时间:2023-10-22 10:35:26
导语:在企业信息安全的问题的撰写旅程中,学习并吸收他人佳作的精髓是一条宝贵的路径,好期刊汇集了九篇优秀范文,愿这些内容能够启发您的创作灵感,引领您探索更多的创作可能。
关键词:军工企业;网络信息;安全问题
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2011) 17-0000-01
Study on Military Enterprise Information Security Issues
Su Bin,Sun Hailong
(Shenyang Liming Aero-Engine Group Co.,Data Center,Shenyang110043,China)
Abstract:The military enterprises in the national economy and play all important role,along with in-depth informationtechnology,network information security issues are also increasingly prominent.This inform ation from the afected area enterprisenetwork security defense several major f-act0rs.discusses military emerprise network information security solutions.
Keywords:Military enterprises;Network information;Security issues
随着社会信息化建设进程加快,军工企业对计算机网络信息安全的威胁,需要不断采取自动化的方法,来提高计算机网络信息的安全性。密码编码学技术给计算机网络信息安全带来了新的革命,在网络的各个层面上实现信息安全,提高保密性和认证的密码编码算法显得更为重要,确保计算机网络信息的安全已经成为社会所关注的热点问题。
一、军工企业信息安全问题分析
(一)设备中的漏洞问题
当前,软硬件的漏洞无处不在。众所周知,计算机网络的主要软硬件大多依赖进口。这些软硬件都存在大量的安全漏洞,极易给病毒、隐蔽信道和可恢复密码等开辟捷径,极易为他人利用。每当发现新的漏洞,就会在短短的几分钟内传遍整个网络,攻击者就可以利用这些漏洞对网络进行攻击,网络信息处于被窃听、监视等多种安全威胁中,信息安全极度脆弱。
(二)计算机病毒问题
互连互通的网络给人们传输信息和共享信息带来了极大的方便,但同时也给病毒的传播大开方便之门。而且现在病毒的隐蔽性、传染性、破坏性历经演变之后都有了很大的提高,使网络用户防不慎防,给企业带来巨大的损失。境内外各种敌对势力一直把我国军工单位作为渗透、情报窃取的重点目标,无时不在对我进行情报窃密活动,黑客攻击是常用手段之一。黑客利用企业网络存在的一些安全漏洞,经过一些非法手段访问企业内部网络和数据资源,可以删除、复制、修改甚至毁坏一些重要数据,从而给企业和个人用户带来意想不到的损失。
(三)隔离墙问题
大部分军工企业没有做到非的内外部网络的物理隔离,或逻辑隔离强度不够;另外存在一机多用的情况,在内外网之间随意转换使用。致使病毒在多个网络中流传,存在一点突破全网尽失的现象。一些单位内部文件共享情况比较普遍,缺乏有效的授权访问机制,对内不设防的情况比较多。对于一些物理隔离较好的内外部网络,因移动存储介质能够在两个网络之间能交叉使用,致使病毒仍能在网络之间流转,甚至能通过接入互联网的计算机把信息传输出去,致使内外网的隔离失去实际意义。
二、密码学解决信息安全的方法
经过加密处理后的信息在网络中传输,将很大的程度上避免了数据信息泄漏,即使黑客或病毒截取了相关信息,也要通过花大量的功失解密才能获知明文。密码编码学是解决网络信息安全问题的核心技术,保证了数据信息的可控性、保密性完整性、不可否认性和可用性。
(一)数据信息采取加密保存
首选的是运用数据信息加密技术,加密方法有对称加密和非对称加密,通过设置对文件设置密码保存,提高数据信息的安全性,加密的算法有AES密码算法,DES算法、三重DES算法、RSA算法等。只有解密后才能访问和理解原始数据信息。可以采用可靠的加密软件对文件进行加密保护,如电子邮件、口令等数据,通过Outlook发送邮件,自带有加密和数字签名等安全设置功能,可以使用安全设置后再发送,达到数据信息安全的目的,即使被截取后,黑客也要耗时间去解密,达到数据信息时效安全性。
(二)链路和端对端加密相结合传输
数据信息在网络传输过程中,采取链路加密还是端对端的加密都是有一定的缺陷的,只有把两种方法结合起来应用,才能使数据信息保护更加安全,主机使用端对端加密密钥来加密用户数据,整个分组则使用链路加密,分组在网络中传输是,每个结点用链路加密密钥来解密它,读取信息头,然后在对它加密,发送到下一条链路上,这样除了在分组交换结点的存储器逗留的时间里信息头是明文外,整个分组一直都是安全的。
三、军工企业信息安全的策略
解决网络信息安全的对策和措施的遵旨是技术与管理相结合:技术和管理不是相互孤立的。对于任何一个企业来说,网络信息的安全不仅是技术方面的问题,更是管理的问题。制定完善的安全管理制度,精确到细节,从企业高管到部门负责人以及普通员工,确定每个用户在网络中扮演的角色和承担的安全责任义务,职责分明。企业应将网络安全管理工作作为一项重要指标纳入年度考核,营造“网络安全,人人有责”的全体动员的氛围。同时应制定详细的安全管理策略,并每年定时或不定时的对非网络的服务器和计算机进行抽查,根据检查结果,对不符合要求的要实事求是的下发整改通知,并在公司网络安全管理会议上进行通报。军工企业的网络信息安全建设是一项系统的、庞杂的、长期的工程。但我们也清醒的认识到,安全不是技术,而是技术与管理的结合,任何先进的安全技术都需要严谨的管理作为后盾,否则,只是一堆软硬件的组合。我们必须从自身做起,坚持不懈,确保军工企业的网络信息安全。
参考文献:
关键词:企业;计算机网络;信息安全
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2011) 18-0000-01
Network Security Problems in the Construction of Enterprise Informatization
Li Xiaoning
(China Petroleum Changqing Oilfield Company Hydropower Plant,Xi’an 710200)
Abstract:The advances in technology bring the rapid development of computer network technology and constant growing of enterprise informatization,which also bring the network information security to the attention of the public.In general,the network information security of enterprises in China still has many problems.This paper mainly focuses on the main network security problems confronted with the enterprises during the information construction process,and puts forward relevant protective measures on a basis of these problems.
Keywords:Enterprises;Computer network;Information security
一、企业信息化建设中网络安全存在的问题
(一)安全漏洞
在计算机技术中,任何一种程序都有可能存在漏洞,当前各种操作系统以及相关软件都存在一些漏洞,几乎每一天都有漏洞被发现,此外,操作系统通常还存在一些隐藏的通道,而这些通道往往成为黑客的便利通道。与此同时,系统中还存在着一些通用服务,如果在安装程序的时候没有注意到这些,那么也会给黑客创造可乘之机。一些企业的竞争对手或者对企业心存不满的员工或客户都可能利用这些漏洞,对企业进行攻击,进而使得整个企业网络丧失相应的使用能力或丢失企业资料和秘密等,给企业的网络安全带来了巨大的安全隐患。
(二)计算机病毒感染
通常情况下,计算机病毒是通过下载或者电子邮件的形式进行传播,还有的可以通过即时的网络信息进行传播,可以说有计算机的地方,就会存在电脑病毒的问题。病毒通常具有传播快、影响巨大的特点,给企业的网络安全造成巨大的影响。这些年来,木马病毒是计算机病毒中的主要传播形式,根据有关的统计,木马病毒占到所有计算机病毒的四分之一以上。木马病毒是一种特殊的病毒形式,如果用户错将其按照应用软件来实用的话,所使用的电脑就会被移植上木马病毒,从而将电脑的控制权完全交到了黑客的手中,黑客能够通过木马盗取计算机上使用的一些银行密码、卡号、机密信息等,而且能够对计算机实施实时的监控、查看等,给企业的网络安全带来巨大的威胁。
(三)恶意攻击和非法入侵
在当前的企业网络信息安全问题中,黑客利用恶意攻击和非法入侵的手段阻止企业利用网络或进行网络商业活动的行为,已经成为让每一个企业头疼不已的问题。通常情况下,黑客通过恶意攻击和非法入侵的手段对企业造成的危害表现为:组织企业利用网络资源;利用大量信息来阻塞企业通信网络;植入木马等程序对企业的实时动态进行监控;复制、删除、盗取企业重要信息等。不管黑客的目的是什么,这样的入侵行为都会给企业带来巨大的影响,使得企业重要信息的泄露甚至是企业正常生产的停止。
(四)相关人员管理上的失误
对企业来说,由于相关人员管理上的失误也会给企业网络信息安全带来巨大的威胁。当前,许多企业缺乏网络信息安全的管理机制,而且相应的系统安全维护习惯欠缺。有的企业在发现病毒和漏洞的时候,并没有对其引起重视,只是采取简单的杀毒和修补等措施,相关员工的安全意识匮乏,没有对系统进行全面的维护,从而给黑客的入侵创造了机会。此外,有的企业在内部分工上存在不明了的情况,从而使得网络使用权限与行政管理出现矛盾。总之,由于管理上存在的问题,给企业的网络安全埋下了许多的隐患。
二、企业信息化建设中网络安全问题的解决措施
(一)加强相关人员的素质及意识
企业应该对其网络管理人员进行专业的技术培训,强化相关人员的能力,尤其是网络安全新技术方面的知识。另外,还应该对非技术人员进行培训,增加他们必要的网络安全常识和基本的网络防御知识。
(二)企业网络安全可以采用的相关技术
防火墙技术:通常防火墙技术分为网络防火墙和应用级防火墙两大类。前者的主要作用是防止整个企业网络中出现非法入侵等行为,而后者主要是对计算机中的应用程序进行必要的应用控制。大多数情况下采用应用网关或者服务器对二者进行区分。当前防火墙所采用的技术主要包括以下几种:屏蔽路由技术、基于技术、包过滤技术、动态防火墙技术。
虚拟专用网:虚拟专用网是企业网在因特网等公共网络上的延伸,通过一个私有的通道在公共网络上创建一个私有的连接。因此,从本质上说VPN是一个虚拟通道,它可用来连接两个专用网,通过可靠的加密技术方法保证其他安全性,并且是作为一个公共网络的一部分存在的。
加密技术:加密技术分为对称加密和非对称加密两类,对称加密技术有DES、3DES、IDEA,对称加密技术是指加密系统的加密密钥和解密密钥相同,也就是说一把钥匙开一把锁。非对称密钥技术主要有RSA.非对称密钥技术也称为公钥算法,是指加密系统的加密密钥和解密密钥完全不同,这种加密方式广泛应用于身份验证、数字签名、数据传输。
入侵检测技术:入侵检测技术的核心包括两个方面,一是如何充分并可靠地提取描述行为的特征数据;二是如何根据特征数据,高效并准确地判断行为的性质。它通过从计算机网络或计算机系统的关键点收集信息并进行分析从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。
总之,今后的企业信息化建设中,网络安全就显得尤为重要,如果企业不重视信息化的网络安全工作。信息化不仅无法提高企业的工作效率,还会让企业蒙受巨大的经济损失。
参考文献:
[1]黄现代.企业信息化建设中的网络安全问题研究[J].科技信息(学术版),2007,31
【 关键词 】 安全;内网;外网;物理隔离
1 引言
随着计算机和网络技术的迅猛发展和广泛普及, 企业经营活动的各种业务系统越来越依赖于Internet/Intranet环境。随之而来的安全问题也在困扰着用户。一旦网络系统安全受到威胁,处于瘫痪状态,将会给企业带来巨大的经济损失。
为了解决计算机系统的安全问题,很多企业的信息部门将企业网络分为相互隔离的内网和外网,外网连接互联网,用于访问外部的信息和接受来自外部用户的访问。内网连接企业内部的各个业务部门,如财务生产行政等,不连接互联网,这样可以保证内部信息不会泄露到外部去。
然而实践中发现,有些企业虽然遵循内外网隔离的原则,但实际采用的网络配置方式和技术常常在某些情况下破坏了内外网的隔离。企业内部网络安全事故仍然时有发生,并呈增长趋势。在此,本文对企业内外网的配置中常见问题进行描述和分析,并给出应对措施的建议。
2 虚拟局域网隔离
如图1所示是一种典型的企业网络架构,主要利用路由器或三层交换机的VLAN功能,把接入到一个或者多个路由器多个端口的不同计算机设置成一个虚拟局域网,分配给一个部门使用。图1中设置了两个个虚拟局域网VLAN1和VLAN2,可以分别分配给内网和外网。
通过这样的网络划分使不同的虚拟局域网实现了网络层协议的隔离。这样做虽然方便灵活,但是存在一系列安全隐患。
一是使用虚拟局域网进行的逻辑隔离是非常脆弱的。网络管理员无意或有意的疏忽,或者网络管理员权限的泄露,可以被使用远程配置或者攻击的方式修改路由器配置,在本来不该连接的两个虚拟局域网形成一个逻辑的通路,造成隔离失败。
二是以路由器为基础的网络架构本身就是易受攻击的。众所周知,目前相当一部分路由器由国外厂商制造,即便是国内厂商制造的路由器,其中的交换芯片和路由协议也基本为国外厂商所垄断。像微软的Windows操作系统一样,路由器以及其中的交换芯片和路由协议也存在很多无意或有意的缺陷和漏洞,很容易让一些个人和组织使用远程攻击的方式进行侦听而导致泄密。
三是虚拟局域网实现了虚拟子网的分割,一般情况下,对于应用层的数据交流却是无法阻挡的,达不到隔离的目的。
3 访问权限隔离
另外一种常见的网络配置是把有不同访问需求的部门划成不同的子网(网段),如图2所示。其中,LAN1分给管理部门,LAN2分给财务部门。通过路由器和防火墙的配置访问策略,实现不同部门的不同访问权限,例如管理部门既可以访问财务部门又可以访问互联网,而财务部门只能访问部门内部的资源,不允许向外发送数据。
这样做表面上实现了既隔离又达到了不同等级访问权限的目的,实际上依然存在许多隐患。
首先,使用路由器的配置进行的逻辑隔离存在前述的三个安全隐患。
其次,内网上原来被限定不能访问互联网的计算机,可以人为修改IP/MAC地址绕过路由器的访问限制,从而访问互联网,造成数据泄露。
再次,由于管理部门与外部互联网连接,其中的计算机和设备很容易被恶意程序和木马病毒攻击和感染。一旦被攻陷或植入病毒,就可以获取财务部门的数据后,泄露到互联网,虽然此时财务部门并没有遭受外部的直接攻击。
4 移动存储介质的泄密
有些企业为了杜绝上述两种情况造成的数据泄密,采用了内外网完全物理隔离的方法,这样可以有效地防范网络侧的安全隐患。但是如果没有制定严格的保密制度,或者有制度而没有采取有效的技术手段来确保执行,仍然会产生很多安全隐患。
例如,目前以U盘、光盘和软盘为代表的移动存储介质被广泛使用,如果不加限制地用于有安全保密需求的内网,会轻易造成机密数据的泄露和外部病毒的侵入。另外,计算机附带的WiFi、USB、1394接口、蓝牙、红外、串口、并口等外设接口,很容易用来和外部设备如手机等交换数据,同样可以造成机密数据的泄露和外部病毒的侵入。
5 建议的组网方式
为了解决上述问题,我们建议采用完全物理隔离的方式实现内外网的组网,同时使用具有完全物理隔离功能的一机双网物理隔离计算机或2全独立的计算机分接不同的网络并尽可能不使用KVM切换器(目前市场上的KVM切换器良莠不齐,很多切换器在切换的同时,会造成键鼠U口的泄密风险)来进行切换,彻底消除网络架构和设备本身缺陷带来的安全隐患。具体实施时,根据企业规模和现有网络布线情况,分别采用如下两种方式。
如图3所示描述了一种单网线的解决方案,该方案适合已有单网结构的网络改造。其中,内网机使用现有网络布线连接内网,外网机通过无线网卡和无线路由器连接外网。使用双站定位监控计算机的状态,同时设置专人管理的双网机作为中间机进行数据交换。
如图4所示描述了一种双网线的解决方案。该方案适合新建的网络,给内、外网分别铺设专用的网络,内、外网计算机使用专用防误插网线分别连接内、外网。使用双站定位监控计算机的状态,同时设置专人管理的双网机作为中间机进行数据交换。
6 建议的数据交换方式
除了隔离,内外网间也常常需要交换数据。例如财务部门需要从外部查询资料,也需要把一些数据发送给其他部门甚至通过互联网发给外单位。如何在达到内外网间沟通顺畅的同时保持安全性,这是个亟待解决的问题。在此,根据不同的安全要求,我们建议采用下列不同的数据交换方式。
如图5所示描述了一种快捷的数据交换方式,适用于安全等级较低的双网系统。其中内网没有安装审计软件,可以使用刻录光盘从外网往内网进行单向数据传递,也可以使用U盘不受限制地进行内、外网双机双向交互。
这种方式对内外网间的数据交换没有限制,适合较小规模,员工可以充分信任的部门内使用。对于规模较大,员工经常变动的部门,这种方式存在较大的安全隐患。
为了消除潜在的安全隐患,建设安全等级较高的双网系统,可以图5的基础上进行如下改进。
首先,在内网安装审计软件,根据不同权限,允许或禁止内网机上的WiFi、USB、1394接口、蓝牙、红外、串口、并口等外设接口,监控和记录所有内外网间的数据交换活动。
其次,可以使用刻录光盘从外网往内网进行单向数据传递。对于内网向外网的数据传递或数据传递,设置高权限管理员计算机作为数据摆渡机,欲传递信息先通过内网递交给摆渡机,摆渡机通过自身USB端口拷贝到摆渡机外网,再通过U盘拷贝或者通过外网拷贝到其他双网机外网。
这种方式能保证内网向外网的数据传递经过监控并保留备份和日志,不经授权的数据传递不会发生,一旦出现泄密事件,可以根据数据传递的日志和备份准确追溯到导致泄密的原因和肇事人员。
如果不想购入复杂的审计软件而要保证数据的安全,可以使用图6所示的一种安全的数据交换方式。该方式采用特殊USB接口的U盘和内网进行双向数据交换,并使用三合一单向导入设备进行外网向内网的单向数据传递。
该方式是唯一获得保密委认可的内外网数据交互方式,使用硬件方式保证了数据的单向传递,也避免了软件的种种安全隐患。
7 结束语
企业经营活动越来越依赖于计算机和网络,它带来便利的同时也伴随着很多泄密的风险。建设一个安全而又便利的计算机网络,是企业决策者和信息部门的一个亟待解决的问题。本文针对企业计算机内外网中常用的虚拟局域网隔离,访问权限隔离,移动存储介质的使用等方面的安全隐患进行了分析。为了应对各种安全隐患带来的数据泄密的威胁,我们建议内外网采用完全物理隔离的架构,同时使用完全物理隔离的双网计算机,并根据企业需要的安全等级使用相应的数据交换方式,监控和限制内网到外网的数据传递,确保企业经营活动具备安全可靠的网络和计算机环境。
作者简介:
[关键词] 网络环境; 现代企业; 信息安全; 问题; 对策
[中图分类号] F208 [文献标识码] A [文章编号] 1673 - 0194(2013)04- 0084- 02
现代企业的信息安全是指在管理上和技术上对数据处理系统进行安全的保护,使计算机的软件、硬件、保密数据等不会遭到破坏、更改、泄露。通过对企业信息安全的管理,能够保护企业信息的机密性和完整性,保护企业的生产运营安全,是企业发展的必不可少的环节。
1 网络环境下现代企业信息安全存在的问题
1.1 人为因素造成的安全问题
现代企业之间的竞争十分激烈,企业管理者把精神都集中在企业的生产和经营上,对计算机的管理不够重视,加上网络属于新生事物的一种,人们会利用网络进行娱乐活动,却忽视了网络的安全性,缺乏网络安全意识,企业员工在工作时间利用网络进行娱乐活动的行为十分普遍,由于自身的安全意识匮乏,不但浪费了企业的网络资源,也加大了病毒侵害的可能性,威胁了企业的信息安全。企业信息安全的管理需要管理部门重视起来,现实中,企业对信息安全的管理投入很少,安全防范做得不好,管理者对信息安全管理的认识不足,下面的员工安全意识也淡薄,规章制度不完善,信息安全管理无据可依,管理者也没有对信息安全进行有效的监督,没有在第一时间发现网络存在的问题,甚至在网络不能正常运行了才去解决问题,给公司发展带来不利影响。
1.2 网络技术自身存在的安全问题
随着网络技术的发展,各种软件也不断更新换代,现在Windows 7正在大规模地进军国内市场,微软不断推出新的产品,各种操作系统的漏洞也一直存在,为病毒的滋生提供了机会,很多网络软件存在后门,这些后门原本是编程人员为了软件的扩展和维护设置的,如果被不法分子发现,对公司的信息安全有很大的威胁。计算机犯罪中最典型的就是黑客的攻击,黑客攻击也分为主动攻击和被动攻击两种,主动攻击直接为企业的信息完整性、机密性造成破坏,被动攻击虽然能够保证公司电脑的正常运行,但企业的重要信息可能会被截获、窃取,都严重影响了企业信息安全。
1.3 设备环境造成的安全问题
从网络环境来说,外部环境对企业信息安全也构成威胁,企业的计算机房的位置不能是随便设置的,需要有一定的安全技术要求。网络的线缆等通信设施容易被人为破坏,或者受到自然环境如地震、雷雨、电磁场等环境的影响发生破坏,并且自然环境的影响是不可预测的,一旦出现问题,会给企业的信息造成直接的破坏,影响信息的完整性。计算机的硬盘、内存的运行状况也应该得到管理人员的注意,计算机设备的防盗等都是问题,企业员工在工作过程中往往会拷数据回家,或者加班后在用U盘等移动设备把资料拷贝到公司电脑中,增加了企业计算机中毒的危险。
2 解决企业信息安全问题的对策研究
2.1 重视信息安全管理,加强制度建设
首先,企业管理者应该认识到企业信息安全的重要性,认识到网络保护的重要性,提高信息安全意识,这样才能加强制度建设,做好信息安全管理与监督工作。计算机房是重要场所,它的设置也需要一定的隐蔽性,一般不要设置在公司一楼。企业应该建立和完善信息安全管理制度,帮助员工树立信息安全意识,明确信息安全保护的对象和目标,保证各项管理制度的落实执行,制订明确科学的操作流程,规范员工的日常操作行为,制订应急预案和网络维护制度,计算机管理人员应该每天对计算机系统进行检查或者更新,及时发现网络运行中出现的问题,防止病毒的产生,在发生问题后把损失降到最低。
2.2 加强企业信息安全的网络技术控制
依靠网络技术来保护现代企业信息安全是十分有效的方式,网络技术手段主要有防火墙、信息加密与认证、病毒防控、数据备份等方式。防火墙是网络技术中保护信息安全最重要的技术之一,它通过设置屏障阻止黑客的访问,能够有效防止病毒的侵入,企业应该按照质量可靠的防火墙,并时刻关注防火墙的问题与升级情况。直接对企业信息进行加密也是有效的方法之一,企业可以设置专门的访问密码,仅供本公司员工使用,或者每个员工都有自己的上网编号,输入之后才能访问公司网络,公司也可以根据浏览记录查看哪些员工上网,能够有效防止企业人员泄密行为,对重要文件采取多种加密措施。企业应该注意对防病毒软件的更新换代,提高防毒、杀毒的效率,保证系统的安全。电脑一旦中毒,一些文件就可能丢失或者被更改,企业需要对重要文件进行备份,这样在发生中毒之后能够将损失降到最低。
2.3 加强法制建设,运用法律武器保护企业信息安全
现代企业的信息安全应该受到法律的保护,公司的机密文件关系到公司的生死存亡,关系到社会公平竞争,关系到个人隐私,应该受到法律的保护。国家应该完善企业信息安全的法律法规,为企业保护自己的权益提供法律武器,企业也应该具有法律意识,在公司的信息恶意遭到破坏和侵害时,不是采用同样的方法对待竞争企业,而是应该拿起法律武器保护自己,用国家法律来抵制侵犯,保护自己企业的信息安全与完整。
3 结 语
网络的发展是一把双刃剑,在给社会进步和发展带来巨大益处的同时,也带来了一些负面影响,企业应该辩证对待网络时代的发展,充分利用网络环境带来了优势,通过技术手段创新、管理加强、法律法规的完善等措施来保护企业信息安全,为企业的发展创造安全的环境。
主要参考文献
[1] 薛伟莲. 保证信息与网络安全的网络伦理规范体系的构建[J]. 网络与信息,2010(11).
[2] 费宏伟. 保证电算化时代会计信息安全的几点思考[J]. 东西南北·教育观察,2010(11).
[3] 张红,金永利,邱大成. 网络环境下会计信息安全的技术控制措施[J]. 中国高新技术企业,2009(10).
一、制造型企业信息安全的必要性
随着我国市场信息化水平加深,网络技术已经成为了推动社会发展重要因素之一。网络的便捷性,使得任何人都可以利用网络接受、传送大量的网络信息,或者是存在网络云盘之中。而网络的公开性,也导致网络对于任何人来说都没有门槛,这也是窃取信息的问题不断发生的主要原因。对于企业来说,尤其是制造型企业,一旦企业赖以生存的核心技术被盗取,几十年的劳动成果皆拱手送人,企业将承受巨大的、甚至是毁灭性的损失。
企业信息泄露还有一种就是人才流动,现如今企业人员流动较大,企业信息可能被直接带到其他企业之中,这也是个比较棘手的问题。
另外一种情况是随着企业之间的合作不断增加,企业外派员工成为常见的现象,这样就加大了企业间的交流和接触时间,对于本企业的信息泄露也许就是在不经意间。
无论是网络问题还是人为问题,如果造成企业信息泄露,其对自身企业的损害是非常大的。以技术为核心的制造型企业加强信息安全管理势在必行。
二、制造型企业信息安全管理的现状及问题
1.企业信息安全管理的被动性
制造型企业的工作重点在产品制造与生产,对于网络信息管理意识薄弱,很多时候企业只有发现企业信息泄露或者遭受病毒的攻击等安全事件,才会关注企业信息安全问题,进而调动技术部门前来解决问题。这很大程度上反映制造型企业对网络信息安全不够重视,只有出现信息安全问题时,才组建临时小组来解决企业信息问题,待到问题解决后小组便被解散,没有对企业信息后序的监督和管理,企业信息安全管理缺乏系统策划和制度化要求,管理活动临时性强,缺少日常的维护和预防,导致更多的是重蹈覆辙,这样不仅没有为企业省下对安全管理的资金,相反的恰恰是增加了企业的资金投入,直接增加了企业安全管理的成本。同时因为临时小组的组建,使得人员调动频繁,大大降低了工作效率,进而对企业的经济效益造成影响。
2.员工使用内部系统连接外网
虽然大部分制造型企业对企业自身的内网进行了防护监测,而且对员工上网和网页浏览采取了一定的限制措施,但是实际上,企业对员工上网的控制落实程度不够,员工依旧可以在工作时间使用企业网络进行外部网络连接,而且对于一些网站毫无防备。而网络病毒是时刻都在通过网络攻击使用者的,特别对于企业内部网络,黑客更是随时随地紧盯着企业内网出现漏洞,进而窃取企业内部信息。由于企业员工的疏忽,会有很大几率使得企业信息出现安全隐患,轻则影响企业正常的生产工作,重则企业商业、技术信息被盗取或者企业内网瘫痪甚至纵,为企业带来非常严重的后果及损失。
3.移动设备限制力度不够
制造型企业在信息安全管理方面通常采取的措施是限制流水线工人的移动设备使用,但是对于办公部门却没有严格要求,办公人员可以自由携带智能手机、笔记本电脑、pad、硬盘等移动设备。因办公人员要对数据进行处理,会导致企业内部信息被无限制地拷贝。而且现如今的移动智能设备都能直接通过企业的无线网络,连接企业内网以获得权限,这样的确提高了企业内部的办公效率,同时也给黑客病毒提供了通过无线网络进行传播的机会,提高了企业内部信息安全的风险。
4.信息安全防护技术水平低
在我国,普遍存在信息安全研发技术水平较低的情况,这也是制造型企业安全技术不高的原因之一。制造型企业的工作重心偏重于生产、制造及商务活动中,而对于网络安全的防护意识不高。
作为企业,都会有一些信息安全意识。在企业成立初期,信息安全防护措施通常会被考虑并采纳,尤其是一些进口设备,但仅仅依赖进口设备是远远不够的。第一,进口设备虽然技术先进,但是出现问题是在所难免的,往往出问题的是一些关键的零部件,这些零部件不仅难以拆卸且是整台设备的技术核心,设备厂商必然会控制其销售渠道。第二,很多企业过于相信进口设备的技术,力争做到一步到位,使得企业发展中前期安全防护的确不错,但是却忽略了系统的更新和维护,网络病毒每天新出几万种,就算设备再先进,如果不进行更新,迟早会被病毒攻破。第三,很多企业都采用家用式免费杀毒软件,这些杀毒软件更新频率快,一些简单病毒、木马都能有效查杀,对家用来说但是对企业来讲远远不够,企业一般是黑客重点关注的对象,黑客往往会研制更先进的病毒来攻克企业的防火墙,一些免费杀毒软件很容易被攻破,增加制造企业内部信息安全问题。
5.企业出现安全问题处理方法不当
现如今研发病毒的技术快速而先进,病毒出现时的及时处理是非常重要的,我国制造型企业在出现信息安全问题的时候,虽然有相关的杀毒软件,但因为大部分都是免费的,其更新速度虽然频率高,相对滞后性比较强,对于新病毒无法第一时间发现、处理。而且许多病毒都是潜在性的,企业内部系统中毒之后没有任何异样,这就导致企业内部人员无法及时发现企业内网是否被越权或遭到攻击。同时,由于很多企业缺少专门管理信息安全的部门,并且对于病毒侵入缺乏有针对性的安全对策和应急措施,这就导致就算病毒被发现,企业在第一时间也无从下手。
三、制造型企业容易出现安全问题的原因
1.企业内部信息安全意识低
制造型企业的本质是通过生产经营活动而获得盈利,因此制造型企业的工作重点主要是企业生产、制造以及流通和服务。在此情况下,企业更关注盈利情况,而缺乏对信息安全的管理意识,对信息安全管理的重视度不足。导致这一现象的重要原因是安全防护不能为企业带来直接的经济效益,反而要投入大量的人力、物力、财力。另一方面,从安全管理角度来说,没有事故发生才是管理绩效的体现。相对于质量管理、生产安全管理来说,信息安全管理的管理性质是类似的,但因为其管理对象的不可见性,往往容易被企业高层忽视。同时,一般也会存在侥幸心理,感觉企业内部网络不会受到黑客攻击,或是认为就算受到病毒攻击也不会对生产经营造成什么大影响,对企业整体利益影响不大。基层员工更是不明白什么是安全防护,对企业安全防护的重要性一无所知,这就导致许多企业内部信息技术会从员工口中泄露。
2.信息安全管理模式不够完善
制造型企业信息安全问题频发的原因,究其根本就是因为企业信息安全管理模式不够完善,具体原因是制造型企业不重视信息安全管理、缺少系统规范的信息安全管理制度、缺乏专业的信息安全管理技术和安全管理人员,企业信息系统设计没有风险评估、没有完善的业务流程,信息安全管理存在头痛医头脚痛医脚的现象。
3.信息安全系统没有应急措施
制造型企业信息安全系统缺少应急措施,也可以说没有自我保护系统。自我保护系统是一种比较先进的技术,一旦有病毒侵入系统,系统会自动对重要信息进行加密、封锁,待系统安全后自动解锁。然而由于对信息管理的意识不足,使得很多制造型企业没有建立信息安全自我保护系统。在我国,诸多制造型企业在信息管理方面更多的是依靠员工的经验,对于网络自身的保护信任度不足,也缺少对信息安全管理技术发展的关注和引用。
四、制造型企业信息安全管理存在问题的对策
综上所述,制造型企业信息安全问题是由很多因素造成的,包括管理层的重视方面、技术方面、人员管理方面等。首要的,企业应提升对信息安全管理的重视程度,只有加强意识,并建立有效的信息安全防范措施,才能有效保护企业自身的核心竞争力,以获得在市场经济中更好的发展。
1.提高企业内部员工的信息安全意识
很多制造型企业信息泄露都是内部员工无意间透露出去的,这也是最常见的企业内部信息泄露渠道,企业应充分重视员工的信息安全教育,定期对企业内部员工进行信息安全培训及考核,通过教育向员工灌输信息安全的基本知识和常识、企业内部信息的重要性、一旦发生企业核心技术泄露将产生的严重后果等信息。加强企业内部员工信息安全意识,也就是从根本上降低了企业信息安全隐患,企业中如果基层员工都非常了解并重视信息安全问题,那么这个企业在信息安全管理方面必然非常完善有效。
2.建立健全企业信息安全管理机制
由于很多制造型企业缺少健全的信息安全管理机制,这就给了很多黑客病毒更多的侵入机会。一套完善的信息安全管理机制能够有效的保护企业信息安全,降低安全隐患。制造型企业应该建立健全企业信息安全管理机制,设立专门的企业信息安全管理部门,这样能最大程度保证信息的日常安全防范,也保证了一旦出现安全问题,企业能更好、更快地解决问题,健全的管理机制能够对风险有一定的预见性,把风险降到最低。
3.加大对信息安全管理的资金投入
任何新型技术都离不开资金的投入,信息安全管理同样也是,而且信息安全管理更多的属于技术型投入,对资金依赖性更高。制造型企业想要获得可持续发展,就必须要把目标放得更加长远。企业内部信息往往是一个企业的核心,因此企业应提高对信息管理的重视程度,加大对信息安全系统的投资,把信息安全管理作为企业管理重要的一部分,信息安全管理资金划作专项资金专款专用。企业对信息安全管理的投资要有计划性,确保突况的资金投入、技术更新的资金投入、管理人员的资金投入、安全教育的资金投入等。把信息安全管理纳入企业整体的发展规划中,这样才能保证企业信息更加安全,企业才能获得长足的发展。
4.加大对信息安全管理人才的认识
因为信息对企业生存至关重要,信息安全甚至会影响到企业的发展战略的制定和落实,制造型企业应当把信息安全管理与生产经营提高到同一个层次。企业内网是网络技术领域,既然是技术,就离不开专业人才的支持,企业应该加强信息安全管理的人才培养,提高企业信息安全管理的质量。如果企业内部没有专业的信息安全管理人才,企业可以通过对外招聘的形式,在社会中寻求人才。现如今互联网技术已经逐步走向成熟,计算机人才更是越来越多,所以,制造型企业在社会中寻找信息安全管理的人才不会很难,同时还能促进计算机技术人才就业,对于企业自身以及社会都有很大意义。
5.加强企业内网管理
一般来说,企业内网系统中的信息很多都属于商业机密,基层员工是无权了解的。制造型企业应该把各个层级的员工账号及内网系统中的信息进行分类管理,按信息等级设置不同的访问权限和防范措施,以免企业员工在使用内网时网络病毒通过权限窃取过多的企业信息。另外,很多企业信息泄露都是由于某些员工通过企业无线网连接外网导致企业系统中毒,针对此类情况企业要制定相应的政策和管理制度,通过对硬件的管理和网页访问权限设置,严禁员工上班时间通过移动设备随意连接外网。
五、结束语
关键词:网络环境;企业信息;安全管理
随着网络的普及和广泛应用,人类生活办公都越来越离不开网络,在信息全球化的影响下,网络已经对人们的生活产生出了极为深刻的影响。因此,人们对网络环境下的信息安全问题也开始更加关注。在企业中运用网络,在促进企业发展的同时,也很容易造成企业中的信息出现泄漏的现象,且一旦信息泄漏,就会造成严重的影响。企业内部也是这样,与此同时网络安全问题却逐渐浮出水面,严重威胁到了网络健康和正常运行。所以采取相关安全管理与防范措施很有必要。网络化的社会可以让天下事尽收眼底,极其方便快捷。企业内部利用网络这一优势将其应用到实处,让网络在企业运营中发挥着重要作用。而有好处的同时往往也会存在着坏处这一对立面,安全隐患就是很棘手的一个问题。文章就是基于此来分析出切实可行的安全管理与防范对策,从而能够解决这一问题。
1信息安全与信息安全管理
(1)信息安全的根本目的是保障企业内部信息不受任何因素的威胁,确保系统能够连续可靠正常地运行,现代企业的信息安全是指企业为确保信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性不因偶然或恶意原因遭受破坏、更改和泄露而在计算机管理和技术上对数据处理系统进行的安全保护,保护企业的生产运营安全。(2)一般来说,存储设备配置和信息安全管理中的漏洞、网络环境和企业内部局域网潜在的危险是企业信息安全的主要隐患。结合企业实际特点和需要,构建企业信息安全管理体系,避免企业机密资料外泄,保护企业的生产运营安全是企业信息安全管理研究的重要课题。企业信息安全管理是企业为实现安全目标进行的信息安全风险相互协调活动,其目的在于通过制定信息安全政策、风险评估等系列工作尽量做到在有限的成本下保证资产的安全,维护信息的机密性、完整性和可用性。(3)随着科学技术的不断发展,云计算、大数据以及互联网等将引领着未来IT的发展。企业想要实现发展,就要做好基础性的工作,完善基础设施建设,建立出完善的信息安全保障系统,在健康的网络环境下来实现长远的发展。企业想要实现长远的发展,就要保证自身信息上的安全,同时还要认识到信息安全的重要性,从长远的角度上出发来保护好信息。
2网络环境下企业信息安全管理存在的问题
2.1计算机自身的不确定性
网络时代,人人都可以成为信息的制造者、传播者和接受者,但由于网络的开放性、匿名性以及网民素质的良莠不齐,不仅导致网络产生许多虚假信息、表述不明确信息,来混淆视听。甚至误导网民,引发,而且还为不法分子盗取企业信息提供了便利条件。加之,网络资源的共享性为网络系统安全的攻击者提供了破坏企业信息安全的机会,给企业信息资源带来大量的安全漏洞,给企业发展带来不利的影响。
2.2安全软件设计滞后
进入信息化时代,计算机在企业发展过程中扮演着极为重要的角色,而随着计算机与互联网技术的融合,网络不仅为企业提供了极为丰富的信息资源,拓宽了企业获取信息的渠道,而且还极大地提高了工作效率,提升了企业经济效益和社会效益。但拓扑结构的设计和各种网络设备的选择容易感染病毒或被黑客侵略的问题,给企业信息安全带来直接的安全隐患。而相关病毒查杀软件都是为应对问题而设计的,也就是说,病毒查杀软件是针对病毒研发的一种“见招拆招”的软件,具有严重的滞后性。合理的安全软件设计能够为企业信息安全提供较好的保护,不合理的安全软件设计则会成为企业信息安全的隐患。此外,由于安全软件设计不合理或维护工作不完备,也极易造成病毒入侵、系统瘫痪等状况,影响企业正常运转。
2.3网络操作系统的漏洞
随着网络技术的发展,作为网络服务得以实现的载体,网络操作系统不可避免地会存在一些漏洞,这些漏洞作为一种伴生性漏洞不仅一直存在,而且还为病毒的滋生和入侵提供了机会。不断更新换代的网络软件在设计时考虑到便于软件的扩展和维护,常会为编程人员设置后门,但网络协议实现的复杂性使得操作系统的缺陷和漏洞成为网络安全的硬伤,这些后门一旦被不法分子发现,会对企业信息安全造成很大的威胁。如黑客攻击就是基于网络操作系统漏洞而产生的一种难以防范的、人为恶意攻击,对企业造成无法弥补的损失。
2.4人为因素造成的安全问题
随着市场经济体制的不断完善,企业之间的竞争日趋激烈,很多企业只重视利益的发展,将全部精力集中于企业生产经营,并没有认识到企业信息保护的重要性,造成企业信息在存储过程中没有适当的制约机制,造成企业信息安全保障系统存在漏洞和隐患。加之网络作为一种新生事物,企业对信息安全管理投入不足,员工普遍安全意识缺乏,信息安全管理规章制度不完善,这不仅浪费了企业的网络资源,而且还极易出现安全隐患和漏洞。
3网络环境下企业信息安全管理建设的措施
3.1通过对目前的应用系统进行分析与评估等工作是实际
可行的办法安全风险评估。因此,在实际中企业中的信息系统根据风险管理的方法来对可能存在的风险以及需要进行保护的信息进行分析,以风险评估为最终结果来选择出适当的措施,应对好可能出现的风险。企业只有对安全风险进行有效的评估,才能够结合实际问题进行科学合理的分析,采取有效的措施避免风险出现。
3.2要做好技术上的创新。对于网络的正常运行来说,安全是最基础的,想要保证网络的安全,就要从多个层面上出发来进行立体保护。将监督检查机制落实到实际中去。时代的发展是建立在创新基础之上的,只有实现不断的创新,才能实现更好的发展。因此,在技术不断创新的影响下,就要提高其质量,保证效益,建立出以市场发展为基础的创新机制。同时还要保证财力上的支持,实现技术的改进与创新。通过对各项制度的实际情况进行检查,可以保证企业中信息的安全。想要保证信息的安全,就要制定出信息的抢救措施,如进行数据恢复、备份以及销毁等安全预防措施。
3.3充分运用防火墙技术
在网络信息安全的管理中,防火墙技术属于一项较为有效的安全技术,能够按照特定的规则,从而来允许以及限制数据的通过。防火墙能够有效防止黑客访问用户的及其,以此来组织黑客拷贝篡改用户的信息,以此来保证信息的安全。现今很多企业都广泛应用防火墙技术,以此来保证自身企业的信息安全。并且防火墙自身具有很强的抗攻击性,不会被病毒所控制。同时防火墙技术能够将内部的网络进行划分,从而来将重点的网段进行隔离,以此来对其进行保护。
4结语
总之,想要保证企业中的信息安全,就要坚持从信息安全技术与做好内部管理工作上出发,企业网络办公不仅可以将各个部门紧密联系在一起,工作沟通起来还可以更方便,极大地提高了工作效率,创造了更多的经济效益。这是新时代、网络时期给企业带来的难得一遇的机会和福音。通过安全技术的支撑来提高内部管理工作的效果,同时还要落实管理与监控工作,加强信息安全教育,建立出完善的管理制度,提高安全管理的水平。还竭尽全力做好企业内部网络的安全管理和防范对策,两者结合、相辅相成,这样一来企业的发展会更美好,更有希望。
作者:于倩 单位:淄博信息工程学校 淄博建筑工程学校
参考文献:
【 关键词 】 企业信息;信息安全;风险管理;框架探究
1 引言
人类社会在不断发展,信息化逐渐融入人们生活。信息资源对于现代企业来讲,是每时每刻都存在的运转载体,各种重要数据、企业的知识产权等这些都是企业的内部信息,除这些信息外,其他相关方面的数据也被企业所利用,例如合作伙伴、客户、员工等资料,尤其是一些服务性企业,比如网商、快递公司、金融公司、通信公司、航空公司等,这些企业更需要以信息系统作为支撑,信息资源成为企业不可或缺的重要组成部分。
2 新形势下我国信息安全面临的问题
2.1 风险意识在主观上的淡薄
在我国信息安全上面,思想认识面临高风险的形势,大部分企业的管理高层对信息资产的认识严重不足。或者局限在IT的安全方面,没有合理的安全观念引导企业在信息安全管理方面的工作。信息安全管理制度的完整性缺乏,规范安全风险和安全法律法规对员工的培训缺乏,很多信息安全事故的发生都是因为安全意识的薄弱造成的。
2.2 缺乏信息安全管理系统的思想
大部分企业仍是将传统的管理方法用在安全管理模式中,这种出现问题再去想弥补的方法是静态的管理,不能在提前进行信息安全风险评估上做更有效的信息系统管理。
2.3 信息安全不仅仅是技术部门的事
多数企业认为信息安全的责任和义务都是IT部门的,造成信息技术部门无法和企业内部其他部门互动,进而形成孤立的局面。但是,信息安全的实现需要各个部门的全员行动,特别是规范标准以及规章制度的贯彻落实,更牵涉到企业的每一名员工,全员行动的要求更是不能缺少。
2.4 存在重视安全技术而轻视安全管理的情况
现今为止,仍有很多企业仅仅依赖产品安全,认为信息安全就是信息产品安全。一般企业现在都会采用计算机和网络技术来构建企业的信息系统,但是没有把相应的管理措施开展到位。信息安全问题应该加强做好管理工作,不能单从技术方面着手。
2.5 现代管理手段与理论欠缺
日益庞大的现代化信息规模与越来越复杂的网络结构,让现有的风险管理手段和理论都不足以让企业信息安全得到完全的满足,企业应该结合实际情况和需要,把国际上优异的信息安全风险管理理论以及先进的最佳实践用作指导,以此达到信息安全的目的。
3 企业信息安全风险管理的框架探究
企业信息安全风险管理的框架包括两个部分,一是企业信息安全风险管理的过程,二是企业信息安全风险管理的实施。其中,实施是过程的保障,整合各种资源要通过实施才能达到;过程是实施的前提,对过程的清楚有利于建立企业信息安全风险管理的统一理解,以此逐渐实现信息安全风险管理。企业信息安全风险管理包括风险分析、风险计划、风险识别、风险监督、计划实施、风险改进六个动态过程。
信息安全风险管理是动态、持续性过程,信息安全通过潜在的风险识别、分析,同时进行计划、实施、监督、改善,然后再进入到下一个循环里,通过持续不断的循环活动进行有计划、持续的控制,不断改进。
参照戴明的PDCA质量管理模式,把安全项目实施划分为四个阶段,分别是准备和策划、执行和部署、监控和检查、评价和改进,实施阶段有几个工作步骤:(1)准备和策划工作阶段,首先调研信息安全风险管理现状,接着进行风险评估,然后编制信息安全风险管理方案;(2)执行和部署工作阶段,进行部署安排,按计划执行,接着进行安全培训;(3)监控和检查工作阶段,做好企业安全现状检查,预测未来的变化;(4)评价和改进工作阶段,制定改善措施,响应紧急事件。
4 企业信息安全风险管理的实施
在风险管理中人、过程、基础结构和实施是四大影响风险管理能力的关键因素,企业的信息安全风险管理能力同时也受着这四个因素制约,所以企业信息安全管理中十分重要的就是人通过各类资源和企业基础结构达到信息安全风险管理过程的实施活动。
企业在开始尝试安全风险管理实施之前,很重要的一点是应该检验现有安全风险管理的完善度。假如企业在安全风险管理上没有规范的流程和正式的策略,就会出现框架的实施非常艰难。换句话说让企业有一些正式的策略和明确的指导,将避免大多数员工都在工作中不知所措。假如在安全风险管理上发现企业相对不够成熟,则可以采取试点的形式,把安全风险管理实施到单个业务单元中,直到通过试运行在框架中显示有效以后,再考虑将其他业务单元导入至整个企业框架中。
框架实践需要以最优实践的经验为基准,必须有利于企业确定安全现状,同时按照需要的安全方向进行改进,企业的安全风险管理能力通过不断的提高,就能逐渐努力向着安全的目标前进。
5 结束语
进入信息化时代,企业已经把信息系统的高效、互联、精确的特征当作赖以生存和发展的必要条件。因此所伴随产生的信息安全风险就成了企业关注的重点问题。在此情况之下,企业建立信息安全风险管理机制,利用科学的方法和手段控制各种风险的发生显得尤为重要。动态循环是企业信息安全风险管理的一个过程,在风险评估的前提下,要落实对风险控制措施。同时对过程的实施要进行有效的控制和监督,这就需要一个明确清晰并且具有可操作性的信息安全风险框架来指导。还有需要探究的工作在信息安全风险管理领域里,但愿本文能引来更多这一领域探究,从而做出保障企业信息安全的贡献。
参考文献
[1] 陈慧勤.企业信息安全风险管理的框架研究[J].2011,21(40):42-46.
[2] 惠志斌.企业IT风险管理的体系构建与实现路径[J].科技管理研究,2014,34(2):36-55.
[3] 叶铭.企业动态信息安全风险控制系统的研究[J].2012,08(11):81-85.
关键词:中小企业;信息安全;问题;措施
信息安全主要指的是在网络中承担信息存储的硬件或者软件能够在受到外界认为破坏、修改的情况下长期稳定地运行,保证整个系统的信息服务不中断。在当前网络高度发达的今天,良好稳定的信息安全体系是保障我国企业信息安全的重要保障,企业中的信息安全包含了计算机操作系统、网络传输协议、安全防护等级以及各类认证和签名等安全保障组件,如下图所示:
图1 中小企业信息安全结构
在整个安全体系中,一旦有某一个组件发生了信息安全问题,那么整个信息安全系统乃至整个企业的信息安全都有可能受到安全威胁。
一、我国中小企业信息安全存在的问题
1.信息安全风险大
当前我国的中小企业普遍已经开始认识到信息安全的重要性,但是在思想上还没有对企业的信息安全管理形成足够重要的认识,当前我国的多数中小企业管理人员在日常的工作中仍然沿袭传统的管理方式,并没有进行变革和创新,因此在信息化普遍应用的今天,仍然是一种信息化的表面现象,在信息安全意识没有深入根植的今天,多数的中小企业信息安全工作只是停留在表面。
2.专业人才缺乏
我国的中小企业在信息安全方面的人才一般都比较缺乏,信息安全工作的不重视使得企业管理人员不愿意花过多的资金在安全保障上,毕竟安全不能够直接产生经济效益,因此在这样的情况下,企业的信息化工作很难得到发展,主要体现在没有专业化的信息安全保障团队,即使有了专门的工作人员,也不能够在技术上达到足够专业的程度,管理人员和技术人员互相都不能够沟通和兼顾,
3.安全资金不足
在信息安全方面,由于我国的中小企业管理者普遍不够重视,因此也就很难投入大量的资金,信息化工作是一项注重系统化的工作,无论是硬件系统还是软件系统的建设维护都需要大量的资金投入,因此离开了足够的资金支持信息安全工作也就无法保证。加上我国中小企业普遍竞争激烈,用于安全的资金十分有限,依靠外部融资的话又没有足够的信用进行借贷,加上借贷的风险也十分庞大,大多数的银行或金融机构都不愿意将资金用在信息安全上。
二、我国中小企业信息安全问题的解决对策
1.强化安全风险意识
我国的中小企业,首先就需要从思想上认识到安全也是重要工作这样一种思想,只有了解以后才能够根据当前的问题进行针对性解决。信息安全系统的建设并不是所有的安全工作都到位,还需要根据企业的实际情况建立合适的安全策略,并在意识上强化工作人员的安全防范思想,将安全摆在重要的位置上,也就是说企业的信息安全工作需要企业管理人员的大力支持,还需要适合企业自身的安全防范方案,只有在管理层思想上和执行层的行动上同时做到位,企业的整体信息安全工作才能够真正有效保障企业的安全。
2.建设合理安全策略
在安全策略的选择上,无论企业选择了哪一种方案,企业的用户都要了解安全解决方案只能够是企业信息安全工作的一部分,甚至只是基础性的工作,企业不能够过度依赖安全工具的使用,而疏于防范人的因素,这是由于当前的安全事件统计来看,我国的中小企业在信息安全问题上出现最多的就是人为的安全事件,因此企业的管理者必须要针对内部控制建立有效的内部安全策略,保证企业的每一个员工都能够准确执行自身的工作任务。
值得注意的是,近些年来企业的网络信息交流工具越来越多例如Skype、BT等等,怎样对这些数据传输工具进行管理对于信息安全工作来说是十分重要的,虽然这些信息安全管理会在一定程度上影响到企业的网络质量,但是这些都是目前中小企业无法摆脱的应用工具,因此针对这样的现象我国的中小企业需要进行细分化的处理方式,例如让企业用户使用带有IPS的协议分析过滤功能的交换机,在一定安全限制的条件下进行网络数据传输应用。
3.信息安全外包建设
许多中小企业在自身信息安全建设的过程中,由于经验不足或者专业知识的缺乏无法独立完成建设,因此会在建设过程中带来大量资金的浪费,还有软硬件的升级上也需要后期的大量资金投入,加上建设工作需要消耗大量的人力资源,信息中心的网络维护工作和安全管理人员,这些都是不可避免地投入。
三、总结
总的来说,当前我国中小企业的信息安全建设工作主要集中在自身安全策略以及解决方案上,目前随着时间的发展,中小企业的信息安全漏洞会越来越多,问题也会越来越加剧,但是我国的中小企业已经正在开始意识到该问题,将越来越多的资金投入在信息安全建设上,并通过外包的方式使用性价比较高的解决方案,只有用专业的信息安全建设在自身的管理运营中,中小企业才能够真正在市场竞争中处于优势地位。
参考文献:
[1]林山.中小企业信息安全问题及解决方案[D].重庆大学,2007.
[2]佚名.中小企业您的信息安全吗?[J].网络与信息,2002,(1).
[3]陈俊豪.浅析中小企业电子商务中的信息安全问题[J].中国商贸,2010,(25).
【关键词】信息社会,企业,信息安全
【中图分类号】C931.6【文献标识码】A【文章编号】1672-5158(2013)07-0151-01
一、我国信息网络安全存在的问题
网络安全本质上指的是网络信息安全,目前的公共网络存在着很多安全漏洞,涉及到诸多领域。只要涉及到网络信息的保密性、可用性、完整性、真实性和可控性,都属于网络安全研究范围内的。威胁网络安全的因素主要是黑客攻击、电脑病毒、数据监听和拦截。
1、黑客攻击
黑客通过技术手段,选择有漏洞的路径,进入网络或者个人电脑窃取数据信息、破坏文件或程序,阻碍合法用户使用网络,对企业的信息安全带来威胁。
2、病毒入侵
电脑病毒隐藏于文件或程序代码内部,并自动复制,通过网络、磁盘进行传播扩散。
3、数据监听和拦截
直接或间接获取网络定的数据,并分析数据,以此来获取所需信息。
二、企业信息安全的影响因素
企业信息安全包括信息系统的安全、信息的安全和人为的因素。企业信息安全有以下几个方面的影响因素:
1、信息环境
影响信息环境的因素是外部网络环境,外来攻击分为闯入、拒绝服务、信息窃取三类。最为常见的是闯入,黑客通过第三方电脑闯入企业主机内,使用主机内的信息。他们通过搜索系统寻找软件或者磁盘的漏洞或者配置错误,从而侵入系统。
2、系统软件和数据信息
系统软件中,对信息安全构成影响的是系统设计漏洞和程序兼容性的问题,这些漏洞和问题会使系统出现故障,给黑客入侵带来条件。系统安装的应用软件中,应用软件设计开发的错误和漏洞,也会造成数据错误或者丢失。
数据信息往往存储在硬盘上,硬盘的故障,软件的故障,病毒入侵,黑客入侵,人为破坏都有可能使数据丢失。
3、人为原因
人为的一些因素对信息安全的影响最为深刻,在企业内部,管理信息的人员如果操作不当或者其他原因造成数据丢失,导致巨额资金打造的网络安全机制形同虚设。
三、企业信息安全防范措施
信息安全防范措施在不影响网络正常功能的前提之下,在网络系统的不同层面进行安全规划,采取相应的安全防范措施。
企业采取的信息安全措施包括防火墙技术、数据加密技术、入侵检测技术、漏洞扫描技术。
1、防火墙技术
系统安全最为常见的技术就是防火墙技术,防火墙意思是在外网和内网之间架设一个防火墙隔离开来。
对于企业来说,设立防火墙必须要设定网络安全策略,网络安全策略是用来过滤交换信息,对外网和内网之间的数据传递信息进行筛选,符合条件的可以继续访问,不符合条件的不能进行交流活动。但防火墙仅限于外网访问内网时使用,内网安全还是要通过控制和管理实现。
2、数据加密技术
数据加密技术用来提高信息系统的安全性和保密性,防止内网的资料信息被外网破解。数据加密技术分为数据传输、存储和完整性的识别和密钥管理。数据加密是信息安全的核心所在。
3、入侵检测技术
通过网络或者系统内的关键点采集信息,分析这些信息中是否有非法企图或其他行为,并做出回应。
4、漏洞扫描技术
自动检测远端和内部,查询各个服务端口,记录目标的响应,收集特定项目的有用信息。
四、信息社会环境下企业的信息安全防范的长远策略
1、加强信息安全意识
我国社会的信息安全意识逐步提高,但是将信息安全问题提到议事日程的情况并不是很多,每当发生网络安全威胁时,很大程度上是安全管理疏漏引起的,很多企业的信息网络系统于毫无防备的状态。
加强信息安全管理,提高信息安全意识,增强网络信息的安全防护能力是非常有必要的。
2、建立健全信息安全管理体系
一个信息化程度非常高的企业,网络信息安全不单是一个技术层面的问题,同样是一个管理模式的问题。很多病毒、漏洞出现之后,网络中会及时出现相应的杀毒补丁或插件。企业要形成良好的信息安全管理制度和系统安全维护措施,即是技术与制度相结合,制定恰当的管理策略,并认真执行,才能够提高企业的信息安全。
总结
信息是经济社会发展的重要战略资源,也是评定一个企业甚至国家的重要指标。随着信息化社会的不断推进,人们对信息的依赖程度越来越高,在这个过程中,信息安全显得尤为重要。企业发展壮大的前提是要有一个安全的信息系统,所以说,科学的管理制度和技术是企业求得生存和发展的必经之路。
参考文献
[1] 黎继子,刘春玲.基于互联网的企业信息安全防范策略[J].CAD/ CAM与制造业信息化.2008(1):22-24
[2] 周学广,刘艺.信息安全学[J].机械工业出版社.2009(8):195-214
购物车(0)