企業信息安全意識范文

時間:2023-10-10 17:43:26

導語:如何才能寫好一篇企業信息安全意識,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。

篇1

當前,網絡和計算機技術已經推動各行各業進入了數字化時代。數字化的企業承載著業務流和信息流,信息流引導業務流,業務流依附信息流,從而使企業的運行更加安全、可靠、優質、經濟。

信息系統承載著企業幾乎所有的運營管理信息,其安全性已經直接關系到整個企業的安全可靠運行。信息是企業的重要戰略資源,確保其安全是現代信息化企業必須面臨的重要任務。

隨著企業信息化建設的不斷深入,信息安全保障工作的重要性、迫切性日益凸現。如果網絡和信息系統的安全隱患得不到有效地防范,企業就極有可能遭受到惡意攻擊或破壞。信息安全事故不但會對公司業務、資產、形象造成影響,在某些行業,嚴重的還會引發區域性,乃至全國性的重大安全事故,其社會危害性無法估量。

據相關信息安全調查報告顯示,中國內地企業在信息安全管理方面存在滯后,信息安全與隱私保障方面遠遠落后于印度。數據顯示,內地企業44%的信息安全事件與數據泄露、員工不當操作等管理問題有關,而全球的平均水平只有16%。

調查顯示,中國內地企業在改善信息安全機制上仍有待努力,從近年安全事件結果看,中國每年大約98萬美元的財務損失,而亞洲國家平均約為75萬美元,印度大約為30.8萬美元。此外,42%的中國內地受訪企業經歷了應用軟件、系統和網絡的信息安全事件。

目前,國內的計算機信息安全從技術角度來看并不十分落后,但發展過程中暴露出很多管理方面的問題,例如信息安全管理人員意識、知識等方面的缺乏,急需大量補充。而且,授人與魚不如授人與漁,產品不是最重要的,重要的是要培養出安全的意識,否則企業的信息安全人員只是把產品買回去,并不能很好的發揮這些產品的作用,要從根本上解決安全的問題,必須提高員工的安全意識。

二、誤區多多,困難重重

面對瞬息萬變的安全形勢,企業并不是總能對癥下藥。尋找安全良方,避免種種安全的誤區,才是長遠的安全和發展之道。

誤區1:外部威脅大于內部隱患

要防范威脅,首先要了解威脅來自于哪里。通常,人們都會認為來自于計算機黑客、惡意代碼編寫者等外部的安全威脅遠遠大于內部的安全隱患,所以一般企業安全范圍的重點是在防范外部黑客攻擊,但是超過一半的威脅恰恰來自企業內部,外部攻擊僅占46%。

在內部安全威脅中,96%的是源于非蓄意的動機和錯誤;只有1%才是真正的惡意行為。由此看來,內部威脅之所以危害巨大,歸根結底,還是員工安全意識薄弱。

盡管在防范內部威脅方面,大多數企業還沒有拿出切實有效的方案。但是從安全調查來看,57.6%的企業已經表示,培養并提高員工的信息安全意識,將是自己所在企業未來一年里,打算采取的最關鍵的安全策略。企業在未來之所以越來越重視員工信息安全管理,要歸結于多個因素:近幾年對安全意識的討論越來越多,為安全意識從“概念”到“落地”做好了準備;安全廠商也在推出越來越多成熟、有效的產品和方案;不少企業的成功應用案例,也提供了很多借鑒性的經驗。當然,最關鍵的是,企業自身的確實存在這樣的安全需求,認識到了提高信息安全意識的重要性以及必要性。

誤區2:信息安全是IT部門的事,與其他部門無關

在某些企業中,IT部門員工就像是救火隊員,哪里出了問題就到哪里,東奔西走,十分辛苦。但是,就是這么一群任務繁重、任勞任怨的員工,卻得不到其他同事的理解和認同。當IT人員為其他部門進行安全控制時(如進行安全檢查、安裝防病毒軟件等),其他部門會反感,認為增加了他們的工作量,降低了工作效率。但當真正出現了信息安全事故時,其他部門又會責怪IT部門,認為其平時的安全防范工作沒有做好。所以,IT部門往往是出力不討好。

怎樣徹底改變其他部門對IT部門的看法,怎樣使公司全體員工主動、積極地配合IT部門的工作,甚至可以做到自查自糾?信息安全意識的提高無疑是關鍵。員工接受了安全意識宣貫之后,就會認識到保護信息的安全不僅僅是IT部門的職責,更是全體員工的責任;就會理解平時的安全措施不是綁著他們的繩索,而是護著他們的盾牌;就會在主動、自覺地規范自己的行為,防止信息安全事故的發生。

誤區3:重視技術產品的引進,忽略安全意識的培養

如今,便攜式的移動設備,比如U盤、PDA等,已經相當普及,移動辦公已經成為不可逆轉的趨勢。但同時,U盤中毒、失竊所導致機密信息泄露的事件也屢見不鮮。所以,大多數企業越來越重視對移動設備的保護。許多公司統一采購了具有加密、殺毒功能,甚至可以指紋識別的高科技安全U盤,分發給員工,旨在杜絕U盤泄密事件的再次發生,但往往未能達到預期效果。

嚴謹的加密技術,配合訪問控制技術,雖然可以在一定程度上防止移動設備上的數據被泄露,但依然無法防止員工不規范的使用,和移動設備的丟失或被盜。若員工把加密U盤插入自己的家庭電腦進行辦公,那么病毒依舊有可能入侵到U盤中,這樣再強的加密技術也無濟于事。

和歐美等國家相比,中國U盤傳毒的問題越來越嚴重,并且一直沒辦法根絕,這和員工缺乏安全意識緊密相關。通常,員工插取U盤時,很少會考慮到是否和公司的安全策略相違背,或者有可能引發公司的安全事故。

三、立體宣貫,提升實力

篇2

關鍵詞:移動終端模式;港口企業;安全管理;信息系統;設計

隨著現代信息技術的不斷發展,信息化技術在現代港口企業安全管理中的應用大大提高管理的效率。但目前一些港口企業的安全管理還存在著較大的問題,管理狀態還停留在原始的狀態上,給港口企業的安全管理帶來一定的困擾。因此本文通過建立港口安全管理的信息化平臺,改變港口安全管理的原始狀態,提高港口管理的效率。

一、港口安全管理模塊的功能性需求

港口安全管理是港口生產經營的重要保障,其主要的功能是確保港口的安全生產,保證港口的設施安保管理功能,建立應急管理備案和隱患排查制度,幫助港口企業提升對港口的安全監督,提高工作的效率,因此在設計港口安全管理信息系統時,該模塊的安全管理要滿足以下需求。

(一)安全文件備案:港口安全文件是上級部門的一些具有權威性的文件以及制定的一些制度性的文件,因此該模塊的設計要求顯示文件備案并允許上傳附件供用戶進行下載和瀏覽。

(二)隱患排查管理:隱患排查管理是保障港口安全生產的重要手段之一。港口企業要對自身的生產經營活動負主要的責任,需定期在港口生產經營的各個環節進行安全隱患排查工作,并保存在系統中進行公布。

(三)港口應急管理:港口應急管理包括多個方面的內容,需要建立相關的應急小組,設置應急的預案,準備各種應急的資源,定期進行應急演練等。應急預案的準備也就是對港口的安全管理實施安全文件,上級部門能夠對存在的安全隱患迅速的做出應急措施。

二、港口安全管理信息移動終端的設計

港口安全管理信息移動終端是以計算機網絡和地理信息系統(GIS)為基礎建立的一個安全可靠、高效職能、可擴展的安全生產監督、監察業務管理信息系統,它能為安全生產監督部門實現網絡化、數字化的協同辦公,進一步實現業務管理規范化、種學化、信息化。

三、港口企業安全管理信息系統結構和功能設計

(一)安全文件備案管理模塊:在安全文件備案管理模塊中,行政部門的用戶可以通過系統上傳安全的文件提供給港口企業進行下載和瀏覽。用戶使用對應的賬號登錄以后,對相應的模塊進行判斷,港口企業可直接查看信息,行政單位用戶可以進入到安全文件備案中進行直接的操作,可以添加和刪除安全文件的信息。在添加安全文件時用戶可以直接使用賬號登錄系統,進入到安全文件備案管理模塊,如果具有查看安全文件的權限,那么進入系統可以直接查看上級部門的一些行政性的文件或者制度性的文件。

(二)安全隱患排查模塊:安全隱患排查主要是檢查人員可以通過移動終端進行安全隱患的排查工作,并進入到相關的模塊中,檢查相關的隱患類型,如常規檢查、交接班檢查等,選擇一項后系統會自動的加載該項的所有項目提供給檢查人員檢查。如果想要重新進行檢查時可以選擇相應的類型,系統將會自動加載該類型的相關項目,檢查人員可以根據檢查的實際情況選擇自己所要檢查的內容。

(三)港口應急管理模塊:在應急管理模塊中,管理人員可以通過移動終端進入到系統中建立相應的應急預案和應急小組,對應急資源和信息進行管理和維護。應急管理人員進入到系統中可以對各自負責的應急資源和信息進行管理和操作,可以添加應急的資源和信息,更新應急的信息和資源。

(四)移動終端的管理:在港口安全管理中,對管理人員的績效考核往往是在事后進行核算,因此對于管理人員的業務水平很難形成動態的追蹤,在人員的管理中出現了較大的阻礙。為完善管理人員的考核工作,且能夠較準確的反應出人員對安全隱患的應急措施的有效性。

四、系統的試運行

系統試運行過程中,結合企業原有局域網系統,將軟件安裝在已有的服務器上,組織使用人員進行專題培訓。系統試運行正式開始,技術人員與軟件使用人員組織了多次溝通協調會,對系統功能進行了一系列補充和修改,系統的運行基本達到預期效果。從系統開始運行至今,安全管理信息系統在日照港的運行效果非常明顯,在系統運行之前,以1名普通安全管理人員為例,每月花費在文件整理歸檔上的工作大約占到其工作總量的46%以上,每月的工作時間大約在84工作時左右;在管理系統運行后這部分的時間被縮減至17個工作時,累計節約時間達到80%以上。

篇3

關鍵詞:網絡環境 企業信息 安全管理

引言

隨著社會的發展,企業對信息資源的依賴程度來越大,由此帶來的信息安全問題也日益突出。生產中的業務數據、管理中的重要信息,如果企業自身的信息安全管理有重大疏漏,也無法保證數據的安全可靠。當前,企業在黑客病毒日益猖撅的網絡環境下不僅要保護自身信息的安全,還要保護業務數據的信息安全,因此有必要從體系管理的高度構建企業信息安全。

一、企業信息安全的二維性

當前,企業信息安全已涉及到與信息相關的各方面。企業信息安全不僅要考慮信息本身,還需要考慮信息依附的信息載體(包括物理平臺、系統平臺、通信平臺、網絡平臺和應用平臺,例如PC機、服務器等)的安全以及信息運轉所處環境(包括硬環境和軟環境,例如員工素質、室內溫度等)的安全。資產如果不對影響信息安全的各個角度進行全面的綜合分析,則難以實現企業信息安全。因此,需要從企業信息安全的總體大局出發,樹立企業信息安全的多維性,綜合考慮企業信息安全的各個環節,揚長避短,采取多種措施共同維護企業信息安全。

1、技術維:技術發展是推動信息社會化的主要動力,企業通常需要借助于一項或多項技術才能充分利用信息,使信息收益最大化。然而,信息技術的使用具有雙面性,人們既可以利用技術手段如電子郵件等迅速把信息發送出去,惡意者也可由此截獲信息內容。為確保企業信息安全,必須合理的使用信息技術,因此,技術安全是實現企業信息安全的核心。

1)惡意代碼和未授權移動代碼的防范和檢測。網絡世界上存在著成千上萬的惡意代碼(如計算機病毒、網絡蠕蟲、特洛伊木馬和邏輯炸彈等)和未授權的移動代碼(如Javaseript腳本、Java小程序等)。這些代碼會給計算機等信息基礎設施及信息本身造成損害,需要加以防范和檢測。

2)信息備份。內在的軟硬件產品目前還不能確保完全可靠,還存在著各種各樣的問題。外在的惡意代碼和未授權移動代碼的攻擊,也會造成應用信息系統的癱瘓。為確保信息的不丟失,有必要采取技術備份手段,定期備份。

3)訪問權限。不同的信息及其應用信息系統應有不同的訪問權限,低級別角色不應能訪問高級別的信息及應用信息系統。為此,可通過技術手段設定信息的訪問權限,限制用戶的訪問范圍。

4)網絡訪問。當今,一個離開網絡的企業難以成功運轉,員工通常需要從網絡中獲取各種信息。然而,網絡的暢通也給惡意者提供了訪問企業內部信息的渠道。為此,有必要采用網絡防火墻技術,控制內部和外部網絡的訪問。

2、管理維:企業信息安全不但需要依靠技術安全,而且與管理安全也息息相關。沒有管理安全,技術安全是難以在企業中真正貫徹落實的。管理安全在企業中的實施是企業信息得以安全的關鍵。企業應建立健全相應的信息安全管理辦法,加強內部和外部的安全管理、安全審計和信息跟蹤體系,提高整體信息安全意識,把管理安全落到實處。

l)信息安全方針和信息安全政策的制定。信息安全方針和信息安全政策體現了管理者的信息安全意圖,管理者應適時對信息安全方針評審,以確保信息安全方針政策的適宜性、充分性和有效性。

2)構建信息安全組織架構。為在企業內貫徹既定的信息安全方針和政策,確保整個企業信息安全控制措施的實施和協調,以及外部人員訪問企業信息和信息處理設施的安全,需要構建有效的信息安全組織架構。

二、企業信息安全構建原則

企業信息安全構建原則為確保企業信息的可用性、完整性和機密性,企業在日常運作時須遵守以下原則。

l)權限最小化。受保護的企業信息只能在限定范圍內共享。員工僅被授予為順利履行工作職責而能訪問敏感信息的適當權限。對企業敏感信息的獲知人員應加以限制,僅對有工作需要的人員采取限制性開放。最小化原則又可細分為知所必須和用所必須的原則,即給予員工的讀權限只限于員工為順利完成工作必須獲的信息內容,給予員工的寫權限只限于員工所能夠表述的內容。

2)分權制衡。對涉及到企業信息安全各維度的使用權限適當地劃分,使每個授權主體只能擁有其中的部分權限,共同保證信息系統的安全。如果授權主體分配的權限過大,則難以對其進行監督和制約,會存在較大的信息安全風險。因此,在授權時要采取三權分立的原則,使各授權主體間相互制約、相互監督,通過分權制衡確保企業信息安全。例如網絡管理員、系統管理員和日志審核員就不應被授予同一員工。

三、企業信息安全管理體系的構建

信息安全管理體系模型企業信息安全管理體系的構建要統籌考慮多方面因素,勿留短板。安全技術是構建信息安全的基礎,員工的安全意識和企業資源的充分提供是有效保證安全體系正常運作的關鍵,安全管理則是安全技術和安全意識恒久長效的保障,三者缺一不可。因此,在構建企業信息安全管理體系時,要全面考慮各個維度的安全,做好各方面的平衡,各部門互相配合,共同打造企業信息安全管理平臺??茖W的安全管理體系應該包括以下主要環節:制定反映企業特色的安全方針、構建強健有力的信息安全組織機構、依法行事、選擇穩定可靠的安全技術和安全產品、設計完善的安全評估標準、樹立.員工的安全意識和營造良好的信息安全文化氛圍等。因此,為了使企業構建的信息安全管理體系能適應不斷變化的風險,必須要以構建、執行、評估、改進、再構建的方式持續地進行,構成一個P(計劃)、D(執行)、C(檢查)、A(改進)反饋循環鏈以使構建的企業信息安全管理體系不斷地根據新的風險做出合理調整。

四、結論

信息安全管理體系的構建對企業高效運行具有重要意義。只有全面分析影響企業信息安全的各種來源后才能構建良好的企業信息安全管理體系。從大量的企業案例來看,技術、管理和資源是影響企業信息安全的3個角度。為此,應從技術、管理和資源出發考慮信息安全管理體系的構建原則和企業信息安全管理體系應滿足的基本要求。同時,也應注意到,信息安全管理體系的構建不是一勞永逸而是不斷改進的,企業的信息安全管理體系應遵從PDCA的過程方法論持續改進,才能確保企業信息的安全長效。

參考文獻:

篇4

(一)信息化安全認知匱乏

在我國,大多數中小企業信息建設管理中存在著明顯的認知不足,全球聯系的增強和市場的激烈競爭促使中小企業認識到了信息化建設的重要性,但是缺少足夠的信息安全管理認知,日常安全管理工作過于疏忽,沒有形成科學有效地安全管理體制,作為重要保護對象。中小企業內部不同的信息需要不同的方式進行安全管理,由于企業對于信息安全管理的重視程度不夠,針對安全管理投入力度難以形成有效的安全體系,無法保證信息安全。

(二)信息化安全管理制度不夠完善

由于我國信息化建設起步較晚,我國中小企業相較于西方發達國家信息建設程度還有所欠缺。企業內部對于信息安全管理缺乏科學的規章制度,難以做到信息合理有效的安全防護。安全管理制度的不完善導致了各項制度之間出現混淆,安全職責定位不夠明確,安全問題出現無從追求,這種現象在中小企業信息泄露中時有發生。

(三)缺乏相關技術人才

大部分中小企業由于對信息安全管理重視程度不夠,投入力度較輕,導致安全管理出現盲區。信息安全建設過程中對于相關人才的培養力度不夠,企業內部缺少專門的技術人才對安全管理盲區予以修復,進而導致信息泄露。

二、中小企業信息化安全管理完善措施

(一)強化信息安全意識

企業信息安全是企業健康平穩發展的基礎,由此中小企業內部每個員工都應該予以承擔相應的義務和責任。強化員工對于信息安全的意識,相比于技術安全更值得重視。所以,企業內部必須強化員工信息安全意識,營造內部良好的安全意識氛圍,提升員工信息安全防護能力。

(二)完善安全管理制度

有效地安全措施離不開科學的安全管理制度,企業需要強化制度建設力度,做到安全管理有章可循,對于企業內部用戶相關信息權限予以限制,明確,減少個人操作可能引發的信息泄露風險。在企業不斷發展的過程中,制度應隨著企業發展而創新升級,以滿足企業發展的需要。

(三)重點培養信息安全管理人才

任何一個企業發展的根本動力都是人才的支持,優秀的人才能夠促進企業內部穩定,工作效率提升,企業發展收益增強。在企業發展過程中,安全管理盲區需要相應的技術人員進行定期檢查,維護,針對存在的安全隱患及時有效地解決,規避風險的發生。

三、結論

篇5

1.企業信息安全事件發生狀況

調查顯示在過去的1年內(2012年1月~2012年12月),超過93.2%的被調查企業發生過信息安全事件,其中發生信息安全事件次數超過5次的占被調查企業的13.1%。這一調查結果表明,河北中小企業信息安全形勢非常嚴峻,如何保護信息系統安全已經成為中小企業信息化建設首要面臨的問題。

2.目前中小企業信息安全面臨的主要威脅

調查發現,近1年內,82.1%的被調查企業遭受過病毒、蠕蟲或木馬程序破壞;47.3%的企業遭受過黑客攻擊或網絡詐騙;33%的企業遭受過垃圾郵件和網頁篡改的干擾,還有28%的企業遭受的破壞竟然來自企業內部員工的操作。這一調查結果表明,病毒泛濫、網絡詐騙、黑客攻擊、垃圾郵件和來自企業內部員工破壞是河北中小企業面臨的最主要信息安全威脅。其中,病毒和木馬程序的破壞尤為嚴重,直接造成企業數據丟失、信息泄漏甚至系統癱瘓等后果,嚴重威脅著企業的信息安全。

3.企業信息安全保護措施現狀

調查發現,93.7%的被訪企業采用了殺毒軟件進行病毒防護和監控,25.1%的被訪企業裝有入侵檢測系統和硬件防火墻,54.8%的被訪企業采用了身份認證技術和設置訪問權限進行信息保護。同時,通過調查也發現,只有不到29.5%的企業有定期的數據備份,僅有6.9%的企業為重要信息進行了數據加密。這一調查結果表明:在信息安全技術防護方面,幾乎被訪企業都采取了信息安全保護措施,但是大部分企業卻只停留在病毒防護和身份認證的水平上,而缺少數據完整性和數據加密等保護技術。

4.信息安全管理保障措施情況

調查發現,在信息安全管理保障措施方面,25.7%的被訪企業設立了專門的信息安全部門及相應的專職管理人員,44.6%的企業制定了企業信息安全管理制度,只有8.5%的企業能夠對信息安全狀況進行定期的風險評估,而制定信息安全事件應急處置措施的企業卻只有5.3%。這一調查結果表明:河北中小企業信息安全保障組織構架設立不完善、缺乏信息安全管理制度,定期的信息安全風險評估以及信息安全應急處置預案措施嚴重缺失。

5.信息安全經費投入狀況

調查發現,23.5%的被訪企業信息安全方面的經費投入占整個企業信息化總投資的比例低于5%,39.6%被訪企業同樣投資比例在5%~10%之間,只有38.5%的企業信息安全方面的經費投入已經超過企業信息化總投資的10%。這一調查結果表明:河北中小企業安全意識淡薄,信息安全經費投入嚴重不足,低于國外20%~30%的投資比例。

二、對策與建議

通過課題組調查發現,網絡環境下河北中小企業的信息安全問題突出,主要表現在認識誤區、資金不足、技術薄弱和信息管理制度缺失等方面,要全面解決,必須從法律、技術和管理等幾個方面全盤考慮綜合治理。法律、技術和管理三者相輔相成,缺一不可,才能共同保證中小企業信息系統可靠安全運行。

1.法律法規層面加強政府支持力度和引導力度

僅僅靠中小企業自身搞信息安全防護是遠遠不夠的,在此過程中,政府的支持、鼓勵與引導是至關重要的。因此,政府應不斷完善信息安全相關法律法規的建設,加快網絡安全的基礎設施建設,加大打擊網絡犯罪的力度。同時,針對河北中小企業特點,當地政府應加大企業信息安全重要性的引導和宣傳,讓中小企業特別是企業的領導者,充分認識到企業信息安全的重大意義與作用,從而在日常企業決策中對企業信息安全建設投資有一定的傾斜,完善企業信息安全體系建設。從長遠發展角度和戰略高度來重視企業信息安全。

2.技術層面

設計實施多層次、多方位的網絡系統安全保護技術,以提高企業風險防范的技術水平。風險防范是一個復雜的系統工程,從技術角度,建議從以下幾個方面來實現:

(1)建立網絡身份認證體系。網絡環境下河北中小企業的各種商務活動,都需要對參與商務活動的各方進行身份的鑒別、認證,這就需要在企業內部建立網絡身份認證體系來證實各方的身份,以保證網絡環境下各交易方的經濟利益。

(2)配置高效的防火墻。在企業內部網與外聯網之間設置防火墻,從而實現內、外網的隔離與訪問控制,在他們之間形成一道有效的屏障,是保護企業內部網安全的最主要、最有效、最經濟的措施之一。

(3)定期實施重要信息的備份和恢復。企業要對核心的數據和應用程序進行實時和定期的備份工作。并把備份數據的副本存儲在光盤上,這樣就可以避免一旦發生安全事故關鍵的應用程序和數據丟失給中小企業帶來的巨大損失。

(4)對關鍵數據進行加密。企業的各類數據和應用程序,是企業多年發展中積累下來的寶貴數據資源,也是企業決策的重要依據。因此,要對這些關鍵數據進行加密處理,以提高數據的安全性,防止企業私密數據信息被泄露和竊取。

篇6

1.企業信息化建設的重要性

信息化發展對于企業人員日常的管理,相比較原來舊的方法而言更方便快捷、更高效;對于企業的整體發展的影響,相比較原來用人來發現風險,信息化大數據管控更能提前預知風險并幫助企業更好地解決問題;對于企業組織結構和流程的影響,集成化的網絡信息系統是提高質效的一把利器。但現實使用中,企業的信息化進程存在安全度低、信息泄露嚴重和安全意識低等現象,導致企業和用戶損失大量人力物力,甚至受到巨大損失。由此可見,信息化建設對企業發展有著不可小覷的作用,能比原來的模式更有效處理問題、促進企業發展,是所有企業在發展過程中不可或缺的一個環節。

2.企業信息化建設中的網絡安全問題

2.1網絡安全意識不強

科學技術的不斷發展進步,對于企業發展的影響作用不言而喻,但是,相當一部分企業卻只看到益處卻忽略了“信息安全”的重要性。

近年來,在技術、社會和政府等多方面的努力下,企業的信息化建設發展速度加快,取得很大的進展,其重要作用毋庸置疑,各個企業都越來越重視信息化的進步。但在新聞報道中,經常見到有信息非法獲取、信息交易導致用戶信息泄露,這也是每個企業需要反思的問題。數據泄露、信息是否安全等問題并沒有引起所有企業的重視,嚴重的不僅會導致用戶信息泄露,如果發生企業數據庫被篡改、網絡系統崩潰等事件,給企業帶來的名譽和財產損失不可估量。

2.2技術水平不高

世界范圍內都存在一個不好處理的網絡難題———黑客。企業在信息化發展的過程中,免不了遇到技術問題,由于有關人員或團隊自身的水平不夠和相關方面的經驗的缺失,不可避免會存在某些漏洞和問題,這些漏洞和問題恰恰給了黑客絕佳的機會,讓他們有機會盜取信息。即使是市面上使用的各個“管家”與殺毒軟件也完全檢測不到,對企業的安全構成非常大的威脅。

2.3可使用的高水平軟件少

一方面是供研發企業使用的高水平軟件較少;另一方面是軟件安全度低,很多公司雖然看到信息化發展的好處,但卻貪圖低成本的小利益,花費小成本購買使用安全保護性低的工作軟件,結局只會帶來難以挽回的后果。

3.企業信息化建設提高網絡信息安全性的措施

3.1切實提高企業安全意識

科學技術的進步,促進企業重視信息安全,思考信息安全問題和公司發展之間不可分割的關系,因為信息泄露帶來損失還是小事,如果因此減少了企業競爭力,甚至阻礙了企業發展才是最可怕的結果。因此,企業應當提高安全意識,提前準備對策、制定應對突況的策略,防止信息泄露等潛在威脅,將威脅扼殺在搖籃之中。通過建立高技術水平的團隊,運用專業知識和工作經驗切實增強防火墻安全度,定期維護信息系統,從源頭的技術傳輸階段維護信息安全,建立完善的信息保護制度,以此來保護信息安全、促進企業發展。

3.2提高信息系統的管理水平

雖然現在大家都在普遍使用《金山毒霸》《騰訊管家》等安全防護軟件,但是這些軟件也不能保證絕對的安全。改革舊的風險評估模式,健全信息篩選管理安全體系,在一定程度上可以提高安全系統等級、減小信息被盜的風險,在信息系統建立過程中,及早發現風險并妥善處理對企業發展尤其重要。

3.3使用安全性高的軟件

歸根結底,所有的安全問題都是安全性低所導致的。雖然說沒有絕對安全的東西,但是相比于安全性低的軟件,安全性越高的軟件,保護能力也越強,能更好地保護信息安全。因此,企業千萬不能貪圖小利益使用低防護級軟件,保護信息安全,維護自身發展利益才是最重要的。

篇7

一、制造型企業信息安全的必要性

隨著我國市場信息化水平加深,網絡技術已經成為了推動社會發展重要因素之一。網絡的便捷性,使得任何人都可以利用網絡接受、傳送大量的網絡信息,或者是存在網絡云盤之中。而網絡的公開性,也導致網絡對于任何人來說都沒有門檻,這也是竊取信息的問題不斷發生的主要原因。對于企業來說,尤其是制造型企業,一旦企業賴以生存的核心技術被盜取,幾十年的勞動成果皆拱手送人,企業將承受巨大的、甚至是毀滅性的損失。

企業信息泄露還有一種就是人才流動,現如今企業人員流動較大,企業信息可能被直接帶到其他企業之中,這也是個比較棘手的問題。

另外一種情況是隨著企業之間的合作不斷增加,企業外派員工成為常見的現象,這樣就加大了企業間的交流和接觸時間,對于本企業的信息泄露也許就是在不經意間。

無論是網絡問題還是人為問題,如果造成企業信息泄露,其對自身企業的損害是非常大的。以技術為核心的制造型企業加強信息安全管理勢在必行。

二、制造型企業信息安全管理的現狀及問題

1.企業信息安全管理的被動性

制造型企業的工作重點在產品制造與生產,對于網絡信息管理意識薄弱,很多時候企業只有發現企業信息泄露或者遭受病毒的攻擊等安全事件,才會關注企業信息安全問題,進而調動技術部門前來解決問題。這很大程度上反映制造型企業對網絡信息安全不夠重視,只有出現信息安全問題時,才組建臨時小組來解決企業信息問題,待到問題解決后小組便被解散,沒有對企業信息后序的監督和管理,企業信息安全管理缺乏系統策劃和制度化要求,管理活動臨時性強,缺少日常的維護和預防,導致更多的是重蹈覆轍,這樣不僅沒有為企業省下對安全管理的資金,相反的恰恰是增加了企業的資金投入,直接增加了企業安全管理的成本。同時因為臨時小組的組建,使得人員調動頻繁,大大降低了工作效率,進而對企業的經濟效益造成影響。

2.員工使用內部系統連接外網

雖然大部分制造型企業對企業自身的內網進行了防護監測,而且對員工上網和網頁瀏覽采取了一定的限制措施,但是實際上,企業對員工上網的控制落實程度不夠,員工依舊可以在工作時間使用企業網絡進行外部網絡連接,而且對于一些網站毫無防備。而網絡病毒是時刻都在通過網絡攻擊使用者的,特別對于企業內部網絡,黑客更是隨時隨地緊盯著企業內網出現漏洞,進而竊取企業內部信息。由于企業員工的疏忽,會有很大幾率使得企業信息出現安全隱患,輕則影響企業正常的生產工作,重則企業商業、技術信息被盜取或者企業內網癱瘓甚至縱,為企業帶來非常嚴重的后果及損失。

3.移動設備限制力度不夠

制造型企業在信息安全管理方面通常采取的措施是限制流水線工人的移動設備使用,但是對于辦公部門卻沒有嚴格要求,辦公人員可以自由攜帶智能手機、筆記本電腦、pad、硬盤等移動設備。因辦公人員要對數據進行處理,會導致企業內部信息被無限制地拷貝。而且現如今的移動智能設備都能直接通過企業的無線網絡,連接企業內網以獲得權限,這樣的確提高了企業內部的辦公效率,同時也給黑客病毒提供了通過無線網絡進行傳播的機會,提高了企業內部信息安全的風險。

4.信息安全防護技術水平低

在我國,普遍存在信息安全研發技術水平較低的情況,這也是制造型企業安全技術不高的原因之一。制造型企業的工作重心偏重于生產、制造及商務活動中,而對于網絡安全的防護意識不高。

作為企業,都會有一些信息安全意識。在企業成立初期,信息安全防護措施通常會被考慮并采納,尤其是一些進口設備,但僅僅依賴進口設備是遠遠不夠的。第一,進口設備雖然技術先進,但是出現問題是在所難免的,往往出問題的是一些關鍵的零部件,這些零部件不僅難以拆卸且是整臺設備的技術核心,設備廠商必然會控制其銷售渠道。第二,很多企業過于相信進口設備的技術,力爭做到一步到位,使得企業發展中前期安全防護的確不錯,但是卻忽略了系統的更新和維護,網絡病毒每天新出幾萬種,就算設備再先進,如果不進行更新,遲早會被病毒攻破。第三,很多企業都采用家用式免費殺毒軟件,這些殺毒軟件更新頻率快,一些簡單病毒、木馬都能有效查殺,對家用來說但是對企業來講遠遠不夠,企業一般是黑客重點關注的對象,黑客往往會研制更先進的病毒來攻克企業的防火墻,一些免費殺毒軟件很容易被攻破,增加制造企業內部信息安全問題。

5.企業出現安全問題處理方法不當

現如今研發病毒的技術快速而先進,病毒出現時的及時處理是非常重要的,我國制造型企業在出現信息安全問題的時候,雖然有相關的殺毒軟件,但因為大部分都是免費的,其更新速度雖然頻率高,相對滯后性比較強,對于新病毒無法第一時間發現、處理。而且許多病毒都是潛在性的,企業內部系統中毒之后沒有任何異樣,這就導致企業內部人員無法及時發現企業內網是否被越權或遭到攻擊。同時,由于很多企業缺少專門管理信息安全的部門,并且對于病毒侵入缺乏有針對性的安全對策和應急措施,這就導致就算病毒被發現,企業在第一時間也無從下手。

三、制造型企業容易出現安全問題的原因

1.企業內部信息安全意識低

制造型企業的本質是通過生產經營活動而獲得盈利,因此制造型企業的工作重點主要是企業生產、制造以及流通和服務。在此情況下,企業更關注盈利情況,而缺乏對信息安全的管理意識,對信息安全管理的重視度不足。導致這一現象的重要原因是安全防護不能為企業帶來直接的經濟效益,反而要投入大量的人力、物力、財力。另一方面,從安全管理角度來說,沒有事故發生才是管理績效的體現。相對于質量管理、生產安全管理來說,信息安全管理的管理性質是類似的,但因為其管理對象的不可見性,往往容易被企業高層忽視。同時,一般也會存在僥幸心理,感覺企業內部網絡不會受到黑客攻擊,或是認為就算受到病毒攻擊也不會對生產經營造成什么大影響,對企業整體利益影響不大?;鶎訂T工更是不明白什么是安全防護,對企業安全防護的重要性一無所知,這就導致許多企業內部信息技術會從員工口中泄露。

2.信息安全管理模式不夠完善

制造型企業信息安全問題頻發的原因,究其根本就是因為企業信息安全管理模式不夠完善,具體原因是制造型企業不重視信息安全管理、缺少系統規范的信息安全管理制度、缺乏專業的信息安全管理技術和安全管理人員,企業信息系統設計沒有風險評估、沒有完善的業務流程,信息安全管理存在頭痛醫頭腳痛醫腳的現象。

3.信息安全系統沒有應急措施

制造型企業信息安全系統缺少應急措施,也可以說沒有自我保護系統。自我保護系統是一種比較先進的技術,一旦有病毒侵入系統,系統會自動對重要信息進行加密、封鎖,待系統安全后自動解鎖。然而由于對信息管理的意識不足,使得很多制造型企業沒有建立信息安全自我保護系統。在我國,諸多制造型企業在信息管理方面更多的是依靠員工的經驗,對于網絡自身的保護信任度不足,也缺少對信息安全管理技術發展的關注和引用。

四、制造型企業信息安全管理存在問題的對策

綜上所述,制造型企業信息安全問題是由很多因素造成的,包括管理層的重視方面、技術方面、人員管理方面等。首要的,企業應提升對信息安全管理的重視程度,只有加強意識,并建立有效的信息安全防范措施,才能有效保護企業自身的核心競爭力,以獲得在市場經濟中更好的發展。

1.提高企業內部員工的信息安全意識

很多制造型企業信息泄露都是內部員工無意間透露出去的,這也是最常見的企業內部信息泄露渠道,企業應充分重視員工的信息安全教育,定期對企業內部員工進行信息安全培訓及考核,通過教育向員工灌輸信息安全的基本知識和常識、企業內部信息的重要性、一旦發生企業核心技術泄露將產生的嚴重后果等信息。加強企業內部員工信息安全意識,也就是從根本上降低了企業信息安全隱患,企業中如果基層員工都非常了解并重視信息安全問題,那么這個企業在信息安全管理方面必然非常完善有效。

2.建立健全企業信息安全管理機制

由于很多制造型企業缺少健全的信息安全管理機制,這就給了很多黑客病毒更多的侵入機會。一套完善的信息安全管理機制能夠有效的保護企業信息安全,降低安全隱患。制造型企業應該建立健全企業信息安全管理機制,設立專門的企業信息安全管理部門,這樣能最大程度保證信息的日常安全防范,也保證了一旦出現安全問題,企業能更好、更快地解決問題,健全的管理機制能夠對風險有一定的預見性,把風險降到最低。

3.加大對信息安全管理的資金投入

任何新型技術都離不開資金的投入,信息安全管理同樣也是,而且信息安全管理更多的屬于技術型投入,對資金依賴性更高。制造型企業想要獲得可持續發展,就必須要把目標放得更加長遠。企業內部信息往往是一個企業的核心,因此企業應提高對信息管理的重視程度,加大對信息安全系統的投資,把信息安全管理作為企業管理重要的一部分,信息安全管理資金劃作專項資金專款專用。企業對信息安全管理的投資要有計劃性,確保突況的資金投入、技術更新的資金投入、管理人員的資金投入、安全教育的資金投入等。把信息安全管理納入企業整體的發展規劃中,這樣才能保證企業信息更加安全,企業才能獲得長足的發展。

4.加大對信息安全管理人才的認識

因為信息對企業生存至關重要,信息安全甚至會影響到企業的發展戰略的制定和落實,制造型企業應當把信息安全管理與生產經營提高到同一個層次。企業內網是網絡技術領域,既然是技術,就離不開專業人才的支持,企業應該加強信息安全管理的人才培養,提高企業信息安全管理的質量。如果企業內部沒有專業的信息安全管理人才,企業可以通過對外招聘的形式,在社會中尋求人才?,F如今互聯網技術已經逐步走向成熟,計算機人才更是越來越多,所以,制造型企業在社會中尋找信息安全管理的人才不會很難,同時還能促進計算機技術人才就業,對于企業自身以及社會都有很大意義。

5.加強企業內網管理

一般來說,企業內網系統中的信息很多都屬于商業機密,基層員工是無權了解的。制造型企業應該把各個層級的員工賬號及內網系統中的信息進行分類管理,按信息等級設置不同的訪問權限和防范措施,以免企業員工在使用內網時網絡病毒通過權限竊取過多的企業信息。另外,很多企業信息泄露都是由于某些員工通過企業無線網連接外網導致企業系統中毒,針對此類情況企業要制定相應的政策和管理制度,通過對硬件的管理和網頁訪問權限設置,嚴禁員工上班時間通過移動設備隨意連接外網。

五、結束語

篇8

【關鍵詞】企業信息 現狀 措施

隨著信息技術和網絡技術的快速發展,信息安全問題引起了社會各界的廣泛關注,并且已經成為當今時代十分重要的研究話題。影響企業信息安全的因素諸多,除了網絡本身的開放性之外,內部用戶訪問控制以及用戶身份識別等系統還不夠完善,會給企業信息安全帶來巨大的威脅。信息安全技術主要就是控制數據,保障數據傳輸的安全性和可靠性。

1 企業信息安全的意義

1.1 信息安全是時展的需要

隨著計算機網絡的快速發展,不僅改變了人們生活和工作方式,也給企業的商務運行帶來了全新的模式,改變了傳統企業生產和管理模式,進一步推動了我國社會的發展。企業信息安全技術得到了進一步的重視和發展,并且逐漸的與國際先進水平接軌,為企業國際化發展提供了強有力的支持。

1.2 信息安全是企業發展的需要

我國大部分企業積極的引用了信息技術和安全技術,信息技術和網絡技術給企業帶來了諸多優勢,比如生產效率的提高、成本的降低以及業務拓展等優勢。目前企業的信息和數據主要都是以電子文檔的形式保存,對于企業來講,信息安全技術是保障企業信息和數據不收侵害和威脅的基礎保障之一,更是企業生存的保障,所以,必須要提高信息安全技術,避免網絡和信息系統中可能存在的風險,逐步的建立信息安全保障體系,有利于企業的可持續性發展。

1.3 信息安全是企業穩定的必要前提

信息安全是保障企業穩定發展的重要措施,必須要充分的認識到信息安全工作的重要性和長期性,無論是從企業的經濟效益還是企業的穩定發展等角度來考慮,必須要做好信息安全工作,做好基礎性工作,在建立信息安全保障體系的時候,必須要建設良好的網絡環境,重視信息戰略,保障企業的信息化能夠健康發展。

2 企業信息安全的現狀

2.1 企業缺少信息安全管理制度

企業信息安全功過還是一個比較嶄新的領域,相關的法律法規還不夠完善,并且信息安全技術和手段還沒有成熟,進而導致相關規定和標準并不能貫徹執行,安全標準和規范也是比較缺少的,從而并沒有制定科學、合理的信息安全管理制度。企業信息系統安全問題是一項非常科學的系統工程,所涉及的范圍比較廣,隨著科學技術的快速發展,信息技術和網絡技術不斷的更新和升級,是不斷發展的動態過程,所以,企業信息系統運行風險和安全必須要定期的進行調整和規劃,才能夠從根本上保障企業信息的安全性和可靠性。

2.2 員工缺少安全管理的責任心

企業信息系統的安全性需要全體人員的參與,信息安全系統中最為重要的因素就是員工,其主要原因就是因為員工們才是企業信息系統的提供者和使用者,員工們能夠直接影響到信息安全系統是否能夠達到預期的要求。在諸多的信息安全問題中,最多的安全事件就是信息泄露時間。其主要泄露原因來源于內部員工,并不是外部黑客的攻擊,給企業帶來巨大經濟損失的主要原因就是因為內部員工有意或者無意的泄露企業的相關信息,但是,目前我國還沒有完善、成熟的系統預防內部員工泄密事件的發生,也是整個信息安全體系中的難點和弱點。

2.3 信息系統缺乏信息安全技術

計算機信息安全技術的本質就是由密碼應用技術、操作系統維護技術、信息安全技術以及數據庫應用技術等各個學科組成的計算機綜合應用學科。但是由于我國計算機技術還有待進一步完善,導致我國技術的發展還存在一定的局限性,在硬件和軟件設計的過程中難免會存在著一些弊端,網絡硬件和軟件系統大多數都需要依靠進口,為企業信息安全帶來了一定的隱患,隨著科學技術的快速發展,黑客已經不在是傳統的破壞底層系統,目前黑客主要是入侵應用,竊取相應的數據,帶著非常顯著的商業性質。隨著網絡技術的普及,針對應用的攻擊越來越多,不僅需要從管理方面來保障企業信息的安全性,還必須要從技術方面給予強力的支持。

2.4 病毒危害

計算機病毒主要就是指編制對計算機程序有破壞性的程序,進而影響計算機的使用并且能夠通過自我不斷的復制來代替計算機指令或者程序代碼,其具有很強的破壞性。隨著網絡技術的快速發展,當今時代的計算機病毒已經泛濫成災,根據相關統計,計算機病毒的種類已經高達4萬多種,并且每年還在快速的增長,病毒隨著計算機網絡技術的發展而傳播速度越來越快,破壞性也就越來越高,給計算機用戶和企業的信息安全帶來了巨大的安全隱患。

2.5 “黑客”攻擊

黑客主要就是指通過技術手段侵入到他人計算機系統的人,黑客破解或者破壞計算機以及網絡系統,導致計算機用戶信息數據的泄露。目前比較常見的黑客手段有后門程序、信息炸彈、網絡監聽以及密碼破解等手段來侵入他人的計算機系統來竊取數據信息,隨著網絡技術和信息技術的快速發展,黑客攻擊已經成為當今時代十分常見的安全問題。

3 企業信息安全改進建議

3.1 技術安全

3.1.1 數字簽名和加密技術

為了能夠預防黑客的入侵,可以在傳統的數字簽名和加密技術的基礎上不斷的完善和創新,進而提高信息安全技術。比如數字簽名技術,可以通過設定數字簽名,用戶在進行操作的時候能夠打上自身獨有的印記,其主要目的就是為了能夠避免其他人擅自修改計算機數據,從而能夠提高計算機的安全系數,預防黑客的攻擊。在設定數字簽名的時候,必須要重視數字證書的獲取渠道,一般主要就是從以下三個渠道來獲取數字證書,即軟件自身所帶的數字證書;商業認證授權機構獲?。粌炔繉iT負責認證的安全管理機構處獲取。

3.1.2 入侵防護系統(IPS)

傳統的防火墻主要功能就是拒絕明顯可疑的網絡流量,但是依然能夠允許一些流量通過,所以,傳統的防火墻防護功能并不到位,面對一些入侵攻擊的時候依然無可奈何。大部分IDS系統都是被動的,然而IPS更加傾向于提供主動的防護功能,其主要目的就是預先攔截入侵活動和攻擊性網絡流量,避免給用戶帶來不必要的損失,相比于傳統的防火墻具有更多的防護優勢。IPS主要就是通過網絡流量實現這個功能的,也就是指通過網絡端口接收外部系統的流量來檢測其內是否還有可疑的內容,然后在通過另外一個端口將其送到內容系統中,進而一旦發現可以的數據包就能夠自動的清除掉,避免病毒的入侵,從根本上提高了信息的安全性和保密性。

3.1.3 統一威脅管理(UTM)

根據美國權威企業對統一威脅管理做出了嚴格的定義,即由硬件、軟件以及網絡技術組成的具有專門用途的設備,其主要可以提供一項或者多項的安全功能。它能夠將諸多安全特性集成到一個硬設備里,然后建立一個統一標準的平臺。統一威脅管理的主要功能有網絡防火墻、網絡入侵檢測以及網關防病毒功能。這些功能都是統一威脅管理本身所自帶的功能。另外,統一威脅管理安全設備本身也具有諸多特性,比如安全管理、日志以及服務質量等特點,這些特性主要就是為安全功能服務的。

3.2 錄級安全控制

為了能夠保障企業信息的安全,網絡必須要允許控制用戶對目錄、文件以及設備的訪問。用戶在目錄一級指定的權限對所有文件以及子目錄都是有效的,還應該可以進一步對目錄下的子目錄和文件的權限進行指定。目前比較常見的訪問權限有系統管理員權限、讀權限、創建權限、刪除權限以及存取控制權限等。網絡系統管理人員應該為用戶指定合適的訪問權限,因為這些權限的作用非常大,主要控制了用戶對服務器的訪問。

3.3 網絡監測和鎖定控制

網絡管理人員必須要對網絡進行實時的監控,服務器應該及時的記錄用戶對網絡資源的訪問,尤其是對非法網站訪問的時候,服務器應該以各種方式加以報警,從而引起網絡管理人員的注意。如果黑客試圖侵入網絡的時候,網絡服務器必須要自動記錄企圖進入網絡的次數,如果訪問達到一定數值之后,帳戶將會被自動鎖定。

3.4 提高企業員工的安全意識

無論哪個領域,主體都是人,信息安全方面的主體也是人員,通過人來維護企業的根本利益,所以在建立信息網絡安全體系的時候必須要重視人的因素,做出相應的規范和績效管理。企業員工信息安全意識普遍比較薄弱,企業必須要定期的開展相應的培訓工作,從根本上提高企業員工整體的信息安全意識,并且要有專業的信息安全體系管理人才,才能夠從根本上提高企業信息數據的安全性、可靠性。

隨著信息時代和網絡時代的來臨,企業紛紛引進先進的信息技術和網絡技術,并且成立自身的信息系統和網絡系統來服務于企業運營管理和生產管理工作,信息技術和網絡技術在我國得到了廣泛的普及。但是,隨之而來的信息安全問題日益凸顯,為了能夠保障企業信息數據的安全性和可靠性,必須要不斷的提高信息安全防護技術,做好相應的預防工作,避免各種入侵、盜取信息數據的事件發生,才能夠保障企業的可持續性發展。

參考文獻

[1]袁浩,張金榮.INTERNET接入、網絡安全[M].北京:電子工業出版社,2011.

[2]徐國芹.淺議如何建立企業信息安全體系架構[J].中國高新技術企業,2009(5).

[3]付沙,企業信息安全策略的研究與探討[J].商場現代化,2007(26).

[4]姜樺、郭永利,企業信息安全策略研究[J].焦作大學學報,2009(1).

[5]徐新件,朱健華.關于企業網絡信息安全管理問題研究[J].供電企業管理,2008(2).

篇9

關鍵詞信息安全 技術體系 管理體系

中圖分類號:TB497文獻標識碼: A 文章編號:

前言

企業的正常運作離不開信息資源的支持,企業信息化系統作為管理企業信息資源的電子化工具和企業實力的重要組成部分,在促進企業規范管理流程、提高生產效率的同時,在運行中累積的包括企業的經營計劃、知識產權、生產工藝、流程配方、方案圖紙、客戶資源等各種重要數據成為部門、企業的寶貴資產,關乎著企業的生存與發展。這些數據一旦損壞、丟失、泄漏或篡改,則會給企業帶來重大安全影響。

企業要保持健康可持續性發展,信息安全是基本的保證之一。為確保信息資產安全,很多企業都制定了“硬件備份、分權分域、多層防御、等級防護”等等信息安全技術目標,并且逐步落實。與此同時,還應該清醒地認識到,技術體系達到先進水平,并不意味著企業的信息安全整體水平也是同步發展的;而必須建設和落實與之相適配的信息安全管理體系,并將其逐步納入到企業的各級安全生產管理當中。

信息安全風險和措施概述

企業信息化系統在為企業帶來提高工作效率和管理水平、增強競爭能力等益處的同時,也為企業帶來了信息安全風險;而且信息安全風險與信息化水平和應用范圍的提高與擴大同步增長。

(1)接入和訪問方式多樣化帶來全網性風險

U盤、便攜電腦、無線網卡、智能手機的普及加劇了病毒、蠕蟲和間諜軟件等普遍存在的信息安全威脅,而且對網絡、系統、應用、信息的破壞程度和范圍持續擴大。

(2)來自外網的攻擊始終存在,攻擊方式向更高階段演化

和其他企業網一樣,企業的信息化系統也一直面臨著來自Internet和其他第三方對接網絡的外在威脅,并且很容易跨域突現。在攻擊手段上,攻擊者已經從以往直接針對網絡和系統的普遍攻擊,轉向了對更高層次的Web應用、信息數據的重點攻擊。

(3)安全意識和相關培訓不到位

職工信息安全培訓普及和素質培養方面卻沒有形成一個長效機制,信息安全意識不均衡情況也普遍存在。

(4)信息安全管理體系尚未成熟

在信息安全保障體系中,企業普遍存在過于依賴于技術保障,而管理保障和制度執行相對薄弱等問題。大多數企業的信息安全管理體制還是沿襲傳統組織架構,并沒有咨詢過專業安全公司在信息安全管理體系建設上的意見,仍由檔案部門、調度部門兼職負責,而沒有設置專門的信息安全部門,從而造成管理體系不健全,責任不清晰等問題。

信息安全管理體系的主要環節

從業內最佳安全實踐來看,要想建立完善可行的信息安全管理體系,就要使之貫穿于整個企業信息安全建設和保障過程。一般說來,信息安全管理體系包括以下6個主要環節:

(1)信息風險評估程序:其目的是為了在企業、組織內部建立一套適合自身具體情況的信息風險評估機制,明確信息風險評估由誰來做、怎么做、做什么、重點解決什么等問題。這一環節有助于相關部門了解有哪些威脅會對企業信息真正造成影響、風險水平該如何確定。

(2)信息安全計劃:它是在信息風險評估的基礎上,結合企業的宏觀安全戰略與現實情況得出的,明確了信息安全工作應該“做什么”和“什么時候做”。

(3)項目管理:無論安全工作是內部人員來完成還是與專業安全公司協作來完成,每一項信息安全工作都可以視為一個安全項目。所以,還應充分考慮項目管理的各個階段(發起、啟動、計劃、執行、控制、收尾)需要關注的問題和存在的風險。

(4)運行維護和培訓:對企業信息的運行維護監控過程大部分是程序化和其他一些較為細碎的工作。同是,除了執行命令、填寫表單以外,還需要通過各類培訓教育讓各級職工,尤其是掌握核心業務數據的崗位人員時刻保持風險預警意識。

(5)信息安全審計:其主要目的就是建立一個長效機制,明確對信息系統及其數據和信息的檢查周期、審計方式、評審制度等內容,確保能夠及時發現和彌補信息安全管理漏洞和缺陷。

(6)持續改進計劃:為了應對不斷變化的信息安全威脅和不斷嚴格的合規性要求,從根本上解決信息安全問題,企業、組織需要對信息安全過程、方法、程序、操作指南持續改進。

圖1 信息安全管理體系環節構成示意圖

信息安全管理體系的實施內容

從當前來看,信息安全管理體系的實施內容主要包括信息安全管理制度和信息安全操作流程組成,二者各司其職,又互為補充。

首先,信息安全管理制度主要是公司的相關部門根據自身的管理職能,針對各種與信息安全管理有關的資源制定的相關要求、政策。管理制度通常由相應的部門進行歸口管理和解釋,是職能化、專業化的直接體現。

其次,信息安全管理流程是根據一定的管理目標,對系列相關活動順序和操作規則的規定。通常管理流程會貫穿若干部門,使用相關資源,是流程化、規范化管理的體現。與管理制度相比,管理流程更注重過程管理,通常會使用一些流程測量指標,作為衡量效率和判斷是否合理的依據。

最后,在信息安全管理體系的實施中,如果關注結果,不注重或者難于監控過程,就傾向于使用制度去約束,如近幾年在企業中大力推廣的口令加密存儲制度等。另一方面,如果在一個安全控制點上更關注過程,即關注是否具有完備的輸入,是否有合理可操作的處理過程,是否產生了預期的結果,那么就傾向使用操作流程進行記錄,如系統補丁加載等。

篇10

關鍵詞:信息化信息安全網絡安全

根據國家統計局年初公布的數字顯示,國內企業總體的99%都是中小企業,他們貢獻了超過一半的國內GDP。但截止到目前,這些中小企業的信息化水平仍然比較落后,其中針對信息安全的投人,更是鳳毛麟角。

對于國內占大多數的中小企業來說,如何在充分利用信息化優勢的同時,更好地保護自身的信息資產,已經成為一個嚴峻的挑戰。特別是近兩年來,網絡上的病毒、攻擊事件頻發,信息安全問題正在日益成為中小企業信息化進程中的難題。

一、什么是信息安全

信息是一種資產,與其它重要的資產一樣,它對一個組織而言具有一定的價值,因此需要適當的加以保護,而信息又可以以多種形式存在。如可以打印或者寫在紙上,以數字化的方式存儲,通過郵局郵寄或電子手段發送,表現在膠片上或以談話的方式說出來。總之,信息無論以什么形式存在,以什么方式存儲、傳輸或共享,都應得到恰當的保護。

所謂信息安全是指信息具有如下特征:

安全性:確保信息僅可讓授權獲取的人士訪問;完整性:保護信息和處理方法的準確和完善;可用性:確保授權人需要時可以獲取信息和相應的資產。

信息安全是指使信息避免一系列威脅,保障商務的連續性,最大限度地減少業務的損失,從而最大限度地獲取投資和商務的回報。它主要涉及到信息傳輸的安全、信息存儲的安全、以及網絡傳輸信息內容的審計三個方面,它可以通過實施一整套恰當的措施來獲得。但目前我國的信息安全令人堪憂,隨著政府上網和企業信息化的推進,越來越多的企業的日常業務已經無法脫離網絡和信息技術的支持,那么我國中小企業的信息安全現狀如何呢?

二、我國企業信息安全的現狀

(一)企業的重視程度

隨著信息化的加快,企業信息安全越來越受到重視,而我國的中小企業信息安全現階段正處于初級階段。在推進企業信息化的進程中,有些中小企業對于信息化概念的認識遠遠不夠,它們認為購置幾臺電腦放到公司,日常用來打打字,將單個機器連結到網上企業就信息化了,遠遠沒有認識到信息技術給企業所能帶來的巨大的變化,對于網絡安全更是沒有意識。

據調查,目前國內90%的網站存在安全問題,其主要原因是企業管理者缺少或沒有安全意識。某些企業網絡管理員甚至認為其公司規模較小,不會成為黑客的攻擊目標。如此態度,網絡安全更是無從談起。

(二)資金、技術、人員方面情況

已建立了企業內部信息化平臺的企業,由于資金、技術等方面的原因,還沒有把重點放到網絡安全管理上,尤其是中小企業的安全問題一直隱患重重。

據了解,許多中小企業沒有專門的網絡管理員,一般采用兼職管理方式,這使中小企業的網絡管理在安全性方面存在嚴重的漏洞,與大型企業相比,它們更容易受到網絡病毒的侵害,損失也比較嚴重。

根據IDC對年我國政府、企業用戶的信息安全狀況分析,約有34.8%的企業因內部雇員的行為(包括對內部資源的不合理使用和對內部數據缺乏有效保護)而造成企業出現安全問題。

(三)網絡維護、運行、升級方面的情況

在網絡的維護、運行、升級等事務性工作方面,由于工作繁重而且成本較高,一些善于精打細算的中小企業在防范黑客及病毒方面舍不得投入,據相關調查數據資料統計,國內七成以上的中小企業,一是缺乏基本的企業防毒知識,購買一些單機版防毒產品來防護整個企業網絡的安全。二是采購了并不適合自身網絡系統的企業防毒產品,因此留下許多安全隱患。三是技術力量薄弱,雖然部署了企業防毒產品,但是這些產品操作難度大、使用復雜,最終導致很難全面發揮效用,甚至成了擺設,這樣一來企業內部網絡就根本沒有什么安全而言。

三、如何保證我國中小企業的信息安全

(一)從企業的自身情況考慮

要解決中小企業網絡信息安全問題,不能僅依靠企業的安全設施和網絡安全產品,而應該考慮如何提高企業自身的網絡安全意識,將信息安全問題提升到重視的高度,要重視“人”的因素。具體表現在以下兩個方面:

1.提高安全認識

定期對企業員工進行網絡安全教育培訓深化企業的全員信息安全意識,企業管理層要制定完整的信息安全策略并貫徹執行,對安全問題要做到預先考慮和防備。

2.要求中小企業在上網的過程中要做到“一做三不要”

(1)將存有重要數據的電腦堅決同網絡隔離,同時設置開機密碼,并將軟驅、硬盤加密鎖定,進行三級保護。

(2)不要在自己的系統之內使用任何具有記憶命令的程序,因為這些程序不但能記錄用戶的擊鍵動作甚至能以快照的形式記錄到屏幕上發生的一切。

(3)不在網上的任何場合下隨意透露自己企業的任何安全信息。

(4)不要啟動系統資源共享功能,最后要盡量減少企業資源暴露在外部網上的機會和次數,減少黑客進攻的機會。

(二)從網絡安全角度考慮

1.從網絡安全服務商的角度來說,服務商要重視中小企業對網絡安全解決方案的需要,充分考慮中小企業的現實狀況,仔細調查和分析中小企業的安全因素,開發出適合中小企業實際情況的網絡安全綜合解決方案。此外,還應該注意投入大量精力在安全策略的施行及安全教育的開展方面,這樣才能為中小企業信息安全工作的順利開展提供堅實的保證。

2.要用防火墻將企業的局域網(Intranet)與互聯網之間進行隔離。由于網絡攻擊不斷升級,對應的防火墻軟件也應該及時跟著升級,這樣就要求我們企業的網管人員要經常到有關網站上下載最新的補丁程序,以便進行網絡維護,同時經常掃描整個內部網絡,以發現任何安全隱患并及時更改,才能做到有備無患。

3.企業用戶最好自己學會如何調試和管理自己的局域網系統,不要經常請別人來協助管理。中小企業要培養自己解決安全問題的能力,提高自己的信息安全技術。如果缺乏這方面的人才就應該去引進或者培養相關人才。

4.內部網絡系統的密碼要定期修改。

由于許多黑客利用窮舉法來破解密碼,像John這一類的密碼破解程序可從因特網上免費下載,只要加上一個足夠大的字典在足夠快的機器上沒日沒夜地運行,就可以獲得需要的賬號及密碼,因此,經常修改密碼對付這種盜用就顯得十分奏效。當然,設定密碼也有很深的學問,只有隨意性強、有足夠的長度并及時更新的密碼才能算是比較安全的密碼。

5.要經常使用殺毒軟件來維護局域網系統不受病毒攻擊?,F在國內的殺毒軟件都推出了清除某些特洛伊木馬的功能,可以不定期地在脫機的情況下進行檢查和清除。另外,有的殺毒軟件還提供網絡實時監控功能,這一功能可以在黑客從遠端執行用戶機器上的文件時,提供報警或讓執行失敗,使黑客向用戶機器上載可執行文件后無法正確執行,從而避免了進一步的損失。

6.同其它企業進行聯合,共同抵制黑客的入侵,一旦被入侵要及時向有關部門匯報,并共同查找入侵來源,鎖定黑客IP地址。將網絡的TCP起時限制在15分鐘以內,減少黑客入侵的機會。并擴大連接表,增加黑客填寫整個連接表的難度。

四、結束語