企业信息安全管控论述

《企业信息安全管控论述》由会员上传分享，免费在线阅读，更多相关内容在工程资料-天天文库。

1、企业信息安全管控论述1信息安全准则信息安全准则是风险评估和制定最优解决方案的关键，优秀的信息安全准则包払根据金业业务冃标执行风险管理；冇组织的确定员工介色和责任；对用户和数据实行最小化权限管理;在应用和系统的计划和开发过程中就考虑安全防护的问题;在应用中实施逐层防护;建立高度集成的安全防护框架；将监控、审计和快速反应结合为一体。良好信息安全准则可以让企业内外部用户了解企业信息安全理念，从而让企业信息管理部门更好地对风险进行管控。2企业信息安全管理的主要手段2.1网络安全(1)保证安全的外部人员连接。在LI常工作中，外部合作伙伴经常会提出联

2、入企业内网的需求，山于这些联入内网的外部人员及其终端并不符合企业的信息安全标准，因此存在信息安全隐患。控制此类风险的手段主要有：对用户账户使用硬件KEY等强验证手段；全面管控外部单位的网络接入等。(2)远程接入控制。随着VPN技术的不断发展，远程接入的风险已降低到企业的可控范围，而近年來移动办公的兴起更是推动了远程接入技术的发展。企业采川USBKEY,动态口令牌等驶件认证方式的远程接入要更加的安全。(1)网络划分。在过去，企业内部以开放式的网络为主。随着网络和互联网信息技术的成熟，非受控终端给企业内网带来的安全压力越来越大。这些不受信任的

3、终端为攻击者提供了访问企业网络的路径。信息管理部门可以利用IPSec技术有效提高企业网络安全，实现对位于公司防火墙内部终端的完全管控。(2)网络入侵检测系统。网络入侵检测系统作为防火墙的补充，主要用于监控网络传输，在检测到可疑传输行为吋报警。作为企业信息安全架构的必备设备，入侵检测系统能有效防控企业外部的恶意攻击行为，随着信息技术的发展，各人安全厂商如赛门铁克，思科等均研发出来成熟的入侵检测系统产品o(3)无线网络安全。无线网络现在已遍布企业的办公区域，给企业和用户带来便利的同吋也存在信息安全的隐患。耍保证企业内部无线网络的安全，信息管理

4、部门需耍使用更新更安全的协议(如无线保护接入WPA或WPA2)；使川VLAN划分和域捉供互相隔离的无线网络；利用802.lx和EAP技术加强对无线网络的访问控制。2.2访问控制(1)密码策略。高强度的密码需要儿年时间來破解，而脆弱的密码在一•分钟内就可以被破解。提高企业用八的密码强度是访问控制的必要手段。为避免弱密码可能对公司造成的危害，企业必须制定密码策略并利川技术手段保证执行。(1)用户权限管理。金业的员工从进入公司到离职是一个完整的牛命周期，要便捷有效地在这个生命周期屮对员工的权限进行管理，需要企业具有完善的身份管理平台，从而实现授

5、权流程的口动化，并实现企业内应用的单点登陆。(2)公钥系统。公钥系统是访问控制乃至信息安全架构的核心模块，无线网络访问授权，VPN接入，文件加密系统等均可以通过公钥系统提升安全水平，因此企业应当部署PKI/CA系统。2.3监控与审计(1)病毒扫描与补丁管理。企业需要统一的防病毒系统和终端管理系统，在终端定期更新病毒定义，进行病毒自扫描，自动更新操作系统补丁，以减少桌而终端的安全风险。此类管控手段通常需耍在用户的终端上安装客户端，或对终端进行定制，在终端接入企业内网时，终端管理系统会在隔离区域对该终端进行综合评估打分，通过评佔后方能接入内网

6、。才能保证系统的安全策略被冇效执行。(2)恶意软件防控。主流的恶意软件防控体系主要由五部分构成：防病毒系统；内容过滤网关；邮件过滤网关；恶意网贝过滤网关和入侵检测软件。(3)安全事件记录和审计。企业应当配置口；忐审计系统，收集信息安全事件，产生审计记录，根据记录进行安全事件分析，并采取相应的处理措施。2.4培训与宣传提高企业管理层和员工的信息安全意识，是倍息安全管理工作的基础。了解信息安全的必要性，管理层才会支持信息安全管理建设，用户才会配合信息管理部门工作。利用定期培训，宣传海报，邮件等方式定期反复对企业用户进行信息安全培训和宣传,能有

7、效提高企业信息安全管理水平。3总结当前，越来越多的企业已经把信息安全看做影响业务发展的核心因素z—,信息安全管理己经成为企业管理的重点。本文对信息安全政策，安全管理手段等方面进行了剖析，结合当前国际主流的信息安全解决办法，为企业做好，做强信息安全管理体系给出了一些通用性的标准，对金业构建信息安全管理体系，消除信息安全隐患，避免信息安全事件造成的损失，确保信息系统安全、稳定运行具有探索意义。作者：董杰单位：屮国石化国际石汕勘探开发公司企业信息安全管控论述责任编辑:陈老师