《企业信息安全问题研讨(共2篇)》由会员分享,可在线阅读,更多相关《企业信息安全问题研讨(共2篇)(8页珍藏版)》请在金锄头文库上搜索。
1、企业信息安全问题研讨 (共 2 篇)第一篇一、网络环境下中小企业信息安全问题几大症结本课题组成员经过半年多的调查、分析发现, 对很多中小企业来说, 信息安全形势非常严峻 , 绝大多数企业主对信息安全问题还没有充足的理解 , 进而导致中小企业信息安全普遍存有较大隐患。要改变中小企业信息安全局面, 必须破解如下症结。( 1)网络结构不合理。绝大多数中小企业属于民营企业 , 企业的网络缺乏统一的规划设计, 网络结构不合理。调查中发现只有少数企业使用了防火墙技术实行了内外网的隔离, 少数企业实行了子网划分, 这种网络结构的不合理设置导致了企业内部数据泄密、病毒大范围传播, 甚至整个系统的瘫痪, 给企业
2、信息安全带来极大威胁。( 2)安全意识淡薄。意识决定人的行为。很多中小企业管理者对信息安全问题没有概念, 根本没有意识到信息安全问题的重要性 , 没有意识到二十一世纪信息对企业来说是一种特别重要的无形资产 , 甚至比那些“看得见, 摸的着”的有形资产更重要, 需要企业对它们珍视和保护。( 3)经费投入不足。中小企业有些也理解到了信息安全的重要性 , 但是在企业有限资金限制的情况下 , 投资回报是他们展开信息化首先考虑的因素 , 所以在面对多次信息安全事件以后 , 仍然在网络安全设备、技术人员培训等方面资金投入严重不足。( 4)专业人才缺乏。中小企业因为环境条件的局限, 很难留住和吸引专业的 I
3、T 人员 , 更不可能为信息安全去配备专门的人员。企业仅仅对网络实行简单的维护 , 缺乏防范信息安全漏洞的必要知识。在这种情况下 , 势必会影响到企业信息化的发展。( 5)管理制度不健全。企业信息化的管理, 遵循着“三分技术, 七分管理”的原则。调查发现, 企业绝大多数的信息安全问题是因为企业没有必要的安全管理制度而产生的 , 企业员工没有网络安全意识和知识 ,进而产生一些不良的上网操作行为 , 比如 , 利用工作电脑擅自下载软件、玩游戏上网聊天、打开来路不明的邮件、浏览不良网站、未经允许拷贝比较敏感的文件等等, 这些行为如果没有制度约束就不能有效制止 ,从而大大增加了信息安全的威胁。二、网络
4、环境下中小企业常见信息安全威胁因素对那些已经实施了信息化的中小企业来说, 企业运行过程中会遭遇种种信息安全问题 , 这些问题成为困扰他们的噩梦。只要在网络环境下运营 , 企业就会面临各种潜在威胁和攻击 , 在此过程中暴露出来的安全问题可能仅仅冰山一角 , 可怕的是绝绝大多数情况下, 企业根本不知道自己的网络已经受到了安全攻击 , 存有着巨大的安全隐患。通过我们课题组的问卷调查 , 中小企业面临的信息安全威胁主要来自以下几个方面。( 1)网络病毒风险。调查发现虽然现在中小企业的信息安全意识有所提升 , 一般电脑也都安装了杀毒软件 , 且在持续升级, 但是电脑病毒也在升级 , 并且先于杀毒软件,
5、互联网本身就是病毒生长繁殖的土壤 , 几乎每天都有新的病毒产生 , 这使得八成以上的中小企业局域网电脑带毒运 行 , 如何防范这些病毒, 对中小企业是一个挑战。( 2)黑客入侵。黑客就是计算机数据信息的窃贼, 因为中小企业网络防护薄弱 , 首当其冲成为黑客传播广告软件、毁坏文件和应用、散布“钓鱼”信息、防碍合法用户正常访问、盗取机密信息的重要手段, 而绝绝大多数中小企业内外网之间没有设置防火墙, 所有这些都造成对企业信息安全的极大威胁。( 3)移动设备使用无限制。调查中发现企业员工对移动设备(U 盘、笔记本电脑、MP3智能手机等)的使用没有任何规定和限制,即便有规 定 , 也仅仅流于形式 ,
6、根本没有严格的执行。这种情况带来的后果, 一方面病毒交叉感染, 泛滥 ; 更重要的是企业员工能够通过使用移动设备复制备份企业数据文件并随身带离企业, 这些不经意的行为都会给企业的信息安全带来巨大隐患。( 4)内部信息共享威胁。一些企业为了提升工作效率, 实行内部文件网上共享策略, 没有采取任何防护措施, 企业各部门的文件和数据能够在整个企业内部共享。例如生产部门的生产计划文件、营销销售部门的重要客户信息文件、销售策划文件这些重要数据, 其他部门的人员都能够通过企业内部网络共享得到。中小企业的特点就是员工的流动性比较大 , 这种情况下企业员工很容易把这些重要信息泄露出去 , 对企业的信息资产造成
7、破坏。( 5)权限管理混乱。非授权访问是企业信息安全威胁的主要因素之一 , 所以权限管理是中小企业信息化安全管理非常重要的工作。能够通过设置密码和增强权限管理来防止这种非授权访问行为的发生。可调查情况显示, 企业员工认为只要设置了密码就会平安无事了 , 对密码的理解不足 , 所以为了方便记忆通常设置的密码过于简单, 很容易被破解 ,形同虚设。另外, 企业对于权限的管理也没有明确“谁能做什么”“谁不能做什么” , 权限管理一片混乱, 致使非授权访问事件频频发生。中小企业信息化面临的种种信息安全威胁, 是由当前我国网络安全环境决定的 , 加上人力、资金上的限制 , 中小企业信息安全防线就变得更加脆
8、弱。而网络攻击恰恰会挑选安全防护有漏洞的企业乘虚而入, 如何理解中小企业信息安全问题的这些特点、采取有针对性的安全防护措施, 推动中小企业信息化的发展, 是我们课题研究的目的所在。三、网络环境下如何保证中小企业的信息安全要为中小企业构筑起一个信息安全的防护体系 , 我们建议需要做好以下几方面的工作。3.1 政府部门应该增强对中小企业的支持与引导从的实际情况来看, 因为中小企业IT 水平的不足, 信息化意识、信息化机构设立和信息化培训三大指标与大型企业相比有巨大的差别 , 单单依靠中小企业自身去保障信息安全是远远不够的 , 必须依靠政府的力量、政府的支持。依靠政府部门增强整体网络环境的综合治理,
9、 准确的鼓励与引导来改善企业信息化安全环境, 完善相关法律法规、配套设置建设, 从而为中小企业信息化撑起一把强有力的保护伞。3.2 强化信息安全风险防范意识对于的中小企业要保证网络信息的安全 , 必须要提升全体员工特别是企业高层的信息安全意识。在当今瞬息万变的信息时代, 强化每个员工时刻拥有信息风险的危机意识 , 随时做好主动防范的准备。同时, 企业要定时对企业员工实行信息安全教育,并组织各类专题讲座和技能培训 , 来提升员工的信息安全防范意识和判别水平 , 增强他们对信息的敏感度。3.3 建立健全企业信息安全防范体系建立健全企业信息安全防范体系能够为企业架起一道安全屏障, 从而提升企业对重要
10、信息资产的防护水平 , 一旦信息系统受到侵袭, 也能确保企业正常运营 , 并将损失降到最低水准。(1) 重视信息安全设施建设,建立企业网络与信息安全管理平台 , 在内外网之间部署相对应的网络与信息安全设施, 增强企业网络的安全管理制定相对应的权限访问控制策略 , 并严格有力地执行。如:网络防病毒软件、高性能防火墙、入侵检测系统等 , 这些是企业信息安全的硬件保证。(2) 建立信息化安全事件应急预警机制 , 提升信息安全应急响应速度。调查显示有48%的中小企业没有建立正式的防灾预警方案, 这样当遇到电力中断或其他突发灾难时就会给企业带来不小的损失。(3) 建立重要信息异地数据备份和灾难恢复机制
11、, 为信息系统的可靠运行提供保障。(4) 建立集中化管理控制制度, 形成信息安全管理的长效机制。将数据安全控制在企业内部实行集中化管理, 以确保安全防范策略能够由上至下力求有效地落实执行。特别是将加密密钥实行集中化管理, 防止因为加密密钥的丢失而带来的数据安全风险。(5) 增强企业的信息安全风险评估工作, 定期对信息系统实行安全风险评估 , 提升安全风险预防水平。随着信息技术的日新月异, 企业对信息安全的需求也是持续变化的 , 新的安全问题会持续产生 , 原来建立起来的防护体系可能不再满足新的安全需求 , 这些情况都说明信息安全是一个动态的发展过程, 所以企业需要定期对自己的信息网络安全状况实
12、行评估 , 以改进安全方案 , 调整安全策略, 使企业的信息系统保持在健康、安全的状态下运行。3.4 选择合适的第三方服务体系基于中小企业的信息安全现状, 选择第三方服务体系是比较明智的选择。通过第三方服务体系 , 可为企业提供持续、稳定、专业化的网络应用服务和网络系统的维护服务, 为其减少资金、管理及人力上的投入, 使企业迅速提升信息化水平和市场竞争力。四、结语总来说之 , 网络环境下中小型企业安全体系的构建是一个庞大的系统工程 , 需要综合考虑多方面的因素, 需要各个方面的协调配合, 涉及到技术、管理、法律法规等方方面面的问题。随着网络技术的深入应用 , 企业对信息系统的依赖性也在持续增强
13、 , 如何构建一个立体的信息安全体系 , 守护住企业信息安全的大门 , 对中小企业来说是一个严峻的挑战。第二篇一、煤矿企业信息网络安全的设计与实现1.1 路由器及交换机安全控制绝大多数路由器及第三层交换机都具备内置防火墙功能,同时,要想对信息网络中相关数据包的过滤处理,对进出企业信息网络的所有数据实行必要控制,借助对IP访问列表的设置或者绑定MACfe址的方式便能够实现,采取此种方案有助于进一步提升煤矿企业信息网络的安全系数。在实践中,诸如超时控制、HTT电问控制、信息过滤器、端口访问控制、虚拟端口访问控制及MAC地址绑定控制等方案较为常见。对于煤矿企业来说,引入路由器及第三层交换机,能够达到
14、更好的企业信息网络安全的控制效果,并且大量的实践也充分表明,通过对路由器及第三层交换机实行合理配置能够达到节约安全投入的效果。1.2 访问控制对于煤矿企业来说,其信息网络所有数据服务的核心是数据库服务器,从这个角度来说,维护煤矿企业信息网络安全的关键在于确保数据库 服务的安全。煤矿企业的数据较为分散,甚至无法确定一个真正意义 上的数据中心,但为了最大限度的确保每台计算机中所分布的数据的 安全性,必须对有数据分布的计算机实施较为完善的访问控制,也就 是说,需要在网络操作系统的配合下,对网络操作系统的访问控制策 略实行科学配置,以便确保信息网络服务的安全性。访问控制方法即 使实施起来较为容易,同时
15、其效果十分显著,具有较强的普及性,但 在实践中,此问题比较容易被忽视,相对应的系统安全防范措施并不 完善。( 1)权限控制。实施权限控制的主要目的是为有效控制信息网络中 的非法操作现象。不管是在信息网络设备当中,还是在网络操作系统 当中,用户及用户组都应该获得相对应的访问授权,并且在其授权范 围内对网络信息实行访问。通过控制权限的方法,能够对用户及用户 组访问目录、子目录、打印机及文件等共享资源实行必要的限制,除 此之外,还能够控制用户针对共享设备及文件、目录等的具体操作。其中,目录级的安全控制主要有权限的读与写、权限的创设及删除、 系统管理员权限、权限的修改、权限的存取及权限的查找等几种。网 络系统管理员的主要职责就是明确用户所享有的访问权限,并依据访 问权限对用户的访问行为予以控制。通过对上述几种访问权限实行整 合,一方面,有助于促动用户工作效率的提升;另一方面,还能够对 用户访问服务器资源的行为实行有效控制,这对于进一步提升网络及 服务器的安全性具有重要意义。其次,关于属性安全控制,通常情况 下,属性是通过对以下几方面的控制完成写数据、目录或文件的删除、 目录及文件的查询、文件的复制、文件的执行、文件的共享及系统属 性等操作,
