探討企業(yè)信息安全困境

　　1、提高企業(yè)信息系統(tǒng)的策略及措施解決企業(yè)信息安全方案分析

　　解決信息系統(tǒng)安全要有以下幾點認識:要解決信息系統(tǒng)要有統(tǒng)籌全局的觀念。解決信息系統(tǒng)的安全問題要樹立系統(tǒng)觀念，不能光靠一個面。從系統(tǒng)的角度分析信息系統(tǒng)是由用戶和計算機系統(tǒng)兩者組成，這包括人和技術(shù)兩點因素。使用和維護計算機安全信息系統(tǒng)可以根據(jù)信息系統(tǒng)具有動態(tài)性和變化性等特點進行調(diào)整。信息系統(tǒng)是一項長期屬于相對安全的工作，必須制訂長銷機制，絕不能以逸待勞。企業(yè)信息系統(tǒng)安全可以采取的策略是采用一套先進、科學(xué)及適用的安全技術(shù)系統(tǒng)，在對系統(tǒng)進行監(jiān)控和防護，及時適當(dāng)?shù)姆治鲂畔⑾到y(tǒng)的安全因素，使這套系統(tǒng)具有靈敏性和迅速性等響應(yīng)機制，配合智能型動態(tài)調(diào)整功能體系。需要緊記的是系統(tǒng)安全來自于風(fēng)險評估、安全策略、自我防御、實時監(jiān)測、恢復(fù)數(shù)據(jù)、動態(tài)調(diào)整七個方面。其中，通過風(fēng)險評估可以找出影響信息系統(tǒng)安全存在的技術(shù)和管理等因素產(chǎn)生的問題。在經(jīng)過分析對即將產(chǎn)生問題的信息系統(tǒng)進行報告。

　　安全策略體現(xiàn)著系統(tǒng)安全的總體規(guī)劃指導(dǎo)具體措施的進行。是保障整個安全體系運行的核心。防御體系根據(jù)系統(tǒng)中出現(xiàn)的問題采用相關(guān)的技術(shù)防護措施，解決各種安全威脅和安全漏洞是保障安全體系的重心。并且通過監(jiān)測系統(tǒng)實時檢測運行各種情況。在安全防護機制下及時發(fā)現(xiàn)并且制止各種對系統(tǒng)攻擊的可能性，假設(shè)安全防護機制失效必須進行應(yīng)急處理，立刻實現(xiàn)數(shù)據(jù)恢復(fù)。盡量縮小計算機系統(tǒng)被攻擊破壞的程度�？梢圆扇∽灾鱾浞荩瑪�(shù)據(jù)恢復(fù)，確�；謴�(fù)，快速恢復(fù)等手段。并且分析和審理安全數(shù)據(jù)，適時跟蹤，排查系統(tǒng)有可能出現(xiàn)的違歸行為，檢查企業(yè)信息系統(tǒng)的安全保障體系是否超出違反規(guī)定。

　　通過改善系統(tǒng)性能引入一套先進的動態(tài)調(diào)整智能反饋機制，可以促進系統(tǒng)自動產(chǎn)生安全保護，取得良好的安全防護效果�？梢詫σ慌_安全體系模型進行分析，在管理方面，對安全策略和風(fēng)險評估進行測評，在技術(shù)層面，實時監(jiān)測和數(shù)據(jù)恢復(fù)形成一套防御體系。在制度方面，結(jié)合安全跟蹤進行系統(tǒng)排查工作。系統(tǒng)還應(yīng)具備一套完整的完整的動態(tài)自主調(diào)整的反饋機制，促進該體系模型更好的與系統(tǒng)動態(tài)性能結(jié)合。

　　信息安全管理在風(fēng)險評估和安全策略中均有體現(xiàn)，將這些管理因素應(yīng)用與安全保障體系保護信息安全系統(tǒng)十分重要。企業(yè)必須設(shè)立專門的信息系統(tǒng)安全管理部門，保障企業(yè)信息系統(tǒng)的安全。由企業(yè)主要領(lǐng)導(dǎo)帶頭，組織信息安全領(lǐng)導(dǎo)小組，專門負責(zé)企業(yè)的信息安全實行總體規(guī)劃及管理。在設(shè)立信息主管部門實施具體的管理步驟。企業(yè)應(yīng)該制訂關(guān)于保證信息系統(tǒng)安全管理的標準。標準中應(yīng)該明確規(guī)定信息系統(tǒng)中各類用戶的職責(zé)和權(quán)限、必須嚴格遵守操作系統(tǒng)過程中的規(guī)范、信息安全事件的報告和處理流程、對保密信息進行嚴格存儲、系統(tǒng)的帳號及密碼管理、數(shù)據(jù)庫中信息管理、中心機房設(shè)備維護、檢查與評估信息安全工作等等信息安全的相關(guān)標準。而且在實際運用過程中不斷地總結(jié)及完善信息系統(tǒng)安全管理的標準。

　　相關(guān)部門應(yīng)該積極開展信息風(fēng)險評估工作。通過維護信息網(wǎng)的網(wǎng)絡(luò)基礎(chǔ)設(shè)施有拓撲、網(wǎng)絡(luò)設(shè)備和安全設(shè)備，對系統(tǒng)安全定期的進行評估工作，主動發(fā)現(xiàn)系統(tǒng)存在的安全問題。主要針對企業(yè)支撐的信息網(wǎng)和應(yīng)用IT系統(tǒng)資產(chǎn)進行全方位檢查，對管理存在的弱點進行技術(shù)識別。對于企業(yè)的信息安全現(xiàn)狀進行全面的評估，可以制作一張風(fēng)險視圖表現(xiàn)企業(yè)全面存在的問題。為安全建設(shè)提供指導(dǎo)方向和參考價值。為企業(yè)信息安全建設(shè)打下堅實的基礎(chǔ)。

　　最后，加強信息系統(tǒng)的運行管理�？梢酝ㄟ^以下措施進行:規(guī)范系統(tǒng)電子臺帳、設(shè)備的軟件及硬件配置管理、建立完善的設(shè)備以及相關(guān)的技術(shù)文檔。系統(tǒng)日常各項工作進行閉環(huán)管理，系統(tǒng)安裝、設(shè)備運營管理等。還要對用戶工作進行規(guī)范管理，分配足夠的資源和應(yīng)用權(quán)限。防御體系、實時檢測和數(shù)據(jù)恢復(fù)三方面都體現(xiàn)了技術(shù)因素，信息安全管理系統(tǒng)技術(shù)應(yīng)用于安全保障體系中。在建設(shè)和維護信息安全保障體系過程中，需要多方面，多角度的進行綜合考慮。采用分步實施，逐步實現(xiàn)的手法。在信息安全方面采取必要的技術(shù)手段，加強系統(tǒng)采取冗余的配置，提高系統(tǒng)的安全性。

　　對中心數(shù)據(jù)庫系統(tǒng)、核心交換機、數(shù)據(jù)中心的存儲系統(tǒng)、關(guān)鍵應(yīng)用系統(tǒng)服務(wù)器等。為了避免重要系統(tǒng)的單點故障可以采取雙機甚至群集的配置。另外，加強對網(wǎng)絡(luò)系統(tǒng)的管理。企業(yè)信息系統(tǒng)安全的核心內(nèi)容之一是網(wǎng)絡(luò)系統(tǒng)。同樣也是影響系統(tǒng)安全因素最多的環(huán)節(jié)。網(wǎng)絡(luò)系統(tǒng)的不安全給系統(tǒng)安全帶來風(fēng)險。接下來重點談網(wǎng)絡(luò)安全方面需要采取的技術(shù)手段。網(wǎng)絡(luò)安全的最基礎(chǔ)工作，是加強網(wǎng)絡(luò)的接入管理。

　　與公用網(wǎng)絡(luò)系統(tǒng)存在區(qū)別的是，企業(yè)在網(wǎng)絡(luò)系統(tǒng)中有專門的網(wǎng)絡(luò)，系統(tǒng)只準許規(guī)定的用戶接入，因此必須實現(xiàn)管理接入。在實際操作過程中，可以采取邊緣認證的方式。筆者在實際工作經(jīng)驗總結(jié)出公司的網(wǎng)絡(luò)系統(tǒng)是通過對網(wǎng)絡(luò)系統(tǒng)進行改造實現(xiàn)支持802.1X或MAC地址兩種安全認證的方式。不斷實現(xiàn)企業(yè)內(nèi)網(wǎng)絡(luò)系統(tǒng)的安全接入管理。網(wǎng)絡(luò)端口接入網(wǎng)絡(luò)系統(tǒng)時所有的工作站設(shè)備必須經(jīng)過安全認證，從而保證只有登記的、授權(quán)記錄在冊的設(shè)備才能介入企業(yè)的網(wǎng)絡(luò)系統(tǒng)，從而保證系統(tǒng)安全。根據(jù)物理分布可以利用VLAN技術(shù)及使用情況劃分系統(tǒng)子網(wǎng)。這樣的劃分有以下益處:首先，隔離了網(wǎng)絡(luò)廣播流量，整個系統(tǒng)避免被人為或者系統(tǒng)故障引起的網(wǎng)絡(luò)風(fēng)暴。其次是提高系統(tǒng)的管理性。通過劃分子網(wǎng)可以實現(xiàn)對不同子網(wǎng)采取不同安全策略，可以將故障縮小到最低范圍。根據(jù)一些應(yīng)用的需要實現(xiàn)某些應(yīng)用系統(tǒng)中的相對隔離。

　　2、結(jié)語

　　本文結(jié)合了筆者實際工作經(jīng)驗對企業(yè)信息系統(tǒng)的安全問題提出了系統(tǒng)性的思考，對長期存在相對動態(tài)的信息系統(tǒng)安全解決的方法進行探討�？梢杂靡痪湓掃M行概括總結(jié):系統(tǒng)安全六要素是組成的系統(tǒng)安全的必要因素。同時，抓好規(guī)范管理，實現(xiàn)信息系統(tǒng)的安全技術(shù)。

【探討企業(yè)信息安全困境】相關(guān)文章：

對企業(yè)信息安全困境的探微管理論文08-03

探討基層醫(yī)院藥學(xué)服務(wù)的困境與對策05-20

對面向服務(wù)的企業(yè)信息構(gòu)架探討09-25

企業(yè)信息資源開發(fā)與利用探討08-31

企業(yè)信息化模式的概念和意義探討07-03

企業(yè)信息安全管理的論文07-11

合同法第122條的適用困境探討09-21

高職院�，F(xiàn)代文學(xué)教育的困境探討論文10-09

山區(qū)鄉(xiāng)鎮(zhèn)衛(wèi)生院擺脫困境的探討06-05

電力企業(yè)信息安全論文10-07