序論:在您撰寫金融企業信息安全時���,參考他人的優秀作品可以開闊視野��,小編為您整理的7篇范文����,希望這些建議能夠激發您的創作熱情,引導您走向新的創作高度�����。
第1篇
關鍵詞:金融行業 計算機 信息安全 保障體系
隨著社會的不斷進步和發展�����,信息系統改變人們的生活方式�����,推動了整個社會的發展���,金融行業也不例外。信息化雖然給人們帶來了極大的便利�����,然而計算機信息技術的發展也存在潛在的信息安全問題��。在這一背景下,計算機網絡的開放性與金融信息的私密性又具有直接的矛盾���,金融行業信息安全形勢也不容樂觀���,加強金融行業計算機信息保護,構建更加安全可靠的金融信息安全保障體系顯得尤為重要�。
一���、金融行業計算機信息存在的風險
(一)計算機數據被攻擊竊取
計算機病毒和木馬依然是目前金融行業信息風險的主要因素�。計算機病毒和木馬在計算機程序中潛伏����,被激活后會對其他程序進行感染和破壞�,輕者造成數據毀壞、丟失����,嚴重者甚至可能使整個信息系統癱瘓�,是破壞計算機數據的一個主要因素,也是計算機面臨的一個主要安全問題����。一旦金融計算機數據傳輸系統被破壞��,就可能會導致數據被竊或者客戶資料泄露,甚至導致客戶資金或證券交易價值損失��。
(二)系統設計維護的缺陷
金融行業的各項信息系統設計不可能做到完美無缺�,任何一個系統都具有固有的缺陷�,這就為不法分子留下攻擊的漏洞,并且無效的安全管理也是造成安全隱患的重要因素����,將直接影響客戶和銀行的資金安全��。通常情況下,金融計算機系統都有管理人員對其進行監視��,若發現漏洞則應對其危險程度進行分析,并應積極采取相應措施進行補救。然而即使是維護過的系統����,在軟件更新或者升級后又可能會產生新的漏洞���,依然會危及金融系統的安全。
二�、金融行業計算機信息安全保障體系的構建
為了確保金融行業計算機信息安全體系的有效運行�����,就必須要構建一個安全��、有效的信息安全體系對其進行保護,從而在計算機技術內部形成有效的防火墻��,并加強系統的維護和管理,以預防和阻止由于非法入侵、攻擊����、盜用等造成的信息遺失安全問題。
(一)推進金融科技標準化體系
近幾年,標準化體系建設已經成為人民銀行科技主管部門的一項重要工作���,為金融行業信息技術發展的做出了行業規范��。在實際發展中,金融行業在計算機信息管理�,專業研發、維護和管理部門和人才等方面做了大量的工作。金融機構既建立計算機信息系統規劃、開發�、建設�����、維護等相關技術部門����,也設立風險管理部門和安全管理部門����。為了更好地推進金融科技標準化工作,各金融行業風險管理部門要加強對安全風險進行監視���,從組織監督檢查的角度��,由金融系統內部審計部門��,對其業務流程及系統運作情況進行安全監督檢查�����,及時將監視結果提供給其他相關部門�����;安全管理部門要加強對管理制度、法規���、安全細則等進行規定���,并通過監督����、指導���、管理等使制度得到落實,從信息安全管理層面使金融信息安全體系的防范級別得到切實提高。
(二)加強計算機信息數據的保護
金融行業服務業已進入大數據時代�����,要求數據存儲系統具有較高的可靠性�����,只有完善的數據存儲才能更好的保障其訪問和交易過程的順利進行。若系統出現故障��,可能會出現業務中斷����、客戶流失���,甚至資金鏈斷裂等等諸多問題����,會很多大程度影響客戶體驗和企業信譽度。金融行業不僅要開發適合本機構的金融產品和完整有效的信息系統��,更應該加強備用數據中心的建設����,強化減災容災能力����。這樣����,在數據中心無法繼續正常運行時,可以通過使用備用數據中心通道來維持系統的正常工作,從而更好的防范數據問題引起的服務事故��,為網絡信息安全保障體系建立強大的服務后盾��。
(三)積極跟進新型信息安全技術
計算機信息安全技術是維持信息安全體系的關鍵,合理運用安全機制,積極探索和采用新型信息安全技術�����,可以保障系統的順利運行和廣大人民的資金財產安全。一是要加強網絡訪問者身份認證。金融行業要采用靜態密碼認證����、動態密碼認證��、指紋識別��、數字證書以及其它新型認證方式�����,做好客戶身份認證工作�����,同時也要避免客戶相關隱私信息被盜用����。二是加強網絡病毒木馬的實時監測。堅持金融行業計算機網絡安全以防護為主的原則���,做好病毒防護系統升級工作�����,主動強化對病毒木馬進行實時監測,分析病毒木馬最新動態����,制定合理的防護機制和預警機制����,從而更好的 對其進行防范����;三是加強計算機信息系統軟硬件管理、維護和升級工作���。計算機信息系統的正常運行是以軟硬件設備為基礎的��,其安全性設計和優化配置對于保障系統信息安全都尤為重要����。在實際工作中既要積極解決信息系統安全設計��、生產��、測試、運營���、維護等方面的問題,提高系統設備安全性����,從而更好的保障計算機網絡安全策略的順利執行���,也要做好系統的更新和升級工作����,要把用戶體驗好,安全防護好各類新型金融信息產品投入運行����。
三��、結束語
在信息化愈加普及的今天,金融機構更應重視計算機信息安全系統的構建�����,不僅要加強對信息資源的保護�����,同時還要建立完善����、可靠的金融信息安全體系�,以安全技術以及防護手段作為安全體系構建的支撐��,確保信息體系的安全運行和實施�����,保障監視、評審信息安全��,從而切實保障客戶的個人信息安全,最終才能不斷推動推動金融業的快速發展�。
參考文獻:
[1]韋雪江.我國金融行業計算機信息安全形勢分析和研究[J].計算機光盤軟件與應用�,2013
第2篇
【 關鍵詞 】 信息安全;安全治理�;框架;風險管理
1 引言
隨著企業的信息化建設�����,企業信息系統在縱、橫向的耦合程度日益加深�����,系統間的聯系也日益緊密,因此企業的信息安全影響著企業信息系統的安全���、持續���、可靠和穩定運行��。此外��,美國明尼蘇達大學Bush-Kugel的研究報告指出企業在沒有信息資料可用的情況下,金融業至多只能運作2天�����,商業則為3天���,工業則為5天。而從經濟情況來看��,25%的企業由于數據損毀可能隨即破產,40%會在兩年內破產�,而僅有7%不到的企業在5年后繼續存活。伴隨著監管機構對信息安全日趨嚴格的要求�����,企業對信息安全的關注逐漸提高���,并對信息安全投入的資源不斷增加,從而使得信息安全越來越為公司高級管理層所關注��。
2 信息安全問題
目前企業信息安全問題主要包括幾個方面����。
(1)信息質量底下:無用信息、有害信息或劣質信息滲透到企業信息資源中����, 對信息資源的收集�����、開發和利用造成干擾�����。
(2)信息泄漏:網絡信息泄漏和操作泄漏是目前企業普遍存在的信息安全困擾�。網絡信息泄漏是信息在獲取�、存儲����、使用或傳播的時候被其他人非法取得的過程。而操作泄漏則是由于不正當操作或者未經授權的訪問、蓄意攻擊等行為,從而使企業信息泄漏����。
(3)信息破壞:指內部員工或者外部人員制造和傳播惡意程序��, 破壞計算機內所存儲的信息和程序�����, 甚至破壞計算機硬件��。
(4)信息侵權:指對信息產權的侵犯?�,F代信息技術的發展和應用, 導致了信息載體的變化�、信息內容的擴展���、信息傳遞方式的增加�����, 一方面實現了信息的全球共享��, 但同時也帶來了知識產權難以解決的糾紛。
3 信息安全治理的困惑
基于信息安全的重要性,企業在信息安全治理方面投入了諸多資源�����,但是在信息安全治理成效方面仍不盡如人意��,主要問題在于幾個方面�����。
(1)信息安全治理的范圍不明確:目前企業都在盡力實現良好的信息安全治理,但是由于無法正確理解信息安全治理和信息安全管理的區別����,導致了信息安全治理無法與企業的安全規劃和企業戰略形成一致性��。表1從工作內容��、執行主體和技術深度三個層面分析了兩者的區別�。
從表1中可以明確:信息安全治理是為組織機構的信息安全定義一個戰略性的框架����,指明了具體安全管理工作的目標和權責范圍,使信息系統安全專業人員能夠準確地按照企業高層管理人員的要求開展工作�����。
(2)企業信息安全治理路徑的錯誤理解:企業在信息安全治理的過程中���,最常用的手法是采用信息安全的技術措施,如使用加密和防偽技術�、認證技術����、防病毒技術、防火墻技術等方式來進行���,但是往往企業投入很多�,卻沒有達到預想的效果,問題在于��,信息安全治理并不單單是技術問題�,信息安全治理也包含了安全戰略�����、風險管理�、績效評估����、層級報告以及職責明確等方面�。
4 信息安全治理關注的領域
(1)戰略一致性:信息安全治理需與企業的發展戰略和業務戰略相一致,建立相互協作的解決方案���。
(2)價值交付:衡量信息安全治理價值交付的基準是信息安全戰略能否按時���、按質并在預算內實現預期的價值目標��。因此需要設計明確的價值目標����,對信息安全治理的交付價值進行評估����。
(3)資源管理:實現對支持信息運行的關鍵資源進行最優化投資和最佳管理�。
(4)風險管理:企業管理層應具備足夠的風險意識�,明確企業風險容忍度,制定風險管理策略����,將風險管理融入到企業的日常運營中�����。
(5)績效度量:利用科學的管理方法��,將信息安全治理轉換為可評價的目標的行動��,便于對信息安全各項工作的績效進行有效管理��。
5 信息安全治理框架
通過良好的信息安全治理���, 可以保護企業的信息資產�����,避免遭受各種威脅,降低對企業之傷害����,確保企業的永續經營����,以及提升企業投資回報率及競爭優勢���。
通過長期的實踐經驗以及結合COBIT標準和GB/T 22080-2008����,總結出信息安全治理的框架主要由四部分組成���,如圖1所示�。
(1)信息安全戰略:結合企業的整體信息技術戰略規劃和信息安全治理現狀�,制定信息安全戰略�。
(2)信息安全組織架構:根據企業層面在決策�、管理和執行機制對組織結構的要求�����,建立信息安全治理框架和決策溝通機制�����,明確公司各級管理層及相關部門在信息安全組織架構中的工作職責與角色定位。
(3)信息安全職責:根據公司信息安全組織架構����,進一步明確信息安全相關崗位的工作職責�����、分工界面和匯報路徑等。
(4)信息安全管理制度:信息安全管理制度通過建立一個層次化的制度體系����,針對不同的需求方(管理者����、執行者、檢查者等)從政策�、制度��、流程��、規范和記錄等方面進行信息安全活動相關的規定����,實現信息安全的功能和管理目標����。
6 信息安全治理評估
企業信息安全治理評估有助于提高信息安全治理投資的效益和效果���。企業的最高管理層和管理執行層可以使用信息安全治理成熟度模型建立企業的安全治理級別��。該模型,如表2所示�����,被應用為幾個方面���。
(1)在市場環境中���,相對于國際信息安全治理標準�、行業最佳實踐,以及直接競爭對手�,了解企業在信息安全治理上的級別。
(2)進行差距分析���,為改進措施提供明確的路徑�����。
(3)了解企業的競爭優勢和劣勢���。
(4)有利于對信息安全治理進行績效評估�����。
7 結束語
本文從企業信息安全治理的實踐出發����,概述了目前企業信息安全治理存在的問題和困惑��,總結了企業實現有效的信息治理的關注領域和實施內容����,為企業建立良好的信息安全治理提供了基本框架��。
參考文獻
[1] 馬峰輝,劉壽強.企業信息安全治理的經濟性探析.計算機安全�,2003:70-71.
[2] 婁策群���,范昊,王菲.現代信息技術環境中的信息安全問題及其對策.中國圖書館學報����,2000(11):33-37.
[3] 劉金鎖�����,李筱煒,楊維永.企業實現有效的信息安全治理之路.中國管理信息化����,2012(11):37-39.
[4] 黃華軍��,錢亮�����,王耀鈞.基于異常特征的釣魚網站URL檢測技術[J].信息網絡安全����,2012��,(01):23-25.
[5] 黃世中.GF(2m)域SM2算法的實現與優化[J].信息網絡安全����,2012���,(01):36-39.
第3篇
[摘要] 隨著經濟全球化進程的加快��,企業信息安全將成為企業面臨到的一個主要問題,加強信息安全管理也已成為時代的召喚���。本文介紹了企業信息安全�,以及石油石化企業信息化建設�,分析了信息安全對石油石化企業的意義以及應對策略。
[關鍵詞] 信息安全;信息化建設�;安全策略
在經濟全球化的今天��,企業相關人員對信息安全越來越關注��。雖然企業采取了很多與員工簽訂保密協議,建立防火墻���,以及安全管理中心等措施,但還是發生了像天涯社區、新浪等泄露用戶密碼��、個人信息的安全事件�。企業提高計算機與信息管理的水平可以防范由信息安全所造成的各項損失��,完善企業信息安全管理體系是很多企業都會面臨到的一個主要問題,而作為我國國民經濟支柱產業的石油石化企業更應該加強信息安全的管理��。
一、企業信息安全定義
近年來�����,經濟全球化呈現加速發展的趨勢�,越來越多的發展中國家融入到經濟全球化的大潮之中�。世界政治�、經濟形勢的深刻變化使國家安全的內涵出現了新的變化���,國家經濟利益和國家經濟競爭力隨即上升至國家安全的優先位置�,國家經濟安全開始成為國家安全的核心�����。跨國并購是經濟全球化時代的重要特��,尤其是近幾年來,經濟全球化的日益發展使資本的全球擴張進一步加強,企業兼并活動達到有史以來的最高峰�。在各跨國企業擴大占有其他國家市場、資源和技術時����,往往使被收購企業所在國受到很大沖擊�,甚至威脅到他國的經濟安全�����。
企業信息安全是一個復雜的、多維的動態體系�����,受到諸多外界因素的影響,因而需要從系統的高度進行綜合性的概括��。企業信息安全有兩種解釋:一種是從具體的信息安全技術系統的角度著手,來管理企業信息�,提高安全性�;另一種是建立某些被指定的安全信息體系����,例如:銀行指揮系統等���,從而加強企業信息的安全�。企業信息安全的基礎內容主要有:實體和運行�����,以及信息資產與人員安全���。實體安全也是指硬件安全,既保護計算機網絡硬件和存儲媒體的安全����,又防止計算機硬件����、設備等因濕度過大�、溫度過高、摩擦等因素而出現的物理損壞�����。同時,維護硬件運行環境的穩定也是實體安全的范疇�。運行安全是保障信息處理過程的安全運行,避免出現程序性故障���、死機等現象�����,保障系統功能的安全。信息資產安全則是確保信息的控制權在企業本身手里����,不被惡意篡改或破壞����,不被非法操作�����、誤操作���、復制���,功能穩定等��。人員安全主要是指信息系統使用人員能夠有明確保護信息安全的意識�,遵紀守法�����,擁有保障企業相關信息安全的技能和能力。
二�����、石油石化企業的信息化建設
在國際金融危機的沖擊下,我國石油石化企業受到種種壓力��,但同時也遇到不少發展的機遇。金融危機背景下����,提升企業競爭能力和抗風險能力更顯得重要�,石化企業需堅持并加強信息化應用��,不斷地深化和優化應用����。
石油石化企業是我國最早開展信息化建設的行業之一。經過多年的建設����,加之逐年增加投入,石化行業整體信息化應用水平在不斷提高�����,并取得了較高的成績���。據中國石油和化學工業協會調研顯示���,勘探與生產技術數據管理系統、管道生產管理系統、ERP系統等目前在大部分石油石化企業中得到應用并發揮了重要作用�����,集成與深化應用已經成為石油石化企業信息化建設的主流�����。在當前國際金融危機沖擊之下,信息化在優化資源配置����、強化過程管控�����、支持管理創新、提高經營管理水平和勞動生產率等方面的支撐作用越來越顯著�。
三��、石油石化企業信息安全的意義
石油石化企業在國民經濟中扮演者重要的角色�,是其重要的支柱產業,擔負著保障國家油氣供應安全的重要責任����。國家形象、安全及國民經濟也可能要受石油石化企業安全的影響。近幾十年石油石化企業的發展主要得益于信息技術的發展�。石油石化企業運營絕大多數工序����,從地震����、鉆井到化工作業��、生產工藝�����,甚至是管理手段�、戰略決策等都是依靠信息系統來實現的����。信息系統一旦癱瘓����,企業的運營就要中斷��。
前不久����,互聯網一度讓人望而卻步,CSDN��、天涯���、新浪�����、京東商城����、網易公司、支付寶等互聯網公司以及多家銀行深陷“泄密門”����。這使得本來就對互聯網不放心的廣大消費者更加遠離了網絡購物,一些網絡消費者也紛紛降低了購物頻率��。
四���、中海油的企業信息安全策略
信息化是中海油科學管理的重要手段��,也是企業的核心競爭力之一���。多年來中海油一直堅持業務驅動應用�����,技術引領創新���,著力打造數字海油����,加強工業化與信息化的融合���,提升中海油信息化水平。多年來建設了MPLS云網絡,實現了物理統一��、邏輯共享的網絡鏈路���;構建了以LotusNotes為基礎的OA辦公平臺;打造了以SAP為核心的ERP系統平臺���;建設了勘探��、開發����、生產�����、鉆完井等生產管理信息系統和Scada���、DCS、MES生產信息管理系統��。這些系統的建立為提高石油的產量�,加速企業的運行效率奠定了基礎��,使得中海油各生產運行業務系統建設穩步推進,實現了整體項目生產數據的完整�����、有序化管理�,便于生產經營決策�。
隨著國際化的進程��,中海油和國外公司的合作聯系越來越密切��,如果不加強信息安全,輕則出現宕機����、數據缺失、系統停止服務等信息服務事件,重則會影響我國的石油產業和我國的國民經濟�。目前在對網絡安全方面主要從以下幾點展開的:
(1)物理安全風險
在物理安全方面�����,企業建立合格的機房環境,設置合理的網絡構架,購置高性能的硬件設施����,同時安裝高效的、實時的預警系統等�����。在這些系統的和人員管理的情況下��,防止設備因水災�、火災���、系統故障等導致的計算機硬件方面的安全問題。
(2)網絡管理體系方面的安全
加強網絡管理體系����,可以減少企業中責權不明����、管理混亂等方面的安全隱患���,提高員工的安全意識。同時��,還可以及時發現一些外來的網絡攻擊和惡意的破壞。對內部終端進行管理���,通過流量限制計算機上傳下載速度也是有效的網絡管理體系的一部分。
(3)網絡拓撲結構的風險
拓撲結構形象的描述了企業網絡的組織結構以及各個元件之間的相互關系,對企業的網絡安全系統有著重要的影響力����。假如外部和內部進行聯系�����,內部網絡系統受到威脅�,就會通過這個網絡拓撲結構一層一層的影響其他的系統���,進而可能使整個網路拓撲結構癱瘓,影響企業的正常運行���。
同時,面對日益高速化發展的今天���,工作人員容易受到外界的蠱惑�����,因此企業應該加強對企業人員網絡安全維護的教育����,提高人員安全性。
五����、技術展望
云計算的發展為未來企業網絡安全提供了又一個技術平臺。云計算是通過網絡把成千上萬的計算機硬件資源和軟件資源聚合成一個具有強大計算能力的系統�,并借助各種服務模式把強大的計算能力提供給終端用戶���,使人們能夠像使用電�����、水那樣使用信息資源。
在經濟全球化的今天��,企業相關人員對信息安全越來越關注����。雖然企業采取了很多與員工簽訂保密協議,建立防火墻����,以及安全管理中心等措施�,但還是發生了像天涯社區����、新浪等泄露用戶密碼��、個人信息的安全事件���。云技術網頁威脅管理部署和操作簡單,不僅有效且高效的防護�,而且支持遠程辦公室和移動工作���,“網絡效應”和“眾包”的作用更是提高了信息的安全性��,因此特別適合分布式企業�。而大型企業則需要一種集中化的管理和分布式���、以云端為中心的智能���、緊密集成等于一體的網絡威脅管理構架,才能滿足其龐大的網絡拓撲架構的安全需要��,改善遠程工作者的安全性���,提供全局可見性和控制能力�����,創建一個云遷移路徑��。
綜上所述,中海油信息化的建設大幅提升了生產運行效率和精細化管理水平����,達到了國際化先進水平�����,為中海油在國際的長遠發展提供了堅實的基礎����。面對經濟的全球化�,各行各業�����,每一個企業都要建立健全����、不斷完善信息安全管理工作�,提升企業信息安全管理水平。
參考文獻
[1] 張帆;企業信息安全威脅分析與安全策略[J];網絡安全技術與應用,2007,(05)
第4篇
【 關鍵詞 】 企業信息����;信息安全�����;風險管理;框架探究
1 引言
人類社會在不斷發展���,信息化逐漸融入人們生活����。信息資源對于現代企業來講,是每時每刻都存在的運轉載體����,各種重要數據、企業的知識產權等這些都是企業的內部信息�,除這些信息外���,其他相關方面的數據也被企業所利用����,例如合作伙伴��、客戶���、員工等資料�����,尤其是一些服務性企業���,比如網商、快遞公司����、金融公司、通信公司���、航空公司等���,這些企業更需要以信息系統作為支撐���,信息資源成為企業不可或缺的重要組成部分。
2 新形勢下我國信息安全面臨的問題
2.1 風險意識在主觀上的淡薄
在我國信息安全上面���,思想認識面臨高風險的形勢,大部分企業的管理高層對信息資產的認識嚴重不足��。或者局限在IT的安全方面���,沒有合理的安全觀念引導企業在信息安全管理方面的工作。信息安全管理制度的完整性缺乏,規范安全風險和安全法律法規對員工的培訓缺乏���,很多信息安全事故的發生都是因為安全意識的薄弱造成的。
2.2 缺乏信息安全管理系統的思想
大部分企業仍是將傳統的管理方法用在安全管理模式中,這種出現問題再去想彌補的方法是靜態的管理,不能在提前進行信息安全風險評估上做更有效的信息系統管理�����。
2.3 信息安全不僅僅是技術部門的事
多數企業認為信息安全的責任和義務都是IT部門的,造成信息技術部門無法和企業內部其他部門互動��,進而形成孤立的局面。但是����,信息安全的實現需要各個部門的全員行動���,特別是規范標準以及規章制度的貫徹落實,更牽涉到企業的每一名員工���,全員行動的要求更是不能缺少�。
2.4 存在重視安全技術而輕視安全管理的情況
現今為止��,仍有很多企業僅僅依賴產品安全���,認為信息安全就是信息產品安全����。一般企業現在都會采用計算機和網絡技術來構建企業的信息系統�����,但是沒有把相應的管理措施開展到位。信息安全問題應該加強做好管理工作����,不能單從技術方面著手�。
2.5 現代管理手段與理論欠缺
日益龐大的現代化信息規模與越來越復雜的網絡結構���,讓現有的風險管理手段和理論都不足以讓企業信息安全得到完全的滿足���,企業應該結合實際情況和需要,把國際上優異的信息安全風險管理理論以及先進的最佳實踐用作指導���,以此達到信息安全的目的���。
3 企業信息安全風險管理的框架探究
企業信息安全風險管理的框架包括兩個部分�,一是企業信息安全風險管理的過程���,二是企業信息安全風險管理的實施�����。其中��,實施是過程的保障��,整合各種資源要通過實施才能達到;過程是實施的前提,對過程的清楚有利于建立企業信息安全風險管理的統一理解���,以此逐漸實現信息安全風險管理。企業信息安全風險管理包括風險分析�、風險計劃�����、風險識別���、風險監督、計劃實施���、風險改進六個動態過程��。
信息安全風險管理是動態���、持續性過程,信息安全通過潛在的風險識別���、分析�,同時進行計劃�、實施����、監督����、改善�,然后再進入到下一個循環里���,通過持續不斷的循環活動進行有計劃���、持續的控制��,不斷改進。
參照戴明的PDCA質量管理模式�,把安全項目實施劃分為四個階段,分別是準備和策劃��、執行和部署�����、監控和檢查、評價和改進�����,實施階段有幾個工作步驟:(1)準備和策劃工作階段�����,首先調研信息安全風險管理現狀�����,接著進行風險評估��,然后編制信息安全風險管理方案;(2)執行和部署工作階段,進行部署安排��,按計劃執行��,接著進行安全培訓;(3)監控和檢查工作階段��,做好企業安全現狀檢查�,預測未來的變化;(4)評價和改進工作階段��,制定改善措施����,響應緊急事件。
4 企業信息安全風險管理的實施
在風險管理中人���、過程���、基礎結構和實施是四大影響風險管理能力的關鍵因素,企業的信息安全風險管理能力同時也受著這四個因素制約����,所以企業信息安全管理中十分重要的就是人通過各類資源和企業基礎結構達到信息安全風險管理過程的實施活動�。
企業在開始嘗試安全風險管理實施之前����,很重要的一點是應該檢驗現有安全風險管理的完善度。假如企業在安全風險管理上沒有規范的流程和正式的策略�,就會出現框架的實施非常艱難�。換句話說讓企業有一些正式的策略和明確的指導�,將避免大多數員工都在工作中不知所措�����。假如在安全風險管理上發現企業相對不夠成熟��,則可以采取試點的形式,把安全風險管理實施到單個業務單元中���,直到通過試運行在框架中顯示有效以后��,再考慮將其他業務單元導入至整個企業框架中���。
框架實踐需要以最優實踐的經驗為基準�,必須有利于企業確定安全現狀����,同時按照需要的安全方向進行改進�����,企業的安全風險管理能力通過不斷的提高�,就能逐漸努力向著安全的目標前進。
5 結束語
進入信息化時代���,企業已經把信息系統的高效���、互聯�����、精確的特征當作賴以生存和發展的必要條件�����。因此所伴隨產生的信息安全風險就成了企業關注的重點問題�。在此情況之下��,企業建立信息安全風險管理機制���,利用科學的方法和手段控制各種風險的發生顯得尤為重要����。動態循環是企業信息安全風險管理的一個過程�����,在風險評估的前提下,要落實對風險控制措施��。同時對過程的實施要進行有效的控制和監督,這就需要一個明確清晰并且具有可操作性的信息安全風險框架來指導����。還有需要探究的工作在信息安全風險管理領域里,但愿本文能引來更多這一領域探究���,從而做出保障企業信息安全的貢獻。
參考文獻
[1] 陳慧勤.企業信息安全風險管理的框架研究[J].2011,21(40):42-46.
[2] 惠志斌.企業IT風險管理的體系構建與實現路徑[J].科技管理研究���,2014,34(2):36-55.
[3] 葉銘.企業動態信息安全風險控制系統的研究[J].2012��,08(11):81-85.
第5篇
[關鍵詞] 網絡環境; 現代企業��; 信息安全���; 問題����; 對策
[中圖分類號] F208 [文獻標識碼] A [文章編號] 1673 - 0194(2013)04- 0084- 02
現代企業的信息安全是指在管理上和技術上對數據處理系統進行安全的保護,使計算機的軟件�、硬件����、保密數據等不會遭到破壞、更改�����、泄露�。通過對企業信息安全的管理���,能夠保護企業信息的機密性和完整性�,保護企業的生產運營安全���,是企業發展的必不可少的環節����。
1 網絡環境下現代企業信息安全存在的問題
1.1 人為因素造成的安全問題
現代企業之間的競爭十分激烈�����,企業管理者把精神都集中在企業的生產和經營上,對計算機的管理不夠重視�,加上網絡屬于新生事物的一種,人們會利用網絡進行娛樂活動��,卻忽視了網絡的安全性�,缺乏網絡安全意識���,企業員工在工作時間利用網絡進行娛樂活動的行為十分普遍,由于自身的安全意識匱乏�,不但浪費了企業的網絡資源,也加大了病毒侵害的可能性�����,威脅了企業的信息安全��。企業信息安全的管理需要管理部門重視起來,現實中���,企業對信息安全的管理投入很少,安全防范做得不好���,管理者對信息安全管理的認識不足����,下面的員工安全意識也淡薄���,規章制度不完善,信息安全管理無據可依���,管理者也沒有對信息安全進行有效的監督���,沒有在第一時間發現網絡存在的問題����,甚至在網絡不能正常運行了才去解決問題��,給公司發展帶來不利影響��。
1.2 網絡技術自身存在的安全問題
隨著網絡技術的發展����,各種軟件也不斷更新換代�����,現在Windows 7正在大規模地進軍國內市場,微軟不斷推出新的產品��,各種操作系統的漏洞也一直存在,為病毒的滋生提供了機會��,很多網絡軟件存在后門���,這些后門原本是編程人員為了軟件的擴展和維護設置的,如果被不法分子發現�����,對公司的信息安全有很大的威脅��。計算機犯罪中最典型的就是黑客的攻擊����,黑客攻擊也分為主動攻擊和被動攻擊兩種��,主動攻擊直接為企業的信息完整性��、機密性造成破壞��,被動攻擊雖然能夠保證公司電腦的正常運行�����,但企業的重要信息可能會被截獲����、竊取�����,都嚴重影響了企業信息安全�����。
1.3 設備環境造成的安全問題
從網絡環境來說����,外部環境對企業信息安全也構成威脅���,企業的計算機房的位置不能是隨便設置的���,需要有一定的安全技術要求。網絡的線纜等通信設施容易被人為破壞��,或者受到自然環境如地震、雷雨、電磁場等環境的影響發生破壞�,并且自然環境的影響是不可預測的�,一旦出現問題�,會給企業的信息造成直接的破壞��,影響信息的完整性�����。計算機的硬盤、內存的運行狀況也應該得到管理人員的注意,計算機設備的防盜等都是問題��,企業員工在工作過程中往往會拷數據回家��,或者加班后在用U盤等移動設備把資料拷貝到公司電腦中,增加了企業計算機中毒的危險�。
2 解決企業信息安全問題的對策研究
2.1 重視信息安全管理�,加強制度建設
首先�����,企業管理者應該認識到企業信息安全的重要性����,認識到網絡保護的重要性,提高信息安全意識����,這樣才能加強制度建設�,做好信息安全管理與監督工作�����。計算機房是重要場所��,它的設置也需要一定的隱蔽性���,一般不要設置在公司一樓。企業應該建立和完善信息安全管理制度,幫助員工樹立信息安全意識�,明確信息安全保護的對象和目標�,保證各項管理制度的落實執行��,制訂明確科學的操作流程�,規范員工的日常操作行為,制訂應急預案和網絡維護制度,計算機管理人員應該每天對計算機系統進行檢查或者更新�����,及時發現網絡運行中出現的問題�,防止病毒的產生���,在發生問題后把損失降到最低����。
2.2 加強企業信息安全的網絡技術控制
依靠網絡技術來保護現代企業信息安全是十分有效的方式��,網絡技術手段主要有防火墻��、信息加密與認證���、病毒防控、數據備份等方式�����。防火墻是網絡技術中保護信息安全最重要的技術之一�����,它通過設置屏障阻止黑客的訪問�����,能夠有效防止病毒的侵入�����,企業應該按照質量可靠的防火墻,并時刻關注防火墻的問題與升級情況�。直接對企業信息進行加密也是有效的方法之一�����,企業可以設置專門的訪問密碼��,僅供本公司員工使用,或者每個員工都有自己的上網編號���,輸入之后才能訪問公司網絡�����,公司也可以根據瀏覽記錄查看哪些員工上網��,能夠有效防止企業人員泄密行為��,對重要文件采取多種加密措施�。企業應該注意對防病毒軟件的更新換代���,提高防毒�、殺毒的效率,保證系統的安全�����。電腦一旦中毒�����,一些文件就可能丟失或者被更改��,企業需要對重要文件進行備份,這樣在發生中毒之后能夠將損失降到最低�。
2.3 加強法制建設�,運用法律武器保護企業信息安全
現代企業的信息安全應該受到法律的保護��,公司的機密文件關系到公司的生死存亡���,關系到社會公平競爭,關系到個人隱私���,應該受到法律的保護�。國家應該完善企業信息安全的法律法規,為企業保護自己的權益提供法律武器���,企業也應該具有法律意識���,在公司的信息惡意遭到破壞和侵害時����,不是采用同樣的方法對待競爭企業,而是應該拿起法律武器保護自己����,用國家法律來抵制侵犯���,保護自己企業的信息安全與完整���。
3 結 語
網絡的發展是一把雙刃劍,在給社會進步和發展帶來巨大益處的同時,也帶來了一些負面影響�,企業應該辯證對待網絡時代的發展���,充分利用網絡環境帶來了優勢����,通過技術手段創新�����、管理加強�、法律法規的完善等措施來保護企業信息安全,為企業的發展創造安全的環境�。
主要參考文獻
[1] 薛偉蓮. 保證信息與網絡安全的網絡倫理規范體系的構建[J]. 網絡與信息�����,2010(11).
[2] 費宏偉. 保證電算化時代會計信息安全的幾點思考[J]. 東西南北·教育觀察�����,2010(11).
[3] 張紅�,金永利�����,邱大成. 網絡環境下會計信息安全的技術控制措施[J]. 中國高新技術企業�����,2009(10).
第6篇
建立金融信息安防體系刻不容緩
“互聯網+金融”成為傳統金融行業轉型“觸電”的新模式�,新形式下的數據安全狀況變得越發嚴重��,金融行業已經淪為數據泄密的重災區,再次給人們敲響數據安全的警鐘����,其中直接由于純粹是信息安全技術缺失所導致的風險案例不勝枚舉�。麥肯錫公司在其的《中國銀行業創新系列報告》中指出����,2015年年底����,中國互聯網金融的市場規模達到12萬-15萬億元��,占GDP的近20%�?��;ヂ摼W金融用戶人數已經超過5億���,這樣龐大的用戶群和涉及面,如果信息安全事件愈演愈烈甚至失控,將會對國家和社會造成不可估量的損失���,互聯網金融信息安全已經刻不容緩。
目前���,金融企業內部IT系統更為復雜化���,外包合作使內部風險管理更加復雜,BYOD(攜帶自己的設備辦公)使企業信息資產無處不在�����,大數據使核心資產淹沒在之中難以識別����,云計算打破了傳統的網絡邊界防護。李晨指出���,企業安全威脅也在逐漸升級,正在從以蠕蟲病毒�����、拒絕服務攻擊���、溢出類漏洞攻擊、注入等Web攻擊為主的傳統威脅升級到以0Day攻擊�����、多態及變形等逃避技術�����、多階段組合攻擊、有組織的定向攻擊為主要手段的新一代威脅��,企業安全運維面臨更多的新的挑戰�����。與會專家再次呼吁����,建立金融信息安全防御體系刻不容緩���。
綠盟科技智慧安全2.0戰略應運而生
信息安全行業專家綠盟科技積極應對,幫助銀行�����、保險等各類企業實現變革�,助力金融智能安全運營防線的構建���,綠盟科技智慧安全2.0戰略應運而生�。
綠盟科技智慧安全2.0戰略是一個企業整體運營的升級換代過程���,它幫助企業安全防護真正做到智能、敏捷和可運營���。該方案包含綠盟云、安全態勢感知解決方案�����、云計算安全解決方案以及下一代威脅防御解決方案�。李晨表示,態勢感知使安全耳聰目明�����、軟件定位給安全運維帶來敏捷應變、縱深防御帶來彈性和生存能力�����。它緊緊圍繞用戶需求���,大力提升線上也就是云中的安全能力,打通技術���、產品和服務�����、解決方案����、交付運營等各個環節���,構建真正的智能安全防御系統。
同時�,綠盟科技可協助客戶建立企業安全應急響應中心(SRC),幫助企業建立和維護自主可控的自有業務漏洞收集平臺�����,從而避免漏洞在第三方平臺上暴露。通過SRC的運維數據積累�,企業建立貼合自有業務的漏洞知識庫來提升安全團隊技術能力����,并且通過SRC可與白帽子直接建立長期的信任互贏關系���,幫助企業更從容地面對安全威脅���。
數據安全歷來是企業信息安全工作的“最高使命”�����。綠盟科技適時推出了數據泄露防護系統���,基于數據存在的三種形態(存儲����、使用、傳輸)���,對數據生命周期中的各種泄密途徑進行全方位的監查和防護�����,保證了敏感數據泄露行為事前能被發現�����,事中能被攔截和監查,事后能被追溯。
第7篇
關鍵詞:中小企業;信息安全;問題;措施
信息安全主要指的是在網絡中承擔信息存儲的硬件或者軟件能夠在受到外界認為破壞����、修改的情況下長期穩定地運行���,保證整個系統的信息服務不中斷���。在當前網絡高度發達的今天,良好穩定的信息安全體系是保障我國企業信息安全的重要保障�����,企業中的信息安全包含了計算機操作系統、網絡傳輸協議�、安全防護等級以及各類認證和簽名等安全保障組件��,如下圖所示:
圖1 中小企業信息安全結構
在整個安全體系中���,一旦有某一個組件發生了信息安全問題�����,那么整個信息安全系統乃至整個企業的信息安全都有可能受到安全威脅����。
一���、我國中小企業信息安全存在的問題
1.信息安全風險大
當前我國的中小企業普遍已經開始認識到信息安全的重要性,但是在思想上還沒有對企業的信息安全管理形成足夠重要的認識����,當前我國的多數中小企業管理人員在日常的工作中仍然沿襲傳統的管理方式,并沒有進行變革和創新���,因此在信息化普遍應用的今天,仍然是一種信息化的表面現象,在信息安全意識沒有深入根植的今天���,多數的中小企業信息安全工作只是停留在表面���。
2.專業人才缺乏
我國的中小企業在信息安全方面的人才一般都比較缺乏�����,信息安全工作的不重視使得企業管理人員不愿意花過多的資金在安全保障上,畢竟安全不能夠直接產生經濟效益�,因此在這樣的情況下,企業的信息化工作很難得到發展����,主要體現在沒有專業化的信息安全保障團隊�����,即使有了專門的工作人員,也不能夠在技術上達到足夠專業的程度��,管理人員和技術人員互相都不能夠溝通和兼顧�����,
3.安全資金不足
在信息安全方面,由于我國的中小企業管理者普遍不夠重視���,因此也就很難投入大量的資金�����,信息化工作是一項注重系統化的工作��,無論是硬件系統還是軟件系統的建設維護都需要大量的資金投入�,因此離開了足夠的資金支持信息安全工作也就無法保證����。加上我國中小企業普遍競爭激烈,用于安全的資金十分有限�,依靠外部融資的話又沒有足夠的信用進行借貸�����,加上借貸的風險也十分龐大���,大多數的銀行或金融機構都不愿意將資金用在信息安全上����。
二���、我國中小企業信息安全問題的解決對策
1.強化安全風險意識
我國的中小企業,首先就需要從思想上認識到安全也是重要工作這樣一種思想�����,只有了解以后才能夠根據當前的問題進行針對性解決�����。信息安全系統的建設并不是所有的安全工作都到位����,還需要根據企業的實際情況建立合適的安全策略�����,并在意識上強化工作人員的安全防范思想�,將安全擺在重要的位置上,也就是說企業的信息安全工作需要企業管理人員的大力支持����,還需要適合企業自身的安全防范方案�����,只有在管理層思想上和執行層的行動上同時做到位,企業的整體信息安全工作才能夠真正有效保障企業的安全�。
2.建設合理安全策略
在安全策略的選擇上,無論企業選擇了哪一種方案�����,企業的用戶都要了解安全解決方案只能夠是企業信息安全工作的一部分���,甚至只是基礎性的工作,企業不能夠過度依賴安全工具的使用�����,而疏于防范人的因素��,這是由于當前的安全事件統計來看�,我國的中小企業在信息安全問題上出現最多的就是人為的安全事件�,因此企業的管理者必須要針對內部控制建立有效的內部安全策略��,保證企業的每一個員工都能夠準確執行自身的工作任務�。
值得注意的是���,近些年來企業的網絡信息交流工具越來越多例如Skype、BT等等���,怎樣對這些數據傳輸工具進行管理對于信息安全工作來說是十分重要的���,雖然這些信息安全管理會在一定程度上影響到企業的網絡質量�����,但是這些都是目前中小企業無法擺脫的應用工具�����,因此針對這樣的現象我國的中小企業需要進行細分化的處理方式,例如讓企業用戶使用帶有IPS的協議分析過濾功能的交換機�,在一定安全限制的條件下進行網絡數據傳輸應用。
3.信息安全外包建設
許多中小企業在自身信息安全建設的過程中�,由于經驗不足或者專業知識的缺乏無法獨立完成建設,因此會在建設過程中帶來大量資金的浪費��,還有軟硬件的升級上也需要后期的大量資金投入���,加上建設工作需要消耗大量的人力資源����,信息中心的網絡維護工作和安全管理人員����,這些都是不可避免地投入���。
三、總結
總的來說,當前我國中小企業的信息安全建設工作主要集中在自身安全策略以及解決方案上����,目前隨著時間的發展��,中小企業的信息安全漏洞會越來越多���,問題也會越來越加劇,但是我國的中小企業已經正在開始意識到該問題�,將越來越多的資金投入在信息安全建設上�����,并通過外包的方式使用性價比較高的解決方案�����,只有用專業的信息安全建設在自身的管理運營中,中小企業才能夠真正在市場競爭中處于優勢地位����。
參考文獻:
[1]林山.中小企業信息安全問題及解決方案[D].重慶大學,2007.
[2]佚名.中小企業您的信息安全嗎��?[J].網絡與信息�����,2002,(1).
[3]陳俊豪.淺析中小企業電子商務中的信息安全問題[J].中國商貿�����,2010��,(25).
