發(fā)布時(shí)間:2023-10-12 09:33:06
序言:寫作是分享個(gè)人見解和探索未知領(lǐng)域的橋梁,我們?yōu)槟x了8篇的企業(yè)信息安全現(xiàn)狀樣本,期待這些樣本能夠?yàn)槟峁┴S富的參考和啟發(fā),請(qǐng)盡情閱讀。
網(wǎng)絡(luò)環(huán)境下保障企業(yè)信息的安全性對(duì)企業(yè)地發(fā)展具有重大的、直接的現(xiàn)實(shí)意義。深入研究與開發(fā)計(jì)算機(jī)信息安全技術(shù),減少或避免網(wǎng)絡(luò)信息系統(tǒng)的破壞與故障,對(duì)企業(yè)發(fā)展具有積極的作用。但就現(xiàn)實(shí)發(fā)展來看,目前企業(yè)網(wǎng)絡(luò)信息安全建設(shè)仍處于探索階段,優(yōu)化企業(yè)網(wǎng)絡(luò)安全,吸取前沿的安全技術(shù),實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)信息又快又好地發(fā)展成為眾企業(yè)關(guān)注的焦點(diǎn)問題。
一、企業(yè)網(wǎng)絡(luò)信息安全的基本目標(biāo)
企業(yè)網(wǎng)絡(luò)信息安全技術(shù)的研究與開發(fā)最終目的是實(shí)現(xiàn)企業(yè)信息的保密性、完整性、可用性以及可控性。具體來講市場(chǎng)化的發(fā)展背景,企業(yè)之間存在激烈的競(jìng)爭(zhēng),為增強(qiáng)市場(chǎng)競(jìng)爭(zhēng)力,出現(xiàn)盜取商業(yè)機(jī)密與核心信息的不良網(wǎng)絡(luò)現(xiàn)象。企業(yè)加強(qiáng)網(wǎng)絡(luò)信息安全技術(shù)開發(fā),一個(gè)重要的目的是防止企業(yè)關(guān)鍵信息的泄露或者被非授權(quán)用戶盜取。其次,保障信息的完整性,是指防止企業(yè)信息在未經(jīng)授權(quán)的情況下被偶然或惡意篡改的現(xiàn)象發(fā)生。再次,實(shí)現(xiàn)數(shù)據(jù)的可用性,具體是指當(dāng)企業(yè)信息受到破壞或者攻擊時(shí),攻擊者不能破壞全部資源,授權(quán)者在這種情況下仍然可以按照需求使用的特性。最后,確保企業(yè)網(wǎng)絡(luò)信息的可控性,例如對(duì)企業(yè)信息的訪問、傳播以及內(nèi)容具有控制的能力。
二、企業(yè)網(wǎng)絡(luò)信息安全面臨的主要威脅
根據(jù)相關(guān)調(diào)查顯示,病毒入侵、蠕蟲以及木馬程序破壞是對(duì)企業(yè)網(wǎng)絡(luò)信息安全造成威脅的主要原因。黑客攻擊或者網(wǎng)絡(luò)詐騙也是影響企業(yè)網(wǎng)絡(luò)信息安全的重要因素。當(dāng)然部分企業(yè)網(wǎng)絡(luò)信息安全受到破壞是由于企業(yè)內(nèi)部工作人員的操作失誤造成。總之威脅企業(yè)網(wǎng)絡(luò)信息安全的因素來自方方面面,無論是什么原因造成的企業(yè)網(wǎng)絡(luò)信息安全的破壞,結(jié)果都會(huì)對(duì)企業(yè)的生產(chǎn)發(fā)展造成惡劣的影響,導(dǎo)致企業(yè)重大的損失。在信息化發(fā)展背景下,企業(yè)只有不斷提高網(wǎng)絡(luò)信息的安全性,才是實(shí)現(xiàn)企業(yè)持續(xù)發(fā)展的有力保證。
三、企業(yè)網(wǎng)絡(luò)信息安全保護(hù)措施現(xiàn)狀
當(dāng)前企業(yè)在進(jìn)行網(wǎng)絡(luò)信息安全保護(hù)方面的意識(shí)逐漸增強(qiáng),他們?yōu)榇_保企業(yè)網(wǎng)絡(luò)信息安全時(shí)大都應(yīng)用了殺毒軟件來防止病毒的入侵。在對(duì)企業(yè)網(wǎng)絡(luò)信息安全進(jìn)行保護(hù)時(shí),方式比較單 一,技術(shù)比較落后。對(duì)于入侵檢測(cè)系統(tǒng)以及硬件防護(hù)墻的認(rèn)識(shí)不足,尚未在企業(yè)中普及。因此推進(jìn)企業(yè)網(wǎng)絡(luò)信息安全技術(shù)的開發(fā),前提是提高企業(yè)對(duì)網(wǎng)絡(luò)信息安全保護(hù)的意識(shí),增強(qiáng)企業(yè)應(yīng)用網(wǎng)絡(luò)信息安全技術(shù)的能力,才能有效推動(dòng)企業(yè)網(wǎng)絡(luò)信息安全技術(shù)的開發(fā)。
四、促進(jìn)企業(yè)網(wǎng)絡(luò)信息安全技術(shù)開發(fā)的對(duì)策與建議
(一)定期實(shí)施重要信息的備份與恢復(fù)
加大對(duì)企業(yè)網(wǎng)絡(luò)信息安全技術(shù)的研發(fā)投入,一個(gè)重要的體現(xiàn)是對(duì)企業(yè)網(wǎng)絡(luò)信息的管理。企業(yè)對(duì)于重要的、機(jī)密的信息和數(shù)據(jù)應(yīng)該定期進(jìn)行備份或者是恢復(fù)工作。這是保障企業(yè)網(wǎng)絡(luò)信息安全簡(jiǎn)單、基礎(chǔ)的工作內(nèi)容。當(dāng)企業(yè)網(wǎng)絡(luò)受到破壞甚至企業(yè)網(wǎng)絡(luò)系統(tǒng)出現(xiàn)癱瘓,企業(yè)能夠通過備份的信息保障生產(chǎn)工作的運(yùn)行,把企業(yè)的損失降到最低。實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)信息安全技術(shù)開發(fā)的實(shí)效性的基礎(chǔ)工作是做好企業(yè)重要網(wǎng)絡(luò)信息的定期備份與恢復(fù)工作。
(二)構(gòu)建和實(shí)施虛擬專用網(wǎng)絡(luò)(VPN)技術(shù)
以隧道技術(shù)為核心的虛擬專用網(wǎng)絡(luò)技術(shù),是一項(xiàng)復(fù)雜的、專業(yè)的工程技術(shù)。該項(xiàng)技術(shù)對(duì)于保護(hù)企業(yè)網(wǎng)絡(luò)信息安全具有重要意義,并且效果顯著。它把企業(yè)專用的、重要的信息進(jìn)行封裝,然后采取一定的方法利用公共網(wǎng)絡(luò)隧道傳輸企業(yè)專用網(wǎng)絡(luò)中的信息,如此一來可以實(shí)現(xiàn)對(duì)企業(yè)網(wǎng)絡(luò)信息的保護(hù),避免出現(xiàn)對(duì)企業(yè)信息的竊取與惡意修改。當(dāng)然提升虛擬專用網(wǎng)絡(luò)的兼容性、簡(jiǎn)化應(yīng)用程序是企業(yè)網(wǎng)絡(luò)信息安全技術(shù)研發(fā)重要課題。
(三)完善高效的防火墻技術(shù)
在企業(yè)內(nèi)部網(wǎng)與外聯(lián)網(wǎng)之間設(shè)置一道保護(hù)企業(yè)網(wǎng)絡(luò)信息安全的屏障,即設(shè)置防火墻。這一技術(shù)是目前最有效、最經(jīng)濟(jì)的保障企業(yè)網(wǎng)絡(luò)信息安全的技術(shù)。但由于當(dāng)前大多數(shù)的遠(yuǎn)程監(jiān)控程序應(yīng)用的是反向鏈接的方式,這就限制了防火墻作用的發(fā)揮。在進(jìn)行企業(yè)網(wǎng)絡(luò)信息安全技術(shù)開發(fā)過程中,應(yīng)進(jìn)一步優(yōu)化防火墻的工作原理或者研發(fā)與之相匹配的遠(yuǎn)程監(jiān)控程序,來實(shí)現(xiàn)防火墻對(duì)企業(yè)網(wǎng)絡(luò)信息安全的保護(hù)。
(四)對(duì)關(guān)鍵信息和數(shù)據(jù)進(jìn)行加密
增強(qiáng)企業(yè)對(duì)關(guān)鍵信息和數(shù)據(jù)的加密技術(shù)水平也是企業(yè)網(wǎng)絡(luò)信息安全技術(shù)研發(fā)的主要方面。更新加密技術(shù),是保障企業(yè)網(wǎng)絡(luò)信息安全的重要環(huán)節(jié)。企業(yè)在對(duì)重要信息和數(shù)據(jù)進(jìn)行加密時(shí)可以同時(shí)采取一些例如CD檢測(cè)或者Key File等保護(hù)措施,來增強(qiáng)企業(yè)重要信息的保密效果。
五、結(jié)束語
企業(yè)網(wǎng)絡(luò)信息安全體系的構(gòu)建是一項(xiàng)系統(tǒng)的、長(zhǎng)期的、動(dòng)態(tài)的工程。網(wǎng)絡(luò)環(huán)境下,信息安全技術(shù)發(fā)展的同時(shí),新的破壞、攻擊、入侵網(wǎng)絡(luò)信息安全的手段也會(huì)不斷出現(xiàn)。企業(yè)只有與時(shí)俱進(jìn),加大對(duì)網(wǎng)絡(luò)信息安全技術(shù)的投入力度,才能加強(qiáng)對(duì)企業(yè)核心信息與數(shù)據(jù)的保護(hù)。在未來的發(fā)展過程中,企業(yè)在堅(jiān)持技術(shù)策略與管理策略相結(jié)合的原則下,不斷升級(jí)完善企業(yè)網(wǎng)絡(luò)信息安全系統(tǒng)的開發(fā)與建設(shè),不斷提高企業(yè)的信息化水平。
許梅:國(guó)網(wǎng)四川省電力公司廣安供電公司三新電力服務(wù)有限公司,黨支部書記、副總經(jīng)理,高級(jí)工程師。研究方向:信息工程。
【關(guān)鍵詞】企業(yè); 信息安全; 風(fēng)險(xiǎn)評(píng)估; 風(fēng)險(xiǎn)控制
引言:
計(jì)算機(jī)和網(wǎng)絡(luò)通信相結(jié)合的信息技術(shù),是促進(jìn)當(dāng)代社會(huì)信息化發(fā)展的主要力量,為社會(huì)上各行各業(yè)的發(fā)展創(chuàng)造了良好的環(huán)境。許多企業(yè)在經(jīng)營(yíng)與管理中已經(jīng)引用現(xiàn)代信息技術(shù),從而使經(jīng)營(yíng)與管理更為科學(xué),工作效率更高,獲得的經(jīng)濟(jì)效益也越多。然而現(xiàn)代信息技術(shù)是一把雙刃劍,信息化的程度越高,由它帶來的風(fēng)險(xiǎn)也越大。當(dāng)前,企業(yè)的信息安全風(fēng)險(xiǎn)評(píng)估工作存在著一些問題,這些問題對(duì)企業(yè)的發(fā)展造成很多不利的影響。
一、企業(yè)信息安全風(fēng)險(xiǎn)概述
對(duì)企業(yè)來說,信息是維持企業(yè)正常運(yùn)作的必要資源。企業(yè)的信息包括重要的數(shù)據(jù)、企業(yè)的發(fā)展規(guī)劃、保密性文件、知識(shí)產(chǎn)權(quán)等。這些信息一旦被泄露,那么企業(yè)將面臨著或大或小的經(jīng)濟(jì)損失,更嚴(yán)重的還會(huì)使企業(yè)面臨破產(chǎn)的危險(xiǎn)。所謂的企業(yè)信息安全就是指信息在其生命周期中,它的完整性、保密性和可用性這三個(gè)特性的保留情況。如果這三個(gè)特性都得到了保障,那么信息的安全性就高;如果其中的某個(gè)特性被破壞,那么信息的安全性就低。而信息安全風(fēng)險(xiǎn)就是指信息在特定的環(huán)境與特定的時(shí)間里可能遭遇的安全威脅。
信息安全風(fēng)險(xiǎn)可以分為可控性風(fēng)險(xiǎn)與不可控風(fēng)險(xiǎn)、可接受風(fēng)險(xiǎn)與不可接受風(fēng)險(xiǎn)、自然風(fēng)險(xiǎn)與人為風(fēng)險(xiǎn)等[1],這些風(fēng)險(xiǎn)給企業(yè)的信息安全管理工作帶來了更多的不確定因素,加深了工作難度。
二、企業(yè)信息安全風(fēng)險(xiǎn)評(píng)估的現(xiàn)狀與問題
當(dāng)前,我國(guó)企業(yè)的信息安全風(fēng)險(xiǎn)評(píng)估工作存在著許多問題,給企業(yè)的日常經(jīng)營(yíng)與管理帶來了許多不利的影響。
首先,企業(yè)沒有樹立正確的信息安全觀。很多企業(yè)的管理者在信息安全問題上會(huì)走向兩個(gè)極端,一種是認(rèn)為只要加大信息建設(shè)的投入,信息就存在絕對(duì)安全的可能;另一種是忽視信息安全建設(shè),信息安全風(fēng)險(xiǎn)意識(shí)淡薄。很多企業(yè)的管理層對(duì)信息資產(chǎn)的重要性認(rèn)識(shí)不夠,因而他們?cè)诒Wo(hù)信息安全方面幾乎是無作為。
其次,企業(yè)在具體的信息安全風(fēng)險(xiǎn)評(píng)估工作中,表現(xiàn)出重安全技術(shù)而輕安全管理的思想與行為方式。這些企業(yè)在工作過程當(dāng)中,不論是在心理還是在行為上都過分依賴安全技術(shù),甚至認(rèn)為只要安全技術(shù)過硬,信息安全就一定能夠得到保證,為此,企業(yè)普遍采用現(xiàn)代通信技術(shù)、計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)來構(gòu)建企業(yè)信息安全系統(tǒng)。而在安全管理上,出現(xiàn)了管理措施不到位,員工在信息保密上不夠嚴(yán)肅等問題,造成信息安全技術(shù)做無用功。
此外,企業(yè)信息安全風(fēng)險(xiǎn)評(píng)估工作還存在著管理制度不夠完善、責(zé)任劃分不夠明確等問題。信息安全風(fēng)險(xiǎn)的評(píng)估工作需要收集各方面的大量的信息,如此才能增強(qiáng)評(píng)估的有效性。而企業(yè)由于管理制度不完善、職責(zé)劃分不明確等問題,造成各部門的工作不配合、不協(xié)調(diào)。信息技術(shù)部門被孤立,信息安全的風(fēng)險(xiǎn)評(píng)估工作也就不能得到及時(shí)有效的完成。
最后,我國(guó)有些企業(yè)在信息安全風(fēng)險(xiǎn)評(píng)估的技術(shù)與方法上落后于時(shí)代。現(xiàn)代信息系統(tǒng)越往后發(fā)展,結(jié)構(gòu)就越復(fù)雜。這要求企業(yè)要根據(jù)不斷變化的信息技術(shù)來改進(jìn)自己的風(fēng)險(xiǎn)管理理念和手段,同時(shí)也要吸收國(guó)際上的先進(jìn)信息安全風(fēng)險(xiǎn)評(píng)估技術(shù),保障自身的信息安全。
三、企業(yè)信息安全風(fēng)險(xiǎn)的控制
企業(yè)信息安全問題對(duì)企業(yè)來說是不應(yīng)該被忽視的部分,企業(yè)應(yīng)該在經(jīng)營(yíng)與管理的每個(gè)環(huán)節(jié)做好信息安全風(fēng)險(xiǎn)的控制工作,使企業(yè)的重要信息能夠得到充分的保護(hù)。企業(yè)信息安全風(fēng)險(xiǎn)的控制可以從風(fēng)險(xiǎn)分析、管理控制、技術(shù)控制三個(gè)方面來進(jìn)行。
(一)風(fēng)險(xiǎn)分析
在進(jìn)行信息安全風(fēng)險(xiǎn)控制之前,先對(duì)風(fēng)險(xiǎn)進(jìn)行分析可以使風(fēng)險(xiǎn)控制工作更加具有針對(duì)性,能夠提高風(fēng)險(xiǎn)控制工作的效率。對(duì)風(fēng)險(xiǎn)的分析可以從信息資產(chǎn)面臨的威脅、存在的弱點(diǎn)等方面來進(jìn)行[2]。在風(fēng)險(xiǎn)分析工作中,要明確以下幾點(diǎn):首先是信息安全風(fēng)險(xiǎn)控制工作中需要保護(hù)哪些信息,這些信息具有什么樣的價(jià)值;信息資產(chǎn)面臨著哪些潛在的威脅,導(dǎo)致這些威脅產(chǎn)生的根源是什么,威脅發(fā)生的幾率有多大;信息資產(chǎn)中是否具有漏洞,這些漏洞是否會(huì)被人威脅利用;信息資產(chǎn)發(fā)生威脅之后,企業(yè)會(huì)面臨多大的損失;企業(yè)該采取什么樣的措施來應(yīng)對(duì)風(fēng)險(xiǎn)帶來的損失,等等。
(二)管理控制
企業(yè)信息安全風(fēng)險(xiǎn)控制工作主要從組織管理、人員管理、政策實(shí)施等幾個(gè)方面來進(jìn)行。首先,企業(yè)應(yīng)該建立信息安全組織機(jī)構(gòu),吸收組織成員,協(xié)調(diào)企業(yè)內(nèi)部的各項(xiàng)資源,制定信息安全控制的目標(biāo)并通過組織成員履行職責(zé)來達(dá)到目標(biāo)。其次,企業(yè)要培養(yǎng)素質(zhì)高、責(zé)任心強(qiáng)、原則性強(qiáng),能夠遵守企業(yè)政策的人員。企業(yè)信息安全風(fēng)險(xiǎn)的控制不僅與強(qiáng)大的技術(shù)力量有關(guān),而且還有賴于執(zhí)行人員對(duì)信息安全工作的支持與參與。此外,在政策實(shí)施上,企業(yè)要嚴(yán)格執(zhí)行相關(guān)的信息安全保護(hù)政策,比如目前國(guó)際通用的《信息技術(shù)―信息安全管理實(shí)施細(xì)則》[1],為企業(yè)執(zhí)行信息安全保護(hù)工作提供一個(gè)統(tǒng)一的標(biāo)準(zhǔn),從而使工作能夠有序地展開。
(三)技術(shù)控制
技術(shù)對(duì)信息安全控制的影響力是比較大的,它在很大程度上決定了信息安全風(fēng)險(xiǎn)的大小、范圍,同時(shí)它也決定了修補(bǔ)信息安全漏洞的方式和方法。因此,在技術(shù)方面對(duì)信息安全風(fēng)險(xiǎn)進(jìn)行控制是非常有必要的。首先,技術(shù)構(gòu)架的設(shè)計(jì)應(yīng)該遵循系統(tǒng)性原則、技術(shù)先進(jìn)性原則、可控性原則、適度性原則等,使技術(shù)能夠更好地服務(wù)于風(fēng)險(xiǎn)控制;其次,要做好安全域的信息安全保障工作,根據(jù)不同的安全域所面臨的不同風(fēng)險(xiǎn)來進(jìn)行信息安全保護(hù)工作;最后,要提高信息安全保障技術(shù)。目前而言,我國(guó)的信息安全保障技術(shù)與國(guó)際上的相比明顯處于落后狀態(tài),因此,企業(yè)要引進(jìn)先進(jìn)的技術(shù)力量,加強(qiáng)信息安全風(fēng)險(xiǎn)的控制力度。
四、結(jié)語
在這個(gè)信息化高度發(fā)展的社會(huì),任何企業(yè)與個(gè)人在享受信息化帶來的便利的同時(shí),也要承擔(dān)信息化帶來的風(fēng)險(xiǎn)。我國(guó)企業(yè)在激烈的市場(chǎng)競(jìng)爭(zhēng)中,不可避免會(huì)遇到信息安全上的威脅。因此每個(gè)企業(yè)都應(yīng)該做好信息安全的管控工作,認(rèn)真、嚴(yán)肅地對(duì)待當(dāng)前網(wǎng)絡(luò)環(huán)境下的企業(yè)信息安全問題。
參考文獻(xiàn):
[1]谷田.網(wǎng)絡(luò)環(huán)境下的企業(yè)信息安全問題研究[D].鄭州大學(xué)2012
港口信息安全保障應(yīng)貫穿在港口信息系統(tǒng)的整個(gè)生命周期中。港口信息安全保障的工作者應(yīng)針對(duì)港口信息系統(tǒng)的發(fā)展特點(diǎn),通過對(duì)港口信息系統(tǒng)的風(fēng)險(xiǎn)分析,制定并執(zhí)行相應(yīng)的安全保障策略,從多角度、多層面提出港口信息安全保障要求,確保港口信息系統(tǒng)的保密性、完整性和可用性,將安全風(fēng)險(xiǎn)降至最低或可接受的程度。港口信息化發(fā)展重點(diǎn)主要在于對(duì)外的數(shù)據(jù)交換和服務(wù)。港口信息安全風(fēng)險(xiǎn)主要來自于港口信息系統(tǒng)自身存在的漏洞和系統(tǒng)外部的威脅。為最大化控制該風(fēng)險(xiǎn),港口信息系統(tǒng)安全保障工作者應(yīng)在信息安全保障策略體系的指導(dǎo)下,設(shè)計(jì)并實(shí)現(xiàn)港口信息安全評(píng)價(jià)體系架構(gòu)或模型,港口信息安全評(píng)價(jià)體系的制定應(yīng)反映港口企業(yè)對(duì)信息系統(tǒng)安全保障及其目標(biāo)的理解,其制定和貫徹執(zhí)行對(duì)信息系統(tǒng)安全保障起著綱領(lǐng)性指導(dǎo)作用。港口信息安全評(píng)價(jià)體系應(yīng)選用一種折中的機(jī)制,在有限資源前提下實(shí)現(xiàn)最優(yōu)選擇。防范不足會(huì)造成直接的損失,防范過多又會(huì)造成間接的損失,在解決或預(yù)防安全問題時(shí),要從經(jīng)濟(jì)、技術(shù)、管理的可行性和有效性上做出權(quán)衡和取舍。從現(xiàn)代港口企業(yè)信息安全保障工作者的視角出發(fā),其工作層面無外乎對(duì)港口信息安全保障的戰(zhàn)略管理、常態(tài)監(jiān)管和應(yīng)急響應(yīng)。戰(zhàn)略管理體現(xiàn)其信息安全戰(zhàn)略的先進(jìn)性,表現(xiàn)在港口企業(yè)對(duì)信息安全戰(zhàn)略規(guī)劃的制定情況、港口信息安全管理部門的戰(zhàn)略地位和港口企業(yè)對(duì)信息安全工作的資金保障力度等。這些評(píng)價(jià)能反映港口企業(yè)對(duì)信息安全的重視程度,預(yù)見港口企業(yè)信息安全工作未來的發(fā)展前景。常態(tài)監(jiān)管主要指港口信息安全戰(zhàn)略的具體執(zhí)行情況,包括基于對(duì)港口業(yè)務(wù)風(fēng)險(xiǎn)的認(rèn)識(shí),建立、實(shí)施、操作、監(jiān)視、復(fù)查、維護(hù)和改進(jìn)信息安全等一系列管理活動(dòng),具體表現(xiàn)為計(jì)劃活動(dòng)、目標(biāo)與原則、人員與責(zé)任、過程與方法、資源等諸多要素的集合。應(yīng)急響應(yīng)主要包括在一些緊急、無預(yù)測(cè)的危機(jī)下,快速應(yīng)對(duì)、解決問題的能力,度過危機(jī)以減少損失或者把損失降低到最低程度。
2現(xiàn)代港口信息安全評(píng)價(jià)指標(biāo)體系框架
為了讓指標(biāo)體系更加科學(xué)、全面、綜合,力爭(zhēng)每個(gè)門類的指標(biāo)定量、定性相結(jié)合,筆者選用了工作層面、保障要素、指標(biāo)類型作為現(xiàn)代港口企業(yè)信息安全保障指標(biāo)體系框架的3個(gè)維度。
3評(píng)價(jià)指標(biāo)
按照評(píng)價(jià)指標(biāo)體系框架,采用第一維度、第二維度、第三維度逐個(gè)相交的方式,對(duì)各評(píng)價(jià)點(diǎn)進(jìn)行分解,可以設(shè)計(jì)出適應(yīng)現(xiàn)代港口企業(yè)信息安全保障工作的評(píng)價(jià)指標(biāo)體系。為了讓指標(biāo)體系更加科學(xué)、可操作,筆者在對(duì)上海港、黃驊港等大中型港口調(diào)研的基礎(chǔ)上,梳理分析,設(shè)計(jì)出一套普適性較強(qiáng)的評(píng)價(jià)指標(biāo)體系。該體系能夠較客觀、準(zhǔn)確、全面地反映港口信息安全工作水平,供港口企業(yè)信息安全保障工作者參考。
4結(jié)語
1)信息安全評(píng)價(jià)體系對(duì)于現(xiàn)代港口評(píng)價(jià)信息安全保障工作的完備性,最大化降低、控制信息安全風(fēng)險(xiǎn),減少技術(shù)故障、網(wǎng)絡(luò)攻擊等安全問題對(duì)業(yè)務(wù)帶來的影響具有十分重要的作用。
2)以現(xiàn)代港口企業(yè)信息安全保障工作為研究對(duì)象,遵循科學(xué)全面、簡(jiǎn)單可操作、向?qū)栽瓌t,從工作層面、保障要素、指標(biāo)類型出發(fā),設(shè)計(jì)了一套三維評(píng)價(jià)指標(biāo)體系框架,并結(jié)合國(guó)家對(duì)港口企業(yè)信息安全的相關(guān)要求,分析出56個(gè)具體指標(biāo),提出了評(píng)價(jià)指標(biāo)的量化方法和計(jì)算方法,可為港口企業(yè)信息安全自評(píng)價(jià)提供參考。
當(dāng)前,企業(yè)信息安全尚在起步階段,發(fā)展不夠成熟健全,還有更多需要解決的問題。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,經(jīng)濟(jì)信息量的大幅度上漲,處理信息必須依靠計(jì)算機(jī)才能完成,但計(jì)算機(jī)存在一定的弱點(diǎn),例如計(jì)算機(jī)病毒、人員素質(zhì)低下、黑客入侵等因素,以及移動(dòng)4G、WIFI互聯(lián)等多邊界企業(yè)網(wǎng)絡(luò)環(huán)境下,由于內(nèi)外部網(wǎng)絡(luò)是直接連接,其互通性和網(wǎng)絡(luò)訪問無限制性易形成黑客或惡意份子入侵的切入口,若是沒有設(shè)置任何的網(wǎng)絡(luò)邊界安全機(jī)制,將造成企業(yè)信息受到潛在的安全威脅。企業(yè)要想持續(xù)發(fā)展,信息安全是基本保障。企業(yè)信息化程度越高,企業(yè)數(shù)據(jù)也就越安全。企業(yè)發(fā)展的基礎(chǔ)即信息安全,企業(yè)管理者要正確認(rèn)識(shí)信息安全工作的長(zhǎng)期性和緊迫性。從保護(hù)企業(yè)利益,促進(jìn)經(jīng)濟(jì)發(fā)展,保證企業(yè)穩(wěn)定與安全的角度來看,只有做好基礎(chǔ)性工作和設(shè)施建設(shè),建立信息安全保障,以及建設(shè)安全健康的網(wǎng)絡(luò)環(huán)境,才能有助于信息化安全建設(shè)。其實(shí)不管科技如何發(fā)達(dá),技術(shù)如何高超,都是人類智慧的結(jié)晶體,所以信息安全已無法離開人類。不少企業(yè)信息被泄露,多是人為因素導(dǎo)致,員工濫用企業(yè)信息將會(huì)給企業(yè)帶來極大的損失。
2企業(yè)信息化安全建設(shè)
當(dāng)今社會(huì)已經(jīng)步入信息知識(shí)經(jīng)濟(jì)時(shí)代,信息對(duì)企業(yè)良性長(zhǎng)久的發(fā)展尤為關(guān)鍵,但目前企業(yè)信息系統(tǒng)安全問題無疑是企業(yè)發(fā)展階段所面臨的重點(diǎn)難點(diǎn)。所謂的企業(yè)信息安全就是對(duì)企業(yè)信息資產(chǎn)采取保護(hù)措施,使其不受惡意或偶然侵犯而被破壞、篡改及泄露,確保信息系統(tǒng)可靠正常并連續(xù)的運(yùn)行,最小化安全事件對(duì)業(yè)務(wù)的影響,實(shí)現(xiàn)業(yè)務(wù)運(yùn)行的連續(xù)性。因此筆者認(rèn)為以下幾方面是關(guān)鍵。
2.1做好網(wǎng)絡(luò)保護(hù)
其實(shí)要保證外網(wǎng)安全需要企業(yè)加大硬件設(shè)備的投入,信息安全產(chǎn)品在網(wǎng)絡(luò)經(jīng)濟(jì)發(fā)展下正面臨著新的挑戰(zhàn),傳統(tǒng)防火墻、信息加密、防病毒等已無法有效的抵御外部入侵;同時(shí)由于內(nèi)部操作不當(dāng),導(dǎo)致內(nèi)網(wǎng)感染病毒造成信息泄露的現(xiàn)狀也是信息安全的焦點(diǎn)問題。針對(duì)以上情況,建立事前有效防御,事后追究機(jī)制是企業(yè)信息化安全建設(shè)的當(dāng)務(wù)之急。根據(jù)現(xiàn)代企業(yè)的特點(diǎn),筆者認(rèn)為從下面這幾點(diǎn)入手,有助于保護(hù)網(wǎng)絡(luò)的安全:
(1)身份認(rèn)證技術(shù)。
企業(yè)內(nèi)網(wǎng)操作時(shí),可采用身份認(rèn)證技術(shù),借助PKI、PKM等工具,控制網(wǎng)絡(luò)應(yīng)用程序的訪問,以及進(jìn)行身份認(rèn)證,實(shí)現(xiàn)有效資源合法應(yīng)用和訪問的目的。
(2)審計(jì)跟蹤技術(shù)。
通過審計(jì)跟蹤技術(shù)監(jiān)控和審計(jì)網(wǎng)絡(luò),控制外設(shè)備如MSN、QQ、端口、打印、光驅(qū)、軟驅(qū)等,從而實(shí)現(xiàn)禁止使用指定程序,并促進(jìn)員工操作行為及日志審計(jì)規(guī)范的目的。
(3)企業(yè)還應(yīng)組建自身網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。
利用嚴(yán)格密鑰機(jī)制和加密算法,有機(jī)的結(jié)合加密、認(rèn)證、授權(quán)、審計(jì)等功能,保護(hù)最底層不同密集評(píng)定和授權(quán)方式的核心數(shù)據(jù),而非限制應(yīng)用網(wǎng)絡(luò)和控制網(wǎng)絡(luò),進(jìn)而真正實(shí)現(xiàn)合理保護(hù),確保企業(yè)信息數(shù)據(jù)資源的安全。
2.2安全邊界的界定和管理
安全邊界的界定通過分析現(xiàn)有網(wǎng)絡(luò)邊界安全的需求,筆者認(rèn)為有幾方面:首先,內(nèi)部網(wǎng)段。即企業(yè)網(wǎng)內(nèi)網(wǎng),是防火墻的重點(diǎn)保護(hù)對(duì)象,安全級(jí)別和授信級(jí)別更高,主要承載對(duì)象是企業(yè)所有人員的計(jì)算機(jī)。其次,外部網(wǎng)段。即邊界路由器以外的網(wǎng)絡(luò),比如移動(dòng)4G、WIFI互聯(lián)等多邊界網(wǎng)絡(luò),安全級(jí)別和授信級(jí)別最低,是企業(yè)信息數(shù)據(jù)泄露最大的安全隱患,需要嚴(yán)格禁止或控制。最后,DMZ網(wǎng)段。即對(duì)外服務(wù)器,安全級(jí)別和授信級(jí)別介于內(nèi)外網(wǎng)絡(luò)之間,其資源運(yùn)行外部網(wǎng)絡(luò)訪問。
(1)由于外部用戶訪問DMZ區(qū)域中服務(wù)器的方式較為特殊,在系統(tǒng)默認(rèn)情況下是不被允許的。
可實(shí)際應(yīng)用中是需要外部用戶對(duì)其進(jìn)行訪問,所以防火墻上必須增加相應(yīng)允許外部用戶訪問DMZ區(qū)域的訪問控制列表,通過對(duì)列表的控制允許用戶行為,并對(duì)進(jìn)行很好的監(jiān)控管理,保證企業(yè)信息的安全性。
(2)內(nèi)部用戶對(duì)外部網(wǎng)絡(luò)以及DMZ區(qū)域中服務(wù)器的訪問。
按照ASA自適應(yīng)安全算法,在系統(tǒng)默認(rèn)情況下是允許高安全等級(jí)接口流向低安全等級(jí)接口流量的,外部網(wǎng)絡(luò)安全級(jí)別遠(yuǎn)沒企業(yè)內(nèi)部網(wǎng)絡(luò)安全級(jí)別高,所以在默認(rèn)情況下這種訪問方式是被允許的,不過實(shí)際應(yīng)用過程中,需要限制對(duì)外訪問流量。
(3)外部用戶對(duì)內(nèi)部網(wǎng)絡(luò)的訪問。
在系統(tǒng)默認(rèn)情況下這種情況是不被允許的,是對(duì)外部用戶非法訪問的有效抵御,能有效的保證企業(yè)信息的安全,促進(jìn)企業(yè)信息化的安全建設(shè)。
2.3強(qiáng)化系統(tǒng)管理
由于任何安全軟件都有被攻擊或破解的可能性,單純依靠軟件技術(shù)來保障企業(yè)信息安全是不現(xiàn)實(shí)的,只有強(qiáng)化企業(yè)內(nèi)部信息系統(tǒng)的管理才行之有效。所以,企業(yè)內(nèi)部信息管理體制要完善,盡可能促進(jìn)管理系統(tǒng)規(guī)范性和可靠性的提高,才能為企業(yè)內(nèi)部信息的安全提供更高保障。同時(shí),要進(jìn)行安全風(fēng)險(xiǎn)評(píng)估工作。因?yàn)楦鱾€(gè)信息系統(tǒng)使用的都是不同的技術(shù)手段和組成方式,其自身優(yōu)勢(shì)及安全漏洞也具有較大的差異,由此在選擇企業(yè)所需的信息系統(tǒng)時(shí),一定要先做各個(gè)系統(tǒng)的安全風(fēng)險(xiǎn)評(píng)估工作,信息安全系統(tǒng)的選擇要針對(duì)企業(yè)自身特點(diǎn),降低信息安全問題出現(xiàn)的概率。最后,就是加強(qiáng)系統(tǒng)管理。在實(shí)際生活中信息竊取和系統(tǒng)攻擊大多是在網(wǎng)絡(luò)上完成的,企業(yè)必須要強(qiáng)化網(wǎng)絡(luò)管理工作,以便促進(jìn)企業(yè)的運(yùn)行更安全政策。
2.4加強(qiáng)企業(yè)信息安全管理團(tuán)隊(duì)建設(shè)
當(dāng)前,企業(yè)信息安全體系的建設(shè)中已完全滲透“七分管理,三分技術(shù)”的意識(shí),強(qiáng)化企業(yè)員工信息安全知識(shí)培訓(xùn),制定完善合理的信息安全管理制度,是企業(yè)信息安全建設(shè)順利實(shí)施的關(guān)鍵保障。企業(yè)信息安全建設(shè)時(shí)要另立專門管理信息安全的部門,負(fù)責(zé)企業(yè)內(nèi)部的信息安全防護(hù)工作,加強(qiáng)對(duì)企業(yè)內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的維護(hù)及常規(guī)檢查。企業(yè)信息安全管理團(tuán)隊(duì)的職責(zé)主要包括:工作人員安全操作規(guī)范、工作人員守則以及管理制度的制定,再交由上級(jí)主管部門審批后監(jiān)督制度規(guī)范的執(zhí)行;定期組織安全運(yùn)行和信息網(wǎng)絡(luò)建設(shè)的檢查監(jiān)測(cè),掌握公司全面的第一手安全資料,根據(jù)資料研究相關(guān)的安全對(duì)策和措施;負(fù)責(zé)常規(guī)的信息網(wǎng)絡(luò)安全管理維護(hù)工作;定期制訂安全工作總結(jié),且要接受國(guó)家相關(guān)信息安全職能部門對(duì)信息安全的工作指導(dǎo)。
2.5入侵檢測(cè)系統(tǒng)(IDS)與入侵防護(hù)系統(tǒng)(IPS)
IDS即入侵檢測(cè)系統(tǒng)能夠彌補(bǔ)防火墻的缺陷,能實(shí)時(shí)的提供給網(wǎng)絡(luò)安全入侵檢測(cè),并采取一定的防護(hù)手段保護(hù)網(wǎng)絡(luò)。良好的入侵檢測(cè)系統(tǒng)不但可有助于系統(tǒng)管理員隨時(shí)了解網(wǎng)絡(luò)系統(tǒng)的變更,還能提高可靠的網(wǎng)絡(luò)安全策略制訂依據(jù)。因此,入侵檢測(cè)系統(tǒng)的管理應(yīng)配置簡(jiǎn)單,隨時(shí)根據(jù)系統(tǒng)構(gòu)造、網(wǎng)絡(luò)規(guī)模、安全需求改變。IDS必須布置在能夠監(jiān)控局域網(wǎng)和Internet之間所有流量的地方,才能第一時(shí)間檢測(cè)到入侵時(shí),做出及時(shí)的響應(yīng),比如記錄時(shí)間、切斷網(wǎng)絡(luò)連接等。
3總結(jié)
在信息安全管理中最容易出現(xiàn)問題的就是信息的儲(chǔ)存和傳輸,在企業(yè)的網(wǎng)絡(luò)信息使用中也是這一環(huán)節(jié)最容易出現(xiàn)問題,比如企業(yè)信息系統(tǒng)中各種內(nèi)部服務(wù)器,以及用戶使用的計(jì)算機(jī)都容易對(duì)信息系統(tǒng)的安全造成威脅[1]。計(jì)算機(jī)的使用中最容易造成安全隱患的就是計(jì)算機(jī)中最常見的軟件病毒,病毒的入侵會(huì)毀壞計(jì)算機(jī)的數(shù)據(jù),最終導(dǎo)致極端及無法使用。最簡(jiǎn)單地說,計(jì)算機(jī)病毒實(shí)際上就是一種惡意破壞系統(tǒng)程序的軟件,趁使用者不注意的情況下,入侵到計(jì)算機(jī)中,破壞計(jì)算機(jī)中的數(shù)據(jù),影響計(jì)算機(jī)的正常使用,再嚴(yán)重的會(huì)導(dǎo)致整個(gè)系統(tǒng)的癱瘓,使鏈接這臺(tái)計(jì)算機(jī)的其他計(jì)算機(jī)也無法使用。還有一種就是黑客的攻擊,黑客對(duì)于計(jì)算機(jī)的攻擊屬于人為方式,就是指在沒有經(jīng)過企業(yè)計(jì)算機(jī)系統(tǒng)授權(quán)的情況下,對(duì)系統(tǒng)進(jìn)行的惡意攻擊其網(wǎng)站系統(tǒng),對(duì)整個(gè)系統(tǒng)造成比較嚴(yán)重的傷害,最終導(dǎo)致系統(tǒng)中存入的數(shù)據(jù)泄露,對(duì)企業(yè)造成無法彌補(bǔ)的損失[2]。
在企業(yè)中也會(huì)出現(xiàn)信息安全管理的漏洞,因?yàn)槠髽I(yè)中的信息管理必然會(huì)在每個(gè)部門之間相互傳輸,并且整合成最終完整的需要儲(chǔ)存的信息,這樣的過程中就很容易導(dǎo)致信息的丟失,人工操作的信息鏈接,很容易在中間的時(shí)候由于疏忽被非法人員抓到可乘之機(jī),最終導(dǎo)致信息系統(tǒng)失控。很多企業(yè)重視利益的發(fā)展,并沒有在乎企業(yè)信息的保護(hù),因此在整個(gè)網(wǎng)絡(luò)信息儲(chǔ)存的過程中就會(huì)造成沒有適當(dāng)?shù)闹萍s機(jī)制,最終造成安全漏洞和隱患。企業(yè)的制約對(duì)于任何一個(gè)部門來說都具有非常好的管理和實(shí)效性,因此一旦企業(yè)在信息管理上沒有一個(gè)好的制約管理機(jī)制,就很容易出現(xiàn)安全隱患和漏洞。
2企業(yè)信息安全管理的策略
首先企業(yè)要在電腦病毒和黑客方面入手,阻擋威脅信息安全的客觀因素,既然企業(yè)想在整個(gè)工作中使用網(wǎng)絡(luò)信息,那么就應(yīng)該在專業(yè)的軟件供應(yīng)商處購(gòu)買比較安全的電腦系統(tǒng)漏洞補(bǔ)丁,以及安全系數(shù)較高,非常可靠的殺毒軟件。這樣就能夠最初級(jí)的防范電腦中毒和電腦黑客。對(duì)于新的設(shè)備一定要首先做好安全監(jiān)察,在電腦上安裝比較可靠的殺毒軟件,并且每個(gè)員工,每臺(tái)電腦上都有非常高強(qiáng)度的密碼,這樣就能夠有效防治黑客的入侵。找出專門人員,對(duì)電腦中重要的數(shù)據(jù),進(jìn)行每天備份,如果數(shù)據(jù)較多,公司比較大,最少也要做到每周備份,然后每個(gè)月末進(jìn)行以此校對(duì)和審核,這樣就能夠放心使用計(jì)算機(jī),不用擔(dān)心系統(tǒng)崩潰或者數(shù)據(jù)丟失了[3]。在企業(yè)中建立信息安全管理機(jī)制小組,這一小組需要選用非常熟悉電腦的專業(yè)人員,最好是曾經(jīng)從事過電腦維修工作的員工,這樣可以在大家沒有合理使用電腦,造成系統(tǒng)崩潰的時(shí)候,對(duì)信息進(jìn)行及時(shí)的恢復(fù),以便挽回企業(yè)損失。
3總結(jié)
隨著信息時(shí)代的到來,互聯(lián)網(wǎng)技術(shù)在各行各業(yè)備受推崇,尤其在現(xiàn)代企業(yè)的信息化建設(shè)和發(fā)展過程中,信息網(wǎng)絡(luò)的應(yīng)用和推廣力度不斷加大。同時(shí),不可避免也會(huì)衍生信息網(wǎng)絡(luò)安全問題,對(duì)企業(yè)信息安全以及現(xiàn)代企業(yè)信息系統(tǒng)的正常運(yùn)行造成負(fù)面影響。本文立足于現(xiàn)代企業(yè)信息網(wǎng)絡(luò)中存在的問題,提出加強(qiáng)信息網(wǎng)絡(luò)安全優(yōu)化的重要性,制定針對(duì)性的優(yōu)化策略。
【關(guān)鍵詞】
現(xiàn)代企業(yè);信息網(wǎng)絡(luò);安全優(yōu)化
21世紀(jì)是網(wǎng)絡(luò)化、信息化的時(shí)代,互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展為我國(guó)各行業(yè)的發(fā)展創(chuàng)造了機(jī)遇。與此同時(shí),現(xiàn)代企業(yè)的信息網(wǎng)絡(luò)業(yè)發(fā)展也面臨著巨大挑戰(zhàn),信息網(wǎng)絡(luò)安全問題的產(chǎn)生為企業(yè)發(fā)展埋下了安全隱患。例如,同行業(yè)之間的惡性競(jìng)爭(zhēng)、網(wǎng)絡(luò)犯罪等不正當(dāng)?shù)氖袌?chǎng)競(jìng)爭(zhēng),均可以網(wǎng)絡(luò)形式展開。針對(duì)此種情況,企業(yè)要認(rèn)識(shí)到加強(qiáng)信息網(wǎng)絡(luò)安全優(yōu)化的重要性,并針對(duì)具體的安全問題,提出針對(duì)性的優(yōu)化策略,切實(shí)解決現(xiàn)代企業(yè)存在的信息網(wǎng)絡(luò)安全隱患。
一、加強(qiáng)企業(yè)信息網(wǎng)絡(luò)安全優(yōu)化的重要性
1.1提升現(xiàn)代企業(yè)的管理質(zhì)量
在現(xiàn)代企業(yè)的發(fā)展過程中,信息安全具有不可或缺的重要作用。因此,加強(qiáng)現(xiàn)代企業(yè)信息網(wǎng)絡(luò)安全優(yōu)化管理,可保障企業(yè)信息的安全性和真實(shí)性,同時(shí)也可保障現(xiàn)代企業(yè)信息系統(tǒng)的可用性和機(jī)密性。企業(yè)信息網(wǎng)絡(luò)的安全性得以保障,可為信息系統(tǒng)工作質(zhì)量提供重要的參考數(shù)據(jù)。此外,信息網(wǎng)絡(luò)管理人員要對(duì)信息網(wǎng)絡(luò)優(yōu)化和管理中體現(xiàn)出的實(shí)際問題進(jìn)行總結(jié),并針對(duì)信息系統(tǒng)管理中反饋出的實(shí)際問題,在企業(yè)內(nèi)部制定針對(duì)性的應(yīng)對(duì)方案和措施。最終,接提升現(xiàn)代企業(yè)的管理質(zhì)量,提升整體管理水平。
1.2為現(xiàn)代企業(yè)獲得更大的經(jīng)濟(jì)利益
任何一個(gè)企業(yè)發(fā)展的最終目的均為獲得經(jīng)濟(jì)利益,利潤(rùn)是企業(yè)發(fā)展的主要?jiǎng)恿ΑW鳛楝F(xiàn)代企業(yè)而言,保障企業(yè)的信息安全,并保障信息系統(tǒng)的正常運(yùn)行,方可在有效安全技術(shù)的支持,為企業(yè)后期發(fā)展創(chuàng)造更大的利潤(rùn)空間。通過對(duì)企業(yè)近年來的發(fā)展情況進(jìn)行分析和總結(jié),利用數(shù)據(jù)和統(tǒng)計(jì)分析的方法,為企業(yè)的發(fā)展制定全面的發(fā)展方案[1]。同時(shí),在進(jìn)行數(shù)據(jù)分析和總結(jié)的過程中,可及時(shí)發(fā)現(xiàn)企業(yè)發(fā)展中存在的問題,并針對(duì)具體存在的問題,提出針對(duì)性的解決對(duì)策,保障現(xiàn)代企業(yè)獲得更大的經(jīng)濟(jì)利益,獲得更大的利潤(rùn)空間。
二、現(xiàn)代企業(yè)信息網(wǎng)絡(luò)中存在的安全問題
2.1企業(yè)信息網(wǎng)絡(luò)安全管理制度不健全
縱觀目前我國(guó)現(xiàn)代企業(yè)的信息網(wǎng)絡(luò)安全管理現(xiàn)狀,仍存在較多的安全問題,其中,最為顯著的安全問題就是企業(yè)內(nèi)部尚未建立健全的網(wǎng)絡(luò)安全管理制度。管理制度的不健全勢(shì)必造成企業(yè)信息網(wǎng)絡(luò)安全出現(xiàn)問題,例如,企業(yè)的網(wǎng)絡(luò)管理工作中頻繁出現(xiàn)違規(guī)操作的現(xiàn)象,造成信息網(wǎng)絡(luò)的正常運(yùn)行受到影響。
2.2企業(yè)信息網(wǎng)絡(luò)安全管理人員的綜合素質(zhì)相對(duì)較低
從現(xiàn)代企業(yè)的網(wǎng)絡(luò)安全人員配置上看,大部分現(xiàn)代企業(yè)在發(fā)展過程中仍存在技術(shù)人員缺乏的現(xiàn)象。企業(yè)在缺乏專業(yè)的技術(shù)人員和管理人員,導(dǎo)致企業(yè)在發(fā)展的過程中難以及時(shí)發(fā)現(xiàn)信息網(wǎng)絡(luò)中存在的問題和漏洞。在網(wǎng)絡(luò)信息技術(shù)不斷發(fā)展的當(dāng)今社會(huì),企業(yè)信息網(wǎng)絡(luò)安全面臨著新的發(fā)展機(jī)遇[2]。當(dāng)一些先進(jìn)的技術(shù)、管理方式和操作方式引入到企業(yè)中,而企業(yè)內(nèi)缺乏相關(guān)的專業(yè)人才,將造成企業(yè)信息系統(tǒng)的安全性和操作規(guī)范化受到影響。因此,現(xiàn)代企業(yè)的發(fā)展過程中,需要解決信息網(wǎng)絡(luò)安全管理人員專業(yè)技能差、綜合素質(zhì)相對(duì)較低的問題,保障網(wǎng)絡(luò)管理人員可及時(shí)解決信息系統(tǒng)在安全維護(hù)方面的問題,方可促進(jìn)現(xiàn)代企業(yè)的全面發(fā)展。但就目前我國(guó)大部分企業(yè)的信息網(wǎng)絡(luò)安全管理人員配置情況上看,解決此問題仍需要經(jīng)歷較長(zhǎng)的一段時(shí)間,也需要企業(yè)付出更多的精力和財(cái)力。
2.3尚未制定完善的網(wǎng)絡(luò)安全事故應(yīng)急處理預(yù)案
在現(xiàn)代企業(yè)的發(fā)展過程中,加強(qiáng)對(duì)企業(yè)信息和信息系統(tǒng)安全運(yùn)行的管理至關(guān)重要。企業(yè)出現(xiàn)網(wǎng)絡(luò)信息安全是不可避免的,但企業(yè)可通過分析總結(jié)出現(xiàn)信息網(wǎng)絡(luò)安全問題的原因,制定針對(duì)性的解決對(duì)策,預(yù)防信息網(wǎng)絡(luò)安全事故的發(fā)生。但縱觀現(xiàn)階段我國(guó)大多數(shù)企業(yè)的發(fā)展現(xiàn)狀,大多數(shù)企業(yè)僅僅意識(shí)到了加強(qiáng)網(wǎng)絡(luò)信息安全管理的重要性,但并未在實(shí)際行動(dòng)上體現(xiàn)出來。通過對(duì)現(xiàn)代企業(yè)的調(diào)查,發(fā)現(xiàn)大部分企業(yè)尚未制定完善的網(wǎng)絡(luò)安全事故應(yīng)急處理預(yù)案,當(dāng)信息網(wǎng)絡(luò)安全事故發(fā)生后,企業(yè)在面對(duì)安全問題上顯得手足失措,難以有效應(yīng)對(duì)。而這樣的問題,對(duì)于信息網(wǎng)絡(luò)的安全維護(hù)和安全管理而言,將造成較大的負(fù)面影響,不利于現(xiàn)代企業(yè)的長(zhǎng)足發(fā)展。
三、實(shí)現(xiàn)現(xiàn)代企業(yè)信息網(wǎng)絡(luò)安全優(yōu)化的策略
3.1加強(qiáng)現(xiàn)代企業(yè)信息網(wǎng)絡(luò)系統(tǒng)的規(guī)范化管理
在現(xiàn)代企業(yè)信息網(wǎng)絡(luò)安全管理中,要實(shí)現(xiàn)企業(yè)信息網(wǎng)絡(luò)的規(guī)范化和系統(tǒng)化,首先需要在企業(yè)內(nèi)部制定嚴(yán)格的責(zé)任管理制度,加強(qiáng)安全管理。在網(wǎng)絡(luò)管理中,通過建構(gòu)多層防御和等級(jí)保護(hù)體系,加強(qiáng)對(duì)信息網(wǎng)絡(luò)安全的控制和規(guī)范化管理。與此同時(shí),企業(yè)要在現(xiàn)代化的發(fā)展過程中,要保障自身信息網(wǎng)絡(luò)系統(tǒng)的安全性,要加強(qiáng)對(duì)網(wǎng)絡(luò)性能的檢測(cè)力度,并將外網(wǎng)和內(nèi)網(wǎng)進(jìn)行有效隔離[3],為信息網(wǎng)絡(luò)系統(tǒng)提供安全管理,并在企業(yè)的各部門實(shí)現(xiàn)信息系統(tǒng)安全管理。
3.2提升現(xiàn)代企業(yè)信息網(wǎng)絡(luò)管理人員的綜合素質(zhì)
在現(xiàn)代企業(yè)的發(fā)展過程中,信息網(wǎng)絡(luò)安全優(yōu)化和管理是一項(xiàng)相對(duì)較為復(fù)雜且系統(tǒng)的工作。因此,在信息網(wǎng)絡(luò)安全優(yōu)化中,網(wǎng)絡(luò)管理人員的專業(yè)能力和綜合素質(zhì)對(duì)安全優(yōu)化管理的工作質(zhì)量均可產(chǎn)生決定性作用。這則要求企業(yè)要對(duì)信息網(wǎng)絡(luò)管理人員進(jìn)行定期培訓(xùn),通過在企業(yè)內(nèi)部開展培訓(xùn)項(xiàng)目可使管理人員的管理能力提升,同時(shí)也可培養(yǎng)網(wǎng)絡(luò)安全管理人員嚴(yán)謹(jǐn)?shù)墓ぷ鲬B(tài)度,讓其意識(shí)到信息網(wǎng)絡(luò)安全優(yōu)化工作的重要性和必要性。與此同時(shí),現(xiàn)代企業(yè)還可組織相關(guān)技術(shù)人員和專家,對(duì)企業(yè)信息網(wǎng)絡(luò)安全優(yōu)化的相關(guān)措施進(jìn)行專題分析。通過系列的專題分析,可了解企業(yè)信息網(wǎng)絡(luò)運(yùn)行的實(shí)際情況,從而激發(fā)現(xiàn)代企業(yè)網(wǎng)絡(luò)管理人員的工作熱情和工作積極性。最終,可提升網(wǎng)絡(luò)管理人員的綜合能力,提升現(xiàn)代企業(yè)信息網(wǎng)絡(luò)安全管理質(zhì)量,提升整體管理水平。
3.3制定企業(yè)信息網(wǎng)絡(luò)安全事故的應(yīng)急方案
現(xiàn)代企業(yè)在發(fā)展的過程中,難免會(huì)遇到各種各樣的信息網(wǎng)絡(luò)安全問題。鑒于此種情況,不僅要提升網(wǎng)絡(luò)管理人員的綜合素質(zhì),加強(qiáng)對(duì)信息網(wǎng)絡(luò)的規(guī)范化管理。還需要針對(duì)企業(yè)自身的信息網(wǎng)絡(luò)安全管理現(xiàn)狀,制定完善的現(xiàn)代企業(yè)信息網(wǎng)絡(luò)安全事故應(yīng)急預(yù)案。在制定應(yīng)急預(yù)案的過程中,企業(yè)要將目標(biāo)性、針對(duì)性、合理性以及全面化、規(guī)范化等特征融入其中。同時(shí),在信息網(wǎng)絡(luò)的運(yùn)行過程中,要針對(duì)具體的運(yùn)行情況,適當(dāng)增加安全事故模擬演習(xí)和模擬訓(xùn)練等,提升信息網(wǎng)絡(luò)管理人員的警惕性,保持認(rèn)真的工作態(tài)度。只有在日常工作中,加強(qiáng)管理和訓(xùn)練,方可在事故發(fā)生時(shí)從容應(yīng)對(duì),最大限度降低信息網(wǎng)絡(luò)安全事故對(duì)現(xiàn)代企業(yè)信息安全和自身發(fā)展造成的負(fù)面影響。
四、總結(jié)
綜上所述,時(shí)代在發(fā)展,社會(huì)在進(jìn)步,現(xiàn)代企業(yè)對(duì)信息網(wǎng)絡(luò)安全優(yōu)化提出了更多的要求和建議。信息網(wǎng)絡(luò)是一項(xiàng)復(fù)雜的任務(wù),具有涵蓋范圍廣、涉及信息資源多等特征。在信息技術(shù)飛速發(fā)展的當(dāng)今社會(huì),信息網(wǎng)絡(luò)安全優(yōu)化是保障現(xiàn)代企業(yè)信息安全的重要途徑,可有效解決企業(yè)中面臨的網(wǎng)絡(luò)信息安全問題。因此,現(xiàn)代企業(yè)要不斷強(qiáng)化并規(guī)范企業(yè)內(nèi)部信息網(wǎng)絡(luò)建設(shè),提升管理人員的職業(yè)素養(yǎng)和綜合素質(zhì),為現(xiàn)代企業(yè)的發(fā)展提供更加安全、穩(wěn)定的網(wǎng)絡(luò)環(huán)境。
作者:賴連春 單位:云南華電魯?shù)乩娪邢薰?/p>
參考文獻(xiàn)
[1]王國(guó)強(qiáng).現(xiàn)代企業(yè)信息網(wǎng)絡(luò)安全改善措施[J].信息技術(shù)與信息化,2014(9):64-65.
關(guān)鍵詞 信息安全;企業(yè);網(wǎng)絡(luò)
中圖分類號(hào):TP3 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1671-7597(2013)12-0129-02
1 網(wǎng)絡(luò)信息安全現(xiàn)狀
現(xiàn)代企業(yè)的發(fā)展離不開信息網(wǎng)絡(luò),隨著Web2.0時(shí)代的到來,越來越多的應(yīng)用開始在互聯(lián)網(wǎng)上流行起來,信息網(wǎng)絡(luò)對(duì)提高企業(yè)生產(chǎn)效率、節(jié)約人員成本、獲得產(chǎn)品信息等方面做出了巨大貢獻(xiàn),企業(yè)開始更為重視自身信息化的建設(shè)。然而,企業(yè)信息化速度的加快為企業(yè)信息安全工作提出了挑戰(zhàn),在網(wǎng)絡(luò)發(fā)展的背后卻存在著一個(gè)永恒的話題――信息安全。隨著企業(yè)的安全生產(chǎn)、經(jīng)營(yíng)管理等工作越來越依賴信息網(wǎng)絡(luò),網(wǎng)絡(luò)上的病毒、黑客以及其他不可預(yù)見的因素都對(duì)企業(yè)信息安全帶來巨大威脅,在日趨多樣化、專業(yè)化的攻擊面前使得企業(yè)信息安全正面臨嚴(yán)峻的形式和挑戰(zhàn)。
近年來,網(wǎng)絡(luò)安全問題頻發(fā),世界上每年遭受網(wǎng)絡(luò)攻擊的政府或者企業(yè)越來越多,2011年卡巴斯基實(shí)驗(yàn)室針對(duì)全球企業(yè)進(jìn)行的IT風(fēng)險(xiǎn)調(diào)查顯示,全球至少61%的企業(yè)遭遇過惡意軟件的攻擊。在互聯(lián)網(wǎng)發(fā)源地―美國(guó)每年就有大約5萬多起黑客攻擊的事件,甚至信息安全工作防護(hù)嚴(yán)密的美國(guó)政府網(wǎng)站也不能幸免,更普通的企業(yè)。互聯(lián)網(wǎng)具有開放性和無國(guó)界的特點(diǎn),這就使得對(duì)網(wǎng)絡(luò)攻擊事件具有全球普遍性,我國(guó)也不能幸免,據(jù)國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心的統(tǒng)計(jì)報(bào)告顯示,我國(guó)每年有80%的企業(yè)、政府機(jī)關(guān)的網(wǎng)絡(luò)系統(tǒng)曾經(jīng)遭受過病毒或黑客的攻擊。瑞星公司在2012年的《中國(guó)信息安全報(bào)告》中指出,我國(guó)共有超過7億網(wǎng)民被病毒感染過,2009年上半年國(guó)內(nèi)被掛馬的網(wǎng)頁數(shù)量突破2億。例如2011年6月28日,新浪微博出現(xiàn)了一次比較大的XSS攻擊事件,20:14,開始有大量帶V的認(rèn)證用戶中招轉(zhuǎn)發(fā)蠕蟲;20:30,中的病毒頁面無法訪問;20:32,新浪微博中hellosamy用戶無法訪問。據(jù)統(tǒng)計(jì),中國(guó)互聯(lián)網(wǎng)用戶每年因?yàn)榫W(wǎng)絡(luò)安全損失被“黑掉”的錢財(cái)高達(dá)76億。
上述網(wǎng)絡(luò)信息安全問題的出現(xiàn)為國(guó)企業(yè)敲響了警鐘,需要下大力氣加強(qiáng)網(wǎng)絡(luò)信息安全的防范和設(shè)計(jì)。
2 企業(yè)信息安全策略設(shè)計(jì)
2.1 病毒防護(hù)和查殺策略
病毒是信息安全的殺手,從病毒發(fā)作的情況來看,病毒的攻擊目標(biāo)沒有特定性,而且越來越隱蔽。從個(gè)人網(wǎng)站到企業(yè)網(wǎng)絡(luò),無不受其所害,曾經(jīng)有網(wǎng)絡(luò)公司的防火墻被不明身份的黑客攻破了,牽扯到大量的用戶信息,用戶在該支付平臺(tái)注冊(cè)的電子郵箱以及登錄密碼面臨極大風(fēng)險(xiǎn)。面對(duì)各式各樣且不斷發(fā)展演變中的病毒,企業(yè)對(duì)信息系統(tǒng)的日常維護(hù)和管理就顯得尤為
重要。
企業(yè)網(wǎng)絡(luò)部門工作人員要定期給辦公司電腦操作系統(tǒng)存在的安全漏洞打補(bǔ)丁,還要給每個(gè)客戶端都設(shè)置可靠的防毒軟件、防火墻、漏洞掃描系統(tǒng)、日志系統(tǒng),加強(qiáng)入侵檢測(cè)和補(bǔ)丁管理,對(duì)企業(yè)遭受到的病毒攻擊進(jìn)行集中分析,掌握企業(yè)計(jì)算機(jī)系統(tǒng)中存在的安全隱患,采取有效的措施和方法防范由于病毒感染導(dǎo)致企業(yè)重要信息出現(xiàn)泄漏或者破壞。同時(shí)網(wǎng)絡(luò)技術(shù)人員也要對(duì)公司所有電腦進(jìn)行防病毒軟件升級(jí)工作,確保網(wǎng)絡(luò)內(nèi)所有服務(wù)器和終端計(jì)算機(jī)都安裝防病毒軟件,將殺病毒軟件設(shè)置成為自動(dòng)升級(jí)狀態(tài),及時(shí)更新病毒特征碼和系統(tǒng)補(bǔ)丁,防止由于個(gè)人疏忽造成沒有及時(shí)升級(jí)帶來病毒庫(kù)的安全威脅,保證企業(yè)信息系統(tǒng)的正常運(yùn)行。
另外對(duì)于企業(yè)而言,無論是服務(wù)器還是終端計(jì)算機(jī)都要加強(qiáng)防火墻設(shè)置,對(duì)外部入侵行為或者其他不安全的行為進(jìn)行攔截,實(shí)際運(yùn)行時(shí),可以根據(jù)企業(yè)信息系統(tǒng)的需要,將一些服務(wù)器中不使用的端口關(guān)閉,盡量避免進(jìn)行一些具有安全隱患的服務(wù),防止利用這些端口或者服務(wù)進(jìn)行外部攻擊的行為發(fā)生。當(dāng)然,網(wǎng)絡(luò)技術(shù)人員要對(duì)不同端口的作用十分清楚,避免將企業(yè)信息系統(tǒng)正常運(yùn)行的關(guān)閉,造成企業(yè)信息系統(tǒng)不能正常運(yùn)行。
2.2 保證企業(yè)信息系統(tǒng)的平穩(wěn)運(yùn)行
保護(hù)企業(yè)信息系統(tǒng)的平穩(wěn)運(yùn)行,維護(hù)主要業(yè)務(wù)系統(tǒng)的安全,是現(xiàn)代企業(yè)網(wǎng)絡(luò)信息安全的基本要求。企業(yè)信息系統(tǒng)的平穩(wěn)運(yùn)行包括多個(gè)方面,有操作登記的分配、用戶賬戶與口令的保護(hù)、個(gè)人訪問權(quán)限、用戶身份驗(yàn)證等多個(gè)方面。我們需要做好以下工作。
1)做好重要資料備份工作。當(dāng)服務(wù)器或者硬盤發(fā)生故障時(shí),重要的企業(yè)數(shù)據(jù)會(huì)受到嚴(yán)重威脅,但往往公司簡(jiǎn)單的數(shù)據(jù)安全、信息安全體系對(duì)企業(yè)數(shù)據(jù)恢復(fù)、服務(wù)器數(shù)據(jù)恢復(fù)束手無策。為了保證信息系統(tǒng)的正常運(yùn)行和業(yè)務(wù)的正常開展,專業(yè)的企業(yè)數(shù)據(jù)恢復(fù)、服務(wù)器數(shù)據(jù)恢復(fù)格外重要。大多數(shù)企業(yè)采用備份手段來解決日常的數(shù)據(jù)安全問題,企業(yè)在購(gòu)買安裝和配置服務(wù)器時(shí),通常采用常見的兩臺(tái)服務(wù)器“一用一備”。企業(yè)網(wǎng)絡(luò)技術(shù)人員將重要信息備份在一些光盤、U盤或者移動(dòng)硬盤上,然后將其放置在不同的地方,避免同時(shí)受損害或者丟失,最大限度的保障企業(yè)信息安全和數(shù)據(jù)的完整性。
2)加強(qiáng)對(duì)關(guān)鍵業(yè)務(wù)系統(tǒng)的管理。關(guān)鍵業(yè)務(wù)系統(tǒng)應(yīng)該具有最高的網(wǎng)絡(luò)安全措施,其安全需求主要包括:訪問控制,確保業(yè)務(wù)系統(tǒng)不被非法訪問,保證數(shù)據(jù)不被網(wǎng)絡(luò)內(nèi)部破壞,安全預(yù)警,對(duì)于破壞關(guān)鍵業(yè)務(wù)系統(tǒng)的惡意行為能夠及時(shí)發(fā)現(xiàn)、記錄和跟蹤等。2011年,韓國(guó)現(xiàn)代資本、韓國(guó)農(nóng)協(xié)銀行都遭受電腦黑客襲擊,電腦網(wǎng)絡(luò)癱瘓了三天,數(shù)以萬計(jì)的客戶受影響。這次攻擊事件就是以IT運(yùn)維部門的用戶機(jī)位跳板實(shí)施的,背后原因是因?yàn)檫@些銀行對(duì)最高級(jí)別權(quán)限管理不足,也沒有基本的隔離安全機(jī)制,筆記本都可以直接連入外網(wǎng),黑客通過竊取內(nèi)部合法用戶的權(quán)限進(jìn)行非法活動(dòng)。可見,企業(yè)應(yīng)該加強(qiáng)對(duì)用戶權(quán)限的管理;另外,在必要時(shí)進(jìn)行網(wǎng)絡(luò)隔離甚至物理隔離是必然的要求。同時(shí),也要加強(qiáng)平時(shí)對(duì)于合法用戶的行為審計(jì),防范合法權(quán)限被濫用或被利用等情況的發(fā)生。
3)加強(qiáng)企業(yè)網(wǎng)絡(luò)安全平臺(tái)建設(shè)。目前很多公司推出的安全平臺(tái),就是依靠安全芯片為載體,通過軟硬件的結(jié)合,可以為用戶提供更加私密的加密存儲(chǔ)空間,這樣就可以將客戶信息、賬戶信息等高度機(jī)密的信息安全存放起來。根據(jù)不同的場(chǎng)景需求,還可以通過安全平臺(tái)搭建內(nèi)部機(jī)密信息共享平臺(tái)或工作組,比如某公司在進(jìn)行專項(xiàng)會(huì)議時(shí)或者涉及商業(yè)機(jī)密文件共享時(shí),可以建立起相對(duì)封閉的局域工作網(wǎng)絡(luò),讓各部門的總監(jiān)或管理層在同一局域網(wǎng)內(nèi)共享機(jī)密信息,其他員工則沒有查看服務(wù)器或者重要信息的權(quán)限。同時(shí),還能夠避免通過郵件、病毒、木馬等非法手段盜取數(shù)據(jù),造成不必要的損失。
2.3 健全有效的信息安全管理制度
沒有安全管理,就沒有信息安全。真正的網(wǎng)絡(luò)安全實(shí)際上靠的不是這個(gè)或那個(gè)安全產(chǎn)品,而是自身固有的安全意識(shí)。尋求解決安全問題的根本方法在于不僅要具備安全可信的辦公電腦,也要建立更加完善的數(shù)據(jù)安全管理制度。真正實(shí)現(xiàn)企業(yè)的信息安全管理僅僅依靠技術(shù)手段是不夠的,必須對(duì)規(guī)章制度上加強(qiáng)企業(yè)人員的信息安全防范意識(shí)。
1)做好員工的培訓(xùn)的管理。信息只是一種編碼形式,人才是信息的操作者,每個(gè)環(huán)節(jié)中安全隱患的最終來源都是人。為了能夠加強(qiáng)企業(yè)工作人員的信息安全防范意識(shí),企業(yè)要加強(qiáng)對(duì)公司員工的系統(tǒng)培訓(xùn),從計(jì)算機(jī)基本知識(shí)到信息安全防范的具體方法都要進(jìn)行細(xì)致講解,針對(duì)一些員工在日常使用計(jì)算機(jī)過程中不規(guī)范行為進(jìn)行及時(shí)矯正,針對(duì)一些年紀(jì)較大的、對(duì)計(jì)算機(jī)不是十分熟悉的老員工,企業(yè)網(wǎng)絡(luò)技術(shù)人員要現(xiàn)場(chǎng)演示操作,讓員工養(yǎng)成良好的使用習(xí)慣。同時(shí)要甄選出有豐富計(jì)算機(jī)操作經(jīng)驗(yàn)的人員負(fù)責(zé)每個(gè)部分電腦的日常清潔、維護(hù)和管理,負(fù)責(zé)對(duì)部門電腦病毒庫(kù)的升級(jí)、電腦的內(nèi)部清理等工作,確保企業(yè)信息安全。
2)加強(qiáng)系統(tǒng)運(yùn)行環(huán)境和維護(hù)管理,要加強(qiáng)對(duì)機(jī)房電源、空調(diào)系統(tǒng)、消防系統(tǒng)、監(jiān)控系統(tǒng)、門禁裝置等基礎(chǔ)設(shè)施的維護(hù)和管理,確保其可靠、正常的運(yùn)行。嚴(yán)禁非系統(tǒng)管理人員隨意進(jìn)入機(jī)房,嚴(yán)禁在機(jī)房?jī)?nèi)抽煙。嚴(yán)格落實(shí)機(jī)房巡視、系統(tǒng)巡檢、運(yùn)行測(cè)試、操作審批、機(jī)房出入登記、信息安全故障上報(bào)等工作制度。嚴(yán)禁在機(jī)房的服務(wù)器上瀏覽網(wǎng)頁、隨意下載軟件、打游戲等。
3 結(jié)束語
總之,對(duì)于現(xiàn)代企業(yè)而言,信息技術(shù)的發(fā)展給企業(yè)信息安全帶來巨大隱患,企業(yè)的信息安全也越來越受到信息安全部門和企業(yè)管理者的重視。信息安全工作是一個(gè)全方位的系統(tǒng)工程,每個(gè)企業(yè)面臨的信息安全環(huán)境不同,企業(yè)應(yīng)該結(jié)合自己實(shí)際情況,從思想上、技術(shù)上、管理上多管齊下,采取有針對(duì)性的信息安全策略,才能最大限度的降低信息安全威脅、保證企業(yè)信息安全,為企業(yè)健康長(zhǎng)遠(yuǎn)發(fā)展保駕護(hù)航。
參考文獻(xiàn)
[1]陳澤徐.淺析企業(yè)網(wǎng)絡(luò)安全策略[J].電腦知識(shí)與技術(shù),2009(09).
[2]沈傳案,王吉偉.企業(yè)網(wǎng)絡(luò)安全解決方案[J].計(jì)算機(jī)與信息技術(shù),2008(06).
[3]冼沛勇.企業(yè)網(wǎng)絡(luò)安全解決方案[J].石油工業(yè)計(jì)算機(jī)應(yīng)用,2004(02).
[4]牛金才.企業(yè)網(wǎng)絡(luò)安全解決方案淺析[J].煤,2003(02).
[5]石亦歌.企業(yè)網(wǎng)絡(luò)安全解決方案[J].安防科技,2003(03).
[6]王鋒.關(guān)于企業(yè)網(wǎng)絡(luò)安全問題的探討[J].電腦知識(shí)與技術(shù),2009(36).
關(guān)鍵詞:桌面安全管理;信息建設(shè);桌面終端;應(yīng)用
在信息技術(shù)飛速發(fā)展的大背景下,桌面終端已經(jīng)成為企業(yè)生產(chǎn)運(yùn)營(yíng)的重要組成部分并被廣泛應(yīng)用于企業(yè)之中。但是受到種種原因的影響,桌面終端增多帶來了許多安全問題,威脅著企業(yè)的信息安全。基于此,桌面安全管理系統(tǒng)應(yīng)運(yùn)而生。桌面安全管理系統(tǒng)簡(jiǎn)稱BES,是一種基于企業(yè)桌面客戶端內(nèi)網(wǎng)安全管理系統(tǒng),對(duì)客戶端系統(tǒng)安全漏洞和安全隱患進(jìn)行評(píng)估的管理控制平臺(tái)。本文簡(jiǎn)要分析了目前我國(guó)企業(yè)桌面計(jì)算機(jī)系統(tǒng)的安全現(xiàn)狀,主要研究桌面安全管理系統(tǒng)在企業(yè)信息建設(shè)中的應(yīng)用,這對(duì)于企業(yè)的信息建設(shè)而言具有重要現(xiàn)實(shí)意義。
1目前企業(yè)桌面計(jì)算機(jī)系統(tǒng)的安全狀況
桌面終端系統(tǒng)因?yàn)椴僮鞣奖愕葍?yōu)點(diǎn)而被廣泛應(yīng)用,但由于計(jì)算機(jī)數(shù)目過多過雜、內(nèi)部員工的不當(dāng)操作等因素導(dǎo)致目前企業(yè)桌面計(jì)算機(jī)系統(tǒng)存在著許多問題:(1)沒有嚴(yán)格對(duì)待外網(wǎng)接入工作,容易讓外網(wǎng)接入盜取企業(yè)信息。很多企業(yè)為了更好地管理,便將許多電腦連成一個(gè)整體來進(jìn)行高效運(yùn)營(yíng)。但是這么做也存在一個(gè)弊端:給外網(wǎng)入侵帶來可乘之機(jī),由于計(jì)算機(jī)管理人員不能使每臺(tái)計(jì)算機(jī)都能得到合理配置,因此容易讓外網(wǎng)接入,造成企業(yè)信息泄露等損失。(2)缺乏有序規(guī)劃,設(shè)備配置良莠不齊。現(xiàn)階段我國(guó)很多企業(yè)計(jì)算機(jī)系統(tǒng)設(shè)備配置混亂且質(zhì)量參差不齊,給維修以及耗材的配備增加了成本。(3)隨著信息技術(shù)的飛速發(fā)展,涌現(xiàn)出來的許多操作系統(tǒng)以及軟件給企業(yè)系統(tǒng)安全管理帶來巨大的壓力。(4)缺乏統(tǒng)一的手段統(tǒng)計(jì)分析桌面運(yùn)行狀況,缺乏跟蹤監(jiān)督桌面設(shè)備受到侵害的狀況,缺乏跟蹤監(jiān)測(cè)安全漏洞的修復(fù)狀況。(5)一些企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜,十分難管理。加上一些內(nèi)部員工的不良操作以及對(duì)移動(dòng)存儲(chǔ)介質(zhì)使用的隨意性容易導(dǎo)致企業(yè)信息泄露。基于目前企業(yè)桌面計(jì)算機(jī)系統(tǒng)的安全現(xiàn)狀,企業(yè)需要實(shí)施桌面安全管理系統(tǒng)來解決桌面終端存在的問題,有效地保護(hù)企業(yè)的信息安全。
2桌面安全管理系統(tǒng)在企業(yè)信息建設(shè)中的具體應(yīng)用
2.1系統(tǒng)補(bǔ)丁管理
目前我國(guó)很多企業(yè)操作人員在應(yīng)用桌面安全管理系統(tǒng)過程中會(huì)出現(xiàn)安裝完系統(tǒng)后就沒有再打過補(bǔ)丁的現(xiàn)象,很多用戶也缺乏系統(tǒng)升級(jí)的意識(shí),對(duì)數(shù)據(jù)庫(kù)系統(tǒng)以及應(yīng)用程序不打補(bǔ)丁升級(jí)。桌面安全管理系統(tǒng)的補(bǔ)丁管理是及時(shí)地更新系統(tǒng)漏洞的特征以及系統(tǒng)補(bǔ)丁源,保證補(bǔ)丁服務(wù)器能夠及時(shí)獲取新的系統(tǒng)漏洞特征和補(bǔ)丁源。桌面安全管理系統(tǒng)自動(dòng)地收集、統(tǒng)計(jì)以及檢測(cè)所管理桌面終端系統(tǒng)的漏洞信息和補(bǔ)丁安裝進(jìn)度,隨后根據(jù)每一臺(tái)桌面終端操作系統(tǒng)以及已經(jīng)安裝的補(bǔ)丁情況,打包、分配、安裝所需要的補(bǔ)丁。桌面安全管理系統(tǒng)可以自動(dòng)對(duì)漏洞進(jìn)行及時(shí)檢測(cè)修復(fù),保障系統(tǒng)的安全。
2.2IT資產(chǎn)管理
桌面安全管理系統(tǒng)根據(jù)所管理范圍的桌面終端系統(tǒng)的軟件和硬件資產(chǎn)變更進(jìn)行管理,以小時(shí)、天、周為周期通過軟件或者人工只能收集資產(chǎn)信息,然后再將所收集的信息納入資產(chǎn)信息庫(kù)。桌面安全管理人員根據(jù)資產(chǎn)編號(hào)、資產(chǎn)所歸屬部門、資產(chǎn)使用人等信息進(jìn)行查詢和管理,最后定時(shí)生成資產(chǎn)信息報(bào)表。在桌面安全管理系統(tǒng)控制臺(tái)管理中,管理人員可以清楚地了解有多少計(jì)算機(jī)沒有安裝桌面安全管理系統(tǒng),利于管理人員掌握網(wǎng)絡(luò)資產(chǎn)數(shù)據(jù)。
2.3軟件分發(fā)
在安裝軟件時(shí),很多企業(yè)用戶因?yàn)橛?jì)算機(jī)水平良莠不齊等原因無法自行完成。一些通用軟件或者專業(yè)軟件覆蓋范圍廣,因此利用軟件分發(fā)功能便可以自動(dòng)化部署網(wǎng)絡(luò)客戶機(jī)的各個(gè)軟件,確保版本軟件以及配置保持同一性。桌面安全系統(tǒng)維護(hù)人員還要根據(jù)企業(yè)的實(shí)際需要來研究分析桌面安全管理系統(tǒng)的軟件開發(fā)功能,編寫包含工具軟件、系統(tǒng)軟件、補(bǔ)丁等常用軟件的自動(dòng)安裝包以及自動(dòng)卸載包,最后根據(jù)客戶的實(shí)際需要進(jìn)行軟件分發(fā),這極大地降低了管理人員的工作強(qiáng)度,提高了工作效率。
2.4外接設(shè)備的管理
統(tǒng)一管理所有安裝了客戶端主機(jī)的外接設(shè)備,管理人員只要在控制中心進(jìn)行相應(yīng)配置后便可以控制是否允許USB接口、光驅(qū)、串口等外接設(shè)備的接入。同時(shí)值得注意的是,在管理人員對(duì)USB接口進(jìn)行管理時(shí),用戶使用USB鍵盤、鼠標(biāo)不會(huì)受到限制,只有當(dāng)使用USB硬盤等存儲(chǔ)設(shè)備時(shí)才會(huì)受到限制。
2.5病毒防護(hù)管理
桌面安全管理系統(tǒng)可以很好地對(duì)客戶機(jī)的病毒防護(hù)情況進(jìn)行監(jiān)控,包括是否安裝了病毒防護(hù)軟件、是否將病毒代碼庫(kù)升級(jí)為最新等。在系統(tǒng)控制臺(tái)上,所有客戶機(jī)的信息都集合在一起,管理人員可以更好地管理。一些客戶機(jī)違規(guī)安裝了某些病毒防護(hù)軟件,或者是同時(shí)安裝了兩種病毒防護(hù)軟件,可能會(huì)導(dǎo)致系統(tǒng)運(yùn)行速度緩慢,增加了管理人員和維護(hù)人員的工作負(fù)擔(dān)。針對(duì)這種情況,桌面安全管理系統(tǒng)可以識(shí)別計(jì)算機(jī)屬性,統(tǒng)計(jì)違規(guī)客戶機(jī)信息,并采取限制使用網(wǎng)絡(luò)資源等方法來使用戶卸載違規(guī)安裝的病毒防護(hù)軟件,促進(jìn)病毒防護(hù)管理的規(guī)范化、合理化。
2.6遠(yuǎn)程維護(hù)
桌面安全管理系統(tǒng)的遠(yuǎn)程維護(hù)有兩種方式,分別是遠(yuǎn)程桌面查看以及遠(yuǎn)程桌面控制,通過遠(yuǎn)程維護(hù)方式,管理維護(hù)人員可以進(jìn)行遠(yuǎn)程診斷以及修復(fù),極大提高了工作效率。與此同時(shí),遠(yuǎn)程維護(hù)還支持客戶端確認(rèn)的過程,如遇客戶沒有確認(rèn)就不能接管客戶終端。終端遠(yuǎn)程維護(hù)服務(wù)只在需要時(shí)開啟,此外使用動(dòng)態(tài)密碼可以確保遠(yuǎn)程維護(hù)服務(wù)的安全性。
3結(jié)語
綜上所述,桌面安全管理系統(tǒng)充分運(yùn)用了信息安全管理技術(shù)來提高企業(yè)信息建設(shè)水平和安全管理效率,加強(qiáng)對(duì)網(wǎng)絡(luò)客戶端的控制并進(jìn)行實(shí)時(shí)監(jiān)控,集成其他網(wǎng)絡(luò)安全設(shè)備為可靠的、安全的局域網(wǎng)絡(luò),極大地鞏固加強(qiáng)了對(duì)企業(yè)信息安全的保障。此外,桌面安全管理系統(tǒng)雖然越來越受到重視,但其在應(yīng)用領(lǐng)域仍處于比較不成熟狀態(tài),需要企業(yè)進(jìn)行進(jìn)一步探究。
參考文獻(xiàn)
