企業信息安全現狀
前言:想要寫出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇企業信息安全現狀范文,相信會為您的寫作帶來幫助,發現更多的寫作思路和靈感。
企業信息安全現狀范文第1篇
(一)技術方面。企業在信息資源管理過程中,對技術非常依賴。但是現實中,企業相關管理人員對技術的重視程度遠遠不夠。導致經常出現各種各樣的技術問題,如企業網站被黑;企業主機或服務器被外部人員入侵,企業重要信息泄露;技術問題還有軟件開發過程不規范,管理軟件設計有漏洞;企業管理軟件沒有定期更新、升級等。
(二)管理方面。(1)物理設備的管理。企業信息安全管理的設備主要包括中心機房、服務器、網絡設備、線路等方面,此外還有門卡、消防器材等。這些是企業信息安全保障系統的基礎。這些設備受到的威脅主要表現在自然災害、電磁輻射與惡劣工作環境方面。自然災害無法避免。但是大多數企業對這些設備的管理的力度不夠。此外企業對這些設備的防火、防盜意識還較欠缺。(2)人員的管理。1)企業人員安全意識較弱,多數員工使用默認密碼和弱密碼,增加了潛在的風險。也有員工無意泄露企業重要信息的情況發生。對于員工和管理員的操作缺少日志審計。2)企業對于網絡安全隊伍的建設工作積極性不高,認識不到網絡安全所存在的隱患。未明確設置安全管理員、機房管理員、數據庫管理員、網絡管理員、存儲管理員等崗位,崗位職責存在兼任情況。3)許多企業,網絡系統管理人員技術水平達不到所需要求,會直接導致系列操作產生問題,進而使安全漏洞問題愈加嚴重。“入侵者”通常情況下會利用網絡管理的不足,從而攻擊,破壞網絡安全并且獲取有用的信息。他們也會通過改變頁面的數據,進一步使系繁忙或改變重要信息,嚴重的更會導致系統崩潰,造成重大的經濟損失。(3)信息及應用系統的管理。大多數企業沒有對企業信息進行設置保密等級;應用系統業務運行情況方面的數據也沒有及時保存;和應用系統相連的數據庫中的重要表未進行加密處理;主機和數據庫沒有密碼復雜度限制,也沒有定期進行密碼更改,存在弱口令;缺乏對應用系統和數據庫的操作日志的收集和審計。
(三)信息安全文件及制度。通過調查發現,大多數企業沒有完整的信息安全政策性文件。信息安全制度的制定也不規范,沒有建立有效的、修訂以及落實情況的管理辦法。
二、企業信息安全的對策
(一)技術方面。(1)安裝正版防護軟件。企業放有重要信息的主機和服務器必須安裝安全防護軟件,如360安全衛士。必須是正版的,因為盜版的服務質量根本得不到有效保障。安裝后定期對計算機進行檢測保護。(2)信息備份。企業應用系統軟件不能確保不出問題,有時也會癱瘓;還有存在被外部人員攻擊的危險,為確保信息的不丟失, 有必要采取技術備份手段, 對重要信息進行定期備份。(3)訪問權限。企業信息種類很多,它們的保密級別也是不一樣的。同時企業的不同人員對信息訪問的權利也是不一樣的,為了使不用用戶訪問不同的信息,可通過技術手段,給不同的信息、應用系統,及不同的人員設置不同的權限。這樣在一定程度上也可保障信息的安全。(4)網絡訪問。在互聯網快速發展的今天,任何一個企業都離不開網絡, 員工需要從網絡中獲取各種信息。然而, 暢通的網絡也給非法分子提供了訪問企業內部信息的通道。為此,有必要采用網絡防火墻技術, 控制內網和外網的訪問。同時應加強對惡意代碼的防范,還要注意數據傳輸過程中的保密。(5)加解密。對企業重要信息進行加密。加密之后的信息,只有擁有密鑰的人才能解密,看到信息的內容。這樣對于沒有訪問權限的人或某些通過網絡截獲傳遞中的密文的非法分子來說,他們是無法看到真正的信息明文,只能得到零散的無用的信息。要注意的是應該對密碼的復雜度進行要求,不能太簡單。
(二)管理方面。(1)人員。企業的信息資產都是通過人來管理和控制的。對人的管理實際是信息安全工作中難度最大的工作,業界有一句話:“在企業中信息安全最大的風險是心懷不測的一些員工可能帶來的風險”。所以我們要加強對員工尤其是掌握企業核心機密的高管進行安全管理。在他們調動離職時進行信息安全審計,以有效減少信息資產非授權的傳遞。此外企業在和客戶、供應商、合作伙伴合作中會涉及信息傳遞,并會產生新的信息。這些信息也需要很好的管理。(2)設備。應該針對機房精密調控、以及對網絡線路制定保養和檢查計劃。對關鍵服務器進行續保。目前有部分弱電線路存在端口號和配線架編號以及到桌面的點位不符的情況,應進行梳理。
(三)安全管理制度的制定及實施。當前企業一要進行日常管理制度,安全管理制度的制定和實施;二是要加強計算機網絡工作者的規范管理,培養安全意識,建立針對黑客攻擊的“快速反應隊”。同時必須進一步加快對高層次的網絡管理人員的相關技能和經驗培訓,以盡早達到網絡安全的目的。
加強法制教育,建立人事檔案管理制度,并進行定期檢查。為了更好的安全性管理,IP地址資源應統一管理和分配。對于IP資源的盜用行為,相關職能管理部門必須予以嚴肅處理。
企業信息安全現狀范文第2篇
關鍵詞: 企業信息系統;信息安全;安全策略
中圖分類號:F270.7 文獻標識碼:A 文章編號:1671-7597(2012)0220165-01
隨著市場經濟的不斷發展,企業競爭越來越激烈,國際化合作不斷增多,隨之而來的企業信息安全是目前我國企業普遍存在的問題。對企業來說,信息安全是一項艱巨的工作,關系到企業的發展。近年來,圍繞企業信息安全問題的話題不斷,企業信息安全事件也頻頻發生,如何保證企業信息的安全,保證信息系統的正常運轉,已經成為信息安全領域研究的新熱點。
1 企業信息安全的意義
信息安全是一個含義廣泛的名詞,是指防止信息財產被故意的或偶然的非授權泄露、更改、破壞,或防止信息被非法辨識、控制,即確保信息的保密性、可用性、完整性和可控性。企業的正常運轉,離不開信息資源的支撐。企業信息安全建設對企業的發展意義重大。
首先,信息安全是時展的需要。計算機網絡時代的發展,改變了傳統的商務運作模式,改變了企業的生產方式和思想觀念,極大推動了企業文化的發展。企業信息安全的建設將使得企業的管理水平與國際先進水平接軌,從而成長為企業向國際化發展與合作的有力支撐。
其次,信息安全是企業發展的需要。企業的信息化建設帶來了生產效率提高、成本降低、業務拓展等諸多好處。當前越來越多的企業信息和數據,都是以電子文檔的形式存在,對企業來說,信息安全是使企業信息不受威脅和侵害的保證,是企業發展的基本保障,所以,在積極防御,綜合防范的方針指導下,有效地防范和規避風險,建立起一套切實可行的長效防范機制,逐步建立起信息安全保障體系,有利于企業的發展。
最后,信息安全是企業穩定的必要前提。信息安全成為保障和促進企業穩定和信息化發展的重點,要充分認識信息安全工作的緊迫感和長期性,從企業的安全、經濟發展、企業穩定和保護企業利益的角度來思考問題,扎扎實實地做好基礎性工作和基礎設施建設,在建立信息安全保障體系的過程中,必須搞好鏈接信息安全保障體系建設安全、建設健康的網絡環境,關注信息戰略,保障和促進信息化的健康發展。
2 企業信息安全的現狀
我國企業信息安全包括計算機系統的硬、軟件及系統中的數據受到保護,不受偶然的或惡意的原因而遭到破壞、更改、泄露,使得系統連續、可靠、正常的運行,網絡服務不中斷。計算機和網絡技術具有復雜性和多樣性,使得企業信息安全成為一個需要持續更新和提高的領域。就目前來看,主要存在以下三個方面的隱患。
2.1 企業缺少信息安全管理制度
企業信息安全是一個比較新的領域,目前還缺少比較完善的法規,現有的法規,由于相關安全技術和手段還沒有成熟和標準化,法規也不能很好地被執行,安全標準和規范的缺少,導致無從制定合理的安全策略并確保此策略能被有效執行。企業的信息系統安全問題是一個系統工程,涉及到計算機技術和網絡技術以及管理等方方面面,同時,隨著信息系統的延伸和新興技術集成應用升級換代,它又是一個不斷發展的動態過程。因此對企業信息系統運行風險和安全需求應進行同期化的管理,不斷制定和調整安全策略,只有這樣,才能在享受企業信息系統便利高效的同時,把握住信息系統安全的大門。
2.2 員工缺少安全管理的責任心
一個企業的信息系統是企業全體人員參與的,不考慮全員參與的信息安全方案,恰恰忽視信息安全中最關鍵的因素――人,因為他們才是企業信息系統的提供者和使用者,他們是影響信息安全系統能否達到預期要求的決定因素。在眾多的攻擊行為和事件中,發生最多的安全事件是信息泄露事件。攻擊者主要來自企業內部,而不是來自企業外部的黑客等攻擊者,安全事件造成最大的經濟損失主要是內部人員有意或無意的信息泄露事件。針對內部員工的泄密行為,目前還沒有成熟的、全面的解決,對于來自企業信息內部信息泄密的安全問題,一直是整個信息安全保障體系的難點和弱點所在。
2.3 信息系統缺乏信息安全技術
計算機信息安全技術是一門由密碼應用技術、信息安全技術、數據災難與數據恢復技術、操作系統維護技術、局域網組網與維護技術、數據庫應用技術等組成的計算機綜合應用學科。由于認識能力和技術發展的局限性,在硬件和軟件設計過程中,難免留下技術缺陷,網絡硬件、軟件系統多數依靠進口,由此可造成企業信息安全的隱患,現在黑客的攻擊并不是為了破壞底層系統,而是為了入侵應用,竊取數據,帶有明顯的商業目的,許多黑客就是通過計算機操作系統的漏洞和后門程序進入企業信息系統。隨著網絡應用要求的越來越多,針對應用的攻擊也越來越多,除了在管理制度上確保信息安全外,還要在技術上確保信息安全。
3 企業信息安全中存在的問題
信息時代的到來,從根本上改變了企業經營形式,企業實施信息化為其帶來便利的同時也產生了巨大的信息安全風險。由于我國企業信息安全工作還處于起步階段,基礎薄弱,導致信息安全存在一些亟待解決的問題。比較常見的問題有病毒危害、“黑客”攻擊和網絡攻擊等,這些問題給企業造成直接的經濟損失,成為企業信息安全的最大威脅,使企業信息安全存在著風險因素。
3.1 病毒危害
計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者數據,影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼,它是具有破壞作用的程序或指令集合。計算機病毒已經泛濫成災,幾乎無孔不入,據統計,計算機病毒的種類已經超過4萬多種,而且還在以每年40%的速度在遞增,隨著Internet技術的發展,病毒在企業信息系統中傳播的速度越來越快,其破壞性也越來越來越強。
3.2 “黑客”攻擊
“黑客”是英文Hacker的諧音,黑客是利用技術手段進入其權限以外的計算機系統的人。黑客破解或破壞某個程序、系統及網絡安全,或者破解某系統或網絡以提醒該系統所有者的系統安全漏洞的過程。通常采用后門程序、信息炸彈、拒絕服務、網絡監聽、密碼破解等手段侵入計算機系統,盜竊系統保密信息,進行信息破壞或占用系統資源,黑客攻擊已經成為近年來經常出現的問題。
3.3 網絡攻擊
網絡攻擊就是對網絡安全威脅的具體表現,利用網絡存在的漏洞和安全缺陷對系統和資源進行的攻擊。尤其是在最近幾年里,網絡攻擊技術和攻擊工具有了新的發展趨勢,使借助Internet運行業務的企業面臨著前所未有的風險。由此可知,企業的信息安全問題、以及對信息的安全管理都是至關重要的。要保證企業信息安全,就必須找出存在信息安全問題的根源,并具有良好的安全管理策略。
4 企業信息安全的解決方案
為確保企業信息安全,要堅持積極防御,綜合防范的方針,全面提高信息安全防護能力。因此,面對企業信息安全的現狀和企業信息安全發展中出現的問題,必須實施對企業的信息安全管理,建設信息安全管理體系,只有建立完善的安全管理制度,將信息安全管理自始至終貫徹落實于信息管理系統的方方面面,企業信息安全才能得以實現。企業信息安全的解決方案,具體表現在以下三個方面:
4.1 建立完善的安全管理體系
完整的企業信息系統安全管理體系首先要建立完善的組織體系,完成制定并信息安全管理規范和建立信息安全管理組織等工作,保障信息安全措施的落實以及信息安全體系自身的不斷完善。并建立一套信息安全規范,詳細說明各種信息安全策略。一個詳細的信息安全規劃可以減輕對于人的因素帶來的信息安全問題。最基本的企業安全管理過程包括:采用科學的企業信息資產評估和風險分析模型法、設計完備的信息系統動態安全模型、建立科學的可實施的安全策略,采取規范的安全防范措施、選用可靠穩定的安全產品等。安全防范體系的建立不是一勞永逸的,企業網絡信息自身的情況不斷變化,新的安全問題不斷涌現,必須根據暴露出的一些問題,進行更新,保證網絡安全防范體系的良性發展,
4.2 提高企業員工的安全意識
科技以人為本,在信息安全方面也是靠人來維護企業的利益,我們在企業信息網絡鞏固正面防護的時候不能忽視對人的行為規范和績效管理。企業員工信息安全意識的高低是一個企業信息安全體系是否能夠最終成功實施的決定性因素。企業應當制定企業人員信息安全行為規范,必須有專門管理人才,才能有效地實現企業安全、可靠、穩定運行,保證企業信息安全。教育培訓是培訓信息安全人才的重要手段,企業可以對所有相關人員進行經常性的安全培訓,強化技術人員對信息安全的重視,提升使用人員的安全觀念,有針對性的開展安全意識宣傳教育,逐步提高員工的安全意識,強調人的作用,使他們明確企業各級組織和人員的安全權限和責任,使他們的行為符合整個安全策略的要求。
4.3 不斷優化企業信息安全技術
企業一旦制定了一套詳細的安全規劃來武裝自己,保護其智力資產,它就開始投入到選擇采用正確信息安全技術上。可供企業選擇的防止信息安全漏洞的安全技術有很多。當企業選擇采用何種技術時,首先了解信息安全的三個領域是十分有幫助的,這三個領域變得:驗證與授權、預防和抵制、檢測和響應。其中,用戶驗證是確認用戶身份的一種方法,一旦系統確認了用戶身份,那么它就可以決定該用戶的訪問權限,比如使用用戶名和密碼。預防和抵抗技術是指企業阻止入侵者訪問。對于任何企業,必須對那些故障做好準備和預測,目前可以幫助預防和建設抵抗攻擊的技術主要有內容過濾、加密和防火墻,在選用防火墻的時候,需要對所安裝的防火墻做一些攻擊測試。此外,企業信息安全的最后一道屏障是探測和反應技術,最常見的探測和反應技術是殺毒軟件。
5 結語
總之,企業信息安全是一項復雜的系統工程,企業要適應現代化發展的需要,要提高自身信息安全意識,加強對信息安全風險防范意識的認識,重視安全策略的施行及安全教育,必須做到管理和技術并重,安全技術必須結合安全措施,并加強信息安全立法和執法的力度,建立備份和恢復機制, 為企業設計適合實際情況的安全解決方案,制定正確和采取適當的安全策略和安全機制,保證企業安全體系處于應有的健康狀態。
參考文獻:
[1]張帆,企業信息安全威脅分析與安全策略[J].網絡安全技術與應用,2007(5).
[2]諶曉歡,企業信息安全問題及解決方案[J].企業技術開發,2008(8).
[3]付沙,企業信息安全策略的研究與探討[J].商場現代化,2007(26).
[4]姜樺、郭永利,企業信息安全策略研究[J].焦作大學學報,2009(1).
企業信息安全現狀范文第3篇
關鍵詞:信息化;信息安全;安全管理
1企業信息安全現狀
近幾年,隨著行業信息化建設逐步深入,伴隨著OA辦公自動化、ERP、卷煙生產經營決策管理和MES生產制造執行等系統相繼投入使用,與生產經營息息相關的關鍵業務對信息系統的依賴程度越來越高,企業也逐步認識到信息安全的重要性,企業員工的安全意識也都得到逐步提高。行業也相繼出臺了煙草行業信息安全保障體系建設指南和各類信息安全制度,并通過這幾年信息安全檢查工作,促進企業的信息安全水平得到了進一步提高。由于企業信息安全意識不斷提高,企業不斷加大信息安全方面的投入,如建立標準化的機房、購買與部署各類信息安全軟件和設備等。但是木馬、病毒、垃圾郵件、間諜軟件、惡意軟件、僵尸網絡等也隨著計算機技術的發展不斷更新,攻擊手段也越發隱蔽和多樣化。企業不僅要應對外部的攻擊,也要應對來自于企業內部的信息安全威脅,安全形勢不容樂觀。企業的信息安全已不僅僅是技術問題,還需要借助管理手段來保障。企業如果不能正確樹立信息風險導向意識,一味注重“技術”的作用,忽略“管理”的重要性,就很難發揮信息安全技術的作用,無法把企業的各項信息安全措施落到實處,企業的信息安全也就無從談起。只有切實發揮管理作用,企業的信息安全才能得到有效保障。
2企業信息安全體系架構
在談到信息安全時,大多數剛接觸的人都比較疑惑,都說保障信息安全十分重要,那到底什么是信息安全呢?下面就簡單介紹一下信息安全的概念以及企業的信息安全體系架構。2.1信息。對企業來說,信息是一種無形資產,具有一定商業價值,以電子、影像、話語等多種形式存在,必須進行保護。2.2信息安全。主要是指防止信息泄露、被篡改、被損壞或被非法辨識與控制,避免造成不良影響或者資產損失。2.3企業信息安全體系架構。在保障企業信息安全過程中,信息安全技術是保障信息安全的重要手段。通過上文對企業信息安全現狀的分析,不難看出企業信息安全體系主要分為技術、管理兩個重要體系,進一步細分則涉及安全運維方面。2.3.1信息安全技術體系作用。主要是指通過部署信息安全產品,合理制定安全策略,實現防止信息泄露、被篡改、被損壞等安全目標。信息安全產品主要是指實現信息安全的工具平臺,如防火墻類產品、防攻擊類產品、殺毒軟件類產品和密碼類產品等,而信息安全技術則是指實現信息安全產品的技術基礎。2.3.2信息安全管理體系作用。完善信息安全組織機構、制度,細化職責分工,制定執行標準,確保日常管理、檢查等制度有效執行,最大程度發揮信息安全技術體系作用,確保信息安全相關保護措施有效執行。通過上文簡單介紹,對信息安全以及信息安全系統有了大概了解。可以看出單純借助技術或管理無法保障企業信息安全,因此,建立企業信息安全管理體系的重要性也就不言而喻。
3信息安全管理體系概念
3.1信息安全管理。運用技術、管理手段,做好信息安全工作整體規劃、組織、協調與控制,確保實現信息安全目標。3.2管理體系。體系是指相互關聯和相互作用的一組要素,而管理體系則是建立方針和目標并實現這些目標的體系。3.3信息安全管理體系(ISMS)。在一定組織范圍內建立、完成信息安全方針和目標,采取或運用方法的體系。作為管理活動最終結果,包含方針、原則、目標、方法、過程、核查表等眾多要素。3.4建立信息安全管理體系的目的。作為企業總管理體系的一個子體系,目的是建立、實施、運行、監視、評審、保持和改進信息安全。3.5信息安全管理體系涉及的要素。3.5.1信息安全組織機構。明確職責分工,確保信息安全工作組織與落實。3.5.2信息安全管理體系文件。編制信息安全管理體系的方針、過程、程序和其他必需的文件等。3.5.3資源。提供體系運轉所需的資金、設備與人員等。
4信息安全管理體系機構設置以及作用
在建立企業的信息安全管理體系之前,如果沒有設置相應的信息安全組織機構,那么建立體系所需要的資源(資金、人員等)就無法得到保障,企業的信息安全制度和策略也就無法貫徹落實,企業的信息安全管理體系就形同虛設起不到任何作用。因此,企業在建立信息安全管理體系前必須建立健全信息安全組織機構,機構設置可以根據職責分為三個層次。4.1信息安全決策機構。信息安全決策機構處于安全組織機構的第一個層次,是本單位信息安全工作的最高管理機構。應以單位主要領導負責,對信息安全規劃、信息安全策略和信息安全建設方案等進行審批,并為企業信息安全工作提供各類必要資源。4.2管理機構。處于安全組織機構的第二個層次,在決策機構的領導下,主要負責企業日常信息安全的管理、監督以及安全教育與培訓等工作,此類工作大部分都由企業的信息化部門承擔。4.3執行機構。處于信息安全組織機構的第三個層次,在管理機構的領導下,負責保證信息安全技術體系的有效運行及日常維護,通過具體技術手段落實安全策略,消除安全風險,以及發生安全事件后的具體響應和處理,執行機構人員可以由信息中心技術人員與各部門專職或兼職信息安全員組成。
5信息安全管理體系的建立
ISO/IEC27001:2005標準的“建立ISMS”章節中,已明確了信息安全管理體系建立的10項強制性要求和步驟。企業應結合自身實際情況,遵照這些內容和步驟,建立自己的信息安全管理體系,并形成相應的體系文件。5.1建立的步驟。(1)結合企業實際,明確體系邊界與范圍,并編制體系范圍文件。(2)明確體系策略,構建目標框架、風險評價的準則等,形成方針文件。(3)確定風險評估方法。(4)識別信息安全風險,主要包括信息安全資產、責任、威脅以及造成的后果等。(5)進行安全風險分析評價,編制評估報告,確定信息安全資產保護清單。(6)明確安全保護措施,編制風險處理計劃。(7)制定工作目標、措施。(8)管理者審核、批準所有殘余風險。(9)經管理層授權實施和運行安全體系。(10)準備適用性聲明。以上步驟解釋不詳盡之處,參看ISO/IEC27001:20054.2.1章節中A-J部分。5.2信息安全管理體系涉及的文件。文件作為體系的主要元素,必須與ISO/IEC27001:2005標準保持一致,同時也要結合企業實際,確保員工遵照要求嚴格執行。而且也要符合企業的實際情況和信息安全需要。在實際工作中,企業員工應按照文件要求嚴格執行。5.2.1體系文件類型主要涉及方針、程序與記錄三類。方針類主要是指管理體系方針與信息安全方針,涵蓋硬件、網絡、軟件、訪問控制等;程序類主要是指“過程文件”,涉及輸入、處理與輸出三個環節,結果常以“記錄”形式出現;記錄類主要是記錄程序文件結果,常以是表格形式出現。至于適用性聲明文件,企業應結合自身情況,參照ISO/IEC27001:2005標準的附錄A,有選擇性地作出聲明,并形成聲明文件。5.2.2體系必須具備的文件。主要包括方針、風險評估、處理、文件控制、記錄控制、內部審核、糾正與預防、控制措施有效性測量、管理評審與適用性聲明等。5.2.3任意性文件。企業可以針對自身業務、管理與信息系統等情況,制定自己獨有的信息方針、程序類文件。5.2.4文件的符合性。文件必須符合相關法律法規、ISO/IEC27001:2005標準以及企業實際要求,保證與企業其他體系文件協調一致,避免沖突,同時在文字描述準確且無二義。
6體系實施與運行
主要包括策略控制措施、過程和程序,涉及制定和實施風險處理計劃、選擇控制措施與驗證有效性、安全教育培訓、運行管理、資源管理以及安全事件應急處理等。
7體系的監視與評審
主要指對照策略、目標與實際運行情況,監控與評審運行狀態,主要涉及有效性評審、控制措施測試驗證、風險評估、內部審核、管理評審等環節,并根據評審結果編制與完善安全計劃。
8體系的保持和改進
主要是依據監視與評審結果,有針對性地持續改進。主要包括改進措施、制定完善措施、整改總結等,同時需相關方進行溝通,確保達到預計改進標準。
9結語
企業信息安全現狀范文第4篇
關鍵詞:信息化 信息安全 網絡安全
根據國家統計局年初公布的數字顯示,國內企業總體的99%都是中小企業,他們貢獻了超過一半的國內GDP。但截止到目前,這些中小企業的信息化水平仍然比較落后,其中針對信息安全的投人,更是鳳毛麟角。
對于國內占大多數的中小企業來說,如何在充分利用信息化優勢的同時,更好地保護自身的信息資產,已經成為一個嚴峻的挑戰。特別是近兩年來,網絡上的病毒、攻擊事件頻發,信息安全問題正在日益成為中小企業信息化進程中的難題。
一、什么是信息安全
信息是一種資產,與其它重要的資產一樣,它對一個組織而言具有一定的價值,因此需要適當的加以保護,而信息又可以以多種形式存在。如可以打印或者寫在紙上,以數字化的方式存儲,通過郵局郵寄或電子手段發送,表現在膠片上或以談話的方式說出來。總之,信息無論以什么形式存在,以什么方式存儲、傳輸或共享,都應得到恰當的保護。
所謂信息安全是指信息具有如下特征:
安全性:確保信息僅可讓授權獲取的人士訪問;完整性:保護信息和處理方法的準確和完善;可用性:確保授權人需要時可以獲取信息和相應的資產。
信息安全是指使信息避免一系列威脅,保障商務的連續性,最大限度地減少業務的損失,從而最大限度地獲取投資和商務的回報。它主要涉及到信息傳輸的安全、信息存儲的安全、以及網絡傳輸信息內容的審計三個方面,它可以通過實施一整套恰當的措施來獲得。但目前我國的信息安全令人堪憂,隨著政府上網和企業信息化的推進,越來越多的企業的日常業務已經無法脫離網絡和信息技術的支持,那么我國中小企業的信息安全現狀如何呢?
二、我國企業信息安全的現狀
(一)企業的重視程度
隨著信息化的加快,企業信息安全越來越受到重視,而我國的中小企業信息安全現階段正處于初級階段。在推進企業信息化的進程中,有些中小企業對于信息化概念的認識遠遠不夠,它們認為購置幾臺電腦放到公司,日常用來打打字,將單個機器連結到網上企業就信息化了,遠遠沒有認識到信息技術給企業所能帶來的巨大的變化,對于網絡安全更是沒有意識。
據調查,目前國內90%的網站存在安全問題,其主要原因是企業管理者缺少或沒有安全意識。某些企業網絡管理員甚至認為其公司規模較小,不會成為黑客的攻擊目標。如此態度,網絡安全更是無從談起。
(二)資金、技術、人員方面情況
已建立了企業內部信息化平臺的企業,由于資金、技術等方面的原因,還沒有把重點放到網絡安全管理上,尤其是中小企業的安全問題一直隱患重重。
據了解,許多中小企業沒有專門的網絡管理員,一般采用兼職管理方式,這使中小企業的網絡管理在安全性方面存在嚴重的漏洞,與大型企業相比,它們更容易受到網絡病毒的侵害,損失也比較嚴重。
根據IDC對2005年我國政府、企業用戶的信息安全狀況分析,約有34.8%的企業因內部雇員的行為(包括對內部資源的不合理使用和對內部數據缺乏有效保護)而造成企業出現安全問題。
(三)網絡維護、運行、升級方面的情況
在網絡的維護、運行、升級等事務性工作方面,由于工作繁重而且成本較高,一些善于精打細算的中小企業在防范黑客及病毒方面舍不得投入,據相關調查數據資料統計,國內七成以上的中小企業,一是缺乏基本的企業防毒知識,購買一些單機版防毒產品來防護整個企業網絡的安全。二是采購了并不適合自身網絡系統的企業防毒產品,因此留下許多安全隱患。三是技術力量薄弱,雖然部署了企業防毒產品,但是這些產品操作難度大、使用復雜,最終導致很難全面發揮效用,甚至成了擺設,這樣一來企業內部網絡就根本沒有什么安全而言。
三、如何保證我國中小企業的信息安全
(一)從企業的自身情況考慮
要解決中小企業網絡信息安全問題,不能僅依靠企業的安全設施和網絡安全產品,而應該考慮如何提高企業自身的網絡安全意識,將信息安全問題提升到重視的高度,要重視“人”的因素。具體表現在以下兩個方面:
1.提高安全認識
定期對企業員工進行網絡安全教育培訓深化企業的全員信息安全意識,企業管理層要制定完整的信息安全策略并貫徹執行,對安全問題要做到預先考慮和防備。
2.要求中小企業在上網的過程中要做到“一做三不要”
(1)將存有重要數據的電腦堅決同網絡隔離,同時設置開機密碼,并將軟驅、硬盤加密鎖定,進行三級保護。
(2)不要在自己的系統之內使用任何具有記憶命令的程序,因為這些程序不但能記錄用戶的擊鍵動作甚至能以快照的形式記錄到屏幕上發生的一切。
(3)不在網上的任何場合下隨意透露自己企業的任何安全信息。
(4)不要啟動系統資源共享功能,最后要盡量減少企業資源暴露在外部網上的機會和次數,減少黑客進攻的機會。
(二)從網絡安全角度考慮
1.從網絡安全服務商的角度來說,服務商要重視中小企業對網絡安全解決方案的需要,充分考慮中小企業的現實狀況,仔細調查和分析中小企業的安全因素,開發出適合中小企業實際情況的網絡安全綜合解決方案。此外,還應該注意投入大量精力在安全策略的施行及安全教育的開展方面,這樣才能為中小企業信息安全工作的順利開展提供堅實的保證。
2.要用防火墻將企業的局域網(Intranet)與互聯網之間進行隔離。由于網絡攻擊不斷升級,對應的防火墻軟件也應該及時跟著升級,這樣就要求我們企業的網管人員要經常到有關網站上下載最新的補丁程序,以便進行網絡維護,同時經常掃描整個內部網絡,以發現任何安全隱患并及時更改,才能做到有備無患。
3.企業用戶最好自己學會如何調試和管理自己的局域網系統,不要經常請別人來協助管理。中小企業要培養自己解決安全問題的能力,提高自己的信息安全技術。如果缺乏這方面的人才就應該去引進或者培養相關人才。
4.內部網絡系統的密碼要定期修改。
企業信息安全現狀范文第5篇
摘 要 企業信息化程度發展到一定水平,從防火墻、入侵檢測等安全硬件到文檔防泄密、行為管理等安全軟件,技術上都比較成熟且大部分企業都已實施部分安全項目。但實施安全項目之后并不是高枕無憂,管理是否到位及企業員工安全意識成為企業信息安全的短板,如何從管理角度提高企業的信息安全水平,已成為一個重要的課題。
關鍵詞 信息安全;管理;意識
中圖分類號TP39 文獻標識碼A 文章編號 1674-6708(2012)70-0171-02
從安全軟硬件出發,大多安全實施廠家已有較成熟的方案,一旦項目實施完成后,企業往往容易忽略人員意識、IT審計、后續管理等因素對信息安全的影響。本文就如何解決企業信息安全短板,從管理角度進行探討。
1 管理安全的含義和IT審計的特點
從大的方面來說,信息安全是指信息網絡的硬件、軟件及其系統中的數據受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統連續可靠正常地運行,信息服務不中斷。直接反映到企業來說,就是要通過實施一整套適當的控制措施實現企業各業務系統正常運行,確保安全目標的實現。本文從管理角度探討企業的信息安全,可以簡稱為管理安全,它是指建立并有效落實企業規章制度、安全管理規定等,來保證系統安全生存與運行。
企業安全管理的規章制度是否運行有效直接關系到企業安全目標能否保障,在此管理過程中需要引入IT審計。IT審計重點內容之一就是發現信息系統的潛在風險,可以說企業信息中心對潛在的IT風險是比較重視的。IT審計相對技術而言,更多側重于管理,比如在安全策略方面更側重于訪問授權的控制,以及定期核查是否按相關信息化制度辦事,還有就是有無進行過適當的滲透去檢驗系統的可靠性等。實施IT審計能夠提高企業信息系統的安全性,能夠客觀評價信息系統安全現狀。
2 從管理角度看企業中存在的主要信息安全威脅
1)企業日常信息化管理中,會碰到以下一些現象,如:明知計算機病毒無孔不入,卻不安裝殺毒軟件;個人認證的物品(如員工門禁卡)隨意借用他人;進入門禁系統之后,對他人尾隨不理不問;移動存儲介質外借他人,卻不知可能造成感染病毒或泄密;打印服務器、掃描服務器等公用電腦臨時存放許多信息卻不刪除。
從上述現象中可以得知,企業員工信息安全意識淡薄會產生較多安全漏洞。據《2011年度中國企業員工信息安全意識調查報告》顯示,30%的受訪者從來沒有接受過信息安全培訓,只有30%的企業會進行定期的信息安全培訓[1];
2)企業信息安全項目做的深度是與企業信息化發展水平相關的,一般企業會根據本身的信息化水平發展程度分步驟進行。企業初始階段會通過封USB端口,不配置光驅等形式防止電子文檔傳播至外界。現階段已有部分企業關注電子文檔防泄密的軟件,同時配以相應的制度,從一定程度上能達到預期的效果。項目實施后往往會發現效果難以保持,因為企業缺少相關的信息安全審計人員,在審計工作不到位的情況下,安全軟件的審計功能無法體現其價值;
3)企業通過安全軟件對電子文檔進行管理,在實物管理方面缺乏措施。辦公室文印區域是企業信息泄密的源頭之一,外單位人員進入企業進行交流時,通常會經過辦公室文印區域,員工打印文件后如不及時拿取,容易將技術資料留在在打印機上,給有心之人獲取,容易造成泄密。計算機、筆記本等辦公設備故障外移送修,送修前未經過審核批準,不對硬盤做處理,上述這些日常辦公現象存在著信息安全漏洞[2]。
3 信息安全短板的對策措施——強管理
盡管企業防火墻、防毒墻等安全硬件設施或安全軟件都較齊全,但是采取恰當的管理措施也能有效的提高信息安全水平,最終有效地保護企業信息資產。本文總結了以下幾種管理方法并加以說明。
1)提高員工安全意識,關鍵是做好培訓。一方面企業信息中心要組織好講師及培訓素材。培訓素材可結合生活中的信息安全案例或者通過動畫情景介紹等較生動的方式,寓教于樂,讓每個企業員工明白數據等無形資產的重要性,理解數據信息安全是企業的生存發展壯大的法寶。在培訓方式上,可采用循序漸進的培訓方式,不急于求全,可從最基本的啟用標準的計算機密碼(如大小寫字母+數字)、離開座位時使用屏保等開始培養。后續可陸續完善公司規章制度,同時認真落實,要讓員工真正懂得防止泄密的辦法;
2)通過IT審計嚴把信息安全管理關。企業做好IT審計,從以下幾方面入手:一方面是人才培養,企業審計部門需要引入類似IT審計師的角色,盡管現階段大部分中小企業未能做到這一點,但可參照國際上通用的認證培訓——國際信息系統審計師,把企業信息管理人員送出外培,提高兼職型IT審計人員的技術水平及能力;另一方面是IT審計人員職責要明確,從實踐上看,IT審計人員工作內容包括查看企業人員是否按照已有的規章制度進行審批手續、定期將審計報表反饋給高層,監督整改落實的情況及效果驗證,使企業自上而下重視信息安全管理;
3)讓安全軟件的審計功能發揮作用。市場上的電子文檔防泄密系統提供日志審計功能。日志系統主要用來跟蹤和記錄用戶對受控文件的操作、記錄管理員設定的策略和操作。企業系統管理員要對文件日志、部門日志、計算機日志、申請審批日志等進行定期檢查,同時發揮IT審計人員的監督作用,才可讓安全軟件的審計記錄發揮作用;
4)利用刷卡認證方式管理文檔輸出。辦公類信息安全管理方面,涉及到各類業務系統的賬戶管理、文檔輸出管理、存儲設備管理等。現有企業一般是通過制度約束,但效果不明顯,這里結合新的管理方式對文檔輸出管理進行說明。一般我們不會一直等在打印機旁,沒有把打印好的資料及時拿走。而所打印的資料大多是技術圖紙、商務合同、計劃等資料,讓人不經意地看到相關內容及敏感信息。要減少因遺忘而將已輸出的文檔滯留在文印設備上,可結合IC刷卡認證的方式,企業通過為文印設備配備一些讀卡器,只有當刷員工卡時,文檔才從文印設備輸出,員工可即刻拿走。
總之,企業信息安全是一個多點因素的難題,涉及技術、管理、應用等方面,隨著企業信息化的發展,各類信息系統及軟件資產不斷增多,從管理角度保障信息安全,增強企業員工安全意識,成為企業成長的重中之重。
參考文獻
