企業信息安全服務范文
時間:2023-10-10 17:42:22
導語:如何才能寫好一篇企業信息安全服務,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公文云整理的十篇范文,供你借鑒。
篇1
關鍵詞:SOA 信息安全 企業服務總線
中圖分類號:TP2 文獻標識碼:A 文章編號:1672-3791(2013)01(c)-0022-02
隨著信息技術的不斷普遍,信息安全體系結構在當前的企業信息技術中扮演著越來越重要的角色。我們嘗試將信息安全和風險控制活動定義到安全服務里,設計面向服務的企業信息安全體系結構。
SOA是工業界的一個熱點主題。它是一個策略、實踐和框架的集合,能夠為提供跨域注冊、動態發現和自動機制提供內建的基礎設施。并且提供的服務封裝,通過消息協議提供可由雙方共同操作的服務。SOA也為服務質量控制和資源管理及其它的監控服務和異常處理機制準備了基礎設施。作為一個agility-pursued體系結構,SOA將企業邏輯從技術實現分離,從而使圍繞SOA體系結構建立的應用能夠滿足企業和技術領域持續變化的需求。它也將有益于可復用性和系統集成,以及可擴展性、分布性和跨域注冊。
1 問題發現
我們在SOA安全體系結構上的研究發現了以下幾個問題。
(1)缺少企業信息安全集成體系結構,引入了不同的、相互獨立的信息安全系統和解決方案,這會導致整個系統的不兼容性,導致無法達到期望的風險管理控制。
(2)由于在信息風險管理系統的信息采集還處于半自動化階段,人工的信息采集過程會導致人為造成的錯誤。
(3)ISO/IEC 27002系統為企業信息安全管理提供非常好的方法和指南,但由于缺乏合適的工具進行管理,無法很好解決企業信息安全。
(4)我們需要注意SOA自身的可靠性和安全性問題。
2 信息安全體系結構的設計
根據上述問題,提出本文的基于SOA的信息安全體系的設計。
通過研究,我們提出了一個面向服務架構的企業信息安全體系結構,它是底層基于數據倉庫/數據集市技術,并以安全服務總線作為hub,為企業信息安全活動提供集成信息安全的管理和有效的控制,使用BPM(企業過程管理)、規則引擎(Rule Engine,RE)和,企業智能(Business Intelligence,BI)技術。它有益于企業公司達到需要的信息安全管理級別。并且建立一個PDCA(Plan-Do-Check-Act)適配器,以確保信息安全管理和風險控制活動,能夠進行自我優化。
2.1 體系結構的結構
參考七層OSI設計,我們設計了五層的智能企業信息安全體系結構。自下向上為安全數據庫層、安全應用層、安全服務總線、集成和智能層、信息安全框架。
(圖1)說明了智能企業信息安全體系結構的結構。
(1)安全數據層。體系結構的底層是整個體系結構的基礎層。這是因為安全數據易于被其它應用和服務使用。這一層的數據被分為兩個部分:操作數據和分析數據。
(2)安全應用層。應用層包括所有的信息安全系統,如防火墻、入侵防御系統、反病毒系統,以及被防護的設備,如網絡設備、服務器和桌面環境等。它也包括這些系統上的各種各樣的操作系統。
(3)安全服務總線。是基于SOA的信息安全體系結構的中樞。我們在這一層定義SOA服務總線的結構和需要的各種各樣的信息安全服務。在面向服務的信息安全體系結構中,我們能夠將當前和未來的安全需求定義為安全服務,但這些服務的實現是隱藏的。
(4)集成&智能層。體系結構中數據、過程和應用都是在這一層進行處理實現的,解決一個企業各種業務問題,滿足快速變化的環境。集成層具有“應用之間”和“過程之間”進行通信的能力,通過適配器,它還能夠與其他企業過程、服務提供者或數據提供者通信。
(5)信息安全輔助設計。這是信息安全對外的接口,主要是由勻衡器、關鍵風險指示儀以及監控接口。
企業智能模型提供各種各樣的服務,例如報告、查詢、OLAP、數據挖掘和多維分析。規則引擎,作為工作流的一部分,可以結合到BPM模型。因為有了規則引擎,我們能夠更加有效地執行信息安全管理和風險控制。PDCA適配器是一個特殊的工具,它利用人工智能能夠幫助公司達到信息安全管理中持續提高和自我優化的目標。
2.2 特點和優勢
本文提出的企業信息安全體系結構具有以下特點。
(1)集成。它也能夠將信息安全管理和風險控制聯合起來作為一個集成的框架。
(2)可復用。體系結構是比較獨立的,適合于企業和小型組織。服務的封裝使得可復用,與其他服務聯合使用。
(3)面向服務的體系結構。SOA體系機構的采用提供了服務的獨立性、自我管理和自我彈性。
(4)集成的數據環境。集成的數據結構使之適合于各種數據庫進行對接。
(5)企業智能。這個體系結構將企業智能應用到信息安全管理,信息安全管理主要使用了數據挖掘和模式識別技術。這可以大大減少由于人工誤操作引起的損失,增強信息安全管理和風險控制操作。
(6)開放的體系結構。體系結構開放設計,以滿足整個企業的安全需求;面向服務的特征使得體系結構式開放的,允許多個接口與外部應用通信。
3 結論
與傳統的信息安全體系結構設計相比,本文提出的體系結構設計具有幾個優勢,包括開放、集成、可復用、面向服務、集成數據平臺和商業智能。信息安全管理人員可以自由地執行重要的任務,如風險分析等。最后,這個體系結構式我們建立集成和智能企業信息安全體系結構的開端,以后會有更多的、更好的產品出現。
參考文獻
[1] 魏東,陳曉江,房鼎益,等.基于SOA體系結構的軟件開發方法研究[J].微電子學與計算機,2005,22(6):73-76.
[2] 葉宇風.基于SOA的企業應用集成研究[J].微電子學與計算機,2006,23(5):211-213.
[3] 雷冬艷.SOA環境下的數字圖書館信息安全研究[J].科教文匯,2010(33):189-190.
[4] 李益文.基于SOA的商業系統的信息安全技術探討[J].電腦編程技巧與維護,2010(20):114-115,154.
篇2
【關鍵詞】企業信息化;信息安全問題;原因;對策
新時期下,信息化技術在各行業中運用日漸深入,給企業現代化建設與快速發展帶來了無限動力。企業信息化建設已成為我國經濟信息化建設能否成功的關鍵所在,也是提升企業自身市場競爭力與企業升級進步的重要保證和標志[1]。但是,企業信息化建設過程中不可避免的出現信息安全問題,給企業正常生產經營帶來諸多不利影響。因此,加強企業信息化建設中信息安全管理,已成為現代企業經營管理的一個至關重要的工作。
1企業信息化概述
所謂的企業信息化,指的是實現企業的資金流、物流、作業流、信息流的數字化、網絡化管理,實行企業運行的自動化和企業制度的現代化[2]。企業信息化建設涉及了企業生產經營中的各個部門,其主要利用現代化信息技術,通過完善企業內外網絡信息系統,實現對企業內外知識與信息資源的開發。可見,建設企業信息化體系,不但可以及時有效的提供各種數據信息給企業決策層,也為企業未來規劃設計提供參考依據,而且還有利于企業滿足瞬息萬變的市場需求,為企業市場核心競爭力的提升帶來動力。
2當前企業信息化建設中信息安全問題
企業信息化建設與發展為企業持續、健康、穩定發展發揮了顯著作用,但同時也存在著諸多信息安全問題,具體分析主要有以下幾方面[3]:(1)當前,絕大多數企業缺乏完善的安全防御系統,導致企業內部使用的信息系統易遭受外部網絡系統的攻擊,引發企業信息資料被他人截獲、篡改與偽造等問題,甚至企業信息系統中出現通信線路、硬盤設施以及其他文件系統遭惡意破壞現象,上述問題的發生不但致使企業信息系統無法正常運行,而且其內部機密信息易發生泄漏,造成企業嚴重的社會經濟損失。(2)針對郵件系統攻擊防不甚防。在企業信息系統中電子郵件具有重要的作用,通過電子郵件接收與傳送,極大的方便了企業內部間與外部間信息交流與溝通。然而,電子郵件安全問題也日益突出,典型的如電子郵件病毒、垃圾郵件、機密信息泄露以及電子郵件炸彈等,給企業信息傳輸帶來了巨大安全隱患。因此,電子郵件安全問題不可忽視。(3)漏洞攻擊日益嚴重。按照漏洞問題發生原因可分為軟件漏洞和協議漏洞兩種,其中軟件漏洞主要是受外部不法分子攻擊軟件自身存在的漏洞,造成企業信息泄露等問題;而協議漏洞則主要是由于TCP/IP協議自身在安全機制方面存在的諸多漏洞問題導致,外部不法人員通過攻擊TCP/IP協議漏洞,致使企業信息系統遭受破壞。目前情況,很多企業對自身信息系統缺乏成熟的漏洞檢測手段和能力,往往事發后才采取補救措施。(4)是Web服務安全問題突出,根據Web服務流程,其發生安全問題的主要組成包括Web服務端安全問題、瀏覽器客戶端安全問題兩種。其中,Web服務端安全問題主要是企業Web主機遭受外部不法分子侵入,導致企業保密信息遭竊或者企業部分信息遭受非法篡改等;瀏覽器客戶端安全問題則是企業瀏覽器客戶端遭外部非法分子侵入,致使部分機密信息與數據遭竊等。
3導致企業信息化建設中信息安全問題因素
企業信息化建設中信息安全問題發生受諸多因素影響,具體分析主要有以下幾方面[4]:(1)目前,絕大多數企業在信息化建設過程中,對于信息安全問題重視度嚴重不足。一方面,受傳統經營觀念影響,企業管理層偏重于對企業生產經營中的有形資產給予關注與重視,而忽略了企業知識與信息資料等無形資源,導致在企業信息安全管理方面各項投入嚴重不足,進而造成信息安全問題日益凸顯;另一方面,多數企業在面對信息安全問題時,存在著盲目樂觀現象,認為信息安全問題不至于導致企業正常生產經營,使得信息安全管理無法上升至企業發展規劃戰略之中,進而造成信息安全問題得不到及時有效解決。(2)由于企業信息化建設在我國尚處于起步階段,各方面配套管理制度不夠完善,特別是缺乏健全的企業信息安全管理體制。受此影響,企業信息化建設中信息安全問題一方面無法得到有效的預防措施,另一方面是一旦發生信息安全問題,無法采取及時有效的補救與解決對策。同時,由于缺乏科學、合理、有效的企業信息安全防護策略,使得企業信息管理人員缺乏必要的安全防護意識與業務素質能力,致使企業信息安全防護軟硬件工作質量與效率明顯不足。上述兩個因素,導致企業無論是從人員配置,還是資金與技術投入方面都嚴重不足,受企業信息管理人員業務素質能力不足、信息安全技術方法落后以及配套的資金缺乏等影響,企業信息安全防護的措施、手段偏低,造成企業信息化建設存在著嚴重安全隱患。
4提升企業信息化建設中信息安全對策
針對當前企業信息化建設中存在的信息安全問題,為加強企業信息安全管理,提升企業信息安全保障,可通過采取以下幾方面對策,具體有[5]:(1)轉變傳統企業信息化建設觀念,在企業內部管理層從上至下加強對企業信息安全的重視,并樹立正確的安全意識。一方面,通過組織各種信息安全管理培訓等,增強全體企業員工信息安全意識,確保企業保密信息不外漏;另一方面,逐步加大企業信息化建設中信息安全管理各項資金、技術、人力投入,并建立科學、合理、有效的企業信息安全防護策略,保障企業信息系統安全穩定。(2)不斷的推進網絡信息技術的發展與運用,促進企業組織結構網絡化的實現,同時引進先進的安全防護技術,確保企業信息化系統安全穩定運行。任何網絡信息系統都存在著或大或小的安全漏洞問題,而保證其不受外部不法分子侵入的一個關鍵方法就是安全防護技術的運用。通過選用先進的安全防護技術,可以有效的提高企業信息系統抵抗外來攻擊,避免企業信息遭受竊取、篡改甚至破壞等,對于保障企業持續、健康、穩定發展具有顯著作用。(3)結合企業信息化建設實際情況,建立健全企業內部信息系統管理體制。一方面,針對信息安全問題,應建立科學、合理、規范的信息安全管理體制,保證企業信息系統安全運行;另一方面,建立健全企業安全風險評估機制,針對不同系統找出影響其安全的因素和漏洞,并制定出最佳的對策,降低企業信息安全風險;此外,加強相應的網絡管理,防止外來不法分子通過網絡侵入企業信息系統。(4)根據新時期企業信息化建設需要,加強企業信息技術人才、信息管理人才隊伍建設,為企業信息安全管理奠定堅實的人才基礎。一方面,在企業內部,加強信息技術人才培訓,提高企業內部相關人才業務素質能力;另一方面,在企業外部,采取有效措施,積極招聘人才,引進具有先進信息技術型人才;此外,建立健全企業信息安全管理用人機制,激發員工工作積極性,提高工作質量與效率。
5小結
總而言之,企業信息安全事關企業信息化建設是否成功,對于企業持續、健康、穩定發展具有至關重要的作用。因此,應提高企業信息安全管理意識,增強企業信息安全管理機制,促進企業信息安全管理工作質量與效率,保障企業信息化建設順利開展。
作者:吳捷 單位:中海石油氣電集團有限責任公司
參考文獻
[1]毛志勇.企業信息化建設的信息安全形勢與對策研究[J].科技與產業,2008,8,(1):43~45.
[2]纂振法,徐福緣.淺析企業信息化建設的意義、問題與對策[J].吉林省經濟管理干部學院學報,2001,3:24~28.
[3]謝志宏.企業信息化建設中的信息安全問題研究[J].企業導報,2014(06):132~133.
篇3
關鍵詞:電力企業;信息安全;管控平臺;初步設計
中圖分類號:TP31 文獻標識碼:A
隨著我國社會經濟不斷地發展,人們的生活水平不斷地提高,我國電力企業得到高速發展,為滿足人們所提出的高要求,適應社會主義市場經濟體制的發展,電力企業必須轉變管理模式,采用現代化的管理手段,以尋求更好的發展。如今,計算機信息技術已被廣泛應用于社會各個領域中,具有重要的作用。電力企業在發展過程中,其規模越來越大,信息化的應用也有所突破,但仍然存在問題。為使信息化技術在電力企業中得到高效的應用,保障電力企業的信息安全,則必須建設電力企業信息安全管控平臺,以有效的控制電力企業的信息,充分發揮管控平臺的功能。
一、創建電力企業信息安全管控平臺的重要性
隨著我國電力企業的蓬勃發展,其經營規模越來越大,在企業中充分利用信息技術,以使電力企業具有時代特點。近幾年,計算機信息網絡技術不斷地改進和完善,逐漸成為我國社會生活生產中不可或缺的一部分,其在電力企業中的應用推動了電力企業的現代化發展,但與此同時其也為電力企業的信息安全帶來了挑戰。現階段,電力企業的信息安全問題已成為其發展過程中的亟待解決的重要研究課題。在電力企業中,由于其各級別的單位難以解決網絡分散性問題,無法有效地規避信息安全事件所帶來的高風險。在電力企業管理中無法全面的掌握企業信息安全狀況,缺少可靠的依據來開展風險評估工作,未能進行實時跟蹤監督,導致其難以制定科學的安全預警方案。鑒于這種情況,電力企業必須加強內部控制管理,做好事前預防、事中控制和事后監督。為實現有效的電力企業現代管理,必須創建具有實用性的電力企業信息安全管控平臺。這個平臺能讓電力企業實施可靠的安全監督,進行合理的安全預警工作,可促使電力企業做好風險評估工作,開展高效的監督工作,對企業信息進行統一管理,以建立完善的信息安全風險管理體系,從而提高電力企業信息安全管理水平。
二、電力企業信息安全管控平臺的初步設計
1電力企業信息安全管控平臺的設計原則
在設計電力企業信息安全管控平臺時,要遵循以下原則:首先,所創建的信息安全管控平臺必須滿足電力企業發展的需求,要以現代電力企業的管理體制為依據來創建,以保障信息安全管控平臺的可實行性;其次,電力企業信息安全管控平臺的設計需要先進的技術措施和科學的管理方法來支持,因而設計前,必須慎重的選擇技術和管理的實現方式;最后,電力企業所創建的信息安全管控平臺,其自身必須具有一定的安全性,為平臺在企業中的應用提供重要的保障。除此之外,在信息安全管控平臺的設計過程中,要先了解平臺工具的特殊性能,并以此為基礎來設計與之配套的功能服務,例如數據初始化,以保障信息安全管控平臺的順利運行。
2根據不同的角色來設計管控平臺
電力企業信息安全管控平臺的建設,必須與其企業的組織結構相配合。在設計管控平臺的時候,應該對不同角色的職能需求進行分析。對于上級信息安全主管單位,其所需要的是能全面掌握信息安全的動態,了解信息系統安全的狀況,做好網絡環境評估工作,主要功能是協調和監督;對于本地信息安全實施單位和主管單位,前者主要是設立安全運維人員等人來保障解本地信息安全,而后者則是全面了解企業信息安全狀況并且進行有效的細條;對外部信息安全支持單位,其主要是負責對企業信息安全實施監督和控制,以做好應急工作;對于應急聯動和專家機構,其職責在于為企業信息的安全提供技術保障。
3信息安全管控平臺在電力企業中的實現
信息安全管控平臺在電力企業中運行時,主要分為這幾個模塊:第一,基礎安全數據管理模塊,這一部分主要是的對企業信息系統中所產生的各類數據,如服務器的基本信息,安全配置知識庫等數據資料進行整合和儲存,具有查詢和修改的功能;第二,預案管理模塊,這一部分主要是用來對電力企業中的各級單位進行原的編制、和更新等。值得注意的是要為應急預案編制工作和審批制定統一的標準,加以規范。在預案管理部分,可充分利用工作流引擎來執行應急預案,以突出應急預案的作用和其有效性;第三,風險評估模塊,在這一部分主要是為信息安全風險評估工作提供可靠的數據信息作為依據,以根據矩陣型風險計算方式計算出風險,并制定出相應措施;第四,業務影響分析模塊,這一部分的功能與風險評估模塊的職責差不多,也是響應急預案提供有效信息,但是其在此過程中還必須注意信息系統業務之間的不同之處;第五部分是公告管理模塊,這一部分主要是提供瀏覽、查閱和管理等功能;第六。預警管理模塊,由兩個部分組成,一個是漏洞預警管理,另一個則是威脅預警管理,這兩個部分的級別分別是高、中、低;第七,安全事件管理模塊,這一部分是對信息安全事件進行處理;第八,信息安全狀況監視模塊,包括了宏觀態勢監視和應急監視。
結語
在電力企業中建立信息安全管控平臺,是保障電力企業信息安全的重要途徑,具有重要意義。電力企業信息安全管控平臺的建設是為了加強電力企業信息化程度,必須科學的制定設計方案,使其符合現階段電力企業的發展現狀和電力企業的發展特點。在電力企業中運行信息安全管控平臺,有利于及時發現信息安全中存在的問題,并加以解決,能確保企業信息的真實性、完整性和有效性。這種信息安全管控平臺的創建有其必要性,對電力企業的發展起到重要的影響作用,必須予以高度重視。總而言之,對電力企業信息安全管控平臺的研究具有重要的意義,而這一平臺的運行則具有較高的使用價值。
參考文獻
[1]樊凱.電力企業信息安全管控平臺設計與實現[J].現代計算機:下半月版,2012(17) .
[2]李正忠.電力企業信息安全網絡建設原則與實踐[J].中國新通信,2013(9) .
篇4
關鍵詞:企業信息;安全;網絡;信息技術
中圖分類號:TP393.08
隨著信息化建設的不斷深入,企業對網絡信息系統的依賴性越來越強,幾乎所有的工作內容以及數據都存儲在網絡中。然而由于網絡具有開放性,因此企業的信息存在著極大的安全隱患問題。一旦信息被偷竊或泄露,將會給企業造成難以估量的損失。因此說,保證企業信息安全具有極其重要的意義,它直接關系著整個企業的生產和經營。然而在實際的工作中,企業信息化仍然存在著一些問題,直接影響著企業的信息安全。
1 企業信息化存在的隱患
隨著信息化的高速發展,為企業及社會帶來了顯而易見的效益:提高的工作效率、減少的紙張浪費、快捷方便的通訊等等。但信息化也是一柄"雙刃劍",尤其是在企業管理、商業保密等工作中,還存在著令人堪憂的隱患:
一是物理安全風險。物理安全風險包括計算機系統的設備、設施和信息面臨因自然災害、環境事故(如斷電)、人為物理操作失誤以及不法分子進行違法犯罪等風險。
二是數據安全風險。數據安全風險包括競爭性業務的經營和管理數據泄漏,數據被人為惡意篡改或破壞等。
三是網絡安全風險。網絡安全風險包括病毒造成網絡癱瘓與擁塞、內部或外部人為惡意破壞造成網絡設備癱瘓、來自互聯網黑客的入侵威脅等。
2 保證企業信息安全的基本對策
2.1 正確認識企業信息安全問題
企業的信息安全問題,絕不僅僅是一個僅靠防火墻、密碼等等技術就能解決的問題,它還與人們的職業道德、社會道德以及企業管理等問題密切相關。因此,在維護企業信息安全時,我們必須站在宏觀的角度對問題進行考慮。在過去看來,一個企業信息的安全問題,是領導層或者IT單個部門的事情,但是憑少數人或部門的工作,對于保障公司的信息不被泄漏,防護信息存儲不被破壞、攻擊和偷盜是很難的事。筆者認為,意識指導行動,信息安全問題首先要解決的是員工的思想認識問題,只有企業的每一個人都認識到信息安全的重要性,才能在工作中自覺地維護信息安全。因為在任何一個體系中,人都是最活躍、最具有影響力和決定意義的因素,因此對于企業的信息安全問題而言,企業內部員工才是保護信息安全的最可靠、最有效的重大保障。此外,還可以加強引進信息安全技術人才以及信息安全管理人才,并在日常工作中,加強對隊伍專業知識以及工作技能的培訓,從而為企業建設一支強有力的信息安全保衛隊伍。
其次信息管理部門要全面作好專業技術支持與防范工作,根據業務的需求采取適當的保護措施,實施專業應用系統。例如,保護企業信息安全的技術可以采用主動反擊、網絡入侵陷阱、密碼、取證、防火墻、安全服務、防病毒、可信服務、PKI 服務、身份識別、備份恢復、網絡隔離等等保護產品以及保護技術,通過確保信息安全的最大化,來實現企業生產經營持續發展以及經濟效益的最大化。此外,還可以在工作的過程中,進一步優化企業信息安全管理,并進行管理監控以及安全風險評估,分析入侵防范、服務器架構等等關鍵問題,以全面性、多角度的掌控,確保企業信息系統的安全性、穩定性,因為信息安全問題不具有靜態性,信息管理始終處在一個不停變動的動態性過程,因此即使我們不可能確保信息的絕對安全,也必須做到相對安全,從而最大限度的降低企業風險。
2.2 建立健全信息安全管理制度
信息安全不僅是技術問題,更主要是管理問題。任何技術措施只能起到增強信息安全防范能力的作用,俗話說“三分技術,七分管理”,只有良好的管理工作才能使保障技術措施得到充分發揮,是能否對信息網絡實施有效信息安全保障的關鍵。現在中國石油股份有限公司內控體系中涉及信息內部控制的《信息系統總體控制辦法》(以下簡稱“GCC”)就很好的涵蓋了信息安全的各個方面,包括了機房管理、服務器管理、網絡管理和系統管理等。因此在實際的工作中,我們可以通過“三步驟”來實現企業信息的安全管理制度的健全化、完善化。
第一,結合企業自身的實際,分析企業存在的問題以及預期的目標,制定具有科學性、合理性、實效性、可行性的信息安全管理制度,使保護信息安全工作做到有法可依,有章可循。第二,建立信息安全管理機構,明晰信息安全管理負責人的職務和責任,并建立相應的考核機制和激勵機制,以督促、鼓勵相關負責人的工作,提高信息管理工作質量。第三,真正貫徹管理措施,加強制度的執行力度,只有這樣,才能從根本上實現管理工作以及工作目標,最終提高企業的信息安全管理水平。
3 加強企業信息安全保障的幾點措施
如何有效地解決企業信息安全的專業性管理與技術性防范,筆者認為可從以下幾個方面著手。
3.1 實行嚴格的網絡管理
企業網與互聯網的物理隔離、防火墻設置以及端口限制,與互聯網相比安全性較高,但在日常運行管理中我們仍然面臨網絡鏈路維護、違規使用網絡事件等問題,具體而言:
一是在IP資源管理方面,采用IP+MAC捆綁的技術手段防止用戶隨意更改IP地址和隨意更換交換機上的端口。這樣,就不會出現IP地址被盜用而不能正常使用網絡的情況;二是在網絡流量監測方面,使用網絡監測軟件查看數據、視頻、語音等各種應用的利用帶寬,防止頻繁進行大文件的傳輸,甚至發現病毒的轉移及傳播方向。三是加強服務器管理。常見應用服務器安裝的操作系統多為Windows Server,可利用其自帶的安全管理功能進行設置,包括服務器安全審核、組策略實施、服務器的備份策略以及系統補丁更新等。
3.2 加強客戶端監管
對大多數單位的網管來說,客戶端的管理都是他們最頭痛的問題。只有得力的措施才能解決這個問題,這里推薦以下方法:
(1)將客戶端都加入到域中,使客戶端強制性納入管理員集中管理的范圍。
(2)只給用戶以普通域用戶的身份登錄到域,這樣就可以限制他們在本地計算機上安裝有安全隱患軟件的權利。
(3)實現客戶端操作系統補丁程序的自動安裝。
(4)利用企業IT部門的工作職能,設置熱線幫助和技術支持人員,統一管理局域網內各客戶端問題。
3.3 堅持進行數據備份
由于應用系統的加入,各種數據庫日趨增長,如何確保數據在發生故障或災難性事件情況下不丟失,是當前面臨的一個難題。從成本及易操作性考慮,這里推薦以下兩種數據備份方法:一種是用硬盤進行數據備份;另一種是采用本地磁盤陣列來分別實現各服務器的本地硬盤數據冗余。
3.4 采取有效病毒防治方式
SYMANTEC公司的Norton Antivirus企業版是一個可選軟件。在實施過程中,以一臺服務器作為父服務器,實現對網絡中所有計算機的保護和監控,并使用其中有效的管理功能,如: 管理員可以向客產端發送病毒警報、強制對遠程客戶端進行病毒掃描、鎖定遠程客產端、病毒庫定期更新等。
參考文獻:
[1]丁佐峰.中小型企業信息網絡安全架構探究[J].計算機光盤軟件與應用,2012(20):33+37.
[2]胡大威.企業信息安全威脅及解決方案[J].計算機光盤軟件與應用,2012(13):1-2
篇5
信息技術的飛速發展沖擊著各行各業,給全球房地產業也帶來一場深刻的變革和發展的契機。在政府的牽頭和推動下,在房地產業各界積極參與和實踐下,中國房地產業已取得卓有成效的成果,呈現全面信息化的發展勢頭。具體表現在:
(1)房地產政務信息化成效顯著。
許多城市利用信息技術開發了房地產政務管理軟件,有效地改進了行政管理,提高了工作效率,完善了政府對房地產市場的監控和預測能力。
(2)房地產企業信息化取得長足進展。
房地產經營方式開始打上信息時代的烙印。一些房地產企業建立了企業內部網站,提高了信息傳輸速度,加快了企業決策速度,提高了辦事效率。此外,各種針對房地產企業的計算機軟件,如房屋銷售軟件、物業管理軟件、租賃軟件、房地產可行性分析軟件、房地產開發管理軟件等,也得到了廣泛的開發和應用。
(3)初步建立了房地產宏觀監測系統。
為適應我國房地產業發展的內在要求,針對市場信息零散、盲目投資行為大量存在等狀況,我國已建立包括中房預警系統、中房指數、國房景氣指數等在內的房地產宏觀監測系統。
(4)智能化小區和網絡小區建設步伐加快。
近年來,住宅的智能化功能被列為評價樓盤綜合性能的不可缺少的一個重要指標,智能化住宅已逐步進入普通人的生活。社區提供與外界進行數據交換的軟硬件設施和服務是家居功能向外拓展的必要條件。智能化的物業管理深入到各單位住宅,真正實現建筑智能化到社區管理的智能化。
(5)房地產網站發展迅速。
由于房地產業自身的行業特點,使其在網上具有更大的優勢,房地產業各界都以最快的速度建立或準備建立自己的網站,將網絡作為房地產信息的主要渠道。房地產網站建設提供了全天候、全方位市場服務的新模式,建立房地產在線咨詢服務系統,引入城市電子地圖,實現網上售樓,改變了傳統的購房方式。同國外相比,我國房地產信息化整體水平較低,地區差異較大,東西部發展不平衡,仍存在諸多制約因素,還有很長的路要走。但是,房地產業唯有實現信息化,唯有與網絡結合,才能煥發出新的活力。建立和完善房地產企業的網絡系統,實現總公司與下屬子公司之間的雙向溝通和信息共享。通過信息平臺的整合,為企業管理決策提供全方位、完整的信息數據,使企業的管理逐步走向信息化,建立企業網站,使其向房地產行業和管理信息服務方向轉化,加強與員工的溝通,將信息化手段應用于具體管理工作的流程中。以國家信息化工作的指導方針“統一規劃、聯合建設、推廣應用、發展產業、資源共享”為房地產企業信息化工作的指導思想,將房地產企業的管理全部數字化,充分利用先進的信息技術,使本企業集團形成一個管理對象數字化、管理專業網絡化、數據動態實時化、管理決策科學化的現代企業,走一條結合自身特點,依托信息技術發展房地產信息化產業的振興之路。
二、企業信息安全防范
隨著企業信息化的發展,辦公自動化、財務管理系統,企業相關業務系統等生產經營方面的重要系統投入在線運行,越來越多的重要數據和機密信息都通過企業內外部網絡來傳輸。這在提高生產效率和管理水平的同時,也帶來了不同以往的安全風險和問題。通過網絡傳輸的數據信息如被非法用戶截取,導致泄露企業機密;如被非法篡改,造成數據混亂,信息錯誤,造成工作失誤等。另一方面,病毒感染造成網絡通信阻塞,系統數據和文件系統破壞,系統無法提供服務甚至破壞后無法恢復,特別是系統中多年積累的重要數據丟失,對企業的生產管理以及經濟效益等造成不可估量的損失。因此,如何保護企業機密,保障企業信息安全,成為企業信息化發展中需要面臨和解決的問題,提上了企業的議事日程。企業信息安全管理即針對當前企業面臨的病毒泛濫、黑客入侵、惡意軟件、信息失控等復雜的應用環境制定相應的防御措施,保護企業信息和企業信息系統不被未經授權的訪問、使用、泄露、中斷、修改和破壞,為企業信息和企業信息系統提供保密性、完整性、真實性、可用性、不可否認。企業信息安全是一項復雜的系統工程,涉及技術、設備、管理和制度等多方面的因素,安全解決方案的制定需要從整體上進行把握。首先,企業必須根據實際情況全面做好安全風險評估。第二,采用信息安全新技術,建立信息安全防護體系。綜合各種計算機網絡信息系統安全技術,將安全操作系統技術、防火墻技術、病毒防護技術、入侵檢測技術、安全掃描技術等綜合起來,形成一套完整的、協調一致的網絡安全防護體系。企業根據自身信息系統建設和應用的步伐,建立完整的信息安全防護體系,統籌規劃,分步實施。第三,管理和技術并重,技術與措施結合。根據信息安全策略,建立健全企業信息安全管理制度,制定相應的安全標準,建立備份和恢復機制,提高安全管理水平。第四,充分利用企業網絡條件,提供全面,及時和快捷的信息安全服務。第五,信息安全是一個動態過程,需要定期對信息安全狀況進行評估,不斷改進完善安全方案,調整安全策略。
三、總結
篇6
【關鍵詞】信息安全 管理 控制 構建
1 企業信息安全的現狀
隨著企業信息化水平的提升,大多數企業在信息安全建設上逐步添加了上網行為管理、內網安全管理等新的安全設備,但信息安全防護理念還停留在防的階段,信息安全策略都是在安全事件發生后再補救,導致了企業信息防范的主動性和意識不高,信息安全防護水平已經越來越不適應當今企業IT運維環境和企業發展的需求。
2 企業信息系統安全防護的構建原則
企業信息化安全建設的目標是在保障企業數字化成果的安全性和可靠性。在構建企業信息安全體系時應該遵循以下幾個原則:
2.1 建立企業完善的信息化安全管理體系
企業信息安全管理體系首先要建立完善的組織架構、制定信息安全管理規范,來保障信息安全制度的落實以及企業信息化安全體系的不斷完善。基本企業信息安全管理過程包括:分析企業數字化資產評估和風險分析、規劃信息系統動態安全模型、建立可靠嚴謹的執行策略、選用安全可靠的的防護產品等。
2.2 提高企業員工自身的信息安全防范意識
在企業信息化系統安全管理中,防護設備和防護策略只是其中的一部分,企業員工的行為也是維護企業數字化成果不可忽略的組成。所以企業在實施信息化安全管理時,絕對不能忽視對人的行為規范和績效管理。在企業實施企業信息安全前,應制定企業員工信息安全行為規范,有效地實現企業信息系統和數字化成果的安全、可靠、穩定運行,保證企業信息安全。其次階段遞進的培訓信息安全人才也是保障企業數字化成果的重要措施。企業對員工進行逐次的安全培訓,強化企業員工對信息安全的概念,提升員工的安全意識。使員工的行為符合整個企業信息安全的防范要求。
2.3 及時優化更新企業信息安全防護技術
當企業對自身信息安全做出了一套整體完善的防護規劃時,就應當考慮采用何種安全防護技術來支撐整個信息安全防護體系。對于安全防護技術來說可以分為身份識別、網絡隔離、網絡安全掃描、實時監控與入侵發現、安全備份恢復等。比如身份識別的目的在于防止非企業人員訪問企業資源,并且可以根據員工級別分配人員訪問權限,達到企業敏感信息的安全保障。
3 企業信息安全體系部署的建議
根據企業信息安全建設架構,在滿足終端安全、網絡安全、應用安全、數據安全等安全防護體系時,我們需要重點關注以下幾個方面:
3.1 實施終端安全,規范終端用戶行為
在企業信息安全事件中,數字化成果泄漏是屬于危害最為嚴重的一種行為。企業信息安全體系建立前,企業員工對自己的個人行為不規范,造成了員工可以通過很多方式實現信息外漏。比如通過U盤等存儲介質拷貝或者通過聊天軟件傳遞企業的核心數字化成果。對于這類高危的行為,我們在建設安全防護體系時,僅僅靠上網行為管理控制是不能完全杜絕的。應該當用戶接入企業信息化平臺前,就對用戶的終端系統進行安全規范檢查,符合企業制定的終端安全要求后再接入企業內網。同時配合上網行為管理的策略對員工的上網行為進行審計,使得企業員工的操作行為符合企業制定的上網行為規范,從終端用戶提升企業的防護水平。
3.2 建設安全完善的VPN接入平臺
企業在信息化建設中,考慮總部和分支機構的信息化需要,必然會采用VPN方式來解決企業的需求。不論是采用SSL VPN還是IPSecVPN,VPN加密傳輸都是通用的選擇。對于分支機構可以考慮專用的VPN設備和總部進行IPSec連接,這種方式更安全可靠穩定。對于移動終端的接入可以考慮SSL VPN方式。在這種情況下,就必須做好對于移動終端的身份認證識別。其實我們在設備采購時,可以要求設備商做好多種接入方式的需求,并且幫助企業搭建認證方式。這將有利于企業日常維護,提升企業信息系統的VPN接入水平。
3.3 優化企業網絡的隔離性和控制性
在規劃企業網絡安全邊際時,要面對多個部門和分支結構,合理的規劃安全網絡邊際將是關鍵。企業的網絡體系可以分為:物理層;數據鏈路層;網絡層;傳輸層;會話層;表示層;應用層。各體系之間的相互隔離和訪問策略是防止企業信息安全風險的重要環節。在企業多樣化網絡環境的背景下,根據企業安全優先級及面臨的風險程度,做出適合企業信息安全的防護策略和訪問控制策略。根據相應防護設備進行深層次的安全防護,真正實現OSI的L2~L7層的安全防護。
3.4 實現企業信息安全防護體系的統一管理
為企業信息安全構建統一的安全防護體系,重要的優勢就是能實現對全網安全設備及安全事件的統一管理,做到對整個網絡安全事件的“可視、可控和可管”。企業采購的各種安全設備工作時會產生大量的安全日志,如果單靠相關人員的識別日志既費時效率又低。而且不同安全廠商的日志報表還存在很大差異。所以當安全事件發生時,企業管理員很難實現對信息安全的統一分析和管理。所以在企業在構建信息安全體系時,就必須要考慮安全設備日志之間的統一化,設定相應的訪問控制和安全策略實現日志的歸類分析。這樣才能做到對全網安全事件的“可視、可控和可管”。
4 結束語
信息安全的主要內容就是保護企業的數字化成果的安全和完整。企業在實施信息安全防護過程中是一個長期的持續的工作。我們需要在前期做好詳盡的安全防護規劃,實施過程中根據不斷出現的情況及時調整安全策略和訪問控制,保證備份數據的安全性可靠性。同時全體企業員工一起遵守企業制定的信息安全防護管理規定,這樣才能為企業的信息安全提供生命力和主動性,真正為企業的核心業務提供安全保障。
參考文獻
[1]郝宏志.企業信息管理師[M].北京:機械工業出版社,2005.
[2]蔣培靜.歐美國家如何培養網絡安全意識[J].中國教育網絡,2008(7):48-49.
作者簡介
常勝(1982-),男,回族,天津市人。現為中國市政工程華北設計研究總院有限公司工程師。研究方向為網絡安全與服務器規劃部署。
篇7
當前,企業信息安全尚在起步階段,發展不夠成熟健全,還有更多需要解決的問題。隨著網絡技術的發展,經濟信息量的大幅度上漲,處理信息必須依靠計算機才能完成,但計算機存在一定的弱點,例如計算機病毒、人員素質低下、黑客入侵等因素,以及移動4G、WIFI互聯等多邊界企業網絡環境下,由于內外部網絡是直接連接,其互通性和網絡訪問無限制性易形成黑客或惡意份子入侵的切入口,若是沒有設置任何的網絡邊界安全機制,將造成企業信息受到潛在的安全威脅。企業要想持續發展,信息安全是基本保障。企業信息化程度越高,企業數據也就越安全。企業發展的基礎即信息安全,企業管理者要正確認識信息安全工作的長期性和緊迫性。從保護企業利益,促進經濟發展,保證企業穩定與安全的角度來看,只有做好基礎性工作和設施建設,建立信息安全保障,以及建設安全健康的網絡環境,才能有助于信息化安全建設。其實不管科技如何發達,技術如何高超,都是人類智慧的結晶體,所以信息安全已無法離開人類。不少企業信息被泄露,多是人為因素導致,員工濫用企業信息將會給企業帶來極大的損失。
2企業信息化安全建設
當今社會已經步入信息知識經濟時代,信息對企業良性長久的發展尤為關鍵,但目前企業信息系統安全問題無疑是企業發展階段所面臨的重點難點。所謂的企業信息安全就是對企業信息資產采取保護措施,使其不受惡意或偶然侵犯而被破壞、篡改及泄露,確保信息系統可靠正常并連續的運行,最小化安全事件對業務的影響,實現業務運行的連續性。因此筆者認為以下幾方面是關鍵。
2.1做好網絡保護
其實要保證外網安全需要企業加大硬件設備的投入,信息安全產品在網絡經濟發展下正面臨著新的挑戰,傳統防火墻、信息加密、防病毒等已無法有效的抵御外部入侵;同時由于內部操作不當,導致內網感染病毒造成信息泄露的現狀也是信息安全的焦點問題。針對以上情況,建立事前有效防御,事后追究機制是企業信息化安全建設的當務之急。根據現代企業的特點,筆者認為從下面這幾點入手,有助于保護網絡的安全:
(1)身份認證技術。
企業內網操作時,可采用身份認證技術,借助PKI、PKM等工具,控制網絡應用程序的訪問,以及進行身份認證,實現有效資源合法應用和訪問的目的。
(2)審計跟蹤技術。
通過審計跟蹤技術監控和審計網絡,控制外設備如MSN、QQ、端口、打印、光驅、軟驅等,從而實現禁止使用指定程序,并促進員工操作行為及日志審計規范的目的。
(3)企業還應組建自身網絡拓撲結構。
利用嚴格密鑰機制和加密算法,有機的結合加密、認證、授權、審計等功能,保護最底層不同密集評定和授權方式的核心數據,而非限制應用網絡和控制網絡,進而真正實現合理保護,確保企業信息數據資源的安全。
2.2安全邊界的界定和管理
安全邊界的界定通過分析現有網絡邊界安全的需求,筆者認為有幾方面:首先,內部網段。即企業網內網,是防火墻的重點保護對象,安全級別和授信級別更高,主要承載對象是企業所有人員的計算機。其次,外部網段。即邊界路由器以外的網絡,比如移動4G、WIFI互聯等多邊界網絡,安全級別和授信級別最低,是企業信息數據泄露最大的安全隱患,需要嚴格禁止或控制。最后,DMZ網段。即對外服務器,安全級別和授信級別介于內外網絡之間,其資源運行外部網絡訪問。
(1)由于外部用戶訪問DMZ區域中服務器的方式較為特殊,在系統默認情況下是不被允許的。
可實際應用中是需要外部用戶對其進行訪問,所以防火墻上必須增加相應允許外部用戶訪問DMZ區域的訪問控制列表,通過對列表的控制允許用戶行為,并對進行很好的監控管理,保證企業信息的安全性。
(2)內部用戶對外部網絡以及DMZ區域中服務器的訪問。
按照ASA自適應安全算法,在系統默認情況下是允許高安全等級接口流向低安全等級接口流量的,外部網絡安全級別遠沒企業內部網絡安全級別高,所以在默認情況下這種訪問方式是被允許的,不過實際應用過程中,需要限制對外訪問流量。
(3)外部用戶對內部網絡的訪問。
在系統默認情況下這種情況是不被允許的,是對外部用戶非法訪問的有效抵御,能有效的保證企業信息的安全,促進企業信息化的安全建設。
2.3強化系統管理
由于任何安全軟件都有被攻擊或破解的可能性,單純依靠軟件技術來保障企業信息安全是不現實的,只有強化企業內部信息系統的管理才行之有效。所以,企業內部信息管理體制要完善,盡可能促進管理系統規范性和可靠性的提高,才能為企業內部信息的安全提供更高保障。同時,要進行安全風險評估工作。因為各個信息系統使用的都是不同的技術手段和組成方式,其自身優勢及安全漏洞也具有較大的差異,由此在選擇企業所需的信息系統時,一定要先做各個系統的安全風險評估工作,信息安全系統的選擇要針對企業自身特點,降低信息安全問題出現的概率。最后,就是加強系統管理。在實際生活中信息竊取和系統攻擊大多是在網絡上完成的,企業必須要強化網絡管理工作,以便促進企業的運行更安全政策。
2.4加強企業信息安全管理團隊建設
當前,企業信息安全體系的建設中已完全滲透“七分管理,三分技術”的意識,強化企業員工信息安全知識培訓,制定完善合理的信息安全管理制度,是企業信息安全建設順利實施的關鍵保障。企業信息安全建設時要另立專門管理信息安全的部門,負責企業內部的信息安全防護工作,加強對企業內部計算機網絡系統的維護及常規檢查。企業信息安全管理團隊的職責主要包括:工作人員安全操作規范、工作人員守則以及管理制度的制定,再交由上級主管部門審批后監督制度規范的執行;定期組織安全運行和信息網絡建設的檢查監測,掌握公司全面的第一手安全資料,根據資料研究相關的安全對策和措施;負責常規的信息網絡安全管理維護工作;定期制訂安全工作總結,且要接受國家相關信息安全職能部門對信息安全的工作指導。
2.5入侵檢測系統(IDS)與入侵防護系統(IPS)
IDS即入侵檢測系統能夠彌補防火墻的缺陷,能實時的提供給網絡安全入侵檢測,并采取一定的防護手段保護網絡。良好的入侵檢測系統不但可有助于系統管理員隨時了解網絡系統的變更,還能提高可靠的網絡安全策略制訂依據。因此,入侵檢測系統的管理應配置簡單,隨時根據系統構造、網絡規模、安全需求改變。IDS必須布置在能夠監控局域網和Internet之間所有流量的地方,才能第一時間檢測到入侵時,做出及時的響應,比如記錄時間、切斷網絡連接等。
3總結
篇8
關鍵詞:航空企業;信息系統;安全處理;現狀;體系
中圖分類號:TP393.08
隨著計算機網絡技術的不斷發展,信息數據系統廣泛應用于航空企業的信息管理中。然而,航空企業因其服務行業的特性,需要不斷將航班等外部信息傳播發送給旅客,另一方面,航空企業內部管理信息卻需要做到嚴格的保密,這就對航空企業的信息系統安全處理提出了高要求,航空企業必須建立一套全面完備的信息安全處理體系,只有這樣,才能提高航空運輸信息的安全水平,保障航空企業的穩定發展。
1 航空企業信息系統安全管處理現狀
近年來,我國航空企業已經開始廣泛應用信息管理系統。在這些企業的信息系統中,包含了對交通服務、航班導航、天氣情況以及企業內部信息的各類應用,航空企業信息管理部門需要將這些信息進行整合,構建成為一個完整的信息管理系統。然而,從目前航空企業的信息系統安全管理來看,多數航空企業在進行信息系統安全管理的研究時,都是將重點集中在某一特定領域,通過病毒檢測系統、認證系統等對特定領域進行信息安全處理,并沒有一個全面完整的信息安全處理體系。
另外,國家有關部門已經加強了對航空信息安全的重視,中國民用航空局頒布了關于管理民用航空安全信息的規定,通過將各航空企業的信息管理系統進行統一監督,統籌管理全行業的信息安全管理系統。無論從當今形勢發展來看,還是從國家有關部門對信息系統安全管理的重視程度來看,建立一套完整的信息系統安全處理體系對于航空企業都是非常有必要的。
2 構建航空企業信息系統安全處理體系
在對信息系統安全處理體系進行構建時,應當遵循可行性、靈活性、擴展性等原則,使信息系統的安全處理能夠滿足信息的完整性、保密性和可用性。在進行信息系統安全處理體系構建時,可以用到的安全技術大致包括計算機病毒防范技術、信息偵測技術、安全操作平臺技術、安全審計和入侵預警技術、內容分級監管技術等。
2.1 構建航空企業信息系統安全處理體系的初始步驟
(1)確定控制用戶訪問的安全處理系統。在進行訪問權的控制時,可以設置相應的客戶端界面,利用DCE/Kerberos身份驗證機制,只要用戶輸入的個人信息得到驗證后,用戶才能進行下一步訪問。還可以設置一種封閉策略,只有得到授權的用戶才能獲得相應信息。但是,在通過限制用戶訪問來達到信息安全處理的效果時,應當注意對數據信息的最大共享原則,使用戶能夠通過客戶端獲得對所有數據的訪問權,除非是不應當開放的保密性數據。
(2)建立備份制度和事務日志制度等。對于信息系統而言,其安全性總會受到一定的威脅,企業在進行信息系統的安全處理時,還應當重視對數據的備份,使數據能夠在受到安全威脅后得到有效恢復。
(3)確定信息數據安全的最小單位。在構建航空企業信息系統的安全處理體系時,可以將屬性或關系作為最小安全單位,從而滿足對信息安全性的高要求。
2.2 進一步構建航空企業信息系統安全處理體系的策略
在航空企業信息管理系統中,安全處理內部保密信息是很重要的,但對需要向外界公布的信息數據也不容輕視,因此僅僅依靠DCE/Kerberos身份驗證機制無法進行全面的安全處理。
(1)建立信息系統的自行監控和預警機制
保障信息系統高效穩定的運轉是航空企業進行各項業務的關鍵,因此,在進行信息系統的安全處理時,首先應當做到的就是對系統運行的監控和預警,從而能夠早發現、早解決系統運行問題,避免影響航空業務的運行。
(2)應用各種安全產品,構建全面的防御體系
在航空企業信息系統建立安全處理體系時,航空企業應當加大投入力度,建立一個全面的防御體系,從而減少安全問題的產生。例如,在建立防病毒、防黑客體系時,可以通過部署應用漏洞掃描軟件、防病毒軟件等安全產品,構建出一個全面的防御體系,將信息系統的內部運轉充分控制起來,從而能夠及早發現安全問題,及早解決。
(3)設置控制用戶訪問的安全處理策略
航空企業的信息系統在為用戶提供服務時,使用的是一種端對端的信息交流方式,因此,保障信息傳遞過程中的信息安全,防止信息遭到修改是信息安全處理的重點。SOAP協議基于XML數據結構,它可以為用戶提供信息交換的平臺。為保護SOAP協議的安全性,進而保障信息安全,我們可以進行用戶查詢權、修改權及刪除權的設定,通過設立安全矩陣的方式將各類信息及各類人員的權限進行分類處理,從而提高信息管理系統的運行效率,如下表1所示。
通過這種矩陣式分類,就可以直觀地將各部門權限表現出來,從而達到對信息系統客戶端的有效管理。
(4)實現信息系統各子系統之間訪問管理的安全性
在信息系統的使用中,用戶對資源的使用往往會涉及到整個系統中的多數子系統,在訪問這些子系統時,系統需要對授權進行逐一判斷,這就會使系統屬性發生改變,安全隱患也就隨之而來,因此,應當建立一種訪問控制體系,用于對訪問各子系統信息資源的安全處理。
UCON模型,就是適應現代業務流程訪問控制而產生的新型模型,包含了主體、客體和權限三個基本元素,它將義務、條件和授權作為了決策進程的一部分,提供了一種更好的決策能力。這種模型區別于其他訪問控制模型之處就在于它的可變屬性,可變屬性可以隨著訪問對象的改變而發生改變,這種模型解決了傳統的訪問控制技術缺乏綜合性的問題,并涵蓋了安全和隱私兩個重要方面,是一種具有決策連續性和屬性易變性特點的訪問控制模型。通過對UCON模型和數據庫管理系統的綜合使用,可以有效保護信息系統的數據資源,并能夠在結合其他技術的基礎上,對計算機系統資源和網絡資源進行保護,從而達到航空企業信息系統安全處理的目標,防止非法訪問現象的發生。
2.3 構建完善的航空企業信息系統安全處理體系
一個完整的信息系統安全處理體系,必須涵蓋了從客戶端到服務提供端,再到訪問控制端的安全處理流程。首先,對于客戶端安全處理環節的實現,可以借助用戶身份信息的收集和對服務返回結果的安全處理,并運用DCE/Kerberos身份驗證機制等安全平臺操作技術對信息系統的安全性進行管理。其次,是對服務提供端安全處理的實現,這一環節包括了對用戶身份的驗證和對數據傳輸的安全處理,可以使用SOAP協議等安全審計技術為信息系統提供安全保障。最后,是對訪問控制端安全處理的實現,這一環節可以分為對系統各環節的信息匹配和對訪問控制服務的安全處理,是整個信息系統安全處理的重要環節,在構建系統安全處理體系時,可以使用UCON模型將訪問控制權具體化,并設立安全矩陣,最終達到信息系統安全處理的目的。
總結:
航空企業的行業特性,決定了構建符合其行業特點的信息系統安全處理體系是一個復雜而繁瑣的過程,企業信息安全管理部門應當從實際出發,結合企業信息系統的客戶端、服務端以及數據庫對信息安全的不同要求,運用現代化技術,依據信息系統設計原則,構建一個既能滿足共享性,又能滿足保密性的獨特的安全處理體系。另外,企業管理部門不僅要加大對技術的扶持和研發,還應當注重對企業內部人員的信息安全教育,能夠建立一個完善的信息系統管理制度,從而使企業人員能夠積極進行信息系統的安全防護。
參考文獻:
[1]郝梁怡.淺析民航空管信息安全管理[J].中國科技縱橫,2013(12).
[2]張云高.基于SMS關鍵要素的航空公司安全管理信息系統分析與設計[J].電子科技大學,2011(1).
[3]田波,吳倩,甄浩.航空公司信息安全管理系統的構建與安全保障體系研究[J].情報科學,2011(9).
[4]白瑜.基于UCON的訪問控制的應用[J].電力學報,2012(6).
[5]付茂沼.民用航空信息安全研究[J].中國民航飛行學院學報,2010(3).
[6]姜鵬.民航空管信息處理系統的安全保障[J].中國新技術新產品,2011(13).
篇9
(1)適應電力企業發展的需要,遵循現行電力企業管理體制;
(2)管控平臺涉及技術和管理,須對技術手段和管理手段的實現方式進行決擇;
(3)須考慮不同級別單位以及不同使用對象需求的側重點;
(4)管控平臺自身須具有一定安全性;
(5)基于管控平臺的工具特性,須配套推出數據初始化等服務及制度來實現平臺的正常運轉。
2管控平臺角色需求分析
管控平臺設置的用戶角色必須與電力企業現有信息安全相關組織架構相匹配。一般來講,電力行業自身信息安全相關組織架構包括上級信息安全主管單位、本地信息安全主管單位以及本地信息安全實施單位此外,電力行業在實際信息安全工作中,需要外部信息安全產品廠商、安全服務廠商、安全咨詢機構、相關公共信息安全機構以及科研機構支持。管控平臺將外部信息安全產品廠商、安全服務廠商、安全咨詢機構統一定義為外部信息安全支持單位,將相關公共信息安全機構以及科研機構定義為應急聯動及專家機構。管控平臺各角色職能需求分析如下:
(1)上級信息安全主管單位上級信息安全主管單位負責企業整體信息安全保障,掌握整體信息安全態勢,評估網絡和信息系統安全機制的有效性情況。在信息安全突發事件發生時,負責事件決策、監控、協調。
(2)本地信息安全主管單位本地信息安全主管單位負責本單位信息安全保障,掌握所轄網絡及其業務信息系統的安全態勢,協調安全事件的處理。
(3)本地信息安全實施單位本地信息安全實施單位負責本單位信息安全保障具體實施工作。在管控平臺中本地信息安全實施單位設置的角色包括負責人、安全主管、安全運維人員等,如表1所示。負責風險評估、實時監控、應急演練、安全預警以及信息安全突發事件處置各項工作的具體實施。
(4)外部信息安全支持單位外部信息安全支持單位承擔信息安全支撐服務職能,其職責包括外部信息安全事件預警監控,風險評估、應急演練及應急處置的外協支持等。
(5)應急聯動及專家機構應急聯動及專家機構由各相關公共信息安全機構、科研機構信息安全相關領域專家組成,為電力企業信息安全保障提供技術支持和資源保障。應急聯動專家機構人員在管控平臺中通過設置呼叫樹和專家角色,參與應急等各項事務的處置。
3系統功能設計
通過管控平臺的定位以及上述角色需求分析,可明確管控平臺的功能模塊設置及關系如圖1所示,下面依次對關鍵模塊內容進行闡述。
3.1基礎安全數據管理
基礎安全數據管理模塊對企業信息系統相關的網絡設備、服務器、通用軟件等基本信息和策略配置信息,漏洞庫、事件特征庫、補丁庫、安全配置知識庫和應急響應知識庫,以及風險評估、應急演練等工作中產生的過程數據進行匯總存儲并詳細分類,支持多種查詢和修改。
3.2預案管理
預案管理模塊實現對各級單位信息安全應急預案的編制、審批、、更新,以及預案的執行(及演練)和事件處置等功能。其中應急預案編制、審批在管控平臺上進行統一規范,各單位人員在管控平臺上只需要參考應急預案模板并調用本單位的實際數據內容即可完成編制任務。預案管理模塊功能設計如圖2所示。在預案管理模塊中,應急預案執行是一種復雜的業務流程,通常基于工作流引擎來實現。這種實現方式可確保相應的演練和事件處置活動能夠全程可監控、可記錄。圖3是基于工作流引擎實現應急預案某一操作規程的實例。
3.3風險評估
風險評估模塊為各單位信息安全風險評估工作提供全過程支撐,并能夠根據評估過程和結果數據(例如將資產調研結果,威脅、漏洞分析等評估結果)通過內定的矩陣型風險計算方式自動計算得出各單位總體風險和高危風險狀況,為各單位編制應急預案的方向提供依據。風險評估模塊功能設計如圖4所示。
3.4業務影響分析
業務影響分析模塊同樣是為編制應急預案提供依據,與風險評估模塊類似。但考慮到信息系統業務的差異性,管控平臺不對業務影響分析進行全過程管理和支撐。圖險評估模塊功能設計示意圖
3.5公告管理
公告管理模塊向管控平臺各級角色提供通知信息、瀏覽、查閱、管理功能。公告從編制、審批、到反饋的整個流程均通過管控平臺來實現。公告的類別包括:
(1)企業發文:企業帶正式文號的信息安全類文檔的、管理、顯示;
(2)通知通報:企業不帶正式文號但須告知各級單位的信息安全相關文檔的、管理、顯示;
(3)企業動態:企業各級單位參與的信息安全相關活動、新聞的、管理、顯示;
(4)業界安全動態:國內外安全事件,尤其是電力行業安全相關動態的、管理、顯示。
3.6預警管理
預警管理模塊包含漏洞預警和威脅預警兩類功能,級別分為高、中、低三級。預警信息來源分為兩類,一類是國內外安全評測機構、廠商的安全預警及漏洞,另一類是源自風險評估模塊和業務影響分析模塊的計算結果。與公告類似,預警管理的整個流程通過管控平臺來實現。各單位接收到管控平臺自動發送的提示短信,登錄平臺,即可處理預警信息。
3.7安全事件管理
安全事件管理模塊對信息安全事件的分級分類以及事件響應處理進行管理。信息安全事件的分級分類基于國家有關標準與行業實際情況。安全事件響應方式分為自動響應和事件工單管理兩類。自動響應包括屏幕、郵件、聲音、工單、對話框、設備控制、短信、腳本操作、SNMPTrap等響應方式,并通過其設置實現自定義用戶響應策略。事件工單管理則通過與第三方統/平臺的接口與例如IT服務管理平臺進行聯動來實現。
3.8信息安全狀況監視(應急值班室)
信息安全狀況監視模塊可向各級人員提供不同的管理界面,分為宏觀態勢監視與應急監視兩類。宏觀態勢監視能夠根據風險評估結果、安全預警信息以及當前安全狀況(是否有安全事件發生以及處理情況),對企業整體安全態勢進行研判,為安全決策提供支持。應急監視能夠通過安全模型分析及人工比對分析,將安全事件、威脅、漏洞等數據與管控平臺中業務數據進行關聯,得出研判信息,并結合國家有關標準,為應急人員提供應急相應實施依據。信息安全狀況監視模塊功能設計如圖5所示。
4結語
篇10
關鍵詞:信息安全;信息安全管理
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2012)15-3491-03
計算機、網絡已經逐漸成為我們工作生活中必不可少的一部分了,企業辦公自動化已經成為普遍現象。但是我們在享受信息化帶來諸多便利的同時,也要看到信息化給企業帶來的諸多不便。2011年上半年,花期銀行由于遭受黑客攻擊,二十多萬客戶資料信息外泄,為銀行和客戶帶來巨大的損失,同期國際著名的安全解決方案提供商RSA遭受黑客的惡意攻擊,對其超過五百家客戶造成潛在風險,給該企業帶來高達數百萬的損失。信息安全是企業整體安全的重要方面,一旦企業重要的信息外泄,會給企業帶來巨大的風險,甚至有可能將企業帶入破產的境地。
1企業信息系統安全的發展
隨著信息技術的產生,信息系統安全的保護也隨之而來,并且隨著信息技術的不斷更新換代,信息系統安全保護的戰略也不斷發展,接下來我們可以簡要地分析一下信息安全系統的發展歷程。
信息系統安全的第一步是保障信息的安全,當時各個電子業務系統較為獨立,互聯網還不太流行,這時主要技術是對信息進行加密,普遍運用風險分析法來對系統可能出現的漏洞進行分析,合理地填補漏洞,消除威脅,這是一種基于傳統安全理念指導下的系統安全保護。
隨著互聯網技術的深入,信息系統安全開始逐步向業務安全轉化,開始從信息產業的角度出發來考慮安全狀況,此時的互聯網已經成為工作生活的一個組成部分。這時候我們需要保護的不再僅僅是相關信息了,我們需要對整個業務流程進行保護,分析其可能出現的問題。本階段的安全防護理念關注整個業務流程的周期,對流程的每一個節點進行綜合考慮。信息保護在此時只是整個系統安全的一部分,是作為最為基礎的防護技術,除此之外,還強調對整個流程的監控,防止某個節點可能出現的不安全因素,一旦出現任何風吹草動的現象我們可以立即予以控制。此外,審計技術在這個時候也被引入,通過對技術操作的跟蹤,可以對攻擊發起者進行責任追究,對攻擊者起到一種震懾的效果。
到目前為止,業務系統的獨立性和邊界已經逐步弱化,系統間的融合更為常見。以礦業企業為例,在大型集團中,往往存在財務系統、生產系統、銷售系統、統計分析系統等,這些系統之間需要相互勾稽,系統與系統之間需要互相取數,因此大量的系統集中到了一個業務平臺中,由該平臺來提供整體服務。這樣的話,我們對于信息系統安全的需求也從單系統向多系統轉換,我們在關心單個系統安全的同時,還要對其系統平臺服務給予更多的關注。這樣的話,企業信息安全也開始由業務流程向服務轉換。
2企業信息安全存在的問題分析
信息安全問題我們可以將其進行進一步細分為物理、技術以及人為等三類因素。
首先來看物理方面,物理安全主要指的是機器設備以及網絡線路出現的問題。一般企業在進行信息設備設置時最先考慮的因素是人員安全,即在保證信息設備不會對企業員工人身安全造成威脅的前提下再進行設備本身考慮。信息設備一般屬于電氣設備,容易受到打雷、水電等災害的影響。如果服務器主機受到嚴重破壞,有可能導致企業整個信息系統崩潰。相對于其他電氣設備而言,信息設備耐壓數值比較小,企業需要其持續不斷地運行,并且磁場的干擾對網絡影響比較明顯,這些都對信息設備的物理安全提出了要求,需要防止可能出現的問題。
其次是技術方面,對于大量企業而言,可以分為內部網絡和外部網絡,內部網絡相對安全性較高。對于絕大多數企業而言,局域網都會通過一定途徑與外部網相連接。這樣內部網路安全性就受到內部網絡設備與外部網絡進行的溝通的威脅。同時,操作系統的安全以及應用程序的安全都是技術上所面臨的困擾。
在操作系統方面,我們的選擇比較狹窄,大多數企業只能選擇微軟操作系統,每個系統都存在一定的漏洞,都會造成信息的外泄。其實操作系統同樣是軟件,微軟為系統安全會不定期推出安全更新與漏洞補丁,雖然我們可以通過系統的Windows Update或其他輔助軟件來給系統修修補補,但這還不是100%的安全保證。隨著微軟在安全技術上的逐漸改進,系統漏洞出現的次數越來越少,現在很多黑客開始把注意力轉移到常用的第三方軟件上來,也就是要利用這些軟件的漏洞來進行攻擊。相對于操作系統而言,應用軟件方面我們選擇性比較大,但目前流行的各種病毒、木馬都會給我們企業的信息安全帶來極大的影響。
尤其是現在大部分企業都建立有自己的官方網站,保存著企業的重要數據和客戶資料等,而如果網站存在一個通用漏洞,就會被惡意的黑客攻擊,甚至黑客還會進行木馬的上傳來得到WebShell,添加隱藏超級賬號,使用遠程桌面連接等操作,從而導致網絡淪落為黑客手中的“肉雞”。因此,如果使用網站模板代碼,必須要時刻關注該網站模板是否有最新的漏洞被曝光,及時到官網上下載并打上相關的漏洞補丁程序。另外,網管務必要有經常查看網站登錄日志的習慣,檢查后臺登錄的IP是否有異地的可疑信息,或者是否被添加了異常的管理賬號等等,永遠繃緊安全這根弦。
對局域網進行妥善管理,讓網絡運行始終安全、穩定,一直是所有網絡管理員的主要職責。為了保證局域網的安全性,不少網絡管理員開動腦筋,并且不惜花費重金,“請”來了各式各樣的專業安全工具,來為局域網進行保駕護航。然而在實際工作過程中,如果沒有現成的專業安全防范工具,也可以利用客戶端系統自帶的安全功能,保護自己的上網安全。
最后是人員方面,人員是企業信息外泄的重要途徑,其中我們可以將其分為兩大類,一類是內部人員的泄密。這往往體現在員工將企業核心機密通過硬盤等設備將其帶出公司信息設備,并且造成遺失等現象,最終導致公司機密為外界所獲取,信息安全受到嚴重威脅。另一部分是黑客攻擊,這類攻擊對公司造成的損失非常大。該行為的目標就是獲取相應的信息。隨著黑客技術的發展,傳統的防火墻甚至物理網閘斷開都難以完全避免黑客的攻擊。目前企業繁多的保護程序對黑客的防護效果不佳,反倒給用戶帶來了諸多不便。
3企業信息安全改進建議
3.1物理安全防護
網絡結構設計直接影響到企業的信息安全,局域網的網絡拓撲設計也成了信息防護的關鍵所在,一般情況下,企業的網絡拓撲結構圖如下:
圖1內部網拓撲結構圖
在整個流程中,核心交換機是關鍵,首先它必須滿足國家相關的規定標準,可以承載相應的功能。機房設計要考慮到防盜、防火等,必須實行24小時監控。硬件防火墻是我們進行信息保護的一個重要措施,性能比軟件防火墻更為強大,這也決定了硬件防火墻的價格相對而言更為昂貴。硬件加密卡也是我們目前使用范圍比較廣泛的一個技術措施,它獨立于計算機系統,一般難以通過常用的軟件模擬方式來對其進行攻擊,因此獨立性能更高。通過合理配置計算機硬件保護器,我們可以將信息保護的基礎工作做得更加有效,能夠為控制技術風險和人為風險提供良好的基礎。
3.2技術安全
相對而言,技術安全是比較難以處理的,信息技術的發展非常迅速,我們難以面對層出不窮的網絡技術攻擊做出完全有效的防御,需要及時改變技術防御措施。
3.2.1數字簽名和加密技術
在網絡中,我們可以不斷發展傳統的數字簽名和加密技術,防止黑客的多種入侵。
我們可以以數字簽名為例,通過設定數字簽名,用戶在進行各種操作時會打上自身的印記,可以防止除授權者以外的修改,能夠極大地提高整體的安全系數,抵御黑客的攻擊。在這個程序中,我們需要予以關注的是數字證書的獲取,一般有以下三個途徑:a使用相關軟件創建自身的數字證書;b從商業認證授權機構獲取;c從內部專門負責認證安全管理機構獲取。
3.2.2入侵防護系統(IPS)
傳統的防火墻旨在拒絕那些明顯可疑的網絡流量,但仍然允許某些流量通過,因此防火墻對于很多入侵攻擊仍然無計可施。絕大多數IDS系統都是被動的,而入侵防護系統(IPS)則傾向于提供主動防護,其設計宗旨是預先對入侵活動和攻擊性網絡流量進行攔截,避免其造成損失,而不是簡單地在惡意流量傳送時或傳送后才發出警報。IPS是通過直接嵌入到網絡流量中實現這一功能的,即通過一個網絡端口接收來自外部系統的流量,經過檢查確認其中不包含異常活動或可疑內容后,再通過另外一個端口將它傳送到內部系統中。這樣一來,有問題的數據包,以及所有來自同一數據流的后續數據包,都能在IPS設備中被清除掉。
3.2.3統一威脅管理(UTM)
美國著名的IDC對統一威脅管理(UTM)安全設備的定義的是由硬件、軟件和網絡技術組成的具有專門用途的設備,它主要提供一項或多項安全功能。它將多種安全特性集成于一個硬設備里,構成一個標準的統一管理平臺。UTM設備應該具備的基本功能包括網絡防火墻、網絡入侵檢測/防御和網關防病毒功能。這幾項功能并不一定要同時都得到使用,不過它們應該是UTM設備自身固有的功能。
UTM安全設備也可能包括其它特性,例如安全管理、日志、策略管理、服務質量(QoS)、負載均衡、高可用性(HA)和報告帶寬管理等。不過,其它特性通常都是為主要的安全功能服務的。
3信息安全管理
這主要是針對人員管理而設定的,是企業內部管理流程的一個重要方面,這是企業內部管控制度的一個重要組成方面。
每個企業都要有明確的硬件設備管理制度,專人負責保管,監督審查,確保硬件使用的合理和安全性。其次要對操作人員進行足夠的培訓,要求每一個使用人員都了解應當進行的合理操作,明白可能存在的網絡安全隱患。第三要對數據保管有明確的責任和制度,防止大量數據的丟失,導致公司整體系統癱瘓。
為了進一步加強和規范計算機信息系統安全,公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室于2007年6月和7月聯合頒布了《信息安全等級保護管理辦法》和《關于開展全國重要信息系統安全等級保護定級工作的通知》,并召開了全國重要信息系統安全等級保護定級工作部署專題電視電話會議,標志著我國信息安全等級保護制度歷經十多年的探索正式開始實施。
建立計算機信息系統安全等級保護制度,是我國計算機信息系統安全保護工作中的一件大事,它直接關系到各行各業的計算機信息系統建設和管理,是一項復雜的社會化的系統工程,需要社會各界的共同參與。大中型企業應該認真學習《信息安全等級保護管理辦法》及相關技術標準規范,大力開展培訓工作,落實好信息網絡安全管理、安全技術、信息安全等崗位人員的繼續教育培訓,不斷提高信息安全等級保護的能力與水平。
4結束語
在我們進行企業信息安全管理過程中,企業及企業員工是否對信息安全工作有足夠的認識十分重要,企業領導和上層應該對企業信息安全工作給予必要的關注,企業信息安全不能僅僅依靠專業的IT技術人員,它需要我們全體企業員工的共同努力。
參考文獻:
[1]孫博.企業信息安全及相關技術概述[J].科技創新導報,2009(04).
[2]徐國芹.淺議如何建立企業信息安全體系架構[J].中國高新技術企業,2009(5).
[3]王東.“北京移動案”暴露信息安全管理軟肋[J].中國新通信,2006(6).
[4]吳輝.淺談企業信息安全管理方案[J].科技情報開發與經濟,2010(25).
[5]徐新件,朱健華.關于企業網絡信息安全管理問題研究[J].供電企業管理,2008(2).
[6]汪紅梅.我國信息安全保障體系存在的問題及對策芻議[J].信息網絡安全,2008(2).
[7]盛玉.檔案信息安全與安全保障體系內容的關系分析[J].網絡財富,2009(12).
