APP下载

企业计算机信息网络系统的安全风险与控制

2015-04-29黄永强

商场现代化 2015年6期
关键词:系统安全信息网络风险控制

黄永强

摘 要:国家经济发展促使市场经济进一步成熟,各大企业面临的竞争压力日趋显著,如何通过自身管理水准的提升来增强企业竞争力具有重要意义。而计算机信息网络系统的不断更新升级,成为现代企业管理效率高低与否的标志。但也因为互联网自身的开放特征,为企业信息网络系统建设带来一定困难。因此,只有通过对企业计算机信息网络系统安全风险的有效识别,才能更好的促进企业可持续发展,增强系统安全稳定性。本文通过对现阶段企业计算机信息网路系统发展现状与安全级别划分的概述,就企业计算机信息网络系统安全风险提出相应控制举措。

关键词:企业计算机;信息网络;系统安全;风险控制

一、现阶段企业计算机网络发展的现状

计算机网络技术应用受到越来越多企业家的关注,企业日常信息处理已与计算机网络技术应用息息相关。在传递数据信息上,计算机信息网络系统可以让用户终端始终保持活跃状态,并采用有线或无线方式进行接收。这种信息传输方式将会覆盖整个企业线路信号,更好的服务与企业和社会网络。因为计算机信息网络技术的不断发展和应用,企业部门与部门之间联系更加紧密,诸多信息实现共享,为企业用户带来更多便捷。计算机信息技术的飞速发展与应用,促使企业开始广泛应用信息技术整合资源,并设立自己的信息网络,方便各部门及时沟通与交流。但是,计算机网络链接特有的形式,使得计算机终端容易遭受某些黑客和不法软件入侵,企业计算机信息网络建设安全问题一度成为舆论的焦点。

二、企业计算机信息网络系统的安全级别划分

当下我国计算机信息系统安全防护被划分为用户自主保护、系统审计保护、安全标记保护、访问验证保护、安全标记保护等五个级别,不同大中小型企业有不同的安全级别需求,只有正确认识不同防护级别所带来的优势与风险,才能切实设置出符合自身企业的计算机信息网络架构。用户自主保护级别的计算机信息系统通过多样化技术方式对用户采取访问控制措施,允许用户以用户组身份对数据进行查看,对未经授权的用户禁止读取敏感信息。系统审计保护级别的最大特点在于用户对自己的行为负责,用户通过标示自己身份,采取口令密钥方式进行数据访问,防止非法人士对系统信息进行篡改。安全保护级别能够有效消除测试后发现的一系列错误,并通过提供安全策略模型来标记数据信息。结构化保护级别将第三级系统中的自主和强制访问控制,从根本上与主体和客体进行区分,对隐蔽通道进行应用,鉴别程度加强。访问验证保护级别的最大优势在于自身具备了抗篡改能力的访问监控器需求,在设计阶段,可将系统工程的附加代码进行最大幅度减少,达到资源利用更大化的目的。

三、企业计算机信息网路系统的安全风险

不同的企业经营方式和品种不同,导致管理者采取不同的信息网路系统,这进一步加剧了企业局域网和外部网信息安全的风险性,自然和人为因素把企业计算机信息网络系统大致分为了以下两层。

1.外部风险

企业信息网络系统受到非法攻击和自然灾害的情况统称为外部风险,例如:水火灾害,偷盗灾害等都属于外部风险构成因素,这对于企业计算机信息网络系统危害巨大,主要表现在硬件设施的损坏。另外,也存在某些工作人员企图将公司文件作为有效的信息记录,不正当建立某些文件文档,也同样会对企业的计算机信息系统构成威胁。也有的计算机操作人员企图通过不正当手段获取到系统记录的信息,可能会通过某些不正当手段利用数据和系统程序。此外,企业计算机信息网络系统面临的最大威胁来自于黑客,黑客攻击系统的方式主要分为两种:一是通过不法手段进入企业计算机信息系统的网络攻击,目的是通过查看信息,破坏信息的完整性。二是通过窃取和破译的方式获得计算机机密信息的网络侦察方式,这种方式不会阻碍系统的正常运行。扫描器和口令攻击器、邮件炸弹和木马是黑客常用的攻击工具,企业通常都会存在网络安全隐患,黑客会利用计算机系统薄弱环节窃取信息,甚至对企业进行威胁敲诈。而病毒会破坏系统CMOS中的数据,系统数据区会遭受损失。无论怎样,两种方式都会对企业的网络安全建设形成重大影响。此外,还有僵尸网络,垃圾邮件,间谍软件等都会对企业计算机信息网络系统的安全建设造成威胁。

2.内部风险

计算机系统内部的特性决定了内部风险指数的高低,具体表现在计算机网络系统正常运行中存在的风险,主要分为:计算操作人员对登录账号和口令的泄露,未经许可或没有访问权限的人员进入企业信息系统可能会造成信息安全风险的产生。另外,计算机软件在安装的过程中,也必然会带有一定不为常人轻易察觉的系统漏洞,这些漏洞一旦被黑客发现,就可能会产生企业信息系统的内部风险。当下。软件公司在开发软件的过程中,很多都会为自己留有“后门”,一旦这些“后门漏洞”遭遇攻击,就会产生严重的后果。防火墙的安全等级也是对系统风险控制的重要指标之一,如果自身安全等级欠缺,也会产生一定的内部风险。另外,管理因素也是造成内部风险成因的重要原因之一。员工有意无意的破坏、用户操作规范问题、存储介质问题都是管理不到位的表现。某些员工也会对企业逐渐产生不满情绪,可能会采取极端手段恶意破坏企业的机密文件。移动存储设备的不正确应用,也是造成企业计算机信息系统安全问题的一大隐患,具体表现在移动存储介质的遗失和破坏,文件的非授权和打印等方面。

四、企业信息网络系统的风险控制方法

不同的企业信息网络系统风险控制方式也不尽相同,只有通过仔细分析,才能对其进行科学控制。为进一步保证计算机网络系统的安全,必须对数据形成全程监控和控制,达到最大化的系统安全风险控制。

1.数据信息的输入和传输

企业信息系统在数据初步输入阶段,为了进一步保证数据输入的合法和正确,对其加密措施是必不可少的,随后进行网络传输,就能够从根本上最大化避免信息在传输过程中遭遇篡改或者丢失现象,企业信息应用的加密方式多种多样,一般可以选取文件夹加密或者文件加密的方式进行传输。

2.数据信息的接收与处理

企业一般收到外部传输的订单处理信息时,接着就会由预编程序对该信息进行自动审核,规范的信息填写就会由计算机系统进行二次输出,并及时刻录在预置的磁盘或交卷等信息媒介中保存,这种情况下对于已获取信息的保存就显得格外重要。假如要对信息使用过程中产生的数据进行保存,就需要对用户数据的使用和存储进行及时控制,这也是控制企业信息系统泄漏的有效方法之一。

3.结果数据信息的保存和处理

数据使用过后的安置主要是指结果数据信息的保存和处理,这种后期的风险控制更要加以重视,包括数据使用过后保存的时间和清除,存储的方法和地址等等。不再应用的数据应当彻底处理,防止被二次利用,通过对废弃信息的研究获取到机密信息,不同的处理方式对系统安全风险的影响也不尽相同。

4.网络管理和安全管理

以上诸多的控制方式都会对计算机风险控制产生重要作用,此外,一个良好的管理平台有利于计算机设备各项设备功能的发挥,网络管理在网络资源的优化和监控利用中发挥着关键作用。

5.设立电子商务安全体系

美国FBI组织统计表明:美国几乎百分之八十的大型企业面临着信息网络安全问题的困扰,每年因网路安全问题造成的损失达到了七十五万亿美元,信息的窃取和滥用现象严重。因此,所有在互联网上开展电子商务的企业必须有足够的安全意识和防范措施,最大限度的避免企业机密信息的外泄和黑客入侵造成的不必要损失。另外,一整套强大的企业信息安全系统,也需要诸多先进的高科技技术和人才支持。

6.设立电子政务安全保障体系

企业在互联网上进行商务活动时,产生信息安全威胁的原因主要分为企业对电子集商务的高度依赖,互联网特有的开放性,企业信息系统技术本身存在的缺陷。通过以上对企业内外部威胁的分析可以得到严格的保密制度,规范的信息交换策略,完整明确的权限管理要求和执行流程是企业电子商务活动信息的基本安全保障。电子政务安全保障体系具有明显的真实性,机密性,完整性和可靠性。

7.企业信息安全策略和措施

一个完整的企业信息安全策略必须在技术上具备可操作性,可执行和责任明确的特征,强制性也是其中的必要组成因素。在信息的传输发布和处理过程中,需要对内外部威胁因素做一个敏锐的分析,必须要保证信息的完整可靠,实用安全。在企业信息安全技术保障体系的范围内,有必要对重大机密信息进行多层防护,基础设施的建设必须按照企业信息安全规定的标准执行,其中包括了对边界和计算机周边环境的防护,基础设施以及提供的支持等。其中涉及到了无线网络安全框架和远程访问,终端用户环境以及系统互联等应用程序的安全。一个完善的企业信息安全策略支持的基础设施也必须注重PKI(密钥管理基础设施或公共密钥基础设施)的管理。

8.加密认证和实时监测技术

加密是一项传统而又行之有效的信息传输技术,加密技术的应用主要表现在桌面安全防护、公文安全传输和互联网信息传输等方面。而实时监测主要是采取侦听的方式鉴别那些未经授权的网络访问行为,主要表现在对网络系统的扫描和记录跟踪等,这种发现系统遭受损害的技术手段是防止黑客入侵的有效手段,具有鲜明的适应性和实时性。

9.划分并隔离不同安全域

这种系统信息的安全防护措施主要是根据不同的安全需求和威胁对操作人员的方位划分不同的安全控制区域,采用访问控制和权限控制等手段对不同的操作人员设备访问进行控制,防止出现内部访问者也无权访问的区域和误操作现象的发生。根据不同的信息安全要求可以划分为关键服务区和外部接入区两大类,两种区域之间进行安全隔离措施。另外,在关键服务区域内,也需要根据安全级别的不同对其进行隔离的细化划分。

10.管理方面

管理在企业网络信息安全的防护中占有七分重要性,技术占有三分重要性。责任不明确必然会导致管理混乱,混乱的管理制度就会导致管理安全风险的产生。在企业计算机系统信息安全的防护中,不仅要关注与技术性的措施,在管理层面上也不容忽视,企业信息的管理贯穿于整个管理层面的始终,根据不同的工作环境和实际的业务流程,技术特点制定标准的信息安全管理制度。其中,企业在信息网络安全工作上,必须认真贯彻落实设备维护制度,保证物理基础设施的安全是一切信息安全防护的基础,一旦基础遭受冲击,其余的措施便如纸上谈兵。企业计算机系统管理员必须对机房的水火雷,盗窃等安全防范工作加以重视,另外,对经常使用的数据信息或者操作系统都要及时备份,必要时要对数据进行不同介质的存储,防止基础设施损坏时,给数据信息的恢复工作带来困难。

五、结语

综上所述,企业计算机信息系统的安全防护涉及范围广泛,随着计算机技术的广泛应用,网络风险也越发突出,计算机设备的安全和内部数据信息的保护成为重中之重。只有通过对企业计算机信息系统安全风险的全面分析,并进行有效控制,才能从根本上保证企业系统的正常运行和信息数据的安全。

参考文献:

[1]祝峰.如何构建安全的企业信息网络[J].网络安全技术与应用,2012(04).

[2]张希武,陈宇.全面提升企业信息网络整体安全防护水平[J].网络与信息,2011(10).

[3]王旭东,王萍韵.谈如何建立企业计算机信息网络运行管理体系[A].2002安徽省电力工业计算机应用学术会议[C],2002.

[4]罗冰.计算机网络信息安全管理探讨[J].中国科技博览,2010(11).

[5]杨静.计算机信息网络安全问题的分析与对策[J].科技与企业,2011(11).

猜你喜欢

系统安全信息网络风险控制
新型电力系统安全稳定运行分析
高邮市创新卫生系统安全管理模式
帮助信息网络犯罪活动罪的教义学展开
非法利用信息网络罪的适用边界
论增强企业经营管理的风险意识
J电气公司销售与收款内部控制问题研究
医院财务管理风险及改进措施分析
网络共享背景下信息网络传播权的保护
帮助信息网络犯罪活动罪若干问题探究
户用光伏系统安全防护问题的研究