前言:中文期刊网精心挑选了企业信息安全保护范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
企业信息安全保护范文1
关键词:信息安全;加密;活动目录;入侵检测
中图分类号:TP393.08
1 个人信息安全保护措施
由于个人台式或便携式电脑的丢失难以避免,因此企业必须积极做好个人电脑的信息安全工作,因为大中型企业数据量大且较分散,数据的丢失会直接关系到企业的运行安全和效益,特别是一些机密文件或数据的丢失会给企业造成难以挽回的损失。这就要求企业网络管理员和员工除了要有一定的数据安全意识,还要积极采用必要的防范措施,目前保护个人电脑的安全措施主要包括:
(1)采用强身份认证系统,例如指纹或USB Key等。采用指纹验证是最安全的,能够确保特定人登录特定电脑,比如惠普公司出品的高端笔记本电脑很多都带有指纹识别功能。USB Key是一种近年来发展和利用最广泛的身份认证系统,很多认证设备都采用通用USB接口接入电脑。其中内置的智能卡芯片,用来存储用户的私钥或数字证书,且用户在开启电脑时会通过输入自己设置的密码调用保存在USB Key中的私钥,再利用企业身份认证系统内置的公钥算法实现对用户身份的安全验证,只有验证通过的用户才能使用电脑。由于特定公钥和私钥是世界上唯一的一对。采用这种办法,即使用户丢失电脑或丢失USB Key,非法获得电脑的人都由于无法获取私钥而无法登录电脑,因此保证了用户个人电脑的安全性。
(2)采用文件加密软件保护用户文件。例如现在比较流行的加密软件“文件夹加密超级大师”就能够保护企业大部分数据不被非法窃取。
企业员工可以使用类似比较成熟的加密软件可以实现文件夹闪电加密和隐藏加密,且加密后防止复制、拷贝和删除,并且不受系统影响,即使重装、Ghost还原、DOS或安全模式下,加密的文件夹依然保持加密状态。文件夹加密使用国际上成熟的加密算法将文件夹内的数据加密成不可识别的密文,所以加密强度相当高,没有密码绝对无法解密。
除此之外还具有文件加密后的临时解密功能,解密文件时需要输入正确密码再打开。使用完毕后,自动恢复到加密状态,无需再次加密。
2 移动设备安全保护措施
企业病毒有很大一部分来自于利用移动存储介质的传播。很多病毒可以通过微软操作系统的自动播放功能和“映像挟持”等技术执行移动存储介质中的病毒等程序,感染用户的个人电脑,并且具有较强的隐蔽性和自身复制传播能力。同时部分病毒还具有关闭杀毒软件进程,远程下载木马等一系列功能,严重威胁信息系统安全。同时移动存储介质和便携式电脑一样,也存在容易丢失的问题。
针对以上问题我们可以采取以下措施保护移动设备信息安全:
(1)制定有效的移动存储介质防病毒策略。通过组策略禁用自动播放功能、安装自动扫描移动介质的防病毒产品等技术手段,排除病毒隐患。
(2)对移动存储介质进行分级保护。根据不同的保密需求制定各个实体之间的访问规则,增加密级标识和基于主客体密级标识的访问控制等管理功能。只允许授权用户对加密后的文件和目录进行读、写和修改等操作,防止未授权用户使用存储介质获取敏感信息。
(3)不断完善技术保密的措施。采用芯片加密、USB KEY等加密存储技术,对存储介质内信息进行加密认证,从技术上确保移动存储介质的信息安全。即使设备被窃取,也无法轻易获取加密信息。
3 合理规划集中管理企业共享信息
企业共享信息的安全是企业网络运营的永恒话题,在大中型企业中通常采用集中式账号管理办法,在Windows环境中采用活动目录技术,在Linux环境中采用NIS服务器进行账号登录、信息访问等的集中管理,弥补了Windows系统工作组模式下的文件访问零散且难以管理的问题。
在Windows系统中我们可以利用活动目录技术将企业信息集中化。在活动目录环境中采用域管理模式、将整个企业信息作为一个整体资源集中管理,企业账户和数据都作为对象存放到活动目录域控制器中。对于企业账号管理方面,可以为每位员工指定一个唯一的域帐号,通过此账号可以使用户在世界任何地方登录到企业域环境并访问域资源。同时还可以将用户账号加入活动目录技术有的若干个不同功能的用户组,包括域中全局组、本地组、通用组,方便用户充分利用组特性实现访问安全性和有效性。
我们以Windows Server 2003活动目录使用为例,在域控制器的上设置磁盘配额限制,将企业用户按三种不同使用级别分配访问空间,普通员工设置配额100M,部门经理500M,总经理不限。 同时还可以将域控制器及企业数据库等关键业务做成磁盘阵列,已保证企业服务运行的稳定性和安全性。为了实现用户登录域和访问域资源的透明性,我们还可以利用分布式文件系统DFS,将分散在不同的物理位置的资源进行整合。在域控制器或成员服务器上将多个DFS路径对应一个或多个共享目录。同时由于大部分企业通常有多个域控制器互为备份,所以默认情况下,DFS映射将自动到活动目录中,因此其他域控制器都可以充当企业分布式文件系统备份服务器,这就保证了在一个或多个分布式文件服务器不可用时,这个企业资源仍可使用,达到信息冗余,保证企业网络可用性的目的。
在Linux系统中我们也可以采用NIS服务器作为企业账号的认证服务器,同时我们也可以利用LDAP协议和Windows活动目录技术整合,以达到用户访问企业不同类型服务器信息的安全性、透明性要求。
4 企业网络安全防范措施
4.1 规划企业边界防病毒系统
众所周知,虽然我们在个人电脑上可以安装杀毒软件,但是由于病毒控制分散,且不容易及时升级,所以对于一个企业来说一定要配备正规的企业防病毒体系,通常的做法是在企业与Internet接入即企业网关处设置全面的病毒防护,为企业接入外网做好关键一步。这种做法可以为企业提供良好的安全服务,主要体现在:
(1)通过设置企业边界防病毒系统,可以对企业内网用户提供安全透明服务,保证内网用户在不用做任何网络设置的情况下,就可以安全使用内网电脑。合理配置企业边界防病毒系统就可以全面阻截已知或未知病毒,从而达到企业网络环境的全面防护。
(2)某些高端防病毒网关可以提供负载均衡功能,能够根据网络流量实现自动负载均衡,良好地保障了产品的可拓展性及对企业边界的全面防护。
(3)在协议分析方面,某些高端防病毒网关可以保护所有可能的网络威胁,完全扫描所有常用网络协议,包括:HTTP、FTP、SMTP、POP3、IMAP、NNTP等协议。并且提供内容过滤防止未知病毒、蠕虫或可能的恶意代码进入企业网络,大幅减少整体网络资源占用并节省带宽。
(4)在管理方面大部分边界防病毒系统均采用WEB管理控制台技术实现远程管理,让企业网络管理员通过企业内网或互联网上任何节点实现对该防毒设备的管理。
4.2 规划入侵检测系统
入侵检测系统是近年来企业非常流行的安全产品,它可以预知入侵者行为从而在入侵之前就判断出入侵来源并予以防护。高端入侵检测系统能够实时监控网络传输,自动检测并分析可疑行为,发现来自网络内部或外部的攻击行为,并可以实时响应,通过多种方式发出警报,阻断攻击方的连接。主要应用在规模较大,分支机构或下属部门多,网络结构复杂且安全性要求较高,有核心业务需要保护,特殊网络行为需要监控的大中型企业。
利用先进的入侵检测系统,可以由管理员根据指定的网络地址、端口号、攻击源、攻击目标和攻击方式等内容设定实时跟踪和反馈,将网络流量分类、分析统计、实时流量排名等管理员最关心的信息图表化,随时把握网络流量和安全动态。同时还可以定义网络流量异常的阀值,对流量的异常变化进行实时报警。
4.3 规划服务器防毒系统
为了保护企业服务器,我们建议采用正版防毒软件服务器版。例如趋势科技出品的Server Protect , Server Protect可以对Windows系列、 NetWare、或Linux 的网络服务器,提供全面性的病毒防护。Server Protect 通过使用三层体系结构来保护服务器网络,包括管理控制台、信息服务器(中间件)和标准服务器。这些组件在一起创建了强大的集中管理的、节约成本的防毒安全系统。Server Protect通过可携式的主控台来操作,提供病毒疫情管理、集中式病毒扫描、病毒码更新、事件报告和防毒配置等功能。
我们在实际使用时通常的做法是在企业中,先设置一台服务器安装Server Protect信息服务器及管理控制台,作为Server Protect的管理中心。在管理中心上实现网内所有服务器的防病毒策略部署和病毒代码、引擎的升级,然后在每一台服务器上安装Server Protect的普通服务器防毒墙。采用企业版防毒软件可通过单一的主控台来管理,利用集中式报表,管理人员可以监看整个网络的状态,轻松完成各种病毒维护工作,例如设定扫毒模式、更新病毒码和程序、编辑病毒报告、以及设定实时扫描的参数、增量式自动下载和分发病毒码、扫毒引擎和程序文件等。
参考文献:
[1]石志国.计算机网络安全教程(第2版)[M].清华大学出版社,2011,2.
[2]梁亚声.计算机网络安全技术教程[M].机械工业出版社,2008,7.
企业信息安全保护范文2
【关键词】企业; 信息安全; 风险评估; 风险控制
引言:
计算机和网络通信相结合的信息技术,是促进当代社会信息化发展的主要力量,为社会上各行各业的发展创造了良好的环境。许多企业在经营与管理中已经引用现代信息技术,从而使经营与管理更为科学,工作效率更高,获得的经济效益也越多。然而现代信息技术是一把双刃剑,信息化的程度越高,由它带来的风险也越大。当前,企业的信息安全风险评估工作存在着一些问题,这些问题对企业的发展造成很多不利的影响。
一、企业信息安全风险概述
对企业来说,信息是维持企业正常运作的必要资源。企业的信息包括重要的数据、企业的发展规划、保密性文件、知识产权等。这些信息一旦被泄露,那么企业将面临着或大或小的经济损失,更严重的还会使企业面临破产的危险。所谓的企业信息安全就是指信息在其生命周期中,它的完整性、保密性和可用性这三个特性的保留情况。如果这三个特性都得到了保障,那么信息的安全性就高;如果其中的某个特性被破坏,那么信息的安全性就低。而信息安全风险就是指信息在特定的环境与特定的时间里可能遭遇的安全威胁。
信息安全风险可以分为可控性风险与不可控风险、可接受风险与不可接受风险、自然风险与人为风险等[1],这些风险给企业的信息安全管理工作带来了更多的不确定因素,加深了工作难度。
二、企业信息安全风险评估的现状与问题
当前,我国企业的信息安全风险评估工作存在着许多问题,给企业的日常经营与管理带来了许多不利的影响。
首先,企业没有树立正确的信息安全观。很多企业的管理者在信息安全问题上会走向两个极端,一种是认为只要加大信息建设的投入,信息就存在绝对安全的可能;另一种是忽视信息安全建设,信息安全风险意识淡薄。很多企业的管理层对信息资产的重要性认识不够,因而他们在保护信息安全方面几乎是无作为。
其次,企业在具体的信息安全风险评估工作中,表现出重安全技术而轻安全管理的思想与行为方式。这些企业在工作过程当中,不论是在心理还是在行为上都过分依赖安全技术,甚至认为只要安全技术过硬,信息安全就一定能够得到保证,为此,企业普遍采用现代通信技术、计算机和网络技术来构建企业信息安全系统。而在安全管理上,出现了管理措施不到位,员工在信息保密上不够严肃等问题,造成信息安全技术做无用功。
此外,企业信息安全风险评估工作还存在着管理制度不够完善、责任划分不够明确等问题。信息安全风险的评估工作需要收集各方面的大量的信息,如此才能增强评估的有效性。而企业由于管理制度不完善、职责划分不明确等问题,造成各部门的工作不配合、不协调。信息技术部门被孤立,信息安全的风险评估工作也就不能得到及时有效的完成。
最后,我国有些企业在信息安全风险评估的技术与方法上落后于时代。现代信息系统越往后发展,结构就越复杂。这要求企业要根据不断变化的信息技术来改进自己的风险管理理念和手段,同时也要吸收国际上的先进信息安全风险评估技术,保障自身的信息安全。
三、企业信息安全风险的控制
企业信息安全问题对企业来说是不应该被忽视的部分,企业应该在经营与管理的每个环节做好信息安全风险的控制工作,使企业的重要信息能够得到充分的保护。企业信息安全风险的控制可以从风险分析、管理控制、技术控制三个方面来进行。
(一)风险分析
在进行信息安全风险控制之前,先对风险进行分析可以使风险控制工作更加具有针对性,能够提高风险控制工作的效率。对风险的分析可以从信息资产面临的威胁、存在的弱点等方面来进行[2]。在风险分析工作中,要明确以下几点:首先是信息安全风险控制工作中需要保护哪些信息,这些信息具有什么样的价值;信息资产面临着哪些潜在的威胁,导致这些威胁产生的根源是什么,威胁发生的几率有多大;信息资产中是否具有漏洞,这些漏洞是否会被人威胁利用;信息资产发生威胁之后,企业会面临多大的损失;企业该采取什么样的措施来应对风险带来的损失,等等。
(二)管理控制
企业信息安全风险控制工作主要从组织管理、人员管理、政策实施等几个方面来进行。首先,企业应该建立信息安全组织机构,吸收组织成员,协调企业内部的各项资源,制定信息安全控制的目标并通过组织成员履行职责来达到目标。其次,企业要培养素质高、责任心强、原则性强,能够遵守企业政策的人员。企业信息安全风险的控制不仅与强大的技术力量有关,而且还有赖于执行人员对信息安全工作的支持与参与。此外,在政策实施上,企业要严格执行相关的信息安全保护政策,比如目前国际通用的《信息技术―信息安全管理实施细则》[1],为企业执行信息安全保护工作提供一个统一的标准,从而使工作能够有序地展开。
(三)技术控制
技术对信息安全控制的影响力是比较大的,它在很大程度上决定了信息安全风险的大小、范围,同时它也决定了修补信息安全漏洞的方式和方法。因此,在技术方面对信息安全风险进行控制是非常有必要的。首先,技术构架的设计应该遵循系统性原则、技术先进性原则、可控性原则、适度性原则等,使技术能够更好地服务于风险控制;其次,要做好安全域的信息安全保障工作,根据不同的安全域所面临的不同风险来进行信息安全保护工作;最后,要提高信息安全保障技术。目前而言,我国的信息安全保障技术与国际上的相比明显处于落后状态,因此,企业要引进先进的技术力量,加强信息安全风险的控制力度。
四、结语
在这个信息化高度发展的社会,任何企业与个人在享受信息化带来的便利的同时,也要承担信息化带来的风险。我国企业在激烈的市场竞争中,不可避免会遇到信息安全上的威胁。因此每个企业都应该做好信息安全的管控工作,认真、严肃地对待当前网络环境下的企业信息安全问题。
参考文献:
[1]谷田.网络环境下的企业信息安全问题研究[D].郑州大学2012
企业信息安全保护范文3
一、当前构建县供电企业信息安全新体系存在的风险
1.信息安全策略风险
信息安全策略体系是当前县供电企业信息安全新体系中的重要组成部分,但目前多数供电企业在信息安全策略上还存在一定的风险。主要体现在:缺乏统一的安全运行体系;未实现对信息安全策略的修订和评审,因缺乏规范的机制;信息安全策略在企业缺乏一定的执行保障,因信息安全策略未被审批和,缺乏行政保障。
2.信息安全技术风险
主要表现在以下几个方面:缺乏有效的信息系统审计手段和安全监控,未清晰划分网络安全区域,网络应用系统的安全功能和强度严重不足,使用的网络安全技术不够统一,用户的认证度不大,安全系统配置还不够安全。
3.信息安全组织风险
当前县供电企业还缺乏有效、完整、专业的信息安全组织,在实际运行中存在一定的风险。首先是对职工的信息安全教育不够,宣传力度不大,使得职工的信息安全意识薄落,桌面系统用户的安全意识不够[1]。其次,企业组织人员对技术人员的专业安全知识和技能的培训不够,使得企业内部缺少专业的信息安全技术人员。最后,开展的信息安全工作未形成专业的责任制度,职权不明,给企业的工作带来一定的困难。
二、构建县供电企业信息安全新体系的具体举措
1.建立科学的信息安全策略体系
建立科学的信息安全策略体系,是构建县供电企业信息安全新体系的重要举措之一。建立科学的信息安全策略体系应该覆盖物理层、网络层、系统层以及应用层四个方面,包括信息管理和技术两个要素[2]。主要可以从三个方面入手:信息安全策略、信息安全标准规范、信息安全操作流程细则(见图1)。
2.建立先进的信息安全技术体系
先进的信息安全技术体系包括了防火墙技术、信息确认和网络控制技术、防病毒技术、防攻击技术、信息加密技术、数据备份和恢复技术以及统一威胁管理技术。(1)防火墙技术。防火墙技术是指在企业的内部网络与外部网络之间设置安全屏障,防止内部对外部不安全信息的访问,组织外部不安全信息侵入到内部系统的一种技术。该技术是目前国内应用最为广泛的信息安全保障技术,能有效的防止电脑黑客对内部网络系统的攻击,实现对数据的过滤、监控、记录。主要包括了过滤技术、服务技术以及应用网管技术。(2)信息确认和网络控制技术。该技术的使用是围绕计算机网络开展的,有关业务信息安全的技术必须根据各单位的具体业务、性质、任务等制定相应的策略。目前国内的主要信息确认和网络控制技术有:身份认证、数据完整性、防止否认以及存取控制等[3]。(3)防病毒技术。计算机病毒是网络信息最常见的网络安全隐患,已经呈多态化、灾难化形态发展。对此,使用防病毒技术必须建立相应的防病毒网络中心,实行网络化管理。(4)防攻击技术。防攻击技术主要是针对电脑“黑客”设定的,电脑黑客经常会对电脑主机和网络信息系统的一些漏洞进行攻击。防攻击技术的使用能跟根据黑客攻击的程度检测系统的安全漏洞,并提出相应的解决措施,一般而言,对一些重要的系统可采用物理隔离的措施。(5)信息加密技术。信息加密技术是县供电企业信息安全体系中的一种重要且实用的技术,主要包括对称密码技术如DES算法,非对称密钥技术如RAS算法。(6)数据备份和恢复技术。采用数据备份技术可以根据数据的重要程度按等级进行备份,建立省市级与县级数据备份中心,为了保障信息安全系统的安全性和可靠性,应该采用数据恢复技术。(7)统一威胁管理技术。统一威胁管理系统是为了解决因安全产品过度导致网络管理难和网络效率出现瓶颈的问题而产生的,主要功能有防火墙、病毒过滤、流量管理、VPN、上网行为审计以及入侵防御等[4]。目前,该技术已经在很多领域得到应用。县级供电企业与省市供电企业相比,规模较小、资金短缺,在建立先进的技术安全体系时,要结合自身发展规划,不断学习新技术,利用自己的智能开发有潜力的产品。如在数据采集上,可以利用GPRS技术进行远程抄表,且将重点放在路由设备上;调度数据网的数据时可以利用安全物理隔离网闸,移动办公时可以使用VPN技术。
3.建立完善的信息安全管理体系
信息安全管理体系是县供电企业信息安全新体系的核心组成部分,良好的信息安全体系必须要有合理、科学的管理,这是保障供电企业正常运转的重要途径。完善的信息安全管理体系包括了人员管理、技术管理、密码管理、数据管理以及安全管理等。人员管理上,县供电企业要强化网络管理者的信息安全意识,加强信息安全教育,尤其是对网络机密的教育。技术管理上,确保网络的各种设备如路由器、防火墙、交换机、VPN、QOS、IPS、防毒墙的安全。密码管理上,更新重要密码,对各类密码实施分级管理,以免出现出产密码、默认密码等简易密码被破解的现象。数据管理上,做好数据备份工作,数据备份的策略要及时合理,保管好备份数据介质。安全管理上,建立相关的县供电企业信息安全管理浅析如何构建县供电企业信息安全新体系刘志杰(国网冀北电力有限公司隆化县供电分公司,河北隆化067000)的规章制度,在操作系统、操作手段、机房及其设施等方面进行安全管理。
4.建立有效的信息安全组织体系
目前,国内县供电企业要建立信息安全组织体系主要包括了决策、管理、执行、监管四个方面。只有处理好这四个层面的关系,才能建立一个完整、责权统一、有效的信息安全组织体系。同时,建立信息安全组织和定义安全职责是相互影响的两项工作,信息安全组织的角色与职责要有清晰的电柜,管理层要对下属职责进行明确的规范和划分,才能有效的确保信息安全体系的建立,保障企业信息安全工作的有效开展,尤其是信息安全教育与培训的工作。要做好信息安全教育与培训的工作,必须涉及到每个职工,在信息安全教育与培训方面制定严格的制度机制,才能提升整个企业职工的信息安全水平。
三、案例分析
某供电企业信息安全新体系结构示意图从图2中可以看出,组织体系、策略体系、技术和管理体系是该供电所信息安全体系的灵魂,为了建立完整的信息安全体系,保护好供电企业内部网络系统的安全,信息安全新体系设计的具体防护措施如下:
1.物理安全
物理安全主要针对的是地震、水灾等自然因素以及人为操作失误而导致的计算机网络系统和设备损坏采取的一项措施。采取物理安全措施要防止系统信息在空间的扩散,物理安全的实施主要体现在机房上,具体措施包括了防火、防水、防雷、防盗、防静电等。
2.物理和逻辑隔离
物理隔离和逻辑隔离是两种不同的策略,物理隔离是指只要没有网络连接就是安全的,而逻辑隔离是要在网络正常运行的基础上,确保网络信息的安全。对当前的电力企业而言,使用物理隔离是无法保障电力信息安全的,因此,逻辑隔离是最好的举措。逻辑隔离是指网络正常连接情况下,使用技术进行逻辑上的隔离。逻辑隔离可以通过设置VLAN和防火墙来实现,包括企业内部局域网与外界的隔离,不同区域供电企业之间的隔离以及各种专业VLAN之间的隔离等。
3.强化计算机管理策略
加强计算机管理策略体现在设施管理、访问管理以及加密管理三方面。设施管理包括建立安全管理制度,对计算机系统、打印机等设备进行检修、创设良好的电磁兼容环境;访问控制管理是网络安全保护的主要措施,主要通过设置访问账户、访问时间、访问方式等市县。加密管理包括了加密与保密、公共密钥加密、数字签名的鉴定以及包过滤等方面。
4.入侵检测
虽然目前国内很多供电企业都布置了防火墙技术,但是传统的防火墙技术还存在一定的缺点,实施入侵检测能很好的弥补防火墙的缺陷。入侵检测的使用能够有效发挥IPS的优势,协调IPS和防火墙的优势互补,提升对信息安全保护的效果。该供电所的入侵检测主要应用在网络边界上的保护,如内网与电力网的边界、互联网与公司外网的边界、内网与服务器区域的边界。
5.漏洞扫描和弥补
系统缺陷漏洞扫描能帮助工作人员及时发现计算机系统的安全漏洞,更新系统补丁,并进行修补,能有效降低网络系统的安全风险。具体操作以该供电企业使用的漏洞扫描软件X-scan为例进行说明。X-scan漏洞扫描软件采用的是多线程方式对单机进行安全漏洞的扫描,包括命令行和图形界面两种操作方式,扫描的内容有远程操作系统类型及版本、端口BANNER信息、IIS漏洞、CGI漏洞、RPC漏洞,NT服务器NETBIOS信息等。扫描的结果一般保存在/log/目录中,扫描结果索引文件是index_*.htm。具体操作步骤是:第一步,准备扫描文件,如X-Scan图形界面的主程序xscan_gui.exe,插件调度的主程序checkhost.dat等;第二步,准备工作,即安装扫描软件并注册;第三步,图形界面设置项说明,包括了检测范围模块、全局设置模块、插件设置模块等。第四步,运行参数说明,主要的命令格式是:xscan-host<起始IP>[-<终止IP>]<检测项目>[其他选项];xscan-file<主机列表文件名><检测项目>[其他选项]。
6.安全管理
企业信息安全保护范文4
【关键词】企业 信息安全管理 对策
信息安全管理是指通过保证信息资产的机密性、完整性和可用性来保护和维护企业所有信息资产的一系列管理活动,是完整的企业组织管理体系的重要组成部分。其主要包括制定信息安全政策、风险评估、控制目标与方式选择、制定规范的操作流程、对人员进行安全意识培训等一系列工作。
知识经济时代,企业内部各部门之间以及企业与外部之间的交流与合作日益频繁,且对计算机信息技术的依赖也日益明显,使得信息安全问题成为众多企业的关注焦点。
企业的许多信息,包括一些战略规划的重要信息,均以电子文件形式存储,而这些信息在存储、处理以及传输过程中都有可能被非法截取、恶意破坏以及篡改,损失难以想象。保障信息系统的安全在企业的建设和发展当中具有重要的作用。信息安全管理是确保信息系统顺利运行的有力武器。通过建立信息安全体系及相应的规范机制,如加强对人员的管理、提升人员安全意识、促进软件和操作系统的操作及建设相关网络等,就可以建立起完善的信息安全系统,促进企业在知识经济时代平稳、快速和健康的发展。
一 目前信息安全管理中存在的隐患
1.信息管理的安全意识方面
在传统的企业生产中,企业所应具有的基本生产要素主要有设备、原材料、人员和制度几个方面。但随着信息技术的发展,信息的重要性也日益突显,从而也成为企业发展的基本要素之一。根据以往经验来看,企业对信息安全的重视程度还远远不够,表现在对企业信息的安全保护很不到位,这无疑给企业带来了很大的损失。所以,企业必须要加强对信息安全的保护,建立起一套完善的信息安全体系来保证企业的信息安全。
2.缺乏统一的安全体系规划和安全防范机制
目前,“头痛医头、脚痛医脚”的现象十分普遍,原因在于眼于局部而忽视整体。企业只是在网络中安装了一些安全设备,却未形成统一的安全策略及相关规划方案。企业在建设信息化的过程中通常采取先开展业务,后关注安全的策略,使得安全的管理远远落后于开展业务发展。而由于缺少整体性的规划,使得企业在问题已经出现时才去弥补,对于安全建设只能用“亡羊补牢”来形容。
3.信息安全产品本身存在的问题
大多数企业通常在建设信息安全系统的过程中就采用了一些保证信息安全的产品。但并不是说使用了相关安全产品信息系统就安全了,因为计算机系统所存在的一些安全隐患除了是由信息安全产品本身所具有的漏洞引起的之外,人员在使用信息安全产品的过程中所造成的操作失误及用户配置的错误也会对其产生影响。所以企业不仅要重视安全产品自身的问题,也要重视系统的操作与应用过程。
4.资金投入不够,缺乏安全技术人才
要想建构起完善的信息安全体系,企业不仅要投入大量的资金,而且同时要引进一批高端的IT人才,组建一支专业建设信息安全的团队。但遗憾的是,很多企业并未意识到信息安全的重要性,所以在资金投入方面很是不足,比如说,使用的电子邮箱和杀毒软件等往往都是免费的,也没有构建防火墙,这使得企业的信息安全得不到充分地保障。此外,虽然一些企业投资引进了一些硬件设施,但对软件的重视不足,表现为投入的滞后性,从而阻碍了硬件设施发挥应有的功能。
还有一个问题,大部分企业在加强信息安全建设的过程中,通常都把注意力集中在搭建网络平台及硬件的选择上了,却忽视了对人才的引入和培养。具体表现在许多企业缺乏信息技术人才,而相关专业人才更是不足。按照要求,一个信息系统的运作应该由几个技术人才相互配合、共同操作,但实际上却恰恰相反,企业中的一个信息管理人员往往负责大量的操作,不仅要负责配置系统,还要负责管理系统的安全,导致对安全的设置和监督由一个人负责,任务繁重。
二 加强企业信息安全管理的途径
1.注重人员安全管理,提升信息安全意识
具体的操作人员在信息系统的建设和运行过程中必不可少,人既是管理者又是被管理者,因为他们不仅要建设和应用计算机系统,而且也信息管理的对象。所以在信息安全系统的管理中,最重要的就是对人员的安全管理,做到这一点要从以下几个方面来进行:要建立一个安全的组织结构,对安全职能加以确认,审查人员的安全状况,和安全人员签订相关的保密合同,加强离职人员的安全管理等。
企业要对员工加强有关信息安全的教育,增强他们的安全意识。保障企业的信息安全是每个职工应尽的义务。信息安全不是一种技术而是一种意识,所以仅从技术层面是无法保证企业的信息安全的。加强安全教育要企业要做到以下几个方面,首先,加强员工的教育培训、普及互联网和信息安全的相关知识、提升员工的安全意识并增强其防范能力,使整体员工都有一种为企业信息安全负责的意识。其次通过定期举行有关信息安全的报告和讲座等,使企业自上而下都形成安全意识并铭记于心。通过上述两种途径可以使企业的信息安全工作顺利的开展。
2.建立、健全信息安全防范体系
对于企业中信息安全的管理机制及防护规范的发展和完善,可以使企业中的那些至关重要的信息得到很好的保护。即使信息系统遭到入侵也能够保证企业业务的顺利进行,可以极大地降低企业的损失。
第一,提高安全系统的应急能力,这就要求建立和完善相应的应急管理机制,并制定应急预案。
第二,企业要建立起一个网络和信息安全管理的平台,在网络内外部署相关的信息安全设施,比如要加强网络的安全性管理,在网络中设置一些控制访问的策略,并对网络的安全使用加以规范,具体来说就是要安装避免病毒入侵的软件,对网络经常进行检测,提高防火墙的性能等。
第三,建立机制对信息安全进行集中化管理。如数据安全控制和加密密钥的集中化管理,前者可以做到自上而下的全面执行企业的安全防范策略,后者可以降低人为原因导致的数据安全的风险,并可以保证不与其他的加密策略发生冲突,实现兼容。
第四,企业还要重视对于异地数据的备份工作及当遇到意外情况时可以实现信息恢复的机制设计,因为这可以保障信息系统的安全运行。
第五,重视风险评估工作。这要求企业在平时要对信息系统的安全性进行定期的评估,以提高企业抵御风险的能力。
3.健全用户权限和上网管理制度
企业信息安全管理工作的一个重点就是要建立并完善用户浏览的权限及网上管理的制度设计,并使之得到严格地执行。同时随着企业的发展和业务系统的完善要不断对其补充和修正。
首先,对用户权限的管理加以完善。这就要求企业改变以往把每个员工都当成管理员可以随意浏览信息的状况,要将每个员工的权限加以明确并保证最小,减少他们对信息系统的操作从而在最大程度上保证系统的安全。
其次,要限制员工的上网行为。在信息化时代,要想控制众多员工上网的行为,就必须要从管理和技术两个方面来实现。此外,要严格检测和控制那些从外部传来的文件,防止它们给企业内部的网络带来病毒。
4.进一步健全、监管第三方服务体系
由于对信息安全的担忧和对服务质量的怀疑,大部分企业都不愿意采取第三方提供的服务体系。在企业中,信息安全工作至关重要,如果不小心泄露了企业的重要资料,就会给企业带来致命的打击。
政府应发挥作用加强有关第三方的法律法规建设并制定行业标准,排除企业对第三方的疑虑。企业应加强与第三方的合作,双方共同努力建设起符合企业特点的信息安全体系,使得企业的信息安全能够获得最有力的保证。企业应设立专门的监察职位,主要负责监督、检查企业管理信息系统的运行情况并直接向企业总经理负责。因其“第三者”的角色,可更加客观、公正对企业信息安全以及业务流程进行监察,及时发现信息安全隐患。
5.加大建设资金投入,完善软件硬件建设
要想顺利建成企业的信息安全体系,大量的资金投入是必不可少的。企业应投入足够的资金来购买相应的设备,如相关软件和服务器等,同时企业也可以采取外包的形式。
首先,在加强硬件设施方面,企业可以应用加密系统来保护有关的口令、文档及网内的重要数据。这样我们就可以更有针对性的在网上传输数据。加密管理有三种类型,即端点、节点和链路加密,企业可以根据自己的实际情况从其中进行选择。特别是在控制信息系统开发的过程中就应渗透信息安全保护机制,从根本上预防信息安全隐患。
其次,加强软件建设,最主要的就是采取积极有效的措施使操作系统的安全性得到最大程度的保护。具体来说就是要对有关信息管理的各种软件定期加以更新,保证数据库和终端的操作系统的版本保持一致,这不仅有利于加强管理,而且可以提高系统的防御功能
此外,要做到经常性的数据备份,选用高强度口令保护账号安全,针对不同账号设定不同密令,经常更新杀毒软件及补丁以及在局域网与互联网之间安装防火墙,并周期性的对文件进行排查,及时发现已感染病毒的文件以及信息丢失的现象。
企业的信息安全管理是一个动态的过程,要随时代的发展而不断加以创新。因此,我们必须不断探索加强信息安全管理的思路和方法,并对逐步构建起相对完善、高效、可靠的信息安全管理体系,定期对企业的信息安全风险和信息安全管理水平进行评估。
参考文献
企业信息安全保护范文5
1 企业信息安全管理的失误因素分析
1.1 信息安全组织临时化
通常,企业只有在发生了信息泄露、病毒攻击、系统破坏等信息安全事件时,才会临时从信息技术部和业务部门抽调人手处理和解决信息安全事件。出现新的信息安全要求时,才会临时组建项目小组,根据新的信息安全要求制定解决方案并实施计划,项目完成后,临时小组就会解散,没有人会继续跟进和执行解决方案。由于没有定期的信息安全评估,安全计划不断地重复开始和结束,带来大量的人财物重复投入,这将导致安全计划成本不断增加,企业的工作效率不断降低,信息安全防护也未得到有效提升。
1.2 员工上网无限制
虽然企业为员工上网提供了用户名及密码,并且对其登录的网站进行了监测,但是员工在工作时间还是可以无设防地利用外网进行网页游览、网络社交等行为,并且使用一些网站的免费邮箱随意地接收和发送电子邮件,这些给黑客、病毒、钓鱼软件等创造了对企业内部网络攻击的机会。于是,员工在不了解原因的情况下,使得企业的信息被泄露或者内部网络瘫痪,从而影响企业的正常工作,造成企业资产的损失。
1.3 个人移动设备(BYOD)使用泛滥
在企业的办公场合,员工会携带个人移动设备(BYOD)如笔记本电脑、平板电脑、智能手机、移动硬盘等进行办公。企业员工可以较为随意地使用这些移动存储设备对内部文件进行拷贝,并且可以使用移动设备接入企业内网的无线Wi-Fi,并拥有一定程度的内网数据读取权限,这样做虽然节约了企业的办公成本,提高了办公的效率,但是也增加了企业内网病毒感染及遭受黑客恶意入侵的风险。
1.4 信息安全防护水平有限
出于性能、技术等因素的考虑,加之国内自主研发的信息安全产品较少,目前进口的信息安全产品受到许多企业的广泛采用。尽管这些企业的信息安全需求以此得到了满足,但近几年来,进口产品设备故障的频繁发生也对企业的业务带来了不同程度的影响。同时,进口信息安全产品已经占据了这些企业信息系统的关键节点,这使得企业的商业机密时刻处于高危状态。不仅如此,部分企业仍旧停留在使用免费的个人版杀毒软件阶段,而这些软件不仅无法解决病毒交叉感染的问题,也没有统一的管理平台对企业内网的安全系统进行统一的升级与维护。
1.5 信息安全事件处理不及时
企业在发生信息安全事件时,即使有相关的信息安全管理产品,但无法迅速定位安全事件,更无法快速进行安全事件响应处理,常处于混乱、无序的运维管理状态。由于企业的安全管理人员无法全面了解整个企业网络中正在发生的内部越权访问和外部攻击,出现问题时,他们多表现得无从下手或者手忙脚乱。而且,企业各部门各自为政,对发生信息安全事件无法进行统一规范的快速处理。
2 改进企业信息安全管理的对策
2.1 建立健全的信息安全组织层级结构
企业信息安全组织架构的建立是围绕企业信息安全管理的战略目标,对企业的信息资源、人力资源、安全技术产品等进行合理安排和配置,构成相互协作的有机整体,使企业的信息安全活动协调有效地运行。企业通过建立多层次、跨部门的信息安全决策委员会、信息安全工作部、信息安全执行部层级结构,不仅能在企业中形成一张网,覆盖企业的各个部门,有利于信息安全措施的实施和针对信息安全事件的快速响应,而且还能为后续建立信息安全管理体系提供组织上的保证。信息安全决策委员会主要负责制定信息安全制度和策略、明确各部门信息安全职责、协调各部门实施信息安全控制措施以及信息安全活动的实施等。
2.2 加强人员教育培训和规范管理
信息安全最大的威胁不是来自于企业外部的攻击或是企业信息安全技术的缺陷,而是企业人员缺乏信息安全意识。为了能够有效地提高企业员工的信息安全意识,企业需要对员工进行完善的信息安全教育培训,这不仅能提高员工的信息安全保护技能,还能更好地保护企业的信息安全。企业在制定信息安全教育培训内容时,可以根据员工在企业中所处的职位高低和工作性质的不同有针对性地制定。对于企业管理者而言,教育培训以信息安全核心知识、风险管理、信息安全政策等为主;企业的信息技术人员,则是以信息安全技术教育培训为主;一般员工结合所在部门的业务特点以信息安全意识培训为主。除了对企业的人员进行教育培训,还需对其进行规范化管理。对掌握产品生产、原材料采购等核心信息的管理者实施更加严格的信息安全监督管理制度;对负责计算机系统及日常维护的人员界定其工作权限;规范化管理员工的上网行为,合理利用网络资源,避免人为的网络安全隐患。
2.3 完善信息安全技术体系
一是保障并完善数据安全,企业需通过加密的手段保护企业系统中数据的机密性和完整性,从而提高数据访问的抗抵赖性,同时加强数据的异地灾难恢复机制,实现本地数据的实时远程复制与备份,避免本地系统遭受灾难性破坏导致企业系统中数据的遗失。
二是保障并完善终端安全,企业除了要采用全面可靠的防病毒体系和防火墙技术外,还需制定严格的移动终端设备使用制度,一方面是为了避免内部员工利用移动终端设备随意拷贝企业内部文件,导致企业内部信息向外泄露,另一方面是为了防止移动终端设备携带的病毒漏过企业系统设置的防火墙而直接在系统内部传播。
三是保障和完善应用安全,除了提供用户名和口令外其他身份验证机制,必要时还需支持双因素认证和具备登录控制模块,同时在日常工作不受影响的情况下,控制员工访问权限,减少越权操作的现象,最大限度地保障个人系统的安全。
四是保障和完善网络安全,企业还需通过内外部署相应的网络与信息安全设施使计算机设备的物理管理得到加强,并对入侵检测系统和漏洞扫描系统进行内外部攻击和误操作的实时保护的安全设计,使系统免于网络攻击的同时,也提升了系统管理人员的安全管理水平。
企业信息安全保护范文6
[关键词] 石油企业 信息安全 安全策略 解决方案
石油企业要提高竞争力,信息化水平是一个重要因素。而信息安全的风险随着企业信息化水平的不断提高而增加。没有可靠的信息安全保障,就没有企业的安全生产运营,就会极大地降低企业在石油行业内的竞争优势和生存空间。要保证信息安全,就必须首先制定相应的安全策略,然后依据该策略结合企业的实际需要选定具体的解决方案,全面构筑企业的信息安全体系,防止各种不安全因素带来的信息安全隐患,做到防患于未然。
所谓信息安全是指信息的保密性、完整性、实用性和可靠性,即在信息的使用和存储过程中,防止因偶然事件或人为因素造成信息被破坏或泄露,也就是要保障信息的有效性。
一、石油企业预防人为因素的方案
企业信息安全的防范不单纯是一个技术问题,而是一个综合性的问题,其中最重要的因素就是人的因素。在人的因素中,有些是无意的:如信息管理员、操作员安全配置不当造成的安全漏洞;企业内部终端用户安全意识不强,用户口令选择不慎,或是将自己的帐号随意转借他人或与别人共享等;也有些是黑客的恶意攻击,如以各种方式破坏信息的有效性和完整性;或在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息等。这些攻击均可对信息安全造成极大的危害。对于这类人为因素,必须首先建立石油信息安全领导小组,设立安全领导小组办公室,由企业负责人直接担任组长,并逐级确立信息安全责任人,并且对信息中心的管理员、操作员,进行必要的定期的信息安全教育,明确岗位职责、权限,签订岗前责任状,以提高全员信息安全防范意识。同时制定信息安全制度,并采取相应的措施以防止信息安全漏洞。
二、石油企业内部技术防范的方案
从技术角度看,信息安全的防范包括:
(一)设备及环境安全
设备和环境的安全主要涉及到由于自然灾害、人为因素造成的数据丢失,比如地震、电力故障、火灾、洪水、盗窃等。它们给企业的数据带来潜在的威胁,因此对于信息安全级别较高的企业,应建设完善的容灾备份系统。容灾备份系统一般由两个数据中心构成:主中心和备份中心。通过异地数据备份,实时地将主中心数据拷贝至备份中心存储系统中,使主中心存储数据与备份中心数据完全保持一致。这种在线备份出现故障后系统数据恢复时间短,安全性好,但对资源的占用率比较高,投入成本也大;还有一种离线备份,即把数据定期备份到移动存储器或光盘上,然后异地保存,离线备份方式恢复时间比较长,但投资较少。企业应根据自身信息化建设的程度及企业对信息安全的要求以及资金投入情况,决定容灾备份系统的规模和等级。
(二)系统运行安全
随着企业信息化的发展,信息系统的连续稳定运行越来越重要。一旦系统中断,将会给企业的工作带来混乱,而数据一旦丢失,后果将是灾难性的。为保证信息系统的连续稳定运行,应采用双机热备解决方案。这种系统有两个服务器组成:主服务器和从服务器。主服务器将从服务器的硬盘视为自己的一个外部磁盘设备,由专用数据链路担负着传输镜像数据的任务,同时也为从服务器监视主服务器提供了途径。主服务器系统可以象对本地硬盘一样访问从服务器上的硬盘。从服务器不仅镜像着主服务器的硬盘数据,而且还实时监测主服务器,一旦发现主服务器故障,会自动接替主服务器工作。
(三)数据库安全
在数据库系统中,由于数据大量集中存放,且为众多用户共享,安全性问题更为突出。解决数据库安全的措施要从数据库软件本身和数据备份两个方面考虑。
1、利用软件本身所具有的性能进行安全保护大型数据库为开发者提供了有效的安全性控制策略,一般会在数据访问的安全性和监督用户的登录进行有效的控制,同时又兼顾用户在使用数据时对速度的要求。大型数据库中的安全性是依靠分层解决的,它的安全措施是级级层层设置的,做到层层设防。第一层是注册和用户许可,保护对服务器的基本存取;第二层是存取控制,对不同用户设定不同的权限,使数据库得到最大限度的保护;第三层是增加限制数据存取的视图和存储过程,在数据库与用户之间建立一道屏障。
2、利用硬件备份系统进行安全保护备份系统不仅是保证数据库安全,同时也是保证网络系统安全的一种重要手段,为了保证数据安全,需要对数据库进行及时快速的备份。备份系统的服务器的应用较为简单,配置不要求很高,甚至可以和其他一些应用共用一台服务器,而备份软件和磁带库是备份系统的关键。
三、石油企业网络运行安全的方案
网络安全问题是信息安全问题的核心,应采取全方位的、动态和静态相结合的方案解决网络安全问题。影响网络安全的要素包括:网络边界安全,操作系统安全,应用服务器安全,内部网安全,网络防病毒。影响网络安全的因素可以通过以下安全产品来防范:
(一)防火墙的应用
防火墙在企业内部网和外网之间设置了一道有效屏障,保护网络边界并防止黑客入侵。防火墙作为单一的关口,在此关口能检查、审核、加解密和认证进入网络的数据。
(二)漏洞检测系统的应用
漏洞检测系统又称系统扫描、风险评估。漏洞检测就是模拟黑客的攻击手段对被检测系统(包括各种操作系统、网络和应用服务器)进行扫描,然后提交安全漏洞报告,并给出解决漏洞的方法,从而保证网络边界安全、操作系统安全、应用服务器安全和内部网安全。
(三)网络防病毒产品的应用
随着网络的不断发展,信息共享、信息交换越来越多,因此感染病毒的机会更大。在企业网络内一旦有一台主机感染病毒很快就会传播到整个网络,甚至对企业造成很大的经济损失。因此防病毒已成为网络安全的重要课题。对于可以登录外网的终端计算机可以采用购买网络版杀毒软件,提前预防、实时监控和杀毒。对于仅能登录内网的终端计算机,企业应当购买专业单机版杀毒软件,并在内网定期单机版杀毒软件的离线更新包。
以上是动态的网络安全策略,对于静态的网络安全策略,可以从网络的结构设计方面提高网络的安全性。对于一些安全要求比较高的部门,如财务部门,可以建立专门的局域网与互联网及企业内部网进行物理隔离;还可以通过冗余设计来提高网络的可靠性,例如:链路冗余、模块冗余、设备冗余及路由冗余。
(四)访问控制安全的应用
访问控制功能是对企业综合信息系统的内容进行访问权限的限制。对于有些只对企业内部或合作单位开放的信息,应该设置访问控制,只有得到用户名和密码的用户才能访问这些内容。可以通过配置路由器来实现这部分的功能。
另一方面,是企业不同部门对网络权限要求不同的问题。各应用系统设计和选购时应该考虑如何保障各部门的安全,保证安全保密性级别高的部门在网络上运行的各类业务不受未授权员工的损害。在构建网络时应用VLAN技术和第三层交换技术,可在同一个基础物理网络上实现员工网络、财务网络、领导网络和部门网络的逻辑分隔,从而提高整个信息系统的安全性。
(五)信息存储安全
网络的发展,加上多媒体应用,使得数据呈几何级数激增。传统的以服务器为中心的存储网络架构面对源源不断的数据流已显得力不从心,严重的会导致数据崩溃。为了存储安全,以服务器为中心的数据存储模式必须向以数据为中心的数据存储模式转化。为了解决这个实际问题,可以采用网络存储技术,网络存储技术是一种特殊的专用数据存储服务器,内嵌系统软件,可提供跨平台文件共享功能,完全以数据为中心,将存储设备与服务器彻底分离,集中管理数据,从而有效释放带宽,大大提高了网络整体性能,也可有效降低成本,保护企业的投入,将数据崩溃降低到最低限度。
