就业安全应对策略大全11篇
时间:2023-07-31 16:52:17
就业安全应对策略篇(1)
1.1 网络安全策略应尽可能详细
一般的网络安全管理人员会觉得安全策略制定要尽可能详细,所以将网络安全策略制定的十分详细。这样会使得策略的针对性太强,会产生工作人员必须把大部分精力放在网络安全问题上,而对高校网络和应用系统的正常运转产生不良的影响。
1.2 认为制定一次网络安全策略可以享有终生
随着网络技术的不断的变化发展,网络安全策略也需要不断的更新、变化才能产生实际的安全效果。那种传统的制定出一种安全管理策略就可以使用终生的策略会对高校产生误导,造成现实中的损失。所以一定要重视网络安全策略的时效性。
1.3 网络安全策略是个技术问题
有很多的领导由于对于网络安全策略不是十分了解,会把它误认为是纯关于技术方面的问题,是网络安全技术人员需要关心的问题。这是一种认识上的常见的误区。网络安全策略是为了保障网络和依托于网络的各类应用系统的安全性进行的总体指导原则,网络安全策略只是一个大体上的方法不是具体的维护技术措施,所以网络安全策略在实施过程中需要整个流程的相关工作人员都积极的配合,才能够有效的保障高校网络安全。
2 高校网络安全策略制定应遵循的原则
2.1 可靠性设计原则
高校的网络安全策略制定首先要遵循的就是可靠性设计原则。由于高校网络中包含着大量的网络应用系统,而这些应用系统中包含了大量的师生个人信息,学校相关的知识信息,大型仪器设备信息以及师生的项目、资金信息等,因此,对于网络安全策略的设计一定要安全可靠,否则会产生较严重的损失。
2.2 整体性设计原则
整体性设计原则是指对于高校网络安全策略的制定要统筹全局,不能以偏概全。整体性的设计原则有利于全方位地针对各种不同的威胁和脆弱性制定相应的管理策略。
2.3 动态化设计原则
动态化设计原则是指在高校网络安全策略制定过程中,要针对不断发展变化的现实情况进行策略的相应调整,以不断适应新的环境下的新需要。网络安全策略的制定不是一劳永逸的。
3 制定切合实际的安全管理策略
高校校园网络是学校、教师、学生三方进行教育教学、事务管理、科学研究、资费缴纳以及日常生活各项事务处理的一个具有涵盖内容多,涉及范围广,接入方式多样化特征的网络系统。网络安全策略实施的重点是通过对网络基础设施和各类网络应用系统的管理来实现网络安全。通过网络安全策略可以明确各业务部门的职责及发生安全问题后的处理方法,为网络基础设施和网络信息系统的维护提供可靠的依据。
3.1 制定网络安全策略需要注意的事项
制定网络安全策略需要注意以下几点:第一,制定网络安全策略需要根据高校的实际情况。一般需要制定多个安全管理策略,以适应全校和各类业务系统或应用服务的具体情况。第二,制定网络安全策略之后需要对网络安全管理人员进行培训,使其全面的了解制定策略的每个细节和应当注意的事项,以便将培训内容更好的落实到实际管理之中。第三,安全管理人员要根据高校的实际情况和网络安全策略的要求,制定出具体的、可行的安全管理的标准和规范。
3.2 网络安全策略的制定过程
3.2.1 基本信息的收集
基本信息的收集,分两个层面,一是,包括网络基础设施设备和网络基本结构信息的收集,包含网络物理与逻辑结构;二是,包括全校范围内各业务部门网络应用系统和应用平台、应用服务的基本信息,包括备案基本情况、系统基本情况等。
3.2.2 对现有策略、流程的检查
高校现有的网络安全策略和管理流程反映网络安全管理的实际情况,检查现有的策略、流程之后,可以得到一些有用的信息,为下一步网络安全策略的制定提供数据支持和指引。
3.2.3 安全需求和风险评估分析
一方面应全面了解整体的网络安全需求,并对收集的信息进行有效的评定和描述,给出预期策略制定目标;另一方面,在条件许可的情况下,对网络基础设施(包含硬件设施和设备)和各类网络应用系统进行潜在风险或隐患检查和测试,根据风险自评估情况,制定出适合的网络安全管理策略。
4 现阶段高校网络安全的管理策略
现阶段高校的网络安全管理策略的建立与管理,要从以下三个方面入手:
首先,需要强化网络安全意识,意识是否到位,是一个高校网络安全管理策略能否有效实施的关键之一。
其次,要配套制定相关的规章制度和管理流程;
第三,要结合高校实际,分别从“网络安全”、“应用安全”、“系统安全”等多个层面入手,采取各种有效措施。
(1)采取入网控制、资源访问控制:使用防火墙,实名认证、授权访问(身份识别、口令管理、数字签名);
(2)启用日志记录(最短保留30天,最长保留60天,时长根据需要调整);
(3)网络监测和端口安全控制;
(4)安全协议与安全连接;
(5)病毒防范与动态安全管理;
(6)数据安全性保障,如:完整性、不可否认性、防止非法用户修改、删除重要信息或破坏数据等;
就业安全应对策略篇(2)
1网络安全管理要素
目前,随着互联网的普及与发展,人们对网络的应用越来越广泛,对网络安全的意识也不断增强,尤其是对于企业而言,网络安全管理一直以来都存在诸多问题。网络安全管理涉及到的要素非常多,例如安全策略、安全配置、安全事件以及安全事故等等,这些要素对于网络安全管理而言有着重大影响,针对这些网络安全管理要素的分析与研究具有十分重要的意义。
1.1安全策略
网络安全的核心在于安全策略。在网络系统安全建立的过程中,安全策略具有重要的指导性作用。通过安全策略,可以网络系统的建立的安全性、资源保护以及资源保护方式予以明确。作为重要的规则,安全策略对于网络系统安全而言有着重要的控制作用。换言之,就是指以安全需求、安全威胁来源以及组织机构状况为出发点,对安全对象、状态以及应对方法进行明确定义。在网络系统安全检查过程中,安全策略具有重要且唯一的参考意义。网络系统的安全性、安全状况以及安全方法,都只有参考安全策略。作为重要的标准规范,相关工作人员必须对安全策略有一个深入的认识与理解。工作人员必须采用正确的方法,利用有关途径,对安全策略及其制定进行了解,并在安全策略系统下接受培训。同时,安全策略的一致性管理与生命周期管理的重要性不言而喻,必须确保不同的安全策略的和谐、一致,使矛盾得以有效避免,否则将会导致其失去实际意义,难以充分发挥作用。安全策略具有多样性,并非一成不变,在科学技术不断发展的背景下,为了保证安全策略的时效性,需要对此进行不断调整与更新。只有在先进技术手段与管理方法的支持下,安全策略才能够充分发挥作用。
1.2安全配置
从微观上来讲,实现安全策略的重要前提就是合理的安全配置。安全配置指的是安全设备相关配置的构建,例如安全设备、系统安全规则等等。安全配置涉及到的内容比较广泛,例如防火墙系统。VPN系统、入侵检测系统等等,这些系统的安全配置及其优化对于安全策略的有效实施具有十分重要的意义。安全配置水平在很大程度上决定了安全系统的作用是否能够发挥。合理、科学的安全配置能够使安全系统及设备的作用得到充分体现,能够很好的符合安全策略的需求。如果安全配置不当,那么就会导致安全系统设备缺乏实际意义,难以发挥作用,情况严重时还会产生消极影响。例如降低网络的流畅性以及网络运行效率等等。安全配置的管理与控制至关重要,任何人对其随意更改都会产生严重的影响。并且备案工作对于安全配置也非常重要,应做好定期更新工作,并进行及时检查,确保其能够将安全策略的需求能够反映出来,为相关工作人员工作的开展提供可靠的依据。
1.3安全事件
所谓的安全事件,指的是对计算机系统或网络安全造成不良影响的行为。在计算机与域网络中,这些行为都能够被观察与发现。其中破坏系统、网络中IP包的泛滥以及在未经授权的情况下对另一个用户的账户或系统特殊权限的篡改导致数据被破坏等都属于恶意行为。一方面,计算机系统与网络安全指的是计算机系统与网络数据、信息的保密性与完整性以及应用、服务于网络等的可用性。另一方面,在网络发展过程中,网络安全事件越来越频繁,违反既定安全策略的不在预料之内的对系统与网络使用、访问等行为都在安全事件的范畴之内。安全事件是指与安全策略要求相违背的行为。安全事件涉及到的内容比较广泛,包括安全系统与设备、网络设备、操作系统、数据库系统以及应用系统的日志与之间等等。安全事件将网络、操作以及应用系统的安全情况与发展直接的反映了出来,对于网络系统而言,其安全状况可以通过安全事件得到充分体现。在安全管理中,安全事件的重要性不言而喻,安全事件的特点在于数量多、分布散、技术复杂等。因此,在安全事件管理中往往存在诸多难题。在工作实践中,不同的管理人员负责不同的系统管理。由于日志与安全事件数量庞大,系统安全管理人员往往难以全面观察与分析,安全系统与设备的安全缺乏实际意义,其作用也没有得到充分发挥。安全事件造成的影响有可能比较小,然而网络安全状况与发展趋势在很大程度上受到这一要素的影响。必须采用相应的方法对安全事件进行收集,通过数据挖掘、信息融合等方法,对其进行冗余处理与综合分析,以此来确定对网络、操作系统、应用系统产生影响的安全事件,即安全事故。
1.4安全事故
安全事故如果产生了一定的影响并造成了损失,就被称为安全事故。如果有安全事故发生那么网络安全管理人员就必须针对此采取一定的应对措施,使事故造成的影响以及损失得到有效控制。安全事故的处理应具有准确性、及时性,相关工作人员应针对事故发生各方面要素进行分析,发现事故产生的原因,以此来实现对安全事故的有效处理。在安全事故的处理中,应对信息资源库加以利用,对事故现场系统或设备情况进行了解,如此才能够针对实际情况采取有效的技术手段,使安全事故产生的影响得到有效控制。
1.5用户身份管理
在统一网络安全管理体系中,用户管理身份系统占据着重要地位。最终用户是用户身份管理的主要对象,通过这部分系统,最终用户可以获取集中的身份鉴别中心功能。在登录网络或者对网络资源进行使用的过程中,身份管理系统会鉴别用户身份,以此保障用户的安全。
2企业网络安全方案研究
本文以某卷烟厂网络安全方案为例,针对网络安全技术在OSS中的应用进行分析。该企业属于生产型企业,其网络安全部署图具体如图1所示。该企业网络安全管理中,采用针对性的安全部署策略,采用安全信息收集与信息综合的方法实施网络安全管理。在网络设备方面,作为网络设备安全的基本防护方法:①对设备进行合理配置,为设备所需的必要服务进行开放,仅运行指定人员的访问;②该企业对设备厂商的漏洞予以高度关注,对网络设备补丁进行及时安装;③全部网络设备的密码会定期更换,并且密码具有一定的复杂程度,其破解存在一定难度;④该企业对设备维护有着高度重视,采取合理方法,为网络设备运营的稳定性提供了强有力的保障。在企业数据方面,对于企业而言,网络安全的实施主要是为了病毒威胁的预防,以及数据安全的保护。作为企业核心内容之一,尤其是对于高科技企业而言,数据的重要性不言而喻。为此,企业内部对数据安全的保护有着高度重视。站在企业的角度,该企业安排特定的专业技术人员对数据进行观察,为数据的有效利用提供强有力的保障。同时,针对于业务无关的人员,该企业禁止其对数据进行查看,具体采用的方法如下:①采用加密方法处理总公司与子公司之间传输的数据。现阶段,很多大中型企业在各地区都设有分支机构,该卷烟厂也不例外,企业核心信息在公司之间传输,为了预防非法人员查看,其发送必须采取加密处理。并且,采用Internet进行邮件发送的方式被严令禁止;②为了确保公司内部人员对数据进行私自复制并带出公司的情况得到控制,该企业构建了客户端软件系统。该系统不具备U盘、移动硬盘灯功能,无线、蓝牙等设备也无法使用,如此一来,内部用户将数据私自带出的情况就能够得到有效避免。此外,该企业针对办公软件加密系统进行构建,对办公文档加以制定,非制定权限人员不得查看。在内部网络安全上,为了使外部网络入侵得到有效控制,企业采取了防火墙安装的方法,然而在网络内部入侵上,该方法显然无法应对。因此,该企业针对其性质进行细致分析,采取了内部网络安全的应对方法。企业内部网络可以分为两种,即办公网络与生产网络。前者可以对Internet进行访问,存在较大安全隐患,而后者则只需将内部服务器进行连接,无需对Internet进行访问。二者针对防火墙系统隔离进行搭建,使生产网络得到最大限度的保护,为公司核心业务的运行提供保障。为了使网络故障影响得到有效控制,应对网络区域进行划分,可以对VLAN加以利用,隔离不同的网络区域,并在其中进行安全策略的设置,使区域间影响得到分隔,确保任何一个VLAN的故障不会对其他VLAN造成影响。在客户端安全管理方面,该企业具有较多客户端,大部分都属于windows操作系统,其逐一管理难度打,因此企业内部采用Windows组侧策略对客户端进行管理。在生产使用的客户端上,作业人员的操作相对简单,只需要利用严格的限制手段,就可以实现对客户端的安全管理。
参考文献
[1]崔小龙.论网络安全中计算机信息管理技术的应用[J].计算机光盘软件与应用,2014(20):181~182.
[2]何晓冬.浅谈计算机信息管理技术在网络安全中的应用[J].长春教育学院学报,2015(11):61~62.
就业安全应对策略篇(3)
计算机技术不断发展,随之网络也普遍应用。中小型企业对网络的依赖程度也越来越深,但同时网络安全问题也威胁着企业的发展。许多企业在遭到一定损失后才知道网络安全的重要性,因此,一定要制定合理有效的解决方案。现在的计算机网络虽然没有绝对的安全,但通过对他们进行安全隐患的分析,从而在一定程度上维护中小型企业的网络安全。
1 中小型企业网络的安全目标
一般的中小型企业的局域网拥有十几台或者上百台计算机。其中的Web、FTP、电子邮件、DNS等服务器应能被内外网络的计算机所访问,数据库服务器一般只面向内部网络,而所有的工作站都不能被外部网络所访问。局域网中的工作站有些可以访问外部网络,有些则不可以。局域网中的所有计算机都应能抵挡来自于外网的黑客或病毒的侵入。
2 中小型企业的网络安全隐患
任何一个IP地址都会被攻击。攻击的形式多种多样,主要有以下几种:
2.1 网络嗅探器
攻击者通过嗅探器中途截走网络上的数据流,对报文进行分析,破解出他们想要的信息,例如服务器的密码或者电子邮件等。
2.2 IP欺骗
攻击者制造一个假的IP地址,使接收者误以为是局域网内的合法地址。
2.3 端口扫描
攻击者通过在端口扫描,可以检测出服务器上安全的脆弱方面。
2.4 密码攻击
通过多次的自动试探,获取服务器的密码。
2.5 拒绝服务攻击
大量使用对方的网络资源,使合法的用户无法访问网络。
2.6 应用层的攻击
应用层的攻击有许多方式。系统中的许多服务软件本身就含有安全方面的问题,然后这些被黑客利用发动攻击。
3 制定安全策略的原则
网络安全是指为了保护网络不受来自网络内外的各种危害而采取的防范措施。网络安全的维护策略就是针对网络的实际情况,在网络管理中,对各种网络安全采取的保护措施。网络的环境不同,实施的策略也要依据具体情况来定。因此要根据网络的具体应用环境制定出合理的安全策略。
3.1 系统性原则
网络的安全管理拥有系统化的工作流程,必考虑网络的各个方面,比如网络上用户、设备等,并且采取相应的措施。不要错过任何一个细节,一点点的错失都会降低整个网络的安全性。
3.2 简单性原则
网络用户越多,网络管理人员越多,网络安全的管理工作就越复杂,采用的网络软件种类就越多,网络提供的服务越多,出现安全隐患的可能性就越大,出现问题后解决问题的难度也越大。要有简单的网络,才会有安全的网络。
3.3 适应性原则
随着网络技术的发展和迅速的变化,网络用户不断增加,网络规模不断扩大,而安全措施是防范性的、持续的,所以制定的网络安全维护策略必须适应网络发展的变化,与网络的实际应用环境相结合。
4 中小型企业网络安全维护策略
4.1 网络规划时的安全策略
做网络规划时一定要考虑网络的安全性,并且要实施一些安全策略。对于中小型企业网络来说,网络管理员是网络安全责任人,所以明确网络安全的责任人和安全策略的实施者。对中小型企业的局域网要集中管理网络上的公用服务器和主交换设备。安全策略不可能保证网络绝对安全和硬件不出故障。
4.2 网络管理员的安全策略
对于中小型企业网络,网络管理员要承担安全管理员的责任。网络管理员采取的安全策略,最重要的是保证服务器的安全和分配好各类用户的权限。网络管理员必须了解整个网络中的重要公共数据和机密数据有哪些,保存的地方,归属于谁,丢失或泄密会有什么后果,将这些重要数据集中在中心机房的服务器上,定期对各类用户进行安全培训。
设置服务器的BIOS,不允许从可移动的存储设备启动。通过BIOS设置软驱无效,并设置BIOS口令。防止非法用户利用控制台获取敏感数据,以及由软驱感染病毒到服务器。取消服务器上不用的服务和协议种类。网务和协议越多安全性越差。系统文件和用户数据文件分别存储在不同的卷上,方便日常的安全管理和数据备份。管理员账号仅用于网络管理,不在任何客户机上使用管理员账号。对属于Administrator组和份组的成员用户要特别慎重。
鼓励用户将数据保存到服务器上。不建议用户在本地硬盘上共享文件。限制可登录到有敏感数据的服务器的用户数。在出现问题时可以缩小怀疑范围。一般不直接给用户赋权,而通过用户组分配用户权限。新增用户时分配一个口令,并控制用户“首次登录必须更改口令”,且最好新设置成的口令不低于6个字符,以杜绝安全漏洞。
4.3 网络用户的安全策略
网络的安全不仅是网络管理员的事,网络上的每个用户都有责任。网络用户应了解下列安全策略:
(1)将口令设置为8位数以上,不要将自己的口令告诉其他人。知道自己私有数据存储的位置,了解如何备份和恢复。
(2)定期参加网络知识和网络安全的培训,了解网络安全知识,养成注意安全的工作习惯。
(3)为了不影响自己的机器安全,尽量不要在本地硬盘上共享文件。应将共享文件存放在服务器上,这样比较安全也可以实现共享。
(4)设置客户机的BIOS,不允许从软驱启动。
(5)设置有显示的屏幕保护,并且加上口令保护。
(6)如果离开机器时间较长时,一定要退出网络。
(7)安装启动时的病毒扫描软件。
5 结语
网络信息安全是一门涉及到多种学科的方面,比如计算机科学、网络技术、通信技术、密码技术、信息安全技术。网络安全受到威胁的主要原因是网络系统内在的安全脆弱性和黑客技术的迅速发展,其次还在于人们缺乏安全意识,没有采取有效的安全策略,以及缺乏先进的网络安全技术。当然,企业网络安全也不要走入一个误区,提及到网络安全,总想到网络上存在着许多技术上的缺陷,容易被人侵入到网络内部,事实往往并不是如此。一个网络的管理,重要的在于一些关键点的管理,因此企业的网管人员首先要抓住影响网络安全的主要问题。一般来说,安全性越高,其实现就越复杂,费用也相应的越高。所以各个中小型企业应在可以接受的成本范围内,要抓就抓牛鼻子,采取相应的措施,维护网络安全。
参考文献
[1]王楠.中小企业网络安全整体解决方案[A].网络通讯与安全.2015:3350
[2]卿斯汉.安全协议[M].北京:清华大学出版社,2015
就业安全应对策略篇(4)
数据来源:国家安全生产监督总局“十一五发展规划”
危化行业安全生产状况难以彻底改观,生产事故居高不下,安全投入不足是其直接原因。企业作为追求个体私利最大化的理者,我们不能单纯依靠道德或是责任来约束所有的企业主,由此,政府介入成为必然,其监管政策的选择、路径的取向是解决这一问题的关键所在。
二、政企博弈模型分析
在地方监管部门介入危化企业安全生产的状况下,二者成为一对相互联系又相互制约的利益共同体,由此我们构建二者的博弈模型。在这一模型中,监管部门及企业都是追求自身利益最大化的理性参与者,都会按照博弈的规则行事,都是在充分考虑对方可能采取的行动之后,采取自身利益最大化的策略。
〔一〕构建政企博弈模型
对政府而言,任何一种制度(体制)的安排必须要令各利益相关方达到一种均衡,在此前提下制度才可以达到预期目标,否则这种制度就无法成立,也无法贯彻下去。也就是说,只有当监管部门制定的政策、法规与危险化学品生产企业能够达到博弈的一个均衡解时,各方才没有采取其它策略的积极性,这时政策才能贯彻下去。图c中,监管部门有两种策略:监管和不监管;企业也存在两种策略:减少安全投入和增加安全投入。在监管部门不监管的前提下,如果企业减少安全投入,则其收益为V,监管部门收益为(-D),包括上级部门的查处,公信力下降以及社会压力等;因此,作为理性参与者,监管部门必然在利己动机的驱使下转而采取监管的策略,这样其收益由(-D)变为0,而企业的收益为(-P);企业为改变这一不利状态,选择增加安全投入的策略,努力解决安全生产问题,其收益上升为0,双方皆无利可言。同样的道理,监管部门在企业增加安全投入的情况下,转而采取不监管的策略,以追求其收益由0上升到S,而企业也会随之减少安全投入,将其收益由0增加到V。根据收益矩阵,如果企业选择减少安全投入,则监管部门最好的策略就是监管;在这种情况下,对企业而言最好策略就是增加安全投入;同样,监管部门在企业增加安全投入的前提下,必然会选择不监管的策略……这样就形成了一列环环相扣的博弈链条,即图中的箭头所示,该博弈不存在纳什均衡解,因为没有导致确定性结果的内在机制,双方均有机会改变自己的策略而获取额外的收益。由此,在实际操作中,地方监管部门与危化企业屡屡上演的“你进我退”的闹剧也就不难理解了,
〔二〕博弈模型的混合策略
在不存在纳什均衡的情况下,我们寻找该模型的混合策略均衡,其原则一是不能让对方猜到自己的选择;二是双方选择每种策略的概率要使对方无机可乘,即对方无法针对性的采取某一策略而获得额外收益。以r表示企业增加安全投入的概率,以q表示减少安全投入的概率,企业应该保证使监管部门选择监管与不监管策略的期望收益是相同的,即无差别,由此,我们可以得到如下的方程组:
可以解得,
同样的,给定监管部门选择不监管策略的概率为e,选择监管策略的概率为c,其应该保证企业选择增加或减少安全投入策略的预期收益是相等的,即
可以解得,
此时的混合策略均衡为:监管部门以(,)的概率选择不监管与监管的策略,企业以(,)的概率选择减少和增加安全投入的策略。此时,双方均无法通过改变自己的混合策略(概率分布)选择而获取额外的利益(期望收益),也就是说该混合策略组合是稳定的。由此我们计算双方的期望收益。
监管部门期望收益:
企业的期望收益:
〔三〕政策取向分析
根据上面的假设,当监管部门的监管概率为e时,危化企业增加安全投入的期望收益,其减少安全投入的期望收益,令n代表危化企业进行违规生产被处罚的程度(被查处后的损失与未被查处时的收益之比),且,即有
在达到该博弈模型的混合策略均衡时,须保证企业增加或减少安全投入的期望收益相等,即有
整理得
基于理性的企业行为取决于其选择两种策略期望收益的对比,如图d所示,以横轴表示监管部门不监管的概率e,其取值在0到1之间,C点的位置代表的取值。
(1)当时,即有,企业的混合策略选择中,减少安全投入的概率逐步变大,行业的安全投入量不足达不到社会要求的水平。
在D点处,e较大(监管部门漠视其监管职能),且n比较小(危化企业没有足够的利益诱惑减少其安全投入),政府的查处力度较小,企业也不太会关注其安全生产职责,安全投入较少。
在E点处,e足够大,即有(监管部门履行其监管职能的概率是微乎其微),且n足够小(危化企业减少安全投入的利益诱惑足够大),此时,没有任何的激励——惩戒因素促使企业重视安全生产状况,安全投入低于社会所要求的最小值。
(2)当时,即有,企业的混合策略选择中,减少安全投入的概率逐步变小,行业的安全投入比较充足,安全生产状况可以得到改善。
在B点处,e值比较小(监管部门比较重视其安全监管职能),且n较大(危化企业减少其安全投入受到的惩罚比较小),此时,企业比较关心其安全生产状况,安全生产投入较多。
在A点处,e非常小,即有(监管部门必定履行其监管职责),且n足够大(危化企业减少其安全投入受到的惩罚非常重),此时,企业非常重视其安全生产职责,自然会努力增加其安全投入,将安全生产责任落到实处。
三、政策效果评估及监管路径选择
(1)考虑增大n值的政策效果,即加重对违规企业的惩罚力度。
构建博弈模型图解〔图f〕。以横轴表示监管部门监管的概率,其取值在0到1之间;以纵轴表示企业减少安全投入的期望收益。加大对企业的惩罚力度,使企业减少安全投入的收益变为〔-P'〕,其预期收益为,于是企业会改变自己的策略选择,增加安全生产投入,这样,监管部门就有减少其监管概率的利益动机,即由c减少到c',这时企业选择两种策略的预期收益再次相等,于是企业重新回到混合策略的选择上,其混合策略的概率分布取决于监管部门的期望收益,即有r=。在S、D的值不变的情况下,监管部门加强对于违规企业的惩罚力度,在短期内会促使企业增加安全投入,安全生产状况会有所改观,但从长期来看,却会使监管部门的惩罚概率减小,社会安全生产状况不会有太多改善
(2)考虑减小e值的政策效果,即加大对监管部门漠视其监管职责的惩罚力度。
构建博弈模型图解〔图g〕。以横轴表示企业加大安全投入的概率,其取值范围在0到1之间,纵轴表示监管部门对企业采取不监管策略的期望收益。现加大对于监管部门这一行政失职行为的惩戒力度,使得监管部门的收益变为〔-D'〕,在r不变的情况下,其期望收益为<,监管部门自然会采取监管的策略,增加对企业的监管力度。而对企业来说,在短期内不得不选择增加安全投入的策略以应对监管,在图中表现为概率由r增加至r'。这样监管部门选择两种策略的期望收益相等,会再次选择混合策略,达到新的混合策略均衡。由此我们可以看到,加重对监管部门行政不作为的惩戒力度短期内会促使监管部门真正尽职尽责,从长期来说也会促使企业加大对于资源的安全投入力度,业内安全生产状况会得到改观。
就业安全应对策略篇(5)
选题依据和背景情况:在现今信息化时代,网络安全已经成为越来越重要的课题。对我国网络信息安全防护策略在世界市场上的影响做一个系统的评估,能对我国网络信息安全防护策略现在的整体水平有一个具体的把握同时研究如何去提升做的更好的方法。
1我国网络信息安全防护策略发展现状及存在的问题
我国网络信息安全对于网络信息安全防护策略的重视度不足,甚至部分网络信息安全认为,网络信息安全防护策略可有可无,因此并未将网络信息安全防护策略纳入到网络信息安全运转日程当中。就我国网络信息安全目前情况而言,其网络信息安全防护策略还存在较多的问题,还要全面提升网络信息安全竞争力,扩充消费群体,就需要对所存在的问题进行一一梳理。
1.1存在独立性,信息不能共享
市场网络信息安全防护策略存在独立性,并且其市场网络信息安全防护策略是不同共享的。网络信息安全中不同业务部门所拥有的市场网络信息安全防护策略是不能够共享的,这样就造成了网络信息安全的工作滞怠,无法为客户提供完整性的服务。这样不仅会造成客户资源的流失,而且也严重滞怠了网络信息安全的工作效率与工作质量。因为大数据时代的到来,为网络信息安全需要提供了非常好的市场发展机会。而在未来三年到五年的时间里,网络信息安全也应该更加重视大数据时代带给互联网领域的市场网络信息安全防护策略。伴随而来的挑战,也将大数据时代网络信息安全之间的竞争推向了高潮。一旦有哪一家网络信息安全不能够在大数据时代的数据流中,选择到具有重要价值的市场网络信息安全防护策略,并且对市场网络信息安全防护策略进行系统的管理,那么就会与其他的网络信息安全之间的差距越来越大。因此,如何有效的从大数据时代的数据流中,筛选出具有价值的市场网络信息安全防护策略,对市场网络信息安全防护策略进行系统、全面的管理,并且将其转化为网络信息安全的市场核心竞争力,就是网络信息安全必须加以重视的地方。
1.2网络信息安全防护策略人才缺乏,信息监管工作不明确
根据信息化时代的基本特点来看,可以明显了解到,市场网络信息安全防护策略发展的如此迅猛,数据量呈现爆炸式的增长趋势,其管理技术必须要做到与时俱进,才能更加顺应信息化时代的数据流的发展需求。也因为互联网领域各大网络信息安全需要对市场网络信息安全防护策略的高速发展,奠定市场网络信息安全防护策略技术基础,所以对网络信息安全防护策略的技术人才的需求较大。而对于网络信息安全而言,最为重要的市场网络信息安全防护策略就是市场网络信息安全防护策略,如何对市场网络信息安全防护策略进行系统、完善的管理,将会直接影响到网络信息安全的未来发展。但是就目前的形势而言,互联网领域网络信息安全的客户关系的管理技术人才十分有限。几乎不能满足互联网领域对于网络信息安全防护策略人才的需求,而这也直接影响到了网络信息安全的网络信息安全防护策略效率及质量。并且,网络信息安全的客户关系监管工作也具有一定的有限性。例如在信息化时代的互联网领域环境下,网络信息安全必须对市场网络信息安全防护策略监管工作进行有效性的提升。因为信息化时代下的网络信息安全必须对市场网络信息安全防护策略进行系统的保密监管,防止外流出来,否则,后果将不堪设想。
2网络信息安全防护策略发展对策分析
根据上一章的网络信息安全防护策略问题的梳理,本章提出了针对性的对策,以此来解决网络信息安全网络信息安全防护策略问题。
2.1将市场网络信息安全防护策略进行整合管理
网络信息安全需要将各个业务部门的市场网络信息安全防护策略进行整合性的管理,由此来提升网络信息安全服务体系与业务项目的制定,从而将网络信息安全的工作被动性状态转换为积极性状态。网络信息安全的市场网络信息安全防护策略进行整合性的管理,能够全面的提升网络信息安全的工作效率与工作质量,与此同时,能够让客户满意度提升,提升客户忠诚度,从而为网络信息安全有效的保留客户资源。
2.2加强网络信息安全防护策略人才的培养
在对市场网络信息安全防护策略进行整合管理的过程中,还需要加强网络信息安全防护策略人才的培养。就目前网络信息安全的网络信息安全防护策略人才数量的状态来看,互联网领域整体呈现出对网络信息安全防护策略人才求过于供的现象,可见网络信息安全防护策略人才的培养对于网络信息安全发展的重要性。面对如此庞大的市场网络信息安全防护策略量,这对于网络信息安全的存储与分析信息技术的要求非常高。但是伴随着网络信息安全对于市场网络信息安全防护策略的存储与分析技术人才的需求越来越多,市场网络信息安全防护策略的存储与分析技术人才群体显得供不应求。而网络信息安全信息管理部门不仅要为网络信息安全招募合适的网络信息安全防护策略技术人才,而且还需要规划一笔款项,来专门用作培养市场网络信息安全防护策略技术人才的经费。这样不仅能够为网络信息安全自身提供充足的市场网络信息安全防护策略存储与分析技术人才,而且还能建立网络信息安全市场网络信息安全防护策略存储与分析技术员工的忠诚度。显然,巨大的市场网络信息安全防护策略量是需要先进的市场网络信息安全防护策略存储与分析技术来帮助储存的。如果不能对庞大的数据量进行合理、系统的处理,那么将会为网络信息安全带来许多不便之处,甚至会直接影响到网络信息安全的内部经营管理与外部市场发展。不仅如此,网络信息安全信息管理部门也需要对其他各部门做出系统的市场网络信息安全防护策略培训规划,为的就是全面提升网络信息安全上下员工对于互联网领域市场网络信息安全防护策略的敏锐度,从而有效的掌握对网络信息安全最具价值的市场网络信息安全防护策略。而网络信息安全防护策略与分析的价值,就在于对有效的市场网络信息安全防护策略进行激活、归纳与重复利用。所以,网络信息安全市场网络信息安全防护策略的分析管理技术是需要保持在互联网领域前沿水平的,如果不能提供熟练且先进的网络信息安全防护策略分析技术,那么其综合竞争力就会大大落后于互联网领域的其他网络信息安全。
3探析网络信息安全防护策略的发展前景
在新经济时代,网络信息安全的整体质量如个人素养提升一般关键,并且成为了网络信息安全提升市场竞争力的重点所在。面对新市场的挑战,网络信息安全应该学会如何对待不同背景、类型的客户,并且通过网络信息安全防护策略来建立网络信息安全客户群,与现代化的管理思想及方式相结合,有效整合网络信息安全资源。网络信息安全防护策略的出现真正使网络信息安全能够全面观察客户资源,将网络信息安全管理趋于信息化,有效加强网络信息安全竞争力。
4结语
在当代互联网领域发展中,网络信息安全网络信息安全防护策略系统的制定与执行工作非常重要。而就互联网领域各大网络信息安全目前的网络信息安全防护策略现状来看,虽然网络信息安全的产品营销模式及网络信息安全运营流程等都已趋于稳定,但是在网络信息安全防护策略上仍然存在一定的问题。并且在其网络信息安全防护策略的目标市场的挖掘上,还有一定的潜力空间。应该正视网络信息安全防护策略问题,并且制定及时的解决方案,才能保证谋求到更好的发展未来。
参考文献:
[1]杨二宝.关于加强企业应收账款管理的思考[J].特区经济.2013(07):233-234.
就业安全应对策略篇(6)
1 引言
计算机信息系统本身就存在共享、信息易扩散的特点,在对信息的存储、处理、共享的过程中具有很严重的脆弱性,容易被外界因素所干扰,出现丢失、泄露、破坏的问题,甚至出现病毒感染,造成整个信息系统出现瘫痪。所谓的信息系统安全指的就是对计算机数据信息采取的安全防护措施,进而保护计算机的硬件、软件等各项数据不受到破坏和泄露。这只是理论上的定义,换句话说就是静态的信息系统安全保护。也有人定义为计算机硬件、软件等各项数据信息不受到外界各种因素的破坏,并保证信息系统安全稳定的运行。这个定义就属于动态的安全防护。信息安全主要包括两个方面,一个是物理安全,一个是逻辑安全,所谓的物理安全就是保证各项计算机设备不受到损坏。而逻辑安全指的是信息系统内部的各项信息不受到损坏或泄露。
目前信息技术已经深入到社会发展的各个方面,所以信息安全问题是全社会应该关注的问题。不论是国家还是个人,不论是公司还是企业,都必须保证自身的信息安全系统得到保护。
在当前的时代,国家在各个领域都应用了信息技术,为了保证国家信息安全,就必须做好信息系统的安全防护,这样才能够保证国家政权的稳固,使国防更加强大。国防信息的安全我们必须加以重视并做好相关的防护措施。信息安全和国计民生有着很大的关系,一旦出现国家信息泄露或者破坏,可能就直接威胁到国家安危、甚至引起战争。大到国家,小到个人,都必须保证信息安全能够得到充分的保护。
在信息技术快速发展的今天,几乎所有的企业都在日常的工作中使用信息技术,特别是对电子数据的使用。电子数据主要是用来记录企业的各项产品信息、销售记录、合同等,这些信息是一个企业非常重要的资源,一旦泄露出去,就会给企业带来无法挽回的损失,甚至导致企业破产,所以我们必须重视这个问题。
有些商业企业的信息安全遭到破坏,财务信息和顾客信息就会被竞争者获得,特别是针对销售型企业更是如此,竞争者就会根据非法获得的这些信息制定相应的发展战略,这样丢失信息的企业就会深受其害,在市场中失去竞争能力,最终被淘汰。信息时代也可以称之为网络时代,网络安全问题是信息安全中的重要组成部分,当前大多数情况下,都会把信息安全称之为网络安全。
自从信息系统开始应用,就产生了安全问题,只是人们并没有过多的去关注这个问题,但是信息安全问题对人们正常生产生活的影响越来越大,人们开始逐渐关注这一问题,下面我们就阐述一下造成信息安全问题的因素。
1 影响信息安全的因素
1.1 当前电脑的普及几乎人手一台,电脑之间形成了庞大的网络系统,涉及的范围非常大,这就使得网络信息安全管理人员很难做好全面的安全防护。
1.2 随着信息技术的快速发展,网络中出现了很多便宜又好用的攻击工具,这种工具随着使用人员的增多开始泛滥,而且从过去的少数人懂得使用到现在的能够通过购买而使用,目前来看使用这些攻击工具并不需要很高的技术,这就导致信息系统安全受到很大威胁。
1.3 随着知识水平的不断提高,出现了很多高水准的攻击者,这就给信息系统防护安全管理人员的工作提出了更多的挑战,系统安全面临的威胁也越来越大。
1.4 病毒的种类也随着信息技术的发展而呈现出多样化,发展速度也十分的惊人,有些病毒甚至几秒钟的时间就能传遍整个网络,当前有很少一部分的企业没有受到病毒的侵袭。
2 信息系统安全防护策略
2.1 整体安全策略
目前,维护网络系统安全已经成为一项必须要重视的方面,任何一套网络系统就应该具备符合自身使用情况的安全策略,保护重要的网络信息不受侵袭,同时能够根据自身的经济情况,提出相应的解决措施。
2.2 信息安全策略
信息安全牵涉到三个方面的内容,包括信息存储,信息传输,信息销毁。我们应该在这三个方面采取不同的安全策略。
对于公开或未分类信息,我们无须采用任何的信息存储策略,信息传输策略,以及信息销毁策略。 对于内部、私有、秘密信息,可以采取以下策略。
2.2.1 信息存储策略。存储这些信息最好以加密方式或可移动介质方式存储,而这些介质必须受到物理防护。
2.2.2 信息传输策略。当这些信息在安全区以外的网络中传输时,必须加密,且加密强度应该足够强。
2.2.3 信息销毁策略。当不需要这些信息时,应该采用安全的销毁方式(例如采用碎纸机销毁文件,旧光盘等)。
2.3 个人安全策略
2.3.1 个人安全原则。不要向朋友,亲戚泄露账号,口令;不要对系统口令文件运行口令猜测程序;不要滥用系统资源,不要滥用电子邮件;不要下载或拷贝未经授权的软件。
2.3.2 口令策略。采用一个好的口令策略是防制未授权访问的一个最重要的屏障,好的口令应满足如下的条件:口令应该混合数字,大写字母,以及小写字母,以及标点;不要用你的爱人,父母,同事,朋友,宠物,城市的名字;不要用电话号码,或你的汽车,摩托车的车牌;不要用字典中的普通单词;不要用明显的键盘字符序列等。
2.4 网络安全策略
2.4.1 拔入/拔出访问策略。所有进入内部网络的拨号连接(通过 PSTN 或 LSDN)都应该经过严格的认证机制的审核:包括一次性的口令,及双向认证机制等。
拨入访问公司内部网络应该只允许在特定的地方。并且应满足以下条件:
数据交换策略:使用加密的口令通讯(例如加密的 telnet,或 SSH),尤其对于远程管理员访问。
服务的可靠性策略:拨号服务器应该停止所有不必要的服务。
拨号服务器应该采用一个优秀的多任务操作系统(例如 UNIX)。
拨号服务器一般应该提供以下的可用性指标:7*24 小时可用,最大当机时间 4 小时,出现当机事件的最大频率为每个月两次。
2.4.2 互联网防火墙管理策略。互联网是一个共享资源搜索信息的重要工具,尤其对于研究部门,互联网的重要性更加突出,但所有通过公司内部网进行的网络访问都应该经过防火墙,放火墙应该有专业的网络管理配置。
2.4.3 与其他网络的接口策略。与其他网络间的接口位置也需要清楚的策略。应该为所有的接口部分定义一个策略文档,定义在接口位置允许通过何种方式传输何种信息,以及与公司整体安全策略间的关系。
这些接口位置应该设置防火墙保护,并定期的检查和审计。应该对该接口处提供的服务进行详细的协商,并确保其与整个网络策略的一致性。
3 结束语
综上所述,当前是信息技术不断发展的时代,信息安全问题已经成为了当前信息技术发展的阻碍,我们必须针对当前这种攻击技术采取相应的防御手段,保证计算机信息系统的安全。
参考文献
[1][美]GertDeLaet,GertSchauwers著.张耀疆,李磊译.网络安全基础[M].北京:人民邮电出版社,2006.
就业安全应对策略篇(7)
一、引言
随着计算机技术及互联网技术的迅猛发展,企业内部计算机终端管理系统成为企业信息网络安全的薄弱环节。为此,科学、合理部署一套企业内部计算机终端管理系统,不仅能够明显提升企业内部计算机终端安全管理水平,还能有效防止整个信息网络的信息泄露问题。
二、系统结构与功能
当前,C/S与B/S混合模式设计成为企业内部计算机终端管理系统运行的重要方式,其主要由服务器端软件和客户端软件组成。前者主要功能是有效实现网络接入认证、管理客户端注册、信息安全策略配置、数据统计以及系统账号口令管理等;后者主要是用来对服务器下发的执行程序、信息安全策略等进行接收。具体结构如下:
第一,安全管理服务器。对全部计算机终端设备进行安全管理,有效实现终端安全策略的管理和配置,其主要功能是向客户端下发安全策略、接收客户端注册、分发各类软件和补丁以及对各类信息进行统计等。
第二,客户端。安装于计算机终端上,对安全管理服务器下发的相关安全防护策略负责执行并检测。
三、日常运维注意事项
第一,每日对系统事件进行检查,重点检查是否存在异常系统安全事件,并设置相应的报警措施。
第二,每日对系统组件的运行状态进行检查,重点检查网页管理平台、区域管理器等能否正常运行。
第三,对系统策略下发报警信息和执行状态予以定期查看,并进行及时修订。
第四,对系统管理内容予以定期检查,确保每个用户权限正常、合法。
第五,对系统数据库予以定期检查,依据数据库容量增加情况对数据进行及时备份,并整理和删除相应的报警信息。
第六,对区域管理器的启动情况予以定期检查,保证报警数据端口和级联数据接收端口的正常开启。
四、安全管理服务器管理系统相关策略部署
4.1全局策略配置实施
第一,违规外联策略:主要用于对计算机违规连接互联网加以防范。对运用modem拨号、以及双网卡等方式连接互联网的行为加以监视,并对计算机的带出带入行为加以监控,随时发现问题,处置问题。第二,杀毒软件策略:对终端计算机安装杀毒软件情况予以检测,并将检测结果自动上报管理员和用户。第三,补丁检测及分发策略:对全部计算机终端系统的安全情况予以全面掌握,并对用户补丁情况进行检查,一旦发现有漏打补丁的情况,及时予以修补。
4.2本地策略设置
第一,运行资源监控策略:主要监控重要主机的运行情况及终端设备内存、硬盘及CPU等硬件信息情况,一旦终端有超出设定值的情况就会立即报警,其能有效防止因缺乏资源引起系统死机,导致数据丢失的情况出现。第二,终端扫描策略:在同一网段内,运用一台注册终端,对该网段使用ARP协议进行扫描,直至发现新的终端计算机。其能够有效预防因个人防火墙的设置而无法发现全部设备的情况出现,使得出现计算机MAC地址为0的情况得以彻底解决。
4.3特殊策略设置
第一,用户密码检测策略:对计算机终端的本地账户锁定策略、本地安全策略以及屏保等予以相关安全审计,同时对系统口令的强度问题予以检测。该策略针对的是用户弱口令以及桌面不设密码的情况,以防口令攻击型病毒的感染或者出现内部人员非法访问的情况。
第二,未注册阻断策略:有效阻断应注册但并未注册的设备,严禁其随意连入网络。运用未注册阻断策略时,应对全部安全设备、网络设备以及相关服务器加以防范和保护,以防其对网络通讯造成一定程度的影响。为此,应建议在客户注册多于95%的情况下开启未注册阻断策略。
上述策略的部署下发能够合理协助系统管理员实现对网内计算机终端的智能化管理,确保企业内部计算机终端设备的合理应用和信息网络的安全运行。
五、结语
总而言之,企业内部计算机终端管理系统已然成为当前企业信息管理工作的难点和重点。我们只有密切结合企业实际情况,对计算机终端安全防护体系予以不断健全和完善,并采取技术手段与管理措施并用的方式,力争从源头上消除信息安全漏洞,将被动防护变为主动防御,达到明显提升企业计算机终端管理水平和信息安全防御水平的目的。
参 考 文 献
就业安全应对策略篇(8)
一般的中小型企业的局域网拥有十几台或者上百台计算机。其中的Web、FTP、电子邮件、DNS等服务器应能被内外网络的计算机所访问,数据库服务器一般只面向内部网络,而所有的工作站都不能被外部网络所访问。局域网中的工作站有些可以访问外部网络,有些则不可以。局域网中的所有计算机都应能抵挡来自于外网的黑客或病毒的侵入。
2 中小型企业的网络安全隐患
任何一个IP地址都会被攻击。攻击的形式多种多样,主要有以下几种:
2.1 网络嗅探器
攻击者通过嗅探器中途截走网络上的数据流,对报文进行分析,破解出他们想要的信息,例如服务器的密码或者电子邮件等。
2.2 IP欺骗
攻击者制造一个假的IP地址,使接收者误以为是局域网内的合法地址。
2.3 端口扫描
攻击者通过在端口扫描,可以检测出服务器上安全的脆弱方面。
2.4 密码攻击
通过多次的自动试探,获取服务器的密码。
2.5 拒绝服务攻击
大量使用对方的网络资源,使合法的用户无法访问网络。
2.6 应用层的攻击
应用层的攻击有许多方式。系统中的许多服务软件本身就含有安全方面的问题,然后这些被黑客利用发动攻击。
3 制定安全策略的原则
网络安全是指为了保护网络不受来自网络内外的各种危害而采取的防范措施。网络安全的维护策略就是针对网络的实际情况,在网络管理中,对各种网络安全采取的保护措施。网络的环境不同,实施的策略也要依据具体情况来定。因此要根据网络的具体应用环境制定出合理的安全策略。
3.1 系统性原则
网络的安全管理拥有系统化的工作流程,必?考虑网络的各个方面,比如网络上用户、设备等,并且采取相应的措施。不要错过任何一个细节,一点点的错失都会降低整个网络的安全性。
3.2 简单性原则
网络用户越多,网络管理人员越多,网络安全的管理工作就越复杂,采用的网络软件种类就越多,网络提供的服务越多,出现安全隐患的可能性就越大,出现问题后解决问题的难度也越大。要有简单的网络,才会有安全的网络。
3.3 适应性原则
随着网络技术的发展和迅速的变化,网络用户不断增加,网络规模不断扩大,而安全措施是防范性的、持续的,所以制定的网络安全维护策略必须适应网络发展的变化,与网络的实际应用环境相结合。
4 中小型企业网络安全维护策略
4.1 网络规划时的安全策略
做网络规划时一定要考虑网络的安全性,并且要实施一些安全策略。对于中小型企业网络来说,网络管理员是网络安全责任人,所以明确网络安全的责任人和安全策略的实施者。对中小型企业的局域网要集中管理网络上的公用服务器和主交换设备。安全策略不可能保证网络绝对安全和硬件不出故障。
4.2 网络管理员的安全策略
对于中小型企业网络,网络管理员要承担安全管理员的责任。网络管理员采取的安全策略,最重要的是保证服务器的安全和分配好各类用户的权限。网络管理员必须了解整个网络中的重要公共数据和机密数据有哪些,保存的地方,归属于谁,丢失或泄密会有什么后果,将这些重要数据集中在中心机房的服务器上,定期对各类用户进行安全培训。
设置服务器的BIOS,不允许从可移动的存储设备启动。通过BIOS设置软驱无效,并设置BIOS口令。防止非法用户利用控制台获取敏感数据,以及由软驱感染病毒到服务器。取消服务器上不用的服务和协议种类。网务和协议越多安全性越差。系统文件和用户数据文件分别存储在不同的卷上,方便日常的安全管理和数据备份。管理员账号仅用于网络管理,不在任何客户机上使用管理员账号。对属于Administrator组和份组的成员用户要特别慎重。
鼓励用户将数据保存到服务器上。不建议用户在本地硬盘上共享文件。限制可登录到有敏感数据的服务器的用户数。在出现问题时可以缩小怀疑范围。一般不直接给用户赋权,而通过用户组分配用户权限。新增用户时分配一个口令,并控制用户“首次登录必须更改口令”,且最好新设置成的口令不低于6个字符,以杜绝安全漏洞。
4.3 网络用户的安全策略
网络的安全不仅是网络管理员的事,网络上的每个用户都有责任。网络用户应了解下列安全策略:
(1)将口令设置为8位数以上,不要将自己的口令告诉其他人。知道自己私有数据存储的位置,了解如何备份和恢复。
(2)定期参加网络知识和网络安全的培训,了解网络安全知识,养成注意安全的工作习惯。
(3)为了不影响自己的机器安全,尽量不要在本地硬盘上共享文件。应将共享文件存放在服务器上,这样比较安全也可以实现共享。
(4)设置客户机的BIOS,不允许从软驱启动。
(5)设置有显示的屏幕保护,并且加上口令保护。
(6)如果离开机器时间较长时,一定要退出网络。
就业安全应对策略篇(9)
引言
21世纪全世界的计算机都通过Internet联到了一起,网络安全的内涵也随之发生了根本的变化。它不仅从一般性的防卫变成了一种立体、全方位的防范体系,而且还由专业技术变成了无处不在的技术应用。当人类步入21世纪这一信息社会、网络社会的时候,安全成为了科技发展所面临的一个重要课题。目前的网络安全主要具有以下特征:第一,网络安全来源于安全策略与技术的多样化,如果采用一种统一的技术和策略也就不安全了;第二,网络的安全机制与技术要不断地变化和发展;第三,随着网络在社会各方面的延伸,进入网络的手段也具有日新月异的多样性,网络安全也面临着更多的困惑。因此,网络安全技术是一个十分复杂的系统工程。
1网络安全隐患的分析
传统的安全防护方法是:对网络进行风险分析,制订相应的安全策略,采取一种或多种安全技术作为防护措施。这种方案要取得成功主要依赖于系统正确的设置和完善的防御手段的建立,并且在很大程度上是针对固定的、静态的威胁和环境弱点。其忽略了因特网安全的重要特征,即因特网安全没有标准的过程和方法。新的安全问题的出现需要新的安全技术和手段来解决,因此,安全是一个动态的、不断完善的过程。
企业网络安全可以从以下几个方面来分析:物理网络安全、平台网络安全、系统网络安全、应用网络安全、管理网络安全等方面。
物理网络安全风险物理网络安全的风险是多种多样的。网络的物理安全主要是指地震、水灾、火灾等环境事故,电源故障、人为操作失误或错误,设备被盗、被毁,电磁干扰、线路截获等安全隐患;物理网络安全是整个网络系统安全的前提。
平台网络的安全风险平台网络的安全涉及到基于ISO/OSI模型三层路由平台的安全,包括网络拓扑结构、网络路由状况及网络环境等因素;企业网内公开服务器面临的威胁、网络结构和路由状况面临的困扰是问题的主要方面。
公开服务器是信息平台,由于承担了为外界信息服务的责任,因此极易成为网络黑客攻击的目标;伴随企业局域网与外网连接多样性的存在,安全、策略的路由显得愈加重要。
系统网络的安全风险系统网络安全是建立在平台网络安全基础上,涉及到网络操作系统及网络资源基础应用的安全体系。操作系统的安全设置、操作和访问的权限、共享资源的合理配置等成为主要因素。
应用网络的安全风险应用网络系统安全具有明显的个体性和动态性,针对不同的应用环境和不断变化发展应用需求,应用网络安全的内涵在不断的变化和发展之中。其安全性涉及到信息、数据的安全性。
管理网络的安全风险管理网络安全更多的涉及到人的因素,管理是网络中安全最重要的部分。责权不明,管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险;网络系统的实时检测、监控、报告与预警,是管理网络安全的另一方面。
通用网关接口(CGI)漏洞有一类风险涉及通用网关接口(CGI)脚本。CGI脚本程序是搜索引擎通过超链接查找特定信息的基础,同时也使得通过修改CGI脚本执行非法任务成为可能,这就是问题之所在。
除此之外,恶意代码、网络病毒也成为网络不安全的隐患。
2P2DR2安全模型的提出
基于闭环控制的动态网络安全理论模型在1995年开始逐渐形成并得到了迅速发展,学术界先后提出了PDR、P2DR等多种动态风险模型,随着互联网技术的飞速发展,企业网的应用环境千变万化,现有模型存在诸多待发展之处。
P2DR2动态安全模型研究的是基于企业网对象、依时间及策略特征的(Policy,Protection,Detection,Response,Restore)动态安全模型结构,由策略、防护、检测、响应和恢复等要素构成,是一种基于闭环控制、主动防御的动态安全模型,通过区域网络的路由及安全策略分析与制定,在网络内部及边界建立实时检测、监测和审计机制,采取实时、快速动态响应安全手段,应用多样性系统灾难备份恢复、关键系统冗余设计等方法,构造多层次、全方位和立体的区域网络安全环境。
一个良好的网络安全模型应在充分了解网络系统安全需求的基础上,通过安全模型表达安全体系架构,通常具备以下性质:精确、无歧义;简单和抽象;具有一般性;充分体现安全策略。
2.1P2DR2模型的时间域分析
P2DR2模型可通过数学模型,作进一步理论分析。作为一个防御保护体系,当网络遭遇入侵攻击时,系统每一步的安全分析与举措均需花费时间。设Pt为设置各种保护后的防护时间,Dt为从入侵开始到系统能够检测到入侵所花费的时间,Rt为发现入侵后将系统调整到正常状态的响应时间,则可得到如下安全要求:
Pt>(Dt+Rt)(1-1)
由此针对于需要保护的安全目标,如果满足公式(1-1),即防护时间大于检测时间加上响应时间,也就是在入侵者危害安全目标之前,这种入侵行为就能够被检测到并及时处理。同样,我们假设Et为系统暴露给入侵者的时间,则有
Et=Dt+Rt(如果Pt=0)(1-2)
公式(1-2)成立的前提是假设防护时间为0,这种假设对WebServer这样的系统可以成立。
通过上面两个公式的分析,实际上给出了一个全新的安全定义:及时的检测和响应就是安全,及时的检测和恢复就是安全。不仅于此,这样的定义为解决安全问题给出了明确的提示:提高系统的防护时间Pt、降低检测时间Dt和响应时间Rt,是加强网络安全的有效途径。
图2为P2DR2安全模型的体系结构。模型认可风险的存在,绝对安全与绝对可靠的网络系统是不现实的,理想效果是期待网络攻击者穿越防御层的机会逐层递减,穿越第5层的概率趋于零。
2.2P2DR2模型的策略域分析
网络系统是由参与信息交互的各类实体元素构成,可以是独立计算机、局域网络或大规模分布式网络系统。实体集合可包括网络通信实体集、通信业务类型集和通信交互时间集。
通信实体集的内涵表示发起网络通信的主体,如:进程、任务文件等资源;对于网络系统,表示各类通信设备、服务器以及参与通信的用户。网络的信息交互的业务类型存在多样性,根据数据服务类型、业务类型,可以划分为数据信息、图片业务、声音业务;根据IP数据在安全网关的数据转换服务,业务类型可以划分为普通的分组;根据TCP/IP协议传输协议,业务类型可以划分为ICMP、TCP、UDP分组。信息安全系统根据不同安全服务需求,使用不同分类法则。通信交互时间集则包含了通信事件发生的时间区域集。
安全策略是信息安全系统的核心。大规模信息系统安全必须依赖统一的安全策略管理、动态维护和管理各类安全服务。安全策略根据各类实体的安全需求,划分信任域,制定各类安全服务的策略。
在信任域内的实体元素,存在两种安全策略属性,即信任域内的实体元素所共同具有的有限安全策略属性集合,实体自身具有的、不违反Sa的特殊安全策略属性Spi。由此我们不难看出,S=Sa+ΣSpi.
安全策略不仅制定了实体元素的安全等级,而且规定了各类安全服务互动的机制。每个信任域或实体元素根据安全策略分别实现身份验证、访问控制、安全通信、安全分析、安全恢复和响应的机制选择。
3企业网安全防御体系的建立
网络安全是一个系统工程,需要全方位防范各种安全漏洞。图3给出了企业网安全防范体系建立的体系框架。
局域网络系统安全方案设计、规划时应遵循以下原则:
综合性、整体性原则应用系统工程的观点方法,分析网络的安全及具体措施。安全措施主要包括:行政法律手段、各种管理制度,如人员审查、工作流程、维护保障制度等;以及专业措施,如识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等。一个较好的安全措施往往是多种方法适当综合的应用结果。根据规定的安全策略制定出合理的网络安全体系结构。
需求、风险、代价平衡的原则对任一网络,绝对安全难以达到,也并非是必要的。对网络进行可行性研究,包括任务、性能、结构、可靠性、可维护性等基础上,对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,再制定相应规范和措施,确定本系统的安全策略。
一致性原则一致性原则主要是指网络安全问题应与整个网络的工作周期或生命周期同步进行,制定的安全体系结构必须与网络的安全需求相一致。网络系统的安全体系包括安全计划分析、安全模型验证、工程实施、工程验收、实际运行等环节。实践证明,将网络安全设施与网络建设同步进行,可取得事半功倍的效果。
易操作性原则安全措施需要人为去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性;其次,措施的采用不能影响系统的正常运行。
分步实施原则由于网络系统及其应用扩展范围广阔,随着网络规模的扩大及应用的增加,网络脆弱性也会不断增加。一劳永逸地解决网络安全问题是不现实的。同时由于实施信息安全措施需相当的费用支出。因此,分步实
施即可满足网络系统及信息安全的基本需求,亦可节省费用开支。
多重保护原则任何安全措施都不是绝对安全的,都可能被攻破。建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全是必要的。
可评价性原则如何预先评价一个安全设计并验证其网络的安全性,这需要通过国家有关网络信息安全测评认证机构的评估来实现。
4应用案例的分析
根据以上讨论的P2DR2安全模型,并根据实际安全应用需求,可选用相关不同的产品形成多种解决方案方案。下面结合实际的工程案例――基于华为3ComSecPath100N防火墙架构的企业网安全系统作相关讨论。
4.1安全方案的配置策略
策略Policy定义系统的监控周期、确立系统恢复机制、制定网络访问控制策略和明确系统的总体安全规划和原则;
防护Protection充分利用防火墙系统,实现数据包策略路由、路由策略和数据包过滤技术,应用访问控制规则达到安全、高效地访问;应用NAT及映射技术实现IP地址的安全保护和隔离;
检测Detection利用防火墙系统具有的入侵检测技术及系统扫描工具,配合其他专项监测软件,建立访问控制子系统ACS,实现网络系统的入侵监测及日志记录审核,以利及时发现透过ACS的入侵行为;
响应Response在安全策略指导下,通过动态调整访问控制系统的控制规则,发现并及时截断可疑链接、杜绝可疑后门和漏洞,启动相关报警信息;
恢复Restore在多种备份机制的基础上,启用应急响应恢复机制实现系统的瞬时还原;进行现场恢复及攻击行为的再现,供研究和取证;实现异构存储、异构环境的高速、可靠备份。
4.2安全方案的实现
方案采用华为3ComSecPath100N防火墙作为安全系统核心,配合以多种软件防护策略。公司内部对外提供WWW、FTP和Telnet服务,内部FTP服务器地址为202.200.204.1,内部Telnet服务器地址为202.200.204.2,内部WWW服务器地址为202.200.204.3,公司对外地址为202.195.22.18。在安全网关上配置了地址转换,这样内部PC机可以访问Internet,外部PC可以访问内部服务器。通过配置防火墙,希望实现以下要求:外部网络只有特定用户可以访问内部服务器。内部网络只有特定主机可以访问外部网络。外部特定用户的IP地址为202.19.30.21。
部分配置步骤
#在安全网关Quidway上允许防火墙。
[Quidway]firewallenable
#设置防火墙缺省过滤方式为允许包通过。
[Quidway]firewalldefaultpermit
#创建访问控制列表3001。
[Quidway]aclnumber3001
#配置规则允许特定主机访问外部网,允许内部服务器访问外部网。
[Quidway-acl-adv-3001]rulepermitipsource202.200.201.00
[Quidway-acl-adv-3001]rulepermitipsource202.200.202.00
[Quidway-acl-adv-3001]rulepermitipsource202.200.203.00
[Quidway-acl-adv-3001]rulepermitipsource202.200.204.00
#配置规则禁止所有IP包通过。
[Quidway-acl-adv-3001]ruledenyip
#创建访问控制列表3002
[Quidway]aclnumber3002
#配置规则允许特定用户从外部网访问内部服务器。
[Quidway-acl-adv-3002]rulepermittcpsource202.19.30.210destination202.195.22.180
#配置规则允许特定用户从外部网取得数据(只允许端口大于1024的包)。
[Quidway-acl-adv-3002]rulepermittcpdestination202.195.22.180destination-portgt1024
#将规则3001作用于从接口Ethernet0/0/0进入的包。
[Quidway-Ethernet0/0/0]firewallpacket-filter3001inbound
#将规则3002作用于从接口Ethernet1/0/0进入的包。
[Quidway-Ethernet1/0/0]firewallpacket-filter3002inbound
#创建NAT应用规则。
[Quidway]nataddress-group1202.195.22.19202.195.22.28
[Quidway]aclnumber2001
[Quidway-acl-basic-2001]rulepermitsource202.200.201.00.0.0.255
[Quidway-acl-basic-2001]rulepermitsource202.200.202.00.0.0.255
[Quidway-acl-basic-2001]rulepermitsource202.200.203.00.0.0.255
[Quidway-acl-basic-2001]rulepermitsource202.200.204.00.0.0.255
[Quidway-acl-basic-2001]quit
[Quidway]interfaceEthernet3/0/0
[Quidway-Ethernet3/0/0]natoutbound2001address-group1
#设置内部ftp服务器。
[Quidway-Ethernet3/0/0]natserverprotocoltcpglobal202.195.22.19inside202.200.204.1ftp
#设置内部www服务器1。
[Quidway-Ethernet3/0/0]natserverprotocoltcpglobal202.195.22.19inside202.200.204.2www
#设置内部www服务器2。
[Quidway-Ethernet3/0/0]natserverprotocoltcpglobal202.195.22.198080inside202.200.204.3www
#设置内部smtp服务器。
[Quidway-Ethernet3/0/0]natserverprotocoltcpglobal202.195.22.19inside202.200.204.4smtp
5结束语
网络安全防御是一个非常复杂的问题,传统单一的静态安全模型不能够很好地保证系统的安全。本文提出的P2DR2网络安全模型是对现有动态安全模型的一次重要补充,是解决典型企业局域网络的良好方法,通过工程案例的实践应用,取得了较为稳定的安全效果。
参考文献
[1]石志国等.计算机网络安全教程.北京:清华大学出版社,2005
[2]李家春,李之棠.动态安全模型的研究.华中科技大学学报,2003,31(3):40-42
[3]侯小梅,毛宗源.基于P2DR模型的Internet安全技术.计算机工程与应用,2000,23:1-2
[4]单蓉胜,王明政,李建华.基于策略的网络安全模型及形式化描述.计算机工程与应用,2003,13:68-71
就业安全应对策略篇(10)
提起网络信息安全,人们自然就会想到病毒破坏和黑客攻击。其实不然,政府和企业因信息被窃取所造成的损失远远超过病毒破坏和黑客攻击所造成的损失,据权威机构调查:三分之二以上的安全威胁来自泄密和内部人员犯罪,而非病毒和外来黑客引起。
目前,政府、企业等社会组织在网络安全防护建设中,普遍采用传统的内网边界安全防护技术,即在组织网络的边缘设置网关型边界防火墙、AAA认证、入侵检测系统IDS等等网络边界安全防护技术,对网络入侵进行监控和防护,抵御来自组织外部攻击、防止组织网络资源、信息资源遭受损失,保证组织业务流程的有效进行。
这种解决策略是针对外部入侵的防范,对于来自网络内部的对企业网络资源、信息资源的破坏和非法行为的安全防护却无任何作用。对于那些需要经常移动的终端设备在安全防护薄弱的外部网络环境的安全保障,企业基于网络边界的安全防护技术就更是鞭长莫及了,由此危及到内部网络的安全。一方面,企业中经常会有人私自以Modem拨号方式、手机或无线网卡等方式上网,而这些机器通常又置于企业内网中,这种情况的存在给企业网络带来了巨大的潜在威胁;另一方面,黑客利用虚拟专用网络VPN、无线局域网、操作系统以及网络应用程序的各种漏洞就可以绕过企业的边界防火墙侵入企业内部网络,发起攻击使内部网络瘫痪、重要服务器宕机以及破坏和窃取企业内部的重要数据。
二、内网安全风险分析
现代企业的网络环境是建立在当前飞速发展的开放网络环境中,顾名思义,开放的环境既为信息时代的企业提供与外界进行交互的窗口,同时也为企业外部提供了进入企业最核心地带——企业信息系统的便捷途径,使企业网络面临种种威胁和风险:病毒、蠕虫对系统的破坏;系统软件、应用软件自身的安全漏洞为不良企图者所利用来窃取企业的信息资源;企业终端用户由于安全意识、安全知识、安全技能的匮乏,导致企业安全策略不能真正的得到很好的落实,开放的网络给企业的信息安全带来巨大的威胁。
1.病毒、蠕虫入侵
目前,开放网络面临的病毒、蠕虫威胁具有传播速度快、范围广、破坏性大、种类多、变化快等特点,即使再先进的防病毒软件、入侵检测技术也不能独立有效地完成安全防护,特别是对新类型新变种的病毒、蠕虫,防护技术总要相对落后于新病毒新蠕虫的入侵。
病毒、蠕虫很容易通过各种途径侵入企业的内部网络,除了利用企业网络安全防护措施的漏洞外,最大的威胁却是来自于内部网络用户的各种危险应用:不安装杀毒软件;安装杀毒软件但不及时升级;网络用户在安装完自己的办公桌面系统后,未采取任何有效防护措施就连接到危险的网络环境中,特别是Internet;移动用户计算机连接到各种情况不明网络环境,在没有采取任何防护措施的情况下又连入企业网络;桌面用户在终端使用各种数据介质、软件介质等等都可能将病毒、蠕虫在不知不觉中带入到企业网络中,给企业信息基础设施,企业业务带来无法估量的损失。
2.软件漏洞隐患
企业网络通常由数量庞大、种类繁多的软件系统组成,有系统软件、数据库系统、应用软件等等,尤其是存在于广大终端用户办公桌面上的各种应用软件不胜繁杂,每一个软件系统都有不可避免的、潜在的或已知的软件漏洞。无论哪一部分的漏洞被利用,都会给企业带来危害,轻者危及个别设备,重者成为攻击整个企业网络媒介,危及整个企业网络安全。
3.系统安全配置薄弱
企业网络建设中应用的各种软件系统都有各自默认的安全策略增强的安全配置设置,例如,账号策略、审核策略、屏保策略、匿名访问限制、建立拨号连接限制等等。这些安全配置的正确应用对于各种软件系统自身的安全防护的增强具有重要作用,但在实际的企业网络环境中,这些安全配置却被忽视,尤其是那些网络的终端用户,导致软件系统的安全配置成为“软肋”、有时可能严重为配置漏洞,完全暴露给整个外部。例如某些软件系统攻击中采用的“口令强制攻击”就是利用了弱口令习惯性的使用安全隐患,黑客利用各种网络应用默认安装中向外部提供的有限信息获取攻击的必要信息等等。
4.脆弱的网络接入安全防护
传统的网络访问控制都是在企业网络边界进行的,或在不同的企业内网不同子网边界进行且在网络访问用户的身份被确认后,用户即可以对企业内网进行各种访问操作。在这样一个访问控制策略中存在无限的企业网络安全漏洞,例如,企业网络的合法移动用户在安全防护较差的外网环境中使用VPN连接、远程拨号、无线AP,以太网接入等等网络接入方式,在外网和企业内网之间建立一个安全通道。
另一个传统网络访问控制问题来自企业网络内部,尤其对于大型企业网络拥有成千上万的用户终端,使用的网络应用层出不穷,目前对于企业网管很难准确的控制企业网络的应用,这样的现实导致安全隐患的产生:员工使用未经企业允许的网络应用,如邮件服务器收发邮件,这就可能使企业的保密数据外泄或感染邮件病毒;企业内部员工在终端上私自使用未经允许的网络应用程序,在此过程中就有可能下载到带有病毒、木马程序等恶意代码的软件,从而感染内部网络,进而造成内部网络中敏感数据的泄密或损毁。
5.企业网络入侵
现阶段黑客攻击技术细分下来共有8类,分别为入侵系统类攻击、缓冲区溢出攻击、欺骗类攻击、拒绝服务攻击、对防火墙的攻击、病毒攻击、伪装程序/木马程序攻击、后门攻击。
对于采取各种传统安全防护措施的企业内网来说,都没有万无一失的把握;对于从企业内网走出到安全防护薄弱的外网环境的移动用户来说,安全保障就会严重恶化,当移动用户连接到企业内网,就会将各种网络入侵带入企业网络。
6.终端用户计算机安全完整性缺失
随着网络技术的普及和发展,越来越多的员工会在企业专网以外使用计算机办公,同时这些移动员工需要连接回企业的内部网络获取工作必须的数据。由于这些移动用户处于专网的保护之外,很有可能被黑客攻陷或感染网络病毒。同时,企业现有的安全投资(如:防病毒软件、各种补丁程序、安全配置等)若处于不正常运行状态,终端员工没有及时更新病毒特征库,或私自卸载安全软件等,将成为黑客攻击内部网络的跳板。
三、内网安全实施策略
1.多层次的病毒、蠕虫防护
病毒、蠕虫破坏网络安全事件一直以来在网络安全领域就没有一个根本的解决办法,其中的原因是多方面的,有人为的原因,如不安装防杀病毒软件,病毒库未及时升级等等,也有技术上的原因,杀毒软件、入侵防范系统等安全技术对新类型、新变异的病毒、蠕虫的防护往往要落后一步。危害好像是无法避免的,但我们可以控制它的危害程度,只要我们针对不同的原因采取有针对性的切实有效的防护办法,就会使病毒、蠕虫对企业的危害减少到最低限度,甚至没有危害。这样,仅靠单一、简单的防护技术是难以防护病毒、蠕虫的威胁的。
2.终端用户透明、自动化的补丁管理,安全配置
为了弥补和纠正运行在企业网络终端设备的系统软件、应用软件的安全漏洞,使整个企业网络安全不至由于个别软件系统的漏洞而受到危害,完全必要在企业的安全管理策略中加强对补丁升级、系统安全配置的管理。
用户可通过管理控制台集中管理企业网络终端设备的软件系统的补丁升级、系统配置策略,定义终端补丁下载。将补丁升级策略、增强终端系统安全配置策略下发给运行于各终端设备上的安全,安全执行这些策略,以保证终端系统补丁升级、安全配置的完备有效,整个管理过程都是自动完成的,对终端用户来说完全透明,减少了终端用户的麻烦和企业网络的安全风险,提高企业网络整体的补丁升级、安全配置管理效率和效用,使企业网络的补丁及安全配置管理策略得到有效的落实。
3.全面的网络准入控制
就业安全应对策略篇(11)
国内外调查显示…,52.26%的用户最关心的是网上交易的安全可靠性,超过6O%的人由于担心电子商务的安全问题而不愿进行网上购物。加强电子商务实施过程中的安全管理已经成为促进电子商务高速发展的重要因素。
电子商务的安全,可分为技术安全和管理安全两种类型。所谓技术安全,是指通过各种黑客手段窃取企业的用户lD、密码以及相关的机密文件,甚至网络银行帐号、密码等,给企业造成经济损失。而管理安全则是指缺乏对参与电子商务过程中各个环节的人员的管理预防手段,最终导致的电子商务安全事件。从美国的花旗银行和中央情报局到中国的某家国有商业银行,都有过由于内部人员的违规和违法操作,导致数据被篡改和泄密的事件发生。
近几年的电子商务安全案件表明:人员是网上交易安全管理中的最薄弱的环节,近年来我国计算机犯罪大都呈现内部犯罪的趋势,有的竞争对手利用企业招募新人的方式潜入对方企业,或利用不正当的方式收买企业网络交易管理人员。有的电子商务从业人员从本企业辞职后,迅速把客户资料、产品研发成果等机密出售给竞争对手,给企业带来了不必要的经济损失。
2、原因分析
电子商务信息安全已经引起很多企业的重视,但大多数企业往往侧重于加强技术措施,如购买先进的防火墙软件,采用更高级的加密方法等,很多企业认为:员工泄密的安全事故只是偶然现象,很少从人员管理的角度来探讨出现这些事故的根本原因。“重技术、轻管理”是当前很多电子商务企业的通病。由于管理手段不到位,很多先进的安全技术无法发挥应有的效能。之所以出现上述问题,主要有以下原因:
首先,很多企业管理高层对人员管理在信息安全中的地位认识不足。大多数企业将电子商务网络作为一项纯粹的技术工程来实施,企业内部缺乏系统的安全管理策略,只是被动的使用一些技术措施来进行防御,因此电子商务过程中一旦出现突发性事件,往往造成很大的经济损失。现实中没有一个网络系统是完美无缺的,不安全因素随时存在。因此,安全管理措施必须渗透到系统的每一个环节和企业组织的~个层面,只有构建一个人与技术相结合的安全管理体系,才能确保整个电子商务系统得安全。
企业没有从整体上、有计划地考虑信息安全问题。企业各部门、各下属机构都存在“各自为政的局面,缺少统一规划、设计和管理信息安全强调的是整体上的信息安全性,而不仅是某一个部门或公司的信息安全。而各部门、各公司又确实存在个体差异,对于不同业务领域来说,信息安全具有不同的涵义和特征,信息安全保障体系的战略性必须涵盖各部门和各公司的信息安全保障体系的相关内容。
缺少信息安全管理配套的人力、物力和财力。人才是信息安全保障工作的关键。信息安全保障工作的专业性、技术性很强,没有一批业务能力强,且具有信息网络知识、信息安全技术、法律知识和管理能力的复合型人才和专门人才,就不可能做好信息安全保障工作。应该从信息安全建设和管理对信息安全人才的实际需求出发,加快信息安全人才的培养。
企业对员工的信息安全教育不够。员工的信息安全意识薄弱,9O%的安全事故是由于人为疏忽所造成。如有些企业不限制内部人员使用各种高科技信息载体,如U盘、移动硬盘以及笔记本等移动办公设备。
3、加强电子商务安全管理的建议
电子商务信息安全管理实践表明,大多数安全问题是由于管理不善造成的。安全管理是一项系统工程,不仅涉及到企业的组织架构、信息技术、人员素质等各个方面,还牵扯到国家法律和商业规则。企业内部存在着诸多影响信息安全的因素:改变lT系统不等于改变企业的信息安全管理,要使企业信息尽可能的安全,必须在技术投人的基础上融人人在管理方面的智慧i同时,不仅要防外,更要防内,即对组织内部人员的管理。信息安全问题的解决需要技术,但又不能单纯依靠技术。整个电子商务的交易过程,是人与技术相互融合的过程,如何使管理与技术相得益彰十分重要。“三分技术,七分管理”阐述了信息安全的本质。
电子商务的安全管理,就是通过一个完整的综合保障体系,来规避信息传输风险、信用风险、管理风险和法律风险,以保证网上交易的顺利进行。网上交易安全管理,应采用综合防范的思路,一是技术方面的考虑,如防火墙技术、网络防毒、信息加密、身份认证、授权等,但必须明确,只有技术措施并不能完全保证网上交易的安全。二是必须加强监管,建立各种有关的合理制度,并加强严格监督,如建立交易的安全制度、交易安全的实时监控、提供实时改变安全策略的能力、对现有的安全系统漏洞的检查以及安全教育等。为了加强企业电子商务的信息安全,我们提出如下建议:
(1)提高网络安全防范意识。
现在许多企业没有意识到互联网的易受攻击性,盲目相信国外的加密软件,对于系统的访问权限和密钥缺乏有力度的管理。这样的系统一旦受到攻击将十分脆弱,其中的机密数据得不到应有的保护。据调查,目前国内90%的网站存在安全问题,其主要原因是企业管理者缺少或没有安全意识。某些企业网络管理员甚至认为其公司规模较小,不会成为黑客的攻击目标,如此态度,网络安全更是无从谈起。应该定期由公司或安全管理小组承办信息安全讲座,只有提高网络安全防范意识,才能有效的减少信息安全事故的发生。
(2)建立电子商务安全管理组织体系。
一个完整的信息安全管理体系首先应建立完善的组织体系。即建立由行政领导、IT技术主管、信息安全主管、本系统用户代表和安全顾问组成的安全决策机构。其职责是建立管理框架,组织审批安全策略、安全管理制度,指派安全角色,分配安全职责,并检查安全职责是否已被正确履行,核准新信息处理设施的启用、组织安全管理专题会等。还应建立由网络管理员、系统管理员、安全管理员、用户管理员等组成的安全执行机构。该机构负责起草网络系统的安全策略、执行批准后的安全策略、日常的安全运行和维护、定期的培训和安全检查等。如果需要,还可建立安全顾问机构。安全顾问机构可聘请信息安全专家担任系统安全顾问,负责提供安全建议,特别是在安全事故或违反安全策略事件发生后,可以被安全决策机构指定负责事故(事件)调查,并为安全策略评审和评估提供意见。
(3)制定符合机构安全需求的信息安全策略。电子商务交
易过程中,需要明确的安全策略主要包括客户认证策略、加密策略、日常维护策略、防病毒策略等安全技术方案的选择。安全执行机构应根据本信息网络的实际情况制定相应的信息安全策略,策略中应明确安全的定义、目标、范围和管理责任,并制定安全策略的实施细则。安全策略文档要由安全决策机构审查、批准,并和传达给所有的人安全策略还应由安全决策机构定期进行有效性审查和评估:在发生重大的安全事故、发现新的脆弱性、组织体系或技术上发生变更时,应重新进行安全策略的审查和评估。
(4)人员安全的管理和培训
参与网上交易的经营管理人员在很大程度上支配着企业的命运,他们承担着防范网络犯罪的任务。而计算机网络犯罪同一般犯罪不同的是,他们具有智能性、隐蔽性、连续性、高效性的特点,因而,加强对有关人员的管理变得十分重要。首先,在人员录用时应做好人员鉴别,人员录用或人员职位调整时,一般要签署保密协议。当人员到期离开或协议到期、工作终止时,要审查保密协议。其次对有关人员进行上岗培训,建立人员培训计划,定期组织安全策略和规程方面的培训。第三,落实工作责任制,在岗位职责中明确本岗位执行安全政策的常规职责和本岗位保护特定资产、执行特定安全过程或活动的特别职责,对违反网上交易安全规定的人员要进行及时的处理。第四,贯彻网上交易安全运作基本原则,包括职责分离、双人负责、任期有限、最小权限、个人可信赖性等。
(5)增强法律意识,促进电子商务立法
面对电子商务这种新型的贸易形式,我国目前尚无专门法规可依,使得部分违法犯罪人员没有得到应有的惩罚。近几年里,国家加强了这方面的投入。在全国性的立法文件中,《合同法》的部分条款可以看作是针对电子商务的立法。此外,广东省制定的《广东省电子交易管理条例》这个地方性的法规可以看作是对加快我国电子商务立法的有益探索。《中华人民共和国电子签名法》是对主要用于电子商务活动,电子政务等其他应用应该有新的适用法规。
