企業信息安全方案精選(九篇)
前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的企業信息安全方案主題范文,僅供參考,歡迎閱讀并收藏。
第1篇:企業信息安全方案范文
關鍵詞:分布式;信息安全;規劃;方案
中圖分類號:TP309.2文獻標識碼:A 文章編號:1009-3044(2008)36-2848-03
An Information Security Program for a Distributed Enterprise
GUO Yong, CHEN Rong-sheng, ZHAN Gui-bao, ZENG Zhong-cheng, LU Teng-zu, LI Zhuang-xiang
(Fujian Xindong Network Technology Co., Ltd. Fuzhou 350003,China)
Abstract: Based on the specific conditions of the distributed enterprise, information security architecture in accordance with the relevant standards, a distributed enterprise information security planning principles and objectives. And based on the principles and objectives of the meeting, according to the organization, management and technical aspects of three specific design specifications with the principle. Finally, based on the objective of planning services, a category of information distributed enterprise information security services, planning and design examples.
Key words: distributed; information security; planning; program
1 引言
據來自eWeek 的消息,市場研究機構Gartner 研究報告稱,很對企業目前仍缺乏完整的信息安全規劃和規范。盡管目前很多企業在信息安全方面的投入每年都在緩慢增長,但由于推動力以外部法律法規的約束和商業業務的壓力為主,因此他們對安全技術和服務的選擇和使用仍停留在一個相對較低的水平。尤其對于機構構成方式為分布式的企業而言,因為信息安全需求和部署相對更加復雜,投入更多,因此這類企業的信息安全規劃就更加缺乏。
本文根據這類分布式企業的特點提出了一種符合該類企業實際的信息安全規劃方案。
2 總體規劃原則和目標
2.1 總體規劃原則
對于分布式企業的信息安全規劃,要遵守如下原則:適度集中,控制風險;突出重點,分級保護;統籌安排,分步實施;分級管理,責任到崗;資源優化,注重效益。
這個原則的制定主要是根據分布式企業的實際機構構成情況、人員素質情況以及資源配置情況來制定的。
2.2 總體規劃目標
信息系統安全規劃的方法可以不同、側重點可以不同,但是需要圍繞組織安全、管理安全、技術安全進行全面的考慮。信息系統安全規劃的最終效果應該體現在對信息系統與信息資源的安全保護上,下面將分別對組織規劃、管理規劃和技術規劃分別進行闡述。信息安全規劃依托企業信息化戰略規劃,對信息化戰略的實施起到保駕護航的作用。信息系統安全規劃的目標應該與企業信息化的目標是一致的,而且應該比企業信息化的目標更具體明確、更貼近安全。信息系統安全規劃的一切論述都要圍繞著這個目標展開和部署。
3 信息安全組織規劃
3.1 組織規劃目標
組織建設是信息安全建設的基本保證,信息安全組織的目標是:
1)完善和形成一個獨立的、完整的、動態的、開放的信息安全組織架構,達到國際國內標準的要求;
2)打造一支具有專業水準的、過硬本領的信息安全隊伍。對內可以保障企業內部網安全,對外可以向社會提供高品質的安全服務;
3)建設一個 “信息安全運維中心(SOC)”,能夠滿足當前和未來的業務發展及信息安全組織運轉的支撐系統,能夠對外提供安全服務平臺。
3.2 組織規劃實施
對于組織規劃這個方面,是屬于一個企業信息安全規劃的上層建筑,需要用一種由上而下的方法來實現,其主要是在具體人事機制、管理機制和培訓機制上做工作。對于分布式企業而言,需要主導部門從上層著手,建章立制,強化安全教育,加大基礎人力、財力和物力的投入。
4 信息安全管理規劃
4.1 管理規劃目標
信息安全管理規劃的目標是,完善和形成“七套信息安全軟措施”,具體包括:一套等級劃分指標,一套信息安全策略,一套信息安全制度,一套信息安全流程規范,一套信息安全教育培訓體系,一套信息安全風險監管機制,一套信息安全績效考核指標。“七套信息安全軟措施”關系如圖1所示。
4.2 信息安全管理設計
基于對管理目標的分析,信息安全管理的原則以風險管理為主,集中安全控制。管理要素由管理對象、安全威脅、脆弱性、風險、保護措施組成。
4.2.1 信息安全等級劃分指標
信息安全等級保護是國家在國民經濟和社會信息化的發展過程中,提高信息安全保障能力和水平,維護國家安全、社會穩定和公共利益,保障和促進信息化健康發展的基本策略。
4.2.2 信息安全策略
信息安全安全策略是關于保護對象說明、保護必要性描述、保護責任人、保護對策以及意外處理方法的總和。
4.2.3 信息安全制度
信息安全制度是指為信息資產的安全而制定的行為約束規則。
4.2.4 信息安全規范
信息安全規范是關于信息安全工作應達到的要求,在信息安全規范方面,根據調查,建立信息安全管理規范、信息安全技術規范。其中,安全管理規范主要針對人員、團隊、制度和資源管理提供參照性準則;信息安全技術規范主要針對安全設計、施工、維護和操作提供技術性指導建議。
4.2.5 信息安全管理流程
信息安全流程是指工作中應遵循的信息安全程序,其目的是減少安全隱患,降低風險。
4.2.6 信息安全績效考核指標
信息安全績效考核指標是指針對信息安全工作的質量和態度而給出的評價依據,其目的是增強信息安全責任意識,提高信息安全工作質量。
4.2.7 信息安全監管機制
信息安全監管機制是指有關信息安全風險的識別、分析和控制的措施總和。其主要目的加強信息安全風險的控制,做到“安全第一,預防為主”。
4.2.8 信息安全教育培訓體系
其主要目的加強的信息安全人才隊伍的建設,提高企業人員的信息安全意識和技能,增強企業信息安全能力。
5 信息安全技術規劃
5.1 技術規劃目標
信息安全技術規劃目標簡言之是:給業務運營提供信息安全環境,為企業轉型提供契機,構建信息安全服務支撐系統。具體目標如下:
1)打造信息安全基礎環境,調整和優化IT基礎設施,建立安全專網,設置兩個中心(信息安全運維中心、災備中心);
2)建立一體化信息安全平臺,綜合集成安全決策調度、安全巡檢、認證授權、安全防護、安全監控、安全審計、應急響應、安全服務、安全測試、安全培訓等功能,實現的集中安全管理控制,快速安全事件響應,高可信的安全防護,拓展企業業務,開辟信息安全服務新領域。
5.2 信息安全運維中心(SOC)
SOC 是信息安全體系建設的基礎性工作,SOC 承載用于監控第一生產網的安全專網核心基礎設施,提供信息安全中心技術人員的辦公場所,提供“7×24”小時連續不斷的安全應用服務,提供實時監控、遠程入侵發現、事件響應、安全更新與升級等業務,SOC 要求具有充分保障自身的安全措施。除了SOC 的組織建設、基礎工程外,SOC 的技術性工作還要做以下幾個方面:
1)硬件基礎建設,主要內容是SOC 的選址、布局、布線、系統集成,實現SOC 自身的防火、防潮、防電、防塵、安全監控功能;
2)軟件基礎建設,包括SSS 系統、機房監控子系統、功能小組及中心組劃分。
圖1 信息安全軟措施關系
圖2 信息安全總體框架
圖3 資產、組織、管理和安全措施的關系
5.3 信息安全綜合測試環境
隨著分布式企業信息化程度的日也加深,需要部署到大量IT 產品和應用系統,為了保障安全,必須對這些IT 系統和產品做入網前安全檢查,消除安全隱患。基于此,綜合測試環境建設的內容包括:安全測試網絡;測試系統設備;安全測試工具;安全測試分析系統;安全測試知識庫。
其中,安全測試網絡要求能夠模擬企業網絡真實的帶寬;測試系統設備能夠提供典型的網絡服務流量模擬、典型的應用系統流量模擬;安全測試工具覆蓋防范類、檢測類、評估類、應急恢復類、管理類等,并提供使用說明、漏洞掃描、應用安全分析;安全測試分析系統能夠提供統計分析、圖表展現功能;安全知識庫包含以下內容:漏洞知識庫,補丁信息庫,安全標準知識庫,威脅場景視頻庫,攻擊特征知識庫,信息安全解決案例庫,安全產品知識庫,安全概念和術語知識庫。
5.4 安全平臺建設規劃
參照國際上PDRR 模型和國家信息安全方面規范,建議信息安全總體框架設計如圖2所示。
主要目的,以資產為核心,通過安全組織實現資產保護,以安全管理來約束組織的行為,以技術手段輔助安全管理。其中,資產、組織、管理、安全措施的關系如圖3所示,核心為資產,圍繞資產是組織,組織是管理,最外層是安全措施。
在平臺中集成十個安全機制,它們分別是:信息安全集中管理;信息安全巡檢;信息安全認證授權;信息安全防護;信息安全監控;信息安全測試;信息安全審核;信息安全應急響應;信息安全教育培訓;信息安全服務。
6 信息安全服務業務規劃
6.1 服務業務規劃目標
信息安全服務業務規劃目標簡言之是:以信息安全服務為切入點,充分發揮企業優勢資源,引領信息安全市場,為企業轉型創造時機。具體目標如下:
1)推出面向客戶安全(檢查、教育、配置)產品;2)推出面向大型企業的信息安全咨詢產品;3)推出面向家庭安全上網產品;4)推出面向企業安全運維產品;5)推出面向企業災害恢復產品。
6.2 服務業務規劃設計
服務業務規劃主要針對具體業務而言,在此列舉信息類分布式企業業務作為示例:
1)信息安全咨詢類產品,其服務功能主要有:信息安全風險評估;信息安全規劃設計;信息安全產品顧問。
2)信息安全教育培訓類產品,其服務功能主要有:提供信息安全操作環境;提供信息安全知識教育;提供信息安全運維教育。
3)家庭類安全服務產品,其服務功能主要有:推出“家庭綠色上網”安全服務;家庭上網防病毒服務;家庭上網機器安全檢查服務;家庭上網機數據備份服務。
4)企業類安全服務產品,其服務功能主要有:企業安全上網控制服務;企業安全專網服務;安全信息通告;企業運維服務。
5)容災類安全服務產品,其服務功能主要有:面向政府數據災備服務;面向政府信息系統災備服務;面向企業數據災備服務;面向企業信息系統災備服務。
7 結束語
通過結合分布式企業的具體實際,按照信息安全體系結構相關標準,提出了分布式企業的信息安全規劃原則和目標。并依據次原則與目標,按照組織、管理和技術三個方面提出了具體的實現與設計規范原則。最后,依據服務規劃目標,提出了信息類分布式企業的信息安全服務規劃設計實例。
參考文獻:
[1] 周曉梅. 論企業信息安全體系的建立[J]. 網絡安全技術與應用,2006,3:62~64,57.
[2] Harold F. Tipton,Micki Krause. Information Security Management Handbook[M]. Fifth Edition.US:Auerbach Publications,2004.
[3] 魏永紅,李天智,張志. 網絡信息安全防御體系探討[J].河北省科學院學報,2006,23,(1):25~28.
[4] 張慶華. 信息網絡動態安全體系模型綜述[J].計算機應用研究,2002,10:5~7.
[5] ISO/IEC 15408,13335,15004,14598,信息技術安全評估的系列標準[S].
[6] BS7799-1,7799-2,ISO/IEC 17799,信息安全管理系列標準[S].
[7] BS7799-2,Information Security Management Systems-Specification With Guidance for use[S].
[8] 李瑋. 運營商IT系統網絡架構的安全域劃分[J]. 通信世界,2005,30:41~41,45~45.
第2篇:企業信息安全方案范文
關鍵詞:企業網絡;網絡安全;安全體系
前言
由于計算機與通信技術的快速發展,人們的工作方式以及生活方式都因為網絡而逐步的發生改變。網絡的共享性、開放性以及互聯性程度逐漸擴大,對社會的影響也日益增大,網絡也成為企業發展的主題。隨著企業的信息化、辦公的全球化以及網絡貿易等業務的出現,網絡安全也變得日益重要。為了保證企業網絡自身的安全性,必須采取有效的手段面對網絡中的各種威脅[1]。
1 企業網絡的威脅及其風險管理
企業網絡的信息是自由傳輸的,盡管有各種各樣的方式威脅著企業網絡的安全,但終究都是由于信息的泄露以及信息資源的破壞。所以應從下列幾點解決對企業網絡構成的威脅,并根據這些威脅所導致的企業風險進行有效管理。首先,企業一定要確定哪些關鍵的內容或資產需要被保護。明確什么設備需要被保護,針對設備可以提供什么樣的訪問和怎么協調這樣的工作。其次,評估需要進行網絡安全保護的資源和財產。最后,分析所有對企業網絡安全的可能威脅,并評估每個威脅的可能攻擊性。威脅是指可能對網絡和其中信息資源造成損失,它可以是偶然的,也可以是刻意的。威脅有很多方式,一般可以簡單歸納為以下三種基本的類型:
1 未經授權的訪問。指未經過授權的人員卻可以訪問網絡資產,而且也存在對網絡資產進行篡改的可能。
2 假冒。指由于偽造的憑證假冒其他人進行活動。
3 拒絕服務。指服務中斷。
2 企業信息化的網絡安全策略體系[2]
網絡的安全策略是對網絡的安全進行管理指導與支持。企業應該為網絡安全制定一套安全方針,而且在內部網絡的安全策略以及身份證明,從而為網絡安全提供支持和認證。
2.1 安全策略的文檔結構
a) 最高方針。是安全策略的主文檔,屬于綱領性的。陳述安全策略的適用范圍、支持目標、對網絡安全管理的意圖、目的以及其它指導原則,網絡安全各個方面所應遵守的原則方法和指導性策略。
b) 技術的規范與標準。其內容包含:各個主機的操作系統、網絡設備以及主要應用程序等應該遵守的管理技術的標準、安全配置以及規范。
c) 管理的制度與規定.其中包含各種管理辦法、管理規定或是暫行規定。從最高方針中引出一些具體的管理規定、實施辦法以及管理辦法。得到的規定或辦法不但可操作,還能有效的推廣及實行,是由最高方針引申而來,對用戶協議具有規范作用。而用戶協議對其不能違背。
d) 組織機構以及人員的職責。負責安全管理的組織機構以及人員職責,包含負責安全管理的機構的組織形式以及運作方式,還有機構與人員的具體責任或是連帶責任。是機構及員工工作時的依照標準。具有可操作性,需得到有效推廣及實行。
e) 用戶的協議。與用戶所簽署的文檔及協議,包含安全管理的網絡、人員以及系統管理員的保密協議、安全使用承諾、安全責任書等等。作為用戶及員工在日常工作中承諾遵守規定,并在違反安全規定時的處罰依據[3]。
2.2 建立策略體系
目前,大部分企業都缺少完整的策略體系。也沒有使其成為可操作的、成文的、正式的策略以及規定來體現出機關或是企業高層對于網絡安全性的重視。企業應該建立好網絡安全的策略體系,制定出安全策略的系列文檔。
建議企業按照上文描述的安全策略的文檔結構進行文檔體系的建立。企業的安全策略的編制原則是一個一體式的企業安全的策略體系,其內容可以覆蓋到企業中的全部人員、部門、網絡、地點以及分支機構。目前,由于企業中機構間的網絡現狀與業務情況的差別較大,所以在基本的策略體系和框架下,可以讓各個機構以自身情況為基礎,對策略和體系中的組織、用戶協議、操作流程、管理制度以及人員的職責逐步地細化。但細化后的策略所要求的安全程度不允許下降。
2.3 策略的與執行
企業網絡安全的策略系列文檔在制定完成后,必須得到以及有效執行。與執行的過程除了需要得到高層領導的支持與推動外,而且還要有可行的、合適的以及正確的推動手段。同時在策略與執行前,還需要對每個員工進行相關的培訓,以確保每個員工都掌握與內容中其相關的部分。而且還要明白這是一個艱苦的、長期的工作,需要經過艱苦努力。況且由于牽涉到企業內眾多部門與大部分員工,工作的方式與流程可能還需要改變,所以其推行難度相當大;同時,安全策略的本身還可能存在這樣那樣的缺陷,例如太過復雜及繁瑣、不切實際以及規定有所缺欠等,都會影響到整體策略的落實[4]。
3 企業信息化網絡安全技術的總體方案
3.1 引入防火墻系統[5]
通過引入防火墻系統,可以利用防火墻功能中的“訪問控制+邊界隔離”,從而實現控制企業網進出的訪問。尤其是對一些內部服務器進行資源訪問的,可以重點進行監控,以提高企業網絡層面的安全。防火墻的子系統還能夠與入侵檢測的子系統聯動,當入侵檢測的系統對數據包進行檢測,發現異常并告知防火墻時,防火墻可以生成相應的安全策略,并將訪問源拒絕于防火墻之外。
3.2 引入網絡防病毒的子系統
防病毒的子系統是用來對網絡病毒進行實時查殺的,從而保證企業免遭病毒的危害。企業需要在內部部署郵件級、服務器級、個人主機級和網關級的病毒防護。在整體范圍內提高系統的防御能力,提高企業網絡層面安全性。
3.3 引入漏洞掃描的子系統
漏洞掃描的子系統可以定期分析安全隱患,并在其萌牙狀態時就把安全隱患消滅。由于企業網絡中包含眾多類型的數據庫系統和操作系統,還運行著人力資源系統、產品管理系統、客戶的信息系統、財務系統等諸多重要系統,如何確保眾多信息的安全以及各類系統的穩定應用,便成為需要高度關注的重點。對漏洞掃描的子系統進行定期掃描,并在定期掃描后提交漏洞和弱點分析報告,可使企業網的整體系統的安全性得以提高。
3.4 引入數據加密的子系統
對企業網重要的數據進行加密,以確保數據以密文的形式在網絡中被傳遞。能夠有效防范竊取企業重要的數據,可以使企業網絡的整體安全性得以提高。
4 結語
通過以上對企業網絡的安全和隱患進行的著重分析,提出了保護企業信息安全的解決方法。由于網絡技術的快速發展和應用的廣泛,所以對于企業網絡安全的建設,需要遵循一個穩定的體系框架,同時還要不斷更新技術。這樣才能有效地降低企業網絡安全隱患的系數,進一步保證企業信息化在網絡時代能夠更安全、更健康的發展。
參考文獻
[1] 顧晟. 企業信息化網絡的安全隱患及解決策略[J].計算機時代,2010,3:19~22.
[2]丁國華,丁國強. 企業網絡安全體系研究[J].福建電腦,2007,2:66~67.
[3]陸耀賓. 企業網絡安全體系結構[J].電子工程師,2004,4:55~56.
第3篇:企業信息安全方案范文
關鍵詞:數據保障 帳號管理 內容安全 安全預案
1.前言
隨著信息化及網絡建設的高速發展,網絡給我們帶來了前所未有的開放環境,在內部信息平臺上,員工可以實時地進行信息傳輸和資源共享,企業之間的業務往來也越來越多地依賴于網絡。由于受到互聯網的開放性以及通信協議原始設計的局限性影響,網絡安全性問題日益嚴重,網絡攻擊、非法訪問、信息竊取等頻頻發生,給企業網的正常運轉帶來了安全隱患,甚至造成不可估量的損失,安全問題愈發突出,已經成為當今網絡技術的一大熱點。因此,必須利用信息安全技術來確保企業信息網絡安全,這就要求我們采取有效手段提高企業信息門戶的安全級別。
2.企業門戶信息安全問題分類
造成企業門戶信息安全的因素可以分為以下幾類:
2.1系統崩潰
由于病毒惡意軟件入侵、系統文件的丟失、數據的損壞、信息的改變等導致企業信息門戶無法正常運作,系統運行不穩定,頻繁出現故障,最終導致整個企業信息門戶系統的癱瘓。
2.2內部威脅和無意破壞
在對可能影響企業安全的因素分析后可以看出,事實上,大多數系統威脅來自于企業網內部,來自企業內部員工和受信賴的客戶等有權限進入系統的人。此外,一些無意的行為,如丟失口令、疏忽大意、非法操作等都可能對網絡造成極大的破壞。據信息安全權威部門統計數據表明,來自企業內部的網絡安全問題比例占總數的百分之七十以上。
2.3計算機病毒
計算機病毒,對企業信息門戶的正常使用造成破壞,能夠使信息系統無法正常使用甚至整個系統造成破壞,甚至對系統硬件造成損壞。計算機病毒可以很快地在信息門戶系統內蔓延,它們能把自身附著在各種類型的文件上,當文件被復制或從一個用戶傳送到另一個用戶時,它們就隨同文件一起蔓延開來。這種程序不是獨立存在的,它隱蔽在其他可執行的程序之中,既有破壞性,又有傳染性和潛伏性,輕則影響系統運行速度,使各用戶端不能正常運行,重則使系統處于癱瘓,會給整個企業用戶帶來不可估量的損失。
2.4 環境因素影響
信息門戶環境影響因素不可低估,正常情況下,企業信息系統服務器需要放置在寬敞、干燥的機房內,由專人定期進行設備維護和檢查,防止因高溫、潮濕、靠近火源、漏電、停電、震動等可能對系統硬件設備造成不必要的損壞。
3.企業門戶信息安全解決方案
3.1. 數據安全保障
企業門戶技術是為企業的信息系統提供穩定、可伸縮和可靠的安全基礎和框架結構,對數據的備份就變得非常重要。我廠的信息門戶日常管理和應用需要同時配備兩套服務器,所負擔的任務分別是:一臺用來做前端web服務及CMS服務,另一臺用來做數據庫服務,另外還有兩臺同樣配置的服務器用于數據備份,如果應用中的信息門戶服務器出現問題,就及時切換到備份的信息門戶服務器,保證信息門戶工作的連續性和平穩性,從而使其對企業員工的使用影響降到最低限。
對數據備份可以利用SQL Server 2000提供的備份手段設置定時任務,選擇在門戶空閑的時候進行自動備份,也可以在每天的晚上進行增量備份,在周末進行完全備份,通過腳本將備份文件復制到特定的備份文件服務器上。在企業信息門戶中,所有用戶個人站點都存儲在主門戶之中,如同部門站點集一樣,用戶個人站點可以單獨地使用Stsadm進行備份和恢復,它能夠備份每一個部門級站點集合的信息。我廠門戶備份和恢復的過程需要12小時左右的時間,WSS和CMS數據分別為大約25G和27G,每三個月和逢節假日都對門戶系統做備份恢復操作,這樣就能始終保證我廠信息門戶正常使用。
在做好我廠企業信息門戶日常安全維護基礎上,為了能充分利用服務器資源,計劃在2011年做門戶數據負載均衡。
3.2. 帳戶安全管理
為了加強PTR域用戶帳戶的管理,我們在實際管理中限定了用戶帳戶的門戶訪問權限,嚴格限制Administrator組和備份組帳戶的成員資格。需要指明用戶必須明確了解他們所用的計算機網絡的使用規則, 按照誰主管、誰負責的原則落實責任制,并簽定門戶內容保障責任書,申請上因特網的用戶執行審批流程,簽定入網責任書,不允許用戶將帳號轉借給他人,用戶應將自己的口令保密。目前,企業網用戶都是從中石油帳號或本地系統這樣的現有用戶系統中派生出來的,現有門戶的權限是根據誰是管理員,誰是維護者,誰是瀏覽者來添加入中石油帳號里的用戶,按照不同等級的訪問權限設置,創建權限組,并為所創建的權限組進行門戶維護授權。
3.3. 信息安全保障
為了加強對廠企業信息門戶內容的保障工作,保證信息的安全性和準確性,開展對企業門戶欄目的全面清查,嚴格監督門戶欄目的內容信息建設,嚴格執行欄目定期巡查制度, 各二級單位確保各欄目內容的信息安全,完善企業信息門戶臺帳,強化細節工作,切實做到分工明確,責任到人。
3.3.病毒防范
計算機病毒防護已經成為計算機系統安全策略中的重要手段,及時更新系統軟件、補丁,堵塞信息門戶系統安全漏洞,用殺毒軟件定期對系統進行全面掃描,查殺病毒,清理垃圾文件、數據,可以有效提高企業信息門戶系統的穩定性。
3.4.系統與設備監控平臺
系統與設備動態監控平臺能夠實時監測信息門戶,在信息門戶出現問題情況時通過發送手機短信或郵件及時通知到門戶管理員,這樣在非上班時間門戶系統出現問題時就能及時發現并進行處理。
3.5.嚴格執行信息流程
不良信息的網絡傳播會對企業的健康發展造成負面影響,因此,要對企業信息門戶中的各類資源、信息的進行審核、審批,禁止在企業信息門戶中的不良信息。
3.6.安全管理制度
針對產生安全隱患的原因制定相應的安全預案,包括數據丟失、病毒入侵、硬件受損、不良信息傳播等,分別采取系統維護、數據備份、備用系統運行、過濾門戶信息內容等安全保護措施,設立信息安全小組并針對不同情況進行反復演練,提高安全預案的可行性和熟練性。
4.結論
通過對數據的備份恢復技術和病毒防范保證了我廠信息門戶系統的穩定性,有效控制用戶帳戶管理和信息審批流程杜絕了不良信息的出現,采用系統與設備監控平臺監控門戶是否正常運行,制訂信息安全預案有效降低了系統出現問題的幾率,通過編制完善的企業信息門戶安全解決方案設計使我廠信息門戶系統安全防范及運行穩定性得到了大幅提高。
參考文獻
[1]中國石油科技與信息管理部企業信息門戶系統管理員手冊
第4篇:企業信息安全方案范文
1.1信息系統安全的重要性及其影響因素
企業信息系統是整個網絡系統的重要組成部分,在整個開發過程中投入了大量的人、財、物力,企業信息系統中存放著企業的核心數據,一旦信息系統的安全受到威脅和破壞,就會給信息系統的使用者 帶來不可估量的損失,甚至會嚴重影響到企業的發展。
1.2影響信息系統安全的因素
影響信息系統安全的因素雖然很多,但綜合分析主要因素有以下幾個方面:1)自然因素。周圍環境的溫度和濕度、塵埃、地震、火災、水災、風暴以及社會暴力等,這些因素將直接影響信息系統實體的 安全。2)硬件及物理因素。支撐信息系統的硬件部分是由電子元器件、磁介質等物理設備組成的。系統硬件及環境包括機房設施、計算機主體、存儲系統、輔助設備、數據通訊設施以及信息存儲介質的 安全與否直接關系到信息系統的安全。3)電磁波因素。信息和數據通過信息系統進行傳輸,在工作過程中都會產生電磁波輻射,在一定范圍內很容易檢測并接收到,這就容易造成信息通過電磁輻射而泄 漏。另外,空間電磁波也可能對系統產生電磁干擾,影響系統正常運行。4)軟件因素。軟件是支持信息系統正確運行,保障數據安全的關鍵部分。軟件的非法刪改、復制與竊取或被攻擊、破壞將使系統 的軟件受到損壞,并可能造成泄密。5)數據因素。信息系統是以處理數據、輸出有價值信息為主要目的的。數據信息在存儲和傳遞過程中的安全性,是信息系統安全的重中之重。6)人為及管理因素。 工作人員的素質、責任心、管理制度和法律法規是否健全,都直接對信息系統的安全造成威脅。
2信息系統的安全防護重點
為了保證信息系統的安全,根據信息系統的組成和運行特點,應重點做好計算機硬件、信息系統軟件、信息系統數據、信息系統運行的安全防護及計算機病毒預防等重點工作。
2.1計算機硬件的安全與防護
計算機硬件的安全與防護,是為了保障信息系統安全可靠地運行,保護系統硬件和附屬設備及記錄信息載體不致受到人為或自然因素的危害而對信息系統進行的最基本的安全維護。要求企業必須建立與 信息系統的組成和運行特點相適應的機房設施、計算機主體、存儲系統、輔助設備、數據通訊設施以及安全的信息存儲介質。計算機除易受外界電磁干擾外,自身也產生攜帶大量信息的電磁輻射,所以 計算機在處理信息的過程中,也會導致信息的泄露問題。抑制和防止電磁泄漏是物理安全策略的一個主要問題。結合企業的實際情況,主要應采取的防護措施有以下兩類:第一類措施是對傳導發射的防 護,主要采取對電源線和信號線加裝性能良好的濾波器,減小傳輸阻抗和導線間的交叉耦合。第二類措施是對輻射的防護,這類防護措施又可分為以下兩種:一是采用各種電磁屏蔽措施,如對設備的金 屬屏蔽和各種接插件的屏蔽,同時對機房的各類管道和金屬門窗進行屏蔽和隔離;二是干擾的防護措施,即在計算機系統工作的同時,利用干擾裝置產生一種與計算機系統輻射相關的偽噪聲向空間輻射 來掩蓋計算機系統的工作[1]。
2.2信息系統軟件的安全與防護
軟件是保證信息系統正常運行、促進信息技術普及應用的主要因素。保證信息系統軟件的安全要做到以下幾點:第一要使用正版軟件,并對安裝軟件進行嚴格的安全檢查。軟件的安全管理首先是要對軟 件,尤其是自行開發的軟件進行全面測試檢查。第二要對軟件在運行過程中發現的錯誤進行及時修改、維護,不斷擴充、完善和豐富軟件的各項功能。第三要嚴格軟件的操作運行規程。對操作用戶賦予 一定的權限,沒有相應權限的用戶不能使用權限以外的系統資源。第四要建立嚴格的軟件管理制度,妥善管理軟件資源。對信息系統中的所有軟件資源要造冊登記,歸類妥善保管。第五要做好系統備份 。系統備份用于故障的后備支援,是軟件使用過程中安全與防護的重要措施。
2.3信息系統數據的安全與防護
由于數據是信息系統的中心,對于數據的安全管理就成為整個信息系統安全管理的核心。1)數據加密處理。加密是保障數據秘密性和真實性的重要方法,是數據安全保護的有效手段,也是抵抗計算機病 毒感染破壞、保護數據庫完整性的重要措施。數據加密策略是從數據本源進行安全防護,根據加密技術的不同可以產生不同模式、等級的數據安全防護效果。2)網絡加密。網絡加密是目前能為任何形式 的Internet通信提供安全保障的協議。網絡加密允許提供逐個數據流或者逐個連接的安全,所以能實現非常細致的安全控制。對于用戶來說,可以對不同的連接定義不同保護強度(級別)的網絡加密通道 。3)數據安全管理。具體的數據安全管理工作主要包括:防止數據信息的泄露;防止計算機病毒的感染和破壞;防止硬件出現故障,具備雙機熱備甚至多機熱備功能,防止數據的人為破壞;防止電磁輻 射、意外事件等帶來的威脅。4)數據備份。及時做好數據特別是重要數據的備份并做好備份后的定期檢查和更新復制等工作,以保證備份數據的完整性、適用性和實效性。要根據實際需要,確定數據備 份的頻率、以及備份介質上數據的保存時間。日常備份操作可以在晚間系統負載較輕時定時、自動、快速進行,對系統日間使用不會造成任何影響。
2.4信息系統運行的安全與防護
信息系統的運行安全管理是通過對系統運行狀況的監控,及時發現不安全的運行因素,從而采取有效的安全技術措施,來保證信息系統的安全。首先,信息系統的安全運行,應以嚴密的系統組織控制為 前提。系統組織控制是為實現信息系統目標而進行的組織結構設計、權限安排和流程規范設計。因此,組織結構設計應結合企業流程特點、信息化程度、人員素質、風險類型與大小進行全盤考慮;圍繞 系統最終目標,劃分職能界限與任務權限,形成適應流程管理與控制的企業信息系統組織結構,并與員工信息的使用權限、決策權限相匹配。其次,要嚴格操作控制。嚴格操作控制是通過計算機操作規 程來保證信息系統對信息處理的正確程度,從而減少差錯。主要應做好:1、對信息系統的使用進行理論和實作培訓,以便及時正確掌握基礎信息和含義,并能熟練運用;2、結合實際崗位工作特點,制 定不同的正確的操作規程并嚴格執行;3、隨著信息系統的不斷更新、升級,要不斷的修訂操作規程并及時進行培訓指導。第三是不在系統內隨便安裝無關軟件。安裝與系統無關的軟件,會占用大量的硬 盤空間,從而影響系統的執行效率。第四是定期檢查硬盤。在系統運行過程中,必須定期檢查系統的安全使用情況。因為通過檢查可以確定硬盤運行是否正常,是否有故障出現以及硬盤上的文件讀寫是 否正常;通過定期檢查整理,能夠及時清理系統運行中的垃圾文件,提高系統運行效率。
2.5計算機病毒與防護
計算機病毒是指編制者在計算機程序中插入的破壞計算機功能或者毀壞數據以影響計算機使用,并能自我復制的一組計算機指令或者程序代碼[2]。計算機病毒擴散性很強,又常常難以根除,它們能把 自身附著在各種類型的文件上,有時會替換正常的系統文件。當文件被復制或從一個用戶傳遞到另一個用戶時,它們就隨同文件一起蔓延開來。主要特征:(1)非授權可執行性;(2)隱藏性;(3)傳 染性;(4)潛伏性;(5)破壞性;(6)可觸發性。根據計算機病毒的特點,應從以下幾方面來做好工作,達到防治計算機病毒的最佳效果。一是要建立嚴格的訪問體系。用戶的訪問控制可分為三個過 程:用戶名的識別與驗證;用戶口令的識別與驗證;用戶賬號的識別與驗證。在這三個過程中,若其中任何一個不能通過,計算機系統就會將用戶視為非法用戶,阻止其訪問。建立用戶名、口令及賬號 的識別與驗證體系,嚴格控制用戶訪問,這是防范病毒入侵的第一道防線。二是要建立有效的病毒檢測、阻擋和清除體系。如安裝防火墻,檢查網絡之間流通的數據包,限制不符合安全策略要求的數據 通過,及時識別并阻擋病毒入侵[2]。三是要建立數據信息的加密體系。利用編碼技術,對數據信息按密級進行加密,保證數據信息不易被讀出和更改,從而保證數據的完整性。
第5篇:企業信息安全方案范文
隨著現代化無紙辦公要求的提高,相應的也就要求了現在企業辦公離不開網絡,便于辦公的企業都自行建立了自己的企業內網,“企業自身處內網環境中,黑客難以入侵。但實際上,無線網絡、眾多智能設備(如手機、Pad等)為黑客提供了更多便利,而企業所信任的防火墻在黑客面前形同虛設。”知名企業信息安全顧問、國家企業信息安全最高認證(CISP)金牌講師張勝生在講座中對目前國內企業普遍缺乏企業信息安全專業團隊,漠視企業信息安全的現狀表示擔憂。
2013年中央電視臺播出的“棱鏡門 ”一時鬧的沸沸揚揚,棱鏡計劃(PRISM)是一項由美國國家安全局(NSA)自2007年小布什時期起開始實施的絕密電子監聽計劃。美國情報機構一直在九家美國互聯網公司中進行數據挖掘工作,從音頻、視頻、圖片、郵件、文檔以及連接信息中分析個人的聯系方式與行動。監控的類型有10類:信息電郵、即時消息、視頻、照片、存儲數據、語音聊天、文件傳輸、視頻會議、登錄時間、社交網絡資料的細節,其中包括兩個秘密監視項目,一是監視、監聽民眾電話的通話記錄,二是監視民眾的網絡活動。
該類事件也反應了關于企業及個人企業信息安全的問題。
1 企業信息安全管理基礎
1.1 企業信息安全事件分析
統計結果表明,在所有企業信息安全事故中,只有20%-30%是由于黑客入侵或其他外部原因造成的,70%-80%是由于內部人員的疏忽或有意泄密造成的。站在較高的層次上來看信息和網絡安全的全貌就會發現安全問題實際上都是人的問題,單憑技術是無法實現從“最大威脅”到“最可靠防線”轉變的。
1.2 企業信息安全管理的需求
企業信息安全取決于兩個因素:技術和管理。安全技術是企業信息安全的構筑材料,安全管理是真正的粘合劑和催化劑,企業信息安全管理是預防、阻止和減少企業信息安全事件發生的重要保障。
1.3 信息安全保障的內涵
信息安全保障要綜合技術、管理、工程和人。應融入信息系統生命周期的全過程,目的不僅僅是保障信息系統本身,更應該是通過保障信息系統,從而保障運行于信息系統之上的業務系統、保障組織機構。信息安全保障不僅僅是孤立的自身的問題,更應該是一個社會化的、需要各方參與的工作,信息安全保障是主觀和客觀的結合。
2 企業信息系統安全系統結構組成要素
實現企業信息安全系統結構的安全,要從多方面考慮,通常定義包括安全屬性、系統組成、安全策略、安全機制等4個方面。在每一個方面中,還可以繼續劃分多個層次;對于一個給定的層次,包含著多種安全要素。
2.1 安全屬性
安全本身是對信息系統一種屬性要求,信息系統通過安全服務來實現安全性。基本的安全服務包括標識與鑒別、保密性、完整性、可用性等。安全服務和安全機制的對應關系如下:5大類安全服務:身份鑒別、訪問控制、數據保密、數據完整性、不可否認性及提供這些服務的8類安全機制及其相應的OSI安全管理等對應OSI模型的7層協議中的不同層,以實現端系統企業信息安全傳送的通信通路。這樣從安全性到安全服務機制到具體安全技術手段形成了安全屬性的不同層次。
2.2 系統組成
系統組成描述信息系統的組成要素。對于信息系統的組成劃分,有不同的方法。可以分為硬件和軟件,在硬件和軟件中又可以進一步地劃分。對于分布的信息系統,可以將信息系統資源分為用戶單元和網絡單元,即將信息系統的組成要素分為本地計算環境和網絡,以及計算環境邊界。
2.3 安全策略
在安全系統結構中,安全策略指用于限定一個系統、實體或對象進行安全相關操作的規則。即要表明在安全范圍內什么是允許的,什么是不允許的。直接體現了安全需求,并且也有面向不同層次、視圖及原理的安全策略。其描述內容和形式也各不相同。對于抽象型和一般型安全系統結構而言,安全策略主要是對加密、訪問控制、多級安全等策略的通用規定,不涉及具體的軟硬件實現;而對于具體型安全系統結構,其安全策略則是要對實現系統安全功能的主體和客體特性進行具體的標識和說明,亦即要描述允許或禁止系統和用戶何時執行哪些動作,并要能反射到軟硬件安全組件的具體配置,如,網絡操作系統的賬號、用戶權限等。
2.4 安全機制
安全機制是實現信息系統安全需求及安全策略的各種措施,具體可以表現為所需要的安全標準、安全?f議、安全技術、安全單元等。對于不同層次、不同視圖及不同原理的安全系統結構,安全機制的重點也有所不同。例如:OSI安全系統結構中建議采用7種安全機制。而對于特定系統的安全系統結構,則要進一步說明有關安全機制的具體實現技術,如認證機制的實現可以有口令、密碼技術及實體特征鑒別等方法。
3 企業信息安全攻防技術
3.1 惡意代碼及網絡安全攻防
3.1.1 惡意代碼定義
惡意代碼(Unwanted Code,Malicious Software,Malware,Malicous code)是指沒有作用卻會帶來危險的代碼。
惡意代碼類型:二進制代碼、二進制文件、腳本語言、宏語言。
3.1.2 惡意代碼傳播方式
移動存儲、文件傳播、網絡傳播、網頁、電子郵件、漏洞、共享、即時通訊、軟件捆綁。
3.2 惡意代碼的防治
增強安全策略與意識:減少漏洞、補丁管理、主機加固、減輕威脅、防病毒軟件、間諜軟件檢測和刪除工具、入侵檢測/入侵防御系統、防火墻、路由器、應用安全設置等。
3.3 惡意代碼檢測技術
3.3.1 特征碼掃描
工作機制:特征匹配、病毒庫(惡意代碼特征庫)、掃描(特征匹配過程)、優勢、準確(誤報率低)、易于管理不足、效率問題(特征庫不斷龐大、依賴廠商)、滯后(先有病毒后有特征庫,需要更新特征庫)。
3.3.2 惡意代碼檢測技術-沙箱技術
工作機制:將惡意代碼放入虛擬機中執行,其執行的所有操作都被虛擬化重定向,不改變實際操作系統優勢。
優點:能較好的解決變形代碼的檢測。
3.3.3 惡意代碼檢測技術-行為檢測
工作機制:基于統計數據、惡意代碼行為有哪些、行為符合度。
優勢:能檢測到未知病毒。
不足:誤報率高。
難點:病毒不可判定原則。
3.3.4 惡意代碼清除技術
惡意代碼清除技術有:
(1)感染引導區型、修復/重建引導區。(2)文件感染型、附著型:病毒行為逆向還原、替換型:備份還原。(3)獨立型:獨立可執行程序:終止進程、刪除。(4)獨立依附型:內存退出、刪除。(5)嵌入型。(6)更新軟件或系統。(7)重置系統。
4 企業信息安全攻防技術常見的手段和工具
4.1 攻擊的過程
4.1.1 攻擊的過程
信息安全??中攻擊方式有:信息收集、目標分析、實施攻擊,留后門方便再次進入、打掃戰場,清理入侵記錄。
針對以上提到的行為了解其原理并考慮應對措施網絡攻擊的方式:(1)主動攻擊:掃描、滲透、拒絕服務等。(2)被動攻擊:嗅探、釣魚等。
攻擊過程的一些術語:后門、0-day、提權。
4.1.2 信息收集攻擊的第一步
信息收集-攻擊的第一步:獲取攻擊目標資料,網絡信息,主機信息,應用部署信息,漏洞信息,其他任何有價值的信息,分析目標信息、尋找攻擊途徑,排除迷惑信息,可被利用的漏洞,利用工具。
4.2 收集哪些信息
目標系統的信息系統相關資料:域名、網絡拓撲、操作系統、應用軟件、相關脆弱性、目標系統的組織相關資料、組織架構及關聯組織、地理位置細節、電話號碼、郵件等聯系方式、近期重大事件、員工簡歷、其他可能令攻擊者感興趣的任何信息。
4.2.1 信息收集的技術
(1)公開信息收集(媒體、搜索引擎、廣告等)。(2)域名及IP信息收集(whois、nslookup等)。(3)網絡結構探測(Ping、tracert等)。(4)系統及應用信息收集(端口掃描、旗標、協議指紋等)。(5)脆弱性信息收集(nessus、sss等)。
4.2.2 域名信息收集
在維護企業信息安全的過程中需要搜集域名信息:(1)NSlookup域名解析查詢。(2)Whois 是一個標準服務,可以用來查詢域名是否被注冊以及注冊的詳細資料 Whois 可以查詢到的信息。(3)域名所有者。(4)域名及IP地址對應信息。(5)聯系方式。(6)域名注冊日期。(7)域名到期日期。(8)域名所使用的 DNS Servers。
4.3 工具介紹
4.3.1 檢索工具
基礎檢索工具:(1)TFN2K。(2)Trinoo。
4.3.2 電子欺騙的類型
(1)IP欺騙(IP Spoof)。(2)TCP會話劫持(TCP Hijack)。(3)ARP欺騙(ARP Spoof)。(4)DNS欺騙(DNS spoof)。(5)路由欺騙(ICMP重定向報文欺騙、RIP路由欺騙、源徑路由欺騙)。
4.3.3 利用應用腳本開發的缺陷-SQL注入
SQL注入原理:SQL注入(SQL Injection):程序員在編寫代碼的時候,沒有對用戶輸入數據的合法性進行判斷,使應用程序存在安全隱患。用戶可以提交一段數據庫查詢代碼,根據程序返回的結果,獲得某些他想得知的數據或進行數據庫操作。
4.3.4 SQL注入防御
防御的對象:所有外部傳入數據、用戶的輸入、提交的URL請求中、參數部分、從cookie中得到的數據、其他系統傳入的數據。
防御的方法:
白名單:限制傳遞數據的格式。
黑名單:過濾特殊字串:update、insert、delete等。
開發時過濾特殊字符:單引號、雙引號、斜杠、反斜杠、冒號、空字符等的字符、部署防SQL注入系統或腳本。
第6篇:企業信息安全方案范文
一、電力企業信息網絡面臨的威脅
1、人為的無意失誤現階段,計算機使用用戶的數量在不斷的增加,但是計算機網絡用戶的安全意識是較為缺乏的,將自己的網絡賬號隨意的與別人共享,加之網絡的口令較為簡單,操作人員的安全配置不當的問題也廣泛的存在,這些因素的存在就容易導致網絡出現安全漏洞。但是不是人為的故意行為引起這些因素的發生,而是在無意狀態下造成的失誤行為。
2、人為的惡意攻擊電力企業的計算機網絡的安全防護技術盡管已經很完善了,但道高一尺,魔高一道。威脅電力企業信息網絡安全的因素還是廣泛的存在,人為的惡意攻擊是計算機網絡安全的最大威脅,人為惡意攻擊的存在的兩種不同形式,包括主動攻擊和被動攻擊。主動攻擊是指采取各種的手段破壞電力企業信息網絡的安全,影響信息的完整性和有效性。被動攻擊是對計算機網絡信息的截獲、竊取和破譯是在不影響計算機運行的情況下,這個過程中機密信息的泄露是被動攻擊形式。計算機網絡信息的安全在主動攻擊或被動攻擊的攻擊下都會對網絡信息的安全造成一定的威脅,影響了計算機網絡的安全性。
3、網絡軟件的漏洞和“后門”網絡軟件在設計時,通常會設置“后門”來方便編程人員的維護工作的開展,但是由于“后門”的設置,網絡軟件出現缺陷和漏洞的概率就會大大的增加了,黑客攻擊的目標就會轉移到有缺陷和有漏洞的網絡軟件上。盡管外人是不知道這些“后門”的存在,但是黑客和病毒會通過各種手段來發現這些“后門”的存在了,然后通過“后門”攻擊網絡軟件,造成用戶的網絡信息被盜取,不利于網絡技術的安全建設。
二、電力企業信息網絡安放的加密技術和安全策略
1、網絡信息的加密技術加密網絡信息的處理,能夠有效的保護網絡數據、信息和文件的安全,網上數據傳輸的安全性也能夠得到保證。現階段網絡機密的方法有很多,但是常用的就有三種,包括鏈路加密、節點加密和端點加密,通過應用這三種網絡加密技術,源端到目的端、對源節點到目的節點之間的用戶數據信息的安全保護得到了實現,網絡節點之間鏈路信息的安全性也得到有效的保證。在常規的密碼中,發信方和收信方的加密密鑰和解密密鑰是一模一樣的,其保密性較強,在長期的使用過程中,對于人為的檢驗和攻擊都得到了很好的承受,但對密鑰的管理工作也需要加強,保證信息數據傳送的途徑是安全的,這是一個重要的因素來確保網絡安全。防止非授權用戶的竊聽和入網的有效形式是網絡密碼技術的使用,還能夠很好的防護惡意軟件的攻擊,能夠有效的確保網絡安全。
2、電力企業信息網絡的訪問控制策略網絡安全防范和保護的主要策略是控制訪問,保證網絡資源不張永平被非法使用和非法訪問是它的主要任務。網絡系統安全維護的和網絡資源的保護的主要手段也是控制訪問策略的制定。
三、加強電力企業信息網絡安全的措施
1、控制入網訪問為網絡訪問提供第一層的保護控制就是入網訪問控制的實行,具體的做法就是識別和驗證用戶的姓名和用戶口令,網絡信息安全保護控制的措施還有用戶的缺省限制檢查。控制入網訪問中,用賬戶的建立是由系統的管理員來完成的,管理人員控制和限制普通用戶的賬號和登錄服務器獲取網絡資源的同時能夠掌握用戶的的入網時間和在哪臺機器入網的,進而網絡信息資源的安全性就有所保障了。
2、網絡的權限控制采取安全保護措施來處理網絡非法操作就是網絡的權限控制,哪些網絡信息、文件和目錄子目錄可以被用戶和用戶組可以訪問都是受到一定的限制。用戶對這些資源信息、文件和目錄的操作范圍被制定。用戶的劃分歸類可以根據訪問權限,特殊用戶和一般用戶。由系統管理員根據用戶的實際需要來分配是用戶的操作權限。由審計用戶來實現網絡的安全控制和資源使用狀況的審計。通過訪問控制表的描述來實現用戶對網絡資源的訪問權限。
3、目錄級安全的控制用戶對目錄、文件和設備的訪問,網絡應該允許控制。用戶對所有文件和子目錄的有效是在目錄一級指定的權限,對目錄下的子目錄和文件的權限,用戶也可以進一步指定。共有八種控制訪問目錄和文件的權限,包括系統管理員權限、創建權限、寫權限、文件查找權限、存取控制權限、讀權限、修改權限和刪除權限。指定用戶進行適當的網絡訪問權限是又網絡系統管理員的主要工作內容,用戶對服務器訪問的控制也是由訪問權限的設置來實現。
4、網絡監測和鎖定的控制實施對網絡的監控要由專門的網絡管理員來實現,用戶對網絡資源的訪問通過服務器也記錄下來,服務器應該通過文字或聲音報警的形式來提示用戶所訪問的網絡是非法的,網絡管理員的注意力就是被引起。網絡服務器的自動記錄裝置能夠記錄用戶的網絡范文次數,不法之徒進入網絡的次數也會不記錄下來,在他們嘗試進入網絡系統的次數超過規定的數值之后,不法之徒的賬戶就會自動鎖定。
5、控制防火墻網絡防火墻的存在是網絡安全的一層安全屏障保證,能夠有效的阻止網絡中黑客的訪問和攻擊,網絡通信監控系統是通過防火墻來建立的,有利于隔離網絡系統的內部和外部,對外部系統的入侵進行有效阻止。
四、結語
第7篇:企業信息安全方案范文
關鍵詞:企業網站搭建;淺析;信息安全防范策略
企業在進行網站搭建的過程中,信息安全這一環節特別需要重視,因為企業的信息門戶在一般情況下是比較容易受到攻擊和影響的,一旦發生信息安全問題,企業也一定會受到很大的損失。目前,由于網絡問題造成的安全事故也時有發生,企業的安全防范工作也顯得格外重要。因此,做好企業網站的安全防護,才能夠發揮出網站和網絡的積極作用,真正的為企業服務。
一、企業網站內部安全風險以及防護
硬件安全防護和其所面臨的風險,是一個常見的安全問題,針對這系列問題,要從門禁控制技術方面去著手,維護供電系統的穩定方面去著手,同時也應該要有相對完備的防范災害措施,像防水火、防雷電等。然后還可以運用自動報警設備以及防盜視頻監控設備去進行風險的防控。然后是系統軟件以及業務系統安全。對于這些問題,要針對企業網站中業務系統存在的一些漏洞,采取積極的措施進行修補。相對完善的規章制度可以有效的避免一些內部的安全風險,具體的工作過程中,不要去隨意下載和安裝一些來路不明的應用軟件或是安全監測軟件還有掃描軟件等等,否則會使得企業內部面臨一些安全操作風險。因此,要對企業內部的網絡結構進行合理的規劃,企業的內部網絡和外部網絡應該是處于隔離狀態的,企業應用的軟件,應該是統一安裝下載的,并且是集中管理,病毒庫升級也是比較及時的。除了對上述一些安全風險進行防護,還應該做好入侵檢測系統的部署,該系統能夠對網絡傳輸做好及時的監視,能夠及時的發現一些可疑的傳輸問題,并且在發現這些問題的時候,能夠及時的做出反應,采取相應措施,能夠針對有問題的網絡安全設備發出警報,做出預警。還可以對企業網絡存在或是已經發生的安全事件,進行事后的舉證或是追查,在不影響網絡原有性能的前提下,去做好網絡監測,并且能夠對一些攻擊行為進行主動的監測。除此之外,還能夠對一些外部的入侵和內部的攻擊行為實施一些保護措施,和防火墻起到類似的作用,促進企業的網站能夠更好的運行下去。
二、網頁服務器的安全
網頁服務器要及時的進行更新,軟件也應該及時的安裝補丁,服務器和文件傳輸、郵件等服務器是分離的狀態的,要對web服務器開放的賬戶進行限制,登錄口令的長度還有其強制性應該進行定期的更改,避免web服務器安裝在控制域上。然后默認的web服務器站點要停止,對一些有示例性的應用程序要及時停止應用并且進行刪除,并且服務器上一些不必要的服務,也應該及時的停止。服務器上的日志文件要定期的進行的查看和分析,對于其中一些可能存在安全隱患的文件進行研讀,服務器文件的讀寫權,也應該是提前設置好的,web服務器與數據庫服務器應該是一個分離的狀態。其中,一些不必要的共享文件,要及時做好處理。正確運用殺毒軟件和防火墻,保護服務器系統的安全。
三、數據庫的安全防范
企業網站的數據庫面臨著多重隱患,其中一個隱患可能就是數據庫被盜,一定要根據這一隱患,采取積極措施。因為其中的的一些數據很有可能涉及很多企業的內部信息,一旦被別有用心的人竊取之后,極有可能會造成企業多個方面的損失。因此,企業應該重視網站搭建的安全性,數據庫的存放路徑要盡可能的復雜,文件名也應該趨向于復雜。數據庫的機構安全問題也是一個非常重要的問題,數據庫的結構安全包括數據表的命名和字段名的命名,若是命名過于簡單的話,則非常容易被黑客運用各種反復試盜取,因此。數據表還有字段名的命名。也應該遵循登錄密碼的命名規則,進一步的復雜化,防止攻擊行為的產生。還有數據庫連接字符串,這也是一個重要的安全問題。其中明文密碼安全以及數據連接文件名的安全問題是重點。明文密碼安全指的是數據庫連接字符串中不直接的出現明文密碼,一般可以運用非對稱加密算法,依靠數據源的連接方式,去建立和數據庫的連接;數據源名稱要避免用一些常見形式作為名稱或是擴展名,要防止數據庫連接或是被黑客下載竊取。
四、網站源程序的安全防范
網站源程序的代碼編寫如果存在不完善的情況,就可能會導致網站的后臺管理出現問題,還有可能導致數據庫的一些重要安全信息出現泄漏,若是出現這樣的情況,企業的信息安全必定也會面臨著嚴重的威脅、惡意代碼上傳漏洞、后門和調試漏洞等等。首先是網頁代碼可能出現的問題,網頁代碼出現的問題可能是身份驗證漏洞,避免出現這一問題可以在編寫后臺管理程序代碼的過程中,不斷的完善管理頁面,無論哪一個管理頁面,都應該進行身份驗證,避免非法入侵。然后是惡意代碼上傳漏洞,針對這一問題,在編寫代碼的時候要對提交上來的數據信息進行及時的校驗,校驗的過程中,要及時的屏蔽一些其他的可執行代碼,以防網站的登錄信息出現泄漏。最后,網站程序途中,調試用的后門要及時去除,并且及時關閉一些不必要的端口。后臺管理入口的安全問題是一個非常關鍵的安全問題,也是很多的程序設計者非常關注的問題。網站后臺程序的入口程序文件若是以一些簡單的常見形式存在,那么就會為黑客的入侵提供可乘之機;其次,網站后臺管理入口和網站首頁相連接這一連接方式也是不正確的,為了改善這一現狀,要不斷的改變網站后臺的管理路徑,使其變得更加復雜,避免在網站首頁暴露出后臺管理入口。管理員設置的管理口令復雜與否,也能夠影響企業網站的安全。設置一串簡單的數字非常容易被他人猜中。還有一些網站的開發人員對于管理員密碼以及明文存放或是只進行簡單的加密,這樣的做法也是不正確的。針對這些問題,要做的就是堅決杜絕簡單的口令,并且采用特殊的字符去作為登錄密碼,限制密碼的位數,最后,還要對用戶密碼進行加密計算,增強其非對稱和不可逆性,同時限制錯誤登錄次數。做好網站建設以及網絡安全防護,不僅僅要重視防范,還要做好管理工作,這是企業信息安全建設中的重要問題。還應該實施網站狀態的可視化策略,做好網站的安全建設,應該做好網站監控、管理、防范等方面的工作,同時也應該有所體現。另外,還要從全局的角度去思考和看待安全問題,及時并且正確的去處理一些安全問題,實時進行網絡使用的檢測以及設備使用要求。為了更好的保證網站業務狀態的可視化,對于網站的業務還應該統一進行響應和處理。
第8篇:企業信息安全方案范文
【 關鍵詞 】 企業;移動信息;安全;保密;設計
About Enterprise Mobile Information Security Scheme Design Discussed
Hu Zhao-xu 1 Liu Fang 2 Zhu Shang-jie 1 Wang Jin 1
(1.Petrochina Pipeline Company HebeiLangfang 065000;2.China Unicom Langfang Branch HebeiLangfang 065000)
【 Abstract 】 this paper mainly through the enterprise mobile information information security scheme design and specific security scheme, undertook an analysis to its, hope to find in favor of enterprise mobile information security and confidentiality of the optimal scheme.
【 Keywords 】 business; mobile information; security; confindential; design
1 企業移動信息安全方案設計
1.1 系統安全設計
1.1.1移動安全設計原則
第一,合規性原則:系統安全設計要符合國家法律法規及中國石油的信息安全政策,實現廠商、技術、產品整體合規。
第二,區域防護原則:根據移動應用數據的處理和傳輸過程,對其進行物理和邏輯多層次區域防護,以滿足國家信息系統安全等級三級保護基本要求。
第三,統一規劃、分布實施原則:規劃統一的移動應用平臺安全方案,配合企業移動應用試點、建設、推廣三個階段分布實施。
第四,保護現有投資原則:在集團現有的信息安全管理體系框架和安全技術架構基礎上,根據移動應用安全的特點和管控要求進行安全功能細化和完善,保護集團現有投資。
第五,可擴展原則:在信息安全系統功能、容量、覆蓋能力等各方面,系統安全架構要易于擴展,以適應業務快速變化對企業移動應用安全的安全管控要求。
1.1.2移動安全技術方案架構
第一,移動安全域劃分:企業移動應用平臺所涉及的信息資產具有不同的安全屬性和價值,因而需要不同級別的安全保護。
第二,技術功能組件設計:結合信息安全等級保護要求以及信息安全技術架構參考模型ISO13335/15408,安全技術功能分為移動應用物理安全防護、移動應用安全網絡安全防護、移動終端安全防護、移動應用安全防護、移動數據安全防護等安全防護子系統。
1.1.3方案特點分析
企業移動應用平臺系統安全方案通過管理及技術控制措施的部署,對移動應用過程中的信息安全風險進行了有效的控制,實現了風險可識別、可控制、可化解的風險管理要求。通過移動管控系統,采用主動與被動相結合方式,對整個移動應用進行任何時間、任何地點、任何人、任何事件的監督、控制和審計。確保系統安全整體架構可充分滿足了國家安全等保及集團信息保密的管理和技術控制要求,緊扣國家等保及集團保密相關政策,滿足合規性要求。其一,緊扣相關政策,滿足合規性要求;其二,針對移動安全特點,進行重點防護。
1.2 災備方案設計
根據備份災備需求分析,企業移動平臺的災備等級定義為六級,即數據零丟失和遠程群集支持。企業移動平臺的災備方案、數據歸檔、同城備份、異地災備組成多級的高可用和災備方案,同時涉及到備份流程、恢復流程、介質管理等相關流程。
2 企業移動信息保密方案
企業保密方案主要分為幾個部分,其中重點分析了信息的生成、使用與交換。
(1)信息生成:對企業移動應用平臺信息資產按照集團信息保密要求進行分類、分級和標識,對不同安全級別的信息資產采取保護措施。
a管理方案
根據相關規章制度對企業移動應用平臺涉及的集團公司三星級及以下商業秘密信息進行分類、分級和標識,并將秘密知悉范圍限定在最小范圍。
三星級商業秘密是對集團公司整體利益、運營安全和競爭優勢產生嚴重影響的核心秘密,包括涉及國家能源安全的石油戰略儲備、油氣管道建設、敏感區域油氣勘探開發、重大海外發展戰略、集團公司核心技術、重大經營管理決策、重大合資合作項目等事項的相關信息。
二星級商業秘密是對集團公司整體利益、運營安全和競爭優勢產生一定影響的秘密,包括集團公司重要技術、重要經營管理、重要交易等事項的相關信息。
一星級商業秘密是對集團公司局部利益、運營安全和競爭優勢產生影響的秘密,包括一般的技術和經營等事項的相關信息。
b技術方案
第9篇:企業信息安全方案范文
關鍵詞:供電企業;計算機信息系統;網絡安全防范
前言:
信息技術的發展為人類社會帶來了更多的便利,因此國內的諸多行業為提高其工作的效率均廣泛采用計算機網絡技術以實現其信息化建設,與此同時,相應的各種網絡安全問題也日漸突出。供電企業為更好地向社會提供優質可靠的電力服務也在其供電管理系統中應用了計算機網絡,如果計算機信息系統的運行安全出現了問題則不僅會對供電企業的正常工作產生影響,同時也會影響到所在地居民的正常生活,因此必須要加強供電企業計算機信息系統的網絡安全性,并做好相關防范工作。
一、供電企業計算機信息系統網絡方面的安全防范現狀
實際上我國的供電企業在計算機網絡方面的建設已有多年的歷程,并且在規模以及技術上也有所發展,但隨著現今信息網絡的發展,其計算機網絡的發展也面臨著更多的挑戰。供電企業的管理系統關系著其財務、銷售、管理等多項涉及到其日常經營的業務,為此則必須要對計算機在其管理系統中的應用進行分析,以了解當前的計算機網絡安全現狀。
1. 計算機網絡在管理方面的安全防范現狀
隨著供電企業在信息化方面的建設工作不斷開展,其在管理方面尤其是安全性方面的管理工作取得了一定的進展,在原先的管理模式上做出了與計算機網絡向適應的針對性調整,使得其與信息化建設的要求也逐步向適應。但是由于我國計算機網絡在技術方面的飛速發展,不僅使供電企業對其依賴程度加深,同樣也使得其在管理方面的所存在的一些隱患問題暴露出來。安全防范的管理不足具體體現在機房管理不夠嚴謹,包括計算機的設備以及系統都存在不同程度的落后情況,在進行數據的存儲時無法提供可靠的記錄和存儲;在電源方面也是有所疏忽,一旦機房的主電源出現了問題則會迅速導致其信息數據的傳輸出現錯誤,進而使整個供電企業管理系統出現問題,后備電源的缺失以及供應不及時都會影響到整個計算機信息系統網絡方面的安全性,如下圖所示。
2. 計算機網絡在系統方面的安全防范現狀
在供電企業計算機信息系統中,其網絡的核心通常是匯聚交換機,并與其下屬的各個單位設備進行連接,從而形成一個系統化的大型局域網絡。然而由于在同各下屬單位之間進行連接時,對于網絡的傳輸安全未能予以相應的保護,再加上交換設備的常年使用使得其穩定性與安全性有所下降,進而導致其網絡在安全防范方面存在著較大的漏洞。在這種情況下一旦出現問題將會使其下屬的各個單位的管理系統也受到影響,造成區域性的供電系統紊亂。供電企業內部與外部通過網絡傳遞信息,結構較為簡單,在風險抵御上偏弱;同時由于操作業務的多樣性,使得其對于網絡網絡傳輸的接口以及性能方面有著較高的要求。當遭受來自廣域網上的攻擊,若未能抵御,容易出現網絡異常,嚴重者可能造成網絡癱瘓,或是數據丟失、信息外泄等情況,這對于供電系統的運行而言是相當危險的,因此必須要針對其網絡系統問題進行安全協議的優化以提高其系統的安全性[1]。同時,需要確保局域網中設備的穩定運行,維護正常的數據通信。
二、供電企業計算機信息系統網絡方面的優化分析
供電企業在對其計算機信息系統網絡進行管理時一般會將其歸為三部分,分別是外網管理、內網管理以及日常數據管理等,并且對這三個部分進行強化保護,以提升其網絡安全的等級。一般來講會將其內網應用于日常的數據處理中去,主要是客戶終端的各項業務服務;而外網的話則會將其用于客戶業務辦理,當然也可以用于客戶的訪問與咨詢。在其計算機信息系統網絡安全中,可以通過建立相互獨立的主機以及服務器從而將外網與內網進行隔離以保證其安全性,防止計算機網絡因局部故障而導致整體的運行受阻,有效地避免了供電網絡癱瘓的情況。內外網隔離的方法也可以實現計算機網絡在縱向與橫向之間的隔離,并且可以使供電系統的信息實現區域化管理,從而有效提高其對于外界的防御能力。同時也要注意對網絡結構進行相應的優化,供電企業在對管理系統進行計算機網絡配置時可以根據情況考慮使用新型骨干交換機,并且在每一臺交換機上配備兩套電源系統,一個是常規電源,另一個則是備用電源,從而保證設備能夠在出現電力故障時依然能夠正常運轉,并且出于機器散熱的考慮,需要配備相應的風扇以提高其散熱能力。在交換機上進行管理模塊的設置,使其既能夠完成冗余資料的備份,同時也能夠完成冗余荷載[2]。
三、供電企業計算機信息系統網絡方面的安全應急處理
為了能夠使供電企業管理系統安全性得到進一步的加強,則必須要充分考慮各種突發意外,并依此制定周全的應急處理機制,從而確保供電管理系統的計算機網絡能夠具備較好的抗災能力。首先是需要針對目前比較常見的黑客以及計算機病毒的攻擊,對資料與數據進行安全加密處理,并做好其備份工作,以降低其危害。在制定應急預案時應當對可能出現的各種情況進行詳細的分析,對于各個預案進行模擬演練,在演練完成后要做出正確的評估,以了解其對于災害的抵御能力,并對其中的不足予以指正,從而確保應急方案能夠及時有效的抵御外界入侵。同時也要對系統中計算機網絡的相關責任人員以及技術人員進行專化業化的技術培訓,從而提高其計算機網絡安全的技術水平,使其能夠為計算機網絡系統的運行安全予以技術支持。在權限方面需要對系統中的計算機網絡進行嚴格的權限等級設置,對于不符合其權限等級的操作要嚴格禁止,并進行相應的記錄,以便后期的檢查[3]。
四、總結
供電企業計算機信息系統網絡安全是一項長期而復雜的工程,需要根據供電企業現有的網絡運行環境和信息系統環境,加強安全和防護技術,從而使其能夠為供電企業的生產經營管理發揮更加優質、便捷的服務,促進電網企業的發展。
參考文獻:
[1]李偉?電力系統計算機信息網絡安全技術與防范探討[J]?通訊世界,2014,(9):69.
