企业信息安全服务范文
发布时间:2023-10-12 17:59:17
导语:想要提升您的写作水平,创作出令人难忘的文章?我们精心为您整理的13篇企业信息安全服务范例,将为您的写作提供有力的支持和灵感!
篇1
无论是基础设施、资金、人才还是政策扶持,甚至是项目推介和品牌宣传,软件园区这片沃土都给软件企业带来丰富养分。《中国计算机报》“软件园区”专栏,记录软件企业崛起,见证软件产业发展!
如今,电子取证和计算机法证业务在欧美发达国家和我国香港地区已经相当成熟,除了主要应用于金融行业外,在政府和企业中也有了相当多的应用。IDC 统计显示,2011年全球电子数据取证市场的规模达到18 亿美元,预计2015年中国电子数据取证将达到近10亿元人民币的市场规模。
电子取证:安全不可缺的一环
2012年3月,中国内地和香港地区最高级别的计算机法证技术协会——中国计算机法证技术研究会(CCFC)、香港信息安全与法证公会(香港ISFS)正式授权上海浦东软件园信息技术股份有限公司(以下简称浦软信息)为其华东代表处,这标志浦软信息拥有了国内领先的电子取证平台。
2012年7月,首次移师上海的第八届CCFC计算机法证技术峰会在上海浦东软件园举行。会议期间,由浦软信息投巨资新建并已投入运行的高水准电子数据司法鉴定实验室(以下简称取证实验室)及配套设施受到了海内外参会者的关注和期待。取证实验室包含了计算机鉴定人员从事涉及计算机犯罪案件受理、电子数据勘查、调查取证、数据恢复、密码破解、鉴定分析、证据存储等13个专门区域,并已经与CCFC和香港ISFS做了业务上的对接。
据上海浦东软件园信息技术股份有限公司总经理叶慧介绍,浦软信息将集全公司之力把取证试验室建设成为国内在技术与硬件条件上最卓越的实验平台。浦软信息的取证业务将由单一的取证产品向多样化、个性化服务转变,最终形成以自主取证产品销售、司法鉴定服务和专业取证培训为核心的三位一体的业务模式以及“事前预防、事中响应、事后取证”的整体信息安全解决方案。
公司成立了专业的市场销售团队,通过整体的设计与市场策划来推广取证业务。
如今,浦软信息更希望将已经拥有的平台资源和取证业务推广到信息安全市场较成熟的地区,与更多的业界同行一起培育电子取证市场。叶慧强调,浦软信息作为计算机安全防护领域整体解决方案的提供商,有义务和责任通过自身的努力为社会带来更多的价值,并以此作为自己的使命和社会责任。
取证培训:旨在完善认证体系
工欲善其事,必先利其器。专业取证培训是浦软信息取证业务中很重要的一环。取证实验室研发出许多基于高端技术的取证产品,其精心设计的培训教室拥有各类多媒体设备,能够满足取证技术领域内的各种培训要求,并已经举办过多次各类层次的取证培训。
第八届CCFC计算机法证技术峰会引入了海外专业培训方式,在由香港ISFS开办的研习会上,结合实际案例,对计算机法证技术应用及信息安全防护进行专业指导。
浦软信息之所以花大力气开展取证培训业务,就是预见到取证市场的前景将无限广阔,需要一个成熟的资质认证体系,构筑一个中国取证行业专业、统一的标准。因此,浦软信息规划了取证资质认证培训的发展方向,那就是明确自身的市场地位,完善取证实验室的培训体系和业务,今后将与海内外专业机构合作,继续拓展培训业务,最终得到政府部门和业内对浦软信息取证培训资质认证的认可。
制度创新:确保信息业务拓展
今年2月15日,上海股权托管交易中心正式开张,浦软信息成为首批挂牌OTC(场外交易市场)成员。这对浦软信息来说无疑是一个重要的转折点——浦软信息已经从一家中小型的以产品销售为导向的IT公司转变为一家以IT服务为核心的非上市公众公司。
浦软信息希望通过OTC挂牌交易,在为股东和其他投资者提供更多选择的同时,通过股权的发行和交易使得公司的法人治理结构更加规范和严谨,这对浦软信息未来发展是至关重要的,也是最大的挑战。另外,作为公众公司,浦软信息必须考虑到诸多方面的影响,决策上必须更加谨慎,对内部资源的安排也要考虑得更细致,要有平衡企业资源的能力,包括客户和市场资源,要投入更多的资源来支持和规划新的公司制度和运转。对此,叶慧信心满满。
优秀基因:可持续发展的动力
作为一家还处于成长期的中小型IT企业,浦软信息还有相当大的提升空间,但公司管理层始终保持着危机感,对市场保持高度的敏感,业务上真正做到以客户为导向,技术上不遗余力地投入人力物力。追求“优秀”是浦软信息始终坚持的目标。
何谓“优秀”,叶慧对此做了进一步诠释。
“优秀”体现在专业上,就是要有专攻方向。在信息安全领域浦软信息已经有十几年的经验,这既是公司的优势也是公司的品牌。同时,这种专业还要体现在技术研发的能力上,使之成为浦软信息的核心竞争力。作为一家IT公司,技术是最重要的生产力。
“优秀”体现在人才上,就是把员工视作企业发展中最重要的资产,将管理团队与技术团队作为企业的核心。浦软信息的股权结构中也有员工持股,这体现了公司创始人开放的胸襟。
“优秀”同时也体现在健康上,浦软信息未来的目标是上市。作为公众公司,需要给股东和员工持续的回报,这是相当重要的。作为一家肩负着社会责任的公众企业,体制一定要健康,不能一味盲目地追求增长速度,企业发展方式和公司结构至关重要,这也是企业可持续发展的前提。
IT行业内真正能够屹立不倒的百年老店一定具备“优秀”的基因,而不是纯粹靠包装和粉饰;同样,有了这些“优秀”的基因,一个升级版的浦软信息将从企业级信息安全服务行业中脱颖而出,也就有了底气。
记者手记
人生就是一场修炼
从上海市经济和信息化委员会到上海浦东软件园总部再到浦软信息,叶慧的角色在不断转变,虽然都涉及IT和通信行业,但视角却大不相同。尤其是调任浦软信息后,叶慧从原先站在宏观角度转变为以企业职业经理人的微观角度来审视IT和通信行业,同时还要承受着国有企业职业经理人特有的压力。
篇2
【 文献标识码 】 A 【 中图分类号 】 TP393.08
1 引言
信息安全技术和管理经过不断的发展和改善,已经能够比较有效地解决一些传统信息安全问题,如信息安全风险管理、访问控制,脆弱性管理、加密解密和灾难恢复等。随着信息越来越成为组织的核心资产,保护信息的安全已不再只是局限于技术和日常管理层面的讨论,信息的安全越来越关系到组织自身发展的安全。一次重大的信息泄露事故就能使企业的市值一落千丈。同时,一套合理的访问控制解决方案能够帮助企业快速推出核心产品(尤其是电子商务)和兼并其他企业。当前信息安全发展呈现出新的趋势和要求:(1)信息安全部门逐渐从成本中心转向价值中心,信息安全的各项活动越来越和企业战略紧密相连;(2)企业内部其他部门越来越多的要求信息安全部门提供清晰、可测量的服务来支持业务的运行。
企业的信息安全部门在不断增强其核心影响力的同时,也承担着随之而来的更多责任和挑战。其一是如何将企业战略转化为信息安全计划,将信息安全融入到组织的业务流程中,并且保持信息安全控制措施与企业战略的一致性和可追溯性;其二是如何使信息安全的价值得到认可并在组织内部最大化;其三是如何满足企业内部各部门有计划或无计划的信息安全服务需求;其四是如何确保以一种系统主动和集中统一的方式来管理业务和遵从性需求,并实现清晰的测量和不断的改进。
当前各企业广泛采用的标准或最佳实践有几种:ISO27001:2005,COBIT4.1,NISTSP800或PCIDSSv2.0等。这些标准各有优点,但也有明显的缺憾,如表1所示(缺憾部分用X表示)。
设计本信息安全架构旨在解决上述问题并建立一种高效机制达到如下目标。
* 将企业战略转化为信息安全计划,确保信息安全的可追溯性、持续一致性和简洁性,以降低成本、减少重复和提高效率。将信息安全融入到组织的业务流程中,建立一致性和可追溯性;建立清晰的信息安全架构和愿景,以减少重复和指导信息安全投入和解决方案的实施。
* 基于客户服务理念,信息安全服务价值得到认可,信息安全靠拢业务部门,为信息安全管理和业务管理建立共同语言。
* 全面管理信息安全,满足目前绝大多数法律法规、标准的最佳实际的要求,并具有灵活的可扩展性,当新需求出现后能够将其平滑的融入到现有架构中。
* 系统和集中统一的方式,使信息安全管理可预测和可测量,并不断的改进。
2 信息安全架构设计
2.1 信息安全架构设计所基于的原则
本信息安全架构的设计遵循四大原则。
1) 业务驱动:所有的信息安全目标应该从业务需求中来,从而保证信息安全管理总是做“正确的事”。
2) 整合、统一的架构:现在有数以十计的信息安全相关的法律法规,标准和最佳实践需要去符合或参考,且其各有不同的要求侧重点和优缺点。因此很有必要将所有相关的信息安全关注点整合到一个统一的架构中,以保证所有要求都被满足,同时避免不要的重复。例如,ISO27001关注全面安全控制和风险管理,PCIDSS侧重支付卡环境中技术控制和策略管理等。
3) 系统化思维:运用系统化思维可以帮助组织解决复杂且动态的问题,适应运营中的各种变化,减轻战略上的不确定性和外部因素的影响。例如,需要整合机构、人员、技术和流程;需要考虑安全、成本和易用性的权衡;需要靠持续改进(Plan-Do-Check-Act);需要考虑全面防护和纵深防护。
4) 易用性:信息安全架构的最大价值在于被理解和广泛应用于组织的实践当中。因此,信息安全架构必须易于理解并且实际可操作性要强,应避免太过复杂和晦涩。
2.2 信息安全架构实现
2.2.1 信息安全架构-域试图
基于上面的基本原则,本信息安全架构由三个域组成(如图1所示):治理(Governance)、保障(Assurance)和服务(Services)。
治理(Governance): 信息安全治理域强调战略一致性,风险管理,资源管理和有效性测量。治理域又包括三个子域:愿景与战略、风险与遵从性管理和测量。各子域主要功能如下所述。
* 愿景与战略: 将遵从性要求,信息安全的发展趋势,行业发展趋势和业务战略转化为信息安全愿景、战略和路线图。
* 风险与遵从性管理: 管理信息安全风险使信息安全风险控制在组织可接受的范围内。
* 测量: 监控和测量整体信息安全的有效性并持续提升信息安全对组织的价值。
保障: 保障域侧重于信息安全的全面与纵深防护措施。保障域包含预防、监测、响应和恢复四个部分。各部分主要功能如下所述。同时保护的对象为不同层面的信息资产:数据层、应用层、IT基础设施层和物理层。
* 预防: 实施信息安全控制措施包括管理措施和技术措施,防止信息安全威胁损害组织的信息安全控态。
* 监测: 部署信息安全监测能力监控正在发生或已经发生的信息安全事态。
* 响应:部署信息安全响应体系迅速、高效的抑制信息安全事件。
* 恢复: 建立组织的可持续性能力,但重要信息系统不可用时,可以在计划的时间内恢复。
服务: 服务域显示了面向客户(内部和外部),协作与知识更新对信息安全实践非常重要。服务域包含三个部分:信息安全服务、知识管理、意识与文化。各部分主要功能如下所述。
* 信息安全服务: 信息安全团队应对待组织内部其他部门和对外部客户一样,基于服务基本协议,提供高质量的信息安全服务。
* 知识管理: 知识是信息安全实践和服务的基石。信息安全知识管理包括获取、维护和利用知识去获取最大的信息安全专业价值。信息安全知识应不仅在信息安全团队内部而且在整个组织被共享。
* 意识与文化: 信息安全意识与文化在组织内部建立一个整体的信息安全氛围。一个好的信息安全意识与文化意味着每个人都每个人都了解信息安全,关心信息安全、在日常工作中关注信息安全。信息安全意识与文化对提升组织整体信息安全成熟度和降低信息安全风险至关重要。
2.2.2 信息安全架构-组件试图
为支撑信息安全架构的三个域,本信息安全架构组件融合了不同标准和最佳实践的精华部分,并自成一体,如图2所示。本架构参考的标准主要有如下一些:ISO27001:2005、PCIDSSv2.0、COBIT4.1、COBIT5.0、ITILv3 以及NIST SP-800系列等。
3 信息安全架构在企业内实际应用效果分析
本信息安全架构已被推广和应用到各个行业中,如保险业、银行业、教育和非盈利性机构等。本文选取一个保险企业的案例来说明本信息安全架构给企业带来的积极变化。
背景:此保险公司有3000名员工,计划在加拿大多伦多(Toronto)上市,因此需要符合加拿大和行业的一些法律法规的要求,如Bill198、PIPEDA、PCIDSS等。同时公司高层决定借鉴信息安全管理的最佳实践标准,如ISO27002、NIST SP800、COBIT、ITIL、 FFIEC和 TOGAF等。因本信息安全架构的特点就是融合各法规、标准和最佳实践的要求,因此不需要做任何大的改动的情况下(降低成本)就能应用到此保险公司中。
经过9个月的实际运行,公司进行了各项测量指标重新评估并与实施本信息安全架构前的指标进行了对比分析。
3.1 平衡计分卡(Balanced Scorecard)[10]测评分析
平衡计分卡是衡量信息安全对企业贡献价值的一种分析工具。平衡计分卡包括四个测量项目:对企业的贡献,对愿景的规划,内部流程的成熟度和面向客户。该保险公司在实施本信息安全架构前后分别进行了两次测评。测评方法是由公司高级管理人员和各部门经理对信息安全部门进行评估,0级表示无成绩,5级表示完美,然后取平均值。2011年7月评估结果显示“企业贡献”为2.2,“愿景规划”为2.5,“内部流程”为2.8,“面向客户”为2.1;2012年7月评估结果显示“企业贡献”为4.1,“愿景规划”为3.9,“内部流程”为3.8,“面向客户”为4.1。如图3所示。测评结果表明实施本信息安全架构后企业高层及各部门对信息安全给企业带来的价值的认可度有较为明显提升。
3.2 总体信息安全成熟度级别分析
本文采取的信息安全总体成熟度的评价是基于ISO27002的控制域和CMMI[11]的评估级别。0级是最低级,5级是最高级。该保险公司在实施本信息安全架构前后分别进行了两次自评估。2011年10月实施本信息安全架构前成熟度水平是介于2.0-3.0之间, 2012年10月实施本信息安全架构后成熟度水平是介于3.0-4.5之间,如图4所示。成熟度级别分析结果表明实施本信息安全架构后整体成熟度有较为明显提升。
3.3 独立审核发现点数量分析
第三方机构独立审核是从专业、客观的角度来衡量整体信息安全控制措施,包括管理、技术和流程。审核发现点的数量越多,表明脆弱点越多,存在的风险越大。该保险公司在实施本信息安全架构前后分别邀请用一个第三方审核机构对其进行了全面审核与评估(依据上市公司的管控要求)。2011年9月审核结果显示有4个高风险项,8个中风险项和13个第风险项;2012年9月审核结果显示无高风险项,且只有2个中风险项和4个第风险项。如图5所示。审核结果表明实施本信息安全架构后整体风险水平有较为明显降低。
3.4 信息安全事件发生数量分析
信息安全事件(特别是1级与2级事件)发生的数量标志着信息安全控制措施的全面性和有效性。信息安全事件数量越少,表明整体控制措施越有效。该保险公司统计了实施本信息安全架构前后发生的信息安全事件数量。2011年1月-10月期间有4个一级安全事件(重大),12个二级安全事件(严重),25个三级安全事件和40个四级安全事件;2012年1月-10月期间有1个一级安全事件(重大),2个二级安全事件(严重),10个三级安全事件和16个四级安全事件。如图6所示。信息安全事件数量分析结果表明实施本信息安全架构后安全控制措施的全面性和有效性有较为明显增强。
3.5 鱼叉式网络钓鱼模拟攻击测试结果分析
模拟钓鱼攻击测试是对企业员工整体信息安全意识水平一种比较客观的考核方式。收到攻击(点击链接)的人数越少,表明整体信息安全水平越高。该保险公司采用ThreatSim的模拟攻击测试平台,在实施本信息安全架构前后分别选取了5个分支机构(共200人)进行了模拟攻击测试。测试的主要方法是注册一个与该保险公司类似的网络域名,然后伪造一份看似从信息安全管理员发出的E-mail,此E-mail的大致内容是说该保险公司于近期对相关系统进行了升级,将会影响到原有的帐户和密码,要求终端用户尽快修改密码。此E-mail包含一个链接到修改密码的伪网页。
2011年5月测试结果显示有47%的员工点击了有害链接,点击有害链接的员工中有18%的人输入了密码,点击有害链接的员工中有68%的人完成了在线培训内容;2012年5月测试结果显示有14%的员工点击了有害链接,点击有害链接的员工中有3%的人输入了密码,点击有害链接的员工中有98%的人完成了在线培训内容。如图7所示。模拟攻击测试分析结果表明实施本信息安全架构后该保险公司员工整体信息安全意识水平有较为明显进步。
3.6 信息安全服务客户满意度调查结果分析
客户满意度调查是从被服务客户的角度来衡量信息安全团队的服务能力,以及给公司带来的实际价值。满意度百分比值越高,表明信息安全团队的能力和服务价值越被认可。该保险公司在实施本信息安全架构前后分别对精算部、个人保险部、商业保险部、索偿部、渠道与销售部做了信息安全服务满意度调查。
2011年8月调查结果显示对服务专业质量的满意度为72%,对服务请求响应速度的满意度为46%,对服务态度的满意度为67%,整体满意度为60%;2012年8月调查结果显示对服务专业质量的满意度为95%,对服务请求响应速度的满意度为85%,对服务态度的满意度为92%,整体满意度为88%;如图7所示。客户满意度分析结果表明实施本信息安全架构后企业各部门对信息安全服务价值的认可度有较为明显提升。
4 结束语
现阶段信息安全管理着重在信息安全的风险控制,随着信息安全管理角色的转变,信息安全需要跟多的与组织战略结合,为组织创造更多的价值,并通过提供信息安全服务使组织内部各部门享受到信息安全给组织带来的价值并认可这些价值。当前被广泛采用的一些标准和最佳实践有其优点,但同时无法满足一些新的挑战。目前缺乏一种高效可执行的信息安全架构来将企业战略转化为信息安全计划、基于客户服务理念使信息安全服务价值最大化以及全面系统化管理信息安全。本文针对上述问题提出的一种面向企业战略和服务的信息安全架构。通过将本信息安全架构应用到实际的企业中,验证了本信息安全架构能够为企业提供更多的价值、增强客户满意度、提升整体安全成熟度和员工信息安全意识水平。
参考文献
[1] International Organization for Standardization, International Electrotechnical Commission. ISO/IEC 27001:2005 Information Technology - Security Techniques - Information Security Management Systems - Requirements. Switzerland: ISO copyright office, 2005.
[2] IT Governance Institute. Control Objectives for Information and related Technology 4.1,USA: IT Governance Institute, 2007.
[3] National Institute of Standards and Technology, U.S. Department of Commerce. NIST Special Publication 800 series.
[4] PCI Security Standards Council LLC. PCI DSS Requirements and Security Assessment Procedures, Version 2.0. 2010.
[5] National Security Agency Information Assurance.
[6] Solutions Technical Directors. Information Assurance Technical Framework (IATF) version3.0. 2010.
[7] IT Governance Institute. Control Objectives for Information and related Technology 5.0,USA: IT Governance Institute, 2012.
[8] Sharon Taylor, Majid Iqbal, Michael Nieves, 等. Information Technology Infrastructure Library , England: Office of Government Commerce, ITIL Press Office, 2007.
[9] Federal Financial Institutions Examination Council. IT Examination Handbook, information security Booklet. USA: FFIEC, 2006
[10] The Open Group's Architecture Forum. The Open Group Architecture Framework version 9.1, 2012.
[11] Howard Rohm. Using the Balanced Scorecard to Align Your Organization. Balanced Scorecard Institute, a Strategy Management Group company, 2008.
[12] Software Engineering Institute, Carnegie Mellon University. Capability Maturity Model Integration (CMMI) Version 1.3. USA: Carnegie Mellon University, 2010.
[13] STRATUM SECURITY. Proactive Phishing Defense. 2012.
篇3
中图分类号:TP309 文献标识码:A 文章编号:1674-7712 (2012) 14-0027-01
随着现代社会科学不断进步,企业的信息化建设也在稳步推进。然而,支持企业网络化运营的信息系统却暴露出越来越多的问题,尤其是企业信息安全问题更是引起了社会各界的广泛关注,由此,对于企业信息系统安全性进行度量是目前亟待解决的问题,也是保证企业信息安全的基础。
一、信息安全管理度量的基本原理
(一)度量目标的明确。度量目标影响着安全度量采用的指标参数和安全基线,也是一个企业实施信息安全度量的动机,度量目标可以分为两类,一类是长期度量目标,另一类是短期度量目标。企业信息安全的长期度量目标包括对信息安全的发展进行分析判断、对信息安全进行有效控制、为信息安全管理提供必要支持等;企业信息安全的短期目标包括对安全项目投入后的收益、为短期信息安全管理提供支持等。
(二)度量指标的确定。度量指标的确定是根据企业度量目标和企业信息安全的实际需求得出的,在选取度量目标的过程中要遵循两个重要原则,一是定性与定量相互结合的原则,二是可操作性原则。但是,在企业信息安全度量的过程中经常遇到多种因素,这就使得部分度量指标可以做到量化,而部分度量指标是非量化的,企业信息安全度量建立的数学模型也应该能够满足量化计算,否则,很有可能导致由于度量指标无法计算而得不到最终有效结果。
(三)度量制度的制定。对企业信息管理系统进行安全度量之前需要建立完善的信息安全度量模型,对于建立专业人员队伍、对人员进行专业培训、确定信息安全度量时间等等,都需要一套完整的信息安全度量制度来进行支持。
二、企业信息系统安全管理度量的意义
对企业信息安全系统进行安全度量主要是为企业信息系统的安全指明方向,安全度量是需要数字进行支持的,但是,数字在任何情况之下都会存在部分偏差,我们需要不断地努力改正,才能使得安全度量更为完善可靠,才能够通过安全度量达到对企业进行风险管理的目的,不断提高企业信息系统的稳定性和可靠性。企业通过风险管理可以加强预防措施,降低信息安全事故的发生概率,企业风险管理是为信息系统决策提供服务的,而对企业信息系统进行安全度量则是为风险管理提供服务。由此,我们要通过将企业信息风险进行量化来达到对企业信息系统的风险进行管理的目的。
对于企业来说,进行信息安全度量能够帮助企业找到信息安全问题所在、理解安全风险的危害、明确安全管理的弱点等,并且针对这些问题提出进一步的改进措施。
通过对企业信息系统安全管理的度量,能够了解企业信息系统中存在的风险,并且针对相应的风险问题提出解决方法,去除企业信息系统中存在的安全隐患,这就需要一套完善的企业信息系统安全度量方案,并且要保证这个度量方案能够正确实施,这样才能够将企业信息系统中存在的安全隐患问题全部消除,解决了企业网络化运营中存在的风险问题,为企业的发展决策提供有力支持。
三、信息系统安全管理度量数据模型
为了能够保证企业安全管理度量方案能够有效实施,需要一个数据模型来提供安全威胁、风险对策、资产度量的数量值。
图1 企业安全控制逻辑模型
图1是企业信息技术安全控制的逻辑模型,表述的是对策、威胁和暴露作为整个信息系统的控制措施之间的影响,而对策、威胁和暴露作为三个相互影响的因数显示在块状图表中,威胁指的是企业信息系统中可能发生的安全事故,可能对企业的资产造成严重破坏,而且企业资产的脆弱性会使得资产趋向于被某个威胁攻击,或者使某个威胁攻击能够成功。威胁则利用了企业资产的脆弱性使得资产最终暴露,对策是为了防止威胁发生,或者减轻威胁发生时对企业信息系统带来的破坏和影响。
四、企业信息系统安全管理度量方案研究
(一)覆盖和控制。覆盖和控制是用来度量企业在进行安全体系的扩展和延时的时候其范围和面积的大小,通常情况下,企业制定的安全计划的目的都是能够保证企业信息安全能够可持续发展,但是,现实情况经常发生的是实施部门与被实施用户之间相互配合不够,而覆盖和控制的度量能够帮助企业管理者清楚明了安全计划与实际实施中存在的差距。覆盖指的是安全控制应用到获得资源的目标群之间的一个特定范围,覆盖的度量目的是测量企业安全部门执行命令的能力。
(二)可靠性度量。企业信息系统可靠性度量包括两个部分,一是系统正常运行的时间,二是系统停机的时间。系统停机时间指的是企业信息系统的计算资源,包括服务器、软件程序、设备运行时间、设备是否正常运行等等,系统的停机时间通常被分为计划停机时间和意外停机时间两类,计划停机时间指的是由于企业信息系统在某段时间内需要安全管理人员进行日常维护工作时的停机时间,包括信息系统的数据备份、程序升级等一系列事务性工作,信息资源暂时无法提供有效服务,而意外停机时间经常是因为系统软件错误、突发灾难等不可预见的因素造成。
五、结论
企业信息系统的安全度量是企业进行信息安全管理的重要环节,企业信息系统的安全度量是收集系统中安全威胁的过程,其中关键因素包括质量指标、基线、模型和方法等等,安全度量是一个极为复杂的过程,在企业信息安全保障体系中的作用显得日益重要。
参考文献:
篇4
【关键词】企业信息化;信息安全问题;原因;对策
新时期下,信息化技术在各行业中运用日渐深入,给企业现代化建设与快速发展带来了无限动力。企业信息化建设已成为我国经济信息化建设能否成功的关键所在,也是提升企业自身市场竞争力与企业升级进步的重要保证和标志[1]。但是,企业信息化建设过程中不可避免的出现信息安全问题,给企业正常生产经营带来诸多不利影响。因此,加强企业信息化建设中信息安全管理,已成为现代企业经营管理的一个至关重要的工作。
1企业信息化概述
所谓的企业信息化,指的是实现企业的资金流、物流、作业流、信息流的数字化、网络化管理,实行企业运行的自动化和企业制度的现代化[2]。企业信息化建设涉及了企业生产经营中的各个部门,其主要利用现代化信息技术,通过完善企业内外网络信息系统,实现对企业内外知识与信息资源的开发。可见,建设企业信息化体系,不但可以及时有效的提供各种数据信息给企业决策层,也为企业未来规划设计提供参考依据,而且还有利于企业满足瞬息万变的市场需求,为企业市场核心竞争力的提升带来动力。
2当前企业信息化建设中信息安全问题
企业信息化建设与发展为企业持续、健康、稳定发展发挥了显著作用,但同时也存在着诸多信息安全问题,具体分析主要有以下几方面[3]:
(1)当前,绝大多数企业缺乏完善的安全防御系统,导致企业内部使用的信息系统易遭受外部网络系统的攻击,引发企业信息资料被他人截获、篡改与伪造等问题,甚至企业信息系统中出现通信线路、硬盘设施以及其他文件系统遭恶意破坏现象,上述问题的发生不但致使企业信息系统无法正常运行,而且其内部机密信息易发生泄漏,造成企业严重的社会经济损失。
(2)针对邮件系统攻击防不甚防。在企业信息系统中电子邮件具有重要的作用,通过电子邮件接收与传送,极大的方便了企业内部间与外部间信息交流与沟通。然而,电子邮件安全问题也日益突出,典型的如电子邮件病毒、垃圾邮件、机密信息泄露以及电子邮件炸弹等,给企业信息传输带来了巨大安全隐患。因此,电子邮件安全问题不可忽视。
(3)漏洞攻击日益严重。按照漏洞问题发生原因可分为软件漏洞和协议漏洞两种,其中软件漏洞主要是受外部不法分子攻击软件自身存在的漏洞,造成企业信息泄露等问题;而协议漏洞则主要是由于TCP/IP协议自身在安全机制方面存在的诸多漏洞问题导致,外部不法人员通过攻击TCP/IP协议漏洞,致使企业信息系统遭受破坏。目前情况,很多企业对自身信息系统缺乏成熟的漏洞检测手段和能力,往往事发后才采取补救措施。
(4)是Web服务安全问题突出,根据Web服务流程,其发生安全问题的主要组成包括Web服务端安全问题、浏览器客户端安全问题两种。其中,Web服务端安全问题主要是企业Web主机遭受外部不法分子侵入,导致企业保密信息遭窃或者企业部分信息遭受非法篡改等;浏览器客户端安全问题则是企业浏览器客户端遭外部非法分子侵入,致使部分机密信息与数据遭窃等。
3导致企业信息化建设中信息安全问题因素
企业信息化建设中信息安全问题发生受诸多因素影响,具体分析主要有以下几方面[4]:
(1)目前,绝大多数企业在信息化建设过程中,对于信息安全问题重视度严重不足。一方面,受传统经营观念影响,企业管理层偏重于对企业生产经营中的有形资产给予关注与重视,而忽略了企业知识与信息资料等无形资源,导致在企业信息安全管理方面各项投入严重不足,进而造成信息安全问题日益凸显;另一方面,多数企业在面对信息安全问题时,存在着盲目乐观现象,认为信息安全问题不至于导致企业正常生产经营,使得信息安全管理无法上升至企业发展规划战略之中,进而造成信息安全问题得不到及时有效解决。
(2)由于企业信息化建设在我国尚处于起步阶段,各方面配套管理制度不够完善,特别是缺乏健全的企业信息安全管理体制。受此影响,企业信息化建设中信息安全问题一方面无法得到有效的预防措施,另一方面是一旦发生信息安全问题,无法采取及时有效的补救与解决对策。同时,由于缺乏科学、合理、有效的企业信息安全防护策略,使得企业信息管理人员缺乏必要的安全防护意识与业务素质能力,致使企业信息安全防护软硬件工作质量与效率明显不足。上述两个因素,导致企业无论是从人员配置,还是资金与技术投入方面都严重不足,受企业信息管理人员业务素质能力不足、信息安全技术方法落后以及配套的资金缺乏等影响,企业信息安全防护的措施、手段偏低,造成企业信息化建设存在着严重安全隐患。
4提升企业信息化建设中信息安全对策
针对当前企业信息化建设中存在的信息安全问题,为加强企业信息安全管理,提升企业信息安全保障,可通过采取以下几方面对策,具体有[5]:
(1)转变传统企业信息化建设观念,在企业内部管理层从上至下加强对企业信息安全的重视,并树立正确的安全意识。一方面,通过组织各种信息安全管理培训等,增强全体企业员工信息安全意识,确保企业保密信息不外漏;另一方面,逐步加大企业信息化建设中信息安全管理各项资金、技术、人力投入,并建立科学、合理、有效的企业信息安全防护策略,保障企业信息系统安全稳定。
(2)不断的推进网络信息技术的发展与运用,促进企业组织结构网络化的实现,同时引进先进的安全防护技术,确保企业信息化系统安全稳定运行。任何网络信息系统都存在着或大或小的安全漏洞问题,而保证其不受外部不法分子侵入的一个关键方法就是安全防护技术的运用。通过选用先进的安全防护技术,可以有效的提高企业信息系统抵抗外来攻击,避免企业信息遭受窃取、篡改甚至破坏等,对于保障企业持续、健康、稳定发展具有显著作用。
(3)结合企业信息化建设实际情况,建立健全企业内部信息系统管理体制。一方面,针对信息安全问题,应建立科学、合理、规范的信息安全管理体制,保证企业信息系统安全运行;另一方面,建立健全企业安全风险评估机制,针对不同系统找出影响其安全的因素和漏洞,并制定出最佳的对策,降低企业信息安全风险;此外,加强相应的网络管理,防止外来不法分子通过网络侵入企业信息系统。
(4)根据新时期企业信息化建设需要,加强企业信息技术人才、信息管理人才队伍建设,为企业信息安全管理奠定坚实的人才基础。一方面,在企业内部,加强信息技术人才培训,提高企业内部相关人才业务素质能力;另一方面,在企业外部,采取有效措施,积极招聘人才,引进具有先进信息技术型人才;此外,建立健全企业信息安全管理用人机制,激发员工工作积极性,提高工作质量与效率。
5小结
总而言之,企业信息安全事关企业信息化建设是否成功,对于企业持续、健康、稳定发展具有至关重要的作用。因此,应提高企业信息安全管理意识,增强企业信息安全管理机制,促进企业信息安全管理工作质量与效率,保障企业信息化建设顺利开展。
参考文献
[1]毛志勇.企业信息化建设的信息安全形势与对策研究[J].科技与产业,2008,8,(1):43~45.
[2]纂振法,徐福缘.浅析企业信息化建设的意义、问题与对策[J].吉林省经济管理干部学院学报,2001,3:24~28.
[3]谢志宏.企业信息化建设中的信息安全问题研究[J].企业导报,2014(06):132~133.
篇5
关键词:
供水企业信息集成系统;等级保护;信息安全
供水行业对国计民生很重要的一个行业,供水企业的业务性质要求以信息的整体化为基本立足点,集中管理所有涉及运营的相关数据,针对供水企业运行的特殊要求,进行集中的规划和架构,将不同专业的应用系统进行整合,最终形成完整的供水企业综合信息平台。[1]而集成系统中最重要的一个要求就是信息安全。
随着大数据时代的到来,网格、分布式计算、云计算、物联网等新技术相继推出,对供水企业信息集成与应用也提出了更高的要求。而随着应用的扩展,应用中存在着大量的安全隐患,网络黑客、木马、病毒和人为的破坏等将大量的安全威胁带给信息系统。根据美国Radicati公司于2015年3月的调查报告,截至2014年12月,网络攻击已经为全球计算机网络安全造成高达上万亿美元的损失。而且随着网络应用的规模进一步上升,计算机网络信息安全威胁造成的损失正在呈几何级数增长。根据2015年的中国网络安全分析报告,2014年报告的网络安全攻击事件比2013年增加了100多倍。2014年,搜狗由于网络黑客攻击导致搜索服务在全国各地都出现了长达25分钟无法使用。2014年7月,某域名服务商的域名解析服务器发生了网络黑客的集中式攻击,造成在其公司注册的13%的网站无法访问,时间长达17个小时,经济损失不可估量。因此,从信息安全的角度,要对供水企业信息集成系统进行防护,降低信息安全事故的发生的概率,降低其危害,是本文需要研究的内容。
1当前供水企业信息集成系统安全防护的现状和存在的问题
伴随着科技的不断发展,供水企业的信息化建设也得到了很大的发展,主要是从深度和广度两个层面做进一步拓展。典型的供水企业信息集成系统涵盖了生产调度系统、销售系统、管网信息系统、财务管理系统、人事管理系统、办公自动化系统等子系统。其中多个系统数据需要接受外部访问,存在大量的安全隐患。目前,威胁到供水企业信息安全的风险因素主要分为三个大类:1)人为原因,如恶意的黑客攻击、不怀好意的内部人员造成的信息外泄、操作中出现低级错误等。2)数据存储位置位置的风险。可能由自然灾害引发的问题,缺乏数据备份和恢复能力。3)不断增长的数据交互放大了数据丢失或泄漏的风险。包括未知的安全漏洞、软件版本、安全实践和代码更改等。
2有关分级防护的要求
尤其是供水企业信息集成系统中,存在大量涉及公民个人隐私的信息,也存在像生产调度这样涉及国计民生的信息。因此,需要按照国家有关信息安全的法律法规,明确企业的信息安全责任。提升供水企业信息管理区内的业务系统信息安全防护。依据《信息安全等级保护管理办法》(公通字[2007]43号)第十四条,信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。定级标准按照国家标准《信息系统安全等级保护定级指南》(GB/T22240—2008)实施,根据等级保护相关管理文件,信息系统的安全保护等级分为以下五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种:1)造成一般损害;2)造成严重损害;3)造成特别严重损害。
3分别防护实施步骤
根据有关法律法规,建设完成并投入使用的信息系统,其有关使用此系统的单位需要对其系统的等级状况做定期的测评。供水企业要遵照要求选择具有资质的测评机构来对管理信息区的业务系统做等级保护的测评工作。其所得到的结果如下表1所示:通常情况下,供水企业信息系统中不会出现第四级和第五级的系统。根据测评结果,有必要对供水企业内部的局域网进行系统化整改。具体的整改内容包括两项主要内容:细化各业务系统服务器的物理位置;按照需求设置信息安全区域。根据供水企业信息集成系统的具体实际,主要有等级包括三个业务区域,以及一个公共业务区和测评业务区。按照上述原则对供水企业信息集成系统服务器做物理划分如图1所示。不同等级的系统服务器针对不同级别的信息安全区进行设置。等级为一、二、三的业务区分别安装着对应的服务器,而公共业务区域的服务器主要是DNS服务器或者是域服务器。公共业务区服务器主要为基础服务提供非业务系统服务,不需要进行保护分级。测评业务区提供是投入正式使用前的测试服务器。
依据表1的测评结果,将安全区域进行细化表2所示的就是企业管理信息区,其主要业务系统对安全区域存放问题的展示。根据表2得到的结果,可以将信息安全设备存放在不同信息区域边界内,以此达到服务器分级防护目的。信息安全设备设置在信息安全区域边界,也就是局域网与信息安全区域之间的连接部。信息安全设备主要是防火墙、查杀病毒、攻击防护、服务防护禁止、授权等。对于不同区域边界的信息安全的部署建议,供水企业要遵照各自的实际情况做周密的设置。供水企业管理信息安全区域边界防护表见表3。将信息安全防护设备部署在所在的区域边界内,如此可以初步实现对供水企业管理信息区的信息安全防护。
4结束语
随着大数据的发展,对供水企业信息集成系统在数据的交互和应用方面会提出更高的要求,也大大加强了安全防护措施的重要性和迫切性。在安全防护措施基本到位的前提下,还需要加强信息审计,及时发现和补救系统缺陷,加强数据库安全防护,维护管理系统的隐患。
参考文献:
篇6
【中图分类号】TU714 【文献标识码】A 【文章编号】1672—5158(2012)08—0255-02
0.引言
随着信息技术的不断发展以及市场竞争的不断激烈,企业信息安全建设已经成为提高企业竞争力的重要途径,杜绝信息泄露可以避免巨大的经济损失。虽然大多数企业在信息安全管理方面采取了较多的措施,但是信息安全问题仍然频发,对于企业的经营活动带来巨大的损失。加强企业内部的计算机管理,提高对于信息安全的认识程度,保证信息数据库的安全,避免信息泄露的发生已经成为现阶段企业信息化建设亟待解决的管理问题。
1.企业信息化建设信息安全影响因素分析
(1)信息系统实体安全。信息实体主要包括用于企业信息化建设的计算机、网络连接、服务器等媒介硬件设施,对于信息实体安全影响因素主要包括火灾、水灾、失窃或者是其他事故造成设备硬件的损坏,从而造成企业信息库数据安全出现问题。
(2)信息系统运行安全。信息系统的安全是指为了保证企业信息数据库的安全,采取各种措施对系统运行进行安全保护。由于信息数据库有可能受到非授权的访问、泄露、数据纂改或者是被其他非法程序控制的威胁,因此确保信息系统运行安全主要是保证信息数据库的完整、保密以及时时可用性。
(3)信息系统管理人员安全责任意识。管理人员在日常工作中的安全管理意识、专业操作水平以及法律意识等均会对企业信息数据的安全产生影响。信息安全管理人员的日常管理工作责任心以及工作方式方法,对于保证信息数据库的安全十分重要。
2.企业信息安全管理问题分析
目前由于管理制度以及软硬件设施等一系列的问题,企业数据库破坏以及重要数据信息泄漏的现象时有发生,严重影响了企业的正常生产经营活动,通过分析发现影响企业信息化建设信息安全的问题主要由以下几方面:
(1)企业内部移动存储设备管理疏松,缺乏安全保密管理制度。由于许多企业在日常管理过程中,移动存储设备使用较多,员工可以随意对企业内部的各种信息资料进行备份,企业用于经营活动的客户信息、产品设计、财务管理等各项信息极易造成泄漏,带来巨大的信息安全损失。部分企业由于对于信息安全管理认识程度不足,企业内部信息安全管理缺乏必要的规章制度,安全管理职责权限不清,信息安全漏洞较多。
(2)对于内部信息共享控制不严格,信息安全管理权限混乱。由于企业在生产经营过程中为了提高生产经营效率以及加强企业内部各部门之间的沟通联系,对于一些设计企业销售计划、客户信息以及生产计划等文件采取共享的措施,因此企业员工的流动或者其他管理不当均会造成企业信息的泄露。
(3)信息权限管理混乱,企业的中介服务体系稳定性较差。对于加密的授权访问,权限管理则成为保护企业信息安全的重要因素。但是由于企业在信息安全管理过程中体系混乱,操作权限不清晰导致经常出现影响信息安全的非授权访问。而且对于部分中小企业由于信息化建设采取对外委托的方式,而中介第三方由于稳定性难以保证,随时更换或者退出的第三方极易造成企业有价值信息的泄漏,影响企业信息安全建设。
(4)信息管理安全防范体系不健全,缺乏针对信息安全管理的专业技术人才。虽然部分企业已经认识到信息化管理的重要性,并在企业网络内设置了必要的安全设备。但是缺乏一系列的安全管理机制,在信息安全管理方面缺乏行之有效的整体规划与具体落实措施。此外,由于大部分企业在信息安全管理工作中将重点放在软硬件设施上,而忽略了对于信息安全技术人员的培养,而且为了减少人力资源支出成本,信息安全管理人员少工作任务重,管理权限集中化程度高,影响了信息化建设的安全管理。
3.企业信息建设信息安全管理措施
(1)加强对于信息库硬件设备的保护管理。首先应保证计算机等硬件设备具有安全的工作环境,做好计算机设备的防火、防潮、防盗措施,并避免强磁环境对信息数据可能造成的损坏。其次,在对各种硬件设备进行检修时,硬组织企业内部相关技术人员进行监督管理,对于需要外送检修的设备,则应提前进行数据加密处理。
(2)提高企业内部的信息安全管理意识。企业信息安全管理对于提高企业竞争力,避免企业经济损失具有重要的意义。在企业的正常管理过程中,加强信息安全宣传工作,使员工充分认识到企业信息安全管理的重要性,并熟悉企业相关信息数据保密的规则制度,提高企业的整体信息安全防范水平。
(3)加强信息安全操作管理人员的管理。在企业信息日常管理过程中,应加强对于业务操作以及数据存取控制代码的管理。系统管理操作代码的获得应经过企业管理者授权,系统管理人员在进行企业相关信息数据库的整理以及维护过程中,必须通过授权进行。系统管理人员离开工作岗位后,相关责任人应及时更换管理员操作代码。
(4)加强企业信息数据库的密码与权限管理。对于涉及到企业信息数据库安全的密码,应分别设置用户密码以及操作密码,并提高密码的安全程度,及时定期更换登陆操作密码。对于组成企业内部局域网络的服务器、路由器等设施的设置管理工作,应严格按照相关管理规定进行设置。
(5)明确企业信息数据库管理制度。对于企业重要的数据应存放备份数据,并采取异地存放的方式对备份数据库进行管理。对于废弃或者需要销毁的数据信息,应严格依照程序采取逐级审批的方式,避免数据信息的泄露。需要进行数据恢复工作时,应严格按照相关技术手册,并对恢复的数据进行验证确认数据的完整可用。
(6)加强企业信息数据机房的管理。相关人员出入信息数据库机房进行数据查阅以及提取工作时,应经由相关主管人员的授权,并登记进入。在日常管理过程中,定期对硬件设备进行保养,同时研究违章操作在信息数据机房安装外部其他软件。
参考文献
篇7
1.2防火墙技术随着网络技术的不断发展,虽然对于信息安全问题已经不断的得到加强,但是一些信息的不安全因素也在逐级的提高。有一些黑客或者是病毒木马也在不断的入侵,而这些不安全的因素会极大的威胁到电子科技企业信息的安全。而针对这种情况,一种比较有效的防护措施就是防火墙技术的使用。这种技术可以有效的防止黑客的入侵以及电脑中的信息被篡改等情况的发生。这样就能够有效的保障电子科技企业信息的安全。加强企业信息基础设施和重要信息系统建设,建设面向企业的信息安全专业服务平台。重点开展等级保护设计咨询、风险评估、安全咨询、安全测评、快速预警响应、第三方资源共享的容灾备份、标准验证等服务;建设企业信息安全数据库,为广大企业提供快速、高效的信息安全咨询、预警、应急处理等服务,实现企业信息安全公共资源的共享共用,提高信息安全保障能力。
2解决电子科技企业信息安全问题的方法
2.1构建电子科技企业信息安全的管理体系如果要想有效的保障电子科技企业的信息安全,除了要不断的提高安全技术水平,还要建立起一套比较完善的信息安全管理体系。这样才能使整个信息安全工作更加有条不紊的进行。在很多电子科技企业当中,最初所建立的相关信息制度在很大程度上都制约着信息系统的安全性。如果一旦安全管理制度出现了问题,那么一系列的安全技术都无法发挥出来。很多信息安全工作也无法正常进行下去。因此,严格的信息安全管理体系对于信息安全的保障具有十分重要的作用。只有当信息安全管理形成了一个完善的体系,那么信息安全工作才能够更加顺利的进行,同时也能够大大的提升信息安全的系数。
篇8
中图分类号:P9.T3308 文献标识码:A 文章编号:1009-914X(2016)21-0400-01
1、 引言
随着信息化建设的发展,信息安全越来越多的受到人们的重视,企业信息安全重点面临的问题主要表现在[1]:1)网络受到外部的恶意攻击,部分单位无终端接入控制措施,使企业的正常业务无法开展或相关重要数据被盗取;2)网站受到黑客攻击,由于部分掌握网络技术的不法人员查询到破解网站所存在的漏洞,加以利用并篡改网站信息及获取网站管理权限,使得网站陷入瘫痪;3)信息的监管不利产生不良的影响,通常情况下信息没有主管部门负责审核导致监管不到位,那么不良信息就可能由于工作人员的疏忽而上传到网站上,造成不良影响;4)计算机病毒的危害,相关系统不及时更新补丁和升级,受到病毒入侵并加以利用,篡改应用系统信息或获取管理权限,使得应用系统丢失重要信息。
当前,有关信息系统的安全评价虽然存在着多种多样的具体实践方式,但在目前还没有形成系统化和形式化的评价理论和方法。评价模型基本是基于灰色理论(Gray Theory)或者模糊(Fuzzy)数学,而评价方法基本上用层次分析法AHP[2](Analytic Hierarchy Process)或模糊层次分析法Fuzzy AHP[3]将定性因素与定量参数结合,建立了安全评价体系,并运用隶属函数和隶属度确定待评对象的安全状况。上述各种安全评估思想都是从信息系统安全的某一个方面出发,如技术、管理、过程、人员等,着重于评估网络系统安全某一方面的实践规范。在操作上主观随意性较强,其评估过程主要依靠测试者的技术水平和对网络系统的了解程度,缺乏统一的、系统化的安全评估框架,很多评估准则和指标没有与被评价对象的实际运行情况和信息安全保障的效果结合起来。
大型企业信息安全管理体系的研究,就是为了寻找一个科学、合理的管理体系,并根据该体系和方法对大型企业的信息安全状况和水平进行评价,对信息安全管理绩效进行考核。
2、 大型企业信息安全管理体系的内涵
通过管理体系的应用,将对大型企业信息安全产生非常重要的作用。一是可以对企业信息安全的水平做出客观的反应,认识企业信息安全存在的不足之处,发挥考评体系的指导作用,引导企业“信息安全”工作健康科学发展;二是可以为企业信息安全的建设指明方向,为信息安全的发展提供有力支撑;三是可以帮助企业管理者建立起一套科学的信息安全管理系统,有效控制信息化活动的进程,提高信息安全级别,减少因信息安全事件引起的损失,有利于正确引导和规范企业的信息化建设,指导企业科学发展具有重要的意义。
3、 大型企业信息安全管理体系的主要做法
为了大型企业信息安全管理体系的建立,提出了管理体系的目标:对于信息安全方面出现的问题,达到防范目的;对于信息安全工作进行查漏补缺,加强管理;通过评估体系的考核,落实相关信息安全文件、推进信息安全工作,为企业信息安全的建设指明方向,同时注重管理体系整体的时效性,根据信息安全发展的不同阶段进行及时更新。
1) 建立大型企业信息安全体系
信息安全体系总体设计。信息安全体系设计共分为三级,包含9个一级指标,14个二级指标,27个三级指标。一级指标和二级指标为共性指标,三级指标为数据采集项。一级指标包括:网络安全管理、环境安全管理、应用系统安全管理、数据安全管理、终端安全管理、操作安全管理、网络信息安全、移动信息化安全、服务器扫描情况。一级和二级指标结构图如下:
2)信息安全考评指标的权重设计
指标权重理论思路。具体权重根据德尔菲法[4]、层次分析法,结合政策导向确定。
管理体系的指标权重确定方法设计过程中,选取两组技术、管理等方面的专家,其中一组专家根据各指标在企业信息化中的重要程度,确定各指标的相对重要性,采用层次分析法确定各指标的权重。另外一组专家根据各指标在企业信息化中的重要程度,对各指标按百分制进行赋值,确定各指标的权重。综合两组专家的意见,初步确定各指标的权重,再组织专家研讨会,最终确定各指标的权重。
企业信息安全考评指标总分计算方法:
I=Σ(Pi*Wi) (1)
I表示指标体系的总得分;Pi表示第i个指标的得分,各指标得满分都是100分;Wi表示第i个指标的权重,所有指标权重的和为100%。
3)建设大型企业信息化评价管理系统
为了实施信息安全措施体系,以信息安全体系、信息安全文件和考评制度为基础,研发包括信息安全在内的大型企业信息化评价管理系统。通过使用该系统,将减轻信息化管理部门的负担,填报和汇总数据的效率显著提高,最为突出的是以上报数据为基础,可以自动、实时地形成各种统计、分析图表,从而完成以往需要信息化管理人员几天才能完成的大量统计工作,大大减轻了信息化管理部门的工作强度,增加了信息化管理部门对新情况快速反应能力。
系统整体架构由数据库层、框架服务层、应用逻辑层、界面表现层组成,系统部署了tomcat下运行的I@Report和BI@Report作为框架服务层,并在此基础上开发了业务系统。
系统主要实现了如下功能:
编码同步、基层权限管理、评价初始化、基层初评、数据提交、部门权限管理(含单位、指标项)、管理部门复评、信息稽核、数据计算、统计管理、查询管理、决策模型。
建立统一的数据报送平台,提高企业信息整合水平。
建立在线交流及公告平台。
系统根据建立的数学模型进行综合分析,可自动、实时地形成各种统计分析图表、报告等,例如:信息化评级、信息化水平评测报告。
4、 结束语
通过大型企业信息安全管理体系的实施,使企业信息化水平评估体系更加完善,在考评信息化建设水平的同时,又对信息安全水平等级有所提升。
参考文献
[1] 周学广,刘艺.信息安全学[M].北京:机械工业出版社,2003.
篇9
中图分类号:TP3 文献标识码:A 文章编号:1671-7597(2013)12-0129-02
1 网络信息安全现状
现代企业的发展离不开信息网络,随着Web2.0时代的到来,越来越多的应用开始在互联网上流行起来,信息网络对提高企业生产效率、节约人员成本、获得产品信息等方面做出了巨大贡献,企业开始更为重视自身信息化的建设。然而,企业信息化速度的加快为企业信息安全工作提出了挑战,在网络发展的背后却存在着一个永恒的话题――信息安全。随着企业的安全生产、经营管理等工作越来越依赖信息网络,网络上的病毒、黑客以及其他不可预见的因素都对企业信息安全带来巨大威胁,在日趋多样化、专业化的攻击面前使得企业信息安全正面临严峻的形式和挑战。
近年来,网络安全问题频发,世界上每年遭受网络攻击的政府或者企业越来越多,2011年卡巴斯基实验室针对全球企业进行的IT风险调查显示,全球至少61%的企业遭遇过恶意软件的攻击。在互联网发源地―美国每年就有大约5万多起黑客攻击的事件,甚至信息安全工作防护严密的美国政府网站也不能幸免,更普通的企业。互联网具有开放性和无国界的特点,这就使得对网络攻击事件具有全球普遍性,我国也不能幸免,据国家计算机病毒应急处理中心的统计报告显示,我国每年有80%的企业、政府机关的网络系统曾经遭受过病毒或黑客的攻击。瑞星公司在2012年的《中国信息安全报告》中指出,我国共有超过7亿网民被病毒感染过,2009年上半年国内被挂马的网页数量突破2亿。例如2011年6月28日,新浪微博出现了一次比较大的XSS攻击事件,20:14,开始有大量带V的认证用户中招转发蠕虫;20:30,中的病毒页面无法访问;20:32,新浪微博中hellosamy用户无法访问。据统计,中国互联网用户每年因为网络安全损失被“黑掉”的钱财高达76亿。
上述网络信息安全问题的出现为国企业敲响了警钟,需要下大力气加强网络信息安全的防范和设计。
2 企业信息安全策略设计
2.1 病毒防护和查杀策略
病毒是信息安全的杀手,从病毒发作的情况来看,病毒的攻击目标没有特定性,而且越来越隐蔽。从个人网站到企业网络,无不受其所害,曾经有网络公司的防火墙被不明身份的黑客攻破了,牵扯到大量的用户信息,用户在该支付平台注册的电子邮箱以及登录密码面临极大风险。面对各式各样且不断发展演变中的病毒,企业对信息系统的日常维护和管理就显得尤为
重要。
企业网络部门工作人员要定期给办公司电脑操作系统存在的安全漏洞打补丁,还要给每个客户端都设置可靠的防毒软件、防火墙、漏洞扫描系统、日志系统,加强入侵检测和补丁管理,对企业遭受到的病毒攻击进行集中分析,掌握企业计算机系统中存在的安全隐患,采取有效的措施和方法防范由于病毒感染导致企业重要信息出现泄漏或者破坏。同时网络技术人员也要对公司所有电脑进行防病毒软件升级工作,确保网络内所有服务器和终端计算机都安装防病毒软件,将杀病毒软件设置成为自动升级状态,及时更新病毒特征码和系统补丁,防止由于个人疏忽造成没有及时升级带来病毒库的安全威胁,保证企业信息系统的正常运行。
另外对于企业而言,无论是服务器还是终端计算机都要加强防火墙设置,对外部入侵行为或者其他不安全的行为进行拦截,实际运行时,可以根据企业信息系统的需要,将一些服务器中不使用的端口关闭,尽量避免进行一些具有安全隐患的服务,防止利用这些端口或者服务进行外部攻击的行为发生。当然,网络技术人员要对不同端口的作用十分清楚,避免将企业信息系统正常运行的关闭,造成企业信息系统不能正常运行。
2.2 保证企业信息系统的平稳运行
保护企业信息系统的平稳运行,维护主要业务系统的安全,是现代企业网络信息安全的基本要求。企业信息系统的平稳运行包括多个方面,有操作登记的分配、用户账户与口令的保护、个人访问权限、用户身份验证等多个方面。我们需要做好以下工作。
1)做好重要资料备份工作。当服务器或者硬盘发生故障时,重要的企业数据会受到严重威胁,但往往公司简单的数据安全、信息安全体系对企业数据恢复、服务器数据恢复束手无策。为了保证信息系统的正常运行和业务的正常开展,专业的企业数据恢复、服务器数据恢复格外重要。大多数企业采用备份手段来解决日常的数据安全问题,企业在购买安装和配置服务器时,通常采用常见的两台服务器“一用一备”。企业网络技术人员将重要信息备份在一些光盘、U盘或者移动硬盘上,然后将其放置在不同的地方,避免同时受损害或者丢失,最大限度的保障企业信息安全和数据的完整性。
2)加强对关键业务系统的管理。关键业务系统应该具有最高的网络安全措施,其安全需求主要包括:访问控制,确保业务系统不被非法访问,保证数据不被网络内部破坏,安全预警,对于破坏关键业务系统的恶意行为能够及时发现、记录和跟踪等。2011年,韩国现代资本、韩国农协银行都遭受电脑黑客袭击,电脑网络瘫痪了三天,数以万计的客户受影响。这次攻击事件就是以IT运维部门的用户机位跳板实施的,背后原因是因为这些银行对最高级别权限管理不足,也没有基本的隔离安全机制,笔记本都可以直接连入外网,黑客通过窃取内部合法用户的权限进行非法活动。可见,企业应该加强对用户权限的管理;另外,在必要时进行网络隔离甚至物理隔离是必然的要求。同时,也要加强平时对于合法用户的行为审计,防范合法权限被滥用或被利用等情况的发生。
3)加强企业网络安全平台建设。目前很多公司推出的安全平台,就是依靠安全芯片为载体,通过软硬件的结合,可以为用户提供更加私密的加密存储空间,这样就可以将客户信息、账户信息等高度机密的信息安全存放起来。根据不同的场景需求,还可以通过安全平台搭建内部机密信息共享平台或工作组,比如某公司在进行专项会议时或者涉及商业机密文件共享时,可以建立起相对封闭的局域工作网络,让各部门的总监或管理层在同一局域网内共享机密信息,其他员工则没有查看服务器或者重要信息的权限。同时,还能够避免通过邮件、病毒、木马等非法手段盗取数据,造成不必要的损失。
2.3 健全有效的信息安全管理制度
没有安全管理,就没有信息安全。真正的网络安全实际上靠的不是这个或那个安全产品,而是自身固有的安全意识。寻求解决安全问题的根本方法在于不仅要具备安全可信的办公电脑,也要建立更加完善的数据安全管理制度。真正实现企业的信息安全管理仅仅依靠技术手段是不够的,必须对规章制度上加强企业人员的信息安全防范意识。
1)做好员工的培训的管理。信息只是一种编码形式,人才是信息的操作者,每个环节中安全隐患的最终来源都是人。为了能够加强企业工作人员的信息安全防范意识,企业要加强对公司员工的系统培训,从计算机基本知识到信息安全防范的具体方法都要进行细致讲解,针对一些员工在日常使用计算机过程中不规范行为进行及时矫正,针对一些年纪较大的、对计算机不是十分熟悉的老员工,企业网络技术人员要现场演示操作,让员工养成良好的使用习惯。同时要甄选出有丰富计算机操作经验的人员负责每个部分电脑的日常清洁、维护和管理,负责对部门电脑病毒库的升级、电脑的内部清理等工作,确保企业信息安全。
2)加强系统运行环境和维护管理,要加强对机房电源、空调系统、消防系统、监控系统、门禁装置等基础设施的维护和管理,确保其可靠、正常的运行。严禁非系统管理人员随意进入机房,严禁在机房内抽烟。严格落实机房巡视、系统巡检、运行测试、操作审批、机房出入登记、信息安全故障上报等工作制度。严禁在机房的服务器上浏览网页、随意下载软件、打游戏等。
3 结束语
总之,对于现代企业而言,信息技术的发展给企业信息安全带来巨大隐患,企业的信息安全也越来越受到信息安全部门和企业管理者的重视。信息安全工作是一个全方位的系统工程,每个企业面临的信息安全环境不同,企业应该结合自己实际情况,从思想上、技术上、管理上多管齐下,采取有针对性的信息安全策略,才能最大限度的降低信息安全威胁、保证企业信息安全,为企业健康长远发展保驾护航。
参考文献
[1]陈泽徐.浅析企业网络安全策略[J].电脑知识与技术,2009(09).
[2]沈传案,王吉伟.企业网络安全解决方案[J].计算机与信息技术,2008(06).
[3]冼沛勇.企业网络安全解决方案[J].石油工业计算机应用,2004(02).
[4]牛金才.企业网络安全解决方案浅析[J].煤,2003(02).
[5]石亦歌.企业网络安全解决方案[J].安防科技,2003(03).
篇10
在分布式处理、并行式处理及先进网络计算科学技术不断发展的基本前提下形成的一种新型计算模式即云计算,其面对的是超大规模的分布式氛围,主要发挥着将供应数据储存及网络服务的作用,并且具体的实现平台、服务于应用程序都是在整个云计算环境下得以实现的。云计算能够把全部的计算资源融合在一起,通过具体软件促使自动化管理、无人为参与,并且能够提供各种各样的认为服务。云计算的基本原理是把相关的计算逐一分布在多个分布式计算机当中,在远程服务器的具体计算当中可以促使电力企业信息处于正常的运行状态,有利于企业将资源更改为具体的需求得以运用,并且能够按照实际需求对计算机进行访问。云计算基本原理为一场历史性的转变创举。
2目前我国电力企业信息安全结构状况
2.1电力企业信息网络结构
随着电力企业逐渐进入网络自动化及智能化阶段,为此,目前电力企业信息安全结构一般是以公共网络与专用网络有效综合的一种网络结构形式,其中,专用电力信息网络指的是在因特网进行连接的基础上形成的一种电力企业信息网络及调度信息网络相互综合的形式。
2.2电力信息安全系统结构
以信息中的信息性能及信息业务为出发点将电力企业信息划分为三种层面:自动化、生产管理、办公室自动化及电力企业信息管理。其中,办公室自动化及电力企业信息管理是与电力企业信息网络结构紧密联系在一起的,形成的是一个安全工作区域,在这个安全区域当中SPDnet支撑的一种自动化,可具备监控性能的实时监控,譬如,配电自动化、调度自动化、变电站自动化等,同时,安全生产管理区域同样也是SPDnet来作为基本支撑的。
3云计算环境下电力企业信息安全技术的运用
3.1数据传输-存储安全技术
在整个电力企业信息当中,涵盖了大量的有关电力企业发展的资料及所有数据信息,譬如:电力企业的财务信息、用户信息、经营管理信息等等,所以,对于整个电力企业而言,数据的传输-存储安全技术在其中发挥着极为重要的作用。一般情况下,云计算环境下,严格加密技术可促使电力企业信息数据在具体的传输过程中将会处于非常安全的一种状态下,主要是由于云计算能够利用加密技术将那些潜存的非法访客完全的拒之门外,预防数据传输过程中发生窃取的事件。从电力企业信息数据存储技术的角度进行分析,其涵盖了数据恢复、数据分离、数据备份、数据存贮位置的选择等几方面内容,而云计算环境下,电力企业便能够利用私有云这一高度集中的存储技术把相关的数据信息以基本性能、重要系数为依据来选择不同的存贮方位,这样可以促使不同种类数据间隔离的实现,并且可起到预防数据信息泄露的作用。云计算的运用可促使电力企业信息能够实现实时备份,使得电力企业信息在有突况出现的时候能够在第一时间达到相关数据的及时恢复。
3.2权限认证及身份管理安全技术
云计算能够成功的预防非工作人员使用非法用户对电力企业信息系统进行访问,这主要是由于在私有云的内部全部的企业信息都能够实现禁止访问技术,电力企业信息管理工作者能够通过私有云进行身份管理、权限认证技术的相关设置,按照企业工作人员的级别及具体的规定对于相关数据及应用业务作出明确的规定及权限的划分,这样可成功的预防了非法访问的事件发生,同时实现合法用户根据个人权限来进行企业信息的具体操作。
3.3网络安全隔离技术
对于整个电力企业信息来讲,云计算实则是互联网当中的一种内部性系统,通常情况下,电力企业信息网络能够从网络安全的被动保护层面来促使入侵检验技术、防火墙设置等安全防火技术得以实现,可是,云计算环境下,电力企业信息安全采用的是防火墙技术、物理隔离技术、协议隔离技术等先进的科学技术,其中,防火墙技术是对于企业外部网络及电力企业信息网络而创建的一道安全性保护屏障,通过对个人信息的严格检测、审核,将具有破坏性入侵的访客实施的一种有效防护,能够最大限度上将那些越过防火墙对电力企业信息安全网络及正常运行造成破坏的数据流进行完全性的屏蔽;物理隔离技术指的是在云计算环境下对于电力企业内外部网络实施的一种分割,这样能够有效的将内外部网络系统的连接状态完全阻断;协议隔离技术指的是在云计算环境下利用网络配置隔离器对内外部网络进行的一种隔离,在协议隔离技术的支撑下,内外部网络是完全分离的一种状态,而唯有云计算环境下的电力企业信息进行相互交换的过程当中,内外部网络才能够通过协议由隔离的状态转变为正常连接状态。
4结语
通过上文针对云计算环境下电力企业信息安全的浅析,我们从当前电力企业信息安全的状况进行分析,云计算环境下用户信息安全依然是一个较为严峻的问题,一部分问题并未得到根本性的解决,在今后的工作当中,需要针对云计算环境下用户信息安全供应相应的帮助,这样才能够促使用户信息安全水平得到较为显著的提高。我们坚信,在未来的工作当中,云计算环境下的电力企业信息将会更加安全,用户信息的安全性能将会得到最大程度上的保障。
作者:李袖 高阿朋 郭宝财 张伟 单位:国网内蒙古东部电力有限公司电力科学研究院
参考文献
篇11
2电子科技企业安全技术的阐述
2.1电子信息的加密技术
所谓电子信息的加密技术也就是对于所传送的电子信息能够起到一定的保密作用,也能够使信息、数据的传递变得更加安全和完整。电子信息的加密技术是保障电子科技企业信息安全的重要保证。加密技术也主要分为对称以及非对称两类,对称的加密技术一般都是通过序列密码或是分组机密的方式来实现的。这其中还包括了明文、密钥、加密算法以及解密算法五个基本的组成部分。而非对称加密与对称加密也存在一定的差异,非对称加密必须要具备公开密钥和私有密钥两个密钥,同时,这两种密钥只有配对使用,这样才能解密。因此加密技术对于电子信息的安全具有很大的保障。如果在发送电子信息的时候,发送人是使用加密技术来发送邮件的,那么有人窃取信息的时候,也只能够得到密文,不能得到具体的信息。这样就大大加强了信息传送的安全性。加快推进国内关键行业领域信息系统的安全评估测试。在安全评估方面,主要针对主机安全保密检查与信息监管,采取文件内容检索、恶意代码检查、数据恢复技术、网络漏洞扫描、互联网网站检测、语意分析等技术,评估分析重要信息是否发生泄漏,并找出泄漏的原因和渠道。
2.2防火墙技术
随着网络技术的不断发展,虽然对于信息安全问题已经不断的得到加强,但是一些信息的不安全因素也在逐级的提高。有一些黑客或者是病毒木马也在不断的入侵,而这些不安全的因素会极大的威胁到电子科技企业信息的安全。而针对这种情况,一种比较有效的防护措施就是防火墙技术的使用。这种技术可以有效的防止黑客的入侵以及电脑中的信息被篡改等情况的发生。这样就能够有效的保障电子科技企业信息的安全。加强企业信息基础设施和重要信息系统建设,建设面向企业的信息安全专业服务平台。重点开展等级保护设计咨询、风险评估、安全咨询、安全测评、快速预警响应、第三方资源共享的容灾备份、标准验证等服务;建设企业信息安全数据库,为广大企业提供快速、高效的信息安全咨询、预警、应急处理等服务,实现企业信息安全公共资源的共享共用,提高信息安全保障能力。
3解决电子科技企业信息安全问题的方法
3.1构建电子科技企业信息安全的管理体系
如果要想有效的保障电子科技企业的信息安全,除了要不断的提高安全技术水平,还要建立起一套比较完善的信息安全管理体系。这样才能使整个信息安全工作更加有条不紊的进行。在很多电子科技企业当中,最初所建立的相关信息制度在很大程度上都制约着信息系统的安全性。如果一旦安全管理制度出现了问题,那么一系列的安全技术都无法发挥出来。很多信息安全工作也无法正常进行下去。因此,严格的信息安全管理体系对于信息安全的保障具有十分重要的作用。只有当信息安全管理形成了一个完善的体系,那么信息安全工作才能够更加顺利的进行,同时也能够大大的提升信息安全的系数。
3.2利用电子科技企业自身的网络条件来提供信息安全服务
一般来说,电子科技企业都拥有自己的局域网,很多企业也可以通过局域网来相互连通。因此,电子科技企业应该充分的利用这一特点为自身的企业提供良好地信息安全服务。通过局域网的连通,不仅能够在这个平台上及时的公布一些安全公告以及安全法规,同时还可以进行一些安全软件的下载,为员工提供一些关于信息安全的培训。这样不仅能够为企业之间的员工提供一个安全的互相交流的平台,同时还能够很好的保障企业信息安全。针对企业主机安全保密检查与信息监管,采取文件内容检索、恶意代码检查、数据恢复技术、网络漏洞扫描、互联网网站检测、语意分析等技术,评估分析重要信息是否发生泄漏,并找出泄漏的原因和渠道。
篇12
关键词 信息安全;管理;意识
中图分类号TP39 文献标识码A 文章编号 1674-6708(2012)70-0171-02
从安全软硬件出发,大多安全实施厂家已有较成熟的方案,一旦项目实施完成后,企业往往容易忽略人员意识、IT审计、后续管理等因素对信息安全的影响。本文就如何解决企业信息安全短板,从管理角度进行探讨。
1 管理安全的含义和IT审计的特点
从大的方面来说,信息安全是指信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。直接反映到企业来说,就是要通过实施一整套适当的控制措施实现企业各业务系统正常运行,确保安全目标的实现。本文从管理角度探讨企业的信息安全,可以简称为管理安全,它是指建立并有效落实企业规章制度、安全管理规定等,来保证系统安全生存与运行。
企业安全管理的规章制度是否运行有效直接关系到企业安全目标能否保障,在此管理过程中需要引入IT审计。IT审计重点内容之一就是发现信息系统的潜在风险,可以说企业信息中心对潜在的IT风险是比较重视的。IT审计相对技术而言,更多侧重于管理,比如在安全策略方面更侧重于访问授权的控制,以及定期核查是否按相关信息化制度办事,还有就是有无进行过适当的渗透去检验系统的可靠性等。实施IT审计能够提高企业信息系统的安全性,能够客观评价信息系统安全现状。
2 从管理角度看企业中存在的主要信息安全威胁
1)企业日常信息化管理中,会碰到以下一些现象,如:明知计算机病毒无孔不入,却不安装杀毒软件;个人认证的物品(如员工门禁卡)随意借用他人;进入门禁系统之后,对他人尾随不理不问;移动存储介质外借他人,却不知可能造成感染病毒或泄密;打印服务器、扫描服务器等公用电脑临时存放许多信息却不删除。
从上述现象中可以得知,企业员工信息安全意识淡薄会产生较多安全漏洞。据《2011年度中国企业员工信息安全意识调查报告》显示,30%的受访者从来没有接受过信息安全培训,只有30%的企业会进行定期的信息安全培训[1];
2)企业信息安全项目做的深度是与企业信息化发展水平相关的,一般企业会根据本身的信息化水平发展程度分步骤进行。企业初始阶段会通过封USB端口,不配置光驱等形式防止电子文档传播至外界。现阶段已有部分企业关注电子文档防泄密的软件,同时配以相应的制度,从一定程度上能达到预期的效果。项目实施后往往会发现效果难以保持,因为企业缺少相关的信息安全审计人员,在审计工作不到位的情况下,安全软件的审计功能无法体现其价值;
3)企业通过安全软件对电子文档进行管理,在实物管理方面缺乏措施。办公室文印区域是企业信息泄密的源头之一,外单位人员进入企业进行交流时,通常会经过办公室文印区域,员工打印文件后如不及时拿取,容易将技术资料留在在打印机上,给有心之人获取,容易造成泄密。计算机、笔记本等办公设备故障外移送修,送修前未经过审核批准,不对硬盘做处理,上述这些日常办公现象存在着信息安全漏洞[2]。
3 信息安全短板的对策措施——强管理
尽管企业防火墙、防毒墙等安全硬件设施或安全软件都较齐全,但是采取恰当的管理措施也能有效的提高信息安全水平,最终有效地保护企业信息资产。本文总结了以下几种管理方法并加以说明。
1)提高员工安全意识,关键是做好培训。一方面企业信息中心要组织好讲师及培训素材。培训素材可结合生活中的信息安全案例或者通过动画情景介绍等较生动的方式,寓教于乐,让每个企业员工明白数据等无形资产的重要性,理解数据信息安全是企业的生存发展壮大的法宝。在培训方式上,可采用循序渐进的培训方式,不急于求全,可从最基本的启用标准的计算机密码(如大小写字母+数字)、离开座位时使用屏保等开始培养。后续可陆续完善公司规章制度,同时认真落实,要让员工真正懂得防止泄密的办法;
2)通过IT审计严把信息安全管理关。企业做好IT审计,从以下几方面入手:一方面是人才培养,企业审计部门需要引入类似IT审计师的角色,尽管现阶段大部分中小企业未能做到这一点,但可参照国际上通用的认证培训——国际信息系统审计师,把企业信息管理人员送出外培,提高兼职型IT审计人员的技术水平及能力;另一方面是IT审计人员职责要明确,从实践上看,IT审计人员工作内容包括查看企业人员是否按照已有的规章制度进行审批手续、定期将审计报表反馈给高层,监督整改落实的情况及效果验证,使企业自上而下重视信息安全管理;
3)让安全软件的审计功能发挥作用。市场上的电子文档防泄密系统提供日志审计功能。日志系统主要用来跟踪和记录用户对受控文件的操作、记录管理员设定的策略和操作。企业系统管理员要对文件日志、部门日志、计算机日志、申请审批日志等进行定期检查,同时发挥IT审计人员的监督作用,才可让安全软件的审计记录发挥作用;
4)利用刷卡认证方式管理文档输出。办公类信息安全管理方面,涉及到各类业务系统的账户管理、文档输出管理、存储设备管理等。现有企业一般是通过制度约束,但效果不明显,这里结合新的管理方式对文档输出管理进行说明。一般我们不会一直等在打印机旁,没有把打印好的资料及时拿走。而所打印的资料大多是技术图纸、商务合同、计划等资料,让人不经意地看到相关内容及敏感信息。要减少因遗忘而将已输出的文档滞留在文印设备上,可结合IC刷卡认证的方式,企业通过为文印设备配备一些读卡器,只有当刷员工卡时,文档才从文印设备输出,员工可即刻拿走。
总之,企业信息安全是一个多点因素的难题,涉及技术、管理、应用等方面,随着企业信息化的发展,各类信息系统及软件资产不断增多,从管理角度保障信息安全,增强企业员工安全意识,成为企业成长的重中之重。
篇13
随着社会经济的不断发展,网络时代逐渐进入人们的生活,计算机被运用在了各个领域中,成为促进社会发展的重要媒介。而与此同时,企业信息安全问题也逐渐凸显出来,严重阻碍了企业的可持续发展,因此,在网络时代背景下研究企业安全风险和控制具有重要意义。
1 企业信息安全相关概述
1.1 信息安全的含义
迄今为止,对信息安全依然没有一个统一和公认的定义。但是从国内外研究来看,对其主要存在2种说法:一种指的是具体信息安全技术系统的安全;而另一种则指的是某些特定的信息体系的安全。上述2种定义主要站在静态的角度上阐述了信息安全的基本层面,但是信息系统和网络的影响决定了信息安全是一个动态的改变,其主要是防止企业信息遭到恶意泄露、破坏、更改[1]。信息安全的最终目的是向合法的对象提供安全、可靠的信息。
1.2 信息安全在企业中发挥的重要作用
企业信息作为企业的宝贵资源,保证企业信息的安全性对企业的生存和发展具有重要作用,主要体现在以下3个方面:一是企业信息安全是保障企业正常运行的基本前提。在网络时代背景下,企业信息安全的内容更广泛,再加上现代企业制度的不断建立和完善,越来越多的企业依靠信息数据库开展各项工作,例如:对于市场情况的分析、做出重大决策等等。二是保障企业信息安全是提高企业市场竞争力的必备条件。随着市场经济的不断完善,企业面临的竞争也越来越激烈,在这种形势下,企业要想获取市场竞争优势就需要依靠信息安全来实现。三是企业信息安全作为企业发展战略中重要的组成部分,而企业实施各项战略主要是通过自身的经营活动、财务信息等开展的,这些数据也能够将企业的战略实施方法以及下一步计划详细地反应出来,因此,如果企业的信息安全无法得到保障,那么企业要实施各项战略难度也很大。
2 网络时代下企业信息安全风险分析
2.1 缺乏高度的信息安全风险意识
在网络时代的浪潮下,很多企业都在逐步加强自身信息安全的建设,通过加大资金投入、创新技术等措施来保障自身的信息安全,然而,对信息风险的控制并非仅仅依靠技术就可以实现,更重要的是人们要树立起信息安全的风险意识。但是从当前来看,还有很大一部分企业的领导者、管理者、员工缺乏对信息安全风险的高度重视,主要表现在:个别人甚至片面地认为信息安全仅仅是网络部门的责任,跟自身没有多大关系;二是有个别企业领导者认为对信息安全的宣传过度夸张,遭受网络攻击的概率小,一般不会发生在自己身上;三是个别企业没有建立信息安全风险管理体系,再加上企业缺乏具体的故障系统,导致企业信息安全遭到风险时,员工往往手足无措,虽说有些企业针对自身的信息安全制定了一系列规章和制度,但是由于缺乏针对性和操作性,导致这些制度无法得到真正落实。
2.2 应用系统的安全性不高
企业要实现信息化建设的目的,少不了各种应用系统作支撑,但是从实际情况来看,很多企业还存在着应用系统的安全性不高等问题,进而导致企业在数据传输和存储等方面存在漏洞。如此容易被一些病毒、恶意软件窃取,实现非法访问,进而引发企业信息丢失或者泄露等安全风险。另外,很多企业应用系统的安全方模式也较为单一,绝大部分主要是采用“口令”的方式进行认证,无法实现对信息安全全方位的防范。另外,企业设置的密码过于简单、操作不规范等等都会增加应用系统安全的风险。
2.3 技术设备和设施的作用发挥不足
个别企业为了防范信息安全风险,针对一些重要信息设置了安全设备,但是由于操作条件和参数设施不够合理,无法将这些设备的作用充分发挥出来。还有很多企业没有通过建立工作日志来对安全设备、设施的运行情况进行监控,进而不能根据企业的经营情况对信息安全进行风险控制,更无法采取有效措施保障企业风险管理。
3 网络时代下控制企业信息安全风险途径分析
3.1 加强信息安全教育,提高信息安全风险意识
由于在企业信息安全控制中,提高员工的信息安全意识是保证企业信息安全的决定性因素,因此,企业应该加强对员工的信息安全教育,帮助员工树立起信息安全风险意识,例如:企业可以利用一些重大节日开展关于信息安全的演讲比赛、征文比赛,也可以通过建立适当的激励制度以及开展培训活动等途径来加强员工对信息安全重要性的认识,进而提高自身的信息安全风险防范意识和观念。
3.2 加强信息化建设,设置信息安全管理部门
在企业信息化建设中,信息安全作为重要的基础,企业要强化自身的内部控制,就应该落实信息安全的建设工作。加强信息化建设首先需要企业将信息安全纳入安全管理范围内,进而突出信息安全建设管理的重要地位;然后不断健全信息安全的责任制度,争取形成信息安全联动管理机制,确保信息安全管理的有效性;最后,在企业中设置信息安全管理机构,该部分的主要职能为企业信息安全建设、管理以及员工的信息安全教育培训工作等,从而为企业的信息安全风险控制创建一个良好的内部环境[2]。
3.3 运用新技术,加强信息安全风险防范
当前控制信息安全风险常见的主要有VPN技术和防火墙技术:(1)VPN技术。VPN主要指的是在公共网络的虚拟专用网络中建立一个临时的安全链接,在通常情况下,对VPN内部进行扩展可以实现远程操作,建立一条分公司、商业合作商和供应商跟公司内部网络安全联系,从而确保信息交换的安全性,保证数据传输的安全性。(2)防火墙技术。防火墙也被称为访问控制系统,主要是通过对网络做拓扑结构和服务类型上的隔离来保障网络安全。运用防火墙技术可以保证企业的内部网络免受外部网络的侵占,并阻断非法访问的外部网络进入企业内部网络,保证企业信息和资源的安全。
4 结 语
总之,网络时代的产生为企业发展创造了新的模式和发展契机,但与此同时,企业的信息安全也面临着很大的威胁,在很大程度上制约了企业的可持续发展。要实现对企业信息安全风险的控制,首先应该找准企业信息安全的风险点,然后采取对应措施,如:加强信息安全教育、加强信息化建设、运用新技术等几个方面来控制信息安全风险。
