企业信息安全的概念范文

时间:2023-10-09 17:30:13

导语:如何才能写好一篇企业信息安全的概念,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

企业信息安全的概念

篇1

企业经营信息对于企业来说是一种资源,对于企业自身来说具有重要意义,企业需要妥善管理自身企业的信息。近年来,企业的各项经营活动都逐渐开始通过计算机,网络开展,因此,企业的信息安全管理对于企业越来越重要。许多企业开始通过各种技术手段以及制度改革,把更多的注意力放在企业内部的信息安全管理工作,同时将企业信息安全管理与风险控制结合起来,这是一个正确的选择,能够帮助企业实现稳定经营。在介绍企业信息安全管理以及风险控制前必须厘清企业信息安全管理的概念与企业风险控制定义,因此,本节将着重介绍企业信息安全管理的概念以及企业风险控制的定义。企业的信息安全管理包含十分丰富的内容,简单来说是指企业通过各种手段来保护企业硬件和软件,保护网络存储中的各种数据不受偶然因素的破坏或者恶意的原因被攻击。对于信息安全的认定通过包括4个指标,即保证信息数据的完整,保证信息数据不被泄露,保证信息数据能够正常使用,保证信息数据能够控制管理。要想做好企业的信息安全管理,首先需要了解的是关于信息的传输方式。随着信息技术的不断普及,信息传递的方式越来越多,常见的信息传递方式主要有互联网传播,局域网传播,硬件传播等等。要想实现企业的信息安全管理,其中很重要的一项工作在于保护信源、信号以及信息。

信息安全管理是一项需要综合学科知识基础的工作,从事企业信息安全管理工作的人员通过需要具有网络安全技术、计算机技术、密码技术、通信技术。从企业的信息安全管理来讲,最为关键的一项工作时保护企业内部经营信息数据的完整。经过近十年来的企业信息安全管理工作经验总结,企业信息安全不仅仅需要信息技术的支持,更需要通过建立完善的企业风险控制体系来帮助企业实现更好地保护企业信息安全的目标。所以,怎样把企业信息安全管理与风险控制融合起来就是摆在企业经营管理者面前的一道难题。企业的信息安全风险控制必须通过企业建立完善的企业信息安全风险体系实现。

企业的信息安全风险控制是指企业在企业信息安全遭遇威胁之前,提前对企业的信息进行风险预估,并采取一系列的有针对性的活动降低企业面临的信息安全风险,从而尽可能减少因为企业本身信息安全管理中存在漏洞给企业带来不必要的损失。常见的企业信息安全风险体系建立主要包含以下几个方面的内容。第一,建立企业信息安全风险管理制度,明确企业信息安全管理的责任分配机制,明确企业各个部门对各自信息安全所应承担的责任,并建立相应的问责机制。第二,设置规范的企业信息安全风险管理指标,对企业存在的可能威胁企业信息安全管理的漏洞予以风险定级,方便企业管理者对不同的信息安全管理漏洞采取有区别的对策。第三,企业要加强对信息安全管理人员的培训,提高企业信息安全管理工作人员的风险意识,让企业内部从事信息安全管理工作人员认识到自身工作的重要性,让企业内部从事信息安全管理工作人员了解到规范自身行为,正确履行职责的重要性。第四,将企业信息安全管理与风险控制有效融合,重视企业信息安全管理工作,通过风险控制对企业内部信息安全的管理方式进行正确评估,找出现行的企业内部信息安全管理手段中存在容易忽视的地方。

二、企业信息安全管理与风险控制存在的不足

1.企业信息安全管理工作人员素质不高

对于企业来说,企业信息安全管理工作是一项极为重要而隐秘的工作,因此,必须增强对企业信息安全管理工作人员的素质要求。但是根据调查统计,目前很多企业对信息安全工作的管理仅仅停留在对企业信息安全管理工作人员的技术要求上,对企业信息安全管理工作人员的道德素养,职业素养,风险意识并没有严格要求。此外,绝大多数企业并没有意识开展对企业信息安全管理工作的道德素质的教育培训,并没有通过建立相关管理制度以及问责机制对企业信息安全管理工作人员实行监督,这无疑给别有用心或者立场不坚定的企业信息安全管理工作人员留下了危害企业信息安全的可乘之机。

2.企业信息安全管理技术不过关

企业信息安全管理工作涉及多许多技术,包括信息技术,计算机技术,密码技术,网络应用技术等等,应当说成熟的计算机应用技术是做好企业信息安全管理的基础,但是,现实是许多企业的信息安全管理技术并不过关,一方面企业的信息安全管理硬件并不过关,在物理层面对企业信息缺乏保护,另一方面,企业信息安全管理工作的专业技术没有及时更新,一些企业信息安全管理工作人员缺乏企业信息安全管理的实践经验,企业信息安全管理的知识也并没有及时更新,从而导致企业的信息安全管理理论严重滞后,这种技术的落后很容易让企业成为不法分子的攻击对象。近年来网络病毒的传播越来越猖狂,很多服务器、系统提示安全补丁的下载更新以及客户端的时常更新成为一个恼人的问题。作为一个行业中的大中型企业,企业内部设备数量比较多,尤其是客户端数量占了较大比重,仅仅靠少数几个管理员进行管理是难以承担如此大量的工作量。另外,企业信息安全管理系统不成熟也是一个重大的隐患。

3.企业信息安全管理制度不健全

企业信息安全管理制度不仅仅需要理论制度的完善,更加需要一系列配套监督机制保障企业信息安全管理的有效执行。通过调查分析,许多企业虽然建立了企业信息安全管理制度,但是通常情况下,这些制度只能流于形式,企业信息安全管理工作缺少有效的制约和监督,企业信息安全管理工作人员缺乏执行力。企业信息安全管理制度不健全,企业信息安全管理工作缺乏执行力常常体现在以下几个方面。第一,企业员工对于信息安全管理的认识严重不足,对企业信息安全管理工作不重视。企业内部计算机系统安全的计算机防病毒软件并没有及时更新,使用,甚至企业内部计算机的防病毒软件还被企业员工卸载了。部分企业员工认为自己的工作与企业信息安全管理不相关,认为做好企业信息安全管理工作仅仅是企业信息安全部门的事。第二,企业内部信息安全文秘站:管理制度并没有形成联动机制,企业信息安全管理工作仅仅由企业信息安全部门“一人包干”,企业信息安全反映的问题并没有得到积极的反馈,一些企业领导对企业信息安全现状所了解的少之又少。

三、企业信息安全管理常见的技术手段 1.OSI安全体系结构

OSI概念化的安全体系结构是一个多层次的结构,它的设计初衷是面向客户的,提供给客户各种安全应用,安全应用必须依靠安全服务来实现,而安全服务又是由各种安全机制来保障的。所以,安全服务标志着一个安全系统的抗风险的能力,安全服务数量越多,系统就越安全。

2.P2DR模型

P2DR模型包含四个部分:响应、安全策略、检测、防护。安全策略是信息安全的重点,为安全管理提供管理途径和保障手段。因此,要想实施动态网络安全循环过程,必须制定一个企业的安全模式。在安全策略的指导下实施所有的检测、防护、响应,防护通常是通过采用一些传统的静态安全技术或者方法来突破的,比如有防火墙、访问控制、加密、认证等方法,检测是动态响应的判断依据,同时也是有力落实安全策略的实施工具,通过监视来自网络的入侵行为,可以检测出骚扰行为或错误程序导致的网络不安全因素;经过不断地监测网络和系统来发现新的隐患和弱点。在安全系统中,应急响应占有重要的地位,它是解决危险潜在性的最有效的办法。

3.HTP模型

HTP最为强调企业信息安全管理工作人员在整个系统中的价值。企业信息安全工作人员企业信息安全最为关键的参与者,企业信息安全工作人员直接主导企业信息安全管理工作,企业信息安全工作人员不仅仅是企业信息安全的保障者,也是企业信息安全管理的威胁者。因此,HTP模型最为强调对企业信息安全管理工作人员的管理与监督。另外,HTP模式同样是建立在企业信心安全体系,信息安全技术防范的基础上,HTP模式采取了丰富的安全技术手段确保企业的信息安全。最后,HTP强调动态管理,动态监督,对于企业信息安全管理工作始终保持高强度的监督与管理,在实际工作中,通过HTP模型的应用,找出HTP模型中的漏洞并不断完善。

四、完善企业信息安全管理与降低风险的建议

1.建设企业信息安全管理系统

(1)充分调查和分析企业的安全系统,建立一个全面合理的系统模型,安全系统被划分成各个子系统,明确实施步骤和功能摸块,将企业常规管理工作和安全管理联动协议相融合,实现信息安全监控的有效性和高效性。

(2)成立一个中央数据库,整合分布式数据库里的数据,把企业的所有数据上传到中央数据库,实现企业数据信息的集中管理与有效运用。

(3)设计优良的人机界面,通过对企业数据信息进行有效的运用,为企业管理阶层人员、各级领导及时提供各种信息,为企业领导的正确决策提供数据支持,根本上提高信息数据的管理水平。

(4)简化企业内部的信息传输通道,对应用程序和数据库进行程序化设计,加强对提高企业内部信息处理的规范性和准确性。

2.设计企业信息安全管理风险体系

(1)确定信息安全风险评估的目标

在企业信息安全管理风险体系的设计过程中,首要工作是设计企业信息安全风险评估的目标,只有明确了企业信息安全管理的目标,明确了企业信息安全管理的要求和工作能容,才能建立相关围绕信息安全风险控制为目标的信息安全管理工作制度,才能顺利通过对风险控制的结果的定量考核,检测企业信息安全管理的风险,定性定量地企业信息安全管理工作进行分析,找准企业信息安全管理的工作办法。

(2)确定信息安全风险评估的范围

不同企业对于风险的承受能力是有区别的,因此,对于不同的企业的特殊性应该采取不同的风险控制办法,其中,不同企业对于能够承受的信息安全风范围有所不同,企业的信息安全风险承受范围需要根据企业的实际能力来制定。不仅如此,企业的信息安全风险评估范围也应当根据企业的实际经营情况变化采取有针对性的办法。

篇2

随着信息化进程的发展,信息技术与网络技术的高度融合,现代企业对信息系统的依赖性与信息系统本身的动态性、脆弱性、复杂性、高投入性之间的矛盾日趋突显,如何有效防护信息安全成为了企业亟待解决的问题之一。目前国内企业在信息安全方面仍侧重于技术防护和基于传统模式下的静态被动管理,尚未形成与动态持续的信息安全问题相适应的信息安全防护模式,企业信息安全管理效益低下;另一方面,资源约束性使企业更加关注信息安全防护的投入产出效应,最大程度上预防信息安全风险的同时节省企业安全建设、维护成本,需要从管理角度上更深入地整合和分配资源。

本文针对现阶段企业信息安全出现的问题,结合项目管理领域的一般过程模型,从时间、任务、逻辑方面界定了系统的霍尔三维结构,构建了标准化的ISM结构模型及动态运行框架,为信息网络、信息系统、信息设备以及网络用户提供一个全方位、全过程、全面综合的前瞻性立体防护,并从企业、政府两个层面提出了提高整体信息安全防护水平的相关建议。

1 企业信息安全立体防护体系概述

1.1 企业信息安全立体防护体系概念

信息安全立体防护体系是指为保障企业信息的有效性、保密性、完整性、可用性和可控性,提供覆盖到所有易被威胁攻击的角落的全方位防护体系。该体系涵盖了企业信息安全防护的一般步骤、具体阶段及其任务范围。

1.2 企业信息安全立体防护体系环境分析

系统运行离不开环境。信息产业其爆炸式发展的特性使企业信息安全的防护环境也相对复杂多变,同时,多样性的防护需求要求有相适应的环境与之配套。

企业信息安全立体防护体系的运行环境主要包括三个方面,即社会文化环境、政府政策环境、行业技术环境。社会文化环境主要指在企业信息安全方面的社会整体教育程度和文化水平、行为习惯、道德准则等。政府政策环境是指国家和政府针对于企业信息安全防护出台的一系列政策和措施。行业技术环境是指信息行业为支持信息安全防护所开发的一系列技术与相匹配的管理体制。

1.3 企业信息安全立体防护体系霍尔三维结构

为平衡信息安全防护过程中的时间性、复杂性和主观性,本文从时间、任务、逻辑层面建立了企业信息安全立体防护体系的三维空间结构,如图1所示。

时间维是指信息安全系统从开始设计到最终实施按时间排序的全过程,由分析建立、实施运行、监视评审、保持改进四个基本时间阶段组成,并按PDCA过程循环[5]。逻辑维是指时间维的每一个阶段内所应该遵循的思维程序,包括信息安全风险识别、危险性辨识、危险性评估、防范措施制定、防范措施实施五个步骤。任务维是指在企业信息安全防护的具体内容,如网络安全、系统安全、数据安全、应用安全等。该霍尔三维结构中任一阶段和步骤又可进一步展开,形成分层次的树状体系。

2 企业信息安全立体防护体系解释结构模型

2.1 ISM模型简介

ISM(Interpretation Structural Model)技术,是美国J·N·沃菲尔德教授于1973年为研究复杂社会经济系统问题而开发的结构模型化技术。该方法通过提取问题的构成要素,并利用矩阵等工具进行逻辑运算,明确其间的相互关系和层次结构,使复杂系统转化成多级递阶形式。

2.2 企业信息安全立体防护体系要素分析

本文根据企业信息安全的基本内容,将立体防护体系划分为如下15个构成要素:

(1) 网络安全:网络平台实现和访问模式的安全;

(2) 系统安全:操作系统自身的安全;

(3) 数据安全:数据在存储和应用过程中不被非授权用户有意破坏或无意破坏;

(4) 应用安全:应用接入、应用系统、应用程序的控制安全;

(5) 物理安全:物理设备不受物理损坏或损坏时能及时修复或替换;

(6) 用户安全:用户被正确授权,不存在越权访问或多业务系统的授权矛盾;

(7) 终端安全:防病毒、补丁升级、桌面终端管理系统、终端边界等的安全;

(8) 信息安全风险管理:涉及安全风险的评估、安全代价的评估等;

(9) 信息安全策略管理:包括安全措施的制定、实施、评估、改进;

(10) 信息安全日常管理:巡视、巡检、监控、日志管理等;

(11) 标准规范体系:安全技术、安全产品、安全措施、安全操作等规范化条例;

(12) 管理制度体系:包括配套规章制度,如培训制度、上岗制度;

(13) 评价考核体系:指评价指标、安全测评;

(14) 组织保障:包括安全管理员、安全组织机构的配备;

(15) 资金保障:指建设、运维费用的投入。

2.3 ISM模型计算

根据专家对企业信息安全立体防护体系中15个构成要素逻辑关系的分析,可得要素关系如表1所示。

对可达矩阵进行区域划分和级位划分,确定各要素所处层次地位。在可达矩阵中找出各个因素的可达集R(Si),前因集A(Si)以及可达集R(Si)与前因集A(Si)的交集R(Si)∩A(Si),得到第一级的可达集与前因集(见表2)。

2.4 企业信息安全立体防护结构

结合信息安全防护的特点,企业信息安全立体防护体系15个要素相互联系、相互作用,有机地构成递阶有向层级结构模型。图2中自下而上的箭头表示低一层因素影响高一层因素,双向箭头表示同级影响。

从图2可以看出,企业信息安全防护体系内容为四级递阶结构。从下往上,第一层因素从制度层面阐述了企业信息安全防护,该层的五个因素处于ISM结构的最基层且相互独立,构成了企业信息安全立体防护的基础。第二层因素在基于保障的前提下,确定了企业为确保信息安全进行管理活动,是进行立体防护的方法和手段;第三层因素是从物理条件、传输过程方面揭示了企业进行信息安全防护可控点,其中物理安全是控制基础。第四层要素是企业信息安全的直接需求,作为信息的直接表现形式,数据是企业信息安全立体防护的核心。企业信息安全防护体系的四级递阶结构充分体现了企业信息安全防护体系的整体性、层级性、交互性。

图2 企业信息安全防护解释结构模型

2.5 企业信息安全立体防护过程

企业信息安全立体防护是一个多层次的动态过程,它随着环境和信息传递需求变化而变化。本文在立体防护结构模型的基础上对企业信息安全防护结构进行扩展,构建了整体运行框架(见图3)。

从图3 中可以看出,企业信息安全防护过程按分析建立到体系保持改进的四个基本时间阶段中有序进行,充分体现出时间维度上的动态性。具体步骤如下:

(1) 综合分析现行的行业标准规范体系,企业内部管理流程、人员组织结构和企业资金实力,建立企业信息安全防护目标,并根据需要将安全防护内容进行等级划分。

(2) 对防护内容进行日常监测(包括统计分析其他公司近期发生的安全事故),形成预警,进而对公司信息系统进行入侵监测,判断其是否潜在威胁。

(3) 若存在威胁,则进一步确定威胁来源,并对危险性进行评估,判断其是否能通过现有措施解决。

(4) 平衡控制成本和实效性,采取防范措施,并分析其效用,最终形成内部信息防护手册。

3 分析及对策

3.1 企业层面

(1) 加强系统整体性。企业信息安全防护体系的15个构成要素隶属于一个共同区域,在同一系统大环境下运作。资源受限情况下要最大程度地保障企业信息安全,就必须遵循一切从整体目标出发的原则,加强信息安全防护的整体布局,在对原有产品升级和重新部署时,应统一规划,统筹安排,追求整体效能和投入产出效应。

(2) 明确系统层级性。企业信息安全防护工作效率的高低很大程度上取决于在各个防护层级上的管理。企业信息安全防护涉及技术层面防护、策略层面防护、制度层面防护,三个层面互相依存、互相作用,其中制度和保障是基础,策略是支撑,技术是手段。要有效维护企业信息安全,企业就必须正确处理好体系间的纵向关系,在寻求技术支撑的同时,更要立足于管理,加强工作间的协调,避免重复投入、重复建设。

(3) 降低系统交互性。在企业信息安全防护体系同级之间,相关要素呈现出了强连接关系,这种交互式的影响,使得系统运行更加复杂。因此需要加快企业内部规章制度和技术规范的建设,界定好每个工作环节的边界,准确定位风险源,并确保信息安全策略得到恰当的理解和有效执行,防止在循环状态下风险的交叉影响使防范难度加大。

(4) 关注系统动态性。信息安全防护是一个动态循环的过程,它随着信息技术发展而不断发展。因此,企业在进行信息安全防护时,应在时间维度上对信息安全有一个质的认识,准确定位企业信息安全防护所处的工作阶段,限定处理信息安全风险的时间界限,重视不同时间段上的延续性,并运用恰当的工具方法来对风险加以识别,辨别风险可能所带来的危险及其危害程度,做出防范措施,实现企业信息安全的全过程动态管理。

3.2 政府层面

企业信息安全防护不是一个孤立的系统,它受制于环境的变化。良好的社会文化环境有助于整体安全防护能力主动性的提高,有力的政策是推动企业信息安全防护发展的前提和条件,高效的行业技术反应机制是信息安全防护的推动力。因此在注重企业层面的管理之外,还必须借助于政府建立一个积极的环境。

(1) 加强信息安全防护方面的文化建设。一方面,政府应大力宣传信息安全的重要性及相关政策,提高全民信息安全素质,从道德层面上防止信息安全事故的发生;另一方面,政府应督促企业加强信息安全思想教育、职能教育、技能教育、法制教育,从思想上、理论上提高和强化社会信息安全防护意识和自律意识。

(2) 高度重视信息安全及其衍生问题。政府应加快整合和完善现有信息安全方面的法律、法规、行业标准,建立多元监管模式和长效监管机制,保证各项法律、法规和标准得到公平、公正、有效的实施,为企业信息安全创造有力的支持。

(3) 加大信息安全产业投入。政府应高度重视技术人才的培养,加快信息安全产品核心技术的自主研发和生产,支持信息安全服务行业的发展。

4 结 语

本文从企业信息安全防护的实际需求出发,构建企业信息安全防护基本模型,为企业信息安全防护工作的落实提供有效指导,节省企业在信息安全防护体系建设上的投入。同时针对现阶段企业信息安全防护存在的问题从企业层面和政府层面提出相关建议。

参考文献

[1] 中国信息安全产品测评认证中心.信息安全理论与技术[M].北京:人民邮电出版社,2003.

[2] 汪应洛.系统工程[M].3版.北京:高等教育出版社,2003.

[3] 齐峰.COBIT在企业信息安全管理中的应用实践[J].计算机应用与软件,2009,26(10):282?285.

[4] 肖馄.浅议网络环境下的企业信息安全管理[J].标准科学,2010(8):20?23.

篇3

信息,同企业其他资产一样是种资产,对企业的发展有很大作用。信息以各种形式存在,包括纸质的、电子的、图像的等。我国信息专家钟义信认为:“信息是该事物运动的状态和状态变化方式的自我表述/自我显示。”顾名思义,信息安全既保障“信息”的“安全”。关于信息安全,国际标准化组织(ISO)认为:“信息安全是在技术上和管理上为数据处理系统建立的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄漏”。我国信息安全专家沈昌祥院士则认为:“信息安全是保护信息和信息系统不被未经授权的访问、使用、泄露、中断、修改和破坏,为信息和信息系统提供保密性、完整性、可用性、可控性和不可否认性”。

二、企业信息安全体系设计

2.1企业信息安全体系方案概述

2.1.1信息安全体系设计原则

企业信息安全体系的设计应遵从以下原则:

(1)性能平衡,合理划分:提高整个系统的“安全低点”的性能,保证各层面能得到均衡防护;按照合理原则划分为安全等级,分区域、分等级防护。

(2)标准一致,功能互补:在产品技术、产品设备选择方面,尽可能遵循同一业界标准;充分考虑不同厂商、不同安全产品的功能互补,在进行多层防护时,考虑使用不同厂家的。

(3)统筹规划,分步实施。

2.1.2信息安全体系框架

网络安全的实现不是目标,是过程。其过程经历了安全评估、制订安全策略、安全培训、安全技术实施、安全网络检测、应急响应和灾难恢复等环节,并不断地螺旋式提高发展,得以实现网络安全。信息安全体系的三要素:管理、技术和运维。通过一系列的战略、系统和机制的协调,明确技术实现方法与相关安全操作人员的职责,从而达到安全风险的发现和有效控制,从而改善的安全问题反应速度和恢复能力,增强整体网络安全能力。管理方面,建立、健全安全组织结构;技术方面,建立分层网络安全策略;运维方面,通过不同的安全机制,提高网络安全的能力。

2.2企业信息安全技术体系

2.2.1信息安全技术体系概述

(l)设计原则

分析企业信息网络安全面临的主要威胁,实施有针对性的安全技术体系。安全技术体系的总体性要求如下:全面综合:采用综合解决方案,体系层次化,具有纵深性。集成统一:有效集成各类管理工具,集中化管理所有IT系统。开放适应:支持各种安全管理标准,能适应组织和环境的变化。

(2)信息安全技术体系框架

通过物理安全、网络安全、系统安全、应用安全等方面进行建设。具体有以下措施:物理安全防护建设;统一容灾备份中心建设;防火墙系统的部署;入侵防护系统的部署;系统安全防护建设;防病毒系统部署;漏洞扫描系统部署;信息审计系统防护。

2.2.2物理安全防护建设

(1)配套设备安全

采用多路供电(市电、动力电、UPS)的方法,多路电源同时接入企业信息系统大楼或主机房及重要信息存储、收发等重要部门,当市电故障后自动切换至动力电,动力电故障后自动至UPS供电。并且,当下级电源恢复后,应立即自动切换回去。这样,既保证了安全性,又降低了运行费用。形成一套完整的先进和完善的供电系统及紧急报警系统。供电系统中,会有尖峰、浪涌等不良现象发生,一旦发生,轻则断电重启,重则烧毁并引发火灾。这种情况下,UPS也无济于事。为避免对供电质量和造成不安全因素,可以使用电力净化系统。电源净化系统不仅保证电源质量,同时还可减少电磁污染,避免信息随电缆外泄。用多路供电接入企业机房及重要部门,降低了运行成本,又保证了系统的安全。

(2)计算机场地安全

严格按照国家标准建设,如国标GB/T2887-2000《电子计算机场地通用规范》、GB9254-1998《信息技术设备的无线电骚扰限值和测量方法》等。《电子计算机场地通用规范》规定了站址选择条件:计算机场地尽量建在电力、水源充足,自然环境清洁、通信、交通运输方便的地方;应尽量避开强电磁场的干扰;应尽量远离强振动源和强噪声源;应尽量建在建筑物的高层及地下室以及用水设备的下层。规定了温度、湿度条件并将它分成ABC三级;规定了照明、日志、电磁场干扰具体技术条件;规定了接地、供电、建筑结构条件等。

2.2.3统一容灾备份中心建设

无论企业信息系统设计、维护得多科学合理,故障的发生都是不可避免的,因此在设计时都应考虑容灾解决方案,即统一容灾备份中心建设。基本思路是“数据冗余+异地分布”,即在异地建立和维护一份或多份数据冗余,利用数据的冗余性和地理分散性来提高对灾难事件的抵御能力。企业数据容灾,存储是基础,备份是核心,恢复是关键。信息网络采用本地备份与异地备份的混合方式,以确保数据或系统的安全。通过各种层面的冗余技术,减少单点故障;使用合适的备份技术实现针对各个位置存放的数据的保护、隔离和严格访问,保证数据的一致性、安全性和完整性。包括:存储磁盘的冗余设计,对系统盘采用RAID1技术,对数据盘采用RAID5技术。数据的冗余备份设计:数据库数据文件的存放采用基于SAN架构的存储方案,在保证读取速度的同时,利用远程数据镜像和数据复制技术进行冗余备份,在区域性空难发生时能更大限度保证数据完整和安全。对核心业务的数据库数据,还可利用SQLServer自带的数据备份工具进行数据库文件备份,有效应对文件损坏或人为误操作带来的数据风险。对正常业务中关键数据或全业务数据进行保护,将主数据库的数据以逻辑的方式在异地机房建设一个同样的数据库,并且实时更新数据,当主数据库因灾损坏或失去,异地数据库可以及时接管业务,从而达到容灾的目的。

三、结论及展望

篇4

IT服务外包井喷式发展

在强调企业核心竞争力的今天,越来越多的公司将IT服务外包作为企业长期战略成本管理的新兴工具。服务外包的实质是企业和服务商之间的“委托―”关系。企业需要对自己重新进行定位,截取价值链中较短的部分,缩小经营范围,在此基础上重新配置企业的各种资源,将资源集中到最能反映企业优势的领域,从而更好地构筑竞争优势,以此获得可持续发展的能力。

随着企业业务发展过程中信息系统所涉及的内容越来越多、结构越来越庞大,企业信息化再也不仅仅是IT部门自己的事情。企业市场竞争压力越来越大,在信息化建设和管理期间迎来了严峻的考验。一方面是IT部门人员少、系统多、任务重,另一方面是公司要求IT部门削减成本、并消除由于缺乏内部控制和运作准则导致的混乱状态,以更高效地服务业务部门。

在多重压力之下,许多企业认为IT部门最重要的工作是确保信息和流程的顺畅,而服务器、存储系统、网络或者交换机等设备并不是最重要。因此,许多企业倾向于将某些应用系统、基础设施和部分非核心系统外包给服务商负责维护。

IT服务外包的风险

企业借外部力量提供专业化服务、将部分非核心业务进行离岸资源外包的过程中,面临着管控、运营等一系列风险,其中最重要的是信息安全风险的威胁。

从表面上看,采用IT外包策略不但可以节约成本,还能提高效率。但事实上,许多企业对IT外包都有许多道不尽的爱恨情仇。外包是一柄双刃剑,其好处是可以向企业灌输技术与人才,帮助企业摆脱繁琐的IT业务――有效的外包能让公司更好的专注于核心业务。

但是进行IT外包并不是一件轻松的事情,如果处理不好,不仅不会带来预期的效益,反而会变成一场噩梦和致命的灾难。所以对于企业IT主管部门而言,必须具有很强的经验和管理技能,才能谈“外包” 二字。

IT外包服务要成为一种商品,就必须形成一套规范和标准,以约束买卖双方。但目前国内IT外包服务领域既无统一规范也无公认标准。概念模糊的用户,面对同样概念模糊的IT厂商,如何评估、签合同、质量控制和定价等都是潜在的“风险”。

此外,IT外包还面临着 IT管理的复杂性、软件缺失、知识产权以及IT外包服务提供商自身能否健康成长等风险。因此企业需要在风险、成本与效果、效率之间找到平衡点。

同时,由于委托方和方之间可能存在信息不对称和信息扭曲等问题,加之市场及宏观环境的不确定性,导致委托方在实施外包过程中承担着种种风险。

外包服务关键词:信息安全

企业在IT服务外包过程中面临的最大挑战,就是如何确保企业信息和数据的安全,如何建立起有效的信息安全管控框架,以符合企业信息安全要求。

首先,确认企业内部信息安全管控过程是否可持续监管和优化。在信息防泄漏的“战争”中,相比于躲在暗处的泄密者和安全威胁,站在明处的企业显然略失先机。但如果企业能够做到预先防御,在对手出招之前采取针对性的保护措施,就能从根本上“转被动为主动”,做好内部数据安全防护。

因此,良好的信息防泄体系的前提就是要时刻掌握企业动态,做到要有的放矢。很重要的一点是要实现内部操作的“可视化”,以随时监测整个信息系统的安全状况,做到迅速反应,甚至还能预测到潜在的风险,化被动防御为积极防御。

其次,企业信息安全体系设计需进行全局评估和建设,规避疏漏和风险。安全领域中的木桶理论和马其顿防线的故事相信大家都了解――无论怎么豪华的防线,一个漏洞就可以毁灭所有一切。在企业中,有时候可能是一个小小的系统漏洞就可能毁灭了几百万投资的努力,或者一个无意的非法补丁行为就让企业蒙受损失。

因此,在解决安全问题之时,不能仅仅依赖透明加密等技术手段,“头痛医头,脚痛医脚”地堆砌不同安全产品及封堵安全漏洞,而是需要站在一个更高的战略角度来通盘考虑。如果缺乏整体的分析视角,企业可能会忽视或者低估某个安全攻击的真正威胁,采取的安全措施也可能无法解决真正的问题。

所以,在实际的防泄漏建设中,必须从整体上来评估企业的信息安全状况,运用统一平台来进行风险和安全管理,检测出内部问题,从而描绘出整个企业当前安全情况的更清晰和更准确的图景,采取针对性的防护措施,最大限度降低企业的安全风险。

另外,要有安全和防护等级措施。企业在构建立体化、全方位的整体信息防泄体系时并不是一刀切,不分轻重地在全公司范围内采取相同的策略,这样虽然看似达到了最为安全的效果,但对业务造成的巨大影响,以及因此产生的高额成本,对企业来说,都是巨大的负担。

对信息安全来说,威胁和风险往往和高价值的信息资产联系在一起,安全保护工作也就应该轻重有别,将重点放在高价值的信息资产上。在安全建设过程中,对程度高的部门或岗位进行力度大的防御,对程度低的部门采取相应的安全防御。同时衡量提升安全性可能带来的业务操作上的麻烦、企业安全成本等问题,是企业必须要做的事情。

在企业实施安全防护等级风险评估过程中,往往需要结合企业的实际情况,对三种技术手段整合运用:首先,在全公司范围内进行安全审计,掌握企业操作,发现安全隐患;其次,对特殊岗位和部门,进行严格管控,限制信息的带出;最后,在核心部门内部,对机密信息进行透明加密。这样既可保证公司的正常业务运作,又能有的放矢地实现最优化的信息防泄漏管理,还大大节约了投资成本。

此外,利用科学可行的安全策略和必要的技术手段实现动态性防护。动态性的信息泄露防护,对于目前泄密方式日益增多的企业来说,非常重要。某些企业往往在安全事件发生之后才对现在的策略进行被动的调整。这种“吃一堑、长一智”的防护模式,对于企业而言,有可能是致命的。一旦出了安全事故,恐怕亡羊补牢,为时已晚。

企业需要建立一个动态性的安全防护,前瞻性地发现安全威胁,并通过对技术或管理上的策略进行及时调整更新,防范潜在的安全风险。

最后要强调的是,信息安全体系必须便于使用和维护。如今,市场上五花八门的信息防泄漏产品让企业眼花缭乱,企业期望这种“强强组合”能给企业套上万无一失的金钟罩。殊不知这种做法往往意味着企业必须付出较高的成本,并增加了技术的复杂性,还容易导致产品软件冲突等问题,企业虽然“装”了安全产品,但根本“用”不了。

目前,能够提供整体解决方案的单一安全产品可谓不错的选择,它能够帮助企业建立统一的安全管理平台,无论企业安全边界防护、还是内部使用,都做了整体全面的考虑,同时简化了日常的操作与管理、降低了系统的资源占用、避免了软件冲突等多种问题,使用维护亦非常方便,大大节约了IT人员的时间和精力。

综上所述,如企业信息防泄漏建设符合以上检测标准,说明该企业已经建立了一个完善的整体信息防泄漏体系,机密信息也得到了最大化的保护,实现了“成本、效率、安全”三者的最佳平衡,这也是近年来被大家认可的“整体信息防泄漏”理念的核心。

实际上,信息防泄本身就是一种博弈,是企业和人的博弈。它是一场思维的交锋,企业只有掌握了内部的行为操作,同时针对内部安全威胁建立全面、立体化的安全防护,信息防泄才会立于不败之地。

天玑外包信息安全管控体系

天玑科技提供的IT外包(IT Outsourcing)服务,即“承接企业IT系统维护与管理,按双方服务协议内容完成相关服务”的业务模式。

随着客户对信息安全管理的要求越来越高,天玑科技把IT外包的信息安全管理放在首位,积极贯彻基于风险的管理方法,针对IT服务外包中的安全管理进行了系统思考和有益的尝试。

外包基础和简单重复的服务:考虑到信息安全管理问题,天玑科技初期外包服务范围主要以基础服务外包为主,即将IT系统日常的硬件与软件维护、Helpdesk呼叫中心、信息系统的编码等活动外包,而对于IT系统的规划与管理、核心应用系统(如ERP、CRM)的设计与维护仍然由企业IT部门承担。这样避免了IT服务人员接触组织的核心系统信息,降低了IT服务外包对IT系统敏感部分带来的安全风险。

具备信息安全管理资质:由于IT外包服务过程中,IT服务人员必然会接触到企业的系统设备甚至是内容,如何成为一家可靠安全的IT服务外包供应商也是在进行IT服务外包前必须考虑的重要方面。天玑科技是一家已经建立起完善的信息安全管理体系,并通过了BSI安全认证审核的IT服务外包供应商,专门从事IT服务外,拥有很多有影响的大客户。天玑科技会根据服务内容签订责任明确的服务合同,在服务合同中详细阐明双方在服务提供过程中对信息安全的责任十分关键。

强化日常服务的安全管理:信息安全管理的要求应该体现在IT服务日常管理的各个方面,主要包括:日常活动规范的建立;服务变更控制;服务人员管理;安全事件处理;业务持续管理;知识产权保护和监控与审核等内容。

日常活动规范的建立:针对服务协议中明确的服务内容,建立规范的服务流程是开展IT服务活动的基础。企业信息化主管部门根据双方签订的服务协议,与供应商IT服务主管人员一起建立一套完整的服务规范。服务规范中对服务过程中的安全风险均采取了适当的控制措施,确保了服务活动满足企业信息安全管理策略的要求。

服务变更控制:天玑科技遵从在调整其服务流程和变更服务技术前必须事前进行沟通,在企业评估变更的影响并确认采取了响应控制措施后才能进行服务过程的变更。

服务人员管理:服务人员是IT服务活动的直接执行者。为确保服务人员能够满足要求,天玑科技明确规定了IT服务人员的能力要求和标准,确保只有技术能力强、认真负责的服务人员才能进入服务项目组。同时,对服务人员筛选、培训和变动也提出了具体要求。

安全事件管理:发生安全事件后,双方人员的协调和互动将直接影响对事件处理的结果。在服务过程中发生和发现的信息安全事件必须第一时间上报企业主管部门,在企业主管部门的组织下完成对安全事件的处理。

业务持续管理:由于企业将核心网络和系统硬件均托管给了IT服务供应商进行日常维护。IT服务供应商是否具备满足组织业务需求的业务持续管理能力,成为保证企业信息系统业务持续的关键。在企业整个业务持续管理的框架下,对IT服务供应商的业务持续管理能力提出了明确的要求,在服务协议中进行了明确的定义。同时,针对具体服务系统双方共同制定了相应的灾难恢复计划。

知识产权保护:桌面服务中如何保护组织以及相关方的知识智力产权,是需要在进行IT服务外包过程中管理和控制的重要内容。天玑科技在软件安装和服务过程中工具的使用过程都明确规定了对软件许可证的跟踪与管理要求,确保服务活动满足对知识产权保护的要求。

篇5

关键词:电网企业;信息安全;风险;应对措施;管理体系

作者简介:王旭(1964-),男,浙江宁波人,新疆电力公司电力科学研究院,高级工程师。(新疆 乌鲁木齐 830011)张建业(1972-),男,浙江浦江人,新疆电力公司科技信通部,高级工程师,华北电力大学经济与管理学院博士研究生。(新疆 乌鲁木齐 830002)

基金项目:本文系国家自然科学基金资助项目(基金号:71271084)的研究成果。

中图分类号:F270.7 文献标识码:A 文章编号:1007-0079(2013)26-0163-03

信息安全风险是信息化时代企业发展和内部管理所面临的一个迫切问题,网络化、信息化的飞速发展能够给企业带来无限的发展机遇,同时也让应用信息化技术的企业面临着各种不同的风险威胁,这些风险因素一旦发生,将对企业的日常运营、战略目标的实现甚至长远发展产生无法估计的影响。有效的信息安全风险管理体系对于企业规避信息安全风险、减少不必要的损失具有重要作用。

对于电网企业来说,信息化建设是推动电网企业智能化、现代化等长远发展的核心推动力,但网络病毒、黑客入侵等一系列风险因素,使得电网企业信息安全同样面临着巨大的挑战,必须对电网企业面临的各类信息安全风险进行有效控制,以保证电网企业的信息化内容正常运行。

一、电网企业信息安全风险分析

电网企业的信息安全风险就是企业的信息系统和网络等面临的来自各方面的风险威胁,各种内外部的、潜在的和可知的危险可能会带来的风险威胁等。随着网络环境的复杂性不断增加,新的信息技术的不断应用发展,电网企业的信息安全面临的风险因素也更为繁多复杂,同时由于其注重信息安全的行业特点,电网企业的信息安全风险管理面临的压力更大。为此需要对这些风险因素进行规范、合理的识别分析,进而建立综合的风险管理体系。

电网企业的信息安全面临着来自不同层次、多个方面的风险因素,有来自外部环境的风险威胁,也有企业内部的风险影响;有技术方面的安全风险,也有人员操作方面的安全风险等。具体的信息安全风险因素主要包括以下几个方面:

1.木马病毒入侵的安全风险

随着网络技术的不断发展、电网企业内外部网络环境的日益成熟和网络应用的不断增多,各种病毒也更为复杂、难解。木马等病毒的传染、渗透、传播的能力变得异常强大,其入侵方式也由以前的单一、简单变得隐蔽、复杂,尤其是Internet网络和企业网络环境为木马等病毒的传播和生存提供了可靠的环境。

2.黑客非法攻击的安全风险

近年来各种各样的黑客非法攻击异常频繁,成为困扰世界范围内众多企业的问题。由于黑客具有非常高超的计算机技术能力,他们经常利用计算机设备、信息系统、网络协议和数据库等方面的缺陷与漏洞,通过运用网络监听、密码破解、程序渗透、信息炸弹等手段侵入企业的计算机系统,盗窃企业的保密信息、重要数据、业务资料等,从而进行信息数据破坏或者占用系统的资源等。

3.信息传递过程的安全风险

由于电网企业与很多的外部企业、研究机构等有着广泛的工作联系与业务合作,因此很多日常信息、数据资料等都需要通过互联网进行传输沟通,在这个传输过程中的各类信息都会面临各种不同的安全风险。

4.权限设置的安全风险

信息系统根据不同的业务内容对不同的部门、员工开放不同的系统模块,用户根据其登陆的权限设置访问其范围内的系统内容。每个信息系统都有用户管理功能,对用户权限进行管理和控制,能够在一定程度上增加安全性,但仍然存在一定的问题。很多电网企业内都存在不同的信息系统,各系统之间都是独立存在,没有统一的用户管理,使用起来极不方便,难以保证用户账号的有效管理和使用安全。另外,电网企业的信息系统的用户权限管理功能设置过于简单,不能够灵活实现更为详细的权限控制等。

5.信息设备损坏产生的安全风险

电网企业内的各类业务信息、数据资料、工作内容等信息都是依托于相应的软硬件设备而存储、传递、应用的,当这些计算机硬件设备、信息系统、数据存储设备、用电支撑设备等由于企业内外部不同作用力的影响而出现瘫痪、停止工作等突发状况时,会带来重要信息内容的泄露、丢失等安全风险隐患。

6.人员操作失误形成的安全风险

电网企业内的专业信息技术人员、业务人员、管理人员对信息系统的操作能力存在一定的差异,一些人员的意识较为陈旧、操作能力较差,在对信息系统、网络连接、数据库等的应用过程中,由于对这些技术内容不熟悉从而产生了一些错误操作,为此产生了许多意想不到的安全风险。同时,在运用过程中存在的思想偏差、理解偏误、粗心大意等导致的误操作也会产生相应的安全风险。

7.技术更新变化带来的安全风险

当前的信息技术、系统开发、网络应用、数据库存储等都在日新月异地飞速变化,几乎每天都会发生更新换代的升级变化,没有任何的信息技术能够长时间使用。电网企业原有信息系统等设备进行升级换代或者与新的数据库内容进行新旧结合以及转换时,会因为兼容性差、不能匹配等原因造成一定的信息安全风险。

二、信息安全风险应对机制

电网企业的信息安全承担着极为重要的作用,而其面临的安全风险也是多方面的,仅从信息系统、技术设备的单一角度进行信息安全风险管理远远不够,对于其他很多潜在的风险因素难以有效应对。因此需要从信息技术技术、企业管理、风险控制等多个维度来建立相应的措施,以应对可能出现的各类风险,从而从硬性技术层面到柔性管理层次形成多维度的风险管理手段。电网企业信息安全风险应对机制框架结构如图1所示。

电网企业的信息安全风险管理应对机制是以风险控制角度为核心、信息技术角度为支持、企业管理角度为保障的双向支持、互为影响的一个环状模型,三者之间紧密配合、共同发挥风险应对的作用,具体内容如表1所示。

三、信息安全风险管理体系

电网企业信息安全风险管理体系是进行信息安全风险管理的核心内容,其他的制度建设等方面的应对机制都是为了更好地使风险管理体系发挥有效的作用,能够在不同的情况下进行信息安全风险威胁的提前预防、风险发生时的控制、事后风险影响的结果处理等。

电网企业信息安全风险管理体系框架结构如图2所示。

1.信息安全风险评估

电网企业信息安全风险评估是风险管理体系的第一部分,风险评估效果的好坏直接影响着后面风险管理环节的执行情况。通过风险评估的准确执行,能够有效识别、分析各种不同风险的种类、来源、影响程度等内容,为后续的风险预防、控制等奠定良好的基础。

信息安全风险评估主要由风险案例库、风险因素分析系统、风险定量定性转化系统、数据统计归纳库、风险分析结果传输体系等构成,通过几个模块的有机结合来科学分析评估电网企业遇到的各类信息安全风险因素。

2.风险事前预防

电网企业信息安全风险事前预防就是在风险没有发生时对各种风险进行提前预防,通过建立的预防计划方案来提前避免风险的发生,从而保证信息的安全性。这是风险管理体系希望达到的最佳效果,因此该环节非常重要。

通过对风险案例库的经常性学习,使相关部门和人员对各类风险有了总体的认识和了解;通过建立相应的风险预警装置来提前警告风险的发生,使电网企业能够提前采取措施来避免风险发生;运用信息安全风险管理制度加强员工的行为能力,避免风险产生;通过信息技术的相关配置,从信息系统、网络、数据等方面提前对一些病毒风险等进行处理。

出色地执行电网企业的信息安全风险预防工作,能够避免很多不必要的麻烦,从而有效减少后面风险控制工作内容。

3.风险威胁转移

将可能发生或者即将到来的信息安全风险有效转移到其他的地方,可使得安全风险没有在电网企业的信息系统中发生,避免了风险带来的威胁损害。风险转移同风险的事前预防一样,能够在很大程度上将信息安全风险带来的威胁降低到最小,避免其带来的各类损失。

4.风险过程控制

在对信息安全造成威胁的风险发生时,采取各种方法、手段进行风险的最小化控制,使风险本身随着控制的进行而逐渐变小甚至消失,将风险发生后造成的影响降低到最小或者控制在能够承受的合理范围内。

主要从信息系统、数据库、网络系统、计算机基础设备等技术方面进行控制;从制度、标准、规范等管理层面进行控制;从人员培训、部门协调等组织结构层面进行控制;从风险发生时制定的风险控制措施、计划进行控制;形成动态反馈的风险发生、控制效果的反馈机制,以便及时对控制方案进行调整完善。

5.风险事后处理

信息安全风险发生后,对电网企业的信息系统、网络、数据库等造成一定的影响,已经没有时间进行及时有效的风险控制,此时的工作重点在于如何采取挽救措施对风险造成的信息安全损失进行弥补,将其影响程度降低到最低。

从电网企业的信息安全风险评估开始,到信息安全风险的预防、风险发生时的控制以及风险后果的处理,对整个过程进行深入的分析、总结,发现风险管理体系存在诸多不足和缺陷,控制计划在某些方面需要进行改进完善。将本次发生的信息安全风险控制过程整理进入案例库,以便下次的风险预防借鉴。

电网企业信息安全风险管理体系中的各个流程环节都是按照一定的流程顺序、风险发生种类、大小而进行的,其具体的流程如图3所示。

6.非常态风险应急处理

在电网企业对信息安全进行风险管理的过程中,有时会出现一些案例库、控制计划之外的非常态风险,这些风险没有以往成功的风险管理经验可以借鉴,这时就需要在电网企业信息安全风险管理体系中建立相应的非常态风险应急处理模块。

电网企业信息安全非常态风险应急处理主要是当意外的紧急风险发生时,能够迅速启动应急预案组织相关人员进行风险应对控制、风险预防和控制等;若风险已经发生,此时能够及时还原数据、隔离外部风险入侵,使信息系统、网络、数据库在最快的时间内恢复正常运作。

四、总结

本文通过对电网企业信息安全重要性进行分析,提出了建立信息安全风险管理体系应对各种内外部风险威胁的必要性。在对电网企业信息安全的概念、特点等分析说明的基础上,深入研究了电网企业的信息安全所面临的各种不同的风险因素,建立了包括信息技术、企业管理、风险控制三个方面在内的电网企业信息安全风险应对机制。结合所建立的电网企业信息安全风险应对机制,本文构建了一套综合、全面的电网企业信息安全风险管理体系。该体系的构建能够从事前风险预防、事中风险控制、事后风险影响后果处理等三个环节进行全面的风险管理。

参考文献

[1]张浩,詹辉红,钱洪珍.电网企业信息安全管理体系建设中的风险管理实践[J].电力信息技术,2010,8(6):21-24.

[2]刘金霞.电力企业给予风险管理的信息安全保障体系建设[J].网络安全技术与应用,2008,(1):42-44.

[3]刘莹,顾卫东.信息安全风险评估研究综述[J].青岛大学学报(工程技术版),2008,23(2):37-43.

篇6

[关键词] 企业网络信息安全信息保障

计算机网络的多样性、终端分布不均匀性和网络的开放性、互连性使联入网络的计算机系统很容易受到黑客、恶意软件和非法授权的入侵和攻击,信息系统中的存储数据暴露无遗,从而使用户信息资源的安全和保密受到严重威胁。目前互联网使用TCP/IP协议的设计原则,只实现简单的互联功能,所有复杂的数据处理都留给终端承担,这是互联网成功的因素,但它也暴露出数据在网上传输的机密性受到威胁,任何人都可以通过监听的方法去获得经过自己网络传输的数据。在目前不断发生互联网安全事故的时候,对互联网的安全状况进行研究与分析已迫在眉睫。

一、 国外企业信息安全现状

调查显示,欧美等国在网络安全建设投入的资金占网络建设资金总额的10%左右,而日韩两国则是8%。从国际范围来看,美国等西方国家网络基础设施的建设比中国完善,网络安全建设的起步时间也比中国早,因此发生的网络攻击、盗窃和犯罪问题也比国内严重,这也致使这些国家的企业对网络安全问题有更加全面的认识和足够的重视,但纵观全世界范围,企业的网络安全建设步伐仍然跟不上企业发展步伐和安全危害的升级速度。

国外信息安全现状具有两个特点:

(1)各行业的企业越来越认识到IT安全的重要性,并且意识到安全的必要性,并且把它作为企业的一项重要工作之一。

(2)企业对于网络安全的资金投入与网络建设的资金投入按比例增长,而且各项指标均明显高于国内水平。

二、 国内企业网络信息安全现状分析

2005年全国各行业受众对网络安全技术的应用状况数据显示,在各类网络安全技术使用中,“防火墙”的使用率最高(占76.5%),其次为“防病毒软件”的应用(占53.1%)。2005年较2004年相比加大了其他网络安全技术的投入,“物理隔离”、“路由器ACL”等技术已经得到了应用。防火墙的使用比例较高主要是因为它价格比较便宜、易安装,并可在线升级等特点。值得注意的是,2005年企事业单位对“使用用户名和密码登陆系统”、“业务网和互联网进行物理隔离”等措施非常重视。其他防范措施的使用也比2004年都提高了一定的比例,对网络安全和信息的保护意识也越来越高。生物识别技术、虚拟专用网络及数字签名证书的使用率较低,有相当一部分人不清楚这些技术,还需要一些时间才能得到市场的认可。

根据调查显示,我国在网络安全建设投入的资金还不到网络建设资金总额的1%,大幅低于欧美和日韩等国。我国目前以中小型企业占多数,而中小型企业由于资金预算有限,基本上只注重有直接利益回报的投资项目,对于网络安全这种看不到实在回馈的资金投入方式普遍表现出不积极态度。另外,企业经营者对于安全问题经常会抱有侥幸的心理,加上缺少专门的技术人员和专业指导,致使国内企业目前的网络安全建设情况参差不齐,普遍处于不容乐观的状况。

三、 企业网络信息系统安全对策分析

“三分技术,七分管理”是技术与管理策略在整个信息安全保障策略中各自重要性的体现,没有完善的管理,技术就是再先进,也是无济于事的。以往传统的网络安全解决方案是某一种信息安全产品的某一方面的应用方案,只能应对网络中存在的某一方面的信息安全问题。中国企业网络的信息安全建设中经常存在这样一种不正常的现象,就是企业的整体安全意识普遍不强,信息安全措施单一,无法抵御综合的安全攻击。随着上述网络安全问题的日益突显,国内网络的安全需求也日益提高,这种单一的解决方案就成为了信息安全建设发展的瓶颈。因此应对企业网络做到全方位的立体防护,立体化的解决方案才能真正解决企业网络的安全问题,立体化是未来企业网络安全解决方案的趋势,而信息保障这一思想就是这一趋势的体现。信息保障是最近几年西方一些计算机科学及信息安全专家提出的与信息安全有关的新概念,也是信息安全领域一个最新的发展方向。

信息保障是信息安全发展的新阶段,用保障(Assurance)来取代平时我们用的安全一词,不仅仅是体现了信息安全理论发展到了一个新阶段,更是信息安全理念的一种提升与转变。人们开始认识到安全的概念已经不局限于信息的保护,人们需要的是对整个信息和信息系统的保护和防御,包括了对信息的保护、检测、反应和恢复能力。为了保障信息安全,除了要进行信息的安全保护,还应该重视提高安全预警能力、系统的入侵检测能力,系统的事件反应能力和系统遭到入侵引起破坏的快速恢复能力。区别于传统的加密、身份认证、访问控制、防火墙、安全路由等技术,信息保障强调信息系统整个生命周期的防御和恢复,同时安全问题的出现和解决方案也超越了纯技术范畴。由此形成了包括预警、保护、检测、反应和恢复五个环节的信息保障概念。

所以一个全方位的企业网络安全体系结构包含网络的物理安全、访问控制安全、系统安全、用户安全、信息加密、安全传输和管理安全等。充分利用各种先进的主机安全技术、身份认证技术、访问控制技术、密码技术、防火墙技术、安全审计技术、安全管理技术、系统漏洞检测技术、黑客跟踪技术,在攻击者和受保护的资源间建立多道严密的安全防线,增加了恶意攻击的难度,并增加审核信息的数量,同时利用这些审核信息还可以跟踪入侵者。

参考文献:

[1]付正:安全――我们共同的责任[J].计算机世界,2006,(19)

[2]李理:解剖您身边的安全[N].中国计算机报,2006-4-13

篇7

【论文摘 要】安全问题是电力变电运行的咽喉,随着信息管理技术在变电运行中的应用,先进的安全不仅包括物理安全,也涉及到了由互联网带来的各种来自外界的侵犯,如果电力系统被利用或是遭到攻击,将会造成难以估计的损失。有效的提高信息管理技术在电力变电运行中的应用是摆在我们面前亟待解决的重要课题。

一、信息管理与电力信息化概述

1.信息管理概念

信息管理是实现组织目标、满足组织要求、解决组织环境问题而开发、规划、集成、控制、利用信息资源,以提高信息利用率,使信息效用价值最大化的一种实现的一种战略管理。

2.电力信息化

电力企业信息化建设更趋向于科学性、实用性、安全性以及效益性,电力企业开发了一系列企业管理和经济运行有关的应用系统,目的在于提高生产和管理效益以及信息系统的实际使用效果。电能可以瞬间完成发电、输电、配电直到用电,电力的生产和使用具有连续性、等量以及同时的特点,要想确保电力的安全生产以及资源的合理配置生产,必须要根据调度指令对电力系统的所有环节瞬时作出反应,电力系统的控制中心、调度中心要同时对发电、配电、输电以及用电的各种数据进行全面掌握,并及时地分析、调度和处理,对生产运行进行科学的安排,要及时的处理大而广、纷繁复杂的信息量,这使得信息处理工作面临着一定的挑战。而信息管理技术的出现正好为信息的处理带来了极大的便利,它结合了GIS技术,能实现多源数据的迅速整合,便于电力系统的信息化管理,可以综合管理大量的属性数据和地理信息数据,可以为经营管理提供科学的决策支持以及现代化的管理手段,结合了网络技术,更有利于提高信息的共享程度,促进信息管理系统实现电力信息的共享,有利于电力系统信息管理更加的透明。电力系统涉及到了十分广泛的地理区域,需要多个部门对同一图层进行编辑,传统的GIS图层数据不支持多用并发操作,只适合单用户使用,它采用的是文件格式,采用文件服务器的方式来共享图层,若不进行特殊处理,多用户同时更新同一图层文件时就会发生冲突。而新型的ORDBMS技术可以弥补这一缺陷,不会发生共享冲突,它采用的是面向对象的数据库技术,可以集中式管理地理属性数据和信息空间数据,支持版本管理以及并发操作,还支持完全数据库存储模式,能够解决数据安全机制、存储管理大量的数据、数据完整性以及多用户编辑等方面的问题。

二、电力变电运行中运用信息管理的优势

1.先进性和开放性

数据仓库技术使数据有了更加广泛的来源,便于使用,方便与MIS等系统接口,系统的构造和Internet模式进行了结合,应有前景良好。

2.实用性强

信息管理技术有利于变电运行中二次部分各类数据源的共享和使用,尤其是对于变电保护技术工作人员来说,有利于提高系统分析和数据统计的工作效率,有利于提高保护运行水平。

3.可靠性高,易于维护和升级

方法库和数据仓库的采用使得整个信息管理系统运行集中于网络中心规则库和数据库,不再在各级用户之间分散可靠性,即使其中一个客户的工作站突然损坏了,也不会对系统其他部分的性能造成影响,并且很容易恢复,软件开发人员只需改变方法库就可以进行升级换代,既方便又快捷。

三、电力变电运行中采用的安全策略

1.安全技术策略

为了确保信息的安全,采取的必不可少的安全技术措施有:1)病毒防护技术。应该建立健全管理制度,统一管理计算机病毒库的升级分发以及病毒的预防、检测等环节,应该采取全面的防病毒策略应用于信息系统的各个环节,有效的防治和避免受到病毒的侵害;2)防火墙技术。防火墙技术主要用于隔离信任网络与非信任网络,它的检查方式是通过单一集中的安全检查点,强制实施安全策略来实现,避免非法存取和访问重要的信息资源;3)数据与系统备份技术。电力企业必须制定数据备份策略,定期对数据库进行备份,按照重要程度划分数据备份等级,建立企业数据备份中心,采用灾难恢复技术来备份应用系统以及关键业务的数据,并制定详细的数据库故障恢复预案以及应用数据库备份,并定期的进行预演,以防止在数据遭到破坏或是系统崩溃时能够及时的修复,从而使信息系统具有更好的可靠性和可用性;4)安全审计技术。在系统规模的不断扩大以及安全设施不断完善的背景下,电气企业应该引进集中智能的安全审计系统,采取行之有效的技术手段来自动统一审计网络设备日志、业务应用系统运行日志、操作系统运行日志以及安全设施运行日志等,迅速自动的对系统安全事件进行分析,安全管理系统的运行。另外建立信息安全身份认证体系以及虚拟局域网技术也十分重要。

2.组织管理策略

组织管理措施以及技术措施统一在信息安全的范畴之内,由于管理方面的原因为造成的计算机安全事件的比重达到了70%以上,所以应采取必要的组织管理策略:1)安全策略和制度。电气企业应该制定相关的政策方针来指导企业整体的信息安全工作,只有制定统一的、具有指导性的安全策略和制度才能有效的衡量信息的安全,才能形成安全的防护体系以及遵循信息安全制度,只有制定有效的安全策略和制度,才能实现具体化、形式化的法律管理,才能将法规与管理联系在一起,确保信息的安全。2)安全意识和安全技能。电气企业应该组织员工进行培训,普及他们的安全知识,强化职工的安全意识,使他们具备安全防范意识并具备基本的安全技能,能够处理常见的安全问题。通过安全培训来提高职工的安全操作技能,再结合第三方安全技术和产品来提升信息安全保障;3)安全组织和岗位。本着保障企业信息安全的目的,电气企业应该设立独立的信息安全部门来管理企业信息的安全,实行“统一组织、分散管理”的方式来使信息安全部门全面负责企业的信息安全管理和维护。安全岗位是是根据系统安全需要设立的信息系统安全管理机构,这个职位主要负责某一个或是几个安全事务,在全企业形成专门的信息安全管理工作,使各个信息技术部门也能配合和推行信息安全工作。

参考文献

[1]覃郁培.信息管理技术在电力变电运行中的应用[J].民营科技,2010,(8)

篇8

【关键词】盈余管理 盈余管理手段 关联交易

一、信息管理与电力信息化概述

(一)信息管理概念。

信息管理是实现组织目标、满足组织要求、解决组织环境问题而开发、规划、集成、控制、利用信息资源,以提高信息利用率,使信息效用价值最大化的一种实现的一种战略管理。

(二)电力信息化。

电力企业信息化建设更趋向于科学性、实用性、安全性以及效益性,电力企业开发了一系列企业管理和经济运行有关的应用系统,目的在于提高生产和管理效益以及信息系统的实际使用效果。电能可以瞬间完成发电、输电、配电直到用电,电力的生产和使用具有连续性、等量以及同时的特点,要想确保电力的安全生产以及资源的合理配置生产,必须要根据调度指令对电力系统的所有环节瞬时作出反应,电力系统的控制中心、调度中心要同时对发电、配电、输电以及用电的各种数据进行全面掌握,并及时地分析、调度和处理,对生产运行进行科学的安排,要及时的处理大而广、纷繁复杂的信息量,这使得信息处理工作面临着一定的挑战。而信息管理技术的出现正好为信息的处理带来了极大的便利,它结合了GIS技术,能实现多源数据的迅速整合,便于电力系统的信息化管理,可以综合管理大量的属性数据和地理信息数据,可以为经营管理提供科学的决策支持以及现代化的管理手段,结合了网络技术,更有利于提高信息的共享程度,促进信息管理系统实现电力信息的共享,有利于电力系统信息管理更加的透明。电力系统涉及到了十分广泛的地理区域,需要多个部门对同一图层进行编辑,传统的GIS图层数据不支持多用并发操作,只适合单用户使用,它采用的是文件格式,采用文件服务器的方式来共享图层,若不进行特殊处理,多用户同时更新同一图层文件时就会发生冲突。而新型的ORDBMS技术可以弥补这一缺陷,不会发生共享冲突,它采用的是面向对象的数据库技术,可以集中式管理地理属性数据和信息空间数据,支持版本管理以及并发操作,还支持完全数据库存储模式,能够解决数据安全机制、存储管理大量的数据、数据完整性以及多用户编辑等方面的问题。

二、电力变电运行中运用信息管理的优势

(一)先进性和开放性。

数据仓库技术使数据有了更加广泛的来源,便于使用,方便与MIS等系统接口,系统的构造和Internet模式进行了结合,应有前景良好。

(二)实用性强。

信息管理技术有利于变电运行中二次部分各类数据源的共享和使用,尤其是对于变电保护技术工作人员来说,有利于提高系统分析和数据统计的工作效率,有利于提高保护运行水平。

(三)可靠性高,易于维护和升级。

方法库和数据仓库的采用使得整个信息管理系统运行集中于网络中心规则库和数据库,不再在各级用户之间分散可靠性,即使其中一个客户的工作站突然损坏了,也不会对系统其他部分的性能造成影响,并且很容易恢复,软件开发人员只需改变方法库就可以进行升级换代,既方便又快捷。

三、电力变电运行中采用的安全策略

(一)安全技术策略。

为了确保信息的安全,采取的必不可少的安全技术措施有:1)病毒防护技术。应该建立健全管理制度,统一管理计算机病毒库的升级分发以及病毒的预防、检测等环节,应该采取全面的防病毒策略应用于信息系统的各个环节,有效的防治和避免受到病毒的侵害;2)防火墙技术。防火墙技术主要用于隔离信任网络与非信任网络,它的检查方式是通过单一集中的安全检查点,强制实施安全策略来实现,避免非法存取和访问重要的信息资源;3)数据与系统备份技术。电力企业必须制定数据备份策略,定期对数据库进行备份,按照重要程度划分数据备份等级,建立企业数据备份中心,采用灾难恢复技术来备份应用系统以及关键业务的数据,并制定详细的数据库故障恢复预案以及应用数据库备份,并定期的进行预演,以防止在数据遭到破坏或是系统崩溃时能够及时的修复,从而使信息系统具有更好的可靠性和可用性;4)安全审计技术。在系统规模的不断扩大以及安全设施不断完善的背景下,电气企业应该引进集中智能的安全审计系统,采取行之有效的技术手段来自动统一审计网络设备日志、业务应用系统运行日志、操作系统运行日志以及安全设施运行日志等,迅速自动的对系统安全事件进行分析,安全管理系统的运行。另外建立信息安全身份认证体系以及虚拟局域网技术也十分重要。

(二)组织管理策略。

组织管理措施以及技术措施统一在信息安全的范畴之内,由于管理方面的原因为造成的计算机安全事件的比重达到了70%以上,所以应采取必要的组织管理策略:1)安全策略和制度。电气企业应该制定相关的政策方针来指导企业整体的信息安全工作,只有制定统一的、具有指导性的安全策略和制度才能有效的衡量信息的安全,才能形成安全的防护体系以及遵循信息安全制度,只有制定有效的安全策略和制度,才能实现具体化、形式化的法律管理,才能将法规与管理联系在一起,确保信息的安全。2)安全意识和安全技能。电气企业应该组织员工进行培训,普及他们的安全知识,强化职工的安全意识,使他们具备安全防范意识并具备基本的安全技能,能够处理常见的安全问题。通过安全培训来提高职工的安全操作技能,再结合第三方安全技术和产品来提升信息安全保障;3)安全组织和岗位。本着保障企业信息安全的目的,电气企业应该设立独立的信息安全部门来管理企业信息的安全,实行“统一组织、分散管理”的方式来使信息安全部门全面负责企业的信息安全管理和维护。安全岗位是是根据系统安全需要设立的信息系统安全管理机构,这个职位主要负责某一个或是几个安全事务,在全企业形成专门的信息安全管理工作,使各个信息技术部门也能配合和推行信息安全工作。

参考文献:

篇9

中图分类号:TP393文献标识码:A文章编号:1009-3044(2010)06-1317-02

On Security Architecture for Enterprise Information Systems to Establish

LI Yu-lu

(Changzhou, Jiangsu Electric Power Company Power Company Information Center, Changzhou 213003, China)

Abstract: To improve the security of enterprise information systems that needs to start from the structure. This article describes the system structure of information system security status and structure of the standardized safety systems analysis, which describes the security requirements to meet the various security elements in the relationship between the proposed enterprise information security architecture model, in order to guide enterprise the development of safety standards, the system provides a reference.

Key words: enterprise information security; architecture; safety standard system

企业信息系统安全结构是计算机网络安全系统结构的扩展。20 世纪80 年代末、90 年代初,信息系统安全系统结构的重要性开始引起发达国家关注。如,美国国家安全局(NAS) 20 世纪90 年代公布的国防信息系统安全计划(DISSP) ,是由安全特性、系统组成部分、扩展的IS0 协议层等三维构成,它不仅考虑了信息传输安全、网络安全,还考虑了信息处理安全、端系统及接口安全问题;此外,还增加了互操作性、质量保证、性能等安全特性。2001 年美国国家安全局(NAS )制定了信息技术保证框架(IATF),是从整体、过程的角度看待信息安全问题,它强调以人、技术、操作这三个核心原则,关注四个信息安全保障领域:保护网络和基础设施、保护边界、保护计算环境、支撑基础设施,并在4 个重点技术领域实施诸如应用层护卫、电路、文件加密等多种安全技术手段。再如,美国国防部所属的国防信息系统局(DISA)1996 年制定了防御目标安全系统结构框架(DGSA V3.0),从系统单元构成的角度,提出了信息系统中各单元分的安全服务配置框架,目的是要从安全系统结构的高度对信息统的安全保护提出技术上和管理上的规范要求等。

在信息系统安全系统结构理论研究领域,有人提出开放分布式系统的安全结构;有人对网络及信息系安全系统结构进行了初步的探讨和研究,提出了计算机网络实体安全系统结构和基于智能协作技术的信息系统安全系结构概念模型等。通过对上述的研究分析,可以看到国内外己有的安全系统结构和框架都描述了信息系统相关的安全系统结构及模型等安全要素,它们各不相同,实现方法等也并且都不完备。由于研究问题的层次和角度不同,对安全系统结构的具体含义的理解也同,从而导致信息系统安全系统结构在概念上、类型上及结构上的不一致,因此,为使信息系统安全系统结构研究和应用共同的概念依据和构建基础,需要加强对信息系统安全结构的一些基本问题,诸如安全结构的类型及特征、构成要素及构建步骤等内容的学习研究,以引导企业安全系统的建立。

1 信息系统安全系统结构组成要素

实现信息安全系统结构的安全,要从多个方面考虑,通常定义的包括安全属性、系统组成、安全策略、安全模型、安全机制等5 个方面。在每一个方面中,还可以继续划分多个层次;对于一个给定的层次,包括着多种安全要素。

1.1 安全属性

安全本身是对信息系统一种属性要求,信息系统通过安全服务来实现安全性。基本的安全服务包括标识与鉴别、保密性、完整性、可用性等。在1S07498 一2 中对安全服务和安全机制的对应关系给予了描述。它的核心内容是将5 大类安全服务:身份鉴别、访问控制、数据保密、数据完整性、不可否认性及提供这些服务的8 类安全机制及其相应的0SI 安全管理等放置于0SI模型的7层协议中,以实现端系统信息安全传送的通信通路。这样从安全性到安全服务机制到具体安全技术手段形成了安全属性的不同层次。

1.2 系统组成

系统组成描述信息系统的组成要素。对于信息系统的组成划分,有不同的方法。可以分为硬件和软件,在硬件和软件中又可以进一步地划分。对于分布的信息系统,可以将信息系统资源分为用户单元和网络单元,即将信息系统的组成要素分为本地计算环境和网络,以及计算环境边界。本地计算环境和网络都还可以进一步划分等。例如本地计算环境可以分为端系统、中继系统和局部通信系统。端系统作为信息处理单元,可以继续分为应用平台和应用软件;应用平台包括操作系统、软件工程服务、分布式服务、数据管理等:应用软件中包括消息处理、web 应用等。

1.3 安全策略

在安全系统结构中,安全策略指用于限定一个系统、实体或对象进行安全相关活动的规则。 即要表明在安全范围内什么是允许的,什么是不允许的。它直体现了安全需求,井且也有面向不同层次、视图及原理的安全策略。其描述内容和形式也各不相同。对于抽象型和一般型安全系统结构而言,安全策略主要是对加密、访问控制、多级安全等策略的通用规定,不涉及具体的软硬件实现;而对于具体型安全系统结构,其安全策咯则是要对实现系统安全功能的主体和客体特性进行具体的标识和说明,亦即要描述允许或禁止系统和用户何时执行哪些动作,井要能反射到软硬件安全组件的具体配置,如,网络操作系统的帐户策略用户权限策略和审计策略等安全策略就最终体现为发全功能的各种选项等。

1.4 安全模型

安全模型用于准确描述系绞在功能和结构上的安全特性,它反映了一定的支全策略,是引导、验证安全系统开发设计的概念模型要求。对安全策略及形式化模型的研究起源于美国军方对高安全级别的计算机系统的需求,它为计算机操作系统的安全性设计提供了理论基础。这些安全模型通常被认为是经典安全模型。经典安全模型主要由身份标识、认证、授权、审核等4个环节构成。经典安全模型的前提假设是:引用监视器是主体对客体进行访问的唯一路径。身份标识与认证的机制是可靠的;审核文件和访问控制数据库本身受到充分的保护。而这些前提在实际的信怠系统中并不一定成立。因此,信息系统安全摸型的描述应反映相应层次和视图上的安全策略。

1.5 安全机制

安全机制是实现信息系统安全需求及空全策略的各种措施,具体可以表现为所需要的安全白标准、安全协议、安全技术、安全单元等。对于不同层次、不同视图及不同原理的安全系统结构,安全机制侧重点也有所不同。例如:OSI安全系统结构中建议采用7种安全机制。而对于特定系统的安全系统结构,则要进一步说明有关安全机制的具体实现技术,如认证机制的实现可以有口令、密码技术及实体特征鉴别等方法。

2 数学模型

把整个信息系统安全系统结构可看成为一个空间:组成信息系统安全系统结构的这些方面称之为维,层次划分中的特定层次下所包括的安全要素值均是每一维上的具体元素值的体现,通用的信息系统安全系统结构就是具有多维、多层和动态特性的空间(这里只是借用维空间的概念,除了考虑各维元素之间的相互作用而外并不考虑维空间中各个元素之间的运算)。通过数学描述,可以更好地对知识进行归纳和运用:一方面更容易量化,使得描述更为清晰;另一方面可以指导新的未知问题的探索,演绎出新的概念或理论。

3 结束语

企业信息系统安全系统结构的研究是一项复杂的系统工程。需要我们用系统工程的概念、理论和方法来研究、开发和实施系统安全结构的设计,安全系统结构理论就是要从整体上解决信息系统的安全问题,但目前在很多企业对安全系统结构的概念、类型、构建等问题上还没有得到系统化的研究,以上从学习研究的角度对目前国内外安全系统结构和安全系统的研究进行了粗浅的学习分析,通过分析使对整个安全系统结构的认识进一步加深和清晰化,从而提出企业信息安全系统结构和模型。要使企业信息系统安全系统结构适合企业信息系统安全、全面、准确、可行的要求,同时要适应信息技术及其安全技术的飞速发展。只有这样,才能确保信息安全系统适应更好地为企业服务。

参考文献:

篇10

关键词:商业秘密;信息安全;保护;资产;大数据

1信息安全工作的本质是商业秘密保护

商业秘密保护一直是企业内部管理的薄弱环节,企业也是信息安全泄密事件的高发群体,受到商业秘密侵权的损害也最大。其原因在于企业的创始人基本没有商业秘密的意识,也没有在机构上设立保密部门,更没有建立有效的商业秘密保护管理机制,因此导致商业秘密容易被侵权。按照我国《反不正当竞争法》的规定,属于商业秘密范畴的信息须具备以下三个条件:不为公众所知悉、能带来经济利益、采取保密措施。根据商业秘密的特点,可以发现商业秘密属于具有经济价值且被保护的企业信息资源,这种资源在企业内部有限范围内共享。当下,有关商业秘密的法律诉讼已不是新鲜事。2017年,安徽一橡塑制品公司员工辞职后入股竞争对手,不仅带走老东家的技术资料,还“抢了”老顾客生意。法院采取“实质性相同加接触”规则推定其与新东家构成侵权,判赔80万元。据德国《经济周刊》网站2017年12日报道,荷兰警方日前逮捕了一名65岁男子,该男子为西门子员工,涉嫌将西门子商业机密泄露给中国企业,荷兰检察院目前正对此案展开调查。以上两个案例中的企业商业秘密保护的一个侧面。大数据时代的核心是资源共享,任何企业都不是一个封闭的组织,任何组织和个人都可以有偿或者无偿获得他们所需要的信息。因此,要做好企业的信息安全工作,必须厘清商业秘密保护与信息安全之间的关系。商业秘密保护的对象是企业的技术或经营信息,因此商业秘密保护的本质也是保护信息安全。泄密事件层出不穷,泄密手段越来越高科技。大部分企业在信息安全工作中,存在一些典型的误区:业务部门认为没有商业秘密可言,搞信息安全只是IT部门的事情;业务部门不知道哪些信息属于商业秘密,信息安全工作推进没有依据;业务部门的海量信息都需要保护,保护范围无限扩大,见图1。

2信息安全工作不能奔走救火

市场经济竞争越来越激烈,泄密风险越来越多,商业秘密的价值越来越高。泄密的途径和方式多种多样,要想做好信息安全工作,我们必须要了解主要的泄密途径。(1)内部泄密。堡垒最容易从内部被攻破,在企业商业秘密泄密事件中,由于核心员工跳槽带走商业秘密而造成的泄密事件时有发生而且占有很大的比例。据统计,企业内部人员侵犯商业秘密案件占全部案例的82.5%。人员流动是企业发展过程中所面临的并且是无法回避的问题,在企业的商业秘密保护工作中,如何防止核心员工跳槽带走商业秘密,人员管理固然是很重要的一个环节,但还应伴随着一系列的管理措施。对于企业来说,证明商业秘密的存在本身就很困难,要证明企业员工是否利用了这种信息难度更大,尤其是难以区分一般信息与商业秘密信息的差别。所以,应通过竞业限制条款以尽可能地避免员工利用商业秘密。(2)商业秘密信息管理不善。一些企业中存在着很多这样的情况,企业一边将一些技术文件、客户资料和信息不分级别随意管理,任何员工甚至未经任何手续就能随意使用和得到这些信息,另一边声称自己的商业秘密被泄露要加强管理甚至要进行索赔等,这种状况是很难寻求到法律支持和保护的。所以,我们强调确定企业的商业秘密范围,明确商业秘密保护的对象是商业秘密保护工作的关键环节。(3)接待外来人员采访、参观、考察、实习中疏忽大意。这样的实例很多,我国一些具有“独特工艺”的传统产品企业就是在接待参观和考察中,被人窃取“机密”。改革开放之初,日本人借着我国地方官员和民众热情迎接外宾,毫无商业保密头脑的机会,来泾县“参观考察”中国宣纸制造,官员和工厂负责及技术人员陪同参观,每一道制作工艺详细讲解,从而日本人轻而易举获取了宣纸制造的整个流程,以及“纸药”的配方。如果企业能重视到商业秘密的保护,此种损失完全可以避免或降低。参观应避开敏感区域,勿作详细解释,勿对生产制造工艺进行演示,并要求来访者参观商业秘密设备时签订保密协议。(4)对外信息。竞争对手通过公开的信息收集的合法途径同样能够获取企业商业秘密。还有一些企业甚至盯着对手公司经常使用的垃圾箱,从垃圾箱中翻阅废弃资料,从而检索有用信息。对此,企业一定要引起注意,最好建立严格的信息审批规章制度和办事程序。比如信息公布、报废产品、实验废品和产品的处理,展览、新闻和广告等,均需通过严密的信息处理和审批,以防无意中泄密。为了解决一个个具体的问题而立即行动,效果不会很好,久而久之,信息安全保护措施会流于形式、奔走救火。企业要防止自己的商业秘密被竞争对手窃取,必要采取各种保护措施。保护措施越多,保护效果越好,但同时保护成本也会增大,消耗企业的财富。但如果企业对商业秘密投入不足,会使保护能力欠缺,导致重要的商业秘密资产被泄密,企业面临的损失可能会更大。因此,企业必须使投入的保护成本与需要保护的商业秘密资产价值相适应。

3保护信息安全的目标是降低风险

就商业秘密而言,没有绝对的安全,只有相对的安全。信息安全的目的是,保护信息免受各种威胁的损害,以确保业务连续性,业务风险最小化,投资回报和商业机遇最大化。泄密风险只能降低,不可能杜绝。商业秘密范围的确定是商业秘密保护最基础的工作,只有准确的定义、识别并确定自己企业需要保护的商业秘密范围,才有可能采取有效措施对范围之内的商业秘密进行保护,如果范围确定的不准确,就可能使商业秘密面临缺乏保护或保护过度的风险。在明确商业秘密的范围和定义的前提下,首先要做好“定密”工作,其次要做好“分级”工作,最后在采用各种手段去做“保密”工作。

参考文献

[1]魏亮.云计算安全风险及对策研究[J].邮电设计技术,2011(10).

[2]徐祖哲.企业信息化与商业秘密保护[J].中国科技投资,2009(2).

[3]欧阳有慧.商业秘密的企业应对[J].商场现代化,2009(1).

[4]王红一.免予公开的商业秘密的界定问题[J].暨南学报,2005(5).

[5]冯晓青.试论商业秘密法的目的与利益平衡[J].天中学刊,2004(12).