发布时间:2023-10-09 18:03:39
绪论:一篇引人入胜的企业信息安全的问题,需要建立在充分的资料搜集和文献研究之上。搜杂志网为您汇编了三篇范文,供您参考和学习。
中图分类号:TP3 文献标识码:A 文章编号:1671-7597(2013)12-0129-02
1 网络信息安全现状
现代企业的发展离不开信息网络,随着Web2.0时代的到来,越来越多的应用开始在互联网上流行起来,信息网络对提高企业生产效率、节约人员成本、获得产品信息等方面做出了巨大贡献,企业开始更为重视自身信息化的建设。然而,企业信息化速度的加快为企业信息安全工作提出了挑战,在网络发展的背后却存在着一个永恒的话题――信息安全。随着企业的安全生产、经营管理等工作越来越依赖信息网络,网络上的病毒、黑客以及其他不可预见的因素都对企业信息安全带来巨大威胁,在日趋多样化、专业化的攻击面前使得企业信息安全正面临严峻的形式和挑战。
近年来,网络安全问题频发,世界上每年遭受网络攻击的政府或者企业越来越多,2011年卡巴斯基实验室针对全球企业进行的IT风险调查显示,全球至少61%的企业遭遇过恶意软件的攻击。在互联网发源地―美国每年就有大约5万多起黑客攻击的事件,甚至信息安全工作防护严密的美国政府网站也不能幸免,更普通的企业。互联网具有开放性和无国界的特点,这就使得对网络攻击事件具有全球普遍性,我国也不能幸免,据国家计算机病毒应急处理中心的统计报告显示,我国每年有80%的企业、政府机关的网络系统曾经遭受过病毒或黑客的攻击。瑞星公司在2012年的《中国信息安全报告》中指出,我国共有超过7亿网民被病毒感染过,2009年上半年国内被挂马的网页数量突破2亿。例如2011年6月28日,新浪微博出现了一次比较大的XSS攻击事件,20:14,开始有大量带V的认证用户中招转发蠕虫;20:30,中的病毒页面无法访问;20:32,新浪微博中hellosamy用户无法访问。据统计,中国互联网用户每年因为网络安全损失被“黑掉”的钱财高达76亿。
上述网络信息安全问题的出现为国企业敲响了警钟,需要下大力气加强网络信息安全的防范和设计。
2 企业信息安全策略设计
2.1 病毒防护和查杀策略
病毒是信息安全的杀手,从病毒发作的情况来看,病毒的攻击目标没有特定性,而且越来越隐蔽。从个人网站到企业网络,无不受其所害,曾经有网络公司的防火墙被不明身份的黑客攻破了,牵扯到大量的用户信息,用户在该支付平台注册的电子邮箱以及登录密码面临极大风险。面对各式各样且不断发展演变中的病毒,企业对信息系统的日常维护和管理就显得尤为
重要。
企业网络部门工作人员要定期给办公司电脑操作系统存在的安全漏洞打补丁,还要给每个客户端都设置可靠的防毒软件、防火墙、漏洞扫描系统、日志系统,加强入侵检测和补丁管理,对企业遭受到的病毒攻击进行集中分析,掌握企业计算机系统中存在的安全隐患,采取有效的措施和方法防范由于病毒感染导致企业重要信息出现泄漏或者破坏。同时网络技术人员也要对公司所有电脑进行防病毒软件升级工作,确保网络内所有服务器和终端计算机都安装防病毒软件,将杀病毒软件设置成为自动升级状态,及时更新病毒特征码和系统补丁,防止由于个人疏忽造成没有及时升级带来病毒库的安全威胁,保证企业信息系统的正常运行。
另外对于企业而言,无论是服务器还是终端计算机都要加强防火墙设置,对外部入侵行为或者其他不安全的行为进行拦截,实际运行时,可以根据企业信息系统的需要,将一些服务器中不使用的端口关闭,尽量避免进行一些具有安全隐患的服务,防止利用这些端口或者服务进行外部攻击的行为发生。当然,网络技术人员要对不同端口的作用十分清楚,避免将企业信息系统正常运行的关闭,造成企业信息系统不能正常运行。
2.2 保证企业信息系统的平稳运行
保护企业信息系统的平稳运行,维护主要业务系统的安全,是现代企业网络信息安全的基本要求。企业信息系统的平稳运行包括多个方面,有操作登记的分配、用户账户与口令的保护、个人访问权限、用户身份验证等多个方面。我们需要做好以下工作。
1)做好重要资料备份工作。当服务器或者硬盘发生故障时,重要的企业数据会受到严重威胁,但往往公司简单的数据安全、信息安全体系对企业数据恢复、服务器数据恢复束手无策。为了保证信息系统的正常运行和业务的正常开展,专业的企业数据恢复、服务器数据恢复格外重要。大多数企业采用备份手段来解决日常的数据安全问题,企业在购买安装和配置服务器时,通常采用常见的两台服务器“一用一备”。企业网络技术人员将重要信息备份在一些光盘、U盘或者移动硬盘上,然后将其放置在不同的地方,避免同时受损害或者丢失,最大限度的保障企业信息安全和数据的完整性。
2)加强对关键业务系统的管理。关键业务系统应该具有最高的网络安全措施,其安全需求主要包括:访问控制,确保业务系统不被非法访问,保证数据不被网络内部破坏,安全预警,对于破坏关键业务系统的恶意行为能够及时发现、记录和跟踪等。2011年,韩国现代资本、韩国农协银行都遭受电脑黑客袭击,电脑网络瘫痪了三天,数以万计的客户受影响。这次攻击事件就是以IT运维部门的用户机位跳板实施的,背后原因是因为这些银行对最高级别权限管理不足,也没有基本的隔离安全机制,笔记本都可以直接连入外网,黑客通过窃取内部合法用户的权限进行非法活动。可见,企业应该加强对用户权限的管理;另外,在必要时进行网络隔离甚至物理隔离是必然的要求。同时,也要加强平时对于合法用户的行为审计,防范合法权限被滥用或被利用等情况的发生。
3)加强企业网络安全平台建设。目前很多公司推出的安全平台,就是依靠安全芯片为载体,通过软硬件的结合,可以为用户提供更加私密的加密存储空间,这样就可以将客户信息、账户信息等高度机密的信息安全存放起来。根据不同的场景需求,还可以通过安全平台搭建内部机密信息共享平台或工作组,比如某公司在进行专项会议时或者涉及商业机密文件共享时,可以建立起相对封闭的局域工作网络,让各部门的总监或管理层在同一局域网内共享机密信息,其他员工则没有查看服务器或者重要信息的权限。同时,还能够避免通过邮件、病毒、木马等非法手段盗取数据,造成不必要的损失。
2.3 健全有效的信息安全管理制度
没有安全管理,就没有信息安全。真正的网络安全实际上靠的不是这个或那个安全产品,而是自身固有的安全意识。寻求解决安全问题的根本方法在于不仅要具备安全可信的办公电脑,也要建立更加完善的数据安全管理制度。真正实现企业的信息安全管理仅仅依靠技术手段是不够的,必须对规章制度上加强企业人员的信息安全防范意识。
1)做好员工的培训的管理。信息只是一种编码形式,人才是信息的操作者,每个环节中安全隐患的最终来源都是人。为了能够加强企业工作人员的信息安全防范意识,企业要加强对公司员工的系统培训,从计算机基本知识到信息安全防范的具体方法都要进行细致讲解,针对一些员工在日常使用计算机过程中不规范行为进行及时矫正,针对一些年纪较大的、对计算机不是十分熟悉的老员工,企业网络技术人员要现场演示操作,让员工养成良好的使用习惯。同时要甄选出有丰富计算机操作经验的人员负责每个部分电脑的日常清洁、维护和管理,负责对部门电脑病毒库的升级、电脑的内部清理等工作,确保企业信息安全。
2)加强系统运行环境和维护管理,要加强对机房电源、空调系统、消防系统、监控系统、门禁装置等基础设施的维护和管理,确保其可靠、正常的运行。严禁非系统管理人员随意进入机房,严禁在机房内抽烟。严格落实机房巡视、系统巡检、运行测试、操作审批、机房出入登记、信息安全故障上报等工作制度。严禁在机房的服务器上浏览网页、随意下载软件、打游戏等。
3 结束语
总之,对于现代企业而言,信息技术的发展给企业信息安全带来巨大隐患,企业的信息安全也越来越受到信息安全部门和企业管理者的重视。信息安全工作是一个全方位的系统工程,每个企业面临的信息安全环境不同,企业应该结合自己实际情况,从思想上、技术上、管理上多管齐下,采取有针对性的信息安全策略,才能最大限度的降低信息安全威胁、保证企业信息安全,为企业健康长远发展保驾护航。
参考文献
[1]陈泽徐.浅析企业网络安全策略[J].电脑知识与技术,2009(09).
[2]沈传案,王吉伟.企业网络安全解决方案[J].计算机与信息技术,2008(06).
[3]冼沛勇.企业网络安全解决方案[J].石油工业计算机应用,2004(02).
[4]牛金才.企业网络安全解决方案浅析[J].煤,2003(02).
[5]石亦歌.企业网络安全解决方案[J].安防科技,2003(03).
中图分类号:F270 文献标识码:A 文章编号:1671-2064(2017)07-0018-01
1 导致企业信息安全问题的内部因素
1.1 对信息安全问题缺乏正确认识
部分企业由于在管理方面存在漏洞,导致企业内部对信息安全问题重视程度不足,无法认识到企业信息化建设对企业未来发展的意义与作用。由于我国中小企业在发展过程中对于信息安全问题的管理存在态度上的问题,导致信息安全问题逐渐成为制约我国中小企业发展的重要问题。
1.2 在信息化技术与操作方面的差距明显
从市场情况看,无论在信息安全的质量还是信息安全相关软件的数量方面都无法满足国内企业发展需要,信息技术的发展虽然为我国企业的信息化建设提供了技术支持,然而,信息技术的不断发展也使得各类黑客软件以及新型电脑病毒不断出现,对企业的信息安全问题造成严重威胁。
在操作方面,由于我国企业信息化建设起步较晚,信息化建设程度尚未脱离初级阶段,企业在信息化建设的过程中缺乏技术熟练的操作人员以及专业技能水平较高的人才队伍,始终是我国企业信息安全方面存在的比较严峻的问题,我国企业信息化建设的初级阶段不仅缺乏高水平操作人员与技术人员,在相应的管理人才方面也十分欠缺。优秀的管理人才不仅可以有效提高企业信息安全管理的水平,还能够为企业未来的发展提供相应的管理策略,有助于企业信息安全系统的建立与升级,提高企业信息安全管理的整体水平。
1.3 缺乏完善的法律法规
企业的发展离不开完善的法律制度以及相关法律法规的建立,关于企业的相关法律法规中涉及到信息安全的法律条文较少,覆盖面积较小,部分不法分子可以充分利用其中存在的漏洞作案,从而获取非法利益。由于缺乏完善的法律法规,我国企业在发展过程中存在着缺乏法律指引的情况,是我国企业信息化建设发展缓慢的原因之一。
2 导致企业信息安全问题的外在因素
随着市场经济的发展,各大企业在获取市场竞争力方面展开激烈角逐,各类中小企业为了在激烈的市场竞争中获取一块立足之地而努力。为了增强自身企业的实力遏制其他企业发展,许多不法分子开始使用违法手段盗取其他企业的机密信息或重要数据。最常见的手段是黑客入侵或病毒侵蚀手段。黑客入侵是由于受到网络黑客的攻击,导致企业出现重要信息、数据丢失或者信息安全系统出现问题。病毒侵蚀则是通过将电脑病毒移植到目讼低持校利用病毒来盗取相关信息。在实际生活中除了企业之间还有一部分人专门依靠盗取知名企业的重要信息、资料来换取高额利益报酬,对企业未来发展造成严重损害。
3 企业信息安全问题产生的形式及解决方法
3.1 信息安全问题产生的形式
信息系统遭到攻击的形式有三种,具体如下:
信息的截断。通过对信息系统中相关硬件设备以及信息传输路线的破坏,从而使企业的信息系统瘫痪,失去正常的信息传递功能。
信息的截获。在截断信息以后,通常都会采用搭线或是磁盘复制等手段来获取相关企业的重要信息与资源,影响了相关企业未来的发展。
信息的伪造。部分计算机技术以及信息技术的高手,在窃取其他公司相关信息数据的过程中,会对其系统注入一系列经伪造处理后的信息与数据,使其他企业由于数据信息方面存在的错误而受损,从而影响了相关企业的发展速度。
3.2 信息安全问题的解决办法
在解决企业信息安全问题的办法主要包括以下几个方面:
增强企业信息安全防护意识。我国企业在开展信息化建设过程中要端正自身态度,提高企业员工安全防护意识。
提高企业信息技术水平。在企业开展信息化建设过程中,信息技术的强弱程度直接决定企业信息安全系统的防御水平。软件毕竟是由人类设计出来的,并不是完美无瑕的防护体系,存在着被破解的可能性,但破解软件需要很强的信息技术水平,因此,高性能安全防护软件的引用可以有效提高企业的信息安全水平,减少企业信息化建设中信息安全存在的问题。
强化企业的信息管理工作。加强企业内部的管理组织建设,在组织内部设置网络主管、系统安全专家、安全操作员等相关职位,在确保系统安全问题不受影响的情况下进行日常操作与维护。加强企业安全管理人才队伍建设,提高内部人员素质水平,从而实现企业信息化建设与发展。
4 结语
企业的信息安全问题关系到企业在未来发展中能否获得足够的市场竞争力,而加强企业信息化建设,有效提升企业的信息化技术水平,逐渐使企业在激烈的市场竞争中立于不败之地。
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2011) 17-0000-01
Study on Military Enterprise Information Security Issues
Su Bin,Sun Hailong
(Shenyang Liming Aero-Engine Group Co.,Data Center,Shenyang110043,China)
Abstract:The military enterprises in the national economy and play all important role,along with in-depth informationtechnology,network information security issues are also increasingly prominent.This inform ation from the afected area enterprisenetwork security defense several major f-act0rs.discusses military emerprise network information security solutions.
Keywords:Military enterprises;Network information;Security issues
随着社会信息化建设进程加快,军工企业对计算机网络信息安全的威胁,需要不断采取自动化的方法,来提高计算机网络信息的安全性。密码编码学技术给计算机网络信息安全带来了新的革命,在网络的各个层面上实现信息安全,提高保密性和认证的密码编码算法显得更为重要,确保计算机网络信息的安全已经成为社会所关注的热点问题。
一、军工企业信息安全问题分析
(一)设备中的漏洞问题
当前,软硬件的漏洞无处不在。众所周知,计算机网络的主要软硬件大多依赖进口。这些软硬件都存在大量的安全漏洞,极易给病毒、隐蔽信道和可恢复密码等开辟捷径,极易为他人利用。每当发现新的漏洞,就会在短短的几分钟内传遍整个网络,攻击者就可以利用这些漏洞对网络进行攻击,网络信息处于被窃听、监视等多种安全威胁中,信息安全极度脆弱。
(二)计算机病毒问题
互连互通的网络给人们传输信息和共享信息带来了极大的方便,但同时也给病毒的传播大开方便之门。而且现在病毒的隐蔽性、传染性、破坏性历经演变之后都有了很大的提高,使网络用户防不慎防,给企业带来巨大的损失。境内外各种敌对势力一直把我国军工单位作为渗透、情报窃取的重点目标,无时不在对我进行情报窃密活动,黑客攻击是常用手段之一。黑客利用企业网络存在的一些安全漏洞,经过一些非法手段访问企业内部网络和数据资源,可以删除、复制、修改甚至毁坏一些重要数据,从而给企业和个人用户带来意想不到的损失。
(三)隔离墙问题
大部分军工企业没有做到非的内外部网络的物理隔离,或逻辑隔离强度不够;另外存在一机多用的情况,在内外网之间随意转换使用。致使病毒在多个网络中流传,存在一点突破全网尽失的现象。一些单位内部文件共享情况比较普遍,缺乏有效的授权访问机制,对内不设防的情况比较多。对于一些物理隔离较好的内外部网络,因移动存储介质能够在两个网络之间能交叉使用,致使病毒仍能在网络之间流转,甚至能通过接入互联网的计算机把信息传输出去,致使内外网的隔离失去实际意义。
二、密码学解决信息安全的方法
经过加密处理后的信息在网络中传输,将很大的程度上避免了数据信息泄漏,即使黑客或病毒截取了相关信息,也要通过花大量的功失解密才能获知明文。密码编码学是解决网络信息安全问题的核心技术,保证了数据信息的可控性、保密性完整性、不可否认性和可用性。
(一)数据信息采取加密保存
首选的是运用数据信息加密技术,加密方法有对称加密和非对称加密,通过设置对文件设置密码保存,提高数据信息的安全性,加密的算法有AES密码算法,DES算法、三重DES算法、RSA算法等。只有解密后才能访问和理解原始数据信息。可以采用可靠的加密软件对文件进行加密保护,如电子邮件、口令等数据,通过Outlook发送邮件,自带有加密和数字签名等安全设置功能,可以使用安全设置后再发送,达到数据信息安全的目的,即使被截取后,黑客也要耗时间去解密,达到数据信息时效安全性。
(二)链路和端对端加密相结合传输
数据信息在网络传输过程中,采取链路加密还是端对端的加密都是有一定的缺陷的,只有把两种方法结合起来应用,才能使数据信息保护更加安全,主机使用端对端加密密钥来加密用户数据,整个分组则使用链路加密,分组在网络中传输是,每个结点用链路加密密钥来解密它,读取信息头,然后在对它加密,发送到下一条链路上,这样除了在分组交换结点的存储器逗留的时间里信息头是明文外,整个分组一直都是安全的。
三、军工企业信息安全的策略
解决网络信息安全的对策和措施的遵旨是技术与管理相结合:技术和管理不是相互孤立的。对于任何一个企业来说,网络信息的安全不仅是技术方面的问题,更是管理的问题。制定完善的安全管理制度,精确到细节,从企业高管到部门负责人以及普通员工,确定每个用户在网络中扮演的角色和承担的安全责任义务,职责分明。企业应将网络安全管理工作作为一项重要指标纳入年度考核,营造“网络安全,人人有责”的全体动员的氛围。同时应制定详细的安全管理策略,并每年定时或不定时的对非网络的服务器和计算机进行抽查,根据检查结果,对不符合要求的要实事求是的下发整改通知,并在公司网络安全管理会议上进行通报。军工企业的网络信息安全建设是一项系统的、庞杂的、长期的工程。但我们也清醒的认识到,安全不是技术,而是技术与管理的结合,任何先进的安全技术都需要严谨的管理作为后盾,否则,只是一堆软硬件的组合。我们必须从自身做起,坚持不懈,确保军工企业的网络信息安全。
