发布时间:2023-10-10 17:14:42
序言:作为思想的载体和知识的探索者,写作是一种独特的艺术,我们为您准备了不同风格的14篇企业信息安全保护,期待它们能激发您的灵感。
总的来讲,我们目前对信息系统的安全保障工作处在初级阶段,主要表现在信息系统安全建设和管理的目标不明确,信息安全保障工作的重点不突出,信息安全监管体系尚待完善。为了实施信息系统的安全保护,我国制定颁布了《计算机信息系统安全保护等级划分准则》(GB17859-1999)和《信息技术安全技术信息技术安全性评估准则》(GB/T18336-2001)等基本标准,随后又制定了一系列相关的国家标准,对信息等级保护工作的定级、建设、测评、安全管理等进行规范。信息安全等级保护制度一个很重要的思想就是对各领域的重要信息系统依照其对国家的重要程度进行分类分级,针对不同的安全等级采取不同的保护措施,以此来指导不同领域的信息安全工作[1]。99年颁布的《等级划分准则》对计算机信息系统安全保护能力划分了五个等级[2],保护能力随着安全保护等级的增高,逐渐增强。第一级为用户自主保护级。使用户具备自主安全保护的能力。第二级为系统审计保护级。在继承前面安全级别安全功能的基础上,需要创建和维护访问的审计跟踪记录。第三级为安全标记保护级。在继承前面安全级别安全功能的基础上,要求依据访问安全级别限制访问权限。第四级为结构化保护级。继承前面安全级别安全功能的基础上,划分安全保护机制为两部分,关键部分和非关键部分,对关键部分访问者直接控制访问对象的存取。第五级为访问验证保护级。按要求增设访问验证的功能,负责访问者对所有访问对象的访问活动进行仲裁。
2.企业信息安全等级保护的实施流程
在实施企业信息安全等级保护流程时,主要得工作可以分为信息系统定级、规划与设计和实施、等级评估与改进三个主要的阶段。
2.1信息系统定级
系统定级是根据整个系统要求达到的防护水平,确定信息系统和各个子系统的安全防护等级。需要由专业人员评估企业的信息系统、各种软硬件设备及企业业务支撑的各个环节,根据其重要性和复杂性划分为各个子系统,描述子系统的组成和边界,以此确定总系统和子系统的安全等级。2.2安全规划和设计安全规划和设计是根据系统定级的结果,对信息系统及其子系统制定全套的安全防护解决方案,并根据方案选取相应的软、硬件防护产品进行具体实施的阶段,这个阶段的工作主要可以归纳为以下三个方面的内容:
2.2.1系统对象的分类划分及相应保护框架的确立。
企业需要对信息系统进行保护对象进行分类和划分,建立起一个企业信息系统保护的框架,根据系统功能的差异和安全要求不同对系统进行分域、分级防护。
2.2.2选择安全措施并根据需要进行调整。
在确定了企业信息系统及各个子系统的安全等级以后,根据需要选择相应的等级安全要求。根据对系统评估的结果,确定出主系统、子系统和各保护对象的安全措施,并根据项目实施过程中的需要进行适当的调整。
2.2.3安全措施规划和安全方案实施。
确定需要的安全措施以后,定制相应安全解决方案和运维管理方案,以此为依据采购必要的安全保护软、硬件及安全服务。
2.3实施、等级评估和改进[4]
依照此前确定的安全措施和解决方案,在企业中进行方案实施。实施完毕之后,对照“信息安全等级保护”相关标准,评估所部署的方案是否达到了预想的防护要求,如果评估未能通过,则需对部分安全方案进行改进后再进行评估,直至符合等级保护要求。
3.企业信息安全等级保护体系的主要内容
3.1安全体系设计的原则及设计目标
信息系统安全体系的设计需要按照合规可行、全局均衡、体系化和动态发展原则,达到并实现“政策合规、资源可控、数据可信、持续发展”的生存管理与安全运维目的。系统安全等级保护体系的技术指标,可以分为信息技术测评指标和非信息技术测评指标两类。所以整个安全等级保护体系应包含基本技术措施和基本管理措施两个组成部分。
3.2基本技术措施
3.2.1物理安全
物理安全是信息系统安全的基础,物理安全主要内容包括环境安全(防火、防水、防雷击等)、设备和介质的防盗窃、防破坏等方面。
3.2.2网络安全
网络是若干网络设备组成的可用于数据传输的网络环境,是信息系统安全运行的基础设施。对于内网未通过准许联到外网的行为,可以使用终端安全管理系统来检测。对登录网络设备和服务器的用户进行基本的身份识别,使网络最基本具备基本的防护能力。[5]
3.2.3主机安全
主机安全主要是指服务器和终端系统层面的安全风险。主机的安全风险主要包括两个方面:一是操作系统的脆弱性,二是来自系统配置管理和使用过程。可以通过建立一套完善安全审计系统实现系统层、网络层以及应用层的安全审计。
3.2.4应用系统安全
应用系统是提供给用户真正可使用的功能,是以物理层、网络层和主机层为基础的,是用户与系统底层的接口。应用安全首先要考虑身份验证、通讯加密、信息保护和抗抵赖性等安全风险,对应用系统方面应关注系统资源控制、应用代码安全、系统安全审计和系统容错等内容,一般需要通过安全审计系统和专业的安全服务来实现。
3.2.5数据安全
数据是指用户真正的数据,信息系统数据安全所面临的主要风险包括:数据遭到盗窃;数据被恶意删除或篡改。在考虑数据安全方案时,除了使用从物理层到应用层的各种层次的安全产品,更重要的是考虑对数据的实时备份。目前主要使用数据库技术来保证数据私密性和完整性,制定好数据存储与备份方案,来完成日常的数据备份与恢复。这部分工作可以考虑引入专业安全服务。
3.3基本管理措施
3.3.1安全管理制度
安全管理制度的制定、、审核和修订等工作,需要在信息安全领导小组的统筹下,按照安全工作的总体方案,根据系统应用安全的实际情况,组织相关人员进行,并进行定期的审核和修订。
3.3.2安全管理机构
要根据要求建立专门的安全职能部门,配置专门的安全管理人员,并对安全管理人员进行日常活动的监督指导。同时要对安全职能部门进行全面的设计,内容包括的人员和岗位的配置、日常工作流程、与其他部门的沟通和合作、系统安全的审核和检查等方面。
3.3.3人员安全管理
人员的入职、离职、绩效考核、业务培训等环节都要考虑安全因素。对第三方人员管理上也要考虑安全风险。
3.3.4系统建设过程管理
要在系统建设的各个阶段贯彻系统安全等级保护体系的思想和内容。主要是对系统建设从方案设计、采购、开发、实施、测试验收、交付到系统备案、安全测评等环节进行全流程的监控,对所有涉及安全保护的方面提出具体要求。
3.3.5系统运行和维护管理
信息系统运维安全管理涉包括日常管理、安全事件处置、应急预案管理和安管中心等几方面内容,可以是内部人员管理维护,也可以根据需要采用内部人员和专业安全厂商相结合的方式。
4.总结
关键词:商业秘密;信息安全;保护;资产;大数据
1信息安全工作的本质是商业秘密保护
商业秘密保护一直是企业内部管理的薄弱环节,企业也是信息安全泄密事件的高发群体,受到商业秘密侵权的损害也最大。其原因在于企业的创始人基本没有商业秘密的意识,也没有在机构上设立保密部门,更没有建立有效的商业秘密保护管理机制,因此导致商业秘密容易被侵权。按照我国《反不正当竞争法》的规定,属于商业秘密范畴的信息须具备以下三个条件:不为公众所知悉、能带来经济利益、采取保密措施。根据商业秘密的特点,可以发现商业秘密属于具有经济价值且被保护的企业信息资源,这种资源在企业内部有限范围内共享。当下,有关商业秘密的法律诉讼已不是新鲜事。2017年,安徽一橡塑制品公司员工辞职后入股竞争对手,不仅带走老东家的技术资料,还“抢了”老顾客生意。法院采取“实质性相同加接触”规则推定其与新东家构成侵权,判赔80万元。据德国《经济周刊》网站2017年12日报道,荷兰警方日前逮捕了一名65岁男子,该男子为西门子员工,涉嫌将西门子商业机密泄露给中国企业,荷兰检察院目前正对此案展开调查。以上两个案例中的企业商业秘密保护的一个侧面。大数据时代的核心是资源共享,任何企业都不是一个封闭的组织,任何组织和个人都可以有偿或者无偿获得他们所需要的信息。因此,要做好企业的信息安全工作,必须厘清商业秘密保护与信息安全之间的关系。商业秘密保护的对象是企业的技术或经营信息,因此商业秘密保护的本质也是保护信息安全。泄密事件层出不穷,泄密手段越来越高科技。大部分企业在信息安全工作中,存在一些典型的误区:业务部门认为没有商业秘密可言,搞信息安全只是IT部门的事情;业务部门不知道哪些信息属于商业秘密,信息安全工作推进没有依据;业务部门的海量信息都需要保护,保护范围无限扩大,见图1。
2信息安全工作不能奔走救火
市场经济竞争越来越激烈,泄密风险越来越多,商业秘密的价值越来越高。泄密的途径和方式多种多样,要想做好信息安全工作,我们必须要了解主要的泄密途径。(1)内部泄密。堡垒最容易从内部被攻破,在企业商业秘密泄密事件中,由于核心员工跳槽带走商业秘密而造成的泄密事件时有发生而且占有很大的比例。据统计,企业内部人员侵犯商业秘密案件占全部案例的82.5%。人员流动是企业发展过程中所面临的并且是无法回避的问题,在企业的商业秘密保护工作中,如何防止核心员工跳槽带走商业秘密,人员管理固然是很重要的一个环节,但还应伴随着一系列的管理措施。对于企业来说,证明商业秘密的存在本身就很困难,要证明企业员工是否利用了这种信息难度更大,尤其是难以区分一般信息与商业秘密信息的差别。所以,应通过竞业限制条款以尽可能地避免员工利用商业秘密。(2)商业秘密信息管理不善。一些企业中存在着很多这样的情况,企业一边将一些技术文件、客户资料和信息不分级别随意管理,任何员工甚至未经任何手续就能随意使用和得到这些信息,另一边声称自己的商业秘密被泄露要加强管理甚至要进行索赔等,这种状况是很难寻求到法律支持和保护的。所以,我们强调确定企业的商业秘密范围,明确商业秘密保护的对象是商业秘密保护工作的关键环节。(3)接待外来人员采访、参观、考察、实习中疏忽大意。这样的实例很多,我国一些具有“独特工艺”的传统产品企业就是在接待参观和考察中,被人窃取“机密”。改革开放之初,日本人借着我国地方官员和民众热情迎接外宾,毫无商业保密头脑的机会,来泾县“参观考察”中国宣纸制造,官员和工厂负责及技术人员陪同参观,每一道制作工艺详细讲解,从而日本人轻而易举获取了宣纸制造的整个流程,以及“纸药”的配方。如果企业能重视到商业秘密的保护,此种损失完全可以避免或降低。参观应避开敏感区域,勿作详细解释,勿对生产制造工艺进行演示,并要求来访者参观商业秘密设备时签订保密协议。(4)对外信息。竞争对手通过公开的信息收集的合法途径同样能够获取企业商业秘密。还有一些企业甚至盯着对手公司经常使用的垃圾箱,从垃圾箱中翻阅废弃资料,从而检索有用信息。对此,企业一定要引起注意,最好建立严格的信息审批规章制度和办事程序。比如信息公布、报废产品、实验废品和产品的处理,展览、新闻和广告等,均需通过严密的信息处理和审批,以防无意中泄密。为了解决一个个具体的问题而立即行动,效果不会很好,久而久之,信息安全保护措施会流于形式、奔走救火。企业要防止自己的商业秘密被竞争对手窃取,必要采取各种保护措施。保护措施越多,保护效果越好,但同时保护成本也会增大,消耗企业的财富。但如果企业对商业秘密投入不足,会使保护能力欠缺,导致重要的商业秘密资产被泄密,企业面临的损失可能会更大。因此,企业必须使投入的保护成本与需要保护的商业秘密资产价值相适应。
3保护信息安全的目标是降低风险
就商业秘密而言,没有绝对的安全,只有相对的安全。信息安全的目的是,保护信息免受各种威胁的损害,以确保业务连续性,业务风险最小化,投资回报和商业机遇最大化。泄密风险只能降低,不可能杜绝。商业秘密范围的确定是商业秘密保护最基础的工作,只有准确的定义、识别并确定自己企业需要保护的商业秘密范围,才有可能采取有效措施对范围之内的商业秘密进行保护,如果范围确定的不准确,就可能使商业秘密面临缺乏保护或保护过度的风险。在明确商业秘密的范围和定义的前提下,首先要做好“定密”工作,其次要做好“分级”工作,最后在采用各种手段去做“保密”工作。
参考文献
[1]魏亮.云计算安全风险及对策研究[J].邮电设计技术,2011(10).
[2]徐祖哲.企业信息化与商业秘密保护[J].中国科技投资,2009(2).
[3]欧阳有慧.商业秘密的企业应对[J].商场现代化,2009(1).
[4]王红一.免予公开的商业秘密的界定问题[J].暨南学报,2005(5).
[5]冯晓青.试论商业秘密法的目的与利益平衡[J].天中学刊,2004(12).
【关键词】电力;信息系统;信息安全;等级保护
随着科学技术的快速提高,我国的信息化发展迅速,信息化在各行各业都得到广泛应用。城市电网是经济社会发展的重要基础设施,是能源产业链的重要环节。随着信息、通信技术的广泛应用,智能化已成为世界电网发展的新趋势。电力企业网络建立信息安全等级保护制度旨在为国家信息安全保护工作建立起一个长久有效的安全机制,保障信息化建设的健康发展。然而目前我国电网的信息安全等级保护政策的实施处于初步进行阶段,还有很多工作需要完成。这需要业内外人士的共同参与,为保障信息安全尽最大的努力。同时伴随着计算机技术的发展,信息安全等级保护技术和水平也要不断优化升级,确保能够及时解决安全保护中遇到的问题,让信息安全等级保护政策的实施畅行无阻。
1 电力信息安全等级保护
信息系统等级保护制度是我国信息安全领域一项重要政策,信息系统安全等级保护是指对信息安全实行等级化保护和等级化管理。根据信息系统实用业务重要程度及其安全实际需求,实行分级、分类、分阶段实施保护,保障信息安全和系统安全稳定运行,维护国家利益、公共利益和社会稳定,等级保护的核心是对信息系统特别是对业务应用系统安全分等级、按标准进行建设、管理和监督。国家对信息安全等级保护工作运用法律和技术规范逐级加强监管力度,保障重要信息资源和重要信息系统的安全。
1.1 等级保护定级
信息系统的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度,其中等级保护对象受到破坏时所侵害的客体包括三方面:公民、法人和其他组织的合法权益,社会秩序、公民利益,国家安全。等级保护对象受到破坏后对客体造成侵害的程度分为三种:一般损害,严重损害,特别严重损害。定级要素与信息系统定级的关系见下表所示。
1.2 基本要求与主要流程
等级保护的基本要求是:各基础信息网络和重要信息系统,按照“准确定级、严格审批、及时备案、认真整改、科学测评”的要求完成等级保护的定级、备案、整改、测评等工作。公安机关和保密、密码工作部门要及时开展监督检查,严格审查信息系统所定级别,严格检查信息系统开展备案、整改、测评等工作。等级保护的主要流程包括6项内容。
(1)自主定级与审批:信息系统运营使用单位按照等级保护管理办法和定级指南,自主确定信息系统的安全保护等级。有上级主管部门的,应当经上级主管部门审批。跨省或全国统一联网运行的信息系统可以由其主管部门统一确定安全保护等级。
(2)评审:在信息系统确定安全保护等级过程中,可以组织专家进行评审。对拟确定为第4级以上信息系统的,运营使用单位或主管部门应当邀请国家信息安全等级专家评审委员会评审。
(3)备案:第2级以上信息系统定级单位到所在地的市级以上公安机关办理备案手续。
(4)系统安全建设:信息系统安全保护等级确定后,运营使用单位按照惯例规范和技术标准,选择管理办法要求的信息安全产品,建设符合等级要求的信息安全设施,建立安全组织,制定并落实信息安全管理制度。
(5)等级测评:信息系统建设完成后,运营使用单位选择符合管理办法要求的检测机构,对信息系统安全等级状况开展等级测评。
(6)监督检查:公安机关依据信息安全等级保护管理规范,监督检查运营使用单位开展等级保护工作,定期对第3级以上的信息系统进行安全检查。运营使用单位应当接受公安机关的安全监督、检查、指导,如实向公安机关提供有关材料。
2 电力信息系统等级保护工作开展
2.1 信息系统定级及审批
2007年7月,公安部、国家保密局、国家密码管理局、国务院信息办联合下发《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号),按照有关工作要求,国家电力监管委员会开展了电力行业等级保护定级工作,并印发《关于开展电力行业信息系统安全等级保护定级工作的通知》(电监信息[2007]34号),电力公司按照《国家电网公司信息系统安全保护等级定级指南(试行)》(信息技术[2007]60号)对公司信息系统进行定级,按照要求填写定级报告和备案表,并报送国家电力监管委员会组织评审和审批。主要涉及4个3级系统、11个二级系统,具体见表2。
2.2 信息系统等级保护备案
公司完成信息系统的定级工作后,开始对信息系统进行等级保护备案,认真填写《信息系统安全等级保护备案表》,梳理完成所有资料准备后,于2011年向省公安厅提交了等级保护备案材料,最终公司15个管理信息系统完成了等级保护备案工作。
2.3 等级保护测评及整改工作
2011-2012年,按照国家电力监管委员会要求,北京华电卓识信息安全测评技术中心相继完成对公司电力市场交易系统、ERP系统、财务管理系统、营销管理等15个系统的等级保护测评工作。
公司积极组织、协调、配合测评队伍,遵循“流程规范、方法科学、结论公正”的原则,按照国家等级保护测评工作的有关标准、规范的要求,根据《电力行业信息系统安全等级保护要求(试行)》开展测评工作,公司信息系统等级保护测评符合率达到95%以上,顺利通过了等级保护测评,但是测评中还是发现了部分问题,主要包括:
(1)网络设备不具备双因子验证
根据国家《信息系统安全等级保护基本要求》规定,第2级以上(不含)信息系统网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别,按照此项基本要求,限于硬件条件,公司三级信息系统尚达不到安全防护要求。
(2)数据库审计功能未开启
根据国家《信息系统安全等级保护基本要求》规定,第2级及以上信息系统审计范围应覆盖到服务器上的每个操作系统用户和数据库用户;系统不支持该要求的,应以系统运行安全和效率为前提。按照此项工作要求,公司部分系统未开启数据库审计功能,亦未部署第三方审计产品。
测评工作结束后测评人员对测评过程结果及以上问题进行了反馈,公司根据测评中发现的各类问题做好问题整改工作,确保公司信息系统安全稳定运行。整改工作如下:
1)网络设备未设置双因子认证。对于不具备双因子验证条件的问题,公司正在加快建设统一数字认证系统,系统上线后可实现双因子验证。
2)数据库审计功能未开启。因开启数据库审计功能会对系统性能产生较大影响,公司近期计划购置部署第三方审计产品。
3 结束语
电力公司近年来高度重视信息安全工作,信息安全等级保护工作卓有成效,通过落实信息安全等级保护制度,开展管理制度建设、技术措施建设、落实等级保护各项工作要求,使信息系统安全管理水平明显提高,安全防护能力显著增强,安全隐患和安全事故明显减少,有效保障公司信息化工作健康发展,公司下一步工作重点应着手对等级保护测评发现的各项问题进行整改,保障公司网络及信息系统安全稳定运行。
参考文献:
[1]王雪莉.浅谈信息安全等级保护问题[J].数字技术与应用,2012.
[2]易振宇.电力信息系统等级保护实施浅谈[J].信息安全与通信保密,2011.
在办公室里指疾如风地在键盘上敲打数据、处理工作的时候,你是不是也曾经一次又一次对电脑屏幕右下角浮现的更新图标视而不见呢?即使已经有提示框跳到屏幕中央,你是不是也会不耐烦地点击“忽略”、“下次再提醒我”呢?除了升级本身会导致的电脑运行缓慢,升级完成后必需的电脑重启工作也让人不胜其烦,而本来习惯的软件界面和功能选项的不断修订也需要时间重新适应,在手头业务繁忙的时候,一般的软件更新简直就是一场噩梦!
不过数据证明,逃避软件更新虽然暂时保证了工作的流畅,却为日后的信息安全埋下了隐患。知名信息安全厂商卡巴斯基实验室日前在报告中指出: 2010年第三季度在用户计算机中检测出的10个分布最广泛的漏洞中,有多个是其供应商在2007至2009年间就提供过相应补丁程序的。造成这一局面的原因,就是很多用户不经常升级计算机中的软件。
当然,要规避这些危险并不是不可能的,如果出于节省时间和精力的目的不愿意经常进行常规软件的更新和打补丁,那么就一定要配备具备超强时效性的安全解决方案,以应对随时可能出现的针对性漏洞攻击。在这一方面,作为业内唯一能做到每小时更新病毒库的卡巴斯基无疑是相当不错的选择。第一时间对新生恶意程序进行响应,是无数企业的首要需求,也符合患有“更新恐惧症”的员工们最迫切的需要。但是每小时更新是不是与用户对不断更新重启这一软件行为的排斥相矛盾呢?对于这一问题,卡巴斯基相关负责人表示,卡巴斯基企业版产品不会给用户带来这一方面的困扰,无论是病毒库,还是反病毒模块,只要是一般情况下的常规更新,都无需进行计算机重启,可大大减少对用户日常工作的影响;而更新过程中亦不会降低电脑的运行速度,除了因为卡巴斯基采用的新技术使用了更小的下载安装包以外,还因为更新程序完全可以由管理员统一设置为后台运行,用户几乎完全感觉不到这一过程。
俗话说:一物降一物。卡巴斯基前瞻性的防御技术、实时更新的反病毒数据库和独到的“后台无干扰升级”,就是 “更新恐惧症”的一大克星。而解决了这一看似不起眼的细节问题,才能确保反病毒数据库的实时更新,从根本上保证企业的信息数据安全。
(讯)我们对二季度对计算机板块表现持谨慎观点,较高估值水平需要更多积极因素支撑。
回顾年初至今计算机行业运行格局,与我们对2016年行业总基调的预期“振幅趋缓的钟摆”之比喻相印证,长周期的下行趋势是对前期计算机互联网公司估值泡沫的持续挤压,而近期反弹则是在注册制暂缓、汇率走势趋稳、货币政策宽松等利好因素下对之前过快下行的修复,目前时点我们认为行业整体估值再度回到合理估值中枢的上沿(2次钟摆周期的上部),在二季度可预见的诸因素中,市场对计算机行业盈利增速预期不断下调、流动性继续宽松的空间渐小及对美联储加息预期再度升温的可能诸因素作用下,我们认为行业再度向上的空间已然有限,故而对二季度行业总体表现持谨慎态度,机会来自于对结构性机会的把握,重点看好在线教育、信息安全、企业云服务等细分领域。
关注结构性投资机会,重点推荐在线教育、信息安全和企业服务等细分领域的投资机会。
在线教育:行业进入洗牌期,回归教育本质的模式是最好的模式。之前处于风口的在线平台、题库、家教020等领域已经进入洗牌期,行业格局逐渐清晰,未来我们看好深耕B端(公立学校、教育行政部门)并引导C端变现的模式,短期来看线下渠道资源是核心,后续产品和内容端的优势将逐渐凸显,资源整合是关键,看好拓维信息、科大讯飞、立思辰等公司的成长空间。
信息安全:根据我们多行业比较研究及调研情况看,信息安全行业作为计算机行业中最具成长性的细分领域之一,未来在国家强力政策推动及下游党政军、金融、电信、工控等领域订单快速提升的双重作用下,正逐步进入成长提速期,行业具备较高中长期投资价值,且首个国家安全教育日来临,有望成为提振行业短期表现的催化剂,故我们给予此细分领域重点推荐。标的选择方面,我们重点推荐启明星辰(信息安全综合解决方案龙头)、立思辰(内容及数据安全领域新贵)和优炫软件(操作系统、数据库安全细分领域龙头)。(来源:中泰证券 文/李振亚 编选:中国电子商务研究中心)
关键词:信息异化;信息安全;安全保障策略
中图分类号:G202 文献标志码:A 文章编号:1000-8772(2013)09-0170-03
引言
在当前的错综复杂的信息环境中,信息随着信息环境多样化的发展,变得更加的丰富与多样。在信息的传播过程中,信息异化现象的越发明显,不仅给人们获取和利用信息带来了障碍。而且也进一步地影响了人们信息活动的安全。
“异化”(alienation)源于拉丁语alienation,有转让、疏远、脱离、差异和分离之意。所谓信息异化,是指人们创造的信息在生产、传播和利用等活动过程中,因受到各种因素的干扰,而导致信息丧失原有的内涵,甚至反客为主演变成外在的支配、统治和控制人的异己力量。简单地说,信息异化就是作为主体的人与作为客体的信息之间产生关系的颠倒,从而使人丢失了自身的主体性。由此可以看出,信息异化扭曲了信息的本质,直接影响了信息的合理利用,而如何客观的认识信息异化环境,准确处理信息异化问题,是我们必须解决的核心问题。
信息安全是信息异化所涉及到的最为敏感且重要的问题之一。关于信息异化在信息安全方面的研究,其采用的处理手段主要集中在信息导航、信息过滤控制以及信息安全保密角度三个方面。信息导航作为展示信息资源内容与结构的基本手段,以有序化的方式体现无序化的信息,为用户提供方便快捷的信息指引;网络信息过滤作为筛选信息、满足用户需求的有效方法,通过运用一定的标准和工具,从大量的动态网络信息流中根据用户的信息需求选取相关的信息或剔除不相关信息;信息安全保密控制的核心在于融合管理、技术、执法几种手段综合加以治理,通过内部网的安全保密技术以及内部网与外部网的防火墙技术隔离技术确保内部网的安全,同时细化电子文件密集,完善身份验证、存取控制、数据完整性、数据机密性、防火墙技术、安全协议等手段,实现信息安全技术的应用。
现阶段对于信息异化中信息安全的研究大多都处于强针对性条件下的研究现状,单一的目的性导致了信息异化影响无法完全消失,信息污染无法被彻底地清除,信息安全依旧得不到完善的保障。因此,本文旨在参照目前信息异化的现状处理的不足,在分析现有的安全保障系统缺陷的条件下,提出一套系统性的安全保障模式。
一、现有的企业信息安全保障系统
目前,国内外与信息异化环境下的信息安全保障相关的系统结构主要为OPSEC安全保障策略和网络信息创新平台。
(一)安全保障策略(OPSEC)系统
OPSEC安全保障策略(Operation Seeurity),是美国国家安全局依照企业反竞争情报的理念设计的一套以分析信息的价值人手,针对信息的价值来确定所要采取的保护策略的安全保障系统。OPSEC的运行机制是通过鉴别和分析竞争对手想要获得的决定竞争成败的关键信息,确定关键信息的危害程度,采取措施进行补救减少威胁,同时对自身信息系统的所有过程进行检验和分析。找到直接危害信息安全的弱点并采取弥补措施,通过对自身弱点的分析,找到弥补措施的平衡点,并最终综合上述所有的环节进行研究,制定出综合应对策略嘲。
OPSEC在通过运用过程中通过全面分析信息找出存在的漏洞,通过分析这些漏洞是否值得保护而进行的筛选信息保护。OPSEC的应用偏重于针对一定信息的异化处理和安全保障,有利于在低投入的条件下从根本上清除相关的信息污染,但降低了针对信息自身的多变性和时效性的异化分析。
(二)网络信息创新平台模式
网络信息创新平台即建立在技术进步基础之上,利用信息科学的基本原理和方法实现人类信息处理扩展的技术模式。网络创新平台的着重点在于虚实与创新有机结合的信息技术模式,从提高信息技术的综合水平上加强安全保密措施。虚实与创新有机结合的信息技术模式,在于针对现代信息技术发展造成信息生产者创新能力的丢失以及虚假信息扩散的现状,发展出的一种将虚实和创新有机结合的信息技术模式,通过信息的时效性、开放性等特征,将各种现实信息紧密联系,实现不同媒介信息的融合,提升信息的创新价值,在信息生产的阶段,由于信息技术的促使信息量逐步提升使得信息在急剧增加的同时质量下降,而提高信息技术的信息加工传递的速率以及信息的辨别处理能力。当今的技术漏洞使信息安全受到了威胁,成为威胁信息安全的隐患。信息系统安全保密技术是防止信息污染发生的一项关键性技术系统,保障信息活动逐步规范化。
网络信息创新平台在理论上建立起了针对信息异化环境的信息安全保障系统,通过从信息的生产源人手,进一步体现信息的本质并兼顾自身的安全保障,对信息的处理和安全保障更加规范化。但目前信息安全的发展缺乏在信息安全应用上的创新研究,研究与应用发展不平衡性,没有覆盖信息安全的主要方向。
二、企业信息安全保障系统构建与分析
(一)核心目标
信息安全保障系统是指在信息环境下由信息安全的各个组成部分相互联系且相辅相成所建立的总体结构。在信息异化的环境下,信息污染将成为信息安全的首要威胁之一,因此对于信息异化的处理将成为信息安全保障的首要工作。
信息安全保障系统能否具有可行性的关键,在于系统自身能否解决异化环境中信息污染的处理问题,以及能否适应当前所面对的各种客观的信息安全保障环境和日益加剧的安全系统漏洞。
(二)企业信息安全保障系统结构构建
信息异化环境下的企业信息安全保障系统(如图1所示),该系统的关键在于将异化后的信息通过信息清理模块的初步处理,使信息的核心价值得以体现,再通过安全保障模块的核心进行分析处理与安全保护模块的信息加密,防止信息受到二次异化,从而使得信息价值得到充分的利用。
(三)企业信息安全保障系统的运行机制
信息异化环境下企业信息安全保障系统的运行机制(如图2所示):将信息异化环境中被异化的信息提取并选择与自身安全有关联的信息进行关键词挖掘,通过对异化信息中的核心词汇进行提取用以找到合适的信息源,同时对同信息源或同类关键词汇进行合成从而形成关键信息并进行分析和制定安全保障策略,最后通过设置的保密措施来对安全保障策略进行实施和成效反馈。因此,该信息安全保障系统中应包含信息清理模块、安全保障策略模块以及自身的安全保护模块三个部分。
(四)企业信息安全保障系统功能分析
1 信息清理模块
信息清理模块主要用以对信息异化环境中受到异化的信息进行初处理,其具体的实施功能为信息源选取、关键词挖掘和信息集成。
(1)信息源选取。对信息异化环境中的信息进行过滤,选取与目前对自身安全有关的信息,并确认信息的信息源。(2)关键词挖掘。通过对与自身安全相关联的信息进行语义挖掘,判断并找出信息中的核心词汇。(3)信息集成。明确信息的信息源,并将其与被挖掘出来的信息关键词进行关联分析,同时通过将信息源所发出的所有与自身目前相关的信息与挖掘LIJ的信息关键词进行匹配,找到合适的信息体进行合成。
2 安全保障模块
安全保障模块是以信息分析,策略制定和实施以及成效反馈为主要步骤来进行的信息安全保障活动。
(1)信息分析。将已经合成的信息进行分析,发现其对自身信息安全产生的威胁,并找到自身信息安全存在的漏洞。(2)策略制定。对信息威胁和发现的信息漏洞进行综合研究,制定}H相关补救策略,同时进一步加强总体性的信息安全保障。(3)策略实施。针对所制定的策略细节进行加密保护,再将加密后的策略信息进行实施和传递存储。(4)成效反馈。基于策略实施后的成效进行反馈研究,并将结果进行加密后返送至信息分析功能板块,通过对反馈的成效分析,查漏补缺,进一步制定和完善信息安全保障策略。
3 安全保护模块
安全保护模块的主要功能是保密措施,其运行机制在于对安全保障模块中保障措施的实施和反馈进行的加密保护,并通过一系列实践活动进一步对策略的实施给予保障。
三、实验分析与验证
(一)信息清理
目前从网络销售平台中,将某手机品牌制造企业生产的E型手机选取三条相关信息:
信息1:本品牌产品本月综合关注排行有所提升;
信息2:此E型手机的总销量为近两百四十台;
信息3:此E型手机本月销量上升一个百分点。
(二)信息挖掘与集成
现分别将以上三条信息的关键词进行挖掘与集成,即如下表所示:
(三)安全保障
根据集成信息进行分析,可以得出本产品具有一定的市场潜力,在品牌效应促使下产品销量也正在逐步提升,因此,保障品牌的可信度以及产品的好评率是取得客户信任的关键一环。针对此现象,制定出进一步打造品牌效应,加强广告宣传力度以及实行产品促销活动,争取更广泛的客户群体的提升策略。
在策略进行的同时,开展有偿回访,积极深入了解客户的内心需求,并针对客户的需求进一步完善产品的功能,并在产品平台的基础上研发功能更加全面的软件,进行升级下载。
(四)安全保护
在策略制定的过程中,为了获取准确的客户信息。需要在客户回访中,深入了解客户购机的背景以及用途,同时进行多层次的交流以及实行多次的效应评估和完善评价。在品牌宣传的过程中实施相关信息的及时反馈,并在促销活动中体现品牌诚信以及公信度,从而进一步保障策略准确的实施和虚假异化信息的有效防范。
四、结论
信息是人及其活动中不可缺少的要素之一。在社会信息环境中,信息异化会促使人们表现出对自己创造的信息环境的不适感。针对信息异化现象的控制,需遵循信息生产、传播和利用的利他法则。因此,信息行为也必须像其他行为一样受道德与法律的双重规范的约束。对于信息异化的控制,需努力寻找其根源,从多个角度进行控制研究,有效控制信息异化。
通过对于目前所提出的信息异化环境下的企业信息安全保障系统的阐述,我们可以从中发现系统性综合性的信息安全保障模式可以在信息异化的环境下,针对特定的信息进行相关异化分析,并在内部和外部环境下的信息综合评价进行安全保护。但作为系统性的运作模式,各模块由于其间特性的不同,从而导致的模块之间的衔接较为简单,因而形成了信息安全保护相对较低、对于个别综合性较大的异化信息所需进行的处理力度略显不够的状况。因此,进一步提升信息安全的防范指数,促进信息异化环境下的信息安全运作系统各模块间的衔接,下一步所需研究的核心问题。
参考文献:
[1]刘丹丹,孙瑞英,网络环境下信息异化的心理原因探析[J]图书馆学研究,2009,33(4)
[2]孙瑞英。信息异化问题的理性思考[J]情报科学,2007,25(3):340-344
[3]曾忠禄,情报制胜[M],北京:企业管理出版社,2000:281-283
[4]俞培宁,信息异化的成因及对策研究[J],图书馆学研究,2011(3):9-11
[5]张立彬,信息异化的根源及其控制研究[J],情报科学,2009,27(3):338-343
关键词:信息安全;信息安全管理
中图分类号:TP393文献标识码:A文章编号:1009-3044(2012)15-3491-03
计算机、网络已经逐渐成为我们工作生活中必不可少的一部分了,企业办公自动化已经成为普遍现象。但是我们在享受信息化带来诸多便利的同时,也要看到信息化给企业带来的诸多不便。2011年上半年,花期银行由于遭受黑客攻击,二十多万客户资料信息外泄,为银行和客户带来巨大的损失,同期国际著名的安全解决方案提供商RSA遭受黑客的恶意攻击,对其超过五百家客户造成潜在风险,给该企业带来高达数百万的损失。信息安全是企业整体安全的重要方面,一旦企业重要的信息外泄,会给企业带来巨大的风险,甚至有可能将企业带入破产的境地。
1企业信息系统安全的发展
随着信息技术的产生,信息系统安全的保护也随之而来,并且随着信息技术的不断更新换代,信息系统安全保护的战略也不断发展,接下来我们可以简要地分析一下信息安全系统的发展历程。
信息系统安全的第一步是保障信息的安全,当时各个电子业务系统较为独立,互联网还不太流行,这时主要技术是对信息进行加密,普遍运用风险分析法来对系统可能出现的漏洞进行分析,合理地填补漏洞,消除威胁,这是一种基于传统安全理念指导下的系统安全保护。
随着互联网技术的深入,信息系统安全开始逐步向业务安全转化,开始从信息产业的角度出发来考虑安全状况,此时的互联网已经成为工作生活的一个组成部分。这时候我们需要保护的不再仅仅是相关信息了,我们需要对整个业务流程进行保护,分析其可能出现的问题。本阶段的安全防护理念关注整个业务流程的周期,对流程的每一个节点进行综合考虑。信息保护在此时只是整个系统安全的一部分,是作为最为基础的防护技术,除此之外,还强调对整个流程的监控,防止某个节点可能出现的不安全因素,一旦出现任何风吹草动的现象我们可以立即予以控制。此外,审计技术在这个时候也被引入,通过对技术操作的跟踪,可以对攻击发起者进行责任追究,对攻击者起到一种震慑的效果。
到目前为止,业务系统的独立性和边界已经逐步弱化,系统间的融合更为常见。以矿业企业为例,在大型集团中,往往存在财务系统、生产系统、销售系统、统计分析系统等,这些系统之间需要相互勾稽,系统与系统之间需要互相取数,因此大量的系统集中到了一个业务平台中,由该平台来提供整体服务。这样的话,我们对于信息系统安全的需求也从单系统向多系统转换,我们在关心单个系统安全的同时,还要对其系统平台服务给予更多的关注。这样的话,企业信息安全也开始由业务流程向服务转换。
2企业信息安全存在的问题分析
信息安全问题我们可以将其进行进一步细分为物理、技术以及人为等三类因素。
首先来看物理方面,物理安全主要指的是机器设备以及网络线路出现的问题。一般企业在进行信息设备设置时最先考虑的因素是人员安全,即在保证信息设备不会对企业员工人身安全造成威胁的前提下再进行设备本身考虑。信息设备一般属于电气设备,容易受到打雷、水电等灾害的影响。如果服务器主机受到严重破坏,有可能导致企业整个信息系统崩溃。相对于其他电气设备而言,信息设备耐压数值比较小,企业需要其持续不断地运行,并且磁场的干扰对网络影响比较明显,这些都对信息设备的物理安全提出了要求,需要防止可能出现的问题。
其次是技术方面,对于大量企业而言,可以分为内部网络和外部网络,内部网络相对安全性较高。对于绝大多数企业而言,局域网都会通过一定途径与外部网相连接。这样内部网路安全性就受到内部网络设备与外部网络进行的沟通的威胁。同时,操作系统的安全以及应用程序的安全都是技术上所面临的困扰。
在操作系统方面,我们的选择比较狭窄,大多数企业只能选择微软操作系统,每个系统都存在一定的漏洞,都会造成信息的外泄。其实操作系统同样是软件,微软为系统安全会不定期推出安全更新与漏洞补丁,虽然我们可以通过系统的Windows Update或其他辅助软件来给系统修修补补,但这还不是100%的安全保证。随着微软在安全技术上的逐渐改进,系统漏洞出现的次数越来越少,现在很多黑客开始把注意力转移到常用的第三方软件上来,也就是要利用这些软件的漏洞来进行攻击。相对于操作系统而言,应用软件方面我们选择性比较大,但目前流行的各种病毒、木马都会给我们企业的信息安全带来极大的影响。
尤其是现在大部分企业都建立有自己的官方网站,保存着企业的重要数据和客户资料等,而如果网站存在一个通用漏洞,就会被恶意的黑客攻击,甚至黑客还会进行木马的上传来得到WebShell,添加隐藏超级账号,使用远程桌面连接等操作,从而导致网络沦落为黑客手中的“肉鸡”。因此,如果使用网站模板代码,必须要时刻关注该网站模板是否有最新的漏洞被曝光,及时到官网上下载并打上相关的漏洞补丁程序。另外,网管务必要有经常查看网站登录日志的习惯,检查后台登录的IP是否有异地的可疑信息,或者是否被添加了异常的管理账号等等,永远绷紧安全这根弦。
对局域网进行妥善管理,让网络运行始终安全、稳定,一直是所有网络管理员的主要职责。为了保证局域网的安全性,不少网络管理员开动脑筋,并且不惜花费重金,“请”来了各式各样的专业安全工具,来为局域网进行保驾护航。然而在实际工作过程中,如果没有现成的专业安全防范工具,也可以利用客户端系统自带的安全功能,保护自己的上网安全。
最后是人员方面,人员是企业信息外泄的重要途径,其中我们可以将其分为两大类,一类是内部人员的泄密。这往往体现在员工将企业核心机密通过硬盘等设备将其带出公司信息设备,并且造成遗失等现象,最终导致公司机密为外界所获取,信息安全受到严重威胁。另一部分是黑客攻击,这类攻击对公司造成的损失非常大。该行为的目标就是获取相应的信息。随着黑客技术的发展,传统的防火墙甚至物理网闸断开都难以完全避免黑客的攻击。目前企业繁多的保护程序对黑客的防护效果不佳,反倒给用户带来了诸多不便。
3企业信息安全改进建议
3.1物理安全防护
网络结构设计直接影响到企业的信息安全,局域网的网络拓扑设计也成了信息防护的关键所在,一般情况下,企业的网络拓扑结构图如下:
图1内部网拓扑结构图
在整个流程中,核心交换机是关键,首先它必须满足国家相关的规定标准,可以承载相应的功能。机房设计要考虑到防盗、防火等,必须实行24小时监控。硬件防火墙是我们进行信息保护的一个重要措施,性能比软件防火墙更为强大,这也决定了硬件防火墙的价格相对而言更为昂贵。硬件加密卡也是我们目前使用范围比较广泛的一个技术措施,它独立于计算机系统,一般难以通过常用的软件模拟方式来对其进行攻击,因此独立性能更高。通过合理配置计算机硬件保护器,我们可以将信息保护的基础工作做得更加有效,能够为控制技术风险和人为风险提供良好的基础。
3.2技术安全
相对而言,技术安全是比较难以处理的,信息技术的发展非常迅速,我们难以面对层出不穷的网络技术攻击做出完全有效的防御,需要及时改变技术防御措施。
3.2.1数字签名和加密技术
在网络中,我们可以不断发展传统的数字签名和加密技术,防止黑客的多种入侵。
我们可以以数字签名为例,通过设定数字签名,用户在进行各种操作时会打上自身的印记,可以防止除授权者以外的修改,能够极大地提高整体的安全系数,抵御黑客的攻击。在这个程序中,我们需要予以关注的是数字证书的获取,一般有以下三个途径:a使用相关软件创建自身的数字证书;b从商业认证授权机构获取;c从内部专门负责认证安全管理机构获取。
3.2.2入侵防护系统(IPS)
传统的防火墙旨在拒绝那些明显可疑的网络流量,但仍然允许某些流量通过,因此防火墙对于很多入侵攻击仍然无计可施。绝大多数IDS系统都是被动的,而入侵防护系统(IPS)则倾向于提供主动防护,其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截,避免其造成损失,而不是简单地在恶意流量传送时或传送后才发出警报。IPS是通过直接嵌入到网络流量中实现这一功能的,即通过一个网络端口接收来自外部系统的流量,经过检查确认其中不包含异常活动或可疑内容后,再通过另外一个端口将它传送到内部系统中。这样一来,有问题的数据包,以及所有来自同一数据流的后续数据包,都能在IPS设备中被清除掉。
3.2.3统一威胁管理(UTM)
美国著名的IDC对统一威胁管理(UTM)安全设备的定义的是由硬件、软件和网络技术组成的具有专门用途的设备,它主要提供一项或多项安全功能。它将多种安全特性集成于一个硬设备里,构成一个标准的统一管理平台。UTM设备应该具备的基本功能包括网络防火墙、网络入侵检测/防御和网关防病毒功能。这几项功能并不一定要同时都得到使用,不过它们应该是UTM设备自身固有的功能。
UTM安全设备也可能包括其它特性,例如安全管理、日志、策略管理、服务质量(QoS)、负载均衡、高可用性(HA)和报告带宽管理等。不过,其它特性通常都是为主要的安全功能服务的。
3信息安全管理
这主要是针对人员管理而设定的,是企业内部管理流程的一个重要方面,这是企业内部管控制度的一个重要组成方面。
每个企业都要有明确的硬件设备管理制度,专人负责保管,监督审查,确保硬件使用的合理和安全性。其次要对操作人员进行足够的培训,要求每一个使用人员都了解应当进行的合理操作,明白可能存在的网络安全隐患。第三要对数据保管有明确的责任和制度,防止大量数据的丢失,导致公司整体系统瘫痪。
为了进一步加强和规范计算机信息系统安全,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室于2007年6月和7月联合颁布了《信息安全等级保护管理办法》和《关于开展全国重要信息系统安全等级保护定级工作的通知》,并召开了全国重要信息系统安全等级保护定级工作部署专题电视电话会议,标志着我国信息安全等级保护制度历经十多年的探索正式开始实施。
建立计算机信息系统安全等级保护制度,是我国计算机信息系统安全保护工作中的一件大事,它直接关系到各行各业的计算机信息系统建设和管理,是一项复杂的社会化的系统工程,需要社会各界的共同参与。大中型企业应该认真学习《信息安全等级保护管理办法》及相关技术标准规范,大力开展培训工作,落实好信息网络安全管理、安全技术、信息安全等岗位人员的继续教育培训,不断提高信息安全等级保护的能力与水平。
4结束语
在我们进行企业信息安全管理过程中,企业及企业员工是否对信息安全工作有足够的认识十分重要,企业领导和上层应该对企业信息安全工作给予必要的关注,企业信息安全不能仅仅依靠专业的IT技术人员,它需要我们全体企业员工的共同努力。
参考文献:
[1]孙博.企业信息安全及相关技术概述[J].科技创新导报,2009(04).
[2]徐国芹.浅议如何建立企业信息安全体系架构[J].中国高新技术企业,2009(5).
[3]王东.“北京移动案”暴露信息安全管理软肋[J].中国新通信,2006(6).
[4]吴辉.浅谈企业信息安全管理方案[J].科技情报开发与经济,2010(25).
[5]徐新件,朱健华.关于企业网络信息安全管理问题研究[J].供电企业管理,2008(2).
[6]汪红梅.我国信息安全保障体系存在的问题及对策刍议[J].信息网络安全,2008(2).
[7]盛玉.档案信息安全与安全保障体系内容的关系分析[J].网络财富,2009(12).
关键词信息安全;等级保护;系统管理水平;思路与机制
现代企业信息系统在取得飞速发展的过程中,也普遍存在着一系列的安全故障,这些安全问题存在于信息系统运行的各个阶段,比如在规划阶段缺乏对于信息系统的整体安全保护意识,就会直接影响到设计阶段安全方案的有效实行。其次在正式上线运行之后,缺乏对安全测试机制的设置以及各项等级测评和运行环境测试的忽略,将对企业整体信息系统造成危害。因此我们必须从信息系统规划的整个生命周期出发,不断加强安全等级保护意识。
1信息安全等级保护管理的提升思路
(1)信息安全等级保护的管理现状。随着现代信息社会的智能化飞速发展和人们对工作高效性的不断追求,企业信息系统的发展取得飞速进步,但是不可否认的是信息安全等级相关措施的设置仍存在着一定缺陷,主要体现在首先企业信息系统在规划设计阶段过于侧重专业应用功能的效能发挥和实际应用,而在很大程度上忽略了信息系统安全保护和等级设置的巨大作用,因此在具体的设计方案上也就缺少相关配套安全措施的同步规划设计。其次就体现在测试和正式上线运行阶段,没有建立十分完善的安全性测试机制,因此关于一系列的测评环节也就失去了具体的实际意义。关于恶意软件代码的审查、源代码的后门查询认证以及相关关系统漏洞的查找和运行等级测评等安全隐患环节,都难以实现正常环节下的系统维护。以上关于企业信息系统运行过程中存在的安全故障,要求相关技术人员必须通过安全等级设置和维护不断提升信息系统的安全建设,为实现信息网络社会的长远发展提供安全保障[1]。
(2)提升信息系统安全等级保护的具体思路。众所周知企业信息系统的生命周期包括规划、设计、开发、测试、实施和应用上线与上架以及运行维护等环节,而要想不断提升信息系统安全等级保护水平,就必须将其五个工作阶段,也就是定级、备案、安全建设和整改信息、安全等级测评以及信息安全检查融入信息系统的生命周期中。还要根据目前信息系统管理过程中存在的一系列问题,设置安全等级保护的重点内容,最大程度上降低安全隐患,为信息系统的安全稳定运行提供基础保障。
首先是企业信息系统的规划阶段,技术人员要从企业具体实际情况出发,计算相应的信息安全等级开发和维护的费用清单,为后续的规划设计和运行维护提供物质上的保障。还要对相应的信息系统安全等级管理的整体体系和工作任务以及具体流程进行宏观上的规划,为后续的等级设计和系统维护提供保障。接下来是设计阶段,系统建设部门要根据公司的具体要求组织设计方案,并提交相关部门审核通过。对于需要设置安全等级保护的系统来说,在定级之后系统建设部门人员要对系统运维和开发单位进行合理组织,科学设计安全等级保护总体方案和相关的运行维护规划。在开发阶段,系统建设部门作为用户方必须严格遵守相关的规范来进行等级设置和运行维护。在具体过程中要绝对使用正版合格的操作系统、并严格检测强口令和系统测试的合格证明,从而有效保证信息安全和等级管理过程中的有效性和实用性。在测试阶段,主要侧重于对安全等级保护管理工作和安全测评进行合理有效的评估。在这一过程中仍然涉及对国家相关法律规定的遵守和行业标准的执行,在必要条件下要向当地公安机关进行备案。接下来是安全等级保护的实施和上线运行阶段,在工作过程中系统介绍部门要合理敦促有关机构和部门合理维护等级保护管理工作的进行,对测评整改的工作成果进行合理验收。并且还要在最大程度上实现安全等级工作对信息系统整体的安全维护和故障排查,为实现企业信息管理的科学性提供基础的智力保障[2]。最后是关于信息系统的运行维护阶段,运维阶段是安全等级保护的关键输出阶段,要本着“谁主管谁负责,谁运行谁负责”的原则,对相关的安全隐患进行分配和整改。此外对于信息安全等级保护中的关键环节,也就是数据备份、安全隐患分析排查等要分配专门的技术人员进行跟踪,确保企业运行的长远性。
2设置安全等级保护管理下的信息系统工作机制
首先是信息安全考评机制的设置,这一环节的工作过程指的是由信息职能部门对公司的各项信息专业工作进行合理的检查和考核,根据具体的安全等级分配实施效果和开展情况,对相关部门和机构进行评估。并将评估结果进行反馈和整改,这样就建立了完善的信息管理系统的监督和评估制度,更有利于企业合理的绩效分配和长远的发展。其次是信息安全等级的协同机制,这个主要通过建立明确的信息化领导小组来协调实现。通过具体文件来明确信息安全工作的职责和具体环节的任务分配,不断明确信息系统测评和评估过程中所发现的问题,通过协调配合不断建立完善的安全整改方案,并交由相关部门进行落实。最后是例会机制,通过开展定期例会的形式来对信息系统安全等级保护过程中存在的相关问题进行系统探讨,集中开展相关的信息保护提升会议,为最大程度上改善企业信息管理系统运行过程中存在的故障问题提供解决方案[3]。
3结束语
安全等级管理需要相关的工作机制来进行维持和保障,比如相应的例会机制、协同机制和考评机制就在很大程度上优化了等级保护的整体水平。通过过程渗透和机制维护,不但加固了信息系统的安全防护水平,而且还有助于企业整体管理效率和质量的提升,从而为企业经济收益和社会影响力的提升提供了基础保障。
参考文献
[1] 周寅晴,欧阳资春.浅谈信息系统安全等级保护测评的实施管理[J].数字通信世界,2018(8):155-156.
[2] 王丙飞. 信息系统安全等级保护综合管理系统设计与实现[D].北京:电子科技大学,2017.
一、企业信息化建设过程中信息安全的问题
一般情况下能造成企业内部信息安全问题的原因分为外部原因和内部原因,可是不管是内部原因还是外部原因都会对企业的信息系统的安全带来隐患。
1.1企业内部因素
第一个方面是企业的信息安全意识不强,虽然是现在有很多的企业加快企业内部信息化建设的进程,但是有些企业只是在表面上看到信息化建设所带来的优势,而信息化建设当中的安全问题并没能够引起企业的足够重视,所以在信息化建设的过程中比较容易出现安全隐患。第二个方面就是我国的安全软件还是比较落后,虽然国内计算机软件技术在快速的反战,可是与一些发达的国家相比还是存在一定距离,第三个方面在管理操作方面存在问题,现在有很多的企业对于自己企业内部的信息安全问题还存在不够重视的问题,在企业信息系统的管理上不够谨慎,这就会被不法分子和黑客进入的机会,造成了企业的主要信息被盗取。第四个方面缺少优秀的专业管理团队,企业信息的系统安全是前期的制定和日常系统安全的维护以及日后都是由专业的人员来进行操作,所以相关的技术人员都必须具有很好的素养和贤能的技术,第五个方面法律法规的不全面。现在我国与企业信息安全问题的法律法规不全面这就造成企业内部信息被盗取不能得到相关的赔偿。
1.2企业外部因素
现在企业信息安全系统的威胁主要来自于外部的因素,随着我国经济社会的飞速变化,在竞争激烈情况下信息是非常重要的,大昂仁会有很多的不法分子会利用各种手段来盗取企业的信息为自身得到利益。还有些企业在于对手的竞争过程中使用不正当的手段来击垮对手保证自己企业的利益。
二、企业信息化建设过程中的信息安全与对策
在我国社会经济快速发展的今天,企业信息安全对于一个企业的发展是非常具有意义的,企业的信息被盗取和泄露会给企业带来很大的损失,所以说企业对信息安全问题必须要有足够的重视。有的企业已经做好了信息安全的必要工作就应该更加注意安全软件并不是时时刻刻都能做好安全的保护,做好安全保护还要加强管理。
2.1确保正确的安全意识
一个企業在信息化发展的过程中,应该认识到企业信息的安全问题和企业发展相互的关联。如果企业的重要内部信息被盗取或者泄露那么对于企业所造成的打击是非常大的,而与此同时也是给了对手创造了很好机会。所以确保正确的安全信息意识对于一个企业来说是非常重要的,也是为了以后给企业的各项工作打下了很好基础。
2.2选择安全性能比较高的软件
其实任何软件都不是牢不可破的,可是对于安全性能比较高的软件,如果说破解的话难度还是相当高的,所以企业选择安全软件的时候要选择安全性能高的,不要为了节省一点企业的支出而选择使用安全性能差的保护软件,一旦出现问题所造成的企业损失价值会大于软件的价格。
2.3加强企业网路管理
很大一部分的企业信息被盗取都是不法分子通过网络进行的,所以说必须要对企业的网络管理进行加强,这样才能确保企业信息系统在安全的状态的情况下运行。对于信息安全的种类和等级的高低来进行制定合理的方案,并且提前做出如果发生特殊情况下怎么进行处理的方案。如果说企业的信息安全发生危机的时候,企业应该快速的组建处理小组,针对信息安全危机的步骤处理并且做好危机处理的工作,还要避免出现由于处理不当而产生的各种情况。
结语:以上所述是企业信息化建设过程中所必需要面对的问题,一个企业的信息安全建设应该先从管理开始,必须做到以防范为主要,必需制定有效的安全防护把安全的风险降至最低。在现在经济发展的快速时代,企业信息的安全问题决定着企业的安全运营。
参 考 文 献
[1] 原黎. 探析企业信息安全问题的成因及对策[J]. 现代工业经济和信息化. 2011(08)
[2] 张耀辉. 关于企业信息化建设中的信息安全探讨[J]. 电子技术与软件工程. 2013(14)
[3] 赵晓华,陈秀芹,周文艳,夏莉莉,李建忠. 网络环境下河北中小企业信息安全问题研究[J]. 科技资讯. 2013(31)
范的遵循、通过一些技术手段能够给予解决。
其次是规范,目前国家对于不同的行业有分级保护、等级保护制度,明确了对系统及管理的安全保护要求。企业也有一些合规性法案要求、在进行系统规划和建设的同时,应将信息安全的保护措施作为必要的内容进行考虑。
最后是技术,当前针对数据加密和文档防泄密保护、行为审计等安全问题都有一些成熟可用的解决方案,无论是政府部门还是企业都可以采用一些技术手段来和管理需求结合,降低信息安全引发的风险。
文档泄密的主要途径
据了解,大量文档信息泄密事件的出现主要有两方面的原因:首先是大量的信息安全事件,呈现出商业利益驱动的现象。不论是木马病毒的黑色产业链,还是银行系统内部人员的储户信息主动泄密,都有后面的商业利益驱动。而且随着商业环境竞争的日益激烈,这种信息安全的威胁还会持续和加剧。
其次,信息泄密在向更加专业化犯罪的趋势发展。从木马病毒、钓鱼网站的不断出现,再到运营商后台密码被攻破,这些灰色事件的背后,都有专业的人员和组织。这给信息安全防范带来更高的要求。
据时代亿信技术总监李兆丰介绍,信息安全威胁不仅成为困扰个人隐私保护和企业发展的问题,也成为阻碍我国电子商务产业繁荣、云计算推广、移动互联网应用的一个关键问题。
根据时代亿信近年来的研究结果显示,目前文档泄密的主要途径有4种:计算机上木马、病毒的恶意窃取;员工对于网络、存储介质的违规使用;内部员工、管理员的主动泄密;笔记本电脑、移动硬盘维修、丢失过程中导致的泄密。
针对这些泄密的途径,时代亿信文件盾系列产品采用如下技术有针对性地进行了解决:通过对文档加密,防止传输、存储过程中的泄密;在计算机上进行可信进程控制,防止木马、病毒等的恶意窃取;建立安全的身份识别机制,确认对文档当前操作者的身份;对文档实现细粒度权限控制,防止内部员工的被动、主动泄密;灵活的离线控制策略,实现对文档脱离网络后的控制。
从目前国内文档安全产品的竞争格局来看,主要有如下三类:第一类是国外技术产品,比较典型的是微软的RMS文档权限管理系统以及EMC的Documentum IRM;第二类是国内企业的DRM文档安全管理系统产品,这里既有进入较早的前沿科技、亿赛通等专业厂商产品,也有老牌信息安全厂商像天融信、启明星辰、中软、时代亿信等OEM或自主研发的文档安全产品;第三类是针对CAD、PDM等设计类应用的专用加密产品。这些大都是专注于CAD应用的传统厂商开发的针对设计软件的加密产品。
而从目前我国文档安全市场的发展来看,国外的产品由于理念、文化的差异,在国内市场的推广和实际应用效果并不理想。而国内产品更注重国内企业的企业文化,更加贴近国内企业的需求,由国内厂商提出的基于文件透明过滤驱动实现的自动加解密技术成为目前市场的主流产品。随着一些传统安全厂商进入这个领域后,能够结合其在传统4A安全领域的优势技术,形成一整套从外到内的信息安全整体解决方案,进一步推动了文档安全市场的成熟和发展。
文档加密技术的优势与挑战
据李兆丰介绍,目前对于一般企业文档安全的建设,应该不单单只是上了一套产品,而是需要建立企业文档安全管理的规范,并且这个规范能够随着企业安全需求的变化而变化。评价文档安全建设是否成功的一个方面就是所建立的文档安全管理规范是否适合企业。
他说,企业安装使用文件盾产品的主要优势在于:既可以根据用户需求,提供个性化、模块化的产品功能,还创新性的实现了一些主流第三方应用的成功集成,帮助企业建立整体的文档安全服务体系。文件盾按照用户的需求,划分为自动加密(A)、权限管理(R)、应用集成(M)、加密网关(G)、外发控制(S)、文件保险箱(T)等6个产品型号,既可以独立又能结合使用。特别是在应用集成方便,根据用户的实际需求,能够和主流的门户、OA、KM等产品进行融合。还创新性的实现了SVN、虚拟桌面环境、移动终端下的文档安全保护。
2011年民生银行总行成功实施了文档安全管理系统。全行装机量10万多客户终端,其门户、OA、知识库系统全面和文档安全进行了整合,在一年的时间里共有加密的文档300万条,有力的支撑了用户的信息安全保护需求。民生银行最大的特点是把文档安全系统建设成为企业内部的文档安全服务体系。在后期的建设过程中,逐步把SVN服务器、Citrix虚拟桌面应用等一系列应用纳入文档安全保护体系中,实现了企业信息安全保护的可持续发展。
随着我国经济和科技的进一步发展,企业的种类以及数量逐渐地增多,互联网的发展逐渐渗透到我们的工作和学习当中。同时,我国的企业工作和自身项目的开展已经逐渐摒弃了传统的发展方式,现代化的企业主要依靠网络来进行自身的发展。网络技术固然给我们的工作和学习带来了极大的便利,甚至改变了我们的生活方式,但是,互联网安全问题却越来越受到人们的重视。企业信息也受到来自于互联网的威胁。本文基于这样的背景,探讨了在当前的时代下,企业怎样加强自身信息的保护和防护。
关键词:
网络时代;企业;网络信息;加密;防护研究
0引言
我国在进入21世纪之后,各方面都在飞速地发展,经济、科技和教育等行业都在进行相应的改革,以适应社会的发展。计算机技术在工作和生活中逐渐得到普及。许多的现代型企业为了提高自身的工作效率,及时抓住时代的发展机遇,纷纷开始依靠网络技术来构建自身的信息以及业务的运用和服务的系统。这样的改变使得企业在信息交流、资源共享、信息服务的方面有了更加快速的发展,提高了工作的效率。但是,互联网也给企业的信息安全带来了一些问题,由于当前的企业对于自身的信息安全没有给予足够的重视,导致其信息系统受到影响。下面我们来探讨一下。
1企业信息安全风险原因分析
1.1首先是企业自身的原因
企业的计算机管理人员对于企业的计算机缺乏必要的监督和管理。企业的领导者对于网络的使用给企业的运行带来的方便快捷较为重视,但是对于计算机带来的一些安全隐患却不够重视,而且,据笔者研究调查发现,企业的管理者对于企业的信息安全的投入以及相应的信息防护管理无法满足企业信息安全的要求。管理者的忽视,在一定的程度上导致在整个企业中普遍存在侥幸心理,员工对于网络安全的意识也比较淡薄,没有形成积极防范和应对的网络安全意识,更别说自觉地提高网络监测、防护和抗击的能力了。
1.2物理方面的原因
(1)企业计算机场地
企业的计算机应该对安全有一定的要求。一些必要的网络线缆以及各种通讯设备等设施都有可能因为电磁场、地震、狂风等恶劣的环境因素以及其他人为的因素而发生损坏。由于企业对于各种自然灾害以及电磁干扰等物理因素的威胁的预测是不太可能的,所以,这样的物理因素会对企业信息安全产生直接的影响。而且,我们都知道计算机的电源保护和接地保护一样重要,一旦电源出现了故障,很有可能直接导致企业信息的破坏或者是丢失,给企业带来不同程度上的损失[1]。
(2)企业的计算机出现故障
计算机的主要部件的运行情况同样也会对信息数据的安全性产生影响,当前的互联网技术比较发达,难免会有一些不法分子对计算机的运行进行非法的操作,给企业的发展带来影响。所以,企业的管理者对于计算机的可靠性应该给予足够的重视。此外,对于企业的计算机自身的各个部件的防盗以及防老化的措施,企业的管理者或者是相关的负责人员都不能够忽视。
(3)计算机的移动存储会带来相应的危害
随着时代的不断发展,当今的各种移动存储设备比如移动硬盘、MP3等由于其携带方便受到企业的足够重视和欢迎,在企业中大量地使用。但是,即使是这样的移动硬盘,也不可避免地存在着一定的安全风险,有的移动硬盘生产商为了牟取暴利,生产的硬盘不符合相应的标准。如果企业在使用的过程中,对于这些移动硬盘缺乏必要的设备监管以及安全的监督,很有可能会造成企业的计算机感染病毒,严重时还会导致数据的泄露。
1.3技术方面的原因
计算机系统以及使用的软件存在漏洞。当今的时代,各种各样的操作系统被使用者不断地曝出漏洞,相应的各种各样的病毒也不断地被发现。这对企业内部计算机的安全保护以及修复的工作提出了更高的要求。另外,很多企业使用的软件会预留“后门”,这些“后门”主要是软件公司的工作人员考虑到软件在运行之后的扩展和维护而预留和设置的,一般不会告知外人。因为这样的“后门”一旦被打开,就会成为非法的攻击者进行网络系统攻击和破坏的途径[2]。
2企业网络信息加密与防护措施
2.1对信息数据进行加密的处理
企业想要为自身的计算机信息安全提供切实可靠的保障,首先就需要对传输的信息进行加密处理,为信息的安全提供相应的保护。企业对相关的文件或者是资料进行一定程度的加密处理,能够为信息以及数据在传输中其内部数据的安全传输提供可靠的保障。如果在传输的过程中,一旦出现了传输信息数据的丢失情况,不法分子也无法将这些加密的文件打开,因而更不能对于文件中的信息进行非法利用,这在很大程度上保证了企业网络信息的安全。对文件或者数据进行加密处理能够对存储系统的安全性提供有效的保障,从而进一步提高企业网络信息的安全[3]。
2.2充分利用有效的软件对网络病毒进行抑制
互联网的安全威胁在一定的程度上会直接对计算机系统中的信息安全产生影响,从而对于企业的信息安全也产生影响。我们都知道,互联网的技术与计算机的技术之间是相辅相成的关系,这两者都对人们日常生活以及学习和工作产生很大的影响。也正是由于这种关联性,如果计算机的网络系统受到病毒软件的入侵,那么很有可能会导致整个网络系统出现瘫痪的现象。而且,计算机系统一旦出现病毒感染就会对整个系统产生影响,对计算机的系统造成破坏的同时,还会出现用户信息泄漏甚至是丢失的情况,而且信息安全的问题也会带来经济损失。所以,经过上述分析,我们必须要对计算机病毒的防控加大控制和防护措施。通过在计算机的信息系统中应用一些有效的防控措施可以在很大的程度上防范计算机病毒的入侵,从而有效地提高企业计算机网络信息安全。在人们日常对于计算机的应用过程中,也有许多常见的对病毒的防控软件。经过统计,在人们日常的网络应用中,使用较为广泛的病毒防控软件主要有:360安全卫士、电脑管家以及金山毒霸等等。这些软件在一定的程度上能够针对用户计算机系统在运行中出现的病毒进行实时地查杀,并且还能够及时提醒用户了解某种病毒带来的危害,确保在提高用户网络系统操作规范化、标准化的同时,还能够降低计算机病毒的发生率。另外,随着时代的不断发展,计算机生产和设计的人员在计算机系统自身的研发和制造中也已经开始对计算机系统的防护能力进行重视。例如微软windows的系统其本身就存在针对病毒的入侵采取的防范措施。这样,在企业网络信息安全的防护过程中,有了这样的技术,就可以对计算机的应用进行相应的过滤、对陌生用户的访问控制以及对一些计算机安全扫描等等,通过这样的防护措施,可以有效地防范计算机病毒的入侵,提高企业网络信息的安全[4]。
2.3对企业信息的网络信息进行强制的安全保护
要想进一步的对企业的网络信息安全进行提高,强制性的安全保护是重要的一个环节。在对企业进行强制的安全保护中,企业一定要进行自身网络信息的认证应用。但是,我们在实际情况中发现,并不是所有的信息都要通过企业计算机的同意。特别是随着网络的不断发展,一些非法的后台开始出现,这样的情况更加提高了计算机网络信息的应用风险。如果在这样的系统应用中,企业的信息出现一定的泄漏,那么企业将会直接受到信息安全的威胁。所以,我们必须强化企业网络信息的审计,提高企业网络信息安全认证的有效性和精确性,这样能够对一些非法的用户权限进行有效的控制,降低非法后台恶意操作企业网络信息的风险。
综合上述讨论,我们对于企业在当前这样的网络时代下如何对自身网络信息进行加密和防护进行了深入的研究。对于企业当前网络信息安全中出现的问题的原因进行了详细的分析。此外,提出了相应的防护措施,这在一定的程度上会提高企业网络信息的安全性。信息的泄露会对企业的发展带来巨大的损失,对现代型企业的成长带来阻碍,所以,企业的管理者一定要重视自身网络信息的安全。
作者:孙申雨 单位:罗普特(厦门)科技集团有限公司
参考文献:
[1]林莉.企业网络信息防护及加密技术研究[J].网络安全技术与应用,2016.
[2]张锐军.企业网络信息安全与防护[J].计算机安全,2011.
关键词:信息安全;企业管理;经济信息管理
中图分类号:F208 文献标志码:A 文章编号:1673-291X(2017)08-0147-02
高效的经济信息管理是企业不断发展的重要保障,而要想实现高效的信息管理,对信息安全性的管理与控制是十分重要的一个因素。近年来,随着科技与管理理念的不断丰富,对信息管理中的信息安全性控制也在不断强化并起到了一定的作用。但是,由于企业信息管理涉及的因素较多,导致目前仍旧存在一定的安全隐患。因此,有必要对企业的经济信息管理中的信息安全进行分析与探讨。
一、企业经济信息管理的信息安全存在的问题
(一)企业管理力度不足
企业管理力度不足是信息管理目前存在的普遍问题,也是导致企业信息管理存在安全隐患的主要原因之一。一方面,部分企业将管理重点放在了人员管理与财务控制方面,忽视了对经济信息安全的管理与控制;另一方面,部分企业的管理人员由于专业素质与工作经验的缺乏,对信息安全管理没有采取科学的方式方法,导致信息安全管理难以充分发挥其作用与价值,进而导致信息管理存在一定的安全隐患。总之,管理人员与管理制度是导致企业管理力度不足的重要因素。
(二)缺乏总体规划
在企业管理中,对经济信息的管理涉及到许多因素,所以高效的管理需要一个科学的总体规划。对于企业来说,经济信息管理不是单个部门或人员的工作,而是需要整个企业人员都具有信息保护的意识。但在实际工作中,由于工作内容具有一定的差异性或工作重点不同等原因,使得不同的员工与信息安全的意识程度不同,所以管理效果也难以达到最佳状态。考虑到这些问题,企业在进行经济信息管理时就需要制定一个整体规划,但许多企业在这方面的工作力度仍有不足。
(三)对信息安全不够重视
随着我国经济的不断发展,市场竞争也越来越激烈,此时保证企业的经济信息安全是管理中十分重要的一部分。但是,在实际竞争中,许多企业对经济信息的安全保障意识不够强烈。只是单一的对市场信息进行分析,而没有完善的管理系统,难免会导致信息储存或管理出现一定的问题,甚至造成企业关键经济信息的泄露,给企业发展带来不可挽回的损失。另外,信息管理中管理人员作用的发挥也非常重要。部分企业没有重视到这一点,管理人员的管理能力提升速度较慢,导致安全隐患的存在。
二、对企业信息管理安全产生影响的主要因素分析
(一)环境因素的影响
由于市场竞争比较激烈,许多企业将管理重心放在了市场拓展与产品优化等方面,出现了先重视产品与业务,再考虑信息安全的现象,导致信息安全管理滞后于业务的进行,产生一定的安全隐患。这是外部环境的影响,内部环境对企业的信息管理也有着一定的影响。企业的业务流程对信息管理体系的设置与实施有着一定的影响。此外,部分企业虽然重视对信息安全的管理,但由于防范体系的不够完善等原因,使得安全责任没有落实到具体,这些都是导致经济信息管理存在安全隐患的因素。
(二)人为因素的影响
人为因素的影响主要是指经济信息管理人员的工作能力与工作态度等因素的影响。一方面,安全管理人员是接触机密信息的直接人员,这部分工作人员若是出现刻意泄露或工作疏忽等现象,极易导致企业关键经济信息的泄露,给企业带来不可挽回的损失,影响企业的稳定发展。另一方面,技术人员也是人为因素中的重要部分,技术人员主要对相关设备进行管理与维护,也能够直接接触到关键信息。需要S护的设备较多,但部分企业为了节约人力成本,让同一个技术人员负责多个设备的维护,导致技术人员的工作难度增加,进而影响其工作效率。
(三)技术因素的影响
信息安全技术是保证信息安全的重要因素,也是企业在这方面管理中比较重视的一部分。具体来说,技术因素对信息安全的影响主要体现在以下两个方面:一是软件方面影响,包含了设计漏洞或技术缺陷,以及杀毒软件更新较慢或临时发生的运行故障等问题,这些都是对信息安全管理产生影响的因素。二是信息管理体系的设计方面,包含了风险评估数据、业务流程数据、测试数据、访问权限设置以及对信息资产的保护程度等。这些因素导致信息管理体系存在必然的安全隐患或漏洞,而这些漏洞将会为整个企业管理带来严重的不利影响。
三、强化企业经济信息管理中信息安全的必要性
(一)企业信息管理的主要特征
企业信息管理的特征主要包括三个内容:第一是具有保密性,这是信息管理的基本特征,也是信息管理的基本要求。各个部门负责的事项不同,部门人员只能获取应当了解的信息,而不能越权了解其他私密信息。第二是完整性。保证经济信息的完整是企业信息管理的基本原则,只有保证信息具有基本的完整性,才能更加精准地获得数据价值,从而发挥其作用。第三是可用性。只有具有较强的可用价值与企业的私密信息,才具有一定的安全保护价值,才能在企业发展中发挥其本身的作用。
(二)强化信息管理安全的必要性
正是由于经济信息具有的这些特征,才使其有了明确的强化必要性。首先,强化信息安全的管理有助于保证数据的保密性与完整性。只有保证信息的完整与私密,才能促使其在企业竞争中充分发挥价值。其次,信息的高效运用与价值发挥的实现,本身就需要一定的网络条件,而网络环境比较复杂,所以对数据的安全保护就显得十分关键。例如,不法分子的信息盗取、网路黑客的恶意攻击等,都是影响信息安全的因素。所以,对信息安全管理进行加强,是企业实现进一步发展的重要手段。
四、提高企业经济信息管理安全性的建议
(一)健全经济信息体系的安全保障
构建健全的经济信息体系的安全保障,是实现高效经济信息管理的重要前提,也是实现信息管理制度能够稳定发展的重要条件。在健全管理体系的保障过程中,最为首要的任务,即是在系统设计过程中就强调安全性。
从目前来看,由于市场的宽容度逐渐升高,越来越多的企业参与到市场竞争中。由于部分企业对信息安全的认知不够明确,或者管理制度不够合理等因素,导致其经济信息管理制度本身就存在一定的安全隐患,不利于企业的发展。因此,企业需充分明确自身实力与发展情况,确定当前发展中的关键,设计针对性的安全管理制度。具体来说,企业可加强对进入内部信息系统的准入设置与权限、增加必要的保护屏障技术等。另外,还可借助科学技术与计算机技术,将指纹识别等运用到信息管理中,以保障管理制度的安全性。
(二)提高工作人员的工作能力
企业重要的经济信息泄露,其中一个关键的原因,即是工作人员的刻意为之或工作疏忽导致的。因此,在企业的经济信息管理中,提升工作人员的工作能力与安全意识是十分有必要的一项措施。一方面,企业可加强对管理人员的培训,促使其对信息安全有明确的认识;同时,还可借助培训,提升管理人员的管理能力与风险意识。另一方面,管理责任的落实也十分重要。企业的经济信息涉及到许多企业的重要信息,要在日常管理者中将管理责任落实到具体,进而提高工作人员的管理责任心。此外,提高管理人员的职业道德以及综合素质等,也是一个比较有效的方式,能够在一定程度上提高企业的经济信息管理效率。
(三)强调对硬件的安全管理
在信息安全这个问题上,管理设备与硬件条件的强化是必不可少的一部分。可以说,硬件设备是高效的信息安全管理中的重要基础。
首先,针对企业的实际情况,可淘汰一部分功能比较传统的设备,购进更先进、安全保障程度更高的设备,进而促使设备在信息安全管理中充分发挥作用。
其次,在运用过程中,随着运用时间的增长硬件设备的损耗程度也更大,所以对硬件设备的维护工作必须得到重视。企业可安排专门的维护人员,定期对设备进行检查或零件更换,避免因硬件系统而导致的信息泄露等问题。同时,还可对维护人员进行培训,以提高其技术水平。此外,合理的安全屏障与接入控制、禁止未授权访问或下载文件等措施都是硬件强化中的重要方法,能够在一定程度上加强对经济信息的安全保障。
(四)健全企业信息安全管理制度
企业信息安全管理制度的完善,是保证企业经济信息管理安全性的重要因素。从企业管理的角度来讲,企业对经济信息进行的管理是根据本身的信息安全需要、业务分析以及风险预测等的结果,并结合科学技术与计算机技术实现的信息管理。构建完善的信息管理制度,能够为信息管理提供包括设计、运行等各个方面的安全保障,并有效避免因安全隐患导致的各类安全事故。一方面,企业可建立起相关的安全管理w系与防范制度,加强对关键数据的保存与备份,以保证在发生安全事故时能够及时进行弥补,避免业务受到影响,进而将企业的损失降到最小程度;另一方面,还可建立起集中的管理控制体系,将经济信息进行综合管理,并借助企业内部的管理平台对其进行管理。
结语
据上述的分析可知,强化企业经济信息管理中的信息安全,不仅是推动企业不断发展的重要方法,更是推进我国企业管理理念不断完善的重要手段。通过健全经济信息体系的安全保障、提高工作人员的工作能力、强调对硬件的安全管理,以及健全企业信息安全管理制度等方式,从企业管理的各个角度强调了信息安全的重要性,在一定程度上提高了企业信息管理中的信息安全。
参考文献:
[1] 马志程,张磊,王琼.基于ISO/IEC17799标准体系的企业信息安全管理新模式[J].电力信息与通信技术,2016,(1):80-83.
[2] 梁俊荣.基于信息安全的企业经济信息管理探讨[J].信息化建设,2016,(5):335.
[3] 刘晓松,郭玲玲.基于管理因素的企业信息安全事故分析[J].企业经济,2013,(1):55-58.
关键词:企业内网;信息安全管理系统;设计;研究
网络信息和计算机技术发展的背景下,为人们的工作带来极大便利性,然而由于信息出现泄露的情况十分严重,这使得企业蒙受严重的损失。因此,这就需要企业不断加强对信息安全的管理工作,从而更好地保护企业信息的安全性。尤其是企业中财务信息、高层机密决策以及技术信息等更是需要加强管理,这能够充分保障企业发展所需要的优势资源。本文重点分析企业如何设计信息管理的系统,进一步提升企业中信息管理的可靠性。
1阐述企业内部对信息管理的情况
1.1企业缺乏监控体系
目前,许多企业中在内部网络和外部网络之间的连接处基本依靠防火墙进行控制,而对企业中员工的上网行为则主要是依靠访问管理的方式进行控制。然而这些防护方式并没有对企业内部信息实施有效的监控[1],一旦受到来自外界干扰或者是外界系统对公司的入侵,极易造成企业中的信息发生泄漏的问题,因此,为了能够更好地管理企业信息,就需要不断提升监控能力。
1.2企业缺乏安全管理机制
这主要表现在企业中没有一个安全管理的机制,企业中对信息安全管理还处于初级认识阶段。因此,在管理工作中没有严格地监控机制,从而导致了企业中的信息安全存在较大的威胁性。然而尽管有的企业对信息管理采取一定的措施,然而在管理方面的力度不够,尤其对企业员工的管理没有十分明确的制度规定,这一方面导致了企业员工对信息安全的认识度不高,另一方面对信息安全的保护力度不足,使得企业内部信息受到极大的威胁。
1.3企业缺乏应急流程
目前,企业在信息安全保护工作中没有一套有效的应急流程,一旦企业中发生信息问题,难以找到有效的负责人,这不仅没有有效管理信息,而且也难以防止类似信息问题再次发生[2]。尤其是信息管理的机房以及子系统中,实施远程控制没有取得显著的效果,而发生信息问题时,也不能及时上报,从而延缓了信息问题处理的良好时机。
2分析安全隐患
2.1操作系统存在安全隐患的问题
这主要是由于企业中许多员工在工作中操作系统方面没有十分注意信息安全的问题,并认为只要电脑能够正常使用,并且不影响自己的工作情况即可,而较少考虑自己信息安全方面的问题,所以这就导致了需要操作中出现信息泄露的问题,例如从不同的端口中出现黑客入侵的情况,从而导致了信息安全受到较大的影响。
2.2应用系统存在安全隐患的问题
由于企业中各个不用的工作种类对信息的需要量不同,因此,在信息管理方面也出现需要一定的困难,因为工作中所涉及的应用系统较多,而且其中的信息保密程度不同,所以一旦应用系统出现问题就会对信息安全带来较大的威胁性[3]。此外,由于应用系统具有不断变化的特点,这对信息安全带来一定的威胁。2.3病毒侵害目前,各种各样的病毒入侵,对信息安全带来较大的影响,而且这些病毒还有快速传播的特点,因此,信息安全受到较大的威胁。此外,在传播途径方面出现的多样化,也对信息安全产生了较大影响。例如通过邮件、下载以及移动设备等方式而携带病毒,从而对企业中的管理信息的系统造成不良影响。
3分析信息管理系统设计
在文章中主要分析信息系统设计工作中通过客户端和服务器端的模式而不断提升信息系统的安全性,在这一模式下,可以通过服务器端和客户端而对企业中的信息进行有效管理,这能够更好地降低当前企业中信息安全的威胁度,同时也能够有效提升企业中信息管理的工作效率[4]。从当前市场上所流行的一些主流应用软件可知,基本是分布式的模式发展较快,此外,在分散网络以及终端设备方面也能够通过组件的方式而不断提升管理的效率,这就能够在满足企业对信息的需求情况。无论出于企业中的何种位置上,只要出于互联网支持的背景下,都能够随意访问企业内部的系统,同时还能够在各个应用系统中做到组件共享和系统升级。由此可知,运用客户端和服务器端的方式就能够更好地提升信息保护的能力,当企业工作人员对信息进行提取时,此时企业内部的服务器就会接收对应的信息,然后经过系统的处理,而将信息提取的结果有效反馈给信息需求者。当前企业中运用客户端和服务器端的模式在信息管理工作中不断提升了工作效率,同时也对信息安全保护带来帮助。这种模式具有良好的交互性、安全性、响应快以及网络负载较低等特点[5],从而能够提升信息数据的处理速度。
3.1分析系统工作的原理
在本次设计的信息管理系统中主要从如下三个不同部分共同组成,即控制端、客户端以及服务器端。而在信息管理工作中的人员则需要按照三者不同的作用而控制好企业中内网的情况,因此,这就需要安装控制端、客户端以及服务端,然后做好对企业中的信息工作。其中,在企业中的信息保护工作就需要在计算机中的客户端做好控制,而系统中的客户端则能够加强控制,最后是存储信息方面,计算机需要对计算机中的信息实施有效的保护,这对具有存储功能的计算机而言,这一个服务项目就称之为服务器端,它主要的作用就是能够在数据库中保护好客户端中的信息,并能够在日常监控中记下监听日志[6]。该信息管理的系统在实际工作中的操作方式是:第一,做好数据源的统计工作,这主要是对客户端中各种信息(包括软硬件)、屏幕采集、信息数据以及监听日志做好统计工作;第二,对不同的数据信息进行收集和整理,这主要是从服务段每天所收集的信息而进行分类处理,尤其是在对其中的不同的类型的信息都需要做好整理,从而能将数据划分在对应的数据库中,便于做好信息管理的工作;第三,从信息管理系统中下载数据,这主要是从数据库中对不同的信息数据进行下载和管理,并能够将这些数据保存在对应的数据库中,从能够在为信息管理工作提供一定的指导依据;第四,动作响应,这主要是对客户端中的信息进行管理,此时工作人员可以从信息控制端中接收信息指令,然后根据系统中的掌握信息是否处于安全的环境下。例如通过网络中所收集的信息,则能够通过客户端而更好地掌握网络中的信息传输情况,从而帮助企业带来良好的信息保护依据[7]。通过分析上述信息实施的过程情况可知,客户端属于信息安全保护的重点内容,主要的内容模块有:通信、安全策略、信息釆集以及命令执行。而在该系统中,服务器端则主要是对系统中的数据进行科学管理,其主要包括的内容有:系统部署、信息服务、管理、信息汇总以及远程安装模块。系统中的控制端主要是对管理人员而言的,它能够为数据查询工作提供帮助,同时更好地将数据信息传递给对应的工作人员,主要的模块有:命令控制、通讯、策略配置以及图形化。
3.2分析信息系统的功能设计情况
1)运行中系统资源的占用情况
这主要是因为系统通过屏幕录制的模块可以和计算机运行保持同步,所以在安全角度就需要做到完整性以及隐秘性,而屏幕录制在运行时没有占据较多的内存,从而能够充分保存计算机为日常工作提供便利性。从近年来发展情况可知,存储技术在不断进步,其中以大容量存储设备最为显著,通过这些大容量的设备而更好地满足信息管理中对空间的需求情况。此外,通过压缩的方式也可以释放一定的内存。
2)分析监听模块
在本文中所设计的信息系统还增加了监听模块,主要是从网络流量的情况而做好信息保密工作。因此,在设计本系统中,还增加了一个管理信息管理的模块,主要是信息管理计算机进行监听,例如其中的网络流量情况、数据传输速度以及信息的保密性等,经过技术人员研究之后所得到本系统的功能如下:第一,系统对信息数据包的截获情况,此时可以运用软件对网络中的信息进行监测,然后通过信息源中的主机情况进行分析,从而能够将信息从主机服务口实施过滤,促成相关信息形成日志,第二,协议分析,这主要是针对信息传输工作中,主要是将数据信息转化文字信息,同时能够掌握好数据信息[8],从而便于工作人员提升对网络性能的监控能力,从而能够对网络安全运行而提供良好的保障性。因此,在计算机中需要通过网络正常的方式而提升信息的安全度。通过数据包的截获,可以对其中的信息数据进行分析与匹配,工作人员就能够从一些可以信息中找出可疑信息,进而能够对保护原始数据带来帮助。
4结束语
当前,企业在发展过程中需要不断扩大业务范围,从而能够有效巩固自己的市场地位,同时也能够有效节约企业发展所需要的成本。而在信息化发展的背景下,人们已经对计算机技术产生了较大的依赖性,同时人们日常工作中对借助于信息化技术帮助也极大地提升了工作效率,并逐渐建成企业中的网络系统、门户系统以及邮件系统,而在实际管理企业信息系统方面还需要不断加强,从而保护好企业发展中的各种信息,尤其是处理企业中所存在的安全问题,从而有效防止企业内部的信息出现泄漏的情况。文章中所设计系统经过实践运用对企业信息保护带来积极帮助,然而在实际工作中还需要针对新情况而不断完善。
参考文献:
[1]石玉成.企业内网USB设备监控与审计管理系统的设计与实现[J].信息安全与技术,2013,4(1).
[2]吕志强,刘喆,常子敬,等.恶意USB设备攻击与防护技术研究[J].信息安全研究,2016,2(2).
[3]王义春.基于IBE的电力内网安全机制研究[J].黑龙江科学,2016,7(4).
[4]王义春.基于IBE的电力内网安全机制研究[J].黑龙江科学,2016,7(17).
[5]于宝东.桌面安全系统助力石化企业计算机终端管理[J].中国管理信息化,2015,18(2).
[6]刘梁,姚文,张晶,等.浅谈三级气象信息系统测评及安全防护策略[J].信息安全与技术,2013,4(4).
[7]刘梁,姚文,张晶,等.浅谈三级气象信息系统测评及安全防护策略[J].信息安全与技术,2013,4(4).
【关键词】企业;信息化建设;信息安全
伴随着我国社会经济的发展,各个企业间的竞争也是非常的激烈。各企业发展的过程中重要工作就是加强信息化建设,在企业信息化建设发展的过程当中,又显现出来了信息安全的问题,加上有的不法分子会采取各种手段盗取企业的内部信息以便达到自己的经济利益。所以说研究企业信息化当中的信息安全问题是具有非常重要意义。
一、企业信息化建设过程中信息安全的问题
一般情况下能造成企业内部信息安全问题的原因分为外部原因和内部原因,可是不管是内部原因还是外部原因都会对企业的信息系统的安全带来隐患。
1.1企业内部因素
第一个方面是企业的信息安全意识不强,虽然是现在有很多的企业加快企业内部信息化建设的进程,但是有些企业只是在表面上看到信息化建设所带来的优势,而信息化建设当中的安全问题并没能够引起企业的足够重视,所以在信息化建设的过程中比较容易出现安全隐患。第二个方面就是我国的安全软件还是比较落后,虽然国内计算机软件技术在快速的反战,可是与一些发达的国家相比还是存在一定距离,第三个方面在管理操作方面存在问题,现在有很多的企业对于自己企业内部的信息安全问题还存在不够重视的问题,在企业信息系统的管理上不够谨慎,这就会被不法分子和黑客进入的机会,造成了企业的主要信息被盗取。第四个方面缺少优秀的专业管理团队,企业信息的系统安全是前期的制定和日常系统安全的维护以及日后都是由专业的人员来进行操作,所以相关的技术人员都必须具有很好的素养和贤能的技术,第五个方面法律法规的不全面。现在我国与企业信息安全问题的法律法规不全面这就造成企业内部信息被盗取不能得到相关的赔偿。
1.2企业外部因素
现在企业信息安全系统的威胁主要来自于外部的因素,随着我国经济社会的飞速变化,在竞争激烈情况下信息是非常重要的,大昂仁会有很多的不法分子会利用各种手段来盗取企业的信息为自身得到利益。还有些企业在于对手的竞争过程中使用不正当的手段来击垮对手保证自己企业的利益。
二、企业信息化建设过程中的信息安全与对策
在我国社会经济快速发展的今天,企业信息安全对于一个企业的发展是非常具有意义的,企业的信息被盗取和泄露会给企业带来很大的损失,所以说企业对信息安全问题必须要有足够的重视。有的企业已经做好了信息安全的必要工作就应该更加注意安全软件并不是时时刻刻都能做好安全的保护,做好安全保护还要加强管理。
2.1确保正确的安全意识
一个企业在信息化发展的过程中,应该认识到企业信息的安全问题和企业发展相互的关联。如果企业的重要内部信息被盗取或者泄露那么对于企业所造成的打击是非常大的,而与此同时也是给了对手创造了很好机会。所以确保正确的安全信息意识对于一个企业来说是非常重要的,也是为了以后给企业的各项工作打下了很好基础。
2.2选择安全性能比较高的软件
其实任何软件都不是牢不可破的,可是对于安全性能比较高的软件,如果说破解的话难度还是相当高的,所以企业选择安全软件的时候要选择安全性能高的,不要为了节省一点企业的支出而选择使用安全性能差的保护软件,一旦出现问题所造成的企业损失价值会大于软件的价格。
2.3加强企业网路管理
很大一部分的企业信息被盗取都是不法分子通过网络进行的,所以说必须要对企业的网络管理进行加强,这样才能确保企业信息系统在安全的状态的情况下运行。对于信息安全的种类和等级的高低来进行制定合理的方案,并且提前做出如果发生特殊情况下怎么进行处理的方案。如果说企业的信息安全发生危机的时候,企业应该快速的组建处理小组,针对信息安全危机的步骤处理并且做好危机处理的工作,还要避免出现由于处理不当而产生的各种情况。
三、结语
以上所述是企业信息化建设过程中所必需要面对的问题,一个企业的信息安全建设应该先从管理开始,必须做到以防范为主要,必需制定有效的安全防护把安全的风险降至最低。在现在经济发展的快速时代,企业信息的安全问题决定着企业的安全运营。
参考文献
[1]原黎.探析企业信息安全问题的成因及对策[J].现代工业经济和信息化.2011(08)
[2]张耀辉.关于企业信息化建设中的信息安全探讨[J].电子技术与软件工程.2013(14)
[3]赵晓华,陈秀芹,周文艳,夏莉莉,李建忠.网络环境下河北中小企业信息安全问题研究[J].科技资讯.2013(31)
[4]叶瑞强.企业网络信息安全存在的问题及对策[J].信息与电脑(理论版).2012(03)