時(shí)間:2023-10-12 09:41:38
開(kāi)篇:寫作不僅是一種記錄,更是一種創(chuàng)造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇企業(yè)信息安全服務(wù),希望這些內(nèi)容能成為您創(chuàng)作過(guò)程中的良師益友,陪伴您不斷探索和進(jìn)步。
企業(yè)經(jīng)營(yíng)信息對(duì)于企業(yè)來(lái)說(shuō)是一種資源,對(duì)于企業(yè)自身來(lái)說(shuō)具有重要意義,企業(yè)需要妥善管理自身企業(yè)的信息。近年來(lái),企業(yè)的各項(xiàng)經(jīng)營(yíng)活動(dòng)都逐漸開(kāi)始通過(guò)計(jì)算機(jī),網(wǎng)絡(luò)開(kāi)展,因此,企業(yè)的信息安全管理對(duì)于企業(yè)越來(lái)越重要。許多企業(yè)開(kāi)始通過(guò)各種技術(shù)手段以及制度改革,把更多的注意力放在企業(yè)內(nèi)部的信息安全管理工作,同時(shí)將企業(yè)信息安全管理與風(fēng)險(xiǎn)控制結(jié)合起來(lái),這是一個(gè)正確的選擇,能夠幫助企業(yè)實(shí)現(xiàn)穩(wěn)定經(jīng)營(yíng)。在介紹企業(yè)信息安全管理以及風(fēng)險(xiǎn)控制前必須厘清企業(yè)信息安全管理的概念與企業(yè)風(fēng)險(xiǎn)控制定義,因此,本節(jié)將著重介紹企業(yè)信息安全管理的概念以及企業(yè)風(fēng)險(xiǎn)控制的定義。企業(yè)的信息安全管理包含十分豐富的內(nèi)容,簡(jiǎn)單來(lái)說(shuō)是指企業(yè)通過(guò)各種手段來(lái)保護(hù)企業(yè)硬件和軟件,保護(hù)網(wǎng)絡(luò)存儲(chǔ)中的各種數(shù)據(jù)不受偶然因素的破壞或者惡意的原因被攻擊。對(duì)于信息安全的認(rèn)定通過(guò)包括4個(gè)指標(biāo),即保證信息數(shù)據(jù)的完整,保證信息數(shù)據(jù)不被泄露,保證信息數(shù)據(jù)能夠正常使用,保證信息數(shù)據(jù)能夠控制管理。要想做好企業(yè)的信息安全管理,首先需要了解的是關(guān)于信息的傳輸方式。隨著信息技術(shù)的不斷普及,信息傳遞的方式越來(lái)越多,常見(jiàn)的信息傳遞方式主要有互聯(lián)網(wǎng)傳播,局域網(wǎng)傳播,硬件傳播等等。要想實(shí)現(xiàn)企業(yè)的信息安全管理,其中很重要的一項(xiàng)工作在于保護(hù)信源、信號(hào)以及信息。
信息安全管理是一項(xiàng)需要綜合學(xué)科知識(shí)基礎(chǔ)的工作,從事企業(yè)信息安全管理工作的人員通過(guò)需要具有網(wǎng)絡(luò)安全技術(shù)、計(jì)算機(jī)技術(shù)、密碼技術(shù)、通信技術(shù)。從企業(yè)的信息安全管理來(lái)講,最為關(guān)鍵的一項(xiàng)工作時(shí)保護(hù)企業(yè)內(nèi)部經(jīng)營(yíng)信息數(shù)據(jù)的完整。經(jīng)過(guò)近十年來(lái)的企業(yè)信息安全管理工作經(jīng)驗(yàn)總結(jié),企業(yè)信息安全不僅僅需要信息技術(shù)的支持,更需要通過(guò)建立完善的企業(yè)風(fēng)險(xiǎn)控制體系來(lái)幫助企業(yè)實(shí)現(xiàn)更好地保護(hù)企業(yè)信息安全的目標(biāo)。所以,怎樣把企業(yè)信息安全管理與風(fēng)險(xiǎn)控制融合起來(lái)就是擺在企業(yè)經(jīng)營(yíng)管理者面前的一道難題。企業(yè)的信息安全風(fēng)險(xiǎn)控制必須通過(guò)企業(yè)建立完善的企業(yè)信息安全風(fēng)險(xiǎn)體系實(shí)現(xiàn)。
企業(yè)的信息安全風(fēng)險(xiǎn)控制是指企業(yè)在企業(yè)信息安全遭遇威脅之前,提前對(duì)企業(yè)的信息進(jìn)行風(fēng)險(xiǎn)預(yù)估,并采取一系列的有針對(duì)性的活動(dòng)降低企業(yè)面臨的信息安全風(fēng)險(xiǎn),從而盡可能減少因?yàn)槠髽I(yè)本身信息安全管理中存在漏洞給企業(yè)帶來(lái)不必要的損失。常見(jiàn)的企業(yè)信息安全風(fēng)險(xiǎn)體系建立主要包含以下幾個(gè)方面的內(nèi)容。第一,建立企業(yè)信息安全風(fēng)險(xiǎn)管理制度,明確企業(yè)信息安全管理的責(zé)任分配機(jī)制,明確企業(yè)各個(gè)部門對(duì)各自信息安全所應(yīng)承擔(dān)的責(zé)任,并建立相應(yīng)的問(wèn)責(zé)機(jī)制。第二,設(shè)置規(guī)范的企業(yè)信息安全風(fēng)險(xiǎn)管理指標(biāo),對(duì)企業(yè)存在的可能威脅企業(yè)信息安全管理的漏洞予以風(fēng)險(xiǎn)定級(jí),方便企業(yè)管理者對(duì)不同的信息安全管理漏洞采取有區(qū)別的對(duì)策。第三,企業(yè)要加強(qiáng)對(duì)信息安全管理人員的培訓(xùn),提高企業(yè)信息安全管理工作人員的風(fēng)險(xiǎn)意識(shí),讓企業(yè)內(nèi)部從事信息安全管理工作人員認(rèn)識(shí)到自身工作的重要性,讓企業(yè)內(nèi)部從事信息安全管理工作人員了解到規(guī)范自身行為,正確履行職責(zé)的重要性。第四,將企業(yè)信息安全管理與風(fēng)險(xiǎn)控制有效融合,重視企業(yè)信息安全管理工作,通過(guò)風(fēng)險(xiǎn)控制對(duì)企業(yè)內(nèi)部信息安全的管理方式進(jìn)行正確評(píng)估,找出現(xiàn)行的企業(yè)內(nèi)部信息安全管理手段中存在容易忽視的地方。
二、企業(yè)信息安全管理與風(fēng)險(xiǎn)控制存在的不足
1.企業(yè)信息安全管理工作人員素質(zhì)不高
對(duì)于企業(yè)來(lái)說(shuō),企業(yè)信息安全管理工作是一項(xiàng)極為重要而隱秘的工作,因此,必須增強(qiáng)對(duì)企業(yè)信息安全管理工作人員的素質(zhì)要求。但是根據(jù)調(diào)查統(tǒng)計(jì),目前很多企業(yè)對(duì)信息安全工作的管理僅僅停留在對(duì)企業(yè)信息安全管理工作人員的技術(shù)要求上,對(duì)企業(yè)信息安全管理工作人員的道德素養(yǎng),職業(yè)素養(yǎng),風(fēng)險(xiǎn)意識(shí)并沒(méi)有嚴(yán)格要求。此外,絕大多數(shù)企業(yè)并沒(méi)有意識(shí)開(kāi)展對(duì)企業(yè)信息安全管理工作的道德素質(zhì)的教育培訓(xùn),并沒(méi)有通過(guò)建立相關(guān)管理制度以及問(wèn)責(zé)機(jī)制對(duì)企業(yè)信息安全管理工作人員實(shí)行監(jiān)督,這無(wú)疑給別有用心或者立場(chǎng)不堅(jiān)定的企業(yè)信息安全管理工作人員留下了危害企業(yè)信息安全的可乘之機(jī)。
2.企業(yè)信息安全管理技術(shù)不過(guò)關(guān)
企業(yè)信息安全管理工作涉及多許多技術(shù),包括信息技術(shù),計(jì)算機(jī)技術(shù),密碼技術(shù),網(wǎng)絡(luò)應(yīng)用技術(shù)等等,應(yīng)當(dāng)說(shuō)成熟的計(jì)算機(jī)應(yīng)用技術(shù)是做好企業(yè)信息安全管理的基礎(chǔ),但是,現(xiàn)實(shí)是許多企業(yè)的信息安全管理技術(shù)并不過(guò)關(guān),一方面企業(yè)的信息安全管理硬件并不過(guò)關(guān),在物理層面對(duì)企業(yè)信息缺乏保護(hù),另一方面,企業(yè)信息安全管理工作的專業(yè)技術(shù)沒(méi)有及時(shí)更新,一些企業(yè)信息安全管理工作人員缺乏企業(yè)信息安全管理的實(shí)踐經(jīng)驗(yàn),企業(yè)信息安全管理的知識(shí)也并沒(méi)有及時(shí)更新,從而導(dǎo)致企業(yè)的信息安全管理理論嚴(yán)重滯后,這種技術(shù)的落后很容易讓企業(yè)成為不法分子的攻擊對(duì)象。近年來(lái)網(wǎng)絡(luò)病毒的傳播越來(lái)越猖狂,很多服務(wù)器、系統(tǒng)提示安全補(bǔ)丁的下載更新以及客戶端的時(shí)常更新成為一個(gè)惱人的問(wèn)題。作為一個(gè)行業(yè)中的大中型企業(yè),企業(yè)內(nèi)部設(shè)備數(shù)量比較多,尤其是客戶端數(shù)量占了較大比重,僅僅靠少數(shù)幾個(gè)管理員進(jìn)行管理是難以承擔(dān)如此大量的工作量。另外,企業(yè)信息安全管理系統(tǒng)不成熟也是一個(gè)重大的隱患。
3.企業(yè)信息安全管理制度不健全
企業(yè)信息安全管理制度不僅僅需要理論制度的完善,更加需要一系列配套監(jiān)督機(jī)制保障企業(yè)信息安全管理的有效執(zhí)行。通過(guò)調(diào)查分析,許多企業(yè)雖然建立了企業(yè)信息安全管理制度,但是通常情況下,這些制度只能流于形式,企業(yè)信息安全管理工作缺少有效的制約和監(jiān)督,企業(yè)信息安全管理工作人員缺乏執(zhí)行力。企業(yè)信息安全管理制度不健全,企業(yè)信息安全管理工作缺乏執(zhí)行力常常體現(xiàn)在以下幾個(gè)方面。第一,企業(yè)員工對(duì)于信息安全管理的認(rèn)識(shí)嚴(yán)重不足,對(duì)企業(yè)信息安全管理工作不重視。企業(yè)內(nèi)部計(jì)算機(jī)系統(tǒng)安全的計(jì)算機(jī)防病毒軟件并沒(méi)有及時(shí)更新,使用,甚至企業(yè)內(nèi)部計(jì)算機(jī)的防病毒軟件還被企業(yè)員工卸載了。部分企業(yè)員工認(rèn)為自己的工作與企業(yè)信息安全管理不相關(guān),認(rèn)為做好企業(yè)信息安全管理工作僅僅是企業(yè)信息安全部門的事。第二,企業(yè)內(nèi)部信息安全文秘站:管理制度并沒(méi)有形成聯(lián)動(dòng)機(jī)制,企業(yè)信息安全管理工作僅僅由企業(yè)信息安全部門“一人包干”,企業(yè)信息安全反映的問(wèn)題并沒(méi)有得到積極的反饋,一些企業(yè)領(lǐng)導(dǎo)對(duì)企業(yè)信息安全現(xiàn)狀所了解的少之又少。
三、企業(yè)信息安全管理常見(jiàn)的技術(shù)手段 1.OSI安全體系結(jié)構(gòu)
OSI概念化的安全體系結(jié)構(gòu)是一個(gè)多層次的結(jié)構(gòu),它的設(shè)計(jì)初衷是面向客戶的,提供給客戶各種安全應(yīng)用,安全應(yīng)用必須依靠安全服務(wù)來(lái)實(shí)現(xiàn),而安全服務(wù)又是由各種安全機(jī)制來(lái)保障的。所以,安全服務(wù)標(biāo)志著一個(gè)安全系統(tǒng)的抗風(fēng)險(xiǎn)的能力,安全服務(wù)數(shù)量越多,系統(tǒng)就越安全。
2.P2DR模型
P2DR模型包含四個(gè)部分:響應(yīng)、安全策略、檢測(cè)、防護(hù)。安全策略是信息安全的重點(diǎn),為安全管理提供管理途徑和保障手段。因此,要想實(shí)施動(dòng)態(tài)網(wǎng)絡(luò)安全循環(huán)過(guò)程,必須制定一個(gè)企業(yè)的安全模式。在安全策略的指導(dǎo)下實(shí)施所有的檢測(cè)、防護(hù)、響應(yīng),防護(hù)通常是通過(guò)采用一些傳統(tǒng)的靜態(tài)安全技術(shù)或者方法來(lái)突破的,比如有防火墻、訪問(wèn)控制、加密、認(rèn)證等方法,檢測(cè)是動(dòng)態(tài)響應(yīng)的判斷依據(jù),同時(shí)也是有力落實(shí)安全策略的實(shí)施工具,通過(guò)監(jiān)視來(lái)自網(wǎng)絡(luò)的入侵行為,可以檢測(cè)出騷擾行為或錯(cuò)誤程序?qū)е碌木W(wǎng)絡(luò)不安全因素;經(jīng)過(guò)不斷地監(jiān)測(cè)網(wǎng)絡(luò)和系統(tǒng)來(lái)發(fā)現(xiàn)新的隱患和弱點(diǎn)。在安全系統(tǒng)中,應(yīng)急響應(yīng)占有重要的地位,它是解決危險(xiǎn)潛在性的最有效的辦法。
3.HTP模型
HTP最為強(qiáng)調(diào)企業(yè)信息安全管理工作人員在整個(gè)系統(tǒng)中的價(jià)值。企業(yè)信息安全工作人員企業(yè)信息安全最為關(guān)鍵的參與者,企業(yè)信息安全工作人員直接主導(dǎo)企業(yè)信息安全管理工作,企業(yè)信息安全工作人員不僅僅是企業(yè)信息安全的保障者,也是企業(yè)信息安全管理的威脅者。因此,HTP模型最為強(qiáng)調(diào)對(duì)企業(yè)信息安全管理工作人員的管理與監(jiān)督。另外,HTP模式同樣是建立在企業(yè)信心安全體系,信息安全技術(shù)防范的基礎(chǔ)上,HTP模式采取了豐富的安全技術(shù)手段確保企業(yè)的信息安全。最后,HTP強(qiáng)調(diào)動(dòng)態(tài)管理,動(dòng)態(tài)監(jiān)督,對(duì)于企業(yè)信息安全管理工作始終保持高強(qiáng)度的監(jiān)督與管理,在實(shí)際工作中,通過(guò)HTP模型的應(yīng)用,找出HTP模型中的漏洞并不斷完善。
四、完善企業(yè)信息安全管理與降低風(fēng)險(xiǎn)的建議
1.建設(shè)企業(yè)信息安全管理系統(tǒng)
(1)充分調(diào)查和分析企業(yè)的安全系統(tǒng),建立一個(gè)全面合理的系統(tǒng)模型,安全系統(tǒng)被劃分成各個(gè)子系統(tǒng),明確實(shí)施步驟和功能摸塊,將企業(yè)常規(guī)管理工作和安全管理聯(lián)動(dòng)協(xié)議相融合,實(shí)現(xiàn)信息安全監(jiān)控的有效性和高效性。
(2)成立一個(gè)中央數(shù)據(jù)庫(kù),整合分布式數(shù)據(jù)庫(kù)里的數(shù)據(jù),把企業(yè)的所有數(shù)據(jù)上傳到中央數(shù)據(jù)庫(kù),實(shí)現(xiàn)企業(yè)數(shù)據(jù)信息的集中管理與有效運(yùn)用。
(3)設(shè)計(jì)優(yōu)良的人機(jī)界面,通過(guò)對(duì)企業(yè)數(shù)據(jù)信息進(jìn)行有效的運(yùn)用,為企業(yè)管理階層人員、各級(jí)領(lǐng)導(dǎo)及時(shí)提供各種信息,為企業(yè)領(lǐng)導(dǎo)的正確決策提供數(shù)據(jù)支持,根本上提高信息數(shù)據(jù)的管理水平。
(4)簡(jiǎn)化企業(yè)內(nèi)部的信息傳輸通道,對(duì)應(yīng)用程序和數(shù)據(jù)庫(kù)進(jìn)行程序化設(shè)計(jì),加強(qiáng)對(duì)提高企業(yè)內(nèi)部信息處理的規(guī)范性和準(zhǔn)確性。
2.設(shè)計(jì)企業(yè)信息安全管理風(fēng)險(xiǎn)體系
(1)確定信息安全風(fēng)險(xiǎn)評(píng)估的目標(biāo)
在企業(yè)信息安全管理風(fēng)險(xiǎn)體系的設(shè)計(jì)過(guò)程中,首要工作是設(shè)計(jì)企業(yè)信息安全風(fēng)險(xiǎn)評(píng)估的目標(biāo),只有明確了企業(yè)信息安全管理的目標(biāo),明確了企業(yè)信息安全管理的要求和工作能容,才能建立相關(guān)圍繞信息安全風(fēng)險(xiǎn)控制為目標(biāo)的信息安全管理工作制度,才能順利通過(guò)對(duì)風(fēng)險(xiǎn)控制的結(jié)果的定量考核,檢測(cè)企業(yè)信息安全管理的風(fēng)險(xiǎn),定性定量地企業(yè)信息安全管理工作進(jìn)行分析,找準(zhǔn)企業(yè)信息安全管理的工作辦法。
(2)確定信息安全風(fēng)險(xiǎn)評(píng)估的范圍
不同企業(yè)對(duì)于風(fēng)險(xiǎn)的承受能力是有區(qū)別的,因此,對(duì)于不同的企業(yè)的特殊性應(yīng)該采取不同的風(fēng)險(xiǎn)控制辦法,其中,不同企業(yè)對(duì)于能夠承受的信息安全風(fēng)范圍有所不同,企業(yè)的信息安全風(fēng)險(xiǎn)承受范圍需要根據(jù)企業(yè)的實(shí)際能力來(lái)制定。不僅如此,企業(yè)的信息安全風(fēng)險(xiǎn)評(píng)估范圍也應(yīng)當(dāng)根據(jù)企業(yè)的實(shí)際經(jīng)營(yíng)情況變化采取有針對(duì)性的辦法。
【關(guān)鍵詞】企業(yè)信息 現(xiàn)狀 措施
隨著信息技術(shù)和網(wǎng)絡(luò)技術(shù)的快速發(fā)展,信息安全問(wèn)題引起了社會(huì)各界的廣泛關(guān)注,并且已經(jīng)成為當(dāng)今時(shí)代十分重要的研究話題。影響企業(yè)信息安全的因素諸多,除了網(wǎng)絡(luò)本身的開(kāi)放性之外,內(nèi)部用戶訪問(wèn)控制以及用戶身份識(shí)別等系統(tǒng)還不夠完善,會(huì)給企業(yè)信息安全帶來(lái)巨大的威脅。信息安全技術(shù)主要就是控制數(shù)據(jù),保障數(shù)據(jù)傳輸?shù)陌踩院涂煽啃浴?/p>
1 企業(yè)信息安全的意義
1.1 信息安全是時(shí)展的需要
隨著計(jì)算機(jī)網(wǎng)絡(luò)的快速發(fā)展,不僅改變了人們生活和工作方式,也給企業(yè)的商務(wù)運(yùn)行帶來(lái)了全新的模式,改變了傳統(tǒng)企業(yè)生產(chǎn)和管理模式,進(jìn)一步推動(dòng)了我國(guó)社會(huì)的發(fā)展。企業(yè)信息安全技術(shù)得到了進(jìn)一步的重視和發(fā)展,并且逐漸的與國(guó)際先進(jìn)水平接軌,為企業(yè)國(guó)際化發(fā)展提供了強(qiáng)有力的支持。
1.2 信息安全是企業(yè)發(fā)展的需要
我國(guó)大部分企業(yè)積極的引用了信息技術(shù)和安全技術(shù),信息技術(shù)和網(wǎng)絡(luò)技術(shù)給企業(yè)帶來(lái)了諸多優(yōu)勢(shì),比如生產(chǎn)效率的提高、成本的降低以及業(yè)務(wù)拓展等優(yōu)勢(shì)。目前企業(yè)的信息和數(shù)據(jù)主要都是以電子文檔的形式保存,對(duì)于企業(yè)來(lái)講,信息安全技術(shù)是保障企業(yè)信息和數(shù)據(jù)不收侵害和威脅的基礎(chǔ)保障之一,更是企業(yè)生存的保障,所以,必須要提高信息安全技術(shù),避免網(wǎng)絡(luò)和信息系統(tǒng)中可能存在的風(fēng)險(xiǎn),逐步的建立信息安全保障體系,有利于企業(yè)的可持續(xù)性發(fā)展。
1.3 信息安全是企業(yè)穩(wěn)定的必要前提
信息安全是保障企業(yè)穩(wěn)定發(fā)展的重要措施,必須要充分的認(rèn)識(shí)到信息安全工作的重要性和長(zhǎng)期性,無(wú)論是從企業(yè)的經(jīng)濟(jì)效益還是企業(yè)的穩(wěn)定發(fā)展等角度來(lái)考慮,必須要做好信息安全工作,做好基礎(chǔ)性工作,在建立信息安全保障體系的時(shí)候,必須要建設(shè)良好的網(wǎng)絡(luò)環(huán)境,重視信息戰(zhàn)略,保障企業(yè)的信息化能夠健康發(fā)展。
2 企業(yè)信息安全的現(xiàn)狀
2.1 企業(yè)缺少信息安全管理制度
企業(yè)信息安全功過(guò)還是一個(gè)比較嶄新的領(lǐng)域,相關(guān)的法律法規(guī)還不夠完善,并且信息安全技術(shù)和手段還沒(méi)有成熟,進(jìn)而導(dǎo)致相關(guān)規(guī)定和標(biāo)準(zhǔn)并不能貫徹執(zhí)行,安全標(biāo)準(zhǔn)和規(guī)范也是比較缺少的,從而并沒(méi)有制定科學(xué)、合理的信息安全管理制度。企業(yè)信息系統(tǒng)安全問(wèn)題是一項(xiàng)非常科學(xué)的系統(tǒng)工程,所涉及的范圍比較廣,隨著科學(xué)技術(shù)的快速發(fā)展,信息技術(shù)和網(wǎng)絡(luò)技術(shù)不斷的更新和升級(jí),是不斷發(fā)展的動(dòng)態(tài)過(guò)程,所以,企業(yè)信息系統(tǒng)運(yùn)行風(fēng)險(xiǎn)和安全必須要定期的進(jìn)行調(diào)整和規(guī)劃,才能夠從根本上保障企業(yè)信息的安全性和可靠性。
2.2 員工缺少安全管理的責(zé)任心
企業(yè)信息系統(tǒng)的安全性需要全體人員的參與,信息安全系統(tǒng)中最為重要的因素就是員工,其主要原因就是因?yàn)閱T工們才是企業(yè)信息系統(tǒng)的提供者和使用者,員工們能夠直接影響到信息安全系統(tǒng)是否能夠達(dá)到預(yù)期的要求。在諸多的信息安全問(wèn)題中,最多的安全事件就是信息泄露時(shí)間。其主要泄露原因來(lái)源于內(nèi)部員工,并不是外部黑客的攻擊,給企業(yè)帶來(lái)巨大經(jīng)濟(jì)損失的主要原因就是因?yàn)閮?nèi)部員工有意或者無(wú)意的泄露企業(yè)的相關(guān)信息,但是,目前我國(guó)還沒(méi)有完善、成熟的系統(tǒng)預(yù)防內(nèi)部員工泄密事件的發(fā)生,也是整個(gè)信息安全體系中的難點(diǎn)和弱點(diǎn)。
2.3 信息系統(tǒng)缺乏信息安全技術(shù)
計(jì)算機(jī)信息安全技術(shù)的本質(zhì)就是由密碼應(yīng)用技術(shù)、操作系統(tǒng)維護(hù)技術(shù)、信息安全技術(shù)以及數(shù)據(jù)庫(kù)應(yīng)用技術(shù)等各個(gè)學(xué)科組成的計(jì)算機(jī)綜合應(yīng)用學(xué)科。但是由于我國(guó)計(jì)算機(jī)技術(shù)還有待進(jìn)一步完善,導(dǎo)致我國(guó)技術(shù)的發(fā)展還存在一定的局限性,在硬件和軟件設(shè)計(jì)的過(guò)程中難免會(huì)存在著一些弊端,網(wǎng)絡(luò)硬件和軟件系統(tǒng)大多數(shù)都需要依靠進(jìn)口,為企業(yè)信息安全帶來(lái)了一定的隱患,隨著科學(xué)技術(shù)的快速發(fā)展,黑客已經(jīng)不在是傳統(tǒng)的破壞底層系統(tǒng),目前黑客主要是入侵應(yīng)用,竊取相應(yīng)的數(shù)據(jù),帶著非常顯著的商業(yè)性質(zhì)。隨著網(wǎng)絡(luò)技術(shù)的普及,針對(duì)應(yīng)用的攻擊越來(lái)越多,不僅需要從管理方面來(lái)保障企業(yè)信息的安全性,還必須要從技術(shù)方面給予強(qiáng)力的支持。
2.4 病毒危害
計(jì)算機(jī)病毒主要就是指編制對(duì)計(jì)算機(jī)程序有破壞性的程序,進(jìn)而影響計(jì)算機(jī)的使用并且能夠通過(guò)自我不斷的復(fù)制來(lái)代替計(jì)算機(jī)指令或者程序代碼,其具有很強(qiáng)的破壞性。隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展,當(dāng)今時(shí)代的計(jì)算機(jī)病毒已經(jīng)泛濫成災(zāi),根據(jù)相關(guān)統(tǒng)計(jì),計(jì)算機(jī)病毒的種類已經(jīng)高達(dá)4萬(wàn)多種,并且每年還在快速的增長(zhǎng),病毒隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展而傳播速度越來(lái)越快,破壞性也就越來(lái)越高,給計(jì)算機(jī)用戶和企業(yè)的信息安全帶來(lái)了巨大的安全隱患。
2.5 “黑客”攻擊
黑客主要就是指通過(guò)技術(shù)手段侵入到他人計(jì)算機(jī)系統(tǒng)的人,黑客破解或者破壞計(jì)算機(jī)以及網(wǎng)絡(luò)系統(tǒng),導(dǎo)致計(jì)算機(jī)用戶信息數(shù)據(jù)的泄露。目前比較常見(jiàn)的黑客手段有后門程序、信息炸彈、網(wǎng)絡(luò)監(jiān)聽(tīng)以及密碼破解等手段來(lái)侵入他人的計(jì)算機(jī)系統(tǒng)來(lái)竊取數(shù)據(jù)信息,隨著網(wǎng)絡(luò)技術(shù)和信息技術(shù)的快速發(fā)展,黑客攻擊已經(jīng)成為當(dāng)今時(shí)代十分常見(jiàn)的安全問(wèn)題。
3 企業(yè)信息安全改進(jìn)建議
3.1 技術(shù)安全
3.1.1 數(shù)字簽名和加密技術(shù)
為了能夠預(yù)防黑客的入侵,可以在傳統(tǒng)的數(shù)字簽名和加密技術(shù)的基礎(chǔ)上不斷的完善和創(chuàng)新,進(jìn)而提高信息安全技術(shù)。比如數(shù)字簽名技術(shù),可以通過(guò)設(shè)定數(shù)字簽名,用戶在進(jìn)行操作的時(shí)候能夠打上自身獨(dú)有的印記,其主要目的就是為了能夠避免其他人擅自修改計(jì)算機(jī)數(shù)據(jù),從而能夠提高計(jì)算機(jī)的安全系數(shù),預(yù)防黑客的攻擊。在設(shè)定數(shù)字簽名的時(shí)候,必須要重視數(shù)字證書的獲取渠道,一般主要就是從以下三個(gè)渠道來(lái)獲取數(shù)字證書,即軟件自身所帶的數(shù)字證書;商業(yè)認(rèn)證授權(quán)機(jī)構(gòu)獲取;內(nèi)部專門負(fù)責(zé)認(rèn)證的安全管理機(jī)構(gòu)處獲取。
3.1.2 入侵防護(hù)系統(tǒng)(IPS)
傳統(tǒng)的防火墻主要功能就是拒絕明顯可疑的網(wǎng)絡(luò)流量,但是依然能夠允許一些流量通過(guò),所以,傳統(tǒng)的防火墻防護(hù)功能并不到位,面對(duì)一些入侵攻擊的時(shí)候依然無(wú)可奈何。大部分IDS系統(tǒng)都是被動(dòng)的,然而IPS更加傾向于提供主動(dòng)的防護(hù)功能,其主要目的就是預(yù)先攔截入侵活動(dòng)和攻擊性網(wǎng)絡(luò)流量,避免給用戶帶來(lái)不必要的損失,相比于傳統(tǒng)的防火墻具有更多的防護(hù)優(yōu)勢(shì)。IPS主要就是通過(guò)網(wǎng)絡(luò)流量實(shí)現(xiàn)這個(gè)功能的,也就是指通過(guò)網(wǎng)絡(luò)端口接收外部系統(tǒng)的流量來(lái)檢測(cè)其內(nèi)是否還有可疑的內(nèi)容,然后在通過(guò)另外一個(gè)端口將其送到內(nèi)容系統(tǒng)中,進(jìn)而一旦發(fā)現(xiàn)可以的數(shù)據(jù)包就能夠自動(dòng)的清除掉,避免病毒的入侵,從根本上提高了信息的安全性和保密性。
3.1.3 統(tǒng)一威脅管理(UTM)
根據(jù)美國(guó)權(quán)威企業(yè)對(duì)統(tǒng)一威脅管理做出了嚴(yán)格的定義,即由硬件、軟件以及網(wǎng)絡(luò)技術(shù)組成的具有專門用途的設(shè)備,其主要可以提供一項(xiàng)或者多項(xiàng)的安全功能。它能夠?qū)⒅T多安全特性集成到一個(gè)硬設(shè)備里,然后建立一個(gè)統(tǒng)一標(biāo)準(zhǔn)的平臺(tái)。統(tǒng)一威脅管理的主要功能有網(wǎng)絡(luò)防火墻、網(wǎng)絡(luò)入侵檢測(cè)以及網(wǎng)關(guān)防病毒功能。這些功能都是統(tǒng)一威脅管理本身所自帶的功能。另外,統(tǒng)一威脅管理安全設(shè)備本身也具有諸多特性,比如安全管理、日志以及服務(wù)質(zhì)量等特點(diǎn),這些特性主要就是為安全功能服務(wù)的。
3.2 錄級(jí)安全控制
為了能夠保障企業(yè)信息的安全,網(wǎng)絡(luò)必須要允許控制用戶對(duì)目錄、文件以及設(shè)備的訪問(wèn)。用戶在目錄一級(jí)指定的權(quán)限對(duì)所有文件以及子目錄都是有效的,還應(yīng)該可以進(jìn)一步對(duì)目錄下的子目錄和文件的權(quán)限進(jìn)行指定。目前比較常見(jiàn)的訪問(wèn)權(quán)限有系統(tǒng)管理員權(quán)限、讀權(quán)限、創(chuàng)建權(quán)限、刪除權(quán)限以及存取控制權(quán)限等。網(wǎng)絡(luò)系統(tǒng)管理人員應(yīng)該為用戶指定合適的訪問(wèn)權(quán)限,因?yàn)檫@些權(quán)限的作用非常大,主要控制了用戶對(duì)服務(wù)器的訪問(wèn)。
3.3 網(wǎng)絡(luò)監(jiān)測(cè)和鎖定控制
網(wǎng)絡(luò)管理人員必須要對(duì)網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)的監(jiān)控,服務(wù)器應(yīng)該及時(shí)的記錄用戶對(duì)網(wǎng)絡(luò)資源的訪問(wèn),尤其是對(duì)非法網(wǎng)站訪問(wèn)的時(shí)候,服務(wù)器應(yīng)該以各種方式加以報(bào)警,從而引起網(wǎng)絡(luò)管理人員的注意。如果黑客試圖侵入網(wǎng)絡(luò)的時(shí)候,網(wǎng)絡(luò)服務(wù)器必須要自動(dòng)記錄企圖進(jìn)入網(wǎng)絡(luò)的次數(shù),如果訪問(wèn)達(dá)到一定數(shù)值之后,帳戶將會(huì)被自動(dòng)鎖定。
3.4 提高企業(yè)員工的安全意識(shí)
無(wú)論哪個(gè)領(lǐng)域,主體都是人,信息安全方面的主體也是人員,通過(guò)人來(lái)維護(hù)企業(yè)的根本利益,所以在建立信息網(wǎng)絡(luò)安全體系的時(shí)候必須要重視人的因素,做出相應(yīng)的規(guī)范和績(jī)效管理。企業(yè)員工信息安全意識(shí)普遍比較薄弱,企業(yè)必須要定期的開(kāi)展相應(yīng)的培訓(xùn)工作,從根本上提高企業(yè)員工整體的信息安全意識(shí),并且要有專業(yè)的信息安全體系管理人才,才能夠從根本上提高企業(yè)信息數(shù)據(jù)的安全性、可靠性。
隨著信息時(shí)代和網(wǎng)絡(luò)時(shí)代的來(lái)臨,企業(yè)紛紛引進(jìn)先進(jìn)的信息技術(shù)和網(wǎng)絡(luò)技術(shù),并且成立自身的信息系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)來(lái)服務(wù)于企業(yè)運(yùn)營(yíng)管理和生產(chǎn)管理工作,信息技術(shù)和網(wǎng)絡(luò)技術(shù)在我國(guó)得到了廣泛的普及。但是,隨之而來(lái)的信息安全問(wèn)題日益凸顯,為了能夠保障企業(yè)信息數(shù)據(jù)的安全性和可靠性,必須要不斷的提高信息安全防護(hù)技術(shù),做好相應(yīng)的預(yù)防工作,避免各種入侵、盜取信息數(shù)據(jù)的事件發(fā)生,才能夠保障企業(yè)的可持續(xù)性發(fā)展。
參考文獻(xiàn)
[1]袁浩,張金榮.INTERNET接入、網(wǎng)絡(luò)安全[M].北京:電子工業(yè)出版社,2011.
[2]徐國(guó)芹.淺議如何建立企業(yè)信息安全體系架構(gòu)[J].中國(guó)高新技術(shù)企業(yè),2009(5).
[3]付沙,企業(yè)信息安全策略的研究與探討[J].商場(chǎng)現(xiàn)代化,2007(26).
[4]姜樺、郭永利,企業(yè)信息安全策略研究[J].焦作大學(xué)學(xué)報(bào),2009(1).
[5]徐新件,朱健華.關(guān)于企業(yè)網(wǎng)絡(luò)信息安全管理問(wèn)題研究[J].供電企業(yè)管理,2008(2).
伴隨著我國(guó)電力行業(yè)的迅速發(fā)展,特別是南網(wǎng)、國(guó)網(wǎng)、華電等大型的電力企業(yè),它們的發(fā)展速度更是非常迅速的,目前,電力行業(yè)在我國(guó)經(jīng)濟(jì)的發(fā)展當(dāng)中發(fā)揮著中流砥柱的作用,并且是確保整個(gè)社會(huì)穩(wěn)定劑經(jīng)濟(jì)健康迅速發(fā)展的根本性要素,可是,最近幾年隨著先進(jìn)科學(xué)技術(shù)的不斷研發(fā),電力企業(yè)信息開(kāi)始面臨著泄漏、不可掌控等一系列的安全性威脅,并且,自云計(jì)算出現(xiàn),其依賴于自身優(yōu)質(zhì)的性能與全新的有效計(jì)算、存儲(chǔ)模式受到了各行各業(yè)的喜愛(ài),云計(jì)算電力與以往的電力企業(yè)信息儲(chǔ)存系統(tǒng)及運(yùn)行性能相比具備非常明顯的優(yōu)勢(shì)。為此,云計(jì)算環(huán)境下電力企業(yè)信息安全是目前整個(gè)電力行業(yè)急需探究的重要問(wèn)題。
1 云計(jì)算的概念與基本原理
在分布式處理、并行式處理及先進(jìn)網(wǎng)絡(luò)計(jì)算科學(xué)技術(shù)不斷發(fā)展的基本前提下形成的一種新型計(jì)算模式即云計(jì)算,其面對(duì)的是超大規(guī)模的分布式氛圍,主要發(fā)揮著將供應(yīng)數(shù)據(jù)儲(chǔ)存及網(wǎng)絡(luò)服務(wù)的作用,并且具體的實(shí)現(xiàn)平臺(tái)、服務(wù)于應(yīng)用程序都是在整個(gè)云計(jì)算環(huán)境下得以實(shí)現(xiàn)的。云計(jì)算能夠把全部的計(jì)算資源融合在一起,通過(guò)具體軟件促使自動(dòng)化管理、無(wú)人為參與,并且能夠提供各種各樣的認(rèn)為服務(wù)。
云計(jì)算的基本原理是把相關(guān)的計(jì)算逐一分布在多個(gè)分布式計(jì)算機(jī)當(dāng)中,在遠(yuǎn)程服務(wù)器的具體計(jì)算當(dāng)中可以促使電力企業(yè)信息處于正常的運(yùn)行狀態(tài),有利于企業(yè)將資源更改為具體的需求得以運(yùn)用,并且能夠按照實(shí)際需求對(duì)計(jì)算機(jī)進(jìn)行訪問(wèn)。云計(jì)算基本原理為一場(chǎng)歷史性的轉(zhuǎn)變創(chuàng)舉。
2 目前我國(guó)電力企業(yè)信息安全結(jié)構(gòu)狀況
2.1 電力企業(yè)信息網(wǎng)絡(luò)結(jié)構(gòu)
隨著電力企業(yè)逐漸進(jìn)入網(wǎng)絡(luò)自動(dòng)化及智能化階段,為此,目前電力企業(yè)信息安全結(jié)構(gòu)一般是以公共網(wǎng)絡(luò)與專用網(wǎng)絡(luò)有效綜合的一種網(wǎng)絡(luò)結(jié)構(gòu)形式,其中,專用電力信息網(wǎng)絡(luò)指的是在因特網(wǎng)進(jìn)行連接的基礎(chǔ)上形成的一種電力企業(yè)信息網(wǎng)絡(luò)及調(diào)度信息網(wǎng)絡(luò)相互綜合的形式。
2.2 電力信息安全系統(tǒng)結(jié)構(gòu)
以信息中的信息性能及信息業(yè)務(wù)為出發(fā)點(diǎn)將電力企業(yè)信息劃分為三種層面:自動(dòng)化、生產(chǎn)管理、辦公室自動(dòng)化及電力企業(yè)信息管理。其中,辦公室自動(dòng)化及電力企業(yè)信息管理是與電力企業(yè)信息網(wǎng)絡(luò)結(jié)構(gòu)緊密聯(lián)系在一起的,形成的是一個(gè)安全工作區(qū)域,在這個(gè)安全區(qū)域當(dāng)中SPDnet支撐的一種自動(dòng)化,可具備監(jiān)控性能的實(shí)時(shí)監(jiān)控,譬如,配電自動(dòng)化、調(diào)度自動(dòng)化、變電站自動(dòng)化等,同時(shí),安全生產(chǎn)管理區(qū)域同樣也是SPDnet來(lái)作為基本支撐的。
3 云計(jì)算環(huán)境下電力企業(yè)信息安全技術(shù)的運(yùn)用
3.1 數(shù)據(jù)傳輸-存儲(chǔ)安全技術(shù)
在整個(gè)電力企業(yè)信息當(dāng)中,涵蓋了大量的有關(guān)電力企業(yè)發(fā)展的資料及所有數(shù)據(jù)信息,譬如:電力企業(yè)的財(cái)務(wù)信息、用戶信息、經(jīng)營(yíng)管理信息等等,所以,對(duì)于整個(gè)電力企業(yè)而言,數(shù)據(jù)的傳輸-存儲(chǔ)安全技術(shù)在其中發(fā)揮著極為重要的作用。
一般情況下,云計(jì)算環(huán)境下,嚴(yán)格加密技術(shù)可促使電力企業(yè)信息數(shù)據(jù)在具體的傳輸過(guò)程中將會(huì)處于非常安全的一種狀態(tài)下,主要是由于云計(jì)算能夠利用加密技術(shù)將那些潛存的非法訪客完全的拒之門外,預(yù)防數(shù)據(jù)傳輸過(guò)程中發(fā)生竊取的事件。
從電力企業(yè)信息數(shù)據(jù)存儲(chǔ)技術(shù)的角度進(jìn)行分析,其涵蓋了數(shù)據(jù)恢復(fù)、數(shù)據(jù)分離、數(shù)據(jù)備份、數(shù)據(jù)存貯位置的選擇等幾方面內(nèi)容,而云計(jì)算環(huán)境下,電力企業(yè)便能夠利用私有云這一高度集中的存儲(chǔ)技術(shù)把相關(guān)的數(shù)據(jù)信息以基本性能、重要系數(shù)為依據(jù)來(lái)選擇不同的存貯方位,這樣可以促使不同種類數(shù)據(jù)間隔離的實(shí)現(xiàn),并且可起到預(yù)防數(shù)據(jù)信息泄露的作用。
云計(jì)算的運(yùn)用可促使電力企業(yè)信息能夠?qū)崿F(xiàn)實(shí)時(shí)備份,使得電力企業(yè)信息在有突況出現(xiàn)的時(shí)候能夠在第一時(shí)間達(dá)到相關(guān)數(shù)據(jù)的及時(shí)恢復(fù)。
3.2 權(quán)限認(rèn)證及身份管理安全技術(shù)
云計(jì)算能夠成功的預(yù)防非工作人員使用非法用戶對(duì)電力企業(yè)信息系統(tǒng)進(jìn)行訪問(wèn),這主要是由于在私有云的內(nèi)部全部的企業(yè)信息都能夠?qū)崿F(xiàn)禁止訪問(wèn)技術(shù),電力企業(yè)信息管理工作者能夠通過(guò)私有云進(jìn)行身份管理、權(quán)限認(rèn)證技術(shù)的相關(guān)設(shè)置,按照企業(yè)工作人員的級(jí)別及具體的規(guī)定對(duì)于相關(guān)數(shù)據(jù)及應(yīng)用業(yè)務(wù)作出明確的規(guī)定及權(quán)限的劃分,這樣可成功的預(yù)防了非法訪問(wèn)的事件發(fā)生,同時(shí)實(shí)現(xiàn)合法用戶根據(jù)個(gè)人權(quán)限來(lái)進(jìn)行企業(yè)信息的具體操作。
3.3 網(wǎng)絡(luò)安全隔離技術(shù)
對(duì)于整個(gè)電力企業(yè)信息來(lái)講,云計(jì)算實(shí)則是互聯(lián)網(wǎng)當(dāng)中的一種內(nèi)部性系統(tǒng),通常情況下,電力企業(yè)信息網(wǎng)絡(luò)能夠從網(wǎng)絡(luò)安全的被動(dòng)保護(hù)層面來(lái)促使入侵檢驗(yàn)技術(shù)、防火墻設(shè)置等安全防火技術(shù)得以實(shí)現(xiàn),可是,云計(jì)算環(huán)境下,電力企業(yè)信息安全采用的是防火墻技術(shù)、物理隔離技術(shù)、協(xié)議隔離技術(shù)等先進(jìn)的科學(xué)技術(shù),其中,防火墻技術(shù)是對(duì)于企業(yè)外部網(wǎng)絡(luò)及電力企業(yè)信息網(wǎng)絡(luò)而創(chuàng)建的一道安全性保護(hù)屏障,通過(guò)對(duì)個(gè)人信息的嚴(yán)格檢測(cè)、審核,將具有破壞性入侵的訪客實(shí)施的一種有效防護(hù),能夠最大限度上將那些越過(guò)防火墻對(duì)電力企業(yè)信息安全網(wǎng)絡(luò)及正常運(yùn)行造成破壞的數(shù)據(jù)流進(jìn)行完全性的屏蔽;物理隔離技術(shù)指的是在云計(jì)算環(huán)境下對(duì)于電力企業(yè)內(nèi)外部網(wǎng)絡(luò)實(shí)施的一種分割,這樣能夠有效的將內(nèi)外部網(wǎng)絡(luò)系統(tǒng)的連接狀態(tài)完全阻斷;
協(xié)議隔離技術(shù)指的是在云計(jì)算環(huán)境下利用網(wǎng)絡(luò)配置隔離器對(duì)內(nèi)外部網(wǎng)絡(luò)進(jìn)行的一種隔離,在協(xié)議隔離技術(shù)的支撐下,內(nèi)外部網(wǎng)絡(luò)是完全分離的一種狀態(tài),而唯有云計(jì)算環(huán)境下的電力企業(yè)信息進(jìn)行相互交換的過(guò)程當(dāng)中,內(nèi)外部網(wǎng)絡(luò)才能夠通過(guò)協(xié)議由隔離的狀態(tài)轉(zhuǎn)變?yōu)檎_B接狀態(tài)。
4 結(jié)語(yǔ)
通過(guò)上文針對(duì)云計(jì)算環(huán)境下電力企業(yè)信息安全的淺析,我們從當(dāng)前電力企業(yè)信息安全的狀況進(jìn)行分析,云計(jì)算環(huán)境下用戶信息安全依然是一個(gè)較為嚴(yán)峻的問(wèn)題,一部分問(wèn)題并未得到根本性的解決,在今后的工作當(dāng)中,需要針對(duì)云計(jì)算環(huán)境下用戶信息安全供應(yīng)相應(yīng)的幫助,這樣才能夠促使用戶信息安全水平得到較為顯著的提高。我們堅(jiān)信,在未來(lái)的工作當(dāng)中,云計(jì)算環(huán)境下的電力企業(yè)信息將會(huì)更加安全,用戶信息的安全性能將會(huì)得到最大程度上的保障。
關(guān)鍵詞:石油企業(yè);信息安全;管理手段
0引言
隨著信息化建設(shè)進(jìn)程飛速發(fā)展,作為信息載體的計(jì)算機(jī)、互聯(lián)網(wǎng)已在企業(yè)生產(chǎn)、經(jīng)營(yíng)管理各個(gè)層面得到廣泛應(yīng)用。計(jì)算機(jī)網(wǎng)絡(luò)的開(kāi)放性、靈活性和廣泛性在全面數(shù)字化的今天給經(jīng)營(yíng)管理帶來(lái)了便捷、高效、有序的工作環(huán)境,同時(shí)也帶來(lái)了較大的安全管理隱患。黑客的出現(xiàn)、安全漏洞的增多、管理的交叉混亂、惡意的網(wǎng)絡(luò)攻擊使網(wǎng)絡(luò)安全管理遭受了較大的沖擊,成為信息化健康發(fā)展的絆腳石。網(wǎng)絡(luò)信息管理疏于安全的防范將危及到企業(yè)生產(chǎn)經(jīng)濟(jì)的有序發(fā)展。石油企業(yè)在國(guó)民經(jīng)濟(jì)中發(fā)揮著重要作用,任何風(fēng)險(xiǎn)都可能導(dǎo)致國(guó)家經(jīng)濟(jì)受到重大影響。因此,提高石油企業(yè)信息安全意識(shí),加強(qiáng)信息管理應(yīng)以保瘴服務(wù)和應(yīng)用為目標(biāo),強(qiáng)化安全意識(shí)、制定周密的安全手段從而構(gòu)建完善的信息安全管理體系。
1加強(qiáng)企業(yè)信息管理的必要性
1.1企業(yè)信息管理概念
企業(yè)信息管理是通過(guò)現(xiàn)代化的信息技術(shù)和設(shè)備,以網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)設(shè)備實(shí)現(xiàn)企業(yè)管理的自動(dòng)化,進(jìn)而對(duì)企業(yè)進(jìn)行全方位和多角度的管理,以此來(lái)促進(jìn)企業(yè)生產(chǎn)、經(jīng)營(yíng)管理的優(yōu)化配置,進(jìn)而通過(guò)企業(yè)資源的開(kāi)發(fā)和信息技術(shù)的有效利用來(lái)提高企業(yè)的管理水平,增強(qiáng)企業(yè)的核心競(jìng)爭(zhēng)力。企業(yè)信息管理的主要內(nèi)容,一般包括企業(yè)未來(lái)的經(jīng)濟(jì)形勢(shì)分析、預(yù)測(cè)資料、資源的可獲量、市場(chǎng)和競(jìng)爭(zhēng)對(duì)手的發(fā)展動(dòng)向,以及政府政策與政治情況的環(huán)境變化等等。企業(yè)信息管理與制訂企業(yè)發(fā)展戰(zhàn)略、制訂規(guī)劃、合理地分配資源是密切相關(guān)的。同時(shí),企業(yè)的信息管理也應(yīng)當(dāng)包括企業(yè)內(nèi)部的信息資源,如財(cái)務(wù)管理信息、物資庫(kù)存、鉆井施工、職工檔案管理等多方面的內(nèi)容,并且促進(jìn)企業(yè)的全面發(fā)展。
1.2企業(yè)信息安全管理的必要性
企業(yè)信息的存在方式有著多樣性,而進(jìn)行企業(yè)安全信息管理的主要目的,在于保護(hù)企業(yè)的信息安全,保證企業(yè)能夠順利的參與到市場(chǎng)經(jīng)濟(jì)活動(dòng)中,進(jìn)而提高企業(yè)的經(jīng)濟(jì)效益和社會(huì)效益,構(gòu)筑起信息安全管理系統(tǒng)的保密性、完整性、可用性、可維護(hù)性、可驗(yàn)證性的目標(biāo),使企業(yè)安全信息管理能夠通過(guò)有效的控制措施來(lái)實(shí)現(xiàn)。第一,企業(yè)管理的信息具有很強(qiáng)的保密性和完整性的特點(diǎn),因此其對(duì)于企業(yè)的生產(chǎn)勢(shì)力、科技含量、資金流動(dòng)、企業(yè)的綜合競(jìng)爭(zhēng)力等多方面都有著重要的影響,同時(shí)對(duì)于企業(yè)的商業(yè)形象與合法經(jīng)營(yíng)也至關(guān)重要,因此加強(qiáng)企業(yè)信息安全管理是必要的。第二,由于網(wǎng)絡(luò)自身所具有的開(kāi)放性特性,決定了企業(yè)信息管理也面臨著來(lái)自各方面的安全威脅,比如計(jì)算機(jī)病毒、黑客等,以及計(jì)算機(jī)詐騙、泄密等問(wèn)題,也說(shuō)明了加強(qiáng)企業(yè)信息安全管理勢(shì)在必行。第三,企業(yè)對(duì)于信息系統(tǒng)產(chǎn)生的依賴也從另一方面暴露出了信息管理系統(tǒng)的脆弱,公共網(wǎng)絡(luò)與私人網(wǎng)絡(luò)的連接增強(qiáng)了信息的控制難度,使得信息在分散化的管理模式下,集中、專業(yè)控制的有效性大大減弱。另外,由于很多信息管理系統(tǒng)設(shè)計(jì)的缺陷,其自身就存在著不合理之處,這對(duì)于信息安全管理也帶來(lái)了一定的難度。基于此,對(duì)于企業(yè)信息管理的安全性也成為了當(dāng)前企業(yè)管理面臨的一個(gè)重大課題。
2加強(qiáng)企業(yè)信息管理安全的防范措施
2.1不斷完善信息管理系統(tǒng)
隨著企業(yè)信息化的發(fā)展,目前應(yīng)用的管理系統(tǒng)有PKI、郵箱、AD域、普OA、合同系統(tǒng)、A6、ERP、網(wǎng)絡(luò)、操作系統(tǒng)、A7、檔案系統(tǒng)、物采系統(tǒng)、OSC、視頻會(huì)議、企業(yè)微信、門戶網(wǎng)站、寶石花、數(shù)字營(yíng)房、會(huì)議保障、E2、一體化、RTX、移動(dòng)應(yīng)用、短信平臺(tái)。信息系統(tǒng)的連續(xù)穩(wěn)定運(yùn)行越來(lái)越重要,一旦系統(tǒng)中斷,將會(huì)給企業(yè)的生產(chǎn)經(jīng)營(yíng)管理帶來(lái)混亂,而數(shù)據(jù)一旦丟失,后果是不可估量的。為此,信息管理系統(tǒng)的投入和使用,是建立在充分的實(shí)踐經(jīng)驗(yàn)的基礎(chǔ)上,通過(guò)一段時(shí)間的運(yùn)行和觀察,才能夠投入使用。在不同的部門進(jìn)行信息系統(tǒng)的引入時(shí),應(yīng)當(dāng)按照部門的實(shí)際情況,通過(guò)多方引進(jìn),使用統(tǒng)一的信息管理系統(tǒng)。對(duì)于信息安全來(lái)說(shuō),首先要解決的就是系統(tǒng)是否能夠通過(guò)安全驗(yàn)證對(duì)用戶進(jìn)行有效的管理,并且賦予不同等級(jí)的用戶不同的使用權(quán)限,這樣則能夠有效的防止無(wú)權(quán)訪問(wèn)信息的用戶對(duì)核心區(qū)域的訪問(wèn),保證信息不會(huì)被盜用。同時(shí),為保證信息系統(tǒng)的連續(xù)穩(wěn)定運(yùn)行,應(yīng)采用雙機(jī)服務(wù)器和從服務(wù)器。一旦發(fā)生服務(wù)器故障,由從服務(wù)器自動(dòng)接替主服務(wù)器工作。
2.2有效的設(shè)備管理
設(shè)備安全主要涉及到由于自然災(zāi)害、人為因素造成的數(shù)據(jù)丟失。信息安全應(yīng)建設(shè)完善的容災(zāi)備份系統(tǒng),容災(zāi)備份系統(tǒng)一般由兩個(gè)數(shù)據(jù)中心構(gòu)成,主中心和備份中心。通過(guò)異地?cái)?shù)據(jù)備份,實(shí)時(shí)地將主中心數(shù)據(jù)拷貝至備份中心存儲(chǔ)系統(tǒng)中,使主中心存儲(chǔ)數(shù)據(jù)與備份中心數(shù)據(jù)完全保持一致。同時(shí),對(duì)于管理系統(tǒng)中使用的設(shè)備品牌、機(jī)型、內(nèi)部配置以及使用時(shí)間等信息都要進(jìn)行專門的記錄,通過(guò)這些記錄,定期對(duì)設(shè)備進(jìn)行維護(hù),同時(shí)也能夠通過(guò)這些信息判斷出信息的使用效率以及運(yùn)行情況,對(duì)于設(shè)備的損壞或者是丟失情況都能夠及時(shí)地了解。
2.3加強(qiáng)對(duì)人員的監(jiān)督與管理
企業(yè)信息安全不單純是技術(shù)問(wèn)題,而是一個(gè)綜合性的問(wèn)題。其中最重要的因素是人,人是設(shè)備的主要操作者,因此對(duì)于信息的安全管理,就需要加強(qiáng)對(duì)人的管理,需要操作人員具有足夠的安全意識(shí),對(duì)于每一位操作人員進(jìn)行相關(guān)的培訓(xùn),對(duì)于唯一的用戶名和密碼等信息要進(jìn)行妥善保管,同時(shí)讓操作人員認(rèn)識(shí)到泄密會(huì)導(dǎo)致的嚴(yán)重后果,增強(qiáng)責(zé)任意識(shí)。只有通過(guò)不斷地學(xué)習(xí)及意識(shí)的培養(yǎng),管理人員才能養(yǎng)成定期維護(hù)、按時(shí)打補(bǔ)丁、及時(shí)更新的操作習(xí)慣,以不變應(yīng)萬(wàn)變的態(tài)度應(yīng)對(duì)各種網(wǎng)絡(luò)攻擊手段。通過(guò)不斷的加強(qiáng)過(guò)程管理,通過(guò)對(duì)每個(gè)細(xì)節(jié)的嚴(yán)密審查,能夠有效減少人為出錯(cuò)的現(xiàn)象,同時(shí)通過(guò)科學(xué)的評(píng)價(jià)機(jī)制和激勵(lì)機(jī)制,刺激人員工作的積極性,加強(qiáng)自身的責(zé)任意識(shí)。
2.4網(wǎng)絡(luò)傳輸安全
關(guān)鍵詞 信息安全風(fēng)險(xiǎn);控制;策略
中圖分類號(hào):TP309 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1671-7597(2013)12-0144-02
信息化時(shí)代,計(jì)算機(jī)應(yīng)用范圍日益廣泛,社會(huì)發(fā)展和人們生活已經(jīng)離不開(kāi)信息網(wǎng)絡(luò)。信息成為企業(yè)中重要的資源之一,很多企業(yè)都大量引入了信息化辦公手段,運(yùn)行于系統(tǒng)、網(wǎng)絡(luò)和電腦的數(shù)據(jù)安全成為了企業(yè)信息安全面臨的重要問(wèn)題。盡管很多企業(yè)都認(rèn)識(shí)到信息安全風(fēng)險(xiǎn)管理的重要性,也紛紛從人員配置、資金投入、技術(shù)更新等多方面加強(qiáng)對(duì)信息安全風(fēng)險(xiǎn)的管理,但是企業(yè)信息安全風(fēng)險(xiǎn)并沒(méi)有隨之消失,相反卻在不斷地增長(zhǎng)。現(xiàn)在,公司在越來(lái)越多的威脅面前顯得更為脆弱。網(wǎng)絡(luò)攻擊日益頻繁、攻擊手段日益多樣化,從病毒到垃圾郵件,這些方式都被用來(lái)竊取公司信息。,如不提前防范,一旦被襲,網(wǎng)絡(luò)阻塞、系統(tǒng)癱瘓、信息傳輸中斷、數(shù)據(jù)丟失等等,無(wú)疑將給企業(yè)業(yè)務(wù)帶來(lái)巨大的經(jīng)濟(jì)損失。
中國(guó)國(guó)家互聯(lián)網(wǎng)應(yīng)急中心抽樣監(jiān)測(cè)顯示,2011年,網(wǎng)絡(luò)安全威脅呈蔓延之勢(shì),有近5萬(wàn)個(gè)境外IP地址作為木馬或僵尸網(wǎng)絡(luò)控制服務(wù)器,參與控制了我國(guó)境內(nèi)近890萬(wàn)臺(tái)主機(jī),網(wǎng)上資產(chǎn)損失就高達(dá)十多億。仿冒我國(guó)境內(nèi)銀行網(wǎng)站站點(diǎn)的IP,也有將近3/4來(lái)自美國(guó)。可見(jiàn)企業(yè)信息安全風(fēng)險(xiǎn)控制勢(shì)在必行,不僅僅是企業(yè)需要關(guān)注的問(wèn)題,也是涉及到國(guó)家安全的重要課題。
1 企業(yè)信息安全風(fēng)險(xiǎn)分析
1.1 黑客的入侵和攻擊
企業(yè)面臨著一系列的信息安全威脅,其中最普遍的一種信息安全威脅就是病毒入侵。一些教授黑客技術(shù)的網(wǎng)絡(luò)資源隨處可見(jiàn),很多年輕人處于好奇或者出于牟利目的,從網(wǎng)上購(gòu)得黑客技術(shù),對(duì)企業(yè)網(wǎng)站進(jìn)行攻擊。2011年4月26日,索尼在“游戲站”博客通告,稱黑客侵入旗下“游戲站”和云音樂(lè)服務(wù)Qriocity網(wǎng)絡(luò),竊取大量用戶個(gè)人信息,包括姓名、地址、電子郵箱、出生日期、登錄名、登錄密碼、登錄記錄、密碼安全問(wèn)題等,受影響用戶大約7800萬(wàn)。黑客入侵方式中危害最嚴(yán)重的當(dāng)屬SQL注入。SQL注入的實(shí)際意義是利用某些數(shù)據(jù)庫(kù)的外部接口把用戶數(shù)據(jù)插入到實(shí)際的數(shù)據(jù)操作語(yǔ)言當(dāng)中,從而達(dá)到入侵?jǐn)?shù)據(jù)庫(kù)乃至操作系統(tǒng)的目的,很多黑客通過(guò)SQL注入交互和命令,利用數(shù)據(jù)庫(kù)實(shí)現(xiàn)木馬植入到網(wǎng)站中。SQL注入和緩沖區(qū)溢出漏洞相比,可以繞過(guò)防火墻直接訪問(wèn)數(shù)據(jù)庫(kù),進(jìn)一步獲得數(shù)據(jù)庫(kù)所在的服務(wù)器權(quán)限,給企業(yè)造成的損失十分慘重,更使廣大互聯(lián)網(wǎng)用戶深受其害。
1.2 企業(yè)信息安全防范意識(shí)薄弱
目前,很多企業(yè)都加強(qiáng)了信息化建設(shè),通過(guò)資金投入、技術(shù)改造等多方面加強(qiáng)企業(yè)信息安全。但是信息風(fēng)險(xiǎn)不僅僅是技術(shù)層面的東西,更重要是人的意識(shí)層面對(duì)安全風(fēng)險(xiǎn)的認(rèn)識(shí)。在企業(yè)中,很多部門和個(gè)人依然對(duì)信息安全風(fēng)險(xiǎn)問(wèn)題不重視,有的認(rèn)為信息風(fēng)險(xiǎn)安全是網(wǎng)絡(luò)部門的事情,與其他部門或者員工沒(méi)有關(guān)系,而且也幫不上忙;有的人認(rèn)為對(duì)信息安全的宣傳有夸張的嫌疑,真正遭受過(guò)網(wǎng)絡(luò)攻擊的企業(yè)屈指可數(shù),肯定不會(huì)發(fā)生在自己身上;有的企業(yè) 缺乏信息安全風(fēng)險(xiǎn)管理的制度建設(shè),沒(méi)有出臺(tái)具體的故障制度,造成很多情況下,員工無(wú)章可循,不知道怎么應(yīng)對(duì)網(wǎng)絡(luò)信息風(fēng)險(xiǎn),出現(xiàn)問(wèn)題也不知道如何化解和處理。有的企業(yè)盡管已經(jīng)制定了規(guī)章制度,但很多都是流于形式,沒(méi)有針對(duì)性,也沒(méi)有操作性,長(zhǎng)年累月不進(jìn)行更新和修改,滯后于信息化時(shí)展的要求。
1.3 技術(shù)裝備和設(shè)施的作用發(fā)揮不充分
很多企業(yè)為了加強(qiáng)信息安全風(fēng)險(xiǎn)管理,都有針對(duì)性的部署了一些信息安全設(shè)備,然后這些從安裝上就很少有人問(wèn)津,設(shè)備的運(yùn)行狀況和參數(shù)設(shè)置都不合理,都是根據(jù)系統(tǒng)提示采用默認(rèn)設(shè)置,由于企業(yè)與企業(yè)之間有很大的不同,企業(yè)之間的信息安全風(fēng)險(xiǎn)也相差迥異,采用默認(rèn)狀態(tài)無(wú)法照顧企業(yè)的真實(shí)情況,不能從源頭上有針對(duì)性的加強(qiáng)信息安全風(fēng)險(xiǎn)管理。很多企業(yè)缺乏對(duì)安全設(shè)備以及運(yùn)行日志的監(jiān)控,不能有效的根據(jù)設(shè)備運(yùn)行狀況進(jìn)行細(xì)致分析,從而采取適當(dāng)措施加強(qiáng)信息風(fēng)險(xiǎn)管理。總之,在企業(yè)信息安全風(fēng)險(xiǎn)管理中被動(dòng)保護(hù)的情況比較普遍,缺乏主動(dòng)防御的意識(shí),而且對(duì)于大多數(shù)中小企業(yè)而言,企業(yè)資金和規(guī)模都比較小,面臨激烈的市場(chǎng)競(jìng)爭(zhēng),企業(yè)將主要精力用于市場(chǎng)開(kāi)拓和產(chǎn)品的影響,以期在短時(shí)間內(nèi)獲得可觀的利潤(rùn),企業(yè)在信息安全風(fēng)險(xiǎn)上的投入比較少,很多設(shè)備都老化了,線路都磨損嚴(yán)重,卻沒(méi)有得到及時(shí)更新和維護(hù),為企業(yè)安全風(fēng)險(xiǎn)管理埋下了隱患。
1.4 企業(yè)信息安全規(guī)定不嚴(yán)謹(jǐn)
很多企業(yè)在實(shí)際工作制定了大量的安全管理規(guī)定,但是在實(shí)際操作中,對(duì)企業(yè)員工以及信息服務(wù)人員的口令卡、數(shù)據(jù)加密等要求很難得到落實(shí)。部分員工長(zhǎng)期使用初始口令、加密強(qiáng)度較弱的口令,有的員工登陸系統(tǒng)時(shí)使用別人的賬號(hào),使用完畢后也沒(méi)有及時(shí)關(guān)閉賬號(hào),也不關(guān)電腦,外來(lái)人員很容易登陸電腦竊取企業(yè)機(jī)密文件,公司內(nèi)部也缺乏信息安全風(fēng)險(xiǎn)管理的意識(shí),員工可以任意下載企業(yè)資料,可以隨意將企業(yè)資料設(shè)置成共享狀態(tài),在拷貝企業(yè)文件或者數(shù)據(jù)時(shí),也沒(méi)有經(jīng)過(guò)殺毒過(guò)程,直接下載或者用郵件發(fā)送。甚至很多企業(yè)員工在上班時(shí)間看電影、玩游戲、下載文件比較普遍,員工隨意打開(kāi)一些不安全的網(wǎng)站,隨意接受一些來(lái)源可疑的郵件,成病毒傳播、木馬下載、賬號(hào)及密碼被盜,自己還渾然不知。這些不良行為都嚴(yán)重威脅企業(yè)的信息安全,加上現(xiàn)代企業(yè)人員流動(dòng)比較頻繁,員工跳槽很普遍,很多員工離職后也沒(méi)有上交公司賬號(hào)和口令卡,依然可以登錄原公司系統(tǒng),給企業(yè)網(wǎng)絡(luò)風(fēng)險(xiǎn)帶來(lái)隱患。企業(yè)廢棄不用的一些安全設(shè)備也沒(méi)有及時(shí)進(jìn)行加密和保護(hù)處理,里面的數(shù)據(jù)沒(méi)有及時(shí)進(jìn)行刪除,安全設(shè)備隨意放置,外人很容易從這些設(shè)備中還原和復(fù)制原有的信息資源。
2 企業(yè)信息安全風(fēng)險(xiǎn)的控制
2.1 加強(qiáng)基礎(chǔ)設(shè)施建設(shè)資金投入
企業(yè)要加強(qiáng)信息安全風(fēng)險(xiǎn)防范的資金投入,資金投入主要用于企業(yè)日常安全信息管理、技術(shù)人員的培訓(xùn)以及安全設(shè)備的購(gòu)置等等,每年企業(yè)從企業(yè)利潤(rùn)中拿出一定比例的資金來(lái)加強(qiáng)信息安全的投入,投入的資金與企業(yè)規(guī)模、企業(yè)對(duì)信息安全的要求息息相關(guān)。針對(duì)很多公司信息化設(shè)備老化,線路損耗嚴(yán)重的現(xiàn)實(shí)情況,企業(yè)要加強(qiáng)線路的維護(hù)和改造,購(gòu)買新的防火墻和殺毒軟件等等,在采購(gòu)和使用信息安全產(chǎn)品時(shí),企業(yè)一定要重視產(chǎn)品的管理功能是否強(qiáng)大、解決方案是否全面,以及企業(yè)安全管理人員的技術(shù)水平。例如企業(yè)可以購(gòu)入U(xiǎn)PS電源,突然停電時(shí)可以利用該電源用來(lái)應(yīng)急,以保證公司信息化建設(shè)中系統(tǒng)的正常運(yùn)行和設(shè)備技術(shù)的及時(shí)更新。
2.2 提高個(gè)人信息安全意識(shí)
維護(hù)企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)信息安全是企業(yè)每一位員工都應(yīng)該關(guān)注的課題,企業(yè)要加強(qiáng)信息安全風(fēng)險(xiǎn)防范的宣傳,讓每一位員工都對(duì)基本得到網(wǎng)絡(luò)安全信息技術(shù)有所了解,對(duì)計(jì)算機(jī)風(fēng)險(xiǎn)的重要性有清楚的認(rèn)識(shí),每位員工尤其是網(wǎng)絡(luò)技術(shù)服務(wù)人員要把口令卡和賬號(hào)管理好,不能泄露或者遺失,使用者的網(wǎng)絡(luò)操作行為和權(quán)限都要進(jìn)行一定的控制,防止企業(yè)員工越權(quán)瀏覽公司信息,對(duì)于一些涉及企業(yè)機(jī)密的文件要及時(shí)進(jìn)行加密,對(duì)文件是否可以公開(kāi)訪問(wèn)進(jìn)行限制,減少不合法的訪問(wèn)。還要及時(shí)清理文件,一些廢棄的或者沒(méi)有價(jià)值的文件要及時(shí)進(jìn)行刪除,要徹底刪除不能僅僅放到回收站,保證其他人無(wú)法通過(guò)復(fù)制或者還原電腦設(shè)備中的信息。對(duì)于企業(yè)電腦設(shè)備要注意防磁、防雷擊等保護(hù)措施,企業(yè)職工要對(duì)電腦設(shè)備的基本保養(yǎng)和維護(hù)措施有了解,不要在過(guò)于潮濕、氣溫過(guò)高的地方使用電腦,要懂得如何對(duì)電腦系統(tǒng)繼續(xù)軟件更新和漏洞的修補(bǔ),從而保證計(jì)算機(jī)處在最優(yōu)的防護(hù)狀態(tài),減少病毒入侵。
2.3 加強(qiáng)防火墻設(shè)計(jì)
由員工網(wǎng)絡(luò)操作不當(dāng)造成的黑客入侵、商業(yè)機(jī)密泄露也威脅著企業(yè)的生存和發(fā)展。一直以來(lái),企業(yè)信息安全解決方案都需要來(lái)自多個(gè)制造商的不同產(chǎn)品,需要多個(gè)工具和基礎(chǔ)結(jié)構(gòu)來(lái)進(jìn)行管理、報(bào)告和分析。不同品牌、不同功能的信息安全設(shè)備被雜亂無(wú)章地堆疊在企業(yè)網(wǎng)絡(luò)中,不但兼容性差,還容易造成企業(yè)網(wǎng)絡(luò)擁堵。正確地部署和配置這些復(fù)雜的解決方案十分困難,而且需要大量時(shí)間。另外,大量安全產(chǎn)品互操作性不足,無(wú)法與已有的安全和 IT 基礎(chǔ)結(jié)構(gòu)很好的集成。這樣組成的解決方案難以管理,增加了擁有者總成本,并可能在網(wǎng)絡(luò)上留下安全漏洞。企業(yè)可以引入終端安全管理系統(tǒng)進(jìn)行信息安全風(fēng)險(xiǎn)的防范,例如瑞星企業(yè)終端安全管理系統(tǒng)采用了統(tǒng)一系統(tǒng)平臺(tái)+獨(dú)立功能模塊的設(shè)計(jì)理念,集病毒查殺雙引擎、專業(yè)防火墻和信息安全審計(jì)等于一身,具有網(wǎng)絡(luò)安全管理、客戶端行為審計(jì)、即時(shí)通訊管理和審計(jì)、客戶端漏洞掃描和補(bǔ)丁管理等功能;企業(yè)信息安全新品還采用了模塊化的新形式,企業(yè)可以根據(jù)自己的需求定制相應(yīng)的功能組合;通過(guò)瑞星在線商店,企業(yè)也可以隨著信息安全需求的變化添加所需模塊,減輕首次購(gòu)買的支付成本及后續(xù)的升級(jí)成本。
總之,隨著網(wǎng)絡(luò)應(yīng)用的日益普及,企業(yè)信息安全風(fēng)險(xiǎn)問(wèn)題日益復(fù)雜。要切實(shí)加強(qiáng)對(duì)信息安全風(fēng)險(xiǎn)的認(rèn)識(shí),從規(guī)章制度、技術(shù)手段以及宣傳教育等多方面加強(qiáng)企業(yè)信息安全風(fēng)險(xiǎn)防范,確保網(wǎng)絡(luò)信息的保密性、完整性和可用性。
參考文獻(xiàn)
[1]夏青.淺述網(wǎng)絡(luò)技術(shù)與信息安全[J].科技情報(bào)開(kāi)發(fā)與經(jīng)濟(jì),2003(11).
[2]馬俊,王鐵存.網(wǎng)絡(luò)數(shù)據(jù)傳輸安全對(duì)策[J].航空計(jì)算技術(shù),2006,25(4).
[3]李象江.網(wǎng)絡(luò)安全技術(shù)與管理[J].現(xiàn)代圖書情報(bào),2006(2).
[4]陳月波.網(wǎng)絡(luò)信息安全第1版[M].武漢:武漢工業(yè)大學(xué)出版社,2008.
[5]劉正紅.XML加密技術(shù)的研究與實(shí)現(xiàn)[J].長(zhǎng)春大學(xué)學(xué)報(bào),2007,17(6).
[6]劉寶旭.網(wǎng)絡(luò)信息系統(tǒng)安全與管理[J].中國(guó)信息導(dǎo)報(bào),2000(11).
【關(guān)鍵詞】企業(yè); 信息安全; 風(fēng)險(xiǎn)評(píng)估; 風(fēng)險(xiǎn)控制
引言:
計(jì)算機(jī)和網(wǎng)絡(luò)通信相結(jié)合的信息技術(shù),是促進(jìn)當(dāng)代社會(huì)信息化發(fā)展的主要力量,為社會(huì)上各行各業(yè)的發(fā)展創(chuàng)造了良好的環(huán)境。許多企業(yè)在經(jīng)營(yíng)與管理中已經(jīng)引用現(xiàn)代信息技術(shù),從而使經(jīng)營(yíng)與管理更為科學(xué),工作效率更高,獲得的經(jīng)濟(jì)效益也越多。然而現(xiàn)代信息技術(shù)是一把雙刃劍,信息化的程度越高,由它帶來(lái)的風(fēng)險(xiǎn)也越大。當(dāng)前,企業(yè)的信息安全風(fēng)險(xiǎn)評(píng)估工作存在著一些問(wèn)題,這些問(wèn)題對(duì)企業(yè)的發(fā)展造成很多不利的影響。
一、企業(yè)信息安全風(fēng)險(xiǎn)概述
對(duì)企業(yè)來(lái)說(shuō),信息是維持企業(yè)正常運(yùn)作的必要資源。企業(yè)的信息包括重要的數(shù)據(jù)、企業(yè)的發(fā)展規(guī)劃、保密性文件、知識(shí)產(chǎn)權(quán)等。這些信息一旦被泄露,那么企業(yè)將面臨著或大或小的經(jīng)濟(jì)損失,更嚴(yán)重的還會(huì)使企業(yè)面臨破產(chǎn)的危險(xiǎn)。所謂的企業(yè)信息安全就是指信息在其生命周期中,它的完整性、保密性和可用性這三個(gè)特性的保留情況。如果這三個(gè)特性都得到了保障,那么信息的安全性就高;如果其中的某個(gè)特性被破壞,那么信息的安全性就低。而信息安全風(fēng)險(xiǎn)就是指信息在特定的環(huán)境與特定的時(shí)間里可能遭遇的安全威脅。
信息安全風(fēng)險(xiǎn)可以分為可控性風(fēng)險(xiǎn)與不可控風(fēng)險(xiǎn)、可接受風(fēng)險(xiǎn)與不可接受風(fēng)險(xiǎn)、自然風(fēng)險(xiǎn)與人為風(fēng)險(xiǎn)等[1],這些風(fēng)險(xiǎn)給企業(yè)的信息安全管理工作帶來(lái)了更多的不確定因素,加深了工作難度。
二、企業(yè)信息安全風(fēng)險(xiǎn)評(píng)估的現(xiàn)狀與問(wèn)題
當(dāng)前,我國(guó)企業(yè)的信息安全風(fēng)險(xiǎn)評(píng)估工作存在著許多問(wèn)題,給企業(yè)的日常經(jīng)營(yíng)與管理帶來(lái)了許多不利的影響。
首先,企業(yè)沒(méi)有樹(shù)立正確的信息安全觀。很多企業(yè)的管理者在信息安全問(wèn)題上會(huì)走向兩個(gè)極端,一種是認(rèn)為只要加大信息建設(shè)的投入,信息就存在絕對(duì)安全的可能;另一種是忽視信息安全建設(shè),信息安全風(fēng)險(xiǎn)意識(shí)淡薄。很多企業(yè)的管理層對(duì)信息資產(chǎn)的重要性認(rèn)識(shí)不夠,因而他們?cè)诒Wo(hù)信息安全方面幾乎是無(wú)作為。
其次,企業(yè)在具體的信息安全風(fēng)險(xiǎn)評(píng)估工作中,表現(xiàn)出重安全技術(shù)而輕安全管理的思想與行為方式。這些企業(yè)在工作過(guò)程當(dāng)中,不論是在心理還是在行為上都過(guò)分依賴安全技術(shù),甚至認(rèn)為只要安全技術(shù)過(guò)硬,信息安全就一定能夠得到保證,為此,企業(yè)普遍采用現(xiàn)代通信技術(shù)、計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)來(lái)構(gòu)建企業(yè)信息安全系統(tǒng)。而在安全管理上,出現(xiàn)了管理措施不到位,員工在信息保密上不夠嚴(yán)肅等問(wèn)題,造成信息安全技術(shù)做無(wú)用功。
此外,企業(yè)信息安全風(fēng)險(xiǎn)評(píng)估工作還存在著管理制度不夠完善、責(zé)任劃分不夠明確等問(wèn)題。信息安全風(fēng)險(xiǎn)的評(píng)估工作需要收集各方面的大量的信息,如此才能增強(qiáng)評(píng)估的有效性。而企業(yè)由于管理制度不完善、職責(zé)劃分不明確等問(wèn)題,造成各部門的工作不配合、不協(xié)調(diào)。信息技術(shù)部門被孤立,信息安全的風(fēng)險(xiǎn)評(píng)估工作也就不能得到及時(shí)有效的完成。
最后,我國(guó)有些企業(yè)在信息安全風(fēng)險(xiǎn)評(píng)估的技術(shù)與方法上落后于時(shí)代。現(xiàn)代信息系統(tǒng)越往后發(fā)展,結(jié)構(gòu)就越復(fù)雜。這要求企業(yè)要根據(jù)不斷變化的信息技術(shù)來(lái)改進(jìn)自己的風(fēng)險(xiǎn)管理理念和手段,同時(shí)也要吸收國(guó)際上的先進(jìn)信息安全風(fēng)險(xiǎn)評(píng)估技術(shù),保障自身的信息安全。
三、企業(yè)信息安全風(fēng)險(xiǎn)的控制
企業(yè)信息安全問(wèn)題對(duì)企業(yè)來(lái)說(shuō)是不應(yīng)該被忽視的部分,企業(yè)應(yīng)該在經(jīng)營(yíng)與管理的每個(gè)環(huán)節(jié)做好信息安全風(fēng)險(xiǎn)的控制工作,使企業(yè)的重要信息能夠得到充分的保護(hù)。企業(yè)信息安全風(fēng)險(xiǎn)的控制可以從風(fēng)險(xiǎn)分析、管理控制、技術(shù)控制三個(gè)方面來(lái)進(jìn)行。
(一)風(fēng)險(xiǎn)分析
在進(jìn)行信息安全風(fēng)險(xiǎn)控制之前,先對(duì)風(fēng)險(xiǎn)進(jìn)行分析可以使風(fēng)險(xiǎn)控制工作更加具有針對(duì)性,能夠提高風(fēng)險(xiǎn)控制工作的效率。對(duì)風(fēng)險(xiǎn)的分析可以從信息資產(chǎn)面臨的威脅、存在的弱點(diǎn)等方面來(lái)進(jìn)行[2]。在風(fēng)險(xiǎn)分析工作中,要明確以下幾點(diǎn):首先是信息安全風(fēng)險(xiǎn)控制工作中需要保護(hù)哪些信息,這些信息具有什么樣的價(jià)值;信息資產(chǎn)面臨著哪些潛在的威脅,導(dǎo)致這些威脅產(chǎn)生的根源是什么,威脅發(fā)生的幾率有多大;信息資產(chǎn)中是否具有漏洞,這些漏洞是否會(huì)被人威脅利用;信息資產(chǎn)發(fā)生威脅之后,企業(yè)會(huì)面臨多大的損失;企業(yè)該采取什么樣的措施來(lái)應(yīng)對(duì)風(fēng)險(xiǎn)帶來(lái)的損失,等等。
(二)管理控制
企業(yè)信息安全風(fēng)險(xiǎn)控制工作主要從組織管理、人員管理、政策實(shí)施等幾個(gè)方面來(lái)進(jìn)行。首先,企業(yè)應(yīng)該建立信息安全組織機(jī)構(gòu),吸收組織成員,協(xié)調(diào)企業(yè)內(nèi)部的各項(xiàng)資源,制定信息安全控制的目標(biāo)并通過(guò)組織成員履行職責(zé)來(lái)達(dá)到目標(biāo)。其次,企業(yè)要培養(yǎng)素質(zhì)高、責(zé)任心強(qiáng)、原則性強(qiáng),能夠遵守企業(yè)政策的人員。企業(yè)信息安全風(fēng)險(xiǎn)的控制不僅與強(qiáng)大的技術(shù)力量有關(guān),而且還有賴于執(zhí)行人員對(duì)信息安全工作的支持與參與。此外,在政策實(shí)施上,企業(yè)要嚴(yán)格執(zhí)行相關(guān)的信息安全保護(hù)政策,比如目前國(guó)際通用的《信息技術(shù)―信息安全管理實(shí)施細(xì)則》[1],為企業(yè)執(zhí)行信息安全保護(hù)工作提供一個(gè)統(tǒng)一的標(biāo)準(zhǔn),從而使工作能夠有序地展開(kāi)。
(三)技術(shù)控制
技術(shù)對(duì)信息安全控制的影響力是比較大的,它在很大程度上決定了信息安全風(fēng)險(xiǎn)的大小、范圍,同時(shí)它也決定了修補(bǔ)信息安全漏洞的方式和方法。因此,在技術(shù)方面對(duì)信息安全風(fēng)險(xiǎn)進(jìn)行控制是非常有必要的。首先,技術(shù)構(gòu)架的設(shè)計(jì)應(yīng)該遵循系統(tǒng)性原則、技術(shù)先進(jìn)性原則、可控性原則、適度性原則等,使技術(shù)能夠更好地服務(wù)于風(fēng)險(xiǎn)控制;其次,要做好安全域的信息安全保障工作,根據(jù)不同的安全域所面臨的不同風(fēng)險(xiǎn)來(lái)進(jìn)行信息安全保護(hù)工作;最后,要提高信息安全保障技術(shù)。目前而言,我國(guó)的信息安全保障技術(shù)與國(guó)際上的相比明顯處于落后狀態(tài),因此,企業(yè)要引進(jìn)先進(jìn)的技術(shù)力量,加強(qiáng)信息安全風(fēng)險(xiǎn)的控制力度。
四、結(jié)語(yǔ)
在這個(gè)信息化高度發(fā)展的社會(huì),任何企業(yè)與個(gè)人在享受信息化帶來(lái)的便利的同時(shí),也要承擔(dān)信息化帶來(lái)的風(fēng)險(xiǎn)。我國(guó)企業(yè)在激烈的市場(chǎng)競(jìng)爭(zhēng)中,不可避免會(huì)遇到信息安全上的威脅。因此每個(gè)企業(yè)都應(yīng)該做好信息安全的管控工作,認(rèn)真、嚴(yán)肅地對(duì)待當(dāng)前網(wǎng)絡(luò)環(huán)境下的企業(yè)信息安全問(wèn)題。
參考文獻(xiàn):
[1]谷田.網(wǎng)絡(luò)環(huán)境下的企業(yè)信息安全問(wèn)題研究[D].鄭州大學(xué)2012
――獲獎(jiǎng)感言
杭州攀普科技有限公司(以下簡(jiǎn)稱攀普科技)成立于2009年,總部位于中國(guó)杭州,現(xiàn)在重慶、上海設(shè)立有分公司。核心團(tuán)隊(duì)組建于2003年,擁有近10年的信息安全研發(fā)經(jīng)驗(yàn)。攀普科技以“讓企業(yè)家輕松掌控核心數(shù)據(jù)”為使命,開(kāi)創(chuàng)攀普商用信息安全新模式,將企業(yè)信息化系統(tǒng)放置在攀普科技統(tǒng)一規(guī)劃的數(shù)據(jù)中心進(jìn)行管理,憑借高性能的硬件設(shè)施、專有的軟硬件數(shù)據(jù)加密技術(shù)、國(guó)際背景的專業(yè)人才、全球極具規(guī)模的數(shù)據(jù)容災(zāi)備份中心和全球信息化安全運(yùn)營(yíng)經(jīng)驗(yàn),并以極專業(yè)的技術(shù)為企業(yè)、政府、金融、軍事等提供信息化系統(tǒng)的整體解決方案,保障信息化系統(tǒng)在極佳狀態(tài)下運(yùn)行。攀普商用信息安全項(xiàng)目與全球知名軟件商、硬件商、安全商等緊密合作,讓信息系統(tǒng)與安全技術(shù)的融合進(jìn)入新興時(shí)代,共同完善信息安全行業(yè)生態(tài)鏈。
針對(duì)現(xiàn)企業(yè)信息化系統(tǒng)普遍存在安全漏洞、管理松散、人為破壞等信息危機(jī),攀普科技提出商用信息安全的管理新模式,將企業(yè)的信息化系統(tǒng)放置在攀普科技統(tǒng)一規(guī)劃的數(shù)據(jù)中心統(tǒng)一安全管理,以較低的投入、極高的效率,來(lái)保障企業(yè)信息系統(tǒng)在安全的環(huán)境下運(yùn)行,保障其數(shù)據(jù)的保密性、完整性和可用性。攀普商用信息安全項(xiàng)目為企業(yè)信息化建設(shè)提供整體分析、架構(gòu)、實(shí)施、管理、維護(hù),讓企業(yè)家輕松掌控核心數(shù)據(jù)。主要的安全技術(shù)措施包含智能監(jiān)控、容災(zāi)備份、遠(yuǎn)程傳輸加密等。
安全系數(shù)高
在數(shù)據(jù)層、網(wǎng)絡(luò)層、系統(tǒng)層、物理層、傳輸層上進(jìn)行周到完善的信息數(shù)據(jù)安全服務(wù)及規(guī)范管理。攀普數(shù)據(jù)安全的數(shù)據(jù)層做到了更專業(yè)、更安全的保護(hù)。
短信提醒服務(wù)器遠(yuǎn)程操作或本地登錄操作。任何人無(wú)論以何種方式登錄到數(shù)據(jù)服務(wù)器,系統(tǒng)都將以短信或郵件的方式告知相關(guān)人員,即時(shí)掌握公司核心數(shù)據(jù)的安全狀態(tài),并有充足的時(shí)間處理異常訪問(wèn),真正實(shí)現(xiàn)了泄密渠道的可追溯性。服務(wù)器技術(shù)人員操作正規(guī)化,全程錄像,保證每一項(xiàng)操作有相應(yīng)記錄。攀普科技提供集中備份和異地災(zāi)備服務(wù)。
攀普科技除了提供數(shù)據(jù)存儲(chǔ)備份的功能,也在國(guó)內(nèi)異地使用同樣電信級(jí)別的數(shù)據(jù)中心為企業(yè)做好異地災(zāi)備的服務(wù),讓企業(yè)家不再顧慮自然災(zāi)害對(duì)企業(yè)核心數(shù)據(jù)帶來(lái)的危機(jī)。
系統(tǒng)采用權(quán)限管理機(jī)制和數(shù)據(jù)遠(yuǎn)程傳輸特殊加密。攀普科技的自動(dòng)加密機(jī)制,文件在生成時(shí)即被加密,核心技術(shù)文件或數(shù)據(jù)被帶出去也無(wú)法使用及破解。
應(yīng)用效率高
攀普商用信息安全將企業(yè)信息系統(tǒng)放置在專業(yè)數(shù)據(jù)中心集中管理,由硬件工程師、軟件工程師、系統(tǒng)工程師、網(wǎng)絡(luò)工程師四大專業(yè)團(tuán)隊(duì)共同值守維護(hù)。企業(yè)的信息系統(tǒng)數(shù)據(jù)本地存放,只要客戶一個(gè)電話,攀普科技四大專業(yè)團(tuán)隊(duì)第一時(shí)間幫助用戶處理問(wèn)題并排除故障。
在經(jīng)濟(jì)高速發(fā)展的今天,企業(yè)的信息安全對(duì)于企業(yè)的發(fā)展具有非常重要的意義,而企業(yè)的信息如果被竊取、泄漏給企業(yè)所帶來(lái)的是巨大的損失,所以企業(yè)必須對(duì)信息安全問(wèn)題引起足夠的重視。對(duì)于已經(jīng)做好信息安全工作的企業(yè),應(yīng)認(rèn)識(shí)到安全軟件并不能時(shí)時(shí)的做好安全防護(hù),要做好安全防護(hù)還應(yīng)加強(qiáng)管理,筆者結(jié)合實(shí)踐工作經(jīng)驗(yàn)提出以下幾點(diǎn)建議。
1.1樹(shù)立正確安全意識(shí)
企業(yè)在信息化發(fā)展的進(jìn)程中,應(yīng)意識(shí)到企業(yè)信息的安全問(wèn)題與企業(yè)發(fā)展之間存在的關(guān)聯(lián)性。一旦企業(yè)的重要信息被竊取或外泄.企業(yè)機(jī)密被泄漏.對(duì)企業(yè)所造成的打擊是非常巨大的,同時(shí)也給競(jìng)爭(zhēng)對(duì)手創(chuàng)造了有利的機(jī)會(huì)。因此樹(shù)立正確的安全意識(shí)對(duì)于企業(yè)是非常重要的,這樣才能為后面的工作打下良好的基礎(chǔ)。
1.2選擇安全性能高的防護(hù)軟件
雖然任何軟件都是有可以破解方法的,但是對(duì)于安全性能高的軟件而言,其破解的困難性也隨之增加,所以企業(yè)在選擇安全軟件時(shí)應(yīng)盡量選擇安全性能高的,不要為節(jié)省企業(yè)開(kāi)支而選擇性能差的防護(hù)軟件,如果出現(xiàn)問(wèn)題其造成的損失價(jià)值會(huì)遠(yuǎn)遠(yuǎn)的大于軟件價(jià)格。
1.3加強(qiáng)企業(yè)內(nèi)部信息系統(tǒng)管理
首先,對(duì)于企業(yè)信息系統(tǒng)安全而言,無(wú)論是使用哪種安全軟件都會(huì)遭到攻擊和破解,所以在安全防御中信息技術(shù)并不能占據(jù)主體,而管理才是信息安全系統(tǒng)的主體。因此建立合理、規(guī)范的信息安全管理體質(zhì)對(duì)于企業(yè)而言是非常重要的,只有合理、規(guī)范的管理信息,才能為系統(tǒng)安全打下良好的基礎(chǔ)。其次,建立安全風(fēng)險(xiǎn)評(píng)估機(jī)制。企業(yè)的信息系統(tǒng)并不是在同一技術(shù)和時(shí)間下所建設(shè)的,在日常的操作和管理過(guò)程中,任何系統(tǒng)都是會(huì)存在不同的優(yōu)勢(shì)和劣勢(shì)的,因此企業(yè)應(yīng)對(duì)自身的信息系統(tǒng)做安全風(fēng)險(xiǎn)評(píng)估,根據(jù)系統(tǒng)的不同找出影響系統(tǒng)安全的漏洞和因素,并制定出詳細(xì)的應(yīng)對(duì)策略,進(jìn)而可以將系統(tǒng)被攻擊的風(fēng)險(xiǎn)降到最低。
1.4加強(qiáng)網(wǎng)絡(luò)管理
絕大部分的企業(yè)信息被竊取都是不法分子通過(guò)網(wǎng)絡(luò)進(jìn)行的,因此必須加強(qiáng)企業(yè)的網(wǎng)絡(luò)管理,才能確保企業(yè)信息系統(tǒng)在安全的狀態(tài)下運(yùn)行。針對(duì)信息安全的種類和等級(jí)制定出行之有效的方案,并提前制定出如果發(fā)生了特定的信息安全事故企業(yè)應(yīng)采取哪種應(yīng)對(duì)方案。當(dāng)企業(yè)信息安全危機(jī)發(fā)生時(shí),企業(yè)應(yīng)快速成立處理小組,根據(jù)信息安全危機(jī)的處理步驟和管理預(yù)案,做好危機(jī)處理工作,避免出現(xiàn)由于不當(dāng)處置而導(dǎo)致的連鎖危機(jī)的發(fā)生。另外,還應(yīng)在企業(yè)內(nèi)部做好信息安全的培訓(xùn)和教育工作,提高信息安全的管理意識(shí),提高工作人員對(duì)安全危機(jī)事件的處理能力。減少由于企業(yè)自身的失誤而導(dǎo)致安全危機(jī)發(fā)生的機(jī)率。
2結(jié)束語(yǔ)
關(guān)鍵詞:企業(yè);信息;安全管理
中圖分類號(hào):U283.4 文獻(xiàn)標(biāo)識(shí)碼:A
企業(yè)信息安全管理是運(yùn)用科學(xué)的方法和手段,系統(tǒng)地分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的薄弱點(diǎn),提出有針對(duì)性的抵御威脅的防護(hù)對(duì)策和控制措施,這是企業(yè)推進(jìn)信息化進(jìn)程和促進(jìn)生產(chǎn)經(jīng)營(yíng)管理的重要內(nèi)容,是保障企業(yè)信息系統(tǒng)正常運(yùn)行、高效應(yīng)用和健康發(fā)展的前提條件。
1我國(guó)企業(yè)信息安全管理存在的問(wèn)題
1.1缺少企業(yè)信息安全的法規(guī)和規(guī)范。企業(yè)信息安全是一個(gè)比較新的領(lǐng)域,目前還缺少比較完善的法規(guī),即便現(xiàn)有的法規(guī),由于相關(guān)安全技術(shù)和手段還沒(méi)有成熟和標(biāo)準(zhǔn)化,法規(guī)也不能很好地被執(zhí)行,安全標(biāo)準(zhǔn)和規(guī)范的缺少,導(dǎo)致無(wú)從制定合理的安全策略并確保此策略能被有效執(zhí)行。
1.2存在物理安全風(fēng)險(xiǎn)。物理安全是指各種服務(wù)器、路由器、交換機(jī)、工作站等硬件設(shè)備和通信鏈路的安全。風(fēng)險(xiǎn)的來(lái)源有:水災(zāi)、火災(zāi)、雷擊等自然災(zāi)害,人為的破壞或誤操作外界的電磁干擾,設(shè)備固有的弱點(diǎn)或缺陷等。物理安全的威脅可以直接造成設(shè)備的損壞、系統(tǒng)和網(wǎng)絡(luò)的不可用、數(shù)據(jù)的直接損壞或丟失等。
1.3信息外泄現(xiàn)象時(shí)有發(fā)生。進(jìn)入信息化時(shí)代后,企業(yè)的諸多資料都由原先的紙介質(zhì)變成了電子文檔。電子文檔的特點(diǎn)就是復(fù)制十分容易,許多跳槽的員工和競(jìng)爭(zhēng)對(duì)手都會(huì)將這些資料通過(guò)各種手段帶離企業(yè)。而且,在企業(yè)信息管理系統(tǒng)中,大量購(gòu)、銷、存等業(yè)務(wù)、財(cái)務(wù)數(shù)據(jù)、文檔及客戶資料,以存儲(chǔ)介質(zhì)形式存在于計(jì)算機(jī)中,由于電磁輻射或數(shù)據(jù)可訪問(wèn)性等弱點(diǎn),受到人為和非人為因素的破壞。數(shù)據(jù)一旦遭到破壞,將會(huì)嚴(yán)重影響企業(yè)日常業(yè)務(wù)的正常運(yùn)作。因此,保證數(shù)據(jù)的安全,就是保證企業(yè)的安全。
1.4缺少安全管理制度和責(zé)任性。目前企業(yè)的安全解決方案,基本上只是一個(gè)安全產(chǎn)品方案,這使人們誤以為企業(yè)的信息安全只是信息技術(shù)部門的工作和責(zé)任,與其他人員不直接相關(guān).但是一個(gè)企業(yè)的信息系統(tǒng)是企業(yè)全體人員參與的,因?yàn)樗麄儾攀瞧髽I(yè)信息系統(tǒng)的提供者和使用者,他們是影響信息安全系統(tǒng)能否達(dá)到預(yù)期要求的決定因素.
2加強(qiáng)我國(guó)企業(yè)信息安全管理的幾點(diǎn)建議
2.1全面提高職工的信息安全知識(shí)素質(zhì),加強(qiáng)安全文化建設(shè),提升防患水平,防微杜漸。對(duì)于信息安全工作的開(kāi)展,不是系統(tǒng)管理部門的事,也不是系統(tǒng)使用部門的事,而是全體員工的事,必須要提高全體員工的信息安全意識(shí)。通過(guò)培訓(xùn)和考核等措施,提高員工對(duì)公司信息安全的認(rèn)識(shí),讓信息安全成為業(yè)務(wù)開(kāi)展的一部分,才能有效提高公司整體信息安全水平,也是信息安全工作得到有效的支持和推進(jìn)。在此基礎(chǔ)上,要建立適應(yīng)21世紀(jì)知識(shí)經(jīng)濟(jì)時(shí)代的企業(yè)信息安全文化,只有加強(qiáng)安全文化建設(shè),才能適應(yīng)知識(shí)經(jīng)濟(jì)時(shí)代的發(fā)展。
2.2完善企業(yè)信息安全管理制度。首先,數(shù)據(jù)安全管理制度,即確保數(shù)據(jù)存儲(chǔ)介質(zhì)(設(shè)備)的安全;定時(shí)進(jìn)行數(shù)據(jù)備份,備份數(shù)據(jù)必須異地存放;對(duì)數(shù)據(jù)的操作需經(jīng)主管部門的審批、同意方可進(jìn)行;數(shù)據(jù)的清除、整理工作需兩人或兩人以上在場(chǎng),并由相關(guān)部門進(jìn)行監(jiān)督、記錄。第二,準(zhǔn)入管理制度。準(zhǔn)入管理又稱密碼、權(quán)限管理,通過(guò)準(zhǔn)入系統(tǒng)可以判斷請(qǐng)求登錄的用戶是否是合法的、值得信任的。一個(gè)安全的準(zhǔn)入系統(tǒng)則需要收集請(qǐng)求登錄者的以下信息:一是請(qǐng)求方式。當(dāng)同一網(wǎng)段在單位時(shí)間內(nèi)多次請(qǐng)求登錄或多次登錄用戶、密碼錯(cuò)誤者,就應(yīng)在一定時(shí)間內(nèi)封閉其所在網(wǎng)段的請(qǐng)求,并發(fā)出報(bào)警信號(hào)。二是系統(tǒng)安全驗(yàn)證,即對(duì)登錄用戶的操作系統(tǒng)進(jìn)行安全證,并提示登錄用戶進(jìn)行一系列的修復(fù)操作。三是檢測(cè)設(shè)備自身數(shù)據(jù)是否被修改或篡改,并對(duì)登錄戶相應(yīng)的操作進(jìn)行記錄備案。
2.3采取傳統(tǒng)的信息安全防范策略。物理安全策略:包括環(huán)境安全、設(shè)備安全、媒體安全、信息資產(chǎn)的物理分布、人員的訪問(wèn)控制、審計(jì)記錄、異常情況的追查等;網(wǎng)絡(luò)安全策略:包括網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)設(shè)備的管理、網(wǎng)絡(luò)安全訪問(wèn)措施、安全掃描、遠(yuǎn)程訪問(wèn)、不同級(jí)別網(wǎng)絡(luò)的訪問(wèn)控制方式、識(shí)別/認(rèn)證機(jī)制等;數(shù)據(jù)加密策略:包括加密算法、適用范圍、密鑰交換和管理等;數(shù)據(jù)備份策略:包括適用范圍、備份方式、備份數(shù)據(jù)的安全存儲(chǔ)、備份周期、負(fù)責(zé)人等;身份認(rèn)證及授權(quán)策略:包括認(rèn)證及授權(quán)機(jī)制、方式、審計(jì)記錄等;災(zāi)難恢復(fù)策略:包括負(fù)責(zé)人員、恢復(fù)機(jī)制、方式、歸檔管理、硬件、軟件等;事故處理、緊急響應(yīng)策略:包括響應(yīng)小組、聯(lián)系方式、事故處理計(jì)劃、控制過(guò)程等。
2.4實(shí)施、檢查和改進(jìn)信息安全管理體制。企業(yè)應(yīng)按照規(guī)劃階段編制安全管理體系文件的控制要求來(lái)實(shí)施活動(dòng),主要實(shí)施和運(yùn)行ISMS方針、控制措施、過(guò)程和程序,包括安全策略、所選擇的安全措施或控制、安全意識(shí)和培訓(xùn)程序等。在實(shí)施期間,企業(yè)應(yīng)及時(shí)檢查發(fā)現(xiàn)規(guī)劃中存在的問(wèn)題,找出問(wèn)題根源,采取糾正措施,并按照更改控制程序要求對(duì)體系予以更改,以達(dá)到進(jìn)一步完善信息安全管理體系的目的。信息安全實(shí)施過(guò)程的效果如何,需要通過(guò)監(jiān)視、審計(jì)、復(fù)查、評(píng)估等手段來(lái)進(jìn)行檢查,檢查的依據(jù)就是計(jì)劃階段建立的安全策略、目標(biāo)、程序,以及標(biāo)準(zhǔn)、法律法規(guī)和實(shí)踐經(jīng)驗(yàn),檢查的結(jié)果是進(jìn)一步采取措施的依據(jù)。
2.5加強(qiáng)信息安全監(jiān)控,保障信息系統(tǒng)安全運(yùn)行。在信息安全監(jiān)控、信息安全配置和系統(tǒng)訪問(wèn)控制方面,信息管理部門借助先進(jìn)成熟的信息技術(shù),充分挖掘和利用現(xiàn)有資源功能潛力,進(jìn)一步提升企業(yè)信息系統(tǒng)的安全防范能力。例如,加強(qiáng)信息系統(tǒng)監(jiān)控管理和風(fēng)險(xiǎn)評(píng)估,優(yōu)化信息系統(tǒng)安全架構(gòu),開(kāi)展入侵檢測(cè)分析防范、核心網(wǎng)絡(luò)冗余和服務(wù)器架構(gòu)調(diào)整等工作,確保公司信息系統(tǒng)安全穩(wěn)定運(yùn)行。統(tǒng)一企業(yè)桌面安全管理體系,建立網(wǎng)絡(luò)運(yùn)維管理系統(tǒng),加強(qiáng)接入層管理、桌面安全管理和安全監(jiān)控管理,有效保障聯(lián)網(wǎng)計(jì)算機(jī)的安全運(yùn)行。優(yōu)化企業(yè)內(nèi)外網(wǎng)連接架構(gòu)和訪問(wèn)控制策略,增加網(wǎng)絡(luò)出口流量監(jiān)控環(huán)節(jié),使有限的網(wǎng)絡(luò)帶寬資源得到合理分配和充分利用。針對(duì)因特網(wǎng)瀏覽用戶違規(guī)現(xiàn)象較多,造成非授權(quán)用戶占用大量網(wǎng)絡(luò)資源的問(wèn)題,加強(qiáng)用戶訪問(wèn)監(jiān)控,嚴(yán)肅處理違規(guī)用戶,加強(qiáng)保密教育,促進(jìn)用戶規(guī)范使用信息系統(tǒng)。
2.6構(gòu)建信息安全管理團(tuán)隊(duì)。信息安全管理團(tuán)隊(duì)是由決策者、管理者以及計(jì)算機(jī)、信息、通訊、安全和網(wǎng)絡(luò)技術(shù)等方面的專家為提升企業(yè)信息安全管理水平而組建的團(tuán)隊(duì)。信息安全管理團(tuán)隊(duì)是企業(yè)信息安全管理的直接管理者,其管理能力、技術(shù)能力的高低會(huì)直接影響到企業(yè)信息安全管理的效率。因此必須增加對(duì)企業(yè)內(nèi)部信息安全管理人員、技術(shù)人員的定期培訓(xùn),同時(shí)與外部專業(yè)技術(shù)企業(yè)建立長(zhǎng)期有效的外部技術(shù)支持網(wǎng)絡(luò),才能對(duì)企業(yè)信息安全事件做出及時(shí)、快速、準(zhǔn)確的響應(yīng),確定并及時(shí)排除突發(fā)事件,使企業(yè)的風(fēng)險(xiǎn)和損失最小化,最終形成一套有效的一體化管理體系,給企業(yè)帶來(lái)更大的管理效益與管理效率的提升。
綜上所述,隨著網(wǎng)絡(luò)普及和企業(yè)信息化業(yè)務(wù)的不斷拓展,信息成為一種重要的戰(zhàn)略資源,信息安全保障能力成為一個(gè)企業(yè)綜合能力的重要組成部分。因此,要提高企業(yè)信息安全管理的效率,為企業(yè)決策提供信息支持,確保企業(yè)信息數(shù)據(jù)安全、可靠、真實(shí),為企業(yè)發(fā)展和經(jīng)營(yíng)管理提供有力保障。
參考文獻(xiàn)
一、制造型企業(yè)信息安全的必要性
隨著我國(guó)市場(chǎng)信息化水平加深,網(wǎng)絡(luò)技術(shù)已經(jīng)成為了推動(dòng)社會(huì)發(fā)展重要因素之一。網(wǎng)絡(luò)的便捷性,使得任何人都可以利用網(wǎng)絡(luò)接受、傳送大量的網(wǎng)絡(luò)信息,或者是存在網(wǎng)絡(luò)云盤之中。而網(wǎng)絡(luò)的公開(kāi)性,也導(dǎo)致網(wǎng)絡(luò)對(duì)于任何人來(lái)說(shuō)都沒(méi)有門檻,這也是竊取信息的問(wèn)題不斷發(fā)生的主要原因。對(duì)于企業(yè)來(lái)說(shuō),尤其是制造型企業(yè),一旦企業(yè)賴以生存的核心技術(shù)被盜取,幾十年的勞動(dòng)成果皆拱手送人,企業(yè)將承受巨大的、甚至是毀滅性的損失。
企業(yè)信息泄露還有一種就是人才流動(dòng),現(xiàn)如今企業(yè)人員流動(dòng)較大,企業(yè)信息可能被直接帶到其他企業(yè)之中,這也是個(gè)比較棘手的問(wèn)題。
另外一種情況是隨著企業(yè)之間的合作不斷增加,企業(yè)外派員工成為常見(jiàn)的現(xiàn)象,這樣就加大了企業(yè)間的交流和接觸時(shí)間,對(duì)于本企業(yè)的信息泄露也許就是在不經(jīng)意間。
無(wú)論是網(wǎng)絡(luò)問(wèn)題還是人為問(wèn)題,如果造成企業(yè)信息泄露,其對(duì)自身企業(yè)的損害是非常大的。以技術(shù)為核心的制造型企業(yè)加強(qiáng)信息安全管理勢(shì)在必行。
二、制造型企業(yè)信息安全管理的現(xiàn)狀及問(wèn)題
1.企業(yè)信息安全管理的被動(dòng)性
制造型企業(yè)的工作重點(diǎn)在產(chǎn)品制造與生產(chǎn),對(duì)于網(wǎng)絡(luò)信息管理意識(shí)薄弱,很多時(shí)候企業(yè)只有發(fā)現(xiàn)企業(yè)信息泄露或者遭受病毒的攻擊等安全事件,才會(huì)關(guān)注企業(yè)信息安全問(wèn)題,進(jìn)而調(diào)動(dòng)技術(shù)部門前來(lái)解決問(wèn)題。這很大程度上反映制造型企業(yè)對(duì)網(wǎng)絡(luò)信息安全不夠重視,只有出現(xiàn)信息安全問(wèn)題時(shí),才組建臨時(shí)小組來(lái)解決企業(yè)信息問(wèn)題,待到問(wèn)題解決后小組便被解散,沒(méi)有對(duì)企業(yè)信息后序的監(jiān)督和管理,企業(yè)信息安全管理缺乏系統(tǒng)策劃和制度化要求,管理活動(dòng)臨時(shí)性強(qiáng),缺少日常的維護(hù)和預(yù)防,導(dǎo)致更多的是重蹈覆轍,這樣不僅沒(méi)有為企業(yè)省下對(duì)安全管理的資金,相反的恰恰是增加了企業(yè)的資金投入,直接增加了企業(yè)安全管理的成本。同時(shí)因?yàn)榕R時(shí)小組的組建,使得人員調(diào)動(dòng)頻繁,大大降低了工作效率,進(jìn)而對(duì)企業(yè)的經(jīng)濟(jì)效益造成影響。
2.員工使用內(nèi)部系統(tǒng)連接外網(wǎng)
雖然大部分制造型企業(yè)對(duì)企業(yè)自身的內(nèi)網(wǎng)進(jìn)行了防護(hù)監(jiān)測(cè),而且對(duì)員工上網(wǎng)和網(wǎng)頁(yè)瀏覽采取了一定的限制措施,但是實(shí)際上,企業(yè)對(duì)員工上網(wǎng)的控制落實(shí)程度不夠,員工依舊可以在工作時(shí)間使用企業(yè)網(wǎng)絡(luò)進(jìn)行外部網(wǎng)絡(luò)連接,而且對(duì)于一些網(wǎng)站毫無(wú)防備。而網(wǎng)絡(luò)病毒是時(shí)刻都在通過(guò)網(wǎng)絡(luò)攻擊使用者的,特別對(duì)于企業(yè)內(nèi)部網(wǎng)絡(luò),黑客更是隨時(shí)隨地緊盯著企業(yè)內(nèi)網(wǎng)出現(xiàn)漏洞,進(jìn)而竊取企業(yè)內(nèi)部信息。由于企業(yè)員工的疏忽,會(huì)有很大幾率使得企業(yè)信息出現(xiàn)安全隱患,輕則影響企業(yè)正常的生產(chǎn)工作,重則企業(yè)商業(yè)、技術(shù)信息被盜取或者企業(yè)內(nèi)網(wǎng)癱瘓甚至縱,為企業(yè)帶來(lái)非常嚴(yán)重的后果及損失。
3.移動(dòng)設(shè)備限制力度不夠
制造型企業(yè)在信息安全管理方面通常采取的措施是限制流水線工人的移動(dòng)設(shè)備使用,但是對(duì)于辦公部門卻沒(méi)有嚴(yán)格要求,辦公人員可以自由攜帶智能手機(jī)、筆記本電腦、pad、硬盤等移動(dòng)設(shè)備。因辦公人員要對(duì)數(shù)據(jù)進(jìn)行處理,會(huì)導(dǎo)致企業(yè)內(nèi)部信息被無(wú)限制地拷貝。而且現(xiàn)如今的移動(dòng)智能設(shè)備都能直接通過(guò)企業(yè)的無(wú)線網(wǎng)絡(luò),連接企業(yè)內(nèi)網(wǎng)以獲得權(quán)限,這樣的確提高了企業(yè)內(nèi)部的辦公效率,同時(shí)也給黑客病毒提供了通過(guò)無(wú)線網(wǎng)絡(luò)進(jìn)行傳播的機(jī)會(huì),提高了企業(yè)內(nèi)部信息安全的風(fēng)險(xiǎn)。
4.信息安全防護(hù)技術(shù)水平低
在我國(guó),普遍存在信息安全研發(fā)技術(shù)水平較低的情況,這也是制造型企業(yè)安全技術(shù)不高的原因之一。制造型企業(yè)的工作重心偏重于生產(chǎn)、制造及商務(wù)活動(dòng)中,而對(duì)于網(wǎng)絡(luò)安全的防護(hù)意識(shí)不高。
作為企業(yè),都會(huì)有一些信息安全意識(shí)。在企業(yè)成立初期,信息安全防護(hù)措施通常會(huì)被考慮并采納,尤其是一些進(jìn)口設(shè)備,但僅僅依賴進(jìn)口設(shè)備是遠(yuǎn)遠(yuǎn)不夠的。第一,進(jìn)口設(shè)備雖然技術(shù)先進(jìn),但是出現(xiàn)問(wèn)題是在所難免的,往往出問(wèn)題的是一些關(guān)鍵的零部件,這些零部件不僅難以拆卸且是整臺(tái)設(shè)備的技術(shù)核心,設(shè)備廠商必然會(huì)控制其銷售渠道。第二,很多企業(yè)過(guò)于相信進(jìn)口設(shè)備的技術(shù),力爭(zhēng)做到一步到位,使得企業(yè)發(fā)展中前期安全防護(hù)的確不錯(cuò),但是卻忽略了系統(tǒng)的更新和維護(hù),網(wǎng)絡(luò)病毒每天新出幾萬(wàn)種,就算設(shè)備再先進(jìn),如果不進(jìn)行更新,遲早會(huì)被病毒攻破。第三,很多企業(yè)都采用家用式免費(fèi)殺毒軟件,這些殺毒軟件更新頻率快,一些簡(jiǎn)單病毒、木馬都能有效查殺,對(duì)家用來(lái)說(shuō)但是對(duì)企業(yè)來(lái)講遠(yuǎn)遠(yuǎn)不夠,企業(yè)一般是黑客重點(diǎn)關(guān)注的對(duì)象,黑客往往會(huì)研制更先進(jìn)的病毒來(lái)攻克企業(yè)的防火墻,一些免費(fèi)殺毒軟件很容易被攻破,增加制造企業(yè)內(nèi)部信息安全問(wèn)題。
5.企業(yè)出現(xiàn)安全問(wèn)題處理方法不當(dāng)
現(xiàn)如今研發(fā)病毒的技術(shù)快速而先進(jìn),病毒出現(xiàn)時(shí)的及時(shí)處理是非常重要的,我國(guó)制造型企業(yè)在出現(xiàn)信息安全問(wèn)題的時(shí)候,雖然有相關(guān)的殺毒軟件,但因?yàn)榇蟛糠侄际敲赓M(fèi)的,其更新速度雖然頻率高,相對(duì)滯后性比較強(qiáng),對(duì)于新病毒無(wú)法第一時(shí)間發(fā)現(xiàn)、處理。而且許多病毒都是潛在性的,企業(yè)內(nèi)部系統(tǒng)中毒之后沒(méi)有任何異樣,這就導(dǎo)致企業(yè)內(nèi)部人員無(wú)法及時(shí)發(fā)現(xiàn)企業(yè)內(nèi)網(wǎng)是否被越權(quán)或遭到攻擊。同時(shí),由于很多企業(yè)缺少專門管理信息安全的部門,并且對(duì)于病毒侵入缺乏有針對(duì)性的安全對(duì)策和應(yīng)急措施,這就導(dǎo)致就算病毒被發(fā)現(xiàn),企業(yè)在第一時(shí)間也無(wú)從下手。
三、制造型企業(yè)容易出現(xiàn)安全問(wèn)題的原因
1.企業(yè)內(nèi)部信息安全意識(shí)低
制造型企業(yè)的本質(zhì)是通過(guò)生產(chǎn)經(jīng)營(yíng)活動(dòng)而獲得盈利,因此制造型企業(yè)的工作重點(diǎn)主要是企業(yè)生產(chǎn)、制造以及流通和服務(wù)。在此情況下,企業(yè)更關(guān)注盈利情況,而缺乏對(duì)信息安全的管理意識(shí),對(duì)信息安全管理的重視度不足。導(dǎo)致這一現(xiàn)象的重要原因是安全防護(hù)不能為企業(yè)帶來(lái)直接的經(jīng)濟(jì)效益,反而要投入大量的人力、物力、財(cái)力。另一方面,從安全管理角度來(lái)說(shuō),沒(méi)有事故發(fā)生才是管理績(jī)效的體現(xiàn)。相對(duì)于質(zhì)量管理、生產(chǎn)安全管理來(lái)說(shuō),信息安全管理的管理性質(zhì)是類似的,但因?yàn)槠涔芾韺?duì)象的不可見(jiàn)性,往往容易被企業(yè)高層忽視。同時(shí),一般也會(huì)存在僥幸心理,感覺(jué)企業(yè)內(nèi)部網(wǎng)絡(luò)不會(huì)受到黑客攻擊,或是認(rèn)為就算受到病毒攻擊也不會(huì)對(duì)生產(chǎn)經(jīng)營(yíng)造成什么大影響,對(duì)企業(yè)整體利益影響不大。基層員工更是不明白什么是安全防護(hù),對(duì)企業(yè)安全防護(hù)的重要性一無(wú)所知,這就導(dǎo)致許多企業(yè)內(nèi)部信息技術(shù)會(huì)從員工口中泄露。
2.信息安全管理模式不夠完善
制造型企業(yè)信息安全問(wèn)題頻發(fā)的原因,究其根本就是因?yàn)槠髽I(yè)信息安全管理模式不夠完善,具體原因是制造型企業(yè)不重視信息安全管理、缺少系統(tǒng)規(guī)范的信息安全管理制度、缺乏專業(yè)的信息安全管理技術(shù)和安全管理人員,企業(yè)信息系統(tǒng)設(shè)計(jì)沒(méi)有風(fēng)險(xiǎn)評(píng)估、沒(méi)有完善的業(yè)務(wù)流程,信息安全管理存在頭痛醫(yī)頭腳痛醫(yī)腳的現(xiàn)象。
3.信息安全系統(tǒng)沒(méi)有應(yīng)急措施
制造型企業(yè)信息安全系統(tǒng)缺少應(yīng)急措施,也可以說(shuō)沒(méi)有自我保護(hù)系統(tǒng)。自我保護(hù)系統(tǒng)是一種比較先進(jìn)的技術(shù),一旦有病毒侵入系統(tǒng),系統(tǒng)會(huì)自動(dòng)對(duì)重要信息進(jìn)行加密、封鎖,待系統(tǒng)安全后自動(dòng)解鎖。然而由于對(duì)信息管理的意識(shí)不足,使得很多制造型企業(yè)沒(méi)有建立信息安全自我保護(hù)系統(tǒng)。在我國(guó),諸多制造型企業(yè)在信息管理方面更多的是依靠員工的經(jīng)驗(yàn),對(duì)于網(wǎng)絡(luò)自身的保護(hù)信任度不足,也缺少對(duì)信息安全管理技術(shù)發(fā)展的關(guān)注和引用。
四、制造型企業(yè)信息安全管理存在問(wèn)題的對(duì)策
綜上所述,制造型企業(yè)信息安全問(wèn)題是由很多因素造成的,包括管理層的重視方面、技術(shù)方面、人員管理方面等。首要的,企業(yè)應(yīng)提升對(duì)信息安全管理的重視程度,只有加強(qiáng)意識(shí),并建立有效的信息安全防范措施,才能有效保護(hù)企業(yè)自身的核心競(jìng)爭(zhēng)力,以獲得在市場(chǎng)經(jīng)濟(jì)中更好的發(fā)展。
1.提高企業(yè)內(nèi)部員工的信息安全意識(shí)
很多制造型企業(yè)信息泄露都是內(nèi)部員工無(wú)意間透露出去的,這也是最常見(jiàn)的企業(yè)內(nèi)部信息泄露渠道,企業(yè)應(yīng)充分重視員工的信息安全教育,定期對(duì)企業(yè)內(nèi)部員工進(jìn)行信息安全培訓(xùn)及考核,通過(guò)教育向員工灌輸信息安全的基本知識(shí)和常識(shí)、企業(yè)內(nèi)部信息的重要性、一旦發(fā)生企業(yè)核心技術(shù)泄露將產(chǎn)生的嚴(yán)重后果等信息。加強(qiáng)企業(yè)內(nèi)部員工信息安全意識(shí),也就是從根本上降低了企業(yè)信息安全隱患,企業(yè)中如果基層員工都非常了解并重視信息安全問(wèn)題,那么這個(gè)企業(yè)在信息安全管理方面必然非常完善有效。
2.建立健全企業(yè)信息安全管理機(jī)制
由于很多制造型企業(yè)缺少健全的信息安全管理機(jī)制,這就給了很多黑客病毒更多的侵入機(jī)會(huì)。一套完善的信息安全管理機(jī)制能夠有效的保護(hù)企業(yè)信息安全,降低安全隱患。制造型企業(yè)應(yīng)該建立健全企業(yè)信息安全管理機(jī)制,設(shè)立專門的企業(yè)信息安全管理部門,這樣能最大程度保證信息的日常安全防范,也保證了一旦出現(xiàn)安全問(wèn)題,企業(yè)能更好、更快地解決問(wèn)題,健全的管理機(jī)制能夠?qū)︼L(fēng)險(xiǎn)有一定的預(yù)見(jiàn)性,把風(fēng)險(xiǎn)降到最低。
3.加大對(duì)信息安全管理的資金投入
任何新型技術(shù)都離不開(kāi)資金的投入,信息安全管理同樣也是,而且信息安全管理更多的屬于技術(shù)型投入,對(duì)資金依賴性更高。制造型企業(yè)想要獲得可持續(xù)發(fā)展,就必須要把目標(biāo)放得更加長(zhǎng)遠(yuǎn)。企業(yè)內(nèi)部信息往往是一個(gè)企業(yè)的核心,因此企業(yè)應(yīng)提高對(duì)信息管理的重視程度,加大對(duì)信息安全系統(tǒng)的投資,把信息安全管理作為企業(yè)管理重要的一部分,信息安全管理資金劃作專項(xiàng)資金專款專用。企業(yè)對(duì)信息安全管理的投資要有計(jì)劃性,確保突況的資金投入、技術(shù)更新的資金投入、管理人員的資金投入、安全教育的資金投入等。把信息安全管理納入企業(yè)整體的發(fā)展規(guī)劃中,這樣才能保證企業(yè)信息更加安全,企業(yè)才能獲得長(zhǎng)足的發(fā)展。
4.加大對(duì)信息安全管理人才的認(rèn)識(shí)
因?yàn)樾畔?duì)企業(yè)生存至關(guān)重要,信息安全甚至?xí)绊懙狡髽I(yè)的發(fā)展戰(zhàn)略的制定和落實(shí),制造型企業(yè)應(yīng)當(dāng)把信息安全管理與生產(chǎn)經(jīng)營(yíng)提高到同一個(gè)層次。企業(yè)內(nèi)網(wǎng)是網(wǎng)絡(luò)技術(shù)領(lǐng)域,既然是技術(shù),就離不開(kāi)專業(yè)人才的支持,企業(yè)應(yīng)該加強(qiáng)信息安全管理的人才培養(yǎng),提高企業(yè)信息安全管理的質(zhì)量。如果企業(yè)內(nèi)部沒(méi)有專業(yè)的信息安全管理人才,企業(yè)可以通過(guò)對(duì)外招聘的形式,在社會(huì)中尋求人才。現(xiàn)如今互聯(lián)網(wǎng)技術(shù)已經(jīng)逐步走向成熟,計(jì)算機(jī)人才更是越來(lái)越多,所以,制造型企業(yè)在社會(huì)中尋找信息安全管理的人才不會(huì)很難,同時(shí)還能促進(jìn)計(jì)算機(jī)技術(shù)人才就業(yè),對(duì)于企業(yè)自身以及社會(huì)都有很大意義。
5.加強(qiáng)企業(yè)內(nèi)網(wǎng)管理
一般來(lái)說(shuō),企業(yè)內(nèi)網(wǎng)系統(tǒng)中的信息很多都屬于商業(yè)機(jī)密,基層員工是無(wú)權(quán)了解的。制造型企業(yè)應(yīng)該把各個(gè)層級(jí)的員工賬號(hào)及內(nèi)網(wǎng)系統(tǒng)中的信息進(jìn)行分類管理,按信息等級(jí)設(shè)置不同的訪問(wèn)權(quán)限和防范措施,以免企業(yè)員工在使用內(nèi)網(wǎng)時(shí)網(wǎng)絡(luò)病毒通過(guò)權(quán)限竊取過(guò)多的企業(yè)信息。另外,很多企業(yè)信息泄露都是由于某些員工通過(guò)企業(yè)無(wú)線網(wǎng)連接外網(wǎng)導(dǎo)致企業(yè)系統(tǒng)中毒,針對(duì)此類情況企業(yè)要制定相應(yīng)的政策和管理制度,通過(guò)對(duì)硬件的管理和網(wǎng)頁(yè)訪問(wèn)權(quán)限設(shè)置,嚴(yán)禁員工上班時(shí)間通過(guò)移動(dòng)設(shè)備隨意連接外網(wǎng)。
五、結(jié)束語(yǔ)
關(guān)鍵詞:國(guó)有企業(yè);信息安全;數(shù)據(jù)挖掘
中圖分類號(hào):F592.6文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1006-8937(2016)03-0018-02
在信息化時(shí)代,基于網(wǎng)絡(luò)侵入技術(shù)的不斷提升,黑客與病毒對(duì)計(jì)算機(jī)系統(tǒng)攻擊事件不斷發(fā)生,據(jù)此而言,信息化技術(shù)在給國(guó)企生產(chǎn)經(jīng)營(yíng)活動(dòng)帶來(lái)便捷的同時(shí),也成為最為脆弱的地方,此時(shí)的數(shù)據(jù)挖掘技術(shù)的運(yùn)用就顯得十分必要,依靠數(shù)據(jù)挖掘技術(shù)就可以使得來(lái)往流量處于實(shí)時(shí)監(jiān)控的狀態(tài),并及時(shí)會(huì)對(duì)入侵產(chǎn)生自動(dòng)檢測(cè)的工具,從而大大維護(hù)了國(guó)有企業(yè)信息化系統(tǒng)正常運(yùn)行。
1國(guó)有企業(yè)信息化建設(shè)中的信息安全概念及意義
1.1國(guó)有企業(yè)信息化建設(shè)中的信息安全概念
所謂的信息安全是指為保護(hù)國(guó)有企業(yè)計(jì)算機(jī)數(shù)據(jù)處理系統(tǒng)不受侵犯,在技術(shù)層面對(duì)計(jì)算機(jī)數(shù)據(jù)處理系統(tǒng)所采取保護(hù)的方式方法與手段,以達(dá)到維護(hù)計(jì)算機(jī)軟硬件,以及數(shù)據(jù)安全,使機(jī)密信息可以在完整的狀態(tài)下與既定對(duì)象實(shí)現(xiàn)信息共享的目的,從而確保了數(shù)據(jù)信息得到可用性保護(hù),從技術(shù)的層面分析,主要分為下面三種形式。一是物理隔離形式的信息安全技術(shù)。就是將計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的硬件實(shí)體與公共網(wǎng)絡(luò)線路鏈接在技術(shù)層面予以有條件隔離,即防火墻技術(shù),這一技術(shù)起到了對(duì)來(lái)往信息數(shù)據(jù)篩查的作用,從而使國(guó)有企業(yè)計(jì)算機(jī)系統(tǒng)在不受外界非法侵入的前提下創(chuàng)設(shè)一個(gè)電磁兼容的內(nèi)部網(wǎng)絡(luò)環(huán)境。二是訪問(wèn)可控形式的信息安全技術(shù)。訪問(wèn)可控安全是防火墻技術(shù)的協(xié)作部分,在這一技術(shù)手段的支持下,國(guó)有企業(yè)信息系統(tǒng)能夠?qū)ν鈦?lái)信息數(shù)據(jù)進(jìn)行甄別、預(yù)警,如果黑客和病毒等惡意流量得不到有效驗(yàn)證,則會(huì)使得網(wǎng)絡(luò)侵襲問(wèn)題飆升;三是數(shù)據(jù)加密形式的信息安全技術(shù)。為切實(shí)保護(hù)網(wǎng)上與傳輸過(guò)程中數(shù)據(jù)的可用性,國(guó)有企業(yè)信息系統(tǒng)需要在網(wǎng)絡(luò)節(jié)點(diǎn)間、源節(jié)點(diǎn)與目的節(jié)點(diǎn)間、原端用戶與目的端用戶間的數(shù)據(jù)傳輸實(shí)施密鑰管理。
1.2國(guó)有企業(yè)信息化建設(shè)中信息安全的意義
在社會(huì)經(jīng)濟(jì)信息化的今天,國(guó)有企業(yè)生產(chǎn)經(jīng)營(yíng)與市場(chǎng)營(yíng)銷等各領(lǐng)域都離不開(kāi)信息化建設(shè),以計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)為支撐的信息化建設(shè)基于此而成為國(guó)有企業(yè)日常運(yùn)作的有機(jī)組成部分,但是,在信息化系統(tǒng)開(kāi)放的過(guò)程中,卻由于其安全漏洞問(wèn)題存在而為一些不法行為提供可乘之機(jī),信息安全據(jù)此成為人們關(guān)注焦點(diǎn)。
1.2.1保障個(gè)人信息不被泄露
以計(jì)算機(jī)網(wǎng)絡(luò)為技術(shù)支撐信息系統(tǒng)為國(guó)有企業(yè)日常運(yùn)作帶來(lái)了極大便利,基于此成為國(guó)有企業(yè)進(jìn)行生產(chǎn)經(jīng)營(yíng)、市場(chǎng)營(yíng)銷,以及日常管理的主要工具。在國(guó)有企業(yè)人力資源管理中,個(gè)人信息資料往往成為信息化建設(shè)的一個(gè)領(lǐng)域,這些資料在法律上歸屬于個(gè)人隱私范疇,有關(guān)部門無(wú)權(quán)將資料予以公開(kāi),但是,一些黑客在對(duì)國(guó)有企業(yè)內(nèi)部信息系統(tǒng)攻擊過(guò)程中,往往會(huì)竊取國(guó)有企業(yè)人力資源隱私資料,并將此作為謀取非法利益的籌碼,如果國(guó)有企業(yè)對(duì)自身的信息管理系統(tǒng)的安全等級(jí)予以升級(jí),則就使得黑客攻擊處于無(wú)效狀態(tài),從而使得國(guó)有企業(yè)人力資源隱私信息得到最大限度保障。
1.2.2保障國(guó)有企業(yè)科技信息共享的實(shí)現(xiàn)
當(dāng)前的國(guó)有企業(yè)通過(guò)搭建信息共享平臺(tái)方式實(shí)現(xiàn)數(shù)據(jù)信息的共享,以國(guó)有企業(yè)與高校的科技信息共享平臺(tái)搭建為例,高校通過(guò)自己在人力資源、館藏資源、科技研究等方面的固有優(yōu)勢(shì)搭建了校企聯(lián)合的科技信息平臺(tái),國(guó)有企業(yè)可以隨時(shí)登陸這一平臺(tái)搜索到自己所需要的科技信息,高校也可以通過(guò)這一平臺(tái)將自己的科研成果及時(shí)轉(zhuǎn)化為生產(chǎn)力,但是,這一平臺(tái)的運(yùn)作需要強(qiáng)大數(shù)據(jù)庫(kù)的支持,在其運(yùn)作過(guò)程中,黑客的攻擊是必不可少,黑客可以通過(guò)截取網(wǎng)絡(luò)信息傳輸、竊取用戶口令、盜取數(shù)據(jù)庫(kù)信息、篡改數(shù)據(jù)庫(kù)內(nèi)容等一系列非法手段,達(dá)到破壞科技信息共享平臺(tái)正常運(yùn)作的目的,因此,采取切實(shí)有效的措施,加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全性能,就能夠保障國(guó)有企業(yè)的合法利益。
2國(guó)有企業(yè)信息化建設(shè)中的信息安全問(wèn)題
以計(jì)算機(jī)網(wǎng)絡(luò)為技術(shù)支撐的信息系統(tǒng)是影響信息安全的最為主要的問(wèn)題,這是因?yàn)橛?jì)算機(jī)網(wǎng)絡(luò)技術(shù)是支撐起其正常運(yùn)作的最為主要的力量,從安全的角度出發(fā),影響到以國(guó)有企業(yè)信息系統(tǒng)運(yùn)作安全的問(wèn)題主要可以細(xì)化為以下幾點(diǎn)。
2.1網(wǎng)絡(luò)信息資源共享使得黑客攻擊頻現(xiàn)
以計(jì)算機(jī)網(wǎng)絡(luò)為技術(shù)支撐的信息系統(tǒng)運(yùn)作的一個(gè)重要目的就是要實(shí)現(xiàn)資源共享,國(guó)有企業(yè)與高校領(lǐng)域所搭建的信息共享平臺(tái)即是此例,在搭建信息共享平臺(tái)實(shí)踐中,國(guó)有企業(yè)即可通過(guò)相關(guān)計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)應(yīng)用得到信息的共享,但是這一開(kāi)放性的功能卻存在一定的安全隱患,只要是有共享,就會(huì)有開(kāi)放,共享的技術(shù)環(huán)境為黑客的攻擊提供了便利。
2.2國(guó)有企業(yè)信息操作系統(tǒng)漏洞凸顯
基于以計(jì)算機(jī)網(wǎng)絡(luò)為技術(shù)支撐的國(guó)有企業(yè)信息系統(tǒng)快速進(jìn)步,其系統(tǒng)升級(jí)也在同步進(jìn)行,但是,國(guó)有企業(yè)信息操作系統(tǒng)的漏洞也在不斷顯現(xiàn),這是因?yàn)閲?guó)有企業(yè)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的應(yīng)用要求在不斷提高,技術(shù)的發(fā)展相對(duì)滯后的問(wèn)題始終存在,一些黑客就會(huì)對(duì)國(guó)有企業(yè)目標(biāo)計(jì)算機(jī)網(wǎng)絡(luò)操作系統(tǒng)進(jìn)行深究,尋找其漏洞,然后通過(guò)不同的方式予以攻擊,從而達(dá)到竊取國(guó)有企業(yè)信息資源、破壞國(guó)有企業(yè)信息系統(tǒng)等非法的目的。攻擊的手段是多樣的,例如可以利用計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的開(kāi)放性的特點(diǎn),制造出大流量的無(wú)效數(shù)據(jù),并將這一些數(shù)據(jù)流形成系統(tǒng)阻隔,從而導(dǎo)致主機(jī)處于被隔離的實(shí)際發(fā)展?fàn)顟B(tài);還可以阻隔其他服務(wù)請(qǐng)求,主機(jī)往往會(huì)存在提供服務(wù)或傳輸協(xié)議上處理重復(fù)連接的痼疾,黑客就會(huì)據(jù)此而重復(fù)性、高頻度發(fā)出攻擊性的請(qǐng)求,一旦請(qǐng)求發(fā)出,自然就會(huì)影響到其他正常的服務(wù)請(qǐng)求;再者黑客還根據(jù)目標(biāo)主機(jī)的特點(diǎn),向其發(fā)出帶有病毒的錯(cuò)數(shù)數(shù)據(jù)信息,從而直接導(dǎo)致主機(jī)死機(jī)。
2.3人為因素導(dǎo)致信息系統(tǒng)安全保障效能低下
從根本上來(lái)說(shuō),以計(jì)算機(jī)網(wǎng)絡(luò)為技術(shù)支撐的國(guó)有企業(yè)信息系統(tǒng)的運(yùn)作離不開(kāi)人的操作,因此,國(guó)有企業(yè)信息系統(tǒng)可持續(xù)發(fā)展就需要對(duì)其實(shí)施卓有成效的管理才能夠達(dá)到既定的目標(biāo),在這其中,人力資源的因素必不可少。舉例來(lái)說(shuō),如果在實(shí)施計(jì)算機(jī)網(wǎng)絡(luò)管理的實(shí)踐中,其人員基于自己的防范意識(shí)、認(rèn)知水平、技術(shù)程度等方面的原因,就將會(huì)直接導(dǎo)致信息系統(tǒng)管理的安全保障效率趨于低下。
3國(guó)有企業(yè)信息化建設(shè)中的信息安全保障策略
3.1制定與落實(shí)國(guó)有企業(yè)信息安全制度規(guī)范
為了提高以計(jì)算機(jī)網(wǎng)絡(luò)為技術(shù)支撐的國(guó)有企業(yè)信息系統(tǒng)安全防范性能的提高,制度規(guī)范的制定與落實(shí)是基礎(chǔ),具體來(lái)說(shuō),則是要制定出信息系統(tǒng)安全管理、計(jì)算機(jī)網(wǎng)絡(luò)硬件管理、數(shù)據(jù)信息保密等諸多制度規(guī)范,并進(jìn)一步強(qiáng)化信息安全制度的落實(shí)。
3.2提升國(guó)有企業(yè)信息化技術(shù)人員操作水平
為促進(jìn)國(guó)有企業(yè)信息安全規(guī)制的落實(shí),人力資源的培養(yǎng)是關(guān)鍵環(huán)節(jié),基于此而言,就應(yīng)該對(duì)以計(jì)算機(jī)網(wǎng)絡(luò)為技術(shù)支撐的國(guó)有企業(yè)信息系統(tǒng)操作技術(shù)人員進(jìn)行安全法規(guī)的培訓(xùn),從而使之既能夠熟知這些法規(guī),又能夠認(rèn)知自己的行為,促使自己的操作行為具有規(guī)范性,提高安全保障的能力。
3.3應(yīng)用數(shù)據(jù)挖掘的信息安全技術(shù)
數(shù)據(jù)挖掘技術(shù)是一個(gè)新興研究領(lǐng)域,涵蓋了大型數(shù)據(jù)庫(kù)、人工智能、統(tǒng)計(jì)學(xué)等諸多的方面,數(shù)據(jù)挖掘技術(shù)就是指在大型數(shù)據(jù)庫(kù)中尋找并獲取對(duì)自己“有價(jià)值”的、存在形式多用的數(shù)據(jù)信息。在其應(yīng)用的過(guò)程中,靜態(tài)和動(dòng)態(tài)流量數(shù)據(jù)分析會(huì)對(duì)最終的檢查結(jié)果作出及時(shí)的反映,將儲(chǔ)存在數(shù)據(jù)庫(kù)當(dāng)中的既有模式與所確定的特征與規(guī)則進(jìn)行比對(duì),以此構(gòu)建正確的模式來(lái)保障信息系統(tǒng)運(yùn)作的安全。
3.3.1靜態(tài)流量數(shù)據(jù)分析算法
①建立模型的分類算法。模型的建立適合于通過(guò)分類算法來(lái)對(duì)靜態(tài)流量數(shù)據(jù)予以分析,一般而言,就是根據(jù)數(shù)據(jù)挖掘的目標(biāo)予以分類,需要從兩個(gè)階段進(jìn)行。第一個(gè)階段模型的建立。這一階段首先就是根據(jù)訓(xùn)練屬性的分類的原則對(duì)目標(biāo)數(shù)據(jù)庫(kù)構(gòu)建模型;第二個(gè)階段模型的分類。模型的首要功能就是要對(duì)預(yù)測(cè)提供參考數(shù)據(jù),基于此而言,模型就要通過(guò)在測(cè)試樣本比較的基礎(chǔ)上,對(duì)測(cè)試樣本的準(zhǔn)確率予以評(píng)估,如果準(zhǔn)確率達(dá)到所要求的標(biāo)準(zhǔn),則就可以以此為依據(jù)對(duì)該樣本的類預(yù)測(cè)標(biāo)號(hào)中不明數(shù)據(jù)元分類,這一模型的建立主要是在于將用戶或程序中大量存在的數(shù)據(jù)予以吸納,然后再通過(guò)模型來(lái)產(chǎn)生具有一定標(biāo)準(zhǔn)的分類算法,這一算法主要是測(cè)試這些未知數(shù)據(jù)的性質(zhì),為后繼措施的實(shí)施奠定基礎(chǔ)。
②數(shù)據(jù)關(guān)聯(lián)性算法。挖掘數(shù)據(jù)之間的關(guān)聯(lián)性是靜態(tài)流量數(shù)據(jù)分析算法的一個(gè)較為主要的方式之一。這是因?yàn)楦鲾?shù)據(jù)之間并非是互相間隔的而是存在必然的聯(lián)系。具體而言,就需要深入挖掘數(shù)據(jù)之間潛藏的各種關(guān)系,并將其運(yùn)用到檢測(cè)威脅網(wǎng)絡(luò)安全的各種現(xiàn)實(shí)情況中去,以此來(lái)探查各種入侵行為所存在的必然關(guān)系,從而尋求可解決的策略。數(shù)據(jù)關(guān)聯(lián)性算法主要是挖掘各數(shù)據(jù)之問(wèn)隱藏的相互關(guān)系,具體應(yīng)用到入侵檢測(cè)系統(tǒng)中可以利用關(guān)聯(lián)分析檢測(cè)出入侵者的各種入侵行為之問(wèn)的相關(guān)性,此種分析方法主要側(cè)重于事件的因果關(guān)系。
③事務(wù)關(guān)聯(lián)分析算法。所謂的事務(wù)關(guān)聯(lián)分析就是在事務(wù)中尋找具有相似性的之間的聯(lián)系,具體而言,就是在事務(wù)記錄中打入某一關(guān)鍵字詞,與之相關(guān)聯(lián)的記錄就會(huì)呈現(xiàn)出來(lái),再在其中找出重復(fù)率較高的原始數(shù)據(jù),從此而形成具有一定指向性的數(shù)據(jù)的集合,用于指導(dǎo)檢查網(wǎng)絡(luò)安全相關(guān)的諸如網(wǎng)絡(luò)攻擊與時(shí)間變量之間的關(guān)系,從而為分析相應(yīng)的數(shù)據(jù)結(jié)構(gòu)打下堅(jiān)實(shí)的基礎(chǔ)。
3.3.2動(dòng)態(tài)流量數(shù)據(jù)分析算法
動(dòng)態(tài)流量數(shù)據(jù)分析的主要目標(biāo)就是要在大量的數(shù)據(jù)中甄別并擇取有效信息,同時(shí)要將無(wú)效,甚至于有害信息予以阻遏,為達(dá)到動(dòng)態(tài)流量數(shù)據(jù)分析的有效性,建立一個(gè)動(dòng)態(tài)流量數(shù)據(jù)分析系統(tǒng)是十分必要的,該系統(tǒng)承擔(dān)了對(duì)動(dòng)態(tài)流量數(shù)據(jù)分析、計(jì)算的任務(wù)。
①數(shù)據(jù)的擇取。數(shù)據(jù)擇取的主要范圍是在互聯(lián)網(wǎng)上,其內(nèi)容涉及安裝使用對(duì)數(shù)據(jù)包的截獲程序、提取網(wǎng)絡(luò)數(shù)據(jù)包中的需要檢測(cè)的信息等。
②數(shù)據(jù)的處理。在互聯(lián)網(wǎng)上截獲的原始網(wǎng)絡(luò)信息需要采取信息化處理的過(guò)程,這也就是說(shuō),可以將這一些信息進(jìn)行諸如壓縮等方式的處理,使之能夠?qū)崿F(xiàn)信息分類的儲(chǔ)存,然后再將這些信息轉(zhuǎn)換成具有持續(xù)時(shí)問(wèn)、源IP地址、目的IP地址等連接特征的網(wǎng)絡(luò)連接記錄,這就完成了數(shù)據(jù)挖掘的前期準(zhǔn)備工作,繼而則在數(shù)據(jù)信息準(zhǔn)備的基礎(chǔ)上,再一次對(duì)這些數(shù)據(jù)信息予以“清潔”,即刪除掉無(wú)效或無(wú)用的信息,而保存有效或有用的信息,最后環(huán)節(jié)則是數(shù)據(jù)信息的挖掘。
③數(shù)據(jù)信息的分類。在所截取的數(shù)據(jù)信息庫(kù)中存放大量的數(shù)據(jù)信息源,這些信息源處于無(wú)序與混亂的狀態(tài),應(yīng)該按照一定的規(guī)則進(jìn)行區(qū)別。一方面,就要在對(duì)所儲(chǔ)存數(shù)據(jù)信息源特征與規(guī)則明晰的基礎(chǔ)上,確立非正常與正常模式的基本狀態(tài),并將其儲(chǔ)存在數(shù)據(jù)庫(kù)當(dāng)中,另一方面則要將儲(chǔ)存在數(shù)據(jù)庫(kù)當(dāng)中的既有模式與所確定的特征與規(guī)則進(jìn)行比對(duì)。當(dāng)然,就業(yè)數(shù)據(jù)處于不斷有新的數(shù)據(jù)信息充實(shí)的狀態(tài),原有的數(shù)據(jù)信息也會(huì)不斷被淘汰,因此數(shù)據(jù)酷中非正常與正常模式、數(shù)據(jù)信息源特征與規(guī)則等都應(yīng)該處在不斷變化的過(guò)程中,只有如此,才能夠使數(shù)據(jù)挖掘方法的使用更加有效。
④應(yīng)用模式評(píng)估。動(dòng)態(tài)流量數(shù)據(jù)分析系統(tǒng)要根據(jù)最終的檢查結(jié)果作出及時(shí)的反映,如果歸屬于惡意侵犯的性質(zhì)(如竊取機(jī)密信息數(shù)據(jù)等黑客的行為性質(zhì))則不但要發(fā)出警報(bào),而且還應(yīng)該采取防火墻等技術(shù)手段及時(shí)切斷內(nèi)外網(wǎng)之間的關(guān)聯(lián),并查找入侵的路徑,保留犯罪的證據(jù);如果經(jīng)過(guò)身份的甄別屬于正常的進(jìn)入,系統(tǒng)則要依照正常的程序繼續(xù)對(duì)該用戶進(jìn)行檢測(cè)。在基于數(shù)據(jù)挖掘的動(dòng)態(tài)流量數(shù)據(jù)分析過(guò)程之中的模式應(yīng)用后,都應(yīng)該對(duì)正常模式與非正常模式的應(yīng)用予以全面的評(píng)估,簡(jiǎn)而言之,如果模式的應(yīng)用起到了及時(shí)報(bào)警、阻遏非法侵犯的行為的作用,從而保障了數(shù)據(jù)信息的安全,就說(shuō)明這一模式是成功的,起到了應(yīng)有的效果,反之,則應(yīng)該在多次試驗(yàn)中予以驗(yàn)證,直至建立起科學(xué)的模式。
4結(jié)語(yǔ)
在信息化的時(shí)代,基于網(wǎng)絡(luò)侵入技術(shù)的不斷提升,黑客與病毒對(duì)國(guó)有企業(yè)信息系統(tǒng)攻擊事件不斷發(fā)生,從而使得信息系統(tǒng)在為人們帶來(lái)便捷的同時(shí),也成為最為脆弱的地方,此時(shí)信息系統(tǒng)安全防范技術(shù)的運(yùn)用就顯得十分必要,依靠信息系統(tǒng)安全防范技術(shù)可以使得國(guó)有企業(yè)往來(lái)的數(shù)據(jù)信息都處于實(shí)時(shí)監(jiān)控的狀態(tài),并及時(shí)會(huì)對(duì)入侵產(chǎn)生監(jiān)測(cè)與防御,這就會(huì)在一定程度上維護(hù)了國(guó)有企業(yè)往來(lái)數(shù)據(jù)信息的安全。為達(dá)此目的,就應(yīng)該從制定與落實(shí)國(guó)有企業(yè)信息安全制度規(guī)范、提升國(guó)有企業(yè)信息化技術(shù)人員的操作水平、應(yīng)用數(shù)據(jù)挖掘的信息安全技術(shù)這三方面著手,以此促進(jìn)國(guó)有企業(yè)信息化建設(shè)的信息安全實(shí)踐健康發(fā)展。
參考文獻(xiàn):
[1]秦海峰.企業(yè)信息化建設(shè)中信息安全問(wèn)題的分析研究[J].中國(guó)信息界,2012,(5).
[2]杜凡.新形式下加強(qiáng)財(cái)務(wù)信息安全的途徑[J].當(dāng)代經(jīng)濟(jì),2011,(21).
[3]張兆安.信息安全是信息化建設(shè)的重要基礎(chǔ)[J].上海企業(yè),2013,(11).
信息安全是指計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的硬件、軟件和其他數(shù)據(jù)等不受非法用法的破壞,主要指未經(jīng)授權(quán)的訪問(wèn)者無(wú)法使用訪問(wèn)數(shù)據(jù)和修改數(shù)據(jù),而只給授權(quán)的用戶提供數(shù)據(jù)服務(wù)和可信信息服務(wù),并保證服務(wù)的完整性、可信性和機(jī)密性。電力信息安全是指供電系統(tǒng)中提供給用戶或公司內(nèi)部員工的數(shù)據(jù)是安全的、可信的。供電公司管理系統(tǒng)是個(gè)繁雜的系統(tǒng),涉及用電客戶和公司內(nèi)部員工及第三方托管服務(wù)公司,系統(tǒng)的信息安全一直是公司發(fā)展的瓶頸。正確評(píng)估供電公司信息安全系統(tǒng)的合理性和安全性,針對(duì)安全風(fēng)險(xiǎn)進(jìn)行分析,最后制訂供電公司信息安全的策略非常重要,也是至關(guān)重要的。
2供電企業(yè)信息安全的影響因素
盡管供電公司投入了大量的財(cái)力、物力建設(shè)電網(wǎng)信息安全系統(tǒng),但供電企業(yè)內(nèi)部網(wǎng)絡(luò)仍不健全,存在許多安全隱患。另外,供電公司信息化水平不高,信息安全保障措施薄弱也制約了其信息安全系統(tǒng)的建設(shè)。要構(gòu)建一個(gè)健全的供電公司信息安全保障體系,就要首先分析供電公司信息安全的影響因素,對(duì)癥下藥,進(jìn)一步提出供電企業(yè)加強(qiáng)信息安全管理的對(duì)策。
2.1不可抗拒因素
所謂“不可抗拒因素”,就是由于火災(zāi)、水災(zāi)、供電、雷電、地震等自然災(zāi)害影響,供電公司的供電線路、計(jì)算機(jī)網(wǎng)絡(luò)信號(hào)、計(jì)算機(jī)數(shù)據(jù)等受到破壞,并威脅到供電公司的信息安全。
2.2計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備因素
供電公司計(jì)算機(jī)系統(tǒng)中使用大量的網(wǎng)絡(luò)設(shè)備,包括集線器、網(wǎng)絡(luò)服務(wù)器和路由器等,其正常運(yùn)行關(guān)系著供電公司內(nèi)部網(wǎng)絡(luò)的正常運(yùn)行,而計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備的安全直接關(guān)系著供電公司的正常運(yùn)行。
2.3數(shù)據(jù)庫(kù)安全因素
供電公司計(jì)算機(jī)系統(tǒng)監(jiān)控用戶峰值,管理用電客戶信息及其他用戶繳費(fèi)等情況,計(jì)算機(jī)數(shù)據(jù)庫(kù)的系統(tǒng)安全決定了供電企業(yè)的調(diào)度效率,也決定了供電公司公共信息的安全。供電公司應(yīng)該使用專用網(wǎng)絡(luò)設(shè)備,確保企業(yè)內(nèi)部網(wǎng)絡(luò)與外部互聯(lián)網(wǎng)的隔離。
2.4管理因素
供電公司員工的業(yè)務(wù)素質(zhì)和職業(yè)修養(yǎng)參差不齊,直接影響到供電公司的網(wǎng)絡(luò)安全。供電公司應(yīng)該建立過(guò)錯(cuò)追究制度,提高員工的信息化素質(zhì),有效防止和杜絕管理因素造成的信息安全問(wèn)題。
3供電企業(yè)加強(qiáng)信息安全管理的對(duì)策
3.1提升員工信息安全防患意識(shí)
開(kāi)展信息安全管理工作,并非僅僅是系統(tǒng)使用或者管理部門的事,而是企業(yè)所有職工的事,因此,要增強(qiáng)全體員工的信息安全和防患意識(shí)。通過(guò)采取培訓(xùn)和考核等有力措施,進(jìn)一步提升全體員工對(duì)企業(yè)信息安全的認(rèn)識(shí),讓信息安全成為企業(yè)日常工作業(yè)務(wù)的一個(gè)組成部分,從而提升企業(yè)整體信息安全水平。
3.2采用知識(shí)型管理
傳統(tǒng)的安全管理大部分采取的是一種硬性的管理手段。在當(dāng)今知識(shí)經(jīng)濟(jì)的時(shí)代,安全管理應(yīng)當(dāng)以知識(shí)管理為主,從而使得安全管理措施與手段也越來(lái)越知識(shí)化、數(shù)字化和智能化,促使信息安全管理工作進(jìn)入一個(gè)嶄新的階段。
3.3設(shè)置系統(tǒng)用戶權(quán)限
為了預(yù)防非法用戶侵入系統(tǒng),應(yīng)按照用戶不同的級(jí)別限制用戶的權(quán)限,并投入資金開(kāi)展安全技術(shù)督查和安全審計(jì)等相關(guān)活動(dòng)。信息安全并非一朝一夕就能完成的事,它需要一個(gè)長(zhǎng)期的過(guò)程才能達(dá)到較高的水平,需建立并完善相應(yīng)的管理制度,從平時(shí)的基礎(chǔ)工作著手,及時(shí)發(fā)現(xiàn)問(wèn)題,匯報(bào)問(wèn)題,分析問(wèn)題并解決問(wèn)題。
3.4防范計(jì)算機(jī)病毒攻擊
加速信息安全管控措施的建設(shè),在電力信息化工作中,辦公自動(dòng)化是其中一項(xiàng)非常重要的內(nèi)容,而核心工作業(yè)務(wù)就是電子郵件的發(fā)送與接收,這也正是計(jì)算機(jī)病毒一個(gè)非常重要的傳播渠道。因此,必須大力促進(jìn)個(gè)人終端標(biāo)準(zhǔn)化工作的建設(shè),實(shí)現(xiàn)病毒軟件的自動(dòng)更新、自動(dòng)升級(jí),不得隨意下載并安裝盜版軟件;加強(qiáng)對(duì)木馬病毒等的安全防范措施,對(duì)用戶訪問(wèn)實(shí)施嚴(yán)格的控制。
3.5完善信息安全應(yīng)急預(yù)案
嚴(yán)格規(guī)范信息安全事故通報(bào)程序,對(duì)于隱瞞信息事件的現(xiàn)象,必須嚴(yán)肅查處。對(duì)于國(guó)家和企業(yè)信息安全運(yùn)行動(dòng)態(tài),要及時(shí)通報(bào),分析事件,及時(shí)信息安全通告。對(duì)于己經(jīng)制定的相關(guān)預(yù)案和安全措施,必須落到實(shí)處。另外,還要進(jìn)一步加強(qiáng)信息安全技術(shù)督查隊(duì)伍的建設(shè),提高信息安全考核與執(zhí)行的力度。
3.6建立信息安全保密機(jī)制
加強(qiáng)信息安全保密措施的落實(shí),禁止將計(jì)算機(jī)連接到互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò),完善外部人員訪問(wèn)的相關(guān)授權(quán)、審批程序。定期組織開(kāi)展信息系統(tǒng)安全保密的各項(xiàng)檢查工作,切實(shí)做好文檔的登記、存檔和解密等環(huán)節(jié)的工作。
4結(jié)束語(yǔ)
