在实际工作中如何做好信息安全探讨.docVIP

在实际工作中如何做好信息安全探讨 　　摘要:信息技术在飞速发展,一方面给企业带来了巨大的效益;另一方面也带来非常大的安全风险。目前烟草行业正在进行信息安全体系的构建。本文对实际工作中碰到的一些问题进行分析,提出了相应的解决办法,包括信息资产,安全审计,网络设备,安全培训,物理安全,应用系统等方面。通过这些问题分析,对建立完善的信息安全体系做出补充。 　　关键词:信息技术 安全 　　中图分类号:TP392 文献标识码:A 文章编号:1672-3791(2012)04(c)-0023-01 　　目前全球处在一个信息社会中,信息系统的建设逐步成为各个企业不可或缺的基础设施,然而在享受信息系统带来的便利的同时,也面临的信息安全的严峻考验。信息安全是指以防止被黑客恶意攻击和意外事故为目的,对信息基础设施、应用服务和信息内容的必威体育官网网址性、完整性、可用性、可控性和不可否认性进行安全保护。它包含了信息环境、信息网络和通信基础设施、媒体、数据、信息内容、信息应用等多方面的安全需求。信息安全管理的发展趋势是以建立安全风险管理为导向的整体安全体系来面对来自各方面的威胁,实际工作中,我们受保护的资源可能会受到来自于黑客攻击,内部威胁,员工误操作,技术事故,病毒,自然灾害等多方面的威胁,因此一般的安全体系内容应该包括强调IT的安全管理和安全技术的平衡;每年安全经费预算基于风险评估结果;集成且统一的安全体系管理架构、技术架构;基于国际标准的完善的安全策略、标准和流程;部署了必要的安全工具、应急响应机制晚上且定期演练;预防为主,防止结合。 　　经过多年的发展,各个企业对信息技术的依赖越来越高,也使信息技术的风险变的异常突出,信息安全保障的形势也越来越严峻。在实际工作中就需要从多个方面来做好信息安全工作。 　　1 信息安全制度问题 　　完整的信息安全体系首先是要建立一项完备的信息安全制度,要参照国家信息安全方面的法律法规,结合烟草行业的实际,制定出一套安全制度,让涉及到信息安全方面的工作有法可依。在制定制度的过程中,应该要分三个阶段进行。在制度制定前期,需要参考近期的安全风险评估报告和审计报告,以便了解当前信息安全的需求主要集???在哪些方面。同时还要自上而下建立一个信息安全组织架构,确认相关人员的职责。在制度制定中期,制度的制定过程中,要从安全控制措施,检查机制和执行情况几个方面来考虑,其中安全控制措施要分两个方面:一个是对外部所有方式的信息交换方式进行管理,以防止信息的泄露、篡改、丢失等;另外一个对内部用户的访问权限进行定期检查以及对信息资产清单的及时维护。在制度制定后期,形成正式的制度规范后,应当进行常规的测试以及更新演练,以保证其有效性。 　　2 信息类资产的问题 　　现在信息类的资产非常之多,包括软件资产和硬件资产两方面,一般都是由专人进行管理。当信息类资产增加时,通常只要根据规定的操作规范进行操作,及时更新清单即可。但是当信息类资产报废时,特别是电脑等IT硬件设备报废时,由于缺少对存储的敏感信息进行专业处理的手段,只能先从资产清单上进行更改,而对实物处理起来经常无所适从。针对此问题,我认为应该对敏感类信息加以准确定义,一旦确认了某硬件存在敏感信息,则应该采用物理销毁的方法,以免数据泄漏。 　　3 安全审计的问题 　　我们需要应用一些合适的工具,对网络进行审计,及时发现整个网络中的动态,一旦发现网络入侵和违规行为,就可以采取手段进行控制,同时还可以对运行网络中的重要服务器和网络设备的安全配置管理进行检查,以根据查到的问题及时的进行整改。但这还远远不够,我们应该制定一个定期更新和检查的计划,以应对不断变化的信息安全方面的威胁,还要制定相应的处罚规定,对违规的行为进行处罚,以起到警示的作用。 　　4 网络设备的问题 　　根据等级保护的规定,目前我们对网络上不必要的服务和端口进行关闭,并进行安全域的划分和访问控制策略的制定,同时也开启了网络设备的日志审计功能,为日后的数据分析提供了便利。但在实际操作中确存在一些问题,当我们把认为不必要的服务关掉以后,会导致一些应用不正常,究其原因,是在软件开发过程中调用到了这些端口,但当初开发商并没有留意。我觉得信息安全是重中之重,但是同时也要兼顾的日常的工作,避免对正常工作造成影响。根据这个问题,我觉的应该从源头开始处理,在以后软件开发的过程中,涉及到网络通讯等功能的时候,需要把对应端口和服务的主要功能详细的列出,以便于我们在网络设备进行安全管理配置。 　　5 安全培训的问题 　　目前各类服务器和网络设备都进行了比较全面的防护,来自信息安全方面的威胁也有效地减少了,而终端设备的问题还是比较大。一方面我们对内而言还处于基本不设防的状况,内部安全管理缺乏有效的技术手段;另一方面是由于操作人员的信息安全意识不强。目前对终端设