企业的信息安全论文

企业的信息安全论文

　　企业的信息安全论文【1】

　　摘 要 企业信息化程度发展到一定水平，从防火墙、入侵检测等安全硬件到文档防泄密、行为管理等安全软件，技术上都比较成熟且大部分企业都已实施部分安全项目。

　　但实施安全项目之后并不是高枕无忧，管理是否到位及企业员工安全意识成为企业信息安全的短板，如何从管理角度提高企业的信息安全水平，已成为一个重要的课题。

　　关键词 信息安全;管理;意识

　　从安全软硬件出发，大多安全实施厂家已有较成熟的方案，一旦项目实施完成后，企业往往容易忽略人员意识、IT审计、后续管理等因素对信息安全的影响。

　　本文就如何解决企业信息安全短板，从管理角度进行探讨。

　　1 管理安全的含义和IT审计的特点

　　从大的方面来说，信息安全是指信息网络的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断。

　　直接反映到企业来说，就是要通过实施一整套适当的控制措施实现企业各业务系统正常运行，确保安全目标的实现。

　　本文从管理角度探讨企业的信息安全，可以简称为管理安全，它是指建立并有效落实企业规章制度、安全管理规定等，来保证系统安全生存与运行。

　　企业安全管理的规章制度是否运行有效直接关系到企业安全目标能否保障，在此管理过程中需要引入IT审计。

　　IT审计重点内容之一就是发现信息系统的潜在风险，可以说企业信息中心对潜在的IT风险是比较重视的。

　　IT审计相对技术而言，更多侧重于管理，比如在安全策略方面更侧重于访问授权的控制，以及定期核查是否按相关信息化制度办事，还有就是有无进行过适当的渗透去检验系统的可靠性等。

　　实施IT审计能够提高企业信息系统的安全性，能够客观评价信息系统安全现状。

　　2 从管理角度看企业中存在的主要信息安全威胁

　　1)企业日常信息化管理中，会碰到以下一些现象，如：明知计算机病毒无孔不入，却不安装杀毒软件;个人认证的物品(如员工门禁卡)随意借用他人;进入门禁系统之后，对他人尾随不理不问;移动存储介质外借他人，却不知可能造成感染病毒或泄密;打印服务器、扫描服务器等公用电脑临时存放许多信息却不删除。

　　从上述现象中可以得知，企业员工信息安全意识淡薄会产生较多安全漏洞。

　　据《2011年度中国企业员工信息安全意识调查报告》显示，30%的受访者从来没有接受过信息安全培训，只有30%的企业会进行定期的信息安全培训[1];

　　2)企业信息安全项目做的深度是与企业信息化发展水平相关的，一般企业会根据本身的信息化水平发展程度分步骤进行。

　　企业初始阶段会通过封USB端口，不配置光驱等形式防止电子文档传播至外界。

　　现阶段已有部分企业关注电子文档防泄密的软件，同时配以相应的制度，从一定程度上能达到预期的效果。

　　项目实施后往往会发现效果难以保持，因为企业缺少相关的信息安全审计人员，在审计工作不到位的情况下，安全软件的审计功能无法体现其价值;

　　3)企业通过安全软件对电子文档进行管理，在实物管理方面缺乏措施。

　　办公室文印区域是企业信息泄密的源头之一，外单位人员进入企业进行交流时，通常会经过办公室文印区域，员工打印文件后如不及时拿取，容易将技术资料留在在打印机上，给有心之人获取，容易造成泄密。

　　计算机、笔记本等办公设备故障外移送修，送修前未经过审核批准，不对硬盘做处理，上述这些日常办公现象存在着信息安全漏洞[2]。

　　3 信息安全短板的对策措施——强管理

　　尽管企业防火墙、防毒墙等安全硬件设施或安全软件都较齐全，但是采取恰当的管理措施也能有效的提高信息安全水平，最终有效地保护企业信息资产。

　　本文总结了以下几种管理方法并加以说明。

　　1)提高员工安全意识，关键是做好培训。

　　一方面企业信息中心要组织好讲师及培训素材。

　　培训素材可结合生活中的信息安全案例或者通过动画情景介绍等较生动的方式，寓教于乐，让每个企业员工明白数据等无形资产的重要性，理解数据信息安全是企业的生存发展壮大的法宝。

　　在培训方式上，可采用循序渐进的培训方式，不急于求全，可从最基本的启用标准的计算机密码(如大小写字母+数字)、离开座位时使用屏保等开始培养。

　　后续可陆续完善公司涉密规章制度，同时认真落实，要让员工真正懂得防止泄密的办法;

　　2)通过IT审计严把信息安全管理关。

　　企业做好IT审计，从以下几方面入手：一方面是人才培养，企业审计部门需要引入类似IT审计师的角色，尽管现阶段大部分中小企业未能做到这一点，但可参照国际上通用的认证培训——国际信息系统审计师，把企业信息管理人员送出外培，提高兼职型IT审计人员的技术水平及能力;另一方面是IT审计人员职责要明确，从实践上看，IT审计人员工作内容包括查看企业人员是否按照已有的涉密规章制度进行审批手续、定期将审计报表反馈给高层，监督整改落实的情况及效果验证，使企业自上而下重视信息安全管理;

　　3)让安全软件的审计功能发挥作用。

　　市场上的电子文档防泄密系统提供日志审计功能。

　　日志系统主要用来跟踪和记录用户对受控文件的操作、记录管理员设定的策略和操作。

　　企业系统管理员要对文件日志、部门日志、计算机日志、申请审批日志等进行定期检查，同时发挥IT审计人员的监督作用，才可让安全软件的审计记录发挥作用;

　　4)利用刷卡认证方式管理文档输出。

　　办公类信息安全管理方面，涉及到各类业务系统的账户管理、文档输出管理、存储设备管理等。

　　现有企业一般是通过制度约束，但效果不明显，这里结合新的管理方式对文档输出管理进行说明。

　　一般我们不会一直等在打印机旁，没有把打印好的资料及时拿走。

　　而所打印的资料大多是技术图纸、商务合同、计划等资料，让人不经意地看到相关内容及敏感信息。

　　要减少因遗忘而将已输出的文档滞留在文印设备上，可结合IC刷卡认证的方式，企业通过为文印设备配备一些读卡器，只有当刷员工卡时，文档才从文印设备输出，员工可即刻拿走。

　　总之，企业信息安全是一个多点因素的难题，涉及技术、管理、应用等方面，随着企业信息化的发展，各类信息系统及软件资产不断增多，从管理角度保障信息安全，增强企业员工安全意识，成为企业成长的重中之重。

　　参考文献

　　[1]北京谷安天下科技有限公司.2011年度中国企业员工信息安全意识调查报告[R]，2012.

　　[2]杨锴新、刘洁.关于企业信息安全管理的思考[J].经管空间，2011，5.

　　加强企业信息安全【2】

　　【摘要】随着国网公司信息化建设工作的不断推进，信息安全工作的重要性日益凸显。

　　由于国网公司内网终端分布范围广，内网计算机终端违规外联成为威胁内网安全的重大隐患。

　　国网延安供电公司信息运检班经过长时间终端运维的经验总结，从管理和技术上对如何防范违规外联形成了一套行之有效的方法，并收到了卓越的成效，为企业的信息化工作提供了安全、稳定的信息支持和服务。

　　【关键词】 信息安全 违规外联 电力企业

　　一、前言

　　国网公司现已建成覆盖至基层生产班站及营业站所的信息内网。

　　随着SG186工程的全面投入运行，从职能部室到一线班组，电力企业所有的业务数据都依赖网络进行流转，电网企业生产和经营对信息网络和信息系统的依赖程度越来越高信息安全的重要性日益凸显。

　　国网公司已将网络与信息安全纳入公司安全管理体系。

　　一直以来，信息安全防御理念常局限于常规的网关级别(防火墙等)、网络边界(漏洞扫描、安全审计)等方面的防御，重要的安全设施大多集中于核心机房、网络入口处，在这些设备的严密监控下，来自网络外部的安全威胁已大大减少，尤其实行内外网隔离、双网双机后，来自于互联网的威胁微乎其微。

　　而内网办公终端由于分布地点广泛，管控难度大，加之现在无线上网卡、无线wifi和智能手机的兴起，内网计算机接入互联网的事件时有发生，一旦使用人员将内网计算机通过以上方式接入互联网，即造成违规外联事件。

　　由于违规外联开通了一条无任何保护措施进出内外网的通道，一旦遭遇黑客袭击，就可能造成信息泄露、重要数据丢失、病毒入侵、网络瘫痪等信息安全事故，给企业信息安全带来重大的安全隐患和风险。

　　二、强化管理、落实责任，监培并进

　　1、将违规外联明确写入公司各项规章制度，并纳入经济责任考核。

　　在《公司信息系统安全管理办法》中，对杜绝违规外联事件进行了明确的要求：所有内网计算机必须粘贴防止违规外联提示卡，严禁将接入过互联网未经处理的计算机接入内网，严禁在普通计算机上安装双网卡，严禁将智能设备(3G手机、无线网卡等)插入内网计算机USB端口，严禁在办公区通过路由器连接外网，杜绝违规外联行为。

　　一旦发生违规外联事件，依据《企业信息化工作评级实施细则》，按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则对事件责任人进行严肃处理和经济考核，并在全公司通报批评。

　　将信息安全责任落实到人。

　　2、加大违规外联宣贯和培训力度。

　　信息安全工作，重在预防，将一切安全事件消灭在萌芽状态，才能确保信息系统安全稳定运行。

　　分层次组织开展公司在岗员工，尤其是新员工的信息安全教育培训工作，即重点培训各部门信息化管理人员，各级管理人员培训本部门技术人员，本部门技术人员培训一线员工。

　　通过分层式培训，提高了培训效果，同时各级管理人员、技术人员作为下级培训对象讲师提高了自身素质，强化了信息安全关键点的作用。

　　确保违规外联事件的严重性、危害性和工作机理已宣贯至公司每一位员工，实现全员重视、全员掌握，做到内网计算机“离座就锁屏，下班就关机”的工作习惯。

　　3、加强外来工作人员管控。

　　加强外来工作人员信息安全教育，并签订《第三方人员现场安全合同书》，严禁外来工作人员计算机接入公司内外网。

　　对第三方人员工作过程全程监控，防止因外来工作人员擅自操作造成违规外联事件。

　　二、加强技术管控，从源头杜绝安全事件的发生

　　2.1严格执行“双网双机”

　　严禁在信息内网和外网交叉使用计算机。

　　对要求接入信息内、外网的计算机，需向本人核实该计算机之前网络接入情况，对内外网络接入方式有变化、或者是不清楚的情况，需对计算机进行硬盘格式化并重装系统后方可接入网络。

　　2.2安装桌面终端，设置强口令，防止违规外联

　　实时监控全公司内网终端桌面终端系统安装率，确保所有内网计算机桌面终端安装率达100%。

　　设置桌面终端策略，一旦发生违规外联，系统立即采取断网措施，并对终端用户进行警示。

　　要求全部内网计算机设置开机强口令(数字+字母+特殊符号，且大于8位)，防止非本人操作的违规外联行为。

　　通过桌面终端系统对内网计算机开机强口令进行实时监控。

　　2.3做好温馨提示，明确内外网设备，防止违规外联

　　做到每一台内网计算机均粘贴信息安全提示标签提示员工切勿内网计算机接入外网网络，无线网卡及智能手机切勿接入内网。

　　内外网网络端口模块、网线端口都要有明显标识，防止员工误接网络。

　　2.4实行内网计算机IP、MAC绑定和外网计算机IP、认证账号绑定

　　加强IP地址绑定，从交换机端口对接入内网的计算机进行IP、MAC地址绑定，确保除本计算机外，其余计算机无法通过该端口接入内网。

　　通过外网审计(网康科技)对外网IP和用户认证账户进行绑定，完善外网用户和计算机基础资料，做到全局外网终端和用户可控。

　　三、信息安全前景：

　　在信息安全领域没有绝对的安全防护技术和手段。

　　随着信息技术日新月异的发展，电力企业内网计算机违规外联风险也在增加。

　　在已有的管控手段的基础上，还要及时关注新技术，不断完善和调整制度管理和技术策略。

　　信息安全是伴随企业信息化应用发展而发展的永恒课题。

【企业的信息安全论文】相关文章：

企业信息安全的论文10-08

企业信息安全建设论文10-09

关于造型企业信息安全的论文10-08

企业邮箱的信息安全研究论文10-08

关于企业实施信息安全保障的论文10-08

企业信息安全治理框架论文10-09

企业信息安全问题研究论文10-08

企业局域网信息安全论文10-08

关于企业信息安全现状分析的论文10-08