时间:2023-07-04 16:04:19
引言:易发表网凭借丰富的文秘实践,为您精心挑选了九篇小企业信息安全范例。如需获取更多原创内容,可随时联系我们的客服老师。
关键词:信息化信息安全网络安全
根据国家统计局年初公布的数字显示,国内企业总体的99%都是中小企业,他们贡献了超过一半的国内GDP。但截止到目前,这些中小企业的信息化水平仍然比较落后,其中针对信息安全的投人,更是凤毛麟角。
对于国内占大多数的中小企业来说,如何在充分利用信息化优势的同时,更好地保护自身的信息资产,已经成为一个严峻的挑战。特别是近两年来,网络上的病毒、攻击事件频发,信息安全问题正在日益成为中小企业信息化进程中的难题。
一、什么是信息安全
信息是一种资产,与其它重要的资产一样,它对一个组织而言具有一定的价值,因此需要适当的加以保护,而信息又可以以多种形式存在。如可以打印或者写在纸上,以数字化的方式存储,通过邮局邮寄或电子手段发送,表现在胶片上或以谈话的方式说出来。总之,信息无论以什么形式存在,以什么方式存储、传输或共享,都应得到恰当的保护。
所谓信息安全是指信息具有如下特征:
安全性:确保信息仅可让授权获取的人士访问;完整性:保护信息和处理方法的准确和完善;可用性:确保授权人需要时可以获取信息和相应的资产。
信息安全是指使信息避免一系列威胁,保障商务的连续性,最大限度地减少业务的损失,从而最大限度地获取投资和商务的回报。它主要涉及到信息传输的安全、信息存储的安全、以及网络传输信息内容的审计三个方面,它可以通过实施一整套恰当的措施来获得。但目前我国的信息安全令人堪忧,随着政府上网和企业信息化的推进,越来越多的企业的日常业务已经无法脱离网络和信息技术的支持,那么我国中小企业的信息安全现状如何呢?
二、我国企业信息安全的现状
(一)企业的重视程度
随着信息化的加快,企业信息安全越来越受到重视,而我国的中小企业信息安全现阶段正处于初级阶段。在推进企业信息化的进程中,有些中小企业对于信息化概念的认识远远不够,它们认为购置几台电脑放到公司,日常用来打打字,将单个机器连结到网上企业就信息化了,远远没有认识到信息技术给企业所能带来的巨大的变化,对于网络安全更是没有意识。
据调查,目前国内90%的网站存在安全问题,其主要原因是企业管理者缺少或没有安全意识。某些企业网络管理员甚至认为其公司规模较小,不会成为黑客的攻击目标。如此态度,网络安全更是无从谈起。
(二)资金、技术、人员方面情况
已建立了企业内部信息化平台的企业,由于资金、技术等方面的原因,还没有把重点放到网络安全管理上,尤其是中小企业的安全问题一直隐患重重。
据了解,许多中小企业没有专门的网络管理员,一般采用兼职管理方式,这使中小企业的网络管理在安全性方面存在严重的漏洞,与大型企业相比,它们更容易受到网络病毒的侵害,损失也比较严重。
根据IDC对年我国政府、企业用户的信息安全状况分析,约有34.8%的企业因内部雇员的行为(包括对内部资源的不合理使用和对内部数据缺乏有效保护)而造成企业出现安全问题。
(三)网络维护、运行、升级方面的情况
在网络的维护、运行、升级等事务性工作方面,由于工作繁重而且成本较高,一些善于精打细算的中小企业在防范黑客及病毒方面舍不得投入,据相关调查数据资料统计,国内七成以上的中小企业,一是缺乏基本的企业防毒知识,购买一些单机版防毒产品来防护整个企业网络的安全。二是采购了并不适合自身网络系统的企业防毒产品,因此留下许多安全隐患。三是技术力量薄弱,虽然部署了企业防毒产品,但是这些产品操作难度大、使用复杂,最终导致很难全面发挥效用,甚至成了摆设,这样一来企业内部网络就根本没有什么安全而言。
三、如何保证我国中小企业的信息安全
(一)从企业的自身情况考虑
要解决中小企业网络信息安全问题,不能仅依靠企业的安全设施和网络安全产品,而应该考虑如何提高企业自身的网络安全意识,将信息安全问题提升到重视的高度,要重视“人”的因素。具体表现在以下两个方面:
1.提高安全认识
定期对企业员工进行网络安全教育培训深化企业的全员信息安全意识,企业管理层要制定完整的信息安全策略并贯彻执行,对安全问题要做到预先考虑和防备。
2.要求中小企业在上网的过程中要做到“一做三不要”
(1)将存有重要数据的电脑坚决同网络隔离,同时设置开机密码,并将软驱、硬盘加密锁定,进行三级保护。
(2)不要在自己的系统之内使用任何具有记忆命令的程序,因为这些程序不但能记录用户的击键动作甚至能以快照的形式记录到屏幕上发生的一切。
(3)不在网上的任何场合下随意透露自己企业的任何安全信息。
(4)不要启动系统资源共享功能,最后要尽量减少企业资源暴露在外部网上的机会和次数,减少黑客进攻的机会。
(二)从网络安全角度考虑
1.从网络安全服务商的角度来说,服务商要重视中小企业对网络安全解决方案的需要,充分考虑中小企业的现实状况,仔细调查和分析中小企业的安全因素,开发出适合中小企业实际情况的网络安全综合解决方案。此外,还应该注意投入大量精力在安全策略的施行及安全教育的开展方面,这样才能为中小企业信息安全工作的顺利开展提供坚实的保证。
2.要用防火墙将企业的局域网(Intranet)与互联网之间进行隔离。由于网络攻击不断升级,对应的防火墙软件也应该及时跟着升级,这样就要求我们企业的网管人员要经常到有关网站上下载最新的补丁程序,以便进行网络维护,同时经常扫描整个内部网络,以发现任何安全隐患并及时更改,才能做到有备无患。
3.企业用户最好自己学会如何调试和管理自己的局域网系统,不要经常请别人来协助管理。中小企业要培养自己解决安全问题的能力,提高自己的信息安全技术。如果缺乏这方面的人才就应该去引进或者培养相关人才。
4.内部网络系统的密码要定期修改。
由于许多黑客利用穷举法来破解密码,像John这一类的密码破解程序可从因特网上免费下载,只要加上一个足够大的字典在足够快的机器上没日没夜地运行,就可以获得需要的账号及密码,因此,经常修改密码对付这种盗用就显得十分奏效。当然,设定密码也有很深的学问,只有随意性强、有足够的长度并及时更新的密码才能算是比较安全的密码。
5.要经常使用杀毒软件来维护局域网系统不受病毒攻击。现在国内的杀毒软件都推出了清除某些特洛伊木马的功能,可以不定期地在脱机的情况下进行检查和清除。另外,有的杀毒软件还提供网络实时监控功能,这一功能可以在黑客从远端执行用户机器上的文件时,提供报警或让执行失败,使黑客向用户机器上载可执行文件后无法正确执行,从而避免了进一步的损失。
6.同其它企业进行联合,共同抵制黑客的入侵,一旦被入侵要及时向有关部门汇报,并共同查找入侵来源,锁定黑客IP地址。将网络的TCP起时限制在15分钟以内,减少黑客入侵的机会。并扩大连接表,增加黑客填写整个连接表的难度。
四、结束语
(一)信息化安全认知匮乏
在我国,大多数中小企业信息建设管理中存在着明显的认知不足,全球联系的增强和市场的激烈竞争促使中小企业认识到了信息化建设的重要性,但是缺少足够的信息安全管理认知,日常安全管理工作过于疏忽,没有形成科学有效地安全管理体制,作为重要保护对象。中小企业内部不同的信息需要不同的方式进行安全管理,由于企业对于信息安全管理的重视程度不够,针对安全管理投入力度难以形成有效的安全体系,无法保证信息安全。
(二)信息化安全管理制度不够完善
由于我国信息化建设起步较晚,我国中小企业相较于西方发达国家信息建设程度还有所欠缺。企业内部对于信息安全管理缺乏科学的规章制度,难以做到信息合理有效的安全防护。安全管理制度的不完善导致了各项制度之间出现混淆,安全职责定位不够明确,安全问题出现无从追求,这种现象在中小企业信息泄露中时有发生。
(三)缺乏相关技术人才
大部分中小企业由于对信息安全管理重视程度不够,投入力度较轻,导致安全管理出现盲区。信息安全建设过程中对于相关人才的培养力度不够,企业内部缺少专门的技术人才对安全管理盲区予以修复,进而导致信息泄露。
二、中小企业信息化安全管理完善措施
(一)强化信息安全意识
企业信息安全是企业健康平稳发展的基础,由此中小企业内部每个员工都应该予以承担相应的义务和责任。强化员工对于信息安全的意识,相比于技术安全更值得重视。所以,企业内部必须强化员工信息安全意识,营造内部良好的安全意识氛围,提升员工信息安全防护能力。
(二)完善安全管理制度
有效地安全措施离不开科学的安全管理制度,企业需要强化制度建设力度,做到安全管理有章可循,对于企业内部用户相关信息权限予以限制,明确,减少个人操作可能引发的信息泄露风险。在企业不断发展的过程中,制度应随着企业发展而创新升级,以满足企业发展的需要。
(三)重点培养信息安全管理人才
任何一个企业发展的根本动力都是人才的支持,优秀的人才能够促进企业内部稳定,工作效率提升,企业发展收益增强。在企业发展过程中,安全管理盲区需要相应的技术人员进行定期检查,维护,针对存在的安全隐患及时有效地解决,规避风险的发生。
三、结论
关键词:信息化 信息安全 网络安全
根据国家统计局年初公布的数字显示,国内企业总体的99%都是中小企业,他们贡献了超过一半的国内GDP。但截止到目前,这些中小企业的信息化水平仍然比较落后,其中针对信息安全的投人,更是凤毛麟角。
对于国内占大多数的中小企业来说,如何在充分利用信息化优势的同时,更好地保护自身的信息资产,已经成为一个严峻的挑战。特别是近两年来,网络上的病毒、攻击事件频发,信息安全问题正在日益成为中小企业信息化进程中的难题。
一、什么是信息安全
信息是一种资产,与其它重要的资产一样,它对一个组织而言具有一定的价值,因此需要适当的加以保护,而信息又可以以多种形式存在。如可以打印或者写在纸上,以数字化的方式存储,通过邮局邮寄或电子手段发送,表现在胶片上或以谈话的方式说出来。总之,信息无论以什么形式存在,以什么方式存储、传输或共享,都应得到恰当的保护。
所谓信息安全是指信息具有如下特征:
安全性:确保信息仅可让授权获取的人士访问;完整性:保护信息和处理方法的准确和完善;可用性:确保授权人需要时可以获取信息和相应的资产。
信息安全是指使信息避免一系列威胁,保障商务的连续性,最大限度地减少业务的损失,从而最大限度地获取投资和商务的回报。它主要涉及到信息传输的安全、信息存储的安全、以及网络传输信息内容的审计三个方面,它可以通过实施一整套恰当的措施来获得。但目前我国的信息安全令人堪忧,随着政府上网和企业信息化的推进,越来越多的企业的日常业务已经无法脱离网络和信息技术的支持,那么我国中小企业的信息安全现状如何呢?
二、我国企业信息安全的现状
(一)企业的重视程度
随着信息化的加快,企业信息安全越来越受到重视,而我国的中小企业信息安全现阶段正处于初级阶段。在推进企业信息化的进程中,有些中小企业对于信息化概念的认识远远不够,它们认为购置几台电脑放到公司,日常用来打打字,将单个机器连结到网上企业就信息化了,远远没有认识到信息技术给企业所能带来的巨大的变化,对于网络安全更是没有意识。
据调查,目前国内90%的网站存在安全问题,其主要原因是企业管理者缺少或没有安全意识。某些企业网络管理员甚至认为其公司规模较小,不会成为黑客的攻击目标。如此态度,网络安全更是无从谈起。
(二)资金、技术、人员方面情况
已建立了企业内部信息化平台的企业,由于资金、技术等方面的原因,还没有把重点放到网络安全管理上,尤其是中小企业的安全问题一直隐患重重。
据了解,许多中小企业没有专门的网络管理员,一般采用兼职管理方式,这使中小企业的网络管理在安全性方面存在严重的漏洞,与大型企业相比,它们更容易受到网络病毒的侵害,损失也比较严重。
根据IDC对2005年我国政府、企业用户的信息安全状况分析,约有34.8%的企业因内部雇员的行为(包括对内部资源的不合理使用和对内部数据缺乏有效保护)而造成企业出现安全问题。
(三)网络维护、运行、升级方面的情况
在网络的维护、运行、升级等事务性工作方面,由于工作繁重而且成本较高,一些善于精打细算的中小企业在防范黑客及病毒方面舍不得投入,据相关调查数据资料统计,国内七成以上的中小企业,一是缺乏基本的企业防毒知识,购买一些单机版防毒产品来防护整个企业网络的安全。二是采购了并不适合自身网络系统的企业防毒产品,因此留下许多安全隐患。三是技术力量薄弱,虽然部署了企业防毒产品,但是这些产品操作难度大、使用复杂,最终导致很难全面发挥效用,甚至成了摆设,这样一来企业内部网络就根本没有什么安全而言。
三、如何保证我国中小企业的信息安全
(一)从企业的自身情况考虑
要解决中小企业网络信息安全问题,不能仅依靠企业的安全设施和网络安全产品,而应该考虑如何提高企业自身的网络安全意识,将信息安全问题提升到重视的高度,要重视“人”的因素。具体表现在以下两个方面:
1.提高安全认识
定期对企业员工进行网络安全教育培训深化企业的全员信息安全意识,企业管理层要制定完整的信息安全策略并贯彻执行,对安全问题要做到预先考虑和防备。
2.要求中小企业在上网的过程中要做到“一做三不要”
(1)将存有重要数据的电脑坚决同网络隔离,同时设置开机密码,并将软驱、硬盘加密锁定,进行三级保护。
(2)不要在自己的系统之内使用任何具有记忆命令的程序,因为这些程序不但能记录用户的击键动作甚至能以快照的形式记录到屏幕上发生的一切。
(3)不在网上的任何场合下随意透露自己企业的任何安全信息。
(4)不要启动系统资源共享功能,最后要尽量减少企业资源暴露在外部网上的机会和次数,减少黑客进攻的机会。
(二)从网络安全角度考虑
1.从网络安全服务商的角度来说,服务商要重视中小企业对网络安全解决方案的需要,充分考虑中小企业的现实状况,仔细调查和分析中小企业的安全因素,开发出适合中小企业实际情况的网络安全综合解决方案。此外,还应该注意投入大量精力在安全策略的施行及安全教育的开展方面,这样才能为中小企业信息安全工作的顺利开展提供坚实的保证。
2.要用防火墙将企业的局域网(Intranet)与互联网之间进行隔离。由于网络攻击不断升级,对应的防火墙软件也应该及时跟着升级,这样就要求我们企业的网管人员要经常到有关网站上下载最新的补丁程序,以便进行网络维护,同时经常扫描整个内部网络,以发现任何安全隐患并及时更改,才能做到有备无患。
3.企业用户最好自己学会如何调试和管理自己的局域网系统,不要经常请别人来协助管理。中小企业要培养自己解决安全问题的能力,提高自己的信息安全技术。如果缺乏这方面的人才就应该去引进或者培养相关人才。
4.内部网络系统的密码要定期修改。
在企业的管理信息系统中有众多的企业文件在流转,其中肯定有重要性文件,有的甚至涉及到企业的发展前途,如果这些信息在通用过网络传送时被竞争对手或不法分子窃听、泄密、篡改或伪造,将会严重威胁企业的发展,所以,中小企业电子信息安全技术的研究具有重要意义。
一、中小企业的信息化建设意义
在这个网络信息时代,企业的信息化进程不断发展,信息成了企业成败的关键,也是管理水平提高的重要途径。如今企业的商务活动,基本上都采用电子商务的形式进行,企业的生产运作、运输和销售各个方面都运用到了信息化技术。如通过网络收集一些关于原材料的质量,价格,出产地等信息来建立一个原材料信息系统,这个信息系统对原材料的采购有很大的作用。通过对数据的分析,可以得到跟多的采购建议和对策,实现企业电子信息化水准。有关调查显示,百分之八十二的中小企业对网站的应还处于宣传企业形象,产品和服务信息,收集客户资料这一阶段,而电子商务这样关系到交易的应用还不到四分之一,这说明企业还未充分开发和利用商业渠道信息。中小企业信息化时代已经到来,企业应该加快信息化的建设。
二、电子信息安全技术阐述
1、电子信息中的加密技术
加密技术能够使数据的传送更为安全和完整,加密技术分为对称和非对称加密两种。其中对称加密通常通过序列密码或者分组机密来实现,包括明文、密钥、加密算法以及解密算法等五个基本组成成分。非对称加密与对称加密有所不同,非对称加密需要公开密钥和私有密钥两个密钥,公开密钥和私有密钥必须配对使用,用公开密钥进行的加密,只有其对应的私有密匙才能解密。用私有密钥进行的加密,也只有用其相应的公开密钥才能解密。
加密技术对传送的电子信息能够起到保密的作用。在发送电子信息时,发送人用加密密钥或算法对所发的信息加密后将其发出,如果在传输过程中有人窃取信息,他只能得到密文,密文是无法理解的。接受着可以利用解密密钥将密文解密,恢复成明文。
2、防火墙技术
随着网络技术的发展,一些邮件炸弹,病毒木马和网上黑客等对网络的安全也造成了很大的威胁。企业的信息化使其网络也遭到同样的威胁,企业电子信息的安全也难以得到保证。针对网络不安全这种状况,最初采取的一种保护措施就是防火墙。在我们的个人电脑中防火墙也起到了很大的作用,它可以阻止非黑客的入侵,电脑信息的篡改等。
3、认证技术
消息认证和身份认证是认证技术的两种形式,消息认证主要用于确保信息的完整性和抗否认性,用户通过消息认证来确认信息的真假和是否被第三方修改或伪造。身份认证使用与鉴别用户的身份的,包括识别和验证两个步骤。明确和区分访问者身份是识别,确认访问者身份叫验证。用户在访问一些非公开的资源时必须通过身份认证。比如访问高校的查分系统时,必须要经过学号和密码的验证才能访问。高校图书馆的一些资源要校园网才能进行访问,非校园网的不能进入,除非付费申请一个合格的访问身份。
三、中小企业中电子信息的主要安全要素
1、信息的机密性
在今天这个网络时代,信息的机密性工作似乎变得不那么容易了,但信息直接代表着企业的商业机密,如何保护企业信息不被窃取,篡改,滥用以及破坏,如何利用互联网进行信息传递又能确保信息安全性已成为各中小企业必须解决的重要问题。
2、信息的有效性
随着电子信息技术的发展,各中小企业都利用电子形式进行信息传递,信息的有效性直接关系的企业的经济利益,也是个企业贸易顺利进行的前提条件。所以要排除各种网络故障、硬件故障,对这些网络故障带来的潜在威胁加以控制和预防,从而确保传递信息的有效性。
3、信息的完整性
企业交易各方的经营策略严重受到交易方的信息的完整性影响,所以保持交易各方的信息的完整性是非常重要对交易各方都是非常重要的。在对信息的处理过程中要预防对信息的随意生成、修改,在传送过程中要防止信息的丢失,保持信息的完整性是企业之间进行交易的基础。
四、解决中小企业中电子信息安全问题的策略
1、构建中小企业电子信息安全管理体制
解决信息安全问题除了使用安全技术以外,还应该建立一套完善的电子信息安全管理制度,以确保信息安全管理的顺利进行。在一般中小企业中,最初建立的相关信息管理制度在很大程度上制约着一个信息系统的安全。如果安全管理制度出了问题,那么围绕着这一制度来选择和使用安全管理技术及手段将无法正常进行,信息的安全性就得不到保证。完善,严格的电子信息安全管理制度对信息系统的安全影响很大。在企业信息系统中,如果没有严格完善的信息安全管理制度,电子信息安全技术和相关的安全工具是不可能发挥应有的作用的。
2、利用企业的网络条件来提供信息安全服务
很多企业的多个二级单位都在系统内通过广域网被联通, 局域网在各单位都全部建成,企业应该利用这种良好的网络条件来为企业提供良好的信息安全服务。通过企业这一网络平台技术标准,安全公告和安全法规,提供信息安全软件下载,安全设备选型,提供在线信息安全教育和培训,同时为企业员工提供一个交流经验的场所。
3、定期对安全防护软件系统进行评估、改进
随着企业的发展,企业的信息化应用和信息技术也不断发展,人们对信息安全问题的认识是随着技术的发展而不断提高的,在电子信息安全问题不断被发现的同时,解决信息安全问题的安全防护软件系统也应该不断的改进,定期对系统进行评估。
总之,各中小企业电子星系安全技术包含着技术和管理,以及制度等因素,随着信息技术的不断发展,不仅中小企业办公室逐渐趋向办公自动化,而且还确保了企业电子信息安全。
参考文献:
[1]温正卫;信息安全技术在电子政务系统中的应用[J];软件导刊,2010
[2]闫兵;企业信息安全概述及防范[J];科学咨讯,2010
关键词:中小企业;网络安全;企业网络;架构
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2012) 20-0000-02
1 中小型企业网络安全
1.1 中小型企业网络安全概念。国际组织(ISO)对网络安全规定为在网络间进行数据处理系统建立是所采取的相应的安全技术,这些技术可以对网络进行时时监控和安全,并保证不让任何人使用的程序通过网络来进行计算机,并始终通过网络有效的保证计算机算硬件的安全,不通过网络泄露个人或者企业等单位的秘密。以此我们可以这样理解中小型企业网络安全为是通过采用各种高科技技术和一定的管理措施,使的中小企业网络系统能够进行正常运作,进而来保证中小企业网络数据的可用性、完整性和保密性。
1.2 中小型企业网络职能。一个安全的中小企业网络职能应该是具有一定的可靠性、可用性、完整性、保密性和真实性等的。中小企业网络的安全不仅要保护企业内部的计算机网络设备的安全和计算机网络系统安全,更重要的是要对企业数据安全的保护。所以对于一个中小型企业来说网络安全最终的职能就是保护企业重要的信息数据。
2 中小型企业信息网络安全的困惑
2.1 中小企业信息网络操作系统安全的困惑。中小型企业经常出现的困惑就是针对信息网络操作时出现的安全困惑,所谓中小型企业信息网络操作系统安全就是指通常是指进行信息网络操作系统的安全。操作系统的某一合法用户可任意运行一段程序来修改该用户拥有的文件访问控制信息,而操作系统无法区别这种修改是用户自己的合法操作还是计算机病毒的非法操作;另外,也没有什么一般的方法能够防止计算机病毒将信息通过共享客体从一个进程传送给另一个进程。为此,中小型企业认识到必须采取更强有力的访问控制手段,这就是强制访问控制。在强制访问控制中,系统对主体与客体都分配一个特殊的一般不能更改的安全属性,系统通过比较主体与客体的安全属性来决定一个主体是否能够访问某个客体。中小型企业为某个目的而运行的程序,不能改变它自己及任何其它客体的安全属性,包括该用户自己拥有的客体。强制访问控制还可以阻止某个进程生成共享文件并通过这个共享文件向其它进程传递信息。目前来说中小型企业的信息网络操作系统多为Windows和UNIX操作系统,这些操作系统本身就有自身的网络安全漏洞,因为操作系统本身都是有后门的,而这些后门和安全漏洞都将存在重大的信息网络安全隐患,造成中小企业信息网络的安全困惑。所以这就要求在进行中小型企业信息网络系统安装时,不只要考虑到企业的自身需求,更多的时候要考虑到中小型企业的信息网络安全,不能因为系统的安装造成过大的中小型企业信息安全的困惑。
2.2 中小企业信息网络应用安全的困惑。现阶段我国的中小型企业网络安全应用仅网络系统就存在很大的安全隐患,系统、应用和数据的安全存在较大的风险。目前,实施的安全方案是基于当时的认识进行的,主要工作集中于网络安全,对于系统和应用的安全防范缺乏技术和管理手段。如缺乏有效的身份认证,对服务器、网络设备和应用系统的访问都停留在用户名/密码的简单认证阶段,很容易被冒充;又如数据备份缺乏整体方案和制度规范,容易造成重要数据的丢失和泄露。当时的网络安全的基本是一种外部网络安全的概念,是基于这样一种信任模型的,即网络内部的用户都是可信的。在这种信任模型下,假设所有可能的对信息安全造成威胁的攻击者都来自于组织外部,并且是通过网络从外部使用各种攻击手段进入内部网络信息系统的。针对外部网络安全,人们提出了内部网络安全的概念,它基于这样一种信任模型:所有的用户都是不可信的。在这种信任模型中,假设所有用户都可能对信息安全造成威胁,并且可以各种更加方便的手段对信息安全造成威胁,比如内部人员可以直接对重要的服务器进行操控从而破坏信息,或者从内部网络访问服务器,下载重要的信息并盗取出去。内部网络安全的这种信任模型更符合现实的状况。美国联邦调查局(FBI)和计算机安全机构(CSI)等权威机构的研究也证明了这一点:超过80%的信息安全隐患是来自组织内部,这些隐患直接导致了信息被内部人员所窃取和破坏。信息系统的安全防范是一个动态过程,某公司缺乏相关的规章制度、技术规范,也没有选用有关的安全服务。不能充分发挥安全产品的效能。
2.3 中小企业信息网络管理安全的困惑。中小型企业信息网络管理方面存在的安全困惑主要包括了,中小型企业的内部管理人员们或者是员工们图方便省事,对自身的计算机不进行密码的设置,没用自己的用户口令,或者是有些管理者和员工设置的密码和口令过短或者是过于简单,这样就导致密码和口令很容易被破解,这样来当出现了信息网络的安全问题时,容易责任不清,并且很难一下就找到问题出现的计算机,因为整个公司都使用相同的用户名和口令,使得整体信息网络的管理出现严重的混乱,并且容易出现企业重要信息的泄密。进行中小型企业信息网络管理是信息网络安全的重要组成部分,是能保证中小型企业信息网络安全的重要组成部分,是可以对外来病毒进行防止的重要环节,是中小型企业内部信息网络不被入侵必须的部分。也是中小型企业信息网络暗中的管理困惑,是普遍中小型企业都会存在的困惑之一。
3 如何进行中小型企业信息网络安全的架构
3.1 中小型企业信息网络安全架构Internet的接入。中小型企业信息网络安全构架中Internet的接入,多是采用了PIX515作为外部边缘得防火墙设备,中小型企业内部的用户登录则是通过互联网时会经过NetEye防火墙,然后再由PIX映射到互联网。PIX与NetEye之间形成了DMZ映射区,这是一种需要进行提供互联网服务的邮件服务和Web服务器等防止在该DMZ区内。中小型企业进行此防火墙的安全策略步骤是:首先要从Internet上设置只能访问到DMZ内Web服务器的80端口和邮件服务器的25端口,其次,则是要从Internet和DMZ区设定出不能进行访问内部网任何资源,最后则是要从Internet进行访问内部网资源的时候只能通过VPN系统进行。
3.2 中小型企业信息网络安全架构用户的认证。中小型企业信息网络安全架构的用户认证系统主要就是用于解决通过电话进行拨号时出现的安全问题和通过VPN进行接入时出现的安全问题,信息网络安全架构的用户认证系统是目前为止运用最为完善的系统用户认证系统、访问控制系统和使用审计系统方面的功能来增强信息网络系统的安全性,并采用了目前为止最为高端的ACS用户认证系统。中小型企业的ERP系统一般采用C/S(客户机/服务器)体系结构,架构于企业内网Intranet上。通常,VPN是对企业内部网的扩展,通过它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输;VPN还可用于不断增长的移动用户的全球互联网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路。在信息网络的主域服务器上安装Radius服务器,在Cisco拨号路由器和PIX防火墙上配置了Radius客户端。这样当任何人进行电话拨号和VPN用户身份认证时,就会在Radius的服务器上直接进行,这样一来用户账号就会集中的在主域服务器上进行开设。这样做就可以在系统中设置较为严格的用户访问策略和口令策略,能有效的强制使用用户进行定期的口令修改。
综上所述,中小型企业信息网络安全保障是开展其它一切业务往来与技术交流的关键,要想企业长足发展,必须重视信息网络安全的构建。
参考文献:
关键词:信息安全;加密方法;加密软件
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)19-30003-01
1 正确认识中小企业信息安全重要性
信息时代,企业的正常运作离不开信息资源的支持,这包括企业的经营计划、知识产权、生产工艺、流程配方、方案图纸、客户资源以及各种重要数据等,这些都是企业全体员工努力拼搏、刻苦钻研、殚精竭虑、长期积累下来的智慧结晶,是企业发展的方向和动力,关乎着企业的生存与发展,企业的重要信息一旦被泄露会使企业顿失市场竞争优势,甚至会遭受灭顶之灾。因此,企业要保持健康可持续性发展,信息安全是基本的保证之一。
2 危害中小企业信息安全的罪魁祸首
在媒体的宣传下,病毒、木马、蠕虫、黑客已经成为危害信息安全的罪魁祸首,但是据信息专家论证,对计算机系统造成重大破坏的往往不是它们,而是组织内部人员有意或无意对信息的窥探或窃取。未来安全问题不再是过去简简单单的一个病毒或者一个黑客,它将朝着更多元化的方向发展,对于中小企业而言,无论是数据失窃、邮件泄密、打印泄密、还是网络瘫痪,也许都将是一次彻底的毁灭。
3 哪些信息需要保密
一般而言,中小企业发生数据泄露事件的一个主要原因,是他们不知道自己的敏感信息和机密商业信息位于网络或企业系统中的位置。由于缺乏这种了解,加上数据存储方面的控制措施不到位,数据泄露变成了重大威胁。另外,这种危险并不仅仅出现在企业的网络上,还出现在员工和合作伙伴的笔记本电脑及其他便携存储设备上。许多组织越来越担心遇到数据泄密事件。据调查分析,知识产权、商业机密信息、客户及消费者数据,以及员工数据成为面临风险最大的四种数据,当然 也是最需要保密的数据。一般而言,自主研发型的企业产品研发部门是最需要进行电子数据加密的,而其他企业根据经营特点的不同,也可能把营销部门或财务部门等其他部门列为数据安全保护的重点部门。
4 如何选择适合的加密方法
总的来说,目前市场上有如下几种主流的加密方式:
一种是文件夹加密,主要是提供给单个用户使用,对放置机密文件的文件夹进行加密,打开时需要输入密码,此种加密软件多为个人或软件工作室制作,并不稳定,建议慎重使用,一旦重要资料加密后无法打开问题就比较严重了。
第二种就是我们常说的透明加密,这种加密方式的特点在于:不影响正常工作,而密文一旦脱离加密环境就无法打开,可以说是当前一种比较严密的数据保护方法。
第三种是USB接口加密,就是屏蔽USB设备或绑定USB存储设备,对于绑定以外的USB设备无法识别。虽然这种方式不是严格意义上的数据加密,但因其原理简单,对系统底层接触较小,出问题的几率比较小,所以应用范围也很广泛。
对于企业用户我们推荐使用第二种方式,第三种方式虽然也可以,但其硬盘上的资料为明文,一旦硬盘被窃用,或文件通过网络的方式传递出去,也很容易造成泄密。从数据的严格安全性上考虑,可以选择第二种和第三种加密方法同时使用。
5 如何选择合适的加密软件
那么如何选择加密软件,尤其是透明加密类型的软件呢?首先,一定不要当实验品。很多加密软件公司都是刚刚起步,或者刚刚涉足数据加密领域,其产品虽可能与其他软件公司的产品原理相同,功能类似,但其中的Bug一定很多。对于透明数据加密软件,一旦出现问题,计算机上的文件都会无法打开,或者某个文件被破坏永久无法打开,这对正常工作的影响是很大的。所以,我们在选择透明加密产品之前一定要弄清楚该公司此款软件的研发时间,第一个版本的上市时间,目前的软件版本,其客户有哪些,并最好能对其客户进行电话或访问调研。
其次,一定要考察好该公司的售后服务情况。对于此类软件,在实际应用过程中因为环境的不同都多多少少会有一些“水土不服”,这时良好的售后服务会给IT人员减轻很大的“心理”负担。而且IT人员要多给软件公司一些信心,一些比较少见的问题要给予足够的时间进行解决,毕竟此类软件与系统底层接触的比较多,可能出现的问题也会比较多。
再次,购买前一定要进行一段时间的真实环境测试,一般的软件商都会提供试用版,一定要进行充分的试验,尤其是要注意,自己公司使用的工作软件是否全部与该公司软件兼容,如有个别不兼容,软件公司是否有能力进行相应的升级开发予以解决。
本文的案例企业在选择软件时也进行了长时间的测试,并且选择了一家研发实力较强、售后服务较好的企业,购买了该公司5.0版本的透明加密产品,期间虽然也出现过多次问题,但软件公司都及时解决了。
关键词:中小企业;信息安全;防火墙;VPN
1背景目前
我国很多中小企业都开始广泛使用信息化手段提升自身的竞争力,借助信息化,企业可以更有效地管理资源,优化组合,提高企业运营效率,帮助企业更快的了解市场行情,促进企业发展。但与此同时信息安全问题也日益突出,每年企业因信息系统的安全问题而遭受经济损失难以估量。本文针对太仓中小企业网络信息安全现状进行深入调研,走访企业了解企业网络信息安全的配置情况,可能存在的问题,然后根据现有的网络安全技术和手段帮助企业解决问题,以满足企业需求、投入资金少、专业技术管理人员投入少为需求给出解决策略,避免因信息安全问题造成的经济损失。
2中小企业网络信息安全现状研究
经调研分析,目前中小企业大致可以分为两类,一类是国内企业,一类是外企也就是总部在国外,国内有分公司或者工厂。总的来说,所有的中小企业都有自己的计算机网络、典型应用系统如办公自动化系统、信息查询系统、web应用、邮件服务、财务和人事系统等。根据中小企业计算机网络应用特点,一般需要保证数据具有实时性、机密性、安全性、完整性、可用性和不可抵赖性。太仓中小企业众多,光德资企业就有200多家。企业的产品信息、业务数据、销售订单都需要利用信息化系统进行处理,有的甚至需要大数据平台分析处理,那么信息系统的安全性也是尤为突出的一个问题。对太仓中小企业而言,构建一个安全、可靠的IT系统是关系到企业能否适合时代新技术,健康良好快速发展的关键因素之一。太仓众多外企总部都在国外,因此总公司和分公司之间需要经常传输大量的数据,其中包括很多重要甚至机密的数据,对于数据传输的保密性、完整性要求更高。针对这些特点目前中小型企业网络存在的主要安全问题有:
1)弱口令造成信息泄露威胁目前中小企业使用的各类系统较多,包括邮件、ERP、内部OA系统、电子商务系统等。面对众多的系统,员工要设置各类密码,非常麻烦,所以基本都会设置简单的便于记忆的弱口令,而且很多系统都设置相同的密码,长期不对密码进行更改,这样就很容易造成密码泄露,一旦成功入侵企业内部网络,就很容易窃取到密码非法进入系统获取资料。
2)网络病毒威胁中小型企业员工一般都是单独使用计算机,并且所有计算机都可以访问互联网,员工根据自己的情况自行安装防病毒系统,由于员工对病毒预防知识和防病毒软件的使用方法掌握情况不同,如果不能正确安装使用防病毒软件,一台计算机感染病毒很快就传播到企业内部的多台计算机,甚至导致企业内部网络瘫痪。
3)企业主干网络没有划分VLAN中小型企业网络系统中,由于网络规模小,没有专业网络设计维护人员,为了省事和方便,很多企业的系统没有划分VLAN或者没有按要求细化,造成同一广播域中计算机数量过多,容易造成广播风暴和网络带宽严重浪费。
4)无线网络密码泄露无线网络的方便快捷使得它在企业中的应用快速发展起来,一般企业公司都在工作区域安装无线路由器等无线设备,方便公司员工及外来人员进入公司内部网络或者互联网。但由于无线密码设置简单,很容易被破译。互联网上的攻击者可以通过破译无线密码,轻松进入到公司内部网络,从而造成公司信息泄露。
5)移动终端安全隐患随着3G时代的到来,公司企业员工使用移动设备连接公司网络,因此由移动终端设备带来的安全隐患也不可避免。对于企业IT部门而言,移动设备已成为网络安全的一个致命弱点,因为通过电子邮件、彩信、蓝牙等方式传播的病毒很容易对企业内网安全造成危害。
3中小企业网络信息安全解决策略研究
中小企业对信息安全的需求主要是保障公司网站稳定运行、避免商业机密被窃取、企业信息被恶意篡改,因此网络安全解决方案的可用性是中小企业首要考虑的问题,只有网络安全设备正常可用,才能保护企业网络安全。其次,中小企业规模小,资金不足,网络安全管理人才缺乏,安全解决方案的易用性也是企业必须考虑的因素,使用简单有效的方法提高企业网络安全,减少企业在资金、专业管理人才的投入同时又能保障公司网络信息安全。移动互联、大数据、云计算环境下,针对企业各类服务和后台系统建议找专业网络公司托管,这类公司有专业的网关、防火墙、入侵检测系统,能够为企业各类服务提供安全保障,这样中小企业也无需在花大量的资金自己购买这类安全设备、专业人员培训等,大大减轻了公司服务器管理和维护压力。针对目前存在的安全问题,给出以下安全策略:
1)加强企业员工网络安全管理中小企业所有的系统口令包括员工设置登陆口令必须按照操作系统密码复杂性要求设置,至少8位字符,其中要包括字母大写、小写、数字、特殊符号中三种情况以上,由企业系统管理员或者网络管理员设置密码失效时间,规定在一定时间内必须更新密码,用简单切实可行的方法建立第一道安全大门。
2)加强企业网络入侵防范中小企业可以利用防火墙加强企业网络入侵防范,实现企业内外网隔离,主要设置网络边界出口链路带宽要求、数量等情况,IP地址规划对防火墙地址转换的需求。通过防火墙的认证机制,过滤访问网络数据。通过防火墙权限设置,严格审核外网用户的非法登录,定期查看防火墙日志文件,对有攻击性的网络访问行为进行警告。
3)VPN策略一般公司都需要连接互联网,特别是针对太仓德资外企来说与德国总部公司通信安全性是非常重要的,可以采用SSLVPN策略。SSLVPN使用浏览器内建的安全通道封包处理功能,用浏览器连回公司内部SSLVPN服务器,然后透过网络封包转向的方式,让使用者可以在远程计算机执行应用程序,读取公司内部服务器数据。中小企业的远程访问环境变化较大,SSLVPN不需要安装客户端软件远程用户,远程用户只需借助标准的浏览器连接Internet,即可访问企业的网络资源。企业可在较短时间内部署完SSLVPN,因此其部署和实施成本较低,其次SSLVPN还提高了平台的灵活性方便扩展应用和增强性能,对中小企业而言可以降低使用成本,最有效地保护投资。
4)无线网络安全策略对于中小企业,建议选择比较有安全保证的产品来部署网络和设置适合的网络结构是确保网络安全的前提条件,同时还要做到如下几点:修改设备的默认值,指定专用于无线网络的IP协议;在AP上使用速度最快的、能够支持的安全功能。在网络上,针对全部用户使用一致的授权规则,在不会被轻易损坏的位置部署硬件。正确全面使用WEP机制来实现保密目标与共享密钥认证功能,通过在每帧中加入一个校验和的做法来保证数据的完整性,防止有的攻击在数据流中插入已知文本来试图破解密钥流。其次必须在每个客户端和每个AP上实现WEP才能起作用,不使用预先定义的WEP密钥,避免使用缺省选项。密钥由用户来设定,并且能够经常更改,最后要使用最坚固的WEP版本,并与标准的最新更新版本保持同步。
5)移动终端安全策略为了避免移动终端携带病毒连接到企业内网中,确保移动终端如智能手机、ipad、移动笔记本安装杀毒软件、防火墙并定期对移动设备进行系统漏洞补丁和更新,定期扫描杀毒,特别不要随意打开、下载不确定的邮件、链接和彩信,以免中木马病毒。如果一旦中毒,应该立刻断网,进行杀毒或者更新系统,以免木马病毒通过无线网络传播企业内部网络。
4结束语
通过深入太仓中小企业调研,了解企业的网络信息安全现状及存在问题,结合网络信息安全建设方案,从物理安全、计算机硬件软件安全、网络体系结构安全、病毒防范、入侵检查、防火墙配置、信息系统运行维护等方面给出切实可行的网络信息安全建设方案,有针对性对太仓中小企业网络信息安全建设策略研究。参考文献:[1]冯运仿.基于防水墙系统的中小企业信息安全策略[J].安防科技,2006(9):57-58.
[2]周伟.电子商务信息安全技术浅议[J].农业网络信息,2007(4):95-96.
[3]项菲,林山.中小企业信息安全策略研究[J].电脑知识与技术,2009(5):325-326.
[4]赵向梅,杜晓春,侯亚玲.中小企业网络安全问题和策略研究[J].电子测试,2014(6):134-135.
[5]邵琳,刘源.浅谈企业网络安全问题及其对策[J].科技传播,2010(10):207-208.
[6]王锋.关于企业网络安全问题的探讨[J].电脑知识与技术,2010(19):207-208.
[7]刘建伟.企业网络安全问题探讨[J].甘肃科技,2006(5):62-63.
【关键词】 企业 客户档案 信息 安全 管理
中小企业ERP管理系统贯穿企业生产管理的全过程,其中客户关系管理是其重要的组成部分,其中存在着大量的客户档案信息,是企业重要的战略资源。
客户档案信息指的是存在于企业客户关系管理系统中以数据资料的形式存在的信息。它是企业在与客户的业务中形成的专门数据,企业在这些数据的基础上,整合客户的资料和数据最后形成了客户档案信息。企业客户档案信息不仅记录了客户的基本信息,也记录了一些对客户信息进行综合分析的数据结果,是企业相当重要的信息资源。
1 ERP管理系统客户档案信息管理的重要意义
为进一步加强企业信息化建设,提升企业信息化建设水平和依靠信息化加强企业的决策及管理能力,一般企业都部署实施ERP管理系统,虽然目前各ERP管理系统形态万千,但其基本功能都趋于一致,基本上都覆盖了客户、项目、库存和采购供应等管理工作,贯穿企业的进销存全过程,通过优化企业资源达到资源效益最大化。
客户档案信息不仅是企业重要的经营资源,其本身也是客户重要的个人信息,具有一定的社会属性,它的安全管理同时具有重要的社会责任。由于企业员工个人素质、企业归属感的不同,其对于信息的保密意识也存在很大的差异。同时由于系统设计、应用以及管理等各方面的因素,系统中客户档案资料面临着来自各方面的威胁,安全隐患不容忽视。
2 ERP管理系统客户档案信息的内容及管理流程
2.1 ERP管理系统中客户档案信息的内容
目前ERP管理系统中,客户档案信息一般主要由客户的基本信息、经营水平、日常服务信息等模块组成,含有多个字段。这些信息模块和字段的原始信息维护,由不同岗位人员完成,对应的岗位人员对档案信息有录入、修改和查询等权限。
2.2 ERP管理系统中客户档案信息的管理流程
2.2.1 客户档案信息的获取
客户档案信息一般采用业务过程中的采集,或者由客户提供的一些相关材料等方式获取,然后统一录入到ERP管理系统的CRM系统中。
客户档案从采集到录入,严格按照流程进行管理,层层审核,步步完善。在流程管理过程中不断完善客户在CRM管理系统中的档案信息。
2.2.2 客户档案信息变更
客户档案信息的变更,一般都通过现场实地考察来确定。在客户信息变更过程中,企业的客户关系管理人员有着很大的变更权限,经过严格把关审核后,最终实现客户档案的信息变更。
3 ERP管理系统客户档案信息的安全隐患
ERP管理系统的数据主要有丢失和泄露等方面的安全隐患。ERP管理系统的数据安全,是指存在于系统内的客户档案信息存储载体处于良好的保管状态,在一定范围内被知晓,并可随时还原、处理、复制出载体中所包含的客户档案的信息内容用于企业经营业务,但不能被随意泄露,导致客户档案信息的公开,从而为不法人员利用,形成对客户的危害。客户档案信息的安全问题涉及许多方面,存储这些数据的载体的多样性加上利用的多样性,以及人员管理的复杂性,使得客户档案信息要面对许多的问题。总结起来,影响客户档案信息安全的因素包括以下几点:
3.1 客观方面存在的隐患
3.1.1 计算机网络病毒的入侵
随着计算机网络的不断发展,网络病毒层出不穷,变化多端,防不胜防。客户档案信息的采集、录入、整理等,都依赖于计算机处理,以至计算机硬盘上存储了大量的数据信息,所以必须防御计算机网络病毒的入侵和破坏。此外,在进行客户档案信息维护的时候,无论联网还是不联网,外接存储介质仍可能将病毒植入而破坏系统的重要数据,从而造成巨大的损失。
3.1.2 应用系统的设计缺陷
应用系统不可能是完美无缺的,一般的应用系统都会存在设计缺陷。目前,客户档案信息的录入、维护和变更等都依赖于CRM管理系统,系统本身设计的缺陷将对数据本身造成一定的威胁。由于系统的架构很难有统一的标准和普遍适用性,以及技术原因和使用领域不同,在技术设计上肯定存在不一致现象,用不同的字段抽取,获取的数据也存在差异。这些系统设计存在的缺陷,给客户档案信息的安全埋下一定的隐患。
3.1.3 人员素质的参差不齐
由于员工的受教育程度不同,文化层次存在差距,以至于员工的综合素质参差不齐。相关人员对系统的应用水平和领会能力也存在差异,同时由于人员管理的复杂性,内部人员的信息泄露成为客户档案信息安全管理重点考虑的内容之一。
3.2 主观应用方面存在的隐患
3.2.1 数据利用监管不够
(1)客户档案信息查询权限的限制机制不健全。企业相关人员可以随意在系统中查询客户资料,并能获取电子版本,随意复制,无关人员接触这些信息无人监管。
(2)客户档案信息的查询、调用审批程序不完善。目前,多数企业对客户档案信息的查询、调用无审批和监管流程,相关人员如有需要,只要获取相应的角色权限即可,缺少数据查询、调用的审批手续。
3.2.2 流程管理监管缺失
(1)在客户信息新增过程中,无论是信息录入人员还是信息审核人员,都能看到录入的原始信息,每个环节都有可能造成信息的泄漏。所以加强每个环节、每个节点的监管和保密管理对于信息的安全也是至关重要的。不但要小心外部人员有目的的窃取和盗用,还要防止内部人员的有意识或无意识的信息泄漏。
(2)客户档案信息的变更过程中,审核流程一般都不完善,缺少监管流程。操作人员操作失误或者有意无意泄露客户信息,都会给客户档案信息的安全带来很大威胁。
4 ERP管理系统客户档案信息的管理措施
针对ERP管理系统客户档案信息的管理流程和安全隐患,应采取相应的管理措施,来加强对客户档案信息的安全管理。具体为:
(1)加强计算机网络安全管理。采取部署杀毒软件和管理策略等相应的技术和管理措施,确保整体网络环境的安全,避免网络病毒的侵扰。
(2)严格管理客户档案信息的存储载体。加强对存储载体的管理尤为重要。要定期检测存储设备,检测存储载体上的数据有效性,确保这些载体不受到损坏,在出现意外情况时这些载体的信息能够被完全、真实的还原出来。
(3)做好客户档案信息的基础数据库建设。客户档案信息基础数据库建设,必须提前设定各项数据采集项,整个管理环节要采用适用的软件。在具体日常数据的维护和采集中,注意客户档案信息的保管和整合。对于不断增加和更新的基础数据库中的数据要及时进行备份,并保证备份资料的有效性。
(4)加强科技创新,不断完善系统功能及设计架构。根据应用过程中发现的问题和缺陷,及时升级系统版本,整改设计缺陷,完善系统功能。相关人员在修改完善客户档案信息时,做到修改有痕迹,完善有记录。其他人员只能查询浏览信息,不能修改不能复制,并且有网络访问流量的统计记录。
(5)加强数据利用监管,提高数据利用的规范性和安全性。 1)建立有效的客户档案信息的管理规章制度,提高数据安全管理。客户档案信息的管理必须依据严格的规章制度,确保检查、督促、奖惩等措施的落实。客户档案管理人员的数据安全意识尤为重要,提高这些人的数据安全意识,加强防范措施是最重要的。确保人员具备了安全意识才能从根本上杜绝威胁数据安全的隐患。2)严格控制客户档案信息的知晓范围以及查询权限。客户档案信息的知晓人员及其查询权限应该有严格的限制,尤其是那些重要的信息必须严格控制知晓范围。做到无关人员不得接触客户档案信息,不得查询,不得复制。3)严格管理客户档案资料的查阅、调用等环节。客户档案信息的利用都应按照相应的规定做好各种登记、审批工作,对于重要的客户信息的查阅还应注明查阅人身份、查询用途等。做到重要数据信息在办理审批手续之后方可进行调用。内部工作人员要本着不扩大知悉范围和安全利用的原则。这些利用环节的管理要有专人负责,做好监督、监管工作。
(6)强化流程管理监管,完善流程管理的审批流程和监管措施。1)提高相关人员的安全意识,做好账号和口令的保密工作。避免对外泄露自己的账号、密码,造成客户资料外泄,谁泄露谁负责。定期进行系统账户进行梳理,对不再涉及业务系统使用的人员账号予以收回禁用。2)规范使用人员的操作权限分配,不同岗位分配不同的角色,对应不同的操作权限。严格规范权限分配,做到角色一致、权责统一。
(7)加强系统管理人员的安全保密管理。系统管理人员拥有超级管理权限,可以查询任何信息,是系统的维护和技术支撑者。系统管理人员的安全保密工作是最重要的。
【关键词】 信息安全 防范策略
随着社会、经济和科学技术的飞速发展,计算机网络在经济和生活的各个领域迅速普及。院校本身为了提高管理和服务水平,在各个学院和后勤管理部门都依靠IT技术构建自身的信息基础架构和业务系统应用平台。
院校局域网环境下,印刷企业获得了信息共享、信息交流、信息服务,提高了服务水平、增强了核心竞争力。但网络环境的开放性、共享性、交互性,也造成了印刷企业信息平台的脆弱性,一旦网络遭到攻击,科研信息泄密、试卷信息泄露,甚至被人篡改,会给院校带来重大损失。因而,信息安全问题对院校印刷企业来讲是非常重要的。
信息安全就是防止非法的攻击和病毒的传播,保证计算机系统和通信系统的正常运作,保证信息不被非法访问和篡改。
信息安全的根本目的就是使内部信息不受外部威胁,因此信息通常要加密。为保障信息安全,要求有信息源认证、访问控制,不能有非法软件驻留,不能有非法操作。
针对院校局域网环境下印刷企业信息平台容易发生的安全隐患,完善对应防范策略,最大限度地保障院校印刷企业信息安全。
一般来讲,安全问题来自内部和外部两个方向,而内部又分为误操作和破坏两个动机.笔者所在印刷企业主要面对的信息安全问题主要有以下几个方面:
1 物理安全
物理安全是指在物理介质层次上对存储和传输的网络信息的安全保护。对于计算机网络设备、设施等等免于遭受自然或人为的破坏。主要有环境安全(即自然环境对计算机网络设备与设施的影响);设备安全则是指防止设备被盗窃、毁坏、电磁辐射、电磁干扰、窃听等;媒体安全,保证媒体本身以及媒体所载数据的安全性。
为了保障信息平台能够高效的运行,防止或者减少机房受到自然灾害、物理损坏、设备故障等不安全因素的影响, 以保障基本的温度、湿度、电力以及机房隐蔽性等.在机房选址或者是楼宇建设阶段,需要充分考虑机房建设的物理安全问题.因为在一般情况下,物理上的破坏将销毁网络信息本身,这种不安全因素对网络信息的完整性和可用性威胁最大,而对网络信息的保密性影响却较小。
2 数据及存储安全
数据备份是指将计算机系统中的一部分数据通过适当的形式转录到可脱机保存的介质(如移动硬盘、U盘和光盘)上,制定应急处理计划,做好数据的备份和恢复,完善的数据备份应该是动态、多重备份.这样才能保证操作系统遭到破坏后能够迅速恢复这些数据库的使用。
由于院校印刷企业工作的特殊性,对于重要信息数据, 要在数据的存储、处理、传输、销毁等阶段,分别做好对应的数据安全的保护工作.对于重要数据要进行加密处理,对于不可复制的存储介质应该存放在能防火、防盗的库房中妥善保存。对于敏感数据的删除或销毁,要通过消除剩磁的技术,做到不可恢复,防止被恢复而泄漏信息;数据传输方面,要使用加密与认证密码传输数据;不使用未进行数据加密的移动存储设备,防止数据外泄。
3 网络安全及病毒防控
在基础架构的网络规划设计阶段,网络拓扑设计非常重要.由于院校信息网中存在中国教育网、公用互联网、院校内部办公网、校内服务网等多网络共存的环境.在多层网络设计、子网设计以及网络的安全性、可靠性方面存在许多要求。
充分考虑物理拓扑结构与逻辑拓扑结构的关系,在使用网络设备进行技术性实施时,加强控制通信方向,以减少病毒的传播和黑客的攻击,保证网络系统安全,并关注网络及其设备的运行情况,注意设备的维护和升级。
统一部署完整病毒防御体系,注意网络传输入口与终端设备数据入口相结合,设置隔离区来防止病毒的入侵。同时建立病毒防控服务中心将硬件病毒库与软件病毒数据库的更新同步,用防病毒软硬件来防止来自互联网病毒进入内部,采用防毒与杀毒相结合,在病毒可能流传的各个渠道设置监控,结合定时病毒扫描和自动更新,查杀病毒,保证系统安全。
4 业务平台安全
在很多情况下,业务信息系统是安装部署在操作系统基础上, 如果操作系统安全受到影响,也就失去了业务平台安全运行的基础。对操作系统进行安全补丁更新,并进行测试工作是至关重要的,通过专业软件进行操作系统底层的安全测试工作,将各种可能存在的木马程序、蠕虫、恶意代码、间谍软件的侵入安全漏洞进行安全防护,防止给企业信息基础设施、内部网络、企业业务带来损失.
结合业务平台下硬软件、数据和网络等方面实际情况,在提高工作人员的保密观念、责任心和安全意识,加强业务技术培训,防止人为事故发生的同时, 通过技术手段,在自主访问控制、强制访问控制、身份鉴别等方面进行设置,主要特征有:最小特权原则,即每个特权用户只拥有能进行他工作的权力;自主访问控制;强制访问控制,包括保密性访问控制和完整性访问控制;安全审计。
5 结语
随着信息技术的飞速发展,信息已经成为一种非常重要的战略资源,其影响企业安全的各种因素也会不断变化强化,因此信息安全问题也越来越受到人们的重视,以上我们简要的分析了院校印刷企业存在的几种安全隐患。
总的来说,信息安全不仅仅是技术问题,因为信息安全研究的各个领域之间不是割裂的,同时也是一个安全管理问题。我们必须综合考虑安全因素,制定合理的目标、技术方案和相关的配套法规等。其防护技术也必然随着信息系统应用的发展而不断进步。
致谢:
首先,我要向市信息中心的孙勇先生,感谢他为我提供了很多技术资料。我还要衷心地感谢校信息中心的老师们,感谢他们为本文提出了许多宝贵的意见.最后,我还要向我的领导和同事们表示感谢,感谢他们长期以来的支持和帮助。再次向以上所有人表示感谢。
参考文献:
[1]陈福莉,谭兴烈.信息安全管理平台及其应用[J].信息安全与通信保密,2006(12).
[2]郑林信息资产的风险管理[J].中国计算机用户,2004(26).
[3]王丁,杨德华.CZC交易信任管理机制探讨[J].电脑开发与应用,2004(03).
[4]国务院信息办.中国信息化发展报告[EB/OL].2006.