(上海电力安装第一工程公司 上海 200090)
摘要:随着我国经济的快速发展,企业之间的竞争也随之更加的激烈。加快信息化建设已经成为各企业发展中的重要工作,而在企业信息化建设过程中,随之也出现了信息的安全问题。一些不法分子会利用各种手段得到企业的内部信息,从中谋取私利。本文针对企业信息化建设中的信息安全问题做出如下论述。
关键字:企业;发展;信息化建设;信息安全
随着我国经济的快速发展,企业之间的竞争也随之更加的激烈。加快信息化建设已经成为各企业发展中的重要工作,而在企业信息化建设过程中,随之也出现了信息的安全问题。一些不法分子会利用各种手段得到企业的内部信息,从中谋取私利。所以信息安全重要性日益凸显。
1.企业信息化建设中的信息安全问题分析
1.1.网络共享方便了不同用户、不同部门、不同单位等之间的信息交换,但是恶意代码利用信息共享、网络环境扩散等漏洞,影响越来越大。
1.2.近年来信息化建设发展迅速,但网络安全建设操作规范欠缺,常常采取“亡羊补牢”之策,导致信息安全共享难度递增,也留下安全隐患。
1.3.国内信息化技术严重依赖国外技术,从硬件到软件都不同程度的受制于人。目前国外厂商的操作系统、数据库、中间件、办公文字处理文件、浏览器等基础软件及IT硬件设备都普遍的部署在国内的关键信息系统中,但是这些软(硬)件或多或少的存在一些安全漏洞,一旦出现特殊情况,后果不堪设想。
1.4.信息系统中的软硬件产品单一性,如同一版本的操作系统,统一版本的数据库等,这样一来攻击者可以通过软件编程,实现共计自动化,从而导致大规模网络安全事件的产生。
1.5.IT产品类型繁多和安全管理滞后矛盾。目前,信息系统部署了众多IT产品,包括操作系统、数据库平台、应用系统。但是不同类型的信息产品之间缺乏协同,特别是不同厂商的产品,不仅产品之间安全管理数据缺乏共享,而且各种安全机制缺乏协同,各产品缺乏统一的服务接口,从而造成信息安全工程建设困难,系统中安全功能重重开发,安全产品难以管理,给信息系统管理留下安全隐患。
1.6.多协议、多系统、多应用、多用户组成的网络环境,复杂性高,存在难以避免的安全漏洞。所有这些漏洞都将可能成为攻击切入点,攻击者可以利用这些漏洞入侵系统,窃取信息。为了解决来自漏洞的攻击,一般是通过打补丁的方式来增强系统安全。但是,由于系统运行不可间断性及漏洞修补风险不可确定性,即使发现网络系统存在安全漏洞,系统管理员也不敢轻易的安装补丁。特别是大型的信息系统
1.7.口令安全设置和口令易记性的矛盾。在一个网络系统中,每个网络服务器或系统都要求不同的认证方式。用户需要记忆多个口令,据估算,每个用户平均需要四个口令,特别是系统管理员,需要记住的口令就更多。按照安全原则,口令设置既要求复杂,而且口令长度要足够长,但是口令复杂则记不住。因此多数用户才有弱口令或重复使用同一口令,以便于记忆和保管。这样一来攻击者机器容易破解或猜测某一用户的口令,极有可能引发系列口令泄露事件。
1.8.随着移动网络普及,移动办公人员需要从互联网远程访问内部网络。由于互联网是公共网络,安全程度难以保证。如果内部网络直接允许远程访问,则必然带来许多安全问题,而且移动办公人员的计算机又存在失窃或被非法使用的可能性。既要能方便的远程访问内部网络,又要保证内部网络的安全就成了一个许多企业都面临的问题。
期刊文章分类查询,尽在期刊图书馆
1.9.由于网络攻击技术不断增强,恶意入侵内部网络的风险性也相应急剧提高。网络入侵者可以渗透到内部网络系统,窃取数据或恶意破坏数据。同时,内部网络用户因为安全意识薄弱,可能有意或无意的将敏感数据泄漏出去。有专家建议内外网实现物理隔离,但许多业务系统需要从外网采集数据,同时内网的数据也需要发布到外网上,因此,想完全隔离内外网并不现实。
1.10.在信息化建设过程中,由于业务急需要开通,实际做法常常是“业务优先,其它事后再说”是的安全建设缺乏规范和整体设计,留下安全隐患。随着信息化建设的深化,业务需求不断更新,业务变化变化超过了现有安全保障能力,这些问题也日益突出。
1.11.目前,普遍存在“重产品、轻服务、重技术、轻管理、重业务、轻安全”的思想,安全就是安装防火墙,安全就是就是安装杀毒软件,人员整体信息安全意识不平衡,导致一些安全制度或安全流程流于形式。典型的事例如:用户选取弱口令,使得攻击者可以从远程直接控制主机,用户开放过多的网络服务,用户随意安装有漏洞的软件,用户直接利用厂家缺省配置,用户泄漏网络安全敏感信息。
1.12.根据安全原则,一个系统应该设置多个人员来共同负责管理,但受成本、技术等客观原因限制,一个管理员既要负责系统的配置,又要负责安全管理。这种情况造成权限过于集中,一旦管理员的权限被人控制,极易导致安全失控。
2.企业信息化建设中的安全对策
2.1.在经济高速发展的今天,企业的信息安全对于企业的发展具有非常重要的意义,而企业的信息如果被窃取、泄漏,给企业带来的是巨大的损失,所以企业必须对信息安全问题引起足够的重视。对于已经做好信息安全工作的企业,应认识到安全软/硬件并不能时时的做好安全防护,要做好安全防护还应该加强管理。
2.2.企业在信息化发展进程中,应意识到企业信息的安全问题和企业发展之间存在的关联性。一旦企业的重要信息被窃取或外泄,企业机密被泄漏,对企业所造成的打击是分成巨大的,同时也给竞争对手创造了有利的机会。因此树立正确的安全意识对于企业是非常重要的,这样才能对后面的工作打下良好的基础。
2.3.虽然任何软件都是有可能被破解的,但是对于安全性能高的软件而言,其破解难度也随之增加,所以企业在选择安全软件时应尽量选择安全性能高的,不要为节省开支而选择性能差的防护软件,如果出现问题其造成的损失价值将远远高于软件价格。
2.4.对于企业信息系统安全而言,无论是使用哪种安全软件都会遭到攻击和破解,所以在安全防御中信息技术并不能占据主导位置,而管理才是信息安全系统的主体。因此建立合理、规范的信息安全体质对于企业而言是非常重要的,只有合理、规范的管理信息,才能为系统安全打下良好的基础。其次。建立安全风险评估机制。企业的信息系统并不是在同一技术和时间下所建立的,在日常的操作和管理过程中,任何系统都是会存在不同的优势和劣势,因此企业应对自身的信息系统做风险评估,根据系统的不同找出影响系统安全的漏洞和因素,并制定出详细的应对策略,进而可以将系统被攻击的风险降到最低。
2.5.绝大多数的企业信息被窃取都是不法分子通过网络进行的,因此必须加强企业的网络管理,才能确保信息系统在安全的状态下运行。针对信息安全的种类和等级制定出行之有效的方案,并提前制定出如果发生信息安全事故企业应采取哪种对应方案。当企业信息安全危机发生时,企业应根据信息安全危机的处理步骤和管理预案,快速做好危机处理工作,避免出现由于不当处置而导致的连锁危机的发生。另外,还应在企业内部做好信息安全的培训和教育工作,提高信息安全的管理意识,提高工作人员对安全危机事件的处理能力。减少由于企业自身的失误而导致安全危机发生的几率。
综上所述,企业信息化建设中的信息安全问题是一项系统工程。企业的信息安全建设应从管理开始,以防范为主,制定行之有效的安全措施将安全风险控制在可控范围内。在信息经济时代,企业信息的安全问题制约着企业的安全运行,在实施中,应做好前期安全策略的制定,中期安全方案的选择,后期安全服务的跟进,做好全方位的安全把关,进而为企业健康、稳定的发展打下良好的而又坚实的基础。
论文作者:孙玉涛
论文发表刊物:《电力设备》2017年第27期
论文发表时间:2018/1/26
标签:信息安全论文; 企业论文; 口令论文; 网络论文; 系统论文; 信息系统论文; 信息论文; 《电力设备》2017年第27期论文;