企業信息安全形勢精選(九篇)
前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的企業信息安全形勢主題范文,僅供參考,歡迎閱讀并收藏。
第1篇:企業信息安全形勢范文
影響現代電力企業安全生產的工作有很多,比如人員素質、電氣設備質量、內外部環境以及車輛等。但是從整體上來講,現代企業管理可以分成質量管理、安全管理以及進程管理。車輛安全管理工作是電力企業安全管理工作中非常重要的組成部分,隨著現代電力企業中車輛越來越多,對車輛的依賴程度也越高,因此,從某種程度上來講,車輛安全管理對電力企業的健康發展有著直接的影響。
1 新形勢下企業企業車輛安全管理工作的意義
電力企業中的車輛不但是重要的代步工具,同時也是至關重要的運輸工具。在新時代,車輛已經成為了人們生活和工作中必不可少的重要工具。比如,小轎車、公交車都是非常重要代步工具;叉車、卡車等又是非常重要的運輸工具。隨著車輛在電力企業中應用的日益增加,車輛的安全管理工作也愈來愈受到人們的重視。
在電力企業實際生產中,車輛時不可或缺的,它為電力企業的正常生產以及日常經營提供著非常重要的支持。比如,電力企業領導出席活動、對外洽談、商務來往等都會用到一些較為高檔的商務車輛,這些車輛也代表著一定的企業形象,有時候車輛的狀況很可能會影響到一次合作的成敗。另外,電力企業正常生產過程中車輛的運用也是必不可少的,比如,運送煤炭的車輛、機電設備工程車輛等,這些車輛為電力企業正常生產提供著非常重要的服務。所以,我們可以說,車輛是現代電力企業的基本設備,提升電力企業車輛安全管理水平和電力企業本身的發展以及效益緊密聯系,一旦企業車輛安全管理工作不達標,那么不但可能會導致企業經濟層面的利益損失,同時還可能會危及員工的生命安全,同時還會產生非常多的后續不利影響,對企業的形象造成嚴重危害。在這種形勢下,提升電力企業車輛安全管理水平已經刻不容緩。
2 影響企業車輛安全管理的因素分析
能夠對企業車輛安全產生影響的因素有很多,其中最為重要的三個因素為:人(車輛駕駛者)、車(車輛本身質量)、路(車輛行駛的道路)。
2.1 人為因素
人是車輛駕駛的直接操控者,因此,人是影響車輛安全最關鍵的要素, 發生的所有交通事故中, 大部分事故發生的原因都是關于人的要素。因此,分析企業車輛安全需要從人這一角度去著手。
(1)駕駛人員的技術。駕駛人員必須要具備專業的駕駛技術,假如駕駛人員技術不到位,在車輛駕駛的過程中,很容易出現駕駛失誤的情況,造成交通事故, 目前世界上眾多國家都要求駕駛人員要持證上崗。駕駛人員的技術欠缺,很容易出現操作失誤的情況,并且在面對緊急交通狀況的時候也不能及時的反應, 造成安全事故。
(2)駕駛員的身體素質與道路安全意識與道德觀念。車輛駕駛人員不單單要擁有非常優秀的駕駛技能,還必須同時擁有優秀的身體。現代企業中,一些駕駛人員的工作強度非常大,因此要求駕駛員必須具備優秀的身體素養。另外,司機還應該具備良好的交通安全意識,嚴格遵守我國交通法則進行行車。
2.2 車輛因素
車輛本身的因素也是影響車輛行駛安全的重要因素之一。如果企業中的車輛質量不達標,那么極有可能會發生車輛行駛途中出現突發性故障或事故,對車輛本身以及車上的人員安全形成威脅。有相關調查顯示,在我國電力企業車輛故障中,由車輛本身質量引起的事故占據到了總事故的10%。
2.3 道路因素
車輛是在道路上進行行駛的,道路的情況能夠對車輛安全能夠產生非常大的影響。
3 新形勢下對企業開展車輛安全管理工作的建議
車輛駕駛人員、車輛本身的質量是當前企業車輛安全管理工作最為關鍵的兩個影響因素。因此,在新形勢下進行車輛安全管理工作應該從下面幾方面著手。
(1)現代企業在對車輛司機進行招聘的過程中,不但要確保司機具有良好的駕駛技術、相關資質和證件齊全,同時還必須要確保司機本身具有非常優秀的安全駕駛意識,只有這樣的駕駛員才能夠具備被聘用的資格。
(2)提升對車輛安全管理培訓工作的重視程度,提升司機的安全駕駛意識。在實際培訓過程中,不但要對車輛直接?{駛人員進行培訓,同時也要對車輛管理人員開展培訓,培訓內容要包含駕駛技能、突況處理技能等,從而使車輛駕駛人員在工作中不斷提升自己的職業素養。
(3)構建完善的獎勵與懲罰制度。企業在對車輛管理過程中,要建立嚴格且完善的駕駛人員獎懲制度。如果因為駕駛員的失誤給車輛和公司帶來嚴重損失的,不但要對其進行處罰,嚴重的還應該追究其法律責任。
(4)車輛的保養與維護也是非常關鍵的。在車輛安全管理中,要定時定期對車輛的使用情況進行檢查,及時的對某些需要維護保養的車輛進行保養,排除安全隱患。另外,還需要注意的是,對一些陳舊車輛要實施報廢處理。
(5)重視GPS定位技術的使用。GPS定位技術運用到車輛中能夠使車輛管理人員更直觀的得知車輛行駛位置,從而可以使工作人員更加合理的對車輛進行調度和安排,同時提升車輛運行的安全性。
第2篇:企業信息安全形勢范文
關鍵詞:信息安全 網絡安全 風險
隨著信息技術迅猛發展,計算機及其網絡、移動通信和辦公自動化設備日益普及,國內大中型企業為了提高企業競爭力,都廣泛使用信息技術,特別是網絡技術。企業信息設施在提高企業效益的同時,給企業增加了風險隱患,網絡安全問題也一直層出不窮,給企業所造成的損失不可估量。
1企業面臨的網絡安全威脅
1.1來自企業內部的攻擊
大量事實表明,在所有的網絡攻擊事件當中,來自企業內部的攻擊占有相當大的比例,這包括了懷有惡意的,或者對網絡安全有著強烈興趣的員工的攻擊嘗試,以及計算機操作人員的操作失誤等。內部人員知道系統的布局、有價值的數據放在何處以及何種安全防范系統在工作。因內部人員攻擊來自區域內部,常常最難于檢測和防范。
1.2來自企業外部的惡意攻擊
隨著黑客技術在互連網上的擴散,對一個既定目標的攻擊變得越來越容易。一方面,對攻擊目標造成的破壞所帶來的成就感使越來越多的年輕人加人到黑客的行列,另一方面商業競爭也在導致更多的惡意攻擊事件的產生。
1.3網絡病毒和惡意代碼的襲擊
與前幾年病毒和惡意代碼傳播情況相比,如今的病毒和惡意代碼的傳播能力與感染能力得到了極大提升,其破壞能力也在快速增強,所造成的損失也在以幾何極數上升。如何防范各種類型的病毒和惡意程序,特別是網絡病毒與郵件病毒,是任何一個企業都不得不面對的一個挑戰。
2企業網絡安全常用的防護措施
目前,不同種類的安全威脅混合在一起給企業網絡的安全帶來了極大的挑戰,從而要求我們的網絡安全解決方案集成不同的產品與技術,來有針對性地抵御各種威脅。我們的總體目標就是通過信息與網絡安全工程的實施,建立完整的企業信息與網絡系統的安全防護體系,在安全法律、法規、政策的支持與指導下,通過制定適度的安全策略,采用合適的安全技術,進行制度化的安全管理,保障企業信息與網絡系統穩定可靠地運行,確保企業與網絡資源受控合法地使用。
2.1部署統一的網絡防病毒系統
在網絡出口處部署反病毒網關。對郵件服務器安裝特定的防病毒插件以防范郵件病毒,保護郵件服務器安全。在服務器及客戶端上部署統一的防病毒軟件客戶端,實現對系統、磁盤、光盤、郵件及Internet的病毒防護。
2.2部署安全可靠的防火墻
企業為了在互聯網上信息,共享資源,就不得不將自己的內部網絡在一定程度上對外開放,這就在無形中增加了安全隱患,使有不良企圖的人有機可乘。為了使信息系統在保障安全的基礎上被正常訪問,需要一定的設備來對系統實施保護,保證只有合法的用戶才可以訪問系統‘就目前看,能夠實現這種需求的性能價格比最優的設備就是防火墻。防火墻的目的是要在不同安全區域(如:內部,外部、DMZ、數據中心)網絡之間建立一個安全控制點,通過允許、拒絕或重新定向經過防火墻的數據流,實現對進、出內部網絡的服務和訪問的審計和控制。具體地說,設置防火墻的目的是隔離內部和外部網,保護內部網絡不受攻擊。
2.3部署入侵檢測系統
作為防火墻的補充,入侵檢測系統(工DS)用于發現和抵御黑客攻擊。人侵檢測系統是一種網絡/計算機安全技術,它試圖發現入侵者或識別出對計算機的非法訪問行為,并對其進行隔離。攻擊者可能來自外部網絡連接,如互聯網、撥號連接,或來自內部網絡。攻擊目標通常是服務器,也可能是路由器和防火墻。
入侵檢測系統能發現其他安全措施無法發現的攻擊行為,并能收集可以用來訴訟的犯罪證據。一般入侵檢側系統有兩類:基于網絡的實時入侵檢測系統和基于主機的實時人侵檢測系統。
2.4配置漏洞掃描工具
漏洞掃描是一項重要的安全技術,它采用模擬攻擊的形式對網絡系統組成元素(服務器、工作站、路由器、防火墻、應用系統和數據庫等)可能存在的安全漏洞進行逐項檢查,根據檢查結果提供詳細的漏洞描述和修補方案,形成系統安全性分析報告,從而為網絡管理員來完善網絡系統提供依據。通常,我們將完成漏洞掃描的軟件、硬件或軟硬一體的組合稱為漏洞掃描器。
2.5部署綜合審計系統
通俗地說,網絡安全審計就是在企業的網絡環境下,為了保障網絡和數據不受來自外網和內網用戶的入侵、破壞、竊取和失泄,而運用各種技術手段實時收集和監視網絡環境中每一個組成部分的系統狀態、操作以及安全事件,以便集中報警、分析、處理的一種技術手段。
網絡審計分為行為審計和內容審計,行為審計是對上網的所有操作的行為(諸如:瀏覽網頁、登錄網站從事各種活動、收發郵件、下載各種信息、論壇和博客發表言論等)進行審計,內容審計是在行為審計的基礎上,不僅要知道用戶的操作行為,而且還要對行為的詳細內容進行審計。它可以使關心內容安全的管理人員清晰地知道通過網絡有無沒有采用加密處理就在網上傳送的重要數據或內部和涉密文件被發出(用戶行為)和被盜取(黑客行為);有無瀏覽不良網頁;有無在論壇和博客上發表不負責的言論;有無使用即時通信工具談論內部或涉密的話題。
2.6部署終端安全管理系統
由于企業內部終端數量多,人員層次不同,流動性大,安全意識薄弱而產生病毒泛濫、終端濫用資源、非授權訪問、惡意終端破壞、信息泄密等安全事件不勝枚舉。通過部署終端安全管理系統杜絕了非法終端和不安全終端的接人網絡;對有權訪問企業網絡的終端進行根據其賬戶身份定義的安全等級檢查和接入控制;對相關的內部人員的行為進行審計,通過嚴格的內部行為審計和檢查,來減少內部安全威脅,同時也是對內部員工的一種威懾,有效強化內部信息安全的管理,將企業的信息安全管理規定通過技術的手段得到落實。
2.7建立企業身份認證系統
第3篇:企業信息安全形勢范文
歷經多年的信息通信基礎設施建設,管道公司信息通信網絡已覆蓋分布在全國14個省市的二級單位、輸油站庫、碼頭和項目部,承載著工業電視、視頻會議、移動可視化等網絡應用以及智能化管線系統、ERP系統、OA系統等信息系統,成為公司生產運營、經營管理、綜合辦公的中樞神經。基于日趨完善的信息安全防護建設和日益豐富的信息安全管理手段,逐步建立了信息安全管理體系,部署了常規的技術防護措施,初步落實了信息安全等級保護要求,并定期開展信息安全風險評估。但是,必須看到,公司信息安全工作仍然面臨十分嚴峻的形勢。
1信息安全面臨的形勢與挑戰
(1)國際上圍繞網絡空間主導權與控制權的爭奪日趨激烈,信息基礎設施和社會基礎數據面臨新時期嚴峻的網絡攻擊風險;云計算、物聯網、移動互聯和大數據等新技術的快速發展使網絡安全邊界更加模糊,給信息安全帶來了新的更大的風險和挑戰。
(2)國家層面在不斷加強信息安全監管力度,專門成立了中央網絡安全與信息化領導小組。“網絡強國戰略”在十八屆五中全會上被納入國家十三五規劃的戰略體系,網絡信息安全逐漸被提升至國家安全戰略的新高度。國內先進企業也在體系化的全面推進信息安全風險管控工作,傳統的“被動靜態防護”逐漸被“主動動態防御”所取代。
(3)管道公司在信息安全管理、技術保障和合規性建設方面取得了一定的進展,但仍然存在以下不足:信息安全組織機構不健全,缺乏專業技術人才;部分員工缺乏信息安全意識,信息安全責任落實不到位;信息系統建設沒有完全落實信息安全防護同步規劃、同步建設、同步運行的“三同步”原則,信息系統等級保護沒有全面開展;互聯網出口尚未統一,信息安全整體防御能力相對薄弱;無線網絡應用、終端入網審計及系統用戶權限管控還有待進一步規范。
2信息安全管理體系與技術保障體系建設[1]
2.1健全信息安全管理體系
成立公司網絡安全和信息化領導小組,建立公司、二級單位兩級的信息安全管理與應急處置組織體系,建立安全方針政策、安全管理制度、技術標準規范、流程控制表單四個層級的信息安全標準與制度體系框架;以信息安全等級保護為主線,抓好信息化項目立項、驗收等關鍵節點,建立信息系統安全風險管控體系;按年度開展信息安全評估檢查,以問題為導向提升信息安全防護水平;建立信息安全通報機制,強化信息安全意識宣教與信息安全技術培訓、技能競賽,形成良好的信息安全氛圍。
2.2完善信息安全技術保障體系
在終端安全方面,部署網絡準入控制系統、桌面安全管理系統、防病毒系統;在應用系統安全方面,對關鍵服務器主機設備進行冗余部署,建立主機弱點分析機制、主機系統軟件備份和恢復機制、主機入侵檢測機制和主機系統操作規范。同時,通過實施現有網絡優化改造、網關部署等措施,實現公司生產網和辦公網的業務安全隔離,提升網絡邊界安全防護能力。
3信息安全管理提升
3.1建立信息安全責任制
分解落實信息化歸口管理部門、業務主管部門、建設運維單位、應用部門在信息系統全生命周期中的安全責任。明確各單位、部門的主要領導為信息安全第一責任人,明確各級信息安全管理員及各專業人員的信息安全崗位職責,強調像對待生產安全一樣對待信息安全,營造人人有責、人人盡責、齊抓共管的信息安全管控環境。
3.2加強信息系統安全等級
保護與信息化項目全生命周期的信息安全閉環管理,抓好過程管控,切實落實“三同步”要求。在立項階段確定安全等級,編制安全方案;在建設實施階段實施安全方案;在上線驗收階段嚴格安全檢查,杜絕系統“帶病”上線運行。同時,梳理檢查已投入運行維護的系統,確保全部納入信息系統安全等級保護管理。
3.3建立健全信息安全應急響應機制
豐富信息安全應急資源,完善信息安全應急預案并加強演練,提升信息安全事件的響應速度和處置水平。通過技術培訓和人才引進,加強信息安全技術團隊建設,提升信息安全態勢感知能力和動態主動防御水平,促使信息安全管理由“救火型”向“預防型”轉變。
3.4建立健全信息安全分析和通報制度
結合國內外及石化行業信息安全形勢,開展信息安全分析,查擺問題,研究制定解決方案。擴大《信息安全通報》影響面,充實通報內容,充分發揮通報信息安全信息、傳播信息安全知識、安排信息安全工作、通報信息安全考核結果的綜合作用。
3.5統一公司互聯網出口
按業務需要嚴格管控,互聯網訪問實行實名制管理,互聯網訪問資源實行白名單管理。對外應用統一至公司云平臺的對外區,建立統一遠程接入區。建立公司統一的無線網絡認證系統,取締私自接入的無線路由器,規范無線網絡應用,為移動應用提供安全通道。
3.6加強用戶弱口令管理
全面啟用強密碼策略,提升用戶登錄認證的安全強度;將統一身份管理系統與HR系統集成,實時同步人員信息,強化用戶賬號的實名制管理。加強終端安全管理,實施用戶終端準入實名制管理,全面提高統一防病毒軟件和桌面管理軟件的安裝率,并積極推進虛擬桌面的普及應用。
3.7建立完善公司信息安全基線
以基線為基礎實現信息安全的全面管控,降低局部信息安全事件對整體信息安全形勢的影響,采取主動的防御思想,建設信息安全防護體系,并適時對基線進行調整,實現對信息安全事件的有效防御,切實提升信息安全管理和防護水平。
4結束語
信息安全管理要堅持技術與管理并重[1],在提高信息安全技術防護能力、做好適度防護的同時,注重信息安全組織體系、風險控制和運行服務等方面的管理,形成信息安全動態長效管理機制以及預防為主的主動式信息安全保護模式;既要作為一個單項重要工作來抓,更要融入各項日常信息化工作,特別是信息系統全生命周期管理中去,才能保障企業信息化的健康有序發展。
參考文獻
[1]劉希儉等.企業信息化實務指南[M].北京:石油工業出版社;2011.
第4篇:企業信息安全形勢范文
2013年第三季度,我國信息化發展態勢良好。國家政策強力推進了信息化發展,電子政務加強集中了管理和集成應用,智慧城市建設廣泛展開,社會服務各領域信息化的應用普及率進一步提高,一大批基于移動互聯網的應用創新不斷涌現,信息消費在擴大內需中作用逐漸凸顯。展望第四季度,落實國家信息化相關政策的配套措施也將密集出臺,信息化管理與運營體制將發生新的變化。
信息化與兩化深度融合
2013年第三季度,國家密集了《“寬帶中國”戰略及實施方案》、《關于促進信息消費擴大內需的若干意見》、《兩化融合專項行動計劃(2013-2018)》等促進信息消費、兩化融合專項行動等一系列促進兩化融合的政策文件,促使我國工業行業兩化融合向更深度拓展。
在電子政務方面,2013年9月,工業和信息化部選取了18個省、59個市(縣、區)作為“基于云計算的電子政務公共平臺”試點。各部門、各系統逐漸向云計算平臺遷移,基于云計算的電子政務公共平臺正在逐步建立中,同時“基于云計算的電子政務公共平臺”國家標準的編制也將提上日程。
大型企業在完成信息系統綜合集成的基礎上向產業鏈協同應用演進,目前中石油、中石化95%以上的生產經營所需物資實現了電子采購,一汽等汽車企業的供應鏈協同平臺,支撐起了汽車零部件的采購、制造和銷售。
電子商務平臺與ERP連接工業制造模式演進方向由大規模制造逐漸轉向個性化定制、按需生產、眾包模式。智慧工業園區正成為推進兩化深度融合的重要載體,同時工業云應用也在不斷創新企業信息化服務的模式。
與此同時,信息消費在擴大內需中的作用也逐漸凸顯。這主要表現在:第一,國產信息終端崛起。目前,我國智能電視國產品牌市場占有率>70%,聯想取代HTC成為安卓設備品牌第2名。第二,數據流量高速增長。據統計,1-8月數據及互聯網業務實現收入2202億元,同比增長30%。固定和移動數據業務對電信業務收入的增長貢獻分別為12.4%、69.2%。第三,信息服務增長明顯。軟件技術和服務消費1.17萬億元,同比增長24%。1-6月,電子商務B2B交易額達3.4萬億,同比增長了15%。而隨著4G牌照在第四季度的下發,又將會刺激新一輪的信息消費,運營商將繼續加速4G網絡建設。
軟件信息技術服務業扭轉低迷
在宏觀經濟弱勢復蘇的背景下,我國軟件和信息技術服務業持續全年以來呈現穩中有落的態勢,行業景氣度日益提升,盈利能力也將繼續改善,軟件出口低迷局面也出現了轉變。
產業發展態勢穩中有落,行業利潤持續回升。1-8月,全行業累計完成收入1.94萬億元,同比增長24.1%,增幅較上年同期減小2.1個百分點。行業效益持續好轉,實現利潤2126億元,同比增長25.5%,高出去年同期10.3個百分點。
部分領域打破緩慢增長態勢,產業服務化深入發展。受制造業回暖影響,嵌入式系統軟件和IC設計均出現較為明顯的回升勢頭。數據處理和存儲服務在數據中心、云計算平臺加快建設的推動下增勢突出,增速高出全行業1.5個百分點。系統集成和信息技術咨詢服務則增長平穩。
軟件出口低迷態勢出現轉變,嵌入式軟件出口增勢明顯。我國軟件出口告別上半年的低迷狀況,增速出現回升態勢。軟件產業實現出口額254億美元,同比增長19%,增速高出上半年8.7個百分點。嵌入式系統軟件的出口增勢同比高出去年同期14.8個百分點。
中西部地區持續快速增長,中心城市繼續引領產業發展。中西部地區保持快速增長趨勢,東部地區增長緩中趨穩。西部地區和中部地區分別完成軟件業務收入2107億元和742億元,同比增長28.5%和25.2%,分別高出全國水平4.4和1.1個百分點。東部和東北地區分別完成軟件業務收入14550億元和2018億元,同比增長23.3%和24.7%,增速低于去年同期3.1和0.9個百分點。15個副省級中心城市繼續引領產業發展。軟件業務收入占全國軟件業務收入的比重達56.9%。信息系統集成、數據處理和存儲服務增速分別達31.1%和29.4%,高出全國平均水平6個和3.8個百分點,引領產業服務化發展。
信息安全壓力日益增大
信息安全研究所所長劉權認為,三季度,我國信息安全在政策環境、基礎網絡安全保障、產業融合、國際交流等方面取得了一定進展,但網絡空間安全形勢依然嚴峻,存在產業根基不牢、攻防能力不足、技術實力較弱等問題。在全球網絡空間安全形勢嚴峻的情況下,我國的信息安全壓力也日益增大。
我國信息安全問題主要體現在以下三方面:
攻防能力不足。電力系統是我國網絡防御做的最好的,但仍被入侵。美國發動的網絡攻擊,我國重要信息系統在分鐘級內就會被攻破。在X86架構下,美國的攻擊我國根本發現不了,“棱鏡門”事件中暴露出的對我國的攻擊事件,而我國根本沒有發現。與此同時,美國等西方國家網絡空間部署正逐步加強。
產業根基不牢。我國大量核心技術產品信賴國外,重要信息系統和基礎信息網絡大量使用國外基礎軟件,西方國家便利用產業優勢從事網絡監控,我們的信息安全面臨嚴重威脅。產業實力差距巨大,技術產業的落后,國產化替代舉步維艱,我國要實現自主可控任重道遠。
技術實力較弱。由于缺乏自主技術體系,長期“跟隨跑”戰術已經使得我國的信息安全技術喪失了獨立性,技術發展過程中過多地使用“拿來主義”,沒有掌握核心技術,淪為代工廠。此外,新興技術信息安全反應過慢。云計算、移動互聯網等新興技術追蹤研究不力,盲目跟風,信息安全問題沒有得到充分解決。各類網絡犯罪技術也缺乏有效應對。
第5篇:企業信息安全形勢范文
隨著信息化技術的不斷發展進步,我國企業信息化建設得到了廣闊的發展空間,為提升企業在市場中核心競爭力帶來了無限動力。然而,受企業傳統經營理念以及信息化技術水平等影響,當前企業信息化建設中存在著諸多信息安全問題,例如信息風險與攻擊、網絡漏洞以及Web服務安全問題等,給企業持續、健康、穩定發展帶來巨大安全隱患。因此,加強企業信息化建設中安全管理勢在必行。本文在介紹企業信息化建設的基礎上,就當前企業信息化建設中信息安全問題進行了分析,并闡述了其導致因素,著重就如何提升企業信息安全管理提出了相應的對策。
【關鍵詞】企業信息化;信息安全問題;原因;對策
新時期下,信息化技術在各行業中運用日漸深入,給企業現代化建設與快速發展帶來了無限動力。企業信息化建設已成為我國經濟信息化建設能否成功的關鍵所在,也是提升企業自身市場競爭力與企業升級進步的重要保證和標志[1]。但是,企業信息化建設過程中不可避免的出現信息安全問題,給企業正常生產經營帶來諸多不利影響。因此,加強企業信息化建設中信息安全管理,已成為現代企業經營管理的一個至關重要的工作。
1企業信息化概述
所謂的企業信息化,指的是實現企業的資金流、物流、作業流、信息流的數字化、網絡化管理,實行企業運行的自動化和企業制度的現代化[2]。企業信息化建設涉及了企業生產經營中的各個部門,其主要利用現代化信息技術,通過完善企業內外網絡信息系統,實現對企業內外知識與信息資源的開發。可見,建設企業信息化體系,不但可以及時有效的提供各種數據信息給企業決策層,也為企業未來規劃設計提供參考依據,而且還有利于企業滿足瞬息萬變的市場需求,為企業市場核心競爭力的提升帶來動力。
2當前企業信息化建設中信息安全問題
企業信息化建設與發展為企業持續、健康、穩定發展發揮了顯著作用,但同時也存在著諸多信息安全問題,具體分析主要有以下幾方面[3]:
(1)當前,絕大多數企業缺乏完善的安全防御系統,導致企業內部使用的信息系統易遭受外部網絡系統的攻擊,引發企業信息資料被他人截獲、篡改與偽造等問題,甚至企業信息系統中出現通信線路、硬盤設施以及其他文件系統遭惡意破壞現象,上述問題的發生不但致使企業信息系統無法正常運行,而且其內部機密信息易發生泄漏,造成企業嚴重的社會經濟損失。
(2)針對郵件系統攻擊防不甚防。在企業信息系統中電子郵件具有重要的作用,通過電子郵件接收與傳送,極大的方便了企業內部間與外部間信息交流與溝通。然而,電子郵件安全問題也日益突出,典型的如電子郵件病毒、垃圾郵件、機密信息泄露以及電子郵件炸彈等,給企業信息傳輸帶來了巨大安全隱患。因此,電子郵件安全問題不可忽視。
(3)漏洞攻擊日益嚴重。按照漏洞問題發生原因可分為軟件漏洞和協議漏洞兩種,其中軟件漏洞主要是受外部不法分子攻擊軟件自身存在的漏洞,造成企業信息泄露等問題;而協議漏洞則主要是由于TCP/IP協議自身在安全機制方面存在的諸多漏洞問題導致,外部不法人員通過攻擊TCP/IP協議漏洞,致使企業信息系統遭受破壞。目前情況,很多企業對自身信息系統缺乏成熟的漏洞檢測手段和能力,往往事發后才采取補救措施。
(4)是Web服務安全問題突出,根據Web服務流程,其發生安全問題的主要組成包括Web服務端安全問題、瀏覽器客戶端安全問題兩種。其中,Web服務端安全問題主要是企業Web主機遭受外部不法分子侵入,導致企業保密信息遭竊或者企業部分信息遭受非法篡改等;瀏覽器客戶端安全問題則是企業瀏覽器客戶端遭外部非法分子侵入,致使部分機密信息與數據遭竊等。
3導致企業信息化建設中信息安全問題因素
企業信息化建設中信息安全問題發生受諸多因素影響,具體分析主要有以下幾方面[4]:
(1)目前,絕大多數企業在信息化建設過程中,對于信息安全問題重視度嚴重不足。一方面,受傳統經營觀念影響,企業管理層偏重于對企業生產經營中的有形資產給予關注與重視,而忽略了企業知識與信息資料等無形資源,導致在企業信息安全管理方面各項投入嚴重不足,進而造成信息安全問題日益凸顯;另一方面,多數企業在面對信息安全問題時,存在著盲目樂觀現象,認為信息安全問題不至于導致企業正常生產經營,使得信息安全管理無法上升至企業發展規劃戰略之中,進而造成信息安全問題得不到及時有效解決。
(2)由于企業信息化建設在我國尚處于起步階段,各方面配套管理制度不夠完善,特別是缺乏健全的企業信息安全管理體制。受此影響,企業信息化建設中信息安全問題一方面無法得到有效的預防措施,另一方面是一旦發生信息安全問題,無法采取及時有效的補救與解決對策。同時,由于缺乏科學、合理、有效的企業信息安全防護策略,使得企業信息管理人員缺乏必要的安全防護意識與業務素質能力,致使企業信息安全防護軟硬件工作質量與效率明顯不足。上述兩個因素,導致企業無論是從人員配置,還是資金與技術投入方面都嚴重不足,受企業信息管理人員業務素質能力不足、信息安全技術方法落后以及配套的資金缺乏等影響,企業信息安全防護的措施、手段偏低,造成企業信息化建設存在著嚴重安全隱患。
4提升企業信息化建設中信息安全對策
針對當前企業信息化建設中存在的信息安全問題,為加強企業信息安全管理,提升企業信息安全保障,可通過采取以下幾方面對策,具體有[5]:
(1)轉變傳統企業信息化建設觀念,在企業內部管理層從上至下加強對企業信息安全的重視,并樹立正確的安全意識。一方面,通過組織各種信息安全管理培訓等,增強全體企業員工信息安全意識,確保企業保密信息不外漏;另一方面,逐步加大企業信息化建設中信息安全管理各項資金、技術、人力投入,并建立科學、合理、有效的企業信息安全防護策略,保障企業信息系統安全穩定。
(2)不斷的推進網絡信息技術的發展與運用,促進企業組織結構網絡化的實現,同時引進先進的安全防護技術,確保企業信息化系統安全穩定運行。任何網絡信息系統都存在著或大或小的安全漏洞問題,而保證其不受外部不法分子侵入的一個關鍵方法就是安全防護技術的運用。通過選用先進的安全防護技術,可以有效的提高企業信息系統抵抗外來攻擊,避免企業信息遭受竊取、篡改甚至破壞等,對于保障企業持續、健康、穩定發展具有顯著作用。
(3)結合企業信息化建設實際情況,建立健全企業內部信息系統管理體制。一方面,針對信息安全問題,應建立科學、合理、規范的信息安全管理體制,保證企業信息系統安全運行;另一方面,建立健全企業安全風險評估機制,針對不同系統找出影響其安全的因素和漏洞,并制定出最佳的對策,降低企業信息安全風險;此外,加強相應的網絡管理,防止外來不法分子通過網絡侵入企業信息系統。
(4)根據新時期企業信息化建設需要,加強企業信息技術人才、信息管理人才隊伍建設,為企業信息安全管理奠定堅實的人才基礎。一方面,在企業內部,加強信息技術人才培訓,提高企業內部相關人才業務素質能力;另一方面,在企業外部,采取有效措施,積極招聘人才,引進具有先進信息技術型人才;此外,建立健全企業信息安全管理用人機制,激發員工工作積極性,提高工作質量與效率。
5小結
總而言之,企業信息安全事關企業信息化建設是否成功,對于企業持續、健康、穩定發展具有至關重要的作用。因此,應提高企業信息安全管理意識,增強企業信息安全管理機制,促進企業信息安全管理工作質量與效率,保障企業信息化建設順利開展。
參考文獻
[1]毛志勇.企業信息化建設的信息安全形勢與對策研究[J].科技與產業,2008,8,(1):43~45.
[2]纂振法,徐福緣.淺析企業信息化建設的意義、問題與對策[J].吉林省經濟管理干部學院學報,2001,3:24~28.
[3]謝志宏.企業信息化建設中的信息安全問題研究[J].企業導報,2014(06):132~133.
[4]秦海峰.企業信息化建設中信息安全問題的分析研究[J].中國信息界,2012(05):61~62.
第6篇:企業信息安全形勢范文
【關鍵詞】網絡安全 計算機 信息管理
在我國計算機技術快速普及的發展背景下,我國的各個不同領域都開始逐步加快了網絡化和信息自動化管理的應用步伐,大數據時代的到來,給人們生活工作的各個方面帶來了深刻變化,是人們生活水平提高和工作效率提高的重要原因,在如此影響廣泛的前提下,計算機網絡信息安全存在的問題必然會引發社會各界的重視和關注。因此,分析如何更為有效的解決好網絡信息安全管理問題至關重要。
一、網絡信息安全的含義
網絡信息安全從廣義上講就是計算機信息使用管理者進行使用者IP鎖定,從而對使用者的IP進行身份信息確認,防止一些負面的資源信息惡意入侵,迫壞計算機系統的正常運作,保證計算機使用者的信息數據使用安全性。較為系統的概括就是在網絡系統的安全狀態下,進行系統軟件和硬件以及部分核心數據的管理。網絡的信息安全包含了從信息儲備狀態下開始的安全儲備,信息運行處理狀態下的運行安全、信息傳遞和總結狀態下的保持安全狀態。為此,可以將網絡信息安全高度概括為兩個主要狀態:首先是靜態網絡安全,靜態網絡安全是在沒有進行網絡信息交易和信息運用傳遞時,要保證信息不被任何外界信息和系統入侵病毒破壞和竊取。網絡信息安全體系具有明顯的可審計性和信息嚴控保密性,信息完整度高,可審計性主要是指網絡信息進行交流以后,用戶不可以隨意對自己的接受內容進行另類操作;保密性就是指不可隨意泄露網絡信息內容給其他個體;完整性就是指用戶不能擅自修改沒有獲得修改許可的網絡信息。
二、計算機信息網絡安全管理的現狀
我國的網絡信息管理技術在近些年不斷發展和完善,同步帶動了計算機網絡技術的升級和深入的應用進展,但是發展進步同時必然才在隨之而來的問題,各類非官方合法訪問和惡意攻擊也在不斷增加,與之相對應的,各類防火墻和加密技術、安全登錄驗證和身份驗證等也都需要不斷進行改善和強化。但是由于不同技術特點各不相同,應用領域差距較大,我國在各個不同領域的應用行研究不夠成熟,所以沒有形成一個較為系統完善是應用管理機制。這些必然導致了各項網絡信息安全管理制度的技術能力沒有得到最大程度的發揮。現如今階段,在所有的網絡系統中黑客攻擊手段遠超過計算機的安全破壞病毒的數量,同時,很多的黑客攻擊手段都是具有毀滅性影響的,這些都要求了我國的計算機網絡信息安全管理工作需要盡快落實。互聯網的最大優勢就是可以實現跨越空間和地域的信息化時時交流,使用者可以實現在各個地區的溝通和交流,通過計算機網絡信息技術的應用互聯,可以為人們的生活和生產活動提供更為便捷的信息溝通。正是此種巨大便利的存在導致了互聯網安全隱患的不斷增加。
三、造成我國網絡安全威脅的原因
(一)入侵計算機信息管理系統
現如今針對網絡信息安全案例分析得出結論,多數的網絡安全問題存在的因素來源于網絡黑客和網絡不法分子的入侵,會對整體的計算機信息網絡安全造成巨大威脅。正是這些網絡網絡破壞因素的存在才導致了政府安全管理部門和計算機網絡信息企業的經營管理系統安全風險加大。此外,部分的網絡主頁遭到黑客和不法分子的惡意篡改,在不同時間段一系列病毒信息,這些都會導致網絡信息安全系統的正常運作受到威脅,繼而會對政府以及相關的網絡信息應用企業造成病毒入侵危害,嚴重者可能會導致整個企業管理的網絡信息系統癱瘓,這些都會對國家政府和相關信息應用企業造成安全威脅,同時也會對國家信息安全和社會穩定造成影響。目前,非法入侵計算機安全管理系統已經被列入了我國法律管理范圍之內。計算機網絡信息安全管理系統是進行有效數據整合以及數據高效動態管理的重要內容和方法,伴隨著我國計算機網絡信息安全技術的不斷進步和發展,計算機的網絡信息安全管理系統的黑客入侵和病毒入侵事件也在不斷增加,所以針對入侵計算機信息管理系統這一問題需要進行有效的入侵檢測技術研發,雖然現有的計算機網絡信息管理技術有所進步,但是對于實際的問題解決能力仍然有限。
(二)對于信息管理系統的惡意破壞
針對計算機管理系統的蓄意病毒入侵問題,計算機安全管理系統指出根本原因依舊集中在部分黑客和不法分子的利用系統存在的安全漏洞,非法進入國家政府網絡系統中,隨后對部分的核心信息以及文件進行內容盜取和改動。還存在部分網絡黑客和網絡信息破壞份子在進入相關網絡系統后,對系統賬號和系統內容進行非法篡改,同時加裝一些密碼破解軟件和病毒入侵軟件,從而達到對政府網絡和目標企業信息網絡的長期性操控,從中盜取一些核心企業信息和數據,此類不法分子就是通過對計算機網絡信息安全管理系統的整體核心資源操控破壞信息安全,達到整體網絡受制于個人操控的目的,這些都會對國家和網絡信息應用企業帶來重大影響和不可估量的安全隱患。計算機病毒也屬于對信息管理系統進行惡意破壞的重要的因素,計算機病毒通俗角度分析就是對計算機各種數據的復制和修改各類程度代碼,利用不同的程序編段對計算機系統進行數據破壞,進而對計算機系統造成嚴重的運行影響,導致無法再進行信息系統使用。例如:木馬病毒,是很常見的信息管理系統惡意破壞病毒,主要是以計算機本身作為病毒傳播載體,抓住計算機本身的系統漏洞進行病毒植入,所以對計算機的網絡信息安全是更大的威脅。
(三)對于相關數據和程序的惡意破壞
很多的網絡黑客和利用網絡信息進行不法操作的分子在進入計算機系統軟件以后,對計算機的相關應用數據和計算機應用程序進行惡意破壞,同時還會利用很多的遠程操控系統軟件進行計算機系統實施操控。這會嚴重導致計算機相關數據文件的永久性破壞控制,長期發展會造成計算機文件系統的安全保障系統無法恢復,進而會對計算機使用和操作者以及整體企業造成影響,無法正常進行工作系統安排。在相關數據程序遭到惡意破壞的案例中,很多木馬程序和后門都會引發計算機病毒的感染,計算機一旦感染此類病毒就會很難進行阻止,病毒的傳播速度極快。在計算機技術更新應用升級過程中,木馬程序病毒也會隨著計算機的系統更新而更新。病毒在更新發展后也會出現提供黑客的應用隱蔽。
四、計算機信息管理應用于網絡安全的策略
(一)加強系統程序病毒風險防范意識
如果要達到計算機核心管理系統安全管理,首先就是要從主觀觀念上強化計算機信息管理相關應用工作者的風險防范意識,提高計算機信息安全管理人員對各類網絡信息安全案例的了解,和相應解決措施的掌握,這些是進行計算機網絡信息安全管理和安全運用首先要進行合理解決的重要問題,與此同時,不僅要對計算機網絡信息安全管理的工作人員加強風險防范意識,還要同時提高計算機應用者的安全維護意識,注意網絡安全的系統維護,對計算機安全管理問題進行系統認識,從核心的基礎安全防范計算機病毒入侵入手分析,最基本做法就是要進行計算機核心劃分部門的機密文件及時加密儲存,進行合理的分類管理,這些都是政府部門進行企業計算機安全管理的重要內容和方法,同時也計算機應用者提高使用利用合理性和安全技術性的重要要求。
(二)管理系統技術嚴格把關
要達到對計算機管理應用安全維護,必須加強核心技術的嚴格控制和把握,對于網絡安全工作者,最主要的職責和工作核心內容就是強化自身的信息網絡管理技術技能,對核心管理技術進行及時把握。我們比較熟悉的幾個計算機信息安全管理技術內容包括:計算機網絡安全病毒查殺、計算機的防火墻功能、計算機的安全監測技術等等。在對計算機進行安全管理防護的同時,需要將各種風險影響因素考慮在內,只有對各類影響安全操作的因素有系統總結和理解,才能實現對計算機信息網絡安全技術的合理使用。此外,在進行網絡安全訪問系統設置的同時,需要對重要數據與核心信息進行備份管理,應該重視和關注計算機系統操作的安全性和操作規范性,從而降低計算機病毒入侵的可能性和危險性。我們應該配套提高計算機病毒檢測能力和手段,對可能的個人信息泄露做到及時發現及時處理。個人騷擾信息和詐騙電話很多都是因為個人網絡信息的泄露,所以必須對網絡安全管理技術嚴格把關。
通過對網絡安全形勢下計算機信息管理的深入分析可見,計算機網絡應用技術的使用范圍拓展和使用主體增加必然帶來使用風險的同步上升。對于加強計算機網絡信息應用安全的問題必須從技術影響實際入手,分析主要的風險來源和安全隱患,從而做到有針對性的網絡安全進行維護,構建起安全可靠的網絡環境,推動計算機網絡更加穩定健康發展。
參考文獻:
[1]遲洪偉.關于計算機信息網絡安全管理的幾點思考[J].硅谷,2015.
第7篇:企業信息安全形勢范文
【關鍵詞】企業網絡 信息安全 策略設計
一、企業網絡信息系統安全需求
(一)企業網絡信息安全威脅分析
大部分企業在網絡信息安全封面均有一些必要措施,因為網絡拓撲結構和網絡部署不是一成不變的,因此還會面臨一些安全威脅,總結如下:
(1)監控手段不足:企業員工有可能將沒有經過企業注冊的終端引入企業網絡,也有可能使用存在安全漏洞的軟件產品,對網絡安全造成威脅。
(2)數據明文傳輸:在企業網絡中,不少數據都未加密,以明文的方式傳輸,外界可以通過網絡監聽、掃描竊取到企業的保密信息或關鍵數據。
(3)訪問控制不足:企業信息系統由于對訪問控制重要性的忽視,加之成本因素,往往不配備認證服務器,各類網絡設備的口令也沒有進行權限的分組。
(4)網間隔離不足:企業內部網絡往往具有較為復雜的拓撲結構,下屬機構多,用戶數量多。但網絡隔離僅僅依靠交換機和路由器來實現,使企業受到安全威脅。
(二)企業網絡信息安全需求分析
企業信息系統中,不同的對象具備不同的安全需求:
(1)企業核心數據庫:必須能夠保證數據的可靠性和完整性,禁止沒有經過授權的用戶非法訪問,能夠避免各種攻擊帶來的數據安全風險。
(2)企業應用服務器:重要數據得到有效保護,禁止沒有經過授權的用戶非法訪問,能夠避免各種攻擊帶來的數據安全風險。
(3)企業web服務器:能夠有效避免非法用戶篡改數據,能夠及時發現并清除木馬及惡意代碼,禁止沒有經過授權的用戶非法訪問。
(4)企業郵件服務器:能夠識別并拒絕垃圾郵件,能夠及時發現并清除木馬及蠕蟲。
(5)企業用戶終端:防止惡意病毒的植入,防止非法連接,防止未被授權的訪問行為。
二、企業網絡安全策略設計與實現
企業網絡的信息安全策略是涵蓋多方面的,既有管理安全,也有技術安全,既有物理安全策略,也有網絡安全策略。結合上文的安全分析與安全需求,企業網絡應實現科學的安全管理模式,結合網絡設備功能的不同對整體網絡進行有效分區,可分為專網區、服務器區以及內網公共區,并部署入侵檢測系統與防火墻系統,對內部用戶威脅到網絡安全的行為進行阻斷。
在此基礎上,本文著重闡述企業信息系統的網絡層安全策略:
(一)企業信息系統網絡設備安全策略
隨著網絡安全形勢的日趨嚴峻,不斷有新的攻擊手段被發現,而這些手段的攻擊目標也已經從用戶終端、服務器厭延展至交換機、路由器等硬件設施。而交換機與路由器屬于網絡核心層的重點設備,如果這些設備退出服務,企業信息系統網絡安全便會面臨很大的威脅。由此本文給出以下的網絡設備安全策略。
最大化地關閉網絡交換機上的服務種類。尤其是不經常使用的服務更應關閉,舉例來講:交換機的鄰居發現服務CDP,其功能是辨認一個網絡端口連接到哪一個另外的網絡端口,鄰居發現服務鎖發出和接收的數據包很容易暴露用戶終端的屬性信息,包括交換機端口與用戶終端的IP信息,網絡交換機的型號與版本信息,本地虛擬局域網屬性等。因此,本文建議在不常使用此服務的情況下,應該關閉鄰居發現服務。另外,一些同樣不常使用的服務,包括交換機自舉服務、文件傳輸服務、簡單文件傳輸服務、網絡時間同步服務、查詢用戶情況服務、簡單網絡管理服務、源路徑路由服務、ARP服務等等。
企業信息系統的網管往往以Telnet協議實現對全網所有交換機、路由器的配置與管理。眾所周知,此協議使用的是明文傳輸模式,因此在信息安全方面不輸于非常可靠的協議。入侵者只要以抓包軟件便能夠輕易得知網管的登錄ID與密碼,以抓包軟件同樣能夠獲取網絡管理員發出、受到的全部數據。所以在網絡管理中,應引入安全性能更高的協議,本文推薦SSH(Secure Shell Client)協議。這種協議借助RSA生成安全性能極高的簽名證書,通過該證書,全部以SSH協議進行傳輸的數據包都被良好加密。此外VTP 的安全使用也是一個應該得到重視的問題,VTP應配置強口令。
(二)企業信息系統網絡端口安全策略
由于大部分企業網絡的終端均以網絡交換機在接入層連入網絡,而網絡交換機屬于工作在ISO第二層的設備,當前有不少以第二層為目標的非法攻擊行為,為網絡帶來了不容忽視的安全威脅。
二層網絡交換機使用的數據轉發方式是以CAM表為基礎的。在網絡交換機加點之后,首選會清空CAM 表,并立即啟動數據幀源地址學習,并將這些信息存入交換機CAM表中。這時候,加入非法入侵者通過偽造自身的MAC地址并不停地發出數據幀結構,便很容易導致網絡交換機CAM表溢出,服務失效。而此時便會導致該MAC的流量向交換機其他端口轉發,為非法入侵者提供網絡竊聽的機會,很容易造成攻擊風險。本文所推薦的策略是:網絡交換機的端口安全維護應隨時打開;在交換機配置中設置其學習MAC地址的最大數目為1;設置網絡交換機能夠存儲其學習到的全部MAC地址;一旦網絡交換機的安全保護被觸發,則丟棄全部MAC 地址的流量,發送告警信息。對網絡交換機進行以上的配置,一方面能夠防止基于交換機MAC地址的泛洪攻擊,另一方面也能對網絡內部的合法地址做好記錄。
在成功阻止未知MAC地址接入的基礎上,還應阻止來自已知地址的攻擊。本文推薦基于MAC限流的策略,這是由于網絡交換機不必向所有端口廣播未知幀,因此可以對未知幀進行阻止,增強網絡交換機安全性。
(三)企業信息系統網絡BPDU防護策略
一般情況下,企業的內部網絡往往以網絡交換機作為網絡拓撲的支撐,因為考慮到交換機通道的溝通,加之系統冷、熱備份的出發點,在企業網絡中是存在第二層環路的,這就容易引發多個幀副本的出現,甚至引起基于第二層的數據包廣播風暴,為了避免此種情況的發生,企業網絡往往引入了STP協議。而這種協議的效果則取決于交換機共享的BPDU信息。這就為一些攻擊者提供了機會,通過假冒優先級低的BPDU數據包,攻擊者向二層網絡交換機發送。由于這種情況下入侵檢測系統與網絡防火墻均無法生效,就導致攻擊者能夠方便地獲取網絡信息。可以采用的防范措施為:在二層網絡交換機啟用BPDU過濾器模塊。該模塊能夠控制此端口,使其對BPDU數據包不進行任何處理,加入收到此種類型的數據包,該端口將會自動設置為“服務停止”。在此基礎上,在根交換機上引入鏈路監控體系。一旦該交換機設備檢測到優先級更高的 BPDU數據包,則發出“失效”的消息,及時阻塞端口。
(四)企業信息系統網絡Spoof防護策略
在企業內部網絡中,往往有著大量的終端機,出于安全性與可靠性的考慮,這些終端機均以動態主機設置協議獲得自身的IP地址。這就為Spoof 攻擊留下了機會。在這種攻擊中,非法入侵者會將自身假冒動態主機設置協議服務器,同時向用戶主機發出假冒的動態IP配置數據包,導致用戶無法獲取真實IP,不能聯網。可以采用的防范措施為:引入動態主機設置協議Snooping 策略。在二層網絡交換機上安裝Snooping模塊并激活,系統便會把設備的全部可用端口設置為untrust 接口。這種接口能夠收到消息,并丟棄假冒的動態IP配置數據包,從而防止Spoof 攻擊帶來的風險。
考慮到地址解析協議在安全方面的防范性不足,加入非法入侵者不斷地發出ARP數據包,便容易導致全部用戶終端的ARP表退出服務,除去靜態綁定IP與MAC之外,本文推薦動態ARP監測策略。此種策略會將交換機全部端口設置為untrust狀態。此種狀態之下,端口將無法發出ARP的響應,因此,黨用戶主機染毒時,其發出的假冒ARP數據包將由于與列表不匹配而被丟棄,系統安全得到了保障。
三、結束語
企業信息系統亟需一個整體性的解決方案與安全策略。本研究在闡述企業整體信息安全威脅與需求的基礎上,總結了企業網絡常見的安全問題,結合這些問題進行了信息安全策略設計,并從網絡設備防護策略、端口安全策略、BPDU 防護策略、Spoof 攻擊防護策略四個方面對企業信息安全實現方法進行了闡述,設計了相關的安全策略。
參考文獻:
[1]劉念,張建華,段斌等.網絡環境下變電站自動化通信系統脆弱性評估,電力系統自動化,2012,(8).
[2]王治綱,王曉剛,盧正鼎.多數據庫系統中基于角色的訪問控制策略研究.計算機工程與科學,2011,(2).
[3]楊智君,田地,馬駿曉等.入侵檢測技術研究綜述.計算機工程與設計,2010,(12).
[4]戚宇林,劉文穎,楊以涵等.電力信息的網絡化傳輸是電力系統安全的重要保證.電網技術,2009,(9).
第8篇:企業信息安全形勢范文
關鍵詞:網絡安全;網絡攻擊;安全管理
1. 引言
近年來隨著網絡技術的快速發展,計算機網絡已經廣泛應用于生產、生活的各個領域。在網絡技術發展的同時網絡安全也越來越重要了。越來越多的攻擊實例告訴我們必須重視網絡安全。由于網絡具有開放性的特點,并且許多網絡協議在設計之初就沒有考慮到安全問題導致目前網絡安全形勢嚴峻。論文試圖從我們日常工作、生活的細節入手,簡要的介紹一些加強網絡安全的有效措施,目的是提高網絡的安全性,確保網絡為我們高效、安全的服務。
2. 網絡安全簡介
網絡安全是隨著計算機網絡發展產生的,它在整個計算機安全中占據重要的地位。近年來網絡攻擊的實例越來越多,究其主要原因可以歸納為:網絡自身的安全缺陷、網絡攻擊技術的不斷發展、安全管理方面的失誤等方面。有些原因是我們無法克服或回避的,在此我們重點研究與我們生活密切相關的影響網絡安全的因素。通過對眾多案例的研究可以發現:操作系統平臺的安全缺陷是導致網絡安全失效的一個重要原因;用戶在密碼管理和設置上的失誤是網絡安全的常見因素;安全管理上的失誤是網絡安全的一個重要隱患;以及其他一些因素都對網絡安全產生極大的影響。網絡安全面臨的主要有:病毒攻擊;網絡入侵;密碼竊取以及遠程控制等多個方面。面對嚴峻的網絡安全形勢我們在生活和工作中要如何克服或盡最大努力減小損失?這是一個十分重要的問題。我們必須認真研究,采取有效措施。
3. 在應用中需要采取的安全措施
面對嚴峻的網絡安全形勢,我們在應用中如何有效的加以克服,筆者試圖從以下幾個方面來論述。
1.選用安全的操作系統平臺,并加強保護。操作系統是整個網絡運行的基礎,是確保安全的基礎平臺。一旦操作系統存在安全問題必然造成嚴重的損失。所以,在操作系統的選擇上盡可能的選擇高安全的操作系統,當然對于普通用戶來講也必須兼顧友好的交互性。目前主流的操作系統包括微軟公司的Windos系列和UNIX、Linux等。就安全性來講,UNIX、Linux具有很好的性能。這主要歸功于它們的設計思想。以Linux為例,Linux主要特點可歸納為安全、高效。可見Linux在設計之初就將安全性考慮到了甚至被作為最重要的指標之一。所以選用這樣的操作系統就能有效的提高安全性。同時由于目前的病毒主要是針對軟公司的Windos系列設計的,在Linux平臺下根本就不能運行,從這個角度來看Linux在病毒防護上具有很好的優勢。筆者曾經應用Linux的這個特點清除過許多病毒,有效的挽救了許多重要資料。
如果用戶由于操作的友好性方面選擇了Windos系列,只要能采取積極有效的措施也能確保系統的高安全運行。Windos系列的一個主要缺點就是存在很多安全漏洞,并且大家對其比較熟悉,所以眾多的病毒以及網絡攻擊都是針對它開發的。但是,只要我們采用積極地安全措施如安裝好防護墻、殺毒軟件以及實時打好補丁還是能安全運行的。在實際應用中,我們要求殺毒軟件必須實時更新,并且如果出現病毒不能被查殺可以更換殺毒軟件,確保系統的清潔、安全。并且在工作中要關注微軟的補丁通告,及時安裝補丁,確保安全。
2.提高安全意識,保護網絡安全。在前文已經論述網絡安全主要有:病毒攻擊;網絡入侵;密碼竊取以及遠程控制等多個方面。明白了這些,我們再來思考一下出現安全的原因或者是為什么別人會攻擊你,目的是什么,無非有這些:讓你的系統不能工作、竊取你的資料等等。那么我們在具體的工作應用中就必須采取相應的措施。一方面要安全上網。安全上網主要是指盡可能不上一些可能存在病毒的一些網站,同時關閉系統中的一些端口預防系統受到攻擊。另一方面是提高警惕,確保關鍵信息的安全。不要在非安全的網絡環境中輸入一些重要的密碼或存取關鍵文件。現在有許多“釣魚”網站,以竊取用戶的關鍵密碼為目的。如有些網站模仿銀行的網站,騙取用戶的卡號和密碼,從而盜竊用戶的錢財。這樣的實例實在是舉不勝舉。當然,在生活中也不要隨意安裝一些免費軟件,某些不法分子在軟件中隱藏一些“木馬”,這樣能隨時竊取用戶的關鍵信息,甚至控制用戶的機器,進而做進一步的非法操作。總之,在日常網絡操作中要提高警惕,確保關鍵信息的安全。
3.加強管理,確保信息安全。一個企業的網絡安全十分重要,特別是像銀行這樣的金融企業尤為突出。通過對多個網絡安全事件的剖析,我們可以看到安全管理對企業的網絡安全具有十分重要的作用。一個攻擊者想要有效的對像金融企業這樣十分重視網絡安全的對象,并非易事。那么他們通常會怎么做?他們一般是一方面掃描對象,目的是找出網絡漏洞,另一方面是積極地收集對象員工的信息,通過跟蹤他們就能獲取一些十分有價值的信息,從而有效攻擊對象。他們可以跟蹤對象內部員工,從而讓系統感染病毒,或套取員工密碼直接進入系統。以及其它一些類似的手段。通過近年的案例可以看出,這是一種十分有限的方法。那么我們在實際的網絡應用中,如何加強安全管理?一方面,加強安全意識教育,確保員工能時時注意安全。另一方面,必須制定一套嚴格的操作規范,確保安全。在安全教育上,要求在涉及到企業信息安全的事情上一定要規范操作,不能隨意處理,防止信息泄露。在密碼設置上,要求規范設置,防止被入侵者猜測到。甚至對某些關鍵的信息,采取生物特征識別方式,提高密碼的高安全性。并要求定期更換密碼,防止密碼失竊。在安全規程的制定上,要根據企業的具體特點設置便于操作執行的有效規程,并要嚴格執行。對在執行中不規范的行為要嚴肅處理,維護規程的嚴肅性。
4.定期對系統進行安全“體檢”。為了進一步的提高網絡的安全性,確保關鍵信息的被有效保護,必須定期對系統進行安全“體檢”。通過定期的“體檢”和對安全日志的深入分析,找出系統潛在的風險并及時采取有效措施。通過安全日志的分析,研究者能夠清晰的掌握整個系統的網絡訪問過程,并對異常訪問做出有效的判斷,甚至對 一些違規的操作做出及時的處理,目的就是預防潛在的威脅。例如通過對系統的安全體檢可以找出一些入侵者前期的調查活動,從而及是的采取防范措施。近年來,通過對系統進行安全“體檢”以及對安全日志的深入分析,已經極大的提高了系統的安全性,保證了網絡的高效運行。
通過上面的研究,我們可以發現網絡安全是一個十分重要又繁瑣的事情,在日常的工作、生活中,我們要嚴格按照相關安全規程操作才能有效的保護網絡,確保信息的高安全、高穩定運行。
4. 結論
隨著計算機網絡在我們日常生活的廣泛應用,它已成為確保社會高效運行的重要部分。然而,由于網絡自身的問題以及許多人為的因素導致目前計算機網絡面臨巨大的安全威脅。為了確保計算機網絡的安全運行,我們必須采取有效的安全措施。論文從普通用戶應用計算機網絡的角度出發,系統的論述了提高計算機網絡安全采取的有效措施。其中,選用高安全的操作系統是提高網絡安全的基礎;提高用戶的安全意識是確保網絡安全的重要措施;加強安全管理能從根本上杜絕內部信息的泄露,保證關鍵信息的安全;定期對系統進行安全“體檢”,能消除潛在威脅,提高系統的安全。總之,只要我們在具體的網絡應用中嚴格遵循安全規范就能有效保護信息,提高系統的安全。
參考文獻:
1.鄧崧,彭艷.用OCTAVE方法分析屯子政務系統的信息安全【J】.情報雜志,2006,25(1):75—77.
第9篇:企業信息安全形勢范文
關鍵詞:煙草行業 信息安全 安全管理 安全防護體系
中圖分類號:TS48 文獻標識碼:A 文章編號:1674-098X(2013)03(c)-0-01
中國的卷煙市場是全球最大的市場,擁有30%的全球消費者,中國煙草行業實行專賣專營體制以來,緊緊圍繞“做精做強主業,保持平穩發展”的基本方針,實現了經濟效益的連年增長。在取得成績的同時,中國的煙草行業也一直貫徹堅持科技進步,大力推進技術創新的思想,全面推進煙草行業信息化網絡的建設。但是隨著信息化應用的日益廣泛,信息系統中存儲的信息和數據的數量的不斷加大,其安全形勢不容樂觀,該文先介紹煙草行業信息安全的概念,然后對其現狀進行描述,最后對如何推進信息安全體系建設,加強煙草行業信息安全管理進行了研究與探索。
1 信息安全概述
信息安全本身包括的范圍很大,是指信息網絡的硬件、軟件及其系統中的數據受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統連續可靠正常地運行,信息服務不中斷。網絡環境下的信息安全體系是保證信息安全的關鍵,自中國加入世貿組織后,煙草行業的競爭日趨激烈,煙草行業在制造以及銷售方面信息化應用的不斷擴大,所以其安全程度對整個煙草行業起到決定性的作用。信息安全主要包括保證信息的保密性、真實性、完整性、未授權拷貝和所寄生系統的安全性五個方面的內容,其中任何一個方面的安全漏洞都能威脅到全局安全,因此必須做好信息安全的管理工作。
2 煙草行業信息安全所面臨的威脅
由于近年來煙草行業進行了幾輪大規模的重組合并,其網絡拓撲結構也越來越復雜,信息集成共享也更加廣泛,所以煙草行業信息安全所面臨的威脅來自各個方面,下面主要從內部和外部兩方面進行描述。
(1)由于煙草行業信息系統是由人員進行設計、監管以及操作的,其本身就存在一定的薄弱環節和不安全因素,若內部保密工作不到位、內部管理出現漏洞則會對系統造成破壞,數據發生丟失,給信息安全系統構成威脅。
(2)黑客可以利用信息安全系統自身的缺陷非法闖入,進行數據的“竊聽”和攔截,或者其他的破壞活動。一般的煙草企業的網絡與整個外部網絡是相互連接的,這就無法避免垃圾郵件的威脅,這是防不勝防的。病毒侵入由于其無孔不入的能力以及無法預防的特性,一直是行業信息系統的最大隱患。
3 煙草行業信息安全管理現狀
經過多年的信息化建設和網絡安全建設,對于煙草信息安全系統,主要存在以下現象。
(1)網絡基礎設施不健全,信息安全設備不穩固。由于大范圍的兼并重組,新建的網絡設施、設備的穩定性依然無法得到保證,對設備運行的監控參數沒有得到重視,不具備容災功能。
(2)煙草行業信息安全管理制度和措施沒有得到有效的落實,專業人員的素質無法得到保證。盡管國家制定和頒布的煙草信息安全管理制度大部分得到了較好的貫徹落實,但缺乏相關的管理制度,使得管理工作也只是流于形式,存儲設備的管理要求無法得到徹底落實。其次由于這個系統的動態特性,對工作人員的要求較高,所以培訓工作的滯后影響著整個系統的安全。
(3)缺乏整體性的防護措施。盡管近年來的信息安全保障體系建設已經取得了一定的成效,但在建設初期的缺乏對整個系統的全盤考慮或是預算的原因使得現在已經成型的煙草信息安全系統缺乏整體性的防護措施。
4 提高安全管理的對策
4.1 技術層面的建設
一個有效的網絡信息安全技術體系是整個信息安全管理的基礎,所以安全體系的建設是所有安全構架的基礎,運用先進的技術手段,進一步完善機房硬件設備等基礎設施;對不同的安全威脅要進行針對性的建設,確保核心設備具有較高的安全級別并且要對其端口進行流量控制;對于核心信息資源所面臨的風險要進行正確的評估,提高網絡信息化的安全保障能力;對于網絡存儲的大量信息和數據要做好備份工作,并對進行傳輸的信息進行實時監控,加強對突發安全事件的處理效率。通過以上技術層面的手段使整個安全體系在預警、防護、監控等方面的能力得到提高。
4.2 管理層面的建設
管理層面的建設主要通過完善和優化安全管理體系和建立相應的措施來提高信息安全網絡的安全管理能力與監督能力。制定出清晰完整的信息安全政策,從整體層面上指導整個網絡的安全建設,對所有的管理人員以及工作人員實行法律化管理;建立嚴密的密碼管理制度,并且要定時更換,控制密碼的擴散;此外對使用安全體系網絡的人員要進行身份的辨別,對于管理員以及普通使用人員的權限進行分離,在信息控制中心成立安全管理小組,專門負責電腦的安全運行;重視煙草行業安全文化建設,提高員工的基本安全意識和安全防范能力,營造出一個濃厚的網絡信息安全氛圍;最后要加強網絡信息安全專業人才的培養,從安全意識和安全技術兩個方面著手,對這些人員進行定期、持續、系統地培訓。
5 結語
盡管對煙草行業信息安全的管理存在很多困難,但是只要我們能做到將以人為本、技術、管理和法制這些手段綜合起來進行治理,網絡信息安全將會得到很好地解決,煙草行業的信息化進程將會為整個行業帶來更大的發展空間。
參考文獻
[1] 李益文.基于煙草行業業務可持續運行的信息安全運維管理體系的思考[J].東方企業文化,2012(22).
[2] 高萍,黃偉達.煙草企業信息安全方面的思考[J].黑龍江科技信息,2010(31).
[3] 林加忠,葉鵬華.淺析網絡環境下煙草信息資源建設[J].硅谷,2009(5).
