企业运维管理中信息系统安全风险控制探讨.doc

企业运维管理中信息系统安全风险控制探讨.doc

ID:61744996

大小:28.50 KB

页数:4页

时间:2021-03-17

企业运维管理中信息系统安全风险控制探讨.doc_第1页
企业运维管理中信息系统安全风险控制探讨.doc_第2页
企业运维管理中信息系统安全风险控制探讨.doc_第3页
企业运维管理中信息系统安全风险控制探讨.doc_第4页
资源描述:

《企业运维管理中信息系统安全风险控制探讨.doc》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、企业运维管理中信息系统安全风险控制探讨摘要:为了有效控制运维管理中信息系统的安全风险,文章通过对信息系统控制难点进行研究,分析了现今系统存在的安全风险,并制定了详细的解决策略。以期能够对非法访问、信息篡改的问题进行有效的控制,为今后企业运维管理提供可靠的参考数据,为企业的发展做出有力的支撑。关键词:企业运维管理;信息系统;安全风险随着信息时代的来临,信息系统和技术已经成为当下各个领域不可或缺以及赖以生存的基础性建设。现今信息已经成为衡量一个企业综合竞争水平的重要标志。但是,信息技术在不断支撑着企业业务开展的同时,其在运维方面也会产生相应的安全风险,主要表现为

2、非法访问、信息篡改以及信息泄露。这些风险就会对企业的信息安全带来巨大的隐患。1信息系统安全风险的控制难点近年来随着网络技术的不断更新,企业也通过各种安全措施加强了信息系统安全风险的防护措施,但仍存在两个难点,首先是信息系统的高风险性,由于当下信息系统较为复杂,且漏洞较多,就会使得系统处于高风险性,使得运维人员很难进行控制。其次是当下IP管理以及信息系统的规模逐渐增加,也就使得攻击源变得多样化,运维人员无法进行有效的追踪,也无法进行有效的防护。2企业运维管理中信息系统安全风险分析近年来,信息时代的脚步逐渐加快,信息化的水平也在与日俱增。信息技术也以其方便、实用

3、等特点广泛地应用在各企业之间。而为了更好地将信息技术的最大作用发挥出来,就需要定期对其维护。但是随着信息系统的应用需求逐渐增加,网络规模的不断扩大,使得信息系统的结构愈加复杂,也使得技术漏洞逐渐增加,这就会对企业的信息系统带来安全隐患。在现今运维管理中信息系统的安全风险主要包括下述几个方面。2.1服务器终端层面的风险服务器终端层面的风险主要分为下述几个部分:①信息系统的基本安全保密配置不够完善,管理不够成熟,这就使得用户可以私自更改BIOS的启动顺序,使得安全防护产品的失效,从而进行信息的窃取和篡改;②4学海无涯安全风险的报警装置不够成熟,不能够达到预期的效

4、果,通常会由于安全产品之间的兼容性问题失去应用的效用,出现误报或者漏报的情况。然后就是系统含有漏洞,信息系统最主要的部分就是系统,在当下的企业中应用的操作系统基本上都为Windows系列,而一些停止补丁升级的Windows系统就存在着漏洞,很容易受到侵蚀,进而造成数据的丢失。2.2网络层面的风险在网络层面安全风险主要为网络设备的安全配置不当,通常会开启多余的服务或者端口,这就存在了被非法访问的隐患。同时在访问控制方面不能对接入进行有效的控制,会造成设备非法接入的风险。另外,企业通常不会对用户进行分层、分级,这就会导致网络拓扑混乱,使得企业重要的信息资源存在被

5、非法授权访问的安全隐患。2.3硬件层面的风险现今,企业都拥有大量的硬件,且都是采用的国外进口。企业根本无法知晓底层硬件的工作机制,其是否含有隐藏通道等。例如惠普的某型号服务器已经被证实存在后门,这些设备的运维都需要专业的工作人员进行,这也就会使得维修过程容易发生信息篡改或者信息窃取的风险。2.4应用层面的风险应用层面的风险主要就是身份认证的管理不够完善。管理员的口令较弱、用户名和密码过于简单等都会被攻击者利用。甚至在当下一些企业还有用户名公用、滥用的现象,这就更给攻击者提供了良好的机会,攻击者可以通过这些漏洞进行水平提权,进而对信息进行窃取,甚至其可以获取管

6、理者的权限,对系统进行控制,这就会给企业造成巨大的经济损失。2.5安全审计层面的风险在当下的信息系统风险管理都会部署一些安全监测产品,例如防火墙、杀毒软件等。这些产品只能针对某类安全问题有效,这就使得信息系统的审计工作变得松散,不能形成完整的体系。而且由于系统的兼容性等原因,总会出现误报、漏报的现象,这就会对审计的作用带来巨大的影响,使其无法发挥其应有的效用。另外,企业虽然相应的部署了安全管理平台进行日志的收集,但在当下的信息系统中智能分析能力较弱,不能够对全局进行有效的监控,也就没有办法实现综合监控和安全风险的态势分析。3企业运维管理中信息系统安全风险的控

7、制策略4学海无涯通过对上述安全风险的问题进行有效的分析,基于信息的特点,本文提出了下述信息系统安全风险的控制策略。3.1加强信息系统数据资源的安全风险控制数据资源的风险控制主要从三个方面进行:①存储安全,可以采用先进的加密技术对信息数据库进行加密处理,从数据资产产生的源头进行安全防护体系的构建;②标识安全,通过标识技术对信息进行去区分标注,经过审计后,让标识与信息系统密不可分,这样就不会出现信息篡改的问题;③访问安全,可以采用强制访问控制的方式,对访问主体进行限制。例如,某些数据非管理员权限仅能读取,不能够打印或者重新编辑,而一些重要信息限制再无权观看。3.

8、2加强信息系统的信息安全风险控制信息安全主要就是对应

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。