发布时间:2023-10-12 09:33:06
序言:写作是分享个人见解和探索未知领域的桥梁,我们为您精选了8篇的企业信息安全现状样本,期待这些样本能够为您提供丰富的参考和启发,请尽情阅读。
网络环境下保障企业信息的安全性对企业地发展具有重大的、直接的现实意义。深入研究与开发计算机信息安全技术,减少或避免网络信息系统的破坏与故障,对企业发展具有积极的作用。但就现实发展来看,目前企业网络信息安全建设仍处于探索阶段,优化企业网络安全,吸取前沿的安全技术,实现企业网络信息又快又好地发展成为众企业关注的焦点问题。
一、企业网络信息安全的基本目标
企业网络信息安全技术的研究与开发最终目的是实现企业信息的保密性、完整性、可用性以及可控性。具体来讲市场化的发展背景,企业之间存在激烈的竞争,为增强市场竞争力,出现盗取商业机密与核心信息的不良网络现象。企业加强网络信息安全技术开发,一个重要的目的是防止企业关键信息的泄露或者被非授权用户盗取。其次,保障信息的完整性,是指防止企业信息在未经授权的情况下被偶然或恶意篡改的现象发生。再次,实现数据的可用性,具体是指当企业信息受到破坏或者攻击时,攻击者不能破坏全部资源,授权者在这种情况下仍然可以按照需求使用的特性。最后,确保企业网络信息的可控性,例如对企业信息的访问、传播以及内容具有控制的能力。
二、企业网络信息安全面临的主要威胁
根据相关调查显示,病毒入侵、蠕虫以及木马程序破坏是对企业网络信息安全造成威胁的主要原因。黑客攻击或者网络诈骗也是影响企业网络信息安全的重要因素。当然部分企业网络信息安全受到破坏是由于企业内部工作人员的操作失误造成。总之威胁企业网络信息安全的因素来自方方面面,无论是什么原因造成的企业网络信息安全的破坏,结果都会对企业的生产发展造成恶劣的影响,导致企业重大的损失。在信息化发展背景下,企业只有不断提高网络信息的安全性,才是实现企业持续发展的有力保证。
三、企业网络信息安全保护措施现状
当前企业在进行网络信息安全保护方面的意识逐渐增强,他们为确保企业网络信息安全时大都应用了杀毒软件来防止病毒的入侵。在对企业网络信息安全进行保护时,方式比较单 一,技术比较落后。对于入侵检测系统以及硬件防护墙的认识不足,尚未在企业中普及。因此推进企业网络信息安全技术的开发,前提是提高企业对网络信息安全保护的意识,增强企业应用网络信息安全技术的能力,才能有效推动企业网络信息安全技术的开发。
四、促进企业网络信息安全技术开发的对策与建议
(一)定期实施重要信息的备份与恢复
加大对企业网络信息安全技术的研发投入,一个重要的体现是对企业网络信息的管理。企业对于重要的、机密的信息和数据应该定期进行备份或者是恢复工作。这是保障企业网络信息安全简单、基础的工作内容。当企业网络受到破坏甚至企业网络系统出现瘫痪,企业能够通过备份的信息保障生产工作的运行,把企业的损失降到最低。实现企业网络信息安全技术开发的实效性的基础工作是做好企业重要网络信息的定期备份与恢复工作。
(二)构建和实施虚拟专用网络(VPN)技术
以隧道技术为核心的虚拟专用网络技术,是一项复杂的、专业的工程技术。该项技术对于保护企业网络信息安全具有重要意义,并且效果显著。它把企业专用的、重要的信息进行封装,然后采取一定的方法利用公共网络隧道传输企业专用网络中的信息,如此一来可以实现对企业网络信息的保护,避免出现对企业信息的窃取与恶意修改。当然提升虚拟专用网络的兼容性、简化应用程序是企业网络信息安全技术研发重要课题。
(三)完善高效的防火墙技术
在企业内部网与外联网之间设置一道保护企业网络信息安全的屏障,即设置防火墙。这一技术是目前最有效、最经济的保障企业网络信息安全的技术。但由于当前大多数的远程监控程序应用的是反向链接的方式,这就限制了防火墙作用的发挥。在进行企业网络信息安全技术开发过程中,应进一步优化防火墙的工作原理或者研发与之相匹配的远程监控程序,来实现防火墙对企业网络信息安全的保护。
(四)对关键信息和数据进行加密
增强企业对关键信息和数据的加密技术水平也是企业网络信息安全技术研发的主要方面。更新加密技术,是保障企业网络信息安全的重要环节。企业在对重要信息和数据进行加密时可以同时采取一些例如CD检测或者Key File等保护措施,来增强企业重要信息的保密效果。
五、结束语
企业网络信息安全体系的构建是一项系统的、长期的、动态的工程。网络环境下,信息安全技术发展的同时,新的破坏、攻击、入侵网络信息安全的手段也会不断出现。企业只有与时俱进,加大对网络信息安全技术的投入力度,才能加强对企业核心信息与数据的保护。在未来的发展过程中,企业在坚持技术策略与管理策略相结合的原则下,不断升级完善企业网络信息安全系统的开发与建设,不断提高企业的信息化水平。
许梅:国网四川省电力公司广安供电公司三新电力服务有限公司,党支部书记、副总经理,高级工程师。研究方向:信息工程。
【关键词】企业; 信息安全; 风险评估; 风险控制
引言:
计算机和网络通信相结合的信息技术,是促进当代社会信息化发展的主要力量,为社会上各行各业的发展创造了良好的环境。许多企业在经营与管理中已经引用现代信息技术,从而使经营与管理更为科学,工作效率更高,获得的经济效益也越多。然而现代信息技术是一把双刃剑,信息化的程度越高,由它带来的风险也越大。当前,企业的信息安全风险评估工作存在着一些问题,这些问题对企业的发展造成很多不利的影响。
一、企业信息安全风险概述
对企业来说,信息是维持企业正常运作的必要资源。企业的信息包括重要的数据、企业的发展规划、保密性文件、知识产权等。这些信息一旦被泄露,那么企业将面临着或大或小的经济损失,更严重的还会使企业面临破产的危险。所谓的企业信息安全就是指信息在其生命周期中,它的完整性、保密性和可用性这三个特性的保留情况。如果这三个特性都得到了保障,那么信息的安全性就高;如果其中的某个特性被破坏,那么信息的安全性就低。而信息安全风险就是指信息在特定的环境与特定的时间里可能遭遇的安全威胁。
信息安全风险可以分为可控性风险与不可控风险、可接受风险与不可接受风险、自然风险与人为风险等[1],这些风险给企业的信息安全管理工作带来了更多的不确定因素,加深了工作难度。
二、企业信息安全风险评估的现状与问题
当前,我国企业的信息安全风险评估工作存在着许多问题,给企业的日常经营与管理带来了许多不利的影响。
首先,企业没有树立正确的信息安全观。很多企业的管理者在信息安全问题上会走向两个极端,一种是认为只要加大信息建设的投入,信息就存在绝对安全的可能;另一种是忽视信息安全建设,信息安全风险意识淡薄。很多企业的管理层对信息资产的重要性认识不够,因而他们在保护信息安全方面几乎是无作为。
其次,企业在具体的信息安全风险评估工作中,表现出重安全技术而轻安全管理的思想与行为方式。这些企业在工作过程当中,不论是在心理还是在行为上都过分依赖安全技术,甚至认为只要安全技术过硬,信息安全就一定能够得到保证,为此,企业普遍采用现代通信技术、计算机和网络技术来构建企业信息安全系统。而在安全管理上,出现了管理措施不到位,员工在信息保密上不够严肃等问题,造成信息安全技术做无用功。
此外,企业信息安全风险评估工作还存在着管理制度不够完善、责任划分不够明确等问题。信息安全风险的评估工作需要收集各方面的大量的信息,如此才能增强评估的有效性。而企业由于管理制度不完善、职责划分不明确等问题,造成各部门的工作不配合、不协调。信息技术部门被孤立,信息安全的风险评估工作也就不能得到及时有效的完成。
最后,我国有些企业在信息安全风险评估的技术与方法上落后于时代。现代信息系统越往后发展,结构就越复杂。这要求企业要根据不断变化的信息技术来改进自己的风险管理理念和手段,同时也要吸收国际上的先进信息安全风险评估技术,保障自身的信息安全。
三、企业信息安全风险的控制
企业信息安全问题对企业来说是不应该被忽视的部分,企业应该在经营与管理的每个环节做好信息安全风险的控制工作,使企业的重要信息能够得到充分的保护。企业信息安全风险的控制可以从风险分析、管理控制、技术控制三个方面来进行。
(一)风险分析
在进行信息安全风险控制之前,先对风险进行分析可以使风险控制工作更加具有针对性,能够提高风险控制工作的效率。对风险的分析可以从信息资产面临的威胁、存在的弱点等方面来进行[2]。在风险分析工作中,要明确以下几点:首先是信息安全风险控制工作中需要保护哪些信息,这些信息具有什么样的价值;信息资产面临着哪些潜在的威胁,导致这些威胁产生的根源是什么,威胁发生的几率有多大;信息资产中是否具有漏洞,这些漏洞是否会被人威胁利用;信息资产发生威胁之后,企业会面临多大的损失;企业该采取什么样的措施来应对风险带来的损失,等等。
(二)管理控制
企业信息安全风险控制工作主要从组织管理、人员管理、政策实施等几个方面来进行。首先,企业应该建立信息安全组织机构,吸收组织成员,协调企业内部的各项资源,制定信息安全控制的目标并通过组织成员履行职责来达到目标。其次,企业要培养素质高、责任心强、原则性强,能够遵守企业政策的人员。企业信息安全风险的控制不仅与强大的技术力量有关,而且还有赖于执行人员对信息安全工作的支持与参与。此外,在政策实施上,企业要严格执行相关的信息安全保护政策,比如目前国际通用的《信息技术―信息安全管理实施细则》[1],为企业执行信息安全保护工作提供一个统一的标准,从而使工作能够有序地展开。
(三)技术控制
技术对信息安全控制的影响力是比较大的,它在很大程度上决定了信息安全风险的大小、范围,同时它也决定了修补信息安全漏洞的方式和方法。因此,在技术方面对信息安全风险进行控制是非常有必要的。首先,技术构架的设计应该遵循系统性原则、技术先进性原则、可控性原则、适度性原则等,使技术能够更好地服务于风险控制;其次,要做好安全域的信息安全保障工作,根据不同的安全域所面临的不同风险来进行信息安全保护工作;最后,要提高信息安全保障技术。目前而言,我国的信息安全保障技术与国际上的相比明显处于落后状态,因此,企业要引进先进的技术力量,加强信息安全风险的控制力度。
四、结语
在这个信息化高度发展的社会,任何企业与个人在享受信息化带来的便利的同时,也要承担信息化带来的风险。我国企业在激烈的市场竞争中,不可避免会遇到信息安全上的威胁。因此每个企业都应该做好信息安全的管控工作,认真、严肃地对待当前网络环境下的企业信息安全问题。
参考文献:
[1]谷田.网络环境下的企业信息安全问题研究[D].郑州大学2012
港口信息安全保障应贯穿在港口信息系统的整个生命周期中。港口信息安全保障的工作者应针对港口信息系统的发展特点,通过对港口信息系统的风险分析,制定并执行相应的安全保障策略,从多角度、多层面提出港口信息安全保障要求,确保港口信息系统的保密性、完整性和可用性,将安全风险降至最低或可接受的程度。港口信息化发展重点主要在于对外的数据交换和服务。港口信息安全风险主要来自于港口信息系统自身存在的漏洞和系统外部的威胁。为最大化控制该风险,港口信息系统安全保障工作者应在信息安全保障策略体系的指导下,设计并实现港口信息安全评价体系架构或模型,港口信息安全评价体系的制定应反映港口企业对信息系统安全保障及其目标的理解,其制定和贯彻执行对信息系统安全保障起着纲领性指导作用。港口信息安全评价体系应选用一种折中的机制,在有限资源前提下实现最优选择。防范不足会造成直接的损失,防范过多又会造成间接的损失,在解决或预防安全问题时,要从经济、技术、管理的可行性和有效性上做出权衡和取舍。从现代港口企业信息安全保障工作者的视角出发,其工作层面无外乎对港口信息安全保障的战略管理、常态监管和应急响应。战略管理体现其信息安全战略的先进性,表现在港口企业对信息安全战略规划的制定情况、港口信息安全管理部门的战略地位和港口企业对信息安全工作的资金保障力度等。这些评价能反映港口企业对信息安全的重视程度,预见港口企业信息安全工作未来的发展前景。常态监管主要指港口信息安全战略的具体执行情况,包括基于对港口业务风险的认识,建立、实施、操作、监视、复查、维护和改进信息安全等一系列管理活动,具体表现为计划活动、目标与原则、人员与责任、过程与方法、资源等诸多要素的集合。应急响应主要包括在一些紧急、无预测的危机下,快速应对、解决问题的能力,度过危机以减少损失或者把损失降低到最低程度。
2现代港口信息安全评价指标体系框架
为了让指标体系更加科学、全面、综合,力争每个门类的指标定量、定性相结合,笔者选用了工作层面、保障要素、指标类型作为现代港口企业信息安全保障指标体系框架的3个维度。
3评价指标
按照评价指标体系框架,采用第一维度、第二维度、第三维度逐个相交的方式,对各评价点进行分解,可以设计出适应现代港口企业信息安全保障工作的评价指标体系。为了让指标体系更加科学、可操作,笔者在对上海港、黄骅港等大中型港口调研的基础上,梳理分析,设计出一套普适性较强的评价指标体系。该体系能够较客观、准确、全面地反映港口信息安全工作水平,供港口企业信息安全保障工作者参考。
4结语
1)信息安全评价体系对于现代港口评价信息安全保障工作的完备性,最大化降低、控制信息安全风险,减少技术故障、网络攻击等安全问题对业务带来的影响具有十分重要的作用。
2)以现代港口企业信息安全保障工作为研究对象,遵循科学全面、简单可操作、向导性原则,从工作层面、保障要素、指标类型出发,设计了一套三维评价指标体系框架,并结合国家对港口企业信息安全的相关要求,分析出56个具体指标,提出了评价指标的量化方法和计算方法,可为港口企业信息安全自评价提供参考。
当前,企业信息安全尚在起步阶段,发展不够成熟健全,还有更多需要解决的问题。随着网络技术的发展,经济信息量的大幅度上涨,处理信息必须依靠计算机才能完成,但计算机存在一定的弱点,例如计算机病毒、人员素质低下、黑客入侵等因素,以及移动4G、WIFI互联等多边界企业网络环境下,由于内外部网络是直接连接,其互通性和网络访问无限制性易形成黑客或恶意份子入侵的切入口,若是没有设置任何的网络边界安全机制,将造成企业信息受到潜在的安全威胁。企业要想持续发展,信息安全是基本保障。企业信息化程度越高,企业数据也就越安全。企业发展的基础即信息安全,企业管理者要正确认识信息安全工作的长期性和紧迫性。从保护企业利益,促进经济发展,保证企业稳定与安全的角度来看,只有做好基础性工作和设施建设,建立信息安全保障,以及建设安全健康的网络环境,才能有助于信息化安全建设。其实不管科技如何发达,技术如何高超,都是人类智慧的结晶体,所以信息安全已无法离开人类。不少企业信息被泄露,多是人为因素导致,员工滥用企业信息将会给企业带来极大的损失。
2企业信息化安全建设
当今社会已经步入信息知识经济时代,信息对企业良性长久的发展尤为关键,但目前企业信息系统安全问题无疑是企业发展阶段所面临的重点难点。所谓的企业信息安全就是对企业信息资产采取保护措施,使其不受恶意或偶然侵犯而被破坏、篡改及泄露,确保信息系统可靠正常并连续的运行,最小化安全事件对业务的影响,实现业务运行的连续性。因此笔者认为以下几方面是关键。
2.1做好网络保护
其实要保证外网安全需要企业加大硬件设备的投入,信息安全产品在网络经济发展下正面临着新的挑战,传统防火墙、信息加密、防病毒等已无法有效的抵御外部入侵;同时由于内部操作不当,导致内网感染病毒造成信息泄露的现状也是信息安全的焦点问题。针对以上情况,建立事前有效防御,事后追究机制是企业信息化安全建设的当务之急。根据现代企业的特点,笔者认为从下面这几点入手,有助于保护网络的安全:
(1)身份认证技术。
企业内网操作时,可采用身份认证技术,借助PKI、PKM等工具,控制网络应用程序的访问,以及进行身份认证,实现有效资源合法应用和访问的目的。
(2)审计跟踪技术。
通过审计跟踪技术监控和审计网络,控制外设备如MSN、QQ、端口、打印、光驱、软驱等,从而实现禁止使用指定程序,并促进员工操作行为及日志审计规范的目的。
(3)企业还应组建自身网络拓扑结构。
利用严格密钥机制和加密算法,有机的结合加密、认证、授权、审计等功能,保护最底层不同密集评定和授权方式的核心数据,而非限制应用网络和控制网络,进而真正实现合理保护,确保企业信息数据资源的安全。
2.2安全边界的界定和管理
安全边界的界定通过分析现有网络边界安全的需求,笔者认为有几方面:首先,内部网段。即企业网内网,是防火墙的重点保护对象,安全级别和授信级别更高,主要承载对象是企业所有人员的计算机。其次,外部网段。即边界路由器以外的网络,比如移动4G、WIFI互联等多边界网络,安全级别和授信级别最低,是企业信息数据泄露最大的安全隐患,需要严格禁止或控制。最后,DMZ网段。即对外服务器,安全级别和授信级别介于内外网络之间,其资源运行外部网络访问。
(1)由于外部用户访问DMZ区域中服务器的方式较为特殊,在系统默认情况下是不被允许的。
可实际应用中是需要外部用户对其进行访问,所以防火墙上必须增加相应允许外部用户访问DMZ区域的访问控制列表,通过对列表的控制允许用户行为,并对进行很好的监控管理,保证企业信息的安全性。
(2)内部用户对外部网络以及DMZ区域中服务器的访问。
按照ASA自适应安全算法,在系统默认情况下是允许高安全等级接口流向低安全等级接口流量的,外部网络安全级别远没企业内部网络安全级别高,所以在默认情况下这种访问方式是被允许的,不过实际应用过程中,需要限制对外访问流量。
(3)外部用户对内部网络的访问。
在系统默认情况下这种情况是不被允许的,是对外部用户非法访问的有效抵御,能有效的保证企业信息的安全,促进企业信息化的安全建设。
2.3强化系统管理
由于任何安全软件都有被攻击或破解的可能性,单纯依靠软件技术来保障企业信息安全是不现实的,只有强化企业内部信息系统的管理才行之有效。所以,企业内部信息管理体制要完善,尽可能促进管理系统规范性和可靠性的提高,才能为企业内部信息的安全提供更高保障。同时,要进行安全风险评估工作。因为各个信息系统使用的都是不同的技术手段和组成方式,其自身优势及安全漏洞也具有较大的差异,由此在选择企业所需的信息系统时,一定要先做各个系统的安全风险评估工作,信息安全系统的选择要针对企业自身特点,降低信息安全问题出现的概率。最后,就是加强系统管理。在实际生活中信息窃取和系统攻击大多是在网络上完成的,企业必须要强化网络管理工作,以便促进企业的运行更安全政策。
2.4加强企业信息安全管理团队建设
当前,企业信息安全体系的建设中已完全渗透“七分管理,三分技术”的意识,强化企业员工信息安全知识培训,制定完善合理的信息安全管理制度,是企业信息安全建设顺利实施的关键保障。企业信息安全建设时要另立专门管理信息安全的部门,负责企业内部的信息安全防护工作,加强对企业内部计算机网络系统的维护及常规检查。企业信息安全管理团队的职责主要包括:工作人员安全操作规范、工作人员守则以及管理制度的制定,再交由上级主管部门审批后监督制度规范的执行;定期组织安全运行和信息网络建设的检查监测,掌握公司全面的第一手安全资料,根据资料研究相关的安全对策和措施;负责常规的信息网络安全管理维护工作;定期制订安全工作总结,且要接受国家相关信息安全职能部门对信息安全的工作指导。
2.5入侵检测系统(IDS)与入侵防护系统(IPS)
IDS即入侵检测系统能够弥补防火墙的缺陷,能实时的提供给网络安全入侵检测,并采取一定的防护手段保护网络。良好的入侵检测系统不但可有助于系统管理员随时了解网络系统的变更,还能提高可靠的网络安全策略制订依据。因此,入侵检测系统的管理应配置简单,随时根据系统构造、网络规模、安全需求改变。IDS必须布置在能够监控局域网和Internet之间所有流量的地方,才能第一时间检测到入侵时,做出及时的响应,比如记录时间、切断网络连接等。
3总结
在信息安全管理中最容易出现问题的就是信息的储存和传输,在企业的网络信息使用中也是这一环节最容易出现问题,比如企业信息系统中各种内部服务器,以及用户使用的计算机都容易对信息系统的安全造成威胁[1]。计算机的使用中最容易造成安全隐患的就是计算机中最常见的软件病毒,病毒的入侵会毁坏计算机的数据,最终导致极端及无法使用。最简单地说,计算机病毒实际上就是一种恶意破坏系统程序的软件,趁使用者不注意的情况下,入侵到计算机中,破坏计算机中的数据,影响计算机的正常使用,再严重的会导致整个系统的瘫痪,使链接这台计算机的其他计算机也无法使用。还有一种就是黑客的攻击,黑客对于计算机的攻击属于人为方式,就是指在没有经过企业计算机系统授权的情况下,对系统进行的恶意攻击其网站系统,对整个系统造成比较严重的伤害,最终导致系统中存入的数据泄露,对企业造成无法弥补的损失[2]。
在企业中也会出现信息安全管理的漏洞,因为企业中的信息管理必然会在每个部门之间相互传输,并且整合成最终完整的需要储存的信息,这样的过程中就很容易导致信息的丢失,人工操作的信息链接,很容易在中间的时候由于疏忽被非法人员抓到可乘之机,最终导致信息系统失控。很多企业重视利益的发展,并没有在乎企业信息的保护,因此在整个网络信息储存的过程中就会造成没有适当的制约机制,最终造成安全漏洞和隐患。企业的制约对于任何一个部门来说都具有非常好的管理和实效性,因此一旦企业在信息管理上没有一个好的制约管理机制,就很容易出现安全隐患和漏洞。
2企业信息安全管理的策略
首先企业要在电脑病毒和黑客方面入手,阻挡威胁信息安全的客观因素,既然企业想在整个工作中使用网络信息,那么就应该在专业的软件供应商处购买比较安全的电脑系统漏洞补丁,以及安全系数较高,非常可靠的杀毒软件。这样就能够最初级的防范电脑中毒和电脑黑客。对于新的设备一定要首先做好安全监察,在电脑上安装比较可靠的杀毒软件,并且每个员工,每台电脑上都有非常高强度的密码,这样就能够有效防治黑客的入侵。找出专门人员,对电脑中重要的数据,进行每天备份,如果数据较多,公司比较大,最少也要做到每周备份,然后每个月末进行以此校对和审核,这样就能够放心使用计算机,不用担心系统崩溃或者数据丢失了[3]。在企业中建立信息安全管理机制小组,这一小组需要选用非常熟悉电脑的专业人员,最好是曾经从事过电脑维修工作的员工,这样可以在大家没有合理使用电脑,造成系统崩溃的时候,对信息进行及时的恢复,以便挽回企业损失。
3总结
随着信息时代的到来,互联网技术在各行各业备受推崇,尤其在现代企业的信息化建设和发展过程中,信息网络的应用和推广力度不断加大。同时,不可避免也会衍生信息网络安全问题,对企业信息安全以及现代企业信息系统的正常运行造成负面影响。本文立足于现代企业信息网络中存在的问题,提出加强信息网络安全优化的重要性,制定针对性的优化策略。
【关键词】
现代企业;信息网络;安全优化
21世纪是网络化、信息化的时代,互联网技术的飞速发展为我国各行业的发展创造了机遇。与此同时,现代企业的信息网络业发展也面临着巨大挑战,信息网络安全问题的产生为企业发展埋下了安全隐患。例如,同行业之间的恶性竞争、网络犯罪等不正当的市场竞争,均可以网络形式展开。针对此种情况,企业要认识到加强信息网络安全优化的重要性,并针对具体的安全问题,提出针对性的优化策略,切实解决现代企业存在的信息网络安全隐患。
一、加强企业信息网络安全优化的重要性
1.1提升现代企业的管理质量
在现代企业的发展过程中,信息安全具有不可或缺的重要作用。因此,加强现代企业信息网络安全优化管理,可保障企业信息的安全性和真实性,同时也可保障现代企业信息系统的可用性和机密性。企业信息网络的安全性得以保障,可为信息系统工作质量提供重要的参考数据。此外,信息网络管理人员要对信息网络优化和管理中体现出的实际问题进行总结,并针对信息系统管理中反馈出的实际问题,在企业内部制定针对性的应对方案和措施。最终,接提升现代企业的管理质量,提升整体管理水平。
1.2为现代企业获得更大的经济利益
任何一个企业发展的最终目的均为获得经济利益,利润是企业发展的主要动力。作为现代企业而言,保障企业的信息安全,并保障信息系统的正常运行,方可在有效安全技术的支持,为企业后期发展创造更大的利润空间。通过对企业近年来的发展情况进行分析和总结,利用数据和统计分析的方法,为企业的发展制定全面的发展方案[1]。同时,在进行数据分析和总结的过程中,可及时发现企业发展中存在的问题,并针对具体存在的问题,提出针对性的解决对策,保障现代企业获得更大的经济利益,获得更大的利润空间。
二、现代企业信息网络中存在的安全问题
2.1企业信息网络安全管理制度不健全
纵观目前我国现代企业的信息网络安全管理现状,仍存在较多的安全问题,其中,最为显著的安全问题就是企业内部尚未建立健全的网络安全管理制度。管理制度的不健全势必造成企业信息网络安全出现问题,例如,企业的网络管理工作中频繁出现违规操作的现象,造成信息网络的正常运行受到影响。
2.2企业信息网络安全管理人员的综合素质相对较低
从现代企业的网络安全人员配置上看,大部分现代企业在发展过程中仍存在技术人员缺乏的现象。企业在缺乏专业的技术人员和管理人员,导致企业在发展的过程中难以及时发现信息网络中存在的问题和漏洞。在网络信息技术不断发展的当今社会,企业信息网络安全面临着新的发展机遇[2]。当一些先进的技术、管理方式和操作方式引入到企业中,而企业内缺乏相关的专业人才,将造成企业信息系统的安全性和操作规范化受到影响。因此,现代企业的发展过程中,需要解决信息网络安全管理人员专业技能差、综合素质相对较低的问题,保障网络管理人员可及时解决信息系统在安全维护方面的问题,方可促进现代企业的全面发展。但就目前我国大部分企业的信息网络安全管理人员配置情况上看,解决此问题仍需要经历较长的一段时间,也需要企业付出更多的精力和财力。
2.3尚未制定完善的网络安全事故应急处理预案
在现代企业的发展过程中,加强对企业信息和信息系统安全运行的管理至关重要。企业出现网络信息安全是不可避免的,但企业可通过分析总结出现信息网络安全问题的原因,制定针对性的解决对策,预防信息网络安全事故的发生。但纵观现阶段我国大多数企业的发展现状,大多数企业仅仅意识到了加强网络信息安全管理的重要性,但并未在实际行动上体现出来。通过对现代企业的调查,发现大部分企业尚未制定完善的网络安全事故应急处理预案,当信息网络安全事故发生后,企业在面对安全问题上显得手足失措,难以有效应对。而这样的问题,对于信息网络的安全维护和安全管理而言,将造成较大的负面影响,不利于现代企业的长足发展。
三、实现现代企业信息网络安全优化的策略
3.1加强现代企业信息网络系统的规范化管理
在现代企业信息网络安全管理中,要实现企业信息网络的规范化和系统化,首先需要在企业内部制定严格的责任管理制度,加强安全管理。在网络管理中,通过建构多层防御和等级保护体系,加强对信息网络安全的控制和规范化管理。与此同时,企业要在现代化的发展过程中,要保障自身信息网络系统的安全性,要加强对网络性能的检测力度,并将外网和内网进行有效隔离[3],为信息网络系统提供安全管理,并在企业的各部门实现信息系统安全管理。
3.2提升现代企业信息网络管理人员的综合素质
在现代企业的发展过程中,信息网络安全优化和管理是一项相对较为复杂且系统的工作。因此,在信息网络安全优化中,网络管理人员的专业能力和综合素质对安全优化管理的工作质量均可产生决定性作用。这则要求企业要对信息网络管理人员进行定期培训,通过在企业内部开展培训项目可使管理人员的管理能力提升,同时也可培养网络安全管理人员严谨的工作态度,让其意识到信息网络安全优化工作的重要性和必要性。与此同时,现代企业还可组织相关技术人员和专家,对企业信息网络安全优化的相关措施进行专题分析。通过系列的专题分析,可了解企业信息网络运行的实际情况,从而激发现代企业网络管理人员的工作热情和工作积极性。最终,可提升网络管理人员的综合能力,提升现代企业信息网络安全管理质量,提升整体管理水平。
3.3制定企业信息网络安全事故的应急方案
现代企业在发展的过程中,难免会遇到各种各样的信息网络安全问题。鉴于此种情况,不仅要提升网络管理人员的综合素质,加强对信息网络的规范化管理。还需要针对企业自身的信息网络安全管理现状,制定完善的现代企业信息网络安全事故应急预案。在制定应急预案的过程中,企业要将目标性、针对性、合理性以及全面化、规范化等特征融入其中。同时,在信息网络的运行过程中,要针对具体的运行情况,适当增加安全事故模拟演习和模拟训练等,提升信息网络管理人员的警惕性,保持认真的工作态度。只有在日常工作中,加强管理和训练,方可在事故发生时从容应对,最大限度降低信息网络安全事故对现代企业信息安全和自身发展造成的负面影响。
四、总结
综上所述,时代在发展,社会在进步,现代企业对信息网络安全优化提出了更多的要求和建议。信息网络是一项复杂的任务,具有涵盖范围广、涉及信息资源多等特征。在信息技术飞速发展的当今社会,信息网络安全优化是保障现代企业信息安全的重要途径,可有效解决企业中面临的网络信息安全问题。因此,现代企业要不断强化并规范企业内部信息网络建设,提升管理人员的职业素养和综合素质,为现代企业的发展提供更加安全、稳定的网络环境。
作者:赖连春 单位:云南华电鲁地拉水电有限公司
参考文献
[1]王国强.现代企业信息网络安全改善措施[J].信息技术与信息化,2014(9):64-65.
关键词 信息安全;企业;网络
中图分类号:TP3 文献标识码:A 文章编号:1671-7597(2013)12-0129-02
1 网络信息安全现状
现代企业的发展离不开信息网络,随着Web2.0时代的到来,越来越多的应用开始在互联网上流行起来,信息网络对提高企业生产效率、节约人员成本、获得产品信息等方面做出了巨大贡献,企业开始更为重视自身信息化的建设。然而,企业信息化速度的加快为企业信息安全工作提出了挑战,在网络发展的背后却存在着一个永恒的话题――信息安全。随着企业的安全生产、经营管理等工作越来越依赖信息网络,网络上的病毒、黑客以及其他不可预见的因素都对企业信息安全带来巨大威胁,在日趋多样化、专业化的攻击面前使得企业信息安全正面临严峻的形式和挑战。
近年来,网络安全问题频发,世界上每年遭受网络攻击的政府或者企业越来越多,2011年卡巴斯基实验室针对全球企业进行的IT风险调查显示,全球至少61%的企业遭遇过恶意软件的攻击。在互联网发源地―美国每年就有大约5万多起黑客攻击的事件,甚至信息安全工作防护严密的美国政府网站也不能幸免,更普通的企业。互联网具有开放性和无国界的特点,这就使得对网络攻击事件具有全球普遍性,我国也不能幸免,据国家计算机病毒应急处理中心的统计报告显示,我国每年有80%的企业、政府机关的网络系统曾经遭受过病毒或黑客的攻击。瑞星公司在2012年的《中国信息安全报告》中指出,我国共有超过7亿网民被病毒感染过,2009年上半年国内被挂马的网页数量突破2亿。例如2011年6月28日,新浪微博出现了一次比较大的XSS攻击事件,20:14,开始有大量带V的认证用户中招转发蠕虫;20:30,中的病毒页面无法访问;20:32,新浪微博中hellosamy用户无法访问。据统计,中国互联网用户每年因为网络安全损失被“黑掉”的钱财高达76亿。
上述网络信息安全问题的出现为国企业敲响了警钟,需要下大力气加强网络信息安全的防范和设计。
2 企业信息安全策略设计
2.1 病毒防护和查杀策略
病毒是信息安全的杀手,从病毒发作的情况来看,病毒的攻击目标没有特定性,而且越来越隐蔽。从个人网站到企业网络,无不受其所害,曾经有网络公司的防火墙被不明身份的黑客攻破了,牵扯到大量的用户信息,用户在该支付平台注册的电子邮箱以及登录密码面临极大风险。面对各式各样且不断发展演变中的病毒,企业对信息系统的日常维护和管理就显得尤为
重要。
企业网络部门工作人员要定期给办公司电脑操作系统存在的安全漏洞打补丁,还要给每个客户端都设置可靠的防毒软件、防火墙、漏洞扫描系统、日志系统,加强入侵检测和补丁管理,对企业遭受到的病毒攻击进行集中分析,掌握企业计算机系统中存在的安全隐患,采取有效的措施和方法防范由于病毒感染导致企业重要信息出现泄漏或者破坏。同时网络技术人员也要对公司所有电脑进行防病毒软件升级工作,确保网络内所有服务器和终端计算机都安装防病毒软件,将杀病毒软件设置成为自动升级状态,及时更新病毒特征码和系统补丁,防止由于个人疏忽造成没有及时升级带来病毒库的安全威胁,保证企业信息系统的正常运行。
另外对于企业而言,无论是服务器还是终端计算机都要加强防火墙设置,对外部入侵行为或者其他不安全的行为进行拦截,实际运行时,可以根据企业信息系统的需要,将一些服务器中不使用的端口关闭,尽量避免进行一些具有安全隐患的服务,防止利用这些端口或者服务进行外部攻击的行为发生。当然,网络技术人员要对不同端口的作用十分清楚,避免将企业信息系统正常运行的关闭,造成企业信息系统不能正常运行。
2.2 保证企业信息系统的平稳运行
保护企业信息系统的平稳运行,维护主要业务系统的安全,是现代企业网络信息安全的基本要求。企业信息系统的平稳运行包括多个方面,有操作登记的分配、用户账户与口令的保护、个人访问权限、用户身份验证等多个方面。我们需要做好以下工作。
1)做好重要资料备份工作。当服务器或者硬盘发生故障时,重要的企业数据会受到严重威胁,但往往公司简单的数据安全、信息安全体系对企业数据恢复、服务器数据恢复束手无策。为了保证信息系统的正常运行和业务的正常开展,专业的企业数据恢复、服务器数据恢复格外重要。大多数企业采用备份手段来解决日常的数据安全问题,企业在购买安装和配置服务器时,通常采用常见的两台服务器“一用一备”。企业网络技术人员将重要信息备份在一些光盘、U盘或者移动硬盘上,然后将其放置在不同的地方,避免同时受损害或者丢失,最大限度的保障企业信息安全和数据的完整性。
2)加强对关键业务系统的管理。关键业务系统应该具有最高的网络安全措施,其安全需求主要包括:访问控制,确保业务系统不被非法访问,保证数据不被网络内部破坏,安全预警,对于破坏关键业务系统的恶意行为能够及时发现、记录和跟踪等。2011年,韩国现代资本、韩国农协银行都遭受电脑黑客袭击,电脑网络瘫痪了三天,数以万计的客户受影响。这次攻击事件就是以IT运维部门的用户机位跳板实施的,背后原因是因为这些银行对最高级别权限管理不足,也没有基本的隔离安全机制,笔记本都可以直接连入外网,黑客通过窃取内部合法用户的权限进行非法活动。可见,企业应该加强对用户权限的管理;另外,在必要时进行网络隔离甚至物理隔离是必然的要求。同时,也要加强平时对于合法用户的行为审计,防范合法权限被滥用或被利用等情况的发生。
3)加强企业网络安全平台建设。目前很多公司推出的安全平台,就是依靠安全芯片为载体,通过软硬件的结合,可以为用户提供更加私密的加密存储空间,这样就可以将客户信息、账户信息等高度机密的信息安全存放起来。根据不同的场景需求,还可以通过安全平台搭建内部机密信息共享平台或工作组,比如某公司在进行专项会议时或者涉及商业机密文件共享时,可以建立起相对封闭的局域工作网络,让各部门的总监或管理层在同一局域网内共享机密信息,其他员工则没有查看服务器或者重要信息的权限。同时,还能够避免通过邮件、病毒、木马等非法手段盗取数据,造成不必要的损失。
2.3 健全有效的信息安全管理制度
没有安全管理,就没有信息安全。真正的网络安全实际上靠的不是这个或那个安全产品,而是自身固有的安全意识。寻求解决安全问题的根本方法在于不仅要具备安全可信的办公电脑,也要建立更加完善的数据安全管理制度。真正实现企业的信息安全管理仅仅依靠技术手段是不够的,必须对规章制度上加强企业人员的信息安全防范意识。
1)做好员工的培训的管理。信息只是一种编码形式,人才是信息的操作者,每个环节中安全隐患的最终来源都是人。为了能够加强企业工作人员的信息安全防范意识,企业要加强对公司员工的系统培训,从计算机基本知识到信息安全防范的具体方法都要进行细致讲解,针对一些员工在日常使用计算机过程中不规范行为进行及时矫正,针对一些年纪较大的、对计算机不是十分熟悉的老员工,企业网络技术人员要现场演示操作,让员工养成良好的使用习惯。同时要甄选出有丰富计算机操作经验的人员负责每个部分电脑的日常清洁、维护和管理,负责对部门电脑病毒库的升级、电脑的内部清理等工作,确保企业信息安全。
2)加强系统运行环境和维护管理,要加强对机房电源、空调系统、消防系统、监控系统、门禁装置等基础设施的维护和管理,确保其可靠、正常的运行。严禁非系统管理人员随意进入机房,严禁在机房内抽烟。严格落实机房巡视、系统巡检、运行测试、操作审批、机房出入登记、信息安全故障上报等工作制度。严禁在机房的服务器上浏览网页、随意下载软件、打游戏等。
3 结束语
总之,对于现代企业而言,信息技术的发展给企业信息安全带来巨大隐患,企业的信息安全也越来越受到信息安全部门和企业管理者的重视。信息安全工作是一个全方位的系统工程,每个企业面临的信息安全环境不同,企业应该结合自己实际情况,从思想上、技术上、管理上多管齐下,采取有针对性的信息安全策略,才能最大限度的降低信息安全威胁、保证企业信息安全,为企业健康长远发展保驾护航。
参考文献
[1]陈泽徐.浅析企业网络安全策略[J].电脑知识与技术,2009(09).
[2]沈传案,王吉伟.企业网络安全解决方案[J].计算机与信息技术,2008(06).
[3]冼沛勇.企业网络安全解决方案[J].石油工业计算机应用,2004(02).
[4]牛金才.企业网络安全解决方案浅析[J].煤,2003(02).
[5]石亦歌.企业网络安全解决方案[J].安防科技,2003(03).
[6]王锋.关于企业网络安全问题的探讨[J].电脑知识与技术,2009(36).
关键词:桌面安全管理;信息建设;桌面终端;应用
在信息技术飞速发展的大背景下,桌面终端已经成为企业生产运营的重要组成部分并被广泛应用于企业之中。但是受到种种原因的影响,桌面终端增多带来了许多安全问题,威胁着企业的信息安全。基于此,桌面安全管理系统应运而生。桌面安全管理系统简称BES,是一种基于企业桌面客户端内网安全管理系统,对客户端系统安全漏洞和安全隐患进行评估的管理控制平台。本文简要分析了目前我国企业桌面计算机系统的安全现状,主要研究桌面安全管理系统在企业信息建设中的应用,这对于企业的信息建设而言具有重要现实意义。
1目前企业桌面计算机系统的安全状况
桌面终端系统因为操作方便等优点而被广泛应用,但由于计算机数目过多过杂、内部员工的不当操作等因素导致目前企业桌面计算机系统存在着许多问题:(1)没有严格对待外网接入工作,容易让外网接入盗取企业信息。很多企业为了更好地管理,便将许多电脑连成一个整体来进行高效运营。但是这么做也存在一个弊端:给外网入侵带来可乘之机,由于计算机管理人员不能使每台计算机都能得到合理配置,因此容易让外网接入,造成企业信息泄露等损失。(2)缺乏有序规划,设备配置良莠不齐。现阶段我国很多企业计算机系统设备配置混乱且质量参差不齐,给维修以及耗材的配备增加了成本。(3)随着信息技术的飞速发展,涌现出来的许多操作系统以及软件给企业系统安全管理带来巨大的压力。(4)缺乏统一的手段统计分析桌面运行状况,缺乏跟踪监督桌面设备受到侵害的状况,缺乏跟踪监测安全漏洞的修复状况。(5)一些企业的网络结构复杂,十分难管理。加上一些内部员工的不良操作以及对移动存储介质使用的随意性容易导致企业信息泄露。基于目前企业桌面计算机系统的安全现状,企业需要实施桌面安全管理系统来解决桌面终端存在的问题,有效地保护企业的信息安全。
2桌面安全管理系统在企业信息建设中的具体应用
2.1系统补丁管理
目前我国很多企业操作人员在应用桌面安全管理系统过程中会出现安装完系统后就没有再打过补丁的现象,很多用户也缺乏系统升级的意识,对数据库系统以及应用程序不打补丁升级。桌面安全管理系统的补丁管理是及时地更新系统漏洞的特征以及系统补丁源,保证补丁服务器能够及时获取新的系统漏洞特征和补丁源。桌面安全管理系统自动地收集、统计以及检测所管理桌面终端系统的漏洞信息和补丁安装进度,随后根据每一台桌面终端操作系统以及已经安装的补丁情况,打包、分配、安装所需要的补丁。桌面安全管理系统可以自动对漏洞进行及时检测修复,保障系统的安全。
2.2IT资产管理
桌面安全管理系统根据所管理范围的桌面终端系统的软件和硬件资产变更进行管理,以小时、天、周为周期通过软件或者人工只能收集资产信息,然后再将所收集的信息纳入资产信息库。桌面安全管理人员根据资产编号、资产所归属部门、资产使用人等信息进行查询和管理,最后定时生成资产信息报表。在桌面安全管理系统控制台管理中,管理人员可以清楚地了解有多少计算机没有安装桌面安全管理系统,利于管理人员掌握网络资产数据。
2.3软件分发
在安装软件时,很多企业用户因为计算机水平良莠不齐等原因无法自行完成。一些通用软件或者专业软件覆盖范围广,因此利用软件分发功能便可以自动化部署网络客户机的各个软件,确保版本软件以及配置保持同一性。桌面安全系统维护人员还要根据企业的实际需要来研究分析桌面安全管理系统的软件开发功能,编写包含工具软件、系统软件、补丁等常用软件的自动安装包以及自动卸载包,最后根据客户的实际需要进行软件分发,这极大地降低了管理人员的工作强度,提高了工作效率。
2.4外接设备的管理
统一管理所有安装了客户端主机的外接设备,管理人员只要在控制中心进行相应配置后便可以控制是否允许USB接口、光驱、串口等外接设备的接入。同时值得注意的是,在管理人员对USB接口进行管理时,用户使用USB键盘、鼠标不会受到限制,只有当使用USB硬盘等存储设备时才会受到限制。
2.5病毒防护管理
桌面安全管理系统可以很好地对客户机的病毒防护情况进行监控,包括是否安装了病毒防护软件、是否将病毒代码库升级为最新等。在系统控制台上,所有客户机的信息都集合在一起,管理人员可以更好地管理。一些客户机违规安装了某些病毒防护软件,或者是同时安装了两种病毒防护软件,可能会导致系统运行速度缓慢,增加了管理人员和维护人员的工作负担。针对这种情况,桌面安全管理系统可以识别计算机属性,统计违规客户机信息,并采取限制使用网络资源等方法来使用户卸载违规安装的病毒防护软件,促进病毒防护管理的规范化、合理化。
2.6远程维护
桌面安全管理系统的远程维护有两种方式,分别是远程桌面查看以及远程桌面控制,通过远程维护方式,管理维护人员可以进行远程诊断以及修复,极大提高了工作效率。与此同时,远程维护还支持客户端确认的过程,如遇客户没有确认就不能接管客户终端。终端远程维护服务只在需要时开启,此外使用动态密码可以确保远程维护服务的安全性。
3结语
综上所述,桌面安全管理系统充分运用了信息安全管理技术来提高企业信息建设水平和安全管理效率,加强对网络客户端的控制并进行实时监控,集成其他网络安全设备为可靠的、安全的局域网络,极大地巩固加强了对企业信息安全的保障。此外,桌面安全管理系统虽然越来越受到重视,但其在应用领域仍处于比较不成熟状态,需要企业进行进一步探究。
参考文献
