淺析企業(yè)信息安全概述及防范

淺析企業(yè)信息平安概述及防范關(guān)鍵詞：信息平安風(fēng)險(xiǎn)防范摘要：該文對(duì)企業(yè)信息平安所面臨的風(fēng)險(xiǎn)進(jìn)展了深化討論，并提出了對(duì)應(yīng)的解決平安問(wèn)題的思路和方法。隨著計(jì)算機(jī)信息化建立的飛速開(kāi)展而信息系統(tǒng)在企業(yè)中所處的地位越來(lái)越重要。信息平安隨著信息技術(shù)的不斷開(kāi)展而演變，其重要性日益越來(lái)越明顯，信息平安所包含的內(nèi)容、范圍也不斷的變化。信息平安有三個(gè)中心目的。保密性：保證非授權(quán)操作不能獲取受保護(hù)的信息或計(jì)算機(jī)資源。完好性：保證非授權(quán)操作小能修改數(shù)據(jù)。有效性：保證非授權(quán)操作不能破壞信息或計(jì)算機(jī)資源。信息平安的重點(diǎn)放在了保護(hù)信息，確保信息在存儲(chǔ)，處理，傳輸過(guò)程中及信息系統(tǒng)不被破壞，確保對(duì)合法用戶的效勞和限制非授權(quán)用戶的效勞，以及必要的防御攻擊的措施。1企業(yè)信息平安風(fēng)險(xiǎn)分析計(jì)算機(jī)信息系統(tǒng)在企業(yè)的消費(fèi)、經(jīng)營(yíng)管理等方面發(fā)揮的作用越來(lái)越重要，假設(shè)這些信息系統(tǒng)及網(wǎng)絡(luò)系統(tǒng)遭到破壞，造成數(shù)據(jù)損壞，信息泄漏，不能正常運(yùn)行等問(wèn)題，那么將對(duì)企業(yè)的消費(fèi)管理以及經(jīng)濟(jì)效益等造成不可估量的損失，信啟、技術(shù)在進(jìn)步消費(fèi)效率和管理程度的同時(shí)，也帶來(lái)了不同以往的平安風(fēng)險(xiǎn)和問(wèn)題。信息平安風(fēng)險(xiǎn)和信息化應(yīng)用情況親密相關(guān)，和采用的信息技術(shù)也親密相關(guān)，公司信息系統(tǒng)面臨的主要風(fēng)險(xiǎn)存在于如下幾個(gè)方面。計(jì)算機(jī)病毒的威脅：在業(yè)信息平安問(wèn)題中，計(jì)算機(jī)病毒發(fā)生的頻率高，影響的面寬，并且造成的破壞和損失也列在所有平安威脅之首。病毒感染造成網(wǎng)絡(luò)通信阻塞，系統(tǒng)數(shù)據(jù)和文件系統(tǒng)破壞，系統(tǒng)無(wú)法提供效勞甚至破壞后無(wú)法恢復(fù)，特別是系統(tǒng)中多年積累的重要數(shù)據(jù)的喪失，損失是災(zāi)難性的。在目前的局域網(wǎng)建成，廣域網(wǎng)聯(lián)通的條件下，計(jì)算機(jī)病毒的傳播更加迅速，單臺(tái)計(jì)算機(jī)感染病毒，在短時(shí)間內(nèi)可以感染到通過(guò)網(wǎng)絡(luò)聯(lián)通的所有的計(jì)算機(jī)系統(tǒng)。病毒傳播速度，感染和破壞規(guī)模與網(wǎng)絡(luò)尚未聯(lián)通之時(shí)相比，高出幾個(gè)數(shù)量級(jí)。網(wǎng)絡(luò)平安問(wèn)題：企業(yè)網(wǎng)絡(luò)的聯(lián)通為信息傳遞提供了方便的途徑。業(yè)有許多應(yīng)用系統(tǒng)如：辦公自動(dòng)化系統(tǒng)，營(yíng)銷系統(tǒng)，電子商務(wù)系統(tǒng)，ERP，CRM，遠(yuǎn)程教育培訓(xùn)系統(tǒng)等，通過(guò)廣域網(wǎng)傳遞數(shù)據(jù)。目前大部分企業(yè)都采用光纖的方式連接到互聯(lián)網(wǎng)運(yùn)營(yíng)商，企業(yè)內(nèi)部職工可以通過(guò)互聯(lián)網(wǎng)方便地閱讀網(wǎng)絡(luò)查閱、獲取信息，即時(shí)聊天、發(fā)送電子郵件等。如何加強(qiáng)網(wǎng)絡(luò)的平安防護(hù)，保護(hù)企業(yè)內(nèi)部網(wǎng)上的信息系統(tǒng)和信息資源的平安，保證對(duì)信息網(wǎng)絡(luò)的合法使用，是目前一個(gè)熱門的平安課題，也是當(dāng)前企業(yè)面臨的一個(gè)非常突出的平安問(wèn)題。信息傳遞的平安不容無(wú)視：隨著辦公自動(dòng)化，財(cái)務(wù)管理系統(tǒng)，各個(gè)企業(yè)相關(guān)業(yè)務(wù)系統(tǒng)等消費(fèi)，經(jīng)營(yíng)方面的重要系統(tǒng)投入在線運(yùn)行，越來(lái)越多的重要數(shù)據(jù)和機(jī)密信息都通過(guò)企業(yè)的內(nèi)部局域網(wǎng)來(lái)傳輸。網(wǎng)絡(luò)中傳輸?shù)倪@些信息面臨著各種平安風(fēng)險(xiǎn)，例如被非法用戶截取從而泄露企業(yè)機(jī)密；被非法篡改，造成數(shù)據(jù)混亂，信息錯(cuò)誤從而造成工作失誤。用戶身份認(rèn)證和信息系統(tǒng)的訪問(wèn)控制急需加強(qiáng)：企業(yè)中的信息系統(tǒng)一般為特定范圍的用戶使用，信息系統(tǒng)中包含的信息和數(shù)據(jù)，也只對(duì)一定范圍的用戶開(kāi)放，沒(méi)有得到授權(quán)的用戶不能訪問(wèn)。為此各個(gè)信息系統(tǒng)中都設(shè)計(jì)r用戶管理功能，在系統(tǒng)中建立用戶，設(shè)置權(quán)限，管理和控制用戶對(duì)信息系統(tǒng)的訪問(wèn)。這些措施在一定可以程度上加強(qiáng)系統(tǒng)的平安性。但在實(shí)際應(yīng)用中仍然存在一些問(wèn)題。一是部分應(yīng)用系統(tǒng)的用戶權(quán)限管理功能過(guò)于簡(jiǎn)單，能靈敏實(shí)現(xiàn)更細(xì)的權(quán)限控制。二是各應(yīng)用系統(tǒng)沒(méi)有一個(gè)統(tǒng)一的用戶管理，企業(yè)的一個(gè)員工要使用到好幾個(gè)系統(tǒng)時(shí)，在每個(gè)應(yīng)用系統(tǒng)中都要建立用戶賬號(hào)，口令和設(shè)置權(quán)限，用戶自己都記不住眾多的賬號(hào)和口令，使用起來(lái)非常不方便，更不用說(shuō)賬號(hào)的有效管理和平安了。如何為各應(yīng)用系統(tǒng)提供統(tǒng)一的用戶管理和身份認(rèn)證效勞，是我們開(kāi)發(fā)建立應(yīng)用系統(tǒng)時(shí)必須考慮的一個(gè)共性的平安問(wèn)題。2解決信息平安問(wèn)題的根本原那么企業(yè)要建立完好的信息平安防護(hù)體系，必須根據(jù)企業(yè)實(shí)際情況，，結(jié)合信息系統(tǒng)建立和應(yīng)用的步伐，統(tǒng)籌規(guī)劃，分步施行。2．1做好平安風(fēng)險(xiǎn)的評(píng)估進(jìn)展平安系統(tǒng)的建立，首先必須全面進(jìn)展信息平安風(fēng)險(xiǎn)評(píng)估，找出問(wèn)題，確定需求，制定策略，再來(lái)施行，施行完成后還要定期評(píng)估和改進(jìn)。信息平安系統(tǒng)建立著重點(diǎn)在平安和穩(wěn)定，應(yīng)盡量采用成熟的技術(shù)和產(chǎn)品，不能過(guò)分求全求新。培養(yǎng)信息平安專門人才和加強(qiáng)信息平安管理工作必須與信息平安防護(hù)系統(tǒng)建立同步進(jìn)展，才能真正發(fā)揮信息平安防護(hù)系統(tǒng)和設(shè)備的作用。2．2采用信息平安新技術(shù)，建立信息平安防護(hù)體系企業(yè)信息平安面臨的問(wèn)題很多，我們可以根據(jù)平安需求的輕重緩急，解決相關(guān)平安問(wèn)題的信息平安技術(shù)的成熟度綜合考慮，分步施行。技術(shù)成熟的，能快速見(jiàn)效的平安系統(tǒng)先施行。2．3根據(jù)信息平安策略，出臺(tái)管理制度，進(jìn)步平安管理程度信息平安的管理包括了法律法規(guī)的規(guī)定，責(zé)任的分化，策略的規(guī)劃，政策的制訂，流程的制作，操作的審議等等。雖然信息平安“七分管理，三分技術(shù)〞的說(shuō)法不是很準(zhǔn)確，但管理的作用可見(jiàn)一斑。3解決信息平安問(wèn)題的思路和方法企業(yè)的信息安傘管理要從以下幾個(gè)方面人手，相輔相成、互相配合。3．1從技術(shù)手段入手保證網(wǎng)絡(luò)的平安網(wǎng)絡(luò)平安指由于網(wǎng)絡(luò)信息系統(tǒng)基于網(wǎng)絡(luò)運(yùn)行和網(wǎng)絡(luò)問(wèn)的互聯(lián)互通造成的物理線路和連接的平安、網(wǎng)絡(luò)系統(tǒng)平安、操作系統(tǒng)平安、應(yīng)用效勞平安、人員管理平安幾個(gè)方面。網(wǎng)絡(luò)由于其本身開(kāi)放性所帶來(lái)的各個(gè)方面的平安問(wèn)題是事實(shí)存在的。我們?cè)谡曔@一事實(shí)的根底上，在成認(rèn)不可能有絕對(duì)平安的網(wǎng)絡(luò)系統(tǒng)的前提下，努力討論如何加強(qiáng)網(wǎng)絡(luò)平安防范性能，如何通過(guò)平安系列軟件、硬件及相關(guān)管理手段進(jìn)步網(wǎng)絡(luò)信息系統(tǒng)的平安性能，降低平安風(fēng)險(xiǎn)，及時(shí)準(zhǔn)確地掌握網(wǎng)絡(luò)信息系統(tǒng)的平安問(wèn)題及薄弱環(huán)節(jié)，及早發(fā)現(xiàn)平安破綻、攻擊行為井針對(duì)性地做出預(yù)防處理。在攻擊發(fā)生過(guò)程中，盡早發(fā)現(xiàn)，及時(shí)阻斷。在攻擊發(fā)十后，盡快恢復(fù)并找出原因。保證網(wǎng)絡(luò)平安的技術(shù)于段包括：過(guò)濾、信息分析臨控、平安管理、掃描評(píng)估、入侵偵測(cè)、實(shí)時(shí)響應(yīng)、防病毒保護(hù)、存取控制等。其措施有：網(wǎng)絡(luò)互聯(lián)級(jí)防火墻、網(wǎng)絡(luò)隔離級(jí)防火墻、網(wǎng)絡(luò)平安破綻掃描評(píng)估系統(tǒng)、操作系統(tǒng)平安破綻掃描評(píng)估系統(tǒng)、信息流捕獲分析系統(tǒng)、平安實(shí)時(shí)監(jiān)控系統(tǒng)、入侵偵洲與實(shí)時(shí)響應(yīng)系統(tǒng)、網(wǎng)絡(luò)病毒防護(hù)系統(tǒng)、強(qiáng)力存取控制系統(tǒng)等。信息平安指數(shù)據(jù)的保密性、完好性、真實(shí)性、可用性、不町否認(rèn)性及可控性等平安，技術(shù)手段包括加密、數(shù)字簽名、身份認(rèn)證、平安協(xié)議(set、ss1)及ca機(jī)制等。文化平安主要指有害信息的傳播對(duì)我國(guó)的政治制度及文化傳統(tǒng)的威脅，主要表如今言論宣傳方面。主要柯：黃色、反動(dòng)信息泛濫，敵對(duì)的意識(shí)形態(tài)信息涌入，瓦聯(lián)網(wǎng)被利用作為串聯(lián)工具等。其技術(shù)手段包括：信息過(guò)濾、設(shè)置網(wǎng)關(guān)、監(jiān)測(cè)、控管等，同時(shí)要強(qiáng)有力的管理措施配合，才可獲得良好的效果。3．2建立、健全企業(yè)息平安管理制度任何一個(gè)信息系統(tǒng)的平安，在很大程度上依賴于最初設(shè)計(jì)時(shí)制定的網(wǎng)絡(luò)信息系統(tǒng)平安策略及相關(guān)管理策略。因?yàn)樗衅桨布夹g(shù)和手段，都圍繞這一策略來(lái)選擇和使用，假設(shè)在平安管理策略上出了問(wèn)題，相當(dāng)于沒(méi)有平安系統(tǒng)。同時(shí)，從大角度來(lái)看，網(wǎng)絡(luò)信息系統(tǒng)平安與嚴(yán)格、完善的管理是密不可分的。在網(wǎng)絡(luò)信息系統(tǒng)平安領(lǐng)域，技術(shù)手段和相關(guān)平安工具只是輔助手段，分開(kāi)完善的管理制度與措施，是沒(méi)法發(fā)揮應(yīng)有的作用并建立良好的網(wǎng)絡(luò)信息平安空間的。國(guó)家在信息平安方面發(fā)布了一系列的法律法規(guī)和技術(shù)標(biāo)準(zhǔn)，對(duì)信息網(wǎng)絡(luò)平安進(jìn)展了明確的規(guī)定，并有專門的部門負(fù)責(zé)信息安壘的管理和執(zhí)法。企業(yè)首先必須遵守國(guó)家發(fā)布的這些法律法規(guī)和技術(shù)標(biāo)準(zhǔn)，企業(yè)也必須根據(jù)這些法律法規(guī)，來(lái)建立自己的管理標(biāo)準(zhǔn)，技術(shù)體系，指導(dǎo)信息平安工作。學(xué)習(xí)信息平安管理國(guó)際標(biāo)準(zhǔn)，提升企業(yè)信息平安管理程度國(guó)際上的信息技術(shù)開(kāi)展和應(yīng)用比我們先進(jìn)，在信息平安領(lǐng)域的研究起步比我們更早，獲得了很多的成果和經(jīng)歷，我們可以充分利用國(guó)際標(biāo)準(zhǔn)來(lái)指導(dǎo)我們的工作，進(jìn)步程度，少走彎路。信息平安是企業(yè)信息化工作中一項(xiàng)重要而且長(zhǎng)期的工作，為此必須各單位建立一個(gè)信息平安工作的組織體系和常設(shè)機(jī)構(gòu)，明確指導(dǎo)，設(shè)立專責(zé)人長(zhǎng)期負(fù)責(zé)信息平安的管理工作和技術(shù)工作，長(zhǎng)能保證信息平安工作長(zhǎng)期的，有效的開(kāi)展，才能獲得好的成績(jī)。3．3充分利用企業(yè)網(wǎng)絡(luò)條件，提供全面。及時(shí)和快捷的信息平安效勞很多企業(yè)通過(guò)廣域網(wǎng)聯(lián)通了系統(tǒng)內(nèi)的多個(gè)二級(jí)單位，各單位的局域網(wǎng)全部建成，在這種良好的網(wǎng)絡(luò)條件下，作為總公司一級(jí)的信息平安技術(shù)管理部門應(yīng)建立計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急處理的信息發(fā)布與技術(shù)支持平臺(tái)，發(fā)布平安公告，平安法規(guī)和技術(shù)標(biāo)準(zhǔn)，提供信息平安設(shè)備選型、平安軟件下載，搜集平安問(wèn)題，解答用戶疑問(wèn)，提供在線的信息平安教育培訓(xùn)，并為用戶提供一個(gè)互相交流經(jīng)歷的場(chǎng)所。網(wǎng)絡(luò)方式的信息效勞打破了時(shí)間，空間和地域的限制，是信息平安管理和效勞的重要方式。3．4定期評(píng)估，不斷的開(kāi)展，改進(jìn)，完善企業(yè)的信息化應(yīng)用是隨著企業(yè)的開(kāi)展而不斷開(kāi)展的，信息技術(shù)更是日新月異的開(kāi)展的，平安防護(hù)軟件系統(tǒng)由于技術(shù)復(fù)雜，在研制開(kāi)發(fā)過(guò)程中不可防止的會(huì)出現(xiàn)這樣或者那樣的問(wèn)題，這勢(shì)必決定了平安防護(hù)系統(tǒng)和設(shè)備不可能百分百的防御各種的，未知的信息平安威脅。平安的需求也是逐步變化的，新的平安問(wèn)題也不斷產(chǎn)生，原來(lái)建立的防護(hù)系統(tǒng)可能不滿足新形勢(shì)下的平安需求，這些都決定了信息平安是一個(gè)動(dòng)態(tài)過(guò)程，需要定期對(duì)信息網(wǎng)絡(luò)平安狀況進(jìn)展評(píng)估，改進(jìn)平安方案，調(diào)整平安策略。不是所有的信息平安問(wèn)題可以一次解決，人們對(duì)信息平安問(wèn)題的認(rèn)識(shí)是隨著技術(shù)和應(yīng)用的開(kāi)展而逐步進(jìn)步的，不可能一次就發(fā)現(xiàn)所有的平安問(wèn)題。信息平安消費(fèi)廠家所消費(fèi)的系統(tǒng)和設(shè)備，也僅僅是滿足某一些方面的平安需求，不是企業(yè)有某一方面的信息平安需求，市場(chǎng)上就有對(duì)應(yīng)的成熟產(chǎn)品，因此不是所有的平安問(wèn)題都可以找到有效的解決方案。4結(jié)語(yǔ)企業(yè)信息平安是一項(xiàng)復(fù)雜的系統(tǒng)工程，涉及技術(shù)、設(shè)備、管理和制度等多方面的因素，平安解決方案的制定需要從整體上進(jìn)展把握。信息平安解決方案是綜合各種計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)平安技術(shù)，將平安操作系統(tǒng)技術(shù)、防火墻技術(shù)、病毒防護(hù)技術(shù)、入侵檢測(cè)技術(shù)、平