緒論:在尋找寫(xiě)作靈感嗎���?愛(ài)發(fā)表網(wǎng)為您精選了8篇關(guān)于企業(yè)信息安全措施,愿這些內(nèi)容能夠啟迪您的思維����,激發(fā)您的創(chuàng)作熱情,歡迎您的閱讀與分享����!
篇1
隨著油田信息化高速發(fā)展����,大批業(yè)務(wù)系統(tǒng)集中部署在數(shù)據(jù)中心��,信息資產(chǎn)呈現(xiàn)高度集中趨勢(shì)�,給企業(yè)信息安全保障工作提出了新的要求。信息安全態(tài)勢(shì)日益嚴(yán)峻���,黑客攻擊手段不斷翻新�,利用“火焰”病毒�、“紅色十月”病毒等實(shí)施的高級(jí)可持續(xù)攻擊活動(dòng)頻現(xiàn)����,對(duì)國(guó)家和企業(yè)的數(shù)據(jù)安全造成嚴(yán)重威脅。因此����,及時(shí)掌握信息系統(tǒng)保護(hù)狀況��,持續(xù)完善系統(tǒng)安全防護(hù)體系����,對(duì)于保證信息資產(chǎn)的安全性和油田業(yè)務(wù)系統(tǒng)的連續(xù)性具有重要的現(xiàn)實(shí)意義。在信息安全領(lǐng)域中���,安全評(píng)估是及時(shí)掌握信息系統(tǒng)安全狀況的有效手段�。而其中的信息安全風(fēng)險(xiǎn)評(píng)估是是一種通用方法,是風(fēng)險(xiǎn)管理和控制的核心組成部分�����,是建立信息系統(tǒng)安全體系的基礎(chǔ)和前提,也是信息系統(tǒng)等級(jí)測(cè)評(píng)的有效補(bǔ)充和完善����。因此�����,研究建立具有油田公司特色的信息安全風(fēng)險(xiǎn)評(píng)估模型和方法���,可以為企業(yè)科學(xué)高效地開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作提供方法指導(dǎo)與技術(shù)保障,從而提高油田勘探開(kāi)發(fā)、油氣生產(chǎn)和經(jīng)營(yíng)管理等數(shù)據(jù)資產(chǎn)的安全性����,為油田公司信息業(yè)務(wù)支撐平臺(tái)的正常平穩(wěn)運(yùn)行保駕護(hù)航��。
1風(fēng)險(xiǎn)評(píng)估研究現(xiàn)狀
從當(dāng)前的研究現(xiàn)狀來(lái)看����,安全風(fēng)險(xiǎn)評(píng)估領(lǐng)域的相關(guān)研究成果主要集中在標(biāo)準(zhǔn)制定上��。不同的安全評(píng)估標(biāo)準(zhǔn)包含不同的評(píng)估方法�����。迄今為止���,業(yè)界比較認(rèn)可的風(fēng)險(xiǎn)評(píng)估相關(guān)標(biāo)準(zhǔn)主要有國(guó)際標(biāo)準(zhǔn)ISO/IECTR13335IT安全管理、美國(guó)NIST標(biāo)準(zhǔn)SP800-30IT系統(tǒng)風(fēng)險(xiǎn)管理指南(2012年做了最新修訂)、澳大利亞-新西蘭標(biāo)準(zhǔn)風(fēng)險(xiǎn)管理AS/NZS4360等���。我國(guó)也根據(jù)國(guó)際上這些標(biāo)準(zhǔn)制定了我國(guó)的風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)GB/T20984-2007信息安全技術(shù)風(fēng)險(xiǎn)評(píng)估規(guī)范以及GB/Z24364-2009信息安全技術(shù)信息安全風(fēng)險(xiǎn)管理指南。
1.1IT安全管理ISO/IECTR13335
IT安全管理ISO/IECTR13335系列標(biāo)準(zhǔn)是最早的清晰描述安全風(fēng)險(xiǎn)評(píng)估理論及方法的國(guó)際標(biāo)準(zhǔn)����,其主要目的是給出如何有效地實(shí)施IT安全管理的建議和指導(dǎo)����,是當(dāng)前安全風(fēng)險(xiǎn)評(píng)估與風(fēng)險(xiǎn)管理方面最權(quán)威的標(biāo)準(zhǔn)之一�。ISO/IECTR13335(以下簡(jiǎn)稱為IS013335)包括了五個(gè)部分:第一部分IT安全概念和模型(1996)主要描述了IT安全管理所用的基本概念和模型。IS013335介紹了IT安全管理中的安全要素�,重點(diǎn)描述了:資產(chǎn)��、威脅、脆弱性�����、影響、風(fēng)險(xiǎn)、防護(hù)措施、殘留風(fēng)險(xiǎn)等與安全風(fēng)險(xiǎn)評(píng)估相關(guān)的要素。它強(qiáng)調(diào)風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)管理是IT安全管理過(guò)程的一部分����,也是必不可少的一個(gè)關(guān)鍵過(guò)程。圖1表示資產(chǎn)怎樣潛在經(jīng)受若干威脅。[2]如圖1所示���,某些安全防護(hù)措施在降低與多種威脅和/或多種脆弱性有關(guān)的風(fēng)險(xiǎn)方面可以是有效的���。有時(shí),需要幾種安全防護(hù)措施使殘留風(fēng)險(xiǎn)降低到可接受的級(jí)別��。某些情況中��,當(dāng)認(rèn)為風(fēng)險(xiǎn)是可接受時(shí)�����,即使存在威脅也不實(shí)施安全防護(hù)措施�。在其他一些情況下,要是沒(méi)有已知的威脅利用脆弱性����,可以存在這種脆弱性�。圖2表示與風(fēng)險(xiǎn)管理有關(guān)的安全要素之間的關(guān)系。為清晰起見(jiàn),僅表示了主要的關(guān)系����。任何二個(gè)方塊之間箭頭上的標(biāo)記描述了這些方塊之間的關(guān)系。第二部分管理和規(guī)劃IT安全(1997)主要提出了與IT安全管理和規(guī)劃有關(guān)的各種活動(dòng)��,以及組織中有關(guān)的角色和職責(zé)。[2]第三部分IT安全管理技術(shù)(1998)本部分介紹并推薦用于成功實(shí)施IT安全管理的技術(shù),重點(diǎn)介紹了風(fēng)險(xiǎn)分析的四種方法:基線方法�、非正式方法�、詳細(xì)風(fēng)險(xiǎn)分析和綜合方法��。[2]第四部分安全防護(hù)措施的選擇(2000)為在考慮商業(yè)需求和安全要素的情況下選擇安全防護(hù)措施的指南。它描述了根據(jù)安全風(fēng)險(xiǎn)和要素及部門的典型環(huán)境��,選擇安全防護(hù)措施的過(guò)程����,并表明如何獲得合適的保護(hù)����,如何能被最基礎(chǔ)的安全應(yīng)用支持����。[2]第五部分網(wǎng)絡(luò)的安全防護(hù)措施(2001)為關(guān)于網(wǎng)絡(luò)和通信方面的IT安全管理指南,這一指南提供了根據(jù)建立網(wǎng)絡(luò)安全需求來(lái)考慮的通信相關(guān)因素的識(shí)別和分析。[2]
1.2風(fēng)險(xiǎn)評(píng)估實(shí)施指南
SP800-30SP800-30(風(fēng)險(xiǎn)評(píng)估實(shí)施指南,2012年9月)是由NIST制定的與風(fēng)險(xiǎn)評(píng)估相關(guān)的標(biāo)準(zhǔn)之一����,它對(duì)安全風(fēng)險(xiǎn)評(píng)估的流程及方法進(jìn)行了詳細(xì)的描述�,提供了一套與三層風(fēng)險(xiǎn)管理框架結(jié)合的風(fēng)險(xiǎn)評(píng)估辦法�����,用于幫助企業(yè)更好地評(píng)價(jià)����、管理與IT相關(guān)的業(yè)務(wù)面臨的風(fēng)險(xiǎn)。它包括對(duì)IT系統(tǒng)中風(fēng)險(xiǎn)評(píng)估模型的定義和實(shí)踐指南����,提供用于選擇合適安全控制措施的信息����。SP800-30:2012中的風(fēng)險(xiǎn)要素包括威脅���、脆弱性、影響�����、可能性和先決條件。(1)威脅分析威脅源從利用脆弱性的動(dòng)機(jī)和方法���、意外利用脆弱性的位置和方法等方面進(jìn)行分析��。(2)脆弱性和先決條件考慮脆弱性時(shí)應(yīng)注意脆弱性不僅僅存在于信息系統(tǒng)中��,也可能存在于組織管理架構(gòu)����,可能存在于外部關(guān)系��、任務(wù)/業(yè)務(wù)過(guò)程、企業(yè)/信息安全體系架構(gòu)中。在分析影響或后果時(shí),應(yīng)描述威脅場(chǎng)景��,即威脅源引起安全事件導(dǎo)致或帶來(lái)的損害。先決條件是組織、任務(wù)/業(yè)務(wù)過(guò)程�����、企業(yè)體系架構(gòu)�����、信息系統(tǒng)或運(yùn)行環(huán)境內(nèi)存在的狀況���,威脅事件一旦發(fā)起�����,這種狀況會(huì)影響威脅事件導(dǎo)致負(fù)面影響的可能性�����。(3)可能性風(fēng)險(xiǎn)可能性是威脅事件發(fā)起可能性評(píng)價(jià)與威脅事件導(dǎo)致負(fù)面影響可能性評(píng)價(jià)的組合�。(4)影響分析應(yīng)明確定義如何建立優(yōu)先級(jí)和價(jià)值�����,指導(dǎo)識(shí)別高價(jià)值資產(chǎn)和給單位利益相關(guān)者帶來(lái)的潛在負(fù)面影響��。(5)風(fēng)險(xiǎn)模型標(biāo)準(zhǔn)給出了風(fēng)險(xiǎn)評(píng)估各要素之間的關(guān)系的通用模型�。[3]
1.3風(fēng)險(xiǎn)評(píng)估規(guī)范
GB/T20984-2007GB/T20984-2007是我國(guó)的第一個(gè)重要的風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)定義了風(fēng)險(xiǎn)評(píng)估要素關(guān)系模型�,并給出了風(fēng)險(xiǎn)分析過(guò)程,具體如圖3所示:風(fēng)險(xiǎn)分析中涉及資產(chǎn)�����、威脅�、脆弱性三個(gè)基本要素。首先識(shí)別出威脅�����、脆弱性和資產(chǎn)����,然后根據(jù)威脅出現(xiàn)的頻率和脆弱性的嚴(yán)重程度分析得到安全事件發(fā)生的可能性,再根據(jù)脆弱性嚴(yán)重程度和資產(chǎn)價(jià)值分析得到安全事件造成的損失�����,最后根據(jù)安全事件發(fā)生的可能性及造成的損失分析確定風(fēng)險(xiǎn)值。
2信息安全風(fēng)險(xiǎn)評(píng)估模型構(gòu)建
結(jié)合某油田企業(yè)實(shí)際情況����,在參考上述標(biāo)準(zhǔn)及風(fēng)險(xiǎn)分析方法風(fēng)險(xiǎn)分析的主要內(nèi)容為:a)識(shí)別資產(chǎn)并對(duì)資產(chǎn)的價(jià)值進(jìn)行賦值;b)識(shí)別威脅,并根據(jù)威脅出現(xiàn)的頻率給威脅賦值;c)識(shí)別脆弱性���,并將具體資產(chǎn)的脆弱性賦為2個(gè)值�����,一個(gè)是脆弱性嚴(yán)重程度�,一個(gè)是脆弱性暴露程度;d)分析脆弱性被威脅利用可能導(dǎo)致的安全事件;e)分析確定出安全事件發(fā)生后帶來(lái)的影響不能被單位所接受的那些安全事件;可以接受的安全事件對(duì)應(yīng)的風(fēng)險(xiǎn)等級(jí)確定為低;f)針對(duì)不可接受安全事件����,分析相應(yīng)的威脅和脆弱性,并根據(jù)威脅以及脆弱性暴露程度���,以及相關(guān)安全預(yù)防措施的效果計(jì)算安全事件發(fā)生的可能性;g)針對(duì)不可接受安全事件����,根據(jù)相應(yīng)脆弱性嚴(yán)重程度及資產(chǎn)的價(jià)值,以及相應(yīng)預(yù)防措施的有效性計(jì)算安全事件造成的損失:的基礎(chǔ)上�����,總結(jié)形成油田企業(yè)風(fēng)險(xiǎn)要素關(guān)系模型如圖4所示�,風(fēng)險(xiǎn)計(jì)算模型如圖5所示:h)根據(jù)不可接受安全事件發(fā)生的可能性以及安全事件發(fā)生后的損失��,計(jì)算安全事件發(fā)生會(huì)對(duì)企業(yè)造成的影響����,即風(fēng)險(xiǎn)值,并確定風(fēng)險(xiǎn)等級(jí)�。
3模型創(chuàng)新點(diǎn)及優(yōu)勢(shì)分析
信息安全風(fēng)險(xiǎn)評(píng)估方式和方法很多,如何建立適合油田企業(yè)當(dāng)前安全需求的風(fēng)險(xiǎn)評(píng)估模型�����、評(píng)估要素賦值方法以及風(fēng)險(xiǎn)計(jì)算方法是本文要解決的技術(shù)難點(diǎn)和創(chuàng)新點(diǎn)���。1)對(duì)于資產(chǎn)的賦值���,從資產(chǎn)所支撐的業(yè)務(wù)出發(fā),結(jié)合信息系統(tǒng)安全保護(hù)等級(jí)及其構(gòu)成情況����,提出了根據(jù)業(yè)務(wù)數(shù)據(jù)重要性等級(jí)和業(yè)務(wù)服務(wù)重要性等級(jí)確定資產(chǎn)的重要性���,使得風(fēng)險(xiǎn)評(píng)估與業(yè)務(wù)及等級(jí)保護(hù)結(jié)合更加緊密。2)對(duì)于脆弱性賦值�,將脆弱性細(xì)分為暴露程度及嚴(yán)重程度兩個(gè)權(quán)重。其中暴露程度與威脅賦值確定安全事件發(fā)生可能性�����,嚴(yán)重程度與資產(chǎn)價(jià)值確定安全事件造成的影響����。3)將現(xiàn)有安全措施進(jìn)一步細(xì)化,分解為預(yù)防措施和恢復(fù)措施��,并研究得到預(yù)防措施有效性會(huì)影響到安全事件發(fā)生可能性����,而恢復(fù)措施有效性會(huì)影響到安全事件造成的損失。4)結(jié)合被評(píng)估單位的實(shí)際業(yè)務(wù)需求�,提出了僅針對(duì)被評(píng)估單位的不可接受安全事件進(jìn)行數(shù)值計(jì)算,減少了計(jì)算工作量�,有助于提升風(fēng)險(xiǎn)評(píng)估工作效率。5)根據(jù)油田企業(yè)實(shí)際需求��,將安全事件發(fā)生可能性和安全事件造成的損失賦予不同的權(quán)重,從而使得風(fēng)險(xiǎn)計(jì)算結(jié)果中安全事件損失所占比重更大�����,更重視后果;并通過(guò)實(shí)例驗(yàn)證等方式歸納總結(jié)出二者權(quán)重比例分配����。
險(xiǎn)評(píng)估模型應(yīng)用分析
4.1資產(chǎn)識(shí)別
資產(chǎn)識(shí)別主要通過(guò)現(xiàn)場(chǎng)訪談的方式了解風(fēng)險(xiǎn)評(píng)估范圍涉及到的數(shù)據(jù)�、軟件、硬件�、服務(wù)、人員和其他六類資產(chǎn)相關(guān)的業(yè)務(wù)處理的數(shù)據(jù)及提供的服務(wù)和支撐業(yè)務(wù)處理的硬件設(shè)備和軟件情況��。4.1.1資產(chǎn)重要性分析資產(chǎn)重要性分析以信息系統(tǒng)的業(yè)務(wù)為出發(fā)點(diǎn)��,通過(guò)對(duì)業(yè)務(wù)處理的數(shù)據(jù)以及提供的服務(wù)重要性賦值的方法確定信息系統(tǒng)資產(chǎn)價(jià)值�����。業(yè)務(wù)處理的數(shù)據(jù)以及業(yè)務(wù)提供的服務(wù)的重要性分析及賦值方法具體如下����。4.1.1.1業(yè)務(wù)數(shù)據(jù)重要性分析業(yè)務(wù)數(shù)據(jù)資產(chǎn)的重要性主要根據(jù)業(yè)務(wù)數(shù)據(jù)的安全屬性(即三性:保密性、完整性和可用性)被破壞對(duì)本單位造成的損失程度確定�。油田企業(yè)各業(yè)務(wù)系統(tǒng)所處理的數(shù)據(jù)信息根據(jù)數(shù)據(jù)安全屬性被破壞后可能對(duì)油田企業(yè)造成的損失嚴(yán)重程度進(jìn)行賦值。一般賦值為1—5。4.1.1.2業(yè)務(wù)服務(wù)重要性分析服務(wù)資產(chǎn)的重要性根據(jù)其完整性和可用性被破壞對(duì)本單位造成的損失程度確定�。通過(guò)與相關(guān)人員進(jìn)行訪談,調(diào)查了解每種業(yè)務(wù)提供的服務(wù)和支撐業(yè)務(wù)處理的硬件設(shè)備和軟件情況����,根據(jù)服務(wù)安全屬性被破壞后可能對(duì)油田企業(yè)造成損失的嚴(yán)重程度,為各種業(yè)務(wù)服務(wù)重要性賦值����。一般賦值為1—5。4.1.2資產(chǎn)賦值通過(guò)分析可以看出�����,六類資產(chǎn)中數(shù)據(jù)資產(chǎn)和業(yè)務(wù)服務(wù)資產(chǎn)的重要性是決定其他資產(chǎn)重要性的關(guān)鍵要素��,因此���,六類資產(chǎn)的賦值原則如下:1)數(shù)據(jù)資產(chǎn)重要性根據(jù)業(yè)務(wù)數(shù)據(jù)重要性賦值結(jié)果確定�����。2)服務(wù)資產(chǎn)重要性根據(jù)業(yè)務(wù)服務(wù)重要性賦值結(jié)果確定����。3)軟件和硬件資產(chǎn)的重要性由其所處理的各類數(shù)據(jù)或所支撐的各種業(yè)務(wù)服務(wù)的重要性賦值結(jié)果中的較高者決定。4)人員的重要性根據(jù)其在信息系統(tǒng)中所承擔(dān)角色的可信度��、能力等被破壞對(duì)本單位造成的損失程度確定����。5)其他資產(chǎn)重要性根據(jù)其對(duì)油田企業(yè)的影響程度確定��。
4.2威脅識(shí)別
4.2.1威脅分類對(duì)威脅進(jìn)行分類的方式有多種����,針對(duì)環(huán)境因素和人為因素兩類威脅來(lái)源���,可以根據(jù)其表現(xiàn)形式將威脅進(jìn)行分類[4]�����。本論文采用GB/Z24364-2009信息安全技術(shù)信息安全風(fēng)險(xiǎn)管理指南中基于表現(xiàn)形式的威脅分類方法。4.2.2威脅賦值根據(jù)威脅出現(xiàn)的頻率確定威脅賦值�����,威脅賦值一般為1~5��。對(duì)威脅出現(xiàn)頻率的判斷根據(jù)風(fēng)險(xiǎn)評(píng)估常規(guī)做法獲得����,比如安全事件報(bào)告���、IDS����、IPS報(bào)告以及其他機(jī)構(gòu)的威脅頻率報(bào)告等�。
4.3脆弱性識(shí)別
4.2.1脆弱性分類脆弱性識(shí)別所采用的方法主要有:問(wèn)卷調(diào)查����、配置核查����、文檔查閱、漏洞掃描��、滲透性測(cè)試等���。油田企業(yè)脆弱性識(shí)別依據(jù)包括:GB/T22239信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求的三級(jí)要求以及石油行業(yè)相關(guān)要求。4.2.2脆弱性賦值原則脆弱性賦值時(shí)分為脆弱性暴露程度和脆弱性嚴(yán)重程度。暴露程度根據(jù)其被利用的技術(shù)實(shí)現(xiàn)難易程度、流行程度進(jìn)行賦值����。對(duì)脆弱性的暴露程度給出如下5個(gè)等級(jí)的賦值原則:脆弱性的嚴(yán)重程度根據(jù)脆弱性被利用可能對(duì)資產(chǎn)造成的損害程度進(jìn)行賦值。脆弱性的嚴(yán)重程度分為5個(gè)等級(jí)�����,賦值為1~5。
4.4現(xiàn)有安全措施識(shí)別
4.4.1現(xiàn)有安全措施識(shí)別方法信息系統(tǒng)環(huán)境中的現(xiàn)有安全措施根據(jù)其所起的安全作用分為預(yù)防措施和恢復(fù)措施����。預(yù)防措施用于預(yù)防安全事件的發(fā)生(例如入侵檢測(cè)���、網(wǎng)絡(luò)訪問(wèn)控制、網(wǎng)絡(luò)防病毒等)�,可以降低安全事件發(fā)生的概率���。因此針對(duì)每一個(gè)安全事件�����,分析現(xiàn)有預(yù)防措施是否能夠降低事件發(fā)生的概率,其降低發(fā)生概率的效果有多大�����。恢復(fù)措施可以在安全事件發(fā)生之后幫助盡快恢復(fù)系統(tǒng)正常運(yùn)行��,可能降低安全事件的損失(例如應(yīng)急計(jì)劃��、設(shè)備冗余、數(shù)據(jù)備份等)�,因此針對(duì)每一個(gè)安全事件����,分析現(xiàn)有恢復(fù)措施是否能夠降低事件損失����,其降低事件損失的效果有多大。4.4.2現(xiàn)有安全預(yù)防措施有效性賦值原則通過(guò)識(shí)別信息系統(tǒng)現(xiàn)有安全措施及其有效性驗(yàn)證��,針對(duì)每一個(gè)安全事件���,分析現(xiàn)有預(yù)防措施中可能降低事件發(fā)生概率的情況�����,并對(duì)預(yù)防措施的有效性分別給出賦值結(jié)果。評(píng)估者通過(guò)分析安全預(yù)防措施的效果,對(duì)預(yù)防措施賦予有效性因子����,有效性因子可以賦值為0.1~1�����。4.4.3現(xiàn)有安全恢復(fù)措施有效性賦值原則通過(guò)識(shí)別信息系統(tǒng)現(xiàn)有安全措施及其有效性驗(yàn)證�����,針對(duì)每一個(gè)安全事件���,分析現(xiàn)有恢復(fù)性安全措施中可能降低事件損失的情況���。評(píng)估者通過(guò)分析安全恢復(fù)措施的有效性作用��,對(duì)安全恢復(fù)措施賦予有效性因子����,有效性因子可以賦值為0.1~1��。
4.5安全事件分析
4.5.1安全事件關(guān)聯(lián)綜合識(shí)別出的脆弱性及現(xiàn)有安全措施識(shí)別出的缺陷�����,結(jié)合油田企業(yè)信息系統(tǒng)面臨的各種威脅�,將各資產(chǎn)的脆弱性與威脅相對(duì)應(yīng)形成安全事件。分析這些安全事件一旦發(fā)生會(huì)對(duì)國(guó)家、單位��、部門及評(píng)估對(duì)象自身造成的影響��,分析發(fā)生這些安全事件可能造成影響的嚴(yán)重程度����,從中找出部門(或單位)對(duì)發(fā)生安全事件造成影響無(wú)法容忍的那些安全事件����,即確定不可接受安全事件���。4.5.2安全事件發(fā)生可能性分析(1)計(jì)算威脅利用脆弱性的可能性針對(duì)4.5.1中分析得出的不可接受安全事件���,綜合威脅賦值結(jié)果及脆弱性的暴露程度賦值結(jié)果�����,計(jì)算威脅利用脆弱性導(dǎo)致不可接受安全事件的可能性�,采用乘積形式表明其關(guān)系���,即安全事件發(fā)生的可能性的初始結(jié)果計(jì)算公式如下:L1(T,V)1=T×V1其中,L1(T�����,V1)代表不可接受事件發(fā)生的可能性的初始結(jié)果;T代表威脅賦值結(jié)果;V1代表脆弱性的暴露程度賦值結(jié)果。(2)分析現(xiàn)有預(yù)防措施的效果通過(guò)對(duì)企業(yè)信息系統(tǒng)的現(xiàn)有安全措施的識(shí)別和有效性驗(yàn)證,針對(duì)4.5.1分析得到的不可接受安全事件,分析描述現(xiàn)有預(yù)防措施中可能降低事件發(fā)生概率的情況,并給出有效性因子賦值結(jié)果。(3)計(jì)算安全事件發(fā)生的可能性考慮到現(xiàn)有安全措施可能降低安全事件發(fā)生的可能性�����,因此安全事件發(fā)生的可能性的最終計(jì)算公式為:L2(T����,V)1=L1(T,V1)×P1其中�,L2(T����,V1)為最終安全事件發(fā)生的可能性結(jié)果;L1(T��,V1)為安全事件發(fā)生的可能性初始結(jié)果;P1代表安全預(yù)防措施有效性賦值結(jié)果���。然后,形成調(diào)節(jié)后的安全事件可能性列表����。4.5.3安全事件影響分析(1)計(jì)算脆弱性導(dǎo)致資產(chǎn)的損失將各資產(chǎn)的脆弱性(管理類脆弱性除外,管理類脆弱性采用定性方式進(jìn)行主觀分析)與威脅相對(duì)應(yīng)形成安全事件(4.5.1不可接受安全事件列表)���,根據(jù)資產(chǎn)的重要性及脆弱性的嚴(yán)重程度��,計(jì)算脆弱性可能導(dǎo)致資產(chǎn)的損失���,即:F1(A�����,V2)=A×V2其中�,F(xiàn)1(A,V2)代表安全事件可能導(dǎo)致資產(chǎn)的損失的初始計(jì)算結(jié)果;A代表資產(chǎn)價(jià)值���,即資產(chǎn)賦值結(jié)果;V2代表脆弱性嚴(yán)重程度,即脆弱性嚴(yán)重程度賦值結(jié)果���。(2)分析現(xiàn)有安全恢復(fù)措施的有效性通過(guò)對(duì)油田企業(yè)信息系統(tǒng)的現(xiàn)有安全措施的識(shí)別和有效性驗(yàn)證�,針對(duì)4.5.1分析得到的不可接受安全事件����,分析描述現(xiàn)有恢復(fù)措施中可能降低事件發(fā)生的概率的情況��,并根據(jù)表9的賦值原則分別給出安全恢復(fù)措施的有效性賦值結(jié)果�。(3)計(jì)算安全事件的損失考慮到恢復(fù)措施可能降低安全事件帶來(lái)的損失,因此安全事件損失可以根據(jù)安全恢復(fù)措施的有效性予以調(diào)整��。采用乘積形式表明關(guān)系,即:F2(A,V2)=F1(A���,V2)×P2其中�����,F(xiàn)2(A�,V2)為安全事件可能造成的損失的最終計(jì)算結(jié)果;F1(A���,V2)為安全事件可能造成損失的初始計(jì)算結(jié)果;P2代表安全恢復(fù)措施有效性賦值結(jié)果。然后,形成調(diào)節(jié)后的安全事件損失計(jì)算結(jié)果列表�����。
4.6綜合風(fēng)險(xiǎn)計(jì)算及分析
4.6.1計(jì)算風(fēng)險(xiǎn)值結(jié)合油田企業(yè)關(guān)注低可能性重性的安全事件的需求��,參照美國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施風(fēng)險(xiǎn)評(píng)估計(jì)算方法,采用安全事件發(fā)生的可能性以及安全事件可能帶來(lái)的損失的加權(quán)之和方式計(jì)算風(fēng)險(xiǎn)值����。這種方法更加重視安全事件帶來(lái)的損失,使得損失在對(duì)風(fēng)險(xiǎn)值的貢獻(xiàn)中權(quán)重更大�����。在使用油田企業(yè)以往測(cè)評(píng)結(jié)果試用的基礎(chǔ)上���,將安全事件可能帶來(lái)的損失的權(quán)重定為80%�。具體計(jì)算公式為:R(L2�����,F(xiàn))2=L2(T���,V)1×20%+F2(A���,V)2×80%其中,R(L2�����,F(xiàn)2)代表風(fēng)險(xiǎn)值����,L2(T,V1)為安全事件發(fā)生可能性的最終結(jié)果�����,F(xiàn)2(A��,V2)為安全事件可能造成的損失的最終計(jì)算結(jié)果���。4.6.2風(fēng)險(xiǎn)結(jié)果判斷計(jì)算出風(fēng)險(xiǎn)值后��,應(yīng)對(duì)風(fēng)險(xiǎn)值進(jìn)行分級(jí)處理��,將風(fēng)險(xiǎn)級(jí)別劃分為五級(jí)�。4.6.3綜合分析根據(jù)風(fēng)險(xiǎn)計(jì)算結(jié)果�����,從多個(gè)不同方面綜合匯總分析被評(píng)估信息系統(tǒng)存在的安全風(fēng)險(xiǎn)情況����。例如可從以下幾方面匯總分析:1)風(fēng)險(xiǎn)較高的資產(chǎn)統(tǒng)計(jì):匯總存在多個(gè)脆弱性可能導(dǎo)致多個(gè)中等以上風(fēng)險(xiǎn)等級(jí)安全事件發(fā)生的資產(chǎn)�����,從資產(chǎn)角度綜合分析被評(píng)估信息系統(tǒng)存在的安全風(fēng)險(xiǎn)情況;2)引起較高風(fēng)險(xiǎn)的脆弱性統(tǒng)計(jì):匯總會(huì)給被評(píng)估信息系統(tǒng)帶來(lái)中等以上安全風(fēng)險(xiǎn)的脆弱性及其影響的資產(chǎn)及嚴(yán)重程度����,分析可能帶來(lái)的危害后果;3)出現(xiàn)頻率較高的脆弱性統(tǒng)計(jì):匯總中等以上脆弱性在資產(chǎn)中的出現(xiàn)頻率�����,從而反映脆弱性在被評(píng)估系統(tǒng)中的普遍程度�����,出現(xiàn)頻率越高����,整改獲取的收益越好。4)按層面劃分的風(fēng)險(xiǎn)點(diǎn)分布情況匯總:匯總網(wǎng)絡(luò)���、主機(jī)�����、應(yīng)用�����、數(shù)據(jù)���、物理、管理等各層面存在的脆弱性及其嚴(yán)重程度��,對(duì)比分析風(fēng)險(xiǎn)在不同層面的分布情況�����。
5結(jié)語(yǔ)
篇2
關(guān)鍵詞:信息安全�����;需求����;分析
中圖分類號(hào):TP309.2文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-3044(2008)36-2844-02
The Requirement of Information Security the Analysis for An Enterprise of Fujian
CHEN Rong-sheng, GUO Yong, ZHAN Gui-bao, ZENG Zhong-cheng, LU Teng-zu, LI Zhuang-xiang
(Fujian Xindong Network Technology Co., Ltd. Fuzhou 350003,China)
Abstract: For information on the degree of rising-to-business information security threats are increasing, according to the standards of information security framework for an enterprise's information security status of the analysis, come to conclusions, and the enterprise in the information security requirement.
Key words: information security; requirement; analysis
1 引言
隨著信息化程度的不斷提高和互聯(lián)網(wǎng)應(yīng)用的不斷發(fā)展,新的信息安全風(fēng)險(xiǎn)也隨之不斷暴露出來(lái)�。原先由單個(gè)計(jì)算機(jī)安全事故引起的損害可能傳播到其他系統(tǒng)和主機(jī),引起大范圍的癱瘓和損失���。根據(jù)CNCERT 統(tǒng)計(jì)報(bào)告指出���,2007年接受網(wǎng)絡(luò)安全事件報(bào)告同比2006年增長(zhǎng)近3倍�,目前我國(guó)大陸地區(qū)約1500多萬(wàn)個(gè)IP 地址被植入木馬程序����,位居全球第二位(其中福建省占10%,居全國(guó)第三位)����;有28477個(gè)網(wǎng)站被篡改(其中政府網(wǎng)站占16%);網(wǎng)站仿冒事件占居全球第二位�;拒絕服務(wù)攻擊事件頻繁發(fā)生。
針對(duì)于次����,為福建企業(yè)制定一個(gè)統(tǒng)一、規(guī)范的信息安全體系結(jié)構(gòu)是迫在眉睫的�����。本文根據(jù)福建企業(yè)特點(diǎn)����,參照國(guó)內(nèi)外有的規(guī)范和理論體系,制定了企業(yè)信息安全需求調(diào)研計(jì)劃,并對(duì)調(diào)研結(jié)果進(jìn)行分析�,為進(jìn)一步制定信息安全體系結(jié)構(gòu)和具體實(shí)施建議奠定堅(jiān)實(shí)基礎(chǔ)。整個(gè)分析報(bào)告按照?qǐng)D1的步驟形成����。
2 分析報(bào)告指導(dǎo)理論模型框架
2.1 總體指導(dǎo)模型
一個(gè)完整的信息安全體系由組織體系、技術(shù)體系和管理體系組成�,如圖2所示。
其中����,組織體系是有關(guān)信息安全工作部門集合����,這些部門負(fù)責(zé)信息安全技術(shù)和管理資源的整合和使用;技術(shù)體系則是從技術(shù)的角度考察安全����,通過(guò)綜合集成方式而形成的技術(shù)集合,技術(shù)體系包含內(nèi)容有安全防護(hù)��、安全檢測(cè)���、安全審計(jì)�、應(yīng)急響應(yīng)恢復(fù)、密碼��、物理安全��、安全機(jī)制與安全服務(wù)等���;管理體系則是根據(jù)具體信息系統(tǒng)的環(huán)境����,而采取管理方法和管理措施的集合����,管理體系涉及到的主要內(nèi)容管理制度、管理規(guī)范��、教育培訓(xùn)����、管理流程等。
2.2 ISO/IEC 15408 標(biāo)準(zhǔn)
圖1 分析報(bào)告形成流程
圖2 信息安全體系結(jié)構(gòu)
圖3 GB/T18336 標(biāo)準(zhǔn)要素關(guān)系
信息技術(shù)安全性評(píng)估通用準(zhǔn)則ISO15408已被頒布為國(guó)家標(biāo)準(zhǔn)GB/T18336����,簡(jiǎn)稱通用準(zhǔn)則(CC),它是評(píng)估信息技術(shù)產(chǎn)品和系統(tǒng)安全性的基礎(chǔ)準(zhǔn)則����。該標(biāo)準(zhǔn)提供關(guān)于信息資產(chǎn)的安全分析框架���,其中安全分析涉及到資產(chǎn)、威脅����、脆弱性、安全措施�、風(fēng)險(xiǎn)等各個(gè)要素,各要素之間相互作用�����,如圖3所示�。資產(chǎn)因?yàn)槠鋬r(jià)值而受到威脅�����,威脅者利用資產(chǎn)的脆弱性構(gòu)成威脅���。安全措施則是對(duì)資產(chǎn)進(jìn)行保護(hù)�,修補(bǔ)資產(chǎn)的脆弱性����,從而可降低資產(chǎn)的風(fēng)險(xiǎn)�����。
3 分析報(bào)告素材獲取
作為分析報(bào)告��,必須要有真實(shí)的分析素材才能得出可靠的分析結(jié)論��。我們?cè)谒夭墨@取方法��、獲取內(nèi)容���、獲取對(duì)象和最后素材整理上都有具體規(guī)范。
3.1 獲取方法
在素材獲取方法上���,采取安全訪談���、調(diào)查問(wèn)卷、文檔資料收集等3種工作方法來(lái)獲取信息安全需求�����。
3.2 獲取對(duì)象與內(nèi)容
素材獲取對(duì)象為兩種類型��,分別為部門領(lǐng)導(dǎo)和普通員工。其中:部門領(lǐng)導(dǎo)主要側(cè)重于信息安全管理�、崗位、流程���、資產(chǎn)和培訓(xùn)方面的信息獲?����?�;普通員工主要側(cè)重于信息安全崗位責(zé)任����、操作習(xí)慣和安全配置與管理方面的信息獲取��。
素材獲取內(nèi)容分三個(gè)方面:一是管理調(diào)研�����;二是業(yè)務(wù)�;三是的IT技術(shù)調(diào)研��。素材獲取內(nèi)容安排有五種類型�����,其中:管理類2種,分別為高層管理訪談和中層部門領(lǐng)導(dǎo)訪談����;技術(shù)類2種,分別為網(wǎng)絡(luò)安全訪談和主機(jī)及數(shù)據(jù)庫(kù)信息安全訪談�;業(yè)務(wù)類1種,為業(yè)務(wù)及應(yīng)用系統(tǒng)安全訪談����。
最后的素材資料整理分為管理和技術(shù)兩大類資料。
4 目前信息安全現(xiàn)狀的分析
4.1 組織現(xiàn)狀分析
通過(guò)對(duì)最后資料的分析看出���,目前有一些企業(yè)對(duì)信息安全的管理還是十分重視的���,很多成立了自己的安全小組,安全小組也定義了各個(gè)崗位�����,并明確了職責(zé)�����。安全小組目前的還存在著幾點(diǎn)不足的地方:
1)安全小組的人員大部分是兼職工作,安全工作往往和本職工作之間存在的工作上時(shí)間沖突問(wèn)題�;2)安全小組的側(cè)重于生產(chǎn)安全,信息安全的工作內(nèi)容不夠突出�,信息安全的專業(yè)性不夠強(qiáng);3)信息的安全的監(jiān)督機(jī)制有�����,并有一些安全考核的指標(biāo)�����,較難執(zhí)行�����,執(zhí)行力不夠�;4)信息安全的人事培訓(xùn)管理已經(jīng)作得比較好,可以增加信息安全方面專家的培訓(xùn)內(nèi)容����,更好的提高每個(gè)員工的信息安全意識(shí)��。
4.2 信息安全管理現(xiàn)狀
目前�,許多已經(jīng)有IT支持能力的企業(yè)在信息安全管理方面還有以下地方可以完善:對(duì)信息安全策略定義可以進(jìn)一步完善���;控制方式比較分散,不夠統(tǒng)一����;制度上可進(jìn)一步細(xì)化,增強(qiáng)可操作性�����;在項(xiàng)目的安全管理上還有很多可以完善的地方����;增加人力投入,加強(qiáng)安全管控����。
4.3 信息安全技術(shù)現(xiàn)狀
通過(guò)對(duì)最后技術(shù)資料的分析,得知以下信息安全基本情況:
1)主機(jī)的安全運(yùn)行有專門的技術(shù)人員支持和維護(hù)�����,建立了比較全面的安全操作規(guī)范���,具備應(yīng)對(duì)突發(fā)事件的能力���,能夠比較好的保障主機(jī)系統(tǒng)工作的連續(xù)性和完整性����;2)主機(jī)系統(tǒng)的安全管理主要涉及到服務(wù)器硬件����、操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)����、應(yīng)用服務(wù)系統(tǒng)等內(nèi)容,密鑰管理手段不科學(xué)��,主機(jī)系統(tǒng)的日志缺乏定期的安全分析����,主機(jī)的安全風(fēng)險(xiǎn)依賴于管理者的安全配置,缺少安全管理工具和安全監(jiān)測(cè)措施��;3)主機(jī)安全人員配備上沒(méi)有專職的系統(tǒng)安全管理員�����,一個(gè)人需要管理多臺(tái)主機(jī)設(shè)備,主要靠人工監(jiān)視主機(jī)系統(tǒng)的運(yùn)作管理����;4)用戶安全管理方面�,口令管理手段不科學(xué);5)主機(jī)漏洞修補(bǔ)方面不及時(shí)��,已知漏洞不能完全堵上�;6)主機(jī)系統(tǒng)的安全管理手段主要依賴系統(tǒng)自身提供的安全措施;7)主機(jī)系統(tǒng)的日志沒(méi)有無(wú)遠(yuǎn)程備份日志服務(wù)器�;8)主機(jī)設(shè)備類型多,監(jiān)測(cè)和管理手段依靠人工方式�,沒(méi)有自動(dòng)工具;9)系統(tǒng)人員管理一般從遠(yuǎn)程管理主機(jī)���,沒(méi)有全部采取遠(yuǎn)程安全措施��;10)部門分工按職能劃分��,未按系統(tǒng)劃分��。
5 分析結(jié)論:信息安全需求
基于以上分析�,得出了以下結(jié)論�,主要分為信息安全整體需求和集體歸納。
5.1 信息安全整體需求
大部分的企業(yè)沒(méi)有建立起完善的信息安全組織、管理團(tuán)隊(duì)����,技術(shù)方面欠缺。從總體上考慮�����,信息安全管理需要解決以下問(wèn)題:
1)企業(yè)內(nèi)部的信息安全組織結(jié)構(gòu)的協(xié)調(diào)一致性����;2)技術(shù)和管理方法的發(fā)展均衡性;3)公司內(nèi)部的業(yè)務(wù)發(fā)展急迫性與信息安全建設(shè)周期性之間的矛盾��;4)員工之間對(duì)信息安全認(rèn)知的差異性����;5)與第三方機(jī)構(gòu)(供應(yīng)商、服務(wù)商���、應(yīng)用開(kāi)發(fā)商)之間的信息安全管理關(guān)系��。
5.2 信息安全需求的集體歸納
5.2.1 信息安全組織與管理
根據(jù)上述對(duì)信息安全組織和管理現(xiàn)狀的分析����,安全組織與管理總體需求可以歸納為:在組織方面,建立打造一支具有專業(yè)水準(zhǔn)和過(guò)硬本領(lǐng)的信息安全隊(duì)伍�;在管理方面建立相應(yīng)的信息安全管理措施。
5.2.2 網(wǎng)絡(luò)安全需求
網(wǎng)絡(luò)安全���,其目標(biāo)是網(wǎng)絡(luò)的機(jī)密性��、可用性、完整性和可控制性�,不致因網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)通信協(xié)議��、網(wǎng)絡(luò)管理受到人為和自然因素的危害�����,而導(dǎo)致網(wǎng)絡(luò)傳輸信息丟失����、泄露或破壞。集體為:
1)集中統(tǒng)一的網(wǎng)絡(luò)接入認(rèn)證�、授權(quán)、審計(jì)安全技術(shù)�����;2)集中統(tǒng)一的網(wǎng)絡(luò)安全狀態(tài)監(jiān)測(cè)技術(shù);3)針對(duì)通訊網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)開(kāi)發(fā)安全檢查工具集����,包括網(wǎng)絡(luò)安全策略執(zhí)行檢查、網(wǎng)絡(luò)漏洞掃描����、網(wǎng)絡(luò)滲透測(cè)試等;4)能夠支持網(wǎng)絡(luò)的安全綜合管理平臺(tái)����,能夠支持網(wǎng)絡(luò)用戶安全管理。
5.2.3 主機(jī)系統(tǒng)安全需求
主機(jī)系統(tǒng)的安全需求歸納如下:
1)諸多主機(jī)的集中認(rèn)證��、授權(quán)�、審計(jì)安全管理技術(shù);2)針對(duì)主機(jī)系統(tǒng)的安全狀態(tài)監(jiān)測(cè)技術(shù)����;3)針對(duì)主機(jī)系統(tǒng)的安全檢查工具包;4)能夠支持主機(jī)的安全綜合管理平臺(tái)���。
5.2.4 數(shù)據(jù)安全需求
數(shù)據(jù)安全��,是指包括數(shù)據(jù)生成�、數(shù)據(jù)處理、數(shù)據(jù)傳輸�����、數(shù)據(jù)存儲(chǔ)��、數(shù)據(jù)利用���、數(shù)據(jù)銷毀等過(guò)程的安全����。其目標(biāo)是保證數(shù)據(jù)的保密性��、可用性���、完整性、可控制性���,確保不因數(shù)據(jù)操作�、操作系統(tǒng)����、數(shù)據(jù)庫(kù)系統(tǒng)��、網(wǎng)絡(luò)傳輸����、管理等因素受到人為的或自然因素的危害而引起數(shù)據(jù)丟失�����、泄露或破壞��。具體需求要求如下:
1)需要建立一個(gè)支持認(rèn)證�����、授權(quán)�、審計(jì)、安全等功能的數(shù)據(jù)生命周期管理機(jī)制�����;2)需要建立一套數(shù)據(jù)攻擊防范系統(tǒng)����,包括非法行為監(jiān)控、威脅報(bào)警�����、數(shù)據(jù)垃圾過(guò)濾等;3)需要建立一套數(shù)據(jù)容災(zāi)系統(tǒng)�,能夠提供數(shù)據(jù)應(yīng)急響應(yīng)、防止失竊�����、損毀和發(fā)霉變質(zhì)�。
5.2.5 應(yīng)用系統(tǒng)安全需求
應(yīng)用系統(tǒng)安全,是指包括需求調(diào)查�����、系統(tǒng)設(shè)計(jì)�、開(kāi)發(fā)�、測(cè)試、維護(hù)中所涉及到的安全問(wèn)題���。其目標(biāo)是應(yīng)用信息系統(tǒng)的保密性��、可用性���、完整性�����、可控制性��,不致因需求調(diào)查����、系統(tǒng)設(shè)計(jì)���、開(kāi)發(fā)��、測(cè)試��、維護(hù)過(guò)程受到人為和自然因素的危害�����,從而導(dǎo)致應(yīng)用信息系統(tǒng)數(shù)據(jù)丟失����、泄露或破壞�����。應(yīng)用方面的安全需求歸納如下:
1)需要建立一套關(guān)于應(yīng)用系統(tǒng)分類、應(yīng)用系統(tǒng)安全接口���、應(yīng)用系統(tǒng)操作流程等方面的應(yīng)用系統(tǒng)管理規(guī)范���;2)需要建立一套獨(dú)立的應(yīng)用系統(tǒng)安全測(cè)試環(huán)境,滿足應(yīng)用系統(tǒng)上線前能夠得到充分的安全測(cè)試���;3)需要建立一個(gè)基于角色認(rèn)證�、授權(quán)�����、審計(jì)的授權(quán)管理系統(tǒng)���,能夠支持按員工的工作崗位授權(quán)管理��,能夠支持事后責(zé)任追查的法律依據(jù);4)需要建立一個(gè)統(tǒng)一集中的應(yīng)用系統(tǒng)監(jiān)控管理平臺(tái)��,能夠支持檢測(cè)到異常的操作�。
6 結(jié)束語(yǔ)
文章通過(guò)對(duì)福建某企業(yè)的信息安全現(xiàn)狀進(jìn)行相關(guān)素材獲取,依照信息安全體系相關(guān)標(biāo)準(zhǔn)對(duì)整理后資料進(jìn)行分析,得出了該企業(yè)的信息安全現(xiàn)狀的評(píng)估結(jié)論�����,并提出了此類企業(yè)在信息安全體系建設(shè)上的需求分析�。本文的結(jié)論,對(duì)此類企業(yè)的信息安全體系建設(shè)有一定的參考意義����。
參考文獻(xiàn):
[1] 張世永.網(wǎng)絡(luò)安全原理與應(yīng)用[M].北京:科學(xué)出版社,2003.
[2] Christopher Alberts, Audrey Dorofee. Managing Information Security Risks. Pearson Education, Inc. 2003:10,80~82.
[3] 董良喜,王嘉禎,康廣.計(jì)算機(jī)網(wǎng)絡(luò)威脅發(fā)生可能性評(píng)價(jià)指標(biāo)研究[J]. 計(jì)算機(jī)工程與應(yīng)用,2004,40(26):143~148.
篇3
電力企業(yè)信息系統(tǒng)是基于電腦和網(wǎng)絡(luò)�����,實(shí)現(xiàn)電力制造��、管理等信息的收集�����、存儲(chǔ)����、分析及傳輸?shù)木C合性的有機(jī)系統(tǒng)。[1]信息作為一種重要的企業(yè)資源必須要對(duì)其進(jìn)行全面的安全管理��,企業(yè)信息安全管理是引導(dǎo)和協(xié)調(diào)組織的關(guān)于信息化安全風(fēng)險(xiǎn)的互相協(xié)調(diào)的活動(dòng),即企業(yè)管理層對(duì)企業(yè)相關(guān)信息和活動(dòng)安排進(jìn)行合理的規(guī)劃和協(xié)調(diào)���。一直以來(lái)����,很多人特別是對(duì)于信息行業(yè)出身的工作人員��,都受環(huán)境影響而陷入“技術(shù)就是一切”的誤區(qū)中��,即人們把企業(yè)信息安全的全部希望都寄托在加密技術(shù)上�����,他們認(rèn)為只要通過(guò)加密技術(shù)�����,任何信息安全問(wèn)題都能夠解決��。隨著網(wǎng)絡(luò)防火墻技術(shù)的誕生��,我們又常聽(tīng)到“防火墻是網(wǎng)絡(luò)安全的有力保障”的論調(diào)���。經(jīng)此之后,入侵檢測(cè)、VPN等更多新的概念及技術(shù)紛至沓來(lái)�,但無(wú)論技術(shù)怎樣變化,終究還是突破不了技術(shù)統(tǒng)領(lǐng)信息安全的枷鎖����。實(shí)際上,對(duì)企業(yè)信息安全技術(shù)的選擇及應(yīng)用只是企業(yè)信息系統(tǒng)安全化的一部分����,它只是實(shí)現(xiàn)企業(yè)安全運(yùn)營(yíng)的一個(gè)方法而己。大家之所以產(chǎn)生這樣的誤區(qū)���,其原因是多方面的�����,站在企業(yè)安全技術(shù)提供商的角度來(lái)說(shuō)���,其側(cè)重點(diǎn)在于銷售,因此向相關(guān)客戶輸送的大多都是以技術(shù)為核心的理念和信息���。站在客戶角度來(lái)說(shuō)���,只有企業(yè)的產(chǎn)品才是真實(shí)的�����、有形的��,對(duì)投資方來(lái)說(shuō)�,這是十分重要的����。因此,正是對(duì)于企業(yè)信息系統(tǒng)的錯(cuò)誤認(rèn)識(shí)�����,導(dǎo)致一些極端現(xiàn)象的產(chǎn)生���,比如:許多企業(yè)的信息化設(shè)備使用了防火墻����、網(wǎng)絡(luò)云掃描等技術(shù)�����,但卻沒(méi)有設(shè)定出一套以安全策略為核心的合理的安全管理方案����,從而造成安全技術(shù)及企業(yè)的產(chǎn)品生產(chǎn)十分混亂���,不能做到技術(shù)及相關(guān)產(chǎn)品的及時(shí)�����、有效的更新����。還有一些電力企業(yè)即使設(shè)定了一些安全管理措施,卻沒(méi)有使用有效的實(shí)施���、監(jiān)督機(jī)制來(lái)執(zhí)行�����,這讓安全管理措施徒有其表�,名存實(shí)亡���。經(jīng)過(guò)研究及調(diào)查�,現(xiàn)階段我國(guó)電力企業(yè)信息系統(tǒng)面臨的風(fēng)險(xiǎn)主要有:(1)信息系統(tǒng)缺陷����。隨著信息化的不斷發(fā)展����,電力企業(yè)信息系統(tǒng)也一直在不斷完善中�����,目前���,我國(guó)的電力企業(yè)在設(shè)計(jì)��、制造及產(chǎn)品裝配中仍存在著許多安全隱患與風(fēng)險(xiǎn)����,比如來(lái)自軟硬件組件的安全隱患等���,這些信息系統(tǒng)固有的缺陷對(duì)電力企業(yè)信息系統(tǒng)的安全造成了嚴(yán)重的威脅����。(2)信息系統(tǒng)安全管理不規(guī)范?,F(xiàn)階段,我國(guó)電力企業(yè)對(duì)電力信息系統(tǒng)的安全愈來(lái)愈重視�,很多電力企業(yè)都采取了各種風(fēng)險(xiǎn)管理及預(yù)防措施�,但是由于系統(tǒng)數(shù)據(jù)備份設(shè)備的不完善����、數(shù)據(jù)丟失等信息系統(tǒng)安全管理不規(guī)范現(xiàn)象的出現(xiàn)����,建立一套完善����、合理的電力企業(yè)信息系統(tǒng)安全管理體系尤為重要。(3)網(wǎng)絡(luò)安全意識(shí)薄弱����。由于電力企業(yè)的安全宣傳力度不夠,相關(guān)技術(shù)人員的安全意識(shí)薄弱而導(dǎo)致的信息系統(tǒng)安全問(wèn)題時(shí)有發(fā)生��,比如不能及時(shí)修補(bǔ)信息系統(tǒng)漏洞及補(bǔ)丁�����,相關(guān)人員不正確的操作���、或通過(guò)U盤(pán)導(dǎo)致重要信息泄露等�����,處理不好都很有可能造成整個(gè)電力系統(tǒng)的不穩(wěn)定甚至系統(tǒng)癱瘓�。(4)惡意人為破壞。隨著網(wǎng)絡(luò)共享度的提高����,我國(guó)的電力企業(yè)信息系統(tǒng)逐漸向開(kāi)放型及共享型發(fā)展,這使得一些不法分子有機(jī)可乘�,他們?yōu)榱俗约旱睦妫ㄟ^(guò)各種手段非法入侵電力企業(yè)的信息系統(tǒng)����,如植入病毒、竊聽(tīng)���、干擾阻斷等�,這對(duì)我國(guó)電力企業(yè)信息系統(tǒng)的安全構(gòu)成了極大的威脅�。
2電力企業(yè)信息系統(tǒng)安全管理研究
信息安全是一個(gè)復(fù)雜的、不斷變化的動(dòng)態(tài)過(guò)程���,如果電力企業(yè)只根據(jù)一時(shí)需要而忽略了信息安全的動(dòng)態(tài)性��,只是主觀的來(lái)制定一些風(fēng)險(xiǎn)管理措施����,就會(huì)造成在企業(yè)信息管理中顧此失彼,進(jìn)而導(dǎo)致企業(yè)的安全管理水平止步不前甚至有失偏頗��。[2]其正確的做法是�,電力企業(yè)要遵守相關(guān)信息安全標(biāo)準(zhǔn)及實(shí)踐總結(jié),結(jié)合企業(yè)自身對(duì)信息系統(tǒng)安全的實(shí)際需求�,在進(jìn)行完善的風(fēng)險(xiǎn)分析及風(fēng)險(xiǎn)管理的基礎(chǔ)上,通過(guò)一些合理的�����、可行的安全風(fēng)險(xiǎn)管理措施來(lái)使電力企業(yè)信息系統(tǒng)一直處于安全狀態(tài)���。除此之外,不斷更新的過(guò)程是電力企業(yè)進(jìn)行信息安全管理的最基本出發(fā)點(diǎn)���,該過(guò)程還應(yīng)該是動(dòng)態(tài)的����、變化的�����,即安全措施要隨著環(huán)境的變化及信息技術(shù)的提高而不斷改進(jìn)和完善,堅(jiān)決拒絕一成不變�����,這可以將信息系統(tǒng)的風(fēng)險(xiǎn)降到最低�����。[3]所以說(shuō)���,基于風(fēng)險(xiǎn)的評(píng)估及控制角度來(lái)說(shuō)��,電力企業(yè)信息系統(tǒng)的安全風(fēng)險(xiǎn)與其他領(lǐng)域的風(fēng)險(xiǎn)具有相似性����,與此同時(shí)��,電力系統(tǒng)信息系統(tǒng)安全風(fēng)險(xiǎn)又具有其獨(dú)特性�����。將其他領(lǐng)域內(nèi)的風(fēng)險(xiǎn)控制過(guò)程引入電力企業(yè)的信息風(fēng)險(xiǎn)管理領(lǐng)域��,需要同時(shí)考慮到其共性和個(gè)性。安全管理主要分為網(wǎng)絡(luò)級(jí)��、系統(tǒng)級(jí)和應(yīng)用級(jí)3個(gè)部分:(1)網(wǎng)絡(luò)級(jí)安全管理�����。電力企業(yè)信息系統(tǒng)的網(wǎng)絡(luò)級(jí)安全管理主要是指解決企業(yè)信息系統(tǒng)與網(wǎng)絡(luò)互聯(lián)而產(chǎn)生的安全風(fēng)險(xiǎn)問(wèn)題���,其主要從網(wǎng)絡(luò)防火墻及網(wǎng)絡(luò)結(jié)構(gòu)兩個(gè)方面采取安全管理措施�����。網(wǎng)絡(luò)防火墻對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)及外部網(wǎng)絡(luò)起到安全隔離作用�����,它可以有效預(yù)防潛在的破壞性入侵,同時(shí)可以對(duì)即將進(jìn)入企業(yè)內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行嚴(yán)格的檢測(cè)��,并對(duì)非法����、錯(cuò)誤的網(wǎng)絡(luò)信息進(jìn)行隔離,從而保護(hù)電力企業(yè)內(nèi)部網(wǎng)絡(luò)的安全�����。對(duì)于網(wǎng)絡(luò)結(jié)構(gòu),根據(jù)電力企業(yè)信息系統(tǒng)的實(shí)際情況�,相關(guān)技術(shù)人員結(jié)合網(wǎng)絡(luò)結(jié)構(gòu),設(shè)計(jì)出一種介于混合型和網(wǎng)狀型結(jié)構(gòu)之間的分布式網(wǎng)絡(luò)結(jié)構(gòu)�����,該分布式網(wǎng)絡(luò)系統(tǒng)具有較高的可靠性及容錯(cuò)能力�,從而對(duì)已有的網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行了優(yōu)化。(2)系統(tǒng)級(jí)安全管理����。在企業(yè)信息系統(tǒng)風(fēng)險(xiǎn)管理中,系統(tǒng)級(jí)安全設(shè)計(jì)與用戶的具體應(yīng)用具有密切的聯(lián)系���,具體而言��,其分為操作系統(tǒng)與數(shù)據(jù)處理兩個(gè)方面��。在操作系統(tǒng)方面�����,利用有效的網(wǎng)絡(luò)安全掃描對(duì)信息系統(tǒng)的安全風(fēng)險(xiǎn)進(jìn)行合理評(píng)估����,及時(shí)分析操作系統(tǒng)已有的漏洞,同時(shí)結(jié)合信息系統(tǒng)的漏洞自動(dòng)修補(bǔ)技術(shù)�����,實(shí)現(xiàn)定期為相關(guān)用戶消除網(wǎng)絡(luò)中的安全隱患�。在數(shù)據(jù)處理方面,企業(yè)要善于利用信息系統(tǒng)平臺(tái)再次對(duì)數(shù)據(jù)庫(kù)進(jìn)行數(shù)據(jù)安全加密�,從而將信息系統(tǒng)的數(shù)據(jù)庫(kù)風(fēng)險(xiǎn)降到最低。(3)應(yīng)用級(jí)安全管理�。應(yīng)用級(jí)安全設(shè)計(jì)具有直觀、具體的特點(diǎn)��,它是在設(shè)計(jì)電力企業(yè)的信息系統(tǒng)時(shí)���,通過(guò)技術(shù)手段將相應(yīng)的安全技術(shù)加入到信息系統(tǒng)中����,從而有效保證系統(tǒng)的安全穩(wěn)定運(yùn)行�。具體來(lái)說(shuō)��,電力企業(yè)信息系統(tǒng)的應(yīng)用系統(tǒng)訪問(wèn)控制是根據(jù)訪問(wèn)信息性質(zhì)的不同����,分別進(jìn)行公開(kāi)信息和私密信息的傳送�、存儲(chǔ)及管理���,從而實(shí)現(xiàn)在應(yīng)用層次上的訪問(wèn)控制��;而數(shù)字簽名技術(shù)可以通過(guò)對(duì)文件簽發(fā)者��、日期等提供準(zhǔn)確的不可更改的歷史記錄���,來(lái)保證系統(tǒng)所有文件的完整性。因此����,我們得知,為了確保電力企業(yè)信息系統(tǒng)的安全�����,要采取合理��、有效的管理手段來(lái)最大程度地降低風(fēng)險(xiǎn)����,即相關(guān)人員不僅要從技術(shù)層面來(lái)進(jìn)行安全管理的設(shè)計(jì)���,還要從管理層面進(jìn)行安全管理設(shè)置。[4]具體來(lái)說(shuō)可以從以下方面著手:(1)定期對(duì)企業(yè)系統(tǒng)的技術(shù)人員進(jìn)行安全教育�,增強(qiáng)其信息系統(tǒng)的安全意識(shí);(2)保持相關(guān)人員特別是管理層的人員穩(wěn)定���,若有人員調(diào)離����,需及時(shí)更換系統(tǒng)密碼���,避免企業(yè)機(jī)密泄露��;(3)設(shè)置合理的電力企業(yè)信息系統(tǒng)安全標(biāo)準(zhǔn)及企業(yè)制度等����。
3結(jié)語(yǔ)
篇4
【關(guān)鍵詞】煤礦企業(yè)��;計(jì)算機(jī)網(wǎng)絡(luò)����;管理;安全措施
企業(yè)計(jì)算機(jī)系統(tǒng)是一個(gè)分級(jí)分散的大型城域性網(wǎng)絡(luò),網(wǎng)絡(luò)管理不是局部性的工作��,僅僅依賴于集中式的網(wǎng)管系統(tǒng)也難以對(duì)整個(gè)網(wǎng)絡(luò)實(shí)施有效管理的���。為確保整個(gè)網(wǎng)絡(luò)的通暢,及時(shí)定位����、快速修復(fù)網(wǎng)絡(luò)故障,一定要對(duì)整個(gè)網(wǎng)絡(luò)實(shí)行全面管理��,掌握整個(gè)網(wǎng)絡(luò)的運(yùn)行狀況���。煤礦企業(yè)這樣的地域?qū)拸V��、用戶量較大的大型計(jì)算機(jī)網(wǎng)絡(luò)��,進(jìn)行分布式管理是較好的解決方案�,分布式管理系統(tǒng)不但能提高管理效率��,保障管理的安全可靠性��,也有利于邏輯集中���,關(guān)于協(xié)作關(guān)系的分布系統(tǒng)�,使全局性的管理工作更明確、簡(jiǎn)單���、實(shí)用���。
1、網(wǎng)絡(luò)管理
1.1網(wǎng)管中心的總體建設(shè)目標(biāo)
(1)煤礦企業(yè)網(wǎng)管中心一般負(fù)責(zé)骨干網(wǎng)和核心服務(wù)器群的管理����,并具備對(duì)下級(jí)網(wǎng)管中心進(jìn)行監(jiān)督指導(dǎo)的技術(shù)手段和工具。
(2)二級(jí)網(wǎng)管中心的主要職能是確保煤礦企業(yè)總部與工作單位的網(wǎng)絡(luò)暢通和數(shù)據(jù)的完整接收與上傳�����,并具備對(duì)三級(jí)網(wǎng)管中心進(jìn)行監(jiān)督指導(dǎo)的技術(shù)手段和工具�����,同時(shí)在網(wǎng)絡(luò)管理上發(fā)揮承上啟下的作用�。
通過(guò)各級(jí)網(wǎng)管中心的分工協(xié)作,對(duì)整個(gè)企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)的配置��、故障�、性能、狀態(tài)實(shí)現(xiàn)集中指導(dǎo)下的分級(jí)分布式管理。
1.2網(wǎng)絡(luò)管理系統(tǒng)總體要求
(1)網(wǎng)絡(luò)管理功能��。全網(wǎng)管理中心設(shè)在煤礦企業(yè)總部網(wǎng)絡(luò)中心�,在二級(jí)下屬單位設(shè)立二級(jí)網(wǎng)管中心,進(jìn)行分布式管理���。計(jì)算機(jī)網(wǎng)絡(luò)管理軟件可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的拓?fù)涔芾怼顟B(tài)監(jiān)控��、性能管理��、故障管理等���;支持煤礦企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)跨地域的各分支機(jī)構(gòu)局域網(wǎng)內(nèi)部可能存在的IP地址重疊狀況��,還具有分布式管理的能力�。
(2)服務(wù)器監(jiān)控�����。在各級(jí)網(wǎng)管中心對(duì)計(jì)算機(jī)應(yīng)用系統(tǒng)的服務(wù)器進(jìn)行監(jiān)控��,主要包括服務(wù)器狀態(tài)����、重要的性能參數(shù)�、進(jìn)程狀態(tài)�����、文件變化等內(nèi)容��,確保服務(wù)器的正常運(yùn)行��。在發(fā)生問(wèn)題時(shí)�����,可以及時(shí)報(bào)警����,并按其需要,對(duì)不同的管理員采用不同的報(bào)警方式��,確保在最短時(shí)間內(nèi)查出問(wèn)題出現(xiàn)的原因�����。
(3)故障管理���。在各級(jí)網(wǎng)管中心建立故障管理系統(tǒng)��,收集各種管理功能產(chǎn)生的故障事件�,并按照事件類型、事件源對(duì)事件進(jìn)行分類顯示�。
(4)軟件分發(fā)管理。在各級(jí)網(wǎng)管中心對(duì)煤礦企業(yè)計(jì)算機(jī)應(yīng)用系統(tǒng)的服務(wù)器進(jìn)行集中的軟件分發(fā)管理�����,管理員在中心完成軟件的打包����、下發(fā)�����、確認(rèn)等軟件更新管理��,以實(shí)現(xiàn)快速軟件部署�。
(5)資源管理。在各級(jí)網(wǎng)管中心對(duì)計(jì)算機(jī)應(yīng)用系統(tǒng)的資源進(jìn)行統(tǒng)計(jì)��,主要包括軟件���、硬件配置信息��。資源信息存放在關(guān)系數(shù)據(jù)庫(kù)中��,人員能運(yùn)用資源管理系統(tǒng)進(jìn)行資源查詢�����。
(6)遠(yuǎn)程控制管理��。在各級(jí)網(wǎng)管中心對(duì)各級(jí)應(yīng)用系統(tǒng)的服務(wù)器進(jìn)行遠(yuǎn)程控制���,實(shí)現(xiàn)遠(yuǎn)程技術(shù)支持���。通過(guò)遠(yuǎn)程控制,中心管理員能夠獲得遠(yuǎn)程機(jī)器的鍵盤(pán)����、鼠標(biāo)和屏幕,監(jiān)視或控制其操作��,并能與對(duì)方通信��,遠(yuǎn)程下發(fā)給對(duì)方需要的文件�����,以實(shí)現(xiàn)對(duì)遠(yuǎn)程服務(wù)器的支持。遠(yuǎn)程控制管理要在廣域網(wǎng)上工作��。
(7)存儲(chǔ)備份管理����。在各級(jí)網(wǎng)管中心對(duì)主要應(yīng)用系統(tǒng)的服務(wù)器進(jìn)行數(shù)據(jù)備份,主要包括重要文件和應(yīng)用數(shù)據(jù)�,如數(shù)據(jù)庫(kù)數(shù)據(jù),以確保在發(fā)生故障時(shí)��,能夠進(jìn)行數(shù)據(jù)恢復(fù)�。
(8)決策分析管理����。在各級(jí)網(wǎng)管中心對(duì)網(wǎng)絡(luò)系統(tǒng)的管理信息進(jìn)行匯總和相關(guān)的決策分析,以全面了解網(wǎng)絡(luò)系統(tǒng)運(yùn)行的狀況�,發(fā)現(xiàn)隱患,為提高管理水平提供決策信息�。
1.3網(wǎng)絡(luò)管理系統(tǒng)的功能
它主要包含網(wǎng)絡(luò)配置管理、網(wǎng)絡(luò)故障管理��、網(wǎng)絡(luò)性能管理��、網(wǎng)絡(luò)安全管理和網(wǎng)絡(luò)自動(dòng)化管理等功能。
2����、網(wǎng)絡(luò)安全措施
煤礦企業(yè)的信息網(wǎng)絡(luò)系統(tǒng)在規(guī)劃、設(shè)計(jì)和建設(shè)開(kāi)發(fā)應(yīng)用初期����,一定要重視網(wǎng)絡(luò)安全和信息安全,通常需要網(wǎng)絡(luò)信息安全方面的技術(shù)人員及專業(yè)公司進(jìn)行規(guī)劃設(shè)計(jì)��。煤礦企業(yè)網(wǎng)絡(luò)與信息系統(tǒng)的安全必須解決以下幾個(gè)問(wèn)題:物理鏈路安全問(wèn)題�����;網(wǎng)絡(luò)平臺(tái)安全問(wèn)題���;系統(tǒng)安全問(wèn)題��;應(yīng)用安全問(wèn)題��;管理安全問(wèn)題�����。
(1)網(wǎng)絡(luò)和信息安全體系設(shè)計(jì)原則�。即整體安全;有效管理�;合理折中;責(zé)權(quán)分明�����;綜合治理�����。
(2)網(wǎng)絡(luò)和信息安全體系結(jié)構(gòu)��。此模型由安全服務(wù)�、協(xié)議層次和系統(tǒng)單元三個(gè)層面描述,在每個(gè)層面上��,均包含安全管理的內(nèi)容���。此模型在整體上表現(xiàn)為一個(gè)三線立體框架結(jié)構(gòu)。
3�����、實(shí)施措施方法
在煤礦企業(yè)信息系統(tǒng)的安全實(shí)施中��,需要綜合使用備份技術(shù)(數(shù)據(jù)鏡像、備份線路����、備份設(shè)備)、VLAN技術(shù)���、lP地址綁定��、ACL技術(shù)�����、負(fù)載均衡技術(shù)�����、防火墻技術(shù)���、NAT技術(shù)等構(gòu)建企業(yè)網(wǎng)絡(luò)安全防范系統(tǒng)。使用VPN技術(shù)���,實(shí)現(xiàn)企業(yè)駐外機(jī)構(gòu)和移動(dòng)用戶訪問(wèn)企業(yè)Intent資源的數(shù)據(jù)保密通信����,構(gòu)建企業(yè)內(nèi)部保密通信子網(wǎng)。
(1)網(wǎng)絡(luò)安全防范����。①網(wǎng)絡(luò)優(yōu)化;②防火墻設(shè)備配置����;③安全策略的實(shí)施。
(2)網(wǎng)絡(luò)數(shù)據(jù)保密����。①互聯(lián)網(wǎng)、ADSL和撥號(hào)用戶的VPN解決方案��。②構(gòu)建保密通信子網(wǎng)�����。
(3)入侵檢測(cè)系統(tǒng)�。選用金諾網(wǎng)安入侵檢測(cè)系統(tǒng),分別放置在SSN區(qū)域���、中心交換機(jī)的監(jiān)控目上,重點(diǎn)保護(hù)子網(wǎng)所在的VLAN網(wǎng)段。
(4)安全評(píng)估系統(tǒng)��。在煤礦企業(yè)網(wǎng)絡(luò)系統(tǒng)中�,需要配備一套安全評(píng)估軟件,定期對(duì)局域網(wǎng)內(nèi)的服務(wù)器�、網(wǎng)絡(luò)設(shè)備、安全設(shè)備進(jìn)行掃描�,及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中存在的弱點(diǎn)和漏洞,并采取相應(yīng)的補(bǔ)救措施�。掃描內(nèi)容主要包括服務(wù)器的設(shè)置合理與否、防火墻的規(guī)則配置狀況����、路由器的路由表是否能被輕易修改等。此安全評(píng)估軟件能從不同角度對(duì)網(wǎng)絡(luò)進(jìn)行掃描���,能安裝在管理網(wǎng)段的一臺(tái)機(jī)器上����,也能安裝在筆記本電腦上��,從外部網(wǎng)絡(luò)掃描內(nèi)部網(wǎng)絡(luò)��。
4�、煤礦企業(yè)數(shù)據(jù)中心系統(tǒng)
在煤礦企業(yè)信息化中,建立安全、可靠���、高效的數(shù)據(jù)中心系統(tǒng)非常重要���。
(1)主機(jī)系統(tǒng)?��;谙到y(tǒng)軟件和可靠性等多方面的具體情況����,數(shù)據(jù)中心服務(wù)器:一是數(shù)據(jù)庫(kù)服務(wù)器���,二是應(yīng)用服務(wù)器����。其中�����,數(shù)據(jù)庫(kù)服務(wù)器由于要求高性能和高可靠性可由多臺(tái)小型機(jī)組成集群系統(tǒng)�����,提供24小時(shí)不間斷的數(shù)據(jù)存取服務(wù);應(yīng)用服務(wù)器要按各個(gè)應(yīng)用系統(tǒng)需求不同�,分別配置不同性能的PC服務(wù)器�����。
(2)操作系統(tǒng)平臺(tái)�。煤礦企業(yè)中心機(jī)房小型機(jī)使用UNIX操作系統(tǒng);其他PC服務(wù)器-般可采用MS���,Windows或LINUX服務(wù)器版操作系統(tǒng)�����,工作站及個(gè)人微機(jī)可使用幾個(gè)桌面操作系統(tǒng)����。
篇5
關(guān)鍵詞:信息安全��;計(jì)算機(jī)�;安全
我國(guó)信息安全發(fā)展的大環(huán)境目前已日臻完善,成立了全國(guó)信息技術(shù)標(biāo)準(zhǔn)化技術(shù)委員會(huì)����、國(guó)家計(jì)算機(jī)病毒應(yīng)急處理協(xié)調(diào)中心等機(jī)構(gòu)��。另外�,我國(guó)信息安全政策法規(guī)�、標(biāo)準(zhǔn)制定也已經(jīng)走入規(guī)范化進(jìn)程。但信息安全是一個(gè)征途而不是一個(gè)目的地��。新的技術(shù)����,新的業(yè)務(wù)需求和新的安全威脅不斷地改變環(huán)境。
由于計(jì)算機(jī)和國(guó)際互聯(lián)網(wǎng)的飛速普及���,中國(guó)目前已經(jīng)成為炙手可熱的黑客攻擊目標(biāo)��。全球每天約有200萬(wàn)臺(tái)PC機(jī)處于隨時(shí)可能被攻擊的失控狀態(tài)�����,而其中有20%的PC機(jī)來(lái)自中國(guó)�。據(jù)公安部對(duì)全國(guó)信息網(wǎng)絡(luò)安全狀況和計(jì)算機(jī)病毒疫情調(diào)查顯示�����,我國(guó)信息網(wǎng)絡(luò)安全事件發(fā)生比例為62.7%�����,計(jì)算機(jī)病毒感染率為85.5%,多次發(fā)生網(wǎng)絡(luò)安全事件的比例為50%�����,多次感染病毒的比例為66.8%��,可見(jiàn)����,我國(guó)信息安全體系安全性何等脆弱。筆者通過(guò)對(duì)目前信息安全體系安全現(xiàn)狀進(jìn)行分析并初探解決對(duì)策,希望能對(duì)信息安全體系的發(fā)展有所作用�。
一、信息安全存在的幾大安全現(xiàn)狀和威脅
第一�����,前期��,微軟對(duì)中國(guó)Winxp�����、office用戶反盜版黑屏事件已炒得沸沸揚(yáng)揚(yáng)�����,但反思后可得知:計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)使用的軟��、硬件很大一部分是國(guó)外產(chǎn)品����,我國(guó)電腦制造業(yè)對(duì)許多硬件核心部件的研發(fā)、生產(chǎn)能力很弱���,關(guān)鍵部件完全處于受制于人的地位����。并且對(duì)引進(jìn)的信息技術(shù)和設(shè)備缺乏保護(hù)信息安全所必不可少的有效管理和技術(shù)改造��。一旦發(fā)生重大情況�,那些隱藏在電腦芯片和操作軟件中的后門就有可能在某種秘密指令下激活,造成國(guó)內(nèi)電腦網(wǎng)絡(luò)����、電信系統(tǒng)癱瘓。
第二���,全社會(huì)的信息安全意識(shí)雖然有所提高��,但將其提到實(shí)際日程中來(lái)的依然很少�����。國(guó)家計(jì)算機(jī)病毒應(yīng)急處理協(xié)調(diào)中心進(jìn)行的多次安全普查和評(píng)估中發(fā)現(xiàn)許多公司和企業(yè)����,甚至敏感單位的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)基本處于不設(shè)防狀態(tài)。有的即使其網(wǎng)絡(luò)系統(tǒng)已由專業(yè)的安全服務(wù)商為其制定了安全策略�,但在一定時(shí)間后����,由于在網(wǎng)絡(luò)的使用中發(fā)現(xiàn)沒(méi)有以前的方便,便私自更改安全策略����,等一旦遭到攻擊已是悔之晚矣。
第三����,目前關(guān)于網(wǎng)絡(luò)犯罪的法律還不健全。比如盜竊�、刪改他人系統(tǒng)信息屬于犯罪行為,但僅僅是觀看���,既不進(jìn)行破壞���,也不謀取私利算不算犯罪��?還比如網(wǎng)上有很多BBS�����,黑客在上邊討論軟件漏洞����、攻擊手段等���,這既可以說(shuō)是技術(shù)研究�����,也可以說(shuō)是提供攻擊工具��,這又算不算犯罪呢�����?國(guó)內(nèi)很多網(wǎng)站在遭到攻擊后損失慘重���,為保證客戶對(duì)其的信任�,為名譽(yù)起見(jiàn)往往并不積極追究黑客的法律責(zé)任�,這種“姑息養(yǎng)奸”的做法就進(jìn)一步助長(zhǎng)了黑客的囂張氣焰。
第四�����,信息安全人才培養(yǎng)體系雖已初步形成�����,但隨著信息化進(jìn)程加快和計(jì)算機(jī)的廣泛應(yīng)用�,電子商務(wù)�、電子政務(wù)和電子金融的發(fā)展,對(duì)信息安全專門人才的培養(yǎng)提出了更高要求����,目前我國(guó)信息安全人才培養(yǎng)還遠(yuǎn)遠(yuǎn)不能滿足需要。
第五�,我國(guó)信息安全產(chǎn)業(yè)水平有待提高。一是安全應(yīng)用需求不明���,產(chǎn)業(yè)技術(shù)推動(dòng)性���、應(yīng)用針對(duì)性不夠��,國(guó)內(nèi)安全需求得不到很好滿足�����;二是產(chǎn)品過(guò)度集中����,低水平重復(fù)嚴(yán)重����。三是核心技術(shù)仍然受到制約,產(chǎn)業(yè)化水平較低����,產(chǎn)品安全質(zhì)量令人擔(dān)憂。
二��、解決方案初探:
象火災(zāi)防范工作的防消結(jié)合一樣���,合理的信息安全系統(tǒng)需要滿足兩方面的要求�����,首先是要把計(jì)算機(jī)網(wǎng)絡(luò)安全事件的發(fā)生率和損失可能性控制在可以接受的較低范圍內(nèi)����,其次是要使信息安全事故可以得到及時(shí)處理。
1��、信息安全基礎(chǔ)設(shè)施的必要性
盡管安全產(chǎn)品不是萬(wàn)能的�,配置各種安全產(chǎn)品并不能解決安全問(wèn)題,但計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)需要一些基礎(chǔ)的保護(hù)設(shè)施���。任何安全措施都建立在一定軟硬件環(huán)境基礎(chǔ)下�����,有很多安全機(jī)制是操作系統(tǒng)和網(wǎng)絡(luò)軟件產(chǎn)品本身已經(jīng)具備的����,而也有很多安全功能是需要專門安全產(chǎn)品才能實(shí)現(xiàn)的�����。因此需要根據(jù)用戶的實(shí)際網(wǎng)絡(luò)環(huán)境和應(yīng)用情況��,決定配置那些安全產(chǎn)品��。
2��、信息安全專業(yè)服務(wù)的必要性
任何一種安全產(chǎn)品所能提供的服務(wù)都是有限的���,也是不全面的���,要有效發(fā)揮操作系統(tǒng)、應(yīng)用軟件和安全產(chǎn)品的安全功能����,必須進(jìn)行全面的檢測(cè)、合理的配置和適當(dāng)?shù)膬?yōu)化��,才能使整個(gè)安全系統(tǒng)良好地運(yùn)轉(zhuǎn)起來(lái)����。而實(shí)現(xiàn)這些嚴(yán)密的安全措施需要第三方的專業(yè)信息安全人員的參與并發(fā)揮主要作用。鑒于未來(lái)網(wǎng)絡(luò)威脅的嚴(yán)重性和信息戰(zhàn)的可能性��,建立主動(dòng)性的信息安全防御體系已經(jīng)成為先進(jìn)國(guó)家的研究重點(diǎn)之一��,而主動(dòng)性安全防御體系中最重要的環(huán)節(jié)是一支專業(yè)化的信息安全服務(wù)力量��。
三、結(jié)論:信息安全問(wèn)題具有動(dòng)態(tài)性����,必須統(tǒng)籌兼顧,常抓不懈�����。
計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)軟硬件和應(yīng)用情況在不斷更新���。引入新設(shè)備���、新軟件和新的應(yīng)用,都會(huì)帶來(lái)新的安全問(wèn)題���。攻擊技術(shù)每天都在發(fā)展����,新的攻擊機(jī)制不斷出現(xiàn)�,新的攻擊機(jī)制決定了新病毒和新的黑客攻擊手段會(huì)對(duì)原本已經(jīng)比較安全的系統(tǒng)造成新的威脅。只有堅(jiān)持對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)進(jìn)行有計(jì)劃的�����,長(zhǎng)期進(jìn)行的評(píng)估和審計(jì)工作�����,才能保證最新的技術(shù)隱患會(huì)被及時(shí)識(shí)別和解決���。如果不結(jié)合這些新的技術(shù)動(dòng)態(tài)����、人員動(dòng)態(tài)和管理動(dòng)態(tài)進(jìn)行定期的安全性評(píng)估�,原本搭建好的安全體系將處于不可控的狀態(tài)。
參考文獻(xiàn):
[1] 徐國(guó)芹. 淺議如何建立企業(yè)信息安全體系架構(gòu)[J]. 中國(guó)高新技術(shù)企業(yè), 2009, (05) .
[2] 陳偉,向麗,劉爽,郭偉,謝明政. 企業(yè)信息安全體系架構(gòu)[J]. 石油地球物理勘探, 2008, (S1) .
篇6
關(guān)鍵詞:煙草行業(yè);信息安全;安全管理
隨著網(wǎng)絡(luò)技術(shù)的日趨成熟��,煙草行業(yè)的信息安全問(wèn)題日益凸顯����,網(wǎng)絡(luò)非法攻擊對(duì)煙草行業(yè)的發(fā)展造成了重大威脅,因此維護(hù)煙草行業(yè)信息安全管理工作具有重大意義���。本文從煙草行業(yè)信息安全管理的現(xiàn)狀入手�����,對(duì)加強(qiáng)煙草行業(yè)信息安全管理�,推進(jìn)信息安全體系建設(shè)提出一些可行性建議。
一���、煙草行業(yè)信息安全管理概述
信息安全是指對(duì)網(wǎng)絡(luò)的硬件��、軟件以及系統(tǒng)中儲(chǔ)存的數(shù)據(jù)進(jìn)行一定的保護(hù)�。避免它們受到惡意的攻擊���、惡意篡改或者泄露����。對(duì)于一個(gè)網(wǎng)絡(luò)系統(tǒng)而言���,其安全維護(hù)系統(tǒng)是非常重要的����,信息安全管理是信息安全的關(guān)鍵�����。隨著煙草行業(yè)并入經(jīng)濟(jì)全球化的格局���,我國(guó)的煙草行業(yè)競(jìng)爭(zhēng)日益增大���。為了使其發(fā)展更好����,煙草行業(yè)開(kāi)始在制造環(huán)節(jié)及銷售環(huán)節(jié)引入信息化建設(shè)管理����。而隨著對(duì)信息化管理的依賴程度的日益增加���,信息安全對(duì)整個(gè)煙草行業(yè)具有決定性的影響�。信息安全管理主要包括信息的私密性���、保密性���、真實(shí)性以及完整性。任何一個(gè)信息方面的安全漏洞都有可能對(duì)煙草行業(yè)安全造成滅頂之災(zāi)�����。然而煙草行業(yè)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)復(fù)雜�����,其信息化結(jié)構(gòu)也不完善,因此難以實(shí)現(xiàn)對(duì)整個(gè)行業(yè)的集成管理����,這為煙草行業(yè)的安全造成了巨大威脅。在當(dāng)前的煙草行業(yè)網(wǎng)絡(luò)系統(tǒng)中�,本身存在許多設(shè)計(jì)的薄弱環(huán)節(jié),這將造成一些不法分子通過(guò)信息系統(tǒng)的漏洞攻入信息安全系統(tǒng)����,從而使得重要的信息數(shù)據(jù)丟失,并造成整個(gè)管理系統(tǒng)癱瘓等問(wèn)題���。這些都對(duì)煙草行業(yè)的發(fā)展埋下了重大隱患�����。
二����、當(dāng)前煙草行業(yè)信息安全管理現(xiàn)狀與問(wèn)題
(一)網(wǎng)絡(luò)技術(shù)設(shè)施不完善�����。近年來(lái),盡管煙草行業(yè)已經(jīng)意識(shí)到安全管理的重要性�,但是煙草行業(yè)的內(nèi)部網(wǎng)絡(luò)是極其不完善的,因此信息網(wǎng)絡(luò)容易遭受攻擊�。這是由于信息網(wǎng)絡(luò)過(guò)于脆弱時(shí)會(huì)產(chǎn)生大量的安全漏洞。而且�����,信息網(wǎng)絡(luò)管理人員對(duì)企業(yè)的信息網(wǎng)絡(luò)安全防范意識(shí)過(guò)于薄弱��,當(dāng)內(nèi)部網(wǎng)絡(luò)的應(yīng)用程序越來(lái)越多時(shí)�����,系統(tǒng)的終端將存在大量安全問(wèn)題����。除此之外�����,信息網(wǎng)絡(luò)的操作系統(tǒng)安全問(wèn)題也值得重視�。而且操作系統(tǒng)可以通過(guò)建立遠(yuǎn)程鏈接進(jìn)行控制,這也給外部入侵提供了一個(gè)缺口�����,許多黑客就通過(guò)建立遠(yuǎn)程服務(wù)終端來(lái)竊取企業(yè)信息。
(二)缺乏整體防護(hù)措施���。由于對(duì)于信息網(wǎng)絡(luò)的不夠重視以及建立信息網(wǎng)絡(luò)時(shí)間過(guò)短����,因此缺乏相應(yīng)的信息網(wǎng)絡(luò)安全管理意識(shí)�,管理松散。同時(shí)由于過(guò)于注重對(duì)網(wǎng)絡(luò)相應(yīng)硬件設(shè)備的維護(hù)��,缺乏對(duì)軟件資源的管理意識(shí)�。甚至沒(méi)有意識(shí)到信息網(wǎng)絡(luò)安全的重要性,因此造成管理規(guī)章制度不夠完善�����,管理力度不夠�����,這些都不利于維護(hù)信息網(wǎng)絡(luò)安全���。而且由于不同用戶擁有不同的信息網(wǎng)絡(luò)使用權(quán)限����,難以實(shí)現(xiàn)對(duì)整體進(jìn)行統(tǒng)一管理。除此之外���,由于使用人員的不同����,造成數(shù)據(jù)存儲(chǔ)較為分散�,從而無(wú)法將其統(tǒng)一存儲(chǔ)在同一服務(wù)器內(nèi)。因此無(wú)法對(duì)其進(jìn)行統(tǒng)一的管理�,使得信息的泄露風(fēng)險(xiǎn)大大增加。一些人員在工作時(shí)�,對(duì)于傳遞的數(shù)據(jù)往往沒(méi)有加密意識(shí)���,這也給竊取機(jī)密的不法分子提供了攻擊的機(jī)會(huì)���。
(三)信息安全管理難以貫徹落實(shí)。當(dāng)前��,為了維護(hù)煙草行業(yè)的健康穩(wěn)定發(fā)展����,我國(guó)的煙草管理部門頒布了一系列的關(guān)于建設(shè)煙草行業(yè)信息安全管理的制度以及企業(yè)的信息安全管理制度�。這些制度規(guī)劃了煙草行業(yè)的最佳實(shí)踐效果藍(lán)圖�,然而煙草行業(yè)現(xiàn)狀還遠(yuǎn)不能達(dá)到這些要求。我國(guó)當(dāng)前的行業(yè)現(xiàn)狀與最佳實(shí)踐對(duì)比圖如圖1所示��。這些制度對(duì)于維護(hù)煙草行業(yè)信息安全是十分有效的�。然而從當(dāng)前的執(zhí)行力度來(lái)看,其效果不容樂(lè)觀��。一些煙草行業(yè)的規(guī)模較小���,缺乏對(duì)信息安全的了解���,因此往往這些信息安全管理制度流于形式,對(duì)于安全信息的存儲(chǔ)也極其隨意��。另外���,煙草行業(yè)的信息具有一定的流動(dòng)性���。因此對(duì)于維護(hù)信息安全的管理人員的技術(shù)要求較高。但是在大多數(shù)的煙草企業(yè)中��,這一點(diǎn)并沒(méi)有得到重視�����,因此操作人員的技術(shù)和素質(zhì)都難以使信息安全得到保證。同時(shí)企業(yè)管理系統(tǒng)的落后也導(dǎo)致煙草企業(yè)的信息化發(fā)展難以適應(yīng)企業(yè)發(fā)展�����,因此難以進(jìn)行信息安全維護(hù)��。
三�����、新形勢(shì)下煙草行業(yè)信息安全管理的要點(diǎn)與措施
(一)管理層面��。對(duì)于信息安全而言����,黑客及病毒對(duì)其產(chǎn)生的不良后果是巨大的���,因此煙草企業(yè)必須使用最為安全可靠的防火墻技術(shù)����,使信息網(wǎng)絡(luò)隔離開(kāi)來(lái)�����,減少外來(lái)攻擊。同時(shí)����,企業(yè)應(yīng)當(dāng)根據(jù)國(guó)家制定的相應(yīng)規(guī)范來(lái)制定適用于企業(yè)本身的網(wǎng)絡(luò)安全制度規(guī)范,使得信息網(wǎng)絡(luò)的安全程度和保密程度都大大增強(qiáng)�。
(二)重視安全防范的日志功能和審查制度。在大多數(shù)煙草企業(yè)中�,由于缺乏對(duì)于信息網(wǎng)絡(luò)使用的日志記錄,對(duì)信息網(wǎng)絡(luò)使用監(jiān)測(cè)不到位����,這一方面導(dǎo)致信息網(wǎng)絡(luò)出現(xiàn)安全事故時(shí),企業(yè)難以找到事故發(fā)生的原因����,從而不能快速解決問(wèn)題,也難以追回?fù)p失的資料;另一方面也造成企業(yè)難以找到事故的責(zé)任人���。因此����,在信息網(wǎng)絡(luò)中����,必須做好信息使用的安全記錄����,同時(shí)要對(duì)企業(yè)中使用網(wǎng)絡(luò)的人員進(jìn)行詳細(xì)的數(shù)據(jù)庫(kù)登記���,對(duì)于每一用戶登錄或退出網(wǎng)絡(luò)都進(jìn)行詳細(xì)的記載�����,當(dāng)發(fā)現(xiàn)可疑的登錄人員時(shí)���,應(yīng)立即采取相應(yīng)的安全防控措施,以減少企業(yè)的損失����。
(三)確保終端用戶合法操作。在企業(yè)中���,不同人員對(duì)于信息網(wǎng)絡(luò)的使用權(quán)限不同。因此為了統(tǒng)一管理信息網(wǎng)絡(luò)用戶����,需要對(duì)一些擁有極大權(quán)限的賬號(hào)進(jìn)行相應(yīng)的權(quán)限分割以及監(jiān)測(cè)�����。這些用戶在登錄時(shí)必須設(shè)置相應(yīng)的安全措施�����,例如安全卡和電子證書(shū)等����。這些用戶在登錄時(shí)���,如果發(fā)生密碼多次輸入錯(cuò)誤等情況�����,應(yīng)立即啟動(dòng)相應(yīng)安全措施����,如限制登錄等���,從而杜絕超級(jí)權(quán)限用戶泄密���。必要時(shí)啟動(dòng)相應(yīng)的審計(jì)功能�,使網(wǎng)絡(luò)監(jiān)控人員了解跟蹤所有對(duì)系統(tǒng)進(jìn)行的操作��。網(wǎng)絡(luò)設(shè)備系統(tǒng)�����、服務(wù)器系統(tǒng)��、數(shù)據(jù)輸入���、輸出系統(tǒng)��、機(jī)密數(shù)據(jù)系統(tǒng)�����、網(wǎng)絡(luò)設(shè)備間等重要房間都配備有磁卡門�,磁卡門上配多個(gè)磁卡閱讀器�,這樣必須多個(gè)人同時(shí)進(jìn)入房間才可允許進(jìn)入,進(jìn)行正常操作��。
四��、結(jié)語(yǔ)
對(duì)于煙草行業(yè)而言,充分利用網(wǎng)絡(luò)的優(yōu)勢(shì)��,同時(shí)避免網(wǎng)絡(luò)帶來(lái)的威脅是非常必要的���。網(wǎng)絡(luò)安全與煙草行業(yè)發(fā)展息息相關(guān),因此煙草行業(yè)信息的安全防控不可忽視���,隨著科學(xué)技術(shù)的發(fā)展���,煙草行業(yè)的安全防控措施也會(huì)逐漸增強(qiáng),這將極大促進(jìn)煙草行業(yè)的穩(wěn)定發(fā)展�。
作者:宋朋飛 單位:安徽省煙草公司宿州市公司
參考文獻(xiàn):
[1]楊欣.煙草行業(yè)信息安全應(yīng)對(duì)策略探討[J].中小企業(yè)管理與科技,2013��,5
[2]陳宇明.煙草行業(yè)信息安全管理的研究與探索[J].計(jì)算機(jī)安全�����,2011���,9
篇7
關(guān)鍵詞 ERP系統(tǒng) 企業(yè) 電子系統(tǒng) 管理
一 �、ERP在我國(guó)企業(yè)實(shí)施的現(xiàn)狀
ERP(Enterprise Resource Planning�,企業(yè)資源規(guī)劃)是指建立在信息技術(shù)基礎(chǔ)上,通過(guò)對(duì)企業(yè)銷售、生產(chǎn)�、采購(gòu)、物流等各個(gè)環(huán)節(jié)以及人力資源�、生產(chǎn)設(shè)備、資金等企業(yè)內(nèi)部資源的有效控制和管理�����,實(shí)現(xiàn)企業(yè)內(nèi)部資源的優(yōu)化配置�����,提高企業(yè)生產(chǎn)效率和市場(chǎng)響應(yīng)能力的管理平臺(tái)����。
在20世紀(jì)80年代,人們把生產(chǎn)�����、財(cái)務(wù)�����、銷售����、采購(gòu)��、人力資源等各個(gè)信息子系統(tǒng)集成為一個(gè)一體化的系統(tǒng)�,并成為制造資源計(jì)劃�����,MRPⅡ的基本原理就是把企業(yè)作為一個(gè)有機(jī)整體����,以生產(chǎn)計(jì)劃為主線�����,從整體最優(yōu)的角度出發(fā)�����,通過(guò)運(yùn)用科學(xué)方法對(duì)企業(yè)各種制造資源和產(chǎn)���、供��、銷���、材各個(gè)環(huán)節(jié)進(jìn)行統(tǒng)一有效的計(jì)劃��、組織和控制�����,使物流���、信息流、資金流流動(dòng)暢通的動(dòng)態(tài)反饋系統(tǒng)���,成為以生產(chǎn)制造為主線���,即物流、信息流�����、資金流為一體的全面制造資源計(jì)劃����。
在MRPⅡ管理模式下,可以有生產(chǎn)活動(dòng)與財(cái)務(wù)活動(dòng)有關(guān)的數(shù)據(jù)�,把實(shí)物形態(tài)的物料流動(dòng)直接轉(zhuǎn)化為價(jià)值形態(tài)的資金流動(dòng)�,從而保證了生產(chǎn)與財(cái)務(wù)數(shù)據(jù)的事實(shí)性和一致性�����,使財(cái)務(wù)部門得到及時(shí)��、準(zhǔn)確的資金信息���,用于控制成本,參與決策��,指導(dǎo)和控制生產(chǎn)經(jīng)營(yíng)活動(dòng)����。
由于國(guó)外MRPⅡ供應(yīng)商的熱情.媒體的宣傳和眾人的盲從,MRPⅡ在我國(guó)的應(yīng)用曾經(jīng)有一個(gè)�����,但終因不具備MRPⅡ生長(zhǎng)的環(huán)境而平息��。
我國(guó)ERP真正的運(yùn)用是20世紀(jì)90年代��,從90年代中后期開(kāi)始�����,為了確立競(jìng)爭(zhēng)優(yōu)勢(shì),各國(guó)企業(yè)更加關(guān)注進(jìn)入市場(chǎng)的時(shí)間��,產(chǎn)品的質(zhì)量����,服務(wù)的水平和運(yùn)營(yíng)成本的降低,并且為適應(yīng)市場(chǎng)全球化的要求����,組織結(jié)構(gòu)和投資結(jié)構(gòu)也趨向于分布式和扁平化,ERP就是在這種時(shí)代背景下面市的���,在ERP系統(tǒng)設(shè)計(jì)中��,考慮到僅靠自己企業(yè)的資源不可能有效地參與市場(chǎng)競(jìng)爭(zhēng)��,還必須把經(jīng)營(yíng)過(guò)程中的有關(guān)各方����,如:供應(yīng)商���、制造工廠�、分銷網(wǎng)絡(luò)、客戶等納入一個(gè)緊密的供應(yīng)鏈中����,才能有效的安排企業(yè)的產(chǎn)、供銷活動(dòng)�。滿足企業(yè)利用一切市場(chǎng)資源,快速高效地進(jìn)行生產(chǎn)經(jīng)營(yíng)的需求��,并準(zhǔn)確及時(shí)的反映各方的動(dòng)態(tài)信息�,監(jiān)控經(jīng)營(yíng)成本和資金流向,以其進(jìn)一步企業(yè)對(duì)市場(chǎng)反映的靈活性和財(cái)務(wù)效率�����,并在市場(chǎng)上獲得競(jìng)爭(zhēng)優(yōu)勢(shì)�����。
ERP是一種面向企業(yè)供應(yīng)鏈的整體資源的管理和利用��,可對(duì)供應(yīng)鏈上的所有環(huán)節(jié)進(jìn)行有效的管理���。從90年代起,全球ERP/MRPⅡ軟件產(chǎn)品市場(chǎng)排名最前的一些公司紛紛進(jìn)入我國(guó)市場(chǎng)�,國(guó)內(nèi)著名的幾家財(cái)務(wù)公司也聯(lián)名宣布進(jìn)軍ERP領(lǐng)域在企業(yè)中掀起一場(chǎng)ERP熱潮���。2002年3月7日,國(guó)家經(jīng)貿(mào)委和信息產(chǎn)業(yè)部聯(lián)合發(fā)出《關(guān)于大力推進(jìn)企業(yè)管理信息化的指導(dǎo)意見(jiàn)》�����,對(duì)企業(yè)管理信息化提出具體要求“國(guó)家重點(diǎn)企業(yè)管理信息化的起點(diǎn)要求�����,步伐要快�。到‘十五’末期,大多數(shù)國(guó)家重點(diǎn)企業(yè)要基本實(shí)現(xiàn)企業(yè)信息化���,制造類企業(yè)可以應(yīng)用ERP為主”��,“其他國(guó)有大中型企業(yè)要努力實(shí)現(xiàn)比較完善的財(cái)務(wù)����、營(yíng)銷管理信息化”�。這一指導(dǎo)意見(jiàn)對(duì)ERP的應(yīng)用起到了推動(dòng)作用,目前有一千多家企業(yè)在應(yīng)用ERP���,客觀上達(dá)到了利用計(jì)算機(jī)輔助管理的目的���,并在一定程度上促進(jìn)了企業(yè)管理的改進(jìn)���、提高和創(chuàng)新。
但是�����,從應(yīng)用效果上看�,無(wú)論我國(guó)政府還是企業(yè),在這方面投入不少��,其應(yīng)用效果令人擔(dān)憂���。在我國(guó)ERP實(shí)施的成功率不足50%�,同西方國(guó)家相比存在很大的差距����。據(jù)美國(guó)生產(chǎn)與庫(kù)存控制協(xié)會(huì)統(tǒng)計(jì)����,企業(yè)成功應(yīng)用ERP后,庫(kù)存下降30%~50%;延期交貨減少80%���,采購(gòu)提前期縮短50%����,停工待料減少50%����,制造成本減少12%,管理水平提高��,管理人員減少10%���,生產(chǎn)能力提高10%~15%�����。從這些數(shù)據(jù)可以看出����,ERP的成功應(yīng)用可以為企業(yè)帶來(lái)很樂(lè)觀的利益和前景�����,其在國(guó)外應(yīng)用的也相當(dāng)成功,已經(jīng)成為國(guó)外企業(yè)進(jìn)行日常工作流程管理和決策支持必不可少的工具���。但在我國(guó)在應(yīng)用和實(shí)施ERP軟件中遇上很多問(wèn)題����。
二���、ERP在我國(guó)企業(yè)實(shí)施中存在的問(wèn)題
ERP在我國(guó)實(shí)施的成功率低下或者說(shuō)ERP項(xiàng)目的實(shí)施不能達(dá)到我國(guó)企業(yè)期望的目標(biāo)�,主要原因在于:
1.企業(yè)管理者和員工的管理思想落后�。ERP系統(tǒng)本身蘊(yùn)涵著先進(jìn)的管理思想,實(shí)施ERP是一項(xiàng)管理系統(tǒng)工程��,涉及企業(yè)運(yùn)營(yíng)的方方面面����,且要求對(duì)企業(yè)的業(yè)務(wù)流程進(jìn)行重組,變革現(xiàn)行的管理模式����。然而,我國(guó)企業(yè)由計(jì)劃經(jīng)濟(jì)的時(shí)間不長(zhǎng)���,由于歷史的慣性,企業(yè)中的一些人員還習(xí)慣于計(jì)劃經(jīng)濟(jì)下的傳統(tǒng)的管理模式,包括管理方式��、組織機(jī)構(gòu)���、工作方式等����,市場(chǎng)意識(shí)不強(qiáng)��,難以接受新的管理思想和方式��,更不愿意變革�。雖然在某種程度上使用了IT,但是并沒(méi)有輔之以新的管理理念�,只是“穿新鞋走老路”,ERP的應(yīng)用效果不能凸顯�����,甚至阻礙了ERP進(jìn)一步發(fā)展�����。
管理思想是ERP的靈魂����,實(shí)施業(yè)務(wù)流程重組和管理信息化后����,企業(yè)管理思想和管理模式將發(fā)生革命性的質(zhì)的變化����,不能正確認(rèn)識(shí)的管理思想就不可能很好地去實(shí)施和應(yīng)用ERP系統(tǒng),因此����,管理者和員工的管理理念和工作方式必須進(jìn)行相應(yīng)調(diào)整。
2.ERP環(huán)境下信息系統(tǒng)內(nèi)部控制存在的問(wèn)題��。(1)信息系統(tǒng)非授權(quán)訪問(wèn)的風(fēng)險(xiǎn)����。對(duì)企業(yè)信息系統(tǒng)的使用必須經(jīng)過(guò)授權(quán),非授權(quán)的訪問(wèn)���,將帶來(lái)對(duì)企業(yè)重要信息的泄漏或丟失的風(fēng)險(xiǎn)�����。企業(yè)信息系統(tǒng)非授權(quán)訪問(wèn)的威脅主要來(lái)自于:系統(tǒng)內(nèi)部和系統(tǒng)外部����,如:黑客入侵和病毒攻擊�,尤其是有意圖的、有目的的攻擊行為�。將給企業(yè)帶來(lái)巨大的傷害,嚴(yán)重威脅企業(yè)信息的機(jī)密性�、完整性和可用性。(2)信息系統(tǒng)管理部門內(nèi)職責(zé)分離的控制風(fēng)險(xiǎn)�����。職責(zé)分離�����,是企業(yè)內(nèi)部控制的基礎(chǔ)控制手段���,主要目標(biāo)是防范內(nèi)部人員的舞弊行為帶給企業(yè)的災(zāi)難�。在ERP的環(huán)境下��,信息系統(tǒng)不相容的職責(zé)分離主要有:系統(tǒng)設(shè)計(jì)人員和系統(tǒng)操作人員的職責(zé)分離�,系統(tǒng)維護(hù)人員與系統(tǒng)操作人員的職責(zé)要分離,系統(tǒng)操作人員���、系統(tǒng)設(shè)計(jì)人員與數(shù)據(jù)檔案管理人員職責(zé)要分離��,數(shù)據(jù)庫(kù)管理員與信息系統(tǒng)管理部門的其他職責(zé)要分離����。(3)不同信息系統(tǒng)之間信息傳遞的控制風(fēng)險(xiǎn)。ERP系統(tǒng)需要與原有的生產(chǎn)管理系統(tǒng)����、網(wǎng)上電子采購(gòu)系統(tǒng)以及已停止使用但保留歷史數(shù)據(jù)的用友財(cái)務(wù)會(huì)計(jì)系統(tǒng)進(jìn)行溝通,雖然R/3軟件提供了系統(tǒng)外部接口�,但是,企業(yè)很難直接將它們和ERP系統(tǒng)進(jìn)行接口連接����,進(jìn)行集成管理。
3.ERP系統(tǒng)中的信息不對(duì)稱����。我國(guó)大多數(shù)企業(yè)信息化基礎(chǔ)比較弱,各個(gè)信息系統(tǒng)之間相互不匹配��、不融合�����,如銷售部門、財(cái)務(wù)部門�����、行政部門等部門之間信息系統(tǒng)數(shù)據(jù)不統(tǒng)一���。這主要是由于:(1)基礎(chǔ)數(shù)據(jù)的準(zhǔn)確性差。如生產(chǎn)系統(tǒng)運(yùn)行不規(guī)范�、生產(chǎn)過(guò)程不穩(wěn)定、企業(yè)管理機(jī)制和市場(chǎng)環(huán)境不完善等���,破壞了基礎(chǔ)數(shù)據(jù)的統(tǒng)一性���、完整性、和流暢性�,最終導(dǎo)致基礎(chǔ)數(shù)據(jù)的準(zhǔn)確性下降。(2)物流����、資金流和信息流不一致。物流��、資金流和信息流不是緊密聯(lián)系的�����, 企業(yè)內(nèi)部的信息不一致,許多部門之間的數(shù)據(jù)不一致��,對(duì)同一個(gè)問(wèn)題得出的結(jié)論不同�,甚至完全相反。這些造成企業(yè)管理資源的浪費(fèi)�,給企業(yè)帶來(lái)?yè)p失。
三��、我國(guó)ERP應(yīng)用率低下的解決對(duì)策
1.革新管理理念�����。ERP不僅僅對(duì)企業(yè)帶來(lái)的ERP軟件�,更重要的是給企業(yè)帶來(lái)了先進(jìn)的管理理念,企業(yè)實(shí)施ERP過(guò)程��,也是將ERP的管理理念引入企業(yè)的過(guò)程����。那么ERP的實(shí)施必然涉及企業(yè)的業(yè)務(wù)流程、組織機(jī)構(gòu)設(shè)置�����、人員配置等方方面面的配套改革。也必然涉及各方面利益關(guān)系的調(diào)整�����,所有這些僅僅依靠企業(yè)的某個(gè)功能���,都沒(méi)有辦法解決����,都需要企業(yè)關(guān)鍵領(lǐng)導(dǎo)出面對(duì)企業(yè)業(yè)務(wù)流程重組和變革以適應(yīng)ERP的實(shí)施給企業(yè)帶來(lái)的先進(jìn)管理理念�,可以說(shuō)��,企業(yè)的高層領(lǐng)導(dǎo)��,革新理念��、積極參與是成功實(shí)施ERP的關(guān)鍵��。
2.改革ERP環(huán)境下信息系統(tǒng)的內(nèi)部控制����。防范ERP信息系統(tǒng)的風(fēng)險(xiǎn),保證系統(tǒng)的安全,必須采取全面有效的控制措施�。(1)建立信息安全管理委員會(huì),完善組織控制�。企業(yè)可以設(shè)立獨(dú)立的信息安全管理委員會(huì),主要用于指導(dǎo)���、協(xié)調(diào)和評(píng)價(jià)企業(yè)信息系統(tǒng)��。實(shí)施過(guò)程中的安全控制措施�,該委員會(huì)應(yīng)該于信息系統(tǒng)的維護(hù)和使用部門相獨(dú)立���,負(fù)責(zé)確認(rèn)企業(yè)管理層的信息安全方針�����,并在企業(yè)組織中指派安全角色���。協(xié)調(diào)企業(yè)安全措施的實(shí)施。以達(dá)到對(duì)信息系統(tǒng)的監(jiān)管和有效的風(fēng)險(xiǎn)防范的作用�。該委員會(huì)可以和企業(yè)審計(jì)部門合作,對(duì)企業(yè)信息系統(tǒng)的是使用和信息安全管理的效果����,進(jìn)行綜合評(píng)價(jià)���,促進(jìn)企業(yè)信息系統(tǒng)的改進(jìn)。(2)加強(qiáng)網(wǎng)絡(luò)安全管理����。為抵制惡意軟件的入侵,企業(yè)應(yīng)該實(shí)施一系列控制措施來(lái)保證網(wǎng)絡(luò)安全���,例如:運(yùn)行專用的網(wǎng)關(guān)軟件進(jìn)行網(wǎng)絡(luò)監(jiān)控���,采用專用內(nèi)容過(guò)濾技術(shù),組織各種惡意內(nèi)容的入侵等���,并通過(guò)對(duì)防火墻掃描器入侵檢測(cè)等系統(tǒng)安全的支撐產(chǎn)品��,信息的采集與信息系統(tǒng)的事故報(bào)告進(jìn)行關(guān)聯(lián)分析,以便于更準(zhǔn)確的了解信息系統(tǒng)��,受到非授權(quán)訪問(wèn)或攻擊的信息�。以及控制措施和控制效果,有利于企業(yè)控制重點(diǎn)的調(diào)整����,加強(qiáng)網(wǎng)絡(luò)風(fēng)險(xiǎn)的防范����。(3)加強(qiáng)員工的信息安全意識(shí)����。進(jìn)行信息安全的再交易,企業(yè)信息系統(tǒng)的安全管理��,離不開(kāi)人的作用���,企業(yè)從上至下都建立起信息安全的概念���,并由管理層從戰(zhàn)略高度出發(fā),根據(jù)企業(yè)集團(tuán)的需要和特點(diǎn)����,制定一套清晰的信息安全指導(dǎo)方針,并向企業(yè)內(nèi)部各組織���,表明管理層對(duì)信息安全的支持和承諾�����。同時(shí)對(duì)員工信息安全的再教育����,培養(yǎng)員工的信息安全意識(shí)。使員工在處理業(yè)務(wù)處理時(shí)����,能夠依據(jù)企業(yè)的信息安全方針,進(jìn)行信息安全控制和風(fēng)險(xiǎn)防范���。
3.進(jìn)行ERP與電子商務(wù)的整合����。一個(gè)有效的企業(yè)管理信息系統(tǒng)應(yīng)該具有智能性���,具備一定分析和提煉綜合分析能力����,能提供準(zhǔn)確的����、及時(shí)的��、可供決策的信息��。實(shí)現(xiàn)這一系統(tǒng)功能離不開(kāi)電子商務(wù)。電子商務(wù)的實(shí)質(zhì)是企業(yè)經(jīng)營(yíng)管理的各個(gè)環(huán)節(jié)的信息化過(guò)程���,電子商務(wù)的開(kāi)展對(duì)ERP思想的實(shí)質(zhì)將起到一個(gè)橋梁作用����。電子商務(wù)是建立在ERP的基礎(chǔ)之上的應(yīng)用��,ERP是企業(yè)實(shí)施電子商務(wù)的支撐系統(tǒng)��,具體關(guān)系體現(xiàn)為:基于供應(yīng)鏈的兼容性�����。企業(yè)中存在三種流�,物流、資金流和信息流���。其中信息流不是孤立的�,它與物流和資金流緊密聯(lián)系����。反映了物資和資金流動(dòng)前、中�����、后的狀況。對(duì)基于這三種流分別存在的物資供應(yīng)鏈��,資金供應(yīng)鏈和信息供應(yīng)鏈��。由于電子商務(wù)主要涉及采購(gòu)和銷售業(yè)務(wù)�����,因此網(wǎng)上采購(gòu)部和網(wǎng)上銷售部成為企業(yè)的物流和資金流的一部分���。雖然ERP首先使用了供應(yīng)鏈管理思想��,但供應(yīng)鏈并不依賴于ERP而存在��。供應(yīng)鏈?zhǔn)瞧髽I(yè)一種客觀存在��。任何企業(yè)應(yīng)用系統(tǒng)都可以使用供應(yīng)鏈管理的思想和方法�����。
基于客戶關(guān)系管理的關(guān)聯(lián)性���。客戶關(guān)系管理(CRM)是ERP系統(tǒng)的一個(gè)發(fā)展方向����。面向客戶的客戶關(guān)系管理。不僅僅是將銷售過(guò)程自動(dòng)化�,而且?guī)椭髽I(yè)充分利用關(guān)鍵客戶和企業(yè)數(shù)據(jù)來(lái)優(yōu)化商業(yè)決策過(guò)程。CRM賦予客戶與企業(yè)進(jìn)行交流的能力��。而這種交流是通過(guò)電子商務(wù)來(lái)實(shí)現(xiàn)的���。電子商務(wù)系統(tǒng)的運(yùn)行為客戶和企業(yè)之間的交流提供中介���。向ERP提高最直接的數(shù)據(jù)資料。
整合是根據(jù)企業(yè)發(fā)展戰(zhàn)略和業(yè)務(wù)流程合并���、撤消或增加一些業(yè)務(wù)部門��。包括水平整合和垂直整合�����。同時(shí)也要求應(yīng)用軟件各模塊的合理劃分和有機(jī)集成��。而且還必須有數(shù)據(jù)庫(kù)層和操作層來(lái)支持��。具體的實(shí)現(xiàn)途徑如下:
(1)功能整合�。基于Internet的ERP系統(tǒng)應(yīng)滿足企業(yè)及伙伴庫(kù)存管理與銷售管理的基本功能����。庫(kù)存管理包括入庫(kù)盤(pán)點(diǎn)等。銷售管理包括發(fā)貨�����、發(fā)票管理等��。
(2)觀念和人才整合�。整合必須牽動(dòng)全局,會(huì)影響企業(yè)現(xiàn)行的管理思想��、管理制度和管理方法��。更為重要的是�,將會(huì)引起許多人利益的再分配。因而必然會(huì)遇到許多阻力����。這就要求最高決策層全力推動(dòng)轉(zhuǎn)變觀念,接受先進(jìn)的管理理念,要求企業(yè)的所有員工必須在思想上有正確的認(rèn)識(shí)����,以便于在有機(jī)組織中�����,充分發(fā)揮每個(gè)員工的主觀能動(dòng)性與全能�����,提高企業(yè)對(duì)市場(chǎng)動(dòng)態(tài)變化的響應(yīng)速度��。同時(shí)要求���,商業(yè)管理人員要有計(jì)算機(jī)知識(shí)����,IT技術(shù)人員要有管理理論和商務(wù)知識(shí)��,這樣企業(yè)才能對(duì)電子商務(wù)下的ERP有哪些需求����,技術(shù)上應(yīng)該怎么實(shí)現(xiàn),有個(gè)清楚的認(rèn)識(shí)。企業(yè)如果缺乏復(fù)合型人才���,便無(wú)法有效的實(shí)施ERP與電子商務(wù)的融合���。
電子商務(wù)與ERP的無(wú)縫整合可以最大限度地提高企業(yè)對(duì)市場(chǎng)的快速反應(yīng)能力和滿足客戶的個(gè)性化服務(wù),最終實(shí)現(xiàn)以供應(yīng)鏈管理為目標(biāo)��,使企業(yè)能在激烈的市場(chǎng)競(jìng)爭(zhēng)中��,立于不敗之地����。
參考文獻(xiàn)
[1]諾伯特?韋爾蒂.成功的ERP項(xiàng)目實(shí)施.北京:機(jī)械工業(yè)出版社.2001.
[2]Alexis leon.企業(yè)資源規(guī)劃.北京:清華大學(xué)出版社.2001.
[3]楊雄勝.內(nèi)部控制面臨的困境及出路.會(huì)計(jì)研究,2006.02.
篇8
關(guān)鍵詞:企業(yè)����;網(wǎng)絡(luò)安全;對(duì)策
一��、企業(yè)網(wǎng)絡(luò)安全的內(nèi)涵
企業(yè)網(wǎng)絡(luò)安全是指企業(yè)網(wǎng)絡(luò)系統(tǒng)的硬件���、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)��,不因偶然的或者惡意的原因而遭受到破壞����、更改、泄露�,系統(tǒng)連續(xù)可靠正常地運(yùn)行,網(wǎng)絡(luò)服務(wù)不中斷�����。企業(yè)網(wǎng)絡(luò)安全從其本質(zhì)上來(lái)講就是企業(yè)網(wǎng)絡(luò)上的信息安全���。從廣義來(lái)說(shuō),凡是涉及到企業(yè)網(wǎng)絡(luò)上信息的保密性�、完整性、可用性��、真實(shí)性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域�。
二、企業(yè)網(wǎng)絡(luò)安全存在的問(wèn)題
(一)安全意識(shí)淡薄
在企業(yè)網(wǎng)絡(luò)系統(tǒng)中�,每一臺(tái)計(jì)算機(jī)的安全性都會(huì)影響整個(gè)系統(tǒng)的安全性能,網(wǎng)絡(luò)安全與每個(gè)用戶息息相關(guān)�。內(nèi)部員工了解公司的網(wǎng)絡(luò)結(jié)構(gòu)、數(shù)據(jù)存放方式和地點(diǎn)甚至掌握業(yè)務(wù)系統(tǒng)的密碼����。在具有嚴(yán)格訪問(wèn)權(quán)限的系統(tǒng)中���,使用弱密碼的用戶有可能成為安全系統(tǒng)中的缺陷,甚至有些人隨意改動(dòng)系統(tǒng)注冊(cè)表�����,使得整個(gè)網(wǎng)絡(luò)安全系統(tǒng)失效�。
(二)網(wǎng)絡(luò)安全體系不健全
當(dāng)前很多企業(yè)盡管采取了一些安全措施,但安全保護(hù)措施較為零散���,缺乏整體性與系統(tǒng)性�,對(duì)于企業(yè)網(wǎng)絡(luò)信息安全保護(hù)缺乏統(tǒng)一的�����、明確的指導(dǎo)思想��,沒(méi)有建立一個(gè)完善的安全體系���,這是引發(fā)安全問(wèn)題的主要源頭�。
(三)網(wǎng)絡(luò)黑客攻擊
黑客肆意妄為��,破壞的手段也越來(lái)越多樣化��。企業(yè)的內(nèi)部資料對(duì)于整個(gè)企業(yè)經(jīng)營(yíng)來(lái)說(shuō)相當(dāng)重要,因?yàn)樗P(guān)系到整個(gè)企業(yè)的生死存亡����。企業(yè)存放信息會(huì)因網(wǎng)絡(luò)黑客攻擊而造成資料的泄密。
(四)來(lái)自企業(yè)外部的感染
來(lái)自企業(yè)外部的計(jì)算機(jī)病毒具有傳播性�����、破壞性�、隱蔽性、潛伏性和可觸發(fā)性等特點(diǎn)�,通過(guò)入侵網(wǎng)絡(luò)系統(tǒng)和設(shè)備,對(duì)數(shù)據(jù)進(jìn)行破壞��,使網(wǎng)絡(luò)癱瘓����,不能正常運(yùn)作���。網(wǎng)絡(luò)蠕蟲(chóng)由于不需要用戶干預(yù)就能觸發(fā)�����,因而其傳播速度要遠(yuǎn)遠(yuǎn)大于計(jì)算機(jī)病毒���,其對(duì)網(wǎng)絡(luò)性能產(chǎn)生的影響也更為顯著和嚴(yán)重����。木馬是指附著在應(yīng)用程序中或者單獨(dú)存在的一些惡意程序����,它可以利用網(wǎng)絡(luò)遠(yuǎn)程控制安裝有服務(wù)端程序的主機(jī),實(shí)現(xiàn)對(duì)主機(jī)的控制或者竊取主機(jī)上的機(jī)密信息���。
(五)來(lái)自企業(yè)網(wǎng)絡(luò)內(nèi)部的攻擊
企業(yè)防護(hù)重點(diǎn)是對(duì)外���,往往忽視對(duì)內(nèi)部防護(hù)的重視。利用企業(yè)內(nèi)部計(jì)算機(jī)對(duì)企業(yè)局域網(wǎng)絡(luò)進(jìn)行攻擊�����,企業(yè)局域網(wǎng)絡(luò)也會(huì)受到嚴(yán)重攻擊��,當(dāng)前企業(yè)內(nèi)部攻擊行為大大加強(qiáng)了企業(yè)網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)�。
三、企業(yè)網(wǎng)絡(luò)安全對(duì)策的思考
(一)強(qiáng)化信息安全意識(shí)
網(wǎng)絡(luò)安全必須要靠企業(yè)全體人員的意識(shí)提高才能形成一種好的氛圍�。每個(gè)人在主觀上有一種“我要安全”的意識(shí)才能不斷提高網(wǎng)絡(luò)的安全水平。要有專職部門負(fù)責(zé)管理企業(yè)網(wǎng)絡(luò)安全�����,其它各部門服從專職部門的統(tǒng)一規(guī)劃,統(tǒng)一部署���。樹(shù)立“網(wǎng)絡(luò)安全無(wú)小事”的理念���,落實(shí)建立健全各項(xiàng)各項(xiàng)規(guī)章制度。要把職責(zé)�、標(biāo)準(zhǔn)、流程落實(shí)到實(shí)處���,實(shí)現(xiàn)網(wǎng)絡(luò)安全管理精細(xì)化����。
(二)構(gòu)建健全的網(wǎng)絡(luò)安全體系
網(wǎng)絡(luò)安全體系不是一勞永逸地能夠防范任何攻擊的完美系統(tǒng)���。企業(yè)力圖建立的是一個(gè)網(wǎng)絡(luò)安全的動(dòng)態(tài)防護(hù)體系,是動(dòng)態(tài)加靜態(tài)的防御���,是被動(dòng)加主動(dòng)的防御甚至抗擊���,是管理加技術(shù)的完整安全觀念����,是一個(gè)科學(xué)��、系統(tǒng)��、全面的網(wǎng)絡(luò)安全結(jié)構(gòu)體系��。該網(wǎng)絡(luò)安全體系的設(shè)計(jì)必須采用多層次���、多維度的設(shè)計(jì)思路�����,才能有效地保障企業(yè)網(wǎng)絡(luò)的安全��。企業(yè)網(wǎng)絡(luò)安全體系的構(gòu)建目標(biāo)是使在企業(yè)網(wǎng)絡(luò)中��,信息的自由性���、秘密性、完整性����、共享性等都能得到良好保護(hù)的一種狀態(tài)�����,在網(wǎng)絡(luò)傳遞的信息沒(méi)有被故意的或偶然的非法授權(quán)泄露���、更改、破壞或使信息被非法系統(tǒng)辨識(shí)����、控制,網(wǎng)絡(luò)信息的保密性�、完整性、可用性�、可控性得到良好保護(hù)的狀態(tài)。
(三)強(qiáng)化企業(yè)辦公電腦的安全管理
經(jīng)常刪除垃圾文件�����,把木馬和病毒消滅�����,以防止黑客攻擊�。防御黑客失敗,可能會(huì)導(dǎo)致硬盤(pán)上的所有重要數(shù)據(jù)被破壞甚至刪除����。用恢復(fù)技術(shù)對(duì)硬盤(pán)數(shù)據(jù)進(jìn)行恢復(fù),如要恢復(fù)的數(shù)據(jù)涉及一些商業(yè)機(jī)密��,準(zhǔn)備新的空白硬盤(pán)作為數(shù)據(jù)恢復(fù)后的載體��,千萬(wàn)不能將數(shù)據(jù)恢復(fù)到別人的機(jī)器上��,因?yàn)樗麄兗热荒芑謴?fù)您硬盤(pán)上的數(shù)據(jù)�����,也一定也能恢復(fù)暫存在他們的硬盤(pán)上的相關(guān)數(shù)據(jù)����,恢復(fù)數(shù)據(jù)的過(guò)程最好有人全程監(jiān)控,以避免泄密�����。及時(shí)進(jìn)行入侵檢測(cè)�����,如發(fā)現(xiàn)有被攻擊的跡象,要迅速根據(jù)用戶事先定義的動(dòng)作做出相關(guān)反應(yīng)�,檢查系統(tǒng)上存在的可能拒絕服務(wù)攻擊檢測(cè)系統(tǒng)中是不是被安裝了某些竊聽(tīng)的程序,防火墻系統(tǒng)有沒(méi)有存在配置錯(cuò)誤和安全漏洞問(wèn)題�����。
(四)加強(qiáng)企業(yè)外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)的管理
對(duì)企業(yè)的外部和內(nèi)部網(wǎng)絡(luò)進(jìn)行相關(guān)的控制是必要的�,尤其是訪問(wèn)控制,可以根據(jù)企業(yè)的實(shí)際情況和需要設(shè)置防火墻�����,加強(qiáng)必要的防護(hù)設(shè)施�,把安全漏洞控制好。做好防護(hù)工作����,關(guān)掉一些敏感端口和一些不必要的服務(wù),那么一些想要入侵的人就會(huì)受到一定的限制�,以阻擋外部網(wǎng)絡(luò)不法分子的侵入,防止偷竊或起著破壞性作用的惡意攻擊��。同時(shí)企業(yè)還應(yīng)在基礎(chǔ)的防火墻體系上建立入侵檢測(cè)系統(tǒng)��,利用交換機(jī)處所布置的入侵檢測(cè)系統(tǒng)實(shí)時(shí)監(jiān)控企業(yè)內(nèi)網(wǎng)的安全事件����,以此為網(wǎng)絡(luò)管理員的管理工作奠定基礎(chǔ),便于管理員及時(shí)針對(duì)情況做出反應(yīng)��。針對(duì)企業(yè)移動(dòng)辦公人員的移動(dòng)需求��,企業(yè)還應(yīng)建立VPN加密系統(tǒng)��。為移動(dòng)辦公人員通過(guò)互聯(lián)網(wǎng)絡(luò)訪問(wèn)企業(yè)內(nèi)網(wǎng)奠定基礎(chǔ)�����。通過(guò)科學(xué)的網(wǎng)絡(luò)安全設(shè)置以及相應(yīng)體系的建立提高企業(yè)網(wǎng)絡(luò)安全防護(hù)性能�。
四、結(jié)語(yǔ)
現(xiàn)代企業(yè)網(wǎng)絡(luò)安全建設(shè)是現(xiàn)代企業(yè)經(jīng)營(yíng)與管理中的重要工作之一�����。網(wǎng)絡(luò)安全建設(shè)關(guān)系到企業(yè)信息的安全�,關(guān)系到企業(yè)信息化管理工作的開(kāi)展,關(guān)系到企業(yè)管理工作的有效傳達(dá)�。通過(guò)網(wǎng)絡(luò)安全建設(shè)能夠保障企業(yè)信息流暢以及企業(yè)經(jīng)營(yíng)、財(cái)務(wù)等信息的安全�。
參考文獻(xiàn):
[1]陳靜.關(guān)于企業(yè)網(wǎng)絡(luò)系統(tǒng)安全防護(hù)的探討[J].企業(yè)信息化,2009�����,6
[2]柳葉,魏立國(guó).企業(yè)信息化建設(shè)中網(wǎng)絡(luò)安全建設(shè)的分析[J].計(jì)算機(jī)網(wǎng)絡(luò)資訊��,2010���,07
