企业信息安全问题研讨(共2篇)
企业信息安全问题研讨(共2篇)
第一篇
一、网络环境下中小企业信息安全问题几大症结
本课题组成员经过半年多的调查、分析发现,对很多中小企业来说,信
息安全形势非常严峻,大多数企业主对信息安全问题还没有充足的认识,进而导致中小企业信息安全普遍存有较大隐患。要改变中小企业信息
安全局面,必须破解如下症结。
(1)网络结构不合理。大多数中小企业属于民营企业,企业的网络缺
乏统一的规划设计,网络结构不合理。调查中发现只有少数企业使用了
防火墙技术进行了内外网的隔离,少数企业进行了子网划分,这种网络
结构的不合理设置导致了企业内部数据泄密、病毒大范围传播,甚至整
个系统的瘫痪,给企业信息安全带来极大威胁。
(2)安全意识淡薄。意识决定人的行为。很多中小企业管理者对信
息安全问题没有概念,根本没有意识到信息安全问题的重要性,没有意
识到二十一世纪信息对企业来说是一种特别重要的无形资产,甚至比那
些“看得见,摸的着”的有形资产更重要,需要企业对它们珍视和保护。
(3)经费投入不足。中小企业有些也认识到了信息安全的重要性,但
是在企业有限资金限制的情况下,投资回报是他们开展信息化首先考虑
的因素,因此在面对多次信息安全事件以后,仍然在网络安全设备、技
术人员培训等方面资金投入严重不足。
(4)专业人才缺乏。中小企业因为环境条件的局限,很难留住和吸引
专业的IT人员,更不可能为信息安全去配备专门的人员。企业仅仅对
网络进行简单的维护,缺乏防范信息安全漏洞的必要知识。在这种情况下,势必会影响到企业信息化的发展。
(5)管理制度不健全。企业信息化的管理,遵循着“三分技术,七分
管理”的原则。调查发现,企业大多数的信息安全问题是因为企业没有
必要的安全管理制度而产生的,企业员工没有网络安全意识和知识,进而产生一些不良的上网操作行为,比如,利用工作电脑擅自下载软件、玩游戏上网聊天、打开来路不明的邮件、浏览不良网站、未经允许拷贝比较敏感的文件等等,这些行为如果没有制度约束就不能有效制止,从而大大增加了信息安全的威胁。
二、网络环境下中小企业常见信息安全威胁因素
对那些已经实施了信息化的中小企业来说,企业运行过程中会遭遇种种信息安全问题,这些问题成为困扰他们的噩梦。只要在网络环境下运营,企业就会面临各种潜在威胁和攻击,在此过程中暴露出来的安全问题可能仅仅冰山一角,可怕的是绝大多数情况下,企业根本不知道自己的网络已经受到了安全攻击,存有着巨大的安全隐患。通过我们课题组的问卷调查,中小企业面临的信息安全威胁主要来自以下几个方面。
(1)网络病毒风险。调查发现虽然现在中小企业的信息安全意识有所提升,一般电脑也都安装了杀毒软件,且在持续升级,但是电脑病毒也在升级,并且先于杀毒软件,互联网本身就是病毒生长繁殖的土壤,几乎每天都有新的病毒产生,这使得八成以上的中小企业局域网电脑带毒运行,如何防范这些病毒,对中小企业是一个挑战。
(2)黑客入侵。黑客就是计算机数据信息的窃贼,因为中小企业网络防护薄弱,首当其冲成为黑客传播广告软件、毁坏文件和应用、散布“钓鱼”信息、防碍合法用户正常访问、盗取机密信息的重要手段,而绝大多数中小企业内外网之间没有设置防火墙,所有这些都造成对企业信息安全的极大威胁。
(3)移动设备使用无限制。调查中发现企业员工对移动设备(U盘、笔记本电脑、MP3、智能手机等)的使用没有任何规定和限制,即便有规定,也仅仅流于形式,根本没有严格的执行。这种情况带来的后果,一方面病毒交叉感染,泛滥;更重要的是企业员工可以通过使用移动设备复制备份企业数据文件并随身带离企业,这些不经意的行为都会给企业的信息安全带来巨大隐患。
(4)内部信息共享威胁。一些企业为了提升工作效率,实行内部文件网上共享策略,没有采取任何防护措施,企业各部门的文件和数据可以在整个企业内部共享。例如生产部门的生产计划文件、营销销售部门的重要客户信息文件、销售策划文件这些重要数据,其他部门的人员都可以通过企业内部网络共享得到。中小企业的特点就是员工的流动性比较大,这种情况下企业员工很容易把这些重要信息泄露出去,对企业的信息资产造成破坏。
(5)权限管理混乱。非授权访问是企业信息安全威胁的主要因素之一,因此权限管理是中小企业信息化安全管理非常重要的工作。可以通过设置密码和增强权限管理来防止这种非授权访问行为的发生。可调查情况显示,企业员工认为只要设置了密码就会平安无事了,对密码的认识不足,因此为了方便记忆通常设置的密码过于简单,很容易被破解,形同虚设。另外,企业对于权限的管理也没有明确“谁能做什么”“谁不能做什么”,权限管理一片混乱,致使非授权访问事件频频发生。中小企业信息化面临的种种信息安全威胁,是由当前我国网络安全环境决定的,加上人力、资金上的限制,中小企业信息安全防线就变得更加脆弱。而网络攻击恰恰会挑选安全防护有漏洞的企业乘虚而入,如何认识中小企业信息安全问题的这些特点、采取有针对性的安全防护措施,推进中小企业信息化的发展,是我们课题研究的目的所在。
三、网络环境下如何保证中小企业的信息安全
要为中小企业构筑起一个信息安全的防护体系,我们建议需要做好以下几方面的工作。
3.1政府部门应该增强对中小企业的支持与引导从的实际情况来看,因为中小企业IT能力的不足,信息化意识、信息化机构设立和信息化培训三大指标与大型企业相比有巨大的差距,单单依靠中小企业自身去保障信息安全是远远不够的,必须依靠政府的力量、政府的支持。依靠政府部门增强整体网络环境的综合治理,准确的鼓励与引导来改善企业信息化安全环境,完善相关法律法规、配套设置建设,从而为中小企业信息化撑起一把强有力的保护伞。
3.2强化信息安全风险防范意识对于的中小企业要保证网络信息的安全,必须要提升全体员工特别是企业高层的信息安全意识。在当今瞬息万变的信息时代,强化每个员工时刻拥有信息风险的危机意识,随时做
好主动防范的准备。同时,企业要定时对企业员工进行信息安全教育,
并组织各类专题讲座和技能培训,来提升员工的信息安全防范意识和判别能力,增强他们对信息的敏感度。
3.3建立健全企业信息安全防范体系建立健全企业信息安全防范体系,可以为企业架起一道安全屏障,从而提升企业对重要信息资产的防护能力,一旦信息系统受到侵袭,也能确保企业正常运营,并将损失降到最低水准。
(1)重视信息安全设施建设,建立企业网络与信息安全管理平台,在内
外网之间部署相对应的网络与信息安全设施,增强企业网络的安全管理,制定相对应的权限访问控制策略,并严格有力地执行。如:网络防病毒软件、高性能防火墙、入侵检测系统等,这些是企业信息安全的硬件保证。
(2)建立信息化安全事件应急预警机制,提升信息安全应急响应速度。调查显示有48%的中小企业没有建立正式的防灾预警方案,这样当遇到电力中断或其他突发灾难时就会给企业带来不小的损失。
(3)建立重要信息异地数据备份和灾难恢复机制,为信息系统的可靠运行提供保障。
(4)建立集中化管理控制制度,形成信息安全管理的长效机制。将数据安全控制在企业内部进行集中化管理,以确保安全防范策略能够由上至下力求有效地落实执行。特别是将加密密钥进行集中化管理,防止因为加密密钥的丢失而带来的数据安全风险。
(5)增强企业的信息安全风险评估工作,定期对信息系统进行安全风险评估,提升安全风险预防能力。随着信息技术的日新月异,企业对信息
安全的需求也是持续变化的,新的安全问题会持续产生,原来建立起来
的防护体系可能不再满足新的安全需求,这些情况都说明信息安全是一
个动态的发展过程,因此企业需要定期对自己的信息网络安全状况进行
评估,以改进安全方案,调整安全策略,使企业的信息系统保持在健康、
安全的状态下运行。
3.4选择合适的第三方服务体系基于中小企业的信息安全现状,选择第三方服务体系是比较明智的选择。通过第三方服务体系,可为企业提供
持续、稳定、专业化的网络应用服务和网络系统的维护服务,为其减少
资金、管理及人力上的投入,使企业迅速提升信息化水平和市场竞争力。
四、结语
总之,网络环境下中小型企业安全体系的构建是一个庞大的系统工程,
需要综合考虑多方面的因素,需要各个方面的协调配合,涉及到技术、
管理、法律法规等方方面面的问题。随着网络技术的深入应用,企业对
信息系统的依赖性也在持续增强,如何构建一个立体的信息安全体系,
守护住企业信息安全的大门,对中小企业来说是一个严峻的挑战。
第二篇
一、煤矿企业信息网络安全的设计与实现
1.1路由器及交换机安全控制
大多数路由器及第三层交换机都具备内置防火墙功能,同时,要想对
信息网络中相关数据包的过滤处理,对进出企业信息网络的所有数据
进行必要控制,借助对IP访问列表的设置或者绑定MAC地址的方式便
可以实现,采取此种方案有助于进一步提升煤矿企业信息网络的安全
系数。在实践中,诸如超时控制、HTTP访问控制、信息过滤器、端口
访问控制、虚拟端口访问控制及MAC地址绑定控制等方案较为常见。
对于煤矿企业而言,引入路由器及第三层交换机,可以达到更好的企
业信息网络安全的控制效果,并且大量的实践也充分表明,通过对路
由器及第三层交换机进行合理配置可以达到节约安全投入的效果。
1.2访问控制
对于煤矿企业而言,其信息网络所有数据服务的核心是数据库服务器,从这一角度来说,维护煤矿企业信息网络安全的关键在于确保数据库
服务的安全。煤矿企业的数据较为分散,甚至无法确定一个真正意义
上的数据中心,但为了最大限度的确保每台计算机中所分布的数据的
安全性,必须对有数据分布的计算机实施较为完善的访问控制,也就
是说,需要在网络操作系统的配合下,对网络操作系统的访问控制策
略进行科学配置,以便确保信息网络服务的安全性。访问控制方法尽
管实施起来较为容易,同时其效果十分显著,具有较强的普及性,但
在实践中,此问题比较容易被忽视,相对应的系统安全防范措施并不
完善。
(1)权限控制。实施权限控制的主要目的是为有效控制信息网络中
的非法操作现象。不管是在信息网络设备当中,还是在网络操作系统
当中,用户及用户组都应该获得相对应的访问授权,并且在其授权范
围内对网络信息进行访问。通过控制权限的方法,能够对用户及用户
组访问目录、子目录、打印机及文件等共享资源进行必要的限制,除
此之外,还可以控制用户针对共享设备及文件、目录等的具体操作。
其中,目录级的安全控制主要有权限的读与写、权限的创设及删除、
系统管理员权限、权限的修改、权限的存取及权限的查找等几种。网
络系统管理员的主要职责就是明确用户所享有的访问权限,并依据访
问权限对用户的访问行为予以控制。通过对上述几种访问权限进行整合,一方面,有助于促进用户工作效率的提升;另一方面,还可以对
用户访问服务器资源的行为进行有效控制,这对于进一步提升网络及
服务器的安全性具有重要意义。其次,关于属性安全控制,通常情况下,属性是通过对以下几方面的控制完成写数据、目录或文件的删除、目录及文件的查询、文件的复制、文件的执行、文件的共享及系统属
性等操作,对于较为重要的文件及目录,可以借助网络属性进行保护,避免用户越权读取、修改或者是删除文件及目录等行为。
(2)登录控制。这也是控制网络访问的一道重要关卡,登录控制主
要是对可以登录服务器的用户、用户登录的时间及具体的工作站入网
等进行控制。通常情况下,可以将用户入网登录控制划分为识别及验
证用户名、识别并验证用户口令及对用户账号进行缺省限制检查等3
个步骤,对于用户而言,要想成功进入网络,访问相关数据,必须顺
利通过上述3个环节。用户名及口令在保密的必要性方面并没有任何
区别,如果不知晓用户名,破解口令也将没有任何意义。在实践中应
尽可能的采用破解难度较高的方法编排口令,要确保口令的长度达到
相关标准要求,此外还要注意要尽量不要使所编排的口令有任何规律
可循,同时也要注意对更新口令的期限设置强制性规定。
1.3代理服务器控制
代理服务器就是1台计算机,只不过其所运行的服务器程序是特定的。代理服务器的网络接口有2个,一个用来与和互联网进行连接,另一
个则主要是面向内部网络,这样便可以有效的实现对可能来自于互联
网的非法入侵者实施隔离,最大限度的确保局域网的安全性。
1.4VLAN和VPN安全
一般情况下,在网络广播风暴实施控制比较常用的方式就是VLAN分段,VLAN分段的初衷就是将非法用户和敏感网络资源有效隔离开来,
以避免出现非法侦听的问题,这对于确保信息网络的安全性具有重要
意义。VPN,即虚拟专用网技术通过对内网数据进行加密封装,借助虚
拟公网隧道进行传输,这样可以有效避免出现窃取敏感数据的问题。
上述2种方法对内网进行了很好的区分,不必设置防火墙同样也可以
提供信息网络的安全保障。对于煤矿企业而言,部门设置较为复杂,
必须确保各个部门相互之间可以顺畅的开展交流和沟通,与此同时,
还要对不同的部门之间的数据进行有效的隔离,以确保数据的安全性。
1.5防火墙控制
防火墙的主要作用是执行网络与网络之间的访问控制策略,可以实现
对网络相互之间活动的有效监控,一方面,对于内部网络而言,其可
以对访问行为进行必要的控制,另一方面,还可以避免形成网络瓶颈,利用安全策略对进出系统的相关数据进行控制,对网络重要资源提供
必要的保护,因此,防火墙对于维护信息网络的安全性发挥着不容忽
视的重要作用。对于煤矿企业而言,在其企业信息网络安全性方面,
防火墙是必不可少的,必须利用防火墙在管理信息系统与生产监控系
统之间设置必要的隔离,此外,这种隔离对于不同的部门之间也是不
可少的,煤矿企业应该将其企业信息网络与互联网接口进行统一,并
设置防火墙,禁止未经授权利用电话线联网行为,将企业内网与外网
有效隔离开来。
二、结语
随着社会的发展,信息科技的进步,互联网已经广泛渗透到各个领域中,煤矿企业信息网络的功能也相对应得到提升,但与此同时,信息
网络安全问题也日益严重,逐渐引起了广泛的关注。对于煤矿企业而言,可以在当前所拥有的设备的基础之上,通过安全设置,进一步提
升计算机网络配置的合理性,进而可以使企业的信息网络得到安全保障。煤矿企业信息网络安全所涉及到的范围比较广泛,并不仅仅是路
由器和交换机,通过合理配置网络服务器及采取相对应的加密措施都
可以达到促进计算机网络安全性的目的。在实践中,要持续总结经验,对现有的网络资源进行有效利用,以应用为着手点,促进信息网络安
全性的持续提升。
企业信息安全问题研讨(共2篇)