緒論:在尋找寫作靈感嗎����?愛發(fā)表網(wǎng)為您精選了8篇信息安全調(diào)查報告,愿這些內(nèi)容能夠啟迪您的思維��,激發(fā)您的創(chuàng)作熱情����,歡迎您的閱讀與分享�!
篇1
根據(jù)市人民政府辦公室《關(guān)于開展政府信息系統(tǒng)安全的檢查的通知》(天政電[2010]52號)文件精神。我鎮(zhèn)對本鎮(zhèn)信息系統(tǒng)安全情況進(jìn)行了自查����,現(xiàn)匯報如下:
一、自查情況
(一)安全制度落實情況
1���、成立了安全小組����。明確了信息安全的主管領(lǐng)導(dǎo)和具體負(fù)責(zé)管護(hù)人員,安全小組為管理機(jī)構(gòu)����。
2、建立了信息安全責(zé)任制����。按責(zé)任規(guī)定:保密小組對信息安全負(fù)首責(zé)����,主管領(lǐng)導(dǎo)負(fù)總責(zé)��,具體管理人負(fù)主責(zé)�。
3、制定了計算機(jī)及網(wǎng)絡(luò)的保密管理制度��。鎮(zhèn)網(wǎng)站的信息管護(hù)人員負(fù)責(zé)保密管理�����,密碼管理���,對計算機(jī)享有獨立使用權(quán)�,計算機(jī)的用戶名和開機(jī)密碼為其專有����,且規(guī)定嚴(yán)禁外泄。
(二)安全防范措施落實情況
1���、計算機(jī)經(jīng)過了保密技術(shù)檢查��,并安裝了防火墻�����。同時配置安裝了專業(yè)殺毒軟件�����,加強(qiáng)了在防篡改��、防病毒�、防攻擊��、防癱瘓�����、防泄密等方面有效性����。
2、計算機(jī)都設(shè)有開機(jī)密碼�,由專人保管負(fù)責(zé)。同時�����,計算機(jī)相互共享之間沒有嚴(yán)格的身份認(rèn)證和訪問控制。
3�����、網(wǎng)絡(luò)終端沒有違規(guī)上國際互聯(lián)網(wǎng)及其他的信息網(wǎng)的現(xiàn)象���,沒有安裝無線網(wǎng)絡(luò)等��。
4����、安裝了針對移動存儲設(shè)備的專業(yè)殺毒軟件���。
(三)應(yīng)急響應(yīng)機(jī)制建設(shè)情況
1���、制定了初步應(yīng)急預(yù)案,并隨著信息化程度的深入����,結(jié)合我鎮(zhèn)實際,處于不斷完善階段����。
2���、堅持和計算機(jī)系統(tǒng)定點維修單位聯(lián)系機(jī)關(guān)計算機(jī)維修事宜,并商定其給予鎮(zhèn)應(yīng)急技術(shù)以最大程度的支持�����。
3��、嚴(yán)格文件的收發(fā)�,完善了清點��、修理�����、編號���、簽收制度��,并要求信息管理員每天下班前進(jìn)行系統(tǒng)備份���。
(四)信息技術(shù)產(chǎn)品和服務(wù)國產(chǎn)化情況
1�����、終端計算機(jī)的保密系統(tǒng)和防火墻�����、殺毒軟件等��,皆為國產(chǎn)產(chǎn)品�。
2����、公文處理軟件具體使用金山軟件的wps系統(tǒng)。
3��、工資系統(tǒng)��、年報系統(tǒng)等皆為市政府���、市委統(tǒng)一指定產(chǎn)品系統(tǒng)�。
(五)安全教育培訓(xùn)情況
1�����、派專人參加了市政府組織的網(wǎng)絡(luò)系統(tǒng)安全知識培訓(xùn),并專門負(fù)責(zé)我鎮(zhèn)的網(wǎng)絡(luò)安全管理和信息安全工作�。
2、安全小組組織了一次對基本的信息安全常識的學(xué)習(xí)活動���。
二�����、自查中發(fā)現(xiàn)的不足和整改意見
根據(jù)《通知》中的具體要求�����,在自查過程中我們也發(fā)現(xiàn)了一些不足��,同時結(jié)合我鎮(zhèn)實際���,今后要在以下幾個方面進(jìn)行整改����。
1、安全意識不夠���。要繼續(xù)加強(qiáng)對機(jī)關(guān)干部的安全意識教育�����,提高做好安全工作的主動性和自覺性�����。
2��、設(shè)備維護(hù)����、更新及時。要加大對線路�、系統(tǒng)等的及時維護(hù)和保養(yǎng),同時�,針對信息技術(shù)的飛快發(fā)展的特點,要加大更新力度�。
篇2
金融信息化是一個熱點話題,關(guān)系金融行業(yè)的穩(wěn)定性和發(fā)展�����。所謂金融信息化��,是構(gòu)建在由通信網(wǎng)絡(luò)、計算機(jī)���、信息資源和人力資源等四要素組成的國家信息基礎(chǔ)框架之上����,由具有統(tǒng)一技術(shù)標(biāo)準(zhǔn)�,能以不同速率傳送數(shù)據(jù)、語音��、圖形圖像���、視頻影像的綜合信息網(wǎng)絡(luò)��,將具備智能交換和增值服務(wù)的多種以計算機(jī)為主的金融信息系統(tǒng)互連在一起���,創(chuàng)造金融經(jīng)營、管理�、服務(wù)新模式的長期系統(tǒng)工程。
當(dāng)今世界經(jīng)濟(jì)全球化趨勢日益明顯�����,經(jīng)濟(jì)全球化����,首先是信息全球化,隨著人類社會進(jìn)入信息時代���,金融信息化進(jìn)程加快���,因特網(wǎng)在信息全球化中扮演著非常重要的角色。通信�����、計算機(jī)技術(shù)等高科技手段在銀行業(yè)廣泛運用�,外資銀行大舉進(jìn)入,網(wǎng)絡(luò)銀行迅速發(fā)展�,給人們帶來方便的同時,利用信息網(wǎng)絡(luò)技術(shù)犯罪也在迅速增長���。曾幾何時�����,銀行存折和信用卡明明在自己手里�����,銀行支票和印章明明鎖在保險柜里����,計算機(jī)操作密碼慎之又慎,賬戶上的存款卻不翼而飛�����。
安全是金融信息系統(tǒng)的生命��。在金融信息系統(tǒng)日益發(fā)展�����,信息越來越向上集中���,規(guī)模越來越大�,金融業(yè)對它的依賴性不斷增加的同時����,金融信息化系統(tǒng)安全的重要性也與日俱增。它關(guān)系到金融機(jī)構(gòu)的生存和經(jīng)營的成敗��,所以����,應(yīng)把金融信息化系統(tǒng)的安全視同資金的安全一樣作是金融機(jī)構(gòu)的生命。金融信息系統(tǒng)的安全不僅是金融行業(yè)本身的問題���,它與我國的經(jīng)濟(jì)安全��、社會安全和國家安全緊密相連�����,是保障金融業(yè)穩(wěn)定發(fā)展�����、增強(qiáng)競爭力和生存能力的重要組成部分����,金融信息系統(tǒng)的安全已成為我國金融信息化建設(shè)中具有戰(zhàn)略意義的關(guān)鍵問題��。
鑒于金融信息化安全的重要性��,對陽泉市農(nóng)村信用社信息化建設(shè)進(jìn)行了初步調(diào)查�����,發(fā)現(xiàn)存在以下幾方面的安全問題:
(1)內(nèi)網(wǎng)與外網(wǎng)沒有安全隔離。
目前���,我們的業(yè)務(wù)網(wǎng)絡(luò)與外網(wǎng)沒有完全隔離����,并未采取有效的安全措施�����、運行業(yè)務(wù)系統(tǒng)的計算機(jī)在沒有相應(yīng)安全措施的情況下與外網(wǎng)進(jìn)行連接��。
(2)一些拓展服務(wù)沒有相應(yīng)的安全保障措施����。
我們的一些拓展服務(wù),沒有相應(yīng)的安全措施��。如網(wǎng)上對賬系統(tǒng)���,服務(wù)器運行于外網(wǎng)環(huán)境中����,沒有相應(yīng)的安全措施���,那么可能造成客戶信息的泄密;對賬系統(tǒng)運行于HTTP協(xié)議下����,此協(xié)議不具備數(shù)據(jù)加密等要求����,同樣在數(shù)據(jù)傳輸中可能造成客戶信息的泄密。
(3)員工信息化安全意識淡薄�����。
員工對業(yè)務(wù)系統(tǒng)���、計算機(jī)密碼的設(shè)置��、保管��、更換沒有引起高度的重視����。很多人的密碼較簡單�,還有很多人的密碼為系統(tǒng)預(yù)設(shè)密碼。
(4)計算機(jī)外設(shè)的使用沒有安全保障措施��。
對于大多數(shù)的計算機(jī)外設(shè)的使用,我們沒有相應(yīng)的安全制度和措施�。外設(shè)的隨意使用,可能造成我們信息的泄密����,如:移動硬盤。
針對以上問題��,經(jīng)過分析研究�����,覺得以下幾方面的措施����,可以有力的保障信息安全:
(1) 內(nèi)網(wǎng)與外網(wǎng)進(jìn)行有效隔離。
針對內(nèi)網(wǎng)與外網(wǎng)有效隔離�,可以采取運行內(nèi)網(wǎng)業(yè)務(wù)計算機(jī)上安裝殺毒軟件、防火墻��,并及時更新病毒庫����、定時查殺;對計算機(jī)進(jìn)行定期掃描系統(tǒng)及應(yīng)用漏洞;避免安裝未知軟件,軟件均由內(nèi)網(wǎng)FTP服務(wù)器下載;外網(wǎng)出口架設(shè)硬件防火墻,并配置訪問控制列表�,防止計算機(jī)被攻擊、下馬���。
(2) 拓展業(yè)務(wù)采取安全保障措施�����。
對于拓展業(yè)務(wù)采取相應(yīng)的安全保障措施��。接入外網(wǎng)的服務(wù)器,安裝殺毒軟件��、防火墻��,并及時更新病毒庫����、定時查殺;進(jìn)行定期掃描系統(tǒng)及應(yīng)用漏洞;禁止安裝非業(yè)務(wù)相關(guān)軟件;外網(wǎng)出口架設(shè)硬件防火墻,并配置訪問控制列表���,除業(yè)務(wù)應(yīng)用外所有端口封閉;WEB應(yīng)用采用安全的傳輸模式�,如HTTPS���,制作訪問證書���,并對相應(yīng)客戶頒發(fā)相應(yīng)的訪問證書�,否則無法訪問到業(yè)務(wù)服務(wù)器����,并對證書進(jìn)行定期撤銷、更新;修改應(yīng)用及數(shù)據(jù)庫常用端口�、避免端口被掃描及攻擊;WEB應(yīng)用的用戶名密碼采取MD5方式加密,該加密方式為不可逆���,防止客戶用戶名與密碼被竊取;
(3)加強(qiáng)員工信息安全培訓(xùn)����。
分批�、分級對員工進(jìn)行信息安全培訓(xùn),加強(qiáng)員工對信息安全的重視程度���、培養(yǎng)信息安全方面的基礎(chǔ)知識���。
篇3
2016年11月29日,普華永道2017年全球信息安全狀況調(diào)查報告(以下簡稱“調(diào)查”)����。此次調(diào)查是2016年4月至6月由普華永道和CIO與CSO雜志聯(lián)合在互聯(lián)網(wǎng)上開展的全球范圍調(diào)查研究��。調(diào)研對象來自CIO和CSO雜志的讀者與普華永道的客戶群體���,涵蓋133個國家,其中超過10���,000份調(diào)研來自CEO(首席執(zhí)行官)����、CFO(首席財務(wù)官)����、CIO(首席信息官)��、CISO(首席信息安全官)�����、CSO(首席安全官)�����、VP(副總裁)以及IT與安全總監(jiān),48%的受訪企業(yè)年收益超過5億美元����。
調(diào)查顯示,在過去12個月中�,中國內(nèi)地及香港企業(yè)檢測到的信息安全事件平均數(shù)量高達(dá)2,577起��,是前次調(diào)查記錄的兩倍����,較2014年更是攀升969%。
同時�����,調(diào)查發(fā)現(xiàn)�,在過去一年中,全球各行業(yè)檢測到的信息安全事件平均數(shù)量有所下降����,為4,782起�,比2014年減少3%。
中國受訪企業(yè)在信息安全方面的投資預(yù)算比去年削減了7.6%��。值得注意的是,88%的中國受訪企業(yè)認(rèn)為����,他們在信息安全上的投入受到了數(shù)字化的影響,而投入的重點主要集中在那些與企業(yè)自身的商業(yè)戰(zhàn)略及安全監(jiān)管相匹配的網(wǎng)絡(luò)安全方面���。此外���,31.5%的中國受訪企業(yè)表示其有意在人工智能、機(jī)器學(xué)習(xí)等先進(jìn)安全技術(shù)領(lǐng)域進(jìn)行投資��。
對此����,普華永道中國網(wǎng)絡(luò)安全與隱私保護(hù)服務(wù)合伙人冼嘉樂認(rèn)為,“國內(nèi)一些有前瞻性的企業(yè)已經(jīng)在調(diào)整信息安全的投資方向�����,通過加大對先進(jìn)網(wǎng)絡(luò)信息安全技術(shù)的投入�,來明確并加強(qiáng)其獨有的商業(yè)價值���,為業(yè)務(wù)增長保駕護(hù)航����。”
根據(jù)調(diào)查反饋�����,針對信息安全事件的攻擊途徑��,49%的中國內(nèi)地及香港受訪者表示��,網(wǎng)絡(luò)釣魚欺詐是主要手段���,而商務(wù)郵件首先成為重災(zāi)區(qū)���。44%的中國受訪企業(yè)認(rèn)為,內(nèi)部原因是網(wǎng)絡(luò)安全的最大威脅��。同時��,商業(yè)競爭對手也是不可忽視的因素���。34%的中國受訪企業(yè)將攻擊歸因于競爭對手��,高于全球數(shù)值(23%)�����。
在商業(yè)機(jī)會和風(fēng)險不斷演變的大環(huán)境中�,如何加強(qiáng)物聯(lián)網(wǎng)中各個連接設(shè)備的網(wǎng)絡(luò)安全,如何利用云科技來部署企業(yè)敏感職能已成為企業(yè)探索的主要方向����。本期調(diào)查顯示,57%的中國內(nèi)地及香港受訪企業(yè)正在對物聯(lián)網(wǎng)安全策略進(jìn)行投資(全球為46%)�,并且已有約45%的IT系統(tǒng)是基于云技術(shù)運行的(全球為48%)。
與此同時����,根據(jù)調(diào)查反饋,75%的中國內(nèi)地及香港受訪企業(yè)在使用開源軟件(全球為53%)�����。受訪企業(yè)認(rèn)為安全管理服務(wù)和開源軟件能夠有效提升企業(yè)信息安全水平�。
冼嘉樂表示,企業(yè)在信息安全方面���,應(yīng)當(dāng)重視員工的信息安全意識培訓(xùn),同時做好企業(yè)數(shù)據(jù)的分類工作�����、對數(shù)據(jù)分類進(jìn)行風(fēng)險評估,并按照級別對信息采取相應(yīng)的保護(hù)措施��;采用科技數(shù)據(jù)保護(hù)方案是十分必要的���;企業(yè)應(yīng)該加強(qiáng)信息安全的管理�����,并提高對受訪者身份的識別能力��。
篇4
根據(jù)BSA|軟件聯(lián)盟的一項調(diào)查顯示���,全球范圍內(nèi),每7分鐘就有一家企業(yè)遭到惡意攻擊�。而根據(jù)普華永道的一項調(diào)查,2015年在中國內(nèi)地和香港企業(yè)監(jiān)測到的信息安全事件比2014年上升了5倍之多���。僅在2015年��,網(wǎng)絡(luò)攻擊給全球經(jīng)濟(jì)造成損失超過4000億美元�,同時�����,超過4910億美元用于解決與非授權(quán)軟件相關(guān)的惡意軟件問題;全球31%的高管表示他們的品牌或聲譽因為安全事件而受到損害����。而在這些觸目驚心的數(shù)字中,金融等關(guān)鍵行業(yè)更是重點攻擊和侵?jǐn)_目標(biāo)���。
軟件資產(chǎn)管理(SAM):超互聯(lián)時代信息安全的重要防線
超互聯(lián)環(huán)境下���,信息安全建設(shè)是一個巨大的系統(tǒng)工程,需要整體調(diào)研���、布局��、部署���、實施與維護(hù),步步為營���,方能將威脅與漏洞拒之于外��。而在這個巨大的系統(tǒng)工程中���,軟件資產(chǎn)管理(SAM)占據(jù)著極其重要地位。
但實際上�,不少企業(yè)并沒有高度重視這自我檢查和管理的過程,導(dǎo)致企業(yè)信息系統(tǒng)面臨病毒和網(wǎng)絡(luò)攻擊等各種安全隱患���。據(jù)BSA|軟件聯(lián)盟今年5月的一個軟件調(diào)查報告顯示����,在全球所有已經(jīng)安裝的軟件當(dāng)中�,39%的軟件沒有經(jīng)過授權(quán),而在金融��、證券����、保險等關(guān)鍵行業(yè)中,高達(dá)25%的軟件未經(jīng)過授權(quán)�����;全球49%的CIO意識到安全威脅來自于未經(jīng)許可的軟件��,但是僅35%的企業(yè)制定了相關(guān)的書面政策。
對于金融證券業(yè)來說��,如果不能合理有效的管理軟件資產(chǎn)����,不能確保網(wǎng)絡(luò)中運行的軟件100%合法或已經(jīng)得到充分授權(quán),無疑于是“引狼入室”般的行為――雖然金融證券業(yè)的正版軟件使用率一直領(lǐng)先于各行業(yè)�,但25%的缺漏仍是讓人觸目驚心:這25%的背后更代表著軟件資產(chǎn)管理的巨大缺失與不足。當(dāng)企業(yè)無法對與自身核心業(yè)務(wù)水融的軟件資產(chǎn)實現(xiàn)100%正版化時�����,這說明企業(yè)未能完全了解自身所面臨的各種安全風(fēng)險���,更未從軟件的采購�����、授權(quán)���、部署、維護(hù)到回收的全生命周期管理著手����,未雨綢繆,未能將這種風(fēng)險防范于未然。
如何筑就網(wǎng)絡(luò)安全的重要防線
一般來說��,僅需四步即可初步創(chuàng)建一個有效的軟件資產(chǎn)管理體系:
首先�����,需要對企業(yè)現(xiàn)有軟件資產(chǎn)進(jìn)行審計�,對所有的軟件及其合法性了然在胸����,并確認(rèn)這些軟件是否應(yīng)該安裝,所有用戶是否都擁有適當(dāng)許可����。
第二步即是確定企業(yè)需要什么樣的軟件資產(chǎn),這是對未來軟件資產(chǎn)布局的一個瞻望與部署����。在了解企業(yè)已擁有什么樣的軟件資產(chǎn)之后,需要預(yù)測未來的需求���,從這樣的執(zhí)行步驟中���,或能發(fā)現(xiàn)可能的成本節(jié)約途徑,并更好地利用軟件許可協(xié)議中的維護(hù)條款。
第三步是制定健全的軟件政策和管理流程�����,涵蓋企業(yè)的IT前沿與核心部分��,從采購流程開始����,管理軟件資產(chǎn)的全生命周期。
而最后一步則是讓軟件資產(chǎn)管理成為企業(yè)的一個工作流程�����,必須監(jiān)控并確保企業(yè)始終遵守自己的軟件政策��,并對員工開展持續(xù)的培訓(xùn)�。
篇5
針對網(wǎng)絡(luò)營銷中存在的一些問題,不僅要從技術(shù)手段上進(jìn)行防止��,更要從法律上面進(jìn)行建設(shè)�����。市場的健康有序的發(fā)展和運行需要一個良好的法制環(huán)境���。我國目前在網(wǎng)絡(luò)營銷和交易上的立法還較薄弱����,法律的不完善是制約我國網(wǎng)絡(luò)營銷的一大瓶頸。因此應(yīng)盡快完善立法��,建立有序的網(wǎng)絡(luò)市場���。
加強(qiáng)信息安全的立法����,制定相應(yīng)的法律�、法規(guī)打擊利用網(wǎng)絡(luò)技術(shù)手段收集��、竊取企業(yè)和個人信息��,并利用這些信息進(jìn)行非法牟利的行為����。完善經(jīng)濟(jì)合同法,保護(hù)企業(yè)和消費者的交易行為��,避免消費欺詐的發(fā)生���。加強(qiáng)知識產(chǎn)權(quán)保護(hù)的立法��,保護(hù)個人和企業(yè)的信息權(quán)益和無形的資產(chǎn)�����,規(guī)范網(wǎng)絡(luò)信息收集����、加工、行為�����,以消除網(wǎng)絡(luò)營銷中虛假�����、泛濫��、冗余的信息���。
(二)建立信息可靠性級別
針對網(wǎng)絡(luò)營銷中存在大量虛假和失效信息的現(xiàn)象�����,可以通過建立信息可靠性級別的認(rèn)定和審查的制度�。規(guī)范企業(yè)和個人信息的行為,用以增強(qiáng)消費者對網(wǎng)絡(luò)信息的信心��。對能夠真實�、有效信息的企業(yè)和個人進(jìn)行肯定,以提高企業(yè)信息和維護(hù)的質(zhì)量��。組織行業(yè)協(xié)會���,定期網(wǎng)上商家信息的可靠程度情況����,就好像酒店的星級評比����,有一個統(tǒng)一的標(biāo)準(zhǔn)���,這樣就在很大程度上�����,減少了消費者對不可靠信息的擔(dān)憂�。
同時建立虛假信息的舉報和監(jiān)督機(jī)制,依靠廣大網(wǎng)民的力量建立網(wǎng)絡(luò)信息秩序���。在從事網(wǎng)絡(luò)銷售的網(wǎng)站上通常商品評論���,商品評論給了消費者充分的話語權(quán),加強(qiáng)了消費者與企業(yè)之間的互動��,有助于用戶選擇商品���。CNNIC的調(diào)查表明目前超過一半的網(wǎng)購用戶表示買每種商品前都會看相關(guān)商品評論���,已有近8成的網(wǎng)購網(wǎng)民買大多數(shù)商品前都會看看商品評論。購物網(wǎng)站的商品評論管理良好與否會成為影響網(wǎng)民購物的重要因素��。目前已有部分購物網(wǎng)站非常重視商品評論���,采取了各種措施鼓勵網(wǎng)民發(fā)表商品評論�����?��?梢姴扇∪罕姳O(jiān)督的方式能夠有效規(guī)范企業(yè)的信息行為����,提高信息的可靠性��。
(三)提高產(chǎn)品和服務(wù)的信息化程度
網(wǎng)絡(luò)營銷的優(yōu)勢歸根到底是信息傳遞�、處理上的優(yōu)勢?����;ヂ?lián)網(wǎng)的虛擬性使得消費者在購買行為發(fā)生前無法像傳統(tǒng)的交易行為那樣對產(chǎn)品和服務(wù)以及提品和服務(wù)的企業(yè)和個人有一個完整的認(rèn)識�。因此企業(yè)在網(wǎng)絡(luò)營銷中應(yīng)盡可能運用各種技術(shù)手段增加產(chǎn)品和服務(wù)的信息量,從而增加消費者對產(chǎn)品及服務(wù)的認(rèn)識��,提高消費者對產(chǎn)品和服務(wù)的認(rèn)同度���,減少消費者對產(chǎn)品和服務(wù)的歧義�����,進(jìn)而提高消費者的滿意度。
(四)加強(qiáng)企業(yè)品牌建設(shè)
篇6
摘 要 企業(yè)信息化程度發(fā)展到一定水平����,從防火墻��、入侵檢測等安全硬件到文檔防泄密��、行為管理等安全軟件��,技術(shù)上都比較成熟且大部分企業(yè)都已實施部分安全項目���。但實施安全項目之后并不是高枕無憂,管理是否到位及企業(yè)員工安全意識成為企業(yè)信息安全的短板�����,如何從管理角度提高企業(yè)的信息安全水平�,已成為一個重要的課題。
關(guān)鍵詞 信息安全�;管理;意識
中圖分類號TP39 文獻(xiàn)標(biāo)識碼A 文章編號 1674-6708(2012)70-0171-02
從安全軟硬件出發(fā)���,大多安全實施廠家已有較成熟的方案��,一旦項目實施完成后�,企業(yè)往往容易忽略人員意識�、IT審計、后續(xù)管理等因素對信息安全的影響。本文就如何解決企業(yè)信息安全短板�����,從管理角度進(jìn)行探討�。
1 管理安全的含義和IT審計的特點
從大的方面來說,信息安全是指信息網(wǎng)絡(luò)的硬件����、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù),不受偶然的或者惡意的原因而遭到破壞�、更改、泄露�,系統(tǒng)連續(xù)可靠正常地運行,信息服務(wù)不中斷���。直接反映到企業(yè)來說�,就是要通過實施一整套適當(dāng)?shù)目刂拼胧崿F(xiàn)企業(yè)各業(yè)務(wù)系統(tǒng)正常運行�,確保安全目標(biāo)的實現(xiàn)。本文從管理角度探討企業(yè)的信息安全�,可以簡稱為管理安全,它是指建立并有效落實企業(yè)規(guī)章制度���、安全管理規(guī)定等,來保證系統(tǒng)安全生存與運行。
企業(yè)安全管理的規(guī)章制度是否運行有效直接關(guān)系到企業(yè)安全目標(biāo)能否保障�����,在此管理過程中需要引入IT審計�。IT審計重點內(nèi)容之一就是發(fā)現(xiàn)信息系統(tǒng)的潛在風(fēng)險,可以說企業(yè)信息中心對潛在的IT風(fēng)險是比較重視的����。IT審計相對技術(shù)而言,更多側(cè)重于管理���,比如在安全策略方面更側(cè)重于訪問授權(quán)的控制�����,以及定期核查是否按相關(guān)信息化制度辦事��,還有就是有無進(jìn)行過適當(dāng)?shù)臐B透去檢驗系統(tǒng)的可靠性等���。實施IT審計能夠提高企業(yè)信息系統(tǒng)的安全性,能夠客觀評價信息系統(tǒng)安全現(xiàn)狀���。
2 從管理角度看企業(yè)中存在的主要信息安全威脅
1)企業(yè)日常信息化管理中�,會碰到以下一些現(xiàn)象,如:明知計算機(jī)病毒無孔不入���,卻不安裝殺毒軟件����;個人認(rèn)證的物品(如員工門禁卡)隨意借用他人���;進(jìn)入門禁系統(tǒng)之后����,對他人尾隨不理不問�;移動存儲介質(zhì)外借他人,卻不知可能造成感染病毒或泄密��;打印服務(wù)器����、掃描服務(wù)器等公用電腦臨時存放許多信息卻不刪除。
從上述現(xiàn)象中可以得知���,企業(yè)員工信息安全意識淡薄會產(chǎn)生較多安全漏洞�����。據(jù)《2011年度中國企業(yè)員工信息安全意識調(diào)查報告》顯示��,30%的受訪者從來沒有接受過信息安全培訓(xùn)���,只有30%的企業(yè)會進(jìn)行定期的信息安全培訓(xùn)[1];
2)企業(yè)信息安全項目做的深度是與企業(yè)信息化發(fā)展水平相關(guān)的�,一般企業(yè)會根據(jù)本身的信息化水平發(fā)展程度分步驟進(jìn)行。企業(yè)初始階段會通過封USB端口���,不配置光驅(qū)等形式防止電子文檔傳播至外界?���,F(xiàn)階段已有部分企業(yè)關(guān)注電子文檔防泄密的軟件����,同時配以相應(yīng)的制度,從一定程度上能達(dá)到預(yù)期的效果�����。項目實施后往往會發(fā)現(xiàn)效果難以保持�����,因為企業(yè)缺少相關(guān)的信息安全審計人員,在審計工作不到位的情況下�����,安全軟件的審計功能無法體現(xiàn)其價值���;
3)企業(yè)通過安全軟件對電子文檔進(jìn)行管理�����,在實物管理方面缺乏措施�����。辦公室文印區(qū)域是企業(yè)信息泄密的源頭之一���,外單位人員進(jìn)入企業(yè)進(jìn)行交流時,通常會經(jīng)過辦公室文印區(qū)域��,員工打印文件后如不及時拿取��,容易將技術(shù)資料留在在打印機(jī)上����,給有心之人獲取��,容易造成泄密�����。計算機(jī)���、筆記本等辦公設(shè)備故障外移送修����,送修前未經(jīng)過審核批準(zhǔn),不對硬盤做處理�����,上述這些日常辦公現(xiàn)象存在著信息安全漏洞[2]�����。
3 信息安全短板的對策措施——強(qiáng)管理
盡管企業(yè)防火墻�����、防毒墻等安全硬件設(shè)施或安全軟件都較齊全�,但是采取恰當(dāng)?shù)墓芾泶胧┮材苡行У奶岣咝畔踩?���,最終有效地保護(hù)企業(yè)信息資產(chǎn)��。本文總結(jié)了以下幾種管理方法并加以說明�。
1)提高員工安全意識,關(guān)鍵是做好培訓(xùn)���。一方面企業(yè)信息中心要組織好講師及培訓(xùn)素材����。培訓(xùn)素材可結(jié)合生活中的信息安全案例或者通過動畫情景介紹等較生動的方式��,寓教于樂���,讓每個企業(yè)員工明白數(shù)據(jù)等無形資產(chǎn)的重要性���,理解數(shù)據(jù)信息安全是企業(yè)的生存發(fā)展壯大的法寶。在培訓(xùn)方式上�����,可采用循序漸進(jìn)的培訓(xùn)方式��,不急于求全,可從最基本的啟用標(biāo)準(zhǔn)的計算機(jī)密碼(如大小寫字母+數(shù)字)����、離開座位時使用屏保等開始培養(yǎng)。后續(xù)可陸續(xù)完善公司規(guī)章制度��,同時認(rèn)真落實�,要讓員工真正懂得防止泄密的辦法;
2)通過IT審計嚴(yán)把信息安全管理關(guān)����。企業(yè)做好IT審計��,從以下幾方面入手:一方面是人才培養(yǎng)��,企業(yè)審計部門需要引入類似IT審計師的角色��,盡管現(xiàn)階段大部分中小企業(yè)未能做到這一點���,但可參照國際上通用的認(rèn)證培訓(xùn)——國際信息系統(tǒng)審計師�����,把企業(yè)信息管理人員送出外培�����,提高兼職型IT審計人員的技術(shù)水平及能力��;另一方面是IT審計人員職責(zé)要明確���,從實踐上看��,IT審計人員工作內(nèi)容包括查看企業(yè)人員是否按照已有的規(guī)章制度進(jìn)行審批手續(xù)����、定期將審計報表反饋給高層�����,監(jiān)督整改落實的情況及效果驗證�,使企業(yè)自上而下重視信息安全管理;
3)讓安全軟件的審計功能發(fā)揮作用����。市場上的電子文檔防泄密系統(tǒng)提供日志審計功能。日志系統(tǒng)主要用來跟蹤和記錄用戶對受控文件的操作�、記錄管理員設(shè)定的策略和操作。企業(yè)系統(tǒng)管理員要對文件日志、部門日志����、計算機(jī)日志、申請審批日志等進(jìn)行定期檢查�,同時發(fā)揮IT審計人員的監(jiān)督作用,才可讓安全軟件的審計記錄發(fā)揮作用��;
4)利用刷卡認(rèn)證方式管理文檔輸出����。辦公類信息安全管理方面,涉及到各類業(yè)務(wù)系統(tǒng)的賬戶管理�����、文檔輸出管理��、存儲設(shè)備管理等?��,F(xiàn)有企業(yè)一般是通過制度約束,但效果不明顯��,這里結(jié)合新的管理方式對文檔輸出管理進(jìn)行說明���。一般我們不會一直等在打印機(jī)旁����,沒有把打印好的資料及時拿走。而所打印的資料大多是技術(shù)圖紙�����、商務(wù)合同���、計劃等資料���,讓人不經(jīng)意地看到相關(guān)內(nèi)容及敏感信息。要減少因遺忘而將已輸出的文檔滯留在文印設(shè)備上�,可結(jié)合IC刷卡認(rèn)證的方式,企業(yè)通過為文印設(shè)備配備一些讀卡器�,只有當(dāng)刷員工卡時,文檔才從文印設(shè)備輸出�����,員工可即刻拿走����。
總之�����,企業(yè)信息安全是一個多點因素的難題�,涉及技術(shù)��、管理��、應(yīng)用等方面�,隨著企業(yè)信息化的發(fā)展,各類信息系統(tǒng)及軟件資產(chǎn)不斷增多�����,從管理角度保障信息安全����,增強(qiáng)企業(yè)員工安全意識,成為企業(yè)成長的重中之重�。
參考文獻(xiàn)
篇7
中小企業(yè)數(shù)量和信息化的程度越高,尾巴就越長��;針對中小企業(yè)的攻擊越多���,尾巴的厚度也就越大�����。
簡單來講��,安全中的長尾現(xiàn)象是由信息安全攻守雙方的交錯制衡而產(chǎn)生的�����,具體表現(xiàn)有兩個:安全風(fēng)險長尾和安全市場長尾����。
安全風(fēng)險長尾
2011年工信部的《“十二五”中小企業(yè)的成長規(guī)劃》中表明����,到2010年末我國的中小企業(yè)數(shù)量是1100萬家,如果再加上個體工商戶���,總共會達(dá)到4500萬家�,這些中小企業(yè)在國家的國民生產(chǎn)總值����,包括就業(yè)崗位累計起來已經(jīng)超過了大型企業(yè)。另據(jù)CNNIC的調(diào)查報告����,中小企業(yè)使用計算機(jī)的比例在90%以上��,使用互聯(lián)網(wǎng)的比例在85%以上����。而這些中小企業(yè)目前的信息安全防范手段非常薄弱����。國內(nèi)曾經(jīng)有一家公司做過調(diào)查,問中小企業(yè)安裝企業(yè)級殺毒軟件的比例有多少����?調(diào)查結(jié)果是只有20%的中小企業(yè)用了企業(yè)級的殺毒軟件。而企業(yè)殺毒軟件僅僅是企業(yè)安全防御最基本的一種�����,由此可見國內(nèi)中小企業(yè)的安全防范水平非常低下��,導(dǎo)致了廣泛存在的安全風(fēng)險���。
簡單講����,中小企業(yè)面臨的風(fēng)險有三種:第一�����、顯性風(fēng)險����,指安全問題會導(dǎo)致這個企業(yè)發(fā)生的直接損失,包括經(jīng)濟(jì)損失���、名譽受損等�����。第二����、隱性風(fēng)險���,指由于產(chǎn)業(yè)鏈條上不同企業(yè)具有的安全問題給鏈條之上其它企業(yè)帶來的安全風(fēng)險��。第三����、社會風(fēng)險,是指由于中小企業(yè)自身的計算機(jī)等設(shè)備被黑客控制后可能對社會造成的潛在風(fēng)險�����。如果我們按照風(fēng)險大小作為縱軸���,將企業(yè)按照規(guī)模大小排列在橫軸上�����,因為在中國的中小企業(yè)數(shù)量非常巨大���,所以橫軸就會非常長,并且形成了一個風(fēng)險的長尾��。中小企業(yè)數(shù)量和信息化的程度越高���,尾巴就越長��;針對中小企業(yè)的攻擊越多�����,尾巴的厚度也就越大����,而這些就是目前的趨勢。我們有理由相信��,位于長尾部分的中小企業(yè)的安全風(fēng)險隨著目前這種趨勢會越來越大�,甚至累加起來的總和會超過大型企業(yè)的累積風(fēng)險��。如果針對這部分安全風(fēng)險長尾我們沒有進(jìn)行適當(dāng)?shù)目刂?��,它對我們整個國家的社會環(huán)境和經(jīng)濟(jì)環(huán)境就可能會造成直接影響���。
2011年CNCERT中國網(wǎng)絡(luò)安全狀況報告,表示經(jīng)抽樣調(diào)查發(fā)現(xiàn)在中國網(wǎng)絡(luò)中有890萬臺計算機(jī)是僵尸計算機(jī)����,就是已經(jīng)被人惡意控制了。2012年��,CDN廠商Akamai全球互聯(lián)網(wǎng)狀況分析報告�����,表示全球網(wǎng)絡(luò)攻擊來源地區(qū)第一名是中國。來源于中國的攻擊未必是中國人在背后操控�����,但是這樣會給人一種印象���,認(rèn)為中國的互聯(lián)網(wǎng)環(huán)境是不安全的��。
安全市場長尾
既然中小企業(yè)數(shù)量這么大����、風(fēng)險這么高�,那么為什么他們沒有實現(xiàn)有效的信息安全防護(hù)呢?其主要原因非常簡單��,第一是沒有錢���,第二是沒有人����。即使企業(yè)規(guī)模很小��,按照傳統(tǒng)的建設(shè)方式���,企業(yè)也往往要一次性投入幾萬����、幾十萬才可能建立相對完備的信息安全體系。此外�����,信息安全維護(hù)需要緊跟安全威脅的趨勢�,但是中小企業(yè)很難有合適的安全技術(shù)人才對這些安全產(chǎn)品進(jìn)行維護(hù)��。中小企業(yè)自身沒有條件���,那么安全廠商為什么不把這個目標(biāo)瞄準(zhǔn)這幾千萬家中小企業(yè)這個非常巨大的市場呢����?作為一個安全廠商或安全集成商���,給企業(yè)提供安全的產(chǎn)品和服務(wù)是有成本曲線的�����,包括推廣成本��、銷售成本����、運營成本。這些成本不隨著中小企業(yè)服務(wù)對象規(guī)模的縮小而降低為零���,這個成本是相對固定的�����,而且在一定程度下會超過目標(biāo)企業(yè)的預(yù)算����。成本曲線和企業(yè)的預(yù)算曲線有一個交叉點��,這個交叉點右側(cè)這部分對于安全從業(yè)者來講就無利可圖了���。
下面�����,我們分析為什么我們可以利用云安全服務(wù)這種新興的安全建設(shè)方式來解決這個問題�����,將眾多中小企業(yè)原來由于成本問題而制約的需求釋放出來���,形成一個新的安全長尾市場��。首先從用戶投資角度分析��,他們只需要按需租用云安全服務(wù)��,而且可以根據(jù)公司規(guī)模進(jìn)行彈性地租用�。從用戶維護(hù)來講���,是不需要企業(yè)客戶來費心的����,基本所有維護(hù)都是由云安全服務(wù)商進(jìn)行�����,這樣��,困擾中小企業(yè)的錢和人的問題就解決了��。從云安全服務(wù)商來講���,采用SaaS這種模式的安全服務(wù)非常類似于互聯(lián)網(wǎng)產(chǎn)品���,它的渠道建設(shè)、銷售��、服務(wù)等都可以采用在線的方式�,因此成本曲線會下降,從而降低到了中小企業(yè)客戶可以承擔(dān)的程度����,這樣就形成了一個巨大的新的安全市場。
目前越來越多的安全廠商和服務(wù)商開始在云安全服務(wù)市場發(fā)力�。McAfee在全球聯(lián)合很多運營商和服務(wù)合作伙伴企業(yè)提供多種類型的云安全服務(wù),在這個領(lǐng)域具有超過十年的經(jīng)驗�,在中國也聯(lián)合國內(nèi)的合作伙伴落地了部分云安全服務(wù)。之前數(shù)月內(nèi)���,中國電信安全服務(wù)中心了網(wǎng)站保護(hù)“安全云服務(wù)”�,進(jìn)入了這個廣闊的市場��。安全行業(yè)先驅(qū)����、原Netscreen創(chuàng)始人鄧峰先生投資了云安全服務(wù)企業(yè)安全寶����,為這個市場添加了濃墨重彩的一筆���。
篇8
最近一項旨在調(diào)查評估SMB市場 的《2008年中國企業(yè)信息安全現(xiàn)狀調(diào)查報告》指出�,如何確保Windows平臺安全和最大限度地降低IT風(fēng)險已經(jīng)成為企業(yè)必須真接面對的問題���。但是更多有關(guān)中小企業(yè)信息安全的白皮書卻指出���,防范機(jī)制往往比加密技術(shù)本身更重要,常用來佐證的觀點包括“企業(yè)信息安全隱患的重心由防范外網(wǎng)攻擊轉(zhuǎn)向防范內(nèi)部泄密”��,以及“以大量資金購置防火墻�����、防病毒等安全產(chǎn)品只是在企業(yè)信息化初期給予安全一定保障��?����!?/p>
一種比較激進(jìn)的觀點認(rèn)為����,內(nèi)網(wǎng)安全已經(jīng)成為信息安全的主要威脅,“現(xiàn)有的IT技術(shù)難以控制員工在操作權(quán)限內(nèi)對電子文檔的修改”以及“拷貝和打印不留痕跡”都成為泄密的主要通道�。最著名的一個例子來自摩根斯坦利亞太區(qū)前任首席經(jīng)濟(jì)學(xué)家謝國忠的離職事件,評價新加坡腐敗的郵件沒有通過電子渠道向外傳送����,而是采取了打印后帶出公司散布的做法,最終導(dǎo)致了對摩根公司聲譽的國際影響以及謝本人的黯然離職�����。
在軍事情報部門�,很多國家采用這樣的做法:在所有的復(fù)印機(jī)上加密。加密后的復(fù)印機(jī)有各自的編號�����,影印出來的文件上會出現(xiàn)該部門名稱及復(fù)印機(jī)編號��,一旦文件外泄��,憑借這些編號就可以很容易地查出外泄密件的出處����。
這種衍生于電子政務(wù)���、從復(fù)印和打印出口進(jìn)行安全控制,已經(jīng)成為被重視的一種信息安全手段�。就職于日立(.cn)與北京工業(yè)大學(xué)()合資公司的一位工程師表示,這也是其研發(fā)團(tuán)隊正在致力于推出的新產(chǎn)品:“針對打印文件的各種威脅實現(xiàn)切實的安全對策�,比如在拷貝檢測的同時,可以得知文件在打印輸出時嵌入的信息以及打印出的文件在被不正當(dāng)改寫或添加時也能被檢測出����。”粗略看上去���,名為“證書衛(wèi)士”的這款安全產(chǎn)品并沒有太過出奇之處����,不過“安全的要點是實用”�,日立北工大信息系統(tǒng)的總經(jīng)理郭慶栓則表示,“類似的產(chǎn)品在日本早有應(yīng)用����,這是日立公共系統(tǒng)的打印安全軟件進(jìn)行本土化開發(fā)后的中文軟件?���!?/p>
