企业IT系统的安全性分析和防护
摘 要: IT系统信息安全涵盖了很多方面,概括的来讲是根据企业或者部门的要求和相关环境的需要,满足信息网络和信息硬件、软件机器数据所必须受到的可靠保护、控制和防止其被破坏更改或泄漏等等需求。与此同时IT系统信息安全的保障涉及IT系统信息的保密完整性、可用性、真实性和可控行的相关技术和理论。
关键词:企业IT;安全;防护
1、IT系统信息安全定义与存在的意义
如今全球经济一体化的企业环境中,IT系统信息安全的重要性被广泛关注,在企业和政府组织中信息系统得到了真正广泛的应用。更有许多组织对其IT信息系统的依赖性不断增长,另外出于对在信息系统上运作业务的风险、收益和机会的考量,使得IT系统信息安全成为企业管理越来越关键的一部分。
2、企业的IT系统信息安全现状问题
2.1企业对信息安全表现不积极:根据调查显示,我国在网络安全建设投入的资金还不到网络建设资金总额的1%,大幅低于欧美和日韩等国。我国目前以中小型企业占多数,而中小型企业由于资金预算有限,基本上只注重有直接利益回报的投资项目,对于网络安全这种看不到实在回馈的资金投入方式普遍表现出不积极态度。
2.2一味的追求新技术,不切合企业实际状:首先,信息安全技术和信息安全产品的蓬勃发展只有近20年的时间,整个信息安全体系、技术都在不断变化和创新的过程中。其次,供应商针对制造企业特点的解决方案偏少,解决思路不够系统。正是这些不确定因素导致了信息管理与信息安全新技术的风险性,而且并不是每种新技术都具有通用性。
2.3需求宽泛、缺乏针对性:因为制造企业信息化管理水平参差不齐,从而导致企业信息管理与信息安全需求不清晰,系统建设缺乏步骤,缺乏对企业信息安全的系统分析。
2.4各个系统自成体系,没有形成合力:我国企业重视IT系统硬件架设,轻视平台建设,各种信息管理与信息安全系统独立运行,策略不统一、联动不及时导致功能冗余、阻塞网络、策略逻辑漏洞等问题。各个系统自成体系,没有形成合力。我国制造企业重视硬件产品,轻视平台建设,各种信息管理与信息安全系统独立运行,策略不统一、联动不及时导致功能冗余、阻塞网络、策略逻辑漏洞等问题。
3、IT系统信息安全的解决方法
3.1硬件设备及网络架构的合理部署:
(1)硬件系统安全和软件系统运行安全;
(2)网络安全技术和规划:网络安全的基本技术网络加密、网络防火墙、网络地址转换技术、操作系统安全内核技术等;
3.2建设企业信息安全管理团队:
实例:在某中型制造企业,对信息管理与信息安全不重视且没有专门的IT信息安全管理团队。该企业财务电脑可以任意的接入互联网中,在一次下载的过程中,该财务电脑中了木马程序。黑客通过木马程序窃取了该财务电脑中多个网银帐户和密码,然而黑客并没有按常规模式取走这些网银帐户中所有的钱,而是采取了一种小额取款的方式——每个月从每个账户中取走一元钱。该案件发生后半年时间内财务人员都没有发现网银帐户已经被盗取。
信息安全 “三分技术、七分管理”。 在复杂的企业网络中,任何一个员工的疏漏、漏洞管理疏漏,都会给企业安全带来威胁。在这种情况下,企业信息安全的集中管理是根本,并需要依靠全新的技术手段来实现。一般而言,企业建立集中管理的原则包括:基于风险管理,投入有的放矢;注重体系化采用系统方法,确保万无一失;注重策略和管理,建立文件管理体系等。
3.3企业身份ID验证系统:
实例:在A大型制造企业,拥有37套信息系统,其中常用信息系统17套。企业的管理层由于每天事务繁忙,经常忘记自己的帐户名/密码,信息系统管理者每天做的最多的工作是不断的修改帐户名/密码。再加上企业的IT管理人员不足,致使信息系统管理人员将所有系统的企业管理层帐户名/密码均设为相同的来降低工作量。这使得黑客有了可趁之机,使得企业信息大量泄漏。
所有的企业资源的员工和职员必须配给唯一的身份ID,这样即可以保证其他入侵的破坏,也可以根据事故的情况便于审计。单一的身份认证往往会有身份识破或者丢失的弊端产生。因此双因素及多因素的身份认证的需求产生。RSA双因素身份认证体系可以完善的表现出此方面的有点,它即可以让使用者有唯一的使用权限,也可以防止因丢失,窥窃密码和冒充身份而造成失误,也会给审计带来可靠的取证。
3.4企业数据的备份:企业的数据是在不断的产生及增长的。这些数据对企业的发展将有着举足轻重的作用,因此数据的备份及存储是企业成长中不可缺少的部分。良好的备份存储方案会给企业在发展中带来更多的效益。
3.5管理层面的制度约束:制度和约束一直以来是企业管理的一个重要组成部分。IT系统的信息安全管理也是一样,企业需要通过相关制度的制定来约束人员和作业流程来达到规范化信息系统、保障信息系统安全的作用。
4、云计算与IT系统发展方向
讲到IT系统的发展这里不能不特别说明一下云计算。云计算并不是一个新概念,而云的定义也绝不仅仅是针对于计算,云计算的出现是IT系统建设和发展过程中必然出现的一个过程和阶段。我国已经有了众多企业实现了云化,也就是资源化和信息化。云平台的搭建离不开IT系统信息安全,源自云计算的工作机制问题包括资源的整合、信息的托、服务的出租以及大量软件和IT基础设施当成一种资源向外提供服务,这些必要因素使得在云计算的搭建必须要完善数据完整性和安全性等方面的问题。
从企业角度看,云计算解决了IT资源的动态需求和最终成本问题,使得IT部门可以专注于服务的提供和业务运营。云计算剥离了IT系统中与企业核心业务无关的因素(如IT基础设施),将IT与核心业务完全融合,使企业IT服务能力与自身业务的变化相适应。所以我们大胆预言IT系统的发展方向是云计算的普及和安全云计算技术的成熟。
5、结束语
IT系统的信息安全逐渐被企业所重视进而众多的安全对策和管理方案投入使用,尽管如此IT系统的安全工作还是需要加大技术和人才的投入。引用IBM大中华区全球洗洗科技服务部总经理徐颖的话说“信息安全管理过程也就是风险管理的过程,企业应该将信息安全风险纳入企业整体的风险管理战略中,并提高全体员工的认知。进而有效进行风险管理的关键,是风险、成本和可用性三者间的平衡。”总之IT系统信息安全保障必须要引起企业的重视,应该对当前IT信息系统的安全现状反思并且重视信息系统的安全性,不应该局限于现有的信息系统安全,更需要分析未来信息系统的发展方向,并且将安全防护方案与未来发展方向保持一致。
参考文献:
[1]梁永生 电子商务安全技术 2008;
[2]张亚勤 “云计算”三部曲 之二:与“云”共舞----再谈云计算 2009;
[3]冯登国 信息安全风险评估方法与应用 2006;
[4]朱近之 安全的云计算 2010;
上一篇:浅谈Zigbee技术
下一篇:浅谈数据库管理系统