企业信息安全服务范文
时间:2023-10-10 17:42:22
导语:如何才能写好一篇企业信息安全服务,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。
篇1
关键词:SOA 信息安全 企业服务总线
中图分类号:TP2 文献标识码:A 文章编号:1672-3791(2013)01(c)-0022-02
随着信息技术的不断普遍,信息安全体系结构在当前的企业信息技术中扮演着越来越重要的角色。我们尝试将信息安全和风险控制活动定义到安全服务里,设计面向服务的企业信息安全体系结构。
SOA是工业界的一个热点主题。它是一个策略、实践和框架的集合,能够为提供跨域注册、动态发现和自动机制提供内建的基础设施。并且提供的服务封装,通过消息协议提供可由双方共同操作的服务。SOA也为服务质量控制和资源管理及其它的监控服务和异常处理机制准备了基础设施。作为一个agility-pursued体系结构,SOA将企业逻辑从技术实现分离,从而使围绕SOA体系结构建立的应用能够满足企业和技术领域持续变化的需求。它也将有益于可复用性和系统集成,以及可扩展性、分布性和跨域注册。
1 问题发现
我们在SOA安全体系结构上的研究发现了以下几个问题。
(1)缺少企业信息安全集成体系结构,引入了不同的、相互独立的信息安全系统和解决方案,这会导致整个系统的不兼容性,导致无法达到期望的风险管理控制。
(2)由于在信息风险管理系统的信息采集还处于半自动化阶段,人工的信息采集过程会导致人为造成的错误。
(3)ISO/IEC 27002系统为企业信息安全管理提供非常好的方法和指南,但由于缺乏合适的工具进行管理,无法很好解决企业信息安全。
(4)我们需要注意SOA自身的可靠性和安全性问题。
2 信息安全体系结构的设计
根据上述问题,提出本文的基于SOA的信息安全体系的设计。
通过研究,我们提出了一个面向服务架构的企业信息安全体系结构,它是底层基于数据仓库/数据集市技术,并以安全服务总线作为hub,为企业信息安全活动提供集成信息安全的管理和有效的控制,使用BPM(企业过程管理)、规则引擎(Rule Engine,RE)和,企业智能(Business Intelligence,BI)技术。它有益于企业公司达到需要的信息安全管理级别。并且建立一个PDCA(Plan-Do-Check-Act)适配器,以确保信息安全管理和风险控制活动,能够进行自我优化。
2.1 体系结构的结构
参考七层OSI设计,我们设计了五层的智能企业信息安全体系结构。自下向上为安全数据库层、安全应用层、安全服务总线、集成和智能层、信息安全框架。
(图1)说明了智能企业信息安全体系结构的结构。
(1)安全数据层。体系结构的底层是整个体系结构的基础层。这是因为安全数据易于被其它应用和服务使用。这一层的数据被分为两个部分:操作数据和分析数据。
(2)安全应用层。应用层包括所有的信息安全系统,如防火墙、入侵防御系统、反病毒系统,以及被防护的设备,如网络设备、服务器和桌面环境等。它也包括这些系统上的各种各样的操作系统。
(3)安全服务总线。是基于SOA的信息安全体系结构的中枢。我们在这一层定义SOA服务总线的结构和需要的各种各样的信息安全服务。在面向服务的信息安全体系结构中,我们能够将当前和未来的安全需求定义为安全服务,但这些服务的实现是隐藏的。
(4)集成&智能层。体系结构中数据、过程和应用都是在这一层进行处理实现的,解决一个企业各种业务问题,满足快速变化的环境。集成层具有“应用之间”和“过程之间”进行通信的能力,通过适配器,它还能够与其他企业过程、服务提供者或数据提供者通信。
(5)信息安全辅助设计。这是信息安全对外的接口,主要是由匀衡器、关键风险指示仪以及监控接口。
企业智能模型提供各种各样的服务,例如报告、查询、OLAP、数据挖掘和多维分析。规则引擎,作为工作流的一部分,可以结合到BPM模型。因为有了规则引擎,我们能够更加有效地执行信息安全管理和风险控制。PDCA适配器是一个特殊的工具,它利用人工智能能够帮助公司达到信息安全管理中持续提高和自我优化的目标。
2.2 特点和优势
本文提出的企业信息安全体系结构具有以下特点。
(1)集成。它也能够将信息安全管理和风险控制联合起来作为一个集成的框架。
(2)可复用。体系结构是比较独立的,适合于企业和小型组织。服务的封装使得可复用,与其他服务联合使用。
(3)面向服务的体系结构。SOA体系机构的采用提供了服务的独立性、自我管理和自我弹性。
(4)集成的数据环境。集成的数据结构使之适合于各种数据库进行对接。
(5)企业智能。这个体系结构将企业智能应用到信息安全管理,信息安全管理主要使用了数据挖掘和模式识别技术。这可以大大减少由于人工误操作引起的损失,增强信息安全管理和风险控制操作。
(6)开放的体系结构。体系结构开放设计,以满足整个企业的安全需求;面向服务的特征使得体系结构式开放的,允许多个接口与外部应用通信。
3 结论
与传统的信息安全体系结构设计相比,本文提出的体系结构设计具有几个优势,包括开放、集成、可复用、面向服务、集成数据平台和商业智能。信息安全管理人员可以自由地执行重要的任务,如风险分析等。最后,这个体系结构式我们建立集成和智能企业信息安全体系结构的开端,以后会有更多的、更好的产品出现。
参考文献
[1] 魏东,陈晓江,房鼎益,等.基于SOA体系结构的软件开发方法研究[J].微电子学与计算机,2005,22(6):73-76.
[2] 叶宇风.基于SOA的企业应用集成研究[J].微电子学与计算机,2006,23(5):211-213.
[3] 雷冬艳.SOA环境下的数字图书馆信息安全研究[J].科教文汇,2010(33):189-190.
[4] 李益文.基于SOA的商业系统的信息安全技术探讨[J].电脑编程技巧与维护,2010(20):114-115,154.
篇2
【关键词】企业信息化;信息安全问题;原因;对策
新时期下,信息化技术在各行业中运用日渐深入,给企业现代化建设与快速发展带来了无限动力。企业信息化建设已成为我国经济信息化建设能否成功的关键所在,也是提升企业自身市场竞争力与企业升级进步的重要保证和标志[1]。但是,企业信息化建设过程中不可避免的出现信息安全问题,给企业正常生产经营带来诸多不利影响。因此,加强企业信息化建设中信息安全管理,已成为现代企业经营管理的一个至关重要的工作。
1企业信息化概述
所谓的企业信息化,指的是实现企业的资金流、物流、作业流、信息流的数字化、网络化管理,实行企业运行的自动化和企业制度的现代化[2]。企业信息化建设涉及了企业生产经营中的各个部门,其主要利用现代化信息技术,通过完善企业内外网络信息系统,实现对企业内外知识与信息资源的开发。可见,建设企业信息化体系,不但可以及时有效的提供各种数据信息给企业决策层,也为企业未来规划设计提供参考依据,而且还有利于企业满足瞬息万变的市场需求,为企业市场核心竞争力的提升带来动力。
2当前企业信息化建设中信息安全问题
企业信息化建设与发展为企业持续、健康、稳定发展发挥了显著作用,但同时也存在着诸多信息安全问题,具体分析主要有以下几方面[3]:(1)当前,绝大多数企业缺乏完善的安全防御系统,导致企业内部使用的信息系统易遭受外部网络系统的攻击,引发企业信息资料被他人截获、篡改与伪造等问题,甚至企业信息系统中出现通信线路、硬盘设施以及其他文件系统遭恶意破坏现象,上述问题的发生不但致使企业信息系统无法正常运行,而且其内部机密信息易发生泄漏,造成企业严重的社会经济损失。(2)针对邮件系统攻击防不甚防。在企业信息系统中电子邮件具有重要的作用,通过电子邮件接收与传送,极大的方便了企业内部间与外部间信息交流与沟通。然而,电子邮件安全问题也日益突出,典型的如电子邮件病毒、垃圾邮件、机密信息泄露以及电子邮件炸弹等,给企业信息传输带来了巨大安全隐患。因此,电子邮件安全问题不可忽视。(3)漏洞攻击日益严重。按照漏洞问题发生原因可分为软件漏洞和协议漏洞两种,其中软件漏洞主要是受外部不法分子攻击软件自身存在的漏洞,造成企业信息泄露等问题;而协议漏洞则主要是由于TCP/IP协议自身在安全机制方面存在的诸多漏洞问题导致,外部不法人员通过攻击TCP/IP协议漏洞,致使企业信息系统遭受破坏。目前情况,很多企业对自身信息系统缺乏成熟的漏洞检测手段和能力,往往事发后才采取补救措施。(4)是Web服务安全问题突出,根据Web服务流程,其发生安全问题的主要组成包括Web服务端安全问题、浏览器客户端安全问题两种。其中,Web服务端安全问题主要是企业Web主机遭受外部不法分子侵入,导致企业保密信息遭窃或者企业部分信息遭受非法篡改等;浏览器客户端安全问题则是企业浏览器客户端遭外部非法分子侵入,致使部分机密信息与数据遭窃等。
3导致企业信息化建设中信息安全问题因素
企业信息化建设中信息安全问题发生受诸多因素影响,具体分析主要有以下几方面[4]:(1)目前,绝大多数企业在信息化建设过程中,对于信息安全问题重视度严重不足。一方面,受传统经营观念影响,企业管理层偏重于对企业生产经营中的有形资产给予关注与重视,而忽略了企业知识与信息资料等无形资源,导致在企业信息安全管理方面各项投入严重不足,进而造成信息安全问题日益凸显;另一方面,多数企业在面对信息安全问题时,存在着盲目乐观现象,认为信息安全问题不至于导致企业正常生产经营,使得信息安全管理无法上升至企业发展规划战略之中,进而造成信息安全问题得不到及时有效解决。(2)由于企业信息化建设在我国尚处于起步阶段,各方面配套管理制度不够完善,特别是缺乏健全的企业信息安全管理体制。受此影响,企业信息化建设中信息安全问题一方面无法得到有效的预防措施,另一方面是一旦发生信息安全问题,无法采取及时有效的补救与解决对策。同时,由于缺乏科学、合理、有效的企业信息安全防护策略,使得企业信息管理人员缺乏必要的安全防护意识与业务素质能力,致使企业信息安全防护软硬件工作质量与效率明显不足。上述两个因素,导致企业无论是从人员配置,还是资金与技术投入方面都严重不足,受企业信息管理人员业务素质能力不足、信息安全技术方法落后以及配套的资金缺乏等影响,企业信息安全防护的措施、手段偏低,造成企业信息化建设存在着严重安全隐患。
4提升企业信息化建设中信息安全对策
针对当前企业信息化建设中存在的信息安全问题,为加强企业信息安全管理,提升企业信息安全保障,可通过采取以下几方面对策,具体有[5]:(1)转变传统企业信息化建设观念,在企业内部管理层从上至下加强对企业信息安全的重视,并树立正确的安全意识。一方面,通过组织各种信息安全管理培训等,增强全体企业员工信息安全意识,确保企业保密信息不外漏;另一方面,逐步加大企业信息化建设中信息安全管理各项资金、技术、人力投入,并建立科学、合理、有效的企业信息安全防护策略,保障企业信息系统安全稳定。(2)不断的推进网络信息技术的发展与运用,促进企业组织结构网络化的实现,同时引进先进的安全防护技术,确保企业信息化系统安全稳定运行。任何网络信息系统都存在着或大或小的安全漏洞问题,而保证其不受外部不法分子侵入的一个关键方法就是安全防护技术的运用。通过选用先进的安全防护技术,可以有效的提高企业信息系统抵抗外来攻击,避免企业信息遭受窃取、篡改甚至破坏等,对于保障企业持续、健康、稳定发展具有显著作用。(3)结合企业信息化建设实际情况,建立健全企业内部信息系统管理体制。一方面,针对信息安全问题,应建立科学、合理、规范的信息安全管理体制,保证企业信息系统安全运行;另一方面,建立健全企业安全风险评估机制,针对不同系统找出影响其安全的因素和漏洞,并制定出最佳的对策,降低企业信息安全风险;此外,加强相应的网络管理,防止外来不法分子通过网络侵入企业信息系统。(4)根据新时期企业信息化建设需要,加强企业信息技术人才、信息管理人才队伍建设,为企业信息安全管理奠定坚实的人才基础。一方面,在企业内部,加强信息技术人才培训,提高企业内部相关人才业务素质能力;另一方面,在企业外部,采取有效措施,积极招聘人才,引进具有先进信息技术型人才;此外,建立健全企业信息安全管理用人机制,激发员工工作积极性,提高工作质量与效率。
5小结
总而言之,企业信息安全事关企业信息化建设是否成功,对于企业持续、健康、稳定发展具有至关重要的作用。因此,应提高企业信息安全管理意识,增强企业信息安全管理机制,促进企业信息安全管理工作质量与效率,保障企业信息化建设顺利开展。
作者:吴捷 单位:中海石油气电集团有限责任公司
参考文献
[1]毛志勇.企业信息化建设的信息安全形势与对策研究[J].科技与产业,2008,8,(1):43~45.
[2]纂振法,徐福缘.浅析企业信息化建设的意义、问题与对策[J].吉林省经济管理干部学院学报,2001,3:24~28.
[3]谢志宏.企业信息化建设中的信息安全问题研究[J].企业导报,2014(06):132~133.
篇3
关键词:电力企业;信息安全;管控平台;初步设计
中图分类号:TP31 文献标识码:A
随着我国社会经济不断地发展,人们的生活水平不断地提高,我国电力企业得到高速发展,为满足人们所提出的高要求,适应社会主义市场经济体制的发展,电力企业必须转变管理模式,采用现代化的管理手段,以寻求更好的发展。如今,计算机信息技术已被广泛应用于社会各个领域中,具有重要的作用。电力企业在发展过程中,其规模越来越大,信息化的应用也有所突破,但仍然存在问题。为使信息化技术在电力企业中得到高效的应用,保障电力企业的信息安全,则必须建设电力企业信息安全管控平台,以有效的控制电力企业的信息,充分发挥管控平台的功能。
一、创建电力企业信息安全管控平台的重要性
随着我国电力企业的蓬勃发展,其经营规模越来越大,在企业中充分利用信息技术,以使电力企业具有时代特点。近几年,计算机信息网络技术不断地改进和完善,逐渐成为我国社会生活生产中不可或缺的一部分,其在电力企业中的应用推动了电力企业的现代化发展,但与此同时其也为电力企业的信息安全带来了挑战。现阶段,电力企业的信息安全问题已成为其发展过程中的亟待解决的重要研究课题。在电力企业中,由于其各级别的单位难以解决网络分散性问题,无法有效地规避信息安全事件所带来的高风险。在电力企业管理中无法全面的掌握企业信息安全状况,缺少可靠的依据来开展风险评估工作,未能进行实时跟踪监督,导致其难以制定科学的安全预警方案。鉴于这种情况,电力企业必须加强内部控制管理,做好事前预防、事中控制和事后监督。为实现有效的电力企业现代管理,必须创建具有实用性的电力企业信息安全管控平台。这个平台能让电力企业实施可靠的安全监督,进行合理的安全预警工作,可促使电力企业做好风险评估工作,开展高效的监督工作,对企业信息进行统一管理,以建立完善的信息安全风险管理体系,从而提高电力企业信息安全管理水平。
二、电力企业信息安全管控平台的初步设计
1电力企业信息安全管控平台的设计原则
在设计电力企业信息安全管控平台时,要遵循以下原则:首先,所创建的信息安全管控平台必须满足电力企业发展的需求,要以现代电力企业的管理体制为依据来创建,以保障信息安全管控平台的可实行性;其次,电力企业信息安全管控平台的设计需要先进的技术措施和科学的管理方法来支持,因而设计前,必须慎重的选择技术和管理的实现方式;最后,电力企业所创建的信息安全管控平台,其自身必须具有一定的安全性,为平台在企业中的应用提供重要的保障。除此之外,在信息安全管控平台的设计过程中,要先了解平台工具的特殊性能,并以此为基础来设计与之配套的功能服务,例如数据初始化,以保障信息安全管控平台的顺利运行。
2根据不同的角色来设计管控平台
电力企业信息安全管控平台的建设,必须与其企业的组织结构相配合。在设计管控平台的时候,应该对不同角色的职能需求进行分析。对于上级信息安全主管单位,其所需要的是能全面掌握信息安全的动态,了解信息系统安全的状况,做好网络环境评估工作,主要功能是协调和监督;对于本地信息安全实施单位和主管单位,前者主要是设立安全运维人员等人来保障解本地信息安全,而后者则是全面了解企业信息安全状况并且进行有效的细条;对外部信息安全支持单位,其主要是负责对企业信息安全实施监督和控制,以做好应急工作;对于应急联动和专家机构,其职责在于为企业信息的安全提供技术保障。
3信息安全管控平台在电力企业中的实现
信息安全管控平台在电力企业中运行时,主要分为这几个模块:第一,基础安全数据管理模块,这一部分主要是的对企业信息系统中所产生的各类数据,如服务器的基本信息,安全配置知识库等数据资料进行整合和储存,具有查询和修改的功能;第二,预案管理模块,这一部分主要是用来对电力企业中的各级单位进行原的编制、和更新等。值得注意的是要为应急预案编制工作和审批制定统一的标准,加以规范。在预案管理部分,可充分利用工作流引擎来执行应急预案,以突出应急预案的作用和其有效性;第三,风险评估模块,在这一部分主要是为信息安全风险评估工作提供可靠的数据信息作为依据,以根据矩阵型风险计算方式计算出风险,并制定出相应措施;第四,业务影响分析模块,这一部分的功能与风险评估模块的职责差不多,也是响应急预案提供有效信息,但是其在此过程中还必须注意信息系统业务之间的不同之处;第五部分是公告管理模块,这一部分主要是提供浏览、查阅和管理等功能;第六。预警管理模块,由两个部分组成,一个是漏洞预警管理,另一个则是威胁预警管理,这两个部分的级别分别是高、中、低;第七,安全事件管理模块,这一部分是对信息安全事件进行处理;第八,信息安全状况监视模块,包括了宏观态势监视和应急监视。
结语
在电力企业中建立信息安全管控平台,是保障电力企业信息安全的重要途径,具有重要意义。电力企业信息安全管控平台的建设是为了加强电力企业信息化程度,必须科学的制定设计方案,使其符合现阶段电力企业的发展现状和电力企业的发展特点。在电力企业中运行信息安全管控平台,有利于及时发现信息安全中存在的问题,并加以解决,能确保企业信息的真实性、完整性和有效性。这种信息安全管控平台的创建有其必要性,对电力企业的发展起到重要的影响作用,必须予以高度重视。总而言之,对电力企业信息安全管控平台的研究具有重要的意义,而这一平台的运行则具有较高的使用价值。
参考文献
[1]樊凯.电力企业信息安全管控平台设计与实现[J].现代计算机:下半月版,2012(17) .
[2]李正忠.电力企业信息安全网络建设原则与实践[J].中国新通信,2013(9) .
篇4
关键词:企业信息;安全;网络;信息技术
中图分类号:TP393.08
随着信息化建设的不断深入,企业对网络信息系统的依赖性越来越强,几乎所有的工作内容以及数据都存储在网络中。然而由于网络具有开放性,因此企业的信息存在着极大的安全隐患问题。一旦信息被偷窃或泄露,将会给企业造成难以估量的损失。因此说,保证企业信息安全具有极其重要的意义,它直接关系着整个企业的生产和经营。然而在实际的工作中,企业信息化仍然存在着一些问题,直接影响着企业的信息安全。
1 企业信息化存在的隐患
随着信息化的高速发展,为企业及社会带来了显而易见的效益:提高的工作效率、减少的纸张浪费、快捷方便的通讯等等。但信息化也是一柄"双刃剑",尤其是在企业管理、商业保密等工作中,还存在着令人堪忧的隐患:
一是物理安全风险。物理安全风险包括计算机系统的设备、设施和信息面临因自然灾害、环境事故(如断电)、人为物理操作失误以及不法分子进行违法犯罪等风险。
二是数据安全风险。数据安全风险包括竞争性业务的经营和管理数据泄漏,数据被人为恶意篡改或破坏等。
三是网络安全风险。网络安全风险包括病毒造成网络瘫痪与拥塞、内部或外部人为恶意破坏造成网络设备瘫痪、来自互联网黑客的入侵威胁等。
2 保证企业信息安全的基本对策
2.1 正确认识企业信息安全问题
企业的信息安全问题,绝不仅仅是一个仅靠防火墙、密码等等技术就能解决的问题,它还与人们的职业道德、社会道德以及企业管理等问题密切相关。因此,在维护企业信息安全时,我们必须站在宏观的角度对问题进行考虑。在过去看来,一个企业信息的安全问题,是领导层或者IT单个部门的事情,但是凭少数人或部门的工作,对于保障公司的信息不被泄漏,防护信息存储不被破坏、攻击和偷盗是很难的事。笔者认为,意识指导行动,信息安全问题首先要解决的是员工的思想认识问题,只有企业的每一个人都认识到信息安全的重要性,才能在工作中自觉地维护信息安全。因为在任何一个体系中,人都是最活跃、最具有影响力和决定意义的因素,因此对于企业的信息安全问题而言,企业内部员工才是保护信息安全的最可靠、最有效的重大保障。此外,还可以加强引进信息安全技术人才以及信息安全管理人才,并在日常工作中,加强对队伍专业知识以及工作技能的培训,从而为企业建设一支强有力的信息安全保卫队伍。
其次信息管理部门要全面作好专业技术支持与防范工作,根据业务的需求采取适当的保护措施,实施专业应用系统。例如,保护企业信息安全的技术可以采用主动反击、网络入侵陷阱、密码、取证、防火墙、安全服务、防病毒、可信服务、PKI 服务、身份识别、备份恢复、网络隔离等等保护产品以及保护技术,通过确保信息安全的最大化,来实现企业生产经营持续发展以及经济效益的最大化。此外,还可以在工作的过程中,进一步优化企业信息安全管理,并进行管理监控以及安全风险评估,分析入侵防范、服务器架构等等关键问题,以全面性、多角度的掌控,确保企业信息系统的安全性、稳定性,因为信息安全问题不具有静态性,信息管理始终处在一个不停变动的动态性过程,因此即使我们不可能确保信息的绝对安全,也必须做到相对安全,从而最大限度的降低企业风险。
2.2 建立健全信息安全管理制度
信息安全不仅是技术问题,更主要是管理问题。任何技术措施只能起到增强信息安全防范能力的作用,俗话说“三分技术,七分管理”,只有良好的管理工作才能使保障技术措施得到充分发挥,是能否对信息网络实施有效信息安全保障的关键。现在中国石油股份有限公司内控体系中涉及信息内部控制的《信息系统总体控制办法》(以下简称“GCC”)就很好的涵盖了信息安全的各个方面,包括了机房管理、服务器管理、网络管理和系统管理等。因此在实际的工作中,我们可以通过“三步骤”来实现企业信息的安全管理制度的健全化、完善化。
第一,结合企业自身的实际,分析企业存在的问题以及预期的目标,制定具有科学性、合理性、实效性、可行性的信息安全管理制度,使保护信息安全工作做到有法可依,有章可循。第二,建立信息安全管理机构,明晰信息安全管理负责人的职务和责任,并建立相应的考核机制和激励机制,以督促、鼓励相关负责人的工作,提高信息管理工作质量。第三,真正贯彻管理措施,加强制度的执行力度,只有这样,才能从根本上实现管理工作以及工作目标,最终提高企业的信息安全管理水平。
3 加强企业信息安全保障的几点措施
如何有效地解决企业信息安全的专业性管理与技术性防范,笔者认为可从以下几个方面着手。
3.1 实行严格的网络管理
企业网与互联网的物理隔离、防火墙设置以及端口限制,与互联网相比安全性较高,但在日常运行管理中我们仍然面临网络链路维护、违规使用网络事件等问题,具体而言:
一是在IP资源管理方面,采用IP+MAC捆绑的技术手段防止用户随意更改IP地址和随意更换交换机上的端口。这样,就不会出现IP地址被盗用而不能正常使用网络的情况;二是在网络流量监测方面,使用网络监测软件查看数据、视频、语音等各种应用的利用带宽,防止频繁进行大文件的传输,甚至发现病毒的转移及传播方向。三是加强服务器管理。常见应用服务器安装的操作系统多为Windows Server,可利用其自带的安全管理功能进行设置,包括服务器安全审核、组策略实施、服务器的备份策略以及系统补丁更新等。
3.2 加强客户端监管
对大多数单位的网管来说,客户端的管理都是他们最头痛的问题。只有得力的措施才能解决这个问题,这里推荐以下方法:
(1)将客户端都加入到域中,使客户端强制性纳入管理员集中管理的范围。
(2)只给用户以普通域用户的身份登录到域,这样就可以限制他们在本地计算机上安装有安全隐患软件的权利。
(3)实现客户端操作系统补丁程序的自动安装。
(4)利用企业IT部门的工作职能,设置热线帮助和技术支持人员,统一管理局域网内各客户端问题。
3.3 坚持进行数据备份
由于应用系统的加入,各种数据库日趋增长,如何确保数据在发生故障或灾难性事件情况下不丢失,是当前面临的一个难题。从成本及易操作性考虑,这里推荐以下两种数据备份方法:一种是用硬盘进行数据备份;另一种是采用本地磁盘阵列来分别实现各服务器的本地硬盘数据冗余。
3.4 采取有效病毒防治方式
SYMANTEC公司的Norton Antivirus企业版是一个可选软件。在实施过程中,以一台服务器作为父服务器,实现对网络中所有计算机的保护和监控,并使用其中有效的管理功能,如: 管理员可以向客产端发送病毒警报、强制对远程客户端进行病毒扫描、锁定远程客产端、病毒库定期更新等。
参考文献:
[1]丁佐峰.中小型企业信息网络安全架构探究[J].计算机光盘软件与应用,2012(20):33+37.
[2]胡大威.企业信息安全威胁及解决方案[J].计算机光盘软件与应用,2012(13):1-2
篇5
信息技术的飞速发展冲击着各行各业,给全球房地产业也带来一场深刻的变革和发展的契机。在政府的牵头和推动下,在房地产业各界积极参与和实践下,中国房地产业已取得卓有成效的成果,呈现全面信息化的发展势头。具体表现在:
(1)房地产政务信息化成效显著。
许多城市利用信息技术开发了房地产政务管理软件,有效地改进了行政管理,提高了工作效率,完善了政府对房地产市场的监控和预测能力。
(2)房地产企业信息化取得长足进展。
房地产经营方式开始打上信息时代的烙印。一些房地产企业建立了企业内部网站,提高了信息传输速度,加快了企业决策速度,提高了办事效率。此外,各种针对房地产企业的计算机软件,如房屋销售软件、物业管理软件、租赁软件、房地产可行性分析软件、房地产开发管理软件等,也得到了广泛的开发和应用。
(3)初步建立了房地产宏观监测系统。
为适应我国房地产业发展的内在要求,针对市场信息零散、盲目投资行为大量存在等状况,我国已建立包括中房预警系统、中房指数、国房景气指数等在内的房地产宏观监测系统。
(4)智能化小区和网络小区建设步伐加快。
近年来,住宅的智能化功能被列为评价楼盘综合性能的不可缺少的一个重要指标,智能化住宅已逐步进入普通人的生活。社区提供与外界进行数据交换的软硬件设施和服务是家居功能向外拓展的必要条件。智能化的物业管理深入到各单位住宅,真正实现建筑智能化到社区管理的智能化。
(5)房地产网站发展迅速。
由于房地产业自身的行业特点,使其在网上具有更大的优势,房地产业各界都以最快的速度建立或准备建立自己的网站,将网络作为房地产信息的主要渠道。房地产网站建设提供了全天候、全方位市场服务的新模式,建立房地产在线咨询服务系统,引入城市电子地图,实现网上售楼,改变了传统的购房方式。同国外相比,我国房地产信息化整体水平较低,地区差异较大,东西部发展不平衡,仍存在诸多制约因素,还有很长的路要走。但是,房地产业唯有实现信息化,唯有与网络结合,才能焕发出新的活力。建立和完善房地产企业的网络系统,实现总公司与下属子公司之间的双向沟通和信息共享。通过信息平台的整合,为企业管理决策提供全方位、完整的信息数据,使企业的管理逐步走向信息化,建立企业网站,使其向房地产行业和管理信息服务方向转化,加强与员工的沟通,将信息化手段应用于具体管理工作的流程中。以国家信息化工作的指导方针“统一规划、联合建设、推广应用、发展产业、资源共享”为房地产企业信息化工作的指导思想,将房地产企业的管理全部数字化,充分利用先进的信息技术,使本企业集团形成一个管理对象数字化、管理专业网络化、数据动态实时化、管理决策科学化的现代企业,走一条结合自身特点,依托信息技术发展房地产信息化产业的振兴之路。
二、企业信息安全防范
随着企业信息化的发展,办公自动化、财务管理系统,企业相关业务系统等生产经营方面的重要系统投入在线运行,越来越多的重要数据和机密信息都通过企业内外部网络来传输。这在提高生产效率和管理水平的同时,也带来了不同以往的安全风险和问题。通过网络传输的数据信息如被非法用户截取,导致泄露企业机密;如被非法篡改,造成数据混乱,信息错误,造成工作失误等。另一方面,病毒感染造成网络通信阻塞,系统数据和文件系统破坏,系统无法提供服务甚至破坏后无法恢复,特别是系统中多年积累的重要数据丢失,对企业的生产管理以及经济效益等造成不可估量的损失。因此,如何保护企业机密,保障企业信息安全,成为企业信息化发展中需要面临和解决的问题,提上了企业的议事日程。企业信息安全管理即针对当前企业面临的病毒泛滥、黑客入侵、恶意软件、信息失控等复杂的应用环境制定相应的防御措施,保护企业信息和企业信息系统不被未经授权的访问、使用、泄露、中断、修改和破坏,为企业信息和企业信息系统提供保密性、完整性、真实性、可用性、不可否认。企业信息安全是一项复杂的系统工程,涉及技术、设备、管理和制度等多方面的因素,安全解决方案的制定需要从整体上进行把握。首先,企业必须根据实际情况全面做好安全风险评估。第二,采用信息安全新技术,建立信息安全防护体系。综合各种计算机网络信息系统安全技术,将安全操作系统技术、防火墙技术、病毒防护技术、入侵检测技术、安全扫描技术等综合起来,形成一套完整的、协调一致的网络安全防护体系。企业根据自身信息系统建设和应用的步伐,建立完整的信息安全防护体系,统筹规划,分步实施。第三,管理和技术并重,技术与措施结合。根据信息安全策略,建立健全企业信息安全管理制度,制定相应的安全标准,建立备份和恢复机制,提高安全管理水平。第四,充分利用企业网络条件,提供全面,及时和快捷的信息安全服务。第五,信息安全是一个动态过程,需要定期对信息安全状况进行评估,不断改进完善安全方案,调整安全策略。
三、总结
篇6
【关键词】信息安全 管理 控制 构建
1 企业信息安全的现状
随着企业信息化水平的提升,大多数企业在信息安全建设上逐步添加了上网行为管理、内网安全管理等新的安全设备,但信息安全防护理念还停留在防的阶段,信息安全策略都是在安全事件发生后再补救,导致了企业信息防范的主动性和意识不高,信息安全防护水平已经越来越不适应当今企业IT运维环境和企业发展的需求。
2 企业信息系统安全防护的构建原则
企业信息化安全建设的目标是在保障企业数字化成果的安全性和可靠性。在构建企业信息安全体系时应该遵循以下几个原则:
2.1 建立企业完善的信息化安全管理体系
企业信息安全管理体系首先要建立完善的组织架构、制定信息安全管理规范,来保障信息安全制度的落实以及企业信息化安全体系的不断完善。基本企业信息安全管理过程包括:分析企业数字化资产评估和风险分析、规划信息系统动态安全模型、建立可靠严谨的执行策略、选用安全可靠的的防护产品等。
2.2 提高企业员工自身的信息安全防范意识
在企业信息化系统安全管理中,防护设备和防护策略只是其中的一部分,企业员工的行为也是维护企业数字化成果不可忽略的组成。所以企业在实施信息化安全管理时,绝对不能忽视对人的行为规范和绩效管理。在企业实施企业信息安全前,应制定企业员工信息安全行为规范,有效地实现企业信息系统和数字化成果的安全、可靠、稳定运行,保证企业信息安全。其次阶段递进的培训信息安全人才也是保障企业数字化成果的重要措施。企业对员工进行逐次的安全培训,强化企业员工对信息安全的概念,提升员工的安全意识。使员工的行为符合整个企业信息安全的防范要求。
2.3 及时优化更新企业信息安全防护技术
当企业对自身信息安全做出了一套整体完善的防护规划时,就应当考虑采用何种安全防护技术来支撑整个信息安全防护体系。对于安全防护技术来说可以分为身份识别、网络隔离、网络安全扫描、实时监控与入侵发现、安全备份恢复等。比如身份识别的目的在于防止非企业人员访问企业资源,并且可以根据员工级别分配人员访问权限,达到企业敏感信息的安全保障。
3 企业信息安全体系部署的建议
根据企业信息安全建设架构,在满足终端安全、网络安全、应用安全、数据安全等安全防护体系时,我们需要重点关注以下几个方面:
3.1 实施终端安全,规范终端用户行为
在企业信息安全事件中,数字化成果泄漏是属于危害最为严重的一种行为。企业信息安全体系建立前,企业员工对自己的个人行为不规范,造成了员工可以通过很多方式实现信息外漏。比如通过U盘等存储介质拷贝或者通过聊天软件传递企业的核心数字化成果。对于这类高危的行为,我们在建设安全防护体系时,仅仅靠上网行为管理控制是不能完全杜绝的。应该当用户接入企业信息化平台前,就对用户的终端系统进行安全规范检查,符合企业制定的终端安全要求后再接入企业内网。同时配合上网行为管理的策略对员工的上网行为进行审计,使得企业员工的操作行为符合企业制定的上网行为规范,从终端用户提升企业的防护水平。
3.2 建设安全完善的VPN接入平台
企业在信息化建设中,考虑总部和分支机构的信息化需要,必然会采用VPN方式来解决企业的需求。不论是采用SSL VPN还是IPSecVPN,VPN加密传输都是通用的选择。对于分支机构可以考虑专用的VPN设备和总部进行IPSec连接,这种方式更安全可靠稳定。对于移动终端的接入可以考虑SSL VPN方式。在这种情况下,就必须做好对于移动终端的身份认证识别。其实我们在设备采购时,可以要求设备商做好多种接入方式的需求,并且帮助企业搭建认证方式。这将有利于企业日常维护,提升企业信息系统的VPN接入水平。
3.3 优化企业网络的隔离性和控制性
在规划企业网络安全边际时,要面对多个部门和分支结构,合理的规划安全网络边际将是关键。企业的网络体系可以分为:物理层;数据链路层;网络层;传输层;会话层;表示层;应用层。各体系之间的相互隔离和访问策略是防止企业信息安全风险的重要环节。在企业多样化网络环境的背景下,根据企业安全优先级及面临的风险程度,做出适合企业信息安全的防护策略和访问控制策略。根据相应防护设备进行深层次的安全防护,真正实现OSI的L2~L7层的安全防护。
3.4 实现企业信息安全防护体系的统一管理
为企业信息安全构建统一的安全防护体系,重要的优势就是能实现对全网安全设备及安全事件的统一管理,做到对整个网络安全事件的“可视、可控和可管”。企业采购的各种安全设备工作时会产生大量的安全日志,如果单靠相关人员的识别日志既费时效率又低。而且不同安全厂商的日志报表还存在很大差异。所以当安全事件发生时,企业管理员很难实现对信息安全的统一分析和管理。所以在企业在构建信息安全体系时,就必须要考虑安全设备日志之间的统一化,设定相应的访问控制和安全策略实现日志的归类分析。这样才能做到对全网安全事件的“可视、可控和可管”。
4 结束语
信息安全的主要内容就是保护企业的数字化成果的安全和完整。企业在实施信息安全防护过程中是一个长期的持续的工作。我们需要在前期做好详尽的安全防护规划,实施过程中根据不断出现的情况及时调整安全策略和访问控制,保证备份数据的安全性可靠性。同时全体企业员工一起遵守企业制定的信息安全防护管理规定,这样才能为企业的信息安全提供生命力和主动性,真正为企业的核心业务提供安全保障。
参考文献
[1]郝宏志.企业信息管理师[M].北京:机械工业出版社,2005.
[2]蒋培静.欧美国家如何培养网络安全意识[J].中国教育网络,2008(7):48-49.
作者简介
常胜(1982-),男,回族,天津市人。现为中国市政工程华北设计研究总院有限公司工程师。研究方向为网络安全与服务器规划部署。
篇7
当前,企业信息安全尚在起步阶段,发展不够成熟健全,还有更多需要解决的问题。随着网络技术的发展,经济信息量的大幅度上涨,处理信息必须依靠计算机才能完成,但计算机存在一定的弱点,例如计算机病毒、人员素质低下、黑客入侵等因素,以及移动4G、WIFI互联等多边界企业网络环境下,由于内外部网络是直接连接,其互通性和网络访问无限制性易形成黑客或恶意份子入侵的切入口,若是没有设置任何的网络边界安全机制,将造成企业信息受到潜在的安全威胁。企业要想持续发展,信息安全是基本保障。企业信息化程度越高,企业数据也就越安全。企业发展的基础即信息安全,企业管理者要正确认识信息安全工作的长期性和紧迫性。从保护企业利益,促进经济发展,保证企业稳定与安全的角度来看,只有做好基础性工作和设施建设,建立信息安全保障,以及建设安全健康的网络环境,才能有助于信息化安全建设。其实不管科技如何发达,技术如何高超,都是人类智慧的结晶体,所以信息安全已无法离开人类。不少企业信息被泄露,多是人为因素导致,员工滥用企业信息将会给企业带来极大的损失。
2企业信息化安全建设
当今社会已经步入信息知识经济时代,信息对企业良性长久的发展尤为关键,但目前企业信息系统安全问题无疑是企业发展阶段所面临的重点难点。所谓的企业信息安全就是对企业信息资产采取保护措施,使其不受恶意或偶然侵犯而被破坏、篡改及泄露,确保信息系统可靠正常并连续的运行,最小化安全事件对业务的影响,实现业务运行的连续性。因此笔者认为以下几方面是关键。
2.1做好网络保护
其实要保证外网安全需要企业加大硬件设备的投入,信息安全产品在网络经济发展下正面临着新的挑战,传统防火墙、信息加密、防病毒等已无法有效的抵御外部入侵;同时由于内部操作不当,导致内网感染病毒造成信息泄露的现状也是信息安全的焦点问题。针对以上情况,建立事前有效防御,事后追究机制是企业信息化安全建设的当务之急。根据现代企业的特点,笔者认为从下面这几点入手,有助于保护网络的安全:
(1)身份认证技术。
企业内网操作时,可采用身份认证技术,借助PKI、PKM等工具,控制网络应用程序的访问,以及进行身份认证,实现有效资源合法应用和访问的目的。
(2)审计跟踪技术。
通过审计跟踪技术监控和审计网络,控制外设备如MSN、QQ、端口、打印、光驱、软驱等,从而实现禁止使用指定程序,并促进员工操作行为及日志审计规范的目的。
(3)企业还应组建自身网络拓扑结构。
利用严格密钥机制和加密算法,有机的结合加密、认证、授权、审计等功能,保护最底层不同密集评定和授权方式的核心数据,而非限制应用网络和控制网络,进而真正实现合理保护,确保企业信息数据资源的安全。
2.2安全边界的界定和管理
安全边界的界定通过分析现有网络边界安全的需求,笔者认为有几方面:首先,内部网段。即企业网内网,是防火墙的重点保护对象,安全级别和授信级别更高,主要承载对象是企业所有人员的计算机。其次,外部网段。即边界路由器以外的网络,比如移动4G、WIFI互联等多边界网络,安全级别和授信级别最低,是企业信息数据泄露最大的安全隐患,需要严格禁止或控制。最后,DMZ网段。即对外服务器,安全级别和授信级别介于内外网络之间,其资源运行外部网络访问。
(1)由于外部用户访问DMZ区域中服务器的方式较为特殊,在系统默认情况下是不被允许的。
可实际应用中是需要外部用户对其进行访问,所以防火墙上必须增加相应允许外部用户访问DMZ区域的访问控制列表,通过对列表的控制允许用户行为,并对进行很好的监控管理,保证企业信息的安全性。
(2)内部用户对外部网络以及DMZ区域中服务器的访问。
按照ASA自适应安全算法,在系统默认情况下是允许高安全等级接口流向低安全等级接口流量的,外部网络安全级别远没企业内部网络安全级别高,所以在默认情况下这种访问方式是被允许的,不过实际应用过程中,需要限制对外访问流量。
(3)外部用户对内部网络的访问。
在系统默认情况下这种情况是不被允许的,是对外部用户非法访问的有效抵御,能有效的保证企业信息的安全,促进企业信息化的安全建设。
2.3强化系统管理
由于任何安全软件都有被攻击或破解的可能性,单纯依靠软件技术来保障企业信息安全是不现实的,只有强化企业内部信息系统的管理才行之有效。所以,企业内部信息管理体制要完善,尽可能促进管理系统规范性和可靠性的提高,才能为企业内部信息的安全提供更高保障。同时,要进行安全风险评估工作。因为各个信息系统使用的都是不同的技术手段和组成方式,其自身优势及安全漏洞也具有较大的差异,由此在选择企业所需的信息系统时,一定要先做各个系统的安全风险评估工作,信息安全系统的选择要针对企业自身特点,降低信息安全问题出现的概率。最后,就是加强系统管理。在实际生活中信息窃取和系统攻击大多是在网络上完成的,企业必须要强化网络管理工作,以便促进企业的运行更安全政策。
2.4加强企业信息安全管理团队建设
当前,企业信息安全体系的建设中已完全渗透“七分管理,三分技术”的意识,强化企业员工信息安全知识培训,制定完善合理的信息安全管理制度,是企业信息安全建设顺利实施的关键保障。企业信息安全建设时要另立专门管理信息安全的部门,负责企业内部的信息安全防护工作,加强对企业内部计算机网络系统的维护及常规检查。企业信息安全管理团队的职责主要包括:工作人员安全操作规范、工作人员守则以及管理制度的制定,再交由上级主管部门审批后监督制度规范的执行;定期组织安全运行和信息网络建设的检查监测,掌握公司全面的第一手安全资料,根据资料研究相关的安全对策和措施;负责常规的信息网络安全管理维护工作;定期制订安全工作总结,且要接受国家相关信息安全职能部门对信息安全的工作指导。
2.5入侵检测系统(IDS)与入侵防护系统(IPS)
IDS即入侵检测系统能够弥补防火墙的缺陷,能实时的提供给网络安全入侵检测,并采取一定的防护手段保护网络。良好的入侵检测系统不但可有助于系统管理员随时了解网络系统的变更,还能提高可靠的网络安全策略制订依据。因此,入侵检测系统的管理应配置简单,随时根据系统构造、网络规模、安全需求改变。IDS必须布置在能够监控局域网和Internet之间所有流量的地方,才能第一时间检测到入侵时,做出及时的响应,比如记录时间、切断网络连接等。
3总结
篇8
关键词:航空企业;信息系统;安全处理;现状;体系
中图分类号:TP393.08
随着计算机网络技术的不断发展,信息数据系统广泛应用于航空企业的信息管理中。然而,航空企业因其服务行业的特性,需要不断将航班等外部信息传播发送给旅客,另一方面,航空企业内部管理信息却需要做到严格的保密,这就对航空企业的信息系统安全处理提出了高要求,航空企业必须建立一套全面完备的信息安全处理体系,只有这样,才能提高航空运输信息的安全水平,保障航空企业的稳定发展。
1 航空企业信息系统安全管处理现状
近年来,我国航空企业已经开始广泛应用信息管理系统。在这些企业的信息系统中,包含了对交通服务、航班导航、天气情况以及企业内部信息的各类应用,航空企业信息管理部门需要将这些信息进行整合,构建成为一个完整的信息管理系统。然而,从目前航空企业的信息系统安全管理来看,多数航空企业在进行信息系统安全管理的研究时,都是将重点集中在某一特定领域,通过病毒检测系统、认证系统等对特定领域进行信息安全处理,并没有一个全面完整的信息安全处理体系。
另外,国家有关部门已经加强了对航空信息安全的重视,中国民用航空局颁布了关于管理民用航空安全信息的规定,通过将各航空企业的信息管理系统进行统一监督,统筹管理全行业的信息安全管理系统。无论从当今形势发展来看,还是从国家有关部门对信息系统安全管理的重视程度来看,建立一套完整的信息系统安全处理体系对于航空企业都是非常有必要的。
2 构建航空企业信息系统安全处理体系
在对信息系统安全处理体系进行构建时,应当遵循可行性、灵活性、扩展性等原则,使信息系统的安全处理能够满足信息的完整性、保密性和可用性。在进行信息系统安全处理体系构建时,可以用到的安全技术大致包括计算机病毒防范技术、信息侦测技术、安全操作平台技术、安全审计和入侵预警技术、内容分级监管技术等。
2.1 构建航空企业信息系统安全处理体系的初始步骤
(1)确定控制用户访问的安全处理系统。在进行访问权的控制时,可以设置相应的客户端界面,利用DCE/Kerberos身份验证机制,只要用户输入的个人信息得到验证后,用户才能进行下一步访问。还可以设置一种封闭策略,只有得到授权的用户才能获得相应信息。但是,在通过限制用户访问来达到信息安全处理的效果时,应当注意对数据信息的最大共享原则,使用户能够通过客户端获得对所有数据的访问权,除非是不应当开放的保密性数据。
(2)建立备份制度和事务日志制度等。对于信息系统而言,其安全性总会受到一定的威胁,企业在进行信息系统的安全处理时,还应当重视对数据的备份,使数据能够在受到安全威胁后得到有效恢复。
(3)确定信息数据安全的最小单位。在构建航空企业信息系统的安全处理体系时,可以将属性或关系作为最小安全单位,从而满足对信息安全性的高要求。
2.2 进一步构建航空企业信息系统安全处理体系的策略
在航空企业信息管理系统中,安全处理内部保密信息是很重要的,但对需要向外界公布的信息数据也不容轻视,因此仅仅依靠DCE/Kerberos身份验证机制无法进行全面的安全处理。
(1)建立信息系统的自行监控和预警机制
保障信息系统高效稳定的运转是航空企业进行各项业务的关键,因此,在进行信息系统的安全处理时,首先应当做到的就是对系统运行的监控和预警,从而能够早发现、早解决系统运行问题,避免影响航空业务的运行。
(2)应用各种安全产品,构建全面的防御体系
在航空企业信息系统建立安全处理体系时,航空企业应当加大投入力度,建立一个全面的防御体系,从而减少安全问题的产生。例如,在建立防病毒、防黑客体系时,可以通过部署应用漏洞扫描软件、防病毒软件等安全产品,构建出一个全面的防御体系,将信息系统的内部运转充分控制起来,从而能够及早发现安全问题,及早解决。
(3)设置控制用户访问的安全处理策略
航空企业的信息系统在为用户提供服务时,使用的是一种端对端的信息交流方式,因此,保障信息传递过程中的信息安全,防止信息遭到修改是信息安全处理的重点。SOAP协议基于XML数据结构,它可以为用户提供信息交换的平台。为保护SOAP协议的安全性,进而保障信息安全,我们可以进行用户查询权、修改权及删除权的设定,通过设立安全矩阵的方式将各类信息及各类人员的权限进行分类处理,从而提高信息管理系统的运行效率,如下表1所示。
通过这种矩阵式分类,就可以直观地将各部门权限表现出来,从而达到对信息系统客户端的有效管理。
(4)实现信息系统各子系统之间访问管理的安全性
在信息系统的使用中,用户对资源的使用往往会涉及到整个系统中的多数子系统,在访问这些子系统时,系统需要对授权进行逐一判断,这就会使系统属性发生改变,安全隐患也就随之而来,因此,应当建立一种访问控制体系,用于对访问各子系统信息资源的安全处理。
UCON模型,就是适应现代业务流程访问控制而产生的新型模型,包含了主体、客体和权限三个基本元素,它将义务、条件和授权作为了决策进程的一部分,提供了一种更好的决策能力。这种模型区别于其他访问控制模型之处就在于它的可变属性,可变属性可以随着访问对象的改变而发生改变,这种模型解决了传统的访问控制技术缺乏综合性的问题,并涵盖了安全和隐私两个重要方面,是一种具有决策连续性和属性易变性特点的访问控制模型。通过对UCON模型和数据库管理系统的综合使用,可以有效保护信息系统的数据资源,并能够在结合其他技术的基础上,对计算机系统资源和网络资源进行保护,从而达到航空企业信息系统安全处理的目标,防止非法访问现象的发生。
2.3 构建完善的航空企业信息系统安全处理体系
一个完整的信息系统安全处理体系,必须涵盖了从客户端到服务提供端,再到访问控制端的安全处理流程。首先,对于客户端安全处理环节的实现,可以借助用户身份信息的收集和对服务返回结果的安全处理,并运用DCE/Kerberos身份验证机制等安全平台操作技术对信息系统的安全性进行管理。其次,是对服务提供端安全处理的实现,这一环节包括了对用户身份的验证和对数据传输的安全处理,可以使用SOAP协议等安全审计技术为信息系统提供安全保障。最后,是对访问控制端安全处理的实现,这一环节可以分为对系统各环节的信息匹配和对访问控制服务的安全处理,是整个信息系统安全处理的重要环节,在构建系统安全处理体系时,可以使用UCON模型将访问控制权具体化,并设立安全矩阵,最终达到信息系统安全处理的目的。
总结:
航空企业的行业特性,决定了构建符合其行业特点的信息系统安全处理体系是一个复杂而繁琐的过程,企业信息安全管理部门应当从实际出发,结合企业信息系统的客户端、服务端以及数据库对信息安全的不同要求,运用现代化技术,依据信息系统设计原则,构建一个既能满足共享性,又能满足保密性的独特的安全处理体系。另外,企业管理部门不仅要加大对技术的扶持和研发,还应当注重对企业内部人员的信息安全教育,能够建立一个完善的信息系统管理制度,从而使企业人员能够积极进行信息系统的安全防护。
参考文献:
[1]郝梁怡.浅析民航空管信息安全管理[J].中国科技纵横,2013(12).
[2]张云高.基于SMS关键要素的航空公司安全管理信息系统分析与设计[J].电子科技大学,2011(1).
[3]田波,吴倩,甄浩.航空公司信息安全管理系统的构建与安全保障体系研究[J].情报科学,2011(9).
[4]白瑜.基于UCON的访问控制的应用[J].电力学报,2012(6).
[5]付茂沼.民用航空信息安全研究[J].中国民航飞行学院学报,2010(3).
[6]姜鹏.民航空管信息处理系统的安全保障[J].中国新技术新产品,2011(13).
篇9
(1)适应电力企业发展的需要,遵循现行电力企业管理体制;
(2)管控平台涉及技术和管理,须对技术手段和管理手段的实现方式进行决择;
(3)须考虑不同级别单位以及不同使用对象需求的侧重点;
(4)管控平台自身须具有一定安全性;
(5)基于管控平台的工具特性,须配套推出数据初始化等服务及制度来实现平台的正常运转。
2管控平台角色需求分析
管控平台设置的用户角色必须与电力企业现有信息安全相关组织架构相匹配。一般来讲,电力行业自身信息安全相关组织架构包括上级信息安全主管单位、本地信息安全主管单位以及本地信息安全实施单位此外,电力行业在实际信息安全工作中,需要外部信息安全产品厂商、安全服务厂商、安全咨询机构、相关公共信息安全机构以及科研机构支持。管控平台将外部信息安全产品厂商、安全服务厂商、安全咨询机构统一定义为外部信息安全支持单位,将相关公共信息安全机构以及科研机构定义为应急联动及专家机构。管控平台各角色职能需求分析如下:
(1)上级信息安全主管单位上级信息安全主管单位负责企业整体信息安全保障,掌握整体信息安全态势,评估网络和信息系统安全机制的有效性情况。在信息安全突发事件发生时,负责事件决策、监控、协调。
(2)本地信息安全主管单位本地信息安全主管单位负责本单位信息安全保障,掌握所辖网络及其业务信息系统的安全态势,协调安全事件的处理。
(3)本地信息安全实施单位本地信息安全实施单位负责本单位信息安全保障具体实施工作。在管控平台中本地信息安全实施单位设置的角色包括负责人、安全主管、安全运维人员等,如表1所示。负责风险评估、实时监控、应急演练、安全预警以及信息安全突发事件处置各项工作的具体实施。
(4)外部信息安全支持单位外部信息安全支持单位承担信息安全支撑服务职能,其职责包括外部信息安全事件预警监控,风险评估、应急演练及应急处置的外协支持等。
(5)应急联动及专家机构应急联动及专家机构由各相关公共信息安全机构、科研机构信息安全相关领域专家组成,为电力企业信息安全保障提供技术支持和资源保障。应急联动专家机构人员在管控平台中通过设置呼叫树和专家角色,参与应急等各项事务的处置。
3系统功能设计
通过管控平台的定位以及上述角色需求分析,可明确管控平台的功能模块设置及关系如图1所示,下面依次对关键模块内容进行阐述。
3.1基础安全数据管理
基础安全数据管理模块对企业信息系统相关的网络设备、服务器、通用软件等基本信息和策略配置信息,漏洞库、事件特征库、补丁库、安全配置知识库和应急响应知识库,以及风险评估、应急演练等工作中产生的过程数据进行汇总存储并详细分类,支持多种查询和修改。
3.2预案管理
预案管理模块实现对各级单位信息安全应急预案的编制、审批、、更新,以及预案的执行(及演练)和事件处置等功能。其中应急预案编制、审批在管控平台上进行统一规范,各单位人员在管控平台上只需要参考应急预案模板并调用本单位的实际数据内容即可完成编制任务。预案管理模块功能设计如图2所示。在预案管理模块中,应急预案执行是一种复杂的业务流程,通常基于工作流引擎来实现。这种实现方式可确保相应的演练和事件处置活动能够全程可监控、可记录。图3是基于工作流引擎实现应急预案某一操作规程的实例。
3.3风险评估
风险评估模块为各单位信息安全风险评估工作提供全过程支撑,并能够根据评估过程和结果数据(例如将资产调研结果,威胁、漏洞分析等评估结果)通过内定的矩阵型风险计算方式自动计算得出各单位总体风险和高危风险状况,为各单位编制应急预案的方向提供依据。风险评估模块功能设计如图4所示。
3.4业务影响分析
业务影响分析模块同样是为编制应急预案提供依据,与风险评估模块类似。但考虑到信息系统业务的差异性,管控平台不对业务影响分析进行全过程管理和支撑。图险评估模块功能设计示意图
3.5公告管理
公告管理模块向管控平台各级角色提供通知信息、浏览、查阅、管理功能。公告从编制、审批、到反馈的整个流程均通过管控平台来实现。公告的类别包括:
(1)企业发文:企业带正式文号的信息安全类文档的、管理、显示;
(2)通知通报:企业不带正式文号但须告知各级单位的信息安全相关文档的、管理、显示;
(3)企业动态:企业各级单位参与的信息安全相关活动、新闻的、管理、显示;
(4)业界安全动态:国内外安全事件,尤其是电力行业安全相关动态的、管理、显示。
3.6预警管理
预警管理模块包含漏洞预警和威胁预警两类功能,级别分为高、中、低三级。预警信息来源分为两类,一类是国内外安全评测机构、厂商的安全预警及漏洞,另一类是源自风险评估模块和业务影响分析模块的计算结果。与公告类似,预警管理的整个流程通过管控平台来实现。各单位接收到管控平台自动发送的提示短信,登录平台,即可处理预警信息。
3.7安全事件管理
安全事件管理模块对信息安全事件的分级分类以及事件响应处理进行管理。信息安全事件的分级分类基于国家有关标准与行业实际情况。安全事件响应方式分为自动响应和事件工单管理两类。自动响应包括屏幕、邮件、声音、工单、对话框、设备控制、短信、脚本操作、SNMPTrap等响应方式,并通过其设置实现自定义用户响应策略。事件工单管理则通过与第三方统/平台的接口与例如IT服务管理平台进行联动来实现。
3.8信息安全状况监视(应急值班室)
信息安全状况监视模块可向各级人员提供不同的管理界面,分为宏观态势监视与应急监视两类。宏观态势监视能够根据风险评估结果、安全预警信息以及当前安全状况(是否有安全事件发生以及处理情况),对企业整体安全态势进行研判,为安全决策提供支持。应急监视能够通过安全模型分析及人工比对分析,将安全事件、威胁、漏洞等数据与管控平台中业务数据进行关联,得出研判信息,并结合国家有关标准,为应急人员提供应急相应实施依据。信息安全状况监视模块功能设计如图5所示。
4结语
篇10
关键词:信息安全;信息安全管理
中图分类号:TP393文献标识码:A文章编号:1009-3044(2012)15-3491-03
计算机、网络已经逐渐成为我们工作生活中必不可少的一部分了,企业办公自动化已经成为普遍现象。但是我们在享受信息化带来诸多便利的同时,也要看到信息化给企业带来的诸多不便。2011年上半年,花期银行由于遭受黑客攻击,二十多万客户资料信息外泄,为银行和客户带来巨大的损失,同期国际著名的安全解决方案提供商RSA遭受黑客的恶意攻击,对其超过五百家客户造成潜在风险,给该企业带来高达数百万的损失。信息安全是企业整体安全的重要方面,一旦企业重要的信息外泄,会给企业带来巨大的风险,甚至有可能将企业带入破产的境地。
1企业信息系统安全的发展
随着信息技术的产生,信息系统安全的保护也随之而来,并且随着信息技术的不断更新换代,信息系统安全保护的战略也不断发展,接下来我们可以简要地分析一下信息安全系统的发展历程。
信息系统安全的第一步是保障信息的安全,当时各个电子业务系统较为独立,互联网还不太流行,这时主要技术是对信息进行加密,普遍运用风险分析法来对系统可能出现的漏洞进行分析,合理地填补漏洞,消除威胁,这是一种基于传统安全理念指导下的系统安全保护。
随着互联网技术的深入,信息系统安全开始逐步向业务安全转化,开始从信息产业的角度出发来考虑安全状况,此时的互联网已经成为工作生活的一个组成部分。这时候我们需要保护的不再仅仅是相关信息了,我们需要对整个业务流程进行保护,分析其可能出现的问题。本阶段的安全防护理念关注整个业务流程的周期,对流程的每一个节点进行综合考虑。信息保护在此时只是整个系统安全的一部分,是作为最为基础的防护技术,除此之外,还强调对整个流程的监控,防止某个节点可能出现的不安全因素,一旦出现任何风吹草动的现象我们可以立即予以控制。此外,审计技术在这个时候也被引入,通过对技术操作的跟踪,可以对攻击发起者进行责任追究,对攻击者起到一种震慑的效果。
到目前为止,业务系统的独立性和边界已经逐步弱化,系统间的融合更为常见。以矿业企业为例,在大型集团中,往往存在财务系统、生产系统、销售系统、统计分析系统等,这些系统之间需要相互勾稽,系统与系统之间需要互相取数,因此大量的系统集中到了一个业务平台中,由该平台来提供整体服务。这样的话,我们对于信息系统安全的需求也从单系统向多系统转换,我们在关心单个系统安全的同时,还要对其系统平台服务给予更多的关注。这样的话,企业信息安全也开始由业务流程向服务转换。
2企业信息安全存在的问题分析
信息安全问题我们可以将其进行进一步细分为物理、技术以及人为等三类因素。
首先来看物理方面,物理安全主要指的是机器设备以及网络线路出现的问题。一般企业在进行信息设备设置时最先考虑的因素是人员安全,即在保证信息设备不会对企业员工人身安全造成威胁的前提下再进行设备本身考虑。信息设备一般属于电气设备,容易受到打雷、水电等灾害的影响。如果服务器主机受到严重破坏,有可能导致企业整个信息系统崩溃。相对于其他电气设备而言,信息设备耐压数值比较小,企业需要其持续不断地运行,并且磁场的干扰对网络影响比较明显,这些都对信息设备的物理安全提出了要求,需要防止可能出现的问题。
其次是技术方面,对于大量企业而言,可以分为内部网络和外部网络,内部网络相对安全性较高。对于绝大多数企业而言,局域网都会通过一定途径与外部网相连接。这样内部网路安全性就受到内部网络设备与外部网络进行的沟通的威胁。同时,操作系统的安全以及应用程序的安全都是技术上所面临的困扰。
在操作系统方面,我们的选择比较狭窄,大多数企业只能选择微软操作系统,每个系统都存在一定的漏洞,都会造成信息的外泄。其实操作系统同样是软件,微软为系统安全会不定期推出安全更新与漏洞补丁,虽然我们可以通过系统的Windows Update或其他辅助软件来给系统修修补补,但这还不是100%的安全保证。随着微软在安全技术上的逐渐改进,系统漏洞出现的次数越来越少,现在很多黑客开始把注意力转移到常用的第三方软件上来,也就是要利用这些软件的漏洞来进行攻击。相对于操作系统而言,应用软件方面我们选择性比较大,但目前流行的各种病毒、木马都会给我们企业的信息安全带来极大的影响。
尤其是现在大部分企业都建立有自己的官方网站,保存着企业的重要数据和客户资料等,而如果网站存在一个通用漏洞,就会被恶意的黑客攻击,甚至黑客还会进行木马的上传来得到WebShell,添加隐藏超级账号,使用远程桌面连接等操作,从而导致网络沦落为黑客手中的“肉鸡”。因此,如果使用网站模板代码,必须要时刻关注该网站模板是否有最新的漏洞被曝光,及时到官网上下载并打上相关的漏洞补丁程序。另外,网管务必要有经常查看网站登录日志的习惯,检查后台登录的IP是否有异地的可疑信息,或者是否被添加了异常的管理账号等等,永远绷紧安全这根弦。
对局域网进行妥善管理,让网络运行始终安全、稳定,一直是所有网络管理员的主要职责。为了保证局域网的安全性,不少网络管理员开动脑筋,并且不惜花费重金,“请”来了各式各样的专业安全工具,来为局域网进行保驾护航。然而在实际工作过程中,如果没有现成的专业安全防范工具,也可以利用客户端系统自带的安全功能,保护自己的上网安全。
最后是人员方面,人员是企业信息外泄的重要途径,其中我们可以将其分为两大类,一类是内部人员的泄密。这往往体现在员工将企业核心机密通过硬盘等设备将其带出公司信息设备,并且造成遗失等现象,最终导致公司机密为外界所获取,信息安全受到严重威胁。另一部分是黑客攻击,这类攻击对公司造成的损失非常大。该行为的目标就是获取相应的信息。随着黑客技术的发展,传统的防火墙甚至物理网闸断开都难以完全避免黑客的攻击。目前企业繁多的保护程序对黑客的防护效果不佳,反倒给用户带来了诸多不便。
3企业信息安全改进建议
3.1物理安全防护
网络结构设计直接影响到企业的信息安全,局域网的网络拓扑设计也成了信息防护的关键所在,一般情况下,企业的网络拓扑结构图如下:
图1内部网拓扑结构图
在整个流程中,核心交换机是关键,首先它必须满足国家相关的规定标准,可以承载相应的功能。机房设计要考虑到防盗、防火等,必须实行24小时监控。硬件防火墙是我们进行信息保护的一个重要措施,性能比软件防火墙更为强大,这也决定了硬件防火墙的价格相对而言更为昂贵。硬件加密卡也是我们目前使用范围比较广泛的一个技术措施,它独立于计算机系统,一般难以通过常用的软件模拟方式来对其进行攻击,因此独立性能更高。通过合理配置计算机硬件保护器,我们可以将信息保护的基础工作做得更加有效,能够为控制技术风险和人为风险提供良好的基础。
3.2技术安全
相对而言,技术安全是比较难以处理的,信息技术的发展非常迅速,我们难以面对层出不穷的网络技术攻击做出完全有效的防御,需要及时改变技术防御措施。
3.2.1数字签名和加密技术
在网络中,我们可以不断发展传统的数字签名和加密技术,防止黑客的多种入侵。
我们可以以数字签名为例,通过设定数字签名,用户在进行各种操作时会打上自身的印记,可以防止除授权者以外的修改,能够极大地提高整体的安全系数,抵御黑客的攻击。在这个程序中,我们需要予以关注的是数字证书的获取,一般有以下三个途径:a使用相关软件创建自身的数字证书;b从商业认证授权机构获取;c从内部专门负责认证安全管理机构获取。
3.2.2入侵防护系统(IPS)
传统的防火墙旨在拒绝那些明显可疑的网络流量,但仍然允许某些流量通过,因此防火墙对于很多入侵攻击仍然无计可施。绝大多数IDS系统都是被动的,而入侵防护系统(IPS)则倾向于提供主动防护,其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截,避免其造成损失,而不是简单地在恶意流量传送时或传送后才发出警报。IPS是通过直接嵌入到网络流量中实现这一功能的,即通过一个网络端口接收来自外部系统的流量,经过检查确认其中不包含异常活动或可疑内容后,再通过另外一个端口将它传送到内部系统中。这样一来,有问题的数据包,以及所有来自同一数据流的后续数据包,都能在IPS设备中被清除掉。
3.2.3统一威胁管理(UTM)
美国著名的IDC对统一威胁管理(UTM)安全设备的定义的是由硬件、软件和网络技术组成的具有专门用途的设备,它主要提供一项或多项安全功能。它将多种安全特性集成于一个硬设备里,构成一个标准的统一管理平台。UTM设备应该具备的基本功能包括网络防火墙、网络入侵检测/防御和网关防病毒功能。这几项功能并不一定要同时都得到使用,不过它们应该是UTM设备自身固有的功能。
UTM安全设备也可能包括其它特性,例如安全管理、日志、策略管理、服务质量(QoS)、负载均衡、高可用性(HA)和报告带宽管理等。不过,其它特性通常都是为主要的安全功能服务的。
3信息安全管理
这主要是针对人员管理而设定的,是企业内部管理流程的一个重要方面,这是企业内部管控制度的一个重要组成方面。
每个企业都要有明确的硬件设备管理制度,专人负责保管,监督审查,确保硬件使用的合理和安全性。其次要对操作人员进行足够的培训,要求每一个使用人员都了解应当进行的合理操作,明白可能存在的网络安全隐患。第三要对数据保管有明确的责任和制度,防止大量数据的丢失,导致公司整体系统瘫痪。
为了进一步加强和规范计算机信息系统安全,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室于2007年6月和7月联合颁布了《信息安全等级保护管理办法》和《关于开展全国重要信息系统安全等级保护定级工作的通知》,并召开了全国重要信息系统安全等级保护定级工作部署专题电视电话会议,标志着我国信息安全等级保护制度历经十多年的探索正式开始实施。
建立计算机信息系统安全等级保护制度,是我国计算机信息系统安全保护工作中的一件大事,它直接关系到各行各业的计算机信息系统建设和管理,是一项复杂的社会化的系统工程,需要社会各界的共同参与。大中型企业应该认真学习《信息安全等级保护管理办法》及相关技术标准规范,大力开展培训工作,落实好信息网络安全管理、安全技术、信息安全等岗位人员的继续教育培训,不断提高信息安全等级保护的能力与水平。
4结束语
在我们进行企业信息安全管理过程中,企业及企业员工是否对信息安全工作有足够的认识十分重要,企业领导和上层应该对企业信息安全工作给予必要的关注,企业信息安全不能仅仅依靠专业的IT技术人员,它需要我们全体企业员工的共同努力。
参考文献:
[1]孙博.企业信息安全及相关技术概述[J].科技创新导报,2009(04).
[2]徐国芹.浅议如何建立企业信息安全体系架构[J].中国高新技术企业,2009(5).
[3]王东.“北京移动案”暴露信息安全管理软肋[J].中国新通信,2006(6).
[4]吴辉.浅谈企业信息安全管理方案[J].科技情报开发与经济,2010(25).
[5]徐新件,朱健华.关于企业网络信息安全管理问题研究[J].供电企业管理,2008(2).
[6]汪红梅.我国信息安全保障体系存在的问题及对策刍议[J].信息网络安全,2008(2).
[7]盛玉.档案信息安全与安全保障体系内容的关系分析[J].网络财富,2009(12).
相关期刊
精品范文
10企业盈利能力分析