随着信息化的高速发展,为企业及社会带来了显而易见的效益:提高的工作效率、减少的纸张浪费、快捷方便的通讯等等。但信息化也是一柄双刃剑,尤其是在企业管理、商业保密等工作中,还存在着令人堪忧的隐患:
一是物理安全风险。物理安全风险包括计算机系统的设备、设施和信息面临因自然灾害、环境事故(如断电)、人为物理操作失误以及不法分子进行违法犯罪等风险。
随着信息化建设的不断深入,企业对网络信息系统的依赖性越来越强,几乎所有的工作内容以及数据都存储在网络中。然而由于网络具有开放性,因此企业的信息存在着极大的安全隐患问题。一旦信息被偷窃或泄露,将会给企业造成难以估量的损失。因此说,保证企业信息安全具有极其重要的意义,它直接关系着整个企业的生产和经营。然而在实际的工作中,企业信息化仍然存在着一些问题,直接影响着企业的信息安全。
如何有效地解决企业信息安全的专业性管理与技术性防范,笔者认为可从以下几个方面着手。
企业网与互联网的物理隔离、防火墙设置以及端口限制,与互联网相比安全性较高,但在日常运行管理中我们仍然面临网络链路维护、违规使用网络事件等问题,具体而言:
一是在IP资源管理方面,采用IPMAC捆绑的技术手段防止用户随意更改IP地址和随意更换交换机上的端口。这样,就不会出现IP地址被盗用而不能正常使用网络的情况;二是在网络流量监测方面,使用网络监测软件查看数据、视频、语音等各种应用的利用带宽,防止频繁进行大文件的传输,甚至发现病毒的转移及传播方向。三是加强服务器管理。常见应用服务器安装的操作系统多为Windows Server,可利用其自带的安全管理功能进行设置,包括服务器安全审核、组策略实施、服务器的备份策略以及系统补丁更新等。
摘要:随着互联网以及信息技术的进一步发展,各种信息的流通更加方便、快捷。然而不容忽视的是,迅速发展的信息技术也为企业信息安全带来了不利的影响。本文结合实际情况,第一部分分析了目前企业信息化存在的安全隐患,第二、三部分就如何保证企业信息安全提出自己的看法,以期能给相关人员提供有益的参考意见。
对大多数单位的网管来说,客户端的管理都是他们最头痛的问题。只有得力的措施才能解决这个问题,这里推荐以下方法:
(2)只给用户以普通域用户的身份登录到域,这样就可以限制他们在本地计算机上安装有安全隐患软件的权利。
第一,结合企业自身的实际,分析企业存在的问题以及预期的目标,制定具有科学性、合理性、实效性、可行性的信息安全管理制度,使保护信息安全工作做到有法可依,有章可循。第二,建立信息安全管理机构,明晰信息安全管理负责人的职务和责任,并建立相应的考核机制和激励机制,以督促、鼓励相关负责人的工作,提高信息管理工作质量。第三,真正贯彻管理措施,加强制度的执行力度,只有这样,才能从根本上实现管理工作以及工作目标,最终提高企业的信息安全管理水平。
其次信息管理部门要全面作好专业技术支持与防范工作,根据业务的需求采取适当的保护措施,实施专业应用系统。例如,保护企业信息安全的技术可以采用主动反击、网络入侵陷阱、密码、取证、防火墙、安全服务、防病毒、可信服务、PKI服务、身份识别、备份恢复、网络隔离等等保护产品以及保护技术,通过确保信息安全的最大化,来实现企业生产经营持续发展以及经济效益的最大化。此外,还可以在工作的过程中,进一步优化企业信息安全管理,并进行管理监控以及安全风险评估,分析入侵防范、服务器架构等等关键问题,以全面性、多角度的掌控,确保企业信息系统的安全性、稳定性,因为信息安全问题不具有静态性,信息管理始终处在一个不停变动的动态性过程,因此即使我们不可能确保信息的绝对安全,也必须做到相对安全,从而最大限度的降低企业风险。
信息安全不仅是技术问题,更主要是管理问题。任何技术措施只能起到增强信息安全防范能力的作用,俗话说“三分技术,七分管理”,只有良好的管理工作才能使保障技术措施得到充分发挥,是能否对信息网络实施有效信息安全保障的关键。现在中国石油股份有限公司内控体系中涉及信息内部控制的《信息系统总体控制办法》(以下简称“GCC”)就很好的涵盖了信息安全的各个方面,包括了机房管理、服务器管理、网络管理和系统管理等。因此在实际的工作中,我们可以通过“三步骤”来实现企业信息的安全管理制度的健全化、完善化。
此外还可以在工作的过程中进一步优化企业信息安全管理并进行管理监控以及安全风险评估分析入侵防范服务器架构等等关键问题以全面性多角度的掌控确保企业信息系统的安全性稳定性因为信息安全问题不具有静态性信息管理始终处在一个不停变动的动态性过程因此即使我们不可能确保信息的绝对安全也必须做到相对安全从而最大限度的降低企业风险
二是数据安全风险。数据安全风险包括竞争性业务的经营和管理数据泄漏,数据被人为恶意篡改或破坏等。
三是网络安全风险。网络安全风险包括病毒造成网络瘫痪与拥塞、内部或外部人为恶意破坏造成网络设备瘫痪、来自互联网黑客的入侵威胁等。
企业的信息安全问题,绝不仅仅是一个仅靠防火墙、密码等等技术就能解决的问题,它还与人们的职业道德、社会道德以及企业管理等问题密切相关。因此,在维护企业信息安全时,我们必须站在宏观的角度对问题进行考虑。在过去看来,一个企业信息的安全问题,是领导层或者IT单个部门的事情,但是凭少数人或部门的工作,对于保障公司的信息不被泄漏,防护信息存储不被破坏、攻击和偷盗是很难的事。笔者认为,意识指导行动,信息安全问题首先要解决的是员工的思想认识问题,只有企业的每一个人都认识到信息安全的重要性,才能在工作中自觉地维护信息安全。因为在任何一个体系中,人都是最活跃、最具有影响力和决定意义的因素,因此对于企业的信息安全问题而言,企业内部员工才是保护信息安全的最可靠、最有效的重大保障。此外,还可以加强引进信息安全技术人才以及信息安全管理人才,并在日常工作中,Biblioteka Baidu强对队伍专业知识以及工作技能的培训,从而为企业建设一支强有力的信息安全保卫队伍。