时间:2023-10-10 10:38:38
引言:易发表网凭借丰富的文秘实践,为您精心挑选了九篇企业信息安全现状范例。如需获取更多原创内容,可随时联系我们的客服老师。
关键词:信息安全;现状;策略
信息安全管理已经成为企业加强信息化进程以及提高企业管理水平的一项重要内容,它是确保企业信息管理系统高效运行,促进企业健康、稳定发展的一个重要前提。近几年来,随着ERP在企业中的投入使用,使企业的信息化工作内容得以拓展,企业对信息系统的安全性也日益关注,怎样保证信息系统的安全、高效,已经成为摆在各个企业面前的一项重要课题。
1.信息安全管理意义
1.1信息安全是企业实现可持续发展的需要
随着计算机网络技术的普及应用,如何确保涉及到企业经营发展的各种信息、资料的安全性,已经成为企业必须要解决的一个问题。现阶段,大多数企业的数据信息,甚至是关系到企业战略规划的重要信息,都是以电子文件的形式进行保存的,对于企业来说,这些信息如果泄露、丢失或者遭到恶意破坏,其后果是不堪设想的。因此,企业必须要具有预见性与前瞻性,要站在战略发展的高度来看待信息安全问题,必须建立起一套操作性强的防范机制,要从操作系统、芯片技术以及网络建设等方面入手,就安全保障体系进行积极构建。
1.2信息安全是实现企业平稳、健康发展的前提
现阶段,我国企业的信息安全建设,还没有形成一个成熟,可供广泛借鉴的安全体系,同时基础也相对薄弱,这些问题都亟待解决。而且信息安全已经成为关系企业未来发展的一个重要问题,我们必须要认清加强企业信息安全建设的紧迫性,要从维护企业利益的角度来看待信息安全建设问题,做好基础设施的建设工作,以及信息安全体系的构建工作,实现企业的平稳、健康发展。
1.3信息安全是知识经济时展的需要
计算机网络技术的普及应用,使得企业内部各部门之间的信息交换,以及企业对外部信息的获取日益频繁,这也令企业对网络技术愈加依赖,计算机网络技术对整个商业运作方式也带来了巨大的影响,从而出现了电子商务,也对企业生产方式、经营理念,产生了巨大的冲击,推动了企业发展以及现代经营理念的构建。但是,信息的安全问题也日益突出,比如信息在存储、处理以及传输过程中经常存在着被非法截取、恶意破坏以及篡改的现象。所以,信息安全是知识经济时代这一大背景下,企业发展必须要解决的问题。
2.信息安全管理的现状
2.1信息管理的安全意识方面
人员、机器设备、原材料、制度是一个企业在进行生产经营时不可缺少的几个基本要素,随着知识经济的到来,信息的重要性日益受到企业管理界的认同,信息也理所当然的成为生产经营过程中,不可或缺的一个非常重要的因素。但是就目前的企业对信息安全管理的重视程度来看,远远还不够,忽视对企业内部各种信息资产的保护,其结果必然会为企业带来无法估计的损失,因此,企业必须要提高对信息管理安全系统的认识,积极构建、完善这一系统,保证企业信息的安全。
2.2网络协议方面
我们在对计算机信息系统进行安全维护时,保证网络协议的安全是维护系统安全的一个重要问题,但是计算机系统的部分协议,比如TCP/IP 协议,这部分协议以及其构架通常也是在因特网上进行共享的,这样必然会为系统的安全埋下隐患。而且这也是计算机信息系统安全构成威胁的一个主要来源,而它对计算机系统的破坏是巨大的。所以,我们在对计算机信息系统进行维护时,必须要关注到这一点,杜绝类似事件的发生。现阶段,注意网络不明信息、非法访问以及网络协议等对系统安全构成威胁的问题,是确保信息传送过程安全性的重要前提,是我们在构建企业信息网络系统时,必须要考虑的问题。
2.3信息安全产品本身存在的问题
通常情况下,多数企业在建设信息管理系统的同时,也采用了相关的信息安全产品。如果信息安全产品本身存在着漏洞的话,这必然会直接导致企业信息系统安全机制的失效。但是计算机系统的安全隐患绝不局限于产品本身存在的缺陷,如果信息安全产品本身是完善的,不存在着任何缺陷与隐患,但是我们在使用产品的过程中,会因为用户配置、操作上的失误,或者对产品安全性能不够了解,使其性能降低,而起不到保护系统安全的作用也是有可能的。
2.4资金投入不够
我国企业想要对信息安全系统进行构建,就必须投入大量的资金,同时还要吸引IT人才,加入到信息安全系统建设团队。但是就目前我国信息安全系统构建的现状来看,还有很多不如人意的在方,尤其是在资金投入方面,一个项目如果缺少资金投入,那么一切都是空谈。笔者在实际工作中发现,有些企业非常重视硬件设备的投入,但软件投入比较滞后,这就使硬件部分强大的功能无法得到充分发挥。
3.加强信息安全管理的策略
3.1提高信息管理的安全意识
随着计算机网络技术的快速发展,网络犯罪有逐年上升的趋势,电脑病毒、网络黑客对计算机系统的攻击与日俱增,企业必须出于自身利益的考虑,来加强信息安全管理方面的建设,首先要从加大宣传,提高安全意识方面入手。企业可以定期举行有关信息管理安全意识方面的讲座、报告以及相关的培训教育工作,使领导干部、普通员工提高对信息管理安全的重视程度,使安全防范意识深入人心,这样有利于加强信息安全管理工作的全面展开。
3.2设计加密体制对系统进行保护
当今社会是一个信息化程度高度发达的社会,人们利用互联网对信息进行收集、整理、分析、处理的程度越来越高,这样必然会导致信息安全方面存在着一定的隐患,如果我们不采取有效措施加以防范,一旦发生问题,对企业造成的危害是无法想象的。针对网络所存在的安全隐患,我们可以采用加密系统对网内数据、文档以及口令进行保护。如此一来,我们在网上进行数据传送的过程,也更具针对性。加密管理过程,通常分为链路加密、节点加密与端点加密三个种类,我们可以根据企业的实际需求进行选择。
3.3加强系统软件方面的建设
一般来说,计算机无论使用哪一种版本的操作系统,都会存在着一定的安全隐患,这个世界没有十全十美的东西,我们对操作系统也不能苛求太多。因此,这就需要我们采取积 极、有效的措施来提高系统的安全性,以期对操作系统进行很好的维护。比如对数据库软件、计算信息管理软件进行更新,终端操作系统要与数据库操作系统在版本上要统一,这样可以便于管理,提高信息管理系统的防御能力。
3.4增加企业信息安全建设的投入
信息化已经成为社会发展的一个主流趋势,企业必须要借助好这个“东风”,来加强自身的信息安全建设。任何一个项目的启动,都离不开资金的投入,企业必须为信息安全建设提供物质基础,比如购置专用服务器、软件以及将IT资产外包等等,保证信息安全建设的顺利完成。
4.总结:
综上所述,信息安全对企业的发展有着非常重大的意义,它不但是企业自身实现可持续发展的需要,也是知识经济时代背景下,企业的必然选择,我们可以从提高信息管理的安全意识;设计加密体制对系统进行保护;加强系统软件方面的建设;增加企业信息安全建设的投入等方面入手,加强企业信息安全管理方面的建设。
参考文献:
[1]姜桦,郭永利.企业信息安全策略研究[J].焦作大学学报,2009,(01) .
关键词:信息安全;网络安全危胁;安全防护系统
中图分类号:TP393文献标识码:A文章编号:1009-3044(2012)26-6245-03
计算机网络技术迅猛发展,各发电企业信息化网络日渐普及,成为了企业科技化管理的重要手段。通过对数据的集中、共享、处理使得信息系统为发电企业生产经营、安全生产等各方面提供了巨大的科技支撑。但同时伴随出现的病毒蔓延、不良黑客入侵、流氓软件等多方面问题成为了不得不面对的问题,同时对发电企业的安全生产也形成了巨大的威胁,以此进一步加强发电企业信息化安全是在信息化建设初期首要考虑的问题。
1发电企业面临的网络安全威胁
因为信息网络的互通性,发电企业信息化威胁,既有可能来自本企业内部,也同时可能来源于外部。其内部威胁主要来自于员工、各信息系统管理员等,根据统计,网络安全破坏活动近80%来自于竞争对手、任何恶意的组织和个人。主要表现的安全威胁为:
1)截获用户标识:截获标识指以非法手段取得合法用户的身份信息,主要是用户的帐号和密码,这是绝大多数发电信息系统采用的认证防护措施。如果侵入者得知了某位合法用户的帐号和密码,即便该合法用户并未被赋予其他的特权,也有可能威胁整个系统的安全。如果帐号,特别是密码,被以明文的方式由信息网络传递,侵入者通过安装协议分析软件对网络通信进行监视,则可以轻松获取。如果密码通过明文格式保存在用户的计算机的内存或者硬盘中,侵入者更能够有方法发现并利用这些密码,同时如果密码很简单(如手机号码、用户生日、私家车号牌、用户姓名等),更加容易被侵入者通过软件得知,在网络上大肆传播的黑客工具都是通过几种常用习惯的词典来获取用户密码。
2)伪装:当未通过授权的用户假扮成具有合法授权的用户,登录发电信息系统时就形成了伪装。当未通过授权的用户经过伪装成信息系统管理员或者具有信息管理超级特权的有关用户时,截获用户标识的情况是威胁最大的。应为侵入者已经获取了某位合法用户的标识,或者因为侵入者已经使信息系统相信其拥有另外的而实际上并不存在的权限,所以伪装是很容易出现的。网络地址欺骗实际上就是伪装的一中形式,侵入者通过一个合法的IP地址,然后通过此地址截获已被授予该合法地址的系统或者是服务器访问权限。
3)非授权操作:非授权操作使用信息系统或者资源时,信息网络安全就受到了极大的威胁。例如,企业的发电数据和财务数据有可能被未经授权的侵入者,非法修改并利用。
4)病毒:病毒是伴随计算机技术产生,能够通过不断自我复制,大范围传播,对计算机、信息系统及其数据产生极大破坏的程序。因为病毒具有的隐藏性和可变异性,使得广大用户无法防范。据有关资料调查,99%的企业或者个人受到过计算机病毒的感染,63%的数据和系统损坏来源于病毒。给受害企业或个人带来巨大的时间和人力资源的浪费,同时重要数据文件的丢失和损坏是无法用金钱来衡量的。
5)服务拒绝:通过向发电企业信息化系统发送大量的请求或者垃圾数据,使得服务器的资源被大量占用,直至资源耗尽,使其达到无法继续提供正常服务或者服务器崩溃的目的。在发电企业信息化系统中,这样的攻击可能造成重大的安全威胁。
6)恶意程序代码:伴随着可自执行的计算机程序与WWW站点的集成,恶意程序代码通过Microsoft ActiveX控件或Sun Java程序的大量使用形成了极大的安全威胁。
7)特权滥用:信息系统的超级管理员故意或者错误地通过对某系统的特权来获取其不应获取的敏感数据。
8)误操作:信息系统超级管理员、业务系统管理员、一般用户等因对技术方面熟练度不高,操作时的失误,引起对信息系统安全性、完整性和可靠性的损坏。
9)权限变更:一般用户利用信息系统的漏洞提高其用户等级,以获取未经授权的系统权限。
10)后门:信息系统研发人员出于故意或者为了日后维护便利在信息系统中设置的专用通道,使用其可以不受企业信息系统安全措施的控制。经常被人为利用控制、破坏正常运行的系统。
11)系统研发中的错误和调试不全:其包含对有关数据不进行充分的检查、对系统的逻辑运行定义不准确,同时这些错误和不完善没有通过大量的、齐全的系统调试检查出来,有可能在运行中导致数据被错误生成且引入信息系统,破坏了实际数据的准确性。
12)特洛伊木马:它通过提供一些有价值的或者仅仅是有趣的功能,在用未经用户许可的情况下拷贝文件、窃取用户的帐号和密码、发送用户的重要资料或者破坏用户系统等。木马程序是一种常见的危害性较大的威胁,由于其不易被发现,在一般情况下,它是在二进制代码中被发现,且大多数后缀名都为无法直接打开的文件,其特点与病毒有许多相似的地方。
13)社会工程共计:主要是的是攻击者利用人的心理活动进行攻击,其无需采用高深的科技手段,同时无需入侵系统来完成。仅需要通过向特定用户了解帐号和密码,达到其获取数据或者信息系统访问权的目的。绝大多数情况下、攻击者的主要目标是企业的办公室接待员、行政或者技术支撑人员,通过对这些类别的用户通过电话、EMAIL或者聊天工具等方式即可完成攻击。
2发电企业信息化情况(以五大发电集团某下属发电公司为例)
2.1信息化网络状况
图1
2.2信息化系统状况
1)财务及资产管理(简称:FAM)系统,是集中部署的核心应用系统,涵盖电厂财务核算、费用报销、资金计划、物资采购、库存管理、物资计划、超市管理、合同管理、缺陷管理、检修管理、设备维护等功能模块。
2)OA办公自动化系统。实现下属企业以及与集团公司间收发文交互、内部收发文管理、邮件及通讯目录功能。系统还提供了值班管理、督察督办、会议管理、车辆管理、办公用品等行政办公管理功能。
3)PI实时信息系统:本系统采集、存储DCS系统、电能量、环保系统等实时运行参数,除满足电厂对实施信息的管理需求外,还将有关数据实时传送集成到集团公司实时系统、集团公司生产与营销实时监管系统。
4)电厂多业务管理平台。系统包括运行管理、计划管理、生产统计、班组管理、标准制度、政工管理、监审管理、合理化建议等功能,其中统计、政工、监审等模块实现了与集团公司层面相应管理模块的系统集成。
5)安全管理平台:功能包括安全信息、安全报表、安全检查、工作票、操作票等管理。
6)公司MIS系统:本系统不仅作为下属企业所有管理信息系统入口门户,还提供了项目申报、生产日报、人力资源、融合机制管理、培训考试、安全认证管理、灵活报表等应用功能。
7)档案管理系统:本系统由集团公司统一实施,各单位档案系统建设须按照集团公司统一规划,以便于OA系统统一接口、版本升级、技术培训等。
8)网站系统由各下属企业自主建设和运维管理,界面设计须符合集团公司VI视觉识别系统标准,内容、运维管理遵照公司和集团公司有关规定和要求,严格执行安全保密等有关规定。
3发电企业网络安全防护设计方案
发电企业信息安全体系机构由网络安全防护、数据备份和恢复、应用系统安全、信息安全管理等几部分组成。
3.1网络安全防护
3.1.1系统安全域防护
将企业信息系统通过网络安全域的形式,分为服务器、用户两个安全域,同时划分多个二级安全域,主要为生产信息系统、财务系统、系统管理员、一线生产班组、普通用户等。
3.1.2网络的高可靠性
1)企业核心网络设备采取双机互为热备形式,两台中心交换机设备通过双链路互联;接入层与核心层也通过双链路互联。
2)重要用户安全域通过双链路与企业核心交换连接,进一步保证其链路的可靠性。
3)企业核心业务系统服务器也必须通过双链路接入核心层。
3.1.3防病毒
1)企业管理信息大区按照要求统一部署防病毒系统,采用国内知名品牌网络版。安全区一、二与三区各自拥有自己的防病毒服务器。
2)对管理信息大区的服务器、终端用户,强制按照规定部署统一的可网管的防病毒产品。
3)在互联网接口部署防病毒网关,以防其从外部传播到企业管理信息大区。
4)注重防病毒管理,保证病毒特征码得到有效的更新,通过查看病毒软件的历史记录,了解病毒威胁情况并积极应对。
3.1.4防火墙
在位于内外网接口处部署防火墙一台,采用高性能硬件防火墙,国内知名品牌,具有双安全操作系统;可以提供对复杂环境的接入支持,包括路由、透明以及混合接入模式;具备防火墙、IPSEC VPN,SSL VPN、防病毒、IPS等安全功能。
3.1.5入侵检测系统
在核心层部署一个入侵检测的探头,保证入侵检测系统能够及时发现有关威胁。
3.1.6主机安全加固
发电企业的关键应用系统(如生产营销实施监管系统、财务系统)的服务器,采取定期安全加固的形式。形式包括:定期检查安全配置、安全补丁、加强服务器系统的访问控制能力等。
3.2备份与恢复
对于关键应用系统,必须采用每天定期备份,同时人工每月全备份一次。备份的数据必须采用异地存储的形式,且需做到专人定期检查,防止遗漏。
3.3应用系统安全
管理信息大区中的发电企业应用系统应着重确保其安全性能够得到保证。其主要安全建设内容包括:对系统的访问控制、用户帐号密码及权限管理、操作审计管理、数据加密管理、数据完整性检查等。
3.4信息安全管理
1)通过成立企业信息化领导小组,加强信息工作包括信息安全工作的整体管理;
2)通过制定信息网络管理制度及各级安全防护策略;并通过正式公文下发,严格执行。
3)通过设立专业的信息管理人员和成立涵盖各业务部门的兼职信息员,形成覆盖全面的信息化安全管理网络。
综上所述,发电企业网络信息安全是一个系统工程,不能仅靠杀毒软件、防火墙、漏洞扫描等硬件设备的防护,还要意识到计算机网络系统是一个人机系统,在建立以计算机网络安全硬件产品为基础的网络安全系统的同时,也应树立各个用户的网络信息安全意识才能防微杜渐,构建一个高效、安全的网络系统。
综上所述,发电企业信息安全是一个系统工程,不仅需要入侵检测系统、防火墙等硬件安全设备,同时还要注意信息系统是一个广泛使用的人机互动系统,必须通过系列的安全管理措施和规章制度,进一步强化各级用户的信息安全意识,做到信息安全人人有责、信息安全从自我做起,才能构建起一个高效、安全的企业信息化网络。
参考文献:
网络环境下保障企业信息的安全性对企业地发展具有重大的、直接的现实意义。深入研究与开发计算机信息安全技术,减少或避免网络信息系统的破坏与故障,对企业发展具有积极的作用。但就现实发展来看,目前企业网络信息安全建设仍处于探索阶段,优化企业网络安全,吸取前沿的安全技术,实现企业网络信息又快又好地发展成为众企业关注的焦点问题。
一、企业网络信息安全的基本目标
企业网络信息安全技术的研究与开发最终目的是实现企业信息的保密性、完整性、可用性以及可控性。具体来讲市场化的发展背景,企业之间存在激烈的竞争,为增强市场竞争力,出现盗取商业机密与核心信息的不良网络现象。企业加强网络信息安全技术开发,一个重要的目的是防止企业关键信息的泄露或者被非授权用户盗取。其次,保障信息的完整性,是指防止企业信息在未经授权的情况下被偶然或恶意篡改的现象发生。再次,实现数据的可用性,具体是指当企业信息受到破坏或者攻击时,攻击者不能破坏全部资源,授权者在这种情况下仍然可以按照需求使用的特性。最后,确保企业网络信息的可控性,例如对企业信息的访问、传播以及内容具有控制的能力。
二、企业网络信息安全面临的主要威胁
根据相关调查显示,病毒入侵、蠕虫以及木马程序破坏是对企业网络信息安全造成威胁的主要原因。黑客攻击或者网络诈骗也是影响企业网络信息安全的重要因素。当然部分企业网络信息安全受到破坏是由于企业内部工作人员的操作失误造成。总之威胁企业网络信息安全的因素来自方方面面,无论是什么原因造成的企业网络信息安全的破坏,结果都会对企业的生产发展造成恶劣的影响,导致企业重大的损失。在信息化发展背景下,企业只有不断提高网络信息的安全性,才是实现企业持续发展的有力保证。
三、企业网络信息安全保护措施现状
当前企业在进行网络信息安全保护方面的意识逐渐增强,他们为确保企业网络信息安全时大都应用了杀毒软件来防止病毒的入侵。在对企业网络信息安全进行保护时,方式比较单 一,技术比较落后。对于入侵检测系统以及硬件防护墙的认识不足,尚未在企业中普及。因此推进企业网络信息安全技术的开发,前提是提高企业对网络信息安全保护的意识,增强企业应用网络信息安全技术的能力,才能有效推动企业网络信息安全技术的开发。
四、促进企业网络信息安全技术开发的对策与建议
(一)定期实施重要信息的备份与恢复
加大对企业网络信息安全技术的研发投入,一个重要的体现是对企业网络信息的管理。企业对于重要的、机密的信息和数据应该定期进行备份或者是恢复工作。这是保障企业网络信息安全简单、基础的工作内容。当企业网络受到破坏甚至企业网络系统出现瘫痪,企业能够通过备份的信息保障生产工作的运行,把企业的损失降到最低。实现企业网络信息安全技术开发的实效性的基础工作是做好企业重要网络信息的定期备份与恢复工作。
(二)构建和实施虚拟专用网络(VPN)技术
以隧道技术为核心的虚拟专用网络技术,是一项复杂的、专业的工程技术。该项技术对于保护企业网络信息安全具有重要意义,并且效果显著。它把企业专用的、重要的信息进行封装,然后采取一定的方法利用公共网络隧道传输企业专用网络中的信息,如此一来可以实现对企业网络信息的保护,避免出现对企业信息的窃取与恶意修改。当然提升虚拟专用网络的兼容性、简化应用程序是企业网络信息安全技术研发重要课题。
(三)完善高效的防火墙技术
在企业内部网与外联网之间设置一道保护企业网络信息安全的屏障,即设置防火墙。这一技术是目前最有效、最经济的保障企业网络信息安全的技术。但由于当前大多数的远程监控程序应用的是反向链接的方式,这就限制了防火墙作用的发挥。在进行企业网络信息安全技术开发过程中,应进一步优化防火墙的工作原理或者研发与之相匹配的远程监控程序,来实现防火墙对企业网络信息安全的保护。
(四)对关键信息和数据进行加密
增强企业对关键信息和数据的加密技术水平也是企业网络信息安全技术研发的主要方面。更新加密技术,是保障企业网络信息安全的重要环节。企业在对重要信息和数据进行加密时可以同时采取一些例如CD检测或者Key File等保护措施,来增强企业重要信息的保密效果。
五、结束语
企业网络信息安全体系的构建是一项系统的、长期的、动态的工程。网络环境下,信息安全技术发展的同时,新的破坏、攻击、入侵网络信息安全的手段也会不断出现。企业只有与时俱进,加大对网络信息安全技术的投入力度,才能加强对企业核心信息与数据的保护。在未来的发展过程中,企业在坚持技术策略与管理策略相结合的原则下,不断升级完善企业网络信息安全系统的开发与建设,不断提高企业的信息化水平。
许梅:国网四川省电力公司广安供电公司三新电力服务有限公司,党支部书记、副总经理,高级工程师。研究方向:信息工程。
关键词:信息安全;威胁;管理模式;桌面终端
在当今的信息时代,我们的生活和工作方式受到信息技术发展的巨大影响,时时刻刻都在发生着改变,而现行企事业单位的管理模式也在这种“大环境”下不断地推陈出新。作为各大国有企事业信息管理部门,必须考虑到当前技术的发展给我们的工作带来的机遇和威胁。
一、当前信息网络的安全形势
目前,几乎所有企业、事业单位、行政部门都面临着内部信息泄漏的问题。FBI对484家公司调查显示:85%的安全损失是由企业内部原因造成的。面对来自于公司内部的安全威胁,很多员工都有切身感受,虽然不会有股票的跌涨刺激感官强烈,但是他们一定遇到过类似的事情。由于粗心误操作造成公司服务器上重要文档丢失;由于没有设定员工在系统内的访问权限,使一些业务秘密出现在本不应有查阅权的员工计算机上,并不小心将其泄露……对于这些来自公司内部的信息安全问题,不是简单的安装了杀毒软件或防火墙就能解决的,单纯的“免疫”手段在“网络风险”、“软件风险”日益严重的今天,都已经不足以让人信任和依赖。
据调查统计,90%以上的计算机终端用户使用的是windows2000,XP或以上的操作系统,而这些系统的安全漏洞及系统缺陷非常多。虽然微软公司会通过定期在网站上安全补丁来弥补这些漏洞,而一些软件公司也会对自己开发的软件进行不断地更新和升级,但由于终端用户缺乏相关知识,导致补丁安装的不及时、不完全,这就会影响终端计算机的安全,从而影响整个内部网络安全。
二、企事业单位网络终端计算机安全现状
大中型企事业单位、政府办公网络,桌面终端计算机数量随着办公的需要不断增多,而出现的网络问题也日趋明显。常见的情况主要有:计算机感染病毒、被安装木马;有些不明程序不断抢占IP地址(ARP病毒)堵塞整个网段,使该网段用户都不能上网。除此以外,部分员工使用公司办公电脑私自从网络上下载海量资源,迅雷、BT、电驴这些下载工具都会抢占网络通道,这样就导致了其他一些用户使用办公电脑办公时网速非常低,严重时网页无法显示,不仅影响了其他员工的工作,还降低了整个公司的工作效率。
这种问题在当下的网络时代普遍存在于现有的企事业单位,尤其是一些已经摆脱了纸张,进入“无纸化”办公的先进单位更为明显。由于难于发现高危计算机,并对其进行定位,因此一旦问题发生,就需要大量的故障排查时间。如果同时有多台计算机感染网络病毒或者进行非法操作,就会造成网络瘫痪,从而致使其他正常网络业务无法使用。
现阶段,所有企业都在努力寻找一种有效的手段来扭转这种严峻的局面,并尽可能地出台大量的信息网络管理规定。例如:禁止在办公计算机内安装BT下载软件,禁止在个人终端设备中安装网络游戏软件,禁止私自更改电脑的安全设置,禁止将外部的电脑接入单位的内部网络等行为。但是,由于缺乏技术和管理手段、考核制度、使用标准、用机规范等,都不能够有效切实地执行,这样就使企业内部的信息网络安全水平很低,衍生了诸多不可控制的安全隐患。
三、通过网络防护与终端防护共筑信息安全长城
以往提起信息安全,人们更多地把注意力集中在防火墙、防病毒、IDS(入侵检测)、网御设备、网络交换设备的管理上,却忽略了对网络环境中的计算单元――服务器、台式机乃至便携机的管理。
近两年的安全防御调查表明,政府、企事业单位中超过80%的管理和安全问题来自终端,计算机终端广泛涉及每个用户,由于其分散性、不被重视、安全手段缺乏的特点,已成为信息安全体系的薄弱环节。因此,随着信息技术的不断进步,网络安全防护的工作重点开始发生转移,安全战场已经逐步由核心与主干的防护,转向网络边缘的每一个终端。网络管理员已经不是信息安全的唯一负责人,计算机终端用户才是信息安全的第一责任人。
四、建设桌面终端安全管理系统的意义
伴随着网络管理业务密集度的增加,在信息安全防护领域兴起了终端桌面安全管理技术。作为网络管理技术衍生的边缘产物,它同传统安全防御体系的缺陷相关联,是传统网络安全防范体系的补充,也是未来网络安全防范体系的重要组成部分。由此看来,终端桌面管理的发展趋势和技术特点,才是信息安全防护趋势的导向。在进行桌面终端安全防护部署时,必须把提升信息安全的关键放在提升计算机终端安全水平上。
如何有效地管理计算机终端成了当前的热点话题,而桌面计算机安全管理系统的应运而生就显得尤为重要了。第一可以通过批量设置计算机的安全保护措施提高桌面计算机的安全性,及时更新桌面计算机的安全补丁,减少被攻击的可能;第二,它还可以实现动态安全评估,实时评估计算机的安全状态及其是否符合管理规定,比如说,评估计算机的网络流量是否异常,评估计算机是否做了非法操作,评估计算机的安全设置是否合理等;第三,通过系统中进行策略的配置,对计算机终端进行批量的软件安装、批量的安全设置等,防止外来电脑非法接入,避免网络安全遭受破坏或者信息泄密;第四,利用桌面系统的高科技手段,能够确保本单位的计算机使用制度得到落实,使“禁止拨号上网,禁止使用外部邮箱,禁止访问非法网站,禁止将单位机密文件复制、发送到外部”等这一系列管理措施得以贯彻和执行;第五,在网络出现安全问题后,桌面终端系统可以对有问题的IP/MAC/主机名等进行快速的定位,便于管理员迅速排查故障;最后一点可以称之为桌面系统的“增值服务”,在保证信息网络安全的同时,还能对计算机的资产进行有效地管理和控制。
这些功能的实现,浅表地说能够持续有效地解决大批量的计算机终端安全管理问题,真正的意义在于能够切实地帮助企业内部各种管理规定有效地执行。如今凭借这些高科技手段,全面提升企事业单位内部信息化工作水平已经不再是纸上谈兵。
五、结语
企事业单位要在信息技术高速发展的今天立于不败之地,就必须结合自身客户的网络结构、终端特点和管理模式,搭建安全、稳固的内部IT架构。而桌面终端安全管理的应用,将极大地提高信息安全系数,使企业信息风险降到最低。
参考文献:
[1] 闫龙川,刘永志,来凤刚.计算机终端安全管理系统及其应用[J].电力信息化,2009,(7).
[2] 马国胜.桌面安全管理系统的应用[J].中国金融电脑,2009,(4).
[关键词]信息安全;管理;控制;构建
中图分类号:X922;F272 文献标识码:A 文章编号:1009-914X(2015)42-0081-01
1 企业信息安全的现状
随着企业信息化水平的提升,大多数企业在信息安全建设上逐步添加了上网行为管理、内网安全管理等新的安全设备,但信息安全防护理念还停留在防的阶段,信息安全策略都是在安全事件发生后再补救,导致了企业信息防范的主动性和意识不高,信息安全防护水平已经越来越不适应当今企业IT运维环境和企业发展的需求。
2 企业信息系统安全防护的构建原则
企业信息化安全建设的目标是在保障企业数字化成果的安全性和可靠性。在构建企业信息安全体系时应该遵循以下几个原则:
2.1 建立企业完善的信息化安全管理体系
企业信息安全管理体系首先要建立完善的组织架构、制定信息安全管理规范,来保障信息安全制度的落实以及企业信息化安全体系的不断完善。基本企业信息安全管理过程包括:分析企业数字化资产评估和风险分析、规划信息系统动态安全模型、建立可靠严谨的执行策略、选用安全可靠的的防护产品等。
2.2 提高企业员工自身的信息安全防范意识
在企业信息化系统安全管理中,防护设备和防护策略只是其中的一部分,企业员工的行为也是维护企业数字化成果不可忽略的组成。所以企业在实施信息化安全管理时,绝对不能忽视对人的行为规范和绩效管理。在企业实施企业信息安全前,应制定企业员工信息安全行为规范,有效地实现企业信息系统和数字化成果的安全、可靠、稳定运行,保证企业信息安全。其次阶段递进的培训信息安全人才也是保障企业数字化成果的重要措施。企业对员工进行逐次的安全培训,强化企业员工对信息安全的概念,提升员工的安全意识。使员工的行为符合整个企业信息安全的防范要求。
2.3 及时优化更新企业信息安全防护技术
当企业对自身信息安全做出了一套整体完善的防护规划时,就应当考虑采用何种安全防护技术来支撑整个信息安全防护体系。对于安全防护技术来说可以分为身份识别、网络隔离、网络安全扫描、实时监控与入侵发现、安全备份恢复等。比如身份识别的目的在于防止非企业人员访问企业资源,并且可以根据员工级别分配人员访问权限,达到企业敏感信息的安全保障。
3 企业信息安全体系部署的建议
根据企业信息安全建设架构,在满足终端安全、网络安全、应用安全、数据安全等安全防护体系时,我们需要重点关注以下几个方面:
3.1 实施终端安全,规范终端用户行为
在企业信息安全事件中,数字化成果泄漏是属于危害最为严重的一种行为。企业信息安全体系建立前,企业员工对自己的个人行为不规范,造成了员工可以通过很多方式实现信息外漏。比如通过U盘等存储介质拷贝或者通过聊天软件传递企业的核心数字化成果。对于这类高危的行为,我们在建设安全防护体系时,仅仅靠上网行为管理控制是不能完全杜绝的。应该当用户接入企业信息化平台前,就对用户的终端系统进行安全规范检查,符合企业制定的终端安全要求后再接入企业内网。同时配合上网行为管理的策略对员工的上网行为进行审计,使得企业员工的操作行为符合企业制定的上网行为规范,从终端用户提升企业的防护水平。
3.2 建设安全完善的VPN接入平台
企业在信息化建设中,考虑总部和分支机构的信息化需要,必然会采用VPN方式来解决企业的需求。不论是采用SSL VPN还是IPSecVPN,VPN加密传输都是通用的选择。对于分支机构可以考虑专用的VPN设备和总部进行IPSec连接,这种方式更安全可靠稳定。对于移动终端的接入可以考虑SSL VPN方式。在这种情况下,就必须做好对于移动终端的身份认证识别。其实我们在设备采购时,可以要求设备商做好多种接入方式的需求,并且帮助企业搭建认证方式。这将有利于企业日常维护,提升企业信息系统的VPN接入水平。
3.3 优化企业网络的隔离性和控制性
在规划企业网络安全边际时,要面对多个部门和分支结构,合理的规划安全网络边际将是关键。企业的网络体系可以分为:物理层;数据链路层;网络层;传输层;会话层;表示层;应用层。各体系之间的相互隔离和访问策略是防止企业信息安全风险的重要环节。在企业多样化网络环境的背景下,根据企业安全优先级及面临的风险程度,做出适合企业信息安全的防护策略和访问控制策略。根据相应防护设备进行深层次的安全防护,真正实现OSI的L2~L7层的安全防护。
3.4 实现企业信息安全防护体系的统一管理
为企业信息安全构建统一的安全防护体系,重要的优势就是能实现对全网安全设备及安全事件的统一管理,做到对整个网络安全事件的“可视、可控和可管”。企业采购的各种安全设备工作时会产生大量的安全日志,如果单靠相关人员的识别日志既费时效率又低。而且不同安全厂商的日志报表还存在很大差异。所以当安全事件发生时,企业管理员很难实现对信息安全的统一分析和管理。所以在企业在构建信息安全体系时,就必须要考虑安全设备日志之间的统一化,设定相应的访问控制和安全策略实现日志的归类分析。这样才能做到对全网安全事件的“可视、可控和可管”。
4 结束语
信息安全的主要内容就是保护企业的数字化成果的安全和完整。企业在实施信息安全防护过程中是一个长期的持续的工作。我们需要在前期做好详尽的安全防护规划,实施过程中根据不断出现的情况及时调整安全策略和访问控制,保证备份数据的安全性可靠性。同时全体企业员工一起遵守企业制定的信息安全防护管理规定,这样才能为企业的信息安全提供生命力和主动性,真正为企业的核心业务提供安全保障。
参考文献
[1] 段永红.如何构建企业信息安全体系[J]. 科技视界,2012,16:179-180.
[2] 于雷.企业信息安全体系构建[J].科技与企业,2011,08:69.
[3] 彭佩,张婕,李红梅. 企业信息安全立体防护体系构建及运行[J].现代电子技术,2014,12:42-45+48.
[4] 刘小发,李良,严海涛.基于企业网络的信息安全体系构建策略探讨[J]. 邮电设计技术,2013,12:25-28.
[5] 白雪祺,张锐锋. 浅析企业信息系统安全体系建设[J].管理观察,2014,27:81-83.
【关键词】企业; 信息安全; 风险评估; 风险控制
引言:
计算机和网络通信相结合的信息技术,是促进当代社会信息化发展的主要力量,为社会上各行各业的发展创造了良好的环境。许多企业在经营与管理中已经引用现代信息技术,从而使经营与管理更为科学,工作效率更高,获得的经济效益也越多。然而现代信息技术是一把双刃剑,信息化的程度越高,由它带来的风险也越大。当前,企业的信息安全风险评估工作存在着一些问题,这些问题对企业的发展造成很多不利的影响。
一、企业信息安全风险概述
对企业来说,信息是维持企业正常运作的必要资源。企业的信息包括重要的数据、企业的发展规划、保密性文件、知识产权等。这些信息一旦被泄露,那么企业将面临着或大或小的经济损失,更严重的还会使企业面临破产的危险。所谓的企业信息安全就是指信息在其生命周期中,它的完整性、保密性和可用性这三个特性的保留情况。如果这三个特性都得到了保障,那么信息的安全性就高;如果其中的某个特性被破坏,那么信息的安全性就低。而信息安全风险就是指信息在特定的环境与特定的时间里可能遭遇的安全威胁。
信息安全风险可以分为可控性风险与不可控风险、可接受风险与不可接受风险、自然风险与人为风险等[1],这些风险给企业的信息安全管理工作带来了更多的不确定因素,加深了工作难度。
二、企业信息安全风险评估的现状与问题
当前,我国企业的信息安全风险评估工作存在着许多问题,给企业的日常经营与管理带来了许多不利的影响。
首先,企业没有树立正确的信息安全观。很多企业的管理者在信息安全问题上会走向两个极端,一种是认为只要加大信息建设的投入,信息就存在绝对安全的可能;另一种是忽视信息安全建设,信息安全风险意识淡薄。很多企业的管理层对信息资产的重要性认识不够,因而他们在保护信息安全方面几乎是无作为。
其次,企业在具体的信息安全风险评估工作中,表现出重安全技术而轻安全管理的思想与行为方式。这些企业在工作过程当中,不论是在心理还是在行为上都过分依赖安全技术,甚至认为只要安全技术过硬,信息安全就一定能够得到保证,为此,企业普遍采用现代通信技术、计算机和网络技术来构建企业信息安全系统。而在安全管理上,出现了管理措施不到位,员工在信息保密上不够严肃等问题,造成信息安全技术做无用功。
此外,企业信息安全风险评估工作还存在着管理制度不够完善、责任划分不够明确等问题。信息安全风险的评估工作需要收集各方面的大量的信息,如此才能增强评估的有效性。而企业由于管理制度不完善、职责划分不明确等问题,造成各部门的工作不配合、不协调。信息技术部门被孤立,信息安全的风险评估工作也就不能得到及时有效的完成。
最后,我国有些企业在信息安全风险评估的技术与方法上落后于时代。现代信息系统越往后发展,结构就越复杂。这要求企业要根据不断变化的信息技术来改进自己的风险管理理念和手段,同时也要吸收国际上的先进信息安全风险评估技术,保障自身的信息安全。
三、企业信息安全风险的控制
企业信息安全问题对企业来说是不应该被忽视的部分,企业应该在经营与管理的每个环节做好信息安全风险的控制工作,使企业的重要信息能够得到充分的保护。企业信息安全风险的控制可以从风险分析、管理控制、技术控制三个方面来进行。
(一)风险分析
在进行信息安全风险控制之前,先对风险进行分析可以使风险控制工作更加具有针对性,能够提高风险控制工作的效率。对风险的分析可以从信息资产面临的威胁、存在的弱点等方面来进行[2]。在风险分析工作中,要明确以下几点:首先是信息安全风险控制工作中需要保护哪些信息,这些信息具有什么样的价值;信息资产面临着哪些潜在的威胁,导致这些威胁产生的根源是什么,威胁发生的几率有多大;信息资产中是否具有漏洞,这些漏洞是否会被人威胁利用;信息资产发生威胁之后,企业会面临多大的损失;企业该采取什么样的措施来应对风险带来的损失,等等。
(二)管理控制
企业信息安全风险控制工作主要从组织管理、人员管理、政策实施等几个方面来进行。首先,企业应该建立信息安全组织机构,吸收组织成员,协调企业内部的各项资源,制定信息安全控制的目标并通过组织成员履行职责来达到目标。其次,企业要培养素质高、责任心强、原则性强,能够遵守企业政策的人员。企业信息安全风险的控制不仅与强大的技术力量有关,而且还有赖于执行人员对信息安全工作的支持与参与。此外,在政策实施上,企业要严格执行相关的信息安全保护政策,比如目前国际通用的《信息技术―信息安全管理实施细则》[1],为企业执行信息安全保护工作提供一个统一的标准,从而使工作能够有序地展开。
(三)技术控制
技术对信息安全控制的影响力是比较大的,它在很大程度上决定了信息安全风险的大小、范围,同时它也决定了修补信息安全漏洞的方式和方法。因此,在技术方面对信息安全风险进行控制是非常有必要的。首先,技术构架的设计应该遵循系统性原则、技术先进性原则、可控性原则、适度性原则等,使技术能够更好地服务于风险控制;其次,要做好安全域的信息安全保障工作,根据不同的安全域所面临的不同风险来进行信息安全保护工作;最后,要提高信息安全保障技术。目前而言,我国的信息安全保障技术与国际上的相比明显处于落后状态,因此,企业要引进先进的技术力量,加强信息安全风险的控制力度。
四、结语
在这个信息化高度发展的社会,任何企业与个人在享受信息化带来的便利的同时,也要承担信息化带来的风险。我国企业在激烈的市场竞争中,不可避免会遇到信息安全上的威胁。因此每个企业都应该做好信息安全的管控工作,认真、严肃地对待当前网络环境下的企业信息安全问题。
参考文献:
[1]谷田.网络环境下的企业信息安全问题研究[D].郑州大学2012
企业经营信息对于企业来说是一种资源,对于企业自身来说具有重要意义,企业需要妥善管理自身企业的信息。近年来,企业的各项经营活动都逐渐开始通过计算机,网络开展,因此,企业的信息安全管理对于企业越来越重要。许多企业开始通过各种技术手段以及制度改革,把更多的注意力放在企业内部的信息安全管理工作,同时将企业信息安全管理与风险控制结合起来,这是一个正确的选择,能够帮助企业实现稳定经营。在介绍企业信息安全管理以及风险控制前必须厘清企业信息安全管理的概念与企业风险控制定义,因此,本节将着重介绍企业信息安全管理的概念以及企业风险控制的定义。
企业的信息安全管理包含十分丰富的内容,简单来说是指企业通过各种手段来保护企业硬件和软件,保护网络存储中的各种数据不受偶然因素的破坏或者恶意的原因被攻击。对于信息安全的认定通过包括4个指标,即保证信息数据的完整,保证信息数据不被泄露,保证信息数据能够正常使用,保证信息数据能够控制管理。要想做好企业的信息安全管理,首先需要了解的是关于信息的传输方式。随着信息技术的不断普及,信息传递的方式越来越多,常见的信息传递方式主要有互联网传播,局域网传播,硬件传播等等。要想实现企业的信息安全管理,其中很重要的一项工作在于保护信源、信号以及信息。信息安全管理是一项需要综合学科知识基础的工作,从事企业信息安全管理工作的人员通过需要具有网络安全技术、计算机技术、密码技术、通信技术。从企业的信息安全管理来讲,最为关键的一项工作时保护企业内部经营信息数据的完整。经过近十年来的企业信息安全管理工作经验总结,企业信息安全不仅仅需要信息技术的支持,更需要通过建立完善的企业风险控制体系来帮助企业实现更好地保护企业信息安全的目标。
所以,怎样把企业信息安全管理与风险控制融合起来就是摆在企业经营管理者面前的一道难题。企业的信息安全风险控制必须通过企业建立完善的企业信息安全风险体系实现。企业的信息安全风险控制是指企业在企业信息安全遭遇威胁之前,提前对企业的信息进行风险预估,并采取一系列的有针对性的活动降低企业面临的信息安全风险,从而尽可能减少因为企业本身信息安全管理中存在漏洞给企业带来不必要的损失。常见的企业信息安全风险体系建立主要包含以下几个方面的内容。第一,建立企业信息安全风险管理制度,明确企业信息安全管理的责任分配机制,明确企业各个部门对各自信息安全所应承担的责任,并建立相应的问责机制。第二,设置规范的企业信息安全风险管理指标,对企业存在的可能威胁企业信息安全管理的漏洞予以风险定级,方便企业管理者对不同的信息安全管理漏洞采取有区别的对策。第三,企业要加强对信息安全管理人员的培训,提高企业信息安全管理工作人员的风险意识,让企业内部从事信息安全管理工作人员认识到自身工作的重要性,让企业内部从事信息安全管理工作人员了解到规范自身行为,正确履行职责的重要性。第四,将企业信息安全管理与风险控制有效融合,重视企业信息安全管理工作,通过风险控制对企业内部信息安全的管理方式进行正确评估,找出现行的企业内部信息安全管理手段中存在容易忽视的地方。
二、企业信息安全管理与风险控制存在的不足
1.企业信息安全管理工作人员素质不高
对于企业来说,企业信息安全管理工作是一项极为重要而隐秘的工作,因此,必须增强对企业信息安全管理工作人员的素质要求。但是根据调查统计,目前很多企业对信息安全工作的管理仅仅停留在对企业信息安全管理工作人员的技术要求上,对企业信息安全管理工作人员的道德素养,职业素养,风险意识并没有严格要求。此外,绝大多数企业并没有意识开展对企业信息安全管理工作的道德素质的教育培训,并没有通过建立相关管理制度以及问责机制对企业信息安全管理工作人员实行监督,这无疑给别有用心或者立场不坚定的企业信息安全管理工作人员留下了危害企业信息安全的可乘之机。
2.企业信息安全管理技术不过关
企业信息安全管理工作涉及多许多技术,包括信息技术,计算机技术,密码技术,网络应用技术等等,应当说成熟的计算机应用技术是做好企业信息安全管理的基础,但是,现实是许多企业的信息安全管理技术并不过关,一方面企业的信息安全管理硬件并不过关,在物理层面对企业信息缺乏保护,另一方面,企业信息安全管理工作的专业技术没有及时更新,一些企业信息安全管理工作人员缺乏企业信息安全管理的实践经验,企业信息安全管理的知识也并没有及时更新,从而导致企业的信息安全管理理论严重滞后,这种技术的落后很容易让企业成为不法分子的攻击对象。近年来网络病毒的传播越来越猖狂,很多服务器、系统提示安全补丁的下载更新以及客户端的时常更新成为一个恼人的问题。作为一个行业中的大中型企业,企业内部设备数量比较多,尤其是客户端数量占了较大比重,仅仅靠少数几个管理员进行管理是难以承担如此大量的工作量。另外,企业信息安全管理系统不成熟也是一个重大的隐患。
3.企业信息安全管理制度不健全
企业信息安全管理制度不仅仅需要理论制度的完善,更加需要一系列配套监督机制保障企业信息安全管理的有效执行。通过调查分析,许多企业虽然建立了企业信息安全管理制度,但是通常情况下,这些制度只能流于形式,企业信息安全管理工作缺少有效的制约和监督,企业信息安全管理工作人员缺乏执行力。企业信息安全管理制度不健全,企业信息安全管理工作缺乏执行力常常体现在以下几个方面。第一,企业员工对于信息安全管理的认识严重不足,对企业信息安全管理工作不重视。企业内部计算机系统安全的计算机防病毒软件并没有及时更新,使用,甚至企业内部计算机的防病毒软件还被企业员工卸载了。部分企业员工认为自己的工作与企业信息安全管理不相关,认为做好企业信息安全管理工作仅仅是企业信息安全部门的事。第二,企业内部信息安全管理制度并没有形成联动机制,企业信息安全管理工作仅仅由企业信息安全部门“一人包干”,企业信息安全反映的问题并没有得到积极的反馈,一些企业领导对企业信息安全现状所了解的少之又少。
三、企业信息安全管理常见的技术手段
1.OSI安全体系结构
OSI概念化的安全体系结构是一个多层次的结构,它的设计初衷是面向客户的,提供给客户各种安全应用,安全应用必须依靠安全服务来实现,而安全服务又是由各种安全机制来保障的。所以,安全服务标志着一个安全系统的抗风险的能力,安全服务数量越多,系统就越安全。
2.P2DR模型
P2DR模型包含四个部分:响应、安全策略、检测、防护。安全策略是信息安全的重点,为安全管理提供管理途径和保障手段。因此,要想实施动态网络安全循环过程,必须制定一个企业的安全模式。在安全策略的指导下实施所有的检测、防护、响应,防护通常是通过采用一些传统的静态安全技术或者方法来突破的,比如有防火墙、访问控制、加密、认证等方法,检测是动态响应的判断依据,同时也是有力落实安全策略的实施工具,通过监视来自网络的入侵行为,可以检测出骚扰行为或错误程序导致的网络不安全因素;经过不断地监测网络和系统来发现新的隐患和弱点。在安全系统中,应急响应占有重要的地位,它是解决危险潜在性的最有效的办法。
3.HTP模型
HTP最为强调企业信息安全管理工作人员在整个系统中的价值。企业信息安全工作人员企业信息安全最为关键的参与者,企业信息安全工作人员直接主导企业信息安全管理工作,企业信息安全工作人员不仅仅是企业信息安全的保障者,也是企业信息安全管理的威胁者。因此,HTP模型最为强调对企业信息安全管理工作人员的管理与监督。另外,HTP模式同样是建立在企业信心安全体系,信息安全技术防范的基础上,HTP模式采取了丰富的安全技术手段确保企业的信息安全。最后,HTP强调动态管理,动态监督,对于企业信息安全管理工作始终保持高强度的监督与管理,在实际工作中,通过HTP模型的应用,找出HTP模型中的漏洞并不断完善。
四、完善企业信息安全管理与降低风险的建议
1.建设企业信息安全管理系统
(1)充分调查和分析企业的安全系统,建立一个全面合理的系统模型,安全系统被划分成各个子系统,明确实施步骤和功能摸块,将企业常规管理工作和安全管理联动协议相融合,实现信息安全监控的有效性和高效性。
(2)成立一个中央数据库,整合分布式数据库里的数据,把企业的所有数据上传到中央数据库,实现企业数据信息的集中管理与有效运用。
(3)设计优良的人机界面,通过对企业数据信息进行有效的运用,为企业管理阶层人员、各级领导及时提供各种信息,为企业领导的正确决策提供数据支持,根本上提高信息数据的管理水平。
(4)简化企业内部的信息传输通道,对应用程序和数据库进行程序化设计,加强对提高企业内部信息处理的规范性和准确性。
2.设计企业信息安全管理风险体系
(1)确定信息安全风险评估的目标
在企业信息安全管理风险体系的设计过程中,首要工作是设计企业信息安全风险评估的目标,只有明确了企业信息安全管理的目标,明确了企业信息安全管理的要求和工作能容,才能建立相关围绕信息安全风险控制为目标的信息安全管理工作制度,才能顺利通过对风险控制的结果的定量考核,检测企业信息安全管理的风险,定性定量地企业信息安全管理工作进行分析,找准企业信息安全管理的工作办法。
(2)确定信息安全风险评估的范围
不同企业对于风险的承受能力是有区别的,因此,对于不同的企业的特殊性应该采取不同的风险控制办法,其中,不同企业对于能够承受的信息安全风范围有所不同,企业的信息安全风险承受范围需要根据企业的实际能力来制定。不仅如此,企业的信息安全风险评估范围也应当根据企业的实际经营情况变化采取有针对性的办法。
关键词:电力企业;信息安全;管控平台;初步设计
中图分类号:TP31 文献标识码:A
随着我国社会经济不断地发展,人们的生活水平不断地提高,我国电力企业得到高速发展,为满足人们所提出的高要求,适应社会主义市场经济体制的发展,电力企业必须转变管理模式,采用现代化的管理手段,以寻求更好的发展。如今,计算机信息技术已被广泛应用于社会各个领域中,具有重要的作用。电力企业在发展过程中,其规模越来越大,信息化的应用也有所突破,但仍然存在问题。为使信息化技术在电力企业中得到高效的应用,保障电力企业的信息安全,则必须建设电力企业信息安全管控平台,以有效的控制电力企业的信息,充分发挥管控平台的功能。
一、创建电力企业信息安全管控平台的重要性
随着我国电力企业的蓬勃发展,其经营规模越来越大,在企业中充分利用信息技术,以使电力企业具有时代特点。近几年,计算机信息网络技术不断地改进和完善,逐渐成为我国社会生活生产中不可或缺的一部分,其在电力企业中的应用推动了电力企业的现代化发展,但与此同时其也为电力企业的信息安全带来了挑战。现阶段,电力企业的信息安全问题已成为其发展过程中的亟待解决的重要研究课题。在电力企业中,由于其各级别的单位难以解决网络分散性问题,无法有效地规避信息安全事件所带来的高风险。在电力企业管理中无法全面的掌握企业信息安全状况,缺少可靠的依据来开展风险评估工作,未能进行实时跟踪监督,导致其难以制定科学的安全预警方案。鉴于这种情况,电力企业必须加强内部控制管理,做好事前预防、事中控制和事后监督。为实现有效的电力企业现代管理,必须创建具有实用性的电力企业信息安全管控平台。这个平台能让电力企业实施可靠的安全监督,进行合理的安全预警工作,可促使电力企业做好风险评估工作,开展高效的监督工作,对企业信息进行统一管理,以建立完善的信息安全风险管理体系,从而提高电力企业信息安全管理水平。
二、电力企业信息安全管控平台的初步设计
1电力企业信息安全管控平台的设计原则
在设计电力企业信息安全管控平台时,要遵循以下原则:首先,所创建的信息安全管控平台必须满足电力企业发展的需求,要以现代电力企业的管理体制为依据来创建,以保障信息安全管控平台的可实行性;其次,电力企业信息安全管控平台的设计需要先进的技术措施和科学的管理方法来支持,因而设计前,必须慎重的选择技术和管理的实现方式;最后,电力企业所创建的信息安全管控平台,其自身必须具有一定的安全性,为平台在企业中的应用提供重要的保障。除此之外,在信息安全管控平台的设计过程中,要先了解平台工具的特殊性能,并以此为基础来设计与之配套的功能服务,例如数据初始化,以保障信息安全管控平台的顺利运行。
2根据不同的角色来设计管控平台
电力企业信息安全管控平台的建设,必须与其企业的组织结构相配合。在设计管控平台的时候,应该对不同角色的职能需求进行分析。对于上级信息安全主管单位,其所需要的是能全面掌握信息安全的动态,了解信息系统安全的状况,做好网络环境评估工作,主要功能是协调和监督;对于本地信息安全实施单位和主管单位,前者主要是设立安全运维人员等人来保障解本地信息安全,而后者则是全面了解企业信息安全状况并且进行有效的细条;对外部信息安全支持单位,其主要是负责对企业信息安全实施监督和控制,以做好应急工作;对于应急联动和专家机构,其职责在于为企业信息的安全提供技术保障。
3信息安全管控平台在电力企业中的实现
信息安全管控平台在电力企业中运行时,主要分为这几个模块:第一,基础安全数据管理模块,这一部分主要是的对企业信息系统中所产生的各类数据,如服务器的基本信息,安全配置知识库等数据资料进行整合和储存,具有查询和修改的功能;第二,预案管理模块,这一部分主要是用来对电力企业中的各级单位进行原的编制、和更新等。值得注意的是要为应急预案编制工作和审批制定统一的标准,加以规范。在预案管理部分,可充分利用工作流引擎来执行应急预案,以突出应急预案的作用和其有效性;第三,风险评估模块,在这一部分主要是为信息安全风险评估工作提供可靠的数据信息作为依据,以根据矩阵型风险计算方式计算出风险,并制定出相应措施;第四,业务影响分析模块,这一部分的功能与风险评估模块的职责差不多,也是响应急预案提供有效信息,但是其在此过程中还必须注意信息系统业务之间的不同之处;第五部分是公告管理模块,这一部分主要是提供浏览、查阅和管理等功能;第六。预警管理模块,由两个部分组成,一个是漏洞预警管理,另一个则是威胁预警管理,这两个部分的级别分别是高、中、低;第七,安全事件管理模块,这一部分是对信息安全事件进行处理;第八,信息安全状况监视模块,包括了宏观态势监视和应急监视。
结语
在电力企业中建立信息安全管控平台,是保障电力企业信息安全的重要途径,具有重要意义。电力企业信息安全管控平台的建设是为了加强电力企业信息化程度,必须科学的制定设计方案,使其符合现阶段电力企业的发展现状和电力企业的发展特点。在电力企业中运行信息安全管控平台,有利于及时发现信息安全中存在的问题,并加以解决,能确保企业信息的真实性、完整性和有效性。这种信息安全管控平台的创建有其必要性,对电力企业的发展起到重要的影响作用,必须予以高度重视。总而言之,对电力企业信息安全管控平台的研究具有重要的意义,而这一平台的运行则具有较高的使用价值。
参考文献
[1]樊凯.电力企业信息安全管控平台设计与实现[J].现代计算机:下半月版,2012(17) .
[2]李正忠.电力企业信息安全网络建设原则与实践[J].中国新通信,2013(9) .
港口信息安全保障应贯穿在港口信息系统的整个生命周期中。港口信息安全保障的工作者应针对港口信息系统的发展特点,通过对港口信息系统的风险分析,制定并执行相应的安全保障策略,从多角度、多层面提出港口信息安全保障要求,确保港口信息系统的保密性、完整性和可用性,将安全风险降至最低或可接受的程度。港口信息化发展重点主要在于对外的数据交换和服务。港口信息安全风险主要来自于港口信息系统自身存在的漏洞和系统外部的威胁。为最大化控制该风险,港口信息系统安全保障工作者应在信息安全保障策略体系的指导下,设计并实现港口信息安全评价体系架构或模型,港口信息安全评价体系的制定应反映港口企业对信息系统安全保障及其目标的理解,其制定和贯彻执行对信息系统安全保障起着纲领性指导作用。港口信息安全评价体系应选用一种折中的机制,在有限资源前提下实现最优选择。防范不足会造成直接的损失,防范过多又会造成间接的损失,在解决或预防安全问题时,要从经济、技术、管理的可行性和有效性上做出权衡和取舍。从现代港口企业信息安全保障工作者的视角出发,其工作层面无外乎对港口信息安全保障的战略管理、常态监管和应急响应。战略管理体现其信息安全战略的先进性,表现在港口企业对信息安全战略规划的制定情况、港口信息安全管理部门的战略地位和港口企业对信息安全工作的资金保障力度等。这些评价能反映港口企业对信息安全的重视程度,预见港口企业信息安全工作未来的发展前景。常态监管主要指港口信息安全战略的具体执行情况,包括基于对港口业务风险的认识,建立、实施、操作、监视、复查、维护和改进信息安全等一系列管理活动,具体表现为计划活动、目标与原则、人员与责任、过程与方法、资源等诸多要素的集合。应急响应主要包括在一些紧急、无预测的危机下,快速应对、解决问题的能力,度过危机以减少损失或者把损失降低到最低程度。
2现代港口信息安全评价指标体系框架
为了让指标体系更加科学、全面、综合,力争每个门类的指标定量、定性相结合,笔者选用了工作层面、保障要素、指标类型作为现代港口企业信息安全保障指标体系框架的3个维度。
3评价指标
按照评价指标体系框架,采用第一维度、第二维度、第三维度逐个相交的方式,对各评价点进行分解,可以设计出适应现代港口企业信息安全保障工作的评价指标体系。为了让指标体系更加科学、可操作,笔者在对上海港、黄骅港等大中型港口调研的基础上,梳理分析,设计出一套普适性较强的评价指标体系。该体系能够较客观、准确、全面地反映港口信息安全工作水平,供港口企业信息安全保障工作者参考。
4结语
1)信息安全评价体系对于现代港口评价信息安全保障工作的完备性,最大化降低、控制信息安全风险,减少技术故障、网络攻击等安全问题对业务带来的影响具有十分重要的作用。
2)以现代港口企业信息安全保障工作为研究对象,遵循科学全面、简单可操作、向导性原则,从工作层面、保障要素、指标类型出发,设计了一套三维评价指标体系框架,并结合国家对港口企业信息安全的相关要求,分析出56个具体指标,提出了评价指标的量化方法和计算方法,可为港口企业信息安全自评价提供参考。
