时间:2023-06-19 16:22:22
导言:作为写作爱好者,不可错过为您精心挑选的10篇企业安全信息化,它们将为您的写作提供全新的视角,我们衷心期待您的阅读,并希望这些内容能为您提供灵感和参考。
伴随着我国社会经济的发展,各个企业间的竞争也是非常的激烈。各企业发展的过程中重要工作就是加强信息化建设,在企业信息化建设发展的过程当中,又显现出来了信息安全的问题,加上有的不法分子会采取各种手段盗取企业的内部信息以便达到自己的经济利益。所以说研究企业信息化当中的信息安全问题是具有非常重要意义。
一、企业信息化建设过程中信息安全的问题
一般情况下能造成企业内部信息安全问题的原因分为外部原因和内部原因,可是不管是内部原因还是外部原因都会对企业的信息系统的安全带来隐患。
1.1企业内部因素
第一个方面是企业的信息安全意识不强,虽然是现在有很多的企业加快企业内部信息化建设的进程,但是有些企业只是在表面上看到信息化建设所带来的优势,而信息化建设当中的安全问题并没能够引起企业的足够重视,所以在信息化建设的过程中比较容易出现安全隐患。第二个方面就是我国的安全软件还是比较落后,虽然国内计算机软件技术在快速的反战,可是与一些发达的国家相比还是存在一定距离,第三个方面在管理操作方面存在问题,现在有很多的企业对于自己企业内部的信息安全问题还存在不够重视的问题,在企业信息系统的管理上不够谨慎,这就会被不法分子和黑客进入的机会,造成了企业的主要信息被盗取。第四个方面缺少优秀的专业管理团队,企业信息的系统安全是前期的制定和日常系统安全的维护以及日后都是由专业的人员来进行操作,所以相关的技术人员都必须具有很好的素养和贤能的技术,第五个方面法律法规的不全面。现在我国与企业信息安全问题的法律法规不全面这就造成企业内部信息被盗取不能得到相关的赔偿。
1.2企业外部因素
现在企业信息安全系统的威胁主要来自于外部的因素,随着我国经济社会的飞速变化,在竞争激烈情况下信息是非常重要的,大昂仁会有很多的不法分子会利用各种手段来盗取企业的信息为自身得到利益。还有些企业在于对手的竞争过程中使用不正当的手段来击垮对手保证自己企业的利益。
二、企业信息化建设过程中的信息安全与对策
在我国社会经济快速发展的今天,企业信息安全对于一个企业的发展是非常具有意义的,企业的信息被盗取和泄露会给企业带来很大的损失,所以说企业对信息安全问题必须要有足够的重视。有的企业已经做好了信息安全的必要工作就应该更加注意安全软件并不是时时刻刻都能做好安全的保护,做好安全保护还要加强管理。
2.1确保正确的安全意识
一个企业在信息化发展的过程中,应该认识到企业信息的安全问题和企业发展相互的关联。如果企业的重要内部信息被盗取或者泄露那么对于企业所造成的打击是非常大的,而与此同时也是给了对手创造了很好机会。所以确保正确的安全信息意识对于一个企业来说是非常重要的,也是为了以后给企业的各项工作打下了很好基础。
2.2选择安全性能比较高的软件
其实任何软件都不是牢不可破的,可是对于安全性能比较高的软件,如果说破解的话难度还是相当高的,所以企业选择安全软件的时候要选择安全性能高的,不要为了节省一点企业的支出而选择使用安全性能差的保护软件,一旦出现问题所造成的企业损失价值会大于软件的价格。
2.3加强企业网路管理
很大一部分的企业信息被盗取都是不法分子通过网络进行的,所以说必须要对企业的网络管理进行加强,这样才能确保企业信息系统在安全的状态的情况下运行。对于信息安全的种类和等级的高低来进行制定合理的方案,并且提前做出如果发生特殊情况下怎么进行处理的方案。如果说企业的信息安全发生危机的时候,企业应该快速的组建处理小组,针对信息安全危机的步骤处理并且做好危机处理的工作,还要避免出现由于处理不当而产生的各种情况。
三、结语
以上所述是企业信息化建设过程中所必需要面对的问题,一个企业的信息安全建设应该先从管理开始,必须做到以防范为主要,必需制定有效的安全防护把安全的风险降至最低。在现在经济发展的快速时代,企业信息的安全问题决定着企业的安全运营。
参考文献
[1]原黎.探析企业信息安全问题的成因及对策[J].现代工业经济和信息化.2011(08)
[2]张耀辉.关于企业信息化建设中的信息安全探讨[J].电子技术与软件工程.2013(14)
[3]赵晓华,陈秀芹,周文艳,夏莉莉,李建忠.网络环境下河北中小企业信息安全问题研究[J].科技资讯.2013(31)
在一个企业中,安全管理是支撑企业的核心,特别是对于生产企业而言,安全责任重于泰山。随着信息化的不断发展,企业的信息化建设和应用水平的不断提高,类似办公OA系统、ERP和EMS等办公系统的建设在不断完善,被广泛采用。信息化是企业提高管理效率、提高核心竞争力的有力手段,但在卷烟行业中,部分企业在信息化和安全管理的融合过程中做得不够完善,对信息化的重要性和信息化带来的高效率等方面认识不足,因此,加快卷烟生产企业信息化的建设工作势在必行。
1.2原因分析
造成卷烟生产企业管理现状的原因是多方面的:①意识淡薄。没有充分认识到信息化给卷烟生产安全管理带来的革命性变化,忽视了信息化建设。②资金缺乏。卷烟企业没有足够的资金支持信息化建设,造成信息化建设滞后。③技术匮乏。这是制约卷烟生产企业信息化建设的主要原因,缺乏必要的技术支持必然会造成信息化建设滞后。具体而言,还有以下几个方面的原因。
1.2.1安全管理人员队伍素质偏低
在进行信息化建设过程中,必然需要具备专业知识的人才。在大多数卷烟生产企业中,相关专业的人员素质较低,在信息化的应用和建设方面存在一定的障碍和劣势,进一步制约了卷烟企业的发展。
1.2.2安全信息系统投入风险较大
信息安全系统的建设是一项复杂、长期的工作,需要长时间的设计和调试。在企业中进行大量的资金投入是建成信息系统的必要基础,但由于其具有的不确定性和回报周期较长等特点,在资金投入时,必然会影响到管理层的决策。
1.2.3安全信息系统建成模式单一
在我国当前的信息安全信息化建设中,模式单一是其弊端,原因是可借鉴的经验和先例较少,且在现行的信息建设平台中,大部分采用了相同的工作方式和运行原理,缺乏新意,创新程度较低,进一步制约了信息安全的发展。
2卷烟企业安全管理信息化建设的意义
加强卷烟生产企业安全管理信息化建设有重要的意义和作用,是实现卷烟企业长久发展、提高效率的重要保证。在信息化高速发展的今天,信息化对于任何一个企业而言都具有重要的意义,是实现现代化的重要手段。卷烟企业实现信息化后将大大提高企业的生产效率。
2.1是现代烟草农业发展的客观要求
在当今社会中,信息已成为一种重要资源,成为推动社会发展和进步的重要支柱。信息化的发展必然会推动现代烟草业的发展,使卷烟生产更具系统化和专业化,从而提高卷烟的生产效率。在现代卷烟生产中,卷烟行业具有的分散性、时变性和经验性等都是制约卷烟行业进一步发展的因素,而信息化是解决卷烟行业中存在问题的有力武器,信息化会渗透到卷烟生产行业的各个环节和领域,改造传统的卷烟生产,从而带动现代烟草行业的进一步发展。
2.2是现代烟草物流发展的必然选择
我国烟民人群庞大,但因其分散程度较高,因此,必须有效发展烟草物流。烟草行业要想打造现代烟草农业,必然要进一步推动烟草物流业的发展。信息化提高了烟草物流的时效性和连续性,降低了烟草物流的成本,使物流的可操作性得到了进一步提高。信息化可在物流的分拣、配送和综合管理等方面发挥重要的作用,使烟草产业的供应链更加优化,进一步提高供应链的准确性、时效性。
2.3可有效加强烟草行业安全生产管理
信息化可对卷烟生产的各个环节进行监督管理,使卷烟行业监管更具效率,提高了卷烟的生产效率。卷烟质量是卷烟生产企业的重中之重,信息化安全信息管理的建设可有效提高检测水平和质量,及时发现并整改生产环节中存在的问题和缺陷,提高了卷烟行业的安全性,从而确保了卷烟生产的质量。
3卷烟企业信息化建设的措施和建议
3.1提高思想认识
信息化的首要前提是提高思想认识,只有更多的人认识到信息化的重要性和必要性,才会促使更多的资源流入这方面。要提高单位领导的意识,在现代企业的竞争中,谁能掌握第一手资料,便能掌握先机,从而获得更多机会,信息的充足程度决定了企业的发展程度;要提高单位职工的认识,企业的发展与每一个员工息息相关,因此,身为企业的一份子,要将企业的利益放在首位,理解信息化对企业的重要性。
3.2开展人才培训
信息化建设是一个复杂的专业领域,需要有大量的专业人才参与其中,才可有效建立和完善。因此,加大人才的培养力度是加快企业信息化的重要步骤之一。要建立完整的信息处理平台,就要要求各部门协同配合、共同工作。只有各部门团结一致,才能更快地建立完整的信息处理平台。
前言
自中国加入世贸组织后,全球实行经济一体化,信息资源对于企业的发展经营显得十分重要,企业只有尽快实施信息化战略与国际接轨,才能融入到经济全球化的大潮中去。对于企业进行信息化改革需要进行一些规划性安排。其中包含有信息资源规划,这主要是指企业生产经营过程中所需要掌握到的所有信息,从开始采集、处理一直到传输、使用全过程的一个整体规划。企业在生产经营活动过程中,无时不刻都充斥着信息,信息资源与企业人、财、物资源同等重要,都是企业在经营环节中不可缺少的重要资源。而经过长期的发展,很多企业已经开始意识到企业信息资源规划的重要性,认识到它是企业信息化建设的基础工程。而对企业信息化安全的解决应该建立在人员管理的基础之上,致力于整个企业网络管理。
1企业信息化安全与网络管理
1.1网络集成应用系统安全
网络集成应用系统根据不同企业的需求呈现不同的情况,一些企业中的网络集成应用系统比较复杂。不能够很精准的估计防御对象的规模以及价值,也不能简单的对其加以标定界限,针对这种情况,就只能够将网络管理安全保障的工作分解开来。落实到具体的个人,采取一系列有效的措施如主动防御方式去进行。而网络安全信息的防御是一个保障整体网络信息安全的手段,其可预见性以及灵敏性等都为工作带来便利,在面临网络空间可能带来的威胁的同时,站在网络管理者的角度上去思考,为企业网络安全提供一定的保障。因此对于现代社会企业发展中提出的有关信息化安全问题其范围也十分广泛。计算机系统结构安全的信息防御,注重的是以信息参与者的人为主角的主动型安全防御。
1.2企业人员信息技术安全
企业信息化归根到底也是人的参与,因此对于企业在信息化过程中会遇到的信息安全问题也需要人员引起足够的重视。人才是企业在发展中的关键竞争力,企业对于人才的重视程度也在日益增加,而同时也要注重企业的管理。随着时代的发展,信息化已经成为企业不可忽视的发展趋势,当企业投入大量的资金和精力去培养人才进行信息化管理以及掌握信息化技术之后,更需要加强信息安全管理。目前是信息化时代,“信息”对于企业而言是十分重要的财富,企业信息系统中掌握着企业运行经营的大量资源和信息,而信息系统的一些安全隐患大部分来源于外界的侵扰,信息工作和管理人员个人的疏忽也容易导致信息的外泄,这将是对企业造成严重的损失。目前对于企业在信息化方面的标准有多种争议,面对争议我们首先要弄清楚企业目前处于什么样的状况,这些标准都是随着技术水平的改进以及管理要求的变化而变化的,因此针对这些变化,企业需要针对自身的实际情况以及实际需求进行安全管理。
1.3网络管理人员信息技术安全
企业信息化系统管理中最重要的一项安全指标就是信息技术方面的安全,面对高要求的安全管理,对于网络安全管理人员的职业素养以及业务能力也相应提出了更高的要求。而企业信息化系统的网络管理在实际的运行过程中必定会涉及到众多的功能模块,面临企业信息化系统中的网络安全管理一般包含有四大功能模块:配置管理、性能管理、故障管理以及安全管理。而这四大功能构成了网络安全管理的基本功能,除此基本功能之外,网络管理还包括有网络规划、网络操作规范等,以下就来简单分析介绍这些功能:(1)配置管理:网络的配置管理要做到的是自动发现网络拓补结构,构造和维护网络系统的配置。时时的注意网络中被管理监测的对象状态,对网络设置中的一些设备配置的语法进行检测,对于配置进行严格的检验。(2)故障管理:在网络运行过程中时刻的进行网络有关事件的过滤和归并,通过不间断的检测及时的发现在网络管理以及操作过程中出现的一系列网络故障问题,并根据实际问题情况寻找出有效的应对措施和建议,提供一定的排错手段以及工具,逐渐形成一套完善的网络故障预警和解决机制,从而减少故障给企业信息化系统带来的危害和损失。(3)性能管理:性能管理是对网络对象的性能方面数据进行收集、分析以及处理功能,通过分析和收集了解网络在运行过程中的质量安全问题,同时掌握整个网络运行体制中的运行状态信息,为整个网络的使用情况以及未来发展趋势、状况进行一个评估,为进一步的网络规划提供一定的参考价值。(4)安全管理:网络信息的安全主要在于存储在系统中的一些用户信息资料以及企业内部的资料的泄露,加强安全管理无疑是要加强用户的认证、访问控制、数据传输以及存储保密性和完整性,保障网络系统本身的安全。维护系统日志,使系统的使用情况以及网络对象的修改都有记录和有数据可循。加强对网络资源的访问量的控制。例如有些企业在加强网络安全管理方面为了尽量的减少不必要的漏洞,在配置管理中采用了VLAN的方式,这种方式就是将企业内部的不同部门都划分为各个不同的虚拟网段,而针对不同部门的职员设置相应的权限,只有具有权限的职员才能进入某一个虚拟网段,没有权限的用户无法访问其他网段。VLAN其实就相当于是一个计算机网络,里面所有内容都由同一个网线连接着,但是其中的网络又可以分为不同的部分和区域。由于该方式多是通过软件来操作实施的,因此使其具备了更多的灵活性,而该手段的最大优势在于提供了更多的管理控制,这相应的减少了很大一部分的管理费用,同时也提供了更多的配置灵活性。另外,在网络管理中可以通过边界的路由器来控制外来的用户对网络信息的访问,从而可以有效的防止外来用户对本企业网络的侵入和攻击。加之前文中有提到可以加强网络安全的预警机制。通过对告警中的危险事件和信息进行有效的分析和处理,及时发现可能存在的攻击行为,及时发现网络管理中存在的安全漏洞和安全隐患,从而更好的防患于未然。当然,在进行这些网络安全管理手段操作中可以充分借助有关的管理网络的软件,为网络管理人员提供有效的技术信息和保障,而且单一的软件绝对满足不了网络安全管理的需求,需要根据实际情况综合运用多种软件形式,从而满足不同方面和层次的需求,无论是加强网络管理安全还是利用各种管理软件首先必须要提高网络管理人员的综合素质,提升其职业素养和计算机应用水平,人员素质的提升以及相关管理硬件、软件的配套,才能从根本上解决企业信息化管理以及网络安全管理中的问题,提高其管理机制和管理水平。
2结束语
从本文中所阐述的众多问题中可以总结出,无论是网络集成应用系统的框架还是人员信息化和网络管理者角度而言,企业信息化的安全问题主要集中在网络管理方面。而对网络进行管理的主体部分就是人员。因此加强网络管理的安全问题要从人员自身方面的水平以及素质和网络安全管理相关技术两个方面着手,让所有的网络管理者在思想上意识到网络安全管理的重要性。管理人员的重视才会促进有关技术的改进和革新,这也是我们进行网络管理的最终目的和有效保障。
参考文献:
[1]林鹏,叶盛元.互联网与信息化安全(三)[J].华南金融电脑,2006.
中图分类号:TP309
企业要生存、发展,就必须面向市场,适应市场、开拓市场,竭力捕捉市场信息。信息对于市场经济条件下的企业来说,具有生死攸关的巨大价值。没有对大量准确、及时、系统的市场信息资料的掌握,既不能弄清企业外部条件变化对企业生产经营的影响,也无法了解企业内部各环节、各部门、各经营要素的状况、联系和变化。而在同行业之间的信息互通,也是至关重要的,将所有资源充分整合,才能形成综合优势。
中国加入WTO后,国际竞争国内化的趋势将更加明显。企业只有尽快实施信息化战略与国际接轨,才能融入到经济全球化的大潮中去。这里特别要指出企业如何规划有关信息。信息资源规划(Information Resource Planning,简称IRP)是指对企业生产经营所需要的信息,从采集、处理、传输到使用的全面规划。在企业的生产经营活动中,无时无刻不充满着信息的产生、流动及使用。美国信息资源管理学家霍顿(F.W.Horton)和马钱德(D.A.Marchand)等人指出:信息资源(Information Resources)与人、财、物资源一样,都是企业的重要资源。目前,许多企业都已经认识到信息资源规划的重要性,认识到它是企业信息化建设的基础工程。只有做好信息资源规划工作,才能理清并规范企业的真正需求,贯彻信息化建设的“应用主导”方针;才能消除因缺乏信息资源管理基础标准而产生的“信息孤岛”,从而整合信息资源,实现应用系统集成;才能指导SCM、ERP、CRM等应用软件的选型并保证成功实施;才能应用规划的结果来保护我们所珍视的信息。应该说信息资源规划是我们要提供安全策略的前提。[1]
图1是信息安全技术发展的四个阶段,当我们整合了相关信息资源,历经信息安全技术的各个阶段,所缺少的元素便是对于人的信息化水平的要求。
可见,单从信息流向来看,其中的人为干预是必不可少的。因此,保障信息安全更要以人为本,注重网络管理,加强制度化,形成标准的操作规范及流程。针对企业信息化安全问题,内容应当包括:网络集成应用系统(包括信息源、信息传输网络的安全)、企业人员信息技术安全(如信息决策者、使用者)、网络管理人员信息化安全(涵盖了网络管理、权限分配等安全管理内容)。企业信息化安全的解决应在立足于人员管理的基础上,致力于整个企业网络的管理,并以此为目标规划与建设安全、实用、高效的信息环境,为企业信息化带动企业管理现代化保驾护航,推动企业的高速度、可持续发展。
1 网络集成应用系统安全
本人所在单位的网络集成应用系统是一个复杂体系,不可能精确地估计防御对象的规模与价值,无法简单地对其加以标定界限,只有将网络管理安全保障工作分解,落实到人,采取主动防御方式、方法才是上策。众说周知,网络安全信息防御是一个以保证信息整体安全的可预见性、灵敏性、可靠性和连续性为目标的工作,在面对网络信息空间遭受可能的灾难时,我们站在网络管理者的角度应可以提供可靠的安全保障,同时作为各个信息安全的参与者能够主动进行预见性的操作。
因此,现代信息技术发展所提出的信息安全问题,比传统信息安全问题更加错综复杂,涉及因素和领域也更加广泛。计算机系统结构安全的信息防御,注重的是以信息参与者的人作为主角的主动型安全防御。[2]
2 企业人员信息技术安全
企业信息化离不开人的参与,同样企业信息化所带来的安全问题也离不开人的关注。“企业注重人才,人才注重管理。”当我们把员工培养成适应企业快速发展、掌握信息技术的人才后,更需要加强信息安全管理,提高计算机应用水平。因为“信息”是企业的重要财富,这一点是勿庸置疑的。信息系统的非安全因素有可能来自外部(以病毒、黑客攻击的方式),或来自单位内部(来自同事、受信任的客户等等所有接触系统的人),工作人员出于好奇心可能会造成更大的威胁。[3]
上面的管理办法便是从技术角度加强了人员的权限设置,其实最主要的人员信息化安全管理,还是对于配套制度的执行。目前,有关企业信息化标准的争论有很多,这种标准会随着技术手段和管理要求的不断发展而变化。面对变化,企业出台针对本企业安全级别的管理办法,结合自身需求进行安全管理才是“以人为本”的上策。
3 网络管理人员信息技术安全
信息技术安全是企业信息化安全管理的重中之重,这就给网管人员提出了更高的更全面的要求。在实际的网络管理过程中,网络管理应具有的功能非常广泛,包括了很多方面。本人认为,针对我们所面临的企业信息技术安全,网络管理应包括四大功能:配置管理、性能管理、故障管理、安全管理。这四大功能是网络管理的基本功能。事实上,网络管理还应该包括其他一些功能,比如网络规划、网络操作规范等。其中:
配置管理:自动发现网络拓扑结构,构造和维护网络系统的配置。监测网络被管对象的状态,完成网络关键设备配置的语法检查,配置自动生成和自动配置备份系统,对于配置的一致性进行严格的检验。
故障管理;过滤、归并网络事件,有效地发现、定位网络故障,给出排错建议与排错工具,形成整套的故障发现、告警与处理机制。
性能管理:采集、分析网络对象的性能数据,监测网络对象的性能,对网络线路质量进行分析。同时,统计网络运行状态信息,对网络的使用发展作出评测、估计,为网络进一步规划与调整提供依据。
安全管理:结合使用用户认证、访问控制、数据传输、存储的保密与完整性机制,以保障网络管理系统本身的安全。维护系统日志,使系统的使用和网络对象的修改有据可查。控制对网络资源的访问。
举例来说,本人所在单位为尽量减小安全上的漏洞,我们配置管理采用了 VLAN方式,即各个部门划分为不同的虚拟网段,没有权限的用户无法访问其他网段。
VLAN(虚拟局域网)就是一个计算机网络,其中的计算机好像是被同一网线连接在一起,而实际上它们可能分处于局域网的不同区域。VLAN更多的是通过软件而非硬件来实现,因此这使得它具有很高的灵活性。VLAN的一个主要特性就是提供了更多的管理控制,减少了相对日常管理开销,提供了更大的配置灵活性。VLAN的这些特性包括:①当用户从一个地点移动到另一个地点时,简化了配置操作和过程修改;②当网络阻塞时,可以重新调节流量分布;③提供流量与广播行为的详细报告,同时统计VLAN逻辑区域的规模与组成;④提供根据实际情况在VLAN中增加和减少用户的灵活性。
还有就是:我们的网络管理可以通过网关(即边界路由器)控制外来用户对网络资源的访问,以防止外来的攻击;通过告警事件的分析处理,以发现正在进行的可能的攻击;通过安全漏洞检擒来发现存在的安全隐患,以防患于未然。当然,我们这些操作手段可以借助于相应的网络管理软件,以提供给我们相关的技术保障。但在实际操作中,我也发现,单用一种软件是无法实现的。比如IDS、基于SNMP技术的网络拓扑、资产管理等等,这些技术需要我们一步步加强。还有像加强域的管理,充分利用现有软件的功能,都是提高我们网络管理的方式、方法,而这些工作地展开都要基于网管人员的素质和计算机应用水平。
综上所述,不论是从网络集成应用系统框架,还是人员信息化以及网络管理者自身来看,企业信息化安全重在网络管理,而网络管理的核心是人,是整个信息化安全的参与者,只有“硬制度、软管理”相互依托,主动预防、预见网络不安全因素,让所有参与者都意识到网络安全管理对于企业信息安全的重要性,才是我们网络管理的最终目的和有效保障。
参考文献:
[1]Steve Riley, Likes fearing occurs simultaneously the manager, Windows IT Pro Magazine, Microsoft Corp,2006(02):30-32.
[2]Microsoft Corp,Microsoft Security Anthology,Microsoft Corp,2003(03):1-20.
中图分类号:TP309.2文献标识码:A 文章编号:1009-3044(2008)36-2848-03
An Information Security Program for a Distributed Enterprise
GUO Yong, CHEN Rong-sheng, ZHAN Gui-bao, ZENG Zhong-cheng, LU Teng-zu, LI Zhuang-xiang
(Fujian Xindong Network Technology Co., Ltd. Fuzhou 350003,China)
Abstract: Based on the specific conditions of the distributed enterprise, information security architecture in accordance with the relevant standards, a distributed enterprise information security planning principles and objectives. And based on the principles and objectives of the meeting, according to the organization, management and technical aspects of three specific design specifications with the principle. Finally, based on the objective of planning services, a category of information distributed enterprise information security services, planning and design examples.
Key words: distributed; information security; planning; program
1 引言
据来自eWeek 的消息,市场研究机构Gartner 研究报告称,很对企业目前仍缺乏完整的信息安全规划和规范。尽管目前很多企业在信息安全方面的投入每年都在缓慢增长,但由于推动力以外部法律法规的约束和商业业务的压力为主,因此他们对安全技术和服务的选择和使用仍停留在一个相对较低的水平。尤其对于机构构成方式为分布式的企业而言,因为信息安全需求和部署相对更加复杂,投入更多,因此这类企业的信息安全规划就更加缺乏。
本文根据这类分布式企业的特点提出了一种符合该类企业实际的信息安全规划方案。
2 总体规划原则和目标
2.1 总体规划原则
对于分布式企业的信息安全规划,要遵守如下原则:适度集中,控制风险;突出重点,分级保护;统筹安排,分步实施;分级管理,责任到岗;资源优化,注重效益。
这个原则的制定主要是根据分布式企业的实际机构构成情况、人员素质情况以及资源配置情况来制定的。
2.2 总体规划目标
信息系统安全规划的方法可以不同、侧重点可以不同,但是需要围绕组织安全、管理安全、技术安全进行全面的考虑。信息系统安全规划的最终效果应该体现在对信息系统与信息资源的安全保护上,下面将分别对组织规划、管理规划和技术规划分别进行阐述。信息安全规划依托企业信息化战略规划,对信息化战略的实施起到保驾护航的作用。信息系统安全规划的目标应该与企业信息化的目标是一致的,而且应该比企业信息化的目标更具体明确、更贴近安全。信息系统安全规划的一切论述都要围绕着这个目标展开和部署。
3 信息安全组织规划
3.1 组织规划目标
组织建设是信息安全建设的基本保证,信息安全组织的目标是:
1)完善和形成一个独立的、完整的、动态的、开放的信息安全组织架构,达到国际国内标准的要求;
2)打造一支具有专业水准的、过硬本领的信息安全队伍。对内可以保障企业内部网安全,对外可以向社会提供高品质的安全服务;
3)建设一个 “信息安全运维中心(SOC)”,能够满足当前和未来的业务发展及信息安全组织运转的支撑系统,能够对外提供安全服务平台。
3.2 组织规划实施
对于组织规划这个方面,是属于一个企业信息安全规划的上层建筑,需要用一种由上而下的方法来实现,其主要是在具体人事机制、管理机制和培训机制上做工作。对于分布式企业而言,需要主导部门从上层着手,建章立制,强化安全教育,加大基础人力、财力和物力的投入。
4 信息安全管理规划
4.1 管理规划目标
信息安全管理规划的目标是,完善和形成“七套信息安全软措施”,具体包括:一套等级划分指标,一套信息安全策略,一套信息安全制度,一套信息安全流程规范,一套信息安全教育培训体系,一套信息安全风险监管机制,一套信息安全绩效考核指标。“七套信息安全软措施”关系如图1所示。
4.2 信息安全管理设计
基于对管理目标的分析,信息安全管理的原则以风险管理为主,集中安全控制。管理要素由管理对象、安全威胁、脆弱性、风险、保护措施组成。
4.2.1 信息安全等级划分指标
信息安全等级保护是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化健康发展的基本策略。
4.2.2 信息安全策略
信息安全安全策略是关于保护对象说明、保护必要性描述、保护责任人、保护对策以及意外处理方法的总和。
4.2.3 信息安全制度
信息安全制度是指为信息资产的安全而制定的行为约束规则。
4.2.4 信息安全规范
信息安全规范是关于信息安全工作应达到的要求,在信息安全规范方面,根据调查,建立信息安全管理规范、信息安全技术规范。其中,安全管理规范主要针对人员、团队、制度和资源管理提供参照性准则;信息安全技术规范主要针对安全设计、施工、维护和操作提供技术性指导建议。
4.2.5 信息安全管理流程
信息安全流程是指工作中应遵循的信息安全程序,其目的是减少安全隐患,降低风险。
4.2.6 信息安全绩效考核指标
信息安全绩效考核指标是指针对信息安全工作的质量和态度而给出的评价依据,其目的是增强信息安全责任意识,提高信息安全工作质量。
4.2.7 信息安全监管机制
信息安全监管机制是指有关信息安全风险的识别、分析和控制的措施总和。其主要目的加强信息安全风险的控制,做到“安全第一,预防为主”。
4.2.8 信息安全教育培训体系
其主要目的加强的信息安全人才队伍的建设,提高企业人员的信息安全意识和技能,增强企业信息安全能力。
5 信息安全技术规划
5.1 技术规划目标
信息安全技术规划目标简言之是:给业务运营提供信息安全环境,为企业转型提供契机,构建信息安全服务支撑系统。具体目标如下:
1)打造信息安全基础环境,调整和优化IT基础设施,建立安全专网,设置两个中心(信息安全运维中心、灾备中心);
2)建立一体化信息安全平台,综合集成安全决策调度、安全巡检、认证授权、安全防护、安全监控、安全审计、应急响应、安全服务、安全测试、安全培训等功能,实现的集中安全管理控制,快速安全事件响应,高可信的安全防护,拓展企业业务,开辟信息安全服务新领域。
5.2 信息安全运维中心(SOC)
SOC 是信息安全体系建设的基础性工作,SOC 承载用于监控第一生产网的安全专网核心基础设施,提供信息安全中心技术人员的办公场所,提供“7×24”小时连续不断的安全应用服务,提供实时监控、远程入侵发现、事件响应、安全更新与升级等业务,SOC 要求具有充分保障自身的安全措施。除了SOC 的组织建设、基础工程外,SOC 的技术性工作还要做以下几个方面:
1)硬件基础建设,主要内容是SOC 的选址、布局、布线、系统集成,实现SOC 自身的防火、防潮、防电、防尘、安全监控功能;
2)软件基础建设,包括SSS 系统、机房监控子系统、功能小组及中心组划分。
图1 信息安全软措施关系
图2 信息安全总体框架
图3 资产、组织、管理和安全措施的关系
5.3 信息安全综合测试环境
随着分布式企业信息化程度的日也加深,需要部署到大量IT 产品和应用系统,为了保障安全,必须对这些IT 系统和产品做入网前安全检查,消除安全隐患。基于此,综合测试环境建设的内容包括:安全测试网络;测试系统设备;安全测试工具;安全测试分析系统;安全测试知识库。
其中,安全测试网络要求能够模拟企业网络真实的带宽;测试系统设备能够提供典型的网络服务流量模拟、典型的应用系统流量模拟;安全测试工具覆盖防范类、检测类、评估类、应急恢复类、管理类等,并提供使用说明、漏洞扫描、应用安全分析;安全测试分析系统能够提供统计分析、图表展现功能;安全知识库包含以下内容:漏洞知识库,补丁信息库,安全标准知识库,威胁场景视频库,攻击特征知识库,信息安全解决案例库,安全产品知识库,安全概念和术语知识库。
5.4 安全平台建设规划
参照国际上PDRR 模型和国家信息安全方面规范,建议信息安全总体框架设计如图2所示。
主要目的,以资产为核心,通过安全组织实现资产保护,以安全管理来约束组织的行为,以技术手段辅助安全管理。其中,资产、组织、管理、安全措施的关系如图3所示,核心为资产,围绕资产是组织,组织是管理,最外层是安全措施。
在平台中集成十个安全机制,它们分别是:信息安全集中管理;信息安全巡检;信息安全认证授权;信息安全防护;信息安全监控;信息安全测试;信息安全审核;信息安全应急响应;信息安全教育培训;信息安全服务。
6 信息安全服务业务规划
6.1 服务业务规划目标
信息安全服务业务规划目标简言之是:以信息安全服务为切入点,充分发挥企业优势资源,引领信息安全市场,为企业转型创造时机。具体目标如下:
1)推出面向客户安全(检查、教育、配置)产品;2)推出面向大型企业的信息安全咨询产品;3)推出面向家庭安全上网产品;4)推出面向企业安全运维产品;5)推出面向企业灾害恢复产品。
6.2 服务业务规划设计
服务业务规划主要针对具体业务而言,在此列举信息类分布式企业业务作为示例:
1)信息安全咨询类产品,其服务功能主要有:信息安全风险评估;信息安全规划设计;信息安全产品顾问。
2)信息安全教育培训类产品,其服务功能主要有:提供信息安全操作环境;提供信息安全知识教育;提供信息安全运维教育。
3)家庭类安全服务产品,其服务功能主要有:推出“家庭绿色上网”安全服务;家庭上网防病毒服务;家庭上网机器安全检查服务;家庭上网机数据备份服务。
4)企业类安全服务产品,其服务功能主要有:企业安全上网控制服务;企业安全专网服务;安全信息通告;企业运维服务。
5)容灾类安全服务产品,其服务功能主要有:面向政府数据灾备服务;面向政府信息系统灾备服务;面向企业数据灾备服务;面向企业信息系统灾备服务。
7 结束语
通过结合分布式企业的具体实际,按照信息安全体系结构相关标准,提出了分布式企业的信息安全规划原则和目标。并依据次原则与目标,按照组织、管理和技术三个方面提出了具体的实现与设计规范原则。最后,依据服务规划目标,提出了信息类分布式企业的信息安全服务规划设计实例。
参考文献:
[1] 周晓梅. 论企业信息安全体系的建立[J]. 网络安全技术与应用,2006,3:62~64,57.
[2] Harold F. Tipton,Micki Krause. Information Security Management Handbook[M]. Fifth Edition.US:Auerbach Publications,2004.
[3] 魏永红,李天智,张志. 网络信息安全防御体系探讨[J].河北省科学院学报,2006,23,(1):25~28.
[4] 张庆华. 信息网络动态安全体系模型综述[J].计算机应用研究,2002,10:5~7.
[5] ISO/IEC 15408,13335,15004,14598,信息技术安全评估的系列标准[S].
[6] BS7799-1,7799-2,ISO/IEC 17799,信息安全管理系列标准[S].
[7] BS7799-2,Information Security Management Systems-Specification With Guidance for use[S].
中图分类号:F426.8 文献标识码:A
为贯彻落实《烟草企业安全生产标准化规范》,株洲市烟草专卖局结合实际,在充分调研的基础上,对烟草商业企业安全生产标准化达标创建和安全生产信息化建设进行了有效探索。本文结合株洲烟草《烟草企业安全生产标准信息应用》项目研发成果,对烟草商业企业如何开展安全生产标准信息化建设进行阐述和分析。
一、开展安全生产标准信息化建设的意义
《烟草行业安全生产标准化规范》全面规范了烟草企业安全生产的开展方法、途径和标准,为全行业规范安全生产工作、提升基础建设水平,提供了管理和技术支撑。而加强《烟草行业安全生产标准化规范》的宣贯落地,是改善烟草企业安全设施和提高工艺水平,增强从业人员的安全生产标准化意识和规范安全生产行为,提升安全生产管理水平,防范生产安全事故,确保行业安全生产形势持续稳定的重要举措。
株洲烟草在建设过程中认识到安全生产标准化工作的重要性和紧迫性,在安全管理的基础上,围绕《烟草企业安全生产标准化规范》,组织开展标准的宣贯,制订了适合本单位实际的建设方案,探索了一条与职业健康安全管理体系要求相结合、富有本企业特点、可操作性强、基层员工易于理解和接受的安全生产标准化宣贯途径,其意义主要体现在:一是有利于推进烟草企业安全生产标准化规范的应用;二是有利于推动烟草商业企业安全生产信息化的建设;三是有利于提高烟草商业企业安全生产管理水平;四是有利于改善烟草商业企业安全生产管理现状;五是有利于烟草商业企业预防安全风险和减少安全事故。
二、开展安全生产标准信息化建设的方法
根据株洲烟草的实际,开展安全生产标准信息化建设,主要从以下几个方面入手:
(一)明确总体思路。
株洲烟草在建设过程中,明确了“一本手册+一个信息系统”的总体思路。“一本手册”就是通过建立一本《安全生产标准化操作手册》来指导全市系统的安全生产标准化建设工作,满足安全生产标准化基础管理达标定级的要求,适用于本单位的安全生产基础管理,使文本格式化、内容规范化、操作简便化、记录标准化、查询方便化。“一个信息系统”就是通过建立一个《安全生产标准化信息系统》来管理全市系统的安全生产标准化评价、应急预案演练、安全教育培训、安全设备设施台帐等安全管理工作,满足安全生产管理信息化建设的要求,适用于烟草商业企业的安全信息化管理,在基础管理子系统中实现查阅、录入、统计、审批等功能;标准化评价系统包括基础管理规范、通用安全技术和现场规范、烟草商业企业安全技术和现场规范要求等三项内容,具有自评、复评、外评等三个功能。
(二)遵循设计原则。
开展安全生产标准信息化建设应遵循以下五个原则:一是开放性。在设计时考虑到功能的可扩展性与维护的方便性,使用的操作平台类型,应用服务器、编程语言和数据库,遵循了通用性和开放性,减少了后续功能增加和修改的难度,提高了后续服务的方便。二是先进性。采用目前国际上最先进的数据库技术,ASP开发,sql server2000作为网站后台数据库,IIS5作为Application Server。这个组合在测试权威e-Week的测试中显示具有最优性能。三是实用性。该系统以株洲烟草的安全需求为目标,以方便使用为原则,在吸取先进管理经验的基础上,量身定做,并在统一的用户界面下提供各种实用功能,尽可能降低使用前的培训和使用中的维护投入,提供前端网页开发的无逢连接。四是安全性。充分考虑系统及数据资源的容灾、备份、恢复的要求。为系统提供强大的数据库备份工具。充分考虑系统的安全要求,信息管理责任到人。五是规范性。完全按照ISO9001的规范进行系统设计和开发,设计图采用uml进行描述,开发的网站符合政府网站建设的整体要求。
(三)采用正确的方法。
《操作手册》采用的编制方法:一是搜集整理资料;二是分析资料的实用价值;三是设计《操作手册》的框架及目录;四是编辑手册内容;五是聘请安全高级评价师进行审核;六是在全市系统广泛征求意见和建议;七是召开安委会进行评审;八是在全市系统试运行。
《信息系统》采用的开发方法:一是在全面分析需求的基础上,搭建系统框架。具体如下图:
二是与软件开发单位联合开发安全信息系统;三是明确安全信息系统的开发手段;四是分阶段实施安全信息系统的开发。主要包括九个阶段,即需求确认阶段、总体设计阶段、分项详细设计阶段、系统详细开发计划制订阶段、系统开发实施阶段、集成阶段、测试阶段、鉴定验收阶段和系统投入使用和系统维护阶段。
(四)解决好关键问题。
《操作手册》主要解决好7个关键问题:一是组织机构的设置。组织机构设置应遵循精简、高效、适用的原则,做到统一、规范、适合安全生产管理工作需要;二是安全管理制度的梳理和完善。应对已有的安全管理制度进行梳理,对未建立或者是与标准化规范有出入的管理制度进行完善补充,满足标准化规范的全部要求;三是安全生产管理台帐的设置。应制定统一、规范、适用的台帐,满足安全生产基础管理需要,并符合标准化规范的要求;四是安全生产管理记录的规范。主要是规范安全生产管理记录的格式和保存方式;五是应急救援预案的编制。主要包括火灾事故、机动车辆、卷烟仓储、卷烟配送、专卖执法、烟叶生产、卷烟营销等七个方面,要突出行业特色,充分发挥全行业的力量,做到应急救援资源共享;六是安全生产管理考核评价内容的细化。对安全生产标准化规范中的39项考核评价内容进行细化,结合标准化规范基础和现场管理的具体要求,制定更加全面、更加详细、更加具体的考核评价表;七是职业健康安全体系文件的搜集和完善。对烟草商业企业职业健康安全体系文件进行搜集和完善,形成一套覆盖烟草商业企业各重点环节的体系文件。
《信息系统》主要是建设好“安全管理基本信息数据库、信息数据统计和安全生产标准化级别评定”等三个子系统。其中:安全管理基本信息数据库子系统主要是解决好功能设置、实用性及安全性的问题;信息数据统计子系统主要是解决好保密和分级授权查阅以及防止网络入侵,保护信息安全的问题;安全生产标准化级别评定子系统主要是解决好在系统内实现卷烟商业企业安全生产标准化达标评级自动评分功能,实现企业自评和外部评审等两级考核评分功能以及在企业自评过程中,能自动显示本企业与标准化规范的差距,实现安全隐患整改跟踪反馈功能等等。
信息化发展对于企业人员日常的管理,相比较原来旧的方法而言更方便快捷、更高效;对于企业的整体发展的影响,相比较原来用人来发现风险,信息化大数据管控更能提前预知风险并帮助企业更好地解决问题;对于企业组织结构和流程的影响,集成化的网络信息系统是提高质效的一把利器。但现实使用中,企业的信息化进程存在安全度低、信息泄露严重和安全意识低等现象,导致企业和用户损失大量人力物力,甚至受到巨大损失。由此可见,信息化建设对企业发展有着不可小觑的作用,能比原来的模式更有效处理问题、促进企业发展,是所有企业在发展过程中不可或缺的一个环节。
2.企业信息化建设中的网络安全问题
2.1网络安全意识不强
科学技术的不断发展进步,对于企业发展的影响作用不言而喻,但是,相当一部分企业却只看到益处却忽略了“信息安全”的重要性。
近年来,在技术、社会和政府等多方面的努力下,企业的信息化建设发展速度加快,取得很大的进展,其重要作用毋庸置疑,各个企业都越来越重视信息化的进步。但在新闻报道中,经常见到有信息非法獲取、信息交易导致用户信息泄露,这也是每个企业需要反思的问题。数据泄露、信息是否安全等问题并没有引起所有企业的重视,严重的不仅会导致用户信息泄露,如果发生企业数据库被篡改、网络系统崩溃等事件,给企业带来的名誉和财产损失不可估量。
2.2技术水平不高
世界范围内都存在一个不好处理的网络难题———黑客。企业在信息化发展的过程中,免不了遇到技术问题,由于有关人员或团队自身的水平不够和相关方面的经验的缺失,不可避免会存在某些漏洞和问题,这些漏洞和问题恰恰给了黑客绝佳的机会,让他们有机会盗取信息。即使是市面上使用的各个“管家”与杀毒软件也完全检测不到,对企业的安全构成非常大的威胁。
2.3可使用的高水平软件少
一方面是供研发企业使用的高水平软件较少;另一方面是软件安全度低,很多公司虽然看到信息化发展的好处,但却贪图低成本的小利益,花费小成本购买使用安全保护性低的工作软件,结局只会带来难以挽回的后果。
3.企业信息化建设提高网络信息安全性的措施
3.1切实提高企业安全意识
科学技术的进步,促进企业重视信息安全,思考信息安全问题和公司发展之间不可分割的关系,因为信息泄露带来损失还是小事,如果因此减少了企业竞争力,甚至阻碍了企业发展才是最可怕的结果。因此,企业应当提高安全意识,提前准备对策、制定应对突况的策略,防止信息泄露等潜在威胁,将威胁扼杀在摇篮之中。通过建立高技术水平的团队,运用专业知识和工作经验切实增强防火墙安全度,定期维护信息系统,从源头的技术传输阶段维护信息安全,建立完善的信息保护制度,以此来保护信息安全、促进企业发展。
3.2提高信息系统的管理水平
虽然现在大家都在普遍使用《金山毒霸》《腾讯管家》等安全防护软件,但是这些软件也不能保证绝对的安全。改革旧的风险评估模式,健全信息筛选管理安全体系,在一定程度上可以提高安全系统等级、减小信息被盗的风险,在信息系统建立过程中,及早发现风险并妥善处理对企业发展尤其重要。
3.3使用安全性高的软件
1.企业信息系统安全防护的价值
随着企业信息化水平的提高,企业对于IT系统的依赖性也越来越高。一方面,“业务系统流程化”正在成为IT安全建设的驱动力。企业的新业务应用正在逐渐标准化和流程化,各种应用系统如ERP、MES为企业的生产效率的提高起到了关键的作用。有效的管控IT环境,确保IT业务系统的持续稳定运行作为企业竞争力的一部分,已成为IT系统安全防护的主要目标和关键驱动力。另一方面,企业IT安全的建设也是“法规遵从”的需要。IT系统作为企业财务应用系统的重要支撑,必须提供可靠的运行保障和数据正确性保证。
2.企业信息系统安全建设的现状分析
在企业信息化建设的过程中,业务系统的建设一直是关注的重点,但是IT业务系统的安全保障方面,往往成为整个信息化最薄弱的环节,尤其是在信息化水平还较低的情况下,IT系统的安全建设缺乏统一的策略作为指导。归结起来,企业在IT系统安全建设的过程中,存在以下几方面的不足:
2.1 安全危机意识不足,制度和规范不健全
尽管知道IT安全事故后果比较严重,但是企业的高层领导心中仍然存在着侥幸心理,更多的时候把IT安全建设的预算挪用到其他的领域。企业在信息安全制度及信息安全紧急事件响应流程等方面缺乏完整的制度和规范保证,由此带来的后果是诸如对网络的任意使用,导致公司的机密文档被扩散。同时在发生网络安全问题的时候,也因为缺乏预先设置的各种应急防护措施,导致安全风险得不到有效控制。
2.2 应用系统和安全建设相分离,忽视数据安全存储建设
在企业IT应用系统的建设时期,由于所属的建设职能部门的不同,或者是因为投资预算的限制,导致在应用系统建设阶段并没有充分考虑到安全防护的需要,为后续的应用系统受到攻击瘫痪埋下了隐患。数据安全的威胁表现在核心数据的丢失;各种自然灾难、IT系统故障,也对数据安全带来了巨大冲击。遗憾的是很多企业在数据的安全存储方面,并没有意识到同城异地灾难备份或远程灾难备份的重要性。
2.3 缺乏整体的安全防护体系,“简单叠加、七国八制”
对于信息安全系统的建设,“头痛医头、脚痛医脚”的现象比较普遍。大多数企业仍然停留在出现一个安全事故后再去解决一个安全隐患的阶段,缺乏对信息安全的全盘考虑和统一规划,这样的后果就是网络上的设备五花八门,设备方案之间各自为战,缺乏相互关联,从而导致了多种问题。
3.企业信息系统安全建设规划的原则
企业的信息化安全建设的目标是要保证业务系统的正常运转从而为企业带来价值,在设计高水平的安全防护体系时应该遵循以下几个原则:
(1)统一规划设计。信息安全建设,需要遵循“统一规划、统一标准、统一设计、统一建设”的原则;应用系统的建设要和信息安全的防护要求统一考虑。
(2)架构先进,突出防护重点。要采用先进的架构,选择成熟的主流产品和符合技术发展趋势的产品;明确信息安全建设的重点,重点保护基础网络安全及关键应用系统的安全,对不同的安全威胁进行有针对性的方案建设。
(3)技术和管理并重,注重系统间的协同防护。“三分技术,七分管理”,合理划分技术和管理的界面,从组织与流程、制度与人员、场地与环境、网络与系统、数据与应用等多方面着手,在系统设计、建设和运维的多环节进行综合协同防范。
(4)统一安全管理,考虑合规性要求。建设集中的安全管理平台,统一处理各种安全事件,实现安全预警和及时响应;基于安全管理平台,输出各种合规性要求的报告,为企业的信息安全策略制定提供参考。
(5)高可靠、可扩展的建设原则。这是任何网络安全建设的必备要求,是业务连续性的需要,是满足企业发展扩容的需要。
4.企业信息系统安全建设的部署建议
以ISO27001等企业信息安全法规[1]遵从的原则为基础,通过分析企业信息安全面临的风险和前期的部署实践,建立企业信息安全建设模型,如图1所示。
图1 企业信息系统安全建设模型
基于上述企业信息安全建设模型,在建设终端安全、网络安全、应用安全、数据安全、统一安全管理和满足法规遵从的全面安全防护体系时,需要重点关注以下几个方面的部署建议:
4.1 实施终端安全,关注完整的用户行为关联分析
在企业关注的安全事件中,信息泄漏是属于危害比较严重的行为。现阶段由于企业对网络的管控不严,员工可以通过很多方式实现信息外泄,常见的方式有通过桌面终端的存储介质进行拷贝或是通过QQ/MSN等聊天工具将文件进行上传等。针对这些高危的行为,企业在建设信息安全防护体系的时候,单纯的进行桌面安全控制或者internet上网行为控制都不能完全杜绝这种行为。而在统一规划实施的安全防护体系中,系统从用户接入的那一时刻开始,就对用户的桌面行为进行监控,同时配合internet上网行为审计设备,对该员工的上网行为进行监控和审计,真正做到从员工接入网络开始的各种操作行为及上网行为都在严密的监控之中,提升企业的防护水平。
4.2 建设综合的VPN接入平台
无论是IPSec、L2TP,还是SSL VPN,都是企业在VPN建设过程中必然会遇到的需求。当前阶段,总部与分支节点的接入方式有广域网专线接入和通过internet接入两种。使用VPN进行加密数据传输是通用的选择。对于部分移动用户接入,也可以考虑部署SSL VPN的接入方式[2],在这种情况下,如何做好将多种VPN类型客户的认证方式统一是需要重点考虑的问题。而统一接入认证的方式,如采用USBKEY等,甚至在设备采购时就可以预先要求设备商使用一台设备同时支持这些需求。这将给管理员的日常维护带来极大的方便,从而提升企业整体的VPN接入水平。
4.3 优化安全域的隔离和控制,实现L2~L7层的安全防护
在建设安全边界防护控制过程中,面对企业的多个业务部门和分支机构,合理的安全域划分将是关键。按照安全域的划分原则,企业网络包括内部园区网络、Internet边界、DMZ、数据中心、广域网分支、网管中心等组成部分,各安全域之间的相互隔离和访问策略是防止安全风险的重要环节。在多样化安全域划分的基础上,深入分析各安全域内的业务单元,根据企业持续性运行的高低优先级以及面临风险的严重程度,设定合适的域内安全防护策略及安全域之间的访问控制策略,实现有针对性的安全防护。例如,选择FW+IPS等设备进行深层次的安全防护,或者提供防垃圾邮件、Web访问控制等解决方案进行应对,真正实现L2~L7层的安全防护。
4.4 强调网络和安全方案之间的耦合联动,实现网络安全由被动防御到主动防御的转变
统一规划的技术方案,可以做到方案之间的有效关联,实现设备之间的安全联动。在实际部署过程中,在接入用户侧部署端点准入解决方案,实现客户端点安全接入网络。同时启动安全联动的特性,一旦安全设备检测到内部网用户正在对网络的服务器进行攻击,可以实现对攻击者接入位置的有效定位,并采取类似关闭接入交换机端口的动作响应,真正实现从被动防御向主动防御的转变。
4.5 实现统一的安全管理,体现对整个网安全事件的“可视、可控和可管”
统一建设的安全防护系统,还有一个最为重要的优势,就是能实现对全网安全设备及安全事件的统一管理。面对各种安全设备发出来的大量的安全日志,单纯靠管理员的人工操作是无能为力的,而不同厂商之间的安全日志可能还存在较大的差异,难以实现对全网安全事件的统一分析和报警管理。因此在规划之初,就需要考虑到各种安全设备之间的日志格式的统一化,需要考虑设定相关安全策略以实现对日志的归并分析并最终输出各种合规性的报表,只有这样才能做到对全网安全事件的统一可视、安全设备的统一批量配置下发,以及整网安全设备的防控策略的统一管理,最终实现安全运行中心管控平台的建设。[3]
4.6 关注数据存储安全,强调本地数据保护和远程灾难备份相结合
在整体数据安全防护策略中,可以采用本地数据保护和远程灾备相结合的方式。基于CDP的数据连续保护技术可以很好地解决数据本地安全防护的问题,与磁带库相比,它具有很多的技术优势。在数据库的配合下,通过连续数据快照功能实现了对重要数据的连续数据保护,用户可以选择在出现灾难后恢复到前面保存过的任何时间点的状态,同时支持对“渐变式灾难”的保护和恢复。在建设异地的灾备中心时,可以考虑从数据级灾备和应用级灾备两个层面进行。生产中心和异地灾备中心的网络连接方式可以灵活选择,即可采用光纤直连,也可采用足够带宽的IP网络连接。在数据同步方式选择上,生产中心和灾备中心采用基于磁盘阵列的异步复制技术,实现数据的异地灾备。异地灾备中心还可以有选择地部署部分关键应用服务器,以提供对关键业务的应用级接管能力,从而实现对数据安全的有效防护。
5.结束语
企业信息安全防护体系的建设是一个长期的持续的工作,不是一蹴而就的,就像现阶段的信息安全威胁也在不断的发展和更新,针对这些信息安全威胁的防护手段也需要逐步的更新并应用到企业的信息安全建设之中,这种动态的过程将使得企业的信息安全防护更有生命力和主动性,真正为企业的业务永续运行提供保障。
参考文献
[1]李纳.计算机系统安全与计算机网络安全浅析[J].科技与企业,2013.
二、健全法律法规
加强法律法规的完善性,保证数字化档案信息安全管理工作的规范执行。在该执行期间,需要从法律法规角度对其进行研究,基于信息化时展需要,为民营企业的档案信息安全管理工作营造良好的发展氛围。执行过程中,需要根据信息化发展要求、档案信息的主要特征,为其制定完善的法律法规。在该体系执行时,不仅能加强民营企业数字化档案信息管理工作的?范化,实现信息的开放性发展,还能保证民营企业档案信息完整、真实使用。在现代化发展背景下,民营企业面临较大的挑战,为了提高档案信息管理能力,还需要建立完善的管理制度,分析数字化档案信息安全管理工作中存在的一些影响因素,保证制度的有效执行,保证在具体实施工作中,能够将安全理念渗透到企业档案信息管理工作中去。在实施工作中,还要为数字化档案信息管理工作提供备份制度,其中,需要包括登记、异地使用制度等。不仅如此,还要促进数字化档案开放工作的执行期间,保证能够开放一些信息。还需要为档案信息的数字化管理建立维护制度,促进管理工作流程的规范发展,保证工作中各个环节的人员职责都能充分落实,实现任务分布明确,职责合理等,在不同岗位上,遵循不同的工作事项和流程,这样才能使档案信息管理工作符合新时期的发展要求,维持民营企业的健康进步。
三、利用先进手段
在民营企业不断进步与发展的背景下,为了提升数字化档案信息安全管理水平,需要引进先进执行手段。先进手段的引入能够为民营企业的档案信息管理工作提供有效保障,在内部管理工作中,需要相关部门根据自身的发展条件,借鉴一些成功经历,引入有效的数字化档案信息安全软件,促进信息安全设备的有效配置,保证企业在数字化档案管理工作中,提高其中的技术含量。不仅如此,在具体执行期间,还需要根据企业建立的数字化管理系统化,分析运行的实际情况,对计算机的硬件和软件进行优化选择,提高其使用性能。在对计算机软件与硬件进行选择过程中,要重视计算机的品牌和服务器,以全方位的角度对计算机硬件的兼容性、可扩展性进行思考、严格审核,在该工作中,不仅能避免产生数据丢失现象,还能实现计算机系统的优化升级。并且,还需要为其设置信息访问认证工作,开发防病毒软件,为数字化档案信息执行加密工作,这样不仅能防止数据信息被非法侵入,还能促进数字化档案信息的安全管理。
四、提高人员素质
【中图分类号】TU714 【文献标识码】A 【文章编号】1672—5158(2012)08—0255-02
0.引言
随着信息技术的不断发展以及市场竞争的不断激烈,企业信息安全建设已经成为提高企业竞争力的重要途径,杜绝信息泄露可以避免巨大的经济损失。虽然大多数企业在信息安全管理方面采取了较多的措施,但是信息安全问题仍然频发,对于企业的经营活动带来巨大的损失。加强企业内部的计算机管理,提高对于信息安全的认识程度,保证信息数据库的安全,避免信息泄露的发生已经成为现阶段企业信息化建设亟待解决的管理问题。
1.企业信息化建设信息安全影响因素分析
(1)信息系统实体安全。信息实体主要包括用于企业信息化建设的计算机、网络连接、服务器等媒介硬件设施,对于信息实体安全影响因素主要包括火灾、水灾、失窃或者是其他事故造成设备硬件的损坏,从而造成企业信息库数据安全出现问题。
(2)信息系统运行安全。信息系统的安全是指为了保证企业信息数据库的安全,采取各种措施对系统运行进行安全保护。由于信息数据库有可能受到非授权的访问、泄露、数据纂改或者是被其他非法程序控制的威胁,因此确保信息系统运行安全主要是保证信息数据库的完整、保密以及时时可用性。
(3)信息系统管理人员安全责任意识。管理人员在日常工作中的安全管理意识、专业操作水平以及法律意识等均会对企业信息数据的安全产生影响。信息安全管理人员的日常管理工作责任心以及工作方式方法,对于保证信息数据库的安全十分重要。
2.企业信息安全管理问题分析
目前由于管理制度以及软硬件设施等一系列的问题,企业数据库破坏以及重要数据信息泄漏的现象时有发生,严重影响了企业的正常生产经营活动,通过分析发现影响企业信息化建设信息安全的问题主要由以下几方面:
(1)企业内部移动存储设备管理疏松,缺乏安全保密管理制度。由于许多企业在日常管理过程中,移动存储设备使用较多,员工可以随意对企业内部的各种信息资料进行备份,企业用于经营活动的客户信息、产品设计、财务管理等各项信息极易造成泄漏,带来巨大的信息安全损失。部分企业由于对于信息安全管理认识程度不足,企业内部信息安全管理缺乏必要的规章制度,安全管理职责权限不清,信息安全漏洞较多。
(2)对于内部信息共享控制不严格,信息安全管理权限混乱。由于企业在生产经营过程中为了提高生产经营效率以及加强企业内部各部门之间的沟通联系,对于一些设计企业销售计划、客户信息以及生产计划等文件采取共享的措施,因此企业员工的流动或者其他管理不当均会造成企业信息的泄露。
(3)信息权限管理混乱,企业的中介服务体系稳定性较差。对于加密的授权访问,权限管理则成为保护企业信息安全的重要因素。但是由于企业在信息安全管理过程中体系混乱,操作权限不清晰导致经常出现影响信息安全的非授权访问。而且对于部分中小企业由于信息化建设采取对外委托的方式,而中介第三方由于稳定性难以保证,随时更换或者退出的第三方极易造成企业有价值信息的泄漏,影响企业信息安全建设。
(4)信息管理安全防范体系不健全,缺乏针对信息安全管理的专业技术人才。虽然部分企业已经认识到信息化管理的重要性,并在企业网络内设置了必要的安全设备。但是缺乏一系列的安全管理机制,在信息安全管理方面缺乏行之有效的整体规划与具体落实措施。此外,由于大部分企业在信息安全管理工作中将重点放在软硬件设施上,而忽略了对于信息安全技术人员的培养,而且为了减少人力资源支出成本,信息安全管理人员少工作任务重,管理权限集中化程度高,影响了信息化建设的安全管理。
3.企业信息建设信息安全管理措施
(1)加强对于信息库硬件设备的保护管理。首先应保证计算机等硬件设备具有安全的工作环境,做好计算机设备的防火、防潮、防盗措施,并避免强磁环境对信息数据可能造成的损坏。其次,在对各种硬件设备进行检修时,硬组织企业内部相关技术人员进行监督管理,对于需要外送检修的设备,则应提前进行数据加密处理。
(2)提高企业内部的信息安全管理意识。企业信息安全管理对于提高企业竞争力,避免企业经济损失具有重要的意义。在企业的正常管理过程中,加强信息安全宣传工作,使员工充分认识到企业信息安全管理的重要性,并熟悉企业相关信息数据保密的规则制度,提高企业的整体信息安全防范水平。
(3)加强信息安全操作管理人员的管理。在企业信息日常管理过程中,应加强对于业务操作以及数据存取控制代码的管理。系统管理操作代码的获得应经过企业管理者授权,系统管理人员在进行企业相关信息数据库的整理以及维护过程中,必须通过授权进行。系统管理人员离开工作岗位后,相关责任人应及时更换管理员操作代码。
(4)加强企业信息数据库的密码与权限管理。对于涉及到企业信息数据库安全的密码,应分别设置用户密码以及操作密码,并提高密码的安全程度,及时定期更换登陆操作密码。对于组成企业内部局域网络的服务器、路由器等设施的设置管理工作,应严格按照相关管理规定进行设置。
(5)明确企业信息数据库管理制度。对于企业重要的数据应存放备份数据,并采取异地存放的方式对备份数据库进行管理。对于废弃或者需要销毁的数据信息,应严格依照程序采取逐级审批的方式,避免数据信息的泄露。需要进行数据恢复工作时,应严格按照相关技术手册,并对恢复的数据进行验证确认数据的完整可用。
(6)加强企业信息数据机房的管理。相关人员出入信息数据库机房进行数据查阅以及提取工作时,应经由相关主管人员的授权,并登记进入。在日常管理过程中,定期对硬件设备进行保养,同时研究违章操作在信息数据机房安装外部其他软件。
参考文献