- 企業(yè)信息安全現(xiàn)狀分析研究論文 推薦度:
- 相關(guān)推薦
關(guān)于企業(yè)信息安全現(xiàn)狀分析的論文
第一篇:企業(yè)信息安全現(xiàn)狀分析
一、企業(yè)信息安全現(xiàn)狀
。ㄒ唬┢髽I(yè)自身方面
1.企業(yè)對(duì)信息安全重視程度不夠
我國雖然大力發(fā)展企業(yè)信息化建設(shè)已有一段時(shí)間,但是國內(nèi)很多企業(yè)的信息化整體水平不高,大多數(shù)企業(yè)的信息化基礎(chǔ)還很薄弱。很多員工認(rèn)為企業(yè)信息化的實(shí)質(zhì)就是計(jì)算機(jī),對(duì)企業(yè)信息安全來講只要能使計(jì)算機(jī)正常運(yùn)行,日常工作可以正常的運(yùn)轉(zhuǎn)這就可以了,在頭腦里對(duì)企業(yè)信息安全沒有一個(gè)清楚和正確的認(rèn)識(shí)。信息安全是保證企業(yè)信息的保密性、真實(shí)性、完整性、未授權(quán)拷貝和所寄生系統(tǒng)的安全。其主要目的就是保護(hù)企業(yè)信息不受內(nèi)部、外部、自然等因素的威脅。
2.企業(yè)對(duì)信息安全資金投入少
企業(yè)是一個(gè)以生產(chǎn)經(jīng)營為主的經(jīng)濟(jì)組織,資金的投放重點(diǎn)主要投向生產(chǎn)經(jīng)營方面,所有的日常工作圍繞生產(chǎn)轉(zhuǎn),重心向生產(chǎn)傾斜,大部分的資金流向生產(chǎn)部門。企業(yè)信息化建設(shè)資金投入巨大,很多情況下需要長期投入,形成整體合力的周期長。這導(dǎo)致了每年撥給信息化建設(shè)的資金不足,甚至被擠占、挪用,從而使企業(yè)信息化整體建設(shè)資金不足,這更導(dǎo)致了對(duì)企業(yè)信息安全方面資金投入量更少,使之長期營養(yǎng)不良。
3.國內(nèi)信息安全整體應(yīng)用水平低
一些企業(yè)已經(jīng)認(rèn)識(shí)到了在信息安全方面的漏洞是給企業(yè)造成重大損失的隱患,但是目前我國國內(nèi)信息安全行業(yè)的整體技術(shù)水平低。雖然推出了很多信息安全產(chǎn)品,可是安全系統(tǒng)整體集成與應(yīng)用水平不高,甚至個(gè)別不同品牌的安全產(chǎn)品運(yùn)行使用上還會(huì)互有沖突,不能對(duì)企業(yè)信息進(jìn)行有效防護(hù)。
4.人員素質(zhì)不高
企業(yè)信息安全技術(shù)人員匱乏。其中既懂信息安全技術(shù)又懂企業(yè)生產(chǎn)運(yùn)行流程和管理的高素質(zhì)人才更加稀缺。同時(shí)使用人員的素質(zhì)也普遍不高,大部分企業(yè)多半員工停留在一般使用計(jì)算機(jī)的水平。一些新上信息安全系統(tǒng)給計(jì)算機(jī)使用上增加了諸多使用限制,例如身份識(shí)別系統(tǒng)在若干次密碼輸入錯(cuò)誤后系統(tǒng)自動(dòng)鎖定無法正常登陸,使初用者感到諸多不便容易產(chǎn)生抵觸情緒,無形中增加了信息安全推廣使用方面的難度。
5.沒有健全的信息管理制度
企業(yè)信息化管理改變了企業(yè)許多原有的生產(chǎn)經(jīng)營管理模式,很多使用制度和使用規(guī)范沒有建立健全,在各方面都需要一個(gè)規(guī)范化的操作管理,而很多員工對(duì)此認(rèn)識(shí)不深對(duì)信息化設(shè)備不愛護(hù)使用,導(dǎo)致故障頻出連一些基本的信息安全都不能保證。
。ǘ┤藶橐蛩胤矫
1.人為無意識(shí)的因素
由于在設(shè)計(jì)建設(shè)初期對(duì)信息安全防護(hù)方面考慮不周,或者信息技術(shù)人員安全觀念淡薄、技術(shù)不熟練、責(zé)任心不強(qiáng)等原因,不執(zhí)行安全操作制度,造成軟件或硬件設(shè)備的損壞、運(yùn)行故障、數(shù)據(jù)丟失或誤刪除等責(zé)任事故。信息終端用戶的誤操作,也會(huì)造成一些不必要的損失。
2.人為惡意破壞因素
網(wǎng)絡(luò)攻擊已經(jīng)成為威脅企業(yè)信息安全的主要因素。攻擊者利用計(jì)算機(jī)系統(tǒng)等方面的漏洞和缺陷,采用惡意攻擊、網(wǎng)絡(luò)監(jiān)聽、密碼暴力破解等手段侵入計(jì)算機(jī)系統(tǒng),盜竊企業(yè)核心機(jī)密信息。
3.計(jì)算機(jī)病毒
當(dāng)前計(jì)算機(jī)病毒的破壞對(duì)象已經(jīng)不僅僅只是對(duì)存儲(chǔ)數(shù)據(jù)和硬件設(shè)備造成破壞,新型病毒對(duì)網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)存儲(chǔ)設(shè)備甚至一些信息安全設(shè)備進(jìn)行攻擊和破壞。利用病毒自動(dòng)傳播和黑客緩沖溢出技術(shù)相結(jié)合的特點(diǎn)使病毒產(chǎn)生連鎖反應(yīng),造成信息系統(tǒng)大面積的癱瘓。例如前幾年的熊貓燒香病毒,許多企業(yè)和政府機(jī)構(gòu)受到病毒襲擾,其中不乏一些關(guān)系到與人民日常生活息息相關(guān)的要害單位,造成的損失不可估量。
4.內(nèi)部人員的破壞
堡壘都是由內(nèi)部攻破的。很多企業(yè)對(duì)自身的信息安全將會(huì)遭到外部攻擊有一定的考慮,安裝殺毒軟件、硬件防火墻等一些安全設(shè)備,可是卻忽略了內(nèi)部的安全防護(hù)。企業(yè)信息系統(tǒng)中的資源并不是對(duì)所有人共享。對(duì)這種要求企業(yè)一般都會(huì)做出訪問權(quán)限、身份驗(yàn)證、禁止非法拷貝等相應(yīng)的安全設(shè)置。但是在實(shí)際的應(yīng)用過程中出現(xiàn)了用戶權(quán)限設(shè)置不科學(xué),對(duì)一些數(shù)據(jù)的訪問控制權(quán)限劃分過于粗糙,不能確保使用上的安全。并且企業(yè)內(nèi)部也有一些人員,惡意攻擊、非法盜取企業(yè)核心機(jī)密,由于沒有有效可控手段,這種情況防不勝防。
二、對(duì)于企業(yè)信息安全的相應(yīng)解決策略
(一)信息安全管理方面
1.開展企業(yè)信息安全教育。
信息安全實(shí)質(zhì)上是為企業(yè)日常安全生產(chǎn)保駕護(hù)航,建議多組織召開包含企業(yè)各級(jí)部門“一把手”在內(nèi)的企業(yè)信息安全宣教會(huì),詳細(xì)介紹企業(yè)信息安全的基本理論、常識(shí)、發(fā)展主流以及一旦發(fā)生信息安全事故對(duì)企業(yè)科研、生產(chǎn)經(jīng)營所造成的嚴(yán)重影響,在思想上提高對(duì)企業(yè)信息安全的認(rèn)識(shí),進(jìn)而提高企業(yè)全體員工的重視程度。
2.增加企業(yè)信息安全建設(shè)的資金投入。
建立年度的信息安全建設(shè)投資預(yù)算計(jì)劃,將預(yù)計(jì)資金使用量匯總到企業(yè)年度技改計(jì)劃中,把信息安全建設(shè)納入企業(yè)信息化整體建設(shè)規(guī)劃中,以確保信息安全資金穩(wěn)定的可持續(xù)性投入。
3.加大對(duì)信息安全人才的重視。
人才是企業(yè)信息安全建設(shè)中的重點(diǎn),如果只偏重于軟硬件、基礎(chǔ)設(shè)施上的資金投入而在信息安全上得不到有效的管理和使用,那就是本末倒置了。成立由公司高管直接負(fù)責(zé)的信息化部門,負(fù)責(zé)整個(gè)企業(yè)的信息安全人才培養(yǎng)和相關(guān)信息安全建設(shè)的事務(wù)。
4.建立完善的信息安全制度并加大監(jiān)督執(zhí)行力度。
良好的管理制度可以為信息安全創(chuàng)造有力的執(zhí)行環(huán)境和條件,信息安全技術(shù)又促進(jìn)了管理更有效更優(yōu)良的發(fā)展。同時(shí)強(qiáng)有力的監(jiān)督執(zhí)行,使之在使用和操作上也加強(qiáng)了使用規(guī)范和效率,避免了一些人為失誤造成的損失。
。ǘ┬畔踩夹g(shù)方面
為了切實(shí)保障企業(yè)信息的機(jī)密性、完整性、可控性和安全性,必須采用一系列相應(yīng)的技術(shù)手段,這是信息安全技術(shù)中最直接有效的部分。
1.硬件防火墻和入侵檢測、漏洞掃描系統(tǒng)
硬件防火墻是內(nèi)部網(wǎng)絡(luò)與外部互聯(lián)網(wǎng)之間的一道安全關(guān)口。它在企業(yè)內(nèi)部網(wǎng)絡(luò)和外部互聯(lián)網(wǎng)絡(luò)之間設(shè)置了一道安全壁壘,有效防止外部對(duì)內(nèi)網(wǎng)進(jìn)行非法訪問。入侵檢測系統(tǒng)對(duì)網(wǎng)絡(luò)傳輸進(jìn)行實(shí)時(shí)監(jiān)控,在發(fā)現(xiàn)可疑傳輸時(shí)發(fā)出報(bào)警或者采取主動(dòng)反應(yīng)措施,漏洞掃描系統(tǒng)對(duì)指定的遠(yuǎn)程或者本地計(jì)算機(jī)系統(tǒng)的安全脆弱性進(jìn)行檢測,及早發(fā)現(xiàn)可被利用的安全漏洞。它們可以相互配套,增強(qiáng)系統(tǒng)管理員的安全防范能力。
2.網(wǎng)絡(luò)安全審計(jì)
網(wǎng)絡(luò)安全審計(jì)是指按照一定的安全策略,審查和檢驗(yàn)操作事件的活動(dòng),從而發(fā)現(xiàn)系統(tǒng)漏洞、入侵行為。實(shí)際是記錄與審查用戶操作和使用活動(dòng)的過程,如用戶所調(diào)用的信息、使用時(shí)間、執(zhí)行的操作等。安全審計(jì)對(duì)系統(tǒng)記錄和行為進(jìn)行獨(dú)立的審查和估計(jì),可以有效監(jiān)控用戶的使用情況,對(duì)內(nèi)部潛在的非法攻擊者起到威懾作用。
3.虛擬局域網(wǎng)技術(shù)
按照公司的實(shí)際生產(chǎn)管理需要?jiǎng)澐郑褂锰摂M局域網(wǎng)絡(luò)技術(shù)將持有敏感信息的用戶組與網(wǎng)絡(luò)的其他部分隔離,從而降低泄露機(jī)密信息的可能性,增強(qiáng)局域網(wǎng)的安全性。
4.網(wǎng)絡(luò)殺毒軟件的使用
使用網(wǎng)絡(luò)版殺毒軟件,網(wǎng)絡(luò)管理員能夠利用其實(shí)現(xiàn)對(duì)全網(wǎng)電腦進(jìn)行遠(yuǎn)程統(tǒng)、有效清除計(jì)算機(jī)病毒,徹底解決局域網(wǎng)病毒殺而不絕、四處流竄的夢(mèng)魘。
5.定時(shí)備份重要數(shù)據(jù)
企業(yè)應(yīng)使用統(tǒng)一的數(shù)據(jù)備份系統(tǒng),由專人對(duì)數(shù)據(jù)進(jìn)行定時(shí)備份定時(shí)檢查,確保數(shù)據(jù)的完整性可靠性。并且保證備份介質(zhì)異地存放,專人管理。信息安全已經(jīng)成為促進(jìn)企業(yè)自身發(fā)展壯大的條件之一,誰能抓住時(shí)代的脈搏在新的技術(shù)條件下將信息安全與企業(yè)管理高效融合,為企業(yè)走可持續(xù)化發(fā)展道路保駕護(hù)航,誰就抓住了企業(yè)生存與發(fā)展的主動(dòng)權(quán),從而在知識(shí)經(jīng)濟(jì)和信息化高速發(fā)展的當(dāng)前,長遠(yuǎn)生存發(fā)展壯大。
作者:于強(qiáng) 工作單位:陜西興化集團(tuán)有限責(zé)任公司
第二篇:企業(yè)網(wǎng)信息安全保衛(wèi)思路
1引言
為順應(yīng)經(jīng)濟(jì)全球化大環(huán)境和國家信息化發(fā)展戰(zhàn)略需要,現(xiàn)在大多企業(yè)推動(dòng)企業(yè)信息化建設(shè)進(jìn)程,生產(chǎn)作業(yè)層信息化可以顯著提高生產(chǎn)效率和產(chǎn)品質(zhì)量;管理辦公層的信息化實(shí)現(xiàn)企業(yè)信息共享、加強(qiáng)業(yè)務(wù)控制和利用信息加強(qiáng)企業(yè)管理;戰(zhàn)略決策層的信息化通過國家和地方政策法規(guī)、國內(nèi)外相關(guān)行業(yè)的市場行情走向等進(jìn)行合理分析,為企業(yè)高層提供產(chǎn)品、銷售、財(cái)務(wù)決策和企業(yè)戰(zhàn)略規(guī)劃提供可靠支持;協(xié)作商務(wù)層的信息化促進(jìn)企業(yè)與外部供應(yīng)商、分銷商和客戶間的實(shí)時(shí)溝通和協(xié)同商務(wù),信息化是未來社會(huì)企業(yè)的必然趨勢(shì),而企業(yè)網(wǎng)的信息安全正是其發(fā)展軟脅[3]。本文在最新企業(yè)網(wǎng)調(diào)查數(shù)據(jù)上挖掘企業(yè)網(wǎng)信息安全真相,提出相應(yīng)的安全保衛(wèi)技術(shù)。
2企業(yè)網(wǎng)的現(xiàn)狀
我們從幾家權(quán)威機(jī)構(gòu)關(guān)的最新調(diào)查報(bào)告中以不同角度觀察了解我國企業(yè)網(wǎng)的現(xiàn)狀。據(jù)CNNIC中國互聯(lián)網(wǎng)絡(luò)信息中心最新公布的《第33次中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》:截至到2013年12月,我國有93.1%的企業(yè)使用計(jì)算機(jī)辦公,83.2%的企業(yè)利用互聯(lián)網(wǎng)辦公,40%以上的企業(yè)建立了獨(dú)立的企業(yè)網(wǎng)站;而在2013年上半年隨機(jī)受訪的3000家企業(yè)的獨(dú)立網(wǎng)站中,86.4%具備產(chǎn)品或服務(wù)的展示、77.4%樹立品牌形象、63%提供客戶服務(wù)、此外還有在線銷售功能、原料采購功能、內(nèi)部辦公、在線支付功能等[4]?ò退够鶎(shí)驗(yàn)室與B2BInternational聯(lián)合調(diào)查結(jié)果文件《2013年企業(yè)威脅回顧》顯示:企業(yè)越來越容易受到網(wǎng)絡(luò)攻擊,在2013年,約有91%的被訪企業(yè)曾遭受過至少一次網(wǎng)絡(luò)攻擊,9%遭受過針對(duì)性攻擊,網(wǎng)絡(luò)攻擊的目的主要是為了竊取信息,或破壞―――通過惡意軟件清除數(shù)據(jù)或者阻止基礎(chǔ)設(shè)施操作[5]。在《2013年全球公司IT安全威脅調(diào)查》中指出:員工在工作中經(jīng)常使用的軟件的漏洞成為企業(yè)內(nèi)部網(wǎng)絡(luò)安全事故的主要原因,軟件漏洞給39%的公司造成內(nèi)部數(shù)據(jù)安全問題[6]。奇虎360在《Gartner:互聯(lián)網(wǎng)時(shí)代的企業(yè)安全發(fā)展趨勢(shì)》中指出:企業(yè)安全屬于一種集體安全問題,安全性最差的一臺(tái)電腦往往決定了企業(yè)內(nèi)網(wǎng)系統(tǒng)的整體安全級(jí)別。另有數(shù)據(jù)顯示:企業(yè)官網(wǎng)是“后門”檢出率最高的網(wǎng)站類型,比例達(dá)到38.5%,且企業(yè)網(wǎng)站是流量攻擊的首要目標(biāo)[7]。2013年中國國家計(jì)算機(jī)病毒應(yīng)急處理中心的統(tǒng)計(jì)報(bào)告顯示,近年來我國每年企業(yè)網(wǎng)、政府政府機(jī)關(guān)的網(wǎng)絡(luò)系統(tǒng)遭受黑客攻擊和病毒侵害的比例高達(dá)80%[8]。瑞星安全專家在《瑞星2013年中國信息安全報(bào)告》中指出:“棱鏡門”曝光表明地理界限、空間阻礙已不能阻止信息的流通,信息安全保衛(wèi)是個(gè)人、企業(yè)、國家三者的必修課;信息虛擬化發(fā)展迅速,使企業(yè)處于信息安全風(fēng)暴,完善企業(yè)信息安全機(jī)制任重道遠(yuǎn)[9]。
3企業(yè)網(wǎng)存在的信息安全隱患
在互聯(lián)網(wǎng)社會(huì),信息安全問題已成為企業(yè)信息化進(jìn)程中普遍存在的問題。不同于傳統(tǒng)的威脅,信息安全威脅無處不在,如影隨形,無論企業(yè)采用了何種信息化的管理手段,只要打開設(shè)備,哪怕只是打開文件或收發(fā)電子郵件,都有可能引發(fā)信息安全問題。企業(yè)網(wǎng)沒有暴露信息安全問題,并不是防護(hù)措施完善,而是其信息的價(jià)值不夠高,或者入侵者低調(diào)悄然無息[10]。從威脅來源來看,數(shù)字化的企業(yè)網(wǎng)信息安全面臨“內(nèi)憂外患”,從威脅的種類來看,企來網(wǎng)信息安全威脅主要有軟件和硬件的先天缺陷、企業(yè)管理制度的制定不當(dāng)和執(zhí)行不到位、企業(yè)員工操作不當(dāng)和有意泄密、黑客惡意攻擊、病毒感染等。
1.企業(yè)網(wǎng)中的硬件本身存在缺陷。硬件為軟件的載體,構(gòu)成企業(yè)網(wǎng)網(wǎng)絡(luò)的服務(wù)器、工作站、路由器等硬件設(shè)備在設(shè)計(jì)或制造過程中可能存在缺陷,且硬件會(huì)老化、過時(shí),易受外界溫度、濕度等環(huán)境因素和自然災(zāi)害等不可抗力影響。此外,硬件運(yùn)行時(shí)產(chǎn)生的電磁輻射、信息傳道信道也有可能被[1]。如:“911”事件使得多家企業(yè)和機(jī)構(gòu)的辦公場所含硬件設(shè)備在廢墟中深埋,但同樣遭災(zāi)的德意志銀行和紐約銀行由于企業(yè)信息災(zāi)備準(zhǔn)備不同后果迥異,前者很快恢復(fù)業(yè)務(wù)處理,而后者數(shù)月后被迫破產(chǎn)。
2.企業(yè)網(wǎng)中的軟件存在先天缺陷:企業(yè)網(wǎng)為方便辦公所安裝的軟件(如操作系統(tǒng)、辦公軟件等系統(tǒng)軟件、各類企業(yè)管理控制軟件等)在開發(fā)時(shí)受軟件的抽象性、所解決問題的復(fù)雜性、軟件開發(fā)時(shí)的開發(fā)方法、軟件安裝環(huán)境和開發(fā)人員水平等因素影響軟件本身存在先天設(shè)計(jì)或編碼上的缺陷,使用時(shí)企業(yè)環(huán)境、軟件所處軟硬件環(huán)境又在不斷變化也要求軟件相應(yīng)調(diào)整,若這些軟件問題沒有及時(shí)解決就有可能給企業(yè)網(wǎng)帶來巨大的信息安全隱患。如:微軟官方宣布2014年4月8日起對(duì)WindowsXP停止更新、漏洞修復(fù)等服務(wù),缺少了系統(tǒng)支持服務(wù),不能及時(shí)更換WindowsXP企業(yè)用戶(據(jù)2012年相關(guān)抽樣調(diào)查,XP在某些企業(yè)應(yīng)用比例超70%)將面臨操作系統(tǒng)與各類軟硬件間的兼容性、設(shè)備驅(qū)動(dòng)及黑客對(duì)系統(tǒng)漏洞的攻擊風(fēng)險(xiǎn)等問題[9]。
3.企業(yè)管理不當(dāng)。企業(yè)的信息安全問題部分是由信息系統(tǒng)開發(fā)技術(shù)引起的,更多時(shí)候出在管理制度不嚴(yán)密、執(zhí)行不到位上,科學(xué)合理的信息安全管理制度和嚴(yán)格的執(zhí)行是企業(yè)信息安全的必要保證[1]。很多企業(yè)內(nèi)網(wǎng)遭遇病毒、木馬、被入侵等信息安全威脅就是因?yàn)槠髽I(yè)員工大意的運(yùn)用不安全的移動(dòng)存儲(chǔ)器拷貝文件,不加保護(hù)地網(wǎng)絡(luò)共享文件、傳送文件,或者私自用內(nèi)網(wǎng)計(jì)算機(jī)上外網(wǎng)引起的。例:2011年韓國多家媒體及金融機(jī)構(gòu)業(yè)務(wù)網(wǎng)絡(luò)受攻擊癱瘓的根源就在其內(nèi)外網(wǎng)安全隔離機(jī)制和權(quán)限管理機(jī)制存在缺陷。
4.企業(yè)員工存在不當(dāng)操作:若企業(yè)員工不按規(guī)范操作,再高級(jí)的軟硬件系統(tǒng)也無安全性可言。根據(jù)Verizon2013年關(guān)于數(shù)據(jù)泄露調(diào)查報(bào)告顯示:由內(nèi)部因素導(dǎo)致的數(shù)據(jù)泄露達(dá)到了2009年以來的最高值,其中,有7/10是由內(nèi)部人員不小心導(dǎo)致。常見的不當(dāng)操作有:采用軟件提供廠家默認(rèn)配置如系統(tǒng)初始用戶名及密碼等,密碼選用不慎重(如:使用簡單密碼或從不變更密碼),不注意保密工作(如:將自己的帳號(hào)隨意轉(zhuǎn)借他人或與別人共享,用戶登錄操作結(jié)束后不退出),不及時(shí)給軟件打補(bǔ)丁等。
5.內(nèi)部威脅將成企業(yè)信息安全攻擊主流:內(nèi)部或本系統(tǒng)的人員通過網(wǎng)絡(luò)竊取機(jī)密、泄露或更改信息以及信息系統(tǒng),此種內(nèi)部泄密主要原因是有意識(shí)的利益驅(qū)動(dòng)。據(jù)360相關(guān)調(diào)查:中國商業(yè)秘密刑事案件中有60%與人才離職有關(guān)。2012年北京某公司辦公管理程序及相關(guān)數(shù)據(jù)文件被離職員工遠(yuǎn)程進(jìn)入公司內(nèi)網(wǎng)刪除,損失巨大。2013年HTC手機(jī)研發(fā)高層出內(nèi)鬼,核心機(jī)密失竊延誤上市良機(jī);某寶被曝鬧內(nèi)鬼20G用戶信息被盜賣;某快遞公司內(nèi)鬼勾結(jié)網(wǎng)站20萬條用戶快遞信息遭兜售。
6.黑客惡意攻擊。近年來,黑客攻擊網(wǎng)絡(luò)犯罪逐漸產(chǎn)業(yè)化,黑客通過釣魚、掛馬、傳播病毒、破解口令等方式攻入企業(yè)服務(wù)器或客戶機(jī),偷取和破壞企業(yè)數(shù)據(jù)及文件;或者通過遠(yuǎn)程攻擊的方式,癱瘓企業(yè)服務(wù)器乃至整個(gè)企業(yè)網(wǎng)絡(luò),干擾企業(yè)的正常運(yùn)營,損害企業(yè)利益。這種行為破壞性最強(qiáng),可能給企業(yè)造成巨大危害,甚至給社會(huì)帶來震蕩。有關(guān)調(diào)查顯示,亞太區(qū)約75%的受訪企業(yè)曾遭黑客入侵,被盜取知識(shí)產(chǎn)權(quán)、客戶信用卡數(shù)據(jù)及客戶個(gè)人身份。Verizon2013年關(guān)于數(shù)據(jù)泄露調(diào)查報(bào)告顯示超過55%的泄露事故由專業(yè)的受利益驅(qū)使的犯罪團(tuán)伙實(shí)施。例如:2013年10月前后由國外入侵的“密鎖”病毒高針對(duì)企業(yè),永久深度加密企業(yè)文檔限時(shí)敲詐。2014年1月人人貨、好貸網(wǎng)、拍拍貸等多家互聯(lián)網(wǎng)金融企業(yè)遭受惡意攻擊致使暫停服務(wù),據(jù)受害企業(yè)表示可能是競爭者幕后指使。繼頻頻傳出的個(gè)人比特幣帳戶被盜事件后,2014年2月底全球最大比特幣交易平臺(tái)Mt.Gox公司帳號(hào)及超百萬的用戶帳號(hào)中所有比特幣幾乎全部被盜,折合損失約4.67億美元,導(dǎo)致公司破產(chǎn),投資者利益嚴(yán)重受損。
7.病毒感染。病毒是企業(yè)網(wǎng)中最常見的信息安全威脅,不同種類的病毒為企業(yè)網(wǎng)造成不同程度的危害,如:影響電腦和網(wǎng)絡(luò)的速度,經(jīng)查殺后即可恢復(fù);有的病毒會(huì)迅速感染整個(gè)網(wǎng)絡(luò),造成網(wǎng)絡(luò)癱瘓,對(duì)付這種病毒需要斷網(wǎng)后系統(tǒng)性地對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行病毒查殺;有的病毒會(huì)修改、刪除企業(yè)的數(shù)據(jù),企業(yè)可以通過備份的數(shù)據(jù)恢復(fù);而有的病毒會(huì)對(duì)硬件造成不可逆的損壞[1]。從病毒發(fā)展演變和發(fā)作趨勢(shì)來看,計(jì)算機(jī)病毒感染方式已從單機(jī)的被動(dòng)傳播變成了利用網(wǎng)絡(luò)的主動(dòng)傳播,不僅帶來網(wǎng)絡(luò)的破壞,而且造成網(wǎng)上信息的泄露,特別是在專用網(wǎng)絡(luò)上,病毒感染已成為網(wǎng)絡(luò)安全的嚴(yán)重威脅[11]。
4信息安全保衛(wèi)技術(shù)
當(dāng)今,“信息”已成為企業(yè)四大資源之一,我國企業(yè)大多利用互聯(lián)網(wǎng)辦公,虛擬化后的企業(yè)網(wǎng)信息使得企業(yè)辦公和運(yùn)營更高效穩(wěn)定,維護(hù)更簡單,成本更低廉,與此同時(shí),一旦承載企業(yè)信息平臺(tái)的電腦系統(tǒng)出現(xiàn)問題,企業(yè)辦公將受到牽連,嚴(yán)重時(shí)還可能使整個(gè)系統(tǒng)癱瘓,甚至造成企業(yè)倒閉或社會(huì)動(dòng)蕩。我們可以通過以下途徑來加強(qiáng)企業(yè)網(wǎng)的信息安全保衛(wèi)。
1、國家須健全與網(wǎng)絡(luò)信息安全相關(guān)的法律法規(guī),以震懾網(wǎng)上不法分子,減少網(wǎng)絡(luò)威脅。目前我國對(duì)互聯(lián)網(wǎng)上行為的規(guī)范相對(duì)滯后,大多沿用國際標(biāo)準(zhǔn),沒有很好地體現(xiàn)中國特色,F(xiàn)有法律法規(guī)制定對(duì)網(wǎng)絡(luò)上許多行為概念不清、內(nèi)容不完善或處罰較輕,在具體實(shí)施時(shí),國家政策管理、監(jiān)督及執(zhí)行力度不夠,致使執(zhí)行過程中出現(xiàn)問題得不到及時(shí)、妥善解決,對(duì)網(wǎng)絡(luò)信息安全方面的不法分子震懾力度相對(duì)不夠。
2、企業(yè)須建立科學(xué)合理的信息安全管理體系。任何系統(tǒng),無論外部堡壘如何堅(jiān)固,其系統(tǒng)內(nèi)部都較脆弱,內(nèi)部員工無意的疏忽或有意泄漏最易造成企業(yè)信息安全事件,因此,加強(qiáng)企業(yè)網(wǎng)信息安全防范最重要的是加強(qiáng)企業(yè)管理。企業(yè)必須將信息安全融入企業(yè)管理,制定科學(xué)合理、嚴(yán)密詳細(xì)的管理規(guī)章制度,在企業(yè)業(yè)務(wù)有效運(yùn)轉(zhuǎn)的同時(shí)保障企業(yè)信息安全可靠。首先,對(duì)企業(yè)網(wǎng)中的各類資源和操作(如:各種設(shè)備、文檔、網(wǎng)絡(luò)共享、移動(dòng)存儲(chǔ)、打印、文件傳輸?shù)龋┻M(jìn)行全面、專業(yè)、詳細(xì)的信息安全風(fēng)險(xiǎn)評(píng)估,列出潛在風(fēng)險(xiǎn)所在,確定安全管理范圍和安全管理等級(jí),嚴(yán)格分級(jí)分塊,使不同級(jí)別,不同業(yè)務(wù)的人員權(quán)限不同,杜絕權(quán)限濫用隱患;制定明確的網(wǎng)絡(luò)信息操作使用規(guī)程、不同角色對(duì)應(yīng)的權(quán)限和責(zé)任;制定網(wǎng)絡(luò)系統(tǒng)的維護(hù)制度和風(fēng)險(xiǎn)應(yīng)急處理流程等,設(shè)立嚴(yán)格的獎(jiǎng)懲機(jī)制,將信息安全效果與物質(zhì)精神獎(jiǎng)懲掛鉤,并建立安全審核與跟蹤體系,整體提高員工的網(wǎng)絡(luò)安全意識(shí)。
3、加強(qiáng)企業(yè)員工信息安全意識(shí)教育。再好的制度也須執(zhí)行到位再能管用,所以,企業(yè)必須加強(qiáng)員工的信息安全教育。首先,企業(yè)應(yīng)向員工普及國家相關(guān)的法律法規(guī)和企業(yè)相關(guān)的信息安全規(guī)章制度;其次,企業(yè)在職位崗前培訓(xùn)時(shí)側(cè)重信息安全技術(shù)培訓(xùn),使員工明確信息安全的重要性和潛在風(fēng)險(xiǎn),讓員工掌握正確的企業(yè)網(wǎng)信息系統(tǒng)操作方法和一定的信息安全防范技巧;再次,嚴(yán)格執(zhí)行企業(yè)關(guān)于信息安全保護(hù)獎(jiǎng)懲機(jī)制,使大家實(shí)時(shí)體會(huì)到信息泄露防護(hù)的重要性;最后,加強(qiáng)軟件公司維修人員、離職員工的帳號(hào)管理。
4、加強(qiáng)企業(yè)內(nèi)網(wǎng)信息安全管理。企業(yè)內(nèi)網(wǎng)集中存儲(chǔ)著企業(yè)核心機(jī)密資料(如企業(yè)生產(chǎn)工藝、經(jīng)營計(jì)劃、銷售數(shù)據(jù)、客戶信息等),運(yùn)行著企業(yè)的核心業(yè)務(wù),是企業(yè)賴以生存和發(fā)展的基石,也是企業(yè)網(wǎng)信息安全保障工作的重點(diǎn),企業(yè)內(nèi)網(wǎng)一旦出問題,輕則影響企業(yè)正常運(yùn)轉(zhuǎn)、重則危及企業(yè)生存。為檢測和抵御來自外部網(wǎng)絡(luò)的攻擊,企業(yè)應(yīng)部署高性能、有全面安全防護(hù)功能、適應(yīng)本企業(yè)的防火墻及其他防護(hù)系統(tǒng),加強(qiáng)入網(wǎng)口網(wǎng)絡(luò)通信的監(jiān)控。對(duì)于企業(yè)內(nèi)網(wǎng),為免禍起蕭墻,首先要安裝防火墻和殺毒軟件,并合理地設(shè)置安全規(guī)則,定期和不定期地查殺病毒和木馬;及時(shí)給內(nèi)網(wǎng)中的服務(wù)器、公司電腦中所有軟件升級(jí)和打“補(bǔ)丁”,及時(shí)“補(bǔ)”上系統(tǒng)潛在的安全漏洞;企業(yè)服務(wù)器須關(guān)閉不必要的端口,并加強(qiáng)日志分析和入侵檢測;做好信息系統(tǒng)異地災(zāi)備工作,以備出現(xiàn)問題時(shí)可及時(shí)恢復(fù);此外,還要加強(qiáng)內(nèi)網(wǎng)物理設(shè)施和環(huán)境中基礎(chǔ)設(shè)施的維護(hù)和管理[1]。
5、加強(qiáng)企業(yè)網(wǎng)絡(luò)宣傳平臺(tái)的信息安全管理據(jù)中國互聯(lián)網(wǎng)絡(luò)中心調(diào)查,截至2013年底,民規(guī)模達(dá)6.18億[4]。很多企業(yè)為了推廣企業(yè)形象,提高競爭力,采用多種網(wǎng)絡(luò)宣傳和營銷平臺(tái),如企業(yè)官網(wǎng)、即時(shí)聊天工具、搜索引擎、電子商務(wù)平臺(tái)、企業(yè)微博等,除企業(yè)所建官網(wǎng)外多數(shù)平臺(tái)并不受企業(yè)控制,若相關(guān)帳號(hào)密碼被破解和濫用,將會(huì)對(duì)企業(yè)帶來極大負(fù)面影響[1]。企業(yè)應(yīng)配合全國組織機(jī)構(gòu)代碼中心做好企業(yè)實(shí)名認(rèn)證,并妥善管理各平臺(tái)的帳號(hào)。
5結(jié)語
移動(dòng)技術(shù)、虛擬化、云計(jì)算等計(jì)算機(jī)技術(shù)將大部分的企業(yè)管理和商業(yè)運(yùn)作被搬上網(wǎng)絡(luò),使事務(wù)管理、商務(wù)流程等數(shù)字化為網(wǎng)絡(luò)中流淌的01比特流,極大地提高和完善了企業(yè)生產(chǎn)管理效率[1];與此同時(shí),在經(jīng)濟(jì)全球化的大環(huán)境下,資金、資源、技術(shù)、信息、人才等不再受地域限制,企業(yè)網(wǎng)信息安全威脅也同突破空間和地域限制。信息化是信息驅(qū)動(dòng)時(shí)代企業(yè)必然的發(fā)展趨勢(shì),任何操作和管理上的小疏忽有可能讓企業(yè)面臨生死存亡,信息安全保衛(wèi)是企業(yè)必須重視的戰(zhàn)略層面的問題。企業(yè)須采用較為先進(jìn)完善的技術(shù)架構(gòu)和安全手段,對(duì)各類電子設(shè)備、不同層次的員工進(jìn)行權(quán)限設(shè)置,建立嚴(yán)格的信息安全管理制度和業(yè)務(wù)操作流程,建立較為完善的信息安全應(yīng)對(duì)措施,并將信息安全規(guī)范執(zhí)行到位,并將信息安全作為一項(xiàng)系統(tǒng)性的、持續(xù)性的工作來做,方能真正保障企業(yè)的信息安全[11]
作者:李小榮12 疏志年2 工作單位:1合肥工業(yè)大學(xué)計(jì)算機(jī)與信息學(xué)院 2巢湖學(xué)院計(jì)算機(jī)與信息工程學(xué)院
第三篇:企業(yè)計(jì)算機(jī)信息安全管理的重要性
1概述
當(dāng)今社會(huì)計(jì)算機(jī)信息網(wǎng)絡(luò)發(fā)展迅速,我國必須意識(shí)到計(jì)算機(jī)網(wǎng)絡(luò)信息安全管理的重要性,做好計(jì)算機(jī)網(wǎng)絡(luò)信息安全管理的各項(xiàng)工作。首先,應(yīng)該建立健全相關(guān)的各項(xiàng)規(guī)章制度,從法律的角度來保證計(jì)算機(jī)信息網(wǎng)絡(luò)的安全。其次,公安機(jī)關(guān)應(yīng)該加強(qiáng)對(duì)計(jì)算機(jī)信息網(wǎng)絡(luò)的安全管理工作,形成安全管理的堅(jiān)固基礎(chǔ)。再次,應(yīng)該發(fā)動(dòng)社會(huì)民間組織和社團(tuán)積極的參與到維護(hù)計(jì)算機(jī)信息網(wǎng)絡(luò)安全工作中來,為保障計(jì)算機(jī)信息網(wǎng)絡(luò)安全創(chuàng)造一個(gè)良好的環(huán)境。最后,應(yīng)該堅(jiān)持自主創(chuàng)新,建立和完善我國自己的計(jì)算機(jī)信息網(wǎng)絡(luò)安全技術(shù)保障標(biāo)準(zhǔn)體系,從而促進(jìn)我國計(jì)算機(jī)信息網(wǎng)絡(luò)安全、健康地發(fā)展。
2網(wǎng)絡(luò)安全管理保障工作
2.1建立和完善網(wǎng)絡(luò)管理制度。要嚴(yán)格的按照有關(guān)單位和部門的規(guī)定,建立和完善網(wǎng)絡(luò)管理制度,并且真正的把這項(xiàng)網(wǎng)絡(luò)管理制度落實(shí)到實(shí)處。
2.2加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的日常維護(hù)工作。要想真正的保證網(wǎng)絡(luò)安全,對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)加強(qiáng)日常維護(hù)工作是必不可少的。在維護(hù)的過程中,如果發(fā)現(xiàn)異常情況,應(yīng)該及時(shí)的解決掉。最好定期的對(duì)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備進(jìn)行檢查,并安排網(wǎng)絡(luò)維護(hù)值班人員,以便發(fā)現(xiàn)故障及時(shí)的處理。
2.3重視網(wǎng)絡(luò)病毒的檢查和防范。如果發(fā)現(xiàn)了病毒應(yīng)該及時(shí)的進(jìn)行查殺,并更新殺毒軟件的病毒庫。情節(jié)嚴(yán)重的應(yīng)該馬上跟有關(guān)部門報(bào)告。
2.4制訂應(yīng)急預(yù)案。對(duì)于一些很重要的網(wǎng)絡(luò)設(shè)備和電源,最好留一個(gè)備份,并且制定應(yīng)急預(yù)案,以便發(fā)生意外,把損失減到最小。除此之外,還有其它的管理措施,比如:一是對(duì)本單位信息系統(tǒng)的帳戶、口令等定時(shí)進(jìn)行專門的清理檢查,并及時(shí)將軟件更新和升級(jí),消除安全隱患。二是強(qiáng)化網(wǎng)絡(luò)安全管理工作,對(duì)所有接入企業(yè)網(wǎng)絡(luò)的計(jì)算機(jī)設(shè)備進(jìn)行了全面安全檢查,對(duì)發(fā)現(xiàn)有操作系統(tǒng)存在漏洞、防毒軟件配置不到位的計(jì)算機(jī)進(jìn)行全面升級(jí),確保網(wǎng)絡(luò)安全。三是規(guī)范信息的采集、審核和發(fā)布流程,嚴(yán)格信息發(fā)布審核,確保所發(fā)布信息內(nèi)容的準(zhǔn)確性和真實(shí)性。四是嚴(yán)格禁止涉密計(jì)算機(jī)和涉密存儲(chǔ)介質(zhì)與互聯(lián)網(wǎng)相連,涉密計(jì)算機(jī)的信息由涉密存儲(chǔ)介質(zhì)備份,并配置專用打印機(jī)。
3企業(yè)網(wǎng)絡(luò)安全管理措施
3.1加強(qiáng)安全防范意識(shí),提高人員素質(zhì)。首先,在思想上要十分注重網(wǎng)絡(luò)安全。一是無論在什么崗位,企業(yè)的每一個(gè)員工都應(yīng)該深刻的意識(shí)到計(jì)算機(jī)信息網(wǎng)絡(luò)安全的重要性。二是加強(qiáng)對(duì)企業(yè)員工信息安全的防范教育,通過開展一些培訓(xùn)活動(dòng),使企業(yè)員工真正的加強(qiáng)安全防范意識(shí)。其次,要不斷提高員工素質(zhì)。除了從主觀上提高安全防范意識(shí),也要從客觀上提高員工的素質(zhì),因?yàn)榫W(wǎng)絡(luò)信息安全管理在實(shí)際的操作中需要很多的專業(yè)的人才,所以,企業(yè)應(yīng)該定期的對(duì)相關(guān)員工進(jìn)行安全技能的培訓(xùn),從而提高企業(yè)員工的安全防護(hù)能力。
3.2要加大對(duì)計(jì)算機(jī)網(wǎng)絡(luò)與信息安全工作的投入。信息技術(shù)進(jìn)步神速,我國在這一領(lǐng)域同發(fā)達(dá)國家比,并沒有優(yōu)勢(shì)。因此我國更應(yīng)加大投入,刻苦攻關(guān),掌握一些關(guān)鍵的信息技術(shù),以確保我國在信息安全方面的自主能力?梢院敛豢鋸埖卣f,今年安全方面的自主能力,將制約我國的綜合國力和國防實(shí)力,因此,我國應(yīng)當(dāng)像五六十年代發(fā)展“兩彈一星”一樣,集中力量,加大投入,迎接信息技術(shù)革命的挑戰(zhàn),保衛(wèi)國家安全。這一點(diǎn),我們不能幻想通過進(jìn)口來解決問題。在信息安全技術(shù)方面,發(fā)達(dá)國家一方面極為重視研究開發(fā),美國政府曾為了改進(jìn)美國政府的計(jì)算機(jī)安全系統(tǒng),投入巨大的資金;另一方面,又嚴(yán)格控制信息安全技術(shù)的出口。以美國為代表的發(fā)達(dá)國家,對(duì)信息安全產(chǎn)品出口,已作出許多嚴(yán)格限制,以維護(hù)其在信息技術(shù)領(lǐng)域的絕對(duì)優(yōu)勢(shì)。
3.3關(guān)鍵數(shù)據(jù)采用加密手段。在企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)中關(guān)于數(shù)據(jù)安全的隱患無處不在。尤其是一些機(jī)密數(shù)據(jù)庫、商業(yè)數(shù)據(jù)等一定要保證它的安全性,這時(shí)一般會(huì)采取對(duì)數(shù)據(jù)加密的手段,它是一種保護(hù)數(shù)據(jù)在存儲(chǔ)和傳遞過程中不被竊取或修改的一種手段,該數(shù)據(jù)加密系統(tǒng)在使用的過程中需要綜合考慮執(zhí)行效率與安全性之間的平衡。
3.4加強(qiáng)安全管理力度健全管理制度。首先,加強(qiáng)信息安全管理力度應(yīng)積極采取宏觀管理與重點(diǎn)監(jiān)控相結(jié)合的方式,保證信息化項(xiàng)目的安全性。系統(tǒng)的實(shí)施及管理部門應(yīng)該全面掌握各單位的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的相關(guān)情況,為企業(yè)統(tǒng)一管理提供可靠依據(jù)。同時(shí),對(duì)重點(diǎn)工程實(shí)地考察,對(duì)信息安全進(jìn)行檢查,發(fā)現(xiàn)問題及時(shí)解決。其次,建立相應(yīng)的安全管理制度。正所謂“沒有規(guī)矩不能成方圓”,企業(yè)應(yīng)該制定相應(yīng)的管理制度和條例,在每個(gè)環(huán)節(jié)都設(shè)置一個(gè)負(fù)責(zé)人,把責(zé)任明確到個(gè)人。同時(shí),建立一支網(wǎng)絡(luò)聯(lián)絡(luò)員隊(duì)伍,專門負(fù)責(zé)企業(yè)計(jì)算機(jī)的網(wǎng)絡(luò)信息安全管理工作,真正的保障企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)的信息安全。
3.5事務(wù)管理和故障恢復(fù)。事務(wù)管理和故障恢復(fù)主要是對(duì)付系統(tǒng)內(nèi)發(fā)生的自然因素故障,保證數(shù)據(jù)和事務(wù)的一致性和完整性。故障恢復(fù)的主要措施是進(jìn)行日志記錄和數(shù)據(jù)復(fù)制。計(jì)算機(jī)同其他設(shè)備一樣,都可能發(fā)生各種各樣的故障,比如電源故障、軟件故障、災(zāi)害故障以及人為破壞等,這些故障可能會(huì)造成數(shù)據(jù)庫的數(shù)據(jù)丟失,因此為了保證計(jì)算機(jī)的安全運(yùn)行,必須在發(fā)生故障時(shí)采取必要的措施恢復(fù)數(shù)據(jù)庫,事務(wù)管理和故障恢復(fù)就是這個(gè)作用,它能夠保障數(shù)據(jù)庫在出現(xiàn)故障時(shí),仍可以把數(shù)據(jù)庫系統(tǒng)還原到正常狀態(tài)。
4企業(yè)計(jì)算機(jī)數(shù)據(jù)安全發(fā)展趨勢(shì)
信息安全一直是人們關(guān)注的話題,到2014年,移動(dòng)安全、巨量計(jì)算、云端計(jì)算、社交網(wǎng)絡(luò)、大數(shù)據(jù)、物聯(lián)網(wǎng)等這些話題會(huì)依然火熱。IDC相關(guān)報(bào)告顯示,2020年全球新建立和復(fù)制的信息量已經(jīng)超過40ZB,是2012年的12倍,許多公司也預(yù)計(jì)他們的資料將在一年內(nèi)以60%到70%的增幅進(jìn)行增長。信息量的飛速增長帶來了巨量數(shù)據(jù)技術(shù)和服務(wù)市場的繁榮發(fā)展,也加速推動(dòng)了資安技術(shù)朝向智慧化、工具化發(fā)展的趨勢(shì)。通過對(duì)龐大信息的快速處理和分析,能夠更好的識(shí)別和發(fā)現(xiàn)那些復(fù)雜的資安威脅,以及他們的攻擊目標(biāo),為企業(yè)提供安全預(yù)警、抵御這些資安威脅。未來的數(shù)據(jù)中心將與今天大不相同:異構(gòu)和分布式數(shù)據(jù)中心、無處不在的訊息和工作負(fù)載、共享資源、硬件與軟件的抽象、混合云端交付等等。此外,數(shù)據(jù)中心架構(gòu)上的變化也可能會(huì)帶來新的資安漏洞和隱憂。因此,2014年將會(huì)看到更多企業(yè)提出新的需求并主動(dòng)部署新的安全解決方案以保證其整體系統(tǒng)的穩(wěn)定性、靈活性和可靠性,以及獲得更全面的管理能力。從而使IT能真正幫助企業(yè)保證核心業(yè)務(wù)持續(xù)穩(wěn)定運(yùn)行,甚至推動(dòng)新的業(yè)務(wù)模式發(fā)展。
5結(jié)束語
社會(huì)的發(fā)展和經(jīng)濟(jì)的飛躍都離不開計(jì)算機(jī)網(wǎng)絡(luò)的迅速發(fā)展。現(xiàn)在的社會(huì)和企業(yè)都已經(jīng)網(wǎng)絡(luò)化了,那一個(gè)正常的網(wǎng)絡(luò)運(yùn)行和信息服務(wù)是必不可少的,但是隨處可見的網(wǎng)絡(luò)中的一些不安全因素,對(duì)計(jì)算機(jī)的安全性造成了很大的威脅,所以如何保證企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)信息安全是全社會(huì)面臨的一個(gè)共同話題。信息安全是一個(gè)綜合性課題,涉及立法、技術(shù)、管理、使用等許多方面,這些對(duì)網(wǎng)絡(luò)信息安全保護(hù)提出了更高的要求,也使網(wǎng)絡(luò)信息安全學(xué)科的地位越顯得重要,網(wǎng)絡(luò)信息安全必然隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展而不斷發(fā)展。
作者:楊子強(qiáng) 工作單位:同濟(jì)大學(xué)
第四篇:企業(yè)信息安全管理問題
1.企業(yè)信息安全現(xiàn)狀
1.1企業(yè)自身方面
我國雖然大力發(fā)展企業(yè)信息化建設(shè)已有一段時(shí)間,但是國內(nèi)很多企業(yè)的信息化整體水平不高,大多數(shù)企業(yè)的信息化基礎(chǔ)還很薄弱。很多員工認(rèn)為企業(yè)信息化的實(shí)質(zhì)就是計(jì)算機(jī),對(duì)企業(yè)信息安全來講只要能使計(jì)算機(jī)正常運(yùn)行,日常工作可以正常的運(yùn)轉(zhuǎn)這就可以了,在頭腦里對(duì)企業(yè)信息安全沒有一個(gè)清楚和正確的認(rèn)識(shí)。信息安全是保證企業(yè)信息的保密性、真實(shí)性、完整性、未授權(quán)拷貝和所寄生系統(tǒng)的安全。其主要目的就是保護(hù)企業(yè)信息不受內(nèi)部、外部、自然等因素的威脅。目前我國國內(nèi)信息安全行業(yè)的整體技術(shù)水平低。雖然推出了很多信息安全產(chǎn)品,可是安全系統(tǒng)整體集成與應(yīng)用水平不高,甚至個(gè)別不同品牌的安全產(chǎn)品運(yùn)行使用上還會(huì)互有沖突,不能對(duì)企業(yè)信息進(jìn)行有效防護(hù)。
1.2人為因素方面
1.2.1人為無意識(shí)的因素
由于在設(shè)計(jì)建設(shè)初期對(duì)信息安全防護(hù)方面考慮不周,或者信息技術(shù)人員安全觀念淡薄、技術(shù)不熟練、責(zé)任心不強(qiáng)等原因,不執(zhí)行安全操作制度,造成軟件或硬件設(shè)備的損壞、運(yùn)行故障、數(shù)據(jù)丟失或誤刪除等責(zé)任事故。信息終端用戶的誤操作,也會(huì)造成一些不必要的損失。
1.2.2人為惡意破壞因素
網(wǎng)絡(luò)攻擊已經(jīng)成為威脅企業(yè)信息安全的主要因素。攻擊者利用計(jì)算機(jī)系統(tǒng)等方面的漏洞和缺陷,采用惡意攻擊、網(wǎng)絡(luò)監(jiān)聽、密碼暴力破解等手段侵入計(jì)算機(jī)系統(tǒng),盜竊企業(yè)核心機(jī)密信息。
1.2.3計(jì)算機(jī)病毒
當(dāng)前計(jì)算機(jī)病毒的破壞對(duì)象已經(jīng)不僅僅只是對(duì)存儲(chǔ)數(shù)據(jù)和硬件設(shè)備造成破壞,新型病毒對(duì)網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)存儲(chǔ)設(shè)備甚至一些信息安全設(shè)備進(jìn)行攻擊和破壞。利用病毒自動(dòng)傳播和黑客緩沖溢出技術(shù)相結(jié)合的特點(diǎn)使病毒產(chǎn)生連鎖反應(yīng),造成信息系統(tǒng)大面積的癱瘓。例如前幾年的熊貓燒香病毒,許多企業(yè)和政府機(jī)構(gòu)受到病毒襲擾,其中不乏一些關(guān)系到與人民日常生活息息相關(guān)的要害單位,造成的損失不可估量。
1.2.4內(nèi)部人員的破壞
堡壘都是由內(nèi)部攻破的。很多企業(yè)對(duì)自身的信息安全將會(huì)遭到外部攻擊有一定的考慮,安裝殺毒軟件、硬件防火墻等一些安全設(shè)備,可是卻忽略了內(nèi)部的安全防護(hù)。企業(yè)信息系統(tǒng)中的資源并不是對(duì)所有人共享。對(duì)這種要求企業(yè)一般都會(huì)做出訪問權(quán)限、身份驗(yàn)證、禁止非法拷貝等相應(yīng)的安全設(shè)置。但是在實(shí)際的應(yīng)用過程中出現(xiàn)了用戶權(quán)限設(shè)置不科學(xué),對(duì)一些數(shù)據(jù)的訪問控制權(quán)限劃分過于粗糙,不能確保使用上的安全。并且企業(yè)內(nèi)部也有一些人員,惡意攻擊、非法盜取企業(yè)核心機(jī)密,由于沒有有效可控手段,這種情況防不勝防。
2.對(duì)于企業(yè)信息安全的相應(yīng)解決策略
2.1信息安全管理方面
2.1.1開展企業(yè)信息安全教育
信息安全實(shí)質(zhì)上是為企業(yè)日常安全生產(chǎn)保駕護(hù)航,建議多組織召開包含企業(yè)各級(jí)部門“一把手”在內(nèi)的企業(yè)信息安全宣教會(huì),詳細(xì)介紹企業(yè)信息安全的基本理論、常識(shí)、發(fā)展主流以及一旦發(fā)生信息安全事故對(duì)企業(yè)科研、生產(chǎn)經(jīng)營所造成的嚴(yán)重影響,在思想上提高對(duì)企業(yè)信息安全的認(rèn)識(shí),進(jìn)而提高企業(yè)全體員工的重視程度。
2.1.2增加企業(yè)信息安全建設(shè)的資金投入
建立年度的信息安全建設(shè)投資預(yù)算計(jì)劃,將預(yù)計(jì)資金使用量匯總到企業(yè)年度技改計(jì)劃中,把信息安全建設(shè)納入企業(yè)信息化整體建設(shè)規(guī)劃中,以確保信息安全資金穩(wěn)定的可持續(xù)性投入。
2.1.3加大對(duì)信息安全人才的重視
人才是企業(yè)信息安全建設(shè)中的重點(diǎn),如果只偏重于軟硬件、基礎(chǔ)設(shè)施上的資金投入而在信息安全上得不到有效的管理和使用,那就是本末倒置了。成立由公司高管直接負(fù)責(zé)的信息化部門,負(fù)責(zé)整個(gè)企業(yè)的信息安全人才培養(yǎng)和相關(guān)信息安全建設(shè)的事務(wù)。
2.1.4建立完善的信息安全制度并加大監(jiān)督執(zhí)行力度
良好的管理制度可以為信息安全創(chuàng)造有力的執(zhí)行環(huán)境和條件,信息安全技術(shù)又促進(jìn)了管理更有效更優(yōu)良的發(fā)展。同時(shí)強(qiáng)有力的監(jiān)督執(zhí)行,使之在使用和操作上也加強(qiáng)了使用規(guī)范和效率,避免了一些人為失誤造成的損失。
2.2信息安全技術(shù)方面
為了切實(shí)保障企業(yè)信息的機(jī)密性、完整性、可控性和安全性,必須采用一系列相應(yīng)的技術(shù)手段,這是信息安全技術(shù)中最直接有效的部分。
2.2.1硬件防火墻和入侵檢測、漏洞掃描系統(tǒng)
硬件防火墻是內(nèi)部網(wǎng)絡(luò)與外部互聯(lián)網(wǎng)之間的一道安全關(guān)口。它在企業(yè)內(nèi)部網(wǎng)絡(luò)和外部互聯(lián)網(wǎng)絡(luò)之間設(shè)置了一道安全壁壘,有效防止外部對(duì)內(nèi)網(wǎng)進(jìn)行非法訪問。入侵檢測系統(tǒng)對(duì)網(wǎng)絡(luò)傳輸進(jìn)行實(shí)時(shí)監(jiān)控,在發(fā)現(xiàn)可疑傳輸時(shí)發(fā)出報(bào)警或者采取主動(dòng)反應(yīng)措施,漏洞掃描系統(tǒng)對(duì)指定的遠(yuǎn)程或者本地計(jì)算機(jī)系統(tǒng)的安全脆弱性進(jìn)行檢測,及早發(fā)現(xiàn)可被利用的安全漏洞。它們可以相互配套,增強(qiáng)系統(tǒng)管理員的安全防范能力。
2.2.2網(wǎng)絡(luò)安全審計(jì)
網(wǎng)絡(luò)安全審計(jì)是指按照一定的安全策略,審查和檢驗(yàn)操作事件的活動(dòng),從而發(fā)現(xiàn)系統(tǒng)漏洞、入侵行為。實(shí)際是記錄與審查用戶操作和使用活動(dòng)的過程,如用戶所調(diào)用的信息、使用時(shí)間、執(zhí)行的操作等。安全審計(jì)對(duì)系統(tǒng)記錄和行為進(jìn)行獨(dú)立的審查和估計(jì),可以有效監(jiān)控用戶的使用情況,對(duì)內(nèi)部潛在的非法攻擊者起到威懾作用。
2.2.3虛擬局域網(wǎng)技術(shù)
按照公司的實(shí)際生產(chǎn)管理需要?jiǎng)澐,使用虛擬局域網(wǎng)絡(luò)技術(shù)將持有敏感信息的用戶組與網(wǎng)絡(luò)的其他部分隔離,從而降低泄露機(jī)密信息的可能性,增強(qiáng)局域網(wǎng)的安全性。
2.2.4網(wǎng)絡(luò)殺毒軟件的使用
使用網(wǎng)絡(luò)版殺毒軟件,網(wǎng)絡(luò)管理員能夠利用其實(shí)現(xiàn)對(duì)全網(wǎng)電腦進(jìn)行遠(yuǎn)程統(tǒng)、有效清除計(jì)算機(jī)病毒,徹底解決局域網(wǎng)病毒殺而不絕、四處流竄的夢(mèng)魘。
2.2.5定時(shí)備份重要數(shù)據(jù)
企業(yè)應(yīng)使用統(tǒng)一的數(shù)據(jù)備份系統(tǒng),由專人對(duì)數(shù)據(jù)進(jìn)行定時(shí)備份定時(shí)檢查,確保數(shù)據(jù)的完整性可靠性。并且保證備份介質(zhì)異地存放,專人管理。
3.結(jié)論
信息安全工作是一項(xiàng)系統(tǒng)工程,“攻擊”與“防范”、“威脅”與“脆弱性”之間經(jīng)常此消彼長,不斷發(fā)展。健全企業(yè)信息安全防護(hù)基礎(chǔ)體系,必須從管理和技術(shù)兩方面入手,夯實(shí)物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全、數(shù)據(jù)安全和用戶安全。以安全區(qū)域劃分、系統(tǒng)等級(jí)保護(hù)、安全邊界防護(hù)、訪問控制技術(shù)、主動(dòng)監(jiān)控措施、安全通報(bào)機(jī)制和應(yīng)急響應(yīng)體系為手段,多方面構(gòu)筑全方位、多層次的安全防護(hù)體系,初步實(shí)現(xiàn)網(wǎng)絡(luò)與信息系統(tǒng)全方位、細(xì)粒度的安全管理,做到“安全風(fēng)險(xiǎn)可控制,內(nèi)部操作可審計(jì),措施執(zhí)行可度量,安全管理精細(xì)化,運(yùn)行維護(hù)主業(yè)化”。實(shí)現(xiàn)企業(yè)信息安全防御的重點(diǎn)從“以網(wǎng)絡(luò)層防護(hù)為主”轉(zhuǎn)向?yàn)椤熬W(wǎng)絡(luò)和應(yīng)用防護(hù)并舉”,從“以防外為主”轉(zhuǎn)向?yàn)椤胺纼?nèi)防外并舉”的二個(gè)轉(zhuǎn)變。其中,信息外網(wǎng)以“防攻擊、防泄露”為主,信息內(nèi)網(wǎng)以“強(qiáng)內(nèi)控,防外聯(lián)”為主,實(shí)現(xiàn)信息內(nèi)外網(wǎng)的深度安全防護(hù),確保應(yīng)用系統(tǒng)的安全穩(wěn)定運(yùn)行,保障企業(yè)信息安全。
【企業(yè)信息安全現(xiàn)狀分析的論文】相關(guān)文章:
企業(yè)信息安全的論文10-08
企業(yè)信息網(wǎng)絡(luò)安全管理分析論文10-08
漁業(yè)行政執(zhí)法現(xiàn)狀分析論文10-10
企業(yè)信息安全建設(shè)論文10-09
土地流轉(zhuǎn)現(xiàn)狀及對(duì)策分析論文10-08
醫(yī)患關(guān)系的現(xiàn)狀分析及對(duì)策論文10-09
小學(xué)科學(xué)教育現(xiàn)狀分析論文10-08
建筑市場現(xiàn)狀分析論文范文10-09