時間:2023-10-11 10:17:42
導語:在企業信息安全意識的撰寫旅程中,學習并吸收他人佳作的精髓是一條寶貴的路徑,好期刊匯集了九篇優秀范文,愿這些內容能夠啟發您的創作靈感,引領您探索更多的創作可能。
>> 企業移動信息化安全不可小覷 移動安全:企業移動信息化發展的保障 警惕移動信息化的安全隱患 試論4G時代的智能終端信息安全 企業移動信息化浪潮 BYOD時代的移動信息安全 關于3G移動信息化平臺的行業應用研究 4G時代的移動互聯應用研究 4G移動互聯網時代的思考 基于4G時代移動互聯網的探討 高校移動信息化建設探討 電力科研企業移動信息化模式研究 企業移動信息化建設全面加速 助力企業移動信息化轉型 智能機爆棚時代的企業移動信息化分析 4G移動通信技術的安全缺陷分析 4G移動通信系統的安全機制研究 天暢信息:做企業移動信息化的領跑者 4G網絡及其應用對城市信息化發展的促進 對4G移動通信技術的探討 常見問題解答 當前所在位置:l.
[3] 熊小明,周民立. 電信基礎數據網絡的現狀及發展分析[J]. 信息網絡, 2005(10): 42-45.
[4] 陳濤,彭勁. 二層MPLS VPN技術與部署[J]. 廣播電視信息, 2010(7): 52-54.
[5] 李洪,渠凱. SSL VPN安全方案與發展趨勢分析[J]. 電信技術, 2011(1): 72-74.
[6] 易觀智庫. 中國企業級移動管理市場專題研究報告[Z]. 2014.
[ 7 ] 易觀智庫. 中國手機安全市場現狀研究報告2014
[Z]. 2014.
[8] 移動信息化. EMM六大移動管理元素[EB/OL]. (2015-02-11). .
[9] 移動信息化. MDM存缺陷 EMM為BYOD安全護航
關鍵詞:供水企業?信息安全?安全管理
中圖分類號:F29 文獻標識碼:A文章編號:1672-3791(2012)02(c)-0000-00
1 前言
當前,隨著網絡和信息化建設的不斷發展,企業對信息網絡的依賴越來越強,供水企業也不例外。供水企業信息安全問題關系到供水系統的穩定和安全運行。目前,供水企業的信息安全風險主要來自于兩個方面,即內部和外部的因素。內部威脅主要為企業信息安全管理問題;外部因素主要包括因病毒、黑客、惡意軟件等造成的數據丟失,系統運行失常等問題。本文圍繞著這兩個方面的因素,就供水企業的信息安全問題進行探討。
2 供水企業面臨的信息安全威脅
2.1 計算機病毒的傳播
計算機病毒的傳播是帶來企業信息安全風險的因素之一。自上世紀九十年代以來,計算機病毒以迅猛的增長速度危害著個人用戶和企業用戶,給企業和個人造成了嚴重的經濟損失。目前,隨著智能手機的普及,一種新型的病毒,即手機病毒也開始威脅到企業的信息安全。
2.2 企業內部網絡受到黑客攻擊
黑客對企業內部網絡的攻擊是帶來企業信息安全風險的因素之二。由于Internet具有自由行和廣泛性,而供水企業一般又建立了企業內部網絡。當企業內部網絡與Internet發生間接或直接關聯的時候,企業內部網絡就有可能成為黑客攻擊的目標,從而泄露或丟失一些重要的企業信息,或使企業內部網絡處于失常或癱瘓的狀態。
2.3 企業安全管理的不足
企業的信息系統不夠健全,企業員工的安全意識薄弱,這也是造成企業信息安全威脅的因素。在信息機構設置方面,供水企業缺乏規范的機構體制,相關的專業技術人員偏少。同時,很多供水企業對相關的專業技術人員缺乏系統的專業培訓,使得企業員工缺乏必要的安全意識,“防黑防毒”意識淡薄,對一些惡意攻擊也缺乏警惕性,有的甚至因為操作失誤而給各種信息安全威脅帶來了可能。
3 供水企業信息安全建設
3.1 采用防水墻技術
防水墻是保障企業信息安全的有效手段。通過控制進出供水企業網絡的權限,監控網絡數據流,檢查所有的數據連接,防水墻技術可以有效地控制和管理對企業網絡系統的訪問控制和安全管理,隔離和過濾危險數據包,防止企業網絡受到黑客和病毒的破壞與干擾。同時,由于所有的訪問都得通過防火墻,防火墻還能實時記錄和統計網絡訪問,這對企業信息安全管理人員管理維護企業網絡提供了有利條件。
3.2 采用入侵檢測技術
防火墻可以限制對企業網絡系統的非法訪問或攻擊,檢測并防御非法訪問。然而,防火墻無法防止企業網絡內部用戶之間的攻擊不經過防火墻。因此,在采用防火墻的同時,有必要用入侵檢測技術。入侵檢測技術(Intrusion-detection?system),簡稱IDS,?是一種對網絡傳輸進行即時監視,在發現可疑傳輸時發出警報或者采取主動反應措施的網絡安全設備。它能夠分析通過網絡收集的信息,檢測并識別出惡意行為,及時有效地發現網絡異常,檢測出網絡中違反安全策略的行為。如果說防火墻是一幢大樓的門衛,那么IDS就是這幢大樓里的監視系統。一旦小偷爬窗進入大樓,或內部人員有越界行為,只有實時監視系統才能發現情況并發出警告。除了簡單的記錄和發出警報之外,IDS還可以進行主動反應:打斷會話,和實現過濾管理規則。所以說,要確保供水企業網絡處于安全的狀態,入侵檢測技術也是必不可少的,它是防火墻技術的一個有效的補充。
3.3 采用VPN技術
VPN(Virtual?Private?Network),即虛擬專用網,是通過一個公用網絡(通常為Internet)建立一個臨時的、安全的連接,是一條穿過混亂的公用網絡的安全、穩定的隧道。它主要是通過路由器、防火墻技術、隧道技術,安全秘鑰以及加密協議而組建成的Internet?VPN。它是對企業內部網絡的擴展,通過VPN可以在企業分支機構,合作伙伴、供應商或遠程用戶與企業內部網絡之間建立可靠的安全連接,向他們提供安全而有效的信息服務,保證數據的安全傳輸,實現企業網絡安全通信的虛擬專用線路,使得外部非法用戶無法訪問公司內部信息。與此同時,VPN技術還可以極大降低企業信息共享的成本。
3.4 加強企業員工的安全管理
實現供水企業的信息安全,除了做好技術防護之外,還得加強企業內部員工的安全管理。做好技術防護并不意味著一勞永逸,企業員工的信息安全管理也是至關重要的。加強企業關公的安全管理需做好以下幾點:1)增強企業員工的安全意識。員工的安全意識淡薄是造成企業信息安全風險的一大因素。為保障企業信息安全,供水企業需對員工進行企業網絡系統的專業培訓與教育,掌握信息安全問題的基礎知識與常識,提高對外部惡意攻擊和病毒的警惕性,加強安全防護意識,能及時發現并處理常見的安全問題。2)健全企業信息安全管理規章制度。根據供水企業的實際情況,建立健全的信息安全管理制度,如網絡系統使用規范、機房管理制度、保密制度、值班制度、設備維護制度等。企業員工必須遵照相關管理制度,明確職責,按照相關用戶口令或操作口令,確保日常操作符合信息安全規章制度,最大限度地防止人為失誤或違規操作帶來的信息安全問題。3)配置專門的企業信息安全管理技術人才。在互聯網高速發展的幾天,沒有絕對的信息安全。企業需配置專門的信息安全管理人員,在及時有效地處理企業信息安全風險的同時,增強企業信息安全管理的人才儲備,加強信息安全技術管理隊伍,培養弓雖企業網絡系統硬件和軟件的開發設計人才,掌握保障企業信息安全的核心技術。
4 結 語
本文以供水企業為例,對企業的信息安全風險進行了分析,認為計算機病毒的傳播,黑客對企業內部網絡系統的攻擊以及企業在員工安全管理方面的不足是造成供水企業信息安全問題的三大原因。因此,要保障信息安全,供水企業需在技術和管理兩方面下功夫。在技術方面,企業可采用防火墻技術、入侵檢測技術和VPN技術。在管理層面上,企業需增強員工的安全意識,建立健全企業信息安全管理規章制度,配置專門的信息安全管理技術人才。
參考文獻
[1]丁麗川,曹暉.計算機網絡信息安全探析[J].?科技創新導報.?2010(35):28.
[2]范紅,馮登國.?信息安全風險評估方法與應用[M].?北京:清華大學出版社,2006.
關鍵詞:信息安全;管理體系;PKI/CA;MPLS VPN;基線
在供電企業現代信息技術廣泛運用生產經營、綜合管理之中,實現資源和信息共享,為領導提供相關輔助決策。保障企業信息安全是企業領導層、專業人員及企業全員共同面對的。信息安全是集管理、人員、設備、技術為一體系統工程,木桶原理可以很好地詮釋信息安全,一個企業安全不取決于最強項,而取決最短板。信息安全需從制度建設、體系架構、一體化防控體系、人員意識、專業人員技術水平等多方面共同建設,才能有效提高企業信息安全,才能為企業生產、經營保駕護航。
1基層供電信息安全現狀
基層供電企業信息安全建設方面,在制度建設、安全分區、網絡架構、一體化防護、人員意識、專業人員技術水平等多方面存在不同程度問題。
1.1管理制度不健全,制度多重化
信息安全制度建設方面較為被動,大多數都是現實之中出現某一問題,然后一個相關制度,制度修修補補。同一類問題有時出現不同管理規定里,處理辦法不一,甚至發生沖突。原有信息安全管理制度寬泛,操作性較差。信息系統建設渠道不同,未提前進行信息安全方面考慮,管理職責不明,導致部分信息安全工作開始不順暢。
1.2安全區域劃分不明,網絡架構不清晰
基層供電企業系統建設主要由上級推廣系統和自建系統,系統建設時候相當部分系統未充分考慮系統,特別是業務部門自建系統更甚。網絡建設需要什么就連接什么,存在服務器、終端、外聯區域不明顯,網絡架構不清晰。
1.3未建立一體化安全防護體系
從近些年已經發生的各類信息安全事件來看,內部客戶端問題造成超過將近70%。內部終端用戶網絡行為控制不足,存在網絡帶寬濫用;終端接入沒有相應準入控制,不滿足網絡安全需求用戶接入辦公網絡,網絡環境安全構成極大風險;內部人員對核心服務器和網絡設備未建立統一內部控制機制;移動介質未實施注冊制管理等問題。
1.4未建立行之有效設備基線標準
網絡安全設備、操作系統、數據庫、中間件、應用系統等廠家為了某種方便需求,在設備和系統中常常保留有默認缺省安全配置項,這些恰恰是別人利用漏洞。基層供電企業在部署設備和系統時,沒有統一基線標準,沒有對設備和系統進行相應基線加固,企業存在潛在風險。
1.5信息安全意識較差,技術水平參差不齊
企業信息安全認識存在認識上誤區,常常認為我們有較強信息安全保護設備,外部不易攻破內部,事實上堡壘常常是從內部攻破的。比如企業員工弱口令、甚至空口令、共用相同密碼、木馬、病毒、企業機密泄露等,這恰恰是基層供電企業全員信息安全意識較為薄弱表現。專業技術人員缺乏必要自我學習和知識主動更新,未取得專門信息安全專業人員資質,處理問題能力表現參差不齊。
2必要性
信息安全為國家安全重要組成部門,電力企業信息安全為國家信息安全的重要元素,電網安全事關國計民生。2014年2月,國家成立中央網絡安全和信息化領導小組,將網絡信息安全提升前所未有高度。近年發生的“棱鏡門”事件,前幾年發生伊朗核電站“震網”病毒(Stuxnet病毒)網絡攻擊,其中一個關鍵問題就是利用移動介質擺渡來進行攻擊,造成設備癱瘓,這一系列信息安全事件都事關國家安全,因此人人都要有信息安全意識。首先要防止企業機密數據(財務、人資、投資、客戶等)泄漏;其次,保持數據真實性和完整性,錯誤的或被篡改的不當信息可能會導致錯誤的決策或商業機會甚至信譽的喪失;最后,信息的可用性,防止由于人員、流程和技術服務的中斷而影響業務的正常運作,業務賴以生存的關鍵系統如失效,不能得到及時有效恢復,會造成重大損失。建立嚴格的訪問控制,前面數據分級時有制定數據的“所有者”及給敏感數據進行分級,按照分級的要求制定嚴格的訪問控制策略,基本的思想是最小特權原則和權限分離原則。最少特權是給定使用者最低的只需完成其工作任務的權限;權限分離原則是將不同的工作職能分開,只給相關職能有必要讓其知道的內容訪問權限。通過對內部網絡行為的監控可以規范內部的上網行為,提高工作效率,保護企業有限網絡資源應用于主要生產經營上來。
3特點探析
通過我們對基層供電企業在信息安全存在問題及必要性來看,主要是管理制度、網絡信息安全技術、人員意識等方面存在問題,有以下特點。
3.1管理制度方面
常說信息安全“三方技術、七分管理”,制度建設對信息安全保障至關重要。信息安全管理制度應該有上級主管部門建立一套統一管理制度,基層供電企業遵照執行,可以根據各單位具體情況進一步細化,讓管理制度落地。從企業總體信息安全方針到具體專業制度管理上,實現全網一體化,規范化。
3.2網絡信息安全技術方面
上級專業主管部門,站在企業高度,制定專業技術標準和技術細則。從網絡安全分區、網絡技術架構、互聯網接入和訪問方式、終端安全管理、網絡準入控制等方面統一規劃,分布實施,最終實現企業網絡信息安全防控一體化。
3.3信息安全意識培養方面
企業員工信息安全意識培養是個長期的過程,不是通過一次兩次培訓就能解決的,采取形式多樣化方式來培養員工安全意識,可以通過集中培訓講課、視頻宣傳、張貼宣傳畫等方式進行。針對專業人員,要讓他們養成按照制度辦事習慣,用戶需要申請某項資源,嚴格按照制度執行,填寫相應資源申請,有時候領導打招呼也要按照制度流程來執行。長此以往,人人都會知道自己該做什么,不該做什么,該怎么做,企業信息安全意識就會得到極大提高。
3.4專業技術人員水平方面
信息安全技術日新月異,不學習就落后,不斷收集信息安全方面信息,共同討論相關話題,建立相應培訓機制,專業人員實行持證上崗,提升專業人員實際解決問題能力,有效提高人員專業素養,成為企業信息安全方面專家。
4實施和開展
從2009年開始,先后進行一系列信息安全建設,涉及到信息安全制度建設、網絡信息安全體系架構、信息安全保障服務、人員培訓等方面,整體提高基層供電企業信息安全狀況。
4.1信息安全制度建設
2010年開始信息安全體系ISO27001、27002建設,結合企業情況,形成30個信息安全相關文件,涵蓋企業信息安全方針、等級保護、人員管理、機房管理、網絡信息系統運行維護管理、終端安全、病毒防護、介質管理、數據管理、日志管理、教育培訓等諸多方面。2013年為進一步提示公司信息化管理水平,先后增加修改建設管理、實用化管理、項目管理、信息安全管理、運維管理、綜合管理5個方面14個管理細則。經過這一系列制度建設,基層供電企業有章可循,全網信息安全依據統一,明確短板情況。
4.2建設一體化網絡與信息安全防控
首先依據電監會5號文件要求,網絡架構按照三層四區原則進行部署建設,生產實時控制大區(Ⅰ、Ⅱ區)與信息管理大區(Ⅲ、Ⅳ區)之間采用國家強制認證單向數據隔離裝置進行強制隔離,網絡架構采用核心、匯聚、接入部署。網絡接入按照功能劃分服務器區、網管區、核心交換區、用戶辦公區、外聯區、互聯網接入區,在綜合數據網上,利用MPLSVPN,根據劃分不同VPN業務、隔離相互間數據交叉。建立全網PKI/CA系統,構建企業員工在企業數字身份認證系統,已建成系統進行未采用PKI登陸系統,進行相應改造結合PKI/CA系統,采用PKI登陸,在建系統用戶登陸必須集成PKI登陸。根據企業信息安全要求,進行互聯網統一出口,部署統一互聯網防控設備,建立統一上網行為管理策略,規范員工上網行為,合理使用有限互聯網資源,審計員工上網日志,以備不時之需。建立企業統一病毒防護系統,實現病毒軟件統一安裝,病毒庫自動更新,防護策略統一下發,定期統計病毒分布情況,同時作為終端接入內網必備選項,對終端病毒態勢比較嚴重用戶進行督促整改,有效防止病毒在企業內部蔓延,進一步進化內網環境。建立統一網絡邊界安全防護,在企業內網邊界合理部署防火墻、IPS、UTM,并將其產生日志發送到統一安全管理平臺,進行日志管理分析,展現企業內部信息安全態勢,預警企業內部信息安全存在問題。利用AD域或PKI/CA進行用戶身份認證,建設統一桌面管理,所有內網用戶必須滿足最基本防病毒、安全助手、IT監控要求方可接入內網,系統啟用強制安全策略,終端采用采用DHCP,用戶不能自動修改IP地址,在DHCP服務器上實現IP與MAC地址及人員綁定,杜絕用戶私自更換IP地址引起沖突。安全認證方面可以采用NACC或交換機802.1x方式進行,不滿足要求用戶,自動重定向到指定網站進行安全合規性檢查,滿足要求后自動接入內網,強制所有用戶采用統一網絡安全準入規則。實行移動介質注冊制,極大提高終端安全性,有效保護企業信息資產。建立內部運維控制機制,實現4A統一安全管理,認證、賬號、授權、審計集中管控。規劃統一服務器、網絡設備資源池,按照用戶需求,提交相應申請材料,授權訪問特定設備和資源,并對用戶訪問行為全程記錄審計。
5結語
一、目前企業網絡信息安全管理中存在的問題
目前各級供電企業對信息安全日趨重視,但主要側重于防備外來未授權用戶的非訪問,并過于注重如防火墻、入侵檢測等技術問題,忽略了信息安全中人的管理,造成了幾個突出問題:
1、人員安全意識淡薄
由于系統的專業教育與培訓不足,許多專業技術人員仍然抱著“防火墻等于安全”的僥幸心理,缺乏“防黑防毒”的意識和內部員工操作失誤或惡意攻擊的警惕性,對信息安全采取的防護措施非常簡單。大多數信息系統使用員工對信息安全知識和技能掌握不夠,認為信息安全只是技術部門的事,安全防護意識不強。
2、網絡信息機構不健全
有些供電企業沒有專門的信息技術運行機構或沒有規范的建制和崗位,人員配置又偏少,而且信息系統架構的分散也導致人力資源不集中,信息戰線拉得大長,幾乎沒有時間關注信息安全。由于IT技術發展很快,基層信息技術人員得不到相應的培訓,難以對日新月異的IT技術中有關主機、操作系統、數據庫、網絡、存儲、安全等方面作全面的了解和掌握,運行維護能力低下,系統安全監控不到位。
3、網絡信息安全管理專業化程度不夠
大多數基層供電公司缺乏專門的信息安全監督管理機構,或者沒有配備專業的信息安全監督管理人員,或者只設兼職。由于缺乏信息安全管理專業知識和技能,對信息安全特殊性認識不足,難于發揮有效的信息安全監督管理,使信息安全管理工作處于一種似管非管或基本不管的真空狀態。
4、管理制度滯后且執行不力
隨著國網公司集中集成工作的展開和信息網絡基礎建設不斷加強,原有的信息安全管理制度已相對滯后,而且有些制度不完全適合基層實際,個別條款操作性較差,難于執行,這就造成制度執行不力、有章不循、違規操作,這些都增加了信息安全風險。
二、加強企業網絡信息安全管理的幾點建議
1、加強全員網絡信息安全意識教育
通過普及信息安全知識教育,提高企業員工網絡信息安全知識和安全意識,掌握發現、解決某些常見安全問題的能力。信息安全教育的具體內容一般應包括以下內容:(1)信息安全所面臨的風險;
(2)企業信息安全方針及目標;
(3)企業安全管理規章制度;
(4)與信息安全有關的其它內容。通過安全教育使所有員工增強整體信息系統的安全防護意識。
2、加強企業員工相應技能培訓
為了確保企業員工在日常工作過程中具有保護企業信息安全方面的能力,應當加強對員工計算機安全技能培訓,教育員工平時應做到所有操作應符合規定、不得向他人泄露自己的操作口令、不訪問陌生的網站、不瀏覽或打開一些來歷不明的郵件及附件、外來光盤、U盤等存儲設備須先殺毒后使用、發現問題立即通知技術人員處理等基本的安全技能。
3、健全信息技術部門建設
根據需要合理配置信息技術人員,加強信息技術隊伍建設,明確機房管理員、網絡管理員、應用系統管理員、數據庫管理員、防病毒管理員、運行維護員等崗位配置,重要崗位設置A、B崗,落實崗位職責具體到人。對技術人員應注重技術培訓,可以定期或不定期參加各種針對性的技術培訓,增強技術儲備力度。
4、加強信息安全規章制度建設
建立健全適應企業實際的安全管理制度是信息安全管理的前提。標準化的安全管理,能夠克服傳統管理中個人的主觀意志驅動的管理模式。應在對企業信息安全評估下,根據單位實際情況,遵照上級有關規定,制定出切實可行、全面的安全管理制度。如:保密制度、機房管理制度、網絡運行管理制度、應用系統運行管理制度、設備維護工作制度、值班制度、計算機系統使用規范等,管理制度應明確描述所有信息技術人員以及信息系統使用人員的信息安全職責和信息系統日常使用規范,規范信息系統操作流程,減少人為失誤。
5、建立安全監督保證體系
成立安全領導小組,由分管領導抓信息安全工作,并設置一個獨立于信息技術部門的信息安全管理監督部門作為企業的信息安全日常管理機構,根據信息系統安全需要設定安全事務的職位,負責企業范圍內信息安全監督管理工作。各部門應配備計算機技能較強的信息安全專兼職人員,負責所在部門信息安全制度的落實和執行,形成良好的信息安全監督保證體系。
6、加強信息安全考核力度
關鍵詞:石油企業;信息安全;管理手段
0引言
隨著信息化建設進程飛速發展,作為信息載體的計算機、互聯網已在企業生產、經營管理各個層面得到廣泛應用。計算機網絡的開放性、靈活性和廣泛性在全面數字化的今天給經營管理帶來了便捷、高效、有序的工作環境,同時也帶來了較大的安全管理隱患。黑客的出現、安全漏洞的增多、管理的交叉混亂、惡意的網絡攻擊使網絡安全管理遭受了較大的沖擊,成為信息化健康發展的絆腳石。網絡信息管理疏于安全的防范將危及到企業生產經濟的有序發展。石油企業在國民經濟中發揮著重要作用,任何風險都可能導致國家經濟受到重大影響。因此,提高石油企業信息安全意識,加強信息管理應以保瘴服務和應用為目標,強化安全意識、制定周密的安全手段從而構建完善的信息安全管理體系。
1加強企業信息管理的必要性
1.1企業信息管理概念
企業信息管理是通過現代化的信息技術和設備,以網絡技術和網絡設備實現企業管理的自動化,進而對企業進行全方位和多角度的管理,以此來促進企業生產、經營管理的優化配置,進而通過企業資源的開發和信息技術的有效利用來提高企業的管理水平,增強企業的核心競爭力。企業信息管理的主要內容,一般包括企業未來的經濟形勢分析、預測資料、資源的可獲量、市場和競爭對手的發展動向,以及政府政策與政治情況的環境變化等等。企業信息管理與制訂企業發展戰略、制訂規劃、合理地分配資源是密切相關的。同時,企業的信息管理也應當包括企業內部的信息資源,如財務管理信息、物資庫存、鉆井施工、職工檔案管理等多方面的內容,并且促進企業的全面發展。
1.2企業信息安全管理的必要性
企業信息的存在方式有著多樣性,而進行企業安全信息管理的主要目的,在于保護企業的信息安全,保證企業能夠順利的參與到市場經濟活動中,進而提高企業的經濟效益和社會效益,構筑起信息安全管理系統的保密性、完整性、可用性、可維護性、可驗證性的目標,使企業安全信息管理能夠通過有效的控制措施來實現。第一,企業管理的信息具有很強的保密性和完整性的特點,因此其對于企業的生產勢力、科技含量、資金流動、企業的綜合競爭力等多方面都有著重要的影響,同時對于企業的商業形象與合法經營也至關重要,因此加強企業信息安全管理是必要的。第二,由于網絡自身所具有的開放性特性,決定了企業信息管理也面臨著來自各方面的安全威脅,比如計算機病毒、黑客等,以及計算機詐騙、泄密等問題,也說明了加強企業信息安全管理勢在必行。第三,企業對于信息系統產生的依賴也從另一方面暴露出了信息管理系統的脆弱,公共網絡與私人網絡的連接增強了信息的控制難度,使得信息在分散化的管理模式下,集中、專業控制的有效性大大減弱。另外,由于很多信息管理系統設計的缺陷,其自身就存在著不合理之處,這對于信息安全管理也帶來了一定的難度。基于此,對于企業信息管理的安全性也成為了當前企業管理面臨的一個重大課題。
2加強企業信息管理安全的防范措施
2.1不斷完善信息管理系統
隨著企業信息化的發展,目前應用的管理系統有PKI、郵箱、AD域、普OA、合同系統、A6、ERP、網絡、操作系統、A7、檔案系統、物采系統、OSC、視頻會議、企業微信、門戶網站、寶石花、數字營房、會議保障、E2、一體化、RTX、移動應用、短信平臺。信息系統的連續穩定運行越來越重要,一旦系統中斷,將會給企業的生產經營管理帶來混亂,而數據一旦丟失,后果是不可估量的。為此,信息管理系統的投入和使用,是建立在充分的實踐經驗的基礎上,通過一段時間的運行和觀察,才能夠投入使用。在不同的部門進行信息系統的引入時,應當按照部門的實際情況,通過多方引進,使用統一的信息管理系統。對于信息安全來說,首先要解決的就是系統是否能夠通過安全驗證對用戶進行有效的管理,并且賦予不同等級的用戶不同的使用權限,這樣則能夠有效的防止無權訪問信息的用戶對核心區域的訪問,保證信息不會被盜用。同時,為保證信息系統的連續穩定運行,應采用雙機服務器和從服務器。一旦發生服務器故障,由從服務器自動接替主服務器工作。
2.2有效的設備管理
設備安全主要涉及到由于自然災害、人為因素造成的數據丟失。信息安全應建設完善的容災備份系統,容災備份系統一般由兩個數據中心構成,主中心和備份中心。通過異地數據備份,實時地將主中心數據拷貝至備份中心存儲系統中,使主中心存儲數據與備份中心數據完全保持一致。同時,對于管理系統中使用的設備品牌、機型、內部配置以及使用時間等信息都要進行專門的記錄,通過這些記錄,定期對設備進行維護,同時也能夠通過這些信息判斷出信息的使用效率以及運行情況,對于設備的損壞或者是丟失情況都能夠及時地了解。
2.3加強對人員的監督與管理
企業信息安全不單純是技術問題,而是一個綜合性的問題。其中最重要的因素是人,人是設備的主要操作者,因此對于信息的安全管理,就需要加強對人的管理,需要操作人員具有足夠的安全意識,對于每一位操作人員進行相關的培訓,對于唯一的用戶名和密碼等信息要進行妥善保管,同時讓操作人員認識到泄密會導致的嚴重后果,增強責任意識。只有通過不斷地學習及意識的培養,管理人員才能養成定期維護、按時打補丁、及時更新的操作習慣,以不變應萬變的態度應對各種網絡攻擊手段。通過不斷的加強過程管理,通過對每個細節的嚴密審查,能夠有效減少人為出錯的現象,同時通過科學的評價機制和激勵機制,刺激人員工作的積極性,加強自身的責任意識。
2.4網絡傳輸安全
關鍵詞:信息化 信息安全 網絡安全
根據國家統計局年初公布的數字顯示,國內企業總體的99%都是中小企業,他們貢獻了超過一半的國內GDP。但截止到目前,這些中小企業的信息化水平仍然比較落后,其中針對信息安全的投人,更是鳳毛麟角。
對于國內占大多數的中小企業來說,如何在充分利用信息化優勢的同時,更好地保護自身的信息資產,已經成為一個嚴峻的挑戰。特別是近兩年來,網絡上的病毒、攻擊事件頻發,信息安全問題正在日益成為中小企業信息化進程中的難題。
一、什么是信息安全
信息是一種資產,與其它重要的資產一樣,它對一個組織而言具有一定的價值,因此需要適當的加以保護,而信息又可以以多種形式存在。如可以打印或者寫在紙上,以數字化的方式存儲,通過郵局郵寄或電子手段發送,表現在膠片上或以談話的方式說出來。總之,信息無論以什么形式存在,以什么方式存儲、傳輸或共享,都應得到恰當的保護。
所謂信息安全是指信息具有如下特征:
安全性:確保信息僅可讓授權獲取的人士訪問;完整性:保護信息和處理方法的準確和完善;可用性:確保授權人需要時可以獲取信息和相應的資產。
信息安全是指使信息避免一系列威脅,保障商務的連續性,最大限度地減少業務的損失,從而最大限度地獲取投資和商務的回報。它主要涉及到信息傳輸的安全、信息存儲的安全、以及網絡傳輸信息內容的審計三個方面,它可以通過實施一整套恰當的措施來獲得。但目前我國的信息安全令人堪憂,隨著政府上網和企業信息化的推進,越來越多的企業的日常業務已經無法脫離網絡和信息技術的支持,那么我國中小企業的信息安全現狀如何呢?
二、我國企業信息安全的現狀
(一)企業的重視程度
隨著信息化的加快,企業信息安全越來越受到重視,而我國的中小企業信息安全現階段正處于初級階段。在推進企業信息化的進程中,有些中小企業對于信息化概念的認識遠遠不夠,它們認為購置幾臺電腦放到公司,日常用來打打字,將單個機器連結到網上企業就信息化了,遠遠沒有認識到信息技術給企業所能帶來的巨大的變化,對于網絡安全更是沒有意識。
據調查,目前國內90%的網站存在安全問題,其主要原因是企業管理者缺少或沒有安全意識。某些企業網絡管理員甚至認為其公司規模較小,不會成為黑客的攻擊目標。如此態度,網絡安全更是無從談起。
(二)資金、技術、人員方面情況
已建立了企業內部信息化平臺的企業,由于資金、技術等方面的原因,還沒有把重點放到網絡安全管理上,尤其是中小企業的安全問題一直隱患重重。
據了解,許多中小企業沒有專門的網絡管理員,一般采用兼職管理方式,這使中小企業的網絡管理在安全性方面存在嚴重的漏洞,與大型企業相比,它們更容易受到網絡病毒的侵害,損失也比較嚴重。
根據IDC對2005年我國政府、企業用戶的信息安全狀況分析,約有34.8%的企業因內部雇員的行為(包括對內部資源的不合理使用和對內部數據缺乏有效保護)而造成企業出現安全問題。
(三)網絡維護、運行、升級方面的情況
在網絡的維護、運行、升級等事務性工作方面,由于工作繁重而且成本較高,一些善于精打細算的中小企業在防范黑客及病毒方面舍不得投入,據相關調查數據資料統計,國內七成以上的中小企業,一是缺乏基本的企業防毒知識,購買一些單機版防毒產品來防護整個企業網絡的安全。二是采購了并不適合自身網絡系統的企業防毒產品,因此留下許多安全隱患。三是技術力量薄弱,雖然部署了企業防毒產品,但是這些產品操作難度大、使用復雜,最終導致很難全面發揮效用,甚至成了擺設,這樣一來企業內部網絡就根本沒有什么安全而言。
三、如何保證我國中小企業的信息安全
(一)從企業的自身情況考慮
要解決中小企業網絡信息安全問題,不能僅依靠企業的安全設施和網絡安全產品,而應該考慮如何提高企業自身的網絡安全意識,將信息安全問題提升到重視的高度,要重視“人”的因素。具體表現在以下兩個方面:
1.提高安全認識
定期對企業員工進行網絡安全教育培訓深化企業的全員信息安全意識,企業管理層要制定完整的信息安全策略并貫徹執行,對安全問題要做到預先考慮和防備。
2.要求中小企業在上網的過程中要做到“一做三不要”
(1)將存有重要數據的電腦堅決同網絡隔離,同時設置開機密碼,并將軟驅、硬盤加密鎖定,進行三級保護。
(2)不要在自己的系統之內使用任何具有記憶命令的程序,因為這些程序不但能記錄用戶的擊鍵動作甚至能以快照的形式記錄到屏幕上發生的一切。
(3)不在網上的任何場合下隨意透露自己企業的任何安全信息。
(4)不要啟動系統資源共享功能,最后要盡量減少企業資源暴露在外部網上的機會和次數,減少黑客進攻的機會。
(二)從網絡安全角度考慮
1.從網絡安全服務商的角度來說,服務商要重視中小企業對網絡安全解決方案的需要,充分考慮中小企業的現實狀況,仔細調查和分析中小企業的安全因素,開發出適合中小企業實際情況的網絡安全綜合解決方案。此外,還應該注意投入大量精力在安全策略的施行及安全教育的開展方面,這樣才能為中小企業信息安全工作的順利開展提供堅實的保證。
2.要用防火墻將企業的局域網(Intranet)與互聯網之間進行隔離。由于網絡攻擊不斷升級,對應的防火墻軟件也應該及時跟著升級,這樣就要求我們企業的網管人員要經常到有關網站上下載最新的補丁程序,以便進行網絡維護,同時經常掃描整個內部網絡,以發現任何安全隱患并及時更改,才能做到有備無患。
3.企業用戶最好自己學會如何調試和管理自己的局域網系統,不要經常請別人來協助管理。中小企業要培養自己解決安全問題的能力,提高自己的信息安全技術。如果缺乏這方面的人才就應該去引進或者培養相關人才。
4.內部網絡系統的密碼要定期修改。
【關鍵詞】電力企業;網絡信息安全;管理
新時代是網絡信息時代,全世界信息網絡系統都在迅猛發展中。電力企業作為各行業中重中之重的國家基礎行業,整個行業都對網絡信息系統有著極大的依賴性,網絡信息系統也以它快速、全面、及時的優點給電力企業帶來了極大的經濟效益。但是網絡信息系統所帶來的不僅是經濟效益,同樣還有信息泄露的巨大風險,一旦發生信息泄露或信息數據遭篡改,將為國家造成不可估計的經濟損失。
近年來全球范圍內計算機犯罪活動猖獗,不斷發生黑客入侵、電腦病毒肆虐事件,給電力企業敲響了警鐘,網絡安全防范刻不容緩。很多受害者的網絡硬件及軟件技術都處于時展的主流,然而依然發生信息安全受損事件,這充分證明,僅僅依靠軟硬件的更新是不能很好的提升網絡信息安全水平的,除了安裝網絡安全產品,同樣重要的還有網絡信息的安全管理措施。所以,各電力企業都必須認真面對和研究當前網絡信息安全問題,及時采取合理有效的防范措施。
1、我國電力企業網絡信息安全現狀
1.1電力企業信息化的優勢
進入二十一世紀以來,隨著網絡技術的迅速發展,我國電力企業的信息化也有著很大的進步:電力行業信息化設施較其他行業更完善,各電力企業主要崗位使用計算機工作的比率已經基本達到100%,而且90%以上都建立起了覆蓋本部機關工作的局域網;電力生產、調度自動化系統廣泛應用,已經形成了較成熟的管理模式。其中發電生產自動化監控系統、電力調度SCADA系統等,大大提高了生產過程和電力調度的自動化水平;電力營銷管理系統在全國各大電力企業廣泛應用,各地(市)級電力企業都已實現業務受理計算機化。同時各地也在大力建設客戶服務中心,已經有一批服務中心先行初步建立起來;國家電網公司及其下各級子公司開發應用了電力生產、設備安檢、電力負荷及營銷管理的企業管理信息系統,各大電力企業也在積極規劃企業信息化發展藍圖,大力進行企業信息化建設,推動實現電力工業現代化進程。
1.2當前存在的問題
上述信息化優勢證明我國電力企業近年來關于網絡信息化建設取得了一些成果,給行業信息化建設打下了良好的基礎,但在網絡信息安全管理方面仍普遍存在較多問題。
1.2.1信息化機構建設不健全。電力企業很少為信息管理部門專門設置機構,因而缺乏應有的規范的崗位及建制。大多信息部門附屬在技術部、科技部或總經理工作部門下,甚至僅設置一個專責人員負責。信息化管理是一項系統性的工程,沒有專門的部門負責是不能滿足現代企業信息化安全的需求的。
1.2.2企業管理阻礙信息化發展。有些電力企業管理辦法革新緩慢,大多采用較落后的、非現代信息化企業的管理模式。這樣的企業即便引入最完善的信息管理系統、最先進的信息化設備,也只能受落后的企業管理模式所制約,無法發揮其應有的作用。
1.2.3網絡結構不合理。電力企業大多將公司網絡分為外網和內網,兩種網絡之間實行物理隔離措施,但很多企業的網絡交換機是一臺二層交換機,決定了內網和外網用戶在網絡中地位是平等的,導致安全問題只能靠完善管理系統去解決,給系統編寫帶來很多不必要的困難。
1.2.4身份認證缺陷。電力企業一般只建立內部使用的信息系統,而企業內部不同管理部門、不同層次員工有不同等級的授權,根據授權等級不同決定各部門和員工訪問的數據和信息不同。這類授權是以身份認證為基礎的信息訪問控制,但在當前的企業身份認證系統中大多存在缺陷和漏洞,給信息安全留下隱患。
1.2.5軟件系統安全風險較大。軟件系統安全風險指兩方面,一是編寫的各種應用系統可能有漏洞造成安全風險,二是操作系統本身風險,隨著近期微軟停止對windows XP系統的服務支持,大量使用windows XP系統的信息管理軟件都將得不到系統漏洞的修補,這無疑會給信息安全帶來極大風險。
1.2.6管理人員意識不足。很多電力企業員工網絡安全意識參差不齊,一方面是時代的迅速發展導致較年輕的管理人員安全意識較高,而對網絡接觸較少的中老年員工網絡安全意識較為缺乏;另一方面也有電力企業管理制度不夠完善、忽視對員工進行及時培訓的原因。在這種人員背景下,如果管理人員配備不當、信息管理系統設置不合理都會給企業信息埋下安全隱患。
2、電力企業網絡信息安全管理措施
要建立完善合理的網絡信息安全管理體系,需要各企業認清企業現狀,根據實際進行統一規劃,分部建設,保證建設內容能科學有效的運行。
2.1加強信息安全教育培訓
不論計算機程序有多么先進多么完善,如果操作管理人員素質和意識不足,那也不能保證企業信息化的安全。因此,實現企業網絡信息安全管理的根本在人,可以根據員工職責分層次進行培訓,一方面提高安全管理員工的專業知識水平及安全管理意識,另一方面加強對一線工作人員的安全意識教育,將網絡信息安全變為企業文化和精神支柱的一部分。
2.2完善管理制度建設
電力企業要把網絡信息安全管理視為一個系統工程來考慮,必須在企業內部建立起合理而完善的管理制度,比如:加強網絡日志管理;對安全審計數據嚴格管理;在企業網絡上安裝病毒防護軟件;規定不能隨意在內網主機上下載互聯網數據、不能在內網計算機上隨意使用來歷不明的移動存儲設備等。
2.3不斷更新完善信息安全管理系統
大力推進信息安全新技術的探索和應用,建立信息安全防護體系,可以圍繞數據庫安全、數據備份和恢復、網絡服務完全、病毒防護系統的應用、數據加密技術及數據傳輸安全等方面建立一個多方面多層次聯合的技術安全體系,從而提高信息系統安全防護能力,確保企業信息安全可靠。
3、總結
電力企業信息化是不可避免的發展趨勢,因此要實現企業的可持續發展就必須做好企業信息網絡安全的管理,電力企業要在不斷的探索實踐中,摸索新時期網絡信息安全管理措施,不斷完善和健全網絡信息安全建設。
參考文獻
[1]王雋.電力企業網絡信息安全防護體系的建立[J].信息與電腦(理論版),2012,07:22-23.
1.1信息安全管理有效性測量目的
信息安全管理有效性測量的根本目的,是評估企業信息安全管理的真實水平。在企業建立信息系統時,通常都會依據企業的發展需要、組織結構、信息組成、利益關系、安全標準等方面的要求,來設定企業信息系統的安全管理目標,構筑相應的安全管理體系和措施。對企業信息安全管理有效性進行測量,不僅可以對企業信息安全管理目標實現程度進行科學準確的評估,還能準確地評測企業信息安全管理系統的效能,作為企業信息安全管理考核的依據。實際上,如果不進行有效性測量,只依賴于信息系統安全測量標準來評估企業信息系統安全管理水平,將會造成極大的誤差,甚至產生很多安全漏洞,使企業實際信息安全管理水平與所需達到的水平相差甚遠,如果僅依賴于表面的數據將使這些漏洞和不足無法得到有效的解決,造成巨大的信息安全隱患。通過有效性測量,能更好地找出企業信息安全管理需要改進的地方,充分反應企業信息安全管理存在的問題和嚴重程度,為企業信息安全管理工作的改進提供依據。
1.2信息安全管理有效性測量指標
信息安全管理不僅是國內企業的需要,也是國外企業的需要,相對來說,國外在信息安全管理方面的水平更高。目前,在國際上普遍采用ISO/IEC27002作為信息安全管理標準,以此來實施信息安全管理,這一標準是當前最權威和最科學的信息安全管理標準,在這一標準中從信息安全方針、組織、管理等方面,提出了100余個控制措施,信息安全管理中可以根據企業的需要選擇相應的措施進行信息安全管理,該標準所提出的措施,基本覆蓋了企業信息安全管理的各個方面。在構建信息安全管理有效性測量指標體系時,也可以按照ISO/IEC27002標準進行,將測量內容分解為管理控制、運行控制、技術控制3個方面,并根據企業實際情況采用具有代表性、可測量的指標建立起測量指標集,對這些指標實施情況進行采集分析,再通過專家咨詢評測最終得到企業信息安全管理有效性的具體指標,評估企業信息安全達到的水平,找出企業信息安全管理的不足。
2測量方法和指標計算
2.1測量方法
在信息安全管理有效性測量中,應當對指標進行量化處理,最終形成量化測量結果。不同的指標,所采用的測量方法并不相同,通常采用的測量方法有風險分析、風險評估、問卷調查、個人訪談、內部審核、報表統計、滲透性測試、內外對比等方法。對不同的指標采用相應的測量方法進行測量后,得到各指標的基本測度結果,再運用不同的技術對所獲得的基本測度結果進行取值,賦予不同指標以不同的安全風險權重,最終算出企業信息安全管理有效性水平。例如在信息安全管理控制方面,需要對信息系統安全性,信息處理、信息傳輸、信息存儲安全性進行評價,并評估這些風險可能對企業資產造成的威脅以及威脅程度,結合安全問題所涉及的資產價值來判斷可能造成的影響,以評估信息安全管理控制的有效性,這其中,就需要將信息安全管理控制分解為多個指標進行測量,并根據對資產價值的影響能力賦予不同的權重和取值,才能最終確定出企業信息安全管理控制方面的有效性水平。再如在信息安全管理運行有效性方面,需要對人員安全、安全意識、環境安全、業務聯系、事件管理等進行有效性評估,其中人員安全包括各個人員的安全評級和安全管理情況,安全意識包括企業安全教育、人員安全技術水平等,環境安全包括物理安全環境、技術安全環境等。
2.2指標計算
在信息安全管理有效性測量中,各指標的在安全管理有效性中的權重并不相同,因此信息安全管理有效性測量結果,不是對各指標的測量結果進行簡單相加,而是要對不同的指標賦予不同的權重,構建起評測矩陣,并充分考慮各指標之間的聯系賦值,如極端重要、強烈重要、明顯重要、稍微重要等,根據不同指標的權重進行重要性排序后,對其特征向量進行求解,確定各指標在企業信息安全管理中的影響能力。各指標的權重,并沒有統一的標準,也不可能簡單地借鑒其他企業的測量權重,根據不同企業有不同的特點,在進行測量時,應當有相當數量的專家參與權重賦值,在消除偶然因素的影響后建立起符合企業特點的指標權重體系,得出較為科學合理的指標權重,這樣才能使最重的測量結果更為科學合理。
3結束語
摘要:隨著計算機技術與通信技術的高速發展,信息安全在企業中扮演著越來越重要的角色,為此,筆者從企業信息系統所面臨的安全威脅以及企業信息系統安全運行應當采取的防范措施兩方面進行了探討。
關鍵詞:信息系統安全;防火墻技術;防范
隨著計算機技術與通信技術的飛速發展,信息安全已成為制約企業發展的瓶頸技術,進而使得企業對信息系統安全的依賴性達到了空前的程度,但是企業在享受著信息系統給公司帶來巨大經濟效益的同時,也面臨著非常大的安全風險。一旦企業信息系統受到攻擊而遭遇癱瘓,整個企業就會陷入危機的境地。特別是近幾年來全球范圍內的計算機犯罪,病毒泛濫,黑客入侵等幾大問題,使得企業信息系統安全技術受到了嚴重的威脅。因此,這就使得企業必須重新審視當前信息系統所面臨的安全問題,并從中找到針對企業的行之有效的安全防范技術。為此,筆者首先分析了現代企業所面臨的信息系統安全問題,然后提出了企業應當采取的相應防范措施。
1企業信息系統所面臨的安全威脅
企業在信息系統的實際操作過程中,威脅是普遍存在且不可避免的。一般來說威脅就是企業所面臨的潛在的安全隱患。個人電腦只通過一個簡易的應用便可以滿足普通用戶的要求,但是企業的信息系統一般都要充當多個角色,基本上都得為多個部門提供服務,其中任何一個局部的隱患都可能給整體的安全性帶來致命的打擊。正是由于企業信息安全系統本身所固有的這些缺陷,必然會導致病毒與黑客的容易盛行。目前,影響企業系統安全的因素各種各樣,但是其主要的威脅可以歸結為以下幾個方面:
①黑客的蓄意攻擊:隨著信息技術的普及,企業一般都會利用互聯網接入來加速提高本公司業務與工作績效,黑客的惡意攻擊行為無疑會成為阻礙這一進程發展最大也最嚴重的威脅。其中,有來自競爭公司的幕后黑手,或者來自對本企業有怨恨情緒的員工,以及對該企業持不滿態度的顧客等,出于不同目的或報復情緒都可能對企業網絡進行破壞與盜竊。另外,一個更嚴重的問題——網絡敲詐,正有逐步提升的趨勢。許多不法分子利用木馬、病毒、間諜軟件,或者dos攻擊等非法方式對企業網絡進行破壞或盜用企業數據,并以此作為向企業敲詐勒索的交換條件,由于大部分企業普遍存在著信息安全環等薄弱問題,因此很多企業都成為這種違法行為最大的受害者。
②病毒木馬的破壞:現今的互聯網已基本成為了一個病毒肆虐生長繁殖的土壤,幾乎每一天都會有上百種新的病毒或者木馬產生,而在很大部分企業中,安全技術不足,管理設備松散、員工安全意識淡薄等問題的存在進一步滋長了病毒、蠕蟲、木馬等的危害,嚴重時甚至有可能造成整個企業網絡的癱瘓,導致企業業務無法正常進行。
③員工對信息網的誤用:如企業技術員工由于安全配置不當引起的安全漏洞,員工安全意識薄弱,用戶密碼選擇不恰當,將自己的賬戶名與口令隨意告訴他人或與別人共享都會對信息系統安全帶來威脅。
④技術缺陷:由于當前人類認知能力和技術發展的有限性,要想使硬件和軟件設計都達到完美沒有缺陷,基本上不可能。其次,網絡硬件、軟件產品多數依靠進口等這些隱患都可能可造成網絡的安全問題。
2企業信息系統安全運行的防范措施
企業信息系統安全運行的防范措施是企業信息系統高效運行的方針,其能在很大程度上確保信息系統安全有效的運行。相應的企業安全運行的措施一般可以分為以下幾類:
①安全認證機制:安全認證機制是確保企業信息系統安全的一種常用技術,主要用來防范對系統進行主動攻擊的惡意行為。安全認證,一方面需要驗證信息發送者的真實性,防止出現不真實;另一方面可以防止信息在傳送或存儲過程中被篡改、重放或延遲的可能。一般來說,安全認證的實用技術主要由身份識別技術和數字簽名技術組成。
②數據的加密以及解密:數據的加密與解密主要是用來防止存儲介質的非法被竊或拷貝,以及信息傳輸線路因遭竊聽而造成一些重要數據的泄漏,故在系統中應對重要數據進行加密存儲與傳輸等安全保密措施。加密是把企業數據轉換成不能直接辨識與理解的形式;而解密是加密的逆行式即把經過加密以后的信息、數據還原為原來的易讀形式。
③入侵檢測系統的配備:入侵檢測系統是最近幾年來才出現的網絡安全技術,它通過提供實時的入侵檢測,監視網絡行為并進而來識別網絡的入侵行為,從而對此采取相應的防護措施。
④采用防火墻技術:防火墻技術是為了確保網絡的安全性而在內部和外部之間構建的一個保護層。其不但能夠限制外部網對內部網的訪問,同時也能阻止內部網絡對外部網中一些不健康或非法信息的訪問。
⑤加強信息管理:在企業信息系統的運行過程中,需要要對全部的信息進行管理,對經營活動中的物理格式和電子格式的信息進行分類并予以控制,將所有抽象的信息記錄下來并存檔。
3結語
總之,企業信息系統的安全問題將會越來越得到人們的重視,其不但是一個技術難,同時更是一個管理安全的問題。企業信息系統安全建設是一個非常復雜的系統工程。因此,企業必須綜合考慮各種相關因素,制定合理的目標、規劃相應的技術方案等。筆者相信,信息安全技術必將隨著網絡技術與通信技術的發展而不斷得到完善。
參考文獻:
[1]肖雪.計算機網絡安全的研究[J].科技創新導報,2008,(20):27.
[2]張宗府.電子政務建設的安全對策研究[J].科技創新導報,2008,(9).