企业信息安全意识篇1
关键词信息;安全;意识
中图分类号:tp309文献标识码:a文章编号:1671―7597(2013)021-132-02
1信息安全意识的重要性
信息作为一种资产,是企业或组织进行正常商务运作和管理不可或缺的资源,也是企业财产和个人隐私等的重要载体。与此同时,信息安全的重要性也越加凸显:从最高层次来讲,信息安全关系到国家的安全;对组织机构来说,信息安全关系到正常运作和持续发展;就个人而言,信息安全是保护个人隐私和财产的必然要求。无论是个人、企业还是国家,保持关键的信息资产的安全性都是非常重要的。
据统计,世界上每分钟就有2个企业因为信息安全问题倒闭,而在所有的信息安全事故中,只有20%-30%是因为黑客入侵或其他外部原因造成的,70%-80%是由于内部员工的疏忽或有意泄露造成的;同时78%的企业数据泄露是来自内部员工的不规范操作。
因此企业员工信息安全意识的提升对企业整体信息安全起着至关重要的作用。
2企业员工信息安全意识现状
根据《2011年度中国企业员工信息安全意识现状调研报告》中,企业员工在信息安全意识方面存在的20大问题如下:
1)有56.8%的受访者采取的是不锁抽屉、不锁抽屉钥匙放在抽屉里和锁抽屉但钥匙放在桌上或笔筒等地方这些不安全的抽屉物品保管行为。
2)拥有胸卡的受访者中,接近半数的人曾经外借过胸卡。与2010年的调查数据相比,经常外借胸卡的比例有所上升。
3)在去陌生环境出差时,51.4%的受访者不会主动了解自己工作或居住场所的紧急通道位置或楼层结构图,48.6%的受访者会去主动了解。主动了解的比例比2010年的调查结果略有上升,但情况依然不算乐观。
4)36.6%的受访者会在办公桌面放密级资料。
5)52.9%的受访者表示自己所在企业的打印机附近有合同、通知等重要资料不及时回收,可以让人任意看。
6)37.4%的人选择会直接或者询问下就让尾随的外部人员直接进入办公场所。
7)选择数字+字母+符号+大小写这种相对最为完全的口令/密码设置规则的人所占比例仅为25.4%。
8)仅有30%受访者对敏感数据会进行分类和加密。
9)65%的受访者电脑中数据不做备份或者不定期做备份。
10)接近50%的受访者表示所在单位不会马上对密级资料进行粉碎处理。
11)接近50%的受访者选择不安全的设置电脑屏保、密码方式。
12)有33%的受访者会在电脑桌面存放密级资料。
13)39.2%的受访者暂时离开电脑不会锁屏。
14)当收到熟悉发件人发送的自动播放flas或邮件内部嵌入的网页时,59.2%的人会看动画、下载动画、浏览网页或点击网页链接。
15)1%的受访者会点击网页上吸引自己的链接。
16)4%的受访者遇到过恶意插件、病毒攻击,还有19.2%的受访者不确定自己是否遇到过。
17)64.2%的受访者不知道公司的信息安全策略的相关规定。
18)52.7%的受访者遇到信息安全事件,不知道如何处理、自己处理或者找同事帮忙处理。
19)46.7%的受访者不知道自己接触信息的密级程度。
20)49.4%的受访者认为领导的信息安全意识一般、很差或者还不如自己。
3信息安全案例分析
3.1案例一
中国电力财务有限公司商业秘密泄露事件。(来源于:《国网公司信息安全通报》(2010年第1期))
事件经过:2009年12月初,国家电监会通报中国电力财务有限公司某员工使用的计算机中涉及公司商业秘密文件资料泄露。经查,该员工将20余份资料(其中包括公司商业秘密文件)存入非公司转配的个人移动存储介质并带回家中,利用连接互联网的计算机对该移动存储介质操作,由于其家中计算机存在空口令且未安装安全补丁,感染了特洛伊木马病毒,使存于移动存储介质的文件信息泄密。
暴露的问题:该事件暴露出虽然公司三令五申,严格“不上网、上网不”的纪律,但是部分员工缺乏保护商业秘密与工作资料的意识,违反公司“严禁在连接互联网的计算机和移动存储介质上处理、存储涉及企业秘密信息”的要求,利用非公司转配的个人移动存储介质保存商业秘密信息,并违规接入互联网,而直接造成信息外泄事件。
3.2案例二
上海世博会供电敏感信息泄露事件。(来源于:《国网公司信息安全通报(2010年第2期)》)
事件经过:2010年春节前夕,国网公司接国家安全部所属中国信息安全测评中心通报,发现涉及上海世博会的世博园区供电方案、保障方案、场馆变电站建筑结构图、电气主接线图以及相关敏感资料和信息等泄露。经查,此次信息安全事件是由于信息外网邮箱处理敏感资料所致,涉及上海公司生技、营销、世博办等有关管理和技术人员。
暴露出的问题:1)本次事件是上海公司少数员工信息安全意识淡薄,缺乏保护公司商业密码和重要时期安全保电方案的意识,违背“不上网、上网不”的纪律和公司“严禁在信息外网和互联网上处理、存储涉及企业秘密和工作信息”的要求,在信息外网邮箱存储敏感资料,且通过信息外网邮箱和社会共用邮箱向互联网发送邮件而造成的信息泄密事件。2)上海公司部分信息外网邮件用户采用初始弱口令,未执行《国家电网公司信息系统口令管理暂行规定》中口令强度要求与定期更换的规定,未采取有效措施修改弱口令。相关技术督查队伍未及时发现隐患并督促相应单位和人员采取防范措施,是该事件发送的又一原因。
3.3案例分析
以上两件发生在国网公司系统内的信息安全事件案例,在暴露出的问题分析中首要的都提到了:“员工信息安全意识淡薄”,可见引起信息安全事件的首要原因都是安全意识问题。
4各层面人员应具备的信息安全意识
技术人员、一般管理人、普通员工、企业领导四类人应具有的以下方面的信息安全意识。
4.1技术人员要有主动出击、提前防范的意识
专业技术人员首先要提升自身的信息安全防范意识,不能只像普通员工一样,只考虑自己不发生信息安全事件就行,技术人员要有更强的责任心,主动承担起企业信息安全防护工作,不要只是被动的接收领导或上级单位分配的任务,要主动对信息系统及基础设施进行隐患排查、查缺补漏,要主动承担起宣传、教育普通员工的职责,普及信息安全知识,提升企业全员信息安全意识,为企业信息安全提前做好防范工作。
4.2管理人员要有及时补救、亡羊补牢的意识
当发生信息安全事件时,管理人员首先应该做的是及时补救事件造成的危害,将信息安全事件的损失和危害降低到最小。其次应当客观分析事件发生的原因,是人为的错误要及时纠正,是系统的漏洞要及时封堵,是设备的缺陷要及时消缺,是别人的责任要及时教育,不要推卸责任、置之不理,要谨记亡羊补牢,为时不晚。
4.3普通员工要有不越雷池、不触红线的意识
普通员工虽然不能掌握信息安全技术,但必须有较强的信息安全意识,要将信息安全与生产安全同样看待,要牢记公司在信息安全方面的规定和要求,密码一定要用强的,一机一定不能两用,信息一定不能上网,上网信息一定不能,不要对触犯信息安全红线抱有侥幸心理,不要越入信息安全的雷池半步。
4.4企业领导要有关心信息、重视安全的意识
企业领导对信息安全的重视程度,是决定企业信息安全状况的主要因素。高层领导重视,中层领导必重视;中层领导重视,员工意识必提升。技术人员信息安全意识的提升在于企业领导的引导,普通员工信息安全意识的提升在于企业领导严明的制度和考核的力度。要想让技术人员有主动出击、提前防范,及时补救、亡羊补牢的意识,企业领导就必须关心信息专业、重视信息安全,为技术人员提供良好的发展空间。要想让普通员工要有不越雷池、不触红线的意识,企业领导就要有不敢让其越雷池、触红线的手段。
5提升信息安全意识的方法及措施
1)制作信息安全意识手册、信息安全意识动画短片、信息安全画册、信息安全意识鼠标垫、信息安全意识海报、展板等信息安全意识产品。持之以恒地开展信息安全意识培训工作。通过这些产品,把信息安全意识的宣贯渗透到员工的生活中去,打造全方位、立体化的信息安全意识宣贯方式。
2)开展形式多样的信息安全知识竞赛活动,例如开展信息安全网上答题活动、组织现场知识竞赛活动,通过活跃的竞赛气氛,激发员工学习信息安全知识的热情,提升员工信息安全意识。
3)企业领导要高度重视信息安全,加大对信息安全事件的考核力度。
参考文献
[1]北京谷安天下科技有限公司,2011年度中国企业员工信息安全意识现状调研报告[m].
[2]国网公司信息安全通报[m].2010,1.
[3]国网公司信息安全通报[m].2010,2期.
企业信息安全意识篇2
【关键词】企业信息安全管理对策
信息安全管理是指通过保证信息资产的机密性、完整性和可用性来保护和维护企业所有信息资产的一系列管理活动,是完整的企业组织管理体系的重要组成部分。其主要包括制定信息安全政策、风险评估、控制目标与方式选择、制定规范的操作流程、对人员进行安全意识培训等一系列工作。
知识经济时代,企业内部各部门之间以及企业与外部之间的交流与合作日益频繁,且对计算机信息技术的依赖也日益明显,使得信息安全问题成为众多企业的关注焦点。
企业的许多信息,包括一些战略规划的重要信息,均以电子文件形式存储,而这些信息在存储、处理以及传输过程中都有可能被非法截取、恶意破坏以及篡改,损失难以想象。保障信息系统的安全在企业的建设和发展当中具有重要的作用。信息安全管理是确保信息系统顺利运行的有力武器。通过建立信息安全体系及相应的规范机制,如加强对人员的管理、提升人员安全意识、促进软件和操作系统的操作及建设相关网络等,就可以建立起完善的信息安全系统,促进企业在知识经济时代平稳、快速和健康的发展。
一 目前信息安全管理中存在的隐患
1.信息管理的安全意识方面
在传统的企业生产中,企业所应具有的基本生产要素主要有设备、原材料、人员和制度几个方面。但随着信息技术的发展,信息的重要性也日益突显,从而也成为企业发展的基本要素之一。根据以往经验来看,企业对信息安全的重视程度还远远不够,表现在对企业信息的安全保护很不到位,这无疑给企业带来了很大的损失。所以,企业必须要加强对信息安全的保护,建立起一套完善的信息安全体系来保证企业的信息安全。
2.缺乏统一的安全体系规划和安全防范机制
目前,“头痛医头、脚痛医脚”的现象十分普遍,原因在于眼于局部而忽视整体。企业只是在网络中安装了一些安全设备,却未形成统一的安全策略及相关规划方案。企业在建设信息化的过程中通常采取先开展业务,后关注安全的策略,使得安全的管理远远落后于开展业务发展。而由于缺少整体性的规划,使得企业在问题已经出现时才去弥补,对于安全建设只能用“亡羊补牢”来形容。
3.信息安全产品本身存在的问题
大多数企业通常在建设信息安全系统的过程中就采用了一些保证信息安全的产品。但并不是说使用了相关安全产品信息系统就安全了,因为计算机系统所存在的一些安全隐患除了是由信息安全产品本身所具有的漏洞引起的之外,人员在使用信息安全产品的过程中所造成的操作失误及用户配置的错误也会对其产生影响。所以企业不仅要重视安全产品自身的问题,也要重视系统的操作与应用过程。
4.资金投入不够,缺乏安全技术人才
要想建构起完善的信息安全体系,企业不仅要投入大量的资金,而且同时要引进一批高端的it人才,组建一支专业建设信息安全的团队。但遗憾的是,很多企业并未意识到信息安全的重要性,所以在资金投入方面很是不足,比如说,使用的电子邮箱和杀毒软件等往往都是免费的,也没有构建防火墙,这使得企业的信息安全得不到充分地保障。此外,虽然一些企业投资引进了一些硬件设施,但对软件的重视不足,表现为投入的滞后性,从而阻碍了硬件设施发挥应有的功能。
还有一个问题,大部分企业在加强信息安全建设的过程中,通常都把注意力集中在搭建网络平台及硬件的选择上了,却忽视了对人才的引入和培养。具体表现在许多企业缺乏信息技术人才,而相关专业人才更是不足。按照要求,一个信息系统的运作应该由几个技术人才相互配合、共同操作,但实际上却恰恰相反,企业中的一个信息管理人员往往负责大量的操作,不仅要负责配置系统,还要负责管理系统的安全,导致对安全的设置和监督由一个人负责,任务繁重。
二 加强企业信息安全管理的途径
1.注重人员安全管理,提升信息安全意识
具体的操作人员在信息系统的建设和运行过程中必不可少,人既是管理者又是被管理者,因为他们不仅要建设和应用计算机系统,而且也信息管理的对象。所以在信息安全系统的管理中,最重要的就是对人员的安全管理,做到这一点要从以下几个方面来进行:要建立一个安全的组织结构,对安全职能加以确认,审查人员的安全状况,和安全人员签订相关的保密合同,加强离职人员的安全管理等。
企业要对员工加强有关信息安全的教育,增强他们的安全意识。保障企业的信息安全是每个职工应尽的义务。信息安全不是一种技术而是一种意识,所以仅从技术层面是无法保证企业的信息安全的。加强安全教育要企业要做到以下几个方面,首先,加强员工的教育培训、普及互联网和信息安全的相关知识、提升员工的安全意识并增强其防范能力,使整体员工都有一种为企业信息安全负责的意识。其次通过定期举行有关信息安全的报告和讲座等,使企业自上而下都形成安全意识并铭记于心。通过上述两种途径可以使企业的信息安全工作顺利的开展。
2.建立、健全信息安全防范体系
对于企业中信息安全的管理机制及防护规范的发展和完善,可以使企业中的那些至关重要的信息得到很好的保护。即使信息系统遭到入侵也能够保证企业业务的顺利进行,可以极大地降低企业的损失。
第一,提高安全系统的应急能力,这就要求建立和完善相应的应急管理机制,并制定应急预案。
第二,企业要建立起一个网络和信息安全管理的平台,在网络内外部署相关的信息安全设施,比如要加强网络的安全性管理,在网络中设置一些控制访问的策略,并对网络的安全使用加以规范,具体来说就是要安装避免病毒入侵的软件,对网络经常进行检测,提高防火墙的性能等。
第三,建立机制对信息安全进行集中化管理。如数据安全控制和加密密钥的集中化管理,前者可以做到自上而下的全面执行企业的安全防范策略,后者可以降低人为原因导致的数据安全的风险,并可以保证不与其他的加密策略发生冲突,实现兼容。
第四,企业还要重视对于异地数据的备份工作及当遇到意外情况时可以实现信息恢复的机制设计,因为这可以保障信息系统的安全运行。
第五,重视风险评估工作。这要求企业在平时要对信息系统的安全性进行定期的评估,以提高企业抵御风险的能力。
3.健全用户权限和上网管理制度
企业信息安全管理工作的一个重点就是要建立并完善用户浏览的权限及网上管理的制度设计,并使之得到严格地执行。同时随着企业的发展和业务系统的完善要不断对其补充和修正。
首先,对用户权限的管理加以完善。这就要求企业改变以往把每个员工都当成管理员可以随意浏览信息的状况,要将每个员工的权限加以明确并保证最小,减少他们对信息系统的操作从而在最大程度上保证系统的安全。
其次,要限制员工的上网行为。在信息化时代,要想控制众多员工上网的行为,就必须要从管理和技术两个方面来实现。此外,要严格检测和控制那些从外部传来的文件,防止它们给企业内部的网络带来病毒。
4.进一步健全、监管第三方服务体系
由于对信息安全的担忧和对服务质量的怀疑,大部分企业都不愿意采取第三方提供的服务体系。在企业中,信息安全工作至关重要,如果不小心泄露了企业的重要资料,就会给企业带来致命的打击。
政府应发挥作用加强有关第三方的法律法规建设并制定行业标准,排除企业对第三方的疑虑。企业应加强与第三方的合作,双方共同努力建设起符合企业特点的信息安全体系,使得企业的信息安全能够获得最有力的保证。企业应设立专门的监察职位,主要负责监督、检查企业管理信息系统的运行情况并直接向企业总经理负责。因其“第三者”的角色,可更加客观、公正对企业信息安全以及业务流程进行监察,及时发现信息安全隐患。
5.加大建设资金投入,完善软件硬件建设
要想顺利建成企业的信息安全体系,大量的资金投入是必不可少的。企业应投入足够的资金来购买相应的设备,如相关软件和服务器等,同时企业也可以采取外包的形式。
首先,在加强硬件设施方面,企业可以应用加密系统来保护有关的口令、文档及网内的重要数据。这样我们就可以更有针对性的在网上传输数据。加密管理有三种类型,即端点、节点和链路加密,企业可以根据自己的实际情况从其中进行选择。特别是在控制信息系统开发的过程中就应渗透信息安全保护机制,从根本上预防信息安全隐患。
其次,加强软件建设,最主要的就是采取积极有效的措施使操作系统的安全性得到最大程度的保护。具体来说就是要对有关信息管理的各种软件定期加以更新,保证数据库和终端的操作系统的版本保持一致,这不仅有利于加强管理,而且可以提高系统的防御功能
此外,要做到经常性的数据备份,选用高强度口令保护账号安全,针对不同账号设定不同密令,经常更新杀毒软件及补丁以及在局域网与互联网之间安装防火墙,并周期性的对文件进行排查,及时发现已感染病毒的文件以及信息丢失的现象。
企业的信息安全管理是一个动态的过程,要随时代的发展而不断加以创新。因此,我们必须不断探索加强信息安全管理的思路和方法,并对逐步构建起相对完善、高效、可靠的信息安全管理体系,定期对企业的信息安全风险和信息安全管理水平进行评估。
参考文献
企业信息安全意识篇3
【关键词】企业信息化建设;信息安全问题;防范措施
当今是信息爆炸时代,信息化时代的到来给企业带来了更为广阔的发展空间。企业通过互联网渠道搜集海量信息,为企业产品推广和联系客户提供了平台。当前,尤其是伴随着“两化融合”的推进,许多的企业都意识到加强信息化建设对自身发展的重要性,加大了对信息化建设的资金、人力投入,以促进企业走向信息化发展道路。但伴随着企业信息化建设过程中也出现了一些信息安全问题,例如:不法分子采取技术手段窃取企业重要信息进行不正当交易。企业重要信息一旦泄露,很可能会给企业带来严重的经济损失,严重者可能会造成企业倒闭。因此,作为企业而言在加快信息化建设的同时绝对不能忽视信息安全问题。深入性地分析信息安全问题产生的原因,积极采取有效措施,减少或者避免信息安全问题的发生。
1企业信息安全问题分析
就当前企业信息化建设中存在安全问题的原因来讲,只要主要有内因和外因两种。具体分析如下:
1.1内部原因
1.1.1企业信息系统安全意识薄弱
当前,多数企业都意识到信息化建设对自身发展的重要性,加大了信息化建设的投入力度。但因缺乏实践指导,管理层信息化意识缺乏,发展盲目,对信息安全问题往往忽视,使得信息化系统运行过程中出现不同程度的安全问题。
1.1.2信息安全软件技术不高
当前国内的信息安全软件技术虽然发展较快,但同国外发达国家的信息安全软件技术水平相比,差距仍旧比较大。并且信息安全软件是“盾”,黑客病毒是“矛”,防范措施总是很难赶上病毒以及黑客的发展。
1.1.3管理缺乏规范
部分企业由于没有从思想上认识到信息安全问题的危害性,重投入,轻管理,空有信息系统却管理混乱,没有建立有效的安全问题防范机制,这就给恶意人员侵入企业信息系统提供了机会,造成企业的重要信息被窃取或丢失。
1.1.4专业技术人员缺乏
一般而言,企业信息安全系统的维护和升级都要有专业的技术人员操作。但由于企业的高层对于信息化的认识程度、企业的发展程度差异,导致部分企业没有配置专门的管理技术人员,设备与系统缺乏专业的维护管理。
1.1.5信息安全问题的相关法律不够健全
针对当前国内危及企业信息安全的违法犯罪行为,我国还没有相关的法律法规体系,导致这种类型犯罪较难管理,企业因信息被窃取而造成的经济损失,也很难获得合理赔偿。
1.2外部原因
现阶段,企业信息系统受到的威胁主要来源于外部。随着现代信息技术的高速发展,信息逐渐在市场中突显出其重要作用。一些不法分子看准信息对企业发展重要性的这一点采用不同手段来窃取企业的一些重要信息来谋取利益。此外,还有一些企业为了能够在市场中取得竞争优势,也会采取一些不法手段来获取其他竞争对手的信息,借以打压竞争对手。
2企业信息化建设中安全问题的应对措施
2.1企业应提高信息安全问题防范意识
企业应提高信息安全问题防范意识,将信息安全问题防范工作上升到企业战略层面,将其放在企业信息化建设工作的重要位置,立足长远,合理规划,重视信息化建设中信息安全问题的防范,加强对信息安全问题的研究,积极采取有效措施防范可能会发生的信息安全问题,建立长效机制。
2.2正确选择信息安全防护软件
目前,企业在信息化建设中对于信息安全问题往往会采用信息安全防护软件方式来防范安全问题。但有些企业在选择信息安全防护软件时没有注重信息安全防护软件的质量,有时候选择一些防护性能弱,价格低廉的软件。使得信息安全防护软件起不到防护功能。即浪费了企业资金,由起不到应有的效果。
2.3加强企业信息系统管理
我们知道,不管是任何安全防护硬件或者软件都不是完美的,都存在一定的漏洞,都有可能遭到破坏和攻击,使其失去防护功能。所以,其只是辅助措施,对于信息安全防护工作不能完全依赖技术手段,以为只要采购好软硬设备旧高枕无忧了,而是要在拥有技术手段的同时,加强日常管理,建立长效管理机制。通过健全的信息安全管理制度,并且管理人员切实贯彻落实才能防患于未然。建立信息安全风险评估体制。基于企业的信息系统不是在同一时间和同一技术支持下所建立的,所以在信息系统运行管理中各个系统可能存在的运行安全隐患是不同的。这就需要企业根据系统的不同找出各自的不安全因素和漏洞。建立完善的信息安全风险评估体制,通过量化分析,制定切实可行的信息系统运行风险防范措施。加强网络管理。企业的信息系统遭到破坏,信息泄露都是企业外的一些不法分子通过网络来窃取的。因此,企业内部应建立完善的网络管理专业人才队伍,加强对网络安全管理,给企业信息系统的运行提供安全可靠环境。
3结语
总之,加强信息化建设已经成为当前企业必须要重视的课题。在企业信息化建设快速发展的同时,信息系统安全问题也越来越突出,给企业信息系统的可靠性运行造成了不同程度的影响,所以,企业应重视信息系统安全问题的分析和研究,采取有效的信息安全防范对策,确保企业信息系统的安全、稳定、可靠运行。
参考文献
企业信息安全意识篇4
1.1信息化机构建设不健全
电力企业很少为信息管理部门专门设置机构,因而缺乏应有的规范的岗位及建制。大多信息部门附属在技术部、科技部或总经理工作部门下,甚至仅设置一个专责人员负责。信息化管理是一项系统性的工程,没有专门的部门负责是不能满足现代企业信息化安全的需求的。
1.2企业管理阻碍信息化发展
有些电力企业管理办法革新缓慢,大多采用较落后的、非现代信息化企业的管理模式。这样的企业即便引入最完善的信息管理系统、最先进的信息化设备,也只能受落后的企业管理模式所制约,无法发挥其应有的作用。
1.3网络结构不合理
电力企业大多将公司网络分为外网和内网,两种网络之间实行物理隔离措施,但很多企业的网络交换机是一台二层交换机,决定了内网和外网用户在网络中地位是平等的,导致安全问题只能靠完善管理系统去解决,给系统编写带来很多不必要的困难。
1.4身份认证缺陷
电力企业一般只建立内部使用的信息系统,而企业内部不同管理部门、不同层次员工有不同等级的授权,根据授权等级不同决定各部门和员工访问的数据和信息不同。这类授权是以身份认证为基础的信息访问控制,但在当前的企业身份认证系统中大多存在缺陷和漏洞,给信息安全留下隐患。
1.5软件系统安全风险较大
软件系统安全风险指两方面,一是编写的各种应用系统可能有漏洞造成安全风险,二是操作系统本身风险,随着近期微软停止对windowsXp系统的服务支持,大量使用windowsXp系统的信息管理软件都将得不到系统漏洞的修补,这无疑会给信息安全带来极大风险。
1.6管理人员意识不足
很多电力企业员工网络安全意识参差不齐,一方面是时代的迅速发展导致较年轻的管理人员安全意识较高,而对网络接触较少的中老年员工网络安全意识较为缺乏;另一方面也有电力企业管理制度不够完善、忽视对员工进行及时培训的原因。在这种人员背景下,如果管理人员配备不当、信息管理系统设置不合理都会给企业信息埋下安全隐患。
2、电力企业网络信息安全管理措施
要建立完善合理的网络信息安全管理体系,需要各企业认清企业现状,根据实际进行统一规划,分部建设,保证建设内容能科学有效的运行。
2.1加强信息安全教育培训
不论计算机程序有多么先进多么完善,如果操作管理人员素质和意识不足,那也不能保证企业信息化的安全。因此,实现企业网络信息安全管理的根本在人,可以根据员工职责分层次进行培训,一方面提高安全管理员工的专业知识水平及安全管理意识,另一方面加强对一线工作人员的安全意识教育,将网络信息安全变为企业文化和精神支柱的一部分。
2.2完善管理制度建设
电力企业要把网络信息安全管理视为一个系统工程来考虑,必须在企业内部建立起合理而完善的管理制度,比如:加强网络日志管理;对安全审计数据严格管理;在企业网络上安装病毒防护软件;规定不能随意在内网主机上下载互联网数据、不能在内网计算机上随意使用来历不明的移动存储设备等。
2.3不断更新完善信息安全管理系统
大力推进信息安全新技术的探索和应用,建立信息安全防护体系,可以围绕数据库安全、数据备份和恢复、网络服务完全、病毒防护系统的应用、数据加密技术及数据传输安全等方面建立一个多方面多层次联合的技术安全体系,从而提高信息系统安全防护能力,确保企业信息安全可靠。
3、总结
企业信息安全意识篇5
【关键词】企业信息化建设信息安全
前言
当前,信息化建设已经成为了各类企业建设和发展的重点内容,企业通过信息化建设的方式,让自身生产与流通工作可以更顺利地进行,并利用互联网,创造出现代企业新型发展模式。但是,就实际情况而言,企业的信息化建设并不是一直处于一个平稳的发展状态,在其发展的过程中也会受到诸多内部或外部因素的影响和束缚,在信息的安全方面也存在许多的问题,如黑客入侵或是病毒入侵。如果企业信息存在的安全问题比较严重,不仅会给企业信息化建设造成不利影响,还有可能会影响到企业的正常运营和发展。
一、造成企业信息化建设中的信息安全问题的原因
1.1内部原因
①企业内部的信息安全意识缺乏,目前,虽然很多的企业都提倡建设企业内部信息化,但是大部分企业过于注重信息化建设过程中得到的利益和优势,却忽略了信息化建设中信息的安全问题。
②软件安装的技术比较落后,黑客与病毒的发展速度比软件技术更新速度快。
③管理操作不得当,在对信息系统进行管理与操作的过程中过于粗心大意,给黑客与不法分子和黑客制造了入侵的机会,对企业的信息安全造成威胁。
④专业的管理人才缺乏,没有对企业的信息安全系统定制出合理的安全管理策略,且没有让专业的操作人员对统系统进行维护和升级,致使企业信息系存在信息安全隐患[1]。
1.2外部原因
对于大多数企业而言,信息系统中存在的安全威胁大部分来自于外部因素,随着社会的不断发展,信息建设在各类企业市场竞争中的地位和作用日益提高,许多的不法分子想尽办法对各类企业的信息进行窃取和破坏,以此来获得自身的利益。还有一部分企业为了得到竞争对手企业的各类商业信息,采用不正当的手段破坏或是入侵对手企业的信息系统,窃取对方企业的商业机密,以此来打倒对方。
二、企业信息化建设中存在的信息安全问题
2.1企业不够重视信息系统的安全问题
就目前而言,国内的大部分企业都没有给予信息系统安全问题足够的重视,没有意识到信息系统安全的重要性。近年来,虽然国内信息化建设得到了快速的发展,国内企业的信息安全程度也有所提高,但是大部分的企业还是没有意识到信息安全问题对企业的重要性,只看到了信息化建设给企业创造的短暂利益,而忽视了信息化建设信息安全的长远发展,未针对信息安全问题采取适当的防范措施,致使企业信息化的发展存在较多的安全隐患。
2.2企业信息化操作管理不到位
在企业进行信息化建设的过程中,大多数的企业没有认识到对企业信息进行科学管理和操作的重要性。相关的操作和管理人员在信息化建设的管理和操作中缺少合理性,导致黑客与入侵者有机可乘,造成企业信息外泄。企业的信息化建设是一个全新的的概念,其中的信息系统管理,信息安全系统的维护与升级都必须由专业的操作人员进行操作和管理,因此,专业技术人员专业技能的缺乏和个人的素质对企业的信息安全有着直接的影响。
2.3可用于信息化建设的软件较少
近年来,市场上各种类型的系统软件越来越多,但是能够真正用到企业信息化建设的系统软件却比较缺乏,特别是相较于国际市场,国内的软件无论是在适用范围,还是技术水平方面都比较落后,这也是给企业数据安全带来隐患的一大重要原因。
企业信息化建设使用的软件安全性能较低,很容易被病毒或是黑客入侵,从而对企业的信息安全造成威胁,虽然大部分的企业在商业机密信息方面设置了一定的操作权限,但是在企业的实际管理中,比较容易出现员工操作权限重复的情况,操作人员的责任不够明确,从而导致企业信息外泄或是数据丢失[2]。
三、企业提高信息化建设中的信息安全性的对策
3.1企业需树立正确安全意识
在企业信息化的发展进程中,企业应该充分了解企业信息安全问题和企业发展之间的关系。意识到一旦企业的重要机密发生外泄或者是被窃取,将会给企业造成不可估量的损失,并给竞争对手提供有利的机会。
因此,企业应该采取适当有效的措施,防止信息安全问题的产生,树立正确的信息安全意识,以便为企业未来的信息化发展打下更好的基础。
3.2加强企业内部信息系统管理
①正常来说,企业信息的系统使用任何的安全软件都有可能被攻击或被破解。在信息的安全防御过程中,最重要的并不只是信息技术,管理对于企业的信息安全系统来说也非常重要,只有对企业的信息进行合理、规范的管理,才能更有效提升企业信息系统的安全性。因此,合理的对信息安全管理体系进行规范化建设,对于企业的信息安全管理至关重要。
②完善企业安全的风险评估机制。企业信息系统的建设,并非是利用一种技术在短时间内能够完成,在平常的操作与管理中,所有的系统都有自己的优势与缺点,因此,企业应该针对本身信息系统的优势和缺点建立相关的安全风险评估机制,找到对信息系统安全造成影响的漏洞和原因,并及时地进行处理,以有效降低企业信息系统被攻击的可能性。
3.3运用安全性较高的防护软件
尽管所有的防护软件都有办法破解,但是安全性越高的防护软件,破解的难度就越大,企业信息被窃取或是泄露的可能性也就越低。因此,企业在对安全防护软件进行选择时,不应该为了节省企业的成本,而在信息系统中使用一些安全性较低的防护软件,应该选技安全系数较高的防护软件,防止信息系统出现安全问题,给企业带来更大的经济损失。
3.4加强企业的网络管理
大多数的不法分子都是通过网络对各个企业的信息进行窃取和破坏,因此,企业需要加强企业的网络管理,以确保企业信息系统的运行可以在安全的状态下进行。企业应该依据信息安全的等级、种类制定出相关的防护措施和方案,并提前制定好信息安全事故发生之后,企业应该采取的解决措施[3]。在企业的信息安全受到威胁时,企业应该及时成立起危机处理小组,让该小组依据信息安全危机处理的步骤与预案,进行危机处理,防止危机处理不当而出现更加严重的连锁危机。此外,企业应该对内部的员工进行信息安全培训与教育,提升员工信息安全管理意识和安全危机事件的处理能力,从而有效防止企业自身失误而造成的信息安全问题。
四、结束语
总之,在这个信息化的时代,企业进行信息化建设是其发展和生存的重要途径。但就目前而言,我国大部分的企业都只看到了信息化建设的优势,没有意识到信息系统安全问题的重要性,信息系统还处在一个长期不设防的状态当中,这一情况直接影响了企业信息系统的安全性。因此,为了提高现代企业信息系统的安全性,企业就应该重视信息系统的安全问题,树立正确的信息安全意识,采取有效的防范措施、不断完善企业的信息管理体系,在企业信息化建设过程中,对可能会影响信息系统安全的因素进行全面考虑,以确保企业信息系统建设的安全性。
参考文献
[1]艾戬.企业信息化建设中的信息安全探究[J].网络安全技术与应用,2015,9(3):101-102.
企业信息安全意识篇6
关键词:
1引言:
随着信息化浪潮席卷全球和互联网的快速发展,网络化已经成为企业信息化的发展的重要的推到力量,企业信息化是各个中小企业自身发展的必经之路,但是,随着企业信息化发展而来的网络安全问题日渐突出,网络信息安全问题已成为信息时代人类所面临的挑战(武斌,2009),根据丛红艺,马晓云(2009),2004年1月,myDoom蠕虫首次出现,1/3的小型企业遭到攻击,1/6的大型企业受到影响;据不完全统计,iLoVeYoU病毒在全球范围内造成的损失已高达100亿美元,其中生产上的损失占了绝大部分,同时顾客的流失,企业的形象品牌荣誉所遭受的损失,更是难以估计的。企业网络安全问题存在的形式是多种多样的,企业网络管理意识,网络系统漏洞、网络技术的更新换代速度之快等原因,都是造成企业网络安全存在风险的重要原因,当前形式下,加强企业网络安全建设,促进企业信息化建设,减少企业网络信息系统风险是党务之急。
2企业网络安全问题
(1)企业网络安全防御意识淡薄。
当前任然有一大部分企业对网络安全防护意识比较单薄,随着数字信息化技术的发展,网络数字化办公方式成为趋势,企业内部实行网络化办公,对自动化办公的依赖性也越来越严重。但是企业内部网络安全防护问题,并没有得到足够的重视,网络防御系统过于陈旧,网络系统不注重更新,企业网络建设投入资金过少,网络安全防护机制不建设。企业内部网络系统一旦遭到攻击,网络恢复和抵抗能力偏弱。企业网络管理部门不健全和管理人员专业化不强,徐新件,朱健华(2008)指出当前大多数公司缺乏专门的信息安全监督管理机构,或者没有配备专业的信息安全监督管理人员。由于缺乏信息安全管理专业知识和技能,难于发挥有效的信息安全监督管理,使信息安全管理工作处于一种似管非管或基本不管的真空状态。
(2)网络恶意攻击和非法入侵企业信息资源
黑客恶意攻击企业内部系统,任何程序都存在漏洞,黑客企业网络中存在的安全漏洞,非法进入企业内部网络系统,对企业的重要信息资源进行篡改,下载资料,获取企业重要商业机密,企业大量的机密文件被窃取或者丢失,扰乱企业正常发展和运行。非法入侵企业网络系统,不论动机怎么样,对企业的网络安全危害加大。张君枫(2009)黑客入侵企业信息网络系统进行盗窃,篡改等恶意行为;冒充他人进行网上诈骗;非法访问;数据在传输过程中被窃取或泄密;计算机病毒的干扰、破坏等,安全问题直接威胁着企业信息网络的建设,成为企业信息化发展的障碍。
(3)网络病毒感染对企业网络安全的破坏
网络病毒感染的途径很多,接受电子邮寄、接受聊天传输信息、软件下载,文件打开等行为,都有可能感染病毒,病毒通过及时网络网络传送,因此发送的面很广、发送速度很快,而且造成的危害也很大。王刚(2011)互联网的广泛应用也为病毒感染和快速传播提供了安全途径。用户在使用各种数据介质、软件介质时都可能将病毒在不知不觉中带入到企业网络中,病毒从网络之间传递,导致系统崩溃,网络瘫痪,对网络服务构成严重威胁,造成巨大损失。网络病毒通过窃取企业登陆密码、用户名等机密资料,获取企业机密信息。病毒的感染能瞬间导致企业系统崩溃,企业网络安全风险加大,企业经济损失严重。
(4)企业网络内部防护的局限性。
企业防护重点是对外,安全防火墙技术,忽视了对内部防护的重视。安全防火墙不对内部起到防护作用,利用企业内部计算机对企业局域网络进行攻击,企业局域网络也会受到严重攻击,当前企业内部攻击行为也加大了企业网络安全的风险。刘润平,万佩真(2010)据调查,在已有的网络安全攻击事件中,大多数是来自内部网络的侵犯,来自机构内部局域网的威胁包括:误用和滥用关键敏感数据;随意设置ip地址;内部人员无意泄露内部网络的网络结构;企业内部员工网络隐患防范意识差。
3企业网络安全策略
(1)重视网络安全管理工作
加强企业网络安全防护意识,重视网络安全管理,重视对企业网络安全的资金投入,及时实现网络操作系统更新换代和升级;设置专门的企业网络安全管理人员,设立网络操作分级权限,根据权限等级,限制企业网络操作行为。对不同的机密性的数据,根据其重要性,进行分级管理。加强对内部工作人员的网络安全管理培育,组织企业工作人员学习网络安全知识,提高员工网络安全防御基本技能,避免内部工作人员网络安全技能基础薄弱造成的网络危害。
(2)建立企业网络安全预警机制
企业网络安全预警机制建设包含入侵预警机制建设和病毒预警机制建设两部分。企业网络安全入侵预警机制建设可以检测和分析网络传送数据的安全性,是否经过授权。入侵预警机制对企业网络进行安全扫描,对互联网和系统进行安全扫描,通过检测和分析网络风险源,确定入侵信息的危险性,并进行警告。企业网络安全入侵预警机制能提供详细的入侵警报信息,包括入侵风险源的ip地址,入侵时间,入侵的目的ip地址、目的端口。并根据入侵日志,分析入侵趋势。保护企业网络安全。企业网络病毒预警机制,是对所有访问数据进行连续扫描和检测,保存全时间段的访问进出网络文件信息,根据分析发现风险,产生病毒告警。企业网络病毒预警机制可以对入侵的ip地址进行短时间迅速定位,确认端口,最终病毒发生源,建立病毒扫描日志,记录病毒活动信息。
(3)加强企业网络入侵防范管理
实行企业内外网隔离,通过物理隔离层设置,隔离企业内部办公与外部互联网连接。设置路由器,屏蔽企业内部储存重要数据资源的计算机ip地址,使攻击失去目标,的实现企业网络第一层隔离;设置企业网络防火墙,通过防火墙的认证机制,对访问网络数据进行过滤,设置访问权限,控制外部访问行为,并对外部访问活动进行记录,对具体攻击性的网络访问行为进行告警。
企业信息安全意识篇7
【关键词】信息安全架构;企业战略;信息安全服务;信息安全价值;一致性;可追溯性
【文献标识码】a【中图分类号】tp393.08
1引言
信息安全技术和管理经过不断的发展和改善,已经能够比较有效地解决一些传统信息安全问题,如信息安全风险管理、访问控制,脆弱性管理、加密解密和灾难恢复等。随着信息越来越成为组织的核心资产,保护信息的安全已不再只是局限于技术和日常管理层面的讨论,信息的安全越来越关系到组织自身发展的安全。一次重大的信息泄露事故就能使企业的市值一落千丈。同时,一套合理的访问控制解决方案能够帮助企业快速推出核心产品(尤其是电子商务)和兼并其他企业。当前信息安全发展呈现出新的趋势和要求:(1)信息安全部门逐渐从成本中心转向价值中心,信息安全的各项活动越来越和企业战略紧密相连;(2)企业内部其他部门越来越多的要求信息安全部门提供清晰、可测量的服务来支持业务的运行。
企业的信息安全部门在不断增强其核心影响力的同时,也承担着随之而来的更多责任和挑战。其一是如何将企业战略转化为信息安全计划,将信息安全融入到组织的业务流程中,并且保持信息安全控制措施与企业战略的一致性和可追溯性;其二是如何使信息安全的价值得到认可并在组织内部最大化;其三是如何满足企业内部各部门有计划或无计划的信息安全服务需求;其四是如何确保以一种系统主动和集中统一的方式来管理业务和遵从性需求,并实现清晰的测量和不断的改进。
当前各企业广泛采用的标准或最佳实践有几种:iSo27001:2005,CoBit4.1,niStSp800或pCiDSSv2.0等。这些标准各有优点,但也有明显的缺憾,如表1所示(缺憾部分用X表示)。
设计本信息安全架构旨在解决上述问题并建立一种高效机制达到如下目标。
*将企业战略转化为信息安全计划,确保信息安全的可追溯性、持续一致性和简洁性,以降低成本、减少重复和提高效率。将信息安全融入到组织的业务流程中,建立一致性和可追溯性;建立清晰的信息安全架构和愿景,以减少重复和指导信息安全投入和解决方案的实施。
*基于客户服务理念,信息安全服务价值得到认可,信息安全靠拢业务部门,为信息安全管理和业务管理建立共同语言。
*全面管理信息安全,满足目前绝大多数法律法规、标准的最佳实际的要求,并具有灵活的可扩展性,当新需求出现后能够将其平滑的融入到现有架构中。
*系统和集中统一的方式,使信息安全管理可预测和可测量,并不断的改进。
2信息安全架构设计
2.1信息安全架构设计所基于的原则
本信息安全架构的设计遵循四大原则。
1)业务驱动:所有的信息安全目标应该从业务需求中来,从而保证信息安全管理总是做“正确的事”。
2)整合、统一的架构:现在有数以十计的信息安全相关的法律法规,标准和最佳实践需要去符合或参考,且其各有不同的要求侧重点和优缺点。因此很有必要将所有相关的信息安全关注点整合到一个统一的架构中,以保证所有要求都被满足,同时避免不要的重复。例如,iSo27001关注全面安全控制和风险管理,pCiDSS侧重支付卡环境中技术控制和策略管理等。
3)系统化思维:运用系统化思维可以帮助组织解决复杂且动态的问题,适应运营中的各种变化,减轻战略上的不确定性和外部因素的影响。例如,需要整合机构、人员、技术和流程;需要考虑安全、成本和易用性的权衡;需要靠持续改进(plan-Do-Check-act);需要考虑全面防护和纵深防护。
4)易用性:信息安全架构的最大价值在于被理解和广泛应用于组织的实践当中。因此,信息安全架构必须易于理解并且实际可操作性要强,应避免太过复杂和晦涩。
2.2信息安全架构实现
2.2.1信息安全架构-域试图
基于上面的基本原则,本信息安全架构由三个域组成(如图1所示):治理(Governance)、保障(assurance)和服务(Services)。
治理(Governance):信息安全治理域强调战略一致性,风险管理,资源管理和有效性测量。治理域又包括三个子域:愿景与战略、风险与遵从性管理和测量。各子域主要功能如下所述。
*愿景与战略:将遵从性要求,信息安全的发展趋势,行业发展趋势和业务战略转化为信息安全愿景、战略和路线图。
*风险与遵从性管理:管理信息安全风险使信息安全风险控制在组织可接受的范围内。
*测量:监控和测量整体信息安全的有效性并持续提升信息安全对组织的价值。
保障:保障域侧重于信息安全的全面与纵深防护措施。保障域包含预防、监测、响应和恢复四个部分。各部分主要功能如下所述。同时保护的对象为不同层面的信息资产:数据层、应用层、it基础设施层和物理层。
*预防:实施信息安全控制措施包括管理措施和技术措施,防止信息安全威胁损害组织的信息安全控态。
*监测:部署信息安全监测能力监控正在发生或已经发生的信息安全事态。
*响应:部署信息安全响应体系迅速、高效的抑制信息安全事件。
*恢复:建立组织的可持续性能力,但重要信息系统不可用时,可以在计划的时间内恢复。
服务:服务域显示了面向客户(内部和外部),协作与知识更新对信息安全实践非常重要。服务域包含三个部分:信息安全服务、知识管理、意识与文化。各部分主要功能如下所述。
*信息安全服务:信息安全团队应对待组织内部其他部门和对外部客户一样,基于服务基本协议,提供高质量的信息安全服务。
*知识管理:知识是信息安全实践和服务的基石。信息安全知识管理包括获取、维护和利用知识去获取最大的信息安全专业价值。信息安全知识应不仅在信息安全团队内部而且在整个组织被共享。
*意识与文化:信息安全意识与文化在组织内部建立一个整体的信息安全氛围。一个好的信息安全意识与文化意味着每个人都每个人都了解信息安全,关心信息安全、在日常工作中关注信息安全。信息安全意识与文化对提升组织整体信息安全成熟度和降低信息安全风险至关重要。
2.2.2信息安全架构-组件试图
为支撑信息安全架构的三个域,本信息安全架构组件融合了不同标准和最佳实践的精华部分,并自成一体,如图2所示。本架构参考的标准主要有如下一些:iSo27001:2005、pCiDSSv2.0、CoBit4.1、CoBit5.0、itiLv3以及niStSp-800系列等。
3信息安全架构在企业内实际应用效果分析
本信息安全架构已被推广和应用到各个行业中,如保险业、银行业、教育和非盈利性机构等。本文选取一个保险企业的案例来说明本信息安全架构给企业带来的积极变化。
背景:此保险公司有3000名员工,计划在加拿大多伦多(toronto)上市,因此需要符合加拿大和行业的一些法律法规的要求,如Bill198、pipeDa、pCiDSS等。同时公司高层决定借鉴信息安全管理的最佳实践标准,如iSo27002、niStSp800、CoBit、itiL、FFieC和toGaF等。因本信息安全架构的特点就是融合各法规、标准和最佳实践的要求,因此不需要做任何大的改动的情况下(降低成本)就能应用到此保险公司中。
经过9个月的实际运行,公司进行了各项测量指标重新评估并与实施本信息安全架构前的指标进行了对比分析。
3.1平衡计分卡(BalancedScorecard)[10]测评分析
平衡计分卡是衡量信息安全对企业贡献价值的一种分析工具。平衡计分卡包括四个测量项目:对企业的贡献,对愿景的规划,内部流程的成熟度和面向客户。该保险公司在实施本信息安全架构前后分别进行了两次测评。测评方法是由公司高级管理人员和各部门经理对信息安全部门进行评估,0级表示无成绩,5级表示完美,然后取平均值。2011年7月评估结果显示“企业贡献”为2.2,“愿景规划”为2.5,“内部流程”为2.8,“面向客户”为2.1;2012年7月评估结果显示“企业贡献”为4.1,“愿景规划”为3.9,“内部流程”为3.8,“面向客户”为4.1。如图3所示。测评结果表明实施本信息安全架构后企业高层及各部门对信息安全给企业带来的价值的认可度有较为明显提升。
3.2总体信息安全成熟度级别分析
本文采取的信息安全总体成熟度的评价是基于iSo27002的控制域和Cmmi[11]的评估级别。0级是最低级,5级是最高级。该保险公司在实施本信息安全架构前后分别进行了两次自评估。2011年10月实施本信息安全架构前成熟度水平是介于2.0-3.0之间,2012年10月实施本信息安全架构后成熟度水平是介于3.0-4.5之间,如图4所示。成熟度级别分析结果表明实施本信息安全架构后整体成熟度有较为明显提升。
3.3独立审核发现点数量分析
第三方机构独立审核是从专业、客观的角度来衡量整体信息安全控制措施,包括管理、技术和流程。审核发现点的数量越多,表明脆弱点越多,存在的风险越大。该保险公司在实施本信息安全架构前后分别邀请用一个第三方审核机构对其进行了全面审核与评估(依据上市公司的管控要求)。2011年9月审核结果显示有4个高风险项,8个中风险项和13个第风险项;2012年9月审核结果显示无高风险项,且只有2个中风险项和4个第风险项。如图5所示。审核结果表明实施本信息安全架构后整体风险水平有较为明显降低。
3.4信息安全事件发生数量分析
信息安全事件(特别是1级与2级事件)发生的数量标志着信息安全控制措施的全面性和有效性。信息安全事件数量越少,表明整体控制措施越有效。该保险公司统计了实施本信息安全架构前后发生的信息安全事件数量。2011年1月-10月期间有4个一级安全事件(重大),12个二级安全事件(严重),25个三级安全事件和40个四级安全事件;2012年1月-10月期间有1个一级安全事件(重大),2个二级安全事件(严重),10个三级安全事件和16个四级安全事件。如图6所示。信息安全事件数量分析结果表明实施本信息安全架构后安全控制措施的全面性和有效性有较为明显增强。
3.5鱼叉式网络钓鱼模拟攻击测试结果分析
模拟钓鱼攻击测试是对企业员工整体信息安全意识水平一种比较客观的考核方式。收到攻击(点击链接)的人数越少,表明整体信息安全水平越高。该保险公司采用threatSim的模拟攻击测试平台,在实施本信息安全架构前后分别选取了5个分支机构(共200人)进行了模拟攻击测试。测试的主要方法是注册一个与该保险公司类似的网络域名,然后伪造一份看似从信息安全管理员发出的e-mail,此e-mail的大致内容是说该保险公司于近期对相关系统进行了升级,将会影响到原有的帐户和密码,要求终端用户尽快修改密码。此e-mail包含一个链接到修改密码的伪网页。
2011年5月测试结果显示有47%的员工点击了有害链接,点击有害链接的员工中有18%的人输入了密码,点击有害链接的员工中有68%的人完成了在线培训内容;2012年5月测试结果显示有14%的员工点击了有害链接,点击有害链接的员工中有3%的人输入了密码,点击有害链接的员工中有98%的人完成了在线培训内容。如图7所示。模拟攻击测试分析结果表明实施本信息安全架构后该保险公司员工整体信息安全意识水平有较为明显进步。
3.6信息安全服务客户满意度调查结果分析
客户满意度调查是从被服务客户的角度来衡量信息安全团队的服务能力,以及给公司带来的实际价值。满意度百分比值越高,表明信息安全团队的能力和服务价值越被认可。该保险公司在实施本信息安全架构前后分别对精算部、个人保险部、商业保险部、索偿部、渠道与销售部做了信息安全服务满意度调查。
2011年8月调查结果显示对服务专业质量的满意度为72%,对服务请求响应速度的满意度为46%,对服务态度的满意度为67%,整体满意度为60%;2012年8月调查结果显示对服务专业质量的满意度为95%,对服务请求响应速度的满意度为85%,对服务态度的满意度为92%,整体满意度为88%;如图7所示。客户满意度分析结果表明实施本信息安全架构后企业各部门对信息安全服务价值的认可度有较为明显提升。
4结束语
现阶段信息安全管理着重在信息安全的风险控制,随着信息安全管理角色的转变,信息安全需要跟多的与组织战略结合,为组织创造更多的价值,并通过提供信息安全服务使组织内部各部门享受到信息安全给组织带来的价值并认可这些价值。当前被广泛采用的一些标准和最佳实践有其优点,但同时无法满足一些新的挑战。目前缺乏一种高效可执行的信息安全架构来将企业战略转化为信息安全计划、基于客户服务理念使信息安全服务价值最大化以及全面系统化管理信息安全。本文针对上述问题提出的一种面向企业战略和服务的信息安全架构。通过将本信息安全架构应用到实际的企业中,验证了本信息安全架构能够为企业提供更多的价值、增强客户满意度、提升整体安全成熟度和员工信息安全意识水平。
参考文献
[1]internationalorganizationforStandardization,internationalelectrotechnicalCommission.iSo/ieC27001:2005informationtechnology-Securitytechniques-informationSecuritymanagementSystems-Requirements.Switzerland:iSocopyrightoffice,2005.
[2]itGovernanceinstitute.Controlobjectivesforinformationandrelatedtechnology4.1,USa:itGovernanceinstitute,2007.
[3]nationalinstituteofStandardsandtechnology,U.S.DepartmentofCommerce.niStSpecialpublication800series.
[4]pCiSecurityStandardsCouncilLLC.pCiDSSRequirementsandSecurityassessmentprocedures,Version2.0.2010.
[5]nationalSecurityagencyinformationassurance.
[6]SolutionstechnicalDirectors.informationassurancetechnicalFramework(iatF)version3.0.2010.
[7]itGovernanceinstitute.Controlobjectivesforinformationandrelatedtechnology5.0,USa:itGovernanceinstitute,2012.
[8]Sharontaylor,majidiqbal,michaelnieves,等.informationtechnologyinfrastructureLibrary,england:officeofGovernmentCommerce,itiLpressoffice,2007.
[9]FederalFinancialinstitutionsexaminationCouncil.itexaminationHandbook,informationsecurityBooklet.USa:FFieC,2006
[10]theopenGroup'sarchitectureForum.theopenGrouparchitectureFrameworkversion9.1,2012.
[11]HowardRohm.UsingtheBalancedScorecardtoalignYourorganization.BalancedScorecardinstitute,aStrategymanagementGroupcompany,2008.
[12]Softwareengineeringinstitute,CarnegiemellonUniversity.Capabilitymaturitymodelintegration(Cmmi)Version1.3.USa:CarnegiemellonUniversity,2010.
[13]StRatUmSeCURitY.proactivephishingDefense.2012.
作者简介:
企业信息安全意识篇8
关键词:信息安全;管理体系;pKi/Ca;mpLSVpn;基线
在供电企业现代信息技术广泛运用生产经营、综合管理之中,实现资源和信息共享,为领导提供相关辅助决策。保障企业信息安全是企业领导层、专业人员及企业全员共同面对的。信息安全是集管理、人员、设备、技术为一体系统工程,木桶原理可以很好地诠释信息安全,一个企业安全不取决于最强项,而取决最短板。信息安全需从制度建设、体系架构、一体化防控体系、人员意识、专业人员技术水平等多方面共同建设,才能有效提高企业信息安全,才能为企业生产、经营保驾护航。
1基层供电信息安全现状
基层供电企业信息安全建设方面,在制度建设、安全分区、网络架构、一体化防护、人员意识、专业人员技术水平等多方面存在不同程度问题。
1.1管理制度不健全,制度多重化
信息安全制度建设方面较为被动,大多数都是现实之中出现某一问题,然后一个相关制度,制度修修补补。同一类问题有时出现不同管理规定里,处理办法不一,甚至发生冲突。原有信息安全管理制度宽泛,操作性较差。信息系统建设渠道不同,未提前进行信息安全方面考虑,管理职责不明,导致部分信息安全工作开始不顺畅。
1.2安全区域划分不明,网络架构不清晰
基层供电企业系统建设主要由上级推广系统和自建系统,系统建设时候相当部分系统未充分考虑系统,特别是业务部门自建系统更甚。网络建设需要什么就连接什么,存在服务器、终端、外联区域不明显,网络架构不清晰。
1.3未建立一体化安全防护体系
从近些年已经发生的各类信息安全事件来看,内部客户端问题造成超过将近70%。内部终端用户网络行为控制不足,存在网络带宽滥用;终端接入没有相应准入控制,不满足网络安全需求用户接入办公网络,网络环境安全构成极大风险;内部人员对核心服务器和网络设备未建立统一内部控制机制;移动介质未实施注册制管理等问题。
1.4未建立行之有效设备基线标准
网络安全设备、操作系统、数据库、中间件、应用系统等厂家为了某种方便需求,在设备和系统中常常保留有默认缺省安全配置项,这些恰恰是别人利用漏洞。基层供电企业在部署设备和系统时,没有统一基线标准,没有对设备和系统进行相应基线加固,企业存在潜在风险。1.5信息安全意识较差,技术水平参差不齐企业信息安全认识存在认识上误区,常常认为我们有较强信息安全保护设备,外部不易攻破内部,事实上堡垒常常是从内部攻破的。比如企业员工弱口令、甚至空口令、共用相同密码、木马、病毒、企业机密泄露等,这恰恰是基层供电企业全员信息安全意识较为薄弱表现。专业技术人员缺乏必要自我学习和知识主动更新,未取得专门信息安全专业人员资质,处理问题能力表现参差不齐。
2必要性
信息安全为国家安全重要组成部门,电力企业信息安全为国家信息安全的重要元素,电网安全事关国计民生。2014年2月,国家成立中央网络安全和信息化领导小组,将网络信息安全提升前所未有高度。近年发生的“棱镜门”事件,前几年发生伊朗核电站“震网”病毒(Stuxnet病毒)网络攻击,其中一个关键问题就是利用移动介质摆渡来进行攻击,造成设备瘫痪,这一系列信息安全事件都事关国家安全,因此人人都要有信息安全意识。首先要防止企业机密数据(财务、人资、投资、客户等)泄漏;其次,保持数据真实性和完整性,错误的或被篡改的不当信息可能会导致错误的决策或商业机会甚至信誉的丧失;最后,信息的可用性,防止由于人员、流程和技术服务的中断而影响业务的正常运作,业务赖以生存的关键系统如失效,不能得到及时有效恢复,会造成重大损失。建立严格的访问控制,前面数据分级时有制定数据的“所有者”及给敏感数据进行分级,按照分级的要求制定严格的访问控制策略,基本的思想是最小特权原则和权限分离原则。最少特权是给定使用者最低的只需完成其工作任务的权限;权限分离原则是将不同的工作职能分开,只给相关职能有必要让其知道的内容访问权限。通过对内部网络行为的监控可以规范内部的上网行为,提高工作效率,保护企业有限网络资源应用于主要生产经营上来。
3特点探析
通过我们对基层供电企业在信息安全存在问题及必要性来看,主要是管理制度、网络信息安全技术、人员意识等方面存在问题,有以下特点。
3.1管理制度方面
常说信息安全“三方技术、七分管理”,制度建设对信息安全保障至关重要。信息安全管理制度应该有上级主管部门建立一套统一管理制度,基层供电企业遵照执行,可以根据各单位具体情况进一步细化,让管理制度落地。从企业总体信息安全方针到具体专业制度管理上,实现全网一体化,规范化。
3.2网络信息安全技术方面
上级专业主管部门,站在企业高度,制定专业技术标准和技术细则。从网络安全分区、网络技术架构、互联网接入和访问方式、终端安全管理、网络准入控制等方面统一规划,分布实施,最终实现企业网络信息安全防控一体化。
3.3信息安全意识培养方面
企业员工信息安全意识培养是个长期的过程,不是通过一次两次培训就能解决的,采取形式多样化方式来培养员工安全意识,可以通过集中培训讲课、视频宣传、张贴宣传画等方式进行。针对专业人员,要让他们养成按照制度办事习惯,用户需要申请某项资源,严格按照制度执行,填写相应资源申请,有时候领导打招呼也要按照制度流程来执行。长此以往,人人都会知道自己该做什么,不该做什么,该怎么做,企业信息安全意识就会得到极大提高。
3.4专业技术人员水平方面
信息安全技术日新月异,不学习就落后,不断收集信息安全方面信息,共同讨论相关话题,建立相应培训机制,专业人员实行持证上岗,提升专业人员实际解决问题能力,有效提高人员专业素养,成为企业信息安全方面专家。
4实施和开展
从2009年开始,先后进行一系列信息安全建设,涉及到信息安全制度建设、网络信息安全体系架构、信息安全保障服务、人员培训等方面,整体提高基层供电企业信息安全状况。
4.1信息安全制度建设
2010年开始信息安全体系iSo27001、27002建设,结合企业情况,形成30个信息安全相关文件,涵盖企业信息安全方针、等级保护、人员管理、机房管理、网络信息系统运行维护管理、终端安全、病毒防护、介质管理、数据管理、日志管理、教育培训等诸多方面。2013年为进一步提示公司信息化管理水平,先后增加修改建设管理、实用化管理、项目管理、信息安全管理、运维管理、综合管理5个方面14个管理细则。经过这一系列制度建设,基层供电企业有章可循,全网信息安全依据统一,明确短板情况。
4.2建设一体化网络与信息安全防控
首先依据电监会5号文件要求,网络架构按照三层四区原则进行部署建设,生产实时控制大区(Ⅰ、Ⅱ区)与信息管理大区(Ⅲ、Ⅳ区)之间采用国家强制认证单向数据隔离装置进行强制隔离,网络架构采用核心、汇聚、接入部署。网络接入按照功能划分服务器区、网管区、核心交换区、用户办公区、外联区、互联网接入区,在综合数据网上,利用mpLSVpn,根据划分不同Vpn业务、隔离相互间数据交叉。建立全网pKi/Ca系统,构建企业员工在企业数字身份认证系统,已建成系统进行未采用pKi登陆系统,进行相应改造结合pKi/Ca系统,采用pKi登陆,在建系统用户登陆必须集成pKi登陆。根据企业信息安全要求,进行互联网统一出口,部署统一互联网防控设备,建立统一上网行为管理策略,规范员工上网行为,合理使用有限互联网资源,审计员工上网日志,以备不时之需。建立企业统一病毒防护系统,实现病毒软件统一安装,病毒库自动更新,防护策略统一下发,定期统计病毒分布情况,同时作为终端接入内网必备选项,对终端病毒态势比较严重用户进行督促整改,有效防止病毒在企业内部蔓延,进一步进化内网环境。建立统一网络边界安全防护,在企业内网边界合理部署防火墙、ipS、Utm,并将其产生日志发送到统一安全管理平台,进行日志管理分析,展现企业内部信息安全态势,预警企业内部信息安全存在问题。利用aD域或pKi/Ca进行用户身份认证,建设统一桌面管理,所有内网用户必须满足最基本防病毒、安全助手、it监控要求方可接入内网,系统启用强制安全策略,终端采用采用DHCp,用户不能自动修改ip地址,在DHCp服务器上实现ip与maC地址及人员绑定,杜绝用户私自更换ip地址引起冲突。安全认证方面可以采用naCC或交换机802.1x方式进行,不满足要求用户,自动重定向到指定网站进行安全合规性检查,满足要求后自动接入内网,强制所有用户采用统一网络安全准入规则。实行移动介质注册制,极大提高终端安全性,有效保护企业信息资产。建立内部运维控制机制,实现4a统一安全管理,认证、账号、授权、审计集中管控。规划统一服务器、网络设备资源池,按照用户需求,提交相应申请材料,授权访问特定设备和资源,并对用户访问行为全程记录审计。
5结语
企业信息安全意识篇9
企业经营信息对于企业来说是一种资源,对于企业自身来说具有重要意义,企业需要妥善管理自身企业的信息。近年来,企业的各项经营活动都逐渐开始通过计算机,网络开展,因此,企业的信息安全管理对于企业越来越重要。许多企业开始通过各种技术手段以及制度改革,把更多的注意力放在企业内部的信息安全管理工作,同时将企业信息安全管理与风险控制结合起来,这是一个正确的选择,能够帮助企业实现稳定经营。在介绍企业信息安全管理以及风险控制前必须厘清企业信息安全管理的概念与企业风险控制定义,因此,本节将着重介绍企业信息安全管理的概念以及企业风险控制的定义。企业的信息安全管理包含十分丰富的内容,简单来说是指企业通过各种手段来保护企业硬件和软件,保护网络存储中的各种数据不受偶然因素的破坏或者恶意的原因被攻击。对于信息安全的认定通过包括4个指标,即保证信息数据的完整,保证信息数据不被泄露,保证信息数据能够正常使用,保证信息数据能够控制管理。要想做好企业的信息安全管理,首先需要了解的是关于信息的传输方式。随着信息技术的不断普及,信息传递的方式越来越多,常见的信息传递方式主要有互联网传播,局域网传播,硬件传播等等。要想实现企业的信息安全管理,其中很重要的一项工作在于保护信源、信号以及信息。
信息安全管理是一项需要综合学科知识基础的工作,从事企业信息安全管理工作的人员通过需要具有网络安全技术、计算机技术、密码技术、通信技术。从企业的信息安全管理来讲,最为关键的一项工作时保护企业内部经营信息数据的完整。经过近十年来的企业信息安全管理工作经验总结,企业信息安全不仅仅需要信息技术的支持,更需要通过建立完善的企业风险控制体系来帮助企业实现更好地保护企业信息安全的目标。所以,怎样把企业信息安全管理与风险控制融合起来就是摆在企业经营管理者面前的一道难题。企业的信息安全风险控制必须通过企业建立完善的企业信息安全风险体系实现。
企业的信息安全风险控制是指企业在企业信息安全遭遇威胁之前,提前对企业的信息进行风险预估,并采取一系列的有针对性的活动降低企业面临的信息安全风险,从而尽可能减少因为企业本身信息安全管理中存在漏洞给企业带来不必要的损失。常见的企业信息安全风险体系建立主要包含以下几个方面的内容。第一,建立企业信息安全风险管理制度,明确企业信息安全管理的责任分配机制,明确企业各个部门对各自信息安全所应承担的责任,并建立相应的问责机制。第二,设置规范的企业信息安全风险管理指标,对企业存在的可能威胁企业信息安全管理的漏洞予以风险定级,方便企业管理者对不同的信息安全管理漏洞采取有区别的对策。第三,企业要加强对信息安全管理人员的培训,提高企业信息安全管理工作人员的风险意识,让企业内部从事信息安全管理工作人员认识到自身工作的重要性,让企业内部从事信息安全管理工作人员了解到规范自身行为,正确履行职责的重要性。第四,将企业信息安全管理与风险控制有效融合,重视企业信息安全管理工作,通过风险控制对企业内部信息安全的管理方式进行正确评估,找出现行的企业内部信息安全管理手段中存在容易忽视的地方。
二、企业信息安全管理与风险控制存在的不足
1.企业信息安全管理工作人员素质不高
对于企业来说,企业信息安全管理工作是一项极为重要而隐秘的工作,因此,必须增强对企业信息安全管理工作人员的素质要求。但是根据调查统计,目前很多企业对信息安全工作的管理仅仅停留在对企业信息安全管理工作人员的技术要求上,对企业信息安全管理工作人员的道德素养,职业素养,风险意识并没有严格要求。此外,绝大多数企业并没有意识开展对企业信息安全管理工作的道德素质的教育培训,并没有通过建立相关管理制度以及问责机制对企业信息安全管理工作人员实行监督,这无疑给别有用心或者立场不坚定的企业信息安全管理工作人员留下了危害企业信息安全的可乘之机。
2.企业信息安全管理技术不过关
企业信息安全管理工作涉及多许多技术,包括信息技术,计算机技术,密码技术,网络应用技术等等,应当说成熟的计算机应用技术是做好企业信息安全管理的基础,但是,现实是许多企业的信息安全管理技术并不过关,一方面企业的信息安全管理硬件并不过关,在物理层面对企业信息缺乏保护,另一方面,企业信息安全管理工作的专业技术没有及时更新,一些企业信息安全管理工作人员缺乏企业信息安全管理的实践经验,企业信息安全管理的知识也并没有及时更新,从而导致企业的信息安全管理理论严重滞后,这种技术的落后很容易让企业成为不法分子的攻击对象。近年来网络病毒的传播越来越猖狂,很多服务器、系统提示安全补丁的下载更新以及客户端的时常更新成为一个恼人的问题。作为一个行业中的大中型企业,企业内部设备数量比较多,尤其是客户端数量占了较大比重,仅仅靠少数几个管理员进行管理是难以承担如此大量的工作量。另外,企业信息安全管理系统不成熟也是一个重大的隐患。
3.企业信息安全管理制度不健全
企业信息安全管理制度不仅仅需要理论制度的完善,更加需要一系列配套监督机制保障企业信息安全管理的有效执行。通过调查分析,许多企业虽然建立了企业信息安全管理制度,但是通常情况下,这些制度只能流于形式,企业信息安全管理工作缺少有效的制约和监督,企业信息安全管理工作人员缺乏执行力。企业信息安全管理制度不健全,企业信息安全管理工作缺乏执行力常常体现在以下几个方面。第一,企业员工对于信息安全管理的认识严重不足,对企业信息安全管理工作不重视。企业内部计算机系统安全的计算机防病毒软件并没有及时更新,使用,甚至企业内部计算机的防病毒软件还被企业员工卸载了。部分企业员工认为自己的工作与企业信息安全管理不相关,认为做好企业信息安全管理工作仅仅是企业信息安全部门的事。第二,企业内部信息安全文秘站:管理制度并没有形成联动机制,企业信息安全管理工作仅仅由企业信息安全部门“一人包干”,企业信息安全反映的问题并没有得到积极的反馈,一些企业领导对企业信息安全现状所了解的少之又少。
三、企业信息安全管理常见的技术手段1.oSi安全体系结构
oSi概念化的安全体系结构是一个多层次的结构,它的设计初衷是面向客户的,提供给客户各种安全应用,安全应用必须依靠安全服务来实现,而安全服务又是由各种安全机制来保障的。所以,安全服务标志着一个安全系统的抗风险的能力,安全服务数量越多,系统就越安全。
2.p2DR模型
p2DR模型包含四个部分:响应、安全策略、检测、防护。安全策略是信息安全的重点,为安全管理提供管理途径和保障手段。因此,要想实施动态网络安全循环过程,必须制定一个企业的安全模式。在安全策略的指导下实施所有的检测、防护、响应,防护通常是通过采用一些传统的静态安全技术或者方法来突破的,比如有防火墙、访问控制、加密、认证等方法,检测是动态响应的判断依据,同时也是有力落实安全策略的实施工具,通过监视来自网络的入侵行为,可以检测出骚扰行为或错误程序导致的网络不安全因素;经过不断地监测网络和系统来发现新的隐患和弱点。在安全系统中,应急响应占有重要的地位,它是解决危险潜在性的最有效的办法。
3.Htp模型
Htp最为强调企业信息安全管理工作人员在整个系统中的价值。企业信息安全工作人员企业信息安全最为关键的参与者,企业信息安全工作人员直接主导企业信息安全管理工作,企业信息安全工作人员不仅仅是企业信息安全的保障者,也是企业信息安全管理的威胁者。因此,Htp模型最为强调对企业信息安全管理工作人员的管理与监督。另外,Htp模式同样是建立在企业信心安全体系,信息安全技术防范的基础上,Htp模式采取了丰富的安全技术手段确保企业的信息安全。最后,Htp强调动态管理,动态监督,对于企业信息安全管理工作始终保持高强度的监督与管理,在实际工作中,通过Htp模型的应用,找出Htp模型中的漏洞并不断完善。
四、完善企业信息安全管理与降低风险的建议
1.建设企业信息安全管理系统
(1)充分调查和分析企业的安全系统,建立一个全面合理的系统模型,安全系统被划分成各个子系统,明确实施步骤和功能摸块,将企业常规管理工作和安全管理联动协议相融合,实现信息安全监控的有效性和高效性。
(2)成立一个中央数据库,整合分布式数据库里的数据,把企业的所有数据上传到中央数据库,实现企业数据信息的集中管理与有效运用。
(3)设计优良的人机界面,通过对企业数据信息进行有效的运用,为企业管理阶层人员、各级领导及时提供各种信息,为企业领导的正确决策提供数据支持,根本上提高信息数据的管理水平。
(4)简化企业内部的信息传输通道,对应用程序和数据库进行程序化设计,加强对提高企业内部信息处理的规范性和准确性。
2.设计企业信息安全管理风险体系
(1)确定信息安全风险评估的目标
在企业信息安全管理风险体系的设计过程中,首要工作是设计企业信息安全风险评估的目标,只有明确了企业信息安全管理的目标,明确了企业信息安全管理的要求和工作能容,才能建立相关围绕信息安全风险控制为目标的信息安全管理工作制度,才能顺利通过对风险控制的结果的定量考核,检测企业信息安全管理的风险,定性定量地企业信息安全管理工作进行分析,找准企业信息安全管理的工作办法。
(2)确定信息安全风险评估的范围
不同企业对于风险的承受能力是有区别的,因此,对于不同的企业的特殊性应该采取不同的风险控制办法,其中,不同企业对于能够承受的信息安全风范围有所不同,企业的信息安全风险承受范围需要根据企业的实际能力来制定。不仅如此,企业的信息安全风险评估范围也应当根据企业的实际经营情况变化采取有针对性的办法。
企业信息安全意识篇10
【关键词】企业局域网信息安全问题分析
企业的发展离不开科学的管理水平,现代化的管理方式离不开网络。网络提供给企业充分的可利用的资源,提高了各个部门之间的联系,为企业的推广提供了更广阔的平台,最终提高了企业的经济效益。但是网络业不是万能的,网络在提供给企业安全的同时,也存在着一些信息安全的隐患,如黑客、破坏性病毒、流氓软件等给企业的网络安全带来了威胁。如何保护企业的信息安全,提高局域网信息安全,是企业需要引起重视的问题。
1企业局域网信息安全风险
互联网的普及,局域网技术的应用已经成为企业信息传递的重要部分。通过调查,我国超过60%的企业及用户正处于网络安全“高风险”的程度,每年因网络安全而导致重要信息被盗,给企业带来了数百亿的经济损失。企业对局域网的安全问题一直存在着困扰,每年在网络安全上的投入也不断增加,但局域网信息不安全的因素仍然存在。
1.1外部环境不安全因素
局域网被破坏,容易导致企业整个网络的瘫痪。局域网最大的威胁来自于网络外部的不安全因素。企业的发展离不开竞争,有些恶意的竞争会主动攻击企业的网络,以盗取企业的关键信息,以满足自己的利益。另外,网络病毒和木马等对计算机和网络的破坏性越来越大,大部分企业的网络技术得不到更新,导致企业网络容易受到病毒和木马的攻击,导致企业多个程序被破坏,企业的发展秩序被破坏,影响经济发展等。
1.2内部操作不安全因素
局域网的不安全因素还包括对计算机的操作不当和设备故障等因素。企业中,大部分员工只会对自己熟练的部分进行操作,对计算机安全的意识不足,导致局域网络出现故障。有些企业的局域网设备得不到更新,操作系统存在缺陷,导致用户密码被盗,对企业的信息数据安全存在着很大的威胁。
2企业网络安全的措施
2.1建立网络安全防护系统
企业在建立局域网的同时,还应当完善企业的网络安全防护系统,以保护网络信息安全。首先,建设完善的主动防护入侵体系,这主要在网络与主机的链接方面,从源头做好信息安全工作。在局域网段中安装网络入侵器,以保护各网段的数据,如果发现有入侵就会发出提示切断网络服务链接,在主机处安装Ftp服务器,以对系统进行智能的保护。第二点,建立防火墙,在计算机的路由器上设置好包过滤防火墙,以屏蔽子网中的服务器,但也能让电子邮箱和信息服务器等顺利实施,将外部的网络访问限制在可赛性范围之内。防火墙的设置能够在计算机的硬件和软件方面进行检测,避免非法入侵,以保护网络信息资源。第三点,针对违法攻击网络的情况,设置入侵检测技术,检测非法入侵行为。接下来,设置安全审计技术和荣火容错技术,以检查局域网络中俄安全事件,并实施安全策略,以保护计算机的正常运行。最后,建立好网络行为检测系统,根据企业的发展需要,对网络加以相关设置,以保护网络信息安全。这项技术可以检测企业内部的重要文件的访问情况,并对其访问进行加密管理。这种技术也可以约束企业员工的操作行为,在正常上班期间禁止聊天,玩游戏等。
2.2提高网络安全防护意识
企业员工对计算机安全的意识不够,也导致了信息不安全。企业各部门的管理都利用了局域网,企业的各种信息通过网络传播获得。企业员工在对计算机操作时,要经常对自己的电脑进行杀毒和清理不需要的文件,以保护自己的计算机不被病毒侵害[3]。在整理信息时,需要对信息进行妥善安排,对重要的信息要加以保护。网络方便了信息的传递效率,但网络也具备一定的公开性,因此,在重要信息传递时,要注意传递信息的途径,不要在公众的聊天场合进行文件的传递。可以通过邮箱等采用专人转机获取信息,以保护网络下信息的安全性。企业还应组织员工针对网络安全方面的培训与指导,确定网络信息安全的责任制度,从而提高企业员工的网络安全意识。在使用电脑时,要养成正确的使用情况,不随便进如游戏网站,不乱下载与工作不相关的软件等。
2.3定期进行网络安全监测
在安全防护系统和企业防护意识的保护下,企业的信息安全也不能被忽视。在日常的网络保护中,需要定期对网络进行安全监测。制定出相应的规章制度能促进网络安全的顺利进行。企业的局域网应用中,需要对企业的安全技术加以更新,以保证局域网的顺利进行。为了避免局域网出现问题,企业应做好各部分相关的措施,在网络出现故障时,能够尽快修复好网络,保护网络信息不被破坏。同时,要经常更新网络操作系统,清理不必要的服务项目,以防止黑客和木马对计算机的破坏。在重要信息的保护环节,要实施“权利限制”企业重要的信息,只有相关人员才能获得,设置好网络配置,并进行多关卡的网络设限,如果遭到入侵,在最初的源头将会发出警报,系统自动生成保护措施,保护信息不被盗窃和破坏。
3结语
在企业发展中,局域网络信息安全的保护尤为关键。企业要做好最基本的防护工作,以保证企业工作的顺利进行。在日常的操作中,要养成良好的计算机网络安全意识,对重要的信息设置好密码,及时安装系统漏洞,按时清理不必要的文件等。企业的信息管理员要对及时更新防护信息,采取良好的措施来保护企业的信息,使网络能够正常运行,以促进企业的经济效益提高。