企业信息安全管理浅谈

1。引言

随着计算机信息化建设的飞速发展,信息化在企业中所处的地位越来越重要。按照黄陵矿业公司信息化顶层设计,实现了信息化与工业自动化深度融合,提高自动化水平,降低成本,为领导决策提供了科学依据。2012年被陕西省评为两化融合示范企业“。数字化建设论文网目获得了陕西省科技进步三等奖。

整合信息化系统,建立了数据中心,消除了信息孤岛,实现了数据统一存储,资源共享,协同工作。信息化高度集成,依赖度不断提升。信息安全重要性日益显现,问题越来越突出,做好信息安全成为首要问题。

2。信息安全管理的现状

通过对黄陵矿业公司信息化系统调研,信息安全管理状况如下:

2。1信息安全认识不足。信息化管理人员注重硬件,不注重软件,系统性考虑较少。从业人员,忙于应付日常业务,头痛医头脚痛医脚现象普遍,日常信息安全管理得不到重视。

2。2信息安全管理制度不健全。制度不够完善,可操作性不强,没有系统化的信息安全管理制度。

2。3机房环境不规范。机房布置不合理,大多是改造用房,接地。防雷。防静电。防火措施不到位,机房的洁净度。温度。湿度存在问题较多。

2。4操作系统。防病毒系统等存在漏洞。个人用户大量使用非正版化软件系统,个人防病毒意识较为淡薄,给企业信息网安全带来威胁。

2。5从业人员素质有待提高。信息技术日新月异,企业信息化从业人员知识老化严重,尤其是一些操作人员,知识更新慢,人员培训跟不上,制约信息化发展,给信息安全带来一定的风险。

3。信息安全风险的表现形式

信息技术在提高生产效率和管理水平的同时,也带来了安全风险问题。一旦系统遭到破坏,造成数据损坏,信息泄漏,信息系统不能正常运行等问题,将对企业的安全生产经营造成不可估量的损失。信息安全风险主要表现如下:

3。1病毒的威胁。病毒入侵网络系统,破坏系统信息造成损坏,给系统带来威胁。

3。2操作失误。操作过程中产生的失误给系统带来威胁。

3。3密码泄密。。在传输过程中产生泄密或人员泄密。非法篡改等给系统带来威胁。

3。4机房环境。机房环境出现问题,影响系统安全,给系统带来威胁。

3。5网络后门。软件设计和开发存在缺陷,给系统带来威胁。

3。6设备故障。设备管理维护不到位,产生故障给系统带来威胁。

3。7管理失误。管理不到位,存在违章指挥,违章操作等给系统带来威胁。

4。处理信息安全应对的措施和方法

企业要建立完整的信息安全防护体系,必须根据企业实际情况,结合信息化系统建设和应用的步伐,统筹规划,分步实施。

4。1做好安全风险的评估

安全风险评估是保证信息安全的重要手段。信息系统建设,必须进行信息安全风险评估。从系统建设方案设计。组织实施。竣工验收等全过程都要进行风险评估,严格风险评估流程和细节,将隐患和风险降低到最小,对已建成运行信息化系统要定期进行风险评估,对评估检查出的问题及时整改落实,保证信息安全。

4。2采用信息安全新技术,建立信息安全防护体系

企业信息安全面临的问题很多,根据安全威胁严重程度按轻重缓急,解决相关安全问题,在信息安全防护体系建设上,综合考虑信息安全技术的成熟度,可靠性,分步实施。

4。3根据信息安全策略制定管理制度

信息安全的管理包括了法律法规的规定,责任的分化,策略的规划,政策的制订,流程的制作,操作的审议等等。虽然信息安全七分管理,三分技术“的说法不是很精确,但管理的作用可见一斑。

4。4解决信息安全问题的思路和方法

4。4。1从技术手段入手保证网络的安全

网络安全指由于网络信息系统网络运行和网络间的互联互通造成的物理线路和连接的安全。网络系统安全。操作系统安全。应用服务安全。人员管理安全几个方面。网络由于其本身开放性所带来的各个方面的安全问题是事实存在的。

保证网络安全的技术于段包括:过滤。信息分析监控。安全管理。扫描评估。入侵检测。实时响应。防病毒保护。存取控制等。其措施有:网络互联级防火墙。网络隔离级防火墙。网络安全漏洞扫描评估系统。操作系统安全漏洞扫描评估系统。信息流捕获分析系统。安全实时监控系统。入侵检测与实时响应系统。网络病毒防护系统等。信息安全指数据的保密性。完整性。真实性。可用性。不可否认性及可控性等安全,技术手段包括加密。数字签名。身份认证。安全协议及CA机制等。文化安全主要指有害信息的传播对的政治制度及文化传统的威胁,主要表现在舆论宣传方面。主要有:黄色。反动信息泛滥,敌对的意识形态信息涌入,瓦联网被利用作为串联工具等。其技术手段包括:信息过滤。设置网关。监测。控管等,同时要强有力的管理措施配合,才可取得良好的效果。

4。4。2建立。健全企业息安全管理制度

任何一个信息系统的安全,在很大程度上依赖于最初设计时制定的网络信息系统安全策略及相关管理策略。因为所有安全技术和手段,都围绕这一策略来选择和使用,如果在安全管理策略上出了问题,相当于没有安全系统。同时,从大角度来看,网络信息系统安全与严格。完善的管理是密不可分的。在网络信息系统安全领域,技术手段和相关安全工具只是辅助手段,离开完善的管理制度与措施,是没法发挥应有的作用并建设良好的网络信息安全空间的。

信息安全是企业信息化工作中一项重要而且长期的工作,为此必须各单位建立一个信息安全工作的组织体系和常设机构,明确领导,设立专责人长期负责信息安全的管理工作和技术工作,长能保证信息安全工作长期的,有效的开展,才能取得好的成绩。

4。4。3定期评估,改进。完善

企业的信息化应用是随着企业的需求而不断发展的,信息技术更新日新月异,安全防护软件系统由于技术复杂,在研制开发过程中不可避免的会出现这样或者那样的问题,这势必决定了安全防护系统和设备不可能百分百的防御各种已知的,未知的信息安全威胁。信息安全是一个动态过程,需要定期对信息网络安全状况进行安全评估,改进安全方案,调整安全策略。

5。结语

企业信息安全是一项复杂的系统工程,涉及技术。设备。管理和制度等多方面的因素,安全解决方案的制定需要从整体上进行把握。信息安全解决方案是综合各种计算机网络信息系统安全技术,将安全操作系统技术。防火墙技术。病毒防护技术。入侵检测技术。安全扫描技术等综合起来,形成一套完整的。协调一致的网络安全防护体系。我们必须做到管理和技术并重,安全技术必须结合安全措施,并加强计算机立法和执法的力度,建立备份和恢复机制,制定相应的安全标准。信息安全是一个伴随着企业信息化应用发展而发展的永恒课题。

企业信息安全管理浅谈