时间:2023-10-11 10:17:42
导语:在企业信息安全意识的撰写旅程中,学习并吸收他人佳作的精髓是一条宝贵的路径,好期刊汇集了九篇优秀范文,愿这些内容能够启发您的创作灵感,引领您探索更多的创作可能。
>> 企业移动信息化安全不可小觑 移动安全:企业移动信息化发展的保障 警惕移动信息化的安全隐患 试论4G时代的智能终端信息安全 企业移动信息化浪潮 BYOD时代的移动信息安全 关于3G移动信息化平台的行业应用研究 4G时代的移动互联应用研究 4G移动互联网时代的思考 基于4G时代移动互联网的探讨 高校移动信息化建设探讨 电力科研企业移动信息化模式研究 企业移动信息化建设全面加速 助力企业移动信息化转型 智能机爆棚时代的企业移动信息化分析 4G移动通信技术的安全缺陷分析 4G移动通信系统的安全机制研究 天畅信息:做企业移动信息化的领跑者 4G网络及其应用对城市信息化发展的促进 对4G移动通信技术的探讨 常见问题解答 当前所在位置:l.
[3] 熊小明,周民立. 电信基础数据网络的现状及发展分析[J]. 信息网络, 2005(10): 42-45.
[4] 陈涛,彭劲. 二层MPLS VPN技术与部署[J]. 广播电视信息, 2010(7): 52-54.
[5] 李洪,渠凯. SSL VPN安全方案与发展趋势分析[J]. 电信技术, 2011(1): 72-74.
[6] 易观智库. 中国企业级移动管理市场专题研究报告[Z]. 2014.
[ 7 ] 易观智库. 中国手机安全市场现状研究报告2014
[Z]. 2014.
[8] 移动信息化. EMM六大移动管理元素[EB/OL]. (2015-02-11). .
[9] 移动信息化. MDM存缺陷 EMM为BYOD安全护航
关键词:供水企业?信息安全?安全管理
中图分类号:F29 文献标识码:A文章编号:1672-3791(2012)02(c)-0000-00
1 前言
当前,随着网络和信息化建设的不断发展,企业对信息网络的依赖越来越强,供水企业也不例外。供水企业信息安全问题关系到供水系统的稳定和安全运行。目前,供水企业的信息安全风险主要来自于两个方面,即内部和外部的因素。内部威胁主要为企业信息安全管理问题;外部因素主要包括因病毒、黑客、恶意软件等造成的数据丢失,系统运行失常等问题。本文围绕着这两个方面的因素,就供水企业的信息安全问题进行探讨。
2 供水企业面临的信息安全威胁
2.1 计算机病毒的传播
计算机病毒的传播是带来企业信息安全风险的因素之一。自上世纪九十年代以来,计算机病毒以迅猛的增长速度危害着个人用户和企业用户,给企业和个人造成了严重的经济损失。目前,随着智能手机的普及,一种新型的病毒,即手机病毒也开始威胁到企业的信息安全。
2.2 企业内部网络受到黑客攻击
黑客对企业内部网络的攻击是带来企业信息安全风险的因素之二。由于Internet具有自由行和广泛性,而供水企业一般又建立了企业内部网络。当企业内部网络与Internet发生间接或直接关联的时候,企业内部网络就有可能成为黑客攻击的目标,从而泄露或丢失一些重要的企业信息,或使企业内部网络处于失常或瘫痪的状态。
2.3 企业安全管理的不足
企业的信息系统不够健全,企业员工的安全意识薄弱,这也是造成企业信息安全威胁的因素。在信息机构设置方面,供水企业缺乏规范的机构体制,相关的专业技术人员偏少。同时,很多供水企业对相关的专业技术人员缺乏系统的专业培训,使得企业员工缺乏必要的安全意识,“防黑防毒”意识淡薄,对一些恶意攻击也缺乏警惕性,有的甚至因为操作失误而给各种信息安全威胁带来了可能。
3 供水企业信息安全建设
3.1 采用防水墙技术
防水墙是保障企业信息安全的有效手段。通过控制进出供水企业网络的权限,监控网络数据流,检查所有的数据连接,防水墙技术可以有效地控制和管理对企业网络系统的访问控制和安全管理,隔离和过滤危险数据包,防止企业网络受到黑客和病毒的破坏与干扰。同时,由于所有的访问都得通过防火墙,防火墙还能实时记录和统计网络访问,这对企业信息安全管理人员管理维护企业网络提供了有利条件。
3.2 采用入侵检测技术
防火墙可以限制对企业网络系统的非法访问或攻击,检测并防御非法访问。然而,防火墙无法防止企业网络内部用户之间的攻击不经过防火墙。因此,在采用防火墙的同时,有必要用入侵检测技术。入侵检测技术(Intrusion-detection?system),简称IDS,?是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它能够分析通过网络收集的信息,检测并识别出恶意行为,及时有效地发现网络异常,检测出网络中违反安全策略的行为。如果说防火墙是一幢大楼的门卫,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。除了简单的记录和发出警报之外,IDS还可以进行主动反应:打断会话,和实现过滤管理规则。所以说,要确保供水企业网络处于安全的状态,入侵检测技术也是必不可少的,它是防火墙技术的一个有效的补充。
3.3 采用VPN技术
VPN(Virtual?Private?Network),即虚拟专用网,是通过一个公用网络(通常为Internet)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。它主要是通过路由器、防火墙技术、隧道技术,安全秘钥以及加密协议而组建成的Internet?VPN。它是对企业内部网络的扩展,通过VPN可以在企业分支机构,合作伙伴、供应商或远程用户与企业内部网络之间建立可靠的安全连接,向他们提供安全而有效的信息服务,保证数据的安全传输,实现企业网络安全通信的虚拟专用线路,使得外部非法用户无法访问公司内部信息。与此同时,VPN技术还可以极大降低企业信息共享的成本。
3.4 加强企业员工的安全管理
实现供水企业的信息安全,除了做好技术防护之外,还得加强企业内部员工的安全管理。做好技术防护并不意味着一劳永逸,企业员工的信息安全管理也是至关重要的。加强企业关公的安全管理需做好以下几点:1)增强企业员工的安全意识。员工的安全意识淡薄是造成企业信息安全风险的一大因素。为保障企业信息安全,供水企业需对员工进行企业网络系统的专业培训与教育,掌握信息安全问题的基础知识与常识,提高对外部恶意攻击和病毒的警惕性,加强安全防护意识,能及时发现并处理常见的安全问题。2)健全企业信息安全管理规章制度。根据供水企业的实际情况,建立健全的信息安全管理制度,如网络系统使用规范、机房管理制度、保密制度、值班制度、设备维护制度等。企业员工必须遵照相关管理制度,明确职责,按照相关用户口令或操作口令,确保日常操作符合信息安全规章制度,最大限度地防止人为失误或违规操作带来的信息安全问题。3)配置专门的企业信息安全管理技术人才。在互联网高速发展的几天,没有绝对的信息安全。企业需配置专门的信息安全管理人员,在及时有效地处理企业信息安全风险的同时,增强企业信息安全管理的人才储备,加强信息安全技术管理队伍,培养弓虽企业网络系统硬件和软件的开发设计人才,掌握保障企业信息安全的核心技术。
4 结 语
本文以供水企业为例,对企业的信息安全风险进行了分析,认为计算机病毒的传播,黑客对企业内部网络系统的攻击以及企业在员工安全管理方面的不足是造成供水企业信息安全问题的三大原因。因此,要保障信息安全,供水企业需在技术和管理两方面下功夫。在技术方面,企业可采用防火墙技术、入侵检测技术和VPN技术。在管理层面上,企业需增强员工的安全意识,建立健全企业信息安全管理规章制度,配置专门的信息安全管理技术人才。
参考文献
[1]丁丽川,曹晖.计算机网络信息安全探析[J].?科技创新导报.?2010(35):28.
[2]范红,冯登国.?信息安全风险评估方法与应用[M].?北京:清华大学出版社,2006.
关键词:信息安全;管理体系;PKI/CA;MPLS VPN;基线
在供电企业现代信息技术广泛运用生产经营、综合管理之中,实现资源和信息共享,为领导提供相关辅助决策。保障企业信息安全是企业领导层、专业人员及企业全员共同面对的。信息安全是集管理、人员、设备、技术为一体系统工程,木桶原理可以很好地诠释信息安全,一个企业安全不取决于最强项,而取决最短板。信息安全需从制度建设、体系架构、一体化防控体系、人员意识、专业人员技术水平等多方面共同建设,才能有效提高企业信息安全,才能为企业生产、经营保驾护航。
1基层供电信息安全现状
基层供电企业信息安全建设方面,在制度建设、安全分区、网络架构、一体化防护、人员意识、专业人员技术水平等多方面存在不同程度问题。
1.1管理制度不健全,制度多重化
信息安全制度建设方面较为被动,大多数都是现实之中出现某一问题,然后一个相关制度,制度修修补补。同一类问题有时出现不同管理规定里,处理办法不一,甚至发生冲突。原有信息安全管理制度宽泛,操作性较差。信息系统建设渠道不同,未提前进行信息安全方面考虑,管理职责不明,导致部分信息安全工作开始不顺畅。
1.2安全区域划分不明,网络架构不清晰
基层供电企业系统建设主要由上级推广系统和自建系统,系统建设时候相当部分系统未充分考虑系统,特别是业务部门自建系统更甚。网络建设需要什么就连接什么,存在服务器、终端、外联区域不明显,网络架构不清晰。
1.3未建立一体化安全防护体系
从近些年已经发生的各类信息安全事件来看,内部客户端问题造成超过将近70%。内部终端用户网络行为控制不足,存在网络带宽滥用;终端接入没有相应准入控制,不满足网络安全需求用户接入办公网络,网络环境安全构成极大风险;内部人员对核心服务器和网络设备未建立统一内部控制机制;移动介质未实施注册制管理等问题。
1.4未建立行之有效设备基线标准
网络安全设备、操作系统、数据库、中间件、应用系统等厂家为了某种方便需求,在设备和系统中常常保留有默认缺省安全配置项,这些恰恰是别人利用漏洞。基层供电企业在部署设备和系统时,没有统一基线标准,没有对设备和系统进行相应基线加固,企业存在潜在风险。
1.5信息安全意识较差,技术水平参差不齐
企业信息安全认识存在认识上误区,常常认为我们有较强信息安全保护设备,外部不易攻破内部,事实上堡垒常常是从内部攻破的。比如企业员工弱口令、甚至空口令、共用相同密码、木马、病毒、企业机密泄露等,这恰恰是基层供电企业全员信息安全意识较为薄弱表现。专业技术人员缺乏必要自我学习和知识主动更新,未取得专门信息安全专业人员资质,处理问题能力表现参差不齐。
2必要性
信息安全为国家安全重要组成部门,电力企业信息安全为国家信息安全的重要元素,电网安全事关国计民生。2014年2月,国家成立中央网络安全和信息化领导小组,将网络信息安全提升前所未有高度。近年发生的“棱镜门”事件,前几年发生伊朗核电站“震网”病毒(Stuxnet病毒)网络攻击,其中一个关键问题就是利用移动介质摆渡来进行攻击,造成设备瘫痪,这一系列信息安全事件都事关国家安全,因此人人都要有信息安全意识。首先要防止企业机密数据(财务、人资、投资、客户等)泄漏;其次,保持数据真实性和完整性,错误的或被篡改的不当信息可能会导致错误的决策或商业机会甚至信誉的丧失;最后,信息的可用性,防止由于人员、流程和技术服务的中断而影响业务的正常运作,业务赖以生存的关键系统如失效,不能得到及时有效恢复,会造成重大损失。建立严格的访问控制,前面数据分级时有制定数据的“所有者”及给敏感数据进行分级,按照分级的要求制定严格的访问控制策略,基本的思想是最小特权原则和权限分离原则。最少特权是给定使用者最低的只需完成其工作任务的权限;权限分离原则是将不同的工作职能分开,只给相关职能有必要让其知道的内容访问权限。通过对内部网络行为的监控可以规范内部的上网行为,提高工作效率,保护企业有限网络资源应用于主要生产经营上来。
3特点探析
通过我们对基层供电企业在信息安全存在问题及必要性来看,主要是管理制度、网络信息安全技术、人员意识等方面存在问题,有以下特点。
3.1管理制度方面
常说信息安全“三方技术、七分管理”,制度建设对信息安全保障至关重要。信息安全管理制度应该有上级主管部门建立一套统一管理制度,基层供电企业遵照执行,可以根据各单位具体情况进一步细化,让管理制度落地。从企业总体信息安全方针到具体专业制度管理上,实现全网一体化,规范化。
3.2网络信息安全技术方面
上级专业主管部门,站在企业高度,制定专业技术标准和技术细则。从网络安全分区、网络技术架构、互联网接入和访问方式、终端安全管理、网络准入控制等方面统一规划,分布实施,最终实现企业网络信息安全防控一体化。
3.3信息安全意识培养方面
企业员工信息安全意识培养是个长期的过程,不是通过一次两次培训就能解决的,采取形式多样化方式来培养员工安全意识,可以通过集中培训讲课、视频宣传、张贴宣传画等方式进行。针对专业人员,要让他们养成按照制度办事习惯,用户需要申请某项资源,严格按照制度执行,填写相应资源申请,有时候领导打招呼也要按照制度流程来执行。长此以往,人人都会知道自己该做什么,不该做什么,该怎么做,企业信息安全意识就会得到极大提高。
3.4专业技术人员水平方面
信息安全技术日新月异,不学习就落后,不断收集信息安全方面信息,共同讨论相关话题,建立相应培训机制,专业人员实行持证上岗,提升专业人员实际解决问题能力,有效提高人员专业素养,成为企业信息安全方面专家。
4实施和开展
从2009年开始,先后进行一系列信息安全建设,涉及到信息安全制度建设、网络信息安全体系架构、信息安全保障服务、人员培训等方面,整体提高基层供电企业信息安全状况。
4.1信息安全制度建设
2010年开始信息安全体系ISO27001、27002建设,结合企业情况,形成30个信息安全相关文件,涵盖企业信息安全方针、等级保护、人员管理、机房管理、网络信息系统运行维护管理、终端安全、病毒防护、介质管理、数据管理、日志管理、教育培训等诸多方面。2013年为进一步提示公司信息化管理水平,先后增加修改建设管理、实用化管理、项目管理、信息安全管理、运维管理、综合管理5个方面14个管理细则。经过这一系列制度建设,基层供电企业有章可循,全网信息安全依据统一,明确短板情况。
4.2建设一体化网络与信息安全防控
首先依据电监会5号文件要求,网络架构按照三层四区原则进行部署建设,生产实时控制大区(Ⅰ、Ⅱ区)与信息管理大区(Ⅲ、Ⅳ区)之间采用国家强制认证单向数据隔离装置进行强制隔离,网络架构采用核心、汇聚、接入部署。网络接入按照功能划分服务器区、网管区、核心交换区、用户办公区、外联区、互联网接入区,在综合数据网上,利用MPLSVPN,根据划分不同VPN业务、隔离相互间数据交叉。建立全网PKI/CA系统,构建企业员工在企业数字身份认证系统,已建成系统进行未采用PKI登陆系统,进行相应改造结合PKI/CA系统,采用PKI登陆,在建系统用户登陆必须集成PKI登陆。根据企业信息安全要求,进行互联网统一出口,部署统一互联网防控设备,建立统一上网行为管理策略,规范员工上网行为,合理使用有限互联网资源,审计员工上网日志,以备不时之需。建立企业统一病毒防护系统,实现病毒软件统一安装,病毒库自动更新,防护策略统一下发,定期统计病毒分布情况,同时作为终端接入内网必备选项,对终端病毒态势比较严重用户进行督促整改,有效防止病毒在企业内部蔓延,进一步进化内网环境。建立统一网络边界安全防护,在企业内网边界合理部署防火墙、IPS、UTM,并将其产生日志发送到统一安全管理平台,进行日志管理分析,展现企业内部信息安全态势,预警企业内部信息安全存在问题。利用AD域或PKI/CA进行用户身份认证,建设统一桌面管理,所有内网用户必须满足最基本防病毒、安全助手、IT监控要求方可接入内网,系统启用强制安全策略,终端采用采用DHCP,用户不能自动修改IP地址,在DHCP服务器上实现IP与MAC地址及人员绑定,杜绝用户私自更换IP地址引起冲突。安全认证方面可以采用NACC或交换机802.1x方式进行,不满足要求用户,自动重定向到指定网站进行安全合规性检查,满足要求后自动接入内网,强制所有用户采用统一网络安全准入规则。实行移动介质注册制,极大提高终端安全性,有效保护企业信息资产。建立内部运维控制机制,实现4A统一安全管理,认证、账号、授权、审计集中管控。规划统一服务器、网络设备资源池,按照用户需求,提交相应申请材料,授权访问特定设备和资源,并对用户访问行为全程记录审计。
5结语
一、目前企业网络信息安全管理中存在的问题
目前各级供电企业对信息安全日趋重视,但主要侧重于防备外来未授权用户的非访问,并过于注重如防火墙、入侵检测等技术问题,忽略了信息安全中人的管理,造成了几个突出问题:
1、人员安全意识淡薄
由于系统的专业教育与培训不足,许多专业技术人员仍然抱着“防火墙等于安全”的侥幸心理,缺乏“防黑防毒”的意识和内部员工操作失误或恶意攻击的警惕性,对信息安全采取的防护措施非常简单。大多数信息系统使用员工对信息安全知识和技能掌握不够,认为信息安全只是技术部门的事,安全防护意识不强。
2、网络信息机构不健全
有些供电企业没有专门的信息技术运行机构或没有规范的建制和岗位,人员配置又偏少,而且信息系统架构的分散也导致人力资源不集中,信息战线拉得大长,几乎没有时间关注信息安全。由于IT技术发展很快,基层信息技术人员得不到相应的培训,难以对日新月异的IT技术中有关主机、操作系统、数据库、网络、存储、安全等方面作全面的了解和掌握,运行维护能力低下,系统安全监控不到位。
3、网络信息安全管理专业化程度不够
大多数基层供电公司缺乏专门的信息安全监督管理机构,或者没有配备专业的信息安全监督管理人员,或者只设兼职。由于缺乏信息安全管理专业知识和技能,对信息安全特殊性认识不足,难于发挥有效的信息安全监督管理,使信息安全管理工作处于一种似管非管或基本不管的真空状态。
4、管理制度滞后且执行不力
随着国网公司集中集成工作的展开和信息网络基础建设不断加强,原有的信息安全管理制度已相对滞后,而且有些制度不完全适合基层实际,个别条款操作性较差,难于执行,这就造成制度执行不力、有章不循、违规操作,这些都增加了信息安全风险。
二、加强企业网络信息安全管理的几点建议
1、加强全员网络信息安全意识教育
通过普及信息安全知识教育,提高企业员工网络信息安全知识和安全意识,掌握发现、解决某些常见安全问题的能力。信息安全教育的具体内容一般应包括以下内容:(1)信息安全所面临的风险;
(2)企业信息安全方针及目标;
(3)企业安全管理规章制度;
(4)与信息安全有关的其它内容。通过安全教育使所有员工增强整体信息系统的安全防护意识。
2、加强企业员工相应技能培训
为了确保企业员工在日常工作过程中具有保护企业信息安全方面的能力,应当加强对员工计算机安全技能培训,教育员工平时应做到所有操作应符合规定、不得向他人泄露自己的操作口令、不访问陌生的网站、不浏览或打开一些来历不明的邮件及附件、外来光盘、U盘等存储设备须先杀毒后使用、发现问题立即通知技术人员处理等基本的安全技能。
3、健全信息技术部门建设
根据需要合理配置信息技术人员,加强信息技术队伍建设,明确机房管理员、网络管理员、应用系统管理员、数据库管理员、防病毒管理员、运行维护员等岗位配置,重要岗位设置A、B岗,落实岗位职责具体到人。对技术人员应注重技术培训,可以定期或不定期参加各种针对性的技术培训,增强技术储备力度。
4、加强信息安全规章制度建设
建立健全适应企业实际的安全管理制度是信息安全管理的前提。标准化的安全管理,能够克服传统管理中个人的主观意志驱动的管理模式。应在对企业信息安全评估下,根据单位实际情况,遵照上级有关规定,制定出切实可行、全面的安全管理制度。如:保密制度、机房管理制度、网络运行管理制度、应用系统运行管理制度、设备维护工作制度、值班制度、计算机系统使用规范等,管理制度应明确描述所有信息技术人员以及信息系统使用人员的信息安全职责和信息系统日常使用规范,规范信息系统操作流程,减少人为失误。
5、建立安全监督保证体系
成立安全领导小组,由分管领导抓信息安全工作,并设置一个独立于信息技术部门的信息安全管理监督部门作为企业的信息安全日常管理机构,根据信息系统安全需要设定安全事务的职位,负责企业范围内信息安全监督管理工作。各部门应配备计算机技能较强的信息安全专兼职人员,负责所在部门信息安全制度的落实和执行,形成良好的信息安全监督保证体系。
6、加强信息安全考核力度
关键词:石油企业;信息安全;管理手段
0引言
随着信息化建设进程飞速发展,作为信息载体的计算机、互联网已在企业生产、经营管理各个层面得到广泛应用。计算机网络的开放性、灵活性和广泛性在全面数字化的今天给经营管理带来了便捷、高效、有序的工作环境,同时也带来了较大的安全管理隐患。黑客的出现、安全漏洞的增多、管理的交叉混乱、恶意的网络攻击使网络安全管理遭受了较大的冲击,成为信息化健康发展的绊脚石。网络信息管理疏于安全的防范将危及到企业生产经济的有序发展。石油企业在国民经济中发挥着重要作用,任何风险都可能导致国家经济受到重大影响。因此,提高石油企业信息安全意识,加强信息管理应以保瘴服务和应用为目标,强化安全意识、制定周密的安全手段从而构建完善的信息安全管理体系。
1加强企业信息管理的必要性
1.1企业信息管理概念
企业信息管理是通过现代化的信息技术和设备,以网络技术和网络设备实现企业管理的自动化,进而对企业进行全方位和多角度的管理,以此来促进企业生产、经营管理的优化配置,进而通过企业资源的开发和信息技术的有效利用来提高企业的管理水平,增强企业的核心竞争力。企业信息管理的主要内容,一般包括企业未来的经济形势分析、预测资料、资源的可获量、市场和竞争对手的发展动向,以及政府政策与政治情况的环境变化等等。企业信息管理与制订企业发展战略、制订规划、合理地分配资源是密切相关的。同时,企业的信息管理也应当包括企业内部的信息资源,如财务管理信息、物资库存、钻井施工、职工档案管理等多方面的内容,并且促进企业的全面发展。
1.2企业信息安全管理的必要性
企业信息的存在方式有着多样性,而进行企业安全信息管理的主要目的,在于保护企业的信息安全,保证企业能够顺利的参与到市场经济活动中,进而提高企业的经济效益和社会效益,构筑起信息安全管理系统的保密性、完整性、可用性、可维护性、可验证性的目标,使企业安全信息管理能够通过有效的控制措施来实现。第一,企业管理的信息具有很强的保密性和完整性的特点,因此其对于企业的生产势力、科技含量、资金流动、企业的综合竞争力等多方面都有着重要的影响,同时对于企业的商业形象与合法经营也至关重要,因此加强企业信息安全管理是必要的。第二,由于网络自身所具有的开放性特性,决定了企业信息管理也面临着来自各方面的安全威胁,比如计算机病毒、黑客等,以及计算机诈骗、泄密等问题,也说明了加强企业信息安全管理势在必行。第三,企业对于信息系统产生的依赖也从另一方面暴露出了信息管理系统的脆弱,公共网络与私人网络的连接增强了信息的控制难度,使得信息在分散化的管理模式下,集中、专业控制的有效性大大减弱。另外,由于很多信息管理系统设计的缺陷,其自身就存在着不合理之处,这对于信息安全管理也带来了一定的难度。基于此,对于企业信息管理的安全性也成为了当前企业管理面临的一个重大课题。
2加强企业信息管理安全的防范措施
2.1不断完善信息管理系统
随着企业信息化的发展,目前应用的管理系统有PKI、邮箱、AD域、普OA、合同系统、A6、ERP、网络、操作系统、A7、档案系统、物采系统、OSC、视频会议、企业微信、门户网站、宝石花、数字营房、会议保障、E2、一体化、RTX、移动应用、短信平台。信息系统的连续稳定运行越来越重要,一旦系统中断,将会给企业的生产经营管理带来混乱,而数据一旦丢失,后果是不可估量的。为此,信息管理系统的投入和使用,是建立在充分的实践经验的基础上,通过一段时间的运行和观察,才能够投入使用。在不同的部门进行信息系统的引入时,应当按照部门的实际情况,通过多方引进,使用统一的信息管理系统。对于信息安全来说,首先要解决的就是系统是否能够通过安全验证对用户进行有效的管理,并且赋予不同等级的用户不同的使用权限,这样则能够有效的防止无权访问信息的用户对核心区域的访问,保证信息不会被盗用。同时,为保证信息系统的连续稳定运行,应采用双机服务器和从服务器。一旦发生服务器故障,由从服务器自动接替主服务器工作。
2.2有效的设备管理
设备安全主要涉及到由于自然灾害、人为因素造成的数据丢失。信息安全应建设完善的容灾备份系统,容灾备份系统一般由两个数据中心构成,主中心和备份中心。通过异地数据备份,实时地将主中心数据拷贝至备份中心存储系统中,使主中心存储数据与备份中心数据完全保持一致。同时,对于管理系统中使用的设备品牌、机型、内部配置以及使用时间等信息都要进行专门的记录,通过这些记录,定期对设备进行维护,同时也能够通过这些信息判断出信息的使用效率以及运行情况,对于设备的损坏或者是丢失情况都能够及时地了解。
2.3加强对人员的监督与管理
企业信息安全不单纯是技术问题,而是一个综合性的问题。其中最重要的因素是人,人是设备的主要操作者,因此对于信息的安全管理,就需要加强对人的管理,需要操作人员具有足够的安全意识,对于每一位操作人员进行相关的培训,对于唯一的用户名和密码等信息要进行妥善保管,同时让操作人员认识到泄密会导致的严重后果,增强责任意识。只有通过不断地学习及意识的培养,管理人员才能养成定期维护、按时打补丁、及时更新的操作习惯,以不变应万变的态度应对各种网络攻击手段。通过不断的加强过程管理,通过对每个细节的严密审查,能够有效减少人为出错的现象,同时通过科学的评价机制和激励机制,刺激人员工作的积极性,加强自身的责任意识。
2.4网络传输安全
关键词:信息化 信息安全 网络安全
根据国家统计局年初公布的数字显示,国内企业总体的99%都是中小企业,他们贡献了超过一半的国内GDP。但截止到目前,这些中小企业的信息化水平仍然比较落后,其中针对信息安全的投人,更是凤毛麟角。
对于国内占大多数的中小企业来说,如何在充分利用信息化优势的同时,更好地保护自身的信息资产,已经成为一个严峻的挑战。特别是近两年来,网络上的病毒、攻击事件频发,信息安全问题正在日益成为中小企业信息化进程中的难题。
一、什么是信息安全
信息是一种资产,与其它重要的资产一样,它对一个组织而言具有一定的价值,因此需要适当的加以保护,而信息又可以以多种形式存在。如可以打印或者写在纸上,以数字化的方式存储,通过邮局邮寄或电子手段发送,表现在胶片上或以谈话的方式说出来。总之,信息无论以什么形式存在,以什么方式存储、传输或共享,都应得到恰当的保护。
所谓信息安全是指信息具有如下特征:
安全性:确保信息仅可让授权获取的人士访问;完整性:保护信息和处理方法的准确和完善;可用性:确保授权人需要时可以获取信息和相应的资产。
信息安全是指使信息避免一系列威胁,保障商务的连续性,最大限度地减少业务的损失,从而最大限度地获取投资和商务的回报。它主要涉及到信息传输的安全、信息存储的安全、以及网络传输信息内容的审计三个方面,它可以通过实施一整套恰当的措施来获得。但目前我国的信息安全令人堪忧,随着政府上网和企业信息化的推进,越来越多的企业的日常业务已经无法脱离网络和信息技术的支持,那么我国中小企业的信息安全现状如何呢?
二、我国企业信息安全的现状
(一)企业的重视程度
随着信息化的加快,企业信息安全越来越受到重视,而我国的中小企业信息安全现阶段正处于初级阶段。在推进企业信息化的进程中,有些中小企业对于信息化概念的认识远远不够,它们认为购置几台电脑放到公司,日常用来打打字,将单个机器连结到网上企业就信息化了,远远没有认识到信息技术给企业所能带来的巨大的变化,对于网络安全更是没有意识。
据调查,目前国内90%的网站存在安全问题,其主要原因是企业管理者缺少或没有安全意识。某些企业网络管理员甚至认为其公司规模较小,不会成为黑客的攻击目标。如此态度,网络安全更是无从谈起。
(二)资金、技术、人员方面情况
已建立了企业内部信息化平台的企业,由于资金、技术等方面的原因,还没有把重点放到网络安全管理上,尤其是中小企业的安全问题一直隐患重重。
据了解,许多中小企业没有专门的网络管理员,一般采用兼职管理方式,这使中小企业的网络管理在安全性方面存在严重的漏洞,与大型企业相比,它们更容易受到网络病毒的侵害,损失也比较严重。
根据IDC对2005年我国政府、企业用户的信息安全状况分析,约有34.8%的企业因内部雇员的行为(包括对内部资源的不合理使用和对内部数据缺乏有效保护)而造成企业出现安全问题。
(三)网络维护、运行、升级方面的情况
在网络的维护、运行、升级等事务性工作方面,由于工作繁重而且成本较高,一些善于精打细算的中小企业在防范黑客及病毒方面舍不得投入,据相关调查数据资料统计,国内七成以上的中小企业,一是缺乏基本的企业防毒知识,购买一些单机版防毒产品来防护整个企业网络的安全。二是采购了并不适合自身网络系统的企业防毒产品,因此留下许多安全隐患。三是技术力量薄弱,虽然部署了企业防毒产品,但是这些产品操作难度大、使用复杂,最终导致很难全面发挥效用,甚至成了摆设,这样一来企业内部网络就根本没有什么安全而言。
三、如何保证我国中小企业的信息安全
(一)从企业的自身情况考虑
要解决中小企业网络信息安全问题,不能仅依靠企业的安全设施和网络安全产品,而应该考虑如何提高企业自身的网络安全意识,将信息安全问题提升到重视的高度,要重视“人”的因素。具体表现在以下两个方面:
1.提高安全认识
定期对企业员工进行网络安全教育培训深化企业的全员信息安全意识,企业管理层要制定完整的信息安全策略并贯彻执行,对安全问题要做到预先考虑和防备。
2.要求中小企业在上网的过程中要做到“一做三不要”
(1)将存有重要数据的电脑坚决同网络隔离,同时设置开机密码,并将软驱、硬盘加密锁定,进行三级保护。
(2)不要在自己的系统之内使用任何具有记忆命令的程序,因为这些程序不但能记录用户的击键动作甚至能以快照的形式记录到屏幕上发生的一切。
(3)不在网上的任何场合下随意透露自己企业的任何安全信息。
(4)不要启动系统资源共享功能,最后要尽量减少企业资源暴露在外部网上的机会和次数,减少黑客进攻的机会。
(二)从网络安全角度考虑
1.从网络安全服务商的角度来说,服务商要重视中小企业对网络安全解决方案的需要,充分考虑中小企业的现实状况,仔细调查和分析中小企业的安全因素,开发出适合中小企业实际情况的网络安全综合解决方案。此外,还应该注意投入大量精力在安全策略的施行及安全教育的开展方面,这样才能为中小企业信息安全工作的顺利开展提供坚实的保证。
2.要用防火墙将企业的局域网(Intranet)与互联网之间进行隔离。由于网络攻击不断升级,对应的防火墙软件也应该及时跟着升级,这样就要求我们企业的网管人员要经常到有关网站上下载最新的补丁程序,以便进行网络维护,同时经常扫描整个内部网络,以发现任何安全隐患并及时更改,才能做到有备无患。
3.企业用户最好自己学会如何调试和管理自己的局域网系统,不要经常请别人来协助管理。中小企业要培养自己解决安全问题的能力,提高自己的信息安全技术。如果缺乏这方面的人才就应该去引进或者培养相关人才。
4.内部网络系统的密码要定期修改。
【关键词】电力企业;网络信息安全;管理
新时代是网络信息时代,全世界信息网络系统都在迅猛发展中。电力企业作为各行业中重中之重的国家基础行业,整个行业都对网络信息系统有着极大的依赖性,网络信息系统也以它快速、全面、及时的优点给电力企业带来了极大的经济效益。但是网络信息系统所带来的不仅是经济效益,同样还有信息泄露的巨大风险,一旦发生信息泄露或信息数据遭篡改,将为国家造成不可估计的经济损失。
近年来全球范围内计算机犯罪活动猖獗,不断发生黑客入侵、电脑病毒肆虐事件,给电力企业敲响了警钟,网络安全防范刻不容缓。很多受害者的网络硬件及软件技术都处于时展的主流,然而依然发生信息安全受损事件,这充分证明,仅仅依靠软硬件的更新是不能很好的提升网络信息安全水平的,除了安装网络安全产品,同样重要的还有网络信息的安全管理措施。所以,各电力企业都必须认真面对和研究当前网络信息安全问题,及时采取合理有效的防范措施。
1、我国电力企业网络信息安全现状
1.1电力企业信息化的优势
进入二十一世纪以来,随着网络技术的迅速发展,我国电力企业的信息化也有着很大的进步:电力行业信息化设施较其他行业更完善,各电力企业主要岗位使用计算机工作的比率已经基本达到100%,而且90%以上都建立起了覆盖本部机关工作的局域网;电力生产、调度自动化系统广泛应用,已经形成了较成熟的管理模式。其中发电生产自动化监控系统、电力调度SCADA系统等,大大提高了生产过程和电力调度的自动化水平;电力营销管理系统在全国各大电力企业广泛应用,各地(市)级电力企业都已实现业务受理计算机化。同时各地也在大力建设客户服务中心,已经有一批服务中心先行初步建立起来;国家电网公司及其下各级子公司开发应用了电力生产、设备安检、电力负荷及营销管理的企业管理信息系统,各大电力企业也在积极规划企业信息化发展蓝图,大力进行企业信息化建设,推动实现电力工业现代化进程。
1.2当前存在的问题
上述信息化优势证明我国电力企业近年来关于网络信息化建设取得了一些成果,给行业信息化建设打下了良好的基础,但在网络信息安全管理方面仍普遍存在较多问题。
1.2.1信息化机构建设不健全。电力企业很少为信息管理部门专门设置机构,因而缺乏应有的规范的岗位及建制。大多信息部门附属在技术部、科技部或总经理工作部门下,甚至仅设置一个专责人员负责。信息化管理是一项系统性的工程,没有专门的部门负责是不能满足现代企业信息化安全的需求的。
1.2.2企业管理阻碍信息化发展。有些电力企业管理办法革新缓慢,大多采用较落后的、非现代信息化企业的管理模式。这样的企业即便引入最完善的信息管理系统、最先进的信息化设备,也只能受落后的企业管理模式所制约,无法发挥其应有的作用。
1.2.3网络结构不合理。电力企业大多将公司网络分为外网和内网,两种网络之间实行物理隔离措施,但很多企业的网络交换机是一台二层交换机,决定了内网和外网用户在网络中地位是平等的,导致安全问题只能靠完善管理系统去解决,给系统编写带来很多不必要的困难。
1.2.4身份认证缺陷。电力企业一般只建立内部使用的信息系统,而企业内部不同管理部门、不同层次员工有不同等级的授权,根据授权等级不同决定各部门和员工访问的数据和信息不同。这类授权是以身份认证为基础的信息访问控制,但在当前的企业身份认证系统中大多存在缺陷和漏洞,给信息安全留下隐患。
1.2.5软件系统安全风险较大。软件系统安全风险指两方面,一是编写的各种应用系统可能有漏洞造成安全风险,二是操作系统本身风险,随着近期微软停止对windows XP系统的服务支持,大量使用windows XP系统的信息管理软件都将得不到系统漏洞的修补,这无疑会给信息安全带来极大风险。
1.2.6管理人员意识不足。很多电力企业员工网络安全意识参差不齐,一方面是时代的迅速发展导致较年轻的管理人员安全意识较高,而对网络接触较少的中老年员工网络安全意识较为缺乏;另一方面也有电力企业管理制度不够完善、忽视对员工进行及时培训的原因。在这种人员背景下,如果管理人员配备不当、信息管理系统设置不合理都会给企业信息埋下安全隐患。
2、电力企业网络信息安全管理措施
要建立完善合理的网络信息安全管理体系,需要各企业认清企业现状,根据实际进行统一规划,分部建设,保证建设内容能科学有效的运行。
2.1加强信息安全教育培训
不论计算机程序有多么先进多么完善,如果操作管理人员素质和意识不足,那也不能保证企业信息化的安全。因此,实现企业网络信息安全管理的根本在人,可以根据员工职责分层次进行培训,一方面提高安全管理员工的专业知识水平及安全管理意识,另一方面加强对一线工作人员的安全意识教育,将网络信息安全变为企业文化和精神支柱的一部分。
2.2完善管理制度建设
电力企业要把网络信息安全管理视为一个系统工程来考虑,必须在企业内部建立起合理而完善的管理制度,比如:加强网络日志管理;对安全审计数据严格管理;在企业网络上安装病毒防护软件;规定不能随意在内网主机上下载互联网数据、不能在内网计算机上随意使用来历不明的移动存储设备等。
2.3不断更新完善信息安全管理系统
大力推进信息安全新技术的探索和应用,建立信息安全防护体系,可以围绕数据库安全、数据备份和恢复、网络服务完全、病毒防护系统的应用、数据加密技术及数据传输安全等方面建立一个多方面多层次联合的技术安全体系,从而提高信息系统安全防护能力,确保企业信息安全可靠。
3、总结
电力企业信息化是不可避免的发展趋势,因此要实现企业的可持续发展就必须做好企业信息网络安全的管理,电力企业要在不断的探索实践中,摸索新时期网络信息安全管理措施,不断完善和健全网络信息安全建设。
参考文献
[1]王隽.电力企业网络信息安全防护体系的建立[J].信息与电脑(理论版),2012,07:22-23.
1.1信息安全管理有效性测量目的
信息安全管理有效性测量的根本目的,是评估企业信息安全管理的真实水平。在企业建立信息系统时,通常都会依据企业的发展需要、组织结构、信息组成、利益关系、安全标准等方面的要求,来设定企业信息系统的安全管理目标,构筑相应的安全管理体系和措施。对企业信息安全管理有效性进行测量,不仅可以对企业信息安全管理目标实现程度进行科学准确的评估,还能准确地评测企业信息安全管理系统的效能,作为企业信息安全管理考核的依据。实际上,如果不进行有效性测量,只依赖于信息系统安全测量标准来评估企业信息系统安全管理水平,将会造成极大的误差,甚至产生很多安全漏洞,使企业实际信息安全管理水平与所需达到的水平相差甚远,如果仅依赖于表面的数据将使这些漏洞和不足无法得到有效的解决,造成巨大的信息安全隐患。通过有效性测量,能更好地找出企业信息安全管理需要改进的地方,充分反应企业信息安全管理存在的问题和严重程度,为企业信息安全管理工作的改进提供依据。
1.2信息安全管理有效性测量指标
信息安全管理不仅是国内企业的需要,也是国外企业的需要,相对来说,国外在信息安全管理方面的水平更高。目前,在国际上普遍采用ISO/IEC27002作为信息安全管理标准,以此来实施信息安全管理,这一标准是当前最权威和最科学的信息安全管理标准,在这一标准中从信息安全方针、组织、管理等方面,提出了100余个控制措施,信息安全管理中可以根据企业的需要选择相应的措施进行信息安全管理,该标准所提出的措施,基本覆盖了企业信息安全管理的各个方面。在构建信息安全管理有效性测量指标体系时,也可以按照ISO/IEC27002标准进行,将测量内容分解为管理控制、运行控制、技术控制3个方面,并根据企业实际情况采用具有代表性、可测量的指标建立起测量指标集,对这些指标实施情况进行采集分析,再通过专家咨询评测最终得到企业信息安全管理有效性的具体指标,评估企业信息安全达到的水平,找出企业信息安全管理的不足。
2测量方法和指标计算
2.1测量方法
在信息安全管理有效性测量中,应当对指标进行量化处理,最终形成量化测量结果。不同的指标,所采用的测量方法并不相同,通常采用的测量方法有风险分析、风险评估、问卷调查、个人访谈、内部审核、报表统计、渗透性测试、内外对比等方法。对不同的指标采用相应的测量方法进行测量后,得到各指标的基本测度结果,再运用不同的技术对所获得的基本测度结果进行取值,赋予不同指标以不同的安全风险权重,最终算出企业信息安全管理有效性水平。例如在信息安全管理控制方面,需要对信息系统安全性,信息处理、信息传输、信息存储安全性进行评价,并评估这些风险可能对企业资产造成的威胁以及威胁程度,结合安全问题所涉及的资产价值来判断可能造成的影响,以评估信息安全管理控制的有效性,这其中,就需要将信息安全管理控制分解为多个指标进行测量,并根据对资产价值的影响能力赋予不同的权重和取值,才能最终确定出企业信息安全管理控制方面的有效性水平。再如在信息安全管理运行有效性方面,需要对人员安全、安全意识、环境安全、业务联系、事件管理等进行有效性评估,其中人员安全包括各个人员的安全评级和安全管理情况,安全意识包括企业安全教育、人员安全技术水平等,环境安全包括物理安全环境、技术安全环境等。
2.2指标计算
在信息安全管理有效性测量中,各指标的在安全管理有效性中的权重并不相同,因此信息安全管理有效性测量结果,不是对各指标的测量结果进行简单相加,而是要对不同的指标赋予不同的权重,构建起评测矩阵,并充分考虑各指标之间的联系赋值,如极端重要、强烈重要、明显重要、稍微重要等,根据不同指标的权重进行重要性排序后,对其特征向量进行求解,确定各指标在企业信息安全管理中的影响能力。各指标的权重,并没有统一的标准,也不可能简单地借鉴其他企业的测量权重,根据不同企业有不同的特点,在进行测量时,应当有相当数量的专家参与权重赋值,在消除偶然因素的影响后建立起符合企业特点的指标权重体系,得出较为科学合理的指标权重,这样才能使最重的测量结果更为科学合理。
3结束语
摘要:随着计算机技术与通信技术的高速发展,信息安全在企业中扮演着越来越重要的角色,为此,笔者从企业信息系统所面临的安全威胁以及企业信息系统安全运行应当采取的防范措施两方面进行了探讨。
关键词:信息系统安全;防火墙技术;防范
随着计算机技术与通信技术的飞速发展,信息安全已成为制约企业发展的瓶颈技术,进而使得企业对信息系统安全的依赖性达到了空前的程度,但是企业在享受着信息系统给公司带来巨大经济效益的同时,也面临着非常大的安全风险。一旦企业信息系统受到攻击而遭遇瘫痪,整个企业就会陷入危机的境地。特别是近几年来全球范围内的计算机犯罪,病毒泛滥,黑客入侵等几大问题,使得企业信息系统安全技术受到了严重的威胁。因此,这就使得企业必须重新审视当前信息系统所面临的安全问题,并从中找到针对企业的行之有效的安全防范技术。为此,笔者首先分析了现代企业所面临的信息系统安全问题,然后提出了企业应当采取的相应防范措施。
1企业信息系统所面临的安全威胁
企业在信息系统的实际操作过程中,威胁是普遍存在且不可避免的。一般来说威胁就是企业所面临的潜在的安全隐患。个人电脑只通过一个简易的应用便可以满足普通用户的要求,但是企业的信息系统一般都要充当多个角色,基本上都得为多个部门提供服务,其中任何一个局部的隐患都可能给整体的安全性带来致命的打击。正是由于企业信息安全系统本身所固有的这些缺陷,必然会导致病毒与黑客的容易盛行。目前,影响企业系统安全的因素各种各样,但是其主要的威胁可以归结为以下几个方面:
①黑客的蓄意攻击:随着信息技术的普及,企业一般都会利用互联网接入来加速提高本公司业务与工作绩效,黑客的恶意攻击行为无疑会成为阻碍这一进程发展最大也最严重的威胁。其中,有来自竞争公司的幕后黑手,或者来自对本企业有怨恨情绪的员工,以及对该企业持不满态度的顾客等,出于不同目的或报复情绪都可能对企业网络进行破坏与盗窃。另外,一个更严重的问题——网络敲诈,正有逐步提升的趋势。许多不法分子利用木马、病毒、间谍软件,或者dos攻击等非法方式对企业网络进行破坏或盗用企业数据,并以此作为向企业敲诈勒索的交换条件,由于大部分企业普遍存在着信息安全环等薄弱问题,因此很多企业都成为这种违法行为最大的受害者。
②病毒木马的破坏:现今的互联网已基本成为了一个病毒肆虐生长繁殖的土壤,几乎每一天都会有上百种新的病毒或者木马产生,而在很大部分企业中,安全技术不足,管理设备松散、员工安全意识淡薄等问题的存在进一步滋长了病毒、蠕虫、木马等的危害,严重时甚至有可能造成整个企业网络的瘫痪,导致企业业务无法正常进行。
③员工对信息网的误用:如企业技术员工由于安全配置不当引起的安全漏洞,员工安全意识薄弱,用户密码选择不恰当,将自己的账户名与口令随意告诉他人或与别人共享都会对信息系统安全带来威胁。
④技术缺陷:由于当前人类认知能力和技术发展的有限性,要想使硬件和软件设计都达到完美没有缺陷,基本上不可能。其次,网络硬件、软件产品多数依靠进口等这些隐患都可能可造成网络的安全问题。
2企业信息系统安全运行的防范措施
企业信息系统安全运行的防范措施是企业信息系统高效运行的方针,其能在很大程度上确保信息系统安全有效的运行。相应的企业安全运行的措施一般可以分为以下几类:
①安全认证机制:安全认证机制是确保企业信息系统安全的一种常用技术,主要用来防范对系统进行主动攻击的恶意行为。安全认证,一方面需要验证信息发送者的真实性,防止出现不真实;另一方面可以防止信息在传送或存储过程中被篡改、重放或延迟的可能。一般来说,安全认证的实用技术主要由身份识别技术和数字签名技术组成。
②数据的加密以及解密:数据的加密与解密主要是用来防止存储介质的非法被窃或拷贝,以及信息传输线路因遭窃听而造成一些重要数据的泄漏,故在系统中应对重要数据进行加密存储与传输等安全保密措施。加密是把企业数据转换成不能直接辨识与理解的形式;而解密是加密的逆行式即把经过加密以后的信息、数据还原为原来的易读形式。
③入侵检测系统的配备:入侵检测系统是最近几年来才出现的网络安全技术,它通过提供实时的入侵检测,监视网络行为并进而来识别网络的入侵行为,从而对此采取相应的防护措施。
④采用防火墙技术:防火墙技术是为了确保网络的安全性而在内部和外部之间构建的一个保护层。其不但能够限制外部网对内部网的访问,同时也能阻止内部网络对外部网中一些不健康或非法信息的访问。
⑤加强信息管理:在企业信息系统的运行过程中,需要要对全部的信息进行管理,对经营活动中的物理格式和电子格式的信息进行分类并予以控制,将所有抽象的信息记录下来并存档。
3结语
总之,企业信息系统的安全问题将会越来越得到人们的重视,其不但是一个技术难,同时更是一个管理安全的问题。企业信息系统安全建设是一个非常复杂的系统工程。因此,企业必须综合考虑各种相关因素,制定合理的目标、规划相应的技术方案等。笔者相信,信息安全技术必将随着网络技术与通信技术的发展而不断得到完善。
参考文献:
[1]肖雪.计算机网络安全的研究[J].科技创新导报,2008,(20):27.
[2]张宗府.电子政务建设的安全对策研究[J].科技创新导报,2008,(9).
购物车(0)