時間:2023-10-10 10:38:38
引言:易發(fā)表網(wǎng)憑借豐富的文秘實踐,為您精心挑選了九篇企業(yè)信息安全現(xiàn)狀范例。如需獲取更多原創(chuàng)內(nèi)容,可隨時聯(lián)系我們的客服老師。
關(guān)鍵詞:信息安全;現(xiàn)狀;策略
信息安全管理已經(jīng)成為企業(yè)加強信息化進程以及提高企業(yè)管理水平的一項重要內(nèi)容,它是確保企業(yè)信息管理系統(tǒng)高效運行,促進企業(yè)健康、穩(wěn)定發(fā)展的一個重要前提。近幾年來,隨著ERP在企業(yè)中的投入使用,使企業(yè)的信息化工作內(nèi)容得以拓展,企業(yè)對信息系統(tǒng)的安全性也日益關(guān)注,怎樣保證信息系統(tǒng)的安全、高效,已經(jīng)成為擺在各個企業(yè)面前的一項重要課題。
1.信息安全管理意義
1.1信息安全是企業(yè)實現(xiàn)可持續(xù)發(fā)展的需要
隨著計算機網(wǎng)絡(luò)技術(shù)的普及應(yīng)用,如何確保涉及到企業(yè)經(jīng)營發(fā)展的各種信息、資料的安全性,已經(jīng)成為企業(yè)必須要解決的一個問題。現(xiàn)階段,大多數(shù)企業(yè)的數(shù)據(jù)信息,甚至是關(guān)系到企業(yè)戰(zhàn)略規(guī)劃的重要信息,都是以電子文件的形式進行保存的,對于企業(yè)來說,這些信息如果泄露、丟失或者遭到惡意破壞,其后果是不堪設(shè)想的。因此,企業(yè)必須要具有預(yù)見性與前瞻性,要站在戰(zhàn)略發(fā)展的高度來看待信息安全問題,必須建立起一套操作性強的防范機制,要從操作系統(tǒng)、芯片技術(shù)以及網(wǎng)絡(luò)建設(shè)等方面入手,就安全保障體系進行積極構(gòu)建。
1.2信息安全是實現(xiàn)企業(yè)平穩(wěn)、健康發(fā)展的前提
現(xiàn)階段,我國企業(yè)的信息安全建設(shè),還沒有形成一個成熟,可供廣泛借鑒的安全體系,同時基礎(chǔ)也相對薄弱,這些問題都亟待解決。而且信息安全已經(jīng)成為關(guān)系企業(yè)未來發(fā)展的一個重要問題,我們必須要認(rèn)清加強企業(yè)信息安全建設(shè)的緊迫性,要從維護企業(yè)利益的角度來看待信息安全建設(shè)問題,做好基礎(chǔ)設(shè)施的建設(shè)工作,以及信息安全體系的構(gòu)建工作,實現(xiàn)企業(yè)的平穩(wěn)、健康發(fā)展。
1.3信息安全是知識經(jīng)濟時展的需要
計算機網(wǎng)絡(luò)技術(shù)的普及應(yīng)用,使得企業(yè)內(nèi)部各部門之間的信息交換,以及企業(yè)對外部信息的獲取日益頻繁,這也令企業(yè)對網(wǎng)絡(luò)技術(shù)愈加依賴,計算機網(wǎng)絡(luò)技術(shù)對整個商業(yè)運作方式也帶來了巨大的影響,從而出現(xiàn)了電子商務(wù),也對企業(yè)生產(chǎn)方式、經(jīng)營理念,產(chǎn)生了巨大的沖擊,推動了企業(yè)發(fā)展以及現(xiàn)代經(jīng)營理念的構(gòu)建。但是,信息的安全問題也日益突出,比如信息在存儲、處理以及傳輸過程中經(jīng)常存在著被非法截取、惡意破壞以及篡改的現(xiàn)象。所以,信息安全是知識經(jīng)濟時代這一大背景下,企業(yè)發(fā)展必須要解決的問題。
2.信息安全管理的現(xiàn)狀
2.1信息管理的安全意識方面
人員、機器設(shè)備、原材料、制度是一個企業(yè)在進行生產(chǎn)經(jīng)營時不可缺少的幾個基本要素,隨著知識經(jīng)濟的到來,信息的重要性日益受到企業(yè)管理界的認(rèn)同,信息也理所當(dāng)然的成為生產(chǎn)經(jīng)營過程中,不可或缺的一個非常重要的因素。但是就目前的企業(yè)對信息安全管理的重視程度來看,遠遠還不夠,忽視對企業(yè)內(nèi)部各種信息資產(chǎn)的保護,其結(jié)果必然會為企業(yè)帶來無法估計的損失,因此,企業(yè)必須要提高對信息管理安全系統(tǒng)的認(rèn)識,積極構(gòu)建、完善這一系統(tǒng),保證企業(yè)信息的安全。
2.2網(wǎng)絡(luò)協(xié)議方面
我們在對計算機信息系統(tǒng)進行安全維護時,保證網(wǎng)絡(luò)協(xié)議的安全是維護系統(tǒng)安全的一個重要問題,但是計算機系統(tǒng)的部分協(xié)議,比如TCP/IP 協(xié)議,這部分協(xié)議以及其構(gòu)架通常也是在因特網(wǎng)上進行共享的,這樣必然會為系統(tǒng)的安全埋下隱患。而且這也是計算機信息系統(tǒng)安全構(gòu)成威脅的一個主要來源,而它對計算機系統(tǒng)的破壞是巨大的。所以,我們在對計算機信息系統(tǒng)進行維護時,必須要關(guān)注到這一點,杜絕類似事件的發(fā)生。現(xiàn)階段,注意網(wǎng)絡(luò)不明信息、非法訪問以及網(wǎng)絡(luò)協(xié)議等對系統(tǒng)安全構(gòu)成威脅的問題,是確保信息傳送過程安全性的重要前提,是我們在構(gòu)建企業(yè)信息網(wǎng)絡(luò)系統(tǒng)時,必須要考慮的問題。
2.3信息安全產(chǎn)品本身存在的問題
通常情況下,多數(shù)企業(yè)在建設(shè)信息管理系統(tǒng)的同時,也采用了相關(guān)的信息安全產(chǎn)品。如果信息安全產(chǎn)品本身存在著漏洞的話,這必然會直接導(dǎo)致企業(yè)信息系統(tǒng)安全機制的失效。但是計算機系統(tǒng)的安全隱患絕不局限于產(chǎn)品本身存在的缺陷,如果信息安全產(chǎn)品本身是完善的,不存在著任何缺陷與隱患,但是我們在使用產(chǎn)品的過程中,會因為用戶配置、操作上的失誤,或者對產(chǎn)品安全性能不夠了解,使其性能降低,而起不到保護系統(tǒng)安全的作用也是有可能的。
2.4資金投入不夠
我國企業(yè)想要對信息安全系統(tǒng)進行構(gòu)建,就必須投入大量的資金,同時還要吸引IT人才,加入到信息安全系統(tǒng)建設(shè)團隊。但是就目前我國信息安全系統(tǒng)構(gòu)建的現(xiàn)狀來看,還有很多不如人意的在方,尤其是在資金投入方面,一個項目如果缺少資金投入,那么一切都是空談。筆者在實際工作中發(fā)現(xiàn),有些企業(yè)非常重視硬件設(shè)備的投入,但軟件投入比較滯后,這就使硬件部分強大的功能無法得到充分發(fā)揮。
3.加強信息安全管理的策略
3.1提高信息管理的安全意識
隨著計算機網(wǎng)絡(luò)技術(shù)的快速發(fā)展,網(wǎng)絡(luò)犯罪有逐年上升的趨勢,電腦病毒、網(wǎng)絡(luò)黑客對計算機系統(tǒng)的攻擊與日俱增,企業(yè)必須出于自身利益的考慮,來加強信息安全管理方面的建設(shè),首先要從加大宣傳,提高安全意識方面入手。企業(yè)可以定期舉行有關(guān)信息管理安全意識方面的講座、報告以及相關(guān)的培訓(xùn)教育工作,使領(lǐng)導(dǎo)干部、普通員工提高對信息管理安全的重視程度,使安全防范意識深入人心,這樣有利于加強信息安全管理工作的全面展開。
3.2設(shè)計加密體制對系統(tǒng)進行保護
當(dāng)今社會是一個信息化程度高度發(fā)達的社會,人們利用互聯(lián)網(wǎng)對信息進行收集、整理、分析、處理的程度越來越高,這樣必然會導(dǎo)致信息安全方面存在著一定的隱患,如果我們不采取有效措施加以防范,一旦發(fā)生問題,對企業(yè)造成的危害是無法想象的。針對網(wǎng)絡(luò)所存在的安全隱患,我們可以采用加密系統(tǒng)對網(wǎng)內(nèi)數(shù)據(jù)、文檔以及口令進行保護。如此一來,我們在網(wǎng)上進行數(shù)據(jù)傳送的過程,也更具針對性。加密管理過程,通常分為鏈路加密、節(jié)點加密與端點加密三個種類,我們可以根據(jù)企業(yè)的實際需求進行選擇。
3.3加強系統(tǒng)軟件方面的建設(shè)
一般來說,計算機無論使用哪一種版本的操作系統(tǒng),都會存在著一定的安全隱患,這個世界沒有十全十美的東西,我們對操作系統(tǒng)也不能苛求太多。因此,這就需要我們采取積 極、有效的措施來提高系統(tǒng)的安全性,以期對操作系統(tǒng)進行很好的維護。比如對數(shù)據(jù)庫軟件、計算信息管理軟件進行更新,終端操作系統(tǒng)要與數(shù)據(jù)庫操作系統(tǒng)在版本上要統(tǒng)一,這樣可以便于管理,提高信息管理系統(tǒng)的防御能力。
3.4增加企業(yè)信息安全建設(shè)的投入
信息化已經(jīng)成為社會發(fā)展的一個主流趨勢,企業(yè)必須要借助好這個“東風(fēng)”,來加強自身的信息安全建設(shè)。任何一個項目的啟動,都離不開資金的投入,企業(yè)必須為信息安全建設(shè)提供物質(zhì)基礎(chǔ),比如購置專用服務(wù)器、軟件以及將IT資產(chǎn)外包等等,保證信息安全建設(shè)的順利完成。
4.總結(jié):
綜上所述,信息安全對企業(yè)的發(fā)展有著非常重大的意義,它不但是企業(yè)自身實現(xiàn)可持續(xù)發(fā)展的需要,也是知識經(jīng)濟時代背景下,企業(yè)的必然選擇,我們可以從提高信息管理的安全意識;設(shè)計加密體制對系統(tǒng)進行保護;加強系統(tǒng)軟件方面的建設(shè);增加企業(yè)信息安全建設(shè)的投入等方面入手,加強企業(yè)信息安全管理方面的建設(shè)。
參考文獻:
[1]姜樺,郭永利.企業(yè)信息安全策略研究[J].焦作大學(xué)學(xué)報,2009,(01) .
關(guān)鍵詞:信息安全;網(wǎng)絡(luò)安全危脅;安全防護系統(tǒng)
中圖分類號:TP393文獻標(biāo)識碼:A文章編號:1009-3044(2012)26-6245-03
計算機網(wǎng)絡(luò)技術(shù)迅猛發(fā)展,各發(fā)電企業(yè)信息化網(wǎng)絡(luò)日漸普及,成為了企業(yè)科技化管理的重要手段。通過對數(shù)據(jù)的集中、共享、處理使得信息系統(tǒng)為發(fā)電企業(yè)生產(chǎn)經(jīng)營、安全生產(chǎn)等各方面提供了巨大的科技支撐。但同時伴隨出現(xiàn)的病毒蔓延、不良黑客入侵、流氓軟件等多方面問題成為了不得不面對的問題,同時對發(fā)電企業(yè)的安全生產(chǎn)也形成了巨大的威脅,以此進一步加強發(fā)電企業(yè)信息化安全是在信息化建設(shè)初期首要考慮的問題。
1發(fā)電企業(yè)面臨的網(wǎng)絡(luò)安全威脅
因為信息網(wǎng)絡(luò)的互通性,發(fā)電企業(yè)信息化威脅,既有可能來自本企業(yè)內(nèi)部,也同時可能來源于外部。其內(nèi)部威脅主要來自于員工、各信息系統(tǒng)管理員等,根據(jù)統(tǒng)計,網(wǎng)絡(luò)安全破壞活動近80%來自于競爭對手、任何惡意的組織和個人。主要表現(xiàn)的安全威脅為:
1)截獲用戶標(biāo)識:截獲標(biāo)識指以非法手段取得合法用戶的身份信息,主要是用戶的帳號和密碼,這是絕大多數(shù)發(fā)電信息系統(tǒng)采用的認(rèn)證防護措施。如果侵入者得知了某位合法用戶的帳號和密碼,即便該合法用戶并未被賦予其他的特權(quán),也有可能威脅整個系統(tǒng)的安全。如果帳號,特別是密碼,被以明文的方式由信息網(wǎng)絡(luò)傳遞,侵入者通過安裝協(xié)議分析軟件對網(wǎng)絡(luò)通信進行監(jiān)視,則可以輕松獲取。如果密碼通過明文格式保存在用戶的計算機的內(nèi)存或者硬盤中,侵入者更能夠有方法發(fā)現(xiàn)并利用這些密碼,同時如果密碼很簡單(如手機號碼、用戶生日、私家車號牌、用戶姓名等),更加容易被侵入者通過軟件得知,在網(wǎng)絡(luò)上大肆傳播的黑客工具都是通過幾種常用習(xí)慣的詞典來獲取用戶密碼。
2)偽裝:當(dāng)未通過授權(quán)的用戶假扮成具有合法授權(quán)的用戶,登錄發(fā)電信息系統(tǒng)時就形成了偽裝。當(dāng)未通過授權(quán)的用戶經(jīng)過偽裝成信息系統(tǒng)管理員或者具有信息管理超級特權(quán)的有關(guān)用戶時,截獲用戶標(biāo)識的情況是威脅最大的。應(yīng)為侵入者已經(jīng)獲取了某位合法用戶的標(biāo)識,或者因為侵入者已經(jīng)使信息系統(tǒng)相信其擁有另外的而實際上并不存在的權(quán)限,所以偽裝是很容易出現(xiàn)的。網(wǎng)絡(luò)地址欺騙實際上就是偽裝的一中形式,侵入者通過一個合法的IP地址,然后通過此地址截獲已被授予該合法地址的系統(tǒng)或者是服務(wù)器訪問權(quán)限。
3)非授權(quán)操作:非授權(quán)操作使用信息系統(tǒng)或者資源時,信息網(wǎng)絡(luò)安全就受到了極大的威脅。例如,企業(yè)的發(fā)電數(shù)據(jù)和財務(wù)數(shù)據(jù)有可能被未經(jīng)授權(quán)的侵入者,非法修改并利用。
4)病毒:病毒是伴隨計算機技術(shù)產(chǎn)生,能夠通過不斷自我復(fù)制,大范圍傳播,對計算機、信息系統(tǒng)及其數(shù)據(jù)產(chǎn)生極大破壞的程序。因為病毒具有的隱藏性和可變異性,使得廣大用戶無法防范。據(jù)有關(guān)資料調(diào)查,99%的企業(yè)或者個人受到過計算機病毒的感染,63%的數(shù)據(jù)和系統(tǒng)損壞來源于病毒。給受害企業(yè)或個人帶來巨大的時間和人力資源的浪費,同時重要數(shù)據(jù)文件的丟失和損壞是無法用金錢來衡量的。
5)服務(wù)拒絕:通過向發(fā)電企業(yè)信息化系統(tǒng)發(fā)送大量的請求或者垃圾數(shù)據(jù),使得服務(wù)器的資源被大量占用,直至資源耗盡,使其達到無法繼續(xù)提供正常服務(wù)或者服務(wù)器崩潰的目的。在發(fā)電企業(yè)信息化系統(tǒng)中,這樣的攻擊可能造成重大的安全威脅。
6)惡意程序代碼:伴隨著可自執(zhí)行的計算機程序與WWW站點的集成,惡意程序代碼通過Microsoft ActiveX控件或Sun Java程序的大量使用形成了極大的安全威脅。
7)特權(quán)濫用:信息系統(tǒng)的超級管理員故意或者錯誤地通過對某系統(tǒng)的特權(quán)來獲取其不應(yīng)獲取的敏感數(shù)據(jù)。
8)誤操作:信息系統(tǒng)超級管理員、業(yè)務(wù)系統(tǒng)管理員、一般用戶等因?qū)夹g(shù)方面熟練度不高,操作時的失誤,引起對信息系統(tǒng)安全性、完整性和可靠性的損壞。
9)權(quán)限變更:一般用戶利用信息系統(tǒng)的漏洞提高其用戶等級,以獲取未經(jīng)授權(quán)的系統(tǒng)權(quán)限。
10)后門:信息系統(tǒng)研發(fā)人員出于故意或者為了日后維護便利在信息系統(tǒng)中設(shè)置的專用通道,使用其可以不受企業(yè)信息系統(tǒng)安全措施的控制。經(jīng)常被人為利用控制、破壞正常運行的系統(tǒng)。
11)系統(tǒng)研發(fā)中的錯誤和調(diào)試不全:其包含對有關(guān)數(shù)據(jù)不進行充分的檢查、對系統(tǒng)的邏輯運行定義不準(zhǔn)確,同時這些錯誤和不完善沒有通過大量的、齊全的系統(tǒng)調(diào)試檢查出來,有可能在運行中導(dǎo)致數(shù)據(jù)被錯誤生成且引入信息系統(tǒng),破壞了實際數(shù)據(jù)的準(zhǔn)確性。
12)特洛伊木馬:它通過提供一些有價值的或者僅僅是有趣的功能,在用未經(jīng)用戶許可的情況下拷貝文件、竊取用戶的帳號和密碼、發(fā)送用戶的重要資料或者破壞用戶系統(tǒng)等。木馬程序是一種常見的危害性較大的威脅,由于其不易被發(fā)現(xiàn),在一般情況下,它是在二進制代碼中被發(fā)現(xiàn),且大多數(shù)后綴名都為無法直接打開的文件,其特點與病毒有許多相似的地方。
13)社會工程共計:主要是的是攻擊者利用人的心理活動進行攻擊,其無需采用高深的科技手段,同時無需入侵系統(tǒng)來完成。僅需要通過向特定用戶了解帳號和密碼,達到其獲取數(shù)據(jù)或者信息系統(tǒng)訪問權(quán)的目的。絕大多數(shù)情況下、攻擊者的主要目標(biāo)是企業(yè)的辦公室接待員、行政或者技術(shù)支撐人員,通過對這些類別的用戶通過電話、EMAIL或者聊天工具等方式即可完成攻擊。
2發(fā)電企業(yè)信息化情況(以五大發(fā)電集團某下屬發(fā)電公司為例)
2.1信息化網(wǎng)絡(luò)狀況
圖1
2.2信息化系統(tǒng)狀況
1)財務(wù)及資產(chǎn)管理(簡稱:FAM)系統(tǒng),是集中部署的核心應(yīng)用系統(tǒng),涵蓋電廠財務(wù)核算、費用報銷、資金計劃、物資采購、庫存管理、物資計劃、超市管理、合同管理、缺陷管理、檢修管理、設(shè)備維護等功能模塊。
2)OA辦公自動化系統(tǒng)。實現(xiàn)下屬企業(yè)以及與集團公司間收發(fā)文交互、內(nèi)部收發(fā)文管理、郵件及通訊目錄功能。系統(tǒng)還提供了值班管理、督察督辦、會議管理、車輛管理、辦公用品等行政辦公管理功能。
3)PI實時信息系統(tǒng):本系統(tǒng)采集、存儲DCS系統(tǒng)、電能量、環(huán)保系統(tǒng)等實時運行參數(shù),除滿足電廠對實施信息的管理需求外,還將有關(guān)數(shù)據(jù)實時傳送集成到集團公司實時系統(tǒng)、集團公司生產(chǎn)與營銷實時監(jiān)管系統(tǒng)。
4)電廠多業(yè)務(wù)管理平臺。系統(tǒng)包括運行管理、計劃管理、生產(chǎn)統(tǒng)計、班組管理、標(biāo)準(zhǔn)制度、政工管理、監(jiān)審管理、合理化建議等功能,其中統(tǒng)計、政工、監(jiān)審等模塊實現(xiàn)了與集團公司層面相應(yīng)管理模塊的系統(tǒng)集成。
5)安全管理平臺:功能包括安全信息、安全報表、安全檢查、工作票、操作票等管理。
6)公司MIS系統(tǒng):本系統(tǒng)不僅作為下屬企業(yè)所有管理信息系統(tǒng)入口門戶,還提供了項目申報、生產(chǎn)日報、人力資源、融合機制管理、培訓(xùn)考試、安全認(rèn)證管理、靈活報表等應(yīng)用功能。
7)檔案管理系統(tǒng):本系統(tǒng)由集團公司統(tǒng)一實施,各單位檔案系統(tǒng)建設(shè)須按照集團公司統(tǒng)一規(guī)劃,以便于OA系統(tǒng)統(tǒng)一接口、版本升級、技術(shù)培訓(xùn)等。
8)網(wǎng)站系統(tǒng)由各下屬企業(yè)自主建設(shè)和運維管理,界面設(shè)計須符合集團公司VI視覺識別系統(tǒng)標(biāo)準(zhǔn),內(nèi)容、運維管理遵照公司和集團公司有關(guān)規(guī)定和要求,嚴(yán)格執(zhí)行安全保密等有關(guān)規(guī)定。
3發(fā)電企業(yè)網(wǎng)絡(luò)安全防護設(shè)計方案
發(fā)電企業(yè)信息安全體系機構(gòu)由網(wǎng)絡(luò)安全防護、數(shù)據(jù)備份和恢復(fù)、應(yīng)用系統(tǒng)安全、信息安全管理等幾部分組成。
3.1網(wǎng)絡(luò)安全防護
3.1.1系統(tǒng)安全域防護
將企業(yè)信息系統(tǒng)通過網(wǎng)絡(luò)安全域的形式,分為服務(wù)器、用戶兩個安全域,同時劃分多個二級安全域,主要為生產(chǎn)信息系統(tǒng)、財務(wù)系統(tǒng)、系統(tǒng)管理員、一線生產(chǎn)班組、普通用戶等。
3.1.2網(wǎng)絡(luò)的高可靠性
1)企業(yè)核心網(wǎng)絡(luò)設(shè)備采取雙機互為熱備形式,兩臺中心交換機設(shè)備通過雙鏈路互聯(lián);接入層與核心層也通過雙鏈路互聯(lián)。
2)重要用戶安全域通過雙鏈路與企業(yè)核心交換連接,進一步保證其鏈路的可靠性。
3)企業(yè)核心業(yè)務(wù)系統(tǒng)服務(wù)器也必須通過雙鏈路接入核心層。
3.1.3防病毒
1)企業(yè)管理信息大區(qū)按照要求統(tǒng)一部署防病毒系統(tǒng),采用國內(nèi)知名品牌網(wǎng)絡(luò)版。安全區(qū)一、二與三區(qū)各自擁有自己的防病毒服務(wù)器。
2)對管理信息大區(qū)的服務(wù)器、終端用戶,強制按照規(guī)定部署統(tǒng)一的可網(wǎng)管的防病毒產(chǎn)品。
3)在互聯(lián)網(wǎng)接口部署防病毒網(wǎng)關(guān),以防其從外部傳播到企業(yè)管理信息大區(qū)。
4)注重防病毒管理,保證病毒特征碼得到有效的更新,通過查看病毒軟件的歷史記錄,了解病毒威脅情況并積極應(yīng)對。
3.1.4防火墻
在位于內(nèi)外網(wǎng)接口處部署防火墻一臺,采用高性能硬件防火墻,國內(nèi)知名品牌,具有雙安全操作系統(tǒng);可以提供對復(fù)雜環(huán)境的接入支持,包括路由、透明以及混合接入模式;具備防火墻、IPSEC VPN,SSL VPN、防病毒、IPS等安全功能。
3.1.5入侵檢測系統(tǒng)
在核心層部署一個入侵檢測的探頭,保證入侵檢測系統(tǒng)能夠及時發(fā)現(xiàn)有關(guān)威脅。
3.1.6主機安全加固
發(fā)電企業(yè)的關(guān)鍵應(yīng)用系統(tǒng)(如生產(chǎn)營銷實施監(jiān)管系統(tǒng)、財務(wù)系統(tǒng))的服務(wù)器,采取定期安全加固的形式。形式包括:定期檢查安全配置、安全補丁、加強服務(wù)器系統(tǒng)的訪問控制能力等。
3.2備份與恢復(fù)
對于關(guān)鍵應(yīng)用系統(tǒng),必須采用每天定期備份,同時人工每月全備份一次。備份的數(shù)據(jù)必須采用異地存儲的形式,且需做到專人定期檢查,防止遺漏。
3.3應(yīng)用系統(tǒng)安全
管理信息大區(qū)中的發(fā)電企業(yè)應(yīng)用系統(tǒng)應(yīng)著重確保其安全性能夠得到保證。其主要安全建設(shè)內(nèi)容包括:對系統(tǒng)的訪問控制、用戶帳號密碼及權(quán)限管理、操作審計管理、數(shù)據(jù)加密管理、數(shù)據(jù)完整性檢查等。
3.4信息安全管理
1)通過成立企業(yè)信息化領(lǐng)導(dǎo)小組,加強信息工作包括信息安全工作的整體管理;
2)通過制定信息網(wǎng)絡(luò)管理制度及各級安全防護策略;并通過正式公文下發(fā),嚴(yán)格執(zhí)行。
3)通過設(shè)立專業(yè)的信息管理人員和成立涵蓋各業(yè)務(wù)部門的兼職信息員,形成覆蓋全面的信息化安全管理網(wǎng)絡(luò)。
綜上所述,發(fā)電企業(yè)網(wǎng)絡(luò)信息安全是一個系統(tǒng)工程,不能僅靠殺毒軟件、防火墻、漏洞掃描等硬件設(shè)備的防護,還要意識到計算機網(wǎng)絡(luò)系統(tǒng)是一個人機系統(tǒng),在建立以計算機網(wǎng)絡(luò)安全硬件產(chǎn)品為基礎(chǔ)的網(wǎng)絡(luò)安全系統(tǒng)的同時,也應(yīng)樹立各個用戶的網(wǎng)絡(luò)信息安全意識才能防微杜漸,構(gòu)建一個高效、安全的網(wǎng)絡(luò)系統(tǒng)。
綜上所述,發(fā)電企業(yè)信息安全是一個系統(tǒng)工程,不僅需要入侵檢測系統(tǒng)、防火墻等硬件安全設(shè)備,同時還要注意信息系統(tǒng)是一個廣泛使用的人機互動系統(tǒng),必須通過系列的安全管理措施和規(guī)章制度,進一步強化各級用戶的信息安全意識,做到信息安全人人有責(zé)、信息安全從自我做起,才能構(gòu)建起一個高效、安全的企業(yè)信息化網(wǎng)絡(luò)。
參考文獻:
網(wǎng)絡(luò)環(huán)境下保障企業(yè)信息的安全性對企業(yè)地發(fā)展具有重大的、直接的現(xiàn)實意義。深入研究與開發(fā)計算機信息安全技術(shù),減少或避免網(wǎng)絡(luò)信息系統(tǒng)的破壞與故障,對企業(yè)發(fā)展具有積極的作用。但就現(xiàn)實發(fā)展來看,目前企業(yè)網(wǎng)絡(luò)信息安全建設(shè)仍處于探索階段,優(yōu)化企業(yè)網(wǎng)絡(luò)安全,吸取前沿的安全技術(shù),實現(xiàn)企業(yè)網(wǎng)絡(luò)信息又快又好地發(fā)展成為眾企業(yè)關(guān)注的焦點問題。
一、企業(yè)網(wǎng)絡(luò)信息安全的基本目標(biāo)
企業(yè)網(wǎng)絡(luò)信息安全技術(shù)的研究與開發(fā)最終目的是實現(xiàn)企業(yè)信息的保密性、完整性、可用性以及可控性。具體來講市場化的發(fā)展背景,企業(yè)之間存在激烈的競爭,為增強市場競爭力,出現(xiàn)盜取商業(yè)機密與核心信息的不良網(wǎng)絡(luò)現(xiàn)象。企業(yè)加強網(wǎng)絡(luò)信息安全技術(shù)開發(fā),一個重要的目的是防止企業(yè)關(guān)鍵信息的泄露或者被非授權(quán)用戶盜取。其次,保障信息的完整性,是指防止企業(yè)信息在未經(jīng)授權(quán)的情況下被偶然或惡意篡改的現(xiàn)象發(fā)生。再次,實現(xiàn)數(shù)據(jù)的可用性,具體是指當(dāng)企業(yè)信息受到破壞或者攻擊時,攻擊者不能破壞全部資源,授權(quán)者在這種情況下仍然可以按照需求使用的特性。最后,確保企業(yè)網(wǎng)絡(luò)信息的可控性,例如對企業(yè)信息的訪問、傳播以及內(nèi)容具有控制的能力。
二、企業(yè)網(wǎng)絡(luò)信息安全面臨的主要威脅
根據(jù)相關(guān)調(diào)查顯示,病毒入侵、蠕蟲以及木馬程序破壞是對企業(yè)網(wǎng)絡(luò)信息安全造成威脅的主要原因。黑客攻擊或者網(wǎng)絡(luò)詐騙也是影響企業(yè)網(wǎng)絡(luò)信息安全的重要因素。當(dāng)然部分企業(yè)網(wǎng)絡(luò)信息安全受到破壞是由于企業(yè)內(nèi)部工作人員的操作失誤造成。總之威脅企業(yè)網(wǎng)絡(luò)信息安全的因素來自方方面面,無論是什么原因造成的企業(yè)網(wǎng)絡(luò)信息安全的破壞,結(jié)果都會對企業(yè)的生產(chǎn)發(fā)展造成惡劣的影響,導(dǎo)致企業(yè)重大的損失。在信息化發(fā)展背景下,企業(yè)只有不斷提高網(wǎng)絡(luò)信息的安全性,才是實現(xiàn)企業(yè)持續(xù)發(fā)展的有力保證。
三、企業(yè)網(wǎng)絡(luò)信息安全保護措施現(xiàn)狀
當(dāng)前企業(yè)在進行網(wǎng)絡(luò)信息安全保護方面的意識逐漸增強,他們?yōu)榇_保企業(yè)網(wǎng)絡(luò)信息安全時大都應(yīng)用了殺毒軟件來防止病毒的入侵。在對企業(yè)網(wǎng)絡(luò)信息安全進行保護時,方式比較單 一,技術(shù)比較落后。對于入侵檢測系統(tǒng)以及硬件防護墻的認(rèn)識不足,尚未在企業(yè)中普及。因此推進企業(yè)網(wǎng)絡(luò)信息安全技術(shù)的開發(fā),前提是提高企業(yè)對網(wǎng)絡(luò)信息安全保護的意識,增強企業(yè)應(yīng)用網(wǎng)絡(luò)信息安全技術(shù)的能力,才能有效推動企業(yè)網(wǎng)絡(luò)信息安全技術(shù)的開發(fā)。
四、促進企業(yè)網(wǎng)絡(luò)信息安全技術(shù)開發(fā)的對策與建議
(一)定期實施重要信息的備份與恢復(fù)
加大對企業(yè)網(wǎng)絡(luò)信息安全技術(shù)的研發(fā)投入,一個重要的體現(xiàn)是對企業(yè)網(wǎng)絡(luò)信息的管理。企業(yè)對于重要的、機密的信息和數(shù)據(jù)應(yīng)該定期進行備份或者是恢復(fù)工作。這是保障企業(yè)網(wǎng)絡(luò)信息安全簡單、基礎(chǔ)的工作內(nèi)容。當(dāng)企業(yè)網(wǎng)絡(luò)受到破壞甚至企業(yè)網(wǎng)絡(luò)系統(tǒng)出現(xiàn)癱瘓,企業(yè)能夠通過備份的信息保障生產(chǎn)工作的運行,把企業(yè)的損失降到最低。實現(xiàn)企業(yè)網(wǎng)絡(luò)信息安全技術(shù)開發(fā)的實效性的基礎(chǔ)工作是做好企業(yè)重要網(wǎng)絡(luò)信息的定期備份與恢復(fù)工作。
(二)構(gòu)建和實施虛擬專用網(wǎng)絡(luò)(VPN)技術(shù)
以隧道技術(shù)為核心的虛擬專用網(wǎng)絡(luò)技術(shù),是一項復(fù)雜的、專業(yè)的工程技術(shù)。該項技術(shù)對于保護企業(yè)網(wǎng)絡(luò)信息安全具有重要意義,并且效果顯著。它把企業(yè)專用的、重要的信息進行封裝,然后采取一定的方法利用公共網(wǎng)絡(luò)隧道傳輸企業(yè)專用網(wǎng)絡(luò)中的信息,如此一來可以實現(xiàn)對企業(yè)網(wǎng)絡(luò)信息的保護,避免出現(xiàn)對企業(yè)信息的竊取與惡意修改。當(dāng)然提升虛擬專用網(wǎng)絡(luò)的兼容性、簡化應(yīng)用程序是企業(yè)網(wǎng)絡(luò)信息安全技術(shù)研發(fā)重要課題。
(三)完善高效的防火墻技術(shù)
在企業(yè)內(nèi)部網(wǎng)與外聯(lián)網(wǎng)之間設(shè)置一道保護企業(yè)網(wǎng)絡(luò)信息安全的屏障,即設(shè)置防火墻。這一技術(shù)是目前最有效、最經(jīng)濟的保障企業(yè)網(wǎng)絡(luò)信息安全的技術(shù)。但由于當(dāng)前大多數(shù)的遠程監(jiān)控程序應(yīng)用的是反向鏈接的方式,這就限制了防火墻作用的發(fā)揮。在進行企業(yè)網(wǎng)絡(luò)信息安全技術(shù)開發(fā)過程中,應(yīng)進一步優(yōu)化防火墻的工作原理或者研發(fā)與之相匹配的遠程監(jiān)控程序,來實現(xiàn)防火墻對企業(yè)網(wǎng)絡(luò)信息安全的保護。
(四)對關(guān)鍵信息和數(shù)據(jù)進行加密
增強企業(yè)對關(guān)鍵信息和數(shù)據(jù)的加密技術(shù)水平也是企業(yè)網(wǎng)絡(luò)信息安全技術(shù)研發(fā)的主要方面。更新加密技術(shù),是保障企業(yè)網(wǎng)絡(luò)信息安全的重要環(huán)節(jié)。企業(yè)在對重要信息和數(shù)據(jù)進行加密時可以同時采取一些例如CD檢測或者Key File等保護措施,來增強企業(yè)重要信息的保密效果。
五、結(jié)束語
企業(yè)網(wǎng)絡(luò)信息安全體系的構(gòu)建是一項系統(tǒng)的、長期的、動態(tài)的工程。網(wǎng)絡(luò)環(huán)境下,信息安全技術(shù)發(fā)展的同時,新的破壞、攻擊、入侵網(wǎng)絡(luò)信息安全的手段也會不斷出現(xiàn)。企業(yè)只有與時俱進,加大對網(wǎng)絡(luò)信息安全技術(shù)的投入力度,才能加強對企業(yè)核心信息與數(shù)據(jù)的保護。在未來的發(fā)展過程中,企業(yè)在堅持技術(shù)策略與管理策略相結(jié)合的原則下,不斷升級完善企業(yè)網(wǎng)絡(luò)信息安全系統(tǒng)的開發(fā)與建設(shè),不斷提高企業(yè)的信息化水平。
許梅:國網(wǎng)四川省電力公司廣安供電公司三新電力服務(wù)有限公司,黨支部書記、副總經(jīng)理,高級工程師。研究方向:信息工程。
關(guān)鍵詞:信息安全;威脅;管理模式;桌面終端
在當(dāng)今的信息時代,我們的生活和工作方式受到信息技術(shù)發(fā)展的巨大影響,時時刻刻都在發(fā)生著改變,而現(xiàn)行企事業(yè)單位的管理模式也在這種“大環(huán)境”下不斷地推陳出新。作為各大國有企事業(yè)信息管理部門,必須考慮到當(dāng)前技術(shù)的發(fā)展給我們的工作帶來的機遇和威脅。
一、當(dāng)前信息網(wǎng)絡(luò)的安全形勢
目前,幾乎所有企業(yè)、事業(yè)單位、行政部門都面臨著內(nèi)部信息泄漏的問題。FBI對484家公司調(diào)查顯示:85%的安全損失是由企業(yè)內(nèi)部原因造成的。面對來自于公司內(nèi)部的安全威脅,很多員工都有切身感受,雖然不會有股票的跌漲刺激感官強烈,但是他們一定遇到過類似的事情。由于粗心誤操作造成公司服務(wù)器上重要文檔丟失;由于沒有設(shè)定員工在系統(tǒng)內(nèi)的訪問權(quán)限,使一些業(yè)務(wù)秘密出現(xiàn)在本不應(yīng)有查閱權(quán)的員工計算機上,并不小心將其泄露……對于這些來自公司內(nèi)部的信息安全問題,不是簡單的安裝了殺毒軟件或防火墻就能解決的,單純的“免疫”手段在“網(wǎng)絡(luò)風(fēng)險”、“軟件風(fēng)險”日益嚴(yán)重的今天,都已經(jīng)不足以讓人信任和依賴。
據(jù)調(diào)查統(tǒng)計,90%以上的計算機終端用戶使用的是windows2000,XP或以上的操作系統(tǒng),而這些系統(tǒng)的安全漏洞及系統(tǒng)缺陷非常多。雖然微軟公司會通過定期在網(wǎng)站上安全補丁來彌補這些漏洞,而一些軟件公司也會對自己開發(fā)的軟件進行不斷地更新和升級,但由于終端用戶缺乏相關(guān)知識,導(dǎo)致補丁安裝的不及時、不完全,這就會影響終端計算機的安全,從而影響整個內(nèi)部網(wǎng)絡(luò)安全。
二、企事業(yè)單位網(wǎng)絡(luò)終端計算機安全現(xiàn)狀
大中型企事業(yè)單位、政府辦公網(wǎng)絡(luò),桌面終端計算機數(shù)量隨著辦公的需要不斷增多,而出現(xiàn)的網(wǎng)絡(luò)問題也日趨明顯。常見的情況主要有:計算機感染病毒、被安裝木馬;有些不明程序不斷搶占IP地址(ARP病毒)堵塞整個網(wǎng)段,使該網(wǎng)段用戶都不能上網(wǎng)。除此以外,部分員工使用公司辦公電腦私自從網(wǎng)絡(luò)上下載海量資源,迅雷、BT、電驢這些下載工具都會搶占網(wǎng)絡(luò)通道,這樣就導(dǎo)致了其他一些用戶使用辦公電腦辦公時網(wǎng)速非常低,嚴(yán)重時網(wǎng)頁無法顯示,不僅影響了其他員工的工作,還降低了整個公司的工作效率。
這種問題在當(dāng)下的網(wǎng)絡(luò)時代普遍存在于現(xiàn)有的企事業(yè)單位,尤其是一些已經(jīng)擺脫了紙張,進入“無紙化”辦公的先進單位更為明顯。由于難于發(fā)現(xiàn)高危計算機,并對其進行定位,因此一旦問題發(fā)生,就需要大量的故障排查時間。如果同時有多臺計算機感染網(wǎng)絡(luò)病毒或者進行非法操作,就會造成網(wǎng)絡(luò)癱瘓,從而致使其他正常網(wǎng)絡(luò)業(yè)務(wù)無法使用。
現(xiàn)階段,所有企業(yè)都在努力尋找一種有效的手段來扭轉(zhuǎn)這種嚴(yán)峻的局面,并盡可能地出臺大量的信息網(wǎng)絡(luò)管理規(guī)定。例如:禁止在辦公計算機內(nèi)安裝BT下載軟件,禁止在個人終端設(shè)備中安裝網(wǎng)絡(luò)游戲軟件,禁止私自更改電腦的安全設(shè)置,禁止將外部的電腦接入單位的內(nèi)部網(wǎng)絡(luò)等行為。但是,由于缺乏技術(shù)和管理手段、考核制度、使用標(biāo)準(zhǔn)、用機規(guī)范等,都不能夠有效切實地執(zhí)行,這樣就使企業(yè)內(nèi)部的信息網(wǎng)絡(luò)安全水平很低,衍生了諸多不可控制的安全隱患。
三、通過網(wǎng)絡(luò)防護與終端防護共筑信息安全長城
以往提起信息安全,人們更多地把注意力集中在防火墻、防病毒、IDS(入侵檢測)、網(wǎng)御設(shè)備、網(wǎng)絡(luò)交換設(shè)備的管理上,卻忽略了對網(wǎng)絡(luò)環(huán)境中的計算單元――服務(wù)器、臺式機乃至便攜機的管理。
近兩年的安全防御調(diào)查表明,政府、企事業(yè)單位中超過80%的管理和安全問題來自終端,計算機終端廣泛涉及每個用戶,由于其分散性、不被重視、安全手段缺乏的特點,已成為信息安全體系的薄弱環(huán)節(jié)。因此,隨著信息技術(shù)的不斷進步,網(wǎng)絡(luò)安全防護的工作重點開始發(fā)生轉(zhuǎn)移,安全戰(zhàn)場已經(jīng)逐步由核心與主干的防護,轉(zhuǎn)向網(wǎng)絡(luò)邊緣的每一個終端。網(wǎng)絡(luò)管理員已經(jīng)不是信息安全的唯一負責(zé)人,計算機終端用戶才是信息安全的第一責(zé)任人。
四、建設(shè)桌面終端安全管理系統(tǒng)的意義
伴隨著網(wǎng)絡(luò)管理業(yè)務(wù)密集度的增加,在信息安全防護領(lǐng)域興起了終端桌面安全管理技術(shù)。作為網(wǎng)絡(luò)管理技術(shù)衍生的邊緣產(chǎn)物,它同傳統(tǒng)安全防御體系的缺陷相關(guān)聯(lián),是傳統(tǒng)網(wǎng)絡(luò)安全防范體系的補充,也是未來網(wǎng)絡(luò)安全防范體系的重要組成部分。由此看來,終端桌面管理的發(fā)展趨勢和技術(shù)特點,才是信息安全防護趨勢的導(dǎo)向。在進行桌面終端安全防護部署時,必須把提升信息安全的關(guān)鍵放在提升計算機終端安全水平上。
如何有效地管理計算機終端成了當(dāng)前的熱點話題,而桌面計算機安全管理系統(tǒng)的應(yīng)運而生就顯得尤為重要了。第一可以通過批量設(shè)置計算機的安全保護措施提高桌面計算機的安全性,及時更新桌面計算機的安全補丁,減少被攻擊的可能;第二,它還可以實現(xiàn)動態(tài)安全評估,實時評估計算機的安全狀態(tài)及其是否符合管理規(guī)定,比如說,評估計算機的網(wǎng)絡(luò)流量是否異常,評估計算機是否做了非法操作,評估計算機的安全設(shè)置是否合理等;第三,通過系統(tǒng)中進行策略的配置,對計算機終端進行批量的軟件安裝、批量的安全設(shè)置等,防止外來電腦非法接入,避免網(wǎng)絡(luò)安全遭受破壞或者信息泄密;第四,利用桌面系統(tǒng)的高科技手段,能夠確保本單位的計算機使用制度得到落實,使“禁止撥號上網(wǎng),禁止使用外部郵箱,禁止訪問非法網(wǎng)站,禁止將單位機密文件復(fù)制、發(fā)送到外部”等這一系列管理措施得以貫徹和執(zhí)行;第五,在網(wǎng)絡(luò)出現(xiàn)安全問題后,桌面終端系統(tǒng)可以對有問題的IP/MAC/主機名等進行快速的定位,便于管理員迅速排查故障;最后一點可以稱之為桌面系統(tǒng)的“增值服務(wù)”,在保證信息網(wǎng)絡(luò)安全的同時,還能對計算機的資產(chǎn)進行有效地管理和控制。
這些功能的實現(xiàn),淺表地說能夠持續(xù)有效地解決大批量的計算機終端安全管理問題,真正的意義在于能夠切實地幫助企業(yè)內(nèi)部各種管理規(guī)定有效地執(zhí)行。如今憑借這些高科技手段,全面提升企事業(yè)單位內(nèi)部信息化工作水平已經(jīng)不再是紙上談兵。
五、結(jié)語
企事業(yè)單位要在信息技術(shù)高速發(fā)展的今天立于不敗之地,就必須結(jié)合自身客戶的網(wǎng)絡(luò)結(jié)構(gòu)、終端特點和管理模式,搭建安全、穩(wěn)固的內(nèi)部IT架構(gòu)。而桌面終端安全管理的應(yīng)用,將極大地提高信息安全系數(shù),使企業(yè)信息風(fēng)險降到最低。
參考文獻:
[1] 閆龍川,劉永志,來鳳剛.計算機終端安全管理系統(tǒng)及其應(yīng)用[J].電力信息化,2009,(7).
[2] 馬國勝.桌面安全管理系統(tǒng)的應(yīng)用[J].中國金融電腦,2009,(4).
[關(guān)鍵詞]信息安全;管理;控制;構(gòu)建
中圖分類號:X922;F272 文獻標(biāo)識碼:A 文章編號:1009-914X(2015)42-0081-01
1 企業(yè)信息安全的現(xiàn)狀
隨著企業(yè)信息化水平的提升,大多數(shù)企業(yè)在信息安全建設(shè)上逐步添加了上網(wǎng)行為管理、內(nèi)網(wǎng)安全管理等新的安全設(shè)備,但信息安全防護理念還停留在防的階段,信息安全策略都是在安全事件發(fā)生后再補救,導(dǎo)致了企業(yè)信息防范的主動性和意識不高,信息安全防護水平已經(jīng)越來越不適應(yīng)當(dāng)今企業(yè)IT運維環(huán)境和企業(yè)發(fā)展的需求。
2 企業(yè)信息系統(tǒng)安全防護的構(gòu)建原則
企業(yè)信息化安全建設(shè)的目標(biāo)是在保障企業(yè)數(shù)字化成果的安全性和可靠性。在構(gòu)建企業(yè)信息安全體系時應(yīng)該遵循以下幾個原則:
2.1 建立企業(yè)完善的信息化安全管理體系
企業(yè)信息安全管理體系首先要建立完善的組織架構(gòu)、制定信息安全管理規(guī)范,來保障信息安全制度的落實以及企業(yè)信息化安全體系的不斷完善。基本企業(yè)信息安全管理過程包括:分析企業(yè)數(shù)字化資產(chǎn)評估和風(fēng)險分析、規(guī)劃信息系統(tǒng)動態(tài)安全模型、建立可靠嚴(yán)謹(jǐn)?shù)膱?zhí)行策略、選用安全可靠的的防護產(chǎn)品等。
2.2 提高企業(yè)員工自身的信息安全防范意識
在企業(yè)信息化系統(tǒng)安全管理中,防護設(shè)備和防護策略只是其中的一部分,企業(yè)員工的行為也是維護企業(yè)數(shù)字化成果不可忽略的組成。所以企業(yè)在實施信息化安全管理時,絕對不能忽視對人的行為規(guī)范和績效管理。在企業(yè)實施企業(yè)信息安全前,應(yīng)制定企業(yè)員工信息安全行為規(guī)范,有效地實現(xiàn)企業(yè)信息系統(tǒng)和數(shù)字化成果的安全、可靠、穩(wěn)定運行,保證企業(yè)信息安全。其次階段遞進的培訓(xùn)信息安全人才也是保障企業(yè)數(shù)字化成果的重要措施。企業(yè)對員工進行逐次的安全培訓(xùn),強化企業(yè)員工對信息安全的概念,提升員工的安全意識。使員工的行為符合整個企業(yè)信息安全的防范要求。
2.3 及時優(yōu)化更新企業(yè)信息安全防護技術(shù)
當(dāng)企業(yè)對自身信息安全做出了一套整體完善的防護規(guī)劃時,就應(yīng)當(dāng)考慮采用何種安全防護技術(shù)來支撐整個信息安全防護體系。對于安全防護技術(shù)來說可以分為身份識別、網(wǎng)絡(luò)隔離、網(wǎng)絡(luò)安全掃描、實時監(jiān)控與入侵發(fā)現(xiàn)、安全備份恢復(fù)等。比如身份識別的目的在于防止非企業(yè)人員訪問企業(yè)資源,并且可以根據(jù)員工級別分配人員訪問權(quán)限,達到企業(yè)敏感信息的安全保障。
3 企業(yè)信息安全體系部署的建議
根據(jù)企業(yè)信息安全建設(shè)架構(gòu),在滿足終端安全、網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全等安全防護體系時,我們需要重點關(guān)注以下幾個方面:
3.1 實施終端安全,規(guī)范終端用戶行為
在企業(yè)信息安全事件中,數(shù)字化成果泄漏是屬于危害最為嚴(yán)重的一種行為。企業(yè)信息安全體系建立前,企業(yè)員工對自己的個人行為不規(guī)范,造成了員工可以通過很多方式實現(xiàn)信息外漏。比如通過U盤等存儲介質(zhì)拷貝或者通過聊天軟件傳遞企業(yè)的核心數(shù)字化成果。對于這類高危的行為,我們在建設(shè)安全防護體系時,僅僅靠上網(wǎng)行為管理控制是不能完全杜絕的。應(yīng)該當(dāng)用戶接入企業(yè)信息化平臺前,就對用戶的終端系統(tǒng)進行安全規(guī)范檢查,符合企業(yè)制定的終端安全要求后再接入企業(yè)內(nèi)網(wǎng)。同時配合上網(wǎng)行為管理的策略對員工的上網(wǎng)行為進行審計,使得企業(yè)員工的操作行為符合企業(yè)制定的上網(wǎng)行為規(guī)范,從終端用戶提升企業(yè)的防護水平。
3.2 建設(shè)安全完善的VPN接入平臺
企業(yè)在信息化建設(shè)中,考慮總部和分支機構(gòu)的信息化需要,必然會采用VPN方式來解決企業(yè)的需求。不論是采用SSL VPN還是IPSecVPN,VPN加密傳輸都是通用的選擇。對于分支機構(gòu)可以考慮專用的VPN設(shè)備和總部進行IPSec連接,這種方式更安全可靠穩(wěn)定。對于移動終端的接入可以考慮SSL VPN方式。在這種情況下,就必須做好對于移動終端的身份認(rèn)證識別。其實我們在設(shè)備采購時,可以要求設(shè)備商做好多種接入方式的需求,并且?guī)椭髽I(yè)搭建認(rèn)證方式。這將有利于企業(yè)日常維護,提升企業(yè)信息系統(tǒng)的VPN接入水平。
3.3 優(yōu)化企業(yè)網(wǎng)絡(luò)的隔離性和控制性
在規(guī)劃企業(yè)網(wǎng)絡(luò)安全邊際時,要面對多個部門和分支結(jié)構(gòu),合理的規(guī)劃安全網(wǎng)絡(luò)邊際將是關(guān)鍵。企業(yè)的網(wǎng)絡(luò)體系可以分為:物理層;數(shù)據(jù)鏈路層;網(wǎng)絡(luò)層;傳輸層;會話層;表示層;應(yīng)用層。各體系之間的相互隔離和訪問策略是防止企業(yè)信息安全風(fēng)險的重要環(huán)節(jié)。在企業(yè)多樣化網(wǎng)絡(luò)環(huán)境的背景下,根據(jù)企業(yè)安全優(yōu)先級及面臨的風(fēng)險程度,做出適合企業(yè)信息安全的防護策略和訪問控制策略。根據(jù)相應(yīng)防護設(shè)備進行深層次的安全防護,真正實現(xiàn)OSI的L2~L7層的安全防護。
3.4 實現(xiàn)企業(yè)信息安全防護體系的統(tǒng)一管理
為企業(yè)信息安全構(gòu)建統(tǒng)一的安全防護體系,重要的優(yōu)勢就是能實現(xiàn)對全網(wǎng)安全設(shè)備及安全事件的統(tǒng)一管理,做到對整個網(wǎng)絡(luò)安全事件的“可視、可控和可管”。企業(yè)采購的各種安全設(shè)備工作時會產(chǎn)生大量的安全日志,如果單靠相關(guān)人員的識別日志既費時效率又低。而且不同安全廠商的日志報表還存在很大差異。所以當(dāng)安全事件發(fā)生時,企業(yè)管理員很難實現(xiàn)對信息安全的統(tǒng)一分析和管理。所以在企業(yè)在構(gòu)建信息安全體系時,就必須要考慮安全設(shè)備日志之間的統(tǒng)一化,設(shè)定相應(yīng)的訪問控制和安全策略實現(xiàn)日志的歸類分析。這樣才能做到對全網(wǎng)安全事件的“可視、可控和可管”。
4 結(jié)束語
信息安全的主要內(nèi)容就是保護企業(yè)的數(shù)字化成果的安全和完整。企業(yè)在實施信息安全防護過程中是一個長期的持續(xù)的工作。我們需要在前期做好詳盡的安全防護規(guī)劃,實施過程中根據(jù)不斷出現(xiàn)的情況及時調(diào)整安全策略和訪問控制,保證備份數(shù)據(jù)的安全性可靠性。同時全體企業(yè)員工一起遵守企業(yè)制定的信息安全防護管理規(guī)定,這樣才能為企業(yè)的信息安全提供生命力和主動性,真正為企業(yè)的核心業(yè)務(wù)提供安全保障。
參考文獻
[1] 段永紅.如何構(gòu)建企業(yè)信息安全體系[J]. 科技視界,2012,16:179-180.
[2] 于雷.企業(yè)信息安全體系構(gòu)建[J].科技與企業(yè),2011,08:69.
[3] 彭佩,張婕,李紅梅. 企業(yè)信息安全立體防護體系構(gòu)建及運行[J].現(xiàn)代電子技術(shù),2014,12:42-45+48.
[4] 劉小發(fā),李良,嚴(yán)海濤.基于企業(yè)網(wǎng)絡(luò)的信息安全體系構(gòu)建策略探討[J]. 郵電設(shè)計技術(shù),2013,12:25-28.
[5] 白雪祺,張銳鋒. 淺析企業(yè)信息系統(tǒng)安全體系建設(shè)[J].管理觀察,2014,27:81-83.
【關(guān)鍵詞】企業(yè); 信息安全; 風(fēng)險評估; 風(fēng)險控制
引言:
計算機和網(wǎng)絡(luò)通信相結(jié)合的信息技術(shù),是促進當(dāng)代社會信息化發(fā)展的主要力量,為社會上各行各業(yè)的發(fā)展創(chuàng)造了良好的環(huán)境。許多企業(yè)在經(jīng)營與管理中已經(jīng)引用現(xiàn)代信息技術(shù),從而使經(jīng)營與管理更為科學(xué),工作效率更高,獲得的經(jīng)濟效益也越多。然而現(xiàn)代信息技術(shù)是一把雙刃劍,信息化的程度越高,由它帶來的風(fēng)險也越大。當(dāng)前,企業(yè)的信息安全風(fēng)險評估工作存在著一些問題,這些問題對企業(yè)的發(fā)展造成很多不利的影響。
一、企業(yè)信息安全風(fēng)險概述
對企業(yè)來說,信息是維持企業(yè)正常運作的必要資源。企業(yè)的信息包括重要的數(shù)據(jù)、企業(yè)的發(fā)展規(guī)劃、保密性文件、知識產(chǎn)權(quán)等。這些信息一旦被泄露,那么企業(yè)將面臨著或大或小的經(jīng)濟損失,更嚴(yán)重的還會使企業(yè)面臨破產(chǎn)的危險。所謂的企業(yè)信息安全就是指信息在其生命周期中,它的完整性、保密性和可用性這三個特性的保留情況。如果這三個特性都得到了保障,那么信息的安全性就高;如果其中的某個特性被破壞,那么信息的安全性就低。而信息安全風(fēng)險就是指信息在特定的環(huán)境與特定的時間里可能遭遇的安全威脅。
信息安全風(fēng)險可以分為可控性風(fēng)險與不可控風(fēng)險、可接受風(fēng)險與不可接受風(fēng)險、自然風(fēng)險與人為風(fēng)險等[1],這些風(fēng)險給企業(yè)的信息安全管理工作帶來了更多的不確定因素,加深了工作難度。
二、企業(yè)信息安全風(fēng)險評估的現(xiàn)狀與問題
當(dāng)前,我國企業(yè)的信息安全風(fēng)險評估工作存在著許多問題,給企業(yè)的日常經(jīng)營與管理帶來了許多不利的影響。
首先,企業(yè)沒有樹立正確的信息安全觀。很多企業(yè)的管理者在信息安全問題上會走向兩個極端,一種是認(rèn)為只要加大信息建設(shè)的投入,信息就存在絕對安全的可能;另一種是忽視信息安全建設(shè),信息安全風(fēng)險意識淡薄。很多企業(yè)的管理層對信息資產(chǎn)的重要性認(rèn)識不夠,因而他們在保護信息安全方面幾乎是無作為。
其次,企業(yè)在具體的信息安全風(fēng)險評估工作中,表現(xiàn)出重安全技術(shù)而輕安全管理的思想與行為方式。這些企業(yè)在工作過程當(dāng)中,不論是在心理還是在行為上都過分依賴安全技術(shù),甚至認(rèn)為只要安全技術(shù)過硬,信息安全就一定能夠得到保證,為此,企業(yè)普遍采用現(xiàn)代通信技術(shù)、計算機和網(wǎng)絡(luò)技術(shù)來構(gòu)建企業(yè)信息安全系統(tǒng)。而在安全管理上,出現(xiàn)了管理措施不到位,員工在信息保密上不夠嚴(yán)肅等問題,造成信息安全技術(shù)做無用功。
此外,企業(yè)信息安全風(fēng)險評估工作還存在著管理制度不夠完善、責(zé)任劃分不夠明確等問題。信息安全風(fēng)險的評估工作需要收集各方面的大量的信息,如此才能增強評估的有效性。而企業(yè)由于管理制度不完善、職責(zé)劃分不明確等問題,造成各部門的工作不配合、不協(xié)調(diào)。信息技術(shù)部門被孤立,信息安全的風(fēng)險評估工作也就不能得到及時有效的完成。
最后,我國有些企業(yè)在信息安全風(fēng)險評估的技術(shù)與方法上落后于時代。現(xiàn)代信息系統(tǒng)越往后發(fā)展,結(jié)構(gòu)就越復(fù)雜。這要求企業(yè)要根據(jù)不斷變化的信息技術(shù)來改進自己的風(fēng)險管理理念和手段,同時也要吸收國際上的先進信息安全風(fēng)險評估技術(shù),保障自身的信息安全。
三、企業(yè)信息安全風(fēng)險的控制
企業(yè)信息安全問題對企業(yè)來說是不應(yīng)該被忽視的部分,企業(yè)應(yīng)該在經(jīng)營與管理的每個環(huán)節(jié)做好信息安全風(fēng)險的控制工作,使企業(yè)的重要信息能夠得到充分的保護。企業(yè)信息安全風(fēng)險的控制可以從風(fēng)險分析、管理控制、技術(shù)控制三個方面來進行。
(一)風(fēng)險分析
在進行信息安全風(fēng)險控制之前,先對風(fēng)險進行分析可以使風(fēng)險控制工作更加具有針對性,能夠提高風(fēng)險控制工作的效率。對風(fēng)險的分析可以從信息資產(chǎn)面臨的威脅、存在的弱點等方面來進行[2]。在風(fēng)險分析工作中,要明確以下幾點:首先是信息安全風(fēng)險控制工作中需要保護哪些信息,這些信息具有什么樣的價值;信息資產(chǎn)面臨著哪些潛在的威脅,導(dǎo)致這些威脅產(chǎn)生的根源是什么,威脅發(fā)生的幾率有多大;信息資產(chǎn)中是否具有漏洞,這些漏洞是否會被人威脅利用;信息資產(chǎn)發(fā)生威脅之后,企業(yè)會面臨多大的損失;企業(yè)該采取什么樣的措施來應(yīng)對風(fēng)險帶來的損失,等等。
(二)管理控制
企業(yè)信息安全風(fēng)險控制工作主要從組織管理、人員管理、政策實施等幾個方面來進行。首先,企業(yè)應(yīng)該建立信息安全組織機構(gòu),吸收組織成員,協(xié)調(diào)企業(yè)內(nèi)部的各項資源,制定信息安全控制的目標(biāo)并通過組織成員履行職責(zé)來達到目標(biāo)。其次,企業(yè)要培養(yǎng)素質(zhì)高、責(zé)任心強、原則性強,能夠遵守企業(yè)政策的人員。企業(yè)信息安全風(fēng)險的控制不僅與強大的技術(shù)力量有關(guān),而且還有賴于執(zhí)行人員對信息安全工作的支持與參與。此外,在政策實施上,企業(yè)要嚴(yán)格執(zhí)行相關(guān)的信息安全保護政策,比如目前國際通用的《信息技術(shù)―信息安全管理實施細則》[1],為企業(yè)執(zhí)行信息安全保護工作提供一個統(tǒng)一的標(biāo)準(zhǔn),從而使工作能夠有序地展開。
(三)技術(shù)控制
技術(shù)對信息安全控制的影響力是比較大的,它在很大程度上決定了信息安全風(fēng)險的大小、范圍,同時它也決定了修補信息安全漏洞的方式和方法。因此,在技術(shù)方面對信息安全風(fēng)險進行控制是非常有必要的。首先,技術(shù)構(gòu)架的設(shè)計應(yīng)該遵循系統(tǒng)性原則、技術(shù)先進性原則、可控性原則、適度性原則等,使技術(shù)能夠更好地服務(wù)于風(fēng)險控制;其次,要做好安全域的信息安全保障工作,根據(jù)不同的安全域所面臨的不同風(fēng)險來進行信息安全保護工作;最后,要提高信息安全保障技術(shù)。目前而言,我國的信息安全保障技術(shù)與國際上的相比明顯處于落后狀態(tài),因此,企業(yè)要引進先進的技術(shù)力量,加強信息安全風(fēng)險的控制力度。
四、結(jié)語
在這個信息化高度發(fā)展的社會,任何企業(yè)與個人在享受信息化帶來的便利的同時,也要承擔(dān)信息化帶來的風(fēng)險。我國企業(yè)在激烈的市場競爭中,不可避免會遇到信息安全上的威脅。因此每個企業(yè)都應(yīng)該做好信息安全的管控工作,認(rèn)真、嚴(yán)肅地對待當(dāng)前網(wǎng)絡(luò)環(huán)境下的企業(yè)信息安全問題。
參考文獻:
[1]谷田.網(wǎng)絡(luò)環(huán)境下的企業(yè)信息安全問題研究[D].鄭州大學(xué)2012
企業(yè)經(jīng)營信息對于企業(yè)來說是一種資源,對于企業(yè)自身來說具有重要意義,企業(yè)需要妥善管理自身企業(yè)的信息。近年來,企業(yè)的各項經(jīng)營活動都逐漸開始通過計算機,網(wǎng)絡(luò)開展,因此,企業(yè)的信息安全管理對于企業(yè)越來越重要。許多企業(yè)開始通過各種技術(shù)手段以及制度改革,把更多的注意力放在企業(yè)內(nèi)部的信息安全管理工作,同時將企業(yè)信息安全管理與風(fēng)險控制結(jié)合起來,這是一個正確的選擇,能夠幫助企業(yè)實現(xiàn)穩(wěn)定經(jīng)營。在介紹企業(yè)信息安全管理以及風(fēng)險控制前必須厘清企業(yè)信息安全管理的概念與企業(yè)風(fēng)險控制定義,因此,本節(jié)將著重介紹企業(yè)信息安全管理的概念以及企業(yè)風(fēng)險控制的定義。
企業(yè)的信息安全管理包含十分豐富的內(nèi)容,簡單來說是指企業(yè)通過各種手段來保護企業(yè)硬件和軟件,保護網(wǎng)絡(luò)存儲中的各種數(shù)據(jù)不受偶然因素的破壞或者惡意的原因被攻擊。對于信息安全的認(rèn)定通過包括4個指標(biāo),即保證信息數(shù)據(jù)的完整,保證信息數(shù)據(jù)不被泄露,保證信息數(shù)據(jù)能夠正常使用,保證信息數(shù)據(jù)能夠控制管理。要想做好企業(yè)的信息安全管理,首先需要了解的是關(guān)于信息的傳輸方式。隨著信息技術(shù)的不斷普及,信息傳遞的方式越來越多,常見的信息傳遞方式主要有互聯(lián)網(wǎng)傳播,局域網(wǎng)傳播,硬件傳播等等。要想實現(xiàn)企業(yè)的信息安全管理,其中很重要的一項工作在于保護信源、信號以及信息。信息安全管理是一項需要綜合學(xué)科知識基礎(chǔ)的工作,從事企業(yè)信息安全管理工作的人員通過需要具有網(wǎng)絡(luò)安全技術(shù)、計算機技術(shù)、密碼技術(shù)、通信技術(shù)。從企業(yè)的信息安全管理來講,最為關(guān)鍵的一項工作時保護企業(yè)內(nèi)部經(jīng)營信息數(shù)據(jù)的完整。經(jīng)過近十年來的企業(yè)信息安全管理工作經(jīng)驗總結(jié),企業(yè)信息安全不僅僅需要信息技術(shù)的支持,更需要通過建立完善的企業(yè)風(fēng)險控制體系來幫助企業(yè)實現(xiàn)更好地保護企業(yè)信息安全的目標(biāo)。
所以,怎樣把企業(yè)信息安全管理與風(fēng)險控制融合起來就是擺在企業(yè)經(jīng)營管理者面前的一道難題。企業(yè)的信息安全風(fēng)險控制必須通過企業(yè)建立完善的企業(yè)信息安全風(fēng)險體系實現(xiàn)。企業(yè)的信息安全風(fēng)險控制是指企業(yè)在企業(yè)信息安全遭遇威脅之前,提前對企業(yè)的信息進行風(fēng)險預(yù)估,并采取一系列的有針對性的活動降低企業(yè)面臨的信息安全風(fēng)險,從而盡可能減少因為企業(yè)本身信息安全管理中存在漏洞給企業(yè)帶來不必要的損失。常見的企業(yè)信息安全風(fēng)險體系建立主要包含以下幾個方面的內(nèi)容。第一,建立企業(yè)信息安全風(fēng)險管理制度,明確企業(yè)信息安全管理的責(zé)任分配機制,明確企業(yè)各個部門對各自信息安全所應(yīng)承擔(dān)的責(zé)任,并建立相應(yīng)的問責(zé)機制。第二,設(shè)置規(guī)范的企業(yè)信息安全風(fēng)險管理指標(biāo),對企業(yè)存在的可能威脅企業(yè)信息安全管理的漏洞予以風(fēng)險定級,方便企業(yè)管理者對不同的信息安全管理漏洞采取有區(qū)別的對策。第三,企業(yè)要加強對信息安全管理人員的培訓(xùn),提高企業(yè)信息安全管理工作人員的風(fēng)險意識,讓企業(yè)內(nèi)部從事信息安全管理工作人員認(rèn)識到自身工作的重要性,讓企業(yè)內(nèi)部從事信息安全管理工作人員了解到規(guī)范自身行為,正確履行職責(zé)的重要性。第四,將企業(yè)信息安全管理與風(fēng)險控制有效融合,重視企業(yè)信息安全管理工作,通過風(fēng)險控制對企業(yè)內(nèi)部信息安全的管理方式進行正確評估,找出現(xiàn)行的企業(yè)內(nèi)部信息安全管理手段中存在容易忽視的地方。
二、企業(yè)信息安全管理與風(fēng)險控制存在的不足
1.企業(yè)信息安全管理工作人員素質(zhì)不高
對于企業(yè)來說,企業(yè)信息安全管理工作是一項極為重要而隱秘的工作,因此,必須增強對企業(yè)信息安全管理工作人員的素質(zhì)要求。但是根據(jù)調(diào)查統(tǒng)計,目前很多企業(yè)對信息安全工作的管理僅僅停留在對企業(yè)信息安全管理工作人員的技術(shù)要求上,對企業(yè)信息安全管理工作人員的道德素養(yǎng),職業(yè)素養(yǎng),風(fēng)險意識并沒有嚴(yán)格要求。此外,絕大多數(shù)企業(yè)并沒有意識開展對企業(yè)信息安全管理工作的道德素質(zhì)的教育培訓(xùn),并沒有通過建立相關(guān)管理制度以及問責(zé)機制對企業(yè)信息安全管理工作人員實行監(jiān)督,這無疑給別有用心或者立場不堅定的企業(yè)信息安全管理工作人員留下了危害企業(yè)信息安全的可乘之機。
2.企業(yè)信息安全管理技術(shù)不過關(guān)
企業(yè)信息安全管理工作涉及多許多技術(shù),包括信息技術(shù),計算機技術(shù),密碼技術(shù),網(wǎng)絡(luò)應(yīng)用技術(shù)等等,應(yīng)當(dāng)說成熟的計算機應(yīng)用技術(shù)是做好企業(yè)信息安全管理的基礎(chǔ),但是,現(xiàn)實是許多企業(yè)的信息安全管理技術(shù)并不過關(guān),一方面企業(yè)的信息安全管理硬件并不過關(guān),在物理層面對企業(yè)信息缺乏保護,另一方面,企業(yè)信息安全管理工作的專業(yè)技術(shù)沒有及時更新,一些企業(yè)信息安全管理工作人員缺乏企業(yè)信息安全管理的實踐經(jīng)驗,企業(yè)信息安全管理的知識也并沒有及時更新,從而導(dǎo)致企業(yè)的信息安全管理理論嚴(yán)重滯后,這種技術(shù)的落后很容易讓企業(yè)成為不法分子的攻擊對象。近年來網(wǎng)絡(luò)病毒的傳播越來越猖狂,很多服務(wù)器、系統(tǒng)提示安全補丁的下載更新以及客戶端的時常更新成為一個惱人的問題。作為一個行業(yè)中的大中型企業(yè),企業(yè)內(nèi)部設(shè)備數(shù)量比較多,尤其是客戶端數(shù)量占了較大比重,僅僅靠少數(shù)幾個管理員進行管理是難以承擔(dān)如此大量的工作量。另外,企業(yè)信息安全管理系統(tǒng)不成熟也是一個重大的隱患。
3.企業(yè)信息安全管理制度不健全
企業(yè)信息安全管理制度不僅僅需要理論制度的完善,更加需要一系列配套監(jiān)督機制保障企業(yè)信息安全管理的有效執(zhí)行。通過調(diào)查分析,許多企業(yè)雖然建立了企業(yè)信息安全管理制度,但是通常情況下,這些制度只能流于形式,企業(yè)信息安全管理工作缺少有效的制約和監(jiān)督,企業(yè)信息安全管理工作人員缺乏執(zhí)行力。企業(yè)信息安全管理制度不健全,企業(yè)信息安全管理工作缺乏執(zhí)行力常常體現(xiàn)在以下幾個方面。第一,企業(yè)員工對于信息安全管理的認(rèn)識嚴(yán)重不足,對企業(yè)信息安全管理工作不重視。企業(yè)內(nèi)部計算機系統(tǒng)安全的計算機防病毒軟件并沒有及時更新,使用,甚至企業(yè)內(nèi)部計算機的防病毒軟件還被企業(yè)員工卸載了。部分企業(yè)員工認(rèn)為自己的工作與企業(yè)信息安全管理不相關(guān),認(rèn)為做好企業(yè)信息安全管理工作僅僅是企業(yè)信息安全部門的事。第二,企業(yè)內(nèi)部信息安全管理制度并沒有形成聯(lián)動機制,企業(yè)信息安全管理工作僅僅由企業(yè)信息安全部門“一人包干”,企業(yè)信息安全反映的問題并沒有得到積極的反饋,一些企業(yè)領(lǐng)導(dǎo)對企業(yè)信息安全現(xiàn)狀所了解的少之又少。
三、企業(yè)信息安全管理常見的技術(shù)手段
1.OSI安全體系結(jié)構(gòu)
OSI概念化的安全體系結(jié)構(gòu)是一個多層次的結(jié)構(gòu),它的設(shè)計初衷是面向客戶的,提供給客戶各種安全應(yīng)用,安全應(yīng)用必須依靠安全服務(wù)來實現(xiàn),而安全服務(wù)又是由各種安全機制來保障的。所以,安全服務(wù)標(biāo)志著一個安全系統(tǒng)的抗風(fēng)險的能力,安全服務(wù)數(shù)量越多,系統(tǒng)就越安全。
2.P2DR模型
P2DR模型包含四個部分:響應(yīng)、安全策略、檢測、防護。安全策略是信息安全的重點,為安全管理提供管理途徑和保障手段。因此,要想實施動態(tài)網(wǎng)絡(luò)安全循環(huán)過程,必須制定一個企業(yè)的安全模式。在安全策略的指導(dǎo)下實施所有的檢測、防護、響應(yīng),防護通常是通過采用一些傳統(tǒng)的靜態(tài)安全技術(shù)或者方法來突破的,比如有防火墻、訪問控制、加密、認(rèn)證等方法,檢測是動態(tài)響應(yīng)的判斷依據(jù),同時也是有力落實安全策略的實施工具,通過監(jiān)視來自網(wǎng)絡(luò)的入侵行為,可以檢測出騷擾行為或錯誤程序?qū)е碌木W(wǎng)絡(luò)不安全因素;經(jīng)過不斷地監(jiān)測網(wǎng)絡(luò)和系統(tǒng)來發(fā)現(xiàn)新的隱患和弱點。在安全系統(tǒng)中,應(yīng)急響應(yīng)占有重要的地位,它是解決危險潛在性的最有效的辦法。
3.HTP模型
HTP最為強調(diào)企業(yè)信息安全管理工作人員在整個系統(tǒng)中的價值。企業(yè)信息安全工作人員企業(yè)信息安全最為關(guān)鍵的參與者,企業(yè)信息安全工作人員直接主導(dǎo)企業(yè)信息安全管理工作,企業(yè)信息安全工作人員不僅僅是企業(yè)信息安全的保障者,也是企業(yè)信息安全管理的威脅者。因此,HTP模型最為強調(diào)對企業(yè)信息安全管理工作人員的管理與監(jiān)督。另外,HTP模式同樣是建立在企業(yè)信心安全體系,信息安全技術(shù)防范的基礎(chǔ)上,HTP模式采取了豐富的安全技術(shù)手段確保企業(yè)的信息安全。最后,HTP強調(diào)動態(tài)管理,動態(tài)監(jiān)督,對于企業(yè)信息安全管理工作始終保持高強度的監(jiān)督與管理,在實際工作中,通過HTP模型的應(yīng)用,找出HTP模型中的漏洞并不斷完善。
四、完善企業(yè)信息安全管理與降低風(fēng)險的建議
1.建設(shè)企業(yè)信息安全管理系統(tǒng)
(1)充分調(diào)查和分析企業(yè)的安全系統(tǒng),建立一個全面合理的系統(tǒng)模型,安全系統(tǒng)被劃分成各個子系統(tǒng),明確實施步驟和功能摸塊,將企業(yè)常規(guī)管理工作和安全管理聯(lián)動協(xié)議相融合,實現(xiàn)信息安全監(jiān)控的有效性和高效性。
(2)成立一個中央數(shù)據(jù)庫,整合分布式數(shù)據(jù)庫里的數(shù)據(jù),把企業(yè)的所有數(shù)據(jù)上傳到中央數(shù)據(jù)庫,實現(xiàn)企業(yè)數(shù)據(jù)信息的集中管理與有效運用。
(3)設(shè)計優(yōu)良的人機界面,通過對企業(yè)數(shù)據(jù)信息進行有效的運用,為企業(yè)管理階層人員、各級領(lǐng)導(dǎo)及時提供各種信息,為企業(yè)領(lǐng)導(dǎo)的正確決策提供數(shù)據(jù)支持,根本上提高信息數(shù)據(jù)的管理水平。
(4)簡化企業(yè)內(nèi)部的信息傳輸通道,對應(yīng)用程序和數(shù)據(jù)庫進行程序化設(shè)計,加強對提高企業(yè)內(nèi)部信息處理的規(guī)范性和準(zhǔn)確性。
2.設(shè)計企業(yè)信息安全管理風(fēng)險體系
(1)確定信息安全風(fēng)險評估的目標(biāo)
在企業(yè)信息安全管理風(fēng)險體系的設(shè)計過程中,首要工作是設(shè)計企業(yè)信息安全風(fēng)險評估的目標(biāo),只有明確了企業(yè)信息安全管理的目標(biāo),明確了企業(yè)信息安全管理的要求和工作能容,才能建立相關(guān)圍繞信息安全風(fēng)險控制為目標(biāo)的信息安全管理工作制度,才能順利通過對風(fēng)險控制的結(jié)果的定量考核,檢測企業(yè)信息安全管理的風(fēng)險,定性定量地企業(yè)信息安全管理工作進行分析,找準(zhǔn)企業(yè)信息安全管理的工作辦法。
(2)確定信息安全風(fēng)險評估的范圍
不同企業(yè)對于風(fēng)險的承受能力是有區(qū)別的,因此,對于不同的企業(yè)的特殊性應(yīng)該采取不同的風(fēng)險控制辦法,其中,不同企業(yè)對于能夠承受的信息安全風(fēng)范圍有所不同,企業(yè)的信息安全風(fēng)險承受范圍需要根據(jù)企業(yè)的實際能力來制定。不僅如此,企業(yè)的信息安全風(fēng)險評估范圍也應(yīng)當(dāng)根據(jù)企業(yè)的實際經(jīng)營情況變化采取有針對性的辦法。
關(guān)鍵詞:電力企業(yè);信息安全;管控平臺;初步設(shè)計
中圖分類號:TP31 文獻標(biāo)識碼:A
隨著我國社會經(jīng)濟不斷地發(fā)展,人們的生活水平不斷地提高,我國電力企業(yè)得到高速發(fā)展,為滿足人們所提出的高要求,適應(yīng)社會主義市場經(jīng)濟體制的發(fā)展,電力企業(yè)必須轉(zhuǎn)變管理模式,采用現(xiàn)代化的管理手段,以尋求更好的發(fā)展。如今,計算機信息技術(shù)已被廣泛應(yīng)用于社會各個領(lǐng)域中,具有重要的作用。電力企業(yè)在發(fā)展過程中,其規(guī)模越來越大,信息化的應(yīng)用也有所突破,但仍然存在問題。為使信息化技術(shù)在電力企業(yè)中得到高效的應(yīng)用,保障電力企業(yè)的信息安全,則必須建設(shè)電力企業(yè)信息安全管控平臺,以有效的控制電力企業(yè)的信息,充分發(fā)揮管控平臺的功能。
一、創(chuàng)建電力企業(yè)信息安全管控平臺的重要性
隨著我國電力企業(yè)的蓬勃發(fā)展,其經(jīng)營規(guī)模越來越大,在企業(yè)中充分利用信息技術(shù),以使電力企業(yè)具有時代特點。近幾年,計算機信息網(wǎng)絡(luò)技術(shù)不斷地改進和完善,逐漸成為我國社會生活生產(chǎn)中不可或缺的一部分,其在電力企業(yè)中的應(yīng)用推動了電力企業(yè)的現(xiàn)代化發(fā)展,但與此同時其也為電力企業(yè)的信息安全帶來了挑戰(zhàn)。現(xiàn)階段,電力企業(yè)的信息安全問題已成為其發(fā)展過程中的亟待解決的重要研究課題。在電力企業(yè)中,由于其各級別的單位難以解決網(wǎng)絡(luò)分散性問題,無法有效地規(guī)避信息安全事件所帶來的高風(fēng)險。在電力企業(yè)管理中無法全面的掌握企業(yè)信息安全狀況,缺少可靠的依據(jù)來開展風(fēng)險評估工作,未能進行實時跟蹤監(jiān)督,導(dǎo)致其難以制定科學(xué)的安全預(yù)警方案。鑒于這種情況,電力企業(yè)必須加強內(nèi)部控制管理,做好事前預(yù)防、事中控制和事后監(jiān)督。為實現(xiàn)有效的電力企業(yè)現(xiàn)代管理,必須創(chuàng)建具有實用性的電力企業(yè)信息安全管控平臺。這個平臺能讓電力企業(yè)實施可靠的安全監(jiān)督,進行合理的安全預(yù)警工作,可促使電力企業(yè)做好風(fēng)險評估工作,開展高效的監(jiān)督工作,對企業(yè)信息進行統(tǒng)一管理,以建立完善的信息安全風(fēng)險管理體系,從而提高電力企業(yè)信息安全管理水平。
二、電力企業(yè)信息安全管控平臺的初步設(shè)計
1電力企業(yè)信息安全管控平臺的設(shè)計原則
在設(shè)計電力企業(yè)信息安全管控平臺時,要遵循以下原則:首先,所創(chuàng)建的信息安全管控平臺必須滿足電力企業(yè)發(fā)展的需求,要以現(xiàn)代電力企業(yè)的管理體制為依據(jù)來創(chuàng)建,以保障信息安全管控平臺的可實行性;其次,電力企業(yè)信息安全管控平臺的設(shè)計需要先進的技術(shù)措施和科學(xué)的管理方法來支持,因而設(shè)計前,必須慎重的選擇技術(shù)和管理的實現(xiàn)方式;最后,電力企業(yè)所創(chuàng)建的信息安全管控平臺,其自身必須具有一定的安全性,為平臺在企業(yè)中的應(yīng)用提供重要的保障。除此之外,在信息安全管控平臺的設(shè)計過程中,要先了解平臺工具的特殊性能,并以此為基礎(chǔ)來設(shè)計與之配套的功能服務(wù),例如數(shù)據(jù)初始化,以保障信息安全管控平臺的順利運行。
2根據(jù)不同的角色來設(shè)計管控平臺
電力企業(yè)信息安全管控平臺的建設(shè),必須與其企業(yè)的組織結(jié)構(gòu)相配合。在設(shè)計管控平臺的時候,應(yīng)該對不同角色的職能需求進行分析。對于上級信息安全主管單位,其所需要的是能全面掌握信息安全的動態(tài),了解信息系統(tǒng)安全的狀況,做好網(wǎng)絡(luò)環(huán)境評估工作,主要功能是協(xié)調(diào)和監(jiān)督;對于本地信息安全實施單位和主管單位,前者主要是設(shè)立安全運維人員等人來保障解本地信息安全,而后者則是全面了解企業(yè)信息安全狀況并且進行有效的細條;對外部信息安全支持單位,其主要是負責(zé)對企業(yè)信息安全實施監(jiān)督和控制,以做好應(yīng)急工作;對于應(yīng)急聯(lián)動和專家機構(gòu),其職責(zé)在于為企業(yè)信息的安全提供技術(shù)保障。
3信息安全管控平臺在電力企業(yè)中的實現(xiàn)
信息安全管控平臺在電力企業(yè)中運行時,主要分為這幾個模塊:第一,基礎(chǔ)安全數(shù)據(jù)管理模塊,這一部分主要是的對企業(yè)信息系統(tǒng)中所產(chǎn)生的各類數(shù)據(jù),如服務(wù)器的基本信息,安全配置知識庫等數(shù)據(jù)資料進行整合和儲存,具有查詢和修改的功能;第二,預(yù)案管理模塊,這一部分主要是用來對電力企業(yè)中的各級單位進行原的編制、和更新等。值得注意的是要為應(yīng)急預(yù)案編制工作和審批制定統(tǒng)一的標(biāo)準(zhǔn),加以規(guī)范。在預(yù)案管理部分,可充分利用工作流引擎來執(zhí)行應(yīng)急預(yù)案,以突出應(yīng)急預(yù)案的作用和其有效性;第三,風(fēng)險評估模塊,在這一部分主要是為信息安全風(fēng)險評估工作提供可靠的數(shù)據(jù)信息作為依據(jù),以根據(jù)矩陣型風(fēng)險計算方式計算出風(fēng)險,并制定出相應(yīng)措施;第四,業(yè)務(wù)影響分析模塊,這一部分的功能與風(fēng)險評估模塊的職責(zé)差不多,也是響應(yīng)急預(yù)案提供有效信息,但是其在此過程中還必須注意信息系統(tǒng)業(yè)務(wù)之間的不同之處;第五部分是公告管理模塊,這一部分主要是提供瀏覽、查閱和管理等功能;第六。預(yù)警管理模塊,由兩個部分組成,一個是漏洞預(yù)警管理,另一個則是威脅預(yù)警管理,這兩個部分的級別分別是高、中、低;第七,安全事件管理模塊,這一部分是對信息安全事件進行處理;第八,信息安全狀況監(jiān)視模塊,包括了宏觀態(tài)勢監(jiān)視和應(yīng)急監(jiān)視。
結(jié)語
在電力企業(yè)中建立信息安全管控平臺,是保障電力企業(yè)信息安全的重要途徑,具有重要意義。電力企業(yè)信息安全管控平臺的建設(shè)是為了加強電力企業(yè)信息化程度,必須科學(xué)的制定設(shè)計方案,使其符合現(xiàn)階段電力企業(yè)的發(fā)展現(xiàn)狀和電力企業(yè)的發(fā)展特點。在電力企業(yè)中運行信息安全管控平臺,有利于及時發(fā)現(xiàn)信息安全中存在的問題,并加以解決,能確保企業(yè)信息的真實性、完整性和有效性。這種信息安全管控平臺的創(chuàng)建有其必要性,對電力企業(yè)的發(fā)展起到重要的影響作用,必須予以高度重視。總而言之,對電力企業(yè)信息安全管控平臺的研究具有重要的意義,而這一平臺的運行則具有較高的使用價值。
參考文獻
[1]樊凱.電力企業(yè)信息安全管控平臺設(shè)計與實現(xiàn)[J].現(xiàn)代計算機:下半月版,2012(17) .
[2]李正忠.電力企業(yè)信息安全網(wǎng)絡(luò)建設(shè)原則與實踐[J].中國新通信,2013(9) .
港口信息安全保障應(yīng)貫穿在港口信息系統(tǒng)的整個生命周期中。港口信息安全保障的工作者應(yīng)針對港口信息系統(tǒng)的發(fā)展特點,通過對港口信息系統(tǒng)的風(fēng)險分析,制定并執(zhí)行相應(yīng)的安全保障策略,從多角度、多層面提出港口信息安全保障要求,確保港口信息系統(tǒng)的保密性、完整性和可用性,將安全風(fēng)險降至最低或可接受的程度。港口信息化發(fā)展重點主要在于對外的數(shù)據(jù)交換和服務(wù)。港口信息安全風(fēng)險主要來自于港口信息系統(tǒng)自身存在的漏洞和系統(tǒng)外部的威脅。為最大化控制該風(fēng)險,港口信息系統(tǒng)安全保障工作者應(yīng)在信息安全保障策略體系的指導(dǎo)下,設(shè)計并實現(xiàn)港口信息安全評價體系架構(gòu)或模型,港口信息安全評價體系的制定應(yīng)反映港口企業(yè)對信息系統(tǒng)安全保障及其目標(biāo)的理解,其制定和貫徹執(zhí)行對信息系統(tǒng)安全保障起著綱領(lǐng)性指導(dǎo)作用。港口信息安全評價體系應(yīng)選用一種折中的機制,在有限資源前提下實現(xiàn)最優(yōu)選擇。防范不足會造成直接的損失,防范過多又會造成間接的損失,在解決或預(yù)防安全問題時,要從經(jīng)濟、技術(shù)、管理的可行性和有效性上做出權(quán)衡和取舍。從現(xiàn)代港口企業(yè)信息安全保障工作者的視角出發(fā),其工作層面無外乎對港口信息安全保障的戰(zhàn)略管理、常態(tài)監(jiān)管和應(yīng)急響應(yīng)。戰(zhàn)略管理體現(xiàn)其信息安全戰(zhàn)略的先進性,表現(xiàn)在港口企業(yè)對信息安全戰(zhàn)略規(guī)劃的制定情況、港口信息安全管理部門的戰(zhàn)略地位和港口企業(yè)對信息安全工作的資金保障力度等。這些評價能反映港口企業(yè)對信息安全的重視程度,預(yù)見港口企業(yè)信息安全工作未來的發(fā)展前景。常態(tài)監(jiān)管主要指港口信息安全戰(zhàn)略的具體執(zhí)行情況,包括基于對港口業(yè)務(wù)風(fēng)險的認(rèn)識,建立、實施、操作、監(jiān)視、復(fù)查、維護和改進信息安全等一系列管理活動,具體表現(xiàn)為計劃活動、目標(biāo)與原則、人員與責(zé)任、過程與方法、資源等諸多要素的集合。應(yīng)急響應(yīng)主要包括在一些緊急、無預(yù)測的危機下,快速應(yīng)對、解決問題的能力,度過危機以減少損失或者把損失降低到最低程度。
2現(xiàn)代港口信息安全評價指標(biāo)體系框架
為了讓指標(biāo)體系更加科學(xué)、全面、綜合,力爭每個門類的指標(biāo)定量、定性相結(jié)合,筆者選用了工作層面、保障要素、指標(biāo)類型作為現(xiàn)代港口企業(yè)信息安全保障指標(biāo)體系框架的3個維度。
3評價指標(biāo)
按照評價指標(biāo)體系框架,采用第一維度、第二維度、第三維度逐個相交的方式,對各評價點進行分解,可以設(shè)計出適應(yīng)現(xiàn)代港口企業(yè)信息安全保障工作的評價指標(biāo)體系。為了讓指標(biāo)體系更加科學(xué)、可操作,筆者在對上海港、黃驊港等大中型港口調(diào)研的基礎(chǔ)上,梳理分析,設(shè)計出一套普適性較強的評價指標(biāo)體系。該體系能夠較客觀、準(zhǔn)確、全面地反映港口信息安全工作水平,供港口企業(yè)信息安全保障工作者參考。
4結(jié)語
1)信息安全評價體系對于現(xiàn)代港口評價信息安全保障工作的完備性,最大化降低、控制信息安全風(fēng)險,減少技術(shù)故障、網(wǎng)絡(luò)攻擊等安全問題對業(yè)務(wù)帶來的影響具有十分重要的作用。
2)以現(xiàn)代港口企業(yè)信息安全保障工作為研究對象,遵循科學(xué)全面、簡單可操作、向?qū)栽瓌t,從工作層面、保障要素、指標(biāo)類型出發(fā),設(shè)計了一套三維評價指標(biāo)體系框架,并結(jié)合國家對港口企業(yè)信息安全的相關(guān)要求,分析出56個具體指標(biāo),提出了評價指標(biāo)的量化方法和計算方法,可為港口企業(yè)信息安全自評價提供參考。
