論文關鍵詞:資訊保安 風險防範
論文摘要:該文對企業資訊保安所面臨的風險進行了深入探討,並提出了對應的解決安全問題的思路和方法。
隨著計算機資訊化建設的飛速發展而資訊系統在企業中所處的地位越來越重要。資訊保安隨著資訊技術的不斷髮展而演變,其重要性日益越來越明顯,資訊保安所包含的內容、範圍也不斷的變化。資訊保安有三個中心目標。保密性:保證非授權操作不能獲取受保護的資訊或計算機資源。完整性:保證非授權操作小能修改資料。有效性:保證非授權操作不能破壞資訊或計算機資源。資訊保安的重點放在了保護資訊,確保資訊在儲存,處理,傳輸過程中及資訊系統不被破壞,確保對合法使用者的服務和限制非授權使用者的服務,以及必要的防禦攻擊的措施。
1、企業資訊保安風險分析
計算機資訊系統在企業的生產、經營管理等方面發揮的作用越來越重要,如果這些資訊系統及網路系統遭到破壞,造成資料損壞,資訊洩漏,不能正常執行等問題,則將對企業的生產管理以及經濟效益等造成不可估量的損失,信啟、技術在提高生產效率和管理水平的同時,也帶來了不同以往的安全風險和問題。
資訊保安風險和資訊化應用情況密切相關,和採用的資訊科技也密切相關,公司資訊系統面臨的主要風險存在於如下幾個方面。
計算機病毒的威脅:在業資訊保安問題中,計算機病毒發生的頻率高,影響的面寬,並且造成的破壞和損失也列在所有安全威脅之首。病毒感染造成網路通訊阻塞,系統資料和檔案系統破壞,系統無法提供服務甚至破壞後無法恢復,特別是系統中多年積累的重要資料的丟失,損失是災難性的。
在目前的區域網建成,廣域網聯通的條件下,計算機病毒的傳播更加迅速,單臺計算機感染病毒,在短時間內可以感染到通過網路聯通的所有的計算機系統。病毒傳播速度,感染和破壞規模與網路尚未聯通之時相比,高出幾個數量級。
網路安全問題:企業網路的聯通為資訊傳遞提供了方便的途徑。業有許多應用系統如:辦公自動化系統,營銷系統,電子商務系統,ERP,CRM,遠端教育培訓系統等,通過廣域網傳遞資料。目前大部分企業都採用光纖的方式連線到網際網路運營商,企業內部職工可以通過網際網路方便地瀏覽網路查閱、獲取資訊,即時聊天、傳送電子郵件等。
如何加強網路的安全防護,保護企業內部網上的資訊系統和資訊資源的安全,保證對資訊網路的合法使用,是目前一個熱門的安全課題,也是當前企業面臨的一個非常突出的安全問題。
資訊傳遞的安全不容忽視:隨著辦公自動化,財務管理系統,各個企業相關業務系統等生產,經營方面的重要系統投入線上執行,越來越多的重要資料和機密資訊都通過企業的內部區域網來傳輸。
網路中傳輸的這些資訊面臨著各種安全風險,例如被非法使用者擷取從而洩露企業機密;被非法篡改,造成資料混亂,資訊錯誤從而造成工作失誤。
使用者身份認證和資訊系統的訪問控制急需加強:企業中的資訊系統一般為特定範圍的使用者使用,資訊系統中包含的資訊和資料,也只對一定範圍的使用者開放,沒有得到授權的使用者不能訪問。為此各個資訊系統中都設計r使用者管理功能,在系統中建立使用者,設定許可權,管理和控制使用者對資訊系統的訪問。這些措施在一定能夠程度上加強系統的安全性。但在實際應用中仍然存在一些問題。
一是部分應用系統的使用者許可權管理功能過於簡單,能靈活實現更細的許可權控制。二是各應用系統沒有一個統一的使用者管理,企業的一個員工要使用到好幾個系統時,在每個應用系統中都要建立使用者賬號,口令和設定許可權,使用者自己都記不住眾多的賬號和口令,使用起來非常不方便,更不用說賬號的有效管理和安全了。
如何為各應用系統提供統一的使用者管理和身份認證服務,是我們開發建設應用系統時必須考慮的一個共性的安全問題。
2、解決資訊保安問題的基本原則
企業要建立完整的'資訊保安防護體系,必須根據企業實際情況,結合資訊系統建設和應用的步伐,統籌規劃,分步實施。
2.1做好安全風險的評估進行安全系統的建設,首先必須全面進行資訊保安風險評估,找出問題,確定需求,制定策略,再來實施,實施完成後還要定期評估和改進。
資訊安全系統建設著重點在安全和穩定,應儘量採用成熟的技術和產品,不能過分求全求新。
培養資訊保安專門人才和加強資訊保安管理工作必須與資訊保安防護系統建設同步進行,才能真正發揮資訊保安防護系統和裝置的作用。
2.2採用資訊保安新技術,建立資訊保安防護體系企業資訊安全面臨的問題很多,我們可以根據安全需求的輕重緩急,解決相關安全問題的資訊保安技術的成熟度綜合考慮,分步實施。技術成熟的,能快速見效的安全系統先實施。
2.3根據資訊保安策略,出臺管理制度,提高安全管理水平資訊保安的管理包括了法律法規的規定,責任的分化,策略的規劃,政策的制訂,流程的製作,操作的審議等等。雖然資訊保安“七分管理,三分技術”的說法不是很精確,但管理的作用可見一斑。
3、解決資訊保安問題的思路和方法
企業的資訊安傘管理要從以下幾個方面人手,相輔相成、互相配合。
3.1從技術手段入手保證網路的安全網路安全指由於網路資訊系統基於網路執行和網路問的互聯互通造成的物理線路和連線的安全、網路系統安全、作業系統安全、應用服務安全、人員管理安全幾個方面。網路由於其本身開放性所帶來的各個方面的安全問題是事實存在的。我們在正視這一事實的基礎上,在承認不可能有絕對安全的網路系統的前提下,努力探討如何加強網路安全防範效能,如何通過安全系列軟體、硬體及相關管理手段提高網路資訊系統的安全效能,降低安全風險,及時準確地掌握網路資訊系統的安全問題及薄弱環節,及早發現安全漏洞、攻擊行為井針對性地做出預防處理。
在攻擊發生過程中,儘早發現,及時阻斷。在攻擊發十後,儘快恢復並找出原因。保證網路安全的技術於段包括:過濾、資訊分析臨控、安全管理、掃描評估、入侵偵測、實時響應、防病毒保護、存取控制等。其措施有:網路互聯級防火牆、網路隔離級防火牆、網路安全漏洞掃描評估系統、作業系統安全漏洞掃描評估系統、資訊流捕獲分析系統、安全實時監控系統、入侵偵洲與實時響應系統、網路病毒防護系統、強力存取控制系統等。資訊保安指資料的保密性、完整性、真實性、可用性、不町否認性及可控性等安全,技術手段包括加密、數字簽名、身份認證、安全協議(set、ss1)及ca機制等。文化安全主要指有害資訊的傳播對我國的政治制度及文化傳統的威脅,主要表現在輿論宣傳方面。主要柯:黃色、反動資訊氾濫,敵對的意識形態資訊湧入,瓦聯網被利用作為串聯工具等。其技術手段包括:資訊過濾、設定閘道器、監測、控管等,同時要強有力的管理措施配合,才可取得良好的效果。
3.2建立、健全企業息安全管理制度任何一個資訊系統的安全,在很大程度上依賴於最初設計時制定的網路資訊系統安全策略及相關管理策略。因為所有安全技術和手段,都圍繞這一策略來選擇和使用,如果在安全管理策略上出了問題,相當於沒有安全系統。同時,從大角度來看,網路資訊系統安全與嚴格、完善的管理是密不可分的。在網路資訊系統安全領域,技術手段和相關安全工具只是輔助手段,離開完善的管理制度與措施,是沒法發揮應有的作用並建設良好的網路資訊保安空間的。
國家在資訊保安方面釋出了一系列的法律法規和技術標準,對資訊網路安全進行了明確的規定,並有專門的部門負責資訊安壘的管理和執法。企業首先必須遵守國家釋出的這些法律法規和技術標準,企業也必須依據這些法律法規,來建立自己的管理標準,技術體系,指導資訊保安工作。學習資訊保安管理國際標準,提升企業資訊保安管理水平國際上的資訊科技發展和應用比我們先進,在資訊保安領域的研究起步比我們更早,取得了很多的成果和經驗,我們可以充分利用國際標準來指導我們的工作,提高水平,少走彎路。
資訊保安是企業資訊化工作中一項重要而且長期的工作,為此必須各單位建立一個資訊保安工作的組織體系和常設機構,明確領導,設立專責人長期負責資訊保安的管理工作和技術工作,長能保證資訊保安工作長期的,有效的開展,才能取得好的成績。
3.3充分利用企業網路條件,提供全面。及時和快捷的資訊保安服務很多企業通過廣域網聯通了系統內的多個二級單位,各單位的區域網全部建成,在這種良好的網路條件下,作為總公司一級的資訊保安技術管理部門應建立計算機網路應急處理的資訊釋出與技術支援平臺,釋出安全公告,安全法規和技術標準,提供資訊保安裝置選型、安全軟體下載,蒐集安全問題,解答使用者疑問,提供線上的資訊保安教育培訓,併為使用者提供一個相互交流經驗的場所。網路方式的資訊服務突破了時間,空間和地域的限制,是資訊保安管理和服務的重要方式。
3.4定期評估,不斷的發展,改進,完善企業的資訊化應用是隨著企業的發展而不斷髮展的,資訊科技更是日新月異的發展的,安全防護軟體系統由於技術複雜,在研製開發過程中不可避免的會出現這樣或者那樣的問題,這勢必決定了安全防護系統和裝置不可能百分百的防禦各種已知的,未知的資訊保安威脅。安全的需求也是逐步變化的,新的安全問題也不斷產生,原來建設的防護系統可能不滿足新形勢下的安全需求,這些都決定了資訊保安是一個動態過程,需要定期對資訊網路安全狀況進行評估,改進安全方案,調整安全策略。
不是所有的資訊保安問題可以一次解決,人們對資訊保安問題的認識是隨著技術和應用的發展而逐步提高的,不可能一次就發現所有的安全問題。資訊保安生產廠家所生產的系統和裝置,也僅僅是滿足某一些方面的安全需求,不是企業有某一方面的資訊保安需求,市場上就有對應的成熟產品,因此不是所有的安全問題都可以找到有效的解決方案。
4、結語
企業資訊保安是一項複雜的系統工程,涉及技術、裝置、管理和制度等多方面的因素,安全解決方案的制定需要從整體上進行把握。資訊保安解決方案是綜合各種計算機網路資訊系統安全技術,將安全作業系統技術、防火牆技術、病毒防護技術、入侵檢測技術、安全掃描技術等綜合起來,形成一套完整的、協調一致的網路安全防護體系。我們必須做到管理和技術並重,安全技術必須結合安全措施,並加強計算機立法和執法的力度,建立備份和恢復機制,制定相應的安全標準。資訊保安是一個伴隨著企業資訊化應用發展而發展的永恆課題。