企業(yè)信息安全泄露范文
時間:2023-10-12 17:34:18
導(dǎo)語:如何才能寫好一篇企業(yè)信息安全泄露,這就需要搜集整理更多的資料和文獻(xiàn),歡迎閱讀由公務(wù)員之家整理的十篇范文,供你借鑒。
篇1
【關(guān)鍵詞】信息化建設(shè);安全管理;授權(quán)
【中圖分類號】TU714 【文獻(xiàn)標(biāo)識碼】A 【文章編號】1672—5158(2012)08—0255-02
0.引言
隨著信息技術(shù)的不斷發(fā)展以及市場競爭的不斷激烈,企業(yè)信息安全建設(shè)已經(jīng)成為提高企業(yè)競爭力的重要途徑,杜絕信息泄露可以避免巨大的經(jīng)濟(jì)損失。雖然大多數(shù)企業(yè)在信息安全管理方面采取了較多的措施,但是信息安全問題仍然頻發(fā),對于企業(yè)的經(jīng)營活動帶來巨大的損失。加強(qiáng)企業(yè)內(nèi)部的計(jì)算機(jī)管理,提高對于信息安全的認(rèn)識程度,保證信息數(shù)據(jù)庫的安全,避免信息泄露的發(fā)生已經(jīng)成為現(xiàn)階段企業(yè)信息化建設(shè)亟待解決的管理問題。
1.企業(yè)信息化建設(shè)信息安全影響因素分析
(1)信息系統(tǒng)實(shí)體安全。信息實(shí)體主要包括用于企業(yè)信息化建設(shè)的計(jì)算機(jī)、網(wǎng)絡(luò)連接、服務(wù)器等媒介硬件設(shè)施,對于信息實(shí)體安全影響因素主要包括火災(zāi)、水災(zāi)、失竊或者是其他事故造成設(shè)備硬件的損壞,從而造成企業(yè)信息庫數(shù)據(jù)安全出現(xiàn)問題。
(2)信息系統(tǒng)運(yùn)行安全。信息系統(tǒng)的安全是指為了保證企業(yè)信息數(shù)據(jù)庫的安全,采取各種措施對系統(tǒng)運(yùn)行進(jìn)行安全保護(hù)。由于信息數(shù)據(jù)庫有可能受到非授權(quán)的訪問、泄露、數(shù)據(jù)纂改或者是被其他非法程序控制的威脅,因此確保信息系統(tǒng)運(yùn)行安全主要是保證信息數(shù)據(jù)庫的完整、保密以及時時可用性。
(3)信息系統(tǒng)管理人員安全責(zé)任意識。管理人員在日常工作中的安全管理意識、專業(yè)操作水平以及法律意識等均會對企業(yè)信息數(shù)據(jù)的安全產(chǎn)生影響。信息安全管理人員的日常管理工作責(zé)任心以及工作方式方法,對于保證信息數(shù)據(jù)庫的安全十分重要。
2.企業(yè)信息安全管理問題分析
目前由于管理制度以及軟硬件設(shè)施等一系列的問題,企業(yè)數(shù)據(jù)庫破壞以及重要數(shù)據(jù)信息泄漏的現(xiàn)象時有發(fā)生,嚴(yán)重影響了企業(yè)的正常生產(chǎn)經(jīng)營活動,通過分析發(fā)現(xiàn)影響企業(yè)信息化建設(shè)信息安全的問題主要由以下幾方面:
(1)企業(yè)內(nèi)部移動存儲設(shè)備管理疏松,缺乏安全保密管理制度。由于許多企業(yè)在日常管理過程中,移動存儲設(shè)備使用較多,員工可以隨意對企業(yè)內(nèi)部的各種信息資料進(jìn)行備份,企業(yè)用于經(jīng)營活動的客戶信息、產(chǎn)品設(shè)計(jì)、財(cái)務(wù)管理等各項(xiàng)信息極易造成泄漏,帶來巨大的信息安全損失。部分企業(yè)由于對于信息安全管理認(rèn)識程度不足,企業(yè)內(nèi)部信息安全管理缺乏必要的規(guī)章制度,安全管理職責(zé)權(quán)限不清,信息安全漏洞較多。
(2)對于內(nèi)部信息共享控制不嚴(yán)格,信息安全管理權(quán)限混亂。由于企業(yè)在生產(chǎn)經(jīng)營過程中為了提高生產(chǎn)經(jīng)營效率以及加強(qiáng)企業(yè)內(nèi)部各部門之間的溝通聯(lián)系,對于一些設(shè)計(jì)企業(yè)銷售計(jì)劃、客戶信息以及生產(chǎn)計(jì)劃等文件采取共享的措施,因此企業(yè)員工的流動或者其他管理不當(dāng)均會造成企業(yè)信息的泄露。
(3)信息權(quán)限管理混亂,企業(yè)的中介服務(wù)體系穩(wěn)定性較差。對于加密的授權(quán)訪問,權(quán)限管理則成為保護(hù)企業(yè)信息安全的重要因素。但是由于企業(yè)在信息安全管理過程中體系混亂,操作權(quán)限不清晰導(dǎo)致經(jīng)常出現(xiàn)影響信息安全的非授權(quán)訪問。而且對于部分中小企業(yè)由于信息化建設(shè)采取對外委托的方式,而中介第三方由于穩(wěn)定性難以保證,隨時更換或者退出的第三方極易造成企業(yè)有價值信息的泄漏,影響企業(yè)信息安全建設(shè)。
(4)信息管理安全防范體系不健全,缺乏針對信息安全管理的專業(yè)技術(shù)人才。雖然部分企業(yè)已經(jīng)認(rèn)識到信息化管理的重要性,并在企業(yè)網(wǎng)絡(luò)內(nèi)設(shè)置了必要的安全設(shè)備。但是缺乏一系列的安全管理機(jī)制,在信息安全管理方面缺乏行之有效的整體規(guī)劃與具體落實(shí)措施。此外,由于大部分企業(yè)在信息安全管理工作中將重點(diǎn)放在軟硬件設(shè)施上,而忽略了對于信息安全技術(shù)人員的培養(yǎng),而且為了減少人力資源支出成本,信息安全管理人員少工作任務(wù)重,管理權(quán)限集中化程度高,影響了信息化建設(shè)的安全管理。
3.企業(yè)信息建設(shè)信息安全管理措施
(1)加強(qiáng)對于信息庫硬件設(shè)備的保護(hù)管理。首先應(yīng)保證計(jì)算機(jī)等硬件設(shè)備具有安全的工作環(huán)境,做好計(jì)算機(jī)設(shè)備的防火、防潮、防盜措施,并避免強(qiáng)磁環(huán)境對信息數(shù)據(jù)可能造成的損壞。其次,在對各種硬件設(shè)備進(jìn)行檢修時,硬組織企業(yè)內(nèi)部相關(guān)技術(shù)人員進(jìn)行監(jiān)督管理,對于需要外送檢修的設(shè)備,則應(yīng)提前進(jìn)行數(shù)據(jù)加密處理。
(2)提高企業(yè)內(nèi)部的信息安全管理意識。企業(yè)信息安全管理對于提高企業(yè)競爭力,避免企業(yè)經(jīng)濟(jì)損失具有重要的意義。在企業(yè)的正常管理過程中,加強(qiáng)信息安全宣傳工作,使員工充分認(rèn)識到企業(yè)信息安全管理的重要性,并熟悉企業(yè)相關(guān)信息數(shù)據(jù)保密的規(guī)則制度,提高企業(yè)的整體信息安全防范水平。
(3)加強(qiáng)信息安全操作管理人員的管理。在企業(yè)信息日常管理過程中,應(yīng)加強(qiáng)對于業(yè)務(wù)操作以及數(shù)據(jù)存取控制代碼的管理。系統(tǒng)管理操作代碼的獲得應(yīng)經(jīng)過企業(yè)管理者授權(quán),系統(tǒng)管理人員在進(jìn)行企業(yè)相關(guān)信息數(shù)據(jù)庫的整理以及維護(hù)過程中,必須通過授權(quán)進(jìn)行。系統(tǒng)管理人員離開工作崗位后,相關(guān)責(zé)任人應(yīng)及時更換管理員操作代碼。
(4)加強(qiáng)企業(yè)信息數(shù)據(jù)庫的密碼與權(quán)限管理。對于涉及到企業(yè)信息數(shù)據(jù)庫安全的密碼,應(yīng)分別設(shè)置用戶密碼以及操作密碼,并提高密碼的安全程度,及時定期更換登陸操作密碼。對于組成企業(yè)內(nèi)部局域網(wǎng)絡(luò)的服務(wù)器、路由器等設(shè)施的設(shè)置管理工作,應(yīng)嚴(yán)格按照相關(guān)管理規(guī)定進(jìn)行設(shè)置。
(5)明確企業(yè)信息數(shù)據(jù)庫管理制度。對于企業(yè)重要的數(shù)據(jù)應(yīng)存放備份數(shù)據(jù),并采取異地存放的方式對備份數(shù)據(jù)庫進(jìn)行管理。對于廢棄或者需要銷毀的數(shù)據(jù)信息,應(yīng)嚴(yán)格依照程序采取逐級審批的方式,避免數(shù)據(jù)信息的泄露。需要進(jìn)行數(shù)據(jù)恢復(fù)工作時,應(yīng)嚴(yán)格按照相關(guān)技術(shù)手冊,并對恢復(fù)的數(shù)據(jù)進(jìn)行驗(yàn)證確認(rèn)數(shù)據(jù)的完整可用。
(6)加強(qiáng)企業(yè)信息數(shù)據(jù)機(jī)房的管理。相關(guān)人員出入信息數(shù)據(jù)庫機(jī)房進(jìn)行數(shù)據(jù)查閱以及提取工作時,應(yīng)經(jīng)由相關(guān)主管人員的授權(quán),并登記進(jìn)入。在日常管理過程中,定期對硬件設(shè)備進(jìn)行保養(yǎng),同時研究違章操作在信息數(shù)據(jù)機(jī)房安裝外部其他軟件。
參考文獻(xiàn)
[1]沈路鐵路信息系統(tǒng)安全風(fēng)險評估研究[J]-鐵路計(jì)算機(jī)應(yīng)用2011(6)
篇2
關(guān)鍵詞:制造企業(yè);日常行為;信息安全
當(dāng)今時代,隨著市場經(jīng)濟(jì)和全球商業(yè)一體化發(fā)展,經(jīng)濟(jì)趨e(信息技術(shù))化,信息的運(yùn)用成為關(guān)系企業(yè)經(jīng)營成敗的重要因素。正因如此,技術(shù)信息的外流、個人信息的泄露、病毒和黑客網(wǎng)絡(luò)犯罪肆虐,使得信息安全問題已成為全球性的、亟待優(yōu)先處理的課題。
一、信息安全的必要性
伴隨著當(dāng)前信息化、社會化的發(fā)展,信息已經(jīng)成為一項(xiàng)重要的經(jīng)營資源。由于電子化、網(wǎng)絡(luò)化的發(fā)展,人們可以將大量的數(shù)據(jù)簡單地通過網(wǎng)絡(luò)發(fā)送,或者將大量的數(shù)據(jù)保存在一枚存儲卡上,攜帶出去。與此相對應(yīng),竊取信息的誘因也增大,由于過失而導(dǎo)致信息泄露的可能性也增加了。同時,隨著人才的流動不斷發(fā)展,公司的員工,因各種原因常會流動到其它競爭對手企業(yè)中去工作。另外,企業(yè)業(yè)務(wù)一體化的不斷發(fā)展,對外派遣員工成了企業(yè)常見的現(xiàn)象,與各種各樣的人共享信息以及和他們在同一場所工作的情況增加,從而可能發(fā)生各種信息資產(chǎn)的對外泄露,導(dǎo)致公司的商業(yè)信用喪失,大批客戶流失,無疑這對企業(yè)經(jīng)營會造成重大的影響(參見圖1)。因此,不管是外在因素還是內(nèi)在因素,都增加了企業(yè)信息資產(chǎn)外流的風(fēng)險,所以加強(qiáng)企業(yè)信息安全管理是必要的,迫在眉睫。
二、信息安全事故的原因
(一)對信息價值的認(rèn)識存在著差距
1、由于對信息認(rèn)識的不足。外部惡意攻擊、木馬及病毒感染,這是被最多人所關(guān)注的信息安全問題,大部分人所認(rèn)為的信息安全問題其實(shí)也就是這個問題;內(nèi)部泄漏,這是被大多數(shù)人容易忽視的信息安全問題,因?yàn)檫@類威脅大部分不會造成數(shù)據(jù)的破壞,而是敏感信息的泄漏,所以也是最難防備的問題。
2、對個人信息保護(hù)意識的低下。S銀行的顧客數(shù)據(jù),Q百貨商品的會員卡會員數(shù)據(jù),Y網(wǎng)絡(luò)服務(wù)商的會員數(shù)據(jù),這些個人信息竟然也成為T網(wǎng)站明碼標(biāo)價的商品,這給那些不法分子造成了可趁之機(jī)。據(jù)了解,犯罪分子根據(jù)不正當(dāng)?shù)耐緩降玫降男庞每?,會員卡資料很容易制造出偽卡、偽證件,其背后是利潤可觀的黑市。
(二)人才的流動化
退職的從業(yè)人員從事競爭對手企業(yè)的經(jīng)營工作;退職的干部攜帶部下,到競爭對手企業(yè)工作;公司管理人員跳槽到競爭對手公司,將供應(yīng)商清單等攜帶出去等都會給公司的經(jīng)營帶來及大的困難。
(三)IT化的進(jìn)展
1、來自外部的非法侵入、盜聽。上世紀(jì)九十年代信息安全隱患主要集中在業(yè)余黑客不定期的無商業(yè)目的的侵害,如:散發(fā)病毒、涂改網(wǎng)站等。而如今已演變成帶有商業(yè)目的頻繁犯罪,如:竊取IP地址和身份信息等。因此,信息安全問題不僅僅是IT部門的技術(shù)風(fēng)險,更是觸及到了業(yè)務(wù)生命線。
2、內(nèi)部人員對數(shù)據(jù)沒有處理好,對網(wǎng)絡(luò)的濫用、誤用。由于未將在公司內(nèi)使用的過PC機(jī)的硬盤上的數(shù)據(jù)刪去,有關(guān)內(nèi)容被轉(zhuǎn)售到二手市場中去,從而導(dǎo)致信息流出;將公司內(nèi)電腦攜帶到外部而導(dǎo)致遺失、被盜;電腦失竊時,與電腦本身的價值相比,在電腦中保存的信息的泄露所造成的損失更大;向公司內(nèi)部轉(zhuǎn)送帶有病毒的郵件,帶有病毒的郵件的轉(zhuǎn)送,并不是因?yàn)榘l(fā)送郵件者故意轉(zhuǎn)送,而且由于沒有更新病毒對策軟件,所以造成病毒被隨意地轉(zhuǎn)送。在這種的病毒中,有些是轉(zhuǎn)送電子文件的病毒,這不只是給對方添加麻煩,還將導(dǎo)致信息的泄露。
3、技術(shù)缺陷。由于認(rèn)識能力和技術(shù)發(fā)展的局限性,公司在硬件和軟件設(shè)計(jì)過程中,難免留下技術(shù)缺陷,由此可造成網(wǎng)絡(luò)的安全隱患。網(wǎng)絡(luò)硬件、軟件產(chǎn)品多數(shù)依靠進(jìn)口,如全球90%的微機(jī)都裝微軟的Windows操作系統(tǒng),許多網(wǎng)絡(luò)黑客就是通過微軟操作系統(tǒng)的漏洞和后門而進(jìn)入公司網(wǎng)絡(luò)破壞重要數(shù)據(jù),這方面的報道經(jīng)常見諸于報端。
三、信息安全的對策
(一)加強(qiáng)信息安全教育,提高員工對信息安全的認(rèn)識
“信息安全就是經(jīng)營質(zhì)量本身”,是非常重要的事項(xiàng),也可以說是經(jīng)營的根本。關(guān)于信息安全,有必要在各種各樣的局面中進(jìn)行教育,教育的對象,不只是針對公司員工,對于派遣員工以及外部作業(yè)者,同樣要進(jìn)行徹底的信息安全教育。教育是對全體員工的意識及風(fēng)氣進(jìn)行改革,提高員工的信息安全意識。
(二)提交保守機(jī)密誓約書
員工在進(jìn)入公司、晉升以及退職時,必須提交誓約書。其目的在于:再次徹底貫徹保守機(jī)密的重要性。必要時能通過法律的手段來追究泄密員工的行為,維護(hù)公司的利益。
(三)保護(hù)好個人信息安全
個人信息是客戶和員工托管的重要信息,需慎重的處理,如果因?yàn)楸I竊、散失等導(dǎo)致個人信息泄露,將會造成重大不良后果,從而失去信信任度。怎么保護(hù)好個人信息安全呢?首先,要正確理解個人信息,在本公司工作的所有人的相關(guān)個人信息,不管其是否與本公司業(yè)務(wù)直接相關(guān),只要在某一過程中,公司獲取了個人信息,就必須像對待客戶一樣加以管理;其次,要管理好個人信息,確保安全,可以采取如下措施:客戶個人信息保管在帶鎖的柜子里,并限定可打開的柜子的人數(shù),記錄日志,實(shí)行電子化、設(shè)定開啟密碼等,發(fā)送郵件時要仔細(xì)檢查,確保地址準(zhǔn)確無誤,以免把個人信息錯發(fā)給他人;最后,對于個人信息廢棄處理時要確保徹底,對于紙質(zhì)媒質(zhì),要用碎紙機(jī)作破碎處理,對于電子媒質(zhì),要把數(shù)據(jù)徹底清除干凈。總之對于個人信息,從獲取到廢棄,在整個生命周期中,都有必要進(jìn)行嚴(yán)格的處理。
(四)利用網(wǎng)絡(luò)、以及電子化信息時的注意點(diǎn)
公司應(yīng)對下列行為做出明確規(guī)范,作為公司管理規(guī)章的一部分。(1)不要擅自從公司直接連接到外部網(wǎng)絡(luò)中去,也不要隨意撥號上網(wǎng)。如果擅自進(jìn)行連接,就有可能出現(xiàn)病毒侵入的情況,成為黑客的切入口;(2)將防止病毒軟件更新為最新版,每天都有新的病毒種類出現(xiàn)。如果感染上的話,就會給公司的業(yè)務(wù)帶來障礙,除了將公司的信息泄露出去之外,還會向公司外的人發(fā)送病毒,給別人增添麻煩;(3)INTERNET出入口設(shè)置硬件放火墻,安裝硬件防火墻,只開放企業(yè)內(nèi)部應(yīng)用所需要用防火墻將企業(yè)的局域網(wǎng)(Intranet)與互聯(lián)網(wǎng)之間進(jìn)行隔離。防火墻軟件應(yīng)及時升級,同時經(jīng)常掃描整個內(nèi)部網(wǎng)絡(luò),以發(fā)現(xiàn)任何安全隱患并及時更改,做到有備無患;(4)由于在公司的電腦上保存有公司的信息,原則上禁止攜帶外出。在業(yè)務(wù)上,不得不攜帶外出時,應(yīng)遵守規(guī)定的規(guī)則簽訂有關(guān)協(xié)議;(5)原則上,請不要將數(shù)據(jù)保存在電腦上,而是保存在服務(wù)器上;(6)不應(yīng)該只是將數(shù)據(jù)刪除在垃圾箱中,還有必要對其進(jìn)行物理性的破壞,或者使用專用軟件完全地加以刪除,使之無法復(fù)原。
(五)日常行為中的信息安全注意點(diǎn)
不管你是有意識還是無意識的,信息也很可能會從你的日常的行為中泄露出去。因此要養(yǎng)成好的習(xí)慣,以免從日常生活中泄露公司信息。(1)在公司會客廳里與來訪客人會面,在進(jìn)入工作單位(職場)時,一定陪同行動。對于搬運(yùn)業(yè)者,請不要讓其進(jìn)入工作單位,而在指定的場所接收所搬運(yùn)的物品;(2)雖然回收再利用是很重要的,但是不應(yīng)該使用機(jī)密文件及限定公開對象的文件的背面來書寫;(3)在會議室里,有時上一次會議的記載內(nèi)容還留在寫字板上。特別是對寫字板的背面,也要加以注意;(4)復(fù)印的原件一定要收回,打印完畢之后,應(yīng)該立即去??;(5)在餐飲店及電車?yán)镎f話時要加以注意。特別是在喝了酒之后,精神容易放松,聲音也變得大起來了,像這種場所,是調(diào)查公司收集信息的場所。
(六)對公司管理者的期望
管理者應(yīng)重視信息安全,以身作則,自覺遵守公司信息安全規(guī)章制度,負(fù)責(zé)公司信息安全的推進(jìn)與實(shí)施。對從業(yè)人員徹底地進(jìn)行教育,防止事故于未然。在接收到事故報告時,應(yīng)立即進(jìn)行適當(dāng)?shù)奶幚恚⑾蚬旧弦患壭畔踩七M(jìn)負(fù)責(zé)人報告。作為管理者要強(qiáng)化信息安全的應(yīng)用管理,信息安全就是經(jīng)營質(zhì)量本身,“認(rèn)識的不足”、“覺得麻煩的心態(tài)”是致命傷,都會給公司經(jīng)營帶來困難。信息安全管理者應(yīng)對所有員工的信息安全意識、風(fēng)氣進(jìn)行改革負(fù)責(zé),以使公司信息安全達(dá)到國家、國際標(biāo)準(zhǔn)。
總之,一套完善、合理的信息安全策略對于企業(yè)信息安全管理必定是益處多多。通過為企業(yè)的每一個人提供基本的規(guī)則、指南、定義,從而在組織中建立一套信息資源保護(hù)標(biāo)準(zhǔn),防止員工不安全行為的引入風(fēng)險。安全策略也為企業(yè)進(jìn)一步制定控制規(guī)則、安全程序等奠定了必要的基礎(chǔ)。信息安全策略還能夠幫助信息管理部門在信息安全事件中減輕應(yīng)承擔(dān)的責(zé)任,提高信息安全保障,與企業(yè)的日常實(shí)踐息息相關(guān)的。
參考文獻(xiàn):
1、林東岱.企業(yè)信息系統(tǒng)安全:威協(xié)與對策[M].電子工業(yè)出版社,2004.
2、范紅.信息安全風(fēng)險評估方法[M].清華大學(xué)出版社,2006.
3、安源.企業(yè)信息安全的新問題及對策[J].天然氣與石油,2006(10).
4、潘愛武.淺議企業(yè)網(wǎng)絡(luò)信息安全威脅與防范[J].科教文匯,2006(8).
篇3
關(guān)鍵詞:信息時代;信息安全;信息管理
1引言
國民經(jīng)濟(jì)的發(fā)展,帶來的是科技的進(jìn)步,得益于科技發(fā)展,信息技術(shù)在我國得到大范圍的普及,如今我國已進(jìn)入全民信息時代。信息時代下,大數(shù)據(jù)技術(shù)、云技術(shù)等信息交互技術(shù)成為時展弄潮兒。通過網(wǎng)絡(luò)的搜索引擎、自媒體、電子商務(wù)等途徑,個人的學(xué)習(xí)工作日趨方便,企業(yè)的生產(chǎn)和經(jīng)營效率日趨提升。此外伴隨“互聯(lián)網(wǎng)+”在各行各業(yè)的深化應(yīng)用,個人信息直接開始參與到社交、醫(yī)療等多個領(lǐng)域,在信息時代為人們帶來便利的同時,人們的個人信息也推動了社會的信息化發(fā)展?;谝陨媳尘?,個人信息在網(wǎng)絡(luò)中的傳遞,為不法分子提供了可乘之機(jī),因此在信息時代下進(jìn)行信息安全管理相關(guān)分析便顯得尤為重要。通過分析,找尋提升信息安全的有效策略,提升人們在網(wǎng)絡(luò)上的個人信息和企業(yè)信息安全,這也是當(dāng)下信息時代應(yīng)用互聯(lián)網(wǎng)的人們的共同企求。
2信息安全的概念
信息安全是指信息網(wǎng)絡(luò)的硬件、軟件及系統(tǒng)內(nèi)數(shù)據(jù)受到保護(hù),不受惡意攻擊和行為的破壞而損壞,保障系統(tǒng)正常持續(xù)運(yùn)行,保障其內(nèi)的信息傳輸不中斷。PC端、移動端等載體的發(fā)展,進(jìn)一步激發(fā)了互聯(lián)網(wǎng)的深化發(fā)展。人與人之間的交互借助互聯(lián)網(wǎng)突破了時間和空間的限制,溝通和交流變得前所未有的方便和快捷。信息傳遞的速度也是光速抵達(dá),往往前一分鐘黑龍江發(fā)生的大事件,后一分鐘北京的人民便會知曉。信息時代下,除了人們獲取信息的速度加快外,人們對信息獲取的范圍也極具提升?!皟勺悴煌T外邁,一眼看盡天下聞”成為現(xiàn)實(shí),不用出門便可了解天下大事,可以知道遠(yuǎn)方紐約的天氣狀況,可以了解降息等相關(guān)的民生政策,許多疑問也可快速通過搜索引擎獲取答案,信息技術(shù)正以不同的方式方便和改變著人們的生活。在人們使用信息技術(shù)獲取信息的過程中,不可避免的會使用到個人信息進(jìn)行授權(quán),或者經(jīng)由其他途徑將自己的個人信息置于互聯(lián)網(wǎng)之上,由于各種原因引發(fā)的個人和企業(yè)信息泄露,對個人和企業(yè)造成的損失是巨大的,因此需要通過宏觀的策略和微觀的技術(shù)手段來提升人們使用互聯(lián)網(wǎng)的安全性,保障信息安全。
3推進(jìn)信息安全工作的意義
3.1維持網(wǎng)絡(luò)秩序的穩(wěn)定與安全
人們使用互聯(lián)網(wǎng),從網(wǎng)絡(luò)上獲取各種各樣需求的信息,人們也將個人的信息反饋到互聯(lián)網(wǎng)上進(jìn)行保存、傳遞、分享等?;ヂ?lián)網(wǎng)的建設(shè)發(fā)展并非能夠一直保持客觀安全,互聯(lián)網(wǎng)的維護(hù)工作由人來完成,網(wǎng)絡(luò)安全工作需要進(jìn)行實(shí)時維護(hù),定期通過技更新術(shù)、補(bǔ)丁內(nèi)容等維系互聯(lián)網(wǎng)的穩(wěn)定,不斷的填補(bǔ)互聯(lián)網(wǎng)中的漏洞,以防被有心人乘機(jī)而入,傳播病毒或者竊取信息。推進(jìn)信息安全工作,保障互聯(lián)網(wǎng)秩序的穩(wěn)定和安全,能夠使互聯(lián)網(wǎng)中存留的個人和企業(yè)信息不致泄露或者遺失,能夠使互聯(lián)網(wǎng)更好的為人們和企業(yè)服務(wù),充分發(fā)揮互聯(lián)網(wǎng)的便利性和快捷性。
3.2提升用戶對信息安全的認(rèn)知
開展和推進(jìn)信息安全工作,通過網(wǎng)絡(luò)宣傳渠道等提醒人們對信息安全環(huán)境和信息安全傳播加以重視。能夠有效提升用戶對信息安全的認(rèn)知。通過宣傳或科普,使人們能夠基本了解信息在互聯(lián)網(wǎng)中傳播的規(guī)律,以及互聯(lián)網(wǎng)當(dāng)中存有的漏洞會對個人和企業(yè)信息造成泄露,從而對自己造成損失,由此加強(qiáng)個人和企業(yè)的互聯(lián)網(wǎng)使用規(guī)范,能夠有意識的去以規(guī)范個人信息安全行為帶動全網(wǎng)的信息安全。
3.3維系社會安定,保障國民經(jīng)濟(jì)穩(wěn)定
隨著“互聯(lián)網(wǎng)+”的深入發(fā)展,互聯(lián)網(wǎng)與其承載的海量信息資源已經(jīng)改變了各行各業(yè)的傳統(tǒng)經(jīng)營生態(tài)。一方面?zhèn)€人和企業(yè)經(jīng)濟(jì)收益與信息化時代掛鉤,個人的知識產(chǎn)出、企業(yè)的消息傳遞、消息獲取、技術(shù)革新等離不開信息安全,另一方面?zhèn)€人與企業(yè)的財(cái)務(wù)信息等同樣處于互聯(lián)網(wǎng)之中,存在于海量的信息之中,保障信息安全,就是切實(shí)保障個人和企業(yè)的財(cái)產(chǎn)安全不受侵犯。從以上兩點(diǎn)來看,信息安全能夠保障國民經(jīng)濟(jì)的可持續(xù)發(fā)展,也能夠保障社會的穩(wěn)定。
4信息安全面臨的威脅
互聯(lián)網(wǎng)以及大數(shù)據(jù)等技術(shù)的深化發(fā)展與應(yīng)用,在為人們學(xué)習(xí)、生活、工作、生產(chǎn)等帶來便利的同時,基于信息的傳播原理,個人和企業(yè)的信息同樣處在互聯(lián)網(wǎng)和大數(shù)據(jù)的范疇之內(nèi),由于互聯(lián)網(wǎng)技術(shù)存在的一些問題以及大數(shù)據(jù)技術(shù)的不夠完善,信息技術(shù)的發(fā)展也帶來了對個人隱私安全問題的威脅。具體來看,當(dāng)今信息安全面臨的威脅具體如下:
4.1個人隱私泄露
互聯(lián)網(wǎng)和大數(shù)據(jù)時代,人們通過各種各樣的信息平臺進(jìn)行信息資源的獲取和交互操作,在這樣的過程中,人們不可避免的會在這些平臺上以個人信息錄入的方式進(jìn)行注冊,便是在這樣一次次操作的過程中,個人的身份證、銀行卡、家庭住址、聯(lián)系方式等信息代表的隱私,會由于平臺信息的泄露而發(fā)生泄露,從而影響到個人隱私的安全,為個人帶來極大的生活及財(cái)產(chǎn)安全隱患。這也是當(dāng)今信息時代下,信息安全面臨的最為普遍的一個問題,未來互聯(lián)網(wǎng)和大數(shù)據(jù)等技術(shù)的發(fā)展,也要集中處理個人隱私泄露問題,通過不斷及時填補(bǔ)互聯(lián)網(wǎng)漏洞和完善大數(shù)據(jù)等技術(shù)來強(qiáng)化信息安全,確保個人隱私泄露的幾率逐步下降。
4.2大數(shù)據(jù)技術(shù)的安全風(fēng)險
大數(shù)據(jù)技術(shù)的應(yīng)用,能夠隨時記錄人們的閱讀、購物、出行等喜好,省去了人們大量的選擇時間,極大的方便了人們生活。同時大數(shù)據(jù)技術(shù)的使用還能幫助企業(yè)完成數(shù)據(jù)篩選、分析以及存儲等多方面的需求,以便企業(yè)能夠基于算法下的結(jié)果回饋,及時掌握市場動態(tài)和客戶群體喜好,針對性的推出更加符合市場需求的產(chǎn)品和服務(wù)。大數(shù)據(jù)的技術(shù)應(yīng)用廣泛,但其存儲技術(shù)卻較為簡單,通常采用的云端服務(wù)器存儲模式一般為逐級分步法,這種存儲方式在為個人和企業(yè)調(diào)用方面帶來便利的同時,也由于結(jié)構(gòu)簡單而容易遭致黑客的輕擊攻破,使內(nèi)部存儲的信息泄露,總的來說該主流存儲方式方便由于,安全性不足。此外,當(dāng)前大數(shù)據(jù)技術(shù)起步較晚,發(fā)展還不夠完善,在信息采集的過程中往往無法一步到位,需要經(jīng)過多個環(huán)節(jié)進(jìn)行節(jié)點(diǎn)式的信息收集,收集環(huán)節(jié)的增多造成大數(shù)據(jù)技術(shù)使用的不便,同時提升了用戶信息安全的風(fēng)險。綜上,大數(shù)據(jù)技術(shù)的使用,從目前來看無論是內(nèi)部管理還是外部防御體系,在信息安全方面均有較明顯的漏洞。
4.3智能終端的信息安全威脅
相比日趨成熟的PC端信息安全防護(hù)體系,信息時代下移動端的強(qiáng)勢崛起,信息傳遞重心逐漸由PC端轉(zhuǎn)向移動端,而移動端的安全防護(hù)體系比之PC端的信息安全防護(hù)體系要遠(yuǎn)遠(yuǎn)不如。移動端上有諸如微信、釘釘、QQ、地圖、美團(tuán)等一系列關(guān)乎著每一個個體身份、家庭住址、辦公信息、聯(lián)系方式等絕對隱私的應(yīng)用。這些應(yīng)用平臺發(fā)生的信息泄露或者是由個人操作不當(dāng)造成的信息泄露均會給個人的生活帶來極大困擾。此外,移動端當(dāng)中存儲的信息、照片、視頻等數(shù)據(jù),同樣容易發(fā)生泄露,因此人們需要加強(qiáng)對智能終端的信息安全防護(hù)。
5信息時代下信息安全防護(hù)策略
信息時代下,信息安全防護(hù)的工作不僅僅是信息安全管理人員應(yīng)當(dāng)重視的問題,它同我們每一個人都息息相關(guān)。信息技術(shù)因提供信息的便捷和信息的豐富為人們學(xué)習(xí)、生活、工作、生產(chǎn)等帶去了極大便利的同時,因云端服務(wù)器結(jié)構(gòu)、系統(tǒng)漏洞的客觀問題會導(dǎo)致人們的信息發(fā)生泄露,因大數(shù)據(jù)技術(shù)發(fā)展不完善、防護(hù)措施體系不健全等外部人為管理原因會導(dǎo)致人們的信息發(fā)生泄露,最后因?yàn)閭€人信息安全意識薄弱和部分不法分子的存在同樣會加大我們信息安全的風(fēng)險。因此信息安全的防護(hù)策略要從以下幾個方面著手:
5.1建立健全相關(guān)法規(guī)
信息時代下,基于互聯(lián)網(wǎng)用戶的增多,互聯(lián)網(wǎng)相關(guān)的企業(yè)也在逐步的擴(kuò)張。信息時代的快速發(fā)展,對經(jīng)濟(jì)建設(shè)的發(fā)展提供了有力幫助,同時也對人們的生活造成了深刻的影響,個人信息同互聯(lián)網(wǎng)行業(yè)間的交互每時每刻都在發(fā)生著,包含個人的身份信息、聯(lián)系方式、家庭住址、消費(fèi)能力、收入水平、朋友圈等的個人信息,互聯(lián)網(wǎng)企業(yè)的獲取難度較低,因此有些不良企業(yè)以及外部的一些黑客通過出賣用戶個人信息進(jìn)行牟利或直接應(yīng)用個人信息進(jìn)行詐騙的事件層出不窮。相應(yīng)的國家立法層面,當(dāng)前的相關(guān)法律對危害他人信息安全行為的法律法規(guī)不夠健全,法律完善的速度遠(yuǎn)遠(yuǎn)不及信息時展信息安全受侵害事件類型的增長速度。因此需要國家在未來的日子中,在深入了解網(wǎng)絡(luò)行業(yè)發(fā)展現(xiàn)狀以及危害信息安全典型事件后,并針對未來可能產(chǎn)生的新的一系列危害信息安全的行為進(jìn)行法律的完善,同時也需要監(jiān)督部門加強(qiáng)監(jiān)督執(zhí)法,從而保障個人和企業(yè)的信息安全。
5.2技術(shù)完善
人們通過信息技術(shù)進(jìn)行信息內(nèi)容的獲取,同時也借助網(wǎng)絡(luò)平臺,實(shí)現(xiàn)的信息內(nèi)容的傳遞和交互,通過網(wǎng)絡(luò)平臺將分布在不同時間和空間的人們連接到了一起,實(shí)現(xiàn)了零距離的溝通和交流,同時實(shí)現(xiàn)了零等待的信息傳輸,從而為人們的生活帶去了便利。就在這樣一個共享網(wǎng)絡(luò)平臺的使用過程中,發(fā)生的某些信息傳遞行為,不經(jīng)意間自身包含身份、聯(lián)系方式、銀行賬號等隱私信息會隨之泄露,引發(fā)信息安全問題。此外,受限于互聯(lián)網(wǎng)技術(shù)的不夠成熟以及大數(shù)據(jù)等技術(shù)的不夠完善,在信息傳遞和交互的過程中,部分不法分子會通過技術(shù)手段,找尋平臺當(dāng)中的技術(shù)漏洞,有目的的竊取用戶和企業(yè)的隱私信息用以牟利。因此需要從技術(shù)層面加強(qiáng)信息安全,具體包含以下幾個方面:
5.2.1加固網(wǎng)絡(luò)節(jié)點(diǎn),保障數(shù)據(jù)安全針對信息傳遞和交互在互聯(lián)網(wǎng)中的各個節(jié)點(diǎn)進(jìn)行防護(hù),重點(diǎn)對服務(wù)器、交換機(jī)等進(jìn)行加固,根本防護(hù)目的在于保障信息在傳輸過程中能夠不會泄密。此外,大數(shù)據(jù)的長期傳輸會對網(wǎng)絡(luò)中的各個節(jié)點(diǎn)造成嚴(yán)重的數(shù)據(jù)負(fù)擔(dān),因此要適時的更換或進(jìn)階各個節(jié)點(diǎn)的軟硬件設(shè)施,提升各節(jié)點(diǎn)的數(shù)據(jù)處理能力。保護(hù)信息安全,保護(hù)數(shù)據(jù)不被竊取的首要前提是數(shù)據(jù)傳輸?shù)男誓軌虮U稀?/p>
5.2.2革新防火墻技術(shù)加強(qiáng)防護(hù)信息數(shù)據(jù)的傳遞均為虛擬數(shù)據(jù)的傳輸,對這些虛擬數(shù)據(jù)的傳輸和過濾,需要在本地網(wǎng)絡(luò)中設(shè)置網(wǎng)絡(luò)防火墻,以防火墻來阻隔那些網(wǎng)路中的不良信息和可能隱藏著的病毒文件。此外,防火墻還能夠針對計(jì)算機(jī)本身防止端口泄密,以及當(dāng)計(jì)算機(jī)發(fā)生被惡意攻擊時能夠迅速的啟動防護(hù)程序,組織不良程序?qū)τ?jì)算機(jī)信息內(nèi)容的竊取,保障核心數(shù)據(jù)不至泄露。新一代的防火墻技術(shù)的應(yīng)用,可以針對應(yīng)用識別、應(yīng)用策略、網(wǎng)絡(luò)安全策略、終端識別與審計(jì)這四個方面的內(nèi)容進(jìn)行提升。加強(qiáng)各項(xiàng)協(xié)議的理解,可以準(zhǔn)確高效解析各式協(xié)議;更加高效的行為檢測,可以精準(zhǔn)識別網(wǎng)絡(luò)流量的應(yīng)用類型以及行為,由此規(guī)避黑客應(yīng)用程序的攻擊。
5.2.3建立額外的云備份數(shù)據(jù)建立額外的云備份數(shù)據(jù)適用于信息時代下的大數(shù)據(jù)技術(shù)應(yīng)用層面,通過及時的檢查和定期的備份本地存儲在云端的數(shù)據(jù),在數(shù)據(jù)被盜用的預(yù)警信息發(fā)出警報后,如果采取防衛(wèi)措施無法有效組織個人信息的泄露,便要及時通過數(shù)據(jù)重置的操作強(qiáng)制停止不良程序和文件對計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)的侵害。此外,云備份數(shù)據(jù)還能夠?qū)Υ鎯ο到y(tǒng)本身引發(fā)的存儲障礙造成的信息遺失進(jìn)行彌補(bǔ)。
5.3用戶要加強(qiáng)個人信息保護(hù)意識
信息時代下保障信息安全,除了要依托外部的保障措施,用戶也需要加強(qiáng)個人信息保護(hù)意識。目前的信息平臺中,信息內(nèi)容魚龍混雜,網(wǎng)站品質(zhì)良莠不齊,不乏有一些惡意釣魚網(wǎng)站的存在。用戶在信息獲取的過程中,對這些惡意釣魚網(wǎng)站和非法網(wǎng)站要具備基本的鑒別意識和能力,避免登入這類網(wǎng)站引發(fā)個人信息的泄露。同時應(yīng)用殺毒軟件定期對個人電腦、辦公電腦等進(jìn)行病毒查殺,尤其是在需要輸入賬號和密碼前更應(yīng)保障網(wǎng)絡(luò)環(huán)境的安全。通過日常規(guī)范的互聯(lián)網(wǎng)操作,可以有效規(guī)避信息獲取和互動過程中可能遭遇的信息安全風(fēng)險。
篇4
【關(guān)鍵詞】企業(yè);信息化建設(shè);信息安全
伴隨著我國社會經(jīng)濟(jì)的發(fā)展,各個企業(yè)間的競爭也是非常的激烈。各企業(yè)發(fā)展的過程中重要工作就是加強(qiáng)信息化建設(shè),在企業(yè)信息化建設(shè)發(fā)展的過程當(dāng)中,又顯現(xiàn)出來了信息安全的問題,加上有的不法分子會采取各種手段盜取企業(yè)的內(nèi)部信息以便達(dá)到自己的經(jīng)濟(jì)利益。所以說研究企業(yè)信息化當(dāng)中的信息安全問題是具有非常重要意義。
一、企業(yè)信息化建設(shè)過程中信息安全的問題
一般情況下能造成企業(yè)內(nèi)部信息安全問題的原因分為外部原因和內(nèi)部原因,可是不管是內(nèi)部原因還是外部原因都會對企業(yè)的信息系統(tǒng)的安全帶來隱患。
1.1企業(yè)內(nèi)部因素
第一個方面是企業(yè)的信息安全意識不強(qiáng),雖然是現(xiàn)在有很多的企業(yè)加快企業(yè)內(nèi)部信息化建設(shè)的進(jìn)程,但是有些企業(yè)只是在表面上看到信息化建設(shè)所帶來的優(yōu)勢,而信息化建設(shè)當(dāng)中的安全問題并沒能夠引起企業(yè)的足夠重視,所以在信息化建設(shè)的過程中比較容易出現(xiàn)安全隱患。第二個方面就是我國的安全軟件還是比較落后,雖然國內(nèi)計(jì)算機(jī)軟件技術(shù)在快速的反戰(zhàn),可是與一些發(fā)達(dá)的國家相比還是存在一定距離,第三個方面在管理操作方面存在問題,現(xiàn)在有很多的企業(yè)對于自己企業(yè)內(nèi)部的信息安全問題還存在不夠重視的問題,在企業(yè)信息系統(tǒng)的管理上不夠謹(jǐn)慎,這就會被不法分子和黑客進(jìn)入的機(jī)會,造成了企業(yè)的主要信息被盜取。第四個方面缺少優(yōu)秀的專業(yè)管理團(tuán)隊(duì),企業(yè)信息的系統(tǒng)安全是前期的制定和日常系統(tǒng)安全的維護(hù)以及日后都是由專業(yè)的人員來進(jìn)行操作,所以相關(guān)的技術(shù)人員都必須具有很好的素養(yǎng)和賢能的技術(shù),第五個方面法律法規(guī)的不全面?,F(xiàn)在我國與企業(yè)信息安全問題的法律法規(guī)不全面這就造成企業(yè)內(nèi)部信息被盜取不能得到相關(guān)的賠償。
1.2企業(yè)外部因素
現(xiàn)在企業(yè)信息安全系統(tǒng)的威脅主要來自于外部的因素,隨著我國經(jīng)濟(jì)社會的飛速變化,在競爭激烈情況下信息是非常重要的,大昂仁會有很多的不法分子會利用各種手段來盜取企業(yè)的信息為自身得到利益。還有些企業(yè)在于對手的競爭過程中使用不正當(dāng)?shù)氖侄蝸頁艨鍖κ直WC自己企業(yè)的利益。
二、企業(yè)信息化建設(shè)過程中的信息安全與對策
在我國社會經(jīng)濟(jì)快速發(fā)展的今天,企業(yè)信息安全對于一個企業(yè)的發(fā)展是非常具有意義的,企業(yè)的信息被盜取和泄露會給企業(yè)帶來很大的損失,所以說企業(yè)對信息安全問題必須要有足夠的重視。有的企業(yè)已經(jīng)做好了信息安全的必要工作就應(yīng)該更加注意安全軟件并不是時時刻刻都能做好安全的保護(hù),做好安全保護(hù)還要加強(qiáng)管理。
2.1確保正確的安全意識
一個企業(yè)在信息化發(fā)展的過程中,應(yīng)該認(rèn)識到企業(yè)信息的安全問題和企業(yè)發(fā)展相互的關(guān)聯(lián)。如果企業(yè)的重要內(nèi)部信息被盜取或者泄露那么對于企業(yè)所造成的打擊是非常大的,而與此同時也是給了對手創(chuàng)造了很好機(jī)會。所以確保正確的安全信息意識對于一個企業(yè)來說是非常重要的,也是為了以后給企業(yè)的各項(xiàng)工作打下了很好基礎(chǔ)。
2.2選擇安全性能比較高的軟件
其實(shí)任何軟件都不是牢不可破的,可是對于安全性能比較高的軟件,如果說破解的話難度還是相當(dāng)高的,所以企業(yè)選擇安全軟件的時候要選擇安全性能高的,不要為了節(jié)省一點(diǎn)企業(yè)的支出而選擇使用安全性能差的保護(hù)軟件,一旦出現(xiàn)問題所造成的企業(yè)損失價值會大于軟件的價格。
2.3加強(qiáng)企業(yè)網(wǎng)路管理
很大一部分的企業(yè)信息被盜取都是不法分子通過網(wǎng)絡(luò)進(jìn)行的,所以說必須要對企業(yè)的網(wǎng)絡(luò)管理進(jìn)行加強(qiáng),這樣才能確保企業(yè)信息系統(tǒng)在安全的狀態(tài)的情況下運(yùn)行。對于信息安全的種類和等級的高低來進(jìn)行制定合理的方案,并且提前做出如果發(fā)生特殊情況下怎么進(jìn)行處理的方案。如果說企業(yè)的信息安全發(fā)生危機(jī)的時候,企業(yè)應(yīng)該快速的組建處理小組,針對信息安全危機(jī)的步驟處理并且做好危機(jī)處理的工作,還要避免出現(xiàn)由于處理不當(dāng)而產(chǎn)生的各種情況。
三、結(jié)語
以上所述是企業(yè)信息化建設(shè)過程中所必需要面對的問題,一個企業(yè)的信息安全建設(shè)應(yīng)該先從管理開始,必須做到以防范為主要,必需制定有效的安全防護(hù)把安全的風(fēng)險降至最低。在現(xiàn)在經(jīng)濟(jì)發(fā)展的快速時代,企業(yè)信息的安全問題決定著企業(yè)的安全運(yùn)營。
參考文獻(xiàn)
[1]原黎.探析企業(yè)信息安全問題的成因及對策[J].現(xiàn)代工業(yè)經(jīng)濟(jì)和信息化.2011(08)
[2]張耀輝.關(guān)于企業(yè)信息化建設(shè)中的信息安全探討[J].電子技術(shù)與軟件工程.2013(14)
[3]趙曉華,陳秀芹,周文艷,夏莉莉,李建忠.網(wǎng)絡(luò)環(huán)境下河北中小企業(yè)信息安全問題研究[J].科技資訊.2013(31)
[4]葉瑞強(qiáng).企業(yè)網(wǎng)絡(luò)信息安全存在的問題及對策[J].信息與電腦(理論版).2012(03)
篇5
關(guān)鍵詞:大數(shù)據(jù);計(jì)算機(jī)信息安全;企業(yè);防護(hù)策略
中圖分類號:TP393 文獻(xiàn)標(biāo)識碼:A 文章編號:1009-3044(2017)01-0023-02
大數(shù)據(jù)(big data)形成于傳統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)應(yīng)用中,并不能將它理解為傳統(tǒng)意義中大量數(shù)據(jù)的集合,而是其中涵蓋了更多的數(shù)據(jù)信息處理技術(shù)、傳輸技術(shù)和應(yīng)用技術(shù)。正如國際信息咨詢公司Gartner所言“大數(shù)據(jù)在某些層面已經(jīng)超越了現(xiàn)有計(jì)算機(jī)信息技術(shù)處理能力范圍,它是一種極端信息資源。[1]”正是基于此,社會各個領(lǐng)域行業(yè)才應(yīng)用大數(shù)據(jù)技術(shù)來為計(jì)算機(jī)信息安全提供防范措施,尤其是企業(yè)計(jì)算機(jī)信息網(wǎng)絡(luò),更需要它來構(gòu)建網(wǎng)絡(luò)信息防護(hù)體系,迎接來自于企業(yè)外部不同背景下的不同安全威脅。
1關(guān)于企業(yè)計(jì)算機(jī)信息安全防護(hù)體系的建設(shè)需求
企業(yè)計(jì)算機(jī)系統(tǒng)涉及海量數(shù)據(jù)和多種關(guān)鍵技術(shù),它是企業(yè)正常運(yùn)營的大腦,為了避免來自于內(nèi)外因素的干擾,確保企業(yè)正常運(yùn)轉(zhuǎn),必須為“大腦”建立計(jì)算機(jī)信息安全防護(hù)體系,基于信息安全水平評價目標(biāo)來確立各項(xiàng)預(yù)訂指標(biāo)性能,確保企業(yè)計(jì)算機(jī)系統(tǒng)不會遭遇侵犯威脅,保護(hù)重要信息安全。因此企業(yè)所希望的安全防護(hù)體系建設(shè)應(yīng)該滿足以下3項(xiàng)需要。
首先,該安全防護(hù)體系能夠系統(tǒng)的從企業(yè)內(nèi)外部環(huán)境、生產(chǎn)及銷售業(yè)務(wù)流程來綜合判斷和考]企業(yè)計(jì)算機(jī)信息安全技術(shù)、制度及管理相關(guān)問題,并同時快速分析出企業(yè)在計(jì)算機(jī)信息管理過程中可能存在的各種安全隱患及危險因素。指出防護(hù)體系中所存在的缺陷,并提出相應(yīng)的防護(hù)措施。
其次,可以對潛在威脅企業(yè)計(jì)算機(jī)系統(tǒng)的不安定因素進(jìn)行定性、定量分析,有必要時還要建立全面評價模型來展開分析預(yù)測,提出能夠確保體系信息安全水平提升的優(yōu)質(zhì)方案。
第三,可以利用體系評價結(jié)果來確定企業(yè)信息安全水平與企業(yè)規(guī)模,同時評價該防護(hù)體系能為企業(yè)帶來多大收益,確保防護(hù)體系能與企業(yè)所投入發(fā)展?fàn)顩r相互吻合。
2大數(shù)據(jù)環(huán)境對企業(yè)計(jì)算機(jī)信息安全建設(shè)的影響
大數(shù)據(jù)環(huán)境改變了企業(yè)計(jì)算機(jī)信息安全建設(shè)的思路與格局,應(yīng)該從技術(shù)與管理維度兩個層面來看這些影響變化。
2.1基于企業(yè)計(jì)算機(jī)信息安全建設(shè)的技術(shù)維度影響
大數(shù)據(jù)所蘊(yùn)含技術(shù)豐富,它可以運(yùn)用分布式并行處理機(jī)制來管理企業(yè)計(jì)算機(jī)信息安全。它不僅僅能確保企業(yè)信息的可用性與完整性,還能提高信息處理的準(zhǔn)確性與傳輸連續(xù)性。因?yàn)樵诖髷?shù)據(jù)背景下,復(fù)雜數(shù)據(jù)類型處理案例比比皆是,必須要避免信息處理過程錯誤所帶來的企業(yè)信息資源安全損失,所以應(yīng)該采取大數(shù)據(jù)環(huán)境技術(shù)來展開新的信息處理方式及存儲方式,像以Hadoop平臺為主的Mapreduce分布式計(jì)算就能啟動云存儲方式,對企業(yè)計(jì)算機(jī)信息進(jìn)行有效存儲、轉(zhuǎn)移和管理,提高其信息安全水平。分布式計(jì)算會為企業(yè)計(jì)算機(jī)信息建立大型數(shù)據(jù)庫,或者采用第三方云服務(wù)提供商所提供的虛擬平臺來管理信息,這種做法可以為企業(yè)省下防火墻、數(shù)據(jù)庫、基礎(chǔ)性安防技術(shù)等等建設(shè)環(huán)節(jié)的大筆成本費(fèi)用。
在信息傳遞方面,大數(shù)據(jù)環(huán)境主要能夠干預(yù)企業(yè)信息傳遞,例如為企業(yè)計(jì)算機(jī)系統(tǒng)提供高速不中斷的傳遞功能模塊,以確保企業(yè)信息傳遞的完整性與可持續(xù)性。在此過程中為了確保企業(yè)計(jì)算機(jī)信息傳輸?shù)陌踩煽?,就會基于大?shù)據(jù)技術(shù)來為企業(yè)提供數(shù)據(jù)加密服務(wù),確保數(shù)據(jù)傳輸整個過程都處于安全狀態(tài),避免任何信息泄露、被盜取現(xiàn)象的發(fā)生。
2.2基于企業(yè)計(jì)算機(jī)信息安全建設(shè)的管理維度影響
在大數(shù)據(jù)環(huán)境下,企業(yè)計(jì)算機(jī)信息安全的管理維度影響不容忽視,它體現(xiàn)在人員管理、大數(shù)據(jù)管理與第三方信息安全等多個方面。
在人員管理管理方面,大數(shù)據(jù)為企業(yè)所提供的是由傳統(tǒng)集中辦公向分散式辦公的工作模式轉(zhuǎn)變,它創(chuàng)建了企業(yè)自帶辦公設(shè)備BYOD (Bring Your Own Device),BYOD一方面能有效提高員工積極性,一方面也能為企業(yè)購置辦公設(shè)備節(jié)約成本,不過它也能影響到企業(yè)計(jì)算機(jī)的信息安全管理事項(xiàng),移動設(shè)備大幅度降低了企業(yè)對計(jì)算機(jī)系統(tǒng)安全的可控度,可能會難以發(fā)現(xiàn)來自于外部黑客及安全漏洞、計(jì)算機(jī)病毒對系統(tǒng)的入侵,一定程度上增加了信息泄漏的安全隱患。
在第三方信息安全管理方面,它可能會對企業(yè)信息安全帶來巨大影響,因?yàn)榈谌叫畔⑹切枰脕磉M(jìn)行加工分析的,但它對于企業(yè)計(jì)算機(jī)系統(tǒng)是否能形成保障實(shí)際上是難以被企業(yè)穩(wěn)定控制的,所以企業(yè)要確切保證第三方信息安全管理的有效性,基于大數(shù)據(jù)強(qiáng)化企業(yè)信息安全水平,利用分權(quán)式組織結(jié)構(gòu)來提高企業(yè)計(jì)算機(jī)系統(tǒng)及信息的利用效率,同時也增強(qiáng)大數(shù)據(jù)之于企業(yè)計(jì)算機(jī)系統(tǒng)的應(yīng)用實(shí)效性。
3 基于大數(shù)據(jù)優(yōu)化環(huán)境下的企業(yè)計(jì)算機(jī)信息安全防護(hù)策略
企業(yè)計(jì)算機(jī)信息安全對企業(yè)發(fā)展至關(guān)重要,為其建立安全防護(hù)體系首先要明確其信息安全管理是一項(xiàng)動態(tài)復(fù)雜的系統(tǒng)性工程。企業(yè)需要從管理、人員和技術(shù)3方面來滲透大數(shù)據(jù)意識及相關(guān)技術(shù)理念,為企業(yè)計(jì)算機(jī)系統(tǒng)構(gòu)筑防線,保護(hù)信息安全。
3.1 基于管理層面的計(jì)算機(jī)信息安全防護(hù)策略
社會企業(yè)其實(shí)就是大數(shù)據(jù)的主要來源,所以企業(yè)在對自身計(jì)算機(jī)信息安全進(jìn)行保護(hù)過程中需要面臨可能存在的技術(shù)單一、難以滿足企業(yè)信息安全需求等問題。企業(yè)需要基于大數(shù)據(jù)技術(shù)來建立計(jì)算機(jī)信息安全防護(hù)機(jī)制,從大數(shù)據(jù)本身出發(fā),做到對數(shù)據(jù)的有效收集和合理分析,準(zhǔn)確排查安全問題,建立企業(yè)計(jì)算機(jī)信息安全組織機(jī)構(gòu)。本文認(rèn)為,該計(jì)算機(jī)信息安全防護(hù)策略中應(yīng)該包含安全運(yùn)行監(jiān)管機(jī)制、信息安全快速響應(yīng)機(jī)制、信息訪問控制機(jī)制、信息安全管理機(jī)制以及災(zāi)難備份機(jī)制等等。在面對企業(yè)的關(guān)鍵性信息時,應(yīng)該在計(jì)算機(jī)系統(tǒng)中設(shè)置信息共享圈,盡可能降低外部不相關(guān)人員對于某些機(jī)密信息的接觸可能性,所以在此共享圈中還應(yīng)該設(shè)置信息共享層次安全結(jié)構(gòu),為信息安全施加“雙保險”。另一方面,企業(yè)管理層也應(yīng)該為計(jì)算機(jī)系統(tǒng)建立信息安全生態(tài)體系,一方面為保護(hù)管理層信息流通與共享,一方面也希望在大數(shù)據(jù)環(huán)境下實(shí)現(xiàn)信息技術(shù)的有效交流,為管理層提出企業(yè)決策提供有力技術(shù)支持。
再者,企業(yè)應(yīng)該完善大數(shù)據(jù)管理制度。首先企業(yè)應(yīng)該明確大數(shù)據(jù)主要由非結(jié)構(gòu)化和半結(jié)構(gòu)化數(shù)據(jù)共同組成,所以要明確計(jì)算機(jī)系統(tǒng)中的所有大數(shù)據(jù)信息應(yīng)該通過周密分析與計(jì)算才能最終獲取,做到對系統(tǒng)中大數(shù)據(jù)存儲、分析、應(yīng)用與管理等流程的有效規(guī)范。舉例來說,某些企業(yè)在管理存儲于云端的第三方信息時,就應(yīng)該履行與云服務(wù)商所簽訂的第三方協(xié)議,在此基礎(chǔ)上來為企業(yè)自身計(jì)算機(jī)系統(tǒng)設(shè)置單獨(dú)隔離單元,防止信息泄露現(xiàn)象。另一方面,企業(yè)必須實(shí)施基于大數(shù)據(jù)的組織結(jié)構(gòu)扁平化建設(shè),這樣也能確保計(jì)算機(jī)系統(tǒng)信息流轉(zhuǎn)速度無限加快,有效降低企業(yè)基層員工與高層管理人員及領(lǐng)導(dǎo)之間的信息交流障礙[2]。
3.2基于人員層面的計(jì)算機(jī)信息安全防護(hù)策略
目前企業(yè)人員所應(yīng)用計(jì)算機(jī)個人系統(tǒng)已經(jīng)趨向于移動智能終端化,許多BYOD工作方案紛紛出現(xiàn)。這些工作方案利用智能移動終端連接企業(yè)內(nèi)部網(wǎng)絡(luò),可以實(shí)現(xiàn)對企業(yè)數(shù)據(jù)庫及內(nèi)部信息的有效訪問,這雖然能夠提高員工的工作積極性,節(jié)約企業(yè)購置辦公設(shè)備成本,但實(shí)際上它也間接加大了企業(yè)對算機(jī)信息安全的管理難度。具體來說,企業(yè)無法跟蹤員工的移動終端來監(jiān)控黑客行蹤,無法第一時間發(fā)現(xiàn)潛藏病毒對企業(yè)計(jì)算機(jī)系統(tǒng)及內(nèi)網(wǎng)安全的潛在威脅。因此企業(yè)需要針對員工個人來展開大數(shù)據(jù)背景下的信息流通及共享統(tǒng)計(jì),明確員工在工作進(jìn)程中信息的實(shí)際利用狀況。而且企業(yè)也應(yīng)該在基于保護(hù)大數(shù)據(jù)安全的背景下來強(qiáng)化員工信息安全教育,培養(yǎng)他們的信息安全意識,讓員工在使用BYOD進(jìn)行企業(yè)內(nèi)部計(jì)算機(jī)數(shù)據(jù)庫訪問及相關(guān)信息共享過程中提前主動做好數(shù)據(jù)防護(hù)工作,輔助企業(yè)共同保護(hù)內(nèi)部重要機(jī)密信息。
3.3基于安全監(jiān)管技術(shù)層面的計(jì)算機(jī)信息安全防護(hù)策略
在大數(shù)據(jù)環(huán)境中,企業(yè)如果僅僅依靠計(jì)算機(jī)軟件來維持信息安全已經(jīng)無法滿足現(xiàn)實(shí)安全需求,如果能從安全監(jiān)管技術(shù)層面來提出相應(yīng)保護(hù)方案則要配合大數(shù)據(jù)相關(guān)技術(shù)來實(shí)施??紤]到企業(yè)容易受到高級可持續(xù)攻擊(Advanced Persistent Threat)載體的威脅(形成隱藏APT),不易被計(jì)算機(jī)系統(tǒng)發(fā)覺,為企業(yè)信息帶來不可估量威脅,所以企業(yè)應(yīng)該基于大數(shù)據(jù)技術(shù)來尋找APT在實(shí)施網(wǎng)絡(luò)攻擊時所留下的隱藏攻擊記錄,利用大數(shù)據(jù)配合計(jì)算機(jī)系統(tǒng)分析來找到APT攻擊源頭,從源頭遏制它所帶來的安全威脅,這種方法在企業(yè)已經(jīng)被證實(shí)為可行方案。另外,也可以考慮對企業(yè)計(jì)算系統(tǒng)中重要信息進(jìn)行隔離存儲,利用較為完整的身份識別來訪問企業(yè)計(jì)算機(jī)管理系統(tǒng)。在這里會為每一位員工發(fā)放唯一的賬號密碼,并利用大數(shù)據(jù)來記錄員工在系統(tǒng)中操作的實(shí)時動態(tài),監(jiān)控他們的一切行為。企業(yè)要意識到大數(shù)據(jù)的財(cái)富化可能會導(dǎo)致計(jì)算機(jī)系統(tǒng)大量信息泄露,從而產(chǎn)生內(nèi)部威脅。所以在大數(shù)據(jù)背景下,應(yīng)該為計(jì)算機(jī)系統(tǒng)建立信息安全模式,利用其智能數(shù)據(jù)管理來實(shí)現(xiàn)系統(tǒng)的安全管理與自我監(jiān)控,盡可能減少人為操作所帶來的不必要失誤和信息篡改等安全問題。除此之外,企業(yè)也可以考慮建立大數(shù)據(jù)實(shí)時風(fēng)險模型,對計(jì)算機(jī)系統(tǒng)中所涉及的所有信息安全事件進(jìn)行有效管理,協(xié)助企業(yè)完成預(yù)警報告、應(yīng)急響應(yīng)以及風(fēng)險分析,做好對內(nèi)外部違規(guī)、誤操作行為的有效審計(jì),提高企業(yè)信息安全防護(hù)水平[3]。
4 總結(jié)
現(xiàn)代企業(yè)為保護(hù)計(jì)算機(jī)信息數(shù)據(jù)安全就必須與時俱進(jìn),結(jié)合大數(shù)據(jù)環(huán)境,利用信息管理、情報、數(shù)學(xué)模型構(gòu)建等多種科學(xué)理論來付諸實(shí)踐,分析大數(shù)據(jù)環(huán)境下可能影響到企業(yè)信息安全水平的各個因素,最后做出科學(xué)合理評價。本文僅僅從較淺角度分析了公司企業(yè)在大數(shù)據(jù)背景下對自身計(jì)算機(jī)信息安全的相關(guān)防護(hù)策略,希望為企業(yè)安全穩(wěn)定發(fā)展提供有益參考。
參考文獻(xiàn):
[1] 尹淋雨.大數(shù)據(jù)環(huán)境下企業(yè)信息安全水平綜合評價模型研究[D].安徽財(cái)經(jīng)大學(xué),2014:49-51.
篇6
關(guān)鍵詞 信息;安全;意識
中圖分類號:TP309 文獻(xiàn)標(biāo)識碼:A 文章編號:1671―7597(2013)021-132-02
1 信息安全意識的重要性
信息作為一種資產(chǎn),是企業(yè)或組織進(jìn)行正常商務(wù)運(yùn)作和管理不可或缺的資源,也是企業(yè)財(cái)產(chǎn)和個人隱私等的重要載體。與此同時,信息安全的重要性也越加凸顯:從最高層次來講,信息安全關(guān)系到國家的安全;對組織機(jī)構(gòu)來說,信息安全關(guān)系到正常運(yùn)作和持續(xù)發(fā)展;就個人而言,信息安全是保護(hù)個人隱私和財(cái)產(chǎn)的必然要求。無論是個人、企業(yè)還是國家,保持關(guān)鍵的信息資產(chǎn)的安全性都是非常重要的。
據(jù)統(tǒng)計(jì),世界上每分鐘就有2個企業(yè)因?yàn)樾畔踩珕栴}倒閉,而在所有的信息安全事故中,只有20%-30%是因?yàn)楹诳腿肭只蚱渌獠吭蛟斐傻模?0%-80%是由于內(nèi)部員工的疏忽或有意泄露造成的;同時78%的企業(yè)數(shù)據(jù)泄露是來自內(nèi)部員工的不規(guī)范操作。
因此企業(yè)員工信息安全意識的提升對企業(yè)整體信息安全起著至關(guān)重要的作用。
2 企業(yè)員工信息安全意識現(xiàn)狀
根據(jù)《2011年度中國企業(yè)員工信息安全意識現(xiàn)狀調(diào)研報告》中,企業(yè)員工在信息安全意識方面存在的20大問題如下:
1)有56.8%的受訪者采取的是不鎖抽屜、不鎖抽屜鑰匙放在抽屜里和鎖抽屜但鑰匙放在桌上或筆筒等地方這些不安全的抽屜物品保管行為。
2)擁有胸卡的受訪者中,接近半數(shù)的人曾經(jīng)外借過胸卡。與2010年的調(diào)查數(shù)據(jù)相比,經(jīng)常外借胸卡的比例有所上升。
3)在去陌生環(huán)境出差時,51.4%的受訪者不會主動了解自己工作或居住場所的緊急通道位置或樓層結(jié)構(gòu)圖,48.6%的受訪者會去主動了解。主動了解的比例比2010年的調(diào)查結(jié)果略有上升,但情況依然不算樂觀。
4)36.6%的受訪者會在辦公桌面放密級資料。
5)52.9%的受訪者表示自己所在企業(yè)的打印機(jī)附近有合同、通知等重要資料不及時回收,可以讓人任意看。
6)37.4%的人選擇會直接或者詢問下就讓尾隨的外部人員直接進(jìn)入辦公場所。
7)選擇數(shù)字+字母+符號+大小寫這種相對最為完全的口令/密碼設(shè)置規(guī)則的人所占比例僅為25.4%。
8)僅有30%受訪者對敏感數(shù)據(jù)會進(jìn)行分類和加密。
9)65%的受訪者電腦中數(shù)據(jù)不做備份或者不定期做備份。
10)接近50%的受訪者表示所在單位不會馬上對密級資料進(jìn)行粉碎處理。
11)接近50%的受訪者選擇不安全的設(shè)置電腦屏保、密碼方式。
12)有33%的受訪者會在電腦桌面存放密級資料。
13)39.2%的受訪者暫時離開電腦不會鎖屏。
14)當(dāng)收到熟悉發(fā)件人發(fā)送的自動播放flas或郵件內(nèi)部嵌入的網(wǎng)頁時,59.2%的人會看動畫、下載動畫、瀏覽網(wǎng)頁或點(diǎn)擊網(wǎng)頁鏈接。
15)1%的受訪者會點(diǎn)擊網(wǎng)頁上吸引自己的鏈接。
16)4%的受訪者遇到過惡意插件、病毒攻擊,還有19.2%的受訪者不確定自己是否遇到過。
17) 64.2%的受訪者不知道公司的信息安全策略的相關(guān)規(guī)定。
18)52.7%的受訪者遇到信息安全事件,不知道如何處理、自己處理或者找同事幫忙處理。
19)46.7%的受訪者不知道自己接觸信息的密級程度。
20)49.4%的受訪者認(rèn)為領(lǐng)導(dǎo)的信息安全意識一般、很差或者還不如自己。
3 信息安全案例分析
3.1 案例一
中國電力財(cái)務(wù)有限公司商業(yè)秘密泄露事件。(來源于:《國網(wǎng)公司信息安全通報》(2010年第1期))
事件經(jīng)過:2009年12月初,國家電監(jiān)會通報中國電力財(cái)務(wù)有限公司某員工使用的計(jì)算機(jī)中涉及公司商業(yè)秘密文件資料泄露。經(jīng)查,該員工將20余份資料(其中包括公司商業(yè)秘密文件)存入非公司轉(zhuǎn)配的個人移動存儲介質(zhì)并帶回家中,利用連接互聯(lián)網(wǎng)的計(jì)算機(jī)對該移動存儲介質(zhì)操作,由于其家中計(jì)算機(jī)存在空口令且未安裝安全補(bǔ)丁,感染了特洛伊木馬病毒,使存于移動存儲介質(zhì)的文件信息泄密。
暴露的問題:該事件暴露出雖然公司三令五申,嚴(yán)格“不上網(wǎng)、上網(wǎng)不”的紀(jì)律,但是部分員工缺乏保護(hù)商業(yè)秘密與工作資料的意識,違反公司“嚴(yán)禁在連接互聯(lián)網(wǎng)的計(jì)算機(jī)和移動存儲介質(zhì)上處理、存儲涉及企業(yè)秘密信息”的要求,利用非公司轉(zhuǎn)配的個人移動存儲介質(zhì)保存商業(yè)秘密信息,并違規(guī)接入互聯(lián)網(wǎng),而直接造成信息外泄事件。
3.2 案例二
上海世博會供電敏感信息泄露事件。(來源于:《國網(wǎng)公司信息安全通報(2010年第2期)》)
事件經(jīng)過:2010年春節(jié)前夕,國網(wǎng)公司接國家安全部所屬中國信息安全測評中心通報,發(fā)現(xiàn)涉及上海世博會的世博園區(qū)供電方案、保障方案、場館變電站建筑結(jié)構(gòu)圖、電氣主接線圖以及相關(guān)敏感資料和信息等泄露。經(jīng)查,此次信息安全事件是由于信息外網(wǎng)郵箱處理敏感資料所致,涉及上海公司生技、營銷、世博辦等有關(guān)管理和技術(shù)人員。
暴露出的問題:1)本次事件是上海公司少數(shù)員工信息安全意識淡薄,缺乏保護(hù)公司商業(yè)密碼和重要時期安全保電方案的意識,違背“不上網(wǎng)、上網(wǎng)不”的紀(jì)律和公司“嚴(yán)禁在信息外網(wǎng)和互聯(lián)網(wǎng)上處理、存儲涉及企業(yè)秘密和工作信息”的要求,在信息外網(wǎng)郵箱存儲敏感資料,且通過信息外網(wǎng)郵箱和社會共用郵箱向互聯(lián)網(wǎng)發(fā)送郵件而造成的信息泄密事件。2)上海公司部分信息外網(wǎng)郵件用戶采用初始弱口令,未執(zhí)行《國家電網(wǎng)公司信息系統(tǒng)口令管理暫行規(guī)定》中口令強(qiáng)度要求與定期更換的規(guī)定,未采取有效措施修改弱口令。相關(guān)技術(shù)督查隊(duì)伍未及時發(fā)現(xiàn)隱患并督促相應(yīng)單位和人員采取防范措施,是該事件發(fā)送的又一原因。
3.3 案例分析
以上兩件發(fā)生在國網(wǎng)公司系統(tǒng)內(nèi)的信息安全事件案例,在暴露出的問題分析中首要的都提到了:“員工信息安全意識淡薄”,可見引起信息安全事件的首要原因都是安全意識問題。
4 各層面人員應(yīng)具備的信息安全意識
技術(shù)人員、一般管理人、普通員工、企業(yè)領(lǐng)導(dǎo)四類人應(yīng)具有的以下方面的信息安全意識。
4.1 技術(shù)人員要有主動出擊、提前防范的意識
專業(yè)技術(shù)人員首先要提升自身的信息安全防范意識,不能只像普通員工一樣,只考慮自己不發(fā)生信息安全事件就行,技術(shù)人員要有更強(qiáng)的責(zé)任心,主動承擔(dān)起企業(yè)信息安全防護(hù)工作,不要只是被動的接收領(lǐng)導(dǎo)或上級單位分配的任務(wù),要主動對信息系統(tǒng)及基礎(chǔ)設(shè)施進(jìn)行隱患排查、查缺補(bǔ)漏,要主動承擔(dān)起宣傳、教育普通員工的職責(zé),普及信息安全知識,提升企業(yè)全員信息安全意識,為企業(yè)信息安全提前做好防范工作。
4.2 管理人員要有及時補(bǔ)救、亡羊補(bǔ)牢的意識
當(dāng)發(fā)生信息安全事件時,管理人員首先應(yīng)該做的是及時補(bǔ)救事件造成的危害,將信息安全事件的損失和危害降低到最小。其次應(yīng)當(dāng)客觀分析事件發(fā)生的原因,是人為的錯誤要及時糾正,是系統(tǒng)的漏洞要及時封堵,是設(shè)備的缺陷要及時消缺,是別人的責(zé)任要及時教育,不要推卸責(zé)任、置之不理,要謹(jǐn)記亡羊補(bǔ)牢,為時不晚。
4.3 普通員工要有不越雷池、不觸紅線的意識
普通員工雖然不能掌握信息安全技術(shù),但必須有較強(qiáng)的信息安全意識,要將信息安全與生產(chǎn)安全同樣看待,要牢記公司在信息安全方面的規(guī)定和要求,密碼一定要用強(qiáng)的,一機(jī)一定不能兩用,信息一定不能上網(wǎng),上網(wǎng)信息一定不能,不要對觸犯信息安全紅線抱有僥幸心理,不要越入信息安全的雷池半步。
4.4 企業(yè)領(lǐng)導(dǎo)要有關(guān)心信息、重視安全的意識
企業(yè)領(lǐng)導(dǎo)對信息安全的重視程度,是決定企業(yè)信息安全狀況的主要因素。高層領(lǐng)導(dǎo)重視,中層領(lǐng)導(dǎo)必重視;中層領(lǐng)導(dǎo)重視,員工意識必提升。技術(shù)人員信息安全意識的提升在于企業(yè)領(lǐng)導(dǎo)的引導(dǎo),普通員工信息安全意識的提升在于企業(yè)領(lǐng)導(dǎo)嚴(yán)明的制度和考核的力度。要想讓技術(shù)人員有主動出擊、提前防范,及時補(bǔ)救、亡羊補(bǔ)牢的意識,企業(yè)領(lǐng)導(dǎo)就必須關(guān)心信息專業(yè)、重視信息安全,為技術(shù)人員提供良好的發(fā)展空間。要想讓普通員工要有不越雷池、不觸紅線的意識,企業(yè)領(lǐng)導(dǎo)就要有不敢讓其越雷池、觸紅線的手段。
5 提升信息安全意識的方法及措施
1)制作信息安全意識手冊、信息安全意識動畫短片、信息安全畫冊、信息安全意識鼠標(biāo)墊、信息安全意識海報、展板等信息安全意識產(chǎn)品。持之以恒地開展信息安全意識培訓(xùn)工作。通過這些產(chǎn)品,把信息安全意識的宣貫滲透到員工的生活中去,打造全方位、立體化的信息安全意識宣貫方式。
2)開展形式多樣的信息安全知識競賽活動,例如開展信息安全網(wǎng)上答題活動、組織現(xiàn)場知識競賽活動,通過活躍的競賽氣氛,激發(fā)員工學(xué)習(xí)信息安全知識的熱情,提升員工信息安全意識。
3)企業(yè)領(lǐng)導(dǎo)要高度重視信息安全,加大對信息安全事件的考核力度。
參考文獻(xiàn)
[1]北京谷安天下科技有限公司,2011年度中國企業(yè)員工信息安全意識現(xiàn)狀調(diào)研報告[M].
[2]國網(wǎng)公司信息安全通報[M].2010,1.
[3]國網(wǎng)公司信息安全通報[M].2010,2期.
篇7
建立金融信息安防體系刻不容緩
“互聯(lián)網(wǎng)+金融”成為傳統(tǒng)金融行業(yè)轉(zhuǎn)型“觸電”的新模式,新形式下的數(shù)據(jù)安全狀況變得越發(fā)嚴(yán)重,金融行業(yè)已經(jīng)淪為數(shù)據(jù)泄密的重災(zāi)區(qū),再次給人們敲響數(shù)據(jù)安全的警鐘,其中直接由于純粹是信息安全技術(shù)缺失所導(dǎo)致的風(fēng)險案例不勝枚舉。麥肯錫公司在其的《中國銀行業(yè)創(chuàng)新系列報告》中指出,2015年年底,中國互聯(lián)網(wǎng)金融的市場規(guī)模達(dá)到12萬-15萬億元,占GDP的近20%。互聯(lián)網(wǎng)金融用戶人數(shù)已經(jīng)超過5億,這樣龐大的用戶群和涉及面,如果信息安全事件愈演愈烈甚至失控,將會對國家和社會造成不可估量的損失,互聯(lián)網(wǎng)金融信息安全已經(jīng)刻不容緩。
目前,金融企業(yè)內(nèi)部IT系統(tǒng)更為復(fù)雜化,外包合作使內(nèi)部風(fēng)險管理更加復(fù)雜,BYOD(攜帶自己的設(shè)備辦公)使企業(yè)信息資產(chǎn)無處不在,大數(shù)據(jù)使核心資產(chǎn)淹沒在之中難以識別,云計(jì)算打破了傳統(tǒng)的網(wǎng)絡(luò)邊界防護(hù)。李晨指出,企業(yè)安全威脅也在逐漸升級,正在從以蠕蟲病毒、拒絕服務(wù)攻擊、溢出類漏洞攻擊、注入等Web攻擊為主的傳統(tǒng)威脅升級到以0Day攻擊、多態(tài)及變形等逃避技術(shù)、多階段組合攻擊、有組織的定向攻擊為主要手段的新一代威脅,企業(yè)安全運(yùn)維面臨更多的新的挑戰(zhàn)。與會專家再次呼吁,建立金融信息安全防御體系刻不容緩。
綠盟科技智慧安全2.0戰(zhàn)略應(yīng)運(yùn)而生
信息安全行業(yè)專家綠盟科技積極應(yīng)對,幫助銀行、保險等各類企業(yè)實(shí)現(xiàn)變革,助力金融智能安全運(yùn)營防線的構(gòu)建,綠盟科技智慧安全2.0戰(zhàn)略應(yīng)運(yùn)而生。
綠盟科技智慧安全2.0戰(zhàn)略是一個企業(yè)整體運(yùn)營的升級換代過程,它幫助企業(yè)安全防護(hù)真正做到智能、敏捷和可運(yùn)營。該方案包含綠盟云、安全態(tài)勢感知解決方案、云計(jì)算安全解決方案以及下一代威脅防御解決方案。李晨表示,態(tài)勢感知使安全耳聰目明、軟件定位給安全運(yùn)維帶來敏捷應(yīng)變、縱深防御帶來彈性和生存能力。它緊緊圍繞用戶需求,大力提升線上也就是云中的安全能力,打通技術(shù)、產(chǎn)品和服務(wù)、解決方案、交付運(yùn)營等各個環(huán)節(jié),構(gòu)建真正的智能安全防御系統(tǒng)。
同時,綠盟科技可協(xié)助客戶建立企業(yè)安全應(yīng)急響應(yīng)中心(SRC),幫助企業(yè)建立和維護(hù)自主可控的自有業(yè)務(wù)漏洞收集平臺,從而避免漏洞在第三方平臺上暴露。通過SRC的運(yùn)維數(shù)據(jù)積累,企業(yè)建立貼合自有業(yè)務(wù)的漏洞知識庫來提升安全團(tuán)隊(duì)技術(shù)能力,并且通過SRC可與白帽子直接建立長期的信任互贏關(guān)系,幫助企業(yè)更從容地面對安全威脅。
數(shù)據(jù)安全歷來是企業(yè)信息安全工作的“最高使命”。綠盟科技適時推出了數(shù)據(jù)泄露防護(hù)系統(tǒng),基于數(shù)據(jù)存在的三種形態(tài)(存儲、使用、傳輸),對數(shù)據(jù)生命周期中的各種泄密途徑進(jìn)行全方位的監(jiān)查和防護(hù),保證了敏感數(shù)據(jù)泄露行為事前能被發(fā)現(xiàn),事中能被攔截和監(jiān)查,事后能被追溯。
篇8
在信息安全管理中最容易出現(xiàn)問題的就是信息的儲存和傳輸,在企業(yè)的網(wǎng)絡(luò)信息使用中也是這一環(huán)節(jié)最容易出現(xiàn)問題,比如企業(yè)信息系統(tǒng)中各種內(nèi)部服務(wù)器,以及用戶使用的計(jì)算機(jī)都容易對信息系統(tǒng)的安全造成威脅[1]。計(jì)算機(jī)的使用中最容易造成安全隱患的就是計(jì)算機(jī)中最常見的軟件病毒,病毒的入侵會毀壞計(jì)算機(jī)的數(shù)據(jù),最終導(dǎo)致極端及無法使用。最簡單地說,計(jì)算機(jī)病毒實(shí)際上就是一種惡意破壞系統(tǒng)程序的軟件,趁使用者不注意的情況下,入侵到計(jì)算機(jī)中,破壞計(jì)算機(jī)中的數(shù)據(jù),影響計(jì)算機(jī)的正常使用,再嚴(yán)重的會導(dǎo)致整個系統(tǒng)的癱瘓,使鏈接這臺計(jì)算機(jī)的其他計(jì)算機(jī)也無法使用。還有一種就是黑客的攻擊,黑客對于計(jì)算機(jī)的攻擊屬于人為方式,就是指在沒有經(jīng)過企業(yè)計(jì)算機(jī)系統(tǒng)授權(quán)的情況下,對系統(tǒng)進(jìn)行的惡意攻擊其網(wǎng)站系統(tǒng),對整個系統(tǒng)造成比較嚴(yán)重的傷害,最終導(dǎo)致系統(tǒng)中存入的數(shù)據(jù)泄露,對企業(yè)造成無法彌補(bǔ)的損失[2]。
在企業(yè)中也會出現(xiàn)信息安全管理的漏洞,因?yàn)槠髽I(yè)中的信息管理必然會在每個部門之間相互傳輸,并且整合成最終完整的需要儲存的信息,這樣的過程中就很容易導(dǎo)致信息的丟失,人工操作的信息鏈接,很容易在中間的時候由于疏忽被非法人員抓到可乘之機(jī),最終導(dǎo)致信息系統(tǒng)失控。很多企業(yè)重視利益的發(fā)展,并沒有在乎企業(yè)信息的保護(hù),因此在整個網(wǎng)絡(luò)信息儲存的過程中就會造成沒有適當(dāng)?shù)闹萍s機(jī)制,最終造成安全漏洞和隱患。企業(yè)的制約對于任何一個部門來說都具有非常好的管理和實(shí)效性,因此一旦企業(yè)在信息管理上沒有一個好的制約管理機(jī)制,就很容易出現(xiàn)安全隱患和漏洞。
2企業(yè)信息安全管理的策略
首先企業(yè)要在電腦病毒和黑客方面入手,阻擋威脅信息安全的客觀因素,既然企業(yè)想在整個工作中使用網(wǎng)絡(luò)信息,那么就應(yīng)該在專業(yè)的軟件供應(yīng)商處購買比較安全的電腦系統(tǒng)漏洞補(bǔ)丁,以及安全系數(shù)較高,非??煽康臍⒍拒浖?。這樣就能夠最初級的防范電腦中毒和電腦黑客。對于新的設(shè)備一定要首先做好安全監(jiān)察,在電腦上安裝比較可靠的殺毒軟件,并且每個員工,每臺電腦上都有非常高強(qiáng)度的密碼,這樣就能夠有效防治黑客的入侵。找出專門人員,對電腦中重要的數(shù)據(jù),進(jìn)行每天備份,如果數(shù)據(jù)較多,公司比較大,最少也要做到每周備份,然后每個月末進(jìn)行以此校對和審核,這樣就能夠放心使用計(jì)算機(jī),不用擔(dān)心系統(tǒng)崩潰或者數(shù)據(jù)丟失了[3]。在企業(yè)中建立信息安全管理機(jī)制小組,這一小組需要選用非常熟悉電腦的專業(yè)人員,最好是曾經(jīng)從事過電腦維修工作的員工,這樣可以在大家沒有合理使用電腦,造成系統(tǒng)崩潰的時候,對信息進(jìn)行及時的恢復(fù),以便挽回企業(yè)損失。
3總結(jié)
篇9
關(guān)鍵詞:企業(yè)內(nèi)部控制;信息化;安全管理
隨著信息化技術(shù)的發(fā)展,企業(yè)信息化工具擴(kuò)展度越來越高,擴(kuò)展面越來越廣,大大提升了企業(yè)運(yùn)營及管理的便捷性,企業(yè)依賴系統(tǒng)大數(shù)據(jù)的信息處理和分析來提升效率,信息化技術(shù)應(yīng)用為企業(yè)創(chuàng)造了不可替代的價值。企業(yè)財(cái)務(wù)系統(tǒng)、資源管理系統(tǒng)、辦公系統(tǒng)等形成企業(yè)信息化綜合平臺,隨著信息數(shù)據(jù)的大量輸入、輸出、交換、應(yīng)用,信息處理的便捷使企業(yè)信息化安全工作越來越重要。任何信息安全方面缺失或弱化都可能造成工作的中止、信息的丟失或泄露,使企業(yè)產(chǎn)生影響或經(jīng)濟(jì)損失,以信息化平臺為重要工作工具的單位,影響更加重大。4G時代的到來,為企業(yè)信息走向移動化鋪好了平臺,也為企業(yè)信息安全管理提出了新一步要求。
我國的《企業(yè)內(nèi)部控制基本規(guī)范》中提到信息化安全管理問題,該規(guī)范第四十一條指出:“企業(yè)應(yīng)當(dāng)利用信息技術(shù)促進(jìn)信息的集成與共享,充分發(fā)揮信息技術(shù)在信息溝通中的作用。企業(yè)應(yīng)當(dāng)加強(qiáng)對信息系統(tǒng)開發(fā)與維護(hù)、訪問與變更、數(shù)據(jù)輸入與輸出、文件儲存與保管、網(wǎng)絡(luò)安全等方面的控制,保證信息系統(tǒng)安全穩(wěn)定運(yùn)行?!彼孕畔⒒踩芾響?yīng)為現(xiàn)代企業(yè)內(nèi)部控制管理重要內(nèi)容,如何優(yōu)化信息化管理,提升信息化安全,成為需要思考的問題。
一、信息化安全管理分析
企業(yè)信息化安全管理包括物理安全管理、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、應(yīng)用安全管理等,內(nèi)部控制的實(shí)施有助于預(yù)防信息化管理下企業(yè)信息數(shù)據(jù)尤其是財(cái)務(wù)數(shù)據(jù)丟失的風(fēng)險,降低借助信息系統(tǒng)舞弊的可能性,保證企業(yè)各項(xiàng)經(jīng)營活動有效運(yùn)行。企業(yè)應(yīng)通過企業(yè)信息化安全工作分析,定期進(jìn)行信息化安全工作檢查,落實(shí)信息化安全內(nèi)部控制管理。
(一)物理安全內(nèi)部控制管理
1.硬件安全
信息化處理以電腦、服務(wù)器、存儲設(shè)備、網(wǎng)絡(luò)設(shè)備、安全設(shè)備作為硬件設(shè)備,電腦等信息終端設(shè)備不完善或故障會影響辦公;服務(wù)設(shè)備如服務(wù)器、存儲設(shè)備的損壞,會直接造成數(shù)據(jù)的丟失和數(shù)據(jù)處理的中斷;網(wǎng)絡(luò)設(shè)備如路由器、交換機(jī)的損壞,會讓系統(tǒng)停止。沒有安全設(shè)備或安全設(shè)備不工作會讓系統(tǒng)受外界所攻擊或盜取重要信息。企業(yè)信息化安全管理應(yīng)對硬件安全有應(yīng)急預(yù)案,增加必要的備用設(shè)備,如服務(wù)器、路由器、交換機(jī)等,設(shè)備一旦損壞,備用設(shè)備馬上進(jìn)入工作狀態(tài),使業(yè)務(wù)不中止或恢復(fù)時間短。設(shè)備應(yīng)支持雙路電源供電,對于有可能的停電,企業(yè)應(yīng)準(zhǔn)備和啟用備用電源。
2.信息設(shè)備環(huán)境安全
環(huán)境安全包含防火、防盜、溫度、濕度、潔凈度等環(huán)境安全,只有安全的信息設(shè)備環(huán)境才能保障信息設(shè)備正常、高效工作,防范設(shè)備滅失或信息損失。對于一個大型或中型企業(yè)應(yīng)專門建設(shè)符合上述環(huán)境要素的機(jī)房,服務(wù)器等設(shè)備應(yīng)放在機(jī)房,因機(jī)器不間斷運(yùn)轉(zhuǎn)造成溫度較高,應(yīng)配備精密空調(diào)等制冷設(shè)備,確保溫濕度得到精確控制,服務(wù)器的放置空間要合理,保持空氣的流通并符合設(shè)備散熱需求。機(jī)房配置消防報警裝置、氣體滅火裝置,以應(yīng)對突發(fā)火災(zāi)事件。機(jī)房重地應(yīng)有門禁管理,確保防盜和人為破壞的發(fā)生,信息化管理人員應(yīng)就機(jī)房建設(shè)及日常管理進(jìn)行檢查。
另外移動辦公設(shè)備(筆記本電腦、平板電腦、手機(jī))的廣泛使用使設(shè)備不安全性增加,云技術(shù)、云方案不斷推新應(yīng)用,使移動辦公增加,企業(yè)應(yīng)對于移動辦公設(shè)備丟失制訂預(yù)案,對重要移動設(shè)備做防盜防丟失部署,以使設(shè)備被盜或丟失時由信息管理員實(shí)施遠(yuǎn)程鎖定,阻止非法入侵或直接銷毀設(shè)備中的數(shù)據(jù)。
3.數(shù)據(jù)安全
數(shù)據(jù)的安全分為數(shù)據(jù)保護(hù)、數(shù)據(jù)保密和數(shù)據(jù)恢復(fù)。存儲設(shè)備是數(shù)據(jù)的載體,也是實(shí)施信息化企業(yè)的生命,數(shù)據(jù)丟失可以是致命的,一個安全穩(wěn)定的存儲設(shè)備對數(shù)據(jù)保護(hù)至關(guān)重要。重要數(shù)據(jù)應(yīng)以加密存儲,存儲介質(zhì)廢棄時的完全抹除是數(shù)據(jù)保密應(yīng)注意事項(xiàng),可使用硬件自加密硬盤簡化數(shù)據(jù)保密過程。而存儲備份和恢復(fù)方案的實(shí)施是數(shù)據(jù)安全的最后一道防線,可以在事件發(fā)生后數(shù)據(jù)得以恢復(fù)。企業(yè)應(yīng)及時做好數(shù)據(jù)備份、異地備份,防范火災(zāi)、地震等不可預(yù)知事項(xiàng)帶來的數(shù)據(jù)滅失。企業(yè)應(yīng)做出數(shù)據(jù)恢復(fù)預(yù)案并進(jìn)行演習(xí)以應(yīng)對可能的數(shù)據(jù)安全事故。
(二)網(wǎng)絡(luò)安全與信息傳輸安全內(nèi)部控制管理
網(wǎng)絡(luò)提供了便捷的信息傳遞、快速的信息查詢,實(shí)現(xiàn)多人多組織的便捷工作,但也帶來網(wǎng)絡(luò)風(fēng)險。企業(yè)首先應(yīng)做好網(wǎng)絡(luò)訪問控制,最主要的措施是建立有效的防火墻,應(yīng)檢查企業(yè)網(wǎng)絡(luò)設(shè)備是否安裝了有效的防火墻,防火墻的版本是否能及時最新,是否安排專門人員定期通過收集分析網(wǎng)絡(luò)行為、安全日志等進(jìn)行入侵檢測,檢查訪問控制權(quán)限審批授予是否得當(dāng),是否對不適當(dāng)?shù)娜俗鲈L問權(quán)限的撤銷管理。
終端用戶操作不當(dāng),如違規(guī)安裝軟件或互聯(lián)網(wǎng)資訊點(diǎn)擊可能使病毒侵入網(wǎng)絡(luò),故企業(yè)防止內(nèi)部局域網(wǎng)風(fēng)險,需規(guī)范終端用戶操作,對網(wǎng)上下載文件有必要要求及管理。針對承載保密信息的電腦,企業(yè)應(yīng)專機(jī)專用并禁止與外網(wǎng)進(jìn)行連接。對于有特殊安全需求的部門可部署桌面云方案,將數(shù)據(jù)和操作安全策略放置到服務(wù)器上統(tǒng)一管理。企業(yè)可通過部署網(wǎng)絡(luò)防病毒軟件并實(shí)時更新保證各終端使用相同的安全策略,避免個體不正確的安全習(xí)慣,保證定期進(jìn)行病毒和惡意軟件的查殺和清除,保障系統(tǒng)不因病毒侵入而崩潰,是信息化安全內(nèi)控管理的有效手段。
運(yùn)營商的線路故障,可能造成整個網(wǎng)絡(luò)信息溝通中斷,雖然幾率較少,但對于以信息化工具為重要手段的單位影響會很大;為防止外部網(wǎng)絡(luò)中斷,檢查評估是否需要選擇兩家運(yùn)營商,保證信息傳輸?shù)恼!?/p>
(三)系統(tǒng)安全內(nèi)部控制管理
軟件是信息化實(shí)現(xiàn)的載體,所有信息都是基于軟件進(jìn)行輸入、輸出、運(yùn)算、分析和應(yīng)用的。
軟件安全成為一個越來越不容忽視的問題,軟件漏洞會造成信息丟失、信息泄露。軟件病毒會造成系統(tǒng)崩潰、信息錯誤。提升軟件安全性,是企業(yè)信息化建設(shè)的重要環(huán)節(jié)。
企業(yè)的軟件安全管理應(yīng)檢查是否使用可靠的系統(tǒng)操作平臺軟件,比如:Windows、Linux;是否安裝有效的防病毒軟件并及時更新,比如:卡巴斯基、諾頓等;是否選擇安全保障高的信息化應(yīng)用系統(tǒng)軟件,比如:SAP、Oracle、金蝶、用友軟件等;信息化軟件是否有穩(wěn)定后期保障服務(wù)。完善的軟件是信息化數(shù)據(jù)安全和信息化功能應(yīng)用的保證。
(四)應(yīng)用安全內(nèi)部控制管理
1.系統(tǒng)平臺應(yīng)用內(nèi)部控制管理
企業(yè)信息化最主要應(yīng)用是使用系統(tǒng)平成會計(jì)信息自動化處理與分析、實(shí)現(xiàn)業(yè)務(wù)流程記錄與信息傳遞。企業(yè)應(yīng)做到信息化平臺統(tǒng)籌規(guī)劃,使財(cái)務(wù)信息化和業(yè)務(wù)流程信息化充分結(jié)合,提高信息處理效率及信息管控力度,將企業(yè)的管理思想有效置入信息化流程使信息化平臺成為企業(yè)內(nèi)部控制管理的有效工具和手段。
企業(yè)信息化系統(tǒng)平臺應(yīng)用工作包括系統(tǒng)上線實(shí)施建設(shè)和系統(tǒng)日常運(yùn)維管理,都有內(nèi)部控制風(fēng)險點(diǎn)管理。系統(tǒng)上線實(shí)施建設(shè)為系統(tǒng)平臺應(yīng)用的基礎(chǔ),對企業(yè)信息化應(yīng)用起到關(guān)鍵作用。對于信息化應(yīng)用程度深的企業(yè),若實(shí)施不成功會給企業(yè)帶來經(jīng)濟(jì)損失乃至巨大風(fēng)險,為內(nèi)部控制管理重大風(fēng)險點(diǎn),應(yīng)予以高度重視。企業(yè)應(yīng)制定詳細(xì)的工作計(jì)劃及實(shí)施方案,優(yōu)化系統(tǒng)流程,制定編碼規(guī)則,項(xiàng)目經(jīng)理應(yīng)實(shí)施有效的進(jìn)度管理以保證系統(tǒng)上線成功,系統(tǒng)上線后應(yīng)對項(xiàng)目進(jìn)行驗(yàn)收,對應(yīng)用中發(fā)現(xiàn)問題予以改善。系統(tǒng)日常運(yùn)維管理(包括變更管理)是信息化有效穩(wěn)定運(yùn)行的保證,企業(yè)應(yīng)制定管理制度進(jìn)行規(guī)范化管理,信息化管理人員做好工作表單記錄,通過檢查表單記錄評估信息化工作開展是否得當(dāng)。
系統(tǒng)平臺應(yīng)用離不開系統(tǒng)流程與系統(tǒng)授權(quán)管理,只有信息化系統(tǒng)操作流程及權(quán)限設(shè)置合適,內(nèi)部控制管理工作才能有效開展,風(fēng)險得到即時控制。系統(tǒng)流程管理要求系統(tǒng)流程與企業(yè)管理流程文件相符;系統(tǒng)流程設(shè)置應(yīng)合理有效,以企業(yè)增值及反應(yīng)速度為原則,在實(shí)現(xiàn)內(nèi)部控制基礎(chǔ)上盡量做到流程簡化,體現(xiàn)內(nèi)部控制管理的全面性、重要性、制衡性、適應(yīng)性和成本效益性。授權(quán)管理為企業(yè)內(nèi)部控制管理關(guān)鍵點(diǎn),如何做好系統(tǒng)授權(quán)?首先,授權(quán)人適崗,要求系統(tǒng)授權(quán)人或批準(zhǔn)人對公司流程掌握,對內(nèi)部控制管理有清醒的認(rèn)識,對不相容崗位分離有清楚的把握,保證授權(quán)批準(zhǔn)人與執(zhí)行人分離,業(yè)務(wù)執(zhí)行人與審核人分離,執(zhí)行人和記錄人分離,物資保管人與記錄人分離,執(zhí)行業(yè)務(wù)人與物資保管人分離;其次,配備必要的授權(quán)審核人員,授權(quán)審核人員可以是企業(yè)內(nèi)控管理人員也可以是企業(yè)制度制訂及管理人員,在系統(tǒng)流程制訂時對授權(quán)設(shè)置進(jìn)行審核,定期開展授權(quán)審計(jì),以發(fā)現(xiàn)授權(quán)中問題,及時更正;再次,授權(quán)管理包括授權(quán)工作也包括撤銷授權(quán)工作,需及時做好離職離崗人員系統(tǒng)權(quán)限調(diào)整,以保證系統(tǒng)操作人權(quán)限適合。
鑒于系統(tǒng)平臺將企業(yè)信息做了大規(guī)模的集中,信息泄露的風(fēng)險加大,所以對于系統(tǒng)數(shù)據(jù)、信息引出(下載)的權(quán)限管理應(yīng)高度重視,尤其是關(guān)鍵數(shù)據(jù)及信息引出,避免信息批量式流出或關(guān)鍵信息被不適合人使用,給企業(yè)帶來災(zāi)難性損失或技術(shù)成果和管理成果被他人竊取。
2.密碼內(nèi)部控制管理
服務(wù)器、電腦、平臺系統(tǒng)進(jìn)入都需要密碼管理,企業(yè)應(yīng)要求操作人員有效設(shè)置密碼,不得將密碼告知他人,定期更換密碼,企業(yè)應(yīng)檢查企業(yè)員工外出離崗時有無告知他人密碼協(xié)助處理流程的行為。隨著技術(shù)進(jìn)步,企業(yè)可通過技術(shù)手段實(shí)施密碼管理。
3.電子郵件和即時交流工具安全管理
信息傳輸?shù)谋憬菪允剐畔⒒L(fēng)險加大,信息傳輸風(fēng)險包括重要信息流出后不受控制及內(nèi)部數(shù)據(jù)信息通過電子郵件、QQ等即時通訊工具方式泄露,企業(yè)應(yīng)評估重要崗位、重要文檔信息流出的風(fēng)險度,必要時使用信息安全軟件管理,進(jìn)行重要文檔加密或?qū)μ囟▍^(qū)域信息加密管理;通過網(wǎng)絡(luò)行為管理軟件跟蹤敏感文件和信息的泄露,使企業(yè)信息安全得到控制。對于即時通訊系統(tǒng)如QQ等可能帶來的病毒和入侵風(fēng)險,企業(yè)可根據(jù)信息化管理的重要程度確定是否部署內(nèi)部專用即時通訊系統(tǒng)予以防范。
(五)隨著信息技術(shù)的不斷發(fā)展與進(jìn)步,各種云平臺服務(wù)推出,服務(wù)提供商可以提供專業(yè)的機(jī)房、服務(wù)器、存儲、網(wǎng)絡(luò)、信息化平臺等供企業(yè)租用,企業(yè)只需付一定的服務(wù)費(fèi),為企業(yè)解決大部分信息化安全問題。使用云平臺服務(wù)要做好服務(wù)商的選擇,對于關(guān)鍵信息和數(shù)據(jù)采用做好方案選擇。
二、結(jié)語
篇10
關(guān)鍵詞:桌面安全管理;信息建設(shè);桌面終端;應(yīng)用
在信息技術(shù)飛速發(fā)展的大背景下,桌面終端已經(jīng)成為企業(yè)生產(chǎn)運(yùn)營的重要組成部分并被廣泛應(yīng)用于企業(yè)之中。但是受到種種原因的影響,桌面終端增多帶來了許多安全問題,威脅著企業(yè)的信息安全?;诖耍烂姘踩芾硐到y(tǒng)應(yīng)運(yùn)而生。桌面安全管理系統(tǒng)簡稱BES,是一種基于企業(yè)桌面客戶端內(nèi)網(wǎng)安全管理系統(tǒng),對客戶端系統(tǒng)安全漏洞和安全隱患進(jìn)行評估的管理控制平臺。本文簡要分析了目前我國企業(yè)桌面計(jì)算機(jī)系統(tǒng)的安全現(xiàn)狀,主要研究桌面安全管理系統(tǒng)在企業(yè)信息建設(shè)中的應(yīng)用,這對于企業(yè)的信息建設(shè)而言具有重要現(xiàn)實(shí)意義。
1目前企業(yè)桌面計(jì)算機(jī)系統(tǒng)的安全狀況
桌面終端系統(tǒng)因?yàn)椴僮鞣奖愕葍?yōu)點(diǎn)而被廣泛應(yīng)用,但由于計(jì)算機(jī)數(shù)目過多過雜、內(nèi)部員工的不當(dāng)操作等因素導(dǎo)致目前企業(yè)桌面計(jì)算機(jī)系統(tǒng)存在著許多問題:(1)沒有嚴(yán)格對待外網(wǎng)接入工作,容易讓外網(wǎng)接入盜取企業(yè)信息。很多企業(yè)為了更好地管理,便將許多電腦連成一個整體來進(jìn)行高效運(yùn)營。但是這么做也存在一個弊端:給外網(wǎng)入侵帶來可乘之機(jī),由于計(jì)算機(jī)管理人員不能使每臺計(jì)算機(jī)都能得到合理配置,因此容易讓外網(wǎng)接入,造成企業(yè)信息泄露等損失。(2)缺乏有序規(guī)劃,設(shè)備配置良莠不齊。現(xiàn)階段我國很多企業(yè)計(jì)算機(jī)系統(tǒng)設(shè)備配置混亂且質(zhì)量參差不齊,給維修以及耗材的配備增加了成本。(3)隨著信息技術(shù)的飛速發(fā)展,涌現(xiàn)出來的許多操作系統(tǒng)以及軟件給企業(yè)系統(tǒng)安全管理帶來巨大的壓力。(4)缺乏統(tǒng)一的手段統(tǒng)計(jì)分析桌面運(yùn)行狀況,缺乏跟蹤監(jiān)督桌面設(shè)備受到侵害的狀況,缺乏跟蹤監(jiān)測安全漏洞的修復(fù)狀況。(5)一些企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜,十分難管理。加上一些內(nèi)部員工的不良操作以及對移動存儲介質(zhì)使用的隨意性容易導(dǎo)致企業(yè)信息泄露?;谀壳捌髽I(yè)桌面計(jì)算機(jī)系統(tǒng)的安全現(xiàn)狀,企業(yè)需要實(shí)施桌面安全管理系統(tǒng)來解決桌面終端存在的問題,有效地保護(hù)企業(yè)的信息安全。
2桌面安全管理系統(tǒng)在企業(yè)信息建設(shè)中的具體應(yīng)用
2.1系統(tǒng)補(bǔ)丁管理
目前我國很多企業(yè)操作人員在應(yīng)用桌面安全管理系統(tǒng)過程中會出現(xiàn)安裝完系統(tǒng)后就沒有再打過補(bǔ)丁的現(xiàn)象,很多用戶也缺乏系統(tǒng)升級的意識,對數(shù)據(jù)庫系統(tǒng)以及應(yīng)用程序不打補(bǔ)丁升級。桌面安全管理系統(tǒng)的補(bǔ)丁管理是及時地更新系統(tǒng)漏洞的特征以及系統(tǒng)補(bǔ)丁源,保證補(bǔ)丁服務(wù)器能夠及時獲取新的系統(tǒng)漏洞特征和補(bǔ)丁源。桌面安全管理系統(tǒng)自動地收集、統(tǒng)計(jì)以及檢測所管理桌面終端系統(tǒng)的漏洞信息和補(bǔ)丁安裝進(jìn)度,隨后根據(jù)每一臺桌面終端操作系統(tǒng)以及已經(jīng)安裝的補(bǔ)丁情況,打包、分配、安裝所需要的補(bǔ)丁。桌面安全管理系統(tǒng)可以自動對漏洞進(jìn)行及時檢測修復(fù),保障系統(tǒng)的安全。
2.2IT資產(chǎn)管理
桌面安全管理系統(tǒng)根據(jù)所管理范圍的桌面終端系統(tǒng)的軟件和硬件資產(chǎn)變更進(jìn)行管理,以小時、天、周為周期通過軟件或者人工只能收集資產(chǎn)信息,然后再將所收集的信息納入資產(chǎn)信息庫。桌面安全管理人員根據(jù)資產(chǎn)編號、資產(chǎn)所歸屬部門、資產(chǎn)使用人等信息進(jìn)行查詢和管理,最后定時生成資產(chǎn)信息報表。在桌面安全管理系統(tǒng)控制臺管理中,管理人員可以清楚地了解有多少計(jì)算機(jī)沒有安裝桌面安全管理系統(tǒng),利于管理人員掌握網(wǎng)絡(luò)資產(chǎn)數(shù)據(jù)。
2.3軟件分發(fā)
在安裝軟件時,很多企業(yè)用戶因?yàn)橛?jì)算機(jī)水平良莠不齊等原因無法自行完成。一些通用軟件或者專業(yè)軟件覆蓋范圍廣,因此利用軟件分發(fā)功能便可以自動化部署網(wǎng)絡(luò)客戶機(jī)的各個軟件,確保版本軟件以及配置保持同一性。桌面安全系統(tǒng)維護(hù)人員還要根據(jù)企業(yè)的實(shí)際需要來研究分析桌面安全管理系統(tǒng)的軟件開發(fā)功能,編寫包含工具軟件、系統(tǒng)軟件、補(bǔ)丁等常用軟件的自動安裝包以及自動卸載包,最后根據(jù)客戶的實(shí)際需要進(jìn)行軟件分發(fā),這極大地降低了管理人員的工作強(qiáng)度,提高了工作效率。
2.4外接設(shè)備的管理
統(tǒng)一管理所有安裝了客戶端主機(jī)的外接設(shè)備,管理人員只要在控制中心進(jìn)行相應(yīng)配置后便可以控制是否允許USB接口、光驅(qū)、串口等外接設(shè)備的接入。同時值得注意的是,在管理人員對USB接口進(jìn)行管理時,用戶使用USB鍵盤、鼠標(biāo)不會受到限制,只有當(dāng)使用USB硬盤等存儲設(shè)備時才會受到限制。
2.5病毒防護(hù)管理
桌面安全管理系統(tǒng)可以很好地對客戶機(jī)的病毒防護(hù)情況進(jìn)行監(jiān)控,包括是否安裝了病毒防護(hù)軟件、是否將病毒代碼庫升級為最新等。在系統(tǒng)控制臺上,所有客戶機(jī)的信息都集合在一起,管理人員可以更好地管理。一些客戶機(jī)違規(guī)安裝了某些病毒防護(hù)軟件,或者是同時安裝了兩種病毒防護(hù)軟件,可能會導(dǎo)致系統(tǒng)運(yùn)行速度緩慢,增加了管理人員和維護(hù)人員的工作負(fù)擔(dān)。針對這種情況,桌面安全管理系統(tǒng)可以識別計(jì)算機(jī)屬性,統(tǒng)計(jì)違規(guī)客戶機(jī)信息,并采取限制使用網(wǎng)絡(luò)資源等方法來使用戶卸載違規(guī)安裝的病毒防護(hù)軟件,促進(jìn)病毒防護(hù)管理的規(guī)范化、合理化。
2.6遠(yuǎn)程維護(hù)
桌面安全管理系統(tǒng)的遠(yuǎn)程維護(hù)有兩種方式,分別是遠(yuǎn)程桌面查看以及遠(yuǎn)程桌面控制,通過遠(yuǎn)程維護(hù)方式,管理維護(hù)人員可以進(jìn)行遠(yuǎn)程診斷以及修復(fù),極大提高了工作效率。與此同時,遠(yuǎn)程維護(hù)還支持客戶端確認(rèn)的過程,如遇客戶沒有確認(rèn)就不能接管客戶終端。終端遠(yuǎn)程維護(hù)服務(wù)只在需要時開啟,此外使用動態(tài)密碼可以確保遠(yuǎn)程維護(hù)服務(wù)的安全性。
3結(jié)語
綜上所述,桌面安全管理系統(tǒng)充分運(yùn)用了信息安全管理技術(shù)來提高企業(yè)信息建設(shè)水平和安全管理效率,加強(qiáng)對網(wǎng)絡(luò)客戶端的控制并進(jìn)行實(shí)時監(jiān)控,集成其他網(wǎng)絡(luò)安全設(shè)備為可靠的、安全的局域網(wǎng)絡(luò),極大地鞏固加強(qiáng)了對企業(yè)信息安全的保障。此外,桌面安全管理系統(tǒng)雖然越來越受到重視,但其在應(yīng)用領(lǐng)域仍處于比較不成熟狀態(tài),需要企業(yè)進(jìn)行進(jìn)一步探究。
參考文獻(xiàn)