導語:在公司網絡信息安全的撰寫旅程中��,學習并吸收他人佳作的精髓是一條寶貴的路徑,好期刊匯集了九篇優秀范文����,愿這些內容能夠啟發您的創作靈感,引領您探索更多的創作可能。
第1篇
互聯網最初發展的目的在于方便人們的工作與生活,但是在發展的過程中逐漸形成了擴張性���、滲透性��、互動性的特點��,這些特點為各種的權益主張�����、思想激蕩碰撞有時甚至是違法犯罪提供了一個廣闊的媒介和平臺��。在一定程度上為網友的訴求提供了新的途徑�,給他們一個發表言論的平臺���;但是一旦利用不好就會給公安機關帶來極大的管理壓力�,在意識形態、輿論引導����、社會管控等方面產生的新情況�、新問題也讓黨在進行執政能力建設遭遇到了一定程度上的阻力��。在新的形勢下�����,公安機關要更加重視對網絡的安全保衛工作,將網絡保護放在工作中更為重要的位置�����,在進行戰略部署時�����,要對網上網下進行雙向部署,保證部署的全面性����。根據當前所面臨的局勢在原有政策的基礎上不斷創造與發展的同時要進一步加強組織決策者的領導能力����,能夠在大方向正確的基礎上穩步推進網絡安全保護工作的發展�����。
關鍵詞:
網絡安全���;公安信息建設����;公安工作
0引言
網絡日益發展����,公安機關建設的公安網在各種打擊違法犯罪中起到了重要的作用,這是“科技強警”“向科技要警力”口號的一個具體落實����。[1]公安機關將信息化運用于“網絡追逃”“網絡打拐”等偵查破案中�����,并成為了基本的偵察手段�����,公安網的迅速發展有利于不斷促進社會的穩定���、打擊預防犯罪并維護良好的社會治安���。我國公安機關對公安內網的建設投入了很多的人力物力���,因為一旦公安內網出現安全問題��,就會導致大量的內部工作信息和保密數據被泄露��,后果無法想象�����。從基層各級基本單位到公安部都存在著同樣的風險��,常常出現的問題有“一機兩用”等�。目前擺在公安機關面前的問題是如何運用更加先進的技術對公安內網的大量信息和數據進行良好的保護。
1公安網安全問題分析
1.1概述
公安信息網一般分為內網和外網�����。內網的用途一般是用來進行日常的辦公、辦案以及違法處理��;外網是用在民警搜集、檢索信息和材料所需要使用的網�。外網所遭受的攻擊和破壞主要是來自于病毒和木馬的攻擊��,這往往能夠通過防火墻等一系列措施進行安全保護。內網的攻擊來源與外網是不同的�����,主要來自于內部,并且比外網更容易遭到破壞的同時防范的難度也會更高����。為了防止外網的入侵�,在公安網的設計之初就將內網和外網的物理層斷開��,阻斷外網對內網進行入侵���,同時也為內網加裝了防火墻和入侵檢測設備,但是這些所起到的作用并不十分顯著���。[2]
1.2時常受到攻擊的原因
(1)隨著信息化網絡技術的不斷發展��,我國公安機關的網絡建設逐漸優化��,網上辦案系統的運用達到一個新的層次�。辦公自動化系統、網上執法辦案系統�、道路交通違法信息處理系統等大規模系統的使用和普及����,對內部網絡的通暢要求越來越高���。這是網絡常常遭到攻擊的原因之一���。
(2)公安系統內部網絡仍然具有一定的安全風險。網絡在使用的過程中常常會產生漏洞但是由于系統較多而沒有及時的進行修補����,這給黑客的攻擊提供了便利和降低入侵的難度���。隨著黑客技術不斷快速發展,對黑客的技術水平和要求也越來越低,因此從事黑客的難度也會越來越低。外網時常面臨著黑客攻擊的風險���,內部所面臨的威脅也不少���,公安內網大量的工作信息和數據也有被竊取的可能性,所以黑客對于公安網具有很強的破壞性和威脅性。湖南湘潭市公安局發生的工作人員使用黑客手段竊取內部網絡的信息和公安網的服務器密碼便是一個很好證明��,也為公安機關敲響了警鐘����。
(3)部分攻擊來自于內網�。數據保護在目前的公安網受到重視的程度不高,給一些不法之徒提供了破壞或者是盜竊的便利。保護不力主要體現在以下幾個方面:用戶直接對數據庫和服務器進行操作�,這導致了入侵者常常對關鍵數據進行破壞或者是竊取;民警進行數據處理時忽視了數據加密,使數據處于一種公開狀態��;公安機關在設計之初對用戶進行了權限等級的排序��,加大了管理難度�,這也會導致更高權限的用戶被出現越權操作的情況���;還有一種越權操作的情況是民警經常使用別人的賬戶的情況��。數據庫管理的不嚴格���、不嚴密導致了數據容易處于透明狀態�����、文件有時具有的共享屬性以及用戶使用的不嚴謹都導致了內部網絡經常遭到了破壞����。
2安全措施
通過前文的原因分析���,受到攻擊后的內網造成的嚴重后果是顯而易見的���。如何對內網進行安全建設��,加強網絡保護�,盡量減少因為遭受攻擊而導致的后果是目前我國的公安系統必須要重視的一個重點�����。通過筆者自身的基層實習,對公安機關有以下幾個建議:
(1)完整公安網絡體系的建設�����。公安機關必須摒棄過去混亂的網絡管理和使用模式�,進行至上而下的完整體系建設。配備裝置良好的安全防護工具是首先要做到的�,并對從上公安部到下的基層民警都需要進行統一建設����。在選擇安全防護產品是要注意售后服務系統的完善����,重點在保密和防護各方面都需要有良好的性能。在有了優秀的安全防護工具之后�����,需要有一批高水平的專業技術人才進行日常系統建設和維護�����,建設一支具有高水平的網絡安全維護隊伍有利于提高公安系統整體的水平和素質�。
(2)對網絡安全的重要性向廣大民警大力宣傳,提高廣大民警的計算機安全保護意識����。宣傳不僅要在公安部進行����,更要在各個基層公安機關進行不同方式的宣傳��,主要方式有全體民警會議等��。宣傳主要分為三個方面:一是提高廣大民警對計算機網絡安全保密工作的重要性��;二是操作公安網計算機安全保密的重要性�����;三是增強民警計算機網絡安全信息保密的重要性���,概括來說即為網絡安全����、操作安全、信息安全三個主要方面�。公安機關所使用的計算機必須要設置難度較大的密碼,無密碼設置給黑客攻擊提供了一定的便利;進行數據備份����,避免因為電腦的故障或者是黑客的入侵導致數據破壞導致數據丟失����;公安機關定期對電腦計算機網絡進行檢修或是出現故障需要外界人員對電腦進行接觸時�����,要有專人在場進行監督�����,避免數據被竊取���,并在接觸之后離開之前將設備取回����。
(3)加強公安機關內網的安全管理建設�。在安全管理方面���,公安機關要盡快的形成一套完整的管理方法�����,將安全管理建設落實到制度中去�,將每個人的責任界定清楚避免出現責任不明確相互推諉的情況�����。公安機關內的計算機的用戶和權限都要進行明確的劃分�,民警簽訂每臺機子的網絡安全責任書��,避免出現“一機兩用”的情況�。因為這種情況可能造成計算機感染病毒�����,其中的數據遭到竊取或是破壞。這很有可能導致公安機關內部網絡信息泄露。提高民警網絡安全保護意識的同時要嚴格的執行各項安全保護制度�,“八條紀律”和“四個嚴禁”要嚴格遵守����,違者將會受到嚴厲的處罰�����,若是造成了數據破壞或是泄露的情況,將會追究相關的法律責任����?!豆簿W絡安全考核準則》中規定了各個單位都要有網絡安全主管領導和網絡安全管理員對本單位的網絡安全進行實時監控和管理���。
(4)提高網絡安全技術的水平和層次���。入侵檢測、攻擊防范�����、數據修復是網絡安全策略的三個重點。內部安全防范的技術水平已經達到一個較高的水準���,因此應在對防范人的方面提高重視程度��。只有及時的發現入侵者�,才能更好的解決問題,不多走彎路����。入侵檢測工作的同時我們要注意對黑客攻擊進行防范�。數據傳輸的過程是比較容易遭到黑客竊取的時間點,因此在進行數據傳輸時要采取相應的加密措施。安全的密匙分發制度能夠防止用戶對業務的否認和抵賴,同時數據遭竊后被破解的可能性也會降低,提高了數據傳輸時的安全性�。要時刻注意數據備份,當網絡被黑客入侵,關鍵數據被破壞時能夠及時使用備份�����,減少對公安機關正常工作帶來的影響�。
3結束語
公安系統網絡安全建設是一項長期建設的過程。公安機關首先要真正認識到建設的重要性并對其加以重視并采取相應的措施進行建設才能推動網絡安全建設的不斷發展��。筆者作為公安機關計算機教育的從業人員,對信息安全的重要性有一個明確的認識��。前文所提到的只是想為公安機關敲響一個警鐘,希望有關部門能夠重視起來并進行溝通建設�����,努力推動網絡安全技術的不斷革新與發展���。
作者:趙冉 單位:山東省昌邑市公安局
參考文獻:
第2篇
信息安全是指計算機網絡系統中的硬件����、軟件和其他數據等不受非法用法的破壞��,主要指未經授權的訪問者無法使用訪問數據和修改數據���,而只給授權的用戶提供數據服務和可信信息服務�����,并保證服務的完整性��、可信性和機密性�����。電力信息安全是指供電系統中提供給用戶或公司內部員工的數據是安全的����、可信的。供電公司管理系統是個繁雜的系統,涉及用電客戶和公司內部員工及第三方托管服務公司���,系統的信息安全一直是公司發展的瓶頸�����。正確評估供電公司信息安全系統的合理性和安全性�,針對安全風險進行分析,最后制訂供電公司信息安全的策略非常重要,也是至關重要的����。
2供電企業信息安全的影響因素
盡管供電公司投入了大量的財力���、物力建設電網信息安全系統,但供電企業內部網絡仍不健全,存在許多安全隱患�。另外,供電公司信息化水平不高����,信息安全保障措施薄弱也制約了其信息安全系統的建設�。要構建一個健全的供電公司信息安全保障體系���,就要首先分析供電公司信息安全的影響因素�,對癥下藥���,進一步提出供電企業加強信息安全管理的對策��。
2.1不可抗拒因素
所謂“不可抗拒因素”�,就是由于火災�����、水災��、供電、雷電��、地震等自然災害影響���,供電公司的供電線路��、計算機網絡信號��、計算機數據等受到破壞�,并威脅到供電公司的信息安全。
2.2計算機網絡設備因素
供電公司計算機系統中使用大量的網絡設備�,包括集線器、網絡服務器和路由器等�,其正常運行關系著供電公司內部網絡的正常運行,而計算機網絡設備的安全直接關系著供電公司的正常運行�����。
2.3數據庫安全因素
供電公司計算機系統監控用戶峰值,管理用電客戶信息及其他用戶繳費等情況�����,計算機數據庫的系統安全決定了供電企業的調度效率��,也決定了供電公司公共信息的安全�����。供電公司應該使用專用網絡設備,確保企業內部網絡與外部互聯網的隔離���。
2.4管理因素
供電公司員工的業務素質和職業修養參差不齊�,直接影響到供電公司的網絡安全��。供電公司應該建立過錯追究制度�����,提高員工的信息化素質��,有效防止和杜絕管理因素造成的信息安全問題����。
3供電企業加強信息安全管理的對策
3.1提升員工信息安全防患意識
開展信息安全管理工作�����,并非僅僅是系統使用或者管理部門的事��,而是企業所有職工的事�����,因此�,要增強全體員工的信息安全和防患意識�����。通過采取培訓和考核等有力措施�����,進一步提升全體員工對企業信息安全的認識���,讓信息安全成為企業日常工作業務的一個組成部分,從而提升企業整體信息安全水平。
3.2采用知識型管理
傳統的安全管理大部分采取的是一種硬性的管理手段���。在當今知識經濟的時代�����,安全管理應當以知識管理為主���,從而使得安全管理措施與手段也越來越知識化�、數字化和智能化���,促使信息安全管理工作進入一個嶄新的階段���。
3.3設置系統用戶權限
為了預防非法用戶侵入系統�����,應按照用戶不同的級別限制用戶的權限����,并投入資金開展安全技術督查和安全審計等相關活動����。信息安全并非一朝一夕就能完成的事����,它需要一個長期的過程才能達到較高的水平��,需建立并完善相應的管理制度�,從平時的基礎工作著手,及時發現問題��,匯報問題�,分析問題并解決問題。
3.4防范計算機病毒攻擊
加速信息安全管控措施的建設�,在電力信息化工作中����,辦公自動化是其中一項非常重要的內容��,而核心工作業務就是電子郵件的發送與接收,這也正是計算機病毒一個非常重要的傳播渠道����。因此,必須大力促進個人終端標準化工作的建設�,實現病毒軟件的自動更新����、自動升級,不得隨意下載并安裝盜版軟件�;加強對木馬病毒等的安全防范措施�����,對用戶訪問實施嚴格的控制�����。
3.5完善信息安全應急預案
嚴格規范信息安全事故通報程序��,對于隱瞞信息事件的現象��,必須嚴肅查處����。對于國家和企業信息安全運行動態���,要及時通報���,分析事件�,及時信息安全通告���。對于己經制定的相關預案和安全措施��,必須落到實處。另外��,還要進一步加強信息安全技術督查隊伍的建設�,提高信息安全考核與執行的力度。
3.6建立信息安全保密機制
加強信息安全保密措施的落實����,禁止將計算機連接到互聯網及其他公共信息網絡�����,完善外部人員訪問的相關授權、審批程序。定期組織開展信息系統安全保密的各項檢查工作����,切實做好文檔的登記�、存檔和解密等環節的工作。
4結束語
第3篇
三年以上工作經驗|男|26歲(1987年7月6日)
居住地:上海
電 話:139********(手機)
E-mail:
最近工作 [ 1年6個月]
公 司:XX網絡有限公司
行 業:通信/電信/網絡設備
職 位:網絡信息安全工程師
最高學歷
學 歷:本科
?!I: 信息安全
學 校: 北京工業大學
自我評價
本人畢業于信息安全專業����,有多年的網絡安全方面的從業經驗�,熟悉風險評估和計算機等級保護。有扎實計算機知識和應用能力,熟悉各項網絡安全技術,如防火墻�、病毒防范����、備份技術等�����。性格開朗�、穩重��、有活力���,待人熱情�����、真誠。工作認真負責�,積極主動���,能吃苦耐勞���。喜歡思考�����,虛心與人交流,以取長補短�����。有較強的組織能力��、實際動手能力和團體協作精神����,能迅速的適應各種環境。
求職意向
到崗時間:一個月之內
工作性質:全職
希望行業:計算機服務(系統���、數據服務�����、維修)
目標地點:北京
期望月薪:面議/月
目標職能: 系統工程師
工作經驗
2012/8—至今:XX網絡有限公司[1年6個月]
所屬行業: 通信/電信/網絡設備
技術部 網絡信息安全工程師
1����、負責分析公司網絡的安全架構及應用開發需求����;
2、負責根據網絡的安全管理需求進行測試計劃分析及測試方案設計;
3�����、負責對網絡管理系統進行功能測試及穩定性測試��;
4���、負責對企業賬號管理系統進行安全性測試及可用性測試��;
5��、負責根據測試結果�,對軟件開發及流程進行改進���,以保證軟件的質量。
2011/7—2012 /7:XX計算機服務公司[1年]
所屬行業: 計算機服務(系統�、數據服務����、維修)
技術部 系統工程師
1���、負責服務器的管理維護���;
2、負責為公司內部員工帳號的創建和管理��;
3����、負責創建備份策略����,監控備份進度����,確保達到公司安全策略標準����;
4、負責日常服務器運營報告的創建和更新��;
5、負責定期為服務器進行安全性升級�����,確保安全策略符合公司及客戶要求����。
2010/6—2011 /6:XX科研公司[1年]
所屬行業:學術/科研
技術部 信息安全分析師
1�����、負責信息系統等級保護、信息安全管理體系建設等信息安全服務業務的市場推廣�����;
2���、負責信息安全規劃及建設方案的設計與編寫工作����;
3�����、負責專業技術人員的培養�����、培訓等技術團隊的建設和管理工作;
4���、負責信息安全服務資質的申請�、審核����、續評、維持等工作�����;
5�、負責信息安全領域和涉及信息安全的其它領域科研課題申報與研究工作����;
6�����、 負責協助市場部門進行信息安全服務和產品的宣傳策劃工作。
教育經歷
2006 /9—2010 /6 北京工業大學 信息安全 本科
證 書
2007/12 大學英語六級
2007 /6 大學英語四級
第4篇
關鍵詞 信息安全風險�����;控制;策略
中圖分類號:TP309 文獻標識碼:A 文章編號:1671-7597(2013)12-0144-02
信息化時代�����,計算機應用范圍日益廣泛����,社會發展和人們生活已經離不開信息網絡。信息成為企業中重要的資源之一��,很多企業都大量引入了信息化辦公手段�,運行于系統��、網絡和電腦的數據安全成為了企業信息安全面臨的重要問題。盡管很多企業都認識到信息安全風險管理的重要性���,也紛紛從人員配置��、資金投入����、技術更新等多方面加強對信息安全風險的管理��,但是企業信息安全風險并沒有隨之消失�,相反卻在不斷地增長。現在��,公司在越來越多的威脅面前顯得更為脆弱��。網絡攻擊日益頻繁�、攻擊手段日益多樣化�,從病毒到垃圾郵件��,這些方式都被用來竊取公司信息。�����,如不提前防范�����,一旦被襲��,網絡阻塞�����、系統癱瘓�����、信息傳輸中斷���、數據丟失等等�,無疑將給企業業務帶來巨大的經濟損失����。
中國國家互聯網應急中心抽樣監測顯示,2011年,網絡安全威脅呈蔓延之勢�����,有近5萬個境外IP地址作為木馬或僵尸網絡控制服務器,參與控制了我國境內近890萬臺主機���,網上資產損失就高達十多億。仿冒我國境內銀行網站站點的IP���,也有將近3/4來自美國。可見企業信息安全風險控制勢在必行����,不僅僅是企業需要關注的問題���,也是涉及到國家安全的重要課題�。
1 企業信息安全風險分析
1.1 黑客的入侵和攻擊
企業面臨著一系列的信息安全威脅��,其中最普遍的一種信息安全威脅就是病毒入侵。一些教授黑客技術的網絡資源隨處可見,很多年輕人處于好奇或者出于牟利目的��,從網上購得黑客技術,對企業網站進行攻擊�。2011年4月26日,索尼在“游戲站”博客通告,稱黑客侵入旗下“游戲站”和云音樂服務Qriocity網絡�����,竊取大量用戶個人信息����,包括姓名、地址��、電子郵箱、出生日期�、登錄名���、登錄密碼����、登錄記錄����、密碼安全問題等,受影響用戶大約7800萬�。黑客入侵方式中危害最嚴重的當屬SQL注入����。SQL注入的實際意義是利用某些數據庫的外部接口把用戶數據插入到實際的數據操作語言當中,從而達到入侵數據庫乃至操作系統的目的��,很多黑客通過SQL注入交互和命令�,利用數據庫實現木馬植入到網站中。SQL注入和緩沖區溢出漏洞相比,可以繞過防火墻直接訪問數據庫,進一步獲得數據庫所在的服務器權限,給企業造成的損失十分慘重����,更使廣大互聯網用戶深受其害���。
1.2 企業信息安全防范意識薄弱
目前�����,很多企業都加強了信息化建設,通過資金投入、技術改造等多方面加強企業信息安全。但是信息風險不僅僅是技術層面的東西����,更重要是人的意識層面對安全風險的認識���。在企業中����,很多部門和個人依然對信息安全風險問題不重視�,有的認為信息風險安全是網絡部門的事情,與其他部門或者員工沒有關系,而且也幫不上忙���;有的人認為對信息安全的宣傳有夸張的嫌疑,真正遭受過網絡攻擊的企業屈指可數,肯定不會發生在自己身上���;有的企業 缺乏信息安全風險管理的制度建設�����,沒有出臺具體的故障制度�,造成很多情況下��,員工無章可循��,不知道怎么應對網絡信息風險,出現問題也不知道如何化解和處理�����。有的企業盡管已經制定了規章制度�����,但很多都是流于形式���,沒有針對性�,也沒有操作性���,長年累月不進行更新和修改���,滯后于信息化時展的要求�����。
1.3 技術裝備和設施的作用發揮不充分
很多企業為了加強信息安全風險管理,都有針對性的部署了一些信息安全設備,然后這些從安裝上就很少有人問津�����,設備的運行狀況和參數設置都不合理�����,都是根據系統提示采用默認設置�,由于企業與企業之間有很大的不同��,企業之間的信息安全風險也相差迥異���,采用默認狀態無法照顧企業的真實情況,不能從源頭上有針對性的加強信息安全風險管理�����。很多企業缺乏對安全設備以及運行日志的監控�����,不能有效的根據設備運行狀況進行細致分析���,從而采取適當措施加強信息風險管理��?�?傊谄髽I信息安全風險管理中被動保護的情況比較普遍��,缺乏主動防御的意識��,而且對于大多數中小企業而言,企業資金和規模都比較小,面臨激烈的市場競爭,企業將主要精力用于市場開拓和產品的影響,以期在短時間內獲得可觀的利潤,企業在信息安全風險上的投入比較少�,很多設備都老化了��,線路都磨損嚴重,卻沒有得到及時更新和維護,為企業安全風險管理埋下了隱患����。
1.4 企業信息安全規定不嚴謹
很多企業在實際工作制定了大量的安全管理規定���,但是在實際操作中����,對企業員工以及信息服務人員的口令卡�、數據加密等要求很難得到落實。部分員工長期使用初始口令、加密強度較弱的口令��,有的員工登陸系統時使用別人的賬號��,使用完畢后也沒有及時關閉賬號���,也不關電腦�,外來人員很容易登陸電腦竊取企業機密文件�����,公司內部也缺乏信息安全風險管理的意識�,員工可以任意下載企業資料���,可以隨意將企業資料設置成共享狀態,在拷貝企業文件或者數據時��,也沒有經過殺毒過程��,直接下載或者用郵件發送。甚至很多企業員工在上班時間看電影、玩游戲����、下載文件比較普遍���,員工隨意打開一些不安全的網站���,隨意接受一些來源可疑的郵件����,成病毒傳播�、木馬下載、賬號及密碼被盜,自己還渾然不知。這些不良行為都嚴重威脅企業的信息安全���,加上現代企業人員流動比較頻繁,員工跳槽很普遍���,很多員工離職后也沒有上交公司賬號和口令卡,依然可以登錄原公司系統,給企業網絡風險帶來隱患。企業廢棄不用的一些安全設備也沒有及時進行加密和保護處理,里面的數據沒有及時進行刪除,安全設備隨意放置���,外人很容易從這些設備中還原和復制原有的信息資源。
2 企業信息安全風險的控制
2.1 加強基礎設施建設資金投入
企業要加強信息安全風險防范的資金投入,資金投入主要用于企業日常安全信息管理��、技術人員的培訓以及安全設備的購置等等����,每年企業從企業利潤中拿出一定比例的資金來加強信息安全的投入,投入的資金與企業規模、企業對信息安全的要求息息相關�����。針對很多公司信息化設備老化����,線路損耗嚴重的現實情況�,企業要加強線路的維護和改造,購買新的防火墻和殺毒軟件等等���,在采購和使用信息安全產品時,企業一定要重視產品的管理功能是否強大�����、解決方案是否全面���,以及企業安全管理人員的技術水平��。例如企業可以購入UPS電源���,突然停電時可以利用該電源用來應急�����,以保證公司信息化建設中系統的正常運行和設備技術的及時更新。
2.2 提高個人信息安全意識
維護企業計算機網絡信息安全是企業每一位員工都應該關注的課題���,企業要加強信息安全風險防范的宣傳,讓每一位員工都對基本得到網絡安全信息技術有所了解��,對計算機風險的重要性有清楚的認識��,每位員工尤其是網絡技術服務人員要把口令卡和賬號管理好����,不能泄露或者遺失��,使用者的網絡操作行為和權限都要進行一定的控制���,防止企業員工越權瀏覽公司信息��,對于一些涉及企業機密的文件要及時進行加密,對文件是否可以公開訪問進行限制�,減少不合法的訪問���。還要及時清理文件����,一些廢棄的或者沒有價值的文件要及時進行刪除�����,要徹底刪除不能僅僅放到回收站��,保證其他人無法通過復制或者還原電腦設備中的信息����。對于企業電腦設備要注意防磁���、防雷擊等保護措施����,企業職工要對電腦設備的基本保養和維護措施有了解,不要在過于潮濕�����、氣溫過高的地方使用電腦�����,要懂得如何對電腦系統繼續軟件更新和漏洞的修補,從而保證計算機處在最優的防護狀態,減少病毒入侵��。
2.3 加強防火墻設計
由員工網絡操作不當造成的黑客入侵�����、商業機密泄露也威脅著企業的生存和發展�����。一直以來,企業信息安全解決方案都需要來自多個制造商的不同產品�,需要多個工具和基礎結構來進行管理����、報告和分析�。不同品牌、不同功能的信息安全設備被雜亂無章地堆疊在企業網絡中,不但兼容性差,還容易造成企業網絡擁堵����。正確地部署和配置這些復雜的解決方案十分困難�,而且需要大量時間�。另外,大量安全產品互操作性不足,無法與已有的安全和 IT 基礎結構很好的集成���。這樣組成的解決方案難以管理���,增加了擁有者總成本���,并可能在網絡上留下安全漏洞���。企業可以引入終端安全管理系統進行信息安全風險的防范�,例如瑞星企業終端安全管理系統采用了統一系統平臺+獨立功能模塊的設計理念,集病毒查殺雙引擎、專業防火墻和信息安全審計等于一身����,具有網絡安全管理����、客戶端行為審計��、即時通訊管理和審計、客戶端漏洞掃描和補丁管理等功能;企業信息安全新品還采用了模塊化的新形式����,企業可以根據自己的需求定制相應的功能組合;通過瑞星在線商店,企業也可以隨著信息安全需求的變化添加所需模塊�,減輕首次購買的支付成本及后續的升級成本。
總之�,隨著網絡應用的日益普及,企業信息安全風險問題日益復雜���。要切實加強對信息安全風險的認識�����,從規章制度�、技術手段以及宣傳教育等多方面加強企業信息安全風險防范���,確保網絡信息的保密性����、完整性和可用性。
參考文獻
[1]夏青.淺述網絡技術與信息安全[J].科技情報開發與經濟��,2003(11).
[2]馬俊,王鐵存.網絡數據傳輸安全對策[J].航空計算技術���,2006���,25(4).
[3]李象江.網絡安全技術與管理[J].現代圖書情報,2006(2).
[4]陳月波.網絡信息安全第1版[M].武漢:武漢工業大學出版社�����,2008.
[5]劉正紅.XML加密技術的研究與實現[J].長春大學學報,2007�����,17(6).
[6]劉寶旭.網絡信息系統安全與管理[J].中國信息導報,2000(11).
第5篇
關鍵詞:信息安全;威脅;管理模式;桌面終端
在當今的信息時代,我們的生活和工作方式受到信息技術發展的巨大影響,時時刻刻都在發生著改變,而現行企事業單位的管理模式也在這種“大環境”下不斷地推陳出新����。作為各大國有企事業信息管理部門,必須考慮到當前技術的發展給我們的工作帶來的機遇和威脅。
一�、當前信息網絡的安全形勢
目前,幾乎所有企業�、事業單位��、行政部門都面臨著內部信息泄漏的問題����。FBI對484家公司調查顯示:85%的安全損失是由企業內部原因造成的。面對來自于公司內部的安全威脅,很多員工都有切身感受,雖然不會有股票的跌漲刺激感官強烈,但是他們一定遇到過類似的事情����。由于粗心誤操作造成公司服務器上重要文檔丟失;由于沒有設定員工在系統內的訪問權限,使一些業務秘密出現在本不應有查閱權的員工計算機上,并不小心將其泄露……對于這些來自公司內部的信息安全問題,不是簡單的安裝了殺毒軟件或防火墻就能解決的,單純的“免疫”手段在“網絡風險”、“軟件風險”日益嚴重的今天,都已經不足以讓人信任和依賴���。
據調查統計,90%以上的計算機終端用戶使用的是windows2000,XP或以上的操作系統,而這些系統的安全漏洞及系統缺陷非常多����。雖然微軟公司會通過定期在網站上安全補丁來彌補這些漏洞,而一些軟件公司也會對自己開發的軟件進行不斷地更新和升級,但由于終端用戶缺乏相關知識,導致補丁安裝的不及時��、不完全,這就會影響終端計算機的安全,從而影響整個內部網絡安全�����。
二�����、企事業單位網絡終端計算機安全現狀
大中型企事業單位、政府辦公網絡,桌面終端計算機數量隨著辦公的需要不斷增多,而出現的網絡問題也日趨明顯。常見的情況主要有:計算機感染病毒���、被安裝木馬;有些不明程序不斷搶占IP地址(ARP病毒)堵塞整個網段,使該網段用戶都不能上網�����。除此以外,部分員工使用公司辦公電腦私自從網絡上下載海量資源,迅雷����、BT���、電驢這些下載工具都會搶占網絡通道,這樣就導致了其他一些用戶使用辦公電腦辦公時網速非常低,嚴重時網頁無法顯示,不僅影響了其他員工的工作,還降低了整個公司的工作效率���。
這種問題在當下的網絡時代普遍存在于現有的企事業單位,尤其是一些已經擺脫了紙張,進入“無紙化”辦公的先進單位更為明顯��。由于難于發現高危計算機,并對其進行定位,因此一旦問題發生,就需要大量的故障排查時間�。如果同時有多臺計算機感染網絡病毒或者進行非法操作,就會造成網絡癱瘓,從而致使其他正常網絡業務無法使用��。
現階段,所有企業都在努力尋找一種有效的手段來扭轉這種嚴峻的局面,并盡可能地出臺大量的信息網絡管理規定�����。例如:禁止在辦公計算機內安裝BT下載軟件,禁止在個人終端設備中安裝網絡游戲軟件,禁止私自更改電腦的安全設置,禁止將外部的電腦接入單位的內部網絡等行為。但是,由于缺乏技術和管理手段�����、考核制度、使用標準���、用機規范等,都不能夠有效切實地執行,這樣就使企業內部的信息網絡安全水平很低,衍生了諸多不可控制的安全隱患�����。
三�、通過網絡防護與終端防護共筑信息安全長城
以往提起信息安全,人們更多地把注意力集中在防火墻��、防病毒����、IDS(入侵檢測)、網御設備、網絡交換設備的管理上,卻忽略了對網絡環境中的計算單元――服務器�、臺式機乃至便攜機的管理���。
近兩年的安全防御調查表明,政府、企事業單位中超過80%的管理和安全問題來自終端,計算機終端廣泛涉及每個用戶,由于其分散性、不被重視��、安全手段缺乏的特點,已成為信息安全體系的薄弱環節。因此,隨著信息技術的不斷進步,網絡安全防護的工作重點開始發生轉移,安全戰場已經逐步由核心與主干的防護,轉向網絡邊緣的每一個終端���。網絡管理員已經不是信息安全的唯一負責人,計算機終端用戶才是信息安全的第一責任人���。
四、建設桌面終端安全管理系統的意義
伴隨著網絡管理業務密集度的增加,在信息安全防護領域興起了終端桌面安全管理技術��。作為網絡管理技術衍生的邊緣產物,它同傳統安全防御體系的缺陷相關聯,是傳統網絡安全防范體系的補充,也是未來網絡安全防范體系的重要組成部分。由此看來,終端桌面管理的發展趨勢和技術特點,才是信息安全防護趨勢的導向�����。在進行桌面終端安全防護部署時,必須把提升信息安全的關鍵放在提升計算機終端安全水平上。
如何有效地管理計算機終端成了當前的熱點話題,而桌面計算機安全管理系統的應運而生就顯得尤為重要了����。第一可以通過批量設置計算機的安全保護措施提高桌面計算機的安全性,及時更新桌面計算機的安全補丁,減少被攻擊的可能;第二,它還可以實現動態安全評估,實時評估計算機的安全狀態及其是否符合管理規定,比如說,評估計算機的網絡流量是否異常,評估計算機是否做了非法操作,評估計算機的安全設置是否合理等;第三,通過系統中進行策略的配置,對計算機終端進行批量的軟件安裝���、批量的安全設置等,防止外來電腦非法接入,避免網絡安全遭受破壞或者信息泄密;第四,利用桌面系統的高科技手段,能夠確保本單位的計算機使用制度得到落實,使“禁止撥號上網,禁止使用外部郵箱,禁止訪問非法網站,禁止將單位機密文件復制、發送到外部”等這一系列管理措施得以貫徹和執行;第五,在網絡出現安全問題后,桌面終端系統可以對有問題的IP/MAC/主機名等進行快速的定位,便于管理員迅速排查故障;最后一點可以稱之為桌面系統的“增值服務”,在保證信息網絡安全的同時,還能對計算機的資產進行有效地管理和控制����。
這些功能的實現,淺表地說能夠持續有效地解決大批量的計算機終端安全管理問題,真正的意義在于能夠切實地幫助企業內部各種管理規定有效地執行��。如今憑借這些高科技手段,全面提升企事業單位內部信息化工作水平已經不再是紙上談兵。
五���、結語
企事業單位要在信息技術高速發展的今天立于不敗之地,就必須結合自身客戶的網絡結構����、終端特點和管理模式,搭建安全��、穩固的內部IT架構�。而桌面終端安全管理的應用,將極大地提高信息安全系數,使企業信息風險降到最低���。
參考文獻:
[1] 閆龍川,劉永志,來鳳剛.計算機終端安全管理系統及其應用[J].電力信息化,2009,(7).
[2] 馬國勝.桌面安全管理系統的應用[J].中國金融電腦,2009,(4).
第6篇
關鍵詞信息安全;PKI���;CA����;VPN
1引言
隨著計算機網絡的出現和互聯網的飛速發展,企業基于網絡的計算機應用也在迅速增加,基于網絡信息系統給企業的經營管理帶來了更大的經濟效益���,但隨之而來的安全問題也在困擾著用戶�,在2003年后�,木馬、蠕蟲的傳播使企業的信息安全狀況進一步惡化。這都對企業信息安全提出了更高的要求����。
隨著信息化技術的飛速發展���,許多有遠見的企業都認識到依托先進的IT技術構建企業自身的業務和運營平臺將極大地提升企業的核心競爭力�����,使企業在殘酷的競爭環境中脫穎而出。面對這瞬息萬變的市場��,企業就面臨著如何提高自身核心競爭力的問題�����,而其內部的管理問題、效率問題�、考核問題、信息傳遞問題����、信息安全問題等�,又時刻在制約著自己�,企業采用PKI技術來解決這些問題已經成為當前眾多企業提高自身競爭力的重要手段。
在下面的描述中����,以某公司為例進行說明���。
2信息系統現狀2.1信息化整體狀況
1)計算機網絡
某公司現有計算機500余臺���,通過內部網相互連接�����,根據公司統一規劃���,通過防火墻與外網互聯。在內部網絡中,各計算機在同一網段�����,通過交換機連接����。
圖1
2)應用系統
經過多年的積累��,某公司的計算機應用已基本覆蓋了經營管理的各個環節,包括各種應用系統和辦公自動化系統。隨著計算機網絡的進一步完善��,計算機應用也由數據分散的應用模式轉變為數據日益集中的模式���。
2.2信息安全現狀
為保障計算機網絡的安全��,某公司實施了計算機網絡安全項目����,基于當時對信息安全的認識和安全產品的狀況,信息安全的主要內容是網絡安全���,部署了防火墻�����、防病毒服務器等網絡安全產品����,極大地提升了公司計算機網絡的安全性����,這些產品在此后防范網絡攻擊事件、沖擊波等網絡病毒攻擊以及網絡和桌面日常保障等方面發揮了很大的作用����。
3風險與需求分析3.1風險分析
通過對我們信息系統現狀的分析�����,可得出如下結論:
(1)經營管理對計算機應用系統的依賴性增強,計算機應用系統對網絡的依賴性增強�����。計算機網絡規模不斷擴大,網絡結構日益復雜。計算機網絡和計算機應用系統的正常運行對網絡安全提出了更高的要求���。
(2)計算機應用系統涉及越來越多的企業關鍵數據,這些數據大多集中在公司總部數據中心,因此有必要加強各計算機應用系統的用戶管理和身份的認證�����,加強對數據的備份����,并運用技術手段�,提高數據的機密性���、完整性和可用性���。
通過對現有的信息安全體系的分析,也可以看出:隨著計算機技術的發展���、安全威脅種類的增加�,某公司的信息安全無論在總體構成����、信息安全產品的功能和性能上都存在一定的缺陷,具體表現在:
(1)系統性不強,安全防護僅限于網絡安全�,系統�、應用和數據的安全存在較大的風險。
目前實施的安全方案是基于當時的認識進行的�����,主要工作集中于網絡安全���,對于系統和應用的安全防范缺乏技術和管理手段。如缺乏有效的身份認證�����,對服務器����、網絡設備和應用系統的訪問都停留在用戶名/密碼的簡單認證階段��,很容易被冒充;又如數據備份缺乏整體方案和制度規范,容易造成重要數據的丟失和泄露��。
當時的網絡安全的基本是一種外部網絡安全的概念�����,是基于這樣一種信任模型的��,即網絡內部的用戶都是可信的。在這種信任模型下���,假設所有可能的對信息安全造成威脅的攻擊者都來自于組織外部,并且是通過網絡從外部使用各種攻擊手段進入內部網絡信息系統的�。
針對外部網絡安全�,人們提出了內部網絡安全的概念����,它基于這樣一種信任模型:所有的用戶都是不可信的�����。在這種信任模型中����,假設所有用戶都可能對信息安全造成威脅,并且可以各種更加方便的手段對信息安全造成威脅�,比如內部人員可以直接對重要的服務器進行操控從而破壞信息��,或者從內部網絡訪問服務器����,下載重要的信息并盜取出去���。內部網絡安全的這種信任模型更符合現實的狀況����。
美國聯邦調查局(FBI)和計算機安全機構(CSI)等權威機構的研究也證明了這一點:超過80%的信息安全隱患是來自組織內部,這些隱患直接導致了信息被內部人員所竊取和破壞��。
信息系統的安全防范是一個動態過程��,某公司缺乏相關的規章制度、技術規范����,也沒有選用有關的安全服務�。不能充分發揮安全產品的效能�。
(2)原有的網絡安全產品在功能和性能上都不能適應新的形勢,存在一定的網絡安全隱患,產品亟待升級���。
已購買的網絡安全產品中�����,有不少在功能和性能上都不能滿足進一步提高信息安全的要求��。如為進一步提高全網的安全性����,擬對系統的互聯網出口進行嚴格限制���,原有的防火墻將成為企業內網和公網之間的瓶頸。同時病毒的防范、新的攻擊手段也對防火墻提出了更多的功能上的要求�����,現有的防火墻不具備這些功能。
網絡信息系統的安全建設建立在風險評估的基礎上���,這是信息化建設的內在要求,系統主管部門和運營�、應用單位都必須做好本系統的信息安全風險評估工作。只有在建設的初期�,在規劃的過程中�����,就運用風險評估�����、風險管理的手段�,用戶才可以避免重復建設和投資的浪費�����。
3.2需求分析
如前所述��,某公司信息系統存在較大的風險,信息安全的需求主要體現在如下幾點:
(1)某公司信息系統不僅需要安全可靠的計算機網絡,也需要做好系統、應用����、數據各方面的安全防護��。為此����,要加強安全防護的整體布局,擴大安全防護的覆蓋面��,增加新的安全防護手段。
(2)網絡規模的擴大和復雜性的增加,以及新的攻擊手段的不斷出現�,使某公司計算機網絡安全面臨更大的挑戰�����,原有的產品進行升級或重新部署。
(3)信息安全工作日益增強的重要性和復雜性對安全管理提出了更高的要求�,為此要加快規章制度和技術規范的建設,使安全防范的各項工作都能夠有序、規范地進行����。
(4)信息安全防范是一個動態循環的過程,如何利用專業公司的安全服務�,做好事前��、事中和事后的各項防范工作��,應對不斷出現的各種安全威脅�����,也是某公司面臨的重要課題�。
4設計原則
安全體系建設應按照“統一規劃、統籌安排�、統一標準��、分步實施”的原則進行����,避免重復投入、重復建設��,充分考慮整體和局部的利益�����。
4.1標準化原則
本方案參照信息安全方面的國家法規與標準和公司內部已經執行或正在起草標準及規定���,使安全技術體系的建設達到標準化����、規范化的要求���,為拓展、升級和集中統一打好基礎���。
4.2系統化原則
信息安全是一個復雜的系統工程,從信息系統的各層次����、安全防范的各階段全面地進行考慮���,既注重技術的實現�����,又要加大管理的力度���,以形成系統化的解決方案���。
4.3規避風險原則
安全技術體系的建設涉及網絡����、系統、應用等方方面面���,任何改造、添加甚至移動�,都可能影響現有網絡的暢通或在用系統的連續�、穩定運行�����,這是安全技術體系建設必須面對的最大風險����。本規劃特別考慮規避運行風險問題�,在規劃與應用系統銜接的基礎安全措施時,優先保證透明化��,從提供通用安全基礎服務的要求出發���,設計并實現安全系統與應用系統的平滑連接��。
4.4保護投資原則
由于信息安全理論與技術發展的歷史原因和自身的資金能力��,某公司分期、分批建設了一些整體的或區域的安全技術系統����,配置了相應的設施。因此�����,本方案依據保護信息安全投資效益的基本原則�,在合理規劃、建設新的安全子系統或投入新的安全設施的同時,對現有安全系統采取了完善���、整合的辦法,以使其納入總體安全技術體系,發揮更好的效能�,而不是排斥或拋棄�����。
4.5多重保護原則
任何安全措施都不是絕對安全的,都可能被攻破。但是建立一個多重保護系統,各層保護相互補充����,當一層保護被攻破時�,其它層保護仍可保護信息的安全�。
4.6分步實施原則
由于某公司應用擴展范圍廣闊,隨著網絡規模的擴大及應用的增加,系統脆弱性也會不斷增加。一勞永逸地解決安全問題是不現實的�����。針對安全體系的特性�,尋求安全、風險、開銷的平衡,采取“統一規劃�、分步實施”的原則�����。即可滿足某公司安全的基本需求�����,亦可節省費用開支���。
5設計思路及安全產品的選擇和部署
信息安全防范應做整體的考慮���,全面覆蓋信息系統的各層次��,針對網絡�����、系統、應用、數據做全面的防范���。信息安全防范體系模型顯示安全防范是一個動態的過程,事前、事中和事后的技術手段應當完備,安全管理應貫穿安全防范活動的始終�,如圖2所示��。
圖2網絡與信息安全防范體系模型
信息安全又是相對的,需要在風險、安全和投入之間做出平衡�,通過對某公司信息化和信息安全現狀的分析�,對現有的信息安全產品和解決方案的調查���,通過與計算機專業公司接觸���,初步確定了本次安全項目的內容���。通過本次安全項目的實施��,基本建成較完整的信息安全防范體系����。
5.1網絡安全基礎設施
證書認證系統無論是企業內部的信息網絡還是外部的網絡平臺��,都必須建立在一個安全可信的網絡之上���。目前,解決這些安全問題的最佳方案當數應用PKI/CA數字認證服務���。PKI(PublicKeyInfrastructure,公鑰基礎設施)是利用公開密鑰理論和技術建立起來的提供在線身份認證的安全體系���,它從技術上解決了網上身份認證、信息完整性和抗抵賴等安全問題�����,為網絡應用提供可靠的安全保障�,向用戶提供完整的PKI/CA數字認證服務。通過建設證書認證中心系統����,建立一個完善的網絡安全認證平臺����,能夠通過這個安全平臺實現以下目標:
身份認證(Authentication):確認通信雙方的身份�����,要求通信雙方的身份不能被假冒或偽裝��,在此體系中通過數字證書來確認對方的身份。
數據的機密性(Confidentiality):對敏感信息進行加密�����,確保信息不被泄露���,在此體系中利用數字證書加密來完成����。
數據的完整性(Integrity):確保通信信息不被破壞(截斷或篡改),通過哈希函數和數字簽名來完成���。
不可抵賴性(Non-Repudiation):防止通信對方否認自己的行為,確保通信方對自己的行為承認和負責����,通過數字簽名來完成���,數字簽名可作為法律證據�。
5.2邊界防護和網絡的隔離
VPN(VirtualPrivateNetwork)虛擬專用網��,是將物理分布在不同地點的網絡通過公用骨干網(如Internet)連接而成的邏輯上的虛擬專用網�。和傳統的物理方式相比���,具有降低成本及維護費用����、易于擴展、數據傳輸的高安全性��。
通過安裝部署VPN系統����,可以為企業構建虛擬專用網絡提供了一整套安全的解決方案。它利用開放性網絡作為信息傳輸的媒體�,通過加密�、認證�����、封裝以及密鑰交換技術在公網上開辟一條隧道��,使得合法的用戶可以安全的訪問企業的私有數據,用以代替專線方式�,實現移動用戶����、遠程LAN的安全連接��。
集成的防火墻功能模塊采用了狀態檢測的包過濾技術,可以對多種網絡對象進行有效地訪問監控,為網絡提供高效、穩定地安全保護����。
集中的安全策略管理可以對整個VPN網絡的安全策略進行集中管理和配置����。
5.3安全電子郵件
電子郵件是Internet上出現最早的應用之一��。隨著網絡的快速發展�,電子郵件的使用日益廣泛�,成為人們交流的重要工具,大量的敏感信息隨之在網絡上傳播。然而由于網絡的開放性和郵件協議自身的缺點��,電子郵件存在著很大的安全隱患��。
目前廣泛應用的電子郵件客戶端軟件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions)����,它是從PEM(PrivacyEnhancedMail)和MIME(Internet郵件的附件標準)發展而來的����。首先,它的認證機制依賴于層次結構的證書認證機構,所有下一級的組織和個人的證書由上一級的組織負責認證�,而最上一級的組織(根證書)之間相互認證��,整個信任關系基本是樹狀的。其次,S/MIME將信件內容加密簽名后作為特殊的附件傳送。保證了信件內容的安全性���。
5.4桌面安全防護
對企業信息安全的威脅不僅來自企業網絡外部,大量的安全威脅來自企業內部。很早之前安全界就有數據顯示�����,近80%的網絡安全事件���,是來自于企業內部�����。同時����,由于是內部人員所為�,這樣的安全犯罪往往目的明確,如針對企業機密和專利信息的竊取、財務欺騙等,因此,對于企業的威脅更為嚴重�����。對于桌面微機的管理和監控是減少和消除內部威脅的有效手段���。
桌面安全系統把電子簽章��、文件加密應用和安全登錄以及相應的智能卡管理工具集成到一起���,形成一個整體�����,是針對客戶端安全的整體解決方案。
1)電子簽章系統
利用非對稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術,可以無縫嵌入OFFICE系統,用戶可以在編輯文檔后對文檔進行簽章�����,或是打開文檔時驗證文檔的完整性和查看文檔的作者��。
2)安全登錄系統
安全登錄系統提供了對系統和網絡登錄的身份認證。使用后��,只有具有指定智能密碼鑰匙的人才可以登錄計算機和網絡�����。用戶如果需要離開計算機�����,只需拔出智能密碼鑰匙,即可鎖定計算機�����。
3)文件加密系統
文件加密應用系統保證了數據的安全存儲�����。由于密鑰保存在智能密碼鑰匙中��,加密算法采用國際標準安全算法或國家密碼管理機構指定安全算法,從而保證了存儲數據的安全性�。
5.5身份認證
身份認證是指計算機及網絡系統確認操作者身份的過程��。基于PKI的身份認證方式是近幾年發展起來的一種方便�、安全的身份認證技術���。它采用軟硬件相結合�����、一次一密的強雙因子認證模式,很好地解決了安全性與易用性之間的矛盾���。USBKey是一種USB接口的硬件設備��,它內置單片機或智能卡芯片��,可以存儲用戶的密鑰或數字證書,利用USBKey內置的密碼算法實現對用戶身份的認證。
基于PKI的USBKey的解決方案不僅可以提供身份認證的功能��,還可構建用戶集中管理與認證系統���、應用安全組件���、客戶端安全組件和證書管理系統通過一定的層次關系和邏輯聯系構成的綜合性安全技術體系��,從而實現上述身份認證�����、授權與訪問控制�����、安全審計、數據的機密性�、完整性�����、抗抵賴性的總體要求。
6方案的組織與實施方式
網絡與信息安全防范體系流程主要由三大部分組成:攻擊前的防范����、攻擊過程中的防范和攻擊后的應對��。安全管理貫穿全流程如圖3所示。網絡與信息安全防范體系模型流程不僅描述了安全防范的動態過程�,也為本方案的實施提供了借鑒�。
圖3
因此在本方案的組織和實施中���,除了工程的實施外����,還應重視以下各項工作:
(1)在初步進行風險分析基礎上�,方案實施方應進行進一步的風險評估,明確需求所在,務求有的放矢�����,確保技術方案的針對性和投資的回報�����。
(2)把應急響應和事故恢復作為技術方案的一部分�,必要時可借助專業公司的安全服務��,提高應對重大安全事件的能力����。
(3)該方案投資大����,覆蓋范圍廣,根據實際情況,可采取分地區��、分階段實施的方式���。
(4)在方案實施的同時�,加強規章制度、技術規范的建設��,使信息安全的日常工作進一步制度化����、規范化���。
7結論
本文以某公司為例�����,分析了網絡安全現狀�����,指出目前存在的風險,隨后提出了一整套完整的解決方案����,涵蓋了各個方面���,從技術手段的改進���,到規章制度的完善���;從單機系統的安全加固�����,到整體網絡的安全管理�。本方案從技術手段上���、從可操作性上都易于實現�、易于部署,為眾多行業提供了網絡安全解決手段。
也希望通過本方案的實施,可以建立較完善的信息安全體系���,有效地防范信息系統來自各方面的攻擊和威脅�����,把風險降到最低水平���。
第7篇
隨著電子信息技術的進步�����,形成我國目前的信息時代全面大發展,網絡技術的進步更進一步的推動電子信息技術的發展�,但是信息時代下的電子信息系統面臨較大的安全威脅����。例如:黑客����、電腦病毒等其他具有惡意性攻擊的電子信息管理不良現象,對于電子信息的安全管理具有嚴重的威脅�����,會直接的造成經濟損失����,對使用電子信息安全管理的企業帶來嚴重的影響。
【關鍵詞】信息時代 電子信息 安全管理 途徑 分析
社會科學技術的全面發展主要的表現就是網絡信息時代的到來�����,網絡電子信息技術在給人們日常的生活工作提供方便的時候�,已經逐漸的滲透到了國家經濟發展建設和人民日常生活的方方面面。所以網絡電子信息安全管理既是為了提升網絡技術的高效利用價值��,又是為了保障國民的日常生活秩序和經濟發展建設不受到其影響����,進而穩定持續的發展社會經濟���。
1 分析信息時代背景下的電子信息安全管理的重要性
1.1 能夠全面的穩定網絡秩序
隨著當前社會經濟的發展繁榮程度不斷加深��,網絡時代全面到來����,網絡信息時代形成的局面是人手一臺電腦���、或者是筆記本電腦��,上網方便�����、聯系交流也變得密切,因此人們愿意將更多的信息在網上進行展示和溝通,電子信息使用的面積擴大,所以網絡的脆弱性也隨之擴大���,網絡黑客、病毒成為威脅電子信息安全管理的主要威脅��。
要尊重當前的信息時代背景下的電子信息安全管理�����,才能夠全面的穩定網絡秩序的正常有效性�,從而不斷地進行網絡和電子信息技術安全管理能力的更新,為新時代的電子信息安全管理提供更多的實用價值����。網絡秩序也只有在電子信息安全管理的情況下才能真正的提升整個電子信息安全管理的價值�。
1.2 有效地保證社會經濟的穩定性發展和建設
電子信息安全管理是為了適應當前的社會經濟發展的要求而進行開展的�,因為電子信息安全管理能夠提升各個生產經營組織個體的信任度�,并及時的進行經濟投資,促使電子信息安全管理被有效地落實和實踐。目前我國的現代化建設進程已經邁入了正軌���,各個經濟發展個體只有借助電子信息技術的安全管理原則,將自己公司或者組織內部的資料進行集中分配和處理,能夠提高企業的日常工作效率�,而且促使公司內部的資源和結構更加的具有優良性和全面性��,所以在電子信息安全管理的要求下,才會多的更多的經濟個體的信任,并且提升整個電子信息系統安全管理的開展意義��。
社會總體的經濟進步和發展主要是依靠當前社會各個階層的經濟發展主體不斷的進行生產革新以及管理創新����,才推動了社會的總體經濟進步。所以電子信息安全管理的開展實踐和落實中,企業才會加大對于電子信息安全管理的認識��,并不斷的提升企業內部對于電子信息安全管理的實際操作能力�,從而電子信息安全管理才能穩定社會的經濟全面的發展和建設,全面的保障各個企業的日常工作運行和發展���。
1.3 提升國民對電子信息安全管理的認識
社會大眾對位網絡資源服務的主要對象,對于電子信息安全管理的開展具有全面的推動作用�。大眾要增強對于電子信息安全管理的認識��,才能真正的提升國民素質,對于網絡中的不良現象也能有效地抵制�����。
所以大眾人民在日常運用網絡電子信息資源的時候���,要注重對于本身電腦的保護�����,進行查毒��、殺毒措施的落實,將威脅電子信息安全管理的潛在隱患進行及時的排除,從而進一步將電子信息安全管理落實起來�,進而提升過敏對于電子信息安全管理的認識�,真正的保護好電子信息���。
2 信息時代背景下的電子信息安全管理的主要方法
如圖1所示:開展信息時代下的電子信息安全管理方法�����。
2.1 樹立電子信息安全管理的思想意識
電子信息的安全管理不光是為了維護各個經濟個體的發展,更重要的是電子信息技術已經被推廣到了社會生活的各個方面����,從高校�����、到政府再到企業、組織等各個階層�,已經得出電子信息的高效性和及時性�����。所以在電子信息安全管理的要求下要開展對于各個階層和方面的安全管理制度落實,就需要開展對于電子信息安全管理重要性的認識���,樹立電子信息安全管理的有效性和科學性。
實施電子信息安全管理的思想意識�����,才是制定各個相關的電子信息安全管理措施和方法的基礎��,才能將電子信息安全管理的要求貫徹執行���,并落實在日常的經濟運行和生活工作當中����。高校�、政府、企業無疑是在網絡不穩定情況下�����、或者受到信息安全威脅較大情況下�,會受到較為嚴重的經濟破壞和損失,所以從意識中樹立信息安全管理的重要性���,進而給信息安全管理的全面開展奠定基礎。
2.2 實施企業內部的紙質檔案管理和電子信息安全管理相互結合
企業的內部資料較為豐富�����,因此為了提升企業內部的檔案管理有效性���,要結合電子信息安全管理的要求����,開展建設電子檔案。電子檔案記錄方式多樣變化性大���,并且具有非直讀性的優點,電子檔案對于元數據和背景信息具有很強的依賴性���,也是實施企業內部的紙質檔案管理的原因,因為紙質檔案能夠保存全部信息的保留痕跡���,對電子檔案的構建能夠提供更加具有針對性的數據支持。
電子檔案雖然減輕了檔案之至管理人員的勞動強度提高了工作效率����,但是電子檔案更加的容易受到網絡不良情況的影響�����,導致數據庫資源的流失��,最終還是要靠紙質的檔案進行對照和修復�。電子檔案增加的企業信息的風險性��,必須要建立紙質的檔案管理模式��,進行對電子檔案的有效性補充,全面的提升電子信息安全管理的有效性。在平時的企業或者黨政內部機關的檔案數據輸入中要注意對檔案管理的加密���,防止黑客的入侵,導致企業或者機關的內部資源外泄�,引起更多的不良現象產生����。
2.3 建立企業專門的電子信息安全管理部門
依照圖2方式開展對于信息的保護:
因為企業的網絡被用來和外界溝通的次數不斷的增多���,而且企業的電子信息安全管理所面臨的具體問題較多���,因此建立專門的電子信息安全管理部門�����,才能針對網絡信息狀況進行全面的維護和檢查����,進而提高電子信息安全管理的實際利用價值�����,也能提高企業或者公司的實際工作效率�。
在更多的信息安全管理中能及時的制定相對應的企業內部的電子信息管理方針和政策�,進而將更多的電子信息安全管理有效方式進行落實����。所以建立企業專門的電子信息安全管理部門�,要完善企業內部的體制建設和管理制度�,嚴格的控制電子信息的流動方向,并設置計算機的專門管理要求�����,設置電子系統的管理操作代碼和管理規范�����,并設置權限制度���,確保電子信息安全管理部門能夠提高其工作效率��,維護企業的發展生產。
2.4 提升電子信息安全管理人員的自身素質
因為電子信息安全管理的本身具有較多的技術要求和理論要求,各個層面上的電子信息安全管理人員一定要及時的針對網絡問題作出全面的反應,從而保障整個企業的經濟運行更加的具有高效性和準確性�。
而且科技是不斷地進步的���,如果電子信息安全管理人員的自身素質不能隨著科技的發展而進行及時的提升�,那么其早晚會被社會所淘汰����,因此創建信息安全管理還要加強對管理人員的二次培訓,擴充其專業知識�����,增添更多的實際數據進行對電子信息安全管理的有效性和全面性��。而且電子信息安全管理的各項其他管理制度和管理規范���,以及有效性的電子信息技術操作還是依靠電子信息安全管理人員的自身素質和能力進行示范,并進行員工培訓�,所以整個的企業運行在電子信息安全管理的專業人員管控下�,才能高效發展����。
2.5 制定法律制度對惡意破壞電子信息安全管理的不法分子進行制裁
當前的信息時代背景下,給網絡系統的穩定性提供了較多的威脅�,而且在當前的信息時代下�����,網絡成為不法分子制造事端和危害社會公共安全的主要工具。因此信息時代下的電子信息安全管理才需要更多直接有效地法律制度進行電子信息的安全管理���,對故意進行電子信息技術的不法人員要進行嚴厲的制裁,確保社會穩定�、網絡清明�����、經濟發展有效。
3 信息時代背景下的電子信息安全管理的意義
3.1 提升網絡信息的可利用價值
網絡是帶給人們生活享受和工作學習方便的有效工具�,因此在網絡信息的可利用價值中一定要做好電子信息的安全管理��,增添網絡信息的可靠性和實用性,維護網絡工程的發展建設�����。
3.2 促進更多現代化的科技不斷研發利用
電子信息的安全管理給各個經濟發展企業提出更多的實際性要求�,注重對于自身信息的管理提升網絡的實用性。更給青少年對于網絡技術的利用提供更多的基礎保障�,所以在現代化的發展中網絡電子信息安全管理的情況下才能促進更多的現代化科技的開發和投入運行使用��,逐漸以更多的形式體現對于網絡的有效利用,從而推動社會現代化的文明建設不斷進步��。
4 結語
實施信息時代下的電子信息安全管理�,能夠針對性的重視電子信息安全管理的重要性,并針對安全管理的要求開展各個企業內部的信息管理調整��,為達到企業的經濟效益最大化提供了有效地保障�����,為社會的現代化發展打好了基礎。
參考文獻
[1]任成偉.淺談信息時代背景下的電子信息安全管理[J].電子制作����,2013(04).
[2]劉力源.淺談計算機信息安全管理措施[J].計算機光盤軟件與應用��,2013(05).
[3]韋懿霖.我國新時代背景下的網絡信息安全分析[J].信息與電腦(理論版)�,2010(12).
[4]丁道勤.論信息通信法的體系架構[J].經濟法論叢���,2013(02).
作者簡介
顧建龍(1979-)���,男����,江蘇無錫人。大學本科學歷?����,F為江蘇藍深遠望系統集成有限公司工程師(中級)���,從事計算機信息化建設工作��。
第8篇
亨達科技集團成立于2003年5月13日�,于2015年3月11日在全國中小企業股份轉讓系統成功掛牌��,并于2015年8月被認定為國家高新技術企業�。亨達科技集團旗下擁有亨達科技集團信息安全技術有限公司(以下簡稱亨達安全)����、亨達科技集團建設開發有限公司(以下簡稱亨達建設)�����、亨達科技集團電子信息技術有限公司(以下簡稱亨達電子)三家全資子公司��。專業從事通信工程、網絡與信息安全、計算機系統集成、軟件開發�����、電子政務�����、大數據和云計算技術產品開發����、推廣與服務�。
亨達科技集團具有通信信息網絡系統集成企業資質(甲級)、信息安全服務資質(安全工程類二級)、信息安全應急處理服務資質(二級)�����、信息安全服務資質(風險評估二級)�����、信息安全服務資質(信息系統安全集成服務資質二級)���、信息系統集成資質(系統集成乙級)��、信息系統集成及服務資質(叁級)、建筑工程施工總承包資質(叁級)、電力工程施工總承包資質(叁級)�����、市政公用工程施工總承包資質(叁級)�、通信工程施工總承包資質(叁級)���、電子與智能化工程專業承包資質(貳級)����、消防設施工程專業承包資質(貳級)、城市及道路照明工程專業承包資質(叁級)�����、涉及國家秘密的信息設備維修資質���、國家信息安全測評授權培訓機構資質;取得了國家軍工業務咨詢服務安全保密條件備案證書和信息安全等級保護測評機構能力評估合格證書����。
公司總計擁有30項軟件著作權����,并已通過ISO9001:2008質量管理體系�����、ISO14001:2007環境管理體系及OHSAS18001:2004職業健康安全管理體系認證���。公司建立了貴州省網絡信息安全“三庫一中心六大平臺”(貴州省網絡信息安全病毒庫����、漏洞庫����、門戶網站安全漏洞及整改數據庫����;貴州省網絡信息安全應急支援中心;貴州省網絡信息安全監測預警云平臺�、安全攻防實戰平臺��、網站安全防護云平臺、互聯網情報分析平臺��、互聯網資源偵測和漏洞偵測平臺�、安全態勢感知平臺)。
亨達科技集團主要客戶包括電信運營商��、政府部門�����、銀行�、醫院��、電力�、煙草等行業及單位��,為貴州省內外各級政府部門��、企事業單位、學校等提供專業的通信工程建設���、計算機系統集成和網絡信息安全、教育信息化服務��。公司連續數年榮獲貴州省“守合同����、重信用單位”稱號。2015年���,公司被貴州省科學技術廳評為“科技型小巨人企業”�;亨達安全被貴州省科學技術廳評為“科技型小巨人成長企業”。同時,亨達科技集團被貴州省通信行業協會評為2015年“貴州省優秀民營通信建設企業”稱號�����。在2016年7月貴州省第二次項目建設觀摩活動中�����,貴州省有關領導帶隊到亨達科技集團考察調研�����,對公司在網絡信息安全工作方面所取得的成績給予了高度肯定和表揚。
亨達科技集團堅持以客戶需求為導向,致力于成為中國領先智能安全整體運營服務商。在當前貴州省大力發展大數據產業的有利形勢下,公司不斷加大大數據��、云計算相關技術及其產品的投資開發力度�,以通信工程為基礎,逐步過渡到以大數據、云計算為核心的綜合信息服務領域�����。為推動公司業務逐步從現有的網絡信息安全和通信工程建設服務向自主產品和技術開發方向延伸,2016年7月�����,公司與廈門大學合作建立聯合實驗室����,成功開發出了國際領先的多媒體信息快速檢測和過濾技術,結合公司目前已經自主研發完成的“亨達智慧教育云平臺及其配套軟硬件產品”���, 公司將繼續投入更多的資源不斷加大后續市場推廣力度,確保早日形成規?����;\用��。
在2016年9月8日于北京新世紀日航大酒店舉行的“2016第十七屆中國信息安全大會”上,亨達科技集團股份有限公司董事長兼總經理連灶華做了“共筑網絡安全新防線,助力大數據產業健康發展”的主旨演講�����。
連灶華主要針對網絡信息安全提出了三條體會和九點建議:
1. 做好信息安全十分重要和必要��,
民營企業必須順勢而為����。
2. 做好信息安全關鍵在于創新和創
造�,民營企業必須主動作為。
3. 做好信息安全的目的在于適用和運用����,民營企業必須勇于建言修為����。
針對上述三條體會��,連灶華提出了九點建議:
1. 加快大數據及其安全立法工作�,加快制定大數據交易法則���,為大數據產業發展提供必要的法律依據����,確保大數據交易規范性、安全性與合法性。
2.加快推動政府和擁有大數據資源的相關企事業單位,在風險可控的前提下通過訂立契約最大限度地開放數據資源��,確保數據資源能夠快速形成規?;瘹w集。
3.加快推動全國性大數據交易市場的建設,為大數據交易提供必要的平臺和通道。
4. 加快構建全國性大數據中心,有效解決數據存儲問題�。
5.加快制定大數據使用和安全管控機制,明確大數據安全管理責任邊界���,處理好安全保障和性能提升二者之間的矛盾。
6.加大大數據安全技術研究與投資開發力度��,建立一批國家級和省級重點大數據安全實驗室����,積極打造面向大數據產業發展的安全產業鏈,構建安全可控的具有自主知識產權的安全產品和技術保障體系��。
7加大大數據安全企業扶持力度���,大力支持有條件的企業優先進入大數據安全服務領域����。
8加大大數據安全產業專業人才教育培訓力度,推動大數據安全專業人才數量與質量的同步提升���。
第9篇
電力企業的信息安全不僅影響著其自身的網絡信息的化建設進程,也關系著電力生產系統的安全���、穩定、經濟��、優質運行�����。所以����,強化信息網絡安全管理,確保電力信息網絡的安全性�,保證業務操作平臺能夠穩定�、可靠的運行是電力安全工作中的一項核心任務�����。
1.電力信息網絡安全體系
信息網絡安全指的是為數據處理系統建立和采用的技術和管理的安全保護,保護計算機硬件�����、軟件和數據不因偶然和惡意的原因遭到破壞���、更改和泄露信息安全應該實行分層保護措施.有以下五個方面:①物理層面安全�,環境安全,設備安全�����,介質安全�;②網絡層面安全,網絡運行安全���,網絡傳輸安全,網絡邊界安全����;③系統層面安全�,操作系統安全��,數據庫管理系統安全��;④應用層面安全,辦公系統安全�����,業務系統安全����,服務系統安全��;⑤管理層面安全�,安全管理制度����,部門與人員的組織規則。
2.電力信息網絡安全存在的問題
2.1 系統漏洞�����。電力企業使用的都是微軟所開發的Windows操作系統���。由于一個計算機操作系統過于龐大��、復雜��,所以它不可能第一次性地發現并解決所有存在的各種漏洞和安全問題,這需要在我們的使用當中不斷地被完善。但是���,據一些消息稱,微軟公司對于漏洞信息披露的反應時間為1~2周。但是在這段時間內,這些長久存在或是剛被披露的漏洞很可能被一些居心不良的人所利用���,造成對企業信息網絡安全的威脅。
2.2 黑客的惡意攻擊。如今����,社會當中的部分人也擁有了較強的計算機網絡操作����、控制能力���。他們有的出于興趣愛好�、有的出于金錢指使,而對其他網絡系統發起惡意的攻擊�、破壞����,以滿足自身的各種成就感�。在這些攻擊行為當中,一部分是主動的進行系統破壞或是更改���、刪除重要的信息,另一部分是被動的進行監聽,竊取電力企業內部網絡交流信息�����,導致信息外泄����。
2.3 網絡硬件系統不牢固。網絡硬件系統不牢固是一個普遍性的問題。盡管互聯網的硬件系統已經具有了較高的穩定性和安全性,但其仍然存在的脆弱性也不可忽視����,比如雷電所引發的硬件故障�����,各種傳輸過程當中受其他因素影響所出現的信息失真等。
2.4 員工的信息網絡安全意識不健全�。在如今的電力企業當中�����,許多員工多信息網絡的安全意識還不健全。比如用戶安全意識不強��,系統登錄口令過于簡單��,或是將賬戶及密碼借給他人使用�����,盲目地進行資源信息共享�����,這些帶全安全威脅性的操作都可能會對企業的信息網絡安全帶來隱患�。還有的員工長時間占用網絡�,大量消耗了網絡資源,增加了企業的網絡通信負擔�,導致企業內部的通信與生產效率較低�����。更有甚者由于瀏覽網頁或是使用U盤,導致了一些木馬����、病毒被下載到了計算機系統當中�,造成各式各樣的網絡通信故障�����。
3.電力信息網絡安全策略
3.1設備安全策略
3.1.1 建立配套的績效管理機制����,以促進信息安全運維人員樹立良好意識�,提高自身信息網絡管理能力。
3.1.2 建立電網信息安全事故應急處理預案�����,例如“突況下某某大樓信息系統應急處理預案”����,預案所要求的各項信息設備必須作為信息安全重要物資交由信息應急指揮人員保管,相關信息運維人員必須在信息事故發生的第一時間到崗到位�、信息預案操作流程必須準確到位�����,各應急單位要定期進行應急演練��,保證在發生信息安全事故之時隊伍能夠拉得出�、打得贏。
3.1.3 運用國家電網公司統一的標準化信息安全管理模式��,規范日常網絡處理流程���,嚴格控制網絡接入程序����,對新進網絡施行過程化管理,例如:申請入網人員必須填寫“某公司入網申請單”�,并對操作人員嚴格施行信息網絡處理“兩票三制”管理��,即:操作票、工作票�、交接班制���、巡回檢查制�����、設備定期試驗輪換制,從制度上保證信息網絡安全管理��。
3.1.4 成立網絡信息安全組織機構����,例如:成立某公司信息安全領導小組,小組成員包括:公司領導層人員�����、信息安全管理層人員���、信息安全網絡技術實施保障人員等���,并對各人員工作職責提出具體要求����,尤其是必須明確技術實施保障人員的工作要求��。
3.2安全技術策略
3.2.1 使用VPN(虛擬隧道)技術����。按業務分別建立對應的三層VPN�,各VLAN段建立符合實際要求的網絡訪問控制列表,將網絡按部門(樓層)進行分段,對各段網絡配置對應的訪問控制�,設置高強度的網絡登錄密碼��,保證網絡的安全性。
3.2.2 安全審計技術。隨著系統規模的擴展與安全設施的完善,應該引入集中智能的安全審計系統,通過技術手段,實現自動對網絡設備日志���、操作系統運行日志、數據庫訪問日志���、業務應用系統運行日志、安全設施運行日志等進行統一安全審計����。及時自動分析系統安全事件��,實現系統安全運行管理。
3.2.3 病毒防護技術。為免受病毒造成的損失�,要采用的多層防病毒體系�。即在每臺PC機上安裝防病毒軟件客戶端�,在服務器上安裝基于服務器的防病毒軟件,在網關上安裝基于網父的防病毒軟件,必須在信息系統的各個環節采用全網全面的防病毒策略�����,在計算機病毒預防��、檢測和病毒庫的升級分發等環節統一管理。
3.2.4防火墻技術�。防火墻是用于將信任網絡與非信任網絡隔離的一種技術���。它通過單一集中的安全檢查點����,強制實操相應的安全策略進行檢查���,防止對重要信息資源進行非法存取和訪問。電力系統的生產��、計量��、營銷��、調度管理等系統之間,信息的共享���、整合與調用�,都需要在不同網段之間對這些訪問行為進行過濾和控制��,阻斷攻擊破壞行為�,分權限合理享用信息資源。
3.2.5 擬局域網技術(VLAN技術)。VLAN技術允許網絡管理者將一個物理的LAN邏輯地劃分成不同的廣播域�����,每一個VLAN都包含一組有著相同需求的計算機工作站����,與物理上形成的LAN有相同的屬性。由于它是邏輯而不是物理劃分��,所以同一個LAN內的各工作站無須放置在同一物理空LAN里�,但這些工作站不一定屬于同一個物理LAN網段���。一個VLAN內部的廣播和單播流量都不會轉發到其他VLAN中���,有助于控制流量�、控制廣播風暴、減少設備投資�、簡化網絡管理�����、提高網絡的安全性��。
4.結束語
電力企業網絡安全包括系統結構本身的安全及桌面終端設備信息安全����,所以利用結構化的觀點和方法來看待電力企業信息網絡安全系統�。基于網絡的特殊性�����,有關供電系統數據網的安全問題不容忽視,要保障其網絡的安全可靠運行�,不能僅僅依靠防火墻等單個的系統�,而需要仔細考慮系統的安全需求,并將各種安全技術結合在一起���,方能生成一個高效、通用、安全的網絡系統�。
參考文獻
[1] 楊晶.論計算機網絡安全問題及防范措施[J].科技創新導報.2011.
[2] 侯康.淺談電力調度數據網及其維護[J].科技信息.2011.
作者簡介
