浅析企业信息系统安全体系建设
进入二十一世纪以来,越来越多的传统企业通过引入信息系统来提高企业运行效率,用信息化技术改造企业已经成为一种不可阻挡的历史潮流。各领域的信息化步伐在不断加快,信息化朝着更加高效的方向发展。随着企业信息化改造升级工作的完成,企业进入一个崭新的信息化时代,随之而来的是企业对信息化的依赖性越来越大,企业信息系统是否可以安全可靠地运行,企业的信息是否可以被安全有效的保护,这往往会对企业的客户声誉、品牌形象造成不可估量的影响,甚至会使其业务直接面临风险。因此,信息系统安全体系的完整严密对于企业至关重要。
如何建立一套针对企业自身特点的信息系统安全体系,最大程度地保证其正常运营,这不是一个单纯的技术问题,而是一个把管理、安全技术、审计等多种因素集成于于一体的系统工程。因此,企业管理层需要在企业发展策略中,高度重视信息安全技术、信息安全管理和审计工作,不仅要在信息系统的软硬件上下功夫,而且不能忽略相关审计工作,加强风险排查,这样才能对企业的业务发展做到同步支持。
1.信息系统安全技术
信息系统安全技术作为信息系统安全体系的基础,在其中起到支撑的作用。在实际工作中,针对企业各自特点制定相关策略。当前企业信息系统安全的现状和面临的主要问题如下:
1.1硬件运维
硬件设备的运维和管理是企业信息系统安全体系的基础保障,但是管理人员容易忽视这一环节。企业信息系统往往会因为硬件设备故障、断电或网络问题造成信息丢失或服务中断。如果针对硬件设备的运维和管理没有相关保障机制,一次发生意外,就会给企业造成不可估量的损失。
当前常见的硬件设备运维保障管理机制有以下几个环节:一是通过设置UPS不间断电源保障系统硬件的持续性运行;二是要对企业信息系统中的网络设备进行定期巡检,在前期的网络环境部署过程中首先考虑网络的连接稳定性;最后是加强信息系统安全管理,严防企业信息丢失和窃取,可以通过对数据信息存储服务器设置物理锁的方式避免非法操作。为了保证系统服务器的安全,管理人员可以采用远程登录的方式访问系统。
1.2入侵防御
病毒入侵一般都拥有固定代码,而入侵威胁是由非法人员需要得知信息系统的漏洞,从而进行人为操纵的信息窃取或系统攻击。特定的防范方法包括:严格制定防火墙访问控制策略,阻止外界对内部资源的非法访问;关闭系统硬件不用的端口;定期对系统进行漏洞扫描和补丁包更新;在信息系统中部署入侵检测系统(IDS)和入侵防御系统(IPS),从而抵御非法入侵。
1.3病毒防范
信息系统的安全配置和管理人员的正规操作对于信息系统病毒的防范非常重要。操作系统是企业信息平台安全的基础,错误的安装配置会使病毒渗入到信息系统当中。针对信息系统安装杀毒软件并进行定期更新是病毒防范的基本措施,这样可以保证系统基本的安全性与稳定性。企业还需要定期对系统进行数据备份。
1.4数据加密
在公共网络进行数据传输的过程中,利用虚拟专用网(VPN)技术设置访问控制策略,实现两个或多个可信网络之间的数据加密与传输。搭建VPN通常使用加密防火墙和路由器,保证数据安全传输[1]。
在企业的局域网中针对内部信息存储、传输的安全问题,可以通过部署安全服务器来实现包括对局域网内资源的管理控制、用户的管理和所有安全相关事件的跟踪和审计。
2.信息系统安全管理
企业信息系统安全体系的建设三分靠技术,七分靠管理。因此,建立和完善管理制度是保障企业信息系统安全的关键和重点。
2.1制定企业信息系统安全管理制度
企业信息系统安全体系的建立和实施对其正常运营非常重要,所有一切的信息系统安全工作都要以公司制定的企业信息系统安全管理制度为基准。
2.2提高企业员工信息系统安全意识
现实中企业管理者的关注焦点大多是生产上的安全,信息安全没有得到足够的重视。实际上,企业员工信息安全意识的高低,在企业的信息系统安全体系建设中起很大作用,企业能够加强员工的信息安全意识,将很大地提高信息系统安全体系实施的成效。
2.3严格执行标准,强化制度落实
在企业信息系统安全体系的建设过程中,必须严格按照信息系统安全操作规程和管理措施执行,最大程度消除信息系统安全隐患。若发现信息系统安全隐患,及时按照相关操作规程处置[2]。
2.4积极学习和应对各种信息系统安全事件
信息技术不断发展,保障信息系统安全的难度也在与日俱增。因此,信息系统安全管理必须要求企业管理人员不断学习,不仅要制定一套完整严密的信息系统安全管理方案,还要有步骤清晰、操作性强的应急预案,这样才能增强信息系统安全管理的危机抵御能力和处理能力。
2.5构建信息系统安全环境平台
面对日渐严峻的信息安全形势,在加强企业信息系统基础安全设施建设的同时,要有机结合员工信息安全意识、技术能力、企业运维管理三者,建立一套综合性强的信息系统安全保障体系,在所有的业务系统中贯彻执行当前的安全管理思路,通过可量化的技术手段,达到信息系统安全管理的最终目的。
3.信息系统安全审计
企业信息系统安全体系的建设是一个长期的、需要不断持续更新、完善的系统工程,通过对信息系统的安全审计,及时发现和解决企业信息系统安全体系的漏洞,才能不断提高企业安全水平和质量。如何建立和执行企业信息系统安全审计,有效加强企业内部的信息系统安全管理和风险控制,满足相关政策法规,成为各行业面临的普遍问题[3]。 信息系统安全审计是指一群拥有相关信息安全专业技能和商业知识的审计人员对企业安全风险以及如何应对风险措施进行评估的一个过程。信息系统安全审计人员通过收集、分析、评估信息系统安全信息,掌握其安全状态,制定安全策略,将系统调整到“最安全”和“最小风险”的状态,确保信息系统安全体系完整、合理、适用[4]。
由于目前信息系统应用已经涉及到企业的各个业务和办公领域,对于信息系统带来的安全管理已经是企业运营不可切割的一部分。所以,企业的信息系统安全审计应该是一个从业务部门到技术部门都必须参与控制的过程。
从信息系统本身来说,安全审计的要点主要是以下两个方面:
3.1数据及数据传输审计
数据是信息系统的重要资产,保护数据的安全、完整,避免其被恶意破坏、盗窃。对用户身份进行控制,避免非授权访问数据,是数据访问环节的安全控制措施。除此之外,对数据的操作和保存也是数据安全控制的重要环节。首先,应雇佣具备任职资格或经过适当培训的人员,避免误操作;其次,所有操作都应该经过授权且有记录,数据文件被正确保存且经过充分备份,以备正确的恢复。
在信息系统中,有些数据需要在两个子系统或多个子系统中相互传输,在这个过程中很可能会出现问题,尤其是在需要手工录入或同步传输的情况,因此在进行信息系统安全审计的过程中要重点关注以下方面:数据在传输的过程中可能会发生变化,如何进行校验;核心数据库可能会被物理分散的服务器取代;当一个信息系统取代原有的信息系统时,会进行数据的传输。要保证传输的数据是完整、可靠并且经过批准的,数据的全部传输过程要准确,并且在约定时间内完成。
3.2内部控制审计
内部控制审计是企业为实现管理目标而形成的自律系统。在审计过程中要对审计对象的系统环境是否符合要求、规程制度是否完善、执行情况是否到位进行审查。在信息系统中,可以通过检查以下几个方面来验证企业内控制度和执行的效果:(1)控制信息系统的资源存储,包括物理存储资源存储(终端、连接盒、服务器、相关文档等)和逻辑资源存储(软件、系统文件、表和数据等)。(2)把控信息系统资源的使用。用户的新增、变化、删除必须经过授权,用户只能对其授权范围内的资源进行操作。(3)按一定标准划分信息系统资源。可以系统资源的滥用、数据的非法修改以及减少人为误操作。(4)身份和访问控制审计。按照时间顺序建立一个档案簿,包含信息的创建、修改和删除的详细过程及其操作人员。它采用的是授权证明,控制什么人什么时候访问了什么数据。(5)确认处理过程的准确性。(6)管理人员对信息系统的所有修改都应该保证是经过授权、评估和审核,并且有记录文档,保证风险最低且有效控制。(7)入侵防御审计。入侵防御涵盖的范围远广于传统的入侵检测。入侵防御策略的合理设置会把风险缩小到最小范围。(8)漏洞和病毒管理审计。定期检查系统漏洞和防病毒措施,根据具体问题原因进行分析处置,及时采取相关措施。
4.结束语
信息系统安全体系的建设是一个长期的、动态变化、循环往复的过程,新的攻击手段总会随着信息系统安全技术的发展而产生。没有一个安全体系能解决企业面临的所有安全问题[5]。随着企业信息化的不断推进,对信息系统建设和管理中产生的安全问题会不断地深入研究,将产生更好的解决方案,实现信息系统的安全和业务之间的融合与协调,保证企业的良性发展。
- 上一篇:企业资金筹集与运营管理探讨
- 下一篇:中国企业管理模式形成机制研究
