關于企業信息安全現狀分析的論文
第一篇:企業信息安全現狀分析
一、企業信息安全現狀
(一)企業自身方面
1.企業對信息安全重視程度不夠
我國雖然大力發展企業信息化建設已有一段時間,但是國內很多企業的信息化整體水平不高,大多數企業的信息化基礎還很薄弱。很多員工認為企業信息化的實質就是計算機,對企業信息安全來講只要能使計算機正常運行,日常工作可以正常的運轉這就可以了,在頭腦里對企業信息安全沒有一個清楚和正確的認識。信息安全是保證企業信息的保密性、真實性、完整性、未授權拷貝和所寄生系統的安全。其主要目的就是保護企業信息不受內部、外部、自然等因素的威脅。
2.企業對信息安全資金投入少
企業是一個以生產經營為主的經濟組織,資金的投放重點主要投向生產經營方面,所有的日常工作圍繞生產轉,重心向生產傾斜,大部分的資金流向生產部門。企業信息化建設資金投入巨大,很多情況下需要長期投入,形成整體合力的周期長。這導致了每年撥給信息化建設的資金不足,甚至被擠占、挪用,從而使企業信息化整體建設資金不足,這更導致了對企業信息安全方面資金投入量更少,使之長期營養不良。
3.國內信息安全整體應用水平低
一些企業已經認識到了在信息安全方面的漏洞是給企業造成重大損失的隱患,但是目前我國國內信息安全行業的整體技術水平低。雖然推出了很多信息安全產品,可是安全系統整體集成與應用水平不高,甚至個別不同品牌的安全產品運行使用上還會互有沖突,不能對企業信息進行有效防護。
4.人員素質不高
企業信息安全技術人員匱乏。其中既懂信息安全技術又懂企業生產運行流程和管理的高素質人才更加稀缺。同時使用人員的素質也普遍不高,大部分企業多半員工停留在一般使用計算機的水平。一些新上信息安全系統給計算機使用上增加了諸多使用限制,例如身份識別系統在若干次密碼輸入錯誤后系統自動鎖定無法正常登陸,使初用者感到諸多不便容易產生抵觸情緒,無形中增加了信息安全推廣使用方面的難度。
5.沒有健全的信息管理制度
企業信息化管理改變了企業許多原有的生產經營管理模式,很多使用制度和使用規范沒有建立健全,在各方面都需要一個規范化的操作管理,而很多員工對此認識不深對信息化設備不愛護使用,導致故障頻出連一些基本的信息安全都不能保證。
(二)人為因素方面
1.人為無意識的因素
由于在設計建設初期對信息安全防護方面考慮不周,或者信息技術人員安全觀念淡薄、技術不熟練、責任心不強等原因,不執行安全操作制度,造成軟件或硬件設備的損壞、運行故障、數據丟失或誤刪除等責任事故。信息終端用戶的誤操作,也會造成一些不必要的損失。
2.人為惡意破壞因素
網絡攻擊已經成為威脅企業信息安全的主要因素。攻擊者利用計算機系統等方面的漏洞和缺陷,采用惡意攻擊、網絡監聽、密碼暴力破解等手段侵入計算機系統,盜竊企業核心機密信息。
3.計算機病毒
當前計算機病毒的破壞對象已經不僅僅只是對存儲數據和硬件設備造成破壞,新型病毒對網絡設備、數據存儲設備甚至一些信息安全設備進行攻擊和破壞。利用病毒自動傳播和黑客緩沖溢出技術相結合的特點使病毒產生連鎖反應,造成信息系統大面積的癱瘓。例如前幾年的熊貓燒香病毒,許多企業和政府機構受到病毒襲擾,其中不乏一些關系到與人民日常生活息息相關的要害單位,造成的損失不可估量。
4.內部人員的破壞
堡壘都是由內部攻破的。很多企業對自身的信息安全將會遭到外部攻擊有一定的考慮,安裝殺毒軟件、硬件防火墻等一些安全設備,可是卻忽略了內部的安全防護。企業信息系統中的資源并不是對所有人共享。對這種要求企業一般都會做出訪問權限、身份驗證、禁止非法拷貝等相應的安全設置。但是在實際的應用過程中出現了用戶權限設置不科學,對一些數據的訪問控制權限劃分過于粗糙,不能確保使用上的安全。并且企業內部也有一些人員,惡意攻擊、非法盜取企業核心機密,由于沒有有效可控手段,這種情況防不勝防。
二、對于企業信息安全的相應解決策略
(一)信息安全管理方面
1.開展企業信息安全教育。
信息安全實質上是為企業日常安全生產保駕護航,建議多組織召開包含企業各級部門“一把手”在內的企業信息安全宣教會,詳細介紹企業信息安全的基本理論、常識、發展主流以及一旦發生信息安全事故對企業科研、生產經營所造成的嚴重影響,在思想上提高對企業信息安全的認識,進而提高企業全體員工的重視程度。
2.增加企業信息安全建設的資金投入。
建立年度的信息安全建設投資預算計劃,將預計資金使用量匯總到企業年度技改計劃中,把信息安全建設納入企業信息化整體建設規劃中,以確保信息安全資金穩定的可持續性投入。
3.加大對信息安全人才的重視。
人才是企業信息安全建設中的重點,如果只偏重于軟硬件、基礎設施上的資金投入而在信息安全上得不到有效的管理和使用,那就是本末倒置了。成立由公司高管直接負責的信息化部門,負責整個企業的信息安全人才培養和相關信息安全建設的事務。
4.建立完善的信息安全制度并加大監督執行力度。
良好的管理制度可以為信息安全創造有力的執行環境和條件,信息安全技術又促進了管理更有效更優良的發展。同時強有力的監督執行,使之在使用和操作上也加強了使用規范和效率,避免了一些人為失誤造成的損失。
(二)信息安全技術方面
為了切實保障企業信息的機密性、完整性、可控性和安全性,必須采用一系列相應的技術手段,這是信息安全技術中最直接有效的部分。
1.硬件防火墻和入侵檢測、漏洞掃描系統
硬件防火墻是內部網絡與外部互聯網之間的一道安全關口。它在企業內部網絡和外部互聯網絡之間設置了一道安全壁壘,有效防止外部對內網進行非法訪問。入侵檢測系統對網絡傳輸進行實時監控,在發現可疑傳輸時發出報警或者采取主動反應措施,漏洞掃描系統對指定的遠程或者本地計算機系統的安全脆弱性進行檢測,及早發現可被利用的安全漏洞。它們可以相互配套,增強系統管理員的安全防范能力。
2.網絡安全審計
網絡安全審計是指按照一定的安全策略,審查和檢驗操作事件的活動,從而發現系統漏洞、入侵行為。實際是記錄與審查用戶操作和使用活動的過程,如用戶所調用的信息、使用時間、執行的操作等。安全審計對系統記錄和行為進行獨立的審查和估計,可以有效監控用戶的使用情況,對內部潛在的非法攻擊者起到威懾作用。
3.虛擬局域網技術
按照公司的實際生產管理需要劃分,使用虛擬局域網絡技術將持有敏感信息的用戶組與網絡的其他部分隔離,從而降低泄露機密信息的可能性,增強局域網的安全性。
4.網絡殺毒軟件的使用
使用網絡版殺毒軟件,網絡管理員能夠利用其實現對全網電腦進行遠程統、有效清除計算機病毒,徹底解決局域網病毒殺而不絕、四處流竄的夢魘。
5.定時備份重要數據
企業應使用統一的數據備份系統,由專人對數據進行定時備份定時檢查,確保數據的完整性可靠性。并且保證備份介質異地存放,專人管理。信息安全已經成為促進企業自身發展壯大的條件之一,誰能抓住時代的脈搏在新的技術條件下將信息安全與企業管理高效融合,為企業走可持續化發展道路保駕護航,誰就抓住了企業生存與發展的主動權,從而在知識經濟和信息化高速發展的當前,長遠生存發展壯大。
作者:于強 工作單位:陜西興化集團有限責任公司
第二篇:企業網信息安全保衛思路
1引言
為順應經濟全球化大環境和國家信息化發展戰略需要,現在大多企業推動企業信息化建設進程,生產作業層信息化可以顯著提高生產效率和產品質量;管理辦公層的信息化實現企業信息共享、加強業務控制和利用信息加強企業管理;戰略決策層的信息化通過國家和地方政策法規、國內外相關行業的市場行情走向等進行合理分析,為企業高層提供產品、銷售、財務決策和企業戰略規劃提供可靠支持;協作商務層的信息化促進企業與外部供應商、分銷商和客戶間的實時溝通和協同商務,信息化是未來社會企業的必然趨勢,而企業網的信息安全正是其發展軟脅[3]。本文在最新企業網調查數據上挖掘企業網信息安全真相,提出相應的安全保衛技術。
2企業網的現狀
我們從幾家權威機構關的最新調查報告中以不同角度觀察了解我國企業網的現狀。據CNNIC中國互聯網絡信息中心最新公布的《第33次中國互聯網絡發展狀況統計報告》:截至到2013年12月,我國有93.1%的企業使用計算機辦公,83.2%的企業利用互聯網辦公,40%以上的企業建立了獨立的企業網站;而在2013年上半年隨機受訪的3000家企業的獨立網站中,86.4%具備產品或服務的展示、77.4%樹立品牌形象、63%提供客戶服務、此外還有在線銷售功能、原料采購功能、內部辦公、在線支付功能等[4]。卡巴斯基實驗室與B2BInternational聯合調查結果文件《2013年企業威脅回顧》顯示:企業越來越容易受到網絡攻擊,在2013年,約有91%的被訪企業曾遭受過至少一次網絡攻擊,9%遭受過針對性攻擊,網絡攻擊的目的主要是為了竊取信息,或破壞―――通過惡意軟件清除數據或者阻止基礎設施操作[5]。在《2013年全球公司IT安全威脅調查》中指出:員工在工作中經常使用的軟件的漏洞成為企業內部網絡安全事故的主要原因,軟件漏洞給39%的公司造成內部數據安全問題[6]。奇虎360在《Gartner:互聯網時代的企業安全發展趨勢》中指出:企業安全屬于一種集體安全問題,安全性最差的一臺電腦往往決定了企業內網系統的整體安全級別。另有數據顯示:企業官網是“后門”檢出率最高的網站類型,比例達到38.5%,且企業網站是流量攻擊的首要目標[7]。2013年中國國家計算機病毒應急處理中心的統計報告顯示,近年來我國每年企業網、政府政府機關的網絡系統遭受黑客攻擊和病毒侵害的比例高達80%[8]。瑞星安全專家在《瑞星2013年中國信息安全報告》中指出:“棱鏡門”曝光表明地理界限、空間阻礙已不能阻止信息的流通,信息安全保衛是個人、企業、國家三者的必修課;信息虛擬化發展迅速,使企業處于信息安全風暴,完善企業信息安全機制任重道遠[9]。
3企業網存在的信息安全隱患
在互聯網社會,信息安全問題已成為企業信息化進程中普遍存在的問題。不同于傳統的威脅,信息安全威脅無處不在,如影隨形,無論企業采用了何種信息化的管理手段,只要打開設備,哪怕只是打開文件或收發電子郵件,都有可能引發信息安全問題。企業網沒有暴露信息安全問題,并不是防護措施完善,而是其信息的價值不夠高,或者入侵者低調悄然無息[10]。從威脅來源來看,數字化的企業網信息安全面臨“內憂外患”,從威脅的種類來看,企來網信息安全威脅主要有軟件和硬件的先天缺陷、企業管理制度的制定不當和執行不到位、企業員工操作不當和有意泄密、黑客惡意攻擊、病毒感染等。
1.企業網中的硬件本身存在缺陷。硬件為軟件的載體,構成企業網網絡的服務器、工作站、路由器等硬件設備在設計或制造過程中可能存在缺陷,且硬件會老化、過時,易受外界溫度、濕度等環境因素和自然災害等不可抗力影響。此外,硬件運行時產生的電磁輻射、信息傳道信道也有可能被[1]。如:“911”事件使得多家企業和機構的辦公場所含硬件設備在廢墟中深埋,但同樣遭災的德意志銀行和紐約銀行由于企業信息災備準備不同后果迥異,前者很快恢復業務處理,而后者數月后被迫破產。
2.企業網中的軟件存在先天缺陷:企業網為方便辦公所安裝的軟件(如操作系統、辦公軟件等系統軟件、各類企業管理控制軟件等)在開發時受軟件的抽象性、所解決問題的復雜性、軟件開發時的開發方法、軟件安裝環境和開發人員水平等因素影響軟件本身存在先天設計或編碼上的缺陷,使用時企業環境、軟件所處軟硬件環境又在不斷變化也要求軟件相應調整,若這些軟件問題沒有及時解決就有可能給企業網帶來巨大的信息安全隱患。如:微軟官方宣布2014年4月8日起對WindowsXP停止更新、漏洞修復等服務,缺少了系統支持服務,不能及時更換WindowsXP企業用戶(據2012年相關抽樣調查,XP在某些企業應用比例超70%)將面臨操作系統與各類軟硬件間的兼容性、設備驅動及黑客對系統漏洞的攻擊風險等問題[9]。
3.企業管理不當。企業的信息安全問題部分是由信息系統開發技術引起的,更多時候出在管理制度不嚴密、執行不到位上,科學合理的信息安全管理制度和嚴格的執行是企業信息安全的必要保證[1]。很多企業內網遭遇病毒、木馬、被入侵等信息安全威脅就是因為企業員工大意的運用不安全的移動存儲器拷貝文件,不加保護地網絡共享文件、傳送文件,或者私自用內網計算機上外網引起的。例:2011年韓國多家媒體及金融機構業務網絡受攻擊癱瘓的根源就在其內外網安全隔離機制和權限管理機制存在缺陷。
4.企業員工存在不當操作:若企業員工不按規范操作,再高級的軟硬件系統也無安全性可言。根據Verizon2013年關于數據泄露調查報告顯示:由內部因素導致的數據泄露達到了2009年以來的最高值,其中,有7/10是由內部人員不小心導致。常見的不當操作有:采用軟件提供廠家默認配置如系統初始用戶名及密碼等,密碼選用不慎重(如:使用簡單密碼或從不變更密碼),不注意保密工作(如:將自己的帳號隨意轉借他人或與別人共享,用戶登錄操作結束后不退出),不及時給軟件打補丁等。
5.內部威脅將成企業信息安全攻擊主流:內部或本系統的人員通過網絡竊取機密、泄露或更改信息以及信息系統,此種內部泄密主要原因是有意識的利益驅動。據360相關調查:中國商業秘密刑事案件中有60%與人才離職有關。2012年北京某公司辦公管理程序及相關數據文件被離職員工遠程進入公司內網刪除,損失巨大。2013年HTC手機研發高層出內鬼,核心機密失竊延誤上市良機;某寶被曝鬧內鬼20G用戶信息被盜賣;某快遞公司內鬼勾結網站20萬條用戶快遞信息遭兜售。
6.黑客惡意攻擊。近年來,黑客攻擊網絡犯罪逐漸產業化,黑客通過釣魚、掛馬、傳播病毒、破解口令等方式攻入企業服務器或客戶機,偷取和破壞企業數據及文件;或者通過遠程攻擊的方式,癱瘓企業服務器乃至整個企業網絡,干擾企業的正常運營,損害企業利益。這種行為破壞性最強,可能給企業造成巨大危害,甚至給社會帶來震蕩。有關調查顯示,亞太區約75%的受訪企業曾遭黑客入侵,被盜取知識產權、客戶信用卡數據及客戶個人身份。Verizon2013年關于數據泄露調查報告顯示超過55%的泄露事故由專業的受利益驅使的犯罪團伙實施。例如:2013年10月前后由國外入侵的“密鎖”病毒高針對企業,永久深度加密企業文檔限時敲詐。2014年1月人人貨、好貸網、拍拍貸等多家互聯網金融企業遭受惡意攻擊致使暫停服務,據受害企業表示可能是競爭者幕后指使。繼頻頻傳出的個人比特幣帳戶被盜事件后,2014年2月底全球最大比特幣交易平臺Mt.Gox公司帳號及超百萬的用戶帳號中所有比特幣幾乎全部被盜,折合損失約4.67億美元,導致公司破產,投資者利益嚴重受損。
7.病毒感染。病毒是企業網中最常見的信息安全威脅,不同種類的病毒為企業網造成不同程度的危害,如:影響電腦和網絡的速度,經查殺后即可恢復;有的病毒會迅速感染整個網絡,造成網絡癱瘓,對付這種病毒需要斷網后系統性地對整個網絡進行病毒查殺;有的病毒會修改、刪除企業的數據,企業可以通過備份的數據恢復;而有的病毒會對硬件造成不可逆的損壞[1]。從病毒發展演變和發作趨勢來看,計算機病毒感染方式已從單機的被動傳播變成了利用網絡的主動傳播,不僅帶來網絡的破壞,而且造成網上信息的泄露,特別是在專用網絡上,病毒感染已成為網絡安全的嚴重威脅[11]。
4信息安全保衛技術
當今,“信息”已成為企業四大資源之一,我國企業大多利用互聯網辦公,虛擬化后的企業網信息使得企業辦公和運營更高效穩定,維護更簡單,成本更低廉,與此同時,一旦承載企業信息平臺的電腦系統出現問題,企業辦公將受到牽連,嚴重時還可能使整個系統癱瘓,甚至造成企業倒閉或社會動蕩。我們可以通過以下途徑來加強企業網的信息安全保衛。
1、國家須健全與網絡信息安全相關的法律法規,以震懾網上不法分子,減少網絡威脅。目前我國對互聯網上行為的規范相對滯后,大多沿用國際標準,沒有很好地體現中國特色。現有法律法規制定對網絡上許多行為概念不清、內容不完善或處罰較輕,在具體實施時,國家政策管理、監督及執行力度不夠,致使執行過程中出現問題得不到及時、妥善解決,對網絡信息安全方面的不法分子震懾力度相對不夠。
2、企業須建立科學合理的信息安全管理體系。任何系統,無論外部堡壘如何堅固,其系統內部都較脆弱,內部員工無意的疏忽或有意泄漏最易造成企業信息安全事件,因此,加強企業網信息安全防范最重要的是加強企業管理。企業必須將信息安全融入企業管理,制定科學合理、嚴密詳細的管理規章制度,在企業業務有效運轉的同時保障企業信息安全可靠。首先,對企業網中的各類資源和操作(如:各種設備、文檔、網絡共享、移動存儲、打印、文件傳輸等)進行全面、專業、詳細的信息安全風險評估,列出潛在風險所在,確定安全管理范圍和安全管理等級,嚴格分級分塊,使不同級別,不同業務的人員權限不同,杜絕權限濫用隱患;制定明確的網絡信息操作使用規程、不同角色對應的權限和責任;制定網絡系統的維護制度和風險應急處理流程等,設立嚴格的獎懲機制,將信息安全效果與物質精神獎懲掛鉤,并建立安全審核與跟蹤體系,整體提高員工的網絡安全意識。
3、加強企業員工信息安全意識教育。再好的制度也須執行到位再能管用,所以,企業必須加強員工的信息安全教育。首先,企業應向員工普及國家相關的法律法規和企業相關的信息安全規章制度;其次,企業在職位崗前培訓時側重信息安全技術培訓,使員工明確信息安全的重要性和潛在風險,讓員工掌握正確的企業網信息系統操作方法和一定的信息安全防范技巧;再次,嚴格執行企業關于信息安全保護獎懲機制,使大家實時體會到信息泄露防護的重要性;最后,加強軟件公司維修人員、離職員工的帳號管理。
4、加強企業內網信息安全管理。企業內網集中存儲著企業核心機密資料(如企業生產工藝、經營計劃、銷售數據、客戶信息等),運行著企業的核心業務,是企業賴以生存和發展的基石,也是企業網信息安全保障工作的重點,企業內網一旦出問題,輕則影響企業正常運轉、重則危及企業生存。為檢測和抵御來自外部網絡的攻擊,企業應部署高性能、有全面安全防護功能、適應本企業的防火墻及其他防護系統,加強入網口網絡通信的監控。對于企業內網,為免禍起蕭墻,首先要安裝防火墻和殺毒軟件,并合理地設置安全規則,定期和不定期地查殺病毒和木馬;及時給內網中的服務器、公司電腦中所有軟件升級和打“補丁”,及時“補”上系統潛在的安全漏洞;企業服務器須關閉不必要的端口,并加強日志分析和入侵檢測;做好信息系統異地災備工作,以備出現問題時可及時恢復;此外,還要加強內網物理設施和環境中基礎設施的維護和管理[1]。
5、加強企業網絡宣傳平臺的信息安全管理據中國互聯網絡中心調查,截至2013年底,民規模達6.18億[4]。很多企業為了推廣企業形象,提高競爭力,采用多種網絡宣傳和營銷平臺,如企業官網、即時聊天工具、搜索引擎、電子商務平臺、企業微博等,除企業所建官網外多數平臺并不受企業控制,若相關帳號密碼被破解和濫用,將會對企業帶來極大負面影響[1]。企業應配合全國組織機構代碼中心做好企業實名認證,并妥善管理各平臺的帳號。
5結語
移動技術、虛擬化、云計算等計算機技術將大部分的企業管理和商業運作被搬上網絡,使事務管理、商務流程等數字化為網絡中流淌的01比特流,極大地提高和完善了企業生產管理效率[1];與此同時,在經濟全球化的大環境下,資金、資源、技術、信息、人才等不再受地域限制,企業網信息安全威脅也同突破空間和地域限制。信息化是信息驅動時代企業必然的發展趨勢,任何操作和管理上的小疏忽有可能讓企業面臨生死存亡,信息安全保衛是企業必須重視的戰略層面的問題。企業須采用較為先進完善的技術架構和安全手段,對各類電子設備、不同層次的員工進行權限設置,建立嚴格的信息安全管理制度和業務操作流程,建立較為完善的信息安全應對措施,并將信息安全規范執行到位,并將信息安全作為一項系統性的、持續性的工作來做,方能真正保障企業的信息安全[11]
作者:李小榮12 疏志年2 工作單位:1合肥工業大學計算機與信息學院 2巢湖學院計算機與信息工程學院
第三篇:企業計算機信息安全管理的重要性
1概述
當今社會計算機信息網絡發展迅速,我國必須意識到計算機網絡信息安全管理的重要性,做好計算機網絡信息安全管理的各項工作。首先,應該建立健全相關的各項規章制度,從法律的角度來保證計算機信息網絡的安全。其次,公安機關應該加強對計算機信息網絡的安全管理工作,形成安全管理的堅固基礎。再次,應該發動社會民間組織和社團積極的參與到維護計算機信息網絡安全工作中來,為保障計算機信息網絡安全創造一個良好的環境。最后,應該堅持自主創新,建立和完善我國自己的計算機信息網絡安全技術保障標準體系,從而促進我國計算機信息網絡安全、健康地發展。
2網絡安全管理保障工作
2.1建立和完善網絡管理制度。要嚴格的按照有關單位和部門的規定,建立和完善網絡管理制度,并且真正的把這項網絡管理制度落實到實處。
2.2加強計算機網絡系統的日常維護工作。要想真正的保證網絡安全,對計算機網絡系統加強日常維護工作是必不可少的。在維護的過程中,如果發現異常情況,應該及時的解決掉。最好定期的對計算機網絡設備進行檢查,并安排網絡維護值班人員,以便發現故障及時的處理。
2.3重視網絡病毒的檢查和防范。如果發現了病毒應該及時的進行查殺,并更新殺毒軟件的病毒庫。情節嚴重的應該馬上跟有關部門報告。
2.4制訂應急預案。對于一些很重要的網絡設備和電源,最好留一個備份,并且制定應急預案,以便發生意外,把損失減到最小。除此之外,還有其它的管理措施,比如:一是對本單位信息系統的帳戶、口令等定時進行專門的清理檢查,并及時將軟件更新和升級,消除安全隱患。二是強化網絡安全管理工作,對所有接入企業網絡的計算機設備進行了全面安全檢查,對發現有操作系統存在漏洞、防毒軟件配置不到位的計算機進行全面升級,確保網絡安全。三是規范信息的采集、審核和發布流程,嚴格信息發布審核,確保所發布信息內容的準確性和真實性。四是嚴格禁止涉密計算機和涉密存儲介質與互聯網相連,涉密計算機的信息由涉密存儲介質備份,并配置專用打印機。
3企業網絡安全管理措施
3.1加強安全防范意識,提高人員素質。首先,在思想上要十分注重網絡安全。一是無論在什么崗位,企業的每一個員工都應該深刻的意識到計算機信息網絡安全的重要性。二是加強對企業員工信息安全的防范教育,通過開展一些培訓活動,使企業員工真正的加強安全防范意識。其次,要不斷提高員工素質。除了從主觀上提高安全防范意識,也要從客觀上提高員工的素質,因為網絡信息安全管理在實際的操作中需要很多的專業的人才,所以,企業應該定期的對相關員工進行安全技能的培訓,從而提高企業員工的安全防護能力。
3.2要加大對計算機網絡與信息安全工作的投入。信息技術進步神速,我國在這一領域同發達國家比,并沒有優勢。因此我國更應加大投入,刻苦攻關,掌握一些關鍵的信息技術,以確保我國在信息安全方面的自主能力。可以毫不夸張地說,今年安全方面的自主能力,將制約我國的綜合國力和國防實力,因此,我國應當像五六十年代發展“兩彈一星”一樣,集中力量,加大投入,迎接信息技術革命的挑戰,保衛國家安全。這一點,我們不能幻想通過進口來解決問題。在信息安全技術方面,發達國家一方面極為重視研究開發,美國政府曾為了改進美國政府的計算機安全系統,投入巨大的資金;另一方面,又嚴格控制信息安全技術的出口。以美國為代表的發達國家,對信息安全產品出口,已作出許多嚴格限制,以維護其在信息技術領域的絕對優勢。
3.3關鍵數據采用加密手段。在企業計算機網絡中關于數據安全的隱患無處不在。尤其是一些機密數據庫、商業數據等一定要保證它的安全性,這時一般會采取對數據加密的手段,它是一種保護數據在存儲和傳遞過程中不被竊取或修改的一種手段,該數據加密系統在使用的過程中需要綜合考慮執行效率與安全性之間的平衡。
3.4加強安全管理力度健全管理制度。首先,加強信息安全管理力度應積極采取宏觀管理與重點監控相結合的方式,保證信息化項目的安全性。系統的實施及管理部門應該全面掌握各單位的計算機網絡系統的相關情況,為企業統一管理提供可靠依據。同時,對重點工程實地考察,對信息安全進行檢查,發現問題及時解決。其次,建立相應的安全管理制度。正所謂“沒有規矩不能成方圓”,企業應該制定相應的管理制度和條例,在每個環節都設置一個負責人,把責任明確到個人。同時,建立一支網絡聯絡員隊伍,專門負責企業計算機的網絡信息安全管理工作,真正的保障企業計算機網絡的信息安全。
3.5事務管理和故障恢復。事務管理和故障恢復主要是對付系統內發生的自然因素故障,保證數據和事務的一致性和完整性。故障恢復的主要措施是進行日志記錄和數據復制。計算機同其他設備一樣,都可能發生各種各樣的故障,比如電源故障、軟件故障、災害故障以及人為破壞等,這些故障可能會造成數據庫的數據丟失,因此為了保證計算機的安全運行,必須在發生故障時采取必要的措施恢復數據庫,事務管理和故障恢復就是這個作用,它能夠保障數據庫在出現故障時,仍可以把數據庫系統還原到正常狀態。
4企業計算機數據安全發展趨勢
信息安全一直是人們關注的話題,到2014年,移動安全、巨量計算、云端計算、社交網絡、大數據、物聯網等這些話題會依然火熱。IDC相關報告顯示,2020年全球新建立和復制的信息量已經超過40ZB,是2012年的12倍,許多公司也預計他們的資料將在一年內以60%到70%的增幅進行增長。信息量的飛速增長帶來了巨量數據技術和服務市場的繁榮發展,也加速推動了資安技術朝向智慧化、工具化發展的趨勢。通過對龐大信息的快速處理和分析,能夠更好的識別和發現那些復雜的資安威脅,以及他們的攻擊目標,為企業提供安全預警、抵御這些資安威脅。未來的數據中心將與今天大不相同:異構和分布式數據中心、無處不在的訊息和工作負載、共享資源、硬件與軟件的抽象、混合云端交付等等。此外,數據中心架構上的變化也可能會帶來新的資安漏洞和隱憂。因此,2014年將會看到更多企業提出新的需求并主動部署新的安全解決方案以保證其整體系統的穩定性、靈活性和可靠性,以及獲得更全面的管理能力。從而使IT能真正幫助企業保證核心業務持續穩定運行,甚至推動新的業務模式發展。
5結束語
社會的發展和經濟的飛躍都離不開計算機網絡的迅速發展。現在的社會和企業都已經網絡化了,那一個正常的網絡運行和信息服務是必不可少的,但是隨處可見的網絡中的一些不安全因素,對計算機的安全性造成了很大的威脅,所以如何保證企業計算機網絡信息安全是全社會面臨的一個共同話題。信息安全是一個綜合性課題,涉及立法、技術、管理、使用等許多方面,這些對網絡信息安全保護提出了更高的要求,也使網絡信息安全學科的地位越顯得重要,網絡信息安全必然隨著網絡應用的發展而不斷發展。
作者:楊子強 工作單位:同濟大學
第四篇:企業信息安全管理問題
1.企業信息安全現狀
1.1企業自身方面
我國雖然大力發展企業信息化建設已有一段時間,但是國內很多企業的信息化整體水平不高,大多數企業的信息化基礎還很薄弱。很多員工認為企業信息化的實質就是計算機,對企業信息安全來講只要能使計算機正常運行,日常工作可以正常的運轉這就可以了,在頭腦里對企業信息安全沒有一個清楚和正確的認識。信息安全是保證企業信息的保密性、真實性、完整性、未授權拷貝和所寄生系統的安全。其主要目的就是保護企業信息不受內部、外部、自然等因素的威脅。目前我國國內信息安全行業的整體技術水平低。雖然推出了很多信息安全產品,可是安全系統整體集成與應用水平不高,甚至個別不同品牌的安全產品運行使用上還會互有沖突,不能對企業信息進行有效防護。
1.2人為因素方面
1.2.1人為無意識的因素
由于在設計建設初期對信息安全防護方面考慮不周,或者信息技術人員安全觀念淡薄、技術不熟練、責任心不強等原因,不執行安全操作制度,造成軟件或硬件設備的損壞、運行故障、數據丟失或誤刪除等責任事故。信息終端用戶的誤操作,也會造成一些不必要的損失。
1.2.2人為惡意破壞因素
網絡攻擊已經成為威脅企業信息安全的主要因素。攻擊者利用計算機系統等方面的漏洞和缺陷,采用惡意攻擊、網絡監聽、密碼暴力破解等手段侵入計算機系統,盜竊企業核心機密信息。
1.2.3計算機病毒
當前計算機病毒的破壞對象已經不僅僅只是對存儲數據和硬件設備造成破壞,新型病毒對網絡設備、數據存儲設備甚至一些信息安全設備進行攻擊和破壞。利用病毒自動傳播和黑客緩沖溢出技術相結合的特點使病毒產生連鎖反應,造成信息系統大面積的癱瘓。例如前幾年的熊貓燒香病毒,許多企業和政府機構受到病毒襲擾,其中不乏一些關系到與人民日常生活息息相關的要害單位,造成的損失不可估量。
1.2.4內部人員的破壞
堡壘都是由內部攻破的。很多企業對自身的信息安全將會遭到外部攻擊有一定的考慮,安裝殺毒軟件、硬件防火墻等一些安全設備,可是卻忽略了內部的安全防護。企業信息系統中的資源并不是對所有人共享。對這種要求企業一般都會做出訪問權限、身份驗證、禁止非法拷貝等相應的安全設置。但是在實際的應用過程中出現了用戶權限設置不科學,對一些數據的訪問控制權限劃分過于粗糙,不能確保使用上的安全。并且企業內部也有一些人員,惡意攻擊、非法盜取企業核心機密,由于沒有有效可控手段,這種情況防不勝防。
2.對于企業信息安全的相應解決策略
2.1信息安全管理方面
2.1.1開展企業信息安全教育
信息安全實質上是為企業日常安全生產保駕護航,建議多組織召開包含企業各級部門“一把手”在內的企業信息安全宣教會,詳細介紹企業信息安全的基本理論、常識、發展主流以及一旦發生信息安全事故對企業科研、生產經營所造成的嚴重影響,在思想上提高對企業信息安全的認識,進而提高企業全體員工的重視程度。
2.1.2增加企業信息安全建設的資金投入
建立年度的信息安全建設投資預算計劃,將預計資金使用量匯總到企業年度技改計劃中,把信息安全建設納入企業信息化整體建設規劃中,以確保信息安全資金穩定的可持續性投入。
2.1.3加大對信息安全人才的重視
人才是企業信息安全建設中的重點,如果只偏重于軟硬件、基礎設施上的資金投入而在信息安全上得不到有效的管理和使用,那就是本末倒置了。成立由公司高管直接負責的信息化部門,負責整個企業的信息安全人才培養和相關信息安全建設的事務。
2.1.4建立完善的信息安全制度并加大監督執行力度
良好的管理制度可以為信息安全創造有力的執行環境和條件,信息安全技術又促進了管理更有效更優良的發展。同時強有力的監督執行,使之在使用和操作上也加強了使用規范和效率,避免了一些人為失誤造成的損失。
2.2信息安全技術方面
為了切實保障企業信息的機密性、完整性、可控性和安全性,必須采用一系列相應的技術手段,這是信息安全技術中最直接有效的部分。
2.2.1硬件防火墻和入侵檢測、漏洞掃描系統
硬件防火墻是內部網絡與外部互聯網之間的一道安全關口。它在企業內部網絡和外部互聯網絡之間設置了一道安全壁壘,有效防止外部對內網進行非法訪問。入侵檢測系統對網絡傳輸進行實時監控,在發現可疑傳輸時發出報警或者采取主動反應措施,漏洞掃描系統對指定的遠程或者本地計算機系統的安全脆弱性進行檢測,及早發現可被利用的安全漏洞。它們可以相互配套,增強系統管理員的安全防范能力。
2.2.2網絡安全審計
網絡安全審計是指按照一定的安全策略,審查和檢驗操作事件的活動,從而發現系統漏洞、入侵行為。實際是記錄與審查用戶操作和使用活動的過程,如用戶所調用的信息、使用時間、執行的操作等。安全審計對系統記錄和行為進行獨立的審查和估計,可以有效監控用戶的使用情況,對內部潛在的非法攻擊者起到威懾作用。
2.2.3虛擬局域網技術
按照公司的實際生產管理需要劃分,使用虛擬局域網絡技術將持有敏感信息的用戶組與網絡的其他部分隔離,從而降低泄露機密信息的可能性,增強局域網的安全性。
2.2.4網絡殺毒軟件的使用
使用網絡版殺毒軟件,網絡管理員能夠利用其實現對全網電腦進行遠程統、有效清除計算機病毒,徹底解決局域網病毒殺而不絕、四處流竄的夢魘。
2.2.5定時備份重要數據
企業應使用統一的數據備份系統,由專人對數據進行定時備份定時檢查,確保數據的完整性可靠性。并且保證備份介質異地存放,專人管理。
3.結論
信息安全工作是一項系統工程,“攻擊”與“防范”、“威脅”與“脆弱性”之間經常此消彼長,不斷發展。健全企業信息安全防護基礎體系,必須從管理和技術兩方面入手,夯實物理安全、網絡安全、系統安全、應用安全、數據安全和用戶安全。以安全區域劃分、系統等級保護、安全邊界防護、訪問控制技術、主動監控措施、安全通報機制和應急響應體系為手段,多方面構筑全方位、多層次的安全防護體系,初步實現網絡與信息系統全方位、細粒度的安全管理,做到“安全風險可控制,內部操作可審計,措施執行可度量,安全管理精細化,運行維護主業化”。實現企業信息安全防御的重點從“以網絡層防護為主”轉向為“網絡和應用防護并舉”,從“以防外為主”轉向為“防內防外并舉”的二個轉變。其中,信息外網以“防攻擊、防泄露”為主,信息內網以“強內控,防外聯”為主,實現信息內外網的深度安全防護,確保應用系統的安全穩定運行,保障企業信息安全。
【企業信息安全現狀分析的論文】相關文章:
醫患關系的現狀分析及對策論文07-26
分析企業電子商務的發展現狀論文10-23
企業工商管理現狀分析及發展方向論文06-30
山東省水果產業現狀與競爭力分析論文10-28
學前教育的現狀分析10-03
案例分析論文11-27
案例分析論文07-15
建筑工程管理的現狀論文07-23
關于網絡信息安全問題及對策分析論文07-02
農村幼兒園的現狀、原因及對策分析07-01