公務(wù)員期刊網(wǎng) 精選范文 企業(yè)信息安全保障范文

企業(yè)信息安全保障精選(九篇)

前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的企業(yè)信息安全保障主題范文,僅供參考,歡迎閱讀并收藏。

企業(yè)信息安全保障

第1篇:企業(yè)信息安全保障范文

 

1 信息環(huán)境下的企業(yè)管理路徑

 

1.1 完善管理信息化建設(shè)體制

 

企業(yè)要加快管理信息系統(tǒng)建設(shè),規(guī)范信息化標(biāo)準(zhǔn)體系,提高管理的信息化水平。首先,企業(yè)要成立信息化管理部門,負(fù)責(zé)企業(yè)信息化建設(shè)項(xiàng)目的全面推進(jìn),并且結(jié)合企業(yè)信息環(huán)境和管理需求制定信息化工作管理制度、專項(xiàng)經(jīng)費(fèi)管理制度、信息化工作考核制度等,保障信息系統(tǒng)建設(shè)制度化開展。其次,明確管理信息系統(tǒng)建設(shè)重點(diǎn),如生產(chǎn)指揮調(diào)度管理系統(tǒng)、資金管理系統(tǒng)、會計(jì)核算系統(tǒng)、移動辦公系統(tǒng)、物資采購管理系統(tǒng)等,提高企業(yè)對各項(xiàng)經(jīng)營活動的管控能力。最后,建立信息化標(biāo)準(zhǔn)體系,包括技術(shù)支撐、基礎(chǔ)建設(shè)、安全保障、業(yè)務(wù)應(yīng)用等方面的標(biāo)準(zhǔn),從而確保企業(yè)管理信息系統(tǒng)建設(shè)項(xiàng)目的質(zhì)量。

 

1.2 建設(shè)企業(yè)ERP系統(tǒng)

 

企業(yè)要結(jié)合經(jīng)營管理實(shí)際情況,引入ERP系統(tǒng),從供應(yīng)鏈管理層面推動物流、資金流與信息流的有機(jī)整合,提高企業(yè)集成化、信息化管理水平,提升企業(yè)供應(yīng)鏈運(yùn)作效率。在ERP系統(tǒng)的支持下,企業(yè)要實(shí)現(xiàn)財(cái)務(wù)業(yè)務(wù)一體化管理,完善財(cái)務(wù)管理系統(tǒng)功能,促使業(yè)務(wù)產(chǎn)生的信息實(shí)時(shí)傳遞到財(cái)務(wù)部門進(jìn)行處理,同時(shí)也將財(cái)務(wù)信息、財(cái)務(wù)報(bào)告及時(shí)提供給企業(yè)管理層進(jìn)行查閱,并將其作為企業(yè)經(jīng)營決策的可靠依據(jù)。

 

1.3 優(yōu)化人力資源信息化管理

 

在信息環(huán)境下,為進(jìn)一步提升企業(yè)的管理水平,應(yīng)當(dāng)在現(xiàn)有的基礎(chǔ)上,對人力資源信息化管理進(jìn)行優(yōu)化。首先,企業(yè)應(yīng)當(dāng)建立起一個(gè)相對完善的且包含績效考核、員工培訓(xùn)、人才能力管理的信息化系統(tǒng),并通過對相關(guān)流程的梳理,促進(jìn)企業(yè)管理規(guī)范化和標(biāo)準(zhǔn)化,從而全面提升企業(yè)的人力資源管理效率。其次,企業(yè)可將一些重要的項(xiàng)目作為契機(jī),實(shí)現(xiàn)人力資源與企業(yè)管理要求的對接,遵循現(xiàn)代企業(yè)管理的思維方式,開展相關(guān)的人力資源信息化管理工作,如員工績效考核、領(lǐng)導(dǎo)干部測評等,借助項(xiàng)目成果,提升企業(yè)人力資源的整體管理水平,由此能夠推動企業(yè)在信息環(huán)境下的穩(wěn)定、持續(xù)發(fā)展。

 

1.4 加強(qiáng)信息化建設(shè)中的風(fēng)險(xiǎn)管理

 

企業(yè)在建設(shè)信息化的過程中不可避免地會面臨各種風(fēng)險(xiǎn),為此,企業(yè)應(yīng)當(dāng)采取有效的方法和措施加強(qiáng)風(fēng)險(xiǎn)管理。企業(yè)應(yīng)當(dāng)建立相對完善的風(fēng)險(xiǎn)防范機(jī)制,在該機(jī)制建立的過程中,要對管理信息系統(tǒng)開發(fā)中的所有風(fēng)險(xiǎn)予以充分考慮,針對風(fēng)險(xiǎn)因素進(jìn)行有效的管理。實(shí)踐證明,大多數(shù)風(fēng)險(xiǎn)都可以通過相應(yīng)的方法進(jìn)行防控,其前提是需要對風(fēng)險(xiǎn)進(jìn)行準(zhǔn)確的識別,但必須指出的是,風(fēng)險(xiǎn)本身具有不確定性和隨機(jī)性的特點(diǎn),并且有些風(fēng)險(xiǎn)是很難進(jìn)行預(yù)防和控制的,因此,企業(yè)在開發(fā)管理信息系統(tǒng)時(shí),必須制訂出一套能夠應(yīng)對突發(fā)意外事件的方案,從而在意外發(fā)生時(shí),能夠進(jìn)行解決,避免造成損失。

 

2 保障企業(yè)信息安全的體系構(gòu)建

 

在信息環(huán)境下,信息安全是企業(yè)開展管理信息化建設(shè)面臨的重大問題之一,直接關(guān)系到企業(yè)管理信息化水平的提升。為此,企業(yè)要結(jié)合管理實(shí)際需求,構(gòu)建起信息安全保障體系,具體實(shí)施措施如下。

 

2.1 加強(qiáng)網(wǎng)絡(luò)安全管理

 

企業(yè)在加強(qiáng)網(wǎng)絡(luò)安全管理的過程中,可采取如下技術(shù)措施。

 

2.1.1 對遠(yuǎn)程接入進(jìn)行嚴(yán)格控制近年來,虛擬專用網(wǎng)絡(luò)技術(shù)(VPN)獲得了快速發(fā)展,由此大幅度降低了遠(yuǎn)程接入給企業(yè)帶來的風(fēng)險(xiǎn),與此同時(shí),移動辦公的出現(xiàn),在一定程度上促進(jìn)了遠(yuǎn)程接入的發(fā)展,為確保遠(yuǎn)程接入的安全性,企業(yè)可以應(yīng)用USB KEY身份認(rèn)證或是動態(tài)口令等方式,對遠(yuǎn)程接入進(jìn)行安全控制。

 

2.1.2 IPSec企業(yè)內(nèi)網(wǎng)中存在一些非受控終端,這些終端的存在給黑客提供了訪問企業(yè)網(wǎng)絡(luò)的路徑,為確保網(wǎng)絡(luò)信息的安全性,企業(yè)可以應(yīng)用IPSec,由此能夠?qū)?nèi)部終端進(jìn)行管理和控制。

 

2.1.3 入侵檢測這是防火墻的一項(xiàng)補(bǔ)充技術(shù),能夠?qū)W(wǎng)絡(luò)傳輸進(jìn)行實(shí)時(shí)監(jiān)控,當(dāng)檢測到可疑的數(shù)據(jù)信息傳輸后,會自行發(fā)出報(bào)警。通過入侵檢測,可以使企業(yè)對來自外部的惡意攻擊進(jìn)行有效的防范。

 

2.1.4 確保無線網(wǎng)絡(luò)安全大部分企業(yè)的辦公區(qū)域內(nèi)都有無線網(wǎng)絡(luò)覆蓋,其在給企業(yè)和用戶帶來便利的同時(shí),也給信息安全帶來了一定的隱患。為確保無線網(wǎng)絡(luò)安全,企業(yè)應(yīng)當(dāng)采用比較安全的協(xié)議,如WPA或WPA2等,也可借助EAP協(xié)議對無線網(wǎng)絡(luò)進(jìn)行訪問控制。

 

2.2 加強(qiáng)訪問控制

 

在信息環(huán)境下,企業(yè)可以通過加強(qiáng)訪問控制,來確保網(wǎng)絡(luò)信息安全,具體可采取如下技術(shù)措施。

 

2.2.1 密碼策略相關(guān)研究結(jié)果表明,密碼的強(qiáng)度等級越高,破解所需的時(shí)間越長,正因如此,使得提高企業(yè)用戶的密碼強(qiáng)度等級成為訪問控制最為有效的手段之一,為此,企業(yè)應(yīng)當(dāng)制定合理可行的密碼策略,并借助相關(guān)的技術(shù)措施確保策略的執(zhí)行。

 

2.2.2 權(quán)限管理企業(yè)應(yīng)當(dāng)對身份管理平臺進(jìn)行完善,以此為依托對員工的權(quán)限進(jìn)行管理,并實(shí)行企業(yè)內(nèi)部網(wǎng)絡(luò)應(yīng)用單點(diǎn)登錄的策略。

 

2.2.3 構(gòu)建公匙系統(tǒng)該系統(tǒng)是訪問控制的核心,通過它能夠有效提高無線網(wǎng)絡(luò)訪問授權(quán)、VPN接入的安全水平。

 

2.3 加強(qiáng)信息安全監(jiān)控與審計(jì)

 

企業(yè)在加強(qiáng)信息安全的監(jiān)控與審計(jì)方面,可以采取如下技術(shù)措施。

 

2.3.1 掃描病毒這是一種較為有效的網(wǎng)絡(luò)信息安全監(jiān)控手段,通過防病毒軟件系統(tǒng),可以對病毒進(jìn)行自動掃描,并針對操作系統(tǒng)存在的漏洞,自動進(jìn)行相關(guān)“補(bǔ)丁”的更新,由此大幅度提升了桌面終端的安全性。這種技術(shù)措施需要將客戶端安裝在企業(yè)用戶的終端設(shè)備上,當(dāng)終端與企業(yè)內(nèi)網(wǎng)進(jìn)行連接時(shí),病毒掃描軟件便會啟動,并對將要接入的終端設(shè)備進(jìn)行評估,通過之后,才能與企業(yè)內(nèi)網(wǎng)連接。

 

2.3.2 防控體系針對網(wǎng)絡(luò)黑客的惡意攻擊,企業(yè)應(yīng)當(dāng)構(gòu)建相應(yīng)的防控體系,該體系可由以下幾個(gè)部分組成:能夠?qū)崟r(shí)更新的防病毒軟件、可以過濾掉不安全信息、郵件及非法網(wǎng)頁的網(wǎng)關(guān)、入侵檢測系統(tǒng)等。

 

2.3.3 記錄與審計(jì)企業(yè)應(yīng)當(dāng)配置日志審計(jì)系統(tǒng),借助該系統(tǒng)對信息安全事件進(jìn)行收集,進(jìn)而生成審計(jì)記錄,據(jù)此對安全事件進(jìn)行分析,并采取有效的措施加以解決處理。

 

2.4 加強(qiáng)員工信息安全培訓(xùn)

 

在信息環(huán)境下,企業(yè)網(wǎng)絡(luò)信息安全需要憑借全體員工來維護(hù),為此,企業(yè)應(yīng)當(dāng)加強(qiáng)對員工信息安全方面的培訓(xùn),借此來增強(qiáng)他們的信息安全意識。為使培訓(xùn)效果最大化,必須保證培訓(xùn)工作的實(shí)效性,首先,要做好網(wǎng)絡(luò)管理人員的技術(shù)技能培訓(xùn)工作,可將培訓(xùn)的重點(diǎn)放在網(wǎng)絡(luò)設(shè)備的安裝與調(diào)試以及軟件的配置上。其次,應(yīng)加大對企業(yè)領(lǐng)導(dǎo)層的培訓(xùn),通過培訓(xùn)使領(lǐng)導(dǎo)層認(rèn)識到提高網(wǎng)絡(luò)信息安全的重要性和安全管理體系建設(shè)的必要性,以便獲得他們的支持,使信息安全管理工作的開展更加順利。最后,應(yīng)當(dāng)加大對網(wǎng)絡(luò)客戶端上用戶的培訓(xùn),培訓(xùn)的重點(diǎn)為實(shí)際操作,并在培訓(xùn)完畢后,制定相關(guān)的管理制度,要求用戶嚴(yán)格執(zhí)行,從而確保網(wǎng)絡(luò)信息的安全。

 

3 結(jié) 論

 

在信息環(huán)境下,企業(yè)要積極推動管理信息化建設(shè),將其滲透到物流管理、人力資源管理、財(cái)務(wù)管理等多個(gè)管理領(lǐng)域,從而不斷提高企業(yè)管理效率。與此同時(shí),企業(yè)也要認(rèn)清管理信息化建設(shè)帶來的信息安全問題,針對信息安全管理的薄弱環(huán)節(jié)制定有效的管理措施,做好員工信息安全培訓(xùn)工作,保障企業(yè)管理信息系統(tǒng)建設(shè)的順利實(shí)施,不斷提高企業(yè)信息化管理水平。

第2篇:企業(yè)信息安全保障范文

港口信息安全保障應(yīng)貫穿在港口信息系統(tǒng)的整個(gè)生命周期中。港口信息安全保障的工作者應(yīng)針對港口信息系統(tǒng)的發(fā)展特點(diǎn),通過對港口信息系統(tǒng)的風(fēng)險(xiǎn)分析,制定并執(zhí)行相應(yīng)的安全保障策略,從多角度、多層面提出港口信息安全保障要求,確保港口信息系統(tǒng)的保密性、完整性和可用性,將安全風(fēng)險(xiǎn)降至最低或可接受的程度。港口信息化發(fā)展重點(diǎn)主要在于對外的數(shù)據(jù)交換和服務(wù)。港口信息安全風(fēng)險(xiǎn)主要來自于港口信息系統(tǒng)自身存在的漏洞和系統(tǒng)外部的威脅。為最大化控制該風(fēng)險(xiǎn),港口信息系統(tǒng)安全保障工作者應(yīng)在信息安全保障策略體系的指導(dǎo)下,設(shè)計(jì)并實(shí)現(xiàn)港口信息安全評價(jià)體系架構(gòu)或模型,港口信息安全評價(jià)體系的制定應(yīng)反映港口企業(yè)對信息系統(tǒng)安全保障及其目標(biāo)的理解,其制定和貫徹執(zhí)行對信息系統(tǒng)安全保障起著綱領(lǐng)性指導(dǎo)作用。港口信息安全評價(jià)體系應(yīng)選用一種折中的機(jī)制,在有限資源前提下實(shí)現(xiàn)最優(yōu)選擇。防范不足會造成直接的損失,防范過多又會造成間接的損失,在解決或預(yù)防安全問題時(shí),要從經(jīng)濟(jì)、技術(shù)、管理的可行性和有效性上做出權(quán)衡和取舍。從現(xiàn)代港口企業(yè)信息安全保障工作者的視角出發(fā),其工作層面無外乎對港口信息安全保障的戰(zhàn)略管理、常態(tài)監(jiān)管和應(yīng)急響應(yīng)。戰(zhàn)略管理體現(xiàn)其信息安全戰(zhàn)略的先進(jìn)性,表現(xiàn)在港口企業(yè)對信息安全戰(zhàn)略規(guī)劃的制定情況、港口信息安全管理部門的戰(zhàn)略地位和港口企業(yè)對信息安全工作的資金保障力度等。這些評價(jià)能反映港口企業(yè)對信息安全的重視程度,預(yù)見港口企業(yè)信息安全工作未來的發(fā)展前景。常態(tài)監(jiān)管主要指港口信息安全戰(zhàn)略的具體執(zhí)行情況,包括基于對港口業(yè)務(wù)風(fēng)險(xiǎn)的認(rèn)識,建立、實(shí)施、操作、監(jiān)視、復(fù)查、維護(hù)和改進(jìn)信息安全等一系列管理活動,具體表現(xiàn)為計(jì)劃活動、目標(biāo)與原則、人員與責(zé)任、過程與方法、資源等諸多要素的集合。應(yīng)急響應(yīng)主要包括在一些緊急、無預(yù)測的危機(jī)下,快速應(yīng)對、解決問題的能力,度過危機(jī)以減少損失或者把損失降低到最低程度。

2現(xiàn)代港口信息安全評價(jià)指標(biāo)體系框架

為了讓指標(biāo)體系更加科學(xué)、全面、綜合,力爭每個(gè)門類的指標(biāo)定量、定性相結(jié)合,筆者選用了工作層面、保障要素、指標(biāo)類型作為現(xiàn)代港口企業(yè)信息安全保障指標(biāo)體系框架的3個(gè)維度。

3評價(jià)指標(biāo)

按照評價(jià)指標(biāo)體系框架,采用第一維度、第二維度、第三維度逐個(gè)相交的方式,對各評價(jià)點(diǎn)進(jìn)行分解,可以設(shè)計(jì)出適應(yīng)現(xiàn)代港口企業(yè)信息安全保障工作的評價(jià)指標(biāo)體系。為了讓指標(biāo)體系更加科學(xué)、可操作,筆者在對上海港、黃驊港等大中型港口調(diào)研的基礎(chǔ)上,梳理分析,設(shè)計(jì)出一套普適性較強(qiáng)的評價(jià)指標(biāo)體系。該體系能夠較客觀、準(zhǔn)確、全面地反映港口信息安全工作水平,供港口企業(yè)信息安全保障工作者參考。

4結(jié)語

1)信息安全評價(jià)體系對于現(xiàn)代港口評價(jià)信息安全保障工作的完備性,最大化降低、控制信息安全風(fēng)險(xiǎn),減少技術(shù)故障、網(wǎng)絡(luò)攻擊等安全問題對業(yè)務(wù)帶來的影響具有十分重要的作用。

2)以現(xiàn)代港口企業(yè)信息安全保障工作為研究對象,遵循科學(xué)全面、簡單可操作、向?qū)栽瓌t,從工作層面、保障要素、指標(biāo)類型出發(fā),設(shè)計(jì)了一套三維評價(jià)指標(biāo)體系框架,并結(jié)合國家對港口企業(yè)信息安全的相關(guān)要求,分析出56個(gè)具體指標(biāo),提出了評價(jià)指標(biāo)的量化方法和計(jì)算方法,可為港口企業(yè)信息安全自評價(jià)提供參考。

第3篇:企業(yè)信息安全保障范文

關(guān)鍵詞:中小企業(yè);信息安全;問題;措施

信息安全主要指的是在網(wǎng)絡(luò)中承擔(dān)信息存儲的硬件或者軟件能夠在受到外界認(rèn)為破壞、修改的情況下長期穩(wěn)定地運(yùn)行,保證整個(gè)系統(tǒng)的信息服務(wù)不中斷。在當(dāng)前網(wǎng)絡(luò)高度發(fā)達(dá)的今天,良好穩(wěn)定的信息安全體系是保障我國企業(yè)信息安全的重要保障,企業(yè)中的信息安全包含了計(jì)算機(jī)操作系統(tǒng)、網(wǎng)絡(luò)傳輸協(xié)議、安全防護(hù)等級以及各類認(rèn)證和簽名等安全保障組件,如下圖所示:

圖1 中小企業(yè)信息安全結(jié)構(gòu)

在整個(gè)安全體系中,一旦有某一個(gè)組件發(fā)生了信息安全問題,那么整個(gè)信息安全系統(tǒng)乃至整個(gè)企業(yè)的信息安全都有可能受到安全威脅。

一、我國中小企業(yè)信息安全存在的問題

1.信息安全風(fēng)險(xiǎn)大

當(dāng)前我國的中小企業(yè)普遍已經(jīng)開始認(rèn)識到信息安全的重要性,但是在思想上還沒有對企業(yè)的信息安全管理形成足夠重要的認(rèn)識,當(dāng)前我國的多數(shù)中小企業(yè)管理人員在日常的工作中仍然沿襲傳統(tǒng)的管理方式,并沒有進(jìn)行變革和創(chuàng)新,因此在信息化普遍應(yīng)用的今天,仍然是一種信息化的表面現(xiàn)象,在信息安全意識沒有深入根植的今天,多數(shù)的中小企業(yè)信息安全工作只是停留在表面。

2.專業(yè)人才缺乏

我國的中小企業(yè)在信息安全方面的人才一般都比較缺乏,信息安全工作的不重視使得企業(yè)管理人員不愿意花過多的資金在安全保障上,畢竟安全不能夠直接產(chǎn)生經(jīng)濟(jì)效益,因此在這樣的情況下,企業(yè)的信息化工作很難得到發(fā)展,主要體現(xiàn)在沒有專業(yè)化的信息安全保障團(tuán)隊(duì),即使有了專門的工作人員,也不能夠在技術(shù)上達(dá)到足夠?qū)I(yè)的程度,管理人員和技術(shù)人員互相都不能夠溝通和兼顧,

3.安全資金不足

在信息安全方面,由于我國的中小企業(yè)管理者普遍不夠重視,因此也就很難投入大量的資金,信息化工作是一項(xiàng)注重系統(tǒng)化的工作,無論是硬件系統(tǒng)還是軟件系統(tǒng)的建設(shè)維護(hù)都需要大量的資金投入,因此離開了足夠的資金支持信息安全工作也就無法保證。加上我國中小企業(yè)普遍競爭激烈,用于安全的資金十分有限,依靠外部融資的話又沒有足夠的信用進(jìn)行借貸,加上借貸的風(fēng)險(xiǎn)也十分龐大,大多數(shù)的銀行或金融機(jī)構(gòu)都不愿意將資金用在信息安全上。

二、我國中小企業(yè)信息安全問題的解決對策

1.強(qiáng)化安全風(fēng)險(xiǎn)意識

我國的中小企業(yè),首先就需要從思想上認(rèn)識到安全也是重要工作這樣一種思想,只有了解以后才能夠根據(jù)當(dāng)前的問題進(jìn)行針對性解決。信息安全系統(tǒng)的建設(shè)并不是所有的安全工作都到位,還需要根據(jù)企業(yè)的實(shí)際情況建立合適的安全策略,并在意識上強(qiáng)化工作人員的安全防范思想,將安全擺在重要的位置上,也就是說企業(yè)的信息安全工作需要企業(yè)管理人員的大力支持,還需要適合企業(yè)自身的安全防范方案,只有在管理層思想上和執(zhí)行層的行動上同時(shí)做到位,企業(yè)的整體信息安全工作才能夠真正有效保障企業(yè)的安全。

2.建設(shè)合理安全策略

在安全策略的選擇上,無論企業(yè)選擇了哪一種方案,企業(yè)的用戶都要了解安全解決方案只能夠是企業(yè)信息安全工作的一部分,甚至只是基礎(chǔ)性的工作,企業(yè)不能夠過度依賴安全工具的使用,而疏于防范人的因素,這是由于當(dāng)前的安全事件統(tǒng)計(jì)來看,我國的中小企業(yè)在信息安全問題上出現(xiàn)最多的就是人為的安全事件,因此企業(yè)的管理者必須要針對內(nèi)部控制建立有效的內(nèi)部安全策略,保證企業(yè)的每一個(gè)員工都能夠準(zhǔn)確執(zhí)行自身的工作任務(wù)。

值得注意的是,近些年來企業(yè)的網(wǎng)絡(luò)信息交流工具越來越多例如Skype、BT等等,怎樣對這些數(shù)據(jù)傳輸工具進(jìn)行管理對于信息安全工作來說是十分重要的,雖然這些信息安全管理會在一定程度上影響到企業(yè)的網(wǎng)絡(luò)質(zhì)量,但是這些都是目前中小企業(yè)無法擺脫的應(yīng)用工具,因此針對這樣的現(xiàn)象我國的中小企業(yè)需要進(jìn)行細(xì)分化的處理方式,例如讓企業(yè)用戶使用帶有IPS的協(xié)議分析過濾功能的交換機(jī),在一定安全限制的條件下進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)傳輸應(yīng)用。

3.信息安全外包建設(shè)

許多中小企業(yè)在自身信息安全建設(shè)的過程中,由于經(jīng)驗(yàn)不足或者專業(yè)知識的缺乏無法獨(dú)立完成建設(shè),因此會在建設(shè)過程中帶來大量資金的浪費(fèi),還有軟硬件的升級上也需要后期的大量資金投入,加上建設(shè)工作需要消耗大量的人力資源,信息中心的網(wǎng)絡(luò)維護(hù)工作和安全管理人員,這些都是不可避免地投入。

三、總結(jié)

總的來說,當(dāng)前我國中小企業(yè)的信息安全建設(shè)工作主要集中在自身安全策略以及解決方案上,目前隨著時(shí)間的發(fā)展,中小企業(yè)的信息安全漏洞會越來越多,問題也會越來越加劇,但是我國的中小企業(yè)已經(jīng)正在開始意識到該問題,將越來越多的資金投入在信息安全建設(shè)上,并通過外包的方式使用性價(jià)比較高的解決方案,只有用專業(yè)的信息安全建設(shè)在自身的管理運(yùn)營中,中小企業(yè)才能夠真正在市場競爭中處于優(yōu)勢地位。

參考文獻(xiàn):

[1]林山.中小企業(yè)信息安全問題及解決方案[D].重慶大學(xué),2007.

[2]佚名.中小企業(yè)您的信息安全嗎?[J].網(wǎng)絡(luò)與信息,2002,(1).

[3]陳俊豪.淺析中小企業(yè)電子商務(wù)中的信息安全問題[J].中國商貿(mào),2010,(25).

第4篇:企業(yè)信息安全保障范文

隨著企業(yè)信息化水平的提升,大多數(shù)企業(yè)在信息安全建設(shè)上逐步添加了上網(wǎng)行為管理、內(nèi)網(wǎng)安全管理等新的安全設(shè)備,但信息安全防護(hù)理念還停留在防的階段,信息安全策略都是在安全事件發(fā)生后再補(bǔ)救,導(dǎo)致了企業(yè)信息防范的主動性和意識不高,信息安全防護(hù)水平已經(jīng)越來越不適應(yīng)當(dāng)今企業(yè)IT運(yùn)維環(huán)境和企業(yè)發(fā)展的需求。

2企業(yè)信息系統(tǒng)安全防護(hù)的構(gòu)建原則

企業(yè)信息化安全建設(shè)的目標(biāo)是在保障企業(yè)數(shù)字化成果的安全性和可靠性。在構(gòu)建企業(yè)信息安全體系時(shí)應(yīng)該遵循以下幾個(gè)原則:

2.1建立企業(yè)完善的信息化安全管理體系

企業(yè)信息安全管理體系首先要建立完善的組織架構(gòu)、制定信息安全管理規(guī)范,來保障信息安全制度的落實(shí)以及企業(yè)信息化安全體系的不斷完善?;酒髽I(yè)信息安全管理過程包括:分析企業(yè)數(shù)字化資產(chǎn)評估和風(fēng)險(xiǎn)分析、規(guī)劃信息系統(tǒng)動態(tài)安全模型、建立可靠嚴(yán)謹(jǐn)?shù)膱?zhí)行策略、選用安全可靠的的防護(hù)產(chǎn)品等。

2.2提高企業(yè)員工自身的信息安全防范意識

在企業(yè)信息化系統(tǒng)安全管理中,防護(hù)設(shè)備和防護(hù)策略只是其中的一部分,企業(yè)員工的行為也是維護(hù)企業(yè)數(shù)字化成果不可忽略的組成。所以企業(yè)在實(shí)施信息化安全管理時(shí),絕對不能忽視對人的行為規(guī)范和績效管理。在企業(yè)實(shí)施企業(yè)信息安全前,應(yīng)制定企業(yè)員工信息安全行為規(guī)范,有效地實(shí)現(xiàn)企業(yè)信息系統(tǒng)和數(shù)字化成果的安全、可靠、穩(wěn)定運(yùn)行,保證企業(yè)信息安全。其次階段遞進(jìn)的培訓(xùn)信息安全人才也是保障企業(yè)數(shù)字化成果的重要措施。企業(yè)對員工進(jìn)行逐次的安全培訓(xùn),強(qiáng)化企業(yè)員工對信息安全的概念,提升員工的安全意識。使員工的行為符合整個(gè)企業(yè)信息安全的防范要求。

2.3及時(shí)優(yōu)化更新企業(yè)信息安全防護(hù)技術(shù)

當(dāng)企業(yè)對自身信息安全做出了一套整體完善的防護(hù)規(guī)劃時(shí),就應(yīng)當(dāng)考慮采用何種安全防護(hù)技術(shù)來支撐整個(gè)信息安全防護(hù)體系。對于安全防護(hù)技術(shù)來說可以分為身份識別、網(wǎng)絡(luò)隔離、網(wǎng)絡(luò)安全掃描、實(shí)時(shí)監(jiān)控與入侵發(fā)現(xiàn)、安全備份恢復(fù)等。比如身份識別的目的在于防止非企業(yè)人員訪問企業(yè)資源,并且可以根據(jù)員工級別分配人員訪問權(quán)限,達(dá)到企業(yè)敏感信息的安全保障。

3企業(yè)信息安全體系部署的建議

根據(jù)企業(yè)信息安全建設(shè)架構(gòu),在滿足終端安全、網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全等安全防護(hù)體系時(shí),我們需要重點(diǎn)關(guān)注以下幾個(gè)方面:

3.1實(shí)施終端安全,規(guī)范終端用戶行為

在企業(yè)信息安全事件中,數(shù)字化成果泄漏是屬于危害最為嚴(yán)重的一種行為。企業(yè)信息安全體系建立前,企業(yè)員工對自己的個(gè)人行為不規(guī)范,造成了員工可以通過很多方式實(shí)現(xiàn)信息外漏。比如通過U盤等存儲介質(zhì)拷貝或者通過聊天軟件傳遞企業(yè)的核心數(shù)字化成果。對于這類高危的行為,我們在建設(shè)安全防護(hù)體系時(shí),僅僅靠上網(wǎng)行為管理控制是不能完全杜絕的。應(yīng)該當(dāng)用戶接入企業(yè)信息化平臺前,就對用戶的終端系統(tǒng)進(jìn)行安全規(guī)范檢查,符合企業(yè)制定的終端安全要求后再接入企業(yè)內(nèi)網(wǎng)。同時(shí)配合上網(wǎng)行為管理的策略對員工的上網(wǎng)行為進(jìn)行審計(jì),使得企業(yè)員工的操作行為符合企業(yè)制定的上網(wǎng)行為規(guī)范,從終端用戶提升企業(yè)的防護(hù)水平。

3.2建設(shè)安全完善的VPN接入平臺

企業(yè)在信息化建設(shè)中,考慮總部和分支機(jī)構(gòu)的信息化需要,必然會采用VPN方式來解決企業(yè)的需求。不論是采用SSLVPN還是IPSecVPN,VPN加密傳輸都是通用的選擇。對于分支機(jī)構(gòu)可以考慮專用的VPN設(shè)備和總部進(jìn)行IPSec連接,這種方式更安全可靠穩(wěn)定。對于移動終端的接入可以考慮SSLVPN方式。在這種情況下,就必須做好對于移動終端的身份認(rèn)證識別。其實(shí)我們在設(shè)備采購時(shí),可以要求設(shè)備商做好多種接入方式的需求,并且?guī)椭髽I(yè)搭建認(rèn)證方式。這將有利于企業(yè)日常維護(hù),提升企業(yè)信息系統(tǒng)的VPN接入水平。

3.3優(yōu)化企業(yè)網(wǎng)絡(luò)的隔離性和控制性

在規(guī)劃企業(yè)網(wǎng)絡(luò)安全邊際時(shí),要面對多個(gè)部門和分支結(jié)構(gòu),合理的規(guī)劃安全網(wǎng)絡(luò)邊際將是關(guān)鍵。企業(yè)的網(wǎng)絡(luò)體系可以分為:物理層;數(shù)據(jù)鏈路層;網(wǎng)絡(luò)層;傳輸層;會話層;表示層;應(yīng)用層。各體系之間的相互隔離和訪問策略是防止企業(yè)信息安全風(fēng)險(xiǎn)的重要環(huán)節(jié)。在企業(yè)多樣化網(wǎng)絡(luò)環(huán)境的背景下,根據(jù)企業(yè)安全優(yōu)先級及面臨的風(fēng)險(xiǎn)程度,做出適合企業(yè)信息安全的防護(hù)策略和訪問控制策略。根據(jù)相應(yīng)防護(hù)設(shè)備進(jìn)行深層次的安全防護(hù),真正實(shí)現(xiàn)OSI的L2~L7層的安全防護(hù)。

3.4實(shí)現(xiàn)企業(yè)信息安全防護(hù)體系的統(tǒng)一管理

為企業(yè)信息安全構(gòu)建統(tǒng)一的安全防護(hù)體系,重要的優(yōu)勢就是能實(shí)現(xiàn)對全網(wǎng)安全設(shè)備及安全事件的統(tǒng)一管理,做到對整個(gè)網(wǎng)絡(luò)安全事件的“可視、可控和可管”。企業(yè)采購的各種安全設(shè)備工作時(shí)會產(chǎn)生大量的安全日志,如果單靠相關(guān)人員的識別日志既費(fèi)時(shí)效率又低。而且不同安全廠商的日志報(bào)表還存在很大差異。所以當(dāng)安全事件發(fā)生時(shí),企業(yè)管理員很難實(shí)現(xiàn)對信息安全的統(tǒng)一分析和管理。所以在企業(yè)在構(gòu)建信息安全體系時(shí),就必須要考慮安全設(shè)備日志之間的統(tǒng)一化,設(shè)定相應(yīng)的訪問控制和安全策略實(shí)現(xiàn)日志的歸類分析。這樣才能做到對全網(wǎng)安全事件的“可視、可控和可管”。

4結(jié)束語

第5篇:企業(yè)信息安全保障范文

關(guān)鍵詞:民航企業(yè);信息化建設(shè);信息安全技術(shù)

0引言

互聯(lián)網(wǎng)時(shí)代的到來,信息技術(shù)與網(wǎng)絡(luò)技術(shù)已然成為人們生產(chǎn)生活的重要技術(shù)支撐,在民航領(lǐng)域中,信息化建設(shè)的進(jìn)程也得以高效發(fā)展。與此同時(shí),民航企業(yè)信息系統(tǒng)的安全隱患及安全防護(hù)問題也逐漸暴露,成為信息化建設(shè)過程中亟須應(yīng)對與解決的問題。

1網(wǎng)絡(luò)信息安全制度的建設(shè)

1.1建設(shè)網(wǎng)絡(luò)信息安全制度

據(jù)調(diào)查,民航信息系統(tǒng)安全事件的發(fā)生,問題的主要成因在于未充分明確相關(guān)責(zé)任以確保網(wǎng)絡(luò)信息安全管理工作的全面落實(shí)?;诖?,民航企業(yè)需要充分結(jié)合自身的是情況,對網(wǎng)絡(luò)信息安全管理責(zé)任制的健全及完善,充分明確人員相關(guān)責(zé)任,促進(jìn)民航信息化建設(shè)水平的提升,促進(jìn)民航的健康發(fā)展。民航企業(yè)應(yīng)當(dāng)搭建內(nèi)部網(wǎng)絡(luò)信息安全規(guī)范體系,以之為基礎(chǔ)開展企業(yè)網(wǎng)絡(luò)信息安全管理及部署工作,確保民航信息安全水平的有效提升。民航企業(yè)應(yīng)當(dāng)時(shí)刻緊隨時(shí)展步伐,對網(wǎng)絡(luò)信息安全保障體系加以完善,建立網(wǎng)絡(luò)信息安全防范體系,采取合理的等級保護(hù)與分級保護(hù)措施,維護(hù)網(wǎng)絡(luò)信息安全。民航企業(yè)應(yīng)當(dāng)將網(wǎng)絡(luò)信息安全作為信息化建設(shè)的發(fā)展方向,積極配合并響應(yīng)國防部、網(wǎng)絡(luò)安全部門、公安機(jī)關(guān)等行政機(jī)關(guān)部門的規(guī)定與要求,實(shí)時(shí)更新并優(yōu)化安全防護(hù)措施,實(shí)現(xiàn)網(wǎng)絡(luò)安全整體覆蓋范圍的擴(kuò)大。

1.2細(xì)分網(wǎng)絡(luò)安全保障體系

對于民航企業(yè)而言,其信息網(wǎng)絡(luò)安全保障體系的建設(shè),主要包括三個(gè)方面,即信息網(wǎng)絡(luò)安全技術(shù)體系、信息網(wǎng)絡(luò)安全管理體系及信息網(wǎng)絡(luò)安全運(yùn)行維護(hù)體系。這三個(gè)安全防護(hù)體系是相互依存與相互促進(jìn)的。信息網(wǎng)絡(luò)安全管理體系的搭建,應(yīng)當(dāng)作為信息安全技術(shù)體系保障的重要方向,技術(shù)體系也是保障信息網(wǎng)絡(luò)安全的技術(shù)設(shè)施與基礎(chǔ)服務(wù)的重要支持。信息網(wǎng)絡(luò)安全管理體系的建設(shè)也要求網(wǎng)絡(luò)信息安全技術(shù)應(yīng)用水平不斷提升。民航企業(yè)的網(wǎng)絡(luò)信息安全體系的建設(shè),可以充分參考美國國家安全局所提出的IATF框架的網(wǎng)絡(luò)安全縱深戰(zhàn)略防御理念、美國ISS公司所提出的P2DR動態(tài)網(wǎng)絡(luò)安全模型等相應(yīng)信息網(wǎng)絡(luò)安全防護(hù)體系,搭建“打擊、預(yù)防、管理、控制”于一體的網(wǎng)絡(luò)通信安全綜合防護(hù)體系理念,是當(dāng)前國際上最為先進(jìn)、最為有效的安全保障框架體系,對重要體系采取有效的安全防護(hù)措施,搭建民航企業(yè)的信息安全防護(hù)與控制中心,實(shí)現(xiàn)對于信息網(wǎng)絡(luò)體系的安全監(jiān)控、安全終端、安全平臺、主機(jī)安全、數(shù)據(jù)安全、應(yīng)用安全相互結(jié)合、相互統(tǒng)一的信息安全平臺建設(shè),信息安全防護(hù)應(yīng)當(dāng)涵蓋物理層面、終端層面、網(wǎng)絡(luò)層面、主機(jī)層面、數(shù)據(jù)層面及應(yīng)用層面,保證安全防護(hù)的全面性及全方位性[1]。

1.3發(fā)展民航網(wǎng)絡(luò)信息安全產(chǎn)業(yè)

隨著時(shí)代的發(fā)展,民航企業(yè)開始更多地強(qiáng)調(diào)民航網(wǎng)絡(luò)信息安全事業(yè)的發(fā)展。在開展民航企業(yè)網(wǎng)絡(luò)信息安全產(chǎn)業(yè)建設(shè)時(shí),應(yīng)及時(shí)跟蹤和了解國際網(wǎng)絡(luò)信息安全產(chǎn)業(yè)發(fā)展動向,了解信息安全防護(hù)技術(shù)水平的提升渠道,積極謀求與其他發(fā)達(dá)國家之間的技術(shù)合作,大力引進(jìn)先進(jìn)的管理技術(shù)與管理手段,大力培養(yǎng)并教育網(wǎng)絡(luò)信息安全技術(shù)人才。民航企業(yè)要大力引進(jìn)技術(shù)水平與管理理念較為先進(jìn)的人才,并對所引進(jìn)的人才采用科學(xué)合理的技術(shù)培訓(xùn)與安全教育措施,不斷增強(qiáng)相關(guān)人員對于網(wǎng)絡(luò)信息安全防護(hù)的意識與理解能力,安全理念先進(jìn)、技術(shù)水平高超、應(yīng)急處置及時(shí)的網(wǎng)絡(luò)信息安全管理人才隊(duì)伍。民航企業(yè)要搭建科學(xué)完善的網(wǎng)絡(luò)信息安全管理體系,充分保證信息網(wǎng)絡(luò)安全組織、網(wǎng)絡(luò)信息安全流程、網(wǎng)絡(luò)信息安全制度相互結(jié)合,搭建科學(xué)合理的安全管理體系。

2民航信息安全保障體系的建設(shè)

2.1國家信息系統(tǒng)安全等級保護(hù)

以ISO27001信息安全管理要求為基礎(chǔ),結(jié)合國家信息系統(tǒng)安全等級防護(hù)管理方面,對信息系統(tǒng)安全防護(hù)安全管理基本要求加以明確,開展民航企業(yè)網(wǎng)絡(luò)安全防護(hù)及管理體系的建設(shè)工作。網(wǎng)絡(luò)信息安全管理體系的設(shè)計(jì),應(yīng)當(dāng)涵蓋安全組織架構(gòu)、安全管理人員、安全防護(hù)制度及安全管理流程等多個(gè)方面,結(jié)合自身實(shí)際需求,設(shè)計(jì)科學(xué)合理的網(wǎng)絡(luò)信息安全管理體系等。對于網(wǎng)絡(luò)系統(tǒng)安全組織架構(gòu)的建設(shè)與完善,組建涵蓋安全管理、安全決策、安全監(jiān)督及安全執(zhí)行等層次的管理架構(gòu),設(shè)置相應(yīng)職責(zé)崗位,對安全管理責(zé)任進(jìn)行分解與落實(shí),做好人員錄用、人員調(diào)動、人員考核及人員培訓(xùn)等相關(guān)方面的人員管理工作。民航企業(yè)在制定安全管理制度時(shí),應(yīng)建立網(wǎng)絡(luò)信息安全目標(biāo)、安全策略、安全管理制度及安全防護(hù)技術(shù)規(guī)范等多個(gè)層次,搭建安全管理制度體系。在建立安全管理流程方面,通過建立科學(xué)合理的組織內(nèi)部安全監(jiān)督檢查與優(yōu)化體系,保證網(wǎng)絡(luò)信息安全管理工作的順利開展。將內(nèi)部人員與第三方訪問人員、系統(tǒng)建設(shè)、系統(tǒng)運(yùn)維、物理環(huán)境的日常管理規(guī)范化,將日常的變更管理、問題管理、事件管理、配置管理、管理等電子化、流程化與標(biāo)準(zhǔn)化[2]。

2.2合理運(yùn)用先進(jìn)安全防護(hù)技術(shù)

2.2.1入侵檢測技術(shù)

目前,對信息安全防護(hù)技術(shù)手段研發(fā)與應(yīng)用也愈發(fā)普遍,其中入侵檢測技術(shù)的應(yīng)用可以取得較好的技術(shù)效果。入侵檢測技術(shù)的應(yīng)用主要是通過對網(wǎng)絡(luò)行為、網(wǎng)絡(luò)安全日志、網(wǎng)絡(luò)安全審計(jì)信息等技術(shù)手段,有效檢測網(wǎng)絡(luò)系統(tǒng)非法入侵行為,判斷網(wǎng)絡(luò)入侵企圖,通過網(wǎng)絡(luò)入侵檢測以實(shí)現(xiàn)網(wǎng)絡(luò)安全的實(shí)時(shí)監(jiān)控,有效避免網(wǎng)絡(luò)非法攻擊的可能。通過應(yīng)用入侵檢測技術(shù),民航企業(yè)可以構(gòu)建入侵檢測系統(tǒng),能夠?qū)ο到y(tǒng)內(nèi)部、外部的非授權(quán)行為進(jìn)行同步檢測,及時(shí)發(fā)現(xiàn)和處理網(wǎng)絡(luò)信息系統(tǒng)中的未授權(quán)和異?,F(xiàn)象,盡可能減少網(wǎng)絡(luò)入侵所造成的損耗與安全威脅。為此,可采取NetEye入侵檢測系統(tǒng),該系統(tǒng)通過深度分析技術(shù),實(shí)現(xiàn)對于網(wǎng)絡(luò)環(huán)境的全過程監(jiān)控,及時(shí)了解、分析并明確網(wǎng)絡(luò)內(nèi)部安全隱患及外部入侵風(fēng)險(xiǎn),作出安全示警,及時(shí)響應(yīng)并采取有效的安全防范技術(shù),實(shí)現(xiàn)網(wǎng)絡(luò)安全防護(hù)層次進(jìn)行有效延伸。同時(shí),該入侵檢測系統(tǒng)具備較為強(qiáng)悍的網(wǎng)絡(luò)信息審計(jì)功能,就可以實(shí)時(shí)監(jiān)控、記錄、審計(jì)并就重演網(wǎng)絡(luò)安全運(yùn)行及使用情況,用戶能夠更好地了解網(wǎng)絡(luò)運(yùn)行情況。

2.2.2文件加密技術(shù)

對稱加密技術(shù)是常見的文件加密技術(shù)之一,所采用的密鑰能夠用以加密與解密,在技術(shù)應(yīng)用時(shí),以塊為單位進(jìn)行數(shù)據(jù)加密。這一方法在實(shí)際應(yīng)用過程中,一次能夠加密一個(gè)數(shù)據(jù)塊。對對稱加密技術(shù)的優(yōu)化與改進(jìn),主要可采用密碼塊鏈的模式加以實(shí)現(xiàn),即通過私鑰及初始化向量進(jìn)行文件加密[3]。如上所述,隨著網(wǎng)絡(luò)信息安全受到更多重視,民航企業(yè)信息化建設(shè)水平在進(jìn)一步提升其網(wǎng)絡(luò)建設(shè)水平的同時(shí),也更多地意識到網(wǎng)絡(luò)信息安全的重要性與必要性,不僅需要構(gòu)建行業(yè)信息安全防御體系,還應(yīng)當(dāng)建立健全網(wǎng)絡(luò)信息安全制度,構(gòu)建網(wǎng)絡(luò)安全防護(hù)人才團(tuán)隊(duì)。在此基礎(chǔ)上,民航企業(yè)還可以充分利用文件加密和數(shù)字簽名技術(shù),通過該技術(shù),可以合理避免相關(guān)數(shù)據(jù)信息受到竊取、篡改或遭到損壞而導(dǎo)致網(wǎng)絡(luò)信息安全受到影響。文件加密和數(shù)字簽名技術(shù)應(yīng)用過程中,可以更好地對網(wǎng)絡(luò)信息安全提供保證、維護(hù)相關(guān)信息數(shù)據(jù)的安全性。

第6篇:企業(yè)信息安全保障范文

1.企業(yè)信息安全事件發(fā)生狀況

調(diào)查顯示在過去的1年內(nèi)(2012年1月~2012年12月),超過93.2%的被調(diào)查企業(yè)發(fā)生過信息安全事件,其中發(fā)生信息安全事件次數(shù)超過5次的占被調(diào)查企業(yè)的13.1%。這一調(diào)查結(jié)果表明,河北中小企業(yè)信息安全形勢非常嚴(yán)峻,如何保護(hù)信息系統(tǒng)安全已經(jīng)成為中小企業(yè)信息化建設(shè)首要面臨的問題。

2.目前中小企業(yè)信息安全面臨的主要威脅

調(diào)查發(fā)現(xiàn),近1年內(nèi),82.1%的被調(diào)查企業(yè)遭受過病毒、蠕蟲或木馬程序破壞;47.3%的企業(yè)遭受過黑客攻擊或網(wǎng)絡(luò)詐騙;33%的企業(yè)遭受過垃圾郵件和網(wǎng)頁篡改的干擾,還有28%的企業(yè)遭受的破壞竟然來自企業(yè)內(nèi)部員工的操作。這一調(diào)查結(jié)果表明,病毒泛濫、網(wǎng)絡(luò)詐騙、黑客攻擊、垃圾郵件和來自企業(yè)內(nèi)部員工破壞是河北中小企業(yè)面臨的最主要信息安全威脅。其中,病毒和木馬程序的破壞尤為嚴(yán)重,直接造成企業(yè)數(shù)據(jù)丟失、信息泄漏甚至系統(tǒng)癱瘓等后果,嚴(yán)重威脅著企業(yè)的信息安全。

3.企業(yè)信息安全保護(hù)措施現(xiàn)狀

調(diào)查發(fā)現(xiàn),93.7%的被訪企業(yè)采用了殺毒軟件進(jìn)行病毒防護(hù)和監(jiān)控,25.1%的被訪企業(yè)裝有入侵檢測系統(tǒng)和硬件防火墻,54.8%的被訪企業(yè)采用了身份認(rèn)證技術(shù)和設(shè)置訪問權(quán)限進(jìn)行信息保護(hù)。同時(shí),通過調(diào)查也發(fā)現(xiàn),只有不到29.5%的企業(yè)有定期的數(shù)據(jù)備份,僅有6.9%的企業(yè)為重要信息進(jìn)行了數(shù)據(jù)加密。這一調(diào)查結(jié)果表明:在信息安全技術(shù)防護(hù)方面,幾乎被訪企業(yè)都采取了信息安全保護(hù)措施,但是大部分企業(yè)卻只停留在病毒防護(hù)和身份認(rèn)證的水平上,而缺少數(shù)據(jù)完整性和數(shù)據(jù)加密等保護(hù)技術(shù)。

4.信息安全管理保障措施情況

調(diào)查發(fā)現(xiàn),在信息安全管理保障措施方面,25.7%的被訪企業(yè)設(shè)立了專門的信息安全部門及相應(yīng)的專職管理人員,44.6%的企業(yè)制定了企業(yè)信息安全管理制度,只有8.5%的企業(yè)能夠?qū)π畔踩珷顩r進(jìn)行定期的風(fēng)險(xiǎn)評估,而制定信息安全事件應(yīng)急處置措施的企業(yè)卻只有5.3%。這一調(diào)查結(jié)果表明:河北中小企業(yè)信息安全保障組織構(gòu)架設(shè)立不完善、缺乏信息安全管理制度,定期的信息安全風(fēng)險(xiǎn)評估以及信息安全應(yīng)急處置預(yù)案措施嚴(yán)重缺失。

5.信息安全經(jīng)費(fèi)投入狀況

調(diào)查發(fā)現(xiàn),23.5%的被訪企業(yè)信息安全方面的經(jīng)費(fèi)投入占整個(gè)企業(yè)信息化總投資的比例低于5%,39.6%被訪企業(yè)同樣投資比例在5%~10%之間,只有38.5%的企業(yè)信息安全方面的經(jīng)費(fèi)投入已經(jīng)超過企業(yè)信息化總投資的10%。這一調(diào)查結(jié)果表明:河北中小企業(yè)安全意識淡薄,信息安全經(jīng)費(fèi)投入嚴(yán)重不足,低于國外20%~30%的投資比例。

二、對策與建議

通過課題組調(diào)查發(fā)現(xiàn),網(wǎng)絡(luò)環(huán)境下河北中小企業(yè)的信息安全問題突出,主要表現(xiàn)在認(rèn)識誤區(qū)、資金不足、技術(shù)薄弱和信息管理制度缺失等方面,要全面解決,必須從法律、技術(shù)和管理等幾個(gè)方面全盤考慮綜合治理。法律、技術(shù)和管理三者相輔相成,缺一不可,才能共同保證中小企業(yè)信息系統(tǒng)可靠安全運(yùn)行。

1.法律法規(guī)層面加強(qiáng)政府支持力度和引導(dǎo)力度

僅僅靠中小企業(yè)自身搞信息安全防護(hù)是遠(yuǎn)遠(yuǎn)不夠的,在此過程中,政府的支持、鼓勵(lì)與引導(dǎo)是至關(guān)重要的。因此,政府應(yīng)不斷完善信息安全相關(guān)法律法規(guī)的建設(shè),加快網(wǎng)絡(luò)安全的基礎(chǔ)設(shè)施建設(shè),加大打擊網(wǎng)絡(luò)犯罪的力度。同時(shí),針對河北中小企業(yè)特點(diǎn),當(dāng)?shù)卣畱?yīng)加大企業(yè)信息安全重要性的引導(dǎo)和宣傳,讓中小企業(yè)特別是企業(yè)的領(lǐng)導(dǎo)者,充分認(rèn)識到企業(yè)信息安全的重大意義與作用,從而在日常企業(yè)決策中對企業(yè)信息安全建設(shè)投資有一定的傾斜,完善企業(yè)信息安全體系建設(shè)。從長遠(yuǎn)發(fā)展角度和戰(zhàn)略高度來重視企業(yè)信息安全。

2.技術(shù)層面

設(shè)計(jì)實(shí)施多層次、多方位的網(wǎng)絡(luò)系統(tǒng)安全保護(hù)技術(shù),以提高企業(yè)風(fēng)險(xiǎn)防范的技術(shù)水平。風(fēng)險(xiǎn)防范是一個(gè)復(fù)雜的系統(tǒng)工程,從技術(shù)角度,建議從以下幾個(gè)方面來實(shí)現(xiàn):

(1)建立網(wǎng)絡(luò)身份認(rèn)證體系。網(wǎng)絡(luò)環(huán)境下河北中小企業(yè)的各種商務(wù)活動,都需要對參與商務(wù)活動的各方進(jìn)行身份的鑒別、認(rèn)證,這就需要在企業(yè)內(nèi)部建立網(wǎng)絡(luò)身份認(rèn)證體系來證實(shí)各方的身份,以保證網(wǎng)絡(luò)環(huán)境下各交易方的經(jīng)濟(jì)利益。

(2)配置高效的防火墻。在企業(yè)內(nèi)部網(wǎng)與外聯(lián)網(wǎng)之間設(shè)置防火墻,從而實(shí)現(xiàn)內(nèi)、外網(wǎng)的隔離與訪問控制,在他們之間形成一道有效的屏障,是保護(hù)企業(yè)內(nèi)部網(wǎng)安全的最主要、最有效、最經(jīng)濟(jì)的措施之一。

(3)定期實(shí)施重要信息的備份和恢復(fù)。企業(yè)要對核心的數(shù)據(jù)和應(yīng)用程序進(jìn)行實(shí)時(shí)和定期的備份工作。并把備份數(shù)據(jù)的副本存儲在光盤上,這樣就可以避免一旦發(fā)生安全事故關(guān)鍵的應(yīng)用程序和數(shù)據(jù)丟失給中小企業(yè)帶來的巨大損失。

(4)對關(guān)鍵數(shù)據(jù)進(jìn)行加密。企業(yè)的各類數(shù)據(jù)和應(yīng)用程序,是企業(yè)多年發(fā)展中積累下來的寶貴數(shù)據(jù)資源,也是企業(yè)決策的重要依據(jù)。因此,要對這些關(guān)鍵數(shù)據(jù)進(jìn)行加密處理,以提高數(shù)據(jù)的安全性,防止企業(yè)私密數(shù)據(jù)信息被泄露和竊取。

第7篇:企業(yè)信息安全保障范文

當(dāng)今是一個(gè)網(wǎng)絡(luò)時(shí)代,也是一個(gè)科技化快速高速發(fā)展的時(shí)代。特別是對于電子科技企業(yè)來說,信息就成為了一個(gè)企業(yè)成敗的關(guān)鍵。只有通過有效信息的掌握,才能讓企業(yè)未來的道路越走越好。隨著這樣的趨勢,企業(yè)信息化的進(jìn)程也在不斷的發(fā)展,信息不僅是在一定程度上掌握了企業(yè)未來的命運(yùn),同時(shí)對于企業(yè)管理水平的提高也起到了非常重要的作用。有一些企業(yè)的商務(wù)活動基本上都是通過電子商務(wù)的形式來完成的,還有一些生產(chǎn)運(yùn)作、運(yùn)輸以及管理都離不開信息化的建設(shè)。還有一些電子科技企業(yè)為了企業(yè)未來的發(fā)展,要進(jìn)行企業(yè)形象的宣傳,產(chǎn)品以及服務(wù)信息很大程度上都要依賴于信息化的建設(shè)。如今,信息化的時(shí)代已經(jīng)到來,信息化的建設(shè)對于電子科技企業(yè)來說具有至關(guān)重要的作用,因此電子科技企業(yè)應(yīng)該加快信息化建設(shè)的步伐,這樣才能促進(jìn)電子科技企業(yè)進(jìn)一步的發(fā)展。

2電子科技企業(yè)安全技術(shù)的闡述

2.1電子信息的加密技術(shù)

所謂電子信息的加密技術(shù)也就是對于所傳送的電子信息能夠起到一定的保密作用,也能夠使信息、數(shù)據(jù)的傳遞變得更加安全和完整。電子信息的加密技術(shù)是保障電子科技企業(yè)信息安全的重要保證。加密技術(shù)也主要分為對稱以及非對稱兩類,對稱的加密技術(shù)一般都是通過序列密碼或是分組機(jī)密的方式來實(shí)現(xiàn)的。這其中還包括了明文、密鑰、加密算法以及解密算法五個(gè)基本的組成部分。而非對稱加密與對稱加密也存在一定的差異,非對稱加密必須要具備公開密鑰和私有密鑰兩個(gè)密鑰,同時(shí),這兩種密鑰只有配對使用,這樣才能解密。因此加密技術(shù)對于電子信息的安全具有很大的保障。如果在發(fā)送電子信息的時(shí)候,發(fā)送人是使用加密技術(shù)來發(fā)送郵件的,那么有人竊取信息的時(shí)候,也只能夠得到密文,不能得到具體的信息。這樣就大大加強(qiáng)了信息傳送的安全性。加快推進(jìn)國內(nèi)關(guān)鍵行業(yè)領(lǐng)域信息系統(tǒng)的安全評估測試。在安全評估方面,主要針對主機(jī)安全保密檢查與信息監(jiān)管,采取文件內(nèi)容檢索、惡意代碼檢查、數(shù)據(jù)恢復(fù)技術(shù)、網(wǎng)絡(luò)漏洞掃描、互聯(lián)網(wǎng)網(wǎng)站檢測、語意分析等技術(shù),評估分析重要信息是否發(fā)生泄漏,并找出泄漏的原因和渠道。

2.2防火墻技術(shù)

隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展,雖然對于信息安全問題已經(jīng)不斷的得到加強(qiáng),但是一些信息的不安全因素也在逐級的提高。有一些黑客或者是病毒木馬也在不斷的入侵,而這些不安全的因素會極大的威脅到電子科技企業(yè)信息的安全。而針對這種情況,一種比較有效的防護(hù)措施就是防火墻技術(shù)的使用。這種技術(shù)可以有效的防止黑客的入侵以及電腦中的信息被篡改等情況的發(fā)生。這樣就能夠有效的保障電子科技企業(yè)信息的安全。加強(qiáng)企業(yè)信息基礎(chǔ)設(shè)施和重要信息系統(tǒng)建設(shè),建設(shè)面向企業(yè)的信息安全專業(yè)服務(wù)平臺。重點(diǎn)開展等級保護(hù)設(shè)計(jì)咨詢、風(fēng)險(xiǎn)評估、安全咨詢、安全測評、快速預(yù)警響應(yīng)、第三方資源共享的容災(zāi)備份、標(biāo)準(zhǔn)驗(yàn)證等服務(wù);建設(shè)企業(yè)信息安全數(shù)據(jù)庫,為廣大企業(yè)提供快速、高效的信息安全咨詢、預(yù)警、應(yīng)急處理等服務(wù),實(shí)現(xiàn)企業(yè)信息安全公共資源的共享共用,提高信息安全保障能力。

3解決電子科技企業(yè)信息安全問題的方法

3.1構(gòu)建電子科技企業(yè)信息安全的管理體系

如果要想有效的保障電子科技企業(yè)的信息安全,除了要不斷的提高安全技術(shù)水平,還要建立起一套比較完善的信息安全管理體系。這樣才能使整個(gè)信息安全工作更加有條不紊的進(jìn)行。在很多電子科技企業(yè)當(dāng)中,最初所建立的相關(guān)信息制度在很大程度上都制約著信息系統(tǒng)的安全性。如果一旦安全管理制度出現(xiàn)了問題,那么一系列的安全技術(shù)都無法發(fā)揮出來。很多信息安全工作也無法正常進(jìn)行下去。因此,嚴(yán)格的信息安全管理體系對于信息安全的保障具有十分重要的作用。只有當(dāng)信息安全管理形成了一個(gè)完善的體系,那么信息安全工作才能夠更加順利的進(jìn)行,同時(shí)也能夠大大的提升信息安全的系數(shù)。

3.2利用電子科技企業(yè)自身的網(wǎng)絡(luò)條件來提供信息安全服務(wù)

一般來說,電子科技企業(yè)都擁有自己的局域網(wǎng),很多企業(yè)也可以通過局域網(wǎng)來相互連通。因此,電子科技企業(yè)應(yīng)該充分的利用這一特點(diǎn)為自身的企業(yè)提供良好地信息安全服務(wù)。通過局域網(wǎng)的連通,不僅能夠在這個(gè)平臺上及時(shí)的公布一些安全公告以及安全法規(guī),同時(shí)還可以進(jìn)行一些安全軟件的下載,為員工提供一些關(guān)于信息安全的培訓(xùn)。這樣不僅能夠?yàn)槠髽I(yè)之間的員工提供一個(gè)安全的互相交流的平臺,同時(shí)還能夠很好的保障企業(yè)信息安全。針對企業(yè)主機(jī)安全保密檢查與信息監(jiān)管,采取文件內(nèi)容檢索、惡意代碼檢查、數(shù)據(jù)恢復(fù)技術(shù)、網(wǎng)絡(luò)漏洞掃描、互聯(lián)網(wǎng)網(wǎng)站檢測、語意分析等技術(shù),評估分析重要信息是否發(fā)生泄漏,并找出泄漏的原因和渠道。

3.3定期對信息安全防護(hù)軟件進(jìn)行及時(shí)的更新

第8篇:企業(yè)信息安全保障范文

不同的企業(yè)經(jīng)營方式和品種不同,導(dǎo)致管理者采取不同的信息網(wǎng)路系統(tǒng),這進(jìn)一步加劇了企業(yè)局域網(wǎng)和外部網(wǎng)信息安全的風(fēng)險(xiǎn)性,自然和人為因素把企業(yè)計(jì)算機(jī)信息網(wǎng)絡(luò)系統(tǒng)大致分為了以下兩層。

1.外部風(fēng)險(xiǎn)

企業(yè)信息網(wǎng)絡(luò)系統(tǒng)受到非法攻擊和自然災(zāi)害的情況統(tǒng)稱為外部風(fēng)險(xiǎn),例如:水火災(zāi)害,偷盜災(zāi)害等都屬于外部風(fēng)險(xiǎn)構(gòu)成因素,這對于企業(yè)計(jì)算機(jī)信息網(wǎng)絡(luò)系統(tǒng)危害巨大,主要表現(xiàn)在硬件設(shè)施的損壞。另外,也存在某些工作人員企圖將公司文件作為有效的信息記錄,不正當(dāng)建立某些文件文檔,也同樣會對企業(yè)的計(jì)算機(jī)信息系統(tǒng)構(gòu)成威脅。也有的計(jì)算機(jī)操作人員企圖通過不正當(dāng)手段獲取到系統(tǒng)記錄的信息,可能會通過某些不正當(dāng)手段利用數(shù)據(jù)和系統(tǒng)程序。此外,企業(yè)計(jì)算機(jī)信息網(wǎng)絡(luò)系統(tǒng)面臨的最大威脅來自于黑客,黑客攻擊系統(tǒng)的方式主要分為兩種:一是通過不法手段進(jìn)入企業(yè)計(jì)算機(jī)信息系統(tǒng)的網(wǎng)絡(luò)攻擊,目的是通過查看信息,破壞信息的完整性。二是通過竊取和破譯的方式獲得計(jì)算機(jī)機(jī)密信息的網(wǎng)絡(luò)偵察方式,這種方式不會阻礙系統(tǒng)的正常運(yùn)行。掃描器和口令攻擊器、郵件炸彈和木馬是黑客常用的攻擊工具,企業(yè)通常都會存在網(wǎng)絡(luò)安全隱患,黑客會利用計(jì)算機(jī)系統(tǒng)薄弱環(huán)節(jié)竊取信息,甚至對企業(yè)進(jìn)行威脅敲詐。而病毒會破壞系統(tǒng)CMOS中的數(shù)據(jù),系統(tǒng)數(shù)據(jù)區(qū)會遭受損失。無論怎樣,兩種方式都會對企業(yè)的網(wǎng)絡(luò)安全建設(shè)形成重大影響。此外,還有僵尸網(wǎng)絡(luò),垃圾郵件,間諜軟件等都會對企業(yè)計(jì)算機(jī)信息網(wǎng)絡(luò)系統(tǒng)的安全建設(shè)造成威脅。

2.內(nèi)部風(fēng)險(xiǎn)

計(jì)算機(jī)系統(tǒng)內(nèi)部的特性決定了內(nèi)部風(fēng)險(xiǎn)指數(shù)的高低,具體表現(xiàn)在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行中存在的風(fēng)險(xiǎn),主要分為:計(jì)算操作人員對登錄賬號和口令的泄露,未經(jīng)許可或沒有訪問權(quán)限的人員進(jìn)入企業(yè)信息系統(tǒng)可能會造成信息安全風(fēng)險(xiǎn)的產(chǎn)生。另外,計(jì)算機(jī)軟件在安裝的過程中,也必然會帶有一定不為常人輕易察覺的系統(tǒng)漏洞,這些漏洞一旦被黑客發(fā)現(xiàn),就可能會產(chǎn)生企業(yè)信息系統(tǒng)的內(nèi)部風(fēng)險(xiǎn)。當(dāng)下。軟件公司在開發(fā)軟件的過程中,很多都會為自己留有“后門”,一旦這些“后門漏洞”遭遇攻擊,就會產(chǎn)生嚴(yán)重的后果。防火墻的安全等級也是對系統(tǒng)風(fēng)險(xiǎn)控制的重要指標(biāo)之一,如果自身安全等級欠缺,也會產(chǎn)生一定的內(nèi)部風(fēng)險(xiǎn)。另外,管理因素也是造成內(nèi)部風(fēng)險(xiǎn)成因的重要原因之一。員工有意無意的破壞、用戶操作規(guī)范問題、存儲介質(zhì)問題都是管理不到位的表現(xiàn)。某些員工也會對企業(yè)逐漸產(chǎn)生不滿情緒,可能會采取極端手段惡意破壞企業(yè)的機(jī)密文件。移動存儲設(shè)備的不正確應(yīng)用,也是造成企業(yè)計(jì)算機(jī)信息系統(tǒng)安全問題的一大隱患,具體表現(xiàn)在移動存儲介質(zhì)的遺失和破壞,文件的非授權(quán)和打印等方面。

二、企業(yè)信息網(wǎng)絡(luò)系統(tǒng)的風(fēng)險(xiǎn)控制方法

不同的企業(yè)信息網(wǎng)絡(luò)系統(tǒng)風(fēng)險(xiǎn)控制方式也不盡相同,只有通過仔細(xì)分析,才能對其進(jìn)行科學(xué)控制。為進(jìn)一步保證計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全,必須對數(shù)據(jù)形成全程監(jiān)控和控制,達(dá)到最大化的系統(tǒng)安全風(fēng)險(xiǎn)控制。

1.數(shù)據(jù)信息的輸入和傳輸

企業(yè)信息系統(tǒng)在數(shù)據(jù)初步輸入階段,為了進(jìn)一步保證數(shù)據(jù)輸入的合法和正確,對其加密措施是必不可少的,隨后進(jìn)行網(wǎng)絡(luò)傳輸,就能夠從根本上最大化避免信息在傳輸過程中遭遇篡改或者丟失現(xiàn)象,企業(yè)信息應(yīng)用的加密方式多種多樣,一般可以選取文件夾加密或者文件加密的方式進(jìn)行傳輸。

2.數(shù)據(jù)信息的接收與處理

企業(yè)一般收到外部傳輸?shù)挠唵翁幚硇畔r(shí),接著就會由預(yù)編程序?qū)υ撔畔⑦M(jìn)行自動審核,規(guī)范的信息填寫就會由計(jì)算機(jī)系統(tǒng)進(jìn)行二次輸出,并及時(shí)刻錄在預(yù)置的磁盤或交卷等信息媒介中保存,這種情況下對于已獲取信息的保存就顯得格外重要。假如要對信息使用過程中產(chǎn)生的數(shù)據(jù)進(jìn)行保存,就需要對用戶數(shù)據(jù)的使用和存儲進(jìn)行及時(shí)控制,這也是控制企業(yè)信息系統(tǒng)泄漏的有效方法之一。

3.結(jié)果數(shù)據(jù)信息的保存和處理

數(shù)據(jù)使用過后的安置主要是指結(jié)果數(shù)據(jù)信息的保存和處理,這種后期的風(fēng)險(xiǎn)控制更要加以重視,包括數(shù)據(jù)使用過后保存的時(shí)間和清除,存儲的方法和地址等等。不再應(yīng)用的數(shù)據(jù)應(yīng)當(dāng)徹底處理,防止被二次利用,通過對廢棄信息的研究獲取到機(jī)密信息,不同的處理方式對系統(tǒng)安全風(fēng)險(xiǎn)的影響也不盡相同。

4.網(wǎng)絡(luò)管理和安全管理

以上諸多的控制方式都會對計(jì)算機(jī)風(fēng)險(xiǎn)控制產(chǎn)生重要作用,此外,一個(gè)良好的管理平臺有利于計(jì)算機(jī)設(shè)備各項(xiàng)設(shè)備功能的發(fā)揮,網(wǎng)絡(luò)管理在網(wǎng)絡(luò)資源的優(yōu)化和監(jiān)控利用中發(fā)揮著關(guān)鍵作用。

5.設(shè)立電子商務(wù)安全體系

美國FBI組織統(tǒng)計(jì)表明:美國幾乎百分之八十的大型企業(yè)面臨著信息網(wǎng)絡(luò)安全問題的困擾,每年因網(wǎng)路安全問題造成的損失達(dá)到了七十五萬億美元,信息的竊取和濫用現(xiàn)象嚴(yán)重。因此,所有在互聯(lián)網(wǎng)上開展電子商務(wù)的企業(yè)必須有足夠的安全意識和防范措施,最大限度的避免企業(yè)機(jī)密信息的外泄和黑客入侵造成的不必要損失。另外,一整套強(qiáng)大的企業(yè)信息安全系統(tǒng),也需要諸多先進(jìn)的高科技技術(shù)和人才支持。

6.設(shè)立電子政務(wù)安全保障體系

企業(yè)在互聯(lián)網(wǎng)上進(jìn)行商務(wù)活動時(shí),產(chǎn)生信息安全威脅的原因主要分為企業(yè)對電子集商務(wù)的高度依賴,互聯(lián)網(wǎng)特有的開放性,企業(yè)信息系統(tǒng)技術(shù)本身存在的缺陷。通過以上對企業(yè)內(nèi)外部威脅的分析可以得到嚴(yán)格的保密制度,規(guī)范的信息交換策略,完整明確的權(quán)限管理要求和執(zhí)行流程是企業(yè)電子商務(wù)活動信息的基本安全保障。電子政務(wù)安全保障體系具有明顯的真實(shí)性,機(jī)密性,完整性和可靠性。

7.企業(yè)信息安全策略和措施

一個(gè)完整的企業(yè)信息安全策略必須在技術(shù)上具備可操作性,可執(zhí)行和責(zé)任明確的特征,強(qiáng)制性也是其中的必要組成因素。在信息的傳輸和處理過程中,需要對內(nèi)外部威脅因素做一個(gè)敏銳的分析,必須要保證信息的完整可靠,實(shí)用安全。在企業(yè)信息安全技術(shù)保障體系的范圍內(nèi),有必要對重大機(jī)密信息進(jìn)行多層防護(hù),基礎(chǔ)設(shè)施的建設(shè)必須按照企業(yè)信息安全規(guī)定的標(biāo)準(zhǔn)執(zhí)行,其中包括了對邊界和計(jì)算機(jī)周邊環(huán)境的防護(hù),基礎(chǔ)設(shè)施以及提供的支持等。其中涉及到了無線網(wǎng)絡(luò)安全框架和遠(yuǎn)程訪問,終端用戶環(huán)境以及系統(tǒng)互聯(lián)等應(yīng)用程序的安全。一個(gè)完善的企業(yè)信息安全策略支持的基礎(chǔ)設(shè)施也必須注重PK(I密鑰管理基礎(chǔ)設(shè)施或公共密鑰基礎(chǔ)設(shè)施)的管理。

8.加密認(rèn)證和實(shí)時(shí)監(jiān)測技術(shù)

加密是一項(xiàng)傳統(tǒng)而又行之有效的信息傳輸技術(shù),加密技術(shù)的應(yīng)用主要表現(xiàn)在桌面安全防護(hù)、公文安全傳輸和互聯(lián)網(wǎng)信息傳輸?shù)确矫?。而?shí)時(shí)監(jiān)測主要是采取偵聽的方式鑒別那些未經(jīng)授權(quán)的網(wǎng)絡(luò)訪問行為,主要表現(xiàn)在對網(wǎng)絡(luò)系統(tǒng)的掃描和記錄跟蹤等,這種發(fā)現(xiàn)系統(tǒng)遭受損害的技術(shù)手段是防止黑客入侵的有效手段,具有鮮明的適應(yīng)性和實(shí)時(shí)性。

9.劃分并隔離不同安全域

這種系統(tǒng)信息的安全防護(hù)措施主要是根據(jù)不同的安全需求和威脅對操作人員的方位劃分不同的安全控制區(qū)域,采用訪問控制和權(quán)限控制等手段對不同的操作人員設(shè)備訪問進(jìn)行控制,防止出現(xiàn)內(nèi)部訪問者也無權(quán)訪問的區(qū)域和誤操作現(xiàn)象的發(fā)生。根據(jù)不同的信息安全要求可以劃分為關(guān)鍵服務(wù)區(qū)和外部接入?yún)^(qū)兩大類,兩種區(qū)域之間進(jìn)行安全隔離措施。另外,在關(guān)鍵服務(wù)區(qū)域內(nèi),也需要根據(jù)安全級別的不同對其進(jìn)行隔離的細(xì)化劃分。

10.管理方面

管理在企業(yè)網(wǎng)絡(luò)信息安全的防護(hù)中占有七分重要性,技術(shù)占有三分重要性。責(zé)任不明確必然會導(dǎo)致管理混亂,混亂的管理制度就會導(dǎo)致管理安全風(fēng)險(xiǎn)的產(chǎn)生。在企業(yè)計(jì)算機(jī)系統(tǒng)信息安全的防護(hù)中,不僅要關(guān)注與技術(shù)性的措施,在管理層面上也不容忽視,企業(yè)信息的管理貫穿于整個(gè)管理層面的始終,根據(jù)不同的工作環(huán)境和實(shí)際的業(yè)務(wù)流程,技術(shù)特點(diǎn)制定標(biāo)準(zhǔn)的信息安全管理制度。其中,企業(yè)在信息網(wǎng)絡(luò)安全工作上,必須認(rèn)真貫徹落實(shí)設(shè)備維護(hù)制度,保證物理基礎(chǔ)設(shè)施的安全是一切信息安全防護(hù)的基礎(chǔ),一旦基礎(chǔ)遭受沖擊,其余的措施便如紙上談兵。企業(yè)計(jì)算機(jī)系統(tǒng)管理員必須對機(jī)房的水火雷,盜竊等安全防范工作加以重視,另外,對經(jīng)常使用的數(shù)據(jù)信息或者操作系統(tǒng)都要及時(shí)備份,必要時(shí)要對數(shù)據(jù)進(jìn)行不同介質(zhì)的存儲,防止基礎(chǔ)設(shè)施損壞時(shí),給數(shù)據(jù)信息的恢復(fù)工作帶來困難。

三、結(jié)語

第9篇:企業(yè)信息安全保障范文

[關(guān)鍵詞] 中小企業(yè);信息安全;風(fēng)險(xiǎn)評估

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2015 . 21. 043

[中圖分類號] TP309 [文獻(xiàn)標(biāo)識碼] A [文章編號] 1673 - 0194(2015)21- 0090- 02

信息安全風(fēng)險(xiǎn)評估是以風(fēng)險(xiǎn)管理為基礎(chǔ),通過科學(xué)的方法和手段,對企業(yè)信息系統(tǒng)所面臨的威脅與存在的脆弱性進(jìn)行全面分析,以安全事故對企業(yè)生產(chǎn)經(jīng)營有可能帶來的危害展開評估,進(jìn)而制定出有效的防御及整改措施[1]。信息安全風(fēng)險(xiǎn)評估在企業(yè)信息安全保障體系中占據(jù)著十分重要的地位,其不但是重要的評價(jià)方法,同時(shí)也是利于企業(yè)決策的有效機(jī)制。如果缺乏準(zhǔn)確及時(shí)的風(fēng)險(xiǎn)評估,便不能準(zhǔn)確的判斷出企業(yè)所存在的信息安全問題,因此加強(qiáng)企業(yè)信息安全風(fēng)險(xiǎn)評估,對每一個(gè)中小企業(yè)來說,都意義重大。

1 中小企業(yè)信息安全評估方法

為了進(jìn)一步評估信息系統(tǒng)的安全風(fēng)險(xiǎn),多種風(fēng)險(xiǎn)評估方法被開發(fā)出來并在企業(yè)中得以運(yùn)用。定性評估法,定量評估法以及半定量評估法是目前較為常用的幾種方法。風(fēng)險(xiǎn)評估中的定量評估方法,主要是結(jié)合企業(yè)特點(diǎn),根據(jù)評估內(nèi)容和評估流程,從眾多的信息系統(tǒng)、人員和設(shè)備中,利用分類分別計(jì)算比例的方法,對評估對象合理選定,并進(jìn)行數(shù)量采樣[2]。并在此基礎(chǔ)上,分析企業(yè)信息系統(tǒng)中資產(chǎn)價(jià)值、威脅性以及脆弱性三者之間存在的函數(shù)關(guān)系,從而根據(jù)企業(yè)實(shí)際情況選取恰當(dāng)?shù)娘L(fēng)險(xiǎn)計(jì)算方法,合理計(jì)算出企業(yè)信息安全風(fēng)險(xiǎn)評估數(shù)值。本文認(rèn)為定量方法對當(dāng)前的中小企業(yè)來說更具實(shí)用價(jià)值,主要可從風(fēng)險(xiǎn)計(jì)算方法、威脅可能性量化賦值方法著手。

1.1 風(fēng)險(xiǎn)計(jì)算方法

后果(Consequence)及可能性(Likelihood)是風(fēng)險(xiǎn)具有的兩個(gè)基本屬性。風(fēng)險(xiǎn)對信息系統(tǒng)的影響,說到底也是這兩個(gè)因素所造成的。資產(chǎn)的不同自然也使其面臨的主要威脅存在差異。而隨著威脅可以利用的、資產(chǎn)存在的弱點(diǎn)數(shù)量的增加會增加風(fēng)險(xiǎn)的可能性,隨著弱點(diǎn)嚴(yán)重級別的提高會增加一該資產(chǎn)面臨風(fēng)險(xiǎn)的后果。通常來說, 某項(xiàng)資產(chǎn)風(fēng)險(xiǎn)的可能性為資產(chǎn)脆弱性與存在威脅的可能性的函數(shù),同時(shí)風(fēng)險(xiǎn)后果則為資產(chǎn)價(jià)值(影響)的函數(shù)。本論文采用如下算式來得到資產(chǎn)的風(fēng)險(xiǎn)賦值:

風(fēng)險(xiǎn)值=資產(chǎn)價(jià)值×威脅可能性×資產(chǎn)脆弱性

上述公式主要考慮到各參數(shù)采取的取值并不十分精確,因而加入了以往的經(jīng)驗(yàn)和判斷,在國際中對此類數(shù)據(jù)則通常采用數(shù)學(xué)乘法或矩陣等方法。而采用線性相乘,則主要是為了方便進(jìn)行計(jì)算。企業(yè)實(shí)施風(fēng)險(xiǎn)分析可以從風(fēng)險(xiǎn)信息和數(shù)據(jù),進(jìn)行不同程度的改進(jìn)。并根據(jù)計(jì)算出的風(fēng)險(xiǎn)值的數(shù)值范圍,確定相應(yīng)的風(fēng)險(xiǎn)等級。風(fēng)險(xiǎn)數(shù)值與風(fēng)險(xiǎn)等級對應(yīng)的關(guān)系見表1。

1.2 脆弱性量化賦值方法

脆弱性和威脅所存在的對應(yīng)關(guān)系,應(yīng)在評估時(shí)充分考慮到,要知道相對應(yīng)的脆弱性是威脅起作用的基本因素,因此脆弱性與威脅基本上是通過一一對應(yīng)的形式呈現(xiàn)出來的。對脆弱性大小的評定需要結(jié)合評估采集的調(diào)研結(jié)果、安全漏洞掃描結(jié)果以及人工安全檢查結(jié)果。參照國際通行做法和專家經(jīng)驗(yàn),將資產(chǎn)存在的脆弱性分為5個(gè)等級,分別是很高(VH)、高(H)、中(M)、低(L)、可忽略(N),并且從高到低分別賦值5-1,具體參照表2。

威脅可能性屬性非常難以度量.它依賴于具體的資產(chǎn)、弱點(diǎn)。并且這兩個(gè)屬性都和時(shí)間有關(guān)系。在威脅評估過程中,評估者的專家經(jīng)驗(yàn)非常重要。

2 結(jié) 語

目前,信息系統(tǒng)已經(jīng)被廣泛運(yùn)用到中小企業(yè)的日常管理工作中,對其的重視程度也越來越高。對中小企業(yè)來說,定期進(jìn)行信息安全風(fēng)險(xiǎn)評估是信息安全工作得以順利實(shí)施的有效保障,通過有效的信息安全風(fēng)險(xiǎn)評估方法則是科學(xué)合理地開展信息安全風(fēng)險(xiǎn)評估的前提條件。因此,新形勢下中小企業(yè)的信息安全風(fēng)險(xiǎn)評估工作必須要做到與時(shí)俱進(jìn),不斷創(chuàng)新,從而以適應(yīng)快速發(fā)展的社會需求。

主要參考文獻(xiàn)