前言:想要寫出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇企業信息安全管理范文,相信會為您的寫作帶來幫助,發現更多的寫作思路和靈感。
一、前言
國網公司現已建成覆蓋至基層生產班站及營業站所的信息內網。隨著SG186工程的全面投入運行,從職能部室到一線班組,電力企業所有的業務數據都依賴網絡進行流轉,電網企業生產和經營對信息網絡和信息系統的依賴程度越來越高信息安全的重要性日益凸顯。國網公司已將網絡與信息安全納入公司安全管理體系。
一直以來,信息安全防御理念常局限于常規的網關級別(防火墻等)、網絡邊界(漏洞掃描、安全審計)等方面的防御,重要的安全設施大多集中于核心機房、網絡入口處,在這些設備的嚴密監控下,來自網絡外部的安全威脅已大大減少,尤其實行內外網隔離、雙網雙機后,來自于互聯網的威脅微乎其微。而內網辦公終端由于分布地點廣泛,管控難度大,加之現在無線上網卡、無線wifi和智能手機的興起,內網計算機接入互聯網的事件時有發生,一旦使用人員將內網計算機通過以上方式接入互聯網,即造成違規外聯事件。由于違規外聯開通了一條無任何保護措施進出內外網的通道,一旦遭遇黑客襲擊,就可能造成信息泄露、重要數據丟失、病毒入侵、網絡癱瘓等信息安全事故,給企業信息安全帶來重大的安全隱患和風險。
二、強化管理、落實責任,監培并進
1、將違規外聯明確寫入公司各項規章制度,并納入經濟責任考核。在《公司信息系統安全管理辦法》中,對杜絕違規外聯事件進行了明確的要求:所有內網計算機必須粘貼防止違規外聯提示卡,嚴禁將接入過互聯網未經處理的計算機接入內網,嚴禁在普通計算機上安裝雙網卡,嚴禁將智能設備(3G手機、無線網卡等)插入內網計算機USB端口,嚴禁在辦公區通過路由器連接外網,杜絕違規外聯行為。 一旦發生違規外聯事件,依據《企業信息化工作評級實施細則》,按照“誰主管誰負責、誰運行誰負責、誰使用誰負責”的原則對事件責任人進行嚴肅處理和經濟考核,并在全公司通報批評。將信息安全責任落實到人。
2、加大違規外聯宣貫和培訓力度。信息安全工作,重在預防,將一切安全事件消滅在萌芽狀態,才能確保信息系統安全穩定運行。分層次組織開展公司在崗員工,尤其是新員工的信息安全教育培訓工作,即重點培訓各部門信息化管理人員,各級管理人員培訓本部門技術人員,本部門技術人員培訓一線員工。通過分層式培訓,提高了培訓效果,同時各級管理人員、技術人員作為下級培訓對象講師提高了自身素質,強化了信息安全關鍵點的作用。確保違規外聯事件的嚴重性、危害性和工作機理已宣貫至公司每一位員工,實現全員重視、全員掌握,做到內網計算機“離座就鎖屏,下班就關機”的工作習慣。
3、加強外來工作人員管控。加強外來工作人員信息安全教育,并簽訂《第三方人員現場安全合同書》,嚴禁外來工作人員計算機接入公司內外網。對第三方人員工作過程全程監控,防止因外來工作人員擅自操作造成違規外聯事件。
三、加強技術管控,從源頭杜絕安全事件的發生
2.1嚴格執行“雙網雙機”
嚴禁在信息內網和外網交叉使用計算機。對要求接入信息內、外網的計算機,需向本人核實該計算機之前網絡接入情況,對內外網絡接入方式有變化、或者是不清楚的情況,需對計算機進行硬盤格式化并重裝系統后方可接入網絡。
2.2安裝桌面終端,設置強口令,防止違規外聯
實時監控全公司內網終端桌面終端系統安裝率,確保所有內網計算機桌面終端安裝率達100%。設置桌面終端策略,一旦發生違規外聯,系統立即采取斷網措施,并對終端用戶進行警示。要求全部內網計算機設置開機強口令(數字+字母+特殊符號,且大于8位),防止非本人操作的違規外聯行為。通過桌面終端系統對內網計算機開機強口令進行實時監控。
2.3做好溫馨提示,明確內外網設備,防止違規外聯
做到每一臺內網計算機均粘貼信息安全提示標簽提示員工切勿內網計算機接入外網網絡,無線網卡及智能手機切勿接入內網。內外網網絡端口模塊、網線端口都要有明顯標識,防止員工誤接網絡。
2.4實行內網計算機IP、MAC綁定和外網計算機IP、認證賬號綁定
加強IP地址綁定,從交換機端口對接入內網的計算機進行IP、MAC地址綁定,確保除本計算機外,其余計算機無法通過該端口接入內網。
通過外網審計(網康科技)對外網IP和用戶認證賬戶進行綁定,完善外網用戶和計算機基礎資料,做到全局外網終端和用戶可控。
四、信息安全前景:
在信息安全領域沒有絕對的安全防護技術和手段。隨著信息技術日新月異的發展,電力企業內網計算機違規外聯風險也在增加。在已有的管控手段的基礎上,還要及時關注新技術,不斷完善和調整制度管理和技術策略。信息安全是伴隨企業信息化應用發展而發展的永恒課題。
關鍵詞:信息安全;現狀;策略
信息安全管理已經成為企業加強信息化進程以及提高企業管理水平的一項重要內容,它是確保企業信息管理系統高效運行,促進企業健康、穩定發展的一個重要前提。近幾年來,隨著ERP在企業中的投入使用,使企業的信息化工作內容得以拓展,企業對信息系統的安全性也日益關注,怎樣保證信息系統的安全、高效,已經成為擺在各個企業面前的一項重要課題。
1.信息安全管理意義
1.1信息安全是企業實現可持續發展的需要
隨著計算機網絡技術的普及應用,如何確保涉及到企業經營發展的各種信息、資料的安全性,已經成為企業必須要解決的一個問題?,F階段,大多數企業的數據信息,甚至是關系到企業戰略規劃的重要信息,都是以電子文件的形式進行保存的,對于企業來說,這些信息如果泄露、丟失或者遭到惡意破壞,其后果是不堪設想的。因此,企業必須要具有預見性與前瞻性,要站在戰略發展的高度來看待信息安全問題,必須建立起一套操作性強的防范機制,要從操作系統、芯片技術以及網絡建設等方面入手,就安全保障體系進行積極構建。
1.2信息安全是實現企業平穩、健康發展的前提
現階段,我國企業的信息安全建設,還沒有形成一個成熟,可供廣泛借鑒的安全體系,同時基礎也相對薄弱,這些問題都亟待解決。而且信息安全已經成為關系企業未來發展的一個重要問題,我們必須要認清加強企業信息安全建設的緊迫性,要從維護企業利益的角度來看待信息安全建設問題,做好基礎設施的建設工作,以及信息安全體系的構建工作,實現企業的平穩、健康發展。
1.3信息安全是知識經濟時展的需要
計算機網絡技術的普及應用,使得企業內部各部門之間的信息交換,以及企業對外部信息的獲取日益頻繁,這也令企業對網絡技術愈加依賴,計算機網絡技術對整個商業運作方式也帶來了巨大的影響,從而出現了電子商務,也對企業生產方式、經營理念,產生了巨大的沖擊,推動了企業發展以及現代經營理念的構建。但是,信息的安全問題也日益突出,比如信息在存儲、處理以及傳輸過程中經常存在著被非法截取、惡意破壞以及篡改的現象。所以,信息安全是知識經濟時代這一大背景下,企業發展必須要解決的問題。
2.信息安全管理的現狀
2.1信息管理的安全意識方面
人員、機器設備、原材料、制度是一個企業在進行生產經營時不可缺少的幾個基本要素,隨著知識經濟的到來,信息的重要性日益受到企業管理界的認同,信息也理所當然的成為生產經營過程中,不可或缺的一個非常重要的因素。但是就目前的企業對信息安全管理的重視程度來看,遠遠還不夠,忽視對企業內部各種信息資產的保護,其結果必然會為企業帶來無法估計的損失,因此,企業必須要提高對信息管理安全系統的認識,積極構建、完善這一系統,保證企業信息的安全。
2.2網絡協議方面
我們在對計算機信息系統進行安全維護時,保證網絡協議的安全是維護系統安全的一個重要問題,但是計算機系統的部分協議,比如TCP/IP 協議,這部分協議以及其構架通常也是在因特網上進行共享的,這樣必然會為系統的安全埋下隱患。而且這也是計算機信息系統安全構成威脅的一個主要來源,而它對計算機系統的破壞是巨大的。所以,我們在對計算機信息系統進行維護時,必須要關注到這一點,杜絕類似事件的發生?,F階段,注意網絡不明信息、非法訪問以及網絡協議等對系統安全構成威脅的問題,是確保信息傳送過程安全性的重要前提,是我們在構建企業信息網絡系統時,必須要考慮的問題。
2.3信息安全產品本身存在的問題
通常情況下,多數企業在建設信息管理系統的同時,也采用了相關的信息安全產品。如果信息安全產品本身存在著漏洞的話,這必然會直接導致企業信息系統安全機制的失效。但是計算機系統的安全隱患絕不局限于產品本身存在的缺陷,如果信息安全產品本身是完善的,不存在著任何缺陷與隱患,但是我們在使用產品的過程中,會因為用戶配置、操作上的失誤,或者對產品安全性能不夠了解,使其性能降低,而起不到保護系統安全的作用也是有可能的。
2.4資金投入不夠
我國企業想要對信息安全系統進行構建,就必須投入大量的資金,同時還要吸引IT人才,加入到信息安全系統建設團隊。但是就目前我國信息安全系統構建的現狀來看,還有很多不如人意的在方,尤其是在資金投入方面,一個項目如果缺少資金投入,那么一切都是空談。筆者在實際工作中發現,有些企業非常重視硬件設備的投入,但軟件投入比較滯后,這就使硬件部分強大的功能無法得到充分發揮。
3.加強信息安全管理的策略
3.1提高信息管理的安全意識
隨著計算機網絡技術的快速發展,網絡犯罪有逐年上升的趨勢,電腦病毒、網絡黑客對計算機系統的攻擊與日俱增,企業必須出于自身利益的考慮,來加強信息安全管理方面的建設,首先要從加大宣傳,提高安全意識方面入手。企業可以定期舉行有關信息管理安全意識方面的講座、報告以及相關的培訓教育工作,使領導干部、普通員工提高對信息管理安全的重視程度,使安全防范意識深入人心,這樣有利于加強信息安全管理工作的全面展開。
3.2設計加密體制對系統進行保護
當今社會是一個信息化程度高度發達的社會,人們利用互聯網對信息進行收集、整理、分析、處理的程度越來越高,這樣必然會導致信息安全方面存在著一定的隱患,如果我們不采取有效措施加以防范,一旦發生問題,對企業造成的危害是無法想象的。針對網絡所存在的安全隱患,我們可以采用加密系統對網內數據、文檔以及口令進行保護。如此一來,我們在網上進行數據傳送的過程,也更具針對性。加密管理過程,通常分為鏈路加密、節點加密與端點加密三個種類,我們可以根據企業的實際需求進行選擇。
3.3加強系統軟件方面的建設
一般來說,計算機無論使用哪一種版本的操作系統,都會存在著一定的安全隱患,這個世界沒有十全十美的東西,我們對操作系統也不能苛求太多。因此,這就需要我們采取積 極、有效的措施來提高系統的安全性,以期對操作系統進行很好的維護。比如對數據庫軟件、計算信息管理軟件進行更新,終端操作系統要與數據庫操作系統在版本上要統一,這樣可以便于管理,提高信息管理系統的防御能力。
3.4增加企業信息安全建設的投入
信息化已經成為社會發展的一個主流趨勢,企業必須要借助好這個“東風”,來加強自身的信息安全建設。任何一個項目的啟動,都離不開資金的投入,企業必須為信息安全建設提供物質基礎,比如購置專用服務器、軟件以及將IT資產外包等等,保證信息安全建設的順利完成。
4.總結:
綜上所述,信息安全對企業的發展有著非常重大的意義,它不但是企業自身實現可持續發展的需要,也是知識經濟時代背景下,企業的必然選擇,我們可以從提高信息管理的安全意識;設計加密體制對系統進行保護;加強系統軟件方面的建設;增加企業信息安全建設的投入等方面入手,加強企業信息安全管理方面的建設。
參考文獻:
[1]姜樺,郭永利.企業信息安全策略研究[J].焦作大學學報,2009,(01) .
關鍵詞:網絡環境;企業信息;安全管理
隨著網絡的普及和廣泛應用,人類生活辦公都越來越離不開網絡,在信息全球化的影響下,網絡已經對人們的生活產生出了極為深刻的影響。因此,人們對網絡環境下的信息安全問題也開始更加關注。在企業中運用網絡,在促進企業發展的同時,也很容易造成企業中的信息出現泄漏的現象,且一旦信息泄漏,就會造成嚴重的影響。企業內部也是這樣,與此同時網絡安全問題卻逐漸浮出水面,嚴重威脅到了網絡健康和正常運行。所以采取相關安全管理與防范措施很有必要。網絡化的社會可以讓天下事盡收眼底,極其方便快捷。企業內部利用網絡這一優勢將其應用到實處,讓網絡在企業運營中發揮著重要作用。而有好處的同時往往也會存在著壞處這一對立面,安全隱患就是很棘手的一個問題。文章就是基于此來分析出切實可行的安全管理與防范對策,從而能夠解決這一問題。
1信息安全與信息安全管理
(1)信息安全的根本目的是保障企業內部信息不受任何因素的威脅,確保系統能夠連續可靠正常地運行,現代企業的信息安全是指企業為確保信息的保密性、真實性、完整性、未授權拷貝和所寄生系統的安全性不因偶然或惡意原因遭受破壞、更改和泄露而在計算機管理和技術上對數據處理系統進行的安全保護,保護企業的生產運營安全。(2)一般來說,存儲設備配置和信息安全管理中的漏洞、網絡環境和企業內部局域網潛在的危險是企業信息安全的主要隱患。結合企業實際特點和需要,構建企業信息安全管理體系,避免企業機密資料外泄,保護企業的生產運營安全是企業信息安全管理研究的重要課題。企業信息安全管理是企業為實現安全目標進行的信息安全風險相互協調活動,其目的在于通過制定信息安全政策、風險評估等系列工作盡量做到在有限的成本下保證資產的安全,維護信息的機密性、完整性和可用性。(3)隨著科學技術的不斷發展,云計算、大數據以及互聯網等將引領著未來IT的發展。企業想要實現發展,就要做好基礎性的工作,完善基礎設施建設,建立出完善的信息安全保障系統,在健康的網絡環境下來實現長遠的發展。企業想要實現長遠的發展,就要保證自身信息上的安全,同時還要認識到信息安全的重要性,從長遠的角度上出發來保護好信息。
2網絡環境下企業信息安全管理存在的問題
2.1計算機自身的不確定性
網絡時代,人人都可以成為信息的制造者、傳播者和接受者,但由于網絡的開放性、匿名性以及網民素質的良莠不齊,不僅導致網絡產生許多虛假信息、表述不明確信息,來混淆視聽。甚至誤導網民,引發,而且還為不法分子盜取企業信息提供了便利條件。加之,網絡資源的共享性為網絡系統安全的攻擊者提供了破壞企業信息安全的機會,給企業信息資源帶來大量的安全漏洞,給企業發展帶來不利的影響。
2.2安全軟件設計滯后
進入信息化時代,計算機在企業發展過程中扮演著極為重要的角色,而隨著計算機與互聯網技術的融合,網絡不僅為企業提供了極為豐富的信息資源,拓寬了企業獲取信息的渠道,而且還極大地提高了工作效率,提升了企業經濟效益和社會效益。但拓撲結構的設計和各種網絡設備的選擇容易感染病毒或被黑客侵略的問題,給企業信息安全帶來直接的安全隱患。而相關病毒查殺軟件都是為應對問題而設計的,也就是說,病毒查殺軟件是針對病毒研發的一種“見招拆招”的軟件,具有嚴重的滯后性。合理的安全軟件設計能夠為企業信息安全提供較好的保護,不合理的安全軟件設計則會成為企業信息安全的隱患。此外,由于安全軟件設計不合理或維護工作不完備,也極易造成病毒入侵、系統癱瘓等狀況,影響企業正常運轉。
2.3網絡操作系統的漏洞
隨著網絡技術的發展,作為網絡服務得以實現的載體,網絡操作系統不可避免地會存在一些漏洞,這些漏洞作為一種伴生性漏洞不僅一直存在,而且還為病毒的滋生和入侵提供了機會。不斷更新換代的網絡軟件在設計時考慮到便于軟件的擴展和維護,常會為編程人員設置后門,但網絡協議實現的復雜性使得操作系統的缺陷和漏洞成為網絡安全的硬傷,這些后門一旦被不法分子發現,會對企業信息安全造成很大的威脅。如黑客攻擊就是基于網絡操作系統漏洞而產生的一種難以防范的、人為惡意攻擊,對企業造成無法彌補的損失。
2.4人為因素造成的安全問題
隨著市場經濟體制的不斷完善,企業之間的競爭日趨激烈,很多企業只重視利益的發展,將全部精力集中于企業生產經營,并沒有認識到企業信息保護的重要性,造成企業信息在存儲過程中沒有適當的制約機制,造成企業信息安全保障系統存在漏洞和隱患。加之網絡作為一種新生事物,企業對信息安全管理投入不足,員工普遍安全意識缺乏,信息安全管理規章制度不完善,這不僅浪費了企業的網絡資源,而且還極易出現安全隱患和漏洞。
3網絡環境下企業信息安全管理建設的措施
3.1通過對目前的應用系統進行分析與評估等工作是實際
可行的辦法安全風險評估。因此,在實際中企業中的信息系統根據風險管理的方法來對可能存在的風險以及需要進行保護的信息進行分析,以風險評估為最終結果來選擇出適當的措施,應對好可能出現的風險。企業只有對安全風險進行有效的評估,才能夠結合實際問題進行科學合理的分析,采取有效的措施避免風險出現。
3.2要做好技術上的創新。對于網絡的正常運行來說,安全是最基礎的,想要保證網絡的安全,就要從多個層面上出發來進行立體保護。將監督檢查機制落實到實際中去。時代的發展是建立在創新基礎之上的,只有實現不斷的創新,才能實現更好的發展。因此,在技術不斷創新的影響下,就要提高其質量,保證效益,建立出以市場發展為基礎的創新機制。同時還要保證財力上的支持,實現技術的改進與創新。通過對各項制度的實際情況進行檢查,可以保證企業中信息的安全。想要保證信息的安全,就要制定出信息的搶救措施,如進行數據恢復、備份以及銷毀等安全預防措施。
3.3充分運用防火墻技術
在網絡信息安全的管理中,防火墻技術屬于一項較為有效的安全技術,能夠按照特定的規則,從而來允許以及限制數據的通過。防火墻能夠有效防止黑客訪問用戶的及其,以此來組織黑客拷貝篡改用戶的信息,以此來保證信息的安全?,F今很多企業都廣泛應用防火墻技術,以此來保證自身企業的信息安全。并且防火墻自身具有很強的抗攻擊性,不會被病毒所控制。同時防火墻技術能夠將內部的網絡進行劃分,從而來將重點的網段進行隔離,以此來對其進行保護。
4結語
總之,想要保證企業中的信息安全,就要堅持從信息安全技術與做好內部管理工作上出發,企業網絡辦公不僅可以將各個部門緊密聯系在一起,工作溝通起來還可以更方便,極大地提高了工作效率,創造了更多的經濟效益。這是新時代、網絡時期給企業帶來的難得一遇的機會和福音。通過安全技術的支撐來提高內部管理工作的效果,同時還要落實管理與監控工作,加強信息安全教育,建立出完善的管理制度,提高安全管理的水平。還竭盡全力做好企業內部網絡的安全管理和防范對策,兩者結合、相輔相成,這樣一來企業的發展會更美好,更有希望。
作者:于倩 單位:淄博信息工程學校 淄博建筑工程學校
參考文獻:
【關鍵詞】企業 信息安全管理 應急響應、
一、引言
計算機的不斷發展和廣泛應用,使得人們對它的依賴性越來越強。在今后的科技發展中,計算機的影響必將是最強最大的。但同時,各種隱患也相繼出現,網絡安全威脅開始泛濫,嚴重影響了人們的日常生活和社會安全。對企業而言,大多都實現了信息化管理,一旦信息系統遭到破壞,企業的信息安全得不到保障,則重要文件或其他關鍵數據可能會隨之丟失,給企業帶來巨大損失。
二、影響企業信息安全的因素
(一)自然災害
目前大多數計算機信息系統比較容易受自然環境的影響,包括濕度、溫度、沖擊、振動等諸多因素。而不少計算機房常忽視防震、防火、防電磁泄漏等方面的工作,接地系統也考慮的不夠周到,抵御自然災害的能力還有待加強。
(二)軟件漏洞
黑客對計算機發動攻擊往往把網絡軟件的漏洞當成最好的利用條件,此外,還有軟件“后門”的問題,這些“后門”都是軟件設計編程人員為了自己方便才進行設置的,通常情況下,外人難以得知,而一旦“后門”洞開,其后果和造成的損失不可估量。
(三)黑客的攻擊和威脅
在當前的計算機網絡上,黑客攻擊事件頻頻發生,愈演愈烈,已成為具有一定技術和經濟條件的各種各樣的攻擊者活動的舞臺。之所以會出現黑客,大多情況下,并非黑客本身有隨意入侵的本事,往往只是因為他們善于發現并利用漏洞。信息網絡具有缺陷和不完善性,這正好成了黑客或病毒進行攻擊的絕佳途徑,信息網絡的脆弱,引起了不少信息社會的脆弱和安全問題,對人們和社會構成了極大威脅。
三、應急響應
(一)定義
在企業的信息化管理中,很容易因某方面的失誤導致安全事件出現,應急響應指的是為防止各種事故發生而提前做好的防御準備,并在事故發生后采取相應的解決措施,盡量將事故帶來的損失降到最低,同時對事故原因進行分析,做好詳細記錄,確保信息的完整性和安全性。在處理安全事故時,一般應遵循分級響應及處理的原則,從實際出發,對企業信息系統的具體狀況進行預測分析,按照系統的破壞程度或后果的嚴重程度將事件劃分成若干等級,依次擬出相適應的應急方案。
(二)流程
在發生信息安全事故時,為防止破壞擴散,首先應進行封鎖,尤其是蔓延較快或危害巨大的事件,必須在第一時間內切斷和網絡的連接,保證危害一時不會擴散,從而確保整個信息系統的安全。接下來是緩解,即采取有效措施,緩解安全事故帶來的影響,盡快恢復系統的正常運行,將損失降至最低。然后是消除,對事故的特點加以分析,采用科學手段將事件消除。當信息系統安全后,應展開追蹤,信息安全多由黑客入侵造成,根據破壞的信息,采取合理可行的方法對事件原因進行追蹤分析,發現有用信息后,將其交予公安機關處理。最后的工作是恢復,在消除事件后,應全面檢查信息系統,將隱藏的安全隱患徹底消滅,以免此類事件再次發生,將遭受破壞的系統恢復后,系統能夠正常上線工作。此時,處置方案實施完畢。
四、建立企業信息安全管理中的應急響應體系
(一)相關制度的貫徹落實
從當前狀況來看,許多企業都積極引進了信息化管理,并制定了與之相適應的管理制度,但在實際中很難落實。不少用戶的思想較為松懈,缺乏信息安全意識,經常麻痹大意,也沒有采取任何防范性的措施,這就給黑客提供了進攻的機會,一旦不法分子施放病毒,很快就會導致安全事故發生。因此,企業應加大執行力度的,將制度落實。具體來說,可在平時通過會議、講座等形式宣傳信息安全等相關知識,或定期展開培訓,使廣大用戶認識到信息安全管理的重要意義,加強用戶的安全意識;同時應發揮管理制度的權威性,在制度面前,人人平等。此外,現代化時代復雜多變,管理制度應結合企業具體情況,并隨著變化而做出適當調整,不斷完善細化,使業務流程越來越規范??冃Э己酥贫纫饬x重大,與員工的切身利益相連,應不斷完善。
(二)制定應急響應方案,整合安全系統
信息資源對企業意義重大,應對其做好風險評估工作,按照重要性將信息財產進行分級,對各自的特點、潛在危害及所遭受危害的程度做綜合考慮,確定中斷影響以及允許的中斷時間,對監控體系、應急處理等基礎設施加以合理利用,使其作用得到充分發揮,最終選擇最佳方法,制定合理的應急響應方案。
此外,現在不少企業都采取的是分散管理的模式,安全信息因各自分散而互不相通,加大了風險預測的難度,一旦出現安全事件,不方便定位,極易耽誤應急響應的時機,再加上安全策略不統一,極有可能會加重后果。因此,企業需對各安全產品進行整合,通過整合,可將分散的信息資源進行統一分析,形成統一的安全對策,為響應處理提供前提條件。
(三)建立備份系統,做好備份工作
由于企業信息量大,管理起來較難,而且很容易出現誤刪或其他情況,導致信息的丟失,所以,在企業管理中務必要建立安全的備份系統。按照一定的標準將多種備份對象進行分類,并結合各自特點和需要采取相適應的策略,嚴格按照操作規程,完成備份恢復工作。數據備份管理者應注重備份的靈活性,根據具體的需求做出適當調整。
五、結束語
在當前信息化時代,信息資源對企業的發展意義重大,在計算機的大力普及下,信息安全管理系統成了企業的重要組成部分,對企業的經濟效益有著深遠影響。由于黑客、病毒等因素,容易破壞信息管理系統,從而給企業帶來巨大損失。為解決這一問題,必須建立起應急響應體系,提前做好準備,制定合理的應急預案,將損失降到最低。
參考文獻:
[1] 劉劍.石化企業信息安全管理中的應急響應研究[J].計算機光盤軟件與應用,2012,24(16):163-165
關鍵詞:信息完全;技術;體系
一、前言
隨著金川集團公司跨國經營戰略的實施,企業信息化進程不斷深入,企業信息安全己經引起公司領導的的高度重視,但依然存在不少問題。調查結果表明,造成網絡安全事件發生的原因有很多,一是安全技術保障體系尚不完善,企業花了大量的金錢購買了信息安全設備,但是技術保障不成體系,達不到預想的目標;二是應急反應體系沒有經常化、制度化;三是企業信息安全的標準、制度建設滯后。其中,由于未修補或防范軟件漏洞導致發生安全事件的占安全事件總數的80%,登錄密碼過于簡單或未修改密碼導致發生安全事件的占19%。近年來,雖然使用單位對信息網絡安全管理工作的重視程度普遍提高,80%的被調查單位有專職或兼職的安全管理人員,但是,很多企業存在安全觀念薄弱、安全管理員缺乏培訓、安全經費投入不足和安全產品不能滿足要求等問題,也說明目前安全管理水平還比較低。因此現代企業迫切需要建立信息資源安全管理體系。
二、企業信息資源安全管理體系構建
1、企業信息安全組織管理
企業信息安全組織體系定義為一個三層的組織,組織架構如圖所示:
企業信息安全組織
l)總經理通過總經辦負責企業信息、安全的決策事項。2)總經理任命一名信息安全主管負責企業信息安全的風險管理,該主管領導一個有各個部門主要負責人參加的信息安全管理小組維護企業信息安全管理體系、管理企業信息安全風險。3)總經理任命一名信息安全審計師,負責企業信息安全活動的審計。4)行政部門、業務部門和分支機構執行信息安全管理體系中的相應安全政策,并在信息安全管理主管的領導下,實施風險管理計劃。各個部門負責人有義務向信息安全主管報告所管轄部門的信息安全狀況,信息安全主管應定期在組織范圍內和向上級機關報告企業信息安全狀況。
2、企業信息安全政策管理
根據企業信息安全風險分析的結果和信息安全政策制定的原則,設計信息安全政策體系包括以下幾點:(1)企業信息安全風險管理政策:a)信息安全風險定義,包括風險等級定義和安全類別定義;b)信息安全風險評估執行要求,包括時問周期要求、范圍要求、基于事件的風險評估要求:c)信息安全風險評估責任,包括信息安全管理人員責任和業務部門責任。(2)企業信息安全體系管理政策:a)管理體系的規劃,包括規劃的時機、規劃的內容、規劃的依據、規劃的責任人:b)管理體系的實施,包括、培訓、執行獎懲。c)管理體系的驗證,包括周期管理評審、安全審計、事件評審、殘留風險評估。d)管理體系的改進,包括分析和變更控制。(3)病毒抵御安全政策:a)操作程序一運行網絡管理人員日常工作的程序。這部分安全政策主要控制的風險是不規范的管理活動造成無效或低效的管理。b)關鍵資源監控一識別出關鍵設備并對關鍵設備的運行狀態進行監控。這部分安全政策主要控制的風險是關鍵資源異常情況不能被及時發現和處理。c)軟件系統維護一對軟件系統及時地升級和打補丁。這部分安全政策主要控制的風險是軟件系統未及時升級和/或打補丁而造成的信息故障或者安全事故。d)敏感資料存儲一對在業務進行過程中產生的敏感信息的存放管理。這部分安全政策主要控制的風險是由于對敏感資料存儲不當導致資料的丟失或泄漏。
3、企業信息安全事件管理
目前,沒有任何一種具有代表性的信息安全策略或防護措施可對信息、信息系統、服務或網絡提供絕對的保護。即使采取了防護措施,仍可能存在殘留的弱點,使得信息安全防護變得無效,從而導致信息安全事件發生,并對企業的業務運行直接或間接地產生負面影響。此外,以前未被認識到的威脅也將會不可避免地發生。企業如果對如何應對這些事件沒有作好充分準備,其任何實際響應的效率都會大打折扣,甚至還可能增加潛在的業務負面影響。因此,企業應著重做好信息安全事件管理工作。信息安全事件管理方案的必企業應著重做好信息安全事件管理工作。信息安全事件管理方案的必要過程包括:(1)發現和報告發生的信息安全事態,無論是由企業人員/顧客引起的還是自動發生的(如防火墻警報)。(2)收集有關信息安全事態的信息,由企業的運行支持組人員進行評估,確定該事態屬于信息安全事件還是發生了誤報。確認該事態是否屬于信息安全事件,如果是,則立即作出響應,同時啟動必要的法律取證分析、溝通活動。(3)進行評審以確定該信息安全事件是否處于控制下。(4)如果處于控制下,則啟動任何所需要的進一步的后續響應,以確保所有相關信息準備完畢,供事件解決后評審所用。(5)如果不在控制下,則采取“危機求助”活動并召集相關人員,如企業中負責業務連續性的管理者和工作組。(6)在整個階段按要求進行上報,以便進一步評估和決策。(7)確保所有相關人員,正確記錄所有活動以備后面分析所用。(8)確保對電子證據進行收集和安全保存,同時確保電子證據的安全保存得到持續監視,以備法律起訴或內部處罰所需。(9)確保包括信息安全事件追蹤和事件報告更新的變更控制制度得到維護,從而使得信息安全事態/事件數據庫保持最新。
4、企業信息安全技術管理
我們所構建的信息安全管理體系中,不能忽視技術的作用,雖然只使用技術控制不能保證一個信息安全環境,但是在通常情況下,它是信息安全項目的基礎部分。(1)密碼服務技術。密碼服務技術為密碼的有效應用提供技術支持。通常密碼服務系統由密碼芯片、密碼模塊、密碼機或軟件,以及密碼服務接口構成。通常,企業會涉及以下幾個方面的密碼應用:數字證書運算、密鑰加密運算、數據傳輸、數據儲存、數字簽名、數字信封。(2)故障恢復技術。故障恢復的主要措施有:群集配置,由多臺計算機組成群集結構,盡可能消除整個系統可能存在的單點故障;雙機熱備份,在任何一臺設備失效的情況下,按照預先定義的規則快速切換至相應的備份設備,維持業務的正常運行;故障恢復管理,由專門的集群軟件進行管理和監控,使應用系統在任何軟硬件組成單元發生故障時,能夠根據 故障情況重新分配任務。(3)惡意代碼防范技術:惡意代碼防范技術包括四大系統:病毒查殺系統、網關防毒系統、群件防毒系統、集中管理系統。(4)入侵檢測技術。入侵檢測系統是實現入侵檢測功能的一系列的軟件、硬件的組合。入侵檢測系統以實時方式監測網絡通信,對其進行分析并實時安全預警,從而使企業能夠有效管理內部人員和資源,并對外部攻擊進行早期預警和跟蹤,有效保障系統安全。基于主機的入侵檢測系統通常以系統日志、應用程序日志等審計記錄文件作為數據源。通過比較這些審計記錄文件與攻擊簽名是否匹配,如果匹配立即報警采取行動.基于網絡的入侵檢測系統把原始的網絡數據包作為數據源。它是利用網絡適配器來實時監視并分析通過網絡進行傳輸的所有通信業務。(5)掃描與分析技術。端口掃描工具能識別網絡上活動的計算機,同樣也可以識別這些計算機上的活動端口和服務??梢話呙杼囟愋偷挠嬎銠C、協議和資源,也可進行普遍掃描。漏洞掃描可以掃描網絡并得到非常詳細的信息。可以識別暴露的用戶名和組,顯示開放的網絡共享,并暴露配置問題和其他服務器漏洞。內容過濾器也能有效地保護機構系統,使其不受誤用和無意的拒絕服務。
5、企業信息安全培訓的必要性
公司目前很多崗位和部門的員工都從事涉密數據相關工作,有很多數據和信息涉及到公司的機密和知識產權,但是大多數員工信息安全意識差,在平時的工作中在意識上和實際工作中存在很多問題,導致涉密數據的外漏,給公司的生產經營造成不可挽回的損失。在有管理組織、政策制度和技術保障的情況下,通過對涉密數據相關工作人員的信息安全意識和信息安全操作培訓是非常必要的。
三、結語
總之,企業信息安全管理體系是一個企業日常經營和持續發展的基本保證,也是企業戰略和管理的重要環節。建立信息安全管理體系的目的就是降低信息風險對企業的危害。并將企業信息系統投資和商業利益最大化。信息安全不只是個技術問題,而更多的是商業、管理和法律問題。實現信息安全不僅僅需要采用技術措施,還需要更多地借助于技術以外的其他手段。
參考文獻: