前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的企業(yè)信息化安全建設(shè)主題范文,僅供參考,歡迎閱讀并收藏。
【關(guān)鍵詞】企業(yè) 信息化 網(wǎng)絡(luò) 安全
中圖分類號:TN915.08文獻(xiàn)標(biāo)識碼: A 文章編號:
一、前言
在信息迅速發(fā)展的時代,計算機(jī)網(wǎng)絡(luò)技術(shù)已無處不在,而企業(yè)信息化已經(jīng)成為提高企業(yè)競爭的重要因素,企業(yè)在大力推行辦公自動化、網(wǎng)絡(luò)化、電子化、信息共享,以利用網(wǎng)絡(luò)技術(shù)增強(qiáng)各部門的科學(xué)決策、監(jiān)管控制、提高工作效率的同時,網(wǎng)絡(luò)安全是每一個企業(yè)工作得以保障的首要條件,我們必須重視。
二、常見的網(wǎng)絡(luò)安全隱患
1、非法入侵
任何軟件中都可能存在缺陷,而部分系統(tǒng)中會留下未公開的特性。這些特性會導(dǎo)致系統(tǒng)中各種保護(hù)機(jī)制失效,如盜用身份。事實(shí)上很多危險的入侵者是以獲得管理員權(quán)限為主要目標(biāo)的,繞過反問控制。通過修改審計系統(tǒng)清除入侵痕跡等。這些缺陷和未公開特性可以制作成工具而廣泛傳播,而有些惡意的未公開特性會在某些時刻被利用攻擊系統(tǒng)。
2、病毒傳播
病毒的種類是多種多樣的,目前全世界發(fā)現(xiàn)的病毒已遠(yuǎn)遠(yuǎn)超過數(shù)十萬種,根據(jù)感染對象的不同.這些病毒可分為引導(dǎo)型病毒、文件型病毒、混合型病毒三類。引導(dǎo)型病毒其感染對象是計算機(jī)存儲介質(zhì)的引導(dǎo)區(qū),其傳染性較強(qiáng);文件型病毒其感染對象是計算機(jī)系統(tǒng)存在的文件,病毒將在文件運(yùn)行或被調(diào)用時駐留內(nèi)存、傳染、破壞混合型病毒其感染對象是引導(dǎo)區(qū)或文件。
3、數(shù)據(jù)丟失
企業(yè)的重要業(yè)務(wù)數(shù)據(jù)都存儲在網(wǎng)絡(luò)中,一旦丟失,后果不堪設(shè)想。因此,建立一套行之有效的災(zāi)難恢復(fù)方案就顯得尤為重要。在企業(yè)信息系統(tǒng)中,由于數(shù)據(jù)量大,且常常需要跨平臺操作,數(shù)據(jù)出錯或丟失是難免的,如果沒有事先對數(shù)據(jù)進(jìn)行備份,要想恢復(fù)數(shù)據(jù)不僅難度大而且很不可靠,有時甚至根本不可能進(jìn)行恢復(fù)。如果定期對重要數(shù)據(jù)進(jìn)行備份。那么在系統(tǒng)出現(xiàn)故障時,仍然能保證重要數(shù)據(jù)準(zhǔn)確無誤。
三、網(wǎng)絡(luò)安全分析
1.企業(yè)網(wǎng)絡(luò)概況企業(yè)網(wǎng)可分為三部分:企業(yè)內(nèi)部網(wǎng)、企業(yè)外部網(wǎng)和企業(yè)廣域網(wǎng)
內(nèi)部網(wǎng)是一個信息點(diǎn)密集的千兆網(wǎng)絡(luò)系統(tǒng),這些信息點(diǎn)為企業(yè)內(nèi)各部門提供一個快速、方便的信息交流平臺。企業(yè)外部網(wǎng)可實(shí)現(xiàn)對外信息。企業(yè)廣域網(wǎng),可實(shí)現(xiàn)各部門與互聯(lián)網(wǎng)用戶進(jìn)行交流、查詢資料.以及遠(yuǎn)程辦公。高速交換技術(shù)的采用、靈活的網(wǎng)絡(luò)互連方案設(shè)計為用戶提供快速、方便、靈活通信平臺的同時。也為網(wǎng)絡(luò)的安全帶來了更大的風(fēng)險。因此。實(shí)施一套完整、可操作的安全解決方案是必須的。
2.網(wǎng)絡(luò)安全性概述計算機(jī)網(wǎng)絡(luò)主要是向客戶提供信息、在企業(yè)內(nèi)部共享相關(guān)數(shù)據(jù)并進(jìn)行業(yè)務(wù)聯(lián)系.因此一個安全的企業(yè)網(wǎng)絡(luò)應(yīng)該能夠解決以下三方面的問題:
(1)企業(yè)內(nèi)部網(wǎng)用戶對企業(yè)信息的安全訪問。
(2)Intemet用戶對企業(yè)信息的安全訪問。
(3)企業(yè)內(nèi)部網(wǎng)與Intemet的正常信息交流。
3.企業(yè)內(nèi)部網(wǎng)受到的安全威脅企業(yè)內(nèi)部網(wǎng)受到的安全威脅有以下幾種:黑客人侵、病毒的傳播、內(nèi)部攻擊、秘密信息泄露和篡改、修改網(wǎng)絡(luò)配置、造成網(wǎng)絡(luò)癱瘓等。具體來說網(wǎng)絡(luò)安全的威脅主要來自技術(shù)層面和管理層面。
(1)技術(shù)層面目前使用的網(wǎng)絡(luò)協(xié)議主要考慮了通用性設(shè)計,安全層面考慮的少。使目前的網(wǎng)絡(luò)存在以下安全威脅:物理屢、鏈路層以及網(wǎng)絡(luò)層的安全問題,即竊聽或干擾、非法用戶的使用、信息被攔截監(jiān)聽;操作系統(tǒng)安全。目前流行的操作系統(tǒng)均存在網(wǎng)絡(luò)安全漏洞,許多攻擊直接針對操作系統(tǒng)展開;應(yīng)用平臺安全,如數(shù)據(jù)庫服務(wù)器、郵件服務(wù)器、Web服務(wù)器、Ftp服務(wù)器等均存在安全隱患,很容易受到攻擊;應(yīng)用系統(tǒng)是直接面向最終用戶的,其安全問題包括規(guī)范化操作、合法性使用、信息泄露、信息篡改、信息抵賴及信息假冒等。
(2)管理層面管理層面的問題是整個網(wǎng)絡(luò)安全的關(guān)鍵,通常存在如下的管理問題:管理組織不完善:很多單位出于節(jié)約資金的考慮,沒有聘用專業(yè)的安全管理人員?;蛘甙踩芾砣蝿?wù)沒有落實(shí)到人,責(zé)權(quán)不明確;管理規(guī)范未建立:安全是一個整體工程,不完整的管理幾乎等于不管:技術(shù)管理不到位:多數(shù)單位只考慮防火墻、防病毒等措施,并沒有提高到管理的程度:日常管理不到位:從計算機(jī)的日常使用、信息保存、用戶權(quán)限變更等。
四、企業(yè)信息化建設(shè)過程中解決網(wǎng)絡(luò)安全問題的措施
實(shí)現(xiàn)網(wǎng)路安全的過程是復(fù)雜的,任何一種單一的技術(shù)或產(chǎn)品無法滿足網(wǎng)絡(luò)對安全的要求,只有將技術(shù)和管理有機(jī)結(jié)合起來,從控制整個網(wǎng)絡(luò)安全建設(shè)、運(yùn)行和維護(hù)的全過程角度人手。還應(yīng)采用各種先進(jìn)技術(shù),防火墻技術(shù)、VPN技術(shù)、加密技術(shù)、入侵檢測技術(shù)等。
1、加強(qiáng)素質(zhì)培養(yǎng)
首先加強(qiáng)網(wǎng)絡(luò)管理人員的技術(shù)水平,特別是計算機(jī)網(wǎng)絡(luò)安全新技術(shù)的培訓(xùn)。其次對非技術(shù)人員進(jìn)行計算機(jī)操作培訓(xùn),并且介紹網(wǎng)絡(luò)安全的重要性以及基本的防御常識等。
2、網(wǎng)絡(luò)安全的先進(jìn)技術(shù)
防火墻技術(shù):防火墻技術(shù)一般分為兩類:網(wǎng)絡(luò)級防火墻和應(yīng)用級防火墻。網(wǎng)絡(luò)級防火墻防止整個網(wǎng)絡(luò)出現(xiàn)外來非法入侵;應(yīng)用級防火墻是從應(yīng)用程序來進(jìn)行接入控制。通常使用應(yīng)用網(wǎng)關(guān)或服務(wù)器來區(qū)分各種應(yīng)用。目前防火墻所采用的技術(shù)主要有:屏蔽路由技術(shù)、基于技術(shù)、包過濾技術(shù)、動態(tài)防火墻技術(shù)、DMZ模型。虛擬專用網(wǎng):虛擬專用網(wǎng)(Virtual Private Network,VPN)是企業(yè)網(wǎng)在因特網(wǎng)等公共網(wǎng)絡(luò)上的延伸,通過一個私有的通道在公共網(wǎng)絡(luò)上創(chuàng)建一個私有的連接。因此,從本質(zhì)上說VPN是一個虛擬通道,它可用來連接兩個專用網(wǎng),通過可靠的加密技術(shù)方法保證其他安全性,并且是作為一個公共網(wǎng)絡(luò)的一部分存在的。
加密技術(shù):加密技術(shù)分為對稱加密和非對稱加密兩類,對稱加密技術(shù)有DES、3DES、IDEA,對稱加密技術(shù)是指加密系統(tǒng)的加密密鑰和解密密鑰相同,也就是說一把鑰匙開一把鎖。非對稱密鑰技術(shù)主要有RSA.非對稱密鑰技術(shù)也稱為公鑰算法,是指加密系統(tǒng)的加密密鑰和解密密鑰完全不同,這種加密方式廣泛應(yīng)用于身份驗(yàn)證、數(shù)字簽名、數(shù)據(jù)傳輸。
入侵檢測技術(shù):入侵檢測技術(shù)的核心包括兩個方面,一是如何充分并可靠地提取描述行為的特征數(shù)據(jù);二是如何根據(jù)特征數(shù)據(jù),高效并準(zhǔn)確地判斷行為的性質(zhì)。它通過從計算機(jī)網(wǎng)絡(luò)或計算機(jī)系統(tǒng)的關(guān)鍵點(diǎn)收集信息并進(jìn)行分析從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。
其他的網(wǎng)絡(luò)安全技術(shù)還有安全隔離技術(shù)、VLAN技術(shù)、各種防、殺毒技術(shù)等等。
五、網(wǎng)絡(luò)安全管理
為了保護(hù)網(wǎng)絡(luò)的安全性,除了增加安全服務(wù)功能,完善系統(tǒng)的安全保密措施外,安全管理規(guī)范也是必須的。安全管理策略一方面從安全管理規(guī)范來實(shí)現(xiàn)。男一方面從技術(shù)上建立高效的管理平臺。
1.安全管理規(guī)范信息系統(tǒng)的安全管理部門應(yīng)根據(jù)管理原則制定相應(yīng)的管理制度或采用相應(yīng)的規(guī)范。具體工作是:
(1)根據(jù)工作的重要程度,確定安全管理等級和安全管理范圍。
(2)制訂相應(yīng)的機(jī)房出入制度,對于安全等級要求較高的系統(tǒng)。實(shí)行分區(qū)控制和出入管理??刹捎米C件識別或自動識別登記系統(tǒng).采用磁卡、身份卡等手段。對人員進(jìn)行識別、登記管理。
(3)制訂嚴(yán)格的網(wǎng)絡(luò)操作規(guī)程。既有網(wǎng)絡(luò)管理人員的操作規(guī)程,也要有內(nèi)網(wǎng)用戶的操作規(guī)程。
(4)制訂完備的網(wǎng)絡(luò)系統(tǒng)維護(hù)制度。維護(hù)時要首先經(jīng)主管部門批準(zhǔn),并有網(wǎng)絡(luò)管理人員在場,故障的原因、維護(hù)內(nèi)容和維護(hù)前后的情況要詳細(xì)記錄。
結(jié)論
今后的企業(yè)信息化建設(shè)中,網(wǎng)絡(luò)安全就顯得尤為重要,如果企業(yè)不重視信息化的網(wǎng)絡(luò)安全工作。信息化不僅無法提高企業(yè)的工作效率,還會讓企業(yè)蒙受巨大的經(jīng)濟(jì)損失。所以信息化建設(shè)中的網(wǎng)絡(luò)安全要與信息化同步考慮進(jìn)行。
【參考文獻(xiàn)】
1企業(yè)信息化建設(shè)概述
信息技術(shù)正處于不斷發(fā)展的狀態(tài),我國各個產(chǎn)業(yè)都開始對信息技術(shù)進(jìn)行運(yùn)用,企業(yè)為了提高自身管理質(zhì)量與管理效率,加入了這一行列。企業(yè)進(jìn)行信息化建設(shè)的目的提高管理質(zhì)量、提升管理效率、促進(jìn)科學(xué)管理。很多企業(yè)開始建設(shè)公司網(wǎng),通過網(wǎng)絡(luò)對自身事務(wù)進(jìn)行管理,改善原有的工作方式,促進(jìn)信息時代管理體制的形成,同時對眾多企業(yè)資源進(jìn)行整合,提升企業(yè)在這個時代的競爭力,讓企業(yè)獲得更高的發(fā)展空間。企業(yè)信息化建設(shè)是其向現(xiàn)代化邁進(jìn)的重要依據(jù),也是企業(yè)綜合實(shí)力的體現(xiàn)。信息化建設(shè)在我國企業(yè)之中已經(jīng)成為一種普遍行為,幾乎每一個企業(yè)都在對信息系統(tǒng)以及網(wǎng)絡(luò)設(shè)施進(jìn)行建設(shè),公司網(wǎng)已經(jīng)成為我國企業(yè)的標(biāo)配。部分企業(yè)領(lǐng)導(dǎo)對企業(yè)進(jìn)行信息化建設(shè)十分重視,在其中投入了較多的人力、物力,力求提升自身信息化建設(shè)的質(zhì)量,某些企業(yè)已經(jīng)針對信息化建設(shè)制定了長遠(yuǎn)的計劃,這些計劃將在2~3年之內(nèi)完成。安全管理問題在我國企業(yè)信息化建設(shè)中是不可回避的問題,在這一方面,我國與西方發(fā)達(dá)國家之間具有較大的差距,而且自身技術(shù)手段不夠先進(jìn),在企業(yè)信息化建設(shè)進(jìn)程中安全問題層出不窮,因此,各個企業(yè)應(yīng)該重視信息化建設(shè)進(jìn)程中的安全管理問題,從整體上提升企業(yè)信息化建設(shè)的質(zhì)量。
2企業(yè)信息化建設(shè)進(jìn)程中安全管理存在的問題
2.1缺乏網(wǎng)絡(luò)安全管理人員
企業(yè)在信息化建設(shè)進(jìn)程中進(jìn)行的安全管理,很大程度上依賴網(wǎng)絡(luò)安全管理人員的工作,因此,網(wǎng)絡(luò)安全管理人員的工作能力以及素質(zhì)對企業(yè)信息化建設(shè)具有重要影響。目前,我國企業(yè)信息化建設(shè)正在進(jìn)行之中,網(wǎng)絡(luò)安全管理人員的培養(yǎng)也處于初始階段,他們的工作能力與素質(zhì)還達(dá)不到各個企業(yè)的要求。相比于對網(wǎng)絡(luò)安全管理人員進(jìn)行培訓(xùn)與引進(jìn),我國企業(yè)更熱衷于對各類殺毒軟件、安全軟件進(jìn)行購買,沒有對培養(yǎng)網(wǎng)絡(luò)安全管理人員產(chǎn)生正確的認(rèn)識,也沒有將招聘網(wǎng)絡(luò)安全管理人員列入到自身的工作計劃之中,這就導(dǎo)致了企業(yè)信息化建設(shè)進(jìn)程中,網(wǎng)絡(luò)安全管理人員的缺乏,即使有也不具備相關(guān)的能力與素質(zhì),在出現(xiàn)安全方面的問題時很難將其進(jìn)行解決,給企業(yè)信息化建設(shè)進(jìn)程增加眾多風(fēng)險。
2.2企業(yè)員工安全管理參與度較低
企業(yè)信息化建設(shè)是為了讓在企業(yè)中工作的每一位員工都能夠使用安全、高速的公司網(wǎng)絡(luò),讓企業(yè)員工了解到網(wǎng)絡(luò)安全以及安全管理的重要性,在平時使用網(wǎng)絡(luò)時增加自身安全意識,但是很多企業(yè)沒有對自己的員工進(jìn)行安全管理方面的教育。企業(yè)員工不了解企業(yè)信息化建設(shè)進(jìn)程以及其中存在的安全問題,更不知道如何進(jìn)行安全管理來消除這些安全隱患,在網(wǎng)絡(luò)安全管理方面參與程度較低,不了解與網(wǎng)絡(luò)安全以及信息化建設(shè)相關(guān)的法律法規(guī),在自身網(wǎng)絡(luò)出現(xiàn)問題時無法及時進(jìn)行處理,對自身管理、工作成較大的影響。
2.3安全管理制度存在缺陷
全面的安全管理制度是對企業(yè)信息化建設(shè)的安全保障,可以保證企業(yè)在信息化建設(shè)進(jìn)程中出現(xiàn)問題時能夠及時做出反應(yīng)。但是目前,我國各個企業(yè)的安全管理體制存在缺陷,很多關(guān)鍵性內(nèi)容在體制中沒有進(jìn)行規(guī)定,這樣的結(jié)果就是企業(yè)信息化建設(shè)進(jìn)程面臨安全隱患的威脅。內(nèi)部管理較為松散是安全管理制度存在缺陷的直接體現(xiàn),正因如此,很多與安全管理相關(guān)的指令不能被全面地了解、認(rèn)真地執(zhí)行。安全監(jiān)督機(jī)制是安全管理制度最為致命的缺陷,缺乏有效的安全監(jiān)督,導(dǎo)致企業(yè)信息化建設(shè)進(jìn)程中眾多行為無人監(jiān)督、無人管理,相關(guān)人員在這一過程中很有可能出現(xiàn)操作失誤,由此而導(dǎo)致安全問題,部分人員甚至?xí)M(jìn)行違規(guī)操作,但是由于無人進(jìn)行監(jiān)督管理,一旦出現(xiàn)問題,企業(yè)無法找到直接責(zé)任人對其責(zé)任進(jìn)行追究,并解決信息化進(jìn)程中存在的問題。
3加強(qiáng)企業(yè)信息化建設(shè)進(jìn)程中安全管理的對策
3.1培養(yǎng)專業(yè)安全管理人員
企業(yè)信息化建設(shè)進(jìn)程中的安全管理,需要有人參與其中才能夠正常進(jìn)行,因此,專業(yè)安全管理人員對企業(yè)信息化建設(shè)來說是十分重要的,各個企業(yè)應(yīng)該對這一點(diǎn)有著清醒的認(rèn)識。企業(yè)應(yīng)該注重對專業(yè)網(wǎng)絡(luò)安全管理人員的培養(yǎng),提升企業(yè)內(nèi)部管理人員的專業(yè)能力以及專業(yè)素質(zhì),讓他們能夠符合時展的要求,在信息化建設(shè)過程中為企業(yè)解決眾多安全管理問題。同時,企業(yè)可以外聘專業(yè)管理人員,讓他們參與到實(shí)際工作中,在進(jìn)行工作的同時要求原有的安全管理人員學(xué)習(xí)他人的工作方式與工作方法,以此對自身的技術(shù)水平進(jìn)行提升。企業(yè)應(yīng)該針對安全管理人員的工作制定獎懲制度,以此來提升安全管理人員工作的積極性,改變他們對自身工作的態(tài)度,讓企業(yè)信息化建設(shè)進(jìn)程中的安全管理工作向著更好的方向發(fā)展。
3.2向員工普及信息安全管理知識
企業(yè)應(yīng)該在內(nèi)部進(jìn)行與信息化建設(shè)以及安全管理知識相關(guān)的講座,讓每一名員工對自己正在使用的公司網(wǎng)絡(luò)有一個初步的了解,知曉其中的建設(shè)過程以及在建設(shè)過程中面臨的安全管理問題,認(rèn)識到公司網(wǎng)絡(luò)信息安全對自身的重要作用,提升自身的信息安全管理意識。每一名企業(yè)員工都應(yīng)該積極參與到企業(yè)信息化建設(shè)的安全管理之中,在這一過程中發(fā)揮出自己作為企業(yè)主體的作用,在企業(yè)進(jìn)行的網(wǎng)絡(luò)信息安全管理中貢獻(xiàn)自己的力量。企業(yè)應(yīng)該培養(yǎng)全體員工處理安全問題的技能,讓每名員工都具備在網(wǎng)絡(luò)上維護(hù)自身利益的能力,促進(jìn)員工信息化建設(shè)的進(jìn)行。
3.3健全安全管理制度
規(guī)章制度是企業(yè)信息化建設(shè)進(jìn)程中安全管理工作的重要保障。各個企業(yè)需要了解安全管理制度對自身信息化建設(shè)以及安全管理的重要性,同時知曉自身安全管理制度存在的不足,及時對自身安全管理制度存在的不足進(jìn)行彌補(bǔ),避免因此而遭受重大損失。在安全管理制度中需要加入監(jiān)督管理、風(fēng)險分析等方面的內(nèi)容,讓安全管理制度可以進(jìn)行更加全面的管理工作,對可能存在的風(fēng)險進(jìn)行分析,制定預(yù)警方案;對安全管理人員的行為進(jìn)行監(jiān)督,避免失誤操作以及違規(guī)操作的出現(xiàn)。減少在企業(yè)信息化建設(shè)進(jìn)程中安全管理方面存在的問題,讓每一個企業(yè)的每一名員工都能夠使用良好的企業(yè)網(wǎng)絡(luò),讓企業(yè)自身的網(wǎng)絡(luò)安全以及信息安全得到保證。
作者:李雯 單位:保定天威保變電氣股份有限公司
參考文獻(xiàn)
1當(dāng)前企業(yè)信息化建設(shè)中的信息安全問題
1.1信息安全管理問題
目前企業(yè)的信息安全管理上存在的問題,首先,信息管理人員缺乏或者人員經(jīng)驗(yàn)不足:計算機(jī)信息安全很大程度上取決于管理人才,調(diào)查顯示,我國七成IT企業(yè)信息安全系統(tǒng)保障不足,主要原因是管理人員沒有及時更新系統(tǒng)補(bǔ)丁程序、沒有及時維護(hù)系統(tǒng)。企業(yè)信息安全是上不斷完善的動態(tài)過程,需要不斷對現(xiàn)有系統(tǒng)進(jìn)行安全檢查、評估,及時發(fā)現(xiàn)新的問題,跟蹤最新安全技術(shù),及時調(diào)整安全策略,增強(qiáng)企業(yè)信息安全性。其次,在企業(yè)的信息化建設(shè)中信息安全管理系統(tǒng)不完善,信息安全管理系統(tǒng),如果沒有一個很好的保障體系,會使得信息的管理錯亂,無秩序,重復(fù)管理、漏管等現(xiàn)象發(fā)生,使得信息系統(tǒng)出現(xiàn)漏洞,安全性降低。最后,安全以人為本,如果管理不善,人為原因,造成的操作失誤,誤用或?yàn)E用關(guān)鍵、敏感數(shù)據(jù)或資源等導(dǎo)致信息丟失泄露,外部人員和硬件的商家等對于企業(yè)的系統(tǒng)有一定的了解,有權(quán)限合法訪問,這也會造成信息的安全問題。
1.2信息化建設(shè)中的硬件問題
近年來,由于信息化發(fā)展較快,企業(yè)信息化建設(shè)的成本也在不斷提高,由于信息化建設(shè)投資大、回報慢,一些企業(yè)雖然有信息化建設(shè)的意愿,但是在實(shí)際投入上比較小,這就使得企業(yè)信息化建設(shè)過程中,企業(yè)的硬件設(shè)施跟不上時代的不發(fā),導(dǎo)致企業(yè)信息化建設(shè)止步不前,計算機(jī)硬件設(shè)施的老化,對企業(yè)信息化建設(shè)過程中的安全問題存在這一定的隱患,而且,計算機(jī)的硬件決定著信息化建設(shè)的穩(wěn)定性。另外在鏈路傳輸、網(wǎng)絡(luò)設(shè)備(路由器、交換機(jī)、防火墻、通訊線路故障)等以及物量的一些不可抗力造成的地震、水災(zāi)、火災(zāi)等環(huán)境事故使系統(tǒng)毀灰。
1.3信息化建設(shè)中的軟件問題
(1)國內(nèi)的軟件水平與世界先進(jìn)水平還存在較大的差距,更容易受到黑客和病毒的攻擊。這樣就會造成使用這些軟件的企業(yè)信息化建設(shè)中存在信息安全問題。
(2)配置中存在的問題,很多的系統(tǒng)和應(yīng)用軟件在初裝后會使用默認(rèn)的用戶名和口令以及開放的端口,而這些都容易造成信息的泄露。
(3)Web服務(wù)中的安全問題,www體系的主要特點(diǎn)是開放、共享、交互,這使得信息安全問題增加,安全漏洞多樣,如果服務(wù)器的保密信息被竊取,信息系統(tǒng)就會受到攻擊,獲取Web主機(jī)信息,使機(jī)器暫時不能使用,使機(jī)器暫時不能使用,服務(wù)器和客戶端之間的信息被監(jiān)聽等。
(4)路由器信息的不安全行為,路由器簡單的密碼或共享密碼、安全功能沒有設(shè)置會導(dǎo)致信息的泄露。
2企業(yè)信息化建設(shè)中信息安全的對策
信息安全是企業(yè)信息化建設(shè)中的重要問題,只有保證信息的安全才能使企業(yè)在信息化建設(shè)中走得更遠(yuǎn)。企業(yè)在信息化建設(shè)進(jìn)行信息安全的建設(shè),主要可以從強(qiáng)化信息安全觀念、加強(qiáng)硬件建設(shè)安全防護(hù)、提升軟件建設(shè)安全措施三個方面進(jìn)行。
2.1強(qiáng)化信息安全觀念
在企業(yè)信息化建設(shè)中,一旦企業(yè)信息被盜取或丟失,對企業(yè)肯定會造成損失甚至是致命的打擊。要從企業(yè)的基層員工到管理者都要正確認(rèn)識信息安全的重要性,強(qiáng)化信息安全的觀念,提高信息安全意識,從思想上認(rèn)識提高信息安全的必要性。
2.2加強(qiáng)硬件建設(shè)安全防護(hù)
加強(qiáng)企業(yè)信息化建設(shè)過程中的硬件建設(shè)安全,首先要保證計算機(jī)的安全。企業(yè)的信息化建設(shè)離不開計算機(jī),要保證計算機(jī)的安全就要對計算機(jī)進(jìn)行定期的維護(hù)與保養(yǎng),避免計算機(jī)在運(yùn)行過程中出現(xiàn)突發(fā)性故障而導(dǎo)致企業(yè)信息的丟失。
另外,企業(yè)的信息化建設(shè)中,要加強(qiáng)網(wǎng)絡(luò)硬件的建設(shè)。目前,市場上應(yīng)用比較廣泛的企業(yè)網(wǎng)絡(luò)協(xié)議就是TCP/IP協(xié)議,硬件組成有服務(wù)器、通信設(shè)備、網(wǎng)絡(luò)安全設(shè)備,主要應(yīng)用技術(shù)是網(wǎng)絡(luò)交換、網(wǎng)絡(luò)管理、WEB數(shù)據(jù)庫技術(shù)、防火墻等技術(shù),同時還有支持網(wǎng)絡(luò)運(yùn)行的支撐系統(tǒng),整個硬件建設(shè)安全、穩(wěn)定、可靠。
2.3提升軟件建設(shè)安全措施
要解決企業(yè)信息化建設(shè)過程中的信息安全問題還需要加強(qiáng)企業(yè)信息系統(tǒng)的軟件安全防御措施,要采用高性能的安全軟件對系統(tǒng)進(jìn)行防護(hù),使用防護(hù)軟件要使其發(fā)揮其價值所在,不要因小失大。目前,大多數(shù)企業(yè)的軟件防護(hù)措施不到位,主要原因就在于軟件防護(hù)措施不到位,例如企業(yè)在公共區(qū)域設(shè)置無密碼的無線路由器,等于是向所有人公開企業(yè)的信息,安全無法保證。因此,企業(yè)在信息化建設(shè)過程中有必要采取高性能的安全防護(hù)軟件來保證信息的安全。
3小結(jié)
關(guān)鍵詞:企業(yè);計算機(jī)網(wǎng)絡(luò);信息安全
中圖分類號:TP393.08 文獻(xiàn)標(biāo)識碼:A 文章編號:1007-9599 (2011) 18-0000-01
Network Security Problems in the Construction of Enterprise Informatization
Li Xiaoning
(China Petroleum Changqing Oilfield Company Hydropower Plant,Xi’an 710200)
Abstract:The advances in technology bring the rapid development of computer network technology and constant growing of enterprise informatization,which also bring the network information security to the attention of the public.In general,the network information security of enterprises in China still has many problems.This paper mainly focuses on the main network security problems confronted with the enterprises during the information construction process,and puts forward relevant protective measures on a basis of these problems.
Keywords:Enterprises;Computer network;Information security
一、企業(yè)信息化建設(shè)中網(wǎng)絡(luò)安全存在的問題
(一)安全漏洞
在計算機(jī)技術(shù)中,任何一種程序都有可能存在漏洞,當(dāng)前各種操作系統(tǒng)以及相關(guān)軟件都存在一些漏洞,幾乎每一天都有漏洞被發(fā)現(xiàn),此外,操作系統(tǒng)通常還存在一些隱藏的通道,而這些通道往往成為黑客的便利通道。與此同時,系統(tǒng)中還存在著一些通用服務(wù),如果在安裝程序的時候沒有注意到這些,那么也會給黑客創(chuàng)造可乘之機(jī)。一些企業(yè)的競爭對手或者對企業(yè)心存不滿的員工或客戶都可能利用這些漏洞,對企業(yè)進(jìn)行攻擊,進(jìn)而使得整個企業(yè)網(wǎng)絡(luò)喪失相應(yīng)的使用能力或丟失企業(yè)資料和秘密等,給企業(yè)的網(wǎng)絡(luò)安全帶來了巨大的安全隱患。
(二)計算機(jī)病毒感染
通常情況下,計算機(jī)病毒是通過下載或者電子郵件的形式進(jìn)行傳播,還有的可以通過即時的網(wǎng)絡(luò)信息進(jìn)行傳播,可以說有計算機(jī)的地方,就會存在電腦病毒的問題。病毒通常具有傳播快、影響巨大的特點(diǎn),給企業(yè)的網(wǎng)絡(luò)安全造成巨大的影響。這些年來,木馬病毒是計算機(jī)病毒中的主要傳播形式,根據(jù)有關(guān)的統(tǒng)計,木馬病毒占到所有計算機(jī)病毒的四分之一以上。木馬病毒是一種特殊的病毒形式,如果用戶錯將其按照應(yīng)用軟件來實(shí)用的話,所使用的電腦就會被移植上木馬病毒,從而將電腦的控制權(quán)完全交到了黑客的手中,黑客能夠通過木馬盜取計算機(jī)上使用的一些銀行密碼、卡號、機(jī)密信息等,而且能夠?qū)τ嬎銠C(jī)實(shí)施實(shí)時的監(jiān)控、查看等,給企業(yè)的網(wǎng)絡(luò)安全帶來巨大的威脅。
(三)惡意攻擊和非法入侵
在當(dāng)前的企業(yè)網(wǎng)絡(luò)信息安全問題中,黑客利用惡意攻擊和非法入侵的手段阻止企業(yè)利用網(wǎng)絡(luò)或進(jìn)行網(wǎng)絡(luò)商業(yè)活動的行為,已經(jīng)成為讓每一個企業(yè)頭疼不已的問題。通常情況下,黑客通過惡意攻擊和非法入侵的手段對企業(yè)造成的危害表現(xiàn)為:組織企業(yè)利用網(wǎng)絡(luò)資源;利用大量信息來阻塞企業(yè)通信網(wǎng)絡(luò);植入木馬等程序?qū)ζ髽I(yè)的實(shí)時動態(tài)進(jìn)行監(jiān)控;復(fù)制、刪除、盜取企業(yè)重要信息等。不管黑客的目的是什么,這樣的入侵行為都會給企業(yè)帶來巨大的影響,使得企業(yè)重要信息的泄露甚至是企業(yè)正常生產(chǎn)的停止。
(四)相關(guān)人員管理上的失誤
對企業(yè)來說,由于相關(guān)人員管理上的失誤也會給企業(yè)網(wǎng)絡(luò)信息安全帶來巨大的威脅。當(dāng)前,許多企業(yè)缺乏網(wǎng)絡(luò)信息安全的管理機(jī)制,而且相應(yīng)的系統(tǒng)安全維護(hù)習(xí)慣欠缺。有的企業(yè)在發(fā)現(xiàn)病毒和漏洞的時候,并沒有對其引起重視,只是采取簡單的殺毒和修補(bǔ)等措施,相關(guān)員工的安全意識匱乏,沒有對系統(tǒng)進(jìn)行全面的維護(hù),從而給黑客的入侵創(chuàng)造了機(jī)會。此外,有的企業(yè)在內(nèi)部分工上存在不明了的情況,從而使得網(wǎng)絡(luò)使用權(quán)限與行政管理出現(xiàn)矛盾。總之,由于管理上存在的問題,給企業(yè)的網(wǎng)絡(luò)安全埋下了許多的隱患。
二、企業(yè)信息化建設(shè)中網(wǎng)絡(luò)安全問題的解決措施
(一)加強(qiáng)相關(guān)人員的素質(zhì)及意識
企業(yè)應(yīng)該對其網(wǎng)絡(luò)管理人員進(jìn)行專業(yè)的技術(shù)培訓(xùn),強(qiáng)化相關(guān)人員的能力,尤其是網(wǎng)絡(luò)安全新技術(shù)方面的知識。另外,還應(yīng)該對非技術(shù)人員進(jìn)行培訓(xùn),增加他們必要的網(wǎng)絡(luò)安全常識和基本的網(wǎng)絡(luò)防御知識。
(二)企業(yè)網(wǎng)絡(luò)安全可以采用的相關(guān)技術(shù)
防火墻技術(shù):通常防火墻技術(shù)分為網(wǎng)絡(luò)防火墻和應(yīng)用級防火墻兩大類。前者的主要作用是防止整個企業(yè)網(wǎng)絡(luò)中出現(xiàn)非法入侵等行為,而后者主要是對計算機(jī)中的應(yīng)用程序進(jìn)行必要的應(yīng)用控制。大多數(shù)情況下采用應(yīng)用網(wǎng)關(guān)或者服務(wù)器對二者進(jìn)行區(qū)分。當(dāng)前防火墻所采用的技術(shù)主要包括以下幾種:屏蔽路由技術(shù)、基于技術(shù)、包過濾技術(shù)、動態(tài)防火墻技術(shù)。
虛擬專用網(wǎng):虛擬專用網(wǎng)是企業(yè)網(wǎng)在因特網(wǎng)等公共網(wǎng)絡(luò)上的延伸,通過一個私有的通道在公共網(wǎng)絡(luò)上創(chuàng)建一個私有的連接。因此,從本質(zhì)上說VPN是一個虛擬通道,它可用來連接兩個專用網(wǎng),通過可靠的加密技術(shù)方法保證其他安全性,并且是作為一個公共網(wǎng)絡(luò)的一部分存在的。
加密技術(shù):加密技術(shù)分為對稱加密和非對稱加密兩類,對稱加密技術(shù)有DES、3DES、IDEA,對稱加密技術(shù)是指加密系統(tǒng)的加密密鑰和解密密鑰相同,也就是說一把鑰匙開一把鎖。非對稱密鑰技術(shù)主要有RSA.非對稱密鑰技術(shù)也稱為公鑰算法,是指加密系統(tǒng)的加密密鑰和解密密鑰完全不同,這種加密方式廣泛應(yīng)用于身份驗(yàn)證、數(shù)字簽名、數(shù)據(jù)傳輸。
入侵檢測技術(shù):入侵檢測技術(shù)的核心包括兩個方面,一是如何充分并可靠地提取描述行為的特征數(shù)據(jù);二是如何根據(jù)特征數(shù)據(jù),高效并準(zhǔn)確地判斷行為的性質(zhì)。它通過從計算機(jī)網(wǎng)絡(luò)或計算機(jī)系統(tǒng)的關(guān)鍵點(diǎn)收集信息并進(jìn)行分析從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。
總之,今后的企業(yè)信息化建設(shè)中,網(wǎng)絡(luò)安全就顯得尤為重要,如果企業(yè)不重視信息化的網(wǎng)絡(luò)安全工作。信息化不僅無法提高企業(yè)的工作效率,還會讓企業(yè)蒙受巨大的經(jīng)濟(jì)損失。
參考文獻(xiàn):
[1]黃現(xiàn)代.企業(yè)信息化建設(shè)中的網(wǎng)絡(luò)安全問題研究[J].科技信息(學(xué)術(shù)版),2007,31
實(shí)驗(yàn)項(xiàng)目名稱:企業(yè)信息化
實(shí)驗(yàn)?zāi)康模毫私馄髽I(yè)信息化的一般過程。
掌握企業(yè)信息化中企業(yè)領(lǐng)導(dǎo)的管理工作。
掌握企業(yè)信息化中一般員工的工作。
實(shí)驗(yàn)情況及實(shí)驗(yàn)結(jié)果:1、上網(wǎng)查找一個企業(yè)信息化的成功案例,思考一下問題:
(1) 該企業(yè)為何進(jìn)行信息化的建設(shè)?
答:中國人民財產(chǎn)保險股份有限公司就是一個成功的信息化的企業(yè).
九十年代,隨著網(wǎng)絡(luò)等信息技術(shù)的發(fā)展,公司的信息技術(shù)建設(shè)也邁上了新的臺階。由于公司機(jī)構(gòu)眾多,各地業(yè)務(wù)差異較大,信息系統(tǒng)建設(shè)多是各自為政,全盤的考慮與規(guī)劃存在不足。于是于XX年,公司與ibm攜手制定了中國人保信息技術(shù)發(fā)展五年規(guī)劃,這是公司戰(zhàn)略發(fā)展的重要組成部分。規(guī)劃的制定結(jié)合了公司當(dāng)時的經(jīng)營、管理情況,并與總公司、分公司各層級管理、技術(shù)人員充分溝通、交流,吸收了他們很多的建議、想法,同時參考了國際上許多金融企業(yè)成功案例。
(2) 該企業(yè)的信息化過程是怎樣的?
答: 信息技術(shù)五年規(guī)劃制定以后,信息技術(shù)部便以此為參照,目標(biāo)是建設(shè)全險種、大集中、共平臺、寬網(wǎng)絡(luò)、同標(biāo)準(zhǔn)的基本體系架構(gòu)。
信息化整體思路:
1、數(shù)據(jù)模型標(biāo)準(zhǔn)化,應(yīng)用平臺統(tǒng)一化;
2、業(yè)務(wù)數(shù)據(jù)逐步集中存儲,業(yè)務(wù)系統(tǒng)逐步集中處理;
3、分析產(chǎn)生的數(shù)據(jù),為業(yè)務(wù)、管理和決策服務(wù);
4、加強(qiáng)網(wǎng)絡(luò)和信息安全建設(shè),提供多渠道的客戶訪問服務(wù)。
(3)信息化給企業(yè)帶來了什么效益?
答: 回顧幾年以來公司信息化建設(shè)歷程,已基本建成全險種、大集中、共平臺、寬網(wǎng)絡(luò)、同標(biāo)準(zhǔn)的基本體系架構(gòu),并在數(shù)據(jù)的分析處理方面作了大量工作,成果斐然。信息化建設(shè)的思路是科學(xué)合理地制定戰(zhàn)略發(fā)展規(guī)劃,并建立了標(biāo)準(zhǔn)化體系,搭建了統(tǒng)一的應(yīng)用平臺,然后將數(shù)據(jù)和業(yè)務(wù)處理逐步集中,在此基礎(chǔ)上,進(jìn)行數(shù)據(jù)的分析處理,為公司業(yè)務(wù)經(jīng)營和管理決策服務(wù)。與此同時,進(jìn)行網(wǎng)絡(luò)和信息安全建設(shè),為信息化之路提供更好的條件和保障。指導(dǎo)思想的科學(xué)合理性與信息化建設(shè)者們的苦干實(shí)干相結(jié)合,公司的信息化建設(shè)結(jié)出了累累碩果,得到廣泛好評。公司開發(fā)的“新一代綜合業(yè)務(wù)處理系統(tǒng)”于XX年9月提名參加了chp ( computer-world honor program,計算機(jī)世界榮譽(yù)組織)“計算機(jī)世界榮譽(yù)獎”的評選,此獎項(xiàng)評選由idg集團(tuán)組織,全球上百家頂級it公司總裁作為評委,是當(dāng)今世界信息技術(shù)領(lǐng)域最高獎項(xiàng)之一,有“it奧斯卡”之稱。XX年4月,該系統(tǒng)已經(jīng)獲得本年度“計算機(jī)世界榮譽(yù)獎”21世紀(jì)貢獻(xiàn)大獎提名獎。這是今年全球唯一一家保險企業(yè)獲獎,也是繼招商銀行去年獲獎后,我國第二家以及本年度唯一一家在該獎項(xiàng)的“金融、保險及地產(chǎn)領(lǐng)域”獲此殊榮的國內(nèi)企業(yè)。
(4)結(jié)合我們學(xué)過的知識,發(fā)現(xiàn)mis、crm、mrp、mrpⅱ和erp等在企業(yè)信息化過程的應(yīng)用。
答: mrp、mrpⅱ和erp,是企業(yè)管理信息系統(tǒng)發(fā)展的不同階段。mpr主要對制造環(huán)節(jié)中的物流進(jìn)行管理,使企業(yè)達(dá)到"既要保證生產(chǎn)又要控制庫存"的目的;而mrpⅱ則集成了物流和資金流,將人、財、物,時間等各種資源進(jìn)行周密計劃,合理利用,以提高企業(yè)的競爭力;erp的概念則由garter group率先提出,它將供應(yīng)鏈、企業(yè)業(yè)務(wù)流程和信息流程都囊括其中。由于erp的概念流傳最廣,現(xiàn)在已經(jīng)成為企業(yè)管理信息系統(tǒng)的代名詞。
mpr(material requirement planning)物料需求計劃
mrpⅱ(manufacturing resource planning)制造企業(yè)資源計劃
1當(dāng)前國有大型企業(yè)信息化管理體系安全現(xiàn)狀和差距
1.1信息化管理體系安全現(xiàn)狀
當(dāng)前,一些國有大型企業(yè)的信息安全建設(shè),有效保障了內(nèi)部網(wǎng)絡(luò)的安全性和保密性,并形成了一套相關(guān)信息的安全管理制度,為后續(xù)信息系統(tǒng)安全體系的完善和發(fā)展奠定了堅(jiān)實(shí)基礎(chǔ)。1.1.1安全基礎(chǔ)設(shè)施和系統(tǒng)信息基礎(chǔ)設(shè)施的安全是信息安全的基礎(chǔ),目前企業(yè)已在物理層、網(wǎng)絡(luò)層和桌面系統(tǒng)加固與監(jiān)控這3個方面,建設(shè)了一系列網(wǎng)絡(luò)安全防護(hù)設(shè)備,完善了企業(yè)的信息安全系統(tǒng)。1.1.2安全管理和制度信息安全管理制度是信息安全技術(shù)真正發(fā)揮作用的保證,企業(yè)已將信息安全管理作為信息化管理的主要內(nèi)容之一,實(shí)施信息安全分類管理。在信息分類管理中制定了一系列管理制度、流程和標(biāo)準(zhǔn),確保信息安全管理的有效和規(guī)范。同時,將信息安全管理納入各項(xiàng)安全管理工作,在財務(wù)管理、HES管理等重要業(yè)務(wù)管理中強(qiáng)化信息安全管理。由此可見,企業(yè)在信息化安全建設(shè)方面已做出巨大努力,但距離建立一套完整可用的信息安全體系的目標(biāo)還存在一定差距。
1.2信息化管理體系安全問題的差距
部分企業(yè)雖然已經(jīng)建立了專門的信息安全組織,制定了一些管理制度,部署的信息安全基礎(chǔ)設(shè)施也能提供基本的網(wǎng)絡(luò)安全性保障,但信息安全組織還不健全,信息標(biāo)準(zhǔn)的范圍和執(zhí)行力度薄弱,未制定針對信息系統(tǒng)等級保護(hù)的相關(guān)制度,沒有部署上網(wǎng)行為管理系統(tǒng)等安全設(shè)備,缺少與信息管理、信息質(zhì)量管理有關(guān)的規(guī)范,如各類編碼標(biāo)準(zhǔn),信息質(zhì)量控制流程等。因此,需要進(jìn)一步制定、完善統(tǒng)一的信息管理制度和信息標(biāo)準(zhǔn),依托強(qiáng)有力的技術(shù)手段,支撐信息化管理體系,并對標(biāo)準(zhǔn)執(zhí)行建立相應(yīng)的監(jiān)督考核機(jī)制。
2企業(yè)信息化管理體系安全優(yōu)化策略
2.1完善信息化制度管理體系
企業(yè)的信息化建設(shè)要采用制度化管理方法,通過制定企業(yè)信息系統(tǒng)相關(guān)的安全管理制度,做好服務(wù)器和數(shù)據(jù)庫系統(tǒng)的安全管理工作,保障企業(yè)珍貴數(shù)據(jù)資源安全。同時還要加強(qiáng)網(wǎng)絡(luò)輿情管理、企業(yè)機(jī)房管理、計算機(jī)現(xiàn)場管理及服務(wù)器相關(guān)管理制度建設(shè),以及通信、網(wǎng)絡(luò)和信息系統(tǒng)相關(guān)應(yīng)急預(yù)案等制度建設(shè),規(guī)范網(wǎng)絡(luò)、服務(wù)器管理人員以及終端用戶的行為,逐步完善信息化制度管理體系。
2.2建立信息化安全管理體系
信息系統(tǒng)安全建設(shè)不僅是安全模塊功能的實(shí)現(xiàn),還是一個整合的安全體系。信息安全是保護(hù)信息免受各種威脅和損害,確保業(yè)務(wù)的連續(xù)性,使業(yè)務(wù)風(fēng)險最小化,投資回報和商業(yè)機(jī)遇最大化。信息安全是組織的一個業(yè)務(wù)問題,需要管理層的承諾和支持,還需要企業(yè)安全文化和運(yùn)營流程作保障。
2.3建立信息化流程管理體系
信息安全管理流程首先要提升全體員工的信息安全意識、技能培訓(xùn)和專業(yè)教育,然后對信息安全進(jìn)行風(fēng)險管理,要進(jìn)行需求分析、控制實(shí)施、運(yùn)行監(jiān)控和響應(yīng)恢復(fù)4個步驟,最后是信息安全監(jiān)督檢查和改進(jìn),通過檢查和改進(jìn)進(jìn)一步提升員工的信息安全意識,形成閉環(huán)管理,如圖1所示。
2.4通過信息化技術(shù)支撐管理體系
為保障以安全可靠為核心的信息化管理體系的運(yùn)行正常,有必要利用信息化技術(shù)給其最有效的支撐。2.4.1上網(wǎng)行為管理上網(wǎng)行為管理的主要目的是有效規(guī)范員工上網(wǎng)行為,助力構(gòu)建企業(yè)安全、和諧、穩(wěn)定的生產(chǎn)經(jīng)營環(huán)境,其原則是“事前預(yù)防,事后溯源”。事前預(yù)防就是要做到事前制訂安全防范策略,最大限度保證機(jī)密數(shù)據(jù)和有害信息不由公司網(wǎng)絡(luò)流向社會。事后溯源就是要記錄每臺內(nèi)部計算機(jī)與互聯(lián)網(wǎng)的信息交互內(nèi)容,發(fā)生問題后迅速準(zhǔn)確地定位到問題源頭,做到有據(jù)可查,能追本溯源。2.4.2端點(diǎn)防護(hù)建立企業(yè)級的端點(diǎn)防護(hù)系統(tǒng),對終端實(shí)現(xiàn)安全合規(guī)性檢查和控制,加強(qiáng)策略管理。使用總體安全策略與本地自定義安全策略相結(jié)合的方式,在大規(guī)模部署端點(diǎn)防護(hù)系統(tǒng)的前提下,提升防病毒等安全管理系統(tǒng)的安裝率,促進(jìn)網(wǎng)絡(luò)安全的綜合治理和改善。2.4.3端點(diǎn)準(zhǔn)入控制可采用VRV系統(tǒng)作為端點(diǎn)準(zhǔn)入控制的手段。端點(diǎn)準(zhǔn)入控制包括對公司內(nèi)網(wǎng)計算機(jī),也包括由VPN接入的外網(wǎng)計算機(jī)。VRV強(qiáng)化了對網(wǎng)絡(luò)計算機(jī)終端狀態(tài)、行為以及事件的管理,提供了防火墻、IDS、防病毒系統(tǒng)、專業(yè)網(wǎng)管軟件所不能提供的防護(hù)功能,對它們管理的盲區(qū)進(jìn)行監(jiān)控,擴(kuò)展成為一個實(shí)時可控的內(nèi)網(wǎng)管理平臺,并能同其他安全設(shè)備進(jìn)行安全集成和報警聯(lián)動。2.4.4身份認(rèn)證管理通過加強(qiáng)身份認(rèn)證管理,實(shí)現(xiàn)用戶通過使用USBKey實(shí)現(xiàn)單點(diǎn)登錄,更為方便和安全地訪問應(yīng)用系統(tǒng),集中實(shí)現(xiàn)應(yīng)用系統(tǒng)用戶帳號的電子化流程管理,并與員工HR信息的變化聯(lián)動,提高應(yīng)用系統(tǒng)賬號管理的時效性,加強(qiáng)賬號管理力度,身份認(rèn)證管理流程如圖2所示。2.4.5安全域根據(jù)安全需求強(qiáng)度的不同,可將安全域劃分為不同層次,要有針對性的采取安全控制和防護(hù)策略,針對信息系統(tǒng)網(wǎng)絡(luò)的網(wǎng)絡(luò)結(jié)構(gòu)、數(shù)據(jù)流通模式以及安全防護(hù)需求,可將整體網(wǎng)絡(luò)劃分為3個安全域:核心安全域、接入安全域、邊界安全域。2.4.6邊界隔離網(wǎng)絡(luò)劃分安全區(qū)域后,在不同信任級別的安全區(qū)域之間就形成了網(wǎng)絡(luò)邊界??邕吔绲墓舴N類繁多、破壞力強(qiáng),邊界防護(hù)解決方案可徹底解決以上問題。企業(yè)邊界防護(hù)方案由防火墻、入侵防御系統(tǒng)、物理隔離網(wǎng)關(guān)組成。關(guān)鍵路徑上部署獨(dú)立的具有深度檢測防御的IPS(入侵防御系統(tǒng))。深度檢測防御是為了檢測計算機(jī)網(wǎng)絡(luò)中違反安全策略的行為。使用IPS系統(tǒng)可以濾出DDOS攻擊,間諜軟件、BitTorrent數(shù)據(jù)流、釣魚攻擊等幾十類近100萬種攻擊類型。2.4.7流量控制和審計流量控制和審計方案主要涉及兩個方面,一是對流量的深度檢測和帶寬控制,二是對用戶訪問的網(wǎng)站進(jìn)行海量篩查。通過這兩個手段在主觀或客觀上都能防止網(wǎng)絡(luò)用戶的不良行為,避免網(wǎng)絡(luò)性能和安全性受到負(fù)面影響。2.4.8訪問控制列表訪問控制列表(ACL)是為了阻止部分用戶不能訪問另一部分用戶或者服務(wù)而提出的。訪問控制列表通常應(yīng)用于路由器或者三層交換機(jī)上,能阻止或允許某些網(wǎng)段的用戶訪問資源,也能阻止或允許某個用戶訪問資源。2.4.9網(wǎng)絡(luò)設(shè)備安全管理(1)網(wǎng)絡(luò)設(shè)備登錄安全通過用戶狀態(tài)進(jìn)行存取控制,保證設(shè)備控制安全。限制SNMP和Telnet的用戶訪問。(2)網(wǎng)絡(luò)設(shè)備日志記錄對于網(wǎng)絡(luò)安全,不僅要關(guān)注網(wǎng)絡(luò)的事前防范能力,還要充分考慮事后跟蹤能力,在安全事件發(fā)生前后,可通過對用戶上網(wǎng)端口、時間、訪問地的記錄,全面追溯用戶上網(wǎng)的狀態(tài),從而為后期分析提供第一手資料。(3)路由信息安全路由協(xié)議的安全管理主要通過路由信息交換的認(rèn)證來保證。啟用PassiveInterface命令后,該接口的網(wǎng)段路由可以照常出去,但該接口不會再收發(fā)OSPF協(xié)議報文,也就不會再與任何其他路由設(shè)備建立鄰居關(guān)系,從而避免路由泄露。2.4.10專網(wǎng)企業(yè)可按照國家保密局、中辦機(jī)要局要求及國家相關(guān)標(biāo)準(zhǔn)建設(shè)辦公專網(wǎng),通過驗(yàn)收用于處理國家秘密及以下級別的文件和信息,供企業(yè)員工日常辦公使用。該網(wǎng)與互聯(lián)網(wǎng)物理隔離,并利用安全保密設(shè)備提高網(wǎng)絡(luò)和數(shù)據(jù)傳輸?shù)陌踩?,與其他相關(guān)企業(yè)可采用專線方式單點(diǎn)連接。企業(yè)辦公專網(wǎng)的網(wǎng)絡(luò)架構(gòu)如圖3所示。
2.5建立信息化考核評價管理體系
企業(yè)信息化流程管理系統(tǒng)評價體系可包含信息化建設(shè)有關(guān)的基礎(chǔ)管理內(nèi)容及建立在此基礎(chǔ)上的資源、信息、程序、過程等要素管理。從信息化過程監(jiān)控和改善來看,通過考核評價體系建立一組有效描述信息化建設(shè)與運(yùn)行過程情況的信息,幫助公司識別相關(guān)技術(shù)和管理的不足,逐步改善公司的信息化過程,達(dá)到持續(xù)改進(jìn)的目標(biāo)。
2.6建立信息化隊(duì)伍管理體系
成立由公司領(lǐng)導(dǎo)班子成員、機(jī)關(guān)部門、基層單位主要領(lǐng)導(dǎo)組成的信息化領(lǐng)導(dǎo)小組,決策公司信息化建設(shè)中的重大問題,指導(dǎo)信息化項(xiàng)目建設(shè);依托公司信息化工作的歸口管理部門,負(fù)責(zé)制訂企業(yè)信息化發(fā)展規(guī)劃,負(fù)責(zé)信息化工作的有關(guān)政策、管理辦法、技術(shù)標(biāo)準(zhǔn)和工作規(guī)范的制訂,并組織實(shí)施和檢查等工作。同時,注重對企業(yè)員工的專業(yè)培訓(xùn),采取激勵措施,培養(yǎng)一支高素質(zhì)階梯化專業(yè)人才隊(duì)伍。
3結(jié)語
關(guān)鍵詞:供電企業(yè);信息化;研究。
早在上世紀(jì)90年代末期,山東所屬縣供電企業(yè)就利用電力專用通信網(wǎng)絡(luò),和市一級供電企業(yè)建立了局域網(wǎng)信息網(wǎng),當(dāng)時的功能僅限于文檔的傳遞;后來,縣供電企業(yè)利用農(nóng)村電網(wǎng)建設(shè)改造的契機(jī),將企業(yè)屬變電站通訊光纜架設(shè)到位,和各個變電站實(shí)現(xiàn)了光通訊,將變電站實(shí)時信號傳遞到調(diào)度主站,實(shí)現(xiàn)了調(diào)度自動化;同步安裝了 Louts5.0辦公自動化軟件并實(shí)現(xiàn)了和市供電企業(yè)聯(lián)網(wǎng),功能從簡單的文件傳遞升級為行政公文的批轉(zhuǎn);同時,利用企業(yè)的局域網(wǎng)絡(luò)的拓寬功能,適度的對網(wǎng)略應(yīng)用進(jìn)行了開發(fā),比如公文檢索、標(biāo)準(zhǔn)化檢索等。本世紀(jì)初,同樣利用企業(yè)的局域網(wǎng)絡(luò),山東縣供電企業(yè)生產(chǎn)MIS和營銷MIS系統(tǒng)逐步上線,可以將生產(chǎn)、運(yùn)行調(diào)度、檢修、施工、驗(yàn)收等子流程全部納入信息化管理,并實(shí)施了遠(yuǎn)程抄表和小無線抄表試點(diǎn);財務(wù)MIS和人事MIS系統(tǒng)等陸續(xù)上線運(yùn)行。
2010年,國家電網(wǎng)公司將原有的生產(chǎn)MIS、營銷MIS、人事MIS予以整合集中ERP系統(tǒng),選定了美國PeopleSoft公司、太陽微系統(tǒng)公司作為ERP系統(tǒng)的軟、硬件提供商,提供后臺的技術(shù)支持與培訓(xùn)服務(wù),選擇安達(dá)信公司和凱捷安勇(CGEY)作為企業(yè)咨詢公司,分別負(fù)責(zé)完成原有業(yè)務(wù)流程調(diào)研、未來業(yè)務(wù)流程概要和詳細(xì)設(shè)計、ERP軟件的配置和客戶化工作,現(xiàn)已經(jīng)上線試運(yùn)行。
通過建立包括生產(chǎn)管理、電力營銷、調(diào)試自動化、辦公自動化、財力、人力資源等應(yīng)用信息系統(tǒng),縣供電企業(yè)信息化建設(shè)上了一個新的臺階。但是,從企業(yè)的整體可持續(xù)發(fā)展來看,這些信息系統(tǒng)的作用是有限的,“多島自動化”的弊端還普遍存在。首要存在的問題,各個子系統(tǒng)不是同一軟件供應(yīng)商提供,不可避免的在應(yīng)用界面、操作習(xí)慣甚至是數(shù)據(jù)庫式樣上存在差異,導(dǎo)致新上一套子系統(tǒng)時,原系統(tǒng)的數(shù)據(jù)不能完整或者正確的導(dǎo)入,需要浪費(fèi)大量的人力物力和時間去糾錯甚至是重新輸入。其次是職工心態(tài)的問題,供電行業(yè)是一個相對保守的行業(yè),比較難接受新鮮事務(wù),幾乎任何一個系統(tǒng)的應(yīng)用,都是從高層甚至是上級供電公司的要求下進(jìn)行的而不是職工自發(fā)的管理要求,這就從系統(tǒng)的應(yīng)用推廣上造成了較大的難度;特別是由于第一個問題的影響,鑒于存在大量的重復(fù)性勞動,導(dǎo)致職工從心態(tài)上對信息化建設(shè)的抵制情緒增大。企業(yè)的落后管理模式與信息化管理系統(tǒng)的先進(jìn)管理理念相沖突,觀念更新、企業(yè)業(yè)務(wù)流程重組的任務(wù)非常繁重。企業(yè)信息化是先進(jìn)的管理思想與現(xiàn)代信息技術(shù)相結(jié)合的應(yīng)用過程,信息化建設(shè)應(yīng)成為推動企業(yè)管理變革的契機(jī)。采用信息技術(shù)進(jìn)行企業(yè)管理,必定要使企業(yè)一些管理模式進(jìn)行改革,這是一個非?,F(xiàn)實(shí)又無法回避的問題。況且,縣級供電企業(yè)還普遍存在一些管理漏洞和弊端,有的管理人員在自己從事的崗位上,會故意回避一些信息技術(shù)手段的使用,有的希望“難得糊涂”,有的不愿提高“透明度”。
對于縣供電企業(yè)而言,近幾年來企業(yè)的發(fā)展不僅僅得益于縣域經(jīng)濟(jì)的快速發(fā)展,也得益于現(xiàn)代化信息技術(shù)的推廣應(yīng)用。在國網(wǎng)公司推進(jìn)“三集五大”工作這個信息發(fā)展的新的“拐點(diǎn)”上,縣級供電企業(yè)應(yīng)充分認(rèn)識到信息化發(fā)展的規(guī)律,把握信息化發(fā)展的機(jī)遇,充分重視數(shù)據(jù)的管理,樹立規(guī)范意識、發(fā)展意識、服務(wù)意識,為構(gòu)建現(xiàn)代化的營銷管理體系提供強(qiáng)大的基礎(chǔ)性支撐。信息化建設(shè)是根據(jù)對信息的需求和信息技術(shù)的發(fā)展而不斷深化的動態(tài)過程,隨著國網(wǎng)公司“SG186”工程的推進(jìn),今后縣級供電企業(yè)只有科學(xué)的看清形勢,抓住新一輪的發(fā)展機(jī)遇,積極推進(jìn)信息化的建設(shè),具體應(yīng)注意如下幾點(diǎn):
1、整合現(xiàn)有系統(tǒng),實(shí)現(xiàn)生產(chǎn)實(shí)時信息與管理信息的集成,建立電網(wǎng)信息一體化平臺。
信息化建設(shè)既是階段性工程又是一種長期行為,對待信息化建設(shè)要有長遠(yuǎn)眼光,動態(tài)地考慮和評價信息化建設(shè)問題,不能只看到眼前利益,急于求成。看似簡單的數(shù)據(jù)交換和信息共享,由于沒有統(tǒng)一的信息平臺,勢必形成企業(yè)信息化發(fā)展的瓶頸??h級供電企業(yè)以后的重點(diǎn)工作是整合、集成現(xiàn)有的各子信息系統(tǒng),搭建統(tǒng)一的運(yùn)行平臺,規(guī)范、整理、合并各種基礎(chǔ)數(shù)據(jù),逐步建立集中、統(tǒng)一、開放式中心數(shù)據(jù)庫,實(shí)現(xiàn)各信息系統(tǒng)的無縫連接。通過模塊化設(shè)計思想,在主模塊中預(yù)留各種標(biāo)準(zhǔn)接口,隨時根據(jù)業(yè)務(wù)發(fā)展的需要進(jìn)行系統(tǒng)對接,最大程度提高工作效率、規(guī)范管理、降低運(yùn)營成本、提高服務(wù)質(zhì)量,為管理和決策提供及時、準(zhǔn)確的信息服務(wù)和技術(shù)手段。
2、運(yùn)用現(xiàn)代網(wǎng)絡(luò)技術(shù),構(gòu)建技術(shù)先進(jìn)、穩(wěn)定可靠的信息化通道。
從省、市網(wǎng)到縣網(wǎng)點(diǎn),縣網(wǎng)節(jié)點(diǎn)的數(shù)量是一個大幅度增長的趨勢,在各個節(jié)點(diǎn)管理資源的部署由上而下逐漸減少,這種資源的沖突必須在網(wǎng)絡(luò)體系本身實(shí)現(xiàn)上得到緩解。對縣級供電企業(yè)網(wǎng)絡(luò)來講,網(wǎng)絡(luò)整體穩(wěn)定性要求非常高,網(wǎng)絡(luò)應(yīng)該提供多種冗余備份的方式,確保業(yè)務(wù)的連續(xù)。在縣局網(wǎng)絡(luò)平臺搭建好之后,這要考慮到未來系統(tǒng)的擴(kuò)展性。
因此,信息網(wǎng)絡(luò)建設(shè)必須堅(jiān)持統(tǒng)一規(guī)劃、分步實(shí)施、節(jié)位高效、少走彎路的路線,開創(chuàng)具有自己特色的發(fā)展之路。
3、加強(qiáng)技術(shù)和應(yīng)用培訓(xùn),是發(fā)展縣級供電企業(yè)信息化建設(shè)的基礎(chǔ)保障。
管理信息系統(tǒng)的生命力很大程度上取決于應(yīng)用。一方面,要加強(qiáng)應(yīng)用培訓(xùn),調(diào)動企業(yè)員工使用計算機(jī)的積極性;另一方面,管理信息系統(tǒng)并非一成不變,而是要隨著管理模式、管理方法的變化而變化。因此,還必須加強(qiáng)培養(yǎng)企業(yè)內(nèi)部員工對信息系統(tǒng)的維護(hù)及二次開發(fā)的能力,除了必要的考核機(jī)制,還要建立激勵機(jī)制,加強(qiáng)內(nèi)部培訓(xùn),營造學(xué)習(xí)氛圍。
4、加強(qiáng)信息制度和信息化安全建設(shè),為縣級供電企業(yè)信息化的建設(shè)提供根本保證。
關(guān)鍵詞:智能電網(wǎng) 信息安全 防護(hù)體系 可信平臺
中圖分類號:F49 文獻(xiàn)標(biāo)識碼:A 文章編號:1007-3973(2013)012-212-02
1 引言
隨著智能電網(wǎng)建設(shè)步伐的推進(jìn),更多的設(shè)備和用戶接入電力系統(tǒng),例如,智能電表、分布式電源、數(shù)字化保護(hù)裝置、先進(jìn)網(wǎng)絡(luò)等,這些設(shè)備的應(yīng)用使電網(wǎng)的信息化、自動化、互動化程度比傳統(tǒng)電網(wǎng)大大提高,它們在提升電網(wǎng)監(jiān)測與管理方面發(fā)揮了重要作用,但同時也給數(shù)據(jù)與信息的安全帶來了隱患。比如黑客通過竊取技術(shù)訪問電網(wǎng)公司數(shù)據(jù)中心的服務(wù)器,有可能造成客戶信息泄露或數(shù)據(jù)安全問題,嚴(yán)重時有可能造成國家的重大損失。因此,如何使眾多的用戶能在一個安全的環(huán)境下使用電網(wǎng)的服務(wù),成了當(dāng)前電網(wǎng)信息安全建設(shè)的重要內(nèi)容之一。
2 電力企業(yè)信息安全建設(shè)的關(guān)鍵問題
云計算技術(shù)在電力企業(yè)的業(yè)務(wù)管理中已經(jīng)逐步得到應(yīng)用,另外,隨著技術(shù)的成熟和商業(yè)成本的降低,基于可信計算平臺的網(wǎng)絡(luò)應(yīng)用獲得了迅猛發(fā)展。如果在電網(wǎng)業(yè)務(wù)管理體系中將可信計算與云計算結(jié)合起來,將會使電網(wǎng)的管理水平如虎添翼。圖1為構(gòu)建可信平臺模塊間的安全通道示意圖。
在可信計算環(huán)境下,每臺主機(jī)嵌入一個可信平臺模塊。由于可信平臺模塊內(nèi)置密鑰,在模塊間能夠構(gòu)成一個天然的安全通信信道。因此,可以將廣播的內(nèi)容放在可信平臺模塊中,通過安全通信信道來進(jìn)行廣播,這樣可以極大地節(jié)約通信開銷。
智能電網(wǎng)的體系架構(gòu)從設(shè)備功能上可以分為基礎(chǔ)硬件層、感知測量層、信息通信層和調(diào)度運(yùn)維層四個層次。那么,智能電網(wǎng)的信息安全就必須包括物理安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全及備份恢復(fù)等方面。因此,其涉及到的關(guān)鍵問題可從CA體系建設(shè)、桌面安全部署、等級防護(hù)方案等方面入手。
3 智能電網(wǎng)信息防護(hù)體系框架
3.1 數(shù)字證書體系
數(shù)字證書體系CA是建設(shè)一套符合國家政策要求的電子認(rèn)證系統(tǒng),并作為電力企業(yè)信息化建設(shè)的重要基礎(chǔ)設(shè)施,實(shí)現(xiàn)各實(shí)體身份在網(wǎng)絡(luò)上的真實(shí)映射,滿足各應(yīng)用系統(tǒng)中關(guān)于身份認(rèn)證、信息保密性、完整性和抗抵賴性等安全性要求。該系統(tǒng)主要包括根CA系統(tǒng)、CA簽發(fā)系統(tǒng)、RA注冊管理系統(tǒng)、KM系統(tǒng)、證書狀態(tài)查詢系統(tǒng)和LDAP目錄服務(wù)系統(tǒng),總體結(jié)構(gòu)如圖2所示。
3.2 桌面安全管理體系
該體系可為電力企業(yè)提供集中的終端(桌面)綜合安全管理的桌面管理產(chǎn)品,打造一個安全、可信、規(guī)范、健康的內(nèi)網(wǎng)環(huán)境,如圖3所示。
該體系能滿足用戶:確保入網(wǎng)終端符合要求;全面監(jiān)測終端健康狀況;保證終端信息安全可控;動態(tài)監(jiān)測內(nèi)網(wǎng)安全態(tài)勢;快速定位解決終端故障;規(guī)范員工網(wǎng)絡(luò)行為;統(tǒng)一內(nèi)網(wǎng)用戶身份管理等。
3.3 等級防護(hù)體系
此外,在設(shè)計信息安全體系時,還需要針對電力企業(yè)的業(yè)務(wù)應(yīng)用系統(tǒng),按照不同的安全保護(hù)等級,設(shè)計信息系統(tǒng)安全等級保護(hù)方案,如圖4所示。
根據(jù)國家關(guān)于《信息系統(tǒng)等級保護(hù)基本要求》中關(guān)于信息安全管理的規(guī)定,該體系應(yīng)該包括物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全等方面。
4 結(jié)論與展望
本文將電力云技術(shù)與可信計算結(jié)合起來,設(shè)計了面向智能電網(wǎng)的信息安全防護(hù)體系框架,從CA體系建設(shè)、桌面安全部署、等級防護(hù)方案等方面闡述了該框架的內(nèi)涵。但信息安全是一個沒有盡頭的工作,需要及時與最新的方法相結(jié)合,不斷完善信息安全方案,使電網(wǎng)做到真正的智能、堅(jiān)強(qiáng)。
(基金項(xiàng)目:中央高?;究蒲袠I(yè)務(wù)費(fèi)專項(xiàng)資金項(xiàng)目(11MG50);河北省高等學(xué)校科學(xué)研究項(xiàng)目(Z2013007))
參考文獻(xiàn):
[1] 陳樹勇,宋書芳,李蘭欣,等.智能電網(wǎng)技術(shù)綜述[J].電網(wǎng)技術(shù),2009,33(8):1-7.
[2] 國家電網(wǎng).關(guān)于加快推進(jìn)堅(jiān)強(qiáng)智能電網(wǎng)建設(shè)的意見[N].國家電網(wǎng)報,2010-01-12(2).
[3] 曹軍威,萬宇鑫,涂國煜,等.智能電網(wǎng)信息系統(tǒng)體系結(jié)構(gòu)研究[J].計算機(jī)學(xué)報,2013,36(1):143-167.
[4] 陳康,鄭緯民.云計算:系統(tǒng)實(shí)例與研究現(xiàn)狀[J].軟件學(xué)報,2009(5):1337-1348.
隨著社會經(jīng)濟(jì)的不斷發(fā)展,網(wǎng)絡(luò)時代逐漸進(jìn)入人們的生活,計算機(jī)被運(yùn)用在了各個領(lǐng)域中,成為促進(jìn)社會發(fā)展的重要媒介。而與此同時,企業(yè)信息安全問題也逐漸凸顯出來,嚴(yán)重阻礙了企業(yè)的可持續(xù)發(fā)展,因此,在網(wǎng)絡(luò)時代背景下研究企業(yè)安全風(fēng)險和控制具有重要意義。
1 企業(yè)信息安全相關(guān)概述
1.1 信息安全的含義
迄今為止,對信息安全依然沒有一個統(tǒng)一和公認(rèn)的定義。但是從國內(nèi)外研究來看,對其主要存在2種說法:一種指的是具體信息安全技術(shù)系統(tǒng)的安全;而另一種則指的是某些特定的信息體系的安全。上述2種定義主要站在靜態(tài)的角度上闡述了信息安全的基本層面,但是信息系統(tǒng)和網(wǎng)絡(luò)的影響決定了信息安全是一個動態(tài)的改變,其主要是防止企業(yè)信息遭到惡意泄露、破壞、更改[1]。信息安全的最終目的是向合法的對象提供安全、可靠的信息。
1.2 信息安全在企業(yè)中發(fā)揮的重要作用
企業(yè)信息作為企業(yè)的寶貴資源,保證企業(yè)信息的安全性對企業(yè)的生存和發(fā)展具有重要作用,主要體現(xiàn)在以下3個方面:一是企業(yè)信息安全是保障企業(yè)正常運(yùn)行的基本前提。在網(wǎng)絡(luò)時代背景下,企業(yè)信息安全的內(nèi)容更廣泛,再加上現(xiàn)代企業(yè)制度的不斷建立和完善,越來越多的企業(yè)依靠信息數(shù)據(jù)庫開展各項(xiàng)工作,例如:對于市場情況的分析、做出重大決策等等。二是保障企業(yè)信息安全是提高企業(yè)市場競爭力的必備條件。隨著市場經(jīng)濟(jì)的不斷完善,企業(yè)面臨的競爭也越來越激烈,在這種形勢下,企業(yè)要想獲取市場競爭優(yōu)勢就需要依靠信息安全來實(shí)現(xiàn)。三是企業(yè)信息安全作為企業(yè)發(fā)展戰(zhàn)略中重要的組成部分,而企業(yè)實(shí)施各項(xiàng)戰(zhàn)略主要是通過自身的經(jīng)營活動、財務(wù)信息等開展的,這些數(shù)據(jù)也能夠?qū)⑵髽I(yè)的戰(zhàn)略實(shí)施方法以及下一步計劃詳細(xì)地反應(yīng)出來,因此,如果企業(yè)的信息安全無法得到保障,那么企業(yè)要實(shí)施各項(xiàng)戰(zhàn)略難度也很大。
2 網(wǎng)絡(luò)時代下企業(yè)信息安全風(fēng)險分析
2.1 缺乏高度的信息安全風(fēng)險意識
在網(wǎng)絡(luò)時代的浪潮下,很多企業(yè)都在逐步加強(qiáng)自身信息安全的建設(shè),通過加大資金投入、創(chuàng)新技術(shù)等措施來保障自身的信息安全,然而,對信息風(fēng)險的控制并非僅僅依靠技術(shù)就可以實(shí)現(xiàn),更重要的是人們要樹立起信息安全的風(fēng)險意識。但是從當(dāng)前來看,還有很大一部分企業(yè)的領(lǐng)導(dǎo)者、管理者、員工缺乏對信息安全風(fēng)險的高度重視,主要表現(xiàn)在:個別人甚至片面地認(rèn)為信息安全僅僅是網(wǎng)絡(luò)部門的責(zé)任,跟自身沒有多大關(guān)系;二是有個別企業(yè)領(lǐng)導(dǎo)者認(rèn)為對信息安全的宣傳過度夸張,遭受網(wǎng)絡(luò)攻擊的概率小,一般不會發(fā)生在自己身上;三是個別企業(yè)沒有建立信息安全風(fēng)險管理體系,再加上企業(yè)缺乏具體的故障系統(tǒng),導(dǎo)致企業(yè)信息安全遭到風(fēng)險時,員工往往手足無措,雖說有些企業(yè)針對自身的信息安全制定了一系列規(guī)章和制度,但是由于缺乏針對性和操作性,導(dǎo)致這些制度無法得到真正落實(shí)。
2.2 應(yīng)用系統(tǒng)的安全性不高
企業(yè)要實(shí)現(xiàn)信息化建設(shè)的目的,少不了各種應(yīng)用系統(tǒng)作支撐,但是從實(shí)際情況來看,很多企業(yè)還存在著應(yīng)用系統(tǒng)的安全性不高等問題,進(jìn)而導(dǎo)致企業(yè)在數(shù)據(jù)傳輸和存儲等方面存在漏洞。如此容易被一些病毒、惡意軟件竊取,實(shí)現(xiàn)非法訪問,進(jìn)而引發(fā)企業(yè)信息丟失或者泄露等安全風(fēng)險。另外,很多企業(yè)應(yīng)用系統(tǒng)的安全方模式也較為單一,絕大部分主要是采用“口令”的方式進(jìn)行認(rèn)證,無法實(shí)現(xiàn)對信息安全全方位的防范。另外,企業(yè)設(shè)置的密碼過于簡單、操作不規(guī)范等等都會增加應(yīng)用系統(tǒng)安全的風(fēng)險。
2.3 技術(shù)設(shè)備和設(shè)施的作用發(fā)揮不足
個別企業(yè)為了防范信息安全風(fēng)險,針對一些重要信息設(shè)置了安全設(shè)備,但是由于操作條件和參數(shù)設(shè)施不夠合理,無法將這些設(shè)備的作用充分發(fā)揮出來。還有很多企業(yè)沒有通過建立工作日志來對安全設(shè)備、設(shè)施的運(yùn)行情況進(jìn)行監(jiān)控,進(jìn)而不能根據(jù)企業(yè)的經(jīng)營情況對信息安全進(jìn)行風(fēng)險控制,更無法采取有效措施保障企業(yè)風(fēng)險管理。
3 網(wǎng)絡(luò)時代下控制企業(yè)信息安全風(fēng)險途徑分析
3.1 加強(qiáng)信息安全教育,提高信息安全風(fēng)險意識
由于在企業(yè)信息安全控制中,提高員工的信息安全意識是保證企業(yè)信息安全的決定性因素,因此,企業(yè)應(yīng)該加強(qiáng)對員工的信息安全教育,幫助員工樹立起信息安全風(fēng)險意識,例如:企業(yè)可以利用一些重大節(jié)日開展關(guān)于信息安全的演講比賽、征文比賽,也可以通過建立適當(dāng)?shù)募钪贫纫约伴_展培訓(xùn)活動等途徑來加強(qiáng)員工對信息安全重要性的認(rèn)識,進(jìn)而提高自身的信息安全風(fēng)險防范意識和觀念。
3.2 加強(qiáng)信息化建設(shè),設(shè)置信息安全管理部門
在企業(yè)信息化建設(shè)中,信息安全作為重要的基礎(chǔ),企業(yè)要強(qiáng)化自身的內(nèi)部控制,就應(yīng)該落實(shí)信息安全的建設(shè)工作。加強(qiáng)信息化建設(shè)首先需要企業(yè)將信息安全納入安全管理范圍內(nèi),進(jìn)而突出信息安全建設(shè)管理的重要地位;然后不斷健全信息安全的責(zé)任制度,爭取形成信息安全聯(lián)動管理機(jī)制,確保信息安全管理的有效性;最后,在企業(yè)中設(shè)置信息安全管理機(jī)構(gòu),該部分的主要職能為企業(yè)信息安全建設(shè)、管理以及員工的信息安全教育培訓(xùn)工作等,從而為企業(yè)的信息安全風(fēng)險控制創(chuàng)建一個良好的內(nèi)部環(huán)境[2]。
3.3 運(yùn)用新技術(shù),加強(qiáng)信息安全風(fēng)險防范
當(dāng)前控制信息安全風(fēng)險常見的主要有VPN技術(shù)和防火墻技術(shù):(1)VPN技術(shù)。VPN主要指的是在公共網(wǎng)絡(luò)的虛擬專用網(wǎng)絡(luò)中建立一個臨時的安全鏈接,在通常情況下,對VPN內(nèi)部進(jìn)行擴(kuò)展可以實(shí)現(xiàn)遠(yuǎn)程操作,建立一條分公司、商業(yè)合作商和供應(yīng)商跟公司內(nèi)部網(wǎng)絡(luò)安全聯(lián)系,從而確保信息交換的安全性,保證數(shù)據(jù)傳輸?shù)陌踩浴?2)防火墻技術(shù)。防火墻也被稱為訪問控制系統(tǒng),主要是通過對網(wǎng)絡(luò)做拓?fù)浣Y(jié)構(gòu)和服務(wù)類型上的隔離來保障網(wǎng)絡(luò)安全。運(yùn)用防火墻技術(shù)可以保證企業(yè)的內(nèi)部網(wǎng)絡(luò)免受外部網(wǎng)絡(luò)的侵占,并阻斷非法訪問的外部網(wǎng)絡(luò)進(jìn)入企業(yè)內(nèi)部網(wǎng)絡(luò),保證企業(yè)信息和資源的安全。
4 結(jié) 語
總之,網(wǎng)絡(luò)時代的產(chǎn)生為企業(yè)發(fā)展創(chuàng)造了新的模式和發(fā)展契機(jī),但與此同時,企業(yè)的信息安全也面臨著很大的威脅,在很大程度上制約了企業(yè)的可持續(xù)發(fā)展。要實(shí)現(xiàn)對企業(yè)信息安全風(fēng)險的控制,首先應(yīng)該找準(zhǔn)企業(yè)信息安全的風(fēng)險點(diǎn),然后采取對應(yīng)措施,如:加強(qiáng)信息安全教育、加強(qiáng)信息化建設(shè)、運(yùn)用新技術(shù)等幾個方面來控制信息安全風(fēng)險。
作者:袁亮 來源:中國管理信息化 2015年17期