企業(yè)信息技術(shù)論文
信息技術(shù)是時(shí)代的潮流,信息化的產(chǎn)生對(duì)社會(huì)的發(fā)展產(chǎn)生了巨大的沖擊,包括企業(yè)安全理念。下面是由學(xué)習(xí)啦小編整理的企業(yè)信息技術(shù)論文,謝謝你的閱讀。
企業(yè)信息技術(shù)論文篇一
淺談企業(yè)信息安全技術(shù)
摘要:信息化是時(shí)代的潮流,信息化的產(chǎn)生對(duì)社會(huì)的發(fā)展產(chǎn)生了巨大的沖擊,包括企業(yè)安全理念。本文介紹了信息安全保護(hù)的發(fā)展歷程,從最初的信息保密過渡到業(yè)務(wù)安全保障到目前的多業(yè)務(wù)平臺(tái)安全保護(hù)。針對(duì)企業(yè)信息系統(tǒng)現(xiàn)狀,筆者從硬件、技術(shù)以及人員行為三個(gè)角度來對(duì)目前企業(yè)信息安全存在的問題進(jìn)行分析,指出了目前企業(yè)信息系統(tǒng)安全的癥結(jié)所在。結(jié)合問題所在,從三個(gè)角度出發(fā),分別提出改進(jìn)建議,希望能夠?qū)ζ髽I(yè)信息安全水平的提高起到有效的幫助。
關(guān)鍵詞:信息安全;信息安全管理
中圖分類號(hào):TP393文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-3044(2012)15-3491-03
計(jì)算機(jī)、網(wǎng)絡(luò)已經(jīng)逐漸成為我們工作生活中必不可少的一部分了,企業(yè)辦公自動(dòng)化已經(jīng)成為普遍現(xiàn)象。但是我們?cè)谙硎苄畔⒒瘞碇T多便利的同時(shí),也要看到信息化給企業(yè)帶來的諸多不便。2011年上半年,花期銀行由于遭受黑客攻擊,二十多萬客戶資料信息外泄,為銀行和客戶帶來巨大的損失,同期國(guó)際著名的安全解決方案提供商RSA遭受黑客的惡意攻擊,對(duì)其超過五百家客戶造成潛在風(fēng)險(xiǎn),給該企業(yè)帶來高達(dá)數(shù)百萬的損失。信息安全是企業(yè)整體安全的重要方面,一旦企業(yè)重要的信息外泄,會(huì)給企業(yè)帶來巨大的風(fēng)險(xiǎn),甚至有可能將企業(yè)帶入破產(chǎn)的境地。
1企業(yè)信息系統(tǒng)安全的發(fā)展
隨著信息技術(shù)的產(chǎn)生,信息系統(tǒng)安全的保護(hù)也隨之而來,并且隨著信息技術(shù)的不斷更新?lián)Q代,信息系統(tǒng)安全保護(hù)的戰(zhàn)略也不斷發(fā)展,接下來我們可以簡(jiǎn)要地分析一下信息安全系統(tǒng)的發(fā)展歷程。
信息系統(tǒng)安全的第一步是保障信息的安全,當(dāng)時(shí)各個(gè)電子業(yè)務(wù)系統(tǒng)較為獨(dú)立,互聯(lián)網(wǎng)還不太流行,這時(shí)主要技術(shù)是對(duì)信息進(jìn)行加密,普遍運(yùn)用風(fēng)險(xiǎn)分析法來對(duì)系統(tǒng)可能出現(xiàn)的漏洞進(jìn)行分析,合理地填補(bǔ)漏洞,消除威脅,這是一種基于傳統(tǒng)安全理念指導(dǎo)下的系統(tǒng)安全保護(hù)。
隨著互聯(lián)網(wǎng)技術(shù)的深入,信息系統(tǒng)安全開始逐步向業(yè)務(wù)安全轉(zhuǎn)化,開始從信息產(chǎn)業(yè)的角度出發(fā)來考慮安全狀況,此時(shí)的互聯(lián)網(wǎng)已經(jīng)成為工作生活的一個(gè)組成部分。這時(shí)候我們需要保護(hù)的不再僅僅是相關(guān)信息了,我們需要對(duì)整個(gè)業(yè)務(wù)流程進(jìn)行保護(hù),分析其可能出現(xiàn)的問題。本階段的安全防護(hù)理念關(guān)注整個(gè)業(yè)務(wù)流程的周期,對(duì)流程的每一個(gè)節(jié)點(diǎn)進(jìn)行綜合考慮。信息保護(hù)在此時(shí)只是整個(gè)系統(tǒng)安全的一部分,是作為最為基礎(chǔ)的防護(hù)技術(shù),除此之外,還強(qiáng)調(diào)對(duì)整個(gè)流程的監(jiān)控,防止某個(gè)節(jié)點(diǎn)可能出現(xiàn)的不安全因素,一旦出現(xiàn)任何風(fēng)吹草動(dòng)的現(xiàn)象我們可以立即予以控制。此外,審計(jì)技術(shù)在這個(gè)時(shí)候也被引入,通過對(duì)技術(shù)操作的跟蹤,可以對(duì)攻擊發(fā)起者進(jìn)行責(zé)任追究,對(duì)攻擊者起到一種震懾的效果。
到目前為止,業(yè)務(wù)系統(tǒng)的獨(dú)立性和邊界已經(jīng)逐步弱化,系統(tǒng)間的融合更為常見。以礦業(yè)企業(yè)為例,在大型集團(tuán)中,往往存在財(cái)務(wù)系統(tǒng)、生產(chǎn)系統(tǒng)、銷售系統(tǒng)、統(tǒng)計(jì)分析系統(tǒng)等,這些系統(tǒng)之間需要相互勾稽,系統(tǒng)與系統(tǒng)之間需要互相取數(shù),因此大量的系統(tǒng)集中到了一個(gè)業(yè)務(wù)平臺(tái)中,由該平臺(tái)來提供整體服務(wù)。這樣的話,我們對(duì)于信息系統(tǒng)安全的需求也從單系統(tǒng)向多系統(tǒng)轉(zhuǎn)換,我們?cè)陉P(guān)心單個(gè)系統(tǒng)安全的同時(shí),還要對(duì)其系統(tǒng)平臺(tái)服務(wù)給予更多的關(guān)注。這樣的話,企業(yè)信息安全也開始由業(yè)務(wù)流程向服務(wù)轉(zhuǎn)換。
2企業(yè)信息安全存在的問題分析
信息安全問題我們可以將其進(jìn)行進(jìn)一步細(xì)分為物理、技術(shù)以及人為等三類因素。
首先來看物理方面,物理安全主要指的是機(jī)器設(shè)備以及網(wǎng)絡(luò)線路出現(xiàn)的問題。一般企業(yè)在進(jìn)行信息設(shè)備設(shè)置時(shí)最先考慮的因素是人員安全,即在保證信息設(shè)備不會(huì)對(duì)企業(yè)員工人身安全造成威脅的前提下再進(jìn)行設(shè)備本身考慮。信息設(shè)備一般屬于電氣設(shè)備,容易受到打雷、水電等災(zāi)害的影響。如果服務(wù)器主機(jī)受到嚴(yán)重破壞,有可能導(dǎo)致企業(yè)整個(gè)信息系統(tǒng)崩潰。相對(duì)于其他電氣設(shè)備而言,信息設(shè)備耐壓數(shù)值比較小,企業(yè)需要其持續(xù)不斷地運(yùn)行,并且磁場(chǎng)的干擾對(duì)網(wǎng)絡(luò)影響比較明顯,這些都對(duì)信息設(shè)備的物理安全提出了要求,需要防止可能出現(xiàn)的問題。
其次是技術(shù)方面,對(duì)于大量企業(yè)而言,可以分為內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò),內(nèi)部網(wǎng)絡(luò)相對(duì)安全性較高。對(duì)于絕大多數(shù)企業(yè)而言,局域網(wǎng)都會(huì)通過一定途徑與外部網(wǎng)相連接。這樣內(nèi)部網(wǎng)路安全性就受到內(nèi)部網(wǎng)絡(luò)設(shè)備與外部網(wǎng)絡(luò)進(jìn)行的溝通的威脅。同時(shí),操作系統(tǒng)的安全以及應(yīng)用程序的安全都是技術(shù)上所面臨的困擾。
在操作系統(tǒng)方面,我們的選擇比較狹窄,大多數(shù)企業(yè)只能選擇微軟操作系統(tǒng),每個(gè)系統(tǒng)都存在一定的漏洞,都會(huì)造成信息的外泄。其實(shí)操作系統(tǒng)同樣是軟件,微軟為系統(tǒng)安全會(huì)不定期推出安全更新與漏洞補(bǔ)丁,雖然我們可以通過系統(tǒng)的Windows Update或其他輔助軟件來給系統(tǒng)修修補(bǔ)補(bǔ),但這還不是100%的安全保證。隨著微軟在安全技術(shù)上的逐漸改進(jìn),系統(tǒng)漏洞出現(xiàn)的次數(shù)越來越少,現(xiàn)在很多黑客開始把注意力轉(zhuǎn)移到常用的第三方軟件上來,也就是要利用這些軟件的漏洞來進(jìn)行攻擊。相對(duì)于操作系統(tǒng)而言,應(yīng)用軟件方面我們選擇性比較大,但目前流行的各種病毒、木馬都會(huì)給我們企業(yè)的信息安全帶來極大的影響。
尤其是現(xiàn)在大部分企業(yè)都建立有自己的官方網(wǎng)站,保存著企業(yè)的重要數(shù)據(jù)和客戶資料等,而如果網(wǎng)站存在一個(gè)通用漏洞,就會(huì)被惡意的黑客攻擊,甚至黑客還會(huì)進(jìn)行木馬的上傳來得到WebShell,添加隱藏超級(jí)賬號(hào),使用遠(yuǎn)程桌面連接等操作,從而導(dǎo)致網(wǎng)絡(luò)淪落為黑客手中的“肉雞”。因此,如果使用網(wǎng)站模板代碼,必須要時(shí)刻關(guān)注該網(wǎng)站模板是否有最新的漏洞被曝光,及時(shí)到官網(wǎng)上下載并打上相關(guān)的漏洞補(bǔ)丁程序。另外,網(wǎng)管務(wù)必要有經(jīng)常查看網(wǎng)站登錄日志的習(xí)慣,檢查后臺(tái)登錄的IP是否有異地的可疑信息,或者是否被添加了異常的管理賬號(hào)等等,永遠(yuǎn)繃緊安全這根弦。
對(duì)局域網(wǎng)進(jìn)行妥善管理,讓網(wǎng)絡(luò)運(yùn)行始終安全、穩(wěn)定,一直是所有網(wǎng)絡(luò)管理員的主要職責(zé)。為了保證局域網(wǎng)的安全性,不少網(wǎng)絡(luò)管理員開動(dòng)腦筋,并且不惜花費(fèi)重金,“請(qǐng)”來了各式各樣的專業(yè)安全工具,來為局域網(wǎng)進(jìn)行保駕護(hù)航。然而在實(shí)際工作過程中,如果沒有現(xiàn)成的專業(yè)安全防范工具,也可以利用客戶端系統(tǒng)自帶的安全功能,保護(hù)自己的上網(wǎng)安全。
最后是人員方面,人員是企業(yè)信息外泄的重要途徑,其中我們可以將其分為兩大類,一類是內(nèi)部人員的泄密。這往往體現(xiàn)在員工將企業(yè)核心機(jī)密通過硬盤等設(shè)備將其帶出公司信息設(shè)備,并且造成遺失等現(xiàn)象,最終導(dǎo)致公司機(jī)密為外界所獲取,信息安全受到嚴(yán)重威脅。另一部分是黑客攻擊,這類攻擊對(duì)公司造成的損失非常大。該行為的目標(biāo)就是獲取相應(yīng)的信息。隨著黑客技術(shù)的發(fā)展,傳統(tǒng)的防火墻甚至物理網(wǎng)閘斷開都難以完全避免黑客的攻擊。目前企業(yè)繁多的保護(hù)程序?qū)诳偷姆雷o(hù)效果不佳,反倒給用戶帶來了諸多不便。
3企業(yè)信息安全改進(jìn)建議
3.1物理安全防護(hù)
網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)直接影響到企業(yè)的信息安全,局域網(wǎng)的網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)也成了信息防護(hù)的關(guān)鍵所在,一般情況下,企業(yè)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖如下:
圖1內(nèi)部網(wǎng)拓?fù)浣Y(jié)構(gòu)圖
在整個(gè)流程中,核心交換機(jī)是關(guān)鍵,首先它必須滿足國(guó)家相關(guān)的規(guī)定標(biāo)準(zhǔn),可以承載相應(yīng)的功能。機(jī)房設(shè)計(jì)要考慮到防盜、防火等,必須實(shí)行24小時(shí)監(jiān)控。硬件防火墻是我們進(jìn)行信息保護(hù)的一個(gè)重要措施,性能比軟件防火墻更為強(qiáng)大,這也決定了硬件防火墻的價(jià)格相對(duì)而言更為昂貴。硬件加密卡也是我們目前使用范圍比較廣泛的一個(gè)技術(shù)措施,它獨(dú)立于計(jì)算機(jī)系統(tǒng),一般難以通過常用的軟件模擬方式來對(duì)其進(jìn)行攻擊,因此獨(dú)立性能更高。通過合理配置計(jì)算機(jī)硬件保護(hù)器,我們可以將信息保護(hù)的基礎(chǔ)工作做得更加有效,能夠?yàn)榭刂萍夹g(shù)風(fēng)險(xiǎn)和人為風(fēng)險(xiǎn)提供良好的基礎(chǔ)。
3.2技術(shù)安全
相對(duì)而言,技術(shù)安全是比較難以處理的,信息技術(shù)的發(fā)展非常迅速,我們難以面對(duì)層出不窮的網(wǎng)絡(luò)技術(shù)攻擊做出完全有效的防御,需要及時(shí)改變技術(shù)防御措施。
3.2.1數(shù)字簽名和加密技術(shù)
在網(wǎng)絡(luò)中,我們可以不斷發(fā)展傳統(tǒng)的數(shù)字簽名和加密技術(shù),防止黑客的多種入侵。
我們可以以數(shù)字簽名為例,通過設(shè)定數(shù)字簽名,用戶在進(jìn)行各種操作時(shí)會(huì)打上自身的印記,可以防止除授權(quán)者以外的修改,能夠極大地提高整體的安全系數(shù),抵御黑客的攻擊。在這個(gè)程序中,我們需要予以關(guān)注的是數(shù)字證書的獲取,一般有以下三個(gè)途徑:a使用相關(guān)軟件創(chuàng)建自身的數(shù)字證書;b從商業(yè)認(rèn)證授權(quán)機(jī)構(gòu)獲取;c從內(nèi)部專門負(fù)責(zé)認(rèn)證安全管理機(jī)構(gòu)獲取。
3.2.2入侵防護(hù)系統(tǒng)(IPS)
傳統(tǒng)的防火墻旨在拒絕那些明顯可疑的網(wǎng)絡(luò)流量,但仍然允許某些流量通過,因此防火墻對(duì)于很多入侵攻擊仍然無計(jì)可施。絕大多數(shù)IDS系統(tǒng)都是被動(dòng)的,而入侵防護(hù)系統(tǒng)(IPS)則傾向于提供主動(dòng)防護(hù),其設(shè)計(jì)宗旨是預(yù)先對(duì)入侵活動(dòng)和攻擊性網(wǎng)絡(luò)流量進(jìn)行攔截,避免其造成損失,而不是簡(jiǎn)單地在惡意流量傳送時(shí)或傳送后才發(fā)出警報(bào)。IPS是通過直接嵌入到網(wǎng)絡(luò)流量中實(shí)現(xiàn)這一功能的,即通過一個(gè)網(wǎng)絡(luò)端口接收來自外部系統(tǒng)的流量,經(jīng)過檢查確認(rèn)其中不包含異常活動(dòng)或可疑內(nèi)容后,再通過另外一個(gè)端口將它傳送到內(nèi)部系統(tǒng)中。這樣一來,有問題的數(shù)據(jù)包,以及所有來自同一數(shù)據(jù)流的后續(xù)數(shù)據(jù)包,都能在IPS設(shè)備中被清除掉。
3.2.3統(tǒng)一威脅管理(UTM)
美國(guó)著名的IDC對(duì)統(tǒng)一威脅管理(UTM)安全設(shè)備的定義的是由硬件、軟件和網(wǎng)絡(luò)技術(shù)組成的具有專門用途的設(shè)備,它主要提供一項(xiàng)或多項(xiàng)安全功能。它將多種安全特性集成于一個(gè)硬設(shè)備里,構(gòu)成一個(gè)標(biāo)準(zhǔn)的統(tǒng)一管理平臺(tái)。UTM設(shè)備應(yīng)該具備的基本功能包括網(wǎng)絡(luò)防火墻、網(wǎng)絡(luò)入侵檢測(cè)/防御和網(wǎng)關(guān)防病毒功能。這幾項(xiàng)功能并不一定要同時(shí)都得到使用,不過它們應(yīng)該是UTM設(shè)備自身固有的功能。
UTM安全設(shè)備也可能包括其它特性,例如安全管理、日志、策略管理、服務(wù)質(zhì)量(QoS)、負(fù)載均衡、高可用性(HA)和報(bào)告帶寬管理等。不過,其它特性通常都是為主要的安全功能服務(wù)的。
3信息安全管理
這主要是針對(duì)人員管理而設(shè)定的,是企業(yè)內(nèi)部管理流程的一個(gè)重要方面,這是企業(yè)內(nèi)部管控制度的一個(gè)重要組成方面。
每個(gè)企業(yè)都要有明確的硬件設(shè)備管理制度,專人負(fù)責(zé)保管,監(jiān)督審查,確保硬件使用的合理和安全性。其次要對(duì)操作人員進(jìn)行足夠的培訓(xùn),要求每一個(gè)使用人員都了解應(yīng)當(dāng)進(jìn)行的合理操作,明白可能存在的網(wǎng)絡(luò)安全隱患。第三要對(duì)數(shù)據(jù)保管有明確的責(zé)任和制度,防止大量數(shù)據(jù)的丟失,導(dǎo)致公司整體系統(tǒng)癱瘓。
為了進(jìn)一步加強(qiáng)和規(guī)范計(jì)算機(jī)信息系統(tǒng)安全,公安部、國(guó)家保密局、國(guó)家密碼管理局、國(guó)務(wù)院信息化工作辦公室于2007年6月和7月聯(lián)合頒布了《信息安全等級(jí)保護(hù)管理辦法》和《關(guān)于開展全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知》,并召開了全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作部署專題電視電話會(huì)議,標(biāo)志著我國(guó)信息安全等級(jí)保護(hù)制度歷經(jīng)十多年的探索正式開始實(shí)施。
建立計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)制度,是我國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作中的一件大事,它直接關(guān)系到各行各業(yè)的計(jì)算機(jī)信息系統(tǒng)建設(shè)和管理,是一項(xiàng)復(fù)雜的社會(huì)化的系統(tǒng)工程,需要社會(huì)各界的共同參與。大中型企業(yè)應(yīng)該認(rèn)真學(xué)習(xí)《信息安全等級(jí)保護(hù)管理辦法》及相關(guān)技術(shù)標(biāo)準(zhǔn)規(guī)范,大力開展培訓(xùn)工作,落實(shí)好信息網(wǎng)絡(luò)安全管理、安全技術(shù)、信息安全等崗位人員的繼續(xù)教育培訓(xùn),不斷提高信息安全等級(jí)保護(hù)的能力與水平。
4結(jié)束語(yǔ)
在我們進(jìn)行企業(yè)信息安全管理過程中,企業(yè)及企業(yè)員工是否對(duì)信息安全工作有足夠的認(rèn)識(shí)十分重要,企業(yè)領(lǐng)導(dǎo)和上層應(yīng)該對(duì)企業(yè)信息安全工作給予必要的關(guān)注,企業(yè)信息安全不能僅僅依靠專業(yè)的IT技術(shù)人員,它需要我們?nèi)w企業(yè)員工的共同努力。
參考文獻(xiàn):
[1]孫博.企業(yè)信息安全及相關(guān)技術(shù)概述[J].科技創(chuàng)新導(dǎo)報(bào),2009(04).
[2]徐國(guó)芹.淺議如何建立企業(yè)信息安全體系架構(gòu)[J].中國(guó)高新技術(shù)企業(yè),2009(5).
[3]王東.“北京移動(dòng)案”暴露信息安全管理軟肋[J].中國(guó)新通信,2006(6).
[4]吳輝.淺談企業(yè)信息安全管理方案[J].科技情報(bào)開發(fā)與經(jīng)濟(jì),2010(25).
[5]徐新件,朱健華.關(guān)于企業(yè)網(wǎng)絡(luò)信息安全管理問題研究[J].供電企業(yè)管理,2008(2).
[6]汪紅梅.我國(guó)信息安全保障體系存在的問題及對(duì)策芻議[J].信息網(wǎng)絡(luò)安全,2008(2).
[7]盛玉.檔案信息安全與安全保障體系內(nèi)容的關(guān)系分析[J].網(wǎng)絡(luò)財(cái)富,2009(12).
[8]崢嶸.信息備份為企業(yè)信息安全保駕護(hù)航[J].中國(guó)經(jīng)貿(mào).2008(10).
[9]田麗.網(wǎng)絡(luò)環(huán)境下企業(yè)信息安全管理組織機(jī)構(gòu)設(shè)計(jì)[J].東北財(cái)經(jīng)大學(xué)學(xué)報(bào),2008(3).
點(diǎn)擊下頁(yè)還有更多>>>企業(yè)信息技術(shù)論文