- 相關(guān)推薦
對(duì)企業(yè)信息安全困境的探微管理論文
1、提高企業(yè)信息系統(tǒng)的策略及措施解決企業(yè)信息安全方案分析
解決信息系統(tǒng)安全要有以下幾點(diǎn)認(rèn)識(shí):要解決信息系統(tǒng)要有統(tǒng)籌全局的觀念。解決信息系統(tǒng)的安全問(wèn)題要樹立系統(tǒng)觀念,不能光靠一個(gè)面。從系統(tǒng)的角度分析信息系統(tǒng)是由用戶和計(jì)算機(jī)系統(tǒng)兩者組成,這包括人和技術(shù)兩點(diǎn)因素。使用和維護(hù)計(jì)算機(jī)安全信息系統(tǒng)可以根據(jù)信息系統(tǒng)具有動(dòng)態(tài)性和變化性等特點(diǎn)進(jìn)行調(diào)整。信息系統(tǒng)是一項(xiàng)長(zhǎng)期屬于相對(duì)安全的工作,必須制訂長(zhǎng)銷機(jī)制,絕不能以逸待勞。企業(yè)信息系統(tǒng)安全可以采取的策略是采用一套先進(jìn)、科學(xué)及適用的安全技術(shù)系統(tǒng),在對(duì)系統(tǒng)進(jìn)行監(jiān)控和防護(hù),及時(shí)適當(dāng)?shù)姆治鲂畔⑾到y(tǒng)的安全因素,使這套系統(tǒng)具有靈敏性和迅速性等響應(yīng)機(jī)制,配合智能型動(dòng)態(tài)調(diào)整功能體系。需要緊記的是系統(tǒng)安全來(lái)自于風(fēng)險(xiǎn)評(píng)估、安全策略、自我防御、實(shí)時(shí)監(jiān)測(cè)、恢復(fù)數(shù)據(jù)、動(dòng)態(tài)調(diào)整七個(gè)方面。其中,通過(guò)風(fēng)險(xiǎn)評(píng)估可以找出影響信息系統(tǒng)安全存在的技術(shù)和管理等因素產(chǎn)生的問(wèn)題。在經(jīng)過(guò)分析對(duì)即將產(chǎn)生問(wèn)題的信息系統(tǒng)進(jìn)行報(bào)告。
安全策略體現(xiàn)著系統(tǒng)安全的總體規(guī)劃指導(dǎo)具體措施的進(jìn)行。是保障整個(gè)安全體系運(yùn)行的核心。防御體系根據(jù)系統(tǒng)中出現(xiàn)的問(wèn)題采用相關(guān)的技術(shù)防護(hù)措施,解決各種安全威脅和安全漏洞是保障安全體系的重心。并且通過(guò)監(jiān)測(cè)系統(tǒng)實(shí)時(shí)檢測(cè)運(yùn)行各種情況。在安全防護(hù)機(jī)制下及時(shí)發(fā)現(xiàn)并且制止各種對(duì)系統(tǒng)攻擊的可能性,假設(shè)安全防護(hù)機(jī)制失效必須進(jìn)行應(yīng)急處理,立刻實(shí)現(xiàn)數(shù)據(jù)恢復(fù)。盡量縮小計(jì)算機(jī)系統(tǒng)被攻擊破壞的程度?梢圆扇∽灾鱾浞,數(shù)據(jù)恢復(fù),確;謴(fù),快速恢復(fù)等手段。并且分析和審理安全數(shù)據(jù),適時(shí)跟蹤,排查系統(tǒng)有可能出現(xiàn)的違歸行為,檢查企業(yè)信息系統(tǒng)的安全保障體系是否超出違反規(guī)定。
通過(guò)改善系統(tǒng)性能引入一套先進(jìn)的動(dòng)態(tài)調(diào)整智能反饋機(jī)制,可以促進(jìn)系統(tǒng)自動(dòng)產(chǎn)生安全保護(hù),取得良好的安全防護(hù)效果?梢詫(duì)一臺(tái)安全體系模型進(jìn)行分析,在管理方面,對(duì)安全策略和風(fēng)險(xiǎn)評(píng)估進(jìn)行測(cè)評(píng),在技術(shù)層面,實(shí)時(shí)監(jiān)測(cè)和數(shù)據(jù)恢復(fù)形成一套防御體系。在制度方面,結(jié)合安全跟蹤進(jìn)行系統(tǒng)排查工作。系統(tǒng)還應(yīng)具備一套完整的完整的動(dòng)態(tài)自主調(diào)整的反饋機(jī)制,促進(jìn)該體系模型更好的與系統(tǒng)動(dòng)態(tài)性能結(jié)合。
信息安全管理在風(fēng)險(xiǎn)評(píng)估和安全策略中均有體現(xiàn),將這些管理因素應(yīng)用與安全保障體系保護(hù)信息安全系統(tǒng)十分重要。企業(yè)必須設(shè)立專門的信息系統(tǒng)安全管理部門,保障企業(yè)信息系統(tǒng)的安全。由企業(yè)主要領(lǐng)導(dǎo)帶頭,組織信息安全領(lǐng)導(dǎo)小組,專門負(fù)責(zé)企業(yè)的信息安全實(shí)行總體規(guī)劃及管理。在設(shè)立信息主管部門實(shí)施具體的管理步驟。企業(yè)應(yīng)該制訂關(guān)于保證信息系統(tǒng)安全管理的標(biāo)準(zhǔn)。標(biāo)準(zhǔn)中應(yīng)該明確規(guī)定信息系統(tǒng)中各類用戶的職責(zé)和權(quán)限、必須嚴(yán)格遵守操作系統(tǒng)過(guò)程中的規(guī)范、信息安全事件的報(bào)告和處理流程、對(duì)保密信息進(jìn)行嚴(yán)格存儲(chǔ)、系統(tǒng)的帳號(hào)及密碼管理、數(shù)據(jù)庫(kù)中信息管理、中心機(jī)房設(shè)備維護(hù)、檢查與評(píng)估信息安全工作等等信息安全的相關(guān)標(biāo)準(zhǔn)。而且在實(shí)際運(yùn)用過(guò)程中不斷地總結(jié)及完善信息系統(tǒng)安全管理的標(biāo)準(zhǔn)。
相關(guān)部門應(yīng)該積極開展信息風(fēng)險(xiǎn)評(píng)估工作。通過(guò)維護(hù)信息網(wǎng)的網(wǎng)絡(luò)基礎(chǔ)設(shè)施有拓?fù)、網(wǎng)絡(luò)設(shè)備和安全設(shè)備,對(duì)系統(tǒng)安全定期的進(jìn)行評(píng)估工作,主動(dòng)發(fā)現(xiàn)系統(tǒng)存在的安全問(wèn)題。主要針對(duì)企業(yè)支撐的信息網(wǎng)和應(yīng)用IT系統(tǒng)資產(chǎn)進(jìn)行全方位檢查,對(duì)管理存在的弱點(diǎn)進(jìn)行技術(shù)識(shí)別。對(duì)于企業(yè)的信息安全現(xiàn)狀進(jìn)行全面的評(píng)估,可以制作一張風(fēng)險(xiǎn)視圖表現(xiàn)企業(yè)全面存在的問(wèn)題。為安全建設(shè)提供指導(dǎo)方向和參考價(jià)值。為企業(yè)信息安全建設(shè)打下堅(jiān)實(shí)的基礎(chǔ)。
最后,加強(qiáng)信息系統(tǒng)的運(yùn)行管理?梢酝ㄟ^(guò)以下措施進(jìn)行:規(guī)范系統(tǒng)電子臺(tái)帳、設(shè)備的軟件及硬件配置管理、建立完善的設(shè)備以及相關(guān)的技術(shù)文檔。系統(tǒng)日常各項(xiàng)工作進(jìn)行閉環(huán)管理,系統(tǒng)安裝、設(shè)備運(yùn)營(yíng)管理等。還要對(duì)用戶工作進(jìn)行規(guī)范管理,分配足夠的資源和應(yīng)用權(quán)限。防御體系、實(shí)時(shí)檢測(cè)和數(shù)據(jù)恢復(fù)三方面都體現(xiàn)了技術(shù)因素,信息安全管理系統(tǒng)技術(shù)應(yīng)用于安全保障體系中。在建設(shè)和維護(hù)信息安全保障體系過(guò)程中,需要多方面,多角度的進(jìn)行綜合考慮。采用分步實(shí)施,逐步實(shí)現(xiàn)的手法。在信息安全方面采取必要的技術(shù)手段,加強(qiáng)系統(tǒng)采取冗余的配置,提高系統(tǒng)的安全性。
對(duì)中心數(shù)據(jù)庫(kù)系統(tǒng)、核心交換機(jī)、數(shù)據(jù)中心的存儲(chǔ)系統(tǒng)、關(guān)鍵應(yīng)用系統(tǒng)服務(wù)器等。為了避免重要系統(tǒng)的單點(diǎn)故障可以采取雙機(jī)甚至群集的配置。另外,加強(qiáng)對(duì)網(wǎng)絡(luò)系統(tǒng)的管理。企業(yè)信息系統(tǒng)安全的核心內(nèi)容之一是網(wǎng)絡(luò)系統(tǒng)。同樣也是影響系統(tǒng)安全因素最多的環(huán)節(jié)。網(wǎng)絡(luò)系統(tǒng)的不安全給系統(tǒng)安全帶來(lái)風(fēng)險(xiǎn)。接下來(lái)重點(diǎn)談網(wǎng)絡(luò)安全方面需要采取的技術(shù)手段。網(wǎng)絡(luò)安全的最基礎(chǔ)工作,是加強(qiáng)網(wǎng)絡(luò)的接入管理。
與公用網(wǎng)絡(luò)系統(tǒng)存在區(qū)別的是,企業(yè)在網(wǎng)絡(luò)系統(tǒng)中有專門的網(wǎng)絡(luò),系統(tǒng)只準(zhǔn)許規(guī)定的用戶接入,因此必須實(shí)現(xiàn)管理接入。在實(shí)際操作過(guò)程中,可以采取邊緣認(rèn)證的方式。筆者在實(shí)際工作經(jīng)驗(yàn)總結(jié)出公司的網(wǎng)絡(luò)系統(tǒng)是通過(guò)對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行改造實(shí)現(xiàn)支持802.1X或MAC地址兩種安全認(rèn)證的方式。不斷實(shí)現(xiàn)企業(yè)內(nèi)網(wǎng)絡(luò)系統(tǒng)的安全接入管理。網(wǎng)絡(luò)端口接入網(wǎng)絡(luò)系統(tǒng)時(shí)所有的工作站設(shè)備必須經(jīng)過(guò)安全認(rèn)證,從而保證只有登記的、授權(quán)記錄在冊(cè)的設(shè)備才能介入企業(yè)的網(wǎng)絡(luò)系統(tǒng),從而保證系統(tǒng)安全。根據(jù)物理分布可以利用VLAN技術(shù)及使用情況劃分系統(tǒng)子網(wǎng)。這樣的劃分有以下益處:首先,隔離了網(wǎng)絡(luò)廣播流量,整個(gè)系統(tǒng)避免被人為或者系統(tǒng)故障引起的網(wǎng)絡(luò)風(fēng)暴。其次是提高系統(tǒng)的管理性。通過(guò)劃分子網(wǎng)可以實(shí)現(xiàn)對(duì)不同子網(wǎng)采取不同安全策略,可以將故障縮小到最低范圍。根據(jù)一些應(yīng)用的需要實(shí)現(xiàn)某些應(yīng)用系統(tǒng)中的相對(duì)隔離。
2、結(jié)語(yǔ)
本文結(jié)合了筆者實(shí)際工作經(jīng)驗(yàn)對(duì)企業(yè)信息系統(tǒng)的安全問(wèn)題提出了系統(tǒng)性的思考,對(duì)長(zhǎng)期存在相對(duì)動(dòng)態(tài)的信息系統(tǒng)安全解決的方法進(jìn)行探討。可以用一句話進(jìn)行概括總結(jié):系統(tǒng)安全六要素是組成的系統(tǒng)安全的必要因素。同時(shí),抓好規(guī)范管理,實(shí)現(xiàn)信息系統(tǒng)的安全技術(shù)。
【對(duì)企業(yè)信息安全困境的探微管理論文】相關(guān)文章:
企業(yè)信息數(shù)據(jù)安全的研究論文11-16
企業(yè)信息安全管理體系構(gòu)建的要點(diǎn)與策略論文06-29
勞務(wù)企業(yè)信息管控系統(tǒng)的組建管理論文11-17
企業(yè)信息審計(jì)的探索與實(shí)踐論文11-20
礦山機(jī)電設(shè)備的管理與維護(hù)探微11-21
安全管理論文06-04
安全管理論文01-03