企業安全信息化模板(10篇)
時間:2023-06-19 16:22:22
導言:作為寫作愛好者,不可錯過為您精心挑選的10篇企業安全信息化,它們將為您的寫作提供全新的視角,我們衷心期待您的閱讀,并希望這些內容能為您提供靈感和參考。
篇1
伴隨著我國社會經濟的發展,各個企業間的競爭也是非常的激烈。各企業發展的過程中重要工作就是加強信息化建設,在企業信息化建設發展的過程當中,又顯現出來了信息安全的問題,加上有的不法分子會采取各種手段盜取企業的內部信息以便達到自己的經濟利益。所以說研究企業信息化當中的信息安全問題是具有非常重要意義。
一、企業信息化建設過程中信息安全的問題
一般情況下能造成企業內部信息安全問題的原因分為外部原因和內部原因,可是不管是內部原因還是外部原因都會對企業的信息系統的安全帶來隱患。
1.1企業內部因素
第一個方面是企業的信息安全意識不強,雖然是現在有很多的企業加快企業內部信息化建設的進程,但是有些企業只是在表面上看到信息化建設所帶來的優勢,而信息化建設當中的安全問題并沒能夠引起企業的足夠重視,所以在信息化建設的過程中比較容易出現安全隱患。第二個方面就是我國的安全軟件還是比較落后,雖然國內計算機軟件技術在快速的反戰,可是與一些發達的國家相比還是存在一定距離,第三個方面在管理操作方面存在問題,現在有很多的企業對于自己企業內部的信息安全問題還存在不夠重視的問題,在企業信息系統的管理上不夠謹慎,這就會被不法分子和黑客進入的機會,造成了企業的主要信息被盜取。第四個方面缺少優秀的專業管理團隊,企業信息的系統安全是前期的制定和日常系統安全的維護以及日后都是由專業的人員來進行操作,所以相關的技術人員都必須具有很好的素養和賢能的技術,第五個方面法律法規的不全面。現在我國與企業信息安全問題的法律法規不全面這就造成企業內部信息被盜取不能得到相關的賠償。
1.2企業外部因素
現在企業信息安全系統的威脅主要來自于外部的因素,隨著我國經濟社會的飛速變化,在競爭激烈情況下信息是非常重要的,大昂仁會有很多的不法分子會利用各種手段來盜取企業的信息為自身得到利益。還有些企業在于對手的競爭過程中使用不正當的手段來擊垮對手保證自己企業的利益。
二、企業信息化建設過程中的信息安全與對策
在我國社會經濟快速發展的今天,企業信息安全對于一個企業的發展是非常具有意義的,企業的信息被盜取和泄露會給企業帶來很大的損失,所以說企業對信息安全問題必須要有足夠的重視。有的企業已經做好了信息安全的必要工作就應該更加注意安全軟件并不是時時刻刻都能做好安全的保護,做好安全保護還要加強管理。
2.1確保正確的安全意識
一個企業在信息化發展的過程中,應該認識到企業信息的安全問題和企業發展相互的關聯。如果企業的重要內部信息被盜取或者泄露那么對于企業所造成的打擊是非常大的,而與此同時也是給了對手創造了很好機會。所以確保正確的安全信息意識對于一個企業來說是非常重要的,也是為了以后給企業的各項工作打下了很好基礎。
2.2選擇安全性能比較高的軟件
其實任何軟件都不是牢不可破的,可是對于安全性能比較高的軟件,如果說破解的話難度還是相當高的,所以企業選擇安全軟件的時候要選擇安全性能高的,不要為了節省一點企業的支出而選擇使用安全性能差的保護軟件,一旦出現問題所造成的企業損失價值會大于軟件的價格。
2.3加強企業網路管理
很大一部分的企業信息被盜取都是不法分子通過網絡進行的,所以說必須要對企業的網絡管理進行加強,這樣才能確保企業信息系統在安全的狀態的情況下運行。對于信息安全的種類和等級的高低來進行制定合理的方案,并且提前做出如果發生特殊情況下怎么進行處理的方案。如果說企業的信息安全發生危機的時候,企業應該快速的組建處理小組,針對信息安全危機的步驟處理并且做好危機處理的工作,還要避免出現由于處理不當而產生的各種情況。
三、結語
以上所述是企業信息化建設過程中所必需要面對的問題,一個企業的信息安全建設應該先從管理開始,必須做到以防范為主要,必需制定有效的安全防護把安全的風險降至最低。在現在經濟發展的快速時代,企業信息的安全問題決定著企業的安全運營。
參考文獻
[1]原黎.探析企業信息安全問題的成因及對策[J].現代工業經濟和信息化.2011(08)
[2]張耀輝.關于企業信息化建設中的信息安全探討[J].電子技術與軟件工程.2013(14)
[3]趙曉華,陳秀芹,周文艷,夏莉莉,李建忠.網絡環境下河北中小企業信息安全問題研究[J].科技資訊.2013(31)
篇2
在一個企業中,安全管理是支撐企業的核心,特別是對于生產企業而言,安全責任重于泰山。隨著信息化的不斷發展,企業的信息化建設和應用水平的不斷提高,類似辦公OA系統、ERP和EMS等辦公系統的建設在不斷完善,被廣泛采用。信息化是企業提高管理效率、提高核心競爭力的有力手段,但在卷煙行業中,部分企業在信息化和安全管理的融合過程中做得不夠完善,對信息化的重要性和信息化帶來的高效率等方面認識不足,因此,加快卷煙生產企業信息化的建設工作勢在必行。
1.2原因分析
造成卷煙生產企業管理現狀的原因是多方面的:①意識淡薄。沒有充分認識到信息化給卷煙生產安全管理帶來的革命性變化,忽視了信息化建設。②資金缺乏。卷煙企業沒有足夠的資金支持信息化建設,造成信息化建設滯后。③技術匱乏。這是制約卷煙生產企業信息化建設的主要原因,缺乏必要的技術支持必然會造成信息化建設滯后。具體而言,還有以下幾個方面的原因。
1.2.1安全管理人員隊伍素質偏低
在進行信息化建設過程中,必然需要具備專業知識的人才。在大多數卷煙生產企業中,相關專業的人員素質較低,在信息化的應用和建設方面存在一定的障礙和劣勢,進一步制約了卷煙企業的發展。
1.2.2安全信息系統投入風險較大
信息安全系統的建設是一項復雜、長期的工作,需要長時間的設計和調試。在企業中進行大量的資金投入是建成信息系統的必要基礎,但由于其具有的不確定性和回報周期較長等特點,在資金投入時,必然會影響到管理層的決策。
1.2.3安全信息系統建成模式單一
在我國當前的信息安全信息化建設中,模式單一是其弊端,原因是可借鑒的經驗和先例較少,且在現行的信息建設平臺中,大部分采用了相同的工作方式和運行原理,缺乏新意,創新程度較低,進一步制約了信息安全的發展。
2卷煙企業安全管理信息化建設的意義
加強卷煙生產企業安全管理信息化建設有重要的意義和作用,是實現卷煙企業長久發展、提高效率的重要保證。在信息化高速發展的今天,信息化對于任何一個企業而言都具有重要的意義,是實現現代化的重要手段。卷煙企業實現信息化后將大大提高企業的生產效率。
2.1是現代煙草農業發展的客觀要求
在當今社會中,信息已成為一種重要資源,成為推動社會發展和進步的重要支柱。信息化的發展必然會推動現代煙草業的發展,使卷煙生產更具系統化和專業化,從而提高卷煙的生產效率。在現代卷煙生產中,卷煙行業具有的分散性、時變性和經驗性等都是制約卷煙行業進一步發展的因素,而信息化是解決卷煙行業中存在問題的有力武器,信息化會滲透到卷煙生產行業的各個環節和領域,改造傳統的卷煙生產,從而帶動現代煙草行業的進一步發展。
2.2是現代煙草物流發展的必然選擇
我國煙民人群龐大,但因其分散程度較高,因此,必須有效發展煙草物流。煙草行業要想打造現代煙草農業,必然要進一步推動煙草物流業的發展。信息化提高了煙草物流的時效性和連續性,降低了煙草物流的成本,使物流的可操作性得到了進一步提高。信息化可在物流的分揀、配送和綜合管理等方面發揮重要的作用,使煙草產業的供應鏈更加優化,進一步提高供應鏈的準確性、時效性。
2.3可有效加強煙草行業安全生產管理
信息化可對卷煙生產的各個環節進行監督管理,使卷煙行業監管更具效率,提高了卷煙的生產效率。卷煙質量是卷煙生產企業的重中之重,信息化安全信息管理的建設可有效提高檢測水平和質量,及時發現并整改生產環節中存在的問題和缺陷,提高了卷煙行業的安全性,從而確保了卷煙生產的質量。
3卷煙企業信息化建設的措施和建議
3.1提高思想認識
信息化的首要前提是提高思想認識,只有更多的人認識到信息化的重要性和必要性,才會促使更多的資源流入這方面。要提高單位領導的意識,在現代企業的競爭中,誰能掌握第一手資料,便能掌握先機,從而獲得更多機會,信息的充足程度決定了企業的發展程度;要提高單位職工的認識,企業的發展與每一個員工息息相關,因此,身為企業的一份子,要將企業的利益放在首位,理解信息化對企業的重要性。
3.2開展人才培訓
信息化建設是一個復雜的專業領域,需要有大量的專業人才參與其中,才可有效建立和完善。因此,加大人才的培養力度是加快企業信息化的重要步驟之一。要建立完整的信息處理平臺,就要要求各部門協同配合、共同工作。只有各部門團結一致,才能更快地建立完整的信息處理平臺。
篇3
前言
自中國加入世貿組織后,全球實行經濟一體化,信息資源對于企業的發展經營顯得十分重要,企業只有盡快實施信息化戰略與國際接軌,才能融入到經濟全球化的大潮中去。對于企業進行信息化改革需要進行一些規劃性安排。其中包含有信息資源規劃,這主要是指企業生產經營過程中所需要掌握到的所有信息,從開始采集、處理一直到傳輸、使用全過程的一個整體規劃。企業在生產經營活動過程中,無時不刻都充斥著信息,信息資源與企業人、財、物資源同等重要,都是企業在經營環節中不可缺少的重要資源。而經過長期的發展,很多企業已經開始意識到企業信息資源規劃的重要性,認識到它是企業信息化建設的基礎工程。而對企業信息化安全的解決應該建立在人員管理的基礎之上,致力于整個企業網絡管理。
1企業信息化安全與網絡管理
1.1網絡集成應用系統安全
網絡集成應用系統根據不同企業的需求呈現不同的情況,一些企業中的網絡集成應用系統比較復雜。不能夠很精準的估計防御對象的規模以及價值,也不能簡單的對其加以標定界限,針對這種情況,就只能夠將網絡管理安全保障的工作分解開來。落實到具體的個人,采取一系列有效的措施如主動防御方式去進行。而網絡安全信息的防御是一個保障整體網絡信息安全的手段,其可預見性以及靈敏性等都為工作帶來便利,在面臨網絡空間可能帶來的威脅的同時,站在網絡管理者的角度上去思考,為企業網絡安全提供一定的保障。因此對于現代社會企業發展中提出的有關信息化安全問題其范圍也十分廣泛。計算機系統結構安全的信息防御,注重的是以信息參與者的人為主角的主動型安全防御。
1.2企業人員信息技術安全
企業信息化歸根到底也是人的參與,因此對于企業在信息化過程中會遇到的信息安全問題也需要人員引起足夠的重視。人才是企業在發展中的關鍵競爭力,企業對于人才的重視程度也在日益增加,而同時也要注重企業的管理。隨著時代的發展,信息化已經成為企業不可忽視的發展趨勢,當企業投入大量的資金和精力去培養人才進行信息化管理以及掌握信息化技術之后,更需要加強信息安全管理。目前是信息化時代,“信息”對于企業而言是十分重要的財富,企業信息系統中掌握著企業運行經營的大量資源和信息,而信息系統的一些安全隱患大部分來源于外界的侵擾,信息工作和管理人員個人的疏忽也容易導致信息的外泄,這將是對企業造成嚴重的損失。目前對于企業在信息化方面的標準有多種爭議,面對爭議我們首先要弄清楚企業目前處于什么樣的狀況,這些標準都是隨著技術水平的改進以及管理要求的變化而變化的,因此針對這些變化,企業需要針對自身的實際情況以及實際需求進行安全管理。
1.3網絡管理人員信息技術安全
企業信息化系統管理中最重要的一項安全指標就是信息技術方面的安全,面對高要求的安全管理,對于網絡安全管理人員的職業素養以及業務能力也相應提出了更高的要求。而企業信息化系統的網絡管理在實際的運行過程中必定會涉及到眾多的功能模塊,面臨企業信息化系統中的網絡安全管理一般包含有四大功能模塊:配置管理、性能管理、故障管理以及安全管理。而這四大功能構成了網絡安全管理的基本功能,除此基本功能之外,網絡管理還包括有網絡規劃、網絡操作規范等,以下就來簡單分析介紹這些功能:(1)配置管理:網絡的配置管理要做到的是自動發現網絡拓補結構,構造和維護網絡系統的配置。時時的注意網絡中被管理監測的對象狀態,對網絡設置中的一些設備配置的語法進行檢測,對于配置進行嚴格的檢驗。(2)故障管理:在網絡運行過程中時刻的進行網絡有關事件的過濾和歸并,通過不間斷的檢測及時的發現在網絡管理以及操作過程中出現的一系列網絡故障問題,并根據實際問題情況尋找出有效的應對措施和建議,提供一定的排錯手段以及工具,逐漸形成一套完善的網絡故障預警和解決機制,從而減少故障給企業信息化系統帶來的危害和損失。(3)性能管理:性能管理是對網絡對象的性能方面數據進行收集、分析以及處理功能,通過分析和收集了解網絡在運行過程中的質量安全問題,同時掌握整個網絡運行體制中的運行狀態信息,為整個網絡的使用情況以及未來發展趨勢、狀況進行一個評估,為進一步的網絡規劃提供一定的參考價值。(4)安全管理:網絡信息的安全主要在于存儲在系統中的一些用戶信息資料以及企業內部的資料的泄露,加強安全管理無疑是要加強用戶的認證、訪問控制、數據傳輸以及存儲保密性和完整性,保障網絡系統本身的安全。維護系統日志,使系統的使用情況以及網絡對象的修改都有記錄和有數據可循。加強對網絡資源的訪問量的控制。例如有些企業在加強網絡安全管理方面為了盡量的減少不必要的漏洞,在配置管理中采用了VLAN的方式,這種方式就是將企業內部的不同部門都劃分為各個不同的虛擬網段,而針對不同部門的職員設置相應的權限,只有具有權限的職員才能進入某一個虛擬網段,沒有權限的用戶無法訪問其他網段。VLAN其實就相當于是一個計算機網絡,里面所有內容都由同一個網線連接著,但是其中的網絡又可以分為不同的部分和區域。由于該方式多是通過軟件來操作實施的,因此使其具備了更多的靈活性,而該手段的最大優勢在于提供了更多的管理控制,這相應的減少了很大一部分的管理費用,同時也提供了更多的配置靈活性。另外,在網絡管理中可以通過邊界的路由器來控制外來的用戶對網絡信息的訪問,從而可以有效的防止外來用戶對本企業網絡的侵入和攻擊。加之前文中有提到可以加強網絡安全的預警機制。通過對告警中的危險事件和信息進行有效的分析和處理,及時發現可能存在的攻擊行為,及時發現網絡管理中存在的安全漏洞和安全隱患,從而更好的防患于未然。當然,在進行這些網絡安全管理手段操作中可以充分借助有關的管理網絡的軟件,為網絡管理人員提供有效的技術信息和保障,而且單一的軟件絕對滿足不了網絡安全管理的需求,需要根據實際情況綜合運用多種軟件形式,從而滿足不同方面和層次的需求,無論是加強網絡管理安全還是利用各種管理軟件首先必須要提高網絡管理人員的綜合素質,提升其職業素養和計算機應用水平,人員素質的提升以及相關管理硬件、軟件的配套,才能從根本上解決企業信息化管理以及網絡安全管理中的問題,提高其管理機制和管理水平。
2結束語
從本文中所闡述的眾多問題中可以總結出,無論是網絡集成應用系統的框架還是人員信息化和網絡管理者角度而言,企業信息化的安全問題主要集中在網絡管理方面。而對網絡進行管理的主體部分就是人員。因此加強網絡管理的安全問題要從人員自身方面的水平以及素質和網絡安全管理相關技術兩個方面著手,讓所有的網絡管理者在思想上意識到網絡安全管理的重要性。管理人員的重視才會促進有關技術的改進和革新,這也是我們進行網絡管理的最終目的和有效保障。
參考文獻:
[1]林鵬,葉盛元.互聯網與信息化安全(三)[J].華南金融電腦,2006.
篇4
中圖分類號:TP309
企業要生存、發展,就必須面向市場,適應市場、開拓市場,竭力捕捉市場信息。信息對于市場經濟條件下的企業來說,具有生死攸關的巨大價值。沒有對大量準確、及時、系統的市場信息資料的掌握,既不能弄清企業外部條件變化對企業生產經營的影響,也無法了解企業內部各環節、各部門、各經營要素的狀況、聯系和變化。而在同行業之間的信息互通,也是至關重要的,將所有資源充分整合,才能形成綜合優勢。
中國加入WTO后,國際競爭國內化的趨勢將更加明顯。企業只有盡快實施信息化戰略與國際接軌,才能融入到經濟全球化的大潮中去。這里特別要指出企業如何規劃有關信息。信息資源規劃(Information Resource Planning,簡稱IRP)是指對企業生產經營所需要的信息,從采集、處理、傳輸到使用的全面規劃。在企業的生產經營活動中,無時無刻不充滿著信息的產生、流動及使用。美國信息資源管理學家霍頓(F.W.Horton)和馬錢德(D.A.Marchand)等人指出:信息資源(Information Resources)與人、財、物資源一樣,都是企業的重要資源。目前,許多企業都已經認識到信息資源規劃的重要性,認識到它是企業信息化建設的基礎工程。只有做好信息資源規劃工作,才能理清并規范企業的真正需求,貫徹信息化建設的“應用主導”方針;才能消除因缺乏信息資源管理基礎標準而產生的“信息孤島”,從而整合信息資源,實現應用系統集成;才能指導SCM、ERP、CRM等應用軟件的選型并保證成功實施;才能應用規劃的結果來保護我們所珍視的信息。應該說信息資源規劃是我們要提供安全策略的前提。[1]
圖1是信息安全技術發展的四個階段,當我們整合了相關信息資源,歷經信息安全技術的各個階段,所缺少的元素便是對于人的信息化水平的要求。
可見,單從信息流向來看,其中的人為干預是必不可少的。因此,保障信息安全更要以人為本,注重網絡管理,加強制度化,形成標準的操作規范及流程。針對企業信息化安全問題,內容應當包括:網絡集成應用系統(包括信息源、信息傳輸網絡的安全)、企業人員信息技術安全(如信息決策者、使用者)、網絡管理人員信息化安全(涵蓋了網絡管理、權限分配等安全管理內容)。企業信息化安全的解決應在立足于人員管理的基礎上,致力于整個企業網絡的管理,并以此為目標規劃與建設安全、實用、高效的信息環境,為企業信息化帶動企業管理現代化保駕護航,推動企業的高速度、可持續發展。
1 網絡集成應用系統安全
本人所在單位的網絡集成應用系統是一個復雜體系,不可能精確地估計防御對象的規模與價值,無法簡單地對其加以標定界限,只有將網絡管理安全保障工作分解,落實到人,采取主動防御方式、方法才是上策。眾說周知,網絡安全信息防御是一個以保證信息整體安全的可預見性、靈敏性、可靠性和連續性為目標的工作,在面對網絡信息空間遭受可能的災難時,我們站在網絡管理者的角度應可以提供可靠的安全保障,同時作為各個信息安全的參與者能夠主動進行預見性的操作。
因此,現代信息技術發展所提出的信息安全問題,比傳統信息安全問題更加錯綜復雜,涉及因素和領域也更加廣泛。計算機系統結構安全的信息防御,注重的是以信息參與者的人作為主角的主動型安全防御。[2]
2 企業人員信息技術安全
企業信息化離不開人的參與,同樣企業信息化所帶來的安全問題也離不開人的關注。“企業注重人才,人才注重管理。”當我們把員工培養成適應企業快速發展、掌握信息技術的人才后,更需要加強信息安全管理,提高計算機應用水平。因為“信息”是企業的重要財富,這一點是勿庸置疑的。信息系統的非安全因素有可能來自外部(以病毒、黑客攻擊的方式),或來自單位內部(來自同事、受信任的客戶等等所有接觸系統的人),工作人員出于好奇心可能會造成更大的威脅。[3]
上面的管理辦法便是從技術角度加強了人員的權限設置,其實最主要的人員信息化安全管理,還是對于配套制度的執行。目前,有關企業信息化標準的爭論有很多,這種標準會隨著技術手段和管理要求的不斷發展而變化。面對變化,企業出臺針對本企業安全級別的管理辦法,結合自身需求進行安全管理才是“以人為本”的上策。
3 網絡管理人員信息技術安全
信息技術安全是企業信息化安全管理的重中之重,這就給網管人員提出了更高的更全面的要求。在實際的網絡管理過程中,網絡管理應具有的功能非常廣泛,包括了很多方面。本人認為,針對我們所面臨的企業信息技術安全,網絡管理應包括四大功能:配置管理、性能管理、故障管理、安全管理。這四大功能是網絡管理的基本功能。事實上,網絡管理還應該包括其他一些功能,比如網絡規劃、網絡操作規范等。其中:
配置管理:自動發現網絡拓撲結構,構造和維護網絡系統的配置。監測網絡被管對象的狀態,完成網絡關鍵設備配置的語法檢查,配置自動生成和自動配置備份系統,對于配置的一致性進行嚴格的檢驗。
故障管理;過濾、歸并網絡事件,有效地發現、定位網絡故障,給出排錯建議與排錯工具,形成整套的故障發現、告警與處理機制。
性能管理:采集、分析網絡對象的性能數據,監測網絡對象的性能,對網絡線路質量進行分析。同時,統計網絡運行狀態信息,對網絡的使用發展作出評測、估計,為網絡進一步規劃與調整提供依據。
安全管理:結合使用用戶認證、訪問控制、數據傳輸、存儲的保密與完整性機制,以保障網絡管理系統本身的安全。維護系統日志,使系統的使用和網絡對象的修改有據可查。控制對網絡資源的訪問。
舉例來說,本人所在單位為盡量減小安全上的漏洞,我們配置管理采用了 VLAN方式,即各個部門劃分為不同的虛擬網段,沒有權限的用戶無法訪問其他網段。
VLAN(虛擬局域網)就是一個計算機網絡,其中的計算機好像是被同一網線連接在一起,而實際上它們可能分處于局域網的不同區域。VLAN更多的是通過軟件而非硬件來實現,因此這使得它具有很高的靈活性。VLAN的一個主要特性就是提供了更多的管理控制,減少了相對日常管理開銷,提供了更大的配置靈活性。VLAN的這些特性包括:①當用戶從一個地點移動到另一個地點時,簡化了配置操作和過程修改;②當網絡阻塞時,可以重新調節流量分布;③提供流量與廣播行為的詳細報告,同時統計VLAN邏輯區域的規模與組成;④提供根據實際情況在VLAN中增加和減少用戶的靈活性。
還有就是:我們的網絡管理可以通過網關(即邊界路由器)控制外來用戶對網絡資源的訪問,以防止外來的攻擊;通過告警事件的分析處理,以發現正在進行的可能的攻擊;通過安全漏洞檢擒來發現存在的安全隱患,以防患于未然。當然,我們這些操作手段可以借助于相應的網絡管理軟件,以提供給我們相關的技術保障。但在實際操作中,我也發現,單用一種軟件是無法實現的。比如IDS、基于SNMP技術的網絡拓撲、資產管理等等,這些技術需要我們一步步加強。還有像加強域的管理,充分利用現有軟件的功能,都是提高我們網絡管理的方式、方法,而這些工作地展開都要基于網管人員的素質和計算機應用水平。
綜上所述,不論是從網絡集成應用系統框架,還是人員信息化以及網絡管理者自身來看,企業信息化安全重在網絡管理,而網絡管理的核心是人,是整個信息化安全的參與者,只有“硬制度、軟管理”相互依托,主動預防、預見網絡不安全因素,讓所有參與者都意識到網絡安全管理對于企業信息安全的重要性,才是我們網絡管理的最終目的和有效保障。
參考文獻:
[1]Steve Riley, Likes fearing occurs simultaneously the manager, Windows IT Pro Magazine, Microsoft Corp,2006(02):30-32.
[2]Microsoft Corp,Microsoft Security Anthology,Microsoft Corp,2003(03):1-20.
篇5
中圖分類號:TP309.2文獻標識碼:A 文章編號:1009-3044(2008)36-2848-03
An Information Security Program for a Distributed Enterprise
GUO Yong, CHEN Rong-sheng, ZHAN Gui-bao, ZENG Zhong-cheng, LU Teng-zu, LI Zhuang-xiang
(Fujian Xindong Network Technology Co., Ltd. Fuzhou 350003,China)
Abstract: Based on the specific conditions of the distributed enterprise, information security architecture in accordance with the relevant standards, a distributed enterprise information security planning principles and objectives. And based on the principles and objectives of the meeting, according to the organization, management and technical aspects of three specific design specifications with the principle. Finally, based on the objective of planning services, a category of information distributed enterprise information security services, planning and design examples.
Key words: distributed; information security; planning; program
1 引言
據來自eWeek 的消息,市場研究機構Gartner 研究報告稱,很對企業目前仍缺乏完整的信息安全規劃和規范。盡管目前很多企業在信息安全方面的投入每年都在緩慢增長,但由于推動力以外部法律法規的約束和商業業務的壓力為主,因此他們對安全技術和服務的選擇和使用仍停留在一個相對較低的水平。尤其對于機構構成方式為分布式的企業而言,因為信息安全需求和部署相對更加復雜,投入更多,因此這類企業的信息安全規劃就更加缺乏。
本文根據這類分布式企業的特點提出了一種符合該類企業實際的信息安全規劃方案。
2 總體規劃原則和目標
2.1 總體規劃原則
對于分布式企業的信息安全規劃,要遵守如下原則:適度集中,控制風險;突出重點,分級保護;統籌安排,分步實施;分級管理,責任到崗;資源優化,注重效益。
這個原則的制定主要是根據分布式企業的實際機構構成情況、人員素質情況以及資源配置情況來制定的。
2.2 總體規劃目標
信息系統安全規劃的方法可以不同、側重點可以不同,但是需要圍繞組織安全、管理安全、技術安全進行全面的考慮。信息系統安全規劃的最終效果應該體現在對信息系統與信息資源的安全保護上,下面將分別對組織規劃、管理規劃和技術規劃分別進行闡述。信息安全規劃依托企業信息化戰略規劃,對信息化戰略的實施起到保駕護航的作用。信息系統安全規劃的目標應該與企業信息化的目標是一致的,而且應該比企業信息化的目標更具體明確、更貼近安全。信息系統安全規劃的一切論述都要圍繞著這個目標展開和部署。
3 信息安全組織規劃
3.1 組織規劃目標
組織建設是信息安全建設的基本保證,信息安全組織的目標是:
1)完善和形成一個獨立的、完整的、動態的、開放的信息安全組織架構,達到國際國內標準的要求;
2)打造一支具有專業水準的、過硬本領的信息安全隊伍。對內可以保障企業內部網安全,對外可以向社會提供高品質的安全服務;
3)建設一個 “信息安全運維中心(SOC)”,能夠滿足當前和未來的業務發展及信息安全組織運轉的支撐系統,能夠對外提供安全服務平臺。
3.2 組織規劃實施
對于組織規劃這個方面,是屬于一個企業信息安全規劃的上層建筑,需要用一種由上而下的方法來實現,其主要是在具體人事機制、管理機制和培訓機制上做工作。對于分布式企業而言,需要主導部門從上層著手,建章立制,強化安全教育,加大基礎人力、財力和物力的投入。
4 信息安全管理規劃
4.1 管理規劃目標
信息安全管理規劃的目標是,完善和形成“七套信息安全軟措施”,具體包括:一套等級劃分指標,一套信息安全策略,一套信息安全制度,一套信息安全流程規范,一套信息安全教育培訓體系,一套信息安全風險監管機制,一套信息安全績效考核指標。“七套信息安全軟措施”關系如圖1所示。
4.2 信息安全管理設計
基于對管理目標的分析,信息安全管理的原則以風險管理為主,集中安全控制。管理要素由管理對象、安全威脅、脆弱性、風險、保護措施組成。
4.2.1 信息安全等級劃分指標
信息安全等級保護是國家在國民經濟和社會信息化的發展過程中,提高信息安全保障能力和水平,維護國家安全、社會穩定和公共利益,保障和促進信息化健康發展的基本策略。
4.2.2 信息安全策略
信息安全安全策略是關于保護對象說明、保護必要性描述、保護責任人、保護對策以及意外處理方法的總和。
4.2.3 信息安全制度
信息安全制度是指為信息資產的安全而制定的行為約束規則。
4.2.4 信息安全規范
信息安全規范是關于信息安全工作應達到的要求,在信息安全規范方面,根據調查,建立信息安全管理規范、信息安全技術規范。其中,安全管理規范主要針對人員、團隊、制度和資源管理提供參照性準則;信息安全技術規范主要針對安全設計、施工、維護和操作提供技術性指導建議。
4.2.5 信息安全管理流程
信息安全流程是指工作中應遵循的信息安全程序,其目的是減少安全隱患,降低風險。
4.2.6 信息安全績效考核指標
信息安全績效考核指標是指針對信息安全工作的質量和態度而給出的評價依據,其目的是增強信息安全責任意識,提高信息安全工作質量。
4.2.7 信息安全監管機制
信息安全監管機制是指有關信息安全風險的識別、分析和控制的措施總和。其主要目的加強信息安全風險的控制,做到“安全第一,預防為主”。
4.2.8 信息安全教育培訓體系
其主要目的加強的信息安全人才隊伍的建設,提高企業人員的信息安全意識和技能,增強企業信息安全能力。
5 信息安全技術規劃
5.1 技術規劃目標
信息安全技術規劃目標簡言之是:給業務運營提供信息安全環境,為企業轉型提供契機,構建信息安全服務支撐系統。具體目標如下:
1)打造信息安全基礎環境,調整和優化IT基礎設施,建立安全專網,設置兩個中心(信息安全運維中心、災備中心);
2)建立一體化信息安全平臺,綜合集成安全決策調度、安全巡檢、認證授權、安全防護、安全監控、安全審計、應急響應、安全服務、安全測試、安全培訓等功能,實現的集中安全管理控制,快速安全事件響應,高可信的安全防護,拓展企業業務,開辟信息安全服務新領域。
5.2 信息安全運維中心(SOC)
SOC 是信息安全體系建設的基礎性工作,SOC 承載用于監控第一生產網的安全專網核心基礎設施,提供信息安全中心技術人員的辦公場所,提供“7×24”小時連續不斷的安全應用服務,提供實時監控、遠程入侵發現、事件響應、安全更新與升級等業務,SOC 要求具有充分保障自身的安全措施。除了SOC 的組織建設、基礎工程外,SOC 的技術性工作還要做以下幾個方面:
1)硬件基礎建設,主要內容是SOC 的選址、布局、布線、系統集成,實現SOC 自身的防火、防潮、防電、防塵、安全監控功能;
2)軟件基礎建設,包括SSS 系統、機房監控子系統、功能小組及中心組劃分。
圖1 信息安全軟措施關系
圖2 信息安全總體框架
圖3 資產、組織、管理和安全措施的關系
5.3 信息安全綜合測試環境
隨著分布式企業信息化程度的日也加深,需要部署到大量IT 產品和應用系統,為了保障安全,必須對這些IT 系統和產品做入網前安全檢查,消除安全隱患。基于此,綜合測試環境建設的內容包括:安全測試網絡;測試系統設備;安全測試工具;安全測試分析系統;安全測試知識庫。
其中,安全測試網絡要求能夠模擬企業網絡真實的帶寬;測試系統設備能夠提供典型的網絡服務流量模擬、典型的應用系統流量模擬;安全測試工具覆蓋防范類、檢測類、評估類、應急恢復類、管理類等,并提供使用說明、漏洞掃描、應用安全分析;安全測試分析系統能夠提供統計分析、圖表展現功能;安全知識庫包含以下內容:漏洞知識庫,補丁信息庫,安全標準知識庫,威脅場景視頻庫,攻擊特征知識庫,信息安全解決案例庫,安全產品知識庫,安全概念和術語知識庫。
5.4 安全平臺建設規劃
參照國際上PDRR 模型和國家信息安全方面規范,建議信息安全總體框架設計如圖2所示。
主要目的,以資產為核心,通過安全組織實現資產保護,以安全管理來約束組織的行為,以技術手段輔助安全管理。其中,資產、組織、管理、安全措施的關系如圖3所示,核心為資產,圍繞資產是組織,組織是管理,最外層是安全措施。
在平臺中集成十個安全機制,它們分別是:信息安全集中管理;信息安全巡檢;信息安全認證授權;信息安全防護;信息安全監控;信息安全測試;信息安全審核;信息安全應急響應;信息安全教育培訓;信息安全服務。
6 信息安全服務業務規劃
6.1 服務業務規劃目標
信息安全服務業務規劃目標簡言之是:以信息安全服務為切入點,充分發揮企業優勢資源,引領信息安全市場,為企業轉型創造時機。具體目標如下:
1)推出面向客戶安全(檢查、教育、配置)產品;2)推出面向大型企業的信息安全咨詢產品;3)推出面向家庭安全上網產品;4)推出面向企業安全運維產品;5)推出面向企業災害恢復產品。
6.2 服務業務規劃設計
服務業務規劃主要針對具體業務而言,在此列舉信息類分布式企業業務作為示例:
1)信息安全咨詢類產品,其服務功能主要有:信息安全風險評估;信息安全規劃設計;信息安全產品顧問。
2)信息安全教育培訓類產品,其服務功能主要有:提供信息安全操作環境;提供信息安全知識教育;提供信息安全運維教育。
3)家庭類安全服務產品,其服務功能主要有:推出“家庭綠色上網”安全服務;家庭上網防病毒服務;家庭上網機器安全檢查服務;家庭上網機數據備份服務。
4)企業類安全服務產品,其服務功能主要有:企業安全上網控制服務;企業安全專網服務;安全信息通告;企業運維服務。
5)容災類安全服務產品,其服務功能主要有:面向政府數據災備服務;面向政府信息系統災備服務;面向企業數據災備服務;面向企業信息系統災備服務。
7 結束語
通過結合分布式企業的具體實際,按照信息安全體系結構相關標準,提出了分布式企業的信息安全規劃原則和目標。并依據次原則與目標,按照組織、管理和技術三個方面提出了具體的實現與設計規范原則。最后,依據服務規劃目標,提出了信息類分布式企業的信息安全服務規劃設計實例。
參考文獻:
[1] 周曉梅. 論企業信息安全體系的建立[J]. 網絡安全技術與應用,2006,3:62~64,57.
[2] Harold F. Tipton,Micki Krause. Information Security Management Handbook[M]. Fifth Edition.US:Auerbach Publications,2004.
[3] 魏永紅,李天智,張志. 網絡信息安全防御體系探討[J].河北省科學院學報,2006,23,(1):25~28.
[4] 張慶華. 信息網絡動態安全體系模型綜述[J].計算機應用研究,2002,10:5~7.
[5] ISO/IEC 15408,13335,15004,14598,信息技術安全評估的系列標準[S].
[6] BS7799-1,7799-2,ISO/IEC 17799,信息安全管理系列標準[S].
[7] BS7799-2,Information Security Management Systems-Specification With Guidance for use[S].
篇6
中圖分類號:F426.8 文獻標識碼:A
為貫徹落實《煙草企業安全生產標準化規范》,株洲市煙草專賣局結合實際,在充分調研的基礎上,對煙草商業企業安全生產標準化達標創建和安全生產信息化建設進行了有效探索。本文結合株洲煙草《煙草企業安全生產標準信息應用》項目研發成果,對煙草商業企業如何開展安全生產標準信息化建設進行闡述和分析。
一、開展安全生產標準信息化建設的意義
《煙草行業安全生產標準化規范》全面規范了煙草企業安全生產的開展方法、途徑和標準,為全行業規范安全生產工作、提升基礎建設水平,提供了管理和技術支撐。而加強《煙草行業安全生產標準化規范》的宣貫落地,是改善煙草企業安全設施和提高工藝水平,增強從業人員的安全生產標準化意識和規范安全生產行為,提升安全生產管理水平,防范生產安全事故,確保行業安全生產形勢持續穩定的重要舉措。
株洲煙草在建設過程中認識到安全生產標準化工作的重要性和緊迫性,在安全管理的基礎上,圍繞《煙草企業安全生產標準化規范》,組織開展標準的宣貫,制訂了適合本單位實際的建設方案,探索了一條與職業健康安全管理體系要求相結合、富有本企業特點、可操作性強、基層員工易于理解和接受的安全生產標準化宣貫途徑,其意義主要體現在:一是有利于推進煙草企業安全生產標準化規范的應用;二是有利于推動煙草商業企業安全生產信息化的建設;三是有利于提高煙草商業企業安全生產管理水平;四是有利于改善煙草商業企業安全生產管理現狀;五是有利于煙草商業企業預防安全風險和減少安全事故。
二、開展安全生產標準信息化建設的方法
根據株洲煙草的實際,開展安全生產標準信息化建設,主要從以下幾個方面入手:
(一)明確總體思路。
株洲煙草在建設過程中,明確了“一本手冊+一個信息系統”的總體思路。“一本手冊”就是通過建立一本《安全生產標準化操作手冊》來指導全市系統的安全生產標準化建設工作,滿足安全生產標準化基礎管理達標定級的要求,適用于本單位的安全生產基礎管理,使文本格式化、內容規范化、操作簡便化、記錄標準化、查詢方便化。“一個信息系統”就是通過建立一個《安全生產標準化信息系統》來管理全市系統的安全生產標準化評價、應急預案演練、安全教育培訓、安全設備設施臺帳等安全管理工作,滿足安全生產管理信息化建設的要求,適用于煙草商業企業的安全信息化管理,在基礎管理子系統中實現查閱、錄入、統計、審批等功能;標準化評價系統包括基礎管理規范、通用安全技術和現場規范、煙草商業企業安全技術和現場規范要求等三項內容,具有自評、復評、外評等三個功能。
(二)遵循設計原則。
開展安全生產標準信息化建設應遵循以下五個原則:一是開放性。在設計時考慮到功能的可擴展性與維護的方便性,使用的操作平臺類型,應用服務器、編程語言和數據庫,遵循了通用性和開放性,減少了后續功能增加和修改的難度,提高了后續服務的方便。二是先進性。采用目前國際上最先進的數據庫技術,ASP開發,sql server2000作為網站后臺數據庫,IIS5作為Application Server。這個組合在測試權威e-Week的測試中顯示具有最優性能。三是實用性。該系統以株洲煙草的安全需求為目標,以方便使用為原則,在吸取先進管理經驗的基礎上,量身定做,并在統一的用戶界面下提供各種實用功能,盡可能降低使用前的培訓和使用中的維護投入,提供前端網頁開發的無逢連接。四是安全性。充分考慮系統及數據資源的容災、備份、恢復的要求。為系統提供強大的數據庫備份工具。充分考慮系統的安全要求,信息管理責任到人。五是規范性。完全按照ISO9001的規范進行系統設計和開發,設計圖采用uml進行描述,開發的網站符合政府網站建設的整體要求。
(三)采用正確的方法。
《操作手冊》采用的編制方法:一是搜集整理資料;二是分析資料的實用價值;三是設計《操作手冊》的框架及目錄;四是編輯手冊內容;五是聘請安全高級評價師進行審核;六是在全市系統廣泛征求意見和建議;七是召開安委會進行評審;八是在全市系統試運行。
《信息系統》采用的開發方法:一是在全面分析需求的基礎上,搭建系統框架。具體如下圖:
二是與軟件開發單位聯合開發安全信息系統;三是明確安全信息系統的開發手段;四是分階段實施安全信息系統的開發。主要包括九個階段,即需求確認階段、總體設計階段、分項詳細設計階段、系統詳細開發計劃制訂階段、系統開發實施階段、集成階段、測試階段、鑒定驗收階段和系統投入使用和系統維護階段。
(四)解決好關鍵問題。
《操作手冊》主要解決好7個關鍵問題:一是組織機構的設置。組織機構設置應遵循精簡、高效、適用的原則,做到統一、規范、適合安全生產管理工作需要;二是安全管理制度的梳理和完善。應對已有的安全管理制度進行梳理,對未建立或者是與標準化規范有出入的管理制度進行完善補充,滿足標準化規范的全部要求;三是安全生產管理臺帳的設置。應制定統一、規范、適用的臺帳,滿足安全生產基礎管理需要,并符合標準化規范的要求;四是安全生產管理記錄的規范。主要是規范安全生產管理記錄的格式和保存方式;五是應急救援預案的編制。主要包括火災事故、機動車輛、卷煙倉儲、卷煙配送、專賣執法、煙葉生產、卷煙營銷等七個方面,要突出行業特色,充分發揮全行業的力量,做到應急救援資源共享;六是安全生產管理考核評價內容的細化。對安全生產標準化規范中的39項考核評價內容進行細化,結合標準化規范基礎和現場管理的具體要求,制定更加全面、更加詳細、更加具體的考核評價表;七是職業健康安全體系文件的搜集和完善。對煙草商業企業職業健康安全體系文件進行搜集和完善,形成一套覆蓋煙草商業企業各重點環節的體系文件。
《信息系統》主要是建設好“安全管理基本信息數據庫、信息數據統計和安全生產標準化級別評定”等三個子系統。其中:安全管理基本信息數據庫子系統主要是解決好功能設置、實用性及安全性的問題;信息數據統計子系統主要是解決好保密和分級授權查閱以及防止網絡入侵,保護信息安全的問題;安全生產標準化級別評定子系統主要是解決好在系統內實現卷煙商業企業安全生產標準化達標評級自動評分功能,實現企業自評和外部評審等兩級考核評分功能以及在企業自評過程中,能自動顯示本企業與標準化規范的差距,實現安全隱患整改跟蹤反饋功能等等。
篇7
信息化發展對于企業人員日常的管理,相比較原來舊的方法而言更方便快捷、更高效;對于企業的整體發展的影響,相比較原來用人來發現風險,信息化大數據管控更能提前預知風險并幫助企業更好地解決問題;對于企業組織結構和流程的影響,集成化的網絡信息系統是提高質效的一把利器。但現實使用中,企業的信息化進程存在安全度低、信息泄露嚴重和安全意識低等現象,導致企業和用戶損失大量人力物力,甚至受到巨大損失。由此可見,信息化建設對企業發展有著不可小覷的作用,能比原來的模式更有效處理問題、促進企業發展,是所有企業在發展過程中不可或缺的一個環節。
2.企業信息化建設中的網絡安全問題
2.1網絡安全意識不強
科學技術的不斷發展進步,對于企業發展的影響作用不言而喻,但是,相當一部分企業卻只看到益處卻忽略了“信息安全”的重要性。
近年來,在技術、社會和政府等多方面的努力下,企業的信息化建設發展速度加快,取得很大的進展,其重要作用毋庸置疑,各個企業都越來越重視信息化的進步。但在新聞報道中,經常見到有信息非法獲取、信息交易導致用戶信息泄露,這也是每個企業需要反思的問題。數據泄露、信息是否安全等問題并沒有引起所有企業的重視,嚴重的不僅會導致用戶信息泄露,如果發生企業數據庫被篡改、網絡系統崩潰等事件,給企業帶來的名譽和財產損失不可估量。
2.2技術水平不高
世界范圍內都存在一個不好處理的網絡難題———黑客。企業在信息化發展的過程中,免不了遇到技術問題,由于有關人員或團隊自身的水平不夠和相關方面的經驗的缺失,不可避免會存在某些漏洞和問題,這些漏洞和問題恰恰給了黑客絕佳的機會,讓他們有機會盜取信息。即使是市面上使用的各個“管家”與殺毒軟件也完全檢測不到,對企業的安全構成非常大的威脅。
2.3可使用的高水平軟件少
一方面是供研發企業使用的高水平軟件較少;另一方面是軟件安全度低,很多公司雖然看到信息化發展的好處,但卻貪圖低成本的小利益,花費小成本購買使用安全保護性低的工作軟件,結局只會帶來難以挽回的后果。
3.企業信息化建設提高網絡信息安全性的措施
3.1切實提高企業安全意識
科學技術的進步,促進企業重視信息安全,思考信息安全問題和公司發展之間不可分割的關系,因為信息泄露帶來損失還是小事,如果因此減少了企業競爭力,甚至阻礙了企業發展才是最可怕的結果。因此,企業應當提高安全意識,提前準備對策、制定應對突況的策略,防止信息泄露等潛在威脅,將威脅扼殺在搖籃之中。通過建立高技術水平的團隊,運用專業知識和工作經驗切實增強防火墻安全度,定期維護信息系統,從源頭的技術傳輸階段維護信息安全,建立完善的信息保護制度,以此來保護信息安全、促進企業發展。
3.2提高信息系統的管理水平
雖然現在大家都在普遍使用《金山毒霸》《騰訊管家》等安全防護軟件,但是這些軟件也不能保證絕對的安全。改革舊的風險評估模式,健全信息篩選管理安全體系,在一定程度上可以提高安全系統等級、減小信息被盜的風險,在信息系統建立過程中,及早發現風險并妥善處理對企業發展尤其重要。
3.3使用安全性高的軟件
篇8
1.企業信息系統安全防護的價值
隨著企業信息化水平的提高,企業對于IT系統的依賴性也越來越高。一方面,“業務系統流程化”正在成為IT安全建設的驅動力。企業的新業務應用正在逐漸標準化和流程化,各種應用系統如ERP、MES為企業的生產效率的提高起到了關鍵的作用。有效的管控IT環境,確保IT業務系統的持續穩定運行作為企業競爭力的一部分,已成為IT系統安全防護的主要目標和關鍵驅動力。另一方面,企業IT安全的建設也是“法規遵從”的需要。IT系統作為企業財務應用系統的重要支撐,必須提供可靠的運行保障和數據正確性保證。
2.企業信息系統安全建設的現狀分析
在企業信息化建設的過程中,業務系統的建設一直是關注的重點,但是IT業務系統的安全保障方面,往往成為整個信息化最薄弱的環節,尤其是在信息化水平還較低的情況下,IT系統的安全建設缺乏統一的策略作為指導。歸結起來,企業在IT系統安全建設的過程中,存在以下幾方面的不足:
2.1 安全危機意識不足,制度和規范不健全
盡管知道IT安全事故后果比較嚴重,但是企業的高層領導心中仍然存在著僥幸心理,更多的時候把IT安全建設的預算挪用到其他的領域。企業在信息安全制度及信息安全緊急事件響應流程等方面缺乏完整的制度和規范保證,由此帶來的后果是諸如對網絡的任意使用,導致公司的機密文檔被擴散。同時在發生網絡安全問題的時候,也因為缺乏預先設置的各種應急防護措施,導致安全風險得不到有效控制。
2.2 應用系統和安全建設相分離,忽視數據安全存儲建設
在企業IT應用系統的建設時期,由于所屬的建設職能部門的不同,或者是因為投資預算的限制,導致在應用系統建設階段并沒有充分考慮到安全防護的需要,為后續的應用系統受到攻擊癱瘓埋下了隱患。數據安全的威脅表現在核心數據的丟失;各種自然災難、IT系統故障,也對數據安全帶來了巨大沖擊。遺憾的是很多企業在數據的安全存儲方面,并沒有意識到同城異地災難備份或遠程災難備份的重要性。
2.3 缺乏整體的安全防護體系,“簡單疊加、七國八制”
對于信息安全系統的建設,“頭痛醫頭、腳痛醫腳”的現象比較普遍。大多數企業仍然停留在出現一個安全事故后再去解決一個安全隱患的階段,缺乏對信息安全的全盤考慮和統一規劃,這樣的后果就是網絡上的設備五花八門,設備方案之間各自為戰,缺乏相互關聯,從而導致了多種問題。
3.企業信息系統安全建設規劃的原則
企業的信息化安全建設的目標是要保證業務系統的正常運轉從而為企業帶來價值,在設計高水平的安全防護體系時應該遵循以下幾個原則:
(1)統一規劃設計。信息安全建設,需要遵循“統一規劃、統一標準、統一設計、統一建設”的原則;應用系統的建設要和信息安全的防護要求統一考慮。
(2)架構先進,突出防護重點。要采用先進的架構,選擇成熟的主流產品和符合技術發展趨勢的產品;明確信息安全建設的重點,重點保護基礎網絡安全及關鍵應用系統的安全,對不同的安全威脅進行有針對性的方案建設。
(3)技術和管理并重,注重系統間的協同防護。“三分技術,七分管理”,合理劃分技術和管理的界面,從組織與流程、制度與人員、場地與環境、網絡與系統、數據與應用等多方面著手,在系統設計、建設和運維的多環節進行綜合協同防范。
(4)統一安全管理,考慮合規性要求。建設集中的安全管理平臺,統一處理各種安全事件,實現安全預警和及時響應;基于安全管理平臺,輸出各種合規性要求的報告,為企業的信息安全策略制定提供參考。
(5)高可靠、可擴展的建設原則。這是任何網絡安全建設的必備要求,是業務連續性的需要,是滿足企業發展擴容的需要。
4.企業信息系統安全建設的部署建議
以ISO27001等企業信息安全法規[1]遵從的原則為基礎,通過分析企業信息安全面臨的風險和前期的部署實踐,建立企業信息安全建設模型,如圖1所示。
圖1 企業信息系統安全建設模型
基于上述企業信息安全建設模型,在建設終端安全、網絡安全、應用安全、數據安全、統一安全管理和滿足法規遵從的全面安全防護體系時,需要重點關注以下幾個方面的部署建議:
4.1 實施終端安全,關注完整的用戶行為關聯分析
在企業關注的安全事件中,信息泄漏是屬于危害比較嚴重的行為。現階段由于企業對網絡的管控不嚴,員工可以通過很多方式實現信息外泄,常見的方式有通過桌面終端的存儲介質進行拷貝或是通過QQ/MSN等聊天工具將文件進行上傳等。針對這些高危的行為,企業在建設信息安全防護體系的時候,單純的進行桌面安全控制或者internet上網行為控制都不能完全杜絕這種行為。而在統一規劃實施的安全防護體系中,系統從用戶接入的那一時刻開始,就對用戶的桌面行為進行監控,同時配合internet上網行為審計設備,對該員工的上網行為進行監控和審計,真正做到從員工接入網絡開始的各種操作行為及上網行為都在嚴密的監控之中,提升企業的防護水平。
4.2 建設綜合的VPN接入平臺
無論是IPSec、L2TP,還是SSL VPN,都是企業在VPN建設過程中必然會遇到的需求。當前階段,總部與分支節點的接入方式有廣域網專線接入和通過internet接入兩種。使用VPN進行加密數據傳輸是通用的選擇。對于部分移動用戶接入,也可以考慮部署SSL VPN的接入方式[2],在這種情況下,如何做好將多種VPN類型客戶的認證方式統一是需要重點考慮的問題。而統一接入認證的方式,如采用USBKEY等,甚至在設備采購時就可以預先要求設備商使用一臺設備同時支持這些需求。這將給管理員的日常維護帶來極大的方便,從而提升企業整體的VPN接入水平。
4.3 優化安全域的隔離和控制,實現L2~L7層的安全防護
在建設安全邊界防護控制過程中,面對企業的多個業務部門和分支機構,合理的安全域劃分將是關鍵。按照安全域的劃分原則,企業網絡包括內部園區網絡、Internet邊界、DMZ、數據中心、廣域網分支、網管中心等組成部分,各安全域之間的相互隔離和訪問策略是防止安全風險的重要環節。在多樣化安全域劃分的基礎上,深入分析各安全域內的業務單元,根據企業持續性運行的高低優先級以及面臨風險的嚴重程度,設定合適的域內安全防護策略及安全域之間的訪問控制策略,實現有針對性的安全防護。例如,選擇FW+IPS等設備進行深層次的安全防護,或者提供防垃圾郵件、Web訪問控制等解決方案進行應對,真正實現L2~L7層的安全防護。
4.4 強調網絡和安全方案之間的耦合聯動,實現網絡安全由被動防御到主動防御的轉變
統一規劃的技術方案,可以做到方案之間的有效關聯,實現設備之間的安全聯動。在實際部署過程中,在接入用戶側部署端點準入解決方案,實現客戶端點安全接入網絡。同時啟動安全聯動的特性,一旦安全設備檢測到內部網用戶正在對網絡的服務器進行攻擊,可以實現對攻擊者接入位置的有效定位,并采取類似關閉接入交換機端口的動作響應,真正實現從被動防御向主動防御的轉變。
4.5 實現統一的安全管理,體現對整個網安全事件的“可視、可控和可管”
統一建設的安全防護系統,還有一個最為重要的優勢,就是能實現對全網安全設備及安全事件的統一管理。面對各種安全設備發出來的大量的安全日志,單純靠管理員的人工操作是無能為力的,而不同廠商之間的安全日志可能還存在較大的差異,難以實現對全網安全事件的統一分析和報警管理。因此在規劃之初,就需要考慮到各種安全設備之間的日志格式的統一化,需要考慮設定相關安全策略以實現對日志的歸并分析并最終輸出各種合規性的報表,只有這樣才能做到對全網安全事件的統一可視、安全設備的統一批量配置下發,以及整網安全設備的防控策略的統一管理,最終實現安全運行中心管控平臺的建設。[3]
4.6 關注數據存儲安全,強調本地數據保護和遠程災難備份相結合
在整體數據安全防護策略中,可以采用本地數據保護和遠程災備相結合的方式。基于CDP的數據連續保護技術可以很好地解決數據本地安全防護的問題,與磁帶庫相比,它具有很多的技術優勢。在數據庫的配合下,通過連續數據快照功能實現了對重要數據的連續數據保護,用戶可以選擇在出現災難后恢復到前面保存過的任何時間點的狀態,同時支持對“漸變式災難”的保護和恢復。在建設異地的災備中心時,可以考慮從數據級災備和應用級災備兩個層面進行。生產中心和異地災備中心的網絡連接方式可以靈活選擇,即可采用光纖直連,也可采用足夠帶寬的IP網絡連接。在數據同步方式選擇上,生產中心和災備中心采用基于磁盤陣列的異步復制技術,實現數據的異地災備。異地災備中心還可以有選擇地部署部分關鍵應用服務器,以提供對關鍵業務的應用級接管能力,從而實現對數據安全的有效防護。
5.結束語
企業信息安全防護體系的建設是一個長期的持續的工作,不是一蹴而就的,就像現階段的信息安全威脅也在不斷的發展和更新,針對這些信息安全威脅的防護手段也需要逐步的更新并應用到企業的信息安全建設之中,這種動態的過程將使得企業的信息安全防護更有生命力和主動性,真正為企業的業務永續運行提供保障。
參考文獻
[1]李納.計算機系統安全與計算機網絡安全淺析[J].科技與企業,2013.
篇9
二、健全法律法規
加強法律法規的完善性,保證數字化檔案信息安全管理工作的規范執行。在該執行期間,需要從法律法規角度對其進行研究,基于信息化時展需要,為民營企業的檔案信息安全管理工作營造良好的發展氛圍。執行過程中,需要根據信息化發展要求、檔案信息的主要特征,為其制定完善的法律法規。在該體系執行時,不僅能加強民營企業數字化檔案信息管理工作的?范化,實現信息的開放性發展,還能保證民營企業檔案信息完整、真實使用。在現代化發展背景下,民營企業面臨較大的挑戰,為了提高檔案信息管理能力,還需要建立完善的管理制度,分析數字化檔案信息安全管理工作中存在的一些影響因素,保證制度的有效執行,保證在具體實施工作中,能夠將安全理念滲透到企業檔案信息管理工作中去。在實施工作中,還要為數字化檔案信息管理工作提供備份制度,其中,需要包括登記、異地使用制度等。不僅如此,還要促進數字化檔案開放工作的執行期間,保證能夠開放一些信息。還需要為檔案信息的數字化管理建立維護制度,促進管理工作流程的規范發展,保證工作中各個環節的人員職責都能充分落實,實現任務分布明確,職責合理等,在不同崗位上,遵循不同的工作事項和流程,這樣才能使檔案信息管理工作符合新時期的發展要求,維持民營企業的健康進步。
三、利用先進手段
在民營企業不斷進步與發展的背景下,為了提升數字化檔案信息安全管理水平,需要引進先進執行手段。先進手段的引入能夠為民營企業的檔案信息管理工作提供有效保障,在內部管理工作中,需要相關部門根據自身的發展條件,借鑒一些成功經歷,引入有效的數字化檔案信息安全軟件,促進信息安全設備的有效配置,保證企業在數字化檔案管理工作中,提高其中的技術含量。不僅如此,在具體執行期間,還需要根據企業建立的數字化管理系統化,分析運行的實際情況,對計算機的硬件和軟件進行優化選擇,提高其使用性能。在對計算機軟件與硬件進行選擇過程中,要重視計算機的品牌和服務器,以全方位的角度對計算機硬件的兼容性、可擴展性進行思考、嚴格審核,在該工作中,不僅能避免產生數據丟失現象,還能實現計算機系統的優化升級。并且,還需要為其設置信息訪問認證工作,開發防病毒軟件,為數字化檔案信息執行加密工作,這樣不僅能防止數據信息被非法侵入,還能促進數字化檔案信息的安全管理。
四、提高人員素質
篇10
【中圖分類號】TU714 【文獻標識碼】A 【文章編號】1672—5158(2012)08—0255-02
0.引言
隨著信息技術的不斷發展以及市場競爭的不斷激烈,企業信息安全建設已經成為提高企業競爭力的重要途徑,杜絕信息泄露可以避免巨大的經濟損失。雖然大多數企業在信息安全管理方面采取了較多的措施,但是信息安全問題仍然頻發,對于企業的經營活動帶來巨大的損失。加強企業內部的計算機管理,提高對于信息安全的認識程度,保證信息數據庫的安全,避免信息泄露的發生已經成為現階段企業信息化建設亟待解決的管理問題。
1.企業信息化建設信息安全影響因素分析
(1)信息系統實體安全。信息實體主要包括用于企業信息化建設的計算機、網絡連接、服務器等媒介硬件設施,對于信息實體安全影響因素主要包括火災、水災、失竊或者是其他事故造成設備硬件的損壞,從而造成企業信息庫數據安全出現問題。
(2)信息系統運行安全。信息系統的安全是指為了保證企業信息數據庫的安全,采取各種措施對系統運行進行安全保護。由于信息數據庫有可能受到非授權的訪問、泄露、數據纂改或者是被其他非法程序控制的威脅,因此確保信息系統運行安全主要是保證信息數據庫的完整、保密以及時時可用性。
(3)信息系統管理人員安全責任意識。管理人員在日常工作中的安全管理意識、專業操作水平以及法律意識等均會對企業信息數據的安全產生影響。信息安全管理人員的日常管理工作責任心以及工作方式方法,對于保證信息數據庫的安全十分重要。
2.企業信息安全管理問題分析
目前由于管理制度以及軟硬件設施等一系列的問題,企業數據庫破壞以及重要數據信息泄漏的現象時有發生,嚴重影響了企業的正常生產經營活動,通過分析發現影響企業信息化建設信息安全的問題主要由以下幾方面:
(1)企業內部移動存儲設備管理疏松,缺乏安全保密管理制度。由于許多企業在日常管理過程中,移動存儲設備使用較多,員工可以隨意對企業內部的各種信息資料進行備份,企業用于經營活動的客戶信息、產品設計、財務管理等各項信息極易造成泄漏,帶來巨大的信息安全損失。部分企業由于對于信息安全管理認識程度不足,企業內部信息安全管理缺乏必要的規章制度,安全管理職責權限不清,信息安全漏洞較多。
(2)對于內部信息共享控制不嚴格,信息安全管理權限混亂。由于企業在生產經營過程中為了提高生產經營效率以及加強企業內部各部門之間的溝通聯系,對于一些設計企業銷售計劃、客戶信息以及生產計劃等文件采取共享的措施,因此企業員工的流動或者其他管理不當均會造成企業信息的泄露。
(3)信息權限管理混亂,企業的中介服務體系穩定性較差。對于加密的授權訪問,權限管理則成為保護企業信息安全的重要因素。但是由于企業在信息安全管理過程中體系混亂,操作權限不清晰導致經常出現影響信息安全的非授權訪問。而且對于部分中小企業由于信息化建設采取對外委托的方式,而中介第三方由于穩定性難以保證,隨時更換或者退出的第三方極易造成企業有價值信息的泄漏,影響企業信息安全建設。
(4)信息管理安全防范體系不健全,缺乏針對信息安全管理的專業技術人才。雖然部分企業已經認識到信息化管理的重要性,并在企業網絡內設置了必要的安全設備。但是缺乏一系列的安全管理機制,在信息安全管理方面缺乏行之有效的整體規劃與具體落實措施。此外,由于大部分企業在信息安全管理工作中將重點放在軟硬件設施上,而忽略了對于信息安全技術人員的培養,而且為了減少人力資源支出成本,信息安全管理人員少工作任務重,管理權限集中化程度高,影響了信息化建設的安全管理。
3.企業信息建設信息安全管理措施
(1)加強對于信息庫硬件設備的保護管理。首先應保證計算機等硬件設備具有安全的工作環境,做好計算機設備的防火、防潮、防盜措施,并避免強磁環境對信息數據可能造成的損壞。其次,在對各種硬件設備進行檢修時,硬組織企業內部相關技術人員進行監督管理,對于需要外送檢修的設備,則應提前進行數據加密處理。
(2)提高企業內部的信息安全管理意識。企業信息安全管理對于提高企業競爭力,避免企業經濟損失具有重要的意義。在企業的正常管理過程中,加強信息安全宣傳工作,使員工充分認識到企業信息安全管理的重要性,并熟悉企業相關信息數據保密的規則制度,提高企業的整體信息安全防范水平。
(3)加強信息安全操作管理人員的管理。在企業信息日常管理過程中,應加強對于業務操作以及數據存取控制代碼的管理。系統管理操作代碼的獲得應經過企業管理者授權,系統管理人員在進行企業相關信息數據庫的整理以及維護過程中,必須通過授權進行。系統管理人員離開工作崗位后,相關責任人應及時更換管理員操作代碼。
(4)加強企業信息數據庫的密碼與權限管理。對于涉及到企業信息數據庫安全的密碼,應分別設置用戶密碼以及操作密碼,并提高密碼的安全程度,及時定期更換登陸操作密碼。對于組成企業內部局域網絡的服務器、路由器等設施的設置管理工作,應嚴格按照相關管理規定進行設置。
(5)明確企業信息數據庫管理制度。對于企業重要的數據應存放備份數據,并采取異地存放的方式對備份數據庫進行管理。對于廢棄或者需要銷毀的數據信息,應嚴格依照程序采取逐級審批的方式,避免數據信息的泄露。需要進行數據恢復工作時,應嚴格按照相關技術手冊,并對恢復的數據進行驗證確認數據的完整可用。
(6)加強企業信息數據機房的管理。相關人員出入信息數據庫機房進行數據查閱以及提取工作時,應經由相關主管人員的授權,并登記進入。在日常管理過程中,定期對硬件設備進行保養,同時研究違章操作在信息數據機房安裝外部其他軟件。
參考文獻
