企业信息安全要求
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇企业信息安全要求范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
企业信息安全要求范文第1篇
在进行信息安全总体架构规划时,企业容易陷入两个误区: 一是罗列一堆产品和技术,把能够看到的安全产品和安全技术(防火墙、防病毒、入侵监测、加密技术、VPN、终端准入控制)都堆砌起来,以为这样就构成了全面的安全屏障; 二是把企业信息安全等同于网络安全,给出的规划也只能是局部的、残缺不全的。
要做企业信息安全总体架构规划,首先要了解企业的信息安全需求。抛开需求做规划,难免会掉进前面所讲的两种误区中。因此,做规划要从需求入手。
企业信息安全总体架构规划模型(图1)以企业信息安全的需求(保密性、完整性、可用性)为出发点,以应用安全、数据安全、主机安全、网络安全、桌面安全、物理安全为关注重点,层层剖析、全面挖掘企业的信息安全需求,是一种将管理、技术和人员三者有机结合的企业信息安全保障体系。该模型均衡考虑了企业在保密性(C)、完整性(I)和可用性(A)三方面的安全需求。
企业信息安全总体架构规划模型虽然清晰地指出了规划的要点、重点和思路,但是按照此模型还是不知道如何去做,具体实施应参照一定的方法论进行。企业信息安全总体架构规划方法论(图2)融合了以管理和技术为核心的全面分析方法,以安全需求为焦点,从管理现状、技术现状和人员状况三个维度,综合采用调查问卷、人员访谈、现场察看、资料分析、技术检测等多种手段,全面深入地挖掘需求。在明确需求的前提下,借鉴同类企业成功经验并均衡考虑CIA(保密性、完整性、可用性),规划符合企业实情的信息安全保障体系。
在企业信息安全总体架构规划方法论中,重点工作的描述如下:
调查问卷
针对企业情况,信息主管应参照ISO27001/ISO13335等标准,制定相应的调查问卷,通过它全面了解企业的安全要求、安全状况、IT环境,以及企业信息系统的应用情况和已经采取的安全控制手段。
人员访谈
应选定关键领导和关键岗位,进行人员访谈,全面了解信息系统的安全需求,层层剖析、深入了解企业信息系统各层面的安全现状,包括应用状况、数据存储及数据库、主机及操作系统、网络拓扑及网络管理、数据中心及桌面管理等。
现场查看
为了确保获取信息的全面性和准确性,实地考察是非常必要的。现场查看主要有两方面。一方面是了解现有技术措施的情况,例如设备使用状况、技术应用状况等; 另一方面是物理环境察看,例如机房、办公室、其他重要区域、门禁、监控等。
资料分析
收集企业的相关资料进行分析,重点包括信息系统的部署架构、网络架构、安全制度、运维管理、IT运行报告和IT审计报告。
技术检测
采取技术手段进行漏洞检测和分析,包括渗透测试、漏洞扫描、本地检查和手工检查等。充分发掘网络方面的漏洞、主机及操作系统漏洞、数据库方面的漏洞、应用方面的漏洞等。
CIA均衡考虑
通过前面5种方法完成需求分析之后,CIO对信息安全的具体详细的需求就了解了。然后针对企业的信息安全需求,均衡考虑CIA三个方面设计技术、管理和人员控制措施,并将这些措施有机结合构建信息安全保障体系。
企业信息安全要求范文第2篇
关键词:企业信息化;信息安全管理体系;信息安全保障
1 企业信息安全需求与目标
近年来随着企业信息系统建设的不断发展,企业的信息化安全也面临着前所未有的挑战。作为中国高速列车产业化制造基地和城轨地铁车辆定点制造企业,公司的发展对高速动车行业产生着举足轻重的作用;从企业信息安全现状分析,公司IT部门主管深深意识到,尽管从自身情况来看,在信息安全方面已经做了很多工作,如部署了防火墙、SSL VPN、入侵检测系统、入侵防御系统、防病毒系统、文档加密、终端安全管理系统等。但是安全系统更多的在于防堵来自某个方面的安全威胁,无法产生协同效应,距离国际同行业企业还存在一定的差距。
公司通过可行性研究及论证,决定借助外力,通过知名的咨询公司协助企业发现存在的信息安全不足点,以科研项目方式,通过研究国家安全标准体系及国家对央企和上市企业的信息化安全要求,分析企业目前的现状和国际标准ISO27001之间的差距,继而完善企业信息安全体系的规划与设计,最终建立一套适合企业现状的信息安全标准和管理体系。目标是使公司信息安全从管理到技术均得到全面加强,建立一个有责(职责)、有序(秩序)、有效(效率)的信息安全管理体系,预防信息安全事件的发生,确保更小的业务损失,提供客户满意度,获取更多的管理支持。在行业内树立标杆和示范,提升企业形象,赢取客户信任,增强竞争力。同时,使信息安全体系通过信息安全管理体系通过ISO 27001认证标准。
2 企业信息安全管理体系建设过程
凡事预则立,不预则废。对于信息安全管理建设的工作也先由计划开始。信息安全管理体系建设分为四个阶段:实施安全风险评估、规划体系建设方案、建立信息安全管理体系、体系运行及改进。也符合信息安全管理循环PDCA(Plan-Do-Check-Action)模型及ISO27001要求,即有效地保护企业信息系统的安全,确保信息安全的持续发展。本文结合作者经验,重点论述上述几个方面的内容。
2.1 确立范围
首先是确立项目范围,从机构层次及系统层次两个维度进行范围的划分。从机构层次上,可以考虑内部机构:需要覆盖公司的各个部门,其包括总部、事业部、制造本部、技术本部等;外部机构:则包括公司信息系统相连的外部机构,包括供应商、中间业务合作伙伴、及其他合作伙伴等。
从系统层次上,可按照物理环境:即支撑信息系统的场所、所处的周边环境以及场所内保障计算机系统正常运行的设施。包括机房环境、门禁、监控等;网络系统:构成信息系统网络传输环境的线路介质,设备和软件;服务器平台系统:支撑所有信息系统的服务器、网络设备、客户机及其操作系统、数据库、中间件和Web系统等软件平台系统;应用系统:支撑业务、办公和管理应用的应用系统;数据:整个信息系统中传输以及存储的数据;安全管理:包括安全策略、规章制度、人员组织、开发安全、项目安全管理和系统管理人员在日常运维过程中的安全合规、安全审计等。
2.2 安全风险评估
企业信息安全是指保障企业业务系统不被非法访问、利用和篡改,为企业员工提供安全、可信的服务,保证信息系统的可用性、完整性和保密性。
本次进行的安全评估,主要包括两方面的内容:
2.2.1 企业安全管理类的评估
通过企业的安全控制现状调查、访谈、文档研读和ISO27001的最佳实践比对,以及在行业的经验上进行“差距分析”,检查企业在安全控制层面上存在的弱点,从而为安全措施的选择提供依据。
评估内容包括ISO27001所涵盖的与信息安全管理体系相关的11个方面,包括信息安全策略、安全组织、资产分类与控制、人员安全、物理和环境安全、通信和操作管理、访问控制、系统开发与维护、安全事件管理、业务连续性管理、符合性。
2.2.2 企业安全技术类评估
基于资产安全等级的分类,通过对信息设备进行的安全扫描、安全设备的配置,检查分析现有网络设备、服务器系统、终端、网络安全架构的安全现状和存在的弱点,为安全加固提供依据。
针对企业具有代表性的关键应用进行安全评估。关键应用的评估方式采用渗透测试的方法,在应用评估中将对应用系统的威胁、弱点进行识别,分析其和应用系统的安全目标之间的差距,为后期改造提供依据。
提到安全评估,一定要有方法论。我们以ISO27001为核心,并借鉴国际常用的几种评估模型的优点,同时结合企业自身的特点,建立风险评估模型:
在风险评估模型中,主要包含信息资产、弱点、威胁和风险四个要素。每个要素有各自的属性,信息资产的属性是资产价值,弱点的属性是弱点在现有控制措施的保护下,被威胁利用的可能性以及被威胁利用后对资产带来影响的严重程度,威胁的属性是威胁发生的可能性及其危害的严重程度,风险的属性是风险级别的高低。风险评估采用定性的风险评估方法,通过分级别的方式进行赋值。
2.3 规划体系建设方案
企业信息安全问题根源分布在技术、人员和管理等多个层面,须统一规划并建立企业信息安全体系,并最终落实到管理措施和技术措施,才能确保信息安全。
规划体系建设方案是在风险评估的基础上,对企业中存在的安全风险提出安全建议,增强系统的安全性和抗攻击性。
在未来1-2年内通过信息安全体系制的建立与实施,建立安全组织,技术上进行安全审计、内外网隔离的改造、安全产品的部署,实现以流程为导向的转型。在未来的 3-5 年内,通过完善的信息安全体系和相应的物理环境改造和业务连续性项目的建设,将企业建设成为一个注重管理,预防为主,防治结合的先进型企业。
2.4 企业信息安全体系建设
企业信息安全体系建立在信息安全模型与企业信息化的基础上,建立信息安全管理体系核心可以更好的发挥六方面的能力:即预警(Warn)、保护(Protect)、检测(Detect)、反应(Response)、恢复(Recover)和反击(Counter-attack),体系应该兼顾攘外和安内的功能。
安全体系的建设一是涉及安全管理制度建设完善;二是涉及到信息安全技术。首先,针对安全管理制度涉及的主要内容包括企业信息系统的总体安全方针、安全技术策略和安全管理策略等。安全总体方针涉及安全组织机构、安全管理制度、人员安全管理、安全运行维护等方面的安全制度。安全技术策略涉及信息域的划分、业务应用的安全等级、安全保护思路、说以及进一步的统一管理、系统分级、网络互联、容灾备份、集中监控等方面的要求。
其次,信息安全技术按其所在的信息系统层次可划分为物理安全技术、网络安全技术、系统安全技术、应用安全技术,以及安全基础设施平台;同时按照安全技术所提供的功能又可划分为预防保护类、检测跟踪类和响应恢复类三大类技术。结合主流的安全技术以及未来信息系统发展的要求,规划信息安全技术包括:
2.5 体系运行及改进
信息安全管理体系文件编制完成以后,由公司企划部门组织按照文件的控制要求进行审核。结合公司实际,在体系文件编制阶段,将该标准与公司的现有其他体系,如质量、环境保护等体系文件,改归并的归并。该修订审核的再继续修订审核。最终历经几个月的努力,批准并实施了信息安全管理系统的文档。至此,信息安全管理体系将进入运行阶段。
有人说,信息系统的成功靠的是“三分技术,七分管理,十二分执行”。“执行”是要需要在实践中去体会、总结与提高。对于信息系统安全管理体系建设更是如此!在此期间,以IT部门牵头,加强宣传力度,组织了若干次不同层面的宣导培训,充分发挥体系本身的各项功能,及时发现存在的问题,找出问题根源,采取纠正措施,并按照更改控制程序要求对体系予以更改,以达到进一步完善信息安全管理体系的目的。
3 总结
总结项目,建立健全的信息安全管理制度是进行安全管理的基础。当然,体系建设过程中还存在不足,如岗位原有职责与现有安全职责的界定,员工的认知及接受程度还有待提高,体系在各部门领导重视程度、执行力度、审核效果存在差距等等。最终,在公司各部门的共同努力下,体系经历了来自国际知名品牌认证公司DNV及中国认可委(CNAS)的双重检验,并通过严格的体系审核。确认了公司在信息安全管理体系达到国内和国际信息安全管理标准,提升公司信息安全管理的水平,从而为企业向国际化发展与合作提供有力支撑。
[参考文献]
[1]沈昌祥.《信息系统安全导论》.电子工业出版社,2003.7.
企业信息安全要求范文第3篇
关键词 PKI;CA;RA;数字证书;信息安全;双因素认证;数字签名;加密
中图分类号:TM769 文献标识码:A 文章编号:1671-7597(2013)15-0119-02
随着国内外网络与信息技术飞速发展和广泛应用,发电企业信息化也在不断深入开展,信息安全形势更加严峻,网络与信息安全工作问题更加突出和重要。发电企业在保证发电安全生产的基础上,逐步通过信息化建设,梳理管理流程,加强内部管控,从而达到提升竞争力的作用。
信息安全是信息化建设的基础和前提,基于PKI技术的数字证书机制构建的应用层信息安全保障体系,已经作为信息安全基础设施,在政府、金融、电信等领域得到广泛应用。如何合理构建安全认证体系,既能满足信息安全管理要求,又能保证投资和信息安全管理可控在控,已经成为发电企业越来越关注的问题。
1 发电企业信息安全现状分析
在发电企业构建电子认证体系以保障业务安全的过程中,主要面临着如下需求和问题。
1)缺少完整的电子认证基础设施,企业内部多级管理体系和独立分支机构的不同信息系统使用的数字证书不统一。
2)自建的电子认证基础设施,有可能不具备相关运营资质,并且建设和运营维护成本较大,而只采购第三方认证机构颁发的数字证书,又不能完全满足企业内部信息化管理的需要。
3)重要核心信息系统未采用双因素认证、数字签名和数据加密等技术手段,无法保证数据保密性、完整性、抗抵赖性等信息安全要求。
为了很好的解决以上问题,结合发电企业信息化建设实际情况,提出以下几点建议。
1)针对发电企业内部多级管理体系和独立分支机构,建设统一的RA注册审核机构,与第三方认证机构PKI/CA基础设施配合,将完整的电子认证服务引入到现有信息系统中,既满足了安全体系完整性,又方便了内部安全认证服务管理。
2)针对不同的信息系统特性,制定双因素认证、数字签名和数据加密等安全认证策略和实施规范,RA系统设计上应方便的与业务系统进行对接和交互,避免成为“信息孤岛”,保证数据保密性、完整性、抗抵赖性等信息安全要求。
3)针对已经使用了数字证书等安全认证的信息系统,应考虑能够实现平滑过渡和无缝对接,防止出现安全体系设计重大变更和大规模系统改造等情况。
2 PKI/CA/RA简介
1)PKI为“公钥基础设施”,是一个用非对称密码算法原理和技术实现的、具有通用性的安全基础设施。PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。
2)CA认证机构是采用PKI公开密钥基础架构技术,专门提供网络身份认证服务,负责签发和管理数字证书,且具有权威性和公正性的第三方信任机构。它是PKI公钥基础设施的核心,主要完成生成/签发证书、生成/签发证书撤销列表(CRL:Certificate Revocation List)、证书和CRL到目录服务器、维护证书数据库和审计日志库等功能,即证书的颁发、证书的更新、证书的查询、证书的作废、证书的归档等功能。
3)RA注册审核机构:RA是数字证书的申请、审核和注册中心。从广义上讲,RA是CA的一个组成部分,主要负责数字证书的申请、审核和注册。
3 基于PKI/CA/RA的安全认证服务平台
3.1 平台架构
通过对发电企业安全现状和需求分析,根据证书签发、证书使用两种应用环境和职责不同,将RA系统划分为RA子系统、证书验证子系统两个子系统。
1)RA子系统:负责证书的申请、签发、更新、状态变更等证书业务功能。RA子系统结构由CA能力接入、系统管理、证书服务、用户自服务等功能模块组成。CA能力接入模块面向第三方CA系统,系统管理模块面向RA系统管理员,证书服务模块面向业务系统,用户自服务模块面向使用证书业务的用户(个人用户、企业用户)。
2)证书验证子系统:负责证书有效性验证、签名验签等证书应用功能,提供非对称密钥运算、摘要运算、签名验签运算、证书验证等证书应用服务。
3.2 数字证书设计
3.2.1 设计原则
RA系统签发的数字证书应具有以下特点。
1)数字证书符合X509v3国际通用标准,可以同发电企业目前的电子认证体系无缝对接,平滑过渡。
2)数字证书获得国家电子认证服务资质认可,受《电子签名法》保护,可以对外使用。
3)支持签发软/硬两种形式的数字证书。
软证书符合PKCS12标准,能方便的在手机、PDA等终端上使用。
硬证书保存在USBKEY等硬件存储介质上,安全可靠。
3.2.2 数字证书类型
按照数字证书的颁发对象不同,数字证书主要分为个人数字证书、机构数字证书和设备数字证书等。
1)个人数字证书,主要用于标识数字证书自然人所有人的身份,包含了个人的身份信息及其公钥,如用户姓名、证件号码、身份类型等。
2)机构数字证书,主要用于标识数字证书机构所有人的身份,包含机构的相关信息及其公钥,如:企业名称、组织机构代码等。
3)设备数字证书,用于在网络应用中标识网络设备的身份,主要包含了设备的相关信息及其公钥,可用于服务器或网络设备标识和验证设备身份。
3.2.3 证书使用范围
从使用范围上来说,企业数字证书分为内部证书、外部
证书。
1)内部证书限于企业内部人员、业务使用,承担行政责任,可以用于企业内部安全保障;企业重要人员的证书采用USBKEY存放,其他人员采用软件存储。
2)外部证书限于企业外部人员、业务使用,如电子商务平台的供应商。承担法律责任,在对外业务出现纠纷时,可以用于法律鉴定,采用USBKEY存放证书。
3.2.4 证书用途
根据数字证书的密钥用途,将证书分为以下两种。
1)签名证书:其私钥可用于对信息的签名。用户在使用私钥对信息签名时,应知晓并确认签名的内容。对于具有身份鉴别用途的证书,其私钥可用于对鉴别方提交的挑战信息签名;在可能的情况下,具有身份鉴别用途的证书及信任链上的证书(根证书除外)应提交给验证方。
2)加密证书:其私钥可用于对采用对应公钥加密的信息
解密。
根据国家密码管理局的相关要求以及发电企业对证书的使用需求,个人证书、企业证书都需要签发双证书(加密证书、签名证书)。
3.2.5 证书存储形态
根据数字证书的存储形态不同,可以将证书存储在以下介质中。
1)软证书:证书以软件形式存放,包括以文件形式或者将证书导入到IE存储;根据信息系统对证书的要求,可以将个人证书(大部分)以软件形态存放。
2)USBKEY证书:证书存储在USBKEY中;企业重要人员的证书采用USBKEY存放,企业外的个人证书、企业证书全部采用USBKEY存储,便于保管。
4 应用实践
目前对于发电企业来讲,PKI/CA/RA安全认证服务主要可应用于以下几个方面。
1)办公自动化系统电子印章管理,采用数字签名及证书对称加密、非对称加密等技术,防止电子文件被篡改、电子印章被非法利用。
2)企业资源计划(ERP)、燃料管理、办公自动化、资金管理、电子商务等重要信息系统的双因素认证,为IT审计提供依据,防止抵赖,进一步保证系统安全。
3)无线网络、VPN网络等网络接入认证管理。
5 结束语
PKI/CA/RA安全认证服务平台实现了统一、完整的电子认证基础设施,为发电企业提供数字证书申请、受理、审批、签发、更新、吊销、等业务功能,数字证书与企业资源计划(ERP)、电子印章、电子商务等信息系统集成,全面支持企业内部和对外电子商务应用,以及重要信息系统、设备的双因素认证。
实践证明,PKI/CA/RA安全认证服务平台在发电企业信息安全工作中,已发挥了不可替代的重要作用,可有效提高信息系统安全性和可靠性,下一步将加强核心业务信息系统中的重要操作、重要信息系统中敏感信息加密、移动办公等方面的研究和应用。
参考文献
[1]龙玉江,白雪,汪浩.PKI/CA技术在电力信息系统安全保障方面的应用研究[J].贵州电力技术,2009(1):40.
[2]刘欣.PKI/CA技术在电力信息系统中的应用研究[J].电力信息化,2009,7(10):30.
企业信息安全要求范文第4篇
不同的企业经营方式和品种不同,导致管理者采取不同的信息网路系统,这进一步加剧了企业局域网和外部网信息安全的风险性,自然和人为因素把企业计算机信息网络系统大致分为了以下两层。
1.外部风险
企业信息网络系统受到非法攻击和自然灾害的情况统称为外部风险,例如:水火灾害,偷盗灾害等都属于外部风险构成因素,这对于企业计算机信息网络系统危害巨大,主要表现在硬件设施的损坏。另外,也存在某些工作人员企图将公司文件作为有效的信息记录,不正当建立某些文件文档,也同样会对企业的计算机信息系统构成威胁。也有的计算机操作人员企图通过不正当手段获取到系统记录的信息,可能会通过某些不正当手段利用数据和系统程序。此外,企业计算机信息网络系统面临的最大威胁来自于黑客,黑客攻击系统的方式主要分为两种:一是通过不法手段进入企业计算机信息系统的网络攻击,目的是通过查看信息,破坏信息的完整性。二是通过窃取和破译的方式获得计算机机密信息的网络侦察方式,这种方式不会阻碍系统的正常运行。扫描器和口令攻击器、邮件炸弹和木马是黑客常用的攻击工具,企业通常都会存在网络安全隐患,黑客会利用计算机系统薄弱环节窃取信息,甚至对企业进行威胁敲诈。而病毒会破坏系统CMOS中的数据,系统数据区会遭受损失。无论怎样,两种方式都会对企业的网络安全建设形成重大影响。此外,还有僵尸网络,垃圾邮件,间谍软件等都会对企业计算机信息网络系统的安全建设造成威胁。
2.内部风险
计算机系统内部的特性决定了内部风险指数的高低,具体表现在计算机网络系统正常运行中存在的风险,主要分为:计算操作人员对登录账号和口令的泄露,未经许可或没有访问权限的人员进入企业信息系统可能会造成信息安全风险的产生。另外,计算机软件在安装的过程中,也必然会带有一定不为常人轻易察觉的系统漏洞,这些漏洞一旦被黑客发现,就可能会产生企业信息系统的内部风险。当下。软件公司在开发软件的过程中,很多都会为自己留有“后门”,一旦这些“后门漏洞”遭遇攻击,就会产生严重的后果。防火墙的安全等级也是对系统风险控制的重要指标之一,如果自身安全等级欠缺,也会产生一定的内部风险。另外,管理因素也是造成内部风险成因的重要原因之一。员工有意无意的破坏、用户操作规范问题、存储介质问题都是管理不到位的表现。某些员工也会对企业逐渐产生不满情绪,可能会采取极端手段恶意破坏企业的机密文件。移动存储设备的不正确应用,也是造成企业计算机信息系统安全问题的一大隐患,具体表现在移动存储介质的遗失和破坏,文件的非授权和打印等方面。
二、企业信息网络系统的风险控制方法
不同的企业信息网络系统风险控制方式也不尽相同,只有通过仔细分析,才能对其进行科学控制。为进一步保证计算机网络系统的安全,必须对数据形成全程监控和控制,达到最大化的系统安全风险控制。
1.数据信息的输入和传输
企业信息系统在数据初步输入阶段,为了进一步保证数据输入的合法和正确,对其加密措施是必不可少的,随后进行网络传输,就能够从根本上最大化避免信息在传输过程中遭遇篡改或者丢失现象,企业信息应用的加密方式多种多样,一般可以选取文件夹加密或者文件加密的方式进行传输。
2.数据信息的接收与处理
企业一般收到外部传输的订单处理信息时,接着就会由预编程序对该信息进行自动审核,规范的信息填写就会由计算机系统进行二次输出,并及时刻录在预置的磁盘或交卷等信息媒介中保存,这种情况下对于已获取信息的保存就显得格外重要。假如要对信息使用过程中产生的数据进行保存,就需要对用户数据的使用和存储进行及时控制,这也是控制企业信息系统泄漏的有效方法之一。
3.结果数据信息的保存和处理
数据使用过后的安置主要是指结果数据信息的保存和处理,这种后期的风险控制更要加以重视,包括数据使用过后保存的时间和清除,存储的方法和地址等等。不再应用的数据应当彻底处理,防止被二次利用,通过对废弃信息的研究获取到机密信息,不同的处理方式对系统安全风险的影响也不尽相同。
4.网络管理和安全管理
以上诸多的控制方式都会对计算机风险控制产生重要作用,此外,一个良好的管理平台有利于计算机设备各项设备功能的发挥,网络管理在网络资源的优化和监控利用中发挥着关键作用。
5.设立电子商务安全体系
美国FBI组织统计表明:美国几乎百分之八十的大型企业面临着信息网络安全问题的困扰,每年因网路安全问题造成的损失达到了七十五万亿美元,信息的窃取和滥用现象严重。因此,所有在互联网上开展电子商务的企业必须有足够的安全意识和防范措施,最大限度的避免企业机密信息的外泄和黑客入侵造成的不必要损失。另外,一整套强大的企业信息安全系统,也需要诸多先进的高科技技术和人才支持。
6.设立电子政务安全保障体系
企业在互联网上进行商务活动时,产生信息安全威胁的原因主要分为企业对电子集商务的高度依赖,互联网特有的开放性,企业信息系统技术本身存在的缺陷。通过以上对企业内外部威胁的分析可以得到严格的保密制度,规范的信息交换策略,完整明确的权限管理要求和执行流程是企业电子商务活动信息的基本安全保障。电子政务安全保障体系具有明显的真实性,机密性,完整性和可靠性。
7.企业信息安全策略和措施
一个完整的企业信息安全策略必须在技术上具备可操作性,可执行和责任明确的特征,强制性也是其中的必要组成因素。在信息的传输和处理过程中,需要对内外部威胁因素做一个敏锐的分析,必须要保证信息的完整可靠,实用安全。在企业信息安全技术保障体系的范围内,有必要对重大机密信息进行多层防护,基础设施的建设必须按照企业信息安全规定的标准执行,其中包括了对边界和计算机周边环境的防护,基础设施以及提供的支持等。其中涉及到了无线网络安全框架和远程访问,终端用户环境以及系统互联等应用程序的安全。一个完善的企业信息安全策略支持的基础设施也必须注重PK(I密钥管理基础设施或公共密钥基础设施)的管理。
8.加密认证和实时监测技术
加密是一项传统而又行之有效的信息传输技术,加密技术的应用主要表现在桌面安全防护、公文安全传输和互联网信息传输等方面。而实时监测主要是采取侦听的方式鉴别那些未经授权的网络访问行为,主要表现在对网络系统的扫描和记录跟踪等,这种发现系统遭受损害的技术手段是防止黑客入侵的有效手段,具有鲜明的适应性和实时性。
9.划分并隔离不同安全域
这种系统信息的安全防护措施主要是根据不同的安全需求和威胁对操作人员的方位划分不同的安全控制区域,采用访问控制和权限控制等手段对不同的操作人员设备访问进行控制,防止出现内部访问者也无权访问的区域和误操作现象的发生。根据不同的信息安全要求可以划分为关键服务区和外部接入区两大类,两种区域之间进行安全隔离措施。另外,在关键服务区域内,也需要根据安全级别的不同对其进行隔离的细化划分。
10.管理方面
管理在企业网络信息安全的防护中占有七分重要性,技术占有三分重要性。责任不明确必然会导致管理混乱,混乱的管理制度就会导致管理安全风险的产生。在企业计算机系统信息安全的防护中,不仅要关注与技术性的措施,在管理层面上也不容忽视,企业信息的管理贯穿于整个管理层面的始终,根据不同的工作环境和实际的业务流程,技术特点制定标准的信息安全管理制度。其中,企业在信息网络安全工作上,必须认真贯彻落实设备维护制度,保证物理基础设施的安全是一切信息安全防护的基础,一旦基础遭受冲击,其余的措施便如纸上谈兵。企业计算机系统管理员必须对机房的水火雷,盗窃等安全防范工作加以重视,另外,对经常使用的数据信息或者操作系统都要及时备份,必要时要对数据进行不同介质的存储,防止基础设施损坏时,给数据信息的恢复工作带来困难。
三、结语
企业信息安全要求范文第5篇
本文列举了企业敏感信息泄密的渠道、防护措施、管理要素,系统地阐述企业内网信息防泄密的方法。敏感信息的泄密防护是一个复杂的工程,无法采用单一的技术或管理规范来实现,在信息安全管理中只有建立一个人员、技术、管理相和谐的体系,才能有效保护企业的敏感信息数据。
一、信息泄密的途径
1、互联网。
互联网高速发展的今天,企业很难和互联网隔绝,互联网泄密是信息泄密的主要渠道,常见的如下:
即时通讯软件如QQ、MSN等。主要表现在利用即时消息软件文件传输功能、QQ空间,这些软件的不当使用会传播木马,好奇和无知有助于木马的传播,当然这些软件也给主动泄密者提供了很大的方便。
文件共享与传输软件。BT、迅雷等P2P传输软件,FTP文件传输,邮件,互联网“云”资源,如网盘、云盘的不当使用。
BBS、论坛、微博。
木马控制内部机器后,将窃取的信息从内部由互联网传出。
互联网对外服务(如网站或论坛),其系统或应用漏洞被暴露或被黑客攻破。
2、电脑外设接口。
电脑外设接口是文件传输的物理渠道,常见的主要有USB、蓝牙、无线网卡、串口、SD卡、红外接口、1394口、MMC卡。
3、移动存储。
U盘、移动硬盘、各类flash、数码相机、mp3/4等,值得一提的是手机及智能移动设备,也是需要重点关注的存储介质。
4、移动终端。
企业使用的笔记本电脑,由于其移动性应是企业泄密防控的重点管理对象。
这些电脑染毒、木马或者设备本身丢失和被盗会导致员工存在本地存档的电子邮件和文件或将永久丢失,由于员工可能在本地保存重要或敏感数据,对企业也带来非常大的风险。
此外,自带设备办公(BYOD)被越来越多企业关注,一些企业已经开始BYOD应用,这种环境下企业信息流入个人设备也是一个泄密途径。
5、非法外联。
一些企业对内部网和外部网进行了物理或逻辑隔离,统一互联网出口的管控策略,但是内部机器利用拨号、、WI-FI无线路由非法连接,同时使用内外网。
6、非法接入。
不合规的终端和无权用户的非法访问网络资源,通过植入木马或人为故意窃取企业内部信息。
7、维修或报废的电脑或硬盘。
残留数据造成泄密。
8、人。
数据的产生、存储、传递、使用、销毁,数据生命周期管理中,人是最重要的参与者和数据的使用者,人员的信息安全意识差,安全策略的执行力就很低。因此,人员管理是信息泄密管理的难点。
二、信息泄密的类型
信息的泄密可分为被动泄密和主动泄密。被动泄密是指信息资产拥有者或使用人非主观意愿下泄密的风险,包括计算机硬件(笔记本电脑、硬盘、移动存储)的遗失或被窃风险;计算机感染病毒或木马导致的文件被外泄风险,或无意识的信息泄密,而主动泄密指主观故意泄露或窃取信息,具赛迪网统计80%的泄密为主动泄密,主动泄密是信息防护的主要目标。
三、信息泄密的防护
1、信息泄密的防护策略。安全分级,适度保护的策略。
信息安全的目标是保护企业的信息资产,避免遭受各种威胁,降低对企业之伤害。信息资产安全管理的重点是信息资产的安全分级和基于分级的安全保护,企业必须明确定义出敏感信息全生命周期的保护策略,并使相关人员知悉。制定安全策略,并使企业人员知悉是企业信息安全一切工作的基石。
对不同安全级别的信息资产施以相应程度的保护手段是实现“适度保护”的思路之一,“适度保护”并非中庸之道,而是指建立与企业信息安全要求相适应的安全防控体系,具体到信息资产保护策略是指要和企业信息资产的安全分级相适应的安全防护策略,矫枉过正,防护过度,给员工日常办公带来极大不便。
需要说明的是,安全分级比较复杂,根据不同的管理需要分类方法也比较多,常见的有基于系统的分级、基于信息或数据的分级、基于信息风险的分级等。目前大多数企业使用较多的分级是基于系统的等保分级,但采用单一的维度进行安全分级仍然难以提供有针对性的保护,对于信息的泄密防护,针对数据安全分级将使管理目标更为明确和直接,但较难实施,建议关注受保护数据的生命周期管理,包括数据产生、数据传输使用、数据变更、数据存储、数据处置或销毁。
2、信息泄密防护技术
企业内部的防泄密管理手段从根本上可以归结成四类:泄密渠道及边界管控,数据隔离,数据加密,审计(含身份管理)。审计可以说是“跨界”手段,通过审计可找到泄密事件的线索和证据,从而震慑恶意泄密者,而身份管理是将信息打上身份标记,确定归属,是审计的基础。
企业网边界的管控
企业网络边界管控分为外网(互联网、企业间网络)的管控,和内网接入的管控。
