前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的企業(yè)信息安全保護主題范文,僅供參考,歡迎閱讀并收藏。
【關鍵詞】電力;信息系統;信息安全;等級保護
隨著科學技術的快速提高,我國的信息化發(fā)展迅速,信息化在各行各業(yè)都得到廣泛應用。城市電網是經濟社會發(fā)展的重要基礎設施,是能源產業(yè)鏈的重要環(huán)節(jié)。隨著信息、通信技術的廣泛應用,智能化已成為世界電網發(fā)展的新趨勢。電力企業(yè)網絡建立信息安全等級保護制度旨在為國家信息安全保護工作建立起一個長久有效的安全機制,保障信息化建設的健康發(fā)展。然而目前我國電網的信息安全等級保護政策的實施處于初步進行階段,還有很多工作需要完成。這需要業(yè)內外人士的共同參與,為保障信息安全盡最大的努力。同時伴隨著計算機技術的發(fā)展,信息安全等級保護技術和水平也要不斷優(yōu)化升級,確保能夠及時解決安全保護中遇到的問題,讓信息安全等級保護政策的實施暢行無阻。
1 電力信息安全等級保護
信息系統等級保護制度是我國信息安全領域一項重要政策,信息系統安全等級保護是指對信息安全實行等級化保護和等級化管理。根據信息系統實用業(yè)務重要程度及其安全實際需求,實行分級、分類、分階段實施保護,保障信息安全和系統安全穩(wěn)定運行,維護國家利益、公共利益和社會穩(wěn)定,等級保護的核心是對信息系統特別是對業(yè)務應用系統安全分等級、按標準進行建設、管理和監(jiān)督。國家對信息安全等級保護工作運用法律和技術規(guī)范逐級加強監(jiān)管力度,保障重要信息資源和重要信息系統的安全。
1.1 等級保護定級
信息系統的安全保護等級由兩個定級要素決定:等級保護對象受到破壞時所侵害的客體和對客體造成侵害的程度,其中等級保護對象受到破壞時所侵害的客體包括三方面:公民、法人和其他組織的合法權益,社會秩序、公民利益,國家安全。等級保護對象受到破壞后對客體造成侵害的程度分為三種:一般損害,嚴重損害,特別嚴重損害。定級要素與信息系統定級的關系見下表所示。
1.2 基本要求與主要流程
等級保護的基本要求是:各基礎信息網絡和重要信息系統,按照“準確定級、嚴格審批、及時備案、認真整改、科學測評”的要求完成等級保護的定級、備案、整改、測評等工作。公安機關和保密、密碼工作部門要及時開展監(jiān)督檢查,嚴格審查信息系統所定級別,嚴格檢查信息系統開展備案、整改、測評等工作。等級保護的主要流程包括6項內容。
(1)自主定級與審批:信息系統運營使用單位按照等級保護管理辦法和定級指南,自主確定信息系統的安全保護等級。有上級主管部門的,應當經上級主管部門審批。跨省或全國統一聯網運行的信息系統可以由其主管部門統一確定安全保護等級。
(2)評審:在信息系統確定安全保護等級過程中,可以組織專家進行評審。對擬確定為第4級以上信息系統的,運營使用單位或主管部門應當邀請國家信息安全等級專家評審委員會評審。
(3)備案:第2級以上信息系統定級單位到所在地的市級以上公安機關辦理備案手續(xù)。
(4)系統安全建設:信息系統安全保護等級確定后,運營使用單位按照慣例規(guī)范和技術標準,選擇管理辦法要求的信息安全產品,建設符合等級要求的信息安全設施,建立安全組織,制定并落實信息安全管理制度。
(5)等級測評:信息系統建設完成后,運營使用單位選擇符合管理辦法要求的檢測機構,對信息系統安全等級狀況開展等級測評。
(6)監(jiān)督檢查:公安機關依據信息安全等級保護管理規(guī)范,監(jiān)督檢查運營使用單位開展等級保護工作,定期對第3級以上的信息系統進行安全檢查。運營使用單位應當接受公安機關的安全監(jiān)督、檢查、指導,如實向公安機關提供有關材料。
2 電力信息系統等級保護工作開展
2.1 信息系統定級及審批
2007年7月,公安部、國家保密局、國家密碼管理局、國務院信息辦聯合下發(fā)《關于開展全國重要信息系統安全等級保護定級工作的通知》(公信安[2007]861號),按照有關工作要求,國家電力監(jiān)管委員會開展了電力行業(yè)等級保護定級工作,并印發(fā)《關于開展電力行業(yè)信息系統安全等級保護定級工作的通知》(電監(jiān)信息[2007]34號),電力公司按照《國家電網公司信息系統安全保護等級定級指南(試行)》(信息技術[2007]60號)對公司信息系統進行定級,按照要求填寫定級報告和備案表,并報送國家電力監(jiān)管委員會組織評審和審批。主要涉及4個3級系統、11個二級系統,具體見表2。
2.2 信息系統等級保護備案
公司完成信息系統的定級工作后,開始對信息系統進行等級保護備案,認真填寫《信息系統安全等級保護備案表》,梳理完成所有資料準備后,于2011年向省公安廳提交了等級保護備案材料,最終公司15個管理信息系統完成了等級保護備案工作。
2.3 等級保護測評及整改工作
2011-2012年,按照國家電力監(jiān)管委員會要求,北京華電卓識信息安全測評技術中心相繼完成對公司電力市場交易系統、ERP系統、財務管理系統、營銷管理等15個系統的等級保護測評工作。
公司積極組織、協調、配合測評隊伍,遵循“流程規(guī)范、方法科學、結論公正”的原則,按照國家等級保護測評工作的有關標準、規(guī)范的要求,根據《電力行業(yè)信息系統安全等級保護要求(試行)》開展測評工作,公司信息系統等級保護測評符合率達到95%以上,順利通過了等級保護測評,但是測評中還是發(fā)現了部分問題,主要包括:
(1)網絡設備不具備雙因子驗證
根據國家《信息系統安全等級保護基本要求》規(guī)定,第2級以上(不含)信息系統網絡設備應對同一用戶選擇兩種或兩種以上組合的鑒別技術來進行身份鑒別,按照此項基本要求,限于硬件條件,公司三級信息系統尚達不到安全防護要求。
(2)數據庫審計功能未開啟
根據國家《信息系統安全等級保護基本要求》規(guī)定,第2級及以上信息系統審計范圍應覆蓋到服務器上的每個操作系統用戶和數據庫用戶;系統不支持該要求的,應以系統運行安全和效率為前提。按照此項工作要求,公司部分系統未開啟數據庫審計功能,亦未部署第三方審計產品。
測評工作結束后測評人員對測評過程結果及以上問題進行了反饋,公司根據測評中發(fā)現的各類問題做好問題整改工作,確保公司信息系統安全穩(wěn)定運行。整改工作如下:
1)網絡設備未設置雙因子認證。對于不具備雙因子驗證條件的問題,公司正在加快建設統一數字認證系統,系統上線后可實現雙因子驗證。
2)數據庫審計功能未開啟。因開啟數據庫審計功能會對系統性能產生較大影響,公司近期計劃購置部署第三方審計產品。
3 結束語
電力公司近年來高度重視信息安全工作,信息安全等級保護工作卓有成效,通過落實信息安全等級保護制度,開展管理制度建設、技術措施建設、落實等級保護各項工作要求,使信息系統安全管理水平明顯提高,安全防護能力顯著增強,安全隱患和安全事故明顯減少,有效保障公司信息化工作健康發(fā)展,公司下一步工作重點應著手對等級保護測評發(fā)現的各項問題進行整改,保障公司網絡及信息系統安全穩(wěn)定運行。
參考文獻:
[1]王雪莉.淺談信息安全等級保護問題[J].數字技術與應用,2012.
[2]易振宇.電力信息系統等級保護實施淺談[J].信息安全與通信保密,2011.
關鍵詞:信息異化;信息安全;安全保障策略
中圖分類號:G202 文獻標志碼:A 文章編號:1000-8772(2013)09-0170-03
引言
在當前的錯綜復雜的信息環(huán)境中,信息隨著信息環(huán)境多樣化的發(fā)展,變得更加的豐富與多樣。在信息的傳播過程中,信息異化現象的越發(fā)明顯,不僅給人們獲取和利用信息帶來了障礙。而且也進一步地影響了人們信息活動的安全。
“異化”(alienation)源于拉丁語alienation,有轉讓、疏遠、脫離、差異和分離之意。所謂信息異化,是指人們創(chuàng)造的信息在生產、傳播和利用等活動過程中,因受到各種因素的干擾,而導致信息喪失原有的內涵,甚至反客為主演變成外在的支配、統治和控制人的異己力量。簡單地說,信息異化就是作為主體的人與作為客體的信息之間產生關系的顛倒,從而使人丟失了自身的主體性。由此可以看出,信息異化扭曲了信息的本質,直接影響了信息的合理利用,而如何客觀的認識信息異化環(huán)境,準確處理信息異化問題,是我們必須解決的核心問題。
信息安全是信息異化所涉及到的最為敏感且重要的問題之一。關于信息異化在信息安全方面的研究,其采用的處理手段主要集中在信息導航、信息過濾控制以及信息安全保密角度三個方面。信息導航作為展示信息資源內容與結構的基本手段,以有序化的方式體現無序化的信息,為用戶提供方便快捷的信息指引;網絡信息過濾作為篩選信息、滿足用戶需求的有效方法,通過運用一定的標準和工具,從大量的動態(tài)網絡信息流中根據用戶的信息需求選取相關的信息或剔除不相關信息;信息安全保密控制的核心在于融合管理、技術、執(zhí)法幾種手段綜合加以治理,通過內部網的安全保密技術以及內部網與外部網的防火墻技術隔離技術確保內部網的安全,同時細化電子文件密集,完善身份驗證、存取控制、數據完整性、數據機密性、防火墻技術、安全協議等手段,實現信息安全技術的應用。
現階段對于信息異化中信息安全的研究大多都處于強針對性條件下的研究現狀,單一的目的性導致了信息異化影響無法完全消失,信息污染無法被徹底地清除,信息安全依舊得不到完善的保障。因此,本文旨在參照目前信息異化的現狀處理的不足,在分析現有的安全保障系統缺陷的條件下,提出一套系統性的安全保障模式。
一、現有的企業(yè)信息安全保障系統
目前,國內外與信息異化環(huán)境下的信息安全保障相關的系統結構主要為OPSEC安全保障策略和網絡信息創(chuàng)新平臺。
(一)安全保障策略(OPSEC)系統
OPSEC安全保障策略(Operation Seeurity),是美國國家安全局依照企業(yè)反競爭情報的理念設計的一套以分析信息的價值人手,針對信息的價值來確定所要采取的保護策略的安全保障系統。OPSEC的運行機制是通過鑒別和分析競爭對手想要獲得的決定競爭成敗的關鍵信息,確定關鍵信息的危害程度,采取措施進行補救減少威脅,同時對自身信息系統的所有過程進行檢驗和分析。找到直接危害信息安全的弱點并采取彌補措施,通過對自身弱點的分析,找到彌補措施的平衡點,并最終綜合上述所有的環(huán)節(jié)進行研究,制定出綜合應對策略嘲。
OPSEC在通過運用過程中通過全面分析信息找出存在的漏洞,通過分析這些漏洞是否值得保護而進行的篩選信息保護。OPSEC的應用偏重于針對一定信息的異化處理和安全保障,有利于在低投入的條件下從根本上清除相關的信息污染,但降低了針對信息自身的多變性和時效性的異化分析。
(二)網絡信息創(chuàng)新平臺模式
網絡信息創(chuàng)新平臺即建立在技術進步基礎之上,利用信息科學的基本原理和方法實現人類信息處理擴展的技術模式。網絡創(chuàng)新平臺的著重點在于虛實與創(chuàng)新有機結合的信息技術模式,從提高信息技術的綜合水平上加強安全保密措施。虛實與創(chuàng)新有機結合的信息技術模式,在于針對現代信息技術發(fā)展造成信息生產者創(chuàng)新能力的丟失以及虛假信息擴散的現狀,發(fā)展出的一種將虛實和創(chuàng)新有機結合的信息技術模式,通過信息的時效性、開放性等特征,將各種現實信息緊密聯系,實現不同媒介信息的融合,提升信息的創(chuàng)新價值,在信息生產的階段,由于信息技術的促使信息量逐步提升使得信息在急劇增加的同時質量下降,而提高信息技術的信息加工傳遞的速率以及信息的辨別處理能力。當今的技術漏洞使信息安全受到了威脅,成為威脅信息安全的隱患。信息系統安全保密技術是防止信息污染發(fā)生的一項關鍵性技術系統,保障信息活動逐步規(guī)范化。
網絡信息創(chuàng)新平臺在理論上建立起了針對信息異化環(huán)境的信息安全保障系統,通過從信息的生產源人手,進一步體現信息的本質并兼顧自身的安全保障,對信息的處理和安全保障更加規(guī)范化。但目前信息安全的發(fā)展缺乏在信息安全應用上的創(chuàng)新研究,研究與應用發(fā)展不平衡性,沒有覆蓋信息安全的主要方向。
二、企業(yè)信息安全保障系統構建與分析
(一)核心目標
信息安全保障系統是指在信息環(huán)境下由信息安全的各個組成部分相互聯系且相輔相成所建立的總體結構。在信息異化的環(huán)境下,信息污染將成為信息安全的首要威脅之一,因此對于信息異化的處理將成為信息安全保障的首要工作。
信息安全保障系統能否具有可行性的關鍵,在于系統自身能否解決異化環(huán)境中信息污染的處理問題,以及能否適應當前所面對的各種客觀的信息安全保障環(huán)境和日益加劇的安全系統漏洞。
(二)企業(yè)信息安全保障系統結構構建
信息異化環(huán)境下的企業(yè)信息安全保障系統(如圖1所示),該系統的關鍵在于將異化后的信息通過信息清理模塊的初步處理,使信息的核心價值得以體現,再通過安全保障模塊的核心進行分析處理與安全保護模塊的信息加密,防止信息受到二次異化,從而使得信息價值得到充分的利用。
(三)企業(yè)信息安全保障系統的運行機制
信息異化環(huán)境下企業(yè)信息安全保障系統的運行機制(如圖2所示):將信息異化環(huán)境中被異化的信息提取并選擇與自身安全有關聯的信息進行關鍵詞挖掘,通過對異化信息中的核心詞匯進行提取用以找到合適的信息源,同時對同信息源或同類關鍵詞匯進行合成從而形成關鍵信息并進行分析和制定安全保障策略,最后通過設置的保密措施來對安全保障策略進行實施和成效反饋。因此,該信息安全保障系統中應包含信息清理模塊、安全保障策略模塊以及自身的安全保護模塊三個部分。
(四)企業(yè)信息安全保障系統功能分析
1 信息清理模塊
信息清理模塊主要用以對信息異化環(huán)境中受到異化的信息進行初處理,其具體的實施功能為信息源選取、關鍵詞挖掘和信息集成。
(1)信息源選取。對信息異化環(huán)境中的信息進行過濾,選取與目前對自身安全有關的信息,并確認信息的信息源。(2)關鍵詞挖掘。通過對與自身安全相關聯的信息進行語義挖掘,判斷并找出信息中的核心詞匯。(3)信息集成。明確信息的信息源,并將其與被挖掘出來的信息關鍵詞進行關聯分析,同時通過將信息源所發(fā)出的所有與自身目前相關的信息與挖掘LIJ的信息關鍵詞進行匹配,找到合適的信息體進行合成。
2 安全保障模塊
安全保障模塊是以信息分析,策略制定和實施以及成效反饋為主要步驟來進行的信息安全保障活動。
(1)信息分析。將已經合成的信息進行分析,發(fā)現其對自身信息安全產生的威脅,并找到自身信息安全存在的漏洞。(2)策略制定。對信息威脅和發(fā)現的信息漏洞進行綜合研究,制定}H相關補救策略,同時進一步加強總體性的信息安全保障。(3)策略實施。針對所制定的策略細節(jié)進行加密保護,再將加密后的策略信息進行實施和傳遞存儲。(4)成效反饋。基于策略實施后的成效進行反饋研究,并將結果進行加密后返送至信息分析功能板塊,通過對反饋的成效分析,查漏補缺,進一步制定和完善信息安全保障策略。
3 安全保護模塊
安全保護模塊的主要功能是保密措施,其運行機制在于對安全保障模塊中保障措施的實施和反饋進行的加密保護,并通過一系列實踐活動進一步對策略的實施給予保障。
三、實驗分析與驗證
(一)信息清理
目前從網絡銷售平臺中,將某手機品牌制造企業(yè)生產的E型手機選取三條相關信息:
信息1:本品牌產品本月綜合關注排行有所提升;
信息2:此E型手機的總銷量為近兩百四十臺;
信息3:此E型手機本月銷量上升一個百分點。
(二)信息挖掘與集成
現分別將以上三條信息的關鍵詞進行挖掘與集成,即如下表所示:
(三)安全保障
根據集成信息進行分析,可以得出本產品具有一定的市場潛力,在品牌效應促使下產品銷量也正在逐步提升,因此,保障品牌的可信度以及產品的好評率是取得客戶信任的關鍵一環(huán)。針對此現象,制定出進一步打造品牌效應,加強廣告宣傳力度以及實行產品促銷活動,爭取更廣泛的客戶群體的提升策略。
在策略進行的同時,開展有償回訪,積極深入了解客戶的內心需求,并針對客戶的需求進一步完善產品的功能,并在產品平臺的基礎上研發(fā)功能更加全面的軟件,進行升級下載。
(四)安全保護
在策略制定的過程中,為了獲取準確的客戶信息。需要在客戶回訪中,深入了解客戶購機的背景以及用途,同時進行多層次的交流以及實行多次的效應評估和完善評價。在品牌宣傳的過程中實施相關信息的及時反饋,并在促銷活動中體現品牌誠信以及公信度,從而進一步保障策略準確的實施和虛假異化信息的有效防范。
四、結論
信息是人及其活動中不可缺少的要素之一。在社會信息環(huán)境中,信息異化會促使人們表現出對自己創(chuàng)造的信息環(huán)境的不適感。針對信息異化現象的控制,需遵循信息生產、傳播和利用的利他法則。因此,信息行為也必須像其他行為一樣受道德與法律的雙重規(guī)范的約束。對于信息異化的控制,需努力尋找其根源,從多個角度進行控制研究,有效控制信息異化。
通過對于目前所提出的信息異化環(huán)境下的企業(yè)信息安全保障系統的闡述,我們可以從中發(fā)現系統性綜合性的信息安全保障模式可以在信息異化的環(huán)境下,針對特定的信息進行相關異化分析,并在內部和外部環(huán)境下的信息綜合評價進行安全保護。但作為系統性的運作模式,各模塊由于其間特性的不同,從而導致的模塊之間的銜接較為簡單,因而形成了信息安全保護相對較低、對于個別綜合性較大的異化信息所需進行的處理力度略顯不夠的狀況。因此,進一步提升信息安全的防范指數,促進信息異化環(huán)境下的信息安全運作系統各模塊間的銜接,下一步所需研究的核心問題。
參考文獻:
[1]劉丹丹,孫瑞英,網絡環(huán)境下信息異化的心理原因探析[J]圖書館學研究,2009,33(4)
[2]孫瑞英。信息異化問題的理性思考[J]情報科學,2007,25(3):340-344
[3]曾忠祿,情報制勝[M],北京:企業(yè)管理出版社,2000:281-283
[4]俞培寧,信息異化的成因及對策研究[J],圖書館學研究,2011(3):9-11
[5]張立彬,信息異化的根源及其控制研究[J],情報科學,2009,27(3):338-343
一、企業(yè)信息化建設過程中信息安全的問題
一般情況下能造成企業(yè)內部信息安全問題的原因分為外部原因和內部原因,可是不管是內部原因還是外部原因都會對企業(yè)的信息系統的安全帶來隱患。
1.1企業(yè)內部因素
第一個方面是企業(yè)的信息安全意識不強,雖然是現在有很多的企業(yè)加快企業(yè)內部信息化建設的進程,但是有些企業(yè)只是在表面上看到信息化建設所帶來的優(yōu)勢,而信息化建設當中的安全問題并沒能夠引起企業(yè)的足夠重視,所以在信息化建設的過程中比較容易出現安全隱患。第二個方面就是我國的安全軟件還是比較落后,雖然國內計算機軟件技術在快速的反戰(zhàn),可是與一些發(fā)達的國家相比還是存在一定距離,第三個方面在管理操作方面存在問題,現在有很多的企業(yè)對于自己企業(yè)內部的信息安全問題還存在不夠重視的問題,在企業(yè)信息系統的管理上不夠謹慎,這就會被不法分子和黑客進入的機會,造成了企業(yè)的主要信息被盜取。第四個方面缺少優(yōu)秀的專業(yè)管理團隊,企業(yè)信息的系統安全是前期的制定和日常系統安全的維護以及日后都是由專業(yè)的人員來進行操作,所以相關的技術人員都必須具有很好的素養(yǎng)和賢能的技術,第五個方面法律法規(guī)的不全面?,F在我國與企業(yè)信息安全問題的法律法規(guī)不全面這就造成企業(yè)內部信息被盜取不能得到相關的賠償。
1.2企業(yè)外部因素
現在企業(yè)信息安全系統的威脅主要來自于外部的因素,隨著我國經濟社會的飛速變化,在競爭激烈情況下信息是非常重要的,大昂仁會有很多的不法分子會利用各種手段來盜取企業(yè)的信息為自身得到利益。還有些企業(yè)在于對手的競爭過程中使用不正當的手段來擊垮對手保證自己企業(yè)的利益。
二、企業(yè)信息化建設過程中的信息安全與對策
在我國社會經濟快速發(fā)展的今天,企業(yè)信息安全對于一個企業(yè)的發(fā)展是非常具有意義的,企業(yè)的信息被盜取和泄露會給企業(yè)帶來很大的損失,所以說企業(yè)對信息安全問題必須要有足夠的重視。有的企業(yè)已經做好了信息安全的必要工作就應該更加注意安全軟件并不是時時刻刻都能做好安全的保護,做好安全保護還要加強管理。
2.1確保正確的安全意識
一個企業(yè)在信息化發(fā)展的過程中,應該認識到企業(yè)信息的安全問題和企業(yè)發(fā)展相互的關聯。如果企業(yè)的重要內部信息被盜取或者泄露那么對于企業(yè)所造成的打擊是非常大的,而與此同時也是給了對手創(chuàng)造了很好機會。所以確保正確的安全信息意識對于一個企業(yè)來說是非常重要的,也是為了以后給企業(yè)的各項工作打下了很好基礎。
2.2選擇安全性能比較高的軟件
其實任何軟件都不是牢不可破的,可是對于安全性能比較高的軟件,如果說破解的話難度還是相當高的,所以企業(yè)選擇安全軟件的時候要選擇安全性能高的,不要為了節(jié)省一點企業(yè)的支出而選擇使用安全性能差的保護軟件,一旦出現問題所造成的企業(yè)損失價值會大于軟件的價格。
2.3加強企業(yè)網路管理
很大一部分的企業(yè)信息被盜取都是不法分子通過網絡進行的,所以說必須要對企業(yè)的網絡管理進行加強,這樣才能確保企業(yè)信息系統在安全的狀態(tài)的情況下運行。對于信息安全的種類和等級的高低來進行制定合理的方案,并且提前做出如果發(fā)生特殊情況下怎么進行處理的方案。如果說企業(yè)的信息安全發(fā)生危機的時候,企業(yè)應該快速的組建處理小組,針對信息安全危機的步驟處理并且做好危機處理的工作,還要避免出現由于處理不當而產生的各種情況。
結語:以上所述是企業(yè)信息化建設過程中所必需要面對的問題,一個企業(yè)的信息安全建設應該先從管理開始,必須做到以防范為主要,必需制定有效的安全防護把安全的風險降至最低。在現在經濟發(fā)展的快速時代,企業(yè)信息的安全問題決定著企業(yè)的安全運營。
參 考 文 獻
[1] 原黎. 探析企業(yè)信息安全問題的成因及對策[J]. 現代工業(yè)經濟和信息化. 2011(08)
[2] 張耀輝. 關于企業(yè)信息化建設中的信息安全探討[J]. 電子技術與軟件工程. 2013(14)
[3] 趙曉華,陳秀芹,周文艷,夏莉莉,李建忠. 網絡環(huán)境下河北中小企業(yè)信息安全問題研究[J]. 科技資訊. 2013(31)
關鍵詞:信息安全;企業(yè)管理;經濟信息管理
中圖分類號:F208 文獻標志碼:A 文章編號:1673-291X(2017)08-0147-02
高效的經濟信息管理是企業(yè)不斷發(fā)展的重要保障,而要想實現高效的信息管理,對信息安全性的管理與控制是十分重要的一個因素。近年來,隨著科技與管理理念的不斷豐富,對信息管理中的信息安全性控制也在不斷強化并起到了一定的作用。但是,由于企業(yè)信息管理涉及的因素較多,導致目前仍舊存在一定的安全隱患。因此,有必要對企業(yè)的經濟信息管理中的信息安全進行分析與探討。
一、企業(yè)經濟信息管理的信息安全存在的問題
(一)企業(yè)管理力度不足
企業(yè)管理力度不足是信息管理目前存在的普遍問題,也是導致企業(yè)信息管理存在安全隱患的主要原因之一。一方面,部分企業(yè)將管理重點放在了人員管理與財務控制方面,忽視了對經濟信息安全的管理與控制;另一方面,部分企業(yè)的管理人員由于專業(yè)素質與工作經驗的缺乏,對信息安全管理沒有采取科學的方式方法,導致信息安全管理難以充分發(fā)揮其作用與價值,進而導致信息管理存在一定的安全隱患??傊?,管理人員與管理制度是導致企業(yè)管理力度不足的重要因素。
(二)缺乏總體規(guī)劃
在企業(yè)管理中,對經濟信息的管理涉及到許多因素,所以高效的管理需要一個科學的總體規(guī)劃。對于企業(yè)來說,經濟信息管理不是單個部門或人員的工作,而是需要整個企業(yè)人員都具有信息保護的意識。但在實際工作中,由于工作內容具有一定的差異性或工作重點不同等原因,使得不同的員工與信息安全的意識程度不同,所以管理效果也難以達到最佳狀態(tài)。考慮到這些問題,企業(yè)在進行經濟信息管理時就需要制定一個整體規(guī)劃,但許多企業(yè)在這方面的工作力度仍有不足。
(三)對信息安全不夠重視
隨著我國經濟的不斷發(fā)展,市場競爭也越來越激烈,此時保證企業(yè)的經濟信息安全是管理中十分重要的一部分。但是,在實際競爭中,許多企業(yè)對經濟信息的安全保障意識不夠強烈。只是單一的對市場信息進行分析,而沒有完善的管理系統,難免會導致信息儲存或管理出現一定的問題,甚至造成企業(yè)關鍵經濟信息的泄露,給企業(yè)發(fā)展帶來不可挽回的損失。另外,信息管理中管理人員作用的發(fā)揮也非常重要。部分企業(yè)沒有重視到這一點,管理人員的管理能力提升速度較慢,導致安全隱患的存在。
二、對企業(yè)信息管理安全產生影響的主要因素分析
(一)環(huán)境因素的影響
由于市場競爭比較激烈,許多企業(yè)將管理重心放在了市場拓展與產品優(yōu)化等方面,出現了先重視產品與業(yè)務,再考慮信息安全的現象,導致信息安全管理滯后于業(yè)務的進行,產生一定的安全隱患。這是外部環(huán)境的影響,內部環(huán)境對企業(yè)的信息管理也有著一定的影響。企業(yè)的業(yè)務流程對信息管理體系的設置與實施有著一定的影響。此外,部分企業(yè)雖然重視對信息安全的管理,但由于防范體系的不夠完善等原因,使得安全責任沒有落實到具體,這些都是導致經濟信息管理存在安全隱患的因素。
(二)人為因素的影響
人為因素的影響主要是指經濟信息管理人員的工作能力與工作態(tài)度等因素的影響。一方面,安全管理人員是接觸機密信息的直接人員,這部分工作人員若是出現刻意泄露或工作疏忽等現象,極易導致企業(yè)關鍵經濟信息的泄露,給企業(yè)帶來不可挽回的損失,影響企業(yè)的穩(wěn)定發(fā)展。另一方面,技術人員也是人為因素中的重要部分,技術人員主要對相關設備進行管理與維護,也能夠直接接觸到關鍵信息。需要S護的設備較多,但部分企業(yè)為了節(jié)約人力成本,讓同一個技術人員負責多個設備的維護,導致技術人員的工作難度增加,進而影響其工作效率。
(三)技術因素的影響
信息安全技術是保證信息安全的重要因素,也是企業(yè)在這方面管理中比較重視的一部分。具體來說,技術因素對信息安全的影響主要體現在以下兩個方面:一是軟件方面影響,包含了設計漏洞或技術缺陷,以及殺毒軟件更新較慢或臨時發(fā)生的運行故障等問題,這些都是對信息安全管理產生影響的因素。二是信息管理體系的設計方面,包含了風險評估數據、業(yè)務流程數據、測試數據、訪問權限設置以及對信息資產的保護程度等。這些因素導致信息管理體系存在必然的安全隱患或漏洞,而這些漏洞將會為整個企業(yè)管理帶來嚴重的不利影響。
三、強化企業(yè)經濟信息管理中信息安全的必要性
(一)企業(yè)信息管理的主要特征
企業(yè)信息管理的特征主要包括三個內容:第一是具有保密性,這是信息管理的基本特征,也是信息管理的基本要求。各個部門負責的事項不同,部門人員只能獲取應當了解的信息,而不能越權了解其他私密信息。第二是完整性。保證經濟信息的完整是企業(yè)信息管理的基本原則,只有保證信息具有基本的完整性,才能更加精準地獲得數據價值,從而發(fā)揮其作用。第三是可用性。只有具有較強的可用價值與企業(yè)的私密信息,才具有一定的安全保護價值,才能在企業(yè)發(fā)展中發(fā)揮其本身的作用。
(二)強化信息管理安全的必要性
正是由于經濟信息具有的這些特征,才使其有了明確的強化必要性。首先,強化信息安全的管理有助于保證數據的保密性與完整性。只有保證信息的完整與私密,才能促使其在企業(yè)競爭中充分發(fā)揮價值。其次,信息的高效運用與價值發(fā)揮的實現,本身就需要一定的網絡條件,而網絡環(huán)境比較復雜,所以對數據的安全保護就顯得十分關鍵。例如,不法分子的信息盜取、網路黑客的惡意攻擊等,都是影響信息安全的因素。所以,對信息安全管理進行加強,是企業(yè)實現進一步發(fā)展的重要手段。
四、提高企業(yè)經濟信息管理安全性的建議
(一)健全經濟信息體系的安全保障
構建健全的經濟信息體系的安全保障,是實現高效經濟信息管理的重要前提,也是實現信息管理制度能夠穩(wěn)定發(fā)展的重要條件。在健全管理體系的保障過程中,最為首要的任務,即是在系統設計過程中就強調安全性。
從目前來看,由于市場的寬容度逐漸升高,越來越多的企業(yè)參與到市場競爭中。由于部分企業(yè)對信息安全的認知不夠明確,或者管理制度不夠合理等因素,導致其經濟信息管理制度本身就存在一定的安全隱患,不利于企業(yè)的發(fā)展。因此,企業(yè)需充分明確自身實力與發(fā)展情況,確定當前發(fā)展中的關鍵,設計針對性的安全管理制度。具體來說,企業(yè)可加強對進入內部信息系統的準入設置與權限、增加必要的保護屏障技術等。另外,還可借助科學技術與計算機技術,將指紋識別等運用到信息管理中,以保障管理制度的安全性。
(二)提高工作人員的工作能力
企業(yè)重要的經濟信息泄露,其中一個關鍵的原因,即是工作人員的刻意為之或工作疏忽導致的。因此,在企業(yè)的經濟信息管理中,提升工作人員的工作能力與安全意識是十分有必要的一項措施。一方面,企業(yè)可加強對管理人員的培訓,促使其對信息安全有明確的認識;同時,還可借助培訓,提升管理人員的管理能力與風險意識。另一方面,管理責任的落實也十分重要。企業(yè)的經濟信息涉及到許多企業(yè)的重要信息,要在日常管理者中將管理責任落實到具體,進而提高工作人員的管理責任心。此外,提高管理人員的職業(yè)道德以及綜合素質等,也是一個比較有效的方式,能夠在一定程度上提高企業(yè)的經濟信息管理效率。
(三)強調對硬件的安全管理
在信息安全這個問題上,管理設備與硬件條件的強化是必不可少的一部分。可以說,硬件設備是高效的信息安全管理中的重要基礎。
首先,針對企業(yè)的實際情況,可淘汰一部分功能比較傳統的設備,購進更先進、安全保障程度更高的設備,進而促使設備在信息安全管理中充分發(fā)揮作用。
其次,在運用過程中,隨著運用時間的增長硬件設備的損耗程度也更大,所以對硬件設備的維護工作必須得到重視。企業(yè)可安排專門的維護人員,定期對設備進行檢查或零件更換,避免因硬件系統而導致的信息泄露等問題。同時,還可對維護人員進行培訓,以提高其技術水平。此外,合理的安全屏障與接入控制、禁止未授權訪問或下載文件等措施都是硬件強化中的重要方法,能夠在一定程度上加強對經濟信息的安全保障。
(四)健全企業(yè)信息安全管理制度
企業(yè)信息安全管理制度的完善,是保證企業(yè)經濟信息管理安全性的重要因素。從企業(yè)管理的角度來講,企業(yè)對經濟信息進行的管理是根據本身的信息安全需要、業(yè)務分析以及風險預測等的結果,并結合科學技術與計算機技術實現的信息管理。構建完善的信息管理制度,能夠為信息管理提供包括設計、運行等各個方面的安全保障,并有效避免因安全隱患導致的各類安全事故。一方面,企業(yè)可建立起相關的安全管理w系與防范制度,加強對關鍵數據的保存與備份,以保證在發(fā)生安全事故時能夠及時進行彌補,避免業(yè)務受到影響,進而將企業(yè)的損失降到最小程度;另一方面,還可建立起集中的管理控制體系,將經濟信息進行綜合管理,并借助企業(yè)內部的管理平臺對其進行管理。
結語
據上述的分析可知,強化企業(yè)經濟信息管理中的信息安全,不僅是推動企業(yè)不斷發(fā)展的重要方法,更是推進我國企業(yè)管理理念不斷完善的重要手段。通過健全經濟信息體系的安全保障、提高工作人員的工作能力、強調對硬件的安全管理,以及健全企業(yè)信息安全管理制度等方式,從企業(yè)管理的各個角度強調了信息安全的重要性,在一定程度上提高了企業(yè)信息管理中的信息安全。
參考文獻:
[1] 馬志程,張磊,王瓊.基于ISO/IEC17799標準體系的企業(yè)信息安全管理新模式[J].電力信息與通信技術,2016,(1):80-83.
[2] 梁俊榮.基于信息安全的企業(yè)經濟信息管理探討[J].信息化建設,2016,(5):335.
[3] 劉曉松,郭玲玲.基于管理因素的企業(yè)信息安全事故分析[J].企業(yè)經濟,2013,(1):55-58.
關鍵詞:企業(yè) 移動信息 安全 保密 設計
一、企業(yè)移動信息安全方案設計
1.系統安全設計
1.1移動安全設計原則
第一、合規(guī)性原則:系統安全設計要符合國家法律法規(guī)及企業(yè)的信息安全政策,實現廠商、技術、產品整體合規(guī)。
第二、區(qū)域防護原則:根據移動應用數據的處理和傳輸過程,對其進行物理和邏輯多層次區(qū)域防護,以滿足國家信息系統安全等級三級保護基本要求。
第三、統一規(guī)劃、分布實施原則:規(guī)劃統一的移動應用平臺安全方案,配合企業(yè)移動應用試點、建設、推廣三個階段分布實施。
第四、保護現有投資原則:在企業(yè)現有的信息安全管理體系框架和安全技術架構基礎上,根據移動應用安全的特點和管控要求進行安全功能細化和完善,保護企業(yè)現有投資。
第五、可擴展原則:在信息安全系統功能、容量、覆蓋能力等各方面,系統安全架構要易于擴展,以適應業(yè)務快速變化對企業(yè)移動應用安全的安全管控要求。
1.2移動安全技術方案架構
第一、移動安全區(qū)域劃分:企業(yè)移動應用平臺所涉及的信息資產具有不同的安全屬性和價值,因而需要不同級別的安全保護。
第二、技術功能組件設計:結合信息安全等級保護要求以及信息安全技術架構參考模型ISO13335/15408,安全技術功能分為移動應用物理安全防護、移動應用安全網絡安全防護、移動終端安全防護、移動應用安全防護、移動數據安全防護等安全防護子系統。
1.3方案特點分析
企業(yè)移動應用平臺系統安全方案通過管理及技術控制措施的部署,對移動應用過程中的信息安全風險進行了有效的控制,實現了風險可識別、可控制、可化解的風險管理要求。通過移動管控系統,采用主動與被動相結合方式,對整個移動應用進行任何時間、任何地點、任何人、任何事件的監(jiān)督、控制和審計,確保系統安全。整體架構可充分滿足國家安全及企業(yè)信息保密的管理和技術控制要求,緊扣國家及企業(yè)保密相關政策,滿足合規(guī)性要求。
2. 災備方案設計
根據備份災備需求分析,企業(yè)移動平臺的災備等級定義為六級,即數據零丟失和遠程群集支持。企業(yè)移動平臺的災備方案、數據歸檔、同城備份、異地災備組成多級的高可用和災備方案,同時涉及到備份流程、恢復流程、介質管理等相關流程。
二、企業(yè)移動信息保密方案
企業(yè)保密方案主要分為幾個部分,其中重點是信息的生成、使用與交換。
1. 信息生成
對企業(yè)移動應用平臺信息資產按照企業(yè)信息保密要求進行分類、分級和標識,對不同安全級別的信息資產采取保護措施。
1.1管理方案
根據相關規(guī)章制度對企業(yè)移動應用平臺涉及的企業(yè)三星級及以下商業(yè)秘密信息進行分類、分級和標識,并將秘密知悉范圍限定在最小范圍。
三星級商業(yè)秘密是對企業(yè)整體利益、運營安全和競爭優(yōu)勢產生嚴重影響的核心秘密,包括涉及國家安全的發(fā)展戰(zhàn)略、企業(yè)核心技術、重大經營管理決策、重大合資合作項目等事項的相關信息。
二星級商業(yè)秘密是對企業(yè)整體利益、運營安全和競爭優(yōu)勢產生一定影響的秘密,包括企業(yè)重要技術、重要經營管理、重要交易等事項的相關信息。
一星級商業(yè)秘密是對企業(yè)局部利益、運營安全和競爭優(yōu)勢產生影響的秘密,包括一般的技術和經營等事項的相關信息。
1.2技術方案
企業(yè)內部應用系統自身的辦公管理類、經營管理類、生產運行類、基礎應用類等四類應用系統信息數據生成現有應用系統,企業(yè)移動應用平臺僅通過應用接口服務器與其進行信息訪問交互,可確保業(yè)務應用信息的生成在原有應用系統的安全環(huán)境下不被破壞。企業(yè)移動應用平臺自身生成的信息數據主要包含操作系統、應用程序、配置信息、應用緩存、用戶緩存、審計日志等,其信息數據的生成在經過三層網絡及應用安全防護安全系統架構保護環(huán)境之下,同時最核心的用戶信息數據在網絡及應用防護的最內層保護,可確保數據生成環(huán)境的安全。
2. 信息使用
建立統一的、基于用戶身份和角色的企業(yè)移動應用平臺,并建立對用戶企業(yè)移動應用平臺信息訪問過程的日志記錄和審計。
1.1管理方案
對企業(yè)移動應用平臺用戶進行統一的身份認證、授權、審計及賬戶生命周期管理,防止惡意人員假冒用戶身份對企業(yè)移動應用平臺信息進行濫用或故意泄露;對企業(yè)移動應用平臺信息的訪問和使用情況定期進行設計,確保信息使用過程是合規(guī)的經授權訪問;對企業(yè)移動應用平臺系統操作系統、數據庫系統、應用系統管理員進行職責分離,防止內部人員對企業(yè)移動應用平臺信息的濫用或惡意泄露;利用數據中心現有物理安全防護措施,實現對企業(yè)移動應用平臺信息及其信息載體的物理安全使用和訪問控制。
1.2技術方案
通過密碼技術和企業(yè)統一的PKI/CA 融合實現企業(yè)移動應用平臺用戶統一身份認證和單點登錄,實現安全的企業(yè)移動應用平臺信息訪問。為移動辦公終端用戶每個人均下發(fā)終端特制密碼設備,該終端特制密碼設備內含企業(yè)廣域網PKI/CA 系統下發(fā)的數字證書。在移動接入區(qū)部署安全接入認證網關,終端在接入移動辦公應用平臺之前,必須經過安全接入認證網關對數字證書的身份認證。終端特制密碼設備內置了PIN 碼,且具備自動鎖死功能,用戶連續(xù)輸入PIN 碼錯誤超過設定的次數,終端特制密碼設備將不能使用,進而采用雙因子的身份認證保證了接入者的身份真實性。移動終端在接入企業(yè)移動應用平臺之前,安全接入認證網關會對終端自身的唯一標識、終端自身唯一標識與用戶終端特制密碼設備的從屬關系進行校驗,確保合法用戶在其可使用的合法終端上對企業(yè)移動應用平臺進行訪問。
3. 信息的存儲、交換、備份/ 恢復、銷毀。
1.1信息存儲:對企業(yè)移動應用平臺信息及其存儲介質進行集中和統一管理,通過物理和邏輯的訪問控制,實現信息的完整性和可用性保護。
1.2信息交換:建立統一的企業(yè)移動應用平臺信息交換策略和控制程序,規(guī)范信息傳輸和交換方式,并對信息交換內容進行安全控制和審計。
1.3信息備份/恢復:建立企業(yè)移動應用平臺信息的備份及恢復策略,對研發(fā)數據進行有效的備份和恢復。
1.4信息銷毀:對物理設備上存儲的敏感信息進行安全的清除或銷毀,降低殘余信息泄露的風險。
技術手段是信息安全保密工作的基礎,管理制度是信息安全保密工作的保障,使用者則是信息安全保密工作的主體,只有技術到位、制度健全和使用正確,才能最大限度地消除甚至杜絕工作中的信息安全保密問題。
參考文獻:
1.企業(yè)信息化建設的重要性
信息化發(fā)展對于企業(yè)人員日常的管理,相比較原來舊的方法而言更方便快捷、更高效;對于企業(yè)的整體發(fā)展的影響,相比較原來用人來發(fā)現風險,信息化大數據管控更能提前預知風險并幫助企業(yè)更好地解決問題;對于企業(yè)組織結構和流程的影響,集成化的網絡信息系統是提高質效的一把利器。但現實使用中,企業(yè)的信息化進程存在安全度低、信息泄露嚴重和安全意識低等現象,導致企業(yè)和用戶損失大量人力物力,甚至受到巨大損失。由此可見,信息化建設對企業(yè)發(fā)展有著不可小覷的作用,能比原來的模式更有效處理問題、促進企業(yè)發(fā)展,是所有企業(yè)在發(fā)展過程中不可或缺的一個環(huán)節(jié)。
2.企業(yè)信息化建設中的網絡安全問題
2.1網絡安全意識不強
科學技術的不斷發(fā)展進步,對于企業(yè)發(fā)展的影響作用不言而喻,但是,相當一部分企業(yè)卻只看到益處卻忽略了“信息安全”的重要性。
近年來,在技術、社會和政府等多方面的努力下,企業(yè)的信息化建設發(fā)展速度加快,取得很大的進展,其重要作用毋庸置疑,各個企業(yè)都越來越重視信息化的進步。但在新聞報道中,經常見到有信息非法獲取、信息交易導致用戶信息泄露,這也是每個企業(yè)需要反思的問題。數據泄露、信息是否安全等問題并沒有引起所有企業(yè)的重視,嚴重的不僅會導致用戶信息泄露,如果發(fā)生企業(yè)數據庫被篡改、網絡系統崩潰等事件,給企業(yè)帶來的名譽和財產損失不可估量。
2.2技術水平不高
世界范圍內都存在一個不好處理的網絡難題———黑客。企業(yè)在信息化發(fā)展的過程中,免不了遇到技術問題,由于有關人員或團隊自身的水平不夠和相關方面的經驗的缺失,不可避免會存在某些漏洞和問題,這些漏洞和問題恰恰給了黑客絕佳的機會,讓他們有機會盜取信息。即使是市面上使用的各個“管家”與殺毒軟件也完全檢測不到,對企業(yè)的安全構成非常大的威脅。
2.3可使用的高水平軟件少
一方面是供研發(fā)企業(yè)使用的高水平軟件較少;另一方面是軟件安全度低,很多公司雖然看到信息化發(fā)展的好處,但卻貪圖低成本的小利益,花費小成本購買使用安全保護性低的工作軟件,結局只會帶來難以挽回的后果。
3.企業(yè)信息化建設提高網絡信息安全性的措施
3.1切實提高企業(yè)安全意識
科學技術的進步,促進企業(yè)重視信息安全,思考信息安全問題和公司發(fā)展之間不可分割的關系,因為信息泄露帶來損失還是小事,如果因此減少了企業(yè)競爭力,甚至阻礙了企業(yè)發(fā)展才是最可怕的結果。因此,企業(yè)應當提高安全意識,提前準備對策、制定應對突況的策略,防止信息泄露等潛在威脅,將威脅扼殺在搖籃之中。通過建立高技術水平的團隊,運用專業(yè)知識和工作經驗切實增強防火墻安全度,定期維護信息系統,從源頭的技術傳輸階段維護信息安全,建立完善的信息保護制度,以此來保護信息安全、促進企業(yè)發(fā)展。
3.2提高信息系統的管理水平
雖然現在大家都在普遍使用《金山毒霸》《騰訊管家》等安全防護軟件,但是這些軟件也不能保證絕對的安全。改革舊的風險評估模式,健全信息篩選管理安全體系,在一定程度上可以提高安全系統等級、減小信息被盜的風險,在信息系統建立過程中,及早發(fā)現風險并妥善處理對企業(yè)發(fā)展尤其重要。
3.3使用安全性高的軟件
歸根結底,所有的安全問題都是安全性低所導致的。雖然說沒有絕對安全的東西,但是相比于安全性低的軟件,安全性越高的軟件,保護能力也越強,能更好地保護信息安全。因此,企業(yè)千萬不能貪圖小利益使用低防護級軟件,保護信息安全,維護自身發(fā)展利益才是最重要的。
信息安全的總需求是邊界安全、網絡安全、主機安全、終端安全、應用安全和數據安全的最終目標,是確保信息機密性、完整性、可用性、可控性和抗抵賴性,以及企業(yè)對信息資源的控制[1]。2009年福建公司開展了等級保護工作,結合今年福建公司安全防護體系建設和等保測評成果,證明信息安全防護重點在于管理?,F代企業(yè)管理實踐也證明,任何工作均是3分技術,7分管理。電網企業(yè)信息安全工作也不例外,技術只是最基本的手段,規(guī)范、科學的管理才是發(fā)展根本的保障[2]。
2信息安全防護體系設計
2.1信息安全防護體系總體框架
在對多種信息安全防護體系進行研究分析后,參照ISO/27001信息安全管理標準,根據國家電網公司電網信息安全等級保護“雙網雙機、分區(qū)分域、等級防護、多層防御”原則,提出電網企業(yè)的信息安全防護體系框架。電網企業(yè)信息安全防護體系建設可從管理和技術層面進行[3]。該體系框架根據規(guī)劃設計、開發(fā)測試、實施上線、運行維護、系統使用和廢棄下線6個環(huán)節(jié)的信息系統生命周期特征制定全過程安全管理;從物理、邊界、網絡、主機、終端、應用、數據7個方面制定全方位的技術防護措施。
2.2信息安全防護管理體系設計
電網企業(yè)信息安全在信息系統建設、運行、維護、管理的全過程中,任何一個環(huán)節(jié)的疏漏均有可能給信息系統帶來危害。根據信息系統全生命周期,從規(guī)劃設計、開發(fā)測試、實施上線、運行維護、系統使用和廢棄下線6個環(huán)節(jié),設計覆蓋信息安全管理、運行、監(jiān)督、使用職責的安全管控流程[3-4]。
2.2.1網絡與信息系統安全管理
網絡與信息系統是企業(yè)現代化管理的重點。由于網絡與信息系統的動態(tài)性、復雜性和脆弱性,建立健全的信息安全管理體系已成為了保障網絡與信息系統安全的重要手段。網絡與信息系統的安全管理依照國家電網公司制定的《國家電網公司信息網絡運行管理規(guī)程(試行)》,遵循信息安全等級保護“雙網雙機、分區(qū)分域、等級防護、多層防御”的原則。
2.2.2人員安全管理與崗位職責管理
安全問題的特點為“3分技術、7分管理”,而管理的核心是人,對于人員安全管理與崗位職責管理其主要包含如下管理內容:(1)崗位職責。制定崗位責任書,明確各崗位信息安全責任。(2)持證上崗。安全工作人員持證上崗。(3)保密管理。與員工簽訂保密協議,并定期進行檢查與考核。(4)安全培訓。對員工進行定期安全培訓。(5)離職管理。對離崗離職人員賬號、權限及信息資產進行清理和移交。
2.2.3全過程安全管理
(1)系統規(guī)劃設計安全管理的主要內容包括:1)分析和確認系統安全需求。2)確定系統安全保護等級并備案。3)制定安全防護方案并進行評審。(2)系統研發(fā)安全管理的主要內容包括:1)制訂研發(fā)安全管理機制,確保開發(fā)全過程信息安全。2)加強開發(fā)環(huán)境安全管理,與實際運行環(huán)境及辦公環(huán)境安全隔離。3)嚴格按照安全防護方案進行安全功能開發(fā)并定期進行審查。4)定期對研發(fā)單位環(huán)境和研發(fā)管理流程進行安全督查。(3)系統實施與上線安全管理的主要內容包括:1)嚴格按照設計方案對網絡、主機、數據庫、應用系統等進行安全配置。2)嚴格遵循各項操作規(guī)程,避免誤操作。3)組織安全測評機構進行上線環(huán)境安全測評。4)及時對系統試運行期間發(fā)現的安全隱患進行整改。(4)系統運行維護安全管理的主要內容包括:1)遵循運維安全規(guī)程,執(zhí)行各項運維操作。2)對系統安全運行狀況進行實時監(jiān)控,及時采取預警和應急處置措施。3)定期進行安全風險評估、等級保護測評與整改。4)建立系統漏洞補丁的安全測試、分發(fā)和安裝管理機制。5)根據數據重要性進行數據備份,并定期進行恢復測試。(5)系統使用安全管理的主要內容包括:1)終端準入控制,對各種移動作業(yè)、采集、??氐冉K端進行安全測評。2)終端外聯控制,禁止終端跨網絡接入。3)系統賬號和權限管理,對系統使用人員及其權限進行嚴格管理。4)終端使用管理,防止終端交叉使用、用戶越權訪問等。5)終端數據存儲、處理時的安全保護。6)對移動存儲介質的安全管理。7)終端維修管理,由運維機構統一處理。8)終端下線、報廢時的安全管理,對終端數據進行安全處理。(6)系統廢棄下線安全管理的主要內容包括:1)評估系統下線對其它系統的安全性影響,制定下線方案并進行評審。2)系統下線前對重要數據進行備份和遷移。3)系統下線后對不再使用的數據與存儲介質進行銷毀或安全處理。4)系統下線后及時進行備案。
2.2.4系統測試評估安全機制與評價考核
信息系統建成后必須經過試運行并對系統的安全性、可靠性和應急措施進行全面測試,測試和試運行通過后方可投入正式運行,信息安全風險評估包括資產評估、威脅評估、脆弱性評估、現有安全措施評估、風險計算和分析、風險決策和安全建議等評估內容。安全管理機制的主要內容包括:事件管理、安全督查、等保管理、備案管理,應急管理等。
3信息安全防護體系
電網企業(yè)信息安全防護體系的設計[5],主要從物理、邊界、網絡、主機、終端、應用、數據7個方面進行,遵循環(huán)境分離、安全分域、網絡隔離、終端準入、補丁加固、數據分級、安全接入、基線配置、應用審計、密鑰應用等技術原則,輔以相應的技術措施實現全面的安全防護[6]。
3.1物理安全
物理環(huán)境分為室內物理環(huán)境和室外物理環(huán)境,根據設備部署安裝位置的不同,選擇相應的防護措施。室內機房物理環(huán)境安全需滿足對應信息系統安全等級的等級保護物理安全要求,室外設備物理安全需滿足國家要求。具體安全措施如下:(1)機房分區(qū)、門禁等準入控制。(2)設備物理安全需滿足國家對于防盜、電氣、環(huán)境、噪音、電磁、機械結構、銘牌、防腐蝕、防火、防雷、電源等要求。(3)機柜/機箱應避免可能造成的人身安全隱患,符合安裝設備的技術需求。(4)機柜/機箱外應設有警告標記,并能進行實時監(jiān)控,在遭受破壞時能及時通知監(jiān)控中心。(5)研發(fā)場所分離并采取準入控制
3.2邊界安全
邊界安全防護目標是使邊界的內部不受來自外部的攻擊,同時也用于防止惡意的內部人員跨越邊界對外實施攻擊,或外部人員通過開放接口、隱蔽通道進入內部網絡;在發(fā)生安全事件前期能夠通過對安全日志及入侵檢測事件的分析發(fā)現攻擊企圖,安全事件發(fā)生后可以提供入侵事件記錄以進行審計追蹤。
3.3網絡安全
網絡環(huán)境安全防護的目標是防范惡意人員通過網絡對網絡設備和業(yè)務系統進行攻擊和信息竊取,在安全事件發(fā)生前可以通過集中的日志審計、入侵檢測事件分析等手段,以及對信息內外網網絡、終端以及防護設備等安全狀態(tài)的感知和監(jiān)測,實現安全事件的提前預警;在安全事件發(fā)生后可以通過集中的事件審計系統及入侵檢測系統進行事件追蹤、事件源定位,及時制定相應的安全策略防止事件再次發(fā)生;并能實現事后審計,對惡意行為和操作的追查稽核、探測入侵、重建事件和系統條件,生成問題報告。
3.4主機安全
主機系統安全的目標是采用信息保障技術確保業(yè)務數據在進入、離開或駐留服務器時保持可用性、完整性和保密性,采用相應的身份認證、訪問控制等手段阻止未授權訪問,采用主機防火墻、入侵檢測等技術確保主機系統的安全,進行事件日志審核以發(fā)現入侵企圖,在安全事件發(fā)生后通過對事件日志的分析進行審計追蹤,確認事件對主機的損害程度以進行后續(xù)處理。
3.5終端安全
終端安全防護目標是確保智能電網業(yè)務系統終端、信息內外網辦公計算機終端以及接入信息內、外網的各種業(yè)務終端的安全。目前重點終端類型包括:(1)配電網子站終端。(2)信息內、外網辦公計算機終端。(3)移動作業(yè)終端。(4)信息采集類終端。對于各種終端,需要根據具體終端的類型、應用環(huán)境以及通信方式等選擇適宜的防護措施。
3.6應用安全
按照國家信息安全等級保護的要求,根據確定的等級,部署身份鑒別及訪問控制、數據加密、應用安全加固、應用安全審計、剩余信息保護、抗抵賴、資源控制、等應用層安全防護措施。
3.7數據安全
對數據的安全防護分為數據的災難恢復、域內數據接口安全防護和域間數據接口安全防護。域內數據接口是指數據交換發(fā)生在同一個安全域的內部,由于同一個安全域的不同應用系統之間需要通過網絡共享數據,而設置的數據接口;域間數據接口是指發(fā)生在不同的安全域間,由于跨安全域的不同應用系統間需要交換數據而設置的數據接口。
4結束語
【關鍵詞】信息化技術;企業(yè);網絡安全;信息管理;影響
1 前言
在信息技術極速發(fā)展的形式下,人們的生活、工作、學習得到了迅速的發(fā)展。由于計算機網絡的便捷性,計算機信息管理和網絡應用被廣泛地運用在各領域企業(yè)的信息管理中。但是,計算機在給我們帶了諸多的便利和效益的同時,也給企業(yè)網絡和企業(yè)內部信息安全帶來新的挑戰(zhàn)。在網絡通訊過程中,由于受到來自黑客、病毒的惡意侵害,導致企業(yè)商業(yè)機密和用戶個人隱私安全收到威脅,信息在上傳和傳輸時機密性、完整性、和真實性得不到有效的保護。因此,計算機網絡安全不論是對于企業(yè)還是用戶,都是至關重要的。解決計算機網絡安全是一項嚴峻的、長期的工程。本文基于作者多年工作經驗,從企業(yè)網絡安全管理存在的問題以及如何實施有效的網絡安全管理措施進行深入的探討。
2 目前企業(yè)網絡安全存在的問題
2.1 管理人員網絡安全意識淡薄
由于企業(yè)信息化管理是一個新型的管理方式,因此,在發(fā)展的過程中,管理人員的認識問題成為了企業(yè)網絡安全管理首要面對的問題。由于部分網絡安全管理人員對網絡安全的認識不許,網絡安全意識淡薄,不能及時完善相關網絡安全管理制度,有效的規(guī)范和約束員工的上網行為,導致企業(yè)內網絡用戶安全防范意識淡薄,計算機對病毒的防范能力落后。
2.2 黑客惡意攻擊
黑客攻擊是企業(yè)計算機網絡安全面臨的最大威脅。惡意黑客通過計算機竊取企業(yè)商業(yè)機密,攻擊企業(yè)網絡系統,導致企業(yè)網絡故障癱瘓,商業(yè)機密和客戶信息的安全受到嚴重的威脅,給企業(yè)帶來巨大的經濟損失。黑客攻擊主要有兩種類型,主動攻擊和被動攻擊。主動攻擊指的是黑客通過各種方式有選擇性地通過企業(yè)網絡破壞企業(yè)信息的完整性和有效性;被動攻擊指的是黑客在不影響企業(yè)正常工作的前提下,截獲、竊取、破譯企業(yè)的重要商業(yè)機密。這兩種攻擊方式都會給企業(yè)網絡安全和信息安全帶來極大的危害,導致網絡系統癱瘓,機密數據泄露,造成巨大的經濟損失。
2.3 網絡插件漏洞
沒有一個網絡軟件可以達到百分百的完美,或多或少都會存在這樣那樣的漏洞和缺陷。正時這些缺陷,給了黑客有機可乘的機會,導致這些缺陷和漏洞往往成了黑客攻擊企業(yè)網絡安全的首選目標。大部分出現的黑客破壞企業(yè)網絡,攻入企業(yè)網絡內部的時間都是因為企業(yè)網絡安全管理措施采取不當導致的。另外,還有一種重要的入侵途徑,就是軟件的“后門”,“后門”一般是軟件公司的設計編程人員為了自便而設置的,一般不為外人所知,但一旦“后門”被破譯,將會造成嚴重的后果。
2 企業(yè)網絡安全管理有效措施
在計算機網絡中,想要做好計算機網絡安全管理工作,主要可以從對網絡信息載體和信息處理、傳輸、存儲、訪問提供安全保護以及如何防止非法授權的使用或篡改方面著手進行。完善企業(yè)計算機網絡安全管理,具體可以從技術層面出發(fā),采取控制訪問、使用防火墻技術、對網絡信息進行物理隔離的措施,提高企業(yè)計算機網絡安全管理水平。
2.1 訪問控制
訪問控制指的是按照企業(yè)內部計算機網絡使用者的身份、所述部門、用戶權限的某項定義限制客戶對某些無關本質工作的機密信息的訪問。訪問控制通常被用于計算機網絡系統管理員控制用戶對服務器、文件、目錄等企業(yè)網絡資源的訪問。通過控制訪問,可以在企業(yè)用戶使用范圍內允許合法用戶訪問受保護的網絡資源,同時還能有效防止外部非法主體對企業(yè)內部受保護信息的訪問,提高內部信息的安全性和完整性。
2.2 防火墻
防火墻指的是由計算機硬件和軟件組合而成、在廣域網和局域網之間、專用網和公用網之間的界面上構成的一個網絡安全保護屏障。通過軟件和硬件結合,建立一個安全網關,保護內部網絡不收非法用戶的訪問和入侵。防火墻是最重要的計算機網絡安全屏障,能夠對經過它的網絡通信進行安全掃描,過濾惡意攻擊,阻擋非法訪問。防火墻還能封鎖特洛伊木馬,禁止特定端口的流出通信,保護用戶賬號信息安全。因此,防火墻技術也是集安全策略和安全管理的有機結合,在計算機網絡安全性能方面起到較強的保護作用。
2.3 網絡隔離
網絡隔離也叫協議隔離,主要是通過指把兩個或兩個以上可路由的網絡通過不可路由的協議進行數據交換,從而對網絡病毒進行有效的網絡隔離,達到隔離目的。通過網絡隔離技術,可以有效解決企業(yè)中對機密信息對安全性的突出需求,是企業(yè)網絡安全體系中不可或缺的環(huán)節(jié),有效地防止企業(yè)網絡系統被非法入侵、阻擋網絡攻擊,竊取機密信息。網絡隔離在企業(yè)計算機網絡安全和機密信息保護上起著至關重要的作用。但是由于網絡隔離技術需要轉換不同的協議,技術較為復雜,因此網絡隔離技術還沒有得到普及。
3 結束語
總而言之,計算機網絡管理給企業(yè)帶來了巨大的便利的同時,也帶來了相應的安全隱患。隨著計算機網絡的普及,企業(yè)計算機網絡安全形勢日益嚴峻。加大企業(yè)計算機網絡安全管理建設,是關系到企業(yè)利益和形象的重大問題。目前在各個單位中都存儲這大量的保密信息、資料,其管理的有效性和完整性都需要靠計算機網絡系統完成。一旦企業(yè)網絡安全出現問題,造成信息丟失、損壞、篡改和切用,都將給企業(yè)帶來不可彌補的損失。因此,要提高網絡安全管理意識,利用現因網絡管理技術,加強對企業(yè)計算機網絡安全管理,提高計算機網絡安全性能。
參考文獻:
[1] 張雅靜.計算機網絡安全的影響因素及對策探討[J].信息與電腦(理論版).2013(15).
解決信息系統安全要有以下幾點認識:要解決信息系統要有統籌全局的觀念。解決信息系統的安全問題要樹立系統觀念,不能光靠一個面。從系統的角度分析信息系統是由用戶和計算機系統兩者組成,這包括人和技術兩點因素。使用和維護計算機安全信息系統可以根據信息系統具有動態(tài)性和變化性等特點進行調整。信息系統是一項長期屬于相對安全的工作,必須制訂長銷機制,絕不能以逸待勞。企業(yè)信息系統安全可以采取的策略是采用一套先進、科學及適用的安全技術系統,在對系統進行監(jiān)控和防護,及時適當的分析信息系統的安全因素,使這套系統具有靈敏性和迅速性等響應機制,配合智能型動態(tài)調整功能體系。需要緊記的是系統安全來自于風險評估、安全策略、自我防御、實時監(jiān)測、恢復數據、動態(tài)調整七個方面。其中,通過風險評估可以找出影響信息系統安全存在的技術和管理等因素產生的問題。在經過分析對即將產生問題的信息系統進行報告。
安全策略體現著系統安全的總體規(guī)劃指導具體措施的進行。是保障整個安全體系運行的核心。防御體系根據系統中出現的問題采用相關的技術防護措施,解決各種安全威脅和安全漏洞是保障安全體系的重心。并且通過監(jiān)測系統實時檢測運行各種情況。在安全防護機制下及時發(fā)現并且制止各種對系統攻擊的可能性,假設安全防護機制失效必須進行應急處理,立刻實現數據恢復。盡量縮小計算機系統被攻擊破壞的程度??梢圆扇∽灾鱾浞?數據恢復,確?;謴?快速恢復等手段。并且分析和審理安全數據,適時跟蹤,排查系統有可能出現的違歸行為,檢查企業(yè)信息系統的安全保障體系是否超出違反規(guī)定。
通過改善系統性能引入一套先進的動態(tài)調整智能反饋機制,可以促進系統自動產生安全保護,取得良好的安全防護效果??梢詫σ慌_安全體系模型進行分析,在管理方面,對安全策略和風險評估進行測評,在技術層面,實時監(jiān)測和數據恢復形成一套防御體系。在制度方面,結合安全跟蹤進行系統排查工作。系統還應具備一套完整的完整的動態(tài)自主調整的反饋機制,促進該體系模型更好的與系統動態(tài)性能結合。
信息安全管理在風險評估和安全策略中均有體現,將這些管理因素應用與安全保障體系保護信息安全系統十分重要。企業(yè)必須設立專門的信息系統安全管理部門,保障企業(yè)信息系統的安全。由企業(yè)主要領導帶頭,組織信息安全領導小組,專門負責企業(yè)的信息安全實行總體規(guī)劃及管理。在設立信息主管部門實施具體的管理步驟。企業(yè)應該制訂關于保證信息系統安全管理的標準。標準中應該明確規(guī)定信息系統中各類用戶的職責和權限、必須嚴格遵守操作系統過程中的規(guī)范、信息安全事件的報告和處理流程、對保密信息進行嚴格存儲、系統的帳號及密碼管理、數據庫中信息管理、中心機房設備維護、檢查與評估信息安全工作等等信息安全的相關標準。而且在實際運用過程中不斷地總結及完善信息系統安全管理的標準。
相關部門應該積極開展信息風險評估工作。通過維護信息網的網絡基礎設施有拓撲、網絡設備和安全設備,對系統安全定期的進行評估工作,主動發(fā)現系統存在的安全問題。主要針對企業(yè)支撐的信息網和應用IT系統資產進行全方位檢查,對管理存在的弱點進行技術識別。對于企業(yè)的信息安全現狀進行全面的評估,可以制作一張風險視圖表現企業(yè)全面存在的問題。為安全建設提供指導方向和參考價值。為企業(yè)信息安全建設打下堅實的基礎。
最后,加強信息系統的運行管理。可以通過以下措施進行:規(guī)范系統電子臺帳、設備的軟件及硬件配置管理、建立完善的設備以及相關的技術文檔。系統日常各項工作進行閉環(huán)管理,系統安裝、設備運營管理等。還要對用戶工作進行規(guī)范管理,分配足夠的資源和應用權限。防御體系、實時檢測和數據恢復三方面都體現了技術因素,信息安全管理系統技術應用于安全保障體系中。在建設和維護信息安全保障體系過程中,需要多方面,多角度的進行綜合考慮。采用分步實施,逐步實現的手法。在信息安全方面采取必要的技術手段,加強系統采取冗余的配置,提高系統的安全性。
對中心數據庫系統、核心交換機、數據中心的存儲系統、關鍵應用系統服務器等。為了避免重要系統的單點故障可以采取雙機甚至群集的配置。另外,加強對網絡系統的管理。企業(yè)信息系統安全的核心內容之一是網絡系統。同樣也是影響系統安全因素最多的環(huán)節(jié)。網絡系統的不安全給系統安全帶來風險。接下來重點談網絡安全方面需要采取的技術手段。網絡安全的最基礎工作,是加強網絡的接入管理。
與公用網絡系統存在區(qū)別的是,企業(yè)在網絡系統中有專門的網絡,系統只準許規(guī)定的用戶接入,因此必須實現管理接入。在實際操作過程中,可以采取邊緣認證的方式。筆者在實際工作經驗總結出公司的網絡系統是通過對網絡系統進行改造實現支持802.1X或MAC地址兩種安全認證的方式。不斷實現企業(yè)內網絡系統的安全接入管理。網絡端口接入網絡系統時所有的工作站設備必須經過安全認證,從而保證只有登記的、授權記錄在冊的設備才能介入企業(yè)的網絡系統,從而保證系統安全。根據物理分布可以利用VLAN技術及使用情況劃分系統子網。這樣的劃分有以下益處:首先,隔離了網絡廣播流量,整個系統避免被人為或者系統故障引起的網絡風暴。其次是提高系統的管理性。通過劃分子網可以實現對不同子網采取不同安全策略,可以將故障縮小到最低范圍。根據一些應用的需要實現某些應用系統中的相對隔離。