淺談企業(yè)信息安全概述及防范
作者:閆兵
評論: 更新日期:2012年09月25日
論文關(guān)鍵詞:信息安全 風(fēng)險防范
論文摘要:該文對企業(yè)信息安全所面臨的風(fēng)險進行了深入探討�����,并提出了對應(yīng)的解決安全問題的思路和方法��。
隨著計算機信息化建設(shè)的飛速發(fā)展而信息系統(tǒng)在企業(yè)中所處的地位越來越重要����。信息安全隨著信息技術(shù)的不斷發(fā)展而演變���,其重要性日益越來越明顯����,信息安全所包含的內(nèi)容�、范圍也不斷的變化。信息安全有三個中心目標����。保密性:保證非授權(quán)操作不能獲取受保護的信息或計算機資源。完整性:保證非授權(quán)操作小能修改數(shù)據(jù)�����。有效性:保證非授權(quán)操作不能破壞信息或計算機資源�����。信息安全的重點放在了保護信息�����,確保信息在存儲��,處理�,傳輸過程中及信息系統(tǒng)不被破壞,確保對合法用戶的服務(wù)和限制非授權(quán)用戶的服務(wù)�����,以及必要的防御攻擊的措施���。
1 企業(yè)信息安全風(fēng)險分析
計算機信息系統(tǒng)在企業(yè)的生產(chǎn)�、經(jīng)營管理等方面發(fā)揮的作用越來越重要�,如果這些信息系統(tǒng)及網(wǎng)絡(luò)系統(tǒng)遭到破壞,造成數(shù)據(jù)損壞�����,信息泄漏,不能正常運行等問題����,則將對企業(yè)的生產(chǎn)管理以及經(jīng)濟效益等造成不可估量的損失,信啟�����、技術(shù)在提高生產(chǎn)效率和管理水平的同時���,也帶來了不同以往的安全風(fēng)險和問題����。
信息安全風(fēng)險和信息化應(yīng)用情況密切相關(guān)��,和采用的信息技術(shù)也密切相關(guān)�����,公司信息系統(tǒng)面臨的主要風(fēng)險存在于如下幾個方面�。
計算機病毒的威脅:在業(yè)信息安全問題中,計算機病毒發(fā)生的頻率高���,影響的面寬��,并且造成的破壞和損失也列在所有安全威脅之首���。病毒感染造成網(wǎng)絡(luò)通信阻塞,系統(tǒng)數(shù)據(jù)和文件系統(tǒng)破壞�����,系統(tǒng)無法提供服務(wù)甚至破壞后無法恢復(fù)�,特別是系統(tǒng)中多年積累的重要數(shù)據(jù)的丟失,損失是災(zāi)難性的����。
在目前的局域網(wǎng)建成,廣域網(wǎng)聯(lián)通的條件下�����,計算機病毒的傳播更加迅速�����,單臺計算機感染病毒�,在短時間內(nèi)可以感染到通過網(wǎng)絡(luò)聯(lián)通的所有的計算機系統(tǒng)�����。病毒傳播速度��,感染和破壞規(guī)模與網(wǎng)絡(luò)尚未聯(lián)通之時相比�,高出幾個數(shù)量級�。
網(wǎng)絡(luò)安全問題:企業(yè)網(wǎng)絡(luò)的聯(lián)通為信息傳遞提供了方便的途徑。業(yè)有許多應(yīng)用系統(tǒng)如:辦公自動化系統(tǒng)��,營銷系統(tǒng)���,電子商務(wù)系統(tǒng)����,ERP�����,CRM�,遠程教育培訓(xùn)系統(tǒng)等,通過廣域網(wǎng)傳遞數(shù)據(jù)���。目前大部分企業(yè)都采用光纖的方式連接到互聯(lián)網(wǎng)運營商���,企業(yè)內(nèi)部職工可以通過互聯(lián)網(wǎng)方便地瀏覽網(wǎng)絡(luò)查閱�����、獲取信息�,即時聊天����、發(fā)送電子郵件等�����。
如何加強網(wǎng)絡(luò)的安全防護���,保護企業(yè)內(nèi)部網(wǎng)上的信息系統(tǒng)和信息資源的安全�,保證對信息網(wǎng)絡(luò)的合法使用���,是目前一個熱門的安全課題�����,也是當前企業(yè)面臨的一個非常突出的安全問題�����。
信息傳遞的安全不容忽視:隨著辦公自動化��,財務(wù)管理系統(tǒng)��,各個企業(yè)相關(guān)業(yè)務(wù)系統(tǒng)等生產(chǎn)���,經(jīng)營方面的重要系統(tǒng)投入在線運行�,越來越多的重要數(shù)據(jù)和機密信息都通過企業(yè)的內(nèi)部局域網(wǎng)來傳輸���。
網(wǎng)絡(luò)中傳輸?shù)倪@些信息面臨著各種安全風(fēng)險�����,例如被非法用戶截取從而泄露企業(yè)機密�����;被非法篡改�����,造成數(shù)據(jù)混亂���,信息錯誤從而造成工作失誤�����。
用戶身份認證和信息系統(tǒng)的訪問控制急需加強:企業(yè)中的信息系統(tǒng)一般為特定范圍的用戶使用��,信息系統(tǒng)中包含的信息和數(shù)據(jù)�,也只對一定范圍的用戶開放��,沒有得到授權(quán)的用戶不能訪問���。為此各個信息系統(tǒng)中都設(shè)計r用戶管理功能,在系統(tǒng)中建立用戶�����,設(shè)置權(quán)限�,管理和控制用戶對信息系統(tǒng)的訪問。這些措施在一定能夠程度上加強系統(tǒng)的安全性��。但在實際應(yīng)用中仍然存在一些問題����。
一是部分應(yīng)用系統(tǒng)的用戶權(quán)限管理功能過于簡單��,能靈活實現(xiàn)更細的權(quán)限控制��。二是各應(yīng)用系統(tǒng)沒有一個統(tǒng)一的用戶管理����,企業(yè)的一個員工要使用到好幾個系統(tǒng)時��,在每個應(yīng)用系統(tǒng)中都要建立用戶賬號�����,口令和設(shè)置權(quán)限����,用戶自己都記不住眾多的賬號和口令,使用起來非常不方便����,更不用說賬號的有效管理和安全了。
如何為各應(yīng)用系統(tǒng)提供統(tǒng)一的用戶管理和身份認證服務(wù)�����,是我們開發(fā)建設(shè)應(yīng)用系統(tǒng)時必須考慮的一個共性的安全問題。
2 解決信息安全問題的基本原則
企業(yè)要建立完整的信息安全防護體系��,必須根據(jù)企業(yè)實際情況�,,結(jié)合信息系統(tǒng)建設(shè)和應(yīng)用的步伐��,統(tǒng)籌規(guī)劃��,分步實施����。
2.1做好安全風(fēng)險的評估
進行安全系統(tǒng)的建設(shè),首先必須全面進行信息安全風(fēng)險評估�����,找出問題�,確定需求�,制定策略,再來實施�,實施完成后還要定期評估和改進。
信息安全系統(tǒng)建設(shè)著重點在安全和穩(wěn)定��,應(yīng)盡量采用成熟的技術(shù)和產(chǎn)品�����,不能過分求全求新。
培養(yǎng)信息安全專門人才和加強信息安全管理工作必須與信息安全防護系統(tǒng)建設(shè)同步進行����,才能真正發(fā)揮信息安全防護系統(tǒng)和設(shè)備的作用。
2.2采用信息安全新技術(shù)��,建立信息安全防護體系
企業(yè)信息安全面臨的問題很多���,我們可以根據(jù)安全需求的輕重緩急����,解決相關(guān)安全問題的信息安全技術(shù)的成熟度綜合考慮��,分步實施���。技術(shù)成熟的�����,能快速見效的安全系統(tǒng)先實施��。
2.3根據(jù)信息安全策略����,出臺管理制度,提高安全管理水平
信息安全的管理包括了法律法規(guī)的規(guī)定����,責(zé)任的分化,策略的規(guī)劃�����,政策的制訂�����,流程的制作��,操作的審議等等���。雖然信息安全“七分管理��,三分技術(shù)”的說法不是很精確�����,但管理的作用可見一斑��。
