導(dǎo)語(yǔ):在企業(yè)信息安全意識(shí)的撰寫(xiě)旅程中�����,學(xué)習(xí)并吸收他人佳作的精髓是一條寶貴的路徑,好期刊匯集了九篇優(yōu)秀范文����,愿這些內(nèi)容能夠啟發(fā)您的創(chuàng)作靈感,引領(lǐng)您探索更多的創(chuàng)作可能�。
第1篇
>> 企業(yè)移動(dòng)信息化安全不可小覷 移動(dòng)安全:企業(yè)移動(dòng)信息化發(fā)展的保障 警惕移動(dòng)信息化的安全隱患 試論4G時(shí)代的智能終端信息安全 企業(yè)移動(dòng)信息化浪潮 BYOD時(shí)代的移動(dòng)信息安全 關(guān)于3G移動(dòng)信息化平臺(tái)的行業(yè)應(yīng)用研究 4G時(shí)代的移動(dòng)互聯(lián)應(yīng)用研究 4G移動(dòng)互聯(lián)網(wǎng)時(shí)代的思考 基于4G時(shí)代移動(dòng)互聯(lián)網(wǎng)的探討 高校移動(dòng)信息化建設(shè)探討 電力科研企業(yè)移動(dòng)信息化模式研究 企業(yè)移動(dòng)信息化建設(shè)全面加速 助力企業(yè)移動(dòng)信息化轉(zhuǎn)型 智能機(jī)爆棚時(shí)代的企業(yè)移動(dòng)信息化分析 4G移動(dòng)通信技術(shù)的安全缺陷分析 4G移動(dòng)通信系統(tǒng)的安全機(jī)制研究 天暢信息:做企業(yè)移動(dòng)信息化的領(lǐng)跑者 4G網(wǎng)絡(luò)及其應(yīng)用對(duì)城市信息化發(fā)展的促進(jìn) 對(duì)4G移動(dòng)通信技術(shù)的探討 常見(jiàn)問(wèn)題解答 當(dāng)前所在位置:l.
[3] 熊小明,周民立. 電信基礎(chǔ)數(shù)據(jù)網(wǎng)絡(luò)的現(xiàn)狀及發(fā)展分析[J]. 信息網(wǎng)絡(luò), 2005(10): 42-45.
[4] 陳濤,彭勁. 二層MPLS VPN技術(shù)與部署[J]. 廣播電視信息���, 2010(7): 52-54.
[5] 李洪,渠凱. SSL VPN安全方案與發(fā)展趨勢(shì)分析[J]. 電信技術(shù), 2011(1): 72-74.
[6] 易觀智庫(kù). 中國(guó)企業(yè)級(jí)移動(dòng)管理市場(chǎng)專(zhuān)題研究報(bào)告[Z]. 2014.
[ 7 ] 易觀智庫(kù). 中國(guó)手機(jī)安全市場(chǎng)現(xiàn)狀研究報(bào)告2014
[Z]. 2014.
[8] 移動(dòng)信息化. EMM六大移動(dòng)管理元素[EB/OL]. (2015-02-11). .
[9] 移動(dòng)信息化. MDM存缺陷 EMM為BYOD安全護(hù)航
第2篇
關(guān)鍵詞:供水企業(yè)?信息安全?安全管理
中圖分類(lèi)號(hào):F29 文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1672-3791(2012)02(c)-0000-00
1 前言
當(dāng)前,隨著網(wǎng)絡(luò)和信息化建設(shè)的不斷發(fā)展,企業(yè)對(duì)信息網(wǎng)絡(luò)的依賴越來(lái)越強(qiáng),供水企業(yè)也不例外�����。供水企業(yè)信息安全問(wèn)題關(guān)系到供水系統(tǒng)的穩(wěn)定和安全運(yùn)行���。目前�����,供水企業(yè)的信息安全風(fēng)險(xiǎn)主要來(lái)自于兩個(gè)方面,即內(nèi)部和外部的因素。內(nèi)部威脅主要為企業(yè)信息安全管理問(wèn)題���;外部因素主要包括因病毒、黑客���、惡意軟件等造成的數(shù)據(jù)丟失,系統(tǒng)運(yùn)行失常等問(wèn)題。本文圍繞著這兩個(gè)方面的因素���,就供水企業(yè)的信息安全問(wèn)題進(jìn)行探討�。
2 供水企業(yè)面臨的信息安全威脅
2.1 計(jì)算機(jī)病毒的傳播
計(jì)算機(jī)病毒的傳播是帶來(lái)企業(yè)信息安全風(fēng)險(xiǎn)的因素之一。自上世紀(jì)九十年代以來(lái)�����,計(jì)算機(jī)病毒以迅猛的增長(zhǎng)速度危害著個(gè)人用戶和企業(yè)用戶,給企業(yè)和個(gè)人造成了嚴(yán)重的經(jīng)濟(jì)損失。目前����,隨著智能手機(jī)的普及,一種新型的病毒���,即手機(jī)病毒也開(kāi)始威脅到企業(yè)的信息安全���。
2.2 企業(yè)內(nèi)部網(wǎng)絡(luò)受到黑客攻擊
黑客對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)的攻擊是帶來(lái)企業(yè)信息安全風(fēng)險(xiǎn)的因素之二。由于Internet具有自由行和廣泛性,而供水企業(yè)一般又建立了企業(yè)內(nèi)部網(wǎng)絡(luò)���。當(dāng)企業(yè)內(nèi)部網(wǎng)絡(luò)與Internet發(fā)生間接或直接關(guān)聯(lián)的時(shí)候,企業(yè)內(nèi)部網(wǎng)絡(luò)就有可能成為黑客攻擊的目標(biāo),從而泄露或丟失一些重要的企業(yè)信息���,或使企業(yè)內(nèi)部網(wǎng)絡(luò)處于失常或癱瘓的狀態(tài)���。
2.3 企業(yè)安全管理的不足
企業(yè)的信息系統(tǒng)不夠健全,企業(yè)員工的安全意識(shí)薄弱�����,這也是造成企業(yè)信息安全威脅的因素。在信息機(jī)構(gòu)設(shè)置方面�����,供水企業(yè)缺乏規(guī)范的機(jī)構(gòu)體制����,相關(guān)的專(zhuān)業(yè)技術(shù)人員偏少���。同時(shí)��,很多供水企業(yè)對(duì)相關(guān)的專(zhuān)業(yè)技術(shù)人員缺乏系統(tǒng)的專(zhuān)業(yè)培訓(xùn)��,使得企業(yè)員工缺乏必要的安全意識(shí)��,“防黑防毒”意識(shí)淡薄����,對(duì)一些惡意攻擊也缺乏警惕性,有的甚至因?yàn)椴僮魇д`而給各種信息安全威脅帶來(lái)了可能�����。
3 供水企業(yè)信息安全建設(shè)
3.1 采用防水墻技術(shù)
防水墻是保障企業(yè)信息安全的有效手段���。通過(guò)控制進(jìn)出供水企業(yè)網(wǎng)絡(luò)的權(quán)限,監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)流�,檢查所有的數(shù)據(jù)連接�,防水墻技術(shù)可以有效地控制和管理對(duì)企業(yè)網(wǎng)絡(luò)系統(tǒng)的訪問(wèn)控制和安全管理�,隔離和過(guò)濾危險(xiǎn)數(shù)據(jù)包�,防止企業(yè)網(wǎng)絡(luò)受到黑客和病毒的破壞與干擾。同時(shí),由于所有的訪問(wèn)都得通過(guò)防火墻�,防火墻還能實(shí)時(shí)記錄和統(tǒng)計(jì)網(wǎng)絡(luò)訪問(wèn),這對(duì)企業(yè)信息安全管理人員管理維護(hù)企業(yè)網(wǎng)絡(luò)提供了有利條件�。
3.2 采用入侵檢測(cè)技術(shù)
防火墻可以限制對(duì)企業(yè)網(wǎng)絡(luò)系統(tǒng)的非法訪問(wèn)或攻擊,檢測(cè)并防御非法訪問(wèn)。然而�,防火墻無(wú)法防止企業(yè)網(wǎng)絡(luò)內(nèi)部用戶之間的攻擊不經(jīng)過(guò)防火墻�。因此,在采用防火墻的同時(shí)�,有必要用入侵檢測(cè)技術(shù)�。入侵檢測(cè)技術(shù)(Intrusion-detection?system),簡(jiǎn)稱(chēng)IDS,?是一種對(duì)網(wǎng)絡(luò)傳輸進(jìn)行即時(shí)監(jiān)視�,在發(fā)現(xiàn)可疑傳輸時(shí)發(fā)出警報(bào)或者采取主動(dòng)反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。它能夠分析通過(guò)網(wǎng)絡(luò)收集的信息�,檢測(cè)并識(shí)別出惡意行為,及時(shí)有效地發(fā)現(xiàn)網(wǎng)絡(luò)異常,檢測(cè)出網(wǎng)絡(luò)中違反安全策略的行為。如果說(shuō)防火墻是一幢大樓的門(mén)衛(wèi),那么IDS就是這幢大樓里的監(jiān)視系統(tǒng)。一旦小偷爬窗進(jìn)入大樓�,或內(nèi)部人員有越界行為�,只有實(shí)時(shí)監(jiān)視系統(tǒng)才能發(fā)現(xiàn)情況并發(fā)出警告�。除了簡(jiǎn)單的記錄和發(fā)出警報(bào)之外�,IDS還可以進(jìn)行主動(dòng)反應(yīng):打斷會(huì)話,和實(shí)現(xiàn)過(guò)濾管理規(guī)則�。所以說(shuō)�,要確保供水企業(yè)網(wǎng)絡(luò)處于安全的狀態(tài)�,入侵檢測(cè)技術(shù)也是必不可少的,它是防火墻技術(shù)的一個(gè)有效的補(bǔ)充�。
3.3 采用VPN技術(shù)
VPN(Virtual?Private?Network),即虛擬專(zhuān)用網(wǎng)�,是通過(guò)一個(gè)公用網(wǎng)絡(luò)(通常為Internet)建立一個(gè)臨時(shí)的、安全的連接�,是一條穿過(guò)混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道�。它主要是通過(guò)路由器、防火墻技術(shù)�、隧道技術(shù),安全秘鑰以及加密協(xié)議而組建成的Internet?VPN�。它是對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)的擴(kuò)展,通過(guò)VPN可以在企業(yè)分支機(jī)構(gòu)�,合作伙伴�、供應(yīng)商或遠(yuǎn)程用戶與企業(yè)內(nèi)部網(wǎng)絡(luò)之間建立可靠的安全連接�,向他們提供安全而有效的信息服務(wù)�,保證數(shù)據(jù)的安全傳輸,實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)安全通信的虛擬專(zhuān)用線路�,使得外部非法用戶無(wú)法訪問(wèn)公司內(nèi)部信息。與此同時(shí)�,VPN技術(shù)還可以極大降低企業(yè)信息共享的成本。
3.4 加強(qiáng)企業(yè)員工的安全管理
實(shí)現(xiàn)供水企業(yè)的信息安全�,除了做好技術(shù)防護(hù)之外,還得加強(qiáng)企業(yè)內(nèi)部員工的安全管理�。做好技術(shù)防護(hù)并不意味著一勞永逸,企業(yè)員工的信息安全管理也是至關(guān)重要的�。加強(qiáng)企業(yè)關(guān)公的安全管理需做好以下幾點(diǎn):1)增強(qiáng)企業(yè)員工的安全意識(shí)。員工的安全意識(shí)淡薄是造成企業(yè)信息安全風(fēng)險(xiǎn)的一大因素�。為保障企業(yè)信息安全,供水企業(yè)需對(duì)員工進(jìn)行企業(yè)網(wǎng)絡(luò)系統(tǒng)的專(zhuān)業(yè)培訓(xùn)與教育�,掌握信息安全問(wèn)題的基礎(chǔ)知識(shí)與常識(shí),提高對(duì)外部惡意攻擊和病毒的警惕性�,加強(qiáng)安全防護(hù)意識(shí),能及時(shí)發(fā)現(xiàn)并處理常見(jiàn)的安全問(wèn)題�。2)健全企業(yè)信息安全管理規(guī)章制度。根據(jù)供水企業(yè)的實(shí)際情況�,建立健全的信息安全管理制度,如網(wǎng)絡(luò)系統(tǒng)使用規(guī)范�、機(jī)房管理制度�、保密制度�、值班制度、設(shè)備維護(hù)制度等�。企業(yè)員工必須遵照相關(guān)管理制度,明確職責(zé)�,按照相關(guān)用戶口令或操作口令,確保日常操作符合信息安全規(guī)章制度�,最大限度地防止人為失誤或違規(guī)操作帶來(lái)的信息安全問(wèn)題。3)配置專(zhuān)門(mén)的企業(yè)信息安全管理技術(shù)人才�。在互聯(lián)網(wǎng)高速發(fā)展的幾天,沒(méi)有絕對(duì)的信息安全�。企業(yè)需配置專(zhuān)門(mén)的信息安全管理人員,在及時(shí)有效地處理企業(yè)信息安全風(fēng)險(xiǎn)的同時(shí)�,增強(qiáng)企業(yè)信息安全管理的人才儲(chǔ)備,加強(qiáng)信息安全技術(shù)管理隊(duì)伍�,培養(yǎng)弓雖企業(yè)網(wǎng)絡(luò)系統(tǒng)硬件和軟件的開(kāi)發(fā)設(shè)計(jì)人才,掌握保障企業(yè)信息安全的核心技術(shù)�。
4 結(jié) 語(yǔ)
本文以供水企業(yè)為例,對(duì)企業(yè)的信息安全風(fēng)險(xiǎn)進(jìn)行了分析�,認(rèn)為計(jì)算機(jī)病毒的傳播,黑客對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)的攻擊以及企業(yè)在員工安全管理方面的不足是造成供水企業(yè)信息安全問(wèn)題的三大原因�。因此,要保障信息安全�,供水企業(yè)需在技術(shù)和管理兩方面下功夫。在技術(shù)方面�,企業(yè)可采用防火墻技術(shù)�、入侵檢測(cè)技術(shù)和VPN技術(shù)�。在管理層面上,企業(yè)需增強(qiáng)員工的安全意識(shí)�,建立健全企業(yè)信息安全管理規(guī)章制度�,配置專(zhuān)門(mén)的信息安全管理技術(shù)人才。
參考文獻(xiàn)
[1]丁麗川�,曹暉.計(jì)算機(jī)網(wǎng)絡(luò)信息安全探析[J].?科技創(chuàng)新導(dǎo)報(bào).?2010(35):28.
[2]范紅,馮登國(guó).?信息安全風(fēng)險(xiǎn)評(píng)估方法與應(yīng)用[M].?北京:清華大學(xué)出版社�,2006.
第3篇
關(guān)鍵詞:信息安全;管理體系�;PKI/CA;MPLS VPN�;基線
在供電企業(yè)現(xiàn)代信息技術(shù)廣泛運(yùn)用生產(chǎn)經(jīng)營(yíng)、綜合管理之中�,實(shí)現(xiàn)資源和信息共享,為領(lǐng)導(dǎo)提供相關(guān)輔助決策�。保障企業(yè)信息安全是企業(yè)領(lǐng)導(dǎo)層、專(zhuān)業(yè)人員及企業(yè)全員共同面對(duì)的�。信息安全是集管理、人員�、設(shè)備、技術(shù)為一體系統(tǒng)工程�,木桶原理可以很好地詮釋信息安全,一個(gè)企業(yè)安全不取決于最強(qiáng)項(xiàng)�,而取決最短板�。信息安全需從制度建設(shè)�、體系架構(gòu)、一體化防控體系�、人員意識(shí)、專(zhuān)業(yè)人員技術(shù)水平等多方面共同建設(shè)�,才能有效提高企業(yè)信息安全,才能為企業(yè)生產(chǎn)�、經(jīng)營(yíng)保駕護(hù)航。
1基層供電信息安全現(xiàn)狀
基層供電企業(yè)信息安全建設(shè)方面�,在制度建設(shè)、安全分區(qū)�、網(wǎng)絡(luò)架構(gòu)、一體化防護(hù)�、人員意識(shí)、專(zhuān)業(yè)人員技術(shù)水平等多方面存在不同程度問(wèn)題�。
1.1管理制度不健全,制度多重化
信息安全制度建設(shè)方面較為被動(dòng)�,大多數(shù)都是現(xiàn)實(shí)之中出現(xiàn)某一問(wèn)題,然后一個(gè)相關(guān)制度�,制度修修補(bǔ)補(bǔ)。同一類(lèi)問(wèn)題有時(shí)出現(xiàn)不同管理規(guī)定里�,處理辦法不一,甚至發(fā)生沖突�。原有信息安全管理制度寬泛,操作性較差。信息系統(tǒng)建設(shè)渠道不同�,未提前進(jìn)行信息安全方面考慮,管理職責(zé)不明�,導(dǎo)致部分信息安全工作開(kāi)始不順暢。
1.2安全區(qū)域劃分不明�,網(wǎng)絡(luò)架構(gòu)不清晰
基層供電企業(yè)系統(tǒng)建設(shè)主要由上級(jí)推廣系統(tǒng)和自建系統(tǒng),系統(tǒng)建設(shè)時(shí)候相當(dāng)部分系統(tǒng)未充分考慮系統(tǒng)�,特別是業(yè)務(wù)部門(mén)自建系統(tǒng)更甚。網(wǎng)絡(luò)建設(shè)需要什么就連接什么�,存在服務(wù)器�、終端、外聯(lián)區(qū)域不明顯�,網(wǎng)絡(luò)架構(gòu)不清晰。
1.3未建立一體化安全防護(hù)體系
從近些年已經(jīng)發(fā)生的各類(lèi)信息安全事件來(lái)看�,內(nèi)部客戶端問(wèn)題造成超過(guò)將近70%。內(nèi)部終端用戶網(wǎng)絡(luò)行為控制不足�,存在網(wǎng)絡(luò)帶寬濫用;終端接入沒(méi)有相應(yīng)準(zhǔn)入控制�,不滿足網(wǎng)絡(luò)安全需求用戶接入辦公網(wǎng)絡(luò),網(wǎng)絡(luò)環(huán)境安全構(gòu)成極大風(fēng)險(xiǎn)�;內(nèi)部人員對(duì)核心服務(wù)器和網(wǎng)絡(luò)設(shè)備未建立統(tǒng)一內(nèi)部控制機(jī)制;移動(dòng)介質(zhì)未實(shí)施注冊(cè)制管理等問(wèn)題�。
1.4未建立行之有效設(shè)備基線標(biāo)準(zhǔn)
網(wǎng)絡(luò)安全設(shè)備、操作系統(tǒng)�、數(shù)據(jù)庫(kù)、中間件�、應(yīng)用系統(tǒng)等廠家為了某種方便需求�,在設(shè)備和系統(tǒng)中常常保留有默認(rèn)缺省安全配置項(xiàng)�,這些恰恰是別人利用漏洞?;鶎庸╇娖髽I(yè)在部署設(shè)備和系統(tǒng)時(shí),沒(méi)有統(tǒng)一基線標(biāo)準(zhǔn)�,沒(méi)有對(duì)設(shè)備和系統(tǒng)進(jìn)行相應(yīng)基線加固,企業(yè)存在潛在風(fēng)險(xiǎn)�。
1.5信息安全意識(shí)較差,技術(shù)水平參差不齊
企業(yè)信息安全認(rèn)識(shí)存在認(rèn)識(shí)上誤區(qū)�,常常認(rèn)為我們有較強(qiáng)信息安全保護(hù)設(shè)備,外部不易攻破內(nèi)部�,事實(shí)上堡壘常常是從內(nèi)部攻破的。比如企業(yè)員工弱口令�、甚至空口令、共用相同密碼�、木馬、病毒�、企業(yè)機(jī)密泄露等,這恰恰是基層供電企業(yè)全員信息安全意識(shí)較為薄弱表現(xiàn)�。專(zhuān)業(yè)技術(shù)人員缺乏必要自我學(xué)習(xí)和知識(shí)主動(dòng)更新,未取得專(zhuān)門(mén)信息安全專(zhuān)業(yè)人員資質(zhì)�,處理問(wèn)題能力表現(xiàn)參差不齊。
2必要性
信息安全為國(guó)家安全重要組成部門(mén)�,電力企業(yè)信息安全為國(guó)家信息安全的重要元素,電網(wǎng)安全事關(guān)國(guó)計(jì)民生。2014年2月�,國(guó)家成立中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組,將網(wǎng)絡(luò)信息安全提升前所未有高度�。近年發(fā)生的“棱鏡門(mén)”事件,前幾年發(fā)生伊朗核電站“震網(wǎng)”病毒(Stuxnet病毒)網(wǎng)絡(luò)攻擊�,其中一個(gè)關(guān)鍵問(wèn)題就是利用移動(dòng)介質(zhì)擺渡來(lái)進(jìn)行攻擊,造成設(shè)備癱瘓�,這一系列信息安全事件都事關(guān)國(guó)家安全,因此人人都要有信息安全意識(shí)�。首先要防止企業(yè)機(jī)密數(shù)據(jù)(財(cái)務(wù)、人資�、投資、客戶等)泄漏�;其次,保持?jǐn)?shù)據(jù)真實(shí)性和完整性�,錯(cuò)誤的或被篡改的不當(dāng)信息可能會(huì)導(dǎo)致錯(cuò)誤的決策或商業(yè)機(jī)會(huì)甚至信譽(yù)的喪失�;最后,信息的可用性�,防止由于人員、流程和技術(shù)服務(wù)的中斷而影響業(yè)務(wù)的正常運(yùn)作�,業(yè)務(wù)賴以生存的關(guān)鍵系統(tǒng)如失效,不能得到及時(shí)有效恢復(fù)�,會(huì)造成重大損失。建立嚴(yán)格的訪問(wèn)控制�,前面數(shù)據(jù)分級(jí)時(shí)有制定數(shù)據(jù)的“所有者”及給敏感數(shù)據(jù)進(jìn)行分級(jí),按照分級(jí)的要求制定嚴(yán)格的訪問(wèn)控制策略,基本的思想是最小特權(quán)原則和權(quán)限分離原則�。最少特權(quán)是給定使用者最低的只需完成其工作任務(wù)的權(quán)限;權(quán)限分離原則是將不同的工作職能分開(kāi)�,只給相關(guān)職能有必要讓其知道的內(nèi)容訪問(wèn)權(quán)限。通過(guò)對(duì)內(nèi)部網(wǎng)絡(luò)行為的監(jiān)控可以規(guī)范內(nèi)部的上網(wǎng)行為�,提高工作效率,保護(hù)企業(yè)有限網(wǎng)絡(luò)資源應(yīng)用于主要生產(chǎn)經(jīng)營(yíng)上來(lái)�。
3特點(diǎn)探析
通過(guò)我們對(duì)基層供電企業(yè)在信息安全存在問(wèn)題及必要性來(lái)看,主要是管理制度�、網(wǎng)絡(luò)信息安全技術(shù)、人員意識(shí)等方面存在問(wèn)題�,有以下特點(diǎn)。
3.1管理制度方面
常說(shuō)信息安全“三方技術(shù)�、七分管理”,制度建設(shè)對(duì)信息安全保障至關(guān)重要�。信息安全管理制度應(yīng)該有上級(jí)主管部門(mén)建立一套統(tǒng)一管理制度,基層供電企業(yè)遵照?qǐng)?zhí)行�,可以根據(jù)各單位具體情況進(jìn)一步細(xì)化,讓管理制度落地�。從企業(yè)總體信息安全方針到具體專(zhuān)業(yè)制度管理上,實(shí)現(xiàn)全網(wǎng)一體化�,規(guī)范化。
3.2網(wǎng)絡(luò)信息安全技術(shù)方面
上級(jí)專(zhuān)業(yè)主管部門(mén)�,站在企業(yè)高度,制定專(zhuān)業(yè)技術(shù)標(biāo)準(zhǔn)和技術(shù)細(xì)則�。從網(wǎng)絡(luò)安全分區(qū)�、網(wǎng)絡(luò)技術(shù)架構(gòu)�、互聯(lián)網(wǎng)接入和訪問(wèn)方式、終端安全管理�、網(wǎng)絡(luò)準(zhǔn)入控制等方面統(tǒng)一規(guī)劃,分布實(shí)施�,最終實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)信息安全防控一體化。
3.3信息安全意識(shí)培養(yǎng)方面
企業(yè)員工信息安全意識(shí)培養(yǎng)是個(gè)長(zhǎng)期的過(guò)程�,不是通過(guò)一次兩次培訓(xùn)就能解決的,采取形式多樣化方式來(lái)培養(yǎng)員工安全意識(shí)�,可以通過(guò)集中培訓(xùn)講課、視頻宣傳�、張貼宣傳畫(huà)等方式進(jìn)行。針對(duì)專(zhuān)業(yè)人員�,要讓他們養(yǎng)成按照制度辦事習(xí)慣,用戶需要申請(qǐng)某項(xiàng)資源�,嚴(yán)格按照制度執(zhí)行,填寫(xiě)相應(yīng)資源申請(qǐng)�,有時(shí)候領(lǐng)導(dǎo)打招呼也要按照制度流程來(lái)執(zhí)行。長(zhǎng)此以往�,人人都會(huì)知道自己該做什么�,不該做什么,該怎么做�,企業(yè)信息安全意識(shí)就會(huì)得到極大提高。
3.4專(zhuān)業(yè)技術(shù)人員水平方面
信息安全技術(shù)日新月異�,不學(xué)習(xí)就落后�,不斷收集信息安全方面信息�,共同討論相關(guān)話題,建立相應(yīng)培訓(xùn)機(jī)制�,專(zhuān)業(yè)人員實(shí)行持證上崗,提升專(zhuān)業(yè)人員實(shí)際解決問(wèn)題能力�,有效提高人員專(zhuān)業(yè)素養(yǎng),成為企業(yè)信息安全方面專(zhuān)家�。
4實(shí)施和開(kāi)展
從2009年開(kāi)始,先后進(jìn)行一系列信息安全建設(shè)�,涉及到信息安全制度建設(shè)、網(wǎng)絡(luò)信息安全體系架構(gòu)�、信息安全保障服務(wù)、人員培訓(xùn)等方面�,整體提高基層供電企業(yè)信息安全狀況。
4.1信息安全制度建設(shè)
2010年開(kāi)始信息安全體系ISO27001�、27002建設(shè),結(jié)合企業(yè)情況�,形成30個(gè)信息安全相關(guān)文件,涵蓋企業(yè)信息安全方針�、等級(jí)保護(hù)、人員管理�、機(jī)房管理、網(wǎng)絡(luò)信息系統(tǒng)運(yùn)行維護(hù)管理�、終端安全、病毒防護(hù)�、介質(zhì)管理�、數(shù)據(jù)管理�、日志管理、教育培訓(xùn)等諸多方面�。2013年為進(jìn)一步提示公司信息化管理水平,先后增加修改建設(shè)管理�、實(shí)用化管理、項(xiàng)目管理�、信息安全管理、運(yùn)維管理�、綜合管理5個(gè)方面14個(gè)管理細(xì)則。經(jīng)過(guò)這一系列制度建設(shè)�,基層供電企業(yè)有章可循,全網(wǎng)信息安全依據(jù)統(tǒng)一�,明確短板情況。
4.2建設(shè)一體化網(wǎng)絡(luò)與信息安全防控
首先依據(jù)電監(jiān)會(huì)5號(hào)文件要求�,網(wǎng)絡(luò)架構(gòu)按照三層四區(qū)原則進(jìn)行部署建設(shè),生產(chǎn)實(shí)時(shí)控制大區(qū)(Ⅰ�、Ⅱ區(qū))與信息管理大區(qū)(Ⅲ、Ⅳ區(qū))之間采用國(guó)家強(qiáng)制認(rèn)證單向數(shù)據(jù)隔離裝置進(jìn)行強(qiáng)制隔離�,網(wǎng)絡(luò)架構(gòu)采用核心、匯聚�、接入部署。網(wǎng)絡(luò)接入按照功能劃分服務(wù)器區(qū)�、網(wǎng)管區(qū)�、核心交換區(qū)�、用戶辦公區(qū)�、外聯(lián)區(qū)、互聯(lián)網(wǎng)接入?yún)^(qū)�,在綜合數(shù)據(jù)網(wǎng)上,利用MPLSVPN�,根據(jù)劃分不同VPN業(yè)務(wù)、隔離相互間數(shù)據(jù)交叉�。建立全網(wǎng)PKI/CA系統(tǒng),構(gòu)建企業(yè)員工在企業(yè)數(shù)字身份認(rèn)證系統(tǒng)�,已建成系統(tǒng)進(jìn)行未采用PKI登陸系統(tǒng),進(jìn)行相應(yīng)改造結(jié)合PKI/CA系統(tǒng)�,采用PKI登陸,在建系統(tǒng)用戶登陸必須集成PKI登陸�。根據(jù)企業(yè)信息安全要求,進(jìn)行互聯(lián)網(wǎng)統(tǒng)一出口�,部署統(tǒng)一互聯(lián)網(wǎng)防控設(shè)備,建立統(tǒng)一上網(wǎng)行為管理策略�,規(guī)范員工上網(wǎng)行為,合理使用有限互聯(lián)網(wǎng)資源�,審計(jì)員工上網(wǎng)日志,以備不時(shí)之需�。建立企業(yè)統(tǒng)一病毒防護(hù)系統(tǒng),實(shí)現(xiàn)病毒軟件統(tǒng)一安裝�,病毒庫(kù)自動(dòng)更新,防護(hù)策略統(tǒng)一下發(fā)�,定期統(tǒng)計(jì)病毒分布情況�,同時(shí)作為終端接入內(nèi)網(wǎng)必備選項(xiàng)�,對(duì)終端病毒態(tài)勢(shì)比較嚴(yán)重用戶進(jìn)行督促整改,有效防止病毒在企業(yè)內(nèi)部蔓延�,進(jìn)一步進(jìn)化內(nèi)網(wǎng)環(huán)境。建立統(tǒng)一網(wǎng)絡(luò)邊界安全防護(hù)�,在企業(yè)內(nèi)網(wǎng)邊界合理部署防火墻、IPS�、UTM,并將其產(chǎn)生日志發(fā)送到統(tǒng)一安全管理平臺(tái)�,進(jìn)行日志管理分析,展現(xiàn)企業(yè)內(nèi)部信息安全態(tài)勢(shì)�,預(yù)警企業(yè)內(nèi)部信息安全存在問(wèn)題。利用AD域或PKI/CA進(jìn)行用戶身份認(rèn)證�,建設(shè)統(tǒng)一桌面管理,所有內(nèi)網(wǎng)用戶必須滿足最基本防病毒�、安全助手、IT監(jiān)控要求方可接入內(nèi)網(wǎng)�,系統(tǒng)啟用強(qiáng)制安全策略,終端采用采用DHCP�,用戶不能自動(dòng)修改IP地址,在DHCP服務(wù)器上實(shí)現(xiàn)IP與MAC地址及人員綁定�,杜絕用戶私自更換IP地址引起沖突。安全認(rèn)證方面可以采用NACC或交換機(jī)802.1x方式進(jìn)行�,不滿足要求用戶,自動(dòng)重定向到指定網(wǎng)站進(jìn)行安全合規(guī)性檢查,滿足要求后自動(dòng)接入內(nèi)網(wǎng)�,強(qiáng)制所有用戶采用統(tǒng)一網(wǎng)絡(luò)安全準(zhǔn)入規(guī)則。實(shí)行移動(dòng)介質(zhì)注冊(cè)制�,極大提高終端安全性�,有效保護(hù)企業(yè)信息資產(chǎn)。建立內(nèi)部運(yùn)維控制機(jī)制�,實(shí)現(xiàn)4A統(tǒng)一安全管理,認(rèn)證�、賬號(hào)、授權(quán)�、審計(jì)集中管控。規(guī)劃統(tǒng)一服務(wù)器�、網(wǎng)絡(luò)設(shè)備資源池,按照用戶需求�,提交相應(yīng)申請(qǐng)材料,授權(quán)訪問(wèn)特定設(shè)備和資源�,并對(duì)用戶訪問(wèn)行為全程記錄審計(jì)。
5結(jié)語(yǔ)
第4篇
一�、目前企業(yè)網(wǎng)絡(luò)信息安全管理中存在的問(wèn)題
目前各級(jí)供電企業(yè)對(duì)信息安全日趨重視,但主要側(cè)重于防備外來(lái)未授權(quán)用戶的非訪問(wèn)�,并過(guò)于注重如防火墻、入侵檢測(cè)等技術(shù)問(wèn)題�,忽略了信息安全中人的管理,造成了幾個(gè)突出問(wèn)題:
1�、人員安全意識(shí)淡薄
由于系統(tǒng)的專(zhuān)業(yè)教育與培訓(xùn)不足,許多專(zhuān)業(yè)技術(shù)人員仍然抱著“防火墻等于安全”的僥幸心理,缺乏“防黑防毒”的意識(shí)和內(nèi)部員工操作失誤或惡意攻擊的警惕性�,對(duì)信息安全采取的防護(hù)措施非常簡(jiǎn)單。大多數(shù)信息系統(tǒng)使用員工對(duì)信息安全知識(shí)和技能掌握不夠�,認(rèn)為信息安全只是技術(shù)部門(mén)的事,安全防護(hù)意識(shí)不強(qiáng)�。
2、網(wǎng)絡(luò)信息機(jī)構(gòu)不健全
有些供電企業(yè)沒(méi)有專(zhuān)門(mén)的信息技術(shù)運(yùn)行機(jī)構(gòu)或沒(méi)有規(guī)范的建制和崗位�,人員配置又偏少,而且信息系統(tǒng)架構(gòu)的分散也導(dǎo)致人力資源不集中�,信息戰(zhàn)線拉得大長(zhǎng),幾乎沒(méi)有時(shí)間關(guān)注信息安全�。由于IT技術(shù)發(fā)展很快,基層信息技術(shù)人員得不到相應(yīng)的培訓(xùn)�,難以對(duì)日新月異的IT技術(shù)中有關(guān)主機(jī)、操作系統(tǒng)�、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)�、存儲(chǔ)、安全等方面作全面的了解和掌握�,運(yùn)行維護(hù)能力低下,系統(tǒng)安全監(jiān)控不到位�。
3、網(wǎng)絡(luò)信息安全管理專(zhuān)業(yè)化程度不夠
大多數(shù)基層供電公司缺乏專(zhuān)門(mén)的信息安全監(jiān)督管理機(jī)構(gòu)�,或者沒(méi)有配備專(zhuān)業(yè)的信息安全監(jiān)督管理人員,或者只設(shè)兼職�。由于缺乏信息安全管理專(zhuān)業(yè)知識(shí)和技能,對(duì)信息安全特殊性認(rèn)識(shí)不足,難于發(fā)揮有效的信息安全監(jiān)督管理�,使信息安全管理工作處于一種似管非管或基本不管的真空狀態(tài)。
4�、管理制度滯后且執(zhí)行不力
隨著國(guó)網(wǎng)公司集中集成工作的展開(kāi)和信息網(wǎng)絡(luò)基礎(chǔ)建設(shè)不斷加強(qiáng),原有的信息安全管理制度已相對(duì)滯后�,而且有些制度不完全適合基層實(shí)際,個(gè)別條款操作性較差�,難于執(zhí)行�,這就造成制度執(zhí)行不力、有章不循�、違規(guī)操作,這些都增加了信息安全風(fēng)險(xiǎn)�。
二、加強(qiáng)企業(yè)網(wǎng)絡(luò)信息安全管理的幾點(diǎn)建議
1�、加強(qiáng)全員網(wǎng)絡(luò)信息安全意識(shí)教育
通過(guò)普及信息安全知識(shí)教育,提高企業(yè)員工網(wǎng)絡(luò)信息安全知識(shí)和安全意識(shí)�,掌握發(fā)現(xiàn)、解決某些常見(jiàn)安全問(wèn)題的能力�。信息安全教育的具體內(nèi)容一般應(yīng)包括以下內(nèi)容:(1)信息安全所面臨的風(fēng)險(xiǎn);
(2)企業(yè)信息安全方針及目標(biāo)�;
(3)企業(yè)安全管理規(guī)章制度;
(4)與信息安全有關(guān)的其它內(nèi)容�。通過(guò)安全教育使所有員工增強(qiáng)整體信息系統(tǒng)的安全防護(hù)意識(shí)。
2�、加強(qiáng)企業(yè)員工相應(yīng)技能培訓(xùn)
為了確保企業(yè)員工在日常工作過(guò)程中具有保護(hù)企業(yè)信息安全方面的能力,應(yīng)當(dāng)加強(qiáng)對(duì)員工計(jì)算機(jī)安全技能培訓(xùn),教育員工平時(shí)應(yīng)做到所有操作應(yīng)符合規(guī)定�、不得向他人泄露自己的操作口令、不訪問(wèn)陌生的網(wǎng)站�、不瀏覽或打開(kāi)一些來(lái)歷不明的郵件及附件、外來(lái)光盤(pán)�、U盤(pán)等存儲(chǔ)設(shè)備須先殺毒后使用、發(fā)現(xiàn)問(wèn)題立即通知技術(shù)人員處理等基本的安全技能�。
3、健全信息技術(shù)部門(mén)建設(shè)
根據(jù)需要合理配置信息技術(shù)人員�,加強(qiáng)信息技術(shù)隊(duì)伍建設(shè),明確機(jī)房管理員�、網(wǎng)絡(luò)管理員、應(yīng)用系統(tǒng)管理員�、數(shù)據(jù)庫(kù)管理員、防病毒管理員�、運(yùn)行維護(hù)員等崗位配置,重要崗位設(shè)置A�、B崗,落實(shí)崗位職責(zé)具體到人�。對(duì)技術(shù)人員應(yīng)注重技術(shù)培訓(xùn),可以定期或不定期參加各種針對(duì)性的技術(shù)培訓(xùn)�,增強(qiáng)技術(shù)儲(chǔ)備力度。
4�、加強(qiáng)信息安全規(guī)章制度建設(shè)
建立健全適應(yīng)企業(yè)實(shí)際的安全管理制度是信息安全管理的前提。標(biāo)準(zhǔn)化的安全管理�,能夠克服傳統(tǒng)管理中個(gè)人的主觀意志驅(qū)動(dòng)的管理模式�。應(yīng)在對(duì)企業(yè)信息安全評(píng)估下�,根據(jù)單位實(shí)際情況,遵照上級(jí)有關(guān)規(guī)定�,制定出切實(shí)可行、全面的安全管理制度�。如:保密制度、機(jī)房管理制度�、網(wǎng)絡(luò)運(yùn)行管理制度、應(yīng)用系統(tǒng)運(yùn)行管理制度�、設(shè)備維護(hù)工作制度、值班制度�、計(jì)算機(jī)系統(tǒng)使用規(guī)范等�,管理制度應(yīng)明確描述所有信息技術(shù)人員以及信息系統(tǒng)使用人員的信息安全職責(zé)和信息系統(tǒng)日常使用規(guī)范,規(guī)范信息系統(tǒng)操作流程�,減少人為失誤。
5�、建立安全監(jiān)督保證體系
成立安全領(lǐng)導(dǎo)小組,由分管領(lǐng)導(dǎo)抓信息安全工作�,并設(shè)置一個(gè)獨(dú)立于信息技術(shù)部門(mén)的信息安全管理監(jiān)督部門(mén)作為企業(yè)的信息安全日常管理機(jī)構(gòu)�,根據(jù)信息系統(tǒng)安全需要設(shè)定安全事務(wù)的職位,負(fù)責(zé)企業(yè)范圍內(nèi)信息安全監(jiān)督管理工作�。各部門(mén)應(yīng)配備計(jì)算機(jī)技能較強(qiáng)的信息安全專(zhuān)兼職人員,負(fù)責(zé)所在部門(mén)信息安全制度的落實(shí)和執(zhí)行�,形成良好的信息安全監(jiān)督保證體系�。
6�、加強(qiáng)信息安全考核力度
第5篇
關(guān)鍵詞:石油企業(yè);信息安全;管理手段
0引言
隨著信息化建設(shè)進(jìn)程飛速發(fā)展�,作為信息載體的計(jì)算機(jī)�、互聯(lián)網(wǎng)已在企業(yè)生產(chǎn)�、經(jīng)營(yíng)管理各個(gè)層面得到廣泛應(yīng)用。計(jì)算機(jī)網(wǎng)絡(luò)的開(kāi)放性�、靈活性和廣泛性在全面數(shù)字化的今天給經(jīng)營(yíng)管理帶來(lái)了便捷、高效�、有序的工作環(huán)境,同時(shí)也帶來(lái)了較大的安全管理隱患�。黑客的出現(xiàn)、安全漏洞的增多�、管理的交叉混亂、惡意的網(wǎng)絡(luò)攻擊使網(wǎng)絡(luò)安全管理遭受了較大的沖擊�,成為信息化健康發(fā)展的絆腳石。網(wǎng)絡(luò)信息管理疏于安全的防范將危及到企業(yè)生產(chǎn)經(jīng)濟(jì)的有序發(fā)展�。石油企業(yè)在國(guó)民經(jīng)濟(jì)中發(fā)揮著重要作用,任何風(fēng)險(xiǎn)都可能導(dǎo)致國(guó)家經(jīng)濟(jì)受到重大影響�。因此�,提高石油企業(yè)信息安全意識(shí),加強(qiáng)信息管理應(yīng)以保瘴服務(wù)和應(yīng)用為目標(biāo)�,強(qiáng)化安全意識(shí)、制定周密的安全手段從而構(gòu)建完善的信息安全管理體系�。
1加強(qiáng)企業(yè)信息管理的必要性
1.1企業(yè)信息管理概念
企業(yè)信息管理是通過(guò)現(xiàn)代化的信息技術(shù)和設(shè)備,以網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)設(shè)備實(shí)現(xiàn)企業(yè)管理的自動(dòng)化�,進(jìn)而對(duì)企業(yè)進(jìn)行全方位和多角度的管理,以此來(lái)促進(jìn)企業(yè)生產(chǎn)�、經(jīng)營(yíng)管理的優(yōu)化配置,進(jìn)而通過(guò)企業(yè)資源的開(kāi)發(fā)和信息技術(shù)的有效利用來(lái)提高企業(yè)的管理水平�,增強(qiáng)企業(yè)的核心競(jìng)爭(zhēng)力�。企業(yè)信息管理的主要內(nèi)容�,一般包括企業(yè)未來(lái)的經(jīng)濟(jì)形勢(shì)分析�、預(yù)測(cè)資料�、資源的可獲量�、市場(chǎng)和競(jìng)爭(zhēng)對(duì)手的發(fā)展動(dòng)向�,以及政府政策與政治情況的環(huán)境變化等等�。企業(yè)信息管理與制訂企業(yè)發(fā)展戰(zhàn)略�、制訂規(guī)劃、合理地分配資源是密切相關(guān)的�。同時(shí),企業(yè)的信息管理也應(yīng)當(dāng)包括企業(yè)內(nèi)部的信息資源�,如財(cái)務(wù)管理信息、物資庫(kù)存�、鉆井施工、職工檔案管理等多方面的內(nèi)容�,并且促進(jìn)企業(yè)的全面發(fā)展。
1.2企業(yè)信息安全管理的必要性
企業(yè)信息的存在方式有著多樣性�,而進(jìn)行企業(yè)安全信息管理的主要目的,在于保護(hù)企業(yè)的信息安全�,保證企業(yè)能夠順利的參與到市場(chǎng)經(jīng)濟(jì)活動(dòng)中,進(jìn)而提高企業(yè)的經(jīng)濟(jì)效益和社會(huì)效益�,構(gòu)筑起信息安全管理系統(tǒng)的保密性�、完整性�、可用性、可維護(hù)性�、可驗(yàn)證性的目標(biāo),使企業(yè)安全信息管理能夠通過(guò)有效的控制措施來(lái)實(shí)現(xiàn)�。第一,企業(yè)管理的信息具有很強(qiáng)的保密性和完整性的特點(diǎn)�,因此其對(duì)于企業(yè)的生產(chǎn)勢(shì)力、科技含量�、資金流動(dòng)、企業(yè)的綜合競(jìng)爭(zhēng)力等多方面都有著重要的影響�,同時(shí)對(duì)于企業(yè)的商業(yè)形象與合法經(jīng)營(yíng)也至關(guān)重要,因此加強(qiáng)企業(yè)信息安全管理是必要的�。第二,由于網(wǎng)絡(luò)自身所具有的開(kāi)放性特性�,決定了企業(yè)信息管理也面臨著來(lái)自各方面的安全威脅,比如計(jì)算機(jī)病毒�、黑客等,以及計(jì)算機(jī)詐騙�、泄密等問(wèn)題�,也說(shuō)明了加強(qiáng)企業(yè)信息安全管理勢(shì)在必行�。第三�,企業(yè)對(duì)于信息系統(tǒng)產(chǎn)生的依賴也從另一方面暴露出了信息管理系統(tǒng)的脆弱�,公共網(wǎng)絡(luò)與私人網(wǎng)絡(luò)的連接增強(qiáng)了信息的控制難度,使得信息在分散化的管理模式下�,集中、專(zhuān)業(yè)控制的有效性大大減弱�。另外,由于很多信息管理系統(tǒng)設(shè)計(jì)的缺陷�,其自身就存在著不合理之處,這對(duì)于信息安全管理也帶來(lái)了一定的難度�。基于此�,對(duì)于企業(yè)信息管理的安全性也成為了當(dāng)前企業(yè)管理面臨的一個(gè)重大課題。
2加強(qiáng)企業(yè)信息管理安全的防范措施
2.1不斷完善信息管理系統(tǒng)
隨著企業(yè)信息化的發(fā)展,目前應(yīng)用的管理系統(tǒng)有PKI�、郵箱、AD域�、普OA、合同系統(tǒng)�、A6、ERP�、網(wǎng)絡(luò)、操作系統(tǒng)�、A7、檔案系統(tǒng)�、物采系統(tǒng)、OSC�、視頻會(huì)議、企業(yè)微信�、門(mén)戶網(wǎng)站、寶石花�、數(shù)字營(yíng)房、會(huì)議保障�、E2、一體化�、RTX、移動(dòng)應(yīng)用�、短信平臺(tái)。信息系統(tǒng)的連續(xù)穩(wěn)定運(yùn)行越來(lái)越重要�,一旦系統(tǒng)中斷,將會(huì)給企業(yè)的生產(chǎn)經(jīng)營(yíng)管理帶來(lái)混亂�,而數(shù)據(jù)一旦丟失,后果是不可估量的�。為此,信息管理系統(tǒng)的投入和使用�,是建立在充分的實(shí)踐經(jīng)驗(yàn)的基礎(chǔ)上,通過(guò)一段時(shí)間的運(yùn)行和觀察�,才能夠投入使用。在不同的部門(mén)進(jìn)行信息系統(tǒng)的引入時(shí)�,應(yīng)當(dāng)按照部門(mén)的實(shí)際情況,通過(guò)多方引進(jìn)�,使用統(tǒng)一的信息管理系統(tǒng)。對(duì)于信息安全來(lái)說(shuō)�,首先要解決的就是系統(tǒng)是否能夠通過(guò)安全驗(yàn)證對(duì)用戶進(jìn)行有效的管理,并且賦予不同等級(jí)的用戶不同的使用權(quán)限�,這樣則能夠有效的防止無(wú)權(quán)訪問(wèn)信息的用戶對(duì)核心區(qū)域的訪問(wèn),保證信息不會(huì)被盜用�。同時(shí),為保證信息系統(tǒng)的連續(xù)穩(wěn)定運(yùn)行�,應(yīng)采用雙機(jī)服務(wù)器和從服務(wù)器。一旦發(fā)生服務(wù)器故障�,由從服務(wù)器自動(dòng)接替主服務(wù)器工作。
2.2有效的設(shè)備管理
設(shè)備安全主要涉及到由于自然災(zāi)害�、人為因素造成的數(shù)據(jù)丟失。信息安全應(yīng)建設(shè)完善的容災(zāi)備份系統(tǒng)�,容災(zāi)備份系統(tǒng)一般由兩個(gè)數(shù)據(jù)中心構(gòu)成,主中心和備份中心。通過(guò)異地?cái)?shù)據(jù)備份�,實(shí)時(shí)地將主中心數(shù)據(jù)拷貝至備份中心存儲(chǔ)系統(tǒng)中,使主中心存儲(chǔ)數(shù)據(jù)與備份中心數(shù)據(jù)完全保持一致�。同時(shí),對(duì)于管理系統(tǒng)中使用的設(shè)備品牌�、機(jī)型、內(nèi)部配置以及使用時(shí)間等信息都要進(jìn)行專(zhuān)門(mén)的記錄�,通過(guò)這些記錄,定期對(duì)設(shè)備進(jìn)行維護(hù)�,同時(shí)也能夠通過(guò)這些信息判斷出信息的使用效率以及運(yùn)行情況,對(duì)于設(shè)備的損壞或者是丟失情況都能夠及時(shí)地了解�。
2.3加強(qiáng)對(duì)人員的監(jiān)督與管理
企業(yè)信息安全不單純是技術(shù)問(wèn)題,而是一個(gè)綜合性的問(wèn)題�。其中最重要的因素是人,人是設(shè)備的主要操作者�,因此對(duì)于信息的安全管理,就需要加強(qiáng)對(duì)人的管理�,需要操作人員具有足夠的安全意識(shí),對(duì)于每一位操作人員進(jìn)行相關(guān)的培訓(xùn)�,對(duì)于唯一的用戶名和密碼等信息要進(jìn)行妥善保管,同時(shí)讓操作人員認(rèn)識(shí)到泄密會(huì)導(dǎo)致的嚴(yán)重后果�,增強(qiáng)責(zé)任意識(shí)。只有通過(guò)不斷地學(xué)習(xí)及意識(shí)的培養(yǎng)�,管理人員才能養(yǎng)成定期維護(hù)、按時(shí)打補(bǔ)丁�、及時(shí)更新的操作習(xí)慣�,以不變應(yīng)萬(wàn)變的態(tài)度應(yīng)對(duì)各種網(wǎng)絡(luò)攻擊手段�。通過(guò)不斷的加強(qiáng)過(guò)程管理,通過(guò)對(duì)每個(gè)細(xì)節(jié)的嚴(yán)密審查�,能夠有效減少人為出錯(cuò)的現(xiàn)象�,同時(shí)通過(guò)科學(xué)的評(píng)價(jià)機(jī)制和激勵(lì)機(jī)制,刺激人員工作的積極性�,加強(qiáng)自身的責(zé)任意識(shí)。
2.4網(wǎng)絡(luò)傳輸安全
第6篇
關(guān)鍵詞:信息化 信息安全 網(wǎng)絡(luò)安全
根據(jù)國(guó)家統(tǒng)計(jì)局年初公布的數(shù)字顯示�,國(guó)內(nèi)企業(yè)總體的99%都是中小企業(yè),他們貢獻(xiàn)了超過(guò)一半的國(guó)內(nèi)GDP�。但截止到目前,這些中小企業(yè)的信息化水平仍然比較落后�,其中針對(duì)信息安全的投人,更是鳳毛麟角�。
對(duì)于國(guó)內(nèi)占大多數(shù)的中小企業(yè)來(lái)說(shuō),如何在充分利用信息化優(yōu)勢(shì)的同時(shí)�,更好地保護(hù)自身的信息資產(chǎn),已經(jīng)成為一個(gè)嚴(yán)峻的挑戰(zhàn)�。特別是近兩年來(lái),網(wǎng)絡(luò)上的病毒�、攻擊事件頻發(fā),信息安全問(wèn)題正在日益成為中小企業(yè)信息化進(jìn)程中的難題�。
一、什么是信息安全
信息是一種資產(chǎn)�,與其它重要的資產(chǎn)一樣�,它對(duì)一個(gè)組織而言具有一定的價(jià)值�,因此需要適當(dāng)?shù)募右员Wo(hù),而信息又可以以多種形式存在�。如可以打印或者寫(xiě)在紙上,以數(shù)字化的方式存儲(chǔ)�,通過(guò)郵局郵寄或電子手段發(fā)送,表現(xiàn)在膠片上或以談話的方式說(shuō)出來(lái)�。總之�,信息無(wú)論以什么形式存在,以什么方式存儲(chǔ)�、傳輸或共享,都應(yīng)得到恰當(dāng)?shù)谋Wo(hù)�。
所謂信息安全是指信息具有如下特征:
安全性:確保信息僅可讓授權(quán)獲取的人士訪問(wèn);完整性:保護(hù)信息和處理方法的準(zhǔn)確和完善�;可用性:確保授權(quán)人需要時(shí)可以獲取信息和相應(yīng)的資產(chǎn)。
信息安全是指使信息避免一系列威脅�,保障商務(wù)的連續(xù)性,最大限度地減少業(yè)務(wù)的損失�,從而最大限度地獲取投資和商務(wù)的回報(bào)。它主要涉及到信息傳輸?shù)陌踩?、信息存?chǔ)的安全、以及網(wǎng)絡(luò)傳輸信息內(nèi)容的審計(jì)三個(gè)方面�,它可以通過(guò)實(shí)施一整套恰當(dāng)?shù)拇胧﹣?lái)獲得。但目前我國(guó)的信息安全令人堪憂�,隨著政府上網(wǎng)和企業(yè)信息化的推進(jìn)�,越來(lái)越多的企業(yè)的日常業(yè)務(wù)已經(jīng)無(wú)法脫離網(wǎng)絡(luò)和信息技術(shù)的支持�,那么我國(guó)中小企業(yè)的信息安全現(xiàn)狀如何呢?
二、我國(guó)企業(yè)信息安全的現(xiàn)狀
(一)企業(yè)的重視程度
隨著信息化的加快�,企業(yè)信息安全越來(lái)越受到重視,而我國(guó)的中小企業(yè)信息安全現(xiàn)階段正處于初級(jí)階段�。在推進(jìn)企業(yè)信息化的進(jìn)程中,有些中小企業(yè)對(duì)于信息化概念的認(rèn)識(shí)遠(yuǎn)遠(yuǎn)不夠�,它們認(rèn)為購(gòu)置幾臺(tái)電腦放到公司�,日常用來(lái)打打字,將單個(gè)機(jī)器連結(jié)到網(wǎng)上企業(yè)就信息化了�,遠(yuǎn)遠(yuǎn)沒(méi)有認(rèn)識(shí)到信息技術(shù)給企業(yè)所能帶來(lái)的巨大的變化,對(duì)于網(wǎng)絡(luò)安全更是沒(méi)有意識(shí)�。
據(jù)調(diào)查,目前國(guó)內(nèi)90%的網(wǎng)站存在安全問(wèn)題�,其主要原因是企業(yè)管理者缺少或沒(méi)有安全意識(shí)。某些企業(yè)網(wǎng)絡(luò)管理員甚至認(rèn)為其公司規(guī)模較小�,不會(huì)成為黑客的攻擊目標(biāo)。如此態(tài)度�,網(wǎng)絡(luò)安全更是無(wú)從談起。
(二)資金�、技術(shù)、人員方面情況
已建立了企業(yè)內(nèi)部信息化平臺(tái)的企業(yè)�,由于資金、技術(shù)等方面的原因�,還沒(méi)有把重點(diǎn)放到網(wǎng)絡(luò)安全管理上�,尤其是中小企業(yè)的安全問(wèn)題一直隱患重重�。
據(jù)了解,許多中小企業(yè)沒(méi)有專(zhuān)門(mén)的網(wǎng)絡(luò)管理員�,一般采用兼職管理方式,這使中小企業(yè)的網(wǎng)絡(luò)管理在安全性方面存在嚴(yán)重的漏洞�,與大型企業(yè)相比,它們更容易受到網(wǎng)絡(luò)病毒的侵害�,損失也比較嚴(yán)重。
根據(jù)IDC對(duì)2005年我國(guó)政府�、企業(yè)用戶的信息安全狀況分析,約有34.8%的企業(yè)因內(nèi)部雇員的行為(包括對(duì)內(nèi)部資源的不合理使用和對(duì)內(nèi)部數(shù)據(jù)缺乏有效保護(hù))而造成企業(yè)出現(xiàn)安全問(wèn)題�。
(三)網(wǎng)絡(luò)維護(hù)、運(yùn)行�、升級(jí)方面的情況
在網(wǎng)絡(luò)的維護(hù)、運(yùn)行�、升級(jí)等事務(wù)性工作方面,由于工作繁重而且成本較高�,一些善于精打細(xì)算的中小企業(yè)在防范黑客及病毒方面舍不得投入,據(jù)相關(guān)調(diào)查數(shù)據(jù)資料統(tǒng)計(jì)�,國(guó)內(nèi)七成以上的中小企業(yè),一是缺乏基本的企業(yè)防毒知識(shí)�,購(gòu)買(mǎi)一些單機(jī)版防毒產(chǎn)品來(lái)防護(hù)整個(gè)企業(yè)網(wǎng)絡(luò)的安全。二是采購(gòu)了并不適合自身網(wǎng)絡(luò)系統(tǒng)的企業(yè)防毒產(chǎn)品�,因此留下許多安全隱患。三是技術(shù)力量薄弱�,雖然部署了企業(yè)防毒產(chǎn)品�,但是這些產(chǎn)品操作難度大�、使用復(fù)雜,最終導(dǎo)致很難全面發(fā)揮效用�,甚至成了擺設(shè),這樣一來(lái)企業(yè)內(nèi)部網(wǎng)絡(luò)就根本沒(méi)有什么安全而言�。
三、如何保證我國(guó)中小企業(yè)的信息安全
(一)從企業(yè)的自身情況考慮
要解決中小企業(yè)網(wǎng)絡(luò)信息安全問(wèn)題�,不能僅依靠企業(yè)的安全設(shè)施和網(wǎng)絡(luò)安全產(chǎn)品,而應(yīng)該考慮如何提高企業(yè)自身的網(wǎng)絡(luò)安全意識(shí)�,將信息安全問(wèn)題提升到重視的高度,要重視“人”的因素�。具體表現(xiàn)在以下兩個(gè)方面:
1.提高安全認(rèn)識(shí)
定期對(duì)企業(yè)員工進(jìn)行網(wǎng)絡(luò)安全教育培訓(xùn)深化企業(yè)的全員信息安全意識(shí)�,企業(yè)管理層要制定完整的信息安全策略并貫徹執(zhí)行,對(duì)安全問(wèn)題要做到預(yù)先考慮和防備�。
2.要求中小企業(yè)在上網(wǎng)的過(guò)程中要做到“一做三不要”
(1)將存有重要數(shù)據(jù)的電腦堅(jiān)決同網(wǎng)絡(luò)隔離,同時(shí)設(shè)置開(kāi)機(jī)密碼�,并將軟驅(qū)、硬盤(pán)加密鎖定�,進(jìn)行三級(jí)保護(hù)。
(2)不要在自己的系統(tǒng)之內(nèi)使用任何具有記憶命令的程序�,因?yàn)檫@些程序不但能記錄用戶的擊鍵動(dòng)作甚至能以快照的形式記錄到屏幕上發(fā)生的一切。
(3)不在網(wǎng)上的任何場(chǎng)合下隨意透露自己企業(yè)的任何安全信息�。
(4)不要啟動(dòng)系統(tǒng)資源共享功能,最后要盡量減少企業(yè)資源暴露在外部網(wǎng)上的機(jī)會(huì)和次數(shù)�,減少黑客進(jìn)攻的機(jī)會(huì)�。
(二)從網(wǎng)絡(luò)安全角度考慮
1.從網(wǎng)絡(luò)安全服務(wù)商的角度來(lái)說(shuō)�,服務(wù)商要重視中小企業(yè)對(duì)網(wǎng)絡(luò)安全解決方案的需要,充分考慮中小企業(yè)的現(xiàn)實(shí)狀況�,仔細(xì)調(diào)查和分析中小企業(yè)的安全因素,開(kāi)發(fā)出適合中小企業(yè)實(shí)際情況的網(wǎng)絡(luò)安全綜合解決方案�。此外,還應(yīng)該注意投入大量精力在安全策略的施行及安全教育的開(kāi)展方面�,這樣才能為中小企業(yè)信息安全工作的順利開(kāi)展提供堅(jiān)實(shí)的保證。
2.要用防火墻將企業(yè)的局域網(wǎng)(Intranet)與互聯(lián)網(wǎng)之間進(jìn)行隔離�。由于網(wǎng)絡(luò)攻擊不斷升級(jí),對(duì)應(yīng)的防火墻軟件也應(yīng)該及時(shí)跟著升級(jí)�,這樣就要求我們企業(yè)的網(wǎng)管人員要經(jīng)常到有關(guān)網(wǎng)站上下載最新的補(bǔ)丁程序,以便進(jìn)行網(wǎng)絡(luò)維護(hù)�,同時(shí)經(jīng)常掃描整個(gè)內(nèi)部網(wǎng)絡(luò),以發(fā)現(xiàn)任何安全隱患并及時(shí)更改�,才能做到有備無(wú)患。
3.企業(yè)用戶最好自己學(xué)會(huì)如何調(diào)試和管理自己的局域網(wǎng)系統(tǒng)�,不要經(jīng)常請(qǐng)別人來(lái)協(xié)助管理�。中小企業(yè)要培養(yǎng)自己解決安全問(wèn)題的能力,提高自己的信息安全技術(shù)�。如果缺乏這方面的人才就應(yīng)該去引進(jìn)或者培養(yǎng)相關(guān)人才。
4.內(nèi)部網(wǎng)絡(luò)系統(tǒng)的密碼要定期修改�。
第7篇
【關(guān)鍵詞】電力企業(yè);網(wǎng)絡(luò)信息安全�;管理
新時(shí)代是網(wǎng)絡(luò)信息時(shí)代,全世界信息網(wǎng)絡(luò)系統(tǒng)都在迅猛發(fā)展中�。電力企業(yè)作為各行業(yè)中重中之重的國(guó)家基礎(chǔ)行業(yè),整個(gè)行業(yè)都對(duì)網(wǎng)絡(luò)信息系統(tǒng)有著極大的依賴性�,網(wǎng)絡(luò)信息系統(tǒng)也以它快速、全面�、及時(shí)的優(yōu)點(diǎn)給電力企業(yè)帶來(lái)了極大的經(jīng)濟(jì)效益。但是網(wǎng)絡(luò)信息系統(tǒng)所帶來(lái)的不僅是經(jīng)濟(jì)效益�,同樣還有信息泄露的巨大風(fēng)險(xiǎn),一旦發(fā)生信息泄露或信息數(shù)據(jù)遭篡改�����,將為國(guó)家造成不可估計(jì)的經(jīng)濟(jì)損失�����。
近年來(lái)全球范圍內(nèi)計(jì)算機(jī)犯罪活動(dòng)猖獗�����,不斷發(fā)生黑客入侵�����、電腦病毒肆虐事件�����,給電力企業(yè)敲響了警鐘�����,網(wǎng)絡(luò)安全防范刻不容緩�����。很多受害者的網(wǎng)絡(luò)硬件及軟件技術(shù)都處于時(shí)展的主流�����,然而依然發(fā)生信息安全受損事件�����,這充分證明�����,僅僅依靠軟硬件的更新是不能很好的提升網(wǎng)絡(luò)信息安全水平的,除了安裝網(wǎng)絡(luò)安全產(chǎn)品�����,同樣重要的還有網(wǎng)絡(luò)信息的安全管理措施�����。所以�����,各電力企業(yè)都必須認(rèn)真面對(duì)和研究當(dāng)前網(wǎng)絡(luò)信息安全問(wèn)題�����,及時(shí)采取合理有效的防范措施�����。
1�����、我國(guó)電力企業(yè)網(wǎng)絡(luò)信息安全現(xiàn)狀
1.1電力企業(yè)信息化的優(yōu)勢(shì)
進(jìn)入二十一世紀(jì)以來(lái)�����,隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展�����,我國(guó)電力企業(yè)的信息化也有著很大的進(jìn)步:電力行業(yè)信息化設(shè)施較其他行業(yè)更完善�����,各電力企業(yè)主要崗位使用計(jì)算機(jī)工作的比率已經(jīng)基本達(dá)到100%�����,而且90%以上都建立起了覆蓋本部機(jī)關(guān)工作的局域網(wǎng)�����;電力生產(chǎn)�����、調(diào)度自動(dòng)化系統(tǒng)廣泛應(yīng)用�����,已經(jīng)形成了較成熟的管理模式。其中發(fā)電生產(chǎn)自動(dòng)化監(jiān)控系統(tǒng)�����、電力調(diào)度SCADA系統(tǒng)等�����,大大提高了生產(chǎn)過(guò)程和電力調(diào)度的自動(dòng)化水平�����;電力營(yíng)銷(xiāo)管理系統(tǒng)在全國(guó)各大電力企業(yè)廣泛應(yīng)用�����,各地(市)級(jí)電力企業(yè)都已實(shí)現(xiàn)業(yè)務(wù)受理計(jì)算機(jī)化�����。同時(shí)各地也在大力建設(shè)客戶服務(wù)中心�����,已經(jīng)有一批服務(wù)中心先行初步建立起來(lái)�����;國(guó)家電網(wǎng)公司及其下各級(jí)子公司開(kāi)發(fā)應(yīng)用了電力生產(chǎn)�����、設(shè)備安檢�����、電力負(fù)荷及營(yíng)銷(xiāo)管理的企業(yè)管理信息系統(tǒng)�����,各大電力企業(yè)也在積極規(guī)劃企業(yè)信息化發(fā)展藍(lán)圖�����,大力進(jìn)行企業(yè)信息化建設(shè)�����,推動(dòng)實(shí)現(xiàn)電力工業(yè)現(xiàn)代化進(jìn)程�����。
1.2當(dāng)前存在的問(wèn)題
上述信息化優(yōu)勢(shì)證明我國(guó)電力企業(yè)近年來(lái)關(guān)于網(wǎng)絡(luò)信息化建設(shè)取得了一些成果,給行業(yè)信息化建設(shè)打下了良好的基礎(chǔ)�����,但在網(wǎng)絡(luò)信息安全管理方面仍普遍存在較多問(wèn)題�����。
1.2.1信息化機(jī)構(gòu)建設(shè)不健全�����。電力企業(yè)很少為信息管理部門(mén)專(zhuān)門(mén)設(shè)置機(jī)構(gòu)�����,因而缺乏應(yīng)有的規(guī)范的崗位及建制�����。大多信息部門(mén)附屬在技術(shù)部�����、科技部或總經(jīng)理工作部門(mén)下,甚至僅設(shè)置一個(gè)專(zhuān)責(zé)人員負(fù)責(zé)�����。信息化管理是一項(xiàng)系統(tǒng)性的工程�����,沒(méi)有專(zhuān)門(mén)的部門(mén)負(fù)責(zé)是不能滿足現(xiàn)代企業(yè)信息化安全的需求的�����。
1.2.2企業(yè)管理阻礙信息化發(fā)展�����。有些電力企業(yè)管理辦法革新緩慢�����,大多采用較落后的�����、非現(xiàn)代信息化企業(yè)的管理模式�����。這樣的企業(yè)即便引入最完善的信息管理系統(tǒng)�����、最先進(jìn)的信息化設(shè)備�����,也只能受落后的企業(yè)管理模式所制約�����,無(wú)法發(fā)揮其應(yīng)有的作用�����。
1.2.3網(wǎng)絡(luò)結(jié)構(gòu)不合理�����。電力企業(yè)大多將公司網(wǎng)絡(luò)分為外網(wǎng)和內(nèi)網(wǎng)�����,兩種網(wǎng)絡(luò)之間實(shí)行物理隔離措施,但很多企業(yè)的網(wǎng)絡(luò)交換機(jī)是一臺(tái)二層交換機(jī)�����,決定了內(nèi)網(wǎng)和外網(wǎng)用戶在網(wǎng)絡(luò)中地位是平等的�����,導(dǎo)致安全問(wèn)題只能靠完善管理系統(tǒng)去解決�����,給系統(tǒng)編寫(xiě)帶來(lái)很多不必要的困難�����。
1.2.4身份認(rèn)證缺陷�����。電力企業(yè)一般只建立內(nèi)部使用的信息系統(tǒng)�����,而企業(yè)內(nèi)部不同管理部門(mén)�����、不同層次員工有不同等級(jí)的授權(quán)�����,根據(jù)授權(quán)等級(jí)不同決定各部門(mén)和員工訪問(wèn)的數(shù)據(jù)和信息不同�����。這類(lèi)授權(quán)是以身份認(rèn)證為基礎(chǔ)的信息訪問(wèn)控制�����,但在當(dāng)前的企業(yè)身份認(rèn)證系統(tǒng)中大多存在缺陷和漏洞�����,給信息安全留下隱患�����。
1.2.5軟件系統(tǒng)安全風(fēng)險(xiǎn)較大�����。軟件系統(tǒng)安全風(fēng)險(xiǎn)指兩方面,一是編寫(xiě)的各種應(yīng)用系統(tǒng)可能有漏洞造成安全風(fēng)險(xiǎn)�����,二是操作系統(tǒng)本身風(fēng)險(xiǎn)�����,隨著近期微軟停止對(duì)windows XP系統(tǒng)的服務(wù)支持�����,大量使用windows XP系統(tǒng)的信息管理軟件都將得不到系統(tǒng)漏洞的修補(bǔ)�����,這無(wú)疑會(huì)給信息安全帶來(lái)極大風(fēng)險(xiǎn)�����。
1.2.6管理人員意識(shí)不足�����。很多電力企業(yè)員工網(wǎng)絡(luò)安全意識(shí)參差不齊�����,一方面是時(shí)代的迅速發(fā)展導(dǎo)致較年輕的管理人員安全意識(shí)較高�����,而對(duì)網(wǎng)絡(luò)接觸較少的中老年員工網(wǎng)絡(luò)安全意識(shí)較為缺乏�����;另一方面也有電力企業(yè)管理制度不夠完善�����、忽視對(duì)員工進(jìn)行及時(shí)培訓(xùn)的原因�����。在這種人員背景下�����,如果管理人員配備不當(dāng)�����、信息管理系統(tǒng)設(shè)置不合理都會(huì)給企業(yè)信息埋下安全隱患。
2�����、電力企業(yè)網(wǎng)絡(luò)信息安全管理措施
要建立完善合理的網(wǎng)絡(luò)信息安全管理體系�����,需要各企業(yè)認(rèn)清企業(yè)現(xiàn)狀�����,根據(jù)實(shí)際進(jìn)行統(tǒng)一規(guī)劃�����,分部建設(shè)�����,保證建設(shè)內(nèi)容能科學(xué)有效的運(yùn)行�����。
2.1加強(qiáng)信息安全教育培訓(xùn)
不論計(jì)算機(jī)程序有多么先進(jìn)多么完善�����,如果操作管理人員素質(zhì)和意識(shí)不足�����,那也不能保證企業(yè)信息化的安全�����。因此�����,實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)信息安全管理的根本在人�����,可以根據(jù)員工職責(zé)分層次進(jìn)行培訓(xùn)�����,一方面提高安全管理員工的專(zhuān)業(yè)知識(shí)水平及安全管理意識(shí)�����,另一方面加強(qiáng)對(duì)一線工作人員的安全意識(shí)教育,將網(wǎng)絡(luò)信息安全變?yōu)槠髽I(yè)文化和精神支柱的一部分�����。
2.2完善管理制度建設(shè)
電力企業(yè)要把網(wǎng)絡(luò)信息安全管理視為一個(gè)系統(tǒng)工程來(lái)考慮�����,必須在企業(yè)內(nèi)部建立起合理而完善的管理制度�����,比如:加強(qiáng)網(wǎng)絡(luò)日志管理�����;對(duì)安全審計(jì)數(shù)據(jù)嚴(yán)格管理�����;在企業(yè)網(wǎng)絡(luò)上安裝病毒防護(hù)軟件�����;規(guī)定不能隨意在內(nèi)網(wǎng)主機(jī)上下載互聯(lián)網(wǎng)數(shù)據(jù)�����、不能在內(nèi)網(wǎng)計(jì)算機(jī)上隨意使用來(lái)歷不明的移動(dòng)存儲(chǔ)設(shè)備等�����。
2.3不斷更新完善信息安全管理系統(tǒng)
大力推進(jìn)信息安全新技術(shù)的探索和應(yīng)用�����,建立信息安全防護(hù)體系�����,可以圍繞數(shù)據(jù)庫(kù)安全�����、數(shù)據(jù)備份和恢復(fù)�����、網(wǎng)絡(luò)服務(wù)完全�����、病毒防護(hù)系統(tǒng)的應(yīng)用、數(shù)據(jù)加密技術(shù)及數(shù)據(jù)傳輸安全等方面建立一個(gè)多方面多層次聯(lián)合的技術(shù)安全體系�����,從而提高信息系統(tǒng)安全防護(hù)能力�����,確保企業(yè)信息安全可靠�����。
3�����、總結(jié)
電力企業(yè)信息化是不可避免的發(fā)展趨勢(shì)�����,因此要實(shí)現(xiàn)企業(yè)的可持續(xù)發(fā)展就必須做好企業(yè)信息網(wǎng)絡(luò)安全的管理�����,電力企業(yè)要在不斷的探索實(shí)踐中,摸索新時(shí)期網(wǎng)絡(luò)信息安全管理措施�����,不斷完善和健全網(wǎng)絡(luò)信息安全建設(shè)�����。
參考文獻(xiàn)
[1]王雋.電力企業(yè)網(wǎng)絡(luò)信息安全防護(hù)體系的建立[J].信息與電腦(理論版)�����,2012�����,07:22-23.
第8篇
1.1信息安全管理有效性測(cè)量目的
信息安全管理有效性測(cè)量的根本目的�����,是評(píng)估企業(yè)信息安全管理的真實(shí)水平�����。在企業(yè)建立信息系統(tǒng)時(shí)�����,通常都會(huì)依據(jù)企業(yè)的發(fā)展需要�����、組織結(jié)構(gòu)�����、信息組成�����、利益關(guān)系�����、安全標(biāo)準(zhǔn)等方面的要求�����,來(lái)設(shè)定企業(yè)信息系統(tǒng)的安全管理目標(biāo)�����,構(gòu)筑相應(yīng)的安全管理體系和措施。對(duì)企業(yè)信息安全管理有效性進(jìn)行測(cè)量�����,不僅可以對(duì)企業(yè)信息安全管理目標(biāo)實(shí)現(xiàn)程度進(jìn)行科學(xué)準(zhǔn)確的評(píng)估�����,還能準(zhǔn)確地評(píng)測(cè)企業(yè)信息安全管理系統(tǒng)的效能�����,作為企業(yè)信息安全管理考核的依據(jù)�����。實(shí)際上�����,如果不進(jìn)行有效性測(cè)量�����,只依賴于信息系統(tǒng)安全測(cè)量標(biāo)準(zhǔn)來(lái)評(píng)估企業(yè)信息系統(tǒng)安全管理水平�����,將會(huì)造成極大的誤差�����,甚至產(chǎn)生很多安全漏洞�����,使企業(yè)實(shí)際信息安全管理水平與所需達(dá)到的水平相差甚遠(yuǎn)�����,如果僅依賴于表面的數(shù)據(jù)將使這些漏洞和不足無(wú)法得到有效的解決�����,造成巨大的信息安全隱患�����。通過(guò)有效性測(cè)量�����,能更好地找出企業(yè)信息安全管理需要改進(jìn)的地方,充分反應(yīng)企業(yè)信息安全管理存在的問(wèn)題和嚴(yán)重程度�����,為企業(yè)信息安全管理工作的改進(jìn)提供依據(jù)�����。
1.2信息安全管理有效性測(cè)量指標(biāo)
信息安全管理不僅是國(guó)內(nèi)企業(yè)的需要�����,也是國(guó)外企業(yè)的需要�����,相對(duì)來(lái)說(shuō)�����,國(guó)外在信息安全管理方面的水平更高�����。目前�����,在國(guó)際上普遍采用ISO/IEC27002作為信息安全管理標(biāo)準(zhǔn)�����,以此來(lái)實(shí)施信息安全管理�����,這一標(biāo)準(zhǔn)是當(dāng)前最權(quán)威和最科學(xué)的信息安全管理標(biāo)準(zhǔn)�����,在這一標(biāo)準(zhǔn)中從信息安全方針�����、組織�����、管理等方面�����,提出了100余個(gè)控制措施,信息安全管理中可以根據(jù)企業(yè)的需要選擇相應(yīng)的措施進(jìn)行信息安全管理�����,該標(biāo)準(zhǔn)所提出的措施�����,基本覆蓋了企業(yè)信息安全管理的各個(gè)方面�����。在構(gòu)建信息安全管理有效性測(cè)量指標(biāo)體系時(shí)�����,也可以按照ISO/IEC27002標(biāo)準(zhǔn)進(jìn)行�����,將測(cè)量?jī)?nèi)容分解為管理控制�����、運(yùn)行控制�����、技術(shù)控制3個(gè)方面�����,并根據(jù)企業(yè)實(shí)際情況采用具有代表性�����、可測(cè)量的指標(biāo)建立起測(cè)量指標(biāo)集�����,對(duì)這些指標(biāo)實(shí)施情況進(jìn)行采集分析�����,再通過(guò)專(zhuān)家咨詢?cè)u(píng)測(cè)最終得到企業(yè)信息安全管理有效性的具體指標(biāo)�����,評(píng)估企業(yè)信息安全達(dá)到的水平�����,找出企業(yè)信息安全管理的不足。
2測(cè)量方法和指標(biāo)計(jì)算
2.1測(cè)量方法
在信息安全管理有效性測(cè)量中�����,應(yīng)當(dāng)對(duì)指標(biāo)進(jìn)行量化處理�����,最終形成量化測(cè)量結(jié)果�����。不同的指標(biāo)�����,所采用的測(cè)量方法并不相同�����,通常采用的測(cè)量方法有風(fēng)險(xiǎn)分析�����、風(fēng)險(xiǎn)評(píng)估�����、問(wèn)卷調(diào)查�����、個(gè)人訪談�����、內(nèi)部審核�����、報(bào)表統(tǒng)計(jì)�����、滲透性測(cè)試�����、內(nèi)外對(duì)比等方法�����。對(duì)不同的指標(biāo)采用相應(yīng)的測(cè)量方法進(jìn)行測(cè)量后�����,得到各指標(biāo)的基本測(cè)度結(jié)果�����,再運(yùn)用不同的技術(shù)對(duì)所獲得的基本測(cè)度結(jié)果進(jìn)行取值�����,賦予不同指標(biāo)以不同的安全風(fēng)險(xiǎn)權(quán)重�����,最終算出企業(yè)信息安全管理有效性水平�����。例如在信息安全管理控制方面�����,需要對(duì)信息系統(tǒng)安全性�����,信息處理�����、信息傳輸�����、信息存儲(chǔ)安全性進(jìn)行評(píng)價(jià)�����,并評(píng)估這些風(fēng)險(xiǎn)可能對(duì)企業(yè)資產(chǎn)造成的威脅以及威脅程度�����,結(jié)合安全問(wèn)題所涉及的資產(chǎn)價(jià)值來(lái)判斷可能造成的影響�����,以評(píng)估信息安全管理控制的有效性�����,這其中,就需要將信息安全管理控制分解為多個(gè)指標(biāo)進(jìn)行測(cè)量�����,并根據(jù)對(duì)資產(chǎn)價(jià)值的影響能力賦予不同的權(quán)重和取值�����,才能最終確定出企業(yè)信息安全管理控制方面的有效性水平�����。再如在信息安全管理運(yùn)行有效性方面�����,需要對(duì)人員安全�����、安全意識(shí)�����、環(huán)境安全、業(yè)務(wù)聯(lián)系�����、事件管理等進(jìn)行有效性評(píng)估�����,其中人員安全包括各個(gè)人員的安全評(píng)級(jí)和安全管理情況�����,安全意識(shí)包括企業(yè)安全教育�����、人員安全技術(shù)水平等�����,環(huán)境安全包括物理安全環(huán)境�����、技術(shù)安全環(huán)境等�����。
2.2指標(biāo)計(jì)算
在信息安全管理有效性測(cè)量中�����,各指標(biāo)的在安全管理有效性中的權(quán)重并不相同�����,因此信息安全管理有效性測(cè)量結(jié)果�����,不是對(duì)各指標(biāo)的測(cè)量結(jié)果進(jìn)行簡(jiǎn)單相加�����,而是要對(duì)不同的指標(biāo)賦予不同的權(quán)重�����,構(gòu)建起評(píng)測(cè)矩陣�����,并充分考慮各指標(biāo)之間的聯(lián)系賦值,如極端重要�����、強(qiáng)烈重要�����、明顯重要�����、稍微重要等�����,根據(jù)不同指標(biāo)的權(quán)重進(jìn)行重要性排序后�����,對(duì)其特征向量進(jìn)行求解�����,確定各指標(biāo)在企業(yè)信息安全管理中的影響能力�����。各指標(biāo)的權(quán)重�����,并沒(méi)有統(tǒng)一的標(biāo)準(zhǔn)�����,也不可能簡(jiǎn)單地借鑒其他企業(yè)的測(cè)量權(quán)重�����,根據(jù)不同企業(yè)有不同的特點(diǎn)�����,在進(jìn)行測(cè)量時(shí)�����,應(yīng)當(dāng)有相當(dāng)數(shù)量的專(zhuān)家參與權(quán)重賦值�����,在消除偶然因素的影響后建立起符合企業(yè)特點(diǎn)的指標(biāo)權(quán)重體系,得出較為科學(xué)合理的指標(biāo)權(quán)重�����,這樣才能使最重的測(cè)量結(jié)果更為科學(xué)合理�����。
3結(jié)束語(yǔ)
第9篇
摘要:隨著計(jì)算機(jī)技術(shù)與通信技術(shù)的高速發(fā)展�����,信息安全在企業(yè)中扮演著越來(lái)越重要的角色�����,為此�����,筆者從企業(yè)信息系統(tǒng)所面臨的安全威脅以及企業(yè)信息系統(tǒng)安全運(yùn)行應(yīng)當(dāng)采取的防范措施兩方面進(jìn)行了探討�����。
關(guān)鍵詞:信息系統(tǒng)安全�����;防火墻技術(shù)�����;防范
隨著計(jì)算機(jī)技術(shù)與通信技術(shù)的飛速發(fā)展,信息安全已成為制約企業(yè)發(fā)展的瓶頸技術(shù),進(jìn)而使得企業(yè)對(duì)信息系統(tǒng)安全的依賴性達(dá)到了空前的程度,但是企業(yè)在享受著信息系統(tǒng)給公司帶來(lái)巨大經(jīng)濟(jì)效益的同時(shí),也面臨著非常大的安全風(fēng)險(xiǎn)�����。一旦企業(yè)信息系統(tǒng)受到攻擊而遭遇癱瘓,整個(gè)企業(yè)就會(huì)陷入危機(jī)的境地�����。特別是近幾年來(lái)全球范圍內(nèi)的計(jì)算機(jī)犯罪,病毒泛濫,黑客入侵等幾大問(wèn)題,使得企業(yè)信息系統(tǒng)安全技術(shù)受到了嚴(yán)重的威脅�����。因此,這就使得企業(yè)必須重新審視當(dāng)前信息系統(tǒng)所面臨的安全問(wèn)題,并從中找到針對(duì)企業(yè)的行之有效的安全防范技術(shù)�����。為此,筆者首先分析了現(xiàn)代企業(yè)所面臨的信息系統(tǒng)安全問(wèn)題,然后提出了企業(yè)應(yīng)當(dāng)采取的相應(yīng)防范措施�����。
1企業(yè)信息系統(tǒng)所面臨的安全威脅
企業(yè)在信息系統(tǒng)的實(shí)際操作過(guò)程中,威脅是普遍存在且不可避免的。一般來(lái)說(shuō)威脅就是企業(yè)所面臨的潛在的安全隱患�����。個(gè)人電腦只通過(guò)一個(gè)簡(jiǎn)易的應(yīng)用便可以滿足普通用戶的要求,但是企業(yè)的信息系統(tǒng)一般都要充當(dāng)多個(gè)角色,基本上都得為多個(gè)部門(mén)提供服務(wù),其中任何一個(gè)局部的隱患都可能給整體的安全性帶來(lái)致命的打擊�����。正是由于企業(yè)信息安全系統(tǒng)本身所固有的這些缺陷,必然會(huì)導(dǎo)致病毒與黑客的容易盛行�����。目前�����,影響企業(yè)系統(tǒng)安全的因素各種各樣�����,但是其主要的威脅可以歸結(jié)為以下幾個(gè)方面:
①黑客的蓄意攻擊:隨著信息技術(shù)的普及�����,企業(yè)一般都會(huì)利用互聯(lián)網(wǎng)接入來(lái)加速提高本公司業(yè)務(wù)與工作績(jī)效,黑客的惡意攻擊行為無(wú)疑會(huì)成為阻礙這一進(jìn)程發(fā)展最大也最嚴(yán)重的威脅�����。其中�����,有來(lái)自競(jìng)爭(zhēng)公司的幕后黑手,或者來(lái)自對(duì)本企業(yè)有怨恨情緒的員工�����,以及對(duì)該企業(yè)持不滿態(tài)度的顧客等,出于不同目的或報(bào)復(fù)情緒都可能對(duì)企業(yè)網(wǎng)絡(luò)進(jìn)行破壞與盜竊�����。另外,一個(gè)更嚴(yán)重的問(wèn)題——網(wǎng)絡(luò)敲詐,正有逐步提升的趨勢(shì)�����。許多不法分子利用木馬�����、病毒�����、間諜軟件,或者dos攻擊等非法方式對(duì)企業(yè)網(wǎng)絡(luò)進(jìn)行破壞或盜用企業(yè)數(shù)據(jù),并以此作為向企業(yè)敲詐勒索的交換條件,由于大部分企業(yè)普遍存在著信息安全環(huán)等薄弱問(wèn)題,因此很多企業(yè)都成為這種違法行為最大的受害者。
②病毒木馬的破壞:現(xiàn)今的互聯(lián)網(wǎng)已基本成為了一個(gè)病毒肆虐生長(zhǎng)繁殖的土壤,幾乎每一天都會(huì)有上百種新的病毒或者木馬產(chǎn)生,而在很大部分企業(yè)中,安全技術(shù)不足�����,管理設(shè)備松散�����、員工安全意識(shí)淡薄等問(wèn)題的存在進(jìn)一步滋長(zhǎng)了病毒�����、蠕蟲(chóng)�����、木馬等的危害,嚴(yán)重時(shí)甚至有可能造成整個(gè)企業(yè)網(wǎng)絡(luò)的癱瘓,導(dǎo)致企業(yè)業(yè)務(wù)無(wú)法正常進(jìn)行�����。
③員工對(duì)信息網(wǎng)的誤用:如企業(yè)技術(shù)員工由于安全配置不當(dāng)引起的安全漏洞,員工安全意識(shí)薄弱,用戶密碼選擇不恰當(dāng),將自己的賬戶名與口令隨意告訴他人或與別人共享都會(huì)對(duì)信息系統(tǒng)安全帶來(lái)威脅�����。
④技術(shù)缺陷:由于當(dāng)前人類(lèi)認(rèn)知能力和技術(shù)發(fā)展的有限性,要想使硬件和軟件設(shè)計(jì)都達(dá)到完美沒(méi)有缺陷,基本上不可能�����。其次,網(wǎng)絡(luò)硬件�����、軟件產(chǎn)品多數(shù)依靠進(jìn)口等這些隱患都可能可造成網(wǎng)絡(luò)的安全問(wèn)題�����。
2企業(yè)信息系統(tǒng)安全運(yùn)行的防范措施
企業(yè)信息系統(tǒng)安全運(yùn)行的防范措施是企業(yè)信息系統(tǒng)高效運(yùn)行的方針,其能在很大程度上確保信息系統(tǒng)安全有效的運(yùn)行�����。相應(yīng)的企業(yè)安全運(yùn)行的措施一般可以分為以下幾類(lèi):
①安全認(rèn)證機(jī)制:安全認(rèn)證機(jī)制是確保企業(yè)信息系統(tǒng)安全的一種常用技術(shù),主要用來(lái)防范對(duì)系統(tǒng)進(jìn)行主動(dòng)攻擊的惡意行為�����。安全認(rèn)證,一方面需要驗(yàn)證信息發(fā)送者的真實(shí)性,防止出現(xiàn)不真實(shí);另一方面可以防止信息在傳送或存儲(chǔ)過(guò)程中被篡改�����、重放或延遲的可能�����。一般來(lái)說(shuō),安全認(rèn)證的實(shí)用技術(shù)主要由身份識(shí)別技術(shù)和數(shù)字簽名技術(shù)組成�����。
②數(shù)據(jù)的加密以及解密:數(shù)據(jù)的加密與解密主要是用來(lái)防止存儲(chǔ)介質(zhì)的非法被竊或拷貝,以及信息傳輸線路因遭竊聽(tīng)而造成一些重要數(shù)據(jù)的泄漏,故在系統(tǒng)中應(yīng)對(duì)重要數(shù)據(jù)進(jìn)行加密存儲(chǔ)與傳輸?shù)劝踩C艽胧?����。加密是把企業(yè)數(shù)據(jù)轉(zhuǎn)換成不能直接辨識(shí)與理解的形式;而解密是加密的逆行式即把經(jīng)過(guò)加密以后的信息�����、數(shù)據(jù)還原為原來(lái)的易讀形式�����。
③入侵檢測(cè)系統(tǒng)的配備:入侵檢測(cè)系統(tǒng)是最近幾年來(lái)才出現(xiàn)的網(wǎng)絡(luò)安全技術(shù),它通過(guò)提供實(shí)時(shí)的入侵檢測(cè),監(jiān)視網(wǎng)絡(luò)行為并進(jìn)而來(lái)識(shí)別網(wǎng)絡(luò)的入侵行為,從而對(duì)此采取相應(yīng)的防護(hù)措施�����。
④采用防火墻技術(shù):防火墻技術(shù)是為了確保網(wǎng)絡(luò)的安全性而在內(nèi)部和外部之間構(gòu)建的一個(gè)保護(hù)層�����。其不但能夠限制外部網(wǎng)對(duì)內(nèi)部網(wǎng)的訪問(wèn),同時(shí)也能阻止內(nèi)部網(wǎng)絡(luò)對(duì)外部網(wǎng)中一些不健康或非法信息的訪問(wèn)�����。
⑤加強(qiáng)信息管理:在企業(yè)信息系統(tǒng)的運(yùn)行過(guò)程中,需要要對(duì)全部的信息進(jìn)行管理,對(duì)經(jīng)營(yíng)活動(dòng)中的物理格式和電子格式的信息進(jìn)行分類(lèi)并予以控制,將所有抽象的信息記錄下來(lái)并存檔�����。
3結(jié)語(yǔ)
總之�����,企業(yè)信息系統(tǒng)的安全問(wèn)題將會(huì)越來(lái)越得到人們的重視,其不但是一個(gè)技術(shù)難,同時(shí)更是一個(gè)管理安全的問(wèn)題�����。企業(yè)信息系統(tǒng)安全建設(shè)是一個(gè)非常復(fù)雜的系統(tǒng)工程�����。因此,企業(yè)必須綜合考慮各種相關(guān)因素,制定合理的目標(biāo)�����、規(guī)劃相應(yīng)的技術(shù)方案等。筆者相信�����,信息安全技術(shù)必將隨著網(wǎng)絡(luò)技術(shù)與通信技術(shù)的發(fā)展而不斷得到完善�����。
參考文獻(xiàn):
[1]肖雪.計(jì)算機(jī)網(wǎng)絡(luò)安全的研究[J].科技創(chuàng)新導(dǎo)報(bào),2008,(20):27.
[2]張宗府.電子政務(wù)建設(shè)的安全對(duì)策研究[J].科技創(chuàng)新導(dǎo)報(bào),2008,(9).
