前言:想要寫出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇企業(yè)信息安全應(yīng)急預(yù)案范文,相信會為您的寫作帶來幫助,發(fā)現(xiàn)更多的寫作思路和靈感。
【 關(guān)鍵詞 】 信息安全架構(gòu);企業(yè)戰(zhàn)略;信息安全服務(wù); 信息安全價值; 一致性;可追溯性
【 文獻標(biāo)識碼 】 A 【 中圖分類號 】 TP393.08
1 引言
信息安全技術(shù)和管理經(jīng)過不斷的發(fā)展和改善,已經(jīng)能夠比較有效地解決一些傳統(tǒng)信息安全問題,如信息安全風(fēng)險管理、訪問控制,脆弱性管理、加密解密和災(zāi)難恢復(fù)等。隨著信息越來越成為組織的核心資產(chǎn),保護信息的安全已不再只是局限于技術(shù)和日常管理層面的討論,信息的安全越來越關(guān)系到組織自身發(fā)展的安全。一次重大的信息泄露事故就能使企業(yè)的市值一落千丈。同時,一套合理的訪問控制解決方案能夠幫助企業(yè)快速推出核心產(chǎn)品(尤其是電子商務(wù))和兼并其他企業(yè)。當(dāng)前信息安全發(fā)展呈現(xiàn)出新的趨勢和要求:(1)信息安全部門逐漸從成本中心轉(zhuǎn)向價值中心,信息安全的各項活動越來越和企業(yè)戰(zhàn)略緊密相連;(2)企業(yè)內(nèi)部其他部門越來越多的要求信息安全部門提供清晰、可測量的服務(wù)來支持業(yè)務(wù)的運行。
企業(yè)的信息安全部門在不斷增強其核心影響力的同時,也承擔(dān)著隨之而來的更多責(zé)任和挑戰(zhàn)。其一是如何將企業(yè)戰(zhàn)略轉(zhuǎn)化為信息安全計劃,將信息安全融入到組織的業(yè)務(wù)流程中,并且保持信息安全控制措施與企業(yè)戰(zhàn)略的一致性和可追溯性;其二是如何使信息安全的價值得到認可并在組織內(nèi)部最大化;其三是如何滿足企業(yè)內(nèi)部各部門有計劃或無計劃的信息安全服務(wù)需求;其四是如何確保以一種系統(tǒng)主動和集中統(tǒng)一的方式來管理業(yè)務(wù)和遵從性需求,并實現(xiàn)清晰的測量和不斷的改進。
當(dāng)前各企業(yè)廣泛采用的標(biāo)準或最佳實踐有幾種:ISO27001:2005,COBIT4.1,NISTSP800或PCIDSSv2.0等。這些標(biāo)準各有優(yōu)點,但也有明顯的缺憾,如表1所示(缺憾部分用X表示)。
設(shè)計本信息安全架構(gòu)旨在解決上述問題并建立一種高效機制達到如下目標(biāo)。
* 將企業(yè)戰(zhàn)略轉(zhuǎn)化為信息安全計劃,確保信息安全的可追溯性、持續(xù)一致性和簡潔性,以降低成本、減少重復(fù)和提高效率。將信息安全融入到組織的業(yè)務(wù)流程中,建立一致性和可追溯性;建立清晰的信息安全架構(gòu)和愿景,以減少重復(fù)和指導(dǎo)信息安全投入和解決方案的實施。
* 基于客戶服務(wù)理念,信息安全服務(wù)價值得到認可,信息安全靠攏業(yè)務(wù)部門,為信息安全管理和業(yè)務(wù)管理建立共同語言。
* 全面管理信息安全,滿足目前絕大多數(shù)法律法規(guī)、標(biāo)準的最佳實際的要求,并具有靈活的可擴展性,當(dāng)新需求出現(xiàn)后能夠?qū)⑵淦交娜谌氲浆F(xiàn)有架構(gòu)中。
* 系統(tǒng)和集中統(tǒng)一的方式,使信息安全管理可預(yù)測和可測量,并不斷的改進。
2 信息安全架構(gòu)設(shè)計
2.1 信息安全架構(gòu)設(shè)計所基于的原則
本信息安全架構(gòu)的設(shè)計遵循四大原則。
1) 業(yè)務(wù)驅(qū)動:所有的信息安全目標(biāo)應(yīng)該從業(yè)務(wù)需求中來,從而保證信息安全管理總是做“正確的事”。
2) 整合、統(tǒng)一的架構(gòu):現(xiàn)在有數(shù)以十計的信息安全相關(guān)的法律法規(guī),標(biāo)準和最佳實踐需要去符合或參考,且其各有不同的要求側(cè)重點和優(yōu)缺點。因此很有必要將所有相關(guān)的信息安全關(guān)注點整合到一個統(tǒng)一的架構(gòu)中,以保證所有要求都被滿足,同時避免不要的重復(fù)。例如,ISO27001關(guān)注全面安全控制和風(fēng)險管理,PCIDSS側(cè)重支付卡環(huán)境中技術(shù)控制和策略管理等。
3) 系統(tǒng)化思維:運用系統(tǒng)化思維可以幫助組織解決復(fù)雜且動態(tài)的問題,適應(yīng)運營中的各種變化,減輕戰(zhàn)略上的不確定性和外部因素的影響。例如,需要整合機構(gòu)、人員、技術(shù)和流程;需要考慮安全、成本和易用性的權(quán)衡;需要靠持續(xù)改進(Plan-Do-Check-Act);需要考慮全面防護和縱深防護。
4) 易用性:信息安全架構(gòu)的最大價值在于被理解和廣泛應(yīng)用于組織的實踐當(dāng)中。因此,信息安全架構(gòu)必須易于理解并且實際可操作性要強,應(yīng)避免太過復(fù)雜和晦澀。
2.2 信息安全架構(gòu)實現(xiàn)
2.2.1 信息安全架構(gòu)-域試圖
基于上面的基本原則,本信息安全架構(gòu)由三個域組成(如圖1所示):治理(Governance)、保障(Assurance)和服務(wù)(Services)。
治理(Governance): 信息安全治理域強調(diào)戰(zhàn)略一致性,風(fēng)險管理,資源管理和有效性測量。治理域又包括三個子域:愿景與戰(zhàn)略、風(fēng)險與遵從性管理和測量。各子域主要功能如下所述。
* 愿景與戰(zhàn)略: 將遵從性要求,信息安全的發(fā)展趨勢,行業(yè)發(fā)展趨勢和業(yè)務(wù)戰(zhàn)略轉(zhuǎn)化為信息安全愿景、戰(zhàn)略和路線圖。
* 風(fēng)險與遵從性管理: 管理信息安全風(fēng)險使信息安全風(fēng)險控制在組織可接受的范圍內(nèi)。
* 測量: 監(jiān)控和測量整體信息安全的有效性并持續(xù)提升信息安全對組織的價值。
保障: 保障域側(cè)重于信息安全的全面與縱深防護措施。保障域包含預(yù)防、監(jiān)測、響應(yīng)和恢復(fù)四個部分。各部分主要功能如下所述。同時保護的對象為不同層面的信息資產(chǎn):數(shù)據(jù)層、應(yīng)用層、IT基礎(chǔ)設(shè)施層和物理層。
* 預(yù)防: 實施信息安全控制措施包括管理措施和技術(shù)措施,防止信息安全威脅損害組織的信息安全控態(tài)。
* 監(jiān)測: 部署信息安全監(jiān)測能力監(jiān)控正在發(fā)生或已經(jīng)發(fā)生的信息安全事態(tài)。
* 響應(yīng):部署信息安全響應(yīng)體系迅速、高效的抑制信息安全事件。
* 恢復(fù): 建立組織的可持續(xù)性能力,但重要信息系統(tǒng)不可用時,可以在計劃的時間內(nèi)恢復(fù)。
服務(wù): 服務(wù)域顯示了面向客戶(內(nèi)部和外部),協(xié)作與知識更新對信息安全實踐非常重要。服務(wù)域包含三個部分:信息安全服務(wù)、知識管理、意識與文化。各部分主要功能如下所述。
* 信息安全服務(wù): 信息安全團隊?wèi)?yīng)對待組織內(nèi)部其他部門和對外部客戶一樣,基于服務(wù)基本協(xié)議,提供高質(zhì)量的信息安全服務(wù)。
* 知識管理: 知識是信息安全實踐和服務(wù)的基石。信息安全知識管理包括獲取、維護和利用知識去獲取最大的信息安全專業(yè)價值。信息安全知識應(yīng)不僅在信息安全團隊內(nèi)部而且在整個組織被共享。
* 意識與文化: 信息安全意識與文化在組織內(nèi)部建立一個整體的信息安全氛圍。一個好的信息安全意識與文化意味著每個人都每個人都了解信息安全,關(guān)心信息安全、在日常工作中關(guān)注信息安全。信息安全意識與文化對提升組織整體信息安全成熟度和降低信息安全風(fēng)險至關(guān)重要。
2.2.2 信息安全架構(gòu)-組件試圖
為支撐信息安全架構(gòu)的三個域,本信息安全架構(gòu)組件融合了不同標(biāo)準和最佳實踐的精華部分,并自成一體,如圖2所示。本架構(gòu)參考的標(biāo)準主要有如下一些:ISO27001:2005、PCIDSSv2.0、COBIT4.1、COBIT5.0、ITILv3 以及NIST SP-800系列等。
3 信息安全架構(gòu)在企業(yè)內(nèi)實際應(yīng)用效果分析
本信息安全架構(gòu)已被推廣和應(yīng)用到各個行業(yè)中,如保險業(yè)、銀行業(yè)、教育和非盈利性機構(gòu)等。本文選取一個保險企業(yè)的案例來說明本信息安全架構(gòu)給企業(yè)帶來的積極變化。
背景:此保險公司有3000名員工,計劃在加拿大多倫多(Toronto)上市,因此需要符合加拿大和行業(yè)的一些法律法規(guī)的要求,如Bill198、PIPEDA、PCIDSS等。同時公司高層決定借鑒信息安全管理的最佳實踐標(biāo)準,如ISO27002、NIST SP800、COBIT、ITIL、 FFIEC和 TOGAF等。因本信息安全架構(gòu)的特點就是融合各法規(guī)、標(biāo)準和最佳實踐的要求,因此不需要做任何大的改動的情況下(降低成本)就能應(yīng)用到此保險公司中。
經(jīng)過9個月的實際運行,公司進行了各項測量指標(biāo)重新評估并與實施本信息安全架構(gòu)前的指標(biāo)進行了對比分析。
3.1 平衡計分卡(Balanced Scorecard)[10]測評分析
平衡計分卡是衡量信息安全對企業(yè)貢獻價值的一種分析工具。平衡計分卡包括四個測量項目:對企業(yè)的貢獻,對愿景的規(guī)劃,內(nèi)部流程的成熟度和面向客戶。該保險公司在實施本信息安全架構(gòu)前后分別進行了兩次測評。測評方法是由公司高級管理人員和各部門經(jīng)理對信息安全部門進行評估,0級表示無成績,5級表示完美,然后取平均值。2011年7月評估結(jié)果顯示“企業(yè)貢獻”為2.2,“愿景規(guī)劃”為2.5,“內(nèi)部流程”為2.8,“面向客戶”為2.1;2012年7月評估結(jié)果顯示“企業(yè)貢獻”為4.1,“愿景規(guī)劃”為3.9,“內(nèi)部流程”為3.8,“面向客戶”為4.1。如圖3所示。測評結(jié)果表明實施本信息安全架構(gòu)后企業(yè)高層及各部門對信息安全給企業(yè)帶來的價值的認可度有較為明顯提升。
3.2 總體信息安全成熟度級別分析
本文采取的信息安全總體成熟度的評價是基于ISO27002的控制域和CMMI[11]的評估級別。0級是最低級,5級是最高級。該保險公司在實施本信息安全架構(gòu)前后分別進行了兩次自評估。2011年10月實施本信息安全架構(gòu)前成熟度水平是介于2.0-3.0之間, 2012年10月實施本信息安全架構(gòu)后成熟度水平是介于3.0-4.5之間,如圖4所示。成熟度級別分析結(jié)果表明實施本信息安全架構(gòu)后整體成熟度有較為明顯提升。
3.3 獨立審核發(fā)現(xiàn)點數(shù)量分析
第三方機構(gòu)獨立審核是從專業(yè)、客觀的角度來衡量整體信息安全控制措施,包括管理、技術(shù)和流程。審核發(fā)現(xiàn)點的數(shù)量越多,表明脆弱點越多,存在的風(fēng)險越大。該保險公司在實施本信息安全架構(gòu)前后分別邀請用一個第三方審核機構(gòu)對其進行了全面審核與評估(依據(jù)上市公司的管控要求)。2011年9月審核結(jié)果顯示有4個高風(fēng)險項,8個中風(fēng)險項和13個第風(fēng)險項;2012年9月審核結(jié)果顯示無高風(fēng)險項,且只有2個中風(fēng)險項和4個第風(fēng)險項。如圖5所示。審核結(jié)果表明實施本信息安全架構(gòu)后整體風(fēng)險水平有較為明顯降低。
3.4 信息安全事件發(fā)生數(shù)量分析
信息安全事件(特別是1級與2級事件)發(fā)生的數(shù)量標(biāo)志著信息安全控制措施的全面性和有效性。信息安全事件數(shù)量越少,表明整體控制措施越有效。該保險公司統(tǒng)計了實施本信息安全架構(gòu)前后發(fā)生的信息安全事件數(shù)量。2011年1月-10月期間有4個一級安全事件(重大),12個二級安全事件(嚴重),25個三級安全事件和40個四級安全事件;2012年1月-10月期間有1個一級安全事件(重大),2個二級安全事件(嚴重),10個三級安全事件和16個四級安全事件。如圖6所示。信息安全事件數(shù)量分析結(jié)果表明實施本信息安全架構(gòu)后安全控制措施的全面性和有效性有較為明顯增強。
3.5 魚叉式網(wǎng)絡(luò)釣魚模擬攻擊測試結(jié)果分析
模擬釣魚攻擊測試是對企業(yè)員工整體信息安全意識水平一種比較客觀的考核方式。收到攻擊(點擊鏈接)的人數(shù)越少,表明整體信息安全水平越高。該保險公司采用ThreatSim的模擬攻擊測試平臺,在實施本信息安全架構(gòu)前后分別選取了5個分支機構(gòu)(共200人)進行了模擬攻擊測試。測試的主要方法是注冊一個與該保險公司類似的網(wǎng)絡(luò)域名,然后偽造一份看似從信息安全管理員發(fā)出的E-mail,此E-mail的大致內(nèi)容是說該保險公司于近期對相關(guān)系統(tǒng)進行了升級,將會影響到原有的帳戶和密碼,要求終端用戶盡快修改密碼。此E-mail包含一個鏈接到修改密碼的偽網(wǎng)頁。
2011年5月測試結(jié)果顯示有47%的員工點擊了有害鏈接,點擊有害鏈接的員工中有18%的人輸入了密碼,點擊有害鏈接的員工中有68%的人完成了在線培訓(xùn)內(nèi)容;2012年5月測試結(jié)果顯示有14%的員工點擊了有害鏈接,點擊有害鏈接的員工中有3%的人輸入了密碼,點擊有害鏈接的員工中有98%的人完成了在線培訓(xùn)內(nèi)容。如圖7所示。模擬攻擊測試分析結(jié)果表明實施本信息安全架構(gòu)后該保險公司員工整體信息安全意識水平有較為明顯進步。
3.6 信息安全服務(wù)客戶滿意度調(diào)查結(jié)果分析
客戶滿意度調(diào)查是從被服務(wù)客戶的角度來衡量信息安全團隊的服務(wù)能力,以及給公司帶來的實際價值。滿意度百分比值越高,表明信息安全團隊的能力和服務(wù)價值越被認可。該保險公司在實施本信息安全架構(gòu)前后分別對精算部、個人保險部、商業(yè)保險部、索償部、渠道與銷售部做了信息安全服務(wù)滿意度調(diào)查。
2011年8月調(diào)查結(jié)果顯示對服務(wù)專業(yè)質(zhì)量的滿意度為72%,對服務(wù)請求響應(yīng)速度的滿意度為46%,對服務(wù)態(tài)度的滿意度為67%,整體滿意度為60%;2012年8月調(diào)查結(jié)果顯示對服務(wù)專業(yè)質(zhì)量的滿意度為95%,對服務(wù)請求響應(yīng)速度的滿意度為85%,對服務(wù)態(tài)度的滿意度為92%,整體滿意度為88%;如圖7所示??蛻魸M意度分析結(jié)果表明實施本信息安全架構(gòu)后企業(yè)各部門對信息安全服務(wù)價值的認可度有較為明顯提升。
4 結(jié)束語
現(xiàn)階段信息安全管理著重在信息安全的風(fēng)險控制,隨著信息安全管理角色的轉(zhuǎn)變,信息安全需要跟多的與組織戰(zhàn)略結(jié)合,為組織創(chuàng)造更多的價值,并通過提供信息安全服務(wù)使組織內(nèi)部各部門享受到信息安全給組織帶來的價值并認可這些價值。當(dāng)前被廣泛采用的一些標(biāo)準和最佳實踐有其優(yōu)點,但同時無法滿足一些新的挑戰(zhàn)。目前缺乏一種高效可執(zhí)行的信息安全架構(gòu)來將企業(yè)戰(zhàn)略轉(zhuǎn)化為信息安全計劃、基于客戶服務(wù)理念使信息安全服務(wù)價值最大化以及全面系統(tǒng)化管理信息安全。本文針對上述問題提出的一種面向企業(yè)戰(zhàn)略和服務(wù)的信息安全架構(gòu)。通過將本信息安全架構(gòu)應(yīng)用到實際的企業(yè)中,驗證了本信息安全架構(gòu)能夠為企業(yè)提供更多的價值、增強客戶滿意度、提升整體安全成熟度和員工信息安全意識水平。
參考文獻
[1] International Organization for Standardization, International Electrotechnical Commission. ISO/IEC 27001:2005 Information Technology - Security Techniques - Information Security Management Systems - Requirements. Switzerland: ISO copyright office, 2005.
[2] IT Governance Institute. Control Objectives for Information and related Technology 4.1,USA: IT Governance Institute, 2007.
[3] National Institute of Standards and Technology, U.S. Department of Commerce. NIST Special Publication 800 series.
[4] PCI Security Standards Council LLC. PCI DSS Requirements and Security Assessment Procedures, Version 2.0. 2010.
[5] National Security Agency Information Assurance.
[6] Solutions Technical Directors. Information Assurance Technical Framework (IATF) version3.0. 2010.
[7] IT Governance Institute. Control Objectives for Information and related Technology 5.0,USA: IT Governance Institute, 2012.
[8] Sharon Taylor, Majid Iqbal, Michael Nieves, 等. Information Technology Infrastructure Library , England: Office of Government Commerce, ITIL Press Office, 2007.
[9] Federal Financial Institutions Examination Council. IT Examination Handbook, information security Booklet. USA: FFIEC, 2006
[10] The Open Group's Architecture Forum. The Open Group Architecture Framework version 9.1, 2012.
[11] Howard Rohm. Using the Balanced Scorecard to Align Your Organization. Balanced Scorecard Institute, a Strategy Management Group company, 2008.
[12] Software Engineering Institute, Carnegie Mellon University. Capability Maturity Model Integration (CMMI) Version 1.3. USA: Carnegie Mellon University, 2010.
[13] STRATUM SECURITY. Proactive Phishing Defense. 2012.
作者簡介:
一、加強企業(yè)信息網(wǎng)絡(luò)安全優(yōu)化的重要性
1.1提升現(xiàn)代企業(yè)的管理質(zhì)量
在現(xiàn)代企業(yè)的發(fā)展過程中,信息安全具有不可或缺的重要作用。因此,加強現(xiàn)代企業(yè)信息網(wǎng)絡(luò)安全優(yōu)化管理,可保障企業(yè)信息的安全性和真實性,同時也可保障現(xiàn)代企業(yè)信息系統(tǒng)的可用性和機密性。企業(yè)信息網(wǎng)絡(luò)的安全性得以保障,可為信息系統(tǒng)工作質(zhì)量提供重要的參考數(shù)據(jù)。此外,信息網(wǎng)絡(luò)管理人員要對信息網(wǎng)絡(luò)優(yōu)化和管理中體現(xiàn)出的實際問題進行總結(jié),并針對信息系統(tǒng)管理中反饋出的實際問題,在企業(yè)內(nèi)部制定針對性的應(yīng)對方案和措施。最終,接提升現(xiàn)代企業(yè)的管理質(zhì)量,提升整體管理水平。
1.2為現(xiàn)代企業(yè)獲得更大的經(jīng)濟利益
任何一個企業(yè)發(fā)展的最終目的均為獲得經(jīng)濟利益,利潤是企業(yè)發(fā)展的主要動力。作為現(xiàn)代企業(yè)而言,保障企業(yè)的信息安全,并保障信息系統(tǒng)的正常運行,方可在有效安全技術(shù)的支持,為企業(yè)后期發(fā)展創(chuàng)造更大的利潤空間。通過對企業(yè)近年來的發(fā)展情況進行分析和總結(jié),利用數(shù)據(jù)和統(tǒng)計分析的方法,為企業(yè)的發(fā)展制定全面的發(fā)展方案[1]。同時,在進行數(shù)據(jù)分析和總結(jié)的過程中,可及時發(fā)現(xiàn)企業(yè)發(fā)展中存在的問題,并針對具體存在的問題,提出針對性的解決對策,保障現(xiàn)代企業(yè)獲得更大的經(jīng)濟利益,獲得更大的利潤空間。
二、現(xiàn)代企業(yè)信息網(wǎng)絡(luò)中存在的安全問題
2.1企業(yè)信息網(wǎng)絡(luò)安全管理制度不健全
縱觀目前我國現(xiàn)代企業(yè)的信息網(wǎng)絡(luò)安全管理現(xiàn)狀,仍存在較多的安全問題,其中,最為顯著的安全問題就是企業(yè)內(nèi)部尚未建立健全的網(wǎng)絡(luò)安全管理制度。管理制度的不健全勢必造成企業(yè)信息網(wǎng)絡(luò)安全出現(xiàn)問題,例如,企業(yè)的網(wǎng)絡(luò)管理工作中頻繁出現(xiàn)違規(guī)操作的現(xiàn)象,造成信息網(wǎng)絡(luò)的正常運行受到影響。
2.2企業(yè)信息網(wǎng)絡(luò)安全管理人員的綜合素質(zhì)相對較低
從現(xiàn)代企業(yè)的網(wǎng)絡(luò)安全人員配置上看,大部分現(xiàn)代企業(yè)在發(fā)展過程中仍存在技術(shù)人員缺乏的現(xiàn)象。企業(yè)在缺乏專業(yè)的技術(shù)人員和管理人員,導(dǎo)致企業(yè)在發(fā)展的過程中難以及時發(fā)現(xiàn)信息網(wǎng)絡(luò)中存在的問題和漏洞。在網(wǎng)絡(luò)信息技術(shù)不斷發(fā)展的當(dāng)今社會,企業(yè)信息網(wǎng)絡(luò)安全面臨著新的發(fā)展機遇[2]。當(dāng)一些先進的技術(shù)、管理方式和操作方式引入到企業(yè)中,而企業(yè)內(nèi)缺乏相關(guān)的專業(yè)人才,將造成企業(yè)信息系統(tǒng)的安全性和操作規(guī)范化受到影響。因此,現(xiàn)代企業(yè)的發(fā)展過程中,需要解決信息網(wǎng)絡(luò)安全管理人員專業(yè)技能差、綜合素質(zhì)相對較低的問題,保障網(wǎng)絡(luò)管理人員可及時解決信息系統(tǒng)在安全維護方面的問題,方可促進現(xiàn)代企業(yè)的全面發(fā)展。但就目前我國大部分企業(yè)的信息網(wǎng)絡(luò)安全管理人員配置情況上看,解決此問題仍需要經(jīng)歷較長的一段時間,也需要企業(yè)付出更多的精力和財力。
2.3尚未制定完善的網(wǎng)絡(luò)安全事故應(yīng)急處理預(yù)案
在現(xiàn)代企業(yè)的發(fā)展過程中,加強對企業(yè)信息和信息系統(tǒng)安全運行的管理至關(guān)重要。企業(yè)出現(xiàn)網(wǎng)絡(luò)信息安全是不可避免的,但企業(yè)可通過分析總結(jié)出現(xiàn)信息網(wǎng)絡(luò)安全問題的原因,制定針對性的解決對策,預(yù)防信息網(wǎng)絡(luò)安全事故的發(fā)生。但縱觀現(xiàn)階段我國大多數(shù)企業(yè)的發(fā)展現(xiàn)狀,大多數(shù)企業(yè)僅僅意識到了加強網(wǎng)絡(luò)信息安全管理的重要性,但并未在實際行動上體現(xiàn)出來。通過對現(xiàn)代企業(yè)的調(diào)查,發(fā)現(xiàn)大部分企業(yè)尚未制定完善的網(wǎng)絡(luò)安全事故應(yīng)急處理預(yù)案,當(dāng)信息網(wǎng)絡(luò)安全事故發(fā)生后,企業(yè)在面對安全問題上顯得手足失措,難以有效應(yīng)對。而這樣的問題,對于信息網(wǎng)絡(luò)的安全維護和安全管理而言,將造成較大的負面影響,不利于現(xiàn)代企業(yè)的長足發(fā)展。
三、實現(xiàn)現(xiàn)代企業(yè)信息網(wǎng)絡(luò)安全優(yōu)化的策略
3.1加強現(xiàn)代企業(yè)信息網(wǎng)絡(luò)系統(tǒng)的規(guī)范化管理
在現(xiàn)代企業(yè)信息網(wǎng)絡(luò)安全管理中,要實現(xiàn)企業(yè)信息網(wǎng)絡(luò)的規(guī)范化和系統(tǒng)化,首先需要在企業(yè)內(nèi)部制定嚴格的責(zé)任管理制度,加強安全管理。在網(wǎng)絡(luò)管理中,通過建構(gòu)多層防御和等級保護體系,加強對信息網(wǎng)絡(luò)安全的控制和規(guī)范化管理。與此同時,企業(yè)要在現(xiàn)代化的發(fā)展過程中,要保障自身信息網(wǎng)絡(luò)系統(tǒng)的安全性,要加強對網(wǎng)絡(luò)性能的檢測力度,并將外網(wǎng)和內(nèi)網(wǎng)進行有效隔離[3],為信息網(wǎng)絡(luò)系統(tǒng)提供安全管理,并在企業(yè)的各部門實現(xiàn)信息系統(tǒng)安全管理。
3.2提升現(xiàn)代企業(yè)信息網(wǎng)絡(luò)管理人員的綜合素質(zhì)
在現(xiàn)代企業(yè)的發(fā)展過程中,信息網(wǎng)絡(luò)安全優(yōu)化和管理是一項相對較為復(fù)雜且系統(tǒng)的工作。因此,在信息網(wǎng)絡(luò)安全優(yōu)化中,網(wǎng)絡(luò)管理人員的專業(yè)能力和綜合素質(zhì)對安全優(yōu)化管理的工作質(zhì)量均可產(chǎn)生決定性作用。這則要求企業(yè)要對信息網(wǎng)絡(luò)管理人員進行定期培訓(xùn),通過在企業(yè)內(nèi)部開展培訓(xùn)項目可使管理人員的管理能力提升,同時也可培養(yǎng)網(wǎng)絡(luò)安全管理人員嚴謹?shù)墓ぷ鲬B(tài)度,讓其意識到信息網(wǎng)絡(luò)安全優(yōu)化工作的重要性和必要性。與此同時,現(xiàn)代企業(yè)還可組織相關(guān)技術(shù)人員和專家,對企業(yè)信息網(wǎng)絡(luò)安全優(yōu)化的相關(guān)措施進行專題分析。通過系列的專題分析,可了解企業(yè)信息網(wǎng)絡(luò)運行的實際情況,從而激發(fā)現(xiàn)代企業(yè)網(wǎng)絡(luò)管理人員的工作熱情和工作積極性。最終,可提升網(wǎng)絡(luò)管理人員的綜合能力,提升現(xiàn)代企業(yè)信息網(wǎng)絡(luò)安全管理質(zhì)量,提升整體管理水平。
3.3制定企業(yè)信息網(wǎng)絡(luò)安全事故的應(yīng)急方案
現(xiàn)代企業(yè)在發(fā)展的過程中,難免會遇到各種各樣的信息網(wǎng)絡(luò)安全問題。鑒于此種情況,不僅要提升網(wǎng)絡(luò)管理人員的綜合素質(zhì),加強對信息網(wǎng)絡(luò)的規(guī)范化管理。還需要針對企業(yè)自身的信息網(wǎng)絡(luò)安全管理現(xiàn)狀,制定完善的現(xiàn)代企業(yè)信息網(wǎng)絡(luò)安全事故應(yīng)急預(yù)案。在制定應(yīng)急預(yù)案的過程中,企業(yè)要將目標(biāo)性、針對性、合理性以及全面化、規(guī)范化等特征融入其中。同時,在信息網(wǎng)絡(luò)的運行過程中,要針對具體的運行情況,適當(dāng)增加安全事故模擬演習(xí)和模擬訓(xùn)練等,提升信息網(wǎng)絡(luò)管理人員的警惕性,保持認真的工作態(tài)度。只有在日常工作中,加強管理和訓(xùn)練,方可在事故發(fā)生時從容應(yīng)對,最大限度降低信息網(wǎng)絡(luò)安全事故對現(xiàn)代企業(yè)信息安全和自身發(fā)展造成的負面影響。
(一)技術(shù)手段實現(xiàn)
即利用一系列較為先進的管理硬件和軟件,提升信息安全防護水平目前一般電力企業(yè)采用的技術(shù)手段有:
1)防病毒技術(shù)。信息管理人員通過在防病毒服務(wù)器安裝殺毒軟件服務(wù)器端程序,在用戶終端安裝客戶端殺毒軟件,實現(xiàn)以防病毒服務(wù)器為核心,對客戶端殺毒軟件的統(tǒng)一管理,部署安全策略等。實現(xiàn)病毒庫的定時更新和定時對全網(wǎng)內(nèi)計算機設(shè)備進行掃描和查殺,達到全系統(tǒng)、全網(wǎng)絡(luò)防毒的目的。
2)防火墻技術(shù)。防火墻是企業(yè)局域網(wǎng)到外網(wǎng)互聯(lián)的唯一出口,通過網(wǎng)絡(luò)防火墻,可以全面監(jiān)視外網(wǎng)對內(nèi)部網(wǎng)絡(luò)的訪問活動,并進行詳細的記錄,確保內(nèi)網(wǎng)核心數(shù)據(jù)的安全性。通過對訪問策略控制,關(guān)閉與工作無關(guān)的端口,拒絕一切未經(jīng)許可的服務(wù)。所有的訪問都將通過防火墻進行,不允許任何繞過防火墻的連接。
3)入侵檢測技術(shù)。入侵檢測是防火墻的合理補充,幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊,擴展了系統(tǒng)管理員的安全管理能力(包括安全審計、監(jiān)視、進攻識別和響應(yīng)),提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它從計算機網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點收集信息,并分析這些信息,看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認為是防火墻之后的第二道安全閘門,在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進行監(jiān)測,從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護。
4)桌面管理系統(tǒng)。桌面管理系統(tǒng)方便信息安全管理員管理企業(yè)內(nèi)部計算機的信息安全軟件。利用桌面管理系統(tǒng),可以收集計算機臺賬信息與IP占用情況、分發(fā)漏洞補丁、實現(xiàn)對移動存儲管理,自動阻斷非法外聯(lián)、對弱口令賬戶進行掃描、對客戶端進行控制,強制性阻斷其聯(lián)網(wǎng)功能或進行遠程維護等功能。
5)虛擬局域網(wǎng)(VLAN)技術(shù)?;贏TM和以太網(wǎng)交換技術(shù)發(fā)展起來的VLAN技術(shù),把傳統(tǒng)的基于廣播的局域網(wǎng)技術(shù)發(fā)展為面向連接的技術(shù),從而賦予了網(wǎng)管系統(tǒng)限制虛擬網(wǎng)外的網(wǎng)絡(luò)節(jié)點與網(wǎng)內(nèi)的通信,防止了基于網(wǎng)絡(luò)的監(jiān)聽入侵。
(二)管理手段實現(xiàn)
做好網(wǎng)絡(luò)信息安全工作,除了采用上述的技術(shù)手段外,還必須建立安全管理機制。良好的管理有助于增強網(wǎng)絡(luò)信息的安全性,只有切實提高網(wǎng)絡(luò)意識,建立完善的管理制度,才能保證網(wǎng)絡(luò)信息的整體安全性。
1)通過全員培訓(xùn),提升員工信息安全水平。信息管理人員除了要制止員工的不安全操作,也應(yīng)該告知員工要如何做。讓員工明白使用弱口令、不安全賬戶、隨意共享等對企業(yè)信息安全的危害,教育員工正確使用終端設(shè)備、重要備份數(shù)據(jù)、利用壓縮軟件加密等操作,從源頭入手,堵塞信息安全漏洞。
2)通過應(yīng)急演練,提升面對信息安全事故的反應(yīng)能力。突發(fā)事件應(yīng)急演練是為了提高應(yīng)對突發(fā)事件的綜合水平和應(yīng)急處置能力,以防范信息系統(tǒng)風(fēng)險為目的,建立統(tǒng)一指揮、協(xié)調(diào)有序的應(yīng)急管理機制和相關(guān)協(xié)調(diào)機制,以落實和完善應(yīng)急預(yù)案為基礎(chǔ),全面加強信息系統(tǒng)應(yīng)急管理工作,并制定有效的問責(zé)制度。堅持以預(yù)防為主,建立和完善信息系統(tǒng)突發(fā)事件風(fēng)險防范體系,對可能導(dǎo)致突發(fā)事件的風(fēng)險進行有效地識別、分析和控制,減少重大突發(fā)事件發(fā)生的可能性,加強應(yīng)急處置隊伍建設(shè),提供充分的資源保障,確保突發(fā)事件發(fā)生時反應(yīng)快速、報告及時、措施得力操作準確,降低事件可能造成的損失。
3)通過管理制度,提升信息安全管理水平。信息安全需要制度化、規(guī)范化。把信息安全管理真正納入公司安全生產(chǎn)管理體系,并能夠得到有效運作,就必須使這項工作制度化、規(guī)范化。要制定出相應(yīng)的管理制度。如建立用戶權(quán)限管理制度、口令保密制度、網(wǎng)絡(luò)與信息安全管理制度、上網(wǎng)行為規(guī)范制度等一系列的安全管理制度和規(guī)定,并強化考核力度,確保嚴格執(zhí)行。
[關(guān)鍵詞] 網(wǎng)絡(luò)環(huán)境; 現(xiàn)代企業(yè); 信息安全; 問題; 對策
[中圖分類號] F208 [文獻標(biāo)識碼] A [文章編號] 1673 - 0194(2013)04- 0084- 02
現(xiàn)代企業(yè)的信息安全是指在管理上和技術(shù)上對數(shù)據(jù)處理系統(tǒng)進行安全的保護,使計算機的軟件、硬件、保密數(shù)據(jù)等不會遭到破壞、更改、泄露。通過對企業(yè)信息安全的管理,能夠保護企業(yè)信息的機密性和完整性,保護企業(yè)的生產(chǎn)運營安全,是企業(yè)發(fā)展的必不可少的環(huán)節(jié)。
1 網(wǎng)絡(luò)環(huán)境下現(xiàn)代企業(yè)信息安全存在的問題
1.1 人為因素造成的安全問題
現(xiàn)代企業(yè)之間的競爭十分激烈,企業(yè)管理者把精神都集中在企業(yè)的生產(chǎn)和經(jīng)營上,對計算機的管理不夠重視,加上網(wǎng)絡(luò)屬于新生事物的一種,人們會利用網(wǎng)絡(luò)進行娛樂活動,卻忽視了網(wǎng)絡(luò)的安全性,缺乏網(wǎng)絡(luò)安全意識,企業(yè)員工在工作時間利用網(wǎng)絡(luò)進行娛樂活動的行為十分普遍,由于自身的安全意識匱乏,不但浪費了企業(yè)的網(wǎng)絡(luò)資源,也加大了病毒侵害的可能性,威脅了企業(yè)的信息安全。企業(yè)信息安全的管理需要管理部門重視起來,現(xiàn)實中,企業(yè)對信息安全的管理投入很少,安全防范做得不好,管理者對信息安全管理的認識不足,下面的員工安全意識也淡薄,規(guī)章制度不完善,信息安全管理無據(jù)可依,管理者也沒有對信息安全進行有效的監(jiān)督,沒有在第一時間發(fā)現(xiàn)網(wǎng)絡(luò)存在的問題,甚至在網(wǎng)絡(luò)不能正常運行了才去解決問題,給公司發(fā)展帶來不利影響。
1.2 網(wǎng)絡(luò)技術(shù)自身存在的安全問題
隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,各種軟件也不斷更新?lián)Q代,現(xiàn)在Windows 7正在大規(guī)模地進軍國內(nèi)市場,微軟不斷推出新的產(chǎn)品,各種操作系統(tǒng)的漏洞也一直存在,為病毒的滋生提供了機會,很多網(wǎng)絡(luò)軟件存在后門,這些后門原本是編程人員為了軟件的擴展和維護設(shè)置的,如果被不法分子發(fā)現(xiàn),對公司的信息安全有很大的威脅。計算機犯罪中最典型的就是黑客的攻擊,黑客攻擊也分為主動攻擊和被動攻擊兩種,主動攻擊直接為企業(yè)的信息完整性、機密性造成破壞,被動攻擊雖然能夠保證公司電腦的正常運行,但企業(yè)的重要信息可能會被截獲、竊取,都嚴重影響了企業(yè)信息安全。
1.3 設(shè)備環(huán)境造成的安全問題
從網(wǎng)絡(luò)環(huán)境來說,外部環(huán)境對企業(yè)信息安全也構(gòu)成威脅,企業(yè)的計算機房的位置不能是隨便設(shè)置的,需要有一定的安全技術(shù)要求。網(wǎng)絡(luò)的線纜等通信設(shè)施容易被人為破壞,或者受到自然環(huán)境如地震、雷雨、電磁場等環(huán)境的影響發(fā)生破壞,并且自然環(huán)境的影響是不可預(yù)測的,一旦出現(xiàn)問題,會給企業(yè)的信息造成直接的破壞,影響信息的完整性。計算機的硬盤、內(nèi)存的運行狀況也應(yīng)該得到管理人員的注意,計算機設(shè)備的防盜等都是問題,企業(yè)員工在工作過程中往往會拷數(shù)據(jù)回家,或者加班后在用U盤等移動設(shè)備把資料拷貝到公司電腦中,增加了企業(yè)計算機中毒的危險。
2 解決企業(yè)信息安全問題的對策研究
2.1 重視信息安全管理,加強制度建設(shè)
首先,企業(yè)管理者應(yīng)該認識到企業(yè)信息安全的重要性,認識到網(wǎng)絡(luò)保護的重要性,提高信息安全意識,這樣才能加強制度建設(shè),做好信息安全管理與監(jiān)督工作。計算機房是重要場所,它的設(shè)置也需要一定的隱蔽性,一般不要設(shè)置在公司一樓。企業(yè)應(yīng)該建立和完善信息安全管理制度,幫助員工樹立信息安全意識,明確信息安全保護的對象和目標(biāo),保證各項管理制度的落實執(zhí)行,制訂明確科學(xué)的操作流程,規(guī)范員工的日常操作行為,制訂應(yīng)急預(yù)案和網(wǎng)絡(luò)維護制度,計算機管理人員應(yīng)該每天對計算機系統(tǒng)進行檢查或者更新,及時發(fā)現(xiàn)網(wǎng)絡(luò)運行中出現(xiàn)的問題,防止病毒的產(chǎn)生,在發(fā)生問題后把損失降到最低。
2.2 加強企業(yè)信息安全的網(wǎng)絡(luò)技術(shù)控制
依靠網(wǎng)絡(luò)技術(shù)來保護現(xiàn)代企業(yè)信息安全是十分有效的方式,網(wǎng)絡(luò)技術(shù)手段主要有防火墻、信息加密與認證、病毒防控、數(shù)據(jù)備份等方式。防火墻是網(wǎng)絡(luò)技術(shù)中保護信息安全最重要的技術(shù)之一,它通過設(shè)置屏障阻止黑客的訪問,能夠有效防止病毒的侵入,企業(yè)應(yīng)該按照質(zhì)量可靠的防火墻,并時刻關(guān)注防火墻的問題與升級情況。直接對企業(yè)信息進行加密也是有效的方法之一,企業(yè)可以設(shè)置專門的訪問密碼,僅供本公司員工使用,或者每個員工都有自己的上網(wǎng)編號,輸入之后才能訪問公司網(wǎng)絡(luò),公司也可以根據(jù)瀏覽記錄查看哪些員工上網(wǎng),能夠有效防止企業(yè)人員泄密行為,對重要文件采取多種加密措施。企業(yè)應(yīng)該注意對防病毒軟件的更新?lián)Q代,提高防毒、殺毒的效率,保證系統(tǒng)的安全。電腦一旦中毒,一些文件就可能丟失或者被更改,企業(yè)需要對重要文件進行備份,這樣在發(fā)生中毒之后能夠?qū)p失降到最低。
2.3 加強法制建設(shè),運用法律武器保護企業(yè)信息安全
現(xiàn)代企業(yè)的信息安全應(yīng)該受到法律的保護,公司的機密文件關(guān)系到公司的生死存亡,關(guān)系到社會公平競爭,關(guān)系到個人隱私,應(yīng)該受到法律的保護。國家應(yīng)該完善企業(yè)信息安全的法律法規(guī),為企業(yè)保護自己的權(quán)益提供法律武器,企業(yè)也應(yīng)該具有法律意識,在公司的信息惡意遭到破壞和侵害時,不是采用同樣的方法對待競爭企業(yè),而是應(yīng)該拿起法律武器保護自己,用國家法律來抵制侵犯,保護自己企業(yè)的信息安全與完整。
3 結(jié) 語
網(wǎng)絡(luò)的發(fā)展是一把雙刃劍,在給社會進步和發(fā)展帶來巨大益處的同時,也帶來了一些負面影響,企業(yè)應(yīng)該辯證對待網(wǎng)絡(luò)時代的發(fā)展,充分利用網(wǎng)絡(luò)環(huán)境帶來了優(yōu)勢,通過技術(shù)手段創(chuàng)新、管理加強、法律法規(guī)的完善等措施來保護企業(yè)信息安全,為企業(yè)的發(fā)展創(chuàng)造安全的環(huán)境。
主要參考文獻
[1] 薛偉蓮. 保證信息與網(wǎng)絡(luò)安全的網(wǎng)絡(luò)倫理規(guī)范體系的構(gòu)建[J]. 網(wǎng)絡(luò)與信息,2010(11).
[2] 費宏偉. 保證電算化時代會計信息安全的幾點思考[J]. 東西南北·教育觀察,2010(11).
[3] 張紅,金永利,邱大成. 網(wǎng)絡(luò)環(huán)境下會計信息安全的技術(shù)控制措施[J]. 中國高新技術(shù)企業(yè),2009(10).
關(guān)鍵詞:供電企業(yè);網(wǎng)絡(luò)信息;安全管理
作者簡介:趙孔燕(1980-),女,山東淄博人,山東惠民供電公司調(diào)度所,工程師;索玉海(1961-),男,山東惠民人,山東惠民供電公司調(diào)度所主任,工程師。(山東惠民251700)
中圖分類號:F270.7 文獻標(biāo)識碼:A 文章編號:1007-0079(2012)12-0138-02
隨著電力系統(tǒng)信息化的全面推進,信息化已經(jīng)成長為增強供電企業(yè)核心競爭力的重要驅(qū)動力。目前,“SG186”信息化工程不斷完善,國家電網(wǎng)資源計劃系統(tǒng)(ERP)上線運行,相繼接入企業(yè)信息網(wǎng)絡(luò)平臺的應(yīng)用系統(tǒng)越來越多,各應(yīng)用系統(tǒng)間的數(shù)據(jù)交換日益頻繁。因此確保供電企業(yè)內(nèi)部網(wǎng)絡(luò)信息系統(tǒng)的安全穩(wěn)定運行,適應(yīng)當(dāng)前建設(shè)智能電網(wǎng)和“三集五大”體系建設(shè)新的工作要求,成為擺在我們面前的一個艱巨任務(wù)。為此,從九方面著手,來保障網(wǎng)絡(luò)信息系統(tǒng)的安全運行。
一、完善機制,落實責(zé)任
企業(yè)的健康發(fā)展離不開嚴格的企業(yè)制度和明確的責(zé)任分工,信息安全保障工作的開展也不例外。為提高網(wǎng)絡(luò)信息系統(tǒng)整體安全防護能力,強化公司內(nèi)部信息安全,山東惠民供電公司成立了信息安全組織機構(gòu),組織機構(gòu)分為領(lǐng)導(dǎo)小組和工作小組,其中領(lǐng)導(dǎo)小組的主要職責(zé)是:全面負責(zé)公司信息安全管理工作,領(lǐng)導(dǎo)實施各項信息安全各種規(guī)章制度,指導(dǎo)公司各種信息安全工作的開展,確保本單位不發(fā)生重大信息泄露事故。工作小組的主要職責(zé)是:負責(zé)信息安全基礎(chǔ)防護知識的宣貫、普及工作;負責(zé)做好公司信息安全防護體系建設(shè)準備及實施工作,落實信息安全“八不準”和“五禁止”,確保不發(fā)生任何信息安全事件;負責(zé)公司信息安全技術(shù)監(jiān)控及運行、維護和管理工作,堅決貫徹執(zhí)行各項信息安全規(guī)章制度和領(lǐng)導(dǎo)小組的各項指令。
二、統(tǒng)一部署、雙網(wǎng)雙機
按照國家電網(wǎng)公司要求和山東電力集團公司及市公司統(tǒng)一部署安排,公司實行信息外網(wǎng)統(tǒng)一出口,實現(xiàn)了集團公司層面的統(tǒng)一。信息內(nèi)外網(wǎng)實現(xiàn)物理分開,雙網(wǎng)雙機,網(wǎng)絡(luò)專用。嚴禁辦公終端計算機私自使用撥號、移動無線連接等任何方式接入因特網(wǎng)。在信息外網(wǎng)出口安裝IPS入侵防御設(shè)備,可以實時主動攔截各類黑客攻擊和惡意行為,保護信息網(wǎng)絡(luò)架構(gòu)免受侵害,阻斷非授權(quán)用戶的使用,降低了不安全因素。
信息內(nèi)網(wǎng)統(tǒng)一安裝桌面管理系統(tǒng),能有效控制內(nèi)網(wǎng)計算機。計算機實名注冊并進行IP地址和MAC地址綁定,計算機管理員可以實時查看內(nèi)網(wǎng)計算機的應(yīng)用情況,插件的安裝以及殺毒軟件的運行等。啟用移動存儲審計策略和違規(guī)外聯(lián)策略,嚴格控制內(nèi)網(wǎng)設(shè)備違規(guī)外聯(lián),對公司的移動存儲介質(zhì)進行實名注冊,嚴格控制信息的流入流出。
三、分區(qū)分域、等級防護
對公司的信息系統(tǒng)分成生產(chǎn)控制大區(qū)和管理信息大區(qū),并對所有的業(yè)務(wù)系統(tǒng)進行等級劃分,實現(xiàn)不同安全域之間的獨立化和差異化的防護。其中生產(chǎn)控制大區(qū)又可以分為控制區(qū)和非控制區(qū),調(diào)度數(shù)據(jù)網(wǎng)絡(luò)作為專用的數(shù)據(jù)網(wǎng)絡(luò),劃分為安全區(qū)I,它使用不同的網(wǎng)段單獨組網(wǎng),它與安全區(qū)II之間采用國家指定部門檢測認定的電力專用正向單向隔離裝置。WEB服務(wù)與管理信息大區(qū)之間分別安裝硬件防火墻,并嚴格控制相互之間訪問。
四、注重口令設(shè)置和數(shù)據(jù)備份
口令設(shè)置是信息安全管理中重要的一環(huán)。要求所有的服務(wù)器和每一臺辦公計算機都要設(shè)置開機密碼,密碼長度不小于8位,并且是字母和數(shù)字或特殊字符混合而成,密碼不得與用戶名相同并要求定期更換。另外要求每臺計算機都要設(shè)屏幕保護,屏保時間設(shè)在15分鐘左右,并開啟恢復(fù)時使用密碼功能;關(guān)閉遠程桌面。這樣可以有效防止外來人員訪問他人電腦或內(nèi)部心懷不軌的人員通過遠程訪問他人電腦。數(shù)據(jù)備份和恢復(fù)計算機管理員必須定期對重要的數(shù)據(jù)進行備份,這是保護信息安全的重要手段,它可以有效防止病毒入侵、操作人員誤刪除和設(shè)備磁盤故障等帶來的數(shù)據(jù)丟失,備份要保存在當(dāng)?shù)卮疟P和異地磁盤兩份。個人辦公計算機中重要的文件資料可以加密存放,并形成備份。
五、加強防病毒軟件部署及管理
根據(jù)公司的計算機數(shù)量,統(tǒng)一購買安裝企業(yè)版殺毒軟件。為避免防病毒軟件之間的沖突導(dǎo)致一些插件不能正常安裝和運行以及文件的誤刪除,要求一臺機器只能安裝一款防病毒軟件,禁止使用任何規(guī)定之外的防病毒軟件。公司設(shè)專人負責(zé)定期進行病毒庫的更新,并通過桌面管理系統(tǒng)統(tǒng)一發(fā)放病毒庫升級通知,對機器病毒庫自動進行升級,能有效防范網(wǎng)絡(luò)病毒、木馬。
六、漏洞掃描和隱患排查
漏洞掃描系統(tǒng)是一個自動化的安全風(fēng)險評估工具,對公司的信息系統(tǒng)進行定期、全面、系統(tǒng)的信息安全風(fēng)險評估,發(fā)現(xiàn)和分析信息系統(tǒng)中存在的漏洞,并及時進行整改。定期開展自測評與整改。通過自測評,及時發(fā)現(xiàn)信息系統(tǒng)中存在的問題和隱患,針對發(fā)現(xiàn)的問題制定相應(yīng)的措施進行整改,可以有效降低信息系統(tǒng)安全隱患,進而將風(fēng)險評估工作常態(tài)化、制度化。這也充分印證了信息管理也是遵循PDCA的過程模式,是一個動態(tài)的持續(xù)改進的過程。信息安全管理流程圖如下圖1所示。
七、物理安全和主機安全
公司每位職工都有保護自己辦公電腦的義務(wù),要求下班后關(guān)閉主機和顯示器,這不僅可以增長機器的使用壽命也可以保護主機硬件設(shè)備,特別是雷雨天氣,最好拔掉電源開關(guān)。對機房的服務(wù)器設(shè)備,首先,機房的環(huán)境應(yīng)滿足防風(fēng)、防雨、防雷、防震等要求。其次,在機房出入口配置電子門禁系統(tǒng),對進入機房的外來人員要嚴格登記,并有專人陪同。再次,在機房內(nèi)安裝機房環(huán)境監(jiān)控系統(tǒng),對機房的火災(zāi)自動報警,最好能夠自動消防,如果不能也要配備足夠的消防設(shè)備,保證機房設(shè)備的運行安全。最后,機房的溫濕度也是影響設(shè)備安全運行的重要因素,因此配置溫濕度調(diào)節(jié)設(shè)施,滿足機房管理制度中規(guī)定的“夏季機房溫度控制在23±2℃、冬季控制在20±2℃”的要求。
計算機管理員對機房服務(wù)器訪問管理要嚴格控制,為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不同用戶分配不同的用戶名和訪問權(quán)限,限制默認賬戶的訪問權(quán)限。在不影響應(yīng)用系統(tǒng)正常運行和訪問的情況下,在服務(wù)列表中關(guān)閉有可能導(dǎo)致系統(tǒng)遭受侵害的一些服務(wù)。
八、應(yīng)急響應(yīng)和災(zāi)難恢復(fù)
建立切實可行的應(yīng)急預(yù)案和災(zāi)難恢復(fù)預(yù)案,可有效預(yù)防和正確、快速應(yīng)對網(wǎng)絡(luò)及信息安全突發(fā)事件,最大限度地減少影響和損失,確保網(wǎng)絡(luò)系統(tǒng)安全、穩(wěn)定運行。
企業(yè)財務(wù)管理 企業(yè)文化 企業(yè)研究 企業(yè)資信管理 企業(yè)品牌 企業(yè)建設(shè) 企業(yè)管理 企業(yè)工作意見 企業(yè)財務(wù)風(fēng)險案例 企業(yè)資源 紀律教育問題 新時代教育價值觀