摘要:当前,我国企业信息系统的构建日益完善,但随着网络的广泛应用及信息共享体制的不断发展,使得一些非法分子开始利用互联网对企业信息系统非法入侵,这严重威胁了企业的安全乃至国家安全。因此,采取合理、完善的安全管理方案来保证企业信息系统的安全运行,具有十分重大的意义。本文对企业信息系统所面临的风险进行分析,并提出有效的安全管理对策。
关键词:企业信息;系统安全;风险分析;加固探讨
引言
目前,计算机已经成为了企业办公不可缺少的工具,不仅提高了企业的办公效率,更为企业节约了资源。信息化时代给企业带来便利的同时,也为企业的信息安全提出了挑战。由于计算机系统的开放性,如果不能对计算机系统进行有效保护,极易出现系统被黑客攻破的情况,造成企业信息的丢失或泄露,对企业的正常运转造成影响。因此,信息化时代的企业管理人员更应注意企业信息的安全管理,保证计算机信息系统的安全性和稳定性,保证企业信息处于安全状态。
1风险的概述
风险是指威胁利用信息资产的脆弱性对企业造成潜在可能的伤害。文章提出了一种基于风险控制的信息安全管理系统的设计方案.这个系统通过确立安全目标,完成对信息资产的风险识别、风险评估等工作,并给出相应的风险控制措施。除此之外,系统与IDS、IPS以及防火墙等安全管理设备的接口对接,获取相关的安全运行数据,实现对潜在风险的监测和预警。在信息安全风险管理的全过程中,管理人员的监控审查以及沟通咨询贯穿始终,为系统的持续改进起到关键的作用。
2企业信息系统安全风险
2.1信息安全因素具有多样性和复杂性
企业中存在很多威胁信息安全的因素,包括内部因素和外部因素两类。内部因素主要是因为企业工作人员操作信息系统时不规范,造成系统的密码和账号泄露,或是企业内部人员故意盗取企业信息;外部因素主要是黑客和病毒的入侵,黑客和病毒是两种最常见的计算机安全威胁因素,对计算机安全的威胁性巨大,因此,企业工作人员应定期对计算机系统进行病毒查杀,并且聘请专业的计算机管理人员对企业计算机安全进行管理,阻止黑客对企业计算机信息系统的入侵。
2.2高度脆弱性和风险性
现如今,信息系统的应用需求在不断增加,涉及各个业务领域,网络规模不断增长,信息系统体系结构更加复杂。但是,由于信息安全的木桶效应,再加上难以控制的技术漏洞和管理不当,必然会导致不可避免的安全攻击和灾难,也就造成信息系统存在高度的脆弱性和风险性。
2.3网络安全意识薄弱
由于企业的安全宣传力度不够,相关技术人员的安全意识薄弱而导致的信息系统安全问题时有发生,比如不能及时修补信息系统漏洞及补丁,相关人员不正确的操作、或通过U盘导致重要信息泄露等,处理不好都很有可能造成整个系统的不稳定甚至系统瘫痪。
3企业信息系统安全风险的加固措施
3.1加强企业信息系统的日常检测和护理
为了使企业计算机更加持久耐用,除了生产厂家加强出厂检测、保质保量外,持有者在日常使用时更应做到以下几点:不大力敲击键盘,不在键盘上吃零食、喝饮料,不随意关机、重启,不开箱盖运行,不用手抚屏幕,不用脚踩主机,不安装过多测试版或共享版软件,不同时打开或安装同种功能多款软件,保护好自己的IP地址,为电脑装防火墙,制订访问权限,定期查杀系统病毒、清理系统垃圾,定期修补系统漏洞。
期刊文章分类查询,尽在期刊图书馆
3.2风险监督检查阶段
在信息安全风险管理团队中,必须组建风险监督小组,在风险管理的整个过程中对其进行监督与检查,小组应由小组负责人与检查人员组成。实施风险监督检查的目的就是为了掌握企业信息安全的实际状态,并且收集信息安全环境变更信息,方便对未来的风险进行预测。风险监督小组在获得这些信息后,必须及时向风险管理团队反馈,确保他们能够掌握企业最近的信息安全状态。
3.3系统级安全管理
在企业信息系统风险管理中,系统级安全设计与用户的具体应用具有密切的联系,具体而言,其分为操作系统与数据处理两个方面。在操作系统方面,利用有效的网络安全扫描对信息系统的安全风险进行合理评估,及时分析操作系统已有的漏洞,同时结合信息系统的漏洞自动修补技术,实现定期为相关用户消除网络中的安全隐患。在数据处理方面,企业要善于利用信息系统平台再次对数据库进行数据安全加密,从而将信息系统的数据库风险降到最低。
3.4相关部门应该积极开展信息风险评估工作
通过维护信息网的网络基础设施有拓扑、网络设备和安全设备,对系统安全定期的进行评估工作,主动发现系统存在的安全问题。主要针对企业支撑的信息网和应用IT系统资产进行全方位检查,对管理存在的弱点进行技术识别。对于企业的信息安全现状进行全面的评估,可以制作一张风险视图表现企业全面存在的问题。为安全建设提供指导方向和参考价值。为企业信息安全建设打下坚实的基础。
3.5加强信息系统的运行管理
可以通过以下措施进行:规范系统电子台帐、设备的软件及硬件配置管理、建立完善的设备以及相关的技术文档。系统日常各项工作进行闭环管理,系统安装、设备运营管理等。还要对用户工作进行规范管理,分配足够的资源和应用权限。防御体系、实时检测和数据恢复三方面都体现了技术因素,信息安全管理系统技术应用于安全保障体系中。在建设和维护信息安全保障体系过程中,需要多方面,多角度的进行综合考虑。采用分步实施,逐步实现的手法。在信息安全方面采取必要的技术手段,加强系统采取冗余的配置,提高系统的安全性。
结语
企业通过信息安全风险管理的实施,能够确定长时间的安全风险管理计划,并且可以有效地缓解企业信息系统中的安全风险,提高工作人员对与信息安全风险的认识,建立健康的安全风险管理氛围,推动企业信息化发展。另外,建议企业在实施信息风险管理的同时,及时建立信息安全风险预警系统,特别要加强网络与信息系统安全管理,充分发挥技术支撑、机制保障作用,不断完善预防与抢险相结合,有效地预防和减少信息系统安全事故的发生,保障信息安全稳定运行。
参考文献:
[1]李文武,游文霞,王先培.企业信息安全研究综述[J].系统保护与控制,2015,39(10):140-147.
[2]刘振辉.企业对信息系统安全防护问题的研究[J].信息与电脑:理论版,2016(10):87.
[3]寇建涛.企业信息系统安全分析与思考[J].科技资讯,2015,36:17-18.
[4]胡炎,谢小荣,辛耀中.企业信息系统现有安全设计方法分析比较[J].电网技术,2016,30(4):36-42.
[5]黎俊文,乔晓青.基于云计算实现企业信息系统的安全防护[J].保密科学技术,2017(10).
[6]任金龙.网络信息安全技术在信息化建设中的应用探究[D].长沙:湖南大学,2016.
[7]李文军.信息安全风险管理策略研究[D].西安:西安建筑科技大学,2016.
论文作者:郭瑛蕾
论文发表刊物:《建筑模拟》2018年第5期
论文发表时间:2018/6/11
标签:企业论文; 信息安全论文; 信息系统论文; 风险论文; 系统论文; 风险管理论文; 技术论文; 《建筑模拟》2018年第5期论文;