企业网络化信息安全管理及其对策.docx
《企业网络化信息安全管理及其对策.docx》由会员分享,可在线阅读,更多相关《企业网络化信息安全管理及其对策.docx(11页珍藏版)》请在冰豆网上搜索。
企业网络化信息安全管理及其对策
目 录
内容摘要:
1
关键词:
1
Abstract:
1
Keywords:
1
1绪论2
1.1研究背景和意义2
1.2国内外研究现状2
1.3本文的主要工作3
2企业网络化信息安全概述3
2.1企业网络化产生的原因3
2.2网络信息安全介绍4
3企业网络化存在的信息安全问题5
3.1企业网络化信息安全防御意识淡薄5
3.2网络恶意攻击和非法入侵企业信息资源6
3.3网络病毒感染对企业网络化信息安全的破坏7
4企业网络化信息安全策略8
4.1重视网络化信息安全管理工作8
4.2设置企业网络化信息安全预警机制9
4.3加强企业网络化入侵防范管理9
4.4建立企业网络化信息安全管理组织体系10
5结论12
参考文献13
内容摘要:
互联网为企业提供了新的商业契机,网络化是企业的必然选择。
随着企业网络信息安全暴露的问题日益严峻,众多学者针对这一问题展开研究。
本文从企业网络信息安全管理方面入手,分析企业在网络环境下安全管理机制发展现状,阐述了网络信息安全管理的起因,全面分析了企业网络安全管理中的薄弱环节,列举出威胁网络安全的各类因素,最终提出完善网络系统安全的策略及实施方案。
关键词:
网络化,企业信息安全,安全管理系统;
Abstract:
TheInternetprovidesanewbusiness opportunityfor enterprises,network istheinevitablechoiceofenterprise.Alongwiththeenterprisenetworkinformationsecurityproblemsbecomemoreandmoreserious,peoplebegantostudythework.Fromthemanagementofenterprisenetworkinformationsecurityaspects,thisarticleexpoundsthecausesofnetworkinformationsecuritymanagement,includesacomprehensiveanalysisoftheweaklinkinenterprisenetworksecuritymanagement,listsvariousfactorsthreateningthenetworksecurity,proposesthenetworksystemsecuritystrategyandimplementationplan.
Keywords:
network,enterpriseinformationsecurity,securitymanagementsystem
1绪论
1.1研究背景和意义
随着计算机网络的快速发展,企业网络化已经成为一种新的企业成长机制,越来越多的企业也意识到这一点,开始构建信息化网络管理系统。
但在企业进行网络化过程中,信息安全面临着严峻的挑战,这直接关系到企业能否获得关键的竞争优势。
通过调查发现,对于网络安全方面的资金投入每个国家都各不相同,日韩两个国家投入占网络建设全部资金总值的8%,而欧美一些国家投入占用比例为10%,相对来说都很高,但是我国的投入比例小于1%[1]。
数据显示了我国现阶段网络安全意识非常薄弱,而国外一些国家已经开始注重信息安全的重要性。
而我国现阶段对网络安全这种看不到实在回馈的资金投入方式普遍表现出不积极态度。
另外,企业经营者对于安全问题经常会抱有侥幸的心理,缺少专门的技术人员和专业指导,致使国内企业目前的网络安全建设情况参差不齐。
因此针对出现的这些企业网络化信息安全问题,笔者针对我国企业网络化信息安全的现状进行研究并找到解决对策。
1.2国内外研究现状
目前网络信息安全已成为世界各地共同关注的问题。
互联网信息安全事件频发,电脑病毒网络化日趋严重,利用互联网传播有害信息的手段日益翻新,这些都是网络带给人们自由开放的同时,带来的不可忽视的安全风险。
国外特别是美国、英国等西方发达国家从 20 世纪 70 年代中期就开始高度关注网络与信息安全问题,目前国外学者主要就企业信息管理系统关于安全监管的原理及功能、结构设计及实施、关联研究等领域以形成较成熟的理论体系,如Peggy等人通过研究相关信息系统安全策略的文献,基于安全政策文件、员工意识、访问控制驱动因素等四个问题提出模型,用于调整企业信息系统安全的治理环境[2];另外部分学者采取大型案例分析的形式,如Ebru等人针对布尔萨和土耳其两地中小型企业信息安全管理运行的效果进行数据统计验证,通过49项问题调查最终得出企业管理与安全性政策结合对组织环境、业务绩效等领域都有明显改善作用[3]。
特别在信息安全技术方面,美国、英国、法国、以色列这些处于领先地位的国家国家,应用起步较早,安全产品相对也技术含量高[4]。
我国政府、企业也开始对网络与信息安全形势给予高度关注,信息安全的重要性被提升到空前的战略高度。
从2000年以来,我国已制定了一批信息安全法规和部门规章,基本形成了统一协调、分工负责的行政管理架构,初步建立了网络安全事件应急处理和协调机制,开展了信息安全关键技术的研究,研发了一批信息安全专用产品,网络与信息安全产业已初具规模,但企业信息安全制度的制定还未需要根据企业资源、环境、目标不同而采取不同的对策[5]。
另外网络信息安全立法是网络信息管理的基础和依据,随着网络信息技术的飞速发展,网络信息安全立法也应做到与时俱进,使法律的条款能够充分反映发展的信息技术[6]。
当前市当今社会是网络发达的社会,因此现在的企业很多都采用网络化办公的方式,这不足为奇。
而网络办公中不容小觑的问题就是信息安全问题。
因为信息是否安全关乎着企业的发展和进步,所以重视信息安全问题,投入一定资金,加强技术更新,建立相关条款及管理方式,对企业的安全和隐私有着深远的意义。
1.3本文的主要工作
2企业网络化信息安全概述
2.1企业网络化产生的原因
互联网高速发展的数字时代,信息处理技术要求也相应提高,企业既要兼具技术发展快速适应数字网络大环境,又要在行业竞争中标新立异获得优势,就应构建具有自身企业特色的现代化网络管理系统,以便更好地进行企业管理。
但企业在实际运行信息系统时会遇到诸多阻碍,尤其是计算机技术本身无法规避的问题,容易直接触发局域网或广域网中潜在的危险。
导致这些问题的原因包括技术客观因素以及认为因素。
技术客观因素指企业由于资金、企业管理和运营绩效等因素安全维护技术的投入无法与安全状态平衡;而人为因素则是指非正规竞争情报获取以及人为恶意攻击企业管理系统等。
以上因素都会直接或间接导致信息泄露或系统崩溃,因此企业针对这种信息安全危机急需采取措施。
这其中更应将信息安全的保密工作置于首位,以促进企业正常运转和快速发展进步。
作为信息保密的基础,企业还应采取相应保障措施。
保障信息安全的方法很多种,现在企业大部分都是购置一些市场上的产品来确保信息系统的安全。
而且目前市场上这类产品既有硬件也有软件,都是针对企业信息系统中可能出现的漏洞或缺陷进行设计的保护产品,具有很大的确定性,这些产品相对来讲可以某种范围内保障企业的信息安全,但是本质上来说,很多企业的信息管理工作都没有很大提高,这都是通过研究调查得知的。
很多企业买了预防病毒的软体,但是大多数员工都比较懒惰不愿意安装,或是怕影响本身计算机的内存容量安装了后过段时间又在网管员不知情的情况下卸载掉了。
这种情况就导致企业内部信息系统很难阻止外界的肆意破坏,也就无法有效提高其管理工作。
严峻的是,现在随着经济发展技术进步,产生很多更高级的病毒,使企业更加难以防治。
另一方面,市场上也只能提供特定问题的信息防治,无法对企业进行全面的保护,使得企业的信息管理工作更加困难,解决这些问题迫在眉睫。
2.2网络信息安全介绍
2.2.1网络信息安全的定义
网络信息安全可归为边缘学科,即于诸多学科都有联系,比如计算机、网络技术、通信技术、信息安全技术、密码技术以及应用数学、数论、信息论等。
广义上说,网络信息安全涉及到的领域很多,诸如网络上信息的实用完整有效性或者真实可控保密性,有关的方法和理论都属于网络信息安全问题。
通用的定义为:
网络信息安全包含网络系统中涉及到的软件、硬件和数据不受破坏,并且阻止一些外界恶意因素入侵或恶意篡改系统信息,保证网络连续服务[7]。
网络信息安全的特征如下:
(1)保密性:
信息需要保密,只能让有权限用户实用和利用,不得随意泄露给其他用户。
(2)完整性:
不得随意更改网络信息,其数据的传输和存储都要经过授权方可进行,XX不得随意修改或丢失,保证其完整性。
(3)可用性:
被授权的用户可以使用,而且可以根据自身需求决定是否获取信息,任何肆意损害网络环境或影响系统正常运转的行为都是在破坏可用性。
(4)可控性:
可以控制信息的内容和传播途径。
(5)可审查性:
具有可考究性,即出现问题时有据可查[8]。
2.2.2网络信息安全技术简介
网络信息安全技术可分为两类,即主动防御技术、被动防御技术。
主动防御技术主要包含以下几点:
(1)数据加密。
目前使用最多的也是最简单实用的保护网络信息和数据安全的手段就是为数据设置密码。
(2)CA认证。
目前信息可以通过第三方认证,现有比较公正可信赖的机构就是CA中心。
采用PKI公共密钥的方法认证使用者的身份,保证其通信的可靠不虚假。
(3)访问控制。
对信息系统的访问有自主式和强制式两种控制方式,自主式访问需要验证用户身份方可进行系统访问,而强制式访问控制是通过开放权限设置控制用户访问。
(4)虚拟网络技术。
虚拟技术包括VPN和VLAN技术,为了保证信息安全,划分网段或者是监控数据流。
(5)入侵检测。
采用一些软件或硬件手段随时报告系统中出现的异常情况,如何出现为了安全问题,这些手段可以预警并采取相关抵制措施。
被动防御技术有六方面内容:
(1)防火墙技术。
防火墙有抗外界攻击的能力,是Internet上的一种安全机制,控制着不安全的外界因素,防止侵害到局域网内部,因为所有的信息数据都要经过防火墙这道防线,才能进行内外网络的连接,所有只有安全的数据信息才可以通过,已经发展成很有效的保障网络安全的方法。
(2)安全扫描。
一种自主检验主机薄弱点或者是远程控制中薄弱环节的程序,可以了解网络信息。
(3)密码检查器。
设置密码验证以检验密码是否薄弱。
(4)安全审计。
可以记录和留存有关安全问题的日志或文件资料,以便后期查询或分析,及时发现不受信任人群或者是查缺补漏。
(5)路由过滤。
采用路由器对信息进行过滤检验,可以决定是否接受或不接受数据包,依据是过滤规则。
(6)安全管理技术。
设定一定的条款或者安全措施,利用文件的方式防范人为因素的破坏[9]。
3企业网络化存在的信息安全问题
3.1企业网络化信息安全防御意识淡薄
3.1.1个人安全意识角度
对于大部分企业人员来说,网络安全问题都是一个边缘领域,职工专注于工作学习,较少意识到网络信息是否安全,基本没有防范意识。
但企业信息面临最大的安全风险,就是企业与网络结合带来的风险,企业内部人员尤其指网络管理人极有可能不小心就把信息暴露,疏于防范,因为网管人员对网络内部结构和系统特别专业和了解,其暴露的信息就有可能给不法分子有机可乘,致使计算机网络遭受致命攻击。
现在,国内多数企业对网络信息安全的重视程度不足,很多部门和人员没有对网络信息安全引起很强的注意。
造成这种现象的一个主要原因就是过分注重安全技术,而轻视安全管理问题。
表现在对信息设备和技术水平的过度追求,但是对信息安全却认识不够,投入不足,从而容易产生信息安全漏洞,带来信息安全事故。
“人是网络的主体,消费网络信息或者提供网络信息,现代网络就是人和网络的结合,这才是信息时代的本质。
”人为制造入侵病毒或“黑客”工具,因此人为问题是Network防线中最容易受到破坏的地方,而且大部分人没有防范意识,或疏于防范,才助长了网络破坏及入侵的风气,只有提高人民的防范意识,才有可能保障网络的信息安全[10]。
企业计算机中有很多不容忽视的重要信息和数据,一旦遭到破坏甚至丢失,那么就会产生很严重的后果和损失,不仅浪费了企业人员的时间和精力,而且可能导致企业业务无法正常运转,给科研、生产造成巨大的损失。
3.1.2企业安全意识角度
对现在的企业来讲,网络信息系统的搭建和运用才是其关注点,不暇于投入资金和精力去进行安全防治工作,只有在安全遭到破坏时才会去重视或解决,永远处于被动地位,不去主动采取措施进行安全防护,这就预示着无法解决其安全的本质问题,不能及时的进行监测和抗击。
在我国信息化发展中,大多企业、政府机关等都建立了相关的网站,但是对于网站安全的管理和保障却往往没有引起足够的重视,以致很多网站都不是绝对安全的,或多或少有着系统漏洞甚至安全隐患。
网络信息具有传播迅速、途径隐蔽等特点,正是由于其所具有的这些特点,使得对其的监管也呈现了监管困难的特点,随着信息技术的发展,信息安全的管理手段也在逐渐拓展和改善。
周国平认为:
“目前我国全社会都缺乏足够的信息安全意识,甚至都不了解什么是信息安全,这对现有的网络工作造成很大困扰。
”[11]
3.2网络恶意攻击和非法入侵企业信息资源
互联网时代,信息战已经成为企业竞争的关键环节,泄露的信息情报不仅会威胁企业的生产发展,甚至会威胁到国家的信息安全。
黑客就是专业进行网络入侵的人员,他们根据网络系统的漏洞进行犯罪性入侵进行破坏并修补。
一般黑客入侵网络系统的步骤为:
对信息进行收集、检测研究系统中的安全漏洞、攻击入侵并进行病毒传染。
要找到解决非法入侵的对策,首先要了解黑客的攻击手段,他们主要是通过以下几个方法:
(1)利用UNIX操作系统的方式,检测网络的安全漏洞然后实施攻击。
然后利用其操作系统的指令获得数据信息,使自己的攻击能力得到提高[12];
(2)采用短时间发送大量邮件的方式使用户无法正常使用网络,影响其正常工作,甚至导致系统的崩溃。
另外用户需要发送电子邮件和外界进行信息传输,这就给黑客们有机可乘,通过破坏电子邮件,制造病毒诸如特洛伊木马或者逻辑炸弹,来攻击用户的网络信息系统。
(3)采用探测器软件开通用户的权限,读取盗窃甚至篡改他人隐私文件,肆意修改毁坏他人系统,致使严重的后果。
同时进行网络监视,因为很多主机都是在同一网络中,这样可以因为入侵一台主机导致其他主机也受到攻击;(4)采用各种方式获取他人用户指令或密码,通过监测器的记录观察用户登录方式,摸索用户名或者生日手机号等,最后甚至采用各种软件获取口令,进行系统入侵;(5)收集用户回收站里的已经删除的信息或者文件,探索一些临时文件夹的内容,从中找寻有价值的有关用户的信息,然后利用这些信息破解用户的各类口令和密码,获得进入权限,在访问到系统内部之后,定位所破坏的系统属于哪类等级,进而在清理掉入侵痕迹之后,弥补上新的漏洞甚至建立后门,以便以后更方便的入侵。
(6)袭击Web页面。
目前用户经常浏览网页来获取各种信息,这就导致网页攻击成为了不法分子的有力手段,他们在比较著名普遍性强的网页上进行破坏,传播大量自己的信息、文字甚至图片等,这样就造成很多有害信息大量传播,影响范围广,波及面大。
后果不堪设想。
3.3网络病毒感染对企业网络化信息安全的破坏
目前对企业信息安全破坏最广泛的的就是电脑病毒,因为网络的开放性,使得企业很容易被网络病毒感染,一旦感染了病毒,就会形成爆炸性增长的局面造成系统崩溃。
病毒的主要特点如下:
(1)计算机病毒不是单一存在,它存在于各种网络之间,会采取如电子邮件、远程管理或局域网甚至一些通信工具等手段入侵计算机,具有很强烈的扩散性和欺骗性,而且不可以隐藏只讲求目的性;
(2)病毒之所以破坏性如此大是因为它还有其他程序如“黑客”、木马病毒甚至“黑客”程序的特点,这导致了病毒更加具有传染性;(3)病毒的传播途径很多,而计算机的系统安全漏洞为其传播提供了有效路径。
4企业网络化信息安全策略
4.1重视网络化信息安全管理工作
企业在实现信息整合并发挥信息数据价值最大化的基础条件,就是首先需要保证预处理的信息的真实性、完整性以及可操作性。
加强网络信息安全就是实现这一保证的重要前提。
有以下几方面企业需要加强安全意识的管理:
(1)保持日志。
企业网络最重要之一就是日志文件,因为他可以记录一些企业网络中数据库的文件及其更新的文件。
日志文件包括事物标识、操作对象、操作类型、更新后的旧值及更新前的新值。
这对于网络是非常重要的,另外日志文件在整个系统崩溃时还可以帮你分析原因,原因记录当然也会记录在日志文件中,这有利于以后数据恢复、事物故障恢复等一系列的故障分析。
还有利于网络安全,这是企业网络非常重视的环节。
(2)数据存储保护。
网络有的时候会不稳定,当企业中心建立客户服务器时,会有一些不对头的终端默认假设。
如果这些东西能在数据中心中有记录,那么一般就不会丢失数据。
企业建立局域网的目的就是保障数据安全,另外提高一下生产力,这样就能更好地访问数据。
这样的话不但有利于一些客户访问,还能提高网络的安全性。
对此,在网络中一些企业应活采用比较先进的存储机制,并且建立流畅的数据库,才可以对于一些比较重要文件进行安全的备份,并清除磁盘上的病毒等顽固非法软件,还可以恢复丢失的数据等。
企业应该实行数据机密级、绝密级、秘密级等多级管理系统,再分发给不同的客户去体验。
将数据加密后再存储,这样的话,就算丢失了,里面的文件也不会被外人所看到,很安全。
(3)维护网络软、硬件资源。
我们应该定期检测设备故障及其线路问题,确保一次额比较重要的东西的安全,比如:
电缆、终端及其路由器等其他系统硬件。
好好计划网络的实地安装,让潜在的危害尽可能的达到最小程度。
同时应该限制一些客户的访问次数,及时消除病毒等一些黑客的侵入,建立安全网络的机制,禁止非法入侵,利用现有的东西对网络进行保护和诊断。
(4)网络数据通信的加密。
也就是通过对网络数据的加密来保护一些用户的安全,同时还需要用户确认,这样的话可以在不影响网络开放性的前提下,去保护网络安全。
所以,数据加密已经被很多企业重视,同时也引起了网络客户的广泛重视。
(5)网络安全的人事控制政策。
首先加强新进员工信息调查,考核人员自身道德素质及信息规范意识;其次加强对网络使用者的培训,在引进先进安全管理技术的同时同步更新管理专员的专业性知识和安全操作技能,构建专属企业的网络安全管理的政策;再者应限制不同权限用户的访问次数,降低多种病毒对系统安全的非法入侵,完善网络的安全机制;另外应用数据加密技术保障网络安全,具体实施有赖于用户详细的访问权限机制。
不容忽视的是当员工离职时,应及时撤销该员工的网络账户,防止用户访问权限泄漏间接破坏信息管理系统。
4.2设置企业网络化信息安全预警机制
技术只是网络安全管理的保障,管理才是网络安全的核心操作。
只有完整网络安全的规章政策、安全技术手段及其行为准则相结合,我们的网络环境才能安全。
加强网络的安全防范,并提高提高企业人员的素质,再制定科学的网络安全政策,并加强我国网络安全的法律建设和法文的完善。
无论是谁都应该重视网络的安全,把网络安全放在首位,并且要围绕着这一观点在网络上行驶权益。
这就需要将强网络教育的宣,加强对网络使用者的培训,提高他们的专业性知识和安全操作,再者,加强对网络使用者的培训,提高他们的专业性知识和安全操作,并且严格控制网络安全管理的政策。
提高他们的网络安全防护能力。
加强网络的安全管理,保护网络系统安全,加强管理力度。
企业应采取不同的方式来管理网络的安全,也可以多种方法相结合的方案来管理,如若加强网络的安全管理,可以根据不同部门的不特点,来制造一些合适的网络管理方案,并且要具体到每个环节的管理,增加责任追究力度,努力做到谁使用,谁负责的理念,才能有效的保证网络环境的安全化和办公中信息的安全。
4.3加强企业网络化入侵防范管理
加强企业网络化入侵防范管理主要通过两种途径,一是企业自身主动采取措施,通过数据备份和设定访问权限,二是企业借助第三方实现防范管理,通过安装防病毒软件和假设防火墙。
具体方法如下:
(1)安装防病毒软件。
用“纵深”的方案,也就是只要网络环境只要有可能感染和传播病毒,我们就立即大开杀戒,每个地方都应该检查并安装相应的防病毒软件。
在网络这个大的环境下,病毒传播的速度可以说是很快,所以我们应该使用一些比较适合的软件进行杀毒。
同时限制一些客户的访问次数,及时消除病毒等一些黑客的侵入,建立安全网络的机制,禁止非法入侵,利用现有的东西对网络进行保护和诊断只要联网,就要安装有网关的防病毒安全软件,加强计算机的网络的安全。
可以对于一些比较重要文件进行安全的备份,并清除磁盘上的病毒等顽固非法软件,检测网络的安全漏洞,尤其注意在电子邮件上的病毒,要谨慎下载来源陌生的文件。
进行网络监视,因为很多主机都是在同一网络中,这样可以因为入侵一台主机导致其他主机也受到攻击。
因此使用些最好的全方位的防病毒软件,通过全方位的定位、监督来加强整个网络的安全,通过定期的防毒软件升级,使自己的网络免受病毒的入侵。
(2)架设防火墙。
防火墙现在来说对每个用户都是一种比较安全的机制,可以防止Internet上的不安全因素扩散,也是网络安全极为重要的一个环节。
所以内部网络和外部网络都要设置防火墙,因为防火墙本身就是非常强的防毒机制。
(3)数据备份。
计算机里面的东西基本很重要,特别是一些重要的档案、数据及其历史纪录,对企业来说是非常重要的,若是丢失,将会带来很大的损失,轻则会将自己的心血完全流失,严重的话可能会影响企业的运作,给社会带来巨大的损失。
所以建立流畅的数据库,才可以对于一些比较重要文件进行安全的备份,特别是一些重要的文件,实行数据机密级、绝密级、秘密级等多级管理系统,并清除磁盘上的病毒等顽固非法软件。
现在随着技术的不断发达,不少的企业开始使用网络上的备份,但还是要注意,毕竟现在很多网络侵入者诸如网络黑客之类会采用高超的手段入侵企业内部系统,导致信息泄露或崩溃。
(4)设定访问权限。
访问控制次数是网络安全的策略之一,它的主要作用就是防止一些非法人员或者软件非法使用和访问。
也就说应该限制一些客户的访问次数,这样的话可以消除病毒等一些黑客的侵入,访问控制的技术也比较复杂,其中有网络权限控制、入网访问控制、目录级控制等很多种的方法。
4.4建立企业网络化信息安全管理组织体系
笔者通过研究选取了春增军提出企业4-4-5-2-3信息安全保障体系模型为基础,即4个目标、4种方法、5项工作、2项措施、3道防线,在企业中建立全面的信息安全保障体系,以指导企业的信息实践活动,如图1所示[13]。
图1企业信息安全保障体系示意总图
根据这一模型存在的不足,笔者结合现在企业信息安全发展需求,以及信息安全管理建设中最重要的两个方面:
机构和人员管理,提出了企业信息安全管理组织体系,如下图2所示。
图2信息安全管理组织体系
此体系结合了企业信息安全管理机构建设中最重要的三个层面,通过企业和人员的双重保障形成完善的信息安全建设体系建设,有以下三个优点:
一是有利于统一领导。
信息安全的管理和建设需要一些权威机构的监督和引领,企业的信息安全问题涵盖很多个部门并不是单一存在的,为了更好的管理必须以一个主要部门为中心,这样可以很方便有力的部署相关工作,并且能有效的协调每个部门之间的关系,统一进行管理,防止资源和人财物的浪费,并有效防止功能交叉,使企业的信息安全问题能以最大成效发挥功能。
二是有利于发挥各方面的合作力。
其中信息安全管理的组织体系包括三个方面:
(1)行政工作组织体
升级会员 