企业信息安全概述定义到目前为止,信息安全还没有一个公认、统一的定义。国际、国内对信息安全的论述大致分为两大类:一类是指具体的信息安全技术系统的安全;另一类是指某些特定的信息体系(如银行系统、军事指挥系统)的安全。但也有人认为这两种定义也不能完全概括信息安全问题。企业信息安全的特征信息入侵者不管怀有什么用意,采用什么手段,他们都要通过攻击信息的4 个安全特征来达到目的。这4个安全特征是:完整性(Integrity)、可用性(Availability)、
保密性(Confidentiality)、可控性(Controllability)。在技术上,信息安全就是保证在客观上杜绝对信息的4 种特征的安全威胁,使信息的所有者在主观上对其信息的本源性放心。企业信息安全的基本内容信息安全的基本内容包括:实体安全、运行安全、信息资产安全和人员安全等内容。
实体安全
实体安全是保护计算机设备、设施(含网络)以及其他媒体免遭地震、水灾、火灾、有害气体和其他环境事故破坏的措施和过程。实际上,实体安全是指环境安全、设备安全和媒体安全。
运行安全
运行安全是为了保障系统功能的安全实现,提供的一套安全措施来保护信息处理过程的安全。为了保障系统功能的安全,可以采取风险分析、审计跟踪、备份与恢复、应急处理等措施。
信息资产安全
信息资产安全是防止信息资产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法的系统辨识、控制,即确保信息的完整性、可用性、保密性和可控性。信息资产包括文件、数据等。信息资产安全包括操作系统安全、数据库安全、网络安全、病毒防护、访问控制、加密、鉴别等。
人员安全
人员安全主要是指信息系统使用人员的安全意识、法律意识、安全技能等。人员的安全意识是与其所掌握的安全技能有关,而安全技能又与其所接受安全技能培训有关。因此,人员的安全意识是通过培训,以及安全技能的积累才能逐步提高,人员安全在特定环境下、特定时间内是一定的。
企业信息化发展过程企业信息化定义企业信息化(Enterprises informatization) ,企业信息化是指企业广泛利用现代信息技术,充分开发和利用企业内部或外部的,企业可能得到和利用的,并与企业生产经营活动有关的各种信息,以便及时把握机会,做出决策,增进运行效率,从而提高企业竞争力水平和经济效益的过程。企业信息化的作用1、企业信息化,能提高企业经营管理信息的准确性和及时性,有助于企业决策的进一步科学化。
2、企业信息化,能促使企业业务办事程序和管理程序更加合理,从而有助于增强企业的快速反应能力。
3、企业信息化,能进一步促进企业资源的合理组合及利用,使其在现有资源条件下达到最佳利用效果,从而大大提高企业的生产经营效率和管理效率。
4、企业信息化能给企业提供一个的强大、快捷的信息交流平台,有助于我们紧紧跟踪一些先进经验和成果,从而有助企业的发展,提高员工的创新能力。我国企业信息化发展历程中国的企业信息化建设大致经历了下面四个阶段:
(一)准备阶段(1993年以前)
1982年10月4日,国务院成立了计算机与大规模集成电路领导小组。 1984年为了加强对电子和信息事业的集中统一领导,有效地推动这项工作,国务院决定将国务院计算机与大规模集成电路领导小组改为国务院电子振兴领导小组。 在“七五”期间,电子振兴领导小组重点抓了十二项应用系统工程:邮电通信系统、国家经济信息系统、银行业务管理系统、电网监控系统、京沪铁路运营系统、天气预报系统、科技情报信息系统、民航旅客服务计算机系统、航天实时测控与数据处理系统、公安信息系统、财税系统、军事指挥系统,并建立电子信息技术推广应用贴息贷款,支持应用电子信息技术改造传统产业。
1986年3月,经邓小平同志批准,投资100亿元启动了国家高技术研究发展计划,即“863”计划。 1988年5月,机电部成立并承担电子产业的任务。随后,国务院电子振兴领导小组办公室,更名为国务院电子信息系统推广应用办公室。
从1988年至1992年,国家经济委员会、机电部、国家科委和电子信息技术推广应用办公室,在推动传统产业技术改造、EDI技术、CAD/CAM以及MIS等领域,做了大量工作,不断推动电子信息技术应用向纵深发展。
(二)启动阶段(1993年3月-1997年4月)
我国信息化正式起步于1993年,党和国家领导人江泽民、李鹏、朱镕基、李岚清等提出信息化建设的任务,启动了金卡、金桥、金关等重大信息化工程,拉开了国民经济信息化的序幕。
1993年12月,成立了以国务院副总理邹家华为主席的国家经济信息化联席会议,加强统一领导,确立了推进信息化工程实施、以信息化带动产业发展的指导思想。
1994年5月成立了国家信息化专家组,作为国家信息化建设的决策参谋机构。
1996年以后,中央和地方都确立了信息化在国民经济和社会发展中的重要地位,信息化在各领域、各地区形成了强劲的发展潮流。
1996年1月,国务院成立了以国务院副总理邹家华任组长,由20多个部委领导组成的国务院信息化工作领导小组,统一领导和组织协调全国的信息化工作。
(三)展开阶段(1997年4月-2000年10月)
经过1993-1997年的建设与发展,符合我国国情的信息化发展思路已经初步形成。
国务院信息化工作领导小组确立了国家信息化的定义和国家信息化体系六要素,进一步充实和丰富了我国信息化建设的内涵;提出了信息化建设"统筹规划,国家主导;统一标准,联合建设;互联互通,资源共享"的二十四字指导方针。
经国务院批准,1997年4月18-21日,国务院信息化工作领导小组在深圳召开了首次全国信息化工作会议,会议全面部署了信息化工作,通过了规划,成为我国信息化建设发展的里程碑。
1998年,原国务院信息化工作领导小组办公室整建制并入新组建的信息产业部,成立了信息产业部信息化推进司(国家信息化办公室),负责推进国民经济和社会服务信息化的工作。
1999年2月,国家信息化专家组变更为国家信息化办公室专家委员会。
1999年12月,根据国务院领导关于恢复国务院信息化领导小组的批示,成立了由国务院副总理吴邦国担任组长的国家信息化工作领导小组,以继续推进国家信息化工作。
信息产业部努力推动电信体制改革,进行了政企分开,邮电分营、电信重组和结构调整、国营企业改革。初步形成了中国电信、中国移动、中国联通、中国网通、中国铁通等多家电信运营公司开展市场竞争的格局。与此同时,会同有关部门,积极推动政府上网工程、企业上网工程和电子商务,在国民经济信息化方面,做了大量工作。
(四)发展阶段(2000年10月至今)
《中共中央关于制定国民经济和社会发展第十个五年计划的建议》指出:信息化是当今世界经济和社会发展的大趋势,也是我国产业优化升级和实现工业化、现代化的关键环节。要把推进国民经济和社会信息化放在优先位置。大力推进国民经济和社会信息化,是覆盖现代化建设全局的战略举措。以信息化带动工业化,发挥后发优势,实现社会生产力的跨越式发展。
企业信息安全的重要性中国电子信息产业发展研究院曾经做过预测,针对中国中小企业调查他们对信息安全需求,企业对于信息安全的认知也跨出了一大步,有相当一部分的企业担心信息安全问题,而网络问题则是他们关心的第一位,调查还显示只有五分之一的企业没有信息泄密的事实,却也足以让人心惊胆战。企业的正常运作离不开信息资源的支持,包括企业的经营计划、知识产权、生产工艺、流程配方、方案图纸、客户资源以及各种重要数据等,这些都是企业全体员工努力拼搏、刻苦钻研、殚精竭虑、长期积累下来的智慧结晶,是企业发展的方向和动力,关乎着企业的生存与发展,企业的重要信息一旦被泄露会使企业顿失市场竞争优势,甚至会遭受灭顶之灾。
因此,企业要保持健康可持续性发展,信息安全是基本的保证之一。随着网络环境的日益恶化以及企业自身的发展伴随着越来越多的商业泄密事件的发生,信息安全问题逐渐被提上议事日程,企业管理者也逐渐走出以往的误区,信息安全建设成了企业首要任务,一些中小企业也纷纷加入到这个日益庞大的队伍中来。所以,在不久的将来,信息安全将更多的被企业所关注,会有更多的企业加入到安全行列中来的,这也是企业生存和发展的关键步骤之一。
随着计算机技术的不断发展,计算机被广泛地应用于各个领域,如数值计算、数据处理、辅助设计与制造、人工智能、家电产品等。在企业(包括政府机关、事业单位、生产企业、商品流通企业、金融财税等)中,利用计算机进行管理的目的是为了提高工作效率,使企业管理水平有一个明显的提高。例如,ERP(企业资源计划)系统、O A ( 办公自动化) 系统以及各类管理信息系统、各种信息制作和传播工具等,都要涉及信息的存储、传输与使用等信息处理问题,而尤为突出的是信息处理过程中的信息安全问题。对于存储在计算机中的重要文件、数据库中的重要数据等信息都存在着安全隐患,一旦丢失、损坏或泄露、不能及时送达,都会给企业造成很大的损失。如果是商业机密信息,给企业造成的损失会更大,甚至会影响到企业的生存和发展。
在没有使用计算机进行信息管理之前,信息通常都是以纸介质和某些设备(如录音、录像设备等)进行保存和传播,并对信息的安全管理有着严格的行政管理、法律法规约束,一旦出现安全问题,可以通过行政、执法手段进行追踪,查出问题的根源,并追究其相应的责任。而现在用计算机管理的信息安全问题更为复杂,象数据瞬间丢失、瞬间被盗、瞬间被破坏等问题,大大增加了管理难度。如果管理不善,如重要文件、图纸、信用卡账户等机密文件,出现安全问题时很难查清。因此,企业的信息安全问题、以及对信息的安全管理都是至关重要的。要保证企业信息安全,就必须找出存在信息安全问题的根源,并具有良好的安全管理策略。
我国企业信息化安全现状分析天灾,也叫“不可抗力”的灾难,通常指水火无情的自然灾害,而在科技越来越发达的今天,企业可能要面临另一种“天灾”,那就是——信息安全威胁。
二十世纪九十年代末出现的Internet标志着人类社会已经进入了信息化时代,在这个时代,越来越多的人已经开始离不开Internet。由于internet的共享性和对外开外性,如何保证信息安全就成为发展internet的重要课题。目前,我国整体的企业信息安全防护能力还很不够,许多应用系统还处于不设防的状态或系统安全维护得很不够。
随着企业上网的迅猛发展,企业信息安全问题变得尤为重要,因为企业信息安全问题直接关系到企业的生存与发展,确保企业信息安全、以便企业不受损失应该成为各级企业用户的共识。企业信息安全隐患
[1]
现在许多企业没有意识到互联网的易受攻击性,盲目相信国外的加密软件,对于系统的访问权限和密钥缺乏有力度的管理。这样的系统一旦受到攻击将十分脆弱,其中的机密数据得不到应有的保护。据调查,目前国内90%的网站存在安全问题,其主要原因是企业管理者缺少或没有安全意识。某些企业网络管理员甚至认为其公司规模较小,不会成为黑客的攻击目标,如此态度,企业信息安全更是无从谈起。
当企业的业务、管理越来越多地依赖网络的时候,决策者们必须意识到企业的命运已经跟信息安全紧紧联系在一起。但令人遗憾的是,虽然信息安全将企业推上死路的例子数不胜数,因为安全问题造成的损失纪录也不断刷新,可是信息安全还没有被企业决策者们真正重视起来。
安装一个杀毒软件,设立一个IT部门,购买一个防火墙,就认为万事大吉了,企业信息安全从此彻底解决,其实这样的想法是完全错误的,甚至会给企业带来致命性的损失。
常见的企业信息安全威胁因素病毒木马、黑客攻击、局域网内部ARP、溢出攻击、内部人员故意泄密、内部人员无意泄密、数据信息存储设备故障、自然灾害等等。
常见企业信息化安全产品传统企业信息化安全产品所谓传统信息安全产品,就是指那些功能单一型的信息安全产品,他大致包括:
用户身份认证,如静态密码、动态密码(短信密码、动态口令牌、手机令牌)、USB KEY、IC卡、数字证书、指纹虹膜等。
防火墙:即访问控制系统,它在内部网络与不安全的外部网络之间设置障碍,阻止外界对内部资源的非法访问,防止内部对外部的不安全访问。但它其本身可能存在安全问题,也可能会是一个潜在的瓶颈。
安全路由器:由于WAN连接需要专用的路由器设备,因而可通过路由器来控制网络传输。通常采用访问控制列表技术来控制网络信息流。
安全服务器:安全服务器主要针对一个局域网内部信息存储、传输的安全保密问题,其实现功能包括对局域网资源的管理和控制,对局域网内用户的管理,以及局域网中所有安全相关事件的审计和跟踪。
安全管理中心:由于网上的安全产品较多,且分布在不同的位置,这就需要建立一套集中管理的机制和设备,即安全管理中心。它用来给各网络安全设备分发密钥,监控网络安全设备的运行状态,负责收集网络安全设备的审计信息等。
入侵检测系统(IDS):入侵检测,作为传统保护机制(比如访问控制,身份识别等)的有效补充,形成了信息系统中不可或缺的反馈链。
入侵防御系统(IPS):入侵防御,入侵防御系统作为IDS很好的补充,是信息安全发展过程中占据重要位置的计算机网络硬件。
安全数据库:由于大量的信息存储在计算机数据库内,有些信息是有价值的,也是敏感的,需要保护。安全数据库可以确保数据库的完整性、可靠性、有效性、机密性、可审计性及存取控制与用户身份识别等。
数据容灾设备:数据容灾作为一个重要的企业信息安全管理体系中的一个重要补救措施,在整个企业信息安全管理体系中有着举足轻重的作用。数据容灾设备包括数据恢复设备、数据复制设备、数据销毁设备等。目前应用较多的数据容灾设备包括效率源HD Doctor、Data Compass数据指南针、Data Copy King硬盘复制机、开盘机等。现代企业信息化安全产品其实任何一种企业信息化安全产品产品,不论是软件还是硬件都不可能做到100%的防护企业信息化安全,何况新的信息安全隐患也在不断的出现,这在一定程度上也导致了企业信息安全产品的局限性。欧美等信息化发展较早的国家在10年前就发现了这个问题,因此在2000年左右就开始着手研发侧重于信息安全事故应急补救,也就是专业数据恢复和安全数据擦除销毁的信息安全产品,为了与以前的防火墙、杀毒软件等信息安全产品相区别,国际企业信息安全行业称这种信息安全产品为“现代企业信息安全产品”。
据了解,目前我国大多数的数据信息安全产品都局限于杀毒软件、防火墙、备份工具等等这些欧美国家早在十年前就已经淘汰了的传统数据信息安全产品。这些过时产品功能大多只能抵御外部攻击、简单数据信息二次存储等等,对于内部泄密的防范、信息系统的日常维护、以及数据信息安全事故发生后的补救等都没有很好的解决办法。这些落后的数据信息安全产品早已经远远不能适应信息化高速发展时代数据信息安全保障的需求。因此研发出具有全球顶尖数据安全保障技术的数据信息安全保障系统,对于数据信息安全来说就显得尤为重要。
目前,随着中国企业信息化发展的不断完善,国产企业信息安全产品的研发也进入了现代企业信息安全产品阶段,其中代表作就是国家高新技术企业效率源科技的数据信息安全保障系统SD-DSM,他将数据信息安全防御、数据信息安全日常监管、数据信息安全事故应急补救融为一体,可以彻底排查数据信息安全隐患,为单位的数据信息系统提供全程、全方位的数据信息安全保障。
三位一体企事业单位数据信息安全保障系统
[2]
据效率源技术总工张彬介绍,近几年,国家发改委、科技部、国家保密局都大力支持全领域数据信息安全保障系统的研制,今年更是将信息产业作为了“十二五”信息化发展的基础产业。SD-DSM是此次国家大力扶植的高新技术产品之一,也是国内首款功能最完善、技术最先进的全领域数据信息安全保障系统,他融合了效率源数十项国际尖端数据安全保障专利技术,将高速离线数据备份、数据恢复和安全数据擦除销毁等国际主流数据安全技术汇聚一身,是我国数据信息安全保障从此进入全领域防护结合时代的代表作。他可以为企事业单位的信息系统提供三位一体的数据信息安全保护,从而保障企事业单位信息运维管理高效、有序的进行。目前该系统核心技术已通过国家保密局检测中心和军队信息评测中心的认证,获得了由国家科技部发放的专项项目资金扶植,成功配备于中国工程物理研究院、国家保密局、总参部57研究所、中粮集团、四川长虹集团等百余家国家重点单位和部门,获得了广泛的好评。
