企业信息安全实施技术与策略.docx
《企业信息安全实施技术与策略.docx》由会员分享,可在线阅读,更多相关《企业信息安全实施技术与策略.docx(27页珍藏版)》请在冰豆网上搜索。
企业信息安全实施技术与策略
-----------------------Page1-----------------------
行业应用
企业信息安全问题案例与相应管理策略
12
孙克泉,张致政
(1.南开社区学院,天津300100;2.天津百利二通机械有限公司,天津300300)
摘要:
该文对企业信息安全问题进行了分析研究,旨在解决当前企业信息安全管理问题。
在企业计算机网络管理的实践研究
基础上,对信息安全问题进行了分析;提出了信息系统的稳定性也是信息安全问题的观点;对具体安全问题给出相应的安全管
理策略。
提出了新的信息安全观点,并试图给出解决当前企业关注的信息安全问题的有效方法。
关键词:
信息安全;企业管理;管理策略;安全策略;系统稳定性
CasesonInformationSafetyProblemsinEnterprise&RelativeStrategies
12
SUNKe-quan,ZHANGZhi-zheng
(1.NankaiCommunityCollege,Tianjin300100,P.R.China;2.TianjinBailiertongMachineryCoLtd,Tianjin300300,P.R.China)
Abstract:
Toresolvetheongoingenterpriseproblemininformationsecuritymanagement,informationsecurityissuesareanalyzed.Computer
safetynetworkisstudiedbasedonpracticalmanagementinenterpriseandthenewviewpointisputforwardthatinformationstabilityisalsothe
safeproblem.Tosolvethesecurity-relatedproblemstrategiesontheconcretesecurityissueareinvestigatedwiththepurpuseoffindingan
effectivewaytosolvethesecurity-relatedproblem.
Keywords:
informationsafety;businessenterprisemanagement;managementstrategy;safetystrategy;systemstability
1引言算机进行管理的目的是为了提高工作效率,使企业管理水
信息安全问题越来越来受到企业相关人员的关注。
在平有一个明显的提高。
例如,ERP(企业资源计划)系统、
企业内部,虽然采取了各种安全措施,仍然发生过诸多的OA(办公自动化)系统以及各类管理信息系统、各种信息
安全问题,而且会给企业带来不同程度的损失。
先进的计制作和传播工具等,都要涉及信息的存储、传输与使用等
算机技术在于应用,也在应用中体现。
因此,如何提高企信息处理问题,而尤为突出的是信息处理过程中的信息安
业内部计算机的管理水平,是摆在企业管理和计算机管理全问题。
对于存储在计算机中的重要文件、数据库中的重
人员的重要课题。
本文通过多年的研究和具体实践,针对要数据等信息都存在着安全隐患,一旦丢失、损坏或泄露、
当前国内企业中的计算机应用和管理状况,就出现的信息不能及时送达,都会给企业造成很大的损失。
如果是商业
安全问题进行了分析研究,从计算机网络管理出发,论述机密信息,给企业造成的损失会更大,甚至会影响到企业
了企业信息安全的重要性,以提高相关人员的安全风险意的生存和发展。
识;简述了信息安全的特征和内容;阐明信息系统稳定性在没有使用计算机进行信息管理之前,信息通常都是
给信息安全造成的威胁,并提出信息系统稳定性也信息安以纸介质和某些设备(如录音、录像设备等)进行保存和
全问题;以具体的案例形式指出存在的信息安全问题,并传播,并对信息的安全管理有着严格的行政管理、法律法
给出相应的、有效的解决方法或解决策略。
本文旨在进一规约束,一旦出现安全问题,可以通过行政、执法手段进
步推动企业信息化管理步伐,提高企业计算机及信息管理行追踪,查出问题的根源,并追究其相应的责任。
而现在
水平,以避免或减少由信息安全问题带来的经济损失。
用计算机管理的信息安全问题更为复杂,象数据瞬间丢失、
瞬间被盗、瞬间被破坏等问题,大大增加了管理难度。
如
2企业信息安全的重要性果管理不善,如重要文件、图纸、信用卡账户等机密文件,
随着计算机技术的不断发展,计算机被广泛地应用于出现安全问题时很难查清。
因此,企业的信息安全问题、
各个领域,如数值计算、数据处理、辅助设计与制造、人以及对信息的安全管理都是至关重要的。
要保证企业信息
工智能、家电产品等。
在企业(包括政府机关、事业单安全,就必须找出存在信息安全问题的根源,并具有良好
位、生产企业、商品流通企业、金融财税等)中,利用计的安全管理策略。
88算机安全2008.9
-----------------------Page2-----------------------
行业应用
3信息安全的基本概述根据信息安全的特征及基本内容,在具体的安全管理上,
到目前为止,信息安全还没有一个公认、统一的定义。
首先要考虑采用什么手段才能保证企业的信息安全。
这样
国际、国内对信息安全的论述大致分为两大类:
一类是指才能有的放矢,出了安全问题才能找出是行政管理问题还
具体的信息安全技术系统的安全;另一类是指某些特定的是计算机管理的问题,也才能提出解决问题的方法。
信息体系(如银行系统、军事指挥系统)的安全。
但也有需要强调的是,单凭计算机技术管理手段是有其局限
人认为这两种定义也不能完全概括信息安全问题。
性的。
这是由于新的安全问题会随着时间的推移而显现。
3.1信息安全的特征所以,计算机技术管理手段往往滞后于新安全问题的出现,
信息入侵者不管怀有什么用意,采用什么手段,他们需要一定时间来完善系统,包括制定新的安全策略,信息
都要通过攻击信息的4个安全特征来达到目的。
这4个系统的升级等。
在此情况下,加强行政管理是必须的。
因
安全特征是:
完整性(Integrity)、可用性(Availiability)、此,通常应采取以行政管理手段为主,以技术手段为辅的
保密性(Confidentiality)、可控性(Controliability)[1]。
在策略。
在计算机权限分配时遵守权责对等的原则;重要岗
技术上,信息安全就是保证在客观上杜绝对信息的4种特位人事变动前的议动时,要有重要数据保护措施。
征的安全威胁,使信息的所有者在主观上对其信息的本源从信息安全内容上看,无论是实体安全、运行安全、
性放心。
企业资产安全、还是人员安全,无不与计算机的管理水平
3.2信息安全的基本内容有关。
在企业的发展过程中,对于信息的实体安全和人员
信息安全的基本内容包括:
实体安全、运行安全、信安全问题,计算机管理人员有责任向企业负责人提出相关
息资产安全和人员安全等内容。
的建议,并加以妥善解决。
在实体安全、人员安全问题一
实体安全是保护计算机设备、设施(含网络)以及其定的情况下,计算机管理人员应该对运行安全、信息资产
他媒体免遭地震、水灾、火灾、有害气体和其他环境事故安全负责。
除了实体安全、人员安全问题外,对企业信息
破坏的措施和过程。
实际上,实体安全是指环境安全、设安全的威胁主要来自两个方面,一方面是来自对企业内部
备安全和媒体安全。
计算机存储设备上(本机设备)的信息安全威胁;另一方
运行安全是为了保障系统功能的安全实现,提供的一面是来自于网络对信息安全的威胁。
下面就从计算机管理
套安全措施来保护信息处理过程的安全。
为了保障系统功角度对企业信息安全问题进行分析。
能的安全,可以采取风险分析、审计跟踪、备份与恢复、4.1企业内部计算机存储设备的安全问题分析
应急处理等措施。
目前,企业内部的每个部门几乎都拥有和使用计算机,
信息资产安全是防止信息资产被故意的或偶然的非授甚至有的部门一人拥有和使用多台计算机。
一般情况下,
权泄露、更改、破坏或使信息被非法的系统辨识、控制,存储在某台计算机上的重要文件、数据等信息的泄漏,是
即确保信息的完整性、可用性、保密性和可控性。
信息资很难查觉的,直至造成影响或损失时才被发现。
企业内部
产包括文件、数据等。
信息资产安全包括操作系统安全、人员对重要文件或数据的泄露窃取主要是依靠移动存储设
数据库安全、网络安全、病毒防护、访问控制、加密、鉴备、企业内部网以及互联网。
典型的移动存储设备有软盘、
别等。
光盘、U盘、移动硬盘和手提电脑等,这些设备本来是为
人员安全主要是指信息系统使用人员的安全意识、法使用者提供方便的,但同时也带来了安全隐患。
如果计算
律意识、安全技能等。
人员的安全意识是与其所掌握的安机使用人员对本身的计算机管理不严格,重要信息就很有
全技能有关,而安全技能又与其所接受安全技能培训有关。
可能被利益驱动者盗取。
同样,企业内部人员也可以通过
因此,人员的安全意识是通过培训,以及安全技能的积累内部网络非法获取重要信息并利用互联网的邮件等功能传
才能逐步提高,人员安全在特定环境下、特定时间内是一输到企业外部。
通常情况下,计算机使用者对信息安全问
定的。
题意识不是很强、而且对这些移动存储设备管理水平有限。
因此,作为计算机管理人员应该考虑如何防范移动存储设
4企业的信息安全分析备带来的安全问题隐患。
在企业管理中,为了保证企业的信息安全,主要采用4.2源于网络的信息安全问题分析
两种手段,一是行政管理手段、二是计算机技术管理手段。
除了来自本机设备的安全问题外,最主要的是源于网
2008.9计算机安89
-----------------------Page3-----------------------
行业应用
络的信息安全问题。
而且网络对信息安全的威胁更为复杂。
特权,威胁系统中信息的安全。
源于网络的信息安全威胁主要是企业内部人员、黑客、网4.3.5缺陷或漏洞:
络罪犯、间谍等,这些人员都有可能利用系统弱点给信息信息系统中各组成部分和整个网络在设计时,由于考
安全造成威胁。
其中内部人员可能有意或无意地泄露企业虑不周全或者是设计者本身的技术能力限制,在设计、开
内部信息资产;黑客由起初的个人爱好或追求刺激,来挑发、制造和施工时无意识地留下缺陷和漏洞被供攻击者开
战网络的安全防范技术,近来已经转向追求利益;网络罪发利用。
犯出于经济或政治目的侵入系统窃取信息或实施破坏;间4.3.6恶意代码
谍(包括工业间谍或情报人员)都是有组织有目的的侵入恶意代码是一些不良企图的程序代码,能够影响和破
系统窃取信息或实施破坏,其力度明显比一般的黑客和网坏系统功能。
常见的有特洛伊木马、逻辑炸弹、蠕虫等病
络罪犯都要大。
毒,以及有害的脚本调试程序。
从以上情况分析得知,对于源于网络的信息安全,除4.3.7管理不当或失控
企业内部人员无意识地泄露企业内部信息外,无论是企业信息系统作为一个软硬件集成的有机整体,其安全除
内部和外部人员,都是XX对企业信息的访问和窃取。
软硬件自身的安全保护外,重要的是进行有效管理。
只有
这种事情的发生,主要是利用网络系统弱点或漏洞对企业有效管理,安全性才能得到相应的保障。
就操作系统而言,
信息安全的威胁。
即使安全特性比较好,而相应的安全策略不当,其运行的
4.3产生信息安全问题的根源分析安全性能就会大大降低,整个操作系统就会逐渐腐败,直
4.3.1蓄意破坏至崩溃。
企业内部或外部人员有意通过物理手段对系统组件、4.3.8物理和环境的支持能力下降或丧失
结构和信息进行更改、移动、和销毁等,直接危及信息的由于电力供应不足或中断、电压波动,如形成峰值或
机密性,完整性、可用性和可控性。
严重时会引起整个系低电压、自然灾难、人为的基础设施破坏等因素都会影响
统瘫痪和不可恢复。
由于进行蓄意破坏的人员特别是内部系统无法正常运行直至瘫痪或崩溃[1]。
人员可能熟悉整个系统的情况并拥有某些操作权限和信任4.4信息的安全机制
关系,因此这种风险带来的破坏一般是巨大的。
为了防止网络中XX对企业信息的访问和窃取,
4.3.2欺骗和窃密通常使用的安全机制是访问控制机制,访问控制机制可以
通常的信息系统为智能化系统,如果缺乏相应的安全分为两大类:
一类是实现禁止功能,如在用户进行系统登
措施,依靠高技术手段和方法是可以欺骗并窃取相关信息录时,需要进行身份识别和鉴别,在系统出口进行恶意代
的。
除通过通信信道的脆弱性进行威胁外,也包括物理方码检测等;另一类是实现内部控制,即使威胁方进入了信
式和逻辑方式直接进行的窃密。
欺骗和窃密主要是危及信息系统,其活动都受到监控,并且系统具有完善的日志功
息的机密性和可用性。
能,可供事后审计。
4.3.3错误和冗余对于系统中信息的无意泄露,要加强企业内部人的安
在信息处理、传输、存储和维护过程中,由于人为或全意识,并使用相应的制度加以约束。
对计算机系统的有
系统原因造成错误以及功能外冗余,影响信息的完整性,意破坏及环境安全问题,应加强防范和必要的管理。
有时也会影响信息的机密性和可用性。
如操作员错误的数
据输入或存取导致信息的泄露、篡改或丢失,或错误地将5信息系统稳定性也是信息安全问题
存取权提供给未授权者。
这里的人员包括企业内部各部门本文特别指出,信息系统的稳定性也是信息安全问题。
的计算机使用者,甚至包括企业内部的计算机网络管理人员。
提出此观点有以下几点理由:
4.3.4后门首先,这里所说的信息系统是指企业用于各种管理
后门是指通过获取软硬件中含有的特殊代码进入和控的信息系统(MIS),ERP系统就是典型的信息系统集成,
制操作系统,从而获取信息。
这些特殊代码是一般开发者当然还有其他类型的管理信息系统。
信息系统的稳定性是
有意或无意留下的,本身没有危害,但未授权人可以通过指信息在传输过程中能否及时送达到目的地。
这些特殊代码获得软硬件设备的标识信息或进入操作系统所谓信息不能及时送达是指,来自企业外部的信息并
90算机安全2008.9
-----------------------Page4-----------------------
行业应用
不能及时送达到企业内部;企业内部需要发送的信息不能过USB口连接的其他设备都不能使用,给必需使用外设
及时发送给信息的使用者。
信息不能及时送达,至使信息时带来了极大的不便。
因此,就USB口而言,用第三方
不能及时更新,给信息使用者造成了不必要的损失。
例如插件可以对不同的连接设备设置使用权限,可能地做到既
银行业务系统、证券交易系统、商品流通系统的暂时停滞,可以使用外部设备,又能防止本机信息被非法修改或窃取。
企业内部网或互联网的暂时瘫痪;各种票务系统的瘫痪等。
以上安全管理策略应由计算机管理人员实施;本机使
虽然信息系统稳定性带来的信息安全并不是信息被泄用人员要注意加强对本机信息的安全意识,要注意管理和
露、丢失或窃取等的问题,但确实由于信息不能及时送达维护好本机登录的账户和密码;离开本机时要有防护措施
给企业或个人带来一定的损失,间接地产生了信息安全问(如屏幕保护),重新进入系统时要有复杂的密码或采用指
题。
因此,作者认为,除了泄露、丢失或窃取外,信息不纹识别的方式,以避免信息被偷窥造成的泄露。
能及时送达同样也是信息安全问题,信息系统的稳定性应另外,要加强安全保卫工作,防止因盗窃计算机及存
该属于信息安全问题范畴。
储部件带来的安全风险。
实际上,虽然采取严格的防范措施,但是仍然出现了6.2源于网络的安全管理策略
信息系统不稳定的现象,给企业或受益者造成较大损失或计算机网络给企业管理带来了极大的方便,这是有目
恶劣的影响。
共睹的。
但同时给企业信息安全造成严重的威胁。
而且源
信息系统的稳定性并不是简单的运行安全、系统可靠于网络的信息安全问题又相当复杂。
下面就具体的信息安
性等问题,而是比较复杂的信息安全问题。
来源于信息系全问题给出相应的管理策略。
统稳定性的安全威胁因素很多,情况复杂,涉及到通信系6.2.1病毒防护策略
统、管理信息系统、网络安全系统、行政管理、人为等诸
(1)对于Windows操作系统,要经常注意和更新微软
多因素。
这里并不深入讨论信息系统稳定性的原因,只是发布的补丁程序,做到随发布随更新。
防止由操作系统漏
从信息系统应用层面提出了信息系统的稳定性也是信息安洞带来的安全问题。
全的观点。
并从计算机管理角度,就信息系统的稳定性所
(2)要做到经常对防病毒定义码进行更新与升级,防
带来的安全问题给出相应的安全策略。
止由防病毒软件产生的漏洞。
(3)对于防火墙,除合理布署外,安全策略要从严掌握。
6企业内部信息的具体安全问题及管理策略要尽量关闭信息系统不使用的端口,以防止入侵者对系统
6.1计算机存储设备上的信息安全管理策略的攻击。
需要注意的是,计算机管理人员要了解应用程序
存在对本机的信息安全威胁主要来自可移动存储设备。
所使用的端口,以免造成系统不能正常运行。
利用可移动存储设备通过外设(软驱、光驱、打印、USB(4)计算机管理人员要了解黑客攻击的一般规律和最
和网络接口等)进行信息的窃取。
就Windows操作系统新手段,对黑客的攻击要引起高度警觉。
下的本机而言,其安全管理可以采取以下策略:
6.2.2基于访问控制的安全管理策略
6.1.1Windows操作系统组策略访问控制是保证系统的内部用户和外部用户对系统资
利用Windows操作系统域管理下的组策略,对本机源的访问,以及对敏感信息访问方式。
阻止非授权用户进
外设进行必要的限制。
通过对可移动存储设备及接口的限入系统,实现对授权用户的存取权限控制。
制,防止通过软盘、光盘、U盘、移动硬盘以及打印等方
(1)采用基于操作系统的访问权限管理
式窃取信息。
通过禁用共享设置,防止使用手提电脑通过对于企业内部用户进行基于操作系统的权限设置。
采
网络接口以设置对等网的共享方式盗取信息。
用一组用于安全规则的身份标识数据、由域控制器颁发并
6.1.2第三方插件策略用来进行用户身份验证,防止账户信息被随意更改。
如果
可以采用Windows操作系统以外的第三方插件对外账户信息被随意更改,就有可能被企业内部人员非法获取
设进行严格的限制。
使用第三方插件有时可以更加详细地账户信息,伪装合法用户身份盗取信息。
进行外设使用权限的设置。
例如,目前通过USB接口连
(2)实现各类信息系统软件中账户信息加密功能
接的设备,不仅仅局限于U盘,也可以连接鼠标、移动在各类信息系统类软件开发时,要充分考虑对用户
硬盘、打印机等,这样如果禁用USB接口,就会致使通账户和密码的安全保密问题。
因为用户采用账户名称和密
2008.9计算机安91
-----------------------Page5-----------------------
行业应用
码进行登录时,会将该账户信息传输到服务器上进行身份用用户对信息系统访问的优先级[2]策略,以避免或减少重
验证,所以如果在账户信息传输过程中明文传送,就有可要信息不能及时送达的问题。
如果是由于设备老化引起的,
能被窃取和利用。
因此,在实现用户管理功能时最好采用可以采用设备升级的方式解决。
加密传输的方式,以防止由此带来的安全隐患。
从信息系统开发角度,不但要考虑系统功能的实现,
(3)对密码复杂度的限制也要考虑今后的维护和管理问题。
虽然信息系统产品投入
无论是操作系统,还是管理信息系统,都要考虑对密使用前经过了严格测试,但也不可能没有缺陷。
由此引发
码复杂度的限制。
如果密码过于简单或长期使用同一密码,系统稳定性差,导致系统不能正常工作或停滞,都会给企
都会带来很大的安全隐患。
在信息系统开发时,应该对用业造成不必要的损失。
因此,在信息系统设计时,要有良
户密码做到如下限制:
(1)设置密码长度的最少位数,以好的架构,以利于系统的维护和管理[3]。
另外,经验表明,
及密码的复杂程度要求。
否则,密码长度太短,或类似于当遇到解决信息系统业务逻辑问题的困难时,往往出在信
“11111”、“123456”这样过于简单、有规律的字符串,都息系统软件本身的维护上。
此类问题大多是由系统维护人
很容易被猜出。
(2)最好设定一个密码更新时间,以防止员综合知识水平差异造成的。
选用业务强、计算机水平不
长期使用同一密码造成的安全隐患。
(3)其次是密码输入一定很高的的维护人员,处理问题时可能采用避开信息系
错误的次数限定。
当密码输入错误超过限次时,要锁死系统软件而直接对数据库进行操作,如果对信息系统不十分
统。
在该用户重新进入系统时要由管理人员开启,以防止了解,就很可能造成数据类型或逻辑关系错误,导致系统
非法用户用猜码的方式登录系统。
不能正常工作;相反,选用计算机水平高,业务逻辑水平
(4)限定在特定的计算机上登录差的维护人员,又无法解决业务逻辑问题。
因此,系统
对于特别重要的用户信息,如企业决策人员存储的重要(如ERP)维护人员除了具备较高的业务知识,还要具备
信息,要限定在特定的计算机上登录,以防止非法盗取账户一定的编程知识。
信息和物理地址后,利用其他计算机登录来盗取重要信息。
此外,由于信息系统长期运行,导致系统性能
升级会员 