企業信息安全建設
前言:想要寫出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇企業信息安全建設范文,相信會為您的寫作帶來幫助,發現更多的寫作思路和靈感。
企業信息安全建設范文第1篇
1工作思路
1.1現狀分析
縣級供電企業在原有的局域網絡,由于沒有外網進行隔離,管理制度不健全,且管理比較混亂,在局域網內的計算機終端可以隨意聯網,缺乏桌面管理的相關軟件,個人私自換機與路由器的情況也時有發生,這已經嚴重的威脅縣級供電企業內部網絡信息安全并且影響企業的經濟效益。
1.2工作思路
為了加強縣級信息安全的管理,強化企業日常信息安全的監督與應急處理能力,防范信息安全問題的發生,提高縣級供電企業整體信息安全建設水平,企業應該重新制定與規劃信息安全的監管制度,以及企業內部計算機使用規范,與一定的懲罰措施等。指定企業內部信息安全的負責人,對造成企業信息安全問題的人員給予嚴重的處罰。在企業內部的局域網增加防火墻,企業局域網內的所有終端設備統一安裝由省供電企業統一部署的桌面管理系統與趨勢殺毒軟件,再配備高質量的移動存儲介質用來備份重要的信息資源,最大限度的降低信息安全所帶來的隱患,確保企業的信息安全。
2主要做法
2.1加快組織機構和制度的建設
縣級供電企業應該成立主管信息安全工作的組織,以企業中層信息管理者為組長,建立一整套企業信息安全管理體系,實行統一領導,分級管理,各個部門主要負責本單位內部信息安全的管理工作。企業信息安全管理小組主要負責本企業信息安全的重大事項的決策與企業內部的協調工作。企業領導者與各部門簽訂信息安全責任書,且企業全體員工簽訂安全保密工作承諾書,并對企業的全體員工進行“八不準、三個不發生”信息安全宣傳,明確誰使用,誰負責的信息安全原則。將信息安全管理納入企業的戰略管理層面上來,實行專業化管理與監督,企業的信息部門負責管理企業信息安全保障工作,并負責指導、檢查與協調企業各部門的信息安全工作,組織落實企業信息安全工作的制度,對企業的信息系統的安全性進行評估。組織企業信息系統安全的宣傳與對企業員工進行信息安全基本常識的培訓。
2.2全企業信息系統的管理體系
完善信息安全管理的制度,主要包括:企業各級信息安全崗位職責與巡視制度。建立健全信息流程控制,員工進行數據錄用之前,首先要保證信息系統數據的合理性與合法性以及安全性,更為重要的是進行信息系統的安全管理,于此時同時,引進與強化計算機自動控制系統,以確保計算機系統與數據的安全性和數據處理的可靠性。
2.3建立信息系統的管理模型
信息主要體現三個方面的屬性:信息的可行性、信息的保密性以及信息的完整性。在信息安全管理工作中者三個屬性都是非常重要,對于縣級供電企業而言,保障信息安全的直接原因是確保企業信息的保密性。縣級供電企業信息的完整性與信息的可用性在從一方面來講是信息安全屬性中的附屬屬性,因此信息的保密性對于縣級供電企業來講顯得尤為重要。由此,而提出了有針對性的管理方法與管理模型。管理模型具體內容“執行力”、“堵”、“護”是信息安全管理簡化的總結。
2.3.1執行力:縣級供電企業建設企業文化與信息安全相互適應的體系縣級供電企業的信息安全系統必須能夠適應縣級供電企業文化。信息安全的管理方法不能與企業文化相互沖突,信息安全要有與之相適應的技術支持、監督管理方法等都會有效的提高縣級供電企業的信息安全水平。如果信息安全系統不能適應企業文化,企業的信息安全工作就不能有效的進行。
2.3.2堵:信息傳播途徑的管理“堵”針對的是信息傳遞的途徑管理,研究分析信息傳輸的各個途徑,禁止非法信息的訪問及傳遞。“堵”的工作在信息安全管理中是一個長期的工作,并且會隨著技術水平的進步,信息傳播的途徑也會越來越多,傳播的方法也會不斷的更新。“堵”的方法主要是由技術人員在信息的安全管理和計算機系統以及通信管理等方面進行。人員的安全管理是“堵”的核心內容,電力企業的信息資料都是由人來控制與管理的。對于人的管理也就是信息資料的管理,對于人的管理也是信息安全管理體系中最難的一部分。其中有這樣一句話“在企業中信息安全最大的風險在于一些心懷不測的員工可能帶來的風險”。即使這樣我們依舊可以使用一些有效的措施,對供電企業核心人員的管理,進而提升信息安全管理的水平。物力安全管理也是信息安全管理的重要一部分,對于縣級供電企業的機房等核心區域,要加強其管理力度,可以建立門禁系統,在此方面來減少信息安全的一些漏洞。網絡安全和計算機系統如今是發展最快的內容。市面上已經有非常多的安全產品用來解決一些安全方面的問題。對于安全產品的選擇應結合縣級供電企業現有系統,選擇的產品要能與現有系統相互兼容,有效的提高信息安全管理的水平。
2.3.3護:信息資源的保護信息安全的保護工作的根本目的是針對縣級供電企業重要且價值巨大的信息資料進行保護,這樣縣級供電公司信息安全工作可以有效的提高工作效率。一個縣級供電企業來說企業的投入的資源總是有限的,對于信息安全投入也是同樣的道理,怎樣才能在有限的投入為企業來取得最大的經濟效益,才是最明智的選擇。對于縣級供電企業來講重要的、價值巨大的信息資料的保護才是企業領導最應該關心的問題。核心信息資產的保護主要是通過核心流程梳理、容災和備份、文檔安全管理、數據保密、資產分級管理等一系列方法與手段對企業的核心信息進行管理保護。核心流程梳理:主要是由企業核心的業務流程,對其進行有效梳理,對于企業核心流程產生的信息進行分權與分級管理,這種管理是對企業核心信息在企業的整個生命周期進行管理。主要是由一些專業人員來主導進行的。容災和備份:對一些重要的信息,應該定期的進行備份,這樣可以在發生信息資源丟失或者損壞的情況下可以避免企業的損失。文檔安全管理:主要是對于企業比較重要的紙質文檔通過人工手段采取保護的手段,確保企業核心文檔資料的保密性。可以借助于文檔安全類的產品來實現。數據保密:數據的保密工作可以采用多種形式進行,以防止第三方盜取數據。縣級供電企業的大多數信息是存放在應用系統和數據庫中,對于數據庫的安全保護線的尤為重要。可以采取數據加密,數據備份等形式加以保護。
3結束語
執行力、堵、護在縣級供電企業的信息安全管理特別是在縣級供電企業信息安全管理的起步階段,會起到非常不錯的指導效果。隨著縣級供電企業信息安全管理的不斷完善,信息安安管理體系的建設可以這對企業所處不同的環境做進一步具體內容。信息安全管理水平的提高可以有效地提升縣級供電企業的市場競爭力,提高企業的經濟效益。
作者:馬遠 李恒 單位:國網河南省電力公司滎陽市供電公司
參考文獻:
[1]王凱麗.加強縣級供電企業信息安全建設和管理[J].科技與企業,2013(10):77~79.
[2]王衛平.企業信息安全管理研究[J].學術研究,2007(6):113~116.
企業信息安全建設范文第2篇
關鍵詞: 縣級供電企業;信息網絡;安全體系;安全建設
中圖分類號:C29 文獻標識碼:A 文章編號:
前言
隨著電力信息網的互聯和完全溶進Internet,電力信息網絡面臨日益突出的信息系統安全問題。國家電力產業體制開始向市場轉變,各級供電企業紛紛建立信息系統和基于Internet的管理應用,以提高勞動生產率,提高管理水平,加強信息反饋,提高決策的科學性和準確性,提高企業的綜合競爭力。目前我國電力企業網絡安全建設的發展很不平衡,總體來看,存在以下薄弱環節。因此,必須采取更加科學有效的方法和思路,加快縣級供電企業網絡建設及網絡安全建設的步伐。
1 縣級供電企業信息網絡安全防范體系概述
1.1 安全策略
總的來說,其基本策略包括網絡系統的防護策略、對主機的防護策略、對郵件系統的防護策略、對終端的防護策略、對數據安全的防護策略以及建立集中控制平臺等。
1.2 安全技術
從技術的層面上,則是通過采用包括建設安全的主機系統和安全的網絡系統,同時配備適當的安全產品的方法來實現,其包括了病毒防護、訪問控制、入侵檢測、漏洞掃描、數據加密、數據備份以及身份認證等這些方面。
1.3 安全培訓
通過在線模擬考試功能和題庫,實現對培訓記錄、培訓師資隊伍、培訓資料以及考試成績的電力化管理,并對培訓結果進行在線統計分析。
2 縣級供電企業信息網絡整體安全建設
2.1 物理層安全建設
物理層安全建設主要保護的是通信線路、物理設備以及機房的安全等三大方面。從技術上,可以進行對設備的備份、防災害和防干擾的能力、設備的運行環境的調配以及保持電源的正常使用等這些方面。
2.2 網絡層安全建設
網絡層安全建設所指的是網絡方面的安全性建設,它可以通過實行身份認證、訪問控制、數據的完整性和保密性、域名系統及路由系統的安全、入侵檢測及防火墻等技術來實現。
2.3 系統層安全建設
系統層安全建設所指的是在進行網絡使用時,關于操作系統安全的建設。對于系統自身而引起的系統漏洞可以通過身份認證、訪問控制、系統漏洞修復等手段來進行。
2.4 用戶層安全建設
用戶層安全所指的是對用戶使用的過程中所存在的安全建設。用戶層安全技術包括分組管理、單口令的登錄的方式及用戶身份認證等主要方面。
2.5 管理層安全建設
管理層安全建設主要是通過供應商使用應用軟件和數據的安全性的建設,包括對Web服務、電子郵件系統、DNS等方面進行優化。此外,還包括病毒對系統的威脅。
2.6 數據層安全建設
首先應考慮對應用系統和數據進行備份和恢復措施,應用系統的安全涉及到數據庫系統的安全,數據庫系統的安全性很大程度上依賴于數據庫管理系統,如果數據管理系統安全機制非常強大,則數據庫系統的安全性就較好。
在以上的各個層面上,每個層面都應該有不同的技術來達到相應的安全保護。如表1所示。
表1 根據安全層面技術來進行縣級供電公司信息網絡整體安全建設
3 縣級供電企業如何有效進行信息網絡安全體系建設
(1)整合現有系統,實現生產實時信息與管理信息的集成,建立電網信息一體化平臺。看似簡單的數據交換和信息共享,由于沒有統一的信息平臺,形成企業信息化發展的瓶頸。縣級供電企業以后的重點工作是整合、集成現有的各子信息系統,搭建統一的運行平臺,規范、整理、合并各種基礎數據,逐步建立集中、統一、開放式中心數據庫,實現各信息系統的無縫連接。對縣級供電企業網絡來講,網絡整體穩定性要求非常高,網絡應該提供多種冗余備份的方式,確保業務的連續。在縣局網絡平臺搭建好之后,這要考慮到未來系統的擴展性。縣級供電企業的信息化建設是一項復雜的系統工程,只有以企業效益為核心,通過構建統一的信息化基礎平臺,部署企業一體化應用系統,才能適應縣域經濟發展,滿足人民群眾對電力的需要,才能提高企業的核心競爭力,才能信步于未來的信息化發展之路。并以信息化帶動企業內部管理機制的改革,實現機制創新、管理創新、技術創新,努力發揮信息化對企業可持續發展的支撐作用。
(2)運用現代網絡技術,構建技術先進、穩定可靠的信息化通道。網絡安全裝置、服務器、PC機等不同種類配置不斷出新的發展。信息安全技術管理方面的人才無論是數量還是水平,都無法適應企業信息安全形勢的需要。隨著電力體制改革的不斷深化,計算機網絡系統網絡上將承載著大量的企業生產和經營的重要數據。因此,保障計算機網絡信息系統安全、穩定運行至關重要,通常可以采取新的技術,如桌面安全管理系統等對終端行為進行管理,從而保證整個內網的可信任和可控制。目前,大部分病毒是通過計算機系統的漏洞來進行肆意的傳播,為此,對于計算機系統的供應商而言,應該要對大部分的漏洞進行及時地提供相應的補丁系統,而對于使用者而言,則需要通過不斷地更新服務的系統來進行對系統的更新。
(3)加強技術和應用培訓,為發展縣級供電企業信息化建設提供基礎保障。先進的管理方式對員工素質提出了更高的要 求,推行信息化建設不但要有“科技興企、人才先行”的觀念,而且還需要既懂電力知識又懂信息技術的人才。管理信息系統的生命力很大程度上取決于應用。信息化建設既是階段性工程又是一種長期行為,對待信息化建設要有長遠眼光,動態地考慮和評價信息化建設問題,不能只看到眼前利益,急于求成。
(4)加強信息制度和信息化安全建設,為縣級供電企業信息化的建設提供根本保證。信息安全不僅要考慮到從安全問題的角度來進行分析,從而提出各個層面的安全保障,為此,信息安全它包括的是策略、技術以及管理的安全體系。供電企業在實現網絡信息安全的有效途徑的時候,需要從技術的層面以及管理的良好配合才得以實現,從而才能為縣級供電企業信息化的建設提供根本性的保證。
4、結束語
電力企業的各個業務對網絡的依賴性越來越強,對信息網絡安全性的要求也越來越高,電力系統信息網絡安全已經成為電力企業生產、經營和管理的重要組成部分。電力企業必須運用現代網絡技術,加強信息制度和信息化安全建設,確保信息系統的安全運行,為企業的安全生產提供有力的保證,從而打造更加穩固堅強的管理技術支撐平臺。
參考文獻:
[1]徐偉鋒、張虹、李莉.構建電力企業的網絡信息安全[J].陜西電力,2007
[2]王廣河,縣級供電公司信息網絡的安全風險與防護策略[J].電力安全技術,2008
企業信息安全建設范文第3篇
【關鍵詞】企業信息化;信息安全問題;原因;對策
新時期下,信息化技術在各行業中運用日漸深入,給企業現代化建設與快速發展帶來了無限動力。企業信息化建設已成為我國經濟信息化建設能否成功的關鍵所在,也是提升企業自身市場競爭力與企業升級進步的重要保證和標志[1]。但是,企業信息化建設過程中不可避免的出現信息安全問題,給企業正常生產經營帶來諸多不利影響。因此,加強企業信息化建設中信息安全管理,已成為現代企業經營管理的一個至關重要的工作。
1企業信息化概述
所謂的企業信息化,指的是實現企業的資金流、物流、作業流、信息流的數字化、網絡化管理,實行企業運行的自動化和企業制度的現代化[2]。企業信息化建設涉及了企業生產經營中的各個部門,其主要利用現代化信息技術,通過完善企業內外網絡信息系統,實現對企業內外知識與信息資源的開發。可見,建設企業信息化體系,不但可以及時有效的提供各種數據信息給企業決策層,也為企業未來規劃設計提供參考依據,而且還有利于企業滿足瞬息萬變的市場需求,為企業市場核心競爭力的提升帶來動力。
2當前企業信息化建設中信息安全問題
企業信息化建設與發展為企業持續、健康、穩定發展發揮了顯著作用,但同時也存在著諸多信息安全問題,具體分析主要有以下幾方面[3]:(1)當前,絕大多數企業缺乏完善的安全防御系統,導致企業內部使用的信息系統易遭受外部網絡系統的攻擊,引發企業信息資料被他人截獲、篡改與偽造等問題,甚至企業信息系統中出現通信線路、硬盤設施以及其他文件系統遭惡意破壞現象,上述問題的發生不但致使企業信息系統無法正常運行,而且其內部機密信息易發生泄漏,造成企業嚴重的社會經濟損失。(2)針對郵件系統攻擊防不甚防。在企業信息系統中電子郵件具有重要的作用,通過電子郵件接收與傳送,極大的方便了企業內部間與外部間信息交流與溝通。然而,電子郵件安全問題也日益突出,典型的如電子郵件病毒、垃圾郵件、機密信息泄露以及電子郵件炸彈等,給企業信息傳輸帶來了巨大安全隱患。因此,電子郵件安全問題不可忽視。(3)漏洞攻擊日益嚴重。按照漏洞問題發生原因可分為軟件漏洞和協議漏洞兩種,其中軟件漏洞主要是受外部不法分子攻擊軟件自身存在的漏洞,造成企業信息泄露等問題;而協議漏洞則主要是由于TCP/IP協議自身在安全機制方面存在的諸多漏洞問題導致,外部不法人員通過攻擊TCP/IP協議漏洞,致使企業信息系統遭受破壞。目前情況,很多企業對自身信息系統缺乏成熟的漏洞檢測手段和能力,往往事發后才采取補救措施。(4)是Web服務安全問題突出,根據Web服務流程,其發生安全問題的主要組成包括Web服務端安全問題、瀏覽器客戶端安全問題兩種。其中,Web服務端安全問題主要是企業Web主機遭受外部不法分子侵入,導致企業保密信息遭竊或者企業部分信息遭受非法篡改等;瀏覽器客戶端安全問題則是企業瀏覽器客戶端遭外部非法分子侵入,致使部分機密信息與數據遭竊等。
3導致企業信息化建設中信息安全問題因素
企業信息化建設中信息安全問題發生受諸多因素影響,具體分析主要有以下幾方面[4]:(1)目前,絕大多數企業在信息化建設過程中,對于信息安全問題重視度嚴重不足。一方面,受傳統經營觀念影響,企業管理層偏重于對企業生產經營中的有形資產給予關注與重視,而忽略了企業知識與信息資料等無形資源,導致在企業信息安全管理方面各項投入嚴重不足,進而造成信息安全問題日益凸顯;另一方面,多數企業在面對信息安全問題時,存在著盲目樂觀現象,認為信息安全問題不至于導致企業正常生產經營,使得信息安全管理無法上升至企業發展規劃戰略之中,進而造成信息安全問題得不到及時有效解決。(2)由于企業信息化建設在我國尚處于起步階段,各方面配套管理制度不夠完善,特別是缺乏健全的企業信息安全管理體制。受此影響,企業信息化建設中信息安全問題一方面無法得到有效的預防措施,另一方面是一旦發生信息安全問題,無法采取及時有效的補救與解決對策。同時,由于缺乏科學、合理、有效的企業信息安全防護策略,使得企業信息管理人員缺乏必要的安全防護意識與業務素質能力,致使企業信息安全防護軟硬件工作質量與效率明顯不足。上述兩個因素,導致企業無論是從人員配置,還是資金與技術投入方面都嚴重不足,受企業信息管理人員業務素質能力不足、信息安全技術方法落后以及配套的資金缺乏等影響,企業信息安全防護的措施、手段偏低,造成企業信息化建設存在著嚴重安全隱患。
4提升企業信息化建設中信息安全對策
針對當前企業信息化建設中存在的信息安全問題,為加強企業信息安全管理,提升企業信息安全保障,可通過采取以下幾方面對策,具體有[5]:(1)轉變傳統企業信息化建設觀念,在企業內部管理層從上至下加強對企業信息安全的重視,并樹立正確的安全意識。一方面,通過組織各種信息安全管理培訓等,增強全體企業員工信息安全意識,確保企業保密信息不外漏;另一方面,逐步加大企業信息化建設中信息安全管理各項資金、技術、人力投入,并建立科學、合理、有效的企業信息安全防護策略,保障企業信息系統安全穩定。(2)不斷的推進網絡信息技術的發展與運用,促進企業組織結構網絡化的實現,同時引進先進的安全防護技術,確保企業信息化系統安全穩定運行。任何網絡信息系統都存在著或大或小的安全漏洞問題,而保證其不受外部不法分子侵入的一個關鍵方法就是安全防護技術的運用。通過選用先進的安全防護技術,可以有效的提高企業信息系統抵抗外來攻擊,避免企業信息遭受竊取、篡改甚至破壞等,對于保障企業持續、健康、穩定發展具有顯著作用。(3)結合企業信息化建設實際情況,建立健全企業內部信息系統管理體制。一方面,針對信息安全問題,應建立科學、合理、規范的信息安全管理體制,保證企業信息系統安全運行;另一方面,建立健全企業安全風險評估機制,針對不同系統找出影響其安全的因素和漏洞,并制定出最佳的對策,降低企業信息安全風險;此外,加強相應的網絡管理,防止外來不法分子通過網絡侵入企業信息系統。(4)根據新時期企業信息化建設需要,加強企業信息技術人才、信息管理人才隊伍建設,為企業信息安全管理奠定堅實的人才基礎。一方面,在企業內部,加強信息技術人才培訓,提高企業內部相關人才業務素質能力;另一方面,在企業外部,采取有效措施,積極招聘人才,引進具有先進信息技術型人才;此外,建立健全企業信息安全管理用人機制,激發員工工作積極性,提高工作質量與效率。
5小結
總而言之,企業信息安全事關企業信息化建設是否成功,對于企業持續、健康、穩定發展具有至關重要的作用。因此,應提高企業信息安全管理意識,增強企業信息安全管理機制,促進企業信息安全管理工作質量與效率,保障企業信息化建設順利開展。
作者:吳捷 單位:中海石油氣電集團有限責任公司
參考文獻
[1]毛志勇.企業信息化建設的信息安全形勢與對策研究[J].科技與產業,2008,8,(1):43~45.
[2]纂振法,徐福緣.淺析企業信息化建設的意義、問題與對策[J].吉林省經濟管理干部學院學報,2001,3:24~28.
[3]謝志宏.企業信息化建設中的信息安全問題研究[J].企業導報,2014(06):132~133.
企業信息安全建設范文第4篇
關鍵詞:信息化;網絡安全;企業;解決方案
0 引言
現代企業信息化網絡是基于內部傳輸網和Internet網絡的互聯網絡,由于公眾網絡是一個相對開放的平臺,網絡接入比較復雜,掛接的相關點比較多,網絡一旦接入公眾網絡,對于一些網絡安全比較敏感的數據,傳輸的安全性就比較弱,比較危險。本文將重點分析企業網絡系統安全性方面以及業務系統安全性方面存在的問題。
1 企業信息化網絡存在的安全隱患
1.1 Windows系統的安全隱患
Windows的安全機制不是外加的,而是建立在操作系統內部的,可以通過一定的系統參數、權限等設置使文件和其他資源免受不良用戶的威脅(破壞、非法的編輯等等)。例如設置系統時鐘,對用戶賬號、用戶權限及資源權限的合理分配等。
由于Windows系統的復雜性,以及系統的生存周期比較短,系統中存在大量已知和未知的漏洞。一些國際上的安全組織已經公示了大量的安全漏洞,其中一些漏洞可以導致入侵者獲得管理員的權限,而另一些漏洞則可以被用來實施拒絕服務攻擊。例如,Windows所采用的存儲數據庫和加密機制可導致一系列安全隱患:NT把用戶信息和加密口令保存于NTRegistry的SAM文件即安全賬戶管理(securityAccounts Management)數據庫中,由于采用的算法的原因,NT口令比較脆弱,容易被破譯。能解碼SAM數據庫并能破解口令的工具有:PWDump和NTCrack。這些工具可以很容易在Internet上得到。黑客可以利用這些工具發現漏洞而破譯―個或多個DomainAdministrator帳戶的口令,并且對NT域中所有主機進行破壞活動。
1.2 路由和交換設備的安全隱患
路由器是企業網絡的核心部件,它的安全將直接影響整個網絡的安全。路由器在缺省情況下只使用簡單的口令驗證用戶身份,并且在遠程TELNET登錄時以明文傳輸口令。一旦口令泄密,路由器將失去所有的保護能力。同時,路由器口令的弱點是沒有計數器功能,所以每個人都可以不限次數地嘗試登錄口令,在口令字典等工具的幫助下很容易破解登錄口令。每個管理員都可能使用相同的口令,路由器對于誰曾經作過什么修改沒有跟蹤審計的能力。此外,路由器實現的某些動態路由協議存在一定的安全漏洞,有可能被惡意攻擊者利用來破壞網絡的路由設置,達到破壞網絡或為攻擊作準備的目的。
1.3 數據庫系統的安全隱患
一般的現代化企業信息系統包含著多套數據庫系統。數據庫系統是存儲重要信息的場所并擔負著管理這些數據信息的任務。數據庫的安全問題,在數據庫技術誕生之后就一直存在,并隨著數據庫技術的發展而不斷深化。如何保證和加強數據庫系統的安全性和保密性對于企業的正常、安全運行至關重要。
我們將企業數據庫系統分成兩個部分:一部分是數據庫,按照一定的方式存取各業務數據。一部分是數據庫管理系統(DBMS),它為用戶及應用程序提供數據訪問,同時對數據庫進行管理,維護等多種功能。
數據庫系統的安全隱患有如下特點:涉及到信息在不同程度上的安全,即客體具有層次性和多項性;在DBMS中受到保護的客體可能是復雜的邏輯結構,若干復雜的邏輯結構可能映射到同一物理數據客體上,即客體邏輯結構與物理結構的分離;客體之間的信息相關性較大,應該考慮對特殊推理攻擊的防范。
2 企業信息化網絡安全策略的體系
網絡安全策略為網絡安全提供管理指導和支持。企業應該制定一套清晰的指導方針,并通過在組織內對網絡安全策略的和保持來證明對網絡安全的支持與承諾。
2.1 安全策略系列文檔結構
(1)最高方針
最高方針,屬于綱領性的安全策略主文檔,陳述本策略的目的、適用范圍、網絡安全的管理意圖、支持目標以及指導原則,網絡安全各個方面所應遵守的原則方法和指導性策略。安全策略的其他部分都從最高方針引申出來,并遵照最高方針,不與之發生違背和抵觸。
(2)技術規范和標準
技術標準和規范,包括各個網絡設備、主機操作系統和主要應用程序應遵守的安全配置和管理技術標準和規范。技術標準和規范將作為各個網絡設備、主機操作系統和應用程序安裝、配置、采購、項目評審、日常安全管理和維護時必須遵照的標準,不允許發生違背和沖突。它向上遵照最高方針,向下延伸到安全操作流程,作為安全操作流程的依據。
(3)管理制度和規定
管理制度和規定包括各類管理規定、管理辦法和暫行規定。從安全策略主文檔中規定的安全各個方面所應遵守的原則方法和指導性策略引出的具體管理規定、管理辦法和實施辦法,必須具有可操作性,而且必須得到有效推行和實施。它向上遵照最高方針,向下延伸到用戶簽署的文檔和協議。用戶協議必須遵照管理規定和管理辦法,不與之發生違背。
(4)組織機構和人員職責
安全管理組織機構和人員的安全職責,包括安全管理機構組織形式和運作方式,機構和人員的一般責任和具體責任。作為機構和員工工作時的具體職責依照,此部分必須具有可操作性,而目必須得到有效推行和實施。
(5)用戶協議
用戶簽署的文檔和協議,包括安全管理人員、網絡和系統管理員安全責任書、保密協議、安全使用承諾等等。作為員工或用戶對日常工作中遵守安全規定的承諾,也作為違背安全時處罰的依據。
2.2 策略體系的建立
目前的企業普遍缺乏完整的安全策略體系,沒有將政府高層對于網絡安全的重視體現在正式的、成文的、可操作的策略和規定上。企業應當建立策略體系,制定安全策略系列文檔。建議按照上面所描述的策略文檔結構,建立起安全策略文檔體系。
建議策略編制原則為建立一個統一的、體系完整的企業安全策略體系,內容覆蓋企業中的所有網絡、部門、人員、地點和分支機構。鑒于企業中的各個機構業務情況和網絡現狀差別很大,因此在整體的策略框架和體系下,允許各個機構根據各自情況,對策略體系中的管理制度、操作流程、用戶協議、組織和人員職責進行細化。但細化后的策略文檔必須依照企業統一制定的策略文檔中的規定,不允許發生違背和矛盾,其要求的安全程度只能持平或提高,不允許下降。
2.3 策略的有效和執行
安全策略系列文檔制定后,必須和有效執行。和執行過程中除了要得到企業高層領導的大力支持和推動外,還必須要有合適的、可行的和推動手段,同時在和執行前對每個本員要進行與其相關部分的充分培訓,保證每個人員都了解與其相關部分的內容。必須要注意到這是一個長期、艱苦的工作,需要付出艱苦的努力,而且由于牽扯到企業許多部門和絕大多數人,可能需要改變工作方式和流程,所以推行起 來阻力會相當大;同時安全策略本身存在的缺陷,包括不切實際的、太過復雜和繁瑣的、規定有缺欠的情況等,都會導致整體策略難以落實。
3 企業信息化網絡安全技術總體解決方案
參考以上所論述的,結合現有網絡安全核心技術,本文認為,企業信息化網絡總體的安全技術解決方案將圍繞著企業信息化網絡的物理層、網絡層、系統層、應用層和安全服務層搭建整體的解決方案,企業信息化網絡建設將著重從邊界防護、系統加固、認證授權、數據加密、集中管理五個方面進行,在企業信息化網絡中重點部署防火墻、入侵檢測、漏洞掃描、網絡防病毒、VPN五大子系統,并通過統一的平臺進行集中管理,從而實現企業信息化網絡安全既定的目標。
3.1 防火墻系統的引入
通過防火墻系統的引入,利用防火墻“邊界隔離+訪問控制”的功能,實現對進出企業網的訪問控制,特別是針對內網服務器資源的訪問,進行重點監控,可以提高企業網的網絡層面安全。防火墻子系統能夠與入侵檢測子系統進行聯動,當入侵檢測系統對網絡中的數據包進行細粒度檢測,發現異常,并通知防火墻時,防火墻會自動生成安全策略,將訪問源阻斷在防火墻之外。
3.2 入侵檢測子系統的引入
入侵檢測系統用于實時檢測針對重要網絡資源的網絡攻擊行為,它會對企業網內異常的訪問及數據包發出報警,以便企業的網絡管理人員及時采取有效的措施,防范重要的信息資產遭到破壞。同時,可在入侵檢測探測器與防火墻之間建立互動響應體系,當探測器檢測到攻擊行為時,向防火墻發出指令,防火墻根據入侵檢測系統上報的信息,自動生成動態規則,對發出異常訪問及數據包的源地址給予阻斷。入侵檢測和防火墻相互配合,能夠共同提高企業網整體網絡層面的安全性,兩個系統共同構成了企業網的邊界防護體系。
3.3 網絡防病毒子系統的引入
防病毒子系統用于實時查殺各種網絡病毒,可防范企業網遭到病毒的侵害。企業應在內部部署網關級、服務器級、郵件級,以及個人主機級的病毒防護。從整體上提高系統的容災能力,提升企業網整體網絡層面的安全性。
3.4 漏洞掃描子系統的引入
漏洞掃描子系統能定期分析網絡系統存在的安全隱患,把隱患消滅在萌牙狀態。針對企業網絡中存在眾多類型的操作系統、數據庫系統,運行著營銷系統、財務系統、客戶信息系統、人力資源系統等重要的應用,如何確保各類應用系統的穩定和眾多信息資產的安全,是企業信息化網絡中需要重點關注的問題。通過漏洞掃描子系統對操作系統、數據庫、網絡設備的掃描,定期提交漏洞及弱點報告,可大大提高企業網整體系統層面的安全性。該系統與病毒防范系統一起構成了企業網的系統加固平臺。
3.5 數據加密子系統的引入
通過對企業網重要數據的加密,確保數據在網絡中以密文的方式被傳遞,可以有效防范攻擊者通過偵聽網絡上傳輸的數據,竊取企業的重要數據,或以此為基礎實施進一步的攻擊,從而提高了企業網整體應用層面的安全性。
企業信息安全建設范文第5篇
[關鍵詞]網絡安全;信息化;數據信息
1企業信息化建設集成的重要性
首先,在企業管理上具有重要現實意義。在企業的經營和發展過程中經營的業務越來越多,區域越來越廣泛,導致企業管理任務越來越復雜和多樣,企業內部的組織結構和流程控制體系越來越完善,這都是因為信息化建設集成發揮了重要作用,其還促進管理服務和觀念朝著信息化的方向發展。其次,企業信息化建設符合時展的潮流。如果想讓集成化效率達到最高水平,就需要對傳統的管理模式進行創新和發展,避免在集成化效率提高的同時帶來一些嚴重的問題和風險,例如:現場安全管理和對管理人員的裁減等,企業必須在網絡信息技術和計算機技術發展飛速的今天,對內部管理體系進行創新和改革,挖掘各組織和員工內在潛能和上升空間,在激烈的市場競爭中提升企業自身的活力與優勢,從而將企業的經濟收益上升到最高峰。第三,信息化建設集成具有自身獨特的優勢。大型公司集團會運用最新的互聯網數據和先進的計算機技術創建一個管理信息平臺,通過這個平臺將在生產和管理方面的數據信息進行共享和聯動,利用相關軟件和系統將公司管理朝著集成化、信息化方向發展,有效地為公司的管理層提供決策理論支持,避免公司集團內部組織結構和人員冗雜,有效提高運營各環節的工作效率,以提供高質量、高效的服務。
2企業信息化建設集成中存在的網絡安全問題
在利用現代網絡信息平臺對企業相關數據進行優化整合時,網絡安全方面還存在一定的問題,企業相關信息和資料很容易受到網絡攻擊,系統很容易被黑客入侵,導致數據和信息被竊取或者丟失,這些問題都不利于企業的現代信息化建設集成和正常的運營發展。從外部環境來看,日益競爭的市場環境是造成網絡安全管理的大環境因素,隨著時代快速的發展和科學技術的進步,一些不法分子會利用黑客技術和網絡病毒竊取企業內部的數據資料,并通過出售來牟取巨額利潤,這種情況若得不到有效控制和整改,會導致企業網絡安全環境日益惡化。其次,從企業的內部因素出發,企業信息化建設集成出現網絡安全問題是因為企業自身沒具備成熟的網絡信息安全理念,沒有采取相關的措施保證自身的網絡信息安全,所以企業相關意識的缺乏使黑客有機可乘,他們簡單操作就能獲得企業內部的數據信息。總之,缺乏一定的網絡信息防護手段和對員工的網絡信息安全培訓,會導致企業在信息化建設集成中受到更大的網絡信息安全威脅。
3保障企業信息化建設集成中網絡安全的措施
3.1創建企業信息安全標準
針對企業信息化建設集成中可能會出現的病毒入侵、非法訪問和信息竊取等問題,筆者提出了一些加強網絡安全的措施。首先,要建設一個信息化安全相關標準。當企業應用現代計算機網絡技術,尤其是計算機集成制造系統時,要創建一個高效、高質量的企業信息化機制和信息安全標準,保證所有信息工作都具備標準流程,例如:我國現已存在的信息安全管理度量機制和測量措施,能夠促使企業在運用網絡信息平臺時,提高自身的信息管理水平,從而保證企業在日常運用中能夠順利、安全地開展相關信息交流和信息傳遞工作。
3.2運用先進的網絡安全技術
要引入現代網絡安全技術,包括防火墻技術、入侵檢測技術信息加密技術、訪問控制技術等。防火墻技術是指將計算機與外部建立一道隔墻,防火墻技術包括網絡級防火墻與應用級防火墻兩種,網絡級能夠有效防止網絡中的非法入侵,應用級防火墻技術是全方位地防護相關應用程序,使用起來比較簡單還能夠有效防止病毒入侵和非法訪問。兩者的防護能力與防護范圍不同,因此在使用過程中需要將兩者融合發揮作用,在動態防護、屏蔽路由和包過濾的基礎上,更好地發揮防火墻防護技術。入侵檢測技術是一種辨別網絡系統的使用是否是惡意行為的技術,其在動態中對網絡進行相關檢測,及時發現非法訪問行為和未授權的活動并反映給計算機用戶,將軟件與硬件融合起來共同對數據進行分析和作用,在瑣碎和繁雜的數據處理方面不再需要人工操作,減少人力和資源的浪費和管理成本。但從整體來看,效果不如防火墻技術,也不能夠完全代替防火墻技術。信息加密技術包括對稱加密與非對成加密兩種,且隨著時代的發展不斷優化升級。該技術主要是為了避免數據被非法竊取,對相關重要的信息資料進行加密處理,降低數據資料丟失和泄露的概率,從而在數據傳遞和資料存儲中保證數據資料的完整性和安全性。訪問控制技術是指通過檢測訪問者的信息在網絡中保證網絡資源的安全,包括高層和底層訪問控制兩種訪問模式,前者是檢測資源種類、用戶權限和用戶口令,后者是指通過通信協議中的信息判斷訪問者是否合法,并作出相關反應。
3.3提高企業網絡安全管理水平
現代化企業集團在發展信息化建設集成過程中還存在很多網絡安全隱患,但是傳統管理模式已經明顯不適用于目前的發展情況,網絡安全受到了更大的威脅,造成的經濟損失也較多,所以必須提高企業的網絡安全管理水平。首先,要提高企業網絡信息化系統管理水平和管理效率,要讓企業內部包括員工和管理層都建立起網絡安全管理的觀念,創建一個成熟、完善的網絡安全管理平臺,樹立現代化的網絡安全管理意識,從而能夠及時解決企業運營和發展過程中存在的問題,將企業發展中重要的資料信息利用網絡技術實行集中性存儲。另外,要對所有員工進行網絡安全培訓和再教育,提高員工的綜合素質水平,以規范員工對信息化系統的具體操作,將企業重要數據信息進行加密處理和備份處理,企業要營造一個安全、穩定的網絡安全環境,防止網絡病毒和黑客的入侵。其次,企業要使用有效、實用的安全防護軟件,例如,目前市場上的金山毒霸、360殺毒軟件都得到了廣泛運用,企業要根據自身具體情況選擇一個有效的防護軟件抵制外部非法入侵,設置好相關的安全管理權限,創建一個完善、嚴密、分層的安全管理權限體系,在用戶登錄和用戶訪問環節都要設置權限和密碼,從而保證企業的信息安全。最后,要對企業信息化建設集成中的防火墻系統和訪問控制模式進行完善的配置,安排一個較為專業的訪問控制模式,避免網絡環境中出現各種意外或者病毒入侵的情況,保證企業內部局域網絡信息的安全,選擇信息隱藏模式提高網絡信息安全性。這種信息隱藏模式一般是運用高效的編碼將數據修改方法嵌入,包括擴頻嵌入和矩陣編碼,將編碼過程變得更加專業和復雜,網絡黑客一般破譯不了,有利于企業抵御網絡黑客入侵和系統漏洞,保證企業信息化建設集成的健康發展,提高企業的經濟收益。
4運用虛擬化的云計算平臺創建相關安全機制
在運用虛擬化的云計算平臺時,要具備更加安全和穩定的機制和系統,如行為約束機制、CHAOS系統和Shepherd系統,及時監控計算機中的相關進程、避免用戶錯誤操作,防止非法進程對云計算平臺的破壞,將異常進程進行數據安全隔離,從而保證企業信息化建設集成中的網絡安全。
主要參考文獻
[1]王然.企業信息化建設集成與網絡安全措施探究[J].數字技術與應用,2017(1).
