公务员期刊网 精选范文 企业信息安全现状范文

企业信息安全现状精选(九篇)

前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的企业信息安全现状主题范文,仅供参考,欢迎阅读并收藏。

企业信息安全现状

第1篇:企业信息安全现状范文

一、制造型企业信息安全的必要性

随着我国市场信息化水平加深,网络技术已经成为了推动社会发展重要因素之一。网络的便捷性,使得任何人都可以利用网络接受、传送大量的网络信息,或者是存在网络云盘之中。而网络的公开性,也导致网络对于任何人来说都没有门槛,这也是窃取信息的问题不断发生的主要原因。对于企业来说,尤其是制造型企业,一旦企业赖以生存的核心技术被盗取,几十年的劳动成果皆拱手送人,企业将承受巨大的、甚至是毁灭性的损失。

企业信息泄露还有一种就是人才流动,现如今企业人员流动较大,企业信息可能被直接带到其他企业之中,这也是个比较棘手的问题。

另外一种情况是随着企业之间的合作不断增加,企业外派员工成为常见的现象,这样就加大了企业间的交流和接触时间,对于本企业的信息泄露也许就是在不经意间。

无论是网络问题还是人为问题,如果造成企业信息泄露,其对自身企业的损害是非常大的。以技术为核心的制造型企业加强信息安全管理势在必行。

二、制造型企业信息安全管理的现状及问题

1.企业信息安全管理的被动性

制造型企业的工作重点在产品制造与生产,对于网络信息管理意识薄弱,很多时候企业只有发现企业信息泄露或者遭受病毒的攻击等安全事件,才会关注企业信息安全问题,进而调动技术部门前来解决问题。这很大程度上反映制造型企业对网络信息安全不够重视,只有出现信息安全问题时,才组建临时小组来解决企业信息问题,待到问题解决后小组便被解散,没有对企业信息后序的监督和管理,企业信息安全管理缺乏系统策划和制度化要求,管理活动临时性强,缺少日常的维护和预防,导致更多的是重蹈覆辙,这样不仅没有为企业省下对安全管理的资金,相反的恰恰是增加了企业的资金投入,直接增加了企业安全管理的成本。同时因为临时小组的组建,使得人员调动频繁,大大降低了工作效率,进而对企业的经济效益造成影响。

2.员工使用内部系统连接外网

虽然大部分制造型企业对企业自身的内网进行了防护监测,而且对员工上网和网页浏览采取了一定的限制措施,但是实际上,企业对员工上网的控制落实程度不够,员工依旧可以在工作时间使用企业网络进行外部网络连接,而且对于一些网站毫无防备。而网络病毒是时刻都在通过网络攻击使用者的,特别对于企业内部网络,黑客更是随时随地紧盯着企业内网出现漏洞,进而窃取企业内部信息。由于企业员工的疏忽,会有很大几率使得企业信息出现安全隐患,轻则影响企业正常的生产工作,重则企业商业、技术信息被盗取或者企业内网瘫痪甚至纵,为企业带来非常严重的后果及损失。

3.移动设备限制力度不够

制造型企业在信息安全管理方面通常采取的措施是限制流水线工人的移动设备使用,但是对于办公部门却没有严格要求,办公人员可以自由携带智能手机、笔记本电脑、pad、硬盘等移动设备。因办公人员要对数据进行处理,会导致企业内部信息被无限制地拷贝。而且现如今的移动智能设备都能直接通过企业的无线网络,连接企业内网以获得权限,这样的确提高了企业内部的办公效率,同时也给黑客病毒提供了通过无线网络进行传播的机会,提高了企业内部信息安全的风险。

4.信息安全防护技术水平低

在我国,普遍存在信息安全研发技术水平较低的情况,这也是制造型企业安全技术不高的原因之一。制造型企业的工作重心偏重于生产、制造及商务活动中,而对于网络安全的防护意识不高。

作为企业,都会有一些信息安全意识。在企业成立初期,信息安全防护措施通常会被考虑并采纳,尤其是一些进口设备,但仅仅依赖进口设备是远远不够的。第一,进口设备虽然技术先进,但是出现问题是在所难免的,往往出问题的是一些关键的零部件,这些零部件不仅难以拆卸且是整台设备的技术核心,设备厂商必然会控制其销售渠道。第二,很多企业过于相信进口设备的技术,力争做到一步到位,使得企业发展中前期安全防护的确不错,但是却忽略了系统的更新和维护,网络病毒每天新出几万种,就算设备再先进,如果不进行更新,迟早会被病毒攻破。第三,很多企业都采用家用式免费杀毒软件,这些杀毒软件更新频率快,一些简单病毒、木马都能有效查杀,对家用来说但是对企业来讲远远不够,企业一般是黑客重点关注的对象,黑客往往会研制更先进的病毒来攻克企业的防火墙,一些免费杀毒软件很容易被攻破,增加制造企业内部信息安全问题。

5.企业出现安全问题处理方法不当

现如今研发病毒的技术快速而先进,病毒出现时的及时处理是非常重要的,我国制造型企业在出现信息安全问题的时候,虽然有相关的杀毒软件,但因为大部分都是免费的,其更新速度虽然频率高,相对滞后性比较强,对于新病毒无法第一时间发现、处理。而且许多病毒都是潜在性的,企业内部系统中毒之后没有任何异样,这就导致企业内部人员无法及时发现企业内网是否被越权或遭到攻击。同时,由于很多企业缺少专门管理信息安全的部门,并且对于病毒侵入缺乏有针对性的安全对策和应急措施,这就导致就算病毒被发现,企业在第一时间也无从下手。

三、制造型企业容易出现安全问题的原因

1.企业内部信息安全意识低

制造型企业的本质是通过生产经营活动而获得盈利,因此制造型企业的工作重点主要是企业生产、制造以及流通和服务。在此情况下,企业更关注盈利情况,而缺乏对信息安全的管理意识,对信息安全管理的重视度不足。导致这一现象的重要原因是安全防护不能为企业带来直接的经济效益,反而要投入大量的人力、物力、财力。另一方面,从安全管理角度来说,没有事故发生才是管理绩效的体现。相对于质量管理、生产安全管理来说,信息安全管理的管理性质是类似的,但因为其管理对象的不可见性,往往容易被企业高层忽视。同时,一般也会存在侥幸心理,感觉企业内部网络不会受到黑客攻击,或是认为就算受到病毒攻击也不会对生产经营造成什么大影响,对企业整体利益影响不大。基层员工更是不明白什么是安全防护,对企业安全防护的重要性一无所知,这就导致许多企业内部信息技术会从员工口中泄露。

2.信息安全管理模式不够完善

制造型企业信息安全问题频发的原因,究其根本就是因为企业信息安全管理模式不够完善,具体原因是制造型企业不重视信息安全管理、缺少系统规范的信息安全管理制度、缺乏专业的信息安全管理技术和安全管理人员,企业信息系统设计没有风险评估、没有完善的业务流程,信息安全管理存在头痛医头脚痛医脚的现象。

3.信息安全系统没有应急措施

制造型企业信息安全系统缺少应急措施,也可以说没有自我保护系统。自我保护系统是一种比较先进的技术,一旦有病毒侵入系统,系统会自动对重要信息进行加密、封锁,待系统安全后自动解锁。然而由于对信息管理的意识不足,使得很多制造型企业没有建立信息安全自我保护系统。在我国,诸多制造型企业在信息管理方面更多的是依靠员工的经验,对于网络自身的保护信任度不足,也缺少对信息安全管理技术发展的关注和引用。

四、制造型企业信息安全管理存在问题的对策

综上所述,制造型企业信息安全问题是由很多因素造成的,包括管理层的重视方面、技术方面、人员管理方面等。首要的,企业应提升对信息安全管理的重视程度,只有加强意识,并建立有效的信息安全防范措施,才能有效保护企业自身的核心竞争力,以获得在市场经济中更好的发展。

1.提高企业内部员工的信息安全意识

很多制造型企业信息泄露都是内部员工无意间透露出去的,这也是最常见的企业内部信息泄露渠道,企业应充分重视员工的信息安全教育,定期对企业内部员工进行信息安全培训及考核,通过教育向员工灌输信息安全的基本知识和常识、企业内部信息的重要性、一旦发生企业核心技术泄露将产生的严重后果等信息。加强企业内部员工信息安全意识,也就是从根本上降低了企业信息安全隐患,企业中如果基层员工都非常了解并重视信息安全问题,那么这个企业在信息安全管理方面必然非常完善有效。

2.建立健全企业信息安全管理机制

由于很多制造型企业缺少健全的信息安全管理机制,这就给了很多黑客病毒更多的侵入机会。一套完善的信息安全管理机制能够有效的保护企业信息安全,降低安全隐患。制造型企业应该建立健全企业信息安全管理机制,设立专门的企业信息安全管理部门,这样能最大程度保证信息的日常安全防范,也保证了一旦出现安全问题,企业能更好、更快地解决问题,健全的管理机制能够对风险有一定的预见性,把风险降到最低。

3.加大对信息安全管理的资金投入

任何新型技术都离不开资金的投入,信息安全管理同样也是,而且信息安全管理更多的属于技术型投入,对资金依赖性更高。制造型企业想要获得可持续发展,就必须要把目标放得更加长远。企业内部信息往往是一个企业的核心,因此企业应提高对信息管理的重视程度,加大对信息安全系统的投资,把信息安全管理作为企业管理重要的一部分,信息安全管理资金划作专项资金专款专用。企业对信息安全管理的投资要有计划性,确保突况的资金投入、技术更新的资金投入、管理人员的资金投入、安全教育的资金投入等。把信息安全管理纳入企业整体的发展规划中,这样才能保证企业信息更加安全,企业才能获得长足的发展。

4.加大对信息安全管理人才的认识

因为信息对企业生存至关重要,信息安全甚至会影响到企业的发展战略的制定和落实,制造型企业应当把信息安全管理与生产经营提高到同一个层次。企业内网是网络技术领域,既然是技术,就离不开专业人才的支持,企业应该加强信息安全管理的人才培养,提高企业信息安全管理的质量。如果企业内部没有专业的信息安全管理人才,企业可以通过对外招聘的形式,在社会中寻求人才。现如今互联网技术已经逐步走向成熟,计算机人才更是越来越多,所以,制造型企业在社会中寻找信息安全管理的人才不会很难,同时还能促进计算机技术人才就业,对于企业自身以及社会都有很大意义。

5.加强企业内网管理

一般来说,企业内网系统中的信息很多都属于商业机密,基层员工是无权了解的。制造型企业应该把各个层级的员工账号及内网系统中的信息进行分类管理,按信息等级设置不同的访问权限和防范措施,以免企业员工在使用内网时网络病毒通过权限窃取过多的企业信息。另外,很多企业信息泄露都是由于某些员工通过企业无线网连接外网导致企业系统中毒,针对此类情况企业要制定相应的政策和管理制度,通过对硬件的管理和网页访问权限设置,严禁员工上班时间通过移动设备随意连接外网。

五、结束语

第2篇:企业信息安全现状范文

【 关键词 】 企业信息;信息安全;风险管理;框架探究

1 引言

人类社会在不断发展,信息化逐渐融入人们生活。信息资源对于现代企业来讲,是每时每刻都存在的运转载体,各种重要数据、企业的知识产权等这些都是企业的内部信息,除这些信息外,其他相关方面的数据也被企业所利用,例如合作伙伴、客户、员工等资料,尤其是一些服务性企业,比如网商、快递公司、金融公司、通信公司、航空公司等,这些企业更需要以信息系统作为支撑,信息资源成为企业不可或缺的重要组成部分。

2 新形势下我国信息安全面临的问题

2.1 风险意识在主观上的淡薄

在我国信息安全上面,思想认识面临高风险的形势,大部分企业的管理高层对信息资产的认识严重不足。或者局限在IT的安全方面,没有合理的安全观念引导企业在信息安全管理方面的工作。信息安全管理制度的完整性缺乏,规范安全风险和安全法律法规对员工的培训缺乏,很多信息安全事故的发生都是因为安全意识的薄弱造成的。

2.2 缺乏信息安全管理系统的思想

大部分企业仍是将传统的管理方法用在安全管理模式中,这种出现问题再去想弥补的方法是静态的管理,不能在提前进行信息安全风险评估上做更有效的信息系统管理。

2.3 信息安全不仅仅是技术部门的事

多数企业认为信息安全的责任和义务都是IT部门的,造成信息技术部门无法和企业内部其他部门互动,进而形成孤立的局面。但是,信息安全的实现需要各个部门的全员行动,特别是规范标准以及规章制度的贯彻落实,更牵涉到企业的每一名员工,全员行动的要求更是不能缺少。

2.4 存在重视安全技术而轻视安全管理的情况

现今为止,仍有很多企业仅仅依赖产品安全,认为信息安全就是信息产品安全。一般企业现在都会采用计算机和网络技术来构建企业的信息系统,但是没有把相应的管理措施开展到位。信息安全问题应该加强做好管理工作,不能单从技术方面着手。

2.5 现代管理手段与理论欠缺

日益庞大的现代化信息规模与越来越复杂的网络结构,让现有的风险管理手段和理论都不足以让企业信息安全得到完全的满足,企业应该结合实际情况和需要,把国际上优异的信息安全风险管理理论以及先进的最佳实践用作指导,以此达到信息安全的目的。

3 企业信息安全风险管理的框架探究

企业信息安全风险管理的框架包括两个部分,一是企业信息安全风险管理的过程,二是企业信息安全风险管理的实施。其中,实施是过程的保障,整合各种资源要通过实施才能达到;过程是实施的前提,对过程的清楚有利于建立企业信息安全风险管理的统一理解,以此逐渐实现信息安全风险管理。企业信息安全风险管理包括风险分析、风险计划、风险识别、风险监督、计划实施、风险改进六个动态过程。

信息安全风险管理是动态、持续性过程,信息安全通过潜在的风险识别、分析,同时进行计划、实施、监督、改善,然后再进入到下一个循环里,通过持续不断的循环活动进行有计划、持续的控制,不断改进。

参照戴明的PDCA质量管理模式,把安全项目实施划分为四个阶段,分别是准备和策划、执行和部署、监控和检查、评价和改进,实施阶段有几个工作步骤:(1)准备和策划工作阶段,首先调研信息安全风险管理现状,接着进行风险评估,然后编制信息安全风险管理方案;(2)执行和部署工作阶段,进行部署安排,按计划执行,接着进行安全培训;(3)监控和检查工作阶段,做好企业安全现状检查,预测未来的变化;(4)评价和改进工作阶段,制定改善措施,响应紧急事件。

4 企业信息安全风险管理的实施

在风险管理中人、过程、基础结构和实施是四大影响风险管理能力的关键因素,企业的信息安全风险管理能力同时也受着这四个因素制约,所以企业信息安全管理中十分重要的就是人通过各类资源和企业基础结构达到信息安全风险管理过程的实施活动。

企业在开始尝试安全风险管理实施之前,很重要的一点是应该检验现有安全风险管理的完善度。假如企业在安全风险管理上没有规范的流程和正式的策略,就会出现框架的实施非常艰难。换句话说让企业有一些正式的策略和明确的指导,将避免大多数员工都在工作中不知所措。假如在安全风险管理上发现企业相对不够成熟,则可以采取试点的形式,把安全风险管理实施到单个业务单元中,直到通过试运行在框架中显示有效以后,再考虑将其他业务单元导入至整个企业框架中。

框架实践需要以最优实践的经验为基准,必须有利于企业确定安全现状,同时按照需要的安全方向进行改进,企业的安全风险管理能力通过不断的提高,就能逐渐努力向着安全的目标前进。

5 结束语

进入信息化时代,企业已经把信息系统的高效、互联、精确的特征当作赖以生存和发展的必要条件。因此所伴随产生的信息安全风险就成了企业关注的重点问题。在此情况之下,企业建立信息安全风险管理机制,利用科学的方法和手段控制各种风险的发生显得尤为重要。动态循环是企业信息安全风险管理的一个过程,在风险评估的前提下,要落实对风险控制措施。同时对过程的实施要进行有效的控制和监督,这就需要一个明确清晰并且具有可操作性的信息安全风险框架来指导。还有需要探究的工作在信息安全风险管理领域里,但愿本文能引来更多这一领域探究,从而做出保障企业信息安全的贡献。

参考文献

[1] 陈慧勤.企业信息安全风险管理的框架研究[J].2011,21(40):42-46.

[2] 惠志斌.企业IT风险管理的体系构建与实现路径[J].科技管理研究,2014,34(2):36-55.

[3] 叶铭.企业动态信息安全风险控制系统的研究[J].2012,08(11):81-85.

第3篇:企业信息安全现状范文

该文对供水企业信息集成系统安全进行分析,并探讨了可以针对性改进的安全防护措施。首先对当前供水信息系统安全现状做具体分析,然后研究了在“自主定级,自主保护”的原则下改进和提高供水企业集成信息系统安全具体的执行方案,最终实现供水企业信息集成系统的信息安全防护。

关键词:

供水企业信息集成系统;等级保护;信息安全

供水行业对国计民生很重要的一个行业,供水企业的业务性质要求以信息的整体化为基本立足点,集中管理所有涉及运营的相关数据,针对供水企业运行的特殊要求,进行集中的规划和架构,将不同专业的应用系统进行整合,最终形成完整的供水企业综合信息平台。[1]而集成系统中最重要的一个要求就是信息安全。

随着大数据时代的到来,网格、分布式计算、云计算、物联网等新技术相继推出,对供水企业信息集成与应用也提出了更高的要求。而随着应用的扩展,应用中存在着大量的安全隐患,网络黑客、木马、病毒和人为的破坏等将大量的安全威胁带给信息系统。根据美国Radicati公司于2015年3月的调查报告,截至2014年12月,网络攻击已经为全球计算机网络安全造成高达上万亿美元的损失。而且随着网络应用的规模进一步上升,计算机网络信息安全威胁造成的损失正在呈几何级数增长。根据2015年的中国网络安全分析报告,2014年报告的网络安全攻击事件比2013年增加了100多倍。2014年,搜狗由于网络黑客攻击导致搜索服务在全国各地都出现了长达25分钟无法使用。2014年7月,某域名服务商的域名解析服务器发生了网络黑客的集中式攻击,造成在其公司注册的13%的网站无法访问,时间长达17个小时,经济损失不可估量。因此,从信息安全的角度,要对供水企业信息集成系统进行防护,降低信息安全事故的发生的概率,降低其危害,是本文需要研究的内容。

1当前供水企业信息集成系统安全防护的现状和存在的问题

伴随着科技的不断发展,供水企业的信息化建设也得到了很大的发展,主要是从深度和广度两个层面做进一步拓展。典型的供水企业信息集成系统涵盖了生产调度系统、销售系统、管网信息系统、财务管理系统、人事管理系统、办公自动化系统等子系统。其中多个系统数据需要接受外部访问,存在大量的安全隐患。目前,威胁到供水企业信息安全的风险因素主要分为三个大类:1)人为原因,如恶意的黑客攻击、不怀好意的内部人员造成的信息外泄、操作中出现低级错误等。2)数据存储位置位置的风险。可能由自然灾害引发的问题,缺乏数据备份和恢复能力。3)不断增长的数据交互放大了数据丢失或泄漏的风险。包括未知的安全漏洞、软件版本、安全实践和代码更改等。

2有关分级防护的要求

尤其是供水企业信息集成系统中,存在大量涉及公民个人隐私的信息,也存在像生产调度这样涉及国计民生的信息。因此,需要按照国家有关信息安全的法律法规,明确企业的信息安全责任。提升供水企业信息管理区内的业务系统信息安全防护。依据《信息安全等级保护管理办法》(公通字[2007]43号)第十四条,信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。定级标准按照国家标准《信息系统安全等级保护定级指南》(GB/T22240—2008)实施,根据等级保护相关管理文件,信息系统的安全保护等级分为以下五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。

第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种:1)造成一般损害;2)造成严重损害;3)造成特别严重损害。

3分别防护实施步骤

根据有关法律法规,建设完成并投入使用的信息系统,其有关使用此系统的单位需要对其系统的等级状况做定期的测评。供水企业要遵照要求选择具有资质的测评机构来对管理信息区的业务系统做等级保护的测评工作。其所得到的结果如下表1所示:通常情况下,供水企业信息系统中不会出现第四级和第五级的系统。根据测评结果,有必要对供水企业内部的局域网进行系统化整改。具体的整改内容包括两项主要内容:细化各业务系统服务器的物理位置;按照需求设置信息安全区域。根据供水企业信息集成系统的具体实际,主要有等级包括三个业务区域,以及一个公共业务区和测评业务区。按照上述原则对供水企业信息集成系统服务器做物理划分如图1所示。不同等级的系统服务器针对不同级别的信息安全区进行设置。等级为一、二、三的业务区分别安装着对应的服务器,而公共业务区域的服务器主要是DNS服务器或者是域服务器。公共业务区服务器主要为基础服务提供非业务系统服务,不需要进行保护分级。测评业务区提供是投入正式使用前的测试服务器。

依据表1的测评结果,将安全区域进行细化表2所示的就是企业管理信息区,其主要业务系统对安全区域存放问题的展示。根据表2得到的结果,可以将信息安全设备存放在不同信息区域边界内,以此达到服务器分级防护目的。信息安全设备设置在信息安全区域边界,也就是局域网与信息安全区域之间的连接部。信息安全设备主要是防火墙、查杀病毒、攻击防护、服务防护禁止、授权等。对于不同区域边界的信息安全的部署建议,供水企业要遵照各自的实际情况做周密的设置。供水企业管理信息安全区域边界防护表见表3。将信息安全防护设备部署在所在的区域边界内,如此可以初步实现对供水企业管理信息区的信息安全防护。

4结束语

随着大数据的发展,对供水企业信息集成系统在数据的交互和应用方面会提出更高的要求,也大大加强了安全防护措施的重要性和迫切性。在安全防护措施基本到位的前提下,还需要加强信息审计,及时发现和补救系统缺陷,加强数据库安全防护,维护管理系统的隐患。

参考文献:

[1]孙锋.基于多agent技术的供水企业信息集成系统研究[J].供水技术,2015(10).

第4篇:企业信息安全现状范文

关键词:企业信息安全;信息安全体系;IT技术

中图分类号:F840文献标识码:A文章编号:1009-2374(2009)05-0072-02

当前IT已成为企业业务发展和管理不可或缺的组成部分,其作用和影响力已从单一的业务部门扩散到企业与组织的每一个领域。在IT系统给企业带来活力、利润和竞争力的同时,也给企业增加了风险。因此如何充分利用IT系统获得企业价值的最大化,并且最大限度地降低利用IT技术而带来的风险,成为每个企业都必须要真接面对的问题。本文从企业信息安全的需求为出发点,构建以管理、技术和人员三者有机结合的立体的企业信息安全管理体系,最终实现企业安全建设的最终目标。

一、信息安全管理体系

从企业的内部分析,搭建一套完整的安全架构首先要做的就是根据企业能够承受的风险水平编写企业安全规范。编写企业的安全规范首先要遵循BS 7799-2信息安全管理体系的标准,标准要求组织通过确定信息安全管理体系范围、制定信息安全方针、明确管理职责、以风险评估为基础选择控制目标与控制方式等活动建立信息安全管理体系;体系一旦建立组织应按体系规定的要求进行运作,保持体系运作的有效性;信息安全管理体系应形成一定的文件,即组织应建立并保持一个文件化的信息安全管理体系,其中应阐述被保护的资产、组织风险管理的方法、控制目标及控制方式和需要的保证程度。

BS 7799-2:2002所采用的过程模式如:“计划-实施-检查-措施”四个步骤,可简单描述如下:

计划:依照组织整个方针和目标,建立与控制风险、提高信息安全有关的安全方针、目标、指标、过程和程序。

实施:实施和运作方针(过程和程序)。

检查:依据方针、目标和实际经验测量,评估过程业绩,并向决策者报告结果。

措施:采取纠正和预防措施进一步提高过程业绩。

以上四个步骤成为一个闭环,通过这个环的不断运转,使信息安全管理体系得到持续改进,使信息安全绩效(Performance)螺旋上升。

二、企业信息安全体系架构

根据BS 7799-2信息安全管理体系的标准,不同的企业对信息的安全需求不同,因此每个企业都要制定切实可行的信息安全架构,不是照搬照抄其他企业的模式,或是把各种安全产品进行堆砌,说到底企业的信息安全问题不只是技术上的问题,它是一个极其复杂的系统工程。要实施一个完整信息安全管理体系,至少应包括三类措施:一是社会的法律政策、企业的规章制度以及信息安全教育等外部软环境;二是信息安全的技术措施,如防火墙技术、网络防毒、信息加密存储通信、身份认证、授权等;三是审计和管理措施,该方面措施同时包含了技术与社会措施。这些措施应该均衡考虑企业在保密性(C)、完整性(I)和可用性(A)三方面的安全需求,并且从应用安全、数据安全、主机安全、网络安全、桌面安全和物理安全等六大安全领域全面系统地实现企业的这些安全需求,从而构建安全技术、管理和人员三个方面有机结合的企业信息安全保障体系如图1所示:

该模型是一种从企业信息安全的需求(保密性、完整性、可用性)为出发点,以应用安全、数据安全、主机安全、网络安全、桌面安全、物理安全为关注重点,层层剖析全面深入地挖掘企业的信息安全需求,构建以管理、技术和人员三者有机结合的立体的企业信息安全保障体系。

这种企业信息安全管理架构的规划融合了管理和技术为核心的全面分析方法,以安全需求为焦点,从管理现状、技术现状和人员状况三个维度,综合采用调查问卷、人员访谈、现场察看、资料分析、技术检测等多种手段,全面深入地挖掘需求。在明确需求的前提下,还要借鉴同类企业成功经验,再规划出符合企业实情的信息安全保障体系。

当然该安全体系架构的具体实施还要综合考虑如下问题:成长型企业一方面要节约成本,一方面要把安全风险降到最低。从这两个出发点出发才能够建立适合成长型企业的信息安全体系;计划阶段要评估自己的信息资产,自己的信息资产的价值有多大,现有的安全手段是什么,根据评估结果确立安全战略;开始建立和实施自己的信息安全体系,拟定自己的战略流程;对员工和合作伙伴的培训,建立信息监测和安全的手段。

三、实施信息安全架构的常规操作

在保证物理安全、桌面安全、网络安全、主机安全的基础上,信息安全架构的常规操作包括数据层保护、应用程序层保护、事件应对检查和安全操作。

数据层保护包括用EFS对文件进行加密;用访问控制列表限制数据;从默认位置移动文件;创建数据备份和恢复;用Windows Rights Management Services保护文档和电子文件等等。

应用程序层保护包括只启动必需的服务和功能;配置应用程序安全设置;安装应用程序的安全更新程序;安装和更新防病毒软件;以最低权限运行应用程序等等。

事件应对检查包括确定正在遭受攻击;确定攻击类型;发出有关攻击通知;遏制攻击;采取预防性措施;将攻击情况记录存档等等。

安全最佳做法包括深层防御;设计时考虑安全;最低权限;从过去的错误中学习;维持安全级别;加强用户的安全意识;开发和测试事件应对计划和过程等等。

四、结论

综上所述,企业要做到以信息为中心的安全,必须做到管理层面、组织层面和操作层面的有机结合,这样才能建立有效的安全体系,从而实现企业安全建设的最终目标。

参考文献

[1]梁永生.电子商务安全技术[M].大连理工大学出版社,2008,(4).

[2]Mark Rhodes-Ousley,等.网络安全完全手册[M].北京:电子工业出版社,2005,(10).

[3]卿斯汉.密码学与计算机网络安全[M].北京:清华大学出版社,2001.

第5篇:企业信息安全现状范文

关键词: 现代企业;信息网络;安全优化

中图分类号:TP309.7 文献标识码:A 文章编号:1671-7597(2011)1210088-01

0 前言

21世纪是一个发展的时代,也是网络高速发展的时代。科技推动社会的发展,同时也加快了网络信息的发展。但任何事物都具有两面性,信息网络为企业带来了便利同时也带来了安全隐患。比如企业与企业之间的斗争,网络犯罪、信息侵权以及信息市场不正当竞争等违法乱纪之事。只有进一步网络安全优化,确保现代企业信息网络安全性,才可以让企业更加放心的使用网络,进而解决企业对网络安全的后顾之忧。

1 现代企业信息网络安全的现状

要对现代企业信息网络安全进行优化,就必须要抓住现状中存在的问题。目前现代企业信息网络安全技术还不完善。很多企业是网络大都还采用TCP/IP作为网络基础。虽然这种协议简单高效但没有考虑网络的安全性。

现代企业信息网络确实也采取了各种安全措施,无非是加密机制、数据签名、访问控制、认证机制、以及防火墙系统之类,其中构筑防火墙系统和加密机制是目前为主要的方法。但仍然无法有效的防治恶意不法人员入侵。

其中以地址和邮件的传输举例。为了提升网络资源的利用,现代企业信息网络技术有一个物理地址(MAC)在缓存之中,从而给信息网络待命准备。该MAC存在系统上的漏洞,不法分子很容易就找到要攻击目标的物理地址,从而种下不安全的因素。网络攻击不是单一的,而是各种各样都有,比如协议攻击、恶意远程攻击等。

总体来讲,现代企业信息网络安全主要问题在于:TCP/IP协议没有考虑信息安全性、电脑系统安装存在问题、缺乏有效的监控预防、对恶意病毒缺乏有效控制、以及企业操作人员的使用不正确等。

2 优化网络信息的安全性

要优化企业信息网络的安全性,首先要在根源上做出相应的优化策略。这样才可以真正达到网络信息安全优化的目的。

2.1 加强操作人员对网络信息安全意识

事实上,许多的网络安全问题都是源自于操作不当。究其原因,许多操作人员对网络信息安全的意识十分薄弱,没有意识到网络完全的重要性。而且一些操作人员对计算机操作不正确,带来安全问题。

所以,必须对现代企业信息网络操作人员进行安全培训,包括软硬件、机房、网络数据各个方面的安全问题。只有对操作人员进行专业化的安全教育和培训,才能够提升操作人员对网络信息安全的意识。也只有提升了操作人员的工作态度和责任,才可以有效地预防网络信息安全事故。 同时不间断地加强操作人员的业务水平与技术的培训,从而提高工作人员的操作技能,才能够有效地优化信息网络的安全。

2.2 提升网络信息的安全服务

如果在现代企业信息网络中实行实名身份认证验证,就能够在一定程度上提升安全指数,能够有效的抵御一些主动攻击行为,从而加强现代企业信息网络的安全。在身份认证时最好需要管理人员进行识别是否正确,只有双向认证确认无误之后才可以通过验证,这样进一步优化了信息网络安全。通过实施身份认证再加上对访问数量进行控制,这样就可以很好的防御越权行为。

除了对操作人员和安全服务优化之外,还必须要在数据上做一些必要的优化,提供现代企业信息网络的安全防范。同时现代企业信息网络的数据库也必须要加密,密码最好相对复杂一些,这样可以进一步让信息泄露的几率大大降低,从而更好地起到防范作用。然而随着信息网络技术的发展,一般的加密也不再适用,不断地被破译,就不得不提高加密技术。目前使用最为广泛的就是DES算法与公开密钥算法等。

2.3 加强网络信息主机的管理

网络信息机房中的主机安全尤为重要,优化主机安全势在必行。因为只有合理地管理网络信息主机,才有更加有效的防范手段。对主机的管理包含了安装的软件,以及计算机的硬件管理。作为现代企业信息网络主机,必须要注意信息来源和带来的通信大小,不可以很明显地增加或删减网络通信量的最高值。网络信息的主机管理主要划分了配置、故障、性能和安全等几个比较重要的部分,应该对每一个部分做出安全优化,才能够提高现代企业信息网络安全。

3 网络信息安全优化的应用

3.1 网络信息的安全部署与安全传输

NGN定义的各种边缘进入到核心网络,其中数据的安全性非常高,从而达到NGN网络的安全,保障了现代企业的信息不会被泄露。NGN的网络核心边缘一般分为以下几个大类。

其一,NGN是网络经过局域网将宽带和企业网以及因特网连接起来,从而形成了交界线。NGN就是通过这个边缘对所有用户提供业务和服务。

其二,NGN是网络与网络之间的交汇处。

其三,NGN是传统PSTN网和网络的边缘交界。一般在边缘和边缘之间的交界处是不值得信赖,也是安全最大隐患处。所以在边缘和边缘之间可以设置边缘接入控制器(Board Access Controller),为防火墙与其他企业的业务提供保障,这样就为企业的安全起到了更好的保护作用。另外,通过一些安全机制让开放的网络IP也和TDM一样的安全性。

同时,运用MPLSVPN的构建技术也是非常独立的VPE网络。这种方法是基于NGN的网络核心,从而把整个网络的IP和网络分成好几个不通的成分,并将彼此隔离开来使得用户无法进入NGN网络,进而保障企业网络信息的安全。

实际中,使用更多的是FireWallPC边缘作为一种保护机制。要求相对而言就会比较高,还需要不时地变化不同的密码。研究NGNDCI就必须得用带LINUX系统FireWallPC做防火墙用来隔离网络核心和因特网,从而更好的做到远程保护。

第6篇:企业信息安全现状范文

摘 要:在现阶段的发展中,已经完全进入到网络时代,几乎所有的工作实施,都是依靠网络设备、网络技术来进行实施的。为了能够在今后的网络环境下,实现工作水平的大幅度提升,必须将企业信息安全管理更好的巩固,要求在管理的策略和具体手段上,告别既往的多项不足,要创造出较高的价值。文章就此展开讨论,并提出合理化建议。

关键词:网络环境;企业;信息安全;管理

从客观的角度来分析,企业信息安全管理在开展的过程中,有很多工作的实施,都不能利用单一的手段来完成。现如今的信息安全,已经成为了全社会都非常瞩目的内容,如果在最终的工作上表现为缺失现象,不仅容易造成强烈的隐患和冲突,还会对很多领域的发展构成严重的威胁,这是需要在日后工作中积极面对的,不能有任何的严重损失。

一、网络环境下企业信息安全管理现状

1.建立信息安全管理体系框架

从已经掌握的情况来看,很多地方的企业信息安全管理,都在不断的建立信息安全管理w系框架,希望由此来对网络环境做出更好的优化处理,实现企业信息安全管理的更大进步。我国在现阶段的发展中,正处于一个非常重要的阶段,企业更加是国家的核心组成部分,为了更好应对网络环境所带来的挑战,在相关的政策、规范颁布上是比较突出的。例如,国务院办公厅在现下的工作中,对于网络环境开展了深入的分析,同时先后颁布了特别多的政策、法令,对于信息安全等级评估保护的具体措施、检查核实方法等,都做出了明确的规范;对于使用单位信息安全管理制度,做出了进一步的深化处理;直接引导、推进了信息安全系统的持续应用,在发展空间上得到了明显的扩大。

2.信息安全管理体系的审核

企业信息安全管理在开展的过程中,必须在网络环境方面深入的关注,绝对不能有任何的违背现象发生。从既往的工作来看,有些企业对于信息安全管理,总是追求短期上的效果,对长期的规划表现不足,虽然很大程度上对网络环境做出了充分的利用,但实际上创造的价值,还是有待提升的。鉴于这种现象的发生,网络环境下的企业信息安全管理,开始不断的做出变革,特别是在信息安全管理体系的审核上,基本上是按照最严格的方法来完成的。例如,在ISMS审核过程中,其主要指的是,机构为验证所有安全程序,采用的系统的、独立的检查和评价。通过开展ISMS审核处理,能够对申请认证的单位,提供较多的支持与帮助,在企业信息安全管理方面有综合的判定与分析。除此之外,ISMS审核工作的开展,还表现为突出的自我保证手段,其能够将多项问题做出一个明确的分析,无论是在波及范围上,还是在具体的处理方式上,都能够给予较多的参考和指导,很少出现严重的偏差。

二、网络环境下企业信息安全管理的对策

1.物理安全管理

在现阶段的发展中,网络环境已经成为了不可扭转的趋势,想要在今后的企业信息安全管理中取得理想的效果,必须将网络环境有效的利用,在硬性规范下,针对物理安全管理持续的加强,这是实践方面的工作,不能有任何的忽视。简单而言,物理安全管理在开展的过程中,会将信息系统开展全面的检查分析,包括信息系统的保密性、完整性、可用性等等,会在相关的硬件设施上、线路上,都做出详细的分析,而后提交相应的物理安全管理报告。企业根据这份报告,再结合客观实际以后,决定具体的改善办法。在除此之外,物理安全管理在开展的过程中,对于企业网络工程的设计、施工等,都会产生较大的帮助。现下的很多企业信息安全管理,都会在网络工程方面投入较多的努力,为了更好的协调网络工程的硬件设备、网络体系等,必须在网络设备的安全性、可靠性方面提升。例如,通过物理安全管理的实施,能够针对网络设备、系统的运作空间做出分析,在温度、湿度等物理因素上积极的把控,避免造成严重的损失。

2.人员安全管理

在企业信息安全管理当中,网络环境下的诱惑较多,同时在相关的影响因素上,也在不断的增加。为了确保在企业信息安全管理方面,能够按照科学的方向来前进,有必要将人员安全管理更好的改善,针对多项工作的实施,都要从长远的角度来出发,这样才能更好的提高管理水平。首先,所有的工作人员,在相应的权限上都要积极的设定,要避免企业信息安全管理的员工权限混乱现象,达到相互之间的制衡效果,避免在信息方面出现严重的泄漏。其次,对于人员安全管理,有必要开展技术性的专业培训,要求列举大量的技术案例分析,让所有的工作人员意识到,错误的工作方法,以及某些极端的行为,会给企业带来严重的损失,部分情况下,甚至会产生法律上的责任和问题,要求员工在态度上,以及工作实践上,都可以严格的要求自己,而后对将来的工作负责。第三,必须积极的招聘、引进网络人才,将企业信息安全管理的体系不断健全,尤其是在网络平台的打造、客户端的建设、日常信息管理措施的实施上,都要形成良性工作循环。

3.软件应用和系统安全管理

网络环境下的企业信息安全管理,表现为持续进步的特点,根本不可能长久维持在固有的水平上。我们在实施企业信息安全管理的过程中,对于软件应用和系统安全管理,必须不断的加深研讨,要从多个角度出发,创造出较高的价值。首先,软件应用上,企业必须根据自身的需求,为不同层级、不同部门的员工,选定差异化的工作软件,要提高工作质量和工作效率。同时,对于软件本身的分析要不断的拓展,从是否付费、是否存在软件冲突、是否具备较高的兼容性等方面,均要进行大量的探讨,要防止造成工作上的严重疏漏,提高工作效率。其次,对于系统安全管理而言,必须坚持定期维护、更新,要求从外部聘请专业人员,进行系统的积极分析和测试,发现问题后,及时的采用网络技术来弥补,同时增加相应的软件防护和程序补丁,促使系统的日常运营,能够达到更加稳定的目标。

4.设备的运行与安全管理

除了上述的几项工作内容外,企业信息安全管理在实施的过程中,还需要在设备的运行与安全管理上投入较多的努力。当下的设备研究力度有所加深,特别是在重要元件上,市场上的更新换代速度不断的加快,企业必须对设备本身、设备元件开展积极的分析,不能盲目的跟风更换,也不能长久的维持在既有的水准上,要确保设备的运行,能够长期保持在高效状态,可以将安全管理工作更好的改善,减少矛盾。网络系统稳定高效的运行,对于企业来说是非常重要的。企业要加强对网络的科学管理,及时排除网络故障,对设备、运行安全进行全方位管理,是保障信息系统安全的重要前提。设备、运行安全管理包括设备的选型、检测、安装、登记、使用、维修、储存以及故障管理、性能管理、变更管理和排障工具等。随着网络普及和企业信息化业务的不断拓展,信息成为一种重要的战略资源,信息安全保障能力成为一个企业综合能力的重要组成部分。

三、总结

本文对网络环境下企业信息安全管理展开讨论,现阶段的工作实施中,整体上得到的效果比较显著,未表现出严重的隐患。日后,应该在网络环境方面不断的优化,将企业信息安全管理的体系不断的健全。除此之外,在开展企业信息安全管理时,一定要持续性的实施,要不断的跟随国家倡导内容,对社会潮流做出把控,在重点工作上积极的提升。

参考文献:

[1]于倩,李灵君.网络环境下企业信息安全管理的对策分析[J].网络安全技术与应用,2017,(01):16-17.

[2]钱浓林,洪芳华,朱利军,肖锋,徐F欣.”互联网+“环境下企业信息安全管理策略[J].经营与管理,2017,(01):128-130.

[3]张黎明.网络环境下企业信息安全管理的对策分析[J].商,2016,(19):2.

[4]宋晴.网络环境下企业信息安全管理对策研究[J].通讯世界,2015,(14):256.

第7篇:企业信息安全现状范文

 

在21世纪的社会发展新时代,网络、计算机、信息技术被大量的企业纳入到自身的生产经营管理之中,在基本运行中会涉及到企业众多的机密文件和信息,直接关系的企业的发展运行,所以,一旦出现安全问题就会对企业产生重要的影响。

 

所以,在不断深化的应用中,企业开始注重对信息安全的管理,并通过多样化的技术手段和方式来进行强化,但是这样的方式决定了对安全管理的有效性不能进行合理的把握和控制,并且对整体的安全水准也没有实现准确的衡量。所以,如果企业只是强化了信息安全在技术方面的建设,而并没有开展有效的安全管理评估工作,就会使信息安全系统在整体的规划中存在缺陷和漏洞,所以,进行信息安全管理的有效性测量是极为重要的。

 

企业也逐渐认识到其重要性,使得近年来,我国企业对于信息安全有效性的测量需求不断增多,但是,在这方面我国起步较晚,存在着很多不足和缺陷,这就需要在有效的研究中寻找适当的方法来提升测量的整体有效性。

 

一、信息安全管理有效性测量的目的

 

通过实现有效性的测量,能够真实评估和反映企业信息安全管理的整体水平,以使企业在后续的信息安全管理中有明确的发展目标和整体方向。企业进行信息系统的建立时,往往会依据企业自身的发展需求、信息组成、安全标准、组织结构、利益关系等方面的需求进行,进而构筑相应的信息安全的整体体系和相关模型。

 

通过对企业的信息安全管理进行有效性的测量,可以在技术的管理支撑下客观真实的反映企业信息管理的整体性评估,会能实现对企业信息安全管理目标的运行程度进行说明,并能对企业信息安全管理的系统效能开展准确科学的评测,为企业提供进行信息安全管理考核的基本依据[1]。

 

就企业的整体发展实际来看,如果不开展信息安全管理的有效性测量,会使企业的整体管理水平只依赖于基本测评状态下的运行管理水平,难以同真实的信息安全运行环境相脱离,造成企业在安全管理过程中的漏洞和误差,使得企业在正常的运营和发展中的实际需求同所进行信息安全管理的整体水平不相一致,并且在对基础环节下的表面数据有所依赖时,并不能发现运行中的不足和缺陷,更遑论进行有效合理的解决,极大化的为企业的发展运行埋下了信息安全的运行隐患。

 

而通过有效性的测量活动,能够准确的将企业在信息安全方面的漏洞进行定位,并且还能够有效指导基本的解决策略,有效保障企业信息管理系统的整体安全和有效。

 

二、信息安全管理有效性的测量方法

 

在开展信息安全管理有效性的测量时,需要对进行测量的指标进行量化的处理,并最终形成具有实际可行性的量化测量指标。在测量中,不同的指标则需要不同的测量方法来进行,一般而言,具有风险分析、问卷调查、内部审核、渗透性测试、个人访谈、内外对比、风险评估、报表统计等不同的方法。

 

通过不同指标的不同测量之后,能够得得出各个指标的测度结果,在此基础上再根据不同的技术需要对结果进行科学有效的取值管理,给各个指标赋予不同的安全分险权重,然后综合计算企业信息安全管理有效性的整体水平[2]。比如在进行信息安全管理整体运行的有效性测量时,在对基本技术要求进行测量评估时,还需要对企业的环境安全、人员安全、业务联系、安全意识、事件管理等开展管理有效性的评估,以保障最终结果的综合有效性。

 

在信息安全管理有效性的测量发展中,相关专业机构提出了同通过整体的系统模型来实现信息系统的整体安全性的方法。通过信息安全测量模型的建立,将信息系统运行中需要进行安全检测的对象中的某一些属性在通过一系列的检测管理过程之后,得出最后的测量结果,其中最为重要的就是测量方法和基本测度。将测量对象的多个属性应用不同的测量方法之后就能够得到基本测度,而基本测量方法的获取是通过多样化的数据资源进行测量对象的数据获取,比如风险评估结果、日志报表统计记录、调查表、测量结果等途径。

 

就我国当前进行信息安全管理有效性测量的方式而言,在设定环节相对复杂和冗余,但在基本的项目实践中得出如下的基本运行方法:

 

2.1审计监控系统回顾

 

在进行检测时,需要尽可能的发现各个环节所存在违反和潜在信息安全的现象和事件,以实现有效的防治,实现影响的最小化[3]。

 

2.2纠正预防措施验证

 

对已经纳入整体有效性测量计划的纠正预防措施,在开展检测时进行检查和回顾,以保证检验过程中对于信息安全管理系统所采取的各项措施是否合乎当下的现状和企业具体要求。

 

2.3信息安全事故统计

 

主要是对已经发生过的安全事件进行统计和分析,以为检测的有效性提供更加高效合理的方法指引,以实现进行更高角度的评估以及在控制措施方面的有效性。

 

这样的方式是将基本的计划和检测方式实现了有效的结合,并在各种方法的支撑下,实现综合型的检测,做到有效的预防和纠正,从不同的层面反应了进行信息安全检测的有效性,并保障整体运行体系的完整有效性,进而形成一个有效的良性循环。

 

三、结束语

 

就我国的整体实际而言,信息安全管理有效性的测量方法,还处于基础的起步阶段,而且相关的各项理论研究和测量指标等也均没有达到完善的阶段,这就需要进行不断的发展和探索,而且实践证明,进行信息安全管理有效性的研究是有着极为广阔的发展前景的,在保障整体信息运行管理的安全性基础上,能够使企业提升整体的竞争力和自身生存能力,并且能够将测量中发现的问题和相关数据进行分析,然后具有针对性的使企业所存在的风险得到最大化的控制,最终达到基本业务的正常有效运行。

第8篇:企业信息安全现状范文

在计算机网络迅猛发展和广泛普及的时代,企业的各种经营活动都立足于计算机网络平台,因此网络安全一旦受到威胁,企业将面临直接的经济损失,更有可能给社会和整个国家带来巨大的安全隐患。现阶段,我国的大中型企业随着业务的不断壮大,网络规模也不断扩充。有些企业各地都有分公司,在不同的区域都建有局域网,这样一个分布全国各地的庞大的网络体系就成为企业运行的技术保障。这种企业的网络安全更需要强有力的保障,否则一旦出现问题便有可能带来灾难性的后果。

1.1Internet的安全性

互联网是把双刃剑,在给企业带来极大便利的同时,也不可避免地给企业的运营带来了极大风险。因为黑客与病毒无孔不入,稍有疏漏,就可能使整个网络遭受攻击,并带来不可逆转的损害。因此,建立科学的网络体系,保障系统网络安全迫在眉睫。

1.2大中型企业内网的安全性

ERP、OA和CAD等生产和办公系统已经在企业中得到普遍性应用,随之而来的就是企业对这些系统的高依赖性。这样带来的另一个问题是内网面临的风险。内网运行稳定、可靠、可控才能保障日常生产和办公的进行,一定程度上,将内网信息网络比作企业的生命线也不为过。这个内网同时由大量终端设备,大中小型服务器,各种网络设备构成,这个其中每一个部分都要确保正常工作,否则一点小问题都有可能引发网络的停滞甚至瘫痪。但目前大中型企业的内网安全依然存在很多安全隐患,主要表现为以下几种情形:对外服务器缺少安全防护遭到黑客攻击;员工上网过程缺乏有效监管,一方面会造成网络安全隐患,另一方面也影响工作效率;此外还有一些内部的服务器被非法访问,造成企业信息的外泄。

2大中型石油企业信息网络安全威胁及安全体系构建

2.1大中型石油企业面临的信息网络安全威胁

进入21世纪以来,大中型石油企业对数字化信息网络建设可谓不遗余力,软硬件的建设开发中,信息网络的安全性却未得到足够的重视。由于对网络安全防护重视程度不够,我国的大中型石油企业长期饱受网络安全的困扰。有相关调查显示,我国企业中,约有41%经常受到恶意软件和间谍的入侵,63%的企业经常遭受病毒或蠕虫攻击。而就大中型石油企业而言,不仅面临着外部病毒的攻击,同时内部人员的信息泄露也考验着企业的网络安全。由于员工信息安全意识淡薄,上网过程又缺乏有效监管,在员工无意识的情况下,就可能引起发一系列问题。比如,企业机密信息的泄露,各种垃圾邮件的充斥,各种网络病毒的侵袭,黑客的攻击等等,这些问题随着信息化的发展进程和企业经济发展利益竞争白热化,成为大中型石油企业最为棘手的问题。

2.2大中型石油企业网络安全体系的全方位构建

随着网络攻击的多元化,攻击方式也是五花八门。传统的只针对网络层面以下的安全对策已经不足以应对如今复杂的网络安全情况,企业必须要建立起多层次多元化的安全体系才能有效提升企业网络信息安全指数。大中型石油企业信息网络安全的五个重要组成:物理安全、链路安全、网络安全、系统安全、信息安全。

1)物理安全。物理安全是整个网络系统安全的前提,物理安全旨在为企业提供一个安全可靠的物理运行环境,这个更多指对企业相应硬件设施的安全防护,比如,企业服务器、数据介质、数据库等、

2)链路安全。链路安全指的是信息输送通道。数据传输过程中能够确保内容安全、可靠、可控、能有效抵御攻击。常见的几种数据链路层安全攻击有MAC地址扩散、ARP攻击与欺骗、DHCP服务器欺骗与DHCP地址耗尽、IP地址欺骗。

3)网络安全。这主要针对于系统信息方面。这个是涵盖范围相对广泛的一个方面。比如,用户口令鉴别,计算机病毒防治,用户存取权限控制,数据存取权限,数据加密等都属于网络安全范畴。

4)系统安全。系统的正常运行是企业日常生产和运行的根本保障。但是,系统出现崩溃、损坏的风险依然存在,这就需要能够有一套有效的风险预防机制和办法。能够确保系统崩溃时对相关信息实现最大化备份,同时能够具备保密功能,防止系统崩溃后的信息外漏。

5)信息安全。这就要分信息的传播安全和信息的内容安全。很大程度上是对不良信息的有效过滤和拦截。侧重于对非法、有害信息可能造成的不良后果的有效遏止。信息内容角度更侧重于对信息保密性、真实和完整的保护,防止网络黑客对信息的截留、篡改和删除等手段来达到损害企业利益的行为,本质上是对企业利益和隐私的保护。

2.3大中型石油企业安全设计的基本原则

信息保密性、真实性、完整性、未授权拷贝、寄生系统的安全性等五个方面的内容构成了信息安全的整体统一。信息安全的原则也就指明了大中型石油企业“数字化”网络建设安全设计的基本原则。

1)保密性:对授权用户的保护和对非授权用户的防止,信息利用的用户、实体的专属性。

2)完整性:信息的输入和传输要确保完整,防止非法的篡改或者破坏,保证数据的稳定和一致。

3)可用性:针对授权用户而言要确保其合理使用的特性。

4)可控性:信息能够在处理、传递、存储、输入、输出等环节中有可控能力。

3大中型石油企业网络信息安全风险漏洞的成因及一些防范措施

网络信息流量几何式增长,大中型石油企业信息资源对系统的应用也日渐成熟,生产经营数据也日益增多。与此同时,国内大中型石油企业信息系统安全问题日益突出。因而,如何保障大中型石油企业信息数据安全,全面建立安全保障体系,这就显得愈发重要。应从内因和外因上进行分析和预防。内因上,处于方向性决策的管理层对网络信息安全的防护意识不强,不够重视。这类人群往往关注的是信息化进程给企业带来的收益,对于安全隐患和潜在的威胁却往往忽视。此外,在信息化发展进程中,大中型石油企业在数据化硬件建设中容易竞争对比,但是对于数据的管理安全性建设要求不高。其次,网络信息安全建设不是一蹴而就的,相反是一个长期过程,需要不断进行系统补丁的更新。其一,信息系统连接于因特网,开放的网络环境带来的是企业信息安全的脆弱。其二,大中型石油企业信息化建设往往求新不求稳。云计算,物联网,只要是当下发展流行技术都会上马,而不充分考虑技术的实际应用于企业的现实贴合。多系统的复杂应用带来的是更多、更高的系统漏洞风险。再次,大中型石油企业在信息安全技术团队建设上海相对滞后,缺乏强有力的信息安全维护团队带来的是企业信息安全的高风险。这往往是因为大中型石油企业往往将预算优先分配于能够直接带来经济效益的生产方面,对于见不到短期回报的信息安全防护支出是能少则少。然而,一旦企业信息泄露带来的可能是灾难性的后果,因而,有水平有业务能力的专业信息安全维护队伍建设至关重要。外因上,一些不可抗力造成的硬件设备损坏,外部对企业信息的攻击,相关法律法规还不够健全等等因素都是影响企业信息安全的外因。因而,加强大中型石油企业的安全防范可从四个方面着手。在机制层面,第一,管理层要对信息安全有强意识,第二,信息安全意识要渗透到整个企业。进而建立企业信息安全管理、运行、检测体系。另外,在面对一些风险来临之时,能够有有效的应急机制加以应对。在技术面,技术指标相对可量化,过硬的技术实力是保证大中型石油企业信息安全的关键,所以说,提高对信息安全水平的投资力度,建设高水平,高素质的技术队伍显得尤为重要。在系统安全性建设层面,大中型石油企业在信息系统安全性建设之初就要结合企业实际充分考虑信息系统需要的安全保护等级以及架构建设,对后期风险能够有科学的分析与控制建议。在企业人员素养层面,大中型石油企业能够在技术层面实现对企业信息安全的保障,就需要企业能够有具备专业技术业务水准的网络信息技术安全人员队伍。从设计到操作到运维都离不开专业的技术人员。这些网络管理技术人员还要能够在后期不断得到组织和学习,不断得到新的知识补充,能够让这些技术人员时刻与最前沿的IT科技接轨。

4结束语

第9篇:企业信息安全现状范文

“中国企业员工的信息安全意识可谓不容乐观,提升员工信息安全意识刻不容缓。”谷安天下副总经理魏彩霞对当前企业员工的信息安全意识现状表示担忧,“不同行业的信息安全意识现状不同,电信、金融等行业由于业务的特殊性,安全意识较高,而其他行业的信息安全意识整体状况则依旧薄弱”。

调查显示,接近50%的受访者认为单位领导的信息安全意识一般、很差或者还不如自己。而据魏彩霞介绍,一些企业中即使领导非常重视信息安全,希望提升员工的保密意识,但“只是看到别人的明文密码导致信息泄漏就更改自己的网页设置等单个事件,并不能系统地提升企业员工整体的信息安全意识”。

由于员工信息安全意识薄弱而给企业带来灾难性损失的案例屡见不鲜。据统计,世界上每分钟就有两家企业因为信息安全的问题而倒闭。而在所有信息安全事件中,只有20%~30%是因为黑客入侵或其他外部原因造成,另外70%~80%是由于内部员工的疏忽或有意泄漏造成,而78%的企业数据泄漏是由于内部员工不规范的操作造成的。