ISO27001 信息安全管理實用規(guī)則ISO/IEC27001的前身為英國的BS7799標準,該標準由英國標準協(xié)會(BSI)于1995年2月提出�,并于1995年5月修訂而成的。1999年BSI重新修改了該標準����。BS7799分為兩個部分:BS7799-1,信息安全管理實施規(guī)則BS7799-2���,信息安全管理體系規(guī)范�����。第一部分對信息安全管理給出建議����,供負責在其組織啟動、實施或維護安全的人員使用���;第二部分說明了建立�、實施和文件化信息安全管理體系(ISMS)的要求����,規(guī)定了根據獨立組織的需要應實施安全控制的要求。
ISO/IEC27001對信息安全管理給出建議�,供負責在其組織啟動、實施或維護安全的人員使用�����。該標準為開發(fā)組織的安全標準和有效的安全管理做法提供公共基礎����,并為組織之間的交往提供信任��。
標準指出“象其他重要業(yè)務資產一樣����,信息也是一種資產”���。它對一個組織具有價值�����,因此需要加以合適地保護�。信息安全防止信息受到的各種威脅�����,以確保業(yè)務連續(xù)性�,使業(yè)務受到損害的風險減至最小�����,使投資回報和業(yè)務機會最大�。
信息安全是通過實現(xiàn)一組合適控制獲得的?��?刂瓶梢允遣呗?�、慣例��、規(guī)程�����、組織結構和軟件功能�。需要建立這些控制,以確保滿足該組織的特定安全目標�����。
一�����、前言
文章介紹了企業(yè)計算機網絡安全存在的問題�����,闡述了對影響企業(yè)計算機網絡系統(tǒng)安全的因素���,通過分析���,并結合自身實踐經驗和相關理論知識�����,探討了如何加強企業(yè)網絡安全管理措施���。
二�����、企業(yè)計算機網絡安全存在的問題
1.安全意識淡薄在企業(yè)網絡系統(tǒng)中,每一臺計算機的安全性都會影響整個系統(tǒng)的安全性能����,網絡安全與每個用戶息息相關����。內部員工了解公司的網絡結構����、數(shù)據存放方式和地點甚至掌握業(yè)務系統(tǒng)的密碼����。在具有嚴格訪問權限的系統(tǒng)中��,使用弱密碼的用戶有可能成為安全系統(tǒng)中的缺陷,甚至有些人隨意改動系統(tǒng)注冊表���,使得整個網絡安全系統(tǒng)失效
2.網絡安全體系不健全當前很多企業(yè)盡管采取了一些安全措施�,但安全保護措施較為零散�,缺乏整體性與系統(tǒng)性�����,對于企業(yè)網絡信息安全保護缺乏統(tǒng)一的�����、明確的指導思想�����,沒有建立一個完善的安全體系��,這是引發(fā)安全問題的主要源頭。
3.網絡黑客攻擊黑客肆意妄為�����,破壞的手段也越來越多樣化。企業(yè)的內部資料對于整個企業(yè)經營來說相當重要�����,因為它關系到整個企業(yè)的生死存亡�。企業(yè)存放信息會因網絡黑客攻擊而造成資料的泄密
4.來自企業(yè)外部的感染來自企業(yè)外部的計算機病毒具有傳播性、破壞性��、隱蔽性�����、潛伏性和可觸發(fā)性等特點��,通過入侵網絡系統(tǒng)和設備�����,對數(shù)據進行破壞,使網絡癱瘓��,不能正常運作。網絡蠕蟲由于不需要用戶干預就能觸發(fā)��,因而其傳播速度要遠遠大于計算機病毒��,其對網絡性能產生的影響也更為顯著和嚴重。木馬是指附著在應用程序中或者單獨存在的一些惡意程序���,它可以利用網絡遠程控制安裝有服務端程序的主機�,實現(xiàn)對主機的控制或者竊取主機上的機密信息��。
5.來自企業(yè)網絡內部的攻擊企業(yè)防護重點是對外,往往忽視對內部防護的重視�����。利用企業(yè)內部計算機對企業(yè)局域網絡進行攻擊,企業(yè)局域網絡也會受到嚴重攻擊����,當前企業(yè)內部攻擊行為大大加強了企業(yè)網絡安全的風險�。
三、影響企業(yè)計算機網絡系統(tǒng)安全的因素
1.病毒攻擊目前��,計算機病毒的制造者大多利用Internet網絡進行傳播,因中小企業(yè)防范薄弱管理規(guī)范性有待提高�,所以他們很大可能要遭到病毒的攻擊�����。病毒可能會感染大量的機器系統(tǒng)�����,也可能會大量占用網絡帶寬��,阻塞正常流量,如:發(fā)送垃圾郵件病毒��,從而影響企業(yè)計算機網絡的正常運行���。
2.軟件漏洞任何軟件都有漏洞���,這是客觀事實�。而同時中小企業(yè)在軟件采用上大都以節(jié)約為本�,不注重也不舍得花銷來進行軟件更新的后期升級服務����,以至于非法用戶正好通過這些需要升級的漏洞竊取用戶信息和破壞信息���,針對固有的安全漏洞進行攻擊.
3.職員不當操作中小企業(yè)計算機管理人員配置少�����,監(jiān)督管理都難以細致���,其它職工在信息化系統(tǒng)操作中容易出現(xiàn)工作馬虎�����,不細心,不按成型的規(guī)范操作�����,不遵守制定的相應規(guī)章制度�����。中小企業(yè)中很多職工信息安全意識不強,將自己的生日或工號作為系統(tǒng)口令��,或將單位的賬號隨意轉借他人使用,從而造成信息的丟失或篡改����。
四��、加強企業(yè)網絡安全管理措施
1.要加大對計算機網絡與信息安全工作的投入。信息技術進步神速�����,我國在這一領域同發(fā)達國家比�����,并沒有優(yōu)勢。因此我國更應加大投入����,刻苦攻關�,掌握一些關鍵的信息技術����,以確保我國在信息安全方面的自主能力??梢院敛豢鋸埖卣f�,今年安全方面的自主能力�����,將制約我國的綜合國力和國防實力,因此,我國應當像五六十年代發(fā)展“兩彈一星”一樣����,集中力量��,加大投入,迎接信息技術革命的挑戰(zhàn)�����,保衛(wèi)國-家-安-全。這一點����,我們不能幻想通過進口來解決問題����。在信息安全技術方面���,發(fā)達國家一方面極為重視研究開發(fā),美國政府曾為了改進美國政府的計算機安全系統(tǒng)���,投入巨大的資金;另一方面,又嚴格控制信息安全技術的出口��。以美國為代表的發(fā)達國家��,對信息安全產品出口���,已作出許多嚴格限制�,以維護其在信息技術領域的絕對優(yōu)勢��。
2.關鍵數(shù)據采用加密手段。在企業(yè)計算機網絡中關于數(shù)據安全的隱患無處不在�����。尤其是一些機密數(shù)據庫����、商業(yè)數(shù)據等一定要保證它的安全性����,這時一般會采取對數(shù)據加密的手段��,它是一種保護數(shù)據在存儲和傳遞過程中不被竊取或修改的一種手段�����,該數(shù)據加密系統(tǒng)在使用的過程中需要綜合考慮執(zhí)行效率與安全性之間的平衡�����。
3.加強安全管理力度健全管理制度���。首先,加強信息安全管理力度應積極采取宏觀管理與重點監(jiān)控相結合的方式��,保證信息化項目的安全性�。系統(tǒng)的實施及管理部門應該全面掌握各單位的計算機網絡系統(tǒng)的相關情況,為企業(yè)統(tǒng)一管理提供可靠依據�����。同時����,對重點工程實地考察,對信息安全進行檢查��,發(fā)現(xiàn)問題及時解決�����。
4.事務管理和故障恢復。事務管理和故障恢復主要是對付系統(tǒng)內發(fā)生的自然因素故障����,保證數(shù)據和事務的一致性和完整性。故障恢復的主要措施是進行日志記錄和數(shù)據復制��。計算機同其他設備一樣����,都可能發(fā)生各種各樣的故障,比如電源故障、軟件故障��、災害故障以及人為破壞等�,這些故障可能會造成數(shù)據庫的數(shù)據丟失���,因此為了保證計算機的安全運行����,必須在發(fā)生故障時采取必要的措施恢復數(shù)據庫����,事務管理和故障恢復就是這個作用,它能夠保障數(shù)據庫在出現(xiàn)故障時����,仍可以把數(shù)據庫系統(tǒng)還原到正常狀態(tài)。
五����、企業(yè)信息安全新形勢網絡信息安全工作始終是通信行業(yè)最為關鍵的工作之一�����,具有長期性����、復雜性和艱巨性的特點。2015年3G及寬帶網絡蓬勃發(fā)展�����,三網融合開始實施操作�����,云計算和物聯(lián)網產業(yè)方興未艾��,需求的個性化�����、數(shù)字的海量化�、業(yè)務的復雜化給通信行業(yè)網絡信息安全帶來了新的更大的挑戰(zhàn),行業(yè)中企業(yè)要進一步提高對網絡信息安全重要性的認識�����,發(fā)展與管理并重��,加強部門協(xié)調配合���,加強網絡基礎管理工作��,加強網絡信息安全保障能力建設�,特別是要加快網絡信息安全關鍵基礎產業(yè)的研發(fā)應用和產業(yè)化��,通過核心技術掌握自主知識產權��,加快發(fā)展自主可控的信息安全產業(yè)�,建設新時期通信行業(yè)網絡安全、信息安全長城�。從國際國內出現(xiàn)的安全現(xiàn)象出發(fā)應對多種復雜的安全新問題,應該借助于RFID等物聯(lián)網新技術�,并通過極主動地建立網絡與信息安全的保障體系,技術和管理并重���,加強立法建設��、政策制訂�����、技術研究�����、標準制訂��、隊伍建設���、人才培養(yǎng)、市場服務�、宣傳教育等多方面的工作,通過產業(yè)鏈各方的緊密合作共同構造一個全方位多層次的網絡與信息安全環(huán)境��,來共同改善全球的網絡與信息安全問題���。結束語隨著科技的發(fā)展�,一些不法份子和黑客通過計算機網絡竊取企業(yè)商業(yè)機密的現(xiàn)象越來越多�����,因此,對于計算機網絡信息安全管理應該予以高度重視���,否則可能對企業(yè)造成不可預估的損失��。信息安全管理的重要性隨著計算機技術的不斷發(fā)展���,計算機被廣泛地應用于各個領域。在企業(yè)中��,利用計算機進行管理可以顯著的提高工作效率���,使企業(yè)管理水平有一個明顯的提高�����。對于中小企業(yè)而言���,信息化是中小企業(yè)迎接新經濟的挑戰(zhàn),提高企業(yè)運作效率�����、降低經營管理成本�、把握新的商業(yè)機會的必由之路��。在各類管理信息系統(tǒng)中�,信息制作和傳播等都要涉及信息的存儲���、傳輸與使用等信息處理問題�����,而信息處理過程中的信息安全問題尤為突出�����。對于存儲在計算機中的重要文件、數(shù)據庫中的重要數(shù)據等信息����,一旦丟失、損壞或泄露��、不能及時送達�,都會給企業(yè)造成很大的損失。如果是商業(yè)機密信息���,給企業(yè)造成的損失會更大�����,甚至會影響到企業(yè)的生存和發(fā)展�����。目前����,國內大中型企業(yè)由于信息化起步早、資金和技術力量充足���、管理制度較為完善����,因此信息安全體系成熟度也相對較高�,但眾多中小企業(yè)由于資金、技術等方面的原因�,在信息安全性方面普遍存在著嚴重漏洞,與大型企業(yè)�、行業(yè)用戶相比,它們更容易受到網絡病毒的侵害�,損失同樣嚴重。因此構建一個成熟的信息安全管理體系對中小企業(yè)尤為重要�����。
客服咨詢
158-0008-7775 
