时间:2023-10-23 09:58:15
导语:在公司网络信息安全的撰写旅程中,学习并吸收他人佳作的精髓是一条宝贵的路径,好期刊汇集了九篇优秀范文,愿这些内容能够启发您的创作灵感,引领您探索更多的创作可能。
互联网最初发展的目的在于方便人们的工作与生活,但是在发展的过程中逐渐形成了扩张性、渗透性、互动性的特点,这些特点为各种的权益主张、思想激荡碰撞有时甚至是违法犯罪提供了一个广阔的媒介和平台。在一定程度上为网友的诉求提供了新的途径,给他们一个发表言论的平台;但是一旦利用不好就会给公安机关带来极大的管理压力,在意识形态、舆论引导、社会管控等方面产生的新情况、新问题也让党在进行执政能力建设遭遇到了一定程度上的阻力。在新的形势下,公安机关要更加重视对网络的安全保卫工作,将网络保护放在工作中更为重要的位置,在进行战略部署时,要对网上网下进行双向部署,保证部署的全面性。根据当前所面临的局势在原有政策的基础上不断创造与发展的同时要进一步加强组织决策者的领导能力,能够在大方向正确的基础上稳步推进网络安全保护工作的发展。
关键词:
网络安全;公安信息建设;公安工作
0引言
网络日益发展,公安机关建设的公安网在各种打击违法犯罪中起到了重要的作用,这是“科技强警”“向科技要警力”口号的一个具体落实。[1]公安机关将信息化运用于“网络追逃”“网络打拐”等侦查破案中,并成为了基本的侦察手段,公安网的迅速发展有利于不断促进社会的稳定、打击预防犯罪并维护良好的社会治安。我国公安机关对公安内网的建设投入了很多的人力物力,因为一旦公安内网出现安全问题,就会导致大量的内部工作信息和保密数据被泄露,后果无法想象。从基层各级基本单位到公安部都存在着同样的风险,常常出现的问题有“一机两用”等。目前摆在公安机关面前的问题是如何运用更加先进的技术对公安内网的大量信息和数据进行良好的保护。
1公安网安全问题分析
1.1概述
公安信息网一般分为内网和外网。内网的用途一般是用来进行日常的办公、办案以及违法处理;外网是用在民警搜集、检索信息和材料所需要使用的网。外网所遭受的攻击和破坏主要是来自于病毒和木马的攻击,这往往能够通过防火墙等一系列措施进行安全保护。内网的攻击来源与外网是不同的,主要来自于内部,并且比外网更容易遭到破坏的同时防范的难度也会更高。为了防止外网的入侵,在公安网的设计之初就将内网和外网的物理层断开,阻断外网对内网进行入侵,同时也为内网加装了防火墙和入侵检测设备,但是这些所起到的作用并不十分显著。[2]
1.2时常受到攻击的原因
(1)随着信息化网络技术的不断发展,我国公安机关的网络建设逐渐优化,网上办案系统的运用达到一个新的层次。办公自动化系统、网上执法办案系统、道路交通违法信息处理系统等大规模系统的使用和普及,对内部网络的通畅要求越来越高。这是网络常常遭到攻击的原因之一。
(2)公安系统内部网络仍然具有一定的安全风险。网络在使用的过程中常常会产生漏洞但是由于系统较多而没有及时的进行修补,这给黑客的攻击提供了便利和降低入侵的难度。随着黑客技术不断快速发展,对黑客的技术水平和要求也越来越低,因此从事黑客的难度也会越来越低。外网时常面临着黑客攻击的风险,内部所面临的威胁也不少,公安内网大量的工作信息和数据也有被窃取的可能性,所以黑客对于公安网具有很强的破坏性和威胁性。湖南湘潭市公安局发生的工作人员使用黑客手段窃取内部网络的信息和公安网的服务器密码便是一个很好证明,也为公安机关敲响了警钟。
(3)部分攻击来自于内网。数据保护在目前的公安网受到重视的程度不高,给一些不法之徒提供了破坏或者是盗窃的便利。保护不力主要体现在以下几个方面:用户直接对数据库和服务器进行操作,这导致了入侵者常常对关键数据进行破坏或者是窃取;民警进行数据处理时忽视了数据加密,使数据处于一种公开状态;公安机关在设计之初对用户进行了权限等级的排序,加大了管理难度,这也会导致更高权限的用户被出现越权操作的情况;还有一种越权操作的情况是民警经常使用别人的账户的情况。数据库管理的不严格、不严密导致了数据容易处于透明状态、文件有时具有的共享属性以及用户使用的不严谨都导致了内部网络经常遭到了破坏。
2安全措施
通过前文的原因分析,受到攻击后的内网造成的严重后果是显而易见的。如何对内网进行安全建设,加强网络保护,尽量减少因为遭受攻击而导致的后果是目前我国的公安系统必须要重视的一个重点。通过笔者自身的基层实习,对公安机关有以下几个建议:
(1)完整公安网络体系的建设。公安机关必须摒弃过去混乱的网络管理和使用模式,进行至上而下的完整体系建设。配备装置良好的安全防护工具是首先要做到的,并对从上公安部到下的基层民警都需要进行统一建设。在选择安全防护产品是要注意售后服务系统的完善,重点在保密和防护各方面都需要有良好的性能。在有了优秀的安全防护工具之后,需要有一批高水平的专业技术人才进行日常系统建设和维护,建设一支具有高水平的网络安全维护队伍有利于提高公安系统整体的水平和素质。
(2)对网络安全的重要性向广大民警大力宣传,提高广大民警的计算机安全保护意识。宣传不仅要在公安部进行,更要在各个基层公安机关进行不同方式的宣传,主要方式有全体民警会议等。宣传主要分为三个方面:一是提高广大民警对计算机网络安全保密工作的重要性;二是操作公安网计算机安全保密的重要性;三是增强民警计算机网络安全信息保密的重要性,概括来说即为网络安全、操作安全、信息安全三个主要方面。公安机关所使用的计算机必须要设置难度较大的密码,无密码设置给黑客攻击提供了一定的便利;进行数据备份,避免因为电脑的故障或者是黑客的入侵导致数据破坏导致数据丢失;公安机关定期对电脑计算机网络进行检修或是出现故障需要外界人员对电脑进行接触时,要有专人在场进行监督,避免数据被窃取,并在接触之后离开之前将设备取回。
(3)加强公安机关内网的安全管理建设。在安全管理方面,公安机关要尽快的形成一套完整的管理方法,将安全管理建设落实到制度中去,将每个人的责任界定清楚避免出现责任不明确相互推诿的情况。公安机关内的计算机的用户和权限都要进行明确的划分,民警签订每台机子的网络安全责任书,避免出现“一机两用”的情况。因为这种情况可能造成计算机感染病毒,其中的数据遭到窃取或是破坏。这很有可能导致公安机关内部网络信息泄露。提高民警网络安全保护意识的同时要严格的执行各项安全保护制度,“八条纪律”和“四个严禁”要严格遵守,违者将会受到严厉的处罚,若是造成了数据破坏或是泄露的情况,将会追究相关的法律责任。《公安网络安全考核准则》中规定了各个单位都要有网络安全主管领导和网络安全管理员对本单位的网络安全进行实时监控和管理。
(4)提高网络安全技术的水平和层次。入侵检测、攻击防范、数据修复是网络安全策略的三个重点。内部安全防范的技术水平已经达到一个较高的水准,因此应在对防范人的方面提高重视程度。只有及时的发现入侵者,才能更好的解决问题,不多走弯路。入侵检测工作的同时我们要注意对黑客攻击进行防范。数据传输的过程是比较容易遭到黑客窃取的时间点,因此在进行数据传输时要采取相应的加密措施。安全的密匙分发制度能够防止用户对业务的否认和抵赖,同时数据遭窃后被破解的可能性也会降低,提高了数据传输时的安全性。要时刻注意数据备份,当网络被黑客入侵,关键数据被破坏时能够及时使用备份,减少对公安机关正常工作带来的影响。
3结束语
公安系统网络安全建设是一项长期建设的过程。公安机关首先要真正认识到建设的重要性并对其加以重视并采取相应的措施进行建设才能推动网络安全建设的不断发展。笔者作为公安机关计算机教育的从业人员,对信息安全的重要性有一个明确的认识。前文所提到的只是想为公安机关敲响一个警钟,希望有关部门能够重视起来并进行沟通建设,努力推动网络安全技术的不断革新与发展。
作者:赵冉 单位:山东省昌邑市公安局
参考文献:
信息安全是指计算机网络系统中的硬件、软件和其他数据等不受非法用法的破坏,主要指未经授权的访问者无法使用访问数据和修改数据,而只给授权的用户提供数据服务和可信信息服务,并保证服务的完整性、可信性和机密性。电力信息安全是指供电系统中提供给用户或公司内部员工的数据是安全的、可信的。供电公司管理系统是个繁杂的系统,涉及用电客户和公司内部员工及第三方托管服务公司,系统的信息安全一直是公司发展的瓶颈。正确评估供电公司信息安全系统的合理性和安全性,针对安全风险进行分析,最后制订供电公司信息安全的策略非常重要,也是至关重要的。
2供电企业信息安全的影响因素
尽管供电公司投入了大量的财力、物力建设电网信息安全系统,但供电企业内部网络仍不健全,存在许多安全隐患。另外,供电公司信息化水平不高,信息安全保障措施薄弱也制约了其信息安全系统的建设。要构建一个健全的供电公司信息安全保障体系,就要首先分析供电公司信息安全的影响因素,对症下药,进一步提出供电企业加强信息安全管理的对策。
2.1不可抗拒因素
所谓“不可抗拒因素”,就是由于火灾、水灾、供电、雷电、地震等自然灾害影响,供电公司的供电线路、计算机网络信号、计算机数据等受到破坏,并威胁到供电公司的信息安全。
2.2计算机网络设备因素
供电公司计算机系统中使用大量的网络设备,包括集线器、网络服务器和路由器等,其正常运行关系着供电公司内部网络的正常运行,而计算机网络设备的安全直接关系着供电公司的正常运行。
2.3数据库安全因素
供电公司计算机系统监控用户峰值,管理用电客户信息及其他用户缴费等情况,计算机数据库的系统安全决定了供电企业的调度效率,也决定了供电公司公共信息的安全。供电公司应该使用专用网络设备,确保企业内部网络与外部互联网的隔离。
2.4管理因素
供电公司员工的业务素质和职业修养参差不齐,直接影响到供电公司的网络安全。供电公司应该建立过错追究制度,提高员工的信息化素质,有效防止和杜绝管理因素造成的信息安全问题。
3供电企业加强信息安全管理的对策
3.1提升员工信息安全防患意识
开展信息安全管理工作,并非仅仅是系统使用或者管理部门的事,而是企业所有职工的事,因此,要增强全体员工的信息安全和防患意识。通过采取培训和考核等有力措施,进一步提升全体员工对企业信息安全的认识,让信息安全成为企业日常工作业务的一个组成部分,从而提升企业整体信息安全水平。
3.2采用知识型管理
传统的安全管理大部分采取的是一种硬性的管理手段。在当今知识经济的时代,安全管理应当以知识管理为主,从而使得安全管理措施与手段也越来越知识化、数字化和智能化,促使信息安全管理工作进入一个崭新的阶段。
3.3设置系统用户权限
为了预防非法用户侵入系统,应按照用户不同的级别限制用户的权限,并投入资金开展安全技术督查和安全审计等相关活动。信息安全并非一朝一夕就能完成的事,它需要一个长期的过程才能达到较高的水平,需建立并完善相应的管理制度,从平时的基础工作着手,及时发现问题,汇报问题,分析问题并解决问题。
3.4防范计算机病毒攻击
加速信息安全管控措施的建设,在电力信息化工作中,办公自动化是其中一项非常重要的内容,而核心工作业务就是电子邮件的发送与接收,这也正是计算机病毒一个非常重要的传播渠道。因此,必须大力促进个人终端标准化工作的建设,实现病毒软件的自动更新、自动升级,不得随意下载并安装盗版软件;加强对木马病毒等的安全防范措施,对用户访问实施严格的控制。
3.5完善信息安全应急预案
严格规范信息安全事故通报程序,对于隐瞒信息事件的现象,必须严肃查处。对于国家和企业信息安全运行动态,要及时通报,分析事件,及时信息安全通告。对于己经制定的相关预案和安全措施,必须落到实处。另外,还要进一步加强信息安全技术督查队伍的建设,提高信息安全考核与执行的力度。
3.6建立信息安全保密机制
加强信息安全保密措施的落实,禁止将计算机连接到互联网及其他公共信息网络,完善外部人员访问的相关授权、审批程序。定期组织开展信息系统安全保密的各项检查工作,切实做好文档的登记、存档和解密等环节的工作。
4结束语
三年以上工作经验|男|26岁(1987年7月6日)
居住地:上海
电 话:139********(手机)
E-mail:
最近工作 [ 1年6个月]
公 司:XX网络有限公司
行 业:通信/电信/网络设备
职 位:网络信息安全工程师
最高学历
学 历:本科
专 业: 信息安全
学 校: 北京工业大学
自我评价
本人毕业于信息安全专业,有多年的网络安全方面的从业经验,熟悉风险评估和计算机等级保护。有扎实计算机知识和应用能力,熟悉各项网络安全技术,如防火墙、病毒防范、备份技术等。性格开朗、稳重、有活力,待人热情、真诚。工作认真负责,积极主动,能吃苦耐劳。喜欢思考,虚心与人交流,以取长补短。有较强的组织能力、实际动手能力和团体协作精神,能迅速的适应各种环境。
求职意向
到岗时间:一个月之内
工作性质:全职
希望行业:计算机服务(系统、数据服务、维修)
目标地点:北京
期望月薪:面议/月
目标职能: 系统工程师
工作经验
2012/8—至今:XX网络有限公司[1年6个月]
所属行业: 通信/电信/网络设备
技术部 网络信息安全工程师
1、负责分析公司网络的安全架构及应用开发需求;
2、负责根据网络的安全管理需求进行测试计划分析及测试方案设计;
3、负责对网络管理系统进行功能测试及稳定性测试;
4、负责对企业账号管理系统进行安全性测试及可用性测试;
5、负责根据测试结果,对软件开发及流程进行改进,以保证软件的质量。
2011/7—2012 /7:XX计算机服务公司[1年]
所属行业: 计算机服务(系统、数据服务、维修)
技术部 系统工程师
1、负责服务器的管理维护;
2、负责为公司内部员工帐号的创建和管理;
3、负责创建备份策略,监控备份进度,确保达到公司安全策略标准;
4、负责日常服务器运营报告的创建和更新;
5、负责定期为服务器进行安全性升级,确保安全策略符合公司及客户要求。
2010/6—2011 /6:XX科研公司[1年]
所属行业:学术/科研
技术部 信息安全分析师
1、负责信息系统等级保护、信息安全管理体系建设等信息安全服务业务的市场推广;
2、负责信息安全规划及建设方案的设计与编写工作;
3、负责专业技术人员的培养、培训等技术团队的建设和管理工作;
4、负责信息安全服务资质的申请、审核、续评、维持等工作;
5、负责信息安全领域和涉及信息安全的其它领域科研课题申报与研究工作;
6、 负责协助市场部门进行信息安全服务和产品的宣传策划工作。
教育经历
2006 /9—2010 /6 北京工业大学 信息安全 本科
证 书
2007/12 大学英语六级
2007 /6 大学英语四级
关键词 信息安全风险;控制;策略
中图分类号:TP309 文献标识码:A 文章编号:1671-7597(2013)12-0144-02
信息化时代,计算机应用范围日益广泛,社会发展和人们生活已经离不开信息网络。信息成为企业中重要的资源之一,很多企业都大量引入了信息化办公手段,运行于系统、网络和电脑的数据安全成为了企业信息安全面临的重要问题。尽管很多企业都认识到信息安全风险管理的重要性,也纷纷从人员配置、资金投入、技术更新等多方面加强对信息安全风险的管理,但是企业信息安全风险并没有随之消失,相反却在不断地增长。现在,公司在越来越多的威胁面前显得更为脆弱。网络攻击日益频繁、攻击手段日益多样化,从病毒到垃圾邮件,这些方式都被用来窃取公司信息。,如不提前防范,一旦被袭,网络阻塞、系统瘫痪、信息传输中断、数据丢失等等,无疑将给企业业务带来巨大的经济损失。
中国国家互联网应急中心抽样监测显示,2011年,网络安全威胁呈蔓延之势,有近5万个境外IP地址作为木马或僵尸网络控制服务器,参与控制了我国境内近890万台主机,网上资产损失就高达十多亿。仿冒我国境内银行网站站点的IP,也有将近3/4来自美国。可见企业信息安全风险控制势在必行,不仅仅是企业需要关注的问题,也是涉及到国家安全的重要课题。
1 企业信息安全风险分析
1.1 黑客的入侵和攻击
企业面临着一系列的信息安全威胁,其中最普遍的一种信息安全威胁就是病毒入侵。一些教授黑客技术的网络资源随处可见,很多年轻人处于好奇或者出于牟利目的,从网上购得黑客技术,对企业网站进行攻击。2011年4月26日,索尼在“游戏站”博客通告,称黑客侵入旗下“游戏站”和云音乐服务Qriocity网络,窃取大量用户个人信息,包括姓名、地址、电子邮箱、出生日期、登录名、登录密码、登录记录、密码安全问题等,受影响用户大约7800万。黑客入侵方式中危害最严重的当属SQL注入。SQL注入的实际意义是利用某些数据库的外部接口把用户数据插入到实际的数据操作语言当中,从而达到入侵数据库乃至操作系统的目的,很多黑客通过SQL注入交互和命令,利用数据库实现木马植入到网站中。SQL注入和缓冲区溢出漏洞相比,可以绕过防火墙直接访问数据库,进一步获得数据库所在的服务器权限,给企业造成的损失十分惨重,更使广大互联网用户深受其害。
1.2 企业信息安全防范意识薄弱
目前,很多企业都加强了信息化建设,通过资金投入、技术改造等多方面加强企业信息安全。但是信息风险不仅仅是技术层面的东西,更重要是人的意识层面对安全风险的认识。在企业中,很多部门和个人依然对信息安全风险问题不重视,有的认为信息风险安全是网络部门的事情,与其他部门或者员工没有关系,而且也帮不上忙;有的人认为对信息安全的宣传有夸张的嫌疑,真正遭受过网络攻击的企业屈指可数,肯定不会发生在自己身上;有的企业 缺乏信息安全风险管理的制度建设,没有出台具体的故障制度,造成很多情况下,员工无章可循,不知道怎么应对网络信息风险,出现问题也不知道如何化解和处理。有的企业尽管已经制定了规章制度,但很多都是流于形式,没有针对性,也没有操作性,长年累月不进行更新和修改,滞后于信息化时展的要求。
1.3 技术装备和设施的作用发挥不充分
很多企业为了加强信息安全风险管理,都有针对性的部署了一些信息安全设备,然后这些从安装上就很少有人问津,设备的运行状况和参数设置都不合理,都是根据系统提示采用默认设置,由于企业与企业之间有很大的不同,企业之间的信息安全风险也相差迥异,采用默认状态无法照顾企业的真实情况,不能从源头上有针对性的加强信息安全风险管理。很多企业缺乏对安全设备以及运行日志的监控,不能有效的根据设备运行状况进行细致分析,从而采取适当措施加强信息风险管理。总之,在企业信息安全风险管理中被动保护的情况比较普遍,缺乏主动防御的意识,而且对于大多数中小企业而言,企业资金和规模都比较小,面临激烈的市场竞争,企业将主要精力用于市场开拓和产品的影响,以期在短时间内获得可观的利润,企业在信息安全风险上的投入比较少,很多设备都老化了,线路都磨损严重,却没有得到及时更新和维护,为企业安全风险管理埋下了隐患。
1.4 企业信息安全规定不严谨
很多企业在实际工作制定了大量的安全管理规定,但是在实际操作中,对企业员工以及信息服务人员的口令卡、数据加密等要求很难得到落实。部分员工长期使用初始口令、加密强度较弱的口令,有的员工登陆系统时使用别人的账号,使用完毕后也没有及时关闭账号,也不关电脑,外来人员很容易登陆电脑窃取企业机密文件,公司内部也缺乏信息安全风险管理的意识,员工可以任意下载企业资料,可以随意将企业资料设置成共享状态,在拷贝企业文件或者数据时,也没有经过杀毒过程,直接下载或者用邮件发送。甚至很多企业员工在上班时间看电影、玩游戏、下载文件比较普遍,员工随意打开一些不安全的网站,随意接受一些来源可疑的邮件,成病毒传播、木马下载、账号及密码被盗,自己还浑然不知。这些不良行为都严重威胁企业的信息安全,加上现代企业人员流动比较频繁,员工跳槽很普遍,很多员工离职后也没有上交公司账号和口令卡,依然可以登录原公司系统,给企业网络风险带来隐患。企业废弃不用的一些安全设备也没有及时进行加密和保护处理,里面的数据没有及时进行删除,安全设备随意放置,外人很容易从这些设备中还原和复制原有的信息资源。
2 企业信息安全风险的控制
2.1 加强基础设施建设资金投入
企业要加强信息安全风险防范的资金投入,资金投入主要用于企业日常安全信息管理、技术人员的培训以及安全设备的购置等等,每年企业从企业利润中拿出一定比例的资金来加强信息安全的投入,投入的资金与企业规模、企业对信息安全的要求息息相关。针对很多公司信息化设备老化,线路损耗严重的现实情况,企业要加强线路的维护和改造,购买新的防火墙和杀毒软件等等,在采购和使用信息安全产品时,企业一定要重视产品的管理功能是否强大、解决方案是否全面,以及企业安全管理人员的技术水平。例如企业可以购入UPS电源,突然停电时可以利用该电源用来应急,以保证公司信息化建设中系统的正常运行和设备技术的及时更新。
2.2 提高个人信息安全意识
维护企业计算机网络信息安全是企业每一位员工都应该关注的课题,企业要加强信息安全风险防范的宣传,让每一位员工都对基本得到网络安全信息技术有所了解,对计算机风险的重要性有清楚的认识,每位员工尤其是网络技术服务人员要把口令卡和账号管理好,不能泄露或者遗失,使用者的网络操作行为和权限都要进行一定的控制,防止企业员工越权浏览公司信息,对于一些涉及企业机密的文件要及时进行加密,对文件是否可以公开访问进行限制,减少不合法的访问。还要及时清理文件,一些废弃的或者没有价值的文件要及时进行删除,要彻底删除不能仅仅放到回收站,保证其他人无法通过复制或者还原电脑设备中的信息。对于企业电脑设备要注意防磁、防雷击等保护措施,企业职工要对电脑设备的基本保养和维护措施有了解,不要在过于潮湿、气温过高的地方使用电脑,要懂得如何对电脑系统继续软件更新和漏洞的修补,从而保证计算机处在最优的防护状态,减少病毒入侵。
2.3 加强防火墙设计
由员工网络操作不当造成的黑客入侵、商业机密泄露也威胁着企业的生存和发展。一直以来,企业信息安全解决方案都需要来自多个制造商的不同产品,需要多个工具和基础结构来进行管理、报告和分析。不同品牌、不同功能的信息安全设备被杂乱无章地堆叠在企业网络中,不但兼容性差,还容易造成企业网络拥堵。正确地部署和配置这些复杂的解决方案十分困难,而且需要大量时间。另外,大量安全产品互操作性不足,无法与已有的安全和 IT 基础结构很好的集成。这样组成的解决方案难以管理,增加了拥有者总成本,并可能在网络上留下安全漏洞。企业可以引入终端安全管理系统进行信息安全风险的防范,例如瑞星企业终端安全管理系统采用了统一系统平台+独立功能模块的设计理念,集病毒查杀双引擎、专业防火墙和信息安全审计等于一身,具有网络安全管理、客户端行为审计、即时通讯管理和审计、客户端漏洞扫描和补丁管理等功能;企业信息安全新品还采用了模块化的新形式,企业可以根据自己的需求定制相应的功能组合;通过瑞星在线商店,企业也可以随着信息安全需求的变化添加所需模块,减轻首次购买的支付成本及后续的升级成本。
总之,随着网络应用的日益普及,企业信息安全风险问题日益复杂。要切实加强对信息安全风险的认识,从规章制度、技术手段以及宣传教育等多方面加强企业信息安全风险防范,确保网络信息的保密性、完整性和可用性。
参考文献
[1]夏青.浅述网络技术与信息安全[J].科技情报开发与经济,2003(11).
[2]马俊,王铁存.网络数据传输安全对策[J].航空计算技术,2006,25(4).
[3]李象江.网络安全技术与管理[J].现代图书情报,2006(2).
[4]陈月波.网络信息安全第1版[M].武汉:武汉工业大学出版社,2008.
[5]刘正红.XML加密技术的研究与实现[J].长春大学学报,2007,17(6).
[6]刘宝旭.网络信息系统安全与管理[J].中国信息导报,2000(11).
关键词:信息安全;威胁;管理模式;桌面终端
在当今的信息时代,我们的生活和工作方式受到信息技术发展的巨大影响,时时刻刻都在发生着改变,而现行企事业单位的管理模式也在这种“大环境”下不断地推陈出新。作为各大国有企事业信息管理部门,必须考虑到当前技术的发展给我们的工作带来的机遇和威胁。
一、当前信息网络的安全形势
目前,几乎所有企业、事业单位、行政部门都面临着内部信息泄漏的问题。FBI对484家公司调查显示:85%的安全损失是由企业内部原因造成的。面对来自于公司内部的安全威胁,很多员工都有切身感受,虽然不会有股票的跌涨刺激感官强烈,但是他们一定遇到过类似的事情。由于粗心误操作造成公司服务器上重要文档丢失;由于没有设定员工在系统内的访问权限,使一些业务秘密出现在本不应有查阅权的员工计算机上,并不小心将其泄露……对于这些来自公司内部的信息安全问题,不是简单的安装了杀毒软件或防火墙就能解决的,单纯的“免疫”手段在“网络风险”、“软件风险”日益严重的今天,都已经不足以让人信任和依赖。
据调查统计,90%以上的计算机终端用户使用的是windows2000,XP或以上的操作系统,而这些系统的安全漏洞及系统缺陷非常多。虽然微软公司会通过定期在网站上安全补丁来弥补这些漏洞,而一些软件公司也会对自己开发的软件进行不断地更新和升级,但由于终端用户缺乏相关知识,导致补丁安装的不及时、不完全,这就会影响终端计算机的安全,从而影响整个内部网络安全。
二、企事业单位网络终端计算机安全现状
大中型企事业单位、政府办公网络,桌面终端计算机数量随着办公的需要不断增多,而出现的网络问题也日趋明显。常见的情况主要有:计算机感染病毒、被安装木马;有些不明程序不断抢占IP地址(ARP病毒)堵塞整个网段,使该网段用户都不能上网。除此以外,部分员工使用公司办公电脑私自从网络上下载海量资源,迅雷、BT、电驴这些下载工具都会抢占网络通道,这样就导致了其他一些用户使用办公电脑办公时网速非常低,严重时网页无法显示,不仅影响了其他员工的工作,还降低了整个公司的工作效率。
这种问题在当下的网络时代普遍存在于现有的企事业单位,尤其是一些已经摆脱了纸张,进入“无纸化”办公的先进单位更为明显。由于难于发现高危计算机,并对其进行定位,因此一旦问题发生,就需要大量的故障排查时间。如果同时有多台计算机感染网络病毒或者进行非法操作,就会造成网络瘫痪,从而致使其他正常网络业务无法使用。
现阶段,所有企业都在努力寻找一种有效的手段来扭转这种严峻的局面,并尽可能地出台大量的信息网络管理规定。例如:禁止在办公计算机内安装BT下载软件,禁止在个人终端设备中安装网络游戏软件,禁止私自更改电脑的安全设置,禁止将外部的电脑接入单位的内部网络等行为。但是,由于缺乏技术和管理手段、考核制度、使用标准、用机规范等,都不能够有效切实地执行,这样就使企业内部的信息网络安全水平很低,衍生了诸多不可控制的安全隐患。
三、通过网络防护与终端防护共筑信息安全长城
以往提起信息安全,人们更多地把注意力集中在防火墙、防病毒、IDS(入侵检测)、网御设备、网络交换设备的管理上,却忽略了对网络环境中的计算单元――服务器、台式机乃至便携机的管理。
近两年的安全防御调查表明,政府、企事业单位中超过80%的管理和安全问题来自终端,计算机终端广泛涉及每个用户,由于其分散性、不被重视、安全手段缺乏的特点,已成为信息安全体系的薄弱环节。因此,随着信息技术的不断进步,网络安全防护的工作重点开始发生转移,安全战场已经逐步由核心与主干的防护,转向网络边缘的每一个终端。网络管理员已经不是信息安全的唯一负责人,计算机终端用户才是信息安全的第一责任人。
四、建设桌面终端安全管理系统的意义
伴随着网络管理业务密集度的增加,在信息安全防护领域兴起了终端桌面安全管理技术。作为网络管理技术衍生的边缘产物,它同传统安全防御体系的缺陷相关联,是传统网络安全防范体系的补充,也是未来网络安全防范体系的重要组成部分。由此看来,终端桌面管理的发展趋势和技术特点,才是信息安全防护趋势的导向。在进行桌面终端安全防护部署时,必须把提升信息安全的关键放在提升计算机终端安全水平上。
如何有效地管理计算机终端成了当前的热点话题,而桌面计算机安全管理系统的应运而生就显得尤为重要了。第一可以通过批量设置计算机的安全保护措施提高桌面计算机的安全性,及时更新桌面计算机的安全补丁,减少被攻击的可能;第二,它还可以实现动态安全评估,实时评估计算机的安全状态及其是否符合管理规定,比如说,评估计算机的网络流量是否异常,评估计算机是否做了非法操作,评估计算机的安全设置是否合理等;第三,通过系统中进行策略的配置,对计算机终端进行批量的软件安装、批量的安全设置等,防止外来电脑非法接入,避免网络安全遭受破坏或者信息泄密;第四,利用桌面系统的高科技手段,能够确保本单位的计算机使用制度得到落实,使“禁止拨号上网,禁止使用外部邮箱,禁止访问非法网站,禁止将单位机密文件复制、发送到外部”等这一系列管理措施得以贯彻和执行;第五,在网络出现安全问题后,桌面终端系统可以对有问题的IP/MAC/主机名等进行快速的定位,便于管理员迅速排查故障;最后一点可以称之为桌面系统的“增值服务”,在保证信息网络安全的同时,还能对计算机的资产进行有效地管理和控制。
这些功能的实现,浅表地说能够持续有效地解决大批量的计算机终端安全管理问题,真正的意义在于能够切实地帮助企业内部各种管理规定有效地执行。如今凭借这些高科技手段,全面提升企事业单位内部信息化工作水平已经不再是纸上谈兵。
五、结语
企事业单位要在信息技术高速发展的今天立于不败之地,就必须结合自身客户的网络结构、终端特点和管理模式,搭建安全、稳固的内部IT架构。而桌面终端安全管理的应用,将极大地提高信息安全系数,使企业信息风险降到最低。
参考文献:
[1] 闫龙川,刘永志,来凤刚.计算机终端安全管理系统及其应用[J].电力信息化,2009,(7).
[2] 马国胜.桌面安全管理系统的应用[J].中国金融电脑,2009,(4).
关键词信息安全;PKI;CA;VPN
1引言
随着计算机网络的出现和互联网的飞速发展,企业基于网络的计算机应用也在迅速增加,基于网络信息系统给企业的经营管理带来了更大的经济效益,但随之而来的安全问题也在困扰着用户,在2003年后,木马、蠕虫的传播使企业的信息安全状况进一步恶化。这都对企业信息安全提出了更高的要求。
随着信息化技术的飞速发展,许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。面对这瞬息万变的市场,企业就面临着如何提高自身核心竞争力的问题,而其内部的管理问题、效率问题、考核问题、信息传递问题、信息安全问题等,又时刻在制约着自己,企业采用PKI技术来解决这些问题已经成为当前众多企业提高自身竞争力的重要手段。
在下面的描述中,以某公司为例进行说明。
2信息系统现状2.1信息化整体状况
1)计算机网络
某公司现有计算机500余台,通过内部网相互连接,根据公司统一规划,通过防火墙与外网互联。在内部网络中,各计算机在同一网段,通过交换机连接。
图1
2)应用系统
经过多年的积累,某公司的计算机应用已基本覆盖了经营管理的各个环节,包括各种应用系统和办公自动化系统。随着计算机网络的进一步完善,计算机应用也由数据分散的应用模式转变为数据日益集中的模式。
2.2信息安全现状
为保障计算机网络的安全,某公司实施了计算机网络安全项目,基于当时对信息安全的认识和安全产品的状况,信息安全的主要内容是网络安全,部署了防火墙、防病毒服务器等网络安全产品,极大地提升了公司计算机网络的安全性,这些产品在此后防范网络攻击事件、冲击波等网络病毒攻击以及网络和桌面日常保障等方面发挥了很大的作用。
3风险与需求分析3.1风险分析
通过对我们信息系统现状的分析,可得出如下结论:
(1)经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。
(2)计算机应用系统涉及越来越多的企业关键数据,这些数据大多集中在公司总部数据中心,因此有必要加强各计算机应用系统的用户管理和身份的认证,加强对数据的备份,并运用技术手段,提高数据的机密性、完整性和可用性。
通过对现有的信息安全体系的分析,也可以看出:随着计算机技术的发展、安全威胁种类的增加,某公司的信息安全无论在总体构成、信息安全产品的功能和性能上都存在一定的缺陷,具体表现在:
(1)系统性不强,安全防护仅限于网络安全,系统、应用和数据的安全存在较大的风险。
目前实施的安全方案是基于当时的认识进行的,主要工作集中于网络安全,对于系统和应用的安全防范缺乏技术和管理手段。如缺乏有效的身份认证,对服务器、网络设备和应用系统的访问都停留在用户名/密码的简单认证阶段,很容易被冒充;又如数据备份缺乏整体方案和制度规范,容易造成重要数据的丢失和泄露。
当时的网络安全的基本是一种外部网络安全的概念,是基于这样一种信任模型的,即网络内部的用户都是可信的。在这种信任模型下,假设所有可能的对信息安全造成威胁的攻击者都来自于组织外部,并且是通过网络从外部使用各种攻击手段进入内部网络信息系统的。
针对外部网络安全,人们提出了内部网络安全的概念,它基于这样一种信任模型:所有的用户都是不可信的。在这种信任模型中,假设所有用户都可能对信息安全造成威胁,并且可以各种更加方便的手段对信息安全造成威胁,比如内部人员可以直接对重要的服务器进行操控从而破坏信息,或者从内部网络访问服务器,下载重要的信息并盗取出去。内部网络安全的这种信任模型更符合现实的状况。
美国联邦调查局(FBI)和计算机安全机构(CSI)等权威机构的研究也证明了这一点:超过80%的信息安全隐患是来自组织内部,这些隐患直接导致了信息被内部人员所窃取和破坏。
信息系统的安全防范是一个动态过程,某公司缺乏相关的规章制度、技术规范,也没有选用有关的安全服务。不能充分发挥安全产品的效能。
(2)原有的网络安全产品在功能和性能上都不能适应新的形势,存在一定的网络安全隐患,产品亟待升级。
已购买的网络安全产品中,有不少在功能和性能上都不能满足进一步提高信息安全的要求。如为进一步提高全网的安全性,拟对系统的互联网出口进行严格限制,原有的防火墙将成为企业内网和公网之间的瓶颈。同时病毒的防范、新的攻击手段也对防火墙提出了更多的功能上的要求,现有的防火墙不具备这些功能。
网络信息系统的安全建设建立在风险评估的基础上,这是信息化建设的内在要求,系统主管部门和运营、应用单位都必须做好本系统的信息安全风险评估工作。只有在建设的初期,在规划的过程中,就运用风险评估、风险管理的手段,用户才可以避免重复建设和投资的浪费。
3.2需求分析
如前所述,某公司信息系统存在较大的风险,信息安全的需求主要体现在如下几点:
(1)某公司信息系统不仅需要安全可靠的计算机网络,也需要做好系统、应用、数据各方面的安全防护。为此,要加强安全防护的整体布局,扩大安全防护的覆盖面,增加新的安全防护手段。
(2)网络规模的扩大和复杂性的增加,以及新的攻击手段的不断出现,使某公司计算机网络安全面临更大的挑战,原有的产品进行升级或重新部署。
(3)信息安全工作日益增强的重要性和复杂性对安全管理提出了更高的要求,为此要加快规章制度和技术规范的建设,使安全防范的各项工作都能够有序、规范地进行。
(4)信息安全防范是一个动态循环的过程,如何利用专业公司的安全服务,做好事前、事中和事后的各项防范工作,应对不断出现的各种安全威胁,也是某公司面临的重要课题。
4设计原则
安全体系建设应按照“统一规划、统筹安排、统一标准、分步实施”的原则进行,避免重复投入、重复建设,充分考虑整体和局部的利益。
4.1标准化原则
本方案参照信息安全方面的国家法规与标准和公司内部已经执行或正在起草标准及规定,使安全技术体系的建设达到标准化、规范化的要求,为拓展、升级和集中统一打好基础。
4.2系统化原则
信息安全是一个复杂的系统工程,从信息系统的各层次、安全防范的各阶段全面地进行考虑,既注重技术的实现,又要加大管理的力度,以形成系统化的解决方案。
4.3规避风险原则
安全技术体系的建设涉及网络、系统、应用等方方面面,任何改造、添加甚至移动,都可能影响现有网络的畅通或在用系统的连续、稳定运行,这是安全技术体系建设必须面对的最大风险。本规划特别考虑规避运行风险问题,在规划与应用系统衔接的基础安全措施时,优先保证透明化,从提供通用安全基础服务的要求出发,设计并实现安全系统与应用系统的平滑连接。
4.4保护投资原则
由于信息安全理论与技术发展的历史原因和自身的资金能力,某公司分期、分批建设了一些整体的或区域的安全技术系统,配置了相应的设施。因此,本方案依据保护信息安全投资效益的基本原则,在合理规划、建设新的安全子系统或投入新的安全设施的同时,对现有安全系统采取了完善、整合的办法,以使其纳入总体安全技术体系,发挥更好的效能,而不是排斥或抛弃。
4.5多重保护原则
任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。
4.6分步实施原则
由于某公司应用扩展范围广阔,随着网络规模的扩大及应用的增加,系统脆弱性也会不断增加。一劳永逸地解决安全问题是不现实的。针对安全体系的特性,寻求安全、风险、开销的平衡,采取“统一规划、分步实施”的原则。即可满足某公司安全的基本需求,亦可节省费用开支。
5设计思路及安全产品的选择和部署
信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终,如图2所示。
图2网络与信息安全防范体系模型
信息安全又是相对的,需要在风险、安全和投入之间做出平衡,通过对某公司信息化和信息安全现状的分析,对现有的信息安全产品和解决方案的调查,通过与计算机专业公司接触,初步确定了本次安全项目的内容。通过本次安全项目的实施,基本建成较完整的信息安全防范体系。
5.1网络安全基础设施
证书认证系统无论是企业内部的信息网络还是外部的网络平台,都必须建立在一个安全可信的网络之上。目前,解决这些安全问题的最佳方案当数应用PKI/CA数字认证服务。PKI(PublicKeyInfrastructure,公钥基础设施)是利用公开密钥理论和技术建立起来的提供在线身份认证的安全体系,它从技术上解决了网上身份认证、信息完整性和抗抵赖等安全问题,为网络应用提供可靠的安全保障,向用户提供完整的PKI/CA数字认证服务。通过建设证书认证中心系统,建立一个完善的网络安全认证平台,能够通过这个安全平台实现以下目标:
身份认证(Authentication):确认通信双方的身份,要求通信双方的身份不能被假冒或伪装,在此体系中通过数字证书来确认对方的身份。
数据的机密性(Confidentiality):对敏感信息进行加密,确保信息不被泄露,在此体系中利用数字证书加密来完成。
数据的完整性(Integrity):确保通信信息不被破坏(截断或篡改),通过哈希函数和数字签名来完成。
不可抵赖性(Non-Repudiation):防止通信对方否认自己的行为,确保通信方对自己的行为承认和负责,通过数字签名来完成,数字签名可作为法律证据。
5.2边界防护和网络的隔离
VPN(VirtualPrivateNetwork)虚拟专用网,是将物理分布在不同地点的网络通过公用骨干网(如Internet)连接而成的逻辑上的虚拟专用网。和传统的物理方式相比,具有降低成本及维护费用、易于扩展、数据传输的高安全性。
通过安装部署VPN系统,可以为企业构建虚拟专用网络提供了一整套安全的解决方案。它利用开放性网络作为信息传输的媒体,通过加密、认证、封装以及密钥交换技术在公网上开辟一条隧道,使得合法的用户可以安全的访问企业的私有数据,用以代替专线方式,实现移动用户、远程LAN的安全连接。
集成的防火墙功能模块采用了状态检测的包过滤技术,可以对多种网络对象进行有效地访问监控,为网络提供高效、稳定地安全保护。
集中的安全策略管理可以对整个VPN网络的安全策略进行集中管理和配置。
5.3安全电子邮件
电子邮件是Internet上出现最早的应用之一。随着网络的快速发展,电子邮件的使用日益广泛,成为人们交流的重要工具,大量的敏感信息随之在网络上传播。然而由于网络的开放性和邮件协议自身的缺点,电子邮件存在着很大的安全隐患。
目前广泛应用的电子邮件客户端软件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions),它是从PEM(PrivacyEnhancedMail)和MIME(Internet邮件的附件标准)发展而来的。首先,它的认证机制依赖于层次结构的证书认证机构,所有下一级的组织和个人的证书由上一级的组织负责认证,而最上一级的组织(根证书)之间相互认证,整个信任关系基本是树状的。其次,S/MIME将信件内容加密签名后作为特殊的附件传送。保证了信件内容的安全性。
5.4桌面安全防护
对企业信息安全的威胁不仅来自企业网络外部,大量的安全威胁来自企业内部。很早之前安全界就有数据显示,近80%的网络安全事件,是来自于企业内部。同时,由于是内部人员所为,这样的安全犯罪往往目的明确,如针对企业机密和专利信息的窃取、财务欺骗等,因此,对于企业的威胁更为严重。对于桌面微机的管理和监控是减少和消除内部威胁的有效手段。
桌面安全系统把电子签章、文件加密应用和安全登录以及相应的智能卡管理工具集成到一起,形成一个整体,是针对客户端安全的整体解决方案。
1)电子签章系统
利用非对称密钥体系保证了文档的完整性和不可抵赖性。采用组件技术,可以无缝嵌入OFFICE系统,用户可以在编辑文档后对文档进行签章,或是打开文档时验证文档的完整性和查看文档的作者。
2)安全登录系统
安全登录系统提供了对系统和网络登录的身份认证。使用后,只有具有指定智能密码钥匙的人才可以登录计算机和网络。用户如果需要离开计算机,只需拔出智能密码钥匙,即可锁定计算机。
3)文件加密系统
文件加密应用系统保证了数据的安全存储。由于密钥保存在智能密码钥匙中,加密算法采用国际标准安全算法或国家密码管理机构指定安全算法,从而保证了存储数据的安全性。
5.5身份认证
身份认证是指计算机及网络系统确认操作者身份的过程。基于PKI的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。USBKey是一种USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USBKey内置的密码算法实现对用户身份的认证。
基于PKI的USBKey的解决方案不仅可以提供身份认证的功能,还可构建用户集中管理与认证系统、应用安全组件、客户端安全组件和证书管理系统通过一定的层次关系和逻辑联系构成的综合性安全技术体系,从而实现上述身份认证、授权与访问控制、安全审计、数据的机密性、完整性、抗抵赖性的总体要求。
6方案的组织与实施方式
网络与信息安全防范体系流程主要由三大部分组成:攻击前的防范、攻击过程中的防范和攻击后的应对。安全管理贯穿全流程如图3所示。网络与信息安全防范体系模型流程不仅描述了安全防范的动态过程,也为本方案的实施提供了借鉴。
图3
因此在本方案的组织和实施中,除了工程的实施外,还应重视以下各项工作:
(1)在初步进行风险分析基础上,方案实施方应进行进一步的风险评估,明确需求所在,务求有的放矢,确保技术方案的针对性和投资的回报。
(2)把应急响应和事故恢复作为技术方案的一部分,必要时可借助专业公司的安全服务,提高应对重大安全事件的能力。
(3)该方案投资大,覆盖范围广,根据实际情况,可采取分地区、分阶段实施的方式。
(4)在方案实施的同时,加强规章制度、技术规范的建设,使信息安全的日常工作进一步制度化、规范化。
7结论
本文以某公司为例,分析了网络安全现状,指出目前存在的风险,随后提出了一整套完整的解决方案,涵盖了各个方面,从技术手段的改进,到规章制度的完善;从单机系统的安全加固,到整体网络的安全管理。本方案从技术手段上、从可操作性上都易于实现、易于部署,为众多行业提供了网络安全解决手段。
也希望通过本方案的实施,可以建立较完善的信息安全体系,有效地防范信息系统来自各方面的攻击和威胁,把风险降到最低水平。
随着电子信息技术的进步,形成我国目前的信息时代全面大发展,网络技术的进步更进一步的推动电子信息技术的发展,但是信息时代下的电子信息系统面临较大的安全威胁。例如:黑客、电脑病毒等其他具有恶意性攻击的电子信息管理不良现象,对于电子信息的安全管理具有严重的威胁,会直接的造成经济损失,对使用电子信息安全管理的企业带来严重的影响。
【关键词】信息时代 电子信息 安全管理 途径 分析
社会科学技术的全面发展主要的表现就是网络信息时代的到来,网络电子信息技术在给人们日常的生活工作提供方便的时候,已经逐渐的渗透到了国家经济发展建设和人民日常生活的方方面面。所以网络电子信息安全管理既是为了提升网络技术的高效利用价值,又是为了保障国民的日常生活秩序和经济发展建设不受到其影响,进而稳定持续的发展社会经济。
1 分析信息时代背景下的电子信息安全管理的重要性
1.1 能够全面的稳定网络秩序
随着当前社会经济的发展繁荣程度不断加深,网络时代全面到来,网络信息时代形成的局面是人手一台电脑、或者是笔记本电脑,上网方便、联系交流也变得密切,因此人们愿意将更多的信息在网上进行展示和沟通,电子信息使用的面积扩大,所以网络的脆弱性也随之扩大,网络黑客、病毒成为威胁电子信息安全管理的主要威胁。
要尊重当前的信息时代背景下的电子信息安全管理,才能够全面的稳定网络秩序的正常有效性,从而不断地进行网络和电子信息技术安全管理能力的更新,为新时代的电子信息安全管理提供更多的实用价值。网络秩序也只有在电子信息安全管理的情况下才能真正的提升整个电子信息安全管理的价值。
1.2 有效地保证社会经济的稳定性发展和建设
电子信息安全管理是为了适应当前的社会经济发展的要求而进行开展的,因为电子信息安全管理能够提升各个生产经营组织个体的信任度,并及时的进行经济投资,促使电子信息安全管理被有效地落实和实践。目前我国的现代化建设进程已经迈入了正轨,各个经济发展个体只有借助电子信息技术的安全管理原则,将自己公司或者组织内部的资料进行集中分配和处理,能够提高企业的日常工作效率,而且促使公司内部的资源和结构更加的具有优良性和全面性,所以在电子信息安全管理的要求下,才会多的更多的经济个体的信任,并且提升整个电子信息系统安全管理的开展意义。
社会总体的经济进步和发展主要是依靠当前社会各个阶层的经济发展主体不断的进行生产革新以及管理创新,才推动了社会的总体经济进步。所以电子信息安全管理的开展实践和落实中,企业才会加大对于电子信息安全管理的认识,并不断的提升企业内部对于电子信息安全管理的实际操作能力,从而电子信息安全管理才能稳定社会的经济全面的发展和建设,全面的保障各个企业的日常工作运行和发展。
1.3 提升国民对电子信息安全管理的认识
社会大众对位网络资源服务的主要对象,对于电子信息安全管理的开展具有全面的推动作用。大众要增强对于电子信息安全管理的认识,才能真正的提升国民素质,对于网络中的不良现象也能有效地抵制。
所以大众人民在日常运用网络电子信息资源的时候,要注重对于本身电脑的保护,进行查毒、杀毒措施的落实,将威胁电子信息安全管理的潜在隐患进行及时的排除,从而进一步将电子信息安全管理落实起来,进而提升过敏对于电子信息安全管理的认识,真正的保护好电子信息。
2 信息时代背景下的电子信息安全管理的主要方法
如图1所示:开展信息时代下的电子信息安全管理方法。
2.1 树立电子信息安全管理的思想意识
电子信息的安全管理不光是为了维护各个经济个体的发展,更重要的是电子信息技术已经被推广到了社会生活的各个方面,从高校、到政府再到企业、组织等各个阶层,已经得出电子信息的高效性和及时性。所以在电子信息安全管理的要求下要开展对于各个阶层和方面的安全管理制度落实,就需要开展对于电子信息安全管理重要性的认识,树立电子信息安全管理的有效性和科学性。
实施电子信息安全管理的思想意识,才是制定各个相关的电子信息安全管理措施和方法的基础,才能将电子信息安全管理的要求贯彻执行,并落实在日常的经济运行和生活工作当中。高校、政府、企业无疑是在网络不稳定情况下、或者受到信息安全威胁较大情况下,会受到较为严重的经济破坏和损失,所以从意识中树立信息安全管理的重要性,进而给信息安全管理的全面开展奠定基础。
2.2 实施企业内部的纸质档案管理和电子信息安全管理相互结合
企业的内部资料较为丰富,因此为了提升企业内部的档案管理有效性,要结合电子信息安全管理的要求,开展建设电子档案。电子档案记录方式多样变化性大,并且具有非直读性的优点,电子档案对于元数据和背景信息具有很强的依赖性,也是实施企业内部的纸质档案管理的原因,因为纸质档案能够保存全部信息的保留痕迹,对电子档案的构建能够提供更加具有针对性的数据支持。
电子档案虽然减轻了档案之至管理人员的劳动强度提高了工作效率,但是电子档案更加的容易受到网络不良情况的影响,导致数据库资源的流失,最终还是要靠纸质的档案进行对照和修复。电子档案增加的企业信息的风险性,必须要建立纸质的档案管理模式,进行对电子档案的有效性补充,全面的提升电子信息安全管理的有效性。在平时的企业或者党政内部机关的档案数据输入中要注意对档案管理的加密,防止黑客的入侵,导致企业或者机关的内部资源外泄,引起更多的不良现象产生。
2.3 建立企业专门的电子信息安全管理部门
依照图2方式开展对于信息的保护:
因为企业的网络被用来和外界沟通的次数不断的增多,而且企业的电子信息安全管理所面临的具体问题较多,因此建立专门的电子信息安全管理部门,才能针对网络信息状况进行全面的维护和检查,进而提高电子信息安全管理的实际利用价值,也能提高企业或者公司的实际工作效率。
在更多的信息安全管理中能及时的制定相对应的企业内部的电子信息管理方针和政策,进而将更多的电子信息安全管理有效方式进行落实。所以建立企业专门的电子信息安全管理部门,要完善企业内部的体制建设和管理制度,严格的控制电子信息的流动方向,并设置计算机的专门管理要求,设置电子系统的管理操作代码和管理规范,并设置权限制度,确保电子信息安全管理部门能够提高其工作效率,维护企业的发展生产。
2.4 提升电子信息安全管理人员的自身素质
因为电子信息安全管理的本身具有较多的技术要求和理论要求,各个层面上的电子信息安全管理人员一定要及时的针对网络问题作出全面的反应,从而保障整个企业的经济运行更加的具有高效性和准确性。
而且科技是不断地进步的,如果电子信息安全管理人员的自身素质不能随着科技的发展而进行及时的提升,那么其早晚会被社会所淘汰,因此创建信息安全管理还要加强对管理人员的二次培训,扩充其专业知识,增添更多的实际数据进行对电子信息安全管理的有效性和全面性。而且电子信息安全管理的各项其他管理制度和管理规范,以及有效性的电子信息技术操作还是依靠电子信息安全管理人员的自身素质和能力进行示范,并进行员工培训,所以整个的企业运行在电子信息安全管理的专业人员管控下,才能高效发展。
2.5 制定法律制度对恶意破坏电子信息安全管理的不法分子进行制裁
当前的信息时代背景下,给网络系统的稳定性提供了较多的威胁,而且在当前的信息时代下,网络成为不法分子制造事端和危害社会公共安全的主要工具。因此信息时代下的电子信息安全管理才需要更多直接有效地法律制度进行电子信息的安全管理,对故意进行电子信息技术的不法人员要进行严厉的制裁,确保社会稳定、网络清明、经济发展有效。
3 信息时代背景下的电子信息安全管理的意义
3.1 提升网络信息的可利用价值
网络是带给人们生活享受和工作学习方便的有效工具,因此在网络信息的可利用价值中一定要做好电子信息的安全管理,增添网络信息的可靠性和实用性,维护网络工程的发展建设。
3.2 促进更多现代化的科技不断研发利用
电子信息的安全管理给各个经济发展企业提出更多的实际性要求,注重对于自身信息的管理提升网络的实用性。更给青少年对于网络技术的利用提供更多的基础保障,所以在现代化的发展中网络电子信息安全管理的情况下才能促进更多的现代化科技的开发和投入运行使用,逐渐以更多的形式体现对于网络的有效利用,从而推动社会现代化的文明建设不断进步。
4 结语
实施信息时代下的电子信息安全管理,能够针对性的重视电子信息安全管理的重要性,并针对安全管理的要求开展各个企业内部的信息管理调整,为达到企业的经济效益最大化提供了有效地保障,为社会的现代化发展打好了基础。
参考文献
[1]任成伟.浅谈信息时代背景下的电子信息安全管理[J].电子制作,2013(04).
[2]刘力源.浅谈计算机信息安全管理措施[J].计算机光盘软件与应用,2013(05).
[3]韦懿霖.我国新时代背景下的网络信息安全分析[J].信息与电脑(理论版),2010(12).
[4]丁道勤.论信息通信法的体系架构[J].经济法论丛,2013(02).
作者简介
顾建龙(1979-),男,江苏无锡人。大学本科学历。现为江苏蓝深远望系统集成有限公司工程师(中级),从事计算机信息化建设工作。
亨达科技集团成立于2003年5月13日,于2015年3月11日在全国中小企业股份转让系统成功挂牌,并于2015年8月被认定为国家高新技术企业。亨达科技集团旗下拥有亨达科技集团信息安全技术有限公司(以下简称亨达安全)、亨达科技集团建设开发有限公司(以下简称亨达建设)、亨达科技集团电子信息技术有限公司(以下简称亨达电子)三家全资子公司。专业从事通信工程、网络与信息安全、计算机系统集成、软件开发、电子政务、大数据和云计算技术产品开发、推广与服务。
亨达科技集团具有通信信息网络系统集成企业资质(甲级)、信息安全服务资质(安全工程类二级)、信息安全应急处理服务资质(二级)、信息安全服务资质(风险评估二级)、信息安全服务资质(信息系统安全集成服务资质二级)、信息系统集成资质(系统集成乙级)、信息系统集成及服务资质(叁级)、建筑工程施工总承包资质(叁级)、电力工程施工总承包资质(叁级)、市政公用工程施工总承包资质(叁级)、通信工程施工总承包资质(叁级)、电子与智能化工程专业承包资质(贰级)、消防设施工程专业承包资质(贰级)、城市及道路照明工程专业承包资质(叁级)、涉及国家秘密的信息设备维修资质、国家信息安全测评授权培训机构资质;取得了国家军工业务咨询服务安全保密条件备案证书和信息安全等级保护测评机构能力评估合格证书。
公司总计拥有30项软件著作权,并已通过ISO9001:2008质量管理体系、ISO14001:2007环境管理体系及OHSAS18001:2004职业健康安全管理体系认证。公司建立了贵州省网络信息安全“三库一中心六大平台”(贵州省网络信息安全病毒库、漏洞库、门户网站安全漏洞及整改数据库;贵州省网络信息安全应急支援中心;贵州省网络信息安全监测预警云平台、安全攻防实战平台、网站安全防护云平台、互联网情报分析平台、互联网资源侦测和漏洞侦测平台、安全态势感知平台)。
亨达科技集团主要客户包括电信运营商、政府部门、银行、医院、电力、烟草等行业及单位,为贵州省内外各级政府部门、企事业单位、学校等提供专业的通信工程建设、计算机系统集成和网络信息安全、教育信息化服务。公司连续数年荣获贵州省“守合同、重信用单位”称号。2015年,公司被贵州省科学技术厅评为“科技型小巨人企业”;亨达安全被贵州省科学技术厅评为“科技型小巨人成长企业”。同时,亨达科技集团被贵州省通信行业协会评为2015年“贵州省优秀民营通信建设企业”称号。在2016年7月贵州省第二次项目建设观摩活动中,贵州省有关领导带队到亨达科技集团考察调研,对公司在网络信息安全工作方面所取得的成绩给予了高度肯定和表扬。
亨达科技集团坚持以客户需求为导向,致力于成为中国领先智能安全整体运营服务商。在当前贵州省大力发展大数据产业的有利形势下,公司不断加大大数据、云计算相关技术及其产品的投资开发力度,以通信工程为基础,逐步过渡到以大数据、云计算为核心的综合信息服务领域。为推动公司业务逐步从现有的网络信息安全和通信工程建设服务向自主产品和技术开发方向延伸,2016年7月,公司与厦门大学合作建立联合实验室,成功开发出了国际领先的多媒体信息快速检测和过滤技术,结合公司目前已经自主研发完成的“亨达智慧教育云平台及其配套软硬件产品”, 公司将继续投入更多的资源不断加大后续市场推广力度,确保早日形成规模化运用。
在2016年9月8日于北京新世纪日航大酒店举行的“2016第十七届中国信息安全大会”上,亨达科技集团股份有限公司董事长兼总经理连灶华做了“共筑网络安全新防线,助力大数据产业健康发展”的主旨演讲。
连灶华主要针对网络信息安全提出了三条体会和九点建议:
1. 做好信息安全十分重要和必要,
民营企业必须顺势而为。
2. 做好信息安全关键在于创新和创
造,民营企业必须主动作为。
3. 做好信息安全的目的在于适用和运用,民营企业必须勇于建言修为。
针对上述三条体会,连灶华提出了九点建议:
1. 加快大数据及其安全立法工作,加快制定大数据交易法则,为大数据产业发展提供必要的法律依据,确保大数据交易规范性、安全性与合法性。
2.加快推动政府和拥有大数据资源的相关企事业单位,在风险可控的前提下通过订立契约最大限度地开放数据资源,确保数据资源能够快速形成规模化归集。
3.加快推动全国性大数据交易市场的建设,为大数据交易提供必要的平台和通道。
4. 加快构建全国性大数据中心,有效解决数据存储问题。
5.加快制定大数据使用和安全管控机制,明确大数据安全管理责任边界,处理好安全保障和性能提升二者之间的矛盾。
6.加大大数据安全技术研究与投资开发力度,建立一批国家级和省级重点大数据安全实验室,积极打造面向大数据产业发展的安全产业链,构建安全可控的具有自主知识产权的安全产品和技术保障体系。
7加大大数据安全企业扶持力度,大力支持有条件的企业优先进入大数据安全服务领域。
8加大大数据安全产业专业人才教育培训力度,推动大数据安全专业人才数量与质量的同步提升。
电力企业的信息安全不仅影响着其自身的网络信息的化建设进程,也关系着电力生产系统的安全、稳定、经济、优质运行。所以,强化信息网络安全管理,确保电力信息网络的安全性,保证业务操作平台能够稳定、可靠的运行是电力安全工作中的一项核心任务。
1.电力信息网络安全体系
信息网络安全指的是为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露信息安全应该实行分层保护措施.有以下五个方面:①物理层面安全,环境安全,设备安全,介质安全;②网络层面安全,网络运行安全,网络传输安全,网络边界安全;③系统层面安全,操作系统安全,数据库管理系统安全;④应用层面安全,办公系统安全,业务系统安全,服务系统安全;⑤管理层面安全,安全管理制度,部门与人员的组织规则。
2.电力信息网络安全存在的问题
2.1 系统漏洞。电力企业使用的都是微软所开发的Windows操作系统。由于一个计算机操作系统过于庞大、复杂,所以它不可能第一次性地发现并解决所有存在的各种漏洞和安全问题,这需要在我们的使用当中不断地被完善。但是,据一些消息称,微软公司对于漏洞信息披露的反应时间为1~2周。但是在这段时间内,这些长久存在或是刚被披露的漏洞很可能被一些居心不良的人所利用,造成对企业信息网络安全的威胁。
2.2 黑客的恶意攻击。如今,社会当中的部分人也拥有了较强的计算机网络操作、控制能力。他们有的出于兴趣爱好、有的出于金钱指使,而对其他网络系统发起恶意的攻击、破坏,以满足自身的各种成就感。在这些攻击行为当中,一部分是主动的进行系统破坏或是更改、删除重要的信息,另一部分是被动的进行监听,窃取电力企业内部网络交流信息,导致信息外泄。
2.3 网络硬件系统不牢固。网络硬件系统不牢固是一个普遍性的问题。尽管互联网的硬件系统已经具有了较高的稳定性和安全性,但其仍然存在的脆弱性也不可忽视,比如雷电所引发的硬件故障,各种传输过程当中受其他因素影响所出现的信息失真等。
2.4 员工的信息网络安全意识不健全。在如今的电力企业当中,许多员工多信息网络的安全意识还不健全。比如用户安全意识不强,系统登录口令过于简单,或是将账户及密码借给他人使用,盲目地进行资源信息共享,这些带全安全威胁性的操作都可能会对企业的信息网络安全带来隐患。还有的员工长时间占用网络,大量消耗了网络资源,增加了企业的网络通信负担,导致企业内部的通信与生产效率较低。更有甚者由于浏览网页或是使用U盘,导致了一些木马、病毒被下载到了计算机系统当中,造成各式各样的网络通信故障。
3.电力信息网络安全策略
3.1设备安全策略
3.1.1 建立配套的绩效管理机制,以促进信息安全运维人员树立良好意识,提高自身信息网络管理能力。
3.1.2 建立电网信息安全事故应急处理预案,例如“突况下某某大楼信息系统应急处理预案”,预案所要求的各项信息设备必须作为信息安全重要物资交由信息应急指挥人员保管,相关信息运维人员必须在信息事故发生的第一时间到岗到位、信息预案操作流程必须准确到位,各应急单位要定期进行应急演练,保证在发生信息安全事故之时队伍能够拉得出、打得赢。
3.1.3 运用国家电网公司统一的标准化信息安全管理模式,规范日常网络处理流程,严格控制网络接入程序,对新进网络施行过程化管理,例如:申请入网人员必须填写“某公司入网申请单”,并对操作人员严格施行信息网络处理“两票三制”管理,即:操作票、工作票、交接班制、巡回检查制、设备定期试验轮换制,从制度上保证信息网络安全管理。
3.1.4 成立网络信息安全组织机构,例如:成立某公司信息安全领导小组,小组成员包括:公司领导层人员、信息安全管理层人员、信息安全网络技术实施保障人员等,并对各人员工作职责提出具体要求,尤其是必须明确技术实施保障人员的工作要求。
3.2安全技术策略
3.2.1 使用VPN(虚拟隧道)技术。按业务分别建立对应的三层VPN,各VLAN段建立符合实际要求的网络访问控制列表,将网络按部门(楼层)进行分段,对各段网络配置对应的访问控制,设置高强度的网络登录密码,保证网络的安全性。
3.2.2 安全审计技术。随着系统规模的扩展与安全设施的完善,应该引入集中智能的安全审计系统,通过技术手段,实现自动对网络设备日志、操作系统运行日志、数据库访问日志、业务应用系统运行日志、安全设施运行日志等进行统一安全审计。及时自动分析系统安全事件,实现系统安全运行管理。
3.2.3 病毒防护技术。为免受病毒造成的损失,要采用的多层防病毒体系。即在每台PC机上安装防病毒软件客户端,在服务器上安装基于服务器的防病毒软件,在网关上安装基于网父的防病毒软件,必须在信息系统的各个环节采用全网全面的防病毒策略,在计算机病毒预防、检测和病毒库的升级分发等环节统一管理。
3.2.4防火墙技术。防火墙是用于将信任网络与非信任网络隔离的一种技术。它通过单一集中的安全检查点,强制实操相应的安全策略进行检查,防止对重要信息资源进行非法存取和访问。电力系统的生产、计量、营销、调度管理等系统之间,信息的共享、整合与调用,都需要在不同网段之间对这些访问行为进行过滤和控制,阻断攻击破坏行为,分权限合理享用信息资源。
3.2.5 拟局域网技术(VLAN技术)。VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域,每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有相同的属性。由于它是逻辑而不是物理划分,所以同一个LAN内的各工作站无须放置在同一物理空LAN里,但这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其他VLAN中,有助于控制流量、控制广播风暴、减少设备投资、简化网络管理、提高网络的安全性。
4.结束语
电力企业网络安全包括系统结构本身的安全及桌面终端设备信息安全,所以利用结构化的观点和方法来看待电力企业信息网络安全系统。基于网络的特殊性,有关供电系统数据网的安全问题不容忽视,要保障其网络的安全可靠运行,不能仅仅依靠防火墙等单个的系统,而需要仔细考虑系统的安全需求,并将各种安全技术结合在一起,方能生成一个高效、通用、安全的网络系统。
参考文献
[1] 杨晶.论计算机网络安全问题及防范措施[J].科技创新导报.2011.
[2] 侯康.浅谈电力调度数据网及其维护[J].科技信息.2011.
作者简介