前言:中文期刊网精心挑选了企业信息安全现状范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
企业信息安全现状范文1
关键词:信息安全;网络安全危胁;安全防护系统
中图分类号:TP393文献标识码:A文章编号:1009-3044(2012)26-6245-03
计算机网络技术迅猛发展,各发电企业信息化网络日渐普及,成为了企业科技化管理的重要手段。通过对数据的集中、共享、处理使得信息系统为发电企业生产经营、安全生产等各方面提供了巨大的科技支撑。但同时伴随出现的病毒蔓延、不良黑客入侵、流氓软件等多方面问题成为了不得不面对的问题,同时对发电企业的安全生产也形成了巨大的威胁,以此进一步加强发电企业信息化安全是在信息化建设初期首要考虑的问题。
1发电企业面临的网络安全威胁
因为信息网络的互通性,发电企业信息化威胁,既有可能来自本企业内部,也同时可能来源于外部。其内部威胁主要来自于员工、各信息系统管理员等,根据统计,网络安全破坏活动近80%来自于竞争对手、任何恶意的组织和个人。主要表现的安全威胁为:
1)截获用户标识:截获标识指以非法手段取得合法用户的身份信息,主要是用户的帐号和密码,这是绝大多数发电信息系统采用的认证防护措施。如果侵入者得知了某位合法用户的帐号和密码,即便该合法用户并未被赋予其他的特权,也有可能威胁整个系统的安全。如果帐号,特别是密码,被以明文的方式由信息网络传递,侵入者通过安装协议分析软件对网络通信进行监视,则可以轻松获取。如果密码通过明文格式保存在用户的计算机的内存或者硬盘中,侵入者更能够有方法发现并利用这些密码,同时如果密码很简单(如手机号码、用户生日、私家车号牌、用户姓名等),更加容易被侵入者通过软件得知,在网络上大肆传播的黑客工具都是通过几种常用习惯的词典来获取用户密码。
2)伪装:当未通过授权的用户假扮成具有合法授权的用户,登录发电信息系统时就形成了伪装。当未通过授权的用户经过伪装成信息系统管理员或者具有信息管理超级特权的有关用户时,截获用户标识的情况是威胁最大的。应为侵入者已经获取了某位合法用户的标识,或者因为侵入者已经使信息系统相信其拥有另外的而实际上并不存在的权限,所以伪装是很容易出现的。网络地址欺骗实际上就是伪装的一中形式,侵入者通过一个合法的IP地址,然后通过此地址截获已被授予该合法地址的系统或者是服务器访问权限。
3)非授权操作:非授权操作使用信息系统或者资源时,信息网络安全就受到了极大的威胁。例如,企业的发电数据和财务数据有可能被未经授权的侵入者,非法修改并利用。
4)病毒:病毒是伴随计算机技术产生,能够通过不断自我复制,大范围传播,对计算机、信息系统及其数据产生极大破坏的程序。因为病毒具有的隐藏性和可变异性,使得广大用户无法防范。据有关资料调查,99%的企业或者个人受到过计算机病毒的感染,63%的数据和系统损坏来源于病毒。给受害企业或个人带来巨大的时间和人力资源的浪费,同时重要数据文件的丢失和损坏是无法用金钱来衡量的。
5)服务拒绝:通过向发电企业信息化系统发送大量的请求或者垃圾数据,使得服务器的资源被大量占用,直至资源耗尽,使其达到无法继续提供正常服务或者服务器崩溃的目的。在发电企业信息化系统中,这样的攻击可能造成重大的安全威胁。
6)恶意程序代码:伴随着可自执行的计算机程序与WWW站点的集成,恶意程序代码通过Microsoft ActiveX控件或Sun Java程序的大量使用形成了极大的安全威胁。
7)特权滥用:信息系统的超级管理员故意或者错误地通过对某系统的特权来获取其不应获取的敏感数据。
8)误操作:信息系统超级管理员、业务系统管理员、一般用户等因对技术方面熟练度不高,操作时的失误,引起对信息系统安全性、完整性和可靠性的损坏。
9)权限变更:一般用户利用信息系统的漏洞提高其用户等级,以获取未经授权的系统权限。
10)后门:信息系统研发人员出于故意或者为了日后维护便利在信息系统中设置的专用通道,使用其可以不受企业信息系统安全措施的控制。经常被人为利用控制、破坏正常运行的系统。
11)系统研发中的错误和调试不全:其包含对有关数据不进行充分的检查、对系统的逻辑运行定义不准确,同时这些错误和不完善没有通过大量的、齐全的系统调试检查出来,有可能在运行中导致数据被错误生成且引入信息系统,破坏了实际数据的准确性。
12)特洛伊木马:它通过提供一些有价值的或者仅仅是有趣的功能,在用未经用户许可的情况下拷贝文件、窃取用户的帐号和密码、发送用户的重要资料或者破坏用户系统等。木马程序是一种常见的危害性较大的威胁,由于其不易被发现,在一般情况下,它是在二进制代码中被发现,且大多数后缀名都为无法直接打开的文件,其特点与病毒有许多相似的地方。
13)社会工程共计:主要是的是攻击者利用人的心理活动进行攻击,其无需采用高深的科技手段,同时无需入侵系统来完成。仅需要通过向特定用户了解帐号和密码,达到其获取数据或者信息系统访问权的目的。绝大多数情况下、攻击者的主要目标是企业的办公室接待员、行政或者技术支撑人员,通过对这些类别的用户通过电话、EMAIL或者聊天工具等方式即可完成攻击。
2发电企业信息化情况(以五大发电集团某下属发电公司为例)
2.1信息化网络状况
图1
2.2信息化系统状况
1)财务及资产管理(简称:FAM)系统,是集中部署的核心应用系统,涵盖电厂财务核算、费用报销、资金计划、物资采购、库存管理、物资计划、超市管理、合同管理、缺陷管理、检修管理、设备维护等功能模块。
2)OA办公自动化系统。实现下属企业以及与集团公司间收发文交互、内部收发文管理、邮件及通讯目录功能。系统还提供了值班管理、督察督办、会议管理、车辆管理、办公用品等行政办公管理功能。
3)PI实时信息系统:本系统采集、存储DCS系统、电能量、环保系统等实时运行参数,除满足电厂对实施信息的管理需求外,还将有关数据实时传送集成到集团公司实时系统、集团公司生产与营销实时监管系统。
4)电厂多业务管理平台。系统包括运行管理、计划管理、生产统计、班组管理、标准制度、政工管理、监审管理、合理化建议等功能,其中统计、政工、监审等模块实现了与集团公司层面相应管理模块的系统集成。
5)安全管理平台:功能包括安全信息、安全报表、安全检查、工作票、操作票等管理。
6)公司MIS系统:本系统不仅作为下属企业所有管理信息系统入口门户,还提供了项目申报、生产日报、人力资源、融合机制管理、培训考试、安全认证管理、灵活报表等应用功能。
7)档案管理系统:本系统由集团公司统一实施,各单位档案系统建设须按照集团公司统一规划,以便于OA系统统一接口、版本升级、技术培训等。
8)网站系统由各下属企业自主建设和运维管理,界面设计须符合集团公司VI视觉识别系统标准,内容、运维管理遵照公司和集团公司有关规定和要求,严格执行安全保密等有关规定。
3发电企业网络安全防护设计方案
发电企业信息安全体系机构由网络安全防护、数据备份和恢复、应用系统安全、信息安全管理等几部分组成。
3.1网络安全防护
3.1.1系统安全域防护
将企业信息系统通过网络安全域的形式,分为服务器、用户两个安全域,同时划分多个二级安全域,主要为生产信息系统、财务系统、系统管理员、一线生产班组、普通用户等。
3.1.2网络的高可靠性
1)企业核心网络设备采取双机互为热备形式,两台中心交换机设备通过双链路互联;接入层与核心层也通过双链路互联。
2)重要用户安全域通过双链路与企业核心交换连接,进一步保证其链路的可靠性。
3)企业核心业务系统服务器也必须通过双链路接入核心层。
3.1.3防病毒
1)企业管理信息大区按照要求统一部署防病毒系统,采用国内知名品牌网络版。安全区一、二与三区各自拥有自己的防病毒服务器。
2)对管理信息大区的服务器、终端用户,强制按照规定部署统一的可网管的防病毒产品。
3)在互联网接口部署防病毒网关,以防其从外部传播到企业管理信息大区。
4)注重防病毒管理,保证病毒特征码得到有效的更新,通过查看病毒软件的历史记录,了解病毒威胁情况并积极应对。
3.1.4防火墙
在位于内外网接口处部署防火墙一台,采用高性能硬件防火墙,国内知名品牌,具有双安全操作系统;可以提供对复杂环境的接入支持,包括路由、透明以及混合接入模式;具备防火墙、IPSEC VPN,SSL VPN、防病毒、IPS等安全功能。
3.1.5入侵检测系统
在核心层部署一个入侵检测的探头,保证入侵检测系统能够及时发现有关威胁。
3.1.6主机安全加固
发电企业的关键应用系统(如生产营销实施监管系统、财务系统)的服务器,采取定期安全加固的形式。形式包括:定期检查安全配置、安全补丁、加强服务器系统的访问控制能力等。
3.2备份与恢复
对于关键应用系统,必须采用每天定期备份,同时人工每月全备份一次。备份的数据必须采用异地存储的形式,且需做到专人定期检查,防止遗漏。
3.3应用系统安全
管理信息大区中的发电企业应用系统应着重确保其安全性能够得到保证。其主要安全建设内容包括:对系统的访问控制、用户帐号密码及权限管理、操作审计管理、数据加密管理、数据完整性检查等。
3.4信息安全管理
1)通过成立企业信息化领导小组,加强信息工作包括信息安全工作的整体管理;
2)通过制定信息网络管理制度及各级安全防护策略;并通过正式公文下发,严格执行。
3)通过设立专业的信息管理人员和成立涵盖各业务部门的兼职信息员,形成覆盖全面的信息化安全管理网络。
综上所述,发电企业网络信息安全是一个系统工程,不能仅靠杀毒软件、防火墙、漏洞扫描等硬件设备的防护,还要意识到计算机网络系统是一个人机系统,在建立以计算机网络安全硬件产品为基础的网络安全系统的同时,也应树立各个用户的网络信息安全意识才能防微杜渐,构建一个高效、安全的网络系统。
综上所述,发电企业信息安全是一个系统工程,不仅需要入侵检测系统、防火墙等硬件安全设备,同时还要注意信息系统是一个广泛使用的人机互动系统,必须通过系列的安全管理措施和规章制度,进一步强化各级用户的信息安全意识,做到信息安全人人有责、信息安全从自我做起,才能构建起一个高效、安全的企业信息化网络。
参考文献:
企业信息安全现状范文2
[关键词]信息安全;管理;控制;构建
中图分类号:X922;F272 文献标识码:A 文章编号:1009-914X(2015)42-0081-01
1 企业信息安全的现状
随着企业信息化水平的提升,大多数企业在信息安全建设上逐步添加了上网行为管理、内网安全管理等新的安全设备,但信息安全防护理念还停留在防的阶段,信息安全策略都是在安全事件发生后再补救,导致了企业信息防范的主动性和意识不高,信息安全防护水平已经越来越不适应当今企业IT运维环境和企业发展的需求。
2 企业信息系统安全防护的构建原则
企业信息化安全建设的目标是在保障企业数字化成果的安全性和可靠性。在构建企业信息安全体系时应该遵循以下几个原则:
2.1 建立企业完善的信息化安全管理体系
企业信息安全管理体系首先要建立完善的组织架构、制定信息安全管理规范,来保障信息安全制度的落实以及企业信息化安全体系的不断完善。基本企业信息安全管理过程包括:分析企业数字化资产评估和风险分析、规划信息系统动态安全模型、建立可靠严谨的执行策略、选用安全可靠的的防护产品等。
2.2 提高企业员工自身的信息安全防范意识
在企业信息化系统安全管理中,防护设备和防护策略只是其中的一部分,企业员工的行为也是维护企业数字化成果不可忽略的组成。所以企业在实施信息化安全管理时,绝对不能忽视对人的行为规范和绩效管理。在企业实施企业信息安全前,应制定企业员工信息安全行为规范,有效地实现企业信息系统和数字化成果的安全、可靠、稳定运行,保证企业信息安全。其次阶段递进的培训信息安全人才也是保障企业数字化成果的重要措施。企业对员工进行逐次的安全培训,强化企业员工对信息安全的概念,提升员工的安全意识。使员工的行为符合整个企业信息安全的防范要求。
2.3 及时优化更新企业信息安全防护技术
当企业对自身信息安全做出了一套整体完善的防护规划时,就应当考虑采用何种安全防护技术来支撑整个信息安全防护体系。对于安全防护技术来说可以分为身份识别、网络隔离、网络安全扫描、实时监控与入侵发现、安全备份恢复等。比如身份识别的目的在于防止非企业人员访问企业资源,并且可以根据员工级别分配人员访问权限,达到企业敏感信息的安全保障。
3 企业信息安全体系部署的建议
根据企业信息安全建设架构,在满足终端安全、网络安全、应用安全、数据安全等安全防护体系时,我们需要重点关注以下几个方面:
3.1 实施终端安全,规范终端用户行为
在企业信息安全事件中,数字化成果泄漏是属于危害最为严重的一种行为。企业信息安全体系建立前,企业员工对自己的个人行为不规范,造成了员工可以通过很多方式实现信息外漏。比如通过U盘等存储介质拷贝或者通过聊天软件传递企业的核心数字化成果。对于这类高危的行为,我们在建设安全防护体系时,仅仅靠上网行为管理控制是不能完全杜绝的。应该当用户接入企业信息化平台前,就对用户的终端系统进行安全规范检查,符合企业制定的终端安全要求后再接入企业内网。同时配合上网行为管理的策略对员工的上网行为进行审计,使得企业员工的操作行为符合企业制定的上网行为规范,从终端用户提升企业的防护水平。
3.2 建设安全完善的VPN接入平台
企业在信息化建设中,考虑总部和分支机构的信息化需要,必然会采用VPN方式来解决企业的需求。不论是采用SSL VPN还是IPSecVPN,VPN加密传输都是通用的选择。对于分支机构可以考虑专用的VPN设备和总部进行IPSec连接,这种方式更安全可靠稳定。对于移动终端的接入可以考虑SSL VPN方式。在这种情况下,就必须做好对于移动终端的身份认证识别。其实我们在设备采购时,可以要求设备商做好多种接入方式的需求,并且帮助企业搭建认证方式。这将有利于企业日常维护,提升企业信息系统的VPN接入水平。
3.3 优化企业网络的隔离性和控制性
在规划企业网络安全边际时,要面对多个部门和分支结构,合理的规划安全网络边际将是关键。企业的网络体系可以分为:物理层;数据链路层;网络层;传输层;会话层;表示层;应用层。各体系之间的相互隔离和访问策略是防止企业信息安全风险的重要环节。在企业多样化网络环境的背景下,根据企业安全优先级及面临的风险程度,做出适合企业信息安全的防护策略和访问控制策略。根据相应防护设备进行深层次的安全防护,真正实现OSI的L2~L7层的安全防护。
3.4 实现企业信息安全防护体系的统一管理
为企业信息安全构建统一的安全防护体系,重要的优势就是能实现对全网安全设备及安全事件的统一管理,做到对整个网络安全事件的“可视、可控和可管”。企业采购的各种安全设备工作时会产生大量的安全日志,如果单靠相关人员的识别日志既费时效率又低。而且不同安全厂商的日志报表还存在很大差异。所以当安全事件发生时,企业管理员很难实现对信息安全的统一分析和管理。所以在企业在构建信息安全体系时,就必须要考虑安全设备日志之间的统一化,设定相应的访问控制和安全策略实现日志的归类分析。这样才能做到对全网安全事件的“可视、可控和可管”。
4 结束语
信息安全的主要内容就是保护企业的数字化成果的安全和完整。企业在实施信息安全防护过程中是一个长期的持续的工作。我们需要在前期做好详尽的安全防护规划,实施过程中根据不断出现的情况及时调整安全策略和访问控制,保证备份数据的安全性可靠性。同时全体企业员工一起遵守企业制定的信息安全防护管理规定,这样才能为企业的信息安全提供生命力和主动性,真正为企业的核心业务提供安全保障。
参考文献
[1] 段永红.如何构建企业信息安全体系[J]. 科技视界,2012,16:179-180.
[2] 于雷.企业信息安全体系构建[J].科技与企业,2011,08:69.
[3] 彭佩,张婕,李红梅. 企业信息安全立体防护体系构建及运行[J].现代电子技术,2014,12:42-45+48.
[4] 刘小发,李良,严海涛.基于企业网络的信息安全体系构建策略探讨[J]. 邮电设计技术,2013,12:25-28.
[5] 白雪祺,张锐锋. 浅析企业信息系统安全体系建设[J].管理观察,2014,27:81-83.
企业信息安全现状范文3
关键词:电力企业;信息安全;管控平台;初步设计
中图分类号:TP31 文献标识码:A
随着我国社会经济不断地发展,人们的生活水平不断地提高,我国电力企业得到高速发展,为满足人们所提出的高要求,适应社会主义市场经济体制的发展,电力企业必须转变管理模式,采用现代化的管理手段,以寻求更好的发展。如今,计算机信息技术已被广泛应用于社会各个领域中,具有重要的作用。电力企业在发展过程中,其规模越来越大,信息化的应用也有所突破,但仍然存在问题。为使信息化技术在电力企业中得到高效的应用,保障电力企业的信息安全,则必须建设电力企业信息安全管控平台,以有效的控制电力企业的信息,充分发挥管控平台的功能。
一、创建电力企业信息安全管控平台的重要性
随着我国电力企业的蓬勃发展,其经营规模越来越大,在企业中充分利用信息技术,以使电力企业具有时代特点。近几年,计算机信息网络技术不断地改进和完善,逐渐成为我国社会生活生产中不可或缺的一部分,其在电力企业中的应用推动了电力企业的现代化发展,但与此同时其也为电力企业的信息安全带来了挑战。现阶段,电力企业的信息安全问题已成为其发展过程中的亟待解决的重要研究课题。在电力企业中,由于其各级别的单位难以解决网络分散性问题,无法有效地规避信息安全事件所带来的高风险。在电力企业管理中无法全面的掌握企业信息安全状况,缺少可靠的依据来开展风险评估工作,未能进行实时跟踪监督,导致其难以制定科学的安全预警方案。鉴于这种情况,电力企业必须加强内部控制管理,做好事前预防、事中控制和事后监督。为实现有效的电力企业现代管理,必须创建具有实用性的电力企业信息安全管控平台。这个平台能让电力企业实施可靠的安全监督,进行合理的安全预警工作,可促使电力企业做好风险评估工作,开展高效的监督工作,对企业信息进行统一管理,以建立完善的信息安全风险管理体系,从而提高电力企业信息安全管理水平。
二、电力企业信息安全管控平台的初步设计
1电力企业信息安全管控平台的设计原则
在设计电力企业信息安全管控平台时,要遵循以下原则:首先,所创建的信息安全管控平台必须满足电力企业发展的需求,要以现代电力企业的管理体制为依据来创建,以保障信息安全管控平台的可实行性;其次,电力企业信息安全管控平台的设计需要先进的技术措施和科学的管理方法来支持,因而设计前,必须慎重的选择技术和管理的实现方式;最后,电力企业所创建的信息安全管控平台,其自身必须具有一定的安全性,为平台在企业中的应用提供重要的保障。除此之外,在信息安全管控平台的设计过程中,要先了解平台工具的特殊性能,并以此为基础来设计与之配套的功能服务,例如数据初始化,以保障信息安全管控平台的顺利运行。
2根据不同的角色来设计管控平台
电力企业信息安全管控平台的建设,必须与其企业的组织结构相配合。在设计管控平台的时候,应该对不同角色的职能需求进行分析。对于上级信息安全主管单位,其所需要的是能全面掌握信息安全的动态,了解信息系统安全的状况,做好网络环境评估工作,主要功能是协调和监督;对于本地信息安全实施单位和主管单位,前者主要是设立安全运维人员等人来保障解本地信息安全,而后者则是全面了解企业信息安全状况并且进行有效的细条;对外部信息安全支持单位,其主要是负责对企业信息安全实施监督和控制,以做好应急工作;对于应急联动和专家机构,其职责在于为企业信息的安全提供技术保障。
3信息安全管控平台在电力企业中的实现
信息安全管控平台在电力企业中运行时,主要分为这几个模块:第一,基础安全数据管理模块,这一部分主要是的对企业信息系统中所产生的各类数据,如服务器的基本信息,安全配置知识库等数据资料进行整合和储存,具有查询和修改的功能;第二,预案管理模块,这一部分主要是用来对电力企业中的各级单位进行原的编制、和更新等。值得注意的是要为应急预案编制工作和审批制定统一的标准,加以规范。在预案管理部分,可充分利用工作流引擎来执行应急预案,以突出应急预案的作用和其有效性;第三,风险评估模块,在这一部分主要是为信息安全风险评估工作提供可靠的数据信息作为依据,以根据矩阵型风险计算方式计算出风险,并制定出相应措施;第四,业务影响分析模块,这一部分的功能与风险评估模块的职责差不多,也是响应急预案提供有效信息,但是其在此过程中还必须注意信息系统业务之间的不同之处;第五部分是公告管理模块,这一部分主要是提供浏览、查阅和管理等功能;第六。预警管理模块,由两个部分组成,一个是漏洞预警管理,另一个则是威胁预警管理,这两个部分的级别分别是高、中、低;第七,安全事件管理模块,这一部分是对信息安全事件进行处理;第八,信息安全状况监视模块,包括了宏观态势监视和应急监视。
结语
在电力企业中建立信息安全管控平台,是保障电力企业信息安全的重要途径,具有重要意义。电力企业信息安全管控平台的建设是为了加强电力企业信息化程度,必须科学的制定设计方案,使其符合现阶段电力企业的发展现状和电力企业的发展特点。在电力企业中运行信息安全管控平台,有利于及时发现信息安全中存在的问题,并加以解决,能确保企业信息的真实性、完整性和有效性。这种信息安全管控平台的创建有其必要性,对电力企业的发展起到重要的影响作用,必须予以高度重视。总而言之,对电力企业信息安全管控平台的研究具有重要的意义,而这一平台的运行则具有较高的使用价值。
参考文献
[1]樊凯.电力企业信息安全管控平台设计与实现[J].现代计算机:下半月版,2012(17) .
[2]李正忠.电力企业信息安全网络建设原则与实践[J].中国新通信,2013(9) .
企业信息安全现状范文4
【 关键词 】 信息安全;安全治理;框架;风险管理
1 引言
随着企业的信息化建设,企业信息系统在纵、横向的耦合程度日益加深,系统间的联系也日益紧密,因此企业的信息安全影响着企业信息系统的安全、持续、可靠和稳定运行。此外,美国明尼苏达大学Bush-Kugel的研究报告指出企业在没有信息资料可用的情况下,金融业至多只能运作2天,商业则为3天,工业则为5天。而从经济情况来看,25%的企业由于数据损毁可能随即破产,40%会在两年内破产,而仅有7%不到的企业在5年后继续存活。伴随着监管机构对信息安全日趋严格的要求,企业对信息安全的关注逐渐提高,并对信息安全投入的资源不断增加,从而使得信息安全越来越为公司高级管理层所关注。
2 信息安全问题
目前企业信息安全问题主要包括几个方面。
(1)信息质量底下:无用信息、有害信息或劣质信息渗透到企业信息资源中, 对信息资源的收集、开发和利用造成干扰。
(2)信息泄漏:网络信息泄漏和操作泄漏是目前企业普遍存在的信息安全困扰。网络信息泄漏是信息在获取、存储、使用或传播的时候被其他人非法取得的过程。而操作泄漏则是由于不正当操作或者未经授权的访问、蓄意攻击等行为,从而使企业信息泄漏。
(3)信息破坏:指内部员工或者外部人员制造和传播恶意程序, 破坏计算机内所存储的信息和程序, 甚至破坏计算机硬件。
(4)信息侵权:指对信息产权的侵犯。现代信息技术的发展和应用, 导致了信息载体的变化、信息内容的扩展、信息传递方式的增加, 一方面实现了信息的全球共享, 但同时也带来了知识产权难以解决的纠纷。
3 信息安全治理的困惑
基于信息安全的重要性,企业在信息安全治理方面投入了诸多资源,但是在信息安全治理成效方面仍不尽如人意,主要问题在于几个方面。
(1)信息安全治理的范围不明确:目前企业都在尽力实现良好的信息安全治理,但是由于无法正确理解信息安全治理和信息安全管理的区别,导致了信息安全治理无法与企业的安全规划和企业战略形成一致性。表1从工作内容、执行主体和技术深度三个层面分析了两者的区别。
从表1中可以明确:信息安全治理是为组织机构的信息安全定义一个战略性的框架,指明了具体安全管理工作的目标和权责范围,使信息系统安全专业人员能够准确地按照企业高层管理人员的要求开展工作。
(2)企业信息安全治理路径的错误理解:企业在信息安全治理的过程中,最常用的手法是采用信息安全的技术措施,如使用加密和防伪技术、认证技术、防病毒技术、防火墙技术等方式来进行,但是往往企业投入很多,却没有达到预想的效果,问题在于,信息安全治理并不单单是技术问题,信息安全治理也包含了安全战略、风险管理、绩效评估、层级报告以及职责明确等方面。
4 信息安全治理关注的领域
(1)战略一致性:信息安全治理需与企业的发展战略和业务战略相一致,建立相互协作的解决方案。
(2)价值交付:衡量信息安全治理价值交付的基准是信息安全战略能否按时、按质并在预算内实现预期的价值目标。因此需要设计明确的价值目标,对信息安全治理的交付价值进行评估。
(3)资源管理:实现对支持信息运行的关键资源进行最优化投资和最佳管理。
(4)风险管理:企业管理层应具备足够的风险意识,明确企业风险容忍度,制定风险管理策略,将风险管理融入到企业的日常运营中。
(5)绩效度量:利用科学的管理方法,将信息安全治理转换为可评价的目标的行动,便于对信息安全各项工作的绩效进行有效管理。
5 信息安全治理框架
通过良好的信息安全治理, 可以保护企业的信息资产,避免遭受各种威胁,降低对企业之伤害,确保企业的永续经营,以及提升企业投资回报率及竞争优势。
通过长期的实践经验以及结合COBIT标准和GB/T 22080-2008,总结出信息安全治理的框架主要由四部分组成,如图1所示。
(1)信息安全战略:结合企业的整体信息技术战略规划和信息安全治理现状,制定信息安全战略。
(2)信息安全组织架构:根据企业层面在决策、管理和执行机制对组织结构的要求,建立信息安全治理框架和决策沟通机制,明确公司各级管理层及相关部门在信息安全组织架构中的工作职责与角色定位。
(3)信息安全职责:根据公司信息安全组织架构,进一步明确信息安全相关岗位的工作职责、分工界面和汇报路径等。
(4)信息安全管理制度:信息安全管理制度通过建立一个层次化的制度体系,针对不同的需求方(管理者、执行者、检查者等)从政策、制度、流程、规范和记录等方面进行信息安全活动相关的规定,实现信息安全的功能和管理目标。
6 信息安全治理评估
企业信息安全治理评估有助于提高信息安全治理投资的效益和效果。企业的最高管理层和管理执行层可以使用信息安全治理成熟度模型建立企业的安全治理级别。该模型,如表2所示,被应用为几个方面。
(1)在市场环境中,相对于国际信息安全治理标准、行业最佳实践,以及直接竞争对手,了解企业在信息安全治理上的级别。
(2)进行差距分析,为改进措施提供明确的路径。
(3)了解企业的竞争优势和劣势。
(4)有利于对信息安全治理进行绩效评估。
7 结束语
本文从企业信息安全治理的实践出发,概述了目前企业信息安全治理存在的问题和困惑,总结了企业实现有效的信息治理的关注领域和实施内容,为企业建立良好的信息安全治理提供了基本框架。
参考文献
[1] 马峰辉,刘寿强.企业信息安全治理的经济性探析.计算机安全,2003:70-71.
[2] 娄策群,范昊,王菲.现代信息技术环境中的信息安全问题及其对策.中国图书馆学报,2000(11):33-37.
[3] 刘金锁,李筱炜,杨维永.企业实现有效的信息安全治理之路.中国管理信息化,2012(11):37-39.
[4] 黄华军,钱亮,王耀钧.基于异常特征的钓鱼网站URL检测技术[J].信息网络安全,2012,(01):23-25.
[5] 黄世中.GF(2m)域SM2算法的实现与优化[J].信息网络安全,2012,(01):36-39.
企业信息安全现状范文5
关键词:信息安全;安全风险;风险防控
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2012) 11-0000-03
随着大型企业信息化建设的逐步深入,对信息系统的依赖程度不断提高,信息系统的稳定运行直接关系到社会秩序与国计民生。企业伴随着各信息系统的建成,信息化水平不断提高,信息系统对业务的支撑作用更加明显,迫切需要提高信息安全保障能力,保证网络基础设施与信息系统的安全、可靠运行。
为了加强大型企业信息系统的安全防护,按照《国家信息化领导小组关于加强信息安全保障工作的意见》文中明确提出的“要重视信息安全风险评估工作,对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估"的指导建议,本文对信息系统进行风险评估,确定系统缺陷和安全需求,提出整改建议,为大型企业整体信息安全解决方案提供基础资料和有力依据;结合国家关于信息系统安全等级保护的相关要求,评价已有信息安全建设的适当性、合规性,分析所面临的威胁、影响和脆弱性及其发生的可能性,最终得出所面临的风险,并提出整改建议,为大型企业信息安全战略发展提供参考。
一、大型企业信息安全面临的风险
(一)风险概述
安全风险是一种对机构及其资产构成潜在破坏的可能性因素或者事件。无论对于多么安全的信息系统,安全风险是一个客观存在的事物,它是风险评估的重要因素之一。
产生安全风险的主要因素可以分为人为因素和环境因素。人为因素又可区分为有意和无意两种。一般来说,威胁总是要利用网络、系统、应用或数据的弱点才可能成功地对资产造成伤害。安全事件及其后果是分析威胁的重要依据。但是有相当一部分威胁发生时,由于未能造成后果,或者没有意识到,而被安全管理人员忽略。这将导致对安全风险的认识出现偏差。
(二)威胁类别
分析存在哪些威胁种类,首先要考虑威胁的来源,信息系统的安全风险来源如下。
对安全风险进行分类的方式有多种多样,针对上表威胁来源,可以将威胁分为以下种类。
二、信息安全风险防控
(一)信息安全风险防控思路
根据大型企业目前信息安全工作的现状,为了充分的利用现有资源、节约成本,并能够有效的对信息资产进行充分保障,我们提出“集中管控、纵深防御”二点方针:
1.集中管控:减少攻防界面是成本较低、成效显著的防御方法。随着网络设备、服务器主机、安全设备的不断增加,网络拓扑日益复杂,如能对安全设施进行集中管理,控制安全边界将能够有效地降低安全成本;
2.纵深防御:现有的任何防护措施都不能完全保证信息系统不发生安全事件,通过多级的安全防御部署,能够在出现未知漏洞外层防御措施失效后,控制安全事件造成的影响,减少损失。
基于以上两个观点,结合大型企业信息安全的现状,制定如下思路:
由于大型企业的网络复杂庞大,在未来的网络安全建设上建议采取大面上封堵,重点防御的策略。大面上封堵即阻断传统终端--网络—服务器—存储的访问方式;重点防御是指采用用户集中通过统一平台访问的方式实现业务应用,然后重点做好统一平台的安全防御工作;
在上述大思路的指导下,未来的网络安全建设还需要重点做好数据中心的网络安全防护工作,即不仅要防止由于服务端口开放带来安全风险,还应该重点防御深度注入web应用类型病毒所带来的安全风险,因为目前集团绝大多数的应用系统为B/S架构下通过web访问方式实现访问。
(二)信息安全风险防控蓝图
本文针对信息安全风险防控的蓝图拟从网络、主机、应用和数据4个方面来对大型企业的信息安全建设提出建议,如图所示:
大型企业信息安全建设规划蓝图
(三)信息安全风险防控措施
信息安全风险防控措施的基础工作是访问控制的细化。建议倾向于安全域的划分的思想,但不强调必须要进行安全域划分的表现形式。与网络相关的控制措施主要有以下3个方面:
1.单点故障:核心链路的各种网络设备往往为单台设备运行,诸如核心交换机、路由器以及防火墙等,一旦出现故障,将对网络的可用性造成严重影响,直接影响内外网间的访问,建议增加核心链路的设备数量,考虑进行双机热备。
2.边界控制:从网络整体来看,如果互联网出口数量较多,一旦发生来自网络外部的安全事件,判断和溯源难度大,管理分析成本较高,需要对企业网络的互联网边界适当管控,关闭或对互联网出口增加监管;
3.VLAN隔离:在服务器机房中存放的服务器主机的资产重要程度是不同的,部分主机所有互联网用户可以访问(如:门户网站),部分主机只有内部人员或内部部分人员可以访问(如:OA、ERP等)如果这些主机都划分在同一VLAN中,一旦任意主机出现安全事件,很容易影响到统一VLAN中的其他主机。需要对业务重要程度不同,系统应用耦合度小的主机间进行网段或其他方式的隔离,降低影响。同时通过隔离,一旦出现病毒、蠕虫等恶意代码,也能够方便管理人员排错和修复,提高网络管理效率。
三、结论和建议
(一)建立事前预警机制
企业信息安全现状范文6
关键词:企业IT;安全;防护
1、IT系统信息安全定义与存在的意义
如今全球经济一体化的企业环境中,IT系统信息安全的重要性被广泛关注,在企业和政府组织中信息系统得到了真正广泛的应用。更有许多组织对其IT信息系统的依赖性不断增长,另外出于对在信息系统上运作业务的风险、收益和机会的考量,使得IT系统信息安全成为企业管理越来越关键的一部分。
2、企业的IT系统信息安全现状问题
2.1企业对信息安全表现不积极:根据调查显示,我国在网络安全建设投入的资金还不到网络建设资金总额的1%,大幅低于欧美和日韩等国。我国目前以中小型企业占多数,而中小型企业由于资金预算有限,基本上只注重有直接利益回报的投资项目,对于网络安全这种看不到实在回馈的资金投入方式普遍表现出不积极态度。
2.2一味的追求新技术,不切合企业实际状:首先,信息安全技术和信息安全产品的蓬勃发展只有近20年的时间,整个信息安全体系、技术都在不断变化和创新的过程中。其次,供应商针对制造企业特点的解决方案偏少,解决思路不够系统。正是这些不确定因素导致了信息管理与信息安全新技术的风险性,而且并不是每种新技术都具有通用性。
2.3需求宽泛、缺乏针对性:因为制造企业信息化管理水平参差不齐,从而导致企业信息管理与信息安全需求不清晰,系统建设缺乏步骤,缺乏对企业信息安全的系统分析。
2.4各个系统自成体系,没有形成合力:我国企业重视IT系统硬件架设,轻视平台建设,各种信息管理与信息安全系统独立运行,策略不统一、联动不及时导致功能冗余、阻塞网络、策略逻辑漏洞等问题。各个系统自成体系,没有形成合力。我国制造企业重视硬件产品,轻视平台建设,各种信息管理与信息安全系统独立运行,策略不统一、联动不及时导致功能冗余、阻塞网络、策略逻辑漏洞等问题。
3、IT系统信息安全的解决方法
3.1硬件设备及网络架构的合理部署:
(1)硬件系统安全和软件系统运行安全;
(2)网络安全技术和规划:网络安全的基本技术网络加密、网络防火墙、网络地址转换技术、操作系统安全内核技术等;
3.2建设企业信息安全管理团队:
实例:在某中型制造企业,对信息管理与信息安全不重视且没有专门的IT信息安全管理团队。该企业财务电脑可以任意的接入互联网中,在一次下载的过程中,该财务电脑中了木马程序。黑客通过木马程序窃取了该财务电脑中多个网银帐户和密码,然而黑客并没有按常规模式取走这些网银帐户中所有的钱,而是采取了一种小额取款的方式——每个月从每个账户中取走一元钱。该案件发生后半年时间内财务人员都没有发现网银帐户已经被盗取。
信息安全 “三分技术、七分管理”。 在复杂的企业网络中,任何一个员工的疏漏、漏洞管理疏漏,都会给企业安全带来威胁。在这种情况下,企业信息安全的集中管理是根本,并需要依靠全新的技术手段来实现。一般而言,企业建立集中管理的原则包括:基于风险管理,投入有的放矢;注重体系化采用系统方法,确保万无一失;注重策略和管理,建立文件管理体系等。
3.3企业身份ID验证系统:
实例:在A大型制造企业,拥有37套信息系统,其中常用信息系统17套。企业的管理层由于每天事务繁忙,经常忘记自己的帐户名/密码,信息系统管理者每天做的最多的工作是不断的修改帐户名/密码。再加上企业的IT管理人员不足,致使信息系统管理人员将所有系统的企业管理层帐户名/密码均设为相同的来降低工作量。这使得黑客有了可趁之机,使得企业信息大量泄漏。
所有的企业资源的员工和职员必须配给唯一的身份ID,这样即可以保证其他入侵的破坏,也可以根据事故的情况便于审计。单一的身份认证往往会有身份识破或者丢失的弊端产生。因此双因素及多因素的身份认证的需求产生。RSA双因素身份认证体系可以完善的表现出此方面的有点,它即可以让使用者有唯一的使用权限,也可以防止因丢失,窥窃密码和冒充身份而造成失误,也会给审计带来可靠的取证。
3.4企业数据的备份:企业的数据是在不断的产生及增长的。这些数据对企业的发展将有着举足轻重的作用,因此数据的备份及存储是企业成长中不可缺少的部分。良好的备份存储方案会给企业在发展中带来更多的效益。
3.5管理层面的制度约束:制度和约束一直以来是企业管理的一个重要组成部分。IT系统的信息安全管理也是一样,企业需要通过相关制度的制定来约束人员和作业流程来达到规范化信息系统、保障信息系统安全的作用。
4、云计算与IT系统发展方向
讲到IT系统的发展这里不能不特别说明一下云计算。云计算并不是一个新概念,而云的定义也绝不仅仅是针对于计算,云计算的出现是IT系统建设和发展过程中必然出现的一个过程和阶段。我国已经有了众多企业实现了云化,也就是资源化和信息化。云平台的搭建离不开IT系统信息安全,源自云计算的工作机制问题包括资源的整合、信息的托、服务的出租以及大量软件和IT基础设施当成一种资源向外提供服务,这些必要因素使得在云计算的搭建必须要完善数据完整性和安全性等方面的问题。
从企业角度看,云计算解决了IT资源的动态需求和最终成本问题,使得IT部门可以专注于服务的提供和业务运营。云计算剥离了IT系统中与企业核心业务无关的因素(如IT基础设施),将IT与核心业务完全融合,使企业IT服务能力与自身业务的变化相适应。所以我们大胆预言IT系统的发展方向是云计算的普及和安全云计算技术的成熟。
5、结束语
IT系统的信息安全逐渐被企业所重视进而众多的安全对策和管理方案投入使用,尽管如此IT系统的安全工作还是需要加大技术和人才的投入。引用IBM大中华区全球洗洗科技服务部总经理徐颖的话说“信息安全管理过程也就是风险管理的过程,企业应该将信息安全风险纳入企业整体的风险管理战略中,并提高全体员工的认知。进而有效进行风险管理的关键,是风险、成本和可用性三者间的平衡。”总之IT系统信息安全保障必须要引起企业的重视,应该对当前IT信息系统的安全现状反思并且重视信息系统的安全性,不应该局限于现有的信息系统安全,更需要分析未来信息系统的发展方向,并且将安全防护方案与未来发展方向保持一致。
参考文献:
[1]梁永生 电子商务安全技术 2008;
[2]张亚勤 “云计算”三部曲 之二:与“云”共舞----再谈云计算 2009;
