近年來����,
隨著企業(yè)信息化進程的不斷推進�����,信息系統(tǒng)得到了日益廣泛的應(yīng)用���。企業(yè)各部門對信息系統(tǒng)的依賴性不斷增長,信息系統(tǒng)的脆弱性也日益暴露����。如何規(guī)范日趨復(fù)雜的信息系統(tǒng)安全保障體系建設(shè),如何進行信息系統(tǒng)風(fēng)險評估保護企業(yè)的信息資產(chǎn)不受侵害��,已成為當(dāng)前行業(yè)實現(xiàn)信息化運作亟待解決的問題����。
信息安全風(fēng)險評估
1.可能面臨的安全威脅
物理安全威脅����。物理安全的威脅主要表現(xiàn)在:軟件資產(chǎn)(應(yīng)用軟件����、操作系統(tǒng)、數(shù)據(jù)庫等)和硬件資產(chǎn)(計算機及外設(shè)��、網(wǎng)絡(luò)設(shè)備�����、UPS設(shè)備�����、視頻監(jiān)控設(shè)備等)���、面臨自然災(zāi)害(如火災(zāi)�����、雷擊)�����、環(huán)境事故(如斷電�、鼠患)及不法分子通過物理手段進行的違法犯罪等威脅。
網(wǎng)絡(luò)安全威脅��。網(wǎng)絡(luò)安全威脅主要表現(xiàn)在:病毒�、木馬造成網(wǎng)絡(luò)擁塞與癱瘓;內(nèi)部ARP攻擊�����、洪水攻擊����、DDOS攻擊����;VLAN劃分不當(dāng)形成大量的沖突域造成網(wǎng)絡(luò)風(fēng)暴;黑客的入侵造成內(nèi)部數(shù)據(jù)的泄密和丟失等��。
數(shù)據(jù)安全威脅�����。數(shù)據(jù)安全威脅主要表現(xiàn)在:數(shù)據(jù)丟失;數(shù)據(jù)被破壞或刪除��;財務(wù)賬務(wù)數(shù)據(jù)及審計信息被竊?����?���;數(shù)據(jù)被人惡意篡改;不可預(yù)測的災(zāi)難導(dǎo)致數(shù)據(jù)庫的崩潰等���。
2.可能存在的安全隱患
網(wǎng)絡(luò)規(guī)劃不完善���。信息網(wǎng)絡(luò)建設(shè)的初期,主要是以保障企業(yè)應(yīng)用的功能和性能為主��,沒有把構(gòu)建信息安全體系作為主要的功能來實現(xiàn)��。雖然后來采取了打補丁的方式進行了一些安全加固的措施����,但安全措施較為零散,缺乏整體性和系統(tǒng)性����。
技術(shù)設(shè)計不完善���。隨著電腦技術(shù)的不斷發(fā)展,一些技術(shù)上的漏洞和設(shè)計方面的缺陷也就隨之而來�����。這些缺陷主要表現(xiàn)在計算機操作系統(tǒng)���、數(shù)據(jù)庫���、網(wǎng)絡(luò)軟件及應(yīng)用軟件等各個層次及網(wǎng)絡(luò)設(shè)備本身存在的技術(shù)安全漏洞等。
安全管理不完善�����。由于信息安全管理制度不健全或貫徹落實不夠����;企業(yè)員工的安全防范意識不強�;構(gòu)建安全體系的資金投入與運維現(xiàn)狀需求存在矛盾等因素,導(dǎo)致安全管理層面的安全措施及安全技術(shù)難以有效實施�����。
針對上述分析,瑞金科技認為��,構(gòu)建一個規(guī)范的信息安全保障體系必須從管理�、技術(shù)兩方面著手,通過有效的措施把可能面臨的安全威脅最大限度地弱化�,同時針對信息系統(tǒng)的“弱點”進行改進,以此降低潛在的安全危險����。
瑞金科技企業(yè)信息安全系統(tǒng)解決方案拓撲結(jié)構(gòu):
