序言:寫作是分享個(gè)人見(jiàn)解和探索未知領(lǐng)域的橋梁����,我們?yōu)槟x了8篇的企業(yè)安全信息樣本,期待這些樣本能夠?yàn)槟峁┴S富的參考和啟發(fā),請(qǐng)盡情閱讀���。
第1篇
隨著信息化的高速發(fā)展,為企業(yè)及社會(huì)帶來(lái)了顯而易見(jiàn)的效益:提高的工作效率����、減少的紙張浪費(fèi)��、快捷方便的通訊等等��。但信息化也是一柄"雙刃劍"�����,尤其是在企業(yè)管理����、商業(yè)保密等工作中���,還存在著令人堪憂的隱患:
一是物理安全風(fēng)險(xiǎn)。物理安全風(fēng)險(xiǎn)包括計(jì)算機(jī)系統(tǒng)的設(shè)備�����、設(shè)施和信息面臨因自然災(zāi)害���、環(huán)境事故(如斷電)�����、人為物理操作失誤以及不法分子進(jìn)行違法犯罪等風(fēng)險(xiǎn)����。
二是數(shù)據(jù)安全風(fēng)險(xiǎn)���。數(shù)據(jù)安全風(fēng)險(xiǎn)包括競(jìng)爭(zhēng)性業(yè)務(wù)的經(jīng)營(yíng)和管理數(shù)據(jù)泄漏��,數(shù)據(jù)被人為惡意篡改或破壞等�����。
三是網(wǎng)絡(luò)安全風(fēng)險(xiǎn)����。網(wǎng)絡(luò)安全風(fēng)險(xiǎn)包括病毒造成網(wǎng)絡(luò)癱瘓與擁塞、內(nèi)部或外部人為惡意破壞造成網(wǎng)絡(luò)設(shè)備癱瘓���、來(lái)自互聯(lián)網(wǎng)黑客的入侵威脅等����。
二���、保證企業(yè)信息安全的基本對(duì)策
2.1正確認(rèn)識(shí)企業(yè)信息安全問(wèn)題����。
企業(yè)的信息安全問(wèn)題�����,絕不僅僅是一個(gè)僅靠防火墻�����、密碼等等技術(shù)就能解決的問(wèn)題�����,它還與人們的職業(yè)道德��、社會(huì)道德以及企業(yè)管理等問(wèn)題密切相關(guān)���。因此���,在維護(hù)企業(yè)信息安全時(shí),我們必須站在宏觀的角度對(duì)問(wèn)題進(jìn)行考慮�����。在過(guò)去看來(lái)����,一個(gè)企業(yè)信息的安全問(wèn)題,是領(lǐng)導(dǎo)層或者IT單個(gè)部門的事情�����,但是憑少數(shù)人或部門的工作���,對(duì)于保障公司的信息不被泄漏�����,防護(hù)信息存儲(chǔ)不被破壞���、攻擊和偷盜是很難的事��。筆者認(rèn)為����,意識(shí)指導(dǎo)行動(dòng)���,信息安全問(wèn)題首先要解決的是員工的思想認(rèn)識(shí)問(wèn)題�����,只有企業(yè)的每一個(gè)人都認(rèn)識(shí)到信息安全的重要性�����,才能在工作中自覺(jué)地維護(hù)信息安全�����。因?yàn)樵谌魏我粋€(gè)體系中����,人都是最活躍��、最具有影響力和決定意義的因素���,因此對(duì)于企業(yè)的信息安全問(wèn)題而言��,企業(yè)內(nèi)部員工才是保護(hù)信息安全的最可靠���、最有效的重大保障。此外�����,還可以加強(qiáng)引進(jìn)信息安全技術(shù)人才以及信息安全管理人才��,并在日常工作中���,加強(qiáng)對(duì)隊(duì)伍專業(yè)知識(shí)以及工作技能的培訓(xùn)�����,從而為企業(yè)建設(shè)一支強(qiáng)有力的信息安全保衛(wèi)隊(duì)伍���。其次信息管理部門要全面作好專業(yè)技術(shù)支持與防范工作�����,根據(jù)業(yè)務(wù)的需求采取適當(dāng)?shù)谋Wo(hù)措施�����,實(shí)施專業(yè)應(yīng)用系統(tǒng)����。例如�����,保護(hù)企業(yè)信息安全的技術(shù)可以采用主動(dòng)反擊�����、網(wǎng)絡(luò)入侵陷阱����、密碼、取證、防火墻�����、安全服務(wù)���、防病毒、可信服務(wù)�����、PKI服務(wù)��、身份識(shí)別����、備份恢復(fù)、網(wǎng)絡(luò)隔離等等保護(hù)產(chǎn)品以及保護(hù)技術(shù)��,通過(guò)確保信息安全的最大化��,來(lái)實(shí)現(xiàn)企業(yè)生產(chǎn)經(jīng)營(yíng)持續(xù)發(fā)展以及經(jīng)濟(jì)效益的最大化��。此外�����,還可以在工作的過(guò)程中,進(jìn)一步優(yōu)化企業(yè)信息安全管理���,并進(jìn)行管理監(jiān)控以及安全風(fēng)險(xiǎn)評(píng)估����,分析入侵防范���、服務(wù)器架構(gòu)等等關(guān)鍵問(wèn)題���,以全面性、多角度的掌控��,確保企業(yè)信息系統(tǒng)的安全性����、穩(wěn)定性,因?yàn)樾畔踩珕?wèn)題不具有靜態(tài)性�����,信息管理始終處在一個(gè)不停變動(dòng)的動(dòng)態(tài)性過(guò)程�����,因此即使我們不可能確保信息的絕對(duì)安全,也必須做到相對(duì)安全��,從而最大限度的降低企業(yè)風(fēng)險(xiǎn)���。
2.2建立健全信息安全管理制度�����。
信息安全不僅是技術(shù)問(wèn)題,更主要是管理問(wèn)題����。任何技術(shù)措施只能起到增強(qiáng)信息安全防范能力的作用,俗話說(shuō)“三分技術(shù)���,七分管理”��,只有良好的管理工作才能使保障技術(shù)措施得到充分發(fā)揮���,是能否對(duì)信息網(wǎng)絡(luò)實(shí)施有效信息安全保障的關(guān)鍵。現(xiàn)在中國(guó)石油股份有限公司內(nèi)控體系中涉及信息內(nèi)部控制的《信息系統(tǒng)總體控制辦法》(以下簡(jiǎn)稱“GCC”)就很好的涵蓋了信息安全的各個(gè)方面����,包括了機(jī)房管理���、服務(wù)器管理、網(wǎng)絡(luò)管理和系統(tǒng)管理等��。因此在實(shí)際的工作中��,我們可以通過(guò)“三步驟”來(lái)實(shí)現(xiàn)企業(yè)信息的安全管理制度的健全化���、完善化�����。第一��,結(jié)合企業(yè)自身的實(shí)際����,分析企業(yè)存在的問(wèn)題以及預(yù)期的目標(biāo)�����,制定具有科學(xué)性���、合理性�����、實(shí)效性���、可行性的信息安全管理制度���,使保護(hù)信息安全工作做到有法可依,有章可循���。第二,建立信息安全管理機(jī)構(gòu)��,明晰信息安全管理負(fù)責(zé)人的職務(wù)和責(zé)任�����,并建立相應(yīng)的考核機(jī)制和激勵(lì)機(jī)制�����,以督促����、鼓勵(lì)相關(guān)負(fù)責(zé)人的工作��,提高信息管理工作質(zhì)量����。第三��,真正貫徹管理措施�����,加強(qiáng)制度的執(zhí)行力度�����,只有這樣�����,才能從根本上實(shí)現(xiàn)管理工作以及工作目標(biāo)�����,最終提高企業(yè)的信息安全管理水平���。
三���、加強(qiáng)企業(yè)信息安全保障的幾點(diǎn)措施
如何有效地解決企業(yè)信息安全的專業(yè)性管理與技術(shù)性防范���,筆者認(rèn)為可從以下幾個(gè)方面著手。
3.1實(shí)行嚴(yán)格的網(wǎng)絡(luò)管理����。企業(yè)網(wǎng)與互聯(lián)網(wǎng)的物理隔離、防火墻設(shè)置以及端口限制���,與互聯(lián)網(wǎng)相比安全性較高����,但在日常運(yùn)行管理中我們?nèi)匀幻媾R網(wǎng)絡(luò)鏈路維護(hù)�����、違規(guī)使用網(wǎng)絡(luò)事件等問(wèn)題��,具體而言:一是在IP資源管理方面����,采用IP+MAC捆綁的技術(shù)手段防止用戶隨意更改IP地址和隨意更換交換機(jī)上的端口。這樣����,就不會(huì)出現(xiàn)IP地址被盜用而不能正常使用網(wǎng)絡(luò)的情況;二是在網(wǎng)絡(luò)流量監(jiān)測(cè)方面��,使用網(wǎng)絡(luò)監(jiān)測(cè)軟件查看數(shù)據(jù)�����、視頻���、語(yǔ)音等各種應(yīng)用的利用帶寬�����,防止頻繁進(jìn)行大文件的傳輸���,甚至發(fā)現(xiàn)病毒的轉(zhuǎn)移及傳播方向。三是加強(qiáng)服務(wù)器管理��。常見(jiàn)應(yīng)用服務(wù)器安裝的操作系統(tǒng)多為WindowsServer����,可利用其自帶的安全管理功能進(jìn)行設(shè)置���,包括服務(wù)器安全審核、組策略實(shí)施�����、服務(wù)器的備份策略以及系統(tǒng)補(bǔ)丁更新等���。
3.2加強(qiáng)客戶端監(jiān)管�����。對(duì)大多數(shù)單位的網(wǎng)管來(lái)說(shuō)����,客戶端的管理都是他們最頭痛的問(wèn)題����。只有得力的措施才能解決這個(gè)問(wèn)題,這里推薦以下方法:
(1)將客戶端都加入到域中���,使客戶端強(qiáng)制性納入管理員集中管理的范圍。
(2)只給用戶以普通域用戶的身份登錄到域����,這樣就可以限制他們?cè)诒镜赜?jì)算機(jī)上安裝有安全隱患軟件的權(quán)利��。
(3)實(shí)現(xiàn)客戶端操作系統(tǒng)補(bǔ)丁程序的自動(dòng)安裝����。
(4)利用企業(yè)IT部門的工作職能��,設(shè)置熱線幫助和技術(shù)支持人員����,統(tǒng)一管理局域網(wǎng)內(nèi)各客戶端問(wèn)題。
3.3堅(jiān)持進(jìn)行數(shù)據(jù)備份���。由于應(yīng)用系統(tǒng)的加入����,各種數(shù)據(jù)庫(kù)日趨增長(zhǎng)����,如何確保數(shù)據(jù)在發(fā)生故障或?yàn)?zāi)難性事件情況下不丟失,是當(dāng)前面臨的一個(gè)難題�����。從成本及易操作性考慮,這里推薦以下兩種數(shù)據(jù)備份方法:一種是用硬盤進(jìn)行數(shù)據(jù)備份���;另一種是采用本地磁盤陣列來(lái)分別實(shí)現(xiàn)各服務(wù)器的本地硬盤數(shù)據(jù)冗余����。
第2篇
[摘要] 隨著經(jīng)濟(jì)全球化進(jìn)程的加快��,企業(yè)信息安全將成為企業(yè)面臨到的一個(gè)主要問(wèn)題����,加強(qiáng)信息安全管理也已成為時(shí)代的召喚。本文介紹了企業(yè)信息安全��,以及石油石化企業(yè)信息化建設(shè)���,分析了信息安全對(duì)石油石化企業(yè)的意義以及應(yīng)對(duì)策略���。
[關(guān)鍵詞] 信息安全;信息化建設(shè)�����;安全策略
在經(jīng)濟(jì)全球化的今天,企業(yè)相關(guān)人員對(duì)信息安全越來(lái)越關(guān)注����。雖然企業(yè)采取了很多與員工簽訂保密協(xié)議�����,建立防火墻�����,以及安全管理中心等措施���,但還是發(fā)生了像天涯社區(qū)���、新浪等泄露用戶密碼、個(gè)人信息的安全事件���。企業(yè)提高計(jì)算機(jī)與信息管理的水平可以防范由信息安全所造成的各項(xiàng)損失�����,完善企業(yè)信息安全管理體系是很多企業(yè)都會(huì)面臨到的一個(gè)主要問(wèn)題�����,而作為我國(guó)國(guó)民經(jīng)濟(jì)支柱產(chǎn)業(yè)的石油石化企業(yè)更應(yīng)該加強(qiáng)信息安全的管理��。
一���、企業(yè)信息安全定義
近年來(lái)�����,經(jīng)濟(jì)全球化呈現(xiàn)加速發(fā)展的趨勢(shì)���,越來(lái)越多的發(fā)展中國(guó)家融入到經(jīng)濟(jì)全球化的大潮之中。世界政治���、經(jīng)濟(jì)形勢(shì)的深刻變化使國(guó)家安全的內(nèi)涵出現(xiàn)了新的變化����,國(guó)家經(jīng)濟(jì)利益和國(guó)家經(jīng)濟(jì)競(jìng)爭(zhēng)力隨即上升至國(guó)家安全的優(yōu)先位置���,國(guó)家經(jīng)濟(jì)安全開(kāi)始成為國(guó)家安全的核心�����?����?鐕?guó)并購(gòu)是經(jīng)濟(jì)全球化時(shí)代的重要特��,尤其是近幾年來(lái)�����,經(jīng)濟(jì)全球化的日益發(fā)展使資本的全球擴(kuò)張進(jìn)一步加強(qiáng)���,企業(yè)兼并活動(dòng)達(dá)到有史以來(lái)的最高峰。在各跨國(guó)企業(yè)擴(kuò)大占有其他國(guó)家市場(chǎng)�����、資源和技術(shù)時(shí)��,往往使被收購(gòu)企業(yè)所在國(guó)受到很大沖擊��,甚至威脅到他國(guó)的經(jīng)濟(jì)安全�����。
企業(yè)信息安全是一個(gè)復(fù)雜的、多維的動(dòng)態(tài)體系����,受到諸多外界因素的影響,因而需要從系統(tǒng)的高度進(jìn)行綜合性的概括��。企業(yè)信息安全有兩種解釋:一種是從具體的信息安全技術(shù)系統(tǒng)的角度著手��,來(lái)管理企業(yè)信息���,提高安全性�����;另一種是建立某些被指定的安全信息體系��,例如:銀行指揮系統(tǒng)等��,從而加強(qiáng)企業(yè)信息的安全���。企業(yè)信息安全的基礎(chǔ)內(nèi)容主要有:實(shí)體和運(yùn)行,以及信息資產(chǎn)與人員安全��。實(shí)體安全也是指硬件安全��,既保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)硬件和存儲(chǔ)媒體的安全,又防止計(jì)算機(jī)硬件���、設(shè)備等因濕度過(guò)大����、溫度過(guò)高�����、摩擦等因素而出現(xiàn)的物理?yè)p壞��。同時(shí)����,維護(hù)硬件運(yùn)行環(huán)境的穩(wěn)定也是實(shí)體安全的范疇���。運(yùn)行安全是保障信息處理過(guò)程的安全運(yùn)行����,避免出現(xiàn)程序性故障���、死機(jī)等現(xiàn)象�����,保障系統(tǒng)功能的安全��。信息資產(chǎn)安全則是確保信息的控制權(quán)在企業(yè)本身手里�����,不被惡意篡改或破壞��,不被非法操作��、誤操作��、復(fù)制����,功能穩(wěn)定等。人員安全主要是指信息系統(tǒng)使用人員能夠有明確保護(hù)信息安全的意識(shí)�����,遵紀(jì)守法����,擁有保障企業(yè)相關(guān)信息安全的技能和能力�����。
二���、石油石化企業(yè)的信息化建設(shè)
在國(guó)際金融危機(jī)的沖擊下,我國(guó)石油石化企業(yè)受到種種壓力��,但同時(shí)也遇到不少發(fā)展的機(jī)遇���。金融危機(jī)背景下����,提升企業(yè)競(jìng)爭(zhēng)能力和抗風(fēng)險(xiǎn)能力更顯得重要���,石化企業(yè)需堅(jiān)持并加強(qiáng)信息化應(yīng)用,不斷地深化和優(yōu)化應(yīng)用�����。
石油石化企業(yè)是我國(guó)最早開(kāi)展信息化建設(shè)的行業(yè)之一�����。經(jīng)過(guò)多年的建設(shè),加之逐年增加投入����,石化行業(yè)整體信息化應(yīng)用水平在不斷提高,并取得了較高的成績(jī)��。據(jù)中國(guó)石油和化學(xué)工業(yè)協(xié)會(huì)調(diào)研顯示���,勘探與生產(chǎn)技術(shù)數(shù)據(jù)管理系統(tǒng)���、管道生產(chǎn)管理系統(tǒng)、ERP系統(tǒng)等目前在大部分石油石化企業(yè)中得到應(yīng)用并發(fā)揮了重要作用���,集成與深化應(yīng)用已經(jīng)成為石油石化企業(yè)信息化建設(shè)的主流�����。在當(dāng)前國(guó)際金融危機(jī)沖擊之下��,信息化在優(yōu)化資源配置�����、強(qiáng)化過(guò)程管控���、支持管理創(chuàng)新���、提高經(jīng)營(yíng)管理水平和勞動(dòng)生產(chǎn)率等方面的支撐作用越來(lái)越顯著。
三����、石油石化企業(yè)信息安全的意義
石油石化企業(yè)在國(guó)民經(jīng)濟(jì)中扮演者重要的角色,是其重要的支柱產(chǎn)業(yè)���,擔(dān)負(fù)著保障國(guó)家油氣供應(yīng)安全的重要責(zé)任�����。國(guó)家形象����、安全及國(guó)民經(jīng)濟(jì)也可能要受石油石化企業(yè)安全的影響����。近幾十年石油石化企業(yè)的發(fā)展主要得益于信息技術(shù)的發(fā)展���。石油石化企業(yè)運(yùn)營(yíng)絕大多數(shù)工序���,從地震����、鉆井到化工作業(yè)����、生產(chǎn)工藝,甚至是管理手段��、戰(zhàn)略決策等都是依靠信息系統(tǒng)來(lái)實(shí)現(xiàn)的�����。信息系統(tǒng)一旦癱瘓����,企業(yè)的運(yùn)營(yíng)就要中斷。
前不久���,互聯(lián)網(wǎng)一度讓人望而卻步����,CSDN、天涯���、新浪���、京東商城、網(wǎng)易公司�����、支付寶等互聯(lián)網(wǎng)公司以及多家銀行深陷“泄密門”���。這使得本來(lái)就對(duì)互聯(lián)網(wǎng)不放心的廣大消費(fèi)者更加遠(yuǎn)離了網(wǎng)絡(luò)購(gòu)物��,一些網(wǎng)絡(luò)消費(fèi)者也紛紛降低了購(gòu)物頻率��。
四��、中海油的企業(yè)信息安全策略
信息化是中海油科學(xué)管理的重要手段��,也是企業(yè)的核心競(jìng)爭(zhēng)力之一����。多年來(lái)中海油一直堅(jiān)持業(yè)務(wù)驅(qū)動(dòng)應(yīng)用��,技術(shù)引領(lǐng)創(chuàng)新�,著力打造數(shù)字海油,加強(qiáng)工業(yè)化與信息化的融合�,提升中海油信息化水平。多年來(lái)建設(shè)了MPLS云網(wǎng)絡(luò)�,實(shí)現(xiàn)了物理統(tǒng)一、邏輯共享的網(wǎng)絡(luò)鏈路���;構(gòu)建了以LotusNotes為基礎(chǔ)的OA辦公平臺(tái)�;打造了以SAP為核心的ERP系統(tǒng)平臺(tái)���;建設(shè)了勘探����、開(kāi)發(fā)�、生產(chǎn)、鉆完井等生產(chǎn)管理信息系統(tǒng)和Scada����、DCS、MES生產(chǎn)信息管理系統(tǒng)�。這些系統(tǒng)的建立為提高石油的產(chǎn)量,加速企業(yè)的運(yùn)行效率奠定了基礎(chǔ)����,使得中海油各生產(chǎn)運(yùn)行業(yè)務(wù)系統(tǒng)建設(shè)穩(wěn)步推進(jìn)��,實(shí)現(xiàn)了整體項(xiàng)目生產(chǎn)數(shù)據(jù)的完整��、有序化管理�,便于生產(chǎn)經(jīng)營(yíng)決策��。
隨著國(guó)際化的進(jìn)程��,中海油和國(guó)外公司的合作聯(lián)系越來(lái)越密切��,如果不加強(qiáng)信息安全�,輕則出現(xiàn)宕機(jī)、數(shù)據(jù)缺失�����、系統(tǒng)停止服務(wù)等信息服務(wù)事件�����,重則會(huì)影響我國(guó)的石油產(chǎn)業(yè)和我國(guó)的國(guó)民經(jīng)濟(jì)����。目前在對(duì)網(wǎng)絡(luò)安全方面主要從以下幾點(diǎn)展開(kāi)的:
(1)物理安全風(fēng)險(xiǎn)
在物理安全方面�����,企業(yè)建立合格的機(jī)房環(huán)境,設(shè)置合理的網(wǎng)絡(luò)構(gòu)架�����,購(gòu)置高性能的硬件設(shè)施�����,同時(shí)安裝高效的����、實(shí)時(shí)的預(yù)警系統(tǒng)等。在這些系統(tǒng)的和人員管理的情況下�����,防止設(shè)備因水災(zāi)�����、火災(zāi)����、系統(tǒng)故障等導(dǎo)致的計(jì)算機(jī)硬件方面的安全問(wèn)題�。
(2)網(wǎng)絡(luò)管理體系方面的安全
加強(qiáng)網(wǎng)絡(luò)管理體系�,可以減少企業(yè)中責(zé)權(quán)不明、管理混亂等方面的安全隱患�,提高員工的安全意識(shí)。同時(shí)���,還可以及時(shí)發(fā)現(xiàn)一些外來(lái)的網(wǎng)絡(luò)攻擊和惡意的破壞�。對(duì)內(nèi)部終端進(jìn)行管理����,通過(guò)流量限制計(jì)算機(jī)上傳下載速度也是有效的網(wǎng)絡(luò)管理體系的一部分。
(3)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的風(fēng)險(xiǎn)
拓?fù)浣Y(jié)構(gòu)形象的描述了企業(yè)網(wǎng)絡(luò)的組織結(jié)構(gòu)以及各個(gè)元件之間的相互關(guān)系����,對(duì)企業(yè)的網(wǎng)絡(luò)安全系統(tǒng)有著重要的影響力。假如外部和內(nèi)部進(jìn)行聯(lián)系�,內(nèi)部網(wǎng)絡(luò)系統(tǒng)受到威脅,就會(huì)通過(guò)這個(gè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)一層一層的影響其他的系統(tǒng)�,進(jìn)而可能使整個(gè)網(wǎng)路拓?fù)浣Y(jié)構(gòu)癱瘓,影響企業(yè)的正常運(yùn)行�����。
同時(shí),面對(duì)日益高速化發(fā)展的今天����,工作人員容易受到外界的蠱惑,因此企業(yè)應(yīng)該加強(qiáng)對(duì)企業(yè)人員網(wǎng)絡(luò)安全維護(hù)的教育�����,提高人員安全性�。
五�、技術(shù)展望
云計(jì)算的發(fā)展為未來(lái)企業(yè)網(wǎng)絡(luò)安全提供了又一個(gè)技術(shù)平臺(tái)。云計(jì)算是通過(guò)網(wǎng)絡(luò)把成千上萬(wàn)的計(jì)算機(jī)硬件資源和軟件資源聚合成一個(gè)具有強(qiáng)大計(jì)算能力的系統(tǒng)���,并借助各種服務(wù)模式把強(qiáng)大的計(jì)算能力提供給終端用戶�����,使人們能夠像使用電�、水那樣使用信息資源�。
在經(jīng)濟(jì)全球化的今天,企業(yè)相關(guān)人員對(duì)信息安全越來(lái)越關(guān)注��。雖然企業(yè)采取了很多與員工簽訂保密協(xié)議,建立防火墻�,以及安全管理中心等措施,但還是發(fā)生了像天涯社區(qū)�����、新浪等泄露用戶密碼��、個(gè)人信息的安全事件�。云技術(shù)網(wǎng)頁(yè)威脅管理部署和操作簡(jiǎn)單,不僅有效且高效的防護(hù)����,而且支持遠(yuǎn)程辦公室和移動(dòng)工作,“網(wǎng)絡(luò)效應(yīng)”和“眾包”的作用更是提高了信息的安全性����,因此特別適合分布式企業(yè)。而大型企業(yè)則需要一種集中化的管理和分布式����、以云端為中心的智能、緊密集成等于一體的網(wǎng)絡(luò)威脅管理構(gòu)架����,才能滿足其龐大的網(wǎng)絡(luò)拓?fù)浼軜?gòu)的安全需要��,改善遠(yuǎn)程工作者的安全性�����,提供全局可見(jiàn)性和控制能力���,創(chuàng)建一個(gè)云遷移路徑。
綜上所述�����,中海油信息化的建設(shè)大幅提升了生產(chǎn)運(yùn)行效率和精細(xì)化管理水平�,達(dá)到了國(guó)際化先進(jìn)水平���,為中海油在國(guó)際的長(zhǎng)遠(yuǎn)發(fā)展提供了堅(jiān)實(shí)的基礎(chǔ)�����。面對(duì)經(jīng)濟(jì)的全球化����,各行各業(yè)���,每一個(gè)企業(yè)都要建立健全�����、不斷完善信息安全管理工作����,提升企業(yè)信息安全管理水平。
參考文獻(xiàn)
[1] 張帆;企業(yè)信息安全威脅分析與安全策略[J];網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2007,(05)
第3篇
關(guān)鍵詞:企業(yè)安全生產(chǎn)���;信息化管理��;系統(tǒng)
隨著現(xiàn)代企業(yè)管理體系的逐漸復(fù)雜�,企業(yè)管理已經(jīng)稱得上是一種系統(tǒng)性工程�����,為了在這種發(fā)展背景下實(shí)現(xiàn)企業(yè)的相關(guān)發(fā)展���,對(duì)企業(yè)安全生產(chǎn)信息化管理體系的相關(guān)研究就顯得很有必要���。
1企業(yè)安全生產(chǎn)管理模式的發(fā)展過(guò)程
1.1發(fā)達(dá)國(guó)家企業(yè)安全生產(chǎn)管理模式
企業(yè)的安全生產(chǎn)管理經(jīng)歷了傳統(tǒng)安全生產(chǎn)管理模式、對(duì)象性安全生產(chǎn)管理模式�����、過(guò)程安全生產(chǎn)管理模式以及系統(tǒng)安全生產(chǎn)管理模式四個(gè)階段的發(fā)展。隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的不斷發(fā)展和相關(guān)理論體系的完善����,現(xiàn)階段發(fā)達(dá)國(guó)家企業(yè)中普遍采用的是系統(tǒng)安全生產(chǎn)管理模式。
1.2我國(guó)企業(yè)安全生產(chǎn)管理模式
雖然現(xiàn)階段發(fā)達(dá)國(guó)家的企業(yè)中大多采用系統(tǒng)安全生產(chǎn)管理模式����,但由于我國(guó)企業(yè)相對(duì)發(fā)展落后,現(xiàn)階段大部分企業(yè)中還是采用過(guò)程管理模式進(jìn)行自身企業(yè)的安全生產(chǎn)管理���。當(dāng)然�����,隨著我國(guó)近年來(lái)科技與經(jīng)濟(jì)的飛速發(fā)展,很多企業(yè)已經(jīng)開(kāi)始認(rèn)識(shí)到過(guò)程安全生產(chǎn)管理模式的弊端����,一些大型企業(yè)也開(kāi)始進(jìn)行系統(tǒng)安全生產(chǎn)管理模式的相關(guān)嘗試,這些都直接促進(jìn)著我國(guó)企業(yè)安全生產(chǎn)管理的相關(guān)發(fā)展�。
2企業(yè)安全生產(chǎn)信息化管理體系的運(yùn)行模式
企業(yè)安全生產(chǎn)信息化管理體系的運(yùn)行模式由管理組織決策、風(fēng)險(xiǎn)評(píng)估��、隱患排查、安全信息分類���、生產(chǎn)H標(biāo)制定���、相關(guān)考核、方案?jìng)鬏數(shù)葍?nèi)容組成���。在完成企業(yè)安全生產(chǎn)信息化管理體系運(yùn)行模式的規(guī)劃與決策后��,我們就需要對(duì)其生產(chǎn)管理組織機(jī)構(gòu)與責(zé)任制進(jìn)行相關(guān)研究���,以此構(gòu)建企業(yè)安全生產(chǎn)信息化管理體系中的具體功能模塊,最終完成企業(yè)安全生產(chǎn)信息化管理體系的相關(guān)建設(shè)��。在企業(yè)安全生產(chǎn)信息化管理體系的運(yùn)行中��,相關(guān)設(shè)計(jì)人員需要對(duì)其績(jī)效進(jìn)行測(cè)量與監(jiān)視�,對(duì)具體運(yùn)行效果進(jìn)行優(yōu)化,并根據(jù)相關(guān)優(yōu)化中得到的信息對(duì)管理體系的外部進(jìn)行評(píng)審���,實(shí)現(xiàn)企業(yè)安全生產(chǎn)信息化管理體系的安全���、健康�����、高效運(yùn)行�。
3企業(yè)安全生產(chǎn)信息化管理體系的具體架構(gòu)
為了實(shí)現(xiàn)企業(yè)安全生產(chǎn)信息化管理體系的相關(guān)功能����,筆者結(jié)合自身工作經(jīng)驗(yàn)提出了一種較為符合我國(guó)企業(yè)發(fā)展實(shí)際、組織結(jié)構(gòu)也較為完善的企業(yè)安全生產(chǎn)信息化管理體系�����,其具體架構(gòu)如下:
3.1理論基礎(chǔ)層
在企業(yè)安全生產(chǎn)信息化管理體系的構(gòu)建中���,理論基礎(chǔ)層是極為重要的一個(gè)組成部分����,也是其最底層���。在企業(yè)的日常生產(chǎn)經(jīng)營(yíng)中,安全生產(chǎn)理論是隨著相關(guān)技術(shù)不斷發(fā)展而來(lái)的一套完備的理論體系����,這也使得相關(guān)理論體系的存在為企業(yè)安全生產(chǎn)信息化管理體系的建立提供了堅(jiān)實(shí)的基礎(chǔ)����。在企業(yè)安全生產(chǎn)信息化管理體系中����,理論基礎(chǔ)層由基本管理理論與綜合管理理論兩部分組成?;竟芾砝碚撝傅氖瞧髽I(yè)安全生產(chǎn)中通用的方法與規(guī)則,綜合管理理論則是由安全教育學(xué)原理����、安全法原理、事故學(xué)理論等多種理論綜合而成����,這些理論都在企業(yè)安全生產(chǎn)信息化管理體系的建設(shè)中發(fā)揮著重要的作用|31。
3.2技術(shù)實(shí)現(xiàn)層
在企業(yè)安全生產(chǎn)信息化管理體系中����,安全生產(chǎn)信息化管理技術(shù)的實(shí)現(xiàn)層是第二層,其發(fā)展于第一層的理論基礎(chǔ)之上��,通過(guò)多種技術(shù)對(duì)企業(yè)安全生產(chǎn)信息化管理體系進(jìn)行支撐�。企業(yè)安全生產(chǎn)信息化管理的實(shí)現(xiàn)層具有數(shù)據(jù)實(shí)時(shí)采集、實(shí)時(shí)共享�����、多種數(shù)據(jù)分析等功能,并能夠以此確保企業(yè)安全生產(chǎn)信息化管理體系功能的正常運(yùn)轉(zhuǎn)|41�����。
3.3功能模塊與業(yè)務(wù)層
在企業(yè)安全生產(chǎn)信息化管理體系中����,功能模塊與業(yè)務(wù)層是第三層。第三層主要由安全信息中心�����、企業(yè)安全生產(chǎn)基礎(chǔ)管理功能模塊����、企業(yè)安全生產(chǎn)監(jiān)控管理模塊、企業(yè)安全檢査管理功能模塊�、安全生產(chǎn)風(fēng)險(xiǎn)評(píng)估以及應(yīng)急管理功能模塊、企業(yè)安全生產(chǎn)環(huán)境控制管理功能模塊這六大功能模塊構(gòu)成���。這些模塊的存在為企業(yè)安全生產(chǎn)信息化管理體系提供具體服務(wù)的支持��,是管理體系不可或缺的重要組成部分�����。
4結(jié)語(yǔ)
隨著我國(guó)經(jīng)濟(jì)與社會(huì)的不斷發(fā)展����,企業(yè)安全生產(chǎn)信息化是必然的歷史發(fā)展趨勢(shì)�����。在未來(lái)的企業(yè)競(jìng)爭(zhēng)中�����,一家企業(yè)是否擁有完善的安全生產(chǎn)信息化管理體系���,將是其自身競(jìng)爭(zhēng)力的重點(diǎn)體現(xiàn)之一為了提高企業(yè)的生產(chǎn)管理效率����,企業(yè)安全生產(chǎn)信息化管理體系的建立也是不可忽視的一個(gè)重要環(huán)節(jié)�。本文為安全生產(chǎn)信息化管理體系提供了一個(gè)可行性架構(gòu)模型,希望能夠?yàn)橄嚓P(guān)企業(yè)的安全生產(chǎn)信息化管理體系發(fā)展帶來(lái)一定幫助�。
作者:呂鵬 單位:神華煤制油鄂爾多斯分公司
參考文獻(xiàn)
[1]楊宇,王堅(jiān).企業(yè)安全生產(chǎn)信息化管理體系的探討m.機(jī)電產(chǎn)品開(kāi)發(fā)與創(chuàng)新,20丨4(6>:29-31.
[2]栩勇,劉繼元.淺談建筑施工企業(yè)安全生產(chǎn)信息化管理的實(shí)際應(yīng)用[J].建筑安全>2015(8>:63-66.
第4篇
隨著云計(jì)算、大數(shù)據(jù)等新興技術(shù)的不斷發(fā)展��,企業(yè)信息化���、智能化程度�����、網(wǎng)絡(luò)化���、數(shù)字化程度越來(lái)越高,人類社會(huì)進(jìn)入到以大數(shù)據(jù)為主要特征的知識(shí)文明時(shí)代�。大數(shù)據(jù)是企業(yè)的重要財(cái)富,正在成為企業(yè)一種重要的生產(chǎn)資料�����,成為企業(yè)創(chuàng)新���、競(jìng)爭(zhēng)����、業(yè)務(wù)提升的前沿����。大數(shù)據(jù)正在成為企業(yè)未來(lái)業(yè)務(wù)發(fā)展的重要戰(zhàn)略方向�����,大數(shù)據(jù)將引領(lǐng)企業(yè)實(shí)現(xiàn)業(yè)務(wù)跨越式發(fā)展;同時(shí),由此帶來(lái)的信息安全風(fēng)險(xiǎn)挑戰(zhàn)前所未有���,遠(yuǎn)遠(yuǎn)超出了傳統(tǒng)意義上信息安全保障的內(nèi)涵����,對(duì)于眾多大數(shù)據(jù)背景下涉及的信息安全問(wèn)題����,很難通過(guò)一套完整的安全產(chǎn)品和服務(wù)從根本上解決安全隱患。
自2008年國(guó)際綜合性期刊《Nature》發(fā)表有關(guān)大數(shù)據(jù)(Big Data)的?��?詠?lái)����,面向各應(yīng)用領(lǐng)域的大數(shù)據(jù)分析更成為各行業(yè)及信息技術(shù)方向關(guān)注的焦點(diǎn)�����。大數(shù)據(jù)的固有特征使得傳統(tǒng)安全機(jī)制和方法顯示出不足。本文系統(tǒng)分析了大數(shù)據(jù)時(shí)代背景下的企業(yè)信息系統(tǒng)存在的主要信息安全脆弱性�����、信息安全威脅以及信息安全風(fēng)險(xiǎn)問(wèn)題�,并有針對(duì)性地提出相應(yīng)的信息安全保障策略,為大數(shù)據(jù)背景下的企業(yè)信息安全保障提供一定指導(dǎo)的作用����。
1 大數(shù)據(jù)基本內(nèi)涵
大數(shù)據(jù)(Big Data),什么是大數(shù)據(jù)���,目前還沒(méi)有形成統(tǒng)一的共識(shí)����。網(wǎng)絡(luò)企業(yè)普遍將大數(shù)據(jù)定義為數(shù)據(jù)量與數(shù)據(jù)類型復(fù)雜到在合理時(shí)間內(nèi)無(wú)法通過(guò)當(dāng)前的主流數(shù)據(jù)庫(kù)管理軟件生成����、獲取、傳輸�����、存儲(chǔ)��、處理,管理�����、分析挖掘����、應(yīng)用決策以及銷毀等的大型數(shù)據(jù)集�。大數(shù)據(jù)具有4V特征(Volume,Varity���,Value�����,Velocity)���,即數(shù)據(jù)量大、數(shù)據(jù)類型多�、數(shù)據(jù)價(jià)值密度低、數(shù)據(jù)處理速度快����。
2011年麥肯錫咨詢公司了《大數(shù)據(jù):下一個(gè)創(chuàng)新�、競(jìng)爭(zhēng)和生產(chǎn)力的變革領(lǐng)域》[1]的研究報(bào)告���,引起了信息產(chǎn)業(yè)界的廣泛關(guān)注�����。美國(guó)谷歌公司(Google)����、國(guó)際商業(yè)機(jī)器公司(IBM)��、美國(guó)易安信公司(EMC)�����、臉書(Facebook)等公司相繼開(kāi)始了大數(shù)據(jù)應(yīng)用���、分析�����、存儲(chǔ)���、管理等相關(guān)技術(shù)的研究�����,并推出各自的大數(shù)據(jù)解決框架���、方案以及產(chǎn)品。例如�,阿帕奇軟件基金會(huì)(Apache)組織推出的Hadoop大數(shù)據(jù)分析框架,谷歌公司推出的BigTable��、GFS(Google File System)�����、MapReduce等技術(shù)框架等���,這些研究成果為隨后的大數(shù)據(jù)應(yīng)用迅猛發(fā)展提供了便利的條件。2012年3月��,美國(guó)奧巴馬總統(tǒng)了2億美元的“Big Data Initiative”(大數(shù)據(jù)研究和發(fā)展計(jì)劃)�����,該計(jì)劃涉及能源���、國(guó)防�����、醫(yī)療����、基礎(chǔ)科學(xué)等領(lǐng)域的155個(gè)項(xiàng)目種類,該計(jì)劃極大地推動(dòng)了大數(shù)據(jù)技術(shù)的創(chuàng)新與應(yīng)用����,標(biāo)志著奧巴馬政府將大數(shù)據(jù)戰(zhàn)略從起初的政策層提升到國(guó)家戰(zhàn)略層。
同時(shí)���,我國(guó)對(duì)大數(shù)據(jù)的認(rèn)識(shí)�、應(yīng)用及相關(guān)技術(shù)服務(wù)等也在不斷提高�����,企業(yè)界一致認(rèn)同大數(shù)據(jù)在降低企業(yè)經(jīng)營(yíng)運(yùn)營(yíng)成本�����、提升管理層決策效率、提高企業(yè)經(jīng)濟(jì)效益等方面具有廣闊的應(yīng)用前景��,相繼大數(shù)據(jù)相關(guān)戰(zhàn)略文件��,同時(shí)國(guó)家組織在民生����、國(guó)防等重要領(lǐng)域投入大量的人力物力進(jìn)行相關(guān)技術(shù)研究與創(chuàng)新實(shí)踐。
中國(guó)移動(dòng)通信公司在已有的云計(jì)算平臺(tái)基礎(chǔ)上����,開(kāi)展了大量大數(shù)據(jù)應(yīng)用研究,力圖將數(shù)據(jù)信息轉(zhuǎn)化為商業(yè)價(jià)值�����,促進(jìn)業(yè)務(wù)創(chuàng)新�����。例如�����,通過(guò)挖掘用戶的移動(dòng)互聯(lián)網(wǎng)行為特征�,助力市場(chǎng)決策;利用信令數(shù)據(jù)支撐終端��、網(wǎng)絡(luò)、業(yè)務(wù)平臺(tái)關(guān)聯(lián)分析���,優(yōu)化網(wǎng)絡(luò)質(zhì)量���。商業(yè)銀行也相繼開(kāi)展了經(jīng)融大數(shù)據(jù)研究,提升銀行的競(jìng)爭(zhēng)力�。例如,通過(guò)對(duì)用戶數(shù)據(jù)分析開(kāi)展信用評(píng)估���,降低企業(yè)風(fēng)險(xiǎn);從細(xì)粒度的級(jí)別進(jìn)行客戶數(shù)據(jù)分析�����,為不同客戶提供個(gè)性化的產(chǎn)品與服務(wù)�����,提升銀行的服務(wù)效率��?��?偠灾髷?shù)據(jù)正在帶來(lái)一場(chǎng)顛覆性的革命,將會(huì)推動(dòng)整個(gè)社會(huì)取得全面進(jìn)步�。
2 大數(shù)據(jù)安全研究現(xiàn)狀
在大數(shù)據(jù)計(jì)算和分析過(guò)程中,安全是不容忽視的���。大數(shù)據(jù)的固有特征對(duì)現(xiàn)有的安全標(biāo)準(zhǔn)����、安全體系架構(gòu)��、安全機(jī)制等都提出了新的挑戰(zhàn)��。目前對(duì)大數(shù)據(jù)完整性的研究主要包括兩方面�,一是對(duì)數(shù)據(jù)完整性的檢測(cè);二是對(duì)完整性被破壞的數(shù)據(jù)的恢復(fù)。在完整性檢測(cè)方面�����,數(shù)據(jù)量的增大使傳統(tǒng)的MD5����、SHA1等效率較低的散列校驗(yàn)方法不再適用,驗(yàn)證者也無(wú)法將全部數(shù)據(jù)下載到本地主機(jī)后再進(jìn)行驗(yàn)證����。
面向大數(shù)據(jù)的高效隱私保護(hù)方法方面,高效�、輕量級(jí)的數(shù)據(jù)加密已有多年研究,雖然可用于大數(shù)據(jù)加密�,但加密后數(shù)據(jù)不具可用性。保留數(shù)據(jù)可用性的非密碼學(xué)的隱私保護(hù)方法因而得到了廣泛的研究和應(yīng)用����。這些方法包括數(shù)據(jù)隨機(jī)化、k-匿名化�����、差分隱私等�。
這些方法在探究隱私泄漏的風(fēng)險(xiǎn)、提高隱私保護(hù)的可信度方面還有待深入��,也不能適應(yīng)大數(shù)據(jù)的海量性���、異構(gòu)性和時(shí)效性�。在隱私保護(hù)下大數(shù)據(jù)的安全計(jì)算方面�,很多應(yīng)用領(lǐng)域中的安全多方計(jì)算問(wèn)題都在半誠(chéng)實(shí)模型中得到了充分的研究,采用的方法包括電路賦值(Circuit Evaluation)����、遺忘傳輸(Oblivious Transfer)�、同態(tài)加密等��。通過(guò)構(gòu)造零知識(shí)證明�,可以將半誠(chéng)實(shí)模型中的解決方法轉(zhuǎn)換到惡意模型中。而在多方參與�����、涉及大量數(shù)據(jù)處理的計(jì)算問(wèn)題�,目前研究的主要缺陷是惡意模型中方法的復(fù)雜度過(guò)高,不適應(yīng)多方參與���、多協(xié)議執(zhí)行的復(fù)雜網(wǎng)絡(luò)環(huán)境���。
企業(yè)大數(shù)據(jù)技術(shù)是指大數(shù)據(jù)相關(guān)技術(shù)在企業(yè)的充分應(yīng)用,即對(duì)企業(yè)業(yè)務(wù)���、生產(chǎn)����、監(jiān)控����、監(jiān)測(cè)等信息系統(tǒng)在運(yùn)行過(guò)程中涉及的海量數(shù)據(jù)進(jìn)行抽取����、傳輸��、存儲(chǔ)�、處理���,管理�����、分析挖掘�����、應(yīng)用決策以及銷毀等�����,實(shí)現(xiàn)大數(shù)據(jù)對(duì)企業(yè)效率的提升�����、效益的增值以及風(fēng)險(xiǎn)的預(yù)測(cè)等����。
企業(yè)的大數(shù)據(jù)類型通常主要包括業(yè)務(wù)經(jīng)營(yíng)數(shù)據(jù)即客戶信息數(shù)據(jù)、企業(yè)的生產(chǎn)運(yùn)營(yíng)與管理數(shù)據(jù)以及企業(yè)的設(shè)備運(yùn)行數(shù)據(jù)等�����,即客戶信息數(shù)據(jù)�、員工信息數(shù)據(jù)、財(cái)務(wù)數(shù)據(jù)����、物資數(shù)據(jù)、系統(tǒng)日志���、設(shè)備監(jiān)測(cè)數(shù)據(jù)����、調(diào)度數(shù)據(jù)�、檢修數(shù)據(jù)、狀態(tài)數(shù)據(jù)等����。企業(yè)大數(shù)據(jù)具有3V、3E特征[2]�,3V即數(shù)據(jù)體量大(Volume)�、數(shù)據(jù)類型多(Varity)與數(shù)據(jù)速度快(Velocity)����,3E即數(shù)據(jù)即能量(Energy)、數(shù)據(jù)即交互(Exchange)與數(shù)據(jù)即共情(Empathy)�����。
3 大數(shù)據(jù)時(shí)代企業(yè)信息安全漏洞與風(fēng)險(xiǎn)并存
大數(shù)據(jù)時(shí)代����,大數(shù)據(jù)在推動(dòng)企業(yè)向著更為高效�、優(yōu)質(zhì)、精準(zhǔn)的服務(wù)前行的同時(shí)���,其重要性與特殊性也給企業(yè)帶來(lái)新的信息安全風(fēng)險(xiǎn)與挑戰(zhàn)�����。如何針對(duì)大數(shù)據(jù)的重要性與特殊性構(gòu)建全方位多層次的信息安全保障體系����,是企業(yè)發(fā)展中面臨的重要課題���。大數(shù)據(jù)背景下�����,結(jié)合大數(shù)據(jù)時(shí)代的企業(yè)工作模式���,企業(yè)可能存在的信息安全風(fēng)險(xiǎn)主要表現(xiàn)在以下三個(gè)方面:
(1)企業(yè)業(yè)務(wù)大數(shù)據(jù)信息安全風(fēng)險(xiǎn):由于缺乏針對(duì)大數(shù)據(jù)相關(guān)的政策法規(guī)����、標(biāo)準(zhǔn)與管理規(guī)章制度���,導(dǎo)致企業(yè)對(duì)客戶信息大數(shù)據(jù)的“開(kāi)放度”難以掌握����,大數(shù)據(jù)開(kāi)放和隱私之間難以平衡;企業(yè)缺乏清晰的數(shù)據(jù)需求導(dǎo)致數(shù)據(jù)資產(chǎn)流失的風(fēng)險(xiǎn);企業(yè)數(shù)據(jù)孤島�����,數(shù)據(jù)質(zhì)量差可用性低�����,導(dǎo)致數(shù)據(jù)無(wú)法充分利用以及數(shù)據(jù)價(jià)值不能充分挖掘的風(fēng)險(xiǎn);大數(shù)據(jù)安全能力和防范意識(shí)差,大數(shù)據(jù)人才缺乏導(dǎo)致大數(shù)據(jù)分析�、處理等工作難以開(kāi)展的風(fēng)險(xiǎn);管理技術(shù)和架構(gòu)相對(duì)滯后,導(dǎo)致數(shù)據(jù)泄露的風(fēng)險(xiǎn)���。
(2)企業(yè)基礎(chǔ)設(shè)施信息安全風(fēng)險(xiǎn):2010年���,震網(wǎng)病毒[3]通過(guò)網(wǎng)絡(luò)與預(yù)制的系統(tǒng)漏洞對(duì)伊朗核電站發(fā)起攻擊,導(dǎo)致伊朗濃縮鈾工程的部分離心機(jī)出現(xiàn)故障�����,極大的延緩了伊朗核進(jìn)程���。從此開(kāi)啟了世界各國(guó)對(duì)工業(yè)控制系統(tǒng)安全的重視與管控。對(duì)于生產(chǎn)企業(yè)�,工業(yè)生產(chǎn)設(shè)備是企業(yè)的命脈,其控制系統(tǒng)的安全性必須得到企業(yè)的高度重視�。隨著物理設(shè)備管理控制系統(tǒng)與大數(shù)據(jù)采集系統(tǒng)在企業(yè)的不斷應(yīng)用,監(jiān)控與數(shù)據(jù)采集系統(tǒng)必將成為是物理攻擊的重點(diǎn)方向�����,越來(lái)越多的安全問(wèn)題隨之出現(xiàn)�。
設(shè)備“接入點(diǎn)”范圍的不斷擴(kuò)大,傳統(tǒng)的邊界防護(hù)概念被改變; 2013年初,美國(guó)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)緊急響應(yīng)小組(ICS-CERT)預(yù)警���,發(fā)現(xiàn)美國(guó)兩家電廠的發(fā)電控制設(shè)備在2012年10月至12月期間感染了USB設(shè)備中的惡意軟件���。該軟件能夠遠(yuǎn)程控制開(kāi)關(guān)閘門、旋轉(zhuǎn)儀表表盤�����、大壩控制等重要操作�,對(duì)電力設(shè)備及企業(yè)安全造成了極大的威脅。
(3)企業(yè)平臺(tái)信息安全風(fēng)險(xiǎn): 應(yīng)用層安全風(fēng)險(xiǎn)主要是指網(wǎng)絡(luò)給用戶提供服務(wù)所采用的應(yīng)用軟件存在的漏洞所帶來(lái)的安全風(fēng)險(xiǎn)����,包括: Web服務(wù)、郵件系統(tǒng)�、數(shù)據(jù)庫(kù)軟件、域名系統(tǒng)���、路由與交換系統(tǒng)�����、防火墻及網(wǎng)管系統(tǒng)����、業(yè)務(wù)應(yīng)用軟件以及其他網(wǎng)絡(luò)服務(wù)系統(tǒng)等;操作系統(tǒng)層的安全風(fēng)險(xiǎn)主要是指網(wǎng)絡(luò)運(yùn)行的操作系統(tǒng)存在的漏洞帶來(lái)的安全風(fēng)險(xiǎn),例如Windows NT���、UNIX����、Linux系列以及專用操作系統(tǒng)本身安全漏洞�����,主要包括訪問(wèn)控制����、身份認(rèn)證���、系統(tǒng)漏洞以及操作系統(tǒng)的安全配置等;網(wǎng)絡(luò)層安全風(fēng)險(xiǎn)主要指網(wǎng)絡(luò)層身份認(rèn)證�����,網(wǎng)絡(luò)資源的訪問(wèn)控制����,數(shù)據(jù)傳輸?shù)谋C苄耘c完整性、路由系統(tǒng)的安全�、遠(yuǎn)程接入、域名系統(tǒng)�����、入侵檢測(cè)的手段等網(wǎng)絡(luò)信息漏洞帶來(lái)的安全性���。
4 企業(yè)大數(shù)據(jù)信息安全保障策略
針對(duì)大數(shù)據(jù)時(shí)代下企業(yè)可能存在的信息安全漏洞與風(fēng)險(xiǎn)�����,本文從企業(yè)的網(wǎng)絡(luò)邊界信息安全保障�、應(yīng)用終端信息安全保障�����、應(yīng)用平臺(tái)信息安全保障����、網(wǎng)絡(luò)安全信息安全保障、數(shù)據(jù)安全信息安全保障等多方面提出如下信息安全保障策略�����,形成具有層次特性的企業(yè)信息安全保障體系,提升大數(shù)據(jù)時(shí)代下的企業(yè)信息安全保障能力��。
4.1企業(yè)系統(tǒng)終端——信息安全保障策略
對(duì)企業(yè)計(jì)算機(jī)終端進(jìn)行分類�����,依照國(guó)家信息安全等級(jí)保護(hù)的要求實(shí)行分級(jí)管理����,根據(jù)確定的等級(jí)要求采取相應(yīng)的安全保障策略。企業(yè)擁有多種類型終端設(shè)備�����,對(duì)于不同終端���,根據(jù)具體終端的類型���、通信方式以及應(yīng)用環(huán)境等選擇適宜的保障策略����。確保移動(dòng)終端的接入安全,移動(dòng)作業(yè)類終端嚴(yán)格執(zhí)行企業(yè)制定的辦公終端嚴(yán)禁“內(nèi)外網(wǎng)機(jī)混用”原則����,移動(dòng)終端接入內(nèi)網(wǎng)需采用軟硬件相結(jié)合的加密方式接入��。配子站終端需配置安全模塊�,對(duì)主站系統(tǒng)的參數(shù)設(shè)置指令和控制命令采取數(shù)據(jù)完整性驗(yàn)證和安全鑒別措施�,以防范惡意操作電氣設(shè)備,冒充主站對(duì)子站終端進(jìn)行攻擊���。
4.2企業(yè)網(wǎng)絡(luò)邊界——信息安全保障策略
企業(yè)網(wǎng)絡(luò)具有分區(qū)分層的特點(diǎn)�,使邊界不受外部的攻擊���,防止惡意的內(nèi)部人員跨越邊界對(duì)外實(shí)施攻擊��,在不同區(qū)的網(wǎng)絡(luò)邊界加強(qiáng)安全防護(hù)策略�����,或外部人員通過(guò)開(kāi)放接口�、隱蔽通道進(jìn)入內(nèi)部網(wǎng)絡(luò)����。在管理信息內(nèi)部,審核不同業(yè)務(wù)安全等級(jí)與網(wǎng)絡(luò)密級(jí)���,在網(wǎng)絡(luò)邊界進(jìn)行相應(yīng)的隔離保護(hù)�����。按照業(yè)務(wù)網(wǎng)絡(luò)的安全等級(jí)���、實(shí)時(shí)性需求以及用途等評(píng)價(jià)指標(biāo)�����,采用防火墻隔離技術(shù)�、協(xié)議隔離技術(shù)����、物理隔離技術(shù)等[4]對(duì)關(guān)鍵核心業(yè)務(wù)網(wǎng)絡(luò)進(jìn)行安全隔離,實(shí)現(xiàn)內(nèi)部網(wǎng)與外部網(wǎng)訪問(wèn)資源限制�����。
4.3企業(yè)網(wǎng)絡(luò)安全——信息安全保障策略
網(wǎng)絡(luò)是企業(yè)正常運(yùn)轉(zhuǎn)的重要保障�,是連接物理設(shè)備、應(yīng)用平臺(tái)與數(shù)據(jù)的基礎(chǔ)環(huán)境����。生產(chǎn)企業(yè)主要采用公共網(wǎng)絡(luò)和專用網(wǎng)絡(luò)相結(jié)合的網(wǎng)絡(luò)結(jié)構(gòu),專用網(wǎng)絡(luò)支撐企業(yè)的生產(chǎn)管理�、設(shè)備管理、調(diào)度管理��、資源管理等核心業(yè)務(wù)����,不同業(yè)務(wù)使用的專用網(wǎng)絡(luò)享有不同安全等級(jí)與密級(jí),需要采取不同的保障策略���。網(wǎng)絡(luò)彈性是指基礎(chǔ)網(wǎng)絡(luò)在遇到突發(fā)事件時(shí)繼續(xù)運(yùn)行與快速恢復(fù)的能力��。采用先進(jìn)的網(wǎng)絡(luò)防護(hù)技術(shù)�,建立基礎(chǔ)網(wǎng)一體化感知����、響應(yīng)、檢測(cè)���、恢復(fù)與溯源機(jī)制�����,采取網(wǎng)絡(luò)虛擬化��、硬件冗余����、疊加等方法提高企業(yè)網(wǎng)絡(luò)彈性與安全性;對(duì)網(wǎng)絡(luò)基礎(chǔ)服務(wù)、網(wǎng)絡(luò)業(yè)務(wù)����、信息流、網(wǎng)絡(luò)設(shè)備等基礎(chǔ)網(wǎng)絡(luò)環(huán)境采用監(jiān)控審計(jì)�����、安全加固�����、訪問(wèn)控制���、身份鑒別����、備份恢復(fù)�����、入侵檢測(cè)、資源控制等措施增強(qiáng)網(wǎng)絡(luò)環(huán)境安全防護(hù);在企業(yè)網(wǎng)絡(luò)中���,重要信息數(shù)據(jù)需要安全通信。針對(duì)信息數(shù)字資源的安全交換需求�,構(gòu)建企業(yè)的業(yè)務(wù)虛擬專用網(wǎng)。在已有基礎(chǔ)網(wǎng)絡(luò)中采用訪問(wèn)控制�����、用戶認(rèn)證�����、信息加密等相關(guān)技術(shù)����,防止企業(yè)敏感數(shù)據(jù)被竊取,采取建立數(shù)據(jù)加密虛擬網(wǎng)絡(luò)隧道進(jìn)行信息傳輸安全通信機(jī)制�。
4.4企業(yè)應(yīng)用系統(tǒng)平臺(tái)——信息安全保障策略
應(yīng)用系統(tǒng)平臺(tái)安全直接關(guān)系到企業(yè)各業(yè)務(wù)應(yīng)用的穩(wěn)定運(yùn)行,對(duì)應(yīng)用平臺(tái)進(jìn)行信息安全保障���,可以有效避免企業(yè)業(yè)務(wù)被阻斷����、擾亂、欺騙等破壞行為���,本文建議給每個(gè)應(yīng)用平臺(tái)建立相應(yīng)的日志系統(tǒng)���,可以對(duì)用戶的操作記錄、訪問(wèn)記錄等信息進(jìn)行歸檔存儲(chǔ)���,為安全事件分析提供取證與溯源數(shù)據(jù)����,防范內(nèi)部人員進(jìn)行異常操作����。企業(yè)應(yīng)用平臺(tái)的用戶類型多樣,不同的應(yīng)用主體享有不同的功能與應(yīng)用權(quán)限����,考慮到系統(tǒng)的靈活性與安全性,采用基于屬性權(quán)限訪問(wèn)控制[5]����、基于動(dòng)態(tài)和控制中心訪問(wèn)權(quán)限控制[6]�、基于域訪問(wèn)權(quán)限控制[7]�����、基于角色訪問(wèn)控制等訪問(wèn)控制技術(shù);確保企業(yè)應(yīng)用平臺(tái)系統(tǒng)安全可靠���,在應(yīng)用平臺(tái)上線前,應(yīng)邀請(qǐng)第三方權(quán)威機(jī)構(gòu)對(duì)其進(jìn)行信息安全測(cè)評(píng)�,即對(duì)應(yīng)用平臺(tái)系統(tǒng)進(jìn)行全面、系統(tǒng)的安全漏洞分析與風(fēng)險(xiǎn)評(píng)估[8]����,并制定相應(yīng)的信息安全保障策略。
4.5企業(yè)大數(shù)據(jù)安全——信息保障策略
大數(shù)據(jù)時(shí)代下����,大數(shù)據(jù)是企業(yè)的核心資源。企業(yè)客戶數(shù)據(jù)可能不僅包含個(gè)人的隱私信息�,而且還包括個(gè)人、家庭的消費(fèi)行為信息�,如果針對(duì)客戶大數(shù)據(jù)不妥善處理,會(huì)對(duì)用戶造成極大的危害����,進(jìn)而失信于客戶����。目前感知大數(shù)據(jù)(數(shù)據(jù)追蹤溯源)�、應(yīng)用大數(shù)據(jù)(大數(shù)據(jù)的隱私保護(hù)[9]與開(kāi)放)、管控大數(shù)據(jù)(數(shù)據(jù)訪問(wèn)安全��、數(shù)據(jù)存儲(chǔ)安全)等問(wèn)題�����,仍然制約與困擾著大數(shù)據(jù)的發(fā)展����。大數(shù)據(jù)主要采用分布式文件系統(tǒng)技術(shù)在云端存儲(chǔ),在對(duì)云存儲(chǔ)環(huán)境進(jìn)行安全防護(hù)的前提下�����,對(duì)關(guān)鍵核心數(shù)據(jù)進(jìn)行冗余備份�����,強(qiáng)化數(shù)據(jù)存儲(chǔ)安全���,提高企業(yè)大數(shù)據(jù)安全存儲(chǔ)能力����。為了保護(hù)企業(yè)數(shù)據(jù)的隱私安全、提高企業(yè)大數(shù)據(jù)的安全性的同時(shí)提升企業(yè)的可信度�,可采用數(shù)據(jù)分享、分析����、時(shí)進(jìn)行匿名保護(hù)已經(jīng)隱私數(shù)據(jù)存儲(chǔ)加密保護(hù)措施來(lái)加強(qiáng)企業(yè)數(shù)據(jù)的隱私安全,對(duì)大數(shù)據(jù)用戶進(jìn)行分類與角色劃分�����,嚴(yán)格控制����、明確各角色數(shù)據(jù)訪問(wèn)權(quán)限���,規(guī)范各級(jí)用戶的訪問(wèn)行為�,確保不同等級(jí)密級(jí)數(shù)據(jù)的讀�、寫操作,有效抵制外部惡意行為��,有效管理云存儲(chǔ)環(huán)境下的企業(yè)大數(shù)據(jù)安全�����。
5 結(jié)束語(yǔ)
隨著信息技術(shù)的快速革新,數(shù)據(jù)正以驚人的速度積累�,大數(shù)據(jù)時(shí)代已經(jīng)來(lái)臨了;智能終端和數(shù)據(jù)傳感器成為大數(shù)據(jù)時(shí)代的數(shù)據(jù)主要來(lái)源。大數(shù)據(jù)在推動(dòng)企業(yè)不斷向前發(fā)展給企業(yè)提供了更多機(jī)遇的同時(shí)�����,也給企業(yè)的應(yīng)用創(chuàng)新與轉(zhuǎn)型發(fā)展帶來(lái)了新的信息安全威脅����、信息安全漏洞以及信息安全風(fēng)險(xiǎn)。傳統(tǒng)的信息安全保障策略已經(jīng)無(wú)法滿足大數(shù)據(jù)時(shí)代的信息安全保障需求���。怎樣做好企業(yè)大數(shù)據(jù)信息安全保障�����、加強(qiáng)信息安全防護(hù)�、建設(shè)相關(guān)法律法規(guī)將是大數(shù)據(jù)時(shí)代長(zhǎng)期研究的問(wèn)題�。
第5篇
解決信息系統(tǒng)安全要有以下幾點(diǎn)認(rèn)識(shí):要解決信息系統(tǒng)要有統(tǒng)籌全局的觀念。解決信息系統(tǒng)的安全問(wèn)題要樹(shù)立系統(tǒng)觀念,不能光靠一個(gè)面���。從系統(tǒng)的角度分析信息系統(tǒng)是由用戶和計(jì)算機(jī)系統(tǒng)兩者組成,這包括人和技術(shù)兩點(diǎn)因素����。使用和維護(hù)計(jì)算機(jī)安全信息系統(tǒng)可以根據(jù)信息系統(tǒng)具有動(dòng)態(tài)性和變化性等特點(diǎn)進(jìn)行調(diào)整。信息系統(tǒng)是一項(xiàng)長(zhǎng)期屬于相對(duì)安全的工作,必須制訂長(zhǎng)銷機(jī)制,絕不能以逸待勞���。企業(yè)信息系統(tǒng)安全可以采取的策略是采用一套先進(jìn)����、科學(xué)及適用的安全技術(shù)系統(tǒng),在對(duì)系統(tǒng)進(jìn)行監(jiān)控和防護(hù),及時(shí)適當(dāng)?shù)姆治鲂畔⑾到y(tǒng)的安全因素,使這套系統(tǒng)具有靈敏性和迅速性等響應(yīng)機(jī)制,配合智能型動(dòng)態(tài)調(diào)整功能體系���。需要緊記的是系統(tǒng)安全來(lái)自于風(fēng)險(xiǎn)評(píng)估�、安全策略���、自我防御���、實(shí)時(shí)監(jiān)測(cè)����、恢復(fù)數(shù)據(jù)、動(dòng)態(tài)調(diào)整七個(gè)方面����。其中,通過(guò)風(fēng)險(xiǎn)評(píng)估可以找出影響信息系統(tǒng)安全存在的技術(shù)和管理等因素產(chǎn)生的問(wèn)題�。在經(jīng)過(guò)分析對(duì)即將產(chǎn)生問(wèn)題的信息系統(tǒng)進(jìn)行報(bào)告�。
安全策略體現(xiàn)著系統(tǒng)安全的總體規(guī)劃指導(dǎo)具體措施的進(jìn)行。是保障整個(gè)安全體系運(yùn)行的核心�。防御體系根據(jù)系統(tǒng)中出現(xiàn)的問(wèn)題采用相關(guān)的技術(shù)防護(hù)措施,解決各種安全威脅和安全漏洞是保障安全體系的重心。并且通過(guò)監(jiān)測(cè)系統(tǒng)實(shí)時(shí)檢測(cè)運(yùn)行各種情況�。在安全防護(hù)機(jī)制下及時(shí)發(fā)現(xiàn)并且制止各種對(duì)系統(tǒng)攻擊的可能性,假設(shè)安全防護(hù)機(jī)制失效必須進(jìn)行應(yīng)急處理,立刻實(shí)現(xiàn)數(shù)據(jù)恢復(fù)。盡量縮小計(jì)算機(jī)系統(tǒng)被攻擊破壞的程度�。可以采取自主備份,數(shù)據(jù)恢復(fù),確?�;謴?fù),快速恢復(fù)等手段�。并且分析和審理安全數(shù)據(jù),適時(shí)跟蹤,排查系統(tǒng)有可能出現(xiàn)的違歸行為,檢查企業(yè)信息系統(tǒng)的安全保障體系是否超出違反規(guī)定。
通過(guò)改善系統(tǒng)性能引入一套先進(jìn)的動(dòng)態(tài)調(diào)整智能反饋機(jī)制,可以促進(jìn)系統(tǒng)自動(dòng)產(chǎn)生安全保護(hù),取得良好的安全防護(hù)效果�����?����?梢詫?duì)一臺(tái)安全體系模型進(jìn)行分析,在管理方面,對(duì)安全策略和風(fēng)險(xiǎn)評(píng)估進(jìn)行測(cè)評(píng),在技術(shù)層面,實(shí)時(shí)監(jiān)測(cè)和數(shù)據(jù)恢復(fù)形成一套防御體系���。在制度方面,結(jié)合安全跟蹤進(jìn)行系統(tǒng)排查工作����。系統(tǒng)還應(yīng)具備一套完整的完整的動(dòng)態(tài)自主調(diào)整的反饋機(jī)制,促進(jìn)該體系模型更好的與系統(tǒng)動(dòng)態(tài)性能結(jié)合。
信息安全管理在風(fēng)險(xiǎn)評(píng)估和安全策略中均有體現(xiàn),將這些管理因素應(yīng)用與安全保障體系保護(hù)信息安全系統(tǒng)十分重要�����。企業(yè)必須設(shè)立專門的信息系統(tǒng)安全管理部門,保障企業(yè)信息系統(tǒng)的安全���。由企業(yè)主要領(lǐng)導(dǎo)帶頭,組織信息安全領(lǐng)導(dǎo)小組,專門負(fù)責(zé)企業(yè)的信息安全實(shí)行總體規(guī)劃及管理�。在設(shè)立信息主管部門實(shí)施具體的管理步驟�����。企業(yè)應(yīng)該制訂關(guān)于保證信息系統(tǒng)安全管理的標(biāo)準(zhǔn)���。標(biāo)準(zhǔn)中應(yīng)該明確規(guī)定信息系統(tǒng)中各類用戶的職責(zé)和權(quán)限���、必須嚴(yán)格遵守操作系統(tǒng)過(guò)程中的規(guī)范、信息安全事件的報(bào)告和處理流程����、對(duì)保密信息進(jìn)行嚴(yán)格存儲(chǔ)���、系統(tǒng)的帳號(hào)及密碼管理�����、數(shù)據(jù)庫(kù)中信息管理�����、中心機(jī)房設(shè)備維護(hù)��、檢查與評(píng)估信息安全工作等等信息安全的相關(guān)標(biāo)準(zhǔn)�����。而且在實(shí)際運(yùn)用過(guò)程中不斷地總結(jié)及完善信息系統(tǒng)安全管理的標(biāo)準(zhǔn)����。
相關(guān)部門應(yīng)該積極開(kāi)展信息風(fēng)險(xiǎn)評(píng)估工作。通過(guò)維護(hù)信息網(wǎng)的網(wǎng)絡(luò)基礎(chǔ)設(shè)施有拓?fù)?、網(wǎng)絡(luò)設(shè)備和安全設(shè)備,對(duì)系統(tǒng)安全定期的進(jìn)行評(píng)估工作,主動(dòng)發(fā)現(xiàn)系統(tǒng)存在的安全問(wèn)題。主要針對(duì)企業(yè)支撐的信息網(wǎng)和應(yīng)用IT系統(tǒng)資產(chǎn)進(jìn)行全方位檢查,對(duì)管理存在的弱點(diǎn)進(jìn)行技術(shù)識(shí)別��。對(duì)于企業(yè)的信息安全現(xiàn)狀進(jìn)行全面的評(píng)估,可以制作一張風(fēng)險(xiǎn)視圖表現(xiàn)企業(yè)全面存在的問(wèn)題�。為安全建設(shè)提供指導(dǎo)方向和參考價(jià)值。為企業(yè)信息安全建設(shè)打下堅(jiān)實(shí)的基礎(chǔ)���。
最后,加強(qiáng)信息系統(tǒng)的運(yùn)行管理�����?��?梢酝ㄟ^(guò)以下措施進(jìn)行:規(guī)范系統(tǒng)電子臺(tái)帳���、設(shè)備的軟件及硬件配置管理、建立完善的設(shè)備以及相關(guān)的技術(shù)文檔���。系統(tǒng)日常各項(xiàng)工作進(jìn)行閉環(huán)管理,系統(tǒng)安裝���、設(shè)備運(yùn)營(yíng)管理等。還要對(duì)用戶工作進(jìn)行規(guī)范管理,分配足夠的資源和應(yīng)用權(quán)限���。防御體系���、實(shí)時(shí)檢測(cè)和數(shù)據(jù)恢復(fù)三方面都體現(xiàn)了技術(shù)因素,信息安全管理系統(tǒng)技術(shù)應(yīng)用于安全保障體系中。在建設(shè)和維護(hù)信息安全保障體系過(guò)程中,需要多方面,多角度的進(jìn)行綜合考慮�。采用分步實(shí)施,逐步實(shí)現(xiàn)的手法。在信息安全方面采取必要的技術(shù)手段,加強(qiáng)系統(tǒng)采取冗余的配置,提高系統(tǒng)的安全性�。
對(duì)中心數(shù)據(jù)庫(kù)系統(tǒng)、核心交換機(jī)���、數(shù)據(jù)中心的存儲(chǔ)系統(tǒng)�、關(guān)鍵應(yīng)用系統(tǒng)服務(wù)器等�。為了避免重要系統(tǒng)的單點(diǎn)故障可以采取雙機(jī)甚至群集的配置。另外,加強(qiáng)對(duì)網(wǎng)絡(luò)系統(tǒng)的管理�����。企業(yè)信息系統(tǒng)安全的核心內(nèi)容之一是網(wǎng)絡(luò)系統(tǒng)�����。同樣也是影響系統(tǒng)安全因素最多的環(huán)節(jié)��。網(wǎng)絡(luò)系統(tǒng)的不安全給系統(tǒng)安全帶來(lái)風(fēng)險(xiǎn)�。接下來(lái)重點(diǎn)談網(wǎng)絡(luò)安全方面需要采取的技術(shù)手段。網(wǎng)絡(luò)安全的最基礎(chǔ)工作,是加強(qiáng)網(wǎng)絡(luò)的接入管理����。
與公用網(wǎng)絡(luò)系統(tǒng)存在區(qū)別的是,企業(yè)在網(wǎng)絡(luò)系統(tǒng)中有專門的網(wǎng)絡(luò),系統(tǒng)只準(zhǔn)許規(guī)定的用戶接入,因此必須實(shí)現(xiàn)管理接入。在實(shí)際操作過(guò)程中,可以采取邊緣認(rèn)證的方式����。筆者在實(shí)際工作經(jīng)驗(yàn)總結(jié)出公司的網(wǎng)絡(luò)系統(tǒng)是通過(guò)對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行改造實(shí)現(xiàn)支持802.1X或MAC地址兩種安全認(rèn)證的方式���。不斷實(shí)現(xiàn)企業(yè)內(nèi)網(wǎng)絡(luò)系統(tǒng)的安全接入管理。網(wǎng)絡(luò)端口接入網(wǎng)絡(luò)系統(tǒng)時(shí)所有的工作站設(shè)備必須經(jīng)過(guò)安全認(rèn)證,從而保證只有登記的�����、授權(quán)記錄在冊(cè)的設(shè)備才能介入企業(yè)的網(wǎng)絡(luò)系統(tǒng),從而保證系統(tǒng)安全�����。根據(jù)物理分布可以利用VLAN技術(shù)及使用情況劃分系統(tǒng)子網(wǎng)���。這樣的劃分有以下益處:首先,隔離了網(wǎng)絡(luò)廣播流量,整個(gè)系統(tǒng)避免被人為或者系統(tǒng)故障引起的網(wǎng)絡(luò)風(fēng)暴�����。其次是提高系統(tǒng)的管理性����。通過(guò)劃分子網(wǎng)可以實(shí)現(xiàn)對(duì)不同子網(wǎng)采取不同安全策略,可以將故障縮小到最低范圍��。根據(jù)一些應(yīng)用的需要實(shí)現(xiàn)某些應(yīng)用系統(tǒng)中的相對(duì)隔離�。
第6篇
關(guān)鍵詞:信息安全;影響因素�;管理措施
中圖分類號(hào):TP393.08
信息技術(shù)的飛速發(fā)展在給社會(huì)經(jīng)濟(jì)帶來(lái)巨大便利性的同時(shí)���,也帶來(lái)了巨大的風(fēng)險(xiǎn),信息的安全已成為國(guó)際社會(huì)經(jīng)濟(jì)發(fā)展亟待解決的問(wèn)題?����,F(xiàn)代企業(yè)在日常業(yè)務(wù)運(yùn)營(yíng)����、行政管理�����、檔案管理�����、數(shù)據(jù)交換等方面都離不開(kāi)信息網(wǎng)絡(luò)技術(shù)�����,然而���,部分企業(yè)對(duì)自身信息安全的不重視以及在管理機(jī)制上的欠缺���,致使社會(huì)重大信息安全事故頻發(fā)�����,給社會(huì)與企業(yè)帶來(lái)了不可估量的損失及危害���。當(dāng)然,企業(yè)的信息安全是一項(xiàng)艱巨的工作���,它涉及到企業(yè)組織結(jié)構(gòu)的各個(gè)方面�,是一項(xiàng)系統(tǒng)的工程�,無(wú)論是網(wǎng)絡(luò)技術(shù)還是管理組織體系,或者企業(yè)信息硬件設(shè)備����,都會(huì)影響到企業(yè)信息的安全,要保障企業(yè)信息的安全����,就必須從信息技術(shù)安全以及信息管理制度兩大方面入手,不斷完善信息保密措施��,如此�����,方可有效控制企業(yè)信息泄露。
1 企業(yè)信息安全風(fēng)險(xiǎn)的現(xiàn)狀
企業(yè)在信息化建設(shè)的過(guò)程中����,對(duì)信息安全的理解與重視并不相同,部分企業(yè)的對(duì)自身信息安全的防護(hù)級(jí)別較低���,難以有效抵御外部信息竊取以及內(nèi)部泄密。當(dāng)前�,我國(guó)企業(yè)在信息安全建設(shè)中主要存在如下三個(gè)問(wèn)題:
1.1 企業(yè)信息安全管理機(jī)制不健全。信息安全是一個(gè)全新的領(lǐng)域�,在過(guò)去,企業(yè)管理者對(duì)于自身信息的安全并沒(méi)有高度重視�����,而在現(xiàn)代社會(huì)中���,企業(yè)之間的競(jìng)爭(zhēng)越來(lái)越激烈�����,任何有價(jià)值的信息泄露都可能會(huì)造成企業(yè)的重大損失��,甚至破產(chǎn)倒閉���,這也使得企業(yè)管理者不得不重視信息安全問(wèn)題����。然而����,在社會(huì)法律法規(guī)、技術(shù)監(jiān)管�����、安全標(biāo)準(zhǔn)等方面還存在諸多的不完善之處���,同時(shí)����,由于企業(yè)信息管理是一個(gè)不斷發(fā)展的動(dòng)態(tài)過(guò)程����,企業(yè)的網(wǎng)絡(luò)安全軟硬件技術(shù)、管理人員的保密意識(shí)以及對(duì)商業(yè)間諜的防范措施等都會(huì)影響到企業(yè)的信息安全。從總體上來(lái)講�,信息安全管理機(jī)制的缺失是企業(yè)信息安全面臨的最大問(wèn)題。
1.2 企業(yè)信息安全技術(shù)不足��。信息安全是當(dāng)前社會(huì)共同面臨的重大問(wèn)題�����,企業(yè)的信息系統(tǒng)構(gòu)建離不開(kāi)計(jì)算機(jī)系統(tǒng)以及網(wǎng)絡(luò)系統(tǒng)的支持���,而通過(guò)網(wǎng)絡(luò)傳播的數(shù)據(jù)將面臨極大的技術(shù)風(fēng)險(xiǎn)?�,F(xiàn)代信息安全技術(shù)是以密碼技術(shù)�����、病毒技術(shù)、數(shù)據(jù)恢復(fù)技術(shù)�����、操作系統(tǒng)維護(hù)技術(shù)���、數(shù)據(jù)庫(kù)技術(shù)以及網(wǎng)絡(luò)技術(shù)等所組成的系統(tǒng)技術(shù)�。而由于企業(yè)對(duì)相關(guān)技術(shù)的認(rèn)識(shí)和技術(shù)管理人才培養(yǎng)的局限性,導(dǎo)致在計(jì)算機(jī)信息應(yīng)用過(guò)程中難免會(huì)出現(xiàn)一些漏洞缺陷���。另外���,在面對(duì)外部信息竊取攻擊行為時(shí),部分安全技術(shù)管理人員防范能力較弱���,不能從根本上抵御黑客的攻擊���,這就導(dǎo)致企業(yè)的信息安全完面臨嚴(yán)重的泄密危險(xiǎn)。
1.3 企業(yè)員工缺乏安全管理的責(zé)任心和防范意識(shí)��。企業(yè)的信息安全并不只是管理人員的責(zé)任���,而是全體員工共同的責(zé)任�����,不過(guò)在企業(yè)信息安全建設(shè)過(guò)程中����,往往忽略了企業(yè)員工環(huán)節(jié)����,導(dǎo)致信息安全建設(shè)難以達(dá)到預(yù)期的目的����。目前���,企業(yè)信息安全事件最突出的便是信息泄密�����,其主要表現(xiàn)為員工的無(wú)意泄密�����、故意泄密以及離職后信息資源的自我利用�,可以說(shuō)��,企業(yè)內(nèi)部的信息安全風(fēng)險(xiǎn)遠(yuǎn)遠(yuǎn)大于外部風(fēng)險(xiǎn)����。然而�,針對(duì)內(nèi)部信息安全問(wèn)題,企業(yè)卻并無(wú)一個(gè)全面�����、系統(tǒng)、有效的保障體系��,尤其是在員工責(zé)任心建設(shè)以及信息安全防范意識(shí)建設(shè)方面���,一直是企業(yè)信息安全體系建設(shè)的弱點(diǎn)所在���。
2 影響企業(yè)信息安全的主要因素分析
企業(yè)的信息安全一直是現(xiàn)代企業(yè)管理中的難點(diǎn),尤其是通信類企業(yè)以及嚴(yán)重依賴網(wǎng)絡(luò)的電子商務(wù)類企業(yè)���,其在信息安全環(huán)節(jié)的投入往往最大����,但仍然是面臨風(fēng)險(xiǎn)最大的環(huán)節(jié)��。根據(jù)美國(guó)FBI以及CSI對(duì)其國(guó)內(nèi)部分企業(yè)的調(diào)查顯示����,信息安全內(nèi)部威脅占85%,外部入侵占15%�����,專利信息被竊取占14%,內(nèi)部人員的財(cái)務(wù)欺騙占12%��,資料或網(wǎng)絡(luò)數(shù)據(jù)的破壞占11%���。由此可見(jiàn)��,企業(yè)內(nèi)部信息安全已成為企業(yè)信息安全管理的重中之重�,其泄密的途徑主要包括互聯(lián)網(wǎng)泄密�����,如電子郵件�、即時(shí)通訊工具、網(wǎng)頁(yè)空間�����、ftp����、病毒黑客攻擊等方式;局域網(wǎng)絡(luò)泄密���,包括內(nèi)網(wǎng)與外網(wǎng)的連通���、私人電腦與內(nèi)部電腦的連接等;終端設(shè)備的泄密等等�。企業(yè)信息安全是企業(yè)穩(wěn)定與發(fā)展的基礎(chǔ),但是�,企業(yè)信息安全形勢(shì)卻不容樂(lè)觀,在現(xiàn)實(shí)中�,影響企業(yè)信息安全的因素較多,其主要包括如下幾種:
2.1 實(shí)體環(huán)境安全因素�����。(1)信息技術(shù)承載硬件安全�����。信息網(wǎng)絡(luò)技術(shù)的硬件設(shè)備是支撐企業(yè)信息安全建設(shè)的基礎(chǔ)���,包括硬盤設(shè)備�����、內(nèi)存設(shè)備�、I/O控制器�、電源等�����。(2)機(jī)房環(huán)境安全�����。機(jī)房是企業(yè)信息網(wǎng)絡(luò)的管理中樞�,其環(huán)境的好壞將直接影響企業(yè)信息的安全��。一般來(lái)說(shuō)�����,機(jī)房管理必須要專人專管�,對(duì)于出入人員應(yīng)該有記錄,并且�����,機(jī)房應(yīng)具有防火���、防水�����、防靜電����、防鼠害�、防雷擊等設(shè)施,還要安裝空調(diào)設(shè)備����,以確保機(jī)房運(yùn)行溫度和濕度的穩(wěn)定。(3)傳輸線路安全�。網(wǎng)絡(luò)線路以及電纜線路在傳輸過(guò)程中都具有一定的輻射性,其對(duì)信息具有一定的干擾�,我們?cè)诎惭b時(shí)要采用屏蔽布線或者光纜傳輸,并采取技術(shù)手段�����,阻止線路對(duì)信息的干擾����,以確保傳輸線路的安全。
2.2 內(nèi)部環(huán)境因素���。影響企業(yè)信息安全的內(nèi)部因素主要包括:(1)軟件因素����。軟件是企業(yè)信息化建設(shè)的重要工具,但同時(shí)也是信息安全風(fēng)險(xiǎn)較大的環(huán)節(jié)����,它包括系統(tǒng)軟件和應(yīng)用軟件。系統(tǒng)軟件的是信息系統(tǒng)的運(yùn)行平臺(tái)���,其本身就存在漏洞�����,若系統(tǒng)軟件遭到攻擊����,將極可能導(dǎo)致信息的損壞或者泄密����。而應(yīng)用軟件在設(shè)計(jì)過(guò)程中的不周全以及對(duì)數(shù)據(jù)校驗(yàn)的不完善,都將威脅到企業(yè)的信息安全�����。(2)人為因素。企業(yè)內(nèi)部人的因素是影響信息安全的最大部分�����,員工對(duì)數(shù)據(jù)的操作或者對(duì)相關(guān)威脅處理的不合理�����、不及時(shí)都會(huì)直接影響信息的可靠性�����。(3)網(wǎng)絡(luò)因素���。企業(yè)的一切信息交換幾乎都是通過(guò)網(wǎng)絡(luò)來(lái)實(shí)現(xiàn)的,包括外部網(wǎng)絡(luò)和局域網(wǎng)����,而由于網(wǎng)絡(luò)故障所導(dǎo)致的信息丟失情況比比皆是,另外�����,網(wǎng)絡(luò)中一些非授權(quán)訪問(wèn)行為也容易造成敏感數(shù)據(jù)的泄密或者丟失�����。(4)硬件因素。硬件主要是指存儲(chǔ)設(shè)備以及電源�����、顯示設(shè)備���、網(wǎng)絡(luò)設(shè)備等��,其中儲(chǔ)存硬件設(shè)備對(duì)企業(yè)信息安全影響最大�,我們?cè)谟布?chǔ)存設(shè)備的管理中要注重防霉變�、防輻射、防雷擊等等���,及時(shí)做好數(shù)據(jù)備份和數(shù)據(jù)恢復(fù)����。
2.3 外部環(huán)境因素?����,F(xiàn)代企業(yè)信息安全不僅面臨著內(nèi)部安全風(fēng)險(xiǎn)�����,還遭受著嚴(yán)重的外部隱患,其主要包括病毒風(fēng)險(xiǎn)��、黑客攻擊風(fēng)險(xiǎn)以及意外事故��,如火災(zāi)�����、爆炸�、水災(zāi)等���,其對(duì)企業(yè)的信息安全影響甚大���。
3 加強(qiáng)企業(yè)信息安全防范的措施
面對(duì)著如此眾多的信息安全隱患,企業(yè)的信息安全管理形勢(shì)十分嚴(yán)峻�,要想真正做好信息的安全管理,保障信息安全���,那么企業(yè)必須系統(tǒng)地進(jìn)行改革����,從根本上阻止信息的泄漏。
3.1 建立健全信息安全管理制度����。企業(yè)必須根據(jù)內(nèi)部信息的安全級(jí)別,建立一套適合其技術(shù)規(guī)范的管理標(biāo)準(zhǔn)�,尤其注重在人員組織結(jié)構(gòu)以及培訓(xùn),要建立完善的信息安全管理制度規(guī)范���,并嚴(yán)格執(zhí)行����。
3.2 采取新型網(wǎng)絡(luò)安全技術(shù)�����,及時(shí)更新軟硬件系統(tǒng)���。企業(yè)要對(duì)內(nèi)部計(jì)算機(jī)及服務(wù)器系統(tǒng)進(jìn)行及時(shí)更新?lián)Q代���,尤其是其軟硬件系統(tǒng),要做好防病毒措施�,并及時(shí)做好數(shù)據(jù)備份,加強(qiáng)網(wǎng)絡(luò)密碼建設(shè)以及入侵檢測(cè)技術(shù)建設(shè)����,為信息安全上一把“鎖”��。
3.3 加強(qiáng)內(nèi)部信息的監(jiān)管���,對(duì)非授權(quán)訪問(wèn)以及敏感接入進(jìn)行嚴(yán)格的控制。企業(yè)必須加強(qiáng)對(duì)內(nèi)部數(shù)據(jù)的有效監(jiān)管���,在與外界進(jìn)行數(shù)據(jù)交換過(guò)程中�����,有必要對(duì)敏感數(shù)據(jù)或者有威脅的行為進(jìn)行干預(yù)��、阻止、監(jiān)控等措施�,控制非法接入與攻擊行為。
3.4 定期巡查與評(píng)估����,不斷改善和調(diào)整安全防護(hù)策略。企業(yè)的信息安全管理是一個(gè)動(dòng)態(tài)的過(guò)程��,我們的信息安全防范也必須做好及時(shí)的評(píng)估和調(diào)整�����,對(duì)計(jì)算機(jī)硬件設(shè)備、機(jī)房環(huán)境等定期進(jìn)行巡查�,發(fā)現(xiàn)并及時(shí)解決潛在的安全威脅,并根據(jù)最新的信息安全形勢(shì)來(lái)調(diào)整防護(hù)策略�,未雨綢繆,做好信息安全的預(yù)防工作���。
參考文獻(xiàn):
[1]羅慶云�����,趙巾幗.企業(yè)網(wǎng)信息安全的探討[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用�,2005.
[2]姜樺���,郭永利.企業(yè)信息安全策略研究[J].焦作大學(xué)學(xué)報(bào)����,2009.
第7篇
去年驚曝�,德國(guó)總理默克爾的電話遭美國(guó)安全部門竊聽(tīng),時(shí)間竟長(zhǎng)達(dá)7年之久����。今年10月����,蘋果iCloud又被黑客攻擊����,美國(guó)好萊塢女星私密照片遭大量泄露。信息安全問(wèn)題����,已經(jīng)成為大到國(guó)家安全,小到個(gè)人隱私��,未來(lái)必將裹挾所有人的沉重命題��。
那么���,對(duì)企業(yè)來(lái)說(shuō)���,你的信息安全狀態(tài)又如何呢���?我國(guó)專業(yè)從事國(guó)家信息安全及多領(lǐng)域高科技研發(fā)的安信中保網(wǎng)絡(luò)科技有限公司���,給出的答案是:絕大多數(shù)中國(guó)企業(yè)的信息安全都處于城門洞開(kāi)的危險(xiǎn)狀態(tài)�����!
對(duì)此�����,《中外管理》獨(dú)家專訪了安信中保公司戰(zhàn)略部副部長(zhǎng)�、亞洲反恐專家康益銘�。
絕大多數(shù)中企沒(méi)有信息安全措施!
《中外管理》:一方面���,中國(guó)的網(wǎng)民數(shù)量已經(jīng)達(dá)到世界第一�����;另一方面�,對(duì)于斯諾登事件���、好萊塢秘照事件�����,大眾又多是看熱鬧心態(tài)���。那么以您的觀察����,中國(guó)網(wǎng)絡(luò)信息安全的現(xiàn)狀如何�����?
康益銘:在全球范圍內(nèi)�����,中國(guó)是網(wǎng)絡(luò)攻擊的主要受害國(guó)����。
我們每年有3000多個(gè)政府網(wǎng)站受到海外黑客攻擊。僅在今年2月份��,中國(guó)境內(nèi)就有70萬(wàn)臺(tái)電腦受到病毒侵害��。
在企業(yè)層面���,可以這樣說(shuō),我國(guó)絕大多數(shù)企業(yè)����,還沒(méi)有真正意義上的信息安全管控措施��,對(duì)外是完全暴露的��。從國(guó)家安全和企業(yè)安全的角度講�,都必須建立起完全自主��、安全可控的IT系統(tǒng)����,把信息安全技術(shù)完全掌握在自己手中。
《中外管理》:當(dāng)前國(guó)家對(duì)信息安全問(wèn)題持有何種態(tài)度���,采取了哪些措施���?
康益銘:進(jìn)入全球一體化的進(jìn)程當(dāng)中后,信息安全工作是第一位的�。以前,中央主抓各個(gè)相關(guān)部門�、部委對(duì)信息和情報(bào)的管理,對(duì)企事業(yè)單位和普通百姓的信息安全問(wèn)題有一定的疏忽���。但今年年初�����,中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組成立����,親自擔(dān)任負(fù)責(zé)人,表明企業(yè)和個(gè)人信息安全問(wèn)題已被提上日程���。而之后我們將把信息安全的意識(shí)普及到每個(gè)公民的腦海里�,包括廣大農(nóng)村�。
比如:國(guó)家開(kāi)始對(duì)公共場(chǎng)所的WiFi實(shí)施管控,讓它更加合法化���、合理化�,以保障公民信息安全����。在這幾塊領(lǐng)域中,安信中保都掌控著核心技術(shù)�。
從企業(yè)來(lái)講,如今國(guó)內(nèi)很多企業(yè)仍在使用境外的信息化設(shè)備��,這非常不安全。國(guó)家已經(jīng)意識(shí)到并開(kāi)始重新整理�、梳理這方面的系統(tǒng),鼓勵(lì)自主品牌的信息化產(chǎn)品�、設(shè)備系統(tǒng)的研發(fā)和生產(chǎn)�����。未來(lái)����,我們會(huì)共同打造一個(gè)中國(guó)式的安全信息化產(chǎn)業(yè)鏈。
《中外管理》:在實(shí)現(xiàn)國(guó)產(chǎn)自主化的過(guò)程中�����,民營(yíng)企業(yè)和國(guó)有企業(yè)能否平等的參與進(jìn)來(lái)����?
康益銘:國(guó)企或者民企,首先要看它的資質(zhì)�。即使是央企,沒(méi)有資質(zhì)����,也邁不進(jìn)這個(gè)門檻�,因?yàn)檫@關(guān)乎到國(guó)家安全�。我國(guó)會(huì)整體建立起大數(shù)據(jù)系統(tǒng),這是一個(gè)整體鏈條的組織框架����。在這個(gè)框架中,每個(gè)大型信息化企業(yè)集團(tuán)�,都承擔(dān)著一定的歷史責(zé)任。當(dāng)然�,我國(guó)要現(xiàn)實(shí)全面自主的信息化集成管控局面,還需要幾年��。但是好在國(guó)家相關(guān)政策�����、整體資源的匹配都趨于合理化�����,效率逐年提高����,其發(fā)展速度已超乎我們以往的想象。
移動(dòng)辦公:“安全手機(jī)”市場(chǎng)混亂而廣闊
《中外管理》:如今手機(jī)不僅僅用來(lái)日常溝通�,越來(lái)越多的企業(yè)通過(guò)手機(jī)進(jìn)行移動(dòng)辦公�����。當(dāng)手機(jī)里原先的私人信息逐漸變成企業(yè)信息時(shí)�,圍繞手機(jī)的信息安全問(wèn)題���,就理應(yīng)受到更多管理者的重視。您如何看待手機(jī)信息安全市場(chǎng)的現(xiàn)狀��?
康益銘:目前�,很多企業(yè)都聲稱自己可以生產(chǎn)安全手機(jī),但實(shí)情并非如此�����。目前安全手機(jī)在國(guó)內(nèi)市場(chǎng)上初步呈現(xiàn)出混亂局面�。安全手機(jī)最重要的一點(diǎn)是具備獨(dú)立的系統(tǒng)。很多企業(yè)宣傳自己是高度安全的高端智能機(jī)���,這種說(shuō)法自相矛盾�。目前���,真正的安全手機(jī)�,實(shí)際上都是功能最簡(jiǎn)單的手機(jī),其系統(tǒng)相對(duì)獨(dú)立�,均為自主研發(fā)。而大多數(shù)手機(jī)生產(chǎn)制造企業(yè)����,并不具備資質(zhì)與開(kāi)發(fā)能力,因此基本都是不安全的�。
《中外管理》:您認(rèn)為安全手機(jī)的市場(chǎng)應(yīng)該分布在哪些人群中?哪些人對(duì)安全手機(jī)的需求比較大�����?
康益銘:對(duì)手機(jī)制造企業(yè)來(lái)講����,這個(gè)市場(chǎng)確實(shí)很大。黨政軍的公務(wù)人員��,其信息安全是必須要有保障的����,手機(jī)終端是最重要的媒介,給他們配備安全手機(jī)很有必要����。很多特殊人群�����,例如:新聞媒體記者�,搞外事活動(dòng)的工作人員��,包括企業(yè)集團(tuán)的主要負(fù)責(zé)人�����,他們也都需要安全手機(jī)��,從而使關(guān)鍵信息不被輕而易舉地破解����。
《中外管理》:看來(lái)手機(jī)安保市場(chǎng)可能會(huì)迅速崛起���。這意味著之后一段時(shí)間����,市場(chǎng)內(nèi)外的各個(gè)力量都會(huì)進(jìn)來(lái)��。對(duì)打算進(jìn)入這個(gè)市場(chǎng)的企業(yè)����,您有沒(méi)有一些建議���?
康益銘:最重要的是看企業(yè)是否掌握了信息安全的核心技術(shù)。如果掌握了核心技術(shù)����,要么就是合作共同發(fā)展,要么自己獨(dú)立創(chuàng)造新的產(chǎn)品��。當(dāng)然核心技術(shù)不僅在于某種軟件上�����,更是若干個(gè)核心組成的產(chǎn)品��。如果企業(yè)掌控了很多核心技術(shù)的話���,完全可以獨(dú)立開(kāi)發(fā)�。如果企業(yè)只掌握某種核心部件����,就可以找其他單位合作,共同發(fā)展。但如果單純覺(jué)得市場(chǎng)好���,自認(rèn)為具備實(shí)力����,而沒(méi)有核心技術(shù)��,就是盲目的���。
“云”的未來(lái):最終會(huì)“合成一片”
《中外管理》:隨著移動(dòng)互聯(lián)網(wǎng)時(shí)代的到來(lái)���,大數(shù)據(jù)和云計(jì)算越來(lái)越受到人們的關(guān)注,很多企業(yè)開(kāi)始做私有云�����。在您看來(lái)�,各種云的出現(xiàn)和國(guó)家所做的信息安全工程之間是什么關(guān)系�����?
康益銘:這些若干片云�����,其中一部分是國(guó)家委托的課題,另一部分是企事業(yè)集團(tuán)根據(jù)自身發(fā)展需求而成立的云�。但是,按照國(guó)家相關(guān)指導(dǎo)性文件�����,這些云最終會(huì)形成一片云��。這一片云就能撐起藍(lán)天��,達(dá)到最終的信息資源的一體化��、共享化����、實(shí)效化。因?yàn)橹挥袑?shí)現(xiàn)互通才能算得上真正的信息化���。
《中外管理》:但當(dāng)這些云合成一片的時(shí)候���,各個(gè)云之間越是互通,信息安全問(wèn)題反而會(huì)越突出��,您怎么看這種矛盾?
康益銘:當(dāng)然���,互通會(huì)增加信息泄露的風(fēng)險(xiǎn)�,但同時(shí)我們還會(huì)采取一些信息安全管控措施��。即在云與云之間�,重新建立起一朵新的云,即云與云之間的“防火墻”����,類似于“防火云”的概念。我們安信中保就負(fù)責(zé)做這朵“防火云”�����,讓這些云在安全有序的環(huán)境中運(yùn)行�����,產(chǎn)生最大的效益����。
被“大數(shù)據(jù)”挑戰(zhàn)的商業(yè)倫理與法制
《中外管理》:如今����,可穿戴設(shè)備已經(jīng)成為潮流�����,這個(gè)潮流會(huì)催生更大量的數(shù)據(jù)���。很多企業(yè)也都在積極進(jìn)入這個(gè)領(lǐng)域。我們?nèi)绾伪WC既能滿足商業(yè)的開(kāi)發(fā)需求�����,又能夠避免信息安全狀況混亂的場(chǎng)面��?
康益銘:隨著可穿戴設(shè)備的普及����,信息泄露會(huì)成為常態(tài)。成為常態(tài)的同時(shí)�,國(guó)家應(yīng)該有一個(gè)態(tài)度和認(rèn)識(shí),出臺(tái)相應(yīng)的法規(guī)法律去約束它���。就制造企業(yè)來(lái)說(shuō)����,也應(yīng)該為終端用戶負(fù)起責(zé)任。不能在一味追求利益的情況下�����,讓你的客戶信息輕易被泄露����,這也是一個(gè)生產(chǎn)企業(yè)所應(yīng)承擔(dān)的社會(huì)責(zé)任。
《中外管理》:市面上出現(xiàn)了一些廣告�,聲稱可以依靠大數(shù)據(jù)或其他信息攔截技術(shù),幫助獲取和分析他人手機(jī)上的信息及背后的行為�����,您怎么看待這種商業(yè)行為�����?
康益銘:信息安全能不能跟得上商業(yè)模式�、技術(shù)發(fā)展的速度,這在倫理上都會(huì)面臨很大的考驗(yàn)�。你說(shuō)的此類分析系統(tǒng)與軟件,在市面上已經(jīng)上線不少��,但在法律上的界定比較微妙����。從被分析方的角度來(lái)看,這種行為肯定是侵害了個(gè)人權(quán)益�����。如果是通過(guò)正常的接觸�����,交往�,通過(guò)對(duì)方的言行來(lái)分析判斷這個(gè)人,在法律上就不能算是違法���,只能算是個(gè)人行為�����。但如果通過(guò)其他非法手段�����,采集到相關(guān)信息���,最后綜合整理去分析判斷這個(gè)人����,在法律上就被視為是非法行為�。
慎對(duì)外資:寧愿不發(fā)展,也不留隱患
《中外管理》:像阿里巴巴這種在美國(guó)上市的企業(yè)���,可能股權(quán)關(guān)系比較復(fù)雜����。在我們的體系里����,安信中保跟阿里巴巴會(huì)是一種什么關(guān)系?是合作還是相互屏蔽����?
康益銘:不管企業(yè)多大,如果屬于外資成分����,安信中保的發(fā)展宗旨是:永遠(yuǎn)不會(huì)借助外資。因?yàn)槲覀兂休d的是國(guó)家信息安全���。如果有外資�,這本身就意味著不安全。所以即使不發(fā)展���,也不允許有不安全的因素存在。這個(gè)問(wèn)題����,需要從國(guó)家安全角度出發(fā)來(lái)考慮。任何一個(gè)企業(yè)�,即使是境內(nèi)企業(yè),如果對(duì)國(guó)家和民族安全產(chǎn)生不利因素�,我們肯定會(huì)采取不合作、屏蔽的方式�����。
但如果企業(yè)為國(guó)家發(fā)展做出了貢獻(xiàn)���,不管是獨(dú)資����、外資�����,我們也愿意合作,共同發(fā)展���,服務(wù)于全人類���。
第8篇
關(guān)鍵詞:分布式;信息安全���;規(guī)劃���;方案
中圖分類號(hào):TP309.2文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-3044(2008)36-2848-03
An Information Security Program for a Distributed Enterprise
GUO Yong, CHEN Rong-sheng, ZHAN Gui-bao, ZENG Zhong-cheng, LU Teng-zu, LI Zhuang-xiang
(Fujian Xindong Network Technology Co., Ltd. Fuzhou 350003,China)
Abstract: Based on the specific conditions of the distributed enterprise, information security architecture in accordance with the relevant standards, a distributed enterprise information security planning principles and objectives. And based on the principles and objectives of the meeting, according to the organization, management and technical aspects of three specific design specifications with the principle. Finally, based on the objective of planning services, a category of information distributed enterprise information security services, planning and design examples.
Key words: distributed; information security; planning; program
1 引言
據(jù)來(lái)自eWeek 的消息,市場(chǎng)研究機(jī)構(gòu)Gartner 研究報(bào)告稱��,很對(duì)企業(yè)目前仍缺乏完整的信息安全規(guī)劃和規(guī)范����。盡管目前很多企業(yè)在信息安全方面的投入每年都在緩慢增長(zhǎng),但由于推動(dòng)力以外部法律法規(guī)的約束和商業(yè)業(yè)務(wù)的壓力為主�,因此他們對(duì)安全技術(shù)和服務(wù)的選擇和使用仍停留在一個(gè)相對(duì)較低的水平。尤其對(duì)于機(jī)構(gòu)構(gòu)成方式為分布式的企業(yè)而言���,因?yàn)樾畔踩枨蠛筒渴鹣鄬?duì)更加復(fù)雜�����,投入更多�����,因此這類企業(yè)的信息安全規(guī)劃就更加缺乏���。
本文根據(jù)這類分布式企業(yè)的特點(diǎn)提出了一種符合該類企業(yè)實(shí)際的信息安全規(guī)劃方案�。
2 總體規(guī)劃原則和目標(biāo)
2.1 總體規(guī)劃原則
對(duì)于分布式企業(yè)的信息安全規(guī)劃��,要遵守如下原則:適度集中����,控制風(fēng)險(xiǎn)�;突出重點(diǎn),分級(jí)保護(hù)��;統(tǒng)籌安排�,分步實(shí)施;分級(jí)管理���,責(zé)任到崗�����;資源優(yōu)化�����,注重效益����。
這個(gè)原則的制定主要是根據(jù)分布式企業(yè)的實(shí)際機(jī)構(gòu)構(gòu)成情況、人員素質(zhì)情況以及資源配置情況來(lái)制定的�。
2.2 總體規(guī)劃目標(biāo)
信息系統(tǒng)安全規(guī)劃的方法可以不同、側(cè)重點(diǎn)可以不同�,但是需要圍繞組織安全、管理安全�、技術(shù)安全進(jìn)行全面的考慮。信息系統(tǒng)安全規(guī)劃的最終效果應(yīng)該體現(xiàn)在對(duì)信息系統(tǒng)與信息資源的安全保護(hù)上�����,下面將分別對(duì)組織規(guī)劃�、管理規(guī)劃和技術(shù)規(guī)劃分別進(jìn)行闡述。信息安全規(guī)劃依托企業(yè)信息化戰(zhàn)略規(guī)劃��,對(duì)信息化戰(zhàn)略的實(shí)施起到保駕護(hù)航的作用�����。信息系統(tǒng)安全規(guī)劃的目標(biāo)應(yīng)該與企業(yè)信息化的目標(biāo)是一致的,而且應(yīng)該比企業(yè)信息化的目標(biāo)更具體明確����、更貼近安全。信息系統(tǒng)安全規(guī)劃的一切論述都要圍繞著這個(gè)目標(biāo)展開(kāi)和部署�����。
3 信息安全組織規(guī)劃
3.1 組織規(guī)劃目標(biāo)
組織建設(shè)是信息安全建設(shè)的基本保證��,信息安全組織的目標(biāo)是:
1)完善和形成一個(gè)獨(dú)立的���、完整的、動(dòng)態(tài)的����、開(kāi)放的信息安全組織架構(gòu),達(dá)到國(guó)際國(guó)內(nèi)標(biāo)準(zhǔn)的要求����;
2)打造一支具有專業(yè)水準(zhǔn)的、過(guò)硬本領(lǐng)的信息安全隊(duì)伍����。對(duì)內(nèi)可以保障企業(yè)內(nèi)部網(wǎng)安全��,對(duì)外可以向社會(huì)提供高品質(zhì)的安全服務(wù)����;
3)建設(shè)一個(gè) “信息安全運(yùn)維中心(SOC)”�,能夠滿足當(dāng)前和未來(lái)的業(yè)務(wù)發(fā)展及信息安全組織運(yùn)轉(zhuǎn)的支撐系統(tǒng),能夠?qū)ν馓峁┌踩?wù)平臺(tái)�。
3.2 組織規(guī)劃實(shí)施
對(duì)于組織規(guī)劃這個(gè)方面,是屬于一個(gè)企業(yè)信息安全規(guī)劃的上層建筑����,需要用一種由上而下的方法來(lái)實(shí)現(xiàn),其主要是在具體人事機(jī)制�����、管理機(jī)制和培訓(xùn)機(jī)制上做工作���。對(duì)于分布式企業(yè)而言�,需要主導(dǎo)部門從上層著手��,建章立制���,強(qiáng)化安全教育��,加大基礎(chǔ)人力�、財(cái)力和物力的投入。
4 信息安全管理規(guī)劃
4.1 管理規(guī)劃目標(biāo)
信息安全管理規(guī)劃的目標(biāo)是����,完善和形成“七套信息安全軟措施”,具體包括:一套等級(jí)劃分指標(biāo)�����,一套信息安全策略�,一套信息安全制度,一套信息安全流程規(guī)范�����,一套信息安全教育培訓(xùn)體系��,一套信息安全風(fēng)險(xiǎn)監(jiān)管機(jī)制����,一套信息安全績(jī)效考核指標(biāo)�?�!捌咛仔畔踩洿胧标P(guān)系如圖1所示�����。
4.2 信息安全管理設(shè)計(jì)
基于對(duì)管理目標(biāo)的分析�,信息安全管理的原則以風(fēng)險(xiǎn)管理為主�,集中安全控制。管理要素由管理對(duì)象�、安全威脅、脆弱性�、風(fēng)險(xiǎn)、保護(hù)措施組成��。
4.2.1 信息安全等級(jí)劃分指標(biāo)
信息安全等級(jí)保護(hù)是國(guó)家在國(guó)民經(jīng)濟(jì)和社會(huì)信息化的發(fā)展過(guò)程中����,提高信息安全保障能力和水平,維護(hù)國(guó)家安全���、社會(huì)穩(wěn)定和公共利益���,保障和促進(jìn)信息化健康發(fā)展的基本策略。
4.2.2 信息安全策略
信息安全安全策略是關(guān)于保護(hù)對(duì)象說(shuō)明����、保護(hù)必要性描述���、保護(hù)責(zé)任人、保護(hù)對(duì)策以及意外處理方法的總和�����。
4.2.3 信息安全制度
信息安全制度是指為信息資產(chǎn)的安全而制定的行為約束規(guī)則�����。
4.2.4 信息安全規(guī)范
信息安全規(guī)范是關(guān)于信息安全工作應(yīng)達(dá)到的要求���,在信息安全規(guī)范方面�����,根據(jù)調(diào)查���,建立信息安全管理規(guī)范、信息安全技術(shù)規(guī)范��。其中�,安全管理規(guī)范主要針對(duì)人員、團(tuán)隊(duì)�、制度和資源管理提供參照性準(zhǔn)則;信息安全技術(shù)規(guī)范主要針對(duì)安全設(shè)計(jì)�、施工、維護(hù)和操作提供技術(shù)性指導(dǎo)建議��。
4.2.5 信息安全管理流程
信息安全流程是指工作中應(yīng)遵循的信息安全程序�����,其目的是減少安全隱患�,降低風(fēng)險(xiǎn)。
4.2.6 信息安全績(jī)效考核指標(biāo)
信息安全績(jī)效考核指標(biāo)是指針對(duì)信息安全工作的質(zhì)量和態(tài)度而給出的評(píng)價(jià)依據(jù)���,其目的是增強(qiáng)信息安全責(zé)任意識(shí)���,提高信息安全工作質(zhì)量。
4.2.7 信息安全監(jiān)管機(jī)制
信息安全監(jiān)管機(jī)制是指有關(guān)信息安全風(fēng)險(xiǎn)的識(shí)別�����、分析和控制的措施總和��。其主要目的加強(qiáng)信息安全風(fēng)險(xiǎn)的控制����,做到“安全第一�����,預(yù)防為主”����。
4.2.8 信息安全教育培訓(xùn)體系
其主要目的加強(qiáng)的信息安全人才隊(duì)伍的建設(shè)���,提高企業(yè)人員的信息安全意識(shí)和技能���,增強(qiáng)企業(yè)信息安全能力。
5 信息安全技術(shù)規(guī)劃
5.1 技術(shù)規(guī)劃目標(biāo)
信息安全技術(shù)規(guī)劃目標(biāo)簡(jiǎn)言之是:給業(yè)務(wù)運(yùn)營(yíng)提供信息安全環(huán)境�,為企業(yè)轉(zhuǎn)型提供契機(jī),構(gòu)建信息安全服務(wù)支撐系統(tǒng)�。具體目標(biāo)如下:
1)打造信息安全基礎(chǔ)環(huán)境,調(diào)整和優(yōu)化IT基礎(chǔ)設(shè)施����,建立安全專網(wǎng),設(shè)置兩個(gè)中心(信息安全運(yùn)維中心����、災(zāi)備中心)�����;
2)建立一體化信息安全平臺(tái),綜合集成安全決策調(diào)度�、安全巡檢、認(rèn)證授權(quán)��、安全防護(hù)����、安全監(jiān)控、安全審計(jì)�、應(yīng)急響應(yīng)、安全服務(wù)�����、安全測(cè)試�����、安全培訓(xùn)等功能����,實(shí)現(xiàn)的集中安全管理控制�,快速安全事件響應(yīng)�����,高可信的安全防護(hù)���,拓展企業(yè)業(yè)務(wù)�,開(kāi)辟信息安全服務(wù)新領(lǐng)域�。
5.2 信息安全運(yùn)維中心(SOC)
SOC 是信息安全體系建設(shè)的基礎(chǔ)性工作,SOC 承載用于監(jiān)控第一生產(chǎn)網(wǎng)的安全專網(wǎng)核心基礎(chǔ)設(shè)施�����,提供信息安全中心技術(shù)人員的辦公場(chǎng)所�����,提供“7×24”小時(shí)連續(xù)不斷的安全應(yīng)用服務(wù),提供實(shí)時(shí)監(jiān)控���、遠(yuǎn)程入侵發(fā)現(xiàn)���、事件響應(yīng)����、安全更新與升級(jí)等業(yè)務(wù)����,SOC 要求具有充分保障自身的安全措施����。除了SOC 的組織建設(shè)、基礎(chǔ)工程外���,SOC 的技術(shù)性工作還要做以下幾個(gè)方面:
1)硬件基礎(chǔ)建設(shè)����,主要內(nèi)容是SOC 的選址�����、布局�����、布線����、系統(tǒng)集成�,實(shí)現(xiàn)SOC 自身的防火�����、防潮��、防電�、防塵、安全監(jiān)控功能�;
2)軟件基礎(chǔ)建設(shè),包括SSS 系統(tǒng)����、機(jī)房監(jiān)控子系統(tǒng)、功能小組及中心組劃分�����。
圖1 信息安全軟措施關(guān)系
圖2 信息安全總體框架
圖3 資產(chǎn)��、組織���、管理和安全措施的關(guān)系
5.3 信息安全綜合測(cè)試環(huán)境
隨著分布式企業(yè)信息化程度的日也加深�,需要部署到大量IT 產(chǎn)品和應(yīng)用系統(tǒng),為了保障安全�,必須對(duì)這些IT 系統(tǒng)和產(chǎn)品做入網(wǎng)前安全檢查,消除安全隱患��?;诖耍C合測(cè)試環(huán)境建設(shè)的內(nèi)容包括:安全測(cè)試網(wǎng)絡(luò)��;測(cè)試系統(tǒng)設(shè)備����;安全測(cè)試工具�;安全測(cè)試分析系統(tǒng);安全測(cè)試知識(shí)庫(kù)���。
其中���,安全測(cè)試網(wǎng)絡(luò)要求能夠模擬企業(yè)網(wǎng)絡(luò)真實(shí)的帶寬;測(cè)試系統(tǒng)設(shè)備能夠提供典型的網(wǎng)絡(luò)服務(wù)流量模擬�����、典型的應(yīng)用系統(tǒng)流量模擬�����;安全測(cè)試工具覆蓋防范類、檢測(cè)類����、評(píng)估類、應(yīng)急恢復(fù)類�、管理類等,并提供使用說(shuō)明���、漏洞掃描���、應(yīng)用安全分析;安全測(cè)試分析系統(tǒng)能夠提供統(tǒng)計(jì)分析��、圖表展現(xiàn)功能����;安全知識(shí)庫(kù)包含以下內(nèi)容:漏洞知識(shí)庫(kù),補(bǔ)丁信息庫(kù)���,安全標(biāo)準(zhǔn)知識(shí)庫(kù)�����,威脅場(chǎng)景視頻庫(kù)��,攻擊特征知識(shí)庫(kù)�,信息安全解決案例庫(kù),安全產(chǎn)品知識(shí)庫(kù)���,安全概念和術(shù)語(yǔ)知識(shí)庫(kù)����。
5.4 安全平臺(tái)建設(shè)規(guī)劃
參照國(guó)際上PDRR 模型和國(guó)家信息安全方面規(guī)范��,建議信息安全總體框架設(shè)計(jì)如圖2所示�。
主要目的,以資產(chǎn)為核心���,通過(guò)安全組織實(shí)現(xiàn)資產(chǎn)保護(hù),以安全管理來(lái)約束組織的行為���,以技術(shù)手段輔助安全管理�。其中��,資產(chǎn)����、組織��、管理�、安全措施的關(guān)系如圖3所示��,核心為資產(chǎn)����,圍繞資產(chǎn)是組織,組織是管理���,最外層是安全措施�����。
在平臺(tái)中集成十個(gè)安全機(jī)制�,它們分別是:信息安全集中管理�����;信息安全巡檢��;信息安全認(rèn)證授權(quán);信息安全防護(hù)��;信息安全監(jiān)控����;信息安全測(cè)試;信息安全審核��;信息安全應(yīng)急響應(yīng)��;信息安全教育培訓(xùn)�;信息安全服務(wù)。
6 信息安全服務(wù)業(yè)務(wù)規(guī)劃
6.1 服務(wù)業(yè)務(wù)規(guī)劃目標(biāo)
信息安全服務(wù)業(yè)務(wù)規(guī)劃目標(biāo)簡(jiǎn)言之是:以信息安全服務(wù)為切入點(diǎn)���,充分發(fā)揮企業(yè)優(yōu)勢(shì)資源����,引領(lǐng)信息安全市場(chǎng)���,為企業(yè)轉(zhuǎn)型創(chuàng)造時(shí)機(jī)。具體目標(biāo)如下:
1)推出面向客戶安全(檢查�����、教育����、配置)產(chǎn)品���;2)推出面向大型企業(yè)的信息安全咨詢產(chǎn)品;3)推出面向家庭安全上網(wǎng)產(chǎn)品����;4)推出面向企業(yè)安全運(yùn)維產(chǎn)品;5)推出面向企業(yè)災(zāi)害恢復(fù)產(chǎn)品�����。
6.2 服務(wù)業(yè)務(wù)規(guī)劃設(shè)計(jì)
服務(wù)業(yè)務(wù)規(guī)劃主要針對(duì)具體業(yè)務(wù)而言���,在此列舉信息類分布式企業(yè)業(yè)務(wù)作為示例:
1)信息安全咨詢類產(chǎn)品��,其服務(wù)功能主要有:信息安全風(fēng)險(xiǎn)評(píng)估�;信息安全規(guī)劃設(shè)計(jì)�����;信息安全產(chǎn)品顧問(wèn)��。
2)信息安全教育培訓(xùn)類產(chǎn)品,其服務(wù)功能主要有:提供信息安全操作環(huán)境�����;提供信息安全知識(shí)教育�����;提供信息安全運(yùn)維教育����。
3)家庭類安全服務(wù)產(chǎn)品,其服務(wù)功能主要有:推出“家庭綠色上網(wǎng)”安全服務(wù)���;家庭上網(wǎng)防病毒服務(wù)����;家庭上網(wǎng)機(jī)器安全檢查服務(wù)��;家庭上網(wǎng)機(jī)數(shù)據(jù)備份服務(wù)����。
4)企業(yè)類安全服務(wù)產(chǎn)品,其服務(wù)功能主要有:企業(yè)安全上網(wǎng)控制服務(wù)�����;企業(yè)安全專網(wǎng)服務(wù)����;安全信息通告;企業(yè)運(yùn)維服務(wù)�。
5)容災(zāi)類安全服務(wù)產(chǎn)品,其服務(wù)功能主要有:面向政府?dāng)?shù)據(jù)災(zāi)備服務(wù)�;面向政府信息系統(tǒng)災(zāi)備服務(wù);面向企業(yè)數(shù)據(jù)災(zāi)備服務(wù)����;面向企業(yè)信息系統(tǒng)災(zāi)備服務(wù)。
7 結(jié)束語(yǔ)
通過(guò)結(jié)合分布式企業(yè)的具體實(shí)際�����,按照信息安全體系結(jié)構(gòu)相關(guān)標(biāo)準(zhǔn)�����,提出了分布式企業(yè)的信息安全規(guī)劃原則和目標(biāo)���。并依據(jù)次原則與目標(biāo)����,按照組織、管理和技術(shù)三個(gè)方面提出了具體的實(shí)現(xiàn)與設(shè)計(jì)規(guī)范原則����。最后,依據(jù)服務(wù)規(guī)劃目標(biāo)��,提出了信息類分布式企業(yè)的信息安全服務(wù)規(guī)劃設(shè)計(jì)實(shí)例�。
參考文獻(xiàn):
[1] 周曉梅. 論企業(yè)信息安全體系的建立[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2006��,3:62~64��,57.
[2] Harold F. Tipton�,Micki Krause. Information Security Management Handbook[M]. Fifth Edition.US:Auerbach Publications,2004.
[3] 魏永紅,李天智,張志. 網(wǎng)絡(luò)信息安全防御體系探討[J].河北省科學(xué)院學(xué)報(bào)����,2006,23,(1):25~28.
[4] 張慶華. 信息網(wǎng)絡(luò)動(dòng)態(tài)安全體系模型綜述[J].計(jì)算機(jī)應(yīng)用研究,2002,10:5~7.
[5] ISO/IEC 15408�����,13335����,15004���,14598����,信息技術(shù)安全評(píng)估的系列標(biāo)準(zhǔn)[S].
[6] BS7799-1,7799-2�����,ISO/IEC 17799�����,信息安全管理系列標(biāo)準(zhǔn)[S].
[7] BS7799-2�����,Information Security Management Systems-Specification With Guidance for use[S].
[8] 李瑋. 運(yùn)營(yíng)商IT系統(tǒng)網(wǎng)絡(luò)架構(gòu)的安全域劃分[J]. 通信世界,2005,30:41~41,45~45.
