緒論:寫作既是個人情感的抒發(fā),也是對學(xué)術(shù)真理的探索,歡迎閱讀由發(fā)表云整理的11篇小企業(yè)信息安全范文,希望它們能為您的寫作提供參考和啟發(fā)。
前言
在日常的企業(yè)辦公中,總部和各分公司以及出差的員工都需要實時地進行資源共享和信息傳輸,企業(yè)和企業(yè)之間的業(yè)務(wù)來往也是非常依賴于網(wǎng)絡(luò)。但是由于互聯(lián)網(wǎng)的通信協(xié)議原始設(shè)計的局限性和互聯(lián)網(wǎng)的開放性,信息采用明文傳輸,導(dǎo)致互聯(lián)網(wǎng)的安全性問題越來越嚴重,網(wǎng)絡(luò)攻擊、非法訪問、竊取信息等不斷發(fā)生,給企業(yè)的正常運行帶來嚴重的安全隱患,有時會造成巨大的損失。網(wǎng)絡(luò)攻擊,會造成企業(yè)的服務(wù)器癱瘓; 信息竊取 ,會造成企業(yè)的商業(yè)機密泄漏,內(nèi)部服務(wù)器被非法訪問,會破壞傳輸信息的完整性或者被假冒;網(wǎng)絡(luò)病毒,會造成整個公司的服務(wù)器被病毒感染,使得公司網(wǎng)絡(luò)陷入癱瘓,造成公司系統(tǒng)的崩潰。目前的現(xiàn)狀是信息和網(wǎng)絡(luò)技術(shù)發(fā)展迅速,信息的安全技術(shù)相對滯后,用戶在引入安全設(shè)備和系統(tǒng)時,有些是缺乏培訓(xùn)和學(xué)習(xí),有些是對信息安全的重要性與技術(shù)認識不足,最終致使安全設(shè)備系統(tǒng)沒有能夠使其發(fā)揮最大的作用。比如對某些通信和操作需要限制,管理員沒有意識到或是為了方便,設(shè)置成全開放狀態(tài)等等,造成了網(wǎng)絡(luò)漏洞。
1.企業(yè)安全需求分析
根據(jù)企業(yè)網(wǎng)絡(luò)現(xiàn)狀及發(fā)展趨勢,對信息的保護方式進行安全需求分析主要從以下幾個方面進行考慮
1.1網(wǎng)絡(luò)傳輸保護:主要是數(shù)據(jù)加密,防竊聽保護。
1.2密碼賬戶信息保護:對網(wǎng)絡(luò)銀行和客戶信息進行保護,防止泄露。
1.3網(wǎng)絡(luò)的病毒防護:采用網(wǎng)絡(luò)防病毒系統(tǒng),對網(wǎng)內(nèi)一些可能攜帶病毒的設(shè)備定期進行防護與查殺。
1.4侵檢測系統(tǒng):廣域網(wǎng)接入部分設(shè)置入侵檢測系統(tǒng)。
1.5系統(tǒng)漏洞的分析:安裝漏洞分析軟件和設(shè)備。
2.具體措施
2.1重要數(shù)據(jù)備份:重要數(shù)據(jù)信息一定做到定期備份
2.2網(wǎng)絡(luò)安全結(jié)構(gòu)可伸縮性:安全設(shè)備的可伸縮性,能根據(jù)需要隨時進行功能、規(guī)模的擴展。
2.3安全審計:主要包括內(nèi)容審計和網(wǎng)絡(luò)通信審計
2.4網(wǎng)絡(luò)設(shè)備防雷:埋設(shè)地線,做好防雷設(shè)施布控。
2.5重要信息點的防電磁泄露:安裝好屏蔽設(shè)施設(shè)備,
3.安全解決方案
3.1物理安全和運行安全
企業(yè)網(wǎng)絡(luò)系統(tǒng)的物理安全要求是保護計算機網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)和雷擊等環(huán)境事故,以及人為操作失誤或錯誤,及各種計算機犯罪行為導(dǎo)致的破壞過程。企業(yè)的運行安全即計算機與網(wǎng)絡(luò)設(shè)備運行過程中的系統(tǒng)安全,是指對網(wǎng)絡(luò)與信息系統(tǒng)的運行過程和運行狀態(tài)的保護。主要的保護方式有風(fēng)險分析與漏洞掃描、防火墻與物理隔離、病毒防治、訪問控制、安全審計、源路由過濾、數(shù)據(jù)備份、入侵檢測等。
3.2選擇和購買安全硬件和軟件產(chǎn)品
3.2.1硬件產(chǎn)品主要是防火墻的選購。
對于防火墻的選購要具備明確防火墻保護對象和需求的安全等級、根據(jù)安全級別確定防火墻的安全標準、選用功能適中且能擴展和安全有保障的防火墻 、能滿足不同平臺需求,并可集成于網(wǎng)絡(luò)設(shè)備中、應(yīng)能提供良好地售后服務(wù)的產(chǎn)品等要求。
3.2.2軟件產(chǎn)品主要是殺毒軟件的選擇。
本方案中在選擇殺毒軟件時應(yīng)當(dāng)注意幾個方面的要求:具有優(yōu)秀的病毒防治技術(shù)、程序內(nèi)核安全可靠、有對付國產(chǎn)和國外病毒的能力、系統(tǒng)資源占用低,性能優(yōu)越、易管理和使用、集成度高、可調(diào)控系統(tǒng)資源的占用率、有便捷的網(wǎng)絡(luò)化自動升級等優(yōu)點。
3.2.3網(wǎng)絡(luò)規(guī)劃與子網(wǎng)劃分組網(wǎng)規(guī)則。
規(guī)劃網(wǎng)絡(luò)要規(guī)劃到未來的三到六年。并且在未來,企業(yè)的電腦會不斷增加。比較環(huán)形、星形、總線形三種基本拓撲結(jié)構(gòu),星形連接在用戶接入網(wǎng)絡(luò)時具有更大的靈活性。當(dāng)系統(tǒng)不斷發(fā)展或系統(tǒng)發(fā)生重大變化時,這種優(yōu)點將變得更加突出,所以選擇星形網(wǎng)絡(luò)最好。
3.2.4網(wǎng)絡(luò)隔離與訪問控制。
網(wǎng)絡(luò)安全是一個綜合的系統(tǒng)工程,是由許多因素決定的,僅僅采用高檔的安全產(chǎn)品并不能解決全部問題,對安全設(shè)備的管理要求也是非常高的。如果安全產(chǎn)品在管理上是各自管理,很容易因為某個設(shè)備的設(shè)置不當(dāng),造成整個網(wǎng)絡(luò)出現(xiàn)重大安全隱患。技術(shù)員不夠?qū)I(yè),上述現(xiàn)象就會更加容易出現(xiàn);具體企業(yè)的維護人員的水平也有差異,配置的差異容易造成錯誤進而使網(wǎng)絡(luò)中斷。所以,選擇安全設(shè)備就應(yīng)當(dāng)盡量選擇可以進行網(wǎng)絡(luò)化集中管理的設(shè)備,這樣集成化管理的設(shè)備由少量的專業(yè)人員對其進行管理、配置,會成倍的提高整體網(wǎng)絡(luò)的安全性和穩(wěn)定性。
3.2.5操作系統(tǒng)安全增強。
企業(yè)各級網(wǎng)絡(luò)系統(tǒng)平臺的安全主要是指操作系統(tǒng)的安全。由于目前主要的操作系統(tǒng)平臺是建立在國外產(chǎn)品的基礎(chǔ)上,因而存在很大的安全隱患,因此要加強對系統(tǒng)后門程序的管理,對一些可能被利用的后門程序要及時進行系統(tǒng)的補丁升級。
3.2.6應(yīng)用系統(tǒng)安全。
企業(yè)應(yīng)用的系統(tǒng)安全,首先包括用戶進入系統(tǒng)的身份鑒別與控制, 使用網(wǎng)絡(luò)各種資源的權(quán)限管理和訪問控制,涉及到安全相關(guān)的操作一定要進行審計等。用戶按等級分類,分為各級管理員用戶和各類業(yè)務(wù)用戶。 數(shù)據(jù)庫系統(tǒng)、E-MAIL服務(wù)、WWW服務(wù)、VPN、FTP和TELNET應(yīng)用中服務(wù)器系統(tǒng)自身的安全非常重要,這些系統(tǒng)提供安全的服務(wù)也非常重要。本方案中, 應(yīng)用漏洞掃描設(shè)備對網(wǎng)絡(luò)系統(tǒng)進行定期掃描,對存在的網(wǎng)絡(luò)漏洞、系統(tǒng)漏洞、操作系統(tǒng)漏洞、應(yīng)用程序漏洞、等進行探測、掃描,發(fā)現(xiàn)漏洞及時告警,自動提供解決措施或給出參考意見,及時提醒網(wǎng)絡(luò)安全管理員作好相應(yīng)調(diào)整。
3.2.7重點主機防護。
為重點主機,堡壘機建立主機防御系統(tǒng),對于一些重要的資源,我們可以采用主機入侵防御系統(tǒng)這種功能限定不同應(yīng)用程序的訪問權(quán)限,只允許已知的合法的應(yīng)用程序訪問這些資源。
3.2.8連接與傳輸安全。
由于企業(yè)中心內(nèi)部網(wǎng)絡(luò)存在兩套網(wǎng)絡(luò)系統(tǒng),其中一套為企業(yè)對內(nèi)網(wǎng),內(nèi)網(wǎng)主要運行的是內(nèi)部辦公、業(yè)務(wù)系統(tǒng),生產(chǎn)系統(tǒng)等;另一套是外網(wǎng)與INTERNET相連,通常是通過寬帶接入,與企業(yè)系統(tǒng)內(nèi)部的上、下級機構(gòu)網(wǎng)絡(luò)相連。跨越INTERNET通過公共線路建立的企業(yè)集團內(nèi)部局域網(wǎng),通過網(wǎng)絡(luò)進行信息共享、數(shù)據(jù)交換。INTERNET本身就缺乏有效的安全保護,信息傳輸過程中如果不采取相應(yīng)的安全措施,非常容易受到網(wǎng)絡(luò)上其他主機的監(jiān)聽而造成重要信息的泄密或被非法篡改的嚴重后果。所以在每一級的中心網(wǎng)絡(luò)安裝一臺VPN設(shè)備和一臺VPN認證服務(wù)器(VPN-CA),在所屬的直屬單位的網(wǎng)絡(luò)接入處安裝一臺VPN設(shè)備,由上級的VPN認證服務(wù)器通過網(wǎng)絡(luò)對下一級的VPN設(shè)備進行集中統(tǒng)一的網(wǎng)絡(luò)化管理。這樣就能有效地避免數(shù)據(jù)傳輸過程中面臨的安全威脅。
4.結(jié)束語
1 電子信息安全的內(nèi)涵
對于買方來說電子信息主要優(yōu)點是方便快捷、操作起來比較簡單。電子信息對于賣方來說主要優(yōu)點是管理比較方便并且成本較低,但是電子信息最大的缺點就是買賣雙方不能進行交流,主要是貨幣與貨品的交換,并且交易都是通過網(wǎng)絡(luò)進行的,之所以交易能夠順利完成,主要的原因是兩者之間存在著誠信。關(guān)于誠信主要有兩個方面的內(nèi)容:有一種系統(tǒng)軟件在買賣的過程中起到安全保障的作用,能將虛擬的貨幣符號轉(zhuǎn)化成真實的貨幣,同時也能對交易起到保護作用,其中主要是對貨幣賬戶起到安全保障的作用。要想研究電子信息安全,首先要了解信息的內(nèi)涵。信息主要是指資料、數(shù)據(jù)以及知識以不同的形式存在,在中小企業(yè)中這類信息主要是指買賣雙方的有關(guān)信息和資料,犯罪分子能通過非法的手段對電子信息中的買賣雙方采取詐騙行為,或者是通過網(wǎng)絡(luò)對進行入侵和盜竊。信息安全管理標準對信息做出了詳細的定義,信息也是屬于資產(chǎn),與其他的資產(chǎn)相同,對中小企業(yè)的發(fā)展有著重要的作用,是需要法律保護的。信息安全管理標準將信息劃分為八個部分,主要包括物理資產(chǎn)、文檔資產(chǎn)、文字資產(chǎn)、服務(wù)資產(chǎn)、軟件資產(chǎn)、數(shù)據(jù)資產(chǎn)以及人力資源資產(chǎn)。
中小企業(yè)的電子信息主要是以網(wǎng)絡(luò)為載體,網(wǎng)絡(luò)的交流主要通過數(shù)據(jù)的傳輸?shù)靡詫崿F(xiàn),網(wǎng)上交易就是交流過程中的主要內(nèi)容。所以,在信息安全的范疇中電子信息安全技術(shù)就成為了重點問題。關(guān)于電子信息安全技術(shù)的研究大多是關(guān)于技術(shù)的,但是對于中小企業(yè)來說,不僅要對技術(shù)進行改進,也要重視管理層,避免信息出現(xiàn)安全問題。
2 電子信息安全的理論
我國關(guān)于電子信息安全的研究,仍然較為落后。在國際中的關(guān)于信息安全的主要理論為:三觀安全理論、信息循環(huán)理論以及信息安全模型理論。
三觀安全理論。在中小企業(yè)的電子信息安全系統(tǒng)中,三觀安全理論主要將其分為三個方面的內(nèi)容,即微觀、中觀以及宏觀。這個理論主要是將宏觀層面的安全理念轉(zhuǎn)化成微觀層面的管理理念,進而對服務(wù)與生產(chǎn)進行指導(dǎo)。
信息安全模型理論。信息安全模型理論是信息安全管理發(fā)展過程中的產(chǎn)物,信息安全模型理論主要是將人、軟件、操作以及信息系統(tǒng)相結(jié)合,并且全面的保護網(wǎng)絡(luò)信息系統(tǒng)。主要倡導(dǎo)的是一種新的安全觀念,并且提出了不能僅靠程序與軟件對系統(tǒng)信息安全進行保護,要注重動態(tài)保護。此外,關(guān)于電子信息安全問題不能只依賴于安全技術(shù),也要重視管理層安全理念的創(chuàng)新。
電子信息的循環(huán)理論。在實施網(wǎng)絡(luò)信息安全的過程中電子信息的循環(huán)理論將其劃分為四個方面:計劃、執(zhí)行、檢查以及改進。這四個方面是一個循環(huán)的過程,也是一個周期,在循環(huán)的過程中,將這個過程看作是一個整體的信息安全管理體制,而不是將其看成某一管理過程。
3 電子信息安全技術(shù)對加強中小企業(yè)信息安全的作用
上文所述的三個信息安全理論對中小企業(yè)的信息安全管理有著重要的作用,主要有以下幾個方面的內(nèi)容。第一是信息安全領(lǐng)域的建設(shè),第二是中小型企業(yè)中加強建設(shè)信息安全組織。美國信息安全研究所首次提出了信息安全領(lǐng)域,信息安全領(lǐng)域主要是指根據(jù)信息的不同保密程度創(chuàng)建相應(yīng)的保密級別,網(wǎng)絡(luò)控件的安裝要結(jié)合用戶信息的不同安全級別,安全信息的選擇要適合用戶的保密級別。在中小企業(yè)中,電子信息與資料的分類系統(tǒng)應(yīng)該有統(tǒng)一的部門進行管理,然后對信息進行分類,并采取不同程度的加密與保密,這類信息主要包含文檔、電子商務(wù)的相關(guān)資料以及服務(wù)等。將這些信息進行分類、保密、歸檔以及整合,有利于中小企業(yè)電子信息的調(diào)試。
對于中小企業(yè)來說,一直都存在電子信息安全性不夠的問題,這主要同企業(yè)內(nèi)部安全管理不足有關(guān),安全管理的工作缺少專業(yè)的管理,很多的小型企業(yè)并沒有統(tǒng)一的信息安全管理部門。企業(yè)安全管理部門的主要職能包含這幾個方面的內(nèi)容:同企業(yè)人力資源管理部門相互配合共同完成工作內(nèi)容,要定期的審查一些特殊崗位的員工,一旦發(fā)現(xiàn)有違反安全規(guī)則的情況,要重新進行審查。同時還要對員工進行保密的培訓(xùn);組織各個部門的工作,并對各個部門的工作進行協(xié)調(diào),使企業(yè)的安全目標以及戰(zhàn)略得以實現(xiàn);企業(yè)的安全管理部門主要是對安全問題的管理、計劃以及決策負責(zé)。也是企業(yè)的應(yīng)急部門,要想避免企業(yè)信息的泄露,信息安全管理部門就必須加強對信息的管理;多聯(lián)系各個地區(qū)的信息機構(gòu)以及信息安全管理部門,這樣能給企業(yè)帶來新的信息安全管理觀念以及安全技術(shù);采取信息安全報告制,定期的向管理部門匯報信息安全的保護狀況,對于一些重要的事件要及時的匯報,取得管理層對信息安全管理工作的支持。
在網(wǎng)絡(luò)工程發(fā)展的同時,電子信息也得到了發(fā)展,電子信息在企業(yè)的發(fā)展中有著重要的作用,企業(yè)對其也越發(fā)的依賴電子信息。但是這只是一個虛擬的場所,主要通過網(wǎng)絡(luò)這個載體來完成交易,因此安全技術(shù)問題成為了企業(yè)普遍關(guān)注的問題。
[參考文獻]
[1]陳光匡,興華.信息系統(tǒng)安全風(fēng)險評估研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2009(7).
關(guān)鍵詞:信息化 信息安全 網(wǎng)絡(luò)安全
根據(jù)國家統(tǒng)計局年初公布的數(shù)字顯示,國內(nèi)企業(yè)總體的99%都是中小企業(yè),他們貢獻了超過一半的國內(nèi)GDP。但截止到目前,這些中小企業(yè)的信息化水平仍然比較落后,其中針對信息安全的投人,更是鳳毛麟角。
對于國內(nèi)占大多數(shù)的中小企業(yè)來說,如何在充分利用信息化優(yōu)勢的同時,更好地保護自身的信息資產(chǎn),已經(jīng)成為一個嚴峻的挑戰(zhàn)。特別是近兩年來,網(wǎng)絡(luò)上的病毒、攻擊事件頻發(fā),信息安全問題正在日益成為中小企業(yè)信息化進程中的難題。
一、什么是信息安全
信息是一種資產(chǎn),與其它重要的資產(chǎn)一樣,它對一個組織而言具有一定的價值,因此需要適當(dāng)?shù)募右员Wo,而信息又可以以多種形式存在。如可以打印或者寫在紙上,以數(shù)字化的方式存儲,通過郵局郵寄或電子手段發(fā)送,表現(xiàn)在膠片上或以談話的方式說出來。總之,信息無論以什么形式存在,以什么方式存儲、傳輸或共享,都應(yīng)得到恰當(dāng)?shù)谋Wo。
所謂信息安全是指信息具有如下特征:
安全性:確保信息僅可讓授權(quán)獲取的人士訪問;完整性:保護信息和處理方法的準確和完善;可用性:確保授權(quán)人需要時可以獲取信息和相應(yīng)的資產(chǎn)。
信息安全是指使信息避免一系列威脅,保障商務(wù)的連續(xù)性,最大限度地減少業(yè)務(wù)的損失,從而最大限度地獲取投資和商務(wù)的回報。它主要涉及到信息傳輸?shù)陌踩⑿畔⒋鎯Φ陌踩⒁约熬W(wǎng)絡(luò)傳輸信息內(nèi)容的審計三個方面,它可以通過實施一整套恰當(dāng)?shù)拇胧﹣慝@得。但目前我國的信息安全令人堪憂,隨著政府上網(wǎng)和企業(yè)信息化的推進,越來越多的企業(yè)的日常業(yè)務(wù)已經(jīng)無法脫離網(wǎng)絡(luò)和信息技術(shù)的支持,那么我國中小企業(yè)的信息安全現(xiàn)狀如何呢?
二、我國企業(yè)信息安全的現(xiàn)狀
(一)企業(yè)的重視程度
隨著信息化的加快,企業(yè)信息安全越來越受到重視,而我國的中小企業(yè)信息安全現(xiàn)階段正處于初級階段。在推進企業(yè)信息化的進程中,有些中小企業(yè)對于信息化概念的認識遠遠不夠,它們認為購置幾臺電腦放到公司,日常用來打打字,將單個機器連結(jié)到網(wǎng)上企業(yè)就信息化了,遠遠沒有認識到信息技術(shù)給企業(yè)所能帶來的巨大的變化,對于網(wǎng)絡(luò)安全更是沒有意識。
據(jù)調(diào)查,目前國內(nèi)90%的網(wǎng)站存在安全問題,其主要原因是企業(yè)管理者缺少或沒有安全意識。某些企業(yè)網(wǎng)絡(luò)管理員甚至認為其公司規(guī)模較小,不會成為黑客的攻擊目標。如此態(tài)度,網(wǎng)絡(luò)安全更是無從談起。
(二)資金、技術(shù)、人員方面情況
已建立了企業(yè)內(nèi)部信息化平臺的企業(yè),由于資金、技術(shù)等方面的原因,還沒有把重點放到網(wǎng)絡(luò)安全管理上,尤其是中小企業(yè)的安全問題一直隱患重重。
據(jù)了解,許多中小企業(yè)沒有專門的網(wǎng)絡(luò)管理員,一般采用兼職管理方式,這使中小企業(yè)的網(wǎng)絡(luò)管理在安全性方面存在嚴重的漏洞,與大型企業(yè)相比,它們更容易受到網(wǎng)絡(luò)病毒的侵害,損失也比較嚴重。
根據(jù)IDC對2005年我國政府、企業(yè)用戶的信息安全狀況分析,約有34.8%的企業(yè)因內(nèi)部雇員的行為(包括對內(nèi)部資源的不合理使用和對內(nèi)部數(shù)據(jù)缺乏有效保護)而造成企業(yè)出現(xiàn)安全問題。
(三)網(wǎng)絡(luò)維護、運行、升級方面的情況
在網(wǎng)絡(luò)的維護、運行、升級等事務(wù)性工作方面,由于工作繁重而且成本較高,一些善于精打細算的中小企業(yè)在防范黑客及病毒方面舍不得投入,據(jù)相關(guān)調(diào)查數(shù)據(jù)資料統(tǒng)計,國內(nèi)七成以上的中小企業(yè),一是缺乏基本的企業(yè)防毒知識,購買一些單機版防毒產(chǎn)品來防護整個企業(yè)網(wǎng)絡(luò)的安全。二是采購了并不適合自身網(wǎng)絡(luò)系統(tǒng)的企業(yè)防毒產(chǎn)品,因此留下許多安全隱患。三是技術(shù)力量薄弱,雖然部署了企業(yè)防毒產(chǎn)品,但是這些產(chǎn)品操作難度大、使用復(fù)雜,最終導(dǎo)致很難全面發(fā)揮效用,甚至成了擺設(shè),這樣一來企業(yè)內(nèi)部網(wǎng)絡(luò)就根本沒有什么安全而言。
三、如何保證我國中小企業(yè)的信息安全
(一)從企業(yè)的自身情況考慮
要解決中小企業(yè)網(wǎng)絡(luò)信息安全問題,不能僅依靠企業(yè)的安全設(shè)施和網(wǎng)絡(luò)安全產(chǎn)品,而應(yīng)該考慮如何提高企業(yè)自身的網(wǎng)絡(luò)安全意識,將信息安全問題提升到重視的高度,要重視“人”的因素。具體表現(xiàn)在以下兩個方面:
1.提高安全認識
定期對企業(yè)員工進行網(wǎng)絡(luò)安全教育培訓(xùn)深化企業(yè)的全員信息安全意識,企業(yè)管理層要制定完整的信息安全策略并貫徹執(zhí)行,對安全問題要做到預(yù)先考慮和防備。
2.要求中小企業(yè)在上網(wǎng)的過程中要做到“一做三不要”
(1)將存有重要數(shù)據(jù)的電腦堅決同網(wǎng)絡(luò)隔離,同時設(shè)置開機密碼,并將軟驅(qū)、硬盤加密鎖定,進行三級保護。
(2)不要在自己的系統(tǒng)之內(nèi)使用任何具有記憶命令的程序,因為這些程序不但能記錄用戶的擊鍵動作甚至能以快照的形式記錄到屏幕上發(fā)生的一切。
(3)不在網(wǎng)上的任何場合下隨意透露自己企業(yè)的任何安全信息。
(4)不要啟動系統(tǒng)資源共享功能,最后要盡量減少企業(yè)資源暴露在外部網(wǎng)上的機會和次數(shù),減少黑客進攻的機會。
(二)從網(wǎng)絡(luò)安全角度考慮
1.從網(wǎng)絡(luò)安全服務(wù)商的角度來說,服務(wù)商要重視中小企業(yè)對網(wǎng)絡(luò)安全解決方案的需要,充分考慮中小企業(yè)的現(xiàn)實狀況,仔細調(diào)查和分析中小企業(yè)的安全因素,開發(fā)出適合中小企業(yè)實際情況的網(wǎng)絡(luò)安全綜合解決方案。此外,還應(yīng)該注意投入大量精力在安全策略的施行及安全教育的開展方面,這樣才能為中小企業(yè)信息安全工作的順利開展提供堅實的保證。
2.要用防火墻將企業(yè)的局域網(wǎng)(Intranet)與互聯(lián)網(wǎng)之間進行隔離。由于網(wǎng)絡(luò)攻擊不斷升級,對應(yīng)的防火墻軟件也應(yīng)該及時跟著升級,這樣就要求我們企業(yè)的網(wǎng)管人員要經(jīng)常到有關(guān)網(wǎng)站上下載最新的補丁程序,以便進行網(wǎng)絡(luò)維護,同時經(jīng)常掃描整個內(nèi)部網(wǎng)絡(luò),以發(fā)現(xiàn)任何安全隱患并及時更改,才能做到有備無患。
3.企業(yè)用戶最好自己學(xué)會如何調(diào)試和管理自己的局域網(wǎng)系統(tǒng),不要經(jīng)常請別人來協(xié)助管理。中小企業(yè)要培養(yǎng)自己解決安全問題的能力,提高自己的信息安全技術(shù)。如果缺乏這方面的人才就應(yīng)該去引進或者培養(yǎng)相關(guān)人才。
在企業(yè)的管理信息系統(tǒng)中有眾多的企業(yè)文件在流轉(zhuǎn),其中肯定有重要性文件,有的甚至涉及到企業(yè)的發(fā)展前途,如果這些信息在通用過網(wǎng)絡(luò)傳送時被競爭對手或不法分子竊聽、泄密、篡改或偽造,將會嚴重威脅企業(yè)的發(fā)展,所以,中小企業(yè)電子信息安全技術(shù)的研究具有重要意義。
一、中小企業(yè)的信息化建設(shè)意義
在這個網(wǎng)絡(luò)信息時代,企業(yè)的信息化進程不斷發(fā)展,信息成了企業(yè)成敗的關(guān)鍵,也是管理水平提高的重要途徑。如今企業(yè)的商務(wù)活動,基本上都采用電子商務(wù)的形式進行,企業(yè)的生產(chǎn)運作、運輸和銷售各個方面都運用到了信息化技術(shù)。如通過網(wǎng)絡(luò)收集一些關(guān)于原材料的質(zhì)量,價格,出產(chǎn)地等信息來建立一個原材料信息系統(tǒng),這個信息系統(tǒng)對原材料的采購有很大的作用。通過對數(shù)據(jù)的分析,可以得到跟多的采購建議和對策,實現(xiàn)企業(yè)電子信息化水準。有關(guān)調(diào)查顯示,百分之八十二的中小企業(yè)對網(wǎng)站的應(yīng)還處于宣傳企業(yè)形象,產(chǎn)品和服務(wù)信息,收集客戶資料這一階段,而電子商務(wù)這樣關(guān)系到交易的應(yīng)用還不到四分之一,這說明企業(yè)還未充分開發(fā)和利用商業(yè)渠道信息。中小企業(yè)信息化時代已經(jīng)到來,企業(yè)應(yīng)該加快信息化的建設(shè)。
二、電子信息安全技術(shù)闡述
1、電子信息中的加密技術(shù)
加密技術(shù)能夠使數(shù)據(jù)的傳送更為安全和完整,加密技術(shù)分為對稱和非對稱加密兩種。其中對稱加密通常通過序列密碼或者分組機密來實現(xiàn),包括明文、密鑰、加密算法以及解密算法等五個基本組成成分。非對稱加密與對稱加密有所不同,非對稱加密需要公開密鑰和私有密鑰兩個密鑰,公開密鑰和私有密鑰必須配對使用,用公開密鑰進行的加密,只有其對應(yīng)的私有密匙才能解密。用私有密鑰進行的加密,也只有用其相應(yīng)的公開密鑰才能解密。
加密技術(shù)對傳送的電子信息能夠起到保密的作用。在發(fā)送電子信息時,發(fā)送人用加密密鑰或算法對所發(fā)的信息加密后將其發(fā)出,如果在傳輸過程中有人竊取信息,他只能得到密文,密文是無法理解的。接受著可以利用解密密鑰將密文解密,恢復(fù)成明文。
2、防火墻技術(shù)
隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,一些郵件炸彈,病毒木馬和網(wǎng)上黑客等對網(wǎng)絡(luò)的安全也造成了很大的威脅。企業(yè)的信息化使其網(wǎng)絡(luò)也遭到同樣的威脅,企業(yè)電子信息的安全也難以得到保證。針對網(wǎng)絡(luò)不安全這種狀況,最初采取的一種保護措施就是防火墻。在我們的個人電腦中防火墻也起到了很大的作用,它可以阻止非黑客的入侵,電腦信息的篡改等。
3、認證技術(shù)
消息認證和身份認證是認證技術(shù)的兩種形式,消息認證主要用于確保信息的完整性和抗否認性,用戶通過消息認證來確認信息的真假和是否被第三方修改或偽造。身份認證使用與鑒別用戶的身份的,包括識別和驗證兩個步驟。明確和區(qū)分訪問者身份是識別,確認訪問者身份叫驗證。用戶在訪問一些非公開的資源時必須通過身份認證。比如訪問高校的查分系統(tǒng)時,必須要經(jīng)過學(xué)號和密碼的驗證才能訪問。高校圖書館的一些資源要校園網(wǎng)才能進行訪問,非校園網(wǎng)的不能進入,除非付費申請一個合格的訪問身份。
三、中小企業(yè)中電子信息的主要安全要素
1、信息的機密性
在今天這個網(wǎng)絡(luò)時代,信息的機密性工作似乎變得不那么容易了,但信息直接代表著企業(yè)的商業(yè)機密,如何保護企業(yè)信息不被竊取,篡改,濫用以及破壞,如何利用互聯(lián)網(wǎng)進行信息傳遞又能確保信息安全性已成為各中小企業(yè)必須解決的重要問題。
2、信息的有效性
隨著電子信息技術(shù)的發(fā)展,各中小企業(yè)都利用電子形式進行信息傳遞,信息的有效性直接關(guān)系的企業(yè)的經(jīng)濟利益,也是個企業(yè)貿(mào)易順利進行的前提條件。所以要排除各種網(wǎng)絡(luò)故障、硬件故障,對這些網(wǎng)絡(luò)故障帶來的潛在威脅加以控制和預(yù)防,從而確保傳遞信息的有效性。
3、信息的完整性
企業(yè)交易各方的經(jīng)營策略嚴重受到交易方的信息的完整性影響,所以保持交易各方的信息的完整性是非常重要對交易各方都是非常重要的。在對信息的處理過程中要預(yù)防對信息的隨意生成、修改,在傳送過程中要防止信息的丟失,保持信息的完整性是企業(yè)之間進行交易的基礎(chǔ)。
四、解決中小企業(yè)中電子信息安全問題的策略
1、構(gòu)建中小企業(yè)電子信息安全管理體制
解決信息安全問題除了使用安全技術(shù)以外,還應(yīng)該建立一套完善的電子信息安全管理制度,以確保信息安全管理的順利進行。在一般中小企業(yè)中,最初建立的相關(guān)信息管理制度在很大程度上制約著一個信息系統(tǒng)的安全。如果安全管理制度出了問題,那么圍繞著這一制度來選擇和使用安全管理技術(shù)及手段將無法正常進行,信息的安全性就得不到保證。完善,嚴格的電子信息安全管理制度對信息系統(tǒng)的安全影響很大。在企業(yè)信息系統(tǒng)中,如果沒有嚴格完善的信息安全管理制度,電子信息安全技術(shù)和相關(guān)的安全工具是不可能發(fā)揮應(yīng)有的作用的。
2、利用企業(yè)的網(wǎng)絡(luò)條件來提供信息安全服務(wù)
很多企業(yè)的多個二級單位都在系統(tǒng)內(nèi)通過廣域網(wǎng)被聯(lián)通, 局域網(wǎng)在各單位都全部建成,企業(yè)應(yīng)該利用這種良好的網(wǎng)絡(luò)條件來為企業(yè)提供良好的信息安全服務(wù)。通過企業(yè)這一網(wǎng)絡(luò)平臺技術(shù)標準,安全公告和安全法規(guī),提供信息安全軟件下載,安全設(shè)備選型,提供在線信息安全教育和培訓(xùn),同時為企業(yè)員工提供一個交流經(jīng)驗的場所。
3、定期對安全防護軟件系統(tǒng)進行評估、改進
隨著企業(yè)的發(fā)展,企業(yè)的信息化應(yīng)用和信息技術(shù)也不斷發(fā)展,人們對信息安全問題的認識是隨著技術(shù)的發(fā)展而不斷提高的,在電子信息安全問題不斷被發(fā)現(xiàn)的同時,解決信息安全問題的安全防護軟件系統(tǒng)也應(yīng)該不斷的改進,定期對系統(tǒng)進行評估。
總之,各中小企業(yè)電子星系安全技術(shù)包含著技術(shù)和管理,以及制度等因素,隨著信息技術(shù)的不斷發(fā)展,不僅中小企業(yè)辦公室逐漸趨向辦公自動化,而且還確保了企業(yè)電子信息安全。
參考文獻:
[1]溫正衛(wèi);信息安全技術(shù)在電子政務(wù)系統(tǒng)中的應(yīng)用[J];軟件導(dǎo)刊,2010
Abstract; network security problem to the small and medium-sized enterprise universal existence as the background, analyzes the main network security problems of small and medium enterprises, aiming at these problems, a small and medium enterprises to solve their own problems of network security are the road. And put forward the concept of the rate of return on investment, according to this concept, can be a preliminary estimate of the enterprise investment in network security.
Keywords: small and medium-sized enterprises; network security; network security architecture
中圖分類號:TN915.08文獻標識碼:A文章編號:2095-2104(2013)
1、中小型企業(yè)網(wǎng)絡(luò)安全問題的研究背景
隨著企業(yè)信息化的推廣和計算機網(wǎng)絡(luò)的成熟和擴大,企業(yè)的發(fā)展越來越離不開網(wǎng)絡(luò),而伴隨著企業(yè)對網(wǎng)絡(luò)的依賴性與日俱增,企業(yè)網(wǎng)絡(luò)的安全性問題越來越嚴重,大量的入侵、蠕蟲、木馬、后門、拒絕服務(wù)、垃圾郵件、系統(tǒng)漏洞、間諜軟件等花樣繁多的安全隱患開始一一呈現(xiàn)在企業(yè)面前。近些年來頻繁出現(xiàn)在媒體報道中的網(wǎng)絡(luò)安全案例無疑是為我們敲響了警鐘,在信息網(wǎng)絡(luò)越來越發(fā)達的今天,企業(yè)要發(fā)展就必須重視自身網(wǎng)絡(luò)的安全問題。網(wǎng)絡(luò)安全不僅關(guān)系到企業(yè)的發(fā)展,甚至關(guān)乎到了企業(yè)的存亡。
2 、中小型企業(yè)網(wǎng)絡(luò)安全的主要問題
2.1什么是網(wǎng)絡(luò)安全
網(wǎng)絡(luò)安全的一個通用定義:網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)中的軟、硬件設(shè)施及其系統(tǒng)中的數(shù)據(jù)受到保護,不會由于偶然的或是惡意的原因而遭受到破壞、更改和泄露。系統(tǒng)能夠連續(xù)、可靠地正常運行,網(wǎng)絡(luò)服務(wù)不被中斷。網(wǎng)絡(luò)安全從本質(zhì)上說就是網(wǎng)絡(luò)上的信息安全。廣義地說,凡是涉及網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實性(抗抵賴性)和可控性的相關(guān)技術(shù)和理論,都是網(wǎng)絡(luò)安全主要研究的領(lǐng)域。
2.2網(wǎng)絡(luò)安全架構(gòu)的基本功能
網(wǎng)絡(luò)信息的保密性、完整性、可用性、真實性(抗抵賴性)和可控性又被稱為網(wǎng)絡(luò)安全目標,對于任何一個企業(yè)網(wǎng)絡(luò)來講,都應(yīng)該實現(xiàn)這五個網(wǎng)絡(luò)安全基本目標,這就需要企業(yè)的網(wǎng)絡(luò)應(yīng)用架構(gòu)具備防御、監(jiān)測、應(yīng)急、恢復(fù)等基本功能。
2.3中小型企業(yè)的主要網(wǎng)絡(luò)安全問題
中小型企業(yè)主要的網(wǎng)絡(luò)安全問題主要體現(xiàn)在3個方面.
1、木馬和病毒
計算機木馬和病毒是最常見的一類安全問題。木馬和病毒會嚴重破壞企業(yè)業(yè)務(wù)的連續(xù)性和有效性,某些木馬和病毒甚至能在片刻之間感染整個辦公場所從而導(dǎo)致企業(yè)業(yè)務(wù)徹底癱瘓。與此同時,公司員工也可能通過訪問惡意網(wǎng)站、下載未知的資料或者打開含有病毒代碼的電子郵件附件等方式,在不經(jīng)意間將病毒和木馬帶入企業(yè)網(wǎng)絡(luò)并進行傳播,進而給企業(yè)造成巨大的經(jīng)濟損失。由此可見,網(wǎng)絡(luò)安全系統(tǒng)必須能夠在網(wǎng)絡(luò)的每一點對蠕蟲、病毒和間諜軟件進行檢測和防范。這里提到的每一點,包括網(wǎng)絡(luò)的邊界位置以及內(nèi)部網(wǎng)絡(luò)環(huán)境。
2、信息竊取
信息竊取是企業(yè)面臨的一個重大問題,也可以說是企業(yè)最急需解決的問題。網(wǎng)絡(luò)黑客通過入侵企業(yè)網(wǎng)絡(luò)盜取企業(yè)信息和企業(yè)的客戶信息而牟利。解決這一問題,僅僅靠在網(wǎng)絡(luò)邊緣位置加強防范還遠遠不夠,因為黑客可能會伙同公司內(nèi)部人員(如員工或承包商)一起作案。信息竊取會對中小型企業(yè)的發(fā)展造成嚴重影響,它不僅會破壞中小型企業(yè)賴以生存的企業(yè)商譽和客戶關(guān)系。還會令企業(yè)陷入面臨負面報道、政府罰金和法律訴訟等問題的困境。
3、業(yè)務(wù)有效性
計算機木馬和病毒并不是威脅業(yè)務(wù)有效性的唯一因素。隨著企業(yè)發(fā)展與網(wǎng)絡(luò)越來越密不可分,網(wǎng)絡(luò)開始以破壞公司網(wǎng)站和電子商務(wù)運行為威脅條件,對企業(yè)進行敲詐勒索。其中,以DoS(拒絕服務(wù))攻擊為代表的網(wǎng)絡(luò)攻擊占用企業(yè)網(wǎng)絡(luò)的大量帶寬,使其無法正常處理用戶的服務(wù)請求。而這一現(xiàn)象的結(jié)果是災(zāi)難性的:數(shù)據(jù)和訂單丟失,客戶請求被拒絕……同時,當(dāng)被攻擊的消息公之于眾后,企業(yè)的聲譽也會隨之受到影響。
3如何打造安全的中小型企業(yè)網(wǎng)絡(luò)架構(gòu)
通過對中小型企業(yè)網(wǎng)絡(luò)存在的安全問題的分析,同時考慮到中小型企業(yè)資金有限的情況,我認為打造一個安全的中小型企業(yè)網(wǎng)絡(luò)架構(gòu)應(yīng)遵循以下的過程:首先要建立企業(yè)自己的網(wǎng)絡(luò)安全策略;其次根據(jù)企業(yè)現(xiàn)有網(wǎng)絡(luò)環(huán)境對企業(yè)可能存在的網(wǎng)絡(luò)隱患進行網(wǎng)絡(luò)安全風(fēng)險評估,確定企業(yè)需要保護的重點;最后選擇合適的設(shè)備。
3.1建立網(wǎng)絡(luò)安全策略
一個企業(yè)的網(wǎng)絡(luò)絕不能簡簡單單的就定義為安全或者是不安全,每個企業(yè)在建立網(wǎng)絡(luò)安全體系的第一步應(yīng)該是定義安全策略,該策略不會去指導(dǎo)如何獲得安全,而是將企業(yè)需要的應(yīng)用清單羅列出來,再針對不同的信息級別給予安全等級定義。針對不同的信息安全級別和信息流的走向來給予不同的安全策略,企業(yè)需要制定合理的安全策略及安全方案來確保網(wǎng)絡(luò)系統(tǒng)的機密性、完整性、可用性、可控性與可審查性。對關(guān)鍵數(shù)據(jù)的防護要采取包括“進不來、出不去、讀不懂、改不了、走不脫”的五不原則。
“五不原則”:
1.“進不來”——可用性: 授權(quán)實體有權(quán)訪問數(shù)據(jù),讓非法的用戶不能夠進入企業(yè)網(wǎng)。
2.“出不去”——可控性: 控制授權(quán)范圍內(nèi)的信息流向及操作方式,讓企業(yè)網(wǎng)內(nèi)的商業(yè)機密不被泄密。
3.“讀不懂”——機密性: 信息不暴露給未授權(quán)實體或進程,讓未被授權(quán)的人拿到信息也看不懂。
4.“改不了”——完整性: 保證數(shù)據(jù)不被未授權(quán)修改。
5.“走不脫”——可審查性:對出現(xiàn)的安全問題提供依據(jù)與手段。
在“五不原則”的基礎(chǔ)上,再針對企業(yè)網(wǎng)絡(luò)內(nèi)的不同環(huán)節(jié)采取不同的策略。
3.2 信息安全等級劃分
根據(jù)我國《信息安全等級保護管理辦法》,我國所有的企業(yè)都必須對信息系統(tǒng)分等級實行安全保護,對等級保護工作的實施進行監(jiān)督、管理。具體劃分情況如下:
第一級,信息系統(tǒng)受到破壞后,會對公民、法人和其他組織的合法權(quán)益造成損害,但不損害國家安全、社會秩序和公共利益。
第二級,信息系統(tǒng)受到破壞后,會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。
第三級,信息系統(tǒng)受到破壞后,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。
第四級,信息系統(tǒng)受到破壞后,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。
第五級,信息系統(tǒng)受到破壞后,會對國家安全造成特別嚴重損害。
因此,中小型企業(yè)在構(gòu)建企業(yè)信息網(wǎng)絡(luò)安全架構(gòu)之前,都應(yīng)該根據(jù)《信息安全等級保護管理辦法》,經(jīng)由相關(guān)部門確定企業(yè)的信息安全等級,并依據(jù)界定的企業(yè)信息安全等級對企業(yè)可能存在的網(wǎng)絡(luò)安全問題進行網(wǎng)絡(luò)安全風(fēng)險評估。
3.3 網(wǎng)絡(luò)安全風(fēng)險評估
根據(jù)國家信息安全保護管理辦法,網(wǎng)絡(luò)安全風(fēng)險是指由于網(wǎng)絡(luò)系統(tǒng)所存在的脆弱性,因人為或自然的威脅導(dǎo)致安全事件發(fā)生所造成的可能性影響。網(wǎng)絡(luò)安全風(fēng)險評估就是指依據(jù)有關(guān)信息安全技術(shù)和管理標準,對網(wǎng)絡(luò)系統(tǒng)的保密性、完整想、可控性和可用性等安全屬性進行科學(xué)評價的過程。
網(wǎng)絡(luò)安全風(fēng)險評估對企業(yè)的網(wǎng)絡(luò)安全意義重大。首先,網(wǎng)絡(luò)安全風(fēng)險評估是網(wǎng)絡(luò)安全的基礎(chǔ)工作,它有利于網(wǎng)絡(luò)安全的規(guī)劃和設(shè)計以及明確網(wǎng)絡(luò)安全的保障需求;另外,網(wǎng)絡(luò)安全風(fēng)險評估有利于網(wǎng)絡(luò)的安全防護,使得企業(yè)能夠?qū)ψ约旱木W(wǎng)絡(luò)做到突出防護重點,分級保護。
3.4確定企業(yè)需要保護的重點
針對不同的企業(yè),其需要保護的網(wǎng)絡(luò)設(shè)備和節(jié)點是不同的。但是企業(yè)信息網(wǎng)絡(luò)中需要保護的重點在大體上是相同的,我認為主要包括以下幾點:
1.要著重保護服務(wù)器、存儲的安全,較輕保護單機安全。
企業(yè)的運作中,信息是靈魂,一般來說,大量有用的信息都保存在服務(wù)器或者存儲設(shè)備上。在實際工作中,企業(yè)應(yīng)該要求員工把相關(guān)的資料存儲在企業(yè)服務(wù)器中。企業(yè)可以對服務(wù)器采取統(tǒng)一的安全策略,如果管理策略定義的好的話,在服務(wù)器上文件的安全性比單機上要高的多。所以在安全管理中,企業(yè)應(yīng)該把管理的重心放到這些服務(wù)器中,要采用一切必要的措施,讓員工把信息存儲在文件服務(wù)器上。在投資上也應(yīng)著重考慮企業(yè)服務(wù)器的防護。
2.邊界防護是重點。
當(dāng)然著重保護服務(wù)器、存儲設(shè)備的安全并不是說整體的防護并不需要,相反的邊界防護是網(wǎng)絡(luò)防護的重點。網(wǎng)絡(luò)邊界是企業(yè)網(wǎng)絡(luò)與其他網(wǎng)絡(luò)的分界線,對網(wǎng)絡(luò)邊界進行安全防護,首先必須明確到底哪些網(wǎng)絡(luò)邊界需要防護,這可以通過網(wǎng)絡(luò)安全風(fēng)險評估來確定。網(wǎng)絡(luò)邊界是一個網(wǎng)絡(luò)的重要組成部分,負責(zé)對網(wǎng)絡(luò)流量進行最初及最后的過濾,對一些公共服務(wù)器區(qū)進行保護,VPN技術(shù)也是在網(wǎng)絡(luò)邊界設(shè)備建立和終結(jié)的,因此邊界安全的有效部署對整網(wǎng)安全意義重大。
3.“”保護。
企業(yè)還要注意到,對于某些極其重要的部門,要將其劃為,例如一些研發(fā)部門。類似的部門一旦發(fā)生網(wǎng)絡(luò)安全事件,往往很難估量損失。在這些區(qū)域可以采用虛擬局域網(wǎng)技術(shù)或者干脆做到物理隔離。
4.終端計算機的防護。
最后作者還是要提到終端計算機的防護,雖然對比服務(wù)器、存儲和邊界防護,終端計算機的安全級別相對較低,但最基本的病毒防護,和策略審計是必不可少的。
3.5選擇合適的網(wǎng)絡(luò)安全設(shè)備
企業(yè)應(yīng)該根據(jù)自身的需求和實際情況選擇適合的網(wǎng)絡(luò)安全設(shè)備,并不是越貴越好,或者是越先進越好。在這里作者重點介紹一下邊界防護產(chǎn)品——防火墻的性能參數(shù)的實際應(yīng)用。
作為網(wǎng)絡(luò)安全重要的一環(huán),防火墻是在任何整體網(wǎng)絡(luò)安全建設(shè)中都是不能缺少的主角之一,并且?guī)缀跛械木W(wǎng)絡(luò)安全公司都會推出自己品牌的防火墻。在防火墻的參數(shù)中,最常看到的是并發(fā)連接數(shù)、網(wǎng)絡(luò)吞吐量兩個指標.
并發(fā)連接數(shù):是指防火墻或服務(wù)器對其業(yè)務(wù)信息流的處理能力,是防火墻能夠同時處理的點對點連接的最大數(shù)目,它反映出防火墻設(shè)備對多個連接的訪問控制能力和連接狀態(tài)跟蹤能力,這個參數(shù)的大小直接影響到防火墻所能支持的最大信息點數(shù)。由于計算機用戶訪問頁面中有可能包含較多的其他頁面的連接,按每個臺計算機發(fā)生20個并發(fā)連接數(shù)計算(很多文章中提到一個經(jīng)驗數(shù)據(jù)是15,但這個數(shù)值在集中辦公的地方往往會出現(xiàn)不足),假設(shè)企業(yè)中的計算機用戶為500人,這個企業(yè)需要的防火墻的并發(fā)連接數(shù)是:20*500*3/4=7500,也就是說在其他指標符合的情況下,購買一臺并發(fā)連接數(shù)在10000~15000之間的防火墻就已經(jīng)足夠了,如果再規(guī)范了終端用戶的瀏覽限制,甚至可以更低。
網(wǎng)絡(luò)吞吐量:是指在沒有幀丟失的情況下,設(shè)備能夠接受的最大速率。隨著Internet的日益普及,內(nèi)部網(wǎng)用戶訪問Internet的需求在不斷增加,一些企業(yè)也需要對外提供諸如WWW頁面瀏覽、FTP文件傳輸、DNS域名解析等服務(wù),這些因素會導(dǎo)致網(wǎng)絡(luò)流量的急劇增加,而防火墻作為內(nèi)外網(wǎng)之間的唯一數(shù)據(jù)通道,如果吞吐量太小,就會成為網(wǎng)絡(luò)瓶頸,給整個網(wǎng)絡(luò)的傳輸效率帶來負面影響。因此,考察防火墻的吞吐能力有助于企業(yè)更好的評價其性能表現(xiàn)。這也是測量防火墻性能的重要指標。
吞吐量的大小主要由防火墻內(nèi)網(wǎng)卡,及程序算法的效率決定,尤其是程序算法,會使防火墻系統(tǒng)進行大量運算,通信量大打折扣。因此,大多數(shù)防火墻雖號稱100M防火墻,由于其算法依靠軟件實現(xiàn),通信量遠遠沒有達到100M,實際只有10M-20M。純硬件防火墻,由于采用硬件進行運算,因此吞吐量可以達到線性90-95M,才是真正的100M防火墻。
從實際情況來看,中小型企業(yè)由于企業(yè)規(guī)模和人數(shù)的原因,一般選擇百兆防火墻就已經(jīng)足夠了。
3.6投資回報率
在之前作者曾提到的中小企業(yè)的網(wǎng)絡(luò)特點中資金少是最重要的一個問題。不論企業(yè)如何做安全策略以及劃分保護重點,最終都要落實到一個實際問題上——企業(yè)網(wǎng)絡(luò)安全的投資資金。這里就涉及到了一個名詞——投資回報率。在網(wǎng)絡(luò)安全的投資上,是看不到任何產(chǎn)出的,那么網(wǎng)絡(luò)安全的投資回報率該如何計算呢?
首先,企業(yè)要確定公司內(nèi)部員工在使用電子郵件和進行WEB瀏覽時,可能會違反公司網(wǎng)絡(luò)行為規(guī)范的概率。可以將這個概率稱為暴光值(exposure value (EV))。根據(jù)一些機構(gòu)對中小企業(yè)做的調(diào)查報告可知,通常有25%—30%的員工會違反企業(yè)的使用策略,作者在此選擇25%作為計算安全投資回報率的暴光值。那么,一個擁有100名員工的企業(yè)就有100x 25% = 25名違反者。
下一步,必需確定一個因素——當(dāng)發(fā)現(xiàn)單一事件時將損失多少人民幣。可以將它稱為預(yù)期單一損失(single loss expectancy (SLE))。由于公司中的100個員工都有可能會違反公司的使用規(guī)定,因此,可以用這100個員工的平均小時工資作為每小時造成工作站停機的預(yù)期單一最小損失值。例如,作者在此可以用每小時10元人民幣作為預(yù)期單一最小損失值。然后,企業(yè)需要確定在一周的工作時間之內(nèi),處理25名違規(guī)員工帶來的影響需要花費多少時間。這個時間可以用每周總工作量40小時乘以暴光值25%可以得出為10小時。這樣,就可以按下列公式來計算單一預(yù)期損失值:
25x ¥10 x 10/ h = ¥2500 (SLE)
最后,企業(yè)要確定這樣的事情在一年中可能會發(fā)生多少次。可以叫它為預(yù)期年均損失(annualized loss expectancy (ALE))。這樣的損失事件可能每一個星期都會發(fā)生,一年有52周,如果除去我國的春節(jié)和十一黃金周的兩個假期,這意味著一個企業(yè)在一年中可能會發(fā)生50次這樣的事件,可以將它稱之為年發(fā)生率(annual rate of occurrence (ARO))。預(yù)期的年均損失(ALE)就等于年發(fā)生率(ARO)乘以預(yù)期單一損失(SLE):
¥2500 x 50 = ¥125,000 (ALE)
這就是說,該公司在沒有使用安全技術(shù)防范措施的情況下,內(nèi)部員工的違規(guī)網(wǎng)絡(luò)操作行為可能會給公司每年造成12.5萬元人民幣的損失。從這里就可以知道,如果公司只需要花費10000元人民幣來實施一個具體的網(wǎng)絡(luò)行為監(jiān)控解決方案,就可能讓企業(yè)每年減少12.5萬元人民幣的損失,這個安全防范方案當(dāng)然是值得去做的。
當(dāng)然,事實卻并不是這么簡單的。這是由于安全并不是某種安全技術(shù)就可以解決的,安全防范是一個持續(xù)過程,其中必然會牽扯到人力和管理成本等因素。而且,任何一種安全技術(shù)或安全解決方案并不能保證絕對的安全,因為這是不可能完成的任務(wù)。
就拿本例來說,實施這個網(wǎng)絡(luò)行為監(jiān)控方案之后,能夠?qū)⑵髽I(yè)內(nèi)部員工的違規(guī)行為,也就是暴光值(EV)降低到2%就已經(jīng)相當(dāng)不錯了。而這,需要在此安全防范方案實施一段時間之后,例如半年或一年,企業(yè)才可能知道實施此安全方案后的最終效果,也就是此次安全投資的具體投資回報率是多少。
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2008)19-30003-01
1 正確認識中小企業(yè)信息安全重要性
信息時代,企業(yè)的正常運作離不開信息資源的支持,這包括企業(yè)的經(jīng)營計劃、知識產(chǎn)權(quán)、生產(chǎn)工藝、流程配方、方案圖紙、客戶資源以及各種重要數(shù)據(jù)等,這些都是企業(yè)全體員工努力拼搏、刻苦鉆研、殫精竭慮、長期積累下來的智慧結(jié)晶,是企業(yè)發(fā)展的方向和動力,關(guān)乎著企業(yè)的生存與發(fā)展,企業(yè)的重要信息一旦被泄露會使企業(yè)頓失市場競爭優(yōu)勢,甚至?xí)馐軠珥斨疄?zāi)。因此,企業(yè)要保持健康可持續(xù)性發(fā)展,信息安全是基本的保證之一。
2 危害中小企業(yè)信息安全的罪魁禍首
在媒體的宣傳下,病毒、木馬、蠕蟲、黑客已經(jīng)成為危害信息安全的罪魁禍首,但是據(jù)信息專家論證,對計算機系統(tǒng)造成重大破壞的往往不是它們,而是組織內(nèi)部人員有意或無意對信息的窺探或竊取。未來安全問題不再是過去簡簡單單的一個病毒或者一個黑客,它將朝著更多元化的方向發(fā)展,對于中小企業(yè)而言,無論是數(shù)據(jù)失竊、郵件泄密、打印泄密、還是網(wǎng)絡(luò)癱瘓,也許都將是一次徹底的毀滅。
3 哪些信息需要保密
一般而言,中小企業(yè)發(fā)生數(shù)據(jù)泄露事件的一個主要原因,是他們不知道自己的敏感信息和機密商業(yè)信息位于網(wǎng)絡(luò)或企業(yè)系統(tǒng)中的位置。由于缺乏這種了解,加上數(shù)據(jù)存儲方面的控制措施不到位,數(shù)據(jù)泄露變成了重大威脅。另外,這種危險并不僅僅出現(xiàn)在企業(yè)的網(wǎng)絡(luò)上,還出現(xiàn)在員工和合作伙伴的筆記本電腦及其他便攜存儲設(shè)備上。許多組織越來越擔(dān)心遇到數(shù)據(jù)泄密事件。據(jù)調(diào)查分析,知識產(chǎn)權(quán)、商業(yè)機密信息、客戶及消費者數(shù)據(jù),以及員工數(shù)據(jù)成為面臨風(fēng)險最大的四種數(shù)據(jù),當(dāng)然 也是最需要保密的數(shù)據(jù)。一般而言,自主研發(fā)型的企業(yè)產(chǎn)品研發(fā)部門是最需要進行電子數(shù)據(jù)加密的,而其他企業(yè)根據(jù)經(jīng)營特點的不同,也可能把營銷部門或財務(wù)部門等其他部門列為數(shù)據(jù)安全保護的重點部門。
4 如何選擇適合的加密方法
總的來說,目前市場上有如下幾種主流的加密方式:
一種是文件夾加密,主要是提供給單個用戶使用,對放置機密文件的文件夾進行加密,打開時需要輸入密碼,此種加密軟件多為個人或軟件工作室制作,并不穩(wěn)定,建議慎重使用,一旦重要資料加密后無法打開問題就比較嚴重了。
第二種就是我們常說的透明加密,這種加密方式的特點在于:不影響正常工作,而密文一旦脫離加密環(huán)境就無法打開,可以說是當(dāng)前一種比較嚴密的數(shù)據(jù)保護方法。
第三種是USB接口加密,就是屏蔽USB設(shè)備或綁定USB存儲設(shè)備,對于綁定以外的USB設(shè)備無法識別。雖然這種方式不是嚴格意義上的數(shù)據(jù)加密,但因其原理簡單,對系統(tǒng)底層接觸較小,出問題的幾率比較小,所以應(yīng)用范圍也很廣泛。
對于企業(yè)用戶我們推薦使用第二種方式,第三種方式雖然也可以,但其硬盤上的資料為明文,一旦硬盤被竊用,或文件通過網(wǎng)絡(luò)的方式傳遞出去,也很容易造成泄密。從數(shù)據(jù)的嚴格安全性上考慮,可以選擇第二種和第三種加密方法同時使用。
5 如何選擇合適的加密軟件
那么如何選擇加密軟件,尤其是透明加密類型的軟件呢?首先,一定不要當(dāng)實驗品。很多加密軟件公司都是剛剛起步,或者剛剛涉足數(shù)據(jù)加密領(lǐng)域,其產(chǎn)品雖可能與其他軟件公司的產(chǎn)品原理相同,功能類似,但其中的Bug一定很多。對于透明數(shù)據(jù)加密軟件,一旦出現(xiàn)問題,計算機上的文件都會無法打開,或者某個文件被破壞永久無法打開,這對正常工作的影響是很大的。所以,我們在選擇透明加密產(chǎn)品之前一定要弄清楚該公司此款軟件的研發(fā)時間,第一個版本的上市時間,目前的軟件版本,其客戶有哪些,并最好能對其客戶進行電話或訪問調(diào)研。
其次,一定要考察好該公司的售后服務(wù)情況。對于此類軟件,在實際應(yīng)用過程中因為環(huán)境的不同都多多少少會有一些“水土不服”,這時良好的售后服務(wù)會給IT人員減輕很大的“心理”負擔(dān)。而且IT人員要多給軟件公司一些信心,一些比較少見的問題要給予足夠的時間進行解決,畢竟此類軟件與系統(tǒng)底層接觸的比較多,可能出現(xiàn)的問題也會比較多。
再次,購買前一定要進行一段時間的真實環(huán)境測試,一般的軟件商都會提供試用版,一定要進行充分的試驗,尤其是要注意,自己公司使用的工作軟件是否全部與該公司軟件兼容,如有個別不兼容,軟件公司是否有能力進行相應(yīng)的升級開發(fā)予以解決。
1 概述
網(wǎng)絡(luò)安全伴隨著計算機網(wǎng)絡(luò)的出現(xiàn)已經(jīng)成為了一個伴隨每個網(wǎng)絡(luò)用戶永恒的問題。黑客們長期以來不斷的分析系統(tǒng)和應(yīng)用系統(tǒng),以更多的發(fā)現(xiàn)系統(tǒng)存在的漏洞,并通過編寫相應(yīng)的腳本對其加以利用。安全廠商面對這些不斷發(fā)展安全威脅,也不斷的推出了新的安全防范技術(shù)和產(chǎn)品,如:防火墻、入侵檢測防御系統(tǒng)、殺毒軟件、反間諜軟件以及過濾內(nèi)容和垃圾郵件等產(chǎn)品。此后,各個網(wǎng)絡(luò)用戶跟隨著安全廠商的步伐不斷的將這些安全產(chǎn)品疊加到自身的網(wǎng)絡(luò)結(jié)構(gòu)、服務(wù)器和工作站上。但與此同時需要網(wǎng)絡(luò)用戶解決的還有很多問題,如:為了充分發(fā)揮他們的作用,如何建立一個有效的安全防范策略以及如何妥善管理這些設(shè)備并且如何計算安全防范的投資回報率等。
我們必須承認,中小企業(yè)在網(wǎng)絡(luò)安全方面的認識、投入和實施的案值相對以前的防范措施都有了很大的進步。但是相比以前,是否目前的中小企業(yè)網(wǎng)絡(luò)就更加安全呢?但是針對這個問題,由于網(wǎng)絡(luò)威脅隨著計算機的網(wǎng)絡(luò)發(fā)展而不斷的出現(xiàn),并且相對以前的攻擊手段更具有危險性,因此,不可能有一個非常肯定的答案。并且從經(jīng)濟利益角度出發(fā)是目前黑客攻擊的一個重大目標,從而使得中小企業(yè)成為黑客們攻擊的目標之一。即相對以前而言,目前中小企業(yè)面臨的安全風(fēng)險更高。由于中小企業(yè)的網(wǎng)絡(luò)正朝著WEB應(yīng)用和SOA架構(gòu)的應(yīng)用方向發(fā)展,從而使得網(wǎng)絡(luò)相對以前更加復(fù)雜。因此,目前的計算機網(wǎng)絡(luò)僅有C/S和B/S結(jié)構(gòu)。網(wǎng)絡(luò)結(jié)構(gòu)的復(fù)雜性也增加了安全防范的復(fù)雜性和難度。因此,目前最需要解決的問題就是如何構(gòu)建信息安全管理方案幫助中小企業(yè)更好的解決安全檢測、識別和安全防范等。
2 影響企業(yè)網(wǎng)絡(luò)安全的主要因素
企業(yè)網(wǎng)絡(luò)由局域網(wǎng)和廣域網(wǎng)組成,人和自然因素是影響網(wǎng)絡(luò)安全的主要因素。雷擊、水災(zāi)以及火災(zāi)和地震等因素屬于自然因素,而人為因素包括誤操作刪除數(shù)據(jù)的無意和故意破壞之分。人為故意破壞分為計算機病毒、黑客入侵、網(wǎng)絡(luò)竊聽以及制造大量垃圾郵件等。
斯諾登泄密風(fēng)暴揭發(fā)香港網(wǎng)絡(luò)保安不堪一擊,風(fēng)暴過后復(fù)歸平靜,香港中小企業(yè)計算機保安水平低問題依舊。專家指出,黑客近年喜以“僵尸”手法入侵盜取資料,有公司員工誤開惡性電郵附件,計算機變成“僵尸”控亦懵然不知,最終令全公司計算機受感染。
香港警方坦言黑客難捉,科技罪案破案率不足20%。有中小企代表稱,公司計算機保安水平十年來毫無寸進,原因在于不覺數(shù)據(jù)被偷是致命傷,有閑錢不會優(yōu)先投放改進計算機系統(tǒng)。學(xué)者指出,問題根本在人身上,“并非門鎖不夠先進,而是你不懂把門好好關(guān)上!”
中小企業(yè)大多不重視網(wǎng)絡(luò)安全,而“僵尸網(wǎng)絡(luò)”是近年漸趨普遍的入侵方式,黑客在電郵附件中暗藏惡性軟件,公司內(nèi)部有人不慎開啟,即令計算機受感染成為“僵尸計算機”,“中招”計算機自動將IP地址傳回黑客的控制中心,令其用作監(jiān)測用戶的網(wǎng)上銀行活動。黑客趁用戶登入時,伺機改寫網(wǎng)頁樣式,騙取用戶輸入敏感數(shù)據(jù),或改變交易的細節(jié),例如改變交易金額,或?qū)⒔痤~過數(shù)予第三者。
計算機之所以讓黑客有機可乘,往往由于同事疏于防范胡亂下載附件,令“僵尸”程序或病毒有機可乘,甚至連累全公司被感染而不自知。今年6月,香港計算機保安事故協(xié)調(diào)中心曾參與全球捉“僵尸”行動,與警方連手搗破兩個在港境內(nèi)控制中心,根據(jù)經(jīng)驗,香港受感染的“僵尸”計算機介乎200至700部之間。前六個月處理的622宗保安事故中,超過一半來自僵尸網(wǎng)絡(luò)及黑客入侵,數(shù)字較去年同期增加94%。有專家建議,除防毒軟件及聯(lián)網(wǎng)防火墻外,公司應(yīng)該為員工各自安裝個人防火墻,避免同事計算機在公司Local LAN(局部區(qū)域網(wǎng)絡(luò))內(nèi)互相攻擊。
3 中小企業(yè)應(yīng)當(dāng)建設(shè)一個整體網(wǎng)絡(luò)安全管理方案
只要給企業(yè)一個構(gòu)建安全管理方案的通用處理步驟和流程,每個企業(yè)都能為自己建立一個安全管理方案,因此,企業(yè)設(shè)計一個網(wǎng)絡(luò)安全管理方案并不困難。但是需要注意的是,建立的安全管理方案除了適合目前和以后的發(fā)展外,還應(yīng)當(dāng)適合企業(yè)最關(guān)心的投資回報率問題。
目前很多中小企業(yè)針對安全投資回報率的問題,不知道如何確定防火墻、UTM、IDS/IPS和內(nèi)容過濾以及監(jiān)控系統(tǒng)等開支具體有多大。由于大部分的企業(yè)對于購買的設(shè)備適應(yīng)什么樣的網(wǎng)絡(luò)結(jié)構(gòu)、具體功能是否滿足現(xiàn)在和以后的需求、目前企業(yè)存在哪些問題以及企業(yè)需要什么功能的產(chǎn)品等都不了解,只是簡單將最新產(chǎn)品以及功能最多的產(chǎn)品鏈接到自己的網(wǎng)絡(luò),認為這樣就可以起到安全防護的效果了,網(wǎng)絡(luò)安全問題便可以高枕無憂,因此在安全方面的投資,很多中小企業(yè)雖然常亮紅燈,但是卻得不到相應(yīng)的安全防范效果。實際上,使用恰當(dāng)?shù)募夹g(shù)以持續(xù)不斷的應(yīng)用到某個具體的對象上是安全防范的關(guān)鍵因素,安全防范作為一個具體的過程,而不是某種技術(shù)就能解決的。
安全管理涉及的方面很多,如配置管理、變更控制、業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)計劃、網(wǎng)絡(luò)安全、人力資源以及合理使用等。有些中小企業(yè)也許自己不能構(gòu)建一個全面的安全管理方案,但是為了達到與安全管理方案相同的效果,我們可以使用一種叫做信息安全和事件管理的現(xiàn)成產(chǎn)品。
但是SIEM產(chǎn)品目前只能解決中小企業(yè)安全防范過程中許多問題的一小部分,甚至通過它中小企業(yè)根本取得不了任何安全防范效果。目前大部分的SIEM產(chǎn)品都是建立在關(guān)系型數(shù)據(jù)庫上,由于關(guān)系型數(shù)據(jù)庫不具有每天記錄上百萬條甚至是上十億條安全事件的能力,因此,很大程度上嚴重影響了他們在當(dāng)今企業(yè)環(huán)境中應(yīng)用時的可擴展性。由于購買現(xiàn)成的SIEM產(chǎn)品需要額外花費企業(yè)很多費用,這對于處于危機時期的中小企業(yè)而言無疑成為一個不小的負擔(dān)。但是中小企業(yè)在完成網(wǎng)絡(luò)安全防范任務(wù)的時候,無論是使用自己制定的安全管理方案,還是使用現(xiàn)成的STEM產(chǎn)品,都能讓企業(yè)在安全防范過程中不再感到迷惑,并且更加容易實現(xiàn)安全管理的目標。
4 企業(yè)信息安全新形勢
網(wǎng)絡(luò)信息安全工作始終是通信行業(yè)最為關(guān)鍵的工作之一,具有長期性、復(fù)雜性和艱巨性的特點。2010年3G及寬帶網(wǎng)絡(luò)蓬勃發(fā)展,三網(wǎng)融合開始實施操作,云計算和物聯(lián)網(wǎng)產(chǎn)業(yè)方興未艾,需求的個性化、數(shù)字的海量化、業(yè)務(wù)的復(fù)雜化給通信行業(yè)網(wǎng)絡(luò)信息安全帶來了新的更大的挑戰(zhàn),行業(yè)中企業(yè)要進一步提高對網(wǎng)絡(luò)信息安全重要性的認識,發(fā)展與管理并重,加強部門協(xié)調(diào)配合,加強網(wǎng)絡(luò)基礎(chǔ)管理工作,加強網(wǎng)絡(luò)信息安全保障能力建設(shè),特別是要加快網(wǎng)絡(luò)信息安全關(guān)鍵基礎(chǔ)產(chǎn)業(yè)的研發(fā)應(yīng)用和產(chǎn)業(yè)化,通過核心技術(shù)掌握自主知識產(chǎn)權(quán),加快發(fā)展自主可控的信息安全產(chǎn)業(yè),建設(shè)新時期通信行業(yè)網(wǎng)絡(luò)安全、信息安全長城。
從國際國內(nèi)出現(xiàn)的安全現(xiàn)象出發(fā),應(yīng)對多種復(fù)雜的安全新問題,應(yīng)該借助于RFID等物聯(lián)網(wǎng)新技術(shù),并通過極主動地建立網(wǎng)絡(luò)與信息安全的保障體系,技術(shù)和管理并重,加強立法建設(shè)、政策制訂、技術(shù)研究、標準制訂、隊伍建設(shè)、人才培養(yǎng)、市場服務(wù)、宣傳教育等多方面的工作,通過產(chǎn)業(yè)鏈各方的緊密合作共同構(gòu)造一個全方位多層次的網(wǎng)絡(luò)與信息安全環(huán)境,來共同改善全球的網(wǎng)絡(luò)與信息安全問題。
5 結(jié)束語
計算機網(wǎng)絡(luò)安全作為企業(yè)的一項十分重要的工作,應(yīng)當(dāng)引起高度的重視。在進行網(wǎng)絡(luò)計算機操作之前,必須隨時做好網(wǎng)絡(luò)安全方面的防范工作。我們應(yīng)當(dāng)看到,動態(tài)的企業(yè)網(wǎng)絡(luò)安全隨著病毒、安全技術(shù)以及黑客站點的每日劇增,網(wǎng)絡(luò)安全動態(tài)的不斷更新,對網(wǎng)絡(luò)管理人員來講是一個巨大的挑戰(zhàn)。相信做一個好的信息安全解決方案是企業(yè)辦公網(wǎng)絡(luò)應(yīng)用的完美選擇。
參考文獻:
[1]宋鈺,何小利,何先波,王偉黎.基于SNMP協(xié)議的入侵檢測系統(tǒng)[J].河北理工大學(xué)學(xué)報(自然科學(xué)版),2010(01).
[2]王步飛,顏景潤,任玉燦.現(xiàn)代信息技術(shù)與溫室環(huán)境因子控制[J].考試(教研版),2010(01).
[3]郭錫泉,羅偉其,姚國祥.多級反饋的網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)[J].信息安全與通信保密,2010(01).
[中圖分類號] F230 [文獻標識碼] B
[文章編號] 1009-6043(2017)02-0125-03
引言
隨著現(xiàn)代經(jīng)濟的不斷發(fā)展,越來越多的企業(yè)應(yīng)用了網(wǎng)絡(luò)會計信息系統(tǒng),但由于使用該系統(tǒng)的水平并沒有達到一定的要求,無論是會計人員還是系統(tǒng)本身都存在一定的風(fēng)險和安全隱患,造成了企業(yè)財務(wù)信息的失真和丟失甚至是泄露。一些中小企業(yè)認識到了問題的重要性,開始研究解決安全患的方法與措施,學(xué)術(shù)界的學(xué)者也紛紛發(fā)表了各自的看法,提供了大量的理論觀點和現(xiàn)實依據(jù),加強了會計信息系統(tǒng)的管理與應(yīng)用,提高了使用的安全性。本文針對會計信息系統(tǒng)尚存在的安全問題進一步做了研究,為企業(yè)今后的發(fā)展提供新的參考和依據(jù)。
一、網(wǎng)絡(luò)環(huán)境下會計信息系統(tǒng)的特點
(一)經(jīng)濟性與高效性
網(wǎng)絡(luò)環(huán)境下會計信息系統(tǒng)具有經(jīng)濟性和高效性。從經(jīng)濟性角度來看,網(wǎng)絡(luò)環(huán)境最大的特征就是成本低,范圍廣,通過網(wǎng)絡(luò)平臺將自己的產(chǎn)品,價格以及功能向大家展示出來。而會計信息系統(tǒng)的建立主要也是通過網(wǎng)絡(luò)進行的,只有在此環(huán)境下才更有利于信息的收集和數(shù)據(jù)的分析,同時也是成本最低的采集信息的方式。對于會計信息的監(jiān)督行為也可以通過網(wǎng)絡(luò)遠程操控來實現(xiàn),對于企業(yè)會計管理更具有經(jīng)濟性;從高效性的角度來看,現(xiàn)如今的社會發(fā)展沒有比網(wǎng)絡(luò)更快捷高效的方式,尤其對于信息傳播和收集方面,網(wǎng)絡(luò)平臺掌握著所有可公開的信息,只需要簡單的搜索就可以實現(xiàn),尤其是信息的廣泛性,想要針對任何對象都可以進行快速搜索來全面了解,會計信息系統(tǒng)以最快的速度進行反應(yīng)和決策,所以網(wǎng)絡(luò)對于會計信息系統(tǒng)的使用是具有高效性的。
(二)及時性與實效性
傳統(tǒng)的會計信息處理需要登記賬簿,審核憑證等程序,一系列復(fù)雜的步驟常常耽誤大量的時間和精力,而網(wǎng)絡(luò)環(huán)境下會計信息系統(tǒng)的建立避免這些繁瑣的程序,財務(wù)部門對于所有相關(guān)的企業(yè)信息分門別類進行網(wǎng)絡(luò)系統(tǒng)存儲,同時對信息進行及時的處理和反饋,使企業(yè)最快的做出市場反應(yīng)。針對一些不斷變化和更新的數(shù)據(jù),更需要在網(wǎng)絡(luò)中進行及時搜索,會計根據(jù)信息的用處抓住有效的信息資源,最快速地將信息整合成整體資料,提供給相關(guān)部門,促進企業(yè)內(nèi)部工作效率的提高,所以網(wǎng)絡(luò)環(huán)境下會計信息系統(tǒng)具有及時性和時效性等特點。
二、網(wǎng)絡(luò)環(huán)境下中小企業(yè)會計信息系統(tǒng)存在的安全問題
(一)財務(wù)資料保管不嚴密,易丟失
財務(wù)資料反應(yīng)的是整個企業(yè)內(nèi)部資金狀況和經(jīng)營現(xiàn)象,關(guān)乎企業(yè)的發(fā)展,是企業(yè)最核心的資料,所以財務(wù)資料具有保密性的要求。但是目前仍然存在較多的丟失資料和泄露數(shù)據(jù)的現(xiàn)象,一般來說主要是會計管理人員的工作責(zé)任。一方面,針對資料丟失現(xiàn)象,基本是因為會計人員操作錯誤,誤刪或者沒有存儲造成資料丟失;另一方面,如有數(shù)據(jù)泄露,有可能是由于網(wǎng)絡(luò)安全性設(shè)置不完善或者內(nèi)部人員外泄兩個方面,即使設(shè)置了安全密保,也有可能被專業(yè)人員破解,所以對于起到保密性的軟件開發(fā)對企業(yè)的信息安全管理更為重要。
(二)會計信息系統(tǒng)存在漏洞,易遭黑客攻擊
現(xiàn)代互聯(lián)網(wǎng)環(huán)境中,黑客攻擊現(xiàn)象越來越嚴重,尤其對于企業(yè)內(nèi)部數(shù)據(jù)的侵襲和盜取造成極大的危害。究其根源,會計信息如果遭到網(wǎng)絡(luò)黑客的攻擊,一般是由于系統(tǒng)內(nèi)部存在一定的漏洞,讓黑客鉆了空子,而且目前黑客使用的技術(shù)和軟件都比較先進,針對系統(tǒng)存在的漏洞容易發(fā)起攻擊,并能夠瞬間盜走數(shù)據(jù),同時也可以通過病毒或者木馬進行數(shù)據(jù)破壞,導(dǎo)致整個會計信息系統(tǒng)的安全指數(shù)降低,為企業(yè)引入了新的風(fēng)險。
(三)存在會計信息失真問題
會計信息失真是指所獲得的會計信息和數(shù)據(jù)不能真實的反應(yīng)相關(guān)的經(jīng)濟活動,從而對企業(yè)的決策造成干擾。一般會計信息失真現(xiàn)象來源于兩個方面,一方面是來源渠道出現(xiàn)問題,造成會計人員無意采用了不真實的數(shù)據(jù),大部分原因是因為現(xiàn)代網(wǎng)絡(luò)數(shù)據(jù)確實有不實的現(xiàn)象,會計人員專業(yè)水平不夠,會難以分辨數(shù)據(jù)的真?zhèn)危涣硪环矫媸怯捎跁嫻ぷ魅藛T素質(zhì)低下,收到外部環(huán)境的誘惑或者收買,有意偽造信息,從事了扭曲真實信息的非正常經(jīng)濟活動。會計信息失真現(xiàn)象最根本的原因在于企業(yè)內(nèi)部管理的缺失,才會引起大量數(shù)據(jù)不真實和員工的違規(guī)行為,企業(yè)必須引起重視,有效的控制企業(yè)會計信息失真現(xiàn)象。
(四)網(wǎng)絡(luò)會計人員缺乏,系統(tǒng)應(yīng)用不深入
現(xiàn)代中小型企業(yè)員工的知識和技能水平較低,尤其是計算機水平,大多數(shù)人都達不到要求。目前網(wǎng)絡(luò)會計專業(yè)人員較少,一部分表現(xiàn)為計算機知識和使用技能缺乏,對軟件和系統(tǒng)的應(yīng)用不熟練和不專業(yè),造成網(wǎng)絡(luò)會計系統(tǒng)存在較大的安全性問題。現(xiàn)代網(wǎng)絡(luò)環(huán)境十分復(fù)雜,功能也較多,常常會有惡意程序進入電腦,因為會計人員安全意識薄弱,而且專業(yè)度不夠,很難發(fā)展?jié)撛诘奈kU,盲目的進行操作和處理,無疑會對信息系統(tǒng)造成巨大的破壞。即使是經(jīng)驗豐富的會計人員,不能合理和科學(xué)的操控計算機也無法勝任網(wǎng)絡(luò)會計一職,否則出現(xiàn)操作不嚴密和不規(guī)范的現(xiàn)象,會嚴重損壞系統(tǒng)的正常運作,甚至造成大量數(shù)據(jù)遺失,這會給企業(yè)帶來更多的安全隱患。
三、網(wǎng)絡(luò)環(huán)境下中小企業(yè)會計信息系統(tǒng)問題存在的原因
(一)會計人員操作不規(guī)范
現(xiàn)代網(wǎng)絡(luò)會計信息系統(tǒng)的建立是為了更好的適應(yīng)信息化時代的要求,但是對于計算機使用水平要求較高,會計人員常常會因為操作不規(guī)范影響系統(tǒng)的正常運行。會計操作不規(guī)范一方面是指對電腦軟件使用不熟悉甚至是不了解,數(shù)據(jù)收集以及分析處理都不能有效的使用軟件進行,很難發(fā)揮財務(wù)軟件的多方面功能和作用,尤其進行不懂裝懂的錯誤操作,使軟件完全失去了功能,也失去了效應(yīng);另一方是指面對問題處理操作使用的不規(guī)范也是造成安全隱患的重要原因。每個系統(tǒng)都會階段性的出現(xiàn)問題,如果不能及時有效的處理就會對系統(tǒng)造成更嚴重的損害,還需要花費大量的時間進行修復(fù)。而會計人員如果在面對故障時不但不會因為不了解而放棄處理,反而進行了不合理的操作,將會造成無法彌補的損失,對企業(yè)整體的內(nèi)部財務(wù)環(huán)境具有嚴重的破壞性。
(二)網(wǎng)絡(luò)安全控制制度不健全
許多企業(yè)都是因為管理制度缺失造成大量的安全危機。會計信息系統(tǒng)存在安全隱患的額一部分原因是由于網(wǎng)絡(luò)安全控制制度不健全。對于安全性能、操作規(guī)范程度、策略方法等都尚未建立一整套安全控制制度,同時對于網(wǎng)絡(luò)安全的監(jiān)督體制也不完善,對于某些小型企業(yè)甚至沒有相關(guān)制度。管理人員因為沒有意識到管理體制,尤其是安全管理體制的重要性,那么出現(xiàn)安全問題也很難及時高效的處理。國家需要有法可依,那么企業(yè)需要有制度作為依據(jù)才能有序的經(jīng)營,安全是所有企業(yè)最重視的最核心的問題。尤其面對網(wǎng)絡(luò)環(huán)境,安全性是第一位,所以會計信息系統(tǒng)的安全制度如果不健全,必會對企業(yè)信息安全造成一定影響和破壞,阻礙企業(yè)經(jīng)濟的發(fā)展和進步。
(三)網(wǎng)絡(luò)系統(tǒng)本身的權(quán)限開放
會計信息系統(tǒng)并非獨立的系統(tǒng),集成化信息模式使系統(tǒng)不在單獨針對會計或者財務(wù)部門開放,整個企業(yè)的物流、資金流、顧客訂單等都將在互聯(lián)網(wǎng)平臺共享,而會計信息的安全性能只屬于企業(yè)安全管理的一部分。會計信息的管理權(quán)限如果沒有得到有效的控制,那么必然會造成信息或者數(shù)據(jù)被無意或者有意的泄露。如果是過于復(fù)雜的權(quán)限設(shè)置,由于約束條件比較多,例如用戶的身份、不同時間等,限制相關(guān)人員數(shù)據(jù)收集和信息處理,而且還存在大量臨時設(shè)立的權(quán)限,存在更多的不安全成分。因此權(quán)限的設(shè)置和控制會對網(wǎng)絡(luò)會計信息系統(tǒng)的安全性造成一定的影響。
(四)會計人員職業(yè)道德和信息化水平低
網(wǎng)絡(luò)會計信息系統(tǒng)主要依靠會計來進行管理和控制,主動權(quán)基本掌握在會計工作人員的手上,所以會計人員的職業(yè)道德和信息化水平影響著網(wǎng)絡(luò)信息安全。大量的數(shù)據(jù)丟失和泄露有60%的原因是由于會計人員的職業(yè)道德低下,禁不住誘惑會出現(xiàn)一些虛假記賬或者泄露信息等行為,而且企業(yè)關(guān)注會計人員管理的制度如果不完善,缺乏懲罰制度,更加使會計工作人員不會堅持原則和嚴格遵守職業(yè)道德,這樣會計人員會不斷出現(xiàn)造假泄密的問題,導(dǎo)致企業(yè)財務(wù)受損。然而,會計人員的信息水平低也是造成信息系統(tǒng)存在安全隱患的原因,錯誤的操作會使數(shù)據(jù)誤刪等現(xiàn)象出現(xiàn),所以,對于網(wǎng)絡(luò)會計信息系統(tǒng)的安全性受會計人員的控制,也取決于會計人員的道德素質(zhì)和信息化技能水平。
四、網(wǎng)絡(luò)環(huán)境下中小企業(yè)會計信息系統(tǒng)問題的解決對策
(一)規(guī)范操作步驟,明確工作流程
對于網(wǎng)絡(luò)會計信息系統(tǒng)的安全管理,中小企業(yè)應(yīng)該規(guī)范操作步驟,明確工作流程。對于規(guī)范操作步驟方面,主要針對的是會計人員對系統(tǒng)的操作,對于數(shù)據(jù)的收集、處理、分析、整合等各個過程都需要制定操作步驟,確保每個人嚴格執(zhí)行,避免錯誤性操作帶來的危害,同時對相關(guān)會計人員進行定期培訓(xùn),對于所制定的操作步驟存在的問題進行完善。針對工作流程,企業(yè)應(yīng)該建立一整套基本流程,明確各人員的責(zé)任分工,確保每一項任務(wù)都有具體人員負責(zé),然后要求大家對整體工作流程有所了解,在完成自己負責(zé)的任務(wù)的基礎(chǔ)上協(xié)助他人,將整個會計信息系統(tǒng)進行規(guī)范化和程序化管理。
(二)建立健全網(wǎng)絡(luò)安全控制制度
網(wǎng)絡(luò)會計信息系統(tǒng)應(yīng)該建立以及不斷完善網(wǎng)絡(luò)安全控制制度。第一,建立網(wǎng)絡(luò)風(fēng)險控制制度,對于會計信息系統(tǒng)可能發(fā)生的風(fēng)險進行預(yù)警和控制,做出處理預(yù)案,針對不同的風(fēng)險進行分類以及提出不同處理方法,根據(jù)建立的風(fēng)險管理體制應(yīng)對不同種類的風(fēng)險;第二,建立會計人員管理體制,信息系統(tǒng)的安全大部分取決于會計人員的素質(zhì)和技術(shù)水平,企業(yè)應(yīng)該建立有效的員工管理體制,對其保密性和負責(zé)的態(tài)度都需要不斷加強,根據(jù)體制進行對員工工作的規(guī)范化管理以及獎懲手段實施;第三,建立信息應(yīng)用管理制度,主要是針對信息的輸入,處理以及輸出的控制,方便會計人員進行分析、檢測和預(yù)防等;第四,建立網(wǎng)絡(luò)信息訪問權(quán)限控制,對于比較隱秘性和重要性的信息和數(shù)據(jù)的訪問應(yīng)該設(shè)置訪問權(quán)限,確保是專業(yè)人員進行高技術(shù)設(shè)置,盡量避免被黑客盜取和破壞,同時對于內(nèi)部公開性信息可以建立簡單的員工內(nèi)部訪問權(quán)限,主要是為了提醒大家這屬于企業(yè)內(nèi)部可公開的資源,如果有外泄現(xiàn)象仍然會嚴重處理。
(三)加強會計信息系統(tǒng)硬件管理和軟件升級
針對會計信息系統(tǒng)的軟硬件都需要強化和進一步管理。硬件方面應(yīng)該負責(zé)專門會計人員進行監(jiān)督管理,未經(jīng)授權(quán)的其他人不能直接使用計算機,使用獨立的服務(wù)器,拒絕其他存儲設(shè)備外接到計算機設(shè)備上造成干擾,在電源、防火、防水等方面嚴格把關(guān),必須要求有專門人員進行機房的管理;針對軟件方面,應(yīng)該適應(yīng)現(xiàn)代信息技術(shù)水平,勇于開發(fā)新的功能技術(shù)軟件,同時對原有軟件針對其漏洞不斷升級,保證最先進的軟件技術(shù)。
(四)提升會計人員職業(yè)道德素質(zhì)和信息化技能
會計人員的職業(yè)道德素質(zhì)與信息化技能是影響網(wǎng)絡(luò)會計信息系統(tǒng)安全的重要因素。企業(yè)針對會計人員道德素質(zhì)方面,需要對會計人員進行日常行為的角度和評價,對員工心理變化及時發(fā)現(xiàn),同時應(yīng)該建立合理的激勵機制,對于突出表現(xiàn)的員工給予物質(zhì)或者精神獎勵,反過來對于泄密造假等行為必須給予懲罰,實行制度的同時確保公平公開性原則,這樣員工整體的職業(yè)道德素質(zhì)會被有效的控制;對于員工的信息化水平的提高,應(yīng)該為員工創(chuàng)造多次培訓(xùn)學(xué)習(xí)以及深造的機會,充分掌握市場上最流行先進的技術(shù)手段,保證員工信息化水平與市場同步,這樣網(wǎng)絡(luò)會計信息系統(tǒng)的安全運行才會有所保障。
(五)持續(xù)評估控制會計信息風(fēng)險
企業(yè)面對會計信息風(fēng)險,應(yīng)該保證持續(xù)評估和控制。每次對于數(shù)據(jù)的處理和信息的反饋都包含多方面內(nèi)容的整合,會計人員應(yīng)該學(xué)會整個過程的評估和控制,可以首先建立科學(xué)評估指標,依據(jù)指標進行對現(xiàn)有信息系統(tǒng)進行評估,預(yù)測潛在的風(fēng)險,然后采用針對性的戰(zhàn)略措施進行有效的控制。對于風(fēng)險的評估不能間斷,需要專業(yè)人員實時檢測和監(jiān)督,及時發(fā)現(xiàn)問題和故障,針對預(yù)測的風(fēng)險做出預(yù)案,這樣才會有效的規(guī)避風(fēng)險,促進企業(yè)信息管理正常運作和持續(xù)的發(fā)展。
結(jié)語
目前網(wǎng)絡(luò)會計信息系統(tǒng)應(yīng)用較為廣泛,現(xiàn)代企業(yè)隨著市場的變化和要求不斷地提高,逐漸加強了企業(yè)內(nèi)部環(huán)境的技術(shù)水平。網(wǎng)絡(luò)會計信息系統(tǒng)是一個比較復(fù)雜的現(xiàn)代系統(tǒng),在數(shù)據(jù)的輸入與輸出過程中存在較多的安全隱患,一部分來源于會計人員的自身問題,一部分來源于網(wǎng)絡(luò)本身的不安全性,這都會對系統(tǒng)有一定的破壞性,從而對企業(yè)的財務(wù)信息管理造成危害。所以企業(yè)管理層已經(jīng)引起了注意,開始關(guān)注針對系統(tǒng)的風(fēng)險和安全管理與控制問題,現(xiàn)有的理論基礎(chǔ)和體制尚不完善,從會計人員來看仍然存在道德素質(zhì)低下與技術(shù)水平不合格的現(xiàn)象,從網(wǎng)絡(luò)技術(shù)來看還存在一定的漏洞和不足,需要進一步的改進和加強。本文的研究主要針對網(wǎng)絡(luò)會計信息系統(tǒng)現(xiàn)存的問題進行針對性的提出建議,為現(xiàn)代中小企業(yè)提供了參考依據(jù),也為企業(yè)的管理發(fā)展奠定了現(xiàn)實基礎(chǔ)。
[參 考 文 獻]
隨著社會、經(jīng)濟和科學(xué)技術(shù)的飛速發(fā)展,計算機網(wǎng)絡(luò)在經(jīng)濟和生活的各個領(lǐng)域迅速普及。院校本身為了提高管理和服務(wù)水平,在各個學(xué)院和后勤管理部門都依靠IT技術(shù)構(gòu)建自身的信息基礎(chǔ)架構(gòu)和業(yè)務(wù)系統(tǒng)應(yīng)用平臺。
院校局域網(wǎng)環(huán)境下,印刷企業(yè)獲得了信息共享、信息交流、信息服務(wù),提高了服務(wù)水平、增強了核心競爭力。但網(wǎng)絡(luò)環(huán)境的開放性、共享性、交互性,也造成了印刷企業(yè)信息平臺的脆弱性,一旦網(wǎng)絡(luò)遭到攻擊,科研信息泄密、試卷信息泄露,甚至被人篡改,會給院校帶來重大損失。因而,信息安全問題對院校印刷企業(yè)來講是非常重要的。
信息安全就是防止非法的攻擊和病毒的傳播,保證計算機系統(tǒng)和通信系統(tǒng)的正常運作,保證信息不被非法訪問和篡改。
信息安全的根本目的就是使內(nèi)部信息不受外部威脅,因此信息通常要加密。為保障信息安全,要求有信息源認證、訪問控制,不能有非法軟件駐留,不能有非法操作。
針對院校局域網(wǎng)環(huán)境下印刷企業(yè)信息平臺容易發(fā)生的安全隱患,完善對應(yīng)防范策略,最大限度地保障院校印刷企業(yè)信息安全。
一般來講,安全問題來自內(nèi)部和外部兩個方向,而內(nèi)部又分為誤操作和破壞兩個動機.筆者所在印刷企業(yè)主要面對的信息安全問題主要有以下幾個方面:
1 物理安全
物理安全是指在物理介質(zhì)層次上對存儲和傳輸?shù)木W(wǎng)絡(luò)信息的安全保護。對于計算機網(wǎng)絡(luò)設(shè)備、設(shè)施等等免于遭受自然或人為的破壞。主要有環(huán)境安全(即自然環(huán)境對計算機網(wǎng)絡(luò)設(shè)備與設(shè)施的影響);設(shè)備安全則是指防止設(shè)備被盜竊、毀壞、電磁輻射、電磁干擾、竊聽等;媒體安全,保證媒體本身以及媒體所載數(shù)據(jù)的安全性。
為了保障信息平臺能夠高效的運行,防止或者減少機房受到自然災(zāi)害、物理損壞、設(shè)備故障等不安全因素的影響, 以保障基本的溫度、濕度、電力以及機房隱蔽性等.在機房選址或者是樓宇建設(shè)階段,需要充分考慮機房建設(shè)的物理安全問題.因為在一般情況下,物理上的破壞將銷毀網(wǎng)絡(luò)信息本身,這種不安全因素對網(wǎng)絡(luò)信息的完整性和可用性威脅最大,而對網(wǎng)絡(luò)信息的保密性影響卻較小。
2 數(shù)據(jù)及存儲安全
數(shù)據(jù)備份是指將計算機系統(tǒng)中的一部分數(shù)據(jù)通過適當(dāng)?shù)男问睫D(zhuǎn)錄到可脫機保存的介質(zhì)(如移動硬盤、U盤和光盤)上,制定應(yīng)急處理計劃,做好數(shù)據(jù)的備份和恢復(fù),完善的數(shù)據(jù)備份應(yīng)該是動態(tài)、多重備份.這樣才能保證操作系統(tǒng)遭到破壞后能夠迅速恢復(fù)這些數(shù)據(jù)庫的使用。
由于院校印刷企業(yè)工作的特殊性,對于重要信息數(shù)據(jù), 要在數(shù)據(jù)的存儲、處理、傳輸、銷毀等階段,分別做好對應(yīng)的數(shù)據(jù)安全的保護工作.對于重要數(shù)據(jù)要進行加密處理,對于不可復(fù)制的存儲介質(zhì)應(yīng)該存放在能防火、防盜的庫房中妥善保存。對于敏感數(shù)據(jù)的刪除或銷毀,要通過消除剩磁的技術(shù),做到不可恢復(fù),防止被恢復(fù)而泄漏信息;數(shù)據(jù)傳輸方面,要使用加密與認證密碼傳輸數(shù)據(jù);不使用未進行數(shù)據(jù)加密的移動存儲設(shè)備,防止數(shù)據(jù)外泄。
3 網(wǎng)絡(luò)安全及病毒防控
在基礎(chǔ)架構(gòu)的網(wǎng)絡(luò)規(guī)劃設(shè)計階段,網(wǎng)絡(luò)拓撲設(shè)計非常重要.由于院校信息網(wǎng)中存在中國教育網(wǎng)、公用互聯(lián)網(wǎng)、院校內(nèi)部辦公網(wǎng)、校內(nèi)服務(wù)網(wǎng)等多網(wǎng)絡(luò)共存的環(huán)境.在多層網(wǎng)絡(luò)設(shè)計、子網(wǎng)設(shè)計以及網(wǎng)絡(luò)的安全性、可靠性方面存在許多要求。
充分考慮物理拓撲結(jié)構(gòu)與邏輯拓撲結(jié)構(gòu)的關(guān)系,在使用網(wǎng)絡(luò)設(shè)備進行技術(shù)性實施時,加強控制通信方向,以減少病毒的傳播和黑客的攻擊,保證網(wǎng)絡(luò)系統(tǒng)安全,并關(guān)注網(wǎng)絡(luò)及其設(shè)備的運行情況,注意設(shè)備的維護和升級。
統(tǒng)一部署完整病毒防御體系,注意網(wǎng)絡(luò)傳輸入口與終端設(shè)備數(shù)據(jù)入口相結(jié)合,設(shè)置隔離區(qū)來防止病毒的入侵。同時建立病毒防控服務(wù)中心將硬件病毒庫與軟件病毒數(shù)據(jù)庫的更新同步,用防病毒軟硬件來防止來自互聯(lián)網(wǎng)病毒進入內(nèi)部,采用防毒與殺毒相結(jié)合,在病毒可能流傳的各個渠道設(shè)置監(jiān)控,結(jié)合定時病毒掃描和自動更新,查殺病毒,保證系統(tǒng)安全。
4 業(yè)務(wù)平臺安全
在很多情況下,業(yè)務(wù)信息系統(tǒng)是安裝部署在操作系統(tǒng)基礎(chǔ)上, 如果操作系統(tǒng)安全受到影響,也就失去了業(yè)務(wù)平臺安全運行的基礎(chǔ)。對操作系統(tǒng)進行安全補丁更新,并進行測試工作是至關(guān)重要的,通過專業(yè)軟件進行操作系統(tǒng)底層的安全測試工作,將各種可能存在的木馬程序、蠕蟲、惡意代碼、間諜軟件的侵入安全漏洞進行安全防護,防止給企業(yè)信息基礎(chǔ)設(shè)施、內(nèi)部網(wǎng)絡(luò)、企業(yè)業(yè)務(wù)帶來損失.
結(jié)合業(yè)務(wù)平臺下硬軟件、數(shù)據(jù)和網(wǎng)絡(luò)等方面實際情況,在提高工作人員的保密觀念、責(zé)任心和安全意識,加強業(yè)務(wù)技術(shù)培訓(xùn),防止人為事故發(fā)生的同時, 通過技術(shù)手段,在自主訪問控制、強制訪問控制、身份鑒別等方面進行設(shè)置,主要特征有:最小特權(quán)原則,即每個特權(quán)用戶只擁有能進行他工作的權(quán)力;自主訪問控制;強制訪問控制,包括保密性訪問控制和完整性訪問控制;安全審計。
5 結(jié)語
隨著信息技術(shù)的飛速發(fā)展,信息已經(jīng)成為一種非常重要的戰(zhàn)略資源,其影響企業(yè)安全的各種因素也會不斷變化強化,因此信息安全問題也越來越受到人們的重視,以上我們簡要的分析了院校印刷企業(yè)存在的幾種安全隱患。
總的來說,信息安全不僅僅是技術(shù)問題,因為信息安全研究的各個領(lǐng)域之間不是割裂的,同時也是一個安全管理問題。我們必須綜合考慮安全因素,制定合理的目標、技術(shù)方案和相關(guān)的配套法規(guī)等。其防護技術(shù)也必然隨著信息系統(tǒng)應(yīng)用的發(fā)展而不斷進步。
致謝:
首先,我要向市信息中心的孫勇先生,感謝他為我提供了很多技術(shù)資料。我還要衷心地感謝校信息中心的老師們,感謝他們?yōu)楸疚奶岢隽嗽S多寶貴的意見.最后,我還要向我的領(lǐng)導(dǎo)和同事們表示感謝,感謝他們長期以來的支持和幫助。再次向以上所有人表示感謝。
參考文獻:
[1]陳福莉,譚興烈.信息安全管理平臺及其應(yīng)用[J].信息安全與通信保密,2006(12).
[2]鄭林信息資產(chǎn)的風(fēng)險管理[J].中國計算機用戶,2004(26).
[3]王丁,楊德華.CZC交易信任管理機制探討[J].電腦開發(fā)與應(yīng)用,2004(03).
(Shuangluan District Human Resources and Social Security Bureau of Chengde,Hebei Province,Chengde 067101,China)
摘要: 隨著計算技術(shù)的發(fā)展,網(wǎng)絡(luò)技術(shù)的普遍應(yīng)用,保護商業(yè)機密、個人隱私、敏感數(shù)據(jù)等越顯重要。尤其是中小企事業(yè)單位由于資金有限,資源不多,各種信息數(shù)據(jù)時時受到內(nèi)部的以及外部的威脅。數(shù)據(jù)信息安全的實質(zhì)就是要保護信息系統(tǒng)或信息網(wǎng)絡(luò)中的信息資源免受各種類型的威脅、干擾和破壞,即保證信息的安全性。本文將對中小企事業(yè)單位的數(shù)據(jù)信息安全問題進行分析,提出相應(yīng)的安全策略和技術(shù)防范措施。
Abstract: With the development of computing technology and widespread application of network technology, the protection of commercial secrets, personal privacy and sensitive data and so on becomes more important. Especially for small and medium-sized enterprises, due to the limited funding and resources, the information data is constantly threatened by internal and external factors. The essence of the data information security is to protect information systems or information in the network information resources from various types of threats, interference and damage, namely guarantee information security. This article analyzes the data information security problems of small and medium-sized enterprises and institutions, and puts forward the corresponding security strategy and technical measures.
關(guān)鍵詞 : 數(shù)據(jù)信息;安全策略;企事業(yè)單位
Key words: data information;security policy;enterprises and institutions
中圖分類號:TP311.5文獻標識碼:A文章編號:1006-4311(2015)25-0055-02
作者簡介:李曉賓(1979-),男,河北承德人,科員,助理工程師,研究方向為電子信息。
0 引言
Internet為人類社會創(chuàng)造了一個全新的信息空間,隨著計算機網(wǎng)絡(luò)技術(shù)的日益成熟,計算機網(wǎng)絡(luò)在社會上的應(yīng)用也急劇增多,中小企事業(yè)單位越來越多的采用計算機網(wǎng)絡(luò)技術(shù)來進行辦公。但是在此過程中,由于中小企事業(yè)單位對網(wǎng)絡(luò)安全問題不夠重視以及工作人員的操作不規(guī)范等問題,使中小企事業(yè)單位的網(wǎng)絡(luò)安全受到極大的威脅。隨著數(shù)字化經(jīng)濟的到來,網(wǎng)絡(luò)系統(tǒng)的不斷擴大,信息的快速獲取,數(shù)據(jù)的安全性、可用性變得越來越重要。
1 計算機網(wǎng)絡(luò)數(shù)據(jù)安全問題概述
隨著網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展,各行各業(yè)逐步跨入信息時代大平臺,這一方面為信息儲存、行業(yè)推廣提供了極大便利,而另一方面也催化了網(wǎng)絡(luò)信息安全隱患的不斷滋長,頻頻爆出網(wǎng)絡(luò)用戶信息泄漏事件。目前網(wǎng)絡(luò)已成為中小企事業(yè)單位重要的工作手段之一,網(wǎng)絡(luò)信息泄密使企業(yè)面臨嚴重的安全威脅,并且已經(jīng)有企業(yè)為此承擔(dān)了巨大的經(jīng)濟損失。加強網(wǎng)絡(luò)信息安全管理已刻不容緩。
2 企事業(yè)單位計算機數(shù)據(jù)安全面臨的威脅
①中小企事業(yè)單位由于網(wǎng)絡(luò)管理上的缺失,沒有形成統(tǒng)一的網(wǎng)絡(luò)安全管理制度或者責(zé)任分工不明確,不能及時發(fā)現(xiàn)計算機網(wǎng)絡(luò)系統(tǒng)中出現(xiàn)的安全漏洞,造成數(shù)據(jù)損毀丟失或被黑客篡改。
②U盤、移動硬盤等外來數(shù)據(jù)與中小企事業(yè)單位內(nèi)部的計算機端口進行非法的連接,造成網(wǎng)絡(luò)系統(tǒng)感染病毒或者直接癱瘓,對中小企事業(yè)單位的內(nèi)部信息安全夠成威脅。
③中小企事業(yè)單位對計算機網(wǎng)絡(luò)終端缺乏有效的監(jiān)控,當(dāng)計算機系統(tǒng)出現(xiàn)安全威脅時,無法通過監(jiān)控系統(tǒng)及時鎖定故障點,也無法統(tǒng)一管理計算機網(wǎng)絡(luò)所配置的應(yīng)用軟件。
④由于單位員工的計算機網(wǎng)絡(luò)技術(shù)水平存在較大差異,大部分員工不能熟練掌握計算機網(wǎng)絡(luò)的應(yīng)用技術(shù),經(jīng)常出現(xiàn)由于工作人員的操作不當(dāng),造成數(shù)據(jù)的刪除或者損壞。因沒有設(shè)置或及時更改計算機網(wǎng)絡(luò)的使用權(quán)限,增加了網(wǎng)絡(luò)入侵的危險。
3 計算機網(wǎng)絡(luò)數(shù)據(jù)信息安全策略與技術(shù)防范措施
基于上述安全隱患,而計算機網(wǎng)絡(luò)在中小企事業(yè)單位中的應(yīng)用又勢在必行的現(xiàn)實趨勢,中小企事業(yè)單位應(yīng)該針對計算機網(wǎng)絡(luò)信息制定配套的安全管理策略,切實加強信息安全管理,并且針對安全威脅采取相應(yīng)的技術(shù)防范措施,見表1。
RAID 0追求速度,至少需要2塊硬盤,總?cè)萘肯喈?dāng)于多塊硬盤加起來,不過這種方案安全性欠缺,一塊硬盤出現(xiàn)問題,數(shù)據(jù)全毀。RAID 1追求安全,磁盤2是磁盤1的備份,缺點是容量損失,速度與單塊硬盤相同。RAID 0+1或RAID 1+0兼顧速度與安全,應(yīng)用較多。RAID 5相對來說速度較快,安全性較高,應(yīng)用也比較普遍。
4 典型案例分析
2010年,張建在杭州某電商企業(yè)中負責(zé)品牌運營和推廣工作。在工作中結(jié)識了前支付寶員工李明,雙方產(chǎn)生了“生意”上的來往。在一次合作中,李明用3萬條目標消費者信息來抵付欠張建的500元人民幣酬勞。這3萬條目標消費者信息中包括公民個人的實名、手機、電子郵箱、家庭住址、消費記錄等,張建通過這些定位精準的用戶信息進一步篩選出精準的目標消費群體。李明時任支付寶技術(shù)員工,其利用工作之便,多次從支付寶后臺下載用戶信息。據(jù)其對警方的供述,其下載的信息的大小容量在20G以上。李明下載用戶信息后,伙同兩位系統(tǒng)外的IT業(yè)者,共同將用戶數(shù)據(jù)加以分析、提煉,并兜售給目標客戶。
此案暴露了支付寶公司信息安全管理上的漏洞,如果內(nèi)部監(jiān)管得力,及時發(fā)現(xiàn)問題,就可制止犯罪行為。如果權(quán)限設(shè)置得當(dāng),他沒有相應(yīng)的權(quán)限,就接觸不到或者不會輕易得到如此多的隱私數(shù)據(jù),就不會發(fā)生這類事件了。
5 數(shù)據(jù)信息安全的目標及要達到的效果
信息安全通常強調(diào)CIA三元組的目標,即保密性、完整性和可用性。CIA 的概念闡述源自信息技術(shù)安全評估標準(ITSEC,即 Information Technology Security Evaluation Criteria),它也是信息安全的基本要素和安全建設(shè)所應(yīng)遵循的基本原則。
中小企事業(yè)單位的目標是在有限的投入中,獲得盡可能最大的安全性。防火墻是必須的,既要防病毒又要防黑客;物理隔離網(wǎng)絡(luò)是必要的,只有這樣才能保護專網(wǎng)的數(shù)據(jù)信息安全;建立完整的備份策略是必然的,防患于未然;內(nèi)部的監(jiān)管也是非常重要的,消滅一切威脅到數(shù)據(jù)信息安全的行為。
6 結(jié)論
隨著計算機網(wǎng)絡(luò)技術(shù)的發(fā)展,中小企事業(yè)單位對于計算機網(wǎng)絡(luò)的應(yīng)用將越來越廣泛,建立健全各種安全制度,增強網(wǎng)絡(luò)數(shù)據(jù)信息的安全性刻不容緩。在產(chǎn)業(yè)融合的態(tài)勢下,應(yīng)該盡量保證數(shù)據(jù)信息的準確性,完整性,保密性,避免由于網(wǎng)絡(luò)數(shù)據(jù)信息丟失、損毀、泄密等給中小企事業(yè)單位帶來的損失。同時,政府也應(yīng)該遵循互聯(lián)網(wǎng)發(fā)展的規(guī)律,秉承開放、包容、創(chuàng)新、分享的理念,加快建立完善和互聯(lián)網(wǎng)工作發(fā)展相適應(yīng)的監(jiān)管制度,修訂完善法律法規(guī),不斷優(yōu)化監(jiān)管思路,創(chuàng)新監(jiān)管手段,規(guī)范市場秩序,著力打造黨政部門、互聯(lián)網(wǎng)企業(yè)、科研機構(gòu)、行業(yè)組織,以至普通的網(wǎng)民廣泛參與合作等多元監(jiān)管格局,為互聯(lián)網(wǎng)潛能的充分釋放營造公平、公正、合法、合規(guī)的外部環(huán)境。
參考文獻:
[1]潘柱廷.高端信息安全與大數(shù)據(jù)[J].信息安全與通信保密,2012(12).
[2]維克托·邁爾·舍恩伯格,周濤.大數(shù)據(jù)時代:生活、工作與思維的大變革[J].人力資源管理,2013(03).
[3]劉慶宇.淺析計算機網(wǎng)絡(luò)的安全策略與技術(shù)防范對策[J].數(shù)字技術(shù)與應(yīng)用,2013(10):207.
在辦公室里指疾如風(fēng)地在鍵盤上敲打數(shù)據(jù)、處理工作的時候,你是不是也曾經(jīng)一次又一次對電腦屏幕右下角浮現(xiàn)的更新圖標視而不見呢?即使已經(jīng)有提示框跳到屏幕中央,你是不是也會不耐煩地點擊“忽略”、“下次再提醒我”呢?除了升級本身會導(dǎo)致的電腦運行緩慢,升級完成后必需的電腦重啟工作也讓人不勝其煩,而本來習(xí)慣的軟件界面和功能選項的不斷修訂也需要時間重新適應(yīng),在手頭業(yè)務(wù)繁忙的時候,一般的軟件更新簡直就是一場噩夢!
不過數(shù)據(jù)證明,逃避軟件更新雖然暫時保證了工作的流暢,卻為日后的信息安全埋下了隱患。知名信息安全廠商卡巴斯基實驗室日前在報告中指出: 2010年第三季度在用戶計算機中檢測出的10個分布最廣泛的漏洞中,有多個是其供應(yīng)商在2007至2009年間就提供過相應(yīng)補丁程序的。造成這一局面的原因,就是很多用戶不經(jīng)常升級計算機中的軟件。
當(dāng)然,要規(guī)避這些危險并不是不可能的,如果出于節(jié)省時間和精力的目的不愿意經(jīng)常進行常規(guī)軟件的更新和打補丁,那么就一定要配備具備超強時效性的安全解決方案,以應(yīng)對隨時可能出現(xiàn)的針對性漏洞攻擊。在這一方面,作為業(yè)內(nèi)唯一能做到每小時更新病毒庫的卡巴斯基無疑是相當(dāng)不錯的選擇。第一時間對新生惡意程序進行響應(yīng),是無數(shù)企業(yè)的首要需求,也符合患有“更新恐懼癥”的員工們最迫切的需要。但是每小時更新是不是與用戶對不斷更新重啟這一軟件行為的排斥相矛盾呢?對于這一問題,卡巴斯基相關(guān)負責(zé)人表示,卡巴斯基企業(yè)版產(chǎn)品不會給用戶帶來這一方面的困擾,無論是病毒庫,還是反病毒模塊,只要是一般情況下的常規(guī)更新,都無需進行計算機重啟,可大大減少對用戶日常工作的影響;而更新過程中亦不會降低電腦的運行速度,除了因為卡巴斯基采用的新技術(shù)使用了更小的下載安裝包以外,還因為更新程序完全可以由管理員統(tǒng)一設(shè)置為后臺運行,用戶幾乎完全感覺不到這一過程。
俗話說:一物降一物。卡巴斯基前瞻性的防御技術(shù)、實時更新的反病毒數(shù)據(jù)庫和獨到的“后臺無干擾升級”,就是 “更新恐懼癥”的一大克星。而解決了這一看似不起眼的細節(jié)問題,才能確保反病毒數(shù)據(jù)庫的實時更新,從根本上保證企業(yè)的信息數(shù)據(jù)安全。