企业信息化安全管理略论.docVIP

PAGE PAGE 1 企业信息化安全管理略论 　　摘要本文阐述了在日益复杂的网络环境中，企业信息安全构建的重要意义，总结了影响企业内部信息安全的因素，并提出了应对策略。 　　关键词企业信息安全；安全管理策略 　　中图分类号TP309；F270.7文献标识码A文章编号1673-9671-（2013）012-0209-01 　　企业信息化的构建可以实现企业生产过程的自动化、管理方式的网络化、决策支持的智能化和商务运营的电子化，从而提高企业的经济效益和企业的竞争力。 　　1企业信息安全体系构建的重要意义 　　企业信息安全对企业的安全管理和企业的发展意义重大，同时，信息安全问题也直接关系到企业的信息化建设。在企业信息化的构建过程中，要充分考虑企业在保密性（C）、完整性（I）、可用性（A）三方面的安全需求，并且从应用安全、数据安全、主机安全、网络安全、桌面安全、物理安全等方面系统地实现企业的安全需求。 　　2影响企业内部信息安全的因素及应对策略 　　外来存储设备的影响 　　对计算机信息安全最主要的威胁来自可移动存储设备。利用可移动存储设备，通过软驱、光驱、打印机、USB和网络接口等外设进行信息窃取。对于目前常用的Windows操作系统而言，应注意以下几点： 　　1）利用Windows操作系统中的设备管理器对外设进行必要的限制。通过对可移动存储设备及接口的限制，防止窃取信息。同时，也需禁用共享设置，防止通过共享的方式盗取信息。 　　2）使用插件对外设的使用权限进行设置。禁用USB接口，可能导致鼠标、键盘等必要设备无法使用；就USB接口而言，插件可以对不同的连接设备设置使用权限，既可以使用外部设备，又可以防止本机信息被非法修改或窃取。 　　3）设备老化换新的过程中，应注意硬盘的处理，防止信息泄露带来的安全风险。 　　3计算机网络安全的影响 　　计算机网络的发展给企业的发展带来了极大的方便，但是由于网络安全性造成的威胁也是有目共睹的。 　　3.1加强网络的病毒防护 　　随着网络的不断发展，信息共享、信息交换越来越多，因此感染病毒的机会更大，在企业内部，一旦有主机感染病毒，病毒将会传播到整个网络，给企业造成巨大的经济损失。除了对防火墙进行安全部署，尽量关闭系统不使用的端口，以防止入侵者对系统攻击外，还要对操作系统及所使用的杀毒软件进行更新与升级，减少因漏洞造成的安全隐患。 　　3.2加强对访问控制的监管。 　　访问控制是保证内、外用户对系统资源的访问，防止非授权用户进入系统，实现对授权用户的存取权限控制。对于只对企业内部或合作单位开放的信息，应该设置访问控制，只有得到用户名和密码的用户才能访问，可以通过配置路由器来实现这些内容。 　　1）对操作系统设置访问权限。对企业内部用户进行操作系统的权限设置，以防止账户信息被随意更改，如果账户信息被随意更改，则有可能是企业内部人员伪装合法用户身份信息盗取企业内部账户信息。 　　2）对各类信息系统软件中的账户信息进行加密。软件的登录过程中，输入的用户名和密码，均采用明文的方式在服务器上进行身份验证，在传输的过程中易被盗取和利用，所以，应在实现用户管理功能上采用加密传输方式，防止由此带来的安全隐患。 　　3）不同部门对网络权限的限制。在构建网络时应用VLAN技术和第三层交换技术，可在同一个基础物理网络上实现员工网络、财务网络、领导网络、部门网络的逻辑分隔，从而提高整个系统的安全性。 　　4）对密码复杂程度进行限制。无论操作系统还是管理系统，都应设置密码的最少位数和复杂程度，并且设定更新时间和错误次数的限定。当密码出错次数超过限次，系统自动锁死，该用户再次进入系统需管理人员开启，以防止非法用户猜码进入系统。 　　5）限定特定计算机登录。对于企业的重要信息资料，要限定在特定的计算机上登录，防止非法用户盗取账户的信息和物理地址后，利用其他计算机登录后盗取企业重要信息。 　　6）加强对企业数据库系统的访问管理。在系统开发时，应采用多层体系架构，防止客户端程序破解程序后进入数据库系统。第一层是注册和用户许可，保护对服务器的基本存取；第二层是存取控制，对不同用户设定不同的权限，使数据库得到最大限度的保护；第三层是增加限制数据存取的视图和存储过程，在数据库和用户之间建立一道屏障。 　　4系统稳定性的影响 　　计算机系统的良好运转，直接影响到数据信息的安全。随着企业信息化的发展，信息系统的连续而稳定运行越来越重要。 　　1）系统的连续性。一旦系统中断，将会给企业的工作带来不便，而数据一旦丢失，后果将是灾难性的。为保证系统的连续稳定运行，目前，多采用双机热备份的方式来解决，以保证当出现信息丢失或错误时能及时恢复，并找出问题的原因。这种系统由两个服务器组成：主服务器和从服务器，两台服务器，互相备份，共同执行同一服务。