(安徽江淮汽车集团股份有限公司,安徽合肥230601)
摘要:随着云计算、信息化、虚拟化等技术在企业的广泛应用,多数企业已实现了核心业务的数字化发展,使得企业的管理效率得到进一步提升。随着信息技术的不断发展,企业对信息系统的依赖性越加严重,而做好信息安全工作,是现阶段企业信息部门和管理层的重要研究方面。因此,本文针对企业信息网络可能面临的安全威胁和安全问题进行系统分析,确立构建企业信息安全的管理体系,为企业构建稳固的信息安全管理架构进行探讨。
关键词:企业信息;安全管理;构建
1引言
随着信息化技术的高速发展和深入应用,企业对信息系统的依赖性越来越强,大部分的业务从纸面迁移到信息系统当中,因而,建立稳固的信息安全管理体系已经成为各企业信息管理部门甚至管理层的重要研究课题。下文简要就构建企业信息安全管理体系方面进行分析。
2企业信息安全政策概述分析
企业信息安全政策作为信息安全工作的重中之重,关系着企业的信息安全工作的思路。
2.1信息安全工作的使命
信息安全工作的核心意义是将企业所面临的风险管理至一个可接受的水平。
现阶段主流的风险控制包含:通过风险评估方法来评估风险;制定安全策略来降低风险;通过监控控制恶意未授权行为;有效地审计。
2.2有关信息安全工作前景分析
安全的企业信息化环境可以为任何企业用户提供安全便捷的信息化服务,应用,基础设施,并保护用户的隐私。让用户有安全的身份验证;能安全便捷的使用需要的数据和应用资源;保证通讯和数据的保密性;明确自身的角色,了解角色在企业中的信息安全责任;身边出现的信息安全风险和威胁能得到迅速响应。
因此企业需要进行有效的风险管理。风险管理是一个识别风险、评估风险、降低风险的过程。在这个过程中,需要权衡降低风险的成本和业务的需求,确定风险的优先级别,为管理层的决策提供有效的支持。
2.3信息安全准则分析
信息安全准则是风险评估和制定最优解决方案的关键,优秀的信息安全准则包括:根据企业业务目标执行风险管理;有组织的确定员工角色和责任;对用户和数据实行最小化权限管理;在应用和系统的计划和开发过程中就考虑安全防护的问题;在应用中实施逐层防护;建立高度集成的安全防护框架;将监控、审计和快速反应结合为一体。
随着信息技术的高速发展和计算机技术及网络技术的广泛应用,信息系统在企业经营战略中的作用和地位日趋重要,企业对信息系统的依赖性也在不断增长,信息安全问题变得日益突出,信息系统的脆弱性日渐凸显。
3企业信息系统安全管理系统构建原则分析
企业信息化安全建设的目标是在保障企业数字化成果的安全性和可靠性。在构建企业信息安全体系时应该遵循以下原则:
3.1建立企业完善的信息化安全管理体系
企业信息安全管理体系需要建立完善的组织架构、制定信息安全管理规范,从而能够保证信息安全制度的落实以及企业信息化安全体系的不断完善,
企业信息安全管理过程包括:分析企业数字化资产评估和风险分析、规划信息系统动态安全模型、建立可靠严谨的执行策略、选用安全可靠的的防护产品等方面。
3.2进一步提高企业员工自身的信息安全防范意识
在企业信息化系统安全管理中,防护设备和防护策略只是其中的一部分,企业员工的行为是维护企业数字化成果的组成。因此,企业在实施信息化安全管理时,不能忽视对人的行为规范和绩效管理。在企业实施企业信息安全前,应制定企业员工信息安全行为规范,有效地实现企业信息系统和数字化成果的安全、可靠、稳定运行,保证企业信息安全。企业对员工进行逐次的安全培训,强化企业员工对信息安全的概念,提升员工的安全意识。使员工的行为符合整个企业信息安全的防范要求。
3.3优化更新企业信息安全防护技术
综合考虑采用何种安全防护技术来支撑整个信息安全防护体系。对于安全防护技术而言,其分为:身份识别、网络隔离、网络安全扫描、实时监控与入侵发现、安全备份恢复等。比如身份识别的目的在于防止非企业人员访问企业资源,并且可以根据员工级别分配人员访问权限,进而实现企业敏感信息的安全保障。因此,对企业信息网络可能面临的安全威胁和安全问题进行系统地分析,形成完整的安全需求,才能构造符合企业实际的、可操控性的信息安全体系。
4企业信息安全管理的主要手段分析
4.1网络安全
4.1.1确保安全的外部人员连接
在日常工作中,外部合作伙伴经常会提出联入企业内网的需求,由于这些联入内网的外部人员及其终端并不符合企业的信息安全标准,因此存在信息安全隐患。控制此类风险的手段主要有:对用户账户使用硬件KEY等强验证手段;全面管控外部单位的网络接入等。
4.1.2远程接入控制
随着信息技术的不断发展,远程接入的风险已降低到企业的可控范围,而近年来移动办公的兴起更是推动了远程接入技术的发展。企业采用动态口令牌等硬件认证方式的远程接入要更加的安全。
4.1.3网络划分
之前企业内部以开放式的网络为主。随着网络和互联网信息技术的成熟,非受控终端给企业内网带来的安全压力越来越大。这些不受信任的终端为攻击者提供了访问企业网络的路径。信息管理部门利用信息技术有效提高企业网络安全,实现对位于公司防火墙内部终端的完全管控。
4.2访问控制安全
4.2.1密码策略
高强度的密码需要几年时间来破解,而脆弱的密码在一分钟内就可以被破解。提高企业用户的密码强度是访问控制的必要手段。为避免弱密码可能对公司造成的危害,企业必须制定密码策略并利用技术手段保证执行。
4.2.2用户权限管理
企业的员工从进入公司到离职是一个完整的生命周期,要便捷有效地在这个生命周期中对员工的权限进行管理,需要企业具有完善的身份管理平台,从而实现授权流程的自动化,并实现企业内应用的单点登陆。
4.2.3公钥系统
公钥系统是访问控制乃至信息安全架构的核心模块,无线网络访问授权,VPN接入,文件加密系统等均可以通过公钥系统提升安全水平,因此企业应当部署PKI/CA系统。
4.3培训与宣传
提高企业管理层和员工的信息安全意识,是信息安全管理工作的基础。了解信息安全的必要性,管理层才会支持信息安全管理建设,用户才会配合信息管理部门工作。利用定期培训,宣传海报,邮件等方式定期反复对企业用户进行信息安全培训和宣传,能有效提高企业信息安全管理水平。
4.4建立动态的闭环管理流程
企业的信息网络处在不断的建设、调整、再建设、再调整的过程,新的安全漏洞和设计缺陷总是不断地被发现,单纯的静态管理流程已经不能满足要求的,需要建立动态的、闭环的管理流程。动态、闭环的管理流程要在企业整体安全策略的控制和指导下,通过安全评估和检测工具及时了解信息网络中存在的安全问题和安全隐患,据此制定安全建设规划和安全加固方案,综合应用各种安全防护产品,将系统逐步调整到相对安全的状态。
5结束语
总之,信息安全是保护企业的数字化成果的安全和完整。企业在实施信息安全防护过程中是一个长期的持续的工作。在实施过程中要根据不断出现的情况及时调整安全策略和访问控制,保证备份数据的安全性可靠性。构建企业信息安全管理体系,消除信息安全隐患,避免信息安全事件造成的损失,确保信息系统安全。
参考文献
[1]何剑虹,白晓颖,李润玲,崔智社.基于SLA的面向服务的基础设施[J].电讯技术,2011,51.