论基于移动平台的企业信息安全管理
2015-03-19孙伟胥斌
孙 伟 胥 斌
(1.上海张江集成电路产业区开发有限公司 上海 201203;2.太平共享金融服务(上海)有限公司 上海 201203)
0 引言
目前,移动终端产品得到了很快的发展,在人们的工作和生活中比较常见,而且,其性能也是比较完善的,可以提高工作的效率,信息化办公已经成为一种趋势,可以提高企业的工作效率,而且能够提高工作的准确性。通过应用移动平台,企业能够运用网络进行内部及与外界的联系,在与内部联系时,企业的安全风险比较低,但是,在对外界联系时,企业的信息容易被泄露,所以,企业在使用移动平台办公时,应该强化安全防范意识。
1 移动平台下企业信息安全相关的系统建设
1.1 系统总体设计
现在,在移动终端的办公环境下,主要是运用网络进行办公,移动终端可以借助无线网络,获取服务证书,从而安全的访问网页。在移动平台下,信息安全的建构主要是对服务器和客户端的保护,在服务器与客户端之间运用HTTPS协议进行约束,从而能够获取证书模块,对控制模块设定权限,提高企业信息的安全性。
1.2 CA证书模块和证书申请模块
CA证书的申请模块功能还是比较强大的,其能够自动化的生成CA证书,而且能够对证书进行合法的保护,而且,在服务器的端口,能够自动化生成一个公钥的证书,这个证书能够让用户进行免费的下载,而且,可以将私钥保存下来,实现对数据的加密处理。CA证书能够按照移动办公平台的合法性生成,在获取CA证书后,就可以将信息保存在服务器中,用户通过密码,找到自己想要的资料。将CA证书发给所有合法的用户,在移动平台上,用户就能够凭借CA证书下载资料,将证书安装在自己的移动终端上。当证书安装完成后,对指定的证书进行分析,这时,通过获取账号和密码的方式,将用户的移动终端与公司的邮箱结合在一起,通过获取验证码的方式,经过服务的验证,用户就能够登录到移动平台办公了。
1.3 权限控制模块和系统登录模块
用户在安装了证书后,就能够通过设置用户名和密码的方式登录到平台上,然后通过HTTPS协议,获取验证码的形式,分析证书是否是有效的。按照CA证书,对用户名进行减压,分析证书的使用者是否是合法的。当证书能够通过验证时,服务器会按照用户的资料,分析移动终端使用者的信息,通过对相关的信息进行对照,从而分析用户登录是否是合法的。如果用户输入用户名和密码的次数超过三次,系统就会自动上锁,用户就不能再登录了,用户在规定的时间内是不能访问系统的,这样可以提高系统的安全。如果移动终端发生了一定的问题,比如造成了数据的丢失,那么,系统在规定的时间内是不能访问的,从而能够防止系统内的信息进一步丢失,这时系统会自动冻结,任何人不能访问系统。当移动平台上发生信息丢失时,就应该及时通知公司的相关人员,采取有效地措施,提高企业信息的安全性。
2 基于移动平台的企业信息安全的政策措施
2.1 基于移动平台,企业要建立和完善网络安全信息共享的分级管理制度
2.1.1 通过其敏感性对网络安全信息共享进行等级划分
信息安全的敏感性指的是信息是不公开的,具有一定的机密特性,所以,将信息安全的等级划分成五个等级,一级指的是信息是安全的,可以被任何人共享;二级指的是信息受到一定的限制,只有企业或者部门指派的人员可以使用;三级指的是国家机密的信息;四级指的是专门的信息,主要也是由国家机密构成的;五级主要指的是国家的核心机密。
2.1.2 通过信息对系统的关键程度划分
通过信息对系统的关键程度进行划分可以将信息安全分成四个等级,一级指的是信息绝对安全,即使信息系统发生损坏也不会影响系统的正常运作;二级指的是关键信息的安全性,当信息系统遭到破坏的时候,会导致单位或者机构内部的信息不能正常的使用;三级指的是必要的信息安全等级,指的是当系统遭到破坏的时候,重要的信息将会受到影响,不能正常的使用;四级指的是国家核心的信息,当系统发生损坏后,会导致这些核心的信息不能正常使用。
2.2 基于移动平台,企业要建立健全信息安全共享制度
网络安全信息共享制度分为两种,一种是本着自愿的目的,还有一种是在强制的手段下执行的。在强制手段下实现的共享,是在重要的基础设施运行单位执行的,有的与相关的计划相关的测试、风险管理等的审计综合,包括关键基础设施的安全维护和重建等,这类信息在共享之前必须要向相关的部门报告,得到允许后才能够共享。
2.3 基于移动平台,企业要设置专门的个人信息隐私保护制度
在我国的法律中,还存在一些漏洞,企业要制定专门针对个人隐私的保护法,对个人信息进行详细的保护,其中有个人信息的保护权、支配权等,个人信息保护权是隐私权的重要组成部分,其中,这些权利也可以适用到政府和企业中,当出现企业信息安全受到干扰时,可以使用该项制度加以约束。
2.4 基于移动平台,企业应该清除企业信息安全的技术问题
保障企业信息安全的过程中,最重要的是基础设施的运行情况,在共享信息时,必须采取有效的措施,消除企业信息安全保护的技术性问题,然而,企业信息安全保护本身就存在着安全隐患,其可靠性并不强,信息库中存有很多无价值的信息,这不仅仅对信息发布具有一定的影响,同时也会造成关键基础设施运行问题。
信息的传递要承担很大的风险,其风险不仅仅存在于信息库中,同时也会存在于网络中心的其他成员,一个信息在传递后,可能会有很多其他的业务,通过网络连接后都实现了共享,公司的人员可以通过网络连接进入系统中,作为信息共享具有选择性特点,信息共享的业务能够通过用户之间的网络进行互通,这样就会遭到一些破坏,导致信息的泄露,病毒的攻击会将关键基础设施破坏,从而进行连续的攻击,直到系统崩溃,所以,在进行企业信息安全保护的时候,要通过一定的法规,保障网络安全。
2.5 基于移动平台,企业要确定网络安全信息管理者的责任
根据信息的隐私程度,对信息进行整合和加工,从而形成信息的整体性,有些信息会威胁到企业的安全,这些信息是不能泄露的,信息在传递的过程中一定要受到制度的规范和制约,提高信息传递的安全性。
3 结语
当前,我国的网络技术高速发展,网络在带给人们方便的同时,也带来了一些隐患,在网络上,很多个人的信息会泄露,信息的安全性不能保障,而且,现在企业也都在使用移动终端办公,在这种办公方式下,提高了企业运行的效率,但是,也会造成一定的安全隐患,在运用移动平台办公的过程中,会导致信息传递的过程中的泄露问题。所以,企业在运用移动平台办公时,应该设计安全系统,并且运用政策提高移动平台办公的安全性。
[1]吴晨刚,董恒竞,唐勇.基于移动终端的企业信息安全架构设计与实现[J].信息网络安全.2013.
[2]崔兆强.检察机关信息安全体系建设探讨[J].信息技术与信息化.2014.
[3]罗革新,吕增江,崔广印,鲍天祥,王振欣,于普漪.大型企业信息安全体系架构设计初探[J].勘探地球物理进展.2011.
[4]张羿,赵志勇,黄治,方俊霆.SOA 安全体系在南方电网信息集成平台中的应用研究[J].云南大学学报(自然科学版).2013.
[5]吴海燕,于文轩.基于企业架构的大学信息安全架构初探[J].武汉大学学报(理学版).2012.