企業信息安全現狀范文
時間:2023-10-10 17:42:34
導語:如何才能寫好一篇企業信息安全現狀,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。
篇1
關鍵詞:信息安全;現狀;策略
信息安全管理已經成為企業加強信息化進程以及提高企業管理水平的一項重要內容,它是確保企業信息管理系統高效運行,促進企業健康、穩定發展的一個重要前提。近幾年來,隨著ERP在企業中的投入使用,使企業的信息化工作內容得以拓展,企業對信息系統的安全性也日益關注,怎樣保證信息系統的安全、高效,已經成為擺在各個企業面前的一項重要課題。
1.信息安全管理意義
1.1信息安全是企業實現可持續發展的需要
隨著計算機網絡技術的普及應用,如何確保涉及到企業經營發展的各種信息、資料的安全性,已經成為企業必須要解決的一個問題。現階段,大多數企業的數據信息,甚至是關系到企業戰略規劃的重要信息,都是以電子文件的形式進行保存的,對于企業來說,這些信息如果泄露、丟失或者遭到惡意破壞,其后果是不堪設想的。因此,企業必須要具有預見性與前瞻性,要站在戰略發展的高度來看待信息安全問題,必須建立起一套操作性強的防范機制,要從操作系統、芯片技術以及網絡建設等方面入手,就安全保障體系進行積極構建。
1.2信息安全是實現企業平穩、健康發展的前提
現階段,我國企業的信息安全建設,還沒有形成一個成熟,可供廣泛借鑒的安全體系,同時基礎也相對薄弱,這些問題都亟待解決。而且信息安全已經成為關系企業未來發展的一個重要問題,我們必須要認清加強企業信息安全建設的緊迫性,要從維護企業利益的角度來看待信息安全建設問題,做好基礎設施的建設工作,以及信息安全體系的構建工作,實現企業的平穩、健康發展。
1.3信息安全是知識經濟時展的需要
計算機網絡技術的普及應用,使得企業內部各部門之間的信息交換,以及企業對外部信息的獲取日益頻繁,這也令企業對網絡技術愈加依賴,計算機網絡技術對整個商業運作方式也帶來了巨大的影響,從而出現了電子商務,也對企業生產方式、經營理念,產生了巨大的沖擊,推動了企業發展以及現代經營理念的構建。但是,信息的安全問題也日益突出,比如信息在存儲、處理以及傳輸過程中經常存在著被非法截取、惡意破壞以及篡改的現象。所以,信息安全是知識經濟時代這一大背景下,企業發展必須要解決的問題。
2.信息安全管理的現狀
2.1信息管理的安全意識方面
人員、機器設備、原材料、制度是一個企業在進行生產經營時不可缺少的幾個基本要素,隨著知識經濟的到來,信息的重要性日益受到企業管理界的認同,信息也理所當然的成為生產經營過程中,不可或缺的一個非常重要的因素。但是就目前的企業對信息安全管理的重視程度來看,遠遠還不夠,忽視對企業內部各種信息資產的保護,其結果必然會為企業帶來無法估計的損失,因此,企業必須要提高對信息管理安全系統的認識,積極構建、完善這一系統,保證企業信息的安全。
2.2網絡協議方面
我們在對計算機信息系統進行安全維護時,保證網絡協議的安全是維護系統安全的一個重要問題,但是計算機系統的部分協議,比如TCP/IP 協議,這部分協議以及其構架通常也是在因特網上進行共享的,這樣必然會為系統的安全埋下隱患。而且這也是計算機信息系統安全構成威脅的一個主要來源,而它對計算機系統的破壞是巨大的。所以,我們在對計算機信息系統進行維護時,必須要關注到這一點,杜絕類似事件的發生。現階段,注意網絡不明信息、非法訪問以及網絡協議等對系統安全構成威脅的問題,是確保信息傳送過程安全性的重要前提,是我們在構建企業信息網絡系統時,必須要考慮的問題。
2.3信息安全產品本身存在的問題
通常情況下,多數企業在建設信息管理系統的同時,也采用了相關的信息安全產品。如果信息安全產品本身存在著漏洞的話,這必然會直接導致企業信息系統安全機制的失效。但是計算機系統的安全隱患絕不局限于產品本身存在的缺陷,如果信息安全產品本身是完善的,不存在著任何缺陷與隱患,但是我們在使用產品的過程中,會因為用戶配置、操作上的失誤,或者對產品安全性能不夠了解,使其性能降低,而起不到保護系統安全的作用也是有可能的。
2.4資金投入不夠
我國企業想要對信息安全系統進行構建,就必須投入大量的資金,同時還要吸引IT人才,加入到信息安全系統建設團隊。但是就目前我國信息安全系統構建的現狀來看,還有很多不如人意的在方,尤其是在資金投入方面,一個項目如果缺少資金投入,那么一切都是空談。筆者在實際工作中發現,有些企業非常重視硬件設備的投入,但軟件投入比較滯后,這就使硬件部分強大的功能無法得到充分發揮。
3.加強信息安全管理的策略
3.1提高信息管理的安全意識
隨著計算機網絡技術的快速發展,網絡犯罪有逐年上升的趨勢,電腦病毒、網絡黑客對計算機系統的攻擊與日俱增,企業必須出于自身利益的考慮,來加強信息安全管理方面的建設,首先要從加大宣傳,提高安全意識方面入手。企業可以定期舉行有關信息管理安全意識方面的講座、報告以及相關的培訓教育工作,使領導干部、普通員工提高對信息管理安全的重視程度,使安全防范意識深入人心,這樣有利于加強信息安全管理工作的全面展開。
3.2設計加密體制對系統進行保護
當今社會是一個信息化程度高度發達的社會,人們利用互聯網對信息進行收集、整理、分析、處理的程度越來越高,這樣必然會導致信息安全方面存在著一定的隱患,如果我們不采取有效措施加以防范,一旦發生問題,對企業造成的危害是無法想象的。針對網絡所存在的安全隱患,我們可以采用加密系統對網內數據、文檔以及口令進行保護。如此一來,我們在網上進行數據傳送的過程,也更具針對性。加密管理過程,通常分為鏈路加密、節點加密與端點加密三個種類,我們可以根據企業的實際需求進行選擇。
3.3加強系統軟件方面的建設
一般來說,計算機無論使用哪一種版本的操作系統,都會存在著一定的安全隱患,這個世界沒有十全十美的東西,我們對操作系統也不能苛求太多。因此,這就需要我們采取積 極、有效的措施來提高系統的安全性,以期對操作系統進行很好的維護。比如對數據庫軟件、計算信息管理軟件進行更新,終端操作系統要與數據庫操作系統在版本上要統一,這樣可以便于管理,提高信息管理系統的防御能力。
3.4增加企業信息安全建設的投入
信息化已經成為社會發展的一個主流趨勢,企業必須要借助好這個“東風”,來加強自身的信息安全建設。任何一個項目的啟動,都離不開資金的投入,企業必須為信息安全建設提供物質基礎,比如購置專用服務器、軟件以及將IT資產外包等等,保證信息安全建設的順利完成。
4.總結:
綜上所述,信息安全對企業的發展有著非常重大的意義,它不但是企業自身實現可持續發展的需要,也是知識經濟時代背景下,企業的必然選擇,我們可以從提高信息管理的安全意識;設計加密體制對系統進行保護;加強系統軟件方面的建設;增加企業信息安全建設的投入等方面入手,加強企業信息安全管理方面的建設。
參考文獻:
[1]姜樺,郭永利.企業信息安全策略研究[J].焦作大學學報,2009,(01) .
篇2
關鍵詞:信息安全;威脅;管理模式;桌面終端
在當今的信息時代,我們的生活和工作方式受到信息技術發展的巨大影響,時時刻刻都在發生著改變,而現行企事業單位的管理模式也在這種“大環境”下不斷地推陳出新。作為各大國有企事業信息管理部門,必須考慮到當前技術的發展給我們的工作帶來的機遇和威脅。
一、當前信息網絡的安全形勢
目前,幾乎所有企業、事業單位、行政部門都面臨著內部信息泄漏的問題。FBI對484家公司調查顯示:85%的安全損失是由企業內部原因造成的。面對來自于公司內部的安全威脅,很多員工都有切身感受,雖然不會有股票的跌漲刺激感官強烈,但是他們一定遇到過類似的事情。由于粗心誤操作造成公司服務器上重要文檔丟失;由于沒有設定員工在系統內的訪問權限,使一些業務秘密出現在本不應有查閱權的員工計算機上,并不小心將其泄露……對于這些來自公司內部的信息安全問題,不是簡單的安裝了殺毒軟件或防火墻就能解決的,單純的“免疫”手段在“網絡風險”、“軟件風險”日益嚴重的今天,都已經不足以讓人信任和依賴。
據調查統計,90%以上的計算機終端用戶使用的是windows2000,XP或以上的操作系統,而這些系統的安全漏洞及系統缺陷非常多。雖然微軟公司會通過定期在網站上安全補丁來彌補這些漏洞,而一些軟件公司也會對自己開發的軟件進行不斷地更新和升級,但由于終端用戶缺乏相關知識,導致補丁安裝的不及時、不完全,這就會影響終端計算機的安全,從而影響整個內部網絡安全。
二、企事業單位網絡終端計算機安全現狀
大中型企事業單位、政府辦公網絡,桌面終端計算機數量隨著辦公的需要不斷增多,而出現的網絡問題也日趨明顯。常見的情況主要有:計算機感染病毒、被安裝木馬;有些不明程序不斷搶占IP地址(ARP病毒)堵塞整個網段,使該網段用戶都不能上網。除此以外,部分員工使用公司辦公電腦私自從網絡上下載海量資源,迅雷、BT、電驢這些下載工具都會搶占網絡通道,這樣就導致了其他一些用戶使用辦公電腦辦公時網速非常低,嚴重時網頁無法顯示,不僅影響了其他員工的工作,還降低了整個公司的工作效率。
這種問題在當下的網絡時代普遍存在于現有的企事業單位,尤其是一些已經擺脫了紙張,進入“無紙化”辦公的先進單位更為明顯。由于難于發現高危計算機,并對其進行定位,因此一旦問題發生,就需要大量的故障排查時間。如果同時有多臺計算機感染網絡病毒或者進行非法操作,就會造成網絡癱瘓,從而致使其他正常網絡業務無法使用。
現階段,所有企業都在努力尋找一種有效的手段來扭轉這種嚴峻的局面,并盡可能地出臺大量的信息網絡管理規定。例如:禁止在辦公計算機內安裝BT下載軟件,禁止在個人終端設備中安裝網絡游戲軟件,禁止私自更改電腦的安全設置,禁止將外部的電腦接入單位的內部網絡等行為。但是,由于缺乏技術和管理手段、考核制度、使用標準、用機規范等,都不能夠有效切實地執行,這樣就使企業內部的信息網絡安全水平很低,衍生了諸多不可控制的安全隱患。
三、通過網絡防護與終端防護共筑信息安全長城
以往提起信息安全,人們更多地把注意力集中在防火墻、防病毒、IDS(入侵檢測)、網御設備、網絡交換設備的管理上,卻忽略了對網絡環境中的計算單元――服務器、臺式機乃至便攜機的管理。
近兩年的安全防御調查表明,政府、企事業單位中超過80%的管理和安全問題來自終端,計算機終端廣泛涉及每個用戶,由于其分散性、不被重視、安全手段缺乏的特點,已成為信息安全體系的薄弱環節。因此,隨著信息技術的不斷進步,網絡安全防護的工作重點開始發生轉移,安全戰場已經逐步由核心與主干的防護,轉向網絡邊緣的每一個終端。網絡管理員已經不是信息安全的唯一負責人,計算機終端用戶才是信息安全的第一責任人。
四、建設桌面終端安全管理系統的意義
伴隨著網絡管理業務密集度的增加,在信息安全防護領域興起了終端桌面安全管理技術。作為網絡管理技術衍生的邊緣產物,它同傳統安全防御體系的缺陷相關聯,是傳統網絡安全防范體系的補充,也是未來網絡安全防范體系的重要組成部分。由此看來,終端桌面管理的發展趨勢和技術特點,才是信息安全防護趨勢的導向。在進行桌面終端安全防護部署時,必須把提升信息安全的關鍵放在提升計算機終端安全水平上。
如何有效地管理計算機終端成了當前的熱點話題,而桌面計算機安全管理系統的應運而生就顯得尤為重要了。第一可以通過批量設置計算機的安全保護措施提高桌面計算機的安全性,及時更新桌面計算機的安全補丁,減少被攻擊的可能;第二,它還可以實現動態安全評估,實時評估計算機的安全狀態及其是否符合管理規定,比如說,評估計算機的網絡流量是否異常,評估計算機是否做了非法操作,評估計算機的安全設置是否合理等;第三,通過系統中進行策略的配置,對計算機終端進行批量的軟件安裝、批量的安全設置等,防止外來電腦非法接入,避免網絡安全遭受破壞或者信息泄密;第四,利用桌面系統的高科技手段,能夠確保本單位的計算機使用制度得到落實,使“禁止撥號上網,禁止使用外部郵箱,禁止訪問非法網站,禁止將單位機密文件復制、發送到外部”等這一系列管理措施得以貫徹和執行;第五,在網絡出現安全問題后,桌面終端系統可以對有問題的IP/MAC/主機名等進行快速的定位,便于管理員迅速排查故障;最后一點可以稱之為桌面系統的“增值服務”,在保證信息網絡安全的同時,還能對計算機的資產進行有效地管理和控制。
這些功能的實現,淺表地說能夠持續有效地解決大批量的計算機終端安全管理問題,真正的意義在于能夠切實地幫助企業內部各種管理規定有效地執行。如今憑借這些高科技手段,全面提升企事業單位內部信息化工作水平已經不再是紙上談兵。
五、結語
企事業單位要在信息技術高速發展的今天立于不敗之地,就必須結合自身客戶的網絡結構、終端特點和管理模式,搭建安全、穩固的內部IT架構。而桌面終端安全管理的應用,將極大地提高信息安全系數,使企業信息風險降到最低。
參考文獻:
[1] 閆龍川,劉永志,來鳳剛.計算機終端安全管理系統及其應用[J].電力信息化,2009,(7).
[2] 馬國勝.桌面安全管理系統的應用[J].中國金融電腦,2009,(4).
篇3
企業經營信息對于企業來說是一種資源,對于企業自身來說具有重要意義,企業需要妥善管理自身企業的信息。近年來,企業的各項經營活動都逐漸開始通過計算機,網絡開展,因此,企業的信息安全管理對于企業越來越重要。許多企業開始通過各種技術手段以及制度改革,把更多的注意力放在企業內部的信息安全管理工作,同時將企業信息安全管理與風險控制結合起來,這是一個正確的選擇,能夠幫助企業實現穩定經營。在介紹企業信息安全管理以及風險控制前必須厘清企業信息安全管理的概念與企業風險控制定義,因此,本節將著重介紹企業信息安全管理的概念以及企業風險控制的定義。
企業的信息安全管理包含十分豐富的內容,簡單來說是指企業通過各種手段來保護企業硬件和軟件,保護網絡存儲中的各種數據不受偶然因素的破壞或者惡意的原因被攻擊。對于信息安全的認定通過包括4個指標,即保證信息數據的完整,保證信息數據不被泄露,保證信息數據能夠正常使用,保證信息數據能夠控制管理。要想做好企業的信息安全管理,首先需要了解的是關于信息的傳輸方式。隨著信息技術的不斷普及,信息傳遞的方式越來越多,常見的信息傳遞方式主要有互聯網傳播,局域網傳播,硬件傳播等等。要想實現企業的信息安全管理,其中很重要的一項工作在于保護信源、信號以及信息。信息安全管理是一項需要綜合學科知識基礎的工作,從事企業信息安全管理工作的人員通過需要具有網絡安全技術、計算機技術、密碼技術、通信技術。從企業的信息安全管理來講,最為關鍵的一項工作時保護企業內部經營信息數據的完整。經過近十年來的企業信息安全管理工作經驗總結,企業信息安全不僅僅需要信息技術的支持,更需要通過建立完善的企業風險控制體系來幫助企業實現更好地保護企業信息安全的目標。
所以,怎樣把企業信息安全管理與風險控制融合起來就是擺在企業經營管理者面前的一道難題。企業的信息安全風險控制必須通過企業建立完善的企業信息安全風險體系實現。企業的信息安全風險控制是指企業在企業信息安全遭遇威脅之前,提前對企業的信息進行風險預估,并采取一系列的有針對性的活動降低企業面臨的信息安全風險,從而盡可能減少因為企業本身信息安全管理中存在漏洞給企業帶來不必要的損失。常見的企業信息安全風險體系建立主要包含以下幾個方面的內容。第一,建立企業信息安全風險管理制度,明確企業信息安全管理的責任分配機制,明確企業各個部門對各自信息安全所應承擔的責任,并建立相應的問責機制。第二,設置規范的企業信息安全風險管理指標,對企業存在的可能威脅企業信息安全管理的漏洞予以風險定級,方便企業管理者對不同的信息安全管理漏洞采取有區別的對策。第三,企業要加強對信息安全管理人員的培訓,提高企業信息安全管理工作人員的風險意識,讓企業內部從事信息安全管理工作人員認識到自身工作的重要性,讓企業內部從事信息安全管理工作人員了解到規范自身行為,正確履行職責的重要性。第四,將企業信息安全管理與風險控制有效融合,重視企業信息安全管理工作,通過風險控制對企業內部信息安全的管理方式進行正確評估,找出現行的企業內部信息安全管理手段中存在容易忽視的地方。
二、企業信息安全管理與風險控制存在的不足
1.企業信息安全管理工作人員素質不高
對于企業來說,企業信息安全管理工作是一項極為重要而隱秘的工作,因此,必須增強對企業信息安全管理工作人員的素質要求。但是根據調查統計,目前很多企業對信息安全工作的管理僅僅停留在對企業信息安全管理工作人員的技術要求上,對企業信息安全管理工作人員的道德素養,職業素養,風險意識并沒有嚴格要求。此外,絕大多數企業并沒有意識開展對企業信息安全管理工作的道德素質的教育培訓,并沒有通過建立相關管理制度以及問責機制對企業信息安全管理工作人員實行監督,這無疑給別有用心或者立場不堅定的企業信息安全管理工作人員留下了危害企業信息安全的可乘之機。
2.企業信息安全管理技術不過關
企業信息安全管理工作涉及多許多技術,包括信息技術,計算機技術,密碼技術,網絡應用技術等等,應當說成熟的計算機應用技術是做好企業信息安全管理的基礎,但是,現實是許多企業的信息安全管理技術并不過關,一方面企業的信息安全管理硬件并不過關,在物理層面對企業信息缺乏保護,另一方面,企業信息安全管理工作的專業技術沒有及時更新,一些企業信息安全管理工作人員缺乏企業信息安全管理的實踐經驗,企業信息安全管理的知識也并沒有及時更新,從而導致企業的信息安全管理理論嚴重滯后,這種技術的落后很容易讓企業成為不法分子的攻擊對象。近年來網絡病毒的傳播越來越猖狂,很多服務器、系統提示安全補丁的下載更新以及客戶端的時常更新成為一個惱人的問題。作為一個行業中的大中型企業,企業內部設備數量比較多,尤其是客戶端數量占了較大比重,僅僅靠少數幾個管理員進行管理是難以承擔如此大量的工作量。另外,企業信息安全管理系統不成熟也是一個重大的隱患。
3.企業信息安全管理制度不健全
企業信息安全管理制度不僅僅需要理論制度的完善,更加需要一系列配套監督機制保障企業信息安全管理的有效執行。通過調查分析,許多企業雖然建立了企業信息安全管理制度,但是通常情況下,這些制度只能流于形式,企業信息安全管理工作缺少有效的制約和監督,企業信息安全管理工作人員缺乏執行力。企業信息安全管理制度不健全,企業信息安全管理工作缺乏執行力常常體現在以下幾個方面。第一,企業員工對于信息安全管理的認識嚴重不足,對企業信息安全管理工作不重視。企業內部計算機系統安全的計算機防病毒軟件并沒有及時更新,使用,甚至企業內部計算機的防病毒軟件還被企業員工卸載了。部分企業員工認為自己的工作與企業信息安全管理不相關,認為做好企業信息安全管理工作僅僅是企業信息安全部門的事。第二,企業內部信息安全管理制度并沒有形成聯動機制,企業信息安全管理工作僅僅由企業信息安全部門“一人包干”,企業信息安全反映的問題并沒有得到積極的反饋,一些企業領導對企業信息安全現狀所了解的少之又少。
三、企業信息安全管理常見的技術手段
1.OSI安全體系結構
OSI概念化的安全體系結構是一個多層次的結構,它的設計初衷是面向客戶的,提供給客戶各種安全應用,安全應用必須依靠安全服務來實現,而安全服務又是由各種安全機制來保障的。所以,安全服務標志著一個安全系統的抗風險的能力,安全服務數量越多,系統就越安全。
2.P2DR模型
P2DR模型包含四個部分:響應、安全策略、檢測、防護。安全策略是信息安全的重點,為安全管理提供管理途徑和保障手段。因此,要想實施動態網絡安全循環過程,必須制定一個企業的安全模式。在安全策略的指導下實施所有的檢測、防護、響應,防護通常是通過采用一些傳統的靜態安全技術或者方法來突破的,比如有防火墻、訪問控制、加密、認證等方法,檢測是動態響應的判斷依據,同時也是有力落實安全策略的實施工具,通過監視來自網絡的入侵行為,可以檢測出騷擾行為或錯誤程序導致的網絡不安全因素;經過不斷地監測網絡和系統來發現新的隱患和弱點。在安全系統中,應急響應占有重要的地位,它是解決危險潛在性的最有效的辦法。
3.HTP模型
HTP最為強調企業信息安全管理工作人員在整個系統中的價值。企業信息安全工作人員企業信息安全最為關鍵的參與者,企業信息安全工作人員直接主導企業信息安全管理工作,企業信息安全工作人員不僅僅是企業信息安全的保障者,也是企業信息安全管理的威脅者。因此,HTP模型最為強調對企業信息安全管理工作人員的管理與監督。另外,HTP模式同樣是建立在企業信心安全體系,信息安全技術防范的基礎上,HTP模式采取了豐富的安全技術手段確保企業的信息安全。最后,HTP強調動態管理,動態監督,對于企業信息安全管理工作始終保持高強度的監督與管理,在實際工作中,通過HTP模型的應用,找出HTP模型中的漏洞并不斷完善。
四、完善企業信息安全管理與降低風險的建議
1.建設企業信息安全管理系統
(1)充分調查和分析企業的安全系統,建立一個全面合理的系統模型,安全系統被劃分成各個子系統,明確實施步驟和功能摸塊,將企業常規管理工作和安全管理聯動協議相融合,實現信息安全監控的有效性和高效性。
(2)成立一個中央數據庫,整合分布式數據庫里的數據,把企業的所有數據上傳到中央數據庫,實現企業數據信息的集中管理與有效運用。
(3)設計優良的人機界面,通過對企業數據信息進行有效的運用,為企業管理階層人員、各級領導及時提供各種信息,為企業領導的正確決策提供數據支持,根本上提高信息數據的管理水平。
(4)簡化企業內部的信息傳輸通道,對應用程序和數據庫進行程序化設計,加強對提高企業內部信息處理的規范性和準確性。
2.設計企業信息安全管理風險體系
(1)確定信息安全風險評估的目標
在企業信息安全管理風險體系的設計過程中,首要工作是設計企業信息安全風險評估的目標,只有明確了企業信息安全管理的目標,明確了企業信息安全管理的要求和工作能容,才能建立相關圍繞信息安全風險控制為目標的信息安全管理工作制度,才能順利通過對風險控制的結果的定量考核,檢測企業信息安全管理的風險,定性定量地企業信息安全管理工作進行分析,找準企業信息安全管理的工作辦法。
(2)確定信息安全風險評估的范圍
不同企業對于風險的承受能力是有區別的,因此,對于不同的企業的特殊性應該采取不同的風險控制辦法,其中,不同企業對于能夠承受的信息安全風范圍有所不同,企業的信息安全風險承受范圍需要根據企業的實際能力來制定。不僅如此,企業的信息安全風險評估范圍也應當根據企業的實際經營情況變化采取有針對性的辦法。
篇4
企業經營信息對于企業來說是一種資源,對于企業自身來說具有重要意義,企業需要妥善管理自身企業的信息。近年來,企業的各項經營活動都逐漸開始通過計算機,網絡開展,因此,企業的信息安全管理對于企業越來越重要。許多企業開始通過各種技術手段以及制度改革,把更多的注意力放在企業內部的信息安全管理工作,同時將企業信息安全管理與風險控制結合起來,這是一個正確的選擇,能夠幫助企業實現穩定經營。在介紹企業信息安全管理以及風險控制前必須厘清企業信息安全管理的概念與企業風險控制定義,因此,本節將著重介紹企業信息安全管理的概念以及企業風險控制的定義。企業的信息安全管理包含十分豐富的內容,簡單來說是指企業通過各種手段來保護企業硬件和軟件,保護網絡存儲中的各種數據不受偶然因素的破壞或者惡意的原因被攻擊。對于信息安全的認定通過包括4個指標,即保證信息數據的完整,保證信息數據不被泄露,保證信息數據能夠正常使用,保證信息數據能夠控制管理。要想做好企業的信息安全管理,首先需要了解的是關于信息的傳輸方式。隨著信息技術的不斷普及,信息傳遞的方式越來越多,常見的信息傳遞方式主要有互聯網傳播,局域網傳播,硬件傳播等等。要想實現企業的信息安全管理,其中很重要的一項工作在于保護信源、信號以及信息。信息安全管理是一項需要綜合學科知識基礎的工作,從事企業信息安全管理工作的人員通過需要具有網絡安全技術、計算機技術、密碼技術、通信技術。從企業的信息安全管理來講,最為關鍵的一項工作時保護企業內部經營信息數據的完整。經過近十年來的企業信息安全管理工作經驗總結,企業信息安全不僅僅需要信息技術的支持,更需要通過建立完善的企業風險控制體系來幫助企業實現更好地保護企業信息安全的目標。所以,怎樣把企業信息安全管理與風險控制融合起來就是擺在企業經營管理者面前的一道難題。企業的信息安全風險控制必須通過企業建立完善的企業信息安全風險體系實現。企業的信息安全風險控制是指企業在企業信息安全遭遇威脅之前,提前對企業的信息進行風險預估,并采取一系列的有針對性的活動降低企業面臨的信息安全風險,從而盡可能減少因為企業本身信息安全管理中存在漏洞給企業帶來不必要的損失。常見的企業信息安全風險體系建立主要包含以下幾個方面的內容。第一,建立企業信息安全風險管理制度,明確企業信息安全管理的責任分配機制,明確企業各個部門對各自信息安全所應承擔的責任,并建立相應的問責機制。第二,設置規范的企業信息安全風險管理指標,對企業存在的可能威脅企業信息安全管理的漏洞予以風險定級,方便企業管理者對不同的信息安全管理漏洞采取有區別的對策。第三,企業要加強對信息安全管理人員的培訓,提高企業信息安全管理工作人員的風險意識,讓企業內部從事信息安全管理工作人員認識到自身工作的重要性,讓企業內部從事信息安全管理工作人員了解到規范自身行為,正確履行職責的重要性。第四,將企業信息安全管理與風險控制有效融合,重視企業信息安全管理工作,通過風險控制對企業內部信息安全的管理方式進行正確評估,找出現行的企業內部信息安全管理手段中存在容易忽視的地方。
二、企業信息安全管理與風險控制存在的不足
1.企業信息安全管理工作人員素質不高
對于企業來說,企業信息安全管理工作是一項極為重要而隱秘的工作,因此,必須增強對企業信息安全管理工作人員的素質要求。但是根據調查統計,目前很多企業對信息安全工作的管理僅僅停留在對企業信息安全管理工作人員的技術要求上,對企業信息安全管理工作人員的道德素養,職業素養,風險意識并沒有嚴格要求。此外,絕大多數企業并沒有意識開展對企業信息安全管理工作的道德素質的教育培訓,并沒有通過建立相關管理制度以及問責機制對企業信息安全管理工作人員實行監督,這無疑給別有用心或者立場不堅定的企業信息安全管理工作人員留下了危害企業信息安全的可乘之機。
2.企業信息安全管理技術不過關
企業信息安全管理工作涉及多許多技術,包括信息技術,計算機技術,密碼技術,網絡應用技術等等,應當說成熟的計算機應用技術是做好企業信息安全管理的基礎,但是,現實是許多企業的信息安全管理技術并不過關,一方面企業的信息安全管理硬件并不過關,在物理層面對企業信息缺乏保護,另一方面,企業信息安全管理工作的專業技術沒有及時更新,一些企業信息安全管理工作人員缺乏企業信息安全管理的實踐經驗,企業信息安全管理的知識也并沒有及時更新,從而導致企業的信息安全管理理論嚴重滯后,這種技術的落后很容易讓企業成為不法分子的攻擊對象。近年來網絡病毒的傳播越來越猖狂,很多服務器、系統提示安全補丁的下載更新以及客戶端的時常更新成為一個惱人的問題。作為一個行業中的大中型企業,企業內部設備數量比較多,尤其是客戶端數量占了較大比重,僅僅靠少數幾個管理員進行管理是難以承擔如此大量的工作量。另外,企業信息安全管理系統不成熟也是一個重大的隱患。
3.企業信息安全管理制度不健全
企業信息安全管理制度不僅僅需要理論制度的完善,更加需要一系列配套監督機制保障企業信息安全管理的有效執行。通過調查分析,許多企業雖然建立了企業信息安全管理制度,但是通常情況下,這些制度只能流于形式,企業信息安全管理工作缺少有效的制約和監督,企業信息安全管理工作人員缺乏執行力。企業信息安全管理制度不健全,企業信息安全管理工作缺乏執行力常常體現在以下幾個方面。第一,企業員工對于信息安全管理的認識嚴重不足,對企業信息安全管理工作不重視。企業內部計算機系統安全的計算機防病毒軟件并沒有及時更新,使用,甚至企業內部計算機的防病毒軟件還被企業員工卸載了。部分企業員工認為自己的工作與企業信息安全管理不相關,認為做好企業信息安全管理工作僅僅是企業信息安全部門的事。第二,企業內部信息安全管理制度并沒有形成聯動機制,企業信息安全管理工作僅僅由企業信息安全部門“一人包干”,企業信息安全反映的問題并沒有得到積極的反饋,一些企業領導對企業信息安全現狀所了解的少之又少。
三、企業信息安全管理常見的技術手段
1.OSI安全體系結構
OSI概念化的安全體系結構是一個多層次的結構,它的設計初衷是面向客戶的,提供給客戶各種安全應用,安全應用必須依靠安全服務來實現,而安全服務又是由各種安全機制來保障的。所以,安全服務標志著一個安全系統的抗風險的能力,安全服務數量越多,系統就越安全。
2.P2DR模型
P2DR模型包含四個部分:響應、安全策略、檢測、防護。安全策略是信息安全的重點,為安全管理提供管理途徑和保障手段。因此,要想實施動態網絡安全循環過程,必須制定一個企業的安全模式。在安全策略的指導下實施所有的檢測、防護、響應,防護通常是通過采用一些傳統的靜態安全技術或者方法來突破的,比如有防火墻、訪問控制、加密、認證等方法,檢測是動態響應的判斷依據,同時也是有力落實安全策略的實施工具,通過監視來自網絡的入侵行為,可以檢測出騷擾行為或錯誤程序導致的網絡不安全因素;經過不斷地監測網絡和系統來發現新的隱患和弱點。在安全系統中,應急響應占有重要的地位,它是解決危險潛在性的最有效的辦法。
3.HTP模型
HTP最為強調企業信息安全管理工作人員在整個系統中的價值。企業信息安全工作人員企業信息安全最為關鍵的參與者,企業信息安全工作人員直接主導企業信息安全管理工作,企業信息安全工作人員不僅僅是企業信息安全的保障者,也是企業信息安全管理的威脅者。因此,HTP模型最為強調對企業信息安全管理工作人員的管理與監督。另外,HTP模式同樣是建立在企業信心安全體系,信息安全技術防范的基礎上,HTP模式采取了豐富的安全技術手段確保企業的信息安全。最后,HTP強調動態管理,動態監督,對于企業信息安全管理工作始終保持高強度的監督與管理,在實際工作中,通過HTP模型的應用,找出HTP模型中的漏洞并不斷完善。
四、完善企業信息安全管理與降低風險的建議
1.建設企業信息安全管理系統
(1)充分調查和分析企業的安全系統,建立一個全面合理的系統模型,安全系統被劃分成各個子系統,明確實施步驟和功能摸塊,將企業常規管理工作和安全管理聯動協議相融合,實現信息安全監控的有效性和高效性。
(2)成立一個中央數據庫,整合分布式數據庫里的數據,把企業的所有數據上傳到中央數據庫,實現企業數據信息的集中管理與有效運用。
(3)設計優良的人機界面,通過對企業數據信息進行有效的運用,為企業管理階層人員、各級領導及時提供各種信息,為企業領導的正確決策提供數據支持,根本上提高信息數據的管理水平。
(4)簡化企業內部的信息傳輸通道,對應用程序和數據庫進行程序化設計,加強對提高企業內部信息處理的規范性和準確性。
2.設計企業信息安全管理風險體系
(1)確定信息安全風險評估的目標
在企業信息安全管理風險體系的設計過程中,首要工作是設計企業信息安全風險評估的目標,只有明確了企業信息安全管理的目標,明確了企業信息安全管理的要求和工作能容,才能建立相關圍繞信息安全風險控制為目標的信息安全管理工作制度,才能順利通過對風險控制的結果的定量考核,檢測企業信息安全管理的風險,定性定量地企業信息安全管理工作進行分析,找準企業信息安全管理的工作辦法。
(2)確定信息安全風險評估的范圍
不同企業對于風險的承受能力是有區別的,因此,對于不同的企業的特殊性應該采取不同的風險控制辦法,其中,不同企業對于能夠承受的信息安全風范圍有所不同,企業的信息安全風險承受范圍需要根據企業的實際能力來制定。不僅如此,企業的信息安全風險評估范圍也應當根據企業的實際經營情況變化采取有針對性的辦法。
(3)組建適當的評估管理與實施團隊
篇5
1.1信息化機構建設不健全
電力企業很少為信息管理部門專門設置機構,因而缺乏應有的規范的崗位及建制。大多信息部門附屬在技術部、科技部或總經理工作部門下,甚至僅設置一個專責人員負責。信息化管理是一項系統性的工程,沒有專門的部門負責是不能滿足現代企業信息化安全的需求的。
1.2企業管理阻礙信息化發展
有些電力企業管理辦法革新緩慢,大多采用較落后的、非現代信息化企業的管理模式。這樣的企業即便引入最完善的信息管理系統、最先進的信息化設備,也只能受落后的企業管理模式所制約,無法發揮其應有的作用。
1.3網絡結構不合理
電力企業大多將公司網絡分為外網和內網,兩種網絡之間實行物理隔離措施,但很多企業的網絡交換機是一臺二層交換機,決定了內網和外網用戶在網絡中地位是平等的,導致安全問題只能靠完善管理系統去解決,給系統編寫帶來很多不必要的困難。
1.4身份認證缺陷
電力企業一般只建立內部使用的信息系統,而企業內部不同管理部門、不同層次員工有不同等級的授權,根據授權等級不同決定各部門和員工訪問的數據和信息不同。這類授權是以身份認證為基礎的信息訪問控制,但在當前的企業身份認證系統中大多存在缺陷和漏洞,給信息安全留下隱患。
1.5軟件系統安全風險較大
軟件系統安全風險指兩方面,一是編寫的各種應用系統可能有漏洞造成安全風險,二是操作系統本身風險,隨著近期微軟停止對windowsXP系統的服務支持,大量使用windowsXP系統的信息管理軟件都將得不到系統漏洞的修補,這無疑會給信息安全帶來極大風險。
1.6管理人員意識不足
很多電力企業員工網絡安全意識參差不齊,一方面是時代的迅速發展導致較年輕的管理人員安全意識較高,而對網絡接觸較少的中老年員工網絡安全意識較為缺乏;另一方面也有電力企業管理制度不夠完善、忽視對員工進行及時培訓的原因。在這種人員背景下,如果管理人員配備不當、信息管理系統設置不合理都會給企業信息埋下安全隱患。
2、電力企業網絡信息安全管理措施
要建立完善合理的網絡信息安全管理體系,需要各企業認清企業現狀,根據實際進行統一規劃,分部建設,保證建設內容能科學有效的運行。
2.1加強信息安全教育培訓
不論計算機程序有多么先進多么完善,如果操作管理人員素質和意識不足,那也不能保證企業信息化的安全。因此,實現企業網絡信息安全管理的根本在人,可以根據員工職責分層次進行培訓,一方面提高安全管理員工的專業知識水平及安全管理意識,另一方面加強對一線工作人員的安全意識教育,將網絡信息安全變為企業文化和精神支柱的一部分。
2.2完善管理制度建設
電力企業要把網絡信息安全管理視為一個系統工程來考慮,必須在企業內部建立起合理而完善的管理制度,比如:加強網絡日志管理;對安全審計數據嚴格管理;在企業網絡上安裝病毒防護軟件;規定不能隨意在內網主機上下載互聯網數據、不能在內網計算機上隨意使用來歷不明的移動存儲設備等。
2.3不斷更新完善信息安全管理系統
大力推進信息安全新技術的探索和應用,建立信息安全防護體系,可以圍繞數據庫安全、數據備份和恢復、網絡服務完全、病毒防護系統的應用、數據加密技術及數據傳輸安全等方面建立一個多方面多層次聯合的技術安全體系,從而提高信息系統安全防護能力,確保企業信息安全可靠。
3、總結
篇6
網絡信息資源是生活中普遍應用的一種資源,其自身的重要性逐漸凸顯,尤其在各大電力企業中,網絡信息安全管理成為企業發展的基本條件。但是由于我國電力企業起步比較晚,在現代化信息管理方面的研究尚淺,經驗缺乏,因此需要在企業管理中不斷改良信息管理模式,加強網絡化信息安全管理,提高電力企業信息安全度。
1 電力企業網絡信息安全管理的現狀及存在的問題
1.1電力企業信息服務器安全不能保障
電力企業信息管理系統結構比較復雜,它包含眾多信息服務器,主要有企業數據庫資源服務器、Web服務器、銀電聯網服務器和基本應用服務器等眾多復雜服務器。這些服務器擔負著電力企業網絡運行與發展,一旦電力企業的服務器受損,企業信息管理將癱瘓。而近年來網絡信息安全受到威脅,網絡攻擊手段不斷更新,電力系統服務器成為被攻擊的第一對象。在電力企業網絡信息管理中,管理人員不能對所有服務器進行系統管理,服務器經常受到網絡病毒襲擊,使得服務器工作受到干擾,公司信息機密沒有進行加密處理,容易被竊取。
1.2電力企業信息管理人員整體素質較差
在我國很多電力企業管理中,都存在重視企業團隊建設、重視技術養成、重視企業經濟效益,輕視企業信息組成和信息安全管理的現象。這也從另一方面說明了企業管理體制不完善,信息管理觀念差。由于電力企業信息管理制度的不完善,對信息管理人員的要求沒有明確規定,因而導致信息管理人員工作素質不高,對信息安全基本技能不能熟練掌握。例如簡單的SQL注入、腳本注入以及服務器防竊聽加密等操作,信息管理人員在在工作中疏忽將導致整個信息管理系統不能正常運行。
1.3電力企業信息管理網絡運用技術不成熟
按照有關規定,電力企業一般將信息網絡劃分為企業內網和企業外網,而來自內部網絡的信息風險不容忽視,主要是內部員工信息安全出現的問題,由于網絡管理人員對網絡結構和企業應用系統比較熟悉,在生活中或者工作中將信息外流,對企業網絡信息系統造成難以修復的傷害。內網與外網之間進行物理隔離,由于信息網絡結構存在著核心交換機選擇不合理的現象,導致信息安全問題不能及時解決,只能通過其他系統進行故障排查并解決。
2電力企業網絡信息安全管理存在問題的解決對策
2.1建立入侵保護系統IPS,提高網絡信息安全系數
在電力企業網絡管理系統中建立網絡入侵保護系統IPS,IPS能夠為信息網絡提供一種主動而實時的信息防御。它的設計理念是對常規網絡流量中攜帶的惡意數據包進行數據安全檢測,一旦發現可疑數據,IPS將發揮網絡安全防御功能,阻止網絡數據入侵電力企業網絡信息系統。對帶有攻擊性的流量進行主動攔截,避免對信息造成阻礙。它與常規的網絡防火墻相比具有更加高端的性能,它不僅能對網絡惡意數據流量進行檢測還能夠及時消除隱患,而不是簡單的對系統進行報警,IPS在功能上更加完善。在網絡系統中,IPS直接串聯到網絡中,它能夠為電力企業提供虛擬補丁,預先對黑客攻擊和網絡病毒進行攔截,使得外部攻擊不能進行,信息系統即使沒有最新安裝的補丁,由于IPS的防御也能保證網絡不受損害。此外IPS還能夠對電力企業網絡進行流量凈化處理,例如對蠕蟲和病毒造成的網絡系統癱瘓,電驢下載造成的寬帶資源被占用等現象,IPS都能夠對其進行清理,提高網絡環境利用率。信息系統中IPS的設計主要側重于訪問的控制,注重對外來干擾進行主動的防御,而不僅僅是檢測和日志記錄,為企業提供了全新的入侵保護解決方案。
2.2電力企業網絡信息安全管理引用PKI數字認證技術
PKI技術是公開密鑰理論和技術基礎上發展起來的一種綜合安全臺。CA基礎設施是數字認證系統面向其內部用戶的基礎服務系統,為數字認證提供管理服務。CA系統主要包括根CA、CA簽發系統、RA注冊管理系統、KM系統和LDAP目錄服務系統。其中,CA簽發系統是CA認證系統的核心服務,負責數字簽發。RA注冊管理系統主要負責提供用戶證書業務服務,對錄入及審核進行處理,如圖1所示。
篇7
隨著信息系統在企業中的廣泛應用,信息安全的問題逐漸突出和嚴峻,這就體現了進行現安全有效性管理的重要性。實現信息安全管理的有效性測量是對企業進行信息安全運行的風險問題進行評估,進而得出企業的信息安全系統能否同企業信息安全的控制水平相一致,體現了對于整體性提高企業信息安全管理水平的重要性。
【關鍵詞】
信息安全管理;有效性測量;方法
在21世紀的社會發展新時代,網絡、計算機、信息技術被大量的企業納入到自身的生產經營管理之中,在基本運行中會涉及到企業眾多的機密文件和信息,直接關系的企業的發展運行,所以,一旦出現安全問題就會對企業產生重要的影響。所以,在不斷深化的應用中,企業開始注重對信息安全的管理,并通過多樣化的技術手段和方式來進行強化,但是這樣的方式決定了對安全管理的有效性不能進行合理的把握和控制,并且對整體的安全水準也沒有實現準確的衡量。所以,如果企業只是強化了信息安全在技術方面的建設,而并沒有開展有效的安全管理評估工作,就會使信息安全系統在整體的規劃中存在缺陷和漏洞,所以,進行信息安全管理的有效性測量是極為重要的。企業也逐漸認識到其重要性,使得近年來,我國企業對于信息安全有效性的測量需求不斷增多,但是,在這方面我國起步較晚,存在著很多不足和缺陷,這就需要在有效的研究中尋找適當的方法來提升測量的整體有效性。
一、信息安全管理有效性測量的目的
通過實現有效性的測量,能夠真實評估和反映企業信息安全管理的整體水平,以使企業在后續的信息安全管理中有明確的發展目標和整體方向。企業進行信息系統的建立時,往往會依據企業自身的發展需求、信息組成、安全標準、組織結構、利益關系等方面的需求進行,進而構筑相應的信息安全的整體體系和相關模型。通過對企業的信息安全管理進行有效性的測量,可以在技術的管理支撐下客觀真實的反映企業信息管理的整體性評估,會能實現對企業信息安全管理目標的運行程度進行說明,并能對企業信息安全管理的系統效能開展準確科學的評測,為企業提供進行信息安全管理考核的基本依據[1]。就企業的整體發展實際來看,如果不開展信息安全管理的有效性測量,會使企業的整體管理水平只依賴于基本測評狀態下的運行管理水平,難以同真實的信息安全運行環境相脫離,造成企業在安全管理過程中的漏洞和誤差,使得企業在正常的運營和發展中的實際需求同所進行信息安全管理的整體水平不相一致,并且在對基礎環節下的表面數據有所依賴時,并不能發現運行中的不足和缺陷,更遑論進行有效合理的解決,極大化的為企業的發展運行埋下了信息安全的運行隱患。而通過有效性的測量活動,能夠準確的將企業在信息安全方面的漏洞進行定位,并且還能夠有效指導基本的解決策略,有效保障企業信息管理系統的整體安全和有效。
二、信息安全管理有效性的測量方法
在開展信息安全管理有效性的測量時,需要對進行測量的指標進行量化的處理,并最終形成具有實際可行性的量化測量指標。在測量中,不同的指標則需要不同的測量方法來進行,一般而言,具有風險分析、問卷調查、內部審核、滲透性測試、個人訪談、內外對比、風險評估、報表統計等不同的方法。通過不同指標的不同測量之后,能夠得得出各個指標的測度結果,在此基礎上再根據不同的技術需要對結果進行科學有效的取值管理,給各個指標賦予不同的安全分險權重,然后綜合計算企業信息安全管理有效性的整體水平[2]。比如在進行信息安全管理整體運行的有效性測量時,在對基本技術要求進行測量評估時,還需要對企業的環境安全、人員安全、業務聯系、安全意識、事件管理等開展管理有效性的評估,以保障最終結果的綜合有效性。在信息安全管理有效性的測量發展中,相關專業機構提出了同通過整體的系統模型來實現信息系統的整體安全性的方法。通過信息安全測量模型的建立,將信息系統運行中需要進行安全檢測的對象中的某一些屬性在通過一系列的檢測管理過程之后,得出最后的測量結果,其中最為重要的就是測量方法和基本測度。將測量對象的多個屬性應用不同的測量方法之后就能夠得到基本測度,而基本測量方法的獲取是通過多樣化的數據資源進行測量對象的數據獲取,比如風險評估結果、日志報表統計記錄、調查表、測量結果等途徑。就我國當前進行信息安全管理有效性測量的方式而言,在設定環節相對復雜和冗余,但在基本的項目實踐中得出如下的基本運行方法:
2.1審計監控系統回顧
在進行檢測時,需要盡可能的發現各個環節所存在違反和潛在信息安全的現象和事件,以實現有效的防治,實現影響的最小化[3]。
2.2糾正預防措施驗證
對已經納入整體有效性測量計劃的糾正預防措施,在開展檢測時進行檢查和回顧,以保證檢驗過程中對于信息安全管理系統所采取的各項措施是否合乎當下的現狀和企業具體要求。
2.3信息安全事故統計
主要是對已經發生過的安全事件進行統計和分析,以為檢測的有效性提供更加高效合理的方法指引,以實現進行更高角度的評估以及在控制措施方面的有效性。這樣的方式是將基本的計劃和檢測方式實現了有效的結合,并在各種方法的支撐下,實現綜合型的檢測,做到有效的預防和糾正,從不同的層面反應了進行信息安全檢測的有效性,并保障整體運行體系的完整有效性,進而形成一個有效的良性循環。
三、結束語
就我國的整體實際而言,信息安全管理有效性的測量方法,還處于基礎的起步階段,而且相關的各項理論研究和測量指標等也均沒有達到完善的階段,這就需要進行不斷的發展和探索,而且實踐證明,進行信息安全管理有效性的研究是有著極為廣闊的發展前景的,在保障整體信息運行管理的安全性基礎上,能夠使企業提升整體的競爭力和自身生存能力,并且能夠將測量中發現的問題和相關數據進行分析,然后具有針對性的使企業所存在的風險得到最大化的控制,最終達到基本業務的正常有效運行。
作者:薛擁華 鄧沖 陳宇 劉板浩 黃剛 單位:精誠瑞寶計算機系統有限公司
參考文獻
[1]朱英菊,劉紅麗,陳長松.信息安全管理有效性的測量研究[J].情報雜志,2010,01:73-76+41.
篇8
(1)內網網絡結構不健全。
現階段,我國的供電企業內網網絡結構不夠健全,未能達成建立在供電企業內部網絡信息化的理想狀態。中部市、縣級供電公司因為條件有限,信息安全工作相對投入較少,安全隱患較大,各種安全保障措施較為薄弱,未能建立一個健全的內網網絡系統。但隨著各類信息系統不斷上線投運,財務、營銷、生產各專業都有相關的信息系統投入應用,相對薄弱的網絡系統必將成為整個信息管理模式的最短板。
(2)存在于網絡信息化機構漏洞較多。
目前在我國供電企業中,網絡信息化管理并未建立一個完整系統的體系,供電網絡的各類系統對于關鍵流程流轉、數據存儲等都非常的重要,不能出現絲毫的問題,但是所承載網絡平臺的可靠性卻不高,安全管理漏洞也較多,使得信息管理發展極不平衡。信息化作為一項系統的工程,未能有專門的部門來負責執行和管理。網絡信息安全作為我國供電企業安全文化的重要組成部分,針對現今我國供電企業網絡安全管理的現狀來看,計算機病毒,黑客攻擊造成的關鍵保密數據外泄是目前最具威脅性的網絡安全隱患。各種計算機準入技術,可移動存儲介質加密技術的應用,給企業信息網絡安全帶來了一定的保障。但是目前供電企業信息管理工作不可回避的事實是:操作系統正版化程度嚴重不足。隨著在企業內被廣泛使用的XP操作系統停止更新,針對操作系統的攻擊將變得更加頻繁。一旦有計算機網絡病毒的出現,就會對企業內部計算機進行大規模的傳播,給目前相對公開化的網絡一個有機可乘的機會,對計算機系統進行惡意破壞,導致計算機系統崩潰。不法分力趁機竊取國家供電企業的相關文件,篡改供電系統相關數據,對國家供電系統進行毀滅性的攻擊,甚至致使整個供電系統出現大面積癱瘓。
(3)職工安全防范意識不夠。
想要保證我國網絡信息的安全,就必須要提高供電企業員工的綜合素質,目前國內供電企業職員的安全防范意識不強,水平參差不齊,多數為年輕職員,實際操作的能力較低,缺少應對突發事件應對措施知識的積累。且多數老齡職工難以對網絡信息完全掌握,跟不上信息化更新狀態,與新型網絡技術相脫軌。
2網絡信息安全管理在供電企業中的應用
造成供電企業的信息安全的威脅主要來自兩個方面,一方面是國家供電企業本身設備上的信息安全威脅,另一方面就是外界網絡惡意的攻擊其中以外界攻擊的方式存在的較多。現階段我國供電企業的相關部門都在使用計算機對網絡安全進行監督和管理,難以保證所有計算機完全處在安全狀態。一般情況下某臺計算機泄露重要文件或者遭到黑客的惡意攻擊都是很難察覺的,這就需要加強我國供電企業進行安全的管理,建立病毒防護體系,及時更新網絡防病毒軟件,針對性地引進遠程協助設備,提高警報設備的水平。供電企業的信息系統一個較為龐大且繁雜的系統,在這個系統中存在信息安全風險也是必然的。在這種情況下就要最大程度地降低存在的風險,對經歷的風險進行剖析,制定針對性的風險評估政策,確立供電企業信息系統安全是以制定針對性風險評估政策為前提的,根據信息安全工作的緊迫需求做好全面的風險評估至關重要。“掌握核心技術”不只是一句簡單的廣告詞語,還是國家和各個企業都應該一直貫徹落實的方針政策。為了避免外界對我國供電企業信息技術的操控,國家相關部門就必須實行自主研發信息安全管理體系,有效地運用高科技網絡技術促使安全策略、安全服務和安全機制的相結合,大力開發信息網絡,促進科技管理水平的快速提高,以保證我國供電信息管理的安全。
3結語
篇9
關鍵詞:信息安全;管理體系;PKI/CA;MPLSVPN;基線
在供電企業現代信息技術廣泛運用生產經營、綜合管理之中,實現資源和信息共享,為領導提供相關輔助決策。保障企業信息安全是企業領導層、專業人員及企業全員共同面對的。信息安全是集管理、人員、設備、技術為一體系統工程,木桶原理可以很好地詮釋信息安全,一個企業安全不取決于最強項,而取決最短板。信息安全需從制度建設、體系架構、一體化防控體系、人員意識、專業人員技術水平等多方面共同建設,才能有效提高企業信息安全,才能為企業生產、經營保駕護航。
1基層供電信息安全現狀
基層供電企業信息安全建設方面,在制度建設、安全分區、網絡架構、一體化防護、人員意識、專業人員技術水平等多方面存在不同程度問題。
1.1管理制度不健全,制度多重化
信息安全制度建設方面較為被動,大多數都是現實之中出現某一問題,然后一個相關制度,制度修修補補。同一類問題有時出現不同管理規定里,處理辦法不一,甚至發生沖突。原有信息安全管理制度寬泛,操作性較差。信息系統建設渠道不同,未提前進行信息安全方面考慮,管理職責不明,導致部分信息安全工作開始不順暢。
1.2安全區域劃分不明,網絡架構不清晰
基層供電企業系統建設主要由上級推廣系統和自建系統,系統建設時候相當部分系統未充分考慮系統,特別是業務部門自建系統更甚。網絡建設需要什么就連接什么,存在服務器、終端、外聯區域不明顯,網絡架構不清晰。
1.3未建立一體化安全防護體系
從近些年已經發生的各類信息安全事件來看,內部客戶端問題造成超過將近70%。內部終端用戶網絡行為控制不足,存在網絡帶寬濫用;終端接入沒有相應準入控制,不滿足網絡安全需求用戶接入辦公網絡,網絡環境安全構成極大風險;內部人員對核心服務器和網絡設備未建立統一內部控制機制;移動介質未實施注冊制管理等問題。
1.4未建立行之有效設備基線標準
網絡安全設備、操作系統、數據庫、中間件、應用系統等廠家為了某種方便需求,在設備和系統中常常保留有默認缺省安全配置項,這些恰恰是別人利用漏洞。基層供電企業在部署設備和系統時,沒有統一基線標準,沒有對設備和系統進行相應基線加固,企業存在潛在風險。1.5信息安全意識較差,技術水平參差不齊企業信息安全認識存在認識上誤區,常常認為我們有較強信息安全保護設備,外部不易攻破內部,事實上堡壘常常是從內部攻破的。比如企業員工弱口令、甚至空口令、共用相同密碼、木馬、病毒、企業機密泄露等,這恰恰是基層供電企業全員信息安全意識較為薄弱表現。專業技術人員缺乏必要自我學習和知識主動更新,未取得專門信息安全專業人員資質,處理問題能力表現參差不齊。
2必要性
信息安全為國家安全重要組成部門,電力企業信息安全為國家信息安全的重要元素,電網安全事關國計民生。2014年2月,國家成立中央網絡安全和信息化領導小組,將網絡信息安全提升前所未有高度。近年發生的“棱鏡門”事件,前幾年發生伊朗核電站“震網”病毒(Stuxnet病毒)網絡攻擊,其中一個關鍵問題就是利用移動介質擺渡來進行攻擊,造成設備癱瘓,這一系列信息安全事件都事關國家安全,因此人人都要有信息安全意識。首先要防止企業機密數據(財務、人資、投資、客戶等)泄漏;其次,保持數據真實性和完整性,錯誤的或被篡改的不當信息可能會導致錯誤的決策或商業機會甚至信譽的喪失;最后,信息的可用性,防止由于人員、流程和技術服務的中斷而影響業務的正常運作,業務賴以生存的關鍵系統如失效,不能得到及時有效恢復,會造成重大損失。建立嚴格的訪問控制,前面數據分級時有制定數據的“所有者”及給敏感數據進行分級,按照分級的要求制定嚴格的訪問控制策略,基本的思想是最小特權原則和權限分離原則。最少特權是給定使用者最低的只需完成其工作任務的權限;權限分離原則是將不同的工作職能分開,只給相關職能有必要讓其知道的內容訪問權限。通過對內部網絡行為的監控可以規范內部的上網行為,提高工作效率,保護企業有限網絡資源應用于主要生產經營上來。
3特點探析
通過我們對基層供電企業在信息安全存在問題及必要性來看,主要是管理制度、網絡信息安全技術、人員意識等方面存在問題,有以下特點。
3.1管理制度方面
常說信息安全“三方技術、七分管理”,制度建設對信息安全保障至關重要。信息安全管理制度應該有上級主管部門建立一套統一管理制度,基層供電企業遵照執行,可以根據各單位具體情況進一步細化,讓管理制度落地。從企業總體信息安全方針到具體專業制度管理上,實現全網一體化,規范化。
3.2網絡信息安全技術方面
上級專業主管部門,站在企業高度,制定專業技術標準和技術細則。從網絡安全分區、網絡技術架構、互聯網接入和訪問方式、終端安全管理、網絡準入控制等方面統一規劃,分布實施,最終實現企業網絡信息安全防控一體化。
3.3信息安全意識培養方面
企業員工信息安全意識培養是個長期的過程,不是通過一次兩次培訓就能解決的,采取形式多樣化方式來培養員工安全意識,可以通過集中培訓講課、視頻宣傳、張貼宣傳畫等方式進行。針對專業人員,要讓他們養成按照制度辦事習慣,用戶需要申請某項資源,嚴格按照制度執行,填寫相應資源申請,有時候領導打招呼也要按照制度流程來執行。長此以往,人人都會知道自己該做什么,不該做什么,該怎么做,企業信息安全意識就會得到極大提高。
3.4專業技術人員水平方面
信息安全技術日新月異,不學習就落后,不斷收集信息安全方面信息,共同討論相關話題,建立相應培訓機制,專業人員實行持證上崗,提升專業人員實際解決問題能力,有效提高人員專業素養,成為企業信息安全方面專家。
4實施和開展
從2009年開始,先后進行一系列信息安全建設,涉及到信息安全制度建設、網絡信息安全體系架構、信息安全保障服務、人員培訓等方面,整體提高基層供電企業信息安全狀況。
4.1信息安全制度建設
2010年開始信息安全體系ISO27001、27002建設,結合企業情況,形成30個信息安全相關文件,涵蓋企業信息安全方針、等級保護、人員管理、機房管理、網絡信息系統運行維護管理、終端安全、病毒防護、介質管理、數據管理、日志管理、教育培訓等諸多方面。2013年為進一步提示公司信息化管理水平,先后增加修改建設管理、實用化管理、項目管理、信息安全管理、運維管理、綜合管理5個方面14個管理細則。經過這一系列制度建設,基層供電企業有章可循,全網信息安全依據統一,明確短板情況。
4.2建設一體化網絡與信息安全防控
首先依據電監會5號文件要求,網絡架構按照三層四區原則進行部署建設,生產實時控制大區(Ⅰ、Ⅱ區)與信息管理大區(Ⅲ、Ⅳ區)之間采用國家強制認證單向數據隔離裝置進行強制隔離,網絡架構采用核心、匯聚、接入部署。網絡接入按照功能劃分服務器區、網管區、核心交換區、用戶辦公區、外聯區、互聯網接入區,在綜合數據網上,利用MPLSVPN,根據劃分不同VPN業務、隔離相互間數據交叉。建立全網PKI/CA系統,構建企業員工在企業數字身份認證系統,已建成系統進行未采用PKI登陸系統,進行相應改造結合PKI/CA系統,采用PKI登陸,在建系統用戶登陸必須集成PKI登陸。根據企業信息安全要求,進行互聯網統一出口,部署統一互聯網防控設備,建立統一上網行為管理策略,規范員工上網行為,合理使用有限互聯網資源,審計員工上網日志,以備不時之需。建立企業統一病毒防護系統,實現病毒軟件統一安裝,病毒庫自動更新,防護策略統一下發,定期統計病毒分布情況,同時作為終端接入內網必備選項,對終端病毒態勢比較嚴重用戶進行督促整改,有效防止病毒在企業內部蔓延,進一步進化內網環境。建立統一網絡邊界安全防護,在企業內網邊界合理部署防火墻、IPS、UTM,并將其產生日志發送到統一安全管理平臺,進行日志管理分析,展現企業內部信息安全態勢,預警企業內部信息安全存在問題。利用AD域或PKI/CA進行用戶身份認證,建設統一桌面管理,所有內網用戶必須滿足最基本防病毒、安全助手、IT監控要求方可接入內網,系統啟用強制安全策略,終端采用采用DHCP,用戶不能自動修改IP地址,在DHCP服務器上實現IP與MAC地址及人員綁定,杜絕用戶私自更換IP地址引起沖突。安全認證方面可以采用NACC或交換機802.1x方式進行,不滿足要求用戶,自動重定向到指定網站進行安全合規性檢查,滿足要求后自動接入內網,強制所有用戶采用統一網絡安全準入規則。實行移動介質注冊制,極大提高終端安全性,有效保護企業信息資產。建立內部運維控制機制,實現4A統一安全管理,認證、賬號、授權、審計集中管控。規劃統一服務器、網絡設備資源池,按照用戶需求,提交相應申請材料,授權訪問特定設備和資源,并對用戶訪問行為全程記錄審計。
5結語
篇10
【關鍵詞】電力企業;網絡信息安全;管理
新時代是網絡信息時代,全世界信息網絡系統都在迅猛發展中。電力企業作為各行業中重中之重的國家基礎行業,整個行業都對網絡信息系統有著極大的依賴性,網絡信息系統也以它快速、全面、及時的優點給電力企業帶來了極大的經濟效益。但是網絡信息系統所帶來的不僅是經濟效益,同樣還有信息泄露的巨大風險,一旦發生信息泄露或信息數據遭篡改,將為國家造成不可估計的經濟損失。
近年來全球范圍內計算機犯罪活動猖獗,不斷發生黑客入侵、電腦病毒肆虐事件,給電力企業敲響了警鐘,網絡安全防范刻不容緩。很多受害者的網絡硬件及軟件技術都處于時展的主流,然而依然發生信息安全受損事件,這充分證明,僅僅依靠軟硬件的更新是不能很好的提升網絡信息安全水平的,除了安裝網絡安全產品,同樣重要的還有網絡信息的安全管理措施。所以,各電力企業都必須認真面對和研究當前網絡信息安全問題,及時采取合理有效的防范措施。
1、我國電力企業網絡信息安全現狀
1.1電力企業信息化的優勢
進入二十一世紀以來,隨著網絡技術的迅速發展,我國電力企業的信息化也有著很大的進步:電力行業信息化設施較其他行業更完善,各電力企業主要崗位使用計算機工作的比率已經基本達到100%,而且90%以上都建立起了覆蓋本部機關工作的局域網;電力生產、調度自動化系統廣泛應用,已經形成了較成熟的管理模式。其中發電生產自動化監控系統、電力調度SCADA系統等,大大提高了生產過程和電力調度的自動化水平;電力營銷管理系統在全國各大電力企業廣泛應用,各地(市)級電力企業都已實現業務受理計算機化。同時各地也在大力建設客戶服務中心,已經有一批服務中心先行初步建立起來;國家電網公司及其下各級子公司開發應用了電力生產、設備安檢、電力負荷及營銷管理的企業管理信息系統,各大電力企業也在積極規劃企業信息化發展藍圖,大力進行企業信息化建設,推動實現電力工業現代化進程。
1.2當前存在的問題
上述信息化優勢證明我國電力企業近年來關于網絡信息化建設取得了一些成果,給行業信息化建設打下了良好的基礎,但在網絡信息安全管理方面仍普遍存在較多問題。
1.2.1信息化機構建設不健全。電力企業很少為信息管理部門專門設置機構,因而缺乏應有的規范的崗位及建制。大多信息部門附屬在技術部、科技部或總經理工作部門下,甚至僅設置一個專責人員負責。信息化管理是一項系統性的工程,沒有專門的部門負責是不能滿足現代企業信息化安全的需求的。
1.2.2企業管理阻礙信息化發展。有些電力企業管理辦法革新緩慢,大多采用較落后的、非現代信息化企業的管理模式。這樣的企業即便引入最完善的信息管理系統、最先進的信息化設備,也只能受落后的企業管理模式所制約,無法發揮其應有的作用。
1.2.3網絡結構不合理。電力企業大多將公司網絡分為外網和內網,兩種網絡之間實行物理隔離措施,但很多企業的網絡交換機是一臺二層交換機,決定了內網和外網用戶在網絡中地位是平等的,導致安全問題只能靠完善管理系統去解決,給系統編寫帶來很多不必要的困難。
1.2.4身份認證缺陷。電力企業一般只建立內部使用的信息系統,而企業內部不同管理部門、不同層次員工有不同等級的授權,根據授權等級不同決定各部門和員工訪問的數據和信息不同。這類授權是以身份認證為基礎的信息訪問控制,但在當前的企業身份認證系統中大多存在缺陷和漏洞,給信息安全留下隱患。
1.2.5軟件系統安全風險較大。軟件系統安全風險指兩方面,一是編寫的各種應用系統可能有漏洞造成安全風險,二是操作系統本身風險,隨著近期微軟停止對windows XP系統的服務支持,大量使用windows XP系統的信息管理軟件都將得不到系統漏洞的修補,這無疑會給信息安全帶來極大風險。
1.2.6管理人員意識不足。很多電力企業員工網絡安全意識參差不齊,一方面是時代的迅速發展導致較年輕的管理人員安全意識較高,而對網絡接觸較少的中老年員工網絡安全意識較為缺乏;另一方面也有電力企業管理制度不夠完善、忽視對員工進行及時培訓的原因。在這種人員背景下,如果管理人員配備不當、信息管理系統設置不合理都會給企業信息埋下安全隱患。
2、電力企業網絡信息安全管理措施
要建立完善合理的網絡信息安全管理體系,需要各企業認清企業現狀,根據實際進行統一規劃,分部建設,保證建設內容能科學有效的運行。
2.1加強信息安全教育培訓
不論計算機程序有多么先進多么完善,如果操作管理人員素質和意識不足,那也不能保證企業信息化的安全。因此,實現企業網絡信息安全管理的根本在人,可以根據員工職責分層次進行培訓,一方面提高安全管理員工的專業知識水平及安全管理意識,另一方面加強對一線工作人員的安全意識教育,將網絡信息安全變為企業文化和精神支柱的一部分。
2.2完善管理制度建設
電力企業要把網絡信息安全管理視為一個系統工程來考慮,必須在企業內部建立起合理而完善的管理制度,比如:加強網絡日志管理;對安全審計數據嚴格管理;在企業網絡上安裝病毒防護軟件;規定不能隨意在內網主機上下載互聯網數據、不能在內網計算機上隨意使用來歷不明的移動存儲設備等。
2.3不斷更新完善信息安全管理系統
大力推進信息安全新技術的探索和應用,建立信息安全防護體系,可以圍繞數據庫安全、數據備份和恢復、網絡服務完全、病毒防護系統的應用、數據加密技術及數據傳輸安全等方面建立一個多方面多層次聯合的技術安全體系,從而提高信息系統安全防護能力,確保企業信息安全可靠。
3、總結
電力企業信息化是不可避免的發展趨勢,因此要實現企業的可持續發展就必須做好企業信息網絡安全的管理,電力企業要在不斷的探索實踐中,摸索新時期網絡信息安全管理措施,不斷完善和健全網絡信息安全建設。
參考文獻
[1]王雋.電力企業網絡信息安全防護體系的建立[J].信息與電腦(理論版),2012,07:22-23.
