摘要:信息化是时代的潮流,信息化的产生对社会的发展产生了巨大的冲击,包括企业安全理念。本文介绍了信息安全保护的发展历程,从最初的信息保密过渡到业务安全保障到目前的多业务平台安全保护。针对企业信息系统现状,笔者从硬件、技术以及人员行为三个角度来对目前企业信息安全存在的问题进行分析,指出了目前企业信息系统安全的症结所在。以下是小编精心整理的《系统安全防护企业信息论文 (精选3篇)》,仅供参考,希望能够帮助到大家。
工业控制系统等保技术应用研究
摘要:近年来,随着数字化、智能化的蓬勃发展,信息化与企业核心业务的融合逐渐加深,网络安全保护已经是企业安全建设的重要一环。石油石化企业作为国家能源安全保障的重要组成,急需提高网络安全等级保护的建设。本文介绍了网络等级保护建设在石油石化领域的应用,以提高系统安全防护性为目的,采用了可信网关与主机安全卫土相结合的方法进行了网络安全等级保护建设,并对应用效果进行了评价简述。
关键词:网络安全;等保;白名单
一直以来被认为相对安全、相对封闭的工业控剂系统,近年来已经成为不法组织和黑客攻击的目标,黑客的攻击正在从开放的互联网向封闭的工控网领域蔓延。而石油石化领域的工控网内部缺乏有效保护,一旦感染病毒,会迅速蔓延开来,对国家经济将造成重大损失,后果将不堪设想。完善网络等级保护机制,提高系统的防护能力和应急水平,有效遏制重大网络与信息安全事件的发生,创造良好的系统安全运营环境势在必得。做好工控信息系统网络安全等级保护工作,对于促进石油化工领域数字化、智能化健康稳定发展,维护国家安全具有重要意义。
1.工控系统运行现状及存在问题
以中国石油销售企业为例,其工控系统采用集群式结构,所属加油站、油库、分公司等工控系统内部数据传输网络相对独立运行,但均需通过地区公司核心网络设备传送数据。各库站监控电脑、服务器等系统与作业现场工控系统之间通过网络交换机相互连接,数据传输安全防护性能较差。而且网络功能混杂,办公、生产、视频监控等数据交互频繁,服务器易受病毒及非法内部进程等干扰,感染病毒后无法正常运行,导致系统撤职瘫痪、重要数据丢失。随着网络环境越来越复杂,内部网络的边界数据交互也越来越多,数据传输通道与其他应用混合传输,安全隐患成倍增加,极大影响工控系统的正常运行。
2.工控系统数据安全等保建设
2.1解决方案
由于工控系统以库站为单元进行设计,在进行数据保护时,按照库站进行独立防护设置。为达到防护各类系统,使之正常运行的目的,一方面需要从工控网进出口处阻断病毒传播,另一方面需要加强系统自身防护、防止感染病毒及内部非法进程。
2.2等保建设
由于库站工控系统自身虽然运行在一个闭环、独立的网络中,但需要通过核心网络设备与服务器进行数据交互,数据量巨大,如库站工控系统感染病毒,会进而影响地区公司乃至集团公司的网络安全,导致危害扩大化,故需对作业区进出口处进行防护措施,将危害扼杀在摇篮中。
2.2.1可信网关
可信网关作为对外防护的硬件设备,最突出的一点是内置工业通讯协议的过滤模块,支持各种工业协议识别及过滤,弥补商业可信网关不支持工业协议过滤的不足。针对工业协议采用深度包检测技术及应用层通讯跟踪技术,能够对工控网络的数据包进行深度解析,可以实现对非法指令的阻断、非工控协议的拦截,起到保护控制器的作用,最大程度保证生产长期稳定运行;
可信网关在工控层面和网络层面,均使用“白名单”机制,对于未知的、不在白名单内的工业协议和网络策略,无论其是否对工控系统造成伤害,都不允许“穿墙而过”,防止了未知威胁的攻击。在库站进出口处部署可信网关,对内部网络进行隔离防护,防止病毒扩散;在业务服务器入口处部署可信网关,对服务器进行保护,从而对工控层面的IP地址、工业协议和网络层面的网络策略进行全面彻底的保护。
2.2.2主机安全卫士
主机安全卫士是针对数据服务器等工业现场主机进行安全加固的对内软件防护产品,同样采用与传统防病毒软件“黑名单”思想相反的轻量级“白名单”机制,传统防病毒软件的“黑名单”机制只能防御黑名单内已知的病毒及恶意代码,但對新型和未知的病毒及恶意代码无法识别,而“白名单”则只允许“白名单”内的程序通过,不仅可以有效阻止包括震网病毒、Black Energy等工控恶意代码,还可以阻止众多新型未知的病毒工控代码在工控主机上的感染、执行和扩散,实现对主机的安全防护,重点解决老旧主机未安装杀毒软件以及未及时安装补丁导致病毒泛滥的问题。
2.2.3统一安全管理平台
统一安全管理平台是对可信网关进行配置管理的平台,采用B/S架构,管理员可在网络任意位置连接到管理平台进行访问和管理。通过该平台对可信网关进行诸如网管管理、白名单管理、可信网关管理、设备管理、日志管理等,大幅提高运维效率,有效降低维护成本
可信网关白名单配置:在白名单管理中,添加白名单模板,在白名单模板中分别对MODBUS白名单和OPC白名单进行添加,保证合法IP地址的合法操作可以通过可信网关。可信网关安全策略配置:在可信网关管理的安全策略管理中,添加安全策略模板,在安全策略模板中,对不同的源IP地址和目标IP地址添加相对应的安全策略规则,使之符合相应权限规定。也可通过学习模式,将一段时间内学习的安全策略添加进白名单。
3.应用效果
由于白名单和可信网关策略学习时间不足,导致缺少部分白名单和可信网关策略,致使某些P地址的设备无法通过可信网关,采集不到数据,无法进行操作,通过排查及后续添加,将遗漏的白名单及可信网关策略补全后,使问题得到了解决,并在后续使用时,有效避免了 Wannacry病毒(勒索病毒)的感染和传播,保障了企业信息安全。正式运行阶段,通过安装部署可信网关及主机安全卫士,建立的功能强大的安全等级保护系统,防护效果显著:
(1)在服务器、控制网之间进行逻辑隔离,通过逻辑控制手段使一个网络的安全风险和事件无法影响其他区域,达到区域安全隔离的效果;
(2)通过在控制机上部署主机卫土,实现对主机的安全防护,对通过网络、U盘等传入系统的病毒、木马、恶意程序具有阻止运行、阻止传播、分析识别的能力。可以关闭无关的主机外设通道,有效防止无线连接、外接手机等情况下的数据外泄。
(3)可信网关白名单和安全策略启用后,阻断部分内网机器访问非法P地址。
(4)主机卫士客户端,独立安装运行在工作站上的客户端软件,生成白名单,控制恶意程序和操作的执行。
(5)主机卫士安装后,只有经过认证的精定USB设备才可以在主机上运行,策略可配置是否允许移动存储设备操作,可细分为允许读、允许写、允许读写等,未经认证的USB设备使用都会产生报警信息。
参考文献:
[1] 蔡皖东《工业控制系统安全等级保护方案与应用》;
[2] 李红萍《工控组态技术及应用——MCGS》
作者:徐冰
浅谈企业信息安全技术
摘要:信息化是时代的潮流,信息化的产生对社会的发展产生了巨大的冲击,包括企业安全理念。本文介绍了信息安全保护的发展历程,从最初的信息保密过渡到业务安全保障到目前的多业务平台安全保护。针对企业信息系统现状,笔者从硬件、技术以及人员行为三个角度来对目前企业信息安全存在的问题进行分析,指出了目前企业信息系统安全的症结所在。结合问题所在,从三个角度出发,分别提出改进建议,希望能够对企业信息安全水平的提高起到有效的帮助。
关键词:信息安全;信息安全管理
计算机、网络已经逐渐成为我们工作生活中必不可少的一部分了,企业办公自动化已经成为普遍现象。但是我们在享受信息化带来诸多便利的同时,也要看到信息化给企业带来的诸多不便。2011年上半年,花期银行由于遭受黑客攻击,二十多万客户资料信息外泄,为银行和客户带来巨大的损失,同期国际著名的安全解决方案提供商RSA遭受黑客的恶意攻击,对其超过五百家客户造成潜在风险,给该企业带来高达数百万的损失。信息安全是企业整体安全的重要方面,一旦企业重要的信息外泄,会给企业带来巨大的风险,甚至有可能将企业带入破产的境地。
1企业信息系统安全的发展
随着信息技术的产生,信息系统安全的保护也随之而来,并且随着信息技术的不断更新换代,信息系统安全保护的战略也不断发展,接下来我们可以简要地分析一下信息安全系统的发展历程。
信息系统安全的第一步是保障信息的安全,当时各个电子业务系统较为独立,互联网还不太流行,这时主要技术是对信息进行加密,普遍运用风险分析法来对系统可能出现的漏洞进行分析,合理地填补漏洞,消除威胁,这是一种基于传统安全理念指导下的系统安全保护。
随着互联网技术的深入,信息系统安全开始逐步向业务安全转化,开始从信息产业的角度出发来考虑安全状况,此时的互联网已经成为工作生活的一个组成部分。这时候我们需要保护的不再仅仅是相关信息了,我们需要对整个业务流程进行保护,分析其可能出现的问题。本阶段的安全防护理念关注整个业务流程的周期,对流程的每一个节点进行综合考虑。信息保护在此时只是整个系统安全的一部分,是作为最为基础的防护技术,除此之外,还强调对整个流程的监控,防止某个节点可能出现的不安全因素,一旦出现任何风吹草动的现象我们可以立即予以控制。此外,审计技术在这个时候也被引入,通过对技术操作的跟踪,可以对攻击发起者进行责任追究,对攻击者起到一种震慑的效果。
到目前为止,业务系统的独立性和边界已经逐步弱化,系统间的融合更为常见。以矿业企业为例,在大型集团中,往往存在财务系统、生产系统、销售系统、统计分析系统等,这些系统之间需要相互勾稽,系统与系统之间需要互相取数,因此大量的系统集中到了一个业务平台中,由该平台来提供整体服务。这样的话,我们对于信息系统安全的需求也从单系统向多系统转换,我们在关心单个系统安全的同时,还要对其系统平台服务给予更多的关注。这样的话,企业信息安全也开始由业务流程向服务转换。
2企业信息安全存在的问题分析
信息安全问题我们可以将其进行进一步细分为物理、技术以及人为等三类因素。
首先来看物理方面,物理安全主要指的是机器设备以及网络线路出现的问题。一般企业在进行信息设备设置时最先考虑的因素是人员安全,即在保证信息设备不会对企业员工人身安全造成威胁的前提下再进行设备本身考虑。信息设备一般属于电气设备,容易受到打雷、水电等灾害的影响。如果服务器主机受到严重破坏,有可能导致企业整个信息系统崩溃。相对于其他电气设备而言,信息设备耐压数值比较小,企业需要其持续不断地运行,并且磁场的干扰对网络影响比较明显,这些都对信息設备的物理安全提出了要求,需要防止可能出现的问题。
其次是技术方面,对于大量企业而言,可以分为内部网络和外部网络,内部网络相对安全性较高。对于绝大多数企业而言,局域网都会通过一定途径与外部网相连接。这样内部网路安全性就受到内部网络设备与外部网络进行的沟通的威胁。同时,操作系统的安全以及应用程序的安全都是技术上所面临的困扰。
在操作系统方面,我们的选择比较狭窄,大多数企业只能选择微软操作系统,每个系统都存在一定的漏洞,都会造成信息的外泄。其实操作系统同样是软件,微软为系统安全会不定期推出安全更新与漏洞补丁,虽然我们可以通过系统的Windows Update或其他辅助软件来给系统修修补补,但这还不是100%的安全保证。随着微软在安全技术上的逐渐改进,系统漏洞出现的次数越来越少,现在很多黑客开始把注意力转移到常用的第三方软件上来,也就是要利用这些软件的漏洞来进行攻击。相对于操作系统而言,应用软件方面我们选择性比较大,但目前流行的各种病毒、木马都会给我们企业的信息安全带来极大的影响。
尤其是现在大部分企业都建立有自己的官方网站,保存着企业的重要数据和客户资料等,而如果网站存在一个通用漏洞,就会被恶意的黑客攻击,甚至黑客还会进行木马的上传来得到WebShell,添加隐藏超级账号,使用远程桌面连接等操作,从而导致网络沦落为黑客手中的“肉鸡”。因此,如果使用网站模板代码,必须要时刻关注该网站模板是否有最新的漏洞被曝光,及时到官网上下载并打上相关的漏洞补丁程序。另外,网管务必要有经常查看网站登录日志的习惯,检查后台登录的IP是否有异地的可疑信息,或者是否被添加了异常的管理账号等等,永远绷紧安全这根弦。
对局域网进行妥善管理,让网络运行始终安全、稳定,一直是所有网络管理员的主要职责。为了保证局域网的安全性,不少网络管理员开动脑筋,并且不惜花费重金,“请”来了各式各样的专业安全工具,来为局域网进行保驾护航。然而在实际工作过程中,如果没有现成的专业安全防范工具,也可以利用客户端系统自带的安全功能,保护自己的上网安全。
最后是人员方面,人员是企业信息外泄的重要途径,其中我们可以将其分为两大类,一类是内部人员的泄密。这往往体现在员工将企业核心机密通过硬盘等设备将其带出公司信息设备,并且造成遗失等现象,最终导致公司机密为外界所获取,信息安全受到严重威胁。另一部分是黑客攻击,这类攻击对公司造成的损失非常大。该行为的目标就是获取相应的信息。随着黑客技术的发展,传统的防火墙甚至物理网闸断开都难以完全避免黑客的攻击。目前企业繁多的保护程序对黑客的防护效果不佳,反倒给用户带来了诸多不便。
3企业信息安全改进建议
3.1物理安全防护
网络结构设计直接影响到企业的信息安全,局域网的网络拓扑设计也成了信息防护的关键所在,一般情况下,企业的网络拓扑结构图如下:
图1内部网拓扑结构图
在整个流程中,核心交换机是关键,首先它必须满足国家相关的规定标准,可以承载相应的功能。机房设计要考虑到防盗、防火等,必须实行24小时监控。硬件防火墙是我们进行信息保护的一个重要措施,性能比软件防火墙更为强大,这也决定了硬件防火墙的价格相对而言更为昂贵。硬件加密卡也是我们目前使用范围比较广泛的一个技术措施,它独立于计算机系统,一般难以通过常用的软件模拟方式来对其进行攻击,因此独立性能更高。通过合理配置计算机硬件保护器,我们可以将信息保护的基础工作做得更加有效,能够为控制技术风险和人为风险提供良好的基础。
3.2技术安全
相对而言,技术安全是比较难以处理的,信息技术的发展非常迅速,我们难以面对层出不穷的网络技术攻击做出完全有效的防御,需要及时改变技术防御措施。
3.2.1数字签名和加密技术
在网络中,我们可以不断发展传统的数字签名和加密技术,防止黑客的多种入侵。
我们可以以数字签名为例,通过设定数字签名,用户在进行各种操作时会打上自身的印记,可以防止除授权者以外的修改,能够极大地提高整体的安全系数,抵御黑客的攻击。在这个程序中,我们需要予以关注的是数字证书的获取,一般有以下三个途径:a使用相关软件创建自身的数字证书;b从商业认证授权机构获取;c从内部专门负责认证安全管理机构获取。
3.2.2入侵防护系统(IPS)
传统的防火墙旨在拒绝那些明显可疑的网络流量,但仍然允许某些流量通过,因此防火墙对于很多入侵攻击仍然无计可施。绝大多数IDS系统都是被动的,而入侵防护系统(IPS)则倾向于提供主动防护,其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截,避免其造成损失,而不是简单地在恶意流量传送时或传送后才发出警报。IPS是通过直接嵌入到网络流量中实现这一功能的,即通过一个网络端口接收来自外部系统的流量,经过检查确认其中不包含异常活动或可疑内容后,再通过另外一个端口将它传送到内部系统中。这样一来,有问题的数据包,以及所有来自同一数据流的后续数据包,都能在IPS设备中被清除掉。
3.2.3统一威胁管理(UTM)
美国著名的IDC对统一威胁管理(UTM)安全设备的定义的是由硬件、软件和网络技术组成的具有专门用途的设备,它主要提供一项或多项安全功能。它将多种安全特性集成于一个硬设备里,构成一个标准的统一管理平台。UTM设备应该具备的基本功能包括网络防火墙、网络入侵检测/防御和网关防病毒功能。这几项功能并不一定要同时都得到使用,不过它们应该是UTM设备自身固有的功能。
UTM安全设备也可能包括其它特性,例如安全管理、日志、策略管理、服务质量(QoS)、负载均衡、高可用性(HA)和报告带宽管理等。不过,其它特性通常都是为主要的安全功能服务的。
3信息安全管理
这主要是针对人员管理而设定的,是企业内部管理流程的一个重要方面,这是企业内部管控制度的一个重要组成方面。
每个企业都要有明确的硬件设备管理制度,专人负责保管,监督审查,确保硬件使用的合理和安全性。其次要对操作人员进行足够的培训,要求每一个使用人员都了解应当进行的合理操作,明白可能存在的网络安全隐患。第三要对数据保管有明确的责任和制度,防止大量数据的丢失,导致公司整体系统瘫痪。
为了进一步加强和规范计算机信息系统安全,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室于2007年6月和7月联合颁布了《信息安全等级保护管理办法》和《关于开展全国重要信息系统安全等级保护定级工作的通知》,并召开了全国重要信息系统安全等级保护定级工作部署专题电视电话会议,标志着我国信息安全等级保护制度历经十多年的探索正式开始实施。
建立计算机信息系统安全等级保护制度,是我国计算机信息系统安全保护工作中的一件大事,它直接关系到各行各业的计算机信息系统建设和管理,是一项复杂的社会化的系统工程,需要社会各界的共同参与。大中型企业应该认真学习《信息安全等级保护管理办法》及相关技术标准规范,大力开展培训工作,落实好信息网络安全管理、安全技术、信息安全等岗位人员的继续教育培训,不断提高信息安全等级保护的能力与水平。
4结束语
在我们进行企业信息安全管理过程中,企业及企业员工是否对信息安全工作有足够的认识十分重要,企业领导和上层应该对企业信息安全工作给予必要的关注,企业信息安全不能仅仅依靠专业的IT技术人员,它需要我们全体企业员工的共同努力。
参考文献:
[1]孙博.企业信息安全及相关技术概述[J].科技创新导报,2009(04).
[2]徐国芹.浅议如何建立企业信息安全体系架构[J].中国高新技术企业,2009(5).
[3]王东.“北京移动案”暴露信息安全管理软肋[J].中国新通信,2006(6).
[4]吴辉.浅谈企业信息安全管理方案[J].科技情报开发与经济,2010(25).
[5]徐新件,朱健华.关于企业网络信息安全管理问题研究[J].供电企业管理,2008(2).
[6]汪红梅.我国信息安全保障体系存在的问题及对策刍议[J].信息网络安全,2008(2).
[7]盛玉.档案信息安全与安全保障体系内容的关系分析[J].网络财富,2009(12).
[8]峥嵘.信息备份为企业信息安全保驾护航[J].中国经贸.2008(10).
[9]田丽.网络环境下企业信息安全管理组织机构设计[J].东北财经大学学报,2008(3).
作者:肖伟
浅议企业信息安全管理与风险控制
摘 要:企业信息安全管理从本质上来说是企业风险控制的重要内容,企业信息安全管理是企业风险控制中十分重要的一项工作,企业的信息安全关系到企业的发展与生存,所以,企业只有真正认识到信息安全管理的重要性,将企业信息安全管理作为企业风险控制工作开展开来,通过各种各样的体制建设与技术指导,保障企业信息安全管理的科学性和规范性、稳定性。本文首先介绍了企业信息安全管理的内容,并阐明了企业信息安全管理与企业风险控制之间的联系,在此基础上,为了更好地规避企业的经营风险,优化企业信息安全管理水平提出若干意见与建议。
关键词:企业;信息安全;风险控制
一、引言
企业经营信息对于企业来说是一种资源,对于企业自身来说具有重要意义,企业需要妥善管理自身企业的信息。近年来,企业的各项经营活动都逐渐开始通过计算机,网络开展,因此,企业的信息安全管理对于企业越来越重要。许多企业开始通过各种技术手段以及制度改革,把更多的注意力放在企业内部的信息安全管理工作,同时将企业信息安全管理与风险控制结合起来,这是一个正确的选择,能够帮助企业实现稳定经营。在介绍企业信息安全管理以及风险控制前必须厘清企业信息安全管理的概念与企业风险控制定义,因此,本节将着重介绍企业信息安全管理的概念以及企业风险控制的定义。
企业的信息安全管理包含十分丰富的内容,简单来说是指企业通过各种手段来保护企业硬件和软件,保护网络存储中的各种数据不受偶然因素的破坏或者恶意的原因被攻击。对于信息安全的认定通过包括4个指标,即保证信息数据的完整,保证信息数据不被泄露,保证信息数据能够正常使用,保证信息数据能够控制管理。要想做好企业的信息安全管理,首先需要了解的是关于信息的传输方式。随着信息技术的不断普及,信息传递的方式越来越多,常见的信息传递方式主要有互联网传播,局域网传播,硬件传播等等。要想实现企业的信息安全管理,其中很重要的一项工作在于保护信源、信号以及信息。信息安全管理是一项需要综合学科知识基础的工作,从事企业信息安全管理工作的人员通过需要具有网络安全技术、计算机技术、密码技术、通信技术。从企业的信息安全管理来讲,最为关键的一项工作时保护企业内部经营信息数据的完整。经过近十年来的企业信息安全管理工作经验总结,企业信息安全不仅仅需要信息技术的支持,更需要通过建立完善的企业风险控制体系来帮助企业实现更好地保护企业信息安全的目标。
所以,怎样把企业信息安全管理与风险控制融合起来就是摆在企业经营管理者面前的一道难题。企业的信息安全风险控制必须通过企业建立完善的企业信息安全风险体系实现。企业的信息安全风险控制是指企业在企业信息安全遭遇威胁之前,提前对企业的信息进行风险预估,并采取一系列的有针对性的活动降低企业面临的信息安全风险,从而尽可能减少因为企业本身信息安全管理中存在漏洞给企业带来不必要的损失。常见的企业信息安全风险体系建立主要包含以下几个方面的内容。第一,建立企业信息安全风险管理制度,明确企业信息安全管理的责任分配机制,明确企业各个部门对各自信息安全所应承担的责任,并建立相应的问责机制。第二,设置规范的企业信息安全风险管理指标,对企业存在的可能威胁企业信息安全管理的漏洞予以风险定级,方便企业管理者对不同的信息安全管理漏洞采取有区别的对策。第三,企业要加强对信息安全管理人员的培训,提高企业信息安全管理工作人员的风险意识,让企业内部从事信息安全管理工作人员认识到自身工作的重要性,让企业内部从事信息安全管理工作人员了解到规范自身行为,正确履行职责的重要性。第四,将企业信息安全管理与风险控制有效融合,重视企业信息安全管理工作,通过风险控制对企业内部信息安全的管理方式进行正确评估,找出现行的企业内部信息安全管理手段中存在容易忽视的地方。
二、企业信息安全管理与风险控制存在的不足
1.企业信息安全管理工作人员素质不高
对于企业来说,企业信息安全管理工作是一项极为重要而隐秘的工作,因此,必须增强对企业信息安全管理工作人员的素质要求。但是根据调查统计,目前很多企业对信息安全工作的管理仅仅停留在对企业信息安全管理工作人员的技术要求上,对企业信息安全管理工作人员的道德素养,职业素养,风险意识并没有严格要求。此外,绝大多数企业并没有意识开展对企业信息安全管理工作的道德素质的教育培训,并没有通过建立相关管理制度以及问责机制对企业信息安全管理工作人员实行监督,这无疑给别有用心或者立场不坚定的企业信息安全管理工作人员留下了危害企业信息安全的可乘之机。
2.企业信息安全管理技术不过关
企业信息安全管理工作涉及多许多技术,包括信息技术,计算机技术,密码技术,网络应用技术等等,应当说成熟的计算机应用技术是做好企业信息安全管理的基础,但是,现实是许多企业的信息安全管理技术并不过关,一方面企业的信息安全管理硬件并不过关,在物理层面对企业信息缺乏保护,另一方面,企业信息安全管理工作的专业技术没有及时更新,一些企业信息安全管理工作人员缺乏企业信息安全管理的实践经验,企业信息安全管理的知识也并没有及时更新,从而导致企业的信息安全管理理论严重滞后,这种技术的落后很容易让企业成为不法分子的攻击对象。近年来网络病毒的传播越来越猖狂,很多服务器、系统提示安全补丁的下载更新以及客户端的时常更新成为一个恼人的问题。作为一个行业中的大中型企业,企业内部设备数量比较多,尤其是客户端数量占了较大比重,仅仅靠少数几个管理员进行管理是难以承担如此大量的工作量。另外,企业信息安全管理系统不成熟也是一个重大的隐患。
3.企业信息安全管理制度不健全
企业信息安全管理制度不仅仅需要理论制度的完善,更加需要一系列配套监督机制保障企业信息安全管理的有效执行。通过调查分析,许多企业虽然建立了企业信息安全管理制度,但是通常情况下,这些制度只能流于形式,企业信息安全管理工作缺少有效的制约和监督,企业信息安全管理工作人员缺乏执行力。企业信息安全管理制度不健全,企业信息安全管理工作缺乏执行力常常体现在以下几个方面。第一,企业员工对于信息安全管理的认识严重不足,对企业信息安全管理工作不重视。企业内部计算机系统安全的计算机防病毒软件并没有及时更新,使用,甚至企业内部计算机的防病毒软件还被企业员工卸载了。部分企业员工认为自己的工作与企业信息安全管理不相关,认为做好企业信息安全管理工作仅仅是企业信息安全部门的事。第二,企业内部信息安全管理制度并没有形成联动机制,企业信息安全管理工作仅仅由企业信息安全部门“一人包干”,企业信息安全反映的问题并没有得到积极的反馈,一些企业领导对企业信息安全现状所了解的少之又少。
三、企业信息安全管理常见的技术手段
1.OSI安全体系结构
OSI概念化的安全体系结构是一个多层次的结构,它的设计初衷是面向客户的,提供给客户各种安全应用,安全应用必须依靠安全服务来实现,而安全服务又是由各种安全机制来保障的。所以,安全服务标志着一个安全系统的抗风险的能力,安全服务数量越多,系统就越安全。
2.P2DR模型
P2DR模型包含四个部分:响应、安全策略、检测、防护。安全策略是信息安全的重点,为安全管理提供管理途径和保障手段。因此,要想实施动态网络安全循环过程,必须制定一个企业的安全模式。在安全策略的指导下实施所有的检测、防护、响应,防护通常是通过采用一些传统的静态安全技术或者方法来突破的,比如有防火墙、访问控制、加密、认证等方法,检测是动态响应的判断依据,同时也是有力落实安全策略的实施工具,通过监视来自网络的入侵行为,可以检测出骚扰行为或错误程序导致的网络不安全因素;经过不断地监测网络和系统来发现新的隐患和弱点。在安全系统中,应急响应占有重要的地位,它是解决危险潜在性的最有效的办法。
3.HTP模型
HTP最为强调企业信息安全管理工作人员在整个系统中的价值。企业信息安全工作人员企业信息安全最为关键的参与者,企业信息安全工作人员直接主导企业信息安全管理工作,企业信息安全工作人员不仅仅是企业信息安全的保障者,也是企业信息安全管理的威胁者。因此,HTP模型最为强调对企业信息安全管理工作人员的管理与监督。另外,HTP模式同样是建立在企业信心安全体系,信息安全技术防范的基础上,HTP模式采取了丰富的安全技术手段确保企业的信息安全。最后,HTP强调动态管理,动态监督,对于企业信息安全管理工作始终保持高强度的监督与管理,在实际工作中,通过HTP模型的应用,找出HTP模型中的漏洞并不断完善。
四、完善企业信息安全管理与降低风险的建议
1.建设企业信息安全管理系统
(1)充分调查和分析企业的安全系统,建立一个全面合理的系统模型,安全系统被划分成各个子系统,明确实施步骤和功能摸块,将企业常规管理工作和安全管理联动协议相融合,实现信息安全监控的有效性和高效性。
(2)成立一个中央数据库,整合分布式数据库里的数据,把企业的所有数据上传到中央数据库,实现企业数据信息的集中管理与有效运用。
(3)设计优良的人机界面,通过对企业数据信息进行有效的运用,为企业管理阶层人员、各级领导及时提供各种信息,为企业领导的正确决策提供数据支持,根本上提高信息数据的管理水平。
(4)简化企业内部的信息传输通道,对应用程序和数据库进行程序化设计,加强对提高企业内部信息处理的规范性和准确性。
2.设计企业信息安全管理风险体系
(1)确定信息安全风险评估的目标
在企业信息安全管理风险体系的设计过程中,首要工作是设计企业信息安全风险评估的目标,只有明确了企业信息安全管理的目标,明确了企业信息安全管理的要求和工作能容,才能建立相关围绕信息安全风险控制为目标的信息安全管理工作制度,才能顺利通过对风险控制的结果的定量考核,检测企业信息安全管理的风险,定性定量地企业信息安全管理工作进行分析,找准企业信息安全管理的工作办法。
(2)确定信息安全风险评估的范围
不同企业对于风险的承受能力是有区别的,因此,对于不同的企业的特殊性应该采取不同的风险控制办法,其中,不同企业对于能够承受的信息安全风范围有所不同,企业的信息安全风险承受范围需要根据企业的实际能力来制定。不仅如此,企业的信息安全风险评估范围也应当根据企业的实际经营情况变化采取有针对性的办法。
(3)组建适当的评估管理与实施团队
企业信息安全风险控制体系的建立需要企业内部各个部门的参与,因为各个部门工作人员对于企业风险的认是有所不同的,企业要想了解企业承担的经营管理风险,就必须让企业各个部门工作人员共同参与进来。
参考文献:
[1]焦洪涛.中小企业信息安全管理策略研究[D].西安理工大学,2009.
[2]李慧.信息安全管理体系研究[D].西安电子科技大学,2005.
[3]梁军.湖南电信公司内网信息安全体系建设的研究[D].湖南大学,2007.
[4]陈科.信息系统安全风险评估研究[D].华东师范大学,2009.
[5]韩颖.国税部门信息系统网络安全分析与策略[D].北京邮电大学,2010.
作者:孙天天
推荐阅读:
系统安全防护企业信息论文提纲11-15
医院信息系统安全论文04-17
系统安全信息管理论文04-16
信息系统管理中信息安全论文05-01
信息系统安全分析论文提纲11-15
医院信息系统安全建设论文04-22
电力信息系统信息安全技术论文05-13
电力系统信息安全论文提纲11-15
网络系统信息安全论文提纲11-15
医院信息系统安全建设论文提纲11-15
