日本免费精品视频,男人的天堂在线免费视频,成人久久久精品乱码一区二区三区,高清成人爽a毛片免费网站

在線客服

企業信息安全服務實用13篇

時間:2023-10-10 10:20:44

引論:我們為您整理了13篇企業信息安全服務范文,供您借鑒以豐富您的創作。它們是您寫作時的寶貴資源,期望它們能夠激發您的創作靈感,讓您的文章更具深度。

企業信息安全服務

篇1

參考七層OSI設計,我們設計了五層的智能企業信息安全體系結構。自下向上為安全數據庫層、安全應用層、安全服務總線、集成和智能層、信息安全框架。(圖1)說明了智能企業信息安全體系結構的結構。

(1)安全數據層。體系結構的底層是整個體系結構的基礎層。這是因為安全數據易于被其它應用和服務使用。這一層的數據被分為兩個部分:操作數據和分析數據。

(2)安全應用層。應用層包括所有的息安全系統,如防火墻、入侵防御系統、反病毒系統,以及被防護的設備,如網絡設備、服務器和桌面環境等。它也包括這些系統上的各種各樣的操作系統。

(3)安全服務總線。是基于SOA的信息安全體系結構的中樞。我們在這一層定義SOA服務總線的結構和需要的各種各樣的信息安全服務。在面向服務的信息安全體系結構中,我們能夠將當前和未來的安全需求定義為安全服務,但這些服務的實現是隱藏的。

(4)集成&智能層。體系結構中數據、過程和應用都是在這一層進行處理實現的,解決一個企業各種業務問題,滿足快速變化的環境。集成層具有“應用之間”和“過程之間”進行通信的能力,通過適配器,它還能夠與其他企業過程、服務提供者或數據提供者通信。

(5)信息安全輔助設計。這是信息安全對外的接口,主要是由勻衡器、關鍵風險指示儀以及監控接口。企業智能模型提供各種各樣的服務,例如報告、查詢、OLAP、數據挖掘和多維分析。規則引擎,作為工作流的一部分,可以結合到BPM模型。因為有了規則引擎,我們能夠更加有效地執行信息安全管理和風險控制。PDCA適配器是一個特殊的工具,它利用人工智能能夠幫助公司達到信息安全管理中持續提高和自我優化的目標。

1.2特點和優勢

本文提出的企業信息安全體系結構具有以下特點。

(1)集成。它也能夠將信息安全管理和風險控制聯合起來作為一個集成的框架。

(2)可復用。體系結構是比較獨立的,適合于企業和小型組織。服務的封裝使得可復用,與其他服務聯合使用。

(3)面向服務的體系結構。SOA體系機構的采用提供了服務的獨立性、自我管理和自我彈性。

(4)集成的數據環境。集成的數據結構使之適合于各種數據庫進行對接。

(5)企業智能。這個體系結構將企業智能應用到信息安全管理,信息安全管理主要使用了數據挖掘和模式識別技術。這可以大大減少由于人工誤操作引起的損失,增強信息安全管理和風險控制操作。

(6)開放的體系結構。體系結構開放設計,以滿足整個企業的安全需求;面向服務的特征使得體系結構式開放的,允許多個接口與外部應用通信。

篇2

1 引言

信息安全技術和管理經過不斷的發展和改善,已經能夠比較有效地解決一些傳統信息安全問題,如信息安全風險管理、訪問控制,脆弱性管理、加密解密和災難恢復等。隨著信息越來越成為組織的核心資產,保護信息的安全已不再只是局限于技術和日常管理層面的討論,信息的安全越來越關系到組織自身發展的安全。一次重大的信息泄露事故就能使企業的市值一落千丈。同時,一套合理的訪問控制解決方案能夠幫助企業快速推出核心產品(尤其是電子商務)和兼并其他企業。當前信息安全發展呈現出新的趨勢和要求:(1)信息安全部門逐漸從成本中心轉向價值中心,信息安全的各項活動越來越和企業戰略緊密相連;(2)企業內部其他部門越來越多的要求信息安全部門提供清晰、可測量的服務來支持業務的運行。

企業的信息安全部門在不斷增強其核心影響力的同時,也承擔著隨之而來的更多責任和挑戰。其一是如何將企業戰略轉化為信息安全計劃,將信息安全融入到組織的業務流程中,并且保持信息安全控制措施與企業戰略的一致性和可追溯性;其二是如何使信息安全的價值得到認可并在組織內部最大化;其三是如何滿足企業內部各部門有計劃或無計劃的信息安全服務需求;其四是如何確保以一種系統主動和集中統一的方式來管理業務和遵從性需求,并實現清晰的測量和不斷的改進。

當前各企業廣泛采用的標準或最佳實踐有幾種:ISO27001:2005,COBIT4.1,NISTSP800或PCIDSSv2.0等。這些標準各有優點,但也有明顯的缺憾,如表1所示(缺憾部分用X表示)。

設計本信息安全架構旨在解決上述問題并建立一種高效機制達到如下目標。

* 將企業戰略轉化為信息安全計劃,確保信息安全的可追溯性、持續一致性和簡潔性,以降低成本、減少重復和提高效率。將信息安全融入到組織的業務流程中,建立一致性和可追溯性;建立清晰的信息安全架構和愿景,以減少重復和指導信息安全投入和解決方案的實施。

* 基于客戶服務理念,信息安全服務價值得到認可,信息安全靠攏業務部門,為信息安全管理和業務管理建立共同語言。

* 全面管理信息安全,滿足目前絕大多數法律法規、標準的最佳實際的要求,并具有靈活的可擴展性,當新需求出現后能夠將其平滑的融入到現有架構中。

* 系統和集中統一的方式,使信息安全管理可預測和可測量,并不斷的改進。

2 信息安全架構設計

2.1 信息安全架構設計所基于的原則

本信息安全架構的設計遵循四大原則。

1) 業務驅動:所有的信息安全目標應該從業務需求中來,從而保證信息安全管理總是做“正確的事”。

2) 整合、統一的架構:現在有數以十計的信息安全相關的法律法規,標準和最佳實踐需要去符合或參考,且其各有不同的要求側重點和優缺點。因此很有必要將所有相關的信息安全關注點整合到一個統一的架構中,以保證所有要求都被滿足,同時避免不要的重復。例如,ISO27001關注全面安全控制和風險管理,PCIDSS側重支付卡環境中技術控制和策略管理等。

3) 系統化思維:運用系統化思維可以幫助組織解決復雜且動態的問題,適應運營中的各種變化,減輕戰略上的不確定性和外部因素的影響。例如,需要整合機構、人員、技術和流程;需要考慮安全、成本和易用性的權衡;需要靠持續改進(Plan-Do-Check-Act);需要考慮全面防護和縱深防護。

4) 易用性:信息安全架構的最大價值在于被理解和廣泛應用于組織的實踐當中。因此,信息安全架構必須易于理解并且實際可操作性要強,應避免太過復雜和晦澀。

2.2 信息安全架構實現

2.2.1 信息安全架構-域試圖

基于上面的基本原則,本信息安全架構由三個域組成(如圖1所示):治理(Governance)、保障(Assurance)和服務(Services)。

治理(Governance): 信息安全治理域強調戰略一致性,風險管理,資源管理和有效性測量。治理域又包括三個子域:愿景與戰略、風險與遵從性管理和測量。各子域主要功能如下所述。

* 愿景與戰略: 將遵從性要求,信息安全的發展趨勢,行業發展趨勢和業務戰略轉化為信息安全愿景、戰略和路線圖。

* 風險與遵從性管理: 管理信息安全風險使信息安全風險控制在組織可接受的范圍內。

* 測量: 監控和測量整體信息安全的有效性并持續提升信息安全對組織的價值。

保障: 保障域側重于信息安全的全面與縱深防護措施。保障域包含預防、監測、響應和恢復四個部分。各部分主要功能如下所述。同時保護的對象為不同層面的信息資產:數據層、應用層、IT基礎設施層和物理層。

* 預防: 實施信息安全控制措施包括管理措施和技術措施,防止信息安全威脅損害組織的信息安全控態。

* 監測: 部署信息安全監測能力監控正在發生或已經發生的信息安全事態。

* 響應:部署信息安全響應體系迅速、高效的抑制信息安全事件。

* 恢復: 建立組織的可持續性能力,但重要信息系統不可用時,可以在計劃的時間內恢復。

服務: 服務域顯示了面向客戶(內部和外部),協作與知識更新對信息安全實踐非常重要。服務域包含三個部分:信息安全服務、知識管理、意識與文化。各部分主要功能如下所述。

* 信息安全服務: 信息安全團隊應對待組織內部其他部門和對外部客戶一樣,基于服務基本協議,提供高質量的信息安全服務。

* 知識管理: 知識是信息安全實踐和服務的基石。信息安全知識管理包括獲取、維護和利用知識去獲取最大的信息安全專業價值。信息安全知識應不僅在信息安全團隊內部而且在整個組織被共享。

* 意識與文化: 信息安全意識與文化在組織內部建立一個整體的信息安全氛圍。一個好的信息安全意識與文化意味著每個人都每個人都了解信息安全,關心信息安全、在日常工作中關注信息安全。信息安全意識與文化對提升組織整體信息安全成熟度和降低信息安全風險至關重要。

2.2.2 信息安全架構-組件試圖

為支撐信息安全架構的三個域,本信息安全架構組件融合了不同標準和最佳實踐的精華部分,并自成一體,如圖2所示。本架構參考的標準主要有如下一些:ISO27001:2005、PCIDSSv2.0、COBIT4.1、COBIT5.0、ITILv3 以及NIST SP-800系列等。

3 信息安全架構在企業內實際應用效果分析

本信息安全架構已被推廣和應用到各個行業中,如保險業、銀行業、教育和非盈利性機構等。本文選取一個保險企業的案例來說明本信息安全架構給企業帶來的積極變化。

背景:此保險公司有3000名員工,計劃在加拿大多倫多(Toronto)上市,因此需要符合加拿大和行業的一些法律法規的要求,如Bill198、PIPEDA、PCIDSS等。同時公司高層決定借鑒信息安全管理的最佳實踐標準,如ISO27002、NIST SP800、COBIT、ITIL、 FFIEC和 TOGAF等。因本信息安全架構的特點就是融合各法規、標準和最佳實踐的要求,因此不需要做任何大的改動的情況下(降低成本)就能應用到此保險公司中。

經過9個月的實際運行,公司進行了各項測量指標重新評估并與實施本信息安全架構前的指標進行了對比分析。

3.1 平衡計分卡(Balanced Scorecard)[10]測評分析

平衡計分卡是衡量信息安全對企業貢獻價值的一種分析工具。平衡計分卡包括四個測量項目:對企業的貢獻,對愿景的規劃,內部流程的成熟度和面向客戶。該保險公司在實施本信息安全架構前后分別進行了兩次測評。測評方法是由公司高級管理人員和各部門經理對信息安全部門進行評估,0級表示無成績,5級表示完美,然后取平均值。2011年7月評估結果顯示“企業貢獻”為2.2,“愿景規劃”為2.5,“內部流程”為2.8,“面向客戶”為2.1;2012年7月評估結果顯示“企業貢獻”為4.1,“愿景規劃”為3.9,“內部流程”為3.8,“面向客戶”為4.1。如圖3所示。測評結果表明實施本信息安全架構后企業高層及各部門對信息安全給企業帶來的價值的認可度有較為明顯提升。

3.2 總體信息安全成熟度級別分析

本文采取的信息安全總體成熟度的評價是基于ISO27002的控制域和CMMI[11]的評估級別。0級是最低級,5級是最高級。該保險公司在實施本信息安全架構前后分別進行了兩次自評估。2011年10月實施本信息安全架構前成熟度水平是介于2.0-3.0之間, 2012年10月實施本信息安全架構后成熟度水平是介于3.0-4.5之間,如圖4所示。成熟度級別分析結果表明實施本信息安全架構后整體成熟度有較為明顯提升。

3.3 獨立審核發現點數量分析

第三方機構獨立審核是從專業、客觀的角度來衡量整體信息安全控制措施,包括管理、技術和流程。審核發現點的數量越多,表明脆弱點越多,存在的風險越大。該保險公司在實施本信息安全架構前后分別邀請用一個第三方審核機構對其進行了全面審核與評估(依據上市公司的管控要求)。2011年9月審核結果顯示有4個高風險項,8個中風險項和13個第風險項;2012年9月審核結果顯示無高風險項,且只有2個中風險項和4個第風險項。如圖5所示。審核結果表明實施本信息安全架構后整體風險水平有較為明顯降低。

3.4 信息安全事件發生數量分析

信息安全事件(特別是1級與2級事件)發生的數量標志著信息安全控制措施的全面性和有效性。信息安全事件數量越少,表明整體控制措施越有效。該保險公司統計了實施本信息安全架構前后發生的信息安全事件數量。2011年1月-10月期間有4個一級安全事件(重大),12個二級安全事件(嚴重),25個三級安全事件和40個四級安全事件;2012年1月-10月期間有1個一級安全事件(重大),2個二級安全事件(嚴重),10個三級安全事件和16個四級安全事件。如圖6所示。信息安全事件數量分析結果表明實施本信息安全架構后安全控制措施的全面性和有效性有較為明顯增強。

3.5 魚叉式網絡釣魚模擬攻擊測試結果分析

模擬釣魚攻擊測試是對企業員工整體信息安全意識水平一種比較客觀的考核方式。收到攻擊(點擊鏈接)的人數越少,表明整體信息安全水平越高。該保險公司采用ThreatSim的模擬攻擊測試平臺,在實施本信息安全架構前后分別選取了5個分支機構(共200人)進行了模擬攻擊測試。測試的主要方法是注冊一個與該保險公司類似的網絡域名,然后偽造一份看似從信息安全管理員發出的E-mail,此E-mail的大致內容是說該保險公司于近期對相關系統進行了升級,將會影響到原有的帳戶和密碼,要求終端用戶盡快修改密碼。此E-mail包含一個鏈接到修改密碼的偽網頁。

2011年5月測試結果顯示有47%的員工點擊了有害鏈接,點擊有害鏈接的員工中有18%的人輸入了密碼,點擊有害鏈接的員工中有68%的人完成了在線培訓內容;2012年5月測試結果顯示有14%的員工點擊了有害鏈接,點擊有害鏈接的員工中有3%的人輸入了密碼,點擊有害鏈接的員工中有98%的人完成了在線培訓內容。如圖7所示。模擬攻擊測試分析結果表明實施本信息安全架構后該保險公司員工整體信息安全意識水平有較為明顯進步。

3.6 信息安全服務客戶滿意度調查結果分析

客戶滿意度調查是從被服務客戶的角度來衡量信息安全團隊的服務能力,以及給公司帶來的實際價值。滿意度百分比值越高,表明信息安全團隊的能力和服務價值越被認可。該保險公司在實施本信息安全架構前后分別對精算部、個人保險部、商業保險部、索償部、渠道與銷售部做了信息安全服務滿意度調查。

2011年8月調查結果顯示對服務專業質量的滿意度為72%,對服務請求響應速度的滿意度為46%,對服務態度的滿意度為67%,整體滿意度為60%;2012年8月調查結果顯示對服務專業質量的滿意度為95%,對服務請求響應速度的滿意度為85%,對服務態度的滿意度為92%,整體滿意度為88%;如圖7所示。客戶滿意度分析結果表明實施本信息安全架構后企業各部門對信息安全服務價值的認可度有較為明顯提升。

4 結束語

現階段信息安全管理著重在信息安全的風險控制,隨著信息安全管理角色的轉變,信息安全需要跟多的與組織戰略結合,為組織創造更多的價值,并通過提供信息安全服務使組織內部各部門享受到信息安全給組織帶來的價值并認可這些價值。當前被廣泛采用的一些標準和最佳實踐有其優點,但同時無法滿足一些新的挑戰。目前缺乏一種高效可執行的信息安全架構來將企業戰略轉化為信息安全計劃、基于客戶服務理念使信息安全服務價值最大化以及全面系統化管理信息安全。本文針對上述問題提出的一種面向企業戰略和服務的信息安全架構。通過將本信息安全架構應用到實際的企業中,驗證了本信息安全架構能夠為企業提供更多的價值、增強客戶滿意度、提升整體安全成熟度和員工信息安全意識水平。

參考文獻

[1] International Organization for Standardization, International Electrotechnical Commission. ISO/IEC 27001:2005 Information Technology - Security Techniques - Information Security Management Systems - Requirements. Switzerland: ISO copyright office, 2005.

[2] IT Governance Institute. Control Objectives for Information and related Technology 4.1,USA: IT Governance Institute, 2007.

[3] National Institute of Standards and Technology, U.S. Department of Commerce. NIST Special Publication 800 series.

[4] PCI Security Standards Council LLC. PCI DSS Requirements and Security Assessment Procedures, Version 2.0. 2010.

[5] National Security Agency Information Assurance.

[6] Solutions Technical Directors. Information Assurance Technical Framework (IATF) version3.0. 2010.

[7] IT Governance Institute. Control Objectives for Information and related Technology 5.0,USA: IT Governance Institute, 2012.

[8] Sharon Taylor, Majid Iqbal, Michael Nieves, 等. Information Technology Infrastructure Library , England: Office of Government Commerce, ITIL Press Office, 2007.

[9] Federal Financial Institutions Examination Council. IT Examination Handbook, information security Booklet. USA: FFIEC, 2006

[10] The Open Group's Architecture Forum. The Open Group Architecture Framework version 9.1, 2012.

[11] Howard Rohm. Using the Balanced Scorecard to Align Your Organization. Balanced Scorecard Institute, a Strategy Management Group company, 2008.

[12] Software Engineering Institute, Carnegie Mellon University. Capability Maturity Model Integration (CMMI) Version 1.3. USA: Carnegie Mellon University, 2010.

[13] STRATUM SECURITY. Proactive Phishing Defense. 2012.

篇3

1 當前企業信息化建設中的信息安全問題

1.1 信息安全管理問題

目前企業的信息安全管理上存在的問題,首先,信息管理人員缺乏或者人員經驗不足:計算機信息安全很大程度上取決于管理人才,調查顯示,我國七成IT企業信息安全系統保障不足,主要原因是管理人員沒有及時更新系統補丁程序、沒有及時維護系統。企業信息安全是上不斷完善的動態過程,需要不斷對現有系統進行安全檢查、評估,及時發現新的問題,跟蹤最新安全技術,及時調整安全策略,增強企業信息安全性。其次,在企業的信息化建設中信息安全管理系統不完善,信息安全管理系統,如果沒有一個很好的保障體系,會使得信息的管理錯亂,無秩序,重復管理、漏管等現象發生,使得信息系統出現漏洞,安全性降低。最后,安全以人為本,如果管理不善,人為原因,造成的操作失誤,誤用或濫用關鍵、敏感數據或資源等導致信息丟失泄露,外部人員和硬件的商家等對于企業的系統有一定的了解,有權限合法訪問,這也會造成信息的安全問題。

1.2 信息化建設中的硬件問題

近年來,由于信息化發展較快,企業信息化建設的成本也在不斷提高,由于信息化建設投資大、回報慢,一些企業雖然有信息化建設的意愿,但是在實際投入上比較小,這就使得企業信息化建設過程中,企業的硬件設施跟不上時代的不發,導致企業信息化建設止步不前,計算機硬件設施的老化,對企業信息化建設過程中的安全問題存在這一定的隱患,而且,計算機的硬件決定著信息化建設的穩定性。另外在鏈路傳輸、網絡設備(路由器、交換機、防火墻、通訊線路故障)等以及物量的一些不可抗力造成的地震、水災、火災等環境事故使系統毀灰。

1.3 信息化建設中的軟件問題

(1)國內的軟件水平與世界先進水平還存在較大的差距,更容易受到黑客和病毒的攻擊。這樣就會造成使用這些軟件的企業信息化建設中存在信息安全問題。

(2)配置中存在的問題,很多的系統和應用軟件在初裝后會使用默認的用戶名和口令以及開放的端口,而這些都容易造成信息的泄露。

(3)Web服務中的安全問題,www體系的主要特點是開放、共享、交互,這使得信息安全問題增加,安全漏洞多樣,如果服務器的保密信息被竊取,信息系統就會受到攻擊,獲取Web主機信息,使機器暫時不能使用,使機器暫時不能使用,服務器和客戶端之間的信息被監聽等。

(4)路由器信息的不安全行為,路由器簡單的密碼或共享密碼、安全功能沒有設置會導致信息的泄露。

2 企業信息化建設中信息安全的對策

信息安全是企業信息化建設中的重要問題,只有保證信息的安全才能使企業在信息化建設中走得更遠。企業在信息化建設進行信息安全的建設,主要可以從強化信息安全觀念、加強硬件建設安全防護、提升軟件建設安全措施三個方面進行。

2.1 強化信息安全觀念

在企業信息化建設中,一旦企業信息被盜取或丟失,對企業肯定會造成損失甚至是致命的打擊。要從企業的基層員工到管理者都要正確認識信息安全的重要性,強化信息安全的觀念,提高信息安全意識,從思想上認識提高信息安全的必要性。

2.2 加強硬件建設安全防護

加強企業信息化建設過程中的硬件建設安全,首先要保證計算機的安全。企業的信息化建設離不開計算機,要保證計算機的安全就要對計算機進行定期的維護與保養,避免計算機在運行過程中出現突發性故障而導致企業信息的丟失。

另外,企業的信息化建設中,要加強網絡硬件的建設。目前,市場上應用比較廣泛的企業網絡協議就是TCP/IP協議,硬件組成有服務器、通信設備、網絡安全設備,主要應用技術是網絡交換、網絡管理、WEB數據庫技術、防火墻等技術,同時還有支持網絡運行的支撐系統,整個硬件建設安全、穩定、可靠。

2.3 提升軟件建設安全措施

要解決企業信息化建設過程中的信息安全問題還需要加強企業信息系統的軟件安全防御措施,要采用高性能的安全軟件對系統進行防護,使用防護軟件要使其發揮其價值所在,不要因小失大。目前,大多數企業的軟件防護措施不到位,主要原因就在于軟件防護措施不到位,例如企業在公共區域設置無密碼的無線路由器,等于是向所有人公開企業的信息,安全無法保證。因此,企業在信息化建設過程中有必要采取高性能的安全防護軟件來保證信息的安全。

3 小結

企業在信息化建O過程中的信息安全問題,有著很廣泛的內容,企業信息化建設中信息安全的監控、維護等涉及的面比較廣。在信息安全問題上主要應該以防護為主,從良好的管理開始,將信息安全風險扼殺在搖籃中,形成安全保障體系。信息時代,企業的信息化建設是企業發展和提高競爭力的基礎,我國的企業信息系統長期處于不安全狀態,沒有足夠認識到企業信息安全的重要性,希望通過本文的探索和論述,能夠引起企業的關注,加強信息安全的防護。

參考文獻

[1]艾戩.企業信息化建設中的信息安全探究[J].網絡安全技術與應用,2015(03).

[2]辛玉紅.企業信息化建設中的信息安全問題[J].現代情報,2004(11).

[3]馬良.企業信息化建設中的信息安全問題[J].才智,2014(01).

[4]張耀輝.關于企業信息化建設中的信息安全探討[J].電子技術與軟件工程,2013(14).

篇4

新時期下,信息化技術在各行業中運用日漸深入,給企業現代化建設與快速發展帶來了無限動力。企業信息化建設已成為我國經濟信息化建設能否成功的關鍵所在,也是提升企業自身市場競爭力與企業升級進步的重要保證和標志[1]。但是,企業信息化建設過程中不可避免的出現信息安全問題,給企業正常生產經營帶來諸多不利影響。因此,加強企業信息化建設中信息安全管理,已成為現代企業經營管理的一個至關重要的工作。

1企業信息化概述

所謂的企業信息化,指的是實現企業的資金流、物流、作業流、信息流的數字化、網絡化管理,實行企業運行的自動化和企業制度的現代化[2]。企業信息化建設涉及了企業生產經營中的各個部門,其主要利用現代化信息技術,通過完善企業內外網絡信息系統,實現對企業內外知識與信息資源的開發??梢姡ㄔO企業信息化體系,不但可以及時有效的提供各種數據信息給企業決策層,也為企業未來規劃設計提供參考依據,而且還有利于企業滿足瞬息萬變的市場需求,為企業市場核心競爭力的提升帶來動力。

2當前企業信息化建設中信息安全問題

企業信息化建設與發展為企業持續、健康、穩定發展發揮了顯著作用,但同時也存在著諸多信息安全問題,具體分析主要有以下幾方面[3]:(1)當前,絕大多數企業缺乏完善的安全防御系統,導致企業內部使用的信息系統易遭受外部網絡系統的攻擊,引發企業信息資料被他人截獲、篡改與偽造等問題,甚至企業信息系統中出現通信線路、硬盤設施以及其他文件系統遭惡意破壞現象,上述問題的發生不但致使企業信息系統無法正常運行,而且其內部機密信息易發生泄漏,造成企業嚴重的社會經濟損失。(2)針對郵件系統攻擊防不甚防。在企業信息系統中電子郵件具有重要的作用,通過電子郵件接收與傳送,極大的方便了企業內部間與外部間信息交流與溝通。然而,電子郵件安全問題也日益突出,典型的如電子郵件病毒、垃圾郵件、機密信息泄露以及電子郵件炸彈等,給企業信息傳輸帶來了巨大安全隱患。因此,電子郵件安全問題不可忽視。(3)漏洞攻擊日益嚴重。按照漏洞問題發生原因可分為軟件漏洞和協議漏洞兩種,其中軟件漏洞主要是受外部不法分子攻擊軟件自身存在的漏洞,造成企業信息泄露等問題;而協議漏洞則主要是由于TCP/IP協議自身在安全機制方面存在的諸多漏洞問題導致,外部不法人員通過攻擊TCP/IP協議漏洞,致使企業信息系統遭受破壞。目前情況,很多企業對自身信息系統缺乏成熟的漏洞檢測手段和能力,往往事發后才采取補救措施。(4)是Web服務安全問題突出,根據Web服務流程,其發生安全問題的主要組成包括Web服務端安全問題、瀏覽器客戶端安全問題兩種。其中,Web服務端安全問題主要是企業Web主機遭受外部不法分子侵入,導致企業保密信息遭竊或者企業部分信息遭受非法篡改等;瀏覽器客戶端安全問題則是企業瀏覽器客戶端遭外部非法分子侵入,致使部分機密信息與數據遭竊等。

3導致企業信息化建設中信息安全問題因素

企業信息化建設中信息安全問題發生受諸多因素影響,具體分析主要有以下幾方面[4]:(1)目前,絕大多數企業在信息化建設過程中,對于信息安全問題重視度嚴重不足。一方面,受傳統經營觀念影響,企業管理層偏重于對企業生產經營中的有形資產給予關注與重視,而忽略了企業知識與信息資料等無形資源,導致在企業信息安全管理方面各項投入嚴重不足,進而造成信息安全問題日益凸顯;另一方面,多數企業在面對信息安全問題時,存在著盲目樂觀現象,認為信息安全問題不至于導致企業正常生產經營,使得信息安全管理無法上升至企業發展規劃戰略之中,進而造成信息安全問題得不到及時有效解決。(2)由于企業信息化建設在我國尚處于起步階段,各方面配套管理制度不夠完善,特別是缺乏健全的企業信息安全管理體制。受此影響,企業信息化建設中信息安全問題一方面無法得到有效的預防措施,另一方面是一旦發生信息安全問題,無法采取及時有效的補救與解決對策。同時,由于缺乏科學、合理、有效的企業信息安全防護策略,使得企業信息管理人員缺乏必要的安全防護意識與業務素質能力,致使企業信息安全防護軟硬件工作質量與效率明顯不足。上述兩個因素,導致企業無論是從人員配置,還是資金與技術投入方面都嚴重不足,受企業信息管理人員業務素質能力不足、信息安全技術方法落后以及配套的資金缺乏等影響,企業信息安全防護的措施、手段偏低,造成企業信息化建設存在著嚴重安全隱患。

4提升企業信息化建設中信息安全對策

針對當前企業信息化建設中存在的信息安全問題,為加強企業信息安全管理,提升企業信息安全保障,可通過采取以下幾方面對策,具體有[5]:(1)轉變傳統企業信息化建設觀念,在企業內部管理層從上至下加強對企業信息安全的重視,并樹立正確的安全意識。一方面,通過組織各種信息安全管理培訓等,增強全體企業員工信息安全意識,確保企業保密信息不外漏;另一方面,逐步加大企業信息化建設中信息安全管理各項資金、技術、人力投入,并建立科學、合理、有效的企業信息安全防護策略,保障企業信息系統安全穩定。(2)不斷的推進網絡信息技術的發展與運用,促進企業組織結構網絡化的實現,同時引進先進的安全防護技術,確保企業信息化系統安全穩定運行。任何網絡信息系統都存在著或大或小的安全漏洞問題,而保證其不受外部不法分子侵入的一個關鍵方法就是安全防護技術的運用。通過選用先進的安全防護技術,可以有效的提高企業信息系統抵抗外來攻擊,避免企業信息遭受竊取、篡改甚至破壞等,對于保障企業持續、健康、穩定發展具有顯著作用。(3)結合企業信息化建設實際情況,建立健全企業內部信息系統管理體制。一方面,針對信息安全問題,應建立科學、合理、規范的信息安全管理體制,保證企業信息系統安全運行;另一方面,建立健全企業安全風險評估機制,針對不同系統找出影響其安全的因素和漏洞,并制定出最佳的對策,降低企業信息安全風險;此外,加強相應的網絡管理,防止外來不法分子通過網絡侵入企業信息系統。(4)根據新時期企業信息化建設需要,加強企業信息技術人才、信息管理人才隊伍建設,為企業信息安全管理奠定堅實的人才基礎。一方面,在企業內部,加強信息技術人才培訓,提高企業內部相關人才業務素質能力;另一方面,在企業外部,采取有效措施,積極招聘人才,引進具有先進信息技術型人才;此外,建立健全企業信息安全管理用人機制,激發員工工作積極性,提高工作質量與效率。

5小結

總而言之,企業信息安全事關企業信息化建設是否成功,對于企業持續、健康、穩定發展具有至關重要的作用。因此,應提高企業信息安全管理意識,增強企業信息安全管理機制,促進企業信息安全管理工作質量與效率,保障企業信息化建設順利開展。

參考文獻

[1]毛志勇.企業信息化建設的信息安全形勢與對策研究[J].科技與產業,2008,8,(1):43~45.

[2]纂振法,徐福緣.淺析企業信息化建設的意義、問題與對策[J].吉林省經濟管理干部學院學報,2001,3:24~28.

[3]謝志宏.企業信息化建設中的信息安全問題研究[J].企業導報,2014(06):132~133.

篇5

供水企業信息集成系統;等級保護;信息安全

供水行業對國計民生很重要的一個行業,供水企業的業務性質要求以信息的整體化為基本立足點,集中管理所有涉及運營的相關數據,針對供水企業運行的特殊要求,進行集中的規劃和架構,將不同專業的應用系統進行整合,最終形成完整的供水企業綜合信息平臺。[1]而集成系統中最重要的一個要求就是信息安全。

隨著大數據時代的到來,網格、分布式計算、云計算、物聯網等新技術相繼推出,對供水企業信息集成與應用也提出了更高的要求。而隨著應用的擴展,應用中存在著大量的安全隱患,網絡黑客、木馬、病毒和人為的破壞等將大量的安全威脅帶給信息系統。根據美國Radicati公司于2015年3月的調查報告,截至2014年12月,網絡攻擊已經為全球計算機網絡安全造成高達上萬億美元的損失。而且隨著網絡應用的規模進一步上升,計算機網絡信息安全威脅造成的損失正在呈幾何級數增長。根據2015年的中國網絡安全分析報告,2014年報告的網絡安全攻擊事件比2013年增加了100多倍。2014年,搜狗由于網絡黑客攻擊導致搜索服務在全國各地都出現了長達25分鐘無法使用。2014年7月,某域名服務商的域名解析服務器發生了網絡黑客的集中式攻擊,造成在其公司注冊的13%的網站無法訪問,時間長達17個小時,經濟損失不可估量。因此,從信息安全的角度,要對供水企業信息集成系統進行防護,降低信息安全事故的發生的概率,降低其危害,是本文需要研究的內容。

1當前供水企業信息集成系統安全防護的現狀和存在的問題

伴隨著科技的不斷發展,供水企業的信息化建設也得到了很大的發展,主要是從深度和廣度兩個層面做進一步拓展。典型的供水企業信息集成系統涵蓋了生產調度系統、銷售系統、管網信息系統、財務管理系統、人事管理系統、辦公自動化系統等子系統。其中多個系統數據需要接受外部訪問,存在大量的安全隱患。目前,威脅到供水企業信息安全的風險因素主要分為三個大類:1)人為原因,如惡意的黑客攻擊、不懷好意的內部人員造成的信息外泄、操作中出現低級錯誤等。2)數據存儲位置位置的風險??赡苡勺匀粸暮σl的問題,缺乏數據備份和恢復能力。3)不斷增長的數據交互放大了數據丟失或泄漏的風險。包括未知的安全漏洞、軟件版本、安全實踐和代碼更改等。

2有關分級防護的要求

尤其是供水企業信息集成系統中,存在大量涉及公民個人隱私的信息,也存在像生產調度這樣涉及國計民生的信息。因此,需要按照國家有關信息安全的法律法規,明確企業的信息安全責任。提升供水企業信息管理區內的業務系統信息安全防護。依據《信息安全等級保護管理辦法》(公通字[2007]43號)第十四條,信息系統建設完成后,運營、使用單位或者其主管部門應當選擇符合本辦法規定條件的測評機構,依據《信息系統安全等級保護測評要求》等技術標準,定期對信息系統安全等級狀況開展等級測評。定級標準按照國家標準《信息系統安全等級保護定級指南》(GB/T22240—2008)實施,根據等級保護相關管理文件,信息系統的安全保護等級分為以下五級:第一級,信息系統受到破壞后,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益。

第二級,信息系統受到破壞后,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。第三級,信息系統受到破壞后,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。第四級,信息系統受到破壞后,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。第五級,信息系統受到破壞后,會對國家安全造成特別嚴重損害。等級保護對象受到破壞后對客體造成侵害的程度歸結為以下三種:1)造成一般損害;2)造成嚴重損害;3)造成特別嚴重損害。

3分別防護實施步驟

根據有關法律法規,建設完成并投入使用的信息系統,其有關使用此系統的單位需要對其系統的等級狀況做定期的測評。供水企業要遵照要求選擇具有資質的測評機構來對管理信息區的業務系統做等級保護的測評工作。其所得到的結果如下表1所示:通常情況下,供水企業信息系統中不會出現第四級和第五級的系統。根據測評結果,有必要對供水企業內部的局域網進行系統化整改。具體的整改內容包括兩項主要內容:細化各業務系統服務器的物理位置;按照需求設置信息安全區域。根據供水企業信息集成系統的具體實際,主要有等級包括三個業務區域,以及一個公共業務區和測評業務區。按照上述原則對供水企業信息集成系統服務器做物理劃分如圖1所示。不同等級的系統服務器針對不同級別的信息安全區進行設置。等級為一、二、三的業務區分別安裝著對應的服務器,而公共業務區域的服務器主要是DNS服務器或者是域服務器。公共業務區服務器主要為基礎服務提供非業務系統服務,不需要進行保護分級。測評業務區提供是投入正式使用前的測試服務器。

依據表1的測評結果,將安全區域進行細化表2所示的就是企業管理信息區,其主要業務系統對安全區域存放問題的展示。根據表2得到的結果,可以將信息安全設備存放在不同信息區域邊界內,以此達到服務器分級防護目的。信息安全設備設置在信息安全區域邊界,也就是局域網與信息安全區域之間的連接部。信息安全設備主要是防火墻、查殺病毒、攻擊防護、服務防護禁止、授權等。對于不同區域邊界的信息安全的部署建議,供水企業要遵照各自的實際情況做周密的設置。供水企業管理信息安全區域邊界防護表見表3。將信息安全防護設備部署在所在的區域邊界內,如此可以初步實現對供水企業管理信息區的信息安全防護。

4結束語

隨著大數據的發展,對供水企業信息集成系統在數據的交互和應用方面會提出更高的要求,也大大加強了安全防護措施的重要性和迫切性。在安全防護措施基本到位的前提下,還需要加強信息審計,及時發現和補救系統缺陷,加強數據庫安全防護,維護管理系統的隱患。

參考文獻:

篇6

目前企業的信息安全管理上存在的問題,首先,信息管理人員缺乏或者人員經驗不足:計算機信息安全很大程度上取決于管理人才,調查顯示,我國七成IT企業信息安全系統保障不足,主要原因是管理人員沒有及時更新系統補丁程序、沒有及時維護系統。企業信息安全是上不斷完善的動態過程,需要不斷對現有系統進行安全檢查、評估,及時發現新的問題,跟蹤最新安全技術,及時調整安全策略,增強企業信息安全性。其次,在企業的信息化建設中信息安全管理系統不完善,信息安全管理系統,如果沒有一個很好的保障體系,會使得信息的管理錯亂,無秩序,重復管理、漏管等現象發生,使得信息系統出現漏洞,安全性降低。最后,安全以人為本,如果管理不善,人為原因,造成的操作失誤,誤用或濫用關鍵、敏感數據或資源等導致信息丟失泄露,外部人員和硬件的商家等對于企業的系統有一定的了解,有權限合法訪問,這也會造成信息的安全問題。

1.2信息化建設中的硬件問題

近年來,由于信息化發展較快,企業信息化建設的成本也在不斷提高,由于信息化建設投資大、回報慢,一些企業雖然有信息化建設的意愿,但是在實際投入上比較小,這就使得企業信息化建設過程中,企業的硬件設施跟不上時代的不發,導致企業信息化建設止步不前,計算機硬件設施的老化,對企業信息化建設過程中的安全問題存在這一定的隱患,而且,計算機的硬件決定著信息化建設的穩定性。另外在鏈路傳輸、網絡設備(路由器、交換機、防火墻、通訊線路故障)等以及物量的一些不可抗力造成的地震、水災、火災等環境事故使系統毀灰。

1.3信息化建設中的軟件問題

(1)國內的軟件水平與世界先進水平還存在較大的差距,更容易受到黑客和病毒的攻擊。這樣就會造成使用這些軟件的企業信息化建設中存在信息安全問題。

(2)配置中存在的問題,很多的系統和應用軟件在初裝后會使用默認的用戶名和口令以及開放的端口,而這些都容易造成信息的泄露。

(3)Web服務中的安全問題,www體系的主要特點是開放、共享、交互,這使得信息安全問題增加,安全漏洞多樣,如果服務器的保密信息被竊取,信息系統就會受到攻擊,獲取Web主機信息,使機器暫時不能使用,使機器暫時不能使用,服務器和客戶端之間的信息被監聽等。

(4)路由器信息的不安全行為,路由器簡單的密碼或共享密碼、安全功能沒有設置會導致信息的泄露。

2企業信息化建設中信息安全的對策

信息安全是企業信息化建設中的重要問題,只有保證信息的安全才能使企業在信息化建設中走得更遠。企業在信息化建設進行信息安全的建設,主要可以從強化信息安全觀念、加強硬件建設安全防護、提升軟件建設安全措施三個方面進行。

2.1強化信息安全觀念

在企業信息化建設中,一旦企業信息被盜取或丟失,對企業肯定會造成損失甚至是致命的打擊。要從企業的基層員工到管理者都要正確認識信息安全的重要性,強化信息安全的觀念,提高信息安全意識,從思想上認識提高信息安全的必要性。

2.2加強硬件建設安全防護

加強企業信息化建設過程中的硬件建設安全,首先要保證計算機的安全。企業的信息化建設離不開計算機,要保證計算機的安全就要對計算機進行定期的維護與保養,避免計算機在運行過程中出現突發性故障而導致企業信息的丟失。

另外,企業的信息化建設中,要加強網絡硬件的建設。目前,市場上應用比較廣泛的企業網絡協議就是TCP/IP協議,硬件組成有服務器、通信設備、網絡安全設備,主要應用技術是網絡交換、網絡管理、WEB數據庫技術、防火墻等技術,同時還有支持網絡運行的支撐系統,整個硬件建設安全、穩定、可靠。

2.3提升軟件建設安全措施

要解決企業信息化建設過程中的信息安全問題還需要加強企業信息系統的軟件安全防御措施,要采用高性能的安全軟件對系統進行防護,使用防護軟件要使其發揮其價值所在,不要因小失大。目前,大多數企業的軟件防護措施不到位,主要原因就在于軟件防護措施不到位,例如企業在公共區域設置無密碼的無線路由器,等于是向所有人公開企業的信息,安全無法保證。因此,企業在信息化建設過程中有必要采取高性能的安全防護軟件來保證信息的安全。

篇7

隨著市場經濟的不斷發展,企業競爭越來越激烈,國際化合作不斷增多,隨之而來的企業信息安全是目前我國企業普遍存在的問題。對企業來說,信息安全是一項艱巨的工作,關系到企業的發展。近年來,圍繞企業信息安全問題的話題不斷,企業信息安全事件也頻頻發生,如何保證企業信息的安全,保證信息系統的正常運轉,已經成為信息安全領域研究的新熱點。

1 企業信息安全的意義

信息安全是一個含義廣泛的名詞,是指防止信息財產被故意的或偶然的非授權泄露、更改、破壞,或防止信息被非法辨識、控制,即確保信息的保密性、可用性、完整性和可控性。企業的正常運轉,離不開信息資源的支撐。企業信息安全建設對企業的發展意義重大。

首先,信息安全是時展的需要。計算機網絡時代的發展,改變了傳統的商務運作模式,改變了企業的生產方式和思想觀念,極大推動了企業文化的發展。企業信息安全的建設將使得企業的管理水平與國際先進水平接軌,從而成長為企業向國際化發展與合作的有力支撐。

其次,信息安全是企業發展的需要。企業的信息化建設帶來了生產效率提高、成本降低、業務拓展等諸多好處。當前越來越多的企業信息和數據,都是以電子文檔的形式存在,對企業來說,信息安全是使企業信息不受威脅和侵害的保證,是企業發展的基本保障,所以,在積極防御,綜合防范的方針指導下,有效地防范和規避風險,建立起一套切實可行的長效防范機制,逐步建立起信息安全保障體系,有利于企業的發展。

最后,信息安全是企業穩定的必要前提。信息安全成為保障和促進企業穩定和信息化發展的重點,要充分認識信息安全工作的緊迫感和長期性,從企業的安全、經濟發展、企業穩定和保護企業利益的角度來思考問題,扎扎實實地做好基礎性工作和基礎設施建設,在建立信息安全保障體系的過程中,必須搞好鏈接信息安全保障體系建設安全、建設健康的網絡環境,關注信息戰略,保障和促進信息化的健康發展。

2 企業信息安全的現狀

我國企業信息安全包括計算機系統的硬、軟件及系統中的數據受到保護,不受偶然的或惡意的原因而遭到破壞、更改、泄露,使得系統連續、可靠、正常的運行,網絡服務不中斷。計算機和網絡技術具有復雜性和多樣性,使得企業信息安全成為一個需要持續更新和提高的領域。就目前來看,主要存在以下三個方面的隱患。

2.1 企業缺少信息安全管理制度

企業信息安全是一個比較新的領域,目前還缺少比較完善的法規,現有的法規,由于相關安全技術和手段還沒有成熟和標準化,法規也不能很好地被執行,安全標準和規范的缺少,導致無從制定合理的安全策略并確保此策略能被有效執行。企業的信息系統安全問題是一個系統工程,涉及到計算機技術和網絡技術以及管理等方方面面,同時,隨著信息系統的延伸和新興技術集成應用升級換代,它又是一個不斷發展的動態過程。因此對企業信息系統運行風險和安全需求應進行同期化的管理,不斷制定和調整安全策略,只有這樣,才能在享受企業信息系統便利高效的同時,把握住信息系統安全的大門。

2.2 員工缺少安全管理的責任心

一個企業的信息系統是企業全體人員參與的,不考慮全員參與的信息安全方案,恰恰忽視信息安全中最關鍵的因素――人,因為他們才是企業信息系統的提供者和使用者,他們是影響信息安全系統能否達到預期要求的決定因素。在眾多的攻擊行為和事件中,發生最多的安全事件是信息泄露事件。攻擊者主要來自企業內部,而不是來自企業外部的黑客等攻擊者,安全事件造成最大的經濟損失主要是內部人員有意或無意的信息泄露事件。針對內部員工的泄密行為,目前還沒有成熟的、全面的解決,對于來自企業信息內部信息泄密的安全問題,一直是整個信息安全保障體系的難點和弱點所在。

2.3 信息系統缺乏信息安全技術

計算機信息安全技術是一門由密碼應用技術、信息安全技術、數據災難與數據恢復技術、操作系統維護技術、局域網組網與維護技術、數據庫應用技術等組成的計算機綜合應用學科。由于認識能力和技術發展的局限性,在硬件和軟件設計過程中,難免留下技術缺陷,網絡硬件、軟件系統多數依靠進口,由此可造成企業信息安全的隱患,現在黑客的攻擊并不是為了破壞底層系統,而是為了入侵應用,竊取數據,帶有明顯的商業目的,許多黑客就是通過計算機操作系統的漏洞和后門程序進入企業信息系統。隨著網絡應用要求的越來越多,針對應用的攻擊也越來越多,除了在管理制度上確保信息安全外,還要在技術上確保信息安全。

3 企業信息安全中存在的問題

信息時代的到來,從根本上改變了企業經營形式,企業實施信息化為其帶來便利的同時也產生了巨大的信息安全風險。由于我國企業信息安全工作還處于起步階段,基礎薄弱,導致信息安全存在一些亟待解決的問題。比較常見的問題有病毒危害、“黑客”攻擊和網絡攻擊等,這些問題給企業造成直接的經濟損失,成為企業信息安全的最大威脅,使企業信息安全存在著風險因素。

3.1 病毒危害

計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者數據,影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼,它是具有破壞作用的程序或指令集合。計算機病毒已經泛濫成災,幾乎無孔不入,據統計,計算機病毒的種類已經超過4萬多種,而且還在以每年40%的速度在遞增,隨著Internet技術的發展,病毒在企業信息系統中傳播的速度越來越快,其破壞性也越來越來越強。

3.2 “黑客”攻擊

“黑客”是英文Hacker的諧音,黑客是利用技術手段進入其權限以外的計算機系統的人。黑客破解或破壞某個程序、系統及網絡安全,或者破解某系統或網絡以提醒該系統所有者的系統安全漏洞的過程。通常采用后門程序、信息炸彈、拒絕服務、網絡監聽、密碼破解等手段侵入計算機系統,盜竊系統保密信息,進行信息破壞或占用系統資源,黑客攻擊已經成為近年來經常出現的問題。

3.3 網絡攻擊

網絡攻擊就是對網絡安全威脅的具體表現,利用網絡存在的漏洞和安全缺陷對系統和資源進行的攻擊。尤其是在最近幾年里,網絡攻擊技術和攻擊工具有了新的發展趨勢,使借助Internet運行業務的企業面臨著前所未有的風險。由此可知,企業的信息安全問題、以及對信息的安全管理都是至關重要的。要保證企業信息安全,就必須找出存在信息安全問題的根源,并具有良好的安全管理策略。

4 企業信息安全的解決方案

為確保企業信息安全,要堅持積極防御,綜合防范的方針,全面提高信息安全防護能力。因此,面對企業信息安全的現狀和企業信息安全發展中出現的問題,必須實施對企業的信息安全管理,建設信息安全管理體系,只有建立完善的安全管理制度,將信息安全管理自始至終貫徹落實于信息管理系統的方方面面,企業信息安全才能得以實現。企業信息安全的解決方案,具體表現在以下三個方面:

4.1 建立完善的安全管理體系

完整的企業信息系統安全管理體系首先要建立完善的組織體系,完成制定并信息安全管理規范和建立信息安全管理組織等工作,保障信息安全措施的落實以及信息安全體系自身的不斷完善。并建立一套信息安全規范,詳細說明各種信息安全策略。一個詳細的信息安全規劃可以減輕對于人的因素帶來的信息安全問題。最基本的企業安全管理過程包括:采用科學的企業信息資產評估和風險分析模型法、設計完備的信息系統動態安全模型、建立科學的可實施的安全策略,采取規范的安全防范措施、選用可靠穩定的安全產品等。安全防范體系的建立不是一勞永逸的,企業網絡信息自身的情況不斷變化,新的安全問題不斷涌現,必須根據暴露出的一些問題,進行更新,保證網絡安全防范體系的良性發展,

4.2 提高企業員工的安全意識

科技以人為本,在信息安全方面也是靠人來維護企業的利益,我們在企業信息網絡鞏固正面防護的時候不能忽視對人的行為規范和績效管理。企業員工信息安全意識的高低是一個企業信息安全體系是否能夠最終成功實施的決定性因素。企業應當制定企業人員信息安全行為規范,必須有專門管理人才,才能有效地實現企業安全、可靠、穩定運行,保證企業信息安全。教育培訓是培訓信息安全人才的重要手段,企業可以對所有相關人員進行經常性的安全培訓,強化技術人員對信息安全的重視,提升使用人員的安全觀念,有針對性的開展安全意識宣傳教育,逐步提高員工的安全意識,強調人的作用,使他們明確企業各級組織和人員的安全權限和責任,使他們的行為符合整個安全策略的要求。

4.3 不斷優化企業信息安全技術

企業一旦制定了一套詳細的安全規劃來武裝自己,保護其智力資產,它就開始投入到選擇采用正確信息安全技術上??晒┢髽I選擇的防止信息安全漏洞的安全技術有很多。當企業選擇采用何種技術時,首先了解信息安全的三個領域是十分有幫助的,這三個領域變得:驗證與授權、預防和抵制、檢測和響應。其中,用戶驗證是確認用戶身份的一種方法,一旦系統確認了用戶身份,那么它就可以決定該用戶的訪問權限,比如使用用戶名和密碼。預防和抵抗技術是指企業阻止入侵者訪問。對于任何企業,必須對那些故障做好準備和預測,目前可以幫助預防和建設抵抗攻擊的技術主要有內容過濾、加密和防火墻,在選用防火墻的時候,需要對所安裝的防火墻做一些攻擊測試。此外,企業信息安全的最后一道屏障是探測和反應技術,最常見的探測和反應技術是殺毒軟件。

5 結語

總之,企業信息安全是一項復雜的系統工程,企業要適應現代化發展的需要,要提高自身信息安全意識,加強對信息安全風險防范意識的認識,重視安全策略的施行及安全教育,必須做到管理和技術并重,安全技術必須結合安全措施,并加強信息安全立法和執法的力度,建立備份和恢復機制, 為企業設計適合實際情況的安全解決方案,制定正確和采取適當的安全策略和安全機制,保證企業安全體系處于應有的健康狀態。

參考文獻:

[1]張帆,企業信息安全威脅分析與安全策略[J].網絡安全技術與應用,2007(5).

[2]諶曉歡,企業信息安全問題及解決方案[J].企業技術開發,2008(8).

[3]付沙,企業信息安全策略的研究與探討[J].商場現代化,2007(26).

篇8

1、 引言

隨著信息化建設的發展,信息安全越來越多的受到人們的重視,企業信息安全重點面臨的問題主要表現在[1]:1)網絡受到外部的惡意攻擊,部分單位無終端接入控制措施,使企業的正常業務無法開展或相關重要數據被盜?。?)網站受到黑客攻擊,由于部分掌握網絡技術的不法人員查詢到破解網站所存在的漏洞,加以利用并篡改網站信息及獲取網站管理權限,使得網站陷入癱瘓;3)信息的監管不利產生不良的影響,通常情況下信息沒有主管部門負責審核導致監管不到位,那么不良信息就可能由于工作人員的疏忽而上傳到網站上,造成不良影響;4)計算機病毒的危害,相關系統不及時更新補丁和升級,受到病毒入侵并加以利用,篡改應用系統信息或獲取管理權限,使得應用系統丟失重要信息。

當前,有關信息系統的安全評價雖然存在著多種多樣的具體實踐方式,但在目前還沒有形成系統化和形式化的評價理論和方法。評價模型基本是基于灰色理論(Gray Theory)或者模糊(Fuzzy)數學,而評價方法基本上用層次分析法AHP[2](Analytic Hierarchy Process)或模糊層次分析法Fuzzy AHP[3]將定性因素與定量參數結合,建立了安全評價體系,并運用隸屬函數和隸屬度確定待評對象的安全狀況。上述各種安全評估思想都是從信息系統安全的某一個方面出發,如技術、管理、過程、人員等,著重于評估網絡系統安全某一方面的實踐規范。在操作上主觀隨意性較強,其評估過程主要依靠測試者的技術水平和對網絡系統的了解程度,缺乏統一的、系統化的安全評估框架,很多評估準則和指標沒有與被評價對象的實際運行情況和信息安全保障的效果結合起來。

大型企業信息安全管理體系的研究,就是為了尋找一個科學、合理的管理體系,并根據該體系和方法對大型企業的信息安全狀況和水平進行評價,對信息安全管理績效進行考核。

2、 大型企業信息安全管理體系的內涵

通過管理體系的應用,將對大型企業信息安全產生非常重要的作用。一是可以對企業信息安全的水平做出客觀的反應,認識企業信息安全存在的不足之處,發揮考評體系的指導作用,引導企業“信息安全”工作健康科學發展;二是可以為企業信息安全的建設指明方向,為信息安全的發展提供有力支撐;三是可以幫助企業管理者建立起一套科學的信息安全管理系統,有效控制信息化活動的進程,提高信息安全級別,減少因信息安全事件引起的損失,有利于正確引導和規范企業的信息化建設,指導企業科學發展具有重要的意義。

3、 大型企業信息安全管理體系的主要做法

為了大型企業信息安全管理體系的建立,提出了管理體系的目標:對于信息安全方面出現的問題,達到防范目的;對于信息安全工作進行查漏補缺,加強管理;通過評估體系的考核,落實相關信息安全文件、推進信息安全工作,為企業信息安全的建設指明方向,同時注重管理體系整體的時效性,根據信息安全發展的不同階段進行及時更新。

1) 建立大型企業信息安全體系

信息安全體系總體設計。信息安全體系設計共分為三級,包含9個一級指標,14個二級指標,27個三級指標。一級指標和二級指標為共性指標,三級指標為數據采集項。一級指標包括:網絡安全管理、環境安全管理、應用系統安全管理、數據安全管理、終端安全管理、操作安全管理、網絡信息安全、移動信息化安全、服務器掃描情況。一級和二級指標結構圖如下:

2)信息安全考評指標的權重設計

指標權重理論思路。具體權重根據德爾菲法[4]、層次分析法,結合政策導向確定。

管理體系的指標權重確定方法設計過程中,選取兩組技術、管理等方面的專家,其中一組專家根據各指標在企業信息化中的重要程度,確定各指標的相對重要性,采用層次分析法確定各指標的權重。另外一組專家根據各指標在企業信息化中的重要程度,對各指標按百分制進行賦值,確定各指標的權重。綜合兩組專家的意見,初步確定各指標的權重,再組織專家研討會,最終確定各指標的權重。

企業信息安全考評指標總分計算方法:

I=Σ(Pi*Wi) (1)

I表示指標體系的總得分;Pi表示第i個指標的得分,各指標得滿分都是100分;Wi表示第i個指標的權重,所有指標權重的和為100%。

3)建設大型企業信息化評價管理系統

為了實施信息安全措施體系,以信息安全體系、信息安全文件和考評制度為基礎,研發包括信息安全在內的大型企業信息化評價管理系統。通過使用該系統,將減輕信息化管理部門的負擔,填報和匯總數據的效率顯著提高,最為突出的是以上報數據為基礎,可以自動、實時地形成各種統計、分析圖表,從而完成以往需要信息化管理人員幾天才能完成的大量統計工作,大大減輕了信息化管理部門的工作強度,增加了信息化管理部門對新情況快速反應能力。

系統整體架構由數據庫層、框架服務層、應用邏輯層、界面表現層組成,系統部署了tomcat下運行的I@Report和BI@Report作為框架服務層,并在此基礎上開發了業務系統。

系統主要實現了如下功能:

編碼同步、基層權限管理、評價初始化、基層初評、數據提交、部門權限管理(含單位、指標項)、管理部門復評、信息稽核、數據計算、統計管理、查詢管理、決策模型。

建立統一的數據報送平臺,提高企業信息整合水平。

建立在線交流及公告平臺。

系統根據建立的數學模型進行綜合分析,可自動、實時地形成各種統計分析圖表、報告等,例如:信息化評級、信息化水平評測報告。

4、 結束語

通過大型企業信息安全管理體系的實施,使企業信息化水平評估體系更加完善,在考評信息化建設水平的同時,又對信息安全水平等級有所提升。

參考文獻

[1] 周學廣,劉藝.信息安全學[M].北京:機械工業出版社,2003.

篇9

二是數據安全風險。數據安全風險包括競爭性業務的經營和管理數據泄漏,數據被人為惡意篡改或破壞等。

三是網絡安全風險。網絡安全風險包括病毒造成網絡癱瘓與擁塞、內部或外部人為惡意破壞造成網絡設備癱瘓、來自互聯網黑客的入侵威脅等。

二、保證企業信息安全的基本對策

2.1正確認識企業信息安全問題。

企業的信息安全問題,絕不僅僅是一個僅靠防火墻、密碼等等技術就能解決的問題,它還與人們的職業道德、社會道德以及企業管理等問題密切相關。因此,在維護企業信息安全時,我們必須站在宏觀的角度對問題進行考慮。在過去看來,一個企業信息的安全問題,是領導層或者IT單個部門的事情,但是憑少數人或部門的工作,對于保障公司的信息不被泄漏,防護信息存儲不被破壞、攻擊和偷盜是很難的事。筆者認為,意識指導行動,信息安全問題首先要解決的是員工的思想認識問題,只有企業的每一個人都認識到信息安全的重要性,才能在工作中自覺地維護信息安全。因為在任何一個體系中,人都是最活躍、最具有影響力和決定意義的因素,因此對于企業的信息安全問題而言,企業內部員工才是保護信息安全的最可靠、最有效的重大保障。此外,還可以加強引進信息安全技術人才以及信息安全管理人才,并在日常工作中,加強對隊伍專業知識以及工作技能的培訓,從而為企業建設一支強有力的信息安全保衛隊伍。其次信息管理部門要全面作好專業技術支持與防范工作,根據業務的需求采取適當的保護措施,實施專業應用系統。例如,保護企業信息安全的技術可以采用主動反擊、網絡入侵陷阱、密碼、取證、防火墻、安全服務、防病毒、可信服務、PKI服務、身份識別、備份恢復、網絡隔離等等保護產品以及保護技術,通過確保信息安全的最大化,來實現企業生產經營持續發展以及經濟效益的最大化。此外,還可以在工作的過程中,進一步優化企業信息安全管理,并進行管理監控以及安全風險評估,分析入侵防范、服務器架構等等關鍵問題,以全面性、多角度的掌控,確保企業信息系統的安全性、穩定性,因為信息安全問題不具有靜態性,信息管理始終處在一個不停變動的動態性過程,因此即使我們不可能確保信息的絕對安全,也必須做到相對安全,從而最大限度的降低企業風險。

2.2建立健全信息安全管理制度。

信息安全不僅是技術問題,更主要是管理問題。任何技術措施只能起到增強信息安全防范能力的作用,俗話說“三分技術,七分管理”,只有良好的管理工作才能使保障技術措施得到充分發揮,是能否對信息網絡實施有效信息安全保障的關鍵?,F在中國石油股份有限公司內控體系中涉及信息內部控制的《信息系統總體控制辦法》(以下簡稱“GCC”)就很好的涵蓋了信息安全的各個方面,包括了機房管理、服務器管理、網絡管理和系統管理等。因此在實際的工作中,我們可以通過“三步驟”來實現企業信息的安全管理制度的健全化、完善化。第一,結合企業自身的實際,分析企業存在的問題以及預期的目標,制定具有科學性、合理性、實效性、可行性的信息安全管理制度,使保護信息安全工作做到有法可依,有章可循。第二,建立信息安全管理機構,明晰信息安全管理負責人的職務和責任,并建立相應的考核機制和激勵機制,以督促、鼓勵相關負責人的工作,提高信息管理工作質量。第三,真正貫徹管理措施,加強制度的執行力度,只有這樣,才能從根本上實現管理工作以及工作目標,最終提高企業的信息安全管理水平。

三、加強企業信息安全保障的幾點措施

如何有效地解決企業信息安全的專業性管理與技術性防范,筆者認為可從以下幾個方面著手。

3.1實行嚴格的網絡管理。企業網與互聯網的物理隔離、防火墻設置以及端口限制,與互聯網相比安全性較高,但在日常運行管理中我們仍然面臨網絡鏈路維護、違規使用網絡事件等問題,具體而言:一是在IP資源管理方面,采用IP+MAC捆綁的技術手段防止用戶隨意更改IP地址和隨意更換交換機上的端口。這樣,就不會出現IP地址被盜用而不能正常使用網絡的情況;二是在網絡流量監測方面,使用網絡監測軟件查看數據、視頻、語音等各種應用的利用帶寬,防止頻繁進行大文件的傳輸,甚至發現病毒的轉移及傳播方向。三是加強服務器管理。常見應用服務器安裝的操作系統多為WindowsServer,可利用其自帶的安全管理功能進行設置,包括服務器安全審核、組策略實施、服務器的備份策略以及系統補丁更新等。

3.2加強客戶端監管。對大多數單位的網管來說,客戶端的管理都是他們最頭痛的問題。只有得力的措施才能解決這個問題,這里推薦以下方法:

(1)將客戶端都加入到域中,使客戶端強制性納入管理員集中管理的范圍。

(2)只給用戶以普通域用戶的身份登錄到域,這樣就可以限制他們在本地計算機上安裝有安全隱患軟件的權利。

(3)實現客戶端操作系統補丁程序的自動安裝。

(4)利用企業IT部門的工作職能,設置熱線幫助和技術支持人員,統一管理局域網內各客戶端問題。

篇10

信息就是財富,安全才有價值。企業信息安全決定企業存亡,是市場競爭的利器。企業信息安全涉及到多個方面,如信息網絡的硬件、軟件及其系統中的數據等。安全防護包括四個方面,如實體安全,是指物理安全,包括環境、設備和介質等企業硬件設施的安全;運行安全,是為保證計算機網絡信息系統連續不斷地運行所應采取的一系列安全措施,包括風險分析、檢測、監控與審計跟蹤、應急計劃和應急措施、計算機病毒檢測與預防等;信息安全,是指對企業信息系統中以各種形式存在的信息提供有效的保護,保證信息的準確性,使其不會因為企業內部或外部的原因而遭到泄露、破壞、刪除或篡改;管理安全,主要是指在實現信息安全管理的整個過程中,人應該做什么,如何做,主要是對人的管理。通常把實體安全看作是企業信息安全的基礎,把運行安全看作是對企業信息安全強有力的支持,對信息本身的保護則是信息安全的核心和最終目標,而管理安全則是貫穿整個信息安全工作的生命線。

2 企業信息安全問題分析

今天,信息已成為企業的重要資源之一,隨著計算機技術應用的普及,各個組織機構的運行越來越依賴和離不開計算機,各種業務的運行架構于現代化的網絡環境中。企業信息系統作為信息化程度高、與外界聯絡廣泛的一個特殊系統,其業務也同樣越來越依賴于計算機網絡,企業信息安全隨之面臨嚴峻的考驗。

2009年以來,我國對發生網絡安全事件的調查得出以下數據:從可能的攻擊來源來看,來自外部的攻擊約占40.2%,來自內部的攻擊約占6.6%,內外均有的攻擊約占24.8%,還有28.3%的攻擊來歷不明。[1]可見,過半的攻擊來自企業外部,企業信息安全建設重點應放在外部攻擊的防御上,同時也應加強企業內部信息安全管理以及對其他因素進行控制。

威脅企業信息安全的外部因素很多,包括黑客攻擊、病毒傳播、技術缺陷及突發事件如停電、自然災害等不可抗因素。

在常見的內部安全威脅中,一些是由工作人員不慎造成的,如安全配置不當造成安全漏洞,以及員工某些不經意行為對企業信息資產造成破壞而引起安全問題;另一些信息安全問題是由于被授權人員為了某種利益,將企業信息泄露給非授權人或企業爭競對手。

造成企業內部信息安全問題的因素,主要包括:員工缺乏安全意識,企業管理人員對信息安全的認知和管理決策水平不高;缺乏一套完善的安全管理制度,更缺乏對安全制度執行的嚴格管理;缺乏既懂技術又精通信息安全的專業人才,也缺乏合適的信息安全防護設施;企業對信息安全領域的資金和人員投入不夠。

3 企業信息安全問題的防范

3.1 技術防范

2009年公安部的調查結果顯示,在網絡安全產品的使用上,防火墻約占30.8%,防病毒約占28.5%,入侵檢測和漏洞掃描約占18.2%,信息內容和垃圾郵件約占9.2%,安全審計約占7.4%,其他約占6.0%。綜合運用這些手段,防范效果更佳。

(1) 防火墻技術

防火墻技術是通過對網絡拓撲結構和服務類型上的隔離來加強網絡安全的一種手段。它所保護的對象是網絡中有明確閉合邊界的一個網塊,而它所防范的對象是來自被保護網塊外部的安全威脅。目前,防火墻產品主要有如下幾種:

包過濾防火墻:通常安裝在路由器上,根據網絡管理員設定的訪問控制清單對流經防火墻信息包的IP源地址、IP目標地址、封裝協議(如TCP/IP等)和端口號等進行篩選。

服務器防火墻:包過濾技術可以通過對IP地址的封鎖來禁止未經授權者的訪問。服務器通常由服務端程序和客戶端程序兩部分構成,客戶端程序與中間節點(Proxy Server)連接,這樣,從外部網絡就只能看到服務器而看不到任何的內部資源。

狀態監視防火墻:通過檢測模塊(一個能夠在網關上執行網絡安全策略的軟件引擎)對相關數據的監測后,從中抽取部分數據(即狀態信息),并將其動態地保存起來作為以后制定安全決策的參考。采用狀態監視器技術后,當用戶的訪問到達網關操作系統之前,狀態監視器要對訪問請求抽取有關數據結合網絡配置和安全規定進行分析,以做出接納、拒絕鑒定或給該通信加密等的決定。一旦某個訪問違反了上述安全規定,安全報警器就會拒絕該訪問,并向系統管理器報告網絡狀態。

(2) 病毒防范技術

計算機病毒實際上是一種在計算機系統運行過程中能夠實現傳染和侵害計算機系統的功能程序?;ヂ摼W已經得到廣泛應用的今天,一個新型的病毒能通過網絡迅速傳遍世界。為有效保護企業的信息資源,要求殺毒軟件能支持所有企業可能用到的互聯網協議及郵件系統,能適應并及時跟上瞬息萬變的時代步伐。

(3) 加密型技術

以數據加密為基礎的網絡安全系統的特征是:通過對網絡數據的可靠加密來保護網絡系統中(包括用戶數據在內)的所有數據流,從而在不對網絡環境作任何特殊要求的前提下,從根本上解決了網絡安全的兩大要求(即網絡服務的可用性和信息的完整性)。加密技術按加密密鑰與解密密鑰的對稱性可分為對稱型加密、不對稱型加密、不可逆加密。在網絡傳輸中,加密技術是一種效率高而又靈活的安全手段。

(4) 入侵檢測技術

篇11

2.1電子信息的加密技術

所謂電子信息的加密技術也就是對于所傳送的電子信息能夠起到一定的保密作用,也能夠使信息、數據的傳遞變得更加安全和完整。電子信息的加密技術是保障電子科技企業信息安全的重要保證。加密技術也主要分為對稱以及非對稱兩類,對稱的加密技術一般都是通過序列密碼或是分組機密的方式來實現的。這其中還包括了明文、密鑰、加密算法以及解密算法五個基本的組成部分。而非對稱加密與對稱加密也存在一定的差異,非對稱加密必須要具備公開密鑰和私有密鑰兩個密鑰,同時,這兩種密鑰只有配對使用,這樣才能解密。因此加密技術對于電子信息的安全具有很大的保障。如果在發送電子信息的時候,發送人是使用加密技術來發送郵件的,那么有人竊取信息的時候,也只能夠得到密文,不能得到具體的信息。這樣就大大加強了信息傳送的安全性。加快推進國內關鍵行業領域信息系統的安全評估測試。在安全評估方面,主要針對主機安全保密檢查與信息監管,采取文件內容檢索、惡意代碼檢查、數據恢復技術、網絡漏洞掃描、互聯網網站檢測、語意分析等技術,評估分析重要信息是否發生泄漏,并找出泄漏的原因和渠道。

2.2防火墻技術

隨著網絡技術的不斷發展,雖然對于信息安全問題已經不斷的得到加強,但是一些信息的不安全因素也在逐級的提高。有一些黑客或者是病毒木馬也在不斷的入侵,而這些不安全的因素會極大的威脅到電子科技企業信息的安全。而針對這種情況,一種比較有效的防護措施就是防火墻技術的使用。這種技術可以有效的防止黑客的入侵以及電腦中的信息被篡改等情況的發生。這樣就能夠有效的保障電子科技企業信息的安全。加強企業信息基礎設施和重要信息系統建設,建設面向企業的信息安全專業服務平臺。重點開展等級保護設計咨詢、風險評估、安全咨詢、安全測評、快速預警響應、第三方資源共享的容災備份、標準驗證等服務;建設企業信息安全數據庫,為廣大企業提供快速、高效的信息安全咨詢、預警、應急處理等服務,實現企業信息安全公共資源的共享共用,提高信息安全保障能力。

3解決電子科技企業信息安全問題的方法

3.1構建電子科技企業信息安全的管理體系

如果要想有效的保障電子科技企業的信息安全,除了要不斷的提高安全技術水平,還要建立起一套比較完善的信息安全管理體系。這樣才能使整個信息安全工作更加有條不紊的進行。在很多電子科技企業當中,最初所建立的相關信息制度在很大程度上都制約著信息系統的安全性。如果一旦安全管理制度出現了問題,那么一系列的安全技術都無法發揮出來。很多信息安全工作也無法正常進行下去。因此,嚴格的信息安全管理體系對于信息安全的保障具有十分重要的作用。只有當信息安全管理形成了一個完善的體系,那么信息安全工作才能夠更加順利的進行,同時也能夠大大的提升信息安全的系數。

3.2利用電子科技企業自身的網絡條件來提供信息安全服務

一般來說,電子科技企業都擁有自己的局域網,很多企業也可以通過局域網來相互連通。因此,電子科技企業應該充分的利用這一特點為自身的企業提供良好地信息安全服務。通過局域網的連通,不僅能夠在這個平臺上及時的公布一些安全公告以及安全法規,同時還可以進行一些安全軟件的下載,為員工提供一些關于信息安全的培訓。這樣不僅能夠為企業之間的員工提供一個安全的互相交流的平臺,同時還能夠很好的保障企業信息安全。針對企業主機安全保密檢查與信息監管,采取文件內容檢索、惡意代碼檢查、數據恢復技術、網絡漏洞掃描、互聯網網站檢測、語意分析等技術,評估分析重要信息是否發生泄漏,并找出泄漏的原因和渠道。

篇12

隨著企業的信息化建設,企業信息系統在縱、橫向的耦合程度日益加深,系統間的聯系也日益緊密,因此企業的信息安全影響著企業信息系統的安全、持續、可靠和穩定運行。此外,美國明尼蘇達大學Bush-Kugel的研究報告指出企業在沒有信息資料可用的情況下,金融業至多只能運作2天,商業則為3天,工業則為5天。而從經濟情況來看,25%的企業由于數據損毀可能隨即破產,40%會在兩年內破產,而僅有7%不到的企業在5年后繼續存活。伴隨著監管機構對信息安全日趨嚴格的要求,企業對信息安全的關注逐漸提高,并對信息安全投入的資源不斷增加,從而使得信息安全越來越為公司高級管理層所關注。

2 信息安全問題

目前企業信息安全問題主要包括幾個方面。

(1)信息質量底下:無用信息、有害信息或劣質信息滲透到企業信息資源中, 對信息資源的收集、開發和利用造成干擾。

(2)信息泄漏:網絡信息泄漏和操作泄漏是目前企業普遍存在的信息安全困擾。網絡信息泄漏是信息在獲取、存儲、使用或傳播的時候被其他人非法取得的過程。而操作泄漏則是由于不正當操作或者未經授權的訪問、蓄意攻擊等行為,從而使企業信息泄漏。

(3)信息破壞:指內部員工或者外部人員制造和傳播惡意程序, 破壞計算機內所存儲的信息和程序, 甚至破壞計算機硬件。

(4)信息侵權:指對信息產權的侵犯。現代信息技術的發展和應用, 導致了信息載體的變化、信息內容的擴展、信息傳遞方式的增加, 一方面實現了信息的全球共享, 但同時也帶來了知識產權難以解決的糾紛。

3 信息安全治理的困惑

基于信息安全的重要性,企業在信息安全治理方面投入了諸多資源,但是在信息安全治理成效方面仍不盡如人意,主要問題在于幾個方面。

(1)信息安全治理的范圍不明確:目前企業都在盡力實現良好的信息安全治理,但是由于無法正確理解信息安全治理和信息安全管理的區別,導致了信息安全治理無法與企業的安全規劃和企業戰略形成一致性。表1從工作內容、執行主體和技術深度三個層面分析了兩者的區別。

從表1中可以明確:信息安全治理是為組織機構的信息安全定義一個戰略性的框架,指明了具體安全管理工作的目標和權責范圍,使信息系統安全專業人員能夠準確地按照企業高層管理人員的要求開展工作。

(2)企業信息安全治理路徑的錯誤理解:企業在信息安全治理的過程中,最常用的手法是采用信息安全的技術措施,如使用加密和防偽技術、認證技術、防病毒技術、防火墻技術等方式來進行,但是往往企業投入很多,卻沒有達到預想的效果,問題在于,信息安全治理并不單單是技術問題,信息安全治理也包含了安全戰略、風險管理、績效評估、層級報告以及職責明確等方面。

4 信息安全治理關注的領域

(1)戰略一致性:信息安全治理需與企業的發展戰略和業務戰略相一致,建立相互協作的解決方案。

(2)價值交付:衡量信息安全治理價值交付的基準是信息安全戰略能否按時、按質并在預算內實現預期的價值目標。因此需要設計明確的價值目標,對信息安全治理的交付價值進行評估。

(3)資源管理:實現對支持信息運行的關鍵資源進行最優化投資和最佳管理。

(4)風險管理:企業管理層應具備足夠的風險意識,明確企業風險容忍度,制定風險管理策略,將風險管理融入到企業的日常運營中。

(5)績效度量:利用科學的管理方法,將信息安全治理轉換為可評價的目標的行動,便于對信息安全各項工作的績效進行有效管理。

5 信息安全治理框架

通過良好的信息安全治理, 可以保護企業的信息資產,避免遭受各種威脅,降低對企業之傷害,確保企業的永續經營,以及提升企業投資回報率及競爭優勢。

通過長期的實踐經驗以及結合COBIT標準和GB/T 22080-2008,總結出信息安全治理的框架主要由四部分組成,如圖1所示。

(1)信息安全戰略:結合企業的整體信息技術戰略規劃和信息安全治理現狀,制定信息安全戰略。

(2)信息安全組織架構:根據企業層面在決策、管理和執行機制對組織結構的要求,建立信息安全治理框架和決策溝通機制,明確公司各級管理層及相關部門在信息安全組織架構中的工作職責與角色定位。

(3)信息安全職責:根據公司信息安全組織架構,進一步明確信息安全相關崗位的工作職責、分工界面和匯報路徑等。

(4)信息安全管理制度:信息安全管理制度通過建立一個層次化的制度體系,針對不同的需求方(管理者、執行者、檢查者等)從政策、制度、流程、規范和記錄等方面進行信息安全活動相關的規定,實現信息安全的功能和管理目標。

6 信息安全治理評估

企業信息安全治理評估有助于提高信息安全治理投資的效益和效果。企業的最高管理層和管理執行層可以使用信息安全治理成熟度模型建立企業的安全治理級別。該模型,如表2所示,被應用為幾個方面。

(1)在市場環境中,相對于國際信息安全治理標準、行業最佳實踐,以及直接競爭對手,了解企業在信息安全治理上的級別。

(2)進行差距分析,為改進措施提供明確的路徑。

(3)了解企業的競爭優勢和劣勢。

(4)有利于對信息安全治理進行績效評估。

7 結束語

本文從企業信息安全治理的實踐出發,概述了目前企業信息安全治理存在的問題和困惑,總結了企業實現有效的信息治理的關注領域和實施內容,為企業建立良好的信息安全治理提供了基本框架。

參考文獻

[1] 馬峰輝,劉壽強.企業信息安全治理的經濟性探析.計算機安全,2003:70-71.

[2] 婁策群,范昊,王菲.現代信息技術環境中的信息安全問題及其對策.中國圖書館學報,2000(11):33-37.

[3] 劉金鎖,李筱煒,楊維永.企業實現有效的信息安全治理之路.中國管理信息化,2012(11):37-39.

[4] 黃華軍,錢亮,王耀鈞.基于異常特征的釣魚網站URL檢測技術[J].信息網絡安全,2012,(01):23-25.

篇13

瑞星企業專屬“私有云”為每個企業單獨構建,提供專屬的云應用和云服務。它主要有兩個功能:一,為企業提供了安全應用軟件平臺,便于企業獲取經過瑞星安全認證的各類應用軟件,便于管理員分發、管理和監控。二,為每個企業定制專屬的安全服務,企業客戶端無需存放病毒庫,也無需進行復雜殺毒運算,大大降低了對系統資源的占用,同時可進行最快速、最及時、最輕便的病毒掃描和防護。

智能動態資源分配技術優化了殺毒引擎的核心技術,使其變得更加輕便,突破了傳統殺毒軟件一次性將病毒庫加載到內存中,使用高負荷CPU進行運算的方式,并對病毒庫進行了細化,同時優化其存儲和加載方式,在殺毒時,實現化整為零、按需加載,從而達到降低資源占用的目的,使更多的老舊電腦也可以流暢運行最先進的殺毒軟件。

大型企業在遇到安全問題時,最為頭疼的是管理員很難在短時間內定位到具體出現問題的電腦,從而使問題變得更加復雜,延遲解決時間。在新一代瑞星網絡版殺毒軟件中,增加了第二代身份識別標示,對用戶標示進行升級,加入了CPU、主板、硬盤串號、Mac地址、微軟身份標示等信息,管理員可精確定位每臺電腦。

5S服務詮釋高端企業安全理念

將“私有云”、智能動態資源分配等領先的技術迅速落地,轉化為產品并與專業的企業信息安全服務相結合,這是瑞星一直追求的目標。在瑞星新一代企業級整體解決方案中,用戶不僅可享受到“私有云”技術帶來的安全成果,而且能夠得到國內首家5S專業級企業信息安全服務。

瑞星公司客服中心總經理齊勇表示,在企業信息安全領域,瑞星向企業用戶提供了信息安全評估服務、信息安全預警服務、信息安全專家服務、信息安全應急響應服務、信息安全培訓服務。

1、信息安全評估服務:信息安全始于評估,作為擁有CSP認證的安全廠商,瑞星將為用戶全面評估面臨的各種安全風險、提供專業評估報告。

2、信息安全預警服務:可以通過專屬手機通道、郵件通報、網站掛馬預警、網站漏洞檢測等方式,第一時間發出預警信息,為企業提供信息安全服務。

3、信息安全專家服務:通過對口信息安全顧問、專家常駐支持等方式提供技術支持。