其重要又危险,一旦经营有失,出现纰漏,后果不堪设想。鉴于此,加强信息安全管理就有着一定的必要性,维护信息安全以保障保证相关业务有序运转。
从文化角度分析,安全文化是企业文化的重要一环。如果将企业发展的安全、稳定比作为“船”,安全文化就好比“帆”,只有“帆”完好无损,“船”才能顺利归航。因此,加强信息安全建设利于打造安全文化,为企业安全、稳定发展发展奠定坚实基础,促进供电企业科学、健康发展。
二、供电企业信息安全中存在的问题
第一,系统安全。在我国,供电企业信息系统中使用的设备和操作系统基本来自于国外,常被称之为“玻璃网”,让信息网络存在易扰、窃听的威胁。另外,信息安全网还要受到黑客、木马、病毒等威胁。
第二,系统访问。供电企业虽然设置了用户管理程序,用于限制用户登入,一定程度上为信息安全提供了保障。但是,由于用户权限设置过于简单,灵活性不够,且用户管理不集中,加之用户安全意识不强,以致消弱了用户权限设置的有效性,降低了信息系统安全性。
第三,网络安全。现如今,供电企业的日常事务基本实现了信息化管理,但是易遭受“木马”、“病毒”等软件侵入。另一方面,黑客利用计算机系统、数据库等方面存在的漏洞和缺陷,对数据、信息等进行破坏,导致网络毁坏,用户用不了自己的电脑。
第四,存储介质管理。当前,供电公司一般都使用国家电网移动存储介质管理系统。使用中易出现如下问题。用户习惯于使用初始密码,但初始密码易被破解;经常将数据存在自由区,无保密性而言;如果交叉使用存储介质的话,会导致部分信息失迷,等等。
三、供电企业信息安全防护策略
(一)明确信息安全建设目标
供电企业要制定明确的目标,基于安全基础设施,以安全策略为指导,提供全面的安全服务内容,覆盖从物理、网络、系统、直至数据和应用平台各个层面,构建全面、完整、高效的信息安全体系,从而提高公司信息系统的整体安全等级,为公司的业务发展提供坚实的信息安全保障。
(二)制定整体、统一的信息安全管理策略
供电企业信息安全体系的构建并不仅仅存在于技术层面,应覆盖于物理、网络、系统、数据等各个层面,确保信息安全体系的全面性才能为信息安全提供保障。除此之外,还要建立行之有效的安全管理体系和运行保障系统,为信息安全策略的执行和运转提供可靠的制度支持,与技术防护体系形成互补之势,借以增强技术防护体系的有效性。
(三)强化信安全教育,提高安全意识
安全文化作为企业文化的重要组成,企业建设发展中应视其与生产安全同等重要,着力提高全体员工安全意识。为此,供电企业要制定长效的安全意识培训机制,对各部门的相关人员进行安全知识培训,尤其要特别加强对基层班组和供电所信息用户的教育。定期组织培训、定期进行考核评估,全力贯彻信息安全政策,使全部从事人员清楚明白自身所承担的责任和义务,了解信息安全的重要性。
(四)加强密码管理,改革密码系统
为了保证计算机系统内的信息不被泄露,关键的一步就是密码管理工作,尤其在保障用户信息安全方面。首先,明确告诉用户切记不可使用原始密码、出厂密码,也杜绝使用默认密码,或无密码,降低系统信息泄露的可能性,以便不法之徒通过一些不正当的手段入侵系统。另外,定期更新密码设置,特别是一些重要职员离职后,必须第一时间更改密码,同时禁止账号同用。最重要的一点是,引进先进的密码设置系统和防病毒技术,加强密码防护,避免信息泄露。例如,对重要的信息进行加密处理,切记不可通过企业外网传递文件,关闭计算机共享,严格保证信息的安全性。
(五)注重存储介质管理
在存储介质管理上最重要的一点就是要防止丢失或被盗。为此,建立规范的报废存储介质管理体系,如果出现损坏或其他问题,不可移交给公司外的修补,最好用企业内部相关专业的技术人员。
(六)加强物理安全管理
物理安全管理针对的主要是计算机网络设备和主机。首先,设置专门的计算机机房,放置重要的供电设备和服务器。其次,设置严谨的门禁,严格盘查外来人员。再次,委派专人专职负责管理机房一切事务,专门管理设备检修、运行等事宜。初此之外,建立完善的机房管理制度,为机房管理事务的运行提供规范的管理依据,以保信息安全。
(七)重视运行安全管理
为保障信息安全,供电企业最好进一步加强双网双机建设,简单地说,就是要内网和外网分开建设,不允许存在共通之处,不可混合使用。内网和外网的设备接入要有明显的物理隔离,避免操作失误,造成信息泄露。
(八)加大技术投入力度
在技术上,引用先进的系统访问技术和进侵监测技术,既可防护病毒入侵也可检测系统是否被入侵。同时,进侵监测技术的引入可以全天候监控企业网络系统,分析病毒来源并清除,最大限度地保护系统信息安全。
(九)建立信息安全责任体系
建立信息安全责任体系的目的在于明确责任,让每个工作岗位上的人清楚自身的职责和义务,并认真完成自身的责任。如果出现事故,也可第一时间找出事故责任人,尽快解决故障,使故障得到及时处理。
四、结束语
在信息时代,信息安全对于任何一种企业的发展都是至关重要的,对于供电企业更是如此。为了保证供电企业信息安全,就要从物理、信息、技术、责任等角度建立完善的信息安全防护系统,最大程度为企业信息安全提供坚实的保障。
