淺談企業(yè)信息安全概述及防范
作者:閆兵
評論: 更新日期:2012年09月25日
論文關鍵詞:信息安全 風險防范
論文摘要:該文對企業(yè)信息安全所面臨的風險進行了深入探討,并提出了對應的解決安全問題的思路和方法�����。
隨著計算機信息化建設的飛速發(fā)展而信息系統在企業(yè)中所處的地位越來越重要���。信息安全隨著信息技術的不斷發(fā)展而演變�,其重要性日益越來越明顯�,信息安全所包含的內容、范圍也不斷的變化���。信息安全有三個中心目標�。保密性:保證非授權操作不能獲取受保護的信息或計算機資源���。完整性:保證非授權操作小能修改數據。有效性:保證非授權操作不能破壞信息或計算機資源�����。信息安全的重點放在了保護信息�,確保信息在存儲,處理,傳輸過程中及信息系統不被破壞��,確保對合法用戶的服務和限制非授權用戶的服務���,以及必要的防御攻擊的措施���。
1 企業(yè)信息安全風險分析
計算機信息系統在企業(yè)的生產、經營管理等方面發(fā)揮的作用越來越重要����,如果這些信息系統及網絡系統遭到破壞,造成數據損壞�,信息泄漏,不能正常運行等問題�����,則將對企業(yè)的生產管理以及經濟效益等造成不可估量的損失���,信啟��、技術在提高生產效率和管理水平的同時�����,也帶來了不同以往的安全風險和問題����。
信息安全風險和信息化應用情況密切相關,和采用的信息技術也密切相關�����,公司信息系統面臨的主要風險存在于如下幾個方面��。
計算機病毒的威脅:在業(yè)信息安全問題中�����,計算機病毒發(fā)生的頻率高���,影響的面寬���,并且造成的破壞和損失也列在所有安全威脅之首��。病毒感染造成網絡通信阻塞�,系統數據和文件系統破壞,系統無法提供服務甚至破壞后無法恢復�����,特別是系統中多年積累的重要數據的丟失,損失是災難性的�。
在目前的局域網建成,廣域網聯通的條件下��,計算機病毒的傳播更加迅速����,單臺計算機感染病毒,在短時間內可以感染到通過網絡聯通的所有的計算機系統�。病毒傳播速度,感染和破壞規(guī)模與網絡尚未聯通之時相比�,高出幾個數量級。
網絡安全問題:企業(yè)網絡的聯通為信息傳遞提供了方便的途徑����。業(yè)有許多應用系統如:辦公自動化系統,營銷系統�,電子商務系統,ERP��,CRM�,遠程教育培訓系統等,通過廣域網傳遞數據��。目前大部分企業(yè)都采用光纖的方式連接到互聯網運營商,企業(yè)內部職工可以通過互聯網方便地瀏覽網絡查閱�����、獲取信息�,即時聊天、發(fā)送電子郵件等���。
如何加強網絡的安全防護��,保護企業(yè)內部網上的信息系統和信息資源的安全���,保證對信息網絡的合法使用,是目前一個熱門的安全課題��,也是當前企業(yè)面臨的一個非常突出的安全問題�����。
信息傳遞的安全不容忽視:隨著辦公自動化�����,財務管理系統����,各個企業(yè)相關業(yè)務系統等生產,經營方面的重要系統投入在線運行���,越來越多的重要數據和機密信息都通過企業(yè)的內部局域網來傳輸����。
網絡中傳輸的這些信息面臨著各種安全風險����,例如被非法用戶截取從而泄露企業(yè)機密;被非法篡改����,造成數據混亂,信息錯誤從而造成工作失誤���。
用戶身份認證和信息系統的訪問控制急需加強:企業(yè)中的信息系統一般為特定范圍的用戶使用��,信息系統中包含的信息和數據�����,也只對一定范圍的用戶開放�,沒有得到授權的用戶不能訪問。為此各個信息系統中都設計r用戶管理功能�����,在系統中建立用戶��,設置權限�,管理和控制用戶對信息系統的訪問。這些措施在一定能夠程度上加強系統的安全性����。但在實際應用中仍然存在一些問題。
一是部分應用系統的用戶權限管理功能過于簡單��,能靈活實現更細的權限控制����。二是各應用系統沒有一個統一的用戶管理,企業(yè)的一個員工要使用到好幾個系統時�����,在每個應用系統中都要建立用戶賬號��,口令和設置權限,用戶自己都記不住眾多的賬號和口令��,使用起來非常不方便�,更不用說賬號的有效管理和安全了����。
如何為各應用系統提供統一的用戶管理和身份認證服務,是我們開發(fā)建設應用系統時必須考慮的一個共性的安全問題���。
2 解決信息安全問題的基本原則
企業(yè)要建立完整的信息安全防護體系��,必須根據企業(yè)實際情況�����,�,結合信息系統建設和應用的步伐����,統籌規(guī)劃,分步實施��。
2.1做好安全風險的評估
進行安全系統的建設���,首先必須全面進行信息安全風險評估���,找出問題�����,確定需求���,制定策略,再來實施����,實施完成后還要定期評估和改進。
信息安全系統建設著重點在安全和穩(wěn)定���,應盡量采用成熟的技術和產品�,不能過分求全求新�����。
培養(yǎng)信息安全專門人才和加強信息安全管理工作必須與信息安全防護系統建設同步進行�����,才能真正發(fā)揮信息安全防護系統和設備的作用。
2.2采用信息安全新技術�����,建立信息安全防護體系
企業(yè)信息安全面臨的問題很多���,我們可以根據安全需求的輕重緩急�,解決相關安全問題的信息安全技術的成熟度綜合考慮��,分步實施��。技術成熟的����,能快速見效的安全系統先實施���。
2.3根據信息安全策略�,出臺管理制度����,提高安全管理水平
信息安全的管理包括了法律法規(guī)的規(guī)定,責任的分化���,策略的規(guī)劃�,政策的制訂,流程的制作����,操作的審議等等。雖然信息安全“七分管理���,三分技術”的說法不是很精確��,但管理的作用可見一斑�����。
