企业信息安全形势精选(十四篇)
发布时间:2023-10-11 17:26:13
序言:作为思想的载体和知识的探索者,写作是一种独特的艺术,我们为您准备了不同风格的14篇企业信息安全形势,期待它们能激发您的灵感。
篇1
“互联网+”时代企业面临的信息安全威胁
阿里巴巴公司曾统计了国内企业开发的上万个手机应用,“结果表明,86%的应用都存在着安全漏洞,40%的应用可以被植入病毒或者广告。而根据2014年6月美国战略与国际研究中心的报告显示,全球范围内90%的企业曾经在过去一年中遭遇过网络安全问题,而每一年由网络犯罪所带来的经济损失已经超过4450亿美元。“互联网+”要求企业业务高度互联互通,云服务、移动互联网、大数据、物联网等等这些新的网络现象使得“互联网+”时代的信息安全形势更加严峻。
1. 大数据呈井喷发展为企业信息安全带来隐患。
在“互联网+”时代,大数据在存储、处理、传输等过程中面临诸多安全风险,增加了隐私泄露的风险,实现大数据安全与隐私保护较以往其他安全问题更为棘手。非结构化数据已成为大数据的主流形式,而目前已经成熟的关系型数据库无法支持非结构化的大数据信息存储,关系型数据库中的隐私保护和用户访问控制等技术也无法在大数据管理中应用。同时,大数据来源的多样化也给企业信息安全带来了隐患,这些数据具有很强的开放性,海量数据随时通过网络汇聚,使用传统的存储和管理方式将会无法适应需求,容易导致数据管理混乱。存储设备的更新、管理、防电磁干扰、规划布局等都需要新的设计,企业网络管理员很难对所有数据信息一一进行跟踪保护。如果这些海量信息因为监管不力,就有可能造成企业运营数据、客户身份信息等企业机密信息的泄露。
2. DDoS攻击和APT攻击等威胁企业机密信息
当前,分布式拒绝服务攻击(DDos攻击)和高级持续性威胁攻击(APT攻击)成为入侵企业的主流。DDoS攻击方借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。通常,攻击者使用一个偷窃账号将DDoS主控程序安装在一个计算机上,在一个设定的时间主控程序将与大量程序通讯,程序已经被安装在网络上的许多计算机上。程序收到指令时就发动攻击。利用客户/服务器技术,主控程序能在几秒钟内激活成百上千次程序的运行。APT攻击的原理相对于其他攻击形式更为高级和先进,其高级性主要体现在APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集。在此收集的过程中,此攻击会主动挖掘被攻击对象受信系统和应用程序的漏洞,利用这些漏洞组建攻击者所需的网络,并利用0day漏洞进行攻击。在“互联网+”时代,企业的数据隐私更是成为黑客们攻击的焦点,黑客通过恶意电子邮件、SQL注入、僵尸主机、0day漏洞等方式窃取企业机密信息。使得企业信息泄露事件接连不断:2014年3月,携程网出现导致信息泄露的漏洞;5月,小米论坛800万用户资料遭泄露;9月,国外黑客利用苹果公司的iCloud云盘系统的漏洞,非法盗取众多全球当红女星的,继而在网络论坛。
3. 移动安全威胁成为新的挑战
在“互联网+”时代,“携带个人设备办公”(BYOD)为攻击者提供了更多入口,企业需要更加关注移动安全策略。随着智能手机、平板等智能终端的普及,大量的员工的手机、平板电脑开始接入了公司网络,同时员工也习惯于通过移动终端进行工作,他们可能会直接使用手机收发邮件,或者通过微信讨论工作、传递文件。伴随而来的是恶意移动应用程序的增长,黑客可能通过员工移动设备窃取企业隐私。2014年5月,全球最大拍卖网站eBay官网通告,称因数据泄露呼吁其用户更新密码,媒体和用户普遍质疑eBay的安全应急计划是否完备以及是否有效付诸实施,后来调查显示,此次泄密是由于员工登录账号在终端被窃取引起的。因此企业在部署移动应用的时候需制定完善的移动安全保护策略,如智能手机、平板、笔记本等设备中数据信息的加密保护和访问权限。
然而面对在“互联网+”时代如此严峻的信息安全形势,目前我国企业对信息安全投入仍有不足,用户安全意识和安全防护技术水平的提升还有很大空间。部分企业对信息安全的重视不够,尚未建立起明确的企业信息安全目标和策略,缺乏切实可行的信息安全管理体制,从资金、技术和人员投入严重不足,迫切需要得到加强。企业的信息安全是一个系统工程,在这个系统工程中,体现着“三分技术,七分管理”。要加强企业的信息安全保密工作,管理方法和技术手段同等重要,缺一不可。
完善企业信息安全管理制度的对策
应根据企业信息安全保密工作的具体要求建立适合本企业的信息安全保密规定,建立可操作的工作制度。具体包括:
1. 企业秘密信息的分级管理
根据企业秘密的重要程度、知悉范围等,划分企业秘密级别,如企业秘密级、企业机密级、企业绝密级等。并对企业人员及信息设备实行分别归类,规定各类信息设备的处理方法和保护级别。人员根据自身等级明确在使用各类信息设备时的权责,并加强监督,而密级文件只能在具备相应或更高密级的计算机上才能被读取。
2. 企业人员的管理
信息安全保密的管理,首先应加强人员管理,主要是指涉及企业秘密的员工的上岗管理、在岗管理和离岗管理。最核心的是加强教育培训,定期对人员开展信息安全保密形势、防范技术、政策法规等教育,提高员工隐患意识、业务素质及良好作风。同时对信息保密工作的实施成果进行考评,将信息保密工作的结果作为员工年终考核能力的一项关键指标,并明确奖惩机制。
3. 计算机的安全管理
计算机及信息设备的采购、安装、调试、维修、报废等,都应按规定报批,并由企业专门部门统一管理,避免私自拿到市场中的普通维修公司进行维修或数据恢复时导致机密信息的泄漏。计算机应分密级使用,保证密级文件的安全。对于企业非计算机,也应加强管理。非法使用公司网络访问权限访问外网,有很大的可能会导致信息泄漏或者感染病毒等。因此要加强企业计算机网络运行控制的安全管理制度,包括上网审查,权限定义,文件访问、数据库访问以及应用系统访问的口令管理,使用规则等。
4. 移动存储介质管理
应建立涉及企业秘密的移动存储设备的管理制度,涵盖使用,复制,传送,携带,移交,保存,销毁等全过程。采取技术手段,禁止未经许可的移动存储介质在计算机上进行使用。在企业非计算机上使用移动存储介质也应进行注册管理,已注册移动存储介质在企业内网、工作电脑上可正常使用和交换数据;在外网或外部设备时需要密码验证后允许使用;非注册移动存储介质无法在企业内网的工作电脑上使用。因工作需要向企业集团以外的电脑中拷贝电子数据时,需经企业专门部门进行保密审查后方可。
健全企业信息安全保密技术防范体系的对策
根据企业网络与信息安全的实际需求,从各方面加强信息安全保密技术措施,构建系统的信息安全保密防范体系。主要包括:
1. 终端准入
对终端电脑及移动智能设备实行注册管理,接入企业网络时需进行认证控制。只允许已在企业注册、符合安全标准的终端接入企业网络,同时用户需要输入账号及密码进行身份验证,验证成功才允许访问内部信息资源;非注册终端设备及非授权账号不允许接入企业内网。
2.应用管控
对连接企业内网的终端,进行出口认证,加强网络监控和管理。禁止进行游戏、炒股、P2P下载、以及QQ、微信等与工作无关的网络操作,禁止一个账号在多台机器上同时登录互联网。同时在国家法律规定范围内对终端上网行为进行后台监控,必要时对后台监控日志进行审计;禁止访问非工作相关网站或不良信息网站。
3. 监控审计
通过监控审计系统,完整记录企业内网内所有用户访问互联网、收发邮件、电子文件拷贝、电脑操作以及信息系统管理员操作等所有信息传递活动日志,以协助分析判断是否发生信息泄漏以及发生的时间,以便跟踪调查原因。审计工作由专门部门负责,主要包括网络审计、主机审计制度、数据库审计等。
4. 病毒防范
强化反病毒措施,主要包括对网络服务器中的文件进行频繁扫描和监视,在服务器上装防病毒模块,在网络接口卡上安装防毒芯片,在计算机上插防病毒卡,对网络目录及文件设置访问权限,设置防火墙加强网络间的访问控制,以及采用屏蔽等反侦查措施防止他人从电磁信号中分析获取研制或注入病毒的根据。
5. 动态追踪
动态追踪主要包括两个方面。一是要追踪计算机网络窃密技术的最新动态,协助对应防范措施的研究;二是追踪先进的信息安全保密技术措施,并根据企业实际需求考虑是否推进应用。通过动态追踪改进信息安全保密工作,提高企业信息安全保密防范水平。
结语
篇2
[关键词]石油企业;信息安全;信息管理
doi:10.3969/j.issn.1673 - 0194.2017.08.038
[中图分类号]TE46 [文献标识码]A [文章编号]1673-0194(2017)08-00-02
0 引 言
社会发展进步和信息化时代的到来,给石油企业科技资料管理工作带来了新的挑战,石油科技信息安全,不仅对石油企业的发展举足轻重,还关系着国家安全、经济发展和社会稳定。因此,石油企业科技资料管理已成为近年来理论研究的热点问题,加强石油企业科技资料管理,既是企业技术秘密保护的需要,也是企业保持竞争力发展的需求。本文基于信息安全视角,在分析石油企业科技资料管理工作现状的基础上,对科技资料管理问题进行了研究,提出了改变传统管理方式的必要性,探索创新石油企业科技资料管理模式。同时,通过分析新时期现代企业制度给科技资料管理工作提出的新要求,提出了拓展科技资料价值功能的设想,为企业建立科技资料管理新体系和完善现代企业制度提供新思路和新方法。
1 新形势下强化石油企业信息安全管理的必要性
随着社会经济及石油产业的迅速发展,石油企业不仅要适应企业的运行特点和发展趋势,还要具备良好的前瞻性与可拓展性,通过更高效、更系统、更先进的科技资料管理工作,推动企业在激烈的市场竞争中立足与发展。然而,我国石油企业的科技管理能力与国外石油公司相比仍有较大差距。在借鉴国外石油公司科技管理经验和方法的基础上,国内石油企业可以通过加强科技工作,构建一体化创新链条;强化科技规划管理以及知识产权管理等科技管理工作,加强和改善企业的科技管理能力,有效提升企业的科技竞争力。
一方面,随着信息技术的发展,大量的高新技术装备被引入人们日常生活的各个领域,人们可以借助其处理图像、存储数据、互发邮件等,极大方便了人们的日常生活,彻底颠覆了传统办公模式。但相关人员要意识到高新技术在给人们带来便利的同时,也带来了比较严重的信息安全威胁,如黑客侵袭、数据窃贼、病毒等,致使信息安全保密问题在社会各个领域得到了高度关注。作为一种信息资源产业,石油企业科技资料是企业进行技术、科研、生产和经营的重要数据资料,其不仅具有企业无形资产的特点,还存在地域性、专业性等公共属性,只要获取了这些数据资料就相当于获取了企业独有的知识和技术秘密。在新的时代,做好石油企业科技资料管理工作,对保护信息安全和促进石油科技发展具有十分积极的意义。
另一方面,科技资料比科技档案的内涵更广,科技资料是石油科技发展过程中比较重要的组成部分,科技资料与科技档案不仅来自于人们的日常生活,且又回归于人们的日常生活。科技档案一般具有成套性的特征,由实施性材料、依据性材料、结果性材料等部分组成,是进行科研、生产的重要依据,可以对一个单位(企业)、一个国家的科技成就给予直观的反映。科技资料、科技档案有其共性,都是提供科技情报信息交流的重要手段和工具,都有转化为物质生产力的特性。因此,为了更好的提高科技资料和科技档案的管理效率和管理质量,石油企业需要借助电子计算机技术,做好石油科技资料的保护和管理工作,以更好的实现其经济效益与社会效益,推动我国石油企I的可持续发展,并有效提升企业的社会效益和经济效益。
2 新形势下强化石油企业信息安全管理的基本思路
本文以确保石油企业科技资料信息安全为基础,探索石油企业科技资料管理模式,着重深化以下三个方面的研究。一是建立完善的科技资料信息安全管理系统,不断调整与完善石油企业内部科技资料利用过程中的保密机制,从而强化石油企业科技资料的保密管理。二是借助信息系统有效实现科技资料的有效交流、快速传输、高效利用,确保数据信息被完好的保存。三是建立石油企业科技资料规范化管理运行模式,实现科技资料管理的本质安全。
(1)石油企业科技资料属于该行业比较重要的信息资源,是企业技术、科研、生产和经营等过程中最详细、最真实的工作记录,因此,这要求石油企业决策者要充分意识到科技资料的重要性,并做好这些数据资料的管理、保护和利用工作,以更好的提高企业的经济效益。
(2)石油企业在发展过程中需要科技资料作为保障,只有这样,才能更好的发挥企业的实际效益。新形势下,石油企业科技资料管理一般呈现出集成化、信息化和智能化的发展趋势,如果能对其进行科学、合理的利用,将会更好的发挥其效益,提高石油企业的经济效益。在对石油企业科技资料进行管理的过程中,要尽可能满足企业的实际发展需求,并具备良好的可拓展性与前瞻性,以更好地推动企业的可持续发展。石油是我国家社会经济发展的支柱性产业,因此,需要根据企业的生产规模与生产技术特点,对企业内部科技资料进行科学、合理的管理,明确石油科技资料管理过程中存在的缺陷和不足,对企业科技管理现状进行深入分析,以更好的提高科技资料管理人员的专业水平和综合素质。此外,完善信息化科技资料管理系统,对石油科技资料的管理制度和管理体制进行不断的优化,以更好的提升科技资料管理工作效率和质量。
(3)科技资料管理工作已进入了一个全新的时代,做好石油企业科技资料管理工作必须顺应时展,从传统型转变为应对各类高科技盗密手段的新型管理体系,结合石油科技、油田生产实际,建立新的管理模式。
3 新形势下加强石油企业信息安全管理的具体措施
新形势下,对石油企业而言,保密管理与信息安全是一个多因素、多层面、系统的、动态的、综合的管理过程,属于“三分技术,七分管理”的过程,因此,相关人员要把技术与管理工作有效的结合在一起,以更好的提高企业的经济效益。办公室信息安全保密,不要仅注重对“密”的保守,不要简单的把信息安全保密管理看作为“保”,认为放到保险柜里就安全了。实际上,信息安全保密工作还包括划密、保密和泄密协助查处三方面的工作内容,并且涉及了制度、技术防范、法律等多个领域的综合应用。
信息安全保密最为关键的环节就是划密,它是开展保密工作的基础。这里所提及的划密通常是指明确信息是不是秘密?属于哪个等级的秘密?然后根据划分标准对其实施分级保护。一般情况下,秘密属于集合概念的范畴,主要包括个人秘密、商业秘密、国家秘密、工作秘密等几大类。所谓商业秘密,一般是指广大民众所不熟知的东西,且可以为所有人带来丰厚利益,所有人进行实施保密措施的经营信息和技术信息。在党政办公室里所涉及的商业秘密不是很多,但并非绝对,因此需要对其给予针对性的看待,避免出现保密信息的泄露。所谓工作秘密,通常是指国家单位和机关在开展公务活动过程中一旦泄露会造成无法弥补的严重损失。
信息安全保密工作属于信息安全管理的保密环节,不仅是保密工作的重中之重,同时也是保密工作的中心环节。这里所提及的保密,通常是指保护秘密不被泄露或窃取。因此,《保密法》明确了“人防、技防、物防”的三防原则。首先需要提高相关人员的保密意识,提高他们对保密工作的紧迫感和责任感。其次,对保密工作应进行规范化管理,对保密工作各个环节的关系进行科学、合理的处理,尤其是处理好“传统”与“现代”、“保密”与“公开”、“防外”与“防内”之间的关系。最后,积极防范,M一步提高保密工作的管控能力,做好对保密人员的宣传与教育工作,构建“人防”的保密防线。同时推进保密设备的使用,加强“物防”的保密防线。此外,规范保密技术手段的使用,完善“技防”的保密防线。
加强制度执行是信息安全保密工作的第三层,其一般要求单位根据本部门的实际情况和高新技术产品的特点进行针对性管理,并根据自身的实际责任认真落实保密工作,明晰保密责任,签订保密责任书,以更好的提高他们的保密意识。同时,按照保密、密码工作的相关规范和标准,对保密工作中存在的问题进行全面、系统的分析和研究,把保密作为防范风险隐患、强化内部管理的主要工作进行开展,不断完善层层抓落实、一级抓一级的责任体系。加强保密基础工作,提高保密要害机构对工作的落实情况,明确保密要害部门的基本权力和职责,及时修订完善法律制度,完善人防、技防、物防措施,更新工作台账,确保保密要害部门的工作顺利开展。按照要求开展政务信息保密公开审查制度,明确审查的流程和责任,以更好地开展信息的保密工作,不断深化保密宣传工作,坚持贴近工作、贴近形势、贴近人员,完善技防手段,以更好的提高保密技术防护水平。此外,做好计算机网络安全保密管理工作,不断提高信息安全、密码、保密工作规范化水平。
主要参考文献
[1]雷丽.石油企业信息化项目风险评估指标体系研究[J].科技经济市场,2008(4).
[2]吕健,余玲.基于风险评估指数法的信息系统安全――以广西工学院图书馆的信息化架构为例[J].科技情报开发与经济,2007(26).
[3]廖善榕.浅议石油企业信息安全保障体系[J].信息网络安全,2007(6).
篇3
影响现代电力企业安全生产的工作有很多,比如人员素质、电气设备质量、内外部环境以及车辆等。但是从整体上来讲,现代企业管理可以分成质量管理、安全管理以及进程管理。车辆安全管理工作是电力企业安全管理工作中非常重要的组成部分,随着现代电力企业中车辆越来越多,对车辆的依赖程度也越高,因此,从某种程度上来讲,车辆安全管理对电力企业的健康发展有着直接的影响。
1 新形势下企业企业车辆安全管理工作的意义
电力企业中的车辆不但是重要的代步工具,同时也是至关重要的运输工具。在新时代,车辆已经成为了人们生活和工作中必不可少的重要工具。比如,小轿车、公交车都是非常重要代步工具;叉车、卡车等又是非常重要的运输工具。随着车辆在电力企业中应用的日益增加,车辆的安全管理工作也愈来愈受到人们的重视。
在电力企业实际生产中,车辆时不可或缺的,它为电力企业的正常生产以及日常经营提供着非常重要的支持。比如,电力企业领导出席活动、对外洽谈、商务来往等都会用到一些较为高档的商务车辆,这些车辆也代表着一定的企业形象,有时候车辆的状况很可能会影响到一次合作的成败。另外,电力企业正常生产过程中车辆的运用也是必不可少的,比如,运送煤炭的车辆、机电设备工程车辆等,这些车辆为电力企业正常生产提供着非常重要的服务。所以,我们可以说,车辆是现代电力企业的基本设备,提升电力企业车辆安全管理水平和电力企业本身的发展以及效益紧密联系,一旦企业车辆安全管理工作不达标,那么不但可能会导致企业经济层面的利益损失,同时还可能会危及员工的生命安全,同时还会产生非常多的后续不利影响,对企业的形象造成严重危害。在这种形势下,提升电力企业车辆安全管理水平已经刻不容缓。
2 影响企业车辆安全管理的因素分析
能够对企业车辆安全产生影响的因素有很多,其中最为重要的三个因素为:人(车辆驾驶者)、车(车辆本身质量)、路(车辆行驶的道路)。
2.1 人为因素
人是车辆驾驶的直接操控者,因此,人是影响车辆安全最关键的要素, 发生的所有交通事故中, 大部分事故发生的原因都是关于人的要素。因此,分析企业车辆安全需要从人这一角度去着手。
(1)驾驶人员的技术。驾驶人员必须要具备专业的驾驶技术,假如驾驶人员技术不到位,在车辆驾驶的过程中,很容易出现驾驶失误的情况,造成交通事故, 目前世界上众多国家都要求驾驶人员要持证上岗。驾驶人员的技术欠缺,很容易出现操作失误的情况,并且在面对紧急交通状况的时候也不能及时的反应, 造成安全事故。
(2)驾驶员的身体素质与道路安全意识与道德观念。车辆驾驶人员不单单要拥有非常优秀的驾驶技能,还必须同时拥有优秀的身体。现代企业中,一些驾驶人员的工作强度非常大,因此要求驾驶员必须具备优秀的身体素养。另外,司机还应该具备良好的交通安全意识,严格遵守我国交通法则进行行车。
2.2 车辆因素
车辆本身的因素也是影响车辆行驶安全的重要因素之一。如果企业中的车辆质量不达标,那么极有可能会发生车辆行驶途中出现突发性故障或事故,对车辆本身以及车上的人员安全形成威胁。有相关调查显示,在我国电力企业车辆故障中,由车辆本身质量引起的事故占据到了总事故的10%。
2.3 道路因素
车辆是在道路上进行行驶的,道路的情况能够对车辆安全能够产生非常大的影响。
3 新形势下对企业开展车辆安全管理工作的建议
车辆驾驶人员、车辆本身的质量是当前企业车辆安全管理工作最为关键的两个影响因素。因此,在新形势下进行车辆安全管理工作应该从下面几方面着手。
(1)现代企业在对车辆司机进行招聘的过程中,不但要确保司机具有良好的驾驶技术、相关资质和证件齐全,同时还必须要确保司机本身具有非常优秀的安全驾驶意识,只有这样的驾驶员才能够具备被聘用的资格。
(2)提升对车辆安全管理培训工作的重视程度,提升司机的安全驾驶意识。在实际培训过程中,不但要对车辆直接?{驶人员进行培训,同时也要对车辆管理人员开展培训,培训内容要包含驾驶技能、突况处理技能等,从而使车辆驾驶人员在工作中不断提升自己的职业素养。
(3)构建完善的奖励与惩罚制度。企业在对车辆管理过程中,要建立严格且完善的驾驶人员奖惩制度。如果因为驾驶员的失误给车辆和公司带来严重损失的,不但要对其进行处罚,严重的还应该追究其法律责任。
(4)车辆的保养与维护也是非常关键的。在车辆安全管理中,要定时定期对车辆的使用情况进行检查,及时的对某些需要维护保养的车辆进行保养,排除安全隐患。另外,还需要注意的是,对一些陈旧车辆要实施报废处理。
(5)重视GPS定位技术的使用。GPS定位技术运用到车辆中能够使车辆管理人员更直观的得知车辆行驶位置,从而可以使工作人员更加合理的对车辆进行调度和安排,同时提升车辆运行的安全性。
篇4
【关键词】 供电 网络终端 计算机 信息安全
1 信息网络安全面临形势
所谓信息安全是一个广泛而抽象的概念,建立在网络基础之上的现代信息系统,其安全定义较为明确,那就是:保护信息系统的硬件、软件及相关数据,使之不因为偶然或者恶意侵犯而遭受破坏、更改及泄露,保证信息系统能够连续、可靠、正常地运行。
在电力企业,信息安全主要强调的是消减并控制风险,保持电力生产经营业务操作的连续性,并将风险造成的损失和影响降低到最低程度。
供电企业信息化的快速发展特别SG-ERP系统的实施,为工作带来便利的同时也带来了极大的安全风险,统一坚强智能电网的建设和“三集五大”体系的建设对信息安全提出了更高的要求。
2 信息网络桌面终端存在的安全隐患和风险分析
供电企业经过多年的信息安全建设,已建成了“双网双机、分区分域、等级防护、多层防御”的信息安全防护总体架构,网络隔离及网络横纵向边界的信息安全防护措施已日趋完善。由于网络用户人员数量庞大、情况复杂、分布广泛等问题的存在,信息安全的防护重点逐渐从网络层面向终端用户计算机层面转移。
涉及信息网络终端计算机的常见威胁、隐患和风险主要包括:恶意访问、信息泄露、破坏信息的完整性、非法使用、窃听、业务流分析、内部攻击、特洛伊木马、陷阱门、抵赖、电脑病毒、业务欺骗等。
上述风险对于供电企业信息安全产生巨大威胁,任何一台网络终端计算机出现信息风险漏洞,将直接波及到整个网络的信息安全,已经采取的网络边界、数据审计等防护措施将形同虚设,黑客或恶意破坏者就能轻而易举绕过所有安全防护、长驱直入、大肆破坏,对供电企业内部应用系统安全、网络安全、数据安全和生产经营业务造成不可估量的损失。
3 网络桌面终端信息安全防范措施
3.1 信息安全防范重在管理
由于网络终端计算机分布的复杂性可知,在当前的新形势下,信息安全并不仅仅是信息专业管理部门和运行维护单位要面对的问题,因此,全面加强信息安全管理是确保信息安全的首要解决措施。
(1)建章立制,规范信息安全全过程管理。针对信息网络和终端安全风险,针对性地制定《信息安全管理规定》等规章制度,固化信息安全管理工作流程,建立网络终端接入-调整-拆除-报废的全过程控制体系,遵循“谁主管谁负责、谁运行谁负责、谁使用谁负责”原则,将信息安全责任和压力层层下放,可以有效促进信息安全标准要求的贯彻落实。
(2)强化信息网络运行维护。采取对信息内外网终端计算机的人工抽检和技术巡检方式,定期开展对网络的全面核查,以及时发现安全隐患。高密度检查路由器、交换机等信息网络设备和防火墙、IPS等安全设备的策略配置,确保与业务需求相匹配。
(3)开展信息安全风险评估。作为信息安全保障基础性工作,针对信息系统的潜在威胁、薄弱环节、等级化防护措施、信息内外网隔离措施等进行综合评估分析,有效指导各单位系统地开展信息安全防护体系建设和安全整改加固工作。
(4)严防网络终端计算机违规外联。违规外联是指信息网络及终端计算机设备违反相关规定连接了包括互联网在内的其他网络。具体措施包括:计算机不得使用双网卡、严禁“一机双网”、内网计算机严禁外借、内部计算机统一外修出口、内部网络严禁私设路由器、严禁使用无线上网卡、手机、无线路由器等方式私自接入互联网、严禁任何单位和个人私设任何形式的互联网出口、严禁外来人员使用内部计算机等。
(5)加强宣传培训,将信息安全要求传达到每位终端用户。信息安全并不仅是信息专业部门要面对的问题,如果大家不严格遵守相关的信息安全要求,信息安全事件就可能发生在每个人身上。考虑到网络用户的参培时间不可控的因素,可以采取分层级、多批次培训的方式,将信息安全知识和相关要求层层传达到每位用户。
3.2 充分利用信息安全技术手段
(1)部署桌面终端安全管理软件。桌面终端管理系统是确保桌面终端计算机安全的最有效的技术手段之一,基本功能应包括:内网计算机资产管理、运维管理、非法外联监控、注册基本管理、安全管理、安全监控强审计、网络接入控制、补丁管理、文件分发管理等。通过桌面终端管理系统的部署,可以全面掌控网络终端计算机的安全运行状况,有效提升信息安全管理效率。
(2)实行网络安全准入。综合采用设备监控、隔离检查、网络协议检测等多种技术,通过入网安全审核、账号弱口令检测、桌面管理系统客户端和防病毒软件安装更新检查等,及时保证终端达到安全入网要求。
(3)架设网络版杀毒软件和补丁更新。为了确保杀毒软件安装率100%,确保病毒库和操作系统补丁随时更新,在网络内部架设网络版杀毒软件和补丁更新服务器,以服务器-客户端的方式主动推送病毒库和操作系统、应用系统补丁,及时封堵终端计算机安全漏洞。
(4)利用安全移动存储介质交换数据。应用实施范围界定为接入信息网络的所有计算机设备,在终端计算机上安装安全移动介质系统客户端,通过服务器端平台进行安全策略配置,使终端计算机上的移动介质使用符合相关安全要求,最大程度地封堵通过移动介质非法外传或导入信息的漏洞。
(5)加强网络边界处防火墙、IPS、上网行为审计等系统防护。一方面防范外部网络对于信息内网的安全攻击和恶意入侵,另一方面可以全面核查内网计算机的上网行为,对于敏感信息、发送敏感邮件等违规行为予以自动阻断。
4 结语
随着信息技术的飞速发展,影响网络安全的各种因素也会不断变化,网络安全不仅仅是技术问题,同时也是一个安全管理问题,是一个动态发展变化的过程,不是一劳永逸的,也不可能一蹴而就,这就要求每位终端计算机设备使用人员要在日常工作中时刻牢记信息安全,杜绝安全隐患,严格遵守信息安全规定,共同维护信息网络和终端计算机的安全稳定运行。
参考文献:
[1]邵波,王其和.计算机网络安全技术及应用[M].北京:电子工业出版社,2005.
篇5
关键词: 坪山新区安全生产分级监管
一、坪山新区安全生产基本情况
坪山新区现有市场主体在册总量23841户,其中企业数6262家(来源:市场监管局2011年12月份新区市场主体结构分布表)。安全生产监督管理任务艰巨而繁重,管理对象庞大而复杂。 因此,新区因地制宜开始了对各类工矿商贸企业分级管理的积极探索,将危险化学品生产经营、电镀、家具制造三个行业确定为安全生产分级管理重点行业,将企业安全状况由好到差分成A、B、C三个等级,目的是区分不同安全状况的企业来制定巡查检查计划,确定巡查检查频率,确保在工作人员有限、企业数量庞大的条件下,能够对安全状况好、事故隐患较少的企业每年检查一次,对安全状况差、存在较大事故隐患的企业每季度检查一次,进而消除事故隐患,降低事故风险。经过前期的摸底排查,2012年新区确定参与重点行业企业安全生产分级监管的企业共323家,其中危险化学品生产企业30家,电镀企业68家,家具制造企业225家。该模式使安监部门对企业的分级管理有了初步的认识,一定程度上解决了安监部门的管理难题。
二、什么是重点行业企业安全生产分级监管模式
(一)概念
所谓重点行业企业安全生产分级监管,即是将全区经市场监督管理部门合法登记的若干行业企业按照其风险控制能力进行分类分级管理。
风险控制能力分级是指依据企业安全管理状况由好到差,分为a、b、c三个等级。企业安全等级的划分根据安全生产基础管理、安全生产现场管理、职业卫生管理三个方面评分确定,重点是企业对事故风险的控制能力。其中,a级为没有较大安全隐患,且安全管理较好,安全事故风险控制能力较强的企业;b级为没有较大安全事故隐患,但安全管理现状存在一定的漏洞和缺陷,存在一定的事故发生概率的企业;c级为事故隐患严重,安全管理差,发生伤亡事故的概率较大,需重点监管或需要引导安全生产中介服务机构提供安全生产托管或专项服务的企业。
(二)如何确定分级
为了量化企业的安全管理状况,新区对安全管理的各项法律、法规和标准进行总结,制定了分级管理的评定标准,也是企业是否落实安全生产主体责任的评判标准,并细化到每一项设定分值,总分为1000分,将企业安全状况由好到差分成A、B、C三个等级,得分大于900分(含900分)且三年内未发生死亡1人(或重伤3人)及其以上生产安全事故,评定为A级;得分大于600分(含600分)小于900分且一年内未发生死亡1人(或重伤3人)及其以上生产安全事故,评定为B级;得分低于600分或一年内未发生死亡1人(或重伤3人)及其以上生产安全事故、社会影响较大事故,评定为C级。
(三)分级监管模式的形成
简单地说,就是通过对企业的分类分级管理,并配合各种监管方式督促企业落实安全生产主体责任,实现安全管理达标的动态管理模式。这种管理模式,坚持"突出重点,分类评定,分级管理,全面达标"的管理原则,实现对监管企业分级督导、良性促进的效果,最终全面实现企业的安全管理达标。
三、推行重点行业企业安全生产分级监管模式的必要性
(一)是摸清管理对象,夯实基础性工作的重要途径
对企业进行分级监管,目的就是进一步把企业的安全管理状况区分清楚,搞清楚他们的底细,哪些是管得好的,哪些是管得差的,特别是管得差的企业,要搞清楚哪些是存在重大安全隐患的,哪些又是需要重点监管的,搞清楚之后,重点针对这些企业加强管理,实现安全生产工作底数清、情况明,全面掌握安全生产整体状况。只有这样,才能因地制宜地制定管理对策,加强管理,降压事故。
(二)是开展专项整治工作的重要决策依据
面对数量众多的被监管对象,如何才能使监管工作做到更具有针对性,从而达到有的放矢的监管,必须清楚了解整体被监管对象的区域分布、数量多少、规模大小、行业类型、管理状况、隐患状况等情况,经过分类统计和分析,形成科学的数据报表,从而为开展各种专项整治工作提供决策依据。
(三)是督促企业落实主体责任的重要举措
分级评分标准从安全生产基础管理、现场管理、职业卫生管理等三个方面做出严格的规定,要求企业在限定时间内完成安全生产工作,并通过多种配套措施,督促企业持续改善安全管理状况,使企业保持较高的安全管理水平。同时,通过学习分级的评定标准,使企业更加明确自己的安全管理事项,逐步完成自己的管理工作。
篇6
关键词:信息安全 网络安全 风险
随着信息技术迅猛发展,计算机及其网络、移动通信和办公自动化设备日益普及,国内大中型企业为了提高企业竞争力,都广泛使用信息技术,特别是网络技术。企业信息设施在提高企业效益的同时,给企业增加了风险隐患,网络安全问题也一直层出不穷,给企业所造成的损失不可估量。
1企业面临的网络安全威胁
1.1来自企业内部的攻击
大量事实表明,在所有的网络攻击事件当中,来自企业内部的攻击占有相当大的比例,这包括了怀有恶意的,或者对网络安全有着强烈兴趣的员工的攻击尝试,以及计算机操作人员的操作失误等。内部人员知道系统的布局、有价值的数据放在何处以及何种安全防范系统在工作。因内部人员攻击来自区域内部,常常最难于检测和防范。
1.2来自企业外部的恶意攻击
随着黑客技术在互连网上的扩散,对一个既定目标的攻击变得越来越容易。一方面,对攻击目标造成的破坏所带来的成就感使越来越多的年轻人加人到黑客的行列,另一方面商业竞争也在导致更多的恶意攻击事件的产生。
1.3网络病毒和恶意代码的袭击
与前几年病毒和恶意代码传播情况相比,如今的病毒和恶意代码的传播能力与感染能力得到了极大提升,其破坏能力也在快速增强,所造成的损失也在以几何极数上升。如何防范各种类型的病毒和恶意程序,特别是网络病毒与邮件病毒,是任何一个企业都不得不面对的一个挑战。
2企业网络安全常用的防护措施
目前,不同种类的安全威胁混合在一起给企业网络的安全带来了极大的挑战,从而要求我们的网络安全解决方案集成不同的产品与技术,来有针对性地抵御各种威胁。我们的总体目标就是通过信息与网络安全工程的实施,建立完整的企业信息与网络系统的安全防护体系,在安全法律、法规、政策的支持与指导下,通过制定适度的安全策略,采用合适的安全技术,进行制度化的安全管理,保障企业信息与网络系统稳定可靠地运行,确保企业与网络资源受控合法地使用。
2.1部署统一的网络防病毒系统
在网络出口处部署反病毒网关。对邮件服务器安装特定的防病毒插件以防范邮件病毒,保护邮件服务器安全。在服务器及客户端上部署统一的防病毒软件客户端,实现对系统、磁盘、光盘、邮件及Internet的病毒防护。
2.2部署安全可靠的防火墙
企业为了在互联网上信息,共享资源,就不得不将自己的内部网络在一定程度上对外开放,这就在无形中增加了安全隐患,使有不良企图的人有机可乘。为了使信息系统在保障安全的基础上被正常访问,需要一定的设备来对系统实施保护,保证只有合法的用户才可以访问系统‘就目前看,能够实现这种需求的性能价格比最优的设备就是防火墙。防火墙的目的是要在不同安全区域(如:内部,外部、DMZ、数据中心)网络之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。具体地说,设置防火墙的目的是隔离内部和外部网,保护内部网络不受攻击。
2.3部署入侵检测系统
作为防火墙的补充,入侵检测系统(工DS)用于发现和抵御黑客攻击。人侵检测系统是一种网络/计算机安全技术,它试图发现入侵者或识别出对计算机的非法访问行为,并对其进行隔离。攻击者可能来自外部网络连接,如互联网、拨号连接,或来自内部网络。攻击目标通常是服务器,也可能是路由器和防火墙。
入侵检测系统能发现其他安全措施无法发现的攻击行为,并能收集可以用来诉讼的犯罪证据。一般入侵检侧系统有两类:基于网络的实时入侵检测系统和基于主机的实时人侵检测系统。
2.4配置漏洞扫描工具
漏洞扫描是一项重要的安全技术,它采用模拟攻击的形式对网络系统组成元素(服务器、工作站、路由器、防火墙、应用系统和数据库等)可能存在的安全漏洞进行逐项检查,根据检查结果提供详细的漏洞描述和修补方案,形成系统安全性分析报告,从而为网络管理员来完善网络系统提供依据。通常,我们将完成漏洞扫描的软件、硬件或软硬一体的组合称为漏洞扫描器。
2.5部署综合审计系统
通俗地说,网络安全审计就是在企业的网络环境下,为了保障网络和数据不受来自外网和内网用户的入侵、破坏、窃取和失泄,而运用各种技术手段实时收集和监视网络环境中每一个组成部分的系统状态、操作以及安全事件,以便集中报警、分析、处理的一种技术手段。
网络审计分为行为审计和内容审计,行为审计是对上网的所有操作的行为(诸如:浏览网页、登录网站从事各种活动、收发邮件、下载各种信息、论坛和博客发表言论等)进行审计,内容审计是在行为审计的基础上,不仅要知道用户的操作行为,而且还要对行为的详细内容进行审计。它可以使关心内容安全的管理人员清晰地知道通过网络有无没有采用加密处理就在网上传送的重要数据或内部和涉密文件被发出(用户行为)和被盗取(黑客行为);有无浏览不良网页;有无在论坛和博客上发表不负责的言论;有无使用即时通信工具谈论内部或涉密的话题。
2.6部署终端安全管理系统
由于企业内部终端数量多,人员层次不同,流动性大,安全意识薄弱而产生病毒泛滥、终端滥用资源、非授权访问、恶意终端破坏、信息泄密等安全事件不胜枚举。通过部署终端安全管理系统杜绝了非法终端和不安全终端的接人网络;对有权访问企业网络的终端进行根据其账户身份定义的安全等级检查和接入控制;对相关的内部人员的行为进行审计,通过严格的内部行为审计和检查,来减少内部安全威胁,同时也是对内部员工的一种威慑,有效强化内部信息安全的管理,将企业的信息安全管理规定通过技术的手段得到落实。
2.7建立企业身份认证系统
篇7
论文摘要:计算机网络高速发展的同时,给信息安全带来了新的挑战。通过对国内企业信息安全面临的风险分析,有针衬性地提出常用技术防护措施。
随着信息技术迅猛发展,计算机及其网络、移动通信和办公自动化设备日益普及,国内大中型企业为了提高企业竞争力,都广泛使用信息技术,特别是网络技术。企业信息设施在提高企业效益的同时,给企业增加了风险隐患,网络安全问题也一直层出不穷,给企业所造成的损失不可估量。
1企业面临的网络安全威胁
1.1来自企业内部的攻击
大量事实表明,在所有的网络攻击事件当中,来自企业内部的攻击占有相当大的比例,这包括了怀有恶意的,或者对网络安全有着强烈兴趣的员工的攻击尝试,以及计算机操作人员的操作失误等。内部人员知道系统的布局、有价值的数据放在何处以及何种安全防范系统在工作。因内部人员攻击来自区域内部,常常最难于检测和防范。
1.2来自企业外部的恶意攻击
随着黑客技术在互连网上的扩散,对一个既定目标的攻击变得越来越容易。一方面,对攻击目标造成的破坏所带来的成就感使越来越多的年轻人加人到黑客的行列,另一方面商业竞争也在导致更多的恶意攻击事件的产生。
1.3网络病毒和恶意代码的袭击
与前几年病毒和恶意代码传播情况相比,如今的病毒和恶意代码的传播能力与感染能力得到了极大提升,其破坏能力也在快速增强,所造成的损失也在以几何极数上升。如何防范各种类型的病毒和恶意程序,特别是网络病毒与邮件病毒,是任何一个企业都不得不面对的一个挑战。
2企业网络安全常用的防护措施
目前,不同种类的安全威胁混合在一起给企业网络的安全带来了极大的挑战,从而要求我们的网络安全解决方案集成不同的产品与技术,来有针对性地抵御各种威胁。我们的总体目标就是通过信息与网络安全工程的实施,建立完整的企业信息与网络系统的安全防护体系,在安全法律、法规、政策的支持与指导下,通过制定适度的安全策略,采用合适的安全技术,进行制度化的安全管理,保障企业信息与网络系统稳定可靠地运行,确保企业与网络资源受控合法地使用。
2.1部署统一的网络防病毒系统
在网络出口处部署反病毒网关。对邮件服务器安装特定的防病毒插件以防范邮件病毒,保护邮件服务器安全。在服务器及客户端上部署统一的防病毒软件客户端,实现对系统、磁盘、光盘、邮件及internet的病毒防护。
2.2部署安全可靠的防火墙
企业为了在互联网上信息,共享资源,就不得不将自己的内部网络在一定程度上对外开放,这就在无形中增加了安全隐患,使有不良企图的人有机可乘。为了使信息系统在保障安全的基础上被正常访问,需要一定的设备来对系统实施保护,保证只有合法的用户才可以访问系统‘就目前看,能够实现这种需求的性能价格比最优的设备就是防火墙。防火墙的目的是要在不同安全区域(如:内部,外部、dmz、数据中心)网络之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。具体地说,设置防火墙的目的是隔离内部和外部网,保护内部网络不受攻击。
2.3部署入侵检测系统
作为防火墙的补充,入侵检测系统(工ds)用于发现和抵御黑客攻击。人侵检测系统是一种网络/计算机安全技术,它试图发现入侵者或识别出对计算机的非法访问行为,并对其进行隔离。攻击者可能来自外部网络连接,如互联网、拨号连接,或来自内部网络。攻击目标通常是服务器,也可能是路由器和防火墙。
入侵检测系统能发现其他安全措施无法发现的攻击行为,并能收集可以用来诉讼的犯罪证据。一般入侵检侧系统有两类:基于网络的实时入侵检测系统和基于主机的实时人侵检测系统。
2.4配置漏洞扫描工具
漏洞扫描是一项重要的安全技术,它采用模拟攻击的形式对网络系统组成元素(服务器、工作站、路由器、防火墙、应用系统和数据库等)可能存在的安全漏洞进行逐项检查,根据检查结果提供详细的漏洞描述和修补方案,形成系统安全性分析报告,从而为网络管理员来完善网络系统提供依据。通常,我们将完成漏洞扫描的软件、硬件或软硬一体的组合称为漏洞扫描器。
2.5部署综合审计系统
通俗地说,网络安全审计就是在企业的网络环境下,为了保障网络和数据不受来自外网和内网用户的入侵、破坏、窃取和失泄,而运用各种技术手段实时收集和监视网络环境中每一个组成部分的系统状态、操作以及安全事件,以便集中报警、分析、处理的一种技术手段。
网络审计分为行为审计和内容审计,行为审计是对上网的所有操作的行为(诸如:浏览网页、登录网站从事各种活动、收发邮件、下载各种信息、论坛和博客发表言论等)进行审计,内容审计是在行为审计的基础上,不仅要知道用户的操作行为,而且还要对行为的详细内容进行审计。它可以使关心内容安全的管理人员清晰地知道通过网络有无没有采用加密处理就在网上传送的重要数据或内部和涉密文件被发出(用户行为)和被盗取(黑客行为);有无浏览不良网页;有无在论坛和博客上发表不负责的言论;有无使用即时通信工具谈论内部或涉密的话题。
2.6部署终端安全管理系统
由于企业内部终端数量多,人员层次不同,流动性大,安全意识薄弱而产生病毒泛滥、终端滥用资源、非授权访问、恶意终端破坏、信息泄密等安全事件不胜枚举。通过部署终端安全管理系统杜绝了非法终端和不安全终端的接人网络;对有权访问企业网络的终端进行根据其账户身份定义的安全等级检查和接入控制;对相关的内部人员的行为进行审计,通过严格的内部行为审计和检查,来减少内部安全威胁,同时也是对内部员工的一种威慑,有效强化内部信息安全的管理,将企业的信息安全管理规定通过技术的手段得到落实。
2.7建立企业身份认证系统
传统的口令认证方式虽然简单,但是由于其易受到窃听、重放等攻击的安全缺陷,使其已无法满足当前复杂网络环境下的安全认证需求,因此涌现了诸如:数字证书、动态口令、智能卡、生物识别等多种认证方式。目前,基于pki (public key infrastructure)技术体系的身份
认证系统能够为企业的敏感通信和交易提供一套信息安全保障,包括保密性、完整性、真实性和不可否认。确保企业信息资源的访问得到正式的授权,验证资源访问者的合法身份,将风险进一步细化,尽可能地减轻风险可能造成的损失。
2.8安全服务与培训
任何安全策略的制定与实施、安全设备的安装配置与管理,其中最关键的因素还是人。因此根据相关的法律、法规、政策,制定出符合企业自身特点的安全战略并加以实施,对企业的网络安全人员进行相关的专业知识及安全意识的培训,是整个网络安全解决方案中重要的一个环节。
2.9完善安全管理制度
俗话说“信息安全,三分技术,七分管理”,企业除了做好应用安全,网络安全,系统安全等保障措施外,还必须建立相应的管理机构,健全相应的管理措施,并利用必要的技术和工具、依据有效的管理流程对各种孤立、松散的安全资源的日常操作、运行维护、审计监督、文档管理进行统一管理,以期使它们发挥更大的功效,避免由于我们管理中存在的漏洞引起整个信息与网络系统的不安全。
篇8
企业的信息安全一直是现代企业管理中的难点,尤其是通信类企业以及严重依赖网络的电子商务类企业,其在信息安全环节的投入往往最大,但仍然是面临风险最大的环节。根据美国FBI以及CSI对其国内部分企业的调查显示,信息安全内部威胁占85%,外部入侵占15%,专利信息被窃取占14%,内部人员的财务欺骗占12%,资料或网络数据的破坏占11%。由此可见,企业内部信息安全已成为企业信息安全管理的重中之重,其泄密的途径主要包括互联网泄密,如电子邮件、即时通讯工具、网页空间、ftp、病毒黑客攻击等方式;局域网络泄密,包括内网与外网的连通、私人电脑与内部电脑的连接等;终端设备的泄密等等。企业信息安全是企业稳定与发展的基础,但是,企业信息安全形势却不容乐观,在现实中,影响企业信息安全的因素较多,其主要包括如下几种:
1.1实体环境安全因素。
(1)信息技术承载硬件安全。信息网络技术的硬件设备是支撑企业信息安全建设的基础,包括硬盘设备、内存设备、I/O控制器、电源等。
(2)机房环境安全。机房是企业信息网络的管理中枢,其环境的好坏将直接影响企业信息的安全。一般来说,机房管理必须要专人专管,对于出入人员应该有记录,并且,机房应具有防火、防水、防静电、防鼠害、防雷击等设施,还要安装空调设备,以确保机房运行温度和湿度的稳定。
(3)传输线路安全。网络线路以及电缆线路在传输过程中都具有一定的辐射性,其对信息具有一定的干扰,我们在安装时要采用屏蔽布线或者光缆传输,并采取技术手段,阻止线路对信息的干扰,以确保传输线路的安全。
1.2内部环境因素。影响企业信息安全的内部因素主要包括:
(1)软件因素。软件是企业信息化建设的重要工具,但同时也是信息安全风险较大的环节,它包括系统软件和应用软件。系统软件的是信息系统的运行平台,其本身就存在漏洞,若系统软件遭到攻击,将极可能导致信息的损坏或者泄密。而应用软件在设计过程中的不周全以及对数据校验的不完善,都将威胁到企业的信息安全。
(2)人为因素。企业内部人的因素是影响信息安全的最大部分,员工对数据的操作或者对相关威胁处理的不合理、不及时都会直接影响信息的可靠性。
(3)网络因素。企业的一切信息交换几乎都是通过网络来实现的,包括外部网络和局域网,而由于网络故障所导致的信息丢失情况比比皆是,另外,网络中一些非授权访问行为也容易造成敏感数据的泄密或者丢失。
(4)硬件因素。硬件主要是指存储设备以及电源、显示设备、网络设备等,其中储存硬件设备对企业信息安全影响最大,我们在硬件储存设备的管理中要注重防霉变、防辐射、防雷击等等,及时做好数据备份和数据恢复。
1.3外部环境因素。现代企业信息安全不仅面临着内部安全风险,还遭受着严重的外部隐患,其主要包括病毒风险、黑客攻击风险以及意外事故,如火灾、爆炸、水灾等,其对企业的信息安全影响甚大。
二、加强企业信息安全防范的措施
面对着如此众多的信息安全隐患,企业的信息安全管理形势十分严峻,要想真正做好信息的安全管理,保障信息安全,那么企业必须系统地进行改革,从根本上阻止信息的泄漏。
2.1建立健全信息安全管理制度。企业必须根据内部信息的安全级别,建立一套适合其技术规范的管理标准,尤其注重在人员组织结构以及培训,要建立完善的信息安全管理制度规范,并严格执行。
2.2采取新型网络安全技术,及时更新软硬件系统。企业要对内部计算机及服务器系统进行及时更新换代,尤其是其软硬件系统,要做好防病毒措施,并及时做好数据备份,加强网络密码建设以及入侵检测技术建设,为信息安全上一把“锁”。
2.3加强内部信息的监管,对非授权访问以及敏感接入进行严格的控制。企业必须加强对内部数据的有效监管,在与外界进行数据交换过程中,有必要对敏感数据或者有威胁的行为进行干预、阻止、监控等措施,控制非法接入与攻击行为。
篇9
历经多年的信息通信基础设施建设,管道公司信息通信网络已覆盖分布在全国14个省市的二级单位、输油站库、码头和项目部,承载着工业电视、视频会议、移动可视化等网络应用以及智能化管线系统、ERP系统、OA系统等信息系统,成为公司生产运营、经营管理、综合办公的中枢神经。基于日趋完善的信息安全防护建设和日益丰富的信息安全管理手段,逐步建立了信息安全管理體系,部署了常规的技术防护措施,初步落实了信息安全等级保护要求,并定期开展信息安全风险评估。但是,必须看到,公司信息安全工作仍然面临十分严峻的形势。
1信息安全面临的形势与挑战
(1)国际上围绕网络空间主导权与控制权的争夺日趋激烈,信息基础设施和社会基础数据面临新时期严峻的网络攻击风险;云计算、物联网、移动互联和大数据等新技术的快速发展使网络安全边界更加模糊,给信息安全带来了新的更大的风险和挑战。
(2)国家层面在不断加强信息安全监管力度,专门成立了中央网络安全与信息化领导小组。“网络强国战略”在十八届五中全会上被纳入国家十三五规划的战略体系,网络信息安全逐渐被提升至国家安全战略的新高度。国内先进企业也在体系化的全面推进信息安全风险管控工作,传统的“被动静态防护”逐渐被“主动动态防御”所取代。
(3)管道公司在信息安全管理、技术保障和合规性建设方面取得了一定的进展,但仍然存在以下不足:信息安全组织机构不健全,缺乏专业技术人才;部分员工缺乏信息安全意识,信息安全责任落实不到位;信息系统建设没有完全落实信息安全防护同步规划、同步建设、同步运行的“三同步”原则,信息系统等级保护没有全面开展;互联网出口尚未统一,信息安全整体防御能力相对薄弱;无线网络应用、终端入网审计及系统用户权限管控还有待进一步规范。
2信息安全管理体系与技术保障体系建设[1]
2.1健全信息安全管理体系
成立公司网络安全和信息化领导小组,建立公司、二级单位两级的信息安全管理与应急处置组织体系,建立安全方针政策、安全管理制度、技术标准规范、流程控制表单四个层级的信息安全标准与制度体系框架;以信息安全等级保护为主线,抓好信息化项目立项、验收等关键节点,建立信息系统安全风险管控体系;按年度开展信息安全评估检查,以问题为导向提升信息安全防护水平;建立信息安全通报机制,强化信息安全意识宣教与信息安全技术培训、技能竞赛,形成良好的信息安全氛围。
2.2完善信息安全技术保障体系
在终端安全方面,部署网络准入控制系统、桌面安全管理系统、防病毒系统;在应用系统安全方面,对关键服务器主机设备进行冗余部署,建立主机弱点分析机制、主机系统软件备份和恢复机制、主机入侵检测机制和主机系统操作规范。同时,通过实施现有网络优化改造、网关部署等措施,实现公司生产网和办公网的业务安全隔离,提升网络边界安全防护能力。
3信息安全管理提升
3.1建立信息安全责任制
分解落实信息化归口管理部门、业务主管部门、建设运维单位、应用部门在信息系统全生命周期中的安全责任。明确各单位、部门的主要领导为信息安全第一责任人,明确各级信息安全管理员及各专业人员的信息安全岗位职责,强调像对待生产安全一样对待信息安全,营造人人有责、人人尽责、齐抓共管的信息安全管控环境。
3.2加强信息系统安全等级
保护与信息化项目全生命周期的信息安全闭环管理,抓好过程管控,切实落实“三同步”要求。在立项阶段确定安全等级,编制安全方案;在建设实施阶段实施安全方案;在上线验收阶段严格安全检查,杜绝系统“带病”上线运行。同时,梳理检查已投入运行维护的系统,确保全部纳入信息系统安全等级保护管理。
3.3建立健全信息安全应急响应机制
丰富信息安全应急资源,完善信息安全应急预案并加强演练,提升信息安全事件的响应速度和处置水平。通过技术培训和人才引进,加强信息安全技术团队建设,提升信息安全态势感知能力和动态主动防御水平,促使信息安全管理由“救火型”向“预防型”转变。
3.4建立健全信息安全分析和通报制度
结合国内外及石化行业信息安全形势,开展信息安全分析,查摆问题,研究制定解决方案。扩大《信息安全通报》影响面,充实通报内容,充分发挥通报信息安全信息、传播信息安全知识、安排信息安全工作、通报信息安全考核结果的综合作用。
3.5统一公司互联网出口
按业务需要严格管控,互联网访问实行实名制管理,互联网访问资源实行白名单管理。对外应用统一至公司云平台的对外区,建立统一远程接入区。建立公司统一的无线网络认证系统,取缔私自接入的无线路由器,规范无线网络应用,为移动应用提供安全通道。
3.6加强用户弱口令管理
全面启用强密码策略,提升用户登录认证的安全强度;将统一身份管理系统与HR系统集成,实时同步人员信息,强化用户账号的实名制管理。加强终端安全管理,实施用户终端准入实名制管理,全面提高统一防病毒软件和桌面管理软件的安装率,并积极推进虚拟桌面的普及应用。
3.7建立完善公司信息安全基线
以基线为基础实现信息安全的全面管控,降低局部信息安全事件对整体信息安全形势的影响,采取主动的防御思想,建设信息安全防护体系,并适时对基线进行调整,实现对信息安全事件的有效防御,切实提升信息安全管理和防护水平。
4结束语
信息安全管理要坚持技术与管理并重[1],在提高信息安全技术防护能力、做好适度防护的同时,注重信息安全组织体系、风险控制和运行服务等方面的管理,形成信息安全动态长效管理机制以及预防为主的主动式信息安全保护模式;既要作为一个单项重要工作来抓,更要融入各项日常信息化工作,特别是信息系统全生命周期管理中去,才能保障企业信息化的健康有序发展。
参考文献
[1]刘希俭等.企业信息化实务指南[M].北京:石油工业出版社;2011.
篇10
1.企业信息安全事件发生状况
调查显示在过去的1年内(2012年1月~2012年12月),超过93.2%的被调查企业发生过信息安全事件,其中发生信息安全事件次数超过5次的占被调查企业的13.1%。这一调查结果表明,河北中小企业信息安全形势非常严峻,如何保护信息系统安全已经成为中小企业信息化建设首要面临的问题。
2.目前中小企业信息安全面临的主要威胁
调查发现,近1年内,82.1%的被调查企业遭受过病毒、蠕虫或木马程序破坏;47.3%的企业遭受过黑客攻击或网络诈骗;33%的企业遭受过垃圾邮件和网页篡改的干扰,还有28%的企业遭受的破坏竟然来自企业内部员工的操作。这一调查结果表明,病毒泛滥、网络诈骗、黑客攻击、垃圾邮件和来自企业内部员工破坏是河北中小企业面临的最主要信息安全威胁。其中,病毒和木马程序的破坏尤为严重,直接造成企业数据丢失、信息泄漏甚至系统瘫痪等后果,严重威胁着企业的信息安全。
3.企业信息安全保护措施现状
调查发现,93.7%的被访企业采用了杀毒软件进行病毒防护和监控,25.1%的被访企业装有入侵检测系统和硬件防火墙,54.8%的被访企业采用了身份认证技术和设置访问权限进行信息保护。同时,通过调查也发现,只有不到29.5%的企业有定期的数据备份,仅有6.9%的企业为重要信息进行了数据加密。这一调查结果表明:在信息安全技术防护方面,几乎被访企业都采取了信息安全保护措施,但是大部分企业却只停留在病毒防护和身份认证的水平上,而缺少数据完整性和数据加密等保护技术。
4.信息安全管理保障措施情况
调查发现,在信息安全管理保障措施方面,25.7%的被访企业设立了专门的信息安全部门及相应的专职管理人员,44.6%的企业制定了企业信息安全管理制度,只有8.5%的企业能够对信息安全状况进行定期的风险评估,而制定信息安全事件应急处置措施的企业却只有5.3%。这一调查结果表明:河北中小企业信息安全保障组织构架设立不完善、缺乏信息安全管理制度,定期的信息安全风险评估以及信息安全应急处置预案措施严重缺失。
5.信息安全经费投入状况
调查发现,23.5%的被访企业信息安全方面的经费投入占整个企业信息化总投资的比例低于5%,39.6%被访企业同样投资比例在5%~10%之间,只有38.5%的企业信息安全方面的经费投入已经超过企业信息化总投资的10%。这一调查结果表明:河北中小企业安全意识淡薄,信息安全经费投入严重不足,低于国外20%~30%的投资比例。
二、对策与建议
通过课题组调查发现,网络环境下河北中小企业的信息安全问题突出,主要表现在认识误区、资金不足、技术薄弱和信息管理制度缺失等方面,要全面解决,必须从法律、技术和管理等几个方面全盘考虑综合治理。法律、技术和管理三者相辅相成,缺一不可,才能共同保证中小企业信息系统可靠安全运行。
1.法律法规层面加强政府支持力度和引导力度
仅仅靠中小企业自身搞信息安全防护是远远不够的,在此过程中,政府的支持、鼓励与引导是至关重要的。因此,政府应不断完善信息安全相关法律法规的建设,加快网络安全的基础设施建设,加大打击网络犯罪的力度。同时,针对河北中小企业特点,当地政府应加大企业信息安全重要性的引导和宣传,让中小企业特别是企业的领导者,充分认识到企业信息安全的重大意义与作用,从而在日常企业决策中对企业信息安全建设投资有一定的倾斜,完善企业信息安全体系建设。从长远发展角度和战略高度来重视企业信息安全。
2.技术层面
设计实施多层次、多方位的网络系统安全保护技术,以提高企业风险防范的技术水平。风险防范是一个复杂的系统工程,从技术角度,建议从以下几个方面来实现:
(1)建立网络身份认证体系。网络环境下河北中小企业的各种商务活动,都需要对参与商务活动的各方进行身份的鉴别、认证,这就需要在企业内部建立网络身份认证体系来证实各方的身份,以保证网络环境下各交易方的经济利益。
(2)配置高效的防火墙。在企业内部网与外联网之间设置防火墙,从而实现内、外网的隔离与访问控制,在他们之间形成一道有效的屏障,是保护企业内部网安全的最主要、最有效、最经济的措施之一。
(3)定期实施重要信息的备份和恢复。企业要对核心的数据和应用程序进行实时和定期的备份工作。并把备份数据的副本存储在光盘上,这样就可以避免一旦发生安全事故关键的应用程序和数据丢失给中小企业带来的巨大损失。
(4)对关键数据进行加密。企业的各类数据和应用程序,是企业多年发展中积累下来的宝贵数据资源,也是企业决策的重要依据。因此,要对这些关键数据进行加密处理,以提高数据的安全性,防止企业私密数据信息被泄露和窃取。
篇11
【关键词】企业; 信息安全; 风险评估; 风险控制
引言:
计算机和网络通信相结合的信息技术,是促进当代社会信息化发展的主要力量,为社会上各行各业的发展创造了良好的环境。许多企业在经营与管理中已经引用现代信息技术,从而使经营与管理更为科学,工作效率更高,获得的经济效益也越多。然而现代信息技术是一把双刃剑,信息化的程度越高,由它带来的风险也越大。当前,企业的信息安全风险评估工作存在着一些问题,这些问题对企业的发展造成很多不利的影响。
一、企业信息安全风险概述
对企业来说,信息是维持企业正常运作的必要资源。企业的信息包括重要的数据、企业的发展规划、保密性文件、知识产权等。这些信息一旦被泄露,那么企业将面临着或大或小的经济损失,更严重的还会使企业面临破产的危险。所谓的企业信息安全就是指信息在其生命周期中,它的完整性、保密性和可用性这三个特性的保留情况。如果这三个特性都得到了保障,那么信息的安全性就高;如果其中的某个特性被破坏,那么信息的安全性就低。而信息安全风险就是指信息在特定的环境与特定的时间里可能遭遇的安全威胁。
信息安全风险可以分为可控性风险与不可控风险、可接受风险与不可接受风险、自然风险与人为风险等[1],这些风险给企业的信息安全管理工作带来了更多的不确定因素,加深了工作难度。
二、企业信息安全风险评估的现状与问题
当前,我国企业的信息安全风险评估工作存在着许多问题,给企业的日常经营与管理带来了许多不利的影响。
首先,企业没有树立正确的信息安全观。很多企业的管理者在信息安全问题上会走向两个极端,一种是认为只要加大信息建设的投入,信息就存在绝对安全的可能;另一种是忽视信息安全建设,信息安全风险意识淡薄。很多企业的管理层对信息资产的重要性认识不够,因而他们在保护信息安全方面几乎是无作为。
其次,企业在具体的信息安全风险评估工作中,表现出重安全技术而轻安全管理的思想与行为方式。这些企业在工作过程当中,不论是在心理还是在行为上都过分依赖安全技术,甚至认为只要安全技术过硬,信息安全就一定能够得到保证,为此,企业普遍采用现代通信技术、计算机和网络技术来构建企业信息安全系统。而在安全管理上,出现了管理措施不到位,员工在信息保密上不够严肃等问题,造成信息安全技术做无用功。
此外,企业信息安全风险评估工作还存在着管理制度不够完善、责任划分不够明确等问题。信息安全风险的评估工作需要收集各方面的大量的信息,如此才能增强评估的有效性。而企业由于管理制度不完善、职责划分不明确等问题,造成各部门的工作不配合、不协调。信息技术部门被孤立,信息安全的风险评估工作也就不能得到及时有效的完成。
最后,我国有些企业在信息安全风险评估的技术与方法上落后于时代。现代信息系统越往后发展,结构就越复杂。这要求企业要根据不断变化的信息技术来改进自己的风险管理理念和手段,同时也要吸收国际上的先进信息安全风险评估技术,保障自身的信息安全。
三、企业信息安全风险的控制
企业信息安全问题对企业来说是不应该被忽视的部分,企业应该在经营与管理的每个环节做好信息安全风险的控制工作,使企业的重要信息能够得到充分的保护。企业信息安全风险的控制可以从风险分析、管理控制、技术控制三个方面来进行。
(一)风险分析
在进行信息安全风险控制之前,先对风险进行分析可以使风险控制工作更加具有针对性,能够提高风险控制工作的效率。对风险的分析可以从信息资产面临的威胁、存在的弱点等方面来进行[2]。在风险分析工作中,要明确以下几点:首先是信息安全风险控制工作中需要保护哪些信息,这些信息具有什么样的价值;信息资产面临着哪些潜在的威胁,导致这些威胁产生的根源是什么,威胁发生的几率有多大;信息资产中是否具有漏洞,这些漏洞是否会被人威胁利用;信息资产发生威胁之后,企业会面临多大的损失;企业该采取什么样的措施来应对风险带来的损失,等等。
(二)管理控制
企业信息安全风险控制工作主要从组织管理、人员管理、政策实施等几个方面来进行。首先,企业应该建立信息安全组织机构,吸收组织成员,协调企业内部的各项资源,制定信息安全控制的目标并通过组织成员履行职责来达到目标。其次,企业要培养素质高、责任心强、原则性强,能够遵守企业政策的人员。企业信息安全风险的控制不仅与强大的技术力量有关,而且还有赖于执行人员对信息安全工作的支持与参与。此外,在政策实施上,企业要严格执行相关的信息安全保护政策,比如目前国际通用的《信息技术―信息安全管理实施细则》[1],为企业执行信息安全保护工作提供一个统一的标准,从而使工作能够有序地展开。
(三)技术控制
技术对信息安全控制的影响力是比较大的,它在很大程度上决定了信息安全风险的大小、范围,同时它也决定了修补信息安全漏洞的方式和方法。因此,在技术方面对信息安全风险进行控制是非常有必要的。首先,技术构架的设计应该遵循系统性原则、技术先进性原则、可控性原则、适度性原则等,使技术能够更好地服务于风险控制;其次,要做好安全域的信息安全保障工作,根据不同的安全域所面临的不同风险来进行信息安全保护工作;最后,要提高信息安全保障技术。目前而言,我国的信息安全保障技术与国际上的相比明显处于落后状态,因此,企业要引进先进的技术力量,加强信息安全风险的控制力度。
四、结语
在这个信息化高度发展的社会,任何企业与个人在享受信息化带来的便利的同时,也要承担信息化带来的风险。我国企业在激烈的市场竞争中,不可避免会遇到信息安全上的威胁。因此每个企业都应该做好信息安全的管控工作,认真、严肃地对待当前网络环境下的企业信息安全问题。
参考文献:
[1]谷田.网络环境下的企业信息安全问题研究[D].郑州大学2012
篇12
2013年第三季度,我国信息化发展态势良好。国家政策强力推进了信息化发展,电子政务加强集中了管理和集成应用,智慧城市建设广泛展开,社会服务各领域信息化的应用普及率进一步提高,一大批基于移动互联网的应用创新不断涌现,信息消费在扩大内需中作用逐渐凸显。展望第四季度,落实国家信息化相关政策的配套措施也将密集出台,信息化管理与运营体制将发生新的变化。
信息化与两化深度融合
2013年第三季度,国家密集了《“宽带中国”战略及实施方案》、《关于促进信息消费扩大内需的若干意见》、《两化融合专项行动计划(2013-2018)》等促进信息消费、两化融合专项行动等一系列促进两化融合的政策文件,促使我国工业行业两化融合向更深度拓展。
在电子政务方面,2013年9月,工业和信息化部选取了18个省、59个市(县、区)作为“基于云计算的电子政务公共平台”试点。各部门、各系统逐渐向云计算平台迁移,基于云计算的电子政务公共平台正在逐步建立中,同时“基于云计算的电子政务公共平台”国家标准的编制也将提上日程。
大型企业在完成信息系统综合集成的基础上向产业链协同应用演进,目前中石油、中石化95%以上的生产经营所需物资实现了电子采购,一汽等汽车企业的供应链协同平台,支撑起了汽车零部件的采购、制造和销售。
电子商务平台与ERP连接工业制造模式演进方向由大规模制造逐渐转向个性化定制、按需生产、众包模式。智慧工业园区正成为推进两化深度融合的重要载体,同时工业云应用也在不断创新企业信息化服务的模式。
与此同时,信息消费在扩大内需中的作用也逐渐凸显。这主要表现在:第一,国产信息终端崛起。目前,我国智能电视国产品牌市场占有率>70%,联想取代HTC成为安卓设备品牌第2名。第二,数据流量高速增长。据统计,1-8月数据及互联网业务实现收入2202亿元,同比增长30%。固定和移动数据业务对电信业务收入的增长贡献分别为12.4%、69.2%。第三,信息服务增长明显。软件技术和服务消费1.17万亿元,同比增长24%。1-6月,电子商务B2B交易额达3.4万亿,同比增长了15%。而随着4G牌照在第四季度的下发,又将会刺激新一轮的信息消费,运营商将继续加速4G网络建设。
软件信息技术服务业扭转低迷
在宏观经济弱势复苏的背景下,我国软件和信息技术服务业持续全年以来呈现稳中有落的态势,行业景气度日益提升,盈利能力也将继续改善,软件出口低迷局面也出现了转变。
产业发展态势稳中有落,行业利润持续回升。1-8月,全行业累计完成收入1.94万亿元,同比增长24.1%,增幅较上年同期减小2.1个百分点。行业效益持续好转,实现利润2126亿元,同比增长25.5%,高出去年同期10.3个百分点。
部分领域打破缓慢增长态势,产业服务化深入发展。受制造业回暖影响,嵌入式系统软件和IC设计均出现较为明显的回升势头。数据处理和存储服务在数据中心、云计算平台加快建设的推动下增势突出,增速高出全行业1.5个百分点。系统集成和信息技术咨询服务则增长平稳。
软件出口低迷态势出现转变,嵌入式软件出口增势明显。我国软件出口告别上半年的低迷状况,增速出现回升态势。软件产业实现出口额254亿美元,同比增长19%,增速高出上半年8.7个百分点。嵌入式系统软件的出口增势同比高出去年同期14.8个百分点。
中西部地区持续快速增长,中心城市继续引领产业发展。中西部地区保持快速增长趋势,东部地区增长缓中趋稳。西部地区和中部地区分别完成软件业务收入2107亿元和742亿元,同比增长28.5%和25.2%,分别高出全国水平4.4和1.1个百分点。东部和东北地区分别完成软件业务收入14550亿元和2018亿元,同比增长23.3%和24.7%,增速低于去年同期3.1和0.9个百分点。15个副省级中心城市继续引领产业发展。软件业务收入占全国软件业务收入的比重达56.9%。信息系统集成、数据处理和存储服务增速分别达31.1%和29.4%,高出全国平均水平6个和3.8个百分点,引领产业服务化发展。
信息安全压力日益增大
信息安全研究所所长刘权认为,三季度,我国信息安全在政策环境、基础网络安全保障、产业融合、国际交流等方面取得了一定进展,但网络空间安全形势依然严峻,存在产业根基不牢、攻防能力不足、技术实力较弱等问题。在全球网络空间安全形势严峻的情况下,我国的信息安全压力也日益增大。
我国信息安全问题主要体现在以下三方面:
攻防能力不足。电力系统是我国网络防御做的最好的,但仍被入侵。美国发动的网络攻击,我国重要信息系统在分钟级内就会被攻破。在X86架构下,美国的攻击我国根本发现不了,“棱镜门”事件中暴露出的对我国的攻击事件,而我国根本没有发现。与此同时,美国等西方国家网络空间部署正逐步加强。
产业根基不牢。我国大量核心技术产品信赖国外,重要信息系统和基础信息网络大量使用国外基础软件,西方国家便利用产业优势从事网络监控,我们的信息安全面临严重威胁。产业实力差距巨大,技术产业的落后,国产化替代举步维艰,我国要实现自主可控任重道远。
技术实力较弱。由于缺乏自主技术体系,长期“跟随跑”战术已经使得我国的信息安全技术丧失了独立性,技术发展过程中过多地使用“拿来主义”,没有掌握核心技术,沦为代工厂。此外,新兴技术信息安全反应过慢。云计算、移动互联网等新兴技术追踪研究不力,盲目跟风,信息安全问题没有得到充分解决。各类网络犯罪技术也缺乏有效应对。
篇13
1月9日,趋势科技了《2013年信息安全预测报告》,指出在网络用终端多元化、企业IT系统云计算化等因素的综合作用下,2013年网络安全形势将更加严峻,不但安卓系统的恶意应用程序可能增至4倍,云安全与APT攻击等顽疾将是最主要难题。聚焦信息安全市场,如何应对这些安全挑战,并且精确地保障消费端和企业端用户的信息安全成为安全厂商不可推卸的职责。
安全威胁全面渗入数字生活
在移动互联网快速发展的背景下,消费者的网络应用不再局限于PC等传统终端,而是扩展到手机、平板电脑、智能电视等多元化终端。其中,安卓系统由于覆盖面广、开放性强,已经成为网络攻击的一个主要目标。趋势科技监测数据显示,截止到2012年年底,安卓系统中的恶意应用程序已经达到35万个。
消费者已经迎来多平台终端时代,而每个操作系统的安全机制并不相同,这就意味着安全威胁可能出现在令人意想不到的地方。趋势科技预测,移动互联网的安全威胁将更加严峻。趋势科技(中国区)资深安全研究员谷亮在接受本报记者采访时表示:“2013年,带有恶意程序的安卓应用程序数或将达到140万,比2012年增长3倍。”
此外,趋势科技指出,2013年信息安全威胁将更加多样化,并且全面渗透到我们的数字生活中,除了个人移动终端产品,智能电视和其他具有联网功能的装置,未来也可能成为黑客的攻击渠道。
对此,趋势科技(中国区)产品经理申鹤表示:“想象一下,一部内含 iOS、Android 或 Windows操作系统的高画质电视,可能因为操作系统的漏洞而遭到攻击。但是电视厂商可能不像PC、平板电脑或智能手机厂商一样有能力解决这些安全漏洞。”
在他看来,具备联网功能的移动设备,也可能采用专属操作系统与通信协议,而这些系统与协议的设计却并非以安全性为最高考量。因此当这类设备联网时,很容易被黑客入侵。
移动安全风险显而易见,防护却困难重重。面对App应用程序的多元化和不同特点,在信息安全与隐私保护的安全设定上,安全厂商必须提供差异化的安全策略。“但是在面对让人眼花缭乱的各种安全选项时,消费者很可能会对其置之不理,全部使用默认设置,而这些默认设置往往并不能很好地保护用户的隐私。”申鹤对移动互联的安全防护非常担忧。
双重隐忧
多平台的发展趋势以及云计算的发展,使越来越多企业接受BYOD和云存储等云端服务,同时也令移动设备的防护变得复杂而困难。对此,谷亮表示:“在2012年对企业终端设备造成了严重威胁的APT攻击,未来还将在更广范围内持续扩大和强化,APT攻击扩展和云端资料外泄是2013年企业资产面临的两大安全威胁。”
对黑客来说,云计算同样具有吸引力。一方面很多云端数据成为他们窃取的主要目标,另一方面,很多云服务也被他们用作传输木马和病毒的方式,Facebook和Twitter都曾经被用来传输攻击指令。
尽管云服务商通常有能力消除恶意程序,但并不能完全防止服务器遭到滥用。因此趋势科技预测,2013年肯定将出现更多云服务器被非法滥用的情况。
篇14
工业控制系统面临新威胁
就烟草行业而言,为了实现管理与控制的一体化,提高企业信息化和综合自动化水平,实现生产和管理的高效率、高效益,行业引入了生产执行系统MES ,实现了管理信息网络与生产控制网络之间的数据交换,生产控制系统不再是一个独立运行的系统,可以与管理系统进行互通、互联。与此同时,行业实现了实时数据采集与生产控制,满足了“两化融合”的需求和管理的方便,通过逻辑隔离的方式,使工业控制系统和企业管理系统可以直接进行通信。然而,企业管理系统一般直接连接互联网,在这种情况下,工业控制系统接入的范围扩展到了企业网,也不断面临着来自互联网的威胁。
成都卷烟厂工控安全项目正式项目名称是“川渝中烟工业有限责任公司信息安全三期建设项目”,其目标是根据行业政策要求,结合川渝中烟成都卷烟厂的实际情况,建立川渝中烟四川子公司成都分厂的工业控制系统(ICS)安全防护体系,为川渝中烟成都卷烟厂建立行之有效的工业控制系统安全管理制度, 其范围覆盖厂级MES系统、制丝车间、卷包车间、高架库、能源车间的工业控制系统,这是在全行业都具有完整意义的工控安全体系建设项目,意义重大。
启明星辰在承建该项目之前就已经在烟草行业做过大量的关于工控安全问题的调查和研究,并为国家烟草局起草全行业相关规范和标准提供主要技术支撑,并在接手项目前后进行了细致的现场踏勘调研和沟通。2014年1月份项目启动,经过详细方案设计、安装调试 、系统测试、上线试运行、解决初验时的遗留问题、对系统的稳定性和功能进行改善和优化等阶段,系统运行良好并投入了使用,并于2015年10月10日通过终验。
由于此项目的开创性和现场环境的复杂性,本项目在实施期间遇到了包括技术方面的诸多困难,启明星辰增派技术人员,聘请专家到现场加班加点,反复研究、调整提高设计和实施方案,对全部工业防火墙设备进行了升级,从而使项目顺利完成。在完成标书与合同承诺的同时,启明星辰还配合川渝中烟项目组成员完成了烟草工业企业工业控制系统安全防护部分规范标准的制定,完成了三篇相关科研论文,为成都分厂以及整个川渝中烟工控安全体系下一步建设的思路和做法做了科学有益的探索。
开辟工控安全建设新道路
川渝中烟工业有限责任公司信息安全三期建设项目”的成功验收具有两大意义:
- 上一篇:嫁接技术教程范文
- 下一篇:煤矿的安全生产管理范文
