近年来, 随着企业信息化进程的不断推进,信息系统得到了日益广泛的应用。企业各部门对信息系统的依赖性不断增长,信息系统的脆弱性也日益暴露。如何规范日趋复杂的信息系统安全保障体系建设,如何进行信息系统风险评估保护企业的信息资产不受侵害,已成为当前行业实现信息化运作亟待解决的问题。
信息安全风险评估
1.可能面临的安全威胁
● 物理安全威胁。物理安全的威胁主要表现在:软件资产(应用软件、操作系统、数据库等)和硬件资产(计算机及外设、网络设备、UPS设备、视频监控设备等)、面临自然灾害(如火灾、雷击)、环境事故(如断电、鼠患)及不法分子通过物理手段进行的违法犯罪等威胁。
● 网络安全威胁。网络安全威胁主要表现在:病毒、木马造成网络拥塞与瘫痪;内部ARP攻击、洪水攻击、DDOS攻击;VLAN划分不当形成大量的冲突域造成网络风暴;黑客的入侵造成内部数据的泄密和丢失等。
● 数据安全威胁。数据安全威胁主要表现在:数据丢失;数据被破坏或删除;财务账务数据及审计信息被窃取;数据被人恶意篡改;不可预测的灾难导致数据库的崩溃等。
2.可能存在的安全隐患
● 网络规划不完善。信息网络建设的初期,主要是以保障企业应用的功能和性能为主,没有把构建信息安全体系作为主要的功能来实现。虽然后来采取了打补丁的方式进行了一些安全加固的措施,但安全措施较为零散,缺乏整体性和系统性。
● 技术设计不完善。随着电脑技术的不断发展,一些技术上的漏洞和设计方面的缺陷也就随之而来。这些缺陷主要表现在计算机操作系统、数据库、网络软件及应用软件等各个层次及网络设备本身存在的技术安全漏洞等。
● 安全管理不完善。由于信息安全管理制度不健全或贯彻落实不够;企业员工的安全防范意识不强;构建安全体系的资金投入与运维现状需求存在矛盾等因素,导致安全管理层面的安全措施及安全技术难以有效实施。
针对上述分析,构建一个规范的信息安全保障体系必须从管理、技术两方面着手,通过有效的措施把可能面临的安全威胁最大限度地弱化,同时针对信息系统的“弱点”进行改进,以此降低潜在的安全危险。
企业信息安全系统解决方案拓扑结构:
|