導語:在企業信息安全現狀的撰寫旅程中���,學習并吸收他人佳作的精髓是一條寶貴的路徑,好期刊匯集了九篇優秀范文��,愿這些內容能夠啟發您的創作靈感�����,引領您探索更多的創作可能�����。
第1篇
【關鍵詞】煤礦 信息網絡信息系統 網絡安全
隨著信息技術、網絡技術��、自動化技術、視頻技術�、傳感器技術等一系列先進技術的快速發展和融合���,煤礦企業信息網絡建設也取得了豐碩成果�。目前國內大����、中型煤礦企業基本上都已經構建和裝備了企業互聯網、工業以太網�、監測監控����、人員定位���、工業控制等信息系統�����,這些信息系統已經深入到煤礦安全生產的方方面面��,而且很多工業系統自動化程度非常的高�����,比如提升系統���、選煤系統等已經實現了無人操作���,遠程開停�����、故障閉鎖等,操作人員只需要對運行的參數進行觀測和記錄�����,大大提高了人員工作效率��、增強了企業的核心競爭力���。所以今天煤礦企業信息網安全就顯得尤為重要���,本文將就煤礦企業信息網絡安全現狀及重要性進行分析和探究���。
1 現狀分析
我國中�、大型煤礦企業建設和應用了大量的信息系統和工業控制系統,并且這些信息系統已經深入到生產經營的方方面面����,促使煤礦企業從傳統的密集型�����、重體力生產模式向“采掘機械化���、生產自動化�����、管理信息化”模式轉變���,有力地提升了煤礦企業管理效率�,加速了煤礦的企業轉型升級。但是煤礦企業在信息網絡安全管理方面還存在諸多問題:
1.1 企業管理人員對信息網絡安全的重要性認識不足
主要表現在四點,一是沒有建立完善的信息網絡組織體系���,相關的制度建立和落實不到位����。二是企業大都沒有編制詳實可行的信息網絡安全預案���,也沒有進行相關的應急演練��;三是信息網絡安全方面的投入比較少,企業安全防護設施不全���;四是企業管理人員對于信息網絡安全的知識非常欠缺,只注重信息系統具體應用和預設功能�,對于操作可能帶來的網絡威脅沒有防范意識�����。
1.2 信息孤島與信息網絡安全之間的矛盾日益沖突
早期煤礦企業建設的信息系統和工業控制系統都是一個單一的個體,相互獨立,之間沒有任何聯系����,隨著信息技術的發展和企業管控一體化進程的不斷推進�?���!靶畔⒐聧u”的問題得到了很大程度的解決,但同時產生的信息網絡安全問題也日益突出�?�!靶畔⒐聧u”的消除依賴網絡的廣泛應用,而網絡正是信息安全的薄弱環節。消除“信息孤島”勢必使工業控制系統增加大量的對外聯系通道��,這使得信息網絡安全面臨更加復雜的環境���,安全保障的難度大大增加���。
1.3 信息安全管理人員信息安全知識和技能不足�����,主要依靠外部安全服務公司的力量
主要原因有三點:
(1)煤礦企業地處偏遠山區���、工作環境和生活環境相對都比較差�,很難招聘到高科技人才��,即是招到人也很難留下來����。
(2)企業以煤炭生產�����、加工、銷售為主業�,信息技術人才發展空間小�、大多數人員都只是從事信息維修工和桌面支持之類的工作�����。
(3)信息安全管理人員長期得不到培訓和學習的機會���,信息技術知識的儲備量有限����、業務水平處在較低的一個水平�����,所以只能依靠外部安全服務公司�����。
1.4 信息網絡安全防護設備利用率低��,很難發揮應有的功能
煤礦企業在信息網絡建設初期都會做網絡安全方面的布置,比如在網絡邊界架設防火墻���、入侵檢測設備,在內部部署殺毒軟件����,形成了軟硬件相結合的防御模式,可是很多企業的防火墻和入侵檢測設備從安裝到被替換可能從來都沒有做過配置更新���,和漏洞修復、打補丁之類的操作�,大多數的員工電腦也從不安裝殺毒軟件����,這就做法無形中弱化了我們防御的盾牌和進攻的長矛�,使網絡安全防護設備長期處于半“休眠”狀態。
2 重要性
“沒有網絡安全就沒有國家安全”�����,在浙江烏鎮世界互聯網大會上提出的網絡安全觀���,足以證明網絡安全對于國家的重要性��。那么同樣對于現今充分利用信息網絡和工業控制系統的現代化煤礦企業來說���,如果沒有足夠的信息網絡安全也就沒有企業的安全生產����。信息技術是一把“雙刃劍”�����,它改變了企業的生產方式����,優化了企業的管理流程�,提高了企業管理效率,可是同樣卻又不得不將企業置身于互聯網之中����。互聯網是一個“超領土”存在的虛擬空間,存在各種潛在的威脅���,比如利用木馬、病毒、遠程攻擊����、控制等方式��,泄露企業的商業機密、修改控制系統指令、攻陷服務器�����、盜取個人信息等�,這些都有可能對企業造成嚴重安全事故和經濟損失。這些還只是企業內部的損失,很多大�����、中型煤礦企業為了提升企業管理效率都開通與集團公司之間的專線VPN,承載了很多應用服務包括協同OA、生產調度���、銷售等等的數據都要進行通信�����,如果信息網絡安全受到攻擊癱瘓����,都會對企業的生產經營造成影響�����,更有甚者可能通過煤礦企業本地發起攻擊��,致使整個集團的信息網絡受到嚴重威脅��,所以煤礦企業管理人員一定要樹立正確的信息網絡安全觀��,充分認知信息網絡安全的重要性�,加快構建關鍵信息基礎設施安全保障體系�����,增強企業信息網絡安全的防御能力�����。
3 總結
總之��,信息網絡技術發展的今天���,信息網絡安全已經是每一個煤礦企業必須面對和正視的問題�,也是每一個企業管理者應該積極參與和考慮的問題。古人云“知己知彼 百戰不殆”�����,煤礦企業應該立即行動起來�����,通過開展關鍵信息基礎設施網絡安全檢查�����,準確掌握企業關鍵基礎設施的網絡安全狀況�,詳細評估企業所面R的網絡安全威脅����,制定對應的防范措施,構建企業信息網絡安全的“防火墻”�����,為企業安全生產經營、職工娛樂生活營造一個安全��、穩定、健康的網絡環境���。
參考文獻
[1]陳龍.煤炭企業網絡安全建設與管理探究[J].煤炭技術,2013.
[2]劉永軍.關于煤炭網絡信息安全問題分析及對策研究[J].科技創新與應用�,2014.
第2篇
關鍵詞:企業信息化����;信息安全管理體系�;信息安全保障
1 企業信息安全需求與目標
近年來隨著企業信息系統建設的不斷發展���,企業的信息化安全也面臨著前所未有的挑戰。作為中國高速列車產業化制造基地和城軌地鐵車輛定點制造企業����,公司的發展對高速動車行業產生著舉足輕重的作用����;從企業信息安全現狀分析,公司IT部門主管深深意識到��,盡管從自身情況來看,在信息安全方面已經做了很多工作�����,如部署了防火墻、SSL VPN����、入侵檢測系統���、入侵防御系統�、防病毒系統、文檔加密���、終端安全管理系統等。但是安全系統更多的在于防堵來自某個方面的安全威脅��,無法產生協同效應�,距離國際同行業企業還存在一定的差距。
公司通過可行性研究及論證����,決定借助外力���,通過知名的咨詢公司協助企業發現存在的信息安全不足點�,以科研項目方式���,通過研究國家安全標準體系及國家對央企和上市企業的信息化安全要求����,分析企業目前的現狀和國際標準ISO27001之間的差距��,繼而完善企業信息安全體系的規劃與設計�����,最終建立一套適合企業現狀的信息安全標準和管理體系。目標是使公司信息安全從管理到技術均得到全面加強,建立一個有責(職責)���、有序(秩序)、有效(效率)的信息安全管理體系,預防信息安全事件的發生��,確保更小的業務損失�����,提供客戶滿意度���,獲取更多的管理支持��。在行業內樹立標桿和示范,提升企業形象,贏取客戶信任���,增強競爭力。同時,使信息安全體系通過信息安全管理體系通過ISO 27001認證標準�����。
2 企業信息安全管理體系建設過程
凡事預則立���,不預則廢�����。對于信息安全管理建設的工作也先由計劃開始。信息安全管理體系建設分為四個階段:實施安全風險評估��、規劃體系建設方案���、建立信息安全管理體系、體系運行及改進�。也符合信息安全管理循環PDCA(Plan-Do-Check-Action)模型及ISO27001要求�,即有效地保護企業信息系統的安全�,確保信息安全的持續發展。本文結合作者經驗��,重點論述上述幾個方面的內容�����。
2.1 確立范圍
首先是確立項目范圍�,從機構層次及系統層次兩個維度進行范圍的劃分��。從機構層次上����,可以考慮內部機構:需要覆蓋公司的各個部門�,其包括總部、事業部、制造本部�、技術本部等���;外部機構:則包括公司信息系統相連的外部機構�����,包括供應商、中間業務合作伙伴���、及其他合作伙伴等��。
從系統層次上��,可按照物理環境:即支撐信息系統的場所、所處的周邊環境以及場所內保障計算機系統正常運行的設施�。包括機房環境��、門禁、監控等���;網絡系統:構成信息系統網絡傳輸環境的線路介質,設備和軟件����;服務器平臺系統:支撐所有信息系統的服務器��、網絡設備、客戶機及其操作系統�、數據庫�、中間件和Web系統等軟件平臺系統���;應用系統:支撐業務�、辦公和管理應用的應用系統;數據:整個信息系統中傳輸以及存儲的數據��;安全管理:包括安全策略���、規章制度���、人員組織��、開發安全�、項目安全管理和系統管理人員在日常運維過程中的安全合規�、安全審計等�。
2.2 安全風險評估
企業信息安全是指保障企業業務系統不被非法訪問����、利用和篡改�,為企業員工提供安全、可信的服務,保證信息系統的可用性����、完整性和保密性。
本次進行的安全評估����,主要包括兩方面的內容:
2.2.1 企業安全管理類的評估
通過企業的安全控制現狀調查��、訪談、文檔研讀和ISO27001的最佳實踐比對,以及在行業的經驗上進行“差距分析”,檢查企業在安全控制層面上存在的弱點���,從而為安全措施的選擇提供依據。
評估內容包括ISO27001所涵蓋的與信息安全管理體系相關的11個方面����,包括信息安全策略�、安全組織、資產分類與控制、人員安全、物理和環境安全��、通信和操作管理����、訪問控制�����、系統開發與維護����、安全事件管理、業務連續性管理����、符合性����。
2.2.2 企業安全技術類評估
基于資產安全等級的分類,通過對信息設備進行的安全掃描、安全設備的配置��,檢查分析現有網絡設備、服務器系統、終端、網絡安全架構的安全現狀和存在的弱點����,為安全加固提供依據����。
針對企業具有代表性的關鍵應用進行安全評估����。關鍵應用的評估方式采用滲透測試的方法���,在應用評估中將對應用系統的威脅�、弱點進行識別���,分析其和應用系統的安全目標之間的差距,為后期改造提供依據���。
提到安全評估�,一定要有方法論�。我們以ISO27001為核心,并借鑒國際常用的幾種評估模型的優點�,同時結合企業自身的特點����,建立風險評估模型:
在風險評估模型中,主要包含信息資產��、弱點、威脅和風險四個要素��。每個要素有各自的屬性,信息資產的屬性是資產價值,弱點的屬性是弱點在現有控制措施的保護下��,被威脅利用的可能性以及被威脅利用后對資產帶來影響的嚴重程度�,威脅的屬性是威脅發生的可能性及其危害的嚴重程度,風險的屬性是風險級別的高低。風險評估采用定性的風險評估方法���,通過分級別的方式進行賦值。
2.3 規劃體系建設方案
企業信息安全問題根源分布在技術�����、人員和管理等多個層面�,須統一規劃并建立企業信息安全體系,并最終落實到管理措施和技術措施���,才能確保信息安全。
規劃體系建設方案是在風險評估的基礎上���,對企業中存在的安全風險提出安全建議,增強系統的安全性和抗攻擊性��。
在未來1-2年內通過信息安全體系制的建立與實施����,建立安全組織�����,技術上進行安全審計����、內外網隔離的改造�����、安全產品的部署��,實現以流程為導向的轉型�����。在未來的 3-5 年內,通過完善的信息安全體系和相應的物理環境改造和業務連續性項目的建設���,將企業建設成為一個注重管理,預防為主�,防治結合的先進型企業��。
2.4 企業信息安全體系建設
企業信息安全體系建立在信息安全模型與企業信息化的基礎上,建立信息安全管理體系核心可以更好的發揮六方面的能力:即預警(Warn)�、保護(Protect)���、檢測(Detect)�����、反應(Response)�����、恢復(Recover)和反擊(Counter-attack)����,體系應該兼顧攘外和安內的功能���。
安全體系的建設一是涉及安全管理制度建設完善���;二是涉及到信息安全技術�����。首先����,針對安全管理制度涉及的主要內容包括企業信息系統的總體安全方針���、安全技術策略和安全管理策略等���。安全總體方針涉及安全組織機構��、安全管理制度��、人員安全管理、安全運行維護等方面的安全制度�����。安全技術策略涉及信息域的劃分�����、業務應用的安全等級、安全保護思路����、說以及進一步的統一管理��、系統分級、網絡互聯���、容災備份、集中監控等方面的要求�����。
其次��,信息安全技術按其所在的信息系統層次可劃分為物理安全技術��、網絡安全技術��、系統安全技術、應用安全技術�,以及安全基礎設施平臺�����;同時按照安全技術所提供的功能又可劃分為預防保護類、檢測跟蹤類和響應恢復類三大類技術����。結合主流的安全技術以及未來信息系統發展的要求����,規劃信息安全技術包括:
2.5 體系運行及改進
信息安全管理體系文件編制完成以后���,由公司企劃部門組織按照文件的控制要求進行審核�����。結合公司實際,在體系文件編制階段�,將該標準與公司的現有其他體系�,如質量����、環境保護等體系文件,改歸并的歸并��。該修訂審核的再繼續修訂審核���。最終歷經幾個月的努力���,批準并實施了信息安全管理系統的文檔�����。至此����,信息安全管理體系將進入運行階段�����。
有人說����,信息系統的成功靠的是“三分技術���,七分管理��,十二分執行”。“執行”是要需要在實踐中去體會�����、總結與提高�。對于信息系統安全管理體系建設更是如此!在此期間,以IT部門牽頭����,加強宣傳力度�����,組織了若干次不同層面的宣導培訓,充分發揮體系本身的各項功能,及時發現存在的問題,找出問題根源���,采取糾正措施,并按照更改控制程序要求對體系予以更改,以達到進一步完善信息安全管理體系的目的�。
3 總結
總結項目�,建立健全的信息安全管理制度是進行安全管理的基礎���。當然,體系建設過程中還存在不足,如崗位原有職責與現有安全職責的界定��,員工的認知及接受程度還有待提高���,體系在各部門領導重視程度�����、執行力度��、審核效果存在差距等等���。最終�����,在公司各部門的共同努力下��,體系經歷了來自國際知名品牌認證公司DNV及中國認可委(CNAS)的雙重檢驗,并通過嚴格的體系審核。確認了公司在信息安全管理體系達到國內和國際信息安全管理標準��,提升公司信息安全管理的水平�����,從而為企業向國際化發展與合作提供有力支撐���。
[參考文獻]
[1]沈昌祥.《信息系統安全導論》.電子工業出版社�����,2003.7.
第3篇
隨著企業信息化水平的提升,大多數企業在信息安全建設上逐步添加了上網行為管理�����、內網安全管理等新的安全設備�,但信息安全防護理念還停留在防的階段,信息安全策略都是在安全事件發生后再補救,導致了企業信息防范的主動性和意識不高�����,信息安全防護水平已經越來越不適應當今企業IT運維環境和企業發展的需求�。
2企業信息系統安全防護的構建原則
企業信息化安全建設的目標是在保障企業數字化成果的安全性和可靠性。在構建企業信息安全體系時應該遵循以下幾個原則:
2.1建立企業完善的信息化安全管理體系
企業信息安全管理體系首先要建立完善的組織架構、制定信息安全管理規范,來保障信息安全制度的落實以及企業信息化安全體系的不斷完善�。基本企業信息安全管理過程包括:分析企業數字化資產評估和風險分析���、規劃信息系統動態安全模型、建立可靠嚴謹的執行策略�、選用安全可靠的的防護產品等�����。
2.2提高企業員工自身的信息安全防范意識
在企業信息化系統安全管理中,防護設備和防護策略只是其中的一部分����,企業員工的行為也是維護企業數字化成果不可忽略的組成��。所以企業在實施信息化安全管理時,絕對不能忽視對人的行為規范和績效管理���。在企業實施企業信息安全前,應制定企業員工信息安全行為規范��,有效地實現企業信息系統和數字化成果的安全�、可靠、穩定運行�,保證企業信息安全�。其次階段遞進的培訓信息安全人才也是保障企業數字化成果的重要措施�����。企業對員工進行逐次的安全培訓�,強化企業員工對信息安全的概念�,提升員工的安全意識。使員工的行為符合整個企業信息安全的防范要求�。
2.3及時優化更新企業信息安全防護技術
當企業對自身信息安全做出了一套整體完善的防護規劃時�,就應當考慮采用何種安全防護技術來支撐整個信息安全防護體系��。對于安全防護技術來說可以分為身份識別���、網絡隔離��、網絡安全掃描、實時監控與入侵發現�����、安全備份恢復等��。比如身份識別的目的在于防止非企業人員訪問企業資源�����,并且可以根據員工級別分配人員訪問權限,達到企業敏感信息的安全保障���。
3企業信息安全體系部署的建議
根據企業信息安全建設架構,在滿足終端安全�����、網絡安全���、應用安全�、數據安全等安全防護體系時,我們需要重點關注以下幾個方面:
3.1實施終端安全�����,規范終端用戶行為
在企業信息安全事件中��,數字化成果泄漏是屬于危害最為嚴重的一種行為�����。企業信息安全體系建立前,企業員工對自己的個人行為不規范���,造成了員工可以通過很多方式實現信息外漏。比如通過U盤等存儲介質拷貝或者通過聊天軟件傳遞企業的核心數字化成果��。對于這類高危的行為��,我們在建設安全防護體系時,僅僅靠上網行為管理控制是不能完全杜絕的。應該當用戶接入企業信息化平臺前��,就對用戶的終端系統進行安全規范檢查�����,符合企業制定的終端安全要求后再接入企業內網����。同時配合上網行為管理的策略對員工的上網行為進行審計���,使得企業員工的操作行為符合企業制定的上網行為規范�����,從終端用戶提升企業的防護水平��。
3.2建設安全完善的VPN接入平臺
企業在信息化建設中,考慮總部和分支機構的信息化需要,必然會采用VPN方式來解決企業的需求。不論是采用SSLVPN還是IPSecVPN���,VPN加密傳輸都是通用的選擇。對于分支機構可以考慮專用的VPN設備和總部進行IPSec連接,這種方式更安全可靠穩定���。對于移動終端的接入可以考慮SSLVPN方式。在這種情況下,就必須做好對于移動終端的身份認證識別。其實我們在設備采購時�,可以要求設備商做好多種接入方式的需求���,并且幫助企業搭建認證方式���。這將有利于企業日常維護�����,提升企業信息系統的VPN接入水平。
3.3優化企業網絡的隔離性和控制性
在規劃企業網絡安全邊際時�,要面對多個部門和分支結構�,合理的規劃安全網絡邊際將是關鍵���。企業的網絡體系可以分為:物理層����;數據鏈路層;網絡層�;傳輸層���;會話層���;表示層��;應用層。各體系之間的相互隔離和訪問策略是防止企業信息安全風險的重要環節。在企業多樣化網絡環境的背景下��,根據企業安全優先級及面臨的風險程度�����,做出適合企業信息安全的防護策略和訪問控制策略��。根據相應防護設備進行深層次的安全防護,真正實現OSI的L2~L7層的安全防護�����。
3.4實現企業信息安全防護體系的統一管理
為企業信息安全構建統一的安全防護體系�,重要的優勢就是能實現對全網安全設備及安全事件的統一管理,做到對整個網絡安全事件的“可視��、可控和可管”�。企業采購的各種安全設備工作時會產生大量的安全日志�����,如果單靠相關人員的識別日志既費時效率又低���。而且不同安全廠商的日志報表還存在很大差異���。所以當安全事件發生時��,企業管理員很難實現對信息安全的統一分析和管理。所以在企業在構建信息安全體系時��,就必須要考慮安全設備日志之間的統一化��,設定相應的訪問控制和安全策略實現日志的歸類分析���。這樣才能做到對全網安全事件的“可視�、可控和可管”�����。
4結束語
第4篇
關鍵詞:信息安全�����;影響因素;管理措施
中圖分類號:TP393.08
信息技術的飛速發展在給社會經濟帶來巨大便利性的同時�����,也帶來了巨大的風險���,信息的安全已成為國際社會經濟發展亟待解決的問題?,F代企業在日常業務運營���、行政管理�、檔案管理、數據交換等方面都離不開信息網絡技術,然而,部分企業對自身信息安全的不重視以及在管理機制上的欠缺��,致使社會重大信息安全事故頻發����,給社會與企業帶來了不可估量的損失及危害���。當然��,企業的信息安全是一項艱巨的工作,它涉及到企業組織結構的各個方面����,是一項系統的工程�,無論是網絡技術還是管理組織體系�����,或者企業信息硬件設備���,都會影響到企業信息的安全���,要保障企業信息的安全�����,就必須從信息技術安全以及信息管理制度兩大方面入手,不斷完善信息保密措施,如此�����,方可有效控制企業信息泄露��。
1 企業信息安全風險的現狀
企業在信息化建設的過程中,對信息安全的理解與重視并不相同�,部分企業的對自身信息安全的防護級別較低�,難以有效抵御外部信息竊取以及內部泄密���。當前,我國企業在信息安全建設中主要存在如下三個問題:
1.1 企業信息安全管理機制不健全。信息安全是一個全新的領域��,在過去�,企業管理者對于自身信息的安全并沒有高度重視,而在現代社會中,企業之間的競爭越來越激烈���,任何有價值的信息泄露都可能會造成企業的重大損失,甚至破產倒閉,這也使得企業管理者不得不重視信息安全問題。然而,在社會法律法規����、技術監管�����、安全標準等方面還存在諸多的不完善之處,同時����,由于企業信息管理是一個不斷發展的動態過程���,企業的網絡安全軟硬件技術�、管理人員的保密意識以及對商業間諜的防范措施等都會影響到企業的信息安全�����。從總體上來講���,信息安全管理機制的缺失是企業信息安全面臨的最大問題。
1.2 企業信息安全技術不足���。信息安全是當前社會共同面臨的重大問題,企業的信息系統構建離不開計算機系統以及網絡系統的支持���,而通過網絡傳播的數據將面臨極大的技術風險。現代信息安全技術是以密碼技術�、病毒技術����、數據恢復技術�、操作系統維護技術、數據庫技術以及網絡技術等所組成的系統技術��。而由于企業對相關技術的認識和技術管理人才培養的局限性,導致在計算機信息應用過程中難免會出現一些漏洞缺陷��。另外��,在面對外部信息竊取攻擊行為時�,部分安全技術管理人員防范能力較弱��,不能從根本上抵御黑客的攻擊���,這就導致企業的信息安全完面臨嚴重的泄密危險���。
1.3 企業員工缺乏安全管理的責任心和防范意識�����。企業的信息安全并不只是管理人員的責任,而是全體員工共同的責任�����,不過在企業信息安全建設過程中���,往往忽略了企業員工環節��,導致信息安全建設難以達到預期的目的。目前��,企業信息安全事件最突出的便是信息泄密����,其主要表現為員工的無意泄密、故意泄密以及離職后信息資源的自我利用�,可以說����,企業內部的信息安全風險遠遠大于外部風險���。然而�����,針對內部信息安全問題�����,企業卻并無一個全面、系統�、有效的保障體系��,尤其是在員工責任心建設以及信息安全防范意識建設方面,一直是企業信息安全體系建設的弱點所在。
2 影響企業信息安全的主要因素分析
企業的信息安全一直是現代企業管理中的難點,尤其是通信類企業以及嚴重依賴網絡的電子商務類企業,其在信息安全環節的投入往往最大,但仍然是面臨風險最大的環節��。根據美國FBI以及CSI對其國內部分企業的調查顯示���,信息安全內部威脅占85%����,外部入侵占15%���,專利信息被竊取占14%�,內部人員的財務欺騙占12%,資料或網絡數據的破壞占11%。由此可見,企業內部信息安全已成為企業信息安全管理的重中之重��,其泄密的途徑主要包括互聯網泄密�,如電子郵件、即時通訊工具、網頁空間、ftp、病毒黑客攻擊等方式��;局域網絡泄密��,包括內網與外網的連通����、私人電腦與內部電腦的連接等��;終端設備的泄密等等�����。企業信息安全是企業穩定與發展的基礎�,但是�,企業信息安全形勢卻不容樂觀,在現實中,影響企業信息安全的因素較多��,其主要包括如下幾種:
2.1 實體環境安全因素�����。(1)信息技術承載硬件安全���。信息網絡技術的硬件設備是支撐企業信息安全建設的基礎�,包括硬盤設備�����、內存設備、I/O控制器、電源等�����。(2)機房環境安全���。機房是企業信息網絡的管理中樞�����,其環境的好壞將直接影響企業信息的安全�����。一般來說,機房管理必須要專人專管���,對于出入人員應該有記錄,并且�����,機房應具有防火��、防水����、防靜電����、防鼠害�、防雷擊等設施,還要安裝空調設備�,以確保機房運行溫度和濕度的穩定���。(3)傳輸線路安全�。網絡線路以及電纜線路在傳輸過程中都具有一定的輻射性���,其對信息具有一定的干擾����,我們在安裝時要采用屏蔽布線或者光纜傳輸,并采取技術手段���,阻止線路對信息的干擾,以確保傳輸線路的安全����。
2.2 內部環境因素���。影響企業信息安全的內部因素主要包括:(1)軟件因素��。軟件是企業信息化建設的重要工具,但同時也是信息安全風險較大的環節�����,它包括系統軟件和應用軟件。系統軟件的是信息系統的運行平臺����,其本身就存在漏洞���,若系統軟件遭到攻擊�����,將極可能導致信息的損壞或者泄密����。而應用軟件在設計過程中的不周全以及對數據校驗的不完善,都將威脅到企業的信息安全�。(2)人為因素��。企業內部人的因素是影響信息安全的最大部分,員工對數據的操作或者對相關威脅處理的不合理�����、不及時都會直接影響信息的可靠性�。(3)網絡因素。企業的一切信息交換幾乎都是通過網絡來實現的,包括外部網絡和局域網��,而由于網絡故障所導致的信息丟失情況比比皆是�,另外,網絡中一些非授權訪問行為也容易造成敏感數據的泄密或者丟失。(4)硬件因素���。硬件主要是指存儲設備以及電源�����、顯示設備、網絡設備等��,其中儲存硬件設備對企業信息安全影響最大,我們在硬件儲存設備的管理中要注重防霉變�、防輻射�����、防雷擊等等,及時做好數據備份和數據恢復�����。
2.3 外部環境因素?�,F代企業信息安全不僅面臨著內部安全風險,還遭受著嚴重的外部隱患,其主要包括病毒風險��、黑客攻擊風險以及意外事故�����,如火災�����、爆炸、水災等�,其對企業的信息安全影響甚大����。
3 加強企業信息安全防范的措施
面對著如此眾多的信息安全隱患�,企業的信息安全管理形勢十分嚴峻,要想真正做好信息的安全管理,保障信息安全,那么企業必須系統地進行改革,從根本上阻止信息的泄漏�����。
3.1 建立健全信息安全管理制度�。企業必須根據內部信息的安全級別,建立一套適合其技術規范的管理標準,尤其注重在人員組織結構以及培訓,要建立完善的信息安全管理制度規范����,并嚴格執行�����。
3.2 采取新型網絡安全技術,及時更新軟硬件系統���。企業要對內部計算機及服務器系統進行及時更新換代��,尤其是其軟硬件系統���,要做好防病毒措施����,并及時做好數據備份,加強網絡密碼建設以及入侵檢測技術建設����,為信息安全上一把“鎖”�。
3.3 加強內部信息的監管����,對非授權訪問以及敏感接入進行嚴格的控制。企業必須加強對內部數據的有效監管,在與外界進行數據交換過程中��,有必要對敏感數據或者有威脅的行為進行干預��、阻止��、監控等措施,控制非法接入與攻擊行為��。
3.4 定期巡查與評估���,不斷改善和調整安全防護策略����。企業的信息安全管理是一個動態的過程,我們的信息安全防范也必須做好及時的評估和調整���,對計算機硬件設備、機房環境等定期進行巡查���,發現并及時解決潛在的安全威脅,并根據最新的信息安全形勢來調整防護策略�,未雨綢繆�����,做好信息安全的預防工作��。
參考文獻:
[1]羅慶云�,趙巾幗.企業網信息安全的探討[J].網絡安全技術與應用��,2005.
[2]姜樺��,郭永利.企業信息安全策略研究[J].焦作大學學報,2009.
第5篇
【關鍵詞】信息安全�����;電力企業�����;防護措施
前言
當前��,電力企業在生產運行過程中離不開信息技術的支持�����,尤其是電力企業在建立了復雜的數據網和信息網后,信息技術的在電力企業中的地位日益提高���,同時,信息安全也影響著電力企業的生產經營�。
1電力網絡和信息安全管理的主要內容
電力網絡和信息安全管理主要包括三方面的內容:①安全策略����;②風險管理��;③安全教育。具體淺析如下:
1.1安全策略
信息安全策略根據企業規模、安全需求和業務發展的不同而不同�,但是都具有簡單易懂�����、清晰通俗的特點��,由高級管理部門制定并形成書面文字,屬于企業安全的最高方針��,廣泛到企業所有員工手中�。
1.2風險管理
評估威脅企業信息資產的風險,首先事先假定風險可能會給企業帶來的風險和損失��,然后再通過各種手段���,如:風險的規避�、風險的轉嫁、降低風險和接受風險等多種方法為相關部門提供網絡和信息安全的對策建議��。
1.3安全教育
所謂安全教育��,就是對直接關聯企業安全生產的人員進行的教育活動�����,其對象是安全策略執行人員,具體來說就是與安全工作相關的技術人員���、管理人員和客戶,并對其進行安全培訓��,讓其了解和掌握信息安全對策�����。安全管理是企業管理的重要內容��,必須引起企業領導層的高度重視,切實將安全相關教育納入到企業文化的組成中,確保信息安全管理的有效執行���。
2電力企業信息化發展的特征
隨著我國電力企業信息化的發展��,與其他企業相比�,在網絡信息安全方面具有以下優勢特征����。
2.1信息化基礎設施完善
經過多年的發展,電力企業的信息化建設與其他行業的信息化建設水平相比,具有明顯的比較優勢��,進程相對領先�����,各個部門工作中計算機的使用率為100%����,電力企業局域網覆蓋率90%以上���。
2.2營銷管理系統廣泛應用
電力企業的營銷管理系統經過多年的研究探索已基本建成�����,實現了用電管理信息化�、業務受理計算機化��,并建立了相應的客戶服務中心����。
2.3生產��、調度自動化系統應用熟練
電力企業信息化建設的重點是提高電網運行質量和電力調度的自動化水平�,現階段��,從電力企業發展的自動化水平上來看,其生產已基本達到國際先進水平�����。
2.4管理信息系統的建設逐步推進
電力企業積極建設管理信息系統�����,開發了設備�����、生產��、電力負荷、安全監督��、營銷管理等信息系統�����,并將企業信息化建設放到重要位置���,利用信息化推動企業現代化發展���。
3電力企業網絡和信息安全管理中存在的問題
電力企業網絡和信息安全管理雖然具有以上優勢特征���,但同樣還是存在一定的問題�����,具體如下:
3.1信息化機構建設不完善
部分電力企業還未設置專門的信息部門,信息科室有的在科技部門下�����,有的在綜合部門下���,缺乏規范的制度與崗位設置���,這種情況下�,勢必會影響到網絡和信息安全的管理工作�。
3.2網絡信息安全管理未成為企業文化的一部分
電力網絡信息貫穿于生產的全過程,涉及到電力生產的各層面�����,但是仍然處于從屬地���,沒有納入電力企業安全文化建設中����,進而影響到安全管理的實施力度。
3.3企業管理革新跟不上信息化發展的步伐
電力企業管理革新與信息技術的發展與應用相比還較為滯后�,企業不能及時的引入先進的管理與業務系統����,導致企業信息系統不能發揮預期的作用���。
3.4網絡信息安全存在風險
電力企業網絡信息安全與一般企業網絡信息相比��,有共同點��,也有自自身的特殊性,實踐中必須認真分析研究�,具體表現為:①網絡的結構不夠合理����,電力網絡建設要求���,網絡建設要區分外網和內網�����,且內外部網絡要保持物理隔離,但是部分電力企業的核心交換機選擇不合理,導致在網絡中所有網絡用戶的地位是平等的�,因而很容易出現安全問題�。②企業內部風險���,由于企業內部網絡管理人員對于企業的網絡信息結構與系統應用十分熟悉��,一旦泄漏重要信息���,就會帶來致命的信息安全威脅�����。③現階段互聯網使用存在的風險�,目前很多電力企業的網絡已經與互聯網發生了關系����,一些客戶甚至可以直接訪問電力系統的網絡資源,在提供方便之門的同時也要高度關注其可能帶來的信息安全和計算軟硬件安全風險�����。④網絡管理專業技術人員帶來的風險�����,主要是網絡管理人員的素質風險,現階段電力企業的網絡建設還存在重建輕管,重技輕管的問題。出現了諸如專業技術人員綜合素質不高,一些安全管理制度不健全�����、落實不夠有力�����、安全意識不強�����、管理員配備不當等威脅到電力企業網絡信息安全性的問題。⑤計算機病毒侵害��,計算機病毒的擴散速度快����,網絡一旦感染病毒,整個電力網絡系統就會處于崩潰的狀況���。⑥系統出現的安全風險,這方面主要指操作系統、數據庫系統以及內部各種應用軟件系統等存在的風險���,這些系統很容易導致外界的攻擊,一些黑客采取專業手段可以很輕易獲取管理員權限,實施拒絕服務攻擊。
4電力企業網絡和信息安全管理對策
4.1建立健全網絡和信息安全管理組織架構
網絡和信息安全管理實行統一領導���、分級管理原則,企業的決策層組成領導小組,由企業各部門的管理者作為安全小組的管理層��。網絡和信息安全管理實行專業化管理���,包含信息安全規劃���、信息安全監督審計�、信息安全運行保障等職能小組�。
4.2構建網絡和信息安全管理體系框架
在網絡信息安全模型與電力信息化的基礎上,科學構建網絡和信息安全管理體系框架��,主要區分信息安全策略�、安全運行、安全管理���、安全技術措施四個模塊,
4.3建立網絡信息安全防護對策���,合理劃分安全域
網絡信息安全防護實行雙網雙機管理,分為信息內網和信息外網�,內外網采用獨立的服務器及桌面終端�����,通過邏輯強隔離裝置隔離內外網。按照業務類型進行安全區域劃分為邊界���、網絡、主機����、應用四個層次�,實現不同區域防護的差異化及獨立性。對于網絡安全的核心區域必須實施重點安全防范�,比如該區域的服務器�����、重要數據、數據庫服務器�����,一般用戶無法直接訪問�����,安全級別高。電力企業內部計算機和網絡技術的應用�����,劃分為管理信息區和生產控制區��,建立電力調度數據網專用網絡�,采用不同強度的安全設備隔離各安全區���,數據的遠方安全傳輸采取加密�、認證、訪問控制等技術手段,實現縱向邊界的整體安全防護�。
4.4網絡信息安全管理制度建設
為確保電力企業網絡信息安全����,必須做好網絡信息安全管理制度建設�,具體要做好以下幾個方面的內容:①建立計算機資產管理制度、網絡使用管理制度����、健全變更管理制度��,對資產進行標識和管理,執行密碼使用管理制度�。②實施信息的安全分級保護舉措����,依據國家相關規定�����,開展網絡信息系統審批����、定級�����、備案工作,嚴格執行等級保護制度����,嚴格保密核心程序和數據��。③做好網絡信息安全運行保障管理,對信息系統設備實行規范化管理�,及時升級防病毒軟件��,嚴格系統變更,及時報告信息系統事故情況,分析原因并落實整改��。④建立病毒防護體系��,安裝的防病毒軟件必須具有遠程安裝����、遠程報警��、集中管理等多種功能�,不可將來歷不明或是隨意從互聯網上下載的數據在聯網計算機上使用�����,一旦發現病毒的存在����,員工應熟練掌握發現病毒后的處置辦法。
4.5信息安全技術保障舉措
為切實有效的落實信息安全防護要求,必須根據信息安全等級防護制度落實好“分級����、分區�����、分域”的防護策略��,從而更有效的落實信息安全防護預案��,根據信息系統定級水平,實施強邏輯隔離措施����,做好安全區域的隔離和劃分工作�����。
4.6規范企業人員的管理
規范人員管理首要的是用制度管好人:①企業高層應以身作則,這樣員工才可以遵循信息安全管理的要求,由于高層掌握著企業更多的信息資源����,密級也高���,一旦出現泄漏���,會給企業帶來更大的損失����。②對于關鍵崗位人員管理要尤其重視���,比如:開發源代碼人員���,直接接觸商業機密的人員���,從事信息安全管理的人員��,需要進行嚴格管理,定期檢查��,避免出現“堡壘從內部突破”的機會��。③對于離職人員這個群體也不可忽視���,必須做好離職人員信息安全審計工作��,離職前,必須要求其變更其訪問權限��,與接手人員一起清點和交接好信息資產����,避免信息泄漏事件的發生。④加強與供應商和合作伙伴信息安全的管理����,在日常的交流中嚴格遵守規定�����,不得隨意公開和透露相關信息。
4.7做好對企業信息資產管理分析
依據信息資產價值��,實現根據載體性質不同����、形式不同�����、來源不同做好資產的識別��,提高企業勞動生產率�,強化信息資產觀念�����,樹立企業良好形象��。全面��、系統��、科學的管理信息資產�,完善資產管理手段����。利用信息資產資源使生產力要素保值增值�,推動信息資產共享共建����,實現實現外源信息資產的再增值,信息資產的再創新。4.8建立信息安全應急保障機制有風險的地方就要有應急預案��,對于電力企業網絡信息安全尤其應該如此,要不斷健全電力企業信息安全預案,確保設備��、人力��、技術等應急保障資源切實可用,要加強系統的容災建設��,建立恢復和備份管理制度��,妥善保存相關的備份記錄�����。
5結束語
電力網絡信息安全與企業的生產經營管理密切相關,電力企業網絡信息安全涉及到技術與管理��,無論是硬件還是軟件出現問題都會威脅到整個網絡系統����,電力企業網絡信息安全管理涉及到人、硬件設備�����、軟件�����、數據等多個環節�����,所以其必須著眼整個電力企業的網絡信息系統加強頂層建設���,實施統一規劃����,搞好統籌兼顧���,建立一套完整的信息安全管理體系��,切實做好安全防范工作�,解決電力企業信息安全管理問題�,才能確保電力信息系統安全、穩定�、可靠���、高效地運行�,有效避免安全問題的存在�����,保證電力企業的正常生產經營��。
參考文獻
[1]何雋文.電力企業網絡和信息安全管理策略思考[J].中國高新技術企業,2016��,28.
[2]郭建���,顧志強.電力企業信息安全現狀分析及管理對策[J].信息技術�����,2013,01.
[3]牛斐.電力企業網絡信息安全的防范措施[J].科技傳播��,2012��,16.
[4]吳青.淺析網絡信息安全管理在電力企業中的應用[J].中國新通信��,2013����,23.
[5]向繼東,黃天戊,孫東.電力企業信息網絡安全管理[J].電力系統自動化���,2003,15.
第6篇
現代科學技術的發展與壯大�����,科學技術產物不斷改變著人類社會生活����,而網絡技術更甚,網絡像一個無形的網,連接著社會各個地方���,便利著人類社會。現代企業的發展或多或少依賴著網絡�,企業依靠網絡進行信息的傳遞與處理。有了網絡的支撐���,企業的競爭力量在不斷加強�����。
1 網絡安全技術
就目前而言�����,常見的網絡安全技術包括防火墻技術、虛擬局域網技術�����、入侵檢測與防御技術以及計算機防病毒技術���。
1.1 防火墻技術
防火墻顧名思義就是保護屏障,即通過軟件與硬件設備的組合,在內部網與外部網之間搭建一個保護屏障,通過在網絡邊界上建立網絡通信監控系統來隔絕內外網絡�����,阻擋外網的不良入侵�����。防火墻主要針對的是網絡上的不安全因素��。通過利用防火墻技術,可以有效保護企業內部網的主要信息資源��。
1.2 虛擬局域網技術
虛擬局域網是通過因特網將網絡設備劃分成多個子網�,是對企業內部網的擴展�����,實現了企業在虛擬環境下的數據交換����。虛擬局域網正如它的名字“虛擬”兩個字一樣��,是看不見的�,但是它能夠很好的防控廣播風暴�����,有效提高網絡的速度�����,增強網絡的整體性能和安全性能�。
1.3 入侵檢測與防御技術
入侵檢測與防御是對防火墻技術的補充與升級�,依靠設定的安全策略,對計算機系統與入侵網絡的行為進行檢測�����,類似于“安檢”����,并對相應的檢測做出響應,以此來確保網絡信息的完整性�����,提高網絡監控與識別攻擊等能力�,拓展了防火墻安全管理范圍�。入侵防御技術是對檢測技術的又一次開拓,是一個智能且主動的防御技術�,緊密的串聯在網絡邊界��,對進出的數據信息進行監控與處理。
1.4 計算機防病毒技術
計算機防病毒技術應用比較廣泛�����,通過建立有效的計算機病毒防護系統與制度��,及時準確的監控處理病毒的入侵��,如果發現病毒跡象,會立刻采取相應措施阻斷病毒的破壞���,同時迅速的對遭到破壞的部分進行修復,高效穩定的保障信息的安全�。
2 企業信息管理中的網絡安全問題
2.1 缺乏網絡安全防范意識
網絡應用的不斷深化��,辦公方式網絡化受到越來越多企業的歡迎。很多企業對網絡應用近乎癡迷�����,辦公自動化成為當下企業主流�����。由于過度的依賴于網絡辦公��,往往忽視企業內部的安全防護問題。落后的網絡防御系統�����、充滿漏洞的安全機制�,低下的網絡恢復能力等等都會造成企業信息資源的破壞,嚴重影響企業的正常運行。
2.2 非法網絡入侵現象頻發
網絡的應用,使不良居心的有了新的破壞手段。一些居心叵測的人利用網絡�����,非法入侵企業內部����,盜取網絡信息或者冒充內部人員進行網絡詐騙�,或者盜取網絡信息進行泄露勒索,那些非法入侵行為無處不在,成為威脅企業信息的不安全因素��。
2.3 肆虐的網絡病毒
從我國出現的第一個網絡病毒開始�,網絡病毒就不斷改變感染途徑,比如常見的下載軟件、打開文件���、電子郵件等網絡行為,都有可能感染病毒,病毒以其告訴的傳染性讓人措手不及。當人們還在唏噓這個網絡病毒的危害時,比這個病毒更厲害的病毒也許正在散播中����,病毒也會以看不見的形式被攜帶傳染���,造成更大范圍的信息損失��。
2.4 管理人員技術水平不足
網絡管理人員是直接管理企業網絡信息的技術人物,網絡管理人員的技術水平是影響企業網絡安全的關鍵因素�。企業信息的運行與管理都有網絡管理人員進行��,但在很多企業中����,網絡管理崗位的從業人員���,存在技術水平有限,專業度不足的現象,有的網絡管理人員職業素養不足�,隨意泄露本公司的賬號等會造成企業信息安全受到傷害�����。
3 企業信息管理網絡安全措施
3.1 先進技術
先進的技術手段是應對企業信息危機的基礎,只有不斷提高技術技能�����,利用先進的技術手段才能對企業信息的威脅做到防范��,才能提高企業信息安全管理水平�����。
3.1.1 信息加密技術
信息加密是針對信息泄露采取的保護性措施�����,能夠有效的提高企業信息數據的安全性能,防止數據泄露����。就目前信息加密技術來講���,主要應用在信息的存儲��、傳輸以及鑒別方面���。信息加密是目前企業信息安全管理的重要手段��,在企業信息安全管理上作用顯著���。
3.1.2 防火墻技術
防火墻技術在上過解釋�,在企業信息管理中��,防火墻能夠阻止網絡中人為產生的信息破壞與攻擊����,防火墻能夠幫助企業攔截很多不良或者惡意病毒與垃圾。但是防火墻也有局限性�����,就是不能夠阻止來自內網的網絡病毒與惡意文件�。
3.1.3 數據備份
網絡病毒很多會造成企業的重要信息數據永久失去����,無法恢復��,對企業造成不可估量的損失����。數據備份就是通過對企業信息數據復制,作為備用�,即使企業信息收到損壞���,無法恢復�,有了備用信息就不會造成損失���。
3.2 企業管理
3.2.1 企業局域網管理
加強對企業局域網的管理是企業信息管理的關鍵�����。企業局域網管理不僅是對企業內部使用網絡進行隔離,同時也要對企業所接觸到的網頁進行安全把控����。在企業員工工作時����,要根據員工實際狀況進行內外網權限設置,隔離內外網���,有效降低感染病毒的機會。
3.2.2 網絡管理人員管理
提高網絡管理人員專業素養是企業信息管理的核心���。首先要對網絡管理人員進行專業培訓�����,提高管理人員專業水平與素養,另外,要進行權責制度���,按照需求對人員進行劃分�����,責任到人,提高網絡管理人員對企業信息安全的重視���。
4 結語
通過從技術的手段與企業管理兩個方面進行企業信息管理�����,嚴格把握企業信息的每個關卡����,責任到人,同時要不斷地對企業信息安全系統進行檢查,更新技術支持��,完善信息防御與修復系統,創造一個穩定���、安全的企業信息環境�����。
第7篇
關鍵詞:信息安全管理;信息資產�����;模型;推廣方案
中圖分類號:TP309 文獻標識碼:A 文章編號:1674-7712 (2013) 02-0175-01
所謂的信息安全就是指信息的可用性�����、完整性�����、安全性以及保密性�。信息安全管理主要是指組織為了確保信息的安全而進行的控制、領導、組織��、計劃的相關過程�。隨著企業的飛速發展以及信息技術的不斷完善����,各類企業的信息化程度也在不斷地提高�,信息安全已經成為了企業發展過程中的核心內容之一。
一����、企業信息安全管理的現狀
目前���,絕大部分企業在發展的過程中已經開始對企業的信息安全工作制定出了一系列的管理措施�,不過�,企業在對那些信息進行安全管理的過程中,基本上是部署或購買信息安全產品�。而這些產品基本上是為了達到某項安全功能而研發生產的�����、針對性較強的硬件或軟件產品。當前市場上所出售的信息安全產品主要有四個層次:系統安全設備��、網絡安全設備���、終端安全設備�����、基礎安全設備����。
企業通過這些信息安全產品雖然在某些方面具有一定的安全效果���,不過企業自身的信息安全度仍沒有得到提高���。所謂的企業信息安全管理就是指針對當前企業所面臨的信息失控�、惡意軟件���、人為因素等復雜環境給予相應的防護�,確保企業的信息系統以及相關信息不會被非授權使用、訪問���、中斷或修改。這樣做的目的主要是對企業的信息安全進行適當的保護�,并確保其具有可用性���、真實性�����、完整性以及保密性。就目前的情況而言,絕大部分企業的信息安全管理存在下列問題:(1)缺乏足夠的安全防護意識��,員工的信息安全教育力度較為薄弱�;(2)管理過程中對于人為因素的管理較為缺乏;(3)只重視技術而忽略了管理���;(4)缺乏系統性的管理方案;(5)缺乏專業的信息安全管理人員���。
二、企業信息資產的安全管理方式
一般情況下��,企業的信息資產具有以下三個重要屬性:即可用性��、完整性以及保密性�。在對企業的信息進行管理的過程中���,這三者缺一不可�。在企業發展的不同時期以及不同階段,這三者的屬性以及地位也大不相同����。對于絕大部分企業而言,對企業信息進行安全管理的主要目的就是確保企業的信息資產具有較好的保密性,因此,信息的可用性以及完整性在信息安全管理過程中基本上就成為了附屬品��。由此可見�,對于絕大多數企業來說,信息的保密性更為重要����。
由于企業的信息安全管理活動通常會涉及到企業的所有員工以及各個管理階層���,因此����,企業在開展此項活動的過程中,一定要注重全員參與的重要性,讓企業的各項工作以及每個員工都對企業的信息安全引起高度重視�����,并將企業的信息安全管理與企業文化融為一體����,以便于從根本上實現企業的信息安全管理目標。不過對于絕大部分企業而言��,經濟指標才是員工以及管理層關注的重點內容�����,而信息安全管理需要投入大量的人力�、物力以及財力方能實現����,因此,這對于大部分企業來說其操作性相對較低。由此可見�����,在對企業的信息安全進行管理的過程中�����,一定要盡最大可能確保信息安全管理的簡潔性。
三�����、企業在進行信息安全管理時所涵蓋的具體內容
目前�,信息安全管理過程中的內容經簡化和提煉后主要有“執行力”、“堵”����、“護”�����,在不同企業或同一企業發展過程中的不同階段,信息安全管理的計劃實施先后順序以及側重點也會有所不同�。對于企業的普通員工以及管理人員而言�,通過簡單地宣傳教育就很容易讓他們牢記“執行力”��、“堵”����、“護”��,而對于專業的信息安全管理人員則必須從以下幾個方面著手��。
(一)構建與企業文化相符合的安全體系
企業在構建信息安全管理體系的過程中,它與企業文化的適應程度有著十分密切的聯系���,不同的企業有著不同的企業文化,因此��,在進行信息安全管理的過程中���,其管理思路以及管理方法也會大不相同��。一些執行力較強的單位,通常會采用強制手段來進行管理��,且管理的效果相對較好��,而對于執行力相對較差的單位�,通過制定出科學合理的管理方法����,并加以相應的監控管理��、審計以及技術支持也會取得相對較好的效果。
(二)對信息傳遞渠道進行嚴格的管理
企業在對信息資產進行安全管理時�����,一定要強化對信息傳遞渠道的管理���,對信息資產的各個傳輸渠道進行嚴格的分析�����,嚴禁出現非授權或授權范圍外的傳遞或訪問�。在此過程中��,“堵”的核心內容就是人員的安全管理�,這主要是因為企業的信息資產都是通過人來進行控制����、管理的。在所有的信息安全管理過程中��,對人的管理難度最大��,因此,在開展信息安全管理活動時,一定要對員工的調動以及離職情況進行嚴格的審計����,以此來防止信息資產的不合理傳遞����。
(三)核心信息資產的保護
所謂的核心信息資產的保護主要是指對企業的核心信息資產進行科學有效的保護��,這對于企業的發展有著至關重要的作用���,同時它還是企業進行信息資產安全管理的有效手段�����。由于企業的資源具有一定的有限性,因此��,企業的信息安全也具有一定的相對性���,基于此��,在對企業的信息資產進行安全管理的過程中����,對核心信息資產進行保護就顯得尤為重要了���。所謂的核心信息資產就是指一旦泄露就有可能對企業造成嚴重的損失�����,或者是價值相對較高的信息�����。
四�、結束語
隨著市場經濟的不斷發展以及信息技術的日漸完善��,企業在發展過程中的信息資產保護所面臨的形式也變得越來越嚴峻��。為此�����,企業在發展的過程中,一定要根據自身的實際情況,建立相應的管理體系��,并將其納入企業的風險管理中�,盡量降低信息泄露對企業發展所造成的影響���。
參考文獻:
[1]齊峰.COBIT在企業信息安全管理中的應用實踐[J].計算機應用與軟件��,2009��,26(10):282-285.
[2]伏原.網絡信息安全管理在電力企業中的應用[J].中華民居,2011,(8):385-386.
[3]孟潔.國有企業中的信息安全管理和應用[J].科技信息,2012�����,(2):252.
第8篇
【關鍵詞】桌面安全管理����;信息建設��;桌面終端�����;應用
在信息技術飛速發展的大背景下����,桌面終端已經成為企業生產運營的重要組成部分并被廣泛應用于企業之中�����。但是受到種種原因的影響,桌面終端增多帶來了許多安全問題��,威脅著企業的信息安全����?���;诖?��,桌面安全管理系統應運而生��。桌面安全管理系統簡稱BES��,是一種基于企業桌面客戶端內網安全管理系統,對客戶端系統安全漏洞和安全隱患進行評估的管理控制平臺�����。本文簡要分析了目前我國企業桌面計算機系統的安全現狀,主要研究桌面安全管理系統在企業信息建設中的應用,這對于企業的信息建設而言具有重要現實意義�����。
1目前企業桌面計算機系統的安全狀況
桌面終端系統因為操作方便等優點而被廣泛應用,但由于計算機數目過多過雜�����、內部員工的不當操作等因素導致目前企業桌面計算機系統存在著許多問題:(1)沒有嚴格對待外網接入工作�����,容易讓外網接入盜取企業信息��。很多企業為了更好地管理,便將許多電腦連成一個整體來進行高效運營。但是這么做也存在一個弊端:給外網入侵帶來可乘之機����,由于計算機管理人員不能使每臺計算機都能得到合理配置����,因此容易讓外網接入��,造成企業信息泄露等損失。(2)缺乏有序規劃����,設備配置良莠不齊?��,F階段我國很多企業計算機系統設備配置混亂且質量參差不齊�,給維修以及耗材的配備增加了成本。(3)隨著信息技術的飛速發展�����,涌現出來的許多操作系統以及軟件給企業系統安全管理帶來巨大的壓力��。(4)缺乏統一的手段統計分析桌面運行狀況�����,缺乏跟蹤監督桌面設備受到侵害的狀況,缺乏跟蹤監測安全漏洞的修復狀況����。(5)一些企業的網絡結構復雜�,十分難管理��。加上一些內部員工的不良操作以及對移動存儲介質使用的隨意性容易導致企業信息泄露��。基于目前企業桌面計算機系統的安全現狀,企業需要實施桌面安全管理系統來解決桌面終端存在的問題�����,有效地保護企業的信息安全�。
2桌面安全管理系統在企業信息建設中的具體應用
2.1系統補丁管理
目前我國很多企業操作人員在應用桌面安全管理系統過程中會出現安裝完系統后就沒有再打過補丁的現象,很多用戶也缺乏系統升級的意識�����,對數據庫系統以及應用程序不打補丁升級。桌面安全管理系統的補丁管理是及時地更新系統漏洞的特征以及系統補丁源�����,保證補丁服務器能夠及時獲取新的系統漏洞特征和補丁源�����。桌面安全管理系統自動地收集�、統計以及檢測所管理桌面終端系統的漏洞信息和補丁安裝進度��,隨后根據每一臺桌面終端操作系統以及已經安裝的補丁情況���,打包、分配、安裝所需要的補丁�����。桌面安全管理系統可以自動對漏洞進行及時檢測修復��,保障系統的安全��。
2.2IT資產管理
桌面安全管理系統根據所管理范圍的桌面終端系統的軟件和硬件資產變更進行管理���,以小時、天�����、周為周期通過軟件或者人工只能收集資產信息�����,然后再將所收集的信息納入資產信息庫�。桌面安全管理人員根據資產編號�、資產所歸屬部門、資產使用人等信息進行查詢和管理�����,最后定時生成資產信息報表。在桌面安全管理系統控制臺管理中��,管理人員可以清楚地了解有多少計算機沒有安裝桌面安全管理系統��,利于管理人員掌握網絡資產數據��。
2.3軟件分發
在安裝軟件時��,很多企業用戶因為計算機水平良莠不齊等原因無法自行完成。一些通用軟件或者專業軟件覆蓋范圍廣�,因此利用軟件分發功能便可以自動化部署網絡客戶機的各個軟件,確保版本軟件以及配置保持同一性��。桌面安全系統維護人員還要根據企業的實際需要來研究分析桌面安全管理系統的軟件開發功能�,編寫包含工具軟件、系統軟件���、補丁等常用軟件的自動安裝包以及自動卸載包��,最后根據客戶的實際需要進行軟件分發��,這極大地降低了管理人員的工作強度��,提高了工作效率。
2.4外接設備的管理
統一管理所有安裝了客戶端主機的外接設備,管理人員只要在控制中心進行相應配置后便可以控制是否允許USB接口���、光驅�、串口等外接設備的接入�。同時值得注意的是,在管理人員對USB接口進行管理時,用戶使用USB鍵盤、鼠標不會受到限制��,只有當使用USB硬盤等存儲設備時才會受到限制。
2.5病毒防護管理
桌面安全管理系統可以很好地對客戶機的病毒防護情況進行監控,包括是否安裝了病毒防護軟件��、是否將病毒代碼庫升級為最新等�����。在系統控制臺上��,所有客戶機的信息都集合在一起��,管理人員可以更好地管理�����。一些客戶機違規安裝了某些病毒防護軟件,或者是同時安裝了兩種病毒防護軟件���,可能會導致系統運行速度緩慢,增加了管理人員和維護人員的工作負擔�����。針對這種情況����,桌面安全管理系統可以識別計算機屬性,統計違規客戶機信息�,并采取限制使用網絡資源等方法來使用戶卸載違規安裝的病毒防護軟件�,促進病毒防護管理的規范化、合理化�����。
2.6遠程維護
桌面安全管理系統的遠程維護有兩種方式,分別是遠程桌面查看以及遠程桌面控制����,通過遠程維護方式���,管理維護人員可以進行遠程診斷以及修復��,極大提高了工作效率�����。與此同時,遠程維護還支持客戶端確認的過程����,如遇客戶沒有確認就不能接管客戶終端��。終端遠程維護服務只在需要時開啟��,此外使用動態密碼可以確保遠程維護服務的安全性����。
3結語
綜上所述,桌面安全管理系統充分運用了信息安全管理技術來提高企業信息建設水平和安全管理效率�����,加強對網絡客戶端的控制并進行實時監控����,集成其他網絡安全設備為可靠的、安全的局域網絡,極大地鞏固加強了對企業信息安全的保障。此外����,桌面安全管理系統雖然越來越受到重視����,但其在應用領域仍處于比較不成熟狀態,需要企業進行進一步探究。
參考文獻
[1]盧緒平.桌面安全管理系統在企業信息建設中的應用研究[J].化工管理,2015(11).
第9篇
關鍵詞:企業�����;信息網絡�����;安全體系;安全技術
大中型企業作為我國國民經濟的骨干企業��,在國家經濟發揮舉足輕重的作用����,現代經濟活動離不開信息和網絡,大中型企業對網絡和信息技術的依賴性很強��,企業員工多�、信息化互聯設備多、種類多樣��,企業的關鍵業務大多架構在IT系統之上���,網絡環境的穩定性����、安全性、高效性直接影響公司信息化應用����。目前����,許多大中型企業提出了建立“數字化企業”的目標����,在企業信息化建設中,信息安全問題是必須要首先考慮的問題�����,可見�,建立企業信息安全體系勢在必行����。
1 企業信息網絡安全威脅及風險
近年來,許多大中型企業十分重視信息網絡建設的應用和開發,但是對于信息網絡安全的防護并沒有得到足夠重視����。根據調研機構的調查報告顯示����,國內企業中63%經常遭受病毒或蠕蟲攻擊����,而41%的企業受到惡意間諜軟件或惡意軟件的威脅。主要體現在:病毒和蠕蟲攻擊�、黑客入侵�、惡意攻擊��、完整性破壞���、網絡資源濫用��、員工信息安全意識淡薄等。
目前企業面臨著網絡攻擊的“外部威脅”及內部人員信息泄露的“內部威脅”的雙重考驗����,垃圾郵件�、企業機密泄露�、網絡資源濫用、病毒泛濫以及網絡攻擊等問題成為企業最為頭疼的網絡安全問題��,企業網絡環境日趨嚴峻�����。
2 企業網絡安全體系
大中型企業網絡面臨嚴峻的安全形勢�����,迫使各企業意識到構建完備安全體系的重要性,隨著網絡攻擊的多樣化,只針對網絡層以下的安全解決方案已經不足以應付各種各樣的攻擊��,同時還要隨時注重操作系統�����、數據庫��、軟硬件設備的安全性;企業安全體系建設不僅要有效抵御外網攻擊�����,而且要能防范可能來自內部的安全泄密等威脅��。企業必須采用多層次的安全系統架構才能保障企業網絡安全�����,最終建立一套以內外兼防為特征的企業安全保障體系。
企業信息網絡安全體系由物理安全、鏈路安全�、網絡安全��、系統安全、信息安全五部分構成。
物理安全:物理安全主要是保護企業數據庫服務器��、應用服務器���、網絡設備�����、數據介質及其他物理實體設備的安全,提供一個安全可靠的物理運行環境����。
鏈路安全:數據鏈路層(第二協議層)的通信連接就安全而言�����,是較為薄弱的環節。目的是保證網絡鏈路傳送的數據不被竊聽和篡改。
網絡安全:網絡安全主要包括:通過防火墻隔離內外網絡�,不同區域的訪問控制���,部署基于網絡的身份認證及入侵檢測系統��、VPN、網絡集中防病毒等手段實現網絡設備自身的安全可靠�����。
系統安全:系統安全主要指數據庫�、操作系統的安全保護。保證應用系統的可靠性�����、完整性和高效性�����。
信息安全:主要通過數據加密�、CA認證�����、授權等手段保證信息處理�、傳遞��、存儲的保密性、完整性和可用性�。
典型企業信息網絡安全管理體系拓撲結構如圖一所示:
3 信息安全體系設計原則
企業安全設計應遵循如下原則:
3.1保密性:信息不能夠泄露給非授權用戶���、實體或過程���,或供其利用的特性��。
3.2完整性:信息完整性是指信息在輸入和傳輸的過程中�����,不被非法授權修改和破壞,保證數據的一致性�����。
3. 3可用性:保障授權用戶在需要時可以獲取信息并按要求使用的特性�����。
3.4可控性:對信息的處理��、傳遞、存儲等具有控制能力�����。
信息安全就是要保障維護信息的機密性����、完整性、可用性以及保障維護信息的真實性���、可問責性�、不可抵賴性、可靠性����、守法性����。
4 企業網絡安全防范技術手段
目前企業信息網絡布署的安全技術手段主要方式有:
4.1防火墻系統
防火墻系統作為企業網絡安全系統必不可少的組成部分��,用于防范來自外部interne非法用戶對企業內部網絡的主動威脅�����。防火墻系統搭建在內部網絡與外部公共Internet網絡之間,通過合理配置訪問控制策略����,管理Internet和內部網絡之間的訪問�����。其主要功能包括訪問控制、信息過濾、流量分析和監控�����、阻斷非法數據傳輸等�。企業在外部攻擊的頻度和攻擊流量非常嚴重的情況下,建議配置專用的DDOS防火墻。
4.2入侵檢測系統
入侵檢測系統(簡稱“IDS”)是一種對網絡傳輸進行即時監視�����,在發現可疑傳輸時發出警報或者采取主動反應措施的網絡安全設備��。IDS是一種積極主動的安全防護技術�����,可以彌補防火墻相對靜態防御的不足�����,通過對來自外部網和內部的各種行為進行實時檢測����,及時發現未授權或異常現象以及各種可能的攻擊企圖,記錄有關事件,以便網管員及時采取防范措施��,為事后分析提供依據的依據�����。
4.3漏洞掃描系統
企業內部部署漏洞掃描系統��,不間斷地對企業工作站、服務器、防火墻�、交換機等進行安全檢查��,提供記錄有關漏洞的詳細信息和最佳解決對策,協助網管員及時發現和堵絕漏洞、降低風險���,防患于未然。
4.4網頁防篡改系統
網頁防篡改系統主要是防止企業對外Web遭受黑客的篡改,保證企業外部網站的正常運行����。防篡改系統利用先進的Web服務器核心內嵌技術����,將篡改檢測模塊(數字水印技術)和應用防護模塊(防注入攻擊)內嵌于Web服務器內部����,并輔助以增強型事件觸發檢測技術��,不僅實現了對靜態網頁和腳本的實時檢測和恢復�����,更可以保護數據庫中的動態內容免受來自于Web的攻擊和篡改,徹底解決網頁防篡改問題�。
4.5上網行為管理系統
上網行為管理系統主要部署在企業外部防火墻和內部核心交換機之間�,針對企業內部員工訪問Internet行為進行集中管理與控制����。其主要功能有:網頁過濾、應用控制(IM聊天���、P2P下載、在線娛樂�、炒股軟件����、論壇發帖等)���、帶寬管理��、內容審計(郵件收發���、論壇發帖�����、FTP、HTTP文件傳輸等)���、用戶管理、日志管理等功能����。
4.6內網安全管理平臺
據FBI/CSI中國CNISTEC調查報告:來自企業外部威脅占20%,內部威脅高達80%�。針對大型企業日益復雜的內部網絡環境以及基于企業保密管理的需求����,必須構造一套內網安全管理平臺��,規范和管理內部網絡環境���,提高內部網絡資源的可控性�。其功能應包括:用戶認證與授權�、IP與MAC綁定、網絡監控����、桌面監控�、安全域管理、 存儲介質管理��、補丁分發�、文檔安全管理、資產管理��、日志報表管理等���。
4.7企業集中防病毒系統
在病毒肆虐的時代���,反病毒已經成為企業信息安全非常重要的一環�����,企業網絡情況比較復雜�����,由于員工計算機水平大多不高,構造一套完整的企業集中防病毒網絡系統平臺���,可以強化病毒防護系統的應用策略和統一管理策略�,并且使企業員工電腦的病毒庫及時得到更新�,增強病毒防護有效性��,降低病毒對安全帶來的威脅。
集中防病毒系統應具有:集中管控、遠程安裝、智能升級�����、遠程報警���、分布查殺等多種功能。
4.8建立健全企業安全管理組織體系及制度���,加強企業信息安全意識
企業在建設信息網絡安全建設技術手段的同時���,更需要考慮管理的安全性,不斷完善企業信息安全制度�。通過培訓����,增強每個員工的安全意識,為大中型企業信息安全管理奠定基礎����。
隨著信息技術的發展����,企業無線接入���、電子商務交易���、數字簽名��、數字證書等安全管理也應逐步納入企業信息安全體系范疇。
五、 結束語
目前����,大中型企業信息進程的深入和互聯網的快速發展�����,網絡化已經成為企業信息化的發展大趨勢��,針對各種網絡應用的攻擊和破壞方式也變得異常頻繁����,信息化發展而來的網絡安全問題日漸突出��,網絡安全問題已成為信息時代人類共同面臨的挑戰����,同時�,網絡信息安全是一個系統工程���,涉及人員�����、硬軟件設備�����、資金���、制度等因素,沒有絕對可靠的安全技術�����,科學有效的管理可以彌補技術安全漏洞的缺陷。
參考文獻:
[1]向宏��,傅鸝,詹榜華 著 信息安全測評與風險評估 電子工業出版社 2009-01
[2]謝宗曉,郭立生 著 信息安全管理體系應用手冊中國標準出版社 2008-10
