緒論:寫作既是個人情感的抒發,也是對學術真理的探索,歡迎閱讀由發表云整理的11篇小企業信息安全范文,希望它們能為您的寫作提供參考和啟發。
前言
在日常的企業辦公中,總部和各分公司以及出差的員工都需要實時地進行資源共享和信息傳輸,企業和企業之間的業務來往也是非常依賴于網絡。但是由于互聯網的通信協議原始設計的局限性和互聯網的開放性,信息采用明文傳輸,導致互聯網的安全性問題越來越嚴重,網絡攻擊、非法訪問、竊取信息等不斷發生,給企業的正常運行帶來嚴重的安全隱患,有時會造成巨大的損失。網絡攻擊,會造成企業的服務器癱瘓; 信息竊取 ,會造成企業的商業機密泄漏,內部服務器被非法訪問,會破壞傳輸信息的完整性或者被假冒;網絡病毒,會造成整個公司的服務器被病毒感染,使得公司網絡陷入癱瘓,造成公司系統的崩潰。目前的現狀是信息和網絡技術發展迅速,信息的安全技術相對滯后,用戶在引入安全設備和系統時,有些是缺乏培訓和學習,有些是對信息安全的重要性與技術認識不足,最終致使安全設備系統沒有能夠使其發揮最大的作用。比如對某些通信和操作需要限制,管理員沒有意識到或是為了方便,設置成全開放狀態等等,造成了網絡漏洞。
1.企業安全需求分析
根據企業網絡現狀及發展趨勢,對信息的保護方式進行安全需求分析主要從以下幾個方面進行考慮
1.1網絡傳輸保護:主要是數據加密,防竊聽保護。
1.2密碼賬戶信息保護:對網絡銀行和客戶信息進行保護,防止泄露。
1.3網絡的病毒防護:采用網絡防病毒系統,對網內一些可能攜帶病毒的設備定期進行防護與查殺。
1.4侵檢測系統:廣域網接入部分設置入侵檢測系統。
1.5系統漏洞的分析:安裝漏洞分析軟件和設備。
2.具體措施
2.1重要數據備份:重要數據信息一定做到定期備份
2.2網絡安全結構可伸縮性:安全設備的可伸縮性,能根據需要隨時進行功能、規模的擴展。
2.3安全審計:主要包括內容審計和網絡通信審計
2.4網絡設備防雷:埋設地線,做好防雷設施布控。
2.5重要信息點的防電磁泄露:安裝好屏蔽設施設備,
3.安全解決方案
3.1物理安全和運行安全
企業網絡系統的物理安全要求是保護計算機網絡設備、設施以及其它媒體免遭地震、水災、火災和雷擊等環境事故,以及人為操作失誤或錯誤,及各種計算機犯罪行為導致的破壞過程。企業的運行安全即計算機與網絡設備運行過程中的系統安全,是指對網絡與信息系統的運行過程和運行狀態的保護。主要的保護方式有風險分析與漏洞掃描、防火墻與物理隔離、病毒防治、訪問控制、安全審計、源路由過濾、數據備份、入侵檢測等。
3.2選擇和購買安全硬件和軟件產品
3.2.1硬件產品主要是防火墻的選購。
對于防火墻的選購要具備明確防火墻保護對象和需求的安全等級、根據安全級別確定防火墻的安全標準、選用功能適中且能擴展和安全有保障的防火墻 、能滿足不同平臺需求,并可集成于網絡設備中、應能提供良好地售后服務的產品等要求。
3.2.2軟件產品主要是殺毒軟件的選擇。
本方案中在選擇殺毒軟件時應當注意幾個方面的要求:具有優秀的病毒防治技術、程序內核安全可靠、有對付國產和國外病毒的能力、系統資源占用低,性能優越、易管理和使用、集成度高、可調控系統資源的占用率、有便捷的網絡化自動升級等優點。
3.2.3網絡規劃與子網劃分組網規則。
規劃網絡要規劃到未來的三到六年。并且在未來,企業的電腦會不斷增加。比較環形、星形、總線形三種基本拓撲結構,星形連接在用戶接入網絡時具有更大的靈活性。當系統不斷發展或系統發生重大變化時,這種優點將變得更加突出,所以選擇星形網絡最好。
3.2.4網絡隔離與訪問控制。
網絡安全是一個綜合的系統工程,是由許多因素決定的,僅僅采用高檔的安全產品并不能解決全部問題,對安全設備的管理要求也是非常高的。如果安全產品在管理上是各自管理,很容易因為某個設備的設置不當,造成整個網絡出現重大安全隱患。技術員不夠專業,上述現象就會更加容易出現;具體企業的維護人員的水平也有差異,配置的差異容易造成錯誤進而使網絡中斷。所以,選擇安全設備就應當盡量選擇可以進行網絡化集中管理的設備,這樣集成化管理的設備由少量的專業人員對其進行管理、配置,會成倍的提高整體網絡的安全性和穩定性。
3.2.5操作系統安全增強。
企業各級網絡系統平臺的安全主要是指操作系統的安全。由于目前主要的操作系統平臺是建立在國外產品的基礎上,因而存在很大的安全隱患,因此要加強對系統后門程序的管理,對一些可能被利用的后門程序要及時進行系統的補丁升級。
3.2.6應用系統安全。
企業應用的系統安全,首先包括用戶進入系統的身份鑒別與控制, 使用網絡各種資源的權限管理和訪問控制,涉及到安全相關的操作一定要進行審計等。用戶按等級分類,分為各級管理員用戶和各類業務用戶。 數據庫系統、E-MAIL服務、WWW服務、VPN、FTP和TELNET應用中服務器系統自身的安全非常重要,這些系統提供安全的服務也非常重要。本方案中, 應用漏洞掃描設備對網絡系統進行定期掃描,對存在的網絡漏洞、系統漏洞、操作系統漏洞、應用程序漏洞、等進行探測、掃描,發現漏洞及時告警,自動提供解決措施或給出參考意見,及時提醒網絡安全管理員作好相應調整。
3.2.7重點主機防護。
為重點主機,堡壘機建立主機防御系統,對于一些重要的資源,我們可以采用主機入侵防御系統這種功能限定不同應用程序的訪問權限,只允許已知的合法的應用程序訪問這些資源。
3.2.8連接與傳輸安全。
由于企業中心內部網絡存在兩套網絡系統,其中一套為企業對內網,內網主要運行的是內部辦公、業務系統,生產系統等;另一套是外網與INTERNET相連,通常是通過寬帶接入,與企業系統內部的上、下級機構網絡相連。跨越INTERNET通過公共線路建立的企業集團內部局域網,通過網絡進行信息共享、數據交換。INTERNET本身就缺乏有效的安全保護,信息傳輸過程中如果不采取相應的安全措施,非常容易受到網絡上其他主機的監聽而造成重要信息的泄密或被非法篡改的嚴重后果。所以在每一級的中心網絡安裝一臺VPN設備和一臺VPN認證服務器(VPN-CA),在所屬的直屬單位的網絡接入處安裝一臺VPN設備,由上級的VPN認證服務器通過網絡對下一級的VPN設備進行集中統一的網絡化管理。這樣就能有效地避免數據傳輸過程中面臨的安全威脅。
4.結束語
1 電子信息安全的內涵
對于買方來說電子信息主要優點是方便快捷、操作起來比較簡單。電子信息對于賣方來說主要優點是管理比較方便并且成本較低,但是電子信息最大的缺點就是買賣雙方不能進行交流,主要是貨幣與貨品的交換,并且交易都是通過網絡進行的,之所以交易能夠順利完成,主要的原因是兩者之間存在著誠信。關于誠信主要有兩個方面的內容:有一種系統軟件在買賣的過程中起到安全保障的作用,能將虛擬的貨幣符號轉化成真實的貨幣,同時也能對交易起到保護作用,其中主要是對貨幣賬戶起到安全保障的作用。要想研究電子信息安全,首先要了解信息的內涵。信息主要是指資料、數據以及知識以不同的形式存在,在中小企業中這類信息主要是指買賣雙方的有關信息和資料,犯罪分子能通過非法的手段對電子信息中的買賣雙方采取詐騙行為,或者是通過網絡對進行入侵和盜竊。信息安全管理標準對信息做出了詳細的定義,信息也是屬于資產,與其他的資產相同,對中小企業的發展有著重要的作用,是需要法律保護的。信息安全管理標準將信息劃分為八個部分,主要包括物理資產、文檔資產、文字資產、服務資產、軟件資產、數據資產以及人力資源資產。
中小企業的電子信息主要是以網絡為載體,網絡的交流主要通過數據的傳輸得以實現,網上交易就是交流過程中的主要內容。所以,在信息安全的范疇中電子信息安全技術就成為了重點問題。關于電子信息安全技術的研究大多是關于技術的,但是對于中小企業來說,不僅要對技術進行改進,也要重視管理層,避免信息出現安全問題。
2 電子信息安全的理論
我國關于電子信息安全的研究,仍然較為落后。在國際中的關于信息安全的主要理論為:三觀安全理論、信息循環理論以及信息安全模型理論。
三觀安全理論。在中小企業的電子信息安全系統中,三觀安全理論主要將其分為三個方面的內容,即微觀、中觀以及宏觀。這個理論主要是將宏觀層面的安全理念轉化成微觀層面的管理理念,進而對服務與生產進行指導。
信息安全模型理論。信息安全模型理論是信息安全管理發展過程中的產物,信息安全模型理論主要是將人、軟件、操作以及信息系統相結合,并且全面的保護網絡信息系統。主要倡導的是一種新的安全觀念,并且提出了不能僅靠程序與軟件對系統信息安全進行保護,要注重動態保護。此外,關于電子信息安全問題不能只依賴于安全技術,也要重視管理層安全理念的創新。
電子信息的循環理論。在實施網絡信息安全的過程中電子信息的循環理論將其劃分為四個方面:計劃、執行、檢查以及改進。這四個方面是一個循環的過程,也是一個周期,在循環的過程中,將這個過程看作是一個整體的信息安全管理體制,而不是將其看成某一管理過程。
3 電子信息安全技術對加強中小企業信息安全的作用
上文所述的三個信息安全理論對中小企業的信息安全管理有著重要的作用,主要有以下幾個方面的內容。第一是信息安全領域的建設,第二是中小型企業中加強建設信息安全組織。美國信息安全研究所首次提出了信息安全領域,信息安全領域主要是指根據信息的不同保密程度創建相應的保密級別,網絡控件的安裝要結合用戶信息的不同安全級別,安全信息的選擇要適合用戶的保密級別。在中小企業中,電子信息與資料的分類系統應該有統一的部門進行管理,然后對信息進行分類,并采取不同程度的加密與保密,這類信息主要包含文檔、電子商務的相關資料以及服務等。將這些信息進行分類、保密、歸檔以及整合,有利于中小企業電子信息的調試。
對于中小企業來說,一直都存在電子信息安全性不夠的問題,這主要同企業內部安全管理不足有關,安全管理的工作缺少專業的管理,很多的小型企業并沒有統一的信息安全管理部門。企業安全管理部門的主要職能包含這幾個方面的內容:同企業人力資源管理部門相互配合共同完成工作內容,要定期的審查一些特殊崗位的員工,一旦發現有違反安全規則的情況,要重新進行審查。同時還要對員工進行保密的培訓;組織各個部門的工作,并對各個部門的工作進行協調,使企業的安全目標以及戰略得以實現;企業的安全管理部門主要是對安全問題的管理、計劃以及決策負責。也是企業的應急部門,要想避免企業信息的泄露,信息安全管理部門就必須加強對信息的管理;多聯系各個地區的信息機構以及信息安全管理部門,這樣能給企業帶來新的信息安全管理觀念以及安全技術;采取信息安全報告制,定期的向管理部門匯報信息安全的保護狀況,對于一些重要的事件要及時的匯報,取得管理層對信息安全管理工作的支持。
在網絡工程發展的同時,電子信息也得到了發展,電子信息在企業的發展中有著重要的作用,企業對其也越發的依賴電子信息。但是這只是一個虛擬的場所,主要通過網絡這個載體來完成交易,因此安全技術問題成為了企業普遍關注的問題。
[參考文獻]
[1]陳光匡,興華.信息系統安全風險評估研究[J].網絡安全技術與應用,2009(7).
關鍵詞:信息化 信息安全 網絡安全
根據國家統計局年初公布的數字顯示,國內企業總體的99%都是中小企業,他們貢獻了超過一半的國內GDP。但截止到目前,這些中小企業的信息化水平仍然比較落后,其中針對信息安全的投人,更是鳳毛麟角。
對于國內占大多數的中小企業來說,如何在充分利用信息化優勢的同時,更好地保護自身的信息資產,已經成為一個嚴峻的挑戰。特別是近兩年來,網絡上的病毒、攻擊事件頻發,信息安全問題正在日益成為中小企業信息化進程中的難題。
一、什么是信息安全
信息是一種資產,與其它重要的資產一樣,它對一個組織而言具有一定的價值,因此需要適當的加以保護,而信息又可以以多種形式存在。如可以打印或者寫在紙上,以數字化的方式存儲,通過郵局郵寄或電子手段發送,表現在膠片上或以談話的方式說出來。總之,信息無論以什么形式存在,以什么方式存儲、傳輸或共享,都應得到恰當的保護。
所謂信息安全是指信息具有如下特征:
安全性:確保信息僅可讓授權獲取的人士訪問;完整性:保護信息和處理方法的準確和完善;可用性:確保授權人需要時可以獲取信息和相應的資產。
信息安全是指使信息避免一系列威脅,保障商務的連續性,最大限度地減少業務的損失,從而最大限度地獲取投資和商務的回報。它主要涉及到信息傳輸的安全、信息存儲的安全、以及網絡傳輸信息內容的審計三個方面,它可以通過實施一整套恰當的措施來獲得。但目前我國的信息安全令人堪憂,隨著政府上網和企業信息化的推進,越來越多的企業的日常業務已經無法脫離網絡和信息技術的支持,那么我國中小企業的信息安全現狀如何呢?
二、我國企業信息安全的現狀
(一)企業的重視程度
隨著信息化的加快,企業信息安全越來越受到重視,而我國的中小企業信息安全現階段正處于初級階段。在推進企業信息化的進程中,有些中小企業對于信息化概念的認識遠遠不夠,它們認為購置幾臺電腦放到公司,日常用來打打字,將單個機器連結到網上企業就信息化了,遠遠沒有認識到信息技術給企業所能帶來的巨大的變化,對于網絡安全更是沒有意識。
據調查,目前國內90%的網站存在安全問題,其主要原因是企業管理者缺少或沒有安全意識。某些企業網絡管理員甚至認為其公司規模較小,不會成為黑客的攻擊目標。如此態度,網絡安全更是無從談起。
(二)資金、技術、人員方面情況
已建立了企業內部信息化平臺的企業,由于資金、技術等方面的原因,還沒有把重點放到網絡安全管理上,尤其是中小企業的安全問題一直隱患重重。
據了解,許多中小企業沒有專門的網絡管理員,一般采用兼職管理方式,這使中小企業的網絡管理在安全性方面存在嚴重的漏洞,與大型企業相比,它們更容易受到網絡病毒的侵害,損失也比較嚴重。
根據IDC對2005年我國政府、企業用戶的信息安全狀況分析,約有34.8%的企業因內部雇員的行為(包括對內部資源的不合理使用和對內部數據缺乏有效保護)而造成企業出現安全問題。
(三)網絡維護、運行、升級方面的情況
在網絡的維護、運行、升級等事務性工作方面,由于工作繁重而且成本較高,一些善于精打細算的中小企業在防范黑客及病毒方面舍不得投入,據相關調查數據資料統計,國內七成以上的中小企業,一是缺乏基本的企業防毒知識,購買一些單機版防毒產品來防護整個企業網絡的安全。二是采購了并不適合自身網絡系統的企業防毒產品,因此留下許多安全隱患。三是技術力量薄弱,雖然部署了企業防毒產品,但是這些產品操作難度大、使用復雜,最終導致很難全面發揮效用,甚至成了擺設,這樣一來企業內部網絡就根本沒有什么安全而言。
三、如何保證我國中小企業的信息安全
(一)從企業的自身情況考慮
要解決中小企業網絡信息安全問題,不能僅依靠企業的安全設施和網絡安全產品,而應該考慮如何提高企業自身的網絡安全意識,將信息安全問題提升到重視的高度,要重視“人”的因素。具體表現在以下兩個方面:
1.提高安全認識
定期對企業員工進行網絡安全教育培訓深化企業的全員信息安全意識,企業管理層要制定完整的信息安全策略并貫徹執行,對安全問題要做到預先考慮和防備。
2.要求中小企業在上網的過程中要做到“一做三不要”
(1)將存有重要數據的電腦堅決同網絡隔離,同時設置開機密碼,并將軟驅、硬盤加密鎖定,進行三級保護。
(2)不要在自己的系統之內使用任何具有記憶命令的程序,因為這些程序不但能記錄用戶的擊鍵動作甚至能以快照的形式記錄到屏幕上發生的一切。
(3)不在網上的任何場合下隨意透露自己企業的任何安全信息。
(4)不要啟動系統資源共享功能,最后要盡量減少企業資源暴露在外部網上的機會和次數,減少黑客進攻的機會。
(二)從網絡安全角度考慮
1.從網絡安全服務商的角度來說,服務商要重視中小企業對網絡安全解決方案的需要,充分考慮中小企業的現實狀況,仔細調查和分析中小企業的安全因素,開發出適合中小企業實際情況的網絡安全綜合解決方案。此外,還應該注意投入大量精力在安全策略的施行及安全教育的開展方面,這樣才能為中小企業信息安全工作的順利開展提供堅實的保證。
2.要用防火墻將企業的局域網(Intranet)與互聯網之間進行隔離。由于網絡攻擊不斷升級,對應的防火墻軟件也應該及時跟著升級,這樣就要求我們企業的網管人員要經常到有關網站上下載最新的補丁程序,以便進行網絡維護,同時經常掃描整個內部網絡,以發現任何安全隱患并及時更改,才能做到有備無患。
3.企業用戶最好自己學會如何調試和管理自己的局域網系統,不要經常請別人來協助管理。中小企業要培養自己解決安全問題的能力,提高自己的信息安全技術。如果缺乏這方面的人才就應該去引進或者培養相關人才。
在企業的管理信息系統中有眾多的企業文件在流轉,其中肯定有重要性文件,有的甚至涉及到企業的發展前途,如果這些信息在通用過網絡傳送時被競爭對手或不法分子竊聽、泄密、篡改或偽造,將會嚴重威脅企業的發展,所以,中小企業電子信息安全技術的研究具有重要意義。
一、中小企業的信息化建設意義
在這個網絡信息時代,企業的信息化進程不斷發展,信息成了企業成敗的關鍵,也是管理水平提高的重要途徑。如今企業的商務活動,基本上都采用電子商務的形式進行,企業的生產運作、運輸和銷售各個方面都運用到了信息化技術。如通過網絡收集一些關于原材料的質量,價格,出產地等信息來建立一個原材料信息系統,這個信息系統對原材料的采購有很大的作用。通過對數據的分析,可以得到跟多的采購建議和對策,實現企業電子信息化水準。有關調查顯示,百分之八十二的中小企業對網站的應還處于宣傳企業形象,產品和服務信息,收集客戶資料這一階段,而電子商務這樣關系到交易的應用還不到四分之一,這說明企業還未充分開發和利用商業渠道信息。中小企業信息化時代已經到來,企業應該加快信息化的建設。
二、電子信息安全技術闡述
1、電子信息中的加密技術
加密技術能夠使數據的傳送更為安全和完整,加密技術分為對稱和非對稱加密兩種。其中對稱加密通常通過序列密碼或者分組機密來實現,包括明文、密鑰、加密算法以及解密算法等五個基本組成成分。非對稱加密與對稱加密有所不同,非對稱加密需要公開密鑰和私有密鑰兩個密鑰,公開密鑰和私有密鑰必須配對使用,用公開密鑰進行的加密,只有其對應的私有密匙才能解密。用私有密鑰進行的加密,也只有用其相應的公開密鑰才能解密。
加密技術對傳送的電子信息能夠起到保密的作用。在發送電子信息時,發送人用加密密鑰或算法對所發的信息加密后將其發出,如果在傳輸過程中有人竊取信息,他只能得到密文,密文是無法理解的。接受著可以利用解密密鑰將密文解密,恢復成明文。
2、防火墻技術
隨著網絡技術的發展,一些郵件炸彈,病毒木馬和網上黑客等對網絡的安全也造成了很大的威脅。企業的信息化使其網絡也遭到同樣的威脅,企業電子信息的安全也難以得到保證。針對網絡不安全這種狀況,最初采取的一種保護措施就是防火墻。在我們的個人電腦中防火墻也起到了很大的作用,它可以阻止非黑客的入侵,電腦信息的篡改等。
3、認證技術
消息認證和身份認證是認證技術的兩種形式,消息認證主要用于確保信息的完整性和抗否認性,用戶通過消息認證來確認信息的真假和是否被第三方修改或偽造。身份認證使用與鑒別用戶的身份的,包括識別和驗證兩個步驟。明確和區分訪問者身份是識別,確認訪問者身份叫驗證。用戶在訪問一些非公開的資源時必須通過身份認證。比如訪問高校的查分系統時,必須要經過學號和密碼的驗證才能訪問。高校圖書館的一些資源要校園網才能進行訪問,非校園網的不能進入,除非付費申請一個合格的訪問身份。
三、中小企業中電子信息的主要安全要素
1、信息的機密性
在今天這個網絡時代,信息的機密性工作似乎變得不那么容易了,但信息直接代表著企業的商業機密,如何保護企業信息不被竊取,篡改,濫用以及破壞,如何利用互聯網進行信息傳遞又能確保信息安全性已成為各中小企業必須解決的重要問題。
2、信息的有效性
隨著電子信息技術的發展,各中小企業都利用電子形式進行信息傳遞,信息的有效性直接關系的企業的經濟利益,也是個企業貿易順利進行的前提條件。所以要排除各種網絡故障、硬件故障,對這些網絡故障帶來的潛在威脅加以控制和預防,從而確保傳遞信息的有效性。
3、信息的完整性
企業交易各方的經營策略嚴重受到交易方的信息的完整性影響,所以保持交易各方的信息的完整性是非常重要對交易各方都是非常重要的。在對信息的處理過程中要預防對信息的隨意生成、修改,在傳送過程中要防止信息的丟失,保持信息的完整性是企業之間進行交易的基礎。
四、解決中小企業中電子信息安全問題的策略
1、構建中小企業電子信息安全管理體制
解決信息安全問題除了使用安全技術以外,還應該建立一套完善的電子信息安全管理制度,以確保信息安全管理的順利進行。在一般中小企業中,最初建立的相關信息管理制度在很大程度上制約著一個信息系統的安全。如果安全管理制度出了問題,那么圍繞著這一制度來選擇和使用安全管理技術及手段將無法正常進行,信息的安全性就得不到保證。完善,嚴格的電子信息安全管理制度對信息系統的安全影響很大。在企業信息系統中,如果沒有嚴格完善的信息安全管理制度,電子信息安全技術和相關的安全工具是不可能發揮應有的作用的。
2、利用企業的網絡條件來提供信息安全服務
很多企業的多個二級單位都在系統內通過廣域網被聯通, 局域網在各單位都全部建成,企業應該利用這種良好的網絡條件來為企業提供良好的信息安全服務。通過企業這一網絡平臺技術標準,安全公告和安全法規,提供信息安全軟件下載,安全設備選型,提供在線信息安全教育和培訓,同時為企業員工提供一個交流經驗的場所。
3、定期對安全防護軟件系統進行評估、改進
隨著企業的發展,企業的信息化應用和信息技術也不斷發展,人們對信息安全問題的認識是隨著技術的發展而不斷提高的,在電子信息安全問題不斷被發現的同時,解決信息安全問題的安全防護軟件系統也應該不斷的改進,定期對系統進行評估。
總之,各中小企業電子星系安全技術包含著技術和管理,以及制度等因素,隨著信息技術的不斷發展,不僅中小企業辦公室逐漸趨向辦公自動化,而且還確保了企業電子信息安全。
參考文獻:
[1]溫正衛;信息安全技術在電子政務系統中的應用[J];軟件導刊,2010
Abstract; network security problem to the small and medium-sized enterprise universal existence as the background, analyzes the main network security problems of small and medium enterprises, aiming at these problems, a small and medium enterprises to solve their own problems of network security are the road. And put forward the concept of the rate of return on investment, according to this concept, can be a preliminary estimate of the enterprise investment in network security.
Keywords: small and medium-sized enterprises; network security; network security architecture
中圖分類號:TN915.08文獻標識碼:A文章編號:2095-2104(2013)
1、中小型企業網絡安全問題的研究背景
隨著企業信息化的推廣和計算機網絡的成熟和擴大,企業的發展越來越離不開網絡,而伴隨著企業對網絡的依賴性與日俱增,企業網絡的安全性問題越來越嚴重,大量的入侵、蠕蟲、木馬、后門、拒絕服務、垃圾郵件、系統漏洞、間諜軟件等花樣繁多的安全隱患開始一一呈現在企業面前。近些年來頻繁出現在媒體報道中的網絡安全案例無疑是為我們敲響了警鐘,在信息網絡越來越發達的今天,企業要發展就必須重視自身網絡的安全問題。網絡安全不僅關系到企業的發展,甚至關乎到了企業的存亡。
2 、中小型企業網絡安全的主要問題
2.1什么是網絡安全
網絡安全的一個通用定義:網絡安全是指網絡系統中的軟、硬件設施及其系統中的數據受到保護,不會由于偶然的或是惡意的原因而遭受到破壞、更改和泄露。系統能夠連續、可靠地正常運行,網絡服務不被中斷。網絡安全從本質上說就是網絡上的信息安全。廣義地說,凡是涉及網絡上信息的保密性、完整性、可用性、真實性(抗抵賴性)和可控性的相關技術和理論,都是網絡安全主要研究的領域。
2.2網絡安全架構的基本功能
網絡信息的保密性、完整性、可用性、真實性(抗抵賴性)和可控性又被稱為網絡安全目標,對于任何一個企業網絡來講,都應該實現這五個網絡安全基本目標,這就需要企業的網絡應用架構具備防御、監測、應急、恢復等基本功能。
2.3中小型企業的主要網絡安全問題
中小型企業主要的網絡安全問題主要體現在3個方面.
1、木馬和病毒
計算機木馬和病毒是最常見的一類安全問題。木馬和病毒會嚴重破壞企業業務的連續性和有效性,某些木馬和病毒甚至能在片刻之間感染整個辦公場所從而導致企業業務徹底癱瘓。與此同時,公司員工也可能通過訪問惡意網站、下載未知的資料或者打開含有病毒代碼的電子郵件附件等方式,在不經意間將病毒和木馬帶入企業網絡并進行傳播,進而給企業造成巨大的經濟損失。由此可見,網絡安全系統必須能夠在網絡的每一點對蠕蟲、病毒和間諜軟件進行檢測和防范。這里提到的每一點,包括網絡的邊界位置以及內部網絡環境。
2、信息竊取
信息竊取是企業面臨的一個重大問題,也可以說是企業最急需解決的問題。網絡黑客通過入侵企業網絡盜取企業信息和企業的客戶信息而牟利。解決這一問題,僅僅靠在網絡邊緣位置加強防范還遠遠不夠,因為黑客可能會伙同公司內部人員(如員工或承包商)一起作案。信息竊取會對中小型企業的發展造成嚴重影響,它不僅會破壞中小型企業賴以生存的企業商譽和客戶關系。還會令企業陷入面臨負面報道、政府罰金和法律訴訟等問題的困境。
3、業務有效性
計算機木馬和病毒并不是威脅業務有效性的唯一因素。隨著企業發展與網絡越來越密不可分,網絡開始以破壞公司網站和電子商務運行為威脅條件,對企業進行敲詐勒索。其中,以DoS(拒絕服務)攻擊為代表的網絡攻擊占用企業網絡的大量帶寬,使其無法正常處理用戶的服務請求。而這一現象的結果是災難性的:數據和訂單丟失,客戶請求被拒絕……同時,當被攻擊的消息公之于眾后,企業的聲譽也會隨之受到影響。
3如何打造安全的中小型企業網絡架構
通過對中小型企業網絡存在的安全問題的分析,同時考慮到中小型企業資金有限的情況,我認為打造一個安全的中小型企業網絡架構應遵循以下的過程:首先要建立企業自己的網絡安全策略;其次根據企業現有網絡環境對企業可能存在的網絡隱患進行網絡安全風險評估,確定企業需要保護的重點;最后選擇合適的設備。
3.1建立網絡安全策略
一個企業的網絡絕不能簡簡單單的就定義為安全或者是不安全,每個企業在建立網絡安全體系的第一步應該是定義安全策略,該策略不會去指導如何獲得安全,而是將企業需要的應用清單羅列出來,再針對不同的信息級別給予安全等級定義。針對不同的信息安全級別和信息流的走向來給予不同的安全策略,企業需要制定合理的安全策略及安全方案來確保網絡系統的機密性、完整性、可用性、可控性與可審查性。對關鍵數據的防護要采取包括“進不來、出不去、讀不懂、改不了、走不脫”的五不原則。
“五不原則”:
1.“進不來”——可用性: 授權實體有權訪問數據,讓非法的用戶不能夠進入企業網。
2.“出不去”——可控性: 控制授權范圍內的信息流向及操作方式,讓企業網內的商業機密不被泄密。
3.“讀不懂”——機密性: 信息不暴露給未授權實體或進程,讓未被授權的人拿到信息也看不懂。
4.“改不了”——完整性: 保證數據不被未授權修改。
5.“走不脫”——可審查性:對出現的安全問題提供依據與手段。
在“五不原則”的基礎上,再針對企業網絡內的不同環節采取不同的策略。
3.2 信息安全等級劃分
根據我國《信息安全等級保護管理辦法》,我國所有的企業都必須對信息系統分等級實行安全保護,對等級保護工作的實施進行監督、管理。具體劃分情況如下:
第一級,信息系統受到破壞后,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益。
第二級,信息系統受到破壞后,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。
第三級,信息系統受到破壞后,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。
第四級,信息系統受到破壞后,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。
第五級,信息系統受到破壞后,會對國家安全造成特別嚴重損害。
因此,中小型企業在構建企業信息網絡安全架構之前,都應該根據《信息安全等級保護管理辦法》,經由相關部門確定企業的信息安全等級,并依據界定的企業信息安全等級對企業可能存在的網絡安全問題進行網絡安全風險評估。
3.3 網絡安全風險評估
根據國家信息安全保護管理辦法,網絡安全風險是指由于網絡系統所存在的脆弱性,因人為或自然的威脅導致安全事件發生所造成的可能性影響。網絡安全風險評估就是指依據有關信息安全技術和管理標準,對網絡系統的保密性、完整想、可控性和可用性等安全屬性進行科學評價的過程。
網絡安全風險評估對企業的網絡安全意義重大。首先,網絡安全風險評估是網絡安全的基礎工作,它有利于網絡安全的規劃和設計以及明確網絡安全的保障需求;另外,網絡安全風險評估有利于網絡的安全防護,使得企業能夠對自己的網絡做到突出防護重點,分級保護。
3.4確定企業需要保護的重點
針對不同的企業,其需要保護的網絡設備和節點是不同的。但是企業信息網絡中需要保護的重點在大體上是相同的,我認為主要包括以下幾點:
1.要著重保護服務器、存儲的安全,較輕保護單機安全。
企業的運作中,信息是靈魂,一般來說,大量有用的信息都保存在服務器或者存儲設備上。在實際工作中,企業應該要求員工把相關的資料存儲在企業服務器中。企業可以對服務器采取統一的安全策略,如果管理策略定義的好的話,在服務器上文件的安全性比單機上要高的多。所以在安全管理中,企業應該把管理的重心放到這些服務器中,要采用一切必要的措施,讓員工把信息存儲在文件服務器上。在投資上也應著重考慮企業服務器的防護。
2.邊界防護是重點。
當然著重保護服務器、存儲設備的安全并不是說整體的防護并不需要,相反的邊界防護是網絡防護的重點。網絡邊界是企業網絡與其他網絡的分界線,對網絡邊界進行安全防護,首先必須明確到底哪些網絡邊界需要防護,這可以通過網絡安全風險評估來確定。網絡邊界是一個網絡的重要組成部分,負責對網絡流量進行最初及最后的過濾,對一些公共服務器區進行保護,VPN技術也是在網絡邊界設備建立和終結的,因此邊界安全的有效部署對整網安全意義重大。
3.“”保護。
企業還要注意到,對于某些極其重要的部門,要將其劃為,例如一些研發部門。類似的部門一旦發生網絡安全事件,往往很難估量損失。在這些區域可以采用虛擬局域網技術或者干脆做到物理隔離。
4.終端計算機的防護。
最后作者還是要提到終端計算機的防護,雖然對比服務器、存儲和邊界防護,終端計算機的安全級別相對較低,但最基本的病毒防護,和策略審計是必不可少的。
3.5選擇合適的網絡安全設備
企業應該根據自身的需求和實際情況選擇適合的網絡安全設備,并不是越貴越好,或者是越先進越好。在這里作者重點介紹一下邊界防護產品——防火墻的性能參數的實際應用。
作為網絡安全重要的一環,防火墻是在任何整體網絡安全建設中都是不能缺少的主角之一,并且幾乎所有的網絡安全公司都會推出自己品牌的防火墻。在防火墻的參數中,最常看到的是并發連接數、網絡吞吐量兩個指標.
并發連接數:是指防火墻或服務器對其業務信息流的處理能力,是防火墻能夠同時處理的點對點連接的最大數目,它反映出防火墻設備對多個連接的訪問控制能力和連接狀態跟蹤能力,這個參數的大小直接影響到防火墻所能支持的最大信息點數。由于計算機用戶訪問頁面中有可能包含較多的其他頁面的連接,按每個臺計算機發生20個并發連接數計算(很多文章中提到一個經驗數據是15,但這個數值在集中辦公的地方往往會出現不足),假設企業中的計算機用戶為500人,這個企業需要的防火墻的并發連接數是:20*500*3/4=7500,也就是說在其他指標符合的情況下,購買一臺并發連接數在10000~15000之間的防火墻就已經足夠了,如果再規范了終端用戶的瀏覽限制,甚至可以更低。
網絡吞吐量:是指在沒有幀丟失的情況下,設備能夠接受的最大速率。隨著Internet的日益普及,內部網用戶訪問Internet的需求在不斷增加,一些企業也需要對外提供諸如WWW頁面瀏覽、FTP文件傳輸、DNS域名解析等服務,這些因素會導致網絡流量的急劇增加,而防火墻作為內外網之間的唯一數據通道,如果吞吐量太小,就會成為網絡瓶頸,給整個網絡的傳輸效率帶來負面影響。因此,考察防火墻的吞吐能力有助于企業更好的評價其性能表現。這也是測量防火墻性能的重要指標。
吞吐量的大小主要由防火墻內網卡,及程序算法的效率決定,尤其是程序算法,會使防火墻系統進行大量運算,通信量大打折扣。因此,大多數防火墻雖號稱100M防火墻,由于其算法依靠軟件實現,通信量遠遠沒有達到100M,實際只有10M-20M。純硬件防火墻,由于采用硬件進行運算,因此吞吐量可以達到線性90-95M,才是真正的100M防火墻。
從實際情況來看,中小型企業由于企業規模和人數的原因,一般選擇百兆防火墻就已經足夠了。
3.6投資回報率
在之前作者曾提到的中小企業的網絡特點中資金少是最重要的一個問題。不論企業如何做安全策略以及劃分保護重點,最終都要落實到一個實際問題上——企業網絡安全的投資資金。這里就涉及到了一個名詞——投資回報率。在網絡安全的投資上,是看不到任何產出的,那么網絡安全的投資回報率該如何計算呢?
首先,企業要確定公司內部員工在使用電子郵件和進行WEB瀏覽時,可能會違反公司網絡行為規范的概率。可以將這個概率稱為暴光值(exposure value (EV))。根據一些機構對中小企業做的調查報告可知,通常有25%—30%的員工會違反企業的使用策略,作者在此選擇25%作為計算安全投資回報率的暴光值。那么,一個擁有100名員工的企業就有100x 25% = 25名違反者。
下一步,必需確定一個因素——當發現單一事件時將損失多少人民幣。可以將它稱為預期單一損失(single loss expectancy (SLE))。由于公司中的100個員工都有可能會違反公司的使用規定,因此,可以用這100個員工的平均小時工資作為每小時造成工作站停機的預期單一最小損失值。例如,作者在此可以用每小時10元人民幣作為預期單一最小損失值。然后,企業需要確定在一周的工作時間之內,處理25名違規員工帶來的影響需要花費多少時間。這個時間可以用每周總工作量40小時乘以暴光值25%可以得出為10小時。這樣,就可以按下列公式來計算單一預期損失值:
25x ¥10 x 10/ h = ¥2500 (SLE)
最后,企業要確定這樣的事情在一年中可能會發生多少次。可以叫它為預期年均損失(annualized loss expectancy (ALE))。這樣的損失事件可能每一個星期都會發生,一年有52周,如果除去我國的春節和十一黃金周的兩個假期,這意味著一個企業在一年中可能會發生50次這樣的事件,可以將它稱之為年發生率(annual rate of occurrence (ARO))。預期的年均損失(ALE)就等于年發生率(ARO)乘以預期單一損失(SLE):
¥2500 x 50 = ¥125,000 (ALE)
這就是說,該公司在沒有使用安全技術防范措施的情況下,內部員工的違規網絡操作行為可能會給公司每年造成12.5萬元人民幣的損失。從這里就可以知道,如果公司只需要花費10000元人民幣來實施一個具體的網絡行為監控解決方案,就可能讓企業每年減少12.5萬元人民幣的損失,這個安全防范方案當然是值得去做的。
當然,事實卻并不是這么簡單的。這是由于安全并不是某種安全技術就可以解決的,安全防范是一個持續過程,其中必然會牽扯到人力和管理成本等因素。而且,任何一種安全技術或安全解決方案并不能保證絕對的安全,因為這是不可能完成的任務。
就拿本例來說,實施這個網絡行為監控方案之后,能夠將企業內部員工的違規行為,也就是暴光值(EV)降低到2%就已經相當不錯了。而這,需要在此安全防范方案實施一段時間之后,例如半年或一年,企業才可能知道實施此安全方案后的最終效果,也就是此次安全投資的具體投資回報率是多少。
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2008)19-30003-01
1 正確認識中小企業信息安全重要性
信息時代,企業的正常運作離不開信息資源的支持,這包括企業的經營計劃、知識產權、生產工藝、流程配方、方案圖紙、客戶資源以及各種重要數據等,這些都是企業全體員工努力拼搏、刻苦鉆研、殫精竭慮、長期積累下來的智慧結晶,是企業發展的方向和動力,關乎著企業的生存與發展,企業的重要信息一旦被泄露會使企業頓失市場競爭優勢,甚至會遭受滅頂之災。因此,企業要保持健康可持續性發展,信息安全是基本的保證之一。
2 危害中小企業信息安全的罪魁禍首
在媒體的宣傳下,病毒、木馬、蠕蟲、黑客已經成為危害信息安全的罪魁禍首,但是據信息專家論證,對計算機系統造成重大破壞的往往不是它們,而是組織內部人員有意或無意對信息的窺探或竊取。未來安全問題不再是過去簡簡單單的一個病毒或者一個黑客,它將朝著更多元化的方向發展,對于中小企業而言,無論是數據失竊、郵件泄密、打印泄密、還是網絡癱瘓,也許都將是一次徹底的毀滅。
3 哪些信息需要保密
一般而言,中小企業發生數據泄露事件的一個主要原因,是他們不知道自己的敏感信息和機密商業信息位于網絡或企業系統中的位置。由于缺乏這種了解,加上數據存儲方面的控制措施不到位,數據泄露變成了重大威脅。另外,這種危險并不僅僅出現在企業的網絡上,還出現在員工和合作伙伴的筆記本電腦及其他便攜存儲設備上。許多組織越來越擔心遇到數據泄密事件。據調查分析,知識產權、商業機密信息、客戶及消費者數據,以及員工數據成為面臨風險最大的四種數據,當然 也是最需要保密的數據。一般而言,自主研發型的企業產品研發部門是最需要進行電子數據加密的,而其他企業根據經營特點的不同,也可能把營銷部門或財務部門等其他部門列為數據安全保護的重點部門。
4 如何選擇適合的加密方法
總的來說,目前市場上有如下幾種主流的加密方式:
一種是文件夾加密,主要是提供給單個用戶使用,對放置機密文件的文件夾進行加密,打開時需要輸入密碼,此種加密軟件多為個人或軟件工作室制作,并不穩定,建議慎重使用,一旦重要資料加密后無法打開問題就比較嚴重了。
第二種就是我們常說的透明加密,這種加密方式的特點在于:不影響正常工作,而密文一旦脫離加密環境就無法打開,可以說是當前一種比較嚴密的數據保護方法。
第三種是USB接口加密,就是屏蔽USB設備或綁定USB存儲設備,對于綁定以外的USB設備無法識別。雖然這種方式不是嚴格意義上的數據加密,但因其原理簡單,對系統底層接觸較小,出問題的幾率比較小,所以應用范圍也很廣泛。
對于企業用戶我們推薦使用第二種方式,第三種方式雖然也可以,但其硬盤上的資料為明文,一旦硬盤被竊用,或文件通過網絡的方式傳遞出去,也很容易造成泄密。從數據的嚴格安全性上考慮,可以選擇第二種和第三種加密方法同時使用。
5 如何選擇合適的加密軟件
那么如何選擇加密軟件,尤其是透明加密類型的軟件呢?首先,一定不要當實驗品。很多加密軟件公司都是剛剛起步,或者剛剛涉足數據加密領域,其產品雖可能與其他軟件公司的產品原理相同,功能類似,但其中的Bug一定很多。對于透明數據加密軟件,一旦出現問題,計算機上的文件都會無法打開,或者某個文件被破壞永久無法打開,這對正常工作的影響是很大的。所以,我們在選擇透明加密產品之前一定要弄清楚該公司此款軟件的研發時間,第一個版本的上市時間,目前的軟件版本,其客戶有哪些,并最好能對其客戶進行電話或訪問調研。
其次,一定要考察好該公司的售后服務情況。對于此類軟件,在實際應用過程中因為環境的不同都多多少少會有一些“水土不服”,這時良好的售后服務會給IT人員減輕很大的“心理”負擔。而且IT人員要多給軟件公司一些信心,一些比較少見的問題要給予足夠的時間進行解決,畢竟此類軟件與系統底層接觸的比較多,可能出現的問題也會比較多。
再次,購買前一定要進行一段時間的真實環境測試,一般的軟件商都會提供試用版,一定要進行充分的試驗,尤其是要注意,自己公司使用的工作軟件是否全部與該公司軟件兼容,如有個別不兼容,軟件公司是否有能力進行相應的升級開發予以解決。
1 概述
網絡安全伴隨著計算機網絡的出現已經成為了一個伴隨每個網絡用戶永恒的問題。黑客們長期以來不斷的分析系統和應用系統,以更多的發現系統存在的漏洞,并通過編寫相應的腳本對其加以利用。安全廠商面對這些不斷發展安全威脅,也不斷的推出了新的安全防范技術和產品,如:防火墻、入侵檢測防御系統、殺毒軟件、反間諜軟件以及過濾內容和垃圾郵件等產品。此后,各個網絡用戶跟隨著安全廠商的步伐不斷的將這些安全產品疊加到自身的網絡結構、服務器和工作站上。但與此同時需要網絡用戶解決的還有很多問題,如:為了充分發揮他們的作用,如何建立一個有效的安全防范策略以及如何妥善管理這些設備并且如何計算安全防范的投資回報率等。
我們必須承認,中小企業在網絡安全方面的認識、投入和實施的案值相對以前的防范措施都有了很大的進步。但是相比以前,是否目前的中小企業網絡就更加安全呢?但是針對這個問題,由于網絡威脅隨著計算機的網絡發展而不斷的出現,并且相對以前的攻擊手段更具有危險性,因此,不可能有一個非常肯定的答案。并且從經濟利益角度出發是目前黑客攻擊的一個重大目標,從而使得中小企業成為黑客們攻擊的目標之一。即相對以前而言,目前中小企業面臨的安全風險更高。由于中小企業的網絡正朝著WEB應用和SOA架構的應用方向發展,從而使得網絡相對以前更加復雜。因此,目前的計算機網絡僅有C/S和B/S結構。網絡結構的復雜性也增加了安全防范的復雜性和難度。因此,目前最需要解決的問題就是如何構建信息安全管理方案幫助中小企業更好的解決安全檢測、識別和安全防范等。
2 影響企業網絡安全的主要因素
企業網絡由局域網和廣域網組成,人和自然因素是影響網絡安全的主要因素。雷擊、水災以及火災和地震等因素屬于自然因素,而人為因素包括誤操作刪除數據的無意和故意破壞之分。人為故意破壞分為計算機病毒、黑客入侵、網絡竊聽以及制造大量垃圾郵件等。
斯諾登泄密風暴揭發香港網絡保安不堪一擊,風暴過后復歸平靜,香港中小企業計算機保安水平低問題依舊。專家指出,黑客近年喜以“僵尸”手法入侵盜取資料,有公司員工誤開惡性電郵附件,計算機變成“僵尸”控亦懵然不知,最終令全公司計算機受感染。
香港警方坦言黑客難捉,科技罪案破案率不足20%。有中小企代表稱,公司計算機保安水平十年來毫無寸進,原因在于不覺數據被偷是致命傷,有閑錢不會優先投放改進計算機系統。學者指出,問題根本在人身上,“并非門鎖不夠先進,而是你不懂把門好好關上!”
中小企業大多不重視網絡安全,而“僵尸網絡”是近年漸趨普遍的入侵方式,黑客在電郵附件中暗藏惡性軟件,公司內部有人不慎開啟,即令計算機受感染成為“僵尸計算機”,“中招”計算機自動將IP地址傳回黑客的控制中心,令其用作監測用戶的網上銀行活動。黑客趁用戶登入時,伺機改寫網頁樣式,騙取用戶輸入敏感數據,或改變交易的細節,例如改變交易金額,或將金額過數予第三者。
計算機之所以讓黑客有機可乘,往往由于同事疏于防范胡亂下載附件,令“僵尸”程序或病毒有機可乘,甚至連累全公司被感染而不自知。今年6月,香港計算機保安事故協調中心曾參與全球捉“僵尸”行動,與警方連手搗破兩個在港境內控制中心,根據經驗,香港受感染的“僵尸”計算機介乎200至700部之間。前六個月處理的622宗保安事故中,超過一半來自僵尸網絡及黑客入侵,數字較去年同期增加94%。有專家建議,除防毒軟件及聯網防火墻外,公司應該為員工各自安裝個人防火墻,避免同事計算機在公司Local LAN(局部區域網絡)內互相攻擊。
3 中小企業應當建設一個整體網絡安全管理方案
只要給企業一個構建安全管理方案的通用處理步驟和流程,每個企業都能為自己建立一個安全管理方案,因此,企業設計一個網絡安全管理方案并不困難。但是需要注意的是,建立的安全管理方案除了適合目前和以后的發展外,還應當適合企業最關心的投資回報率問題。
目前很多中小企業針對安全投資回報率的問題,不知道如何確定防火墻、UTM、IDS/IPS和內容過濾以及監控系統等開支具體有多大。由于大部分的企業對于購買的設備適應什么樣的網絡結構、具體功能是否滿足現在和以后的需求、目前企業存在哪些問題以及企業需要什么功能的產品等都不了解,只是簡單將最新產品以及功能最多的產品鏈接到自己的網絡,認為這樣就可以起到安全防護的效果了,網絡安全問題便可以高枕無憂,因此在安全方面的投資,很多中小企業雖然常亮紅燈,但是卻得不到相應的安全防范效果。實際上,使用恰當的技術以持續不斷的應用到某個具體的對象上是安全防范的關鍵因素,安全防范作為一個具體的過程,而不是某種技術就能解決的。
安全管理涉及的方面很多,如配置管理、變更控制、業務連續性和災難恢復計劃、網絡安全、人力資源以及合理使用等。有些中小企業也許自己不能構建一個全面的安全管理方案,但是為了達到與安全管理方案相同的效果,我們可以使用一種叫做信息安全和事件管理的現成產品。
但是SIEM產品目前只能解決中小企業安全防范過程中許多問題的一小部分,甚至通過它中小企業根本取得不了任何安全防范效果。目前大部分的SIEM產品都是建立在關系型數據庫上,由于關系型數據庫不具有每天記錄上百萬條甚至是上十億條安全事件的能力,因此,很大程度上嚴重影響了他們在當今企業環境中應用時的可擴展性。由于購買現成的SIEM產品需要額外花費企業很多費用,這對于處于危機時期的中小企業而言無疑成為一個不小的負擔。但是中小企業在完成網絡安全防范任務的時候,無論是使用自己制定的安全管理方案,還是使用現成的STEM產品,都能讓企業在安全防范過程中不再感到迷惑,并且更加容易實現安全管理的目標。
4 企業信息安全新形勢
網絡信息安全工作始終是通信行業最為關鍵的工作之一,具有長期性、復雜性和艱巨性的特點。2010年3G及寬帶網絡蓬勃發展,三網融合開始實施操作,云計算和物聯網產業方興未艾,需求的個性化、數字的海量化、業務的復雜化給通信行業網絡信息安全帶來了新的更大的挑戰,行業中企業要進一步提高對網絡信息安全重要性的認識,發展與管理并重,加強部門協調配合,加強網絡基礎管理工作,加強網絡信息安全保障能力建設,特別是要加快網絡信息安全關鍵基礎產業的研發應用和產業化,通過核心技術掌握自主知識產權,加快發展自主可控的信息安全產業,建設新時期通信行業網絡安全、信息安全長城。
從國際國內出現的安全現象出發,應對多種復雜的安全新問題,應該借助于RFID等物聯網新技術,并通過極主動地建立網絡與信息安全的保障體系,技術和管理并重,加強立法建設、政策制訂、技術研究、標準制訂、隊伍建設、人才培養、市場服務、宣傳教育等多方面的工作,通過產業鏈各方的緊密合作共同構造一個全方位多層次的網絡與信息安全環境,來共同改善全球的網絡與信息安全問題。
5 結束語
計算機網絡安全作為企業的一項十分重要的工作,應當引起高度的重視。在進行網絡計算機操作之前,必須隨時做好網絡安全方面的防范工作。我們應當看到,動態的企業網絡安全隨著病毒、安全技術以及黑客站點的每日劇增,網絡安全動態的不斷更新,對網絡管理人員來講是一個巨大的挑戰。相信做一個好的信息安全解決方案是企業辦公網絡應用的完美選擇。
參考文獻:
[1]宋鈺,何小利,何先波,王偉黎.基于SNMP協議的入侵檢測系統[J].河北理工大學學報(自然科學版),2010(01).
[2]王步飛,顏景潤,任玉燦.現代信息技術與溫室環境因子控制[J].考試(教研版),2010(01).
[3]郭錫泉,羅偉其,姚國祥.多級反饋的網絡安全態勢感知系統[J].信息安全與通信保密,2010(01).
[中圖分類號] F230 [文獻標識碼] B
[文章編號] 1009-6043(2017)02-0125-03
引言
隨著現代經濟的不斷發展,越來越多的企業應用了網絡會計信息系統,但由于使用該系統的水平并沒有達到一定的要求,無論是會計人員還是系統本身都存在一定的風險和安全隱患,造成了企業財務信息的失真和丟失甚至是泄露。一些中小企業認識到了問題的重要性,開始研究解決安全患的方法與措施,學術界的學者也紛紛發表了各自的看法,提供了大量的理論觀點和現實依據,加強了會計信息系統的管理與應用,提高了使用的安全性。本文針對會計信息系統尚存在的安全問題進一步做了研究,為企業今后的發展提供新的參考和依據。
一、網絡環境下會計信息系統的特點
(一)經濟性與高效性
網絡環境下會計信息系統具有經濟性和高效性。從經濟性角度來看,網絡環境最大的特征就是成本低,范圍廣,通過網絡平臺將自己的產品,價格以及功能向大家展示出來。而會計信息系統的建立主要也是通過網絡進行的,只有在此環境下才更有利于信息的收集和數據的分析,同時也是成本最低的采集信息的方式。對于會計信息的監督行為也可以通過網絡遠程操控來實現,對于企業會計管理更具有經濟性;從高效性的角度來看,現如今的社會發展沒有比網絡更快捷高效的方式,尤其對于信息傳播和收集方面,網絡平臺掌握著所有可公開的信息,只需要簡單的搜索就可以實現,尤其是信息的廣泛性,想要針對任何對象都可以進行快速搜索來全面了解,會計信息系統以最快的速度進行反應和決策,所以網絡對于會計信息系統的使用是具有高效性的。
(二)及時性與實效性
傳統的會計信息處理需要登記賬簿,審核憑證等程序,一系列復雜的步驟常常耽誤大量的時間和精力,而網絡環境下會計信息系統的建立避免這些繁瑣的程序,財務部門對于所有相關的企業信息分門別類進行網絡系統存儲,同時對信息進行及時的處理和反饋,使企業最快的做出市場反應。針對一些不斷變化和更新的數據,更需要在網絡中進行及時搜索,會計根據信息的用處抓住有效的信息資源,最快速地將信息整合成整體資料,提供給相關部門,促進企業內部工作效率的提高,所以網絡環境下會計信息系統具有及時性和時效性等特點。
二、網絡環境下中小企業會計信息系統存在的安全問題
(一)財務資料保管不嚴密,易丟失
財務資料反應的是整個企業內部資金狀況和經營現象,關乎企業的發展,是企業最核心的資料,所以財務資料具有保密性的要求。但是目前仍然存在較多的丟失資料和泄露數據的現象,一般來說主要是會計管理人員的工作責任。一方面,針對資料丟失現象,基本是因為會計人員操作錯誤,誤刪或者沒有存儲造成資料丟失;另一方面,如有數據泄露,有可能是由于網絡安全性設置不完善或者內部人員外泄兩個方面,即使設置了安全密保,也有可能被專業人員破解,所以對于起到保密性的軟件開發對企業的信息安全管理更為重要。
(二)會計信息系統存在漏洞,易遭黑客攻擊
現代互聯網環境中,黑客攻擊現象越來越嚴重,尤其對于企業內部數據的侵襲和盜取造成極大的危害。究其根源,會計信息如果遭到網絡黑客的攻擊,一般是由于系統內部存在一定的漏洞,讓黑客鉆了空子,而且目前黑客使用的技術和軟件都比較先進,針對系統存在的漏洞容易發起攻擊,并能夠瞬間盜走數據,同時也可以通過病毒或者木馬進行數據破壞,導致整個會計信息系統的安全指數降低,為企業引入了新的風險。
(三)存在會計信息失真問題
會計信息失真是指所獲得的會計信息和數據不能真實的反應相關的經濟活動,從而對企業的決策造成干擾。一般會計信息失真現象來源于兩個方面,一方面是來源渠道出現問題,造成會計人員無意采用了不真實的數據,大部分原因是因為現代網絡數據確實有不實的現象,會計人員專業水平不夠,會難以分辨數據的真偽;另一方面是由于會計工作人員素質低下,收到外部環境的誘惑或者收買,有意偽造信息,從事了扭曲真實信息的非正常經濟活動。會計信息失真現象最根本的原因在于企業內部管理的缺失,才會引起大量數據不真實和員工的違規行為,企業必須引起重視,有效的控制企業會計信息失真現象。
(四)網絡會計人員缺乏,系統應用不深入
現代中小型企業員工的知識和技能水平較低,尤其是計算機水平,大多數人都達不到要求。目前網絡會計專業人員較少,一部分表現為計算機知識和使用技能缺乏,對軟件和系統的應用不熟練和不專業,造成網絡會計系統存在較大的安全性問題。現代網絡環境十分復雜,功能也較多,常常會有惡意程序進入電腦,因為會計人員安全意識薄弱,而且專業度不夠,很難發展潛在的危險,盲目的進行操作和處理,無疑會對信息系統造成巨大的破壞。即使是經驗豐富的會計人員,不能合理和科學的操控計算機也無法勝任網絡會計一職,否則出現操作不嚴密和不規范的現象,會嚴重損壞系統的正常運作,甚至造成大量數據遺失,這會給企業帶來更多的安全隱患。
三、網絡環境下中小企業會計信息系統問題存在的原因
(一)會計人員操作不規范
現代網絡會計信息系統的建立是為了更好的適應信息化時代的要求,但是對于計算機使用水平要求較高,會計人員常常會因為操作不規范影響系統的正常運行。會計操作不規范一方面是指對電腦軟件使用不熟悉甚至是不了解,數據收集以及分析處理都不能有效的使用軟件進行,很難發揮財務軟件的多方面功能和作用,尤其進行不懂裝懂的錯誤操作,使軟件完全失去了功能,也失去了效應;另一方是指面對問題處理操作使用的不規范也是造成安全隱患的重要原因。每個系統都會階段性的出現問題,如果不能及時有效的處理就會對系統造成更嚴重的損害,還需要花費大量的時間進行修復。而會計人員如果在面對故障時不但不會因為不了解而放棄處理,反而進行了不合理的操作,將會造成無法彌補的損失,對企業整體的內部財務環境具有嚴重的破壞性。
(二)網絡安全控制制度不健全
許多企業都是因為管理制度缺失造成大量的安全危機。會計信息系統存在安全隱患的額一部分原因是由于網絡安全控制制度不健全。對于安全性能、操作規范程度、策略方法等都尚未建立一整套安全控制制度,同時對于網絡安全的監督體制也不完善,對于某些小型企業甚至沒有相關制度。管理人員因為沒有意識到管理體制,尤其是安全管理體制的重要性,那么出現安全問題也很難及時高效的處理。國家需要有法可依,那么企業需要有制度作為依據才能有序的經營,安全是所有企業最重視的最核心的問題。尤其面對網絡環境,安全性是第一位,所以會計信息系統的安全制度如果不健全,必會對企業信息安全造成一定影響和破壞,阻礙企業經濟的發展和進步。
(三)網絡系統本身的權限開放
會計信息系統并非獨立的系統,集成化信息模式使系統不在單獨針對會計或者財務部門開放,整個企業的物流、資金流、顧客訂單等都將在互聯網平臺共享,而會計信息的安全性能只屬于企業安全管理的一部分。會計信息的管理權限如果沒有得到有效的控制,那么必然會造成信息或者數據被無意或者有意的泄露。如果是過于復雜的權限設置,由于約束條件比較多,例如用戶的身份、不同時間等,限制相關人員數據收集和信息處理,而且還存在大量臨時設立的權限,存在更多的不安全成分。因此權限的設置和控制會對網絡會計信息系統的安全性造成一定的影響。
(四)會計人員職業道德和信息化水平低
網絡會計信息系統主要依靠會計來進行管理和控制,主動權基本掌握在會計工作人員的手上,所以會計人員的職業道德和信息化水平影響著網絡信息安全。大量的數據丟失和泄露有60%的原因是由于會計人員的職業道德低下,禁不住誘惑會出現一些虛假記賬或者泄露信息等行為,而且企業關注會計人員管理的制度如果不完善,缺乏懲罰制度,更加使會計工作人員不會堅持原則和嚴格遵守職業道德,這樣會計人員會不斷出現造假泄密的問題,導致企業財務受損。然而,會計人員的信息水平低也是造成信息系統存在安全隱患的原因,錯誤的操作會使數據誤刪等現象出現,所以,對于網絡會計信息系統的安全性受會計人員的控制,也取決于會計人員的道德素質和信息化技能水平。
四、網絡環境下中小企業會計信息系統問題的解決對策
(一)規范操作步驟,明確工作流程
對于網絡會計信息系統的安全管理,中小企業應該規范操作步驟,明確工作流程。對于規范操作步驟方面,主要針對的是會計人員對系統的操作,對于數據的收集、處理、分析、整合等各個過程都需要制定操作步驟,確保每個人嚴格執行,避免錯誤性操作帶來的危害,同時對相關會計人員進行定期培訓,對于所制定的操作步驟存在的問題進行完善。針對工作流程,企業應該建立一整套基本流程,明確各人員的責任分工,確保每一項任務都有具體人員負責,然后要求大家對整體工作流程有所了解,在完成自己負責的任務的基礎上協助他人,將整個會計信息系統進行規范化和程序化管理。
(二)建立健全網絡安全控制制度
網絡會計信息系統應該建立以及不斷完善網絡安全控制制度。第一,建立網絡風險控制制度,對于會計信息系統可能發生的風險進行預警和控制,做出處理預案,針對不同的風險進行分類以及提出不同處理方法,根據建立的風險管理體制應對不同種類的風險;第二,建立會計人員管理體制,信息系統的安全大部分取決于會計人員的素質和技術水平,企業應該建立有效的員工管理體制,對其保密性和負責的態度都需要不斷加強,根據體制進行對員工工作的規范化管理以及獎懲手段實施;第三,建立信息應用管理制度,主要是針對信息的輸入,處理以及輸出的控制,方便會計人員進行分析、檢測和預防等;第四,建立網絡信息訪問權限控制,對于比較隱秘性和重要性的信息和數據的訪問應該設置訪問權限,確保是專業人員進行高技術設置,盡量避免被黑客盜取和破壞,同時對于內部公開性信息可以建立簡單的員工內部訪問權限,主要是為了提醒大家這屬于企業內部可公開的資源,如果有外泄現象仍然會嚴重處理。
(三)加強會計信息系統硬件管理和軟件升級
針對會計信息系統的軟硬件都需要強化和進一步管理。硬件方面應該負責專門會計人員進行監督管理,未經授權的其他人不能直接使用計算機,使用獨立的服務器,拒絕其他存儲設備外接到計算機設備上造成干擾,在電源、防火、防水等方面嚴格把關,必須要求有專門人員進行機房的管理;針對軟件方面,應該適應現代信息技術水平,勇于開發新的功能技術軟件,同時對原有軟件針對其漏洞不斷升級,保證最先進的軟件技術。
(四)提升會計人員職業道德素質和信息化技能
會計人員的職業道德素質與信息化技能是影響網絡會計信息系統安全的重要因素。企業針對會計人員道德素質方面,需要對會計人員進行日常行為的角度和評價,對員工心理變化及時發現,同時應該建立合理的激勵機制,對于突出表現的員工給予物質或者精神獎勵,反過來對于泄密造假等行為必須給予懲罰,實行制度的同時確保公平公開性原則,這樣員工整體的職業道德素質會被有效的控制;對于員工的信息化水平的提高,應該為員工創造多次培訓學習以及深造的機會,充分掌握市場上最流行先進的技術手段,保證員工信息化水平與市場同步,這樣網絡會計信息系統的安全運行才會有所保障。
(五)持續評估控制會計信息風險
企業面對會計信息風險,應該保證持續評估和控制。每次對于數據的處理和信息的反饋都包含多方面內容的整合,會計人員應該學會整個過程的評估和控制,可以首先建立科學評估指標,依據指標進行對現有信息系統進行評估,預測潛在的風險,然后采用針對性的戰略措施進行有效的控制。對于風險的評估不能間斷,需要專業人員實時檢測和監督,及時發現問題和故障,針對預測的風險做出預案,這樣才會有效的規避風險,促進企業信息管理正常運作和持續的發展。
結語
目前網絡會計信息系統應用較為廣泛,現代企業隨著市場的變化和要求不斷地提高,逐漸加強了企業內部環境的技術水平。網絡會計信息系統是一個比較復雜的現代系統,在數據的輸入與輸出過程中存在較多的安全隱患,一部分來源于會計人員的自身問題,一部分來源于網絡本身的不安全性,這都會對系統有一定的破壞性,從而對企業的財務信息管理造成危害。所以企業管理層已經引起了注意,開始關注針對系統的風險和安全管理與控制問題,現有的理論基礎和體制尚不完善,從會計人員來看仍然存在道德素質低下與技術水平不合格的現象,從網絡技術來看還存在一定的漏洞和不足,需要進一步的改進和加強。本文的研究主要針對網絡會計信息系統現存的問題進行針對性的提出建議,為現代中小企業提供了參考依據,也為企業的管理發展奠定了現實基礎。
[參 考 文 獻]
隨著社會、經濟和科學技術的飛速發展,計算機網絡在經濟和生活的各個領域迅速普及。院校本身為了提高管理和服務水平,在各個學院和后勤管理部門都依靠IT技術構建自身的信息基礎架構和業務系統應用平臺。
院校局域網環境下,印刷企業獲得了信息共享、信息交流、信息服務,提高了服務水平、增強了核心競爭力。但網絡環境的開放性、共享性、交互性,也造成了印刷企業信息平臺的脆弱性,一旦網絡遭到攻擊,科研信息泄密、試卷信息泄露,甚至被人篡改,會給院校帶來重大損失。因而,信息安全問題對院校印刷企業來講是非常重要的。
信息安全就是防止非法的攻擊和病毒的傳播,保證計算機系統和通信系統的正常運作,保證信息不被非法訪問和篡改。
信息安全的根本目的就是使內部信息不受外部威脅,因此信息通常要加密。為保障信息安全,要求有信息源認證、訪問控制,不能有非法軟件駐留,不能有非法操作。
針對院校局域網環境下印刷企業信息平臺容易發生的安全隱患,完善對應防范策略,最大限度地保障院校印刷企業信息安全。
一般來講,安全問題來自內部和外部兩個方向,而內部又分為誤操作和破壞兩個動機.筆者所在印刷企業主要面對的信息安全問題主要有以下幾個方面:
1 物理安全
物理安全是指在物理介質層次上對存儲和傳輸的網絡信息的安全保護。對于計算機網絡設備、設施等等免于遭受自然或人為的破壞。主要有環境安全(即自然環境對計算機網絡設備與設施的影響);設備安全則是指防止設備被盜竊、毀壞、電磁輻射、電磁干擾、竊聽等;媒體安全,保證媒體本身以及媒體所載數據的安全性。
為了保障信息平臺能夠高效的運行,防止或者減少機房受到自然災害、物理損壞、設備故障等不安全因素的影響, 以保障基本的溫度、濕度、電力以及機房隱蔽性等.在機房選址或者是樓宇建設階段,需要充分考慮機房建設的物理安全問題.因為在一般情況下,物理上的破壞將銷毀網絡信息本身,這種不安全因素對網絡信息的完整性和可用性威脅最大,而對網絡信息的保密性影響卻較小。
2 數據及存儲安全
數據備份是指將計算機系統中的一部分數據通過適當的形式轉錄到可脫機保存的介質(如移動硬盤、U盤和光盤)上,制定應急處理計劃,做好數據的備份和恢復,完善的數據備份應該是動態、多重備份.這樣才能保證操作系統遭到破壞后能夠迅速恢復這些數據庫的使用。
由于院校印刷企業工作的特殊性,對于重要信息數據, 要在數據的存儲、處理、傳輸、銷毀等階段,分別做好對應的數據安全的保護工作.對于重要數據要進行加密處理,對于不可復制的存儲介質應該存放在能防火、防盜的庫房中妥善保存。對于敏感數據的刪除或銷毀,要通過消除剩磁的技術,做到不可恢復,防止被恢復而泄漏信息;數據傳輸方面,要使用加密與認證密碼傳輸數據;不使用未進行數據加密的移動存儲設備,防止數據外泄。
3 網絡安全及病毒防控
在基礎架構的網絡規劃設計階段,網絡拓撲設計非常重要.由于院校信息網中存在中國教育網、公用互聯網、院校內部辦公網、校內服務網等多網絡共存的環境.在多層網絡設計、子網設計以及網絡的安全性、可靠性方面存在許多要求。
充分考慮物理拓撲結構與邏輯拓撲結構的關系,在使用網絡設備進行技術性實施時,加強控制通信方向,以減少病毒的傳播和黑客的攻擊,保證網絡系統安全,并關注網絡及其設備的運行情況,注意設備的維護和升級。
統一部署完整病毒防御體系,注意網絡傳輸入口與終端設備數據入口相結合,設置隔離區來防止病毒的入侵。同時建立病毒防控服務中心將硬件病毒庫與軟件病毒數據庫的更新同步,用防病毒軟硬件來防止來自互聯網病毒進入內部,采用防毒與殺毒相結合,在病毒可能流傳的各個渠道設置監控,結合定時病毒掃描和自動更新,查殺病毒,保證系統安全。
4 業務平臺安全
在很多情況下,業務信息系統是安裝部署在操作系統基礎上, 如果操作系統安全受到影響,也就失去了業務平臺安全運行的基礎。對操作系統進行安全補丁更新,并進行測試工作是至關重要的,通過專業軟件進行操作系統底層的安全測試工作,將各種可能存在的木馬程序、蠕蟲、惡意代碼、間諜軟件的侵入安全漏洞進行安全防護,防止給企業信息基礎設施、內部網絡、企業業務帶來損失.
結合業務平臺下硬軟件、數據和網絡等方面實際情況,在提高工作人員的保密觀念、責任心和安全意識,加強業務技術培訓,防止人為事故發生的同時, 通過技術手段,在自主訪問控制、強制訪問控制、身份鑒別等方面進行設置,主要特征有:最小特權原則,即每個特權用戶只擁有能進行他工作的權力;自主訪問控制;強制訪問控制,包括保密性訪問控制和完整性訪問控制;安全審計。
5 結語
隨著信息技術的飛速發展,信息已經成為一種非常重要的戰略資源,其影響企業安全的各種因素也會不斷變化強化,因此信息安全問題也越來越受到人們的重視,以上我們簡要的分析了院校印刷企業存在的幾種安全隱患。
總的來說,信息安全不僅僅是技術問題,因為信息安全研究的各個領域之間不是割裂的,同時也是一個安全管理問題。我們必須綜合考慮安全因素,制定合理的目標、技術方案和相關的配套法規等。其防護技術也必然隨著信息系統應用的發展而不斷進步。
致謝:
首先,我要向市信息中心的孫勇先生,感謝他為我提供了很多技術資料。我還要衷心地感謝校信息中心的老師們,感謝他們為本文提出了許多寶貴的意見.最后,我還要向我的領導和同事們表示感謝,感謝他們長期以來的支持和幫助。再次向以上所有人表示感謝。
參考文獻:
[1]陳福莉,譚興烈.信息安全管理平臺及其應用[J].信息安全與通信保密,2006(12).
[2]鄭林信息資產的風險管理[J].中國計算機用戶,2004(26).
[3]王丁,楊德華.CZC交易信任管理機制探討[J].電腦開發與應用,2004(03).
(Shuangluan District Human Resources and Social Security Bureau of Chengde,Hebei Province,Chengde 067101,China)
摘要: 隨著計算技術的發展,網絡技術的普遍應用,保護商業機密、個人隱私、敏感數據等越顯重要。尤其是中小企事業單位由于資金有限,資源不多,各種信息數據時時受到內部的以及外部的威脅。數據信息安全的實質就是要保護信息系統或信息網絡中的信息資源免受各種類型的威脅、干擾和破壞,即保證信息的安全性。本文將對中小企事業單位的數據信息安全問題進行分析,提出相應的安全策略和技術防范措施。
Abstract: With the development of computing technology and widespread application of network technology, the protection of commercial secrets, personal privacy and sensitive data and so on becomes more important. Especially for small and medium-sized enterprises, due to the limited funding and resources, the information data is constantly threatened by internal and external factors. The essence of the data information security is to protect information systems or information in the network information resources from various types of threats, interference and damage, namely guarantee information security. This article analyzes the data information security problems of small and medium-sized enterprises and institutions, and puts forward the corresponding security strategy and technical measures.
關鍵詞 : 數據信息;安全策略;企事業單位
Key words: data information;security policy;enterprises and institutions
中圖分類號:TP311.5文獻標識碼:A文章編號:1006-4311(2015)25-0055-02
作者簡介:李曉賓(1979-),男,河北承德人,科員,助理工程師,研究方向為電子信息。
0 引言
Internet為人類社會創造了一個全新的信息空間,隨著計算機網絡技術的日益成熟,計算機網絡在社會上的應用也急劇增多,中小企事業單位越來越多的采用計算機網絡技術來進行辦公。但是在此過程中,由于中小企事業單位對網絡安全問題不夠重視以及工作人員的操作不規范等問題,使中小企事業單位的網絡安全受到極大的威脅。隨著數字化經濟的到來,網絡系統的不斷擴大,信息的快速獲取,數據的安全性、可用性變得越來越重要。
1 計算機網絡數據安全問題概述
隨著網絡技術的迅猛發展,各行各業逐步跨入信息時代大平臺,這一方面為信息儲存、行業推廣提供了極大便利,而另一方面也催化了網絡信息安全隱患的不斷滋長,頻頻爆出網絡用戶信息泄漏事件。目前網絡已成為中小企事業單位重要的工作手段之一,網絡信息泄密使企業面臨嚴重的安全威脅,并且已經有企業為此承擔了巨大的經濟損失。加強網絡信息安全管理已刻不容緩。
2 企事業單位計算機數據安全面臨的威脅
①中小企事業單位由于網絡管理上的缺失,沒有形成統一的網絡安全管理制度或者責任分工不明確,不能及時發現計算機網絡系統中出現的安全漏洞,造成數據損毀丟失或被黑客篡改。
②U盤、移動硬盤等外來數據與中小企事業單位內部的計算機端口進行非法的連接,造成網絡系統感染病毒或者直接癱瘓,對中小企事業單位的內部信息安全夠成威脅。
③中小企事業單位對計算機網絡終端缺乏有效的監控,當計算機系統出現安全威脅時,無法通過監控系統及時鎖定故障點,也無法統一管理計算機網絡所配置的應用軟件。
④由于單位員工的計算機網絡技術水平存在較大差異,大部分員工不能熟練掌握計算機網絡的應用技術,經常出現由于工作人員的操作不當,造成數據的刪除或者損壞。因沒有設置或及時更改計算機網絡的使用權限,增加了網絡入侵的危險。
3 計算機網絡數據信息安全策略與技術防范措施
基于上述安全隱患,而計算機網絡在中小企事業單位中的應用又勢在必行的現實趨勢,中小企事業單位應該針對計算機網絡信息制定配套的安全管理策略,切實加強信息安全管理,并且針對安全威脅采取相應的技術防范措施,見表1。
RAID 0追求速度,至少需要2塊硬盤,總容量相當于多塊硬盤加起來,不過這種方案安全性欠缺,一塊硬盤出現問題,數據全毀。RAID 1追求安全,磁盤2是磁盤1的備份,缺點是容量損失,速度與單塊硬盤相同。RAID 0+1或RAID 1+0兼顧速度與安全,應用較多。RAID 5相對來說速度較快,安全性較高,應用也比較普遍。
4 典型案例分析
2010年,張建在杭州某電商企業中負責品牌運營和推廣工作。在工作中結識了前支付寶員工李明,雙方產生了“生意”上的來往。在一次合作中,李明用3萬條目標消費者信息來抵付欠張建的500元人民幣酬勞。這3萬條目標消費者信息中包括公民個人的實名、手機、電子郵箱、家庭住址、消費記錄等,張建通過這些定位精準的用戶信息進一步篩選出精準的目標消費群體。李明時任支付寶技術員工,其利用工作之便,多次從支付寶后臺下載用戶信息。據其對警方的供述,其下載的信息的大小容量在20G以上。李明下載用戶信息后,伙同兩位系統外的IT業者,共同將用戶數據加以分析、提煉,并兜售給目標客戶。
此案暴露了支付寶公司信息安全管理上的漏洞,如果內部監管得力,及時發現問題,就可制止犯罪行為。如果權限設置得當,他沒有相應的權限,就接觸不到或者不會輕易得到如此多的隱私數據,就不會發生這類事件了。
5 數據信息安全的目標及要達到的效果
信息安全通常強調CIA三元組的目標,即保密性、完整性和可用性。CIA 的概念闡述源自信息技術安全評估標準(ITSEC,即 Information Technology Security Evaluation Criteria),它也是信息安全的基本要素和安全建設所應遵循的基本原則。
中小企事業單位的目標是在有限的投入中,獲得盡可能最大的安全性。防火墻是必須的,既要防病毒又要防黑客;物理隔離網絡是必要的,只有這樣才能保護專網的數據信息安全;建立完整的備份策略是必然的,防患于未然;內部的監管也是非常重要的,消滅一切威脅到數據信息安全的行為。
6 結論
隨著計算機網絡技術的發展,中小企事業單位對于計算機網絡的應用將越來越廣泛,建立健全各種安全制度,增強網絡數據信息的安全性刻不容緩。在產業融合的態勢下,應該盡量保證數據信息的準確性,完整性,保密性,避免由于網絡數據信息丟失、損毀、泄密等給中小企事業單位帶來的損失。同時,政府也應該遵循互聯網發展的規律,秉承開放、包容、創新、分享的理念,加快建立完善和互聯網工作發展相適應的監管制度,修訂完善法律法規,不斷優化監管思路,創新監管手段,規范市場秩序,著力打造黨政部門、互聯網企業、科研機構、行業組織,以至普通的網民廣泛參與合作等多元監管格局,為互聯網潛能的充分釋放營造公平、公正、合法、合規的外部環境。
參考文獻:
[1]潘柱廷.高端信息安全與大數據[J].信息安全與通信保密,2012(12).
[2]維克托·邁爾·舍恩伯格,周濤.大數據時代:生活、工作與思維的大變革[J].人力資源管理,2013(03).
[3]劉慶宇.淺析計算機網絡的安全策略與技術防范對策[J].數字技術與應用,2013(10):207.
在辦公室里指疾如風地在鍵盤上敲打數據、處理工作的時候,你是不是也曾經一次又一次對電腦屏幕右下角浮現的更新圖標視而不見呢?即使已經有提示框跳到屏幕中央,你是不是也會不耐煩地點擊“忽略”、“下次再提醒我”呢?除了升級本身會導致的電腦運行緩慢,升級完成后必需的電腦重啟工作也讓人不勝其煩,而本來習慣的軟件界面和功能選項的不斷修訂也需要時間重新適應,在手頭業務繁忙的時候,一般的軟件更新簡直就是一場噩夢!
不過數據證明,逃避軟件更新雖然暫時保證了工作的流暢,卻為日后的信息安全埋下了隱患。知名信息安全廠商卡巴斯基實驗室日前在報告中指出: 2010年第三季度在用戶計算機中檢測出的10個分布最廣泛的漏洞中,有多個是其供應商在2007至2009年間就提供過相應補丁程序的。造成這一局面的原因,就是很多用戶不經常升級計算機中的軟件。
當然,要規避這些危險并不是不可能的,如果出于節省時間和精力的目的不愿意經常進行常規軟件的更新和打補丁,那么就一定要配備具備超強時效性的安全解決方案,以應對隨時可能出現的針對性漏洞攻擊。在這一方面,作為業內唯一能做到每小時更新病毒庫的卡巴斯基無疑是相當不錯的選擇。第一時間對新生惡意程序進行響應,是無數企業的首要需求,也符合患有“更新恐懼癥”的員工們最迫切的需要。但是每小時更新是不是與用戶對不斷更新重啟這一軟件行為的排斥相矛盾呢?對于這一問題,卡巴斯基相關負責人表示,卡巴斯基企業版產品不會給用戶帶來這一方面的困擾,無論是病毒庫,還是反病毒模塊,只要是一般情況下的常規更新,都無需進行計算機重啟,可大大減少對用戶日常工作的影響;而更新過程中亦不會降低電腦的運行速度,除了因為卡巴斯基采用的新技術使用了更小的下載安裝包以外,還因為更新程序完全可以由管理員統一設置為后臺運行,用戶幾乎完全感覺不到這一過程。
俗話說:一物降一物。卡巴斯基前瞻性的防御技術、實時更新的反病毒數據庫和獨到的“后臺無干擾升級”,就是 “更新恐懼癥”的一大克星。而解決了這一看似不起眼的細節問題,才能確保反病毒數據庫的實時更新,從根本上保證企業的信息數據安全。