公务员期刊网 精选范文 企业信息安全评估范文

企业信息安全评估精选(九篇)

前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的企业信息安全评估主题范文,仅供参考,欢迎阅读并收藏。

企业信息安全评估

第1篇:企业信息安全评估范文

【关键词】云计算 电力企业 信息安全 风险评估

为提升电力企业的信息化建设和管理水平,引入云计算技术是大势所趋。云计算以其在虚拟化、负载均衡、并行计算等方面的独特优势,自2006年提出伊始便广受关注。但基于云计算的信息安全事件屡有发生。因此必须对云计算环境下的电力企业信息安全作准确评估并提出针解决措施。

1 云计算概述

云计算就是基于Internet的计算方式,其核心思想是依托互联网将大量计算机组成可控资源池,然后用该资源池响应任何计算任务。其框架见图1所示。

显然,云计算具有可扩展性强、服务能力弹性大等优势,但也存在基于互联网的信息安全风险,主要包括虚拟化环境安全风险、数据访问权限风险、数据存储与传输安全风险等方面。

就电力企业来说,云计算需完成的任务包括电力营销、用户个人信息管理、电力数据仿真、用户信息及智能仪表数据处理等层面,涵盖IaaS、PaaS和SaaS三个云服务层次。

2 电力云使用中的信息安全风险表现

根据云计算服务性质的差异,可以将云计算分为公有云、私有云和混合云。当前电力企业的云计算既涉及公有云、又包含私有云,但主要是私有云。电力私有云指电力企业为提升系统内整个IT架构而单独构建的云计算。与公有云相比,服务质量与安全性得到明显改善,但仍存在以下安全风险:

2.1 访问权限风险

即由于所有的业务系统都部署在“云”中,若无合理的身份认证方式,任何人都能接触重要数据,可能带来泄密风险。

2.2 边界风险

由于云计算基于虚拟化架构,安全边界比较模糊,传统的安全域划分机制难以保障云计算安全需求。

2.3 数据恢复风险

在系统范围内,所有数据和程序都部署在云计算中心,必须要有应对灾难的数据恢复措施。

2.4 资源共享风险

在电力云计算各种资源与服务被众多用户和终端安全共享的过程中,涉及数据和应用的隔离考虑等。

3 云计算环境下的电力信息安全评估方法

3.1 信息安全风险评估理论

信息安全风险评估是指根据有关安全标准对信息系统运作各过程中信息的机密性、完整性和可用性等安全属性进行评价。其目的是达成风险可控。信息安全风险评估的4个阶段:

(1)评估准备阶段。包括明确目标、确定范围、初步调研等;

(2)要素识别阶段。即对资产的威胁和脆弱性进行辨识;

(3)风险分析阶段。主要确定风险等级;

(4)汇报验收阶段。

3.2 基于云计算环境的电力企业信息安全评估

根据以上关于信息安全评估理论,结合电力云计算的互联网特性,勾画出如图2所示的云计算环境下电力信息安全评估流程。

(1)若被评估对象没有使用云计算服务,那么其评估方法沿袭传统的信息安全风险评估方法,详见文献。

(2)若被评估对象采用了云计算,则应依据Gartner提出的云计算安全风险分析方法,从四个角度进行测评。

① 资产识别。包括资产分类和资产赋值。资产分类是对所有纳入云计算的资产进行列表;资产赋值是分别对资产的机密性、完整性和可用性3个安全属性进行打分,分值可取5/4/3/2/1(分值越高表示越重要),然后取3个属性中最高值作为该资产赋值,记作Asi。

② 威胁识别。包括威胁分类和威胁赋值。对于威胁i,用ProbT{i}表示其“爆发”可能性。

③ 脆弱性识别。首先根据云计算平台的可审查性、数据位置、数据隔离措施、数据恢复措施及长期生存性等特性识别可能引发安全事件的脆弱性;其次对特定脆弱性,用0-1变量表示存在与否,记为PV{i}。

④ 风险评估与分析。即通过对威胁和脆弱性之间关联性的解析,得到安全问题发生可能性L(ProbT,PV),并计算损失量(因损失与资产价值和安全事件可能性正相关,因此可用函数F(As,L(ProbT,PV表示),最后估测风险值R(L,F)。:

4 应对措施

在完成对电力企业信息安全评估后,就应制定针对性措施。一般来说,有以下几项可供参考:

(1)建立私有云“4A”统一安全管理平台,强化身份管理、安全认证、访问权限控制及审计机制,达成访问可溯源。

(2)建立安全事件应急响应机制及处理流程,完善安全审计机制。

(3)采用全同态数据加密技术,保障数据的传输安全。

5 结束语

通过介绍云计算架构、电力云组建方式,明确云计算环境下电力企业信息安全所面临的新挑战。以信息安全风险评估的相关理论为铺垫,结合电力企业信息管理的实际,提出了基于云计算的电力信息安全评估方法。该方法具有一定前瞻性。

参考文献

[1]张伟.电力企业云计算信息安全风险评估探讨[J].广东科技,2013,133(20):48-50.

[2]魏亮.云计算安全风险及对策研究[J].邮电设计技术,2011,18(01):26-28.

[3]佟得天,刘旭东.云计算信息安全与实践[J].电信科学,2013,19(02):136-139.

作者简介

汤杰(1985-),男,湖南省常宁市人。毕业于中国石油大学(华东)计算机科学与技术专业,获得大学本科学历。现为神华国华九江发电有限责任公司助理工程师,主要从事公司网络及信息化建设、运维工作。

第2篇:企业信息安全评估范文

随着信息化进程的发展,信息技术与网络技术的高度融合,现代企业对信息系统的依赖性与信息系统本身的动态性、脆弱性、复杂性、高投入性之间的矛盾日趋突显,如何有效防护信息安全成为了企业亟待解决的问题之一。目前国内企业在信息安全方面仍侧重于技术防护和基于传统模式下的静态被动管理,尚未形成与动态持续的信息安全问题相适应的信息安全防护模式,企业信息安全管理效益低下;另一方面,资源约束性使企业更加关注信息安全防护的投入产出效应,最大程度上预防信息安全风险的同时节省企业安全建设、维护成本,需要从管理角度上更深入地整合和分配资源。

本文针对现阶段企业信息安全出现的问题,结合项目管理领域的一般过程模型,从时间、任务、逻辑方面界定了系统的霍尔三维结构,构建了标准化的ISM结构模型及动态运行框架,为信息网络、信息系统、信息设备以及网络用户提供一个全方位、全过程、全面综合的前瞻性立体防护,并从企业、政府两个层面提出了提高整体信息安全防护水平的相关建议。

1 企业信息安全立体防护体系概述

1.1 企业信息安全立体防护体系概念

信息安全立体防护体系是指为保障企业信息的有效性、保密性、完整性、可用性和可控性,提供覆盖到所有易被威胁攻击的角落的全方位防护体系。该体系涵盖了企业信息安全防护的一般步骤、具体阶段及其任务范围。

1.2 企业信息安全立体防护体系环境分析

系统运行离不开环境。信息产业其爆炸式发展的特性使企业信息安全的防护环境也相对复杂多变,同时,多样性的防护需求要求有相适应的环境与之配套。

企业信息安全立体防护体系的运行环境主要包括三个方面,即社会文化环境、政府政策环境、行业技术环境。社会文化环境主要指在企业信息安全方面的社会整体教育程度和文化水平、行为习惯、道德准则等。政府政策环境是指国家和政府针对于企业信息安全防护出台的一系列政策和措施。行业技术环境是指信息行业为支持信息安全防护所开发的一系列技术与相匹配的管理体制。

1.3 企业信息安全立体防护体系霍尔三维结构

为平衡信息安全防护过程中的时间性、复杂性和主观性,本文从时间、任务、逻辑层面建立了企业信息安全立体防护体系的三维空间结构,如图1所示。

时间维是指信息安全系统从开始设计到最终实施按时间排序的全过程,由分析建立、实施运行、监视评审、保持改进四个基本时间阶段组成,并按PDCA过程循环[5]。逻辑维是指时间维的每一个阶段内所应该遵循的思维程序,包括信息安全风险识别、危险性辨识、危险性评估、防范措施制定、防范措施实施五个步骤。任务维是指在企业信息安全防护的具体内容,如网络安全、系统安全、数据安全、应用安全等。该霍尔三维结构中任一阶段和步骤又可进一步展开,形成分层次的树状体系。

2 企业信息安全立体防护体系解释结构模型

2.1 ISM模型简介

ISM(Interpretation Structural Model)技术,是美国J·N·沃菲尔德教授于1973年为研究复杂社会经济系统问题而开发的结构模型化技术。该方法通过提取问题的构成要素,并利用矩阵等工具进行逻辑运算,明确其间的相互关系和层次结构,使复杂系统转化成多级递阶形式。

2.2 企业信息安全立体防护体系要素分析

本文根据企业信息安全的基本内容,将立体防护体系划分为如下15个构成要素:

(1) 网络安全:网络平台实现和访问模式的安全;

(2) 系统安全:操作系统自身的安全;

(3) 数据安全:数据在存储和应用过程中不被非授权用户有意破坏或无意破坏;

(4) 应用安全:应用接入、应用系统、应用程序的控制安全;

(5) 物理安全:物理设备不受物理损坏或损坏时能及时修复或替换;

(6) 用户安全:用户被正确授权,不存在越权访问或多业务系统的授权矛盾;

(7) 终端安全:防病毒、补丁升级、桌面终端管理系统、终端边界等的安全;

(8) 信息安全风险管理:涉及安全风险的评估、安全代价的评估等;

(9) 信息安全策略管理:包括安全措施的制定、实施、评估、改进;

(10) 信息安全日常管理:巡视、巡检、监控、日志管理等;

(11) 标准规范体系:安全技术、安全产品、安全措施、安全操作等规范化条例;

(12) 管理制度体系:包括配套规章制度,如培训制度、上岗制度;

(13) 评价考核体系:指评价指标、安全测评;

(14) 组织保障:包括安全管理员、安全组织机构的配备;

(15) 资金保障:指建设、运维费用的投入。

2.3 ISM模型计算

根据专家对企业信息安全立体防护体系中15个构成要素逻辑关系的分析,可得要素关系如表1所示。

对可达矩阵进行区域划分和级位划分,确定各要素所处层次地位。在可达矩阵中找出各个因素的可达集R(Si),前因集A(Si)以及可达集R(Si)与前因集A(Si)的交集R(Si)∩A(Si),得到第一级的可达集与前因集(见表2)。

2.4 企业信息安全立体防护结构

结合信息安全防护的特点,企业信息安全立体防护体系15个要素相互联系、相互作用,有机地构成递阶有向层级结构模型。图2中自下而上的箭头表示低一层因素影响高一层因素,双向箭头表示同级影响。

从图2可以看出,企业信息安全防护体系内容为四级递阶结构。从下往上,第一层因素从制度层面阐述了企业信息安全防护,该层的五个因素处于ISM结构的最基层且相互独立,构成了企业信息安全立体防护的基础。第二层因素在基于保障的前提下,确定了企业为确保信息安全进行管理活动,是进行立体防护的方法和手段;第三层因素是从物理条件、传输过程方面揭示了企业进行信息安全防护可控点,其中物理安全是控制基础。第四层要素是企业信息安全的直接需求,作为信息的直接表现形式,数据是企业信息安全立体防护的核心。企业信息安全防护体系的四级递阶结构充分体现了企业信息安全防护体系的整体性、层级性、交互性。

图2 企业信息安全防护解释结构模型

2.5 企业信息安全立体防护过程

企业信息安全立体防护是一个多层次的动态过程,它随着环境和信息传递需求变化而变化。本文在立体防护结构模型的基础上对企业信息安全防护结构进行扩展,构建了整体运行框架(见图3)。

从图3 中可以看出,企业信息安全防护过程按分析建立到体系保持改进的四个基本时间阶段中有序进行,充分体现出时间维度上的动态性。具体步骤如下:

(1) 综合分析现行的行业标准规范体系,企业内部管理流程、人员组织结构和企业资金实力,建立企业信息安全防护目标,并根据需要将安全防护内容进行等级划分。

(2) 对防护内容进行日常监测(包括统计分析其他公司近期发生的安全事故),形成预警,进而对公司信息系统进行入侵监测,判断其是否潜在威胁。

(3) 若存在威胁,则进一步确定威胁来源,并对危险性进行评估,判断其是否能通过现有措施解决。

(4) 平衡控制成本和实效性,采取防范措施,并分析其效用,最终形成内部信息防护手册。

3 分析及对策

3.1 企业层面

(1) 加强系统整体性。企业信息安全防护体系的15个构成要素隶属于一个共同区域,在同一系统大环境下运作。资源受限情况下要最大程度地保障企业信息安全,就必须遵循一切从整体目标出发的原则,加强信息安全防护的整体布局,在对原有产品升级和重新部署时,应统一规划,统筹安排,追求整体效能和投入产出效应。

(2) 明确系统层级性。企业信息安全防护工作效率的高低很大程度上取决于在各个防护层级上的管理。企业信息安全防护涉及技术层面防护、策略层面防护、制度层面防护,三个层面互相依存、互相作用,其中制度和保障是基础,策略是支撑,技术是手段。要有效维护企业信息安全,企业就必须正确处理好体系间的纵向关系,在寻求技术支撑的同时,更要立足于管理,加强工作间的协调,避免重复投入、重复建设。

(3) 降低系统交互性。在企业信息安全防护体系同级之间,相关要素呈现出了强连接关系,这种交互式的影响,使得系统运行更加复杂。因此需要加快企业内部规章制度和技术规范的建设,界定好每个工作环节的边界,准确定位风险源,并确保信息安全策略得到恰当的理解和有效执行,防止在循环状态下风险的交叉影响使防范难度加大。

(4) 关注系统动态性。信息安全防护是一个动态循环的过程,它随着信息技术发展而不断发展。因此,企业在进行信息安全防护时,应在时间维度上对信息安全有一个质的认识,准确定位企业信息安全防护所处的工作阶段,限定处理信息安全风险的时间界限,重视不同时间段上的延续性,并运用恰当的工具方法来对风险加以识别,辨别风险可能所带来的危险及其危害程度,做出防范措施,实现企业信息安全的全过程动态管理。

3.2 政府层面

企业信息安全防护不是一个孤立的系统,它受制于环境的变化。良好的社会文化环境有助于整体安全防护能力主动性的提高,有力的政策是推动企业信息安全防护发展的前提和条件,高效的行业技术反应机制是信息安全防护的推动力。因此在注重企业层面的管理之外,还必须借助于政府建立一个积极的环境。

(1) 加强信息安全防护方面的文化建设。一方面,政府应大力宣传信息安全的重要性及相关政策,提高全民信息安全素质,从道德层面上防止信息安全事故的发生;另一方面,政府应督促企业加强信息安全思想教育、职能教育、技能教育、法制教育,从思想上、理论上提高和强化社会信息安全防护意识和自律意识。

(2) 高度重视信息安全及其衍生问题。政府应加快整合和完善现有信息安全方面的法律、法规、行业标准,建立多元监管模式和长效监管机制,保证各项法律、法规和标准得到公平、公正、有效的实施,为企业信息安全创造有力的支持。

(3) 加大信息安全产业投入。政府应高度重视技术人才的培养,加快信息安全产品核心技术的自主研发和生产,支持信息安全服务行业的发展。

4 结 语

本文从企业信息安全防护的实际需求出发,构建企业信息安全防护基本模型,为企业信息安全防护工作的落实提供有效指导,节省企业在信息安全防护体系建设上的投入。同时针对现阶段企业信息安全防护存在的问题从企业层面和政府层面提出相关建议。

参考文献

[1] 中国信息安全产品测评认证中心.信息安全理论与技术[M].北京:人民邮电出版社,2003.

[2] 汪应洛.系统工程[M].3版.北京:高等教育出版社,2003.

[3] 齐峰.COBIT在企业信息安全管理中的应用实践[J].计算机应用与软件,2009,26(10):282?285.

[4] 肖馄.浅议网络环境下的企业信息安全管理[J].标准科学,2010(8):20?23.

第3篇:企业信息安全评估范文

科技是一把双刃剑,科技发展带来的不全是益处,也会有各种各样的麻烦。大数据技术在提升对数据洞察力的同时,也同样提升了破坏信息安全的能力。

首先,数据价值提升推高了数据保有成本。随着信息化程度的不断提升,数据价值也在大幅提升,企业的经营行为被越来越多地数字化,财务信息、人事信息、知识产权等这些企业最重要的信息都在被汇聚成为企业信息大数据,若这些数据被泄漏,再基于此类数据开展大数据分析,企业信息将毫无秘密可言。因此,数据价值的提升必然要推高信息安全方面的投入,来确保企业信息的安全。

其次,黑客破坏信息安全的能力在增强。数据的大量汇集,使得黑客成功攻击的收益在增加,“激励”了黑客的网络攻击行为。大数据技术本身也在成为黑客攻击的有力武器,黑客通过大数据分析,可以得到更多的有用信息,制定更加有效的攻击策略,改进传统攻击手段,提高了信息安全防护成本。尤其是进入“云时代”后,数据在云端,云安全就更加重要,而遗憾的是,近几年,一些大型云平台数据泄漏事件更加剧了人们对于信息安全的担心。

最后,信息安全意识尚需提高。外在信息安全并不是企业面临的唯一危险,企业内部安全意识不强同样威胁巨大。员工由于安全意识单薄,或者企业内部信息安全体系不够完善导致信息泄漏的情况也在不断增加。据一项有关企业信息安全的调查结果发现,有近四成的受访者认为造成企业信息安全风险加剧的很大部分原因在于缺乏信息安全保护意识。尽管外部攻击和内部数据泄露的安全事故数量在增加,但多数企业并未给予足够重视。

因此,大数据时代信息价值在增加,企业信息安全的形势在恶化,而由此带来的损失将成倍放大。

对于我国企业信息安全体系建设而言,需要做到以下几点。做好安全评估,企业在构建信息安全体系之初,要先对企业自身信息安全体系进行梳理,摸清企业信息安全的薄弱环节,做好安全风险的评估,通过评估制定出合理完善的整体防护安全策略。建立标准体系,我国一直重视信息安全体系的标准工作,也推出了一系列相关政策和标准,企业可以参照相关标准,建立完整的信息安全管理制度,使企业有章可依。同时,在日常工作中要明确各风险点的负责人,责任划分明确。

第4篇:企业信息安全评估范文

当今是一个网络时代,也是一个科技化快速高速发展的时代。特别是对于电子科技企业来说,信息就成为了一个企业成败的关键。只有通过有效信息的掌握,才能让企业未来的道路越走越好。随着这样的趋势,企业信息化的进程也在不断的发展,信息不仅是在一定程度上掌握了企业未来的命运,同时对于企业管理水平的提高也起到了非常重要的作用。有一些企业的商务活动基本上都是通过电子商务的形式来完成的,还有一些生产运作、运输以及管理都离不开信息化的建设。还有一些电子科技企业为了企业未来的发展,要进行企业形象的宣传,产品以及服务信息很大程度上都要依赖于信息化的建设。如今,信息化的时代已经到来,信息化的建设对于电子科技企业来说具有至关重要的作用,因此电子科技企业应该加快信息化建设的步伐,这样才能促进电子科技企业进一步的发展。

2电子科技企业安全技术的阐述

2.1电子信息的加密技术

所谓电子信息的加密技术也就是对于所传送的电子信息能够起到一定的保密作用,也能够使信息、数据的传递变得更加安全和完整。电子信息的加密技术是保障电子科技企业信息安全的重要保证。加密技术也主要分为对称以及非对称两类,对称的加密技术一般都是通过序列密码或是分组机密的方式来实现的。这其中还包括了明文、密钥、加密算法以及解密算法五个基本的组成部分。而非对称加密与对称加密也存在一定的差异,非对称加密必须要具备公开密钥和私有密钥两个密钥,同时,这两种密钥只有配对使用,这样才能解密。因此加密技术对于电子信息的安全具有很大的保障。如果在发送电子信息的时候,发送人是使用加密技术来发送邮件的,那么有人窃取信息的时候,也只能够得到密文,不能得到具体的信息。这样就大大加强了信息传送的安全性。加快推进国内关键行业领域信息系统的安全评估测试。在安全评估方面,主要针对主机安全保密检查与信息监管,采取文件内容检索、恶意代码检查、数据恢复技术、网络漏洞扫描、互联网网站检测、语意分析等技术,评估分析重要信息是否发生泄漏,并找出泄漏的原因和渠道。

2.2防火墙技术

随着网络技术的不断发展,虽然对于信息安全问题已经不断的得到加强,但是一些信息的不安全因素也在逐级的提高。有一些黑客或者是病毒木马也在不断的入侵,而这些不安全的因素会极大的威胁到电子科技企业信息的安全。而针对这种情况,一种比较有效的防护措施就是防火墙技术的使用。这种技术可以有效的防止黑客的入侵以及电脑中的信息被篡改等情况的发生。这样就能够有效的保障电子科技企业信息的安全。加强企业信息基础设施和重要信息系统建设,建设面向企业的信息安全专业服务平台。重点开展等级保护设计咨询、风险评估、安全咨询、安全测评、快速预警响应、第三方资源共享的容灾备份、标准验证等服务;建设企业信息安全数据库,为广大企业提供快速、高效的信息安全咨询、预警、应急处理等服务,实现企业信息安全公共资源的共享共用,提高信息安全保障能力。

3解决电子科技企业信息安全问题的方法

3.1构建电子科技企业信息安全的管理体系

如果要想有效的保障电子科技企业的信息安全,除了要不断的提高安全技术水平,还要建立起一套比较完善的信息安全管理体系。这样才能使整个信息安全工作更加有条不紊的进行。在很多电子科技企业当中,最初所建立的相关信息制度在很大程度上都制约着信息系统的安全性。如果一旦安全管理制度出现了问题,那么一系列的安全技术都无法发挥出来。很多信息安全工作也无法正常进行下去。因此,严格的信息安全管理体系对于信息安全的保障具有十分重要的作用。只有当信息安全管理形成了一个完善的体系,那么信息安全工作才能够更加顺利的进行,同时也能够大大的提升信息安全的系数。

3.2利用电子科技企业自身的网络条件来提供

信息安全服务一般来说,电子科技企业都拥有自己的局域网,很多企业也可以通过局域网来相互连通。因此,电子科技企业应该充分的利用这一特点为自身的企业提供良好地信息安全服务。通过局域网的连通,不仅能够在这个平台上及时的公布一些安全公告以及安全法规,同时还可以进行一些安全软件的下载,为员工提供一些关于信息安全的培训。这样不仅能够为企业之间的员工提供一个安全的互相交流的平台,同时还能够很好的保障企业信息安全。针对企业主机安全保密检查与信息监管,采取文件内容检索、恶意代码检查、数据恢复技术、网络漏洞扫描、互联网网站检测、语意分析等技术,评估分析重要信息是否发生泄漏,并找出泄漏的原因和渠道。

3.3定期对信息安全防护软件进行及时的更新

第5篇:企业信息安全评估范文

关键词:企业信息安全;信息安全体系;IT技术

中图分类号:F840文献标识码:A文章编号:1009-2374(2009)05-0072-02

当前IT已成为企业业务发展和管理不可或缺的组成部分,其作用和影响力已从单一的业务部门扩散到企业与组织的每一个领域。在IT系统给企业带来活力、利润和竞争力的同时,也给企业增加了风险。因此如何充分利用IT系统获得企业价值的最大化,并且最大限度地降低利用IT技术而带来的风险,成为每个企业都必须要真接面对的问题。本文从企业信息安全的需求为出发点,构建以管理、技术和人员三者有机结合的立体的企业信息安全管理体系,最终实现企业安全建设的最终目标。

一、信息安全管理体系

从企业的内部分析,搭建一套完整的安全架构首先要做的就是根据企业能够承受的风险水平编写企业安全规范。编写企业的安全规范首先要遵循BS 7799-2信息安全管理体系的标准,标准要求组织通过确定信息安全管理体系范围、制定信息安全方针、明确管理职责、以风险评估为基础选择控制目标与控制方式等活动建立信息安全管理体系;体系一旦建立组织应按体系规定的要求进行运作,保持体系运作的有效性;信息安全管理体系应形成一定的文件,即组织应建立并保持一个文件化的信息安全管理体系,其中应阐述被保护的资产、组织风险管理的方法、控制目标及控制方式和需要的保证程度。

BS 7799-2:2002所采用的过程模式如:“计划-实施-检查-措施”四个步骤,可简单描述如下:

计划:依照组织整个方针和目标,建立与控制风险、提高信息安全有关的安全方针、目标、指标、过程和程序。

实施:实施和运作方针(过程和程序)。

检查:依据方针、目标和实际经验测量,评估过程业绩,并向决策者报告结果。

措施:采取纠正和预防措施进一步提高过程业绩。

以上四个步骤成为一个闭环,通过这个环的不断运转,使信息安全管理体系得到持续改进,使信息安全绩效(Performance)螺旋上升。

二、企业信息安全体系架构

根据BS 7799-2信息安全管理体系的标准,不同的企业对信息的安全需求不同,因此每个企业都要制定切实可行的信息安全架构,不是照搬照抄其他企业的模式,或是把各种安全产品进行堆砌,说到底企业的信息安全问题不只是技术上的问题,它是一个极其复杂的系统工程。要实施一个完整信息安全管理体系,至少应包括三类措施:一是社会的法律政策、企业的规章制度以及信息安全教育等外部软环境;二是信息安全的技术措施,如防火墙技术、网络防毒、信息加密存储通信、身份认证、授权等;三是审计和管理措施,该方面措施同时包含了技术与社会措施。这些措施应该均衡考虑企业在保密性(C)、完整性(I)和可用性(A)三方面的安全需求,并且从应用安全、数据安全、主机安全、网络安全、桌面安全和物理安全等六大安全领域全面系统地实现企业的这些安全需求,从而构建安全技术、管理和人员三个方面有机结合的企业信息安全保障体系如图1所示:

该模型是一种从企业信息安全的需求(保密性、完整性、可用性)为出发点,以应用安全、数据安全、主机安全、网络安全、桌面安全、物理安全为关注重点,层层剖析全面深入地挖掘企业的信息安全需求,构建以管理、技术和人员三者有机结合的立体的企业信息安全保障体系。

这种企业信息安全管理架构的规划融合了管理和技术为核心的全面分析方法,以安全需求为焦点,从管理现状、技术现状和人员状况三个维度,综合采用调查问卷、人员访谈、现场察看、资料分析、技术检测等多种手段,全面深入地挖掘需求。在明确需求的前提下,还要借鉴同类企业成功经验,再规划出符合企业实情的信息安全保障体系。

当然该安全体系架构的具体实施还要综合考虑如下问题:成长型企业一方面要节约成本,一方面要把安全风险降到最低。从这两个出发点出发才能够建立适合成长型企业的信息安全体系;计划阶段要评估自己的信息资产,自己的信息资产的价值有多大,现有的安全手段是什么,根据评估结果确立安全战略;开始建立和实施自己的信息安全体系,拟定自己的战略流程;对员工和合作伙伴的培训,建立信息监测和安全的手段。

三、实施信息安全架构的常规操作

在保证物理安全、桌面安全、网络安全、主机安全的基础上,信息安全架构的常规操作包括数据层保护、应用程序层保护、事件应对检查和安全操作。

数据层保护包括用EFS对文件进行加密;用访问控制列表限制数据;从默认位置移动文件;创建数据备份和恢复;用Windows Rights Management Services保护文档和电子文件等等。

应用程序层保护包括只启动必需的服务和功能;配置应用程序安全设置;安装应用程序的安全更新程序;安装和更新防病毒软件;以最低权限运行应用程序等等。

事件应对检查包括确定正在遭受攻击;确定攻击类型;发出有关攻击通知;遏制攻击;采取预防性措施;将攻击情况记录存档等等。

安全最佳做法包括深层防御;设计时考虑安全;最低权限;从过去的错误中学习;维持安全级别;加强用户的安全意识;开发和测试事件应对计划和过程等等。

四、结论

综上所述,企业要做到以信息为中心的安全,必须做到管理层面、组织层面和操作层面的有机结合,这样才能建立有效的安全体系,从而实现企业安全建设的最终目标。

参考文献

[1]梁永生.电子商务安全技术[M].大连理工大学出版社,2008,(4).

[2]Mark Rhodes-Ousley,等.网络安全完全手册[M].北京:电子工业出版社,2005,(10).

[3]卿斯汉.密码学与计算机网络安全[M].北京:清华大学出版社,2001.

第6篇:企业信息安全评估范文

    解决信息系统安全要有以下几点认识:要解决信息系统要有统筹全局的观念。解决信息系统的安全问题要树立系统观念,不能光靠一个面。从系统的角度分析信息系统是由用户和计算机系统两者组成,这包括人和技术两点因素。使用和维护计算机安全信息系统可以根据信息系统具有动态性和变化性等特点进行调整。信息系统是一项长期属于相对安全的工作,必须制订长销机制,绝不能以逸待劳。企业信息系统安全可以采取的策略是采用一套先进、科学及适用的安全技术系统,在对系统进行监控和防护,及时适当的分析信息系统的安全因素,使这套系统具有灵敏性和迅速性等响应机制,配合智能型动态调整功能体系。需要紧记的是系统安全来自于风险评估、安全策略、自我防御、实时监测、恢复数据、动态调整七个方面。其中,通过风险评估可以找出影响信息系统安全存在的技术和管理等因素产生的问题。在经过分析对即将产生问题的信息系统进行报告。

    安全策略体现着系统安全的总体规划指导具体措施的进行。是保障整个安全体系运行的核心。防御体系根据系统中出现的问题采用相关的技术防护措施,解决各种安全威胁和安全漏洞是保障安全体系的重心。并且通过监测系统实时检测运行各种情况。在安全防护机制下及时发现并且制止各种对系统攻击的可能性,假设安全防护机制失效必须进行应急处理,立刻实现数据恢复。尽量缩小计算机系统被攻击破坏的程度。可以采取自主备份,数据恢复,确保恢复,快速恢复等手段。并且分析和审理安全数据,适时跟踪,排查系统有可能出现的违归行为,检查企业信息系统的安全保障体系是否超出违反规定。

    通过改善系统性能引入一套先进的动态调整智能反馈机制,可以促进系统自动产生安全保护,取得良好的安全防护效果。可以对一台安全体系模型进行分析,在管理方面,对安全策略和风险评估进行测评,在技术层面,实时监测和数据恢复形成一套防御体系。在制度方面,结合安全跟踪进行系统排查工作。系统还应具备一套完整的完整的动态自主调整的反馈机制,促进该体系模型更好的与系统动态性能结合。

    信息安全管理在风险评估和安全策略中均有体现,将这些管理因素应用与安全保障体系保护信息安全系统十分重要。企业必须设立专门的信息系统安全管理部门,保障企业信息系统的安全。由企业主要领导带头,组织信息安全领导小组,专门负责企业的信息安全实行总体规划及管理。在设立信息主管部门实施具体的管理步骤。企业应该制订关于保证信息系统安全管理的标准。标准中应该明确规定信息系统中各类用户的职责和权限、必须严格遵守操作系统过程中的规范、信息安全事件的报告和处理流程、对保密信息进行严格存储、系统的帐号及密码管理、数据库中信息管理、中心机房设备维护、检查与评估信息安全工作等等信息安全的相关标准。而且在实际运用过程中不断地总结及完善信息系统安全管理的标准。

    相关部门应该积极开展信息风险评估工作。通过维护信息网的网络基础设施有拓扑、网络设备和安全设备,对系统安全定期的进行评估工作,主动发现系统存在的安全问题。主要针对企业支撑的信息网和应用IT系统资产进行全方位检查,对管理存在的弱点进行技术识别。对于企业的信息安全现状进行全面的评估,可以制作一张风险视图表现企业全面存在的问题。为安全建设提供指导方向和参考价值。为企业信息安全建设打下坚实的基础。

    最后,加强信息系统的运行管理。可以通过以下措施进行:规范系统电子台帐、设备的软件及硬件配置管理、建立完善的设备以及相关的技术文档。系统日常各项工作进行闭环管理,系统安装、设备运营管理等。还要对用户工作进行规范管理,分配足够的资源和应用权限。防御体系、实时检测和数据恢复三方面都体现了技术因素,信息安全管理系统技术应用于安全保障体系中。在建设和维护信息安全保障体系过程中,需要多方面,多角度的进行综合考虑。采用分步实施,逐步实现的手法。在信息安全方面采取必要的技术手段,加强系统采取冗余的配置,提高系统的安全性。

    对中心数据库系统、核心交换机、数据中心的存储系统、关键应用系统服务器等。为了避免重要系统的单点故障可以采取双机甚至群集的配置。另外,加强对网络系统的管理。企业信息系统安全的核心内容之一是网络系统。同样也是影响系统安全因素最多的环节。网络系统的不安全给系统安全带来风险。接下来重点谈网络安全方面需要采取的技术手段。网络安全的最基础工作,是加强网络的接入管理。

    与公用网络系统存在区别的是,企业在网络系统中有专门的网络,系统只准许规定的用户接入,因此必须实现管理接入。在实际操作过程中,可以采取边缘认证的方式。笔者在实际工作经验总结出公司的网络系统是通过对网络系统进行改造实现支持802.1X或MAC地址两种安全认证的方式。不断实现企业内网络系统的安全接入管理。网络端口接入网络系统时所有的工作站设备必须经过安全认证,从而保证只有登记的、授权记录在册的设备才能介入企业的网络系统,从而保证系统安全。根据物理分布可以利用VLAN技术及使用情况划分系统子网。这样的划分有以下益处:首先,隔离了网络广播流量,整个系统避免被人为或者系统故障引起的网络风暴。其次是提高系统的管理性。通过划分子网可以实现对不同子网采取不同安全策略,可以将故障缩小到最低范围。根据一些应用的需要实现某些应用系统中的相对隔离。

第7篇:企业信息安全评估范文

关键词:企业管理 企业信息管理 安全措施

全球经济一体化趋势的不断增强,使得企业之间的竞争日益激烈,企业之间的空间也越来越小,在这种竞争形势下,企业的经营方式和管理方式也随之发生了变化。同时,我们也应当意识到,这种个变革促进了企业的信息化管理的进程,同时也使得企业与外部信息网络的沟通方式得到了拓宽,企业内部的人与人、人与物的沟通方式也得到了优化,与此同时,企业信息管理的安全问题也逐渐受到了越来越多的重视。

一、企业信息管理

企业信息管理指的就是通过现代化的信息技术和设备,以网络技术和网络设备实现企业管理的自动化,进而对企业进行全方位和多角度的管理,以此来促进企业物流和能源流的优化配置,进而通过企业资源的开发和信息技术的有效利用来提高企业的管理水平,增强企业的核心竞争力。企业信息管理的主要内容,一般包括企业未来的经济形势分析、预测资料、资源的可获量、市场和竞争对手的发展动向,以及政府政策与政治情况的环境变化等等。企业信息管理与制订企业发展战略、制订规划、合理地分配资源是密切相关的。同时,企业的信息管理也应当包括企业内部的信息资源,如财务管理信息、库存、产品设计、职工档案管理等多方面的内容,并且促进企业的全面发展。

二、企业信息安全管理的必要性

企业信息的存在方式有着多样性,而进行企业安全信息管理的主要目的,在于保护企业的信息安全,保证企业能够顺利的参与到市场经济活动中,进而提高企业的经济效益和社会效益。企业信息安全管理主要有三个特点:

1.保密性

企业安全信息只有被授权的人才能够进行访问,具有较强的保密性。

2.完整性

信息本身和信息处理方法具有一定的准确性和完整性,才能够确保企业信息管理的有效性。

3.可用性

企业安全信息具有一定的可用性,需要时可以通过授权用户实现对信息的访问。企业的安全信息管理能够通过有效的控制措施来实现,前提是充分认识到企业信息安全管理的必要性。第一,企业管理的信息具有很强的保密性和完整性的特点,因此其对于企业的资金流动、企业的综合竞争力等多方面都有着重要的影响,同时对于企业的商业形象与合法经营也至关重要,因此加强企业信息安全管理是必要的。第二,由于网络自身所具有的开放性特性,决定了企业信息管理也面临着来自各方面的安全威胁,比如计算机病毒、黑客等,以及计算机诈骗、泄密等问题,也说明了加强企业信息安全管理势在必行。第三,企业对于信息系统产生的依赖也从另一方面暴露出了信息管理系统的脆弱,公共网络与私人网络的连接增强了信息的控制难度,使得信息在分散化的管理模式下,集中、专业控制的有效性大大的减弱。另外,由于很多信息管理系统设计的缺陷,其自身就存在着不合理之处,这对于信息安全管理也带来了一定的难度。基于此,对于企业信息管理的安全性也成为了当前企业管理面临的一个重大课题。

三、企业信息管理的安全防范措施

1.不断完善的信息管理系统

信息管理系统的投入和使用,是建立在充分的实践经验的基础上,通过一段时间的运行和观察,才能够投入使用。在不同的部门进行信息系统的引入时,应当按照部门的实际情况,通过多方引进,使用统一的信息管理系统。对于信息安全来说,首先要解决的就是系统是否能够通过安全验证对用户进行有效的管理,并且赋予不同等级的用户不同的使用权限,这样则能够有效的防止无权访问信息的用户对核心区域的访问,保证信息不会被盗用。

2.有效的设备管理

对于管理系统中使用的设备品牌、机型、内部配置以及使用时间等信息都要进行专门的记录,通过这些记录,定期对设备进行维护,同时也能够通过这些信息判断出信息的使用效率以及运行情况,对于设备的损坏或者是丢失情况都能够及时的了解。

3.加强对人员的监督与管理

人是设备的主要操作者,因此对于信息的安全管理,就需要加强对人的管理,这就需要操作人员具有足够的安全意识,对于每一位操作人员都应当进行相关的培训,对于唯一的用户名和密码等信息要进行妥善额保管,同时让操作人员了解到泄密会导致的严重后果,增强责任意识。同时,要加强对各种票据的管理,对于票据的领用,相关人员要做好登记,同时要保留相吻合的票据号码,用来存档。通过不断的加强过程管理,通过对每个细节的严密审查,能够有效的减少浑水摸鱼的现象,同时通过科学的评价机制和激励机制,刺激人员工作的积极性,加强自身的责任意识。

4.多方研发和推广网络信息处理系统

网络信息处理系统是在网络计算技术的基础上, 结合实现电子商务管理为方向。在可以提供互联网环境下的管理方式、信息处理模式和别的各种功能的信息处理系统。网络管理作为INTERNET与电子商务环境下信息处理系统的主流发展方向。跟传统信息处理系统相比, 网络系统还要有着各类辅助作用。

四、结束语

在现代市场经济条件下,企业能够对信息实施有效的安全管理,对于企业的综合竞争力,有着重要的影响。而企业信息管理的安全性,主要与企业的信息安全管理体制是否完善、是否具有与企业文化相符合的信息安全管理办法以及科学的评估方法等因素有着直接的关系,因此,企业应当不断的加强对信息的安全管理,不断提高企业的管理效率,以此促进企业实现持续、稳定的发展。

参考文献

[1]黄国忠.企业信息安全风险自评估模型研究[D].浙江大学管理学院 浙江大学:管理科学与工程,2008.

[2]陈丽霞,杨超.基于Web的企业信息管理系统安全方案[J].电脑知识与技术,2008(25).

[3]翟俊.企业信息管理系统建设的现存问题与对策简析[J].计算机光盘软件与应用,2011(17).

第8篇:企业信息安全评估范文

(一)信息安全组织临时化

通常,制造型企业只有在发生了信息泄露、病毒攻击、系统破坏等信息安全事件时,才会临时从信息技术部和业务部门抽调人手处理和解决信息安全事件.出现新的信息安全要求时,才会临时组建项目小组,根据新的信息安全要求制定解决方案并实施计划,项目完成后,临时小组就会解散,没有人会继续跟进和执行解决方案.由于没有定期的信息安全评估,安全计划不断地重复开始和结束,带来大量的人财物重复投入,这将导致安全计划成本不断增加,企业的工作效率不断降低,信息安全防护也未得到有效提升.

(二)员工上网无限制

虽然制造型企业为员工上网提供了用户名及密码,并且对其登录的网站进行了监测,但是员工在工作时间还是可以无设防地利用外网进行网页游览、网络社交等行为,并且使用一些网站的免费邮箱随意地接收和发送电子邮件,这些给黑客、病毒、钓鱼软件等创造了对企业内部网络攻击的机会.于是,员工在不了解原因的情况下,使得企业的信息被泄露或者内部网络瘫痪,从而影响企业的正常工作,造成企业资产的损失.

(三)个人移动设备(BYOD)使用泛滥

在制造型企业的办公场合,员工会携带个人移动设备(BYOD)如笔记本电脑、平板电脑、智能手机、移动硬盘等进行办公.企业员工可以较为随意地使用这些移动存储设备对内部文件进行拷贝,并且可以使用移动设备接入企业内网的无线WiGFi,并拥有一定程度的内网数据读取权限,这样做虽然节约了企业的办公成本,提高了办公的效率,但是也增加了企业内网病毒感染及遭受黑客恶意入侵的风险.

(四)信息安全防护水平有限

出于性能、技术等因素的考虑,加之国内自主研发的信息安全产品较少,目前进口的信息安全产品受到许多制造型企业的广泛采用.尽管这些企业的信息安全需求以此得到了满足,但近几年来,进口产品设备故障的频繁发生也对制造型企业的业务带来了不同程度的影响.同时,进口信息安全产品已经占据了这些企业信息系统的关键节点,这使得企业的商业机密时刻处于高危状态.不仅如此,部分制造型企业仍旧停留在使用免费的个人版杀毒软件阶段,而这些软件不仅无法解决病毒交叉感染的问题,也没有统一的管理平台对企业内网的安全系统进行统一的升级与维护.另外,信息安全产品在企业内的无序堆叠不仅使得各安全产品存在兼容性问题,同时也使得各产品厂商只能提供与自己产品有关的技术支持,导致企业对问题很难进行跟踪和排查.最后,企业电脑终端上的防毒程序未开启或者未升级至最新版本,以及系统漏洞修补的不及时都造成了多病毒大面积入侵企业内网.

(五)信息安全事件处理不及时

制造型企业在发生信息安全事件时,即使有相关的信息安全管理产品,但无法迅速定位安全事件,更无法快速进行安全事件响应处理,常处于混乱、无序的运维管理状态.由于企业的安全管理人员无法全面了解整个企业网络中正在发生的内部越权访问和外部攻击,出现问题时,他们多表现得无从下手或者手忙脚乱.而且,企业各部门各自为政,对发生信息安全事件无法进行统一规范的快速处理.

二、制造型企业信息安全薄弱的原因

(一)员工信息安全意识淡薄

制造型企业员工信息安全意识比较淡薄,主要表现为企业管理层没有充分认识到信息安全的重要性,没有将信息安全管理工作与企业生产安全管理工作放在同等重要的高度来对待,更没有把它作为日常管理工作的一部分.管理层之所以没有信息安全意识主要是因为信息安全不会直接为企业带来经济效益,反而需要投入大量的时间和资源,尤其是对于受部门业绩压力和资源限制的业务部门来说,他们不愿意把时间和资源放在信息安全防护工作上,并且他们还认为不采取安全防护措施不一定会造成损失.普通员工则表现在他们不了解什么信息安全,不知道遵守和执行信息安全制度对自己及企业带来的影响,缺少必要的信息安全教育与培训,有意或无意地导致信息安全事件的发生.

(二)信息安全技术体系不完善

信息安全防护水平受到限制除了受上述因素影响外,还有就是没有完善的物理安全、运行安全和数据安全相统一的信息安全技术体系,具体体现在企业使用的软件设计存在缺陷或者技术漏洞、杀毒软件不及时更新;信息系统设计没有以风险评估为基础、业务流程描述错误或漏洞、数据访问权限设置不清晰、关键数据没有备份等因素;物理安全边界不明确、设备或存储介质缺乏安全措施、电缆损坏、不可抗力的自然灾害等.

(三)信息安全事件应急响应机制缺失

信息安全事件处理不及时很大程度上是因为没有建立信息安全事件应急响应机制.制造型企业没有对信息安全事件进行分级响应与处置,也没有结合企业的实际情况通过预测、评估和分析安全事件对企业造成的后果程度进行等级划分,并针对不同的安全事件制定相应的应急预案.同时,大部分制造型企业在处理信息安全事件时更多依靠的是人的经验和责任心,缺少标准化的信息安全事件处理流程,以及必要的审核和工具支撑.

三、改进制造型企业信息安全的对策

通过上述分析可知,信息安全问题不仅出现在技术方面,还更多地出现在管理方面.因此,为了保障企业的业务持续运行,加强企业的股东、客户以及服务提供商对企业信息安全的信任,增强企业的核心竞争能力,制造型企业可以将管理、技术和运维三方面有效地结合起来,促进企业的可持续发展.

(一)建立健全的信息安全组织层级结构

企业信息安全组织架构的建立是围绕企业信息安全管理的战略目标,对企业的信息资源、人力资源、安全技术产品等进行合理安排和配置,构成相互协作的有机整体,使企业的信息安全活动协调有效地运行.制造型企业通过建立多层次、跨部门的信息安全决策委员会、信息安全工作部、信息安全执行部的层级结构,不仅能在企业中形成一张网,覆盖企业的各个部门,有利于信息安全措施的实施和针对信息安全事件的快速响应,而且还能为后续建立信息安全管理体系提供组织上的保证.信息安全决策委员会主要负责制定信息安全制度和策略、明确各部门信息安全职责、协调各部门实施信息安全控制措施以及信息安全活动的实施等.信息安全工作部由各部门负责信息安全管理的工作人员构成,实施决策委员会制定的信息安全策略、制度和方针,并负责各部门的信息安全管理工作.信息安全执行部具体有三个部门,即信息安全规划部、信息安全监督审计部、信息安全运行保障部,并且由各部门进行业务支撑。

(二)加强人员教育培训和规范管理

信息安全最大的威胁不是来自于企业外部的攻击或是企业信息安全技术的缺陷,而是企业人员缺乏信息安全意识.为了能够有效地提高企业员工的信息安全意识,企业需要对员工进行完善的信息安全教育培训,这不仅能提高员工的信息安全保护技能,还能更好地保护企业的信息安全.制造型企业在制定信息安全教育培训内容时,可以根据员工在企业中所处的职位高低和工作性质的不同有针对性地制定.对于企业管理者而言,教育培训以信息安全核心知识、风险管理、信息安全政策等为主;企业的信息技术人员,则是以信息安全技术教育培训为主;一般员工结合所在部门的业务特点以信息安全意识培训为主.除了对企业的人员进行教育培训,还需对其进行规范化管理.对掌握产品生产、原材料采购等核心信息的管理者实施更加严格的信息安全监督管理制度;对负责计算机系统及日常维护的人员界定其工作权限;规范化管理员工的上网行为,合理利用网络资源,避免人为的网络安全隐患.同时在规范管理中引入绩效考核机制,这样不仅使信息安全管理的指标量化,而且,通过信息安全监督审计工作组对员工信息安全工作进行考核,使员工更加重视企业信息安全.因此,加强企业员工的教育培训和规范化管理,不仅可以营造企业信息安全文化氛围,还可以约束员工的行为,减少人为因素导致的信息安全事件发生.

(三)完善信息安全技术体系

信息安全技术是企业信息安全的保障,完善的信息安全技术体系可以防止由于技术因素导致的信息安全漏洞,避免给外部攻击者留下可乘之机,从而减少技术因素导致的信息安全事件发生.制造型企业需从以下六个方面去建立完善的信息安全技术体系,并采用“适度防御”的原则,选择合适的安全技术与产品,形成企业适用的安全技术防线.一是保障并完善数据安全,制造型企业需通过加密的手段保护企业系统中数据的机密性和完整性,从而提高数据访问的抗抵赖性,同时加强数据的异地灾难恢复机制,实现本地数据的实时远程复制与备份,避免本地系统遭受灾难性破坏导致企业系统中数据的遗失.二是保障并完善终端安全,制造型企业除了要采用全面可靠的防病毒体系和防火墙技术外,还需制定严格的移动终端设备使用制度,一方面是为了避免内部员工利用移动终端设备随意拷贝企业内部文件,导致企业内部信息向外泄露,另一方面是为了防止移动终端设备携带的病毒漏过企业系统设置的防火墙而直接在系统内部传播.三是保障和完善应用安全,除了提供用户名和口令外其他身份验证机制,必要时还需支持双因素认证和具备登录控制模块,同时在日常工作不受影响的情况下,控制员工访问权限,减少越权操作的现象,最大限度地保障个人系统的安全.四是保障和完善网络安全,制造型企业还需通过内外部署相应的网络与信息安全设施使计算机设备的物理管理得到加强,并对入侵检测系统和漏洞扫描系统进行内外部攻击和误操作的实时保护的安全设计,使系统免于网络攻击的同时,也提升了系统管理人员的安全管理水平.五是保障主机安全,除了采用系统扫描技术对操作系统层设备和系统进行智能化检测来帮助网络管理人员高效地完成定期检测和操作系统安全漏洞修复的工作,还应采用系统实时入侵探测技术来监控主机系统事件,检测攻击的可疑特征,并给予响应和处理.六是保证物理安全,制造型企业需要保证机房与设施的安全,针对环境的物理灾害、自然灾害和人为的蓄意破坏采取安全措施,并通过防盗、防毁、防电磁干扰来保证设备的安全.

(四)建立信息安全事件应急响应机制

第9篇:企业信息安全评估范文

【关键词】企业信息化;信息安全问题;原因;对策

新时期下,信息化技术在各行业中运用日渐深入,给企业现代化建设与快速发展带来了无限动力。企业信息化建设已成为我国经济信息化建设能否成功的关键所在,也是提升企业自身市场竞争力与企业升级进步的重要保证和标志[1]。但是,企业信息化建设过程中不可避免的出现信息安全问题,给企业正常生产经营带来诸多不利影响。因此,加强企业信息化建设中信息安全管理,已成为现代企业经营管理的一个至关重要的工作。

1企业信息化概述

所谓的企业信息化,指的是实现企业的资金流、物流、作业流、信息流的数字化、网络化管理,实行企业运行的自动化和企业制度的现代化[2]。企业信息化建设涉及了企业生产经营中的各个部门,其主要利用现代化信息技术,通过完善企业内外网络信息系统,实现对企业内外知识与信息资源的开发。可见,建设企业信息化体系,不但可以及时有效的提供各种数据信息给企业决策层,也为企业未来规划设计提供参考依据,而且还有利于企业满足瞬息万变的市场需求,为企业市场核心竞争力的提升带来动力。

2当前企业信息化建设中信息安全问题

企业信息化建设与发展为企业持续、健康、稳定发展发挥了显著作用,但同时也存在着诸多信息安全问题,具体分析主要有以下几方面[3]:(1)当前,绝大多数企业缺乏完善的安全防御系统,导致企业内部使用的信息系统易遭受外部网络系统的攻击,引发企业信息资料被他人截获、篡改与伪造等问题,甚至企业信息系统中出现通信线路、硬盘设施以及其他文件系统遭恶意破坏现象,上述问题的发生不但致使企业信息系统无法正常运行,而且其内部机密信息易发生泄漏,造成企业严重的社会经济损失。(2)针对邮件系统攻击防不甚防。在企业信息系统中电子邮件具有重要的作用,通过电子邮件接收与传送,极大的方便了企业内部间与外部间信息交流与沟通。然而,电子邮件安全问题也日益突出,典型的如电子邮件病毒、垃圾邮件、机密信息泄露以及电子邮件炸弹等,给企业信息传输带来了巨大安全隐患。因此,电子邮件安全问题不可忽视。(3)漏洞攻击日益严重。按照漏洞问题发生原因可分为软件漏洞和协议漏洞两种,其中软件漏洞主要是受外部不法分子攻击软件自身存在的漏洞,造成企业信息泄露等问题;而协议漏洞则主要是由于TCP/IP协议自身在安全机制方面存在的诸多漏洞问题导致,外部不法人员通过攻击TCP/IP协议漏洞,致使企业信息系统遭受破坏。目前情况,很多企业对自身信息系统缺乏成熟的漏洞检测手段和能力,往往事发后才采取补救措施。(4)是Web服务安全问题突出,根据Web服务流程,其发生安全问题的主要组成包括Web服务端安全问题、浏览器客户端安全问题两种。其中,Web服务端安全问题主要是企业Web主机遭受外部不法分子侵入,导致企业保密信息遭窃或者企业部分信息遭受非法篡改等;浏览器客户端安全问题则是企业浏览器客户端遭外部非法分子侵入,致使部分机密信息与数据遭窃等。

3导致企业信息化建设中信息安全问题因素

企业信息化建设中信息安全问题发生受诸多因素影响,具体分析主要有以下几方面[4]:(1)目前,绝大多数企业在信息化建设过程中,对于信息安全问题重视度严重不足。一方面,受传统经营观念影响,企业管理层偏重于对企业生产经营中的有形资产给予关注与重视,而忽略了企业知识与信息资料等无形资源,导致在企业信息安全管理方面各项投入严重不足,进而造成信息安全问题日益凸显;另一方面,多数企业在面对信息安全问题时,存在着盲目乐观现象,认为信息安全问题不至于导致企业正常生产经营,使得信息安全管理无法上升至企业发展规划战略之中,进而造成信息安全问题得不到及时有效解决。(2)由于企业信息化建设在我国尚处于起步阶段,各方面配套管理制度不够完善,特别是缺乏健全的企业信息安全管理体制。受此影响,企业信息化建设中信息安全问题一方面无法得到有效的预防措施,另一方面是一旦发生信息安全问题,无法采取及时有效的补救与解决对策。同时,由于缺乏科学、合理、有效的企业信息安全防护策略,使得企业信息管理人员缺乏必要的安全防护意识与业务素质能力,致使企业信息安全防护软硬件工作质量与效率明显不足。上述两个因素,导致企业无论是从人员配置,还是资金与技术投入方面都严重不足,受企业信息管理人员业务素质能力不足、信息安全技术方法落后以及配套的资金缺乏等影响,企业信息安全防护的措施、手段偏低,造成企业信息化建设存在着严重安全隐患。

4提升企业信息化建设中信息安全对策

针对当前企业信息化建设中存在的信息安全问题,为加强企业信息安全管理,提升企业信息安全保障,可通过采取以下几方面对策,具体有[5]:(1)转变传统企业信息化建设观念,在企业内部管理层从上至下加强对企业信息安全的重视,并树立正确的安全意识。一方面,通过组织各种信息安全管理培训等,增强全体企业员工信息安全意识,确保企业保密信息不外漏;另一方面,逐步加大企业信息化建设中信息安全管理各项资金、技术、人力投入,并建立科学、合理、有效的企业信息安全防护策略,保障企业信息系统安全稳定。(2)不断的推进网络信息技术的发展与运用,促进企业组织结构网络化的实现,同时引进先进的安全防护技术,确保企业信息化系统安全稳定运行。任何网络信息系统都存在着或大或小的安全漏洞问题,而保证其不受外部不法分子侵入的一个关键方法就是安全防护技术的运用。通过选用先进的安全防护技术,可以有效的提高企业信息系统抵抗外来攻击,避免企业信息遭受窃取、篡改甚至破坏等,对于保障企业持续、健康、稳定发展具有显著作用。(3)结合企业信息化建设实际情况,建立健全企业内部信息系统管理体制。一方面,针对信息安全问题,应建立科学、合理、规范的信息安全管理体制,保证企业信息系统安全运行;另一方面,建立健全企业安全风险评估机制,针对不同系统找出影响其安全的因素和漏洞,并制定出最佳的对策,降低企业信息安全风险;此外,加强相应的网络管理,防止外来不法分子通过网络侵入企业信息系统。(4)根据新时期企业信息化建设需要,加强企业信息技术人才、信息管理人才队伍建设,为企业信息安全管理奠定坚实的人才基础。一方面,在企业内部,加强信息技术人才培训,提高企业内部相关人才业务素质能力;另一方面,在企业外部,采取有效措施,积极招聘人才,引进具有先进信息技术型人才;此外,建立健全企业信息安全管理用人机制,激发员工工作积极性,提高工作质量与效率。

5小结

总而言之,企业信息安全事关企业信息化建设是否成功,对于企业持续、健康、稳定发展具有至关重要的作用。因此,应提高企业信息安全管理意识,增强企业信息安全管理机制,促进企业信息安全管理工作质量与效率,保障企业信息化建设顺利开展。

作者:吴捷 单位:中海石油气电集团有限责任公司

参考文献

[1]毛志勇.企业信息化建设的信息安全形势与对策研究[J].科技与产业,2008,8,(1):43~45.

[2]纂振法,徐福缘.浅析企业信息化建设的意义、问题与对策[J].吉林省经济管理干部学院学报,2001,3:24~28.

[3]谢志宏.企业信息化建设中的信息安全问题研究[J].企业导报,2014(06):132~133.