企業(yè)信息安全現(xiàn)狀范文

時(shí)間:2023-10-10 17:42:34

導(dǎo)語(yǔ):如何才能寫好一篇企業(yè)信息安全現(xiàn)狀,這就需要搜集整理更多的資料和文獻(xiàn),歡迎閱讀由公務(wù)員之家整理的十篇范文,供你借鑒。

企業(yè)信息安全現(xiàn)狀

篇1

關(guān)鍵詞:信息安全;現(xiàn)狀;策略

     信息安全管理已經(jīng)成為企業(yè)加強(qiáng)信息化進(jìn)程以及提高企業(yè)管理水平的一項(xiàng)重要內(nèi)容,它是確保企業(yè)信息管理系統(tǒng)高效運(yùn)行,促進(jìn)企業(yè)健康、穩(wěn)定發(fā)展的一個(gè)重要前提。近幾年來,隨著ERP在企業(yè)中的投入使用,使企業(yè)的信息化工作內(nèi)容得以拓展,企業(yè)對(duì)信息系統(tǒng)的安全性也日益關(guān)注,怎樣保證信息系統(tǒng)的安全、高效,已經(jīng)成為擺在各個(gè)企業(yè)面前的一項(xiàng)重要課題。

1.信息安全管理意義

1.1信息安全是企業(yè)實(shí)現(xiàn)可持續(xù)發(fā)展的需要

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的普及應(yīng)用,如何確保涉及到企業(yè)經(jīng)營(yíng)發(fā)展的各種信息、資料的安全性,已經(jīng)成為企業(yè)必須要解決的一個(gè)問題?,F(xiàn)階段,大多數(shù)企業(yè)的數(shù)據(jù)信息,甚至是關(guān)系到企業(yè)戰(zhàn)略規(guī)劃的重要信息,都是以電子文件的形式進(jìn)行保存的,對(duì)于企業(yè)來說,這些信息如果泄露、丟失或者遭到惡意破壞,其后果是不堪設(shè)想的。因此,企業(yè)必須要具有預(yù)見性與前瞻性,要站在戰(zhàn)略發(fā)展的高度來看待信息安全問題,必須建立起一套操作性強(qiáng)的防范機(jī)制,要從操作系統(tǒng)、芯片技術(shù)以及網(wǎng)絡(luò)建設(shè)等方面入手,就安全保障體系進(jìn)行積極構(gòu)建。

1.2信息安全是實(shí)現(xiàn)企業(yè)平穩(wěn)、健康發(fā)展的前提

現(xiàn)階段,我國(guó)企業(yè)的信息安全建設(shè),還沒有形成一個(gè)成熟,可供廣泛借鑒的安全體系,同時(shí)基礎(chǔ)也相對(duì)薄弱,這些問題都亟待解決。而且信息安全已經(jīng)成為關(guān)系企業(yè)未來發(fā)展的一個(gè)重要問題,我們必須要認(rèn)清加強(qiáng)企業(yè)信息安全建設(shè)的緊迫性,要從維護(hù)企業(yè)利益的角度來看待信息安全建設(shè)問題,做好基礎(chǔ)設(shè)施的建設(shè)工作,以及信息安全體系的構(gòu)建工作,實(shí)現(xiàn)企業(yè)的平穩(wěn)、健康發(fā)展。

1.3信息安全是知識(shí)經(jīng)濟(jì)時(shí)展的需要

計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的普及應(yīng)用,使得企業(yè)內(nèi)部各部門之間的信息交換,以及企業(yè)對(duì)外部信息的獲取日益頻繁,這也令企業(yè)對(duì)網(wǎng)絡(luò)技術(shù)愈加依賴,計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)對(duì)整個(gè)商業(yè)運(yùn)作方式也帶來了巨大的影響,從而出現(xiàn)了電子商務(wù),也對(duì)企業(yè)生產(chǎn)方式、經(jīng)營(yíng)理念,產(chǎn)生了巨大的沖擊,推動(dòng)了企業(yè)發(fā)展以及現(xiàn)代經(jīng)營(yíng)理念的構(gòu)建。但是,信息的安全問題也日益突出,比如信息在存儲(chǔ)、處理以及傳輸過程中經(jīng)常存在著被非法截取、惡意破壞以及篡改的現(xiàn)象。所以,信息安全是知識(shí)經(jīng)濟(jì)時(shí)代這一大背景下,企業(yè)發(fā)展必須要解決的問題。

2.信息安全管理的現(xiàn)狀

2.1信息管理的安全意識(shí)方面

人員、機(jī)器設(shè)備、原材料、制度是一個(gè)企業(yè)在進(jìn)行生產(chǎn)經(jīng)營(yíng)時(shí)不可缺少的幾個(gè)基本要素,隨著知識(shí)經(jīng)濟(jì)的到來,信息的重要性日益受到企業(yè)管理界的認(rèn)同,信息也理所當(dāng)然的成為生產(chǎn)經(jīng)營(yíng)過程中,不可或缺的一個(gè)非常重要的因素。但是就目前的企業(yè)對(duì)信息安全管理的重視程度來看,遠(yuǎn)遠(yuǎn)還不夠,忽視對(duì)企業(yè)內(nèi)部各種信息資產(chǎn)的保護(hù),其結(jié)果必然會(huì)為企業(yè)帶來無法估計(jì)的損失,因此,企業(yè)必須要提高對(duì)信息管理安全系統(tǒng)的認(rèn)識(shí),積極構(gòu)建、完善這一系統(tǒng),保證企業(yè)信息的安全。

2.2網(wǎng)絡(luò)協(xié)議方面

我們?cè)趯?duì)計(jì)算機(jī)信息系統(tǒng)進(jìn)行安全維護(hù)時(shí),保證網(wǎng)絡(luò)協(xié)議的安全是維護(hù)系統(tǒng)安全的一個(gè)重要問題,但是計(jì)算機(jī)系統(tǒng)的部分協(xié)議,比如TCP/IP 協(xié)議,這部分協(xié)議以及其構(gòu)架通常也是在因特網(wǎng)上進(jìn)行共享的,這樣必然會(huì)為系統(tǒng)的安全埋下隱患。而且這也是計(jì)算機(jī)信息系統(tǒng)安全構(gòu)成威脅的一個(gè)主要來源,而它對(duì)計(jì)算機(jī)系統(tǒng)的破壞是巨大的。所以,我們?cè)趯?duì)計(jì)算機(jī)信息系統(tǒng)進(jìn)行維護(hù)時(shí),必須要關(guān)注到這一點(diǎn),杜絕類似事件的發(fā)生。現(xiàn)階段,注意網(wǎng)絡(luò)不明信息、非法訪問以及網(wǎng)絡(luò)協(xié)議等對(duì)系統(tǒng)安全構(gòu)成威脅的問題,是確保信息傳送過程安全性的重要前提,是我們?cè)跇?gòu)建企業(yè)信息網(wǎng)絡(luò)系統(tǒng)時(shí),必須要考慮的問題。

2.3信息安全產(chǎn)品本身存在的問題

通常情況下,多數(shù)企業(yè)在建設(shè)信息管理系統(tǒng)的同時(shí),也采用了相關(guān)的信息安全產(chǎn)品。如果信息安全產(chǎn)品本身存在著漏洞的話,這必然會(huì)直接導(dǎo)致企業(yè)信息系統(tǒng)安全機(jī)制的失效。但是計(jì)算機(jī)系統(tǒng)的安全隱患絕不局限于產(chǎn)品本身存在的缺陷,如果信息安全產(chǎn)品本身是完善的,不存在著任何缺陷與隱患,但是我們?cè)谑褂卯a(chǎn)品的過程中,會(huì)因?yàn)橛脩襞渲?、操作上的失誤,或者對(duì)產(chǎn)品安全性能不夠了解,使其性能降低,而起不到保護(hù)系統(tǒng)安全的作用也是有可能的。

2.4資金投入不夠

我國(guó)企業(yè)想要對(duì)信息安全系統(tǒng)進(jìn)行構(gòu)建,就必須投入大量的資金,同時(shí)還要吸引IT人才,加入到信息安全系統(tǒng)建設(shè)團(tuán)隊(duì)。但是就目前我國(guó)信息安全系統(tǒng)構(gòu)建的現(xiàn)狀來看,還有很多不如人意的在方,尤其是在資金投入方面,一個(gè)項(xiàng)目如果缺少資金投入,那么一切都是空談。筆者在實(shí)際工作中發(fā)現(xiàn),有些企業(yè)非常重視硬件設(shè)備的投入,但軟件投入比較滯后,這就使硬件部分強(qiáng)大的功能無法得到充分發(fā)揮。

3.加強(qiáng)信息安全管理的策略

3.1提高信息管理的安全意識(shí)

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的快速發(fā)展,網(wǎng)絡(luò)犯罪有逐年上升的趨勢(shì),電腦病毒、網(wǎng)絡(luò)黑客對(duì)計(jì)算機(jī)系統(tǒng)的攻擊與日俱增,企業(yè)必須出于自身利益的考慮,來加強(qiáng)信息安全管理方面的建設(shè),首先要從加大宣傳,提高安全意識(shí)方面入手。企業(yè)可以定期舉行有關(guān)信息管理安全意識(shí)方面的講座、報(bào)告以及相關(guān)的培訓(xùn)教育工作,使領(lǐng)導(dǎo)干部、普通員工提高對(duì)信息管理安全的重視程度,使安全防范意識(shí)深入人心,這樣有利于加強(qiáng)信息安全管理工作的全面展開。

3.2設(shè)計(jì)加密體制對(duì)系統(tǒng)進(jìn)行保護(hù)

當(dāng)今社會(huì)是一個(gè)信息化程度高度發(fā)達(dá)的社會(huì),人們利用互聯(lián)網(wǎng)對(duì)信息進(jìn)行收集、整理、分析、處理的程度越來越高,這樣必然會(huì)導(dǎo)致信息安全方面存在著一定的隱患,如果我們不采取有效措施加以防范,一旦發(fā)生問題,對(duì)企業(yè)造成的危害是無法想象的。針對(duì)網(wǎng)絡(luò)所存在的安全隱患,我們可以采用加密系統(tǒng)對(duì)網(wǎng)內(nèi)數(shù)據(jù)、文檔以及口令進(jìn)行保護(hù)。如此一來,我們?cè)诰W(wǎng)上進(jìn)行數(shù)據(jù)傳送的過程,也更具針對(duì)性。加密管理過程,通常分為鏈路加密、節(jié)點(diǎn)加密與端點(diǎn)加密三個(gè)種類,我們可以根據(jù)企業(yè)的實(shí)際需求進(jìn)行選擇。

3.3加強(qiáng)系統(tǒng)軟件方面的建設(shè)

一般來說,計(jì)算機(jī)無論使用哪一種版本的操作系統(tǒng),都會(huì)存在著一定的安全隱患,這個(gè)世界沒有十全十美的東西,我們對(duì)操作系統(tǒng)也不能苛求太多。因此,這就需要我們采取積 極、有效的措施來提高系統(tǒng)的安全性,以期對(duì)操作系統(tǒng)進(jìn)行很好的維護(hù)。比如對(duì)數(shù)據(jù)庫(kù)軟件、計(jì)算信息管理軟件進(jìn)行更新,終端操作系統(tǒng)要與數(shù)據(jù)庫(kù)操作系統(tǒng)在版本上要統(tǒng)一,這樣可以便于管理,提高信息管理系統(tǒng)的防御能力。

3.4增加企業(yè)信息安全建設(shè)的投入

信息化已經(jīng)成為社會(huì)發(fā)展的一個(gè)主流趨勢(shì),企業(yè)必須要借助好這個(gè)“東風(fēng)”,來加強(qiáng)自身的信息安全建設(shè)。任何一個(gè)項(xiàng)目的啟動(dòng),都離不開資金的投入,企業(yè)必須為信息安全建設(shè)提供物質(zhì)基礎(chǔ),比如購(gòu)置專用服務(wù)器、軟件以及將IT資產(chǎn)外包等等,保證信息安全建設(shè)的順利完成。

4.總結(jié):

綜上所述,信息安全對(duì)企業(yè)的發(fā)展有著非常重大的意義,它不但是企業(yè)自身實(shí)現(xiàn)可持續(xù)發(fā)展的需要,也是知識(shí)經(jīng)濟(jì)時(shí)代背景下,企業(yè)的必然選擇,我們可以從提高信息管理的安全意識(shí);設(shè)計(jì)加密體制對(duì)系統(tǒng)進(jìn)行保護(hù);加強(qiáng)系統(tǒng)軟件方面的建設(shè);增加企業(yè)信息安全建設(shè)的投入等方面入手,加強(qiáng)企業(yè)信息安全管理方面的建設(shè)。

參考文獻(xiàn):

[1]姜樺,郭永利.企業(yè)信息安全策略研究[J].焦作大學(xué)學(xué)報(bào),2009,(01) .

篇2

關(guān)鍵詞:信息安全;威脅;管理模式;桌面終端

在當(dāng)今的信息時(shí)代,我們的生活和工作方式受到信息技術(shù)發(fā)展的巨大影響,時(shí)時(shí)刻刻都在發(fā)生著改變,而現(xiàn)行企事業(yè)單位的管理模式也在這種“大環(huán)境”下不斷地推陳出新。作為各大國(guó)有企事業(yè)信息管理部門,必須考慮到當(dāng)前技術(shù)的發(fā)展給我們的工作帶來的機(jī)遇和威脅。

一、當(dāng)前信息網(wǎng)絡(luò)的安全形勢(shì)

目前,幾乎所有企業(yè)、事業(yè)單位、行政部門都面臨著內(nèi)部信息泄漏的問題。FBI對(duì)484家公司調(diào)查顯示:85%的安全損失是由企業(yè)內(nèi)部原因造成的。面對(duì)來自于公司內(nèi)部的安全威脅,很多員工都有切身感受,雖然不會(huì)有股票的跌漲刺激感官?gòu)?qiáng)烈,但是他們一定遇到過類似的事情。由于粗心誤操作造成公司服務(wù)器上重要文檔丟失;由于沒有設(shè)定員工在系統(tǒng)內(nèi)的訪問權(quán)限,使一些業(yè)務(wù)秘密出現(xiàn)在本不應(yīng)有查閱權(quán)的員工計(jì)算機(jī)上,并不小心將其泄露……對(duì)于這些來自公司內(nèi)部的信息安全問題,不是簡(jiǎn)單的安裝了殺毒軟件或防火墻就能解決的,單純的“免疫”手段在“網(wǎng)絡(luò)風(fēng)險(xiǎn)”、“軟件風(fēng)險(xiǎn)”日益嚴(yán)重的今天,都已經(jīng)不足以讓人信任和依賴。

據(jù)調(diào)查統(tǒng)計(jì),90%以上的計(jì)算機(jī)終端用戶使用的是windows2000,XP或以上的操作系統(tǒng),而這些系統(tǒng)的安全漏洞及系統(tǒng)缺陷非常多。雖然微軟公司會(huì)通過定期在網(wǎng)站上安全補(bǔ)丁來彌補(bǔ)這些漏洞,而一些軟件公司也會(huì)對(duì)自己開發(fā)的軟件進(jìn)行不斷地更新和升級(jí),但由于終端用戶缺乏相關(guān)知識(shí),導(dǎo)致補(bǔ)丁安裝的不及時(shí)、不完全,這就會(huì)影響終端計(jì)算機(jī)的安全,從而影響整個(gè)內(nèi)部網(wǎng)絡(luò)安全。

二、企事業(yè)單位網(wǎng)絡(luò)終端計(jì)算機(jī)安全現(xiàn)狀

大中型企事業(yè)單位、政府辦公網(wǎng)絡(luò),桌面終端計(jì)算機(jī)數(shù)量隨著辦公的需要不斷增多,而出現(xiàn)的網(wǎng)絡(luò)問題也日趨明顯。常見的情況主要有:計(jì)算機(jī)感染病毒、被安裝木馬;有些不明程序不斷搶占IP地址(ARP病毒)堵塞整個(gè)網(wǎng)段,使該網(wǎng)段用戶都不能上網(wǎng)。除此以外,部分員工使用公司辦公電腦私自從網(wǎng)絡(luò)上下載海量資源,迅雷、BT、電驢這些下載工具都會(huì)搶占網(wǎng)絡(luò)通道,這樣就導(dǎo)致了其他一些用戶使用辦公電腦辦公時(shí)網(wǎng)速非常低,嚴(yán)重時(shí)網(wǎng)頁(yè)無法顯示,不僅影響了其他員工的工作,還降低了整個(gè)公司的工作效率。

這種問題在當(dāng)下的網(wǎng)絡(luò)時(shí)代普遍存在于現(xiàn)有的企事業(yè)單位,尤其是一些已經(jīng)擺脫了紙張,進(jìn)入“無紙化”辦公的先進(jìn)單位更為明顯。由于難于發(fā)現(xiàn)高危計(jì)算機(jī),并對(duì)其進(jìn)行定位,因此一旦問題發(fā)生,就需要大量的故障排查時(shí)間。如果同時(shí)有多臺(tái)計(jì)算機(jī)感染網(wǎng)絡(luò)病毒或者進(jìn)行非法操作,就會(huì)造成網(wǎng)絡(luò)癱瘓,從而致使其他正常網(wǎng)絡(luò)業(yè)務(wù)無法使用。

現(xiàn)階段,所有企業(yè)都在努力尋找一種有效的手段來扭轉(zhuǎn)這種嚴(yán)峻的局面,并盡可能地出臺(tái)大量的信息網(wǎng)絡(luò)管理規(guī)定。例如:禁止在辦公計(jì)算機(jī)內(nèi)安裝BT下載軟件,禁止在個(gè)人終端設(shè)備中安裝網(wǎng)絡(luò)游戲軟件,禁止私自更改電腦的安全設(shè)置,禁止將外部的電腦接入單位的內(nèi)部網(wǎng)絡(luò)等行為。但是,由于缺乏技術(shù)和管理手段、考核制度、使用標(biāo)準(zhǔn)、用機(jī)規(guī)范等,都不能夠有效切實(shí)地執(zhí)行,這樣就使企業(yè)內(nèi)部的信息網(wǎng)絡(luò)安全水平很低,衍生了諸多不可控制的安全隱患。

三、通過網(wǎng)絡(luò)防護(hù)與終端防護(hù)共筑信息安全長(zhǎng)城

以往提起信息安全,人們更多地把注意力集中在防火墻、防病毒、IDS(入侵檢測(cè))、網(wǎng)御設(shè)備、網(wǎng)絡(luò)交換設(shè)備的管理上,卻忽略了對(duì)網(wǎng)絡(luò)環(huán)境中的計(jì)算單元――服務(wù)器、臺(tái)式機(jī)乃至便攜機(jī)的管理。

近兩年的安全防御調(diào)查表明,政府、企事業(yè)單位中超過80%的管理和安全問題來自終端,計(jì)算機(jī)終端廣泛涉及每個(gè)用戶,由于其分散性、不被重視、安全手段缺乏的特點(diǎn),已成為信息安全體系的薄弱環(huán)節(jié)。因此,隨著信息技術(shù)的不斷進(jìn)步,網(wǎng)絡(luò)安全防護(hù)的工作重點(diǎn)開始發(fā)生轉(zhuǎn)移,安全戰(zhàn)場(chǎng)已經(jīng)逐步由核心與主干的防護(hù),轉(zhuǎn)向網(wǎng)絡(luò)邊緣的每一個(gè)終端。網(wǎng)絡(luò)管理員已經(jīng)不是信息安全的唯一負(fù)責(zé)人,計(jì)算機(jī)終端用戶才是信息安全的第一責(zé)任人。

四、建設(shè)桌面終端安全管理系統(tǒng)的意義

伴隨著網(wǎng)絡(luò)管理業(yè)務(wù)密集度的增加,在信息安全防護(hù)領(lǐng)域興起了終端桌面安全管理技術(shù)。作為網(wǎng)絡(luò)管理技術(shù)衍生的邊緣產(chǎn)物,它同傳統(tǒng)安全防御體系的缺陷相關(guān)聯(lián),是傳統(tǒng)網(wǎng)絡(luò)安全防范體系的補(bǔ)充,也是未來網(wǎng)絡(luò)安全防范體系的重要組成部分。由此看來,終端桌面管理的發(fā)展趨勢(shì)和技術(shù)特點(diǎn),才是信息安全防護(hù)趨勢(shì)的導(dǎo)向。在進(jìn)行桌面終端安全防護(hù)部署時(shí),必須把提升信息安全的關(guān)鍵放在提升計(jì)算機(jī)終端安全水平上。

如何有效地管理計(jì)算機(jī)終端成了當(dāng)前的熱點(diǎn)話題,而桌面計(jì)算機(jī)安全管理系統(tǒng)的應(yīng)運(yùn)而生就顯得尤為重要了。第一可以通過批量設(shè)置計(jì)算機(jī)的安全保護(hù)措施提高桌面計(jì)算機(jī)的安全性,及時(shí)更新桌面計(jì)算機(jī)的安全補(bǔ)丁,減少被攻擊的可能;第二,它還可以實(shí)現(xiàn)動(dòng)態(tài)安全評(píng)估,實(shí)時(shí)評(píng)估計(jì)算機(jī)的安全狀態(tài)及其是否符合管理規(guī)定,比如說,評(píng)估計(jì)算機(jī)的網(wǎng)絡(luò)流量是否異常,評(píng)估計(jì)算機(jī)是否做了非法操作,評(píng)估計(jì)算機(jī)的安全設(shè)置是否合理等;第三,通過系統(tǒng)中進(jìn)行策略的配置,對(duì)計(jì)算機(jī)終端進(jìn)行批量的軟件安裝、批量的安全設(shè)置等,防止外來電腦非法接入,避免網(wǎng)絡(luò)安全遭受破壞或者信息泄密;第四,利用桌面系統(tǒng)的高科技手段,能夠確保本單位的計(jì)算機(jī)使用制度得到落實(shí),使“禁止撥號(hào)上網(wǎng),禁止使用外部郵箱,禁止訪問非法網(wǎng)站,禁止將單位機(jī)密文件復(fù)制、發(fā)送到外部”等這一系列管理措施得以貫徹和執(zhí)行;第五,在網(wǎng)絡(luò)出現(xiàn)安全問題后,桌面終端系統(tǒng)可以對(duì)有問題的IP/MAC/主機(jī)名等進(jìn)行快速的定位,便于管理員迅速排查故障;最后一點(diǎn)可以稱之為桌面系統(tǒng)的“增值服務(wù)”,在保證信息網(wǎng)絡(luò)安全的同時(shí),還能對(duì)計(jì)算機(jī)的資產(chǎn)進(jìn)行有效地管理和控制。

這些功能的實(shí)現(xiàn),淺表地說能夠持續(xù)有效地解決大批量的計(jì)算機(jī)終端安全管理問題,真正的意義在于能夠切實(shí)地幫助企業(yè)內(nèi)部各種管理規(guī)定有效地執(zhí)行。如今憑借這些高科技手段,全面提升企事業(yè)單位內(nèi)部信息化工作水平已經(jīng)不再是紙上談兵。

五、結(jié)語(yǔ)

企事業(yè)單位要在信息技術(shù)高速發(fā)展的今天立于不敗之地,就必須結(jié)合自身客戶的網(wǎng)絡(luò)結(jié)構(gòu)、終端特點(diǎn)和管理模式,搭建安全、穩(wěn)固的內(nèi)部IT架構(gòu)。而桌面終端安全管理的應(yīng)用,將極大地提高信息安全系數(shù),使企業(yè)信息風(fēng)險(xiǎn)降到最低。

參考文獻(xiàn):

[1] 閆龍川,劉永志,來鳳剛.計(jì)算機(jī)終端安全管理系統(tǒng)及其應(yīng)用[J].電力信息化,2009,(7).

[2] 馬國(guó)勝.桌面安全管理系統(tǒng)的應(yīng)用[J].中國(guó)金融電腦,2009,(4).

篇3

企業(yè)經(jīng)營(yíng)信息對(duì)于企業(yè)來說是一種資源,對(duì)于企業(yè)自身來說具有重要意義,企業(yè)需要妥善管理自身企業(yè)的信息。近年來,企業(yè)的各項(xiàng)經(jīng)營(yíng)活動(dòng)都逐漸開始通過計(jì)算機(jī),網(wǎng)絡(luò)開展,因此,企業(yè)的信息安全管理對(duì)于企業(yè)越來越重要。許多企業(yè)開始通過各種技術(shù)手段以及制度改革,把更多的注意力放在企業(yè)內(nèi)部的信息安全管理工作,同時(shí)將企業(yè)信息安全管理與風(fēng)險(xiǎn)控制結(jié)合起來,這是一個(gè)正確的選擇,能夠幫助企業(yè)實(shí)現(xiàn)穩(wěn)定經(jīng)營(yíng)。在介紹企業(yè)信息安全管理以及風(fēng)險(xiǎn)控制前必須厘清企業(yè)信息安全管理的概念與企業(yè)風(fēng)險(xiǎn)控制定義,因此,本節(jié)將著重介紹企業(yè)信息安全管理的概念以及企業(yè)風(fēng)險(xiǎn)控制的定義。

企業(yè)的信息安全管理包含十分豐富的內(nèi)容,簡(jiǎn)單來說是指企業(yè)通過各種手段來保護(hù)企業(yè)硬件和軟件,保護(hù)網(wǎng)絡(luò)存儲(chǔ)中的各種數(shù)據(jù)不受偶然因素的破壞或者惡意的原因被攻擊。對(duì)于信息安全的認(rèn)定通過包括4個(gè)指標(biāo),即保證信息數(shù)據(jù)的完整,保證信息數(shù)據(jù)不被泄露,保證信息數(shù)據(jù)能夠正常使用,保證信息數(shù)據(jù)能夠控制管理。要想做好企業(yè)的信息安全管理,首先需要了解的是關(guān)于信息的傳輸方式。隨著信息技術(shù)的不斷普及,信息傳遞的方式越來越多,常見的信息傳遞方式主要有互聯(lián)網(wǎng)傳播,局域網(wǎng)傳播,硬件傳播等等。要想實(shí)現(xiàn)企業(yè)的信息安全管理,其中很重要的一項(xiàng)工作在于保護(hù)信源、信號(hào)以及信息。信息安全管理是一項(xiàng)需要綜合學(xué)科知識(shí)基礎(chǔ)的工作,從事企業(yè)信息安全管理工作的人員通過需要具有網(wǎng)絡(luò)安全技術(shù)、計(jì)算機(jī)技術(shù)、密碼技術(shù)、通信技術(shù)。從企業(yè)的信息安全管理來講,最為關(guān)鍵的一項(xiàng)工作時(shí)保護(hù)企業(yè)內(nèi)部經(jīng)營(yíng)信息數(shù)據(jù)的完整。經(jīng)過近十年來的企業(yè)信息安全管理工作經(jīng)驗(yàn)總結(jié),企業(yè)信息安全不僅僅需要信息技術(shù)的支持,更需要通過建立完善的企業(yè)風(fēng)險(xiǎn)控制體系來幫助企業(yè)實(shí)現(xiàn)更好地保護(hù)企業(yè)信息安全的目標(biāo)。

所以,怎樣把企業(yè)信息安全管理與風(fēng)險(xiǎn)控制融合起來就是擺在企業(yè)經(jīng)營(yíng)管理者面前的一道難題。企業(yè)的信息安全風(fēng)險(xiǎn)控制必須通過企業(yè)建立完善的企業(yè)信息安全風(fēng)險(xiǎn)體系實(shí)現(xiàn)。企業(yè)的信息安全風(fēng)險(xiǎn)控制是指企業(yè)在企業(yè)信息安全遭遇威脅之前,提前對(duì)企業(yè)的信息進(jìn)行風(fēng)險(xiǎn)預(yù)估,并采取一系列的有針對(duì)性的活動(dòng)降低企業(yè)面臨的信息安全風(fēng)險(xiǎn),從而盡可能減少因?yàn)槠髽I(yè)本身信息安全管理中存在漏洞給企業(yè)帶來不必要的損失。常見的企業(yè)信息安全風(fēng)險(xiǎn)體系建立主要包含以下幾個(gè)方面的內(nèi)容。第一,建立企業(yè)信息安全風(fēng)險(xiǎn)管理制度,明確企業(yè)信息安全管理的責(zé)任分配機(jī)制,明確企業(yè)各個(gè)部門對(duì)各自信息安全所應(yīng)承擔(dān)的責(zé)任,并建立相應(yīng)的問責(zé)機(jī)制。第二,設(shè)置規(guī)范的企業(yè)信息安全風(fēng)險(xiǎn)管理指標(biāo),對(duì)企業(yè)存在的可能威脅企業(yè)信息安全管理的漏洞予以風(fēng)險(xiǎn)定級(jí),方便企業(yè)管理者對(duì)不同的信息安全管理漏洞采取有區(qū)別的對(duì)策。第三,企業(yè)要加強(qiáng)對(duì)信息安全管理人員的培訓(xùn),提高企業(yè)信息安全管理工作人員的風(fēng)險(xiǎn)意識(shí),讓企業(yè)內(nèi)部從事信息安全管理工作人員認(rèn)識(shí)到自身工作的重要性,讓企業(yè)內(nèi)部從事信息安全管理工作人員了解到規(guī)范自身行為,正確履行職責(zé)的重要性。第四,將企業(yè)信息安全管理與風(fēng)險(xiǎn)控制有效融合,重視企業(yè)信息安全管理工作,通過風(fēng)險(xiǎn)控制對(duì)企業(yè)內(nèi)部信息安全的管理方式進(jìn)行正確評(píng)估,找出現(xiàn)行的企業(yè)內(nèi)部信息安全管理手段中存在容易忽視的地方。

二、企業(yè)信息安全管理與風(fēng)險(xiǎn)控制存在的不足

1.企業(yè)信息安全管理工作人員素質(zhì)不高

對(duì)于企業(yè)來說,企業(yè)信息安全管理工作是一項(xiàng)極為重要而隱秘的工作,因此,必須增強(qiáng)對(duì)企業(yè)信息安全管理工作人員的素質(zhì)要求。但是根據(jù)調(diào)查統(tǒng)計(jì),目前很多企業(yè)對(duì)信息安全工作的管理僅僅停留在對(duì)企業(yè)信息安全管理工作人員的技術(shù)要求上,對(duì)企業(yè)信息安全管理工作人員的道德素養(yǎng),職業(yè)素養(yǎng),風(fēng)險(xiǎn)意識(shí)并沒有嚴(yán)格要求。此外,絕大多數(shù)企業(yè)并沒有意識(shí)開展對(duì)企業(yè)信息安全管理工作的道德素質(zhì)的教育培訓(xùn),并沒有通過建立相關(guān)管理制度以及問責(zé)機(jī)制對(duì)企業(yè)信息安全管理工作人員實(shí)行監(jiān)督,這無疑給別有用心或者立場(chǎng)不堅(jiān)定的企業(yè)信息安全管理工作人員留下了危害企業(yè)信息安全的可乘之機(jī)。

2.企業(yè)信息安全管理技術(shù)不過關(guān)

企業(yè)信息安全管理工作涉及多許多技術(shù),包括信息技術(shù),計(jì)算機(jī)技術(shù),密碼技術(shù),網(wǎng)絡(luò)應(yīng)用技術(shù)等等,應(yīng)當(dāng)說成熟的計(jì)算機(jī)應(yīng)用技術(shù)是做好企業(yè)信息安全管理的基礎(chǔ),但是,現(xiàn)實(shí)是許多企業(yè)的信息安全管理技術(shù)并不過關(guān),一方面企業(yè)的信息安全管理硬件并不過關(guān),在物理層面對(duì)企業(yè)信息缺乏保護(hù),另一方面,企業(yè)信息安全管理工作的專業(yè)技術(shù)沒有及時(shí)更新,一些企業(yè)信息安全管理工作人員缺乏企業(yè)信息安全管理的實(shí)踐經(jīng)驗(yàn),企業(yè)信息安全管理的知識(shí)也并沒有及時(shí)更新,從而導(dǎo)致企業(yè)的信息安全管理理論嚴(yán)重滯后,這種技術(shù)的落后很容易讓企業(yè)成為不法分子的攻擊對(duì)象。近年來網(wǎng)絡(luò)病毒的傳播越來越猖狂,很多服務(wù)器、系統(tǒng)提示安全補(bǔ)丁的下載更新以及客戶端的時(shí)常更新成為一個(gè)惱人的問題。作為一個(gè)行業(yè)中的大中型企業(yè),企業(yè)內(nèi)部設(shè)備數(shù)量比較多,尤其是客戶端數(shù)量占了較大比重,僅僅靠少數(shù)幾個(gè)管理員進(jìn)行管理是難以承擔(dān)如此大量的工作量。另外,企業(yè)信息安全管理系統(tǒng)不成熟也是一個(gè)重大的隱患。

3.企業(yè)信息安全管理制度不健全

企業(yè)信息安全管理制度不僅僅需要理論制度的完善,更加需要一系列配套監(jiān)督機(jī)制保障企業(yè)信息安全管理的有效執(zhí)行。通過調(diào)查分析,許多企業(yè)雖然建立了企業(yè)信息安全管理制度,但是通常情況下,這些制度只能流于形式,企業(yè)信息安全管理工作缺少有效的制約和監(jiān)督,企業(yè)信息安全管理工作人員缺乏執(zhí)行力。企業(yè)信息安全管理制度不健全,企業(yè)信息安全管理工作缺乏執(zhí)行力常常體現(xiàn)在以下幾個(gè)方面。第一,企業(yè)員工對(duì)于信息安全管理的認(rèn)識(shí)嚴(yán)重不足,對(duì)企業(yè)信息安全管理工作不重視。企業(yè)內(nèi)部計(jì)算機(jī)系統(tǒng)安全的計(jì)算機(jī)防病毒軟件并沒有及時(shí)更新,使用,甚至企業(yè)內(nèi)部計(jì)算機(jī)的防病毒軟件還被企業(yè)員工卸載了。部分企業(yè)員工認(rèn)為自己的工作與企業(yè)信息安全管理不相關(guān),認(rèn)為做好企業(yè)信息安全管理工作僅僅是企業(yè)信息安全部門的事。第二,企業(yè)內(nèi)部信息安全管理制度并沒有形成聯(lián)動(dòng)機(jī)制,企業(yè)信息安全管理工作僅僅由企業(yè)信息安全部門“一人包干”,企業(yè)信息安全反映的問題并沒有得到積極的反饋,一些企業(yè)領(lǐng)導(dǎo)對(duì)企業(yè)信息安全現(xiàn)狀所了解的少之又少。

三、企業(yè)信息安全管理常見的技術(shù)手段

1.OSI安全體系結(jié)構(gòu)

OSI概念化的安全體系結(jié)構(gòu)是一個(gè)多層次的結(jié)構(gòu),它的設(shè)計(jì)初衷是面向客戶的,提供給客戶各種安全應(yīng)用,安全應(yīng)用必須依靠安全服務(wù)來實(shí)現(xiàn),而安全服務(wù)又是由各種安全機(jī)制來保障的。所以,安全服務(wù)標(biāo)志著一個(gè)安全系統(tǒng)的抗風(fēng)險(xiǎn)的能力,安全服務(wù)數(shù)量越多,系統(tǒng)就越安全。

2.P2DR模型

P2DR模型包含四個(gè)部分:響應(yīng)、安全策略、檢測(cè)、防護(hù)。安全策略是信息安全的重點(diǎn),為安全管理提供管理途徑和保障手段。因此,要想實(shí)施動(dòng)態(tài)網(wǎng)絡(luò)安全循環(huán)過程,必須制定一個(gè)企業(yè)的安全模式。在安全策略的指導(dǎo)下實(shí)施所有的檢測(cè)、防護(hù)、響應(yīng),防護(hù)通常是通過采用一些傳統(tǒng)的靜態(tài)安全技術(shù)或者方法來突破的,比如有防火墻、訪問控制、加密、認(rèn)證等方法,檢測(cè)是動(dòng)態(tài)響應(yīng)的判斷依據(jù),同時(shí)也是有力落實(shí)安全策略的實(shí)施工具,通過監(jiān)視來自網(wǎng)絡(luò)的入侵行為,可以檢測(cè)出騷擾行為或錯(cuò)誤程序?qū)е碌木W(wǎng)絡(luò)不安全因素;經(jīng)過不斷地監(jiān)測(cè)網(wǎng)絡(luò)和系統(tǒng)來發(fā)現(xiàn)新的隱患和弱點(diǎn)。在安全系統(tǒng)中,應(yīng)急響應(yīng)占有重要的地位,它是解決危險(xiǎn)潛在性的最有效的辦法。

3.HTP模型

HTP最為強(qiáng)調(diào)企業(yè)信息安全管理工作人員在整個(gè)系統(tǒng)中的價(jià)值。企業(yè)信息安全工作人員企業(yè)信息安全最為關(guān)鍵的參與者,企業(yè)信息安全工作人員直接主導(dǎo)企業(yè)信息安全管理工作,企業(yè)信息安全工作人員不僅僅是企業(yè)信息安全的保障者,也是企業(yè)信息安全管理的威脅者。因此,HTP模型最為強(qiáng)調(diào)對(duì)企業(yè)信息安全管理工作人員的管理與監(jiān)督。另外,HTP模式同樣是建立在企業(yè)信心安全體系,信息安全技術(shù)防范的基礎(chǔ)上,HTP模式采取了豐富的安全技術(shù)手段確保企業(yè)的信息安全。最后,HTP強(qiáng)調(diào)動(dòng)態(tài)管理,動(dòng)態(tài)監(jiān)督,對(duì)于企業(yè)信息安全管理工作始終保持高強(qiáng)度的監(jiān)督與管理,在實(shí)際工作中,通過HTP模型的應(yīng)用,找出HTP模型中的漏洞并不斷完善。

四、完善企業(yè)信息安全管理與降低風(fēng)險(xiǎn)的建議

1.建設(shè)企業(yè)信息安全管理系統(tǒng)

(1)充分調(diào)查和分析企業(yè)的安全系統(tǒng),建立一個(gè)全面合理的系統(tǒng)模型,安全系統(tǒng)被劃分成各個(gè)子系統(tǒng),明確實(shí)施步驟和功能摸塊,將企業(yè)常規(guī)管理工作和安全管理聯(lián)動(dòng)協(xié)議相融合,實(shí)現(xiàn)信息安全監(jiān)控的有效性和高效性。

(2)成立一個(gè)中央數(shù)據(jù)庫(kù),整合分布式數(shù)據(jù)庫(kù)里的數(shù)據(jù),把企業(yè)的所有數(shù)據(jù)上傳到中央數(shù)據(jù)庫(kù),實(shí)現(xiàn)企業(yè)數(shù)據(jù)信息的集中管理與有效運(yùn)用。

(3)設(shè)計(jì)優(yōu)良的人機(jī)界面,通過對(duì)企業(yè)數(shù)據(jù)信息進(jìn)行有效的運(yùn)用,為企業(yè)管理階層人員、各級(jí)領(lǐng)導(dǎo)及時(shí)提供各種信息,為企業(yè)領(lǐng)導(dǎo)的正確決策提供數(shù)據(jù)支持,根本上提高信息數(shù)據(jù)的管理水平。

(4)簡(jiǎn)化企業(yè)內(nèi)部的信息傳輸通道,對(duì)應(yīng)用程序和數(shù)據(jù)庫(kù)進(jìn)行程序化設(shè)計(jì),加強(qiáng)對(duì)提高企業(yè)內(nèi)部信息處理的規(guī)范性和準(zhǔn)確性。

2.設(shè)計(jì)企業(yè)信息安全管理風(fēng)險(xiǎn)體系

(1)確定信息安全風(fēng)險(xiǎn)評(píng)估的目標(biāo)

在企業(yè)信息安全管理風(fēng)險(xiǎn)體系的設(shè)計(jì)過程中,首要工作是設(shè)計(jì)企業(yè)信息安全風(fēng)險(xiǎn)評(píng)估的目標(biāo),只有明確了企業(yè)信息安全管理的目標(biāo),明確了企業(yè)信息安全管理的要求和工作能容,才能建立相關(guān)圍繞信息安全風(fēng)險(xiǎn)控制為目標(biāo)的信息安全管理工作制度,才能順利通過對(duì)風(fēng)險(xiǎn)控制的結(jié)果的定量考核,檢測(cè)企業(yè)信息安全管理的風(fēng)險(xiǎn),定性定量地企業(yè)信息安全管理工作進(jìn)行分析,找準(zhǔn)企業(yè)信息安全管理的工作辦法。

(2)確定信息安全風(fēng)險(xiǎn)評(píng)估的范圍

不同企業(yè)對(duì)于風(fēng)險(xiǎn)的承受能力是有區(qū)別的,因此,對(duì)于不同的企業(yè)的特殊性應(yīng)該采取不同的風(fēng)險(xiǎn)控制辦法,其中,不同企業(yè)對(duì)于能夠承受的信息安全風(fēng)范圍有所不同,企業(yè)的信息安全風(fēng)險(xiǎn)承受范圍需要根據(jù)企業(yè)的實(shí)際能力來制定。不僅如此,企業(yè)的信息安全風(fēng)險(xiǎn)評(píng)估范圍也應(yīng)當(dāng)根據(jù)企業(yè)的實(shí)際經(jīng)營(yíng)情況變化采取有針對(duì)性的辦法。

篇4

企業(yè)經(jīng)營(yíng)信息對(duì)于企業(yè)來說是一種資源,對(duì)于企業(yè)自身來說具有重要意義,企業(yè)需要妥善管理自身企業(yè)的信息。近年來,企業(yè)的各項(xiàng)經(jīng)營(yíng)活動(dòng)都逐漸開始通過計(jì)算機(jī),網(wǎng)絡(luò)開展,因此,企業(yè)的信息安全管理對(duì)于企業(yè)越來越重要。許多企業(yè)開始通過各種技術(shù)手段以及制度改革,把更多的注意力放在企業(yè)內(nèi)部的信息安全管理工作,同時(shí)將企業(yè)信息安全管理與風(fēng)險(xiǎn)控制結(jié)合起來,這是一個(gè)正確的選擇,能夠幫助企業(yè)實(shí)現(xiàn)穩(wěn)定經(jīng)營(yíng)。在介紹企業(yè)信息安全管理以及風(fēng)險(xiǎn)控制前必須厘清企業(yè)信息安全管理的概念與企業(yè)風(fēng)險(xiǎn)控制定義,因此,本節(jié)將著重介紹企業(yè)信息安全管理的概念以及企業(yè)風(fēng)險(xiǎn)控制的定義。企業(yè)的信息安全管理包含十分豐富的內(nèi)容,簡(jiǎn)單來說是指企業(yè)通過各種手段來保護(hù)企業(yè)硬件和軟件,保護(hù)網(wǎng)絡(luò)存儲(chǔ)中的各種數(shù)據(jù)不受偶然因素的破壞或者惡意的原因被攻擊。對(duì)于信息安全的認(rèn)定通過包括4個(gè)指標(biāo),即保證信息數(shù)據(jù)的完整,保證信息數(shù)據(jù)不被泄露,保證信息數(shù)據(jù)能夠正常使用,保證信息數(shù)據(jù)能夠控制管理。要想做好企業(yè)的信息安全管理,首先需要了解的是關(guān)于信息的傳輸方式。隨著信息技術(shù)的不斷普及,信息傳遞的方式越來越多,常見的信息傳遞方式主要有互聯(lián)網(wǎng)傳播,局域網(wǎng)傳播,硬件傳播等等。要想實(shí)現(xiàn)企業(yè)的信息安全管理,其中很重要的一項(xiàng)工作在于保護(hù)信源、信號(hào)以及信息。信息安全管理是一項(xiàng)需要綜合學(xué)科知識(shí)基礎(chǔ)的工作,從事企業(yè)信息安全管理工作的人員通過需要具有網(wǎng)絡(luò)安全技術(shù)、計(jì)算機(jī)技術(shù)、密碼技術(shù)、通信技術(shù)。從企業(yè)的信息安全管理來講,最為關(guān)鍵的一項(xiàng)工作時(shí)保護(hù)企業(yè)內(nèi)部經(jīng)營(yíng)信息數(shù)據(jù)的完整。經(jīng)過近十年來的企業(yè)信息安全管理工作經(jīng)驗(yàn)總結(jié),企業(yè)信息安全不僅僅需要信息技術(shù)的支持,更需要通過建立完善的企業(yè)風(fēng)險(xiǎn)控制體系來幫助企業(yè)實(shí)現(xiàn)更好地保護(hù)企業(yè)信息安全的目標(biāo)。所以,怎樣把企業(yè)信息安全管理與風(fēng)險(xiǎn)控制融合起來就是擺在企業(yè)經(jīng)營(yíng)管理者面前的一道難題。企業(yè)的信息安全風(fēng)險(xiǎn)控制必須通過企業(yè)建立完善的企業(yè)信息安全風(fēng)險(xiǎn)體系實(shí)現(xiàn)。企業(yè)的信息安全風(fēng)險(xiǎn)控制是指企業(yè)在企業(yè)信息安全遭遇威脅之前,提前對(duì)企業(yè)的信息進(jìn)行風(fēng)險(xiǎn)預(yù)估,并采取一系列的有針對(duì)性的活動(dòng)降低企業(yè)面臨的信息安全風(fēng)險(xiǎn),從而盡可能減少因?yàn)槠髽I(yè)本身信息安全管理中存在漏洞給企業(yè)帶來不必要的損失。常見的企業(yè)信息安全風(fēng)險(xiǎn)體系建立主要包含以下幾個(gè)方面的內(nèi)容。第一,建立企業(yè)信息安全風(fēng)險(xiǎn)管理制度,明確企業(yè)信息安全管理的責(zé)任分配機(jī)制,明確企業(yè)各個(gè)部門對(duì)各自信息安全所應(yīng)承擔(dān)的責(zé)任,并建立相應(yīng)的問責(zé)機(jī)制。第二,設(shè)置規(guī)范的企業(yè)信息安全風(fēng)險(xiǎn)管理指標(biāo),對(duì)企業(yè)存在的可能威脅企業(yè)信息安全管理的漏洞予以風(fēng)險(xiǎn)定級(jí),方便企業(yè)管理者對(duì)不同的信息安全管理漏洞采取有區(qū)別的對(duì)策。第三,企業(yè)要加強(qiáng)對(duì)信息安全管理人員的培訓(xùn),提高企業(yè)信息安全管理工作人員的風(fēng)險(xiǎn)意識(shí),讓企業(yè)內(nèi)部從事信息安全管理工作人員認(rèn)識(shí)到自身工作的重要性,讓企業(yè)內(nèi)部從事信息安全管理工作人員了解到規(guī)范自身行為,正確履行職責(zé)的重要性。第四,將企業(yè)信息安全管理與風(fēng)險(xiǎn)控制有效融合,重視企業(yè)信息安全管理工作,通過風(fēng)險(xiǎn)控制對(duì)企業(yè)內(nèi)部信息安全的管理方式進(jìn)行正確評(píng)估,找出現(xiàn)行的企業(yè)內(nèi)部信息安全管理手段中存在容易忽視的地方。

二、企業(yè)信息安全管理與風(fēng)險(xiǎn)控制存在的不足

1.企業(yè)信息安全管理工作人員素質(zhì)不高

對(duì)于企業(yè)來說,企業(yè)信息安全管理工作是一項(xiàng)極為重要而隱秘的工作,因此,必須增強(qiáng)對(duì)企業(yè)信息安全管理工作人員的素質(zhì)要求。但是根據(jù)調(diào)查統(tǒng)計(jì),目前很多企業(yè)對(duì)信息安全工作的管理僅僅停留在對(duì)企業(yè)信息安全管理工作人員的技術(shù)要求上,對(duì)企業(yè)信息安全管理工作人員的道德素養(yǎng),職業(yè)素養(yǎng),風(fēng)險(xiǎn)意識(shí)并沒有嚴(yán)格要求。此外,絕大多數(shù)企業(yè)并沒有意識(shí)開展對(duì)企業(yè)信息安全管理工作的道德素質(zhì)的教育培訓(xùn),并沒有通過建立相關(guān)管理制度以及問責(zé)機(jī)制對(duì)企業(yè)信息安全管理工作人員實(shí)行監(jiān)督,這無疑給別有用心或者立場(chǎng)不堅(jiān)定的企業(yè)信息安全管理工作人員留下了危害企業(yè)信息安全的可乘之機(jī)。

2.企業(yè)信息安全管理技術(shù)不過關(guān)

企業(yè)信息安全管理工作涉及多許多技術(shù),包括信息技術(shù),計(jì)算機(jī)技術(shù),密碼技術(shù),網(wǎng)絡(luò)應(yīng)用技術(shù)等等,應(yīng)當(dāng)說成熟的計(jì)算機(jī)應(yīng)用技術(shù)是做好企業(yè)信息安全管理的基礎(chǔ),但是,現(xiàn)實(shí)是許多企業(yè)的信息安全管理技術(shù)并不過關(guān),一方面企業(yè)的信息安全管理硬件并不過關(guān),在物理層面對(duì)企業(yè)信息缺乏保護(hù),另一方面,企業(yè)信息安全管理工作的專業(yè)技術(shù)沒有及時(shí)更新,一些企業(yè)信息安全管理工作人員缺乏企業(yè)信息安全管理的實(shí)踐經(jīng)驗(yàn),企業(yè)信息安全管理的知識(shí)也并沒有及時(shí)更新,從而導(dǎo)致企業(yè)的信息安全管理理論嚴(yán)重滯后,這種技術(shù)的落后很容易讓企業(yè)成為不法分子的攻擊對(duì)象。近年來網(wǎng)絡(luò)病毒的傳播越來越猖狂,很多服務(wù)器、系統(tǒng)提示安全補(bǔ)丁的下載更新以及客戶端的時(shí)常更新成為一個(gè)惱人的問題。作為一個(gè)行業(yè)中的大中型企業(yè),企業(yè)內(nèi)部設(shè)備數(shù)量比較多,尤其是客戶端數(shù)量占了較大比重,僅僅靠少數(shù)幾個(gè)管理員進(jìn)行管理是難以承擔(dān)如此大量的工作量。另外,企業(yè)信息安全管理系統(tǒng)不成熟也是一個(gè)重大的隱患。

3.企業(yè)信息安全管理制度不健全

企業(yè)信息安全管理制度不僅僅需要理論制度的完善,更加需要一系列配套監(jiān)督機(jī)制保障企業(yè)信息安全管理的有效執(zhí)行。通過調(diào)查分析,許多企業(yè)雖然建立了企業(yè)信息安全管理制度,但是通常情況下,這些制度只能流于形式,企業(yè)信息安全管理工作缺少有效的制約和監(jiān)督,企業(yè)信息安全管理工作人員缺乏執(zhí)行力。企業(yè)信息安全管理制度不健全,企業(yè)信息安全管理工作缺乏執(zhí)行力常常體現(xiàn)在以下幾個(gè)方面。第一,企業(yè)員工對(duì)于信息安全管理的認(rèn)識(shí)嚴(yán)重不足,對(duì)企業(yè)信息安全管理工作不重視。企業(yè)內(nèi)部計(jì)算機(jī)系統(tǒng)安全的計(jì)算機(jī)防病毒軟件并沒有及時(shí)更新,使用,甚至企業(yè)內(nèi)部計(jì)算機(jī)的防病毒軟件還被企業(yè)員工卸載了。部分企業(yè)員工認(rèn)為自己的工作與企業(yè)信息安全管理不相關(guān),認(rèn)為做好企業(yè)信息安全管理工作僅僅是企業(yè)信息安全部門的事。第二,企業(yè)內(nèi)部信息安全管理制度并沒有形成聯(lián)動(dòng)機(jī)制,企業(yè)信息安全管理工作僅僅由企業(yè)信息安全部門“一人包干”,企業(yè)信息安全反映的問題并沒有得到積極的反饋,一些企業(yè)領(lǐng)導(dǎo)對(duì)企業(yè)信息安全現(xiàn)狀所了解的少之又少。

三、企業(yè)信息安全管理常見的技術(shù)手段

1.OSI安全體系結(jié)構(gòu)

OSI概念化的安全體系結(jié)構(gòu)是一個(gè)多層次的結(jié)構(gòu),它的設(shè)計(jì)初衷是面向客戶的,提供給客戶各種安全應(yīng)用,安全應(yīng)用必須依靠安全服務(wù)來實(shí)現(xiàn),而安全服務(wù)又是由各種安全機(jī)制來保障的。所以,安全服務(wù)標(biāo)志著一個(gè)安全系統(tǒng)的抗風(fēng)險(xiǎn)的能力,安全服務(wù)數(shù)量越多,系統(tǒng)就越安全。

2.P2DR模型

P2DR模型包含四個(gè)部分:響應(yīng)、安全策略、檢測(cè)、防護(hù)。安全策略是信息安全的重點(diǎn),為安全管理提供管理途徑和保障手段。因此,要想實(shí)施動(dòng)態(tài)網(wǎng)絡(luò)安全循環(huán)過程,必須制定一個(gè)企業(yè)的安全模式。在安全策略的指導(dǎo)下實(shí)施所有的檢測(cè)、防護(hù)、響應(yīng),防護(hù)通常是通過采用一些傳統(tǒng)的靜態(tài)安全技術(shù)或者方法來突破的,比如有防火墻、訪問控制、加密、認(rèn)證等方法,檢測(cè)是動(dòng)態(tài)響應(yīng)的判斷依據(jù),同時(shí)也是有力落實(shí)安全策略的實(shí)施工具,通過監(jiān)視來自網(wǎng)絡(luò)的入侵行為,可以檢測(cè)出騷擾行為或錯(cuò)誤程序?qū)е碌木W(wǎng)絡(luò)不安全因素;經(jīng)過不斷地監(jiān)測(cè)網(wǎng)絡(luò)和系統(tǒng)來發(fā)現(xiàn)新的隱患和弱點(diǎn)。在安全系統(tǒng)中,應(yīng)急響應(yīng)占有重要的地位,它是解決危險(xiǎn)潛在性的最有效的辦法。

3.HTP模型

HTP最為強(qiáng)調(diào)企業(yè)信息安全管理工作人員在整個(gè)系統(tǒng)中的價(jià)值。企業(yè)信息安全工作人員企業(yè)信息安全最為關(guān)鍵的參與者,企業(yè)信息安全工作人員直接主導(dǎo)企業(yè)信息安全管理工作,企業(yè)信息安全工作人員不僅僅是企業(yè)信息安全的保障者,也是企業(yè)信息安全管理的威脅者。因此,HTP模型最為強(qiáng)調(diào)對(duì)企業(yè)信息安全管理工作人員的管理與監(jiān)督。另外,HTP模式同樣是建立在企業(yè)信心安全體系,信息安全技術(shù)防范的基礎(chǔ)上,HTP模式采取了豐富的安全技術(shù)手段確保企業(yè)的信息安全。最后,HTP強(qiáng)調(diào)動(dòng)態(tài)管理,動(dòng)態(tài)監(jiān)督,對(duì)于企業(yè)信息安全管理工作始終保持高強(qiáng)度的監(jiān)督與管理,在實(shí)際工作中,通過HTP模型的應(yīng)用,找出HTP模型中的漏洞并不斷完善。

四、完善企業(yè)信息安全管理與降低風(fēng)險(xiǎn)的建議

1.建設(shè)企業(yè)信息安全管理系統(tǒng)

(1)充分調(diào)查和分析企業(yè)的安全系統(tǒng),建立一個(gè)全面合理的系統(tǒng)模型,安全系統(tǒng)被劃分成各個(gè)子系統(tǒng),明確實(shí)施步驟和功能摸塊,將企業(yè)常規(guī)管理工作和安全管理聯(lián)動(dòng)協(xié)議相融合,實(shí)現(xiàn)信息安全監(jiān)控的有效性和高效性。

(2)成立一個(gè)中央數(shù)據(jù)庫(kù),整合分布式數(shù)據(jù)庫(kù)里的數(shù)據(jù),把企業(yè)的所有數(shù)據(jù)上傳到中央數(shù)據(jù)庫(kù),實(shí)現(xiàn)企業(yè)數(shù)據(jù)信息的集中管理與有效運(yùn)用。

(3)設(shè)計(jì)優(yōu)良的人機(jī)界面,通過對(duì)企業(yè)數(shù)據(jù)信息進(jìn)行有效的運(yùn)用,為企業(yè)管理階層人員、各級(jí)領(lǐng)導(dǎo)及時(shí)提供各種信息,為企業(yè)領(lǐng)導(dǎo)的正確決策提供數(shù)據(jù)支持,根本上提高信息數(shù)據(jù)的管理水平。

(4)簡(jiǎn)化企業(yè)內(nèi)部的信息傳輸通道,對(duì)應(yīng)用程序和數(shù)據(jù)庫(kù)進(jìn)行程序化設(shè)計(jì),加強(qiáng)對(duì)提高企業(yè)內(nèi)部信息處理的規(guī)范性和準(zhǔn)確性。

2.設(shè)計(jì)企業(yè)信息安全管理風(fēng)險(xiǎn)體系

(1)確定信息安全風(fēng)險(xiǎn)評(píng)估的目標(biāo)

在企業(yè)信息安全管理風(fēng)險(xiǎn)體系的設(shè)計(jì)過程中,首要工作是設(shè)計(jì)企業(yè)信息安全風(fēng)險(xiǎn)評(píng)估的目標(biāo),只有明確了企業(yè)信息安全管理的目標(biāo),明確了企業(yè)信息安全管理的要求和工作能容,才能建立相關(guān)圍繞信息安全風(fēng)險(xiǎn)控制為目標(biāo)的信息安全管理工作制度,才能順利通過對(duì)風(fēng)險(xiǎn)控制的結(jié)果的定量考核,檢測(cè)企業(yè)信息安全管理的風(fēng)險(xiǎn),定性定量地企業(yè)信息安全管理工作進(jìn)行分析,找準(zhǔn)企業(yè)信息安全管理的工作辦法。

(2)確定信息安全風(fēng)險(xiǎn)評(píng)估的范圍

不同企業(yè)對(duì)于風(fēng)險(xiǎn)的承受能力是有區(qū)別的,因此,對(duì)于不同的企業(yè)的特殊性應(yīng)該采取不同的風(fēng)險(xiǎn)控制辦法,其中,不同企業(yè)對(duì)于能夠承受的信息安全風(fēng)范圍有所不同,企業(yè)的信息安全風(fēng)險(xiǎn)承受范圍需要根據(jù)企業(yè)的實(shí)際能力來制定。不僅如此,企業(yè)的信息安全風(fēng)險(xiǎn)評(píng)估范圍也應(yīng)當(dāng)根據(jù)企業(yè)的實(shí)際經(jīng)營(yíng)情況變化采取有針對(duì)性的辦法。

(3)組建適當(dāng)?shù)脑u(píng)估管理與實(shí)施團(tuán)隊(duì)

篇5

1.1信息化機(jī)構(gòu)建設(shè)不健全

電力企業(yè)很少為信息管理部門專門設(shè)置機(jī)構(gòu),因而缺乏應(yīng)有的規(guī)范的崗位及建制。大多信息部門附屬在技術(shù)部、科技部或總經(jīng)理工作部門下,甚至僅設(shè)置一個(gè)專責(zé)人員負(fù)責(zé)。信息化管理是一項(xiàng)系統(tǒng)性的工程,沒有專門的部門負(fù)責(zé)是不能滿足現(xiàn)代企業(yè)信息化安全的需求的。

1.2企業(yè)管理阻礙信息化發(fā)展

有些電力企業(yè)管理辦法革新緩慢,大多采用較落后的、非現(xiàn)代信息化企業(yè)的管理模式。這樣的企業(yè)即便引入最完善的信息管理系統(tǒng)、最先進(jìn)的信息化設(shè)備,也只能受落后的企業(yè)管理模式所制約,無法發(fā)揮其應(yīng)有的作用。

1.3網(wǎng)絡(luò)結(jié)構(gòu)不合理

電力企業(yè)大多將公司網(wǎng)絡(luò)分為外網(wǎng)和內(nèi)網(wǎng),兩種網(wǎng)絡(luò)之間實(shí)行物理隔離措施,但很多企業(yè)的網(wǎng)絡(luò)交換機(jī)是一臺(tái)二層交換機(jī),決定了內(nèi)網(wǎng)和外網(wǎng)用戶在網(wǎng)絡(luò)中地位是平等的,導(dǎo)致安全問題只能靠完善管理系統(tǒng)去解決,給系統(tǒng)編寫帶來很多不必要的困難。

1.4身份認(rèn)證缺陷

電力企業(yè)一般只建立內(nèi)部使用的信息系統(tǒng),而企業(yè)內(nèi)部不同管理部門、不同層次員工有不同等級(jí)的授權(quán),根據(jù)授權(quán)等級(jí)不同決定各部門和員工訪問的數(shù)據(jù)和信息不同。這類授權(quán)是以身份認(rèn)證為基礎(chǔ)的信息訪問控制,但在當(dāng)前的企業(yè)身份認(rèn)證系統(tǒng)中大多存在缺陷和漏洞,給信息安全留下隱患。

1.5軟件系統(tǒng)安全風(fēng)險(xiǎn)較大

軟件系統(tǒng)安全風(fēng)險(xiǎn)指兩方面,一是編寫的各種應(yīng)用系統(tǒng)可能有漏洞造成安全風(fēng)險(xiǎn),二是操作系統(tǒng)本身風(fēng)險(xiǎn),隨著近期微軟停止對(duì)windowsXP系統(tǒng)的服務(wù)支持,大量使用windowsXP系統(tǒng)的信息管理軟件都將得不到系統(tǒng)漏洞的修補(bǔ),這無疑會(huì)給信息安全帶來極大風(fēng)險(xiǎn)。

1.6管理人員意識(shí)不足

很多電力企業(yè)員工網(wǎng)絡(luò)安全意識(shí)參差不齊,一方面是時(shí)代的迅速發(fā)展導(dǎo)致較年輕的管理人員安全意識(shí)較高,而對(duì)網(wǎng)絡(luò)接觸較少的中老年員工網(wǎng)絡(luò)安全意識(shí)較為缺乏;另一方面也有電力企業(yè)管理制度不夠完善、忽視對(duì)員工進(jìn)行及時(shí)培訓(xùn)的原因。在這種人員背景下,如果管理人員配備不當(dāng)、信息管理系統(tǒng)設(shè)置不合理都會(huì)給企業(yè)信息埋下安全隱患。

2、電力企業(yè)網(wǎng)絡(luò)信息安全管理措施

要建立完善合理的網(wǎng)絡(luò)信息安全管理體系,需要各企業(yè)認(rèn)清企業(yè)現(xiàn)狀,根據(jù)實(shí)際進(jìn)行統(tǒng)一規(guī)劃,分部建設(shè),保證建設(shè)內(nèi)容能科學(xué)有效的運(yùn)行。

2.1加強(qiáng)信息安全教育培訓(xùn)

不論計(jì)算機(jī)程序有多么先進(jìn)多么完善,如果操作管理人員素質(zhì)和意識(shí)不足,那也不能保證企業(yè)信息化的安全。因此,實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)信息安全管理的根本在人,可以根據(jù)員工職責(zé)分層次進(jìn)行培訓(xùn),一方面提高安全管理員工的專業(yè)知識(shí)水平及安全管理意識(shí),另一方面加強(qiáng)對(duì)一線工作人員的安全意識(shí)教育,將網(wǎng)絡(luò)信息安全變?yōu)槠髽I(yè)文化和精神支柱的一部分。

2.2完善管理制度建設(shè)

電力企業(yè)要把網(wǎng)絡(luò)信息安全管理視為一個(gè)系統(tǒng)工程來考慮,必須在企業(yè)內(nèi)部建立起合理而完善的管理制度,比如:加強(qiáng)網(wǎng)絡(luò)日志管理;對(duì)安全審計(jì)數(shù)據(jù)嚴(yán)格管理;在企業(yè)網(wǎng)絡(luò)上安裝病毒防護(hù)軟件;規(guī)定不能隨意在內(nèi)網(wǎng)主機(jī)上下載互聯(lián)網(wǎng)數(shù)據(jù)、不能在內(nèi)網(wǎng)計(jì)算機(jī)上隨意使用來歷不明的移動(dòng)存儲(chǔ)設(shè)備等。

2.3不斷更新完善信息安全管理系統(tǒng)

大力推進(jìn)信息安全新技術(shù)的探索和應(yīng)用,建立信息安全防護(hù)體系,可以圍繞數(shù)據(jù)庫(kù)安全、數(shù)據(jù)備份和恢復(fù)、網(wǎng)絡(luò)服務(wù)完全、病毒防護(hù)系統(tǒng)的應(yīng)用、數(shù)據(jù)加密技術(shù)及數(shù)據(jù)傳輸安全等方面建立一個(gè)多方面多層次聯(lián)合的技術(shù)安全體系,從而提高信息系統(tǒng)安全防護(hù)能力,確保企業(yè)信息安全可靠。

3、總結(jié)

篇6

網(wǎng)絡(luò)信息資源是生活中普遍應(yīng)用的一種資源,其自身的重要性逐漸凸顯,尤其在各大電力企業(yè)中,網(wǎng)絡(luò)信息安全管理成為企業(yè)發(fā)展的基本條件。但是由于我國(guó)電力企業(yè)起步比較晚,在現(xiàn)代化信息管理方面的研究尚淺,經(jīng)驗(yàn)缺乏,因此需要在企業(yè)管理中不斷改良信息管理模式,加強(qiáng)網(wǎng)絡(luò)化信息安全管理,提高電力企業(yè)信息安全度。

1 電力企業(yè)網(wǎng)絡(luò)信息安全管理的現(xiàn)狀及存在的問題

1.1電力企業(yè)信息服務(wù)器安全不能保障

電力企業(yè)信息管理系統(tǒng)結(jié)構(gòu)比較復(fù)雜,它包含眾多信息服務(wù)器,主要有企業(yè)數(shù)據(jù)庫(kù)資源服務(wù)器、Web服務(wù)器、銀電聯(lián)網(wǎng)服務(wù)器和基本應(yīng)用服務(wù)器等眾多復(fù)雜服務(wù)器。這些服務(wù)器擔(dān)負(fù)著電力企業(yè)網(wǎng)絡(luò)運(yùn)行與發(fā)展,一旦電力企業(yè)的服務(wù)器受損,企業(yè)信息管理將癱瘓。而近年來網(wǎng)絡(luò)信息安全受到威脅,網(wǎng)絡(luò)攻擊手段不斷更新,電力系統(tǒng)服務(wù)器成為被攻擊的第一對(duì)象。在電力企業(yè)網(wǎng)絡(luò)信息管理中,管理人員不能對(duì)所有服務(wù)器進(jìn)行系統(tǒng)管理,服務(wù)器經(jīng)常受到網(wǎng)絡(luò)病毒襲擊,使得服務(wù)器工作受到干擾,公司信息機(jī)密沒有進(jìn)行加密處理,容易被竊取。

1.2電力企業(yè)信息管理人員整體素質(zhì)較差

在我國(guó)很多電力企業(yè)管理中,都存在重視企業(yè)團(tuán)隊(duì)建設(shè)、重視技術(shù)養(yǎng)成、重視企業(yè)經(jīng)濟(jì)效益,輕視企業(yè)信息組成和信息安全管理的現(xiàn)象。這也從另一方面說明了企業(yè)管理體制不完善,信息管理觀念差。由于電力企業(yè)信息管理制度的不完善,對(duì)信息管理人員的要求沒有明確規(guī)定,因而導(dǎo)致信息管理人員工作素質(zhì)不高,對(duì)信息安全基本技能不能熟練掌握。例如簡(jiǎn)單的SQL注入、腳本注入以及服務(wù)器防竊聽加密等操作,信息管理人員在在工作中疏忽將導(dǎo)致整個(gè)信息管理系統(tǒng)不能正常運(yùn)行。

1.3電力企業(yè)信息管理網(wǎng)絡(luò)運(yùn)用技術(shù)不成熟

按照有關(guān)規(guī)定,電力企業(yè)一般將信息網(wǎng)絡(luò)劃分為企業(yè)內(nèi)網(wǎng)和企業(yè)外網(wǎng),而來自內(nèi)部網(wǎng)絡(luò)的信息風(fēng)險(xiǎn)不容忽視,主要是內(nèi)部員工信息安全出現(xiàn)的問題,由于網(wǎng)絡(luò)管理人員對(duì)網(wǎng)絡(luò)結(jié)構(gòu)和企業(yè)應(yīng)用系統(tǒng)比較熟悉,在生活中或者工作中將信息外流,對(duì)企業(yè)網(wǎng)絡(luò)信息系統(tǒng)造成難以修復(fù)的傷害。內(nèi)網(wǎng)與外網(wǎng)之間進(jìn)行物理隔離,由于信息網(wǎng)絡(luò)結(jié)構(gòu)存在著核心交換機(jī)選擇不合理的現(xiàn)象,導(dǎo)致信息安全問題不能及時(shí)解決,只能通過其他系統(tǒng)進(jìn)行故障排查并解決。

2電力企業(yè)網(wǎng)絡(luò)信息安全管理存在問題的解決對(duì)策

2.1建立入侵保護(hù)系統(tǒng)IPS,提高網(wǎng)絡(luò)信息安全系數(shù)

在電力企業(yè)網(wǎng)絡(luò)管理系統(tǒng)中建立網(wǎng)絡(luò)入侵保護(hù)系統(tǒng)IPS,IPS能夠?yàn)樾畔⒕W(wǎng)絡(luò)提供一種主動(dòng)而實(shí)時(shí)的信息防御。它的設(shè)計(jì)理念是對(duì)常規(guī)網(wǎng)絡(luò)流量中攜帶的惡意數(shù)據(jù)包進(jìn)行數(shù)據(jù)安全檢測(cè),一旦發(fā)現(xiàn)可疑數(shù)據(jù),IPS將發(fā)揮網(wǎng)絡(luò)安全防御功能,阻止網(wǎng)絡(luò)數(shù)據(jù)入侵電力企業(yè)網(wǎng)絡(luò)信息系統(tǒng)。對(duì)帶有攻擊性的流量進(jìn)行主動(dòng)攔截,避免對(duì)信息造成阻礙。它與常規(guī)的網(wǎng)絡(luò)防火墻相比具有更加高端的性能,它不僅能對(duì)網(wǎng)絡(luò)惡意數(shù)據(jù)流量進(jìn)行檢測(cè)還能夠及時(shí)消除隱患,而不是簡(jiǎn)單的對(duì)系統(tǒng)進(jìn)行報(bào)警,IPS在功能上更加完善。在網(wǎng)絡(luò)系統(tǒng)中,IPS直接串聯(lián)到網(wǎng)絡(luò)中,它能夠?yàn)殡娏ζ髽I(yè)提供虛擬補(bǔ)丁,預(yù)先對(duì)黑客攻擊和網(wǎng)絡(luò)病毒進(jìn)行攔截,使得外部攻擊不能進(jìn)行,信息系統(tǒng)即使沒有最新安裝的補(bǔ)丁,由于IPS的防御也能保證網(wǎng)絡(luò)不受損害。此外IPS還能夠?qū)﹄娏ζ髽I(yè)網(wǎng)絡(luò)進(jìn)行流量?jī)艋幚?,例如?duì)蠕蟲和病毒造成的網(wǎng)絡(luò)系統(tǒng)癱瘓,電驢下載造成的寬帶資源被占用等現(xiàn)象,IPS都能夠?qū)ζ溥M(jìn)行清理,提高網(wǎng)絡(luò)環(huán)境利用率。信息系統(tǒng)中IPS的設(shè)計(jì)主要側(cè)重于訪問的控制,注重對(duì)外來干擾進(jìn)行主動(dòng)的防御,而不僅僅是檢測(cè)和日志記錄,為企業(yè)提供了全新的入侵保護(hù)解決方案。

2.2電力企業(yè)網(wǎng)絡(luò)信息安全管理引用PKI數(shù)字認(rèn)證技術(shù)

PKI技術(shù)是公開密鑰理論和技術(shù)基礎(chǔ)上發(fā)展起來的一種綜合安全臺(tái)。CA基礎(chǔ)設(shè)施是數(shù)字認(rèn)證系統(tǒng)面向其內(nèi)部用戶的基礎(chǔ)服務(wù)系統(tǒng),為數(shù)字認(rèn)證提供管理服務(wù)。CA系統(tǒng)主要包括根CA、CA簽發(fā)系統(tǒng)、RA注冊(cè)管理系統(tǒng)、KM系統(tǒng)和LDAP目錄服務(wù)系統(tǒng)。其中,CA簽發(fā)系統(tǒng)是CA認(rèn)證系統(tǒng)的核心服務(wù),負(fù)責(zé)數(shù)字簽發(fā)。RA注冊(cè)管理系統(tǒng)主要負(fù)責(zé)提供用戶證書業(yè)務(wù)服務(wù),對(duì)錄入及審核進(jìn)行處理,如圖1所示。

篇7

隨著信息系統(tǒng)在企業(yè)中的廣泛應(yīng)用,信息安全的問題逐漸突出和嚴(yán)峻,這就體現(xiàn)了進(jìn)行現(xiàn)安全有效性管理的重要性。實(shí)現(xiàn)信息安全管理的有效性測(cè)量是對(duì)企業(yè)進(jìn)行信息安全運(yùn)行的風(fēng)險(xiǎn)問題進(jìn)行評(píng)估,進(jìn)而得出企業(yè)的信息安全系統(tǒng)能否同企業(yè)信息安全的控制水平相一致,體現(xiàn)了對(duì)于整體性提高企業(yè)信息安全管理水平的重要性。

【關(guān)鍵詞】

信息安全管理;有效性測(cè)量;方法

在21世紀(jì)的社會(huì)發(fā)展新時(shí)代,網(wǎng)絡(luò)、計(jì)算機(jī)、信息技術(shù)被大量的企業(yè)納入到自身的生產(chǎn)經(jīng)營(yíng)管理之中,在基本運(yùn)行中會(huì)涉及到企業(yè)眾多的機(jī)密文件和信息,直接關(guān)系的企業(yè)的發(fā)展運(yùn)行,所以,一旦出現(xiàn)安全問題就會(huì)對(duì)企業(yè)產(chǎn)生重要的影響。所以,在不斷深化的應(yīng)用中,企業(yè)開始注重對(duì)信息安全的管理,并通過多樣化的技術(shù)手段和方式來進(jìn)行強(qiáng)化,但是這樣的方式?jīng)Q定了對(duì)安全管理的有效性不能進(jìn)行合理的把握和控制,并且對(duì)整體的安全水準(zhǔn)也沒有實(shí)現(xiàn)準(zhǔn)確的衡量。所以,如果企業(yè)只是強(qiáng)化了信息安全在技術(shù)方面的建設(shè),而并沒有開展有效的安全管理評(píng)估工作,就會(huì)使信息安全系統(tǒng)在整體的規(guī)劃中存在缺陷和漏洞,所以,進(jìn)行信息安全管理的有效性測(cè)量是極為重要的。企業(yè)也逐漸認(rèn)識(shí)到其重要性,使得近年來,我國(guó)企業(yè)對(duì)于信息安全有效性的測(cè)量需求不斷增多,但是,在這方面我國(guó)起步較晚,存在著很多不足和缺陷,這就需要在有效的研究中尋找適當(dāng)?shù)姆椒▉硖嵘郎y(cè)量的整體有效性。

一、信息安全管理有效性測(cè)量的目的

通過實(shí)現(xiàn)有效性的測(cè)量,能夠真實(shí)評(píng)估和反映企業(yè)信息安全管理的整體水平,以使企業(yè)在后續(xù)的信息安全管理中有明確的發(fā)展目標(biāo)和整體方向。企業(yè)進(jìn)行信息系統(tǒng)的建立時(shí),往往會(huì)依據(jù)企業(yè)自身的發(fā)展需求、信息組成、安全標(biāo)準(zhǔn)、組織結(jié)構(gòu)、利益關(guān)系等方面的需求進(jìn)行,進(jìn)而構(gòu)筑相應(yīng)的信息安全的整體體系和相關(guān)模型。通過對(duì)企業(yè)的信息安全管理進(jìn)行有效性的測(cè)量,可以在技術(shù)的管理支撐下客觀真實(shí)的反映企業(yè)信息管理的整體性評(píng)估,會(huì)能實(shí)現(xiàn)對(duì)企業(yè)信息安全管理目標(biāo)的運(yùn)行程度進(jìn)行說明,并能對(duì)企業(yè)信息安全管理的系統(tǒng)效能開展準(zhǔn)確科學(xué)的評(píng)測(cè),為企業(yè)提供進(jìn)行信息安全管理考核的基本依據(jù)[1]。就企業(yè)的整體發(fā)展實(shí)際來看,如果不開展信息安全管理的有效性測(cè)量,會(huì)使企業(yè)的整體管理水平只依賴于基本測(cè)評(píng)狀態(tài)下的運(yùn)行管理水平,難以同真實(shí)的信息安全運(yùn)行環(huán)境相脫離,造成企業(yè)在安全管理過程中的漏洞和誤差,使得企業(yè)在正常的運(yùn)營(yíng)和發(fā)展中的實(shí)際需求同所進(jìn)行信息安全管理的整體水平不相一致,并且在對(duì)基礎(chǔ)環(huán)節(jié)下的表面數(shù)據(jù)有所依賴時(shí),并不能發(fā)現(xiàn)運(yùn)行中的不足和缺陷,更遑論進(jìn)行有效合理的解決,極大化的為企業(yè)的發(fā)展運(yùn)行埋下了信息安全的運(yùn)行隱患。而通過有效性的測(cè)量活動(dòng),能夠準(zhǔn)確的將企業(yè)在信息安全方面的漏洞進(jìn)行定位,并且還能夠有效指導(dǎo)基本的解決策略,有效保障企業(yè)信息管理系統(tǒng)的整體安全和有效。

二、信息安全管理有效性的測(cè)量方法

在開展信息安全管理有效性的測(cè)量時(shí),需要對(duì)進(jìn)行測(cè)量的指標(biāo)進(jìn)行量化的處理,并最終形成具有實(shí)際可行性的量化測(cè)量指標(biāo)。在測(cè)量中,不同的指標(biāo)則需要不同的測(cè)量方法來進(jìn)行,一般而言,具有風(fēng)險(xiǎn)分析、問卷調(diào)查、內(nèi)部審核、滲透性測(cè)試、個(gè)人訪談、內(nèi)外對(duì)比、風(fēng)險(xiǎn)評(píng)估、報(bào)表統(tǒng)計(jì)等不同的方法。通過不同指標(biāo)的不同測(cè)量之后,能夠得得出各個(gè)指標(biāo)的測(cè)度結(jié)果,在此基礎(chǔ)上再根據(jù)不同的技術(shù)需要對(duì)結(jié)果進(jìn)行科學(xué)有效的取值管理,給各個(gè)指標(biāo)賦予不同的安全分險(xiǎn)權(quán)重,然后綜合計(jì)算企業(yè)信息安全管理有效性的整體水平[2]。比如在進(jìn)行信息安全管理整體運(yùn)行的有效性測(cè)量時(shí),在對(duì)基本技術(shù)要求進(jìn)行測(cè)量評(píng)估時(shí),還需要對(duì)企業(yè)的環(huán)境安全、人員安全、業(yè)務(wù)聯(lián)系、安全意識(shí)、事件管理等開展管理有效性的評(píng)估,以保障最終結(jié)果的綜合有效性。在信息安全管理有效性的測(cè)量發(fā)展中,相關(guān)專業(yè)機(jī)構(gòu)提出了同通過整體的系統(tǒng)模型來實(shí)現(xiàn)信息系統(tǒng)的整體安全性的方法。通過信息安全測(cè)量模型的建立,將信息系統(tǒng)運(yùn)行中需要進(jìn)行安全檢測(cè)的對(duì)象中的某一些屬性在通過一系列的檢測(cè)管理過程之后,得出最后的測(cè)量結(jié)果,其中最為重要的就是測(cè)量方法和基本測(cè)度。將測(cè)量對(duì)象的多個(gè)屬性應(yīng)用不同的測(cè)量方法之后就能夠得到基本測(cè)度,而基本測(cè)量方法的獲取是通過多樣化的數(shù)據(jù)資源進(jìn)行測(cè)量對(duì)象的數(shù)據(jù)獲取,比如風(fēng)險(xiǎn)評(píng)估結(jié)果、日志報(bào)表統(tǒng)計(jì)記錄、調(diào)查表、測(cè)量結(jié)果等途徑。就我國(guó)當(dāng)前進(jìn)行信息安全管理有效性測(cè)量的方式而言,在設(shè)定環(huán)節(jié)相對(duì)復(fù)雜和冗余,但在基本的項(xiàng)目實(shí)踐中得出如下的基本運(yùn)行方法:

2.1審計(jì)監(jiān)控系統(tǒng)回顧

在進(jìn)行檢測(cè)時(shí),需要盡可能的發(fā)現(xiàn)各個(gè)環(huán)節(jié)所存在違反和潛在信息安全的現(xiàn)象和事件,以實(shí)現(xiàn)有效的防治,實(shí)現(xiàn)影響的最小化[3]。

2.2糾正預(yù)防措施驗(yàn)證

對(duì)已經(jīng)納入整體有效性測(cè)量計(jì)劃的糾正預(yù)防措施,在開展檢測(cè)時(shí)進(jìn)行檢查和回顧,以保證檢驗(yàn)過程中對(duì)于信息安全管理系統(tǒng)所采取的各項(xiàng)措施是否合乎當(dāng)下的現(xiàn)狀和企業(yè)具體要求。

2.3信息安全事故統(tǒng)計(jì)

主要是對(duì)已經(jīng)發(fā)生過的安全事件進(jìn)行統(tǒng)計(jì)和分析,以為檢測(cè)的有效性提供更加高效合理的方法指引,以實(shí)現(xiàn)進(jìn)行更高角度的評(píng)估以及在控制措施方面的有效性。這樣的方式是將基本的計(jì)劃和檢測(cè)方式實(shí)現(xiàn)了有效的結(jié)合,并在各種方法的支撐下,實(shí)現(xiàn)綜合型的檢測(cè),做到有效的預(yù)防和糾正,從不同的層面反應(yīng)了進(jìn)行信息安全檢測(cè)的有效性,并保障整體運(yùn)行體系的完整有效性,進(jìn)而形成一個(gè)有效的良性循環(huán)。

三、結(jié)束語(yǔ)

就我國(guó)的整體實(shí)際而言,信息安全管理有效性的測(cè)量方法,還處于基礎(chǔ)的起步階段,而且相關(guān)的各項(xiàng)理論研究和測(cè)量指標(biāo)等也均沒有達(dá)到完善的階段,這就需要進(jìn)行不斷的發(fā)展和探索,而且實(shí)踐證明,進(jìn)行信息安全管理有效性的研究是有著極為廣闊的發(fā)展前景的,在保障整體信息運(yùn)行管理的安全性基礎(chǔ)上,能夠使企業(yè)提升整體的競(jìng)爭(zhēng)力和自身生存能力,并且能夠?qū)y(cè)量中發(fā)現(xiàn)的問題和相關(guān)數(shù)據(jù)進(jìn)行分析,然后具有針對(duì)性的使企業(yè)所存在的風(fēng)險(xiǎn)得到最大化的控制,最終達(dá)到基本業(yè)務(wù)的正常有效運(yùn)行。

作者:薛擁華 鄧沖 陳宇 劉板浩 黃剛 單位:精誠(chéng)瑞寶計(jì)算機(jī)系統(tǒng)有限公司

參考文獻(xiàn)

[1]朱英菊,劉紅麗,陳長(zhǎng)松.信息安全管理有效性的測(cè)量研究[J].情報(bào)雜志,2010,01:73-76+41.

篇8

(1)內(nèi)網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)不健全。

現(xiàn)階段,我國(guó)的供電企業(yè)內(nèi)網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)不夠健全,未能達(dá)成建立在供電企業(yè)內(nèi)部網(wǎng)絡(luò)信息化的理想狀態(tài)。中部市、縣級(jí)供電公司因?yàn)闂l件有限,信息安全工作相對(duì)投入較少,安全隱患較大,各種安全保障措施較為薄弱,未能建立一個(gè)健全的內(nèi)網(wǎng)網(wǎng)絡(luò)系統(tǒng)。但隨著各類信息系統(tǒng)不斷上線投運(yùn),財(cái)務(wù)、營(yíng)銷、生產(chǎn)各專業(yè)都有相關(guān)的信息系統(tǒng)投入應(yīng)用,相對(duì)薄弱的網(wǎng)絡(luò)系統(tǒng)必將成為整個(gè)信息管理模式的最短板。

(2)存在于網(wǎng)絡(luò)信息化機(jī)構(gòu)漏洞較多。

目前在我國(guó)供電企業(yè)中,網(wǎng)絡(luò)信息化管理并未建立一個(gè)完整系統(tǒng)的體系,供電網(wǎng)絡(luò)的各類系統(tǒng)對(duì)于關(guān)鍵流程流轉(zhuǎn)、數(shù)據(jù)存儲(chǔ)等都非常的重要,不能出現(xiàn)絲毫的問題,但是所承載網(wǎng)絡(luò)平臺(tái)的可靠性卻不高,安全管理漏洞也較多,使得信息管理發(fā)展極不平衡。信息化作為一項(xiàng)系統(tǒng)的工程,未能有專門的部門來負(fù)責(zé)執(zhí)行和管理。網(wǎng)絡(luò)信息安全作為我國(guó)供電企業(yè)安全文化的重要組成部分,針對(duì)現(xiàn)今我國(guó)供電企業(yè)網(wǎng)絡(luò)安全管理的現(xiàn)狀來看,計(jì)算機(jī)病毒,黑客攻擊造成的關(guān)鍵保密數(shù)據(jù)外泄是目前最具威脅性的網(wǎng)絡(luò)安全隱患。各種計(jì)算機(jī)準(zhǔn)入技術(shù),可移動(dòng)存儲(chǔ)介質(zhì)加密技術(shù)的應(yīng)用,給企業(yè)信息網(wǎng)絡(luò)安全帶來了一定的保障。但是目前供電企業(yè)信息管理工作不可回避的事實(shí)是:操作系統(tǒng)正版化程度嚴(yán)重不足。隨著在企業(yè)內(nèi)被廣泛使用的XP操作系統(tǒng)停止更新,針對(duì)操作系統(tǒng)的攻擊將變得更加頻繁。一旦有計(jì)算機(jī)網(wǎng)絡(luò)病毒的出現(xiàn),就會(huì)對(duì)企業(yè)內(nèi)部計(jì)算機(jī)進(jìn)行大規(guī)模的傳播,給目前相對(duì)公開化的網(wǎng)絡(luò)一個(gè)有機(jī)可乘的機(jī)會(huì),對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行惡意破壞,導(dǎo)致計(jì)算機(jī)系統(tǒng)崩潰。不法分力趁機(jī)竊取國(guó)家供電企業(yè)的相關(guān)文件,篡改供電系統(tǒng)相關(guān)數(shù)據(jù),對(duì)國(guó)家供電系統(tǒng)進(jìn)行毀滅性的攻擊,甚至致使整個(gè)供電系統(tǒng)出現(xiàn)大面積癱瘓。

(3)職工安全防范意識(shí)不夠。

想要保證我國(guó)網(wǎng)絡(luò)信息的安全,就必須要提高供電企業(yè)員工的綜合素質(zhì),目前國(guó)內(nèi)供電企業(yè)職員的安全防范意識(shí)不強(qiáng),水平參差不齊,多數(shù)為年輕職員,實(shí)際操作的能力較低,缺少應(yīng)對(duì)突發(fā)事件應(yīng)對(duì)措施知識(shí)的積累。且多數(shù)老齡職工難以對(duì)網(wǎng)絡(luò)信息完全掌握,跟不上信息化更新狀態(tài),與新型網(wǎng)絡(luò)技術(shù)相脫軌。

2網(wǎng)絡(luò)信息安全管理在供電企業(yè)中的應(yīng)用

造成供電企業(yè)的信息安全的威脅主要來自兩個(gè)方面,一方面是國(guó)家供電企業(yè)本身設(shè)備上的信息安全威脅,另一方面就是外界網(wǎng)絡(luò)惡意的攻擊其中以外界攻擊的方式存在的較多?,F(xiàn)階段我國(guó)供電企業(yè)的相關(guān)部門都在使用計(jì)算機(jī)對(duì)網(wǎng)絡(luò)安全進(jìn)行監(jiān)督和管理,難以保證所有計(jì)算機(jī)完全處在安全狀態(tài)。一般情況下某臺(tái)計(jì)算機(jī)泄露重要文件或者遭到黑客的惡意攻擊都是很難察覺的,這就需要加強(qiáng)我國(guó)供電企業(yè)進(jìn)行安全的管理,建立病毒防護(hù)體系,及時(shí)更新網(wǎng)絡(luò)防病毒軟件,針對(duì)性地引進(jìn)遠(yuǎn)程協(xié)助設(shè)備,提高警報(bào)設(shè)備的水平。供電企業(yè)的信息系統(tǒng)一個(gè)較為龐大且繁雜的系統(tǒng),在這個(gè)系統(tǒng)中存在信息安全風(fēng)險(xiǎn)也是必然的。在這種情況下就要最大程度地降低存在的風(fēng)險(xiǎn),對(duì)經(jīng)歷的風(fēng)險(xiǎn)進(jìn)行剖析,制定針對(duì)性的風(fēng)險(xiǎn)評(píng)估政策,確立供電企業(yè)信息系統(tǒng)安全是以制定針對(duì)性風(fēng)險(xiǎn)評(píng)估政策為前提的,根據(jù)信息安全工作的緊迫需求做好全面的風(fēng)險(xiǎn)評(píng)估至關(guān)重要。“掌握核心技術(shù)”不只是一句簡(jiǎn)單的廣告詞語(yǔ),還是國(guó)家和各個(gè)企業(yè)都應(yīng)該一直貫徹落實(shí)的方針政策。為了避免外界對(duì)我國(guó)供電企業(yè)信息技術(shù)的操控,國(guó)家相關(guān)部門就必須實(shí)行自主研發(fā)信息安全管理體系,有效地運(yùn)用高科技網(wǎng)絡(luò)技術(shù)促使安全策略、安全服務(wù)和安全機(jī)制的相結(jié)合,大力開發(fā)信息網(wǎng)絡(luò),促進(jìn)科技管理水平的快速提高,以保證我國(guó)供電信息管理的安全。

3結(jié)語(yǔ)

篇9

關(guān)鍵詞:信息安全;管理體系;PKI/CA;MPLSVPN;基線

在供電企業(yè)現(xiàn)代信息技術(shù)廣泛運(yùn)用生產(chǎn)經(jīng)營(yíng)、綜合管理之中,實(shí)現(xiàn)資源和信息共享,為領(lǐng)導(dǎo)提供相關(guān)輔助決策。保障企業(yè)信息安全是企業(yè)領(lǐng)導(dǎo)層、專業(yè)人員及企業(yè)全員共同面對(duì)的。信息安全是集管理、人員、設(shè)備、技術(shù)為一體系統(tǒng)工程,木桶原理可以很好地詮釋信息安全,一個(gè)企業(yè)安全不取決于最強(qiáng)項(xiàng),而取決最短板。信息安全需從制度建設(shè)、體系架構(gòu)、一體化防控體系、人員意識(shí)、專業(yè)人員技術(shù)水平等多方面共同建設(shè),才能有效提高企業(yè)信息安全,才能為企業(yè)生產(chǎn)、經(jīng)營(yíng)保駕護(hù)航。

1基層供電信息安全現(xiàn)狀

基層供電企業(yè)信息安全建設(shè)方面,在制度建設(shè)、安全分區(qū)、網(wǎng)絡(luò)架構(gòu)、一體化防護(hù)、人員意識(shí)、專業(yè)人員技術(shù)水平等多方面存在不同程度問題。

1.1管理制度不健全,制度多重化

信息安全制度建設(shè)方面較為被動(dòng),大多數(shù)都是現(xiàn)實(shí)之中出現(xiàn)某一問題,然后一個(gè)相關(guān)制度,制度修修補(bǔ)補(bǔ)。同一類問題有時(shí)出現(xiàn)不同管理規(guī)定里,處理辦法不一,甚至發(fā)生沖突。原有信息安全管理制度寬泛,操作性較差。信息系統(tǒng)建設(shè)渠道不同,未提前進(jìn)行信息安全方面考慮,管理職責(zé)不明,導(dǎo)致部分信息安全工作開始不順暢。

1.2安全區(qū)域劃分不明,網(wǎng)絡(luò)架構(gòu)不清晰

基層供電企業(yè)系統(tǒng)建設(shè)主要由上級(jí)推廣系統(tǒng)和自建系統(tǒng),系統(tǒng)建設(shè)時(shí)候相當(dāng)部分系統(tǒng)未充分考慮系統(tǒng),特別是業(yè)務(wù)部門自建系統(tǒng)更甚。網(wǎng)絡(luò)建設(shè)需要什么就連接什么,存在服務(wù)器、終端、外聯(lián)區(qū)域不明顯,網(wǎng)絡(luò)架構(gòu)不清晰。

1.3未建立一體化安全防護(hù)體系

從近些年已經(jīng)發(fā)生的各類信息安全事件來看,內(nèi)部客戶端問題造成超過將近70%。內(nèi)部終端用戶網(wǎng)絡(luò)行為控制不足,存在網(wǎng)絡(luò)帶寬濫用;終端接入沒有相應(yīng)準(zhǔn)入控制,不滿足網(wǎng)絡(luò)安全需求用戶接入辦公網(wǎng)絡(luò),網(wǎng)絡(luò)環(huán)境安全構(gòu)成極大風(fēng)險(xiǎn);內(nèi)部人員對(duì)核心服務(wù)器和網(wǎng)絡(luò)設(shè)備未建立統(tǒng)一內(nèi)部控制機(jī)制;移動(dòng)介質(zhì)未實(shí)施注冊(cè)制管理等問題。

1.4未建立行之有效設(shè)備基線標(biāo)準(zhǔn)

網(wǎng)絡(luò)安全設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)、中間件、應(yīng)用系統(tǒng)等廠家為了某種方便需求,在設(shè)備和系統(tǒng)中常常保留有默認(rèn)缺省安全配置項(xiàng),這些恰恰是別人利用漏洞。基層供電企業(yè)在部署設(shè)備和系統(tǒng)時(shí),沒有統(tǒng)一基線標(biāo)準(zhǔn),沒有對(duì)設(shè)備和系統(tǒng)進(jìn)行相應(yīng)基線加固,企業(yè)存在潛在風(fēng)險(xiǎn)。1.5信息安全意識(shí)較差,技術(shù)水平參差不齊企業(yè)信息安全認(rèn)識(shí)存在認(rèn)識(shí)上誤區(qū),常常認(rèn)為我們有較強(qiáng)信息安全保護(hù)設(shè)備,外部不易攻破內(nèi)部,事實(shí)上堡壘常常是從內(nèi)部攻破的。比如企業(yè)員工弱口令、甚至空口令、共用相同密碼、木馬、病毒、企業(yè)機(jī)密泄露等,這恰恰是基層供電企業(yè)全員信息安全意識(shí)較為薄弱表現(xiàn)。專業(yè)技術(shù)人員缺乏必要自我學(xué)習(xí)和知識(shí)主動(dòng)更新,未取得專門信息安全專業(yè)人員資質(zhì),處理問題能力表現(xiàn)參差不齊。

2必要性

信息安全為國(guó)家安全重要組成部門,電力企業(yè)信息安全為國(guó)家信息安全的重要元素,電網(wǎng)安全事關(guān)國(guó)計(jì)民生。2014年2月,國(guó)家成立中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組,將網(wǎng)絡(luò)信息安全提升前所未有高度。近年發(fā)生的“棱鏡門”事件,前幾年發(fā)生伊朗核電站“震網(wǎng)”病毒(Stuxnet病毒)網(wǎng)絡(luò)攻擊,其中一個(gè)關(guān)鍵問題就是利用移動(dòng)介質(zhì)擺渡來進(jìn)行攻擊,造成設(shè)備癱瘓,這一系列信息安全事件都事關(guān)國(guó)家安全,因此人人都要有信息安全意識(shí)。首先要防止企業(yè)機(jī)密數(shù)據(jù)(財(cái)務(wù)、人資、投資、客戶等)泄漏;其次,保持?jǐn)?shù)據(jù)真實(shí)性和完整性,錯(cuò)誤的或被篡改的不當(dāng)信息可能會(huì)導(dǎo)致錯(cuò)誤的決策或商業(yè)機(jī)會(huì)甚至信譽(yù)的喪失;最后,信息的可用性,防止由于人員、流程和技術(shù)服務(wù)的中斷而影響業(yè)務(wù)的正常運(yùn)作,業(yè)務(wù)賴以生存的關(guān)鍵系統(tǒng)如失效,不能得到及時(shí)有效恢復(fù),會(huì)造成重大損失。建立嚴(yán)格的訪問控制,前面數(shù)據(jù)分級(jí)時(shí)有制定數(shù)據(jù)的“所有者”及給敏感數(shù)據(jù)進(jìn)行分級(jí),按照分級(jí)的要求制定嚴(yán)格的訪問控制策略,基本的思想是最小特權(quán)原則和權(quán)限分離原則。最少特權(quán)是給定使用者最低的只需完成其工作任務(wù)的權(quán)限;權(quán)限分離原則是將不同的工作職能分開,只給相關(guān)職能有必要讓其知道的內(nèi)容訪問權(quán)限。通過對(duì)內(nèi)部網(wǎng)絡(luò)行為的監(jiān)控可以規(guī)范內(nèi)部的上網(wǎng)行為,提高工作效率,保護(hù)企業(yè)有限網(wǎng)絡(luò)資源應(yīng)用于主要生產(chǎn)經(jīng)營(yíng)上來。

3特點(diǎn)探析

通過我們對(duì)基層供電企業(yè)在信息安全存在問題及必要性來看,主要是管理制度、網(wǎng)絡(luò)信息安全技術(shù)、人員意識(shí)等方面存在問題,有以下特點(diǎn)。

3.1管理制度方面

常說信息安全“三方技術(shù)、七分管理”,制度建設(shè)對(duì)信息安全保障至關(guān)重要。信息安全管理制度應(yīng)該有上級(jí)主管部門建立一套統(tǒng)一管理制度,基層供電企業(yè)遵照?qǐng)?zhí)行,可以根據(jù)各單位具體情況進(jìn)一步細(xì)化,讓管理制度落地。從企業(yè)總體信息安全方針到具體專業(yè)制度管理上,實(shí)現(xiàn)全網(wǎng)一體化,規(guī)范化。

3.2網(wǎng)絡(luò)信息安全技術(shù)方面

上級(jí)專業(yè)主管部門,站在企業(yè)高度,制定專業(yè)技術(shù)標(biāo)準(zhǔn)和技術(shù)細(xì)則。從網(wǎng)絡(luò)安全分區(qū)、網(wǎng)絡(luò)技術(shù)架構(gòu)、互聯(lián)網(wǎng)接入和訪問方式、終端安全管理、網(wǎng)絡(luò)準(zhǔn)入控制等方面統(tǒng)一規(guī)劃,分布實(shí)施,最終實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)信息安全防控一體化。

3.3信息安全意識(shí)培養(yǎng)方面

企業(yè)員工信息安全意識(shí)培養(yǎng)是個(gè)長(zhǎng)期的過程,不是通過一次兩次培訓(xùn)就能解決的,采取形式多樣化方式來培養(yǎng)員工安全意識(shí),可以通過集中培訓(xùn)講課、視頻宣傳、張貼宣傳畫等方式進(jìn)行。針對(duì)專業(yè)人員,要讓他們養(yǎng)成按照制度辦事習(xí)慣,用戶需要申請(qǐng)某項(xiàng)資源,嚴(yán)格按照制度執(zhí)行,填寫相應(yīng)資源申請(qǐng),有時(shí)候領(lǐng)導(dǎo)打招呼也要按照制度流程來執(zhí)行。長(zhǎng)此以往,人人都會(huì)知道自己該做什么,不該做什么,該怎么做,企業(yè)信息安全意識(shí)就會(huì)得到極大提高。

3.4專業(yè)技術(shù)人員水平方面

信息安全技術(shù)日新月異,不學(xué)習(xí)就落后,不斷收集信息安全方面信息,共同討論相關(guān)話題,建立相應(yīng)培訓(xùn)機(jī)制,專業(yè)人員實(shí)行持證上崗,提升專業(yè)人員實(shí)際解決問題能力,有效提高人員專業(yè)素養(yǎng),成為企業(yè)信息安全方面專家。

4實(shí)施和開展

從2009年開始,先后進(jìn)行一系列信息安全建設(shè),涉及到信息安全制度建設(shè)、網(wǎng)絡(luò)信息安全體系架構(gòu)、信息安全保障服務(wù)、人員培訓(xùn)等方面,整體提高基層供電企業(yè)信息安全狀況。

4.1信息安全制度建設(shè)

2010年開始信息安全體系ISO27001、27002建設(shè),結(jié)合企業(yè)情況,形成30個(gè)信息安全相關(guān)文件,涵蓋企業(yè)信息安全方針、等級(jí)保護(hù)、人員管理、機(jī)房管理、網(wǎng)絡(luò)信息系統(tǒng)運(yùn)行維護(hù)管理、終端安全、病毒防護(hù)、介質(zhì)管理、數(shù)據(jù)管理、日志管理、教育培訓(xùn)等諸多方面。2013年為進(jìn)一步提示公司信息化管理水平,先后增加修改建設(shè)管理、實(shí)用化管理、項(xiàng)目管理、信息安全管理、運(yùn)維管理、綜合管理5個(gè)方面14個(gè)管理細(xì)則。經(jīng)過這一系列制度建設(shè),基層供電企業(yè)有章可循,全網(wǎng)信息安全依據(jù)統(tǒng)一,明確短板情況。

4.2建設(shè)一體化網(wǎng)絡(luò)與信息安全防控

首先依據(jù)電監(jiān)會(huì)5號(hào)文件要求,網(wǎng)絡(luò)架構(gòu)按照三層四區(qū)原則進(jìn)行部署建設(shè),生產(chǎn)實(shí)時(shí)控制大區(qū)(Ⅰ、Ⅱ區(qū))與信息管理大區(qū)(Ⅲ、Ⅳ區(qū))之間采用國(guó)家強(qiáng)制認(rèn)證單向數(shù)據(jù)隔離裝置進(jìn)行強(qiáng)制隔離,網(wǎng)絡(luò)架構(gòu)采用核心、匯聚、接入部署。網(wǎng)絡(luò)接入按照功能劃分服務(wù)器區(qū)、網(wǎng)管區(qū)、核心交換區(qū)、用戶辦公區(qū)、外聯(lián)區(qū)、互聯(lián)網(wǎng)接入?yún)^(qū),在綜合數(shù)據(jù)網(wǎng)上,利用MPLSVPN,根據(jù)劃分不同VPN業(yè)務(wù)、隔離相互間數(shù)據(jù)交叉。建立全網(wǎng)PKI/CA系統(tǒng),構(gòu)建企業(yè)員工在企業(yè)數(shù)字身份認(rèn)證系統(tǒng),已建成系統(tǒng)進(jìn)行未采用PKI登陸系統(tǒng),進(jìn)行相應(yīng)改造結(jié)合PKI/CA系統(tǒng),采用PKI登陸,在建系統(tǒng)用戶登陸必須集成PKI登陸。根據(jù)企業(yè)信息安全要求,進(jìn)行互聯(lián)網(wǎng)統(tǒng)一出口,部署統(tǒng)一互聯(lián)網(wǎng)防控設(shè)備,建立統(tǒng)一上網(wǎng)行為管理策略,規(guī)范員工上網(wǎng)行為,合理使用有限互聯(lián)網(wǎng)資源,審計(jì)員工上網(wǎng)日志,以備不時(shí)之需。建立企業(yè)統(tǒng)一病毒防護(hù)系統(tǒng),實(shí)現(xiàn)病毒軟件統(tǒng)一安裝,病毒庫(kù)自動(dòng)更新,防護(hù)策略統(tǒng)一下發(fā),定期統(tǒng)計(jì)病毒分布情況,同時(shí)作為終端接入內(nèi)網(wǎng)必備選項(xiàng),對(duì)終端病毒態(tài)勢(shì)比較嚴(yán)重用戶進(jìn)行督促整改,有效防止病毒在企業(yè)內(nèi)部蔓延,進(jìn)一步進(jìn)化內(nèi)網(wǎng)環(huán)境。建立統(tǒng)一網(wǎng)絡(luò)邊界安全防護(hù),在企業(yè)內(nèi)網(wǎng)邊界合理部署防火墻、IPS、UTM,并將其產(chǎn)生日志發(fā)送到統(tǒng)一安全管理平臺(tái),進(jìn)行日志管理分析,展現(xiàn)企業(yè)內(nèi)部信息安全態(tài)勢(shì),預(yù)警企業(yè)內(nèi)部信息安全存在問題。利用AD域或PKI/CA進(jìn)行用戶身份認(rèn)證,建設(shè)統(tǒng)一桌面管理,所有內(nèi)網(wǎng)用戶必須滿足最基本防病毒、安全助手、IT監(jiān)控要求方可接入內(nèi)網(wǎng),系統(tǒng)啟用強(qiáng)制安全策略,終端采用采用DHCP,用戶不能自動(dòng)修改IP地址,在DHCP服務(wù)器上實(shí)現(xiàn)IP與MAC地址及人員綁定,杜絕用戶私自更換IP地址引起沖突。安全認(rèn)證方面可以采用NACC或交換機(jī)802.1x方式進(jìn)行,不滿足要求用戶,自動(dòng)重定向到指定網(wǎng)站進(jìn)行安全合規(guī)性檢查,滿足要求后自動(dòng)接入內(nèi)網(wǎng),強(qiáng)制所有用戶采用統(tǒng)一網(wǎng)絡(luò)安全準(zhǔn)入規(guī)則。實(shí)行移動(dòng)介質(zhì)注冊(cè)制,極大提高終端安全性,有效保護(hù)企業(yè)信息資產(chǎn)。建立內(nèi)部運(yùn)維控制機(jī)制,實(shí)現(xiàn)4A統(tǒng)一安全管理,認(rèn)證、賬號(hào)、授權(quán)、審計(jì)集中管控。規(guī)劃統(tǒng)一服務(wù)器、網(wǎng)絡(luò)設(shè)備資源池,按照用戶需求,提交相應(yīng)申請(qǐng)材料,授權(quán)訪問特定設(shè)備和資源,并對(duì)用戶訪問行為全程記錄審計(jì)。

5結(jié)語(yǔ)

篇10

【關(guān)鍵詞】電力企業(yè);網(wǎng)絡(luò)信息安全;管理

新時(shí)代是網(wǎng)絡(luò)信息時(shí)代,全世界信息網(wǎng)絡(luò)系統(tǒng)都在迅猛發(fā)展中。電力企業(yè)作為各行業(yè)中重中之重的國(guó)家基礎(chǔ)行業(yè),整個(gè)行業(yè)都對(duì)網(wǎng)絡(luò)信息系統(tǒng)有著極大的依賴性,網(wǎng)絡(luò)信息系統(tǒng)也以它快速、全面、及時(shí)的優(yōu)點(diǎn)給電力企業(yè)帶來了極大的經(jīng)濟(jì)效益。但是網(wǎng)絡(luò)信息系統(tǒng)所帶來的不僅是經(jīng)濟(jì)效益,同樣還有信息泄露的巨大風(fēng)險(xiǎn),一旦發(fā)生信息泄露或信息數(shù)據(jù)遭篡改,將為國(guó)家造成不可估計(jì)的經(jīng)濟(jì)損失。

近年來全球范圍內(nèi)計(jì)算機(jī)犯罪活動(dòng)猖獗,不斷發(fā)生黑客入侵、電腦病毒肆虐事件,給電力企業(yè)敲響了警鐘,網(wǎng)絡(luò)安全防范刻不容緩。很多受害者的網(wǎng)絡(luò)硬件及軟件技術(shù)都處于時(shí)展的主流,然而依然發(fā)生信息安全受損事件,這充分證明,僅僅依靠軟硬件的更新是不能很好的提升網(wǎng)絡(luò)信息安全水平的,除了安裝網(wǎng)絡(luò)安全產(chǎn)品,同樣重要的還有網(wǎng)絡(luò)信息的安全管理措施。所以,各電力企業(yè)都必須認(rèn)真面對(duì)和研究當(dāng)前網(wǎng)絡(luò)信息安全問題,及時(shí)采取合理有效的防范措施。

1、我國(guó)電力企業(yè)網(wǎng)絡(luò)信息安全現(xiàn)狀

1.1電力企業(yè)信息化的優(yōu)勢(shì)

進(jìn)入二十一世紀(jì)以來,隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展,我國(guó)電力企業(yè)的信息化也有著很大的進(jìn)步:電力行業(yè)信息化設(shè)施較其他行業(yè)更完善,各電力企業(yè)主要崗位使用計(jì)算機(jī)工作的比率已經(jīng)基本達(dá)到100%,而且90%以上都建立起了覆蓋本部機(jī)關(guān)工作的局域網(wǎng);電力生產(chǎn)、調(diào)度自動(dòng)化系統(tǒng)廣泛應(yīng)用,已經(jīng)形成了較成熟的管理模式。其中發(fā)電生產(chǎn)自動(dòng)化監(jiān)控系統(tǒng)、電力調(diào)度SCADA系統(tǒng)等,大大提高了生產(chǎn)過程和電力調(diào)度的自動(dòng)化水平;電力營(yíng)銷管理系統(tǒng)在全國(guó)各大電力企業(yè)廣泛應(yīng)用,各地(市)級(jí)電力企業(yè)都已實(shí)現(xiàn)業(yè)務(wù)受理計(jì)算機(jī)化。同時(shí)各地也在大力建設(shè)客戶服務(wù)中心,已經(jīng)有一批服務(wù)中心先行初步建立起來;國(guó)家電網(wǎng)公司及其下各級(jí)子公司開發(fā)應(yīng)用了電力生產(chǎn)、設(shè)備安檢、電力負(fù)荷及營(yíng)銷管理的企業(yè)管理信息系統(tǒng),各大電力企業(yè)也在積極規(guī)劃企業(yè)信息化發(fā)展藍(lán)圖,大力進(jìn)行企業(yè)信息化建設(shè),推動(dòng)實(shí)現(xiàn)電力工業(yè)現(xiàn)代化進(jìn)程。

1.2當(dāng)前存在的問題

上述信息化優(yōu)勢(shì)證明我國(guó)電力企業(yè)近年來關(guān)于網(wǎng)絡(luò)信息化建設(shè)取得了一些成果,給行業(yè)信息化建設(shè)打下了良好的基礎(chǔ),但在網(wǎng)絡(luò)信息安全管理方面仍普遍存在較多問題。

1.2.1信息化機(jī)構(gòu)建設(shè)不健全。電力企業(yè)很少為信息管理部門專門設(shè)置機(jī)構(gòu),因而缺乏應(yīng)有的規(guī)范的崗位及建制。大多信息部門附屬在技術(shù)部、科技部或總經(jīng)理工作部門下,甚至僅設(shè)置一個(gè)專責(zé)人員負(fù)責(zé)。信息化管理是一項(xiàng)系統(tǒng)性的工程,沒有專門的部門負(fù)責(zé)是不能滿足現(xiàn)代企業(yè)信息化安全的需求的。

1.2.2企業(yè)管理阻礙信息化發(fā)展。有些電力企業(yè)管理辦法革新緩慢,大多采用較落后的、非現(xiàn)代信息化企業(yè)的管理模式。這樣的企業(yè)即便引入最完善的信息管理系統(tǒng)、最先進(jìn)的信息化設(shè)備,也只能受落后的企業(yè)管理模式所制約,無法發(fā)揮其應(yīng)有的作用。

1.2.3網(wǎng)絡(luò)結(jié)構(gòu)不合理。電力企業(yè)大多將公司網(wǎng)絡(luò)分為外網(wǎng)和內(nèi)網(wǎng),兩種網(wǎng)絡(luò)之間實(shí)行物理隔離措施,但很多企業(yè)的網(wǎng)絡(luò)交換機(jī)是一臺(tái)二層交換機(jī),決定了內(nèi)網(wǎng)和外網(wǎng)用戶在網(wǎng)絡(luò)中地位是平等的,導(dǎo)致安全問題只能靠完善管理系統(tǒng)去解決,給系統(tǒng)編寫帶來很多不必要的困難。

1.2.4身份認(rèn)證缺陷。電力企業(yè)一般只建立內(nèi)部使用的信息系統(tǒng),而企業(yè)內(nèi)部不同管理部門、不同層次員工有不同等級(jí)的授權(quán),根據(jù)授權(quán)等級(jí)不同決定各部門和員工訪問的數(shù)據(jù)和信息不同。這類授權(quán)是以身份認(rèn)證為基礎(chǔ)的信息訪問控制,但在當(dāng)前的企業(yè)身份認(rèn)證系統(tǒng)中大多存在缺陷和漏洞,給信息安全留下隱患。

1.2.5軟件系統(tǒng)安全風(fēng)險(xiǎn)較大。軟件系統(tǒng)安全風(fēng)險(xiǎn)指兩方面,一是編寫的各種應(yīng)用系統(tǒng)可能有漏洞造成安全風(fēng)險(xiǎn),二是操作系統(tǒng)本身風(fēng)險(xiǎn),隨著近期微軟停止對(duì)windows XP系統(tǒng)的服務(wù)支持,大量使用windows XP系統(tǒng)的信息管理軟件都將得不到系統(tǒng)漏洞的修補(bǔ),這無疑會(huì)給信息安全帶來極大風(fēng)險(xiǎn)。

1.2.6管理人員意識(shí)不足。很多電力企業(yè)員工網(wǎng)絡(luò)安全意識(shí)參差不齊,一方面是時(shí)代的迅速發(fā)展導(dǎo)致較年輕的管理人員安全意識(shí)較高,而對(duì)網(wǎng)絡(luò)接觸較少的中老年員工網(wǎng)絡(luò)安全意識(shí)較為缺乏;另一方面也有電力企業(yè)管理制度不夠完善、忽視對(duì)員工進(jìn)行及時(shí)培訓(xùn)的原因。在這種人員背景下,如果管理人員配備不當(dāng)、信息管理系統(tǒng)設(shè)置不合理都會(huì)給企業(yè)信息埋下安全隱患。

2、電力企業(yè)網(wǎng)絡(luò)信息安全管理措施

要建立完善合理的網(wǎng)絡(luò)信息安全管理體系,需要各企業(yè)認(rèn)清企業(yè)現(xiàn)狀,根據(jù)實(shí)際進(jìn)行統(tǒng)一規(guī)劃,分部建設(shè),保證建設(shè)內(nèi)容能科學(xué)有效的運(yùn)行。

2.1加強(qiáng)信息安全教育培訓(xùn)

不論計(jì)算機(jī)程序有多么先進(jìn)多么完善,如果操作管理人員素質(zhì)和意識(shí)不足,那也不能保證企業(yè)信息化的安全。因此,實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)信息安全管理的根本在人,可以根據(jù)員工職責(zé)分層次進(jìn)行培訓(xùn),一方面提高安全管理員工的專業(yè)知識(shí)水平及安全管理意識(shí),另一方面加強(qiáng)對(duì)一線工作人員的安全意識(shí)教育,將網(wǎng)絡(luò)信息安全變?yōu)槠髽I(yè)文化和精神支柱的一部分。

2.2完善管理制度建設(shè)

電力企業(yè)要把網(wǎng)絡(luò)信息安全管理視為一個(gè)系統(tǒng)工程來考慮,必須在企業(yè)內(nèi)部建立起合理而完善的管理制度,比如:加強(qiáng)網(wǎng)絡(luò)日志管理;對(duì)安全審計(jì)數(shù)據(jù)嚴(yán)格管理;在企業(yè)網(wǎng)絡(luò)上安裝病毒防護(hù)軟件;規(guī)定不能隨意在內(nèi)網(wǎng)主機(jī)上下載互聯(lián)網(wǎng)數(shù)據(jù)、不能在內(nèi)網(wǎng)計(jì)算機(jī)上隨意使用來歷不明的移動(dòng)存儲(chǔ)設(shè)備等。

2.3不斷更新完善信息安全管理系統(tǒng)

大力推進(jìn)信息安全新技術(shù)的探索和應(yīng)用,建立信息安全防護(hù)體系,可以圍繞數(shù)據(jù)庫(kù)安全、數(shù)據(jù)備份和恢復(fù)、網(wǎng)絡(luò)服務(wù)完全、病毒防護(hù)系統(tǒng)的應(yīng)用、數(shù)據(jù)加密技術(shù)及數(shù)據(jù)傳輸安全等方面建立一個(gè)多方面多層次聯(lián)合的技術(shù)安全體系,從而提高信息系統(tǒng)安全防護(hù)能力,確保企業(yè)信息安全可靠。

3、總結(jié)

電力企業(yè)信息化是不可避免的發(fā)展趨勢(shì),因此要實(shí)現(xiàn)企業(yè)的可持續(xù)發(fā)展就必須做好企業(yè)信息網(wǎng)絡(luò)安全的管理,電力企業(yè)要在不斷的探索實(shí)踐中,摸索新時(shí)期網(wǎng)絡(luò)信息安全管理措施,不斷完善和健全網(wǎng)絡(luò)信息安全建設(shè)。

參考文獻(xiàn)

[1]王雋.電力企業(yè)網(wǎng)絡(luò)信息安全防護(hù)體系的建立[J].信息與電腦(理論版),2012,07:22-23.