前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇企业信息安全评估范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
关键词 企业网 信息系统 风险评估
中图分类号:TP393.08 文献标识码:A
一、引言
信息技术在商业上的广泛应用,使得企业对信息系统的依赖性增大。信息系统风险评估是辨别各种系统的脆弱性及其对系统构成威胁,识别系统中存在的风险,并将这些风险进行定性,定量的分析,最后制定控制和变更措施的过程 。通过安全评估能够明确企业信息系统的安全威胁,了解企业信息系统的脆弱性,并分析可能由此造成的损失或影响,为满足企业信息安全需求和降低风险提供必要的依据。
二、安全风险评估的关键要素
信息系统安全风险评估的三个关键要素是信息资产、威胁、弱点(即脆弱性)。每个要素都有各自的属性,信息资产的属性是资产价值。威胁的属性是威胁发生的可能性,弱点的属性是弱点被威胁利用后对资产带来的影响的严重程度。
对企业信息系统的本身条件和历史数据进行整理分析,得到威胁,脆弱点分析如下:
实物资产的脆弱性:对电脑等办公物品的保护措施不力,办公场所防范灾害措施不力,电缆松动,通讯线路保护缺失。
信息资产的脆弱性:相关技术文档不全,信息传输保护缺失,拨号线路网络访问受限,单点故障,网络管理不力,不受控制的拷贝。
软件资产的脆弱性:未使用正版稳定软件。
人员的脆弱性:对外来人员监管不力,安全技术培训不力,授权使用控制不力,内部员工的道德培训不力。
三、风险评估过程
风险评估是信息系统安全保障的核心和关键。风险评估过程分为风险识别、风险分析和风险管理。
风险识别是分析系统,找出系统的薄弱点和在运行过程中可能存在的风险。为了保证风险分析的的及时性和有效性,管理层面应该有具备丰富风险知识的部门经理、IT人员、关键用户、审计人员和专家顾问,他们能够帮助快速地指出关键风险。
风险分析是对已识别的风险进行分析,确定各个风险可能造成的影响和损失,并按照其造成的影响和损失大小进行排序,得到风险的级别。风险分析有助于企业就安全项目和构成该项目的安全组成部分编制正确的预算,有助于将安全项目的目标与企业的业务目标和要求结合起来。
风险管理是由以上步骤得到的结果,制定相应的保护措施。通过实施在评估阶段创建的各种计划,并用这些计划来创建新的安全策略,在完成补救措施策略的开发和相关系统管理的更改,并且确定其有效性的策略和过程已经写好之后,即进行安全风险补救措施测试。在测试过程中,将按照安全风险的控制效果来评估对策的有效性。
四、评估系统的设计
(一)评估系统的体系结构和运行环境。
该评估系统主要采用B/S/S三层体系结构,即包括客户端、应用服务器、数据库服务器三部分。其结构示意图如图1所示:其中,客户端通过Web浏览器访问应用服务器,在Web页面的引导下指导用户与评估人员进行风险识别、数据收集,并显示最后的评估结果。同时丰富的在线帮助信息又为用户及评估人员参与风险评估以及管理员进行系统维护提供了很好的在线支持,系统管理员也可以利用任意一台客户端登录管理帐号对系统数据库进行权限范围内的维护。管理者需了解部门、员工及资产总体情况,明确风险种类及大小,并以知识库的形式,为如何处置风险提供了一些解决方案。面向评估人员的功能模块,展示了本部门目前面临的威胁和薄弱点情况,帮助评估人员明确风险。相比而言,该模块更主要的功能,是协助上报本部门的人员及资产信息,以满足评估需要。
图1 评估系统体系结构
应用服务器处理收集到的风险信息,并采取多种手段,利用综合评估算法 ,完成信息系统安全风险评估,并实时将执行结果返回给客户端Web浏览器。应用服务器配置了系统运行所需要的Web服务器程序以及Web站点页面文件,我们选择动态网页编程技术对系统的Web站点页面文件进行编码和开发。数据库服务器上配置了系统运行所需要的SQL Server数据库管理程序以及系统数据库资源,通过Web服务器与客户端实现实时数据交互。
(二)工作流程设计
首先,对信息系统进行风险数据采集,用户填写由评估单位制定的评估申请,将信息系统按具体情况进行分类,同时利用漏洞扫描器、正反向工具从技术角度了解系统的安全配置和运行的应用服务,使得评估人员从整体上了解该信息系统及其评估重点,并针对系统业务特点进行裁剪;接下来,在前面所做的工作的基础上,围绕着系统所承载的业务对数据进行资产、威胁、脆弱性分析;最后,依据发生的可能性及对系统业务造成的影响对识别的风险进行分类,利用定性和定量的评估算法以及消除主观性的各种算法,对风险识别中获得的风险信息进行风险综合评估,并在整体和局部、管理和技术风险评估的基础上,生成评估报告。
(三)数据库设计
该系统的数据库由企业信息库、知识库、评估标准库和评估方法库组成,采用SQL Server数据库管理系统作为该数据库的开发和运行平台,其中:企业信息库存储的是有关企业信息系统的基本信息;评估方法库存储了针对所设计的评估结构所采用的评估方法集合;知识库存储的是以往已评估系统的完整评估资料,可以为当前的风险评估提供可借鉴的经验;在数据库设计中评估标准库是几个库中最重要也是工作量最大的部分,该库涵盖了各评估标准的评估要素,即遵从标准,又针对各行业的业务特点,提供了灵活的数据结构。
(四)网站内容风险算法。
对风险进行计算,需要确定影响的风险要素、要素之间的组合方式、以及具体的计算方法。将风险要素按照组合方式使用具体的计算方法进行计算,得到风险值。目前通用的风险评估中风险值计算涉及的风险要素一般为资产、威胁、和脆弱性。由威胁和脆弱性确定安全事件发生的可能性,由资产和脆弱性确定安全事件的损失;由安全事件发生的可能性和安全事件的损失确定风险值。目前,常用的计算方法是矩阵法和相乘法。
五、总结
网络技术的发展在加速信息交流与共享的同时,也加大了网络信息安全事故发生的可能性。对企业信息系统进行风险评估,可以了解其安全风险,评估这些风险可能带来的安全威胁与影响程度,为安全策略的确定、信息系统的建立及安全运行提供依据,给用户提供信息技术产品和系统可靠性的信心,增强产品、企业的竞争力。
(作者:武汉职业技术学院计算机系教师,硕士,研究方向:计算机网络及其应用、信息安全)
注释:
[关键词]信息安全管理 评估模型 管理体系
中图分类号:P9.T3308 文献标识码:A 文章编号:1009-914X(2016)21-0400-01
1、 引言
随着信息化建设的发展,信息安全越来越多的受到人们的重视,企业信息安全重点面临的问题主要表现在[1]:1)网络受到外部的恶意攻击,部分单位无终端接入控制措施,使企业的正常业务无法开展或相关重要数据被盗取;2)网站受到黑客攻击,由于部分掌握网络技术的不法人员查询到破解网站所存在的漏洞,加以利用并篡改网站信息及获取网站管理权限,使得网站陷入瘫痪;3)信息的监管不利产生不良的影响,通常情况下信息没有主管部门负责审核导致监管不到位,那么不良信息就可能由于工作人员的疏忽而上传到网站上,造成不良影响;4)计算机病毒的危害,相关系统不及时更新补丁和升级,受到病毒入侵并加以利用,篡改应用系统信息或获取管理权限,使得应用系统丢失重要信息。
当前,有关信息系统的安全评价虽然存在着多种多样的具体实践方式,但在目前还没有形成系统化和形式化的评价理论和方法。评价模型基本是基于灰色理论(Gray Theory)或者模糊(Fuzzy)数学,而评价方法基本上用层次分析法AHP[2](Analytic Hierarchy Process)或模糊层次分析法Fuzzy AHP[3]将定性因素与定量参数结合,建立了安全评价体系,并运用隶属函数和隶属度确定待评对象的安全状况。上述各种安全评估思想都是从信息系统安全的某一个方面出发,如技术、管理、过程、人员等,着重于评估网络系统安全某一方面的实践规范。在操作上主观随意性较强,其评估过程主要依靠测试者的技术水平和对网络系统的了解程度,缺乏统一的、系统化的安全评估框架,很多评估准则和指标没有与被评价对象的实际运行情况和信息安全保障的效果结合起来。
大型企业信息安全管理体系的研究,就是为了寻找一个科学、合理的管理体系,并根据该体系和方法对大型企业的信息安全状况和水平进行评价,对信息安全管理绩效进行考核。
2、 大型企业信息安全管理体系的内涵
通过管理体系的应用,将对大型企业信息安全产生非常重要的作用。一是可以对企业信息安全的水平做出客观的反应,认识企业信息安全存在的不足之处,发挥考评体系的指导作用,引导企业“信息安全”工作健康科学发展;二是可以为企业信息安全的建设指明方向,为信息安全的发展提供有力支撑;三是可以帮助企业管理者建立起一套科学的信息安全管理系统,有效控制信息化活动的进程,提高信息安全级别,减少因信息安全事件引起的损失,有利于正确引导和规范企业的信息化建设,指导企业科学发展具有重要的意义。
3、 大型企业信息安全管理体系的主要做法
为了大型企业信息安全管理体系的建立,提出了管理体系的目标:对于信息安全方面出现的问题,达到防范目的;对于信息安全工作进行查漏补缺,加强管理;通过评估体系的考核,落实相关信息安全文件、推进信息安全工作,为企业信息安全的建设指明方向,同时注重管理体系整体的时效性,根据信息安全发展的不同阶段进行及时更新。
1) 建立大型企业信息安全体系
信息安全体系总体设计。信息安全体系设计共分为三级,包含9个一级指标,14个二级指标,27个三级指标。一级指标和二级指标为共性指标,三级指标为数据采集项。一级指标包括:网络安全管理、环境安全管理、应用系统安全管理、数据安全管理、终端安全管理、操作安全管理、网络信息安全、移动信息化安全、服务器扫描情况。一级和二级指标结构图如下:
2)信息安全考评指标的权重设计
指标权重理论思路。具体权重根据德尔菲法[4]、层次分析法,结合政策导向确定。
管理体系的指标权重确定方法设计过程中,选取两组技术、管理等方面的专家,其中一组专家根据各指标在企业信息化中的重要程度,确定各指标的相对重要性,采用层次分析法确定各指标的权重。另外一组专家根据各指标在企业信息化中的重要程度,对各指标按百分制进行赋值,确定各指标的权重。综合两组专家的意见,初步确定各指标的权重,再组织专家研讨会,最终确定各指标的权重。
企业信息安全考评指标总分计算方法:
I=Σ(Pi*Wi) (1)
I表示指标体系的总得分;Pi表示第i个指标的得分,各指标得满分都是100分;Wi表示第i个指标的权重,所有指标权重的和为100%。
3)建设大型企业信息化评价管理系统
为了实施信息安全措施体系,以信息安全体系、信息安全文件和考评制度为基础,研发包括信息安全在内的大型企业信息化评价管理系统。通过使用该系统,将减轻信息化管理部门的负担,填报和汇总数据的效率显著提高,最为突出的是以上报数据为基础,可以自动、实时地形成各种统计、分析图表,从而完成以往需要信息化管理人员几天才能完成的大量统计工作,大大减轻了信息化管理部门的工作强度,增加了信息化管理部门对新情况快速反应能力。
系统整体架构由数据库层、框架服务层、应用逻辑层、界面表现层组成,系统部署了tomcat下运行的I@Report和BI@Report作为框架服务层,并在此基础上开发了业务系统。
系统主要实现了如下功能:
编码同步、基层权限管理、评价初始化、基层初评、数据提交、部门权限管理(含单位、指标项)、管理部门复评、信息稽核、数据计算、统计管理、查询管理、决策模型。
建立统一的数据报送平台,提高企业信息整合水平。
建立在线交流及公告平台。
系统根据建立的数学模型进行综合分析,可自动、实时地形成各种统计分析图表、报告等,例如:信息化评级、信息化水平评测报告。
4、 结束语
通过大型企业信息安全管理体系的实施,使企业信息化水平评估体系更加完善,在考评信息化建设水平的同时,又对信息安全水平等级有所提升。
参考文献
[1] 周学广,刘艺.信息安全学[M].北京:机械工业出版社,2003.
[2] 常建娥,蒋太立.层次分析法确定权重的研究[J].武汉理工大学学报,信息与管理工程版,2007,1(29):153-156.
1.1电子信息的加密技术
所谓电子信息的加密技术也就是对于所传送的电子信息能够起到一定的保密作用,也能够使信息、数据的传递变得更加安全和完整。电子信息的加密技术是保障电子科技企业信息安全的重要保证。加密技术也主要分为对称以及非对称两类,对称的加密技术一般都是通过序列密码或是分组机密的方式来实现的。这其中还包括了明文、密钥、加密算法以及解密算法五个基本的组成部分。而非对称加密与对称加密也存在一定的差异,非对称加密必须要具备公开密钥和私有密钥两个密钥,同时,这两种密钥只有配对使用,这样才能解密。因此加密技术对于电子信息的安全具有很大的保障。如果在发送电子信息的时候,发送人是使用加密技术来发送邮件的,那么有人窃取信息的时候,也只能够得到密文,不能得到具体的信息。这样就大大加强了信息传送的安全性。加快推进国内关键行业领域信息系统的安全评估测试。在安全评估方面,主要针对主机安全保密检查与信息监管,采取文件内容检索、恶意代码检查、数据恢复技术、网络漏洞扫描、互联网网站检测、语意分析等技术,评估分析重要信息是否发生泄漏,并找出泄漏的原因和渠道。
1.2防火墙技术
随着网络技术的不断发展,虽然对于信息安全问题已经不断的得到加强,但是一些信息的不安全因素也在逐级的提高。有一些黑客或者是病毒木马也在不断的入侵,而这些不安全的因素会极大的威胁到电子科技企业信息的安全。而针对这种情况,一种比较有效的防护措施就是防火墙技术的使用。这种技术可以有效的防止黑客的入侵以及电脑中的信息被篡改等情况的发生。这样就能够有效的保障电子科技企业信息的安全。加强企业信息基础设施和重要信息系统建设,建设面向企业的信息安全专业服务平台。重点开展等级保护设计咨询、风险评估、安全咨询、安全测评、快速预警响应、第三方资源共享的容灾备份、标准验证等服务;建设企业信息安全数据库,为广大企业提供快速、高效的信息安全咨询、预警、应急处理等服务,实现企业信息安全公共资源的共享共用,提高信息安全保障能力。
二、解决电子科技企业信息安全问题的方法
2.1构建电子科技企业信息安全的管理体系
如果要想有效的保障电子科技企业的信息安全,除了要不断的提高安全技术水平,还要建立起一套比较完善的信息安全管理体系。这样才能使整个信息安全工作更加有条不紊的进行。在很多电子科技企业当中,最初所建立的相关信息制度在很大程度上都制约着信息系统的安全性。如果一旦安全管理制度出现了问题,那么一系列的安全技术都无法发挥出来。很多信息安全工作也无法正常进行下去。因此,严格的信息安全管理体系对于信息安全的保障具有十分重要的作用。只有当信息安全管理形成了一个完善的体系,那么信息安全工作才能够更加顺利的进行,同时也能够大大的提升信息安全的系数。
2.2利用电子科技企业自身的网络条件来提供信息安全服务
一般来说,电子科技企业都拥有自己的局域网,很多企业也可以通过局域网来相互连通。因此,电子科技企业应该充分的利用这一特点为自身的企业提供良好地信息安全服务。通过局域网的连通,不仅能够在这个平台上及时的公布一些安全公告以及安全法规,同时还可以进行一些安全软件的下载,为员工提供一些关于信息安全的培训。这样不仅能够为企业之间的员工提供一个安全的互相交流的平台,同时还能够很好的保障企业信息安全。针对企业主机安全保密检查与信息监管,采取文件内容检索、恶意代码检查、数据恢复技术、网络漏洞扫描、互联网网站检测、语意分析等技术,评估分析重要信息是否发生泄漏,并找出泄漏的原因和渠道。
2.3定期对信息安全防护软件进行及时的更新
【关键词】 电力企业 信息安全 管理 问题 完善措施
1 前言
电力企业信息技术的发展起始于20世纪90年代,最早的计算机应用开始于财务管理、营销管理等办公业务,随着信息技术的不断深入发展,信息技术在电力企业的应用范围也日益扩大和深化,目前已经渗透入电力企业运营管理的全过程,信息技术也渐渐从开始的“配角”提升为电力企业运营管理的“主角”。在电力企业信息化技术应用日趋成熟、重要程度日益上升的今天,企业对信息化的管理和关注重点也在不停的发生变化,一方面信息化成果已成为企业甚至社会的重要资源,在整个企业的生产运行、电网调度、办公管理等各个方面发挥着重要的作用;另一方面由于信息技术的迅猛发展而带来的信息安全事故、事件屡见不鲜,信息安全问题与矛盾日益显著。而信息安全工程是一个多层面、多因素的、综合的、动态的系统工程。企业要实现信息安全管理,就必须不断完善和建立一套行之有效的信息安全管理与技术有机结合的安全防范体系。
2 我国电力企业信息安全管理存在的问题
2.1 电力企业普遍存在重技术、轻管理的问题
信息安全是“三分技术、七分管理”,但是现在许多电力企业任普遍存在重技术、轻管理的问题,甚至很多电力企业根本没有完善的安全管理制度,并且管理人员信息安全意识普遍不高,这也就在一定程度上加深了企业信息安全风险。要知道再好的技术在其运行的过程中管理才是第一位的,比如在实际工作中,有最好的技术,但是如果管理不到位,系统的运行、维护和开发等岗位分配不清,职责划分不明,存在一人身兼多职的现象,再先进的技术也不可能发挥其应有的效力,一样不具备竞争力、防御力。又如,企业在管理过程中对网络工作人员的基本技能和素质要求把关不严格,极易造成因网络工作人员因操作不当而造成硬件或者软件出现漏洞,使恶意份子有机可乘,同样影响网络信息安全。
2.2 电力企业对员工的信息安全意识宣传不到位
随着信息安全地位的不断攀升,电力企业对信息安全也越来越重视,但是,企业对于信息安全的培训力度仍显不够,电力企业员工信息安全意识仍非常低。如,一些电力员工在离开办公场所时,没有意识主动关闭电脑或锁定屏幕,因此容易造成企业数据的丢失及客户信息的泄漏。又如,一些员工为了贪图方便省事,直接将系统账号交给第三方人员进行操作,容易造成系统数据的错失遗漏,或者出现未授权的审批等等。再如,还有一些员工对于未确定安全性的文件防范意识不够,一旦点击打开后,就容易造成木马的植入或者病毒的扩散,从而造成数据的泄漏或丢失破坏。
2.3 电力企业信息安全技术不够完善
首先,在计算机的使用方面,有很多的办公计算机还是内网与外网混合使用的状态。虽然公司已经做出了相应的规定,要求内网与外网进行分开使用。但是,内外网混用情况仍十分严重,这就会给安全问题带来极大的隐患。其次,一些电力企业对移动介质的使用管理比较松散。如:一些企业的移动介质不需授权就能直接接入办公电脑中,容易让别有用心的人加以利用,从而拷贝了公司的内部资料,造成企业损失。又如,一些员工在未确保外来移动介质正常的情况下就接入内部网络,容易造成病毒的传入,从而影响内部网络的正常以及数据的安全。最后,部分电力企业数据库数据和文件的明文存储保护不完善。供电行业应用系统基本上基于商业软硬件系统设计和开发,用户身份认证基本上采用口令的鉴别模式,而这种模式很容易被攻破。
3 完善电力企业信息安全管理的具体措施
3.1 完善电力企业安全风险的评估
电力企业要解决网络安全问题并不能够仅仅是从技术上进行考虑,技术是安全的主体,但是却不能成为安全的灵魂,而管理才是安全的灵魂。首先电力企业必须做好安全状况评估分析,评估应聘请专业权威的信息安全专家或者咨询机构,并组织企业内部信息人员和专业人员深度参与,全面进行信息安全风险评估,搞清楚信息系统现有以及潜在的风险,充分评估这些风险可能带来的危害和影响,针对评估出来的风险制定详细的解决预防方案并认真实施,实施完成后还要定期对其进行评估和不断改进完善。其次,网络安全离不开各种安全技术的具体实施以及各种安全产品的部署,但是现在市面上安全技术及产品种类繁多,让人眼花缭乱,难以进行抉择,我们信息安全系统建设中心内容是安全和稳定,所以我们企业应尽量采用成熟的技术和产品,不能过分求全求新。最后,培养信息安全专门人才和加强信息安全管理工作必须与信息安全防护系统建设同步进行,才能真正发挥信息安全防护系统和设备的作用。
3.2 不断完善电力企业信息安全管理制度
首先,构建良好的管理体制,在网络系统管理中,要做到管业务不管系统,管系统不管业务,如果二者混淆,就容易将所有权限落入一人之手,若该员工,同样造成网络信息安全的极大威胁。其次,数据安全管理制度,即确保数据存储介质(设备)的安全;定时进行数据备份,备份数据必须异地存放;对数据的操作需经主管部门的审批、同意方可进行;数据的清除、整理工作需两人或两人以上在场,并由相关部门进行监督、记录。最后,准入管理制度。准入管理又称密码、权限管理,通过准入系统可以判断请求登录的用户是否是合法的、值得信任的。
3.3 加强对电力企业全员信息安全的教育及培训,提升全员信息安全意识
对于企业信息安全工作的开展不是一个部门一个人的事,而是我们电力公司全体员工的事情,所以必须提高企业全体员工的信息安全意识。通过开展多种形式的信息安全知识培训,可以提高员工的警惕性以及养成良好的计算机使用习惯。在不定时开展信息安全教育和培训的时候应注意安全教育知识的层次性。主管信息安全工作的负责人和各级信息安全员,重点要了解和掌握信息安全的整体策略及目标、安全管理部门的建立和管理制度的制定等;负责信息安全运行管理及维护的技术人员,重点要充分理解信息安全管理策略,掌握安全管理的基本方法,精通信息系统的安全维护技术等;广大信息系统用户重点要学习各种安全操作流程和行为规范,了解和掌握与其相关的信息安全策略,包括自身应该承担的安全职责等。另外,我们企业还可以采取一些考核奖罚措施,去激励和约束全员认真进行信息安全培训,认真落实信息安全操作,从而有效提高我们电力企业整体信息安全水平,提高信息安全意识,最终有效避免信息安全问题或失泄密事件的发生。
3.4 不断完善和提升电力企业信息安全技术
第一,对电力企业内部和外部网络进行物理隔离。采用最高效的解决信息网络安全问题的办法:将局域网与外网物理隔离,使局域网内的用户只能访问内网资源,外网计算机无法与内网相连接。通过这种方法可以很大程度地防止互联网上的病毒、流氓软件等的入侵,避免企业及用户个人的重要信息与数据的失窃,进而可以控制可能由此造成的无法估计的损失。其次,对于移动介质,应加入认证管理,只有被预先授权的介质才能接入内网,对于数据的拷贝,只能通过加密形式处理。第三,数据与系统备份技术。供电企业的数据库必须定期进行备份,按其重要程度确定数据备份等级。配置数据备份策略,建立数据备份中心,采用先进灾难恢复技术,对关键业务的数据与应用系统进行备份,制定详尽的应用数据备份和数据库故障恢复预案,并进行定期预演。计算机病毒传播广,破坏力大,会严重影响电力企业网络系统的安全运行。因此,为了使电力企业免受病毒的侵害,作为网络管理人员应该建立从主机到服务器的完善的防病毒体系,建立健全的网络信息管理制定,以此来有效的提高电力企业网络信息的安全管理。最后,建立信息安全身份认证体系。供电企业面对来自内部和外部信息安全风险威胁,需建立有效的信息安全身份认证体系,实现网络危险过滤、终端准入、用户识别、上网授权等功能,最终实现企业内网用户终端安全性的提升,达成企业整网上网安全性的保障。
参考文献:
[1]尹鸿波.网络环境下企业信息安全管理对策研究[J].电脑与信息技术,2011(4).
[2]冯慧昌.信息安全管理现状与研究策略[J].科技风,2012(7).
[3]姚军.中科网威助力工业网络信息安全[J].企业研究,2O12(12).
[4]胡国胜,张迎春.信息安全基础[M].北京:电子工业出版社,2011.
[5]胡泉军,王以群,张延芝.企业信息安全管理中组织管理失误因素分析[J].工业工程,2009(2).
在经济高速发展的今天,企业的信息安全对于企业的发展具有非常重要的意义,而企业的信息如果被窃取、泄漏给企业所带来的是巨大的损失,所以企业必须对信息安全问题引起足够的重视。对于已经做好信息安全工作的企业,应认识到安全软件并不能时时的做好安全防护,要做好安全防护还应加强管理,笔者结合实践工作经验提出以下几点建议。
1.1树立正确安全意识
企业在信息化发展的进程中,应意识到企业信息的安全问题与企业发展之间存在的关联性。一旦企业的重要信息被窃取或外泄.企业机密被泄漏.对企业所造成的打击是非常巨大的,同时也给竞争对手创造了有利的机会。因此树立正确的安全意识对于企业是非常重要的,这样才能为后面的工作打下良好的基础。
1.2选择安全性能高的防护软件
虽然任何软件都是有可以破解方法的,但是对于安全性能高的软件而言,其破解的困难性也随之增加,所以企业在选择安全软件时应尽量选择安全性能高的,不要为节省企业开支而选择性能差的防护软件,如果出现问题其造成的损失价值会远远的大于软件价格。
1.3加强企业内部信息系统管理
首先,对于企业信息系统安全而言,无论是使用哪种安全软件都会遭到攻击和破解,所以在安全防御中信息技术并不能占据主体,而管理才是信息安全系统的主体。因此建立合理、规范的信息安全管理体质对于企业而言是非常重要的,只有合理、规范的管理信息,才能为系统安全打下良好的基础。其次,建立安全风险评估机制。企业的信息系统并不是在同一技术和时间下所建设的,在日常的操作和管理过程中,任何系统都是会存在不同的优势和劣势的,因此企业应对自身的信息系统做安全风险评估,根据系统的不同找出影响系统安全的漏洞和因素,并制定出详细的应对策略,进而可以将系统被攻击的风险降到最低。
1.4加强网络管理
绝大部分的企业信息被窃取都是不法分子通过网络进行的,因此必须加强企业的网络管理,才能确保企业信息系统在安全的状态下运行。针对信息安全的种类和等级制定出行之有效的方案,并提前制定出如果发生了特定的信息安全事故企业应采取哪种应对方案。当企业信息安全危机发生时,企业应快速成立处理小组,根据信息安全危机的处理步骤和管理预案,做好危机处理工作,避免出现由于不当处置而导致的连锁危机的发生。另外,还应在企业内部做好信息安全的培训和教育工作,提高信息安全的管理意识,提高工作人员对安全危机事件的处理能力。减少由于企业自身的失误而导致安全危机发生的机率。
2结束语