时间:2023-10-10 10:42:28
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇企业信息安全的概念,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
[关键词]信息安全;管理;控制;构建
中图分类号:X922;F272 文献标识码:A 文章编号:1009-914X(2015)42-0081-01
随着企业信息化水平的提升,大多数企业在信息安全建设上逐步添加了上网行为管理、内网安全管理等新的安全设备,但信息安全防护理念还停留在防的阶段,信息安全策略都是在安全事件发生后再补救,导致了企业信息防范的主动性和意识不高,信息安全防护水平已经越来越不适应当今企业IT运维环境和企业发展的需求。
2 企业信息系统安全防护的构建原则
企业信息化安全建设的目标是在保障企业数字化成果的安全性和可靠性。在构建企业信息安全体系时应该遵循以下几个原则:
2.1 建立企业完善的信息化安全管理体系
企业信息安全管理体系首先要建立完善的组织架构、制定信息安全管理规范,来保障信息安全制度的落实以及企业信息化安全体系的不断完善。基本企业信息安全管理过程包括:分析企业数字化资产评估和风险分析、规划信息系统动态安全模型、建立可靠严谨的执行策略、选用安全可靠的的防护产品等。
2.2 提高企业员工自身的信息安全防范意识
在企业信息化系统安全管理中,防护设备和防护策略只是其中的一部分,企业员工的行为也是维护企业数字化成果不可忽略的组成。所以企业在实施信息化安全管理时,绝对不能忽视对人的行为规范和绩效管理。在企业实施企业信息安全前,应制定企业员工信息安全行为规范,有效地实现企业信息系统和数字化成果的安全、可靠、稳定运行,保证企业信息安全。其次阶段递进的培训信息安全人才也是保障企业数字化成果的重要措施。企业对员工进行逐次的安全培训,强化企业员工对信息安全的概念,提升员工的安全意识。使员工的行为符合整个企业信息安全的防范要求。
2.3 及时优化更新企业信息安全防护技术
当企业对自身信息安全做出了一套整体完善的防护规划时,就应当考虑采用何种安全防护技术来支撑整个信息安全防护体系。对于安全防护技术来说可以分为身份识别、网络隔离、网络安全扫描、实时监控与入侵发现、安全备份恢复等。比如身份识别的目的在于防止非企业人员访问企业资源,并且可以根据员工级别分配人员访问权限,达到企业敏感信息的安全保障。
3 企业信息安全体系部署的建议
根据企业信息安全建设架构,在满足终端安全、网络安全、应用安全、数据安全等安全防护体系时,我们需要重点关注以下几个方面:
3.1 实施终端安全,规范终端用户行为
在企业信息安全事件中,数字化成果泄漏是属于危害最为严重的一种行为。企业信息安全体系建立前,企业员工对自己的个人行为不规范,造成了员工可以通过很多方式实现信息外漏。比如通过U盘等存储介质拷贝或者通过聊天软件传递企业的核心数字化成果。对于这类高危的行为,我们在建设安全防护体系时,仅仅靠上网行为管理控制是不能完全杜绝的。应该当用户接入企业信息化平台前,就对用户的终端系统进行安全规范检查,符合企业制定的终端安全要求后再接入企业内网。同时配合上网行为管理的策略对员工的上网行为进行审计,使得企业员工的操作行为符合企业制定的上网行为规范,从终端用户提升企业的防护水平。
3.2 建设安全完善的VPN接入平台
企业在信息化建设中,考虑总部和分支机构的信息化需要,必然会采用VPN方式来解决企业的需求。不论是采用SSL VPN还是IPSecVPN,VPN加密传输都是通用的选择。对于分支机构可以考虑专用的VPN设备和总部进行IPSec连接,这种方式更安全可靠稳定。对于移动终端的接入可以考虑SSL VPN方式。在这种情况下,就必须做好对于移动终端的身份认证识别。其实我们在设备采购时,可以要求设备商做好多种接入方式的需求,并且帮助企业搭建认证方式。这将有利于企业日常维护,提升企业信息系统的VPN接入水平。
3.3 优化企业网络的隔离性和控制性
在规划企业网络安全边际时,要面对多个部门和分支结构,合理的规划安全网络边际将是关键。企业的网络体系可以分为:物理层;数据链路层;网络层;传输层;会话层;表示层;应用层。各体系之间的相互隔离和访问策略是防止企业信息安全风险的重要环节。在企业多样化网络环境的背景下,根据企业安全优先级及面临的风险程度,做出适合企业信息安全的防护策略和访问控制策略。根据相应防护设备进行深层次的安全防护,真正实现OSI的L2~L7层的安全防护。
3.4 实现企业信息安全防护体系的统一管理
为企业信息安全构建统一的安全防护体系,重要的优势就是能实现对全网安全设备及安全事件的统一管理,做到对整个网络安全事件的“可视、可控和可管”。企业采购的各种安全设备工作时会产生大量的安全日志,如果单靠相关人员的识别日志既费时效率又低。而且不同安全厂商的日志报表还存在很大差异。所以当安全事件发生时,企业管理员很难实现对信息安全的统一分析和管理。所以在企业在构建信息安全体系时,就必须要考虑安全设备日志之间的统一化,设定相应的访问控制和安全策略实现日志的归类分析。这样才能做到对全网安全事件的“可视、可控和可管”。
4 结束语
信息安全的主要内容就是保护企业的数字化成果的安全和完整。企业在实施信息安全防护过程中是一个长期的持续的工作。我们需要在前期做好详尽的安全防护规划,实施过程中根据不断出现的情况及时调整安全策略和访问控制,保证备份数据的安全性可靠性。同时全体企业员工一起遵守企业制定的信息安全防护管理规定,这样才能为企业的信息安全提供生命力和主动性,真正为企业的核心业务提供安全保障。
参考文献
[1] 段永红.如何构建企业信息安全体系[J]. 科技视界,2012,16:179-180.
[2] 于雷.企业信息安全体系构建[J].科技与企业,2011,08:69.
[3] 彭佩,张婕,李红梅. 企业信息安全立体防护体系构建及运行[J].现代电子技术,2014,12:42-45+48.
[4] 刘小发,李良,严海涛.基于企业网络的信息安全体系构建策略探讨[J]. 邮电设计技术,2013,12:25-28.
[5] 白雪祺,张锐锋. 浅析企业信息系统安全体系建设[J].管理观察,2014,27:81-83.
1云计算的概念与基本原理
在分布式处理、并行式处理及先进网络计算科学技术不断发展的基本前提下形成的一种新型计算模式即云计算,其面对的是超大规模的分布式氛围,主要发挥着将供应数据储存及网络服务的作用,并且具体的实现平台、服务于应用程序都是在整个云计算环境下得以实现的。云计算能够把全部的计算资源融合在一起,通过具体软件促使自动化管理、无人为参与,并且能够提供各种各样的认为服务。云计算的基本原理是把相关的计算逐一分布在多个分布式计算机当中,在远程服务器的具体计算当中可以促使电力企业信息处于正常的运行状态,有利于企业将资源更改为具体的需求得以运用,并且能够按照实际需求对计算机进行访问。云计算基本原理为一场历史性的转变创举。
2目前我国电力企业信息安全结构状况
2.1电力企业信息网络结构
随着电力企业逐渐进入网络自动化及智能化阶段,为此,目前电力企业信息安全结构一般是以公共网络与专用网络有效综合的一种网络结构形式,其中,专用电力信息网络指的是在因特网进行连接的基础上形成的一种电力企业信息网络及调度信息网络相互综合的形式。
2.2电力信息安全系统结构
以信息中的信息性能及信息业务为出发点将电力企业信息划分为三种层面:自动化、生产管理、办公室自动化及电力企业信息管理。其中,办公室自动化及电力企业信息管理是与电力企业信息网络结构紧密联系在一起的,形成的是一个安全工作区域,在这个安全区域当中SPDnet支撑的一种自动化,可具备监控性能的实时监控,譬如,配电自动化、调度自动化、变电站自动化等,同时,安全生产管理区域同样也是SPDnet来作为基本支撑的。
3云计算环境下电力企业信息安全技术的运用
3.1数据传输-存储安全技术
在整个电力企业信息当中,涵盖了大量的有关电力企业发展的资料及所有数据信息,譬如:电力企业的财务信息、用户信息、经营管理信息等等,所以,对于整个电力企业而言,数据的传输-存储安全技术在其中发挥着极为重要的作用。一般情况下,云计算环境下,严格加密技术可促使电力企业信息数据在具体的传输过程中将会处于非常安全的一种状态下,主要是由于云计算能够利用加密技术将那些潜存的非法访客完全的拒之门外,预防数据传输过程中发生窃取的事件。从电力企业信息数据存储技术的角度进行分析,其涵盖了数据恢复、数据分离、数据备份、数据存贮位置的选择等几方面内容,而云计算环境下,电力企业便能够利用私有云这一高度集中的存储技术把相关的数据信息以基本性能、重要系数为依据来选择不同的存贮方位,这样可以促使不同种类数据间隔离的实现,并且可起到预防数据信息泄露的作用。云计算的运用可促使电力企业信息能够实现实时备份,使得电力企业信息在有突况出现的时候能够在第一时间达到相关数据的及时恢复。
3.2权限认证及身份管理安全技术
云计算能够成功的预防非工作人员使用非法用户对电力企业信息系统进行访问,这主要是由于在私有云的内部全部的企业信息都能够实现禁止访问技术,电力企业信息管理工作者能够通过私有云进行身份管理、权限认证技术的相关设置,按照企业工作人员的级别及具体的规定对于相关数据及应用业务作出明确的规定及权限的划分,这样可成功的预防了非法访问的事件发生,同时实现合法用户根据个人权限来进行企业信息的具体操作。
3.3网络安全隔离技术
对于整个电力企业信息来讲,云计算实则是互联网当中的一种内部性系统,通常情况下,电力企业信息网络能够从网络安全的被动保护层面来促使入侵检验技术、防火墙设置等安全防火技术得以实现,可是,云计算环境下,电力企业信息安全采用的是防火墙技术、物理隔离技术、协议隔离技术等先进的科学技术,其中,防火墙技术是对于企业外部网络及电力企业信息网络而创建的一道安全性保护屏障,通过对个人信息的严格检测、审核,将具有破坏性入侵的访客实施的一种有效防护,能够最大限度上将那些越过防火墙对电力企业信息安全网络及正常运行造成破坏的数据流进行完全性的屏蔽;物理隔离技术指的是在云计算环境下对于电力企业内外部网络实施的一种分割,这样能够有效的将内外部网络系统的连接状态完全阻断;协议隔离技术指的是在云计算环境下利用网络配置隔离器对内外部网络进行的一种隔离,在协议隔离技术的支撑下,内外部网络是完全分离的一种状态,而唯有云计算环境下的电力企业信息进行相互交换的过程当中,内外部网络才能够通过协议由隔离的状态转变为正常连接状态。
4结语
通过上文针对云计算环境下电力企业信息安全的浅析,我们从当前电力企业信息安全的状况进行分析,云计算环境下用户信息安全依然是一个较为严峻的问题,一部分问题并未得到根本性的解决,在今后的工作当中,需要针对云计算环境下用户信息安全供应相应的帮助,这样才能够促使用户信息安全水平得到较为显著的提高。我们坚信,在未来的工作当中,云计算环境下的电力企业信息将会更加安全,用户信息的安全性能将会得到最大程度上的保障。
作者:李袖 高阿朋 郭宝财 张伟 单位:国网内蒙古东部电力有限公司电力科学研究院
参考文献
[1]曹勇,王口品,牒亮等.试析电力企业信息安全保障体系建设原则及思路[J].信息通信,2013(04).
当前信息安全的发展趋势已经不仅仅是升级传统安全产品,而是从业务策略和整体系统上来考虑安全问题,帮助企业建立安全、完善的IT环境,以应对来自内外部的攻击,降低风险和损失。因此,全方位安全策略及解决方案对保护电信运营商信息系统的安全不可或缺。
对于电信运营商而言,目前都已制定了相关的制度和流程,但还没有企业级整体的信息安全规划和建设,信息安全还没有或很少从整体上进行考虑。IBM企业IT安全服务是一套针对企业信息安全管理的完善解决方案,能够协助企业更加全面地认识信息技术、评估企业的信息安全隐患及薄弱环节,进一步完善运营商安全架构,为电信运营商的应用构建高度信息安全的运行环境,共同规划、设计、实施、运作,从而保护企业信息系统的安全。
事实上,管理者不应该再将信息安全看作一个孤立的或是纯技术的问题,而要从企业运营的全局角度整体看待,制定与企业特点和成长潜力相适应的安全管理架构。
完善的安全架构必须能够随着市场的变化进行调整,IT部门的决策者必须密切关注市场的变化。2007年安全用户在三类需求上将有突出的增长。CIO需要更好地应对日益增长的法规遵从性要求,更多地关注应用层面,与此同时,积极利用外包的机遇实现更好的投资回报。
在中国,随着信息安全和上市公司相关立法的完善,法规遵从性和相关审计在行业中的要求也正在不断普及,越来越多的公司和行业正努力去满足法律所规定的安全要求。电信运营商在信息管理方面需要做到三点:信息的完整性、信息的保密性和要求信息能够在适当的时间以适当的格式被访问,这都与信息安全密不可分。保护企业数据安全,达到法规遵从性的要求将是CIO们2007年的一大职责。
应用安全是另一个市场焦点。随着企业业务更多依赖于各类基础性应用,让企业安全、顺畅地访问应用数据,保证业务永续运行的同时保障应用性能成为CIO的重要目标。过去信息安全的老三样(防火墙、入侵检测和防病毒)的概念已经过时,网络边界这样的概念会越来越模糊,而基于身份和用户管理的网络行为控制将会成为主流。安全即意味着只有允许的人在允许的时间访问允许的数据,故而身份管理可以整合各种不同类型的安全工具。同时,它也可以帮助企业认清和应对新技术部署带来的新问题,例如无线技术在企业范围内的广泛应用,已经使得安全阵地从有形的网络线路扩展到无形空间。
在电信运营商运营商强化自身安全的同时,网络安全外包的发展给电信运营商带来了更多的选择。对于缺乏安全技能和人力的中小企业来说,安全管理服务(ManagedSecurityService,MSS)是一条捷径,即通过在电信网络上提供托管形式的安全服务,代客户管理及监控信息安全系统与设备,并在安全事件发生的第一时间做出适当回应。在这个过程中,用户则将目光转向安全运维中心(SOC)服务。尽管国内用户对SOC的理解不完全一致,但都希望借助SOC融合安全技术、安全产品、安全策略和安全措施,与电信运营商的安全咨询、安全响应、特别是与安全运维相结合,协调各方面资源以最具成本效益的方式处理安全问题,为企业和机构提供了整体性的解决方案。
链接天津移动构建全面信息安全管理体系
根据中国移动集团公司制定的安全指导原则,天津移动从2000年起就开始着手IT安全建设,特别是将信息安全管理体系的建立与建全作为了一项重点工作,并在全局性的安全规划上进行了积极探索。2007年,通过与IBM的合作,天津移动对信息安全进行了全方位的考量和整体规划,并分三个阶段进行具体实施:
安全体系建立:在对企业IT安全现状进行评估及需求调研的基础上,进行安全管理体系的规划和建立,包括按ISO27001信息安全管理体系建立,汇总、归纳、体系化各种规章制度,以及相关人员的安全意识培训等;
安全建设实施:主要包括各种软件、硬件设备的购买、评估及加强等,辅助安全管理体系的执行;
关键词:电力企业;信息化;信息安全;建设与管理
中图分类号:F426.61
1 信息化和电力信息化的概念
进入20世纪,信息技术迎来了一场重大的革命,人们从此提出了信息化的概念。信息技术变幻莫测,瞬息万变,至今还没有一个准确的描述来定义信息化。本文综合人们对信息化的共同认识,对信息化概念的理解是:信息化是在满足市场经济发展的状态下而广泛运用的过程,信息技术的研究和开发,运用和推广以及信息产业的不断增长都是信息化的体现。信息化不仅提高了人们的工作、学习效率,对国民经济的增长和国家综合竞争力的提升具有重要意义。
电力信息化是指电力企业应用电子信息技术的全过程,通过增强信息技术的运用范围和运用深度,实现电力企业内外部的信息资源共享而有效利用信息的过程,从而提高电力企业信息化的规划、建设和管理的水平,增强电力企业的市场竞争力。电力信息化是国民经济信息化的一个重要的组成部分,计算机信息化网络是电力企业信息化的基础,生产过程自动化和企业管理信息化则是实现电力企业信息化的基本要素[2]。
2 电力企业信息化存在的问题
2.1 计算机网络信息技术带来的问题和风险分析
(1)普遍存在计算机病毒的威胁。电力企业是国民经济的基础产业,电力企业是最早实现企业信息化的行业,电力信息化来带的方便、快捷、高效的工作效率,我们是有目共睹。然而随着电力信息化的不断深入,生产自动化系统、管理信息化系统、调度自动化系统、视频监控系统的不断加强,为了实现电力企业的稳定快速发展,需要有更快更强更加可靠的计算机网络系统作为保障。计算机网络技术是电力信息化的基础,而计算机病毒的产生和入侵会直接影响企业信息的安全性。在改造升级电力企业信息网络的同时,还要加强对计算机病毒入侵的防护工作。从调查数据中分析,计算机病毒是破坏网络安全的首要威胁,其中木马病毒成为首要因素。
(2)传递信息的过程安全性不容忽视。电力行业作为最先引进信息技术,开展信息化生产的企业,已经基本形成完整的网络建设、主机系统架构和管理组织机构的构建[4],可是在计算机网络安全、主机系统安全和管理系统上还存在不少的风险。在实现生产过程自动化后,电力企业还引进管理信息化技术,如:人事管理系统、财务管理系统、供电营销系统等重要管理营运系统投入使用,许多企业内部的重要信息和机密文件通过企业内网进行传送,实现信息资源共享。在加快工作效率的同时,带来了信息安全性的隐患,不同部门的工作人员能相互传送重要数据和信息,可能会出现企业人员信息、财务数据外涉的危机。电力企业信息化过程中计算机网络信息系统的安全面临极大的挑战,企业信息传递的安全性成为企业信息化建设的关键环节。
2.2 电力企业内部存在的问题分析
(1)电力企业信息化建设的规范化有待于进一步加强。国家电力部门在提倡统一化管理、统一化贯彻和统一化领导的原则在电力企业实行信息化过程中没有贯彻落实执行[5]。如我国现在电力企业的信息系统大多数使用国网、省网集中部署的方式,企业内部信息系统也存在企业级的信息编码、接口规范,然而面对众多的信息编程软件,因为技术规范没有统一要求,信息系统出现重复研究与开发,数据收集和统计方法不一致,导致企业信息化建设速度缓慢,全面实现电力信息化的进程受到阻碍。
(2)电力企业对信息化存在错误的认识。不少电力企业对企业信息化的认识存在误区,他们错误地认为企业信息化就是纯粹依靠网络和机械代替人的劳动,购买大量的机械设备,引进先进的信息多媒体计算机技术,然而却忽略了设备的维护和保养,忽略了网络技术程序的升级改造。另外一些电力企业管理者单纯认为企业信息化建设是由信息部门人员专门负责的,与企业的其他员工没有关系,把信息化工作任务集中分配到信息专业人员身上,企业内部员工没能形成为企业信息化建设出一份力量的思想。电力企业人员的认识误区,给企业信息化建设带来了严峻的考验。
(3)电力企业缺乏强大的信息化建设队伍。信息化是一门先进的高科技技术,电力信息化的发展需要企业具备强大的建设队伍作为建设的动力和保障。正是看到这一点,电力企业对员工培养投入大量的人力、物力、资金和时间,电力企业员工的综合素质不断提高,不断促进电力信息化的发展进程。但是随着电力信息化的快速发展,电力企业仍需要强大的信息化建设队伍,对引进的信息技术进行时刻监控、定期升级、优化,对信息的收集、加工、处理和运用等工作。
3 加强电力企业信息化管理与建设的措施
(1)开展定期的网络安全监测和评估,根据电力企业引进的信息技术的类型,结合相关的案例分析,制定出一套完善的网络安全应急方案,以最快的速度,最小的影响及时找出和处理网络的病毒威胁。
(2)加强企业员工网络信息安全的宣传教育,制定对企业内部信息安全、保密的管理机制,让员工深入了解重要数据和机密信息对企业的重要性,促进企业信息化知识水平和防范意识的提高。
(3)建设完善的网络信息安全规范和机制,引进网络版杀毒软件,加强网络行为管理和入侵检测,定期扫描信息安全漏洞,加大信息化科研能力投入,进一步推动网络信息安全防护系统的建设,加强对计算机网络安全的管理力度,确保全方位地保护电力企业网络信息的安全性。
(4)加大对电力企业信息化建设的投入力度。全面实现电力信息化是我们一直追求的目标,要实现这个远大的目标,必须有政府、社会和企业三方通力合作。政府部门应统筹各地区信息化进度,制定一个长期有效的战略性发展计划,每年的财政支出中恰当调拨一部分资金支持电力信息化的发展;社会团体应做好监督协调的工作,当电力企业没有按照国家规定建设管理电力信息化时,应当及时举报,同时对电力信息化的规划、设计、管理提供宝贵的意见和技术支持;企业管理者要树立先进的管理思想和学习创新的管理方法,制定符合企业实际的发展纲要,引进先进技术的同时要做好人员培训工作。
(5)培养企业内部的信息化专业性队伍,信息化建设是先进技术与先进思想有机结合的过程,信息化建设队伍的技术水平直接影响企业信息化的发展进度。电力企业要关注人才对企业竞争力的影响,极力吸收、培养和保留一批批信息化的专业性人才,落实工作任务,明确工作责任,为企业信息化建设管理出谋划策。
信息技术日新月异,实现电力信息化是一个任重而道远的过程,必须正确认识信息化的意义和作用,针对阻碍电力信息化发展而存在的现实问题,采取合适的、可行的方法去解决和完善,着眼未来,提高思想认识,增强技术技能,我国电力企业的信息化才能越走越远,国民经济才能越走越强。
参考文献:
[1]何光富.电力企业的信息化问题研究[J].技术与市场,2010(01):28-29.
[2]张念红.基于信息资源整合的电力企业信息化问题研究[D].华北电力大学(北京),2006.
[3]王乐.电力企业管理信息系统的分析与设计[D].厦门大学,2013.
[4]黄兴,王朝凤.信息时代电力企业的信息化建设[J].电子技术与软件工程,2013(14):155-156.
各种企业随着信息技术的进步,对信息系统的依赖程度越来越高,针对企业的安全威胁的日益增多,国家各种规章制度相继出台,但显然不能涵盖企业信息安全的全部,所以企业不应只是被动地接受国家有关部门评测、定级,而应该参照等级保护制度的有关规定,把等级保护的思想贯穿到企业自身实践,建设满足各方要求的信息安全保障体系。
那么,什么样的信息安全保障体系才是有效的,满足要求的?笔者认为,应从思想观念、理论依据、体系设计和系统应用几方面予以创新。
“淡化边界,因人制宜”新观念
传统上,我们谈到信息安全时,首先考虑的就是网络边界防护,也就是通过防火墙、VPN、安全网关等技术把自己的信息隔离在一个相对封闭的区域里,好比在信息周围筑起了一道高高的围墙。
而在大量同外界共享应用系统和信息的今天,保护信息本身比建一堵围墙重要得多,也有效得多。
同时,由于信息是流动的,只有在流动中才能发挥其作用,过高的围墙阻止了信息的流动,从而也就限制了信息作用的发挥。这一点正如盖茨所讲,“人们建起了更宽的护城河和更厚的城墙,但很多人却忘记在君主打开城门走出城堡时保护他――这恰恰是一个公司最重要的资产。”因此,必须转变利用“高垒墙深挖壕”的方法保护信息的传统观念,将传统的网络边界概念模糊化。
笔者认为,利用划分边界的思想来保护信息安全,是把信息安全当作城堡,把信息当作城堡里的人,这样设计的信息安全系统只能是粗粒度的,不能将安全防护贯穿到信息本身;事实上,真正要保护的对象是城堡里的人,而拥有城堡的是城堡的主人,因此需要因人制宜,设定重点保护对象,而不是一视同仁。
信息安全同样如此,要根据信息的重要性分门别类予以保护,这样设计的信息安全系统才是细粒度的、有针对性的。等级保护就是把信息资产分为不同等级,根据信息资产不同的重要性,采取不同的措施进行防护。
它的出发点就是要突出重点,分级负责,分层实施,是对信息安全细粒度划分的体现,打破了传统信息安全保护“一刀切”的做法。在当今信息价值的时效性越来越突出的情况下,企业需要广泛、快速地同外界交换信息,通过信息的流动创造价值,因此,在企业信息安全保障体系建设中,从观念上,绝不可建造一堵自我封闭的“墙”,而应该淡化网络边界、强化信息重要性,实施分级分类保护策略。
构建整体防护体系
信息安全的木桶理论是指导安全实践的一个代表性理论,该理论认为,信息安全的防护强度取决于“木桶”中最短的那块“木板”。以这个理论为基础,必然导致安全管理实践上的诸多不足:发现病毒危害大,就买最好的反病毒软件;发现边界不安全,就安装最强的防火墙等等。
这其实是一种头痛医头,脚痛医脚的做法,治标不治本,所以实施后,安全问题还是很多,有人曾形象地形容其结果是“洞照开,虫照跑,毒照染”。从根上分析木桶理论,可以发现,该理论有一个自然的假设,即信息安全是用于保护信息的“桶”,而信息则是被保护的“水”。此理论将信息和信息安全割裂开了,其必然结果是信息安全实践中只注重堆积安全技术,而忽视要保护的对象――信息。
事实上,信息安全和信息绝不是桶和水的关系,而是紧密结合在一起的有机体,信息安全依存于信息和信息系统之中。要做好整体信息安全,不能孤立地去研究信息安全技术,而应该将信息、信息系统、信息安全技术作为一个整体考虑,只有这样,信息安全建设才不至于走偏。
从理论上研究如何将信息和信息安全整体考虑,可引入管理学中的层次化思想和满意决策理论。在管理学中,把组织按层次结构分成三层,即宏观决策,中观运营,微观操作。从微观到中观是一个协调管理的过程,从中观到宏观是一个总体监控的过程,从宏观到中观是一个全局指导的过程,从中观到微观是一个控制和配置的过程。此观点用于信息安全建设,强调各种安全产品的统一管理和控制,各种信息资源的统一整合,各种技术手段的统一部署与应用。笔者认为,信息安全是让信息拥有者或使用者到达主观上感到不受威胁、损失的状态,这种状态本质上是信息安全达到事先设定的满意度的状态,即最优、最彻底的信息安全是不现实的,而主观上不受威胁、感到满意的状态则是任何企业都可以判断和把握的。
因此,企业在选择指导安全建设的理论时,要抛开寻找最短“木板”的理论思维,制定合理的、满意的安全规划,才能使得信息安全建设具有实际意义。不同企业,由于其规模、重要性、影响面不同,其信息安全级别也是不相同的,因此不能将一个企业的信息安全防护措施全盘照搬到另一个企业,只有根据不同企业的实际情况,制定层次化、满意的安全策略,才是合适、有效的。
管理、技术并重的设计
回顾信息安全的发展历程,安全管理发端于安全技术。最早的安全就是以加密技术为核心的数据保密,伴随着防病毒、防火墙、入侵检测等主要安全技术的发展,出现了安全设备的广泛应用和部署,但是人们发现,如果安全设备的部署杂乱无章,缺乏管理,必然存在很多漏洞,这便造成了黑客、蠕虫、病毒的泛滥。也就是说,并不是安全技术和安全产品的种类、数量越多越好,技术只是一方面,必要的管理不但可以节省不必要的投资,而且可以让安全防御更加彻底。从信息安全的发展不难看出,安全技术是信息安全的工具,安全管理则是利用工具保障信息安全的手段,在设计信息安全保障体系时,只有把这些工具合理应用到信息流动的各个环节,寻求整体的信息安全保障,才有理想的信息安全。
那么,如何将管理和技术有机结合起来呢?可以借用知识管理思想。知识管理理论是知识经济时代的产物,其关键要素是人、过程、技术和知识,其本质是寻求将信息技术所提供的对数据和信息的处理能力以及人的发明创造能力这两方面进行有机的结合。
从信息安全保障本身看,信息安全的三要素中安全保障措施与人,过程,技术相关;其中,人是安全保障措施的首要因素,也是安全管理的中心,只有利用安全技术,将人的知识应用到信息资产保护的过程中,才能达到满意的、整体的安全。所以,在进行信息安全体系设计时,应贯穿知识管理的人和技术、人和管理过程相结合的思想。以上面层次化思想及知识管理理论为基础,笔者给出如图所示的信息安全保障框架。
图1 基于层次化思想和知识管理理论的信息安全保障框架
上述安全保障框架以安全技术为基础,以统一策略、统一管理、整体联动为导向,以相关标准和法规为依据,既充分利用技术,又强调整体分析和宏观决策,最终形成决策层面宏观分析,运营层面统一运营、统一管理,技术层面积极部署,可靠运行的整体保障思路,贯穿了技术与管理并重的设计思想。
实现应用的互动与创新
如前所述,信息安全要让信息拥有者或使用者到达满意的状态。要达到这种状态,则一方面需要知道威胁的存在及来源,即可知;另一方面还要识别相应的威胁程度并在此基础上采取相应的动作去消除不安全,即可识。上述保障框架的安全事件监控就是一个探知安全威胁的过程,风险评估和管理则是一个识别安全威胁、消除安全隐患的过程,也就是说,信息安全管理过程是一个可知识化的过程,是知识管理思想在信息安全领域的延伸。从根本上分析信息安全管理过程,其主要遵循了知识创新的螺旋式上升规律。
在螺旋上升过程中,不断要将外界的显性安全知识转化为组织内的隐性知识加以利用,通过标准化的文档管理、知识库管理,再将隐性知识显性化,遵循SECI模型的知识创新循环。因此,为使信息安全建设富有成效,应在实际应用过程中不断吸收新的技术、知识,转化为组织知识,这样的安全系统才有动态性、持久性。
毫无疑问,企业的信息安全应围绕业务导向和驱动而设计、部署和运行,同时应保障业务的顺利开展,自然地,信息安全与业务形成了一个螺旋上升的环。
在具体应用中,通过整合知识管理各过程到系统中,实现对安全资源的有效整合、对不同信息的分级分类保护,从而降低威胁的复杂性、易变性和不可见性的影响,提高安全保障的能力,实现一致性、灵活性和可视性;通过对安全资源的集中管理,隔离底层技术复杂性和异构性,形成一种层次化的安全管理思路。
“云”化安全产品
更可靠
“我认为,云计算时代的到来有助于改善信息安全的状况,更利于企业保证信息的安全。” 赛门铁克首席信息安全技术顾问林育民说。
林育民认为,在云时代,数据和应用程序都保存在“云”端,由云服务供应商或内部私有云管理部门提供技术支持,这种集中管控对信息的安全是有利的。内部私有云比多个业务部门自行运维系统,来得更安全、经济且有效率;此外,云服务提供商往往比大多数企业自己更有能力做好企业信息安全的保障工作。这是因为云服务商更有资金实力去请有足够经验的安全人员,来提供7×24小时的安全保护;而且由云服务商提供安全服务更经济。另外,云服务商为展现自身的信息安全管理能力,大多主动遵循相关规范(如ISO 270001、SAS 70 Type2等)并积极通过国际标准组织认可的独立第三方认证,且有独立第三方对云服务商进行审计和监管,这客观上也促进了云服务提供商改进自己的安全及服务水平。
“不管是技术实力还是资金实力,云服务商的云环境其安全水平都要好于企业自己的IT环境;而且云服务商业务持续增长与永续经营中重要的关键就是信任二字。”林育民说。
当然,用户对数据安全和隐私方面的担心也并不是多余的。要消除用户的担心,首先是云服务商要提升自己的品牌信任度,进而提升用户的信心,让用户愿意将信息交付给第三方。林育民解释说,已有许多全球500强公司开始采用各类SaaS云服务,因为这些云服务商已建立完善的安全制度及品牌形象,取得了用户信任。比如,赛门铁克的CRM就选用了公司的云服务。在中国市场,云服务提供商仍在完善云环境的安全防护与建立可信的品牌形象,中国用户还不太放心将自己的敏感信息保存在第三方,所以国内目前仍着重于私有云的建设;但随着安全制度与法规逐步的完善、安全技术的进步,用户对公有云服务的疑虑将逐渐降低,未来公有云服务将在国内逐步兴起。
另外,安全产品的“云”化也会提升安全产品的功能。根据赛门铁克的统计,2009年新发现的恶意代码中,有57%仅出现在单一计算机中。这意味着传统被动式病毒签名扫描已无法有效应对新兴的安全威胁;而近年来新提出的主动式防御概念,对于采用社交工程技术的欺诈软件也无法有效应对。随着云计算技术的出现,安全防御不只从被动转为主动,更是从主动转为预测式防御,安全防护厂商不需要分析恶意代码样本即可预测其是否可能为恶意代码,大幅缩短了用户的防护空窗。此外,由于云安全服务厂商通过云计算技术对流量做实时分析,可提供前所未有的安全防护能力。以赛门铁克云端信息安全服务为例,该服务可对用户做出100%防护已知与未知的承诺,若是违反服务水平协议,将对用户做出赔偿。
应对虚拟化挑战
云时代的到来虽然为企业信息安全水平的提高提供了更为有利的条件,但并不意味着云计算就没有给企业安全带来挑战。事实上,云计算时代,信息安全面临着一些新的威胁,其中最为突出的就是虚拟化。
据林育民介绍,作为云计算基础的虚拟化的确给安全带来很大的挑战:因为安全厂商传统的产品都是针对物理服务器,可是到了虚拟化环境中,很多状况发生了改变。这些挑战主要体现在以下几个方面:在虚拟化的世界里,服务器就是一个个文件、而不再是一个独立的服务器,这个服务器(或者说文件)很容易被别人带走,风险更高了;当很多虚拟机运行在物理服务器上时,这些虚拟服务器的管理员的工作往往也接手了虚拟化网络环境的管理,这就意味着管理员的权限增加了,需要重新规范管理员的权限;虚拟化平台(Hypervisor)的引入可能成为新的安全漏洞,一旦黑客攻破了它,就意味着黑客将掌控虚拟化平台上运行的所有虚拟机;此外,虚拟机的镜像管理也可能成为新的安全漏洞。比如,在两次快照之间升级了系统后,由于某些原因可能需要退回到前一个没有进行系统升级的快照,此时,系统升级就可能被疏忽掉。
实际上,保护虚拟化环境的安全已经成为了不少安全厂商的市场重点。比如,赛门铁克就围绕虚拟化环境的安全推出了很多安全产品,包括对管理员在虚拟化环境中的权限进行管控与审计的工具,以及通过部署专门的安全虚拟机来保护各个虚拟机的安全,从而避免在每个虚拟机上都部署一套安全产品,减少防护空窗并提升虚拟环境运作效率。另外,还有帮助企业对虚拟化环境进行合规性检查的各种工具等。
范的遵循、通过一些技术手段能够给予解决。
其次是规范,目前国家对于不同的行业有分级保护、等级保护制度,明确了对系统及管理的安全保护要求。企业也有一些合规性法案要求、在进行系统规划和建设的同时,应将信息安全的保护措施作为必要的内容进行考虑。
最后是技术,当前针对数据加密和文档防泄密保护、行为审计等安全问题都有一些成熟可用的解决方案,无论是政府部门还是企业都可以采用一些技术手段来和管理需求结合,降低信息安全引发的风险。
文档泄密的主要途径
据了解,大量文档信息泄密事件的出现主要有两方面的原因:首先是大量的信息安全事件,呈现出商业利益驱动的现象。不论是木马病毒的黑色产业链,还是银行系统内部人员的储户信息主动泄密,都有后面的商业利益驱动。而且随着商业环境竞争的日益激烈,这种信息安全的威胁还会持续和加剧。
其次,信息泄密在向更加专业化犯罪的趋势发展。从木马病毒、钓鱼网站的不断出现,再到运营商后台密码被攻破,这些灰色事件的背后,都有专业的人员和组织。这给信息安全防范带来更高的要求。
据时代亿信技术总监李兆丰介绍,信息安全威胁不仅成为困扰个人隐私保护和企业发展的问题,也成为阻碍我国电子商务产业繁荣、云计算推广、移动互联网应用的一个关键问题。
根据时代亿信近年来的研究结果显示,目前文档泄密的主要途径有4种:计算机上木马、病毒的恶意窃取;员工对于网络、存储介质的违规使用;内部员工、管理员的主动泄密;笔记本电脑、移动硬盘维修、丢失过程中导致的泄密。
针对这些泄密的途径,时代亿信文件盾系列产品采用如下技术有针对性地进行了解决:通过对文档加密,防止传输、存储过程中的泄密;在计算机上进行可信进程控制,防止木马、病毒等的恶意窃取;建立安全的身份识别机制,确认对文档当前操作者的身份;对文档实现细粒度权限控制,防止内部员工的被动、主动泄密;灵活的离线控制策略,实现对文档脱离网络后的控制。
从目前国内文档安全产品的竞争格局来看,主要有如下三类:第一类是国外技术产品,比较典型的是微软的RMS文档权限管理系统以及EMC的Documentum IRM;第二类是国内企业的DRM文档安全管理系统产品,这里既有进入较早的前沿科技、亿赛通等专业厂商产品,也有老牌信息安全厂商像天融信、启明星辰、中软、时代亿信等OEM或自主研发的文档安全产品;第三类是针对CAD、PDM等设计类应用的专用加密产品。这些大都是专注于CAD应用的传统厂商开发的针对设计软件的加密产品。
而从目前我国文档安全市场的发展来看,国外的产品由于理念、文化的差异,在国内市场的推广和实际应用效果并不理想。而国内产品更注重国内企业的企业文化,更加贴近国内企业的需求,由国内厂商提出的基于文件透明过滤驱动实现的自动加解密技术成为目前市场的主流产品。随着一些传统安全厂商进入这个领域后,能够结合其在传统4A安全领域的优势技术,形成一整套从外到内的信息安全整体解决方案,进一步推动了文档安全市场的成熟和发展。
文档加密技术的优势与挑战
据李兆丰介绍,目前对于一般企业文档安全的建设,应该不单单只是上了一套产品,而是需要建立企业文档安全管理的规范,并且这个规范能够随着企业安全需求的变化而变化。评价文档安全建设是否成功的一个方面就是所建立的文档安全管理规范是否适合企业。
他说,企业安装使用文件盾产品的主要优势在于:既可以根据用户需求,提供个性化、模块化的产品功能,还创新性的实现了一些主流第三方应用的成功集成,帮助企业建立整体的文档安全服务体系。文件盾按照用户的需求,划分为自动加密(A)、权限管理(R)、应用集成(M)、加密网关(G)、外发控制(S)、文件保险箱(T)等6个产品型号,既可以独立又能结合使用。特别是在应用集成方便,根据用户的实际需求,能够和主流的门户、OA、KM等产品进行融合。还创新性的实现了SVN、虚拟桌面环境、移动终端下的文档安全保护。
2011年民生银行总行成功实施了文档安全管理系统。全行装机量10万多客户终端,其门户、OA、知识库系统全面和文档安全进行了整合,在一年的时间里共有加密的文档300万条,有力的支撑了用户的信息安全保护需求。民生银行最大的特点是把文档安全系统建设成为企业内部的文档安全服务体系。在后期的建设过程中,逐步把SVN服务器、Citrix虚拟桌面应用等一系列应用纳入文档安全保护体系中,实现了企业信息安全保护的可持续发展。
【关键词】信息管理 电力变电 安全性
1.信息管理概念
信息管理是实现组织目标、满足组织要求、解决组织环境问题而开发、规划、集成、控制、利用信息资源,以提高信息利用率,使信息效用价值最大化的一种实现的一种战略管理。
2.电力信息化
电力企业信息化建设更趋向于科学性、实用性、安全性以及效益性,电力企业开发了一系列企业管理和经济运行有关的应用系统,目的在于提高生产和管理效益以及信息系统的实际使用效果。电能可以瞬间完成发电、输电、配电直到用电,电力的生产和使用具有连续性、等量以及同时的特点,要想确保电力的安全生产以及资源的合理配置生产,必须要根据调度指令对电力系统的所有环节瞬时作出反应,电力系统的控制中心、调度中心要同时对发电、配电、输电以及用电的各种数据进行全面掌握,并及时地分析、调度和处理,对生产运行进行科学的安排,要及时的处理大而广、纷繁复杂的信息量,这使得信息处理工作面临着一定的挑战。而信息管理技术的出现正好为信息的处理带来了极大的便利,它结合了GIS技术,能实现多源数据的迅速整合,便于电力系统的信息化管理,可以综合管理大量的属性数据和地理信息数据,可以为经营管理提供科学的决策支持以及现代化的管理手段,结合了网络技术,更有利于提高信息的共享程度,促进信息管理系统实现电力信息的共享,有利于电力系统信息管理更加的透明。电力系统涉及到了十分广泛的地理区域,需要多个部门对同一图层进行编辑,传统的GIS图层数据不支持多用并发操作,只适合单用户使用,它采用的是文件格式,采用文件服务器的方式来共享图层,若不进行特殊处理,多用户同时更新同一图层文件时就会发生冲突。而新型的ORDBMS技术可以弥补这一缺陷,不会发生共享冲突,它采用的是面向对象的数据库技术,可以集中式管理地理属性数据和信息空间数据,支持版本管理以及并发操作,还支持完全数据库存储模式,能够解决数据安全机制、存储管理大量的数据、数据完整性以及多用户编辑等方面的问题。
1.先进性和开放性
数据仓库技术使数据有了更加广泛的来源,便于使用,方便与MIS等系统接口,系统的构造和Internet模式进行了结合,应有前景良好。
2.实用性强
信息管理技术有利于变电运行中二次部分各类数据源的共享和使用,尤其是对于变电保护技术工作人员来说,有利于提高系统分析和数据统计的工作效率,有利于提高保护运行水平。
3.可靠性高,易于维护和升级
方法库和数据仓库的采用使得整个信息管理系统运行集中于网络中心规则库和数据库,不再在各级用户之间分散可靠性,即使其中一个客户的工作站突然损坏了,也不会对系统其他部分的性能造成影响,并且很容易恢复,软件开发人员只需改变方法库就可以进行升级换代,既方便又快捷。
1.安全技术策略
为了确保信息的安全,采取的必不可少的安全技术措施有:1)病毒防护技术。应该建立健全管理制度,统一管理计算机病毒库的升级分发以及病毒的预防、检测等环节,应该采取全面的防病毒策略应用于信息系统的各个环节,有效的防治和避免受到病毒的侵害;2)防火墙技术。防火墙技术主要用于隔离信任网络与非信任网络,它的检查方式是通过单一集中的安全检查点,强制实施安全策略来实现,避免非法存取和访问重要的信息资源;3)数据与系统备份技术。电力企业必须制定数据备份策略,定期对数据库进行备份,按照重要程度划分数据备份等级,建立企业数据备份中心,采用灾难恢复技术来备份应用系统以及关键业务的数据,并制定详细的数据库故障恢复预案以及应用数据库备份,并定期的进行预演,以防止在数据遭到破坏或是系统崩溃时能够及时的修复,从而使信息系统具有更好的可靠性和可用性;4)安全审计技术。在系统规模的不断扩大以及安全设施不断完善的背景下,电气企业应该引进集中智能的安全审计系统,采取行之有效的技术手段来自动统一审计网络设备日志、业务应用系统运行日志、操作系统运行日志以及安全设施运行日志等,迅速自动的对系统安全事件进行分析,安全管理系统的运行。另外建立信息安全身份认证体系以及虚拟局域网技术也十分重要。
关键词:信息化;漏洞;信息安全
中图分类号:R197 文献标识码:A 文章编号:1674-1723(2013)03-0221-02
MIS(Management Information System,管理信息系统),是一个由人、计算机及其他设备等组成的能进行信息的收集、传递、存贮、加工、维护和使用的系统。它是一门新兴的科学,其主要任务是最大限度地利用现代计算机及网络通讯技术加强企业信息管理,通过对企业拥有的人力、物力、财力、设备、技术等资源的调查了解,建立正确的数据,加工处理并编制成各种信息资料及时提供给管理人员,以便进行正确的决策,不断提高企业的管理水平和经济效益。目前,企业的计算机网络已成为企业进行技术改造及提高企业管理水平的重要手段。
图1是我公司现有MIS网络的拓扑图,此网络为我公司MIS内网,包含了集团公司至我公司总部一期二期的所有网络
设备。
对于电力行业的企业来说,其信息化程度和水平日益提高,生产,营销,财务等对于信息化的依赖程度也越来越高。但由于网络和主机存在各种各样的漏洞,而人作为使用计算机的主体,也会出现很多疏忽,这样就使得企业的信息安全尤为重要。本文将从信息安全的基本概念和电力企业的信息安全解决方案两个方面来阐述。
一、信息安全的基本概念
1.信息安全的基本要素。
(1)机密性:确保信息不暴露给未授权的实体或进程。
(2)完整性:只有得到允许的人才能修改数据,并且能够判别出数据是否已被篡改。
(3)可用性:得到授权的实体在需要时可访问数据,即攻击者不能占用所有的资源而阻碍授权者的工作。
(4)可控性:可以控制授权范围内的信息流向及行为方式。
(5)可审查性:对出现的网络安全问题提供调查的依据和手段。
2.信息安全模型。
3.信息安全的层次。
4.主机网络安全系统体系结构。
二、企业的信息安全分析及解决方案
1.企业的网络安全风险分析。
在网络安全方面考虑,可以划分成5个层次,即管理层、应用层、系统层、网络层和物理层。
(1)在物理层,出现的安全问题有:设备防盗,防毁;链路老化,人为破坏,被动物咬断等;网络设备自身故障;停电导致网络设备无法工作;机房的电磁辐射。
(2)在网络层,出现的安全问题有:网络拓扑的结构风险;非法用户对服务器的安全威胁;内部局域网带来的安全威胁。
(3)在系统层,会有以下安全问题:操作系统安全漏洞;病毒程序的传播;文件/用户权限设置缺陷;密码设置过于简单或没有密码;恶意代码(特洛依木马等)。
(4)在应用层,出现的安全问题有:应用服务器的安全;telnet的安全性;网络管理协议(SNMP);应用层的身份识别。
(5)在管理层,会有下列安全问题:内部人员信息泄露风险;机房出入没有限制;内部工作人员因误操作而带来的安全风险;内部员工未经允许在内网做攻击测试;未制定网络安全规范或规范有缺陷。
2.企业网络安全的实现。
信息安全技术有防火墙技术、入侵检测、防病毒技术、CA认证技术、漏洞评估技术、vpn接入技术、备份/恢复技术等。
(1)防火墙。推荐使用状态监测防火墙。这种防火墙具有非常好的安全特性,它使用了一个在网关上执行网络安全策略的软件模块,称之为监测引擎。监测引擎在不影响网络正常运行的前提下,采用抽取有关数据的方法对网络通信的各层实施监测,抽取状态信息,并动态地保存起来作为以后执行安全策略的参考。监测引擎支持多种协议和应用程序,并可以很容易地实现应用和服务的扩充。与前两种防火墙不同,当用户访问请求到达网关的操作系统前,状态监视器要抽取有关数据进行分析,结合网络配置和安全规定作出接纳、拒绝、身份认证、报警或给该通信加密等处理动作。一旦某个访问违反安全规定,就会拒绝该访问,并报告有关状态作日志记录。状态监测防火墙的另一个优点是它会监测无连接状态的远程过程调用(RPC)和用户数据报(UDP)之类的端口信息,而包过滤和应用网关防火墙都不支持此类应用。
(2)入侵检测。监测并分析用户和系统的活动;核查系统的配置和漏洞;评估系统关键资源和数据文件的完整性;识别已知的攻击行为;统计分析异常行为;操作系统日志管理,并识别违反策略的用户活动。
(3)防病毒。在企业内部网中,应该使用企业级的防病毒软件,这种防病毒软件采用c/s方式,主一级服务器连接在外网上更新病毒特征码,然后传到一级服务器,一级服务器再将定义码分发到二级服务器或者直接分发到客户端,以次类推。在internet的工作站不能直接连接外网,,用这种办法进行病毒定义的升级是最好的方法。
同时,功能强大的防病毒服务器,还可以扫描internet内所有的子网,检查子网内的计算机是否安装了客户端,如果没有安装,可以提醒其安装客户端。同时通过采集客户端的日志,日志分析软件(比如symantec的sesa)可以分析病毒的发作情况,得到病毒发作种类的排名和受感染计算机的排名。从而可以有针对性的作出及时有效的反应。
(4)PKI技术。安全基础设施能为所有的应用程序和设备提供统一、规范的安全服务,就像“电力”一样,通过一个接入点,在任何地方都可以使用,而不必关心它是如何产生的。公钥基础设施(PKI)是一个用公钥的概念与技术来实现,并提供安全服务的具有普遍适用性的安全基础设施。
【关键词】三全事件;信息管理;企业危机;传播
危机回顾
上市公司三全食品于2011年11月4日被媒体爆出其部分批次产品在广州工商局的三季度抽检中不合格。公司在几天后刊登出一则公告,称这批不合格产品是在8月份检查出并且已经全数召回销毁。然而公告之后,舆论界围绕食品安全和三全公司公告的讨论,仍在继续。
既然三全产品2011年8月即已查出含有金黄色葡萄球菌,那么2011年10月30日所刊登文章中三全公司董事长的话就让人有些困惑甚至是愤怒了。这不仅让三全公司陷入了新一轮的舆论风波,还在一定程度上危及公司的生存,在此类事件中,企业在危机中的信息管理显得尤为重要。
随着社会经济的全球化和信息化的迅速扩张,经济社会各个组成部分之间的联系日益紧密,移动互联的迅速扩张让信息变得随处可及,移动互联和社交服务以及传统媒体的结合让信息能够病毒式迅速扩散,并且引起巨大的舆论反响,危机日益显现出突发性、普遍性和严重性的特点。一旦发生危机,舆论传媒就会迅速将其扩张,以致对企业造成巨大冲击,其影响的广泛性和深入性是前所未有的。因此,在当今信息化时代里,用信息管理的思想来改造危机管理过程,一定程度上决定了企业应对危机的处理结果和效应。
然而对于企业来说,危机并不是一件坏事,辩证地说,危机包括危险和机会,在危机过程中有效的信息管理是企业规避风险、挖掘机会的重要手段。通过建立危机预警机制和制订危机处理预选计划,并且在危机发生时进行合理的信息管理,是企业生存的重要因素之一。
企业的失策之处
企业危机事件中的信息管理到底会出现什么问题呢?我们结合肯德基2005年苏丹红事件处理和三全事件对比来看企业在遇到危机时的信息管理问题。
2005年肯德基经历的从苏丹红一号到天绿香一系列危机,让这家著名的连锁快餐厅遭遇了前所未有的信任危机,一向以标准化以及健康卫生来获得中国消费者认可的肯德基陷入了苏丹红的漩涡中,然而,肯德基的处理却要比三全公司理性和迅速得多,在苏丹红事件发生后,肯德基的母公司中国百胜餐饮集团在全国各地的分公司同一时间发表了公开声明,称肯德基餐饮中的新奥尔良烤翅和新奥尔良烤鸡腿堡调料中被发现含有苏丹红一号,同时也声称对供应商给该公司提供违禁成分调料的行为表示“非常遗憾”,并声明已停售相关食品,重新安排调料生产。
反观三全公司,整个事件的处理速度和处理方式都不尽如人意,8月份即发现的金黄色葡萄球菌到11月份才不情愿地进行反应处理,虽然此前的发现并没有引起太大的舆论反响,但是也为后面的质疑埋下了包袱。这是管理层的失误,他们错误地估计了风险,致使没有达成迅速而又透明、真诚的沟通。另外,三全公司2011年11月份在曝光发现了金黄色葡萄球菌之后,公司的对外沟通并没有预想中的让人感到舒服和安心,反倒是让人感到咋舌和叹息。11月8日,第一财经(微博)网刊发了由第一财经日报记者采写的报道,题为《三全步思念后尘“中招”菌超标,速冻食品供应链存弊端》。在这篇报道中,三全的一名负责人干脆的把责任推给了上游原料供应商:“速冻产品出现问题,往往是原料采购环节更容易出现问题,采购到一批含此菌的肉,抽验时又可能漏掉了,随后生产环节就出现了此问题。”他甚至抱怨国家标准过于宽松。这种沟通是和信息管理的基本原则背道而驰的。沟通的重要性主要是充分体现企业认真负责的态度,其他被动的、敷衍的沟通都会让消费者和公众产生不信任感。
对企业危机事件对策的建议
关键词:UTM;企业信息安全;构建;措施
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2012) 21-0000-02
北京地铁上演的“王鹏你妹”事件被网民疯狂转播,引发社会巨大讨论。究竟是什么具体原因并非重点,而在于“王鹏你妹”这一事件反映了国内网络安全问题不容忽视。对于众多企业来讲,内部安全性亟需保护的重要性不言而喻。企业内部信息遭遇操作不当、黑客攻击、恶意盗取等威胁,都将不同程度的给企业带来深远影响。相信每个企业都对系统的安全性的重要地位心知肚明,其关键程度谓之左右企业全局也不为过。不少企业已经花大量资金来投资于企业安全部署,但是需要提醒的是,安全不是花钱就能买来,不是相关产品的累计,而是整个企业内部的整体安全系统工程的构建。
1 UTM的基本内涵
1.1 UTM的基本定义
UTM的英文全称是:Unified Threat Management,中文名为安全网关。作为“统一威胁管理”的概念被提出来是在2004年9月由IDC首度提出。这一概念将病毒防护、入侵检测和防火墙安全设备统一划归为威胁管理的新类别。UTM在目前经常被定义为一种具有专门用途的设备,由硬件、软件和网络技术等部分组成,它可以提供一项或者多项安全功能,同时也将多种安全特性集成于一个硬件设备中,形成标准的统一威胁管理平台。
1.2 UTM技术的特点和优势
(1)UTM特点。单一的检测方式比较薄弱,面对日益复杂的安全威胁,多种类的安全攻击,如物理攻击、协议攻击、数据包攻击、文件型攻击等,无法完全解决安全防御问题。复合型攻击方式的出现使得Antivirus和IDS/IDP的防御分割点逐渐消失,UTM统一威胁管理设备可以较好地解除目前流行的混合型数据的攻击。
UTM技术优化信息包检查,可以达到OSI/RM模型中物理层、数据链路层、网络层、传输层、会话层、表示层、应用层七个层次的实时保护,可以在网络环境中识别应用层信息,实现命令入侵检测和阻断、蠕虫病毒防护以及高级的数据包验证机制。这些特性和技术给IT管理人员提供了方便,管理员通过UTM即可控制如BT多线程动态应用下载,Instant Message信息传输,Skype等新型软件的应用,阻断垃圾数据流的泛滥,减轻了网络管理的维护工作量。同时,UTM设备完全克服了目前市场上深度包检测的技术弱点,支持动态的行为特征库更新,在网络七层结构中均具有数据包检测能力,针对分包攻击的内容效果尤为明显。UTM技术强大性能的发挥要借助于强大的硬件系统的支撑,如高速处理器和大容量的内存等,否则,在目前的网络运用中会影响计算机系统的稳定性。
(2)UTM优势。UTM技术的应用优势表现在:简化了网络管理,降低安全维护成本;专用的安全操作系统,提供速度更快更有效的实时保护;复合型安全保护,集中的安全日志管理;具有灵活性和良好的可扩展性。此外,UTM设备可进一步降低成本,减少安全管理过程中采集、安装、管理的支出,针对各类安全威胁,确保最有效的防御,保证了企业网络的连续性及可用性。
2 UTM与传统防火墙的区别
其一,防火墙工作在OSI/RM网络协议的第三层——网络层。大部分防火墙转发TCP/IP包、运用状态检测来实施保护。UTM防火墙除了运用了传统的状态检测包过滤技术,还增添了防病毒、入侵检测、VPN等功能及其开启模式。各种功能可以基于防火墙策略,更好地融合和协同工作。
其二,UTM防火墙具有很多高端新功能,例如多播路由、动态路由和虚拟域。其中虚拟域是将一个物理UTM设备划分成若干个逻辑上的虚拟设备,每个虚拟设备可单独设置路由,配置不同的防火墙策略。应用于企业,即可将每个虚拟域分配给不同的部门,实现不同的管理权限,配备相应的安全管理措施。UTM支持各种新技术,如VoIP、H.323、SIP、IM和P2P等。UTM对VoIP的UDP包进行专门的优化处理,使得大量的VoIP小包在通过UTM时,不至影响到网络的传输性能。H.323和SIP协议的自身安全漏洞也给了VoIP另一层保护,使UTM设备对VoIP的处理安全且高效。
其三,UTM有灵活全面的操作界面,包括防火墙、网关防病毒、IPS、VPN、访问控制、内网监控等多种功能。UTM的管理平台功能模块层次分明,内容丰富,简单易用,性能稳定,性价比高。随着策略的设置,智能化、集成化的防护系统集多种技术于一身,展开全面实时的安全防御。
同时,UTM设备采用网关型防病毒技术,是兼具防火墙、VPN、内容扫描的复合型网关,工作于OS专用平台,硬件采用ASIC芯片加速。网关型防病毒作为安全网关,通常安装在内网和其他外网之间,可在线自动更新防病毒网关的特征数据库及网关的扫描算法,在网络边缘处拦截病毒,为内网提供安全防线。UTM网关型防病毒比主机型防病毒具有优势。主机型防病毒工作于客户端,需要及时更新防病毒软件,防御范围仅限于一台PC。UTM网关型防病毒给内网的所有计算机提供保护,支持HTTP、SMTP、POP3、FTP等协议,可实时快速地防止各类型新旧病毒,可大大节省升级维护的费用,为企业和用户节约时间和资源。同时,UTM网关还能够穿越隧道进行扫描,ASIC集成了硬件扫描引擎,支持高速加密/解密、特征匹配,可以消除虚拟专用网络(Virtual Private Network,简称VPN)隧道的病毒和蠕虫,阻止网络中的病毒传播,及时地清除病毒,也大大减轻了网络的负担,避免病毒堵塞网络,阻塞服务器等。
3 UTM对企业的重要性
随着网络应用渗入到社会的每个层面,发达的网络也成为病毒传播的途径,网络中涌现的各类病毒为企业用户带来了困扰,轻则耗费时间资源,严重的病毒侵入甚至影响到企业的运营,造成企业的损失。对此,大企业有足够的财力物力,聘请安全专家,设置专门的职能部门,统一维护企业网络的安全与通畅,对付各种安全威胁有一定的抵御能力。中小型企业限于规模,对企业的网络安全不可能有大量的资源投入,这就给伺机而入的病毒侵害留下了一个脆弱的隐患,一旦爆发,不仅将会带来财产的亏损,还会造成一定时期内管理上的混乱。UTM可以使大企业进一步巩固网络安全,另一方面,UTM灵活的机制还可以帮助中小企业制订出网络安全方案,打造一个实用的高性价比的安全防御系统。在今天的信息社会中,无论大企业小企业,都应该重视网络安全。
经过对UTM技术的分析和企业的需求以及与防火墙的比拼,我们不难看出,如果要保证一个企业的边界网络安全,那么UTM正是合适的产物。让企业不再担心边界安全问题,UTM可以说是适合企业构建信息安全系统的客观要件。
4 企业信息安全系统工程的构建
企业信息安全系统的构建是一项长期系统工程,从硬件方面,企业需要购买相关设备,从软件方面,企业既要拥有一批能够维护相关设备软件的技术人员,同时还要强化公司所有人对信息安全保护的意识以及相关制度建设。
4.1 关键数据需保护
在部署方案前首先弄明白企业重要的数据资产的位置,由哪些员工掌握,然后从全局对企业的数据进行安全防护。不仅如此,往往有些公司重要数据都存在于如ERP、OA、HR等系统中,切实保障系统的安全,提供安全系统产品兼容企业其他信息系统是目前部门安全厂商研究的方向。
4.2 移动安全需关注
小型、便携式平台已经成为黑客们抢滩登陆的新目标。加强员工对移动安全的保护意识,并且提供一套稳健的移动办公方案来让移动终端的访问处于安全防范之下。
4.3 安全更新需及时
企业的信息安全管理部门在帮企业处理安全事务的时候,要关注业内新的攻击应对措施,软件的新版本等,及时给全企业电脑进行查漏、升级等安全检查,改善安全性能。
4.4 安全投资需果断
企业进行安全部署的初衷当然是防范威胁带来的致命危害,因此及时在企业运营不景气,想缩减成本的前提下,安全部署切记不能成为牺牲品。
4.5 入侵活动需阻止
企业内部的服务器和设备经常被频繁访问,这种隐形威胁长期存在,如果大家最大程度减少企业网络的流入、流出数据量,那么恶意人士拦截到敏感信息的机率也会大大降低。
4.6 安全培训需规划
对新入职的员工、老员工进行安全意识培训规划,告知企业信息的多种威胁、渠道、危害以及简单处理措施,让员工具备安全意识的同时能做到简单防御。
参考文献:
[1]李为.浅论UTM技术[J].天津职业院校联合学报,2011,2.
[2]那罡.信息安全:将形成多元化开放空间[J].网络安全技术与应用,2011,4.
[3]胡晓江.入侵防御系统的研究与应用[J].信息与电脑(理论版),2010,5.
[4]于雷.企业信息安全体系构建[J].科技与企业,2011,8.
成立十周年的天威诚信(iTrusChina)日前全面整合和梳理了公司的产品线,锁定三大业务板块,积极实施战略转型。
网络技术及其应用飞速发展,互联网日益呈现出复杂、异构等特点。信息网络的基础性和全局性日益重要,当前的网络体系已经暴露出严重的不足,互联网正面临严峻的安全和服务质量(QoS)保证等重大挑战,保障网络的可信性已成为网络进一步发展的迫切需求。
即将迎来成立十周年的天威诚信(iTrusChina)日前全面整合和梳理了公司的产品线,锁定三大业务板块,积极实施战略转型,立志成为“网络可信身份管理专家”。
“天威诚信的信息安全产品线很长,要谋求更大、更好的发展,企业的主营业务必须清晰。为此,天威诚信决定锁定三大核心业务,也是国家和市场最希望、最需要我们做的业务。”天威诚信总裁殷文钢告诉记者。第一块业务是企业和行业信息安全解决方案,天威诚信将依托国家授予的电子认证机构等资质,凭借多年来积累的服务企业信息安全的丰富经验,为广大企业用户和行业用户提供优秀的信息安全解决方案;第二块业务是网络及电子商务安全,利用天威诚信的技术和经验确保互联网和电子商务网站的安全以及支付管理和服务的安全;第三块业务是电子政务安全,目前天威诚信已经与一些地方政府在此方面开展了一些合作。“我们将坚定不移地执行这一转型战略,将自己努力打造成为网络可信身份管理专家。”殷文钢表示。
“五年前,我们公司就已经提出‘网络可信身份管理’的概念,如今,外部环境条件终于成熟了。今天,安全、诚信已经成为互联网用户的必要需求,而我们公司的产品和解决方案体系也已经基本具备和成熟了,因此,我们提出了‘网络可信身份管理专家’的战略定位。”天威诚信副总裁唐志红表示。
据了解,目前天威诚信的互联网可信身份管理解决方案已经服务于平安保险、支付宝、招商银行等多家国内知名企业,拥有多项自主知识产权,2010年9月,由天威诚信积极参与并提供技术支持的“中国3•15电子商务诚信网”也将正式上线,为营造电子商务领域的诚信环境贡献力量。