時間:2023-10-12 09:41:38
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇企業信息安全服務,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
企業經營信息對于企業來說是一種資源,對于企業自身來說具有重要意義,企業需要妥善管理自身企業的信息。近年來,企業的各項經營活動都逐漸開始通過計算機,網絡開展,因此,企業的信息安全管理對于企業越來越重要。許多企業開始通過各種技術手段以及制度改革,把更多的注意力放在企業內部的信息安全管理工作,同時將企業信息安全管理與風險控制結合起來,這是一個正確的選擇,能夠幫助企業實現穩定經營。在介紹企業信息安全管理以及風險控制前必須厘清企業信息安全管理的概念與企業風險控制定義,因此,本節將著重介紹企業信息安全管理的概念以及企業風險控制的定義。企業的信息安全管理包含十分豐富的內容,簡單來說是指企業通過各種手段來保護企業硬件和軟件,保護網絡存儲中的各種數據不受偶然因素的破壞或者惡意的原因被攻擊。對于信息安全的認定通過包括4個指標,即保證信息數據的完整,保證信息數據不被泄露,保證信息數據能夠正常使用,保證信息數據能夠控制管理。要想做好企業的信息安全管理,首先需要了解的是關于信息的傳輸方式。隨著信息技術的不斷普及,信息傳遞的方式越來越多,常見的信息傳遞方式主要有互聯網傳播,局域網傳播,硬件傳播等等。要想實現企業的信息安全管理,其中很重要的一項工作在于保護信源、信號以及信息。
信息安全管理是一項需要綜合學科知識基礎的工作,從事企業信息安全管理工作的人員通過需要具有網絡安全技術、計算機技術、密碼技術、通信技術。從企業的信息安全管理來講,最為關鍵的一項工作時保護企業內部經營信息數據的完整。經過近十年來的企業信息安全管理工作經驗總結,企業信息安全不僅僅需要信息技術的支持,更需要通過建立完善的企業風險控制體系來幫助企業實現更好地保護企業信息安全的目標。所以,怎樣把企業信息安全管理與風險控制融合起來就是擺在企業經營管理者面前的一道難題。企業的信息安全風險控制必須通過企業建立完善的企業信息安全風險體系實現。
企業的信息安全風險控制是指企業在企業信息安全遭遇威脅之前,提前對企業的信息進行風險預估,并采取一系列的有針對性的活動降低企業面臨的信息安全風險,從而盡可能減少因為企業本身信息安全管理中存在漏洞給企業帶來不必要的損失。常見的企業信息安全風險體系建立主要包含以下幾個方面的內容。第一,建立企業信息安全風險管理制度,明確企業信息安全管理的責任分配機制,明確企業各個部門對各自信息安全所應承擔的責任,并建立相應的問責機制。第二,設置規范的企業信息安全風險管理指標,對企業存在的可能威脅企業信息安全管理的漏洞予以風險定級,方便企業管理者對不同的信息安全管理漏洞采取有區別的對策。第三,企業要加強對信息安全管理人員的培訓,提高企業信息安全管理工作人員的風險意識,讓企業內部從事信息安全管理工作人員認識到自身工作的重要性,讓企業內部從事信息安全管理工作人員了解到規范自身行為,正確履行職責的重要性。第四,將企業信息安全管理與風險控制有效融合,重視企業信息安全管理工作,通過風險控制對企業內部信息安全的管理方式進行正確評估,找出現行的企業內部信息安全管理手段中存在容易忽視的地方。
二、企業信息安全管理與風險控制存在的不足
1.企業信息安全管理工作人員素質不高
對于企業來說,企業信息安全管理工作是一項極為重要而隱秘的工作,因此,必須增強對企業信息安全管理工作人員的素質要求。但是根據調查統計,目前很多企業對信息安全工作的管理僅僅停留在對企業信息安全管理工作人員的技術要求上,對企業信息安全管理工作人員的道德素養,職業素養,風險意識并沒有嚴格要求。此外,絕大多數企業并沒有意識開展對企業信息安全管理工作的道德素質的教育培訓,并沒有通過建立相關管理制度以及問責機制對企業信息安全管理工作人員實行監督,這無疑給別有用心或者立場不堅定的企業信息安全管理工作人員留下了危害企業信息安全的可乘之機。
2.企業信息安全管理技術不過關
企業信息安全管理工作涉及多許多技術,包括信息技術,計算機技術,密碼技術,網絡應用技術等等,應當說成熟的計算機應用技術是做好企業信息安全管理的基礎,但是,現實是許多企業的信息安全管理技術并不過關,一方面企業的信息安全管理硬件并不過關,在物理層面對企業信息缺乏保護,另一方面,企業信息安全管理工作的專業技術沒有及時更新,一些企業信息安全管理工作人員缺乏企業信息安全管理的實踐經驗,企業信息安全管理的知識也并沒有及時更新,從而導致企業的信息安全管理理論嚴重滯后,這種技術的落后很容易讓企業成為不法分子的攻擊對象。近年來網絡病毒的傳播越來越猖狂,很多服務器、系統提示安全補丁的下載更新以及客戶端的時常更新成為一個惱人的問題。作為一個行業中的大中型企業,企業內部設備數量比較多,尤其是客戶端數量占了較大比重,僅僅靠少數幾個管理員進行管理是難以承擔如此大量的工作量。另外,企業信息安全管理系統不成熟也是一個重大的隱患。
3.企業信息安全管理制度不健全
企業信息安全管理制度不僅僅需要理論制度的完善,更加需要一系列配套監督機制保障企業信息安全管理的有效執行。通過調查分析,許多企業雖然建立了企業信息安全管理制度,但是通常情況下,這些制度只能流于形式,企業信息安全管理工作缺少有效的制約和監督,企業信息安全管理工作人員缺乏執行力。企業信息安全管理制度不健全,企業信息安全管理工作缺乏執行力常常體現在以下幾個方面。第一,企業員工對于信息安全管理的認識嚴重不足,對企業信息安全管理工作不重視。企業內部計算機系統安全的計算機防病毒軟件并沒有及時更新,使用,甚至企業內部計算機的防病毒軟件還被企業員工卸載了。部分企業員工認為自己的工作與企業信息安全管理不相關,認為做好企業信息安全管理工作僅僅是企業信息安全部門的事。第二,企業內部信息安全文秘站:管理制度并沒有形成聯動機制,企業信息安全管理工作僅僅由企業信息安全部門“一人包干”,企業信息安全反映的問題并沒有得到積極的反饋,一些企業領導對企業信息安全現狀所了解的少之又少。
三、企業信息安全管理常見的技術手段 1.OSI安全體系結構
OSI概念化的安全體系結構是一個多層次的結構,它的設計初衷是面向客戶的,提供給客戶各種安全應用,安全應用必須依靠安全服務來實現,而安全服務又是由各種安全機制來保障的。所以,安全服務標志著一個安全系統的抗風險的能力,安全服務數量越多,系統就越安全。
2.P2DR模型
P2DR模型包含四個部分:響應、安全策略、檢測、防護。安全策略是信息安全的重點,為安全管理提供管理途徑和保障手段。因此,要想實施動態網絡安全循環過程,必須制定一個企業的安全模式。在安全策略的指導下實施所有的檢測、防護、響應,防護通常是通過采用一些傳統的靜態安全技術或者方法來突破的,比如有防火墻、訪問控制、加密、認證等方法,檢測是動態響應的判斷依據,同時也是有力落實安全策略的實施工具,通過監視來自網絡的入侵行為,可以檢測出騷擾行為或錯誤程序導致的網絡不安全因素;經過不斷地監測網絡和系統來發現新的隱患和弱點。在安全系統中,應急響應占有重要的地位,它是解決危險潛在性的最有效的辦法。
3.HTP模型
HTP最為強調企業信息安全管理工作人員在整個系統中的價值。企業信息安全工作人員企業信息安全最為關鍵的參與者,企業信息安全工作人員直接主導企業信息安全管理工作,企業信息安全工作人員不僅僅是企業信息安全的保障者,也是企業信息安全管理的威脅者。因此,HTP模型最為強調對企業信息安全管理工作人員的管理與監督。另外,HTP模式同樣是建立在企業信心安全體系,信息安全技術防范的基礎上,HTP模式采取了豐富的安全技術手段確保企業的信息安全。最后,HTP強調動態管理,動態監督,對于企業信息安全管理工作始終保持高強度的監督與管理,在實際工作中,通過HTP模型的應用,找出HTP模型中的漏洞并不斷完善。
四、完善企業信息安全管理與降低風險的建議
1.建設企業信息安全管理系統
(1)充分調查和分析企業的安全系統,建立一個全面合理的系統模型,安全系統被劃分成各個子系統,明確實施步驟和功能摸塊,將企業常規管理工作和安全管理聯動協議相融合,實現信息安全監控的有效性和高效性。
(2)成立一個中央數據庫,整合分布式數據庫里的數據,把企業的所有數據上傳到中央數據庫,實現企業數據信息的集中管理與有效運用。
(3)設計優良的人機界面,通過對企業數據信息進行有效的運用,為企業管理階層人員、各級領導及時提供各種信息,為企業領導的正確決策提供數據支持,根本上提高信息數據的管理水平。
(4)簡化企業內部的信息傳輸通道,對應用程序和數據庫進行程序化設計,加強對提高企業內部信息處理的規范性和準確性。
2.設計企業信息安全管理風險體系
(1)確定信息安全風險評估的目標
在企業信息安全管理風險體系的設計過程中,首要工作是設計企業信息安全風險評估的目標,只有明確了企業信息安全管理的目標,明確了企業信息安全管理的要求和工作能容,才能建立相關圍繞信息安全風險控制為目標的信息安全管理工作制度,才能順利通過對風險控制的結果的定量考核,檢測企業信息安全管理的風險,定性定量地企業信息安全管理工作進行分析,找準企業信息安全管理的工作辦法。
(2)確定信息安全風險評估的范圍
不同企業對于風險的承受能力是有區別的,因此,對于不同的企業的特殊性應該采取不同的風險控制辦法,其中,不同企業對于能夠承受的信息安全風范圍有所不同,企業的信息安全風險承受范圍需要根據企業的實際能力來制定。不僅如此,企業的信息安全風險評估范圍也應當根據企業的實際經營情況變化采取有針對性的辦法。
【關鍵詞】企業信息 現狀 措施
隨著信息技術和網絡技術的快速發展,信息安全問題引起了社會各界的廣泛關注,并且已經成為當今時代十分重要的研究話題。影響企業信息安全的因素諸多,除了網絡本身的開放性之外,內部用戶訪問控制以及用戶身份識別等系統還不夠完善,會給企業信息安全帶來巨大的威脅。信息安全技術主要就是控制數據,保障數據傳輸的安全性和可靠性。
1 企業信息安全的意義
1.1 信息安全是時展的需要
隨著計算機網絡的快速發展,不僅改變了人們生活和工作方式,也給企業的商務運行帶來了全新的模式,改變了傳統企業生產和管理模式,進一步推動了我國社會的發展。企業信息安全技術得到了進一步的重視和發展,并且逐漸的與國際先進水平接軌,為企業國際化發展提供了強有力的支持。
1.2 信息安全是企業發展的需要
我國大部分企業積極的引用了信息技術和安全技術,信息技術和網絡技術給企業帶來了諸多優勢,比如生產效率的提高、成本的降低以及業務拓展等優勢。目前企業的信息和數據主要都是以電子文檔的形式保存,對于企業來講,信息安全技術是保障企業信息和數據不收侵害和威脅的基礎保障之一,更是企業生存的保障,所以,必須要提高信息安全技術,避免網絡和信息系統中可能存在的風險,逐步的建立信息安全保障體系,有利于企業的可持續性發展。
1.3 信息安全是企業穩定的必要前提
信息安全是保障企業穩定發展的重要措施,必須要充分的認識到信息安全工作的重要性和長期性,無論是從企業的經濟效益還是企業的穩定發展等角度來考慮,必須要做好信息安全工作,做好基礎性工作,在建立信息安全保障體系的時候,必須要建設良好的網絡環境,重視信息戰略,保障企業的信息化能夠健康發展。
2 企業信息安全的現狀
2.1 企業缺少信息安全管理制度
企業信息安全功過還是一個比較嶄新的領域,相關的法律法規還不夠完善,并且信息安全技術和手段還沒有成熟,進而導致相關規定和標準并不能貫徹執行,安全標準和規范也是比較缺少的,從而并沒有制定科學、合理的信息安全管理制度。企業信息系統安全問題是一項非常科學的系統工程,所涉及的范圍比較廣,隨著科學技術的快速發展,信息技術和網絡技術不斷的更新和升級,是不斷發展的動態過程,所以,企業信息系統運行風險和安全必須要定期的進行調整和規劃,才能夠從根本上保障企業信息的安全性和可靠性。
2.2 員工缺少安全管理的責任心
企業信息系統的安全性需要全體人員的參與,信息安全系統中最為重要的因素就是員工,其主要原因就是因為員工們才是企業信息系統的提供者和使用者,員工們能夠直接影響到信息安全系統是否能夠達到預期的要求。在諸多的信息安全問題中,最多的安全事件就是信息泄露時間。其主要泄露原因來源于內部員工,并不是外部黑客的攻擊,給企業帶來巨大經濟損失的主要原因就是因為內部員工有意或者無意的泄露企業的相關信息,但是,目前我國還沒有完善、成熟的系統預防內部員工泄密事件的發生,也是整個信息安全體系中的難點和弱點。
2.3 信息系統缺乏信息安全技術
計算機信息安全技術的本質就是由密碼應用技術、操作系統維護技術、信息安全技術以及數據庫應用技術等各個學科組成的計算機綜合應用學科。但是由于我國計算機技術還有待進一步完善,導致我國技術的發展還存在一定的局限性,在硬件和軟件設計的過程中難免會存在著一些弊端,網絡硬件和軟件系統大多數都需要依靠進口,為企業信息安全帶來了一定的隱患,隨著科學技術的快速發展,黑客已經不在是傳統的破壞底層系統,目前黑客主要是入侵應用,竊取相應的數據,帶著非常顯著的商業性質。隨著網絡技術的普及,針對應用的攻擊越來越多,不僅需要從管理方面來保障企業信息的安全性,還必須要從技術方面給予強力的支持。
2.4 病毒危害
計算機病毒主要就是指編制對計算機程序有破壞性的程序,進而影響計算機的使用并且能夠通過自我不斷的復制來代替計算機指令或者程序代碼,其具有很強的破壞性。隨著網絡技術的快速發展,當今時代的計算機病毒已經泛濫成災,根據相關統計,計算機病毒的種類已經高達4萬多種,并且每年還在快速的增長,病毒隨著計算機網絡技術的發展而傳播速度越來越快,破壞性也就越來越高,給計算機用戶和企業的信息安全帶來了巨大的安全隱患。
2.5 “黑客”攻擊
黑客主要就是指通過技術手段侵入到他人計算機系統的人,黑客破解或者破壞計算機以及網絡系統,導致計算機用戶信息數據的泄露。目前比較常見的黑客手段有后門程序、信息炸彈、網絡監聽以及密碼破解等手段來侵入他人的計算機系統來竊取數據信息,隨著網絡技術和信息技術的快速發展,黑客攻擊已經成為當今時代十分常見的安全問題。
3 企業信息安全改進建議
3.1 技術安全
3.1.1 數字簽名和加密技術
為了能夠預防黑客的入侵,可以在傳統的數字簽名和加密技術的基礎上不斷的完善和創新,進而提高信息安全技術。比如數字簽名技術,可以通過設定數字簽名,用戶在進行操作的時候能夠打上自身獨有的印記,其主要目的就是為了能夠避免其他人擅自修改計算機數據,從而能夠提高計算機的安全系數,預防黑客的攻擊。在設定數字簽名的時候,必須要重視數字證書的獲取渠道,一般主要就是從以下三個渠道來獲取數字證書,即軟件自身所帶的數字證書;商業認證授權機構獲取;內部專門負責認證的安全管理機構處獲取。
3.1.2 入侵防護系統(IPS)
傳統的防火墻主要功能就是拒絕明顯可疑的網絡流量,但是依然能夠允許一些流量通過,所以,傳統的防火墻防護功能并不到位,面對一些入侵攻擊的時候依然無可奈何。大部分IDS系統都是被動的,然而IPS更加傾向于提供主動的防護功能,其主要目的就是預先攔截入侵活動和攻擊性網絡流量,避免給用戶帶來不必要的損失,相比于傳統的防火墻具有更多的防護優勢。IPS主要就是通過網絡流量實現這個功能的,也就是指通過網絡端口接收外部系統的流量來檢測其內是否還有可疑的內容,然后在通過另外一個端口將其送到內容系統中,進而一旦發現可以的數據包就能夠自動的清除掉,避免病毒的入侵,從根本上提高了信息的安全性和保密性。
3.1.3 統一威脅管理(UTM)
根據美國權威企業對統一威脅管理做出了嚴格的定義,即由硬件、軟件以及網絡技術組成的具有專門用途的設備,其主要可以提供一項或者多項的安全功能。它能夠將諸多安全特性集成到一個硬設備里,然后建立一個統一標準的平臺。統一威脅管理的主要功能有網絡防火墻、網絡入侵檢測以及網關防病毒功能。這些功能都是統一威脅管理本身所自帶的功能。另外,統一威脅管理安全設備本身也具有諸多特性,比如安全管理、日志以及服務質量等特點,這些特性主要就是為安全功能服務的。
3.2 錄級安全控制
為了能夠保障企業信息的安全,網絡必須要允許控制用戶對目錄、文件以及設備的訪問。用戶在目錄一級指定的權限對所有文件以及子目錄都是有效的,還應該可以進一步對目錄下的子目錄和文件的權限進行指定。目前比較常見的訪問權限有系統管理員權限、讀權限、創建權限、刪除權限以及存取控制權限等。網絡系統管理人員應該為用戶指定合適的訪問權限,因為這些權限的作用非常大,主要控制了用戶對服務器的訪問。
3.3 網絡監測和鎖定控制
網絡管理人員必須要對網絡進行實時的監控,服務器應該及時的記錄用戶對網絡資源的訪問,尤其是對非法網站訪問的時候,服務器應該以各種方式加以報警,從而引起網絡管理人員的注意。如果黑客試圖侵入網絡的時候,網絡服務器必須要自動記錄企圖進入網絡的次數,如果訪問達到一定數值之后,帳戶將會被自動鎖定。
3.4 提高企業員工的安全意識
無論哪個領域,主體都是人,信息安全方面的主體也是人員,通過人來維護企業的根本利益,所以在建立信息網絡安全體系的時候必須要重視人的因素,做出相應的規范和績效管理。企業員工信息安全意識普遍比較薄弱,企業必須要定期的開展相應的培訓工作,從根本上提高企業員工整體的信息安全意識,并且要有專業的信息安全體系管理人才,才能夠從根本上提高企業信息數據的安全性、可靠性。
隨著信息時代和網絡時代的來臨,企業紛紛引進先進的信息技術和網絡技術,并且成立自身的信息系統和網絡系統來服務于企業運營管理和生產管理工作,信息技術和網絡技術在我國得到了廣泛的普及。但是,隨之而來的信息安全問題日益凸顯,為了能夠保障企業信息數據的安全性和可靠性,必須要不斷的提高信息安全防護技術,做好相應的預防工作,避免各種入侵、盜取信息數據的事件發生,才能夠保障企業的可持續性發展。
參考文獻
[1]袁浩,張金榮.INTERNET接入、網絡安全[M].北京:電子工業出版社,2011.
[2]徐國芹.淺議如何建立企業信息安全體系架構[J].中國高新技術企業,2009(5).
[3]付沙,企業信息安全策略的研究與探討[J].商場現代化,2007(26).
[4]姜樺、郭永利,企業信息安全策略研究[J].焦作大學學報,2009(1).
[5]徐新件,朱健華.關于企業網絡信息安全管理問題研究[J].供電企業管理,2008(2).
伴隨著我國電力行業的迅速發展,特別是南網、國網、華電等大型的電力企業,它們的發展速度更是非常迅速的,目前,電力行業在我國經濟的發展當中發揮著中流砥柱的作用,并且是確保整個社會穩定劑經濟健康迅速發展的根本性要素,可是,最近幾年隨著先進科學技術的不斷研發,電力企業信息開始面臨著泄漏、不可掌控等一系列的安全性威脅,并且,自云計算出現,其依賴于自身優質的性能與全新的有效計算、存儲模式受到了各行各業的喜愛,云計算電力與以往的電力企業信息儲存系統及運行性能相比具備非常明顯的優勢。為此,云計算環境下電力企業信息安全是目前整個電力行業急需探究的重要問題。
1 云計算的概念與基本原理
在分布式處理、并行式處理及先進網絡計算科學技術不斷發展的基本前提下形成的一種新型計算模式即云計算,其面對的是超大規模的分布式氛圍,主要發揮著將供應數據儲存及網絡服務的作用,并且具體的實現平臺、服務于應用程序都是在整個云計算環境下得以實現的。云計算能夠把全部的計算資源融合在一起,通過具體軟件促使自動化管理、無人為參與,并且能夠提供各種各樣的認為服務。
云計算的基本原理是把相關的計算逐一分布在多個分布式計算機當中,在遠程服務器的具體計算當中可以促使電力企業信息處于正常的運行狀態,有利于企業將資源更改為具體的需求得以運用,并且能夠按照實際需求對計算機進行訪問。云計算基本原理為一場歷史性的轉變創舉。
2 目前我國電力企業信息安全結構狀況
2.1 電力企業信息網絡結構
隨著電力企業逐漸進入網絡自動化及智能化階段,為此,目前電力企業信息安全結構一般是以公共網絡與專用網絡有效綜合的一種網絡結構形式,其中,專用電力信息網絡指的是在因特網進行連接的基礎上形成的一種電力企業信息網絡及調度信息網絡相互綜合的形式。
2.2 電力信息安全系統結構
以信息中的信息性能及信息業務為出發點將電力企業信息劃分為三種層面:自動化、生產管理、辦公室自動化及電力企業信息管理。其中,辦公室自動化及電力企業信息管理是與電力企業信息網絡結構緊密聯系在一起的,形成的是一個安全工作區域,在這個安全區域當中SPDnet支撐的一種自動化,可具備監控性能的實時監控,譬如,配電自動化、調度自動化、變電站自動化等,同時,安全生產管理區域同樣也是SPDnet來作為基本支撐的。
3 云計算環境下電力企業信息安全技術的運用
3.1 數據傳輸-存儲安全技術
在整個電力企業信息當中,涵蓋了大量的有關電力企業發展的資料及所有數據信息,譬如:電力企業的財務信息、用戶信息、經營管理信息等等,所以,對于整個電力企業而言,數據的傳輸-存儲安全技術在其中發揮著極為重要的作用。
一般情況下,云計算環境下,嚴格加密技術可促使電力企業信息數據在具體的傳輸過程中將會處于非常安全的一種狀態下,主要是由于云計算能夠利用加密技術將那些潛存的非法訪客完全的拒之門外,預防數據傳輸過程中發生竊取的事件。
從電力企業信息數據存儲技術的角度進行分析,其涵蓋了數據恢復、數據分離、數據備份、數據存貯位置的選擇等幾方面內容,而云計算環境下,電力企業便能夠利用私有云這一高度集中的存儲技術把相關的數據信息以基本性能、重要系數為依據來選擇不同的存貯方位,這樣可以促使不同種類數據間隔離的實現,并且可起到預防數據信息泄露的作用。
云計算的運用可促使電力企業信息能夠實現實時備份,使得電力企業信息在有突況出現的時候能夠在第一時間達到相關數據的及時恢復。
3.2 權限認證及身份管理安全技術
云計算能夠成功的預防非工作人員使用非法用戶對電力企業信息系統進行訪問,這主要是由于在私有云的內部全部的企業信息都能夠實現禁止訪問技術,電力企業信息管理工作者能夠通過私有云進行身份管理、權限認證技術的相關設置,按照企業工作人員的級別及具體的規定對于相關數據及應用業務作出明確的規定及權限的劃分,這樣可成功的預防了非法訪問的事件發生,同時實現合法用戶根據個人權限來進行企業信息的具體操作。
3.3 網絡安全隔離技術
對于整個電力企業信息來講,云計算實則是互聯網當中的一種內部性系統,通常情況下,電力企業信息網絡能夠從網絡安全的被動保護層面來促使入侵檢驗技術、防火墻設置等安全防火技術得以實現,可是,云計算環境下,電力企業信息安全采用的是防火墻技術、物理隔離技術、協議隔離技術等先進的科學技術,其中,防火墻技術是對于企業外部網絡及電力企業信息網絡而創建的一道安全性保護屏障,通過對個人信息的嚴格檢測、審核,將具有破壞性入侵的訪客實施的一種有效防護,能夠最大限度上將那些越過防火墻對電力企業信息安全網絡及正常運行造成破壞的數據流進行完全性的屏蔽;物理隔離技術指的是在云計算環境下對于電力企業內外部網絡實施的一種分割,這樣能夠有效的將內外部網絡系統的連接狀態完全阻斷;
協議隔離技術指的是在云計算環境下利用網絡配置隔離器對內外部網絡進行的一種隔離,在協議隔離技術的支撐下,內外部網絡是完全分離的一種狀態,而唯有云計算環境下的電力企業信息進行相互交換的過程當中,內外部網絡才能夠通過協議由隔離的狀態轉變為正常連接狀態。
4 結語
通過上文針對云計算環境下電力企業信息安全的淺析,我們從當前電力企業信息安全的狀況進行分析,云計算環境下用戶信息安全依然是一個較為嚴峻的問題,一部分問題并未得到根本性的解決,在今后的工作當中,需要針對云計算環境下用戶信息安全供應相應的幫助,這樣才能夠促使用戶信息安全水平得到較為顯著的提高。我們堅信,在未來的工作當中,云計算環境下的電力企業信息將會更加安全,用戶信息的安全性能將會得到最大程度上的保障。
關鍵詞:石油企業;信息安全;管理手段
0引言
隨著信息化建設進程飛速發展,作為信息載體的計算機、互聯網已在企業生產、經營管理各個層面得到廣泛應用。計算機網絡的開放性、靈活性和廣泛性在全面數字化的今天給經營管理帶來了便捷、高效、有序的工作環境,同時也帶來了較大的安全管理隱患。黑客的出現、安全漏洞的增多、管理的交叉混亂、惡意的網絡攻擊使網絡安全管理遭受了較大的沖擊,成為信息化健康發展的絆腳石。網絡信息管理疏于安全的防范將危及到企業生產經濟的有序發展。石油企業在國民經濟中發揮著重要作用,任何風險都可能導致國家經濟受到重大影響。因此,提高石油企業信息安全意識,加強信息管理應以保瘴服務和應用為目標,強化安全意識、制定周密的安全手段從而構建完善的信息安全管理體系。
1加強企業信息管理的必要性
1.1企業信息管理概念
企業信息管理是通過現代化的信息技術和設備,以網絡技術和網絡設備實現企業管理的自動化,進而對企業進行全方位和多角度的管理,以此來促進企業生產、經營管理的優化配置,進而通過企業資源的開發和信息技術的有效利用來提高企業的管理水平,增強企業的核心競爭力。企業信息管理的主要內容,一般包括企業未來的經濟形勢分析、預測資料、資源的可獲量、市場和競爭對手的發展動向,以及政府政策與政治情況的環境變化等等。企業信息管理與制訂企業發展戰略、制訂規劃、合理地分配資源是密切相關的。同時,企業的信息管理也應當包括企業內部的信息資源,如財務管理信息、物資庫存、鉆井施工、職工檔案管理等多方面的內容,并且促進企業的全面發展。
1.2企業信息安全管理的必要性
企業信息的存在方式有著多樣性,而進行企業安全信息管理的主要目的,在于保護企業的信息安全,保證企業能夠順利的參與到市場經濟活動中,進而提高企業的經濟效益和社會效益,構筑起信息安全管理系統的保密性、完整性、可用性、可維護性、可驗證性的目標,使企業安全信息管理能夠通過有效的控制措施來實現。第一,企業管理的信息具有很強的保密性和完整性的特點,因此其對于企業的生產勢力、科技含量、資金流動、企業的綜合競爭力等多方面都有著重要的影響,同時對于企業的商業形象與合法經營也至關重要,因此加強企業信息安全管理是必要的。第二,由于網絡自身所具有的開放性特性,決定了企業信息管理也面臨著來自各方面的安全威脅,比如計算機病毒、黑客等,以及計算機詐騙、泄密等問題,也說明了加強企業信息安全管理勢在必行。第三,企業對于信息系統產生的依賴也從另一方面暴露出了信息管理系統的脆弱,公共網絡與私人網絡的連接增強了信息的控制難度,使得信息在分散化的管理模式下,集中、專業控制的有效性大大減弱。另外,由于很多信息管理系統設計的缺陷,其自身就存在著不合理之處,這對于信息安全管理也帶來了一定的難度。基于此,對于企業信息管理的安全性也成為了當前企業管理面臨的一個重大課題。
2加強企業信息管理安全的防范措施
2.1不斷完善信息管理系統
隨著企業信息化的發展,目前應用的管理系統有PKI、郵箱、AD域、普OA、合同系統、A6、ERP、網絡、操作系統、A7、檔案系統、物采系統、OSC、視頻會議、企業微信、門戶網站、寶石花、數字營房、會議保障、E2、一體化、RTX、移動應用、短信平臺。信息系統的連續穩定運行越來越重要,一旦系統中斷,將會給企業的生產經營管理帶來混亂,而數據一旦丟失,后果是不可估量的。為此,信息管理系統的投入和使用,是建立在充分的實踐經驗的基礎上,通過一段時間的運行和觀察,才能夠投入使用。在不同的部門進行信息系統的引入時,應當按照部門的實際情況,通過多方引進,使用統一的信息管理系統。對于信息安全來說,首先要解決的就是系統是否能夠通過安全驗證對用戶進行有效的管理,并且賦予不同等級的用戶不同的使用權限,這樣則能夠有效的防止無權訪問信息的用戶對核心區域的訪問,保證信息不會被盜用。同時,為保證信息系統的連續穩定運行,應采用雙機服務器和從服務器。一旦發生服務器故障,由從服務器自動接替主服務器工作。
2.2有效的設備管理
設備安全主要涉及到由于自然災害、人為因素造成的數據丟失。信息安全應建設完善的容災備份系統,容災備份系統一般由兩個數據中心構成,主中心和備份中心。通過異地數據備份,實時地將主中心數據拷貝至備份中心存儲系統中,使主中心存儲數據與備份中心數據完全保持一致。同時,對于管理系統中使用的設備品牌、機型、內部配置以及使用時間等信息都要進行專門的記錄,通過這些記錄,定期對設備進行維護,同時也能夠通過這些信息判斷出信息的使用效率以及運行情況,對于設備的損壞或者是丟失情況都能夠及時地了解。
2.3加強對人員的監督與管理
企業信息安全不單純是技術問題,而是一個綜合性的問題。其中最重要的因素是人,人是設備的主要操作者,因此對于信息的安全管理,就需要加強對人的管理,需要操作人員具有足夠的安全意識,對于每一位操作人員進行相關的培訓,對于唯一的用戶名和密碼等信息要進行妥善保管,同時讓操作人員認識到泄密會導致的嚴重后果,增強責任意識。只有通過不斷地學習及意識的培養,管理人員才能養成定期維護、按時打補丁、及時更新的操作習慣,以不變應萬變的態度應對各種網絡攻擊手段。通過不斷的加強過程管理,通過對每個細節的嚴密審查,能夠有效減少人為出錯的現象,同時通過科學的評價機制和激勵機制,刺激人員工作的積極性,加強自身的責任意識。
2.4網絡傳輸安全
關鍵詞 信息安全風險;控制;策略
中圖分類號:TP309 文獻標識碼:A 文章編號:1671-7597(2013)12-0144-02
信息化時代,計算機應用范圍日益廣泛,社會發展和人們生活已經離不開信息網絡。信息成為企業中重要的資源之一,很多企業都大量引入了信息化辦公手段,運行于系統、網絡和電腦的數據安全成為了企業信息安全面臨的重要問題。盡管很多企業都認識到信息安全風險管理的重要性,也紛紛從人員配置、資金投入、技術更新等多方面加強對信息安全風險的管理,但是企業信息安全風險并沒有隨之消失,相反卻在不斷地增長。現在,公司在越來越多的威脅面前顯得更為脆弱。網絡攻擊日益頻繁、攻擊手段日益多樣化,從病毒到垃圾郵件,這些方式都被用來竊取公司信息。,如不提前防范,一旦被襲,網絡阻塞、系統癱瘓、信息傳輸中斷、數據丟失等等,無疑將給企業業務帶來巨大的經濟損失。
中國國家互聯網應急中心抽樣監測顯示,2011年,網絡安全威脅呈蔓延之勢,有近5萬個境外IP地址作為木馬或僵尸網絡控制服務器,參與控制了我國境內近890萬臺主機,網上資產損失就高達十多億。仿冒我國境內銀行網站站點的IP,也有將近3/4來自美國。可見企業信息安全風險控制勢在必行,不僅僅是企業需要關注的問題,也是涉及到國家安全的重要課題。
1 企業信息安全風險分析
1.1 黑客的入侵和攻擊
企業面臨著一系列的信息安全威脅,其中最普遍的一種信息安全威脅就是病毒入侵。一些教授黑客技術的網絡資源隨處可見,很多年輕人處于好奇或者出于牟利目的,從網上購得黑客技術,對企業網站進行攻擊。2011年4月26日,索尼在“游戲站”博客通告,稱黑客侵入旗下“游戲站”和云音樂服務Qriocity網絡,竊取大量用戶個人信息,包括姓名、地址、電子郵箱、出生日期、登錄名、登錄密碼、登錄記錄、密碼安全問題等,受影響用戶大約7800萬。黑客入侵方式中危害最嚴重的當屬SQL注入。SQL注入的實際意義是利用某些數據庫的外部接口把用戶數據插入到實際的數據操作語言當中,從而達到入侵數據庫乃至操作系統的目的,很多黑客通過SQL注入交互和命令,利用數據庫實現木馬植入到網站中。SQL注入和緩沖區溢出漏洞相比,可以繞過防火墻直接訪問數據庫,進一步獲得數據庫所在的服務器權限,給企業造成的損失十分慘重,更使廣大互聯網用戶深受其害。
1.2 企業信息安全防范意識薄弱
目前,很多企業都加強了信息化建設,通過資金投入、技術改造等多方面加強企業信息安全。但是信息風險不僅僅是技術層面的東西,更重要是人的意識層面對安全風險的認識。在企業中,很多部門和個人依然對信息安全風險問題不重視,有的認為信息風險安全是網絡部門的事情,與其他部門或者員工沒有關系,而且也幫不上忙;有的人認為對信息安全的宣傳有夸張的嫌疑,真正遭受過網絡攻擊的企業屈指可數,肯定不會發生在自己身上;有的企業 缺乏信息安全風險管理的制度建設,沒有出臺具體的故障制度,造成很多情況下,員工無章可循,不知道怎么應對網絡信息風險,出現問題也不知道如何化解和處理。有的企業盡管已經制定了規章制度,但很多都是流于形式,沒有針對性,也沒有操作性,長年累月不進行更新和修改,滯后于信息化時展的要求。
1.3 技術裝備和設施的作用發揮不充分
很多企業為了加強信息安全風險管理,都有針對性的部署了一些信息安全設備,然后這些從安裝上就很少有人問津,設備的運行狀況和參數設置都不合理,都是根據系統提示采用默認設置,由于企業與企業之間有很大的不同,企業之間的信息安全風險也相差迥異,采用默認狀態無法照顧企業的真實情況,不能從源頭上有針對性的加強信息安全風險管理。很多企業缺乏對安全設備以及運行日志的監控,不能有效的根據設備運行狀況進行細致分析,從而采取適當措施加強信息風險管理。總之,在企業信息安全風險管理中被動保護的情況比較普遍,缺乏主動防御的意識,而且對于大多數中小企業而言,企業資金和規模都比較小,面臨激烈的市場競爭,企業將主要精力用于市場開拓和產品的影響,以期在短時間內獲得可觀的利潤,企業在信息安全風險上的投入比較少,很多設備都老化了,線路都磨損嚴重,卻沒有得到及時更新和維護,為企業安全風險管理埋下了隱患。
1.4 企業信息安全規定不嚴謹
很多企業在實際工作制定了大量的安全管理規定,但是在實際操作中,對企業員工以及信息服務人員的口令卡、數據加密等要求很難得到落實。部分員工長期使用初始口令、加密強度較弱的口令,有的員工登陸系統時使用別人的賬號,使用完畢后也沒有及時關閉賬號,也不關電腦,外來人員很容易登陸電腦竊取企業機密文件,公司內部也缺乏信息安全風險管理的意識,員工可以任意下載企業資料,可以隨意將企業資料設置成共享狀態,在拷貝企業文件或者數據時,也沒有經過殺毒過程,直接下載或者用郵件發送。甚至很多企業員工在上班時間看電影、玩游戲、下載文件比較普遍,員工隨意打開一些不安全的網站,隨意接受一些來源可疑的郵件,成病毒傳播、木馬下載、賬號及密碼被盜,自己還渾然不知。這些不良行為都嚴重威脅企業的信息安全,加上現代企業人員流動比較頻繁,員工跳槽很普遍,很多員工離職后也沒有上交公司賬號和口令卡,依然可以登錄原公司系統,給企業網絡風險帶來隱患。企業廢棄不用的一些安全設備也沒有及時進行加密和保護處理,里面的數據沒有及時進行刪除,安全設備隨意放置,外人很容易從這些設備中還原和復制原有的信息資源。
2 企業信息安全風險的控制
2.1 加強基礎設施建設資金投入
企業要加強信息安全風險防范的資金投入,資金投入主要用于企業日常安全信息管理、技術人員的培訓以及安全設備的購置等等,每年企業從企業利潤中拿出一定比例的資金來加強信息安全的投入,投入的資金與企業規模、企業對信息安全的要求息息相關。針對很多公司信息化設備老化,線路損耗嚴重的現實情況,企業要加強線路的維護和改造,購買新的防火墻和殺毒軟件等等,在采購和使用信息安全產品時,企業一定要重視產品的管理功能是否強大、解決方案是否全面,以及企業安全管理人員的技術水平。例如企業可以購入UPS電源,突然停電時可以利用該電源用來應急,以保證公司信息化建設中系統的正常運行和設備技術的及時更新。
2.2 提高個人信息安全意識
維護企業計算機網絡信息安全是企業每一位員工都應該關注的課題,企業要加強信息安全風險防范的宣傳,讓每一位員工都對基本得到網絡安全信息技術有所了解,對計算機風險的重要性有清楚的認識,每位員工尤其是網絡技術服務人員要把口令卡和賬號管理好,不能泄露或者遺失,使用者的網絡操作行為和權限都要進行一定的控制,防止企業員工越權瀏覽公司信息,對于一些涉及企業機密的文件要及時進行加密,對文件是否可以公開訪問進行限制,減少不合法的訪問。還要及時清理文件,一些廢棄的或者沒有價值的文件要及時進行刪除,要徹底刪除不能僅僅放到回收站,保證其他人無法通過復制或者還原電腦設備中的信息。對于企業電腦設備要注意防磁、防雷擊等保護措施,企業職工要對電腦設備的基本保養和維護措施有了解,不要在過于潮濕、氣溫過高的地方使用電腦,要懂得如何對電腦系統繼續軟件更新和漏洞的修補,從而保證計算機處在最優的防護狀態,減少病毒入侵。
2.3 加強防火墻設計
由員工網絡操作不當造成的黑客入侵、商業機密泄露也威脅著企業的生存和發展。一直以來,企業信息安全解決方案都需要來自多個制造商的不同產品,需要多個工具和基礎結構來進行管理、報告和分析。不同品牌、不同功能的信息安全設備被雜亂無章地堆疊在企業網絡中,不但兼容性差,還容易造成企業網絡擁堵。正確地部署和配置這些復雜的解決方案十分困難,而且需要大量時間。另外,大量安全產品互操作性不足,無法與已有的安全和 IT 基礎結構很好的集成。這樣組成的解決方案難以管理,增加了擁有者總成本,并可能在網絡上留下安全漏洞。企業可以引入終端安全管理系統進行信息安全風險的防范,例如瑞星企業終端安全管理系統采用了統一系統平臺+獨立功能模塊的設計理念,集病毒查殺雙引擎、專業防火墻和信息安全審計等于一身,具有網絡安全管理、客戶端行為審計、即時通訊管理和審計、客戶端漏洞掃描和補丁管理等功能;企業信息安全新品還采用了模塊化的新形式,企業可以根據自己的需求定制相應的功能組合;通過瑞星在線商店,企業也可以隨著信息安全需求的變化添加所需模塊,減輕首次購買的支付成本及后續的升級成本。
總之,隨著網絡應用的日益普及,企業信息安全風險問題日益復雜。要切實加強對信息安全風險的認識,從規章制度、技術手段以及宣傳教育等多方面加強企業信息安全風險防范,確保網絡信息的保密性、完整性和可用性。
參考文獻
[1]夏青.淺述網絡技術與信息安全[J].科技情報開發與經濟,2003(11).
[2]馬俊,王鐵存.網絡數據傳輸安全對策[J].航空計算技術,2006,25(4).
[3]李象江.網絡安全技術與管理[J].現代圖書情報,2006(2).
[4]陳月波.網絡信息安全第1版[M].武漢:武漢工業大學出版社,2008.
[5]劉正紅.XML加密技術的研究與實現[J].長春大學學報,2007,17(6).
[6]劉寶旭.網絡信息系統安全與管理[J].中國信息導報,2000(11).
【關鍵詞】企業; 信息安全; 風險評估; 風險控制
引言:
計算機和網絡通信相結合的信息技術,是促進當代社會信息化發展的主要力量,為社會上各行各業的發展創造了良好的環境。許多企業在經營與管理中已經引用現代信息技術,從而使經營與管理更為科學,工作效率更高,獲得的經濟效益也越多。然而現代信息技術是一把雙刃劍,信息化的程度越高,由它帶來的風險也越大。當前,企業的信息安全風險評估工作存在著一些問題,這些問題對企業的發展造成很多不利的影響。
一、企業信息安全風險概述
對企業來說,信息是維持企業正常運作的必要資源。企業的信息包括重要的數據、企業的發展規劃、保密性文件、知識產權等。這些信息一旦被泄露,那么企業將面臨著或大或小的經濟損失,更嚴重的還會使企業面臨破產的危險。所謂的企業信息安全就是指信息在其生命周期中,它的完整性、保密性和可用性這三個特性的保留情況。如果這三個特性都得到了保障,那么信息的安全性就高;如果其中的某個特性被破壞,那么信息的安全性就低。而信息安全風險就是指信息在特定的環境與特定的時間里可能遭遇的安全威脅。
信息安全風險可以分為可控性風險與不可控風險、可接受風險與不可接受風險、自然風險與人為風險等[1],這些風險給企業的信息安全管理工作帶來了更多的不確定因素,加深了工作難度。
二、企業信息安全風險評估的現狀與問題
當前,我國企業的信息安全風險評估工作存在著許多問題,給企業的日常經營與管理帶來了許多不利的影響。
首先,企業沒有樹立正確的信息安全觀。很多企業的管理者在信息安全問題上會走向兩個極端,一種是認為只要加大信息建設的投入,信息就存在絕對安全的可能;另一種是忽視信息安全建設,信息安全風險意識淡薄。很多企業的管理層對信息資產的重要性認識不夠,因而他們在保護信息安全方面幾乎是無作為。
其次,企業在具體的信息安全風險評估工作中,表現出重安全技術而輕安全管理的思想與行為方式。這些企業在工作過程當中,不論是在心理還是在行為上都過分依賴安全技術,甚至認為只要安全技術過硬,信息安全就一定能夠得到保證,為此,企業普遍采用現代通信技術、計算機和網絡技術來構建企業信息安全系統。而在安全管理上,出現了管理措施不到位,員工在信息保密上不夠嚴肅等問題,造成信息安全技術做無用功。
此外,企業信息安全風險評估工作還存在著管理制度不夠完善、責任劃分不夠明確等問題。信息安全風險的評估工作需要收集各方面的大量的信息,如此才能增強評估的有效性。而企業由于管理制度不完善、職責劃分不明確等問題,造成各部門的工作不配合、不協調。信息技術部門被孤立,信息安全的風險評估工作也就不能得到及時有效的完成。
最后,我國有些企業在信息安全風險評估的技術與方法上落后于時代。現代信息系統越往后發展,結構就越復雜。這要求企業要根據不斷變化的信息技術來改進自己的風險管理理念和手段,同時也要吸收國際上的先進信息安全風險評估技術,保障自身的信息安全。
三、企業信息安全風險的控制
企業信息安全問題對企業來說是不應該被忽視的部分,企業應該在經營與管理的每個環節做好信息安全風險的控制工作,使企業的重要信息能夠得到充分的保護。企業信息安全風險的控制可以從風險分析、管理控制、技術控制三個方面來進行。
(一)風險分析
在進行信息安全風險控制之前,先對風險進行分析可以使風險控制工作更加具有針對性,能夠提高風險控制工作的效率。對風險的分析可以從信息資產面臨的威脅、存在的弱點等方面來進行[2]。在風險分析工作中,要明確以下幾點:首先是信息安全風險控制工作中需要保護哪些信息,這些信息具有什么樣的價值;信息資產面臨著哪些潛在的威脅,導致這些威脅產生的根源是什么,威脅發生的幾率有多大;信息資產中是否具有漏洞,這些漏洞是否會被人威脅利用;信息資產發生威脅之后,企業會面臨多大的損失;企業該采取什么樣的措施來應對風險帶來的損失,等等。
(二)管理控制
企業信息安全風險控制工作主要從組織管理、人員管理、政策實施等幾個方面來進行。首先,企業應該建立信息安全組織機構,吸收組織成員,協調企業內部的各項資源,制定信息安全控制的目標并通過組織成員履行職責來達到目標。其次,企業要培養素質高、責任心強、原則性強,能夠遵守企業政策的人員。企業信息安全風險的控制不僅與強大的技術力量有關,而且還有賴于執行人員對信息安全工作的支持與參與。此外,在政策實施上,企業要嚴格執行相關的信息安全保護政策,比如目前國際通用的《信息技術―信息安全管理實施細則》[1],為企業執行信息安全保護工作提供一個統一的標準,從而使工作能夠有序地展開。
(三)技術控制
技術對信息安全控制的影響力是比較大的,它在很大程度上決定了信息安全風險的大小、范圍,同時它也決定了修補信息安全漏洞的方式和方法。因此,在技術方面對信息安全風險進行控制是非常有必要的。首先,技術構架的設計應該遵循系統性原則、技術先進性原則、可控性原則、適度性原則等,使技術能夠更好地服務于風險控制;其次,要做好安全域的信息安全保障工作,根據不同的安全域所面臨的不同風險來進行信息安全保護工作;最后,要提高信息安全保障技術。目前而言,我國的信息安全保障技術與國際上的相比明顯處于落后狀態,因此,企業要引進先進的技術力量,加強信息安全風險的控制力度。
四、結語
在這個信息化高度發展的社會,任何企業與個人在享受信息化帶來的便利的同時,也要承擔信息化帶來的風險。我國企業在激烈的市場競爭中,不可避免會遇到信息安全上的威脅。因此每個企業都應該做好信息安全的管控工作,認真、嚴肅地對待當前網絡環境下的企業信息安全問題。
參考文獻:
[1]谷田.網絡環境下的企業信息安全問題研究[D].鄭州大學2012
――獲獎感言
杭州攀普科技有限公司(以下簡稱攀普科技)成立于2009年,總部位于中國杭州,現在重慶、上海設立有分公司。核心團隊組建于2003年,擁有近10年的信息安全研發經驗。攀普科技以“讓企業家輕松掌控核心數據”為使命,開創攀普商用信息安全新模式,將企業信息化系統放置在攀普科技統一規劃的數據中心進行管理,憑借高性能的硬件設施、專有的軟硬件數據加密技術、國際背景的專業人才、全球極具規模的數據容災備份中心和全球信息化安全運營經驗,并以極專業的技術為企業、政府、金融、軍事等提供信息化系統的整體解決方案,保障信息化系統在極佳狀態下運行。攀普商用信息安全項目與全球知名軟件商、硬件商、安全商等緊密合作,讓信息系統與安全技術的融合進入新興時代,共同完善信息安全行業生態鏈。
針對現企業信息化系統普遍存在安全漏洞、管理松散、人為破壞等信息危機,攀普科技提出商用信息安全的管理新模式,將企業的信息化系統放置在攀普科技統一規劃的數據中心統一安全管理,以較低的投入、極高的效率,來保障企業信息系統在安全的環境下運行,保障其數據的保密性、完整性和可用性。攀普商用信息安全項目為企業信息化建設提供整體分析、架構、實施、管理、維護,讓企業家輕松掌控核心數據。主要的安全技術措施包含智能監控、容災備份、遠程傳輸加密等。
安全系數高
在數據層、網絡層、系統層、物理層、傳輸層上進行周到完善的信息數據安全服務及規范管理。攀普數據安全的數據層做到了更專業、更安全的保護。
短信提醒服務器遠程操作或本地登錄操作。任何人無論以何種方式登錄到數據服務器,系統都將以短信或郵件的方式告知相關人員,即時掌握公司核心數據的安全狀態,并有充足的時間處理異常訪問,真正實現了泄密渠道的可追溯性。服務器技術人員操作正規化,全程錄像,保證每一項操作有相應記錄。攀普科技提供集中備份和異地災備服務。
攀普科技除了提供數據存儲備份的功能,也在國內異地使用同樣電信級別的數據中心為企業做好異地災備的服務,讓企業家不再顧慮自然災害對企業核心數據帶來的危機。
系統采用權限管理機制和數據遠程傳輸特殊加密。攀普科技的自動加密機制,文件在生成時即被加密,核心技術文件或數據被帶出去也無法使用及破解。
應用效率高
攀普商用信息安全將企業信息系統放置在專業數據中心集中管理,由硬件工程師、軟件工程師、系統工程師、網絡工程師四大專業團隊共同值守維護。企業的信息系統數據本地存放,只要客戶一個電話,攀普科技四大專業團隊第一時間幫助用戶處理問題并排除故障。
在經濟高速發展的今天,企業的信息安全對于企業的發展具有非常重要的意義,而企業的信息如果被竊取、泄漏給企業所帶來的是巨大的損失,所以企業必須對信息安全問題引起足夠的重視。對于已經做好信息安全工作的企業,應認識到安全軟件并不能時時的做好安全防護,要做好安全防護還應加強管理,筆者結合實踐工作經驗提出以下幾點建議。
1.1樹立正確安全意識
企業在信息化發展的進程中,應意識到企業信息的安全問題與企業發展之間存在的關聯性。一旦企業的重要信息被竊取或外泄.企業機密被泄漏.對企業所造成的打擊是非常巨大的,同時也給競爭對手創造了有利的機會。因此樹立正確的安全意識對于企業是非常重要的,這樣才能為后面的工作打下良好的基礎。
1.2選擇安全性能高的防護軟件
雖然任何軟件都是有可以破解方法的,但是對于安全性能高的軟件而言,其破解的困難性也隨之增加,所以企業在選擇安全軟件時應盡量選擇安全性能高的,不要為節省企業開支而選擇性能差的防護軟件,如果出現問題其造成的損失價值會遠遠的大于軟件價格。
1.3加強企業內部信息系統管理
首先,對于企業信息系統安全而言,無論是使用哪種安全軟件都會遭到攻擊和破解,所以在安全防御中信息技術并不能占據主體,而管理才是信息安全系統的主體。因此建立合理、規范的信息安全管理體質對于企業而言是非常重要的,只有合理、規范的管理信息,才能為系統安全打下良好的基礎。其次,建立安全風險評估機制。企業的信息系統并不是在同一技術和時間下所建設的,在日常的操作和管理過程中,任何系統都是會存在不同的優勢和劣勢的,因此企業應對自身的信息系統做安全風險評估,根據系統的不同找出影響系統安全的漏洞和因素,并制定出詳細的應對策略,進而可以將系統被攻擊的風險降到最低。
1.4加強網絡管理
絕大部分的企業信息被竊取都是不法分子通過網絡進行的,因此必須加強企業的網絡管理,才能確保企業信息系統在安全的狀態下運行。針對信息安全的種類和等級制定出行之有效的方案,并提前制定出如果發生了特定的信息安全事故企業應采取哪種應對方案。當企業信息安全危機發生時,企業應快速成立處理小組,根據信息安全危機的處理步驟和管理預案,做好危機處理工作,避免出現由于不當處置而導致的連鎖危機的發生。另外,還應在企業內部做好信息安全的培訓和教育工作,提高信息安全的管理意識,提高工作人員對安全危機事件的處理能力。減少由于企業自身的失誤而導致安全危機發生的機率。
2結束語
關鍵詞:企業;信息;安全管理
中圖分類號:U283.4 文獻標識碼:A
企業信息安全管理是運用科學的方法和手段,系統地分析網絡與信息系統所面臨的威脅及其存在的薄弱點,提出有針對性的抵御威脅的防護對策和控制措施,這是企業推進信息化進程和促進生產經營管理的重要內容,是保障企業信息系統正常運行、高效應用和健康發展的前提條件。
1我國企業信息安全管理存在的問題
1.1缺少企業信息安全的法規和規范。企業信息安全是一個比較新的領域,目前還缺少比較完善的法規,即便現有的法規,由于相關安全技術和手段還沒有成熟和標準化,法規也不能很好地被執行,安全標準和規范的缺少,導致無從制定合理的安全策略并確保此策略能被有效執行。
1.2存在物理安全風險。物理安全是指各種服務器、路由器、交換機、工作站等硬件設備和通信鏈路的安全。風險的來源有:水災、火災、雷擊等自然災害,人為的破壞或誤操作外界的電磁干擾,設備固有的弱點或缺陷等。物理安全的威脅可以直接造成設備的損壞、系統和網絡的不可用、數據的直接損壞或丟失等。
1.3信息外泄現象時有發生。進入信息化時代后,企業的諸多資料都由原先的紙介質變成了電子文檔。電子文檔的特點就是復制十分容易,許多跳槽的員工和競爭對手都會將這些資料通過各種手段帶離企業。而且,在企業信息管理系統中,大量購、銷、存等業務、財務數據、文檔及客戶資料,以存儲介質形式存在于計算機中,由于電磁輻射或數據可訪問性等弱點,受到人為和非人為因素的破壞。數據一旦遭到破壞,將會嚴重影響企業日常業務的正常運作。因此,保證數據的安全,就是保證企業的安全。
1.4缺少安全管理制度和責任性。目前企業的安全解決方案,基本上只是一個安全產品方案,這使人們誤以為企業的信息安全只是信息技術部門的工作和責任,與其他人員不直接相關.但是一個企業的信息系統是企業全體人員參與的,因為他們才是企業信息系統的提供者和使用者,他們是影響信息安全系統能否達到預期要求的決定因素.
2加強我國企業信息安全管理的幾點建議
2.1全面提高職工的信息安全知識素質,加強安全文化建設,提升防患水平,防微杜漸。對于信息安全工作的開展,不是系統管理部門的事,也不是系統使用部門的事,而是全體員工的事,必須要提高全體員工的信息安全意識。通過培訓和考核等措施,提高員工對公司信息安全的認識,讓信息安全成為業務開展的一部分,才能有效提高公司整體信息安全水平,也是信息安全工作得到有效的支持和推進。在此基礎上,要建立適應21世紀知識經濟時代的企業信息安全文化,只有加強安全文化建設,才能適應知識經濟時代的發展。
2.2完善企業信息安全管理制度。首先,數據安全管理制度,即確保數據存儲介質(設備)的安全;定時進行數據備份,備份數據必須異地存放;對數據的操作需經主管部門的審批、同意方可進行;數據的清除、整理工作需兩人或兩人以上在場,并由相關部門進行監督、記錄。第二,準入管理制度。準入管理又稱密碼、權限管理,通過準入系統可以判斷請求登錄的用戶是否是合法的、值得信任的。一個安全的準入系統則需要收集請求登錄者的以下信息:一是請求方式。當同一網段在單位時間內多次請求登錄或多次登錄用戶、密碼錯誤者,就應在一定時間內封閉其所在網段的請求,并發出報警信號。二是系統安全驗證,即對登錄用戶的操作系統進行安全證,并提示登錄用戶進行一系列的修復操作。三是檢測設備自身數據是否被修改或篡改,并對登錄戶相應的操作進行記錄備案。
2.3采取傳統的信息安全防范策略。物理安全策略:包括環境安全、設備安全、媒體安全、信息資產的物理分布、人員的訪問控制、審計記錄、異常情況的追查等;網絡安全策略:包括網絡拓撲結構、網絡設備的管理、網絡安全訪問措施、安全掃描、遠程訪問、不同級別網絡的訪問控制方式、識別/認證機制等;數據加密策略:包括加密算法、適用范圍、密鑰交換和管理等;數據備份策略:包括適用范圍、備份方式、備份數據的安全存儲、備份周期、負責人等;身份認證及授權策略:包括認證及授權機制、方式、審計記錄等;災難恢復策略:包括負責人員、恢復機制、方式、歸檔管理、硬件、軟件等;事故處理、緊急響應策略:包括響應小組、聯系方式、事故處理計劃、控制過程等。
2.4實施、檢查和改進信息安全管理體制。企業應按照規劃階段編制安全管理體系文件的控制要求來實施活動,主要實施和運行ISMS方針、控制措施、過程和程序,包括安全策略、所選擇的安全措施或控制、安全意識和培訓程序等。在實施期間,企業應及時檢查發現規劃中存在的問題,找出問題根源,采取糾正措施,并按照更改控制程序要求對體系予以更改,以達到進一步完善信息安全管理體系的目的。信息安全實施過程的效果如何,需要通過監視、審計、復查、評估等手段來進行檢查,檢查的依據就是計劃階段建立的安全策略、目標、程序,以及標準、法律法規和實踐經驗,檢查的結果是進一步采取措施的依據。
2.5加強信息安全監控,保障信息系統安全運行。在信息安全監控、信息安全配置和系統訪問控制方面,信息管理部門借助先進成熟的信息技術,充分挖掘和利用現有資源功能潛力,進一步提升企業信息系統的安全防范能力。例如,加強信息系統監控管理和風險評估,優化信息系統安全架構,開展入侵檢測分析防范、核心網絡冗余和服務器架構調整等工作,確保公司信息系統安全穩定運行。統一企業桌面安全管理體系,建立網絡運維管理系統,加強接入層管理、桌面安全管理和安全監控管理,有效保障聯網計算機的安全運行。優化企業內外網連接架構和訪問控制策略,增加網絡出口流量監控環節,使有限的網絡帶寬資源得到合理分配和充分利用。針對因特網瀏覽用戶違規現象較多,造成非授權用戶占用大量網絡資源的問題,加強用戶訪問監控,嚴肅處理違規用戶,加強保密教育,促進用戶規范使用信息系統。
2.6構建信息安全管理團隊。信息安全管理團隊是由決策者、管理者以及計算機、信息、通訊、安全和網絡技術等方面的專家為提升企業信息安全管理水平而組建的團隊。信息安全管理團隊是企業信息安全管理的直接管理者,其管理能力、技術能力的高低會直接影響到企業信息安全管理的效率。因此必須增加對企業內部信息安全管理人員、技術人員的定期培訓,同時與外部專業技術企業建立長期有效的外部技術支持網絡,才能對企業信息安全事件做出及時、快速、準確的響應,確定并及時排除突發事件,使企業的風險和損失最小化,最終形成一套有效的一體化管理體系,給企業帶來更大的管理效益與管理效率的提升。
綜上所述,隨著網絡普及和企業信息化業務的不斷拓展,信息成為一種重要的戰略資源,信息安全保障能力成為一個企業綜合能力的重要組成部分。因此,要提高企業信息安全管理的效率,為企業決策提供信息支持,確保企業信息數據安全、可靠、真實,為企業發展和經營管理提供有力保障。
參考文獻
一、制造型企業信息安全的必要性
隨著我國市場信息化水平加深,網絡技術已經成為了推動社會發展重要因素之一。網絡的便捷性,使得任何人都可以利用網絡接受、傳送大量的網絡信息,或者是存在網絡云盤之中。而網絡的公開性,也導致網絡對于任何人來說都沒有門檻,這也是竊取信息的問題不斷發生的主要原因。對于企業來說,尤其是制造型企業,一旦企業賴以生存的核心技術被盜取,幾十年的勞動成果皆拱手送人,企業將承受巨大的、甚至是毀滅性的損失。
企業信息泄露還有一種就是人才流動,現如今企業人員流動較大,企業信息可能被直接帶到其他企業之中,這也是個比較棘手的問題。
另外一種情況是隨著企業之間的合作不斷增加,企業外派員工成為常見的現象,這樣就加大了企業間的交流和接觸時間,對于本企業的信息泄露也許就是在不經意間。
無論是網絡問題還是人為問題,如果造成企業信息泄露,其對自身企業的損害是非常大的。以技術為核心的制造型企業加強信息安全管理勢在必行。
二、制造型企業信息安全管理的現狀及問題
1.企業信息安全管理的被動性
制造型企業的工作重點在產品制造與生產,對于網絡信息管理意識薄弱,很多時候企業只有發現企業信息泄露或者遭受病毒的攻擊等安全事件,才會關注企業信息安全問題,進而調動技術部門前來解決問題。這很大程度上反映制造型企業對網絡信息安全不夠重視,只有出現信息安全問題時,才組建臨時小組來解決企業信息問題,待到問題解決后小組便被解散,沒有對企業信息后序的監督和管理,企業信息安全管理缺乏系統策劃和制度化要求,管理活動臨時性強,缺少日常的維護和預防,導致更多的是重蹈覆轍,這樣不僅沒有為企業省下對安全管理的資金,相反的恰恰是增加了企業的資金投入,直接增加了企業安全管理的成本。同時因為臨時小組的組建,使得人員調動頻繁,大大降低了工作效率,進而對企業的經濟效益造成影響。
2.員工使用內部系統連接外網
雖然大部分制造型企業對企業自身的內網進行了防護監測,而且對員工上網和網頁瀏覽采取了一定的限制措施,但是實際上,企業對員工上網的控制落實程度不夠,員工依舊可以在工作時間使用企業網絡進行外部網絡連接,而且對于一些網站毫無防備。而網絡病毒是時刻都在通過網絡攻擊使用者的,特別對于企業內部網絡,黑客更是隨時隨地緊盯著企業內網出現漏洞,進而竊取企業內部信息。由于企業員工的疏忽,會有很大幾率使得企業信息出現安全隱患,輕則影響企業正常的生產工作,重則企業商業、技術信息被盜取或者企業內網癱瘓甚至縱,為企業帶來非常嚴重的后果及損失。
3.移動設備限制力度不夠
制造型企業在信息安全管理方面通常采取的措施是限制流水線工人的移動設備使用,但是對于辦公部門卻沒有嚴格要求,辦公人員可以自由攜帶智能手機、筆記本電腦、pad、硬盤等移動設備。因辦公人員要對數據進行處理,會導致企業內部信息被無限制地拷貝。而且現如今的移動智能設備都能直接通過企業的無線網絡,連接企業內網以獲得權限,這樣的確提高了企業內部的辦公效率,同時也給黑客病毒提供了通過無線網絡進行傳播的機會,提高了企業內部信息安全的風險。
4.信息安全防護技術水平低
在我國,普遍存在信息安全研發技術水平較低的情況,這也是制造型企業安全技術不高的原因之一。制造型企業的工作重心偏重于生產、制造及商務活動中,而對于網絡安全的防護意識不高。
作為企業,都會有一些信息安全意識。在企業成立初期,信息安全防護措施通常會被考慮并采納,尤其是一些進口設備,但僅僅依賴進口設備是遠遠不夠的。第一,進口設備雖然技術先進,但是出現問題是在所難免的,往往出問題的是一些關鍵的零部件,這些零部件不僅難以拆卸且是整臺設備的技術核心,設備廠商必然會控制其銷售渠道。第二,很多企業過于相信進口設備的技術,力爭做到一步到位,使得企業發展中前期安全防護的確不錯,但是卻忽略了系統的更新和維護,網絡病毒每天新出幾萬種,就算設備再先進,如果不進行更新,遲早會被病毒攻破。第三,很多企業都采用家用式免費殺毒軟件,這些殺毒軟件更新頻率快,一些簡單病毒、木馬都能有效查殺,對家用來說但是對企業來講遠遠不夠,企業一般是黑客重點關注的對象,黑客往往會研制更先進的病毒來攻克企業的防火墻,一些免費殺毒軟件很容易被攻破,增加制造企業內部信息安全問題。
5.企業出現安全問題處理方法不當
現如今研發病毒的技術快速而先進,病毒出現時的及時處理是非常重要的,我國制造型企業在出現信息安全問題的時候,雖然有相關的殺毒軟件,但因為大部分都是免費的,其更新速度雖然頻率高,相對滯后性比較強,對于新病毒無法第一時間發現、處理。而且許多病毒都是潛在性的,企業內部系統中毒之后沒有任何異樣,這就導致企業內部人員無法及時發現企業內網是否被越權或遭到攻擊。同時,由于很多企業缺少專門管理信息安全的部門,并且對于病毒侵入缺乏有針對性的安全對策和應急措施,這就導致就算病毒被發現,企業在第一時間也無從下手。
三、制造型企業容易出現安全問題的原因
1.企業內部信息安全意識低
制造型企業的本質是通過生產經營活動而獲得盈利,因此制造型企業的工作重點主要是企業生產、制造以及流通和服務。在此情況下,企業更關注盈利情況,而缺乏對信息安全的管理意識,對信息安全管理的重視度不足。導致這一現象的重要原因是安全防護不能為企業帶來直接的經濟效益,反而要投入大量的人力、物力、財力。另一方面,從安全管理角度來說,沒有事故發生才是管理績效的體現。相對于質量管理、生產安全管理來說,信息安全管理的管理性質是類似的,但因為其管理對象的不可見性,往往容易被企業高層忽視。同時,一般也會存在僥幸心理,感覺企業內部網絡不會受到黑客攻擊,或是認為就算受到病毒攻擊也不會對生產經營造成什么大影響,對企業整體利益影響不大。基層員工更是不明白什么是安全防護,對企業安全防護的重要性一無所知,這就導致許多企業內部信息技術會從員工口中泄露。
2.信息安全管理模式不夠完善
制造型企業信息安全問題頻發的原因,究其根本就是因為企業信息安全管理模式不夠完善,具體原因是制造型企業不重視信息安全管理、缺少系統規范的信息安全管理制度、缺乏專業的信息安全管理技術和安全管理人員,企業信息系統設計沒有風險評估、沒有完善的業務流程,信息安全管理存在頭痛醫頭腳痛醫腳的現象。
3.信息安全系統沒有應急措施
制造型企業信息安全系統缺少應急措施,也可以說沒有自我保護系統。自我保護系統是一種比較先進的技術,一旦有病毒侵入系統,系統會自動對重要信息進行加密、封鎖,待系統安全后自動解鎖。然而由于對信息管理的意識不足,使得很多制造型企業沒有建立信息安全自我保護系統。在我國,諸多制造型企業在信息管理方面更多的是依靠員工的經驗,對于網絡自身的保護信任度不足,也缺少對信息安全管理技術發展的關注和引用。
四、制造型企業信息安全管理存在問題的對策
綜上所述,制造型企業信息安全問題是由很多因素造成的,包括管理層的重視方面、技術方面、人員管理方面等。首要的,企業應提升對信息安全管理的重視程度,只有加強意識,并建立有效的信息安全防范措施,才能有效保護企業自身的核心競爭力,以獲得在市場經濟中更好的發展。
1.提高企業內部員工的信息安全意識
很多制造型企業信息泄露都是內部員工無意間透露出去的,這也是最常見的企業內部信息泄露渠道,企業應充分重視員工的信息安全教育,定期對企業內部員工進行信息安全培訓及考核,通過教育向員工灌輸信息安全的基本知識和常識、企業內部信息的重要性、一旦發生企業核心技術泄露將產生的嚴重后果等信息。加強企業內部員工信息安全意識,也就是從根本上降低了企業信息安全隱患,企業中如果基層員工都非常了解并重視信息安全問題,那么這個企業在信息安全管理方面必然非常完善有效。
2.建立健全企業信息安全管理機制
由于很多制造型企業缺少健全的信息安全管理機制,這就給了很多黑客病毒更多的侵入機會。一套完善的信息安全管理機制能夠有效的保護企業信息安全,降低安全隱患。制造型企業應該建立健全企業信息安全管理機制,設立專門的企業信息安全管理部門,這樣能最大程度保證信息的日常安全防范,也保證了一旦出現安全問題,企業能更好、更快地解決問題,健全的管理機制能夠對風險有一定的預見性,把風險降到最低。
3.加大對信息安全管理的資金投入
任何新型技術都離不開資金的投入,信息安全管理同樣也是,而且信息安全管理更多的屬于技術型投入,對資金依賴性更高。制造型企業想要獲得可持續發展,就必須要把目標放得更加長遠。企業內部信息往往是一個企業的核心,因此企業應提高對信息管理的重視程度,加大對信息安全系統的投資,把信息安全管理作為企業管理重要的一部分,信息安全管理資金劃作專項資金專款專用。企業對信息安全管理的投資要有計劃性,確保突況的資金投入、技術更新的資金投入、管理人員的資金投入、安全教育的資金投入等。把信息安全管理納入企業整體的發展規劃中,這樣才能保證企業信息更加安全,企業才能獲得長足的發展。
4.加大對信息安全管理人才的認識
因為信息對企業生存至關重要,信息安全甚至會影響到企業的發展戰略的制定和落實,制造型企業應當把信息安全管理與生產經營提高到同一個層次。企業內網是網絡技術領域,既然是技術,就離不開專業人才的支持,企業應該加強信息安全管理的人才培養,提高企業信息安全管理的質量。如果企業內部沒有專業的信息安全管理人才,企業可以通過對外招聘的形式,在社會中尋求人才。現如今互聯網技術已經逐步走向成熟,計算機人才更是越來越多,所以,制造型企業在社會中尋找信息安全管理的人才不會很難,同時還能促進計算機技術人才就業,對于企業自身以及社會都有很大意義。
5.加強企業內網管理
一般來說,企業內網系統中的信息很多都屬于商業機密,基層員工是無權了解的。制造型企業應該把各個層級的員工賬號及內網系統中的信息進行分類管理,按信息等級設置不同的訪問權限和防范措施,以免企業員工在使用內網時網絡病毒通過權限竊取過多的企業信息。另外,很多企業信息泄露都是由于某些員工通過企業無線網連接外網導致企業系統中毒,針對此類情況企業要制定相應的政策和管理制度,通過對硬件的管理和網頁訪問權限設置,嚴禁員工上班時間通過移動設備隨意連接外網。
五、結束語
關鍵詞:國有企業;信息安全;數據挖掘
中圖分類號:F592.6文獻標識碼:A文章編號:1006-8937(2016)03-0018-02
在信息化時代,基于網絡侵入技術的不斷提升,黑客與病毒對計算機系統攻擊事件不斷發生,據此而言,信息化技術在給國企生產經營活動帶來便捷的同時,也成為最為脆弱的地方,此時的數據挖掘技術的運用就顯得十分必要,依靠數據挖掘技術就可以使得來往流量處于實時監控的狀態,并及時會對入侵產生自動檢測的工具,從而大大維護了國有企業信息化系統正常運行。
1國有企業信息化建設中的信息安全概念及意義
1.1國有企業信息化建設中的信息安全概念
所謂的信息安全是指為保護國有企業計算機數據處理系統不受侵犯,在技術層面對計算機數據處理系統所采取保護的方式方法與手段,以達到維護計算機軟硬件,以及數據安全,使機密信息可以在完整的狀態下與既定對象實現信息共享的目的,從而確保了數據信息得到可用性保護,從技術的層面分析,主要分為下面三種形式。一是物理隔離形式的信息安全技術。就是將計算機網絡系統的硬件實體與公共網絡線路鏈接在技術層面予以有條件隔離,即防火墻技術,這一技術起到了對來往信息數據篩查的作用,從而使國有企業計算機系統在不受外界非法侵入的前提下創設一個電磁兼容的內部網絡環境。二是訪問可控形式的信息安全技術。訪問可控安全是防火墻技術的協作部分,在這一技術手段的支持下,國有企業信息系統能夠對外來信息數據進行甄別、預警,如果黑客和病毒等惡意流量得不到有效驗證,則會使得網絡侵襲問題飆升;三是數據加密形式的信息安全技術。為切實保護網上與傳輸過程中數據的可用性,國有企業信息系統需要在網絡節點間、源節點與目的節點間、原端用戶與目的端用戶間的數據傳輸實施密鑰管理。
1.2國有企業信息化建設中信息安全的意義
在社會經濟信息化的今天,國有企業生產經營與市場營銷等各領域都離不開信息化建設,以計算機網絡技術為支撐的信息化建設基于此而成為國有企業日常運作的有機組成部分,但是,在信息化系統開放的過程中,卻由于其安全漏洞問題存在而為一些不法行為提供可乘之機,信息安全據此成為人們關注焦點。
1.2.1保障個人信息不被泄露
以計算機網絡為技術支撐信息系統為國有企業日常運作帶來了極大便利,基于此成為國有企業進行生產經營、市場營銷,以及日常管理的主要工具。在國有企業人力資源管理中,個人信息資料往往成為信息化建設的一個領域,這些資料在法律上歸屬于個人隱私范疇,有關部門無權將資料予以公開,但是,一些黑客在對國有企業內部信息系統攻擊過程中,往往會竊取國有企業人力資源隱私資料,并將此作為謀取非法利益的籌碼,如果國有企業對自身的信息管理系統的安全等級予以升級,則就使得黑客攻擊處于無效狀態,從而使得國有企業人力資源隱私信息得到最大限度保障。
1.2.2保障國有企業科技信息共享的實現
當前的國有企業通過搭建信息共享平臺方式實現數據信息的共享,以國有企業與高校的科技信息共享平臺搭建為例,高校通過自己在人力資源、館藏資源、科技研究等方面的固有優勢搭建了校企聯合的科技信息平臺,國有企業可以隨時登陸這一平臺搜索到自己所需要的科技信息,高校也可以通過這一平臺將自己的科研成果及時轉化為生產力,但是,這一平臺的運作需要強大數據庫的支持,在其運作過程中,黑客的攻擊是必不可少,黑客可以通過截取網絡信息傳輸、竊取用戶口令、盜取數據庫信息、篡改數據庫內容等一系列非法手段,達到破壞科技信息共享平臺正常運作的目的,因此,采取切實有效的措施,加強計算機網絡系統的安全性能,就能夠保障國有企業的合法利益。
2國有企業信息化建設中的信息安全問題
以計算機網絡為技術支撐的信息系統是影響信息安全的最為主要的問題,這是因為計算機網絡技術是支撐起其正常運作的最為主要的力量,從安全的角度出發,影響到以國有企業信息系統運作安全的問題主要可以細化為以下幾點。
2.1網絡信息資源共享使得黑客攻擊頻現
以計算機網絡為技術支撐的信息系統運作的一個重要目的就是要實現資源共享,國有企業與高校領域所搭建的信息共享平臺即是此例,在搭建信息共享平臺實踐中,國有企業即可通過相關計算機網絡技術應用得到信息的共享,但是這一開放性的功能卻存在一定的安全隱患,只要是有共享,就會有開放,共享的技術環境為黑客的攻擊提供了便利。
2.2國有企業信息操作系統漏洞凸顯
基于以計算機網絡為技術支撐的國有企業信息系統快速進步,其系統升級也在同步進行,但是,國有企業信息操作系統的漏洞也在不斷顯現,這是因為國有企業對計算機網絡技術的應用要求在不斷提高,技術的發展相對滯后的問題始終存在,一些黑客就會對國有企業目標計算機網絡操作系統進行深究,尋找其漏洞,然后通過不同的方式予以攻擊,從而達到竊取國有企業信息資源、破壞國有企業信息系統等非法的目的。攻擊的手段是多樣的,例如可以利用計算機網絡系統的開放性的特點,制造出大流量的無效數據,并將這一些數據流形成系統阻隔,從而導致主機處于被隔離的實際發展狀態;還可以阻隔其他服務請求,主機往往會存在提供服務或傳輸協議上處理重復連接的痼疾,黑客就會據此而重復性、高頻度發出攻擊性的請求,一旦請求發出,自然就會影響到其他正常的服務請求;再者黑客還根據目標主機的特點,向其發出帶有病毒的錯數數據信息,從而直接導致主機死機。
2.3人為因素導致信息系統安全保障效能低下
從根本上來說,以計算機網絡為技術支撐的國有企業信息系統的運作離不開人的操作,因此,國有企業信息系統可持續發展就需要對其實施卓有成效的管理才能夠達到既定的目標,在這其中,人力資源的因素必不可少。舉例來說,如果在實施計算機網絡管理的實踐中,其人員基于自己的防范意識、認知水平、技術程度等方面的原因,就將會直接導致信息系統管理的安全保障效率趨于低下。
3國有企業信息化建設中的信息安全保障策略
3.1制定與落實國有企業信息安全制度規范
為了提高以計算機網絡為技術支撐的國有企業信息系統安全防范性能的提高,制度規范的制定與落實是基礎,具體來說,則是要制定出信息系統安全管理、計算機網絡硬件管理、數據信息保密等諸多制度規范,并進一步強化信息安全制度的落實。
3.2提升國有企業信息化技術人員操作水平
為促進國有企業信息安全規制的落實,人力資源的培養是關鍵環節,基于此而言,就應該對以計算機網絡為技術支撐的國有企業信息系統操作技術人員進行安全法規的培訓,從而使之既能夠熟知這些法規,又能夠認知自己的行為,促使自己的操作行為具有規范性,提高安全保障的能力。
3.3應用數據挖掘的信息安全技術
數據挖掘技術是一個新興研究領域,涵蓋了大型數據庫、人工智能、統計學等諸多的方面,數據挖掘技術就是指在大型數據庫中尋找并獲取對自己“有價值”的、存在形式多用的數據信息。在其應用的過程中,靜態和動態流量數據分析會對最終的檢查結果作出及時的反映,將儲存在數據庫當中的既有模式與所確定的特征與規則進行比對,以此構建正確的模式來保障信息系統運作的安全。
3.3.1靜態流量數據分析算法
①建立模型的分類算法。模型的建立適合于通過分類算法來對靜態流量數據予以分析,一般而言,就是根據數據挖掘的目標予以分類,需要從兩個階段進行。第一個階段模型的建立。這一階段首先就是根據訓練屬性的分類的原則對目標數據庫構建模型;第二個階段模型的分類。模型的首要功能就是要對預測提供參考數據,基于此而言,模型就要通過在測試樣本比較的基礎上,對測試樣本的準確率予以評估,如果準確率達到所要求的標準,則就可以以此為依據對該樣本的類預測標號中不明數據元分類,這一模型的建立主要是在于將用戶或程序中大量存在的數據予以吸納,然后再通過模型來產生具有一定標準的分類算法,這一算法主要是測試這些未知數據的性質,為后繼措施的實施奠定基礎。
②數據關聯性算法。挖掘數據之間的關聯性是靜態流量數據分析算法的一個較為主要的方式之一。這是因為各數據之間并非是互相間隔的而是存在必然的聯系。具體而言,就需要深入挖掘數據之間潛藏的各種關系,并將其運用到檢測威脅網絡安全的各種現實情況中去,以此來探查各種入侵行為所存在的必然關系,從而尋求可解決的策略。數據關聯性算法主要是挖掘各數據之問隱藏的相互關系,具體應用到入侵檢測系統中可以利用關聯分析檢測出入侵者的各種入侵行為之問的相關性,此種分析方法主要側重于事件的因果關系。
③事務關聯分析算法。所謂的事務關聯分析就是在事務中尋找具有相似性的之間的聯系,具體而言,就是在事務記錄中打入某一關鍵字詞,與之相關聯的記錄就會呈現出來,再在其中找出重復率較高的原始數據,從此而形成具有一定指向性的數據的集合,用于指導檢查網絡安全相關的諸如網絡攻擊與時間變量之間的關系,從而為分析相應的數據結構打下堅實的基礎。
3.3.2動態流量數據分析算法
動態流量數據分析的主要目標就是要在大量的數據中甄別并擇取有效信息,同時要將無效,甚至于有害信息予以阻遏,為達到動態流量數據分析的有效性,建立一個動態流量數據分析系統是十分必要的,該系統承擔了對動態流量數據分析、計算的任務。
①數據的擇取。數據擇取的主要范圍是在互聯網上,其內容涉及安裝使用對數據包的截獲程序、提取網絡數據包中的需要檢測的信息等。
②數據的處理。在互聯網上截獲的原始網絡信息需要采取信息化處理的過程,這也就是說,可以將這一些信息進行諸如壓縮等方式的處理,使之能夠實現信息分類的儲存,然后再將這些信息轉換成具有持續時問、源IP地址、目的IP地址等連接特征的網絡連接記錄,這就完成了數據挖掘的前期準備工作,繼而則在數據信息準備的基礎上,再一次對這些數據信息予以“清潔”,即刪除掉無效或無用的信息,而保存有效或有用的信息,最后環節則是數據信息的挖掘。
③數據信息的分類。在所截取的數據信息庫中存放大量的數據信息源,這些信息源處于無序與混亂的狀態,應該按照一定的規則進行區別。一方面,就要在對所儲存數據信息源特征與規則明晰的基礎上,確立非正常與正常模式的基本狀態,并將其儲存在數據庫當中,另一方面則要將儲存在數據庫當中的既有模式與所確定的特征與規則進行比對。當然,就業數據處于不斷有新的數據信息充實的狀態,原有的數據信息也會不斷被淘汰,因此數據酷中非正常與正常模式、數據信息源特征與規則等都應該處在不斷變化的過程中,只有如此,才能夠使數據挖掘方法的使用更加有效。
④應用模式評估。動態流量數據分析系統要根據最終的檢查結果作出及時的反映,如果歸屬于惡意侵犯的性質(如竊取機密信息數據等黑客的行為性質)則不但要發出警報,而且還應該采取防火墻等技術手段及時切斷內外網之間的關聯,并查找入侵的路徑,保留犯罪的證據;如果經過身份的甄別屬于正常的進入,系統則要依照正常的程序繼續對該用戶進行檢測。在基于數據挖掘的動態流量數據分析過程之中的模式應用后,都應該對正常模式與非正常模式的應用予以全面的評估,簡而言之,如果模式的應用起到了及時報警、阻遏非法侵犯的行為的作用,從而保障了數據信息的安全,就說明這一模式是成功的,起到了應有的效果,反之,則應該在多次試驗中予以驗證,直至建立起科學的模式。
4結語
在信息化的時代,基于網絡侵入技術的不斷提升,黑客與病毒對國有企業信息系統攻擊事件不斷發生,從而使得信息系統在為人們帶來便捷的同時,也成為最為脆弱的地方,此時信息系統安全防范技術的運用就顯得十分必要,依靠信息系統安全防范技術可以使得國有企業往來的數據信息都處于實時監控的狀態,并及時會對入侵產生監測與防御,這就會在一定程度上維護了國有企業往來數據信息的安全。為達此目的,就應該從制定與落實國有企業信息安全制度規范、提升國有企業信息化技術人員的操作水平、應用數據挖掘的信息安全技術這三方面著手,以此促進國有企業信息化建設的信息安全實踐健康發展。
參考文獻:
[1]秦海峰.企業信息化建設中信息安全問題的分析研究[J].中國信息界,2012,(5).
[2]杜凡.新形式下加強財務信息安全的途徑[J].當代經濟,2011,(21).
[3]張兆安.信息安全是信息化建設的重要基礎[J].上海企業,2013,(11).
信息安全是指計算機網絡系統中的硬件、軟件和其他數據等不受非法用法的破壞,主要指未經授權的訪問者無法使用訪問數據和修改數據,而只給授權的用戶提供數據服務和可信信息服務,并保證服務的完整性、可信性和機密性。電力信息安全是指供電系統中提供給用戶或公司內部員工的數據是安全的、可信的。供電公司管理系統是個繁雜的系統,涉及用電客戶和公司內部員工及第三方托管服務公司,系統的信息安全一直是公司發展的瓶頸。正確評估供電公司信息安全系統的合理性和安全性,針對安全風險進行分析,最后制訂供電公司信息安全的策略非常重要,也是至關重要的。
2供電企業信息安全的影響因素
盡管供電公司投入了大量的財力、物力建設電網信息安全系統,但供電企業內部網絡仍不健全,存在許多安全隱患。另外,供電公司信息化水平不高,信息安全保障措施薄弱也制約了其信息安全系統的建設。要構建一個健全的供電公司信息安全保障體系,就要首先分析供電公司信息安全的影響因素,對癥下藥,進一步提出供電企業加強信息安全管理的對策。
2.1不可抗拒因素
所謂“不可抗拒因素”,就是由于火災、水災、供電、雷電、地震等自然災害影響,供電公司的供電線路、計算機網絡信號、計算機數據等受到破壞,并威脅到供電公司的信息安全。
2.2計算機網絡設備因素
供電公司計算機系統中使用大量的網絡設備,包括集線器、網絡服務器和路由器等,其正常運行關系著供電公司內部網絡的正常運行,而計算機網絡設備的安全直接關系著供電公司的正常運行。
2.3數據庫安全因素
供電公司計算機系統監控用戶峰值,管理用電客戶信息及其他用戶繳費等情況,計算機數據庫的系統安全決定了供電企業的調度效率,也決定了供電公司公共信息的安全。供電公司應該使用專用網絡設備,確保企業內部網絡與外部互聯網的隔離。
2.4管理因素
供電公司員工的業務素質和職業修養參差不齊,直接影響到供電公司的網絡安全。供電公司應該建立過錯追究制度,提高員工的信息化素質,有效防止和杜絕管理因素造成的信息安全問題。
3供電企業加強信息安全管理的對策
3.1提升員工信息安全防患意識
開展信息安全管理工作,并非僅僅是系統使用或者管理部門的事,而是企業所有職工的事,因此,要增強全體員工的信息安全和防患意識。通過采取培訓和考核等有力措施,進一步提升全體員工對企業信息安全的認識,讓信息安全成為企業日常工作業務的一個組成部分,從而提升企業整體信息安全水平。
3.2采用知識型管理
傳統的安全管理大部分采取的是一種硬性的管理手段。在當今知識經濟的時代,安全管理應當以知識管理為主,從而使得安全管理措施與手段也越來越知識化、數字化和智能化,促使信息安全管理工作進入一個嶄新的階段。
3.3設置系統用戶權限
為了預防非法用戶侵入系統,應按照用戶不同的級別限制用戶的權限,并投入資金開展安全技術督查和安全審計等相關活動。信息安全并非一朝一夕就能完成的事,它需要一個長期的過程才能達到較高的水平,需建立并完善相應的管理制度,從平時的基礎工作著手,及時發現問題,匯報問題,分析問題并解決問題。
3.4防范計算機病毒攻擊
加速信息安全管控措施的建設,在電力信息化工作中,辦公自動化是其中一項非常重要的內容,而核心工作業務就是電子郵件的發送與接收,這也正是計算機病毒一個非常重要的傳播渠道。因此,必須大力促進個人終端標準化工作的建設,實現病毒軟件的自動更新、自動升級,不得隨意下載并安裝盜版軟件;加強對木馬病毒等的安全防范措施,對用戶訪問實施嚴格的控制。
3.5完善信息安全應急預案
嚴格規范信息安全事故通報程序,對于隱瞞信息事件的現象,必須嚴肅查處。對于國家和企業信息安全運行動態,要及時通報,分析事件,及時信息安全通告。對于己經制定的相關預案和安全措施,必須落到實處。另外,還要進一步加強信息安全技術督查隊伍的建設,提高信息安全考核與執行的力度。
3.6建立信息安全保密機制
加強信息安全保密措施的落實,禁止將計算機連接到互聯網及其他公共信息網絡,完善外部人員訪問的相關授權、審批程序。定期組織開展信息系統安全保密的各項檢查工作,切實做好文檔的登記、存檔和解密等環節的工作。
4結束語
