企业信息安全实施技术与策略.docx

Page1行业应用企业信息平安问题案例与相应管理策略12孙克泉，张致政（1.南开社区学院，天津300100,2.天津百利二通机械有限公司，天津300300）摘要：该文对企业信息平安问题进行了分析探讨，旨在解决当前企业信息平安管理问题.在企业计算机网络管理的实践探讨基础上，对信息平安向JB进行了分析；提出了信息系统的稳定性也是侑息平安问题的观点；对具体平安问题给出相应的平安管理策略.提出了新的信息平安观点，并试图给出解决当前企业关注的信息平安问题的有效方法.知词:信息平安；企业管理；管理策略,平安策略：系统稳定性CasesonInfonaationSafetyProb1.easinEnterpriseRe1.ativeStrategiesSUNK-quan,ZHANGZhi-zheng(1.NankaiCoanunityCo1.1.ege,Tianjin300100;2.TianjinBai1.iertongMachineryCo1.td,Tianjin300300,P.R.China)Abstract:Toreso1.vetheongoingenterprisePrOb1.ef1.1.ininfornationsecuritynanageaent,informationsecurityissuesareana1.yzed.Coavotersafetynetworkisstudiedbasedonpractica1.manae<netinenterpriseandthenevviewpointisputforwardthatinforaationstabi1.ityisa1.sothesafeprob1.em.Toso1.vethesecurity-re1.atedprob1.nstrategiesontheconcretesecurityissueareinvestigatedwiththepurpuseoffindinganeffectivewaytoso1.vethesecurity-re1.atedprob1.em.Keywords:inforaationsafety;businessenterpriseIBanagef1.Ient;BanagaDentstrategy：safetystrategy：systemstabi1.ity1引言是为了提高工作效率，使企业管理水算机进行管理的目的信息平安问题越来越来受到企业相关人员的关注.在平有一个明显的提高.例如，ERP（企业资源安排）系统、企业内部，虽然实行了各种平安措施，仍旧发生过诸多的0A（办公自动化）系统以及各类管理信息系统、各种侑息平安问题，而且会给企业带来不同程度的损失.先进的计制作和传播工具等，都要涉及信息的存储、传输与运用等算机技术在于应用，也在应用中体现.因此，如何提高企信息处理问题，而尤为突出的是信息处理过程中的信息安业内部计算机的管理水平，是摆在企业管理和计算机管理全问题.对于存储在计算机中的患要文件、数据库中的重人员的要课题本文通过多年的探讨和具体实践，针对要数据等侑息都存在着平安般患，一旦丢失、损坏或泄露、当前国内企业中的计算机应用和管理状况，就出现的信息不能刚好送达，都会给企业造成很大的损失.假如是商业平安问题进行了分析探讨，从计算机网络管理动身，检述机密信息，给企业造成的损失会更大，甚至会影响到企业了企业信息平安的富妥性，以提高相关人员的平安风险意的生存和发展.识；何述了信息平安的特征和内容；阐明侑息系统稳定性在没有运用计算机进行侑息管理之前，信息城常都是给信息平安造成的威逼，并提出信息系统稳定性也信息安以纸介质和某些设备（如录音、录像设备等）进行保存和全问题；以具体的案例形式指出存在的信息平安问题，并传播，并对信息的平安管理有着严格的行政管理、法律法给出相应的、有效的解决方法或解决策略.本文旨在进一规的束，一旦出现平安问题，可以通过行政、执法手段进步推动企业信息化管理步伐，提高企业计算机及信息管理行追踪，查出何题的根源，并追究其相应的责任.而现在水平，以避开或削派由信息平安问题带来的羟济损失.用计算机管理的信息平安问题更为困难，象数据瞬间丢失、瞬间被盗、解间被破坏等问题，大大增加了管理难度.如果管理不善,2企业信息平安的重要性如要文件、图舐、信用卡屐户等机密文件,随着计算机技术的不断发展.计算机被广泛地应用于出现平安问题时抬难查清.因此，企业的信息平安问题、各个领域，如数值计算、数据处理、协助设计与制造、人以及对信息的平安管理都是至关篁要的.要保证企业侑息工智能、家电产品等.在企业（包括政府机关、事业单平安，就必需找出存在信息平安问题的根源，并具有良好位、生产企业、商品流通企业、金融财税等）中，利用计的平安管理策略.88算机平安2008.9行业应用3信息平安的基本概述基本内容，在具体的平安管理上,依据信息平安的特征及到目前为止，信息平安还没有一个公认、统一的定义.考虑采纳什么手段才能保证企业的信息平安.这样首先要国际、国内对信息平安的论述大致分为两大类：一类是指有的放矢，出了平安问题才能找出是行政管理问题还具体的信息平安技术系统的平安I另一类是指某些特定的算机管理的问题，也才能提出解决问题的方法.是计信息体系(如银行系统、军事指挥系统)的平安.但也有要强调的是，单凭计算机技术管理手段是有其局限人认为这两种定义也不能完全概括信息平安问题.性的.这是由于新的平安问题会随着时间的推移而显现.3.1信息平安的特征所以，计算机技术管理手段往往滞后于新平安问题的出现，须要肯信息入侵者不管怀有什么用意，采纳什么手段，他们定时间来完善系统，包括制定新的平安策略，信息都要通过攻击侑息的4个平安特征来达到目的.这4个系统的升级等.在此状况下，加强行政管理是必需的.因平安特征是：完整性(Integrity)、可用性(AVaiIiabi1.ity)、此，通常应实行以行政管理手段为主，以技术手段为辅的保密性(COnfidentia1.ity)、可控性(COntrO1.iabi1.ity)1在策略.在计算机权限安排时遵守权责对等的原则:重要岗技术上，信息平安就是保证在客观上杜肯定信息的4种特位人事变动前的议动时，要有要数据爱护措施.征的平安威逼，使信息的全部者在主观上对其侑息的本源从信息平安内容上看，无论是实体平安、运行平安、tt心.无不与计算机的管理水平企业资产平安、还是人员平安,3.2信息平安的基本内容程中，对于信息的实体平安和人员有关.在企业的发展过信息平安的基本内容包括；实体平安、运行平安、信K,计算机管理人员有责任向企业负责人提出相关平安问息资产平安和人员平安等内容.当解决.在实体平安、人员平安问题一的建议，并加以妥实体平安是爱护计算机设等、设施（含网络）以及其况下，计算机管理人员应当对运行平安、侑息资产定的状他媒体免遭地n、水灾、火灾、有害气体和其他环境事故负责.除了实体平安、人员平安问题外，对企业信息平安破坏的措施和过程.事实上，实体平安是指环境平安、设的威道主要来自两个方面，一方面是来自对企业内部平安备平安和媒体平安.机设冬）的信息平安威逼；另一方计算机存储设备上（本运行平安是为了保障系统功能的平安实现，供应的一自于网络对信息平安的威逼.下面就从计算机管理面是来套平安措施来爱护侑息处理过程的平安.为了保障系统功角度对企业信息平安问题进行分析.能的平安，可以实行风险分析、审计跟踪、各份与复原、4.1企业内部计算机存储设备的平安问题分析应急处理等措施.目前，企业内部的每个部门几乎都拥有和运用计算机，信息资产平安是防止信息资产被有意的或偶然的非投甚至有的部门一人拥有和运用多台计算机.一般状况下，权泄露、更改、破坏或使信息被非法的系统辨识、限制，存储在某台计算机上的重要文件、数据等信息的泄漏，是即确保信息的完整性、可用性、保密性和可拄性.信息资很难查觉的，宜至造成影响或损失时才被发觉.企业内部产包括文件、数据等.信息资产平安包括操作系统平安、人员对K要文件或数据的泄备窃取主要是依靠移动存储设数据库平安、网络平安、病毒防护、访问限制、加密、鳖备、企业内部网以及互联网.典型的移动存储设备有软盘、别等.电脑等，这些设备原来是为光盘、U盘、移动硬盘和手提运用者人员平安主要是指信息系统运用人员的平安意汉、法供应便利的，但同时也带来了平安险思.假如计算律意识、平安技能等.人员的平安意识是与其所驾驭的安机运用人员对本身的计算机管理不严格，要信息就很有全技能有关，而平安技能又与其所接受平安技能培训有关.可能被利益驱动者盗取.同样，企业内部人员也可以通过因此，人员的平安意板是通过培训，以及平安技能的积M内部网络非法获得重要信息并利用互联网的邮件等功能传才能逐步提高，人员平安在特定环境下、特定时间内是一输到企业外部.通常状况下，计算机运用者对信息平安问定的移动存储设备管理水平有限.题意板不是很强、而且对这些因此，作为计算机管理人员应当考虑如何防范移动存储设4企业的信息平安分析备带来的平安问题除愚4.2A在企业管理中，为了保证企业的信息平安，主要采纳于网络的信息平安问题分析两种手段，一是行政管理手段、二是计算机技术管理手段.了来自本机设备的平安问题外，最主要的是源于网2008.9计算机安89Page3行业应用络的侑息平安问题而且网络对信息平安的成旗更为困魔.权，威逼系统中信息的平安.源于网络的侑息平安威逼主要是企业内部人员、黑客、M4.3.5 缺陷或漏洞：络罪犯、间谍等，这些人员都有可能利用系统弱点给侑息信息系统中各蛆成部分和整个网络在设计时，由于考平安造成威逼。其中内部人员可能有意或无束地泄露企业不周全或者是设计者本身的技术实力限制，在设计、开发、内部侑息资产I黑客由起初的个人爱好或追求刺激，来挑制造和浦工时无意识地留下缺陷和漏洞被供攻击者开战网络的平安防殖技术，近来已经转向追求利益；网络邪利用.犯出于经济或政治目的侵入系统窃取信息或实籁破坏1间4.3.6 恶意代码谍（包括工业间H或情报人员）都是有蛆纲有目的的侵入寒意代码是一些不良企图的程序代码，能够影响和破系统窃取信息或实德破坏，其力度明显比一般的黑客和网系统功能.常见的有特洛伊木马、逻辑炸弹、蜻虫等病毒，以及有害的脚本调络霏犯都要大.试程序.从以上状况分析得知，对于源于网络的信息平安，除管理不当或失控企业内部人员无意识地泄露企业内部信息外，无论是企业信息系烧作为一个软硬件集成的有机整体，其平安除内部和外部人员，都是未经授权对企业侑息的访问和窃取.软硬件自身的平安爱护外，重要的是进行有效管理.只有这种事情的发生，主要是利用网络系统弱点或漏洞对企业有效管理，平安性才能得到相应的保障.就操作系统而言，信息平安的威逼.而相应的平安策略不当，其运行的即使平安特性比较好,4