数字化转型网信息安全研习社关注网络攻击与防御、网络协议安全、数据存储安全、数据加密、数据传输安全、数据备份与恢复策略、数据完整性保护、软件漏洞与补丁管理、身份认证与授权、设备物理访问控制、环境安全与灾难恢复、安全策略框架、安全审计与合规性、安全事件管理与应急响应、设备安全、数据隐私和管理、数据存储和隔离、加密算法安全、云计算安全等多个方面。
一、企业信息安全管理的重要性
计算机网络技术在各类企业中得到了越来越广泛的应用,小到企业员工个人信息、人事资料管理、财务信息管理、档案资料管理等,大到如航天发射计算机系统、电力自动化系统等。企业信息安全包括物理安全、网络安全、用户安全及信息安全等方方面面,从一个源代码、一個用户密码、一个IP地址、一项技术发明到一个项目设计等,如果受到竞争对手利用网络病毒如木马病毒、钓鱼病毒或者勒索病毒等的攻击、窃取或篡改,容易造成企业信息系统崩溃,影响正常运行,造成重大经济损失,以至于严重阻滞企业发展,甚至造成企业破产灭亡。数字化转型网www.szhzxw.cn
同时,企业中的个人信息,如人事资料、工资信息、财务信息等泄露,一旦被非法分子利用,不但个人信息安全会受到严重影响,还会对个人信息保护和财产安全造成难以估量的损失。对于企业个人用户来说,信息安全意识淡薄或者使用不当也会给自身和企业带来很大麻烦。如近期有一员工违法企业规定,将工作资料上传网易网盘,这严重违反了企业信息安全管理制度,容易对企业技术信息造成泄露,一旦被竞争对手或者别有用心者利用,将对企业造成不可估量的损害。数字化转型网www.szhzxw.cn
二、加强企业信息安全管理策略
1、加强企业信息安全管理制度体系建设
企业应按照《中华人民共和国网络安全法》,结合企业自身实际情况制定本单位信息安全实施管理制度,构建相应管理框架,成立专门的信息安全管理领导小组,主要覆盖决策、管理及执行三个层次,并下设信息安全规划、信息安全监督设计和信息安全运营保障小组,同时企业应设立专门的企业信息安全运营管理经费,使企业信息安全管理、运行及维护等工作有充分保障。同时落实网络安全监管责任制,明确对端口服务器或者计算机终端采取必要防病毒、防攻击措施,专机专用,对使用管理情况进行日常监督和全面检查。数字化转型网www.szhzxw.cn
2、加强信息系统硬件安全建设
企业信息系统包括硬件和软件两大基础板块构件,其中信息系统硬件主要有计算机、路由器、通讯安全设备等产品,使用者通过网络交换、Web数据库、网络管理、防火墙等技术手段以硬件产品为依托来实现信息系统运行和保障信息系统安全的操作。因此企业应加强在硬件使用安全上的管理和监督。如做到专网专用,不可不同单位计算机互相访问;专网采取监测、记录网络运行状态、网络安全事件等技术措施;客户端和终端开机密码、使用密码等不能设置简单的“123456”此类低端密码等,通过此类措施,确保企业信息系统硬件管理有据可依,有章可循。同时设置硬件安全使用管理和维护小组,定期派专业技术人员进行检查维护,对硬件存在的安全隐患问题及时作出科学有效处理,确保信息系统正常运行。
3、提高软件系统安全
当前企业信息都是有电脑软件系统处理,主要使用TCP/IP网络协议,网络划分为内网和外网,采用双网双机管理模式。因此做好企业信息安全防护的首要前提是要合理划分信息网,做好隔离装置,使外网和内网双网双机和谐管理,使边界主机纵深基本防御得到最大保护。加强对软件系统开发力度,提高软件安全性能,不断提高软件系统抵御外来病毒攻击的能力,使其充分发挥保护性能和价值。
三、企业信息安全风险防范对策分析
1、漏洞扫描技术
系统漏洞是计算机安全隐患最常见原因之一,加强漏洞扫描技术开发,通过定时定期对计算机终端、客户端及服务器等硬件网络设备扫除排查,对检测出系统漏洞进行及时修复补丁,及时消除安全隐患。表1为笔者近期所进行的漏洞扫描处理的记录。将获得的漏洞扫描结果进行针对性的处理,以此可以提升整体企业计算机的安全系数。数字化转型网www.szhzxw.cn
2、防火墙技术
防火墙主要分为软件防火墙和硬件防火墙,硬件防火墙技术如NAT、VPN、网络加密和身份认证等主要应用于路由器和交换机等的硬件。软件系统防火墙主要作用于网络与网络访问间,形成杜绝非法访问,控制数据输出和输入的屏障。数字化转型网www.szhzxw.cn
3、信息加密技术
主要是通过数学或者物理手段,对电子信息在传输过程中和存储体内进行保护,以防止信息泄露。一般通过计算机密钥来实现,比如加密软件常采用硬件加密和加密软盘等形式来达到信息保密。
4、病毒库技术提升
计算机病毒开发越来越多,且逐渐复杂化和高级化,严重影响计算机系统安全。如给人体打预防针一样,信息安全管理工作要加强对病毒的分类,建立自己专门的病毒库,开发相关防病毒系统,形成完善的数据信息库,方便分析排查处理,不断提高自身信息系统病毒防御能力。数字化转型网www.szhzxw.cn
5、不断提升硬件设备管理水平
在不断完善软件系统防御能力的同时,加大对硬件设备的开发提升,对电脑、路由器、服务终端机等硬件设备要不断提高使用性能和安全性,这样才能确保硬件和软件互相配合,保证信息系统正常运行。
6、科学建设企业信息安全管理风险体系
要想有效提高企业信息安全与风险管理效果,一个重要的前提条件就是建设完善的企业的信息安全管理体系。第一,将企业信息安全风险评估的目标科学确定下来。在设计与建设信息安全管理风险体系时,工作人员必须要对其风险评估目标进行确定,这样才能对企业信息安全管理的要求与方法进行明确,进而切实围绕该目标来构建信息安全管理工作制度,更好地定量考核风险控制结果,及时发现信息安全管理中的风险,进而采取有效的应对方法;第二,需要对信息安全风险评估的范围予以明确。因为企业不同,其所能承受的风险也有所差别,所以,需要结合企业实际情况来采用相应的风险控制方式,同样也需要结合企业具体能力来确定其信息安全风险承受范围;第三,需要建设起相应的风险评估管理与实施团队,企业应当要积极鼓励个部门参与到信息安全风险控制体系的建设工作当中,只有这样才能更好地提高信息安全管理的效率与质量。数字化转型网www.szhzxw.cn
声明:本文来自网络,版权归作者所有。文章内容仅代表作者独立观点,不代表数字化转型网立场,转载目的在于传递更多信息。如有侵权,请联系我们。数字化转型网www.szhzxw.cn
数字化转型网数据专题包含哪些内容
数字化转型网信息安全研习社关注网络攻击与防御、网络协议安全、数据存储安全、数据加密、数据传输安全、数据备份与恢复策略、数据完整性保护、软件漏洞与补丁管理、身份认证与授权、设备物理访问控制、环境安全与灾难恢复、安全策略框架、安全审计与合规性、安全事件管理与应急响应、设备安全、数据隐私和管理、数据存储和隔离、加密算法安全、云计算安全等多个方面。
本文由数字化转型网(www.szhzxw.cn)转载而成,来源于乐学宫;编辑/翻译:数字化转型网Jerry。
