企业信息化管理与信息安全 浅谈 珠海市科技工贸和信息化局 2013年12月
目 录 企业信息化概述 信息化管理与信息安全 企业信息安全基础
企业信息化概述
企业信息化概述 信息化建设主要的要素 硬件:网络、服务器、机房、终端等物理设施设备; 软件:通用软件(OS和专业软件)、应用软件; 信息:关于客观事物可通信的标识,经过加工的数据; 流程:一组将输入转化为输出的相互关联的活动; 软件:定义是为实现某个目标建立的计算机程序,有时会和信息系统这个词混用,但个人认为信息系统更大,包括软硬件、数据、人员和制度; 信息:有目的地标记在通讯/信息系统里的信号;信息系统传输和处理的信号; 数据;已成为各个组织的重要资产; 流程:国际标准化组织在ISO 9001:2000质量管理体系标准中给出的定义是:“流程是一组将输入转化为输出的相互关联或相互作用的活动”。
企业信息化概述 企业信息化应用主要方面 行政管理:OA、HR、财务; 生产管理:设计、生产和资源计划ERP; 营销、销售管理:CRM、电子商务、社交营销、客服 除内部涉密系统,均应与门户网站相结合 CRM:客户资源管理 社交软件营销与社交软件作为客服反馈
企业信息化概述 企业信息化主要目标 资源配置科学合理 流程可控 决策支持
企业信息化概述 企业信息化几种方式 完全自主:自有数据中心、自主开发软件系统 基本外包:主要使用购买、租赁的软硬件,IT服务外包 两者结合:租赁数据中心级硬件,自行管理;自主建设业务管理软件,软件开发外包;信息安全内部管理,安全评估与加固外包; 软件供应商虽然能够提供软件,但是由于其对行业业务认识不深,导致他们所提供的软件往往在细节方面不能满足相应企业的需求。 自主开发信息系统成本太高,不如交给软件供应商。外包:年年失望年年望
信息化管理与信息安全
信息化管理与信息安全 信息安全6个目标 进不来——非授权者 拿不走——权限不够 看不懂——没有密钥 改不了——完整保护 跑不了——证据充分 弄不坏——冗余备份
信息化管理与信息安全 信息安全6个目标 进不来 拿不走 改不了 看不懂 跑不了 有备份
信息化管理与信息安全 常见的攻击手段 技术手段—— 病毒 渗透 拒绝服务 窃听 伪造 干扰、毁坏 社会手段—— 偷窃 疏忽利用 贿赂
信息化管理与信息安全 对应的防护措施 技术手段—— 防病毒(杀毒) 隔离 认证 加密 审计 冗余、备份 管理手段—— 组织 制度 培训 运维
信息化管理与信息安全 信息安全相关法制 全国人大常委会在2012年12月通过《 关于加强网络信息保护的决定》
信息化管理与信息安全 信息安全相关政策 《2006―2020年国家信息化发展战略》中重点提出此阶段要建设国家信息安全保障体系,即建立和完善信息安全等级保护制度,重点保护基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统。 等级保护是国家强制性的推行的标准,是一套完整的安全保障体系的思想和方法,是今后一段时间内国家信息安全的基本制度,是一段时期内信息安全工作的根本方法; 信息安全的工作思路、解决方案、工作规划、产品采购、安全集成都将依据等级保护进行,摆脱了以往安全建设的盲目性。 等保三级以上系统逐步开始强制执行和定期进行符合性测评。 全国人大常委会在2012年12月通过《 关于加强网络信息保护的决定》
信息化管理与信息安全 等级保护体系 1 2 3 4 5 6 系统定级 安全规划设计 安全实施 安全运维 系统终止 系统定级服务 差距分析评估 系统规划与方案设计服务 系统整改与集成实施服务 等保合规审计 基础运维服务 辅助测评服务 系统识别描述 系统等级划分 安全等级确定 协助定级备案 安全需求分析 等保体系设计 安全建设规划 整改方案设计 等级保护技术实施 等级保护管理实施 等保测评辅助 运行管理和控制 变更管理和控制 安全状态监控 安全事件处置与应急 安全检查和持续改进 监督检查协助 1 2 3 4 5 6 全国人大常委会在2012年12月通过《 关于加强网络信息保护的决定》
企业信息安全基础
企业信息安全基础 信息安全3要素 机密性:防止泄漏,企业的商业机密如核心产品或服务的开发、设计文档;客户的敏感信息如信用卡信息、订单信息甚至联系方式等,在市场竞争日益激烈的今天,关乎企业的生死存亡。 完整性:错误的或被篡改的不当信息可能会导致错误的决策或商业机会甚至信誉的丧失,企业需保证在电子商务世界中的诚信守法经营形象。 可用性:防止由于人员、流程和技术服务的中断而影响业务的正常运作,业务赖以生存的关键系统的失效,如不能得到及时有效的恢复,则会造成重大的损失。
企业信息安全基础 信息安全管理基础 1.重要信息资产识别,设定资产管理人。 常见的数据信息应该包括如商业数据如客户及合作伙伴信息,企业专利及其它智慧财产,财务数据如合同、订单,企业知识库如产品、服务相关文档,网络及系统相关配置等。 2.设定安全级别,制定保护战略。 一般分为:机密级,只能有极少数有需要的人员得知,如研发机密,这些如果暴露,会危及企业存亡;敏感级,企业内部及可信合作伙伴才可分享,如果暴露,企业可能会遭受一定的损失;公开级,经管理层批复后可以公开发布的信息。 为实现机密性、完整性、可用性三个目标,可以有这样
企业信息安全基础 关于计算机使用安全 安装防病毒软件,保持可用状态; 设置开机密码,使用屏幕保护和密码,暂时离开电脑时将电脑锁定; 关闭默认共享,设置用户访问密码; 陌生的电子邮件,附件不要轻易打开; 做好数据备份; 移动存储设备插入前先杀毒; 不下载未知来源的软件; 不使用盗版软件;
企业信息安全基础 关于数据备份 建立严格的备份制度,落实到具体的岗位/人员; 备份应进行全面性备份或关键数据备份; 建立多套备份(不同介质、不同地点); 建立备份的时间策略; 做好备份的登记工作; 做好备份数据的检查。
企业信息安全基础 关于数据备份 数据存储安全:1.纸介质之外,2.磁带、光盘备份也是我们传统的做法,如果考虑到以前的投资的话,可以继续坚持一些时间;此前没有太多投资的话,3.可以使用移动存储介质、硬盘及磁盘阵列,在十年前这东西还很昂贵,现在已经非常便宜,甚至有很成熟简便的产品供我们选择。4.非密小数据:互联网在线存储备份服务 这里需要提醒的是:备份后的数据要放在一个和主要数据物理点不同的、有隔一段距离的、安全的地方。
谢谢! 和我交流: 蔺波,linbo@zhciq.gov.cn