载入中.......................
    载入中.......................
博客公告
    载入中.......................
时间记忆
    载入中.......................
博客登陆
最新日志
    载入中.......................
最新评论
    载入中.......................
最新留言
    载入中.......................
博客相册
博客好友
    载入中.......................
友情连接
博客统计
    载入中.......................
企业信息安全问题分析与管理策略 | 2016-11-16 8:41:00

  该文对企业信息安全问题进行了分析研究,旨在解决当前企业信息安全管理问题。在企业计算机网络管理的实践研究基础上,对信息安全问题进行了分析;提出了信息系统的稳定性也是信息安全问题的观点;对具体安全问题给出相应的安全管理策略。提出了新的信息安全观点,并试图给出解决当前企业关注的信息安全问题的有效方法。

  1引言

  信息安全问题越来越来受到企业相关人员的关注。在企业内部,虽然采取了各种安全措施,仍然发生过诸多的安全问题,而且会给企业带来不同程度的损失。先进的计算机技术在于应用,也住应用巾体现。因此,如何提高企业内部计算机的管理水平,是摆在企业管理和计算机管理人员的重要课题。本文通过多年的研究和具体实践,针对当前因内企业中的计算机应用和管理状况,就出现的信息安全问题进行了分析研究,从计算机网络管理出发,论述了企业信息安全的重要性,以提高相关人员的安全风险意识,简述了信息安全的特征和内容;阐明信息系统稳定性给信息安全造成的威胁,并提出信息系统稳定性也信息安全问题;以具体的案例形式指出存在的信息安全问题,并给出相应的、有效的解决方法或解决策略。本文旨在进一步推动氽业信息化管理步伐,提高企业计算机及信息管理水平,以避免或减少由信息安全问题带来的经济损失。

  2企业信息安全的重要性

  随着计算机技术的不断发展,计算机被广泛地应用于各个领域,如数值计算、数据处理,辅助设计与制造、人工智能、家电产品等。在企业(包括政府机关、事业单位、生产企业、商品流通企业、金融财税等)中,利用计算机进行管理的目的是为了提高工作效率,使企业管理水平有一个明显的提高。例如,ERP(企业资源计划)系统、0A(办公自动化)系统以及各类管理信息系统、各种信息制作和传播工具等,都要涉及信息的存储、传输与使用等信息处理问题,而尤为突出的是信息处理过程中的信息安全问题。对于存储任计算机中的重要文件、数据库中的重要数据等信息都存在着安全隐患,一旦丢失、损坏或泄露、不能及时送达,都会给企业造成很大的损失。如果是商业机密信息,给企业造成的损失会更大,甚至会影响到企业的生存和发展。

  在没有使用计算机进行信息管理之前,信息通常都是以纸介质和某些没备(如录音、录像设备等)进行保存和传播,并对信息的安全管理有着严格的行政管理、法律法规约束,一旦出现安全问题,可以通过行政、执法手段进行追踪,查出问题的根源,并追究其相应的责任。而现在用计算机管理的信息安全问题更为复杂,象数据瞬间丢失、瞬间被盗、瞬间被破坏等问翘,大大增加了管理难度。如果管理不善,如重要文件、图纸、信用卡账户等机密文件,出现安全问题时很难查请。因此,企·啦的信息安全问题、以及对信息的安全管理都是至关重要的。要保证企业信息安全,就必须找出存在信息安全问题的根源,并具有良好的安全管理策略。

  3信息安全的基本概述

  到目前为止,信息安全还没有一个公认、统一的定义。国际、国内对信息安全的论述大致分为两大类:一类是指具体的信息安全技术系统的安全;另一类是指某些特定的信息体系(如银行系统、军事指挥系统)的安全。但也有人认为这两种定义也不能完全概括信息安全问题。

  3.1信息安全的特征

  信息入侵者不管怀有什么用意,采用什么手段,他们都要通过攻击信息的4个安全特征来达到目的。这4个安全特征是:完整性(Integriy)、可用性(Availiability)、保密性(Confidentiality)、可控性(Controliability)。在技术上,信息安全就是保证在客观上杜绝对信息的4种特征的安全威胁,使信息的所有者在主观上对其信息的本源性放心。

  3.2信息安全的基本内容

  信息安全的基本内容包括:实体安全、运行安全、信息资产安全和人员安全等内容。

  实体安全是保护计算机设备、设施(含网络)以及其他媒体免遭地震、水灾、火灾、有害气体和其他环境事故破坏的措施和过程。实际上,实体安全是指环境安全、设备安全和媒体安全。

  运行安全是为了保障系统功能的安全实现,提供的一套安全措施来保护信息处理过程的安全。为了保障系统功能的安全,可以采取风险分析、审计跟踪、备份与恢复、应急处理等措施。

  信息资产安全是防止信息资产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法的系统辨识、控制,即确保信息的完整性、可用性、保密性和可控性。信息资产包括文件、数据等。信息资产安全包括操作系统安全、数据库安全、网络安全、病毒防护、访问控制、加密、鉴别等。

人员安全主要是指信息系统使用人员的安全意识、法律意识、安全技能等。人员的安全意识是与其所学握的安全技能有关,而安全技能又与其所接受安全技能培训有关。因此,人员的安全意识是通过培训,以及安全技能的积累才能逐步提高,人员安全在特定环境下、特定时间内是一定的。

4信息安全的问题分析

  4.1企业内部计算机存储设备的安全问题分析

  目前,企业内部的每个部门几乎都拥有和使用计算机,甚至有的部门一人拥有和使用多台计算机。一般情况下,存储在某台计算机上的重要文件、数据等信息的泄漏,是很难查觉的,直至造成影响或损失时才被发现。企业内部人员对重要文件或数据的泄露窃取主要是依靠移动存储设备、企业内部网以及互联网。典型的移动存储设备有软盘、光盘、U盘、移动硬盘和手提电脑等,这些设备本来是为使用者提供方便的,但阳时也带来了安全隐患。如果计算机使用人员对本身的计算机管理不严格,重要信息就很有可能被利益驱动者盗取。同样,企业内部人员也可以通过内部网络非法获取重要信息并利用互联网的邮件等功能传输到企业外部。通常情况下,计算机使用者对信息安全问题意识不是很强、而且对这些移动存储设备管理水平有限。因此,作为计算机管理人员应该考虑如何防范移动存储设备带来的安全问题隐患。

  4.2源于网络的信息安全问题分析

  除了来自本机设备的安全问题外,最主要的是源于网络的信息安全问题。而且网络对信息安全的威胁更为复杂。源干网络的信息安全威胁主要是企业内部人员、黑客、网络罪犯、间谍等,这些人员都有可能利用系统弱点给信息安全造成威胁。其中内部人员可能有意或无意地泄露企业内部信息资产;黑客由起初的个人爱好或追求剌激,来挑战网络的安全防范技术,近来已经转向追求利益,网络罪犯出于经济或政治同的侵入系统窃取信息或实施破坏;间谍(包括工业间谍或情报人员)都是有组织有目的的侵入系统窃取信息或实施破坏,其力度明显比一般的黑客和网络罪犯都要大。

  从以上情况分析得知,对于源于网络的信息安全,除企业内部人员无意识地泄露企业内部信息外,无论是企业内部和外部人员,都是木经授权对企业信息的访问和窃取。这种事情的发生,主要是利用网络系统弱点或漏洞对企业信息安全的威胁。

  4.3产生信息安全问题的根源分析

  4.3.1蓄意破坏

  企业内部或外部人员有意通过物理手段对系统组件,结构和信息进行更改、移动、和销毁等,直接危及信息的机密性,完整性、可用性和可控性。严重时会引起整个系统瘫痪和不可恢复。由于进行蓄意破坏的人员特别是内部人员可能熟悉整个系统的情况并拥有某些操作权限和信任关系,因此这种风险带来的破坏一般是巨大的。

  4.3.2欺骗和窃密

  通常的信息系统为智能化系统,如果缺乏相应的安全措施,依靠高技术手段和方法是可以欺骗并窃取相信息的。除通过通信信道的脆弱性进行威胁外,也包括物理方式和逻辑方式直接进行的窃密。欺骗和窃密主要是危及信息的机密性和可用性。

  4.3.3错误和冗余

  在信息处理、传输、存储和维护过程中,由于人为或系统原因造成错误以及功能外冗余,影响信息的完整性,有时也会影响信息的机密性和可用性。如操作员错误的数据输入或存取导致信息的泄露、篡改或丢失,或错误地将存取权提供给末授权者。这里的人员包括企业内部各部门的计算机使用者,甚至包括企业内部的计算机网络管理人员。

  4.3.8物理和环境的支持能力下降或丧失

  由于电力供应不是或中断、电压波动,如形成峰值或低电压、自然灾难、人为的基础设施破坏等因素都会影响系统无法正常运行直至瘫痪或崩溃。

  4.4信息的安全机制

  为了防止网络中未经授权对企业信息的访问和窃取,通常使用的安全机制是访问控制机制,访问控制机制可以分为两大类:一类是实现禁止功能,如征用户进行系统登录时,需要进行身份识别和鉴别,在系统出口进行恶意代码检测等;另一类是实现内部控制,即使威胁方进入了信息系统,其活动部受到监控,并且系统具有完善的日志功能,可供事后审计。

  对于系统中信息的无意泄露,要加强企业内部人的安全意识,并使用柏应的制度加以约束。对计算机系统的有意破坏及环境安全问题,应加强防范和必要的管理。

  5信息系统稳定性也是信息安全问题

  本文特别指出,信息系统的稳定性也是信息安全问题。提出此观点有以下几点理由:

  首先,这里所说的信息系统是指企业用于各种管理的信息系统(MIS)ERP系统就是典型的信息系统集成,当然还有其他类型的管理信息系统。信息系统的稳定性是指信息在传输过程中能否及时送达到目的地。

  所谓信息不能及时送达是指,来自企业外部的信息并不能及时送达到企业内部;企业内部需要发送的信息不能及时发送给信息的使用者。信息不能及时送达,至使信息不能及时更新,给信息使用者造成了不必要的损失。例如银行-Ik务系统、证券交易系统、商品流通系统的暂时停滞,企业内部网或互联M的暂时瘫痪,各种票务系统的瘫痪等。

  虽然信息系统稳定性带来的信息安全并不是信息被泄露、丢失或窃取等的问题,但确实由于信息不能及时送达给企业或个人带来一定的损失,间接地产生了信息安全问题。因此,作者认为,除了泄露、丢失或窃取外,信息不能及时送达同样也是信息安全问题,信息系统的稳定性应该属于信息安全问题范畴。

  实际上,虽然采取严格的防范措施,但是仍然出现了信息系统不稳定的现象,给氽业或受益者造成较大损失或恶劣的影响。

  信息系统的稳定性并不是简单的运行安全、系统可靠性等问题,而是比较复杂的信息安全问题。来源于信息系统稳定性的安全威胁非常多,情况复杂,涉及到通信系统、管理信息系统、网络安全系统、行政管理、人为等诸多因素。这里并不深入讨论信息系统稳定性的原因,只是从信息系统应用层面提出了信息系统的稳定性也是信息安全的观点。并从计算机管理角度,就信息系统的稳定性所带来的安全问题给出相应的安全策略。

  6企业内部信息的具体安全问题及管理策略

  6.1计算机存储设备上的信息安全管理策略

  存在对本机的信息安全威胁主要来自可移动存储设备。利用可移动存储设备通过外设(软驱、光驱、打印、USB和网络接口等)进行信息的窃取。就Windows操作系统下的本机而言,其安全管理以采取以下策略:

  6.1.1Windows操作系统组策略

  利用Windows操作系统域管理下的组策略,对本机外没进行必要的限制。通过对可移动存储设备及接口的限制,防止通过软盘、光盘、U盘、移动硬盘以及打印等方式窃取信息。通过禁用共享设置,防止使用手提电脑通过网络接口以设置对等嘲的共享方式盗取信息。

  6.1.2第三方插件策略

  可以采用Windows操作系统以外的第三方插件对外设进行严格的限制。使用第三方插件有时可以更加详细地进行外设使用权限的设置。例如,目前通过USB接口连接的设备,不仪仅局限于U盘,也可以连接鼠标、移动硬盘、打印机等,这样如果禁用USB接口,就会致使通过USB口连接的其他设备都不能使用,给必需使用外设时带来了极大的不便因此,就USB口而言,用第三方插件可以对不同的连接设备设置使用权限,可能地做到既可以使用外部设备,又能防止本机信息被非法修改或窃取。

  以上安全管理策略应由计算机管理人员实施,本机使用人员要注意加强本机信息的安全意识,要注意管理和维护好登陆的账户和密码;离开本机时要有防护措施,重新进入系统时要有复杂的密码或采用指纹识别的方式,以避免信息被偷窥造成泄露。

  另外,要加强安全保卫工作,防止因盗窃计算机及存储部件带来的安全风险。

  6.2源于网络的安全管理策略

  计算机网络给企业管理带来了极大的方便,这是有目共睹的。但阳时给企业信息安全造成严蕈的威胁。而且源于网络的信息安全问题又相当复杂。Ii面就具体的信息安伞问题给出相应的管理策略。

  6.2.1病毒防护策略

  (1)对于Windows操作系统,要经常注意和更新微软发布的补丁程序,做到随发布随更新。防止由操作系统漏洞带来的安全问题。

  (2)要做到经常对防病毒定义码进行更新与升级,防止由防病毒软件产生的漏洞。

  (3)对于防火墙,除合理布署外,安全策略要从严掌握。要尽量关闭信息系统不使用的端口,以防止入侵者对系统的攻击。需要注意的是,计算机管理人员要了解应用程序所使用的端口,以免造成系统不能正常运行。

  (4)计算机管理人员要了解黑客攻由的一般规律和最新手段,对黑客的攻击要引起高度警觉。

  6.2.2基于访问控制的安全管理策略

  访问控制是保证系统的内部用户和外部用户对系统资源的访问,以及对敏感信息访问方式。阻止非授权用户进入系统,实现对授权用户的存取权限控制。

  (1)采用基于操作系统的访问权限管理

  对于企业内部用户进行基于操作系统的权限设置。采用一组用于安全规则的身份标识数据、由域控制器颁发并用来进行用户身份验证,防止账户信息被随意更改。如果账户信息被随意更改,就有可能被企业内部人员非法获取账户信息,伪装合法用户身份盗取信息。

  (2)实现各类信息系统软件中账户信息加密功能

  在各类信息系统类软件开发时,要充分考虑对用户账户和密码的安全保密问题。因为用户采用账户名称和密码进行登录时,会将该账户信息传输到服务器上进行身份验证,所以如果在账户信息传输过程中明文传送,就有可能被窃取和利用。因此,在实现用户管理功能时最好采用加密传输的方式,以防止由此带来的安全隐患。

  (3)对密码复杂度的限制

  无论是操作系统,还是管理信息系统,都要考虑对密码复杂度的限制。如果密码过于简单或长期使用同一密码,都会带来很大的安全隐患。在信息系统开发时,应该对用户密码做到如下限制:(1)设置密码长度的最少位数,以及密码的复杂程度要求。否则,密码长度太短,或类似于“11111”“123456”这样过于简单,有规律的字符串,都很容易被猜出。(2)最好设定一个密码更新时间,以防止长期使用同一密码造成的安全隐患。(3)其次是密码输入错误的次数限定。当密码输入错误超过限次时,要锁死系统。在该用户重新进入系统时要由管理人员开启,以防止非法用户用猜码的方式登录系统。

  (4)限定在特定的计算机上登录

  对于特别重要的用户信息,如企业决策人员存储的重要信息,要限定在特定的计算机上登录,以防止非法盗取账户信息和物理地址后,利用其他计算机目录来盗取重要信息。(5)数据库系统安全策略

  对于企业内部数据库系统的访问要采用应用程序登录的方式,以防止非法用户采用操作系统认证模式或混合认证模式直接登录到数据库系统。在信息系统开发时,要考虑采用多层体系架构,以防止对客户端程序进行破解后直接进入数据库系统。

  6.3系统稳定性的安全管理策略

  在前面提到了系统稳定性带来的安全隐患,而且情况复杂。下面就涉及到系统的稳定性问题给相应的管理策略。

  (1)涉及系统可靠性问题

  涉及系统可靠性的信息安全,可以采用常见的磁盘冗余阵列双机热备的方式来实现,以保证当出现信息丢失或错误时能及时恢复,并找出问题的原因。

  (2)通信故障引起的系统稳定性

  对于可能出现的通信故障,要根据企业实力和对信息安全的保障级别,采取备用线路的方式。备用线路可以为两条或多条,以保障通信线路的稳定畅通。对于安全级别特别高的企业,可以采用专用线路等方式。

  (3)运行速度下降或停滞问题的管理策略因信息系统设计问题造成的系统缺陷,引发网络阻塞或拥挤,致使运行速度下降或停滞。此类问题可以充分利用用户对信息系统访问的优先级策略,以避免或减少蕈要信息不能及时送达的问题。如果是由于设备老化引起的,可以采用设备升级的方式解决。

  从信息系统开发角度,不但要考虑系统功能的实现,也要考虑今后的维护和管理问题。虽然信息系统产品投入使用前经过了严格测试,但也不可能没有缺陷。由此引发系统稳定性差,导致系统不能正常工作或停滞,都会给企业造成不必要的损失。因此,在信息系统设计时,要有良好的架构,以利于系统的维护和管理。另外,经验表明,当遇到解决信息系统业务逻辑问题的困难时,往往出在信息系统软件本身的维护上。此类问题大多是由系统维护人员综合知识水平差异造成的。选用业务强、计算机水平不一定很高的的维护人员,处理问题时可能采用避开信息系统软件而直接对数据库进行操作,如果对信息系统不十分了解,就很可能造成数据类掣或逻辑关系错误,导致系统不能正常工作;相反,选用计算机水平赢,业务逻辑水平差的维护人员,又无法解决业务逻辑问题。因此,系统(ERP)维护人员除了具备较高的业务知识,还要具备一定的编程知j其。

  此外,由于信息系统长期运行,导致系统性能下降也是原因之一,计算机管理人员要定期对操作系统和数据库进行维护。

  6.4规避网络管理人员的安全策略

  目前,仍然存在着网络管理员权限过大的问题,存在着很大的信息安全隐患。一旦出现安全问题,后果不堪设想。对于计算机管理人员权限过大问题可以采用如下策略:对网络管理员要有严格的行政管理制度约束。

  任信息系统开发过程中应该充分考虑服务器中存储的账户、密码以及数据库数据的保密问题。必要时,即使是牺牲运行速度,也要对数据库中的账户信息及其他系要信息采用加密机制安全策略要从严掌握。

  在管理上最好采用双钥机制,以避免由于管理员权限过大带来的安全风险规避管理员。

  6.5基于RMS的安全管理

  在企业内部,使用Intemet网络获取网络资源是很方便的,并能直接或间接地为企业创造效益。但是与此同时,也存在着利用Internet的邮箱等功能将企业信息非法发送到企业外部的风险。对于此类问题可以采用RMS的策略。

  RMS(RightsManagementSystem)服务,是一种与应用程序协作来保护数据内容的安全技术,专为那砦需要保护重要文件、电子邮件和Web内容的用户而设计。计算机使用人员可以严格观定哪些用户可以打开、读取、修改和重新分发特定内容。组织可以创建权限策略模板,以实施用户应用于内容的策略。

  6.6规避合同欺诈的安全管理

  在企业合同管理中,可能通过网络传输和签订合同。由于利益的驱动,某方对合同内容进行修改,非法获取本企业的利益。该问题可以采用第三方认证机制的安全服务。由于篇幅所限,根据IS07498—2的特定安全机制和安全机制的选用、安全服务以及应用业务等内容不再赘述。

Re:企业信息安全问题分析与管理策略 | 2016-11-16 8:42:53
章仁根7总结
  随着人们对企业内部信息安全问题意识的逐步加深,企业管理人员越来越事视企业内部信息安全问题。目前,有的企业已经设立了CIO(信息执行官)以加强信息及信息安全管理。本文就企业内部存在的信息安全问题,从计算机管理出发,针对计算机本机安全,以及网络中的病毒、访问控制、信息系统稳定性,还有来自企业管理中的网络管理员权限过大、合同欺诈带来的安全风险进行分析研究,为了更好地解决信息安全问题,提出了信息系统的稳定性也是信息安全问题的观点,在此基础上,就具体的安全问题给出相应的安全管理策略或解决方案。随着计算机技术的不断发展,新的安全问题也会随之出现。因此,不论是计算机管理人员,还是计算机使用人员、开发人员、企业决策人员都应该更加关注信息安全问题。
By:章仁根 | 个人主页 | 引用 | 返回 | 删除 | 回复
发表评论:
载入中.......................

易安

博客
易安博客 版权所有
Powered by Oblog.