1、企业信息安全概述
随着我国信息化建设的飞速发展,信息安全问题也日趋严重。2012年,美国众议院常设特别情报委员会发布报告称,华为、中兴的产品威胁美国国家安全。今年,奥巴马总统签署开支法案,禁止包括司法部、商务部、航空航天局及联邦调查局在内的联邦政府机构,采购“中国所有、运营或提供补贴的企业制造、加工或组装的信息技术产品”。而与华为和中兴等中国企业被美国拒之门外的情形形成鲜明对比的是,美国的“八大金刚”(思科、IBM、谷歌、高通、英特尔、苹果、甲骨文、微软)在中国却能长驱直入,而且,这些公司的产品都被用在了中国国家关键信息基础设施的建设上。从手机到服务器,从办公软件到操作系统,从搜索引擎到无线通信技术,美国“八大金刚”几乎渗透到了中国网络的每一个环节;政府、海关、邮政、金融、铁路、民航、医疗、军警,每一个部门几乎都有美国科技巨头的影子。因此在目前的网络安全形势下,在选取硬件方面必须慎之又慎,尤其在棱镜笼罩中国的讨论中。
2、企业在信息安全重点方面
2.1硬件方面有消息称,我国60%以上的企业组建了局域网。在局域网中,服务器的硬件安全问题勿需赘述,毕竟多年来服务器厂商一直对此比较重视。相反,PC的信息安全才应当引起企业注意,因为过去人们一直忽视了这个问题。采用安全电脑,无疑是从硬件上增强企业PC信息安全的有效途径。
2.2软件方面在谈到企业信息安全建设时,人们首要想到问题的可能就是购买杀毒软件。事实上,除了杀毒软件,还有许许多多的安全软件值得企业用户投资。IDC曾在一份报告中指出,在未来几年内,安全软件这一领域的增长将为安全管理、访问授权、识别技术、安全内容管理、加密技术、防火墙/VPN技术、入侵检测,以及风险管理等几个产品领域分享。
3、网络安全解决方案
要解决网络安全,首先要明确实现目标:①身份真实性:对通信实体身份的真实性进行识别。②信息机密性:保证机密信息不会泄露给非授权的人或实体。③信息完整性:保证数据的一致性,防止非授权用户或实体对数据进行任何破坏。④服务可用性:防止合法用户对信息和资源的使用被不当地拒绝。⑤不可否认性:建立有效的责任机智,防止实体否认其行为。⑥系统可控性:能够控制使用资源的人或实体的使用方式。⑦系统易用性:在满足安全要求的条件下,系统应该操作简单、维护方便。⑧可审查性:对出现问题的网络安全问题提供调查的依据和手段。
入侵检测系统(IDS)可以弥补防火墙的不足,为网络安全提供实时的入侵检测及采取相应的防护手段。一个成功的入侵检测系统,不仅可使系统管理员时刻了解网络系统(包括程序、文件和硬件设备等)的任何变更,还能给网络安全策略的制订提供依据。它应该管理配置简单,还应根据网络规模、系统构造和安全需求的改变而改变。入侵检测系统在发现入侵后,会及时作出响应,包括切断网络连接、记录时间和报警等。根据当前入侵检测系统的发展状况和现有的技术提出了自己的解决方案。
4、企业电子商务网站安全
从发展趋向来看,电子商务正在形成全球性的发展潮流。目前很多安全技术应用在了电子商务网站上面,比如:信息保密措施、交易者身份的保密、系统隔离、访问控制、系统扫描、安全检测等。总之,企业信息安全建设,是一项综合性很强的系统工程,需要以硬件为基础,配备由各种安全软件产品组成的解决方案,并加强员工的信息安全意识教育,转变企业领导观念,从而建立起一个能保障企业信息安全的动态防范系统。
5、结束语
本文分析了网络安全现状,指出目前存在的风险,随后提出了一整套完整的解决方案,涵盖了各个方面,从技术手段的改进,到规章制度的完善;从单机系统的安全加固,到整体网络的安全管理。本方案从技术手段上、从可操作性上都易于实现、易于部署,为众多行业提供了网络安全解决手段。也希望通过本方案的实施,可以建立较完善的信息安全体系,有效地防范信息系统来自各方面的攻击和威胁,把风险降到最低水平。
CIO之家 www.ciozj.com 公众号:imciow