前言:中文期刊网精心挑选了网络安全培训报告范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
网络安全培训报告范文1
为贯彻落实xx文件精神,加强我县网络与信息系统安全管理,促进安全防护能力和水平提升,预防和减少重大信息安全事件发生,切实保障网络与信息安全,我办对政府信息系统进行全面、彻底的摸底调查,现将调查情况汇报如下:
一、基本情况
(一)领导重视,强化安全防范意识。
我县对网络信息安全保密工作一直十分重视,专门成立了以常务副县长为组长的的领导小组,建立健全了网络安全保密责任制和有关规章制度,由县政府办信息股统一管理,安排专人负责网络信息安全工作,近年来无失泄密问题发生。今年以来,我办多次组织会议加大对网络安全培训力度,把我网络安全摆在政府机构日常工作正常运行高度,时时刻刻将涉密计算机管理抓在手上。对于计算机磁介质(软盘、U
盘、移动硬盘等)的管理,采取专人保管、涉密文件单独存放,严禁携带存在涉密内容的磁介质到上网的计算机上加工、贮存、传递处理文件,形成了良好的安全保密环境。
(二)规范管理,防止涉密问题发生。
在信息读取和存储方面,我办采用了数字、字母、大小写区分相结合密码、数据库存储备份、移动存储设备管理等安全防护措施,避免信息外泄。在信息上传方面,实行领导审查签字制度,凡上传网站的信息,必须经负责领导审查签字后方可上传。在OA系统使用方面,反是涉及到机密问题,一律使用纸质文件按正常程序办文。
(三)加大投入,为网络运行提供安全保障。
去年,我县共投入xx万元进行政府信息系统建设,今年,我县预算xx万元进行系统的维护和后期建设,现在已经在进一步考虑为网络服务器及计算机设置防火墙,拒绝外来恶意攻击,保障网络正常运行,
并安装正牌的防病毒软件,对计算机病毒、有害电子邮件采取有效防范。
二、存在的问题
(一)管理瓶颈。
由于我县网络建设起步晚,而且缺少必要的借鉴经验,在实践操作过程中难以独自摸索出一条完整、规范、有效的安全管理制度。
(二)技术难题。
网络信息安全领域要求工作人员必须具备很强的专业性和动手能力,在缺少必要的系统培训情况下,我县政府系统的安全性存在隐患。
网络安全培训报告范文2
关键词:网络安全;校园网;计算机病毒;防火墙
中图分类号:TP393.18 文献标识码:A文章编号:1007-9599 (2011) 08-0000-01
The Campus Network Security and Defense Technology
Yao Weiguo,Zhang We
(Nanchang Institute of Technology,Nanchang330000,China)
Abstract:The concept of security from the network,analyzes the current campus network security risks,and then make the campus network management,technical and emergency response of specific measures and several commonly used network security technology to ensure the campus network system To safe operation.
Keywords:Network security;Campus network;Computer virus;Firewall
计算机网络安全是计算机安全概念在网络环境下的扩展,深入了解计算机系统安全的基本概念,是进一步了解计算机网络安全的基础。国际标准化组织为计算机安全做了如下定义:为保护数据处理系统而采取的技术和管理的安全措施,保护计算机硬件、软件和数据不会因偶然和故意的原因而遭到破坏、更改和泄露。
一、目前校园网络中的主要安全隐患
(一)网络系统自身的漏洞的威胁。网络设备和计算机软件不可能是十全十美的,在设计和开发的过程中,不可避免会出现一些缺陷和漏洞,漏洞包括许多方面:如操作系统的安全漏洞、数据库及应用软件的安全漏洞、TCP/IP协议的安全漏洞、网络软件和服务的安全漏洞等。另外,编程人员为自己方便而在软件中留有“后门”,这些漏洞、缺陷以及“后门”恰恰是黑客进行攻击的首选目标。
(二)机房软件系统的漏洞问题。目前,高校网络机房使用的操作系统软件大多使用徽软件的Windows操作系统,主要有Windows 2003 Server、Windows xp、linux等,这些系统自身有漏洞,虽然推出了一些针对性的补丁程序,但也不可避免地容易遭到病毒或人为因素的破坏,其存在的系统漏洞已成为网络攻击的一大目标。在高校计算机房接入Internet后,使得用户的信息库实际上如同向外界敞开了一扇大门,入侵者可以在受害人毫无察觉的情况下侵入信息系统,进行偷窥、复制、更改或者删除计算机信息,给教学带来很大的影响。
(三)计算机病毒肆虐。由于计算机实验室上机的人数多,学生可以携带磁盘进出计算机机房,还要上网,所以计算机很容易感染上病毒。当其中一台计算机中病毒后就会成为病毒传染的源头,以各种方式传染其它计算机,轻则破坏文件,影响系统正常运行,重则破坏磁盘数据、删除文件,感染整个机房,甚至造成机房计算机和计算机网络系统瘫痪、数据和文件丢失,导致系统崩溃。
(四)安全保障制度落实不到位。没有严格执行用户的标识与鉴别制度及账号认证制度对主要信息进行加密,对登录数据库服务器的用户的权限没有进行严格的限制,同时没有随时清除不需要的系统和账户和不需要的网络服务等,不能有效地防范病毒对系统和网络的攻击。
二、防范技术及措施
对于不同的计算机网络安全威胁,我们该如何防范呢?笔者认为,建设相对较好的防范体系必须从管理、技术及应急方案等方面入手。
(一)管理层面。
1.建设完整的防范制度和防范策略。针对一个校园网制定安全保密制度、校园网用户接入互联网安全使用手册,对大型移动存储设备和U盘的使用进行严格要求或控制,比如说有些实验室只允许邮件收发文件,不允许采用上述设备。对重要数据严格执行时时备份制度。
2.每周上报安全检查和运行机制报告。建立周上报机制,通过对网络中运行的设备、流量、故障率等报告分析,得出网络设备及软件运行是否正常,发现问题主导原因,针对性的优化设置,增强运行能力。
3.加强网络安全培训,提高用户安全防范意识。所有用户进行定期网络安全的培训,提高用户自身防范能力。对网络中心或机要中心的主负责人签订保密协议,进行专业化、强化实践能力的培训。密码实行多元化管理体制,定期更换并做记要日志备案。
4.建立有效的网络安全防范、病毒防治体系和系统恢复方案。校园网的管理部门要严密注意国家计算机病毒应急处理中心的病毒疫情,及时做好预防工作,避免大规模疫情暴发,同时对各级网络及服务器系统做好系统恢复应急预案,当病毒爆发时,可尽快恢复系统,将损失降到最低。
(二)技术层面。
1.优化网络方案设计。对网络拓扑图进行优化设计,按实际情况合理的划分成若干个子网。每个子网对应固定的交换机端口,区域的计算机只能在相应的位置范围内使用。
2.建立一卡通制度。所有用户进行实名制(职工号)入网登记,通过数据加密、身份验证等来核实通信对方的真实身份等。设置入网时限,如在设定的时间内无流量,自动断开网络。对有问题的PC机,可以迅速确定位置并解决问题。
3.采用硬件、软件网络防火墙技术、入侵防御系统及核心交换机上的访问控制规则。建立硬件、软件网络防火墙,入侵防御系统Symantec防病毒系统及核心交换机上配置访问机制。
4.建立垃圾邮件过滤器、对三大服务器(Web服务器,邮件服务器,Ftp服务器)进行加固,对IP访问限制。
5.外部设备使用的安全方法。对使用外来移动盘及打开电子邮件和互联网文件之前先做病毒检查,确认无毒后再使用或打开。对移动设备打开时,最好使用Windows资源管理器的方式打开,切记不可双击打开。
三、结束语
网络安全是一个综合性的课题,涉及到技术、管理、使用等许多方面。网络安全技术与工具是网络安全的基础,高水平的网络安全技术队伍是网络安全的保证,严格的管理则是网络安全的关键。但任何网络安全和数据保护的防范措施都是有一定的限度,网络安全只是相对的,没有一劳永逸的网络安全体系。在信息网络化的时代,不断有新的安全问题出现,不断有新的解决方案,网络安全作为一个产业也将随着新技术发展而不断发展。
参考文献:
[1]韩筱卿.计算机病毒分析与防范大全(第2版)[M].北京:电子工业出版社,2008
网络安全培训报告范文3
新增多项强劲功能
据安全专家介绍,此次的全新瑞星杀毒软件网络版2012中,增加了“私有云”技术、动态资源分配技术、企业自定义白名单系统、第二代身份标识和客户端密码防护系统。基于这些全新的功能,企业的信息安全管理可以更为稳定,并且更加精准。
瑞星企业专属“私有云”为每个企业单独构建,提供专属的云应用和云服务。它主要有两个功能:一,为企业提供了安全应用软件平台,便于企业获取经过瑞星安全认证的各类应用软件,便于管理员分发、管理和监控。二,为每个企业定制专属的安全服务,企业客户端无需存放病毒库,也无需进行复杂杀毒运算,大大降低了对系统资源的占用,同时可进行最快速、最及时、最轻便的病毒扫描和防护。
智能动态资源分配技术优化了杀毒引擎的核心技术,使其变得更加轻便,突破了传统杀毒软件一次性将病毒库加载到内存中,使用高负荷CPU进行运算的方式,并对病毒库进行了细化,同时优化其存储和加载方式,在杀毒时,实现化整为零、按需加载,从而达到降低资源占用的目的,使更多的老旧电脑也可以流畅运行最先进的杀毒软件。
大型企业在遇到安全问题时,最为头疼的是管理员很难在短时间内定位到具体出现问题的电脑,从而使问题变得更加复杂,延迟解决时间。在新一代瑞星网络版杀毒软件中,增加了第二代身份识别标示,对用户标示进行升级,加入了CPU、主板、硬盘串号、Mac地址、微软身份标示等信息,管理员可精确定位每台电脑。
5S服务诠释高端企业安全理念
将“私有云”、智能动态资源分配等领先的技术迅速落地,转化为产品并与专业的企业信息安全服务相结合,这是瑞星一直追求的目标。在瑞星新一代企业级整体解决方案中,用户不仅可享受到“私有云”技术带来的安全成果,而且能够得到国内首家5S专业级企业信息安全服务。
瑞星公司客服中心总经理齐勇表示,在企业信息安全领域,瑞星向企业用户提供了信息安全评估服务、信息安全预警服务、信息安全专家服务、信息安全应急响应服务、信息安全培训服务。
1、信息安全评估服务:信息安全始于评估,作为拥有CSP认证的安全厂商,瑞星将为用户全面评估面临的各种安全风险、提供专业评估报告。
2、信息安全预警服务:可以通过专属手机通道、邮件通报、网站挂马预警、网站漏洞检测等方式,第一时间发出预警信息,为企业提供信息安全服务。
3、信息安全专家服务:通过对口信息安全顾问、专家常驻支持等方式提供技术支持。
4、信息安全应急响应服务:一旦遇到信息安全事故,瑞星便会通过现场巡检、远程巡检、现场紧急救援、远程紧急救援、数据灾难恢复、网站挂马应急处理等方式,第一时间解决安全问题。
网络安全培训报告范文4
【关键词】局域网病毒恶意代码安全控制病毒防治
随着信息化的不断扩展,各类网络版应用软件推广应用,计算机网络在提高数据传输效率,实现数据集中、数据共享等方面发挥着越来越重要的作用,网络与信息系统建设已逐步成为各项工作的重要基础设施。为了确保各项工作的安全高效运行,保证网络信息安全以及网络硬件及软件系统的正常顺利运转是基本前提,因此计算机网络和系统安全建设就显得尤为重要。
一、局域网安全现状
随着网络应用的普及,人们对网络安全的认识也日益深入,广域网络已有了相对完善的安全防御体系,防火墙、漏洞扫描、防病毒、IDS等网关级别、网络边界方面的防御,重要的安全设施大致集中于机房或网络入口处,在这些设备的严密监控下,来自网络外部的安全威胁大大减小。但是这些产品有一个共同点:防外不防内。相反来自网络内部的计算机客户端的安全威胁缺乏必要的安全管理措施,安全威胁较大。目前,局域网络安全隐患是利用了网络系统本身存在的安全弱点,而系统在使用和管理过程的疏漏增加了安全问题的严重程度。
二、局域网安全威胁分析
局域网(LAN)是指在小范围内由服务器和多台电脑组成的工作组互联网络。由于通过交换机和服务器连接网内每一台电脑,因此局域网内信息的传输速率比较高,同时局域网采用的技术比较简单,安全措施较少,同样也给病毒传播提供了有效的通道和数据信息的安全埋下了隐患。局域网的网络安全威胁通常有以下几类:
(1)欺骗性的软件使数据安全性降低。网络钓鱼攻击是指利用欺骗性的电子邮件和伪造的WEB站点来进行诈骗活动,受骗者往往会泄露自己的用户名,口令,ID、信用卡号等敏感数据。诈骗者通常会伪装成知名银行、在线零售商和信用卡公司等可信的品牌。网络钓鱼攻击的主要方法有:发送电子邮件,以虚假信息引诱用户中圈套;建立假冒网上银行,网上证券网站,骗取用户帐号、密码实施盗窃;利用虚假的电子商务进行诈骗;利用木马和黑客技术等手段窃取用户信息后实施盗窃活动;利用用户弱口令等漏洞破解、猜测用户帐号和密码;使用欺骗性的超链接。(2)计算机病毒及恶意代码的威胁。由于网络用户不及时安装防病毒软件和操作系统补丁,或未及时更新防病毒软件的病毒库而造成计算机病毒的入侵。许多网络寄生犯罪软件的攻击,正是利用了用户的这个弱点。越是网络应用水平高,共享资源访问频繁的环境中,计算机病毒的蔓延速度就会越快。恶意代码(malicious code)是一种程序,它通过把代码在不被察觉的情况下镶嵌到另一段程序中,从而达到破坏被感染电脑数据、运行具有入侵性或破坏性的程序、破坏被感染电脑数据的安全性和完整性的目的。(3)黑客攻击。黑客们的攻击行动是无时无刻不在进行的,而且会利用系统和管理上的一切可能利用的漏洞。公开服务器存在漏洞的一个典型例证,是黑客可以轻易地骗过服务器,得到系统的口令文件并将之送回。黑客侵入服务器后,有可能修改特权,从普通用户变为高级用户,一旦成功,黑客可以直接进入口令文件。(4)非授权访问。利用各种假冒或欺骗的手段非法获得合法用户的使用权限,对网络设备及信息资源进行非正常使用或越权使用,以达到占用合法用户资源的目的。(5)主机系统中存在许多安全漏洞。网络中存在大量不同操作系统的主机如unix、Windows 2000SERVER、windows xp、windows 98。这些操作系统自身也存在许多安全漏洞。(6)服务器区域没有进行独立防护。局域网的数据传递速度快,造就了病毒感染的直接性和快速性,如果局域网中服务器区域不进行独立保护,其中一台电脑感染病毒,并且通过服务器进行信息传递,就会感染服务器,这样局域网中任何一台通过服务器信息传递的电脑,就有可能会感染病毒。虽然在网络出口有防火墙阻断对外来攻击,但无法抵挡来自局域网内部的攻击。(7)IP地址冲突。对于局域网来讲,此类IP地址冲突的问题会经常出现,用户规模越大,查找工作就越困难,所以网络管理员必须加以解决。(8)局域网用户安全意识不强。许多用户使用移动存储设备来进行数据的传递,经常将外部数据不经过必要的安全检查通过移动存储设备带入内部局域网,同时将内部数据带出局域网,这给木马、蠕虫等病毒的进入提供了方便同时增加了数据泄密的可能性。长期的安全攻击事件分析证明,很多攻击事件是由于人员的安全意识薄弱,无意中触发了黑客设下的机关、打开了带有恶意攻击企图的邮件或网页造成的。(9)管理中存在的问题。管理是网络中安全最最重要的部分。责权不明,管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。当网络出现攻击行为或网络受到其它一些安全威胁时(如内部人员的违规操作等),无法进行实时的检测、监控、报告与预警。同时,当事故发生后,也无法提供黑客攻击行为的追踪线索及破案依据,即缺乏对网络的可控性与可审查性。
三、局域网安全控制与病毒防治策略
3.1加强人员的网络安全培训
安全是个过程,它是一个汇集了硬件、软件、网络、人员以及他们之间互相关系和接口的系统。从行业和组织的业务角度看,主要涉及管理、技术和应用三个层面。增强内部人员的安全防范意识,提高内部管理人员整体素质。同时要加强法制建设,进一步完善关于网络安全的法律,以便更有利地打击不法分子。对局域网内部人员,从下面几方面进行培训:
网络安全培训报告范文5
在当今的企业里,信息化进程的脚步已经越来越快。但是随之而来的信息安全问题及信息系统运行维护问题也日益凸显。企业的信息安全保护是靠常规的网络安全设备,诸如防病毒系统、防火墙、入侵检测系统、认证系统等构成了企业安全网络环境的防护屏障。对企业内部的运维环境中,由于日常各类维护的需要,各类操作变更行为直接作用于企业的IT资源,这给企业带来巨大的安全隐患及潜在威胁,所以企业的安全运维管理不仅仅只是对于外部进行信息安全管理,同时也要对企业内部的各种操作变更行为进行安全管理。
【关键词】安全运维 企业内网 作用
1 企业外网的安全运维管理
防火墙是长期以来保障企业外网安全最常用的工具,自然也是企业网络安全保护的一项重要措施。采用防火墙技术对于企业来说无疑是最佳的选择,防火墙设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况, 以此来实现网络的安全保护。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。防火墙总体上分为包过滤、应用级网关和服务器等几大类型。
外网安全安全运维管理主要防范外部入侵或者外部非法流量访问,技术上也以防火墙、入侵检测等防御角度出发的技术为主。内网在安全管理上比外网要细得多,同时技术上内网安全通常采用的是加固技术,比如设置访问控制、身份管理等。当然造成内网不安全的因素很多,但归结起来不外乎两个方面:管理和技术。
2 企业内网的安全运维管理
企业内部局域网安全运维管理对于企业长期稳定运行意义重大,运维不当可能引发诸多安全事故,要想将风险降低到最小,需要加强对用户身份的识别和用户权限方面的管理,要加强用户访问控制,构建实时监控、敏感操作回放等高效的运维环境。
科学技术不断进步的同时,企业办公系统也取得了长足的进步和完善,单位日程运转越来越多地依赖于企业内网信息网络,在一定程度上,内网信息网络就是企业的生命线,直接关系企业的正常运行。但以此同时,企业对内网信息网络的稳定性、可控性和可靠性也提出了更多更高的要求。内部信息网络是一个有机整体,终端、服务器、网络设备都是这个整体的有机组成部分,任何一个部分发生故障都可能对整个网络带来致命打击,因此,现代化企业对终端可控性和可靠性有着严格的要求。
传统的网络安全对于我们来说并不陌生,主要是防备外网的攻击,一般的防范对策就是通过建立入侵检查系统、防火墙、VPN等等。但是这种传统的网络安全预防是基于内网安全可行的假设的基础之上的,这种假定排除了内网出现问题的可能,将威胁全部定位于外网,主要防范内外网边界。外网安全的威胁模型下,我们认为只要防控好内外网边界的网络安全就是维护了整个网络的安全。
内网安全威胁模型相形之下就显得更加全面和细致,这一模型假定内网的终端、网络和用户都存在着不安全的因素,导致网络安全的原因是多方面的,可能来源于外网,也可能来源于内网节点。依照内网安全威胁模型,就必须加强网络安全的精细化管理,对内网涉及的一切节点和参与者展开细致部署和管理,提高内网的可控性。内网安全要求必须制定细致的安全控制措施,必须针对内网的一切终端、用户、服务器和网络展开有效管理,必须建立全面客观和严格的安全体系和信任体系。
3 安全运维管理的管理方法
3.1 物理隔离防御
保证运维整体安全可靠的常用方法就是进行物理隔离防御,这也是最为直观和有效的方法,有助于保证整个运维整体的安全可靠。通常的做法是设置专用的操作室,物理限定访问者环境,建立专门的机房专门用于存放服务器和生产数据库,或者增加门禁等方法加强区域隔离控制。终端设备必须存放于专用的终端操作室,操作室设有准入权限、摄像头,严格监控和认证来访人员,并且做到终端操作室和办公环境的有效隔离。
3.2 逻辑隔离防御
根据企业的风险评估和安全管理目标,考虑到实际的访问需求和应用情况,对于某些安全区域可采用逻辑隔离达到控制目的。逻辑隔离的方式有网段隔离、VLAN隔离技术、加载访问控制列表隔离技术等。本系统的运维管理区中,对HAC和日志服务器两类设备进行逻辑隔离。分配了不同网段的IP地址,可以隔离广播包,避免广播风暴;在设备交换机配置为HAC,日志服务器配置不同网段的IP地址,并分配不同的VLAN号,在VLAN的逻辑接口下加载ACL(访问控制列表),过滤相互间不必要的访问数据包。
3.3 审计管理
审计管理也是加强安全运维管理的重要手段。通过访问控制系统的建设和完善,我们可以将一般性的非法访问拒之门外,但是却对一些利用系统漏洞的非法行为无能为力。审计管理可以很好地补充访问控制系统的不足,及时查找漏洞并加以弥补,从而进一步提高系统内外的安全度。
除了查找漏洞及时弥补,审计管理还会加强对操作人员的约束,减少员工误操作,通过规范化员工操作程序和操作步骤、操作方法来减少事故的发生。审计管理中必须建立完整的审计日志,要严格按照安全总则确定审计日志保存时间和审计地点等。
4 安全管理守则和员工安全意识培训
在员工日常操作方面,需要进一步规范化管理,要建立安全管理守则,将一些员工行为规范化,同时加强员工安全培训,帮助员工树立安全意识,提高企业整体的安全防范意识,从而从思想上和制度上杜绝安全隐患的发生。
企业安全运维管理旨在提供企业系统的可控性和系统服务能力。这需要我们将管理工作落实到细节,苦练基本功,尽量使网络监控更细化、监控更智能化;提高管理、流程的再造、持续地优化内部管理。企业如果要掌控安全运维管理就是建立有效的IT流程管理以及关键指标监控,对基础设施和应用进行监控,并建立端到端响应时间管理,以此为基础,最终建立业务服务管理,通过有效的报告和报表进行分析,才能够可视的了解到IT基础架构和业务服务之间的关系,最终进行系统优化和长期规划。
网络安全培训报告范文6
1 信息环境下的企业管理路径
1.1 完善管理信息化建设体制
企业要加快管理信息系统建设,规范信息化标准体系,提高管理的信息化水平。首先,企业要成立信息化管理部门,负责企业信息化建设项目的全面推进,并且结合企业信息环境和管理需求制定信息化工作管理制度、专项经费管理制度、信息化工作考核制度等,保障信息系统建设制度化开展。其次,明确管理信息系统建设重点,如生产指挥调度管理系统、资金管理系统、会计核算系统、移动办公系统、物资采购管理系统等,提高企业对各项经营活动的管控能力。最后,建立信息化标准体系,包括技术支撑、基础建设、安全保障、业务应用等方面的标准,从而确保企业管理信息系统建设项目的质量。
1.2 建设企业ERP系统
企业要结合经营管理实际情况,引入ERP系统,从供应链管理层面推动物流、资金流与信息流的有机整合,提高企业集成化、信息化管理水平,提升企业供应链运作效率。在ERP系统的支持下,企业要实现财务业务一体化管理,完善财务管理系统功能,促使业务产生的信息实时传递到财务部门进行处理,同时也将财务信息、财务报告及时提供给企业管理层进行查阅,并将其作为企业经营决策的可靠依据。
1.3 优化人力资源信息化管理
在信息环境下,为进一步提升企业的管理水平,应当在现有的基础上,对人力资源信息化管理进行优化。首先,企业应当建立起一个相对完善的且包含绩效考核、员工培训、人才能力管理的信息化系统,并通过对相关流程的梳理,促进企业管理规范化和标准化,从而全面提升企业的人力资源管理效率。其次,企业可将一些重要的项目作为契机,实现人力资源与企业管理要求的对接,遵循现代企业管理的思维方式,开展相关的人力资源信息化管理工作,如员工绩效考核、领导干部测评等,借助项目成果,提升企业人力资源的整体管理水平,由此能够推动企业在信息环境下的稳定、持续发展。
1.4 加强信息化建设中的风险管理
企业在建设信息化的过程中不可避免地会面临各种风险,为此,企业应当采取有效的方法和措施加强风险管理。企业应当建立相对完善的风险防范机制,在该机制建立的过程中,要对管理信息系统开发中的所有风险予以充分考虑,针对风险因素进行有效的管理。实践证明,大多数风险都可以通过相应的方法进行防控,其前提是需要对风险进行准确的识别,但必须指出的是,风险本身具有不确定性和随机性的特点,并且有些风险是很难进行预防和控制的,因此,企业在开发管理信息系统时,必须制订出一套能够应对突发意外事件的方案,从而在意外发生时,能够进行解决,避免造成损失。
2 保障企业信息安全的体系构建
在信息环境下,信息安全是企业开展管理信息化建设面临的重大问题之一,直接关系到企业管理信息化水平的提升。为此,企业要结合管理实际需求,构建起信息安全保障体系,具体实施措施如下。
2.1 加强网络安全管理
企业在加强网络安全管理的过程中,可采取如下技术措施。
2.1.1 对远程接入进行严格控制近年来,虚拟专用网络技术(VPN)获得了快速发展,由此大幅度降低了远程接入给企业带来的风险,与此同时,移动办公的出现,在一定程度上促进了远程接入的发展,为确保远程接入的安全性,企业可以应用USB KEY身份认证或是动态口令等方式,对远程接入进行安全控制。
2.1.2 IPSec企业内网中存在一些非受控终端,这些终端的存在给黑客提供了访问企业网络的路径,为确保网络信息的安全性,企业可以应用IPSec,由此能够对内部终端进行管理和控制。
2.1.3 入侵检测这是防火墙的一项补充技术,能够对网络传输进行实时监控,当检测到可疑的数据信息传输后,会自行发出报警。通过入侵检测,可以使企业对来自外部的恶意攻击进行有效的防范。
2.1.4 确保无线网络安全大部分企业的办公区域内都有无线网络覆盖,其在给企业和用户带来便利的同时,也给信息安全带来了一定的隐患。为确保无线网络安全,企业应当采用比较安全的协议,如WPA或WPA2等,也可借助EAP协议对无线网络进行访问控制。
2.2 加强访问控制
在信息环境下,企业可以通过加强访问控制,来确保网络信息安全,具体可采取如下技术措施。
2.2.1 密码策略相关研究结果表明,密码的强度等级越高,破解所需的时间越长,正因如此,使得提高企业用户的密码强度等级成为访问控制最为有效的手段之一,为此,企业应当制定合理可行的密码策略,并借助相关的技术措施确保策略的执行。
2.2.2 权限管理企业应当对身份管理平台进行完善,以此为依托对员工的权限进行管理,并实行企业内部网络应用单点登录的策略。
2.2.3 构建公匙系统该系统是访问控制的核心,通过它能够有效提高无线网络访问授权、VPN接入的安全水平。
2.3 加强信息安全监控与审计
企业在加强信息安全的监控与审计方面,可以采取如下技术措施。
2.3.1 扫描病毒这是一种较为有效的网络信息安全监控手段,通过防病毒软件系统,可以对病毒进行自动扫描,并针对操作系统存在的漏洞,自动进行相关“补丁”的更新,由此大幅度提升了桌面终端的安全性。这种技术措施需要将客户端安装在企业用户的终端设备上,当终端与企业内网进行连接时,病毒扫描软件便会启动,并对将要接入的终端设备进行评估,通过之后,才能与企业内网连接。
2.3.2 防控体系针对网络黑客的恶意攻击,企业应当构建相应的防控体系,该体系可由以下几个部分组成:能够实时更新的防病毒软件、可以过滤掉不安全信息、邮件及非法网页的网关、入侵检测系统等。
2.3.3 记录与审计企业应当配置日志审计系统,借助该系统对信息安全事件进行收集,进而生成审计记录,据此对安全事件进行分析,并采取有效的措施加以解决处理。
2.4 加强员工信息安全培训
在信息环境下,企业网络信息安全需要凭借全体员工来维护,为此,企业应当加强对员工信息安全方面的培训,借此来增强他们的信息安全意识。为使培训效果最大化,必须保证培训工作的实效性,首先,要做好网络管理人员的技术技能培训工作,可将培训的重点放在网络设备的安装与调试以及软件的配置上。其次,应加大对企业领导层的培训,通过培训使领导层认识到提高网络信息安全的重要性和安全管理体系建设的必要性,以便获得他们的支持,使信息安全管理工作的开展更加顺利。最后,应当加大对网络客户端上用户的培训,培训的重点为实际操作,并在培训完毕后,制定相关的管理制度,要求用户严格执行,从而确保网络信息的安全。
3 结 论
在信息环境下,企业要积极推动管理信息化建设,将其渗透到物流管理、人力资源管理、财务管理等多个管理领域,从而不断提高企业管理效率。与此同时,企业也要认清管理信息化建设带来的信息安全问题,针对信息安全管理的薄弱环节制定有效的管理措施,做好员工信息安全培训工作,保障企业管理信息系统建设的顺利实施,不断提高企业信息化管理水平。
