农业企业信息安全问题.docx
- 文档编号:6672058
- 上传时间:2023-01-08
- 格式:DOCX
- 页数:10
- 大小:29.21KB
农业企业信息安全问题.docx
《农业企业信息安全问题.docx》由会员分享,可在线阅读,更多相关《农业企业信息安全问题.docx(10页珍藏版)》请在冰豆网上搜索。
农业企业信息安全问题
摘要
目前,信息技术高速发展,信息安全问题层出不穷,信息安全成为国家安全的重要组成部分,特别是在企业信息化发展投入比例严重缺乏的农业企业中。
如何在充分利用信息化优势的同时,更好地保护自身的信息资产,已经成为一个严峻的挑战。
特别是近两年来,网络上的病毒、攻击事件频发,信息安全问题正在成为农业企业信息化进程中的难题。
因此为保证信息安全,建立一套适合农业企业的信息安全管理体系已成为目前企业信息安全建设的首要任务。
本文从不同方面分析了目前农业企业面临的安全风险和问题,提出了信息安全工作中要遵循的一般原则,从信息安全技术和安全管理上提出了解决信息安全问题的方法,阐述了信息安全问题随技术和应用的发展而发展,应该在不断发展中求安全的观点。
关键词:
信息安全信息化信息安全管理体系信息安全建设
Abstract
Currently,accompanyingwiththerapiddevelopmentofinformationtechnology,cyber-hazardcasesweremountedcontinuously,consequently,cybersafetyhasbecomeanimportantsegmentfornationalsafety,whichisespeciallyprominentamongagricultureenterprisesthatareseverelyinsufficientforinputoncorporateinformationdevelopment.Asforenterprisesareconcerned,howtobetterprotectlegitimateinformationassets,whileutilizingadvantagesofinformationtechnology,hasbecomeacriticalchallengeforconcernedenterprises.Inrecenttwoyears,particularly,virusattacksonwebsitesareincreasinglyfrequent,whichhavebecomeabottleneckforagricultureenterprisesprogressingwithcyberprocedures.Therefore,issuesofensuringinformationsafety,settingupseriesofharborsystemcoveringinformationsafetyforagricultureenterprises,havebecometopprioritytasksforcorporateinformationsafetyatpresent.
Theobjectivesforthisthesisare,toanalyzecurrentrisksandissuesoncyberinformationamongagricultureenterprisesfromdifferentperspectives,proposinggeneralprinciplesthatenterprisesshouldobserveinconductingcybersafetymeasures,puttingforwardapproachesindealingwithinformationsafetyissuesbothinaspectofcybersafetytechnologyandsafetymanagement,citingthefocuspointthatissueofcybersafetyshouldneckandneckwithdevelopmentoncybertechnologyandimplementationandseekingconsecutivebreakthroughs.
Keywords:
informationsafety,informationtransformation,informationsafetymanagementsystem,constructiononinformationsafety.
前言
当今时代,信息是一个国家最重要的资源之一,信息与网络的运用亦是二十一世纪国力的象征,以网络为载体、信息资源为核心的新经济改变了传统的资产运营模式,没有各种信息的支持,企业的生存和发展空间就会受到限制。
信息的重要性使得他不但面临着来自各方面的层出不穷的挑战,因此,需要对信息资产加以妥善保护。
正如中国工程院院长徐匡迪所说:
“没有安全的工程就是豆腐渣工程”。
信息同样需要安全工程。
而人们在实践中逐渐认识到科学的管理是解决信息安全问题的关键。
信息安全的内涵也在不断的延伸,从最初的信息保密性发展到信息的完整性、可用性、可控性和不可否认性,进而又发展为“攻(攻击)、防(防范)、测(检测)、控(控制)、管(管理)、评(评估)”等多方面的基础理论和实施技术。
如何保证组织一直保持一个比较安全的状态,保证企业的信息安全管理手段和安全技术发挥最大的作用,是企业最关心的问题。
同时企业高层开始意识到信息安全策略的重要性。
目前,信息安全的重点放在了保护信息,确保信息在存储、处理、传输过程中及信息系统不被破坏,确保对合法用户的服务和限制非授权用户的服务,以及必要的防御攻击的措施。
即强调信息的保密性、完整性、可用性、可控性。
一、信息化的内涵、信息资源的性质及信息的安全问题
“信息化”一词最早是由日本学者于20世纪六十年代末提出来的。
经过40多年的发展,信息化已成为各国社会发展的主题。
信息作为一种特殊资源与其他资源相比具有其特殊的性质,主要表现在知识性、中介性、可转化性、可再生性和无限应用性。
由于其特殊性质造成信息资源存在可能被篡改、伪造、窃取以及截取等安全隐患,造成信息的丢失、泄密,甚至造成病毒的传播,从而导致信息系统的不安全性,给农业企业的信息化建设带来不利影响。
因此,如何保证信息安全成为亟须解决的重要问题。
信息安全包括以下内容:
真实性,保证信息的来源真实可靠;机密性,信息即使被截获也无法理解其内容;完整性,信息的内容不会被篡改或破坏;可用性,能够按照用户需要提供可用信息;可控性,对信息的传播及内容具有控制能力;不可抵赖性,用户对其行为不能进行否认;可审查性,对出现的网络安全问题提供调查的依据和手段。
与传统的安全问题相比,基于网络的信息安全有一些新的特点:
一是由于信息基础设施的固有特点导致的信息安全的脆弱性。
由于因特网与生俱来的开放性特点,从网络架到协议以及操作系统等都具有开放性的特点,通过网络主体之间的联系是匿名的、开放的,而不是封闭的、保密的。
这种先天的技术弱点导致网络易受攻击。
二是信息安全问题的易扩散性。
信息安全问题会随着信息网络基础设施的建设与因特网的普及而迅速扩大。
由于因特网的庞大系统,造成了病毒极易滋生和传播,从而导致信息危害。
三是信息安全中的智能性、隐蔽性特点。
传统的安全问题更多的是使用物理手段造成的破坏行为,而网络环境下的安全问题常常表现为一种技术对抗,对信息的破坏、窃取等都是通过技术手段实现的。
而且这样的破坏甚至攻击也是“无形”的,不受时间和地点的约束,犯罪行为实施后对机器硬件的信息载体可以不受任何损失,甚至不留任何痕迹,给侦破和定罪带来困难。
二、农业企业信息安全风险分析
随着企业信息化的发展,企业在生产、经营管理等活动中越来越依赖于计算机信息系统,一旦这些系统遭到破坏,势必会造成数据损坏,信息泄漏等问题,则将对农业企业的生产管理以及经济效益等造成不可估量的损失,高新技术在带来便利与效率的同时,也带来了新的安全风险和问题。
如何解决农业企业信息安全风险,首先就要对企业信息安全风险进行评估,然后才能找到相应的解决措施,减少损失。
(一)信息安全风险评估与评估工具
1、信息安全风险评估
风险评估是对信息及信息处理设施的威胁、影响、脆弱性及三者发生的可能性的评估。
它是确认安全风险及其大小的过程,即利用定性或定量的方法,借助于风险评估工具,确定信息资产的风险等级和优先风险控制。
风险评估是风险管理的最根本依据,是对现有网络的安全性进行分析的第一手资料,也是网络安全领域内最重要的内容之一。
企业在进行网络安全设备选型、网络安全需求分析、网络建设、网络改造、应用系统试运行、内网与外网互联、与第三方业务伙伴进行网上业务数据传输、电子政务等业务之前,进行风险评估会帮助组织在一个安全的框架下进行组织活动。
它通过风险评估来识别风险大小,通过制定信息安全方针,采取适当的控制目标与控制方式对风险进行控制,使风险被避免、转移或降至一个可被接受的水平。
信息安全评估是信息安全生命周期中的一个重要环节,是对企业的网络拓扑结构、重要服务器的位置、带宽、协议、硬件、与Internet的接口、防火墙的配置、安全管理措施及应用流程等进行全面的安全分析,并提出安全风险分析报告和改进建议书。
信息安全风险评估经历了很长一段的发展时期。
最主要的是,风险评估的过程逐渐转向自动化和标准化。
应用于风险评估的工具层出不穷,越来越多的科研人员发现,自动化的风险评估工具不仅可以将分析人员从繁重的手工劳动中解脱出来,最主要的是它能够将专家知识进行集中,使专家的经验知识被广泛的应用。
2、信息安全评估的作用
信息安全评估具有如下作用:
(1)明确企业信息系统的安全现状。
进行信息安全评估后,可以让企业准确地了解自身的网络、各种应用系统以及管理制度规范的安全现状,从而明晰企业的安全需求。
(2)确定企业信息系统的主要安全风险。
在对网络和应用系统进行信息安全评估并进行风险分级后,可以确定企业信息系统的主要安全风险,并让企业选择避免、降低、接受等风险处置措施。
(3)指导企业信息系统安全技术体系与管理体系的建设。
对企业进行信息安全评估后,可以制定企业网络和系统的安全策略及安全解决方案,从而指导企业信息系统安全技术体系(如部署防火墙、入侵检测与漏洞扫描系统、防病毒系统、数据备份系统、建立公钥基础设施PKI等)与管理体系(安全组织保证、安全管理制度及安全培训机制等)的建设。
3、主要的信息安全评估标准
信息安全评估标准是信息安全评估的行动指南。
可信的计算机系统安全评估标准(TCSEC,从橘皮书到彩虹系列)由美国国防部于1985年公布的,是计算机系统信息安全评估的第一个正式标准。
它把计算机系统的安全分为4类、7个级别,对用户登录、授权管理、访问控制、审计跟踪、隐蔽通道分析、可信通道建立、安全检测、生命周期保障、文档写作、用户指南等内容提出了规范性要求。
国内主要是等同采用国际标准。
公安部主持制定、国家质量技术监督局发布的中华人民共和国国家标准GB17895-1999《计算机信息系统安全保护等级划分准则》已正式颁布并实施。
该准则将信息系统安全分为5个等级:
自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级。
主要的安全考核指标有身份认证、自主访问控制、数据完整性、审计等,这些指标涵盖了不同级别的安全要求。
GB18336也是等同采用ISO15408标准。
4、信息安全风险评估工具
目前对风险评估工具的分类还没有一个统一的理解。
部分文献将风险评估工具被分为三类:
预防、相应和检测。
通常情况下技术人员会把漏洞扫描工具称为风险评估工具。
确实在对信息基础设施进行风险评估过程中,漏洞扫描工具发挥着不可替代的作用,通过漏洞扫描工具发现系统存在的漏洞、不合理配置等问题,根据漏洞扫描结果提供的线索,利用渗透性测试分析系统存在的风险。
随着人们对信息资产的深入理解,发现信息资产不只包括存在于计算机环境中的数据、文档,信息在组织中的各种载体中传播,包括纸质载体、人员等,因此信息安全包括更广泛的范围。
同时,信息安全管理者发现解决信息安全的问题在于预防。
在此基础上,许多国家和组织都建立了针对于预防安全事件发生的风险评估指南和方法。
基于这些方法,开发出了一些工具,如CRAMM、RA等,这些工具统称为风险评估工具。
其实,一个完整的风险评估所考虑的问题不只关键资产在是某个时间状态下的威胁、脆弱点情况,以往一段时间内的攻击情况和安全事故都是风险分析过程中用于确定风险的客观支持。
那么对这些攻击事件的检测和记录工具也是风险评估过程中不可缺少的工具。
因此,将入侵监测系统也作为风险评估工具的一种。
可见,对风险评估工具的类型划分是人们在对信息安全风险评估不断认识、以及对评估过程不断完善的过程中逐渐形成的。
(二)农业企业信息安全的主要风险分析
信息安全风险和信息化应用情况密切相关,和采用的信息技术也密切相关,农业企业信息系统面临的主要风险存在于如下几个方面:
1、信息安全技术问题
(1)计算机病毒的威胁最为广泛:
计算机病毒自产生以来,一直就是计算机系统的头号敌人,在农业企业信息安全问题中,计算机病毒发生的频度大,影响的面宽,并且造成的破坏和损失也列在所有安全威胁之首。
病毒感染造成网络通信阻塞,系统数据和文件系统破坏,系统中多年积累的重要数据的丢失,损失是灾难性的。
特别是在目前的局域网建成,广域网联通的条件下,计算机病毒的传播更加迅速,感染和破坏规模与网络尚未联通之时相比,高出几个数量级。
(2)网络安全问题日益突出:
企业网络的联通为信息传递提供了方便的途径。
企业内部职工可以通过互联网方便地收集获取信息,发送电子邮件等。
但同时网络联通也带来了网络安全问题。
企业内部广域网上的用户数量多且难于进行管理。
内部网,互联网上的一些用户出于好奇的心理,或者蓄意破坏的动机,对公司网络上的连接的计算机系统和设备进行入侵,攻击等,影响网络上信息的传输,破坏软件系统和数据,盗取企业商业秘密和机密信息,非法使用网络资源等,给企业造成巨大的损失。
更有极少数人利用网络进行非法的,影响国家安定团结的活动,造成很坏的影响。
如何加强网络的安全防护,保护企业内部网上的信息系统和信息资源的安全,保证对信息网络的合法使用,是目前一个热门的安全课题,也是农业企业面临的一个非常突出的安全问题。
(3)信息传递的安全不容忽视:
随着办公自动化,财务管理系统等生产,经营方面的重要系统投入在线运行,越来越多的重要数据和机密信息都通过企业的内部广域网来传输。
同时农业企业和外部的政府,研究院所,以及国外有关公司都有着许多的工作联系,日常许多信息,数据都需要通过互联网来传输。
网络中传输的这些信息面临着各种安全风险,例如被非法用户截取从而泄露企业机密;被非法篡改,造成数据混乱,信息错误从而造成工作失误。
非法用户还有可能假冒合法身份,发送虚假信息,给正常的生产经营秩序带来混乱,造成破坏和损失。
因此,信息传递的安全性日益成为企业信息安全中重要的一环。
(4)用户身份认证和信息系统的访问控制急需加强:
企业中的信息系统一般为特定范围的用户使用,信息系统中包含的信息和数据,也只对一定范围的用户开放,没有得到授权的用户不能访问。
为此各个信息系统中都设计了用户管理功能。
这些措施在一定能够程度上加强系统的安全性。
但在实际应用中仍然存在一些问题。
诸如用户权限管理功能过于简单等,如何为各应用系统提供统一的用户管理和身份认证服务,是我们开发建设应用系统时必须考虑的一个共性的安全问题。
(5)电子商务的安全逐步提上议事日程:
随着计算机信息系统在市场营销,财务管理等业务中的深入应用,电子商务在农业企业的应用开始起步。
随着电子商务在农业企业中的应用逐步推广和深入,如何保障电子交易的安全,可靠,即电子商务安全问题也会越来越突出。
2、农业企业安全意识普遍薄弱
农业企业相对其他企业来说,信息资产方面的积累相对较为薄弱,并且很多时候这种积累并非企业的有意识行为,所以在正常的信息化应用情况下,往往会忽视对自己信息资产的保护,而只有在信息资产受到破坏,形成了实际的经济及附加损失的情况下,才会开始意识和重视这一方面的问题。
也即农业企业存在着待保护资产价值相对较低以及由此衍生的信息资产难以清晰界定的问题,可以说,这种农业企业的信息资产管理现状,是造成农业企业信息安全问题的主要内因之一。
受文化环境等综合因素的影响,国人往往对于安全防范存在一种惰性和漠视,而联系到实际,农业企业员工甚至管理者普遍都存在着安全意识薄弱的问题,例如我们举一个很常见的例子,在实施信息安全项目的过程中,经常可以遇到企业员工安装公司不允许使用的软件、中止安装在自己PC上的安全产品客户端等诸如此类的事件,造成这些问题的原因是多种多样的,一些最常见的理由如:
我需要这个软件完成我的工作、我需要机器的速度更快一些等等,但其实发生这种情况的最核心因素,是这些员工没有足够的信息安全意识,他们往往因为自己的便利而违反信息安全规章,也往往意识不到,因为自己的这种行为,会将其他同事乃至整个公司的信息资产推向危险的境地。
这给我们一个最重要的启示:
安全设施的建立只是企业信息安全的第一步,如何在构建完成的安全体系中有效彻底的贯彻事先制订的信息安全策略以及不断深化企业的全员信息安全意识将处于更加重要的地位。
要达到这样的目标,需要企业决策层的大力支持、定期实施安全培训教育以及定期评估和调整安全政策,这样才能保证企业安全体系处于应有的健康状态。
3、投入能力相对较差
农业企业的资金状态,决定了其信息化投入遇到的限制相对较多。
企业相对紧缩的资金,往往要优先投入到直接促进公司业绩增长的方向,而无形中就回避了信息资产所面临的巨大风险;特别是在当下,越来越多的企业业务与互联网发生密切的联系,甚至很多企业的业务完全建立在互联网之上,以平均不到企业总收入1%的信息安全投入,如何能保障这些业务的正常运行?
虽然中小企业不可能动辄拿出几十万乃至上百万的资金用于信息安全系统建设,但还是应该针对自身情况,尽可能使投入比例接近常规,至少应该使核心信息资产的防护得到保证,从实际情况来讲,在良好的安全理念指导下,进行细致的规划和评估,通过适当的投入也是可以达到较好的整体效果的,因为毕竟在农业企业的应用情境下,防御广度是相对容易控制的;其实这个现实情况也对信息安全产品厂商提出了更高的要求,虽然目前信息安全产品的价格正在以比较快的速度下降,在市场上也出现了很多廉价的产品,但这些产品的价格下调除了可以归因于正常的产品生命周期变化,其对性能或者说功能的牺牲也是不可排除的一个因素,例如说,几年前购置一款硬件防火墙少说要几万元,而现在各个厂商的产品线里基本都包含了千元级的产品,这种产品的性能应付工作组级计算环境绰绰有余,基础功能也得到了很好的实现,从这个方面看似乎能够大大缓解农业企业的需要,但从实际应用的角度,单纯的在性能和功能上进行削减并不是完美的解决方式,农业企业对信息安全产品的要求也不是简约版产品这么简单,在达到基本性能和功能要求的基础之上,还需要充分发掘农业企业的应用方式及习惯,设计出体现其规律和特点的真正适合农业企业的产品,才能从根本上满足农业企业信息安全需求。
另外,不得不重申的是,购置产品仅仅只是企业信息安全工作的步骤之一,我们不能只将眼光放在产品的选择上,相关的安全政策制订、培训计划的选择和实施等问题同样是信息安全投入不可或缺的组成部分,这些“软性投入”对企业信息安全的影响往往更加深远,也更加需要企业决策者仔细考量,因为在投入受限的情况下,往往会造成决策层只注重硬件设施投入而不注重管理实施的开展,以及将有限的投入花费在局部问题上,造成信息安全“短板效应”,从而无法保证信息安全设施的完整性,最终造成信息安全实施的失败。
3、技术力量匮乏
客观的说,信息安全领域的知识和技能在IT领域应可归类于高阶层面,因为信息安全从业人员不只纵向上要对各项工作有精深的理解,横向上还需要对信息系统的整体逻辑乃至企业的业务逻辑有丰富的认知,特别是在经验上往往有相当高的要求,这从很大程度上造成了农业企业很难具备足够的技术力量来保障信息安全设施的运转;其实抛开信息安全技术力量储备不论,即使是应用层面的信息技术力量,在农业企业中也经常出现不敷使用的状况,很多较大规模的其他企业,也只能做到保证有专人负责信息化工作而已,而愈向农业企业探究,愈会发现这种技术力量不足的情况所造成影响,而且在没有专职信息技术人员的情况下,信息化事务所需要的时间和资源往往与公司业务运营发生正面冲突,使实际情况更趋恶化,而且这个问题往往会造成连带反应,即信息安全专业人员的缺乏,既造成了信息安全理念的传播无法形成内部源头,也导致了在评估投入时难于做出正确决策。
三、解决信息安全问题的基本原则
解决农业企业信息安全问题,关键在于建立和完善农业企业信息安全防护体系。
总体对策是在技术层而上建立完整的网络安全解决方案,在管理层而上制定和落实一套严格的网络安全管理制度。
(一)信息安全技术对策
1、做好安全风险的评估
进行安全系统的建设,首先必须做好安全状况评估分析,全面进行信息安全风险评估,找出问题,确定需求,制定策略,再来实施,实施完成后还要定期评估和改进。
信息安全系统建设着重点在安全和稳定,应尽量采用成熟的技术和产品,不能过分求全求新。
培养信息安全专门人才和加强信息安全管理工作必须与信息安全防护系统建设同步进行,才能真正发挥信息安全防护系统和设备的作用。
2、采用信息安全新技术,建立信息安全防护体系
企业信息安全面临的问题很多,我们可以根据安全需求的轻重缓急,解决相关安全问题的信息安全技术的成熟度综合考虑,分步实施。
技术成熟的,能快速见效的安全系统先实施。
3、计算机防病毒系统
计算机防病毒系统是发展时间最长的信息安全技术,从硬件防火墙,单机版防病毒软件到网络版防病毒软件,到企业版防病毒软件,技术成熟且应用效果非常明显。
防病毒软件系统的应用基本上可以防治绝大多数计算机病毒,保障信息系统的安全。
4、网络安全防护系统
信息资源访问的安全是信息安全的一个重要内容,在信息系统建设的设计阶段,就必须仔细分析,设计出合理的,灵活的用户管理和权限控制机制,明确信息资源的访问范围,制定信息资源访问策略。
(1)建立农业企业网络的权限控制模块。
网络的权限控制是针对网络非法操作所提出的一种安全保护措施。
用户和用户组被赋予一定的权限。
可以根据访问权限将用户分为3种类型:
特殊用户(系统管理员);一般用户,系统管理员根据他们的实际需要为他们分配操作权限;审计用户,负责网络的安全控制与资源使用情况的审计。
(2)建立网络服务器安全设置模块。
网络服务器的安全控制包括设置口令锁定服务器控制台;设置服务器登录时间限制、非法访问者检测和关闭的时间间隔;安装非法防问设备等。
(3)建立档案信息加密制度。
保密性是计算机系统安全的一个重要方面,主要是利用密码信息对加密数据进行处理,防止数据非法泄漏。
利用计算机进行数据处理可大大提高工作效率,但在保密信息的收集、处理、使用、传输同时,也增加了泄密的可能性。
因此对要传输的信息和存储在各种介质上的数据按密级进行加密是行之有效的保护措施之一。
(4)建立网络智能型日志系统。
日志系统具有综合性数据记录功能和自动分类检索能力。
在该系统中,日志将记录自某用户登录时起,到其退出系统时止,这所执行的所有操作,包括登录失败操作,对数据库的操作及系统功能的使用。
日志所记录的内容有执行某操作的用户和执行操作的机器IP地址、操作类型、操作对象及操作执行时间等,以备日后审计核查之用。
(5)建立完善的备份及恢复机制。
为了防止存储设备的异常损坏,可采用由热插拔SCS
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 农业 企业信息 安全问题