1、企业平安概述及预防思考 随着计算机信息化建设的飞速开展而信息系统在企业中所处的地位越来越重要。信息平安随着信息技术的不断开展而演变,其重要性日益越来越明显,信息平安所包含的内容、范围也不断的变化。信息平安有三个中心目标。保密性:保证非授权操作不能获取受保护的信息或计算机资源。 完整性:保证非授权操作小能修改数据。有效性:保证非授权操作不能破坏信息或计算机资源。信息平安的重点放在了保护信息,确保信息在存储,处理,传输过程中及信息系统不被破坏,确保对合法用户的效劳和限制非授权用户的效劳,以及必要的防御攻击的措施。 1企业信息平安风险分析 计算机信息系统在企业的生产、经营管理等方面发挥的作用越来越重
2、要,如果这些信息系统及网络系统遭到破坏,造成数据损坏,信息泄漏,不能正常运行等问题,那么将对企业的生产管理以及经济效益等造成不可估量的损失,信启、技术在提高生产效率和管理水平的同时,也带来了不同以往的平安风险和问题。 信息平安风险和信息化应用情况密切相关,和采用的信息技术也密切相关,公司信息系统面临的主要风险存在于如下几个方面。 计算机病毒的威胁。在业信息平安问题中,计算机病毒发生的频率高,影响的面宽,并且造成的破坏和损失也列在所有平安威胁之首。病毒感染造成网络通信阻塞,系统数据和文件系统破坏,系统无法提供效劳甚至破坏后无法恢复,特别是系统中多年积累的重要数据的丧失,损失是灾难性的。 在目前的
3、局域网建成,广域网联通的条件下,计算机病毒的传播更加迅速,单台计算机感染病毒,在短时间内可以感染到通过网络联通的所有的计算机系统。病毒传播速度,感染和破坏规模与网络尚未联通之时相比,高出几个数量级。 网络平安问题:企业网络的联通为信息传递提供了方便的途径。业有许多应用系统如:办公自动化系统,营销系统,电子商务系统,erp,crm,远程教育培训系统等,通过广域网传递数据。目前大局部企业都采用光纤的方式连接到互联网运营商,企业内部职工可以通过互联网方便地浏览网络查阅、获取信息,即时聊天、发送电子邮件等。 如何加强网络的平安防护,保护企业内部网上的信息系统和信息资源的平安,保证对信息网络的合法使用,
4、是目前一个热门的平安课题,也是当前企业面临的一个非常突出的平安问题。 信息传递的平安不容无视。随着办公自动化,财务管理系统,各个企业相关业务系统等生产,经营方面的重要系统投入在线运行,越来越多的重要数据和机密信息都通过企业的内部局域网来传输。 网络中传输的这些信息面临着各种平安风险,例如被非法用户截取从而泄露企业机密;被非法篡改,造成数据混乱,信息错误从而造成工作失误。 用户身份认证和信息系统的访问控制急需加强。企业中的信息系统一般为特定范围的用户使用,信息系统中包含的信息和数据,也只对一定范围的用户开放,没有得到授权的用户不能访问。为此各个信息系统中都设计r用户管理功能,在系统中建立用户,设
5、置权限,管理和控制用户对信息系统的访问。这些措施在一定能够程度上加强系统的平安性。但在实际应用中仍然存在一些问题。 一是局部应用系统的用户权限管理功能过于简单,能灵活实现更细的权限控制。二是各应用系统没有一个统一的用户管理,企业的一个员工要使用到好几个系统时,在每个应用系统中都要建立用户账号,口令和设置权限,用户自己都记不住众多的账号和口令,使用起来非常不方便,更不用说账号的有效管理和平安了。 如何为各应用系统提供统一的用户管理和身份认证效劳,是我们开发建设应用系统时必须考虑的一个共性的平安问题。 2解决信息平安问题的根本原那么 企业要建立完整的信息平安防护体系,必须根据企业实际情况,结合信息
6、系统建设和应用的步伐,统筹规划,分步实施。 2.1做好平安风险的评估 进行平安系统的建设,首先必须全面进行信息平安风险评估,找出问题,确定需求,制定策略,再来实施,实施完成后还要定期评估和改进。 信息平安系统建设着重点在平安和稳定,应尽量采用成熟的技术和产品,不能过分求全求新。 培养信息平安专门人才和加强信息平安管理工作必须与信息平安防护系统建设同步进行,才能真正发挥信息平安防护系统和设备的作用。 2.2采用信息平安新技术,建立信息平安防护体系 企业信息平安面临的问题很多,我们可以根据平安需求的轻重缓急,解决相关平安问题的信息平安技术的成熟度综合考虑,分步实施。技术成熟的,能快速见效的平安系统
7、先实施。 2.3根据信息平安策略,出台管理制度,提高平安管理水平 信息平安的管理包括了法律法规的规定,责任的分化,策略的规划,政策的制订,流程的制作,操作的审议等等。虽然信息平安“七分管理,三分技术的说法不是很精确,但管理的作用可见一斑。 3解决信息平安问题的思路和方法企业的信息安伞管理要从以下几个方面人手,相辅相成、互相配合。 3.1从技术手段入手保证网络的平安 网络平安指由于网络信息系统基于网络运行和网络问的互联互通造成的物理线路和连接的平安、网络系统平安、操作系统平安、应用效劳平安、人员管理平安几个方面。网络由于其本身开放性所带来的各个方面的平安问题是事实存在的。我们在正视这一事实的根底
8、上,在成认不可能有绝对平安的网络系统的前提下,努力探讨如何加强网络平安防范性能,如何通过平安系列软件、硬件及相关管理手段提高网络信息系统的平安性能,降低平安风险,及时准确地掌握网络信息系统的平安问题及薄弱环节,及早发现平安漏洞、攻击行为井针对性地做出预防处理。 在攻击发生过程中,尽早发现,及时阻断。在攻击发十后,尽快恢复并找出原因。 保证网络平安的技术于段包括:过滤、信息分析临控、平安管理、扫描评估、入侵侦测、实时响应、防病毒保护、存取控制等。其措施有:网络互联级防火墙、网络隔离级防火墙、网络平安漏洞扫描评估系统、操作系统平安漏洞扫描评估系统、信息流捕获分析系统、平安实时监控系统、入侵侦洲与实
9、时响应系统、网络病毒防护系统、强力存取控制系统等。信息平安指数据的保密性、完整性、真实性、可用性、不町否认性及可控性等平安,技术手段包括加密、数字签名、身份认证、平安协议(set、ss1)及ca机制等。文化平安主要指有害信息的传播对我国的政治制度及文化传统的威胁,主要表现在舆论宣传方面。主要柯:黄色、反动信息泛滥,敌对的意识形态信息涌入,瓦联网被利用作为串联工具等。其技术手段包括:信息过滤、设置网关、监测、控管等,同时要强有力的管理措施配合,才可取得良好的效果。 3.2建立、健全企业息平安管理制度 任何一个信息系统的平安,在很大程度上依赖于最初设计时制定的网络信息系统平安策略及相关管理策略。因
10、为所有平安技术和手段,都围绕这一策略来选择和使用,如果在平安管理策略上出了问题,相当于没有平安系统。同时,从大角度来看,网络信息系统平安与严格、完善的管理是密不可分的。在网络信息系统平安领域,技术手段和相关平安工具只是辅助手段,离开完善的管理制度与措施,是没法发挥应有的作用并建设良好的网络信息平安空间的。 国家在信息平安方面发布了一系列的法律法规和技术标准,对信息网络平安进行了明确的规定,并有专门的部门负责信息安垒的管理和执法。企业首先必须遵守国家发布的这些法律法规和技术标准,企业也必须依据这些法律法规,来建立自己的管理标准,技术体系,指导信息平安工作。学习信息平安管理国际标准,提升企业信息平
11、安管理水平国际上的信息技术开展和应用比我们先进,在信息平安领域的研究起步比我们更早,取得了很多的成果和经验,我们可以充分利用国际标准来指导我们的工作,提高水平,少走弯路。 信息平安是企业信息化工作中一项重要而且长期的工作,为此必须各单位建立一个信息平安工作的组织体系和常设机构,明确领导,设立专责人长期负责信息平安的管理工作和技术工作,长能保证信息平安工作长期的,有效的开展,才能取得好的成绩。 3.3充分利用企业网络条件,提供全面。及时和快捷的信息平安效劳 很多企业通过广域网联通了系统内的多个二级单位,各单位的局域网全部建成,在这种良好的网络条件下,作为总公司一级的信息平安技术管理部门应建立计算
12、机网络应急处理的信息发布与技术支持平台,发布平安公告,平安法规和技术标准,提供信息平安设备选型、平安软件下载,搜集平安问题,解答用户疑问,提供在线的信息平安教育培训,并为用户提供一个相互交流经验的场所。网络方式的信息效劳突破了时间,空间和地域的限制,是信息平安管理和效劳的重要方式。 3.4定期评估,不断的开展,改进,完善 企业的信息化应用是随着企业的开展而不断开展的,信息技术更是日新月异的开展的,平安防护软件系统由于技术复杂,在研制开发过程中不可防止的会出现这样或者那样的问题,这势必决定了平安防护系统和设备不可能百分百的防御各种的,未知的信息平安威胁。平安的需求也是逐步变化的,新的平安问题也不
13、断产生,原来建设的防护系统可能不满足新形势下的平安需求,这些都决定了信息平安是一个动态过程,需要定期对信息网络平安状况进行评估,改进平安方案,调整平安策略。 不是所有的信息平安问题可以一次解决,人们对信息平安问题的认识是随着技术和应用的开展而逐步提高的,不可能一次就发现所有的平安问题。信息平安生产厂家所生产的系统和设备,也仅仅是满足某一些方面的平安需求,不是企业有某一方面的信息平安需求,市场上就有对应的成熟产品,因此不是所有的平安问题都可以找到有效的解决方案。 4结语 企业信息平安是一项复杂的系统工程,涉及技术、设备、管理和制度等多方面的因素,平安解决方案的制定需要从整体上进行把握。信息平安解决方案是综合各种计算机网络信息系统平安技术,将平安操作系统技术、防火墙技术、病毒防护技术、入侵检测技术、平安扫描技术等综合起来,形成一套完整的、协调一致的网络平安防护体系。我们必须做到管理和技术并重,平安技术必须结合平安措施,并加强计算机立法和执法的力度,建立备份和恢复机制,制定相应的平安标准。信息平安是一个伴随着企业信息化应用开展而开展的永恒课题。 第8页 共8页