时间:2023-06-30 17:21:22
关键词:信息化 信息安全 网络安全
根据国家统计局年初公布的数字显示,国内企业总体的99%都是中小企业,他们贡献了超过一半的国内GDP。但截止到目前,这些中小企业的信息化水平仍然比较落后,其中针对信息安全的投人,更是凤毛麟角。
对于国内占大多数的中小企业来说,如何在充分利用信息化优势的同时,更好地保护自身的信息资产,已经成为一个严峻的挑战。特别是近两年来,网络上的病毒、攻击事件频发,信息安全问题正在日益成为中小企业信息化进程中的难题。
一、什么是信息安全
信息是一种资产,与其它重要的资产一样,它对一个组织而言具有一定的价值,因此需要适当的加以保护,而信息又可以以多种形式存在。如可以打印或者写在纸上,以数字化的方式存储,通过邮局邮寄或电子手段发送,表现在胶片上或以谈话的方式说出来。总之,信息无论以什么形式存在,以什么方式存储、传输或共享,都应得到恰当的保护。
所谓信息安全是指信息具有如下特征:
安全性:确保信息仅可让授权获取的人士访问;完整性:保护信息和处理方法的准确和完善;可用性:确保授权人需要时可以获取信息和相应的资产。
信息安全是指使信息避免一系列威胁,保障商务的连续性,最大限度地减少业务的损失,从而最大限度地获取投资和商务的回报。它主要涉及到信息传输的安全、信息存储的安全、以及网络传输信息内容的审计三个方面,它可以通过实施一整套恰当的措施来获得。但目前我国的信息安全令人堪忧,随着政府上网和企业信息化的推进,越来越多的企业的日常业务已经无法脱离网络和信息技术的支持,那么我国中小企业的信息安全现状如何呢?
二、我国企业信息安全的现状
(一)企业的重视程度
随着信息化的加快,企业信息安全越来越受到重视,而我国的中小企业信息安全现阶段正处于初级阶段。在推进企业信息化的进程中,有些中小企业对于信息化概念的认识远远不够,它们认为购置几台电脑放到公司,日常用来打打字,将单个机器连结到网上企业就信息化了,远远没有认识到信息技术给企业所能带来的巨大的变化,对于网络安全更是没有意识。
据调查,目前国内90%的网站存在安全问题,其主要原因是企业管理者缺少或没有安全意识。某些企业网络管理员甚至认为其公司规模较小,不会成为黑客的攻击目标。如此态度,网络安全更是无从谈起。
(二)资金、技术、人员方面情况
已建立了企业内部信息化平台的企业,由于资金、技术等方面的原因,还没有把重点放到网络安全管理上,尤其是中小企业的安全问题一直隐患重重。
据了解,许多中小企业没有专门的网络管理员,一般采用兼职管理方式,这使中小企业的网络管理在安全性方面存在严重的漏洞,与大型企业相比,它们更容易受到网络病毒的侵害,损失也比较严重。
根据IDC对2005年我国政府、企业用户的信息安全状况分析,约有34.8%的企业因内部雇员的行为(包括对内部资源的不合理使用和对内部数据缺乏有效保护)而造成企业出现安全问题。
(三)网络维护、运行、升级方面的情况
在网络的维护、运行、升级等事务性工作方面,由于工作繁重而且成本较高,一些善于精打细算的中小企业在防范黑客及病毒方面舍不得投入,据相关调查数据资料统计,国内七成以上的中小企业,一是缺乏基本的企业防毒知识,购买一些单机版防毒产品来防护整个企业网络的安全。二是采购了并不适合自身网络系统的企业防毒产品,因此留下许多安全隐患。三是技术力量薄弱,虽然部署了企业防毒产品,但是这些产品操作难度大、使用复杂,最终导致很难全面发挥效用,甚至成了摆设,这样一来企业内部网络就根本没有什么安全而言。
三、如何保证我国中小企业的信息安全
(一)从企业的自身情况考虑
要解决中小企业网络信息安全问题,不能仅依靠企业的安全设施和网络安全产品,而应该考虑如何提高企业自身的网络安全意识,将信息安全问题提升到重视的高度,要重视“人”的因素。具体表现在以下两个方面:
1.提高安全认识
定期对企业员工进行网络安全教育培训深化企业的全员信息安全意识,企业管理层要制定完整的信息安全策略并贯彻执行,对安全问题要做到预先考虑和防备。
2.要求中小企业在上网的过程中要做到“一做三不要”
(1)将存有重要数据的电脑坚决同网络隔离,同时设置开机密码,并将软驱、硬盘加密锁定,进行三级保护。
(2)不要在自己的系统之内使用任何具有记忆命令的程序,因为这些程序不但能记录用户的击键动作甚至能以快照的形式记录到屏幕上发生的一切。
(3)不在网上的任何场合下随意透露自己企业的任何安全信息。
(4)不要启动系统资源共享功能,最后要尽量减少企业资源暴露在外部网上的机会和次数,减少黑客进攻的机会。
(二)从网络安全角度考虑
1.从网络安全服务商的角度来说,服务商要重视中小企业对网络安全解决方案的需要,充分考虑中小企业的现实状况,仔细调查和分析中小企业的安全因素,开发出适合中小企业实际情况的网络安全综合解决方案。此外,还应该注意投入大量精力在安全策略的施行及安全教育的开展方面,这样才能为中小企业信息安全工作的顺利开展提供坚实的保证。
2.要用防火墙将企业的局域网(Intranet)与互联网之间进行隔离。由于网络攻击不断升级,对应的防火墙软件也应该及时跟着升级,这样就要求我们企业的网管人员要经常到有关网站上下载最新的补丁程序,以便进行网络维护,同时经常扫描整个内部网络,以发现任何安全隐患并及时更改,才能做到有备无患。
3.企业用户最好自己学会如何调试和管理自己的局域网系统,不要经常请别人来协助管理。中小企业要培养自己解决安全问题的能力,提高自己的信息安全技术。如果缺乏这方面的人才就应该去引进或者培养相关人才。
4.内部网络系统的密码要定期修改。
关键词:信息化信息安全网络安全
根据国家统计局年初公布的数字显示,国内企业总体的99%都是中小企业,他们贡献了超过一半的国内GDP。但截止到目前,这些中小企业的信息化水平仍然比较落后,其中针对信息安全的投人,更是凤毛麟角。
对于国内占大多数的中小企业来说,如何在充分利用信息化优势的同时,更好地保护自身的信息资产,已经成为一个严峻的挑战。特别是近两年来,网络上的病毒、攻击事件频发,信息安全问题正在日益成为中小企业信息化进程中的难题。
一、什么是信息安全
信息是一种资产,与其它重要的资产一样,它对一个组织而言具有一定的价值,因此需要适当的加以保护,而信息又可以以多种形式存在。如可以打印或者写在纸上,以数字化的方式存储,通过邮局邮寄或电子手段发送,表现在胶片上或以谈话的方式说出来。总之,信息无论以什么形式存在,以什么方式存储、传输或共享,都应得到恰当的保护。
所谓信息安全是指信息具有如下特征:
安全性:确保信息仅可让授权获取的人士访问;完整性:保护信息和处理方法的准确和完善;可用性:确保授权人需要时可以获取信息和相应的资产。
信息安全是指使信息避免一系列威胁,保障商务的连续性,最大限度地减少业务的损失,从而最大限度地获取投资和商务的回报。它主要涉及到信息传输的安全、信息存储的安全、以及网络传输信息内容的审计三个方面,它可以通过实施一整套恰当的措施来获得。但目前我国的信息安全令人堪忧,随着政府上网和企业信息化的推进,越来越多的企业的日常业务已经无法脱离网络和信息技术的支持,那么我国中小企业的信息安全现状如何呢?
二、我国企业信息安全的现状
(一)企业的重视程度
随着信息化的加快,企业信息安全越来越受到重视,而我国的中小企业信息安全现阶段正处于初级阶段。在推进企业信息化的进程中,有些中小企业对于信息化概念的认识远远不够,它们认为购置几台电脑放到公司,日常用来打打字,将单个机器连结到网上企业就信息化了,远远没有认识到信息技术给企业所能带来的巨大的变化,对于网络安全更是没有意识。
据调查,目前国内90%的网站存在安全问题,其主要原因是企业管理者缺少或没有安全意识。某些企业网络管理员甚至认为其公司规模较小,不会成为黑客的攻击目标。如此态度,网络安全更是无从谈起。
(二)资金、技术、人员方面情况
已建立了企业内部信息化平台的企业,由于资金、技术等方面的原因,还没有把重点放到网络安全管理上,尤其是中小企业的安全问题一直隐患重重。
据了解,许多中小企业没有专门的网络管理员,一般采用兼职管理方式,这使中小企业的网络管理在安全性方面存在严重的漏洞,与大型企业相比,它们更容易受到网络病毒的侵害,损失也比较严重。
根据IDC对年我国政府、企业用户的信息安全状况分析,约有34.8%的企业因内部雇员的行为(包括对内部资源的不合理使用和对内部数据缺乏有效保护)而造成企业出现安全问题。
(三)网络维护、运行、升级方面的情况
在网络的维护、运行、升级等事务性工作方面,由于工作繁重而且成本较高,一些善于精打细算的中小企业在防范黑客及病毒方面舍不得投入,据相关调查数据资料统计,国内七成以上的中小企业,一是缺乏基本的企业防毒知识,购买一些单机版防毒产品来防护整个企业网络的安全。二是采购了并不适合自身网络系统的企业防毒产品,因此留下许多安全隐患。三是技术力量薄弱,虽然部署了企业防毒产品,但是这些产品操作难度大、使用复杂,最终导致很难全面发挥效用,甚至成了摆设,这样一来企业内部网络就根本没有什么安全而言。
三、如何保证我国中小企业的信息安全
(一)从企业的自身情况考虑
要解决中小企业网络信息安全问题,不能仅依靠企业的安全设施和网络安全产品,而应该考虑如何提高企业自身的网络安全意识,将信息安全问题提升到重视的高度,要重视“人”的因素。具体表现在以下两个方面:
1.提高安全认识
定期对企业员工进行网络安全教育培训深化企业的全员信息安全意识,企业管理层要制定完整的信息安全策略并贯彻执行,对安全问题要做到预先考虑和防备。
2.要求中小企业在上网的过程中要做到“一做三不要”
(1)将存有重要数据的电脑坚决同网络隔离,同时设置开机密码,并将软驱、硬盘加密锁定,进行三级保护。
(2)不要在自己的系统之内使用任何具有记忆命令的程序,因为这些程序不但能记录用户的击键动作甚至能以快照的形式记录到屏幕上发生的一切。
(3)不在网上的任何场合下随意透露自己企业的任何安全信息。
(4)不要启动系统资源共享功能,最后要尽量减少企业资源暴露在外部网上的机会和次数,减少黑客进攻的机会。
(二)从网络安全角度考虑
1.从网络安全服务商的角度来说,服务商要重视中小企业对网络安全解决方案的需要,充分考虑中小企业的现实状况,仔细调查和分析中小企业的安全因素,开发出适合中小企业实际情况的网络安全综合解决方案。此外,还应该注意投入大量精力在安全策略的施行及安全教育的开展方面,这样才能为中小企业信息安全工作的顺利开展提供坚实的保证。
2.要用防火墙将企业的局域网(Intranet)与互联网之间进行隔离。由于网络攻击不断升级,对应的防火墙软件也应该及时跟着升级,这样就要求我们企业的网管人员要经常到有关网站上下载最新的补丁程序,以便进行网络维护,同时经常扫描整个内部网络,以发现任何安全隐患并及时更改,才能做到有备无患。
3.企业用户最好自己学会如何调试和管理自己的局域网系统,不要经常请别人来协助管理。中小企业要培养自己解决安全问题的能力,提高自己的信息安全技术。如果缺乏这方面的人才就应该去引进或者培养相关人才。
4.内部网络系统的密码要定期修改。
由于许多黑客利用穷举法来破解密码,像John这一类的密码破解程序可从因特网上免费下载,只要加上一个足够大的字典在足够快的机器上没日没夜地运行,就可以获得需要的账号及密码,因此,经常修改密码对付这种盗用就显得十分奏效。当然,设定密码也有很深的学问,只有随意性强、有足够的长度并及时更新的密码才能算是比较安全的密码。
5.要经常使用杀毒软件来维护局域网系统不受病毒攻击。现在国内的杀毒软件都推出了清除某些特洛伊木马的功能,可以不定期地在脱机的情况下进行检查和清除。另外,有的杀毒软件还提供网络实时监控功能,这一功能可以在黑客从远端执行用户机器上的文件时,提供报警或让执行失败,使黑客向用户机器上载可执行文件后无法正确执行,从而避免了进一步的损失。
6.同其它企业进行联合,共同抵制黑客的入侵,一旦被入侵要及时向有关部门汇报,并共同查找入侵来源,锁定黑客IP地址。将网络的TCP起时限制在15分钟以内,减少黑客入侵的机会。并扩大连接表,增加黑客填写整个连接表的难度。
四、结束语
1.1云计算
云计算从开始出现到现在经历了五个阶段,这五个阶段都是在慢慢的完善云计算,使它更加能适应社会发展需求。它的工作原理就是服务商在一个资源池里提供IT资源,然后用户再通过互联网来在资源池里找到自己所需要的服务。云计算服务系统主要靠三层架构,它们分别是IaaS、PaaS、SaaS,也就是基础设施即服务、平台即服务、软件即服务。这三者之间相辅相成,紧密相连。
1.2会计云计算的优势
(1)降低了中小型企业信息化的成本。
在中小型企业中有些企业的信息化程度不高,他们所采用的服务器规模也不是很大,但是运行却很慢,整体的质量也不是很高。企业的信息化领域不是很大,它有一定的局限性,只是在财务、销售等领域来运行,这样来保障企业的信息化管理。随着会计云计算的出现,企业再也不用对服务器和信息处理进行较大的投资,可以通过向供应商租赁软件和硬件来实现企业的信息化,这样就会降低企业的经营成本。还有就是以前企业对于维护服务器和升级软件也要投入一定的资金,但现在有了云计算之后,这一部分的开支就可以省下来了。整个下来就降低了企业对信息化处理的成本了。
(2)中小型企业会计信息化拓展得到了保障。
既然供应商为企业提供了最适应于企业的信息处理软件,供应商就会不断的更新这些软件,使得软件能够提供更多、更优质的服务。对于企业来说,通过软件的更新获得最先进的信息管理技术,最大程度上自身对信息的需求,并且也降低了会计信息化建设当中的风险。利用会计云计算技术还可以与其他相关的部门或者是企业共享财务信息,会计信息也得到了扩展。
2.云环境下的信息安全
2.1设置访问认证
供应商为企业提供的软件服务基本上都是统一认证的,这对企业来说就是不安全的,所以服务商应该将中小型企业的部门人员进行信息和登录信息的编组,并且存储在服务商的内部资料当中,这样就形成了该企业的访客信息数据库,当有用户登陆的时候服务商就对访客进行信息核对并进行认证,通过的访客就可以查看对应于自己权限的财务情况。
2.2数据安全传送
现如今数据的传输过程不是不安全的,一些黑客通过网络窃取所需要的企业财务信息或者是商业信息,有些还会篡改财务数据等等,中小型企业应该把云端的SQL数据库进行加密,或者是开辟一条专用的网络传输通道,前者可以使得被盗信息在读取的时候不够完整,后者可以使信息在传输的过程中丢失的几率降低。
2.3保持网络稳定
会计的核算是连续性的,这样就要保证网络传输的速度和质量。云服务器以及数据库中的数据在传输当中不能出现拥堵或者是丢包的现象,丢包就会使得数据不完整,影响到企业的整个财务链。在此同时还要对断电事故有应急预案。
2.4保证商业秘密的安全
一个企业的商业秘密被泄漏,会对这个企业造成不同程度的损害。一旦云端数据中心存储的核心财务数据被泄露或盗取,就会牵连到中小型企业的发展,有些甚至会对其生存产生巨大的影响。因此,中小型企业要有效的降低这种风险,保留一部分级别高的数据掌握在自身手里。与此同时还应该建立动态商业机密监控机制,规范访问流程,建立起应对泄密事件发生时的反应机制。
3.结语
关键词:中小企业 SaaS 信息安全
1 概述
随着互联网的飞速发展,将软件作为一种商务服务形式提供给客户的需求量迅速增加,其中最突出的就是SaaS平台模式。在SaaS平台模式给广大中小企业用户带来诸多好处的同时也存在着诸如安全性、可靠性、稳定性等信息安全隐患,有效防范这些信息安全隐患对中小企业发展和SaaS平台模式的推广都具有非常重要的意义。
2 SaaS平台模式的界定
SaaS是Software-as-a-service的缩写,中文直译过来就是软件即服务。在中国学术期刊网络出版总库中以“SaaS”或“SaaS模式”为题名进行检索,可以分别检索到893篇、256篇从2006年至今的相关学术文献,可见对SaaS的相关研究已经具有一定规模和基础。许多学者对SaaS的概念进行了界定,但仅限于措辞上的差异,基本意义相同,即:SaaS是基于互联网提供软件服务的软件应用模式。在该模式下,服务提供商将应用软件安装在自己的服务器上,用户可以根据自身需求,通过网络向服务提供商购买所需的应用软件服务,按照购买服务的数量和时间向服务提供商支付费用。目前业内平台型SaaS做的较好的服务供应商有八百客、Salesforce等。
3 中小企业应用SaaS平台模式的必要性分析
3.1 中小企业应用SaaS平台模式的必要性。根据权威统计部门数据,一家中小企业每年用于企业信息化方面的投入至少需要20万元,对于我国四千多万家中小企业而言,能够承受企业信息化年投入20万元以上的企业只占这些企业的5-10%。SaaS平台模式减少了企业购买、搭建、维护等费用,是中小企业实现信息化的最好途径。另外,SaaS平台模式具有快速实施和低维护成本等优势,充分弥补了企业资金、人才等方面的短缺。相关数据显示,截至2011年底,SaaS全球市值达到192亿美元,正在被越来越多的中小企业用户选择使用。
3.2 应用SaaS平台模式的优势。与其他传统商务模式相比,应用SaaS平台模式能够给中小企业带来的好处主要体现在以下几方面:
①风险小。SaaS平台模式主要以托管方式来提供服务,这较大程度地降低了由软件开发给企业带来的巨大投入风险。②投入少。SaaS平台模式服务提供商通常是按照企业租用平台模块的数量和时间进行收费。因此,SaaS平台模式的总体投入要比传统模式的企业信息化投入小得多。SaaS平台模式与传统模式的企业信息化预算分配对比如图1所示(图中比例仅用于表示不同模式企业信息化预算变化趋势,并不代表真实比例)。③维护费用低。应用SaaS平台模式,企业既不需要支付高额的维护费用又不需要安排专业人员对软件进行管理,这从很大程度上缓解了企业的资金和人力压力。
■
图1 SaaS平台模式与传统模式企业信息化预算对比
4 中小企业应用SaaS平台模式存在的信息安全隐患
尽管中小企业应用SaaS平台模式具有诸多优势,但同时也面临着巨大的挑战。对于中小企业特别是处于快速成长期的中小企业而言,其最核心的企业价值就是客户的数据等信息,因此信息安全是企业管理者最关心的问题[4]。由于SaaS平台模式的解决方案要求将用户的全部相关数据存放在服务供应商提供的平台上,这使得企业数据在安全性、可靠性、稳定性等方面存在较大的信息安全隐患。分析机构IDC的分析师Laura DuBois表示:“中小型企业必须非常谨慎的挑选供应商以存储他们宝贵的数据”。
4.1 安全患。安全患是SaaS平台模式面对的首要问题。对于企业来说,数据的安全性至关重要,尤其是作为企业核心机密的财务数据和客户信息。安全患主要体现在以下两方面:一方面,财务管理人员由于缺乏网络信息安全知识和对信息安全规则的认识不足而造成的数据丢失、泄露等隐患。例如,网上报账会使外界干预系统的机会增多,从而加大了更改订单、银行结算单等恶性事件发生的可能性。另一方面,由于目前SaaS 平台模式数据库缺少有效的数据加密措施,外界可以轻而易举地从外部打开数据库并进行修改,从而加大了客户信息遭到泄漏、恶意篡改,甚至被删除,造成整个网络系统瘫痪的可能性。
4.2 可靠患。可靠患主要体现在网络病毒和非法入侵两方面。一是由于企业使用SaaS平台模式必须将其局域网与互联网相连接,因此,使SaaS平台系统感染病毒的机率大大增加,病毒防范的难度加大,任何在互联网上的行为都有可能使SaaS平台系统感染病毒。二是由于SaaS平台模式采用的是公用通信线路,因此存在恶意损坏网络设备、在网络上对系统进行非法入侵活动等可靠患。
4.3 稳定患。稳定患主要是指网络延迟。由于SaaS平台模式服务提供商在数据库设计上普遍采用大型商用关系型数据库和集群技术,使许多个企业用户共享一个数据库,当用户访问量骤然增加时,势必增加响应延迟,影响平台服务的稳定性。
5 防范信息安全隐患的措施
针对SaaS平台模式存在的安全性、可靠性、稳定性等信息安全隐患,无论是SaaS服务提供商还是企业用户,都应该积极采取各种防范措施,减少信息安全隐患的发生。
5.1 增强信息安全防范意识。提高信息安全防范意识是保证SaaS平台模式信息安全的重要前提。对于SaaS平台模式服务提供商而言,要增强信息安全防范意识,首先要制定统管全局的信息安全管理制度,明确责任,使信息安全管理有章可循,有法可依;其次要加强对系统维护人员和技术支持人员的职业道德教育,使其在职业操守上能够恪守职责。
5.2 确保硬件设备安全。硬件设备安全是SaaS平台正常运营的基本保障。SaaS服务提供商应将SaaS平台服务器、通信设备等硬件设备设置在一个高度安全的场所,该场所应具有防火、防盗、防静电设施,配有温度和湿度控制设备,并且电源安全符合网络设备要求,从而确保硬件设备安全。
5.3 建立身份认证和访问控制。在认证与授权方面可以通过对信息操作人员设置不同的权限及权限组合形成多维、多层次、全方位的身份认证和访问控制,最大限度地保证SaaS平台模式的安全性和可靠性。
5.4 采用服务器双机热备份模式。在数据存储上可采用服务器双机热备份技术来对数据进行存储和备份。SaaS平台模式服务提供商同时设立两个服务器数据中心,一个服务器数据中心为主服务器,进行日常数据处理,另一个服务器数据中心作为冗余备份。当主服务器出现故障时,备用服务器将自动接管所有服务,待主服务器恢复正常工作后,备用服务器自动交还服务。这样能够减少由于服务器或防火墙故障问题而停止运行带来的信息安全隐患。
6 结束语
随着互联网应用的不断深化,SaaS平台模式在被越来越多中小企业应用的同时,面临的各种安全隐患也会不断增加。作为一种新兴的电子商务运营模式,其安全性必须得到充分有效的保障。因此,只有不断地探索各种信息安全的关键应用技术和防范措施才能全面有效地增强SaaS平台模式抵御信息安全隐患的能力,从而提高SaaS平台系统整体营运效率,使SaaS平台模式得以全面推广。
参考文献:
[1]刘飞,张力涛,张志辉.SaaS安全风险对策研究[J].信息系统工程,2010.10.
[2]宋国江.SaaS:信息安全的新途径[J].软件世界,2007.8.
一、操作系统的安全防护
作为用户使用计算机和网络资源的中间界面,操作系统发挥着重要作用,因此,操作系统本身的安全,就成了安全防护当中的一个重要课题。操作系统的安全,通常包含两层意思,一个方面是操作系统在设计时通过权限访问控制、信息加密性保护、完整性鉴定等一些机制实现的安全;另一个方面,则是操作系统在使用中,通过一系列的配置,保证操作系统尽量避免由于实现时的缺陷或是应用环境因素产生的不安全因素。只有通过这两方面的同时努力,才能够最大可能地建立安全的操作环境。
由于各种入侵和攻击技术的不断发展,导致对操作系统的攻击频频发生,例如各类病毒、木马的肆意传播、利用系统缓冲区溢出的缺陷攻击系统、利用TCP/IP缺陷来进行拒绝服务的攻击等等,都会给系统造成极大的危害。针对这些安全的缺陷,我们可以采取如进行系统服务的安全配置,安装病毒防护软件,更新系统的补丁程序,定期备份操作系统等措施来进行预发防范,以弥补系统缺陷的所带来的安全隐患。另外,在日常运行中,我们还需采取规范系统使用流程、定期更新用户密码、删除用户日志文件、关闭多余的服务端口等措施,来消除由于用户使用而引起的不安全因素,减少系统受到有效攻击的概率。
二、网络的安全防护
网络安全,最重要的在于对网络进行防护,避免造成大的损失,“防范于未然”始终是网络安全防护的一个重要指导原则,网络安全被破坏后,虽然能够亡羊补牢,但是毕竟已经造成了损失。网络安全防范和保护的主要策略是访问控制,它的主要任务是保证网络资源不被非法使用和访问,它是保证网络安全最重要的核心策略之一。一般包括入网访问控制、网络权限控制、目录级控制及属性控制等多种等级。在企业信息网中,我们主要通过设置路由器的基本及扩展访问控制列表来提供网络访问的权限、控制协议和端口的使用、过滤网络的通信流量等安全手段,另外,防火墙、NET、服务器等安全技术的灵活运用顺利实现了企业信息网与银行、客服等外部网络的连接,给企业信息网的安全提供了有效的保障。
三、系统信息的安全防护
数据在网络或计算机中有两个状态:存储状态和传输状态。在现代网络系统中,无论在存储还是传输状态,数据都会受到威胁,安全威胁主要体现在数据的机密性、完整性和有效性。在企业信息网中,数据信息显得尤为重要,为了防止数据的安全威胁,我们采用了多种安全技术:数据镜像和数据校验技术、数据备份和归档技术、数据认证技术。
数据的存储安全主要体现在两个方面:完整性和有效性。企业信息网为了达到这两个安全性,在数据的存储过程中采用了多个安全技术的结合。首先,为了保证数据的有效性,系统采用了双机热备、数据镜像、数据校验等技术,来提高硬件设备的可用性,减少故障时间;其次,通过制定完整的数据备份及恢复计划,定期备份数据,使企业信息网数据的冗余度大大提高。另外,数据的归档管理使得当灾难发生和系统崩溃时,能够有效而快速地恢复系统,有效地保证了企业数据的完整性。
四、网络安全的未来
整个社会越来越快的电子化,导致网络安全行业正在飞速发展中,各种新技术,新思路层出不穷,如Ipsec、VPN逐渐得到广泛的认可;在未来的TCP/IP协议体系中,IP协议将成为保障系统安全的核心一层;另外,安全产业也正在从原有的防火墙、紧急响应系统、风险评估系统等各个产品独立为政的情况中走出,各种产品之间相互融合,取长补短,成为了一个完整的网络安全体系,作为一个新兴的研究领域,网络安全正在孕育着无限的机遇和挑战,相信在未来的几年中,网络安全技术一定会取得长足的发展。
企业要想在市场当中生存并发展,不仅仅要提升企业竞争力,还需要时时刻刻关注企业的信息安全。现代市场竞争十分激烈,只有做好企业的信息安全管理,才能避免企业因为信息管理的疏漏造成相关的损失。
近十年来,企业的生产经营越来越离不开网络,离不开计算机,企业的每一项活动都需要计算机与网络的参与,企业的管理需要借助相关的计算机软件,企业的销售需要运用到电子商务,企业的仓储管理需要数据库系统的支持,在企业感受到计算机带来生产经营便利的同时,企业也不得不重视由计算机网络所带来的信息安全问题。通过分析我国企业信息安全管理的相关资料,可以发现我国企业在信息安全管理上所做的努力显然无法与西方企业相比,我国企业在信息安全管理这条路上还有很长的路要走。
我国企业在信息管理上起步较晚,同时受制于观念,技术,人力等各个方面的因素,我国企业在信息安全管理上存在十分严重的漏洞。不仅如此,企业信息安全管理受到各方面的威胁,各类病毒层出不穷,钓鱼软件,木马也防不胜防,我国企业信息安全管理所面临的考验十分严峻。企业的信息安全管理不仅仅是企业自身的事,企业是我国经济发展最重要的角色,倘若我国企业在信息安全管理上存在漏洞,这也将直接影响我国的经济发展,这并不是危言耸听。
因此,加强我国企业信息安全管理势在必行,必须采取有效的举措提升我国企业信息安全管理水平。开展我国企业信息安全管理工作不仅仅需要政府的支持,企业自身也应当充分认识到企业信息安全管理对于企业自身的重要性,企业信息安全管理并不是一件小事,理应得到足够的重视。下面本文将首先介绍影响我国企业信息安全管理的几点因素,结合各种影响我国企业信息安全的几点因素展开探讨,在此基础上,分析我国企业在信息安全管理中常用的手段,并通过借鉴国外优秀企业在信息安全管理的经验,对更好地完善我国企业信息安全管理提出几点意见与建议。
二、企业面临的信息安全管理风险
1.企业内部管理缺陷
企业要想提升信息安全管理的水平,其中很重要的一个步骤在于完善企业的管理制度。企业的信息安全管理会受到许许多多的因数影响,但是做好企业信息安全管理的基础在于提升企业的内部管理水平。企业内部管理的制度涉及到企业生产经营的方方面面,倘若企业在内部管理制度上存在缺陷,那么做好企业的信息安全管理也就无从谈起了。常见的影响企业信息安全管理的制度缺陷有以下几个方面。第一,企业对于企业内部信息安全管理的工作人员缺乏监督。企业信息安全管理必须建立在企业信息安全管理工作人员认知履行职责,规范操作的基础上,倘若企业对于信息安全管理的工作人员缺乏监督,那么久很难保证企业整个信息安全管理系统的行之有效。第二,企业对于企业内部信息安全管理工作人员缺乏培训,企业内部并没有指定相关的信息安全管理规章制度。要想完善企业的信息安全管理,就必须做到对企业内部信息安全管理的每一个环节都一丝不苟,对每一个可能存在信息安全漏洞的地方都要严格管理,对每一项信息安全管理的工作步骤都做明确要求。要想确保企业内部信息安全管理系统的平稳运行,只有从规范企业内部信息安全管理的行为规范上着手。第三,企业内部信息安全管理系统投入不足。这一点在我国大型企业上并不存在,我国大型企业拥有足够的资金,足够的人力资本,足够技术投入,相比较于我国中小型企业,在信息安全管理工作上具有较大的优势。可是,我国大型企业毕竟是少数,我国中小企业的数量十分巨大,中小企业并没有相应的资金,人员,技术投入,中小企业受制于现实条件,在信息安全管理系统上所做的工作严重不足,我国中小企业在信息安全上所面临的风险十分巨大。
2.影响企业信息安全管理的外部因素
影响我国企业信息安全管理的外部因素有许多。常见的影响我国企业信息安全管理的外部因素包括病毒,木马,钓鱼网站等等。不论是谁出于怎么样的目的破坏企业的信息安全,较为常见的手段也就是通过黑客攻击企业的信息安全管理系统。我国企业在应对黑客的攻击时往往处于较为被动的局面,一方面,黑客属于主动攻击,主动攻击的前提在于对于企业的内部信息安全管理系统有着较为全面的了解,并且往往已经掌握了企业内部信息安全管理系统所存在的安全漏洞,另一方面,我国绝大多数企业在信息安全管理系统的投入有限,企业内部信息安全管理的工作人员在技术手段上与黑客比较并没有优势。即使企业内部信息安全管理的工作人员最终能够战胜黑客,但是,由于缺乏完善的信息安全手段,对企业内部重要的信息保护不足,黑客对企业的信息安全所造成的影响往往也是致命的。反击黑客的攻击行为往往具有滞后性,因此,即使战胜了黑客,但是黑客对企业信息安全的攻击行为往往已经发生,企业必然会因此造成相应的损失,在现代企业经营管理信息化的背景下,这样的攻击行为对企业造成的损失往往是企业不能够承担的,很有可能影响一个企业最基本的生存。
三、完善企业信息安全管理的几点建议
1.建立信息安全密码
密码技术近年来在应用中不断成熟,越来越多企业开始将密码技术应用到企业信息安全管理中去,这是一个十分正确的选择。企业内部信息具有重要价值,密码技术是企业信息安全最为关键的一道屏障。密码的形式十分多样,企业应当根据自身情况正确选择密码的形式,密码技术是一项十分成熟的技术,应当得到更多的关注,并且将这项技术全面应用到企业内部信息安全管理当中去。企业内部信息得到密码的保护,能够在企业内部信息不慎泄露后得到最大化的保护,对于企业内部信息的密码也应当严格保密,做好相关的密码保护工作。
2.建立安全管理制度
企业信息安全管理制度的建立需要多方面的配合,同时,企业信息安全管理制度的建立是一项十分复杂的工作,必须在实践的过程中不断完善。建立企业内部信息安全管理制度是为了更加规范地保证企业内部信息的安全,也对企业内部信息安全管理人员的工作内容,工作步骤做了明确规定,这对于企业内部形成信息安全管理的长效机制具有重要价值。企业信息安全管理制度应当与企业的实际生产经营情况相结合,在尽可能不影响企业正常工作的前提下,对企业的信息安全作出明确规定。常见的规定包括定期组织企业内部信息安全管理工作人员进行信息安全的例行检查;对企业内部信息安全管理人员的工作做到全面监督,有效反馈等等。
3.建立数据库的备份与恢复机制
现如今,外界主动攻击企业信息安全的事件越来越频发,企业在被外界攻击信息安全后所造成的损失往往无法挽回,同时这些信息对于企业具有十分重要的价值,倘若能够及时恢复相关信息,能够在很大程度上减小企业所遭受的损失,因此,建立一套基于数据库信息备份与还原的信息安全管理机制十分重要。企业内部信息系统数据库的备份,可以有效保障企业信息系统非法入侵后的系统恢复工作。备份是对数据库内容保护最为稳定和容易的一种方法。当不稳定因素发生的时候,能够保证企业网络信息的正常运行。而恢复的理解,就是在不限定因素发展之后利用网络技术的备份功能用来对数据库内容进行重新恢复并正常使用的功能。
4.建立网络安全预警系统
一般这种情况可以分为人为预警和病毒预警两个方面。 在电脑中的重要位置安装上网络入侵监测体系,可以便于对电脑的技术和安全性在发展危害行为或改变。入侵监测体系还能通过设立在固定时间对制定要求的位置进行监督和控制,判断哪些系统是具有危害性的,但是防火墙还不能够准确判断的系统。主要针对的是从企业内部管理出现漏洞后对自身安全系统的“侵略”行为。而病毒预警系统通常是采用对企业内部网络的全部数据进行监督监控的行为,确保在一天每个时间段内都对数据包传送扫描一旦发展病毒就要马上进行危险信息提示,使得相关工作人员可以很快的通过定位查找的方法找到病毒的发出地。同时,在短时间内陆续产生通过快速扫描出来的网络日志和调查报告,为企业专业人员查找病毒具体来源提供便利条件。
1.企业信息化建设的重要性
信息化发展对于企业人员日常的管理,相比较原来旧的方法而言更方便快捷、更高效;对于企业的整体发展的影响,相比较原来用人来发现风险,信息化大数据管控更能提前预知风险并帮助企业更好地解决问题;对于企业组织结构和流程的影响,集成化的网络信息系统是提高质效的一把利器。但现实使用中,企业的信息化进程存在安全度低、信息泄露严重和安全意识低等现象,导致企业和用户损失大量人力物力,甚至受到巨大损失。由此可见,信息化建设对企业发展有着不可小觑的作用,能比原来的模式更有效处理问题、促进企业发展,是所有企业在发展过程中不可或缺的一个环节。
2.企业信息化建设中的网络安全问题
2.1网络安全意识不强
科学技术的不断发展进步,对于企业发展的影响作用不言而喻,但是,相当一部分企业却只看到益处却忽略了“信息安全”的重要性。
近年来,在技术、社会和政府等多方面的努力下,企业的信息化建设发展速度加快,取得很大的进展,其重要作用毋庸置疑,各个企业都越来越重视信息化的进步。但在新闻报道中,经常见到有信息非法獲取、信息交易导致用户信息泄露,这也是每个企业需要反思的问题。数据泄露、信息是否安全等问题并没有引起所有企业的重视,严重的不仅会导致用户信息泄露,如果发生企业数据库被篡改、网络系统崩溃等事件,给企业带来的名誉和财产损失不可估量。
2.2技术水平不高
世界范围内都存在一个不好处理的网络难题———黑客。企业在信息化发展的过程中,免不了遇到技术问题,由于有关人员或团队自身的水平不够和相关方面的经验的缺失,不可避免会存在某些漏洞和问题,这些漏洞和问题恰恰给了黑客绝佳的机会,让他们有机会盗取信息。即使是市面上使用的各个“管家”与杀毒软件也完全检测不到,对企业的安全构成非常大的威胁。
2.3可使用的高水平软件少
一方面是供研发企业使用的高水平软件较少;另一方面是软件安全度低,很多公司虽然看到信息化发展的好处,但却贪图低成本的小利益,花费小成本购买使用安全保护性低的工作软件,结局只会带来难以挽回的后果。
3.企业信息化建设提高网络信息安全性的措施
3.1切实提高企业安全意识
科学技术的进步,促进企业重视信息安全,思考信息安全问题和公司发展之间不可分割的关系,因为信息泄露带来损失还是小事,如果因此减少了企业竞争力,甚至阻碍了企业发展才是最可怕的结果。因此,企业应当提高安全意识,提前准备对策、制定应对突发情况的策略,防止信息泄露等潜在威胁,将威胁扼杀在摇篮之中。通过建立高技术水平的团队,运用专业知识和工作经验切实增强防火墙安全度,定期维护信息系统,从源头的技术传输阶段维护信息安全,建立完善的信息保护制度,以此来保护信息安全、促进企业发展。
3.2提高信息系统的管理水平
虽然现在大家都在普遍使用《金山毒霸》《腾讯管家》等安全防护软件,但是这些软件也不能保证绝对的安全。改革旧的风险评估模式,健全信息筛选管理安全体系,在一定程度上可以提高安全系统等级、减小信息被盗的风险,在信息系统建立过程中,及早发现风险并妥善处理对企业发展尤其重要。
3.3使用安全性高的软件
归根结底,所有的安全问题都是安全性低所导致的。虽然说没有绝对安全的东西,但是相比于安全性低的软件,安全性越高的软件,保护能力也越强,能更好地保护信息安全。因此,企业千万不能贪图小利益使用低防护级软件,保护信息安全,维护自身发展利益才是最重要的。
1企业信息安全风险管理的主要内容
开放、互联的信息技术与信息安全就像一把双刃剑。一方面,企业需要借助信息技术或信息系统集中信息并开放共享;另一方面,企业的核心信息资产又在不断外泄,引发无数信息安全问题。一谈到信息安全,首先想到的是网络安全,比如防火墙、入侵检测、漏洞扫描、数据加密等传统意义上的网络底层安全防护。但从广义上来讲,随着信息化建设的不断深入,企业的信息资产对经营的贡献比重越来越大。尤其在信息访问越加便捷的前提下,根据市场竞争的需要,企业需要源源不断地将信息不同程度地开放给客户、供应商、员工等,企业的信息资产也越来越暴露在更多的威胁之中。信息的三个安全特性,即完整性、保密性和可用性。(1)信息完整性风险管理。一方面,要保证信息在收集、加工过程中不能被恶意篡改、不能丢失、被窃取、损坏等;另一方面,也常为人忽视的是加工过程本身的科学性,需要防范因不恰当的加工方式而导致的数据失效或结果错误。(2)信息保密性风险管理。主要是指要保障没有被授权的用户无法使用信息系统,访问相应的资源。防止该类用户访问、通过非法手段攻击破坏企业信息资产。(3)信息可用性风险管理。主要是指保障被授权用户可以顺利、快速访问信息资产,保障信息系统稳定性和可用性。以上三个特性,同时也是信息安全风险管理的主要内容,管理过程包括风险识别、风险评估和风险控制三个步骤。
2企业信息安全风险识别
由于涉及企业的核心信息资产,所以相应的信息安全风险点分布在企业管理的各个环节和层面。但是由于种种原因,目前国内企业对信息安全风险管理的认识仍不到位。总体来说,有以下主要问题,也是常见的信息安全风险管理的风险点。(1)信息安全组织和制度保障不足。没有有效的信息安全管理组织机构,就无法有效地制定、执行安全管理策略,更无法进行有效的信息安全协作。信息安全管理制度通常都有,但很少有单位能够严格执行,信息安全的政策制定也常常不符合标准,导致可操作性比较差或者达不到控制的目的。(2)信息安全相关人员意识不足。信息安全虽然已经被很多企业提到战略高度,但更多停留在口头上和管理层。大部分企业人员比较缺乏信息安全意识,安全事件报告不及时;对各自岗位相关的信息资产职责了解不清,对信息系统的错误操作导致信息泄密的事件屡有发生;部门单位还存在因人员流动导致的信息资产不连续等问题。(3)传输、存储信息资产的设备与网络存在安全隐患。部分企业存在网络有安全漏洞、存储设备老旧、数据资产缺乏备份机制等常见问题,一旦受到网络入侵、病毒攻击,或者发生硬件及性能问题,会导致信息资产大量泄漏或损坏。(4)访问控制及用户权限管理存在漏洞。在信息系统的实施阶段,为了便于用户测试或其他目的,部分用户权往往限过大。随着系统正式上线及应用,相应权限又由于种种原因没有调整,对信息安全也留下了比较大的隐患。(5)软件系统及业务持续性风险。因为国产化和自主开发的趋势逐渐确立,大量企业选择自行开发软件系统,由于软件开发技术而导致软件本身存在一定漏洞,相应的开发质量存在隐患,连带的如运维、业务持续性风险均应相应考虑。
3企业信息安全风险评估和控制
考虑到每个企业均有自身特点,面临的信息安全风险点也不同。按照通常的信息安全风险管理理论,在完成上节所述的风险识别之后,需要进行详细的风险评估和风险控制。信息安全风险评估是指确认风险大小程度的过程,主要是要借用适当的风险评估工具和模型,包括定量的或者定性的方法,对信息安全风险点造成的影响进行评估,以确定风险的大小和控制方式。其主要目的是为了确定风险的大小并量化,从而可以采取适当的控制目标和控制方式开展风险控制工作。信息安全风险控制的作用体现在对组织信息安全的保障上,其有效性体现在当企业面临信息安全风险时对风险控制的有效程度,换句话说,在信息安全风险评估的基础上,考验控制力度的有效性就是损失的程度,损失的越少越有效。反之,则控制无效。另一方面,信息安全风险控制也是需要成本的,控制力度大小与成本通常成正比关系,而且在达到一定程度之后,控制力度增长比例较小可能带来成本大幅增加。因此,信息安全风险控制的总体目标,是以最小的投入将信息安全面临的风险控制在组织可接受的范围内。
4结语
信息安全已经上升为国家战略。对于国内企业来说,信息安全也日益重要,尤其对于高科技企业及涉及国计民生的大型国有企业,信息往往是企业的核心资产。拿笔者所在企业来说,大量的研发成果日益依赖信息技术,大量的内部经营决策通过信息系统流转。任何一个数据或者信息的泄漏,一旦被竞争者窃取,将给公司带来不可估量的损失。有效做到信息安全可知、可控、可承受,关系到企业的生死存亡,需要引起所有企业管理者和员工的充分重视,并采用一切可能手段加以保护。
作者:张艺 单位:中国海洋石油总公司
论文摘要:文章首先分析了信息安全外包存在的风险,根据风险提出信息安全外包的管理框架,并以此框架为基础详细探讨了信息安全外包风险与管理的具体实施。文章以期时信息安全外包的风险进行控制,并获得与外包商合作的最大收益。
1信息安全外包的风险
1.1信任风险
企业是否能与信息安全服务的外包商建立良好的工作和信任关系,仍是决定时候将安全服务外包的一个重要因素。因为信息安全的外包商可以访问到企业的敏感信息,并全面了解其企业和系统的安全状况,而这些重要的信息如果被有意或无意地对公众散播出去,则会对企业造成巨大的损害。并且,如若企业无法信任外包商,不对外包商提供一些关键信息的话,则会造成外包商在运作过程中的信息不完全,从而导致某些环节的失效,这也会对服务质量造成影响。因此,信任是双方合作的基础,也是很大程度上风险规避的重点内容。
1.2依赖风险
企业很容易对某个信息安全服务的外包商产生依赖性,并受其商业变化、商业伙伴和其他企业的影响,恰当的风险缓释方法是将安全服务外包给多个服务外包商,但相应地会加大支出并造成管理上的困难,企业将失去三种灵活性:第一种是短期灵活性,即企业重组资源的能力以及在经营环境发生变化时的应变能力;第二种是适应能力,即在短期到中期的事件范围内所需的灵活性,这是一种以新的方式处理变革而再造业务流程和战略的能力,再造能力即包括了信息技术;第三种灵活性就是进化性,其本质是中期到长期的灵活性,它产生于企业改造技术基本设施以利用新技术的时期。进化性的获得需要对技术趋势、商业趋势的准确预测和确保双方建立最佳联盟的能力。
1.3所有权风险
不管外包商提供服务的范围如何,企业都对基础设施的安全操作和关键资产的保护持有所有权和责任。企业必须确定服务外包商有足够的能力承担职责,并且其服务级别协议条款支持这一职责的履行。正确的风险缓释方法是让包括员工和管理的各个级别的相关人员意识到,应该将信息安全作为其首要责任,并进行安全培训课程,增强常规企业的安全意识。
1.4共享环境风脸
信息安全服务的外包商使用的向多个企业提供服务的操作环境要比单独的机构内部环境将包含更多的风险,因为共享的操作环境将支持在多企业之间共享数据传输(如公共网络)或处理(如通用服务器),这将会增加一个企业访问另一企业敏感信息的可能性。这对企业而言也是一种风险。
1.5实施过程风险
启动一个可管理的安全服务关系可能引起企业到服务外包商,或者一个服务外包商到另一个外包商之间的人员、过程、硬件、软件或其他资产的复杂过渡,这一切都可能引起新的风险。企业应该要求外包商说明其高级实施计划,并注明完成日期和所用时间。这样在某种程度上就对实施过程中风险的时间期限做出了限制。
1.6合作关系失败将导致的风险
如果企业和服务商的合作关系失败,企业将面临极大的风险。合作关系失败带来的经济损失、时间损失都是不言而喻的,而这种合作关系的失败归根究底来自于企业和服务外包商之间的服务计划不够充分完善以及沟通与交流不够频繁。这种合作关系在任何阶段都有可能失败,如同其他商业关系一样,它需要给予足够的重视、关注,同时还需要合作关系双方进行频繁的沟通。
2信息安全外包的管理框架
要进行成功的信息安全外包活动,就要建立起一个完善的管理框架,这对于企业实施和管理外包活动,协调与外包商的关系,最大可能降低外包风险,从而达到外包的目的是十分重要的。信息安全外包的管理框架的内容分为几个主体部分,分别包括企业协同信息安全的外包商确定企业的信息安全的方针以及信息安全外包的安全标准,然后是对企业遭受的风险进行系统的评估.并根据方针和风险程度.决定风险管理的内容并确定信息安全外包的流程。之后,双方共同制定适合企业的信息安全外包的控制方法,协调优化企业的信息安全相关部门的企业结构,同时加强管理与外包商的关系。
3信息安全外包风险管理的实施
3.1制定信息安全方针
信息安全方针在很多时候又称为信息安全策略,信息安全方针指的是在一个企业内,指导如何对资产,包括敏感性信息进行管理、保护和分配的指导或者指示。信息安全的方针定义应该包括:(1)信息安全的定义,定义的内容包括信息安全的总体目标、信息安全具体包括的范围以及信息安全对信息共享的重要性;(2)管理层的目的的相关阐述;(3)信息安全的原则和标准的简要说明,以及遵守这些原则和标准对企业的重要性;(4)信息安全管理的总体性责任的定义。在信息安全方针的部分只需要对企业的各个部门的安全职能给出概括性的定义,而具体的信息安全保护的责任细节将留至服务标准的部分来阐明。
3.2选择信息安全管理的标准
信息安全管理体系标准BS7799与信息安全管理标准IS013335是目前通用的信息安全管理的标准:
(1)BS7799:BS7799标准是由英国标准协会指定的信息安全管理标准,是国际上具有代表性的信息安全管理体系标准,标准包括如下两部分:BS7799-1;1999《信息安全管理实施细则》;BS7799-2:1999((信息安全管理体系规范》。
(2)IS013335:IS013335《IT安全管理方针》主要是给出如何有效地实施IT安全管理的建议和指南。该标准目前分为5个部分,分别是信息技术安全的概念和模型部分;信息技术安全的管理和计划部分;信息技术安全的技术管理部分;防护和选择部分以及外部连接的防护部分。
3.3确定信息安全外包的流程
企业要根据企业的商业特性、地理位置、资产和技术来对信息安全外包的范围进行界定。界定的时候需要考虑如下两个方面:(1)需要保护的信息系统、资产、技术;(2)实物场所(地理位置、部门等)。信息安全的外包商应该根据企业的信息安全方针和所要求的安全程度,识别所有需要管理和控制的风险的内容。企业需要协同信息安全的外包商选择一个适合其安全要求的风险评估和风险管理方案,然后进行合乎规范的评估,识别目前面临的风险。企业可以定期的选择对服务外包商的站点和服务进行独立评估,或者在年度检查中进行评估。选择和使用的独立评估的方案要双方都要能够接受。在达成书面一致后,外包商授予企业独立评估方评估权限,并具体指出评估者不能泄露外包商或客户的任何敏感信息。给外包商提供关于检查范围的进一步消息和细节,以减少任何对可用性,服务程度,客户满意度等的影响。在评估执行后的一段特殊时间内,与外包商共享结果二互相讨论并决定是否需要解决方案和/或开发计划程序以应对由评估显示的任何变化。评估所需要的相关材料和文档在控制过程中都应该予以建立和保存,企业将这些文档作为评估的重要工具,对外包商的服务绩效进行考核。评估结束后,对事件解决方案和优先级的检查都将记录在相应的文件中,以便今后双方在服务和信息安全管理上进行改进。
3.4制定信息安全外包服务的控制规则
依照信息安全外包服务的控制规则,主要分为三部分内容:第一部分定义了服务规则的框架,主要阐明信息安全服务要如何执行,执行的通用标准和量度,服务外包商以及各方的任务和职责;第二部分是信息安全服务的相关要求,这个部分具体分为高层服务需求;服务可用性;服务体系结构;服务硬件和服务软件;服务度量;服务级别;报告要求,服务范围等方面的内容;第三部分是安全要求,包括安全策略、程序和规章制度;连续计划;可操作性和灾难恢复;物理安全;数据控制;鉴定和认证;访问控制;软件完整性;安全资产配置;备份;监控和审计;事故管理等内容。
3.5信息安全外包的企业结构管理具体的优化方案如下:
(1)首席安全官:CSO是公司的高层安全执行者,他需要直接向高层执行者进行工作汇报,主要包括:首席执行官、首席运营官、首席财务官、主要管理部门的领导、首席法律顾问。CSO需要监督和协调各项安全措施在公司的执行情况,并确定安全工作的标准和主动性,包括信息技术、人力资源、通信、法律、设备管理等部门。
(2)安全小组:安全小组的人员组成包括信息安全外包商的专业人员以及客户企业的内部IT人员和信息安全专员。这个小组的任务主要是依照信息安全服务的外包商与企业签订的服务控制规则来进行信息安全的技术性服务。
(3)管理委员会:这是信息安全服务外包商和客户双方高层解决问题的机构。组成人员包括双方的首席执行官,客户企业的CIO和CSO,外包商的项目经理等相关的高层决策人员。这个委员会每年召开一次会议,负责审核年度的服务水平、企业的适应性、评估结果、关系变化等内容。
(4)咨询委员会:咨询委员会的会议主要解决计划性问题。如服务水平的变更,新的技术手段的应用,服务优先等级的更换以及服务的财政问题等,咨询委员会的成员包括企业内部的TI’人员和安全专员,还有财务部门、人力资源部门、业务部门的相关人员,以及外包商的具体项目的负责人。
(6)安全工作组:安全工作组的人员主要负责解决信息安全中某些特定的问题,工作组的人员组成也是来自服务外包商和企业双方。工作组与服务交换中心密切联系,将突出的问题组建成项目进行解决,并将无法解决的问题提交给咨询委员会。
(7)服务交换中心:服务交换中心由双方人员组成,其中主要人员是企业内部的各个业务部门中与信息安全相关的人员。他们负责联络各个业务部门,发掘出企业中潜在的信息安全的问题和漏洞,并将这些问题报告给安全工作组。
(8)指令问题管理小组:这个小组的人员组成全部为企业内部人员,包括信息安全专员以及各个业务部门的负责人。在安全小组的技术人员解决了企业中的安全性技术问题之后,或者,是当CSO了关于信息安全的企业改进方案之后,这些解决方案都将传送给指令问题管理小组,这个小组的人员经过学习讨论后,继而将其到各个业务部门。
(9)监督委员会:这个委员会全部由企业内部人员组成。负责对外包商的服务过程的监督。
1信息安全防护的影响因素
在企业的信息系统中,一般将信息储存在数据库或者是文件系统中,在系统软件的支持下,采用应用软件可以对信息进行不同形式的加工。在信息系统的组成中,任何一个环节出现问题都会影响到信息安全。影响信息安全的因素主要包括以下几个方面:
(1)环境安全。对信息安全造成威胁的首要因素是环境安全。失火、失窃、恶劣的温湿度以及自然灾害等都会对信息设备造成直接的损害,进而造成系统的瘫痪和信息的丢失。
(2)人员安全。人员安全是信息安全管理中比较特殊的安全因素,这里的人员主要指企业内部人员,即管理和使用信息系统的人员,这些人员有意或无意地信息泄露,以及在进行系统管理和使用时的误操作也是造成信息安全事件的重要因素。
(3)网络平台安全。网络平台支撑着企业信息系统运转,当网络平台受到攻击时,会导致网络瘫痪,从而使信息系统停用,造成信息的不可用。
(4)计算机病毒和黑客。计算机病毒以及黑客对于信息系统而言无疑是最大杀手,它会造成系统性能下降,使得信息失去保密性,甚至会造成数据信息的丢失。
2信息安全防护的技术策略
在技术层面上,可以针对不同的安全问题采取相应的技术策略保护企业信息安全。
(1)安全隔离。一个大型的企业信息系统通常都是由多个不同性质、不同目标的安全域组成的,实现安全域之间的安全连接成为一大问题,因为尽管各个独立的域是安全的,但是将它们连接起来后可能会引入不安全的隐患,所以需要进行必要的隔离。
(2)访问控制。当企业内的信息系统需要对外网开放相应的访问资源时,需要对用户访问权限进行设置,保证用户以最小权限访问到自己需要的资源,阻止用户可以对其它资源进行非法访问,也可以设置相应的鉴别服务器,进行远程访问控制。
(3)安全测试。当下,我国的信息网络有完善的安全测试机构,对于企业而言在使用相应的网络部件及软件产品时,应该尽量得到测试机构的测试;另外,在信息系统在交付使用之前,一套完整的信息系统也应该经过全面的安全测试。
(4)密钥分配中心。作为密钥分配管理是指在网络层次与级别上分别建立对应的密钥管理中心,主要任务是进行访问控制和密钥;在信息加密中,还要使用到加密体制,不管是公钥加密还是私钥加密,都会用到密钥,其存储对于信息系统来说十分关键。
(5)信息传递系统。信息传统系统的最大特点是通过数据加密等技术手段,使信息具备抗侦听和抗截获能力,能够对抗主动攻击以及被动攻击,包括:信息篡改、信息删除、异常信息的插入等等。
(6)容灾备份。为了确保信息系统的稳定运行,在日常运行维护中一定要做好防灾备份工作,尽管出现意外事故的概率很小,但依然需要防患于未然,否则一旦出现意外灾害将会造成巨大的损失,甚至会造成不可设想的严重后果。
3信息安全防护的管理策略
在制定安全管理策略时,要依据企业的实际情况进行合理的制定。在进行信息安全管理策略时应根据企业的信息化应用情况、企业的规模较小、信息安全管理目标等进行管理策略的制定。
(1)建立信息安全管理工作组织体系。图1给出了企业信息安全管理组织机构图。整个组织包括两个小组,其中,领导小组作为最高领导决策机构,是由企业主管信息安全的领导担任,它是常设机构,需要制定相应的例会工作制度,主要负责企业信息安全工作的宏观领导。信息安全工作小组的组长一般由信息管理部门的负责人担任,组员则由相关信息安全管理人员组成,对具体的安全管理事务负责。通过建立信息安全管理工作组织机构,明确企业中各层级人员的信息安全管理职责,从而提升企业信息安全管理水平。
(2)加强人员安全管理。加强企业内部人员的安全管理,提升企业员工的信息安全意识也是企业信息安全管理中一项重要的安全策略。特别对于从事信息安全管理岗位的员工,在录用、考核、调动、离职等各个环节,都必须有相关安全注意事项,降低人员因素对企业信息安全的影响。在日常工作中可以通过对企业员工进行信息安全培训的方式,提升全体员工的信息安全意识,在培训内容上应以用户管理、移动设备与便携设备使用、突发事件、网络与电子邮件、对外保密、系统操作安全等内容为主[1],这些都是员工日常工作中可能存在信息安全隐患的环节,通过培训可以使企业员工在日常工作中提升信息安全防范意识,并掌握必要的安全操作方法。
Abstract: With the advent of the information age, information technology plays an increasingly important role in the enterprise, and in the current network environment, a large number of virus frequently attacks the enterprise's information system, and even cause system cannot deal with the attacks. Therefore, the enterprise information security should change passive treatment into active defense, establish risk management framework in the information system, rationally use internal resources, and improve enterprise information system security. In this paper, the framework of enterprise information security risk management is studied, and the requirements, process and implementation of enterprise information security risk management are discussed.
关键词:信息安全;风险管理;框架探究
Key words: information security;risk management;framework research
中图分类号:F270 文献标识码:A 文章编号:1006-4311(2017)18-0053-03
0 引言
在社会不断发展的同时,信息化技术也获得了长足的进步,并且已经广泛地应用到人们的生活与工作中。对于企业单位而言,信息资源是保证正常运营的关键因素,企业运营的重要数据、客户资料以及知识产权等信息都是重要的信息资源,这些资源一旦泄露或丢失,会对企业造成极大的影响。因此,企业必须重视自身信息系统安全风险管理的框架的建设,有效防止来自网络的恶意攻击,防止内部重要信息泄露或丢失,保证企业信息安全。
1 企业信息安全实践的需求分析
在信息时代的大背景下,企业的信息化程度是衡量其发展水平的重要因素。但是,我国的信息安全形势不容乐观,大部分企业没有树立信息安全风险管理概念,企业的信息安全无法得到良好的保障。信息安全是一项综合性的工程,不能仅凭企业短期内需要就采取某些措施,无法从根本上提高信息安全水平。想要做好企业信息安全实践工作,必须事先做好企业对信息安全的需求分析,形成全面的分析报告,并根据报告中的内容采取相应的措施,改善企业信息安全现状。但是,需求分析的具体过程也不是始终不变的,而是会根据企业的发展与信息技术的进步发生改变的。信息安全风险的独特性必须在框架中体现出来。信息安全风险源于信息,信息本身具有不断发生变化的特性,从其以数据的形势出现开始,直至在各项功能中发挥相关的作用,这个周期内的每个阶段都有相的价值。信息安全管理就是要对企业的信息资源进行全面的保护,避免因这些资源受到损失而对企业的运营造成影响。企业信息安全风险管理框架中,必须能够发现信息资源即将受到的威胁,评估这些威胁会对信息资源造成的后果,以确定应对这些威胁的顺序。在制定风险计划时,需要明确对于风险的应对方式以及合理的控制措施。在风险的监督与改进过程中,需要根据这些风险采取适当的监控手段。总之,在此过程框架每个过程要素的分析中,都必须体现信息安全风险的独特性。
2 企业信息安全风险的类型及内容
一般来说,在企业运营过程中,信息安全系统通常面临以下风险因素:
①因线路故障、停电、网络通信设备损坏等导致网络突然中断。
②网站遭到非法攻击,主页被恶意篡改或者被非法植入煽动国家分裂或抗拒法律法规、歪曲事实、散布谣言的言论,以及破坏社会稳定、损害公司名誉的不当言论等。
③公司内部网络服务器或他服务器被非法入侵,相关网络设置被非法拷贝、修改、删除,发生泄密事件。
④公司内外网终端混用,被国网公司信息管理部门查处,造成公司信息泄露、丢失事件。
信息系统是企业正常开展生产运营工作的基本前提,信息管理系统一旦出现问题,轻则影响企业内部业务项目的正常进行,重则导致企业蒙受巨大的经济亏损。因此,针对信息安全风险加强管控对企业来说意义重大。
3 企业信息安全风险管理方案
3.1 建立信息安全风险管理流程
企业信息安全风险管理工作可按照图1所示流程逐步展开。
3.2 完善信息安全风险管理措施
对信息安全风险的管理可以以阶段化的管理模式逐步展开,具体措施如下:
3.2.1 实施准备阶段
信息安全风险管理实施的准备阶段主要包括管理开端的建立、风险评估以及制定行动方案三个步骤。第一,在管理开端的建立中,首先要获得企业管理部门与业务部门的支持,并且建立完善的管理质素,明确参与到管理过程中的工作人员的职责;第二,在风险评估步骤中,首先,确定风险评估对象的范围,其次,确定评估小组的成员,并且制定评估方案;最后,对评估小组成员进行与评估方案有关的培训。在这些准备工作结束后,评估人员就可以开始通过访谈或调查的形式来确定公司信息资源的具体情况,明确用户对信息安全的需求。再通过对风险进行识别与分析,发现企业信息系统中存在的风险。第三,在制定行动方案的步骤中,需要完成保护方案的制定以及确定风险处理方式两部分工作。通常情况下,保护方案就是需要企业长期持续执行,能够帮助企业保证自身信息安全的方案,但不足以满足企业在短期内提高信息安全性的需求。因此,企业必须对所有控制措施制定相应的处理方式,在短期内解决企业最需要解决的问题。
3.2.2 部署与执行阶段
行动的部署与执行阶段主要有计划的部署与安全培训两方面工作组成。第一,行动计划部署。在这个过程中,安全风险管理计划中的所有措施都必须被执行,需要对具体行动方案进行必要的理解并执行。首先,要与企业中的员工进行事先沟通,防止在实施中遇到反对或抵触的情绪。其次,确保被安排到行动计划的员工能够把握这些工作的优先级。此外,必须制定行动执行保障制度,为计划执行准备足够的资源,以保证计划顺利执行。第二,安全培训工作的实施。在企业内部,从事安全风险管理工作的员工有时会将普通工作人员视为技术人员,显然这种想法是有问题的,并不是企业内的所有员工都了解信息安全风险管理。所以,我们必须了解企业中大部分员工知识利用信息系统完成自己的工作任务,信息安全的保护是需要专业的信息安全人员进行的。所以,企业必须组织安全培训,通过培训提高员工安全意识,保证他们在信息系统遇到危险时能够采取一些有效的行动,对系统进行适当的保护。
3.2.3 风险监督检查阶段
在信息安全风险管理团队中,必须组建风险监督小组,在风险管理的整个过程中对其进行监督与检查,小组应由小组负责人与检查人员组成。实施风险监督检查的目的就是为了掌握企业信息安全的实际状态,并且收集信息安全环境变更信息,方便对未来的风险进行预测。风险监督小组在获得这些信息后,必须及时向风险管理团队反馈,确保他们能够掌握企业最近的信息安全状态。
3.2.4 风险改进阶段
在这一阶段,我们必须做好以下工作:制定详细的风险改进措施。风险管理团队需要根据企业的信息安全状态制定详细的风险改进措施。通过对监督检查过程中发现的问题进行分析,可以找出导致问题产生的原因,制定相应的改进措施并限期完成,检查人员则要负责对具体的实施情况进行检查。在改进过程中,需要注意的是,改进措施必须获得最高管理者的批准,特别是关系到整个企业或大多数部门的改进措施。风险监督小组必须随时跟踪纠正措施实施情况,验证改进措施的执行是否符合标准。
3.3 建立企业信息安全风险评估体系,促进信息管理工作不断优化改进
3.3.1 明_信息安全风险评估流程
企业信息安全风险评估工作可以参照图2逐步实行。
3.3.2 信息安全风险的计算及处理措施
企业的风险可以通过多种计算方法得到,但通常资产的风险值可以定义为:风险值=f(安全事件发生的可能性,安全事件发生的危害性)=g(资产,威胁,脆弱性,已实施的控制措施)。评估人员根据这样的函数形式,可以采用一种类似5×5形式的矩阵来计算风险,其中行和列分别代表了安全事件发生的可能性或发生的危害性等级。当然,评估人员为了细化这些风险可以采用维数更多(更细)的矩阵。
4 结论及建议
企业通过信息安全风险管理的实施,能够确定长时间的安全风险管理计划,并且可以有效地缓解企业信息系统中的安全风险,提高工作人员对与信息安全风险的认识,建立健康的安全风险管理氛围,推动企业信息化发展。
另外,建议企业在实施信息风险管理的同时,及时建立信息安全风险预警系统,特别要加强网络与信息系统安全管理,充分发挥技术支撑、机制保障作用,不断完善预防与抢险相结合,有效地预防和减少信息系统安全事故的发生,保障信息安全稳定运行。
参考文献:
[1]王淳萱.大数据环境下国有企业的信息安全探析[J].冶金经济与管理,2016(02).
关键词:会计信息化;中小型企业;实施与应用
中图分类号:F23 文献标识码:A 文章编号:1001-828X(2013)10-0-01
由于近年来经济危机、金融危机时常发生,我国中小型企业的生存和发展环境变得越来越糟糕,企业之间竞争演变得更为激烈。在这种形势下,中小型企业只有通过加强企业内部管理,调整产品结构,精打细算企业成本,加快现代信息技术的应用,增加持续竞争力,才能使企业在激烈的竞争中处于不败之地。中小型企业要想达到提升企业的资源配置,提高核心竞争力和经济效益这个目标,企业就必须要努力去实现信息化、数字化。因此,中小型企业中实施会计信息化,是时展的需要。会计信息化是企业信息化的前提和核心,能积极推进企业信息化的建设,并能增强中小型企业核心竞争力。
一、我国中小型企业会计信息化中实施与应用现状
(一)中小型企业对会计信息化缺乏足够认识。大部分中小型企业都是家族式管理,内部管理制度还不够完善,企业制定的制度难以落实到工作上。而会计信息化作为企业管理信息系统的子系统,只有在企业落实制度的前提下,会计信息化才能得以发展。作为企业的领导者,只顾虑到实现会计信息化的成本,忽视财务部门的重要性,更不清楚会计信息化系统和企业管理之间的关系,觉得没有必要去实现会计信息化。有些已经实现会计信息化的中小型企业认为,会计信息化只能提高工作效率,减少工作时间,节省了一些开支而已,没有真正认识到中小型企业实现会计信息化的重要性。
(二)会计信息化基础管理工作薄弱。会计信息化要求中小型企业一定要以会计信息化的要求为根本,并与现代管理理论有机结合,对会计核算与管理的业务流程进行重组并依此建立一套与之相适应的管理制度。然而,真正的情况并不是如此,如今大部分中小型企业由于受到各种因素的影响,不少中小型企业管理上比较乱,一些基础信息分类和编码缺乏总体规划,在实施会计信息化时,只是片面提供财务部门工作所需,缺乏一种从整个企业管理信息系统的高度出发的思想,造成各信息系统的编码种类多而不兼容现象。
(三)会计信息缺乏安全保证。目前我国会计信息技术都是以电子数据形式存记录在计算机的数据库中,企业的财务信息很容易会被非法访问或者黑客、病毒侵犯而造成泄密,会计信息虚假,这样,不仅会影响到企业对信息技术使用的质量、效果,还会造成会计人员使用会计信息化技术产生顾虑,影响了他们对会计信息化深入发展。网络的安全问题往往是层出不穷,旧问题还没完全解决,又会出现新的安全隐患。此外,我国会计软件的数据安全保密性相对外国先进技术而言,还是比较弱。在很多会计软件中,数据经常被公开, 很多软件缺乏日记记录功能,对操作人员、时间和内容没有完全记录下来,一旦出现问题难以追究责任,使企业缺乏相应的信息安全保障。
(四)企业缺乏会计信息化人才,会计信息化普及程度不高。如今很多中小型企业拥有的会计人员相当多,他们对会计业务也能熟练操作,但他们中精通计算机技术的人才却少之又少。有的是通过自学学会了皮毛的信息化会计人员,并没有深入了解计算机技术,难以把计算机内容和会计内容有机地结合起来,导致会计信息化人员知识无法系统地组织起来。其次,有的计算专业人员只精通计算机技术,对会计的知识却半知半解,面对会计软件出现的问题难以解决。
二、我国中小型企业实施与应用会计信息化问题的对策
(一)增强中小企业领导者对会计信息化的认识。中小型企业要想得到更好更快的发展,就必须敢于面对企业存在的弊病,努力去调整企业管理结构,把企业制度落实下来。作为中小型企业的领导者,必须要有长远的眼光,提高企业管理人员和会计人员对会计信息化的认识,要尽量扶持企业使用会计信息化,深刻了解到会计信息化对企业的重要性和紧迫性,明白到使用会计信息化能更好地增强企业核心竞争力。此外,领导者要善于谋求适合中小型企业信息化管理的整体思路,初步建立企业信息化系统的整体框架,找准企业在目前管理模式下存在的矛盾和问题,确立企业今后管理的大方向。
(二)完善企业管理制度,重视财务基础性工作。企业应把现代管理理论与会计信息化有机结合起来,并以国家的统一规定为依据,针对企业的实际情况,建立一套适合企业发展的科学管理制度。其次,要重视财务软件基础性工作,要求员工在进行本企业的会计核算时必须要有技巧、追求原则、有次序地进行基础数据设置,使会计信息既满足财务部门的需要,也能方便为其他部门使用。
(三)加强会计信息的保密性,健全企业会计信息化制度。一般情况下,企业的财务数据是商业秘密,关系到企业生存与发展。因此,企业应加强会计信息化的保密性。如:对一些关键的计算机加以电磁屏蔽,防止电磁对计算机产生干扰,建立计算机房的安全措施和一些突发事件的应对对策。
建立健全对病毒、计算机黑客的安全防范措施。建立会计信息资料的备份制度,对重要的会计信息资料要实行多级备份。最后,企业应与技术供应商提出紧密合作,提高企业的安全度,避免黑客的攻击而造成信息外漏。
(四)加强对会计信息化人才培训。企业要达到实施会计信息化的真正意义,就必须加强对会计信息化的人才培训,充分利用会计信息化的功能。所以,企业应定期对会计信息化人员进行培训,培养他们会掌握新的信息技术和方法,提高自身的技术和业务水平,树立良好的职业道德和责任心。拥有复合型人才是保证企业在激烈的竞争中处于不败之地的重要保证,因此,企业要想更好地应用会计信息化技术,就不得不要加强人才的培训,提高其素质和水平,使他们能为企业的发展付出更多的努力。
三、结语
目前我国中小型企业在实施与应用会计信息化过程中,还存在一些问题阻碍了企业的发展。只要企业与开发商共同努力,企业努力去建立完善的信息管理制度,积极培养复合型人才,为中小企业会计信息化的实施与应用创造良好的条件, 能更好地、更有效地促进中小企业会计信息化的应用与实施。
参考文献:
[1]杨慧娜.我国企业会计信息化路径选择及效益评价研究[D].河南理工大学,2011.
