企業安全信息化范文
時間:2023-06-08 17:39:13
導語:如何才能寫好一篇企業安全信息化,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。
篇1
伴隨著我國社會經濟的發展,各個企業間的競爭也是非常的激烈。各企業發展的過程中重要工作就是加強信息化建設,在企業信息化建設發展的過程當中,又顯現出來了信息安全的問題,加上有的不法分子會采取各種手段盜取企業的內部信息以便達到自己的經濟利益。所以說研究企業信息化當中的信息安全問題是具有非常重要意義。
一、企業信息化建設過程中信息安全的問題
一般情況下能造成企業內部信息安全問題的原因分為外部原因和內部原因,可是不管是內部原因還是外部原因都會對企業的信息系統的安全帶來隱患。
1.1企業內部因素
第一個方面是企業的信息安全意識不強,雖然是現在有很多的企業加快企業內部信息化建設的進程,但是有些企業只是在表面上看到信息化建設所帶來的優勢,而信息化建設當中的安全問題并沒能夠引起企業的足夠重視,所以在信息化建設的過程中比較容易出現安全隱患。第二個方面就是我國的安全軟件還是比較落后,雖然國內計算機軟件技術在快速的反戰,可是與一些發達的國家相比還是存在一定距離,第三個方面在管理操作方面存在問題,現在有很多的企業對于自己企業內部的信息安全問題還存在不夠重視的問題,在企業信息系統的管理上不夠謹慎,這就會被不法分子和黑客進入的機會,造成了企業的主要信息被盜取。第四個方面缺少優秀的專業管理團隊,企業信息的系統安全是前期的制定和日常系統安全的維護以及日后都是由專業的人員來進行操作,所以相關的技術人員都必須具有很好的素養和賢能的技術,第五個方面法律法規的不全面。現在我國與企業信息安全問題的法律法規不全面這就造成企業內部信息被盜取不能得到相關的賠償。
1.2企業外部因素
現在企業信息安全系統的威脅主要來自于外部的因素,隨著我國經濟社會的飛速變化,在競爭激烈情況下信息是非常重要的,大昂仁會有很多的不法分子會利用各種手段來盜取企業的信息為自身得到利益。還有些企業在于對手的競爭過程中使用不正當的手段來擊垮對手保證自己企業的利益。
二、企業信息化建設過程中的信息安全與對策
在我國社會經濟快速發展的今天,企業信息安全對于一個企業的發展是非常具有意義的,企業的信息被盜取和泄露會給企業帶來很大的損失,所以說企業對信息安全問題必須要有足夠的重視。有的企業已經做好了信息安全的必要工作就應該更加注意安全軟件并不是時時刻刻都能做好安全的保護,做好安全保護還要加強管理。
2.1確保正確的安全意識
一個企業在信息化發展的過程中,應該認識到企業信息的安全問題和企業發展相互的關聯。如果企業的重要內部信息被盜取或者泄露那么對于企業所造成的打擊是非常大的,而與此同時也是給了對手創造了很好機會。所以確保正確的安全信息意識對于一個企業來說是非常重要的,也是為了以后給企業的各項工作打下了很好基礎。
2.2選擇安全性能比較高的軟件
其實任何軟件都不是牢不可破的,可是對于安全性能比較高的軟件,如果說破解的話難度還是相當高的,所以企業選擇安全軟件的時候要選擇安全性能高的,不要為了節省一點企業的支出而選擇使用安全性能差的保護軟件,一旦出現問題所造成的企業損失價值會大于軟件的價格。
2.3加強企業網路管理
很大一部分的企業信息被盜取都是不法分子通過網絡進行的,所以說必須要對企業的網絡管理進行加強,這樣才能確保企業信息系統在安全的狀態的情況下運行。對于信息安全的種類和等級的高低來進行制定合理的方案,并且提前做出如果發生特殊情況下怎么進行處理的方案。如果說企業的信息安全發生危機的時候,企業應該快速的組建處理小組,針對信息安全危機的步驟處理并且做好危機處理的工作,還要避免出現由于處理不當而產生的各種情況。
三、結語
以上所述是企業信息化建設過程中所必需要面對的問題,一個企業的信息安全建設應該先從管理開始,必須做到以防范為主要,必需制定有效的安全防護把安全的風險降至最低。在現在經濟發展的快速時代,企業信息的安全問題決定著企業的安全運營。
參考文獻
[1]原黎.探析企業信息安全問題的成因及對策[J].現代工業經濟和信息化.2011(08)
[2]張耀輝.關于企業信息化建設中的信息安全探討[J].電子技術與軟件工程.2013(14)
[3]趙曉華,陳秀芹,周文艷,夏莉莉,李建忠.網絡環境下河北中小企業信息安全問題研究[J].科技資訊.2013(31)
[4]葉瑞強.企業網絡信息安全存在的問題及對策[J].信息與電腦(理論版).2012(03)
篇2
關鍵詞:計算機系統結構IRP;信息優勢;主動預防
中圖分類號:TP309
企業要生存、發展,就必須面向市場,適應市場、開拓市場,竭力捕捉市場信息。信息對于市場經濟條件下的企業來說,具有生死攸關的巨大價值。沒有對大量準確、及時、系統的市場信息資料的掌握,既不能弄清企業外部條件變化對企業生產經營的影響,也無法了解企業內部各環節、各部門、各經營要素的狀況、聯系和變化。而在同行業之間的信息互通,也是至關重要的,將所有資源充分整合,才能形成綜合優勢。
中國加入WTO后,國際競爭國內化的趨勢將更加明顯。企業只有盡快實施信息化戰略與國際接軌,才能融入到經濟全球化的大潮中去。這里特別要指出企業如何規劃有關信息。信息資源規劃(Information Resource Planning,簡稱IRP)是指對企業生產經營所需要的信息,從采集、處理、傳輸到使用的全面規劃。在企業的生產經營活動中,無時無刻不充滿著信息的產生、流動及使用。美國信息資源管理學家霍頓(F.W.Horton)和馬錢德(D.A.Marchand)等人指出:信息資源(Information Resources)與人、財、物資源一樣,都是企業的重要資源。目前,許多企業都已經認識到信息資源規劃的重要性,認識到它是企業信息化建設的基礎工程。只有做好信息資源規劃工作,才能理清并規范企業的真正需求,貫徹信息化建設的“應用主導”方針;才能消除因缺乏信息資源管理基礎標準而產生的“信息孤島”,從而整合信息資源,實現應用系統集成;才能指導SCM、ERP、CRM等應用軟件的選型并保證成功實施;才能應用規劃的結果來保護我們所珍視的信息。應該說信息資源規劃是我們要提供安全策略的前提。[1]
圖1是信息安全技術發展的四個階段,當我們整合了相關信息資源,歷經信息安全技術的各個階段,所缺少的元素便是對于人的信息化水平的要求。
可見,單從信息流向來看,其中的人為干預是必不可少的。因此,保障信息安全更要以人為本,注重網絡管理,加強制度化,形成標準的操作規范及流程。針對企業信息化安全問題,內容應當包括:網絡集成應用系統(包括信息源、信息傳輸網絡的安全)、企業人員信息技術安全(如信息決策者、使用者)、網絡管理人員信息化安全(涵蓋了網絡管理、權限分配等安全管理內容)。企業信息化安全的解決應在立足于人員管理的基礎上,致力于整個企業網絡的管理,并以此為目標規劃與建設安全、實用、高效的信息環境,為企業信息化帶動企業管理現代化保駕護航,推動企業的高速度、可持續發展。
1 網絡集成應用系統安全
本人所在單位的網絡集成應用系統是一個復雜體系,不可能精確地估計防御對象的規模與價值,無法簡單地對其加以標定界限,只有將網絡管理安全保障工作分解,落實到人,采取主動防御方式、方法才是上策。眾說周知,網絡安全信息防御是一個以保證信息整體安全的可預見性、靈敏性、可靠性和連續性為目標的工作,在面對網絡信息空間遭受可能的災難時,我們站在網絡管理者的角度應可以提供可靠的安全保障,同時作為各個信息安全的參與者能夠主動進行預見性的操作。
因此,現代信息技術發展所提出的信息安全問題,比傳統信息安全問題更加錯綜復雜,涉及因素和領域也更加廣泛。計算機系統結構安全的信息防御,注重的是以信息參與者的人作為主角的主動型安全防御。[2]
2 企業人員信息技術安全
企業信息化離不開人的參與,同樣企業信息化所帶來的安全問題也離不開人的關注。“企業注重人才,人才注重管理。”當我們把員工培養成適應企業快速發展、掌握信息技術的人才后,更需要加強信息安全管理,提高計算機應用水平。因為“信息”是企業的重要財富,這一點是勿庸置疑的。信息系統的非安全因素有可能來自外部(以病毒、黑客攻擊的方式),或來自單位內部(來自同事、受信任的客戶等等所有接觸系統的人),工作人員出于好奇心可能會造成更大的威脅。[3]
上面的管理辦法便是從技術角度加強了人員的權限設置,其實最主要的人員信息化安全管理,還是對于配套制度的執行。目前,有關企業信息化標準的爭論有很多,這種標準會隨著技術手段和管理要求的不斷發展而變化。面對變化,企業出臺針對本企業安全級別的管理辦法,結合自身需求進行安全管理才是“以人為本”的上策。
3 網絡管理人員信息技術安全
信息技術安全是企業信息化安全管理的重中之重,這就給網管人員提出了更高的更全面的要求。在實際的網絡管理過程中,網絡管理應具有的功能非常廣泛,包括了很多方面。本人認為,針對我們所面臨的企業信息技術安全,網絡管理應包括四大功能:配置管理、性能管理、故障管理、安全管理。這四大功能是網絡管理的基本功能。事實上,網絡管理還應該包括其他一些功能,比如網絡規劃、網絡操作規范等。其中:
配置管理:自動發現網絡拓撲結構,構造和維護網絡系統的配置。監測網絡被管對象的狀態,完成網絡關鍵設備配置的語法檢查,配置自動生成和自動配置備份系統,對于配置的一致性進行嚴格的檢驗。
故障管理;過濾、歸并網絡事件,有效地發現、定位網絡故障,給出排錯建議與排錯工具,形成整套的故障發現、告警與處理機制。
性能管理:采集、分析網絡對象的性能數據,監測網絡對象的性能,對網絡線路質量進行分析。同時,統計網絡運行狀態信息,對網絡的使用發展作出評測、估計,為網絡進一步規劃與調整提供依據。
安全管理:結合使用用戶認證、訪問控制、數據傳輸、存儲的保密與完整性機制,以保障網絡管理系統本身的安全。維護系統日志,使系統的使用和網絡對象的修改有據可查。控制對網絡資源的訪問。
舉例來說,本人所在單位為盡量減小安全上的漏洞,我們配置管理采用了 VLAN方式,即各個部門劃分為不同的虛擬網段,沒有權限的用戶無法訪問其他網段。
VLAN(虛擬局域網)就是一個計算機網絡,其中的計算機好像是被同一網線連接在一起,而實際上它們可能分處于局域網的不同區域。VLAN更多的是通過軟件而非硬件來實現,因此這使得它具有很高的靈活性。VLAN的一個主要特性就是提供了更多的管理控制,減少了相對日常管理開銷,提供了更大的配置靈活性。VLAN的這些特性包括:①當用戶從一個地點移動到另一個地點時,簡化了配置操作和過程修改;②當網絡阻塞時,可以重新調節流量分布;③提供流量與廣播行為的詳細報告,同時統計VLAN邏輯區域的規模與組成;④提供根據實際情況在VLAN中增加和減少用戶的靈活性。
還有就是:我們的網絡管理可以通過網關(即邊界路由器)控制外來用戶對網絡資源的訪問,以防止外來的攻擊;通過告警事件的分析處理,以發現正在進行的可能的攻擊;通過安全漏洞檢擒來發現存在的安全隱患,以防患于未然。當然,我們這些操作手段可以借助于相應的網絡管理軟件,以提供給我們相關的技術保障。但在實際操作中,我也發現,單用一種軟件是無法實現的。比如IDS、基于SNMP技術的網絡拓撲、資產管理等等,這些技術需要我們一步步加強。還有像加強域的管理,充分利用現有軟件的功能,都是提高我們網絡管理的方式、方法,而這些工作地展開都要基于網管人員的素質和計算機應用水平。
綜上所述,不論是從網絡集成應用系統框架,還是人員信息化以及網絡管理者自身來看,企業信息化安全重在網絡管理,而網絡管理的核心是人,是整個信息化安全的參與者,只有“硬制度、軟管理”相互依托,主動預防、預見網絡不安全因素,讓所有參與者都意識到網絡安全管理對于企業信息安全的重要性,才是我們網絡管理的最終目的和有效保障。
參考文獻:
[1]Steve Riley, Likes fearing occurs simultaneously the manager, Windows IT Pro Magazine, Microsoft Corp,2006(02):30-32.
[2]Microsoft Corp,Microsoft Security Anthology,Microsoft Corp,2003(03):1-20.
[3]侯炳輝,郝宏志.企業信息管理師[M].北京:機械工業出版社,2005(02):76-89.
篇3
1.企業信息化建設的重要性
信息化發展對于企業人員日常的管理,相比較原來舊的方法而言更方便快捷、更高效;對于企業的整體發展的影響,相比較原來用人來發現風險,信息化大數據管控更能提前預知風險并幫助企業更好地解決問題;對于企業組織結構和流程的影響,集成化的網絡信息系統是提高質效的一把利器。但現實使用中,企業的信息化進程存在安全度低、信息泄露嚴重和安全意識低等現象,導致企業和用戶損失大量人力物力,甚至受到巨大損失。由此可見,信息化建設對企業發展有著不可小覷的作用,能比原來的模式更有效處理問題、促進企業發展,是所有企業在發展過程中不可或缺的一個環節。
2.企業信息化建設中的網絡安全問題
2.1網絡安全意識不強
科學技術的不斷發展進步,對于企業發展的影響作用不言而喻,但是,相當一部分企業卻只看到益處卻忽略了“信息安全”的重要性。
近年來,在技術、社會和政府等多方面的努力下,企業的信息化建設發展速度加快,取得很大的進展,其重要作用毋庸置疑,各個企業都越來越重視信息化的進步。但在新聞報道中,經常見到有信息非法獲取、信息交易導致用戶信息泄露,這也是每個企業需要反思的問題。數據泄露、信息是否安全等問題并沒有引起所有企業的重視,嚴重的不僅會導致用戶信息泄露,如果發生企業數據庫被篡改、網絡系統崩潰等事件,給企業帶來的名譽和財產損失不可估量。
2.2技術水平不高
世界范圍內都存在一個不好處理的網絡難題———黑客。企業在信息化發展的過程中,免不了遇到技術問題,由于有關人員或團隊自身的水平不夠和相關方面的經驗的缺失,不可避免會存在某些漏洞和問題,這些漏洞和問題恰恰給了黑客絕佳的機會,讓他們有機會盜取信息。即使是市面上使用的各個“管家”與殺毒軟件也完全檢測不到,對企業的安全構成非常大的威脅。
2.3可使用的高水平軟件少
一方面是供研發企業使用的高水平軟件較少;另一方面是軟件安全度低,很多公司雖然看到信息化發展的好處,但卻貪圖低成本的小利益,花費小成本購買使用安全保護性低的工作軟件,結局只會帶來難以挽回的后果。
3.企業信息化建設提高網絡信息安全性的措施
3.1切實提高企業安全意識
科學技術的進步,促進企業重視信息安全,思考信息安全問題和公司發展之間不可分割的關系,因為信息泄露帶來損失還是小事,如果因此減少了企業競爭力,甚至阻礙了企業發展才是最可怕的結果。因此,企業應當提高安全意識,提前準備對策、制定應對突況的策略,防止信息泄露等潛在威脅,將威脅扼殺在搖籃之中。通過建立高技術水平的團隊,運用專業知識和工作經驗切實增強防火墻安全度,定期維護信息系統,從源頭的技術傳輸階段維護信息安全,建立完善的信息保護制度,以此來保護信息安全、促進企業發展。
3.2提高信息系統的管理水平
雖然現在大家都在普遍使用《金山毒霸》《騰訊管家》等安全防護軟件,但是這些軟件也不能保證絕對的安全。改革舊的風險評估模式,健全信息篩選管理安全體系,在一定程度上可以提高安全系統等級、減小信息被盜的風險,在信息系統建立過程中,及早發現風險并妥善處理對企業發展尤其重要。
3.3使用安全性高的軟件
歸根結底,所有的安全問題都是安全性低所導致的。雖然說沒有絕對安全的東西,但是相比于安全性低的軟件,安全性越高的軟件,保護能力也越強,能更好地保護信息安全。因此,企業千萬不能貪圖小利益使用低防護級軟件,保護信息安全,維護自身發展利益才是最重要的。
篇4
【關鍵詞】信息化建設;安全管理;授權
【中圖分類號】TU714 【文獻標識碼】A 【文章編號】1672—5158(2012)08—0255-02
0.引言
隨著信息技術的不斷發展以及市場競爭的不斷激烈,企業信息安全建設已經成為提高企業競爭力的重要途徑,杜絕信息泄露可以避免巨大的經濟損失。雖然大多數企業在信息安全管理方面采取了較多的措施,但是信息安全問題仍然頻發,對于企業的經營活動帶來巨大的損失。加強企業內部的計算機管理,提高對于信息安全的認識程度,保證信息數據庫的安全,避免信息泄露的發生已經成為現階段企業信息化建設亟待解決的管理問題。
1.企業信息化建設信息安全影響因素分析
(1)信息系統實體安全。信息實體主要包括用于企業信息化建設的計算機、網絡連接、服務器等媒介硬件設施,對于信息實體安全影響因素主要包括火災、水災、失竊或者是其他事故造成設備硬件的損壞,從而造成企業信息庫數據安全出現問題。
(2)信息系統運行安全。信息系統的安全是指為了保證企業信息數據庫的安全,采取各種措施對系統運行進行安全保護。由于信息數據庫有可能受到非授權的訪問、泄露、數據纂改或者是被其他非法程序控制的威脅,因此確保信息系統運行安全主要是保證信息數據庫的完整、保密以及時時可用性。
(3)信息系統管理人員安全責任意識。管理人員在日常工作中的安全管理意識、專業操作水平以及法律意識等均會對企業信息數據的安全產生影響。信息安全管理人員的日常管理工作責任心以及工作方式方法,對于保證信息數據庫的安全十分重要。
2.企業信息安全管理問題分析
目前由于管理制度以及軟硬件設施等一系列的問題,企業數據庫破壞以及重要數據信息泄漏的現象時有發生,嚴重影響了企業的正常生產經營活動,通過分析發現影響企業信息化建設信息安全的問題主要由以下幾方面:
(1)企業內部移動存儲設備管理疏松,缺乏安全保密管理制度。由于許多企業在日常管理過程中,移動存儲設備使用較多,員工可以隨意對企業內部的各種信息資料進行備份,企業用于經營活動的客戶信息、產品設計、財務管理等各項信息極易造成泄漏,帶來巨大的信息安全損失。部分企業由于對于信息安全管理認識程度不足,企業內部信息安全管理缺乏必要的規章制度,安全管理職責權限不清,信息安全漏洞較多。
(2)對于內部信息共享控制不嚴格,信息安全管理權限混亂。由于企業在生產經營過程中為了提高生產經營效率以及加強企業內部各部門之間的溝通聯系,對于一些設計企業銷售計劃、客戶信息以及生產計劃等文件采取共享的措施,因此企業員工的流動或者其他管理不當均會造成企業信息的泄露。
(3)信息權限管理混亂,企業的中介服務體系穩定性較差。對于加密的授權訪問,權限管理則成為保護企業信息安全的重要因素。但是由于企業在信息安全管理過程中體系混亂,操作權限不清晰導致經常出現影響信息安全的非授權訪問。而且對于部分中小企業由于信息化建設采取對外委托的方式,而中介第三方由于穩定性難以保證,隨時更換或者退出的第三方極易造成企業有價值信息的泄漏,影響企業信息安全建設。
(4)信息管理安全防范體系不健全,缺乏針對信息安全管理的專業技術人才。雖然部分企業已經認識到信息化管理的重要性,并在企業網絡內設置了必要的安全設備。但是缺乏一系列的安全管理機制,在信息安全管理方面缺乏行之有效的整體規劃與具體落實措施。此外,由于大部分企業在信息安全管理工作中將重點放在軟硬件設施上,而忽略了對于信息安全技術人員的培養,而且為了減少人力資源支出成本,信息安全管理人員少工作任務重,管理權限集中化程度高,影響了信息化建設的安全管理。
3.企業信息建設信息安全管理措施
(1)加強對于信息庫硬件設備的保護管理。首先應保證計算機等硬件設備具有安全的工作環境,做好計算機設備的防火、防潮、防盜措施,并避免強磁環境對信息數據可能造成的損壞。其次,在對各種硬件設備進行檢修時,硬組織企業內部相關技術人員進行監督管理,對于需要外送檢修的設備,則應提前進行數據加密處理。
(2)提高企業內部的信息安全管理意識。企業信息安全管理對于提高企業競爭力,避免企業經濟損失具有重要的意義。在企業的正常管理過程中,加強信息安全宣傳工作,使員工充分認識到企業信息安全管理的重要性,并熟悉企業相關信息數據保密的規則制度,提高企業的整體信息安全防范水平。
(3)加強信息安全操作管理人員的管理。在企業信息日常管理過程中,應加強對于業務操作以及數據存取控制代碼的管理。系統管理操作代碼的獲得應經過企業管理者授權,系統管理人員在進行企業相關信息數據庫的整理以及維護過程中,必須通過授權進行。系統管理人員離開工作崗位后,相關責任人應及時更換管理員操作代碼。
(4)加強企業信息數據庫的密碼與權限管理。對于涉及到企業信息數據庫安全的密碼,應分別設置用戶密碼以及操作密碼,并提高密碼的安全程度,及時定期更換登陸操作密碼。對于組成企業內部局域網絡的服務器、路由器等設施的設置管理工作,應嚴格按照相關管理規定進行設置。
(5)明確企業信息數據庫管理制度。對于企業重要的數據應存放備份數據,并采取異地存放的方式對備份數據庫進行管理。對于廢棄或者需要銷毀的數據信息,應嚴格依照程序采取逐級審批的方式,避免數據信息的泄露。需要進行數據恢復工作時,應嚴格按照相關技術手冊,并對恢復的數據進行驗證確認數據的完整可用。
(6)加強企業信息數據機房的管理。相關人員出入信息數據庫機房進行數據查閱以及提取工作時,應經由相關主管人員的授權,并登記進入。在日常管理過程中,定期對硬件設備進行保養,同時研究違章操作在信息數據機房安裝外部其他軟件。
參考文獻
[1]沈路鐵路信息系統安全風險評估研究[J]-鐵路計算機應用2011(6)
篇5
【關鍵詞】網絡安全;信息化建設;需求分析;解決方案
1、企業信息化建設概述
企業信息化建設就是利用先進的科技手段把科學的管理思想融入到企業的日常經營管理之中,在管理的過程中實現對成本、業務、物流、財務和客戶關系等各個環節的科學管理。目前,國內企業信息化建設取得了一定的成績,積累了一定的經驗,但是企業的信息集成優勢建設還不完善,網絡技術的效率和便利性還沒有在企業信息化建設中體現出來。企業信息化是一個完善的、嚴密的信息系統,各個業務環節數據的完整性和準確性影響著數據處理的及時性和可靠性,因此,企業信息化建設建立在準確、完善的基礎數據之上。信息化建設的安全是一個綜合的系統工程,總體安全取決于系統中所有環節中最薄弱的環節,因此,信息化建設要全面考慮,不斷完善,同時還要對系統進行安全評估,發現不安全的因素后及時調整安全策略。
2、企業信息化系統需求分析
2.1系統需求分析
企業信息化建設首先要分析企業原有的系統現狀,找出存在的問題,例如分析企業郵箱系統、門戶網站、人力資源管理系統、報表系統、財務管理系統、經營分析系統和業務運營支撐系統等各個系統的現狀,找出網絡設備、監控管理機制、認證方式和病毒防護等各方面存在的問題,針對未來企業發展的需要,對企業信息化系統做出全面、詳細的需求分析。
2.2網絡需求分析
網絡需求分析要結合企業的IT現狀和本省的IT總體規劃需求,設計中心機房的位置和部署模式,一些大型的企業如果有分公司的話,還要考慮子公司到中心機房的網絡建設。在網絡需求分析中關鍵的點是IT基礎設施的建設,例如要明確信息系統的網絡帶寬需求、各種主機設備等硬件資源;考慮企業信息化網絡和Internet相連的方式和安全措施;機房的選址、設計和施工要點等;ADSL VPN線路、專線線路和樓內線路的綜合布線和施工。特別是機房的空間要留有一定的余量,主機設備要留有一定的擴展空間,設備的選型要考慮到企業未來五年的性能需求增長。
2.3安全需求分析
安全需求分析包括以下三方面:
1、物理安全風險分析。物理安全是企業信息化建設中網絡系統安全的前提,物理安全風險主要包括火災、地震、電源故障、設備被盜、電磁輻射和報警系統設計缺陷等導致的事故發生。
2、鏈路傳輸風險分析。鏈路傳輸風險和各個局域網中采用的布線方式有關,例如當采用UTP非屏蔽布線時,就會存在網絡信息通過電磁輻射泄露的風險。
3、網絡結構安全風險分析。網絡結構安全風險主要包括來自外部網絡的安全威脅、內部局域網的安全威脅和網絡設備的安全隱患三方面。
3、企業信息化建設安全解決方案
3.1網絡邊界安全防護
對于簡單的安全控制,由路由器作網絡層的初步安全保障,通過配置路由器的訪問控制列表,過濾不要的信息流。對于復雜的信息網絡,安全控制要通過防火墻來實現。通過制定相應的安全策略,防火墻控制用戶的訪問權限,通過開啟服務器需要使用的端口,關閉非法使用的端口,控制網絡安全。通過配置防火墻實現以下功能:
1、通過配置IP地址、端口、協議等參數,允許內網中的部分用戶訪問外部網絡,其他用戶則無權通過防火墻訪問外網。
2、對一個端口、一組IP地址或應用協議設置最小帶寬或最大帶寬,通過對網絡流量的控制實現網絡資源的優化配置,從而提高網絡效率。
3、通過URL地址、不良關鍵詞和網頁分類過濾不良內容。
3.2入侵檢測與防御
入侵檢測可以擴展管理人員的安全監視、審計、攻擊識別等安全管理能力,幫助信息化系統應對網絡攻擊,從而提高系統安全基礎結構的完整性。入侵檢測是一種主動地安全防護技術,被認為是在防火墻后的第二道安全門,它通過記錄事件、阻塞網絡連接和報警功能等,在網絡安全受到侵害前進行攔截。
對于完善的入侵檢測系統而言,不僅能讓系統管理人員了解網絡系統的變化,還能為管理人員提供網絡安全策略,從而實現網絡的多層次、立體保護。通過實時檢測服務器服務的用戶信息、網絡數據流量、網絡負載容量等內容,警告信息給管理人員、通過各種規則配置阻止黑客入侵,跟蹤并定位黑客的攻擊位置。入侵檢測與防御可以通過旁路IDS和在線IPS兩種方式實現。旁路IDS的缺點是阻斷效果差,線IPS會產生延遲,但是阻斷能力強,為了充分發揮二者的優勢,可以進行可以的配置,在安全和性能之間找到一個良好的平衡。
3.3安全漏洞掃描與評估
安全漏洞掃描最能全面和直接地找出企業范圍防火墻、數據庫服務器、網絡服務和應用服務器等的安全現狀,通過找出安全漏洞,然后根據不用的風險等級,制定出相應的修補辦法。掃描器又分為漏洞掃描器、系統掃描器和數據庫掃描器三種,漏洞掃描器掃描的對象主要是服務器、網絡打印機、工作站、防火墻、路由交換機等網絡設備,通過找出網絡設備存在的弱點,及時制定安全策略;系統掃描器通過比較實際的主機配置,全面分析企業內部操作系統的安全風險,例如不適當的用戶權限,缺少安全補丁,不正確的登錄方式等;和數據庫掃描器通過定期地掃描數據庫,檢查數據庫中存在的安全漏洞,通過運行審核程序提供安全風險報告。
3.4防病毒系統
在企業信息化建設中防病毒系統應該采取預防為主、全面防護的對策,要采用多平臺多方位的防病毒產品,滿足安全系統全面防范的目的。防病毒系統主要采用的方式有:
1、單機病毒防火墻。該方式主要適用于沒有聯網的單個計算機。
2、服務器病毒防火墻。由于服務器為所有工作站提供數據共享,因而會成為病毒攻擊的理想場所,因此服務器病毒防火墻為企業網絡中最為常見的。
3、電子郵件服務器病毒防火墻。通過對郵件進行病毒掃描工作,防止服務器不受病毒侵害,同時也防止郵件交叉感染病毒。
4、網絡殺毒服務器。該方式是基于Web的、實時的、可集中控制的反病毒解決方法,在病毒爆發期,管理人員首先更新病毒庫,然后對整個企業進行病毒掃描。
篇6
關鍵詞:新形勢;石化企業;安全管理
近年來隨著國際局勢的不斷惡化,國際油價也產生了劇烈的變化,這對我國石油化工企業的正常經營與發展帶來了很不利的影響。在市場經濟下,我國的石油化工企業以利益的最大化為指導思想,這就對石油化工企業的安全管理提出了更高層次的要求。為了石油化工企業在新形勢下正常生產的展開,石油化工企業必須防范于未然,采取新的手段保證石油化工企業在安全生產中獲得更多的經濟效益。
1新形勢下石化企業安全管理的指導思想
在我國國內石油化工企業生產中,安全是居于一切之上的頭等大事,為了在新形勢下進一步推進我國石油化工企業安全化程度的提高,我國石油化工企業應以過去的成熟理論與成功經驗為基礎,參考國際上較為成熟的安全生產標準,用以促進我國石油化工企業安全化程度的提高。在這個過程中,石油化工企業需要提出符合國際慣例、標準運作,符合中國國情并以創造最大化生產效益為目標的相關石油化工企業安全管理的指導思想,只有這樣才能保證新形勢下石油化工企業的安全管理及正常發展的有序開展,促進我國石油化工相關行業的再次進步。在石油化工企業加強自身安全管理的過程中,要正確處理好實際國情與國際慣例之間的矛盾,不能在安全管理的加強中全盤西化,認為國際上規定的就是符合中國的。石油化工企業在安全管理的加強中需要明確我國實際國情,盡可能在國家可以接受的范圍內與世界接軌,提高我國石油化工行業的國際化程度。
2新形勢下石化企業安全管理的具體措施
2.1建立安全生產風險評估與控制相關組織想要在新形勢下提升我國石油化工企業的安全管理,這份工作不是一兩個人拍拍腦子就能解決的,而是必須由一支專業的安全生產風險評估與控制的團隊進行全面的研究、系統的協作。如果石油化工企業只靠幾個人就妄想提高石油化工的安全管理程度,很容易出現風險辨識不全不準、評估結果不符合實際、風險控制措施使用不當等情況的發生,對我國石油化工安全化程度的提高將帶來很不利的影響。我國的三家石油公司:“中石油、中石化、中國海洋石油”在安全管理方面存在很大的共性,雖然它們之間既有合作也有競爭,但事關國家石油安全生產方面的重大問題,國家有必要派出相關部門的專業人員督促三大石油企業共同組織石油化工安全管理風險評估與控制的相關組織,各個石油公司在組織中分享彼此的安全管理經驗,共同商討石油市場中的相關安全對策,通過取長補短,各個石油公司能夠在不斷交流中提高自身石油化工生產中的安全化程度,這些在不創建三大石油企業聯合的相關組織前是很難做到的。
2.2建立一支專業化高素質的安全管理隊伍想要提高石油化工企業的安全管理程度,保證石油化工企業各安全工作的落實到位,就必須擁有一支高素質的安全管理團隊。在對自身安全管理程度的提高中,石油化工企業必須轉變自身的傳統觀念,運用先進的國際石油生產安全理論與成果進行自身企業的安全管理創新。在這個過程中,一些文化水平較低、缺乏相關安全生產觀念的管理人員很難適應企業安全化程度的提升,這就需要企業對相關員工進行安全教育培訓,將對相關員工安全素質的培養放在企業運營的重點環節,只有通過安全教育,培訓出高素質的安全管理團隊,才能從根本上提高石油化工企業的安全管理水平。
2.3對員工進行更全面專業的員工安全培訓只有讓企業中每一名員工清楚認識到我國石油化工企業遭受的國際、國內形勢沖擊,認清當前新形勢下石油化工企業面臨的機遇和挑戰,才能從根本上提高員工的危機意識,并以此提高我國石油化工企業的安全管理程度。石油化工企業在培養員工危機意識中,可以采取印發相關資料、召開專題講座、外出培訓等多種形式,將國內新形勢下國家倡導的法制觀念、生命價值觀念灌輸到每一名員工的腦海中,將國際中流行的HSE體系的理念和方法落實到實處,以此杜絕石油化工企業生產中重大惡性事故的發生。
2.4堅持走可持續發展的社會主義發展道路石油化工企業在自身發展中,必須走在國家規定的可持續發展的道路上,實現石油化工企業創造的經濟效益與社會效益相協調、相均衡的發展,并在發展中注重資源配置與投入產出之間的最大效益,以質量為長遠發展的重點關注對象。石油化工企業在具體生產中,不可以只追求生產速度,而忽視了對生產安全的相關要求,石油化工企業應該加大對企業生產中的安全、衛生等設施的資金投入力度,雖然這會造成企業生產成品的增加,但從長遠角度考慮,相關建設能夠大大降低石油化工企業生產中出現重大惡性事故的幾率,使員工工作的安全性大大提高,員工工作安全有了保障,自然就會提升其勞動效率,石油化工企業也能因此得到進一步發展。
3結語
在新形勢下,國家對石油化工企業的安全管理提出了新的要求,石油化工企業必須通過對自身安全化程度的全面提升,才能適應如今國際、國內市場競爭的加劇,促進我國石油化工行業的可持續發展。
參考文獻:
[1]高貢林.新形勢下石油化工企業安全管理新舉措[J].石油天然氣學報,2009,04:412~414.
[2]常云海.石油化工企業安全文化建設體系構建與應用研究[D].首都經濟貿易大學,2014.
篇7
[摘 要] 信息安全審計系統針對互聯網行為提供有效的行為審計、內容審計、行為報警、行為控制及相關審計功能。從管理層面提供互聯網的有效監督,預防、制止數據泄密。滿足用戶對互聯網行為審計備案及安全保護措施的要求,提供完整的上網記錄,便于信息追蹤、系統安全管理和風險防范。
[關鍵詞] 安全;信息系統;審計;虛擬化
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2017. 07. 028
[中圖分類號] F239.1 [文獻標識碼] A [文章編號] 1673 - 0194(2017)07- 0058- 04
1 引 言
隨著信息技術的高速發展,企業業務對于IT系統的依賴性不斷增強,信息和業務交付的靈活性與信息安全保護、防止泄露成為實際工作中的矛盾,企業IT運營既要滿足業務發展對業務交付靈活性的要求,又要防止信息泄露,因為信息安全問題關系到企業的聲譽,同時關系到企業的經營風險,更關系到國家的機密信息安全。
2 目前化工行業信息安全風險分析
2.1 化工行業信息化發展趨勢
石油化學工業是基礎性產業,在國民經濟中占有舉足輕重的地位,是我國的支柱產業部門之一,化工行業之所以重視信息化工作,首先與2015年總理提出的“互聯網+”的大發展背景密不可分,工藝流程的制定、化工裝置的運行、化工產品的銷售都高度依賴于信息化、互聯網技術;其次是從化工行業的自身特點衍生出來的,其產品數量多、種類多,產品各個環節的各個控制點特別多,這就要求用信息化技術能夠對化工生產中的各個環節產生積極和促進作用。
2.2 化工行業信息安全管理的現狀和挑戰
因為信息安全管理的要求,在網絡管理層面,石油系統內的企業已經建立了完善的內、外網隔離的管理平臺,兩個網絡完全物理隔離,不能互相訪問;石油系統內還部署了病毒防御、主動攻擊防御系統(Symantec Endpoint Protection),保密安全,漏洞防護等一系列安全防護系統,看似已經建立了一個信息非常安全、固若金湯的基礎架構。但在實際業務發展中,仍然存在一些隱患,不容忽視,面臨挑戰。
一方面企業的業務已經非常依賴信息系統,因為業務發展需要急需把內網系統交付到外網去,即人員在出差過程中能處理內網的業務。現有的內外網隔離架構,只有特權用戶能夠進行辦公,為新的用戶授權又需要經過一系列嚴格的程序,交付周期相對較長,因此不具備實現業務交付的靈活性。
另一方面,即使建立了內外網隔離的架構,也不能從根本阻止信息泄露,而且對于信息泄露事件也不能做到追本溯源,以避免類似事件發生。據全球權威的調查機構報告顯示客戶發生的信息泄露75%來自系統內部網絡,而且超過50%的信息泄露沒有找到信息泄露的源頭。外網通過入侵,只能獲得企業非關鍵信息;而對內網進行的各種違規操作,才是最致命的,給企業帶來巨大的經營風險。所以即使進行了完全隔離,也不能杜絕信息泄露,內部網絡的信息泄露主要來自于以下三個方面(見圖1):
(1)由外包服務公司員工引起信息泄露。伴隨著IT系統越來越復雜,客戶本身很難成為各種應用系統、各種管理系統的專家,往往采用服務外包方式進行管理,現實的問題在于,由于沒有一套完善的監控、審計機制,外包服務公司人員究竟在管理平臺上修改了什么,平臺上的數據被是否被保存到了IT服務外包人員本地電腦上并被泄漏出去,是否有危及系統安全和數據保密的操作都不得而知,出現人為操作故障后,追溯問題根源存在爭執,追究責任困難,這就成為了信息泄露的最大漏洞。
(2)由內部IT人員引起信息泄露。在IT系統管理過程中,IT管理人員通常有非常大的權限,如何管理和評估這些人員在日常工作中是否有超過權限的操作,怎么清晰地知道哪個IT人員什么時間做過什么操作,都是擺在企業面前的現實問題。
(3)由內部業務人員引起信息泄露。業務人員因為直接掌握了企業財務、設備、銷售、物料、物流等各個方面的數據,也是信息泄露的關鍵因素之一。
3 建設審計系統的意義
由于企業信息安全管理存在外包服務公司員工引起信息泄露、炔IT人員引起信息泄露、內部業務人員引起信息泄露的情況,因此圍繞業務系統需要建立可控的、有序的安全架構,以防止和杜絕任何企業數據泄漏的隱患,通過使用信息內容審計系統能夠在已建立起的網絡安全平臺上再增加一道安全防護屏障,從而實現真正完善的信息安全防護體系,這對企業的信息化發展具有重要意義,使用信息內容審計系統的具體價值體現在以下幾點:
(1)審計敏感信息接觸者,如IT管理員、業務人員、外包公司員工,他們都需要通過審計管控平臺,才能獲得信息系統的訪問、管理權限,獲得其需要的應用和數據,如此便可實現從源頭上防范信息數據的泄露。
(2)IT管理員、業務人員、外包公司員工的所有操作行為可以通過回放錄像的方式進行檢索,從而捕捉到關鍵行為、操作,對于出現的信息泄露等重大問題,責任范圍可追溯,做到有依可循、有據可查。
(3)對于系統故障,誤刪除等操作造成的數據丟失可以通過操作行為錄像回放,找出故障原因,找回丟失的重要數據,從而保證企業的財產不受損失,保證企業的名譽不受損失。
4 審計的方法、特點
審計系統綜合了核心系統運維和安全審計管控兩大主干功能,從技術實現上講,通過切斷終端計算機對網絡和服務器資源的直接訪問,而采用協議的方式,接管了終端計算機對網絡和服務器的訪問。目前普遍采用的審計方式有兩種,一種采用一體堡壘機的方法,一種采用服務器、審計軟件兩層架構的方法。
4.1 一體堡壘機功能
(1)單點登錄功能:支持對Windows、LINUX、UNIX、數據庫、網絡設備、安全設備等一系列授權賬號進行密碼的自動化周期更改,簡化密碼管理,讓使用者無需記憶眾多系統密碼,即可實現自動登錄目標設備,便捷安全。
(2)統一的賬號管理:能夠對所有服務器、網絡設備、安全設備等賬號進行集中管理,化繁為簡,實現對維護管理員的統一審核。
(3)資源授權:設備提供基于用戶、目標設備、時間、協議類型IP、行為等要素實現細粒度的操作授權,最大限度保護用戶資源的安全。
(4)訪問控制:設備支持對不同用戶進行不同策略的制定,細粒度的訪問控制能夠最大限度的保護用戶資源的安全,嚴防非法、越權訪問事件的發生。
(5)操作審計:能夠對字符、圖形、文件傳輸、數據庫等全程操作行為審計;通過設備錄像方式實時監控運維人員對操作系統、安全設備、網絡設備、數據庫等進行的各種操作,對違規行為進行事中控制。對終端指令信息能夠進行精確搜索,進行錄像精確定位。
4.2 審計軟件功能
新一代的審計軟件克服了傳統堡壘機的很多不足,如專用硬件不易維修、升級困難、不能實現應用和數據管控、不能對圖像操作進行檢索等,在繼承了傳統堡壘機的基礎上又具備以下優點:
(1)應用管控。實現獨立管控,不同人員獲得使用不同應用程序的權限。
(2)數據管控。無論局域網操作者還是廣域網遠程操作者,在審計環境下可以看到數據,使用數據,但無法下載數據。
(3)高安全性。以客戶端/服務器方式運行,將用戶行為變為可視、可跟蹤、可鑒定,保護重要數據的安全。
(4)集中審計,審計無盲點。實現集中審計、集中訪問控制,對于企業重要系統和數據的管理,有非常重要的價值;
(5)準確追溯歷史。在服務器上部署審計軟件的科學方式能夠將來訪人員的行為完整的記錄,并保存在服務器上,審計人員能夠按照其想調查的時間點、調查的操作人、調查的內容進行選擇,通過清晰的視頻回放準確的定位操作行為。
(6)行為分析報表。能夠提供準確、詳細的審計報表,直觀的展現歷史過程。
此外,新一代的審計軟件還具備更為可靠、先進的核心業務非法訪問監測、惡意程序篡改進程、關鍵數據的訪問監測、多維度的行為分析和查詢、云終端用戶操作等行為審計等功能。
5 審計系統的建設
鑒于石油化工系統的信息安全、數據保密的重要性,在設計企業信息安全防護系統時要充分考慮到架構是否能夠有效的起到安全防護作用、規范作用,是否能夠為企業運營節省成本、提升企業運營效率等因素,因此在設計架構時要打破傳統安全防護的壁壘,在創新發展與嚴密管控之間找到平衡點,充分發揮出架構的優勢。
5.1 架構組成
架構由三個部分組成,分別是客戶部分、集中訪問控制部分、信息系統部分(見圖2)。
(1)客戶部分,包括IT管理人員、IT運維人員、IT外包人員、審計人員等。
(2)集中訪問控制部分,這里是審計系統的核心控制區,包括行為審計應用產品、審計數據存儲產品、訪問控制程序區(SSH、Putty、SecureCRT、遠程桌面等)。
(3)信息系統部分,包含企業的各個生產、銷售、物料等信息系統。
5.2 架構設計
方案采用應用虛擬化技術+智能審計解決方案,采用行業中技術領先的CitrixXenapp+AuditSys審計產品,構建一個安全的集中訪問平臺,將用戶與信息系統分隔開。
首先建立XenApp平臺,將遠程服務器和客戶機上的應用程序部署到XenApp平臺上,客戶端設備只需通過IE就可以運行應用系統,多用戶同時訪問時,由XenApp管理應用客戶端軟件的多進程訪問,并控制向不同用戶的權限,服務器與客戶端之間的數據傳輸只是屏幕變化和鼠標鍵盤的指令信息,而不傳輸任何實際操作數據,真實的數據傳輸發生在XenApp平臺與信息系統部分之間,從安全性角度分析,這種安全性接近于物理環境隔離。
然后在XenApp平臺上部署AuditSys產品,實現審計任何通過Xenapp平臺訪問的用戶會話,也可以審計任何通過遠程桌面、終端服務、PCANYWHERE等遠程協議訪問過來的會話,也可以審計通過KVM或者通過本地登的用戶會話,通過與Citrix XenApp的無縫集成,不僅可以構建一個安全的遠程集中訪問平臺,還可以對所有的用戶會話,管理員維護操作等用戶行為進行審計。
所有的行為審計過程需要完整的記錄并保存,這里部署了Auditsys App Server,保存了Auditsys記錄的完整的行為過程,為檢查人員、審核人員的安全檢查提供可靠依據。
5.3 架構優勢
XenApp集中化方法將所有應用程序和數據存儲都集中在數據中心服務器上,并把數據的管理嚴格控制在數據中心。
該方法從安全角度和先進角度出發,在安全防護方面做到了數據的不可復制,在該架構下,只有用戶界面、鍵盤敲擊和鼠標操作等小量交互信息通過網絡傳輸,且都是經過加密處理的。
XenApp上的應用程序需要上層管理者授權才能使用,保證了應用的管控和規范使用。
客戶部分使用計算機在完成數據操作時,只能夠看到所使用的數據,真正的數據依然存放在集中訪問控制部分和信息系統中,充分做到了數據的安全防護。
AuditSys具備功能強大的數據搜索引擎,支持細化的組合查詢、多條件選擇查詢,幫助用戶快速完成記錄搜索。
6 總 結
信息化是企業工業生產的重要驅動力,是企業可持續發展的重要因素,互聯網+工業是未來工業發展的方向,且工業信息化發展的前提又是信息安全,因此,企業信息安全防護系統做的好不好,企業信息安全管理規范,直接作用于企業的工業信息化發展,進而影響企業的發展動力、產品創新、技術產品等多個方面。而信息安全體系中,人員的管控的是最復雜、最困難的,信息工作中,能否通過有效的安全系統及時有效的發現、制止信息泄密事件,做到未雨綢繆;能否在發生泄密事件后,準確的查出泄密原因,找出泄密人員,亡羊補牢,這尤其需要企業在信息安全工作中重點考慮,以保證企業的信息安全防護系統堅固、夯實,以保證企業的信息化發展健康、穩步。
主要參考文獻
[1]鄧小榕,陳龍.安全審計數據的綜合審計分析方法[J].重慶郵電學院學報:自然科學版,2005(5).
[2]許霆,袁萌,史美林.網絡監控審計系統的設計與實現[J].計算機工程與應用,2002(18).
[3]鄧瑛,常國岑.網絡安全監控與審計系統的設計與實現[J],計算機工程,2002(12).
[4]張俊良.基于信息過濾的網絡安全審計系統的研究與實現[D].西安:西北大學,2009.
[5]曹暉,王青青.新型數據庫安全審計系統[J].計算機工程與應用,2007,43(5):163-165.
[6]王淵,馬駿.一種基于入侵檢測的數據庫安全審計[J].計算機仿真,2007,24(2):33-36.
[7]高彩容.基于數據挖掘的網絡安全審計技術研究[D].西安:西安電子科技大學,2008.
[8]韋猛,程克非.基于主機信息內容審計系統的設計與實現[J].重慶郵電大學學報,2008,20(6):725-728.
[9]范紅,邵華.應用系統安全審計檢測研究[J].信息網絡安全,2012(8):170-172.
篇8
[關鍵詞]網絡安全;信息化;數據信息
1企業信息化建設集成的重要性
首先,在企業管理上具有重要現實意義。在企業的經營和發展過程中經營的業務越來越多,區域越來越廣泛,導致企業管理任務越來越復雜和多樣,企業內部的組織結構和流程控制體系越來越完善,這都是因為信息化建設集成發揮了重要作用,其還促進管理服務和觀念朝著信息化的方向發展。其次,企業信息化建設符合時展的潮流。如果想讓集成化效率達到最高水平,就需要對傳統的管理模式進行創新和發展,避免在集成化效率提高的同時帶來一些嚴重的問題和風險,例如:現場安全管理和對管理人員的裁減等,企業必須在網絡信息技術和計算機技術發展飛速的今天,對內部管理體系進行創新和改革,挖掘各組織和員工內在潛能和上升空間,在激烈的市場競爭中提升企業自身的活力與優勢,從而將企業的經濟收益上升到最高峰。第三,信息化建設集成具有自身獨特的優勢。大型公司集團會運用最新的互聯網數據和先進的計算機技術創建一個管理信息平臺,通過這個平臺將在生產和管理方面的數據信息進行共享和聯動,利用相關軟件和系統將公司管理朝著集成化、信息化方向發展,有效地為公司的管理層提供決策理論支持,避免公司集團內部組織結構和人員冗雜,有效提高運營各環節的工作效率,以提供高質量、高效的服務。
2企業信息化建設集成中存在的網絡安全問題
在利用現代網絡信息平臺對企業相關數據進行優化整合時,網絡安全方面還存在一定的問題,企業相關信息和資料很容易受到網絡攻擊,系統很容易被黑客入侵,導致數據和信息被竊取或者丟失,這些問題都不利于企業的現代信息化建設集成和正常的運營發展。從外部環境來看,日益競爭的市場環境是造成網絡安全管理的大環境因素,隨著時代快速的發展和科學技術的進步,一些不法分子會利用黑客技術和網絡病毒竊取企業內部的數據資料,并通過出售來牟取巨額利潤,這種情況若得不到有效控制和整改,會導致企業網絡安全環境日益惡化。其次,從企業的內部因素出發,企業信息化建設集成出現網絡安全問題是因為企業自身沒具備成熟的網絡信息安全理念,沒有采取相關的措施保證自身的網絡信息安全,所以企業相關意識的缺乏使黑客有機可乘,他們簡單操作就能獲得企業內部的數據信息。總之,缺乏一定的網絡信息防護手段和對員工的網絡信息安全培訓,會導致企業在信息化建設集成中受到更大的網絡信息安全威脅。
3保障企業信息化建設集成中網絡安全的措施
3.1創建企業信息安全標準
針對企業信息化建設集成中可能會出現的病毒入侵、非法訪問和信息竊取等問題,筆者提出了一些加強網絡安全的措施。首先,要建設一個信息化安全相關標準。當企業應用現代計算機網絡技術,尤其是計算機集成制造系統時,要創建一個高效、高質量的企業信息化機制和信息安全標準,保證所有信息工作都具備標準流程,例如:我國現已存在的信息安全管理度量機制和測量措施,能夠促使企業在運用網絡信息平臺時,提高自身的信息管理水平,從而保證企業在日常運用中能夠順利、安全地開展相關信息交流和信息傳遞工作。
3.2運用先進的網絡安全技術
要引入現代網絡安全技術,包括防火墻技術、入侵檢測技術信息加密技術、訪問控制技術等。防火墻技術是指將計算機與外部建立一道隔墻,防火墻技術包括網絡級防火墻與應用級防火墻兩種,網絡級能夠有效防止網絡中的非法入侵,應用級防火墻技術是全方位地防護相關應用程序,使用起來比較簡單還能夠有效防止病毒入侵和非法訪問。兩者的防護能力與防護范圍不同,因此在使用過程中需要將兩者融合發揮作用,在動態防護、屏蔽路由和包過濾的基礎上,更好地發揮防火墻防護技術。入侵檢測技術是一種辨別網絡系統的使用是否是惡意行為的技術,其在動態中對網絡進行相關檢測,及時發現非法訪問行為和未授權的活動并反映給計算機用戶,將軟件與硬件融合起來共同對數據進行分析和作用,在瑣碎和繁雜的數據處理方面不再需要人工操作,減少人力和資源的浪費和管理成本。但從整體來看,效果不如防火墻技術,也不能夠完全代替防火墻技術。信息加密技術包括對稱加密與非對成加密兩種,且隨著時代的發展不斷優化升級。該技術主要是為了避免數據被非法竊取,對相關重要的信息資料進行加密處理,降低數據資料丟失和泄露的概率,從而在數據傳遞和資料存儲中保證數據資料的完整性和安全性。訪問控制技術是指通過檢測訪問者的信息在網絡中保證網絡資源的安全,包括高層和底層訪問控制兩種訪問模式,前者是檢測資源種類、用戶權限和用戶口令,后者是指通過通信協議中的信息判斷訪問者是否合法,并作出相關反應。
3.3提高企業網絡安全管理水平
現代化企業集團在發展信息化建設集成過程中還存在很多網絡安全隱患,但是傳統管理模式已經明顯不適用于目前的發展情況,網絡安全受到了更大的威脅,造成的經濟損失也較多,所以必須提高企業的網絡安全管理水平。首先,要提高企業網絡信息化系統管理水平和管理效率,要讓企業內部包括員工和管理層都建立起網絡安全管理的觀念,創建一個成熟、完善的網絡安全管理平臺,樹立現代化的網絡安全管理意識,從而能夠及時解決企業運營和發展過程中存在的問題,將企業發展中重要的資料信息利用網絡技術實行集中性存儲。另外,要對所有員工進行網絡安全培訓和再教育,提高員工的綜合素質水平,以規范員工對信息化系統的具體操作,將企業重要數據信息進行加密處理和備份處理,企業要營造一個安全、穩定的網絡安全環境,防止網絡病毒和黑客的入侵。其次,企業要使用有效、實用的安全防護軟件,例如,目前市場上的金山毒霸、360殺毒軟件都得到了廣泛運用,企業要根據自身具體情況選擇一個有效的防護軟件抵制外部非法入侵,設置好相關的安全管理權限,創建一個完善、嚴密、分層的安全管理權限體系,在用戶登錄和用戶訪問環節都要設置權限和密碼,從而保證企業的信息安全。最后,要對企業信息化建設集成中的防火墻系統和訪問控制模式進行完善的配置,安排一個較為專業的訪問控制模式,避免網絡環境中出現各種意外或者病毒入侵的情況,保證企業內部局域網絡信息的安全,選擇信息隱藏模式提高網絡信息安全性。這種信息隱藏模式一般是運用高效的編碼將數據修改方法嵌入,包括擴頻嵌入和矩陣編碼,將編碼過程變得更加專業和復雜,網絡黑客一般破譯不了,有利于企業抵御網絡黑客入侵和系統漏洞,保證企業信息化建設集成的健康發展,提高企業的經濟收益。
4運用虛擬化的云計算平臺創建相關安全機制
在運用虛擬化的云計算平臺時,要具備更加安全和穩定的機制和系統,如行為約束機制、CHAOS系統和Shepherd系統,及時監控計算機中的相關進程、避免用戶錯誤操作,防止非法進程對云計算平臺的破壞,將異常進程進行數據安全隔離,從而保證企業信息化建設集成中的網絡安全。
主要參考文獻
[1]王然.企業信息化建設集成與網絡安全措施探究[J].數字技術與應用,2017(1).
篇9
【關鍵詞】 企業 信息化建設 信息安全
前言
當前,信息化建設已經成為了各類企業建設和發展的重點內容,企業通過信息化建設的方式,讓自身生產與流通工作可以更順利地進行,并利用互聯網,創造出現代企業新型發展模式。但是,就實際情況而言,企業的信息化建設并不是一直處于一個平穩的發展狀態,在其發展的過程中也會受到諸多內部或外部因素的影響和束縛,在信息的安全方面也存在許多的問題,如黑客入侵或是病毒入侵。如果企業信息存在的安全問題比較嚴重,不僅會給企業信息化建設造成不利影響,還有可能會影響到企業的正常運營和發展。
一、造成企業信息化建設中的信息安全問題的原因
1.1內部原因
①企業內部的信息安全意識缺乏,目前,雖然很多的企業都提倡建設企業內部信息化,但是大部分企業過于注重信息化建設過程中得到的利益和優勢,卻忽略了信息化建設中信息的安全問題。
②軟件安裝的技術比較落后,黑客與病毒的發展速度比軟件技術更新速度快。
③管理操作不得當,在對信息系統進行管理與操作的過程中過于粗心大意,給黑客與不法分子和黑客制造了入侵的機會,對企業的信息安全造成威脅。
④專業的管理人才缺乏,沒有對企業的信息安全系統定制出合理的安全管理策略,且沒有讓專業的操作人員對統系統進行維護和升級,致使企業信息系存在信息安全隱患[1]。
1.2外部原因
對于大多數企業而言,信息系統中存在的安全威脅大部分來自于外部因素,隨著社會的不斷發展,信息建設在各類企業市場競爭中的地位和作用日益提高,許多的不法分子想盡辦法對各類企業的信息進行竊取和破壞,以此來獲得自身的利益。還有一部分企業為了得到競爭對手企業的各類商業信息,采用不正當的手段破壞或是入侵對手企業的信息系統,竊取對方企業的商業機密,以此來打倒對方。
二、企業信息化建設中存在的信息安全問題
2.1企業不夠重視信息系統的安全問題
就目前而言,國內的大部分企業都沒有給予信息系統安全問題足夠的重視,沒有意識到信息系統安全的重要性。近年來,雖然國內信息化建設得到了快速的發展,國內企業的信息安全程度也有所提高,但是大部分的企業還是沒有意識到信息安全問題對企業的重要性,只看到了信息化建設給企業創造的短暫利益,而忽視了信息化建設信息安全的長遠發展,未針對信息安全問題采取適當的防范措施,致使企業信息化的發展存在較多的安全隱患。
2.2企業信息化操作管理不到位
在企業進行信息化建設的過程中,大多數的企業沒有認識到對企業信息進行科學管理和操作的重要性。相關的操作和管理人員在信息化建設的管理和操作中缺少合理性,導致黑客與入侵者有機可乘,造成企業信息外泄。企業的信息化建設是一個全新的的概念,其中的信息系統管理,信息安全系統的維護與升級都必須由專業的操作人員進行操作和管理,因此,專業技術人員專業技能的缺乏和個人的素質對企業的信息安全有著直接的影響。
2.3可用于信息化建設的軟件較少
近年來,市場上各種類型的系統軟件越來越多,但是能夠真正用到企業信息化建設的系統軟件卻比較缺乏,特別是相較于國際市場,國內的軟件無論是在適用范圍,還是技術水平方面都比較落后,這也是給企業數據安全帶來隱患的一大重要原因。
企業信息化建設使用的軟件安全性能較低,很容易被病毒或是黑客入侵,從而對企業的信息安全造成威脅,雖然大部分的企業在商業機密信息方面設置了一定的操作權限,但是在企業的實際管理中,比較容易出現員工操作權限重復的情況,操作人員的責任不夠明確,從而導致企業信息外泄或是數據丟失[2]。
三、企業提高信息化建設中的信息安全性的對策
3.1企業需樹立正確安全意識
在企業信息化的發展進程中,企業應該充分了解企業信息安全問題和企業發展之間的關系。意識到一旦企業的重要機密發生外泄或者是被竊取,將會給企業造成不可估量的損失,并給競爭對手提供有利的機會。
因此,企業應該采取適當有效的措施,防止信息安全問題的產生,樹立正確的信息安全意識,以便為企業未來的信息化發展打下更好的基礎。
3.2加強企業內部信息系統管理
①正常來說,企業信息的系統使用任何的安全軟件都有可能被攻擊或被破解。在信息的安全防御過程中,最重要的并不只是信息技術,管理對于企業的信息安全系統來說也非常重要,只有對企業的信息進行合理、規范的管理,才能更有效提升企業信息系統的安全性。因此,合理的對信息安全管理體系進行規范化建設,對于企業的信息安全管理至關重要。
②完善企業安全的風險評估機制。企業信息系統的建設,并非是利用一種技術在短時間內能夠完成,在平常的操作與管理中,所有的系統都有自己的優勢與缺點,因此,企業應該針對本身信息系統的優勢和缺點建立相關的安全風險評估機制,找到對信息系統安全造成影響的漏洞和原因,并及時地進行處理,以有效降低企業信息系統被攻擊的可能性。
3.3運用安全性較高的防護軟件
盡管所有的防護軟件都有辦法破解,但是安全性越高的防護軟件,破解的難度就越大,企業信息被竊取或是泄露的可能性也就越低。因此,企業在對安全防護軟件進行選擇時,不應該為了節省企業的成本,而在信息系統中使用一些安全性較低的防護軟件,應該選技安全系數較高的防護軟件,防止信息系統出現安全問題,給企業帶來更大的經濟損失。
3.4加強企業的網絡管理
大多數的不法分子都是通過網絡對各個企業的信息進行竊取和破壞,因此,企業需要加強企業的網絡管理,以確保企業信息系統的運行可以在安全的狀態下進行。企業應該依據信息安全的等級、種類制定出相關的防護措施和方案,并提前制定好信息安全事故發生之后,企業應該采取的解決措施[3]。在企業的信息安全受到威脅時,企業應該及時成立起危機處理小組,讓該小組依據信息安全危機處理的步驟與預案,進行危機處理,防止危機處理不當而出現更加嚴重的連鎖危機。此外,企業應該對內部的員工進行信息安全培訓與教育,提升員工信息安全管理意識和安全危機事件的處理能力,從而有效防止企業自身失誤而造成的信息安全問題。
四、結束語
總之,在這個信息化的時代,企業進行信息化建設是其發展和生存的重要途徑。但就目前而言,我國大部分的企業都只看到了信息化建設的優勢,沒有意識到信息系統安全問題的重要性,信息系統還處在一個長期不設防的狀態當中,這一情況直接影響了企業信息系統的安全性。因此,為了提高現代企業信息系統的安全性,企業就應該重視信息系統的安全問題,樹立正確的信息安全意識,采取有效的防范措施、不斷完善企業的信息管理體系,在企業信息化建設過程中,對可能會影響信息系統安全的因素進行全面考慮,以確保企業信息系統建設的安全性。
參 考 文 獻
[1]艾戩.企業信息化建設中的信息安全探究[J].網絡安全技術與應用,2015,9(3):101-102.
篇10
關鍵詞:信息化 網絡安全防范措施
中圖分類號:TN711 文獻標識碼:A 文章編號:
隨著縣級供電企業的信息化建設全面推進,信息化已經成長為增強供電企業競爭力的重要驅動力。目前,“SGl86”信息化工程不斷完善,國家電網資源計劃系統(ERP)上線運行,相繼接入企業信息網絡平臺的應用系統越來越多,電網安全、生產管理、營銷管理等關鍵應用全部實現了信息化,各應用系統間的數據交換日益頻繁。因此確保供電企業內部網絡信息系統的安全穩定運行,適應當前建設智能電網和“三集五大”體系建設新的工作要求,成為擺在我們面前的一個艱巨任務。
一、目前網絡信息安全的特點
1.1 網絡威脅發展趨勢
目前的網絡攻擊呈現組織嚴密化、行為趨利化、目標直接化的趨勢。網絡欺騙手段進一步升級,黑客不光利用電子郵件和網站進行詐騙勒索,軟件、網絡游戲、網絡銀行盜號木馬等具有“網絡釣魚”性質的病毒也已成為不法分子的手段。
1.2 安全漏洞是最大的安全隱患
安全漏洞是指在網絡系統中硬件、軟件、協議和系統安全策略等存在的缺陷和錯誤,攻擊者利用這些缺陷和錯誤可以對網絡系統進行非授權的訪問或破壞。不法分子利用漏洞對網絡發起攻擊仍是互聯網最大的安全隱患。
1.3 病毒傳播形式多元化
網站、移動存儲設備成為病毒傳播的新渠道。電子郵件不再是病毒傳播的主要途徑,黑客們越來越多地通過網站對用戶進行攻擊。此外,通過移動存儲設備傳播病毒使很多電腦用戶飽受其害。
1.4 惡意軟件擾亂辦公秩序
“惡意軟件”是介于病毒和正規軟件之間的軟件,同時具備正常功能(下載、媒體播放、利用中文名稱訪問Internet等)。它們往往采用特殊手段頻繁彈出廣告窗口,危及用戶隱私,嚴重干擾用戶的日常工作和數據安全,嚴重的可以導致機器的癱瘓。惡意軟件其危害還不僅止于計算機操作系統,對應用系統如目前企業普及的OA(辦公自動化)系統,在一機雙網的情況下的使用造成很多問題。
1.5 網絡電子犯罪影響變大
隨著計算機、互聯網絡的發展和普及,網絡電子犯罪的手段、形式呈現多樣化,且影響越來越大。這些犯罪事件對政治、經濟和企業運營造成的影響呈上升趨勢,對企事業單位的聲譽造成了損害。
二、縣級供電企業網絡安全問題存在的主要原因
近幾年,供電企業不斷加大信息化建設投入,城鄉一體化營銷MIS系統、調度自動化系統、辦公自動化系統、財務管理系統、人力資源管理系統等已成功接入縣級供電企業,這些應用系統在縣級供電企業生產經營中越來越發揮重要作用,且成為縣級供電企業日益重要的技術支持系統,一旦其受到威脅,網頁被篡改,信息被破壞,后果將不堪設想。然而目前,信息安全仍然存在多方面影響因素。
2.1 技術水平有限
在縣級供電企業中,精通專業技術的網絡管理員寥寥無幾,在網絡日常管理維護中,一些管理員缺乏必備的安全防護技術,比如,不會屏蔽不需要的系統服務、不知道對敏感信息進行訪問控制或者不能安全地配置和管理網絡,發現和處理已經存在或者隨時可能出現的問題并不及時等,這些因素都會對網絡信息安全帶來嚴重隱患。
2.2 管理因素
(1)管理規章制度不完善。
目前,企業網絡信息安全管理存在的缺陷主要是管理機制不夠完善,同時缺乏有效的監督防范措施,這些因素都使得管理無章可循,分工不明確,權責不明晰,以至于出現問題時無人負責的現象時有發生。
(2)經費投入有限。
由于資金技術有限,縣級供電企業在網絡信息安全管理和維護方面力度小且人員經費投入不足,是網絡信息安全的一個瓶頸。很多縣級供電企業信息中心服務管理隊伍明顯不足,他們通常只能維護企業網絡的正常運行,無暇管理和維護企業數百臺計算機的安全。這都嚴重影響縣級供電企業網絡信息安全的質量與進程。
三、縣級供電企業網絡安全防范措施
3.1 統一部署、雙網雙機
按照國家電網公司要求和省、市公司統一部署安排,實行信息外網統一出口。信息內外網實現物理分開,雙網雙機,網絡專用。嚴禁辦公終端計算機私自使用撥號、移動無線連接等任何方式接人因特網。在信息外網出口安裝IPs入侵防御設備,保護信息網絡架構免受侵害,降低不安全因素。
信息內網統一安裝桌面管理系統,能有效控制內網計算機;計算機實名注冊并進行IP地址和MAC地址綁定;啟用移動存儲審計策略和違規外聯策略,嚴格控制內網設備違規外聯,對企業的移動存儲分質進行實名注冊,嚴格控制信息的流入流出。
3.2 注重口令設置和數據備份
口令設置是信息安全管理中重要的一環。要求所有的服務器和每一臺辦公計算機都要設置開機密碼,密碼長度不小于8位,并且是字母和數字或特殊字符混合而成。另外要求每臺計算機都要設屏幕保護,并開啟恢復時使用密碼功能;關閉遠程桌面,這樣可以有效防止外來人員訪問他人電腦。計算機管理員必須定期對重要的數據進行備份。個人辦公計算機中重要的文件資料可以加密存放,并形成備份。
3.3 加強防病毒軟件部署及管理
根據企業的計算機數量.統一購買安裝企業版殺毒軟件。為避免防病毒軟件之間的沖突導致的計算機使用異常,要求一臺機器只能安裝一款防病毒軟件.禁止使用任何規定之外的防病毒軟件。企業設專人負責定期進行病毒庫的更新,并通過桌面管理系統統一發放病毒庫升級通知,對機器病毒庫自動進行升級,能有效防范網絡病毒、木馬。
3.4 漏洞掃描和隱患排查
漏洞掃描系統是一個自動化的安全風險評估工具,對企業的信息系統進行定期、全面、系統的信息安全風險評估,發現和分析信息系統中存在的漏洞,并及時進行整改。定期開展自測評與整改。
3.5 物理安全和主機安全
企業每位職工都有保護自己辦公電腦的義務,要求下班后關閉主機和顯示器,特別是雷雨天氣,最好拔掉電源開關。
對于網絡機房,要嚴格網絡機房的建設要求,建成后的機房環境滿足計算機等各種電子設備和工作人員對溫度、濕度、潔凈度、電磁場強度、噪音干擾、安全保衛、防漏、電源質量、振動、防雷和接地等的要求。
3.6 應急響應和災難恢復
建立切實可行的應急預案和災難恢復預案,可有效預防和正確、快速應對網絡及信息安全突發事件,最大限度地減少影響和損失。確保網絡系統安全、穩定運行。
3.7 完善和落實規章制度
制定和完善網絡信息安全相應管理制度及措施。與部室及員工簽訂信息安全責任書,確保責任落到實處。通過組織職工收看信息安全方面的教育片和邀請專家做安全報告,提高員工對信息安全的認知和增強員工遵守信息安全各項規章制度的自覺性。
