关键词:网络与信息安全;企业安全防护
1前言
随着我国经济水平与网络与信息技术的迅猛发展,互联网已经被广泛地运用到人们生活、工作的方方面面。但是网络信息在带给人们便利的同时也带来不少新安全问题。企业作为各类网络与信息技术的建设和维护单位,肩负有一定的社会责任,对广大民众的网络与信息负有一定的安全防护职责。同时,企业本身也存在企业自身的生产运营数据,也存在网络安全风险,应该加强自身的安全防护提升企业安全防护水平。由此可见,企业的网络与信息安全防护至关重要,必须引起高度的重视。本文主要论述了新时代企业网络与信息安全防护的重要性并提出相应的安全防护建议。
2企业安全环境形势分析
2.1国家战略
国家高度重视网络安全,国家互联网信息办公室发布《国家网络空间安全战略》。习近平总书记指出在全国网络安全和信息化工作会议上发表讲话,指出没有网络安全就没有国家安全。网络与信息安全已经上升到国家战略。我国2017年6月1日正式颁发执行《中华人民共和国网络安全法》。网络安全法明确指出了企业作为服务提供者或者网络运营者,应该按照相关国家相关法律法规等要求开展企业运营。
2.2外部环境威胁
很多企业都在国外具有相关的市场。这些企业在遵循我国相关安全法律法规的同时还要认证研究和遵循国外安全法律法规,一旦违法相关法律法规势必会给企业来了巨大的损失。
当前的网络安全的攻击方式也在不断的变化,已经从之前从个体黑客炫技发展到黑产和国家间对抗,更多黑产在经济利益链的诱惑下,给企业带来了更多的安全风险。同时各类新型漏洞的出现再加上攻击工具的多样化,让企业的安全防护难上加难。
2.3内部环境威胁
企业的新的技术的引用必定会带来新的安全问题。同时如果企业内部的缺乏有效的安全管理体系,安全防护固然会存在蜻蜓点水、顾此失彼的情况。此外企业安全防护还要平衡安全与业务之间的矛盾,在做安全防护的同时也可能影响了业务的便捷性可用性。
企业没有安全人才团队队,安全人员难以固定频繁替换,会导致安全工作的连续性难以保证。大部分的安全威胁来自内部,如果内部人员安全意识淡薄,没有安全风险意识,利用再好的安全防护工具也无法抵御外界的攻击。
期刊文章分类查询,尽在期刊图书馆
3企业安全防护体系的构建
3.1安全防护策略
企业的安全防护首先应当结合自身的企业的情况制定有效的安全策略。企业的安全策略应该依据企业安全风险评估结果制定。安全策略应该遵循以下大原则:
1)最小特权原则:企业应当针对业务需求开展评估,建立最小化原则进行系统防护,这个是企业安全防护的基本原则。
2)安全纵深防御原则:企业的安全防护不是在企业的边界部署一下安全防控设备就可以万事大吉。企业应该建立从外到内多层的安全防护,建立具有协议层次和纵向结构层次的完备安全防护体系。
3)安全防御多样化的原则:企业安全防护不能依靠单一安全机制或者同一类型的安全机制的堆叠来防护,而应该建立相互支撑的多种安全机制。采用多样化异构的安全机制来抵御多样化的安全攻击。
4)安全防护动态化原则:企业的动态发展决定了企业安全防护的动态化,应该对安全需求和事件应进行周期化的管理,对安全需求的变化应及时反映到安全策略中去,并对安全策略的实施加以评审和审计。
3.2安全支撑资源
首先,企业的高级管理层应该针对企业的安全工作高度的重视,能够针对安全工作提供足够的各类资源。最高管理层还需确保各项安全工作能够正常有序推进。
其次,人力资源一直是企业的第一资源。企业应当逐步建立安全人才队伍,细化安全专业分工,明确职责形成责任矩阵。经过专业的培训和实战演练来提升安全人员的专业水平,形成梯队化的人员队伍。
最后,企业应该结合企业的安全风险评估结果和自身的财务状况,支出一定的资金投资来支撑各项安全工作的开展。
3.3安全运营
安全运营考验的是企业的内功,企业安全运营与企业生产运营相辅相成。企业安全运营应与生产运营同步发展,嵌入在企业的各项生产运营环节中。此外,企业的安全运营应该企业的技术架构相适应,安全防护机制的部署实施需要从企业底层的物理层一直到企业的应用层进行层层防护。同时企业的安全运营考虑的自动化、流程化、可视化的方向发展,这样一方面可以减轻企业安全运营人员的安全工作压力,同时可以规范化企业的安全运维流程,也可以通过可视化来针对企业整体的安全情况进行分析。
3.4安全闭环管理
企业的安全防护是一个闭环的流程,安全闭环管理流程也是一个生命周期的管理流程。它包括从安全需求的开始一直到安全目标的打成一直到安全防护的评价。安全闭环管理遵循的是PDCA(戴明环)的流程。企业在安全建设安全防护体系的过程中,需要明确安全需求,制定有效安全防护措施并落地实施,并周期化监控安全防护措施的运行情况,针对运行情况分析形成进一步的安全需求,整个过程是一个螺旋式上升的过程。
结束语:
总而言之,企业安全防护是一项复杂的系统工程,面对各种安全威胁我们必须对企业安全存在的各种问题进行深刻思考和研究。在充分分析各种安全威胁的基础上,每个企业都应该建设有一套完备的安全防护体系。综合利用各种资源管理加技术双管齐下,防止各种潜在的侵入和攻击行为,减少网络攻击对企业安全的危害,避免企业各种不必要的损失,形成良好的社会公众形象。
参考文献:
[1] 蔺振波?郭峰?曹红. 企业网络信息安全存在的问题及防护策略[J]. 信息与电脑, 2017.
[2] 张永锋. 企业网络与信息安全防护研究[J].网络安全技术与应用. 2017.
论文作者:常乐
论文发表刊物:《科学与技术》2019年第22期
论文发表时间:2020/4/29
标签:企业论文; 安全防护论文; 网络论文; 信息安全论文; 网络安全论文; 防护论文; 闭环论文; 《科学与技术》2019年第22期论文;