企业信息安全建设论文
企业信息安全建设论文结合笔者公司信息化建设的实际,从技术上研究企业信息安全的解决方案。
企业信息安全建设论文【1】
摘要:随着现代科学技术的迅猛发展,计算机信息技术得到普遍应用,信息的安全问题也日益突出。
关键词:信息安全;信息内网;信息外网;存储介质;安全策略;信息泄密
随着计算机和网络应用的加速发展,信息安全问题已经引起许多国家的普遍关注,成为当今信息安全技术领域的一个重要研究课题。
对企业信息安全而言,影响信息安全的因数很多,除Internet系统自身的开放性外,内部用户访问控制,用户身份识别,安全意识不高等都可能�信息安全造成威胁。
信息安全技术是解决如何有效进行介入控制,以及如何保证数据安全传输的技术手段。
企业信息安全建设主要从以下二方面开展,一方面是企业信息安全保密管理规章制度,另一方面是信息安全保密技术。
本文着重从技术上探讨企业信息安全的解决方案。
1 信息安全目前状况
现在黑客的攻击并不是破坏底层的系统,而是为了入侵应用,窃取数据,带有明显的商业目的。
网络攻击带来安全威胁,如:网页挂马、网页仿冒、网页篡改等。
随着网络合规应用要求越来越多,针对应用的攻击也越来越多,除了在管理制度上确保信息安全外,还要在技术上确保信息安全。
在众多的攻击行为和事件中,发生最多的安全事件是信息泄漏事件;攻击者主要来自企业内部,而不是来自外部的黑客等攻击者;安全事件造成最大的经济损失主要是内部人员有意或无意的信息泄漏事件。
信息泄漏事件往往不被人们所关注,没有引起企业主管领导和技术人员的足够重视和关注;针对外部黑客攻击的防范措施、解决方案、技术和产品较多较成熟,而针对内部员工的失泄密行为,目前还没有成熟的、全面的解决方案。
对于来自内部信息泄密的安全问题,一直是整个信息安全保障体系的难点和弱点所在
2 企业信息泄密的主要途径
企业信息泄密途径多种多样,归纳起来有网络泄密、存储介质泄密、电磁波辐射泄密、工作人员违规操作泄密等。
而网络泄密、存储介质泄密是信息泄密的薄弱环节,也是最易发生的,在技术上要重点防控。
3 企业信息泄密的主体分析
3.1外部入侵泄密
外部入侵又分外部网络入侵和外部实体入侵。
外部网络入侵是指对方利用系统的漏洞或安全防护薄弱环节,通过一定的技术手段进入内部网络,拦截网络传输信息、攻击计算机而达到窃取计算机上存储的机密信息。
外部网络入侵窃密途径有黑客入侵、病毒感染、木马窃密、传输拦截等。
外部实体入侵是指外部人员通过各种方式接近或进入信息安全防护实体,直接对保护实体进行盗窃,非法获取载有涉密信息的计算机、存储介质、纸质文件等,或者使用移动存储介质进行非法拷贝,利用存储介质剩磁进行数据恢复等。
3.2 内部人员泄密
内部信息泄密是指单位内部的工作人员,在工作过程中无意识地泄露单位机密,或者利用职务之便有意地窃取单位机密。
如:存储介质丢失或失窃,在上网时对信息的处理过程中因缺乏保护意识而无意中泄密以及非法外联、非法内联、非法拷贝、非法共享、非法打印、上网外发信息等诸多方面。
4 企业信息安全的解决方案
每个企业对信息安全的等级不一样,其信息安全的解决方案也不一样,我公司是上海市电力公司下属的一家国有企业,企业的信息安全要满足国家电网的要求,按照国家电网的要求来建设。
4.1 采用网络物理隔离技术及网络VLAN技术
信息内网是指承载公司信息化业务应用的网络系统,且与互联网断开的网络,如:人事�工资和财务信息的处理都在信息内网上进行;信息外网是指与互联网连接的网络,如:收发电子邮件、上网搜索信息等。
VLAN是在一个物理网上划出来的逻辑网络,VLAN是一种比较新的技术,工作在OSI参考模型的第2层和第3层,一个VLAN就是一个广播域,VLAN之间的通信是通过第3层的路由器来完成的。
与传统的局域网技术相比较,VLAN技术更加灵活,可以控制广播风暴;可提高网络的安全性。
在公司内部组建二个物理上隔离的信息内网和信息外网,切断内网与外网的物理连接,彻底杜绝通过外网入侵的途径;禁止内网终端与外网终端交叉使用,做到双网物理隔离和双网双机。
通过划分虚拟网络(VLAN)进行网络区域控制,将服务器网段与内网终端网段逻辑区分开来,并制定访问策略进行控制;严禁使用无线局域网;内网IP地址必须使用静态分配方式,并由公司统一规划与管理;实行IP与MAC地址绑定策略。
4.2 部署桌面终端管理系统和文件加密系统,确保信息安全
因世博保电要求,根据上级单位对我公司的信息安全的要求,我公司在2010年初就部署了北信源桌面终端管理系统和文件加密系统,对用户的桌面终端进行管理,禁止使用桌面终端的光驱、串口、并口、无线网卡、Mdem、移动硬盘,只允许做过安全标签的.安全U盘才能使用,其他外来U盘禁止使用,启用802.1X准入控制,确保网络计算机的接入安全。
文件加密系统对设计图纸文件、WORD文件、EXCEL文件等进行加密管理,加密文件只能在公司内网打开,即使加密文件不幸被外单位窃获,在外单位的电脑上打开也是乱码,保证了公司的信息安全。
4.3 操作系统安全及防病毒技术
定期对操作系统进行打补丁升级,修补系统漏洞;定期更改操作系统的登录密码,密码要满足一定复杂性要求,关闭多余账户、多余服务和共享目录,部署江民网络版杀毒软件,定期对杀毒软件更新升级,定期对操作系统杀毒,确保操作系统的安全。
4.4 互联网接入安全加固
在互联网接入处安装诺基亚IP390防火墙和深信服M5100AC上网行为管控设备,并启用管控策略。
防火墙作为一种将内外网隔离的技术,普遍运用于企业信息安全建设中。
合理使用防火墙,可以构筑内外网之间的安全屏障,有效地将企业内部网与互联网隔离开来,有利于提高网络抵抗黑客攻击的能力和系统的安全性。
在WindowsXP/Windows7系统中可以开启自身带的防火墙功能,桌面终端还可以安装专业的防火墙软件,如360安全卫士和江民防火墙等。
诺基亚IP390防火墙是对互联网入口进行管控,而深信服M5100AC上网行为管控设备是对桌面终端浏览互联网的内容进行控制管理。
从技术与管理上限制用户对反动、色情等国家明令禁止站点的访问,并按规定留存不低于半年的所有访问互联网日志;启用邮件过滤服务,对敏感内容进行过滤,同时加强对有关人员的安全保密教育,不要将公司的敏感信息对外发布。
建立信息安全应急响应机制,抓好网络与信息系统日常监测维护。
4.5信息系统实体安全的物理环境加固
要保证企业信息系统的安全、可靠,必须保证信息系统实体有个安全的物理环境条件。
这个安全的环境是指机房及其设施,要重视机房环境建设和管理,机房要安装安全门禁系统,禁止无关人员进入。
为了防止自然灾害的发生,对重要信息系统,要有异地容灾建设,并做好数据备份工作。
5 结束语
企业信息安全是一项复杂的系统工程,涉及技术、设备、管理和制度等多方面的因素,信息安全解决方案的制定需要从整体上进行把握。
必须做到管理和技术并重,安全技术必须结合安全措施,并加强信息安全立法和执法的力度,建立备份和恢复机制,制定相应的信息安全标准。
参考文献:
[1] 袁浩,张金荣.INTERNET接入、网络安全[M].北京:电子工业出版社,2011.
企业信息化建设中信息安全问题【2】
【摘要】随着经济社会和现代科技的发展,越来越多的企业意识到信息化建设对企业发展的重要性,逐步加大企业信息化建设的投资力度,加强对企业信息化建设中信息安全问题的分析,积极采取有效的信息安全防范措施。
【关键词】企业信息化建设;信息安全问题;防范措施
当今是信息爆炸时代,信息化时代的到来给企业带来了更为广阔的发展空间。
企业通过互联网渠道搜集海量信息,为企业产品推广和联系客户提供了平台。
当前,尤其是伴随着“两化融合”的推进,许多的企业都意识到加强信息化建设对自身发展的重要性,加大了对信息化建设的资金、人力投入,以促进企业走向信息化发展道路。
但伴随着企业信息化建设过程中也出现了一些信息安全问题,例如:不法分子采取技术手段窃取企业重要信息进行不正当交易。
企业重要信息一旦泄露,很可能会给企业带来严重的经济损失,严重者可能会造成企业倒闭。
因此,作为企业而言在加快信息化建设的同时绝对不能忽视信息安全问题。
深入性地分析信息安全问题产生的原因,积极采取有效措施,减少或者避免信息安全问题的发生。
1企业信息安全问题分析
就当前企业信息化建设中存在安全问题的原因来讲,只要主要有内因和外因两种。
具体分析如下:
1.1内部原因
1.1.1企业信息系统安全意识薄弱
当前,多数企业都意识到信息化建设对自身发展的重要性,加大了信息化建设的投入力度。
但因缺乏实践指导,管理层信息化意识缺乏,发展盲目,对信息安全问题往往忽视,使得信息化系统运行过程中出现不同程度的安全问题。
1.1.2信息安全软件技术不高
当前国内的信息安全软件技术虽然发展较快,但同国外发达国家的信息安全软件技术水平相比,差距仍旧比较大。
并且信息安全软件是“盾”,黑客病毒是“矛”,防范措施总是很难赶上病毒以及黑客的发展。
1.1.3管理缺乏规范
部分企业由于没有从思想上认识到信息安全问题的危害性,重投入,轻管理,空有信息系统却管理混乱,没有建立有效的安全问题防范机制,这就给恶意人员侵入企业信息系统提供了机会,造成企业的重要信息被窃取或丢失。
1.1.4专业技术人员缺乏
一般而言,企业信息安全系统的维护和升级都要有专业的技术人员操作。
但由于企业的高层对于信息化的认识程度、企业的发展程度差异,导致部分企业没有配置专门的管理技术人员,设备与系统缺乏专业的维护管理。
1.1.5信息安全问题的相关法律不够健全
针对当前国内危及企业信息安全的违法犯罪行为,我国还没有相关的法律法规体系,导致这种类型犯罪较难管理,企业因信息被窃取而造成的经济损失,也很难获得合理赔偿。
1.2外部原因
现阶段,企业信息系统受到的威胁主要来源于外部。
随着现代信息技术的高速发展,信息逐渐在市场中突显出其重要作用。
一些不法分子看准信息对企业发展重要性的这一点采用不同手段来窃取企业的一些重要信息来谋取利益。
此外,还有一些企业为了能够在市场中取得竞争优势,也会采取一些不法手段来获取其他竞争对手的信息,借以打压竞争对手。
2企业信息化建设中安全问题的应对措施
2.1企业应提高信息安全问题防范意识
企业应提高信息安全问题防范意识,将信息安全问题防范工作上升到企业战略层面,将其放在企业信息化建设工作的重要位置,立足长远,合理规划,重视信息化建设中信息安全问题的防范,加强对信息安全问题的研究,积极采取有效措施防范可能会发生的信息安全问题,建立长效机制。
2.2正确选择信息安全防护软件
目前,企业在信息化建设中对于信息安全问题往往会采用信息安全防护软件方式来防范安全问题。
但有些企业在选择信息安全防护软件时没有注重信息安全防护软件的质量,有时候选择一些防护性能弱,价格低廉的软件。
使得信息安全防护软件起不到防护功能。
即浪费了企业资金,由起不到应有的效果。
2.3加强企业信息系统管理
我们知道,不管是任何安全防护硬件或者软件都不是完美的,都存在一定的漏洞,都有可能遭到破坏和攻击,使其失去防护功能。
所以,其只是辅助措施,对于信息安全防护工作不能完全依赖技术手段,以为只要采购好软硬设备旧高枕无忧了,而是要在拥有技术手段的同时,加强日常管理,建立长效管理机制。
通过健全的信息安全管理制度,并且管理人员切实贯彻落实才能防患于未然。
建立信息安全风险评估体制。
基于企业的信息系统不是在同一时间和同一技术支持下所建立的,所以在信息系统运行管理中各个系统可能存在的运行安全隐患是不同的。
这就需要企业根据系统的不同找出各自的不安全因素和漏洞。
建立完善的信息安全风险评估体制,通过量化分析,制定切实可行的信息系统运行风险防范措施。
加强网络管理。
企业的信息系统遭到破坏,信息泄露都是企业外的一些不法分子通过网络来窃取的。
因此,企业内部应建立完善的网络管理专业人才队伍,加强对网络安全管理,给企业信息系统的运行提供安全可靠环境。
3结语
总之,加强信息化建设已经成为当前企业必须要重视的课题。
在企业信息化建设快速发展的同时,信息系统安全问题也越来越突出,给企业信息系统的可靠性运行造成了不同程度的影响,所以,企业应重视信息系统安全问题的分析和研究,采取有效的信息安全防范对策,确保企业信息系统的安全、稳定、可靠运行。
参考文献
[1]李晓东.我国企业信息化发展的现状、障碍及对策建议[J].数以经济技术经济研究,2011(01).
【企业信息安全建设论文】相关文章:
桌面安全管理系统中企业信息建设应用论文03-25
企业信息安全的论文03-12
企业信息安全治理框架论文01-27
企业信息安全问题研究论文03-15
关于造型企业信息安全的论文12-01
电力企业信息安全网络建设原则及实践的论文04-11
电力企业信息网络安全建设策略探讨论文04-08
企业信息安全现状分析研究论文03-11
关于企业信息安全现状分析的论文11-28