摘要:該文對企業信息安全所面臨的風險進行了深入探討,並提出了對應的解決安全問題的思路和方法。
關鍵詞:信息安全 風險防範
隨著計算機信息化建設的飛速發展而信息系統在企業中所處的地位越來越重要。信息安全隨著信息技術的不斷發展而演變,其重要性日益越來越明顯,信息安全所包含的內容、範圍也不斷的變化。信息安全有三個中心目標。保密性:保證非授權操作不能獲取受保護的信息或計算機資源。完整性:保證非授權操作小能修改數據。有效性:保證非授權操作不能破壞信息或計算機資源。信息安全的重點放在了保護信息,確保信息在存儲,處理,傳輸過程中及信息系統不被破壞,確保對合法用戶的服務和限制非授權用戶的服務,以及必要的防禦攻擊的措施。
1 企業信息安全風險分析
計算機信息系統在企業的生產、經營管理等方面發揮的作用越來越重要,如果這些信息系統及網絡系統遭到破壞,造成數據損壞,信息泄漏,不能正常運行等問題,則將對企業的生產管理以及經濟效益等造成不可估量的損失,信啟、技術在提高生產效率和管理水平的同時,也帶來了不同以往的安全風險和問題。
信息安全風險和信息化應用情況密切相關,和採用的信息技術也密切相關,公司信息系統面臨的主要風險存在於如下幾個方面。
計算機病毒的威脅:在業信息安全問題中,計算機病毒發生的頻率高,影響的面寬,並且造成的破壞和損失也列在所有安全威脅之首。病毒感染造成網絡通信阻塞,系統數據和文件系統破壞,系統無法提供服務甚至破壞後無法恢復,特別是系統中多年積累的重要數據的丟失,損失是災難性的。
在目前的區域網建成,廣域網聯通的條件下,計算機病毒的傳播更加迅速,單台計算機感染病毒,在短時間內可以感染到通過網絡聯通的所有的計算機系統。病毒傳播速度,感染和破壞規模與網絡尚未聯通之時相比,高出幾個數量級。
網絡安全問題:企業網絡的聯通為信息傳遞提供了方便的途徑。業有許多應用系統如:辦公自動化系統,營銷系統,電子商務系統,ERP,CRM,遠程教育培訓系統等,通過廣域網傳遞數據。目前大部分企業都採用光纖的方式連接到網際網路運營商,企業內部職工可以通過網際網路方便地瀏覽網絡查閱、獲取信息,即時聊天、發送電子郵件等。
如何加強網絡的安全防護,保護企業內部網上的信息系統和信息資源的安全,保證對信息網絡的合法使用,是目前一個熱門的安全課題,也是當前企業面臨的一個非常突出的安全問題。
信息傳遞的安全不容忽視:隨著辦公自動化,財務管理系統,各個企業相關業務系統等生產,經營方面的重要系統投入在線運行,越來越多的重要數據和機密信息都通過企業的內部區域網來傳輸。
網絡中傳輸的這些信息面臨著各種安全風險,例如被非法用戶截取從而泄露企業機密;被非法篡改,造成數據混亂,信息錯誤從而造成工作失誤。
用戶身份認證和信息系統的訪問控制急需加強:企業中的信息系統一般為特定範圍的用戶使用,信息系統中包含的信息和數據,也只對一定範圍的用戶開放,沒有得到授權的用戶不能訪問。為此各個信息系統中都設計r用戶管理功能,在系統中建立用戶,設置權限,管理和控制用戶對信息系統的訪問。這些措施在一定能夠程度上加強系統的安全性。但在實際應用中仍然存在一些問題。
一是部分應用系統的用戶權限管理功能過於簡單,能靈活實現更細的權限控制。二是各應用系統沒有一個統一的用戶管理,企業的一個員工要使用到好幾個系統時,在每個應用系統中都要建立用戶賬號,口令和設置權限,用戶自己都記不住眾多的賬號和口令,使用起來非常不方便,更不用說賬號的有效管理和安全了。
如何為各應用系統提供統一的用戶管理和身份認證服務,是我們開發建設應用系統時必須考慮的一個共性的安全問題。
2 解決信息安全問題的基本原則
企業要建立完整的信息安全防護體系,必須根據企業實際情況,,結合信息系統建設和應用的步伐,統籌規劃,分步實施。
2.1做好安全風險的評估
進行安全系統的建設,首先必須全面進行信息安全風險評估,找出問題,確定需求,制定策略,再來實施,實施完成後還要定期評估和改進。
信息安全系統建設著重點在安全和穩定,應儘量採用成熟的技術和產品,不能過分求全求新。
培養信息安全專門人才和加強信息安全管理工作必須與信息安全防護系統建設同步進行,才能真正發揮信息安全防護系統和設備的作用。
2.2採用信息安全新技術,建立信息安全防護體系
企業信息安全面臨的問題很多,我們可以根據安全需求的輕重緩急,解決相關安全問題的信息安全技術的成熟度綜合考慮,分步實施。技術成熟的,能快速見效的安全系統先實施。
2.3根據信息安全策略,出台管理制度,提高安全管理水平
信息安全的管理包括了法律法規的規定,責任的分化,策略的規劃,政策的制訂,流程的製作,操作的審議等等。雖然信息安全「七分管理,三分技術」的說法不是很精確,但管理的作用可見一斑。
3 解決信息安全問題的思路和方法企業的信息安傘管理要從以下幾個方面人手,相輔相成、互相配合。
3.1從技術手段入手保證網絡的安全
網絡安全指由於網絡信息系統基於網絡運行和網絡問的互聯互通造成的物理線路和連接的安全、網絡系統安全、作業系統安全、應用服務安全、人員管理安全幾個方面。網絡由於其本身開放性所帶來的各個方面的安全問題是事實存在的。我們在正視這一事實的基礎上,在承認不可能有絕對安全的網絡系統的前提下,努力探討如何加強網絡安全防範性能,如何通過安全系列軟體、硬體及相關管理手段提高網絡信息系統的安全性能,降低安全風險,及時準確地掌握網絡信息系統的安全問題及薄弱環節,及早發現安全漏洞、攻擊行為井針對性地做出預防處理。
在攻擊發生過程中,儘早發現,及時阻斷。在攻擊發十後,儘快恢復並找出原因。
保證網絡安全的技術於段包括:過濾、信息分析臨控、安全管理、掃描評估、入侵偵測、實時響應、防病毒保護、存取控制等。其措施有:網絡互聯級防火牆、網絡隔離級防火牆、網絡安全漏洞掃描評估系統、作業系統安全漏洞掃描評估系統、信息流捕獲分析系統、安全實時監控系統、入侵偵洲與實時響應系統、網絡病毒防護系統、強力存取控制系統等。信息安全指數據的保密性、完整性、真實性、可用性、不町否認性及可控性等安全,技術手段包括加密、數字簽名、身份認證、安全協議(set、ss1)及ca機制等。文化安全主要指有害信息的傳播對我國的政治制度及文化傳統的威脅,主要表現在輿論宣傳方面。主要柯:黃色、反動信息泛濫,敵對的意識形態信息湧入,瓦聯網被利用作為串聯工具等。其技術手段包括:信息過濾、設置網關、監測、控管等,同時要強有力的管理措施配合,才可取得良好的效果。
3.2建立、健全企業息安全管理制度
任何一個信息系統的安全,
關鍵詞:信息安全 風險防範
隨著計算機信息化建設的飛速發展而信息系統在企業中所處的地位越來越重要。信息安全隨著信息技術的不斷發展而演變,其重要性日益越來越明顯,信息安全所包含的內容、範圍也不斷的變化。信息安全有三個中心目標。保密性:保證非授權操作不能獲取受保護的信息或計算機資源。完整性:保證非授權操作小能修改數據。有效性:保證非授權操作不能破壞信息或計算機資源。信息安全的重點放在了保護信息,確保信息在存儲,處理,傳輸過程中及信息系統不被破壞,確保對合法用戶的服務和限制非授權用戶的服務,以及必要的防禦攻擊的措施。
1 企業信息安全風險分析
計算機信息系統在企業的生產、經營管理等方面發揮的作用越來越重要,如果這些信息系統及網絡系統遭到破壞,造成數據損壞,信息泄漏,不能正常運行等問題,則將對企業的生產管理以及經濟效益等造成不可估量的損失,信啟、技術在提高生產效率和管理水平的同時,也帶來了不同以往的安全風險和問題。
信息安全風險和信息化應用情況密切相關,和採用的信息技術也密切相關,公司信息系統面臨的主要風險存在於如下幾個方面。
計算機病毒的威脅:在業信息安全問題中,計算機病毒發生的頻率高,影響的面寬,並且造成的破壞和損失也列在所有安全威脅之首。病毒感染造成網絡通信阻塞,系統數據和文件系統破壞,系統無法提供服務甚至破壞後無法恢復,特別是系統中多年積累的重要數據的丟失,損失是災難性的。
在目前的區域網建成,廣域網聯通的條件下,計算機病毒的傳播更加迅速,單台計算機感染病毒,在短時間內可以感染到通過網絡聯通的所有的計算機系統。病毒傳播速度,感染和破壞規模與網絡尚未聯通之時相比,高出幾個數量級。
網絡安全問題:企業網絡的聯通為信息傳遞提供了方便的途徑。業有許多應用系統如:辦公自動化系統,營銷系統,電子商務系統,ERP,CRM,遠程教育培訓系統等,通過廣域網傳遞數據。目前大部分企業都採用光纖的方式連接到網際網路運營商,企業內部職工可以通過網際網路方便地瀏覽網絡查閱、獲取信息,即時聊天、發送電子郵件等。
如何加強網絡的安全防護,保護企業內部網上的信息系統和信息資源的安全,保證對信息網絡的合法使用,是目前一個熱門的安全課題,也是當前企業面臨的一個非常突出的安全問題。
信息傳遞的安全不容忽視:隨著辦公自動化,財務管理系統,各個企業相關業務系統等生產,經營方面的重要系統投入在線運行,越來越多的重要數據和機密信息都通過企業的內部區域網來傳輸。
網絡中傳輸的這些信息面臨著各種安全風險,例如被非法用戶截取從而泄露企業機密;被非法篡改,造成數據混亂,信息錯誤從而造成工作失誤。
用戶身份認證和信息系統的訪問控制急需加強:企業中的信息系統一般為特定範圍的用戶使用,信息系統中包含的信息和數據,也只對一定範圍的用戶開放,沒有得到授權的用戶不能訪問。為此各個信息系統中都設計r用戶管理功能,在系統中建立用戶,設置權限,管理和控制用戶對信息系統的訪問。這些措施在一定能夠程度上加強系統的安全性。但在實際應用中仍然存在一些問題。
一是部分應用系統的用戶權限管理功能過於簡單,能靈活實現更細的權限控制。二是各應用系統沒有一個統一的用戶管理,企業的一個員工要使用到好幾個系統時,在每個應用系統中都要建立用戶賬號,口令和設置權限,用戶自己都記不住眾多的賬號和口令,使用起來非常不方便,更不用說賬號的有效管理和安全了。
如何為各應用系統提供統一的用戶管理和身份認證服務,是我們開發建設應用系統時必須考慮的一個共性的安全問題。
2 解決信息安全問題的基本原則
企業要建立完整的信息安全防護體系,必須根據企業實際情況,,結合信息系統建設和應用的步伐,統籌規劃,分步實施。
2.1做好安全風險的評估
進行安全系統的建設,首先必須全面進行信息安全風險評估,找出問題,確定需求,制定策略,再來實施,實施完成後還要定期評估和改進。
信息安全系統建設著重點在安全和穩定,應儘量採用成熟的技術和產品,不能過分求全求新。
培養信息安全專門人才和加強信息安全管理工作必須與信息安全防護系統建設同步進行,才能真正發揮信息安全防護系統和設備的作用。
2.2採用信息安全新技術,建立信息安全防護體系
企業信息安全面臨的問題很多,我們可以根據安全需求的輕重緩急,解決相關安全問題的信息安全技術的成熟度綜合考慮,分步實施。技術成熟的,能快速見效的安全系統先實施。
2.3根據信息安全策略,出台管理制度,提高安全管理水平
信息安全的管理包括了法律法規的規定,責任的分化,策略的規劃,政策的制訂,流程的製作,操作的審議等等。雖然信息安全「七分管理,三分技術」的說法不是很精確,但管理的作用可見一斑。
3 解決信息安全問題的思路和方法企業的信息安傘管理要從以下幾個方面人手,相輔相成、互相配合。
3.1從技術手段入手保證網絡的安全
網絡安全指由於網絡信息系統基於網絡運行和網絡問的互聯互通造成的物理線路和連接的安全、網絡系統安全、作業系統安全、應用服務安全、人員管理安全幾個方面。網絡由於其本身開放性所帶來的各個方面的安全問題是事實存在的。我們在正視這一事實的基礎上,在承認不可能有絕對安全的網絡系統的前提下,努力探討如何加強網絡安全防範性能,如何通過安全系列軟體、硬體及相關管理手段提高網絡信息系統的安全性能,降低安全風險,及時準確地掌握網絡信息系統的安全問題及薄弱環節,及早發現安全漏洞、攻擊行為井針對性地做出預防處理。
在攻擊發生過程中,儘早發現,及時阻斷。在攻擊發十後,儘快恢復並找出原因。
保證網絡安全的技術於段包括:過濾、信息分析臨控、安全管理、掃描評估、入侵偵測、實時響應、防病毒保護、存取控制等。其措施有:網絡互聯級防火牆、網絡隔離級防火牆、網絡安全漏洞掃描評估系統、作業系統安全漏洞掃描評估系統、信息流捕獲分析系統、安全實時監控系統、入侵偵洲與實時響應系統、網絡病毒防護系統、強力存取控制系統等。信息安全指數據的保密性、完整性、真實性、可用性、不町否認性及可控性等安全,技術手段包括加密、數字簽名、身份認證、安全協議(set、ss1)及ca機制等。文化安全主要指有害信息的傳播對我國的政治制度及文化傳統的威脅,主要表現在輿論宣傳方面。主要柯:黃色、反動信息泛濫,敵對的意識形態信息湧入,瓦聯網被利用作為串聯工具等。其技術手段包括:信息過濾、設置網關、監測、控管等,同時要強有力的管理措施配合,才可取得良好的效果。
3.2建立、健全企業息安全管理制度
任何一個信息系統的安全,
收藏