论文部分内容阅读
摘 要:在全球信息化背景下,企业对信息资源的依赖程度越来越大, 由此带来的信息安全问题也日益突出。本文从技术、设备管理、人员管理、法规制度等方面分析了企业在信息安全管理上存在的问题,然后针对这些问题提出了一些改进措施。
关键词:企业;信息安全;信息技术;管理
一、企业信息安全存在的问题
(一)技术方面。企业在信息资源管理过程中,对技术非常依赖。但是现实中,企业相关管理人员对技术的重视程度远远不够。导致经常出现各种各样的技术问题,如企业网站被黑;企业主机或服务器被外部人员入侵,企业重要信息泄露;技术问题还有软件开发过程不规范,管理软件设计有漏洞;企业管理软件没有定期更新、升级等。
(二)管理方面。(1)物理设备的管理。企业信息安全管理的设备主要包括中心机房、服务器、网络设备、线路等方面,此外还有门卡、消防器材等。这些是企业信息安全保障系统的基础。这些设备受到的威胁主要表现在自然灾害、电磁辐射与恶劣工作环境方面。自然灾害无法避免。但是大多数企业对这些设备的管理的力度不够。此外企业对这些设备的防火、防盗意识还较欠缺。(2)人员的管理。1)企业人员安全意识较弱,多数员工使用默认密码和弱密码,增加了潜在的风险。也有员工无意泄露企业重要信息的情况发生。对于员工和管理员的操作缺少日志审计。2)企业对于网络安全队伍的建设工作积极性不高,认识不到网络安全所存在的隐患。未明确设置安全管理员、机房管理员、数据库管理员、网络管理员、存储管理员等岗位,岗位职责存在兼任情况。3)许多企业,网络系统管理人员技术水平达不到所需要求,会直接导致系列操作产生问题,进而使安全漏洞问题愈加严重。“入侵者”通常情况下会利用网络管理的不足,从而攻击,破坏网络安全并且获取有用的信息。他们也会通过改变页面的数据,进一步使系繁忙或改变重要信息,严重的更会导致系统崩溃,造成重大的经济损失。(3)信息及应用系统的管理。大多数企业没有对企业信息进行设置保密等级;应用系统业务运行情况方面的数据也没有及时保存;和应用系统相连的数据库中的重要表未进行加密处理;主机和数据库没有密码复杂度限制,也没有定期进行密码更改,存在弱口令;缺乏对应用系统和数据库的操作日志的收集和审计。
(三)信息安全文件及制度。通过调查发现,大多数企业没有完整的信息安全政策性文件。信息安全制度的制定也不规范,没有建立有效的发布、修订以及落实情况的管理办法。
二、企业信息安全的对策
(一)技术方面。(1)安装正版防护软件。企业放有重要信息的主机和服务器必须安装安全防护软件,如360安全卫士。必须是正版的,因为盗版的服务质量根本得不到有效保障。安装后定期对计算机进行检测保护。(2)信息备份。企业应用系统软件不能确保不出问题,有时也会瘫痪;还有存在被外部人员攻击的危险,为确保信息的不丢失, 有必要采取技术备份手段, 对重要信息进行定期备份。(3)访问权限。企业信息种类很多,它们的保密级别也是不一样的。同时企业的不同人员对信息访问的权利也是不一样的,为了使不用用户访问不同的信息,可通过技术手段,给不同的信息、应用系统,及不同的人员设置不同的权限。这样在一定程度上也可保障信息的安全。(4)网络访问。在互联网快速发展的今天,任何一个企业都离不开网络, 员工需要从网络中获取各种信息。然而, 畅通的网络也给非法分子提供了访问企业内部信息的通道。为此,有必要采用网络防火墙技术, 控制内网和外网的访问。同时应加强对恶意代码的防范,还要注意数据传输过程中的保密。(5)加解密。对企业重要信息进行加密。加密之后的信息,只有拥有密钥的人才能解密,看到信息的内容。这样对于没有访问权限的人或某些通过网络截获传递中的密文的非法分子来说,他们是无法看到真正的信息明文,只能得到零散的无用的信息。要注意的是应该对密码的复杂度进行要求,不能太简单。
(二)管理方面。(1)人员。企业的信息资产都是通过人来管理和控制的。对人的管理实际是信息安全工作中难度最大的工作,业界有一句话:“在企业中信息安全最大的风险是心怀不测的一些员工可能带来的风险”。所以我们要加强对员工尤其是掌握企业核心机密的高管进行安全管理。在他们调动离职时进行信息安全审计,以有效减少信息资产非授权的传遞。此外企业在和客户、供应商、合作伙伴合作中会涉及信息传递,并会产生新的信息。这些信息也需要很好的管理。(2)设备。应该针对机房精密调控、以及对网络线路制定保养和检查计划。对关键服务器进行续保。目前有部分弱电线路存在端口号和配线架编号以及到桌面的点位不符的情况,应进行梳理。
(三)安全管理制度的制定及实施。当前企业一要进行日常管理制度,安全管理制度的制定和实施;二是要加强计算机网络工作者的规范管理,培养安全意识,建立针对黑客攻击的“快速反应队”。同时必须进一步加快对高层次的网络管理人员的相关技能和经验培训,以尽早达到网络安全的目的。
加强法制教育,建立人事档案管理制度,并进行定期检查。为了更好的安全性管理,IP地址资源应统一管理和分配。对于IP资源的盗用行为,相关职能管理部门必须予以严肃处理。
关键词:企业;信息安全;信息技术;管理
一、企业信息安全存在的问题
(一)技术方面。企业在信息资源管理过程中,对技术非常依赖。但是现实中,企业相关管理人员对技术的重视程度远远不够。导致经常出现各种各样的技术问题,如企业网站被黑;企业主机或服务器被外部人员入侵,企业重要信息泄露;技术问题还有软件开发过程不规范,管理软件设计有漏洞;企业管理软件没有定期更新、升级等。
(二)管理方面。(1)物理设备的管理。企业信息安全管理的设备主要包括中心机房、服务器、网络设备、线路等方面,此外还有门卡、消防器材等。这些是企业信息安全保障系统的基础。这些设备受到的威胁主要表现在自然灾害、电磁辐射与恶劣工作环境方面。自然灾害无法避免。但是大多数企业对这些设备的管理的力度不够。此外企业对这些设备的防火、防盗意识还较欠缺。(2)人员的管理。1)企业人员安全意识较弱,多数员工使用默认密码和弱密码,增加了潜在的风险。也有员工无意泄露企业重要信息的情况发生。对于员工和管理员的操作缺少日志审计。2)企业对于网络安全队伍的建设工作积极性不高,认识不到网络安全所存在的隐患。未明确设置安全管理员、机房管理员、数据库管理员、网络管理员、存储管理员等岗位,岗位职责存在兼任情况。3)许多企业,网络系统管理人员技术水平达不到所需要求,会直接导致系列操作产生问题,进而使安全漏洞问题愈加严重。“入侵者”通常情况下会利用网络管理的不足,从而攻击,破坏网络安全并且获取有用的信息。他们也会通过改变页面的数据,进一步使系繁忙或改变重要信息,严重的更会导致系统崩溃,造成重大的经济损失。(3)信息及应用系统的管理。大多数企业没有对企业信息进行设置保密等级;应用系统业务运行情况方面的数据也没有及时保存;和应用系统相连的数据库中的重要表未进行加密处理;主机和数据库没有密码复杂度限制,也没有定期进行密码更改,存在弱口令;缺乏对应用系统和数据库的操作日志的收集和审计。
(三)信息安全文件及制度。通过调查发现,大多数企业没有完整的信息安全政策性文件。信息安全制度的制定也不规范,没有建立有效的发布、修订以及落实情况的管理办法。
二、企业信息安全的对策
(一)技术方面。(1)安装正版防护软件。企业放有重要信息的主机和服务器必须安装安全防护软件,如360安全卫士。必须是正版的,因为盗版的服务质量根本得不到有效保障。安装后定期对计算机进行检测保护。(2)信息备份。企业应用系统软件不能确保不出问题,有时也会瘫痪;还有存在被外部人员攻击的危险,为确保信息的不丢失, 有必要采取技术备份手段, 对重要信息进行定期备份。(3)访问权限。企业信息种类很多,它们的保密级别也是不一样的。同时企业的不同人员对信息访问的权利也是不一样的,为了使不用用户访问不同的信息,可通过技术手段,给不同的信息、应用系统,及不同的人员设置不同的权限。这样在一定程度上也可保障信息的安全。(4)网络访问。在互联网快速发展的今天,任何一个企业都离不开网络, 员工需要从网络中获取各种信息。然而, 畅通的网络也给非法分子提供了访问企业内部信息的通道。为此,有必要采用网络防火墙技术, 控制内网和外网的访问。同时应加强对恶意代码的防范,还要注意数据传输过程中的保密。(5)加解密。对企业重要信息进行加密。加密之后的信息,只有拥有密钥的人才能解密,看到信息的内容。这样对于没有访问权限的人或某些通过网络截获传递中的密文的非法分子来说,他们是无法看到真正的信息明文,只能得到零散的无用的信息。要注意的是应该对密码的复杂度进行要求,不能太简单。
(二)管理方面。(1)人员。企业的信息资产都是通过人来管理和控制的。对人的管理实际是信息安全工作中难度最大的工作,业界有一句话:“在企业中信息安全最大的风险是心怀不测的一些员工可能带来的风险”。所以我们要加强对员工尤其是掌握企业核心机密的高管进行安全管理。在他们调动离职时进行信息安全审计,以有效减少信息资产非授权的传遞。此外企业在和客户、供应商、合作伙伴合作中会涉及信息传递,并会产生新的信息。这些信息也需要很好的管理。(2)设备。应该针对机房精密调控、以及对网络线路制定保养和检查计划。对关键服务器进行续保。目前有部分弱电线路存在端口号和配线架编号以及到桌面的点位不符的情况,应进行梳理。
(三)安全管理制度的制定及实施。当前企业一要进行日常管理制度,安全管理制度的制定和实施;二是要加强计算机网络工作者的规范管理,培养安全意识,建立针对黑客攻击的“快速反应队”。同时必须进一步加快对高层次的网络管理人员的相关技能和经验培训,以尽早达到网络安全的目的。
加强法制教育,建立人事档案管理制度,并进行定期检查。为了更好的安全性管理,IP地址资源应统一管理和分配。对于IP资源的盗用行为,相关职能管理部门必须予以严肃处理。