前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的企業(yè)信息安全現(xiàn)狀主題范文,僅供參考,歡迎閱讀并收藏。
隨著我國市場信息化水平加深,網(wǎng)絡(luò)技術(shù)已經(jīng)成為了推動(dòng)社會(huì)發(fā)展重要因素之一。網(wǎng)絡(luò)的便捷性,使得任何人都可以利用網(wǎng)絡(luò)接受、傳送大量的網(wǎng)絡(luò)信息,或者是存在網(wǎng)絡(luò)云盤之中。而網(wǎng)絡(luò)的公開性,也導(dǎo)致網(wǎng)絡(luò)對(duì)于任何人來說都沒有門檻,這也是竊取信息的問題不斷發(fā)生的主要原因。對(duì)于企業(yè)來說,尤其是制造型企業(yè),一旦企業(yè)賴以生存的核心技術(shù)被盜取,幾十年的勞動(dòng)成果皆拱手送人,企業(yè)將承受巨大的、甚至是毀滅性的損失。
企業(yè)信息泄露還有一種就是人才流動(dòng),現(xiàn)如今企業(yè)人員流動(dòng)較大,企業(yè)信息可能被直接帶到其他企業(yè)之中,這也是個(gè)比較棘手的問題。
另外一種情況是隨著企業(yè)之間的合作不斷增加,企業(yè)外派員工成為常見的現(xiàn)象,這樣就加大了企業(yè)間的交流和接觸時(shí)間,對(duì)于本企業(yè)的信息泄露也許就是在不經(jīng)意間。
無論是網(wǎng)絡(luò)問題還是人為問題,如果造成企業(yè)信息泄露,其對(duì)自身企業(yè)的損害是非常大的。以技術(shù)為核心的制造型企業(yè)加強(qiáng)信息安全管理勢(shì)在必行。
二、制造型企業(yè)信息安全管理的現(xiàn)狀及問題
1.企業(yè)信息安全管理的被動(dòng)性
制造型企業(yè)的工作重點(diǎn)在產(chǎn)品制造與生產(chǎn),對(duì)于網(wǎng)絡(luò)信息管理意識(shí)薄弱,很多時(shí)候企業(yè)只有發(fā)現(xiàn)企業(yè)信息泄露或者遭受病毒的攻擊等安全事件,才會(huì)關(guān)注企業(yè)信息安全問題,進(jìn)而調(diào)動(dòng)技術(shù)部門前來解決問題。這很大程度上反映制造型企業(yè)對(duì)網(wǎng)絡(luò)信息安全不夠重視,只有出現(xiàn)信息安全問題時(shí),才組建臨時(shí)小組來解決企業(yè)信息問題,待到問題解決后小組便被解散,沒有對(duì)企業(yè)信息后序的監(jiān)督和管理,企業(yè)信息安全管理缺乏系統(tǒng)策劃和制度化要求,管理活動(dòng)臨時(shí)性強(qiáng),缺少日常的維護(hù)和預(yù)防,導(dǎo)致更多的是重蹈覆轍,這樣不僅沒有為企業(yè)省下對(duì)安全管理的資金,相反的恰恰是增加了企業(yè)的資金投入,直接增加了企業(yè)安全管理的成本。同時(shí)因?yàn)榕R時(shí)小組的組建,使得人員調(diào)動(dòng)頻繁,大大降低了工作效率,進(jìn)而對(duì)企業(yè)的經(jīng)濟(jì)效益造成影響。
2.員工使用內(nèi)部系統(tǒng)連接外網(wǎng)
雖然大部分制造型企業(yè)對(duì)企業(yè)自身的內(nèi)網(wǎng)進(jìn)行了防護(hù)監(jiān)測,而且對(duì)員工上網(wǎng)和網(wǎng)頁瀏覽采取了一定的限制措施,但是實(shí)際上,企業(yè)對(duì)員工上網(wǎng)的控制落實(shí)程度不夠,員工依舊可以在工作時(shí)間使用企業(yè)網(wǎng)絡(luò)進(jìn)行外部網(wǎng)絡(luò)連接,而且對(duì)于一些網(wǎng)站毫無防備。而網(wǎng)絡(luò)病毒是時(shí)刻都在通過網(wǎng)絡(luò)攻擊使用者的,特別對(duì)于企業(yè)內(nèi)部網(wǎng)絡(luò),黑客更是隨時(shí)隨地緊盯著企業(yè)內(nèi)網(wǎng)出現(xiàn)漏洞,進(jìn)而竊取企業(yè)內(nèi)部信息。由于企業(yè)員工的疏忽,會(huì)有很大幾率使得企業(yè)信息出現(xiàn)安全隱患,輕則影響企業(yè)正常的生產(chǎn)工作,重則企業(yè)商業(yè)、技術(shù)信息被盜取或者企業(yè)內(nèi)網(wǎng)癱瘓甚至縱,為企業(yè)帶來非常嚴(yán)重的后果及損失。
3.移動(dòng)設(shè)備限制力度不夠
制造型企業(yè)在信息安全管理方面通常采取的措施是限制流水線工人的移動(dòng)設(shè)備使用,但是對(duì)于辦公部門卻沒有嚴(yán)格要求,辦公人員可以自由攜帶智能手機(jī)、筆記本電腦、pad、硬盤等移動(dòng)設(shè)備。因辦公人員要對(duì)數(shù)據(jù)進(jìn)行處理,會(huì)導(dǎo)致企業(yè)內(nèi)部信息被無限制地拷貝。而且現(xiàn)如今的移動(dòng)智能設(shè)備都能直接通過企業(yè)的無線網(wǎng)絡(luò),連接企業(yè)內(nèi)網(wǎng)以獲得權(quán)限,這樣的確提高了企業(yè)內(nèi)部的辦公效率,同時(shí)也給黑客病毒提供了通過無線網(wǎng)絡(luò)進(jìn)行傳播的機(jī)會(huì),提高了企業(yè)內(nèi)部信息安全的風(fēng)險(xiǎn)。
4.信息安全防護(hù)技術(shù)水平低
在我國,普遍存在信息安全研發(fā)技術(shù)水平較低的情況,這也是制造型企業(yè)安全技術(shù)不高的原因之一。制造型企業(yè)的工作重心偏重于生產(chǎn)、制造及商務(wù)活動(dòng)中,而對(duì)于網(wǎng)絡(luò)安全的防護(hù)意識(shí)不高。
作為企業(yè),都會(huì)有一些信息安全意識(shí)。在企業(yè)成立初期,信息安全防護(hù)措施通常會(huì)被考慮并采納,尤其是一些進(jìn)口設(shè)備,但僅僅依賴進(jìn)口設(shè)備是遠(yuǎn)遠(yuǎn)不夠的。第一,進(jìn)口設(shè)備雖然技術(shù)先進(jìn),但是出現(xiàn)問題是在所難免的,往往出問題的是一些關(guān)鍵的零部件,這些零部件不僅難以拆卸且是整臺(tái)設(shè)備的技術(shù)核心,設(shè)備廠商必然會(huì)控制其銷售渠道。第二,很多企業(yè)過于相信進(jìn)口設(shè)備的技術(shù),力爭做到一步到位,使得企業(yè)發(fā)展中前期安全防護(hù)的確不錯(cuò),但是卻忽略了系統(tǒng)的更新和維護(hù),網(wǎng)絡(luò)病毒每天新出幾萬種,就算設(shè)備再先進(jìn),如果不進(jìn)行更新,遲早會(huì)被病毒攻破。第三,很多企業(yè)都采用家用式免費(fèi)殺毒軟件,這些殺毒軟件更新頻率快,一些簡單病毒、木馬都能有效查殺,對(duì)家用來說但是對(duì)企業(yè)來講遠(yuǎn)遠(yuǎn)不夠,企業(yè)一般是黑客重點(diǎn)關(guān)注的對(duì)象,黑客往往會(huì)研制更先進(jìn)的病毒來攻克企業(yè)的防火墻,一些免費(fèi)殺毒軟件很容易被攻破,增加制造企業(yè)內(nèi)部信息安全問題。
5.企業(yè)出現(xiàn)安全問題處理方法不當(dāng)
現(xiàn)如今研發(fā)病毒的技術(shù)快速而先進(jìn),病毒出現(xiàn)時(shí)的及時(shí)處理是非常重要的,我國制造型企業(yè)在出現(xiàn)信息安全問題的時(shí)候,雖然有相關(guān)的殺毒軟件,但因?yàn)榇蟛糠侄际敲赓M(fèi)的,其更新速度雖然頻率高,相對(duì)滯后性比較強(qiáng),對(duì)于新病毒無法第一時(shí)間發(fā)現(xiàn)、處理。而且許多病毒都是潛在性的,企業(yè)內(nèi)部系統(tǒng)中毒之后沒有任何異樣,這就導(dǎo)致企業(yè)內(nèi)部人員無法及時(shí)發(fā)現(xiàn)企業(yè)內(nèi)網(wǎng)是否被越權(quán)或遭到攻擊。同時(shí),由于很多企業(yè)缺少專門管理信息安全的部門,并且對(duì)于病毒侵入缺乏有針對(duì)性的安全對(duì)策和應(yīng)急措施,這就導(dǎo)致就算病毒被發(fā)現(xiàn),企業(yè)在第一時(shí)間也無從下手。
三、制造型企業(yè)容易出現(xiàn)安全問題的原因
1.企業(yè)內(nèi)部信息安全意識(shí)低
制造型企業(yè)的本質(zhì)是通過生產(chǎn)經(jīng)營活動(dòng)而獲得盈利,因此制造型企業(yè)的工作重點(diǎn)主要是企業(yè)生產(chǎn)、制造以及流通和服務(wù)。在此情況下,企業(yè)更關(guān)注盈利情況,而缺乏對(duì)信息安全的管理意識(shí),對(duì)信息安全管理的重視度不足。導(dǎo)致這一現(xiàn)象的重要原因是安全防護(hù)不能為企業(yè)帶來直接的經(jīng)濟(jì)效益,反而要投入大量的人力、物力、財(cái)力。另一方面,從安全管理角度來說,沒有事故發(fā)生才是管理績效的體現(xiàn)。相對(duì)于質(zhì)量管理、生產(chǎn)安全管理來說,信息安全管理的管理性質(zhì)是類似的,但因?yàn)槠涔芾韺?duì)象的不可見性,往往容易被企業(yè)高層忽視。同時(shí),一般也會(huì)存在僥幸心理,感覺企業(yè)內(nèi)部網(wǎng)絡(luò)不會(huì)受到黑客攻擊,或是認(rèn)為就算受到病毒攻擊也不會(huì)對(duì)生產(chǎn)經(jīng)營造成什么大影響,對(duì)企業(yè)整體利益影響不大。基層員工更是不明白什么是安全防護(hù),對(duì)企業(yè)安全防護(hù)的重要性一無所知,這就導(dǎo)致許多企業(yè)內(nèi)部信息技術(shù)會(huì)從員工口中泄露。
2.信息安全管理模式不夠完善
制造型企業(yè)信息安全問題頻發(fā)的原因,究其根本就是因?yàn)槠髽I(yè)信息安全管理模式不夠完善,具體原因是制造型企業(yè)不重視信息安全管理、缺少系統(tǒng)規(guī)范的信息安全管理制度、缺乏專業(yè)的信息安全管理技術(shù)和安全管理人員,企業(yè)信息系統(tǒng)設(shè)計(jì)沒有風(fēng)險(xiǎn)評(píng)估、沒有完善的業(yè)務(wù)流程,信息安全管理存在頭痛醫(yī)頭腳痛醫(yī)腳的現(xiàn)象。
3.信息安全系統(tǒng)沒有應(yīng)急措施
制造型企業(yè)信息安全系統(tǒng)缺少應(yīng)急措施,也可以說沒有自我保護(hù)系統(tǒng)。自我保護(hù)系統(tǒng)是一種比較先進(jìn)的技術(shù),一旦有病毒侵入系統(tǒng),系統(tǒng)會(huì)自動(dòng)對(duì)重要信息進(jìn)行加密、封鎖,待系統(tǒng)安全后自動(dòng)解鎖。然而由于對(duì)信息管理的意識(shí)不足,使得很多制造型企業(yè)沒有建立信息安全自我保護(hù)系統(tǒng)。在我國,諸多制造型企業(yè)在信息管理方面更多的是依靠員工的經(jīng)驗(yàn),對(duì)于網(wǎng)絡(luò)自身的保護(hù)信任度不足,也缺少對(duì)信息安全管理技術(shù)發(fā)展的關(guān)注和引用。
四、制造型企業(yè)信息安全管理存在問題的對(duì)策
綜上所述,制造型企業(yè)信息安全問題是由很多因素造成的,包括管理層的重視方面、技術(shù)方面、人員管理方面等。首要的,企業(yè)應(yīng)提升對(duì)信息安全管理的重視程度,只有加強(qiáng)意識(shí),并建立有效的信息安全防范措施,才能有效保護(hù)企業(yè)自身的核心競爭力,以獲得在市場經(jīng)濟(jì)中更好的發(fā)展。
1.提高企業(yè)內(nèi)部員工的信息安全意識(shí)
很多制造型企業(yè)信息泄露都是內(nèi)部員工無意間透露出去的,這也是最常見的企業(yè)內(nèi)部信息泄露渠道,企業(yè)應(yīng)充分重視員工的信息安全教育,定期對(duì)企業(yè)內(nèi)部員工進(jìn)行信息安全培訓(xùn)及考核,通過教育向員工灌輸信息安全的基本知識(shí)和常識(shí)、企業(yè)內(nèi)部信息的重要性、一旦發(fā)生企業(yè)核心技術(shù)泄露將產(chǎn)生的嚴(yán)重后果等信息。加強(qiáng)企業(yè)內(nèi)部員工信息安全意識(shí),也就是從根本上降低了企業(yè)信息安全隱患,企業(yè)中如果基層員工都非常了解并重視信息安全問題,那么這個(gè)企業(yè)在信息安全管理方面必然非常完善有效。
2.建立健全企業(yè)信息安全管理機(jī)制
由于很多制造型企業(yè)缺少健全的信息安全管理機(jī)制,這就給了很多黑客病毒更多的侵入機(jī)會(huì)。一套完善的信息安全管理機(jī)制能夠有效的保護(hù)企業(yè)信息安全,降低安全隱患。制造型企業(yè)應(yīng)該建立健全企業(yè)信息安全管理機(jī)制,設(shè)立專門的企業(yè)信息安全管理部門,這樣能最大程度保證信息的日常安全防范,也保證了一旦出現(xiàn)安全問題,企業(yè)能更好、更快地解決問題,健全的管理機(jī)制能夠?qū)︼L(fēng)險(xiǎn)有一定的預(yù)見性,把風(fēng)險(xiǎn)降到最低。
3.加大對(duì)信息安全管理的資金投入
任何新型技術(shù)都離不開資金的投入,信息安全管理同樣也是,而且信息安全管理更多的屬于技術(shù)型投入,對(duì)資金依賴性更高。制造型企業(yè)想要獲得可持續(xù)發(fā)展,就必須要把目標(biāo)放得更加長遠(yuǎn)。企業(yè)內(nèi)部信息往往是一個(gè)企業(yè)的核心,因此企業(yè)應(yīng)提高對(duì)信息管理的重視程度,加大對(duì)信息安全系統(tǒng)的投資,把信息安全管理作為企業(yè)管理重要的一部分,信息安全管理資金劃作專項(xiàng)資金??顚S?。企業(yè)對(duì)信息安全管理的投資要有計(jì)劃性,確保突況的資金投入、技術(shù)更新的資金投入、管理人員的資金投入、安全教育的資金投入等。把信息安全管理納入企業(yè)整體的發(fā)展規(guī)劃中,這樣才能保證企業(yè)信息更加安全,企業(yè)才能獲得長足的發(fā)展。
4.加大對(duì)信息安全管理人才的認(rèn)識(shí)
因?yàn)樾畔?duì)企業(yè)生存至關(guān)重要,信息安全甚至?xí)绊懙狡髽I(yè)的發(fā)展戰(zhàn)略的制定和落實(shí),制造型企業(yè)應(yīng)當(dāng)把信息安全管理與生產(chǎn)經(jīng)營提高到同一個(gè)層次。企業(yè)內(nèi)網(wǎng)是網(wǎng)絡(luò)技術(shù)領(lǐng)域,既然是技術(shù),就離不開專業(yè)人才的支持,企業(yè)應(yīng)該加強(qiáng)信息安全管理的人才培養(yǎng),提高企業(yè)信息安全管理的質(zhì)量。如果企業(yè)內(nèi)部沒有專業(yè)的信息安全管理人才,企業(yè)可以通過對(duì)外招聘的形式,在社會(huì)中尋求人才?,F(xiàn)如今互聯(lián)網(wǎng)技術(shù)已經(jīng)逐步走向成熟,計(jì)算機(jī)人才更是越來越多,所以,制造型企業(yè)在社會(huì)中尋找信息安全管理的人才不會(huì)很難,同時(shí)還能促進(jìn)計(jì)算機(jī)技術(shù)人才就業(yè),對(duì)于企業(yè)自身以及社會(huì)都有很大意義。
5.加強(qiáng)企業(yè)內(nèi)網(wǎng)管理
一般來說,企業(yè)內(nèi)網(wǎng)系統(tǒng)中的信息很多都屬于商業(yè)機(jī)密,基層員工是無權(quán)了解的。制造型企業(yè)應(yīng)該把各個(gè)層級(jí)的員工賬號(hào)及內(nèi)網(wǎng)系統(tǒng)中的信息進(jìn)行分類管理,按信息等級(jí)設(shè)置不同的訪問權(quán)限和防范措施,以免企業(yè)員工在使用內(nèi)網(wǎng)時(shí)網(wǎng)絡(luò)病毒通過權(quán)限竊取過多的企業(yè)信息。另外,很多企業(yè)信息泄露都是由于某些員工通過企業(yè)無線網(wǎng)連接外網(wǎng)導(dǎo)致企業(yè)系統(tǒng)中毒,針對(duì)此類情況企業(yè)要制定相應(yīng)的政策和管理制度,通過對(duì)硬件的管理和網(wǎng)頁訪問權(quán)限設(shè)置,嚴(yán)禁員工上班時(shí)間通過移動(dòng)設(shè)備隨意連接外網(wǎng)。
五、結(jié)束語
【 關(guān)鍵詞 】 企業(yè)信息;信息安全;風(fēng)險(xiǎn)管理;框架探究
1 引言
人類社會(huì)在不斷發(fā)展,信息化逐漸融入人們生活。信息資源對(duì)于現(xiàn)代企業(yè)來講,是每時(shí)每刻都存在的運(yùn)轉(zhuǎn)載體,各種重要數(shù)據(jù)、企業(yè)的知識(shí)產(chǎn)權(quán)等這些都是企業(yè)的內(nèi)部信息,除這些信息外,其他相關(guān)方面的數(shù)據(jù)也被企業(yè)所利用,例如合作伙伴、客戶、員工等資料,尤其是一些服務(wù)性企業(yè),比如網(wǎng)商、快遞公司、金融公司、通信公司、航空公司等,這些企業(yè)更需要以信息系統(tǒng)作為支撐,信息資源成為企業(yè)不可或缺的重要組成部分。
2 新形勢(shì)下我國信息安全面臨的問題
2.1 風(fēng)險(xiǎn)意識(shí)在主觀上的淡薄
在我國信息安全上面,思想認(rèn)識(shí)面臨高風(fēng)險(xiǎn)的形勢(shì),大部分企業(yè)的管理高層對(duì)信息資產(chǎn)的認(rèn)識(shí)嚴(yán)重不足?;蛘呔窒拊贗T的安全方面,沒有合理的安全觀念引導(dǎo)企業(yè)在信息安全管理方面的工作。信息安全管理制度的完整性缺乏,規(guī)范安全風(fēng)險(xiǎn)和安全法律法規(guī)對(duì)員工的培訓(xùn)缺乏,很多信息安全事故的發(fā)生都是因?yàn)榘踩庾R(shí)的薄弱造成的。
2.2 缺乏信息安全管理系統(tǒng)的思想
大部分企業(yè)仍是將傳統(tǒng)的管理方法用在安全管理模式中,這種出現(xiàn)問題再去想彌補(bǔ)的方法是靜態(tài)的管理,不能在提前進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估上做更有效的信息系統(tǒng)管理。
2.3 信息安全不僅僅是技術(shù)部門的事
多數(shù)企業(yè)認(rèn)為信息安全的責(zé)任和義務(wù)都是IT部門的,造成信息技術(shù)部門無法和企業(yè)內(nèi)部其他部門互動(dòng),進(jìn)而形成孤立的局面。但是,信息安全的實(shí)現(xiàn)需要各個(gè)部門的全員行動(dòng),特別是規(guī)范標(biāo)準(zhǔn)以及規(guī)章制度的貫徹落實(shí),更牽涉到企業(yè)的每一名員工,全員行動(dòng)的要求更是不能缺少。
2.4 存在重視安全技術(shù)而輕視安全管理的情況
現(xiàn)今為止,仍有很多企業(yè)僅僅依賴產(chǎn)品安全,認(rèn)為信息安全就是信息產(chǎn)品安全。一般企業(yè)現(xiàn)在都會(huì)采用計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)來構(gòu)建企業(yè)的信息系統(tǒng),但是沒有把相應(yīng)的管理措施開展到位。信息安全問題應(yīng)該加強(qiáng)做好管理工作,不能單從技術(shù)方面著手。
2.5 現(xiàn)代管理手段與理論欠缺
日益龐大的現(xiàn)代化信息規(guī)模與越來越復(fù)雜的網(wǎng)絡(luò)結(jié)構(gòu),讓現(xiàn)有的風(fēng)險(xiǎn)管理手段和理論都不足以讓企業(yè)信息安全得到完全的滿足,企業(yè)應(yīng)該結(jié)合實(shí)際情況和需要,把國際上優(yōu)異的信息安全風(fēng)險(xiǎn)管理理論以及先進(jìn)的最佳實(shí)踐用作指導(dǎo),以此達(dá)到信息安全的目的。
3 企業(yè)信息安全風(fēng)險(xiǎn)管理的框架探究
企業(yè)信息安全風(fēng)險(xiǎn)管理的框架包括兩個(gè)部分,一是企業(yè)信息安全風(fēng)險(xiǎn)管理的過程,二是企業(yè)信息安全風(fēng)險(xiǎn)管理的實(shí)施。其中,實(shí)施是過程的保障,整合各種資源要通過實(shí)施才能達(dá)到;過程是實(shí)施的前提,對(duì)過程的清楚有利于建立企業(yè)信息安全風(fēng)險(xiǎn)管理的統(tǒng)一理解,以此逐漸實(shí)現(xiàn)信息安全風(fēng)險(xiǎn)管理。企業(yè)信息安全風(fēng)險(xiǎn)管理包括風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)計(jì)劃、風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)監(jiān)督、計(jì)劃實(shí)施、風(fēng)險(xiǎn)改進(jìn)六個(gè)動(dòng)態(tài)過程。
信息安全風(fēng)險(xiǎn)管理是動(dòng)態(tài)、持續(xù)性過程,信息安全通過潛在的風(fēng)險(xiǎn)識(shí)別、分析,同時(shí)進(jìn)行計(jì)劃、實(shí)施、監(jiān)督、改善,然后再進(jìn)入到下一個(gè)循環(huán)里,通過持續(xù)不斷的循環(huán)活動(dòng)進(jìn)行有計(jì)劃、持續(xù)的控制,不斷改進(jìn)。
參照戴明的PDCA質(zhì)量管理模式,把安全項(xiàng)目實(shí)施劃分為四個(gè)階段,分別是準(zhǔn)備和策劃、執(zhí)行和部署、監(jiān)控和檢查、評(píng)價(jià)和改進(jìn),實(shí)施階段有幾個(gè)工作步驟:(1)準(zhǔn)備和策劃工作階段,首先調(diào)研信息安全風(fēng)險(xiǎn)管理現(xiàn)狀,接著進(jìn)行風(fēng)險(xiǎn)評(píng)估,然后編制信息安全風(fēng)險(xiǎn)管理方案;(2)執(zhí)行和部署工作階段,進(jìn)行部署安排,按計(jì)劃執(zhí)行,接著進(jìn)行安全培訓(xùn);(3)監(jiān)控和檢查工作階段,做好企業(yè)安全現(xiàn)狀檢查,預(yù)測未來的變化;(4)評(píng)價(jià)和改進(jìn)工作階段,制定改善措施,響應(yīng)緊急事件。
4 企業(yè)信息安全風(fēng)險(xiǎn)管理的實(shí)施
在風(fēng)險(xiǎn)管理中人、過程、基礎(chǔ)結(jié)構(gòu)和實(shí)施是四大影響風(fēng)險(xiǎn)管理能力的關(guān)鍵因素,企業(yè)的信息安全風(fēng)險(xiǎn)管理能力同時(shí)也受著這四個(gè)因素制約,所以企業(yè)信息安全管理中十分重要的就是人通過各類資源和企業(yè)基礎(chǔ)結(jié)構(gòu)達(dá)到信息安全風(fēng)險(xiǎn)管理過程的實(shí)施活動(dòng)。
企業(yè)在開始嘗試安全風(fēng)險(xiǎn)管理實(shí)施之前,很重要的一點(diǎn)是應(yīng)該檢驗(yàn)現(xiàn)有安全風(fēng)險(xiǎn)管理的完善度。假如企業(yè)在安全風(fēng)險(xiǎn)管理上沒有規(guī)范的流程和正式的策略,就會(huì)出現(xiàn)框架的實(shí)施非常艱難。換句話說讓企業(yè)有一些正式的策略和明確的指導(dǎo),將避免大多數(shù)員工都在工作中不知所措。假如在安全風(fēng)險(xiǎn)管理上發(fā)現(xiàn)企業(yè)相對(duì)不夠成熟,則可以采取試點(diǎn)的形式,把安全風(fēng)險(xiǎn)管理實(shí)施到單個(gè)業(yè)務(wù)單元中,直到通過試運(yùn)行在框架中顯示有效以后,再考慮將其他業(yè)務(wù)單元導(dǎo)入至整個(gè)企業(yè)框架中。
框架實(shí)踐需要以最優(yōu)實(shí)踐的經(jīng)驗(yàn)為基準(zhǔn),必須有利于企業(yè)確定安全現(xiàn)狀,同時(shí)按照需要的安全方向進(jìn)行改進(jìn),企業(yè)的安全風(fēng)險(xiǎn)管理能力通過不斷的提高,就能逐漸努力向著安全的目標(biāo)前進(jìn)。
5 結(jié)束語
進(jìn)入信息化時(shí)代,企業(yè)已經(jīng)把信息系統(tǒng)的高效、互聯(lián)、精確的特征當(dāng)作賴以生存和發(fā)展的必要條件。因此所伴隨產(chǎn)生的信息安全風(fēng)險(xiǎn)就成了企業(yè)關(guān)注的重點(diǎn)問題。在此情況之下,企業(yè)建立信息安全風(fēng)險(xiǎn)管理機(jī)制,利用科學(xué)的方法和手段控制各種風(fēng)險(xiǎn)的發(fā)生顯得尤為重要。動(dòng)態(tài)循環(huán)是企業(yè)信息安全風(fēng)險(xiǎn)管理的一個(gè)過程,在風(fēng)險(xiǎn)評(píng)估的前提下,要落實(shí)對(duì)風(fēng)險(xiǎn)控制措施。同時(shí)對(duì)過程的實(shí)施要進(jìn)行有效的控制和監(jiān)督,這就需要一個(gè)明確清晰并且具有可操作性的信息安全風(fēng)險(xiǎn)框架來指導(dǎo)。還有需要探究的工作在信息安全風(fēng)險(xiǎn)管理領(lǐng)域里,但愿本文能引來更多這一領(lǐng)域探究,從而做出保障企業(yè)信息安全的貢獻(xiàn)。
參考文獻(xiàn)
[1] 陳慧勤.企業(yè)信息安全風(fēng)險(xiǎn)管理的框架研究[J].2011,21(40):42-46.
[2] 惠志斌.企業(yè)IT風(fēng)險(xiǎn)管理的體系構(gòu)建與實(shí)現(xiàn)路徑[J].科技管理研究,2014,34(2):36-55.
[3] 葉銘.企業(yè)動(dòng)態(tài)信息安全風(fēng)險(xiǎn)控制系統(tǒng)的研究[J].2012,08(11):81-85.
該文對(duì)供水企業(yè)信息集成系統(tǒng)安全進(jìn)行分析,并探討了可以針對(duì)性改進(jìn)的安全防護(hù)措施。首先對(duì)當(dāng)前供水信息系統(tǒng)安全現(xiàn)狀做具體分析,然后研究了在“自主定級(jí),自主保護(hù)”的原則下改進(jìn)和提高供水企業(yè)集成信息系統(tǒng)安全具體的執(zhí)行方案,最終實(shí)現(xiàn)供水企業(yè)信息集成系統(tǒng)的信息安全防護(hù)。
關(guān)鍵詞:
供水企業(yè)信息集成系統(tǒng);等級(jí)保護(hù);信息安全
供水行業(yè)對(duì)國計(jì)民生很重要的一個(gè)行業(yè),供水企業(yè)的業(yè)務(wù)性質(zhì)要求以信息的整體化為基本立足點(diǎn),集中管理所有涉及運(yùn)營的相關(guān)數(shù)據(jù),針對(duì)供水企業(yè)運(yùn)行的特殊要求,進(jìn)行集中的規(guī)劃和架構(gòu),將不同專業(yè)的應(yīng)用系統(tǒng)進(jìn)行整合,最終形成完整的供水企業(yè)綜合信息平臺(tái)。[1]而集成系統(tǒng)中最重要的一個(gè)要求就是信息安全。
隨著大數(shù)據(jù)時(shí)代的到來,網(wǎng)格、分布式計(jì)算、云計(jì)算、物聯(lián)網(wǎng)等新技術(shù)相繼推出,對(duì)供水企業(yè)信息集成與應(yīng)用也提出了更高的要求。而隨著應(yīng)用的擴(kuò)展,應(yīng)用中存在著大量的安全隱患,網(wǎng)絡(luò)黑客、木馬、病毒和人為的破壞等將大量的安全威脅帶給信息系統(tǒng)。根據(jù)美國Radicati公司于2015年3月的調(diào)查報(bào)告,截至2014年12月,網(wǎng)絡(luò)攻擊已經(jīng)為全球計(jì)算機(jī)網(wǎng)絡(luò)安全造成高達(dá)上萬億美元的損失。而且隨著網(wǎng)絡(luò)應(yīng)用的規(guī)模進(jìn)一步上升,計(jì)算機(jī)網(wǎng)絡(luò)信息安全威脅造成的損失正在呈幾何級(jí)數(shù)增長。根據(jù)2015年的中國網(wǎng)絡(luò)安全分析報(bào)告,2014年報(bào)告的網(wǎng)絡(luò)安全攻擊事件比2013年增加了100多倍。2014年,搜狗由于網(wǎng)絡(luò)黑客攻擊導(dǎo)致搜索服務(wù)在全國各地都出現(xiàn)了長達(dá)25分鐘無法使用。2014年7月,某域名服務(wù)商的域名解析服務(wù)器發(fā)生了網(wǎng)絡(luò)黑客的集中式攻擊,造成在其公司注冊(cè)的13%的網(wǎng)站無法訪問,時(shí)間長達(dá)17個(gè)小時(shí),經(jīng)濟(jì)損失不可估量。因此,從信息安全的角度,要對(duì)供水企業(yè)信息集成系統(tǒng)進(jìn)行防護(hù),降低信息安全事故的發(fā)生的概率,降低其危害,是本文需要研究的內(nèi)容。
1當(dāng)前供水企業(yè)信息集成系統(tǒng)安全防護(hù)的現(xiàn)狀和存在的問題
伴隨著科技的不斷發(fā)展,供水企業(yè)的信息化建設(shè)也得到了很大的發(fā)展,主要是從深度和廣度兩個(gè)層面做進(jìn)一步拓展。典型的供水企業(yè)信息集成系統(tǒng)涵蓋了生產(chǎn)調(diào)度系統(tǒng)、銷售系統(tǒng)、管網(wǎng)信息系統(tǒng)、財(cái)務(wù)管理系統(tǒng)、人事管理系統(tǒng)、辦公自動(dòng)化系統(tǒng)等子系統(tǒng)。其中多個(gè)系統(tǒng)數(shù)據(jù)需要接受外部訪問,存在大量的安全隱患。目前,威脅到供水企業(yè)信息安全的風(fēng)險(xiǎn)因素主要分為三個(gè)大類:1)人為原因,如惡意的黑客攻擊、不懷好意的內(nèi)部人員造成的信息外泄、操作中出現(xiàn)低級(jí)錯(cuò)誤等。2)數(shù)據(jù)存儲(chǔ)位置位置的風(fēng)險(xiǎn)。可能由自然災(zāi)害引發(fā)的問題,缺乏數(shù)據(jù)備份和恢復(fù)能力。3)不斷增長的數(shù)據(jù)交互放大了數(shù)據(jù)丟失或泄漏的風(fēng)險(xiǎn)。包括未知的安全漏洞、軟件版本、安全實(shí)踐和代碼更改等。
2有關(guān)分級(jí)防護(hù)的要求
尤其是供水企業(yè)信息集成系統(tǒng)中,存在大量涉及公民個(gè)人隱私的信息,也存在像生產(chǎn)調(diào)度這樣涉及國計(jì)民生的信息。因此,需要按照國家有關(guān)信息安全的法律法規(guī),明確企業(yè)的信息安全責(zé)任。提升供水企業(yè)信息管理區(qū)內(nèi)的業(yè)務(wù)系統(tǒng)信息安全防護(hù)。依據(jù)《信息安全等級(jí)保護(hù)管理辦法》(公通字[2007]43號(hào))第十四條,信息系統(tǒng)建設(shè)完成后,運(yùn)營、使用單位或者其主管部門應(yīng)當(dāng)選擇符合本辦法規(guī)定條件的測評(píng)機(jī)構(gòu),依據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)測評(píng)要求》等技術(shù)標(biāo)準(zhǔn),定期對(duì)信息系統(tǒng)安全等級(jí)狀況開展等級(jí)測評(píng)。定級(jí)標(biāo)準(zhǔn)按照國家標(biāo)準(zhǔn)《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》(GB/T22240—2008)實(shí)施,根據(jù)等級(jí)保護(hù)相關(guān)管理文件,信息系統(tǒng)的安全保護(hù)等級(jí)分為以下五級(jí):第一級(jí),信息系統(tǒng)受到破壞后,會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成損害,但不損害國家安全、社會(huì)秩序和公共利益。
第二級(jí),信息系統(tǒng)受到破壞后,會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害,或者對(duì)社會(huì)秩序和公共利益造成損害,但不損害國家安全。第三級(jí),信息系統(tǒng)受到破壞后,會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害,或者對(duì)國家安全造成損害。第四級(jí),信息系統(tǒng)受到破壞后,會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害,或者對(duì)國家安全造成嚴(yán)重?fù)p害。第五級(jí),信息系統(tǒng)受到破壞后,會(huì)對(duì)國家安全造成特別嚴(yán)重?fù)p害。等級(jí)保護(hù)對(duì)象受到破壞后對(duì)客體造成侵害的程度歸結(jié)為以下三種:1)造成一般損害;2)造成嚴(yán)重?fù)p害;3)造成特別嚴(yán)重?fù)p害。
3分別防護(hù)實(shí)施步驟
根據(jù)有關(guān)法律法規(guī),建設(shè)完成并投入使用的信息系統(tǒng),其有關(guān)使用此系統(tǒng)的單位需要對(duì)其系統(tǒng)的等級(jí)狀況做定期的測評(píng)。供水企業(yè)要遵照要求選擇具有資質(zhì)的測評(píng)機(jī)構(gòu)來對(duì)管理信息區(qū)的業(yè)務(wù)系統(tǒng)做等級(jí)保護(hù)的測評(píng)工作。其所得到的結(jié)果如下表1所示:通常情況下,供水企業(yè)信息系統(tǒng)中不會(huì)出現(xiàn)第四級(jí)和第五級(jí)的系統(tǒng)。根據(jù)測評(píng)結(jié)果,有必要對(duì)供水企業(yè)內(nèi)部的局域網(wǎng)進(jìn)行系統(tǒng)化整改。具體的整改內(nèi)容包括兩項(xiàng)主要內(nèi)容:細(xì)化各業(yè)務(wù)系統(tǒng)服務(wù)器的物理位置;按照需求設(shè)置信息安全區(qū)域。根據(jù)供水企業(yè)信息集成系統(tǒng)的具體實(shí)際,主要有等級(jí)包括三個(gè)業(yè)務(wù)區(qū)域,以及一個(gè)公共業(yè)務(wù)區(qū)和測評(píng)業(yè)務(wù)區(qū)。按照上述原則對(duì)供水企業(yè)信息集成系統(tǒng)服務(wù)器做物理劃分如圖1所示。不同等級(jí)的系統(tǒng)服務(wù)器針對(duì)不同級(jí)別的信息安全區(qū)進(jìn)行設(shè)置。等級(jí)為一、二、三的業(yè)務(wù)區(qū)分別安裝著對(duì)應(yīng)的服務(wù)器,而公共業(yè)務(wù)區(qū)域的服務(wù)器主要是DNS服務(wù)器或者是域服務(wù)器。公共業(yè)務(wù)區(qū)服務(wù)器主要為基礎(chǔ)服務(wù)提供非業(yè)務(wù)系統(tǒng)服務(wù),不需要進(jìn)行保護(hù)分級(jí)。測評(píng)業(yè)務(wù)區(qū)提供是投入正式使用前的測試服務(wù)器。
依據(jù)表1的測評(píng)結(jié)果,將安全區(qū)域進(jìn)行細(xì)化表2所示的就是企業(yè)管理信息區(qū),其主要業(yè)務(wù)系統(tǒng)對(duì)安全區(qū)域存放問題的展示。根據(jù)表2得到的結(jié)果,可以將信息安全設(shè)備存放在不同信息區(qū)域邊界內(nèi),以此達(dá)到服務(wù)器分級(jí)防護(hù)目的。信息安全設(shè)備設(shè)置在信息安全區(qū)域邊界,也就是局域網(wǎng)與信息安全區(qū)域之間的連接部。信息安全設(shè)備主要是防火墻、查殺病毒、攻擊防護(hù)、服務(wù)防護(hù)禁止、授權(quán)等。對(duì)于不同區(qū)域邊界的信息安全的部署建議,供水企業(yè)要遵照各自的實(shí)際情況做周密的設(shè)置。供水企業(yè)管理信息安全區(qū)域邊界防護(hù)表見表3。將信息安全防護(hù)設(shè)備部署在所在的區(qū)域邊界內(nèi),如此可以初步實(shí)現(xiàn)對(duì)供水企業(yè)管理信息區(qū)的信息安全防護(hù)。
4結(jié)束語
隨著大數(shù)據(jù)的發(fā)展,對(duì)供水企業(yè)信息集成系統(tǒng)在數(shù)據(jù)的交互和應(yīng)用方面會(huì)提出更高的要求,也大大加強(qiáng)了安全防護(hù)措施的重要性和迫切性。在安全防護(hù)措施基本到位的前提下,還需要加強(qiáng)信息審計(jì),及時(shí)發(fā)現(xiàn)和補(bǔ)救系統(tǒng)缺陷,加強(qiáng)數(shù)據(jù)庫安全防護(hù),維護(hù)管理系統(tǒng)的隱患。
參考文獻(xiàn):
[1]孫鋒.基于多agent技術(shù)的供水企業(yè)信息集成系統(tǒng)研究[J].供水技術(shù),2015(10).
關(guān)鍵詞:企業(yè)信息安全;信息安全體系;IT技術(shù)
中圖分類號(hào):F840文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-2374(2009)05-0072-02
當(dāng)前IT已成為企業(yè)業(yè)務(wù)發(fā)展和管理不可或缺的組成部分,其作用和影響力已從單一的業(yè)務(wù)部門擴(kuò)散到企業(yè)與組織的每一個(gè)領(lǐng)域。在IT系統(tǒng)給企業(yè)帶來活力、利潤和競爭力的同時(shí),也給企業(yè)增加了風(fēng)險(xiǎn)。因此如何充分利用IT系統(tǒng)獲得企業(yè)價(jià)值的最大化,并且最大限度地降低利用IT技術(shù)而帶來的風(fēng)險(xiǎn),成為每個(gè)企業(yè)都必須要真接面對(duì)的問題。本文從企業(yè)信息安全的需求為出發(fā)點(diǎn),構(gòu)建以管理、技術(shù)和人員三者有機(jī)結(jié)合的立體的企業(yè)信息安全管理體系,最終實(shí)現(xiàn)企業(yè)安全建設(shè)的最終目標(biāo)。
一、信息安全管理體系
從企業(yè)的內(nèi)部分析,搭建一套完整的安全架構(gòu)首先要做的就是根據(jù)企業(yè)能夠承受的風(fēng)險(xiǎn)水平編寫企業(yè)安全規(guī)范。編寫企業(yè)的安全規(guī)范首先要遵循BS 7799-2信息安全管理體系的標(biāo)準(zhǔn),標(biāo)準(zhǔn)要求組織通過確定信息安全管理體系范圍、制定信息安全方針、明確管理職責(zé)、以風(fēng)險(xiǎn)評(píng)估為基礎(chǔ)選擇控制目標(biāo)與控制方式等活動(dòng)建立信息安全管理體系;體系一旦建立組織應(yīng)按體系規(guī)定的要求進(jìn)行運(yùn)作,保持體系運(yùn)作的有效性;信息安全管理體系應(yīng)形成一定的文件,即組織應(yīng)建立并保持一個(gè)文件化的信息安全管理體系,其中應(yīng)闡述被保護(hù)的資產(chǎn)、組織風(fēng)險(xiǎn)管理的方法、控制目標(biāo)及控制方式和需要的保證程度。
BS 7799-2:2002所采用的過程模式如:“計(jì)劃-實(shí)施-檢查-措施”四個(gè)步驟,可簡單描述如下:
計(jì)劃:依照組織整個(gè)方針和目標(biāo),建立與控制風(fēng)險(xiǎn)、提高信息安全有關(guān)的安全方針、目標(biāo)、指標(biāo)、過程和程序。
實(shí)施:實(shí)施和運(yùn)作方針(過程和程序)。
檢查:依據(jù)方針、目標(biāo)和實(shí)際經(jīng)驗(yàn)測量,評(píng)估過程業(yè)績,并向決策者報(bào)告結(jié)果。
措施:采取糾正和預(yù)防措施進(jìn)一步提高過程業(yè)績。
以上四個(gè)步驟成為一個(gè)閉環(huán),通過這個(gè)環(huán)的不斷運(yùn)轉(zhuǎn),使信息安全管理體系得到持續(xù)改進(jìn),使信息安全績效(Performance)螺旋上升。
二、企業(yè)信息安全體系架構(gòu)
根據(jù)BS 7799-2信息安全管理體系的標(biāo)準(zhǔn),不同的企業(yè)對(duì)信息的安全需求不同,因此每個(gè)企業(yè)都要制定切實(shí)可行的信息安全架構(gòu),不是照搬照抄其他企業(yè)的模式,或是把各種安全產(chǎn)品進(jìn)行堆砌,說到底企業(yè)的信息安全問題不只是技術(shù)上的問題,它是一個(gè)極其復(fù)雜的系統(tǒng)工程。要實(shí)施一個(gè)完整信息安全管理體系,至少應(yīng)包括三類措施:一是社會(huì)的法律政策、企業(yè)的規(guī)章制度以及信息安全教育等外部軟環(huán)境;二是信息安全的技術(shù)措施,如防火墻技術(shù)、網(wǎng)絡(luò)防毒、信息加密存儲(chǔ)通信、身份認(rèn)證、授權(quán)等;三是審計(jì)和管理措施,該方面措施同時(shí)包含了技術(shù)與社會(huì)措施。這些措施應(yīng)該均衡考慮企業(yè)在保密性(C)、完整性(I)和可用性(A)三方面的安全需求,并且從應(yīng)用安全、數(shù)據(jù)安全、主機(jī)安全、網(wǎng)絡(luò)安全、桌面安全和物理安全等六大安全領(lǐng)域全面系統(tǒng)地實(shí)現(xiàn)企業(yè)的這些安全需求,從而構(gòu)建安全技術(shù)、管理和人員三個(gè)方面有機(jī)結(jié)合的企業(yè)信息安全保障體系如圖1所示:
該模型是一種從企業(yè)信息安全的需求(保密性、完整性、可用性)為出發(fā)點(diǎn),以應(yīng)用安全、數(shù)據(jù)安全、主機(jī)安全、網(wǎng)絡(luò)安全、桌面安全、物理安全為關(guān)注重點(diǎn),層層剖析全面深入地挖掘企業(yè)的信息安全需求,構(gòu)建以管理、技術(shù)和人員三者有機(jī)結(jié)合的立體的企業(yè)信息安全保障體系。
這種企業(yè)信息安全管理架構(gòu)的規(guī)劃融合了管理和技術(shù)為核心的全面分析方法,以安全需求為焦點(diǎn),從管理現(xiàn)狀、技術(shù)現(xiàn)狀和人員狀況三個(gè)維度,綜合采用調(diào)查問卷、人員訪談、現(xiàn)場察看、資料分析、技術(shù)檢測等多種手段,全面深入地挖掘需求。在明確需求的前提下,還要借鑒同類企業(yè)成功經(jīng)驗(yàn),再規(guī)劃出符合企業(yè)實(shí)情的信息安全保障體系。
當(dāng)然該安全體系架構(gòu)的具體實(shí)施還要綜合考慮如下問題:成長型企業(yè)一方面要節(jié)約成本,一方面要把安全風(fēng)險(xiǎn)降到最低。從這兩個(gè)出發(fā)點(diǎn)出發(fā)才能夠建立適合成長型企業(yè)的信息安全體系;計(jì)劃階段要評(píng)估自己的信息資產(chǎn),自己的信息資產(chǎn)的價(jià)值有多大,現(xiàn)有的安全手段是什么,根據(jù)評(píng)估結(jié)果確立安全戰(zhàn)略;開始建立和實(shí)施自己的信息安全體系,擬定自己的戰(zhàn)略流程;對(duì)員工和合作伙伴的培訓(xùn),建立信息監(jiān)測和安全的手段。
三、實(shí)施信息安全架構(gòu)的常規(guī)操作
在保證物理安全、桌面安全、網(wǎng)絡(luò)安全、主機(jī)安全的基礎(chǔ)上,信息安全架構(gòu)的常規(guī)操作包括數(shù)據(jù)層保護(hù)、應(yīng)用程序?qū)颖Wo(hù)、事件應(yīng)對(duì)檢查和安全操作。
數(shù)據(jù)層保護(hù)包括用EFS對(duì)文件進(jìn)行加密;用訪問控制列表限制數(shù)據(jù);從默認(rèn)位置移動(dòng)文件;創(chuàng)建數(shù)據(jù)備份和恢復(fù);用Windows Rights Management Services保護(hù)文檔和電子文件等等。
應(yīng)用程序?qū)颖Wo(hù)包括只啟動(dòng)必需的服務(wù)和功能;配置應(yīng)用程序安全設(shè)置;安裝應(yīng)用程序的安全更新程序;安裝和更新防病毒軟件;以最低權(quán)限運(yùn)行應(yīng)用程序等等。
事件應(yīng)對(duì)檢查包括確定正在遭受攻擊;確定攻擊類型;發(fā)出有關(guān)攻擊通知;遏制攻擊;采取預(yù)防性措施;將攻擊情況記錄存檔等等。
安全最佳做法包括深層防御;設(shè)計(jì)時(shí)考慮安全;最低權(quán)限;從過去的錯(cuò)誤中學(xué)習(xí);維持安全級(jí)別;加強(qiáng)用戶的安全意識(shí);開發(fā)和測試事件應(yīng)對(duì)計(jì)劃和過程等等。
四、結(jié)論
綜上所述,企業(yè)要做到以信息為中心的安全,必須做到管理層面、組織層面和操作層面的有機(jī)結(jié)合,這樣才能建立有效的安全體系,從而實(shí)現(xiàn)企業(yè)安全建設(shè)的最終目標(biāo)。
參考文獻(xiàn)
[1]梁永生.電子商務(wù)安全技術(shù)[M].大連理工大學(xué)出版社,2008,(4).
[2]Mark Rhodes-Ousley,等.網(wǎng)絡(luò)安全完全手冊(cè)[M].北京:電子工業(yè)出版社,2005,(10).
[3]卿斯?jié)h.密碼學(xué)與計(jì)算機(jī)網(wǎng)絡(luò)安全[M].北京:清華大學(xué)出版社,2001.
關(guān)鍵詞: 現(xiàn)代企業(yè);信息網(wǎng)絡(luò);安全優(yōu)化
中圖分類號(hào):TP309.7 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1671-7597(2011)1210088-01
0 前言
21世紀(jì)是一個(gè)發(fā)展的時(shí)代,也是網(wǎng)絡(luò)高速發(fā)展的時(shí)代??萍纪苿?dòng)社會(huì)的發(fā)展,同時(shí)也加快了網(wǎng)絡(luò)信息的發(fā)展。但任何事物都具有兩面性,信息網(wǎng)絡(luò)為企業(yè)帶來了便利同時(shí)也帶來了安全隱患。比如企業(yè)與企業(yè)之間的斗爭,網(wǎng)絡(luò)犯罪、信息侵權(quán)以及信息市場不正當(dāng)競爭等違法亂紀(jì)之事。只有進(jìn)一步網(wǎng)絡(luò)安全優(yōu)化,確保現(xiàn)代企業(yè)信息網(wǎng)絡(luò)安全性,才可以讓企業(yè)更加放心的使用網(wǎng)絡(luò),進(jìn)而解決企業(yè)對(duì)網(wǎng)絡(luò)安全的后顧之憂。
1 現(xiàn)代企業(yè)信息網(wǎng)絡(luò)安全的現(xiàn)狀
要對(duì)現(xiàn)代企業(yè)信息網(wǎng)絡(luò)安全進(jìn)行優(yōu)化,就必須要抓住現(xiàn)狀中存在的問題。目前現(xiàn)代企業(yè)信息網(wǎng)絡(luò)安全技術(shù)還不完善。很多企業(yè)是網(wǎng)絡(luò)大都還采用TCP/IP作為網(wǎng)絡(luò)基礎(chǔ)。雖然這種協(xié)議簡單高效但沒有考慮網(wǎng)絡(luò)的安全性。
現(xiàn)代企業(yè)信息網(wǎng)絡(luò)確實(shí)也采取了各種安全措施,無非是加密機(jī)制、數(shù)據(jù)簽名、訪問控制、認(rèn)證機(jī)制、以及防火墻系統(tǒng)之類,其中構(gòu)筑防火墻系統(tǒng)和加密機(jī)制是目前為主要的方法。但仍然無法有效的防治惡意不法人員入侵。
其中以地址和郵件的傳輸舉例。為了提升網(wǎng)絡(luò)資源的利用,現(xiàn)代企業(yè)信息網(wǎng)絡(luò)技術(shù)有一個(gè)物理地址(MAC)在緩存之中,從而給信息網(wǎng)絡(luò)待命準(zhǔn)備。該MAC存在系統(tǒng)上的漏洞,不法分子很容易就找到要攻擊目標(biāo)的物理地址,從而種下不安全的因素。網(wǎng)絡(luò)攻擊不是單一的,而是各種各樣都有,比如協(xié)議攻擊、惡意遠(yuǎn)程攻擊等。
總體來講,現(xiàn)代企業(yè)信息網(wǎng)絡(luò)安全主要問題在于:TCP/IP協(xié)議沒有考慮信息安全性、電腦系統(tǒng)安裝存在問題、缺乏有效的監(jiān)控預(yù)防、對(duì)惡意病毒缺乏有效控制、以及企業(yè)操作人員的使用不正確等。
2 優(yōu)化網(wǎng)絡(luò)信息的安全性
要優(yōu)化企業(yè)信息網(wǎng)絡(luò)的安全性,首先要在根源上做出相應(yīng)的優(yōu)化策略。這樣才可以真正達(dá)到網(wǎng)絡(luò)信息安全優(yōu)化的目的。
2.1 加強(qiáng)操作人員對(duì)網(wǎng)絡(luò)信息安全意識(shí)
事實(shí)上,許多的網(wǎng)絡(luò)安全問題都是源自于操作不當(dāng)。究其原因,許多操作人員對(duì)網(wǎng)絡(luò)信息安全的意識(shí)十分薄弱,沒有意識(shí)到網(wǎng)絡(luò)完全的重要性。而且一些操作人員對(duì)計(jì)算機(jī)操作不正確,帶來安全問題。
所以,必須對(duì)現(xiàn)代企業(yè)信息網(wǎng)絡(luò)操作人員進(jìn)行安全培訓(xùn),包括軟硬件、機(jī)房、網(wǎng)絡(luò)數(shù)據(jù)各個(gè)方面的安全問題。只有對(duì)操作人員進(jìn)行專業(yè)化的安全教育和培訓(xùn),才能夠提升操作人員對(duì)網(wǎng)絡(luò)信息安全的意識(shí)。也只有提升了操作人員的工作態(tài)度和責(zé)任,才可以有效地預(yù)防網(wǎng)絡(luò)信息安全事故。 同時(shí)不間斷地加強(qiáng)操作人員的業(yè)務(wù)水平與技術(shù)的培訓(xùn),從而提高工作人員的操作技能,才能夠有效地優(yōu)化信息網(wǎng)絡(luò)的安全。
2.2 提升網(wǎng)絡(luò)信息的安全服務(wù)
如果在現(xiàn)代企業(yè)信息網(wǎng)絡(luò)中實(shí)行實(shí)名身份認(rèn)證驗(yàn)證,就能夠在一定程度上提升安全指數(shù),能夠有效的抵御一些主動(dòng)攻擊行為,從而加強(qiáng)現(xiàn)代企業(yè)信息網(wǎng)絡(luò)的安全。在身份認(rèn)證時(shí)最好需要管理人員進(jìn)行識(shí)別是否正確,只有雙向認(rèn)證確認(rèn)無誤之后才可以通過驗(yàn)證,這樣進(jìn)一步優(yōu)化了信息網(wǎng)絡(luò)安全。通過實(shí)施身份認(rèn)證再加上對(duì)訪問數(shù)量進(jìn)行控制,這樣就可以很好的防御越權(quán)行為。
除了對(duì)操作人員和安全服務(wù)優(yōu)化之外,還必須要在數(shù)據(jù)上做一些必要的優(yōu)化,提供現(xiàn)代企業(yè)信息網(wǎng)絡(luò)的安全防范。同時(shí)現(xiàn)代企業(yè)信息網(wǎng)絡(luò)的數(shù)據(jù)庫也必須要加密,密碼最好相對(duì)復(fù)雜一些,這樣可以進(jìn)一步讓信息泄露的幾率大大降低,從而更好地起到防范作用。然而隨著信息網(wǎng)絡(luò)技術(shù)的發(fā)展,一般的加密也不再適用,不斷地被破譯,就不得不提高加密技術(shù)。目前使用最為廣泛的就是DES算法與公開密鑰算法等。
2.3 加強(qiáng)網(wǎng)絡(luò)信息主機(jī)的管理
網(wǎng)絡(luò)信息機(jī)房中的主機(jī)安全尤為重要,優(yōu)化主機(jī)安全勢(shì)在必行。因?yàn)橹挥泻侠淼毓芾砭W(wǎng)絡(luò)信息主機(jī),才有更加有效的防范手段。對(duì)主機(jī)的管理包含了安裝的軟件,以及計(jì)算機(jī)的硬件管理。作為現(xiàn)代企業(yè)信息網(wǎng)絡(luò)主機(jī),必須要注意信息來源和帶來的通信大小,不可以很明顯地增加或刪減網(wǎng)絡(luò)通信量的最高值。網(wǎng)絡(luò)信息的主機(jī)管理主要?jiǎng)澐至伺渲谩⒐收?、性能和安全等幾個(gè)比較重要的部分,應(yīng)該對(duì)每一個(gè)部分做出安全優(yōu)化,才能夠提高現(xiàn)代企業(yè)信息網(wǎng)絡(luò)安全。
3 網(wǎng)絡(luò)信息安全優(yōu)化的應(yīng)用
3.1 網(wǎng)絡(luò)信息的安全部署與安全傳輸
NGN定義的各種邊緣進(jìn)入到核心網(wǎng)絡(luò),其中數(shù)據(jù)的安全性非常高,從而達(dá)到NGN網(wǎng)絡(luò)的安全,保障了現(xiàn)代企業(yè)的信息不會(huì)被泄露。NGN的網(wǎng)絡(luò)核心邊緣一般分為以下幾個(gè)大類。
其一,NGN是網(wǎng)絡(luò)經(jīng)過局域網(wǎng)將寬帶和企業(yè)網(wǎng)以及因特網(wǎng)連接起來,從而形成了交界線。NGN就是通過這個(gè)邊緣對(duì)所有用戶提供業(yè)務(wù)和服務(wù)。
其二,NGN是網(wǎng)絡(luò)與網(wǎng)絡(luò)之間的交匯處。
其三,NGN是傳統(tǒng)PSTN網(wǎng)和網(wǎng)絡(luò)的邊緣交界。一般在邊緣和邊緣之間的交界處是不值得信賴,也是安全最大隱患處。所以在邊緣和邊緣之間可以設(shè)置邊緣接入控制器(Board Access Controller),為防火墻與其他企業(yè)的業(yè)務(wù)提供保障,這樣就為企業(yè)的安全起到了更好的保護(hù)作用。另外,通過一些安全機(jī)制讓開放的網(wǎng)絡(luò)IP也和TDM一樣的安全性。
同時(shí),運(yùn)用MPLSVPN的構(gòu)建技術(shù)也是非常獨(dú)立的VPE網(wǎng)絡(luò)。這種方法是基于NGN的網(wǎng)絡(luò)核心,從而把整個(gè)網(wǎng)絡(luò)的IP和網(wǎng)絡(luò)分成好幾個(gè)不通的成分,并將彼此隔離開來使得用戶無法進(jìn)入NGN網(wǎng)絡(luò),進(jìn)而保障企業(yè)網(wǎng)絡(luò)信息的安全。
實(shí)際中,使用更多的是FireWallPC邊緣作為一種保護(hù)機(jī)制。要求相對(duì)而言就會(huì)比較高,還需要不時(shí)地變化不同的密碼。研究NGNDCI就必須得用帶LINUX系統(tǒng)FireWallPC做防火墻用來隔離網(wǎng)絡(luò)核心和因特網(wǎng),從而更好的做到遠(yuǎn)程保護(hù)。
摘 要:在現(xiàn)階段的發(fā)展中,已經(jīng)完全進(jìn)入到網(wǎng)絡(luò)時(shí)代,幾乎所有的工作實(shí)施,都是依靠網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)技術(shù)來進(jìn)行實(shí)施的。為了能夠在今后的網(wǎng)絡(luò)環(huán)境下,實(shí)現(xiàn)工作水平的大幅度提升,必須將企業(yè)信息安全管理更好的鞏固,要求在管理的策略和具體手段上,告別既往的多項(xiàng)不足,要?jiǎng)?chuàng)造出較高的價(jià)值。文章就此展開討論,并提出合理化建議。
關(guān)鍵詞:網(wǎng)絡(luò)環(huán)境;企業(yè);信息安全;管理
從客觀的角度來分析,企業(yè)信息安全管理在開展的過程中,有很多工作的實(shí)施,都不能利用單一的手段來完成。現(xiàn)如今的信息安全,已經(jīng)成為了全社會(huì)都非常矚目的內(nèi)容,如果在最終的工作上表現(xiàn)為缺失現(xiàn)象,不僅容易造成強(qiáng)烈的隱患和沖突,還會(huì)對(duì)很多領(lǐng)域的發(fā)展構(gòu)成嚴(yán)重的威脅,這是需要在日后工作中積極面對(duì)的,不能有任何的嚴(yán)重?fù)p失。
一、網(wǎng)絡(luò)環(huán)境下企業(yè)信息安全管理現(xiàn)狀
1.建立信息安全管理體系框架
從已經(jīng)掌握的情況來看,很多地方的企業(yè)信息安全管理,都在不斷的建立信息安全管理w系框架,希望由此來對(duì)網(wǎng)絡(luò)環(huán)境做出更好的優(yōu)化處理,實(shí)現(xiàn)企業(yè)信息安全管理的更大進(jìn)步。我國在現(xiàn)階段的發(fā)展中,正處于一個(gè)非常重要的階段,企業(yè)更加是國家的核心組成部分,為了更好應(yīng)對(duì)網(wǎng)絡(luò)環(huán)境所帶來的挑戰(zhàn),在相關(guān)的政策、規(guī)范頒布上是比較突出的。例如,國務(wù)院辦公廳在現(xiàn)下的工作中,對(duì)于網(wǎng)絡(luò)環(huán)境開展了深入的分析,同時(shí)先后頒布了特別多的政策、法令,對(duì)于信息安全等級(jí)評(píng)估保護(hù)的具體措施、檢查核實(shí)方法等,都做出了明確的規(guī)范;對(duì)于使用單位信息安全管理制度,做出了進(jìn)一步的深化處理;直接引導(dǎo)、推進(jìn)了信息安全系統(tǒng)的持續(xù)應(yīng)用,在發(fā)展空間上得到了明顯的擴(kuò)大。
2.信息安全管理體系的審核
企業(yè)信息安全管理在開展的過程中,必須在網(wǎng)絡(luò)環(huán)境方面深入的關(guān)注,絕對(duì)不能有任何的違背現(xiàn)象發(fā)生。從既往的工作來看,有些企業(yè)對(duì)于信息安全管理,總是追求短期上的效果,對(duì)長期的規(guī)劃表現(xiàn)不足,雖然很大程度上對(duì)網(wǎng)絡(luò)環(huán)境做出了充分的利用,但實(shí)際上創(chuàng)造的價(jià)值,還是有待提升的。鑒于這種現(xiàn)象的發(fā)生,網(wǎng)絡(luò)環(huán)境下的企業(yè)信息安全管理,開始不斷的做出變革,特別是在信息安全管理體系的審核上,基本上是按照最嚴(yán)格的方法來完成的。例如,在ISMS審核過程中,其主要指的是,機(jī)構(gòu)為驗(yàn)證所有安全程序,采用的系統(tǒng)的、獨(dú)立的檢查和評(píng)價(jià)。通過開展ISMS審核處理,能夠?qū)ι暾?qǐng)認(rèn)證的單位,提供較多的支持與幫助,在企業(yè)信息安全管理方面有綜合的判定與分析。除此之外,ISMS審核工作的開展,還表現(xiàn)為突出的自我保證手段,其能夠?qū)⒍囗?xiàng)問題做出一個(gè)明確的分析,無論是在波及范圍上,還是在具體的處理方式上,都能夠給予較多的參考和指導(dǎo),很少出現(xiàn)嚴(yán)重的偏差。
二、網(wǎng)絡(luò)環(huán)境下企業(yè)信息安全管理的對(duì)策
1.物理安全管理
在現(xiàn)階段的發(fā)展中,網(wǎng)絡(luò)環(huán)境已經(jīng)成為了不可扭轉(zhuǎn)的趨勢(shì),想要在今后的企業(yè)信息安全管理中取得理想的效果,必須將網(wǎng)絡(luò)環(huán)境有效的利用,在硬性規(guī)范下,針對(duì)物理安全管理持續(xù)的加強(qiáng),這是實(shí)踐方面的工作,不能有任何的忽視。簡單而言,物理安全管理在開展的過程中,會(huì)將信息系統(tǒng)開展全面的檢查分析,包括信息系統(tǒng)的保密性、完整性、可用性等等,會(huì)在相關(guān)的硬件設(shè)施上、線路上,都做出詳細(xì)的分析,而后提交相應(yīng)的物理安全管理報(bào)告。企業(yè)根據(jù)這份報(bào)告,再結(jié)合客觀實(shí)際以后,決定具體的改善辦法。在除此之外,物理安全管理在開展的過程中,對(duì)于企業(yè)網(wǎng)絡(luò)工程的設(shè)計(jì)、施工等,都會(huì)產(chǎn)生較大的幫助?,F(xiàn)下的很多企業(yè)信息安全管理,都會(huì)在網(wǎng)絡(luò)工程方面投入較多的努力,為了更好的協(xié)調(diào)網(wǎng)絡(luò)工程的硬件設(shè)備、網(wǎng)絡(luò)體系等,必須在網(wǎng)絡(luò)設(shè)備的安全性、可靠性方面提升。例如,通過物理安全管理的實(shí)施,能夠針對(duì)網(wǎng)絡(luò)設(shè)備、系統(tǒng)的運(yùn)作空間做出分析,在溫度、濕度等物理因素上積極的把控,避免造成嚴(yán)重的損失。
2.人員安全管理
在企業(yè)信息安全管理當(dāng)中,網(wǎng)絡(luò)環(huán)境下的誘惑較多,同時(shí)在相關(guān)的影響因素上,也在不斷的增加。為了確保在企業(yè)信息安全管理方面,能夠按照科學(xué)的方向來前進(jìn),有必要將人員安全管理更好的改善,針對(duì)多項(xiàng)工作的實(shí)施,都要從長遠(yuǎn)的角度來出發(fā),這樣才能更好的提高管理水平。首先,所有的工作人員,在相應(yīng)的權(quán)限上都要積極的設(shè)定,要避免企業(yè)信息安全管理的員工權(quán)限混亂現(xiàn)象,達(dá)到相互之間的制衡效果,避免在信息方面出現(xiàn)嚴(yán)重的泄漏。其次,對(duì)于人員安全管理,有必要開展技術(shù)性的專業(yè)培訓(xùn),要求列舉大量的技術(shù)案例分析,讓所有的工作人員意識(shí)到,錯(cuò)誤的工作方法,以及某些極端的行為,會(huì)給企業(yè)帶來嚴(yán)重的損失,部分情況下,甚至?xí)a(chǎn)生法律上的責(zé)任和問題,要求員工在態(tài)度上,以及工作實(shí)踐上,都可以嚴(yán)格的要求自己,而后對(duì)將來的工作負(fù)責(zé)。第三,必須積極的招聘、引進(jìn)網(wǎng)絡(luò)人才,將企業(yè)信息安全管理的體系不斷健全,尤其是在網(wǎng)絡(luò)平臺(tái)的打造、客戶端的建設(shè)、日常信息管理措施的實(shí)施上,都要形成良性工作循環(huán)。
3.軟件應(yīng)用和系統(tǒng)安全管理
網(wǎng)絡(luò)環(huán)境下的企業(yè)信息安全管理,表現(xiàn)為持續(xù)進(jìn)步的特點(diǎn),根本不可能長久維持在固有的水平上。我們?cè)趯?shí)施企業(yè)信息安全管理的過程中,對(duì)于軟件應(yīng)用和系統(tǒng)安全管理,必須不斷的加深研討,要從多個(gè)角度出發(fā),創(chuàng)造出較高的價(jià)值。首先,軟件應(yīng)用上,企業(yè)必須根據(jù)自身的需求,為不同層級(jí)、不同部門的員工,選定差異化的工作軟件,要提高工作質(zhì)量和工作效率。同時(shí),對(duì)于軟件本身的分析要不斷的拓展,從是否付費(fèi)、是否存在軟件沖突、是否具備較高的兼容性等方面,均要進(jìn)行大量的探討,要防止造成工作上的嚴(yán)重疏漏,提高工作效率。其次,對(duì)于系統(tǒng)安全管理而言,必須堅(jiān)持定期維護(hù)、更新,要求從外部聘請(qǐng)專業(yè)人員,進(jìn)行系統(tǒng)的積極分析和測試,發(fā)現(xiàn)問題后,及時(shí)的采用網(wǎng)絡(luò)技術(shù)來彌補(bǔ),同時(shí)增加相應(yīng)的軟件防護(hù)和程序補(bǔ)丁,促使系統(tǒng)的日常運(yùn)營,能夠達(dá)到更加穩(wěn)定的目標(biāo)。
4.設(shè)備的運(yùn)行與安全管理
除了上述的幾項(xiàng)工作內(nèi)容外,企業(yè)信息安全管理在實(shí)施的過程中,還需要在設(shè)備的運(yùn)行與安全管理上投入較多的努力。當(dāng)下的設(shè)備研究力度有所加深,特別是在重要元件上,市場上的更新?lián)Q代速度不斷的加快,企業(yè)必須對(duì)設(shè)備本身、設(shè)備元件開展積極的分析,不能盲目的跟風(fēng)更換,也不能長久的維持在既有的水準(zhǔn)上,要確保設(shè)備的運(yùn)行,能夠長期保持在高效狀態(tài),可以將安全管理工作更好的改善,減少矛盾。網(wǎng)絡(luò)系統(tǒng)穩(wěn)定高效的運(yùn)行,對(duì)于企業(yè)來說是非常重要的。企業(yè)要加強(qiáng)對(duì)網(wǎng)絡(luò)的科學(xué)管理,及時(shí)排除網(wǎng)絡(luò)故障,對(duì)設(shè)備、運(yùn)行安全進(jìn)行全方位管理,是保障信息系統(tǒng)安全的重要前提。設(shè)備、運(yùn)行安全管理包括設(shè)備的選型、檢測、安裝、登記、使用、維修、儲(chǔ)存以及故障管理、性能管理、變更管理和排障工具等。隨著網(wǎng)絡(luò)普及和企業(yè)信息化業(yè)務(wù)的不斷拓展,信息成為一種重要的戰(zhàn)略資源,信息安全保障能力成為一個(gè)企業(yè)綜合能力的重要組成部分。
三、總結(jié)
本文對(duì)網(wǎng)絡(luò)環(huán)境下企業(yè)信息安全管理展開討論,現(xiàn)階段的工作實(shí)施中,整體上得到的效果比較顯著,未表現(xiàn)出嚴(yán)重的隱患。日后,應(yīng)該在網(wǎng)絡(luò)環(huán)境方面不斷的優(yōu)化,將企業(yè)信息安全管理的體系不斷的健全。除此之外,在開展企業(yè)信息安全管理時(shí),一定要持續(xù)性的實(shí)施,要不斷的跟隨國家倡導(dǎo)內(nèi)容,對(duì)社會(huì)潮流做出把控,在重點(diǎn)工作上積極的提升。
參考文獻(xiàn):
[1]于倩,李靈君.網(wǎng)絡(luò)環(huán)境下企業(yè)信息安全管理的對(duì)策分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2017,(01):16-17.
[2]錢濃林,洪芳華,朱利軍,肖鋒,徐F欣.”互聯(lián)網(wǎng)+“環(huán)境下企業(yè)信息安全管理策略[J].經(jīng)營與管理,2017,(01):128-130.
[3]張黎明.網(wǎng)絡(luò)環(huán)境下企業(yè)信息安全管理的對(duì)策分析[J].商,2016,(19):2.
[4]宋晴.網(wǎng)絡(luò)環(huán)境下企業(yè)信息安全管理對(duì)策研究[J].通訊世界,2015,(14):256.
在21世紀(jì)的社會(huì)發(fā)展新時(shí)代,網(wǎng)絡(luò)、計(jì)算機(jī)、信息技術(shù)被大量的企業(yè)納入到自身的生產(chǎn)經(jīng)營管理之中,在基本運(yùn)行中會(huì)涉及到企業(yè)眾多的機(jī)密文件和信息,直接關(guān)系的企業(yè)的發(fā)展運(yùn)行,所以,一旦出現(xiàn)安全問題就會(huì)對(duì)企業(yè)產(chǎn)生重要的影響。
所以,在不斷深化的應(yīng)用中,企業(yè)開始注重對(duì)信息安全的管理,并通過多樣化的技術(shù)手段和方式來進(jìn)行強(qiáng)化,但是這樣的方式?jīng)Q定了對(duì)安全管理的有效性不能進(jìn)行合理的把握和控制,并且對(duì)整體的安全水準(zhǔn)也沒有實(shí)現(xiàn)準(zhǔn)確的衡量。所以,如果企業(yè)只是強(qiáng)化了信息安全在技術(shù)方面的建設(shè),而并沒有開展有效的安全管理評(píng)估工作,就會(huì)使信息安全系統(tǒng)在整體的規(guī)劃中存在缺陷和漏洞,所以,進(jìn)行信息安全管理的有效性測量是極為重要的。
企業(yè)也逐漸認(rèn)識(shí)到其重要性,使得近年來,我國企業(yè)對(duì)于信息安全有效性的測量需求不斷增多,但是,在這方面我國起步較晚,存在著很多不足和缺陷,這就需要在有效的研究中尋找適當(dāng)?shù)姆椒▉硖嵘郎y量的整體有效性。
一、信息安全管理有效性測量的目的
通過實(shí)現(xiàn)有效性的測量,能夠真實(shí)評(píng)估和反映企業(yè)信息安全管理的整體水平,以使企業(yè)在后續(xù)的信息安全管理中有明確的發(fā)展目標(biāo)和整體方向。企業(yè)進(jìn)行信息系統(tǒng)的建立時(shí),往往會(huì)依據(jù)企業(yè)自身的發(fā)展需求、信息組成、安全標(biāo)準(zhǔn)、組織結(jié)構(gòu)、利益關(guān)系等方面的需求進(jìn)行,進(jìn)而構(gòu)筑相應(yīng)的信息安全的整體體系和相關(guān)模型。
通過對(duì)企業(yè)的信息安全管理進(jìn)行有效性的測量,可以在技術(shù)的管理支撐下客觀真實(shí)的反映企業(yè)信息管理的整體性評(píng)估,會(huì)能實(shí)現(xiàn)對(duì)企業(yè)信息安全管理目標(biāo)的運(yùn)行程度進(jìn)行說明,并能對(duì)企業(yè)信息安全管理的系統(tǒng)效能開展準(zhǔn)確科學(xué)的評(píng)測,為企業(yè)提供進(jìn)行信息安全管理考核的基本依據(jù)[1]。
就企業(yè)的整體發(fā)展實(shí)際來看,如果不開展信息安全管理的有效性測量,會(huì)使企業(yè)的整體管理水平只依賴于基本測評(píng)狀態(tài)下的運(yùn)行管理水平,難以同真實(shí)的信息安全運(yùn)行環(huán)境相脫離,造成企業(yè)在安全管理過程中的漏洞和誤差,使得企業(yè)在正常的運(yùn)營和發(fā)展中的實(shí)際需求同所進(jìn)行信息安全管理的整體水平不相一致,并且在對(duì)基礎(chǔ)環(huán)節(jié)下的表面數(shù)據(jù)有所依賴時(shí),并不能發(fā)現(xiàn)運(yùn)行中的不足和缺陷,更遑論進(jìn)行有效合理的解決,極大化的為企業(yè)的發(fā)展運(yùn)行埋下了信息安全的運(yùn)行隱患。
而通過有效性的測量活動(dòng),能夠準(zhǔn)確的將企業(yè)在信息安全方面的漏洞進(jìn)行定位,并且還能夠有效指導(dǎo)基本的解決策略,有效保障企業(yè)信息管理系統(tǒng)的整體安全和有效。
二、信息安全管理有效性的測量方法
在開展信息安全管理有效性的測量時(shí),需要對(duì)進(jìn)行測量的指標(biāo)進(jìn)行量化的處理,并最終形成具有實(shí)際可行性的量化測量指標(biāo)。在測量中,不同的指標(biāo)則需要不同的測量方法來進(jìn)行,一般而言,具有風(fēng)險(xiǎn)分析、問卷調(diào)查、內(nèi)部審核、滲透性測試、個(gè)人訪談、內(nèi)外對(duì)比、風(fēng)險(xiǎn)評(píng)估、報(bào)表統(tǒng)計(jì)等不同的方法。
通過不同指標(biāo)的不同測量之后,能夠得得出各個(gè)指標(biāo)的測度結(jié)果,在此基礎(chǔ)上再根據(jù)不同的技術(shù)需要對(duì)結(jié)果進(jìn)行科學(xué)有效的取值管理,給各個(gè)指標(biāo)賦予不同的安全分險(xiǎn)權(quán)重,然后綜合計(jì)算企業(yè)信息安全管理有效性的整體水平[2]。比如在進(jìn)行信息安全管理整體運(yùn)行的有效性測量時(shí),在對(duì)基本技術(shù)要求進(jìn)行測量評(píng)估時(shí),還需要對(duì)企業(yè)的環(huán)境安全、人員安全、業(yè)務(wù)聯(lián)系、安全意識(shí)、事件管理等開展管理有效性的評(píng)估,以保障最終結(jié)果的綜合有效性。
在信息安全管理有效性的測量發(fā)展中,相關(guān)專業(yè)機(jī)構(gòu)提出了同通過整體的系統(tǒng)模型來實(shí)現(xiàn)信息系統(tǒng)的整體安全性的方法。通過信息安全測量模型的建立,將信息系統(tǒng)運(yùn)行中需要進(jìn)行安全檢測的對(duì)象中的某一些屬性在通過一系列的檢測管理過程之后,得出最后的測量結(jié)果,其中最為重要的就是測量方法和基本測度。將測量對(duì)象的多個(gè)屬性應(yīng)用不同的測量方法之后就能夠得到基本測度,而基本測量方法的獲取是通過多樣化的數(shù)據(jù)資源進(jìn)行測量對(duì)象的數(shù)據(jù)獲取,比如風(fēng)險(xiǎn)評(píng)估結(jié)果、日志報(bào)表統(tǒng)計(jì)記錄、調(diào)查表、測量結(jié)果等途徑。
就我國當(dāng)前進(jìn)行信息安全管理有效性測量的方式而言,在設(shè)定環(huán)節(jié)相對(duì)復(fù)雜和冗余,但在基本的項(xiàng)目實(shí)踐中得出如下的基本運(yùn)行方法:
2.1審計(jì)監(jiān)控系統(tǒng)回顧
在進(jìn)行檢測時(shí),需要盡可能的發(fā)現(xiàn)各個(gè)環(huán)節(jié)所存在違反和潛在信息安全的現(xiàn)象和事件,以實(shí)現(xiàn)有效的防治,實(shí)現(xiàn)影響的最小化[3]。
2.2糾正預(yù)防措施驗(yàn)證
對(duì)已經(jīng)納入整體有效性測量計(jì)劃的糾正預(yù)防措施,在開展檢測時(shí)進(jìn)行檢查和回顧,以保證檢驗(yàn)過程中對(duì)于信息安全管理系統(tǒng)所采取的各項(xiàng)措施是否合乎當(dāng)下的現(xiàn)狀和企業(yè)具體要求。
2.3信息安全事故統(tǒng)計(jì)
主要是對(duì)已經(jīng)發(fā)生過的安全事件進(jìn)行統(tǒng)計(jì)和分析,以為檢測的有效性提供更加高效合理的方法指引,以實(shí)現(xiàn)進(jìn)行更高角度的評(píng)估以及在控制措施方面的有效性。
這樣的方式是將基本的計(jì)劃和檢測方式實(shí)現(xiàn)了有效的結(jié)合,并在各種方法的支撐下,實(shí)現(xiàn)綜合型的檢測,做到有效的預(yù)防和糾正,從不同的層面反應(yīng)了進(jìn)行信息安全檢測的有效性,并保障整體運(yùn)行體系的完整有效性,進(jìn)而形成一個(gè)有效的良性循環(huán)。
三、結(jié)束語
就我國的整體實(shí)際而言,信息安全管理有效性的測量方法,還處于基礎(chǔ)的起步階段,而且相關(guān)的各項(xiàng)理論研究和測量指標(biāo)等也均沒有達(dá)到完善的階段,這就需要進(jìn)行不斷的發(fā)展和探索,而且實(shí)踐證明,進(jìn)行信息安全管理有效性的研究是有著極為廣闊的發(fā)展前景的,在保障整體信息運(yùn)行管理的安全性基礎(chǔ)上,能夠使企業(yè)提升整體的競爭力和自身生存能力,并且能夠?qū)y量中發(fā)現(xiàn)的問題和相關(guān)數(shù)據(jù)進(jìn)行分析,然后具有針對(duì)性的使企業(yè)所存在的風(fēng)險(xiǎn)得到最大化的控制,最終達(dá)到基本業(yè)務(wù)的正常有效運(yùn)行。
在計(jì)算機(jī)網(wǎng)絡(luò)迅猛發(fā)展和廣泛普及的時(shí)代,企業(yè)的各種經(jīng)營活動(dòng)都立足于計(jì)算機(jī)網(wǎng)絡(luò)平臺(tái),因此網(wǎng)絡(luò)安全一旦受到威脅,企業(yè)將面臨直接的經(jīng)濟(jì)損失,更有可能給社會(huì)和整個(gè)國家?guī)砭薮蟮陌踩[患?,F(xiàn)階段,我國的大中型企業(yè)隨著業(yè)務(wù)的不斷壯大,網(wǎng)絡(luò)規(guī)模也不斷擴(kuò)充。有些企業(yè)各地都有分公司,在不同的區(qū)域都建有局域網(wǎng),這樣一個(gè)分布全國各地的龐大的網(wǎng)絡(luò)體系就成為企業(yè)運(yùn)行的技術(shù)保障。這種企業(yè)的網(wǎng)絡(luò)安全更需要強(qiáng)有力的保障,否則一旦出現(xiàn)問題便有可能帶來災(zāi)難性的后果。
1.1Internet的安全性
互聯(lián)網(wǎng)是把雙刃劍,在給企業(yè)帶來極大便利的同時(shí),也不可避免地給企業(yè)的運(yùn)營帶來了極大風(fēng)險(xiǎn)。因?yàn)楹诳团c病毒無孔不入,稍有疏漏,就可能使整個(gè)網(wǎng)絡(luò)遭受攻擊,并帶來不可逆轉(zhuǎn)的損害。因此,建立科學(xué)的網(wǎng)絡(luò)體系,保障系統(tǒng)網(wǎng)絡(luò)安全迫在眉睫。
1.2大中型企業(yè)內(nèi)網(wǎng)的安全性
ERP、OA和CAD等生產(chǎn)和辦公系統(tǒng)已經(jīng)在企業(yè)中得到普遍性應(yīng)用,隨之而來的就是企業(yè)對(duì)這些系統(tǒng)的高依賴性。這樣帶來的另一個(gè)問題是內(nèi)網(wǎng)面臨的風(fēng)險(xiǎn)。內(nèi)網(wǎng)運(yùn)行穩(wěn)定、可靠、可控才能保障日常生產(chǎn)和辦公的進(jìn)行,一定程度上,將內(nèi)網(wǎng)信息網(wǎng)絡(luò)比作企業(yè)的生命線也不為過。這個(gè)內(nèi)網(wǎng)同時(shí)由大量終端設(shè)備,大中小型服務(wù)器,各種網(wǎng)絡(luò)設(shè)備構(gòu)成,這個(gè)其中每一個(gè)部分都要確保正常工作,否則一點(diǎn)小問題都有可能引發(fā)網(wǎng)絡(luò)的停滯甚至癱瘓。但目前大中型企業(yè)的內(nèi)網(wǎng)安全依然存在很多安全隱患,主要表現(xiàn)為以下幾種情形:對(duì)外服務(wù)器缺少安全防護(hù)遭到黑客攻擊;員工上網(wǎng)過程缺乏有效監(jiān)管,一方面會(huì)造成網(wǎng)絡(luò)安全隱患,另一方面也影響工作效率;此外還有一些內(nèi)部的服務(wù)器被非法訪問,造成企業(yè)信息的外泄。
2大中型石油企業(yè)信息網(wǎng)絡(luò)安全威脅及安全體系構(gòu)建
2.1大中型石油企業(yè)面臨的信息網(wǎng)絡(luò)安全威脅
進(jìn)入21世紀(jì)以來,大中型石油企業(yè)對(duì)數(shù)字化信息網(wǎng)絡(luò)建設(shè)可謂不遺余力,軟硬件的建設(shè)開發(fā)中,信息網(wǎng)絡(luò)的安全性卻未得到足夠的重視。由于對(duì)網(wǎng)絡(luò)安全防護(hù)重視程度不夠,我國的大中型石油企業(yè)長期飽受網(wǎng)絡(luò)安全的困擾。有相關(guān)調(diào)查顯示,我國企業(yè)中,約有41%經(jīng)常受到惡意軟件和間諜的入侵,63%的企業(yè)經(jīng)常遭受病毒或蠕蟲攻擊。而就大中型石油企業(yè)而言,不僅面臨著外部病毒的攻擊,同時(shí)內(nèi)部人員的信息泄露也考驗(yàn)著企業(yè)的網(wǎng)絡(luò)安全。由于員工信息安全意識(shí)淡薄,上網(wǎng)過程又缺乏有效監(jiān)管,在員工無意識(shí)的情況下,就可能引起發(fā)一系列問題。比如,企業(yè)機(jī)密信息的泄露,各種垃圾郵件的充斥,各種網(wǎng)絡(luò)病毒的侵襲,黑客的攻擊等等,這些問題隨著信息化的發(fā)展進(jìn)程和企業(yè)經(jīng)濟(jì)發(fā)展利益競爭白熱化,成為大中型石油企業(yè)最為棘手的問題。
2.2大中型石油企業(yè)網(wǎng)絡(luò)安全體系的全方位構(gòu)建
隨著網(wǎng)絡(luò)攻擊的多元化,攻擊方式也是五花八門。傳統(tǒng)的只針對(duì)網(wǎng)絡(luò)層面以下的安全對(duì)策已經(jīng)不足以應(yīng)對(duì)如今復(fù)雜的網(wǎng)絡(luò)安全情況,企業(yè)必須要建立起多層次多元化的安全體系才能有效提升企業(yè)網(wǎng)絡(luò)信息安全指數(shù)。大中型石油企業(yè)信息網(wǎng)絡(luò)安全的五個(gè)重要組成:物理安全、鏈路安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、信息安全。
1)物理安全。物理安全是整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提,物理安全旨在為企業(yè)提供一個(gè)安全可靠的物理運(yùn)行環(huán)境,這個(gè)更多指對(duì)企業(yè)相應(yīng)硬件設(shè)施的安全防護(hù),比如,企業(yè)服務(wù)器、數(shù)據(jù)介質(zhì)、數(shù)據(jù)庫等、
2)鏈路安全。鏈路安全指的是信息輸送通道。數(shù)據(jù)傳輸過程中能夠確保內(nèi)容安全、可靠、可控、能有效抵御攻擊。常見的幾種數(shù)據(jù)鏈路層安全攻擊有MAC地址擴(kuò)散、ARP攻擊與欺騙、DHCP服務(wù)器欺騙與DHCP地址耗盡、IP地址欺騙。
3)網(wǎng)絡(luò)安全。這主要針對(duì)于系統(tǒng)信息方面。這個(gè)是涵蓋范圍相對(duì)廣泛的一個(gè)方面。比如,用戶口令鑒別,計(jì)算機(jī)病毒防治,用戶存取權(quán)限控制,數(shù)據(jù)存取權(quán)限,數(shù)據(jù)加密等都屬于網(wǎng)絡(luò)安全范疇。
4)系統(tǒng)安全。系統(tǒng)的正常運(yùn)行是企業(yè)日常生產(chǎn)和運(yùn)行的根本保障。但是,系統(tǒng)出現(xiàn)崩潰、損壞的風(fēng)險(xiǎn)依然存在,這就需要能夠有一套有效的風(fēng)險(xiǎn)預(yù)防機(jī)制和辦法。能夠確保系統(tǒng)崩潰時(shí)對(duì)相關(guān)信息實(shí)現(xiàn)最大化備份,同時(shí)能夠具備保密功能,防止系統(tǒng)崩潰后的信息外漏。
5)信息安全。這就要分信息的傳播安全和信息的內(nèi)容安全。很大程度上是對(duì)不良信息的有效過濾和攔截。側(cè)重于對(duì)非法、有害信息可能造成的不良后果的有效遏止。信息內(nèi)容角度更側(cè)重于對(duì)信息保密性、真實(shí)和完整的保護(hù),防止網(wǎng)絡(luò)黑客對(duì)信息的截留、篡改和刪除等手段來達(dá)到損害企業(yè)利益的行為,本質(zhì)上是對(duì)企業(yè)利益和隱私的保護(hù)。
2.3大中型石油企業(yè)安全設(shè)計(jì)的基本原則
信息保密性、真實(shí)性、完整性、未授權(quán)拷貝、寄生系統(tǒng)的安全性等五個(gè)方面的內(nèi)容構(gòu)成了信息安全的整體統(tǒng)一。信息安全的原則也就指明了大中型石油企業(yè)“數(shù)字化”網(wǎng)絡(luò)建設(shè)安全設(shè)計(jì)的基本原則。
1)保密性:對(duì)授權(quán)用戶的保護(hù)和對(duì)非授權(quán)用戶的防止,信息利用的用戶、實(shí)體的專屬性。
2)完整性:信息的輸入和傳輸要確保完整,防止非法的篡改或者破壞,保證數(shù)據(jù)的穩(wěn)定和一致。
3)可用性:針對(duì)授權(quán)用戶而言要確保其合理使用的特性。
4)可控性:信息能夠在處理、傳遞、存儲(chǔ)、輸入、輸出等環(huán)節(jié)中有可控能力。
3大中型石油企業(yè)網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)漏洞的成因及一些防范措施
網(wǎng)絡(luò)信息流量幾何式增長,大中型石油企業(yè)信息資源對(duì)系統(tǒng)的應(yīng)用也日漸成熟,生產(chǎn)經(jīng)營數(shù)據(jù)也日益增多。與此同時(shí),國內(nèi)大中型石油企業(yè)信息系統(tǒng)安全問題日益突出。因而,如何保障大中型石油企業(yè)信息數(shù)據(jù)安全,全面建立安全保障體系,這就顯得愈發(fā)重要。應(yīng)從內(nèi)因和外因上進(jìn)行分析和預(yù)防。內(nèi)因上,處于方向性決策的管理層對(duì)網(wǎng)絡(luò)信息安全的防護(hù)意識(shí)不強(qiáng),不夠重視。這類人群往往關(guān)注的是信息化進(jìn)程給企業(yè)帶來的收益,對(duì)于安全隱患和潛在的威脅卻往往忽視。此外,在信息化發(fā)展進(jìn)程中,大中型石油企業(yè)在數(shù)據(jù)化硬件建設(shè)中容易競爭對(duì)比,但是對(duì)于數(shù)據(jù)的管理安全性建設(shè)要求不高。其次,網(wǎng)絡(luò)信息安全建設(shè)不是一蹴而就的,相反是一個(gè)長期過程,需要不斷進(jìn)行系統(tǒng)補(bǔ)丁的更新。其一,信息系統(tǒng)連接于因特網(wǎng),開放的網(wǎng)絡(luò)環(huán)境帶來的是企業(yè)信息安全的脆弱。其二,大中型石油企業(yè)信息化建設(shè)往往求新不求穩(wěn)。云計(jì)算,物聯(lián)網(wǎng),只要是當(dāng)下發(fā)展流行技術(shù)都會(huì)上馬,而不充分考慮技術(shù)的實(shí)際應(yīng)用于企業(yè)的現(xiàn)實(shí)貼合。多系統(tǒng)的復(fù)雜應(yīng)用帶來的是更多、更高的系統(tǒng)漏洞風(fēng)險(xiǎn)。再次,大中型石油企業(yè)在信息安全技術(shù)團(tuán)隊(duì)建設(shè)上海相對(duì)滯后,缺乏強(qiáng)有力的信息安全維護(hù)團(tuán)隊(duì)帶來的是企業(yè)信息安全的高風(fēng)險(xiǎn)。這往往是因?yàn)榇笾行褪推髽I(yè)往往將預(yù)算優(yōu)先分配于能夠直接帶來經(jīng)濟(jì)效益的生產(chǎn)方面,對(duì)于見不到短期回報(bào)的信息安全防護(hù)支出是能少則少。然而,一旦企業(yè)信息泄露帶來的可能是災(zāi)難性的后果,因而,有水平有業(yè)務(wù)能力的專業(yè)信息安全維護(hù)隊(duì)伍建設(shè)至關(guān)重要。外因上,一些不可抗力造成的硬件設(shè)備損壞,外部對(duì)企業(yè)信息的攻擊,相關(guān)法律法規(guī)還不夠健全等等因素都是影響企業(yè)信息安全的外因。因而,加強(qiáng)大中型石油企業(yè)的安全防范可從四個(gè)方面著手。在機(jī)制層面,第一,管理層要對(duì)信息安全有強(qiáng)意識(shí),第二,信息安全意識(shí)要滲透到整個(gè)企業(yè)。進(jìn)而建立企業(yè)信息安全管理、運(yùn)行、檢測體系。另外,在面對(duì)一些風(fēng)險(xiǎn)來臨之時(shí),能夠有有效的應(yīng)急機(jī)制加以應(yīng)對(duì)。在技術(shù)面,技術(shù)指標(biāo)相對(duì)可量化,過硬的技術(shù)實(shí)力是保證大中型石油企業(yè)信息安全的關(guān)鍵,所以說,提高對(duì)信息安全水平的投資力度,建設(shè)高水平,高素質(zhì)的技術(shù)隊(duì)伍顯得尤為重要。在系統(tǒng)安全性建設(shè)層面,大中型石油企業(yè)在信息系統(tǒng)安全性建設(shè)之初就要結(jié)合企業(yè)實(shí)際充分考慮信息系統(tǒng)需要的安全保護(hù)等級(jí)以及架構(gòu)建設(shè),對(duì)后期風(fēng)險(xiǎn)能夠有科學(xué)的分析與控制建議。在企業(yè)人員素養(yǎng)層面,大中型石油企業(yè)能夠在技術(shù)層面實(shí)現(xiàn)對(duì)企業(yè)信息安全的保障,就需要企業(yè)能夠有具備專業(yè)技術(shù)業(yè)務(wù)水準(zhǔn)的網(wǎng)絡(luò)信息技術(shù)安全人員隊(duì)伍。從設(shè)計(jì)到操作到運(yùn)維都離不開專業(yè)的技術(shù)人員。這些網(wǎng)絡(luò)管理技術(shù)人員還要能夠在后期不斷得到組織和學(xué)習(xí),不斷得到新的知識(shí)補(bǔ)充,能夠讓這些技術(shù)人員時(shí)刻與最前沿的IT科技接軌。
4結(jié)束語
“中國企業(yè)員工的信息安全意識(shí)可謂不容樂觀,提升員工信息安全意識(shí)刻不容緩。”谷安天下副總經(jīng)理魏彩霞對(duì)當(dāng)前企業(yè)員工的信息安全意識(shí)現(xiàn)狀表示擔(dān)憂,“不同行業(yè)的信息安全意識(shí)現(xiàn)狀不同,電信、金融等行業(yè)由于業(yè)務(wù)的特殊性,安全意識(shí)較高,而其他行業(yè)的信息安全意識(shí)整體狀況則依舊薄弱”。
調(diào)查顯示,接近50%的受訪者認(rèn)為單位領(lǐng)導(dǎo)的信息安全意識(shí)一般、很差或者還不如自己。而據(jù)魏彩霞介紹,一些企業(yè)中即使領(lǐng)導(dǎo)非常重視信息安全,希望提升員工的保密意識(shí),但“只是看到別人的明文密碼導(dǎo)致信息泄漏就更改自己的網(wǎng)頁設(shè)置等單個(gè)事件,并不能系統(tǒng)地提升企業(yè)員工整體的信息安全意識(shí)”。
由于員工信息安全意識(shí)薄弱而給企業(yè)帶來災(zāi)難性損失的案例屢見不鮮。據(jù)統(tǒng)計(jì),世界上每分鐘就有兩家企業(yè)因?yàn)樾畔踩膯栴}而倒閉。而在所有信息安全事件中,只有20%~30%是因?yàn)楹诳腿肭只蚱渌獠吭蛟斐?,另?0%~80%是由于內(nèi)部員工的疏忽或有意泄漏造成,而78%的企業(yè)數(shù)據(jù)泄漏是由于內(nèi)部員工不規(guī)范的操作造成的。