时间:2023-10-12 09:38:56
序论:在您撰写金融企业信息安全时,参考他人的优秀作品可以开阔视野,小编为您整理的7篇范文,希望这些建议能够激发您的创作热情,引导您走向新的创作高度。
关键词:金融行业 计算机 信息安全 保障体系
随着社会的不断进步和发展,信息系统改变人们的生活方式,推动了整个社会的发展,金融行业也不例外。信息化虽然给人们带来了极大的便利,然而计算机信息技术的发展也存在潜在的信息安全问题。在这一背景下,计算机网络的开放性与金融信息的私密性又具有直接的矛盾,金融行业信息安全形势也不容乐观,加强金融行业计算机信息保护,构建更加安全可靠的金融信息安全保障体系显得尤为重要。
一、金融行业计算机信息存在的风险
(一)计算机数据被攻击窃取
计算机病毒和木马依然是目前金融行业信息风险的主要因素。计算机病毒和木马在计算机程序中潜伏,被激活后会对其他程序进行感染和破坏,轻者造成数据毁坏、丢失,严重者甚至可能使整个信息系统瘫痪,是破坏计算机数据的一个主要因素,也是计算机面临的一个主要安全问题。一旦金融计算机数据传输系统被破坏,就可能会导致数据被窃或者客户资料泄露,甚至导致客户资金或证券交易价值损失。
(二)系统设计维护的缺陷
金融行业的各项信息系统设计不可能做到完美无缺,任何一个系统都具有固有的缺陷,这就为不法分子留下攻击的漏洞,并且无效的安全管理也是造成安全隐患的重要因素,将直接影响客户和银行的资金安全。通常情况下,金融计算机系统都有管理人员对其进行监视,若发现漏洞则应对其危险程度进行分析,并应积极采取相应措施进行补救。然而即使是维护过的系统,在软件更新或者升级后又可能会产生新的漏洞,依然会危及金融系统的安全。
二、金融行业计算机信息安全保障体系的构建
为了确保金融行业计算机信息安全体系的有效运行,就必须要构建一个安全、有效的信息安全体系对其进行保护,从而在计算机技术内部形成有效的防火墙,并加强系统的维护和管理,以预防和阻止由于非法入侵、攻击、盗用等造成的信息遗失安全问题。
(一)推进金融科技标准化体系
近几年,标准化体系建设已经成为人民银行科技主管部门的一项重要工作,为金融行业信息技术发展的做出了行业规范。在实际发展中,金融行业在计算机信息管理,专业研发、维护和管理部门和人才等方面做了大量的工作。金融机构既建立计算机信息系统规划、开发、建设、维护等相关技术部门,也设立风险管理部门和安全管理部门。为了更好地推进金融科技标准化工作,各金融行业风险管理部门要加强对安全风险进行监视,从组织监督检查的角度,由金融系统内部审计部门,对其业务流程及系统运作情况进行安全监督检查,及时将监视结果提供给其他相关部门;安全管理部门要加强对管理制度、法规、安全细则等进行规定,并通过监督、指导、管理等使制度得到落实,从信息安全管理层面使金融信息安全体系的防范级别得到切实提高。
(二)加强计算机信息数据的保护
金融行业服务业已进入大数据时代,要求数据存储系统具有较高的可靠性,只有完善的数据存储才能更好的保障其访问和交易过程的顺利进行。若系统出现故障,可能会出现业务中断、客户流失,甚至资金链断裂等等诸多问题,会很多大程度影响客户体验和企业信誉度。金融行业不仅要开发适合本机构的金融产品和完整有效的信息系统,更应该加强备用数据中心的建设,强化减灾容灾能力。这样,在数据中心无法继续正常运行时,可以通过使用备用数据中心通道来维持系统的正常工作,从而更好的防范数据问题引起的服务事故,为网络信息安全保障体系建立强大的服务后盾。
(三)积极跟进新型信息安全技术
计算机信息安全技术是维持信息安全体系的关键,合理运用安全机制,积极探索和采用新型信息安全技术,可以保障系统的顺利运行和广大人民的资金财产安全。一是要加强网络访问者身份认证。金融行业要采用静态密码认证、动态密码认证、指纹识别、数字证书以及其它新型认证方式,做好客户身份认证工作,同时也要避免客户相关隐私信息被盗用。二是加强网络病毒木马的实时监测。坚持金融行业计算机网络安全以防护为主的原则,做好病毒防护系统升级工作,主动强化对病毒木马进行实时监测,分析病毒木马最新动态,制定合理的防护机制和预警机制,从而更好的 对其进行防范;三是加强计算机信息系统软硬件管理、维护和升级工作。计算机信息系统的正常运行是以软硬件设备为基础的,其安全性设计和优化配置对于保障系统信息安全都尤为重要。在实际工作中既要积极解决信息系统安全设计、生产、测试、运营、维护等方面的问题,提高系统设备安全性,从而更好的保障计算机网络安全策略的顺利执行,也要做好系统的更新和升级工作,要把用户体验好,安全防护好各类新型金融信息产品投入运行。
三、结束语
在信息化愈加普及的今天,金融机构更应重视计算机信息安全系统的构建,不仅要加强对信息资源的保护,同时还要建立完善、可靠的金融信息安全体系,以安全技术以及防护手段作为安全体系构建的支撑,确保信息体系的安全运行和实施,保障监视、评审信息安全,从而切实保障客户的个人信息安全,最终才能不断推动推动金融业的快速发展。
参考文献:
[1]韦雪江.我国金融行业计算机信息安全形势分析和研究[J].计算机光盘软件与应用,2013
【 关键词 】 信息安全;安全治理;框架;风险管理
1 引言
随着企业的信息化建设,企业信息系统在纵、横向的耦合程度日益加深,系统间的联系也日益紧密,因此企业的信息安全影响着企业信息系统的安全、持续、可靠和稳定运行。此外,美国明尼苏达大学Bush-Kugel的研究报告指出企业在没有信息资料可用的情况下,金融业至多只能运作2天,商业则为3天,工业则为5天。而从经济情况来看,25%的企业由于数据损毁可能随即破产,40%会在两年内破产,而仅有7%不到的企业在5年后继续存活。伴随着监管机构对信息安全日趋严格的要求,企业对信息安全的关注逐渐提高,并对信息安全投入的资源不断增加,从而使得信息安全越来越为公司高级管理层所关注。
2 信息安全问题
目前企业信息安全问题主要包括几个方面。
(1)信息质量底下:无用信息、有害信息或劣质信息渗透到企业信息资源中, 对信息资源的收集、开发和利用造成干扰。
(2)信息泄漏:网络信息泄漏和操作泄漏是目前企业普遍存在的信息安全困扰。网络信息泄漏是信息在获取、存储、使用或传播的时候被其他人非法取得的过程。而操作泄漏则是由于不正当操作或者未经授权的访问、蓄意攻击等行为,从而使企业信息泄漏。
(3)信息破坏:指内部员工或者外部人员制造和传播恶意程序, 破坏计算机内所存储的信息和程序, 甚至破坏计算机硬件。
(4)信息侵权:指对信息产权的侵犯。现代信息技术的发展和应用, 导致了信息载体的变化、信息内容的扩展、信息传递方式的增加, 一方面实现了信息的全球共享, 但同时也带来了知识产权难以解决的纠纷。
3 信息安全治理的困惑
基于信息安全的重要性,企业在信息安全治理方面投入了诸多资源,但是在信息安全治理成效方面仍不尽如人意,主要问题在于几个方面。
(1)信息安全治理的范围不明确:目前企业都在尽力实现良好的信息安全治理,但是由于无法正确理解信息安全治理和信息安全管理的区别,导致了信息安全治理无法与企业的安全规划和企业战略形成一致性。表1从工作内容、执行主体和技术深度三个层面分析了两者的区别。
从表1中可以明确:信息安全治理是为组织机构的信息安全定义一个战略性的框架,指明了具体安全管理工作的目标和权责范围,使信息系统安全专业人员能够准确地按照企业高层管理人员的要求开展工作。
(2)企业信息安全治理路径的错误理解:企业在信息安全治理的过程中,最常用的手法是采用信息安全的技术措施,如使用加密和防伪技术、认证技术、防病毒技术、防火墙技术等方式来进行,但是往往企业投入很多,却没有达到预想的效果,问题在于,信息安全治理并不单单是技术问题,信息安全治理也包含了安全战略、风险管理、绩效评估、层级报告以及职责明确等方面。
4 信息安全治理关注的领域
(1)战略一致性:信息安全治理需与企业的发展战略和业务战略相一致,建立相互协作的解决方案。
(2)价值交付:衡量信息安全治理价值交付的基准是信息安全战略能否按时、按质并在预算内实现预期的价值目标。因此需要设计明确的价值目标,对信息安全治理的交付价值进行评估。
(3)资源管理:实现对支持信息运行的关键资源进行最优化投资和最佳管理。
(4)风险管理:企业管理层应具备足够的风险意识,明确企业风险容忍度,制定风险管理策略,将风险管理融入到企业的日常运营中。
(5)绩效度量:利用科学的管理方法,将信息安全治理转换为可评价的目标的行动,便于对信息安全各项工作的绩效进行有效管理。
5 信息安全治理框架
通过良好的信息安全治理, 可以保护企业的信息资产,避免遭受各种威胁,降低对企业之伤害,确保企业的永续经营,以及提升企业投资回报率及竞争优势。
通过长期的实践经验以及结合COBIT标准和GB/T 22080-2008,总结出信息安全治理的框架主要由四部分组成,如图1所示。
(1)信息安全战略:结合企业的整体信息技术战略规划和信息安全治理现状,制定信息安全战略。
(2)信息安全组织架构:根据企业层面在决策、管理和执行机制对组织结构的要求,建立信息安全治理框架和决策沟通机制,明确公司各级管理层及相关部门在信息安全组织架构中的工作职责与角色定位。
(3)信息安全职责:根据公司信息安全组织架构,进一步明确信息安全相关岗位的工作职责、分工界面和汇报路径等。
(4)信息安全管理制度:信息安全管理制度通过建立一个层次化的制度体系,针对不同的需求方(管理者、执行者、检查者等)从政策、制度、流程、规范和记录等方面进行信息安全活动相关的规定,实现信息安全的功能和管理目标。
6 信息安全治理评估
企业信息安全治理评估有助于提高信息安全治理投资的效益和效果。企业的最高管理层和管理执行层可以使用信息安全治理成熟度模型建立企业的安全治理级别。该模型,如表2所示,被应用为几个方面。
(1)在市场环境中,相对于国际信息安全治理标准、行业最佳实践,以及直接竞争对手,了解企业在信息安全治理上的级别。
(2)进行差距分析,为改进措施提供明确的路径。
(3)了解企业的竞争优势和劣势。
(4)有利于对信息安全治理进行绩效评估。
7 结束语
本文从企业信息安全治理的实践出发,概述了目前企业信息安全治理存在的问题和困惑,总结了企业实现有效的信息治理的关注领域和实施内容,为企业建立良好的信息安全治理提供了基本框架。
参考文献
[1] 马峰辉,刘寿强.企业信息安全治理的经济性探析.计算机安全,2003:70-71.
[2] 娄策群,范昊,王菲.现代信息技术环境中的信息安全问题及其对策.中国图书馆学报,2000(11):33-37.
[3] 刘金锁,李筱炜,杨维永.企业实现有效的信息安全治理之路.中国管理信息化,2012(11):37-39.
[4] 黄华军,钱亮,王耀钧.基于异常特征的钓鱼网站URL检测技术[J].信息网络安全,2012,(01):23-25.
[5] 黄世中.GF(2m)域SM2算法的实现与优化[J].信息网络安全,2012,(01):36-39.
[摘要] 随着经济全球化进程的加快,企业信息安全将成为企业面临到的一个主要问题,加强信息安全管理也已成为时代的召唤。本文介绍了企业信息安全,以及石油石化企业信息化建设,分析了信息安全对石油石化企业的意义以及应对策略。
[关键词] 信息安全;信息化建设;安全策略
在经济全球化的今天,企业相关人员对信息安全越来越关注。虽然企业采取了很多与员工签订保密协议,建立防火墙,以及安全管理中心等措施,但还是发生了像天涯社区、新浪等泄露用户密码、个人信息的安全事件。企业提高计算机与信息管理的水平可以防范由信息安全所造成的各项损失,完善企业信息安全管理体系是很多企业都会面临到的一个主要问题,而作为我国国民经济支柱产业的石油石化企业更应该加强信息安全的管理。
一、企业信息安全定义
近年来,经济全球化呈现加速发展的趋势,越来越多的发展中国家融入到经济全球化的大潮之中。世界政治、经济形势的深刻变化使国家安全的内涵出现了新的变化,国家经济利益和国家经济竞争力随即上升至国家安全的优先位置,国家经济安全开始成为国家安全的核心。跨国并购是经济全球化时代的重要特,尤其是近几年来,经济全球化的日益发展使资本的全球扩张进一步加强,企业兼并活动达到有史以来的最高峰。在各跨国企业扩大占有其他国家市场、资源和技术时,往往使被收购企业所在国受到很大冲击,甚至威胁到他国的经济安全。
企业信息安全是一个复杂的、多维的动态体系,受到诸多外界因素的影响,因而需要从系统的高度进行综合性的概括。企业信息安全有两种解释:一种是从具体的信息安全技术系统的角度着手,来管理企业信息,提高安全性;另一种是建立某些被指定的安全信息体系,例如:银行指挥系统等,从而加强企业信息的安全。企业信息安全的基础内容主要有:实体和运行,以及信息资产与人员安全。实体安全也是指硬件安全,既保护计算机网络硬件和存储媒体的安全,又防止计算机硬件、设备等因湿度过大、温度过高、摩擦等因素而出现的物理损坏。同时,维护硬件运行环境的稳定也是实体安全的范畴。运行安全是保障信息处理过程的安全运行,避免出现程序性故障、死机等现象,保障系统功能的安全。信息资产安全则是确保信息的控制权在企业本身手里,不被恶意篡改或破坏,不被非法操作、误操作、复制,功能稳定等。人员安全主要是指信息系统使用人员能够有明确保护信息安全的意识,遵纪守法,拥有保障企业相关信息安全的技能和能力。
二、石油石化企业的信息化建设
在国际金融危机的冲击下,我国石油石化企业受到种种压力,但同时也遇到不少发展的机遇。金融危机背景下,提升企业竞争能力和抗风险能力更显得重要,石化企业需坚持并加强信息化应用,不断地深化和优化应用。
石油石化企业是我国最早开展信息化建设的行业之一。经过多年的建设,加之逐年增加投入,石化行业整体信息化应用水平在不断提高,并取得了较高的成绩。据中国石油和化学工业协会调研显示,勘探与生产技术数据管理系统、管道生产管理系统、ERP系统等目前在大部分石油石化企业中得到应用并发挥了重要作用,集成与深化应用已经成为石油石化企业信息化建设的主流。在当前国际金融危机冲击之下,信息化在优化资源配置、强化过程管控、支持管理创新、提高经营管理水平和劳动生产率等方面的支撑作用越来越显著。
三、石油石化企业信息安全的意义
石油石化企业在国民经济中扮演者重要的角色,是其重要的支柱产业,担负着保障国家油气供应安全的重要责任。国家形象、安全及国民经济也可能要受石油石化企业安全的影响。近几十年石油石化企业的发展主要得益于信息技术的发展。石油石化企业运营绝大多数工序,从地震、钻井到化工作业、生产工艺,甚至是管理手段、战略决策等都是依靠信息系统来实现的。信息系统一旦瘫痪,企业的运营就要中断。
前不久,互联网一度让人望而却步,CSDN、天涯、新浪、京东商城、网易公司、支付宝等互联网公司以及多家银行深陷“泄密门”。这使得本来就对互联网不放心的广大消费者更加远离了网络购物,一些网络消费者也纷纷降低了购物频率。
四、中海油的企业信息安全策略
信息化是中海油科学管理的重要手段,也是企业的核心竞争力之一。多年来中海油一直坚持业务驱动应用,技术引领创新,着力打造数字海油,加强工业化与信息化的融合,提升中海油信息化水平。多年来建设了MPLS云网络,实现了物理统一、逻辑共享的网络链路;构建了以LotusNotes为基础的OA办公平台;打造了以SAP为核心的ERP系统平台;建设了勘探、开发、生产、钻完井等生产管理信息系统和Scada、DCS、MES生产信息管理系统。这些系统的建立为提高石油的产量,加速企业的运行效率奠定了基础,使得中海油各生产运行业务系统建设稳步推进,实现了整体项目生产数据的完整、有序化管理,便于生产经营决策。
随着国际化的进程,中海油和国外公司的合作联系越来越密切,如果不加强信息安全,轻则出现宕机、数据缺失、系统停止服务等信息服务事件,重则会影响我国的石油产业和我国的国民经济。目前在对网络安全方面主要从以下几点展开的:
(1)物理安全风险
在物理安全方面,企业建立合格的机房环境,设置合理的网络构架,购置高性能的硬件设施,同时安装高效的、实时的预警系统等。在这些系统的和人员管理的情况下,防止设备因水灾、火灾、系统故障等导致的计算机硬件方面的安全问题。
(2)网络管理体系方面的安全
加强网络管理体系,可以减少企业中责权不明、管理混乱等方面的安全隐患,提高员工的安全意识。同时,还可以及时发现一些外来的网络攻击和恶意的破坏。对内部终端进行管理,通过流量限制计算机上传下载速度也是有效的网络管理体系的一部分。
(3)网络拓扑结构的风险
拓扑结构形象的描述了企业网络的组织结构以及各个元件之间的相互关系,对企业的网络安全系统有着重要的影响力。假如外部和内部进行联系,内部网络系统受到威胁,就会通过这个网络拓扑结构一层一层的影响其他的系统,进而可能使整个网路拓扑结构瘫痪,影响企业的正常运行。
同时,面对日益高速化发展的今天,工作人员容易受到外界的蛊惑,因此企业应该加强对企业人员网络安全维护的教育,提高人员安全性。
五、技术展望
云计算的发展为未来企业网络安全提供了又一个技术平台。云计算是通过网络把成千上万的计算机硬件资源和软件资源聚合成一个具有强大计算能力的系统,并借助各种服务模式把强大的计算能力提供给终端用户,使人们能够像使用电、水那样使用信息资源。
在经济全球化的今天,企业相关人员对信息安全越来越关注。虽然企业采取了很多与员工签订保密协议,建立防火墙,以及安全管理中心等措施,但还是发生了像天涯社区、新浪等泄露用户密码、个人信息的安全事件。云技术网页威胁管理部署和操作简单,不仅有效且高效的防护,而且支持远程办公室和移动工作,“网络效应”和“众包”的作用更是提高了信息的安全性,因此特别适合分布式企业。而大型企业则需要一种集中化的管理和分布式、以云端为中心的智能、紧密集成等于一体的网络威胁管理构架,才能满足其庞大的网络拓扑架构的安全需要,改善远程工作者的安全性,提供全局可见性和控制能力,创建一个云迁移路径。
综上所述,中海油信息化的建设大幅提升了生产运行效率和精细化管理水平,达到了国际化先进水平,为中海油在国际的长远发展提供了坚实的基础。面对经济的全球化,各行各业,每一个企业都要建立健全、不断完善信息安全管理工作,提升企业信息安全管理水平。
参考文献
[1] 张帆;企业信息安全威胁分析与安全策略[J];网络安全技术与应用,2007,(05)
【 关键词 】 企业信息;信息安全;风险管理;框架探究
1 引言
人类社会在不断发展,信息化逐渐融入人们生活。信息资源对于现代企业来讲,是每时每刻都存在的运转载体,各种重要数据、企业的知识产权等这些都是企业的内部信息,除这些信息外,其他相关方面的数据也被企业所利用,例如合作伙伴、客户、员工等资料,尤其是一些服务性企业,比如网商、快递公司、金融公司、通信公司、航空公司等,这些企业更需要以信息系统作为支撑,信息资源成为企业不可或缺的重要组成部分。
2 新形势下我国信息安全面临的问题
2.1 风险意识在主观上的淡薄
在我国信息安全上面,思想认识面临高风险的形势,大部分企业的管理高层对信息资产的认识严重不足。或者局限在IT的安全方面,没有合理的安全观念引导企业在信息安全管理方面的工作。信息安全管理制度的完整性缺乏,规范安全风险和安全法律法规对员工的培训缺乏,很多信息安全事故的发生都是因为安全意识的薄弱造成的。
2.2 缺乏信息安全管理系统的思想
大部分企业仍是将传统的管理方法用在安全管理模式中,这种出现问题再去想弥补的方法是静态的管理,不能在提前进行信息安全风险评估上做更有效的信息系统管理。
2.3 信息安全不仅仅是技术部门的事
多数企业认为信息安全的责任和义务都是IT部门的,造成信息技术部门无法和企业内部其他部门互动,进而形成孤立的局面。但是,信息安全的实现需要各个部门的全员行动,特别是规范标准以及规章制度的贯彻落实,更牵涉到企业的每一名员工,全员行动的要求更是不能缺少。
2.4 存在重视安全技术而轻视安全管理的情况
现今为止,仍有很多企业仅仅依赖产品安全,认为信息安全就是信息产品安全。一般企业现在都会采用计算机和网络技术来构建企业的信息系统,但是没有把相应的管理措施开展到位。信息安全问题应该加强做好管理工作,不能单从技术方面着手。
2.5 现代管理手段与理论欠缺
日益庞大的现代化信息规模与越来越复杂的网络结构,让现有的风险管理手段和理论都不足以让企业信息安全得到完全的满足,企业应该结合实际情况和需要,把国际上优异的信息安全风险管理理论以及先进的最佳实践用作指导,以此达到信息安全的目的。
3 企业信息安全风险管理的框架探究
企业信息安全风险管理的框架包括两个部分,一是企业信息安全风险管理的过程,二是企业信息安全风险管理的实施。其中,实施是过程的保障,整合各种资源要通过实施才能达到;过程是实施的前提,对过程的清楚有利于建立企业信息安全风险管理的统一理解,以此逐渐实现信息安全风险管理。企业信息安全风险管理包括风险分析、风险计划、风险识别、风险监督、计划实施、风险改进六个动态过程。
信息安全风险管理是动态、持续性过程,信息安全通过潜在的风险识别、分析,同时进行计划、实施、监督、改善,然后再进入到下一个循环里,通过持续不断的循环活动进行有计划、持续的控制,不断改进。
参照戴明的PDCA质量管理模式,把安全项目实施划分为四个阶段,分别是准备和策划、执行和部署、监控和检查、评价和改进,实施阶段有几个工作步骤:(1)准备和策划工作阶段,首先调研信息安全风险管理现状,接着进行风险评估,然后编制信息安全风险管理方案;(2)执行和部署工作阶段,进行部署安排,按计划执行,接着进行安全培训;(3)监控和检查工作阶段,做好企业安全现状检查,预测未来的变化;(4)评价和改进工作阶段,制定改善措施,响应紧急事件。
4 企业信息安全风险管理的实施
在风险管理中人、过程、基础结构和实施是四大影响风险管理能力的关键因素,企业的信息安全风险管理能力同时也受着这四个因素制约,所以企业信息安全管理中十分重要的就是人通过各类资源和企业基础结构达到信息安全风险管理过程的实施活动。
企业在开始尝试安全风险管理实施之前,很重要的一点是应该检验现有安全风险管理的完善度。假如企业在安全风险管理上没有规范的流程和正式的策略,就会出现框架的实施非常艰难。换句话说让企业有一些正式的策略和明确的指导,将避免大多数员工都在工作中不知所措。假如在安全风险管理上发现企业相对不够成熟,则可以采取试点的形式,把安全风险管理实施到单个业务单元中,直到通过试运行在框架中显示有效以后,再考虑将其他业务单元导入至整个企业框架中。
框架实践需要以最优实践的经验为基准,必须有利于企业确定安全现状,同时按照需要的安全方向进行改进,企业的安全风险管理能力通过不断的提高,就能逐渐努力向着安全的目标前进。
5 结束语
进入信息化时代,企业已经把信息系统的高效、互联、精确的特征当作赖以生存和发展的必要条件。因此所伴随产生的信息安全风险就成了企业关注的重点问题。在此情况之下,企业建立信息安全风险管理机制,利用科学的方法和手段控制各种风险的发生显得尤为重要。动态循环是企业信息安全风险管理的一个过程,在风险评估的前提下,要落实对风险控制措施。同时对过程的实施要进行有效的控制和监督,这就需要一个明确清晰并且具有可操作性的信息安全风险框架来指导。还有需要探究的工作在信息安全风险管理领域里,但愿本文能引来更多这一领域探究,从而做出保障企业信息安全的贡献。
参考文献
[1] 陈慧勤.企业信息安全风险管理的框架研究[J].2011,21(40):42-46.
[2] 惠志斌.企业IT风险管理的体系构建与实现路径[J].科技管理研究,2014,34(2):36-55.
[3] 叶铭.企业动态信息安全风险控制系统的研究[J].2012,08(11):81-85.
[关键词] 网络环境; 现代企业; 信息安全; 问题; 对策
[中图分类号] F208 [文献标识码] A [文章编号] 1673 - 0194(2013)04- 0084- 02
现代企业的信息安全是指在管理上和技术上对数据处理系统进行安全的保护,使计算机的软件、硬件、保密数据等不会遭到破坏、更改、泄露。通过对企业信息安全的管理,能够保护企业信息的机密性和完整性,保护企业的生产运营安全,是企业发展的必不可少的环节。
1 网络环境下现代企业信息安全存在的问题
1.1 人为因素造成的安全问题
现代企业之间的竞争十分激烈,企业管理者把精神都集中在企业的生产和经营上,对计算机的管理不够重视,加上网络属于新生事物的一种,人们会利用网络进行娱乐活动,却忽视了网络的安全性,缺乏网络安全意识,企业员工在工作时间利用网络进行娱乐活动的行为十分普遍,由于自身的安全意识匮乏,不但浪费了企业的网络资源,也加大了病毒侵害的可能性,威胁了企业的信息安全。企业信息安全的管理需要管理部门重视起来,现实中,企业对信息安全的管理投入很少,安全防范做得不好,管理者对信息安全管理的认识不足,下面的员工安全意识也淡薄,规章制度不完善,信息安全管理无据可依,管理者也没有对信息安全进行有效的监督,没有在第一时间发现网络存在的问题,甚至在网络不能正常运行了才去解决问题,给公司发展带来不利影响。
1.2 网络技术自身存在的安全问题
随着网络技术的发展,各种软件也不断更新换代,现在Windows 7正在大规模地进军国内市场,微软不断推出新的产品,各种操作系统的漏洞也一直存在,为病毒的滋生提供了机会,很多网络软件存在后门,这些后门原本是编程人员为了软件的扩展和维护设置的,如果被不法分子发现,对公司的信息安全有很大的威胁。计算机犯罪中最典型的就是黑客的攻击,黑客攻击也分为主动攻击和被动攻击两种,主动攻击直接为企业的信息完整性、机密性造成破坏,被动攻击虽然能够保证公司电脑的正常运行,但企业的重要信息可能会被截获、窃取,都严重影响了企业信息安全。
1.3 设备环境造成的安全问题
从网络环境来说,外部环境对企业信息安全也构成威胁,企业的计算机房的位置不能是随便设置的,需要有一定的安全技术要求。网络的线缆等通信设施容易被人为破坏,或者受到自然环境如地震、雷雨、电磁场等环境的影响发生破坏,并且自然环境的影响是不可预测的,一旦出现问题,会给企业的信息造成直接的破坏,影响信息的完整性。计算机的硬盘、内存的运行状况也应该得到管理人员的注意,计算机设备的防盗等都是问题,企业员工在工作过程中往往会拷数据回家,或者加班后在用U盘等移动设备把资料拷贝到公司电脑中,增加了企业计算机中毒的危险。
2 解决企业信息安全问题的对策研究
2.1 重视信息安全管理,加强制度建设
首先,企业管理者应该认识到企业信息安全的重要性,认识到网络保护的重要性,提高信息安全意识,这样才能加强制度建设,做好信息安全管理与监督工作。计算机房是重要场所,它的设置也需要一定的隐蔽性,一般不要设置在公司一楼。企业应该建立和完善信息安全管理制度,帮助员工树立信息安全意识,明确信息安全保护的对象和目标,保证各项管理制度的落实执行,制订明确科学的操作流程,规范员工的日常操作行为,制订应急预案和网络维护制度,计算机管理人员应该每天对计算机系统进行检查或者更新,及时发现网络运行中出现的问题,防止病毒的产生,在发生问题后把损失降到最低。
2.2 加强企业信息安全的网络技术控制
依靠网络技术来保护现代企业信息安全是十分有效的方式,网络技术手段主要有防火墙、信息加密与认证、病毒防控、数据备份等方式。防火墙是网络技术中保护信息安全最重要的技术之一,它通过设置屏障阻止黑客的访问,能够有效防止病毒的侵入,企业应该按照质量可靠的防火墙,并时刻关注防火墙的问题与升级情况。直接对企业信息进行加密也是有效的方法之一,企业可以设置专门的访问密码,仅供本公司员工使用,或者每个员工都有自己的上网编号,输入之后才能访问公司网络,公司也可以根据浏览记录查看哪些员工上网,能够有效防止企业人员泄密行为,对重要文件采取多种加密措施。企业应该注意对防病毒软件的更新换代,提高防毒、杀毒的效率,保证系统的安全。电脑一旦中毒,一些文件就可能丢失或者被更改,企业需要对重要文件进行备份,这样在发生中毒之后能够将损失降到最低。
2.3 加强法制建设,运用法律武器保护企业信息安全
现代企业的信息安全应该受到法律的保护,公司的机密文件关系到公司的生死存亡,关系到社会公平竞争,关系到个人隐私,应该受到法律的保护。国家应该完善企业信息安全的法律法规,为企业保护自己的权益提供法律武器,企业也应该具有法律意识,在公司的信息恶意遭到破坏和侵害时,不是采用同样的方法对待竞争企业,而是应该拿起法律武器保护自己,用国家法律来抵制侵犯,保护自己企业的信息安全与完整。
3 结 语
网络的发展是一把双刃剑,在给社会进步和发展带来巨大益处的同时,也带来了一些负面影响,企业应该辩证对待网络时代的发展,充分利用网络环境带来了优势,通过技术手段创新、管理加强、法律法规的完善等措施来保护企业信息安全,为企业的发展创造安全的环境。
主要参考文献
[1] 薛伟莲. 保证信息与网络安全的网络伦理规范体系的构建[J]. 网络与信息,2010(11).
[2] 费宏伟. 保证电算化时代会计信息安全的几点思考[J]. 东西南北·教育观察,2010(11).
[3] 张红,金永利,邱大成. 网络环境下会计信息安全的技术控制措施[J]. 中国高新技术企业,2009(10).
建立金融信息安防体系刻不容缓
“互联网+金融”成为传统金融行业转型“触电”的新模式,新形式下的数据安全状况变得越发严重,金融行业已经沦为数据泄密的重灾区,再次给人们敲响数据安全的警钟,其中直接由于纯粹是信息安全技术缺失所导致的风险案例不胜枚举。麦肯锡公司在其的《中国银行业创新系列报告》中指出,2015年年底,中国互联网金融的市场规模达到12万-15万亿元,占GDP的近20%。互联网金融用户人数已经超过5亿,这样庞大的用户群和涉及面,如果信息安全事件愈演愈烈甚至失控,将会对国家和社会造成不可估量的损失,互联网金融信息安全已经刻不容缓。
目前,金融企业内部IT系统更为复杂化,外包合作使内部风险管理更加复杂,BYOD(携带自己的设备办公)使企业信息资产无处不在,大数据使核心资产淹没在之中难以识别,云计算打破了传统的网络边界防护。李晨指出,企业安全威胁也在逐渐升级,正在从以蠕虫病毒、拒绝服务攻击、溢出类漏洞攻击、注入等Web攻击为主的传统威胁升级到以0Day攻击、多态及变形等逃避技术、多阶段组合攻击、有组织的定向攻击为主要手段的新一代威胁,企业安全运维面临更多的新的挑战。与会专家再次呼吁,建立金融信息安全防御体系刻不容缓。
绿盟科技智慧安全2.0战略应运而生
信息安全行业专家绿盟科技积极应对,帮助银行、保险等各类企业实现变革,助力金融智能安全运营防线的构建,绿盟科技智慧安全2.0战略应运而生。
绿盟科技智慧安全2.0战略是一个企业整体运营的升级换代过程,它帮助企业安全防护真正做到智能、敏捷和可运营。该方案包含绿盟云、安全态势感知解决方案、云计算安全解决方案以及下一代威胁防御解决方案。李晨表示,态势感知使安全耳聪目明、软件定位给安全运维带来敏捷应变、纵深防御带来弹性和生存能力。它紧紧围绕用户需求,大力提升线上也就是云中的安全能力,打通技术、产品和服务、解决方案、交付运营等各个环节,构建真正的智能安全防御系统。
同时,绿盟科技可协助客户建立企业安全应急响应中心(SRC),帮助企业建立和维护自主可控的自有业务漏洞收集平台,从而避免漏洞在第三方平台上暴露。通过SRC的运维数据积累,企业建立贴合自有业务的漏洞知识库来提升安全团队技术能力,并且通过SRC可与白帽子直接建立长期的信任互赢关系,帮助企业更从容地面对安全威胁。
数据安全历来是企业信息安全工作的“最高使命”。绿盟科技适时推出了数据泄露防护系统,基于数据存在的三种形态(存储、使用、传输),对数据生命周期中的各种泄密途径进行全方位的监查和防护,保证了敏感数据泄露行为事前能被发现,事中能被拦截和监查,事后能被追溯。
关键词:中小企业;信息安全;问题;措施
信息安全主要指的是在网络中承担信息存储的硬件或者软件能够在受到外界认为破坏、修改的情况下长期稳定地运行,保证整个系统的信息服务不中断。在当前网络高度发达的今天,良好稳定的信息安全体系是保障我国企业信息安全的重要保障,企业中的信息安全包含了计算机操作系统、网络传输协议、安全防护等级以及各类认证和签名等安全保障组件,如下图所示:
图1 中小企业信息安全结构
在整个安全体系中,一旦有某一个组件发生了信息安全问题,那么整个信息安全系统乃至整个企业的信息安全都有可能受到安全威胁。
一、我国中小企业信息安全存在的问题
1.信息安全风险大
当前我国的中小企业普遍已经开始认识到信息安全的重要性,但是在思想上还没有对企业的信息安全管理形成足够重要的认识,当前我国的多数中小企业管理人员在日常的工作中仍然沿袭传统的管理方式,并没有进行变革和创新,因此在信息化普遍应用的今天,仍然是一种信息化的表面现象,在信息安全意识没有深入根植的今天,多数的中小企业信息安全工作只是停留在表面。
2.专业人才缺乏
我国的中小企业在信息安全方面的人才一般都比较缺乏,信息安全工作的不重视使得企业管理人员不愿意花过多的资金在安全保障上,毕竟安全不能够直接产生经济效益,因此在这样的情况下,企业的信息化工作很难得到发展,主要体现在没有专业化的信息安全保障团队,即使有了专门的工作人员,也不能够在技术上达到足够专业的程度,管理人员和技术人员互相都不能够沟通和兼顾,
3.安全资金不足
在信息安全方面,由于我国的中小企业管理者普遍不够重视,因此也就很难投入大量的资金,信息化工作是一项注重系统化的工作,无论是硬件系统还是软件系统的建设维护都需要大量的资金投入,因此离开了足够的资金支持信息安全工作也就无法保证。加上我国中小企业普遍竞争激烈,用于安全的资金十分有限,依靠外部融资的话又没有足够的信用进行借贷,加上借贷的风险也十分庞大,大多数的银行或金融机构都不愿意将资金用在信息安全上。
二、我国中小企业信息安全问题的解决对策
1.强化安全风险意识
我国的中小企业,首先就需要从思想上认识到安全也是重要工作这样一种思想,只有了解以后才能够根据当前的问题进行针对性解决。信息安全系统的建设并不是所有的安全工作都到位,还需要根据企业的实际情况建立合适的安全策略,并在意识上强化工作人员的安全防范思想,将安全摆在重要的位置上,也就是说企业的信息安全工作需要企业管理人员的大力支持,还需要适合企业自身的安全防范方案,只有在管理层思想上和执行层的行动上同时做到位,企业的整体信息安全工作才能够真正有效保障企业的安全。
2.建设合理安全策略
在安全策略的选择上,无论企业选择了哪一种方案,企业的用户都要了解安全解决方案只能够是企业信息安全工作的一部分,甚至只是基础性的工作,企业不能够过度依赖安全工具的使用,而疏于防范人的因素,这是由于当前的安全事件统计来看,我国的中小企业在信息安全问题上出现最多的就是人为的安全事件,因此企业的管理者必须要针对内部控制建立有效的内部安全策略,保证企业的每一个员工都能够准确执行自身的工作任务。
值得注意的是,近些年来企业的网络信息交流工具越来越多例如Skype、BT等等,怎样对这些数据传输工具进行管理对于信息安全工作来说是十分重要的,虽然这些信息安全管理会在一定程度上影响到企业的网络质量,但是这些都是目前中小企业无法摆脱的应用工具,因此针对这样的现象我国的中小企业需要进行细分化的处理方式,例如让企业用户使用带有IPS的协议分析过滤功能的交换机,在一定安全限制的条件下进行网络数据传输应用。
3.信息安全外包建设
许多中小企业在自身信息安全建设的过程中,由于经验不足或者专业知识的缺乏无法独立完成建设,因此会在建设过程中带来大量资金的浪费,还有软硬件的升级上也需要后期的大量资金投入,加上建设工作需要消耗大量的人力资源,信息中心的网络维护工作和安全管理人员,这些都是不可避免地投入。
三、总结
总的来说,当前我国中小企业的信息安全建设工作主要集中在自身安全策略以及解决方案上,目前随着时间的发展,中小企业的信息安全漏洞会越来越多,问题也会越来越加剧,但是我国的中小企业已经正在开始意识到该问题,将越来越多的资金投入在信息安全建设上,并通过外包的方式使用性价比较高的解决方案,只有用专业的信息安全建设在自身的管理运营中,中小企业才能够真正在市场竞争中处于优势地位。
参考文献:
[1]林山.中小企业信息安全问题及解决方案[D].重庆大学,2007.
[2]佚名.中小企业您的信息安全吗?[J].网络与信息,2002,(1).
[3]陈俊豪.浅析中小企业电子商务中的信息安全问题[J].中国商贸,2010,(25).