时间:2023-10-12 09:41:38
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇企业信息安全服务,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
企业经营信息对于企业来说是一种资源,对于企业自身来说具有重要意义,企业需要妥善管理自身企业的信息。近年来,企业的各项经营活动都逐渐开始通过计算机,网络开展,因此,企业的信息安全管理对于企业越来越重要。许多企业开始通过各种技术手段以及制度改革,把更多的注意力放在企业内部的信息安全管理工作,同时将企业信息安全管理与风险控制结合起来,这是一个正确的选择,能够帮助企业实现稳定经营。在介绍企业信息安全管理以及风险控制前必须厘清企业信息安全管理的概念与企业风险控制定义,因此,本节将着重介绍企业信息安全管理的概念以及企业风险控制的定义。企业的信息安全管理包含十分丰富的内容,简单来说是指企业通过各种手段来保护企业硬件和软件,保护网络存储中的各种数据不受偶然因素的破坏或者恶意的原因被攻击。对于信息安全的认定通过包括4个指标,即保证信息数据的完整,保证信息数据不被泄露,保证信息数据能够正常使用,保证信息数据能够控制管理。要想做好企业的信息安全管理,首先需要了解的是关于信息的传输方式。随着信息技术的不断普及,信息传递的方式越来越多,常见的信息传递方式主要有互联网传播,局域网传播,硬件传播等等。要想实现企业的信息安全管理,其中很重要的一项工作在于保护信源、信号以及信息。
信息安全管理是一项需要综合学科知识基础的工作,从事企业信息安全管理工作的人员通过需要具有网络安全技术、计算机技术、密码技术、通信技术。从企业的信息安全管理来讲,最为关键的一项工作时保护企业内部经营信息数据的完整。经过近十年来的企业信息安全管理工作经验总结,企业信息安全不仅仅需要信息技术的支持,更需要通过建立完善的企业风险控制体系来帮助企业实现更好地保护企业信息安全的目标。所以,怎样把企业信息安全管理与风险控制融合起来就是摆在企业经营管理者面前的一道难题。企业的信息安全风险控制必须通过企业建立完善的企业信息安全风险体系实现。
企业的信息安全风险控制是指企业在企业信息安全遭遇威胁之前,提前对企业的信息进行风险预估,并采取一系列的有针对性的活动降低企业面临的信息安全风险,从而尽可能减少因为企业本身信息安全管理中存在漏洞给企业带来不必要的损失。常见的企业信息安全风险体系建立主要包含以下几个方面的内容。第一,建立企业信息安全风险管理制度,明确企业信息安全管理的责任分配机制,明确企业各个部门对各自信息安全所应承担的责任,并建立相应的问责机制。第二,设置规范的企业信息安全风险管理指标,对企业存在的可能威胁企业信息安全管理的漏洞予以风险定级,方便企业管理者对不同的信息安全管理漏洞采取有区别的对策。第三,企业要加强对信息安全管理人员的培训,提高企业信息安全管理工作人员的风险意识,让企业内部从事信息安全管理工作人员认识到自身工作的重要性,让企业内部从事信息安全管理工作人员了解到规范自身行为,正确履行职责的重要性。第四,将企业信息安全管理与风险控制有效融合,重视企业信息安全管理工作,通过风险控制对企业内部信息安全的管理方式进行正确评估,找出现行的企业内部信息安全管理手段中存在容易忽视的地方。
二、企业信息安全管理与风险控制存在的不足
1.企业信息安全管理工作人员素质不高
对于企业来说,企业信息安全管理工作是一项极为重要而隐秘的工作,因此,必须增强对企业信息安全管理工作人员的素质要求。但是根据调查统计,目前很多企业对信息安全工作的管理仅仅停留在对企业信息安全管理工作人员的技术要求上,对企业信息安全管理工作人员的道德素养,职业素养,风险意识并没有严格要求。此外,绝大多数企业并没有意识开展对企业信息安全管理工作的道德素质的教育培训,并没有通过建立相关管理制度以及问责机制对企业信息安全管理工作人员实行监督,这无疑给别有用心或者立场不坚定的企业信息安全管理工作人员留下了危害企业信息安全的可乘之机。
2.企业信息安全管理技术不过关
企业信息安全管理工作涉及多许多技术,包括信息技术,计算机技术,密码技术,网络应用技术等等,应当说成熟的计算机应用技术是做好企业信息安全管理的基础,但是,现实是许多企业的信息安全管理技术并不过关,一方面企业的信息安全管理硬件并不过关,在物理层面对企业信息缺乏保护,另一方面,企业信息安全管理工作的专业技术没有及时更新,一些企业信息安全管理工作人员缺乏企业信息安全管理的实践经验,企业信息安全管理的知识也并没有及时更新,从而导致企业的信息安全管理理论严重滞后,这种技术的落后很容易让企业成为不法分子的攻击对象。近年来网络病毒的传播越来越猖狂,很多服务器、系统提示安全补丁的下载更新以及客户端的时常更新成为一个恼人的问题。作为一个行业中的大中型企业,企业内部设备数量比较多,尤其是客户端数量占了较大比重,仅仅靠少数几个管理员进行管理是难以承担如此大量的工作量。另外,企业信息安全管理系统不成熟也是一个重大的隐患。
3.企业信息安全管理制度不健全
企业信息安全管理制度不仅仅需要理论制度的完善,更加需要一系列配套监督机制保障企业信息安全管理的有效执行。通过调查分析,许多企业虽然建立了企业信息安全管理制度,但是通常情况下,这些制度只能流于形式,企业信息安全管理工作缺少有效的制约和监督,企业信息安全管理工作人员缺乏执行力。企业信息安全管理制度不健全,企业信息安全管理工作缺乏执行力常常体现在以下几个方面。第一,企业员工对于信息安全管理的认识严重不足,对企业信息安全管理工作不重视。企业内部计算机系统安全的计算机防病毒软件并没有及时更新,使用,甚至企业内部计算机的防病毒软件还被企业员工卸载了。部分企业员工认为自己的工作与企业信息安全管理不相关,认为做好企业信息安全管理工作仅仅是企业信息安全部门的事。第二,企业内部信息安全文秘站:管理制度并没有形成联动机制,企业信息安全管理工作仅仅由企业信息安全部门“一人包干”,企业信息安全反映的问题并没有得到积极的反馈,一些企业领导对企业信息安全现状所了解的少之又少。
三、企业信息安全管理常见的技术手段 1.OSI安全体系结构
OSI概念化的安全体系结构是一个多层次的结构,它的设计初衷是面向客户的,提供给客户各种安全应用,安全应用必须依靠安全服务来实现,而安全服务又是由各种安全机制来保障的。所以,安全服务标志着一个安全系统的抗风险的能力,安全服务数量越多,系统就越安全。
2.P2DR模型
P2DR模型包含四个部分:响应、安全策略、检测、防护。安全策略是信息安全的重点,为安全管理提供管理途径和保障手段。因此,要想实施动态网络安全循环过程,必须制定一个企业的安全模式。在安全策略的指导下实施所有的检测、防护、响应,防护通常是通过采用一些传统的静态安全技术或者方法来突破的,比如有防火墙、访问控制、加密、认证等方法,检测是动态响应的判断依据,同时也是有力落实安全策略的实施工具,通过监视来自网络的入侵行为,可以检测出骚扰行为或错误程序导致的网络不安全因素;经过不断地监测网络和系统来发现新的隐患和弱点。在安全系统中,应急响应占有重要的地位,它是解决危险潜在性的最有效的办法。
3.HTP模型
HTP最为强调企业信息安全管理工作人员在整个系统中的价值。企业信息安全工作人员企业信息安全最为关键的参与者,企业信息安全工作人员直接主导企业信息安全管理工作,企业信息安全工作人员不仅仅是企业信息安全的保障者,也是企业信息安全管理的威胁者。因此,HTP模型最为强调对企业信息安全管理工作人员的管理与监督。另外,HTP模式同样是建立在企业信心安全体系,信息安全技术防范的基础上,HTP模式采取了丰富的安全技术手段确保企业的信息安全。最后,HTP强调动态管理,动态监督,对于企业信息安全管理工作始终保持高强度的监督与管理,在实际工作中,通过HTP模型的应用,找出HTP模型中的漏洞并不断完善。
四、完善企业信息安全管理与降低风险的建议
1.建设企业信息安全管理系统
(1)充分调查和分析企业的安全系统,建立一个全面合理的系统模型,安全系统被划分成各个子系统,明确实施步骤和功能摸块,将企业常规管理工作和安全管理联动协议相融合,实现信息安全监控的有效性和高效性。
(2)成立一个中央数据库,整合分布式数据库里的数据,把企业的所有数据上传到中央数据库,实现企业数据信息的集中管理与有效运用。
(3)设计优良的人机界面,通过对企业数据信息进行有效的运用,为企业管理阶层人员、各级领导及时提供各种信息,为企业领导的正确决策提供数据支持,根本上提高信息数据的管理水平。
(4)简化企业内部的信息传输通道,对应用程序和数据库进行程序化设计,加强对提高企业内部信息处理的规范性和准确性。
2.设计企业信息安全管理风险体系
(1)确定信息安全风险评估的目标
在企业信息安全管理风险体系的设计过程中,首要工作是设计企业信息安全风险评估的目标,只有明确了企业信息安全管理的目标,明确了企业信息安全管理的要求和工作能容,才能建立相关围绕信息安全风险控制为目标的信息安全管理工作制度,才能顺利通过对风险控制的结果的定量考核,检测企业信息安全管理的风险,定性定量地企业信息安全管理工作进行分析,找准企业信息安全管理的工作办法。
(2)确定信息安全风险评估的范围
不同企业对于风险的承受能力是有区别的,因此,对于不同的企业的特殊性应该采取不同的风险控制办法,其中,不同企业对于能够承受的信息安全风范围有所不同,企业的信息安全风险承受范围需要根据企业的实际能力来制定。不仅如此,企业的信息安全风险评估范围也应当根据企业的实际经营情况变化采取有针对性的办法。
【关键词】企业信息 现状 措施
随着信息技术和网络技术的快速发展,信息安全问题引起了社会各界的广泛关注,并且已经成为当今时代十分重要的研究话题。影响企业信息安全的因素诸多,除了网络本身的开放性之外,内部用户访问控制以及用户身份识别等系统还不够完善,会给企业信息安全带来巨大的威胁。信息安全技术主要就是控制数据,保障数据传输的安全性和可靠性。
1 企业信息安全的意义
1.1 信息安全是时展的需要
随着计算机网络的快速发展,不仅改变了人们生活和工作方式,也给企业的商务运行带来了全新的模式,改变了传统企业生产和管理模式,进一步推动了我国社会的发展。企业信息安全技术得到了进一步的重视和发展,并且逐渐的与国际先进水平接轨,为企业国际化发展提供了强有力的支持。
1.2 信息安全是企业发展的需要
我国大部分企业积极的引用了信息技术和安全技术,信息技术和网络技术给企业带来了诸多优势,比如生产效率的提高、成本的降低以及业务拓展等优势。目前企业的信息和数据主要都是以电子文档的形式保存,对于企业来讲,信息安全技术是保障企业信息和数据不收侵害和威胁的基础保障之一,更是企业生存的保障,所以,必须要提高信息安全技术,避免网络和信息系统中可能存在的风险,逐步的建立信息安全保障体系,有利于企业的可持续性发展。
1.3 信息安全是企业稳定的必要前提
信息安全是保障企业稳定发展的重要措施,必须要充分的认识到信息安全工作的重要性和长期性,无论是从企业的经济效益还是企业的稳定发展等角度来考虑,必须要做好信息安全工作,做好基础性工作,在建立信息安全保障体系的时候,必须要建设良好的网络环境,重视信息战略,保障企业的信息化能够健康发展。
2 企业信息安全的现状
2.1 企业缺少信息安全管理制度
企业信息安全功过还是一个比较崭新的领域,相关的法律法规还不够完善,并且信息安全技术和手段还没有成熟,进而导致相关规定和标准并不能贯彻执行,安全标准和规范也是比较缺少的,从而并没有制定科学、合理的信息安全管理制度。企业信息系统安全问题是一项非常科学的系统工程,所涉及的范围比较广,随着科学技术的快速发展,信息技术和网络技术不断的更新和升级,是不断发展的动态过程,所以,企业信息系统运行风险和安全必须要定期的进行调整和规划,才能够从根本上保障企业信息的安全性和可靠性。
2.2 员工缺少安全管理的责任心
企业信息系统的安全性需要全体人员的参与,信息安全系统中最为重要的因素就是员工,其主要原因就是因为员工们才是企业信息系统的提供者和使用者,员工们能够直接影响到信息安全系统是否能够达到预期的要求。在诸多的信息安全问题中,最多的安全事件就是信息泄露时间。其主要泄露原因来源于内部员工,并不是外部黑客的攻击,给企业带来巨大经济损失的主要原因就是因为内部员工有意或者无意的泄露企业的相关信息,但是,目前我国还没有完善、成熟的系统预防内部员工泄密事件的发生,也是整个信息安全体系中的难点和弱点。
2.3 信息系统缺乏信息安全技术
计算机信息安全技术的本质就是由密码应用技术、操作系统维护技术、信息安全技术以及数据库应用技术等各个学科组成的计算机综合应用学科。但是由于我国计算机技术还有待进一步完善,导致我国技术的发展还存在一定的局限性,在硬件和软件设计的过程中难免会存在着一些弊端,网络硬件和软件系统大多数都需要依靠进口,为企业信息安全带来了一定的隐患,随着科学技术的快速发展,黑客已经不在是传统的破坏底层系统,目前黑客主要是入侵应用,窃取相应的数据,带着非常显著的商业性质。随着网络技术的普及,针对应用的攻击越来越多,不仅需要从管理方面来保障企业信息的安全性,还必须要从技术方面给予强力的支持。
2.4 病毒危害
计算机病毒主要就是指编制对计算机程序有破坏性的程序,进而影响计算机的使用并且能够通过自我不断的复制来代替计算机指令或者程序代码,其具有很强的破坏性。随着网络技术的快速发展,当今时代的计算机病毒已经泛滥成灾,根据相关统计,计算机病毒的种类已经高达4万多种,并且每年还在快速的增长,病毒随着计算机网络技术的发展而传播速度越来越快,破坏性也就越来越高,给计算机用户和企业的信息安全带来了巨大的安全隐患。
2.5 “黑客”攻击
黑客主要就是指通过技术手段侵入到他人计算机系统的人,黑客破解或者破坏计算机以及网络系统,导致计算机用户信息数据的泄露。目前比较常见的黑客手段有后门程序、信息炸弹、网络监听以及密码破解等手段来侵入他人的计算机系统来窃取数据信息,随着网络技术和信息技术的快速发展,黑客攻击已经成为当今时代十分常见的安全问题。
3 企业信息安全改进建议
3.1 技术安全
3.1.1 数字签名和加密技术
为了能够预防黑客的入侵,可以在传统的数字签名和加密技术的基础上不断的完善和创新,进而提高信息安全技术。比如数字签名技术,可以通过设定数字签名,用户在进行操作的时候能够打上自身独有的印记,其主要目的就是为了能够避免其他人擅自修改计算机数据,从而能够提高计算机的安全系数,预防黑客的攻击。在设定数字签名的时候,必须要重视数字证书的获取渠道,一般主要就是从以下三个渠道来获取数字证书,即软件自身所带的数字证书;商业认证授权机构获取;内部专门负责认证的安全管理机构处获取。
3.1.2 入侵防护系统(IPS)
传统的防火墙主要功能就是拒绝明显可疑的网络流量,但是依然能够允许一些流量通过,所以,传统的防火墙防护功能并不到位,面对一些入侵攻击的时候依然无可奈何。大部分IDS系统都是被动的,然而IPS更加倾向于提供主动的防护功能,其主要目的就是预先拦截入侵活动和攻击性网络流量,避免给用户带来不必要的损失,相比于传统的防火墙具有更多的防护优势。IPS主要就是通过网络流量实现这个功能的,也就是指通过网络端口接收外部系统的流量来检测其内是否还有可疑的内容,然后在通过另外一个端口将其送到内容系统中,进而一旦发现可以的数据包就能够自动的清除掉,避免病毒的入侵,从根本上提高了信息的安全性和保密性。
3.1.3 统一威胁管理(UTM)
根据美国权威企业对统一威胁管理做出了严格的定义,即由硬件、软件以及网络技术组成的具有专门用途的设备,其主要可以提供一项或者多项的安全功能。它能够将诸多安全特性集成到一个硬设备里,然后建立一个统一标准的平台。统一威胁管理的主要功能有网络防火墙、网络入侵检测以及网关防病毒功能。这些功能都是统一威胁管理本身所自带的功能。另外,统一威胁管理安全设备本身也具有诸多特性,比如安全管理、日志以及服务质量等特点,这些特性主要就是为安全功能服务的。
3.2 录级安全控制
为了能够保障企业信息的安全,网络必须要允许控制用户对目录、文件以及设备的访问。用户在目录一级指定的权限对所有文件以及子目录都是有效的,还应该可以进一步对目录下的子目录和文件的权限进行指定。目前比较常见的访问权限有系统管理员权限、读权限、创建权限、删除权限以及存取控制权限等。网络系统管理人员应该为用户指定合适的访问权限,因为这些权限的作用非常大,主要控制了用户对服务器的访问。
3.3 网络监测和锁定控制
网络管理人员必须要对网络进行实时的监控,服务器应该及时的记录用户对网络资源的访问,尤其是对非法网站访问的时候,服务器应该以各种方式加以报警,从而引起网络管理人员的注意。如果黑客试图侵入网络的时候,网络服务器必须要自动记录企图进入网络的次数,如果访问达到一定数值之后,帐户将会被自动锁定。
3.4 提高企业员工的安全意识
无论哪个领域,主体都是人,信息安全方面的主体也是人员,通过人来维护企业的根本利益,所以在建立信息网络安全体系的时候必须要重视人的因素,做出相应的规范和绩效管理。企业员工信息安全意识普遍比较薄弱,企业必须要定期的开展相应的培训工作,从根本上提高企业员工整体的信息安全意识,并且要有专业的信息安全体系管理人才,才能够从根本上提高企业信息数据的安全性、可靠性。
随着信息时代和网络时代的来临,企业纷纷引进先进的信息技术和网络技术,并且成立自身的信息系统和网络系统来服务于企业运营管理和生产管理工作,信息技术和网络技术在我国得到了广泛的普及。但是,随之而来的信息安全问题日益凸显,为了能够保障企业信息数据的安全性和可靠性,必须要不断的提高信息安全防护技术,做好相应的预防工作,避免各种入侵、盗取信息数据的事件发生,才能够保障企业的可持续性发展。
参考文献
[1]袁浩,张金荣.INTERNET接入、网络安全[M].北京:电子工业出版社,2011.
[2]徐国芹.浅议如何建立企业信息安全体系架构[J].中国高新技术企业,2009(5).
[3]付沙,企业信息安全策略的研究与探讨[J].商场现代化,2007(26).
[4]姜桦、郭永利,企业信息安全策略研究[J].焦作大学学报,2009(1).
[5]徐新件,朱健华.关于企业网络信息安全管理问题研究[J].供电企业管理,2008(2).
伴随着我国电力行业的迅速发展,特别是南网、国网、华电等大型的电力企业,它们的发展速度更是非常迅速的,目前,电力行业在我国经济的发展当中发挥着中流砥柱的作用,并且是确保整个社会稳定剂经济健康迅速发展的根本性要素,可是,最近几年随着先进科学技术的不断研发,电力企业信息开始面临着泄漏、不可掌控等一系列的安全性威胁,并且,自云计算出现,其依赖于自身优质的性能与全新的有效计算、存储模式受到了各行各业的喜爱,云计算电力与以往的电力企业信息储存系统及运行性能相比具备非常明显的优势。为此,云计算环境下电力企业信息安全是目前整个电力行业急需探究的重要问题。
1 云计算的概念与基本原理
在分布式处理、并行式处理及先进网络计算科学技术不断发展的基本前提下形成的一种新型计算模式即云计算,其面对的是超大规模的分布式氛围,主要发挥着将供应数据储存及网络服务的作用,并且具体的实现平台、服务于应用程序都是在整个云计算环境下得以实现的。云计算能够把全部的计算资源融合在一起,通过具体软件促使自动化管理、无人为参与,并且能够提供各种各样的认为服务。
云计算的基本原理是把相关的计算逐一分布在多个分布式计算机当中,在远程服务器的具体计算当中可以促使电力企业信息处于正常的运行状态,有利于企业将资源更改为具体的需求得以运用,并且能够按照实际需求对计算机进行访问。云计算基本原理为一场历史性的转变创举。
2 目前我国电力企业信息安全结构状况
2.1 电力企业信息网络结构
随着电力企业逐渐进入网络自动化及智能化阶段,为此,目前电力企业信息安全结构一般是以公共网络与专用网络有效综合的一种网络结构形式,其中,专用电力信息网络指的是在因特网进行连接的基础上形成的一种电力企业信息网络及调度信息网络相互综合的形式。
2.2 电力信息安全系统结构
以信息中的信息性能及信息业务为出发点将电力企业信息划分为三种层面:自动化、生产管理、办公室自动化及电力企业信息管理。其中,办公室自动化及电力企业信息管理是与电力企业信息网络结构紧密联系在一起的,形成的是一个安全工作区域,在这个安全区域当中SPDnet支撑的一种自动化,可具备监控性能的实时监控,譬如,配电自动化、调度自动化、变电站自动化等,同时,安全生产管理区域同样也是SPDnet来作为基本支撑的。
3 云计算环境下电力企业信息安全技术的运用
3.1 数据传输-存储安全技术
在整个电力企业信息当中,涵盖了大量的有关电力企业发展的资料及所有数据信息,譬如:电力企业的财务信息、用户信息、经营管理信息等等,所以,对于整个电力企业而言,数据的传输-存储安全技术在其中发挥着极为重要的作用。
一般情况下,云计算环境下,严格加密技术可促使电力企业信息数据在具体的传输过程中将会处于非常安全的一种状态下,主要是由于云计算能够利用加密技术将那些潜存的非法访客完全的拒之门外,预防数据传输过程中发生窃取的事件。
从电力企业信息数据存储技术的角度进行分析,其涵盖了数据恢复、数据分离、数据备份、数据存贮位置的选择等几方面内容,而云计算环境下,电力企业便能够利用私有云这一高度集中的存储技术把相关的数据信息以基本性能、重要系数为依据来选择不同的存贮方位,这样可以促使不同种类数据间隔离的实现,并且可起到预防数据信息泄露的作用。
云计算的运用可促使电力企业信息能够实现实时备份,使得电力企业信息在有突况出现的时候能够在第一时间达到相关数据的及时恢复。
3.2 权限认证及身份管理安全技术
云计算能够成功的预防非工作人员使用非法用户对电力企业信息系统进行访问,这主要是由于在私有云的内部全部的企业信息都能够实现禁止访问技术,电力企业信息管理工作者能够通过私有云进行身份管理、权限认证技术的相关设置,按照企业工作人员的级别及具体的规定对于相关数据及应用业务作出明确的规定及权限的划分,这样可成功的预防了非法访问的事件发生,同时实现合法用户根据个人权限来进行企业信息的具体操作。
3.3 网络安全隔离技术
对于整个电力企业信息来讲,云计算实则是互联网当中的一种内部性系统,通常情况下,电力企业信息网络能够从网络安全的被动保护层面来促使入侵检验技术、防火墙设置等安全防火技术得以实现,可是,云计算环境下,电力企业信息安全采用的是防火墙技术、物理隔离技术、协议隔离技术等先进的科学技术,其中,防火墙技术是对于企业外部网络及电力企业信息网络而创建的一道安全性保护屏障,通过对个人信息的严格检测、审核,将具有破坏性入侵的访客实施的一种有效防护,能够最大限度上将那些越过防火墙对电力企业信息安全网络及正常运行造成破坏的数据流进行完全性的屏蔽;物理隔离技术指的是在云计算环境下对于电力企业内外部网络实施的一种分割,这样能够有效的将内外部网络系统的连接状态完全阻断;
协议隔离技术指的是在云计算环境下利用网络配置隔离器对内外部网络进行的一种隔离,在协议隔离技术的支撑下,内外部网络是完全分离的一种状态,而唯有云计算环境下的电力企业信息进行相互交换的过程当中,内外部网络才能够通过协议由隔离的状态转变为正常连接状态。
4 结语
通过上文针对云计算环境下电力企业信息安全的浅析,我们从当前电力企业信息安全的状况进行分析,云计算环境下用户信息安全依然是一个较为严峻的问题,一部分问题并未得到根本性的解决,在今后的工作当中,需要针对云计算环境下用户信息安全供应相应的帮助,这样才能够促使用户信息安全水平得到较为显著的提高。我们坚信,在未来的工作当中,云计算环境下的电力企业信息将会更加安全,用户信息的安全性能将会得到最大程度上的保障。
关键词:石油企业;信息安全;管理手段
0引言
随着信息化建设进程飞速发展,作为信息载体的计算机、互联网已在企业生产、经营管理各个层面得到广泛应用。计算机网络的开放性、灵活性和广泛性在全面数字化的今天给经营管理带来了便捷、高效、有序的工作环境,同时也带来了较大的安全管理隐患。黑客的出现、安全漏洞的增多、管理的交叉混乱、恶意的网络攻击使网络安全管理遭受了较大的冲击,成为信息化健康发展的绊脚石。网络信息管理疏于安全的防范将危及到企业生产经济的有序发展。石油企业在国民经济中发挥着重要作用,任何风险都可能导致国家经济受到重大影响。因此,提高石油企业信息安全意识,加强信息管理应以保瘴服务和应用为目标,强化安全意识、制定周密的安全手段从而构建完善的信息安全管理体系。
1加强企业信息管理的必要性
1.1企业信息管理概念
企业信息管理是通过现代化的信息技术和设备,以网络技术和网络设备实现企业管理的自动化,进而对企业进行全方位和多角度的管理,以此来促进企业生产、经营管理的优化配置,进而通过企业资源的开发和信息技术的有效利用来提高企业的管理水平,增强企业的核心竞争力。企业信息管理的主要内容,一般包括企业未来的经济形势分析、预测资料、资源的可获量、市场和竞争对手的发展动向,以及政府政策与政治情况的环境变化等等。企业信息管理与制订企业发展战略、制订规划、合理地分配资源是密切相关的。同时,企业的信息管理也应当包括企业内部的信息资源,如财务管理信息、物资库存、钻井施工、职工档案管理等多方面的内容,并且促进企业的全面发展。
1.2企业信息安全管理的必要性
企业信息的存在方式有着多样性,而进行企业安全信息管理的主要目的,在于保护企业的信息安全,保证企业能够顺利的参与到市场经济活动中,进而提高企业的经济效益和社会效益,构筑起信息安全管理系统的保密性、完整性、可用性、可维护性、可验证性的目标,使企业安全信息管理能够通过有效的控制措施来实现。第一,企业管理的信息具有很强的保密性和完整性的特点,因此其对于企业的生产势力、科技含量、资金流动、企业的综合竞争力等多方面都有着重要的影响,同时对于企业的商业形象与合法经营也至关重要,因此加强企业信息安全管理是必要的。第二,由于网络自身所具有的开放性特性,决定了企业信息管理也面临着来自各方面的安全威胁,比如计算机病毒、黑客等,以及计算机诈骗、泄密等问题,也说明了加强企业信息安全管理势在必行。第三,企业对于信息系统产生的依赖也从另一方面暴露出了信息管理系统的脆弱,公共网络与私人网络的连接增强了信息的控制难度,使得信息在分散化的管理模式下,集中、专业控制的有效性大大减弱。另外,由于很多信息管理系统设计的缺陷,其自身就存在着不合理之处,这对于信息安全管理也带来了一定的难度。基于此,对于企业信息管理的安全性也成为了当前企业管理面临的一个重大课题。
2加强企业信息管理安全的防范措施
2.1不断完善信息管理系统
随着企业信息化的发展,目前应用的管理系统有PKI、邮箱、AD域、普OA、合同系统、A6、ERP、网络、操作系统、A7、档案系统、物采系统、OSC、视频会议、企业微信、门户网站、宝石花、数字营房、会议保障、E2、一体化、RTX、移动应用、短信平台。信息系统的连续稳定运行越来越重要,一旦系统中断,将会给企业的生产经营管理带来混乱,而数据一旦丢失,后果是不可估量的。为此,信息管理系统的投入和使用,是建立在充分的实践经验的基础上,通过一段时间的运行和观察,才能够投入使用。在不同的部门进行信息系统的引入时,应当按照部门的实际情况,通过多方引进,使用统一的信息管理系统。对于信息安全来说,首先要解决的就是系统是否能够通过安全验证对用户进行有效的管理,并且赋予不同等级的用户不同的使用权限,这样则能够有效的防止无权访问信息的用户对核心区域的访问,保证信息不会被盗用。同时,为保证信息系统的连续稳定运行,应采用双机服务器和从服务器。一旦发生服务器故障,由从服务器自动接替主服务器工作。
2.2有效的设备管理
设备安全主要涉及到由于自然灾害、人为因素造成的数据丢失。信息安全应建设完善的容灾备份系统,容灾备份系统一般由两个数据中心构成,主中心和备份中心。通过异地数据备份,实时地将主中心数据拷贝至备份中心存储系统中,使主中心存储数据与备份中心数据完全保持一致。同时,对于管理系统中使用的设备品牌、机型、内部配置以及使用时间等信息都要进行专门的记录,通过这些记录,定期对设备进行维护,同时也能够通过这些信息判断出信息的使用效率以及运行情况,对于设备的损坏或者是丢失情况都能够及时地了解。
2.3加强对人员的监督与管理
企业信息安全不单纯是技术问题,而是一个综合性的问题。其中最重要的因素是人,人是设备的主要操作者,因此对于信息的安全管理,就需要加强对人的管理,需要操作人员具有足够的安全意识,对于每一位操作人员进行相关的培训,对于唯一的用户名和密码等信息要进行妥善保管,同时让操作人员认识到泄密会导致的严重后果,增强责任意识。只有通过不断地学习及意识的培养,管理人员才能养成定期维护、按时打补丁、及时更新的操作习惯,以不变应万变的态度应对各种网络攻击手段。通过不断的加强过程管理,通过对每个细节的严密审查,能够有效减少人为出错的现象,同时通过科学的评价机制和激励机制,刺激人员工作的积极性,加强自身的责任意识。
2.4网络传输安全
关键词 信息安全风险;控制;策略
中图分类号:TP309 文献标识码:A 文章编号:1671-7597(2013)12-0144-02
信息化时代,计算机应用范围日益广泛,社会发展和人们生活已经离不开信息网络。信息成为企业中重要的资源之一,很多企业都大量引入了信息化办公手段,运行于系统、网络和电脑的数据安全成为了企业信息安全面临的重要问题。尽管很多企业都认识到信息安全风险管理的重要性,也纷纷从人员配置、资金投入、技术更新等多方面加强对信息安全风险的管理,但是企业信息安全风险并没有随之消失,相反却在不断地增长。现在,公司在越来越多的威胁面前显得更为脆弱。网络攻击日益频繁、攻击手段日益多样化,从病毒到垃圾邮件,这些方式都被用来窃取公司信息。,如不提前防范,一旦被袭,网络阻塞、系统瘫痪、信息传输中断、数据丢失等等,无疑将给企业业务带来巨大的经济损失。
中国国家互联网应急中心抽样监测显示,2011年,网络安全威胁呈蔓延之势,有近5万个境外IP地址作为木马或僵尸网络控制服务器,参与控制了我国境内近890万台主机,网上资产损失就高达十多亿。仿冒我国境内银行网站站点的IP,也有将近3/4来自美国。可见企业信息安全风险控制势在必行,不仅仅是企业需要关注的问题,也是涉及到国家安全的重要课题。
1 企业信息安全风险分析
1.1 黑客的入侵和攻击
企业面临着一系列的信息安全威胁,其中最普遍的一种信息安全威胁就是病毒入侵。一些教授黑客技术的网络资源随处可见,很多年轻人处于好奇或者出于牟利目的,从网上购得黑客技术,对企业网站进行攻击。2011年4月26日,索尼在“游戏站”博客通告,称黑客侵入旗下“游戏站”和云音乐服务Qriocity网络,窃取大量用户个人信息,包括姓名、地址、电子邮箱、出生日期、登录名、登录密码、登录记录、密码安全问题等,受影响用户大约7800万。黑客入侵方式中危害最严重的当属SQL注入。SQL注入的实际意义是利用某些数据库的外部接口把用户数据插入到实际的数据操作语言当中,从而达到入侵数据库乃至操作系统的目的,很多黑客通过SQL注入交互和命令,利用数据库实现木马植入到网站中。SQL注入和缓冲区溢出漏洞相比,可以绕过防火墙直接访问数据库,进一步获得数据库所在的服务器权限,给企业造成的损失十分惨重,更使广大互联网用户深受其害。
1.2 企业信息安全防范意识薄弱
目前,很多企业都加强了信息化建设,通过资金投入、技术改造等多方面加强企业信息安全。但是信息风险不仅仅是技术层面的东西,更重要是人的意识层面对安全风险的认识。在企业中,很多部门和个人依然对信息安全风险问题不重视,有的认为信息风险安全是网络部门的事情,与其他部门或者员工没有关系,而且也帮不上忙;有的人认为对信息安全的宣传有夸张的嫌疑,真正遭受过网络攻击的企业屈指可数,肯定不会发生在自己身上;有的企业 缺乏信息安全风险管理的制度建设,没有出台具体的故障制度,造成很多情况下,员工无章可循,不知道怎么应对网络信息风险,出现问题也不知道如何化解和处理。有的企业尽管已经制定了规章制度,但很多都是流于形式,没有针对性,也没有操作性,长年累月不进行更新和修改,滞后于信息化时展的要求。
1.3 技术装备和设施的作用发挥不充分
很多企业为了加强信息安全风险管理,都有针对性的部署了一些信息安全设备,然后这些从安装上就很少有人问津,设备的运行状况和参数设置都不合理,都是根据系统提示采用默认设置,由于企业与企业之间有很大的不同,企业之间的信息安全风险也相差迥异,采用默认状态无法照顾企业的真实情况,不能从源头上有针对性的加强信息安全风险管理。很多企业缺乏对安全设备以及运行日志的监控,不能有效的根据设备运行状况进行细致分析,从而采取适当措施加强信息风险管理。总之,在企业信息安全风险管理中被动保护的情况比较普遍,缺乏主动防御的意识,而且对于大多数中小企业而言,企业资金和规模都比较小,面临激烈的市场竞争,企业将主要精力用于市场开拓和产品的影响,以期在短时间内获得可观的利润,企业在信息安全风险上的投入比较少,很多设备都老化了,线路都磨损严重,却没有得到及时更新和维护,为企业安全风险管理埋下了隐患。
1.4 企业信息安全规定不严谨
很多企业在实际工作制定了大量的安全管理规定,但是在实际操作中,对企业员工以及信息服务人员的口令卡、数据加密等要求很难得到落实。部分员工长期使用初始口令、加密强度较弱的口令,有的员工登陆系统时使用别人的账号,使用完毕后也没有及时关闭账号,也不关电脑,外来人员很容易登陆电脑窃取企业机密文件,公司内部也缺乏信息安全风险管理的意识,员工可以任意下载企业资料,可以随意将企业资料设置成共享状态,在拷贝企业文件或者数据时,也没有经过杀毒过程,直接下载或者用邮件发送。甚至很多企业员工在上班时间看电影、玩游戏、下载文件比较普遍,员工随意打开一些不安全的网站,随意接受一些来源可疑的邮件,成病毒传播、木马下载、账号及密码被盗,自己还浑然不知。这些不良行为都严重威胁企业的信息安全,加上现代企业人员流动比较频繁,员工跳槽很普遍,很多员工离职后也没有上交公司账号和口令卡,依然可以登录原公司系统,给企业网络风险带来隐患。企业废弃不用的一些安全设备也没有及时进行加密和保护处理,里面的数据没有及时进行删除,安全设备随意放置,外人很容易从这些设备中还原和复制原有的信息资源。
2 企业信息安全风险的控制
2.1 加强基础设施建设资金投入
企业要加强信息安全风险防范的资金投入,资金投入主要用于企业日常安全信息管理、技术人员的培训以及安全设备的购置等等,每年企业从企业利润中拿出一定比例的资金来加强信息安全的投入,投入的资金与企业规模、企业对信息安全的要求息息相关。针对很多公司信息化设备老化,线路损耗严重的现实情况,企业要加强线路的维护和改造,购买新的防火墙和杀毒软件等等,在采购和使用信息安全产品时,企业一定要重视产品的管理功能是否强大、解决方案是否全面,以及企业安全管理人员的技术水平。例如企业可以购入UPS电源,突然停电时可以利用该电源用来应急,以保证公司信息化建设中系统的正常运行和设备技术的及时更新。
2.2 提高个人信息安全意识
维护企业计算机网络信息安全是企业每一位员工都应该关注的课题,企业要加强信息安全风险防范的宣传,让每一位员工都对基本得到网络安全信息技术有所了解,对计算机风险的重要性有清楚的认识,每位员工尤其是网络技术服务人员要把口令卡和账号管理好,不能泄露或者遗失,使用者的网络操作行为和权限都要进行一定的控制,防止企业员工越权浏览公司信息,对于一些涉及企业机密的文件要及时进行加密,对文件是否可以公开访问进行限制,减少不合法的访问。还要及时清理文件,一些废弃的或者没有价值的文件要及时进行删除,要彻底删除不能仅仅放到回收站,保证其他人无法通过复制或者还原电脑设备中的信息。对于企业电脑设备要注意防磁、防雷击等保护措施,企业职工要对电脑设备的基本保养和维护措施有了解,不要在过于潮湿、气温过高的地方使用电脑,要懂得如何对电脑系统继续软件更新和漏洞的修补,从而保证计算机处在最优的防护状态,减少病毒入侵。
2.3 加强防火墙设计
由员工网络操作不当造成的黑客入侵、商业机密泄露也威胁着企业的生存和发展。一直以来,企业信息安全解决方案都需要来自多个制造商的不同产品,需要多个工具和基础结构来进行管理、报告和分析。不同品牌、不同功能的信息安全设备被杂乱无章地堆叠在企业网络中,不但兼容性差,还容易造成企业网络拥堵。正确地部署和配置这些复杂的解决方案十分困难,而且需要大量时间。另外,大量安全产品互操作性不足,无法与已有的安全和 IT 基础结构很好的集成。这样组成的解决方案难以管理,增加了拥有者总成本,并可能在网络上留下安全漏洞。企业可以引入终端安全管理系统进行信息安全风险的防范,例如瑞星企业终端安全管理系统采用了统一系统平台+独立功能模块的设计理念,集病毒查杀双引擎、专业防火墙和信息安全审计等于一身,具有网络安全管理、客户端行为审计、即时通讯管理和审计、客户端漏洞扫描和补丁管理等功能;企业信息安全新品还采用了模块化的新形式,企业可以根据自己的需求定制相应的功能组合;通过瑞星在线商店,企业也可以随着信息安全需求的变化添加所需模块,减轻首次购买的支付成本及后续的升级成本。
总之,随着网络应用的日益普及,企业信息安全风险问题日益复杂。要切实加强对信息安全风险的认识,从规章制度、技术手段以及宣传教育等多方面加强企业信息安全风险防范,确保网络信息的保密性、完整性和可用性。
参考文献
[1]夏青.浅述网络技术与信息安全[J].科技情报开发与经济,2003(11).
[2]马俊,王铁存.网络数据传输安全对策[J].航空计算技术,2006,25(4).
[3]李象江.网络安全技术与管理[J].现代图书情报,2006(2).
[4]陈月波.网络信息安全第1版[M].武汉:武汉工业大学出版社,2008.
[5]刘正红.XML加密技术的研究与实现[J].长春大学学报,2007,17(6).
[6]刘宝旭.网络信息系统安全与管理[J].中国信息导报,2000(11).
【关键词】企业; 信息安全; 风险评估; 风险控制
引言:
计算机和网络通信相结合的信息技术,是促进当代社会信息化发展的主要力量,为社会上各行各业的发展创造了良好的环境。许多企业在经营与管理中已经引用现代信息技术,从而使经营与管理更为科学,工作效率更高,获得的经济效益也越多。然而现代信息技术是一把双刃剑,信息化的程度越高,由它带来的风险也越大。当前,企业的信息安全风险评估工作存在着一些问题,这些问题对企业的发展造成很多不利的影响。
一、企业信息安全风险概述
对企业来说,信息是维持企业正常运作的必要资源。企业的信息包括重要的数据、企业的发展规划、保密性文件、知识产权等。这些信息一旦被泄露,那么企业将面临着或大或小的经济损失,更严重的还会使企业面临破产的危险。所谓的企业信息安全就是指信息在其生命周期中,它的完整性、保密性和可用性这三个特性的保留情况。如果这三个特性都得到了保障,那么信息的安全性就高;如果其中的某个特性被破坏,那么信息的安全性就低。而信息安全风险就是指信息在特定的环境与特定的时间里可能遭遇的安全威胁。
信息安全风险可以分为可控性风险与不可控风险、可接受风险与不可接受风险、自然风险与人为风险等[1],这些风险给企业的信息安全管理工作带来了更多的不确定因素,加深了工作难度。
二、企业信息安全风险评估的现状与问题
当前,我国企业的信息安全风险评估工作存在着许多问题,给企业的日常经营与管理带来了许多不利的影响。
首先,企业没有树立正确的信息安全观。很多企业的管理者在信息安全问题上会走向两个极端,一种是认为只要加大信息建设的投入,信息就存在绝对安全的可能;另一种是忽视信息安全建设,信息安全风险意识淡薄。很多企业的管理层对信息资产的重要性认识不够,因而他们在保护信息安全方面几乎是无作为。
其次,企业在具体的信息安全风险评估工作中,表现出重安全技术而轻安全管理的思想与行为方式。这些企业在工作过程当中,不论是在心理还是在行为上都过分依赖安全技术,甚至认为只要安全技术过硬,信息安全就一定能够得到保证,为此,企业普遍采用现代通信技术、计算机和网络技术来构建企业信息安全系统。而在安全管理上,出现了管理措施不到位,员工在信息保密上不够严肃等问题,造成信息安全技术做无用功。
此外,企业信息安全风险评估工作还存在着管理制度不够完善、责任划分不够明确等问题。信息安全风险的评估工作需要收集各方面的大量的信息,如此才能增强评估的有效性。而企业由于管理制度不完善、职责划分不明确等问题,造成各部门的工作不配合、不协调。信息技术部门被孤立,信息安全的风险评估工作也就不能得到及时有效的完成。
最后,我国有些企业在信息安全风险评估的技术与方法上落后于时代。现代信息系统越往后发展,结构就越复杂。这要求企业要根据不断变化的信息技术来改进自己的风险管理理念和手段,同时也要吸收国际上的先进信息安全风险评估技术,保障自身的信息安全。
三、企业信息安全风险的控制
企业信息安全问题对企业来说是不应该被忽视的部分,企业应该在经营与管理的每个环节做好信息安全风险的控制工作,使企业的重要信息能够得到充分的保护。企业信息安全风险的控制可以从风险分析、管理控制、技术控制三个方面来进行。
(一)风险分析
在进行信息安全风险控制之前,先对风险进行分析可以使风险控制工作更加具有针对性,能够提高风险控制工作的效率。对风险的分析可以从信息资产面临的威胁、存在的弱点等方面来进行[2]。在风险分析工作中,要明确以下几点:首先是信息安全风险控制工作中需要保护哪些信息,这些信息具有什么样的价值;信息资产面临着哪些潜在的威胁,导致这些威胁产生的根源是什么,威胁发生的几率有多大;信息资产中是否具有漏洞,这些漏洞是否会被人威胁利用;信息资产发生威胁之后,企业会面临多大的损失;企业该采取什么样的措施来应对风险带来的损失,等等。
(二)管理控制
企业信息安全风险控制工作主要从组织管理、人员管理、政策实施等几个方面来进行。首先,企业应该建立信息安全组织机构,吸收组织成员,协调企业内部的各项资源,制定信息安全控制的目标并通过组织成员履行职责来达到目标。其次,企业要培养素质高、责任心强、原则性强,能够遵守企业政策的人员。企业信息安全风险的控制不仅与强大的技术力量有关,而且还有赖于执行人员对信息安全工作的支持与参与。此外,在政策实施上,企业要严格执行相关的信息安全保护政策,比如目前国际通用的《信息技术―信息安全管理实施细则》[1],为企业执行信息安全保护工作提供一个统一的标准,从而使工作能够有序地展开。
(三)技术控制
技术对信息安全控制的影响力是比较大的,它在很大程度上决定了信息安全风险的大小、范围,同时它也决定了修补信息安全漏洞的方式和方法。因此,在技术方面对信息安全风险进行控制是非常有必要的。首先,技术构架的设计应该遵循系统性原则、技术先进性原则、可控性原则、适度性原则等,使技术能够更好地服务于风险控制;其次,要做好安全域的信息安全保障工作,根据不同的安全域所面临的不同风险来进行信息安全保护工作;最后,要提高信息安全保障技术。目前而言,我国的信息安全保障技术与国际上的相比明显处于落后状态,因此,企业要引进先进的技术力量,加强信息安全风险的控制力度。
四、结语
在这个信息化高度发展的社会,任何企业与个人在享受信息化带来的便利的同时,也要承担信息化带来的风险。我国企业在激烈的市场竞争中,不可避免会遇到信息安全上的威胁。因此每个企业都应该做好信息安全的管控工作,认真、严肃地对待当前网络环境下的企业信息安全问题。
参考文献:
[1]谷田.网络环境下的企业信息安全问题研究[D].郑州大学2012
――获奖感言
杭州攀普科技有限公司(以下简称攀普科技)成立于2009年,总部位于中国杭州,现在重庆、上海设立有分公司。核心团队组建于2003年,拥有近10年的信息安全研发经验。攀普科技以“让企业家轻松掌控核心数据”为使命,开创攀普商用信息安全新模式,将企业信息化系统放置在攀普科技统一规划的数据中心进行管理,凭借高性能的硬件设施、专有的软硬件数据加密技术、国际背景的专业人才、全球极具规模的数据容灾备份中心和全球信息化安全运营经验,并以极专业的技术为企业、政府、金融、军事等提供信息化系统的整体解决方案,保障信息化系统在极佳状态下运行。攀普商用信息安全项目与全球知名软件商、硬件商、安全商等紧密合作,让信息系统与安全技术的融合进入新兴时代,共同完善信息安全行业生态链。
针对现企业信息化系统普遍存在安全漏洞、管理松散、人为破坏等信息危机,攀普科技提出商用信息安全的管理新模式,将企业的信息化系统放置在攀普科技统一规划的数据中心统一安全管理,以较低的投入、极高的效率,来保障企业信息系统在安全的环境下运行,保障其数据的保密性、完整性和可用性。攀普商用信息安全项目为企业信息化建设提供整体分析、架构、实施、管理、维护,让企业家轻松掌控核心数据。主要的安全技术措施包含智能监控、容灾备份、远程传输加密等。
安全系数高
在数据层、网络层、系统层、物理层、传输层上进行周到完善的信息数据安全服务及规范管理。攀普数据安全的数据层做到了更专业、更安全的保护。
短信提醒服务器远程操作或本地登录操作。任何人无论以何种方式登录到数据服务器,系统都将以短信或邮件的方式告知相关人员,即时掌握公司核心数据的安全状态,并有充足的时间处理异常访问,真正实现了泄密渠道的可追溯性。服务器技术人员操作正规化,全程录像,保证每一项操作有相应记录。攀普科技提供集中备份和异地灾备服务。
攀普科技除了提供数据存储备份的功能,也在国内异地使用同样电信级别的数据中心为企业做好异地灾备的服务,让企业家不再顾虑自然灾害对企业核心数据带来的危机。
系统采用权限管理机制和数据远程传输特殊加密。攀普科技的自动加密机制,文件在生成时即被加密,核心技术文件或数据被带出去也无法使用及破解。
应用效率高
攀普商用信息安全将企业信息系统放置在专业数据中心集中管理,由硬件工程师、软件工程师、系统工程师、网络工程师四大专业团队共同值守维护。企业的信息系统数据本地存放,只要客户一个电话,攀普科技四大专业团队第一时间帮助用户处理问题并排除故障。
在经济高速发展的今天,企业的信息安全对于企业的发展具有非常重要的意义,而企业的信息如果被窃取、泄漏给企业所带来的是巨大的损失,所以企业必须对信息安全问题引起足够的重视。对于已经做好信息安全工作的企业,应认识到安全软件并不能时时的做好安全防护,要做好安全防护还应加强管理,笔者结合实践工作经验提出以下几点建议。
1.1树立正确安全意识
企业在信息化发展的进程中,应意识到企业信息的安全问题与企业发展之间存在的关联性。一旦企业的重要信息被窃取或外泄.企业机密被泄漏.对企业所造成的打击是非常巨大的,同时也给竞争对手创造了有利的机会。因此树立正确的安全意识对于企业是非常重要的,这样才能为后面的工作打下良好的基础。
1.2选择安全性能高的防护软件
虽然任何软件都是有可以破解方法的,但是对于安全性能高的软件而言,其破解的困难性也随之增加,所以企业在选择安全软件时应尽量选择安全性能高的,不要为节省企业开支而选择性能差的防护软件,如果出现问题其造成的损失价值会远远的大于软件价格。
1.3加强企业内部信息系统管理
首先,对于企业信息系统安全而言,无论是使用哪种安全软件都会遭到攻击和破解,所以在安全防御中信息技术并不能占据主体,而管理才是信息安全系统的主体。因此建立合理、规范的信息安全管理体质对于企业而言是非常重要的,只有合理、规范的管理信息,才能为系统安全打下良好的基础。其次,建立安全风险评估机制。企业的信息系统并不是在同一技术和时间下所建设的,在日常的操作和管理过程中,任何系统都是会存在不同的优势和劣势的,因此企业应对自身的信息系统做安全风险评估,根据系统的不同找出影响系统安全的漏洞和因素,并制定出详细的应对策略,进而可以将系统被攻击的风险降到最低。
1.4加强网络管理
绝大部分的企业信息被窃取都是不法分子通过网络进行的,因此必须加强企业的网络管理,才能确保企业信息系统在安全的状态下运行。针对信息安全的种类和等级制定出行之有效的方案,并提前制定出如果发生了特定的信息安全事故企业应采取哪种应对方案。当企业信息安全危机发生时,企业应快速成立处理小组,根据信息安全危机的处理步骤和管理预案,做好危机处理工作,避免出现由于不当处置而导致的连锁危机的发生。另外,还应在企业内部做好信息安全的培训和教育工作,提高信息安全的管理意识,提高工作人员对安全危机事件的处理能力。减少由于企业自身的失误而导致安全危机发生的机率。
2结束语
关键词:企业;信息;安全管理
中图分类号:U283.4 文献标识码:A
企业信息安全管理是运用科学的方法和手段,系统地分析网络与信息系统所面临的威胁及其存在的薄弱点,提出有针对性的抵御威胁的防护对策和控制措施,这是企业推进信息化进程和促进生产经营管理的重要内容,是保障企业信息系统正常运行、高效应用和健康发展的前提条件。
1我国企业信息安全管理存在的问题
1.1缺少企业信息安全的法规和规范。企业信息安全是一个比较新的领域,目前还缺少比较完善的法规,即便现有的法规,由于相关安全技术和手段还没有成熟和标准化,法规也不能很好地被执行,安全标准和规范的缺少,导致无从制定合理的安全策略并确保此策略能被有效执行。
1.2存在物理安全风险。物理安全是指各种服务器、路由器、交换机、工作站等硬件设备和通信链路的安全。风险的来源有:水灾、火灾、雷击等自然灾害,人为的破坏或误操作外界的电磁干扰,设备固有的弱点或缺陷等。物理安全的威胁可以直接造成设备的损坏、系统和网络的不可用、数据的直接损坏或丢失等。
1.3信息外泄现象时有发生。进入信息化时代后,企业的诸多资料都由原先的纸介质变成了电子文档。电子文档的特点就是复制十分容易,许多跳槽的员工和竞争对手都会将这些资料通过各种手段带离企业。而且,在企业信息管理系统中,大量购、销、存等业务、财务数据、文档及客户资料,以存储介质形式存在于计算机中,由于电磁辐射或数据可访问性等弱点,受到人为和非人为因素的破坏。数据一旦遭到破坏,将会严重影响企业日常业务的正常运作。因此,保证数据的安全,就是保证企业的安全。
1.4缺少安全管理制度和责任性。目前企业的安全解决方案,基本上只是一个安全产品方案,这使人们误以为企业的信息安全只是信息技术部门的工作和责任,与其他人员不直接相关.但是一个企业的信息系统是企业全体人员参与的,因为他们才是企业信息系统的提供者和使用者,他们是影响信息安全系统能否达到预期要求的决定因素.
2加强我国企业信息安全管理的几点建议
2.1全面提高职工的信息安全知识素质,加强安全文化建设,提升防患水平,防微杜渐。对于信息安全工作的开展,不是系统管理部门的事,也不是系统使用部门的事,而是全体员工的事,必须要提高全体员工的信息安全意识。通过培训和考核等措施,提高员工对公司信息安全的认识,让信息安全成为业务开展的一部分,才能有效提高公司整体信息安全水平,也是信息安全工作得到有效的支持和推进。在此基础上,要建立适应21世纪知识经济时代的企业信息安全文化,只有加强安全文化建设,才能适应知识经济时代的发展。
2.2完善企业信息安全管理制度。首先,数据安全管理制度,即确保数据存储介质(设备)的安全;定时进行数据备份,备份数据必须异地存放;对数据的操作需经主管部门的审批、同意方可进行;数据的清除、整理工作需两人或两人以上在场,并由相关部门进行监督、记录。第二,准入管理制度。准入管理又称密码、权限管理,通过准入系统可以判断请求登录的用户是否是合法的、值得信任的。一个安全的准入系统则需要收集请求登录者的以下信息:一是请求方式。当同一网段在单位时间内多次请求登录或多次登录用户、密码错误者,就应在一定时间内封闭其所在网段的请求,并发出报警信号。二是系统安全验证,即对登录用户的操作系统进行安全证,并提示登录用户进行一系列的修复操作。三是检测设备自身数据是否被修改或篡改,并对登录户相应的操作进行记录备案。
2.3采取传统的信息安全防范策略。物理安全策略:包括环境安全、设备安全、媒体安全、信息资产的物理分布、人员的访问控制、审计记录、异常情况的追查等;网络安全策略:包括网络拓扑结构、网络设备的管理、网络安全访问措施、安全扫描、远程访问、不同级别网络的访问控制方式、识别/认证机制等;数据加密策略:包括加密算法、适用范围、密钥交换和管理等;数据备份策略:包括适用范围、备份方式、备份数据的安全存储、备份周期、负责人等;身份认证及授权策略:包括认证及授权机制、方式、审计记录等;灾难恢复策略:包括负责人员、恢复机制、方式、归档管理、硬件、软件等;事故处理、紧急响应策略:包括响应小组、联系方式、事故处理计划、控制过程等。
2.4实施、检查和改进信息安全管理体制。企业应按照规划阶段编制安全管理体系文件的控制要求来实施活动,主要实施和运行ISMS方针、控制措施、过程和程序,包括安全策略、所选择的安全措施或控制、安全意识和培训程序等。在实施期间,企业应及时检查发现规划中存在的问题,找出问题根源,采取纠正措施,并按照更改控制程序要求对体系予以更改,以达到进一步完善信息安全管理体系的目的。信息安全实施过程的效果如何,需要通过监视、审计、复查、评估等手段来进行检查,检查的依据就是计划阶段建立的安全策略、目标、程序,以及标准、法律法规和实践经验,检查的结果是进一步采取措施的依据。
2.5加强信息安全监控,保障信息系统安全运行。在信息安全监控、信息安全配置和系统访问控制方面,信息管理部门借助先进成熟的信息技术,充分挖掘和利用现有资源功能潜力,进一步提升企业信息系统的安全防范能力。例如,加强信息系统监控管理和风险评估,优化信息系统安全架构,开展入侵检测分析防范、核心网络冗余和服务器架构调整等工作,确保公司信息系统安全稳定运行。统一企业桌面安全管理体系,建立网络运维管理系统,加强接入层管理、桌面安全管理和安全监控管理,有效保障联网计算机的安全运行。优化企业内外网连接架构和访问控制策略,增加网络出口流量监控环节,使有限的网络带宽资源得到合理分配和充分利用。针对因特网浏览用户违规现象较多,造成非授权用户占用大量网络资源的问题,加强用户访问监控,严肃处理违规用户,加强保密教育,促进用户规范使用信息系统。
2.6构建信息安全管理团队。信息安全管理团队是由决策者、管理者以及计算机、信息、通讯、安全和网络技术等方面的专家为提升企业信息安全管理水平而组建的团队。信息安全管理团队是企业信息安全管理的直接管理者,其管理能力、技术能力的高低会直接影响到企业信息安全管理的效率。因此必须增加对企业内部信息安全管理人员、技术人员的定期培训,同时与外部专业技术企业建立长期有效的外部技术支持网络,才能对企业信息安全事件做出及时、快速、准确的响应,确定并及时排除突发事件,使企业的风险和损失最小化,最终形成一套有效的一体化管理体系,给企业带来更大的管理效益与管理效率的提升。
综上所述,随着网络普及和企业信息化业务的不断拓展,信息成为一种重要的战略资源,信息安全保障能力成为一个企业综合能力的重要组成部分。因此,要提高企业信息安全管理的效率,为企业决策提供信息支持,确保企业信息数据安全、可靠、真实,为企业发展和经营管理提供有力保障。
参考文献
一、制造型企业信息安全的必要性
随着我国市场信息化水平加深,网络技术已经成为了推动社会发展重要因素之一。网络的便捷性,使得任何人都可以利用网络接受、传送大量的网络信息,或者是存在网络云盘之中。而网络的公开性,也导致网络对于任何人来说都没有门槛,这也是窃取信息的问题不断发生的主要原因。对于企业来说,尤其是制造型企业,一旦企业赖以生存的核心技术被盗取,几十年的劳动成果皆拱手送人,企业将承受巨大的、甚至是毁灭性的损失。
企业信息泄露还有一种就是人才流动,现如今企业人员流动较大,企业信息可能被直接带到其他企业之中,这也是个比较棘手的问题。
另外一种情况是随着企业之间的合作不断增加,企业外派员工成为常见的现象,这样就加大了企业间的交流和接触时间,对于本企业的信息泄露也许就是在不经意间。
无论是网络问题还是人为问题,如果造成企业信息泄露,其对自身企业的损害是非常大的。以技术为核心的制造型企业加强信息安全管理势在必行。
二、制造型企业信息安全管理的现状及问题
1.企业信息安全管理的被动性
制造型企业的工作重点在产品制造与生产,对于网络信息管理意识薄弱,很多时候企业只有发现企业信息泄露或者遭受病毒的攻击等安全事件,才会关注企业信息安全问题,进而调动技术部门前来解决问题。这很大程度上反映制造型企业对网络信息安全不够重视,只有出现信息安全问题时,才组建临时小组来解决企业信息问题,待到问题解决后小组便被解散,没有对企业信息后序的监督和管理,企业信息安全管理缺乏系统策划和制度化要求,管理活动临时性强,缺少日常的维护和预防,导致更多的是重蹈覆辙,这样不仅没有为企业省下对安全管理的资金,相反的恰恰是增加了企业的资金投入,直接增加了企业安全管理的成本。同时因为临时小组的组建,使得人员调动频繁,大大降低了工作效率,进而对企业的经济效益造成影响。
2.员工使用内部系统连接外网
虽然大部分制造型企业对企业自身的内网进行了防护监测,而且对员工上网和网页浏览采取了一定的限制措施,但是实际上,企业对员工上网的控制落实程度不够,员工依旧可以在工作时间使用企业网络进行外部网络连接,而且对于一些网站毫无防备。而网络病毒是时刻都在通过网络攻击使用者的,特别对于企业内部网络,黑客更是随时随地紧盯着企业内网出现漏洞,进而窃取企业内部信息。由于企业员工的疏忽,会有很大几率使得企业信息出现安全隐患,轻则影响企业正常的生产工作,重则企业商业、技术信息被盗取或者企业内网瘫痪甚至纵,为企业带来非常严重的后果及损失。
3.移动设备限制力度不够
制造型企业在信息安全管理方面通常采取的措施是限制流水线工人的移动设备使用,但是对于办公部门却没有严格要求,办公人员可以自由携带智能手机、笔记本电脑、pad、硬盘等移动设备。因办公人员要对数据进行处理,会导致企业内部信息被无限制地拷贝。而且现如今的移动智能设备都能直接通过企业的无线网络,连接企业内网以获得权限,这样的确提高了企业内部的办公效率,同时也给黑客病毒提供了通过无线网络进行传播的机会,提高了企业内部信息安全的风险。
4.信息安全防护技术水平低
在我国,普遍存在信息安全研发技术水平较低的情况,这也是制造型企业安全技术不高的原因之一。制造型企业的工作重心偏重于生产、制造及商务活动中,而对于网络安全的防护意识不高。
作为企业,都会有一些信息安全意识。在企业成立初期,信息安全防护措施通常会被考虑并采纳,尤其是一些进口设备,但仅仅依赖进口设备是远远不够的。第一,进口设备虽然技术先进,但是出现问题是在所难免的,往往出问题的是一些关键的零部件,这些零部件不仅难以拆卸且是整台设备的技术核心,设备厂商必然会控制其销售渠道。第二,很多企业过于相信进口设备的技术,力争做到一步到位,使得企业发展中前期安全防护的确不错,但是却忽略了系统的更新和维护,网络病毒每天新出几万种,就算设备再先进,如果不进行更新,迟早会被病毒攻破。第三,很多企业都采用家用式免费杀毒软件,这些杀毒软件更新频率快,一些简单病毒、木马都能有效查杀,对家用来说但是对企业来讲远远不够,企业一般是黑客重点关注的对象,黑客往往会研制更先进的病毒来攻克企业的防火墙,一些免费杀毒软件很容易被攻破,增加制造企业内部信息安全问题。
5.企业出现安全问题处理方法不当
现如今研发病毒的技术快速而先进,病毒出现时的及时处理是非常重要的,我国制造型企业在出现信息安全问题的时候,虽然有相关的杀毒软件,但因为大部分都是免费的,其更新速度虽然频率高,相对滞后性比较强,对于新病毒无法第一时间发现、处理。而且许多病毒都是潜在性的,企业内部系统中毒之后没有任何异样,这就导致企业内部人员无法及时发现企业内网是否被越权或遭到攻击。同时,由于很多企业缺少专门管理信息安全的部门,并且对于病毒侵入缺乏有针对性的安全对策和应急措施,这就导致就算病毒被发现,企业在第一时间也无从下手。
三、制造型企业容易出现安全问题的原因
1.企业内部信息安全意识低
制造型企业的本质是通过生产经营活动而获得盈利,因此制造型企业的工作重点主要是企业生产、制造以及流通和服务。在此情况下,企业更关注盈利情况,而缺乏对信息安全的管理意识,对信息安全管理的重视度不足。导致这一现象的重要原因是安全防护不能为企业带来直接的经济效益,反而要投入大量的人力、物力、财力。另一方面,从安全管理角度来说,没有事故发生才是管理绩效的体现。相对于质量管理、生产安全管理来说,信息安全管理的管理性质是类似的,但因为其管理对象的不可见性,往往容易被企业高层忽视。同时,一般也会存在侥幸心理,感觉企业内部网络不会受到黑客攻击,或是认为就算受到病毒攻击也不会对生产经营造成什么大影响,对企业整体利益影响不大。基层员工更是不明白什么是安全防护,对企业安全防护的重要性一无所知,这就导致许多企业内部信息技术会从员工口中泄露。
2.信息安全管理模式不够完善
制造型企业信息安全问题频发的原因,究其根本就是因为企业信息安全管理模式不够完善,具体原因是制造型企业不重视信息安全管理、缺少系统规范的信息安全管理制度、缺乏专业的信息安全管理技术和安全管理人员,企业信息系统设计没有风险评估、没有完善的业务流程,信息安全管理存在头痛医头脚痛医脚的现象。
3.信息安全系统没有应急措施
制造型企业信息安全系统缺少应急措施,也可以说没有自我保护系统。自我保护系统是一种比较先进的技术,一旦有病毒侵入系统,系统会自动对重要信息进行加密、封锁,待系统安全后自动解锁。然而由于对信息管理的意识不足,使得很多制造型企业没有建立信息安全自我保护系统。在我国,诸多制造型企业在信息管理方面更多的是依靠员工的经验,对于网络自身的保护信任度不足,也缺少对信息安全管理技术发展的关注和引用。
四、制造型企业信息安全管理存在问题的对策
综上所述,制造型企业信息安全问题是由很多因素造成的,包括管理层的重视方面、技术方面、人员管理方面等。首要的,企业应提升对信息安全管理的重视程度,只有加强意识,并建立有效的信息安全防范措施,才能有效保护企业自身的核心竞争力,以获得在市场经济中更好的发展。
1.提高企业内部员工的信息安全意识
很多制造型企业信息泄露都是内部员工无意间透露出去的,这也是最常见的企业内部信息泄露渠道,企业应充分重视员工的信息安全教育,定期对企业内部员工进行信息安全培训及考核,通过教育向员工灌输信息安全的基本知识和常识、企业内部信息的重要性、一旦发生企业核心技术泄露将产生的严重后果等信息。加强企业内部员工信息安全意识,也就是从根本上降低了企业信息安全隐患,企业中如果基层员工都非常了解并重视信息安全问题,那么这个企业在信息安全管理方面必然非常完善有效。
2.建立健全企业信息安全管理机制
由于很多制造型企业缺少健全的信息安全管理机制,这就给了很多黑客病毒更多的侵入机会。一套完善的信息安全管理机制能够有效的保护企业信息安全,降低安全隐患。制造型企业应该建立健全企业信息安全管理机制,设立专门的企业信息安全管理部门,这样能最大程度保证信息的日常安全防范,也保证了一旦出现安全问题,企业能更好、更快地解决问题,健全的管理机制能够对风险有一定的预见性,把风险降到最低。
3.加大对信息安全管理的资金投入
任何新型技术都离不开资金的投入,信息安全管理同样也是,而且信息安全管理更多的属于技术型投入,对资金依赖性更高。制造型企业想要获得可持续发展,就必须要把目标放得更加长远。企业内部信息往往是一个企业的核心,因此企业应提高对信息管理的重视程度,加大对信息安全系统的投资,把信息安全管理作为企业管理重要的一部分,信息安全管理资金划作专项资金专款专用。企业对信息安全管理的投资要有计划性,确保突况的资金投入、技术更新的资金投入、管理人员的资金投入、安全教育的资金投入等。把信息安全管理纳入企业整体的发展规划中,这样才能保证企业信息更加安全,企业才能获得长足的发展。
4.加大对信息安全管理人才的认识
因为信息对企业生存至关重要,信息安全甚至会影响到企业的发展战略的制定和落实,制造型企业应当把信息安全管理与生产经营提高到同一个层次。企业内网是网络技术领域,既然是技术,就离不开专业人才的支持,企业应该加强信息安全管理的人才培养,提高企业信息安全管理的质量。如果企业内部没有专业的信息安全管理人才,企业可以通过对外招聘的形式,在社会中寻求人才。现如今互联网技术已经逐步走向成熟,计算机人才更是越来越多,所以,制造型企业在社会中寻找信息安全管理的人才不会很难,同时还能促进计算机技术人才就业,对于企业自身以及社会都有很大意义。
5.加强企业内网管理
一般来说,企业内网系统中的信息很多都属于商业机密,基层员工是无权了解的。制造型企业应该把各个层级的员工账号及内网系统中的信息进行分类管理,按信息等级设置不同的访问权限和防范措施,以免企业员工在使用内网时网络病毒通过权限窃取过多的企业信息。另外,很多企业信息泄露都是由于某些员工通过企业无线网连接外网导致企业系统中毒,针对此类情况企业要制定相应的政策和管理制度,通过对硬件的管理和网页访问权限设置,严禁员工上班时间通过移动设备随意连接外网。
五、结束语
关键词:国有企业;信息安全;数据挖掘
中图分类号:F592.6文献标识码:A文章编号:1006-8937(2016)03-0018-02
在信息化时代,基于网络侵入技术的不断提升,黑客与病毒对计算机系统攻击事件不断发生,据此而言,信息化技术在给国企生产经营活动带来便捷的同时,也成为最为脆弱的地方,此时的数据挖掘技术的运用就显得十分必要,依靠数据挖掘技术就可以使得来往流量处于实时监控的状态,并及时会对入侵产生自动检测的工具,从而大大维护了国有企业信息化系统正常运行。
1国有企业信息化建设中的信息安全概念及意义
1.1国有企业信息化建设中的信息安全概念
所谓的信息安全是指为保护国有企业计算机数据处理系统不受侵犯,在技术层面对计算机数据处理系统所采取保护的方式方法与手段,以达到维护计算机软硬件,以及数据安全,使机密信息可以在完整的状态下与既定对象实现信息共享的目的,从而确保了数据信息得到可用性保护,从技术的层面分析,主要分为下面三种形式。一是物理隔离形式的信息安全技术。就是将计算机网络系统的硬件实体与公共网络线路链接在技术层面予以有条件隔离,即防火墙技术,这一技术起到了对来往信息数据筛查的作用,从而使国有企业计算机系统在不受外界非法侵入的前提下创设一个电磁兼容的内部网络环境。二是访问可控形式的信息安全技术。访问可控安全是防火墙技术的协作部分,在这一技术手段的支持下,国有企业信息系统能够对外来信息数据进行甄别、预警,如果黑客和病毒等恶意流量得不到有效验证,则会使得网络侵袭问题飙升;三是数据加密形式的信息安全技术。为切实保护网上与传输过程中数据的可用性,国有企业信息系统需要在网络节点间、源节点与目的节点间、原端用户与目的端用户间的数据传输实施密钥管理。
1.2国有企业信息化建设中信息安全的意义
在社会经济信息化的今天,国有企业生产经营与市场营销等各领域都离不开信息化建设,以计算机网络技术为支撑的信息化建设基于此而成为国有企业日常运作的有机组成部分,但是,在信息化系统开放的过程中,却由于其安全漏洞问题存在而为一些不法行为提供可乘之机,信息安全据此成为人们关注焦点。
1.2.1保障个人信息不被泄露
以计算机网络为技术支撑信息系统为国有企业日常运作带来了极大便利,基于此成为国有企业进行生产经营、市场营销,以及日常管理的主要工具。在国有企业人力资源管理中,个人信息资料往往成为信息化建设的一个领域,这些资料在法律上归属于个人隐私范畴,有关部门无权将资料予以公开,但是,一些黑客在对国有企业内部信息系统攻击过程中,往往会窃取国有企业人力资源隐私资料,并将此作为谋取非法利益的筹码,如果国有企业对自身的信息管理系统的安全等级予以升级,则就使得黑客攻击处于无效状态,从而使得国有企业人力资源隐私信息得到最大限度保障。
1.2.2保障国有企业科技信息共享的实现
当前的国有企业通过搭建信息共享平台方式实现数据信息的共享,以国有企业与高校的科技信息共享平台搭建为例,高校通过自己在人力资源、馆藏资源、科技研究等方面的固有优势搭建了校企联合的科技信息平台,国有企业可以随时登陆这一平台搜索到自己所需要的科技信息,高校也可以通过这一平台将自己的科研成果及时转化为生产力,但是,这一平台的运作需要强大数据库的支持,在其运作过程中,黑客的攻击是必不可少,黑客可以通过截取网络信息传输、窃取用户口令、盗取数据库信息、篡改数据库内容等一系列非法手段,达到破坏科技信息共享平台正常运作的目的,因此,采取切实有效的措施,加强计算机网络系统的安全性能,就能够保障国有企业的合法利益。
2国有企业信息化建设中的信息安全问题
以计算机网络为技术支撑的信息系统是影响信息安全的最为主要的问题,这是因为计算机网络技术是支撑起其正常运作的最为主要的力量,从安全的角度出发,影响到以国有企业信息系统运作安全的问题主要可以细化为以下几点。
2.1网络信息资源共享使得黑客攻击频现
以计算机网络为技术支撑的信息系统运作的一个重要目的就是要实现资源共享,国有企业与高校领域所搭建的信息共享平台即是此例,在搭建信息共享平台实践中,国有企业即可通过相关计算机网络技术应用得到信息的共享,但是这一开放性的功能却存在一定的安全隐患,只要是有共享,就会有开放,共享的技术环境为黑客的攻击提供了便利。
2.2国有企业信息操作系统漏洞凸显
基于以计算机网络为技术支撑的国有企业信息系统快速进步,其系统升级也在同步进行,但是,国有企业信息操作系统的漏洞也在不断显现,这是因为国有企业对计算机网络技术的应用要求在不断提高,技术的发展相对滞后的问题始终存在,一些黑客就会对国有企业目标计算机网络操作系统进行深究,寻找其漏洞,然后通过不同的方式予以攻击,从而达到窃取国有企业信息资源、破坏国有企业信息系统等非法的目的。攻击的手段是多样的,例如可以利用计算机网络系统的开放性的特点,制造出大流量的无效数据,并将这一些数据流形成系统阻隔,从而导致主机处于被隔离的实际发展状态;还可以阻隔其他服务请求,主机往往会存在提供服务或传输协议上处理重复连接的痼疾,黑客就会据此而重复性、高频度发出攻击性的请求,一旦请求发出,自然就会影响到其他正常的服务请求;再者黑客还根据目标主机的特点,向其发出带有病毒的错数数据信息,从而直接导致主机死机。
2.3人为因素导致信息系统安全保障效能低下
从根本上来说,以计算机网络为技术支撑的国有企业信息系统的运作离不开人的操作,因此,国有企业信息系统可持续发展就需要对其实施卓有成效的管理才能够达到既定的目标,在这其中,人力资源的因素必不可少。举例来说,如果在实施计算机网络管理的实践中,其人员基于自己的防范意识、认知水平、技术程度等方面的原因,就将会直接导致信息系统管理的安全保障效率趋于低下。
3国有企业信息化建设中的信息安全保障策略
3.1制定与落实国有企业信息安全制度规范
为了提高以计算机网络为技术支撑的国有企业信息系统安全防范性能的提高,制度规范的制定与落实是基础,具体来说,则是要制定出信息系统安全管理、计算机网络硬件管理、数据信息保密等诸多制度规范,并进一步强化信息安全制度的落实。
3.2提升国有企业信息化技术人员操作水平
为促进国有企业信息安全规制的落实,人力资源的培养是关键环节,基于此而言,就应该对以计算机网络为技术支撑的国有企业信息系统操作技术人员进行安全法规的培训,从而使之既能够熟知这些法规,又能够认知自己的行为,促使自己的操作行为具有规范性,提高安全保障的能力。
3.3应用数据挖掘的信息安全技术
数据挖掘技术是一个新兴研究领域,涵盖了大型数据库、人工智能、统计学等诸多的方面,数据挖掘技术就是指在大型数据库中寻找并获取对自己“有价值”的、存在形式多用的数据信息。在其应用的过程中,静态和动态流量数据分析会对最终的检查结果作出及时的反映,将储存在数据库当中的既有模式与所确定的特征与规则进行比对,以此构建正确的模式来保障信息系统运作的安全。
3.3.1静态流量数据分析算法
①建立模型的分类算法。模型的建立适合于通过分类算法来对静态流量数据予以分析,一般而言,就是根据数据挖掘的目标予以分类,需要从两个阶段进行。第一个阶段模型的建立。这一阶段首先就是根据训练属性的分类的原则对目标数据库构建模型;第二个阶段模型的分类。模型的首要功能就是要对预测提供参考数据,基于此而言,模型就要通过在测试样本比较的基础上,对测试样本的准确率予以评估,如果准确率达到所要求的标准,则就可以以此为依据对该样本的类预测标号中不明数据元分类,这一模型的建立主要是在于将用户或程序中大量存在的数据予以吸纳,然后再通过模型来产生具有一定标准的分类算法,这一算法主要是测试这些未知数据的性质,为后继措施的实施奠定基础。
②数据关联性算法。挖掘数据之间的关联性是静态流量数据分析算法的一个较为主要的方式之一。这是因为各数据之间并非是互相间隔的而是存在必然的联系。具体而言,就需要深入挖掘数据之间潜藏的各种关系,并将其运用到检测威胁网络安全的各种现实情况中去,以此来探查各种入侵行为所存在的必然关系,从而寻求可解决的策略。数据关联性算法主要是挖掘各数据之问隐藏的相互关系,具体应用到入侵检测系统中可以利用关联分析检测出入侵者的各种入侵行为之问的相关性,此种分析方法主要侧重于事件的因果关系。
③事务关联分析算法。所谓的事务关联分析就是在事务中寻找具有相似性的之间的联系,具体而言,就是在事务记录中打入某一关键字词,与之相关联的记录就会呈现出来,再在其中找出重复率较高的原始数据,从此而形成具有一定指向性的数据的集合,用于指导检查网络安全相关的诸如网络攻击与时间变量之间的关系,从而为分析相应的数据结构打下坚实的基础。
3.3.2动态流量数据分析算法
动态流量数据分析的主要目标就是要在大量的数据中甄别并择取有效信息,同时要将无效,甚至于有害信息予以阻遏,为达到动态流量数据分析的有效性,建立一个动态流量数据分析系统是十分必要的,该系统承担了对动态流量数据分析、计算的任务。
①数据的择取。数据择取的主要范围是在互联网上,其内容涉及安装使用对数据包的截获程序、提取网络数据包中的需要检测的信息等。
②数据的处理。在互联网上截获的原始网络信息需要采取信息化处理的过程,这也就是说,可以将这一些信息进行诸如压缩等方式的处理,使之能够实现信息分类的储存,然后再将这些信息转换成具有持续时问、源IP地址、目的IP地址等连接特征的网络连接记录,这就完成了数据挖掘的前期准备工作,继而则在数据信息准备的基础上,再一次对这些数据信息予以“清洁”,即删除掉无效或无用的信息,而保存有效或有用的信息,最后环节则是数据信息的挖掘。
③数据信息的分类。在所截取的数据信息库中存放大量的数据信息源,这些信息源处于无序与混乱的状态,应该按照一定的规则进行区别。一方面,就要在对所储存数据信息源特征与规则明晰的基础上,确立非正常与正常模式的基本状态,并将其储存在数据库当中,另一方面则要将储存在数据库当中的既有模式与所确定的特征与规则进行比对。当然,就业数据处于不断有新的数据信息充实的状态,原有的数据信息也会不断被淘汰,因此数据酷中非正常与正常模式、数据信息源特征与规则等都应该处在不断变化的过程中,只有如此,才能够使数据挖掘方法的使用更加有效。
④应用模式评估。动态流量数据分析系统要根据最终的检查结果作出及时的反映,如果归属于恶意侵犯的性质(如窃取机密信息数据等黑客的行为性质)则不但要发出警报,而且还应该采取防火墙等技术手段及时切断内外网之间的关联,并查找入侵的路径,保留犯罪的证据;如果经过身份的甄别属于正常的进入,系统则要依照正常的程序继续对该用户进行检测。在基于数据挖掘的动态流量数据分析过程之中的模式应用后,都应该对正常模式与非正常模式的应用予以全面的评估,简而言之,如果模式的应用起到了及时报警、阻遏非法侵犯的行为的作用,从而保障了数据信息的安全,就说明这一模式是成功的,起到了应有的效果,反之,则应该在多次试验中予以验证,直至建立起科学的模式。
4结语
在信息化的时代,基于网络侵入技术的不断提升,黑客与病毒对国有企业信息系统攻击事件不断发生,从而使得信息系统在为人们带来便捷的同时,也成为最为脆弱的地方,此时信息系统安全防范技术的运用就显得十分必要,依靠信息系统安全防范技术可以使得国有企业往来的数据信息都处于实时监控的状态,并及时会对入侵产生监测与防御,这就会在一定程度上维护了国有企业往来数据信息的安全。为达此目的,就应该从制定与落实国有企业信息安全制度规范、提升国有企业信息化技术人员的操作水平、应用数据挖掘的信息安全技术这三方面着手,以此促进国有企业信息化建设的信息安全实践健康发展。
参考文献:
[1]秦海峰.企业信息化建设中信息安全问题的分析研究[J].中国信息界,2012,(5).
[2]杜凡.新形式下加强财务信息安全的途径[J].当代经济,2011,(21).
[3]张兆安.信息安全是信息化建设的重要基础[J].上海企业,2013,(11).
信息安全是指计算机网络系统中的硬件、软件和其他数据等不受非法用法的破坏,主要指未经授权的访问者无法使用访问数据和修改数据,而只给授权的用户提供数据服务和可信信息服务,并保证服务的完整性、可信性和机密性。电力信息安全是指供电系统中提供给用户或公司内部员工的数据是安全的、可信的。供电公司管理系统是个繁杂的系统,涉及用电客户和公司内部员工及第三方托管服务公司,系统的信息安全一直是公司发展的瓶颈。正确评估供电公司信息安全系统的合理性和安全性,针对安全风险进行分析,最后制订供电公司信息安全的策略非常重要,也是至关重要的。
2供电企业信息安全的影响因素
尽管供电公司投入了大量的财力、物力建设电网信息安全系统,但供电企业内部网络仍不健全,存在许多安全隐患。另外,供电公司信息化水平不高,信息安全保障措施薄弱也制约了其信息安全系统的建设。要构建一个健全的供电公司信息安全保障体系,就要首先分析供电公司信息安全的影响因素,对症下药,进一步提出供电企业加强信息安全管理的对策。
2.1不可抗拒因素
所谓“不可抗拒因素”,就是由于火灾、水灾、供电、雷电、地震等自然灾害影响,供电公司的供电线路、计算机网络信号、计算机数据等受到破坏,并威胁到供电公司的信息安全。
2.2计算机网络设备因素
供电公司计算机系统中使用大量的网络设备,包括集线器、网络服务器和路由器等,其正常运行关系着供电公司内部网络的正常运行,而计算机网络设备的安全直接关系着供电公司的正常运行。
2.3数据库安全因素
供电公司计算机系统监控用户峰值,管理用电客户信息及其他用户缴费等情况,计算机数据库的系统安全决定了供电企业的调度效率,也决定了供电公司公共信息的安全。供电公司应该使用专用网络设备,确保企业内部网络与外部互联网的隔离。
2.4管理因素
供电公司员工的业务素质和职业修养参差不齐,直接影响到供电公司的网络安全。供电公司应该建立过错追究制度,提高员工的信息化素质,有效防止和杜绝管理因素造成的信息安全问题。
3供电企业加强信息安全管理的对策
3.1提升员工信息安全防患意识
开展信息安全管理工作,并非仅仅是系统使用或者管理部门的事,而是企业所有职工的事,因此,要增强全体员工的信息安全和防患意识。通过采取培训和考核等有力措施,进一步提升全体员工对企业信息安全的认识,让信息安全成为企业日常工作业务的一个组成部分,从而提升企业整体信息安全水平。
3.2采用知识型管理
传统的安全管理大部分采取的是一种硬性的管理手段。在当今知识经济的时代,安全管理应当以知识管理为主,从而使得安全管理措施与手段也越来越知识化、数字化和智能化,促使信息安全管理工作进入一个崭新的阶段。
3.3设置系统用户权限
为了预防非法用户侵入系统,应按照用户不同的级别限制用户的权限,并投入资金开展安全技术督查和安全审计等相关活动。信息安全并非一朝一夕就能完成的事,它需要一个长期的过程才能达到较高的水平,需建立并完善相应的管理制度,从平时的基础工作着手,及时发现问题,汇报问题,分析问题并解决问题。
3.4防范计算机病毒攻击
加速信息安全管控措施的建设,在电力信息化工作中,办公自动化是其中一项非常重要的内容,而核心工作业务就是电子邮件的发送与接收,这也正是计算机病毒一个非常重要的传播渠道。因此,必须大力促进个人终端标准化工作的建设,实现病毒软件的自动更新、自动升级,不得随意下载并安装盗版软件;加强对木马病毒等的安全防范措施,对用户访问实施严格的控制。
3.5完善信息安全应急预案
严格规范信息安全事故通报程序,对于隐瞒信息事件的现象,必须严肃查处。对于国家和企业信息安全运行动态,要及时通报,分析事件,及时信息安全通告。对于己经制定的相关预案和安全措施,必须落到实处。另外,还要进一步加强信息安全技术督查队伍的建设,提高信息安全考核与执行的力度。
3.6建立信息安全保密机制
加强信息安全保密措施的落实,禁止将计算机连接到互联网及其他公共信息网络,完善外部人员访问的相关授权、审批程序。定期组织开展信息系统安全保密的各项检查工作,切实做好文档的登记、存档和解密等环节的工作。
4结束语
