企业信息安全论文(共4篇)

时间:2022-06-23 10:27:14

导语:企业信息安全论文(共4篇)一文来源于网友上传,不代表本站观点,若需要原创文章可咨询客服老师,欢迎参考。

企业信息安全论文(共4篇)

第一篇:企业信息安全现状分析

一、企业信息安全现状

(一)企业自身方面

1.企业对信息安全重视程度不够

我国虽然大力发展企业信息化建设已有一段时间,但是国内很多企业的信息化整体水平不高,大多数企业的信息化基础还很薄弱。很多员工认为企业信息化的实质就是计算机,对企业信息安全来讲只要能使计算机正常运行,日常工作可以正常的运转这就可以了,在头脑里对企业信息安全没有一个清楚和正确的认识。信息安全是保证企业信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全。其主要目的就是保护企业信息不受内部、外部、自然等因素的威胁。

2.企业对信息安全资金投入少

企业是一个以生产经营为主的经济组织,资金的投放重点主要投向生产经营方面,所有的日常工作围绕生产转,重心向生产倾斜,大部分的资金流向生产部门。企业信息化建设资金投入巨大,很多情况下需要长期投入,形成整体合力的周期长。这导致了每年拨给信息化建设的资金不足,甚至被挤占、挪用,从而使企业信息化整体建设资金不足,这更导致了对企业信息安全方面资金投入量更少,使之长期营养不良。

3.国内信息安全整体应用水平低

一些企业已经认识到了在信息安全方面的漏洞是给企业造成重大损失的隐患,但是目前我国国内信息安全行业的整体技术水平低。虽然推出了很多信息安全产品,可是安全系统整体集成与应用水平不高,甚至个别不同品牌的安全产品运行使用上还会互有冲突,不能对企业信息进行有效防护。

4.人员素质不高

企业信息安全技术人员匮乏。其中既懂信息安全技术又懂企业生产运行流程和管理的高素质人才更加稀缺。同时使用人员的素质也普遍不高,大部分企业多半员工停留在一般使用计算机的水平。一些新上信息安全系统给计算机使用上增加了诸多使用限制,例如身份识别系统在若干次密码输入错误后系统自动锁定无法正常登陆,使初用者感到诸多不便容易产生抵触情绪,无形中增加了信息安全推广使用方面的难度。

5.没有健全的信息管理制度

企业信息化管理改变了企业许多原有的生产经营管理模式,很多使用制度和使用规范没有建立健全,在各方面都需要一个规范化的操作管理,而很多员工对此认识不深对信息化设备不爱护使用,导致故障频出连一些基本的信息安全都不能保证。

(二)人为因素方面

1.人为无意识的因素

由于在设计建设初期对信息安全防护方面考虑不周,或者信息技术人员安全观念淡薄、技术不熟练、责任心不强等原因,不执行安全操作制度,造成软件或硬件设备的损坏、运行故障、数据丢失或误删除等责任事故。信息终端用户的误操作,也会造成一些不必要的损失。

2.人为恶意破坏因素

网络攻击已经成为威胁企业信息安全的主要因素。攻击者利用计算机系统等方面的漏洞和缺陷,采用恶意攻击、网络监听、密码暴力破解等手段侵入计算机系统,盗窃企业核心机密信息。

3.计算机病毒

当前计算机病毒的破坏对象已经不仅仅只是对存储数据和硬件设备造成破坏,新型病毒对网络设备、数据存储设备甚至一些信息安全设备进行攻击和破坏。利用病毒自动传播和黑客缓冲溢出技术相结合的特点使病毒产生连锁反应,造成信息系统大面积的瘫痪。例如前几年的熊猫烧香病毒,许多企业和政府机构受到病毒袭扰,其中不乏一些关系到与人民日常生活息息相关的要害单位,造成的损失不可估量。

4.内部人员的破坏

堡垒都是由内部攻破的。很多企业对自身的信息安全将会遭到外部攻击有一定的考虑,安装杀毒软件、硬件防火墙等一些安全设备,可是却忽略了内部的安全防护。企业信息系统中的资源并不是对所有人共享。对这种要求企业一般都会做出访问权限、身份验证、禁止非法拷贝等相应的安全设置。但是在实际的应用过程中出现了用户权限设置不科学,对一些数据的访问控制权限划分过于粗糙,不能确保使用上的安全。并且企业内部也有一些人员,恶意攻击、非法盗取企业核心机密,由于没有有效可控手段,这种情况防不胜防。

二、对于企业信息安全的相应解决策略

(一)信息安全管理方面

1.开展企业信息安全教育。

信息安全实质上是为企业日常安全生产保驾护航,建议多组织召开包含企业各级部门“一把手”在内的企业信息安全宣教会,详细介绍企业信息安全的基本理论、常识、发展主流以及一旦发生信息安全事故对企业科研、生产经营所造成的严重影响,在思想上提高对企业信息安全的认识,进而提高企业全体员工的重视程度。

2.增加企业信息安全建设的资金投入。

建立年度的信息安全建设投资预算计划,将预计资金使用量汇总到企业年度技改计划中,把信息安全建设纳入企业信息化整体建设规划中,以确保信息安全资金稳定的可持续性投入。

3.加大对信息安全人才的重视。

人才是企业信息安全建设中的重点,如果只偏重于软硬件、基础设施上的资金投入而在信息安全上得不到有效的管理和使用,那就是本末倒置了。成立由公司高管直接负责的信息化部门,负责整个企业的信息安全人才培养和相关信息安全建设的事务。

4.建立完善的信息安全制度并加大监督执行力度。

良好的管理制度可以为信息安全创造有力的执行环境和条件,信息安全技术又促进了管理更有效更优良的发展。同时强有力的监督执行,使之在使用和操作上也加强了使用规范和效率,避免了一些人为失误造成的损失。

(二)信息安全技术方面

为了切实保障企业信息的机密性、完整性、可控性和安全性,必须采用一系列相应的技术手段,这是信息安全技术中最直接有效的部分。

1.硬件防火墙和入侵检测、漏洞扫描系统

硬件防火墙是内部网络与外部互联网之间的一道安全关口。它在企业内部网络和外部互联网络之间设置了一道安全壁垒,有效防止外部对内网进行非法访问。入侵检测系统对网络传输进行实时监控,在发现可疑传输时发出报警或者采取主动反应措施,漏洞扫描系统对指定的远程或者本地计算机系统的安全脆弱性进行检测,及早发现可被利用的安全漏洞。它们可以相互配套,增强系统管理员的安全防范能力。

2.网络安全审计

网络安全审计是指按照一定的安全策略,审查和检验操作事件的活动,从而发现系统漏洞、入侵行为。实际是记录与审查用户操作和使用活动的过程,如用户所调用的信息、使用时间、执行的操作等。安全审计对系统记录和行为进行独立的审查和估计,可以有效监控用户的使用情况,对内部潜在的非法攻击者起到威慑作用。

3.虚拟局域网技术

按照公司的实际生产管理需要划分,使用虚拟局域网络技术将持有敏感信息的用户组与网络的其他部分隔离,从而降低泄露机密信息的可能性,增强局域网的安全性。

4.网络杀毒软件的使用

使用网络版杀毒软件,网络管理员能够利用其实现对全网电脑进行远程统、有效清除计算机病毒,彻底解决局域网病毒杀而不绝、四处流窜的梦魇。

5.定时备份重要数据

企业应使用统一的数据备份系统,由专人对数据进行定时备份定时检查,确保数据的完整性可靠性。并且保证备份介质异地存放,专人管理。信息安全已经成为促进企业自身发展壮大的条件之一,谁能抓住时代的脉搏在新的技术条件下将信息安全与企业管理高效融合,为企业走可持续化发展道路保驾护航,谁就抓住了企业生存与发展的主动权,从而在知识经济和信息化高速发展的当前,长远生存发展壮大。

作者:于强工作单位:陕西兴化集团有限责任公司

第二篇:企业网信息安全保卫思路

1引言

为顺应经济全球化大环境和国家信息化发展战略需要,现在大多企业推动企业信息化建设进程,生产作业层信息化可以显著提高生产效率和产品质量;管理办公层的信息化实现企业信息共享、加强业务控制和利用信息加强企业管理;战略决策层的信息化通过国家和地方政策法规、国内外相关行业的市场行情走向等进行合理分析,为企业高层提供产品、销售、财务决策和企业战略规划提供可靠支持;协作商务层的信息化促进企业与外部供应商、分销商和客户间的实时沟通和协同商务,信息化是未来社会企业的必然趋势,而企业网的信息安全正是其发展软胁[3]。本文在最新企业网调查数据上挖掘企业网信息安全真相,提出相应的安全保卫技术。

2企业网的现状

我们从几家权威机构关的最新调查报告中以不同角度观察了解我国企业网的现状。据CNNIC中国互联网络信息中心最新公布的《第33次中国互联网络发展状况统计报告》:截至到2013年12月,我国有93.1%的企业使用计算机办公,83.2%的企业利用互联网办公,40%以上的企业建立了独立的企业网站;而在2013年上半年随机受访的3000家企业的独立网站中,86.4%具备产品或服务的展示、77.4%树立品牌形象、63%提供客户服务、此外还有在线销售功能、原料采购功能、内部办公、在线支付功能等[4]。卡巴斯基实验室与B2BInternational联合调查结果文件《2013年企业威胁回顾》显示:企业越来越容易受到网络攻击,在2013年,约有91%的被访企业曾遭受过至少一次网络攻击,9%遭受过针对性攻击,网络攻击的目的主要是为了窃取信息,或破坏———通过恶意软件清除数据或者阻止基础设施操作[5]。在《2013年全球公司IT安全威胁调查》中指出:员工在工作中经常使用的软件的漏洞成为企业内部网络安全事故的主要原因,软件漏洞给39%的公司造成内部数据安全问题[6]。奇虎360在《Gartner:互联网时代的企业安全发展趋势》中指出:企业安全属于一种集体安全问题,安全性最差的一台电脑往往决定了企业内网系统的整体安全级别。另有数据显示:企业官网是“后门”检出率最高的网站类型,比例达到38.5%,且企业网站是流量攻击的首要目标[7]。2013年中国国家计算机病毒应急处理中心的统计报告显示,近年来我国每年企业网、政府政府机关的网络系统遭受黑客攻击和病毒侵害的比例高达80%[8]。瑞星安全专家在《瑞星2013年中国信息安全报告》中指出:“棱镜门”曝光表明地理界限、空间阻碍已不能阻止信息的流通,信息安全保卫是个人、企业、国家三者的必修课;信息虚拟化发展迅速,使企业处于信息安全风暴,完善企业信息安全机制任重道远[9]。

3企业网存在的信息安全隐患

在互联网社会,信息安全问题已成为企业信息化进程中普遍存在的问题。不同于传统的威胁,信息安全威胁无处不在,如影随形,无论企业采用了何种信息化的管理手段,只要打开设备,哪怕只是打开文件或收发电子邮件,都有可能引发信息安全问题。企业网没有暴露信息安全问题,并不是防护措施完善,而是其信息的价值不够高,或者入侵者低调悄然无息[10]。从威胁来源来看,数字化的企业网信息安全面临“内忧外患”,从威胁的种类来看,企来网信息安全威胁主要有软件和硬件的先天缺陷、企业管理制度的制定不当和执行不到位、企业员工操作不当和有意泄密、黑客恶意攻击、病毒感染等。

1.企业网中的硬件本身存在缺陷。硬件为软件的载体,构成企业网网络的服务器、工作站、路由器等硬件设备在设计或制造过程中可能存在缺陷,且硬件会老化、过时,易受外界温度、湿度等环境因素和自然灾害等不可抗力影响。此外,硬件运行时产生的电磁辐射、信息传道信道也有可能被窃听[1]。如:“911”事件使得多家企业和机构的办公场所含硬件设备在废墟中深埋,但同样遭灾的德意志银行和纽约银行由于企业信息灾备准备不同后果迥异,前者很快恢复业务处理,而后者数月后被迫破产。

2.企业网中的软件存在先天缺陷:企业网为方便办公所安装的软件(如操作系统、办公软件等系统软件、各类企业管理控制软件等)在开发时受软件的抽象性、所解决问题的复杂性、软件开发时的开发方法、软件安装环境和开发人员水平等因素影响软件本身存在先天设计或编码上的缺陷,使用时企业环境、软件所处软硬件环境又在不断变化也要求软件相应调整,若这些软件问题没有及时解决就有可能给企业网带来巨大的信息安全隐患。如:微软官方宣布2014年4月8日起对WindowsXP停止更新、漏洞修复等服务,缺少了系统支持服务,不能及时更换WindowsXP企业用户(据2012年相关抽样调查,XP在某些企业应用比例超70%)将面临操作系统与各类软硬件间的兼容性、设备驱动及黑客对系统漏洞的攻击风险等问题[9]。

3.企业管理不当。企业的信息安全问题部分是由信息系统开发技术引起的,更多时候出在管理制度不严密、执行不到位上,科学合理的信息安全管理制度和严格的执行是企业信息安全的必要保证[1]。很多企业内网遭遇病毒、木马、被入侵等信息安全威胁就是因为企业员工大意的运用不安全的移动存储器拷贝文件,不加保护地网络共享文件、传送文件,或者私自用内网计算机上外网引起的。例:2011年韩国多家媒体及金融机构业务网络受攻击瘫痪的根源就在其内外网安全隔离机制和权限管理机制存在缺陷。

4.企业员工存在不当操作:若企业员工不按规范操作,再高级的软硬件系统也无安全性可言。根据Verizon2013年关于数据泄露调查报告显示:由内部因素导致的数据泄露达到了2009年以来的最高值,其中,有7/10是由内部人员不小心导致。常见的不当操作有:采用软件提供厂家默认配置如系统初始用户名及密码等,密码选用不慎重(如:使用简单密码或从不变更密码),不注意保密工作(如:将自己的帐号随意转借他人或与别人共享,用户登录操作结束后不退出),不及时给软件打补丁等。

5.内部威胁将成企业信息安全攻击主流:内部或本系统的人员通过网络窃取机密、泄露或更改信息以及信息系统,此种内部泄密主要原因是有意识的利益驱动。据360相关调查:中国商业秘密刑事案件中有60%与人才离职有关。2012年北京某公司办公管理程序及相关数据文件被离职员工远程进入公司内网删除,损失巨大。2013年HTC手机研发高层出内鬼,核心机密失窃延误上市良机;某宝被曝闹内鬼20G用户信息被盗卖;某快递公司内鬼勾结网站20万条用户快递信息遭兜售。

6.黑客恶意攻击。近年来,黑客攻击网络犯罪逐渐产业化,黑客通过钓鱼、挂马、传播病毒、破解口令等方式攻入企业服务器或客户机,偷取和破坏企业数据及文件;或者通过远程攻击的方式,瘫痪企业服务器乃至整个企业网络,干扰企业的正常运营,损害企业利益。这种行为破坏性最强,可能给企业造成巨大危害,甚至给社会带来震荡。有关调查显示,亚太区约75%的受访企业曾遭黑客入侵,被盗取知识产权、客户信用卡数据及客户个人身份。Verizon2013年关于数据泄露调查报告显示超过55%的泄露事故由专业的受利益驱使的犯罪团伙实施。例如:2013年10月前后由国外入侵的“密锁”病毒高针对企业,永久深度加密企业文档限时敲诈。2014年1月人人货、好贷网、拍拍贷等多家互联网金融企业遭受恶意攻击致使暂停服务,据受害企业表示可能是竞争者幕后指使。继频频传出的个人比特币帐户被盗事件后,2014年2月底全球最大比特币交易平台Mt.Gox公司帐号及超百万的用户帐号中所有比特币几乎全部被盗,折合损失约4.67亿美元,导致公司破产,投资者利益严重受损。

7.病毒感染。病毒是企业网中最常见的信息安全威胁,不同种类的病毒为企业网造成不同程度的危害,如:影响电脑和网络的速度,经查杀后即可恢复;有的病毒会迅速感染整个网络,造成网络瘫痪,对付这种病毒需要断网后系统性地对整个网络进行病毒查杀;有的病毒会修改、删除企业的数据,企业可以通过备份的数据恢复;而有的病毒会对硬件造成不可逆的损坏[1]。从病毒发展演变和发作趋势来看,计算机病毒感染方式已从单机的被动传播变成了利用网络的主动传播,不仅带来网络的破坏,而且造成网上信息的泄露,特别是在专用网络上,病毒感染已成为网络安全的严重威胁[11]。

4信息安全保卫技术

当今,“信息”已成为企业四大资源之一,我国企业大多利用互联网办公,虚拟化后的企业网信息使得企业办公和运营更高效稳定,维护更简单,成本更低廉,与此同时,一旦承载企业信息平台的电脑系统出现问题,企业办公将受到牵连,严重时还可能使整个系统瘫痪,甚至造成企业倒闭或社会动荡。我们可以通过以下途径来加强企业网的信息安全保卫。

1、国家须健全与网络信息安全相关的法律法规,以震慑网上不法分子,减少网络威胁。目前我国对互联网上行为的规范相对滞后,大多沿用国际标准,没有很好地体现中国特色。现有法律法规制定对网络上许多行为概念不清、内容不完善或处罚较轻,在具体实施时,国家政策管理、监督及执行力度不够,致使执行过程中出现问题得不到及时、妥善解决,对网络信息安全方面的不法分子震慑力度相对不够。

2、企业须建立科学合理的信息安全管理体系。任何系统,无论外部堡垒如何坚固,其系统内部都较脆弱,内部员工无意的疏忽或有意泄漏最易造成企业信息安全事件,因此,加强企业网信息安全防范最重要的是加强企业管理。企业必须将信息安全融入企业管理,制定科学合理、严密详细的管理规章制度,在企业业务有效运转的同时保障企业信息安全可靠。首先,对企业网中的各类资源和操作(如:各种设备、文档、网络共享、移动存储、打印、文件传输等)进行全面、专业、详细的信息安全风险评估,列出潜在风险所在,确定安全管理范围和安全管理等级,严格分级分块,使不同级别,不同业务的人员权限不同,杜绝权限滥用隐患;制定明确的网络信息操作使用规程、不同角色对应的权限和责任;制定网络系统的维护制度和风险应急处理流程等,设立严格的奖惩机制,将信息安全效果与物质精神奖惩挂钩,并建立安全审核与跟踪体系,整体提高员工的网络安全意识。

3、加强企业员工信息安全意识教育。再好的制度也须执行到位再能管用,所以,企业必须加强员工的信息安全教育。首先,企业应向员工普及国家相关的法律法规和企业相关的信息安全规章制度;其次,企业在职位岗前培训时侧重信息安全技术培训,使员工明确信息安全的重要性和潜在风险,让员工掌握正确的企业网信息系统操作方法和一定的信息安全防范技巧;再次,严格执行企业关于信息安全保护奖惩机制,使大家实时体会到信息泄露防护的重要性;最后,加强软件公司维修人员、离职员工的帐号管理。

4、加强企业内网信息安全管理。企业内网集中存储着企业核心机密资料(如企业生产工艺、经营计划、销售数据、客户信息等),运行着企业的核心业务,是企业赖以生存和发展的基石,也是企业网信息安全保障工作的重点,企业内网一旦出问题,轻则影响企业正常运转、重则危及企业生存。为检测和抵御来自外部网络的攻击,企业应部署高性能、有全面安全防护功能、适应本企业的防火墙及其他防护系统,加强入网口网络通信的监控。对于企业内网,为免祸起萧墙,首先要安装防火墙和杀毒软件,并合理地设置安全规则,定期和不定期地查杀病毒和木马;及时给内网中的服务器、公司电脑中所有软件升级和打“补丁”,及时“补”上系统潜在的安全漏洞;企业服务器须关闭不必要的端口,并加强日志分析和入侵检测;做好信息系统异地灾备工作,以备出现问题时可及时恢复;此外,还要加强内网物理设施和环境中基础设施的维护和管理[1]。

5、加强企业网络宣传平台的信息安全管理据中国互联网络中心调查,截至2013年底,中国网民规模达6.18亿[4]。很多企业为了推广企业形象,提高竞争力,采用多种网络宣传和营销平台,如企业官网、即时聊天工具、搜索引擎、电子商务平台、企业微博等,除企业所建官网外多数平台并不受企业控制,若相关帐号密码被破解和滥用,将会对企业带来极大负面影响[1]。企业应配合全国组织机构代码中心做好企业实名认证,并妥善管理各平台的帐号。

5结语

移动技术、虚拟化、云计算等计算机技术将大部分的企业管理和商业运作被搬上网络,使事务管理、商务流程等数字化为网络中流淌的01比特流,极大地提高和完善了企业生产管理效率[1];与此同时,在经济全球化的大环境下,资金、资源、技术、信息、人才等不再受地域限制,企业网信息安全威胁也同突破空间和地域限制。信息化是信息驱动时代企业必然的发展趋势,任何操作和管理上的小疏忽有可能让企业面临生死存亡,信息安全保卫是企业必须重视的战略层面的问题。企业须采用较为先进完善的技术架构和安全手段,对各类电子设备、不同层次的员工进行权限设置,建立严格的信息安全管理制度和业务操作流程,建立较为完善的信息安全应对措施,并将信息安全规范执行到位,并将信息安全作为一项系统性的、持续性的工作来做,方能真正保障企业的信息安全[11]

作者:李小荣12疏志年2工作单位:1合肥工业大学计算机与信息学院2巢湖学院计算机与信息工程学院

第三篇:企业计算机信息安全管理的重要性

1概述

当今社会计算机信息网络发展迅速,我国必须意识到计算机网络信息安全管理的重要性,做好计算机网络信息安全管理的各项工作。首先,应该建立健全相关的各项规章制度,从法律的角度来保证计算机信息网络的安全。其次,公安机关应该加强对计算机信息网络的安全管理工作,形成安全管理的坚固基础。再次,应该发动社会民间组织和社团积极的参与到维护计算机信息网络安全工作中来,为保障计算机信息网络安全创造一个良好的环境。最后,应该坚持自主创新,建立和完善我国自己的计算机信息网络安全技术保障标准体系,从而促进我国计算机信息网络安全、健康地发展。

2网络安全管理保障工作

2.1建立和完善网络管理制度。要严格的按照有关单位和部门的规定,建立和完善网络管理制度,并且真正的把这项网络管理制度落实到实处。

2.2加强计算机网络系统的日常维护工作。要想真正的保证网络安全,对计算机网络系统加强日常维护工作是必不可少的。在维护的过程中,如果发现异常情况,应该及时的解决掉。最好定期的对计算机网络设备进行检查,并安排网络维护值班人员,以便发现故障及时的处理。

2.3重视网络病毒的检查和防范。如果发现了病毒应该及时的进行查杀,并更新杀毒软件的病毒库。情节严重的应该马上跟有关部门报告。

2.4制订应急预案。对于一些很重要的网络设备和电源,最好留一个备份,并且制定应急预案,以便发生意外,把损失减到最小。除此之外,还有其它的管理措施,比如:一是对本单位信息系统的帐户、口令等定时进行专门的清理检查,并及时将软件更新和升级,消除安全隐患。二是强化网络安全管理工作,对所有接入企业网络的计算机设备进行了全面安全检查,对发现有操作系统存在漏洞、防毒软件配置不到位的计算机进行全面升级,确保网络安全。三是规范信息的采集、审核和流程,严格信息审核,确保所信息内容的准确性和真实性。四是严格禁止涉密计算机和涉密存储介质与互联网相连,涉密计算机的信息由涉密存储介质备份,并配置专用打印机。

3企业网络安全管理措施

3.1加强安全防范意识,提高人员素质。首先,在思想上要十分注重网络安全。一是无论在什么岗位,企业的每一个员工都应该深刻的意识到计算机信息网络安全的重要性。二是加强对企业员工信息安全的防范教育,通过开展一些培训活动,使企业员工真正的加强安全防范意识。其次,要不断提高员工素质。除了从主观上提高安全防范意识,也要从客观上提高员工的素质,因为网络信息安全管理在实际的操作中需要很多的专业的人才,所以,企业应该定期的对相关员工进行安全技能的培训,从而提高企业员工的安全防护能力。

3.2要加大对计算机网络与信息安全工作的投入。信息技术进步神速,我国在这一领域同发达国家比,并没有优势。因此我国更应加大投入,刻苦攻关,掌握一些关键的信息技术,以确保我国在信息安全方面的自主能力。可以毫不夸张地说,今年安全方面的自主能力,将制约我国的综合国力和国防实力,因此,我国应当像五六十年展“两弹一星”一样,集中力量,加大投入,迎接信息技术革命的挑战,保卫国家安全。这一点,我们不能幻想通过进口来解决问题。在信息安全技术方面,发达国家一方面极为重视研究开发,美国政府曾为了改进美国政府的计算机安全系统,投入巨大的资金;另一方面,又严格控制信息安全技术的出口。以美国为代表的发达国家,对信息安全产品出口,已作出许多严格限制,以维护其在信息技术领域的绝对优势。

3.3关键数据采用加密手段。在企业计算机网络中关于数据安全的隐患无处不在。尤其是一些机密数据库、商业数据等一定要保证它的安全性,这时一般会采取对数据加密的手段,它是一种保护数据在存储和传递过程中不被窃取或修改的一种手段,该数据加密系统在使用的过程中需要综合考虑执行效率与安全性之间的平衡。

3.4加强安全管理力度健全管理制度。首先,加强信息安全管理力度应积极采取宏观管理与重点监控相结合的方式,保证信息化项目的安全性。系统的实施及管理部门应该全面掌握各单位的计算机网络系统的相关情况,为企业统一管理提供可靠依据。同时,对重点工程实地考察,对信息安全进行检查,发现问题及时解决。其次,建立相应的安全管理制度。正所谓“没有规矩不能成方圆”,企业应该制定相应的管理制度和条例,在每个环节都设置一个负责人,把责任明确到个人。同时,建立一支网络联络员队伍,专门负责企业计算机的网络信息安全管理工作,真正的保障企业计算机网络的信息安全。

3.5事务管理和故障恢复。事务管理和故障恢复主要是对付系统内发生的自然因素故障,保证数据和事务的一致性和完整性。故障恢复的主要措施是进行日志记录和数据复制。计算机同其他设备一样,都可能发生各种各样的故障,比如电源故障、软件故障、灾害故障以及人为破坏等,这些故障可能会造成数据库的数据丢失,因此为了保证计算机的安全运行,必须在发生故障时采取必要的措施恢复数据库,事务管理和故障恢复就是这个作用,它能够保障数据库在出现故障时,仍可以把数据库系统还原到正常状态。

4企业计算机数据安全发展趋势

信息安全一直是人们关注的话题,到2014年,移动安全、巨量计算、云端计算、社交网络、大数据、物联网等这些话题会依然火热。IDC相关报告显示,2020年全球新建立和复制的信息量已经超过40ZB,是2012年的12倍,许多公司也预计他们的资料将在一年内以60%到70%的增幅进行增长。信息量的飞速增长带来了巨量数据技术和服务市场的繁荣发展,也加速推动了资安技术朝向智慧化、工具化发展的趋势。通过对庞大信息的快速处理和分析,能够更好的识别和发现那些复杂的资安威胁,以及他们的攻击目标,为企业提供安全预警、抵御这些资安威胁。未来的数据中心将与今天大不相同:异构和分布式数据中心、无处不在的讯息和工作负载、共享资源、硬件与软件的抽象、混合云端交付等等。此外,数据中心架构上的变化也可能会带来新的资安漏洞和隐忧。因此,2014年将会看到更多企业提出新的需求并主动部署新的安全解决方案以保证其整体系统的稳定性、灵活性和可靠性,以及获得更全面的管理能力。从而使IT能真正帮助企业保证核心业务持续稳定运行,甚至推动新的业务模式发展。

5结束语

社会的发展和经济的飞跃都离不开计算机网络的迅速发展。现在的社会和企业都已经网络化了,那一个正常的网络运行和信息服务是必不可少的,但是随处可见的网络中的一些不安全因素,对计算机的安全性造成了很大的威胁,所以如何保证企业计算机网络信息安全是全社会面临的一个共同话题。信息安全是一个综合性课题,涉及立法、技术、管理、使用等许多方面,这些对网络信息安全保护提出了更高的要求,也使网络信息安全学科的地位越显得重要,网络信息安全必然随着网络应用的发展而不断发展。

作者:杨子强工作单位:同济大学

第四篇:企业信息安全管理问题

1.企业信息安全现状

1.1企业自身方面

我国虽然大力发展企业信息化建设已有一段时间,但是国内很多企业的信息化整体水平不高,大多数企业的信息化基础还很薄弱。很多员工认为企业信息化的实质就是计算机,对企业信息安全来讲只要能使计算机正常运行,日常工作可以正常的运转这就可以了,在头脑里对企业信息安全没有一个清楚和正确的认识。信息安全是保证企业信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全。其主要目的就是保护企业信息不受内部、外部、自然等因素的威胁。目前我国国内信息安全行业的整体技术水平低。虽然推出了很多信息安全产品,可是安全系统整体集成与应用水平不高,甚至个别不同品牌的安全产品运行使用上还会互有冲突,不能对企业信息进行有效防护。

1.2人为因素方面

1.2.1人为无意识的因素

由于在设计建设初期对信息安全防护方面考虑不周,或者信息技术人员安全观念淡薄、技术不熟练、责任心不强等原因,不执行安全操作制度,造成软件或硬件设备的损坏、运行故障、数据丢失或误删除等责任事故。信息终端用户的误操作,也会造成一些不必要的损失。

1.2.2人为恶意破坏因素

网络攻击已经成为威胁企业信息安全的主要因素。攻击者利用计算机系统等方面的漏洞和缺陷,采用恶意攻击、网络监听、密码暴力破解等手段侵入计算机系统,盗窃企业核心机密信息。

1.2.3计算机病毒

当前计算机病毒的破坏对象已经不仅仅只是对存储数据和硬件设备造成破坏,新型病毒对网络设备、数据存储设备甚至一些信息安全设备进行攻击和破坏。利用病毒自动传播和黑客缓冲溢出技术相结合的特点使病毒产生连锁反应,造成信息系统大面积的瘫痪。例如前几年的熊猫烧香病毒,许多企业和政府机构受到病毒袭扰,其中不乏一些关系到与人民日常生活息息相关的要害单位,造成的损失不可估量。

1.2.4内部人员的破坏

堡垒都是由内部攻破的。很多企业对自身的信息安全将会遭到外部攻击有一定的考虑,安装杀毒软件、硬件防火墙等一些安全设备,可是却忽略了内部的安全防护。企业信息系统中的资源并不是对所有人共享。对这种要求企业一般都会做出访问权限、身份验证、禁止非法拷贝等相应的安全设置。但是在实际的应用过程中出现了用户权限设置不科学,对一些数据的访问控制权限划分过于粗糙,不能确保使用上的安全。并且企业内部也有一些人员,恶意攻击、非法盗取企业核心机密,由于没有有效可控手段,这种情况防不胜防。

2.对于企业信息安全的相应解决策略

2.1信息安全管理方面

2.1.1开展企业信息安全教育

信息安全实质上是为企业日常安全生产保驾护航,建议多组织召开包含企业各级部门“一把手”在内的企业信息安全宣教会,详细介绍企业信息安全的基本理论、常识、发展主流以及一旦发生信息安全事故对企业科研、生产经营所造成的严重影响,在思想上提高对企业信息安全的认识,进而提高企业全体员工的重视程度。

2.1.2增加企业信息安全建设的资金投入

建立年度的信息安全建设投资预算计划,将预计资金使用量汇总到企业年度技改计划中,把信息安全建设纳入企业信息化整体建设规划中,以确保信息安全资金稳定的可持续性投入。

2.1.3加大对信息安全人才的重视

人才是企业信息安全建设中的重点,如果只偏重于软硬件、基础设施上的资金投入而在信息安全上得不到有效的管理和使用,那就是本末倒置了。成立由公司高管直接负责的信息化部门,负责整个企业的信息安全人才培养和相关信息安全建设的事务。

2.1.4建立完善的信息安全制度并加大监督执行力度

良好的管理制度可以为信息安全创造有力的执行环境和条件,信息安全技术又促进了管理更有效更优良的发展。同时强有力的监督执行,使之在使用和操作上也加强了使用规范和效率,避免了一些人为失误造成的损失。

2.2信息安全技术方面

为了切实保障企业信息的机密性、完整性、可控性和安全性,必须采用一系列相应的技术手段,这是信息安全技术中最直接有效的部分。

2.2.1硬件防火墙和入侵检测、漏洞扫描系统

硬件防火墙是内部网络与外部互联网之间的一道安全关口。它在企业内部网络和外部互联网络之间设置了一道安全壁垒,有效防止外部对内网进行非法访问。入侵检测系统对网络传输进行实时监控,在发现可疑传输时发出报警或者采取主动反应措施,漏洞扫描系统对指定的远程或者本地计算机系统的安全脆弱性进行检测,及早发现可被利用的安全漏洞。它们可以相互配套,增强系统管理员的安全防范能力。

2.2.2网络安全审计

网络安全审计是指按照一定的安全策略,审查和检验操作事件的活动,从而发现系统漏洞、入侵行为。实际是记录与审查用户操作和使用活动的过程,如用户所调用的信息、使用时间、执行的操作等。安全审计对系统记录和行为进行独立的审查和估计,可以有效监控用户的使用情况,对内部潜在的非法攻击者起到威慑作用。

2.2.3虚拟局域网技术

按照公司的实际生产管理需要划分,使用虚拟局域网络技术将持有敏感信息的用户组与网络的其他部分隔离,从而降低泄露机密信息的可能性,增强局域网的安全性。

2.2.4网络杀毒软件的使用

使用网络版杀毒软件,网络管理员能够利用其实现对全网电脑进行远程统、有效清除计算机病毒,彻底解决局域网病毒杀而不绝、四处流窜的梦魇。

2.2.5定时备份重要数据

企业应使用统一的数据备份系统,由专人对数据进行定时备份定时检查,确保数据的完整性可靠性。并且保证备份介质异地存放,专人管理。

3.结论

信息安全工作是一项系统工程,“攻击”与“防范”、“威胁”与“脆弱性”之间经常此消彼长,不断发展。健全企业信息安全防护基础体系,必须从管理和技术两方面入手,夯实物理安全、网络安全、系统安全、应用安全、数据安全和用户安全。以安全区域划分、系统等级保护、安全边界防护、访问控制技术、主动监控措施、安全通报机制和应急响应体系为手段,多方面构筑全方位、多层次的安全防护体系,初步实现网络与信息系统全方位、细粒度的安全管理,做到“安全风险可控制,内部操作可审计,措施执行可度量,安全管理精细化,运行维护主业化”。实现企业信息安全防御的重点从“以网络层防护为主”转向为“网络和应用防护并举”,从“以防外为主”转向为“防内防外并举”的二个转变。其中,信息外网以“防攻击、防泄露”为主,信息内网以“强内控,防外联”为主,实现信息内外网的深度安全防护,确保应用系统的安全稳定运行,保障企业信息安全。

作者:邹梦婕工作单位:陕西黄河集团有限公司