企業信息安全的概念范文

時間:2023-10-09 17:30:13

導語:如何才能寫好一篇企業信息安全的概念,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。

企業信息安全的概念

篇1

企業經營信息對于企業來說是一種資源,對于企業自身來說具有重要意義,企業需要妥善管理自身企業的信息。近年來,企業的各項經營活動都逐漸開始通過計算機,網絡開展,因此,企業的信息安全管理對于企業越來越重要。許多企業開始通過各種技術手段以及制度改革,把更多的注意力放在企業內部的信息安全管理工作,同時將企業信息安全管理與風險控制結合起來,這是一個正確的選擇,能夠幫助企業實現穩定經營。在介紹企業信息安全管理以及風險控制前必須厘清企業信息安全管理的概念與企業風險控制定義,因此,本節將著重介紹企業信息安全管理的概念以及企業風險控制的定義。企業的信息安全管理包含十分豐富的內容,簡單來說是指企業通過各種手段來保護企業硬件和軟件,保護網絡存儲中的各種數據不受偶然因素的破壞或者惡意的原因被攻擊。對于信息安全的認定通過包括4個指標,即保證信息數據的完整,保證信息數據不被泄露,保證信息數據能夠正常使用,保證信息數據能夠控制管理。要想做好企業的信息安全管理,首先需要了解的是關于信息的傳輸方式。隨著信息技術的不斷普及,信息傳遞的方式越來越多,常見的信息傳遞方式主要有互聯網傳播,局域網傳播,硬件傳播等等。要想實現企業的信息安全管理,其中很重要的一項工作在于保護信源、信號以及信息。

信息安全管理是一項需要綜合學科知識基礎的工作,從事企業信息安全管理工作的人員通過需要具有網絡安全技術、計算機技術、密碼技術、通信技術。從企業的信息安全管理來講,最為關鍵的一項工作時保護企業內部經營信息數據的完整。經過近十年來的企業信息安全管理工作經驗總結,企業信息安全不僅僅需要信息技術的支持,更需要通過建立完善的企業風險控制體系來幫助企業實現更好地保護企業信息安全的目標。所以,怎樣把企業信息安全管理與風險控制融合起來就是擺在企業經營管理者面前的一道難題。企業的信息安全風險控制必須通過企業建立完善的企業信息安全風險體系實現。

企業的信息安全風險控制是指企業在企業信息安全遭遇威脅之前,提前對企業的信息進行風險預估,并采取一系列的有針對性的活動降低企業面臨的信息安全風險,從而盡可能減少因為企業本身信息安全管理中存在漏洞給企業帶來不必要的損失。常見的企業信息安全風險體系建立主要包含以下幾個方面的內容。第一,建立企業信息安全風險管理制度,明確企業信息安全管理的責任分配機制,明確企業各個部門對各自信息安全所應承擔的責任,并建立相應的問責機制。第二,設置規范的企業信息安全風險管理指標,對企業存在的可能威脅企業信息安全管理的漏洞予以風險定級,方便企業管理者對不同的信息安全管理漏洞采取有區別的對策。第三,企業要加強對信息安全管理人員的培訓,提高企業信息安全管理工作人員的風險意識,讓企業內部從事信息安全管理工作人員認識到自身工作的重要性,讓企業內部從事信息安全管理工作人員了解到規范自身行為,正確履行職責的重要性。第四,將企業信息安全管理與風險控制有效融合,重視企業信息安全管理工作,通過風險控制對企業內部信息安全的管理方式進行正確評估,找出現行的企業內部信息安全管理手段中存在容易忽視的地方。

二、企業信息安全管理與風險控制存在的不足

1.企業信息安全管理工作人員素質不高

對于企業來說,企業信息安全管理工作是一項極為重要而隱秘的工作,因此,必須增強對企業信息安全管理工作人員的素質要求。但是根據調查統計,目前很多企業對信息安全工作的管理僅僅停留在對企業信息安全管理工作人員的技術要求上,對企業信息安全管理工作人員的道德素養,職業素養,風險意識并沒有嚴格要求。此外,絕大多數企業并沒有意識開展對企業信息安全管理工作的道德素質的教育培訓,并沒有通過建立相關管理制度以及問責機制對企業信息安全管理工作人員實行監督,這無疑給別有用心或者立場不堅定的企業信息安全管理工作人員留下了危害企業信息安全的可乘之機。

2.企業信息安全管理技術不過關

企業信息安全管理工作涉及多許多技術,包括信息技術,計算機技術,密碼技術,網絡應用技術等等,應當說成熟的計算機應用技術是做好企業信息安全管理的基礎,但是,現實是許多企業的信息安全管理技術并不過關,一方面企業的信息安全管理硬件并不過關,在物理層面對企業信息缺乏保護,另一方面,企業信息安全管理工作的專業技術沒有及時更新,一些企業信息安全管理工作人員缺乏企業信息安全管理的實踐經驗,企業信息安全管理的知識也并沒有及時更新,從而導致企業的信息安全管理理論嚴重滯后,這種技術的落后很容易讓企業成為不法分子的攻擊對象。近年來網絡病毒的傳播越來越猖狂,很多服務器、系統提示安全補丁的下載更新以及客戶端的時常更新成為一個惱人的問題。作為一個行業中的大中型企業,企業內部設備數量比較多,尤其是客戶端數量占了較大比重,僅僅靠少數幾個管理員進行管理是難以承擔如此大量的工作量。另外,企業信息安全管理系統不成熟也是一個重大的隱患。

3.企業信息安全管理制度不健全

企業信息安全管理制度不僅僅需要理論制度的完善,更加需要一系列配套監督機制保障企業信息安全管理的有效執行。通過調查分析,許多企業雖然建立了企業信息安全管理制度,但是通常情況下,這些制度只能流于形式,企業信息安全管理工作缺少有效的制約和監督,企業信息安全管理工作人員缺乏執行力。企業信息安全管理制度不健全,企業信息安全管理工作缺乏執行力常常體現在以下幾個方面。第一,企業員工對于信息安全管理的認識嚴重不足,對企業信息安全管理工作不重視。企業內部計算機系統安全的計算機防病毒軟件并沒有及時更新,使用,甚至企業內部計算機的防病毒軟件還被企業員工卸載了。部分企業員工認為自己的工作與企業信息安全管理不相關,認為做好企業信息安全管理工作僅僅是企業信息安全部門的事。第二,企業內部信息安全文秘站:管理制度并沒有形成聯動機制,企業信息安全管理工作僅僅由企業信息安全部門“一人包干”,企業信息安全反映的問題并沒有得到積極的反饋,一些企業領導對企業信息安全現狀所了解的少之又少。

三、企業信息安全管理常見的技術手段 1.OSI安全體系結構

OSI概念化的安全體系結構是一個多層次的結構,它的設計初衷是面向客戶的,提供給客戶各種安全應用,安全應用必須依靠安全服務來實現,而安全服務又是由各種安全機制來保障的。所以,安全服務標志著一個安全系統的抗風險的能力,安全服務數量越多,系統就越安全。

2.P2DR模型

P2DR模型包含四個部分:響應、安全策略、檢測、防護。安全策略是信息安全的重點,為安全管理提供管理途徑和保障手段。因此,要想實施動態網絡安全循環過程,必須制定一個企業的安全模式。在安全策略的指導下實施所有的檢測、防護、響應,防護通常是通過采用一些傳統的靜態安全技術或者方法來突破的,比如有防火墻、訪問控制、加密、認證等方法,檢測是動態響應的判斷依據,同時也是有力落實安全策略的實施工具,通過監視來自網絡的入侵行為,可以檢測出騷擾行為或錯誤程序導致的網絡不安全因素;經過不斷地監測網絡和系統來發現新的隱患和弱點。在安全系統中,應急響應占有重要的地位,它是解決危險潛在性的最有效的辦法。

3.HTP模型

HTP最為強調企業信息安全管理工作人員在整個系統中的價值。企業信息安全工作人員企業信息安全最為關鍵的參與者,企業信息安全工作人員直接主導企業信息安全管理工作,企業信息安全工作人員不僅僅是企業信息安全的保障者,也是企業信息安全管理的威脅者。因此,HTP模型最為強調對企業信息安全管理工作人員的管理與監督。另外,HTP模式同樣是建立在企業信心安全體系,信息安全技術防范的基礎上,HTP模式采取了豐富的安全技術手段確保企業的信息安全。最后,HTP強調動態管理,動態監督,對于企業信息安全管理工作始終保持高強度的監督與管理,在實際工作中,通過HTP模型的應用,找出HTP模型中的漏洞并不斷完善。

四、完善企業信息安全管理與降低風險的建議

1.建設企業信息安全管理系統

(1)充分調查和分析企業的安全系統,建立一個全面合理的系統模型,安全系統被劃分成各個子系統,明確實施步驟和功能摸塊,將企業常規管理工作和安全管理聯動協議相融合,實現信息安全監控的有效性和高效性。

(2)成立一個中央數據庫,整合分布式數據庫里的數據,把企業的所有數據上傳到中央數據庫,實現企業數據信息的集中管理與有效運用。

(3)設計優良的人機界面,通過對企業數據信息進行有效的運用,為企業管理階層人員、各級領導及時提供各種信息,為企業領導的正確決策提供數據支持,根本上提高信息數據的管理水平。

(4)簡化企業內部的信息傳輸通道,對應用程序和數據庫進行程序化設計,加強對提高企業內部信息處理的規范性和準確性。

2.設計企業信息安全管理風險體系

(1)確定信息安全風險評估的目標

在企業信息安全管理風險體系的設計過程中,首要工作是設計企業信息安全風險評估的目標,只有明確了企業信息安全管理的目標,明確了企業信息安全管理的要求和工作能容,才能建立相關圍繞信息安全風險控制為目標的信息安全管理工作制度,才能順利通過對風險控制的結果的定量考核,檢測企業信息安全管理的風險,定性定量地企業信息安全管理工作進行分析,找準企業信息安全管理的工作辦法。

(2)確定信息安全風險評估的范圍

不同企業對于風險的承受能力是有區別的,因此,對于不同的企業的特殊性應該采取不同的風險控制辦法,其中,不同企業對于能夠承受的信息安全風范圍有所不同,企業的信息安全風險承受范圍需要根據企業的實際能力來制定。不僅如此,企業的信息安全風險評估范圍也應當根據企業的實際經營情況變化采取有針對性的辦法。

篇2

隨著信息化進程的發展,信息技術與網絡技術的高度融合,現代企業對信息系統的依賴性與信息系統本身的動態性、脆弱性、復雜性、高投入性之間的矛盾日趨突顯,如何有效防護信息安全成為了企業亟待解決的問題之一。目前國內企業在信息安全方面仍側重于技術防護和基于傳統模式下的靜態被動管理,尚未形成與動態持續的信息安全問題相適應的信息安全防護模式,企業信息安全管理效益低下;另一方面,資源約束性使企業更加關注信息安全防護的投入產出效應,最大程度上預防信息安全風險的同時節省企業安全建設、維護成本,需要從管理角度上更深入地整合和分配資源。

本文針對現階段企業信息安全出現的問題,結合項目管理領域的一般過程模型,從時間、任務、邏輯方面界定了系統的霍爾三維結構,構建了標準化的ISM結構模型及動態運行框架,為信息網絡、信息系統、信息設備以及網絡用戶提供一個全方位、全過程、全面綜合的前瞻性立體防護,并從企業、政府兩個層面提出了提高整體信息安全防護水平的相關建議。

1 企業信息安全立體防護體系概述

1.1 企業信息安全立體防護體系概念

信息安全立體防護體系是指為保障企業信息的有效性、保密性、完整性、可用性和可控性,提供覆蓋到所有易被威脅攻擊的角落的全方位防護體系。該體系涵蓋了企業信息安全防護的一般步驟、具體階段及其任務范圍。

1.2 企業信息安全立體防護體系環境分析

系統運行離不開環境。信息產業其爆炸式發展的特性使企業信息安全的防護環境也相對復雜多變,同時,多樣性的防護需求要求有相適應的環境與之配套。

企業信息安全立體防護體系的運行環境主要包括三個方面,即社會文化環境、政府政策環境、行業技術環境。社會文化環境主要指在企業信息安全方面的社會整體教育程度和文化水平、行為習慣、道德準則等。政府政策環境是指國家和政府針對于企業信息安全防護出臺的一系列政策和措施。行業技術環境是指信息行業為支持信息安全防護所開發的一系列技術與相匹配的管理體制。

1.3 企業信息安全立體防護體系霍爾三維結構

為平衡信息安全防護過程中的時間性、復雜性和主觀性,本文從時間、任務、邏輯層面建立了企業信息安全立體防護體系的三維空間結構,如圖1所示。

時間維是指信息安全系統從開始設計到最終實施按時間排序的全過程,由分析建立、實施運行、監視評審、保持改進四個基本時間階段組成,并按PDCA過程循環[5]。邏輯維是指時間維的每一個階段內所應該遵循的思維程序,包括信息安全風險識別、危險性辨識、危險性評估、防范措施制定、防范措施實施五個步驟。任務維是指在企業信息安全防護的具體內容,如網絡安全、系統安全、數據安全、應用安全等。該霍爾三維結構中任一階段和步驟又可進一步展開,形成分層次的樹狀體系。

2 企業信息安全立體防護體系解釋結構模型

2.1 ISM模型簡介

ISM(Interpretation Structural Model)技術,是美國J·N·沃菲爾德教授于1973年為研究復雜社會經濟系統問題而開發的結構模型化技術。該方法通過提取問題的構成要素,并利用矩陣等工具進行邏輯運算,明確其間的相互關系和層次結構,使復雜系統轉化成多級遞階形式。

2.2 企業信息安全立體防護體系要素分析

本文根據企業信息安全的基本內容,將立體防護體系劃分為如下15個構成要素:

(1) 網絡安全:網絡平臺實現和訪問模式的安全;

(2) 系統安全:操作系統自身的安全;

(3) 數據安全:數據在存儲和應用過程中不被非授權用戶有意破壞或無意破壞;

(4) 應用安全:應用接入、應用系統、應用程序的控制安全;

(5) 物理安全:物理設備不受物理損壞或損壞時能及時修復或替換;

(6) 用戶安全:用戶被正確授權,不存在越權訪問或多業務系統的授權矛盾;

(7) 終端安全:防病毒、補丁升級、桌面終端管理系統、終端邊界等的安全;

(8) 信息安全風險管理:涉及安全風險的評估、安全代價的評估等;

(9) 信息安全策略管理:包括安全措施的制定、實施、評估、改進;

(10) 信息安全日常管理:巡視、巡檢、監控、日志管理等;

(11) 標準規范體系:安全技術、安全產品、安全措施、安全操作等規范化條例;

(12) 管理制度體系:包括配套規章制度,如培訓制度、上崗制度;

(13) 評價考核體系:指評價指標、安全測評;

(14) 組織保障:包括安全管理員、安全組織機構的配備;

(15) 資金保障:指建設、運維費用的投入。

2.3 ISM模型計算

根據專家對企業信息安全立體防護體系中15個構成要素邏輯關系的分析,可得要素關系如表1所示。

對可達矩陣進行區域劃分和級位劃分,確定各要素所處層次地位。在可達矩陣中找出各個因素的可達集R(Si),前因集A(Si)以及可達集R(Si)與前因集A(Si)的交集R(Si)∩A(Si),得到第一級的可達集與前因集(見表2)。

2.4 企業信息安全立體防護結構

結合信息安全防護的特點,企業信息安全立體防護體系15個要素相互聯系、相互作用,有機地構成遞階有向層級結構模型。圖2中自下而上的箭頭表示低一層因素影響高一層因素,雙向箭頭表示同級影響。

從圖2可以看出,企業信息安全防護體系內容為四級遞階結構。從下往上,第一層因素從制度層面闡述了企業信息安全防護,該層的五個因素處于ISM結構的最基層且相互獨立,構成了企業信息安全立體防護的基礎。第二層因素在基于保障的前提下,確定了企業為確保信息安全進行管理活動,是進行立體防護的方法和手段;第三層因素是從物理條件、傳輸過程方面揭示了企業進行信息安全防護可控點,其中物理安全是控制基礎。第四層要素是企業信息安全的直接需求,作為信息的直接表現形式,數據是企業信息安全立體防護的核心。企業信息安全防護體系的四級遞階結構充分體現了企業信息安全防護體系的整體性、層級性、交互性。

圖2 企業信息安全防護解釋結構模型

2.5 企業信息安全立體防護過程

企業信息安全立體防護是一個多層次的動態過程,它隨著環境和信息傳遞需求變化而變化。本文在立體防護結構模型的基礎上對企業信息安全防護結構進行擴展,構建了整體運行框架(見圖3)。

從圖3 中可以看出,企業信息安全防護過程按分析建立到體系保持改進的四個基本時間階段中有序進行,充分體現出時間維度上的動態性。具體步驟如下:

(1) 綜合分析現行的行業標準規范體系,企業內部管理流程、人員組織結構和企業資金實力,建立企業信息安全防護目標,并根據需要將安全防護內容進行等級劃分。

(2) 對防護內容進行日常監測(包括統計分析其他公司近期發生的安全事故),形成預警,進而對公司信息系統進行入侵監測,判斷其是否潛在威脅。

(3) 若存在威脅,則進一步確定威脅來源,并對危險性進行評估,判斷其是否能通過現有措施解決。

(4) 平衡控制成本和實效性,采取防范措施,并分析其效用,最終形成內部信息防護手冊。

3 分析及對策

3.1 企業層面

(1) 加強系統整體性。企業信息安全防護體系的15個構成要素隸屬于一個共同區域,在同一系統大環境下運作。資源受限情況下要最大程度地保障企業信息安全,就必須遵循一切從整體目標出發的原則,加強信息安全防護的整體布局,在對原有產品升級和重新部署時,應統一規劃,統籌安排,追求整體效能和投入產出效應。

(2) 明確系統層級性。企業信息安全防護工作效率的高低很大程度上取決于在各個防護層級上的管理。企業信息安全防護涉及技術層面防護、策略層面防護、制度層面防護,三個層面互相依存、互相作用,其中制度和保障是基礎,策略是支撐,技術是手段。要有效維護企業信息安全,企業就必須正確處理好體系間的縱向關系,在尋求技術支撐的同時,更要立足于管理,加強工作間的協調,避免重復投入、重復建設。

(3) 降低系統交互性。在企業信息安全防護體系同級之間,相關要素呈現出了強連接關系,這種交互式的影響,使得系統運行更加復雜。因此需要加快企業內部規章制度和技術規范的建設,界定好每個工作環節的邊界,準確定位風險源,并確保信息安全策略得到恰當的理解和有效執行,防止在循環狀態下風險的交叉影響使防范難度加大。

(4) 關注系統動態性。信息安全防護是一個動態循環的過程,它隨著信息技術發展而不斷發展。因此,企業在進行信息安全防護時,應在時間維度上對信息安全有一個質的認識,準確定位企業信息安全防護所處的工作階段,限定處理信息安全風險的時間界限,重視不同時間段上的延續性,并運用恰當的工具方法來對風險加以識別,辨別風險可能所帶來的危險及其危害程度,做出防范措施,實現企業信息安全的全過程動態管理。

3.2 政府層面

企業信息安全防護不是一個孤立的系統,它受制于環境的變化。良好的社會文化環境有助于整體安全防護能力主動性的提高,有力的政策是推動企業信息安全防護發展的前提和條件,高效的行業技術反應機制是信息安全防護的推動力。因此在注重企業層面的管理之外,還必須借助于政府建立一個積極的環境。

(1) 加強信息安全防護方面的文化建設。一方面,政府應大力宣傳信息安全的重要性及相關政策,提高全民信息安全素質,從道德層面上防止信息安全事故的發生;另一方面,政府應督促企業加強信息安全思想教育、職能教育、技能教育、法制教育,從思想上、理論上提高和強化社會信息安全防護意識和自律意識。

(2) 高度重視信息安全及其衍生問題。政府應加快整合和完善現有信息安全方面的法律、法規、行業標準,建立多元監管模式和長效監管機制,保證各項法律、法規和標準得到公平、公正、有效的實施,為企業信息安全創造有力的支持。

(3) 加大信息安全產業投入。政府應高度重視技術人才的培養,加快信息安全產品核心技術的自主研發和生產,支持信息安全服務行業的發展。

4 結 語

本文從企業信息安全防護的實際需求出發,構建企業信息安全防護基本模型,為企業信息安全防護工作的落實提供有效指導,節省企業在信息安全防護體系建設上的投入。同時針對現階段企業信息安全防護存在的問題從企業層面和政府層面提出相關建議。

參考文獻

[1] 中國信息安全產品測評認證中心.信息安全理論與技術[M].北京:人民郵電出版社,2003.

[2] 汪應洛.系統工程[M].3版.北京:高等教育出版社,2003.

[3] 齊峰.COBIT在企業信息安全管理中的應用實踐[J].計算機應用與軟件,2009,26(10):282?285.

[4] 肖餛.淺議網絡環境下的企業信息安全管理[J].標準科學,2010(8):20?23.

篇3

信息,同企業其他資產一樣是種資產,對企業的發展有很大作用。信息以各種形式存在,包括紙質的、電子的、圖像的等。我國信息專家鐘義信認為:“信息是該事物運動的狀態和狀態變化方式的自我表述/自我顯示?!鳖櫭剂x,信息安全既保障“信息”的“安全”。關于信息安全,國際標準化組織(ISO)認為:“信息安全是在技術上和管理上為數據處理系統建立的安全保護,保護計算機硬件、軟件和數據不因偶然和惡意的原因而遭到破壞、更改和泄漏”。我國信息安全專家沈昌祥院士則認為:“信息安全是保護信息和信息系統不被未經授權的訪問、使用、泄露、中斷、修改和破壞,為信息和信息系統提供保密性、完整性、可用性、可控性和不可否認性”。

二、企業信息安全體系設計

2.1企業信息安全體系方案概述

2.1.1信息安全體系設計原則

企業信息安全體系的設計應遵從以下原則:

(1)性能平衡,合理劃分:提高整個系統的“安全低點”的性能,保證各層面能得到均衡防護;按照合理原則劃分為安全等級,分區域、分等級防護。

(2)標準一致,功能互補:在產品技術、產品設備選擇方面,盡可能遵循同一業界標準;充分考慮不同廠商、不同安全產品的功能互補,在進行多層防護時,考慮使用不同廠家的。

(3)統籌規劃,分步實施。

2.1.2信息安全體系框架

網絡安全的實現不是目標,是過程。其過程經歷了安全評估、制訂安全策略、安全培訓、安全技術實施、安全網絡檢測、應急響應和災難恢復等環節,并不斷地螺旋式提高發展,得以實現網絡安全。信息安全體系的三要素:管理、技術和運維。通過一系列的戰略、系統和機制的協調,明確技術實現方法與相關安全操作人員的職責,從而達到安全風險的發現和有效控制,從而改善的安全問題反應速度和恢復能力,增強整體網絡安全能力。管理方面,建立、健全安全組織結構;技術方面,建立分層網絡安全策略;運維方面,通過不同的安全機制,提高網絡安全的能力。

2.2企業信息安全技術體系

2.2.1信息安全技術體系概述

(l)設計原則

分析企業信息網絡安全面臨的主要威脅,實施有針對性的安全技術體系。安全技術體系的總體性要求如下:全面綜合:采用綜合解決方案,體系層次化,具有縱深性。集成統一:有效集成各類管理工具,集中化管理所有IT系統。開放適應:支持各種安全管理標準,能適應組織和環境的變化。

(2)信息安全技術體系框架

通過物理安全、網絡安全、系統安全、應用安全等方面進行建設。具體有以下措施:物理安全防護建設;統一容災備份中心建設;防火墻系統的部署;入侵防護系統的部署;系統安全防護建設;防病毒系統部署;漏洞掃描系統部署;信息審計系統防護。

2.2.2物理安全防護建設

(1)配套設備安全

采用多路供電(市電、動力電、UPS)的方法,多路電源同時接入企業信息系統大樓或主機房及重要信息存儲、收發等重要部門,當市電故障后自動切換至動力電,動力電故障后自動至UPS供電。并且,當下級電源恢復后,應立即自動切換回去。這樣,既保證了安全性,又降低了運行費用。形成一套完整的先進和完善的供電系統及緊急報警系統。供電系統中,會有尖峰、浪涌等不良現象發生,一旦發生,輕則斷電重啟,重則燒毀并引發火災。這種情況下,UPS也無濟于事。為避免對供電質量和造成不安全因素,可以使用電力凈化系統。電源凈化系統不僅保證電源質量,同時還可減少電磁污染,避免信息隨電纜外泄。用多路供電接入企業機房及重要部門,降低了運行成本,又保證了系統的安全。

(2)計算機場地安全

嚴格按照國家標準建設,如國標GB/T2887-2000《電子計算機場地通用規范》、GB9254-1998《信息技術設備的無線電騷擾限值和測量方法》等。《電子計算機場地通用規范》規定了站址選擇條件:計算機場地盡量建在電力、水源充足,自然環境清潔、通信、交通運輸方便的地方;應盡量避開強電磁場的干擾;應盡量遠離強振動源和強噪聲源;應盡量建在建筑物的高層及地下室以及用水設備的下層。規定了溫度、濕度條件并將它分成ABC三級;規定了照明、日志、電磁場干擾具體技術條件;規定了接地、供電、建筑結構條件等。

2.2.3統一容災備份中心建設

無論企業信息系統設計、維護得多科學合理,故障的發生都是不可避免的,因此在設計時都應考慮容災解決方案,即統一容災備份中心建設。基本思路是“數據冗余+異地分布”,即在異地建立和維護一份或多份數據冗余,利用數據的冗余性和地理分散性來提高對災難事件的抵御能力。企業數據容災,存儲是基礎,備份是核心,恢復是關鍵。信息網絡采用本地備份與異地備份的混合方式,以確保數據或系統的安全。通過各種層面的冗余技術,減少單點故障;使用合適的備份技術實現針對各個位置存放的數據的保護、隔離和嚴格訪問,保證數據的一致性、安全性和完整性。包括:存儲磁盤的冗余設計,對系統盤采用RAID1技術,對數據盤采用RAID5技術。數據的冗余備份設計:數據庫數據文件的存放采用基于SAN架構的存儲方案,在保證讀取速度的同時,利用遠程數據鏡像和數據復制技術進行冗余備份,在區域性空難發生時能更大限度保證數據完整和安全。對核心業務的數據庫數據,還可利用SQLServer自帶的數據備份工具進行數據庫文件備份,有效應對文件損壞或人為誤操作帶來的數據風險。對正常業務中關鍵數據或全業務數據進行保護,將主數據庫的數據以邏輯的方式在異地機房建設一個同樣的數據庫,并且實時更新數據,當主數據庫因災損壞或失去,異地數據庫可以及時接管業務,從而達到容災的目的。

三、結論及展望

篇4

IT服務外包井噴式發展

在強調企業核心競爭力的今天,越來越多的公司將IT服務外包作為企業長期戰略成本管理的新興工具。服務外包的實質是企業和服務商之間的“委托―”關系。企業需要對自己重新進行定位,截取價值鏈中較短的部分,縮小經營范圍,在此基礎上重新配置企業的各種資源,將資源集中到最能反映企業優勢的領域,從而更好地構筑競爭優勢,以此獲得可持續發展的能力。

隨著企業業務發展過程中信息系統所涉及的內容越來越多、結構越來越龐大,企業信息化再也不僅僅是IT部門自己的事情。企業市場競爭壓力越來越大,在信息化建設和管理期間迎來了嚴峻的考驗。一方面是IT部門人員少、系統多、任務重,另一方面是公司要求IT部門削減成本、并消除由于缺乏內部控制和運作準則導致的混亂狀態,以更高效地服務業務部門。

在多重壓力之下,許多企業認為IT部門最重要的工作是確保信息和流程的順暢,而服務器、存儲系統、網絡或者交換機等設備并不是最重要。因此,許多企業傾向于將某些應用系統、基礎設施和部分非核心系統外包給服務商負責維護。

IT服務外包的風險

企業借外部力量提供專業化服務、將部分非核心業務進行離岸資源外包的過程中,面臨著管控、運營等一系列風險,其中最重要的是信息安全風險的威脅。

從表面上看,采用IT外包策略不但可以節約成本,還能提高效率。但事實上,許多企業對IT外包都有許多道不盡的愛恨情仇。外包是一柄雙刃劍,其好處是可以向企業灌輸技術與人才,幫助企業擺脫繁瑣的IT業務――有效的外包能讓公司更好的專注于核心業務。

但是進行IT外包并不是一件輕松的事情,如果處理不好,不僅不會帶來預期的效益,反而會變成一場噩夢和致命的災難。所以對于企業IT主管部門而言,必須具有很強的經驗和管理技能,才能談“外包” 二字。

IT外包服務要成為一種商品,就必須形成一套規范和標準,以約束買賣雙方。但目前國內IT外包服務領域既無統一規范也無公認標準。概念模糊的用戶,面對同樣概念模糊的IT廠商,如何評估、簽合同、質量控制和定價等都是潛在的“風險”。

此外,IT外包還面臨著 IT管理的復雜性、軟件缺失、知識產權以及IT外包服務提供商自身能否健康成長等風險。因此企業需要在風險、成本與效果、效率之間找到平衡點。

同時,由于委托方和方之間可能存在信息不對稱和信息扭曲等問題,加之市場及宏觀環境的不確定性,導致委托方在實施外包過程中承擔著種種風險。

外包服務關鍵詞:信息安全

企業在IT服務外包過程中面臨的最大挑戰,就是如何確保企業信息和數據的安全,如何建立起有效的信息安全管控框架,以符合企業信息安全要求。

首先,確認企業內部信息安全管控過程是否可持續監管和優化。在信息防泄漏的“戰爭”中,相比于躲在暗處的泄密者和安全威脅,站在明處的企業顯然略失先機。但如果企業能夠做到預先防御,在對手出招之前采取針對性的保護措施,就能從根本上“轉被動為主動”,做好內部數據安全防護。

因此,良好的信息防泄體系的前提就是要時刻掌握企業動態,做到要有的放矢。很重要的一點是要實現內部操作的“可視化”,以隨時監測整個信息系統的安全狀況,做到迅速反應,甚至還能預測到潛在的風險,化被動防御為積極防御。

其次,企業信息安全體系設計需進行全局評估和建設,規避疏漏和風險。安全領域中的木桶理論和馬其頓防線的故事相信大家都了解――無論怎么豪華的防線,一個漏洞就可以毀滅所有一切。在企業中,有時候可能是一個小小的系統漏洞就可能毀滅了幾百萬投資的努力,或者一個無意的非法補丁行為就讓企業蒙受損失。

因此,在解決安全問題之時,不能僅僅依賴透明加密等技術手段,“頭痛醫頭,腳痛醫腳”地堆砌不同安全產品及封堵安全漏洞,而是需要站在一個更高的戰略角度來通盤考慮。如果缺乏整體的分析視角,企業可能會忽視或者低估某個安全攻擊的真正威脅,采取的安全措施也可能無法解決真正的問題。

所以,在實際的防泄漏建設中,必須從整體上來評估企業的信息安全狀況,運用統一平臺來進行風險和安全管理,檢測出內部問題,從而描繪出整個企業當前安全情況的更清晰和更準確的圖景,采取針對性的防護措施,最大限度降低企業的安全風險。

另外,要有安全和防護等級措施。企業在構建立體化、全方位的整體信息防泄體系時并不是一刀切,不分輕重地在全公司范圍內采取相同的策略,這樣雖然看似達到了最為安全的效果,但對業務造成的巨大影響,以及因此產生的高額成本,對企業來說,都是巨大的負擔。

對信息安全來說,威脅和風險往往和高價值的信息資產聯系在一起,安全保護工作也就應該輕重有別,將重點放在高價值的信息資產上。在安全建設過程中,對程度高的部門或崗位進行力度大的防御,對程度低的部門采取相應的安全防御。同時衡量提升安全性可能帶來的業務操作上的麻煩、企業安全成本等問題,是企業必須要做的事情。

在企業實施安全防護等級風險評估過程中,往往需要結合企業的實際情況,對三種技術手段整合運用:首先,在全公司范圍內進行安全審計,掌握企業操作,發現安全隱患;其次,對特殊崗位和部門,進行嚴格管控,限制信息的帶出;最后,在核心部門內部,對機密信息進行透明加密。這樣既可保證公司的正常業務運作,又能有的放矢地實現最優化的信息防泄漏管理,還大大節約了投資成本。

此外,利用科學可行的安全策略和必要的技術手段實現動態性防護。動態性的信息泄露防護,對于目前泄密方式日益增多的企業來說,非常重要。某些企業往往在安全事件發生之后才對現在的策略進行被動的調整。這種“吃一塹、長一智”的防護模式,對于企業而言,有可能是致命的。一旦出了安全事故,恐怕亡羊補牢,為時已晚。

企業需要建立一個動態性的安全防護,前瞻性地發現安全威脅,并通過對技術或管理上的策略進行及時調整更新,防范潛在的安全風險。

最后要強調的是,信息安全體系必須便于使用和維護。如今,市場上五花八門的信息防泄漏產品讓企業眼花繚亂,企業期望這種“強強組合”能給企業套上萬無一失的金鐘罩。殊不知這種做法往往意味著企業必須付出較高的成本,并增加了技術的復雜性,還容易導致產品軟件沖突等問題,企業雖然“裝”了安全產品,但根本“用”不了。

目前,能夠提供整體解決方案的單一安全產品可謂不錯的選擇,它能夠幫助企業建立統一的安全管理平臺,無論企業安全邊界防護、還是內部使用,都做了整體全面的考慮,同時簡化了日常的操作與管理、降低了系統的資源占用、避免了軟件沖突等多種問題,使用維護亦非常方便,大大節約了IT人員的時間和精力。

綜上所述,如企業信息防泄漏建設符合以上檢測標準,說明該企業已經建立了一個完善的整體信息防泄漏體系,機密信息也得到了最大化的保護,實現了“成本、效率、安全”三者的最佳平衡,這也是近年來被大家認可的“整體信息防泄漏”理念的核心。

實際上,信息防泄本身就是一種博弈,是企業和人的博弈。它是一場思維的交鋒,企業只有掌握了內部的行為操作,同時針對內部安全威脅建立全面、立體化的安全防護,信息防泄才會立于不敗之地。

天璣外包信息安全管控體系

天璣科技提供的IT外包(IT Outsourcing)服務,即“承接企業IT系統維護與管理,按雙方服務協議內容完成相關服務”的業務模式。

隨著客戶對信息安全管理的要求越來越高,天璣科技把IT外包的信息安全管理放在首位,積極貫徹基于風險的管理方法,針對IT服務外包中的安全管理進行了系統思考和有益的嘗試。

外包基礎和簡單重復的服務:考慮到信息安全管理問題,天璣科技初期外包服務范圍主要以基礎服務外包為主,即將IT系統日常的硬件與軟件維護、Helpdesk呼叫中心、信息系統的編碼等活動外包,而對于IT系統的規劃與管理、核心應用系統(如ERP、CRM)的設計與維護仍然由企業IT部門承擔。這樣避免了IT服務人員接觸組織的核心系統信息,降低了IT服務外包對IT系統敏感部分帶來的安全風險。

具備信息安全管理資質:由于IT外包服務過程中,IT服務人員必然會接觸到企業的系統設備甚至是內容,如何成為一家可靠安全的IT服務外包供應商也是在進行IT服務外包前必須考慮的重要方面。天璣科技是一家已經建立起完善的信息安全管理體系,并通過了BSI安全認證審核的IT服務外包供應商,專門從事IT服務外,擁有很多有影響的大客戶。天璣科技會根據服務內容簽訂責任明確的服務合同,在服務合同中詳細闡明雙方在服務提供過程中對信息安全的責任十分關鍵。

強化日常服務的安全管理:信息安全管理的要求應該體現在IT服務日常管理的各個方面,主要包括:日?;顒右幏兜慕ⅲ环兆兏刂?;服務人員管理;安全事件處理;業務持續管理;知識產權保護和監控與審核等內容。

日?;顒右幏兜慕ⅲ横槍Ψ諈f議中明確的服務內容,建立規范的服務流程是開展IT服務活動的基礎。企業信息化主管部門根據雙方簽訂的服務協議,與供應商IT服務主管人員一起建立一套完整的服務規范。服務規范中對服務過程中的安全風險均采取了適當的控制措施,確保了服務活動滿足企業信息安全管理策略的要求。

服務變更控制:天璣科技遵從在調整其服務流程和變更服務技術前必須事前進行溝通,在企業評估變更的影響并確認采取了響應控制措施后才能進行服務過程的變更。

服務人員管理:服務人員是IT服務活動的直接執行者。為確保服務人員能夠滿足要求,天璣科技明確規定了IT服務人員的能力要求和標準,確保只有技術能力強、認真負責的服務人員才能進入服務項目組。同時,對服務人員篩選、培訓和變動也提出了具體要求。

安全事件管理:發生安全事件后,雙方人員的協調和互動將直接影響對事件處理的結果。在服務過程中發生和發現的信息安全事件必須第一時間上報企業主管部門,在企業主管部門的組織下完成對安全事件的處理。

業務持續管理:由于企業將核心網絡和系統硬件均托管給了IT服務供應商進行日常維護。IT服務供應商是否具備滿足組織業務需求的業務持續管理能力,成為保證企業信息系統業務持續的關鍵。在企業整個業務持續管理的框架下,對IT服務供應商的業務持續管理能力提出了明確的要求,在服務協議中進行了明確的定義。同時,針對具體服務系統雙方共同制定了相應的災難恢復計劃。

知識產權保護:桌面服務中如何保護組織以及相關方的知識智力產權,是需要在進行IT服務外包過程中管理和控制的重要內容。天璣科技在軟件安裝和服務過程中工具的使用過程都明確規定了對軟件許可證的跟蹤與管理要求,確保服務活動滿足對知識產權保護的要求。

篇5

關鍵詞:電網企業;信息安全;風險;應對措施;管理體系

作者簡介:王旭(1964-),男,浙江寧波人,新疆電力公司電力科學研究院,高級工程師。(新疆 烏魯木齊 830011)張建業(1972-),男,浙江浦江人,新疆電力公司科技信通部,高級工程師,華北電力大學經濟與管理學院博士研究生。(新疆 烏魯木齊 830002)

基金項目:本文系國家自然科學基金資助項目(基金號:71271084)的研究成果。

中圖分類號:F270.7 文獻標識碼:A 文章編號:1007-0079(2013)26-0163-03

信息安全風險是信息化時代企業發展和內部管理所面臨的一個迫切問題,網絡化、信息化的飛速發展能夠給企業帶來無限的發展機遇,同時也讓應用信息化技術的企業面臨著各種不同的風險威脅,這些風險因素一旦發生,將對企業的日常運營、戰略目標的實現甚至長遠發展產生無法估計的影響。有效的信息安全風險管理體系對于企業規避信息安全風險、減少不必要的損失具有重要作用。

對于電網企業來說,信息化建設是推動電網企業智能化、現代化等長遠發展的核心推動力,但網絡病毒、黑客入侵等一系列風險因素,使得電網企業信息安全同樣面臨著巨大的挑戰,必須對電網企業面臨的各類信息安全風險進行有效控制,以保證電網企業的信息化內容正常運行。

一、電網企業信息安全風險分析

電網企業的信息安全風險就是企業的信息系統和網絡等面臨的來自各方面的風險威脅,各種內外部的、潛在的和可知的危險可能會帶來的風險威脅等。隨著網絡環境的復雜性不斷增加,新的信息技術的不斷應用發展,電網企業的信息安全面臨的風險因素也更為繁多復雜,同時由于其注重信息安全的行業特點,電網企業的信息安全風險管理面臨的壓力更大。為此需要對這些風險因素進行規范、合理的識別分析,進而建立綜合的風險管理體系。

電網企業的信息安全面臨著來自不同層次、多個方面的風險因素,有來自外部環境的風險威脅,也有企業內部的風險影響;有技術方面的安全風險,也有人員操作方面的安全風險等。具體的信息安全風險因素主要包括以下幾個方面:

1.木馬病毒入侵的安全風險

隨著網絡技術的不斷發展、電網企業內外部網絡環境的日益成熟和網絡應用的不斷增多,各種病毒也更為復雜、難解。木馬等病毒的傳染、滲透、傳播的能力變得異常強大,其入侵方式也由以前的單一、簡單變得隱蔽、復雜,尤其是Internet網絡和企業網絡環境為木馬等病毒的傳播和生存提供了可靠的環境。

2.黑客非法攻擊的安全風險

近年來各種各樣的黑客非法攻擊異常頻繁,成為困擾世界范圍內眾多企業的問題。由于黑客具有非常高超的計算機技術能力,他們經常利用計算機設備、信息系統、網絡協議和數據庫等方面的缺陷與漏洞,通過運用網絡監聽、密碼破解、程序滲透、信息炸彈等手段侵入企業的計算機系統,盜竊企業的保密信息、重要數據、業務資料等,從而進行信息數據破壞或者占用系統的資源等。

3.信息傳遞過程的安全風險

由于電網企業與很多的外部企業、研究機構等有著廣泛的工作聯系與業務合作,因此很多日常信息、數據資料等都需要通過互聯網進行傳輸溝通,在這個傳輸過程中的各類信息都會面臨各種不同的安全風險。

4.權限設置的安全風險

信息系統根據不同的業務內容對不同的部門、員工開放不同的系統模塊,用戶根據其登陸的權限設置訪問其范圍內的系統內容。每個信息系統都有用戶管理功能,對用戶權限進行管理和控制,能夠在一定程度上增加安全性,但仍然存在一定的問題。很多電網企業內都存在不同的信息系統,各系統之間都是獨立存在,沒有統一的用戶管理,使用起來極不方便,難以保證用戶賬號的有效管理和使用安全。另外,電網企業的信息系統的用戶權限管理功能設置過于簡單,不能夠靈活實現更為詳細的權限控制等。

5.信息設備損壞產生的安全風險

電網企業內的各類業務信息、數據資料、工作內容等信息都是依托于相應的軟硬件設備而存儲、傳遞、應用的,當這些計算機硬件設備、信息系統、數據存儲設備、用電支撐設備等由于企業內外部不同作用力的影響而出現癱瘓、停止工作等突發狀況時,會帶來重要信息內容的泄露、丟失等安全風險隱患。

6.人員操作失誤形成的安全風險

電網企業內的專業信息技術人員、業務人員、管理人員對信息系統的操作能力存在一定的差異,一些人員的意識較為陳舊、操作能力較差,在對信息系統、網絡連接、數據庫等的應用過程中,由于對這些技術內容不熟悉從而產生了一些錯誤操作,為此產生了許多意想不到的安全風險。同時,在運用過程中存在的思想偏差、理解偏誤、粗心大意等導致的誤操作也會產生相應的安全風險。

7.技術更新變化帶來的安全風險

當前的信息技術、系統開發、網絡應用、數據庫存儲等都在日新月異地飛速變化,幾乎每天都會發生更新換代的升級變化,沒有任何的信息技術能夠長時間使用。電網企業原有信息系統等設備進行升級換代或者與新的數據庫內容進行新舊結合以及轉換時,會因為兼容性差、不能匹配等原因造成一定的信息安全風險。

二、信息安全風險應對機制

電網企業的信息安全承擔著極為重要的作用,而其面臨的安全風險也是多方面的,僅從信息系統、技術設備的單一角度進行信息安全風險管理遠遠不夠,對于其他很多潛在的風險因素難以有效應對。因此需要從信息技術技術、企業管理、風險控制等多個維度來建立相應的措施,以應對可能出現的各類風險,從而從硬性技術層面到柔性管理層次形成多維度的風險管理手段。電網企業信息安全風險應對機制框架結構如圖1所示。

電網企業的信息安全風險管理應對機制是以風險控制角度為核心、信息技術角度為支持、企業管理角度為保障的雙向支持、互為影響的一個環狀模型,三者之間緊密配合、共同發揮風險應對的作用,具體內容如表1所示。

三、信息安全風險管理體系

電網企業信息安全風險管理體系是進行信息安全風險管理的核心內容,其他的制度建設等方面的應對機制都是為了更好地使風險管理體系發揮有效的作用,能夠在不同的情況下進行信息安全風險威脅的提前預防、風險發生時的控制、事后風險影響的結果處理等。

電網企業信息安全風險管理體系框架結構如圖2所示。

1.信息安全風險評估

電網企業信息安全風險評估是風險管理體系的第一部分,風險評估效果的好壞直接影響著后面風險管理環節的執行情況。通過風險評估的準確執行,能夠有效識別、分析各種不同風險的種類、來源、影響程度等內容,為后續的風險預防、控制等奠定良好的基礎。

信息安全風險評估主要由風險案例庫、風險因素分析系統、風險定量定性轉化系統、數據統計歸納庫、風險分析結果傳輸體系等構成,通過幾個模塊的有機結合來科學分析評估電網企業遇到的各類信息安全風險因素。

2.風險事前預防

電網企業信息安全風險事前預防就是在風險沒有發生時對各種風險進行提前預防,通過建立的預防計劃方案來提前避免風險的發生,從而保證信息的安全性。這是風險管理體系希望達到的最佳效果,因此該環節非常重要。

通過對風險案例庫的經常性學習,使相關部門和人員對各類風險有了總體的認識和了解;通過建立相應的風險預警裝置來提前警告風險的發生,使電網企業能夠提前采取措施來避免風險發生;運用信息安全風險管理制度加強員工的行為能力,避免風險產生;通過信息技術的相關配置,從信息系統、網絡、數據等方面提前對一些病毒風險等進行處理。

出色地執行電網企業的信息安全風險預防工作,能夠避免很多不必要的麻煩,從而有效減少后面風險控制工作內容。

3.風險威脅轉移

將可能發生或者即將到來的信息安全風險有效轉移到其他的地方,可使得安全風險沒有在電網企業的信息系統中發生,避免了風險帶來的威脅損害。風險轉移同風險的事前預防一樣,能夠在很大程度上將信息安全風險帶來的威脅降低到最小,避免其帶來的各類損失。

4.風險過程控制

在對信息安全造成威脅的風險發生時,采取各種方法、手段進行風險的最小化控制,使風險本身隨著控制的進行而逐漸變小甚至消失,將風險發生后造成的影響降低到最小或者控制在能夠承受的合理范圍內。

主要從信息系統、數據庫、網絡系統、計算機基礎設備等技術方面進行控制;從制度、標準、規范等管理層面進行控制;從人員培訓、部門協調等組織結構層面進行控制;從風險發生時制定的風險控制措施、計劃進行控制;形成動態反饋的風險發生、控制效果的反饋機制,以便及時對控制方案進行調整完善。

5.風險事后處理

信息安全風險發生后,對電網企業的信息系統、網絡、數據庫等造成一定的影響,已經沒有時間進行及時有效的風險控制,此時的工作重點在于如何采取挽救措施對風險造成的信息安全損失進行彌補,將其影響程度降低到最低。

從電網企業的信息安全風險評估開始,到信息安全風險的預防、風險發生時的控制以及風險后果的處理,對整個過程進行深入的分析、總結,發現風險管理體系存在諸多不足和缺陷,控制計劃在某些方面需要進行改進完善。將本次發生的信息安全風險控制過程整理進入案例庫,以便下次的風險預防借鑒。

電網企業信息安全風險管理體系中的各個流程環節都是按照一定的流程順序、風險發生種類、大小而進行的,其具體的流程如圖3所示。

6.非常態風險應急處理

在電網企業對信息安全進行風險管理的過程中,有時會出現一些案例庫、控制計劃之外的非常態風險,這些風險沒有以往成功的風險管理經驗可以借鑒,這時就需要在電網企業信息安全風險管理體系中建立相應的非常態風險應急處理模塊。

電網企業信息安全非常態風險應急處理主要是當意外的緊急風險發生時,能夠迅速啟動應急預案組織相關人員進行風險應對控制、風險預防和控制等;若風險已經發生,此時能夠及時還原數據、隔離外部風險入侵,使信息系統、網絡、數據庫在最快的時間內恢復正常運作。

四、總結

本文通過對電網企業信息安全重要性進行分析,提出了建立信息安全風險管理體系應對各種內外部風險威脅的必要性。在對電網企業信息安全的概念、特點等分析說明的基礎上,深入研究了電網企業的信息安全所面臨的各種不同的風險因素,建立了包括信息技術、企業管理、風險控制三個方面在內的電網企業信息安全風險應對機制。結合所建立的電網企業信息安全風險應對機制,本文構建了一套綜合、全面的電網企業信息安全風險管理體系。該體系的構建能夠從事前風險預防、事中風險控制、事后風險影響后果處理等三個環節進行全面的風險管理。

參考文獻

[1]張浩,詹輝紅,錢洪珍.電網企業信息安全管理體系建設中的風險管理實踐[J].電力信息技術,2010,8(6):21-24.

[2]劉金霞.電力企業給予風險管理的信息安全保障體系建設[J].網絡安全技術與應用,2008,(1):42-44.

[3]劉瑩,顧衛東.信息安全風險評估研究綜述[J].青島大學學報(工程技術版),2008,23(2):37-43.

篇6

[關鍵詞] 企業網絡信息安全信息保障

計算機網絡的多樣性、終端分布不均勻性和網絡的開放性、互連性使聯入網絡的計算機系統很容易受到黑客、惡意軟件和非法授權的入侵和攻擊,信息系統中的存儲數據暴露無遺,從而使用戶信息資源的安全和保密受到嚴重威脅。目前互聯網使用TCP/IP協議的設計原則,只實現簡單的互聯功能,所有復雜的數據處理都留給終端承擔,這是互聯網成功的因素,但它也暴露出數據在網上傳輸的機密性受到威脅,任何人都可以通過監聽的方法去獲得經過自己網絡傳輸的數據。在目前不斷發生互聯網安全事故的時候,對互聯網的安全狀況進行研究與分析已迫在眉睫。

一、 國外企業信息安全現狀

調查顯示,歐美等國在網絡安全建設投入的資金占網絡建設資金總額的10%左右,而日韓兩國則是8%。從國際范圍來看,美國等西方國家網絡基礎設施的建設比中國完善,網絡安全建設的起步時間也比中國早,因此發生的網絡攻擊、盜竊和犯罪問題也比國內嚴重,這也致使這些國家的企業對網絡安全問題有更加全面的認識和足夠的重視,但縱觀全世界范圍,企業的網絡安全建設步伐仍然跟不上企業發展步伐和安全危害的升級速度。

國外信息安全現狀具有兩個特點:

(1)各行業的企業越來越認識到IT安全的重要性,并且意識到安全的必要性,并且把它作為企業的一項重要工作之一。

(2)企業對于網絡安全的資金投入與網絡建設的資金投入按比例增長,而且各項指標均明顯高于國內水平。

二、 國內企業網絡信息安全現狀分析

2005年全國各行業受眾對網絡安全技術的應用狀況數據顯示,在各類網絡安全技術使用中,“防火墻”的使用率最高(占76.5%),其次為“防病毒軟件”的應用(占53.1%)。2005年較2004年相比加大了其他網絡安全技術的投入,“物理隔離”、“路由器ACL”等技術已經得到了應用。防火墻的使用比例較高主要是因為它價格比較便宜、易安裝,并可在線升級等特點。值得注意的是,2005年企事業單位對“使用用戶名和密碼登陸系統”、“業務網和互聯網進行物理隔離”等措施非常重視。其他防范措施的使用也比2004年都提高了一定的比例,對網絡安全和信息的保護意識也越來越高。生物識別技術、虛擬專用網絡及數字簽名證書的使用率較低,有相當一部分人不清楚這些技術,還需要一些時間才能得到市場的認可。

根據調查顯示,我國在網絡安全建設投入的資金還不到網絡建設資金總額的1%,大幅低于歐美和日韓等國。我國目前以中小型企業占多數,而中小型企業由于資金預算有限,基本上只注重有直接利益回報的投資項目,對于網絡安全這種看不到實在回饋的資金投入方式普遍表現出不積極態度。另外,企業經營者對于安全問題經常會抱有僥幸的心理,加上缺少專門的技術人員和專業指導,致使國內企業目前的網絡安全建設情況參差不齊,普遍處于不容樂觀的狀況。

三、 企業網絡信息系統安全對策分析

“三分技術,七分管理”是技術與管理策略在整個信息安全保障策略中各自重要性的體現,沒有完善的管理,技術就是再先進,也是無濟于事的。以往傳統的網絡安全解決方案是某一種信息安全產品的某一方面的應用方案,只能應對網絡中存在的某一方面的信息安全問題。中國企業網絡的信息安全建設中經常存在這樣一種不正常的現象,就是企業的整體安全意識普遍不強,信息安全措施單一,無法抵御綜合的安全攻擊。隨著上述網絡安全問題的日益突顯,國內網絡的安全需求也日益提高,這種單一的解決方案就成為了信息安全建設發展的瓶頸。因此應對企業網絡做到全方位的立體防護,立體化的解決方案才能真正解決企業網絡的安全問題,立體化是未來企業網絡安全解決方案的趨勢,而信息保障這一思想就是這一趨勢的體現。信息保障是最近幾年西方一些計算機科學及信息安全專家提出的與信息安全有關的新概念,也是信息安全領域一個最新的發展方向。

信息保障是信息安全發展的新階段,用保障(Assurance)來取代平時我們用的安全一詞,不僅僅是體現了信息安全理論發展到了一個新階段,更是信息安全理念的一種提升與轉變。人們開始認識到安全的概念已經不局限于信息的保護,人們需要的是對整個信息和信息系統的保護和防御,包括了對信息的保護、檢測、反應和恢復能力。為了保障信息安全,除了要進行信息的安全保護,還應該重視提高安全預警能力、系統的入侵檢測能力,系統的事件反應能力和系統遭到入侵引起破壞的快速恢復能力。區別于傳統的加密、身份認證、訪問控制、防火墻、安全路由等技術,信息保障強調信息系統整個生命周期的防御和恢復,同時安全問題的出現和解決方案也超越了純技術范疇。由此形成了包括預警、保護、檢測、反應和恢復五個環節的信息保障概念。

所以一個全方位的企業網絡安全體系結構包含網絡的物理安全、訪問控制安全、系統安全、用戶安全、信息加密、安全傳輸和管理安全等。充分利用各種先進的主機安全技術、身份認證技術、訪問控制技術、密碼技術、防火墻技術、安全審計技術、安全管理技術、系統漏洞檢測技術、黑客跟蹤技術,在攻擊者和受保護的資源間建立多道嚴密的安全防線,增加了惡意攻擊的難度,并增加審核信息的數量,同時利用這些審核信息還可以跟蹤入侵者。

參考文獻:

[1]付正:安全――我們共同的責任[J].計算機世界,2006,(19)

[2]李理:解剖您身邊的安全[N].中國計算機報,2006-4-13

篇7

【論文摘 要】安全問題是電力變電運行的咽喉,隨著信息管理技術在變電運行中的應用,先進的安全不僅包括物理安全,也涉及到了由互聯網帶來的各種來自外界的侵犯,如果電力系統被利用或是遭到攻擊,將會造成難以估計的損失。有效的提高信息管理技術在電力變電運行中的應用是擺在我們面前亟待解決的重要課題。

一、信息管理與電力信息化概述

1.信息管理概念

信息管理是實現組織目標、滿足組織要求、解決組織環境問題而開發、規劃、集成、控制、利用信息資源,以提高信息利用率,使信息效用價值最大化的一種實現的一種戰略管理。

2.電力信息化

電力企業信息化建設更趨向于科學性、實用性、安全性以及效益性,電力企業開發了一系列企業管理和經濟運行有關的應用系統,目的在于提高生產和管理效益以及信息系統的實際使用效果。電能可以瞬間完成發電、輸電、配電直到用電,電力的生產和使用具有連續性、等量以及同時的特點,要想確保電力的安全生產以及資源的合理配置生產,必須要根據調度指令對電力系統的所有環節瞬時作出反應,電力系統的控制中心、調度中心要同時對發電、配電、輸電以及用電的各種數據進行全面掌握,并及時地分析、調度和處理,對生產運行進行科學的安排,要及時的處理大而廣、紛繁復雜的信息量,這使得信息處理工作面臨著一定的挑戰。而信息管理技術的出現正好為信息的處理帶來了極大的便利,它結合了GIS技術,能實現多源數據的迅速整合,便于電力系統的信息化管理,可以綜合管理大量的屬性數據和地理信息數據,可以為經營管理提供科學的決策支持以及現代化的管理手段,結合了網絡技術,更有利于提高信息的共享程度,促進信息管理系統實現電力信息的共享,有利于電力系統信息管理更加的透明。電力系統涉及到了十分廣泛的地理區域,需要多個部門對同一圖層進行編輯,傳統的GIS圖層數據不支持多用并發操作,只適合單用戶使用,它采用的是文件格式,采用文件服務器的方式來共享圖層,若不進行特殊處理,多用戶同時更新同一圖層文件時就會發生沖突。而新型的ORDBMS技術可以彌補這一缺陷,不會發生共享沖突,它采用的是面向對象的數據庫技術,可以集中式管理地理屬性數據和信息空間數據,支持版本管理以及并發操作,還支持完全數據庫存儲模式,能夠解決數據安全機制、存儲管理大量的數據、數據完整性以及多用戶編輯等方面的問題。

二、電力變電運行中運用信息管理的優勢

1.先進性和開放性

數據倉庫技術使數據有了更加廣泛的來源,便于使用,方便與MIS等系統接口,系統的構造和Internet模式進行了結合,應有前景良好。

2.實用性強

信息管理技術有利于變電運行中二次部分各類數據源的共享和使用,尤其是對于變電保護技術工作人員來說,有利于提高系統分析和數據統計的工作效率,有利于提高保護運行水平。

3.可靠性高,易于維護和升級

方法庫和數據倉庫的采用使得整個信息管理系統運行集中于網絡中心規則庫和數據庫,不再在各級用戶之間分散可靠性,即使其中一個客戶的工作站突然損壞了,也不會對系統其他部分的性能造成影響,并且很容易恢復,軟件開發人員只需改變方法庫就可以進行升級換代,既方便又快捷。

三、電力變電運行中采用的安全策略

1.安全技術策略

為了確保信息的安全,采取的必不可少的安全技術措施有:1)病毒防護技術。應該建立健全管理制度,統一管理計算機病毒庫的升級分發以及病毒的預防、檢測等環節,應該采取全面的防病毒策略應用于信息系統的各個環節,有效的防治和避免受到病毒的侵害;2)防火墻技術。防火墻技術主要用于隔離信任網絡與非信任網絡,它的檢查方式是通過單一集中的安全檢查點,強制實施安全策略來實現,避免非法存取和訪問重要的信息資源;3)數據與系統備份技術。電力企業必須制定數據備份策略,定期對數據庫進行備份,按照重要程度劃分數據備份等級,建立企業數據備份中心,采用災難恢復技術來備份應用系統以及關鍵業務的數據,并制定詳細的數據庫故障恢復預案以及應用數據庫備份,并定期的進行預演,以防止在數據遭到破壞或是系統崩潰時能夠及時的修復,從而使信息系統具有更好的可靠性和可用性;4)安全審計技術。在系統規模的不斷擴大以及安全設施不斷完善的背景下,電氣企業應該引進集中智能的安全審計系統,采取行之有效的技術手段來自動統一審計網絡設備日志、業務應用系統運行日志、操作系統運行日志以及安全設施運行日志等,迅速自動的對系統安全事件進行分析,安全管理系統的運行。另外建立信息安全身份認證體系以及虛擬局域網技術也十分重要。

2.組織管理策略

組織管理措施以及技術措施統一在信息安全的范疇之內,由于管理方面的原因為造成的計算機安全事件的比重達到了70%以上,所以應采取必要的組織管理策略:1)安全策略和制度。電氣企業應該制定相關的政策方針來指導企業整體的信息安全工作,只有制定統一的、具有指導性的安全策略和制度才能有效的衡量信息的安全,才能形成安全的防護體系以及遵循信息安全制度,只有制定有效的安全策略和制度,才能實現具體化、形式化的法律管理,才能將法規與管理聯系在一起,確保信息的安全。2)安全意識和安全技能。電氣企業應該組織員工進行培訓,普及他們的安全知識,強化職工的安全意識,使他們具備安全防范意識并具備基本的安全技能,能夠處理常見的安全問題。通過安全培訓來提高職工的安全操作技能,再結合第三方安全技術和產品來提升信息安全保障;3)安全組織和崗位。本著保障企業信息安全的目的,電氣企業應該設立獨立的信息安全部門來管理企業信息的安全,實行“統一組織、分散管理”的方式來使信息安全部門全面負責企業的信息安全管理和維護。安全崗位是是根據系統安全需要設立的信息系統安全管理機構,這個職位主要負責某一個或是幾個安全事務,在全企業形成專門的信息安全管理工作,使各個信息技術部門也能配合和推行信息安全工作。

參考文獻

[1]覃郁培.信息管理技術在電力變電運行中的應用[J].民營科技,2010,(8)

篇8

【關鍵詞】盈余管理 盈余管理手段 關聯交易

一、信息管理與電力信息化概述

(一)信息管理概念。

信息管理是實現組織目標、滿足組織要求、解決組織環境問題而開發、規劃、集成、控制、利用信息資源,以提高信息利用率,使信息效用價值最大化的一種實現的一種戰略管理。

(二)電力信息化。

電力企業信息化建設更趨向于科學性、實用性、安全性以及效益性,電力企業開發了一系列企業管理和經濟運行有關的應用系統,目的在于提高生產和管理效益以及信息系統的實際使用效果。電能可以瞬間完成發電、輸電、配電直到用電,電力的生產和使用具有連續性、等量以及同時的特點,要想確保電力的安全生產以及資源的合理配置生產,必須要根據調度指令對電力系統的所有環節瞬時作出反應,電力系統的控制中心、調度中心要同時對發電、配電、輸電以及用電的各種數據進行全面掌握,并及時地分析、調度和處理,對生產運行進行科學的安排,要及時的處理大而廣、紛繁復雜的信息量,這使得信息處理工作面臨著一定的挑戰。而信息管理技術的出現正好為信息的處理帶來了極大的便利,它結合了GIS技術,能實現多源數據的迅速整合,便于電力系統的信息化管理,可以綜合管理大量的屬性數據和地理信息數據,可以為經營管理提供科學的決策支持以及現代化的管理手段,結合了網絡技術,更有利于提高信息的共享程度,促進信息管理系統實現電力信息的共享,有利于電力系統信息管理更加的透明。電力系統涉及到了十分廣泛的地理區域,需要多個部門對同一圖層進行編輯,傳統的GIS圖層數據不支持多用并發操作,只適合單用戶使用,它采用的是文件格式,采用文件服務器的方式來共享圖層,若不進行特殊處理,多用戶同時更新同一圖層文件時就會發生沖突。而新型的ORDBMS技術可以彌補這一缺陷,不會發生共享沖突,它采用的是面向對象的數據庫技術,可以集中式管理地理屬性數據和信息空間數據,支持版本管理以及并發操作,還支持完全數據庫存儲模式,能夠解決數據安全機制、存儲管理大量的數據、數據完整性以及多用戶編輯等方面的問題。

二、電力變電運行中運用信息管理的優勢

(一)先進性和開放性。

數據倉庫技術使數據有了更加廣泛的來源,便于使用,方便與MIS等系統接口,系統的構造和Internet模式進行了結合,應有前景良好。

(二)實用性強。

信息管理技術有利于變電運行中二次部分各類數據源的共享和使用,尤其是對于變電保護技術工作人員來說,有利于提高系統分析和數據統計的工作效率,有利于提高保護運行水平。

(三)可靠性高,易于維護和升級。

方法庫和數據倉庫的采用使得整個信息管理系統運行集中于網絡中心規則庫和數據庫,不再在各級用戶之間分散可靠性,即使其中一個客戶的工作站突然損壞了,也不會對系統其他部分的性能造成影響,并且很容易恢復,軟件開發人員只需改變方法庫就可以進行升級換代,既方便又快捷。

三、電力變電運行中采用的安全策略

(一)安全技術策略。

為了確保信息的安全,采取的必不可少的安全技術措施有:1)病毒防護技術。應該建立健全管理制度,統一管理計算機病毒庫的升級分發以及病毒的預防、檢測等環節,應該采取全面的防病毒策略應用于信息系統的各個環節,有效的防治和避免受到病毒的侵害;2)防火墻技術。防火墻技術主要用于隔離信任網絡與非信任網絡,它的檢查方式是通過單一集中的安全檢查點,強制實施安全策略來實現,避免非法存取和訪問重要的信息資源;3)數據與系統備份技術。電力企業必須制定數據備份策略,定期對數據庫進行備份,按照重要程度劃分數據備份等級,建立企業數據備份中心,采用災難恢復技術來備份應用系統以及關鍵業務的數據,并制定詳細的數據庫故障恢復預案以及應用數據庫備份,并定期的進行預演,以防止在數據遭到破壞或是系統崩潰時能夠及時的修復,從而使信息系統具有更好的可靠性和可用性;4)安全審計技術。在系統規模的不斷擴大以及安全設施不斷完善的背景下,電氣企業應該引進集中智能的安全審計系統,采取行之有效的技術手段來自動統一審計網絡設備日志、業務應用系統運行日志、操作系統運行日志以及安全設施運行日志等,迅速自動的對系統安全事件進行分析,安全管理系統的運行。另外建立信息安全身份認證體系以及虛擬局域網技術也十分重要。

(二)組織管理策略。

組織管理措施以及技術措施統一在信息安全的范疇之內,由于管理方面的原因為造成的計算機安全事件的比重達到了70%以上,所以應采取必要的組織管理策略:1)安全策略和制度。電氣企業應該制定相關的政策方針來指導企業整體的信息安全工作,只有制定統一的、具有指導性的安全策略和制度才能有效的衡量信息的安全,才能形成安全的防護體系以及遵循信息安全制度,只有制定有效的安全策略和制度,才能實現具體化、形式化的法律管理,才能將法規與管理聯系在一起,確保信息的安全。2)安全意識和安全技能。電氣企業應該組織員工進行培訓,普及他們的安全知識,強化職工的安全意識,使他們具備安全防范意識并具備基本的安全技能,能夠處理常見的安全問題。通過安全培訓來提高職工的安全操作技能,再結合第三方安全技術和產品來提升信息安全保障;3)安全組織和崗位。本著保障企業信息安全的目的,電氣企業應該設立獨立的信息安全部門來管理企業信息的安全,實行“統一組織、分散管理”的方式來使信息安全部門全面負責企業的信息安全管理和維護。安全崗位是是根據系統安全需要設立的信息系統安全管理機構,這個職位主要負責某一個或是幾個安全事務,在全企業形成專門的信息安全管理工作,使各個信息技術部門也能配合和推行信息安全工作。

參考文獻:

篇9

中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2010)06-1317-02

On Security Architecture for Enterprise Information Systems to Establish

LI Yu-lu

(Changzhou, Jiangsu Electric Power Company Power Company Information Center, Changzhou 213003, China)

Abstract: To improve the security of enterprise information systems that needs to start from the structure. This article describes the system structure of information system security status and structure of the standardized safety systems analysis, which describes the security requirements to meet the various security elements in the relationship between the proposed enterprise information security architecture model, in order to guide enterprise the development of safety standards, the system provides a reference.

Key words: enterprise information security; architecture; safety standard system

企業信息系統安全結構是計算機網絡安全系統結構的擴展。20 世紀80 年代末、90 年代初,信息系統安全系統結構的重要性開始引起發達國家關注。如,美國國家安全局(NAS) 20 世紀90 年代公布的國防信息系統安全計劃(DISSP) ,是由安全特性、系統組成部分、擴展的IS0 協議層等三維構成,它不僅考慮了信息傳輸安全、網絡安全,還考慮了信息處理安全、端系統及接口安全問題;此外,還增加了互操作性、質量保證、性能等安全特性。2001 年美國國家安全局(NAS )制定了信息技術保證框架(IATF),是從整體、過程的角度看待信息安全問題,它強調以人、技術、操作這三個核心原則,關注四個信息安全保障領域:保護網絡和基礎設施、保護邊界、保護計算環境、支撐基礎設施,并在4 個重點技術領域實施諸如應用層護衛、電路、文件加密等多種安全技術手段。再如,美國國防部所屬的國防信息系統局(DISA)1996 年制定了防御目標安全系統結構框架(DGSA V3.0),從系統單元構成的角度,提出了信息系統中各單元分的安全服務配置框架,目的是要從安全系統結構的高度對信息統的安全保護提出技術上和管理上的規范要求等。

在信息系統安全系統結構理論研究領域,有人提出開放分布式系統的安全結構;有人對網絡及信息系安全系統結構進行了初步的探討和研究,提出了計算機網絡實體安全系統結構和基于智能協作技術的信息系統安全系結構概念模型等。通過對上述的研究分析,可以看到國內外己有的安全系統結構和框架都描述了信息系統相關的安全系統結構及模型等安全要素,它們各不相同,實現方法等也并且都不完備。由于研究問題的層次和角度不同,對安全系統結構的具體含義的理解也同,從而導致信息系統安全系統結構在概念上、類型上及結構上的不一致,因此,為使信息系統安全系統結構研究和應用共同的概念依據和構建基礎,需要加強對信息系統安全結構的一些基本問題,諸如安全結構的類型及特征、構成要素及構建步驟等內容的學習研究,以引導企業安全系統的建立。

1 信息系統安全系統結構組成要素

實現信息安全系統結構的安全,要從多個方面考慮,通常定義的包括安全屬性、系統組成、安全策略、安全模型、安全機制等5 個方面。在每一個方面中,還可以繼續劃分多個層次;對于一個給定的層次,包括著多種安全要素。

1.1 安全屬性

安全本身是對信息系統一種屬性要求,信息系統通過安全服務來實現安全性。基本的安全服務包括標識與鑒別、保密性、完整性、可用性等。在1S07498 一2 中對安全服務和安全機制的對應關系給予了描述。它的核心內容是將5 大類安全服務:身份鑒別、訪問控制、數據保密、數據完整性、不可否認性及提供這些服務的8 類安全機制及其相應的0SI 安全管理等放置于0SI模型的7層協議中,以實現端系統信息安全傳送的通信通路。這樣從安全性到安全服務機制到具體安全技術手段形成了安全屬性的不同層次。

1.2 系統組成

系統組成描述信息系統的組成要素。對于信息系統的組成劃分,有不同的方法。可以分為硬件和軟件,在硬件和軟件中又可以進一步地劃分。對于分布的信息系統,可以將信息系統資源分為用戶單元和網絡單元,即將信息系統的組成要素分為本地計算環境和網絡,以及計算環境邊界。本地計算環境和網絡都還可以進一步劃分等。例如本地計算環境可以分為端系統、中繼系統和局部通信系統。端系統作為信息處理單元,可以繼續分為應用平臺和應用軟件;應用平臺包括操作系統、軟件工程服務、分布式服務、數據管理等:應用軟件中包括消息處理、web 應用等。

1.3 安全策略

在安全系統結構中,安全策略指用于限定一個系統、實體或對象進行安全相關活動的規則。 即要表明在安全范圍內什么是允許的,什么是不允許的。它直體現了安全需求,井且也有面向不同層次、視圖及原理的安全策略。其描述內容和形式也各不相同。對于抽象型和一般型安全系統結構而言,安全策略主要是對加密、訪問控制、多級安全等策略的通用規定,不涉及具體的軟硬件實現;而對于具體型安全系統結構,其安全策咯則是要對實現系統安全功能的主體和客體特性進行具體的標識和說明,亦即要描述允許或禁止系統和用戶何時執行哪些動作,井要能反射到軟硬件安全組件的具體配置,如,網絡操作系統的帳戶策略用戶權限策略和審計策略等安全策略就最終體現為發全功能的各種選項等。

1.4 安全模型

安全模型用于準確描述系絞在功能和結構上的安全特性,它反映了一定的支全策略,是引導、驗證安全系統開發設計的概念模型要求。對安全策略及形式化模型的研究起源于美國軍方對高安全級別的計算機系統的需求,它為計算機操作系統的安全性設計提供了理論基礎。這些安全模型通常被認為是經典安全模型。經典安全模型主要由身份標識、認證、授權、審核等4個環節構成。經典安全模型的前提假設是:引用監視器是主體對客體進行訪問的唯一路徑。身份標識與認證的機制是可靠的;審核文件和訪問控制數據庫本身受到充分的保護。而這些前提在實際的信怠系統中并不一定成立。因此,信息系統安全摸型的描述應反映相應層次和視圖上的安全策略。

1.5 安全機制

安全機制是實現信息系統安全需求及空全策略的各種措施,具體可以表現為所需要的安全白標準、安全協議、安全技術、安全單元等。對于不同層次、不同視圖及不同原理的安全系統結構,安全機制側重點也有所不同。例如:OSI安全系統結構中建議采用7種安全機制。而對于特定系統的安全系統結構,則要進一步說明有關安全機制的具體實現技術,如認證機制的實現可以有口令、密碼技術及實體特征鑒別等方法。

2 數學模型

把整個信息系統安全系統結構可看成為一個空間:組成信息系統安全系統結構的這些方面稱之為維,層次劃分中的特定層次下所包括的安全要素值均是每一維上的具體元素值的體現,通用的信息系統安全系統結構就是具有多維、多層和動態特性的空間(這里只是借用維空間的概念,除了考慮各維元素之間的相互作用而外并不考慮維空間中各個元素之間的運算)。通過數學描述,可以更好地對知識進行歸納和運用:一方面更容易量化,使得描述更為清晰;另一方面可以指導新的未知問題的探索,演繹出新的概念或理論。

3 結束語

企業信息系統安全系統結構的研究是一項復雜的系統工程。需要我們用系統工程的概念、理論和方法來研究、開發和實施系統安全結構的設計,安全系統結構理論就是要從整體上解決信息系統的安全問題,但目前在很多企業對安全系統結構的概念、類型、構建等問題上還沒有得到系統化的研究,以上從學習研究的角度對目前國內外安全系統結構和安全系統的研究進行了粗淺的學習分析,通過分析使對整個安全系統結構的認識進一步加深和清晰化,從而提出企業信息安全系統結構和模型。要使企業信息系統安全系統結構適合企業信息系統安全、全面、準確、可行的要求,同時要適應信息技術及其安全技術的飛速發展。只有這樣,才能確保信息安全系統適應更好地為企業服務。

參考文獻:

篇10

關鍵詞:商業秘密;信息安全;保護;資產;大數據

1信息安全工作的本質是商業秘密保護

商業秘密保護一直是企業內部管理的薄弱環節,企業也是信息安全泄密事件的高發群體,受到商業秘密侵權的損害也最大。其原因在于企業的創始人基本沒有商業秘密的意識,也沒有在機構上設立保密部門,更沒有建立有效的商業秘密保護管理機制,因此導致商業秘密容易被侵權。按照我國《反不正當競爭法》的規定,屬于商業秘密范疇的信息須具備以下三個條件:不為公眾所知悉、能帶來經濟利益、采取保密措施。根據商業秘密的特點,可以發現商業秘密屬于具有經濟價值且被保護的企業信息資源,這種資源在企業內部有限范圍內共享。當下,有關商業秘密的法律訴訟已不是新鮮事。2017年,安徽一橡塑制品公司員工辭職后入股競爭對手,不僅帶走老東家的技術資料,還“搶了”老顧客生意。法院采取“實質性相同加接觸”規則推定其與新東家構成侵權,判賠80萬元。據德國《經濟周刊》網站2017年12日報道,荷蘭警方日前逮捕了一名65歲男子,該男子為西門子員工,涉嫌將西門子商業機密泄露給中國企業,荷蘭檢察院目前正對此案展開調查。以上兩個案例中的企業商業秘密保護的一個側面。大數據時代的核心是資源共享,任何企業都不是一個封閉的組織,任何組織和個人都可以有償或者無償獲得他們所需要的信息。因此,要做好企業的信息安全工作,必須厘清商業秘密保護與信息安全之間的關系。商業秘密保護的對象是企業的技術或經營信息,因此商業秘密保護的本質也是保護信息安全。泄密事件層出不窮,泄密手段越來越高科技。大部分企業在信息安全工作中,存在一些典型的誤區:業務部門認為沒有商業秘密可言,搞信息安全只是IT部門的事情;業務部門不知道哪些信息屬于商業秘密,信息安全工作推進沒有依據;業務部門的海量信息都需要保護,保護范圍無限擴大,見圖1。

2信息安全工作不能奔走救火

市場經濟競爭越來越激烈,泄密風險越來越多,商業秘密的價值越來越高。泄密的途徑和方式多種多樣,要想做好信息安全工作,我們必須要了解主要的泄密途徑。(1)內部泄密。堡壘最容易從內部被攻破,在企業商業秘密泄密事件中,由于核心員工跳槽帶走商業秘密而造成的泄密事件時有發生而且占有很大的比例。據統計,企業內部人員侵犯商業秘密案件占全部案例的82.5%。人員流動是企業發展過程中所面臨的并且是無法回避的問題,在企業的商業秘密保護工作中,如何防止核心員工跳槽帶走商業秘密,人員管理固然是很重要的一個環節,但還應伴隨著一系列的管理措施。對于企業來說,證明商業秘密的存在本身就很困難,要證明企業員工是否利用了這種信息難度更大,尤其是難以區分一般信息與商業秘密信息的差別。所以,應通過競業限制條款以盡可能地避免員工利用商業秘密。(2)商業秘密信息管理不善。一些企業中存在著很多這樣的情況,企業一邊將一些技術文件、客戶資料和信息不分級別隨意管理,任何員工甚至未經任何手續就能隨意使用和得到這些信息,另一邊聲稱自己的商業秘密被泄露要加強管理甚至要進行索賠等,這種狀況是很難尋求到法律支持和保護的。所以,我們強調確定企業的商業秘密范圍,明確商業秘密保護的對象是商業秘密保護工作的關鍵環節。(3)接待外來人員采訪、參觀、考察、實習中疏忽大意。這樣的實例很多,我國一些具有“獨特工藝”的傳統產品企業就是在接待參觀和考察中,被人竊取“機密”。改革開放之初,日本人借著我國地方官員和民眾熱情迎接外賓,毫無商業保密頭腦的機會,來涇縣“參觀考察”中國宣紙制造,官員和工廠負責及技術人員陪同參觀,每一道制作工藝詳細講解,從而日本人輕而易舉獲取了宣紙制造的整個流程,以及“紙藥”的配方。如果企業能重視到商業秘密的保護,此種損失完全可以避免或降低。參觀應避開敏感區域,勿作詳細解釋,勿對生產制造工藝進行演示,并要求來訪者參觀商業秘密設備時簽訂保密協議。(4)對外信息。競爭對手通過公開的信息收集的合法途徑同樣能夠獲取企業商業秘密。還有一些企業甚至盯著對手公司經常使用的垃圾箱,從垃圾箱中翻閱廢棄資料,從而檢索有用信息。對此,企業一定要引起注意,最好建立嚴格的信息審批規章制度和辦事程序。比如信息公布、報廢產品、實驗廢品和產品的處理,展覽、新聞和廣告等,均需通過嚴密的信息處理和審批,以防無意中泄密。為了解決一個個具體的問題而立即行動,效果不會很好,久而久之,信息安全保護措施會流于形式、奔走救火。企業要防止自己的商業秘密被競爭對手竊取,必要采取各種保護措施。保護措施越多,保護效果越好,但同時保護成本也會增大,消耗企業的財富。但如果企業對商業秘密投入不足,會使保護能力欠缺,導致重要的商業秘密資產被泄密,企業面臨的損失可能會更大。因此,企業必須使投入的保護成本與需要保護的商業秘密資產價值相適應。

3保護信息安全的目標是降低風險

就商業秘密而言,沒有絕對的安全,只有相對的安全。信息安全的目的是,保護信息免受各種威脅的損害,以確保業務連續性,業務風險最小化,投資回報和商業機遇最大化。泄密風險只能降低,不可能杜絕。商業秘密范圍的確定是商業秘密保護最基礎的工作,只有準確的定義、識別并確定自己企業需要保護的商業秘密范圍,才有可能采取有效措施對范圍之內的商業秘密進行保護,如果范圍確定的不準確,就可能使商業秘密面臨缺乏保護或保護過度的風險。在明確商業秘密的范圍和定義的前提下,首先要做好“定密”工作,其次要做好“分級”工作,最后在采用各種手段去做“保密”工作。

參考文獻

[1]魏亮.云計算安全風險及對策研究[J].郵電設計技術,2011(10).

[2]徐祖哲.企業信息化與商業秘密保護[J].中國科技投資,2009(2).

[3]歐陽有慧.商業秘密的企業應對[J].商場現代化,2009(1).

[4]王紅一.免予公開的商業秘密的界定問題[J].暨南學報,2005(5).

[5]馮曉青.試論商業秘密法的目的與利益平衡[J].天中學刊,2004(12).