企业信息安全防护体系范文
发布时间:2023-10-09 17:42:56
导语:想要提升您的写作水平,创作出令人难忘的文章?我们精心为您整理的5篇企业信息安全防护体系范例,将为您的写作提供有力的支持和灵感!
篇1
【中图分类号】TP309【文献标识码】A【文章编号】1672-5158(2013)07-0498-02
引言
随着电力企业不断发展,信息化已广泛应用于生产运营管理过程中的各个环节,信息化在为企业带来高效率的同时,也为企业带来了安全风险。一方面企业对信息化依赖性越来越强,尤其是生产监控信息系统及电力二次系统直接关系到电力安全生产;另一方面黑客技术发展迅速,今天行之有效的防火墙或隔离装置也许明天就可能出现漏洞。因此,建设信息安全防护体系建设工作是刻不容缓的。
1 信息安全防护体系的核心思想
电力企业信息安全防护体系的核心思想是“分级、分区、分域”(如图1所示)。分级是将各系统分别确定安全保护级别实现等级化防护;分区是将信息系统划分为生产控制大区和管理信息大区两个相对独立区进行安全防护;分域是依据系统级别及业务系统类型划分不同的安全域,实现不同安全域的独立化、差异化防护。
2 信息安全防护系统建设方针
2.1整体规划:在全面调研的基础上,分析信息安全的风险和差距,制订安全目标、安全策略,形成安全整体架构。
2.2分步实施:制定信息安全防护系统建设计划,分阶段组织项目实施。
2.3分级分区分域:根据信息系统的重要程度,确定该系统的安全等级,省级公司的信息系统分为二级和三级系统;根据生产控制大区和管理信息大区,划分为控制区(安全I区)、非控制区(安全II区)、管理信息大区(III区);依据业务系统类型进行安全域划分,二级系统统一成域,三级系统独立成域。
2.4等级防护:按照国家和电力行业等级保护基本要求,进行安全防护措施设计,合理分配资源,做好重点保护和适度保护。
2.5多层防御:在分域防护的基础上,将各安全域的信息系统划分为边界、网络、主机、应用、数据层面进行安全防护设计,以实现纵深防御。
2.6持续改进:定期对信息系统进行安全检测,发现潜在的问题和系统可能的脆弱性并进行修正;检查防护系统的运行及安全审计日志,通过策略调整及时防患于未然;定期对信息系统进行安全风险评估,修补安全漏洞、改进安全防护体系。
3 信息安全防护体系建设探索
一个有效的信息安全体系是在信息安全管理、信息安全技术、信息安全运行的整体保障下,构建起来并发挥作用的。
3.1 建立信息安全管理体系
安全管理体系是整个信息安全防护体系的基石,它包括安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理五个方面,信息安全组织机构的建立尤为重要。
3.1.1建立信息安全管理小组
建立具有管理权的信息安全小组,负责整体信息安全管理工作,审批信息安全方针,分配安全管理职责,支持和推动组织内部信息安全工作的实施,对信息安全重大事项进行决策。处置信息安全事件,对安全管理体系进行评审。
3.1.2分配管理者权限
按照管理者的责、权、利一致的原则,对信息管理人员作级别上的限制;根据管理者的角色分配权限,实现特权用户的权限分离。对工作调动和离职人员及时调整授权,根据管理职责确定使用对象,明确某一设备配置、使用、授权信息的划分,制订相应管理制度。
3.1.3职责明确,层层把关
制订操作规程要根据职责分离和多人负责的原则各负其责,不能超越自己的管辖范围。系统维护时要经信息管理部门审批,有信息安全管理员在场,对故障原因、维护内容和维护前后情况做详细记录。
(1)多人负责制度 每一项与安全有关的活动必须有2人以上在场,签署工作情况记录,以证明安全工作已得到保障。
(2)重要岗位定期轮换制度 应建立重要岗位应定期轮换制度,在工作交接期间必须更换口令,重要技术文件或数据必须移交清楚,明确泄密责任。
(3)在信息管理中实行问责制,各信息系统专人专管。
3.1.5系统应急处理
制定信息安全应急响应管理办法,按照严重性和紧急程度及危害影响的大小来确定全事件的等级,采取措施,防止破坏的蔓延与扩展,使危害降到最低,通过对事件或行为的分析结果,查找事件根源,彻底消除安全隐患。
3.2 建立信息安全技术策略
3.2.1物理安全策略
物理安全策略的目的是保护计算机系统、网络服务器等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击;确保计算机系统有一个良好的工作环境;防止非法进入机房和各种偷窃、破坏活动的发生,抑制和防止电磁泄露等采取的安全措施。
3.2.2 网络安全策略
网络安全防护措施主要包括以下几种类型:
(1)防火墙技术。通过防火墙配置,控制内部和外部网络的访问策略,结合上网行为管理,监控网络流量分配,对于重要数据实行加密传输或加密处理,使只有拥有密钥的授权人才能解密获取信息,保证信息在传输过程中的安全。
(2)防病毒技术。根据有关资料统计,对电力信息网络和二次系统的威胁除了黑客以外,很大程度上是计算机病毒造成的。当今计算机病毒技术发展迅速,对计算机网络和信息系统造成很大的损害。采用有效的防病毒软件、恶意代码防护软件,保障升级和更新的时效性,是行之有效的措施。
(3)安全检测系统。通过专用工具,定期查找各种漏洞,监控网络的运行状况。在电力二次系统之间安装IDS入侵检测软件等,确保对网络非法访问、入侵行为做到及时报警,防止非法入侵。
3.2.3安全策略管理
对建的电力二次系统必须在建设过程中进行安全风险评估,并根据评估结果制定安全策略;对已投运且已建立安全体系的系统定期进行漏洞扫描,以便及时发现系统的安全漏洞;定期分析本系统的安全风险,分析当前黑客非法入侵的特点,及时调整安全策略。
3.2.4 数据库的安全策略
数据库的安全策略包括安全管理策略、访问控制策略和信息控制策略。但数据库的安全问题最主要的仍是访问控制策略。就访问控制策略分类而言,它可以分为以下几种策略。
(1) 最小特权策略: 是让用户可以合法的存取或修改数据库的前提下,分配最小的特权,使得这些权限恰好可以让用户完成自己的工作,其余的权利一律不给。
(2) 数据库加密策略: 数据加密是保护数据在存储和传递过程中不被窃取或修改的有效手段。
(3)数据库备份策略:就是保证在数据库系统出故障时,能够将数据库系统还原到正常状态。
篇2
中图分类号:TN915.08
网络信息安全的问题主要包括了网络系统的硬件、软件及其系统中重要数据受到保护,受突发或者恶意的因素而遭到破坏、更改、泄露,系统能够正常地运行,网络服务不中断等诸多方面。企业要想做好信息网网络安全就需要构建一个层次式防护体系,这个防护体系能够有效的解决企业信息网网络安全所面临的各种问题,给企业一个良好的网络环境。
1 信息网络安全层次式防护体系的防护模式
结合电力企业的实际情况,按照层次式防护体系的防护模式,可将电力企业的网络信息安全分为七大模块,分别是入侵检测、环境与硬件、防火墙、VPN(虚拟专用网)、隐患扫描、病毒防范、PKI(公开密钥基础设施)。
1.1 环境与硬件、防火墙
环境与硬件以及防火墙为层次防护模式的第一、二层,是对系统安全要求比较高的电网运行与安全稳定的控制,还包含了电网调度自动化、继电保护等实时网络,使用防火墙隔离网关设备来连接信息网络,这样就可以获取实时的系统数据,不过这样仍有一个小的缺陷,就是不可能直接或间接的修改实时系统的数据,所有需要采用硬件防火墙互联的信息网络与实时网络之间在物理网络层的隔离,这样就能从根本上防护非法用户的入侵。
另外,也可在信息网的Internet接入口处安装防火墙,这种防火墙主要防止来自外部的攻击,而且企业内各机构之间的仍有全面的安全防火墙,目前几乎所有的电力企业信息网大都建立了这两层防护措施。不过防火墙对于一些利用合法通道而展开的网络内部攻击显得无能为力。因此,尽管开发防火墙能够初步具备入侵的检查功能,但是防火墙作为网关,很容易就成为网络防护发展的颈瓶,不适合做过多的扩展研究。因此,还需要和层次式防护的第三层入侵检测等相关工具联合起来运用,这样就能提高整个网络的安全。
1.2 入侵检测(IDS)
整个防护体系的第三层防护便是入侵检测,入侵检测不属于网络访问控制设备,对通讯流量没有任何限制,采用的是一种通过实时监视网络资源(系统日志、网络数据包、文件和用户获得的状态行为),主动分析和寻找入侵行为的迹象,属于一种动态的安全防护技术。一旦被检测到入侵情况就会立即进行日志、安全控制操作以及警告等操作,给网络系统提供内、外部攻击以及一些失误进行安全防护。像CA公司的eTrustIntrusionDetection程序就是通过自动检测网络数据流中潜在的入侵、攻击和滥用方式等,为网络系统提供了先进的网络保护功能。同时还能在服务器及相关业务受到影响时,按照预先定义好的策略采取相应的措施。
1.3 隐患扫描
防护体系的第四层防护便是隐患扫描,隐患扫描是一个全自动化的网络安全评估软件,它以黑客的视角对被检测的系统进行是否承受攻击性的安全漏洞以及隐患扫描,同时还能够查到可能危及网络或系统安全的弱点,从而提出相应的维修措施,提交详细的风险评估报告。最可观的地方在于它能够先于黑客发现并弥补漏洞,从而防患于未然,能够预防在安全检查中暴露出存在网络系统中的安全隐患,然后配合有效的修改措施,将网络系统中运行的风险降至最低。
隐患扫描系统的主要应用在不同的场合和时宜,第一,对信息网作出定期的网络安全自我检测和评估。网络管理员能够定期的进行网络安全检查服务,以最大可能限度的消除安全隐患,尽可能的发现漏洞然后进行修补,从而优化资源、提高网络的运行效率;第二,网络建设以及网络改造前后的安全规划以及成效检测。配备隐患扫描系统能够方便的进行安全规划评估和成效检测;第三,网络安全隐患突发后的分析。网络安全隐患突发后可以通过扫描系统确定网络被攻击的漏洞所在,然后帮助修补漏洞,能够提供尽可能多的资料来方便调查攻击的来源。第四,重大网络安全事件发生前的准备,重大网络安全事件发生以前,扫描系统能够及时的帮用户找出网络中存在的漏洞,并及时将其修补。
1.4 虚拟专用网(VPN)
防护体系的第五层就是虚拟专用网,其主要为电力企业上下级网络和外出人员访问企业网络时提供一条安全、廉价的互联方式,再加上防火墙和IDS的联动关系,这就使得VPN的网络安全性大大的得到保障,VPN的网络安全性也就得到了保证。不过,目前虽然实现VPN的网络技术和方式比较多,但不是所有的VPN均可以保证公用网络平台传输数据的安全性和专用性。一般情况下是在非面向连接的公用IP网络上建立一个具有逻辑的、点对点的连接方式,这种方式称之为建立隧道。随后就可以利用加密技术对隧道传输的数据进行加密,这样就能保证数据只能被发送给指定的接收者,这样极大的保证了数据的隐私性。
1.5 PKI(公开密钥基础设施)
PKI作为防护体系的第六层具有一个广泛的接收标准,用来保护用户的应用和数据安全,许多安全应用的安全标准通过PKI都有了适应的安全标准。CA公司的eTrustPKI是个比较普遍的基础设施,具有许多独特的特点,如能够优化企业内部的部署、简化管理、其扩展性比较好、有可选择的相关硬件支持。
1.6 对病毒的防范
对病毒的防范是防护体系最后一层,其广泛的定义在于防范恶意代码、包括蠕虫、密码、逻辑炸弹以及其他未经许可的软件,防范病毒系统对网关、邮件系统、文件服务器等进行病毒防范,这就要求病毒防范系统做到对病毒代码的及时更新,并保持对病毒的查杀能力。同时,当防病毒与防火墙一起联动时,病毒防护系统会自动通知防火墙进行相关修改。
2 对层次式安全防护体系的规范管理
层次式安全防护体系的构建是一个复杂的系统工程,包含了人力、技术、以及操作等几大要素,在整个防护体系的运行中,最重要是需要规范操作人员的各种专业技术操作,需要建立一道信息安全管理制度来防止安全防护系统在运行过程中因为内部人员出现差错而导致的各种网络漏洞和安全隐患,其中建立规范的管理制度应考虑以下几点:第一,建立对应的事故预防和应急处理方案,每天都要例行检查备案;第二,制定严格的防护系统运行操作制度,对网络设备、存储设备以及服务器等重要部件的运行操作制定标准的操作制度,相关工作人员都必须参与进去;第三,强化对工作人员的安全教育和培训,做好及时的安全工作;第四,建立日志式的管理制度,对每位用户的操作和行为都以日志的形式记载在案,并进行及时的跟踪调查和审计工作。
3 结束语
网络安全防护是一个动态的系统工程,构建网络安全防护体系能够有效保护电力企业信息网的安全,其中采取层次式安全防护体系,更是有效的将各个层次安全构建有机的结合在一起,从而提高了整个网络的安全性。
参考文献:
[1]党林.电力企业信息系统数据的安全保护措施分析[J].电子技术与软件工程,2013(17).
篇3
一、引言
信息化已经成为社会生产力和生产方式发展的重要导向,信息化建设可以促进企业管理水平和生产效能的提升,信息化资源属于一种关键性资源,其重要性逐步受到社会的肯定[1]。电力企业作为技术密集型产业,对于生产自动化和集约化都具有较高的要求标准,所以也是较早的实行信息化建设的一部分企业,同时获得了一些明显的效果,然后也正是由于起步相对比较早,在信息化的建设过程中一般会存在许多相关问题,这些问题已经慢慢成为电力企业信息安全的隐患,强化网络信息安全已经发展为电力企业的重要构成部分。
二、电力企业信息安全现状
电力企业由于生产经营和实际管理的需求,都从不同程度上建立了自身的自动化系统,变电站基本能够实现四遥与无人值守的功能。同时建立起了企业自身的管理系统对于生产、营销、财务与行政办公等方面的具体工作进行覆盖处理,并且已经实行较高安全等级的调度自动化系统,能够经过WEB网关与MIS之间实行相互的信息访问操作,部分位置已经装设了正向隔离器,从而能够实现物理隔离和数据信息的安全访问目的。电力企业已经设定了相应的安全防护策略,能够实现互联网的安全连接操作。把营销支持网络和呼叫接入系统与MIS网络实行整合处理,而且已经跟各种企业达成信息安全共享的使用目的,对于本身的服务方式进行优化处理。边远区域的班站基本都经过VPN技术来实现远程班组进行联网操作的使用要求,并且可以实现大范围的信息共享效果,使用VPN的高级应用可以搭建以互联网为基础的各类远程服务[2]。
三、电力企业信息安全整体防护策略
(一)安全风险评价
电力企业需要解决信息安全问题并不可以只是从技术层面考虑,技术作为信息安全的主体,然而却不是信息安全的核心,管理才应当作为信息安全的核心。信息安全离不开各种不同安全技术的具体实行与各种不同安全产品的设置,然而现阶段在市面上出现的安全技术与安全产品容易使人眼花缭乱,不能进行合适的选择,此时就应当实行风险分析与可行性分析等方面策略,对于电力企业当前阶段所面对的网络风险进行有效性分析,并且分析解决问题或者最大限度地减小风险发生的可能性,对于收益和付出实行充分对比,分析哪部分产品可以让电力企业以最小的成本代价符合其对信息安全的实质需求,同时应当考虑到安全和效率的均衡问题。对于电力企业而言,需要明确信息系统存在的潜在风险,充分有效地评价这部分风险所带来的实际影响,这将会成为电力企业进行信息安全建设的首要解决问题,同时也是设定安全防护策略的基础根据[3]。
(二)建立防火墙
防火墙作为一种可以有效保护信息安全的技术性防护策略,主要分为软件防火墙和硬件防火墙这两种形式。防火墙可以有效的防止网络中各种形式的非法访问与搭建起一道安全防护的屏障,对于数据信息的输入与输出操作都可以实施有效控制。在网络区域上经过硬件防火墙的搭建,对于电力企业内网和外网之间的通信实施有效监控,并且可以对内网与外网实行有效的隔离,进而可以防止外部网络的入侵。电力企业能够经过“防火墙+杀毒软件”的配置形式来对内部服务器和计算机实施相应的安全保护。另外还应当进行的定期升级处理。为了能够避免各种意外现象的出现,应当对各种数据信息进行定期的备份处理,同时需要定期地对各个硬件与各种备份的有效性程度实行相关检验。通过访问控制列表能够建立防火墙控制体系,对于访问控制列表的调控可以充分地实现路由器对相应数据包的选取,对于访问控制列表的增删处理可以有效地对网络实施控制,对于流入与流出路由器接口的相应数据包进行过滤处理,能够达到部分网络防火墙的实际效果。
(三)预防控制计算机病毒
计算机病毒的预防控制应当作为信息安全的重要构成部分,然而对于电力企业的信息安全造成主要威胁的是各种类型的新病毒。如果要从根本上防止新病毒对企业造成的威胁,就需要从监控、强制、防止与恢复等四个具体阶段对新病毒实行相应管理。控制计算机病毒作用次数,减弱病毒对业务所带来的影响。病毒经历感染-扩散-爆发这系列过程都需要一段空窗期。大多数情况下,管理人员一般都是在病毒爆发之后才可以发现相应问题,然而此时已经太迟了。所以需要可以在病毒处于扩散期时就可以发现出问题所在,这样才可以有效地减低病毒爆发的几率。网络层防毒可以充分有效地对病毒实行预防控制,需要把网络病毒的防范视为最为关键的防范对象,经过在网络接口与关键安全区域设置网络病毒墙,在网络层区域全面扫除外界病毒的实质性威胁,令网络病毒不可以随意传播,另外结合病毒所借助的传播途径,对整个安全防护策略实行落实工作。预防病毒并不可以完全地依赖于病毒的特征码,还应当实现对病毒处于发作期的整个生命周期实行有效管理[4]。设立一套完善有效的预警机制、消除机制与恢复机制,经过这部分机制的作用来确保将病毒进行高效处理,防毒系统应当在病毒代码侵入之前,就可以经过可疑信息过滤、端口屏蔽、共享控制、重要文件/文件夹写保护等各种实际性手段来对病毒实施有效的控制。
(四)安全管理体系
1.制度管理
设立各种安全管理机制能够完善企业内部安全管理与实行机构的行为标准、岗位设置与操作规范、工作人员的素质要求及其相应的各种行为规范标准等。安全制度管理作为法律管理的具有形式化、具体化、法规化与管理化的重要接口,是实现信息安全的重要保障。
2.资产管理
资产成为建立信息系统的重要元素,其安全程度是整个信息系统安全的重要实现目标,全部的安全技术与安全防护策略都是以资产安全作为核心环节。资产安全管理的实质性内容包含信息系统设备安全、软件安全、数据安全与文件安全等方面,经过发电厂相应的生产管理系统能够达到资产全寿命周期管理的目的。
3.物理管理
物理安全作为保护计算机网络通信设备、设施与其它媒体避免地震、水灾与火灾等各种环境事故以及人为操作失误或者错误及各种计算机犯罪行为导致的破坏过程。其主要包含机房安全管理、环境安全管理与物理控制管理等各方面具体内容。计算机机房建设应当满足国标GB2887-89《计算机站场地技术条件》、GB9361-88《计算机场地安全要求》与《国家电网公司信息网络机房设计及建设标准》的标准要求,其中保密机房的安全管理应当根据保密办的有关规定落实执行。
4.技术管理
技术安全管理的主要目标在于能够有效地运用已有的安全技术,包含专用性质的安全产品,同时一个很重要的方面是运用现有阶段的网络设备、主机与实践应用本身的安全特性实行日常化的安全管理。
四、结束语
信息安全作为一个综合性系统,不但会涉及到技术应用层面的具体问题,同时还会涉及到管理层面上的实际问题。对于信息网络系统,不管是硬件或者软件存在问题都会导致整个信息安全系统出现威胁,引发网络信息安全的实质问题。在电力企业的信息网络系统中,包含了个人、硬件设备、软件与数据等若干个具体环节,这些在信息网络系统中占据着的地位,都应当从整个电力企业的信息按系统而进行有效合理的分析,经过系统工程的观念与方法对当前阶段电力企业中的信息安全现状进行有效性分析,并且提出能够提升信息安全的整体防护策略。
参考文献:
[1]余志荣.浅析电力企业网络安全[J].福建电脑,2011(7).
[2]周伟.计算机网络安全技术的影响因素与防范措施[J].网友世界,2012(1).
[3]张鹏宇.电力行业网络安全技术研究[J].信息与电脑(理论版),2011(1).
篇4
中图分类号:X922;F272 文献标识码:A 文章编号:1009-914X(2015)42-0081-01
1 企业信息安全的现状
随着企业信息化水平的提升,大多数企业在信息安全建设上逐步添加了上网行为管理、内网安全管理等新的安全设备,但信息安全防护理念还停留在防的阶段,信息安全策略都是在安全事件发生后再补救,导致了企业信息防范的主动性和意识不高,信息安全防护水平已经越来越不适应当今企业IT运维环境和企业发展的需求。
2 企业信息系统安全防护的构建原则
企业信息化安全建设的目标是在保障企业数字化成果的安全性和可靠性。在构建企业信息安全体系时应该遵循以下几个原则:
2.1 建立企业完善的信息化安全管理体系
企业信息安全管理体系首先要建立完善的组织架构、制定信息安全管理规范,来保障信息安全制度的落实以及企业信息化安全体系的不断完善。基本企业信息安全管理过程包括:分析企业数字化资产评估和风险分析、规划信息系统动态安全模型、建立可靠严谨的执行策略、选用安全可靠的的防护产品等。
2.2 提高企业员工自身的信息安全防范意识
在企业信息化系统安全管理中,防护设备和防护策略只是其中的一部分,企业员工的行为也是维护企业数字化成果不可忽略的组成。所以企业在实施信息化安全管理时,绝对不能忽视对人的行为规范和绩效管理。在企业实施企业信息安全前,应制定企业员工信息安全行为规范,有效地实现企业信息系统和数字化成果的安全、可靠、稳定运行,保证企业信息安全。其次阶段递进的培训信息安全人才也是保障企业数字化成果的重要措施。企业对员工进行逐次的安全培训,强化企业员工对信息安全的概念,提升员工的安全意识。使员工的行为符合整个企业信息安全的防范要求。
2.3 及时优化更新企业信息安全防护技术
当企业对自身信息安全做出了一套整体完善的防护规划时,就应当考虑采用何种安全防护技术来支撑整个信息安全防护体系。对于安全防护技术来说可以分为身份识别、网络隔离、网络安全扫描、实时监控与入侵发现、安全备份恢复等。比如身份识别的目的在于防止非企业人员访问企业资源,并且可以根据员工级别分配人员访问权限,达到企业敏感信息的安全保障。
3 企业信息安全体系部署的建议
根据企业信息安全建设架构,在满足终端安全、网络安全、应用安全、数据安全等安全防护体系时,我们需要重点关注以下几个方面:
3.1 实施终端安全,规范终端用户行为
在企业信息安全事件中,数字化成果泄漏是属于危害最为严重的一种行为。企业信息安全体系建立前,企业员工对自己的个人行为不规范,造成了员工可以通过很多方式实现信息外漏。比如通过U盘等存储介质拷贝或者通过聊天软件传递企业的核心数字化成果。对于这类高危的行为,我们在建设安全防护体系时,仅仅靠上网行为管理控制是不能完全杜绝的。应该当用户接入企业信息化平台前,就对用户的终端系统进行安全规范检查,符合企业制定的终端安全要求后再接入企业内网。同时配合上网行为管理的策略对员工的上网行为进行审计,使得企业员工的操作行为符合企业制定的上网行为规范,从终端用户提升企业的防护水平。
3.2 建设安全完善的VPN接入平台
企业在信息化建设中,考虑总部和分支机构的信息化需要,必然会采用VPN方式来解决企业的需求。不论是采用SSL VPN还是IPSecVPN,VPN加密传输都是通用的选择。对于分支机构可以考虑专用的VPN设备和总部进行IPSec连接,这种方式更安全可靠稳定。对于移动终端的接入可以考虑SSL VPN方式。在这种情况下,就必须做好对于移动终端的身份认证识别。其实我们在设备采购时,可以要求设备商做好多种接入方式的需求,并且帮助企业搭建认证方式。这将有利于企业日常维护,提升企业信息系统的VPN接入水平。
3.3 优化企业网络的隔离性和控制性
在规划企业网络安全边际时,要面对多个部门和分支结构,合理的规划安全网络边际将是关键。企业的网络体系可以分为:物理层;数据链路层;网络层;传输层;会话层;表示层;应用层。各体系之间的相互隔离和访问策略是防止企业信息安全风险的重要环节。在企业多样化网络环境的背景下,根据企业安全优先级及面临的风险程度,做出适合企业信息安全的防护策略和访问控制策略。根据相应防护设备进行深层次的安全防护,真正实现OSI的L2~L7层的安全防护。
3.4 实现企业信息安全防护体系的统一管理
为企业信息安全构建统一的安全防护体系,重要的优势就是能实现对全网安全设备及安全事件的统一管理,做到对整个网络安全事件的“可视、可控和可管”。企业采购的各种安全设备工作时会产生大量的安全日志,如果单靠相关人员的识别日志既费时效率又低。而且不同安全厂商的日志报表还存在很大差异。所以当安全事件发生时,企业管理员很难实现对信息安全的统一分析和管理。所以在企业在构建信息安全体系时,就必须要考虑安全设备日志之间的统一化,设定相应的访问控制和安全策略实现日志的归类分析。这样才能做到对全网安全事件的“可视、可控和可管”。
4 结束语
信息安全的主要内容就是保护企业的数字化成果的安全和完整。企业在实施信息安全防护过程中是一个长期的持续的工作。我们需要在前期做好详尽的安全防护规划,实施过程中根据不断出现的情况及时调整安全策略和访问控制,保证备份数据的安全性可靠性。同时全体企业员工一起遵守企业制定的信息安全防护管理规定,这样才能为企业的信息安全提供生命力和主动性,真正为企业的核心业务提供安全保障。
参考文献
[1] 段永红.如何构建企业信息安全体系[J]. 科技视界,2012,16:179-180.
[2] 于雷.企业信息安全体系构建[J].科技与企业,2011,08:69.
[3] 彭佩,张婕,李红梅. 企业信息安全立体防护体系构建及运行[J].现代电子技术,2014,12:42-45+48.
[4] 刘小发,李良,严海涛.基于企业网络的信息安全体系构建策略探讨[J]. 邮电设计技术,2013,12:25-28.
篇5
2企业信息系统安全防护的构建原则
企业信息化安全建设的目标是在保障企业数字化成果的安全性和可靠性。在构建企业信息安全体系时应该遵循以下几个原则:
2.1建立企业完善的信息化安全管理体系
企业信息安全管理体系首先要建立完善的组织架构、制定信息安全管理规范,来保障信息安全制度的落实以及企业信息化安全体系的不断完善。基本企业信息安全管理过程包括:分析企业数字化资产评估和风险分析、规划信息系统动态安全模型、建立可靠严谨的执行策略、选用安全可靠的的防护产品等。
2.2提高企业员工自身的信息安全防范意识
在企业信息化系统安全管理中,防护设备和防护策略只是其中的一部分,企业员工的行为也是维护企业数字化成果不可忽略的组成。所以企业在实施信息化安全管理时,绝对不能忽视对人的行为规范和绩效管理。在企业实施企业信息安全前,应制定企业员工信息安全行为规范,有效地实现企业信息系统和数字化成果的安全、可靠、稳定运行,保证企业信息安全。其次阶段递进的培训信息安全人才也是保障企业数字化成果的重要措施。企业对员工进行逐次的安全培训,强化企业员工对信息安全的概念,提升员工的安全意识。使员工的行为符合整个企业信息安全的防范要求。
2.3及时优化更新企业信息安全防护技术
当企业对自身信息安全做出了一套整体完善的防护规划时,就应当考虑采用何种安全防护技术来支撑整个信息安全防护体系。对于安全防护技术来说可以分为身份识别、网络隔离、网络安全扫描、实时监控与入侵发现、安全备份恢复等。比如身份识别的目的在于防止非企业人员访问企业资源,并且可以根据员工级别分配人员访问权限,达到企业敏感信息的安全保障。
3企业信息安全体系部署的建议
根据企业信息安全建设架构,在满足终端安全、网络安全、应用安全、数据安全等安全防护体系时,我们需要重点关注以下几个方面:
3.1实施终端安全,规范终端用户行为
在企业信息安全事件中,数字化成果泄漏是属于危害最为严重的一种行为。企业信息安全体系建立前,企业员工对自己的个人行为不规范,造成了员工可以通过很多方式实现信息外漏。比如通过U盘等存储介质拷贝或者通过聊天软件传递企业的核心数字化成果。对于这类高危的行为,我们在建设安全防护体系时,仅仅靠上网行为管理控制是不能完全杜绝的。应该当用户接入企业信息化平台前,就对用户的终端系统进行安全规范检查,符合企业制定的终端安全要求后再接入企业内网。同时配合上网行为管理的策略对员工的上网行为进行审计,使得企业员工的操作行为符合企业制定的上网行为规范,从终端用户提升企业的防护水平。
3.2建设安全完善的VPN接入平台
企业在信息化建设中,考虑总部和分支机构的信息化需要,必然会采用VPN方式来解决企业的需求。不论是采用SSLVPN还是IPSecVPN,VPN加密传输都是通用的选择。对于分支机构可以考虑专用的VPN设备和总部进行IPSec连接,这种方式更安全可靠稳定。对于移动终端的接入可以考虑SSLVPN方式。在这种情况下,就必须做好对于移动终端的身份认证识别。其实我们在设备采购时,可以要求设备商做好多种接入方式的需求,并且帮助企业搭建认证方式。这将有利于企业日常维护,提升企业信息系统的VPN接入水平。
3.3优化企业网络的隔离性和控制性
在规划企业网络安全边际时,要面对多个部门和分支结构,合理的规划安全网络边际将是关键。企业的网络体系可以分为:物理层;数据链路层;网络层;传输层;会话层;表示层;应用层。各体系之间的相互隔离和访问策略是防止企业信息安全风险的重要环节。在企业多样化网络环境的背景下,根据企业安全优先级及面临的风险程度,做出适合企业信息安全的防护策略和访问控制策略。根据相应防护设备进行深层次的安全防护,真正实现OSI的L2~L7层的安全防护。
3.4实现企业信息安全防护体系的统一管理
为企业信息安全构建统一的安全防护体系,重要的优势就是能实现对全网安全设备及安全事件的统一管理,做到对整个网络安全事件的“可视、可控和可管”。企业采购的各种安全设备工作时会产生大量的安全日志,如果单靠相关人员的识别日志既费时效率又低。而且不同安全厂商的日志报表还存在很大差异。所以当安全事件发生时,企业管理员很难实现对信息安全的统一分析和管理。所以在企业在构建信息安全体系时,就必须要考虑安全设备日志之间的统一化,设定相应的访问控制和安全策略实现日志的归类分析。这样才能做到对全网安全事件的“可视、可控和可管”。
