關于企業信息安全措施精選(五篇)
發布時間:2023-10-10 17:14:56
序言:作為思想的載體和知識的探索者,寫作是一種獨特的藝術,我們為您準備了不同風格的5篇關于企業信息安全措施,期待它們能激發您的靈感。
篇1
關鍵詞:企業 網絡信息安全 防范措施
一、企業信息安全不穩定的因素
計算機病毒在計算機領域非常的活躍,只要用過計算機的人都非常有可能碰到過病毒的危害。
1、網絡病毒的活躍
其實計算機病毒本身是一種程序,通俗易懂的方法來描述計算機病毒,它就像生物里的病毒一樣,和生物病毒有非常相似的特征,它的復制能力非常強,并且非常快速傳播,同時也很難去根除。生物病毒是依附在各種微生物和細胞中生活,而計算機病毒一般都依附在文件中,最可怕是,當一臺計算機向另一臺計算機傳送文件時,進行非法的拷貝。另外它有很強的自我復制能力,隱藏在程序內部,只要人們操作計算機,它就不斷地自我復制。同時,計算機病毒還具有破壞性、隱蔽性,它常常被黑客利用用以攻擊他人的計算機,達到非法的目的,給企業信息基礎設施以及企業業務帶來不可估量的損失。
2、惡意病毒網頁的流動
每個比較正規并且有一定市場影響力的企業會擁有自己的網站,通過自己的網站向外界宣傳自己的公司,用于達到宣傳營銷的目的。使用電腦的人希望不斷的搜尋網頁來尋找自己需要的信息,可是很多電腦使用者不知道自己使用的網頁是否是安全無毒的。許多網頁容易被人利用達到自己的目的,如果企業的網頁被別人注入了木馬病毒,那么當你打開網頁的時候,木馬病毒就已經進入你的電腦軟件中,到最后你的私人信息就會被泄露出去,其他會利用你的信息達到盈利或者傷害你的目的。
3、員工網絡信息安全意識淡薄和企業管理網絡的松懈
在很多企業中,企業員工使用電腦從來只關心工作、學習、娛樂而已,從來不會關心電腦安全問題,因為企業員工會認為網絡安全不需要重視,因為有網絡管理員。有研究表明,在90%的企業電腦中有計算機病毒,因為員工在公司電腦上做一些與公司無關的事情,看電影和玩游戲是最容易中毒的,這些做法很容易導致企業的機密性文件和信息被泄露,從而使企業遭到巨大的損失。
4、黑客攻擊和計算機犯罪
導致企業網絡信息安全不穩定的最大因素就是黑客攻擊和計算機犯罪。黑客攻擊一般情況是以各種方式有目的性有選擇性的盜取企業信息,這種是破壞了網絡的正常工作,另一種不影響網絡正常工作,它進行破譯、竊取等手段獲得重要的機密文件。這都對企業機密文件產生重大的影響。所以企業的網絡安全形式非常嚴峻。還有計算機犯罪,計算機作為現代信息處理工具,在經濟和社會生活中具有不可替代的重要作用。尤其是在企業網絡中,計算機犯罪已經成為不可忽視的問題。
二、網絡環境下的企業信息安全隱患的防范措施
以上談論現在在企業中比較常見的幾種網絡安全隱患,但是其實在現實社會中,企業面對的安全問題非常多并且非常雜。如果企業希望有一個安全完美的未來,那么企業必須要重視對網絡信息安全的重視,要增強全部成員包括自己的網絡安全防范意識,并且要采取有效可行的防范措施。
1、加密設置
在當今世界,重要的信息幾乎全部都加密。密碼在網絡里更是具有無可代替的作用。所以唉企業的網絡信息安全管理中,認證密碼技術和技術加密是企業網絡最有效最可靠的技術。加密信息不僅可以有效的保護網絡內的文件和信息,還可以保護網絡傳輸的數據。對企業信息加密不但可以防御無授權的用戶的入網及竊聽,還可以抵抗惡意軟件的損害。所以,加密設置對于企業網絡信息安全管理是最直接也是最有效的措施。
2、防火墻設置
本人認為凡是沒有安裝防火墻的計算機,一定要及時安裝防火墻,并且安裝防火墻也需要不定時的進行升級,因為防火墻可以阻止網絡黑客訪問某個企業網絡的大屏障,可以阻擋許多外部網絡的入侵。防火墻是一種最近幾年發展用于保護計算機網絡安全的技術性的措施,企業應該根據自己實際情況,安裝可靠性強、適應企業、功能巨大的防火墻,用于抵抗黑客的攻擊和病毒的傳播,從而達到保護網絡系統的安全。企業安裝了防火墻也不能高枕無憂。企業管理員需要對企業的網絡信息和系統進行備份,防止意外事件的發生導致網絡癱瘓及信息丟失,同時,需要定期檢測備份的有效性。配置防火墻是保證企業網絡信息安全的首選。因為防火墻確保我們網絡連接的安全,更不會出現連接段口安全漏洞,所以每個企業每臺計算機必須要安裝防火墻來保護自己的網絡。
3、強化員工網絡安全意識和管理者的網絡憂患意識
企業員工使用計算機應該根據自身的電腦實際情況,要不定期的進行安全檢查,管理者也要根據企業計算機的自身硬件和網絡實際情況,培訓員工,提高員工的保密意識和責任意識,不要因為人為的因素導致企業承受巨大的損失。在必要的時候,可以利用密碼設置,對需要的設備設置密碼,從而達到外界人員和攻擊者不能破壞的目標。應該從全企業倡導保護網絡信息安全,使企業每個人都懂得網絡信息安全的重要性。最后,企業也需要加強計算機和系統的安全管理,一些計算機終端等地方需要防止火災或者是意外事故的發生。
4、從法律方面保障企業網絡信息
企業網絡信息安全單單從計算機的軟件和硬件上保護還是遠不夠的。每一個管理者需要加強法律意識,企業的網絡信息安全需要有相對應的法律和法規作為后盾。要懂的使用法律的武器去打擊那些違反網絡竊取信息的犯罪分子。現在,在我國黑客攻擊是最普遍的網絡犯罪,所以我們需要對那些惡意侵害企業網絡信息安全的犯罪行為進行堅決的打擊,制止其犯罪行為并讓罰罪者付出代價。
總之,當網絡與我們的生活越來越分不開的時候,我們更加需要注意網絡信息安全的防范,企業管理者不應該僅僅只注意網絡的便捷,更需要注重企業網絡信息安全并強化信息安全意識的同時切實采取措施,確保企業電子網絡信息安全。
參考文獻:
[1]岳劍梅、《信息系統的安全管理研究》、[J]、情報理論與實踐,2011、7
篇2
關鍵詞:分布式;信息安全;規劃;方案
中圖分類號:TP309.2文獻標識碼:A 文章編號:1009-3044(2008)36-2848-03
An Information Security Program for a Distributed Enterprise
GUO Yong, CHEN Rong-sheng, ZHAN Gui-bao, ZENG Zhong-cheng, LU Teng-zu, LI Zhuang-xiang
(Fujian Xindong Network Technology Co., Ltd. Fuzhou 350003,China)
Abstract: Based on the specific conditions of the distributed enterprise, information security architecture in accordance with the relevant standards, a distributed enterprise information security planning principles and objectives. And based on the principles and objectives of the meeting, according to the organization, management and technical aspects of three specific design specifications with the principle. Finally, based on the objective of planning services, a category of information distributed enterprise information security services, planning and design examples.
Key words: distributed; information security; planning; program
1 引言
據來自eWeek 的消息,市場研究機構Gartner 研究報告稱,很對企業目前仍缺乏完整的信息安全規劃和規范。盡管目前很多企業在信息安全方面的投入每年都在緩慢增長,但由于推動力以外部法律法規的約束和商業業務的壓力為主,因此他們對安全技術和服務的選擇和使用仍停留在一個相對較低的水平。尤其對于機構構成方式為分布式的企業而言,因為信息安全需求和部署相對更加復雜,投入更多,因此這類企業的信息安全規劃就更加缺乏。
本文根據這類分布式企業的特點提出了一種符合該類企業實際的信息安全規劃方案。
2 總體規劃原則和目標
2.1 總體規劃原則
對于分布式企業的信息安全規劃,要遵守如下原則:適度集中,控制風險;突出重點,分級保護;統籌安排,分步實施;分級管理,責任到崗;資源優化,注重效益。
這個原則的制定主要是根據分布式企業的實際機構構成情況、人員素質情況以及資源配置情況來制定的。
2.2 總體規劃目標
信息系統安全規劃的方法可以不同、側重點可以不同,但是需要圍繞組織安全、管理安全、技術安全進行全面的考慮。信息系統安全規劃的最終效果應該體現在對信息系統與信息資源的安全保護上,下面將分別對組織規劃、管理規劃和技術規劃分別進行闡述。信息安全規劃依托企業信息化戰略規劃,對信息化戰略的實施起到保駕護航的作用。信息系統安全規劃的目標應該與企業信息化的目標是一致的,而且應該比企業信息化的目標更具體明確、更貼近安全。信息系統安全規劃的一切論述都要圍繞著這個目標展開和部署。
3 信息安全組織規劃
3.1 組織規劃目標
組織建設是信息安全建設的基本保證,信息安全組織的目標是:
1)完善和形成一個獨立的、完整的、動態的、開放的信息安全組織架構,達到國際國內標準的要求;
2)打造一支具有專業水準的、過硬本領的信息安全隊伍。對內可以保障企業內部網安全,對外可以向社會提供高品質的安全服務;
3)建設一個 “信息安全運維中心(SOC)”,能夠滿足當前和未來的業務發展及信息安全組織運轉的支撐系統,能夠對外提供安全服務平臺。
3.2 組織規劃實施
對于組織規劃這個方面,是屬于一個企業信息安全規劃的上層建筑,需要用一種由上而下的方法來實現,其主要是在具體人事機制、管理機制和培訓機制上做工作。對于分布式企業而言,需要主導部門從上層著手,建章立制,強化安全教育,加大基礎人力、財力和物力的投入。
4 信息安全管理規劃
4.1 管理規劃目標
信息安全管理規劃的目標是,完善和形成“七套信息安全軟措施”,具體包括:一套等級劃分指標,一套信息安全策略,一套信息安全制度,一套信息安全流程規范,一套信息安全教育培訓體系,一套信息安全風險監管機制,一套信息安全績效考核指標。“七套信息安全軟措施”關系如圖1所示。
4.2 信息安全管理設計
基于對管理目標的分析,信息安全管理的原則以風險管理為主,集中安全控制。管理要素由管理對象、安全威脅、脆弱性、風險、保護措施組成。
4.2.1 信息安全等級劃分指標
信息安全等級保護是國家在國民經濟和社會信息化的發展過程中,提高信息安全保障能力和水平,維護國家安全、社會穩定和公共利益,保障和促進信息化健康發展的基本策略。
4.2.2 信息安全策略
信息安全安全策略是關于保護對象說明、保護必要性描述、保護責任人、保護對策以及意外處理方法的總和。
4.2.3 信息安全制度
信息安全制度是指為信息資產的安全而制定的行為約束規則。
4.2.4 信息安全規范
信息安全規范是關于信息安全工作應達到的要求,在信息安全規范方面,根據調查,建立信息安全管理規范、信息安全技術規范。其中,安全管理規范主要針對人員、團隊、制度和資源管理提供參照性準則;信息安全技術規范主要針對安全設計、施工、維護和操作提供技術性指導建議。
4.2.5 信息安全管理流程
信息安全流程是指工作中應遵循的信息安全程序,其目的是減少安全隱患,降低風險。
4.2.6 信息安全績效考核指標
信息安全績效考核指標是指針對信息安全工作的質量和態度而給出的評價依據,其目的是增強信息安全責任意識,提高信息安全工作質量。
4.2.7 信息安全監管機制
信息安全監管機制是指有關信息安全風險的識別、分析和控制的措施總和。其主要目的加強信息安全風險的控制,做到“安全第一,預防為主”。
4.2.8 信息安全教育培訓體系
其主要目的加強的信息安全人才隊伍的建設,提高企業人員的信息安全意識和技能,增強企業信息安全能力。
5 信息安全技術規劃
5.1 技術規劃目標
信息安全技術規劃目標簡言之是:給業務運營提供信息安全環境,為企業轉型提供契機,構建信息安全服務支撐系統。具體目標如下:
1)打造信息安全基礎環境,調整和優化IT基礎設施,建立安全專網,設置兩個中心(信息安全運維中心、災備中心);
2)建立一體化信息安全平臺,綜合集成安全決策調度、安全巡檢、認證授權、安全防護、安全監控、安全審計、應急響應、安全服務、安全測試、安全培訓等功能,實現的集中安全管理控制,快速安全事件響應,高可信的安全防護,拓展企業業務,開辟信息安全服務新領域。
5.2 信息安全運維中心(SOC)
SOC 是信息安全體系建設的基礎性工作,SOC 承載用于監控第一生產網的安全專網核心基礎設施,提供信息安全中心技術人員的辦公場所,提供“7×24”小時連續不斷的安全應用服務,提供實時監控、遠程入侵發現、事件響應、安全更新與升級等業務,SOC 要求具有充分保障自身的安全措施。除了SOC 的組織建設、基礎工程外,SOC 的技術性工作還要做以下幾個方面:
1)硬件基礎建設,主要內容是SOC 的選址、布局、布線、系統集成,實現SOC 自身的防火、防潮、防電、防塵、安全監控功能;
2)軟件基礎建設,包括SSS 系統、機房監控子系統、功能小組及中心組劃分。
圖1 信息安全軟措施關系
圖2 信息安全總體框架
圖3 資產、組織、管理和安全措施的關系
5.3 信息安全綜合測試環境
隨著分布式企業信息化程度的日也加深,需要部署到大量IT 產品和應用系統,為了保障安全,必須對這些IT 系統和產品做入網前安全檢查,消除安全隱患。基于此,綜合測試環境建設的內容包括:安全測試網絡;測試系統設備;安全測試工具;安全測試分析系統;安全測試知識庫。
其中,安全測試網絡要求能夠模擬企業網絡真實的帶寬;測試系統設備能夠提供典型的網絡服務流量模擬、典型的應用系統流量模擬;安全測試工具覆蓋防范類、檢測類、評估類、應急恢復類、管理類等,并提供使用說明、漏洞掃描、應用安全分析;安全測試分析系統能夠提供統計分析、圖表展現功能;安全知識庫包含以下內容:漏洞知識庫,補丁信息庫,安全標準知識庫,威脅場景視頻庫,攻擊特征知識庫,信息安全解決案例庫,安全產品知識庫,安全概念和術語知識庫。
5.4 安全平臺建設規劃
參照國際上PDRR 模型和國家信息安全方面規范,建議信息安全總體框架設計如圖2所示。
主要目的,以資產為核心,通過安全組織實現資產保護,以安全管理來約束組織的行為,以技術手段輔助安全管理。其中,資產、組織、管理、安全措施的關系如圖3所示,核心為資產,圍繞資產是組織,組織是管理,最外層是安全措施。
在平臺中集成十個安全機制,它們分別是:信息安全集中管理;信息安全巡檢;信息安全認證授權;信息安全防護;信息安全監控;信息安全測試;信息安全審核;信息安全應急響應;信息安全教育培訓;信息安全服務。
6 信息安全服務業務規劃
6.1 服務業務規劃目標
信息安全服務業務規劃目標簡言之是:以信息安全服務為切入點,充分發揮企業優勢資源,引領信息安全市場,為企業轉型創造時機。具體目標如下:
1)推出面向客戶安全(檢查、教育、配置)產品;2)推出面向大型企業的信息安全咨詢產品;3)推出面向家庭安全上網產品;4)推出面向企業安全運維產品;5)推出面向企業災害恢復產品。
6.2 服務業務規劃設計
服務業務規劃主要針對具體業務而言,在此列舉信息類分布式企業業務作為示例:
1)信息安全咨詢類產品,其服務功能主要有:信息安全風險評估;信息安全規劃設計;信息安全產品顧問。
2)信息安全教育培訓類產品,其服務功能主要有:提供信息安全操作環境;提供信息安全知識教育;提供信息安全運維教育。
3)家庭類安全服務產品,其服務功能主要有:推出“家庭綠色上網”安全服務;家庭上網防病毒服務;家庭上網機器安全檢查服務;家庭上網機數據備份服務。
4)企業類安全服務產品,其服務功能主要有:企業安全上網控制服務;企業安全專網服務;安全信息通告;企業運維服務。
5)容災類安全服務產品,其服務功能主要有:面向政府數據災備服務;面向政府信息系統災備服務;面向企業數據災備服務;面向企業信息系統災備服務。
7 結束語
通過結合分布式企業的具體實際,按照信息安全體系結構相關標準,提出了分布式企業的信息安全規劃原則和目標。并依據次原則與目標,按照組織、管理和技術三個方面提出了具體的實現與設計規范原則。最后,依據服務規劃目標,提出了信息類分布式企業的信息安全服務規劃設計實例。
參考文獻:
[1] 周曉梅. 論企業信息安全體系的建立[J]. 網絡安全技術與應用,2006,3:62~64,57.
[2] Harold F. Tipton,Micki Krause. Information Security Management Handbook[M]. Fifth Edition.US:Auerbach Publications,2004.
[3] 魏永紅,李天智,張志. 網絡信息安全防御體系探討[J].河北省科學院學報,2006,23,(1):25~28.
[4] 張慶華. 信息網絡動態安全體系模型綜述[J].計算機應用研究,2002,10:5~7.
[5] ISO/IEC 15408,13335,15004,14598,信息技術安全評估的系列標準[S].
[6] BS7799-1,7799-2,ISO/IEC 17799,信息安全管理系列標準[S].
[7] BS7799-2,Information Security Management Systems-Specification With Guidance for use[S].
[8] 李瑋. 運營商IT系統網絡架構的安全域劃分[J]. 通信世界,2005,30:41~41,45~45.
篇3
電力企業信息系統是基于電腦和網絡,實現電力制造、管理等信息的收集、存儲、分析及傳輸的綜合性的有機系統。[1]信息作為一種重要的企業資源必須要對其進行全面的安全管理,企業信息安全管理是引導和協調組織的關于信息化安全風險的互相協調的活動,即企業管理層對企業相關信息和活動安排進行合理的規劃和協調。一直以來,很多人特別是對于信息行業出身的工作人員,都受環境影響而陷入“技術就是一切”的誤區中,即人們把企業信息安全的全部希望都寄托在加密技術上,他們認為只要通過加密技術,任何信息安全問題都能夠解決。隨著網絡防火墻技術的誕生,我們又常聽到“防火墻是網絡安全的有力保障”的論調。經此之后,入侵檢測、VPN等更多新的概念及技術紛至沓來,但無論技術怎樣變化,終究還是突破不了技術統領信息安全的枷鎖。實際上,對企業信息安全技術的選擇及應用只是企業信息系統安全化的一部分,它只是實現企業安全運營的一個方法而己。大家之所以產生這樣的誤區,其原因是多方面的,站在企業安全技術提供商的角度來說,其側重點在于銷售,因此向相關客戶輸送的大多都是以技術為核心的理念和信息。站在客戶角度來說,只有企業的產品才是真實的、有形的,對投資方來說,這是十分重要的。因此,正是對于企業信息系統的錯誤認識,導致一些極端現象的產生,比如:許多企業的信息化設備使用了防火墻、網絡云掃描等技術,但卻沒有設定出一套以安全策略為核心的合理的安全管理方案,從而造成安全技術及企業的產品生產十分混亂,不能做到技術及相關產品的及時、有效的更新。還有一些電力企業即使設定了一些安全管理措施,卻沒有使用有效的實施、監督機制來執行,這讓安全管理措施徒有其表,名存實亡。經過研究及調查,現階段我國電力企業信息系統面臨的風險主要有:(1)信息系統缺陷。隨著信息化的不斷發展,電力企業信息系統也一直在不斷完善中,目前,我國的電力企業在設計、制造及產品裝配中仍存在著許多安全隱患與風險,比如來自軟硬件組件的安全隱患等,這些信息系統固有的缺陷對電力企業信息系統的安全造成了嚴重的威脅。(2)信息系統安全管理不規范。現階段,我國電力企業對電力信息系統的安全愈來愈重視,很多電力企業都采取了各種風險管理及預防措施,但是由于系統數據備份設備的不完善、數據丟失等信息系統安全管理不規范現象的出現,建立一套完善、合理的電力企業信息系統安全管理體系尤為重要。(3)網絡安全意識薄弱。由于電力企業的安全宣傳力度不夠,相關技術人員的安全意識薄弱而導致的信息系統安全問題時有發生,比如不能及時修補信息系統漏洞及補丁,相關人員不正確的操作、或通過U盤導致重要信息泄露等,處理不好都很有可能造成整個電力系統的不穩定甚至系統癱瘓。(4)惡意人為破壞。隨著網絡共享度的提高,我國的電力企業信息系統逐漸向開放型及共享型發展,這使得一些不法分子有機可乘,他們為了自己的利益,通過各種手段非法入侵電力企業的信息系統,如植入病毒、竊聽、干擾阻斷等,這對我國電力企業信息系統的安全構成了極大的威脅。
2電力企業信息系統安全管理研究
信息安全是一個復雜的、不斷變化的動態過程,如果電力企業只根據一時需要而忽略了信息安全的動態性,只是主觀的來制定一些風險管理措施,就會造成在企業信息管理中顧此失彼,進而導致企業的安全管理水平止步不前甚至有失偏頗。[2]其正確的做法是,電力企業要遵守相關信息安全標準及實踐總結,結合企業自身對信息系統安全的實際需求,在進行完善的風險分析及風險管理的基礎上,通過一些合理的、可行的安全風險管理措施來使電力企業信息系統一直處于安全狀態。除此之外,不斷更新的過程是電力企業進行信息安全管理的最基本出發點,該過程還應該是動態的、變化的,即安全措施要隨著環境的變化及信息技術的提高而不斷改進和完善,堅決拒絕一成不變,這可以將信息系統的風險降到最低。[3]所以說,基于風險的評估及控制角度來說,電力企業信息系統的安全風險與其他領域的風險具有相似性,與此同時,電力系統信息系統安全風險又具有其獨特性。將其他領域內的風險控制過程引入電力企業的信息風險管理領域,需要同時考慮到其共性和個性。安全管理主要分為網絡級、系統級和應用級3個部分:(1)網絡級安全管理。電力企業信息系統的網絡級安全管理主要是指解決企業信息系統與網絡互聯而產生的安全風險問題,其主要從網絡防火墻及網絡結構兩個方面采取安全管理措施。網絡防火墻對企業內部網絡及外部網絡起到安全隔離作用,它可以有效預防潛在的破壞性入侵,同時可以對即將進入企業內部網絡的數據進行嚴格的檢測,并對非法、錯誤的網絡信息進行隔離,從而保護電力企業內部網絡的安全。對于網絡結構,根據電力企業信息系統的實際情況,相關技術人員結合網絡結構,設計出一種介于混合型和網狀型結構之間的分布式網絡結構,該分布式網絡系統具有較高的可靠性及容錯能力,從而對已有的網絡結構進行了優化。(2)系統級安全管理。在企業信息系統風險管理中,系統級安全設計與用戶的具體應用具有密切的聯系,具體而言,其分為操作系統與數據處理兩個方面。在操作系統方面,利用有效的網絡安全掃描對信息系統的安全風險進行合理評估,及時分析操作系統已有的漏洞,同時結合信息系統的漏洞自動修補技術,實現定期為相關用戶消除網絡中的安全隱患。在數據處理方面,企業要善于利用信息系統平臺再次對數據庫進行數據安全加密,從而將信息系統的數據庫風險降到最低。(3)應用級安全管理。應用級安全設計具有直觀、具體的特點,它是在設計電力企業的信息系統時,通過技術手段將相應的安全技術加入到信息系統中,從而有效保證系統的安全穩定運行。具體來說,電力企業信息系統的應用系統訪問控制是根據訪問信息性質的不同,分別進行公開信息和私密信息的傳送、存儲及管理,從而實現在應用層次上的訪問控制;而數字簽名技術可以通過對文件簽發者、日期等提供準確的不可更改的歷史記錄,來保證系統所有文件的完整性。因此,我們得知,為了確保電力企業信息系統的安全,要采取合理、有效的管理手段來最大程度地降低風險,即相關人員不僅要從技術層面來進行安全管理的設計,還要從管理層面進行安全管理設置。[4]具體來說可以從以下方面著手:(1)定期對企業系統的技術人員進行安全教育,增強其信息系統的安全意識;(2)保持相關人員特別是管理層的人員穩定,若有人員調離,需及時更換系統密碼,避免企業機密泄露;(3)設置合理的電力企業信息系統安全標準及企業制度等。
3結語
篇4
關鍵詞 信息安全;企業;網絡
中圖分類號:TP3 文獻標識碼:A 文章編號:1671-7597(2013)12-0129-02
1 網絡信息安全現狀
現代企業的發展離不開信息網絡,隨著Web2.0時代的到來,越來越多的應用開始在互聯網上流行起來,信息網絡對提高企業生產效率、節約人員成本、獲得產品信息等方面做出了巨大貢獻,企業開始更為重視自身信息化的建設。然而,企業信息化速度的加快為企業信息安全工作提出了挑戰,在網絡發展的背后卻存在著一個永恒的話題――信息安全。隨著企業的安全生產、經營管理等工作越來越依賴信息網絡,網絡上的病毒、黑客以及其他不可預見的因素都對企業信息安全帶來巨大威脅,在日趨多樣化、專業化的攻擊面前使得企業信息安全正面臨嚴峻的形式和挑戰。
近年來,網絡安全問題頻發,世界上每年遭受網絡攻擊的政府或者企業越來越多,2011年卡巴斯基實驗室針對全球企業進行的IT風險調查顯示,全球至少61%的企業遭遇過惡意軟件的攻擊。在互聯網發源地―美國每年就有大約5萬多起黑客攻擊的事件,甚至信息安全工作防護嚴密的美國政府網站也不能幸免,更普通的企業。互聯網具有開放性和無國界的特點,這就使得對網絡攻擊事件具有全球普遍性,我國也不能幸免,據國家計算機病毒應急處理中心的統計報告顯示,我國每年有80%的企業、政府機關的網絡系統曾經遭受過病毒或黑客的攻擊。瑞星公司在2012年的《中國信息安全報告》中指出,我國共有超過7億網民被病毒感染過,2009年上半年國內被掛馬的網頁數量突破2億。例如2011年6月28日,新浪微博出現了一次比較大的XSS攻擊事件,20:14,開始有大量帶V的認證用戶中招轉發蠕蟲;20:30,中的病毒頁面無法訪問;20:32,新浪微博中hellosamy用戶無法訪問。據統計,中國互聯網用戶每年因為網絡安全損失被“黑掉”的錢財高達76億。
上述網絡信息安全問題的出現為國企業敲響了警鐘,需要下大力氣加強網絡信息安全的防范和設計。
2 企業信息安全策略設計
2.1 病毒防護和查殺策略
病毒是信息安全的殺手,從病毒發作的情況來看,病毒的攻擊目標沒有特定性,而且越來越隱蔽。從個人網站到企業網絡,無不受其所害,曾經有網絡公司的防火墻被不明身份的黑客攻破了,牽扯到大量的用戶信息,用戶在該支付平臺注冊的電子郵箱以及登錄密碼面臨極大風險。面對各式各樣且不斷發展演變中的病毒,企業對信息系統的日常維護和管理就顯得尤為
重要。
企業網絡部門工作人員要定期給辦公司電腦操作系統存在的安全漏洞打補丁,還要給每個客戶端都設置可靠的防毒軟件、防火墻、漏洞掃描系統、日志系統,加強入侵檢測和補丁管理,對企業遭受到的病毒攻擊進行集中分析,掌握企業計算機系統中存在的安全隱患,采取有效的措施和方法防范由于病毒感染導致企業重要信息出現泄漏或者破壞。同時網絡技術人員也要對公司所有電腦進行防病毒軟件升級工作,確保網絡內所有服務器和終端計算機都安裝防病毒軟件,將殺病毒軟件設置成為自動升級狀態,及時更新病毒特征碼和系統補丁,防止由于個人疏忽造成沒有及時升級帶來病毒庫的安全威脅,保證企業信息系統的正常運行。
另外對于企業而言,無論是服務器還是終端計算機都要加強防火墻設置,對外部入侵行為或者其他不安全的行為進行攔截,實際運行時,可以根據企業信息系統的需要,將一些服務器中不使用的端口關閉,盡量避免進行一些具有安全隱患的服務,防止利用這些端口或者服務進行外部攻擊的行為發生。當然,網絡技術人員要對不同端口的作用十分清楚,避免將企業信息系統正常運行的關閉,造成企業信息系統不能正常運行。
2.2 保證企業信息系統的平穩運行
保護企業信息系統的平穩運行,維護主要業務系統的安全,是現代企業網絡信息安全的基本要求。企業信息系統的平穩運行包括多個方面,有操作登記的分配、用戶賬戶與口令的保護、個人訪問權限、用戶身份驗證等多個方面。我們需要做好以下工作。
1)做好重要資料備份工作。當服務器或者硬盤發生故障時,重要的企業數據會受到嚴重威脅,但往往公司簡單的數據安全、信息安全體系對企業數據恢復、服務器數據恢復束手無策。為了保證信息系統的正常運行和業務的正常開展,專業的企業數據恢復、服務器數據恢復格外重要。大多數企業采用備份手段來解決日常的數據安全問題,企業在購買安裝和配置服務器時,通常采用常見的兩臺服務器“一用一備”。企業網絡技術人員將重要信息備份在一些光盤、U盤或者移動硬盤上,然后將其放置在不同的地方,避免同時受損害或者丟失,最大限度的保障企業信息安全和數據的完整性。
2)加強對關鍵業務系統的管理。關鍵業務系統應該具有最高的網絡安全措施,其安全需求主要包括:訪問控制,確保業務系統不被非法訪問,保證數據不被網絡內部破壞,安全預警,對于破壞關鍵業務系統的惡意行為能夠及時發現、記錄和跟蹤等。2011年,韓國現代資本、韓國農協銀行都遭受電腦黑客襲擊,電腦網絡癱瘓了三天,數以萬計的客戶受影響。這次攻擊事件就是以IT運維部門的用戶機位跳板實施的,背后原因是因為這些銀行對最高級別權限管理不足,也沒有基本的隔離安全機制,筆記本都可以直接連入外網,黑客通過竊取內部合法用戶的權限進行非法活動。可見,企業應該加強對用戶權限的管理;另外,在必要時進行網絡隔離甚至物理隔離是必然的要求。同時,也要加強平時對于合法用戶的行為審計,防范合法權限被濫用或被利用等情況的發生。
3)加強企業網絡安全平臺建設。目前很多公司推出的安全平臺,就是依靠安全芯片為載體,通過軟硬件的結合,可以為用戶提供更加私密的加密存儲空間,這樣就可以將客戶信息、賬戶信息等高度機密的信息安全存放起來。根據不同的場景需求,還可以通過安全平臺搭建內部機密信息共享平臺或工作組,比如某公司在進行專項會議時或者涉及商業機密文件共享時,可以建立起相對封閉的局域工作網絡,讓各部門的總監或管理層在同一局域網內共享機密信息,其他員工則沒有查看服務器或者重要信息的權限。同時,還能夠避免通過郵件、病毒、木馬等非法手段盜取數據,造成不必要的損失。
2.3 健全有效的信息安全管理制度
沒有安全管理,就沒有信息安全。真正的網絡安全實際上靠的不是這個或那個安全產品,而是自身固有的安全意識。尋求解決安全問題的根本方法在于不僅要具備安全可信的辦公電腦,也要建立更加完善的數據安全管理制度。真正實現企業的信息安全管理僅僅依靠技術手段是不夠的,必須對規章制度上加強企業人員的信息安全防范意識。
1)做好員工的培訓的管理。信息只是一種編碼形式,人才是信息的操作者,每個環節中安全隱患的最終來源都是人。為了能夠加強企業工作人員的信息安全防范意識,企業要加強對公司員工的系統培訓,從計算機基本知識到信息安全防范的具體方法都要進行細致講解,針對一些員工在日常使用計算機過程中不規范行為進行及時矯正,針對一些年紀較大的、對計算機不是十分熟悉的老員工,企業網絡技術人員要現場演示操作,讓員工養成良好的使用習慣。同時要甄選出有豐富計算機操作經驗的人員負責每個部分電腦的日常清潔、維護和管理,負責對部門電腦病毒庫的升級、電腦的內部清理等工作,確保企業信息安全。
2)加強系統運行環境和維護管理,要加強對機房電源、空調系統、消防系統、監控系統、門禁裝置等基礎設施的維護和管理,確保其可靠、正常的運行。嚴禁非系統管理人員隨意進入機房,嚴禁在機房內抽煙。嚴格落實機房巡視、系統巡檢、運行測試、操作審批、機房出入登記、信息安全故障上報等工作制度。嚴禁在機房的服務器上瀏覽網頁、隨意下載軟件、打游戲等。
3 結束語
總之,對于現代企業而言,信息技術的發展給企業信息安全帶來巨大隱患,企業的信息安全也越來越受到信息安全部門和企業管理者的重視。信息安全工作是一個全方位的系統工程,每個企業面臨的信息安全環境不同,企業應該結合自己實際情況,從思想上、技術上、管理上多管齊下,采取有針對性的信息安全策略,才能最大限度的降低信息安全威脅、保證企業信息安全,為企業健康長遠發展保駕護航。
參考文獻
[1]陳澤徐.淺析企業網絡安全策略[J].電腦知識與技術,2009(09).
[2]沈傳案,王吉偉.企業網絡安全解決方案[J].計算機與信息技術,2008(06).
[3]冼沛勇.企業網絡安全解決方案[J].石油工業計算機應用,2004(02).
[4]牛金才.企業網絡安全解決方案淺析[J].煤,2003(02).
[5]石亦歌.企業網絡安全解決方案[J].安防科技,2003(03).
[6]王鋒.關于企業網絡安全問題的探討[J].電腦知識與技術,2009(36).
篇5
【關鍵詞】供電企業;信息系統安全;強化措施
面對當代信息技術的發展與社會電力工作的要求,信息技術已經逐漸覆蓋到電力系統的每個方面,同時也帶來了許多的安全隱患,時時威脅著供電企業的信息安全。電力是一個國家的基礎產業,關乎每一個領域,對全國經濟建設發展起著決定性的作用。因此,供電企業的信息技術安全就顯的尤為重要。本文針對近些年來信息技術在供電企業應用時所出現的安全問題進行細致的探究,并且提出了相應的防范措施。
1 供電企業信息化現狀
近些年來,以網絡、數據庫為代表的信息系統技術已經滲透進電力生產的每個環節,供電企業信息化現狀大致可以總結成以下五個方面:
(1)電力信息系統基礎設施已基本完成。電力信息系統以高速電力通訊網為基礎,覆蓋了各個供電企業和國家電網。電力信息系統通過發、輸、配三個環節,以光纖,衛星等多種手段代替原有的通信網,覆蓋整個網絡。供電企業還在基礎設施上不斷創新和完善,用通訊網將各個公司、區域的信息系統相互聯系起來,形成共享網絡,有利于各個企業單位之間的聯系與資源共享。
(2)處于自主研發階段。原有的供電企業信息系統是單純引進國際技術,隨著我國科學技術的發展,我國電力信息技術已經逐漸達到國際現有的水平。我國自主研發的系統――能量管理,已經在我國供電企業信息系統中得到了廣泛應用。并且不斷推陳出新,為以后的電力信息系統提供基礎。
(3)供電企業信息安全工作進展快速。我國建成了信息系統安全和供電企業電力系統網絡管理體系,保證了電力信息安全;建立了相應的法律法規,為供電企業信息化發展提供了法律保障;國家大力支持電力信息系統,加快了電力信息系統基礎設施的建設;我國電力信息技術人才的培養,為供電企業信息系統的進步提供了條件。
(4)電力信息系統出現重大轉變,為供電企業信息系統安全風險與防范提供最要的技術來源和保障。電力信息系統從出現以來,實現了從自動化向信息化,從信息資源整合向信息資源利用,從協助管理向大力發展生產力三個方面的轉變。
(5)供電企業與電網企業共同發展。電網企業先實施了國家的信息化工程,初見成效,這為供電企業實施企業信息系統提供了方向指導。之后,供電企業與電網企業共同發展,在保證供電系統順利的運作下,提高效率,降低成本,從而達到經濟利益最大化,為整個行業的發展,奠定了堅實的基礎。
2 供電企業信息系統安全的影響因素
隨著網絡、通信技術的發展,供電企業中信息技術處理的應用系統越來越復雜,面臨的挑戰也越來越多,類似供電控制系統和網絡信息的安全性、保險性、實時型都面臨著巨大的考驗。以下舉出了供電企業信息系統安全的幾個重要的影響因素。
(1)自然及不可抗力因素。自然及不可抗力因素指的是自然災害或者突發事件不可預期的因素。類似火災、地震、雷電等,都會對供電信息系統造成破壞,導致供電系統工作的終止和信息系統數據的丟失。
(2)物理方面的風險。物理方面的風險指的是在信息系統技術應用的過程中所使用的設備的風險。供電企業在信息系統運行的過程中,需要用到交換機,路由器,工作站等設備,而這些設備在人為因素或者自然因素的條件下,很容易損壞或者報廢,斷電或者使原有的信息丟失,從而導致整個信息系統的癱瘓,會對供電企業造成不可預計的影響和損失。
(3)數據庫安全。供電企業的信息系統需要用到各種設備和應用軟件系統,而這些設備和軟件系統在信息系統不完善的條件下,肯定會存在一定的漏洞,這將會導致供電企業內部信息資料安全受到威脅。企業如果放松警惕,不法分子就會通過漏洞傳播病毒并且盜取企業的重要文件資料,這將導致供電企業無法正常供電,并且威脅著整個企業的內部安全。
(4)管理系統安全。現在處于信息系統在供電企業發展過程中的初級階段,還沒有形成一整套針對供電企業信息系統安全的管理措施。這樣在信息系統的運作過程中,將會出現很多不完善的地方,時刻威脅著供電企業生產的安全性,影響整個企業的正常供電。
(5)電磁干擾的影響。信息系統在各個領域中的應用并未完善,而信息在傳輸的過程中很容易被電磁干擾,導致信息的丟失。
3 信息系統安全的防范措施
強化員工的整體素質與基礎知識的水平。供電企業的信息系統安全防范,不僅僅是相關部門的事情,而是整個供電企業內部人員的事情。供電企業內的每一個突發事件,都位于生產的細微環節,這就要求企業的員工需要有較高的知識水平與應變能力,面對安全隱患及時做出相應的防范措施,應對自如。所以應該提高全體員工的信息安全知識的學習以及必要的防范意識。在有條件的情況下可以開設信息安全相關的培訓,以逢培必考方式,提高培訓效果并落實一定的考核制度,有利于全體員工對信息安全知識的學習,也確保了供電企業安全穩定的發展。
轉變傳統的管理制度,由傳統的硬性管理轉變成為適應當今企業發展的分區分域管理。分區管理就是對不同級別的信息進行分區,建立網絡隔離系統;分域就是在分區管理的基礎上,針對生產域、營銷域、人資域、辦公域、財務域等,各專業信息系統的要求進行更加細致的劃分。這樣有利于擺脫傳統管理模式中的漏洞,增加管理的靈活性、全面性。將知識管理與安全管理相結合,為供電企業信息系統的正常運行提供基礎保障。
將電力通信及自動化的網絡與供電企業的內部綜合數據網絡進行物理隔離,這有益于防止信息系統安全過程中產生的漏洞導致的病毒入侵現象,保護內部資料的安全性。在建立最基本的管理制度的同時,從工作出發,對發現的問題及時匯報處理并且統計,建立特有的數據庫,為以后工作信息系統的防范提供基礎。
預防計算機病毒,防止病毒破壞。這是供電企業信息系統安全措施中最重要的一個環節。供電企業中,辦公最重要的一個內容就是企業郵件的收發,這也是感染病毒最多的環節。必須加大對系統的升級和修復,建立和完善防病毒系統,實時對計算機進行監控,對用戶訪問進行嚴格防控。
電力信息系統還處于發展階段,必須加強對信息技術安全的監控,并且及時匯報,完善信息系統的應急預案。這要求企業必須真實的對待每一個信息事件,及時通報,不得隱瞞。不斷改善原有的應急措施,并且監督每一次應急措施的實施,提高整個供電企業面對信息系統的應對能力。
提高供電企業信息系統的保密措施。在對信息系統網絡安全加強的同時,也要完善人為因素導致的信息泄露。嚴禁外部人員對計算機網絡的訪問,嚴格控制外來U盤等移動介質的使用,對信息系統的安全進行嚴格監管,定期開展對保密工作的檢查,不放過任何一個中間環節。
4 總結
供電企業的信息系統安全涉及到企業的方方面面,包括自然因素,人為因素,物理因素等等。所以為供電企業信息系統制定防范措施就要從這些因素出發,全面分析,多重角度看待,才能制定有效的防范措施,保護整個供電企業的安全。
參考文獻:
[1]Christopher.信息安全管理[J].北京:清華大學出版社,2005.
