序論:在您撰寫金融企業(yè)信息安全時����,參考他人的優(yōu)秀作品可以開闊視野,小編為您整理的7篇范文�����,希望這些建議能夠激發(fā)您的創(chuàng)作熱情��,引導(dǎo)您走向新的創(chuàng)作高度�����。
第1篇
關(guān)鍵詞:金融行業(yè) 計算機 信息安全 保障體系
隨著社會的不斷進步和發(fā)展���,信息系統(tǒng)改變?nèi)藗兊纳罘绞?��,推動了整個社會的發(fā)展��,金融行業(yè)也不例外�����。信息化雖然給人們帶來了極大的便利,然而計算機信息技術(shù)的發(fā)展也存在潛在的信息安全問題���。在這一背景下�,計算機網(wǎng)絡(luò)的開放性與金融信息的私密性又具有直接的矛盾����,金融行業(yè)信息安全形勢也不容樂觀,加強金融行業(yè)計算機信息保護�,構(gòu)建更加安全可靠的金融信息安全保障體系顯得尤為重要。
一���、金融行業(yè)計算機信息存在的風(fēng)險
(一)計算機數(shù)據(jù)被攻擊竊取
計算機病毒和木馬依然是目前金融行業(yè)信息風(fēng)險的主要因素�����。計算機病毒和木馬在計算機程序中潛伏����,被激活后會對其他程序進行感染和破壞,輕者造成數(shù)據(jù)毀壞��、丟失�,嚴重者甚至可能使整個信息系統(tǒng)癱瘓,是破壞計算機數(shù)據(jù)的一個主要因素���,也是計算機面臨的一個主要安全問題���。一旦金融計算機數(shù)據(jù)傳輸系統(tǒng)被破壞,就可能會導(dǎo)致數(shù)據(jù)被竊或者客戶資料泄露�,甚至導(dǎo)致客戶資金或證券交易價值損失。
(二)系統(tǒng)設(shè)計維護的缺陷
金融行業(yè)的各項信息系統(tǒng)設(shè)計不可能做到完美無缺�����,任何一個系統(tǒng)都具有固有的缺陷����,這就為不法分子留下攻擊的漏洞,并且無效的安全管理也是造成安全隱患的重要因素�,將直接影響客戶和銀行的資金安全。通常情況下,金融計算機系統(tǒng)都有管理人員對其進行監(jiān)視���,若發(fā)現(xiàn)漏洞則應(yīng)對其危險程度進行分析����,并應(yīng)積極采取相應(yīng)措施進行補救�。然而即使是維護過的系統(tǒng),在軟件更新或者升級后又可能會產(chǎn)生新的漏洞�,依然會危及金融系統(tǒng)的安全。
二��、金融行業(yè)計算機信息安全保障體系的構(gòu)建
為了確保金融行業(yè)計算機信息安全體系的有效運行�,就必須要構(gòu)建一個安全��、有效的信息安全體系對其進行保護���,從而在計算機技術(shù)內(nèi)部形成有效的防火墻����,并加強系統(tǒng)的維護和管理���,以預(yù)防和阻止由于非法入侵����、攻擊、盜用等造成的信息遺失安全問題�。
(一)推進金融科技標(biāo)準化體系
近幾年,標(biāo)準化體系建設(shè)已經(jīng)成為人民銀行科技主管部門的一項重要工作����,為金融行業(yè)信息技術(shù)發(fā)展的做出了行業(yè)規(guī)范。在實際發(fā)展中�,金融行業(yè)在計算機信息管理,專業(yè)研發(fā)��、維護和管理部門和人才等方面做了大量的工作��。金融機構(gòu)既建立計算機信息系統(tǒng)規(guī)劃�、開發(fā)、建設(shè)�����、維護等相關(guān)技術(shù)部門�����,也設(shè)立風(fēng)險管理部門和安全管理部門����。為了更好地推進金融科技標(biāo)準化工作�,各金融行業(yè)風(fēng)險管理部門要加強對安全風(fēng)險進行監(jiān)視�,從組織監(jiān)督檢查的角度,由金融系統(tǒng)內(nèi)部審計部門���,對其業(yè)務(wù)流程及系統(tǒng)運作情況進行安全監(jiān)督檢查����,及時將監(jiān)視結(jié)果提供給其他相關(guān)部門���;安全管理部門要加強對管理制度���、法規(guī)、安全細則等進行規(guī)定��,并通過監(jiān)督�����、指導(dǎo)�、管理等使制度得到落實��,從信息安全管理層面使金融信息安全體系的防范級別得到切實提高。
(二)加強計算機信息數(shù)據(jù)的保護
金融行業(yè)服務(wù)業(yè)已進入大數(shù)據(jù)時代�,要求數(shù)據(jù)存儲系統(tǒng)具有較高的可靠性,只有完善的數(shù)據(jù)存儲才能更好的保障其訪問和交易過程的順利進行���。若系統(tǒng)出現(xiàn)故障�����,可能會出現(xiàn)業(yè)務(wù)中斷���、客戶流失,甚至資金鏈斷裂等等諸多問題�����,會很多大程度影響客戶體驗和企業(yè)信譽度�����。金融行業(yè)不僅要開發(fā)適合本機構(gòu)的金融產(chǎn)品和完整有效的信息系統(tǒng)��,更應(yīng)該加強備用數(shù)據(jù)中心的建設(shè)��,強化減災(zāi)容災(zāi)能力���。這樣��,在數(shù)據(jù)中心無法繼續(xù)正常運行時��,可以通過使用備用數(shù)據(jù)中心通道來維持系統(tǒng)的正常工作���,從而更好的防范數(shù)據(jù)問題引起的服務(wù)事故��,為網(wǎng)絡(luò)信息安全保障體系建立強大的服務(wù)后盾�。
(三)積極跟進新型信息安全技術(shù)
計算機信息安全技術(shù)是維持信息安全體系的關(guān)鍵����,合理運用安全機制,積極探索和采用新型信息安全技術(shù)���,可以保障系統(tǒng)的順利運行和廣大人民的資金財產(chǎn)安全���。一是要加強網(wǎng)絡(luò)訪問者身份認證。金融行業(yè)要采用靜態(tài)密碼認證�、動態(tài)密碼認證��、指紋識別�、數(shù)字證書以及其它新型認證方式����,做好客戶身份認證工作��,同時也要避免客戶相關(guān)隱私信息被盜用��。二是加強網(wǎng)絡(luò)病毒木馬的實時監(jiān)測����。堅持金融行業(yè)計算機網(wǎng)絡(luò)安全以防護為主的原則,做好病毒防護系統(tǒng)升級工作�,主動強化對病毒木馬進行實時監(jiān)測,分析病毒木馬最新動態(tài)����,制定合理的防護機制和預(yù)警機制,從而更好的 對其進行防范��;三是加強計算機信息系統(tǒng)軟硬件管理��、維護和升級工作�����。計算機信息系統(tǒng)的正常運行是以軟硬件設(shè)備為基礎(chǔ)的���,其安全性設(shè)計和優(yōu)化配置對于保障系統(tǒng)信息安全都尤為重要����。在實際工作中既要積極解決信息系統(tǒng)安全設(shè)計、生產(chǎn)����、測試、運營��、維護等方面的問題���,提高系統(tǒng)設(shè)備安全性�,從而更好的保障計算機網(wǎng)絡(luò)安全策略的順利執(zhí)行����,也要做好系統(tǒng)的更新和升級工作,要把用戶體驗好�,安全防護好各類新型金融信息產(chǎn)品投入運行。
三�����、結(jié)束語
在信息化愈加普及的今天,金融機構(gòu)更應(yīng)重視計算機信息安全系統(tǒng)的構(gòu)建�,不僅要加強對信息資源的保護����,同時還要建立完善、可靠的金融信息安全體系���,以安全技術(shù)以及防護手段作為安全體系構(gòu)建的支撐�����,確保信息體系的安全運行和實施��,保障監(jiān)視�、評審信息安全�����,從而切實保障客戶的個人信息安全�,最終才能不斷推動推動金融業(yè)的快速發(fā)展。
參考文獻:
[1]韋雪江.我國金融行業(yè)計算機信息安全形勢分析和研究[J].計算機光盤軟件與應(yīng)用����,2013
第2篇
【 關(guān)鍵詞 】 信息安全;安全治理;框架�;風(fēng)險管理
1 引言
隨著企業(yè)的信息化建設(shè),企業(yè)信息系統(tǒng)在縱����、橫向的耦合程度日益加深,系統(tǒng)間的聯(lián)系也日益緊密����,因此企業(yè)的信息安全影響著企業(yè)信息系統(tǒng)的安全、持續(xù)����、可靠和穩(wěn)定運行。此外���,美國明尼蘇達大學(xué)Bush-Kugel的研究報告指出企業(yè)在沒有信息資料可用的情況下����,金融業(yè)至多只能運作2天���,商業(yè)則為3天���,工業(yè)則為5天。而從經(jīng)濟情況來看,25%的企業(yè)由于數(shù)據(jù)損毀可能隨即破產(chǎn)�����,40%會在兩年內(nèi)破產(chǎn)�,而僅有7%不到的企業(yè)在5年后繼續(xù)存活�。伴隨著監(jiān)管機構(gòu)對信息安全日趨嚴格的要求,企業(yè)對信息安全的關(guān)注逐漸提高�,并對信息安全投入的資源不斷增加,從而使得信息安全越來越為公司高級管理層所關(guān)注�。
2 信息安全問題
目前企業(yè)信息安全問題主要包括幾個方面。
(1)信息質(zhì)量底下:無用信息���、有害信息或劣質(zhì)信息滲透到企業(yè)信息資源中���, 對信息資源的收集、開發(fā)和利用造成干擾�。
(2)信息泄漏:網(wǎng)絡(luò)信息泄漏和操作泄漏是目前企業(yè)普遍存在的信息安全困擾。網(wǎng)絡(luò)信息泄漏是信息在獲取���、存儲��、使用或傳播的時候被其他人非法取得的過程�����。而操作泄漏則是由于不正當(dāng)操作或者未經(jīng)授權(quán)的訪問����、蓄意攻擊等行為,從而使企業(yè)信息泄漏�����。
(3)信息破壞:指內(nèi)部員工或者外部人員制造和傳播惡意程序����, 破壞計算機內(nèi)所存儲的信息和程序, 甚至破壞計算機硬件�����。
(4)信息侵權(quán):指對信息產(chǎn)權(quán)的侵犯?,F(xiàn)代信息技術(shù)的發(fā)展和應(yīng)用, 導(dǎo)致了信息載體的變化���、信息內(nèi)容的擴展��、信息傳遞方式的增加��, 一方面實現(xiàn)了信息的全球共享�����, 但同時也帶來了知識產(chǎn)權(quán)難以解決的糾紛�。
3 信息安全治理的困惑
基于信息安全的重要性,企業(yè)在信息安全治理方面投入了諸多資源��,但是在信息安全治理成效方面仍不盡如人意����,主要問題在于幾個方面���。
(1)信息安全治理的范圍不明確:目前企業(yè)都在盡力實現(xiàn)良好的信息安全治理���,但是由于無法正確理解信息安全治理和信息安全管理的區(qū)別,導(dǎo)致了信息安全治理無法與企業(yè)的安全規(guī)劃和企業(yè)戰(zhàn)略形成一致性���。表1從工作內(nèi)容�����、執(zhí)行主體和技術(shù)深度三個層面分析了兩者的區(qū)別��。
從表1中可以明確:信息安全治理是為組織機構(gòu)的信息安全定義一個戰(zhàn)略性的框架���,指明了具體安全管理工作的目標(biāo)和權(quán)責(zé)范圍��,使信息系統(tǒng)安全專業(yè)人員能夠準確地按照企業(yè)高層管理人員的要求開展工作�。
(2)企業(yè)信息安全治理路徑的錯誤理解:企業(yè)在信息安全治理的過程中��,最常用的手法是采用信息安全的技術(shù)措施���,如使用加密和防偽技術(shù)�、認證技術(shù)�����、防病毒技術(shù)����、防火墻技術(shù)等方式來進行,但是往往企業(yè)投入很多�����,卻沒有達到預(yù)想的效果���,問題在于����,信息安全治理并不單單是技術(shù)問題,信息安全治理也包含了安全戰(zhàn)略�����、風(fēng)險管理�、績效評估、層級報告以及職責(zé)明確等方面���。
4 信息安全治理關(guān)注的領(lǐng)域
(1)戰(zhàn)略一致性:信息安全治理需與企業(yè)的發(fā)展戰(zhàn)略和業(yè)務(wù)戰(zhàn)略相一致����,建立相互協(xié)作的解決方案���。
(2)價值交付:衡量信息安全治理價值交付的基準是信息安全戰(zhàn)略能否按時、按質(zhì)并在預(yù)算內(nèi)實現(xiàn)預(yù)期的價值目標(biāo)����。因此需要設(shè)計明確的價值目標(biāo),對信息安全治理的交付價值進行評估�����。
(3)資源管理:實現(xiàn)對支持信息運行的關(guān)鍵資源進行最優(yōu)化投資和最佳管理。
(4)風(fēng)險管理:企業(yè)管理層應(yīng)具備足夠的風(fēng)險意識����,明確企業(yè)風(fēng)險容忍度,制定風(fēng)險管理策略�,將風(fēng)險管理融入到企業(yè)的日常運營中。
(5)績效度量:利用科學(xué)的管理方法����,將信息安全治理轉(zhuǎn)換為可評價的目標(biāo)的行動,便于對信息安全各項工作的績效進行有效管理�。
5 信息安全治理框架
通過良好的信息安全治理, 可以保護企業(yè)的信息資產(chǎn)���,避免遭受各種威脅�����,降低對企業(yè)之傷害��,確保企業(yè)的永續(xù)經(jīng)營����,以及提升企業(yè)投資回報率及競爭優(yōu)勢。
通過長期的實踐經(jīng)驗以及結(jié)合COBIT標(biāo)準和GB/T 22080-2008�����,總結(jié)出信息安全治理的框架主要由四部分組成��,如圖1所示�。
(1)信息安全戰(zhàn)略:結(jié)合企業(yè)的整體信息技術(shù)戰(zhàn)略規(guī)劃和信息安全治理現(xiàn)狀,制定信息安全戰(zhàn)略�。
(2)信息安全組織架構(gòu):根據(jù)企業(yè)層面在決策、管理和執(zhí)行機制對組織結(jié)構(gòu)的要求��,建立信息安全治理框架和決策溝通機制�����,明確公司各級管理層及相關(guān)部門在信息安全組織架構(gòu)中的工作職責(zé)與角色定位�。
(3)信息安全職責(zé):根據(jù)公司信息安全組織架構(gòu)�����,進一步明確信息安全相關(guān)崗位的工作職責(zé)���、分工界面和匯報路徑等�����。
(4)信息安全管理制度:信息安全管理制度通過建立一個層次化的制度體系��,針對不同的需求方(管理者��、執(zhí)行者���、檢查者等)從政策����、制度����、流程、規(guī)范和記錄等方面進行信息安全活動相關(guān)的規(guī)定���,實現(xiàn)信息安全的功能和管理目標(biāo)��。
6 信息安全治理評估
企業(yè)信息安全治理評估有助于提高信息安全治理投資的效益和效果�。企業(yè)的最高管理層和管理執(zhí)行層可以使用信息安全治理成熟度模型建立企業(yè)的安全治理級別����。該模型����,如表2所示����,被應(yīng)用為幾個方面。
(1)在市場環(huán)境中�����,相對于國際信息安全治理標(biāo)準�、行業(yè)最佳實踐,以及直接競爭對手�,了解企業(yè)在信息安全治理上的級別。
(2)進行差距分析�����,為改進措施提供明確的路徑����。
(3)了解企業(yè)的競爭優(yōu)勢和劣勢。
(4)有利于對信息安全治理進行績效評估����。
7 結(jié)束語
本文從企業(yè)信息安全治理的實踐出發(fā),概述了目前企業(yè)信息安全治理存在的問題和困惑��,總結(jié)了企業(yè)實現(xiàn)有效的信息治理的關(guān)注領(lǐng)域和實施內(nèi)容�,為企業(yè)建立良好的信息安全治理提供了基本框架。
參考文獻
[1] 馬峰輝���,劉壽強.企業(yè)信息安全治理的經(jīng)濟性探析.計算機安全���,2003:70-71.
[2] 婁策群,范昊����,王菲.現(xiàn)代信息技術(shù)環(huán)境中的信息安全問題及其對策.中國圖書館學(xué)報,2000(11):33-37.
[3] 劉金鎖���,李筱煒�,楊維永.企業(yè)實現(xiàn)有效的信息安全治理之路.中國管理信息化��,2012(11):37-39.
[4] 黃華軍�����,錢亮,王耀鈞.基于異常特征的釣魚網(wǎng)站URL檢測技術(shù)[J].信息網(wǎng)絡(luò)安全�����,2012����,(01):23-25.
[5] 黃世中.GF(2m)域SM2算法的實現(xiàn)與優(yōu)化[J].信息網(wǎng)絡(luò)安全,2012���,(01):36-39.
第3篇
[摘要] 隨著經(jīng)濟全球化進程的加快����,企業(yè)信息安全將成為企業(yè)面臨到的一個主要問題�����,加強信息安全管理也已成為時代的召喚�。本文介紹了企業(yè)信息安全,以及石油石化企業(yè)信息化建設(shè)����,分析了信息安全對石油石化企業(yè)的意義以及應(yīng)對策略。
[關(guān)鍵詞] 信息安全��;信息化建設(shè);安全策略
在經(jīng)濟全球化的今天��,企業(yè)相關(guān)人員對信息安全越來越關(guān)注����。雖然企業(yè)采取了很多與員工簽訂保密協(xié)議�,建立防火墻,以及安全管理中心等措施�,但還是發(fā)生了像天涯社區(qū)、新浪等泄露用戶密碼�、個人信息的安全事件。企業(yè)提高計算機與信息管理的水平可以防范由信息安全所造成的各項損失���,完善企業(yè)信息安全管理體系是很多企業(yè)都會面臨到的一個主要問題�����,而作為我國國民經(jīng)濟支柱產(chǎn)業(yè)的石油石化企業(yè)更應(yīng)該加強信息安全的管理�。
一���、企業(yè)信息安全定義
近年來�����,經(jīng)濟全球化呈現(xiàn)加速發(fā)展的趨勢���,越來越多的發(fā)展中國家融入到經(jīng)濟全球化的大潮之中����。世界政治����、經(jīng)濟形勢的深刻變化使國家安全的內(nèi)涵出現(xiàn)了新的變化,國家經(jīng)濟利益和國家經(jīng)濟競爭力隨即上升至國家安全的優(yōu)先位置����,國家經(jīng)濟安全開始成為國家安全的核心?����?鐕①徥墙?jīng)濟全球化時代的重要特�,尤其是近幾年來,經(jīng)濟全球化的日益發(fā)展使資本的全球擴張進一步加強�����,企業(yè)兼并活動達到有史以來的最高峰����。在各跨國企業(yè)擴大占有其他國家市場��、資源和技術(shù)時��,往往使被收購企業(yè)所在國受到很大沖擊�,甚至威脅到他國的經(jīng)濟安全�����。
企業(yè)信息安全是一個復(fù)雜的���、多維的動態(tài)體系,受到諸多外界因素的影響�,因而需要從系統(tǒng)的高度進行綜合性的概括。企業(yè)信息安全有兩種解釋:一種是從具體的信息安全技術(shù)系統(tǒng)的角度著手�����,來管理企業(yè)信息�����,提高安全性��;另一種是建立某些被指定的安全信息體系,例如:銀行指揮系統(tǒng)等�����,從而加強企業(yè)信息的安全���。企業(yè)信息安全的基礎(chǔ)內(nèi)容主要有:實體和運行����,以及信息資產(chǎn)與人員安全�。實體安全也是指硬件安全,既保護計算機網(wǎng)絡(luò)硬件和存儲媒體的安全�����,又防止計算機硬件����、設(shè)備等因濕度過大、溫度過高����、摩擦等因素而出現(xiàn)的物理損壞。同時�����,維護硬件運行環(huán)境的穩(wěn)定也是實體安全的范疇。運行安全是保障信息處理過程的安全運行����,避免出現(xiàn)程序性故障、死機等現(xiàn)象����,保障系統(tǒng)功能的安全。信息資產(chǎn)安全則是確保信息的控制權(quán)在企業(yè)本身手里���,不被惡意篡改或破壞,不被非法操作�、誤操作、復(fù)制�,功能穩(wěn)定等。人員安全主要是指信息系統(tǒng)使用人員能夠有明確保護信息安全的意識��,遵紀守法����,擁有保障企業(yè)相關(guān)信息安全的技能和能力。
二���、石油石化企業(yè)的信息化建設(shè)
在國際金融危機的沖擊下��,我國石油石化企業(yè)受到種種壓力����,但同時也遇到不少發(fā)展的機遇。金融危機背景下�����,提升企業(yè)競爭能力和抗風(fēng)險能力更顯得重要����,石化企業(yè)需堅持并加強信息化應(yīng)用,不斷地深化和優(yōu)化應(yīng)用�����。
石油石化企業(yè)是我國最早開展信息化建設(shè)的行業(yè)之一�。經(jīng)過多年的建設(shè),加之逐年增加投入�����,石化行業(yè)整體信息化應(yīng)用水平在不斷提高,并取得了較高的成績����。據(jù)中國石油和化學(xué)工業(yè)協(xié)會調(diào)研顯示,勘探與生產(chǎn)技術(shù)數(shù)據(jù)管理系統(tǒng)��、管道生產(chǎn)管理系統(tǒng)��、ERP系統(tǒng)等目前在大部分石油石化企業(yè)中得到應(yīng)用并發(fā)揮了重要作用���,集成與深化應(yīng)用已經(jīng)成為石油石化企業(yè)信息化建設(shè)的主流�。在當(dāng)前國際金融危機沖擊之下����,信息化在優(yōu)化資源配置、強化過程管控����、支持管理創(chuàng)新��、提高經(jīng)營管理水平和勞動生產(chǎn)率等方面的支撐作用越來越顯著�����。
三、石油石化企業(yè)信息安全的意義
石油石化企業(yè)在國民經(jīng)濟中扮演者重要的角色��,是其重要的支柱產(chǎn)業(yè)����,擔(dān)負著保障國家油氣供應(yīng)安全的重要責(zé)任。國家形象����、安全及國民經(jīng)濟也可能要受石油石化企業(yè)安全的影響。近幾十年石油石化企業(yè)的發(fā)展主要得益于信息技術(shù)的發(fā)展�����。石油石化企業(yè)運營絕大多數(shù)工序��,從地震�����、鉆井到化工作業(yè)�����、生產(chǎn)工藝�,甚至是管理手段��、戰(zhàn)略決策等都是依靠信息系統(tǒng)來實現(xiàn)的���。信息系統(tǒng)一旦癱瘓,企業(yè)的運營就要中斷�����。
前不久���,互聯(lián)網(wǎng)一度讓人望而卻步�,CSDN�、天涯、新浪�、京東商城、網(wǎng)易公司����、支付寶等互聯(lián)網(wǎng)公司以及多家銀行深陷“泄密門”。這使得本來就對互聯(lián)網(wǎng)不放心的廣大消費者更加遠離了網(wǎng)絡(luò)購物��,一些網(wǎng)絡(luò)消費者也紛紛降低了購物頻率���。
四、中海油的企業(yè)信息安全策略
信息化是中海油科學(xué)管理的重要手段,也是企業(yè)的核心競爭力之一����。多年來中海油一直堅持業(yè)務(wù)驅(qū)動應(yīng)用,技術(shù)引領(lǐng)創(chuàng)新�����,著力打造數(shù)字海油����,加強工業(yè)化與信息化的融合,提升中海油信息化水平���。多年來建設(shè)了MPLS云網(wǎng)絡(luò)�����,實現(xiàn)了物理統(tǒng)一�����、邏輯共享的網(wǎng)絡(luò)鏈路��;構(gòu)建了以LotusNotes為基礎(chǔ)的OA辦公平臺����;打造了以SAP為核心的ERP系統(tǒng)平臺;建設(shè)了勘探����、開發(fā)、生產(chǎn)��、鉆完井等生產(chǎn)管理信息系統(tǒng)和Scada�����、DCS����、MES生產(chǎn)信息管理系統(tǒng)。這些系統(tǒng)的建立為提高石油的產(chǎn)量���,加速企業(yè)的運行效率奠定了基礎(chǔ)��,使得中海油各生產(chǎn)運行業(yè)務(wù)系統(tǒng)建設(shè)穩(wěn)步推進����,實現(xiàn)了整體項目生產(chǎn)數(shù)據(jù)的完整����、有序化管理,便于生產(chǎn)經(jīng)營決策�����。
隨著國際化的進程��,中海油和國外公司的合作聯(lián)系越來越密切�����,如果不加強信息安全�,輕則出現(xiàn)宕機、數(shù)據(jù)缺失��、系統(tǒng)停止服務(wù)等信息服務(wù)事件�,重則會影響我國的石油產(chǎn)業(yè)和我國的國民經(jīng)濟。目前在對網(wǎng)絡(luò)安全方面主要從以下幾點展開的:
(1)物理安全風(fēng)險
在物理安全方面�����,企業(yè)建立合格的機房環(huán)境��,設(shè)置合理的網(wǎng)絡(luò)構(gòu)架�,購置高性能的硬件設(shè)施�,同時安裝高效的��、實時的預(yù)警系統(tǒng)等��。在這些系統(tǒng)的和人員管理的情況下�,防止設(shè)備因水災(zāi)、火災(zāi)�����、系統(tǒng)故障等導(dǎo)致的計算機硬件方面的安全問題�。
(2)網(wǎng)絡(luò)管理體系方面的安全
加強網(wǎng)絡(luò)管理體系,可以減少企業(yè)中責(zé)權(quán)不明�����、管理混亂等方面的安全隱患���,提高員工的安全意識����。同時����,還可以及時發(fā)現(xiàn)一些外來的網(wǎng)絡(luò)攻擊和惡意的破壞���。對內(nèi)部終端進行管理,通過流量限制計算機上傳下載速度也是有效的網(wǎng)絡(luò)管理體系的一部分�。
(3)網(wǎng)絡(luò)拓撲結(jié)構(gòu)的風(fēng)險
拓撲結(jié)構(gòu)形象的描述了企業(yè)網(wǎng)絡(luò)的組織結(jié)構(gòu)以及各個元件之間的相互關(guān)系����,對企業(yè)的網(wǎng)絡(luò)安全系統(tǒng)有著重要的影響力。假如外部和內(nèi)部進行聯(lián)系�,內(nèi)部網(wǎng)絡(luò)系統(tǒng)受到威脅,就會通過這個網(wǎng)絡(luò)拓撲結(jié)構(gòu)一層一層的影響其他的系統(tǒng)���,進而可能使整個網(wǎng)路拓撲結(jié)構(gòu)癱瘓�,影響企業(yè)的正常運行���。
同時�����,面對日益高速化發(fā)展的今天��,工作人員容易受到外界的蠱惑���,因此企業(yè)應(yīng)該加強對企業(yè)人員網(wǎng)絡(luò)安全維護的教育����,提高人員安全性����。
五、技術(shù)展望
云計算的發(fā)展為未來企業(yè)網(wǎng)絡(luò)安全提供了又一個技術(shù)平臺����。云計算是通過網(wǎng)絡(luò)把成千上萬的計算機硬件資源和軟件資源聚合成一個具有強大計算能力的系統(tǒng),并借助各種服務(wù)模式把強大的計算能力提供給終端用戶�����,使人們能夠像使用電����、水那樣使用信息資源。
在經(jīng)濟全球化的今天�����,企業(yè)相關(guān)人員對信息安全越來越關(guān)注���。雖然企業(yè)采取了很多與員工簽訂保密協(xié)議�����,建立防火墻����,以及安全管理中心等措施,但還是發(fā)生了像天涯社區(qū)��、新浪等泄露用戶密碼�����、個人信息的安全事件����。云技術(shù)網(wǎng)頁威脅管理部署和操作簡單����,不僅有效且高效的防護,而且支持遠程辦公室和移動工作�,“網(wǎng)絡(luò)效應(yīng)”和“眾包”的作用更是提高了信息的安全性,因此特別適合分布式企業(yè)��。而大型企業(yè)則需要一種集中化的管理和分布式、以云端為中心的智能���、緊密集成等于一體的網(wǎng)絡(luò)威脅管理構(gòu)架�,才能滿足其龐大的網(wǎng)絡(luò)拓撲架構(gòu)的安全需要���,改善遠程工作者的安全性�,提供全局可見性和控制能力����,創(chuàng)建一個云遷移路徑。
綜上所述����,中海油信息化的建設(shè)大幅提升了生產(chǎn)運行效率和精細化管理水平,達到了國際化先進水平���,為中海油在國際的長遠發(fā)展提供了堅實的基礎(chǔ)��。面對經(jīng)濟的全球化�����,各行各業(yè)�����,每一個企業(yè)都要建立健全�、不斷完善信息安全管理工作,提升企業(yè)信息安全管理水平�����。
參考文獻
[1] 張帆;企業(yè)信息安全威脅分析與安全策略[J];網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2007,(05)
第4篇
【 關(guān)鍵詞 】 企業(yè)信息����;信息安全;風(fēng)險管理����;框架探究
1 引言
人類社會在不斷發(fā)展�����,信息化逐漸融入人們生活�����。信息資源對于現(xiàn)代企業(yè)來講��,是每時每刻都存在的運轉(zhuǎn)載體,各種重要數(shù)據(jù)�、企業(yè)的知識產(chǎn)權(quán)等這些都是企業(yè)的內(nèi)部信息,除這些信息外��,其他相關(guān)方面的數(shù)據(jù)也被企業(yè)所利用��,例如合作伙伴��、客戶�����、員工等資料���,尤其是一些服務(wù)性企業(yè)�����,比如網(wǎng)商�����、快遞公司���、金融公司���、通信公司、航空公司等��,這些企業(yè)更需要以信息系統(tǒng)作為支撐���,信息資源成為企業(yè)不可或缺的重要組成部分����。
2 新形勢下我國信息安全面臨的問題
2.1 風(fēng)險意識在主觀上的淡薄
在我國信息安全上面���,思想認識面臨高風(fēng)險的形勢��,大部分企業(yè)的管理高層對信息資產(chǎn)的認識嚴重不足����?�;蛘呔窒拊贗T的安全方面��,沒有合理的安全觀念引導(dǎo)企業(yè)在信息安全管理方面的工作����。信息安全管理制度的完整性缺乏,規(guī)范安全風(fēng)險和安全法律法規(guī)對員工的培訓(xùn)缺乏�����,很多信息安全事故的發(fā)生都是因為安全意識的薄弱造成的����。
2.2 缺乏信息安全管理系統(tǒng)的思想
大部分企業(yè)仍是將傳統(tǒng)的管理方法用在安全管理模式中,這種出現(xiàn)問題再去想彌補的方法是靜態(tài)的管理���,不能在提前進行信息安全風(fēng)險評估上做更有效的信息系統(tǒng)管理��。
2.3 信息安全不僅僅是技術(shù)部門的事
多數(shù)企業(yè)認為信息安全的責(zé)任和義務(wù)都是IT部門的�����,造成信息技術(shù)部門無法和企業(yè)內(nèi)部其他部門互動����,進而形成孤立的局面�����。但是���,信息安全的實現(xiàn)需要各個部門的全員行動����,特別是規(guī)范標(biāo)準以及規(guī)章制度的貫徹落實,更牽涉到企業(yè)的每一名員工���,全員行動的要求更是不能缺少�。
2.4 存在重視安全技術(shù)而輕視安全管理的情況
現(xiàn)今為止���,仍有很多企業(yè)僅僅依賴產(chǎn)品安全����,認為信息安全就是信息產(chǎn)品安全���。一般企業(yè)現(xiàn)在都會采用計算機和網(wǎng)絡(luò)技術(shù)來構(gòu)建企業(yè)的信息系統(tǒng)�����,但是沒有把相應(yīng)的管理措施開展到位。信息安全問題應(yīng)該加強做好管理工作�����,不能單從技術(shù)方面著手。
2.5 現(xiàn)代管理手段與理論欠缺
日益龐大的現(xiàn)代化信息規(guī)模與越來越復(fù)雜的網(wǎng)絡(luò)結(jié)構(gòu)��,讓現(xiàn)有的風(fēng)險管理手段和理論都不足以讓企業(yè)信息安全得到完全的滿足���,企業(yè)應(yīng)該結(jié)合實際情況和需要�,把國際上優(yōu)異的信息安全風(fēng)險管理理論以及先進的最佳實踐用作指導(dǎo)�����,以此達到信息安全的目的�����。
3 企業(yè)信息安全風(fēng)險管理的框架探究
企業(yè)信息安全風(fēng)險管理的框架包括兩個部分���,一是企業(yè)信息安全風(fēng)險管理的過程�����,二是企業(yè)信息安全風(fēng)險管理的實施����。其中,實施是過程的保障�,整合各種資源要通過實施才能達到;過程是實施的前提��,對過程的清楚有利于建立企業(yè)信息安全風(fēng)險管理的統(tǒng)一理解��,以此逐漸實現(xiàn)信息安全風(fēng)險管理��。企業(yè)信息安全風(fēng)險管理包括風(fēng)險分析�����、風(fēng)險計劃�����、風(fēng)險識別�����、風(fēng)險監(jiān)督��、計劃實施�、風(fēng)險改進六個動態(tài)過程。
信息安全風(fēng)險管理是動態(tài)�、持續(xù)性過程����,信息安全通過潛在的風(fēng)險識別��、分析��,同時進行計劃��、實施��、監(jiān)督�、改善����,然后再進入到下一個循環(huán)里,通過持續(xù)不斷的循環(huán)活動進行有計劃����、持續(xù)的控制,不斷改進�。
參照戴明的PDCA質(zhì)量管理模式,把安全項目實施劃分為四個階段��,分別是準備和策劃�、執(zhí)行和部署、監(jiān)控和檢查、評價和改進�����,實施階段有幾個工作步驟:(1)準備和策劃工作階段���,首先調(diào)研信息安全風(fēng)險管理現(xiàn)狀���,接著進行風(fēng)險評估,然后編制信息安全風(fēng)險管理方案�;(2)執(zhí)行和部署工作階段,進行部署安排����,按計劃執(zhí)行,接著進行安全培訓(xùn)�����;(3)監(jiān)控和檢查工作階段���,做好企業(yè)安全現(xiàn)狀檢查�,預(yù)測未來的變化���;(4)評價和改進工作階段����,制定改善措施,響應(yīng)緊急事件���。
4 企業(yè)信息安全風(fēng)險管理的實施
在風(fēng)險管理中人、過程��、基礎(chǔ)結(jié)構(gòu)和實施是四大影響風(fēng)險管理能力的關(guān)鍵因素�,企業(yè)的信息安全風(fēng)險管理能力同時也受著這四個因素制約,所以企業(yè)信息安全管理中十分重要的就是人通過各類資源和企業(yè)基礎(chǔ)結(jié)構(gòu)達到信息安全風(fēng)險管理過程的實施活動���。
企業(yè)在開始嘗試安全風(fēng)險管理實施之前�����,很重要的一點是應(yīng)該檢驗現(xiàn)有安全風(fēng)險管理的完善度��。假如企業(yè)在安全風(fēng)險管理上沒有規(guī)范的流程和正式的策略����,就會出現(xiàn)框架的實施非常艱難����。換句話說讓企業(yè)有一些正式的策略和明確的指導(dǎo)���,將避免大多數(shù)員工都在工作中不知所措。假如在安全風(fēng)險管理上發(fā)現(xiàn)企業(yè)相對不夠成熟����,則可以采取試點的形式,把安全風(fēng)險管理實施到單個業(yè)務(wù)單元中��,直到通過試運行在框架中顯示有效以后����,再考慮將其他業(yè)務(wù)單元導(dǎo)入至整個企業(yè)框架中。
框架實踐需要以最優(yōu)實踐的經(jīng)驗為基準����,必須有利于企業(yè)確定安全現(xiàn)狀,同時按照需要的安全方向進行改進�,企業(yè)的安全風(fēng)險管理能力通過不斷的提高,就能逐漸努力向著安全的目標(biāo)前進��。
5 結(jié)束語
進入信息化時代���,企業(yè)已經(jīng)把信息系統(tǒng)的高效�、互聯(lián)、精確的特征當(dāng)作賴以生存和發(fā)展的必要條件�。因此所伴隨產(chǎn)生的信息安全風(fēng)險就成了企業(yè)關(guān)注的重點問題。在此情況之下���,企業(yè)建立信息安全風(fēng)險管理機制�����,利用科學(xué)的方法和手段控制各種風(fēng)險的發(fā)生顯得尤為重要。動態(tài)循環(huán)是企業(yè)信息安全風(fēng)險管理的一個過程�,在風(fēng)險評估的前提下,要落實對風(fēng)險控制措施���。同時對過程的實施要進行有效的控制和監(jiān)督�����,這就需要一個明確清晰并且具有可操作性的信息安全風(fēng)險框架來指導(dǎo)�����。還有需要探究的工作在信息安全風(fēng)險管理領(lǐng)域里��,但愿本文能引來更多這一領(lǐng)域探究��,從而做出保障企業(yè)信息安全的貢獻����。
參考文獻
[1] 陳慧勤.企業(yè)信息安全風(fēng)險管理的框架研究[J].2011,21(40):42-46.
[2] 惠志斌.企業(yè)IT風(fēng)險管理的體系構(gòu)建與實現(xiàn)路徑[J].科技管理研究�,2014,34(2):36-55.
[3] 葉銘.企業(yè)動態(tài)信息安全風(fēng)險控制系統(tǒng)的研究[J].2012�,08(11):81-85.
第5篇
[關(guān)鍵詞] 網(wǎng)絡(luò)環(huán)境; 現(xiàn)代企業(yè)�; 信息安全; 問題���; 對策
[中圖分類號] F208 [文獻標(biāo)識碼] A [文章編號] 1673 - 0194(2013)04- 0084- 02
現(xiàn)代企業(yè)的信息安全是指在管理上和技術(shù)上對數(shù)據(jù)處理系統(tǒng)進行安全的保護�,使計算機的軟件��、硬件���、保密數(shù)據(jù)等不會遭到破壞�����、更改��、泄露��。通過對企業(yè)信息安全的管理���,能夠保護企業(yè)信息的機密性和完整性��,保護企業(yè)的生產(chǎn)運營安全�����,是企業(yè)發(fā)展的必不可少的環(huán)節(jié)���。
1 網(wǎng)絡(luò)環(huán)境下現(xiàn)代企業(yè)信息安全存在的問題
1.1 人為因素造成的安全問題
現(xiàn)代企業(yè)之間的競爭十分激烈,企業(yè)管理者把精神都集中在企業(yè)的生產(chǎn)和經(jīng)營上��,對計算機的管理不夠重視����,加上網(wǎng)絡(luò)屬于新生事物的一種���,人們會利用網(wǎng)絡(luò)進行娛樂活動��,卻忽視了網(wǎng)絡(luò)的安全性���,缺乏網(wǎng)絡(luò)安全意識��,企業(yè)員工在工作時間利用網(wǎng)絡(luò)進行娛樂活動的行為十分普遍��,由于自身的安全意識匱乏�����,不但浪費了企業(yè)的網(wǎng)絡(luò)資源����,也加大了病毒侵害的可能性���,威脅了企業(yè)的信息安全����。企業(yè)信息安全的管理需要管理部門重視起來�����,現(xiàn)實中����,企業(yè)對信息安全的管理投入很少,安全防范做得不好,管理者對信息安全管理的認識不足�����,下面的員工安全意識也淡薄�����,規(guī)章制度不完善�,信息安全管理無據(jù)可依,管理者也沒有對信息安全進行有效的監(jiān)督��,沒有在第一時間發(fā)現(xiàn)網(wǎng)絡(luò)存在的問題�,甚至在網(wǎng)絡(luò)不能正常運行了才去解決問題,給公司發(fā)展帶來不利影響�。
1.2 網(wǎng)絡(luò)技術(shù)自身存在的安全問題
隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,各種軟件也不斷更新?lián)Q代�����,現(xiàn)在Windows 7正在大規(guī)模地進軍國內(nèi)市場��,微軟不斷推出新的產(chǎn)品��,各種操作系統(tǒng)的漏洞也一直存在�,為病毒的滋生提供了機會,很多網(wǎng)絡(luò)軟件存在后門��,這些后門原本是編程人員為了軟件的擴展和維護設(shè)置的,如果被不法分子發(fā)現(xiàn)���,對公司的信息安全有很大的威脅。計算機犯罪中最典型的就是黑客的攻擊���,黑客攻擊也分為主動攻擊和被動攻擊兩種�����,主動攻擊直接為企業(yè)的信息完整性����、機密性造成破壞����,被動攻擊雖然能夠保證公司電腦的正常運行,但企業(yè)的重要信息可能會被截獲���、竊取��,都嚴重影響了企業(yè)信息安全���。
1.3 設(shè)備環(huán)境造成的安全問題
從網(wǎng)絡(luò)環(huán)境來說�,外部環(huán)境對企業(yè)信息安全也構(gòu)成威脅�����,企業(yè)的計算機房的位置不能是隨便設(shè)置的�,需要有一定的安全技術(shù)要求。網(wǎng)絡(luò)的線纜等通信設(shè)施容易被人為破壞����,或者受到自然環(huán)境如地震、雷雨�����、電磁場等環(huán)境的影響發(fā)生破壞�����,并且自然環(huán)境的影響是不可預(yù)測的��,一旦出現(xiàn)問題����,會給企業(yè)的信息造成直接的破壞,影響信息的完整性�。計算機的硬盤、內(nèi)存的運行狀況也應(yīng)該得到管理人員的注意�,計算機設(shè)備的防盜等都是問題,企業(yè)員工在工作過程中往往會拷數(shù)據(jù)回家�����,或者加班后在用U盤等移動設(shè)備把資料拷貝到公司電腦中����,增加了企業(yè)計算機中毒的危險。
2 解決企業(yè)信息安全問題的對策研究
2.1 重視信息安全管理�,加強制度建設(shè)
首先,企業(yè)管理者應(yīng)該認識到企業(yè)信息安全的重要性���,認識到網(wǎng)絡(luò)保護的重要性���,提高信息安全意識,這樣才能加強制度建設(shè)�����,做好信息安全管理與監(jiān)督工作�。計算機房是重要場所���,它的設(shè)置也需要一定的隱蔽性,一般不要設(shè)置在公司一樓�。企業(yè)應(yīng)該建立和完善信息安全管理制度,幫助員工樹立信息安全意識����,明確信息安全保護的對象和目標(biāo),保證各項管理制度的落實執(zhí)行��,制訂明確科學(xué)的操作流程���,規(guī)范員工的日常操作行為����,制訂應(yīng)急預(yù)案和網(wǎng)絡(luò)維護制度�,計算機管理人員應(yīng)該每天對計算機系統(tǒng)進行檢查或者更新,及時發(fā)現(xiàn)網(wǎng)絡(luò)運行中出現(xiàn)的問題�,防止病毒的產(chǎn)生,在發(fā)生問題后把損失降到最低�。
2.2 加強企業(yè)信息安全的網(wǎng)絡(luò)技術(shù)控制
依靠網(wǎng)絡(luò)技術(shù)來保護現(xiàn)代企業(yè)信息安全是十分有效的方式,網(wǎng)絡(luò)技術(shù)手段主要有防火墻�����、信息加密與認證、病毒防控����、數(shù)據(jù)備份等方式����。防火墻是網(wǎng)絡(luò)技術(shù)中保護信息安全最重要的技術(shù)之一,它通過設(shè)置屏障阻止黑客的訪問����,能夠有效防止病毒的侵入,企業(yè)應(yīng)該按照質(zhì)量可靠的防火墻�,并時刻關(guān)注防火墻的問題與升級情況。直接對企業(yè)信息進行加密也是有效的方法之一�����,企業(yè)可以設(shè)置專門的訪問密碼��,僅供本公司員工使用��,或者每個員工都有自己的上網(wǎng)編號��,輸入之后才能訪問公司網(wǎng)絡(luò)����,公司也可以根據(jù)瀏覽記錄查看哪些員工上網(wǎng)����,能夠有效防止企業(yè)人員泄密行為��,對重要文件采取多種加密措施��。企業(yè)應(yīng)該注意對防病毒軟件的更新?lián)Q代����,提高防毒、殺毒的效率��,保證系統(tǒng)的安全�。電腦一旦中毒,一些文件就可能丟失或者被更改�,企業(yè)需要對重要文件進行備份,這樣在發(fā)生中毒之后能夠?qū)p失降到最低���。
2.3 加強法制建設(shè)�����,運用法律武器保護企業(yè)信息安全
現(xiàn)代企業(yè)的信息安全應(yīng)該受到法律的保護���,公司的機密文件關(guān)系到公司的生死存亡��,關(guān)系到社會公平競爭�,關(guān)系到個人隱私�����,應(yīng)該受到法律的保護�。國家應(yīng)該完善企業(yè)信息安全的法律法規(guī)���,為企業(yè)保護自己的權(quán)益提供法律武器���,企業(yè)也應(yīng)該具有法律意識,在公司的信息惡意遭到破壞和侵害時����,不是采用同樣的方法對待競爭企業(yè),而是應(yīng)該拿起法律武器保護自己���,用國家法律來抵制侵犯�,保護自己企業(yè)的信息安全與完整��。
3 結(jié) 語
網(wǎng)絡(luò)的發(fā)展是一把雙刃劍,在給社會進步和發(fā)展帶來巨大益處的同時�����,也帶來了一些負面影響����,企業(yè)應(yīng)該辯證對待網(wǎng)絡(luò)時代的發(fā)展,充分利用網(wǎng)絡(luò)環(huán)境帶來了優(yōu)勢�,通過技術(shù)手段創(chuàng)新、管理加強�、法律法規(guī)的完善等措施來保護企業(yè)信息安全,為企業(yè)的發(fā)展創(chuàng)造安全的環(huán)境����。
主要參考文獻
[1] 薛偉蓮. 保證信息與網(wǎng)絡(luò)安全的網(wǎng)絡(luò)倫理規(guī)范體系的構(gòu)建[J]. 網(wǎng)絡(luò)與信息,2010(11).
[2] 費宏偉. 保證電算化時代會計信息安全的幾點思考[J]. 東西南北·教育觀察���,2010(11).
[3] 張紅���,金永利,邱大成. 網(wǎng)絡(luò)環(huán)境下會計信息安全的技術(shù)控制措施[J]. 中國高新技術(shù)企業(yè)��,2009(10).
第6篇
建立金融信息安防體系刻不容緩
“互聯(lián)網(wǎng)+金融”成為傳統(tǒng)金融行業(yè)轉(zhuǎn)型“觸電”的新模式,新形式下的數(shù)據(jù)安全狀況變得越發(fā)嚴重����,金融行業(yè)已經(jīng)淪為數(shù)據(jù)泄密的重災(zāi)區(qū),再次給人們敲響數(shù)據(jù)安全的警鐘�,其中直接由于純粹是信息安全技術(shù)缺失所導(dǎo)致的風(fēng)險案例不勝枚舉。麥肯錫公司在其的《中國銀行業(yè)創(chuàng)新系列報告》中指出�����,2015年年底����,中國互聯(lián)網(wǎng)金融的市場規(guī)模達到12萬-15萬億元�����,占GDP的近20%��?��;ヂ?lián)網(wǎng)金融用戶人數(shù)已經(jīng)超過5億��,這樣龐大的用戶群和涉及面��,如果信息安全事件愈演愈烈甚至失控�����,將會對國家和社會造成不可估量的損失�,互聯(lián)網(wǎng)金融信息安全已經(jīng)刻不容緩。
目前��,金融企業(yè)內(nèi)部IT系統(tǒng)更為復(fù)雜化���,外包合作使內(nèi)部風(fēng)險管理更加復(fù)雜�����,BYOD(攜帶自己的設(shè)備辦公)使企業(yè)信息資產(chǎn)無處不在�,大數(shù)據(jù)使核心資產(chǎn)淹沒在之中難以識別��,云計算打破了傳統(tǒng)的網(wǎng)絡(luò)邊界防護�����。李晨指出�����,企業(yè)安全威脅也在逐漸升級,正在從以蠕蟲病毒����、拒絕服務(wù)攻擊、溢出類漏洞攻擊����、注入等Web攻擊為主的傳統(tǒng)威脅升級到以0Day攻擊、多態(tài)及變形等逃避技術(shù)�、多階段組合攻擊、有組織的定向攻擊為主要手段的新一代威脅��,企業(yè)安全運維面臨更多的新的挑戰(zhàn)�����。與會專家再次呼吁����,建立金融信息安全防御體系刻不容緩�����。
綠盟科技智慧安全2.0戰(zhàn)略應(yīng)運而生
信息安全行業(yè)專家綠盟科技積極應(yīng)對�����,幫助銀行、保險等各類企業(yè)實現(xiàn)變革��,助力金融智能安全運營防線的構(gòu)建����,綠盟科技智慧安全2.0戰(zhàn)略應(yīng)運而生。
綠盟科技智慧安全2.0戰(zhàn)略是一個企業(yè)整體運營的升級換代過程����,它幫助企業(yè)安全防護真正做到智能、敏捷和可運營����。該方案包含綠盟云、安全態(tài)勢感知解決方案���、云計算安全解決方案以及下一代威脅防御解決方案�����。李晨表示�����,態(tài)勢感知使安全耳聰目明���、軟件定位給安全運維帶來敏捷應(yīng)變����、縱深防御帶來彈性和生存能力����。它緊緊圍繞用戶需求,大力提升線上也就是云中的安全能力���,打通技術(shù)��、產(chǎn)品和服務(wù)��、解決方案����、交付運營等各個環(huán)節(jié)�,構(gòu)建真正的智能安全防御系統(tǒng)�����。
同時,綠盟科技可協(xié)助客戶建立企業(yè)安全應(yīng)急響應(yīng)中心(SRC)��,幫助企業(yè)建立和維護自主可控的自有業(yè)務(wù)漏洞收集平臺���,從而避免漏洞在第三方平臺上暴露�。通過SRC的運維數(shù)據(jù)積累����,企業(yè)建立貼合自有業(yè)務(wù)的漏洞知識庫來提升安全團隊技術(shù)能力,并且通過SRC可與白帽子直接建立長期的信任互贏關(guān)系��,幫助企業(yè)更從容地面對安全威脅��。
數(shù)據(jù)安全歷來是企業(yè)信息安全工作的“最高使命”���。綠盟科技適時推出了數(shù)據(jù)泄露防護系統(tǒng)���,基于數(shù)據(jù)存在的三種形態(tài)(存儲、使用�、傳輸),對數(shù)據(jù)生命周期中的各種泄密途徑進行全方位的監(jiān)查和防護���,保證了敏感數(shù)據(jù)泄露行為事前能被發(fā)現(xiàn)����,事中能被攔截和監(jiān)查,事后能被追溯���。
第7篇
關(guān)鍵詞:中小企業(yè);信息安全;問題;措施
信息安全主要指的是在網(wǎng)絡(luò)中承擔(dān)信息存儲的硬件或者軟件能夠在受到外界認為破壞����、修改的情況下長期穩(wěn)定地運行����,保證整個系統(tǒng)的信息服務(wù)不中斷。在當(dāng)前網(wǎng)絡(luò)高度發(fā)達的今天���,良好穩(wěn)定的信息安全體系是保障我國企業(yè)信息安全的重要保障����,企業(yè)中的信息安全包含了計算機操作系統(tǒng)��、網(wǎng)絡(luò)傳輸協(xié)議�、安全防護等級以及各類認證和簽名等安全保障組件,如下圖所示:
圖1 中小企業(yè)信息安全結(jié)構(gòu)
在整個安全體系中�����,一旦有某一個組件發(fā)生了信息安全問題����,那么整個信息安全系統(tǒng)乃至整個企業(yè)的信息安全都有可能受到安全威脅。
一���、我國中小企業(yè)信息安全存在的問題
1.信息安全風(fēng)險大
當(dāng)前我國的中小企業(yè)普遍已經(jīng)開始認識到信息安全的重要性����,但是在思想上還沒有對企業(yè)的信息安全管理形成足夠重要的認識�����,當(dāng)前我國的多數(shù)中小企業(yè)管理人員在日常的工作中仍然沿襲傳統(tǒng)的管理方式��,并沒有進行變革和創(chuàng)新�����,因此在信息化普遍應(yīng)用的今天��,仍然是一種信息化的表面現(xiàn)象��,在信息安全意識沒有深入根植的今天,多數(shù)的中小企業(yè)信息安全工作只是停留在表面�����。
2.專業(yè)人才缺乏
我國的中小企業(yè)在信息安全方面的人才一般都比較缺乏��,信息安全工作的不重視使得企業(yè)管理人員不愿意花過多的資金在安全保障上���,畢竟安全不能夠直接產(chǎn)生經(jīng)濟效益��,因此在這樣的情況下�,企業(yè)的信息化工作很難得到發(fā)展�,主要體現(xiàn)在沒有專業(yè)化的信息安全保障團隊,即使有了專門的工作人員�,也不能夠在技術(shù)上達到足夠?qū)I(yè)的程度,管理人員和技術(shù)人員互相都不能夠溝通和兼顧���,
3.安全資金不足
在信息安全方面�����,由于我國的中小企業(yè)管理者普遍不夠重視����,因此也就很難投入大量的資金,信息化工作是一項注重系統(tǒng)化的工作���,無論是硬件系統(tǒng)還是軟件系統(tǒng)的建設(shè)維護都需要大量的資金投入����,因此離開了足夠的資金支持信息安全工作也就無法保證��。加上我國中小企業(yè)普遍競爭激烈����,用于安全的資金十分有限����,依靠外部融資的話又沒有足夠的信用進行借貸,加上借貸的風(fēng)險也十分龐大����,大多數(shù)的銀行或金融機構(gòu)都不愿意將資金用在信息安全上。
二����、我國中小企業(yè)信息安全問題的解決對策
1.強化安全風(fēng)險意識
我國的中小企業(yè),首先就需要從思想上認識到安全也是重要工作這樣一種思想�����,只有了解以后才能夠根據(jù)當(dāng)前的問題進行針對性解決。信息安全系統(tǒng)的建設(shè)并不是所有的安全工作都到位���,還需要根據(jù)企業(yè)的實際情況建立合適的安全策略�,并在意識上強化工作人員的安全防范思想����,將安全擺在重要的位置上,也就是說企業(yè)的信息安全工作需要企業(yè)管理人員的大力支持�����,還需要適合企業(yè)自身的安全防范方案�����,只有在管理層思想上和執(zhí)行層的行動上同時做到位����,企業(yè)的整體信息安全工作才能夠真正有效保障企業(yè)的安全。
2.建設(shè)合理安全策略
在安全策略的選擇上�,無論企業(yè)選擇了哪一種方案,企業(yè)的用戶都要了解安全解決方案只能夠是企業(yè)信息安全工作的一部分���,甚至只是基礎(chǔ)性的工作���,企業(yè)不能夠過度依賴安全工具的使用���,而疏于防范人的因素,這是由于當(dāng)前的安全事件統(tǒng)計來看�,我國的中小企業(yè)在信息安全問題上出現(xiàn)最多的就是人為的安全事件,因此企業(yè)的管理者必須要針對內(nèi)部控制建立有效的內(nèi)部安全策略����,保證企業(yè)的每一個員工都能夠準確執(zhí)行自身的工作任務(wù)�。
值得注意的是,近些年來企業(yè)的網(wǎng)絡(luò)信息交流工具越來越多例如Skype�、BT等等,怎樣對這些數(shù)據(jù)傳輸工具進行管理對于信息安全工作來說是十分重要的�����,雖然這些信息安全管理會在一定程度上影響到企業(yè)的網(wǎng)絡(luò)質(zhì)量���,但是這些都是目前中小企業(yè)無法擺脫的應(yīng)用工具��,因此針對這樣的現(xiàn)象我國的中小企業(yè)需要進行細分化的處理方式�,例如讓企業(yè)用戶使用帶有IPS的協(xié)議分析過濾功能的交換機,在一定安全限制的條件下進行網(wǎng)絡(luò)數(shù)據(jù)傳輸應(yīng)用�����。
3.信息安全外包建設(shè)
許多中小企業(yè)在自身信息安全建設(shè)的過程中�����,由于經(jīng)驗不足或者專業(yè)知識的缺乏無法獨立完成建設(shè)����,因此會在建設(shè)過程中帶來大量資金的浪費,還有軟硬件的升級上也需要后期的大量資金投入��,加上建設(shè)工作需要消耗大量的人力資源�����,信息中心的網(wǎng)絡(luò)維護工作和安全管理人員��,這些都是不可避免地投入�����。
三���、總結(jié)
總的來說����,當(dāng)前我國中小企業(yè)的信息安全建設(shè)工作主要集中在自身安全策略以及解決方案上,目前隨著時間的發(fā)展�,中小企業(yè)的信息安全漏洞會越來越多,問題也會越來越加劇��,但是我國的中小企業(yè)已經(jīng)正在開始意識到該問題�����,將越來越多的資金投入在信息安全建設(shè)上�,并通過外包的方式使用性價比較高的解決方案�,只有用專業(yè)的信息安全建設(shè)在自身的管理運營中,中小企業(yè)才能夠真正在市場競爭中處于優(yōu)勢地位��。
參考文獻:
[1]林山.中小企業(yè)信息安全問題及解決方案[D].重慶大學(xué)����,2007.
[2]佚名.中小企業(yè)您的信息安全嗎?[J].網(wǎng)絡(luò)與信息���,2002���,(1).
[3]陳俊豪.淺析中小企業(yè)電子商務(wù)中的信息安全問題[J].中國商貿(mào)����,2010���,(25).
