企業安全信息精選(九篇)
前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的企業安全信息主題范文,僅供參考,歡迎閱讀并收藏。
第1篇:企業安全信息范文
和諧社會的發展是政治、經濟、文化、社會和生態多方面合力的結果,科技的進步使得電力企業意識到亟需盡快的對電力系統進行革新,從計劃經濟到市場經濟體制的改革中,電力企業為了適應這樣的變化,加強了對管理體制的合理改變和生產效率的大步提高,拉開了電力系統改革的序幕。安全的信息網絡系統的構建是電力企業發展改革過程中至關重要的一個環節,有效的將電力企業的信息安全系統與其管理和考核進行有機結合,更好的服務于電力企業的生產、經營和管理,電力企業安全信息系統風險評估與防御也就成為了電力企業在經濟全球化進程中亟待重視的問題所在。
1 電力企業安全信息系統風險評估
1.1 企業規模發展迅速,信息網絡安全意識淡薄
電力資源是我們社會生活中必不可少的一部分,電力企業在相對壟斷的情況下,發展極其迅速,但在這樣的過程中,我們可以看到,大多數電力企業僅僅對基礎設施和簡單的網絡構建有著重視力度,卻沒有對安全信息系統的風險認識足夠,這種情況下必然產生了諸如網絡安全防御意識差,對網絡信息安全防范的資金投入不足等不良情況的出現。企業規模越來越大,對企業安全信息系統的維護資金投入卻并不高,網絡安全技術沒能及時加強,電力企業也就不能很好的抵御網絡風險,對網絡入侵也顯得無所適從。
1.2 信息化安全資金投入少,管理機制有待完善
電力企業對安全信息網絡的建設的重視并不充分,有些電力企業在管理過程中對信息管理部門完全忽視,只是將企業的網絡信息安全的管理安排給幾個技術員或掛靠到生產技術部門,電力企業作為高盈利企業卻對信息安全資金投入并不充分,信息化管理制度也很不健全。電力企業安全信息機制的構建是個長期的系統工程,我們必須注意到構建專門的信息化部門的重要性,才能在激烈的市場競爭中使得電力企業更好的滿足其發展體制對信息化管理的需求。
2 電力企業安全信息系統的主要問題
2.1 信息安全化管理未分區
國家電力管理委員會出臺的5號規定,對電網企業、發電企業、供電企業等電力相關企業做出了有關其信息安全網絡業務系統構建的明確規定,將這些企業的計算機和網絡技術系統大致分為了管理信息的部分以及生產控制的區域。信息管理區域可以依托各個企業不同的經營管理模式對安全區進行劃分,而生產控制區域一般來說應該由可控制區和非可控區兩大部分構成。在這樣兩個大的區域之間,電力企業必須在國家電力監測認定部門的監督下安裝電力生產專用的單向橫向安全的隔離裝置。如若不能很好的遵從這樣一個標準對電力企業網絡系統進行管理,就經常會出現企業管理信息大區部分網絡直接可以對生產控制區域的數據進行訪問,出現網絡安全事件,影響電力企業的安全生產和發展。
2.2 網絡端口接點存在風險
互聯網技術的革新的步伐越來越快,企業的網絡系統安全建設卻并不牢靠,在部分環節仍然十分脆弱,在電力企業的信息安全網絡建設中, Web程序漏洞、系統漏洞不斷出現,對病毒的侵入無力抵抗,為黑客、病毒制造者提供了入侵的機會,這些信息安全威脅的發生可能會引起電力企業網絡安全系統的癱瘓和網絡故障,為企業造成了這些安全威脅使得企業利益造成了巨大的損失。在最近的一項調查數據中顯示,電力企業中遭受到的網絡安全信息系統威脅中約有70%是由于網絡系統內部的危險侵襲。這種危害的可能發現于諸多方面:對于敏感數據的濫用,對于內部員工的信息監管不力使得信息泄露都提升了企業的運行風險。
2.3 互聯網病毒的侵害
從口語傳播時代到印刷傳播時代,直至現在的網絡傳播時代,互聯網的高速發展使得網絡病毒也迅速得以傳播和擴散。諸多的電力企業網絡內外相連,覆蓋范圍相當廣泛,網絡病毒經常可以有機可乘,牽一發而動全身,從一臺電腦的病毒侵害到整個電力網絡系統,造成網絡通信的阻塞,使得整個系統中的文件和關鍵數據得不到完整的保存,造成不可預計的后果。
2.4 信息安全人員防范意識較低
電力企業信息防范人員對信息安全應用系統的管理是保障信息網絡安全系統的重要一部分。數據庫操作系統的規劃和防范都離不開信息安全人員的有力防范,但在如今的電力企業信息安全系統的管理過程中,相關人員防范意識低下的情況屢屢發生,由此引發的網絡安全漏洞泄露了電力企業機密信息,造成了很大的安全隱患,使企業遭受安全沖擊。用戶的網絡安全防范意識低下是現如今網絡安全的通病,大多數的用戶都認為網絡自身有著一定的自我安全防范意識,對電腦提示的病毒預警視而不見,電力企業中也沒有很好的避免這一點,部分工作人員重技術輕管理,網絡安全信息管理機制的不完善,也給企業的網絡帶來了十分大的管理風險,這就迫切的要求應該對網絡的安全機制進行完善,也應該主動自高工作人員自身的安全防范意識。
3 電力企業安全信息系統風險防御
3.1 防火墻技術的運用
防火墻技術是現今社會經常用于互聯網風險防御的重要手段之一,多用于將可信任網絡和非信任網絡之間相隔開來。電力企業的生產經營和管理的過程中的運行調度中都應該加強在安全檢查中對網絡節點的關注,限制對含帶危險信息的領域的訪問。電力企業在生產經營、分散控制和運行調度的過程中對防火墻技術的運用有效的將信息的采集、整合和應用都限制在可掌控的范圍內,在不同的權限內最大限度的合理的運用著相關資源。
3.2 網絡病毒侵襲的防護
電力企業關系著國家重要電力資源的開發和應用,為了保護電力資源的安全,必須要從內到外的構建起全方位的網絡病毒防侵害系統,更好的對來自于各個方面的病毒信息進行防護。只有提高了企業的整體安全性,在互聯網和周邊的局域網內都安裝好防病毒侵襲的安全網關和內置的病毒防護軟件,才能使得電力企業免受網絡病毒的侵襲,各個方面的數據得以安全與穩定的保存。
在電力企業的網絡準入控制系統中,對接入點客戶的安全策略檢測和身份認證都是必不可少的,若不能通過檢測的用戶應該被嚴令禁止在網絡之外進行隔離。無論是無線用戶還是有限用戶,都將面對互聯網訪問客戶端從驗證、授權到阻止未授權的計算機網絡資源的過程,只有在一系列的檢測中得到審核通過才可以拿到進入內部網絡的通行證,網絡病毒越來越厲害,愈發侵入性越強,對此,電力企業對客戶端主機應該進行更加嚴密的考察,不間斷的對病毒特征信息庫進行更新,維護好網絡的完整和安全性。
3.3 虛擬網的數據備份技術
互聯網技術的網絡拓撲結構設置,加之很好的利用交換機、路由器等功能設置,可以使網絡管理員將任何一個相關局域網內的一些網段結合起來,組成一個局域網。在這個局域網里的信息傳遞速度更加迅速,傳播速度的加快使得網絡信息安全生產過程中的管理效率得到提高,使得電力企業的數據被竊聽的可能性不斷的降低。與此同時,現在電力企業在大多數情況下都會對重要的資料進行數據庫的備份工作,這樣構建起對電力企業信息網絡安全系統的應急預案,可以在出現網絡侵襲時及時的對關鍵業務和應用程序進行保護,確保核心數據系統在出現損害時,企業核心安全得到保護。
3.4 終端設備的網絡準入控制技術
可采用基于網關認證的硬件控制技術,實現對通過無線網絡、有線網絡、VPN網絡、wifi網絡等方式連接的設備進行接入控制。同時,采用“報備重定向+注冊重定向”的雙重認證保護技術,對非法接入的終端設備進行強制重定向安全檢查。對不符合安全等級要求的終端設備,可根據系統策略限制用戶接入網絡或將其訪問限制在隔離區。
網絡準入控制技術應以細致、準確、迅速為原則,對網絡資源訪問進行控制,尤其是一些核心的網絡應用,包括C/S、B/S以及服務器應用;以精益化的客戶端聯動管理為核心,基于多種授權方式,包括單用戶授權、用戶組授權、白名單授權等方式,實現對未受控客戶端實施不同用戶級別的可靠便捷的接入控制。
4 結論
電力企業的安全信息系統是電力企業信息化管理的重要內容之一,有效的對電力企業安全信息系統將要面臨的風險進行評估并且提出切實可行的防御措施,是保障電力企業現代化管理的有力手段。隨著近些年來互聯網技術的增強,電力企業的安全系統構建也愈發的完善,為電力企業的良性循環運行提供了必要的技術支持和保障,因此,我們應該重視對互聯網信息的保護,防御病毒的侵害,為為電力企業的安全信息系統的正常運行營造起安全的網絡環境。
參考文獻:
[1]陳偉.電力系統網絡安全體系研究[J].電力系統通信,2008(01).
[2]牟奕欣.關于電力系統的網絡安全的探討[J].中國經貿,2010(14).
第2篇:企業安全信息范文
隨著企業數量的不斷增多,企業各自的網站管理及瀏覽量也都面對著嚴峻的考驗,而其中網絡安全方面更引起了社會的強烈關注,因此,構建企業網絡信息安全體系成為當務之急,尋找一些安全有效的途徑勢在必行。
1 挖掘網絡科技人才,增強企業網絡信息加密防護
企業大幅增加導致大量的網站逐漸增多,而來自不同環境中的瀏覽次數也在不斷攀升,這些都會對企業網絡信息安全造成一定的影響,輕者導致網絡系統失常,重者促使整個公司的網絡崩潰,一些重要的信息外泄,后果不堪設想。因此,杜絕企業網絡信息的流失才是根本之道,這也就需要大量的網絡科技人才,通過網絡編程與內容編輯等各種方法增強企業網絡信息加密防護。
大量的網絡科技人才通過一套完整的信息編程加密措施,能夠保證企業網站在大量的瀏覽量下,幾乎不會感染病毒木馬,同時保證整個公司的網絡應用順暢快捷。一些新的技術出現,其背后都存在團隊的巨大付出,因此整個網絡科技團隊的質量也是企業網絡信息安全體系建立的關鍵因素,是整個公司網絡安全保障的基石。我們也可以仿效銀行網站的管理方式,雖然企業網站的瀏覽量不及銀行網站,或者企業網站的應用性更狹窄一些,但是我們在企業網站的制作中加入銀行網站的幾個安全特性,這樣也會鞏固整個企業網絡安全屏障。企業網站也具備一定的注冊和登錄功能,此處我們就可以仿效銀行網站,在登錄時針對每個用戶實習密碼加密,這樣就會避免木馬等通過鍵盤痕跡等盜走用戶密碼,從而進一步導致公司信息遭受重創的現象。
2 企業內部人員對網站的不斷更新升級
目前,我國很多企業存在一個很嚴重的問題,企業網站建成后基本上就不怎么用,只將其當成一項業務完成,而沒有對其以后的持續管理及更新升級產生重視,置之不理。這種做法是極其錯誤的,企業網站的一個最大的作用就是宣傳,讓廣大客戶群體能夠對企業有一個充分的認識,及時把握公司的一些新的信息動態。大多數企業的這種針對企業網站置之不理的行為,不但對自身的發展制造了障礙,對整個社會的網絡體系也構成了污染,網站發揮不到應有的作用,還占有域名,讓一些想通過網站大量宣傳自己的企業不能申請。這些現象都應該引起國家有關網絡管理部門和企業內部人員的重視,積極提出建議及正確做法,做到企業網絡信息的不斷更新與升級,這樣才會保證網站的永久創新,也減少了安全信息危害的危險。
當然,現在很多企業已經成立了網絡部門,目的就是針對網絡速度和安全威脅方面提高警惕,采取措施積極阻止。企業內部人員在網站管理方面不但要有一定的理論知識外,更要將其應用與實踐,達到兩者之間的巧妙結合。純網站技術人員還需要積極參與到整個公司的輪崗經驗實習過程中,了解其他部門的工作事項及內容,全面學習網站編輯工作,促使真個公司的近期動態呈現在網站上面,這樣可以保證客戶群體明晰企業的發展動態,也做到了對客戶負責任的目的。企業內部員工應力求保證積極的心態,參與到企業網站建設當中去,針對各自部門的安全信息一定要加密防護,防止外泄,保證網站建設順利進行的同時,公司的工作狀態及安全信息也能夠妥當處置,對公司內部和外部的客戶群體都有一個很好的交代,促進整個企業的發展順利向前。
第3篇:企業安全信息范文
關鍵詞:安全管理管理信息系統危險源辨識
煤炭企業的安全問題根源何在?如何解決呢?我們認為關鍵在于預防,而預防需要體系。有效的預防來自完整的體系,建立整體的安全管理體系包括全面的規劃、及時的信息收集、流程化跟蹤處理、多角度的對比分析,通過建立安全資源規劃、安全教育、安全指標體系、監控檢查、分類、評估、控制與治理、分析的管理鏈,實現動態優化的安全預防過程管理。
煤礦自然條件差,災害多、煤礦數量多,大、中、小并存,差異大、煤礦機械化程度低,安全技術裝備不足、煤礦從業人員結構復雜,綜合素質差,管理落后。
目前,我國煤礦的安全管理主要是由管理人員憑主觀意志和經驗進行工作,管理技術和手段落后。這種管理模式,由于受管理人員的知識、經驗和責任心的限制,很難適應礦井災害事故的復雜多變條件,這也是煤礦災害事故多發的原因之一。為此,下面探討如何將安全管理系統應用于煤礦企業的安全管理中。
一、安全管理信息系統分析及設計
按照管理信息系統的研制過程,筆者首先對多家生產企業進行了調研,總結出現有安全管理系統之癥結所在,(主要是安全管理中作為決策依據的信息流通不暢,如果不改變信息的收集方式、渠道及處理周期,這個問題就無法解決)從而得出關于項目目標的比較明確的認識。根據事故控制的基本模式,在系統設計時,要考慮幾個信息反饋回路,而以下兩個基本回路尤為重要。
其一:制表(安全檢查表)檢查(工作崗位)隱患評價打印(整改通知)有關部門整改(工作崗位)
其二:隱患總庫制表(安全檢查表)檢查發現新隱患(新隱患)存檔總庫
因此,系統應按如下方式運行:
首先,通過危險源辨識發現來自各分廠工段的事故隱患,經過匯總、分析后,輸入安技部門的中心計算機,并分別建立了兩個事故隱患檔案:一個是按不同的崗位來分的事故隱患檔案,安全檢查表的制訂就是以它作為依據;另一個是按其所屬的不同的專業部門來分的事故隱患檔案,它是用來區分事故隱患的類型,以便制訂出各種專業報表,發送至各專業部門。各個不同崗位的安全檢查表通過計算機打印出來后,發送至各生產崗位。工作人員依表進行安全檢查,發現事故隱患后,及時通過網絡系統反饋回安技部門的信息管理中心,進行匯總,建立當前事故隱患檔案。再根據按專業分隱患檔案對其進行分類匯總,制訂出各種不同專業報表,再通過網絡系統發至各專業部門,指導其進行事故隱患整改。
如果,在當前事故隱患檢查中發現未列出的新事故隱患,則把它存入事故隱患檔案(包括按崗位分和按專業分事故隱患檔案)不斷增加內容,因此,安全檢查表的內容也隨之豐富。當前事故隱患檔案的建立,是為了實現對各專業部門進行的隱患整改情況的跟蹤監督。通過與當前事故隱患檔案中情況的對照,可發現以前的事故隱患是否已得到整改,從而采取相應措施。
在系統中,建立以上三種事故隱患檔案之后,還可建立傷亡事故檔案,以及危險作業崗位工作人員的素質、崗位安全教育培訓檔案等。
二、系統的應用說明
1、危險源辨識
危險源辨識是建立安全信息管理系統的基礎,也是建立此系統的第一步。進行危險源辨識工作時,不僅要分析以往發生的傷亡事故資料,還要參照來自系統外部的其它有關信息資料。危險源辨識,應掌握下列幾項內容:
1)生產設備本質安全化水平,設計缺陷及作業環境缺陷;
2)人機匹配問題;
3)事故嚴重度和發生概率;
4)事故可能發生的模式及波及范圍預測。
按此要求進行危險源辨識,再輔以系統安全分析方法,即可找出各種潛在的事故隱患,從而為安全檢查表的制訂和隱患的整改工作打下基礎。
2、信息管理系統
主要是指設在安技部門的中心計算機信息管理系統。
1)模塊設計
該系統的模塊設計包括兩個方面:數據存貯設計和處理過程設計。
數據存貯設計主要是確定存貯的內容和文件的組織方式。它包括各種檔案文件的建立及分類。
處理過程設計主要是把模塊分為四類:輸入匯總、查詢、打印報表和復制。
系統主控模塊由下述多個功能模塊組成,在菜單提示下調用子程序執行其功能。
2)程序編制
在本系統中,編程使用的語言主要是中西文FOXBASE2.1+,從數據庫語言本身的優點看,FOXBASE2.1+是開發本軟件非常合適的語言,而且在我國普及很廣,對漢字系統的要求也不很嚴格,具有很強的適應性和可移植性。系統升級也很容易,用FOXBASE語言編寫的程序可不做任何修改而直接在FOXPRO系統下運行。且可編譯成.EXE文件,直接在DOS下運行,加強了系統的保密性和裝載速度。
3、安全檢查
安全檢查是安全管理信息系統成敗之關鍵。安全檢查表依據從危險源辨識和系統安全分析(主要是事故樹分析)得到的事故隱患檔案確定。因而其內容全面、客觀、具有嚴格的科學性。要求設計崗位檢查內容各異,表格形式通用的安全檢查表,同時融安全檢查和設備點檢的要求于一表,以減輕工人負擔。檢查表的主要內容包括:檢查項目,檢查內容(包括其它新的內容)及標準,檢查結果(包括備注)以及檢查人和檢查日期。各危險崗位的工作人員和安全員應嚴格按照檢查表進行檢查,及時將事故隱患反饋給安技部門。如果發現的事故隱患已由工作人員或車間內部自己解決,也需記入檢查表內,并注明已得到整改。
4、隱患整改
隱患整改是安全管理信息系統的最后實施體現,前面所做的一切都是為實施隱患整改創造條件,而隱患整改才是系統起作用的極為重要的手段。
應該建立以安技、設備動力、生產、運輸、保衛五個專業部門為主體的隱患整改機制,凡屬于設備、電氣方面的信息,直接由設備動力部門解決,交通車輛事故隱患由運輸部門解決,這種按系統管理,分級負責的方法有利于充分發揮各專業部門的安全生產責任及其積極性。
安技部門的信息管理系統,分系統、按職責將事故隱患制成各種專業報表,通過安全管理信息系統網絡,及時反饋到有關部門的終端上。
第4篇:企業安全信息范文
【關鍵詞】企業局域網 信息安全 問題分析
企業的發展離不開科學的管理水平,現代化的管理方式離不開網絡。網絡提供給企業充分的可利用的資源,提高了各個部門之間的聯系,為企業的推廣提供了更廣闊的平臺,最終提高了企業的經濟效益。但是網絡業不是萬能的,網絡在提供給企業安全的同時,也存在著一些信息安全的隱患,如黑客、破壞性病毒、流氓軟件等給企業的網絡安全帶來了威脅。如何保護企業的信息安全,提高局域網信息安全,是企業需要引起重視的問題。
1 企業局域網信息安全風險
互聯網的普及,局域網技術的應用已經成為企業信息傳遞的重要部分。通過調查,我國超過60%的企業及用戶正處于網絡安全“高風險”的程度,每年因網絡安全而導致重要信息被盜,給企業帶來了數百億的經濟損失。企業對局域網的安全問題一直存在著困擾,每年在網絡安全上的投入也不斷增加,但局域網信息不安全的因素仍然存在。
1.1 外部環境不安全因素
局域網被破壞,容易導致企業整個網絡的癱瘓。局域網最大的威脅來自于網絡外部的不安全因素。企業的發展離不開競爭,有些惡意的競爭會主動攻擊企業的網絡,以盜取企業的關鍵信息,以滿足自己的利益。另外,網絡病毒和木馬等對計算機和網絡的破壞性越來越大,大部分企業的網絡技術得不到更新,導致企業網絡容易受到病毒和木馬的攻擊,導致企業多個程序被破壞,企業的發展秩序被破壞,影響經濟發展等。
1.2 內部操作不安全因素
局域網的不安全因素還包括對計算機的操作不當和設備故障等因素。企業中,大部分員工只會對自己熟練的部分進行操作,對計算機安全的意識不足,導致局域網絡出現故障。有些企業的局域網設備得不到更新,操作系統存在缺陷,導致用戶密碼被盜,對企業的信息數據安全存在著很大的威脅。
2 企業網絡安全的措施
2.1 建立網絡安全防護系統
企業在建立局域網的同時,還應當完善企業的網絡安全防護系統,以保護網絡信息安全。首先,建設完善的主動防護入侵體系,這主要在網絡與主機的鏈接方面,從源頭做好信息安全工作。在局域網段中安裝網絡入侵器,以保護各網段的數據,如果發現有入侵就會發出提示切斷網絡服務鏈接,在主機處安裝FTP服務器,以對系統進行智能的保護。第二點,建立防火墻,在計算機的路由器上設置好包過濾防火墻,以屏蔽子網中的服務器,但也能讓電子郵箱和信息服務器等順利實施,將外部的網絡訪問限制在可賽性范圍之內。防火墻的設置能夠在計算機的硬件和軟件方面進行檢測,避免非法入侵,以保護網絡信息資源。第三點,針對違法攻擊網絡的情況,設置入侵檢測技術,檢測非法入侵行為。接下來,設置安全審計技術和榮火容錯技術,以檢查局域網絡中俄安全事件,并實施安全策略,以保護計算機的正常運行。最后,建立好網絡行為檢測系統,根據企業的發展需要,對網絡加以相關設置,以保護網絡信息安全。這項技術可以檢測企業內部的重要文件的訪問情況,并對其訪問進行加密管理。這種技術也可以約束企業員工的操作行為,在正常上班期間禁止聊天,玩游戲等。
2.2 提高網絡安全防護意識
企業員工對計算機安全的意識不夠,也導致了信息不安全。企業各部門的管理都利用了局域網,企業的各種信息通過網絡傳播獲得。企業員工在對計算機操作時,要經常對自己的電腦進行殺毒和清理不需要的文件,以保護自己的計算機不被病毒侵害[3]。在整理信息時,需要對信息進行妥善安排,對重要的信息要加以保護。網絡方便了信息的傳遞效率,但網絡也具備一定的公開性,因此,在重要信息傳遞時,要注意傳遞信息的途徑,不要在公眾的聊天場合進行文件的傳遞。可以通過郵箱等采用專人轉機獲取信息,以保護網絡下信息的安全性。企業還應組織員工針對網絡安全方面的培訓與指導,確定網絡信息安全的責任制度,從而提高企業員工的網絡安全意識。在使用電腦時,要養成正確的使用情況,不隨便進如游戲網站,不亂下載與工作不相關的軟件等。
2.3 定期進行網絡安全監測
在安全防護系統和企業防護意識的保護下,企業的信息安全也不能被忽視。在日常的網絡保護中,需要定期對網絡進行安全監測。制定出相應的規章制度能促進網絡安全的順利進行。企業的局域網應用中,需要對企業的安全技術加以更新,以保證局域網的順利進行。為了避免局域網出現問題,企業應做好各部分相關的措施,在網絡出現故障時,能夠盡快修復好網絡,保護網絡信息不被破壞。同時,要經常更新網絡操作系統,清理不必要的服務項目,以防止黑客和木馬對計算機的破壞。在重要信息的保護環節,要實施“權利限制”企業重要的信息,只有相關人員才能獲得,設置好網絡配置,并進行多關卡的網絡設限,如果遭到入侵,在最初的源頭將會發出警報,系統自動生成保護措施,保護信息不被盜竊和破壞。
3 結語
在企業發展中,局域網絡信息安全的保護尤為關鍵。企業要做好最基本的防護工作,以保證企業工作的順利進行。在日常的操作中,要養成良好的計算機網絡安全意識,對重要的信息設置好密碼,及時安裝系統漏洞,按時清理不必要的文件等。企業的信息管理員要對及時更新防護信息,采取良好的措施來保護企業的信息,使網絡能夠正常運行,以促進企業的經濟效益提高。
第5篇:企業安全信息范文
關鍵詞:信息化 信息安全 網絡安全
根據國家統計局年初公布的數字顯示,國內企業總體的99%都是中小企業,他們貢獻了超過一半的國內GDP。但截止到目前,這些中小企業的信息化水平仍然比較落后,其中針對信息安全的投人,更是鳳毛麟角。
對于國內占大多數的中小企業來說,如何在充分利用信息化優勢的同時,更好地保護自身的信息資產,已經成為一個嚴峻的挑戰。特別是近兩年來,網絡上的病毒、攻擊事件頻發,信息安全問題正在日益成為中小企業信息化進程中的難題。
一、什么是信息安全
信息是一種資產,與其它重要的資產一樣,它對一個組織而言具有一定的價值,因此需要適當的加以保護,而信息又可以以多種形式存在。如可以打印或者寫在紙上,以數字化的方式存儲,通過郵局郵寄或電子手段發送,表現在膠片上或以談話的方式說出來。總之,信息無論以什么形式存在,以什么方式存儲、傳輸或共享,都應得到恰當的保護。
所謂信息安全是指信息具有如下特征:
安全性:確保信息僅可讓授權獲取的人士訪問;完整性:保護信息和處理方法的準確和完善;可用性:確保授權人需要時可以獲取信息和相應的資產。
信息安全是指使信息避免一系列威脅,保障商務的連續性,最大限度地減少業務的損失,從而最大限度地獲取投資和商務的回報。它主要涉及到信息傳輸的安全、信息存儲的安全、以及網絡傳輸信息內容的審計三個方面,它可以通過實施一整套恰當的措施來獲得。但目前我國的信息安全令人堪憂,隨著政府上網和企業信息化的推進,越來越多的企業的日常業務已經無法脫離網絡和信息技術的支持,那么我國中小企業的信息安全現狀如何呢?
二、我國企業信息安全的現狀
(一)企業的重視程度
隨著信息化的加快,企業信息安全越來越受到重視,而我國的中小企業信息安全現階段正處于初級階段。在推進企業信息化的進程中,有些中小企業對于信息化概念的認識遠遠不夠,它們認為購置幾臺電腦放到公司,日常用來打打字,將單個機器連結到網上企業就信息化了,遠遠沒有認識到信息技術給企業所能帶來的巨大的變化,對于網絡安全更是沒有意識。
據調查,目前國內90%的網站存在安全問題,其主要原因是企業管理者缺少或沒有安全意識。某些企業網絡管理員甚至認為其公司規模較小,不會成為黑客的攻擊目標。如此態度,網絡安全更是無從談起。
(二)資金、技術、人員方面情況
已建立了企業內部信息化平臺的企業,由于資金、技術等方面的原因,還沒有把重點放到網絡安全管理上,尤其是中小企業的安全問題一直隱患重重。
據了解,許多中小企業沒有專門的網絡管理員,一般采用兼職管理方式,這使中小企業的網絡管理在安全性方面存在嚴重的漏洞,與大型企業相比,它們更容易受到網絡病毒的侵害,損失也比較嚴重。
根據IDC對2005年我國政府、企業用戶的信息安全狀況分析,約有34.8%的企業因內部雇員的行為(包括對內部資源的不合理使用和對內部數據缺乏有效保護)而造成企業出現安全問題。
(三)網絡維護、運行、升級方面的情況
在網絡的維護、運行、升級等事務性工作方面,由于工作繁重而且成本較高,一些善于精打細算的中小企業在防范黑客及病毒方面舍不得投入,據相關調查數據資料統計,國內七成以上的中小企業,一是缺乏基本的企業防毒知識,購買一些單機版防毒產品來防護整個企業網絡的安全。二是采購了并不適合自身網絡系統的企業防毒產品,因此留下許多安全隱患。三是技術力量薄弱,雖然部署了企業防毒產品,但是這些產品操作難度大、使用復雜,最終導致很難全面發揮效用,甚至成了擺設,這樣一來企業內部網絡就根本沒有什么安全而言。
三、如何保證我國中小企業的信息安全
(一)從企業的自身情況考慮
要解決中小企業網絡信息安全問題,不能僅依靠企業的安全設施和網絡安全產品,而應該考慮如何提高企業自身的網絡安全意識,將信息安全問題提升到重視的高度,要重視“人”的因素。具體表現在以下兩個方面:
1.提高安全認識
定期對企業員工進行網絡安全教育培訓深化企業的全員信息安全意識,企業管理層要制定完整的信息安全策略并貫徹執行,對安全問題要做到預先考慮和防備。
2.要求中小企業在上網的過程中要做到“一做三不要”
(1)將存有重要數據的電腦堅決同網絡隔離,同時設置開機密碼,并將軟驅、硬盤加密鎖定,進行三級保護。
(2)不要在自己的系統之內使用任何具有記憶命令的程序,因為這些程序不但能記錄用戶的擊鍵動作甚至能以快照的形式記錄到屏幕上發生的一切。
(3)不在網上的任何場合下隨意透露自己企業的任何安全信息。
(4)不要啟動系統資源共享功能,最后要盡量減少企業資源暴露在外部網上的機會和次數,減少黑客進攻的機會。
(二)從網絡安全角度考慮
1.從網絡安全服務商的角度來說,服務商要重視中小企業對網絡安全解決方案的需要,充分考慮中小企業的現實狀況,仔細調查和分析中小企業的安全因素,開發出適合中小企業實際情況的網絡安全綜合解決方案。此外,還應該注意投入大量精力在安全策略的施行及安全教育的開展方面,這樣才能為中小企業信息安全工作的順利開展提供堅實的保證。
2.要用防火墻將企業的局域網(Intranet)與互聯網之間進行隔離。由于網絡攻擊不斷升級,對應的防火墻軟件也應該及時跟著升級,這樣就要求我們企業的網管人員要經常到有關網站上下載最新的補丁程序,以便進行網絡維護,同時經常掃描整個內部網絡,以發現任何安全隱患并及時更改,才能做到有備無患。
3.企業用戶最好自己學會如何調試和管理自己的局域網系統,不要經常請別人來協助管理。中小企業要培養自己解決安全問題的能力,提高自己的信息安全技術。如果缺乏這方面的人才就應該去引進或者培養相關人才。
4.內部網絡系統的密碼要定期修改。
第6篇:企業安全信息范文
信息技術的逐漸普及為企業日常業務發展搭建了一個廣闊平臺。在其給企業帶來便利條件的同時,也給企業發展帶來了巨大挑戰,網絡病毒多樣化、黑客公開化等問題的出現便是一個有力佐證。雖然多數企業已經意識到網絡系統安全的重要性,但是受到企業成本約束,網絡環境變化迅速、企業管理制度有待完善、網絡系統安全管理人員綜合素質參差不齊等因素的影響,部分企業網絡安全與現實要求存在較大差距。本文就某企業信息網絡安全系統進行了分析,并對研究過程中設計的概念及關鍵技術進行了探討分析,以便對企業信息網絡安全系統加以完善。
1信息網絡安全策略
信息系統安全策略,是為了確保系統安全運行,所采取的以先進技術為支撐的常見信息網絡安全技術手段。就現階段所采取的信息網絡安全策略而言,主要包括文檔加密、安全操作系統升級、采取先進的信息網絡安全技術、強化安全管理等措施。
2信息網絡安全技術
信息網絡安全技術包括防火墻、病毒技術、密碼技術等,而在網絡安全技術的實際應用過程中多是通過合理配置多項技術來強化信息網路的良好運行。
2.1防火墻技術
該項技術是進階段逐漸發展起來的一項技術,通過對網絡拓撲結構與服務類型上的隔離來加強網絡安全,形成一道安全屏障,阻止非法訪問,確保內網數據安全。而就防火墻的關鍵控制措施而言,主要由過濾包、應用網關、服務等組成。從防火墻的功能技術經濟合理性分析,其管理方式安全性較高、較為經濟合理。就其具體的功能作用而言,首先是對內部網絡進行劃分,隔離關鍵網段,限制不符合規則的數據包通過,以避免因局部網絡出現問題而使整個網絡受到影響,降低了內部網絡安全風險;其次,防火墻能夠在日常的隔離過濾過程中形成訪問日志,并形成自己的統計數據,在出現可疑情況時,其能做出快速響應,為網絡是否受到檢測與攻擊提供詳細的數據支持,從而為管理員合理分配網絡資源提供決策依據。
2.2VPN技術
VPN(virtualPrivateNetwork,虛擬專用網)也是一種較為新穎的網絡技術,以公共網絡為媒介,通過對內部局域網的擴展,將分步在不同位置的網絡構建成一個虛擬專用網。這種連接方式能夠完成遠程客戶和企業內網臨時虛擬連接,為遠程用戶以及企業分機構提供安全連接,在保障安全運輸的同時,降低關于局域網與遠程網絡連接費用。對于VPN技術而言,通過運用防火墻、數據加密以及身份驗證等技術,實現數據傳輸效率的大幅提升,并并確保數據傳輸安全。
2.3其他幾項信息網絡安全技術
就常用的信息網絡安全技術而言,除了防火墻技術與VPN技術之外,還包括以下幾種技術:防病毒技術、密碼技術、入侵檢測技術、身份認證技術以及安全漏洞檢測技術等。(1)防病毒技術。從技術層面而言,多是從預防、檢測、殺毒、免疫等四個不同技術角度對系統加以維護。(2)密碼技術。數據加密是網絡安全的基礎手段,通過改變所傳輸內容加密鋼的方式,實現在沒有密鋼的條件下對信息內容解析。(3)入侵檢測技術。入侵檢測系統(IntrusionDetectionSystem)簡稱IDS。該技術是一種自動監測信息保護防護技術,分別以主機型、網絡型和混合型的形式,分析信息源的收集方式。(4)身份認證技術。該項技術分為身份識別和身份認證兩個部分。其技術的難點在于身份認證環節。在這一過程中,系統需要準確對用戶加以辨別,而用戶也要準確向系統表明身份。(5)安全漏洞檢測技術。安全漏洞檢測技術按照定義的策略掃描系統,對系統網絡服務所存在的漏洞進行掃描,對其進行詳細的數據分析之后,形成漏洞報告,并及時想系統管理員反饋信息,由系統管理員根據漏洞報告提供有針對性的修補方案,進而以軟件升級、關閉軟件等形式確保系統免受攻擊。
3企業信息網絡安全技術框架
從實際運行需求而言,為確保網絡系統中軟硬件和有關數據受到良好保護,企業就應該加強關于信息網絡安全管理,對系統所處物理環境進行分析,明確其安全現狀之后,對企業信息網絡安全系統框架加以調整,并根據安全系統子模塊和相應功能重新劃分。但是,值得一提的是,在對其調整之前,首先應明確調整框架的原則,即高性能和穩定性、擴展性、經濟和時效性、安全性和保密性、標準化和開放性。在遵循了這五項原則之后,對其信息網絡安全系統框架設計加以調整。現從信息網絡安全系統的安全管理部分和安全技術部分兩個方面進行闡述:
3.1安全管理部分
安全管理部分包含組織機構、人員管理、策略管理和運營管理等四個功能不一的子模塊:(1)組織機構:建立一套滿足企業信息網絡系統安全需求的組織機構,確保組織的正常、有序運作,為信息網絡安全系統的安全運行提供組織保障;(2)人員管理:在這一模塊,對信息網絡安全系統涉及的管理人員進行系統管理,提升他們的安全管理意識與業務能力,確保各項工作有序開展。(3)安全策略:就本模塊而言,其目的是從宏觀層面建立一套信息網絡安全制度,從政策層面指導各項工作的有序開展,就具體的制度內容而言主要包括安全管理體制與安全管理制度兩個方面。(4)運營管理:在該模塊操作過程中,從微觀層面出發,將各項制度落實到每一個環節中去,與安全管理策略相互配合,確保系統安全運營。
3.2安全技術部分
就安全技術部分而言,是從業務的角度出發,由漏洞管理、安全控制、響應管理、風險管理和資產管理四個模塊組成,每一個模塊都有不同的功能,而每一個子模塊都由不同功能模塊組合而成。就具體的組成模塊而言:(1)漏洞管理包括入侵檢測、漏洞掃描、網絡監控及安全審計。(2)安全控制包括防病毒、防火墻、反垃圾郵件和防拒絕訪問。(3)響應管理包括管理平臺、產品響應和人工響應。(4)風險管理包括風險識別、風險監控、風險控制、風險避免、風險轉移和風險評估。(5)資產管理包括物理環境、網絡設備、服務器、主機系統、用戶終端和應用系統。
4企業安全需求分析
在筆者對企業的信息網絡安全系統分析之后,結合其安全信息現狀,對其安全需求進行了歸納總結。認為其在網絡安全實際建設過程中,需做出以下調整:(1)重構安全技術與安全控制架構;(2)重新劃分安全區域;(3)配置網絡威脅檢測;(4)配置集中認證審計系統;(5)升級改造VPN系統和防火墻系統。
5企業信息網絡安全系統部署思路
企業將其內部網絡連接至Internet網絡時,其網絡安全問題自然會成為企業所關注的焦點問題。為保障企業內部網絡安全,在避免企業內部用戶提供非法網絡服務同時,預防外界網絡攻擊,企業應當采取相應的安全措施防止外界對機構網絡資源的非法利用。為此,企業需對網絡結構加以優化,并且注重安全設備部署,有針對性制定控制策略。因此,對企業信息網絡安全系統部署,需要從多個方面綜合考慮,采取防病毒技術、密碼技術、入侵檢測技術、身份認證技術以及安全漏洞檢測技術等綜合技術手段確保信息網絡安全系統的正常運行。
6結語
本文在介紹了信息網絡安全的關鍵應用技術之后,就某企業信息網絡安全技術框架的構建進行了探討分析,并提出了相應的信息網絡安全系統部署思路。為此,在今后的信息網絡安全系統運行維護過程中,應從企業實際情況出發,明確其安全系統現狀與安全需求,并充分結合相關理論與應用技術,優化信息網絡安全管理系統,實現對其設計與部署的優化,確保企業信息網絡系統安全穩定運行,為企業經營、管理以及業務不斷發展壯大提供不竭動力。
引用:
[1]姚汝,肖堯.網絡安全技術在校園網中的應用研究[J].網絡安全技術與應用,2014.
[2]王蔚蘋.網絡安全技術在某企業網中應用研究[D].電子科技大學,2010.
[3]王柳人.計算機信息管理技術在網絡安全應用中的研究[J].網絡安全技術與應用,2014.
[4]楊曙光.計算機信息管理技術在網絡安全中的應用[J].網絡安全技術與應用,2015.
第7篇:企業安全信息范文
關鍵詞:計算機系統結構IRP;信息優勢;主動預防
中圖分類號:TP309
企業要生存、發展,就必須面向市場,適應市場、開拓市場,竭力捕捉市場信息。信息對于市場經濟條件下的企業來說,具有生死攸關的巨大價值。沒有對大量準確、及時、系統的市場信息資料的掌握,既不能弄清企業外部條件變化對企業生產經營的影響,也無法了解企業內部各環節、各部門、各經營要素的狀況、聯系和變化。而在同行業之間的信息互通,也是至關重要的,將所有資源充分整合,才能形成綜合優勢。
中國加入WTO后,國際競爭國內化的趨勢將更加明顯。企業只有盡快實施信息化戰略與國際接軌,才能融入到經濟全球化的大潮中去。這里特別要指出企業如何規劃有關信息。信息資源規劃(Information Resource Planning,簡稱IRP)是指對企業生產經營所需要的信息,從采集、處理、傳輸到使用的全面規劃。在企業的生產經營活動中,無時無刻不充滿著信息的產生、流動及使用。美國信息資源管理學家霍頓(F.W.Horton)和馬錢德(D.A.Marchand)等人指出:信息資源(Information Resources)與人、財、物資源一樣,都是企業的重要資源。目前,許多企業都已經認識到信息資源規劃的重要性,認識到它是企業信息化建設的基礎工程。只有做好信息資源規劃工作,才能理清并規范企業的真正需求,貫徹信息化建設的“應用主導”方針;才能消除因缺乏信息資源管理基礎標準而產生的“信息孤島”,從而整合信息資源,實現應用系統集成;才能指導SCM、ERP、CRM等應用軟件的選型并保證成功實施;才能應用規劃的結果來保護我們所珍視的信息。應該說信息資源規劃是我們要提供安全策略的前提。[1]
圖1是信息安全技術發展的四個階段,當我們整合了相關信息資源,歷經信息安全技術的各個階段,所缺少的元素便是對于人的信息化水平的要求。
可見,單從信息流向來看,其中的人為干預是必不可少的。因此,保障信息安全更要以人為本,注重網絡管理,加強制度化,形成標準的操作規范及流程。針對企業信息化安全問題,內容應當包括:網絡集成應用系統(包括信息源、信息傳輸網絡的安全)、企業人員信息技術安全(如信息決策者、使用者)、網絡管理人員信息化安全(涵蓋了網絡管理、權限分配等安全管理內容)。企業信息化安全的解決應在立足于人員管理的基礎上,致力于整個企業網絡的管理,并以此為目標規劃與建設安全、實用、高效的信息環境,為企業信息化帶動企業管理現代化保駕護航,推動企業的高速度、可持續發展。
1 網絡集成應用系統安全
本人所在單位的網絡集成應用系統是一個復雜體系,不可能精確地估計防御對象的規模與價值,無法簡單地對其加以標定界限,只有將網絡管理安全保障工作分解,落實到人,采取主動防御方式、方法才是上策。眾說周知,網絡安全信息防御是一個以保證信息整體安全的可預見性、靈敏性、可靠性和連續性為目標的工作,在面對網絡信息空間遭受可能的災難時,我們站在網絡管理者的角度應可以提供可靠的安全保障,同時作為各個信息安全的參與者能夠主動進行預見性的操作。
因此,現代信息技術發展所提出的信息安全問題,比傳統信息安全問題更加錯綜復雜,涉及因素和領域也更加廣泛。計算機系統結構安全的信息防御,注重的是以信息參與者的人作為主角的主動型安全防御。[2]
2 企業人員信息技術安全
企業信息化離不開人的參與,同樣企業信息化所帶來的安全問題也離不開人的關注。“企業注重人才,人才注重管理。”當我們把員工培養成適應企業快速發展、掌握信息技術的人才后,更需要加強信息安全管理,提高計算機應用水平。因為“信息”是企業的重要財富,這一點是勿庸置疑的。信息系統的非安全因素有可能來自外部(以病毒、黑客攻擊的方式),或來自單位內部(來自同事、受信任的客戶等等所有接觸系統的人),工作人員出于好奇心可能會造成更大的威脅。[3]
上面的管理辦法便是從技術角度加強了人員的權限設置,其實最主要的人員信息化安全管理,還是對于配套制度的執行。目前,有關企業信息化標準的爭論有很多,這種標準會隨著技術手段和管理要求的不斷發展而變化。面對變化,企業出臺針對本企業安全級別的管理辦法,結合自身需求進行安全管理才是“以人為本”的上策。
3 網絡管理人員信息技術安全
信息技術安全是企業信息化安全管理的重中之重,這就給網管人員提出了更高的更全面的要求。在實際的網絡管理過程中,網絡管理應具有的功能非常廣泛,包括了很多方面。本人認為,針對我們所面臨的企業信息技術安全,網絡管理應包括四大功能:配置管理、性能管理、故障管理、安全管理。這四大功能是網絡管理的基本功能。事實上,網絡管理還應該包括其他一些功能,比如網絡規劃、網絡操作規范等。其中:
配置管理:自動發現網絡拓撲結構,構造和維護網絡系統的配置。監測網絡被管對象的狀態,完成網絡關鍵設備配置的語法檢查,配置自動生成和自動配置備份系統,對于配置的一致性進行嚴格的檢驗。
故障管理;過濾、歸并網絡事件,有效地發現、定位網絡故障,給出排錯建議與排錯工具,形成整套的故障發現、告警與處理機制。
性能管理:采集、分析網絡對象的性能數據,監測網絡對象的性能,對網絡線路質量進行分析。同時,統計網絡運行狀態信息,對網絡的使用發展作出評測、估計,為網絡進一步規劃與調整提供依據。
安全管理:結合使用用戶認證、訪問控制、數據傳輸、存儲的保密與完整性機制,以保障網絡管理系統本身的安全。維護系統日志,使系統的使用和網絡對象的修改有據可查。控制對網絡資源的訪問。
舉例來說,本人所在單位為盡量減小安全上的漏洞,我們配置管理采用了 VLAN方式,即各個部門劃分為不同的虛擬網段,沒有權限的用戶無法訪問其他網段。
VLAN(虛擬局域網)就是一個計算機網絡,其中的計算機好像是被同一網線連接在一起,而實際上它們可能分處于局域網的不同區域。VLAN更多的是通過軟件而非硬件來實現,因此這使得它具有很高的靈活性。VLAN的一個主要特性就是提供了更多的管理控制,減少了相對日常管理開銷,提供了更大的配置靈活性。VLAN的這些特性包括:①當用戶從一個地點移動到另一個地點時,簡化了配置操作和過程修改;②當網絡阻塞時,可以重新調節流量分布;③提供流量與廣播行為的詳細報告,同時統計VLAN邏輯區域的規模與組成;④提供根據實際情況在VLAN中增加和減少用戶的靈活性。
還有就是:我們的網絡管理可以通過網關(即邊界路由器)控制外來用戶對網絡資源的訪問,以防止外來的攻擊;通過告警事件的分析處理,以發現正在進行的可能的攻擊;通過安全漏洞檢擒來發現存在的安全隱患,以防患于未然。當然,我們這些操作手段可以借助于相應的網絡管理軟件,以提供給我們相關的技術保障。但在實際操作中,我也發現,單用一種軟件是無法實現的。比如IDS、基于SNMP技術的網絡拓撲、資產管理等等,這些技術需要我們一步步加強。還有像加強域的管理,充分利用現有軟件的功能,都是提高我們網絡管理的方式、方法,而這些工作地展開都要基于網管人員的素質和計算機應用水平。
綜上所述,不論是從網絡集成應用系統框架,還是人員信息化以及網絡管理者自身來看,企業信息化安全重在網絡管理,而網絡管理的核心是人,是整個信息化安全的參與者,只有“硬制度、軟管理”相互依托,主動預防、預見網絡不安全因素,讓所有參與者都意識到網絡安全管理對于企業信息安全的重要性,才是我們網絡管理的最終目的和有效保障。
參考文獻:
[1]Steve Riley, Likes fearing occurs simultaneously the manager, Windows IT Pro Magazine, Microsoft Corp,2006(02):30-32.
[2]Microsoft Corp,Microsoft Security Anthology,Microsoft Corp,2003(03):1-20.
[3]侯炳輝,郝宏志.企業信息管理師[M].北京:機械工業出版社,2005(02):76-89.
第8篇:企業安全信息范文
【 關鍵詞 】 電網;信息網絡;安全;防范措施
1 引言
通常人們談到電網時,大多指的是這些輸電配電的網絡。但其實電網還有另外一張“網”,就是用于傳遞信息的互聯網。在當前我國電力信息化迅猛發展的過程中,調度中心、電力局、電廠與用戶之間的信息通信更為頻繁。各種與電力相關的生產、管理、運營網絡與“電”一樣,成為電網必不可少的重要組成部分。這些網絡除了帶來更為便捷、高效的工作方式外,也附帶了病毒入侵,安全漏洞等網絡負面因素。
如何能夠確保電網的信息傳遞完整準確,使得輸變電網絡有效地運轉,為國家各項建設提供基礎保障,是當前乃至今后的電力工作中的一項重中之重。
2 電力信息網絡安全分析
與普通互聯網一樣,電力信息網絡也同樣需要面對各種各樣的網絡安全威脅,包括對各種網絡設備,對網絡中傳遞的信息的威脅,甚至是對不完善的管理制度的威脅。下面本文就電力信息網絡可能存在的安全問題進行了分析。
1)網絡設備可能存在的安全隱患。目前,不少計算機機房并沒有防火、防水、防雷擊、防電磁泄漏和干擾等措施。在遭遇自然災害和意外情況時,抵御能力較差;由于噪音或者電磁干擾,可能導致信號的信噪比下降,誤碼率增加,破壞信息的完整性;人為造成的設備損壞甚至竊聽,更是嚴重影響了信息的安全性。
2)網絡本身的安全。信息網絡本身在下面幾個主要方面存在安全漏洞:網絡系統的結構、軟件漏洞、病毒入侵。互聯網是一個由無數局域網組成的巨大網絡。當人們在局域網間進行通信時,這些信息數據流通常要經過許多網絡設備的重重轉發,任意兩節點間的數據包,不僅會被這兩個節點的網卡所接收,也會被處在同一個以太網中的任何一個節點的網卡所捕獲。黑客只需要侵入這一以太網上的任一節點,就可以截取在這個以太網上傳輸的所有數據包。因為互聯網上大多數的數據包都沒有經過加密,所以黑客通過各種手段很容易對這些數據包進行破解,竊取有用信息。因此,選擇合理的網絡拓撲結構是信息網絡組建時的首要工作。
3)位于網絡中的主機或其它設備上的軟件可能存在安全漏洞,但沒有及時升級更新或打上補丁,又或者軟件配置存在安全隱患,使其容易受到攻擊也存在感染病毒的可能。
4)蠕蟲病毒、ARP欺騙病毒等可能導致網絡全部癱瘓。一旦有計算機中的文件感染蠕蟲病毒,那么這臺計算機和這些文件本身也是蠕蟲病毒,可能隨著網絡的傳播,干擾整個網絡,使業務無法正常進行。
5)管理制度和人員的安全意識也是網絡安全的一大威脅。企業在管理上缺乏必要的規定和監管,對重要甚至的設備或信息的管理不到位,未設置專門的部門或者人員進行專業管理。對員工上網的行為未做必要的規范,導致員工可能通過電子郵件或者其它即時通信方式向外傳遞敏感信息,泄漏企業機密。
一些員工在信息安全方面的意識較差,例如共享主機或關鍵設備的賬戶或密碼,密碼設置隨意,在對外聯系時也沒有注意到信息的敏感性。這些有意或無意的行為都對電力信息網絡帶來了安全威脅。
3 電力信息網絡安全防范措施
3.1 加強網絡安全觀念,提升安全防范意識
信息網絡安全工作的前提,是提高人員的思想意識。首先要加強宣傳教育,使全體人員充分認識到信息網絡安全的重要性,樹立網絡安全觀。其次,可以通過豐富多樣的培訓內容和方式,對全體員工進行網絡安全知識的培訓,并通過理論考試或者上機實踐等方式,讓大家充分理解和掌握網絡安全的基礎知識和技能。再者,員工都應該自覺地遵守信息安全管理的各項規定,培養對網絡安全工作的主動性和自覺性,保證信息網絡的安全。最后,各級領導也應該轉變觀念,充分認識到信息網絡的安全風險,加大在網絡安全方面的投入和工作力度。
3.2 結合多種技術手段,構建安全的信息網絡
3.2.1物理的安全防護
物理的安全防護包括物理的分區和各種設備的安全兩個方面。
根據國家《電力二次系統安全防護規定》和《電力二次系統安全防護總體方案》等文件的要求,電力行業的物理分區必須明晰。根據業務的不同,劃分為生產控制區和信息管理區兩大部分。其中,生產控制區又分為主控制區和非控制區,信息管理區又分為信息內網和信息外網。這些不同的區域分別采用不同的保護等級,并且使用物理隔離裝置也就是專用的防火墻,進行隔離。
各區域內部和區域之間的通信設備必須嚴格按照國家規定,采購品質好,安全性能高的設備。不僅如此,在運輸、安裝、使用的過程中也要加強安全措施,除了注意防火、防盜、防水、防潮、防靜電等外,還需要對重要的設備進行防電磁輻射保護。當設備出現故障或超過使用期限時,要及時處理或銷毀。不同安全級別的設備要區別處理,要注意對送出單位進行修理的設備上存儲的信息的安全。設備的銷毀則一定要送入國家專業機構進行處理。
3.2.2邏輯保護
邏輯的保護主要是進一步將網絡進行分區,增加網絡防護的深度。當出現入侵時,入侵者需要破解多層的防護。這樣即提高了入侵的難度,也為主動防御增加了時間。通過設置交換機或者路由策略,將核心部門的主機集中在一個沒有其它用戶節點的VLAN中,更好地保護主機中的資源;也可以按照部門或者業務分工劃分VLAN,各部門內部的用戶節點或服務器獨立存在于各自的VLAN中,互不干擾,從而防止病毒的傳播和黑客攻擊。
3.2.3防火墻
防火墻是一套由應用層網關、包過濾路由器和電路層網關等組成的系統。邏輯上,它處于企業內網和外部互聯網之間,提供網絡通信,保證企業內網能正常安全地運行。根據防火墻的作用不同,分為兩類,主機防火墻和網絡防火墻。前者主要在主機受到攻擊時進行保護;后者為網絡協議的2至7層提供防護。
3.2.4入侵系統
入侵檢測系統(IDS)是主動防御攻擊的網絡安全系統。這一系統通過收集,分析網絡的行為、安全日志、數據以及計算機系統中關鍵點的信息,查看系統或網絡中是否有違反安全策略的行為或者被攻擊的可能。它與防火墻一起,完善了整個網絡安全的防御體系,是網絡安全的第二道閘門,在電力信息網絡安全工作中發揮著重要作用。其在整個網絡布局中的位置示意圖如圖1所示。
3.3 完善網絡安全制度,強化安全管理
要做好電力信息網絡安全工作,技術是保障,而管理是關鍵。因此,需要有一套嚴密有效的網絡安全管理制度,無論是技術人員還是普通用戶都需要嚴格遵守和執行管理規定。這些制度包含幾個方面。
1)信息監管。各區域的網絡,尤其是信息外網的使用者在上網時,需要加強審查,規范上網信息,以及上傳和下載信息的行為。嚴禁攜帶,傳播信息和不健康的信息,必要時可以使用帶保密功能的終端,杜絕有意和無意的泄密事件。
2)設備管理和使用。對各種軟、硬件設備,在采購、運輸、安裝、使用和報廢等關鍵環節,都需要登記造冊,由專門的部門以及專人負責保管和維護,確保設備的安全。針對密級較高的設備,可以由專人負責分類存放,甚至可以配置專人專機。一般情況下,不允許使用個人設備、未登記備案的辦公設備、未經加密處理的設備接入網絡。
3)存儲和備份管理。各種存儲信息的介質,都需要統一編號登記,按照級別分門別類存放,由專門的部門專門的人員負責。數據是保證信息網絡安全的核心,而數據備份是保證數據不受損失的最佳方法。為了防止設備意外損壞、人為操作失誤或者其它未知因素導致的數據丟失,需要制定完備的備份恢復策略,保證及時有效地恢復數據,避免系統癱瘓。可以結合實際情況,采取增量備份,完整備份,或者利用第三方工具進行磁帶備份等等技術手段,提高數據的安全性,保證數據的完整性。
4)風險評估和檢測。在專業的網絡安全服務公司的幫助下,結合電力信息網絡安全的實際,加強各部門間安全信息的交流與共享,建立風險評估機制和管理機制。 持續研究和發現網絡安全漏洞或者缺陷,評估面臨的風險和威脅,并且尋求相應的補救方法,做到防患于未然。
3.4 加強人才培養,提高人員素質
成立專門負責信息網絡安全的部門或者小組,選擇具有專業水平或者學歷的人員擔當管理人員、技術人員。通過開展學術交流,進修,內部培訓等多種方式,對這些人員進行系統全面的培訓,在加強責任心,業務能力培養的同時,也加大對計算機網絡安全技能的培訓,不斷更新人員的知識結構。掌握最新的安全防護技能。此外,還可以引進人才,充實到信息網絡安全的各個工作崗位。
4 結束語
電力行業是國家的基礎行業中尤為重要的一項,關系到國計民生。如何保障電力的穩定運行,如何讓電力保障人民生產生活的正常進行,是電力行業一直面臨的問題。這其中,電力信息網絡的安全工作隨著互聯網的進一步發展,將會是電力行業的一項新的挑戰。
本文通過對電力信息網絡中存在的風險進行分析,并從管理和技術上提出幾種安全防范措施。目標在于更好地滿足電力信息網絡安全穩定運行和數據資料的保密性,從而為電力在國家各項建設中發揮作用提供更有利的保障。
參考文獻
[1] 李濤.網絡安全概論[M].北京:電子工業出版社,2004.
[2] 王宏偉.網絡安全威脅與對策[J].應用技術.2006,5.
[3] 余勇. 電力系統中的信息安全策略[J].信息網絡安全,2003,9.
[4] 王能輝.我國計算機網絡及信息安全存在的問題和對策[J].科技信息,2010,7.
[5] 鐘婧文,崔敬.信息系統網絡安全問題研究[J].科技致富向導,2010,5.
[6] 魏曉著,柳英楠,來風剛.國家電力信息網信息安全防護體系框架與策略.計算機安全,2004,2.
第9篇:企業安全信息范文
關鍵詞:企業;信息;安全管理
中圖分類號:U283.4 文獻標識碼:A
企業信息安全管理是運用科學的方法和手段,系統地分析網絡與信息系統所面臨的威脅及其存在的薄弱點,提出有針對性的抵御威脅的防護對策和控制措施,這是企業推進信息化進程和促進生產經營管理的重要內容,是保障企業信息系統正常運行、高效應用和健康發展的前提條件。
1我國企業信息安全管理存在的問題
1.1缺少企業信息安全的法規和規范。企業信息安全是一個比較新的領域,目前還缺少比較完善的法規,即便現有的法規,由于相關安全技術和手段還沒有成熟和標準化,法規也不能很好地被執行,安全標準和規范的缺少,導致無從制定合理的安全策略并確保此策略能被有效執行。
1.2存在物理安全風險。物理安全是指各種服務器、路由器、交換機、工作站等硬件設備和通信鏈路的安全。風險的來源有:水災、火災、雷擊等自然災害,人為的破壞或誤操作外界的電磁干擾,設備固有的弱點或缺陷等。物理安全的威脅可以直接造成設備的損壞、系統和網絡的不可用、數據的直接損壞或丟失等。
1.3信息外泄現象時有發生。進入信息化時代后,企業的諸多資料都由原先的紙介質變成了電子文檔。電子文檔的特點就是復制十分容易,許多跳槽的員工和競爭對手都會將這些資料通過各種手段帶離企業。而且,在企業信息管理系統中,大量購、銷、存等業務、財務數據、文檔及客戶資料,以存儲介質形式存在于計算機中,由于電磁輻射或數據可訪問性等弱點,受到人為和非人為因素的破壞。數據一旦遭到破壞,將會嚴重影響企業日常業務的正常運作。因此,保證數據的安全,就是保證企業的安全。
1.4缺少安全管理制度和責任性。目前企業的安全解決方案,基本上只是一個安全產品方案,這使人們誤以為企業的信息安全只是信息技術部門的工作和責任,與其他人員不直接相關.但是一個企業的信息系統是企業全體人員參與的,因為他們才是企業信息系統的提供者和使用者,他們是影響信息安全系統能否達到預期要求的決定因素.
2加強我國企業信息安全管理的幾點建議
2.1全面提高職工的信息安全知識素質,加強安全文化建設,提升防患水平,防微杜漸。對于信息安全工作的開展,不是系統管理部門的事,也不是系統使用部門的事,而是全體員工的事,必須要提高全體員工的信息安全意識。通過培訓和考核等措施,提高員工對公司信息安全的認識,讓信息安全成為業務開展的一部分,才能有效提高公司整體信息安全水平,也是信息安全工作得到有效的支持和推進。在此基礎上,要建立適應21世紀知識經濟時代的企業信息安全文化,只有加強安全文化建設,才能適應知識經濟時代的發展。
2.2完善企業信息安全管理制度。首先,數據安全管理制度,即確保數據存儲介質(設備)的安全;定時進行數據備份,備份數據必須異地存放;對數據的操作需經主管部門的審批、同意方可進行;數據的清除、整理工作需兩人或兩人以上在場,并由相關部門進行監督、記錄。第二,準入管理制度。準入管理又稱密碼、權限管理,通過準入系統可以判斷請求登錄的用戶是否是合法的、值得信任的。一個安全的準入系統則需要收集請求登錄者的以下信息:一是請求方式。當同一網段在單位時間內多次請求登錄或多次登錄用戶、密碼錯誤者,就應在一定時間內封閉其所在網段的請求,并發出報警信號。二是系統安全驗證,即對登錄用戶的操作系統進行安全證,并提示登錄用戶進行一系列的修復操作。三是檢測設備自身數據是否被修改或篡改,并對登錄戶相應的操作進行記錄備案。
2.3采取傳統的信息安全防范策略。物理安全策略:包括環境安全、設備安全、媒體安全、信息資產的物理分布、人員的訪問控制、審計記錄、異常情況的追查等;網絡安全策略:包括網絡拓撲結構、網絡設備的管理、網絡安全訪問措施、安全掃描、遠程訪問、不同級別網絡的訪問控制方式、識別/認證機制等;數據加密策略:包括加密算法、適用范圍、密鑰交換和管理等;數據備份策略:包括適用范圍、備份方式、備份數據的安全存儲、備份周期、負責人等;身份認證及授權策略:包括認證及授權機制、方式、審計記錄等;災難恢復策略:包括負責人員、恢復機制、方式、歸檔管理、硬件、軟件等;事故處理、緊急響應策略:包括響應小組、聯系方式、事故處理計劃、控制過程等。
2.4實施、檢查和改進信息安全管理體制。企業應按照規劃階段編制安全管理體系文件的控制要求來實施活動,主要實施和運行ISMS方針、控制措施、過程和程序,包括安全策略、所選擇的安全措施或控制、安全意識和培訓程序等。在實施期間,企業應及時檢查發現規劃中存在的問題,找出問題根源,采取糾正措施,并按照更改控制程序要求對體系予以更改,以達到進一步完善信息安全管理體系的目的。信息安全實施過程的效果如何,需要通過監視、審計、復查、評估等手段來進行檢查,檢查的依據就是計劃階段建立的安全策略、目標、程序,以及標準、法律法規和實踐經驗,檢查的結果是進一步采取措施的依據。
2.5加強信息安全監控,保障信息系統安全運行。在信息安全監控、信息安全配置和系統訪問控制方面,信息管理部門借助先進成熟的信息技術,充分挖掘和利用現有資源功能潛力,進一步提升企業信息系統的安全防范能力。例如,加強信息系統監控管理和風險評估,優化信息系統安全架構,開展入侵檢測分析防范、核心網絡冗余和服務器架構調整等工作,確保公司信息系統安全穩定運行。統一企業桌面安全管理體系,建立網絡運維管理系統,加強接入層管理、桌面安全管理和安全監控管理,有效保障聯網計算機的安全運行。優化企業內外網連接架構和訪問控制策略,增加網絡出口流量監控環節,使有限的網絡帶寬資源得到合理分配和充分利用。針對因特網瀏覽用戶違規現象較多,造成非授權用戶占用大量網絡資源的問題,加強用戶訪問監控,嚴肅處理違規用戶,加強保密教育,促進用戶規范使用信息系統。
2.6構建信息安全管理團隊。信息安全管理團隊是由決策者、管理者以及計算機、信息、通訊、安全和網絡技術等方面的專家為提升企業信息安全管理水平而組建的團隊。信息安全管理團隊是企業信息安全管理的直接管理者,其管理能力、技術能力的高低會直接影響到企業信息安全管理的效率。因此必須增加對企業內部信息安全管理人員、技術人員的定期培訓,同時與外部專業技術企業建立長期有效的外部技術支持網絡,才能對企業信息安全事件做出及時、快速、準確的響應,確定并及時排除突發事件,使企業的風險和損失最小化,最終形成一套有效的一體化管理體系,給企業帶來更大的管理效益與管理效率的提升。
綜上所述,隨著網絡普及和企業信息化業務的不斷拓展,信息成為一種重要的戰略資源,信息安全保障能力成為一個企業綜合能力的重要組成部分。因此,要提高企業信息安全管理的效率,為企業決策提供信息支持,確保企業信息數據安全、可靠、真實,為企業發展和經營管理提供有力保障。
參考文獻
