企業運維管理中信息系統安全風險控制探討論文
摘要:為了有效控制運維管理中信息系統的安全風險,文章通過對信息系統控制難點進行研究,分析了現今系統存在的安全風險,并制定了詳細的解決策略。以期能夠對非法訪問、信息篡改的問題進行有效的控制,為今后企業運維管理提供可靠的參考數據,為企業的發展做出有力的支撐。
關鍵詞:企業運維管理;信息系統;安全風險
隨著信息時代的來臨,信息系統和技術已經成為當下各個領域不可或缺以及賴以生存的基礎性建設。現今信息已經成為衡量一個企業綜合競爭水平的重要標志。但是,信息技術在不斷支撐著企業業務開展的同時,其在運維方面也會產生相應的安全風險,主要表現為非法訪問、信息篡改以及信息泄露。這些風險就會對企業的信息安全帶來巨大的隱患。
1信息系統安全風險的控制難點
近年來隨著網絡技術的不斷更新,企業也通過各種安全措施加強了信息系統安全風險的防護措施,但仍存在兩個難點,首先是信息系統的高風險性,由于當下信息系統較為復雜,且漏洞較多,就會使得系統處于高風險性,使得運維人員很難進行控制。其次是當下IP管理以及信息系統的規模逐漸增加,也就使得攻擊源變得多樣化,運維人員無法進行有效的追蹤,也無法進行有效的防護。
2企業運維管理中信息系統安全風險分析
近年來,信息時代的腳步逐漸加快,信息化的水平也在與日俱增。信息技術也以其方便、實用等特點廣泛地應用在各企業之間。而為了更好地將信息技術的最大作用發揮出來,就需要定期對其維護。但是隨著信息系統的應用需求逐漸增加,網絡規模的不斷擴大,使得信息系統的結構愈加復雜,也使得技術漏洞逐漸增加,這就會對企業的信息系統帶來安全隱患。在現今運維管理中信息系統的安全風險主要包括下述幾個方面。
2.1服務器終端層面的風險
服務器終端層面的風險主要分為下述幾個部分:①信息系統的基本安全保密配置不夠完善,管理不夠成熟,這就使得用戶可以私自更改BIOS的啟動順序,使得安全防護產品的失效,從而進行信息的竊取和篡改;②安全風險的報警裝置不夠成熟,不能夠達到預期的效果,通常會由于安全產品之間的兼容性問題失去應用的效用,出現誤報或者漏報的情況。然后就是系統含有漏洞,信息系統最主要的部分就是系統,在當下的企業中應用的操作系統基本上都為Windows系列,而一些停止補丁升級的Windows系統就存在著漏洞,很容易受到侵蝕,進而造成數據的丟失。2.2網絡層面的風險在網絡層面安全風險主要為網絡設備的安全配置不當,通常會開啟多余的服務或者端口,這就存在了被非法訪問的隱患。同時在訪問控制方面不能對接入進行有效的控制,會造成設備非法接入的風險。另外,企業通常不會對用戶進行分層、分級,這就會導致網絡拓撲混亂,使得企業重要的信息資源存在被非法授權訪問的安全隱患。
2.3硬件層面的風險
現今,企業都擁有大量的硬件,且都是采用的國外進口。企業根本無法知曉底層硬件的工作機制,其是否含有隱藏通道等。例如惠普的某型號服務器已經被證實存在后門,這些設備的運維都需要專業的工作人員進行,這也就會使得維修過程容易發生信息篡改或者信息竊取的風險。2.4應用層面的風險應用層面的風險主要就是身份認證的管理不夠完善。管理員的口令較弱、用戶名和密碼過于簡單等都會被攻擊者利用。甚至在當下一些企業還有用戶名公用、濫用的現象,這就更給攻擊者提供了良好的機會,攻擊者可以通過這些漏洞進行水平提權,進而對信息進行竊取,甚至其可以獲取管理者的權限,對系統進行控制,這就會給企業造成巨大的經濟損失。
2.5安全審計層面的風險
在當下的信息系統風險管理都會部署一些安全監測產品,例如防火墻、殺毒軟件等。這些產品只能針對某類安全問題有效,這就使得信息系統的審計工作變得松散,不能形成完整的體系。而且由于系統的兼容性等原因,總會出現誤報、漏報的現象,這就會對審計的作用帶來巨大的影響,使其無法發揮其應有的效用。另外,企業雖然相應的部署了安全管理平臺進行日志的收集,但在當下的信息系統中智能分析能力較弱,不能夠對全局進行有效的監控,也就沒有辦法實現綜合監控和安全風險的態勢分析。
3企業運維管理中信息系統安全風險的控制策略
通過對上述安全風險的問題進行有效的分析,基于信息的特點,本文提出了下述信息系統安全風險的控制策略。
3.1加強信息系統數據資源的安全風險控制
數據資源的風險控制主要從三個方面進行:①存儲安全,可以采用先進的加密技術對信息數據庫進行加密處理,從數據資產產生的源頭進行安全防護體系的構建;②標識安全,通過標識技術對信息進行去區分標注,經過審計后,讓標識與信息系統密不可分,這樣就不會出現信息篡改的問題;③訪問安全,可以采用強制訪問控制的.方式,對訪問主體進行限制。例如,某些數據非管理員權限僅能讀取,不能夠打印或者重新編輯,而一些重要信息限制再無權觀看。
3.2加強信息系統的信息安全風險控制
信息安全主要就是對應用安全進行控制,通過對系統的需求進行有效的分析,設計開發指導驗收運維過程中進行安全保障。同時還要定期對系統進行滲透測試,如果企業的技術較為先進,還可以通過源代碼進行安全風險分析,仔細地對漏洞進行查找,如果發現及時進行修復,長此以往就會不斷提高系統的整體安全性。另外還要將運維過程中出現的問題進行整體分析,這樣就能夠形成較為完善的風險控制規范,為后續的系統安全提供可行性較高的參考數據。
3.3構建運維風險控制平臺
針對認證管理和孤島等問題,就可以億堡壘機為中間體進行控制平臺的構建,形成對企業信息系統全面的安全監控。通過安全防護產品的報警日志和應用系統的審計日志,構建威脅事件的審計模型,構建完善的綜合安全事件分析統計平臺,這樣才能對風險事件進行關聯審計分析,最終實現實時報警的效果。
3.4加強信息系統的管理和梳理
要想切實地提高企業的信息系統運維管理能力,必須要加強信息安全專項檢查,要制定詳細的規范來明確信息系統日常需要進行的管理操作,還要對日常管理的具體細節進行定義,這樣才能使信息系統日常管理規范、明確,繼而使其信息化和制度化。還要閉環管理信息安全風險和運維實踐,防止低層次的信息安全問題發生。另外還要加強專項檢查整體提高信息系統的安全運維能力。同時還要對信息資源進行有效的分類整理,要構建完善的應急備災能力,還要定期對應急備災的能力進行檢測,例如可以臨時構建信息丟失的問題,看其恢復能力,只有這樣才能有效地保障備份能夠及時地恢復。
3.5構建完善的信息風險防護體系
正與邪、矛與盾、攻與防,永遠都是相對存在的。在信息系統風險控制上也是一樣的,要想預防攻擊者的非法入侵,就必須要建立完善的信息風險防護體系。所以,企業要培養構建一支團隊,讓其不斷進行學習,掌握攻擊的技術,然后讓其對企業的防護系統進行破壞,進而完善,只有不斷地從攻擊者的角度去思考,才能夠構建完善的防護體系,只有不斷進行攻防,才能夠更好地提升信息風險防護體系,讓其更好地保護信息系統,防止信息竊取和篡改的問題出現。
4結語
綜上所述,雖然當下企業對信息安全風險的防護工作不斷重視,也構建了許多防護的措施,具備了一些防護能力,但由于信息技術的不斷發展,使漏洞變得更加隱蔽。所以,企業要想穩定發展,必須要采取措施對信息系統安全風險進行運維控制,只有這樣才能有效的保障企業的經濟利益,為企業的發展做出有力的支撐。
參考文獻:
[1]上官琳琳.企業信息系統的管理與運維研究[J].管理觀察,2014(18):100-101+104.
[2]何芬.企業運維管理中信息系統安全風險控制探究[J].信息技術與信息化,2014(5):208-210+212.
[3]石磊,王剛.關于企業信息安全風險管理系統的研究[J].華北電力技術,2013(9):65-70.
[4]姚遠,肖應霖,談向東.信息安全風險管理在企業訪問控制管理中的應用研究[J].信息網絡安全,2012(12):77-79.
[5]利用統一安全運維管理平臺建設企業信息安全可度量體系[J].計算機安全,2011(2):93-94.
【企業運維管理中信息系統安全風險控制探討論文】相關文章: