企业信息安全的问题精选(十四篇)
发布时间:2023-10-09 17:41:42
序言:作为思想的载体和知识的探索者,写作是一种独特的艺术,我们为您准备了不同风格的14篇企业信息安全的问题,期待它们能激发您的灵感。
篇1
马良 哈尔滨电站集团
摘要:信息化建设是企业打造发展潜力,营造核心竞争力的重要手段,特别在知识和网络时代更是要把握信息化建设的方向,在
加速企业信息化建设的同时,要注意信息安全的保障工作,形成企业信息化建设进程和建设成果的基础。本研究立足于企业信息化建
设的实践与理论研究工作实际,分析了建设和实现企业信息化的过程中来自于内部的因素和外部的制约,对企业信息化建设实现提供
了意识、管理、软件等方面的措施,并展开了相关论述。
关键词:企业信息化;信息安全;内部因素;外部制约;管理
前言
企业信息化建设是促进企业现代化和加速发展的必然途径,
当前,企业信息化建设已经成为企业建设的重要组成和关键内
容,通过企业信息化建设,企业的生产和流通可以迅速地提升,
在互联互通的基础上,形成现代企业的模式和发展途径。当前企
业信息化建设中受到了来自内部认知、操作、系统和管理方面等
因素的影响,以及来自于外部网络、病毒、黑客的侵入,出现较
为严重的企业信息安全问题,不但不利于企业信息化建设的进
而,而且会给企业信息安全、管理活动和生产活动带来负面影响。
应该从认知上对企业信息化建设工作加强重视,形成适于企业信
息化建设的管理体系和措施,加速企业信息安全软件的发展和应
用,真正形成对企业信息化建设过程中安全问题的强化,更好地
服务于企业发展和稳定。
1.企业信息化建设的价值
企业信息化建设具有经济价值,通过信息化企业的生产效率
得到提高,特别在提升企业生产力水平的方面信息化有着特殊的
积极意义,形成了为企业扩大经济优势和竞争有事的有力武器。
企业信息化建设具有管理价值,通过信息化企业的管理变得更加
具有针对性和效率,使管理工作更加适合企业发展和时代进步的
需要。企业信息化建设具有社会价值,通过信息化企业的建设,
整个社会的信息化水平和科技水平得以迅速提升,在实践和谐社
会的创建中起到了核心的地位和价值。
2.企业信息化建设中安全问题的具体分析
建设企业信息化是当前社会和企业的综合性目标,企业信息
化建设过程中会受到各方面影响,进而会产生安全方面的问题,
不但会降低企业信息化建设的质量和速度,更会形成企业信息化
的安全制约,导致企业和社会发展受到强烈的限制,因此,在企
业信息化建设中要高度重视安全方面的问题,应该从安全问题的
产生分析入手,实现对企业信息化安全的有效控制。
2.1 企业信息化建设安全问题的内部因素
一是,企业的整体上存在对安全问题的意识认识不足的问
题,特别对于企业信息化建设的价值没有一个高度重视的态度,
由于没有看清企业信息化的优势,导致企业信息化的安全方面存
在着忽视的问题。二是,信息化软件建设存在问题,当前适于企
业信息化建设的软件数量上和质量上都存在着不足,特别是距国
外先进软件还有范围和水平上的很大差距,这使得企业信息化软
件容易受到病毒和黑客的侵扰,最终会出现软件的种种问题,进
而影响企业信息化建设的安全[1]。三是,企业信息化操作出现问
题,由于企业信息化属于一个崭新的概念,因此,容易出现操作
人员数量不足或操作水平不高,这会影响企业信息化操作出现种
种问题,直接或间接地对企业信息化产生安全方面的影响。四是,
企业信息化管理存在的问题,安全管理是企业信息化的基本保
障,但是,由于企业信息化过程时间不长,出现企业信息化管理
人才上的不足和欠缺,对于企业信息化安全形成直接的重大影
响。五是,企业信息化建设的法律和规范尚不健全和完整,很多
规范属于范围性规范,导致其难于形成对细节的控制和约束,不
能发挥法律和规范对企业信息化建设实际的指导作用,特别对于
信息安全的相关规定更是少之又少,最终导致企业信息化建设不
能够得到法律的保证,严重影响了企业进行信息化建设的积极
性。
2.2 企业信息化建设安全问题的外部制约因素
外部对于企业信息化建设安全的制约来足浴各方面,当前越
来越多的不法分子看到了企业信息资源的潜在价值,利用各种非
法措施和违法手段入侵企业信息系统,窃取企业重要的信息和数
据,进而达到非法获取不当利益的目的,这对企业信息化建设带
来严重的安全问题。此外,来自同行企业的非法入侵也会引起企
业信息化建设安全问题,这会形成对企业竞争上和策略上的伤
害,进而失去企业发展和壮大的基础。
3.企业信息化建设中实现信息安全的措施
3.1 树立企业正确的安全意识
新时期企业要认识到如果企业机密被泄漏,那么对企业所造
成的打击是非常巨大的,同时也给竞争对手创造了有利的机会。
因此树立正确的安全意识对于企业是非常重要的,这样才能为后
面的工作打下良好的基础。
3.2 选择安全性能高的企业信息软件
企业在选择安全软件时应尽量选择安全性能高的,不要为节
省企业开支而选择性能差的防护软件,如果出现问题其造成的损
失价值会远远的大于软件价格。
3.3 加强企业的管理工作
针对信息安全的种类和等级制定出行之有效的方案,并提前
制定出如果发生了特定的信息安全事故企业应采取哪种应对方
案。当企业信息安全危机发生时,企业应快速成立处理小组,根
据信息安全危机的处理步骤和管理预案,做好危机处理工作,避
免出现由于不当处置而导致的连锁危机的发生。另外,还应在企
业内部做好信息安全的培训和教育工作,提高工作人员对安全危
机事件的处理能力。
结语
总而言之,企业信息化建设是企业的重要基础建设项目,与
其他建设工程具有较大差异的是,企业信息化建设更加注重安
全,只有坚持安全为中心,形成安全的保障体系,以行之有效的
预防性措施和管理手段达到对企业信息化建设的安全。本文在最
后要重点强调,当前的企业应该在战略制定、方案选择、安全行
为控制的方面入手,实现企业信息化建设的系统化和整体性,这
样才能实现企业信息化的价值,为稳定、健康、高效、安全的企
业运行打好基础。
参考文献:
[1]张耀辉.关于企业信息化建设中的信息安全探讨[J].电子技
术与软件工程,2013(14):128.
[2]秦海峰.企业信息化建设中信息安全问题的分析研究[J].中
国信息界,2012(05):46-47.
[3]成杨,金敏力.中小企业信息化建设存在的问题及对策研究
[J].办公自动化,2007(10):69-70.
[4]朱泽民,陈琛.中小企业信息化建设模式的分析与比较[J].企
业技术开发,2008(01):58-60.
作者简介:
马良,男,1982年5月1日,汉,籍贯:哈尔滨,本科,毕业
篇2
一、企业信息化建设过程中信息安全的问题
一般情况下能造成企业内部信息安全问题的原因分为外部原因和内部原因,可是不管是内部原因还是外部原因都会对企业的信息系统的安全带来隐患。
1.1企业内部因素
第一个方面是企业的信息安全意识不强,虽然是现在有很多的企业加快企业内部信息化建设的进程,但是有些企业只是在表面上看到信息化建设所带来的优势,而信息化建设当中的安全问题并没能够引起企业的足够重视,所以在信息化建设的过程中比较容易出现安全隐患。第二个方面就是我国的安全软件还是比较落后,虽然国内计算机软件技术在快速的反战,可是与一些发达的国家相比还是存在一定距离,第三个方面在管理操作方面存在问题,现在有很多的企业对于自己企业内部的信息安全问题还存在不够重视的问题,在企业信息系统的管理上不够谨慎,这就会被不法分子和黑客进入的机会,造成了企业的主要信息被盗取。第四个方面缺少优秀的专业管理团队,企业信息的系统安全是前期的制定和日常系统安全的维护以及日后都是由专业的人员来进行操作,所以相关的技术人员都必须具有很好的素养和贤能的技术,第五个方面法律法规的不全面。现在我国与企业信息安全问题的法律法规不全面这就造成企业内部信息被盗取不能得到相关的赔偿。
1.2企业外部因素
现在企业信息安全系统的威胁主要来自于外部的因素,随着我国经济社会的飞速变化,在竞争激烈情况下信息是非常重要的,大昂仁会有很多的不法分子会利用各种手段来盗取企业的信息为自身得到利益。还有些企业在于对手的竞争过程中使用不正当的手段来击垮对手保证自己企业的利益。
二、企业信息化建设过程中的信息安全与对策
在我国社会经济快速发展的今天,企业信息安全对于一个企业的发展是非常具有意义的,企业的信息被盗取和泄露会给企业带来很大的损失,所以说企业对信息安全问题必须要有足够的重视。有的企业已经做好了信息安全的必要工作就应该更加注意安全软件并不是时时刻刻都能做好安全的保护,做好安全保护还要加强管理。
2.1确保正确的安全意识
一个企業在信息化发展的过程中,应该认识到企业信息的安全问题和企业发展相互的关联。如果企业的重要内部信息被盗取或者泄露那么对于企业所造成的打击是非常大的,而与此同时也是给了对手创造了很好机会。所以确保正确的安全信息意识对于一个企业来说是非常重要的,也是为了以后给企业的各项工作打下了很好基础。
2.2选择安全性能比较高的软件
其实任何软件都不是牢不可破的,可是对于安全性能比较高的软件,如果说破解的话难度还是相当高的,所以企业选择安全软件的时候要选择安全性能高的,不要为了节省一点企业的支出而选择使用安全性能差的保护软件,一旦出现问题所造成的企业损失价值会大于软件的价格。
2.3加强企业网路管理
很大一部分的企业信息被盗取都是不法分子通过网络进行的,所以说必须要对企业的网络管理进行加强,这样才能确保企业信息系统在安全的状态的情况下运行。对于信息安全的种类和等级的高低来进行制定合理的方案,并且提前做出如果发生特殊情况下怎么进行处理的方案。如果说企业的信息安全发生危机的时候,企业应该快速的组建处理小组,针对信息安全危机的步骤处理并且做好危机处理的工作,还要避免出现由于处理不当而产生的各种情况。
结语:以上所述是企业信息化建设过程中所必需要面对的问题,一个企业的信息安全建设应该先从管理开始,必须做到以防范为主要,必需制定有效的安全防护把安全的风险降至最低。在现在经济发展的快速时代,企业信息的安全问题决定着企业的安全运营。
参 考 文 献
[1] 原黎. 探析企业信息安全问题的成因及对策[J]. 现代工业经济和信息化. 2011(08)
[2] 张耀辉. 关于企业信息化建设中的信息安全探讨[J]. 电子技术与软件工程. 2013(14)
[3] 赵晓华,陈秀芹,周文艳,夏莉莉,李建忠. 网络环境下河北中小企业信息安全问题研究[J]. 科技资讯. 2013(31)
篇3
关键词 信息安全;企业;网络
中图分类号:TP3 文献标识码:A 文章编号:1671-7597(2013)12-0129-02
1 网络信息安全现状
现代企业的发展离不开信息网络,随着Web2.0时代的到来,越来越多的应用开始在互联网上流行起来,信息网络对提高企业生产效率、节约人员成本、获得产品信息等方面做出了巨大贡献,企业开始更为重视自身信息化的建设。然而,企业信息化速度的加快为企业信息安全工作提出了挑战,在网络发展的背后却存在着一个永恒的话题――信息安全。随着企业的安全生产、经营管理等工作越来越依赖信息网络,网络上的病毒、黑客以及其他不可预见的因素都对企业信息安全带来巨大威胁,在日趋多样化、专业化的攻击面前使得企业信息安全正面临严峻的形式和挑战。
近年来,网络安全问题频发,世界上每年遭受网络攻击的政府或者企业越来越多,2011年卡巴斯基实验室针对全球企业进行的IT风险调查显示,全球至少61%的企业遭遇过恶意软件的攻击。在互联网发源地―美国每年就有大约5万多起黑客攻击的事件,甚至信息安全工作防护严密的美国政府网站也不能幸免,更普通的企业。互联网具有开放性和无国界的特点,这就使得对网络攻击事件具有全球普遍性,我国也不能幸免,据国家计算机病毒应急处理中心的统计报告显示,我国每年有80%的企业、政府机关的网络系统曾经遭受过病毒或黑客的攻击。瑞星公司在2012年的《中国信息安全报告》中指出,我国共有超过7亿网民被病毒感染过,2009年上半年国内被挂马的网页数量突破2亿。例如2011年6月28日,新浪微博出现了一次比较大的XSS攻击事件,20:14,开始有大量带V的认证用户中招转发蠕虫;20:30,中的病毒页面无法访问;20:32,新浪微博中hellosamy用户无法访问。据统计,中国互联网用户每年因为网络安全损失被“黑掉”的钱财高达76亿。
上述网络信息安全问题的出现为国企业敲响了警钟,需要下大力气加强网络信息安全的防范和设计。
2 企业信息安全策略设计
2.1 病毒防护和查杀策略
病毒是信息安全的杀手,从病毒发作的情况来看,病毒的攻击目标没有特定性,而且越来越隐蔽。从个人网站到企业网络,无不受其所害,曾经有网络公司的防火墙被不明身份的黑客攻破了,牵扯到大量的用户信息,用户在该支付平台注册的电子邮箱以及登录密码面临极大风险。面对各式各样且不断发展演变中的病毒,企业对信息系统的日常维护和管理就显得尤为
重要。
企业网络部门工作人员要定期给办公司电脑操作系统存在的安全漏洞打补丁,还要给每个客户端都设置可靠的防毒软件、防火墙、漏洞扫描系统、日志系统,加强入侵检测和补丁管理,对企业遭受到的病毒攻击进行集中分析,掌握企业计算机系统中存在的安全隐患,采取有效的措施和方法防范由于病毒感染导致企业重要信息出现泄漏或者破坏。同时网络技术人员也要对公司所有电脑进行防病毒软件升级工作,确保网络内所有服务器和终端计算机都安装防病毒软件,将杀病毒软件设置成为自动升级状态,及时更新病毒特征码和系统补丁,防止由于个人疏忽造成没有及时升级带来病毒库的安全威胁,保证企业信息系统的正常运行。
另外对于企业而言,无论是服务器还是终端计算机都要加强防火墙设置,对外部入侵行为或者其他不安全的行为进行拦截,实际运行时,可以根据企业信息系统的需要,将一些服务器中不使用的端口关闭,尽量避免进行一些具有安全隐患的服务,防止利用这些端口或者服务进行外部攻击的行为发生。当然,网络技术人员要对不同端口的作用十分清楚,避免将企业信息系统正常运行的关闭,造成企业信息系统不能正常运行。
2.2 保证企业信息系统的平稳运行
保护企业信息系统的平稳运行,维护主要业务系统的安全,是现代企业网络信息安全的基本要求。企业信息系统的平稳运行包括多个方面,有操作登记的分配、用户账户与口令的保护、个人访问权限、用户身份验证等多个方面。我们需要做好以下工作。
1)做好重要资料备份工作。当服务器或者硬盘发生故障时,重要的企业数据会受到严重威胁,但往往公司简单的数据安全、信息安全体系对企业数据恢复、服务器数据恢复束手无策。为了保证信息系统的正常运行和业务的正常开展,专业的企业数据恢复、服务器数据恢复格外重要。大多数企业采用备份手段来解决日常的数据安全问题,企业在购买安装和配置服务器时,通常采用常见的两台服务器“一用一备”。企业网络技术人员将重要信息备份在一些光盘、U盘或者移动硬盘上,然后将其放置在不同的地方,避免同时受损害或者丢失,最大限度的保障企业信息安全和数据的完整性。
2)加强对关键业务系统的管理。关键业务系统应该具有最高的网络安全措施,其安全需求主要包括:访问控制,确保业务系统不被非法访问,保证数据不被网络内部破坏,安全预警,对于破坏关键业务系统的恶意行为能够及时发现、记录和跟踪等。2011年,韩国现代资本、韩国农协银行都遭受电脑黑客袭击,电脑网络瘫痪了三天,数以万计的客户受影响。这次攻击事件就是以IT运维部门的用户机位跳板实施的,背后原因是因为这些银行对最高级别权限管理不足,也没有基本的隔离安全机制,笔记本都可以直接连入外网,黑客通过窃取内部合法用户的权限进行非法活动。可见,企业应该加强对用户权限的管理;另外,在必要时进行网络隔离甚至物理隔离是必然的要求。同时,也要加强平时对于合法用户的行为审计,防范合法权限被滥用或被利用等情况的发生。
3)加强企业网络安全平台建设。目前很多公司推出的安全平台,就是依靠安全芯片为载体,通过软硬件的结合,可以为用户提供更加私密的加密存储空间,这样就可以将客户信息、账户信息等高度机密的信息安全存放起来。根据不同的场景需求,还可以通过安全平台搭建内部机密信息共享平台或工作组,比如某公司在进行专项会议时或者涉及商业机密文件共享时,可以建立起相对封闭的局域工作网络,让各部门的总监或管理层在同一局域网内共享机密信息,其他员工则没有查看服务器或者重要信息的权限。同时,还能够避免通过邮件、病毒、木马等非法手段盗取数据,造成不必要的损失。
2.3 健全有效的信息安全管理制度
没有安全管理,就没有信息安全。真正的网络安全实际上靠的不是这个或那个安全产品,而是自身固有的安全意识。寻求解决安全问题的根本方法在于不仅要具备安全可信的办公电脑,也要建立更加完善的数据安全管理制度。真正实现企业的信息安全管理仅仅依靠技术手段是不够的,必须对规章制度上加强企业人员的信息安全防范意识。
1)做好员工的培训的管理。信息只是一种编码形式,人才是信息的操作者,每个环节中安全隐患的最终来源都是人。为了能够加强企业工作人员的信息安全防范意识,企业要加强对公司员工的系统培训,从计算机基本知识到信息安全防范的具体方法都要进行细致讲解,针对一些员工在日常使用计算机过程中不规范行为进行及时矫正,针对一些年纪较大的、对计算机不是十分熟悉的老员工,企业网络技术人员要现场演示操作,让员工养成良好的使用习惯。同时要甄选出有丰富计算机操作经验的人员负责每个部分电脑的日常清洁、维护和管理,负责对部门电脑病毒库的升级、电脑的内部清理等工作,确保企业信息安全。
2)加强系统运行环境和维护管理,要加强对机房电源、空调系统、消防系统、监控系统、门禁装置等基础设施的维护和管理,确保其可靠、正常的运行。严禁非系统管理人员随意进入机房,严禁在机房内抽烟。严格落实机房巡视、系统巡检、运行测试、操作审批、机房出入登记、信息安全故障上报等工作制度。严禁在机房的服务器上浏览网页、随意下载软件、打游戏等。
3 结束语
总之,对于现代企业而言,信息技术的发展给企业信息安全带来巨大隐患,企业的信息安全也越来越受到信息安全部门和企业管理者的重视。信息安全工作是一个全方位的系统工程,每个企业面临的信息安全环境不同,企业应该结合自己实际情况,从思想上、技术上、管理上多管齐下,采取有针对性的信息安全策略,才能最大限度的降低信息安全威胁、保证企业信息安全,为企业健康长远发展保驾护航。
参考文献
[1]陈泽徐.浅析企业网络安全策略[J].电脑知识与技术,2009(09).
[2]沈传案,王吉伟.企业网络安全解决方案[J].计算机与信息技术,2008(06).
[3]冼沛勇.企业网络安全解决方案[J].石油工业计算机应用,2004(02).
[4]牛金才.企业网络安全解决方案浅析[J].煤,2003(02).
[5]石亦歌.企业网络安全解决方案[J].安防科技,2003(03).
[6]王锋.关于企业网络安全问题的探讨[J].电脑知识与技术,2009(36).
篇4
关键词:企业;网络信息安全;问题;对策
随着网络技术在企业中的应用,网络安全问题越来越与企业的利益紧密的联系在一起,各种企业信息以及企业经营都建立在网络的基础上,网络安全问题直接与企业的生存发展有着直接的联系。如何能够有效的提高企业网络安全性,对与当今的企业已经是一个重要的议题。
1.当前企业网络信息安全存在的问题
1.1安全漏洞
在计算机技术中,任何一种程序都有可能存在漏洞,当前各种操作系统以及相关软件都存在一些漏洞,几乎每一天都有漏洞被发现,此外,操作系统通常还存在一些隐藏的通道,而这些通道往往成为黑客的便利通道。与此同时,系统中还存在着一些通用服务,如果在安装程序的时候没有注意到这些,那么也会给黑客创造可乘之机。一些企业的竞争对手或者对企业心存不满的员工或客户都可能利用这些漏洞,对企业进行攻击,进而使得整个企业网络丧失相应的使用能力或丢失企业资料和秘密等,给企业的网络安全带来了巨大的安全隐患。
1.2计算机病毒感染
通常情况下,计算机病毒是通过下载或者电子邮件的形式进行传播,还有的可以通过即时的网络信息进行传播,可以说有计算机的地方,就会存在电脑病毒的问题。病毒通常具有传播快、影响巨大的特点,给企业的网络安全造成巨大的影响。这些年来,木马病毒是计算机病毒中的主要传播形式,根据有关的统计,木马病毒占到所有计算机病毒的四分之一以上。木马病毒是一种特殊的病毒形式,如果用户错将其按照应用软件来实用的话,所使用的电脑就会被移植上木马病毒,从而将电脑的控制权完全交到了黑客的手中,黑客能够通过木马盗取计算机上使用的一些银行密码、卡号、机密信息等,而且能够对计算机实施实时的监控、查看等,给企业的网络安全带来巨大的威胁。
1.3恶意攻击和非法入侵
在当前的企业网络信息安全问题中,黑客利用恶意攻击和非法入侵的手段阻止企业利用网络或进行网络商业活动的行为,已经成为让每一个企业头疼不已的问题。通常情况下,黑客通过恶意攻击和非法入侵的手段对企业造成的危害表现为:组织企业利用网络资源;利用大量信息来阻塞企业通信网络;植入木马等程序对企业的实时动态进行监控;复制、删除、盗取企业重要信息等。不管黑客的目的是什么,这样的入侵行为都会给企业带来巨大的影响,使得企业重要信息的泄露甚至是企业正常生产的停止。
1.4相关人员管理上的失误
对企业来说,由于相关人员管理上的失误也会给企业网络信息安全带来巨大的威胁。当前,许多企业缺乏网络信息安全的管理机制,而且相应的系统安全维护习惯欠缺。有的企业在发现病毒和漏洞的时候,并没有对其引起重视,只是采取简单的杀毒和修补等措施,相关员工的安全意识匮乏,没有对系统进行全面的维护,从而给黑客的入侵创造了机会。此外,有的企业在内部分工上存在不明了的情况,从而使得网络使用权限与行政管理出现矛盾。总之,由于管理上存在的问题,给企业的网络安全埋下了许多的隐患。
1.5线路窃听
这种网络安全问题,通常是通过搭线的方式对网络中的通讯数据进行截获,从中寻找那些比较重要的信息,如企业的专利、产品、客户等信息,更为严重的后果可能会对企业的内部网络进行攻击,从而给企业的生产经营以及市场竞争带来巨大的影响,造成严重的经济损失。
1.6非授权访问
这种网络安全问题通常是采用各种手段,绕过网络系统的访问控制机制,从而对于那些敏感的网络信息进行访问和使用,并擅自更改访问权限等。
2.解决企业网络信息安全问题的对策
2.1物理安全
保证计算机网络各种设备的物理安全是整个计算机网络信息安全的前提。物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。另外,计算机系统可以通过电磁辐射使信息被截获而失秘。为了防止系统中的信息以电磁波形式辐射出去,通常是在物理上采取一定的防护措施,来减少或干扰扩散出去的电磁信号。
2.2充分利用访问控制措施
在网络信息安全防护中,访问控制是一种有效的防护措施,这种防护措施主要为了避免企业网络资源被非法访问和使用,只允许那些有访问权限的使用者进行访问,而限制那些没有访问权限的用户。主要的做法是:
(1)身份验证。通常身份验证包括身份识别和身份认证两个方面的内容,前者主要是使用者向系统出示自己的身份证明,而后者主要是对使用者出示的身份证明进行核实的过程。在身份验证中,用户名和口令是两种较为常用的识别验证方法。
(2)有限授权。通过这种方法能够有效的控制用户对企业网络信息资源进行各种非法的操作。具体操作过程中,企业可以根据使用者所在的部门和工作进行权限设定,这样使用者只能在一定的范围内对企业网络资源进行操作。
(3)防火墙技术。防火墙技术在网络安全控制技术中是一种较为常见的技术,其网络安全水平较高。通常来讲,防火墙技术主要通过包过滤、状态检测、服务三种主要的安全手段进行网络安全防护,对网络中的数据进行必要的过滤检测,进而提高网路安全性。
(4)安全网关。所谓安全网关主要是指在不同的网络或网络安全区域间设置的各种保护网络安全的产品。随着科技的发展,安全网关已经由原先单一的防火墙技术演变出了多种技术,比方说VPN网关、UTM网关、IPS网关、防病毒网关等等,这些技术及设备在进行有效的网络安全控制的同时,还能够有效的对网络中的流量进行必要的控制。在当前网络信息技术飞速发展的今天,企业网络与外网之间的数据流动日益增多,而且网络中的各种病毒、木马等日益增多,因此企业应该根据自身的实际情况选择适合自身网络的安全网关。
2.3防范病毒入侵企业网络的措施
(1)隔离法,当发现企业网络中出现病毒入侵的情况时,应该及时的运用隔离法,防止网络病毒的不断传播和蔓延。
(2) 分割法,企业网络可以设置为各种不能相互访问的子集形式,这样做能够使得病毒只能在一个特定的区域内传播,防止病毒在各个子集之间相互进行传染。
(3)选择和装载那些高效的防病毒软件,及时有效的对计算机进行病毒防控和处理。
(4)注意杀毒软件的及时更新和升级,从而更好的防御那些新出现的病毒和木马。
2.4采用数据加密方法
数据加密技术在当前的网络信息安全中应用越来越广泛,因为这种技术,在对信息进行加密的操作时较为灵活,而且适用的领域更加广泛,尤其是在开放性的网络中,这一技术与密钥的生成、传输、管理相结合来制定的。通常来讲,加密技术主要有以下几种手段,首先,数据传输加密技术,常用线路加密和端一端加密的方法;其次,数据存储加密技术,可分为密文存储和存取控制两种;第三,数据完整性鉴别技术。加密是在不安全的网络环境下进行安全的数据传输最好的方式。
2.5信息安全
(1)身份鉴别安全系统
鉴别是对网络中的主体进行验证的过程,是提供对连接用户身份的鉴别而规定的一种服务,以防止伪造连接的初始化攻击。通常有三种方法验证主体身份。一是只有该主体了解的秘密,如口令、密钥;二是主体携带的物品,如智能卡和令牌卡;三是只有该主体具有的独一无二的特征或能力,如指纹、声音、视网膜或签字等。
(2)网络备份系统
备份系统的目的是尽可能快地全盘恢复运行计算机系统所需的数据和系统信息。一般的数据备份操作有三种。一是全盘备份,即将所有文件写入备份介质;二是增量备份,只备份那些上次备份之后更改过的文件,在磁盘上设置标注,是最有效的备份方法;三是差异备份,备份上次全盘备份之后更改过的所有文件,但不在磁盘上设置标注。其优点是不但安全而且易于恢复。
(3)数据存储安全系统
在计算机信息系统中存储的信息主要包括纯粹的数据信息和各种功能文件信息两大类。对纯粹数据信息的安全保护,以数据库信息的保护最为典型。而对各种功能文件的保护,终端安全很重要。
数据库安全:要实现对数据库的安全保护,一种选择是安全数据库系统,即从系统的设计、实现、使用和管理等各个阶段都要遵循一套完整的系统安全策略;二是以现有数据库系统所提供的功能为基础构建安全模块,旨在增强现有数据库系统的安全性。
终端安全:主要是微机信息的安全保护问题。
(4)信息内容审计系统
实时对进出内部网络的信息进行内容审计,以防止或追查可能的泄密行为。因此,为了满足国家保密法的要求,在某些重要或涉密网络,应该安装使用此系统。防止未经授权的用户非法使用系统资源。
总之,随着网络技术的进一步发展与深入应用,网络信息安全的内涵在不断深化,外延在不断扩大,应用领域日益广泛,如何构建一个立体的安全体系,把握住企业网络安全的大门,这将是对新一代网络管理人员的挑战。
参考文献:
[1]刘港,企业网络信息安全实现,数字技术与应用,2011(8)
篇5
关键词:电力企业;信息网络;安全问题;对策
Abstract: The information security of the power companies directly related to the survival and development of business, network security is also a threat to the power system security and stability, economic, efficient, high-quality operation; this paper discussed the problems and the formation in the enterprise information network security, proposed countermeasures from both technical and management.Key words: power companies; information network; security issues; countermeasures
中图分类号:TM711 文献标识码:A文章编号:2095-2104(2012)02-
随着整个电网的信息化水平的不断提高,信息网络技术广泛应用于电力调度、生产和管理之中。各种应用系统(如协同办公、PMS、ERP、OMS、GIS、营销管理系统等)在电力企业的广泛使用和大集中,最终形成了整个电力广域网络。它们在促进电力信息化水平的提高、提高企业生产效率、增强了电力企业的市场竞争力的同时,也给电力企业的信息安全带来一些隐患。
一、概述
目前我国的电网基本上实现了全国性电网体系,这种电网是以大电网、大机组、自动化控制、高压输电为主要特征的。各种长途光缆干线、高速广域网和宽带城域网等正在电力通信网络中进行广泛的建设。这也要求电力通信网络覆盖全国,为信息的快速传递提供支持,网络技术的广泛应用,使电力信息网络的不断延伸和扩大,特别是电力企业网和INTERNET的互联都对电力信息网络的安全提出了更高的要求。电力企业信息网络的结构如图1所示,可以看出,如果网络中的任何一个环节出现问题,都会给信息网络带来严重的问题。
二、电力企业信息网络安全存在的问题
电力企业信息安全存在的问题是多种多样的,可能是“黑客”的攻击,也可能由于技术人员的能力不够而引起的误操作;有可能是内部人员的恶意操作和破坏,也可能是外来攻击者对信息系统资源的非法占有和使用,或者改变信息系统的数据。
1.基础设施的安全
基础设施的安全又称为物理安全,主要是电力的基础设施长期在露天的环境下工作,这些设施可能是因为电磁场、狂风、地震、雷电等环境因素改变,以及其他人为素而出现物理损坏,导致网络出现故障,造成数据在传输的过程中出现错误,信息的丢失等情况。这种由于各种自然灾害、电磁辐射、恶劣场地环境、电磁干扰、网络设备老化等不可抗逆的因素造成的损坏往往是是不可预测的,会直接影响电力企业信息的安全。
2.信息安全意识薄弱
由于电力企业员工众多,每个人的信息素养层次不一样,对信息的安全认识不够,目前,企业中大量员工对网络信息安全认识不足。例如将用户名和密码设置的过于简单,容易被窃取,或与别人共享信息资源,内部人员的误操作等等都会对网络安全带来威胁。员工的违规外联、存储介质内外网的交叉使用,会导致病毒的入侵,从而破坏信息系统的数据。员工随意点击网上来历不明的网页、垃圾邮件或各种恶意程序等,比如游戏、聊天、视频、P2P下载等等,上班时间玩电脑游戏,这些行为无疑会浪费网络资源、降低劳动生产率、增加企业运营成本支出,并有可能因为不良的网络访问行为导致企业信息系统被入侵和机密资料被窃,都会使企业的网络收到病毒的攻击,造成企业网络拥塞瘫痪,甚至系统崩溃,造成难以弥补的巨大损失。
3.人为的恶意攻击
人为的恶意攻击可以分为以下两种:一种是主动攻击,攻击者通过攻击系统的要害或弱点,破坏企业信息系统,如篡改、删除商务信息流的内容等,它以各种方式有选择地破坏信息的机密性、可用性和完整性,给企业造成不可估量的损失;例如病毒、蠕虫、恶意代码、垃圾邮件、间谍软件、流氓软件等等很容易通过各种途径侵入企业的内部网络,就属于病毒主动攻击的范畴。另一类是被动攻击,它是在不影响网络正常工作的情况下,监听网络上传递的信息流,从而获得信息的内容,造成企业内部信息外泄。不安装杀毒软件;安装杀毒软件但未能及时升级;网络用户在安装完自己的办公桌面系统后未进行各种有效防护措施就直接连接到危险的开放网络环境中,特别是Internet;移动用户计算机连接到各种情况不明网络环境后,在没有采取任何措施的情况下又连入企业内部网络。
4.操作系统的不稳定性和企业网络的拓展给信息安全带来的威胁
以windows操作系统为代表的各种操作系统在实际的运行中,不断地被发现漏洞,相应的蠕虫病毒就会利用系统的漏洞对系统进行攻击,在目前电力企业信息安全人员不足、安全意识不强的情况下,该打补丁的没打,该安装杀毒软件的没安装。这种系统的不稳定性也会给企业的信息安全带来问题。随着企业的不断发展,形成企业异地分支机构、移动办公人员等多样的企业运营模式,如何处理这些部门和工作人员之间的信息共享和防止机密的泄漏的信息安全问题,提高企业的工作效率,已成为电力企业成长发展过程中必须解决的问题。
三、信息网络系统安全措施
自从网络诞生以来,在网络安全问题上就不断的存在攻与防的一对矛盾。由于科技的迅速发展,对电力企业信息网络这样一个年轻的网络来说,它所面临的安全威胁是比较严重的,非法用户所使用的攻击手段也十分高超;但反过来说我们可以应对的手段也是十分先进的,包括先进的企业版防火墙、先进的密码编码方式和算法等都可以有效防御网络上的安全威胁。
1.建立信息安全体系结构框架
建立数据备份中心,结合电力行业计算机应用的特点,选择合理的备份设备和备份系统,根据其应用的特点,制定相应的备份策略。按信息安全对网络系统安全稳定运行、生产经营和管理及企业发展所造成的危害程度,确定计算机应用系统的安全等级,制定网络系统信息安全控制策略,建立适应电力企业发展的网络系统信息安全体系,利用现代网络及信息安全最新技术,研究故障诊断、处理及系统优化管理措施,在不同条件下提供信息安全防范措施。
2.提高企业员工的信息安全意识
建立网络系统信息安全身份人证体系,建立企业的CA机构,对企业员工上网用户统一身份认证和数字签名等安全认证。科学安全的设置和保管密码,一旦密码被泄漏,非法用户可以很轻易的进入系统:由于穷举软件的流行,Root的密码要求最少要10位,一般用户的密码要求最少要8位,并且应该用英文字母大小写以及数字和其他符号进行不规则的设置。为了使计算机及信息网络系统操作人员熟练掌握各种异常或故障处理措施,在信息中心应建立离线与在线相结合的仿真培训中心。一方面可以使现有人员对各类设备与系统,避免误操作事故的发生。另一方面对现有系统进行安全检测,提出反事故措施,对可能出现的各种异常与事故,进行仿真模拟试验与分析,形成若干技术研究报告和处理预案。
3.建立网络级计算机病毒防范体系
按其信息网络管辖范围,分级进行防范计算机病毒的统一管理,设立计算机病毒防控管理中心,对企业的信息网络进实时监控。建立信息网络系统安全监测中心,以信息安全监测系统可模仿各种黑客的攻击方法,不断测试信息网络安全漏洞,完善系统配置,消除漏洞并可实现实时网络违规、入侵识别和响应。定期对企业信息网络进行安全检查和病毒扫描,对相关重要数据进行备份以及在全网络范围内建立一套科学的安全管理体系,对企业信息网络的安全运行有着很重要的意义。
4.加强电力基础设施的安全防护工作
配备灾难恢复系统,防止意外的发生。加强对室外物理硬件的管理和维护,在条件许可的情况下,尽量将室外的基础设施转移到室内,以延长设备的使用寿命,对一些重要的实时应用系统在具备条件的前提下进行异地的数据与系统备份,提供系统级容灾功能,保证在规模灾难情况下,保持系统业务的连续性。建立完善的网络及系统安全管理制度,保证不出现人为的安全隐患。
四、结束语
在拥有先进反黑手段的前提下,对于网络安全问题来说最重要的应该是网络安全思想,可以说有好的安全思想可以避免绝大多数的安全问题。在网络上,可以说每台计算机都存在或多或少的安全问题。我们一般比较重视防火墙、杀毒软件等等,其实我们更应该重视安全思想意识。据统计,全球每年所产生的网络安全问题,其中绝大多数都是因为人员的疏忽所致。所以安全思想意识应放在网络安全的首要位置。
参考文献
[1]黄中伟.计算机网络管理与安全技术[M].北京:人民邮电出版社.2006.
[2]李文武,王先培,孟波等. 电力行业信息安全体系结构初探[J].中国电力,2008,(5).
[3]潘明惠,偏瑞琪,李志民. 电力系统信息安全应用研究[J].中国电力,2010(5).
篇6
[摘 要]随着网络信息技术和计算机技术的发展,我国众多的企业开始进行信息化建设,以提高企业运营管理的质量和水平。基于此,本文主要对我国企业在信息化建设中存在的网络安全管理问题、解决的方法进行论述,以提高企业信息化的建设。
[关键词]企业;信息化建设;网络安全管理
doi:10.3969/j.issn.1673 - 0194.2017.10.040
[中图分类号]F270.7 [文献标识码]A [文章编号]1673-0194(2017)10-00-01
0 引 言
在互联网时代,企业应用网络信息技术和计算机技术,逐步建立了网络信息化平台,以对海量信息数据进行有效收集,为企业的运行和发展提供有效依据。但是企业在信息化建设中还存在一些问题,其中一个严重的问题就是,企业信息数据容易遭受到网络攻击或窃取,即网络安全问题。这些问题的存在,非常不利于企业的信息化建设,不利于企业的进一步发展。因此,相关人员需要对企业在信息化建设中存在的网络安全管理问题以及解决方法进行研究和分析,以全面提高企业信息化建设的质量和水平,更好地推进企业的进步与发展。
1 企业在信息化建设中存在的网络安全管理问题
1.1 外部因素
时代的发展和社会的进步使网络信息安全问题日益严重。例如,企业在进行市场竞争时,需要获得大量准确的信息并保证其安全,但一些不法分子应用网络攻击和非法链接等方式@取企业内部大量信息,并将此类信息在市场中出售牟利,这种情况的出现加剧了企业网络信息安全问题的程度。
1.2 内部因素
企业在信息化的建设过程中,没有对自身的网络信息安全问题给予足够的重视,因此,没有采用高质量的信息安全管理模式,进行有效的网络信息防护,使网络黑客应用网络病毒和信息窃取手段,轻易获取企业内部的各种信息数据。同时,企业内部工作人员也没有受过良好的网络信息安全培训,在应用中存在操作不规范等问题,导致企业的信息安全受到严重威胁。
2 提高企业网络安全管理水平的方法
2.1 加强企业信息化系统的管理
企业需要在信息化建设中加强对信息化系统的管理质量和水平,提升企业网络安全管理的效率。具体来讲,首先,企业需要树立起网络安全管理的意识,对工作中存在的网络安全问题及时处理,建立完备的网络安全管理平台,对企业运行发展中的重要信息数据进行集中性保存。其次,定期对企业员工开展网络安全培训工作,提升员工信息化系统规范操作的能力,对重要信息进行加密处理,并做好多重备份工作。最后,企业员工应定期使用网络安全软件对操作环境进行检查,有效处理和抵御各类网络病毒的攻击和入侵。
2.2 应用有效的数据信息加密技术
企业需要应用有效的数据加密技术,提升网络信息管理质量和水平,保障网络信息的安全,更好的开展企业信息化建设工作,为企业的进步和发展打好基础。第一,企业需要有效的应用链路加密、节点加密、端对端加密等多种技术,提高企业网络信息加密的强度,为重要的业务数据和信息做好保护。第二,企业需要在应用网络信息数据加密技术的同时,对重要数据信息进行切实有效的存储,使其具有完整性,为提升企业数据信息安全水平打好基础。
2.3 部署高质量的安全防护软件
企业需要合理应用各类的防护软件,提升自身网络信息安全的强度。例如现在已经普遍应用的360安全卫士、腾讯电脑管家、金山毒霸等,合理应用可以提高企业整个网络信息安全管理的质量,同时对外部的非法链接进行有效抵制,对网络病毒攻击和入侵进行有效预防。
2.4 设置必要的安全管理权限
企业需要依据自身的需求,建立严密、分层的安全管理权限系统,对登录到系统中的用户进行严格的管理权限设定。通过这种方式,使操作系统或应用系统的用户,需要掌握不同的权限密码才能进行不同权限的操作、进行数据信息的获得,然后进行这些数据信息的应用。
2.5 配置防火墙和访问控制模式
企业在信息化建设中需建立高效的防火墙系统,设置专业化访问控制模式,提升网络信息安全能力,有效抵御各种网络风险,保障企业的内部网络安全。
2.6 信息隐藏模式的有效应用
企业可以有效应用信息隐藏技术,提高网络信息安全质量和水平,保障信息及数据安全。例如,采用高效的编码修改方法进行数据嵌入,如矩阵编码,其可减少修改幅度;扩频嵌入,其使编码更加专业化、高级化、复杂化,很难进行破译,降低密文信号的能量,使其不易被检测到,增强信息的安全性和保密性。这些模式有利于企业对各种网络攻击进行有效抵御,保障企业信息化建设的稳定性和安全性,实现企业应有的经济效益和社会价值。
3 结 语
对企业信息化建设中网络安全管理问题进行分析,有利于企业应用各种有效的方法,提高企业网络安全管理的质量和水平,保障企业网络和信息管理的安全性,最终为企业实现良好的信息化建设做出重要贡献。
主要参考文献
[1]程华.对企业信息化建设中的网络安全管理问题探讨[J].民营科技,2016(1).
[2]李永湘.企业信息化建设中的网络安全问题研究[J].科技资讯,2016(8).
篇7
目前信息化网络以其开放性、交互性给人们带来方便的同时,也带来了诸如计算机病毒、木马等安全风险。企业档案不同于一般信息,具有特殊性,一方面是保密要求,必须保证档案信息不能泄露,另一方面必须保证特定范围人员拥有特定的调阅权限,具有排他属性。一旦企业档案被非法窃取、篡改或删除,将给企业带来难以估量的损失,这就要求企业档案信息化建设工作要格外重视信息安全问题。企业档案信息化安全的内涵包括以下三个要素:机密性,非授权人员不得使用;真实性,电子档案与纸质档案内容必须一致;稳定性,保证电子档案内容无法随意删改。
1.企业档案信息化建设面临的安全威胁
1.1计算机病毒、木马威胁
随着互联网的发展,诸如“蠕虫”、“熊猫烧香”等病毒木马程序也在网络中传播扩散,造成的破坏和损失在所有安全威胁中居首位。计算机病毒不仅可以通过短时间内重复发送大量无意义数据造成网络通信拥堵,还可以破坏服务器系统文件从而造成系统数据和文件系统破坏,如果造成重要档案数据的丢失那么损失将是灾难性的。
1.2企业信息化网络构建的物理安全威胁
物理网络安全是企业信息化网络安全的基础。档案信息网建设中,由于基础网络系统弱电性,在物理网络的搭建中,需要考虑对网络设备进行防护,避免漏电、火灾和雷击。
1.3操作系统及档案信息应用系统的安全风险
不论是微软公司的视窗操作系统还是其它任何商用UNIX操作系统,其开发公司均留有“后门”,均有被恶意访问的风险,不存在绝对安全的操作系统,因此在选择供应商时,不仅要尽可能保证操作系统和硬件平台稳定可靠,还必须根据本企业的需要对系统进行安全配置,加强登录服务器过程中的认证手续,确保访问用户的合法性,严格限制访问者的操作权限,将其能够进行的操作限制在必须的范围内。档案信息应用系统本身的稳定性、安全性能否得到保证不仅关系到企业档案能否顺利通过信息系统实现有效利用,还关系到档案信息机密不被泄露、篡改和删除。
1.4档案管理体系的安全漏洞
如果没有严格的管理体系,任何先进软硬件安全方案都不能发挥其应有的作用。管理混乱、制度不健全或缺乏可操作性都是发生档案信息化管理安全问题的潜在危险因素。因缺乏有效的网络安全管理制度或未按制度执行,使本企业档案信息化网络在受到黑客攻击时不能及时进行预警、监控及防御从而造成机密泄露、数据损毁。因企业档案信息化网络日常管理松懈,可能造成档案信息化录入错误而导致电子档案与原始档案不一致给档案利用制造困难,还可能因档案利用过程中异常操作而导致电子档案数据破坏。
2.档案信息化建设的安全对策
2.1档案管理人员及档案信息化利用人员安全意识的培养
即使档案信息安全系统安全设计再完善,如果管理员、信息使用者没有严格按规范执行,那么再先进的加密手段也只能沦为摆设。档案信息系统归根到底仍然需要管理人员建立和维护,需要企业相关人员加以利用,因此在档案信息化应用过程中发生的各种问题或多或少都与人有关。因此,在档案信息化建设过程中,必须认真通过培训教育有关人员,使之认识到信息安全的重要性、严肃性,提高认识防范蓄意或者疏忽造成危害信息网络安全事件发生的概率。根据不同的职位,给予相应的档案信息使用权或管理权限。同时对于档案信息网络管理者和使用者的权限实行动态管理,定期核实人员岗位变动、升职或离职等岗位变动情况,并进行相应的权限调整,避免无关人员接触相应机密内容。进行宣传教育,要求相关人员选用复杂密码,对密码长度及组合复杂度要有必要规定(如密码长度不少于8字符,且必须英文、数字混杂等),减少被黑客暴力破解的几率,要求在使用电脑或在自己办公电脑查阅相应档案时信息内容不会被无关人员偷窥等。
2.2建立切实可行的电子档案信息管理制度
明确信息化档案录入人员的责任,制定奖惩制度控制录入错误频率,同时企业还要建立完善的电子档案录入复查机制,在电子档案录入数据库时,要对其进行全面仔细的核查,确保电子档案内容与原始档案保持一致。建立完善的电子档案的存储制度,非档案管理员不得获得删改档案的权限,同时管理员的每次删改行为也必须有案可稽,保证可追溯性。加强电子档案信息使用管理,避免因误操作删改信息或将病毒、木马程序导入档案信息数据库。建立完善的电子、纸质介质双重保存制度,虽然信息化管理给档案存储、利用带来便利,但电子档案同其他数字信息一样易受到木马病毒等安全隐患影响,纸质档案以其特有的稳定性是电子版无法替代的,不易修改,保存期限长、档案信息可靠性较高等,同时纸质档案所具有的法律效力也是电子档案所不具备的,因此纸质档案还是必须保留的,纸质档案作为企业的原始信息,以保证档案的真实性,电子档案更倾向于档案日常管理、利用,两者结合共同为企业经营活动服务。
2.3电子信息安全技术在企业档案信息化管理中的应用
2.3.1物理防范措施
设置UPS不间断电源,以保证电子档案信息服务器及网络电力供应,针对信息化网络电器属性,设置防火报警系统等。
2.3.2杀毒软件及防火墙的应用
针对企业内部网络统一采购正版企业版杀毒软件,并实行由服务器统一更新病毒数据库。建立企业局域网络防火墙,从源头隔绝外部网络非正常访问,从而最大限度的减少黑客网络攻击。
2.3.3设置档案信息网络访问权限
对用户访问档案信息数据库的权限进行严格的认证和控制。使用动态验证系统,数字身份认证系统,控制访问目录和访问文件权限。
2.3.4使用数据加密系统
加密是保护网络传输数据安全的重要手段,首先对网络中传输的数据进行加密,到达目标电脑后再还原为原始数据,防止非法用户截获后盗用档案信息。
2.3.5物理断网
篇8
随着近年来信息安全话题的持续热议,越来越多的企业管理人员开始关注这一领域,针对黑客入侵、数据泄密、系统监控、信息管理等问题陆续采取了一系列措施,开始构筑企业的信息安全防护屏障。然而在给企业做咨询项目的时候,还是经常会听到这样的话:
“我们已经部署了防火墙、入侵检测设备防范外部黑客入侵,采购了专用的数据防泄密软件进行内部信息资源管理,为什么还是会出现企业敏感信息外泄的问题?”
“我们的IT运营部门建立了系统的运行管理和安全监管制度和体系,为什么却迟迟难以落实?各业务部门都大力抵制相关制度和技术措施的应用推广。”
“我们已经在咨询公司的协助下建立了ISMS体系,投入了专门的人力进行安全管理和控制,并且通过了企业信息安全管理体系的认证和审核,一开始的确获得了显著的成效,但为什么经过一年的运行后,却发现各类安全事件有增无减?”
这些问题的出现往往是由于管理人员采取了“头痛医头,脚痛医脚”的安全解决方案,自然顾此失彼,难以形成有效的安全防护能力。上述的三个案例,案例一中企业发生过敏感信息外泄事件,于是采购了专用的数据防泄密软件,却并未制定相关的信息管理制度和进行员工保密意识培训,结果只能是防外不防内,还会给员工的正常工作带来诸多不便;案例二中企业管理者认识到安全管理的重要性,要求相关部门编制了大量的管理制度和规范,然而缺乏调研分析和联系业务的落地措施,不切实际的管理制度最终因为业务部门的排斥而束之高阁;案例三中ISMS的建立有效地规范了公司原有的技术保障体系,然而认证通过后随着业务发展却并未进行必要的改进和优化,随着时间的推移管理体系与实际工作脱节日益严重,各类安全隐患再次出现也就不足为奇。
其实,企业面临的各种安全威胁和隐患,与人体所面临的各种疾病有诸多类似之处,我们常说西医治标不治本,指的就是采取分片分析的发现问题―分析问题―解决问题的思路处理安全威胁,通过技术手段的积累虽然可以解决很多问题,但总会产生疲于应付的状况,难以形成有效的安全保障体系;类比于中医理论将人体看为一个互相联系的整体,信息安全管理体系的建立正是通过全面的调研分析,充分发现企业面临的各种问题和隐患,紧密联系业务工作和安全保障需要,形成系统的解决方案,通过动态的维护机制形成完善的防护体系。
总体来说,信息安全管理体系是企业在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。它是基于业务风险方法,来建立、实施、运行、监视、评审、保持和改进企业的信息安全系统,目的是保障企业的信息安全。它是直接管理活动的结果,表示成方针、原则、目标、方法、过程、核查表(Checklists)等要素的集合,涉及到人、程序和信息系统。
针对ISMS的建立,我们可以从中医“望闻问切对症下药治病于未病”的三个角度来进行分析和讨论:
第一,“望闻问切”,全面的业务、资产和风险评估是ISMS建设的基础;
第二,“对症下药”,可落实、可操作、可验证的管理体系是ISMS建设的核心;
第三,“治病于未病”,持续跟踪,不断完善的思想是ISMS持续有效的保障。
望闻问切
为了完成ISMS建设,就必然需要对企业当前信息资源现状进行系统的调研和分析,为企业的健康把把脉,毕竟我们需要在企业现有的信息条件下进行ISMS建设。
首先,自然是对企业现有资源的梳理,重点可以从以下几个方面入手:
1.业务主体(设备、人员、软件等)。
业务主体是最直观、最直接的信息系统资源,比如多少台服务器、多少台网络设备,都属于业务主体的范畴,按照业务主体本身的价值进行一个估值,也是进行整个信息系统资源价值评估的基础评估。由于信息技术日新月异的变化,最好的主体未必服务于最核心的信息系统,同时价值最昂贵的设备未必最后对企业的价值也最大。在建立体系的过程中,对业务设备的盘点和清理是很重要的,也是进行基础业务架构优化的一个重要数据。
2.业务数据(服务等)。
业务数据是现在企业信息化负责人逐步关注的方面,之前我们只关注设备的安全,网络的良好工作状态,往往忽略了数据对业务和企业的重要性。现在,核心的业务数据真正成为信息工作人员最关心的信息资产,业务数据存在于具体设备的载体之上,很多还需要软件容器,所以,单纯地看业务数据意义也不大,保证业务数据,必须保证其运行的平台和容器都是正常的,所以,业务数据也是我们重点分析的方面之一。
3.业务流程。
企业所有的信息资源都是通过业务流程实现其价值的,如果没有业务流程,所有的设备和数据就只是一堆废铜烂铁。所以,对业务流程的了解和分析也是很重要的一个方面。
以上三个方面是企业信息资源的三个核心方面,孤立地看待任何一个方面都是毫无意义的。
其次,当我们对企业的当前信息资产进行分析以后需要对其价值进行评估。
评估的过程就是对当前的信息资产进行量化的数据分析,进行安全赋值,我们将信息资产的安全等级划分为 5 级,数值越大,安全性要求越高,5 级的信息资产定义非常重要,如果遭到破坏可以给企业的业务造成非常严重的损失。1 级的信息资产定义为不重要,其被损害不会对企业造成过大影响,甚至可以忽略不计。对信息资产的评估在自身价值、信息类别、保密性要求、完整性要求、可用性要求和法规合同符合性要求等 5 个方面进行评估赋值,最后信息资产的赋值取 5 个属性里面的最大值。
这里需要提出的是,这里不仅仅应该给硬件、软件、数据赋值,业务流程作为核心的信息资源也必须赋值,而且几个基本要素之间的安全值是相互叠加的,比如需要运行核心流程的交换机的赋值,是要高于需要运行核心流程的交换机的赋值的。很多企业由于历史原因,运行核心业务流程的往往是比较老的设备,在随后的分析可以看得出来,由于其年代的影响,造成资产的风险增加,也是需要重点注意的一点。
最后,对企业当前信息资产的风险评估。
风险评估是 ISMS 建立过程中非常重要的一个方面,我们对信息资产赋值的目的就是为了计算风险值,从而我们可以看出整个信息系统中风险最大的部分在哪里。对于风险值的计算有个简单的参考公式:风险值 = 资产登记 + 威胁性赋值 + 脆弱性赋值(特定行业也有针对性的经验公式)。
ISMS 建设的最终目标是将整个信息系统的风险值控制在一定范围之内。
对症下药
经过上阶段的调研和分析,我们对企业面临的安全威胁和隐患有一个全面的认识,本阶段的ISMS建设重点根据需求完成“对症下药”的工作:
首先,是企业信息安全管理体系的设计和规划。
在风险评估的基础上探讨企业信息安全管理体系的设计和规划,根据企业自身的基础和条件建立ISMS,使其能够符合企业自身的要求,也可以在企业本身的环境中进行实施。管理体系的规范针对不同企业一定要具体化,要和企业自身具体工作相结合,一旦缺乏结合性ISMS就会是孤立的,对企业的发展意义也就不大了。我们一般建议规范应至少包含三层架构,见图1。
图1 信息安全管理体系
一级文件通过纲领性的安全方针和策略文件描述企业信息安全管理的目标、原则、要求和主要措施等顶层设计;二级文件主要涉及业务工作、工程管理、系统维护工作中具体的操作规范和流程要求,并提供模块化的任务细分,将其细化为包括“任务输入”、“任务活动”、“任务实施指南”和“任务输出”等细则,便于操作人员根据规范进行实施和管理人员根据规范进行工作审核;三级文件则主要提供各项工作和操作所使用的表单和模板,以便各级工作人员参考使用。
同时,无论是制定新的信息管理规章制度还是进行设备的更换,都要量力而行,依据自己实际的情况来完成。例如,很多公司按照标准设立了由企业高级领导担任组长的信息安全领导小组和由信息化管理部门、后勤安全部门和审计部门组成的信息安全办公室,具体负责企业的信息安全管理工作,在各级信息化技术部门均设置系统管理员、安全管理员、安全审计员,从管理结构设计上保证人员权限互相监督和制约。但是事实上繁多的职能部门和人员不仅未能提升企业信息系统安全性,反而降低了整个信息系统的工作效率。
其次,是企业信息安全管理体系的实施和验证
实施过程是最复杂的,实施之后需要进行验证。实施是根据 ISMS 的设计和体系规划来做的,是个全面的信息系统的改进工作,不是单独的设备更新,也不是单独的管理规范的,需要企业从上至下,全面地遵照执行,要和现有系统有效融合。
这里的现有系统既包含了现有的业务系统,也包含了现有的管理体制。毕竟ISMS是从国外传入的思路和规范,虽然切合国人中医理论的整体思维方式,但在国内水土不服是正常的,主要表现就在于是否符合企业本身的利益,是否能够和企业本身的业务、管理融合起来。往往最难改变的还是企业管理者的固有思维,要充分理解到进行信息安全管理体系的建设是一个为企业长久发展必须进行的工程。
到目前为止,和企业本身业务融合并没有完美的解决方案,需要企业领导组织本身、信息系统技术人员、业务人员和负责 ISMS 实施的工程人员一同讨论决定适合企业自身的实施方案
最后,是企业信息安全管理体系的认证和审核
针对我们周围很多重认证,轻实施的思想,这里有必要谈一下这个问题,认证仅代表认证过程中的信息体系是符合 ISO27000(或者其他国家标准)的规范要求,而不是说企业通过认证就是一个在信息安全管理体系下工作的信息系统了。更重要的是贯彻实施整个体系的管理方式和管理方法。只有安全的思想深入人心了,管理制度才能做到“不只是挂在墙上的一张纸,放在抽屉里的一本书”。
“治病于未病”
企业信息安全管理体系需要动态改进和和优化,毕竟企业和信息系统是不断发展和变化的,ISMS 是建立在企业和信息系统基础之上的,也需要有针对性地发展和变化,道高一尺魔高一丈,必须通过各种方法,进行不断地改进和完善,才有可能保证ISMS 系统的持续作用。
就像我们前面案例中提到的某公司一样,缺乏了持续改进和跟踪完善的手段,经过测评的管理体系仅仅一年之后就失去了大部分作用。对于这些企业及未来即将建立ISMS的企业,为了持续运转ISMS,我们认为可以主要从以下三个方面着手:
第一,人员。
人员对于企业来讲是至关重要且必不可缺的,在ISMS建立过程中,选择合适的人员参与体系建立是ISMS建立成功的要素之一。在持续运转过程中,人员都应该投入多少呢?通常在体系建立过程中,我们会建议所有体系管理范围内的部门各自给出一名信息安全代表作为安全专员配合体系建立实施,且此名专员日后要持续保留,负责维护各自部门的信息资产、安全事件跟踪汇报、配合内审与外审、安全相关记录收集维护等信息安全相关工作。
但很多事情是一种企业文化的培养,需要更多的人员甚至全员参与,例如面向全员的定期信息安全意识培训,面向专业人员的信息安全技术培训等,因此对于企业来讲,除了必要的体系维护人员,在ISMS持续运转过程中,若能将企业内的每名员工都纳入到信息安全管理范围内,培养出“信息安全,人人有责”的企业氛围,则会为企业带大巨大的潜在收益。且有些企业在面向自身员工展开信息安全各项活动的同时,还会纳入客户、合作伙伴、供应商等需要外界相关人员的参与,对外也树立起自身对重视信息安全的形象,大力降低外界给企业带来的风险。
第二,体系。
ISMS自身的持续维护,往往是企业建立后容易被忽视的内容,一套信息安全管理文档并不是在日益变化的企业中一直适用的,对于信息资产清单、风险清单、体系中的管理制度流程等文档每年至少需要进行一次正式的评审回顾,这项活动由于也是在相关标准中明确指出的,企业通常不会忽略;但日常对于这些文档记录的更新也是必不可少的,尤其是重要资产发生重大变更,组织业务、部门发生重大调整时,都最好对ISMS进行重新的评审,必要时重新进行风险评估,有助于发现新出现的重大风险,并且可以将资源合理调配,将有限的资源使用到企业信息安全的“短板”位置。
唯一不变的就是变化,企业每天所面临的风险同样也不是一成不变的,在更新维护信息资产清单的同时,对风险清单的回顾也是不可疏忽的,而这点往往是很多信息安全专员容易忽视的内容。持续的维护才能保证ISMS的运转,有效控制企业所面临的各种风险。
第三,工具。
工具往往是企业在建立ISMS过程中投入大量资金的方面,工具其实是很大的一个泛指,例如网络安全设备、备份所需设备、防病毒软件、正版软件、监控审计等各类工具,即使没有实施ISMS,企业在工具方面的投入也是必不可少的,但往往缺乏整体的规划及与业务的结合,经常会出现如何将几种类似工具充分利用,如何在各工具间建立接口,使数据流通共用,哪些工具应该替换更新,数据如何迁移,甚至出现新购买的工具无人使用或无法满足业务需求等问题,导致资金资源的浪费,因此在持续运转ISMS过程中,根据风险评估报告,及信息安全专员反映的各部门业务需求各种信息数据的收集,应对工具进行统一规划,尽量减少资源的浪费。
篇9
关键词:新时期;煤矿企业;安全管理;问题;
安全管理的重点关注内容为安全生产,这也是当前煤矿企业发展探究的热门、重点话题。对于煤矿企业而言,安全生产不仅关系着企业的正常运行,还关系着群众的生命,关系着煤矿工人家属一家团圆的期待。由此可见,做好煤矿企业的安全生产管理能够让企业沿着良性模式发展,并实现科学化、标准化管理,最终来达到提升企业经济效益的目的,促进社会和谐发展。
一、煤矿企业安全管理方面的弊端
(一)安全管理意识淡薄
在新时期,随着煤矿企业的发展,煤矿企业越来越重视企业之间的竞争力与收入状况,
却忽视了发展过程中的安全生产,在安全生产上面的宣传和重视力度不足,未正确认识到经济收入与安全生产、企业发展三者之间的关系,当安全与生产二者处于矛盾对立状态时,企业内通常是将生产放在首位,他们认为只有多出煤才能提升企业的经济收入,才能推动企业发展,员工才能有钱可赚,而安全管理意识却较淡薄。
(二)安全管理制度体系欠完善
部分煤矿企业内部的安全生产责任制还未完善,在履行安全管理上面的条款落实度不够,
可操作性差,可考核性不高。部门与部门之间在安全管理方面的协调性不足,缺乏交流、沟通,煤矿企业在生产时,由于缺乏健全的管理制度,以及先进的管理手段企业安全管理则存在弊端。
(三)煤矿企业技术人员不足
新时期,煤矿企业之间的竞争力相当大,企业之间的管理人员、技术性人才的流动性很严重,刚从学校毕业的大学生根本不愿到一线地区实践、工作,不了解这个煤矿开采的程序,无法委以重任,企业内高技术、高能力人才不足。就一线煤矿工人而言,绝大部分为农民,人员之间存在着较严重的流动性、松散型,他们的文化知识较低,安全知识认识掌握不足,致使煤矿企业的安全工作很难落实到位[1]。
(四)安全培训工作不到位
大部分煤矿企业内都未对内部煤矿工人定期开展安全生产的安全知识宣传与培训工作,使得一线开采工人安全意识淡薄,不懂得如何来保护自己,让自己远离危险,即便是安全培训,更多的也只是口头传授,教育与培训形式单调,培训的内容未付诸实践,实践性不强,很多企业就是为培训而培训,应付工作,走过场。
(五)缺乏一整套完善的有效的奖惩制度
很多煤矿企业内在安全管理方面缺乏一整套完善的有效的奖惩制度。因为奖惩工作做的不到位,或是奖惩制度不平衡,从企业的奖惩制度来看,在奖励方面的条款较少,惩罚方面的则较多,对于管理者来讲,惩罚制度的制定与落实是约束人们行为的一种方法,但是对于部分人群来讲,则会激起他们与企业管理人的叛逆、对抗心理。与此同时,部分企业内在奖惩上面时效性不强,奖惩不及时也就降低了安全生产管理工作的实践性。
二、新时期应如何做好煤矿企业的安全管理工作
(一)提升煤矿企业管理各部门的安全管理意识
安全管理理念属于煤矿企业展开安全生产管理的基本指导思想,也是提升也经济效益的关键点。在实践过程中提升企业内各部门之间之间的沟通,联系,让企业各部门工作人员都具备较强的安全生产意识,不断完善企业内的安全质量量化目标体系[2]。与此同时,企业内还可实行安全监督体系,在岗的所有人员可自行监督或相互监督,以防止安全事故的发生。对于企业内已有的安全管理法,还需不断创新、不断完善,使其更加满足新时期提出的新条件、新要求。
(二)组建科学的安全管理系统
煤矿企业必须在“以人为本”的基础上,组建科学的安全管理系统,并与现代化计算机技术结合起来,将现代化的计算机主动技术与网络技术均应用到安全管理系统中,创建一整套科学、安全、可行的动态信息监测系统,来对煤矿一线工作人员进行监测和管理,能够详细的、全面的了解工作人员的情况,并分析事故致因,消除和预防各类安全事故。
(三)定期组织和开展安全培训工作
煤矿企业在安全培训上面应始终坚持“投资少、收获多、回报高”的原则,对企业内所有员工定期组织和开展安全培训工作,提升企业工作人员的安全管理意识,进一步强化企业内工作人员的教育、培训工作,培训之后还需将培训内容付诸实践,工作人员应根据培训中要求的安全操作规程操作,做到遵章守纪、不违规,确保企业正常运营。
(四)健全、完善煤矿企业的安全检查制
安全生产是煤矿企业发展的核心。所以,煤矿企业需制定出更加符合自己企业发展需要的安全管理措施,地方煤矿局负责人与地方政府需强化对煤矿的安全监督检查工作。在企业内部实行责任制,将责任落实到人头,并成立相应的安全监管小组,定期对小组安全管理工作进行考核、评价,推动煤矿企业的全面发展。
(五)健全、完善煤矿企业的奖惩制度
煤矿企业内还需不断完善内部奖惩制度,确保奖惩制度的平衡性,并提升奖惩制度的时效性,对于应该奖励的行为还应及时给予奖励,但是对于一些违规违纪事件,就应及时作出批评和惩罚,确保煤矿企业奖惩工作落实到位。
(六)加大安全管理资金投入,在煤矿企业内营造良好安全文化氛围
企业还应加大在安全管理方面的资金投入,并合理运用所投入资金来进行系统安全建设、设备维修工作,定期组织人员检查煤矿企业内所有生产设备,看其设备零件有无松动、脱落现象,有无设备老化现象,一旦发现问题,应立即维修,对于部分老化设备应及时更换,确保工作人员能安全生产,减少因设备问题而带来严重安全事故,在煤矿企业内营造良好安全文化氛围[3]。
总之,近年来,煤矿安全事故发生率不断提升,各大煤矿企业都应在安全生产上面引起高度重视,总结各起煤矿安全事故发生原因,不断完善企业内的煤矿安全管理相关制度体系,全面做好煤矿企业的安全管理工作,促进煤矿企业的全面发展。
参考文献
[1] 庞柒,阮平南.基于可拓学理论的煤矿企业安全风险预控评价体系研究[J].管理现代化,2014(2):99-101.
篇10
【 关键词 】 安全;内网;外网;物理隔离
1 引言
随着计算机和网络技术的迅猛发展和广泛普及, 企业经营活动的各种业务系统越来越依赖于Internet/Intranet环境。随之而来的安全问题也在困扰着用户。一旦网络系统安全受到威胁,处于瘫痪状态,将会给企业带来巨大的经济损失。
为了解决计算机系统的安全问题,很多企业的信息部门将企业网络分为相互隔离的内网和外网,外网连接互联网,用于访问外部的信息和接受来自外部用户的访问。内网连接企业内部的各个业务部门,如财务生产行政等,不连接互联网,这样可以保证内部信息不会泄露到外部去。
然而实践中发现,有些企业虽然遵循内外网隔离的原则,但实际采用的网络配置方式和技术常常在某些情况下破坏了内外网的隔离。企业内部网络安全事故仍然时有发生,并呈增长趋势。在此,本文对企业内外网的配置中常见问题进行描述和分析,并给出应对措施的建议。
2 虚拟局域网隔离
如图1所示是一种典型的企业网络架构,主要利用路由器或三层交换机的VLAN功能,把接入到一个或者多个路由器多个端口的不同计算机设置成一个虚拟局域网,分配给一个部门使用。图1中设置了两个个虚拟局域网VLAN1和VLAN2,可以分别分配给内网和外网。
通过这样的网络划分使不同的虚拟局域网实现了网络层协议的隔离。这样做虽然方便灵活,但是存在一系列安全隐患。
一是使用虚拟局域网进行的逻辑隔离是非常脆弱的。网络管理员无意或有意的疏忽,或者网络管理员权限的泄露,可以被使用远程配置或者攻击的方式修改路由器配置,在本来不该连接的两个虚拟局域网形成一个逻辑的通路,造成隔离失败。
二是以路由器为基础的网络架构本身就是易受攻击的。众所周知,目前相当一部分路由器由国外厂商制造,即便是国内厂商制造的路由器,其中的交换芯片和路由协议也基本为国外厂商所垄断。像微软的Windows操作系统一样,路由器以及其中的交换芯片和路由协议也存在很多无意或有意的缺陷和漏洞,很容易让一些个人和组织使用远程攻击的方式进行侦听而导致泄密。
三是虚拟局域网实现了虚拟子网的分割,一般情况下,对于应用层的数据交流却是无法阻挡的,达不到隔离的目的。
3 访问权限隔离
另外一种常见的网络配置是把有不同访问需求的部门划成不同的子网(网段),如图2所示。其中,LAN1分给管理部门,LAN2分给财务部门。通过路由器和防火墙的配置访问策略,实现不同部门的不同访问权限,例如管理部门既可以访问财务部门又可以访问互联网,而财务部门只能访问部门内部的资源,不允许向外发送数据。
这样做表面上实现了既隔离又达到了不同等级访问权限的目的,实际上依然存在许多隐患。
首先,使用路由器的配置进行的逻辑隔离存在前述的三个安全隐患。
其次,内网上原来被限定不能访问互联网的计算机,可以人为修改IP/MAC地址绕过路由器的访问限制,从而访问互联网,造成数据泄露。
再次,由于管理部门与外部互联网连接,其中的计算机和设备很容易被恶意程序和木马病毒攻击和感染。一旦被攻陷或植入病毒,就可以获取财务部门的数据后,泄露到互联网,虽然此时财务部门并没有遭受外部的直接攻击。
4 移动存储介质的泄密
有些企业为了杜绝上述两种情况造成的数据泄密,采用了内外网完全物理隔离的方法,这样可以有效地防范网络侧的安全隐患。但是如果没有制定严格的保密制度,或者有制度而没有采取有效的技术手段来确保执行,仍然会产生很多安全隐患。
例如,目前以U盘、光盘和软盘为代表的移动存储介质被广泛使用,如果不加限制地用于有安全保密需求的内网,会轻易造成机密数据的泄露和外部病毒的侵入。另外,计算机附带的WiFi、USB、1394接口、蓝牙、红外、串口、并口等外设接口,很容易用来和外部设备如手机等交换数据,同样可以造成机密数据的泄露和外部病毒的侵入。
5 建议的组网方式
为了解决上述问题,我们建议采用完全物理隔离的方式实现内外网的组网,同时使用具有完全物理隔离功能的一机双网物理隔离计算机或2全独立的计算机分接不同的网络并尽可能不使用KVM切换器(目前市场上的KVM切换器良莠不齐,很多切换器在切换的同时,会造成键鼠U口的泄密风险)来进行切换,彻底消除网络架构和设备本身缺陷带来的安全隐患。具体实施时,根据企业规模和现有网络布线情况,分别采用如下两种方式。
如图3所示描述了一种单网线的解决方案,该方案适合已有单网结构的网络改造。其中,内网机使用现有网络布线连接内网,外网机通过无线网卡和无线路由器连接外网。使用双站定位监控计算机的状态,同时设置专人管理的双网机作为中间机进行数据交换。
如图4所示描述了一种双网线的解决方案。该方案适合新建的网络,给内、外网分别铺设专用的网络,内、外网计算机使用专用防误插网线分别连接内、外网。使用双站定位监控计算机的状态,同时设置专人管理的双网机作为中间机进行数据交换。
6 建议的数据交换方式
除了隔离,内外网间也常常需要交换数据。例如财务部门需要从外部查询资料,也需要把一些数据发送给其他部门甚至通过互联网发给外单位。如何在达到内外网间沟通顺畅的同时保持安全性,这是个亟待解决的问题。在此,根据不同的安全要求,我们建议采用下列不同的数据交换方式。
如图5所示描述了一种快捷的数据交换方式,适用于安全等级较低的双网系统。其中内网没有安装审计软件,可以使用刻录光盘从外网往内网进行单向数据传递,也可以使用U盘不受限制地进行内、外网双机双向交互。
这种方式对内外网间的数据交换没有限制,适合较小规模,员工可以充分信任的部门内使用。对于规模较大,员工经常变动的部门,这种方式存在较大的安全隐患。
为了消除潜在的安全隐患,建设安全等级较高的双网系统,可以图5的基础上进行如下改进。
首先,在内网安装审计软件,根据不同权限,允许或禁止内网机上的WiFi、USB、1394接口、蓝牙、红外、串口、并口等外设接口,监控和记录所有内外网间的数据交换活动。
其次,可以使用刻录光盘从外网往内网进行单向数据传递。对于内网向外网的数据传递或数据传递,设置高权限管理员计算机作为数据摆渡机,欲传递信息先通过内网递交给摆渡机,摆渡机通过自身USB端口拷贝到摆渡机外网,再通过U盘拷贝或者通过外网拷贝到其他双网机外网。
这种方式能保证内网向外网的数据传递经过监控并保留备份和日志,不经授权的数据传递不会发生,一旦出现泄密事件,可以根据数据传递的日志和备份准确追溯到导致泄密的原因和肇事人员。
如果不想购入复杂的审计软件而要保证数据的安全,可以使用图6所示的一种安全的数据交换方式。该方式采用特殊USB接口的U盘和内网进行双向数据交换,并使用三合一单向导入设备进行外网向内网的单向数据传递。
该方式是唯一获得保密委认可的内外网数据交互方式,使用硬件方式保证了数据的单向传递,也避免了软件的种种安全隐患。
7 结束语
企业经营活动越来越依赖于计算机和网络,它带来便利的同时也伴随着很多泄密的风险。建设一个安全而又便利的计算机网络,是企业决策者和信息部门的一个亟待解决的问题。本文针对企业计算机内外网中常用的虚拟局域网隔离,访问权限隔离,移动存储介质的使用等方面的安全隐患进行了分析。为了应对各种安全隐患带来的数据泄密的威胁,我们建议内外网采用完全物理隔离的架构,同时使用完全物理隔离的双网计算机,并根据企业需要的安全等级使用相应的数据交换方式,监控和限制内网到外网的数据传递,确保企业经营活动具备安全可靠的网络和计算机环境。
作者简介:
篇11
关键词:消防安全信息;社会信用体系;消防安全监督管理
前言
信用经济是人类社会经济发展的重要模式。随着我国社会主义市场经济的日益完善,整个社会的经济发展逐渐向信用经济转型。与之相应的,在向信用经济转型、发展过程中,需要建立起以道德为指引、以产权为基础、以法律为保障的社会信用体系。企业作为市场经济主体,也是信用经济主体。企业消防安全对于保障交易安全、促进经济发展的十分重要。在当前企业总体消防安全管理能力不强,消防安全责任主体意识欠缺,消防安全状况不容乐观的背景下,既需要发挥行政强制、处罚等法律强制手段在督促企业纠正消防安全违法行为方面的作用,也需要探讨和推进通过企业消防安全信息与社会信用体系的有机结合,采用社会信用体系的经济调控手段,敦促企业及时纠正自身的消防安全违法及其他不良行为,强化企业自我消防安全管理意识,提升企业自我消防安全管理水平,推动整个社会消防安全监督管理体系和能力创新。
1 企业消防安全信息与社会信用体系结合是创新社会消防管理的重要路径
经济的快速发展促进了整个社会经济发展模式的迅速转变。在传统的信用体系、经济发展模式转型过程中,随着企业数量的快速剧增,传统的消防监督管理手段和消防监督管理力量难以满足社会发展需要,再加上社会消防监管手段的单一化、企业社会信用体系的不健全、消防违信惩戒机制的缺失等原因,企业消防安全问题日益突出,重特大火灾时有发生,有些领域和地区的消防安全形势相当严竣,大量火灾隐患存在,建筑消防设施设计、安装、监理、检测、维保等环节,相关企业恶性竞争、弄虚作假、失信经营等问题也较突出,制约了整个消防行业的健康有序发展。要从根本上解决这些问题,切实加大对企业消防违法等不良行为的监督与管理,单靠公安机关消防机构,单靠行政强制手段远远不够。从国外相关实践和发展趋势看,应当将企业消防安全信息与社会信用体系的建构、管理相结合,建立企业消防安全信用信息档案,以信用制度为支撑,以公共信用信息系统为基础,以部门和跨行业应用、联合惩戒为核心,推进企业消防安全信用体系建设,通过市场机制、政府监管、社会监督的合力,提升企业的消防违法失信成本,督促其自觉遵守消防法律法规,减少消防隐患。
2 企业消防安全信息的内涵与公开依据
作为核心的企业消防安全信息,作者认为系指作为公共消防安全主管部门的公安机关及其消防机构(含法律、法规、规章授权监管规模较小企业的公安派出所)在履行消防监督管理职责过程中获取、知悉、制作、形成的有关企业消防安全方面的信息。这些信息既涵盖企业的消防安全状况相关、消防审验许可、受消防处罚情况、监督检查结果、重大火灾隐患等,也包括消防设施设计、施工、监理、检测、维保等消防专门施工、安装、技术服务等中介机构和企业的经营、执业信息。《中华人民共和国政府信息公开条例》明确要求“行政机关需要及时、准确的对相关政府信息进行公开”,主要目的就是确保公民的相关信息知情权。另外,公安部颁布的《建设工程消防监督管理规定》、《消防监督检查规定》也针对有关企业消防安全信息的公开作为相关规定。这主要是考虑到,消防安全直接关系民众、企业的切身利益,涉及民众生命、财产安全,通过信息公开,可以有效的纠正和制止企业的消防违法等不良行为,监督企业及时消除存在的火灾隐患。这就在客观上要求作为消防监督管理部门的公安机关消防机构在对企业的消防违法等不良行为依法采取行政处罚等强制手段的同时,也应当坚持综合治理、多措并举,多元、多渠道加强和改进对消防违法等不良行为的监督管理,特别是要积极推动与社会信用体系构建的有机结合,努力将消防监督管理过程中所获取、知悉、制作、形成的企业消防安全信息纳入社会信用体系指标,敦促企业加强对消防违法等不良行为自我纠正、自我整改的力度,提升企业自我消防安全管理水平。
3 企业消防安全信息与社会消防安全信用体系的构建
构建企业社会消防安全信用体系的前提和基础,是做好以企业消防安全信息为重要内容的信用档案建设和管理。信用档案主要体现和反映的内容,应当是各企业在生产经营过程中涉及消防安全方面的各类行为、过程、信息、情况等。档案信息应当充分反映企业履行消防安全义务、实施日常消防安全管理、落实消防安全责任制、执行消防安全制度和操作规程等情况的真实性、完整性、尽职性,还要体现企业对纠正消防违法等不良行为、落实火灾隐患整改措施、保障消防设施设备有效运行等内容。对于建筑消防设施设计、安装、施工、监理以及检测、维保等从事消防行业的专门企业,档案应当反映其相关执业的过程信息、业绩成效等。公安机关消防机构作为消防安全主管部门,要通过对各企业日常监督管理,建立经营性、持续性、全面性的消防安全信息采集渠道。对采集的信息,按照高危单位、重点单位、一般单位、较小场所以及特定行业分类建立消防安全信息库。充分运用大数据、云计算等技术,加强对信息的后续汇总、分析、评估等管理,与住建、工信、安全监管、质监、金融、保险、工商等监管部门建立跨部门的信息共享、沟通和交换系统,方便相关部门、个人在线查询、应用。同时,建立企业消防安全信息分类分级评价应用系统,根据企业消防安全信息,将各企业的消防状况按照优秀、良好、一般、较差等分级,相应采取减少抽查频次、预警提示、视情警告、加大抽查频次、列入黑名单等措施对企业的实施动态、有针对性的分级监督管理。优秀、良好、一般、较差的分级标准可以综合考虑企业的整体消防安全状况、日常消防管理制度落实情况、建筑消防设施运行状态、从业人员消防素质技能、存在的火灾隐患类别、对隐患的跟进整改措施、周期性维保措施、日常对消防法律法规的遵守以及许可状况等;对于从事建筑消防设施设计、施工、安装、检测、维保等专门企业应重点纳入资质合法性状况、遵守执业准则、执业业绩、执业质量等要素。
对企业消防安全信息以及评价标准,应当以公安机关消防机构在日常实施消防许可、组织消防监督抽查、开展专项治理、受理群众举报投诉、资质年度审验、部门间通报、告知等环节中所获取、制作、记录的相关信息为主,辅以企业按照有关规定自行申报、提报的信息以及消防技术服务机构的检测、维保、监测信息等,结合起来进行综合分析评价。
4 企业消防安全信息在消防安全监管中的应用
加强对企业消防安全信息在消防安全监管过程中的应用。包括:根据对企业消防安全信息的分析评价,对存在消防安全违法等不良行为而未及时整改、纠正的,视情评为一般、较差等级,列入提示、警示范围,跟进督导检查。对企业的消防安全监督检查情况,定期通过公共网站、广播电视、报刊等予以信息公开,开展社会监督。将企业消防安全信用评分结果,及时通报投资主管部门、银行、证券、保险、住建等政府管理部门,作为企业投资、申贷、发行证券、保险、审验资质等业务的重要参考,努力在各相关监管部门之间形成对企业的消防安全监管合力。
加强对企业消防安全信息的应用,还应加大对失信行为的惩戒,提高失信成本。现行消防法没有规定企业消防安全信息及信用体系,作者建议结合消防法的修订,从法律上明确消防安全信息及信用体系要求,对人员密集、易燃易爆企业及其法定代表人、主要负责人,增加规定违法失信给予一定时限、甚至终身的从业限制或禁止;对导致重大以上火灾事故的违法失信人员,要按照《刑法》修正案(九)的规定,在追究刑事责任的同时,对责任人员采取禁业令等措施。
总之,通过以上措施实现企业消防安全信息与社会信用体系的结合,构建企业社会消防安全信用体系,加强对企业的全方位、多层面的消防安全监管。
参考文献
篇12
关键词: 企业信息系统;信息安全;安全策略
中图分类号:F270.7 文献标识码:A 文章编号:1671-7597(2012)0220165-01
随着市场经济的不断发展,企业竞争越来越激烈,国际化合作不断增多,随之而来的企业信息安全是目前我国企业普遍存在的问题。对企业来说,信息安全是一项艰巨的工作,关系到企业的发展。近年来,围绕企业信息安全问题的话题不断,企业信息安全事件也频频发生,如何保证企业信息的安全,保证信息系统的正常运转,已经成为信息安全领域研究的新热点。
1 企业信息安全的意义
信息安全是一个含义广泛的名词,是指防止信息财产被故意的或偶然的非授权泄露、更改、破坏,或防止信息被非法辨识、控制,即确保信息的保密性、可用性、完整性和可控性。企业的正常运转,离不开信息资源的支撑。企业信息安全建设对企业的发展意义重大。
首先,信息安全是时展的需要。计算机网络时代的发展,改变了传统的商务运作模式,改变了企业的生产方式和思想观念,极大推动了企业文化的发展。企业信息安全的建设将使得企业的管理水平与国际先进水平接轨,从而成长为企业向国际化发展与合作的有力支撑。
其次,信息安全是企业发展的需要。企业的信息化建设带来了生产效率提高、成本降低、业务拓展等诸多好处。当前越来越多的企业信息和数据,都是以电子文档的形式存在,对企业来说,信息安全是使企业信息不受威胁和侵害的保证,是企业发展的基本保障,所以,在积极防御,综合防范的方针指导下,有效地防范和规避风险,建立起一套切实可行的长效防范机制,逐步建立起信息安全保障体系,有利于企业的发展。
最后,信息安全是企业稳定的必要前提。信息安全成为保障和促进企业稳定和信息化发展的重点,要充分认识信息安全工作的紧迫感和长期性,从企业的安全、经济发展、企业稳定和保护企业利益的角度来思考问题,扎扎实实地做好基础性工作和基础设施建设,在建立信息安全保障体系的过程中,必须搞好链接信息安全保障体系建设安全、建设健康的网络环境,关注信息战略,保障和促进信息化的健康发展。
2 企业信息安全的现状
我国企业信息安全包括计算机系统的硬、软件及系统中的数据受到保护,不受偶然的或恶意的原因而遭到破坏、更改、泄露,使得系统连续、可靠、正常的运行,网络服务不中断。计算机和网络技术具有复杂性和多样性,使得企业信息安全成为一个需要持续更新和提高的领域。就目前来看,主要存在以下三个方面的隐患。
2.1 企业缺少信息安全管理制度
企业信息安全是一个比较新的领域,目前还缺少比较完善的法规,现有的法规,由于相关安全技术和手段还没有成熟和标准化,法规也不能很好地被执行,安全标准和规范的缺少,导致无从制定合理的安全策略并确保此策略能被有效执行。企业的信息系统安全问题是一个系统工程,涉及到计算机技术和网络技术以及管理等方方面面,同时,随着信息系统的延伸和新兴技术集成应用升级换代,它又是一个不断发展的动态过程。因此对企业信息系统运行风险和安全需求应进行同期化的管理,不断制定和调整安全策略,只有这样,才能在享受企业信息系统便利高效的同时,把握住信息系统安全的大门。
2.2 员工缺少安全管理的责任心
一个企业的信息系统是企业全体人员参与的,不考虑全员参与的信息安全方案,恰恰忽视信息安全中最关键的因素――人,因为他们才是企业信息系统的提供者和使用者,他们是影响信息安全系统能否达到预期要求的决定因素。在众多的攻击行为和事件中,发生最多的安全事件是信息泄露事件。攻击者主要来自企业内部,而不是来自企业外部的黑客等攻击者,安全事件造成最大的经济损失主要是内部人员有意或无意的信息泄露事件。针对内部员工的泄密行为,目前还没有成熟的、全面的解决,对于来自企业信息内部信息泄密的安全问题,一直是整个信息安全保障体系的难点和弱点所在。
2.3 信息系统缺乏信息安全技术
计算机信息安全技术是一门由密码应用技术、信息安全技术、数据灾难与数据恢复技术、操作系统维护技术、局域网组网与维护技术、数据库应用技术等组成的计算机综合应用学科。由于认识能力和技术发展的局限性,在硬件和软件设计过程中,难免留下技术缺陷,网络硬件、软件系统多数依靠进口,由此可造成企业信息安全的隐患,现在黑客的攻击并不是为了破坏底层系统,而是为了入侵应用,窃取数据,带有明显的商业目的,许多黑客就是通过计算机操作系统的漏洞和后门程序进入企业信息系统。随着网络应用要求的越来越多,针对应用的攻击也越来越多,除了在管理制度上确保信息安全外,还要在技术上确保信息安全。
3 企业信息安全中存在的问题
信息时代的到来,从根本上改变了企业经营形式,企业实施信息化为其带来便利的同时也产生了巨大的信息安全风险。由于我国企业信息安全工作还处于起步阶段,基础薄弱,导致信息安全存在一些亟待解决的问题。比较常见的问题有病毒危害、“黑客”攻击和网络攻击等,这些问题给企业造成直接的经济损失,成为企业信息安全的最大威胁,使企业信息安全存在着风险因素。
3.1 病毒危害
计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码,它是具有破坏作用的程序或指令集合。计算机病毒已经泛滥成灾,几乎无孔不入,据统计,计算机病毒的种类已经超过4万多种,而且还在以每年40%的速度在递增,随着Internet技术的发展,病毒在企业信息系统中传播的速度越来越快,其破坏性也越来越来越强。
3.2 “黑客”攻击
“黑客”是英文Hacker的谐音,黑客是利用技术手段进入其权限以外的计算机系统的人。黑客破解或破坏某个程序、系统及网络安全,或者破解某系统或网络以提醒该系统所有者的系统安全漏洞的过程。通常采用后门程序、信息炸弹、拒绝服务、网络监听、密码破解等手段侵入计算机系统,盗窃系统保密信息,进行信息破坏或占用系统资源,黑客攻击已经成为近年来经常出现的问题。
3.3 网络攻击
网络攻击就是对网络安全威胁的具体表现,利用网络存在的漏洞和安全缺陷对系统和资源进行的攻击。尤其是在最近几年里,网络攻击技术和攻击工具有了新的发展趋势,使借助Internet运行业务的企业面临着前所未有的风险。由此可知,企业的信息安全问题、以及对信息的安全管理都是至关重要的。要保证企业信息安全,就必须找出存在信息安全问题的根源,并具有良好的安全管理策略。
4 企业信息安全的解决方案
为确保企业信息安全,要坚持积极防御,综合防范的方针,全面提高信息安全防护能力。因此,面对企业信息安全的现状和企业信息安全发展中出现的问题,必须实施对企业的信息安全管理,建设信息安全管理体系,只有建立完善的安全管理制度,将信息安全管理自始至终贯彻落实于信息管理系统的方方面面,企业信息安全才能得以实现。企业信息安全的解决方案,具体表现在以下三个方面:
4.1 建立完善的安全管理体系
完整的企业信息系统安全管理体系首先要建立完善的组织体系,完成制定并信息安全管理规范和建立信息安全管理组织等工作,保障信息安全措施的落实以及信息安全体系自身的不断完善。并建立一套信息安全规范,详细说明各种信息安全策略。一个详细的信息安全规划可以减轻对于人的因素带来的信息安全问题。最基本的企业安全管理过程包括:采用科学的企业信息资产评估和风险分析模型法、设计完备的信息系统动态安全模型、建立科学的可实施的安全策略,采取规范的安全防范措施、选用可靠稳定的安全产品等。安全防范体系的建立不是一劳永逸的,企业网络信息自身的情况不断变化,新的安全问题不断涌现,必须根据暴露出的一些问题,进行更新,保证网络安全防范体系的良性发展,
4.2 提高企业员工的安全意识
科技以人为本,在信息安全方面也是靠人来维护企业的利益,我们在企业信息网络巩固正面防护的时候不能忽视对人的行为规范和绩效管理。企业员工信息安全意识的高低是一个企业信息安全体系是否能够最终成功实施的决定性因素。企业应当制定企业人员信息安全行为规范,必须有专门管理人才,才能有效地实现企业安全、可靠、稳定运行,保证企业信息安全。教育培训是培训信息安全人才的重要手段,企业可以对所有相关人员进行经常性的安全培训,强化技术人员对信息安全的重视,提升使用人员的安全观念,有针对性的开展安全意识宣传教育,逐步提高员工的安全意识,强调人的作用,使他们明确企业各级组织和人员的安全权限和责任,使他们的行为符合整个安全策略的要求。
4.3 不断优化企业信息安全技术
企业一旦制定了一套详细的安全规划来武装自己,保护其智力资产,它就开始投入到选择采用正确信息安全技术上。可供企业选择的防止信息安全漏洞的安全技术有很多。当企业选择采用何种技术时,首先了解信息安全的三个领域是十分有帮助的,这三个领域变得:验证与授权、预防和抵制、检测和响应。其中,用户验证是确认用户身份的一种方法,一旦系统确认了用户身份,那么它就可以决定该用户的访问权限,比如使用用户名和密码。预防和抵抗技术是指企业阻止入侵者访问。对于任何企业,必须对那些故障做好准备和预测,目前可以帮助预防和建设抵抗攻击的技术主要有内容过滤、加密和防火墙,在选用防火墙的时候,需要对所安装的防火墙做一些攻击测试。此外,企业信息安全的最后一道屏障是探测和反应技术,最常见的探测和反应技术是杀毒软件。
5 结语
总之,企业信息安全是一项复杂的系统工程,企业要适应现代化发展的需要,要提高自身信息安全意识,加强对信息安全风险防范意识的认识,重视安全策略的施行及安全教育,必须做到管理和技术并重,安全技术必须结合安全措施,并加强信息安全立法和执法的力度,建立备份和恢复机制, 为企业设计适合实际情况的安全解决方案,制定正确和采取适当的安全策略和安全机制,保证企业安全体系处于应有的健康状态。
参考文献:
[1]张帆,企业信息安全威胁分析与安全策略[J].网络安全技术与应用,2007(5).
[2]谌晓欢,企业信息安全问题及解决方案[J].企业技术开发,2008(8).
[3]付沙,企业信息安全策略的研究与探讨[J].商场现代化,2007(26).
[4]姜桦、郭永利,企业信息安全策略研究[J].焦作大学学报,2009(1).
篇13
信息时代的到来,给现代企业的发展注入了新的发展元素,强化信息化建设成为企业内部控制管理的重要内容。但是,企业具有趋利的天性,强调经济效益为导向下的企业发展模式,进而对信息安全建设落实不到位。首先,企业缺乏信息安全防范意识,主观能动性相对比较欠缺;其次,企业信息安全宣传教育工作疏于开展,导致企业职工在网络操作中,出现不规范的违法行为,进而为黑客及病毒的攻击创造了机会;再次,企业缺乏信息安全风险管理制度的建立,导致信息风险管理流于形式,无法满足企业信息安全发展的需求。
2应用系统安全性不高
企业信息化建设的实现,依托于各种应用系统的有效应用。但应用系统安全性不高等问题,在很大程度上影响了企业的信息安全。一方面,应用系统设计本身存在不足或安全漏洞,如数据传输、存储采用明文的方式。这样一来,数据极易被恶意软件、木马所窃取,实现非法访问,进而造成企业信息丢失或泄露等安全风险;另一方面,企业应用系统的安全防范模式相对比较单一,通过“口令”的认证模式,难以构建完备的安全防范。并且,企业职工在密码设置上,过于简单,且操作行为不规范,这也造成应用系统安全风险增加的重要因素。
3企业信息安全风险的控制策略
企业信息安全风险的控制,关键在于如何营造安全的信息环境、强化安全技术体系的构建,以及风险控制的制度建设,从本质上优化企业信息安全的内外环境。因此,企业可着力于以下几个方面,优化与调整企业信息风险控制的有效性。
3.1注重信息安全建设,设置安全管理机构
信息安全是企业信息化建设的重要基础,注重信息安全建设的狠抓落实,是企业强化内部控制管理的必然需求。当前,企业疏于信息安全管理工作的落实,导致企业所处于的信息环境“危机四伏”。因此,首先,企业应加信息安全纳入到安全管理之中,夯实信息安全建设管理的重要地位。其次,建立健全的安全责任制度,并逐步形成联动的信息安全管理机制,提高信息安全管理的有效性;再次,设置安全管理机构,负责企业信息安全的建设、管理,以及信息安全人员的教育培训等工作,为企业信息安全风险的控制创造良好的内部环境。
3.2强化防火墙设计,提高信息安全防范能力
当前,黑客攻击、木马入侵等在很大程度上增加了企业信息安全风险,不利于企业信息化建设的推进。因此,强化防火墙设计是提高企业信息安全防范能力的重要举措。一些企业在信息安全设备的应用过程中,存在不规范、错误使用的问题。不同功能、品牌的安全设备由于兼容性差,导致安全设备的安全防范能力下降。这就强调,企业在安全防范体系的构建中,要注重科学合理原则,针对企业信息安全建设的需求,做到体系的完备性与安全性。例如,企业在信息安全风险防范体系的构建中,可以引入终端安全管理系统。在这方面,杀毒软件公司瑞星是典型的案例。瑞星公司在其终端安全管理体系的构建中,使用了“统一系统平台+独立功能模块”的设计理念,具体如图2所示。这样一来,不仅提高了企业信息安全防范体系的构建,而且优化了企业信息系统运行的环境。
3.3提高信息安全意识,规范操作行为
良好的主观能动性是提高企业信息安全风险控制的重要基础。首先,企业要强化安全管理人员的安全意识,规范并引导其管理工作的有效落实。尤其是在管理工作中,严格依照相关的规章制度进行,避免人为管理或操作不当,而造成信息安全问题;其次,积极推进企业安全文化建设,为信息安全风险控制的落实创造良好的内部环境。企业职工认识到信息安全的重要性,潜移默化中规范并引导职工规范信息操作;再次,做好信息设备的维护与保护等工作。一方面,要对企业的电脑等设备进行防雷、防磁等保护,让机械设备处于良好的环境下运行;另一方面,不定期开展设备维护工作,以便于及时发现问题、解决问题。
4结束语
篇14
【关键词】企业;信息化建设;信息安全
伴随着我国社会经济的发展,各个企业间的竞争也是非常的激烈。各企业发展的过程中重要工作就是加强信息化建设,在企业信息化建设发展的过程当中,又显现出来了信息安全的问题,加上有的不法分子会采取各种手段盗取企业的内部信息以便达到自己的经济利益。所以说研究企业信息化当中的信息安全问题是具有非常重要意义。
一、企业信息化建设过程中信息安全的问题
一般情况下能造成企业内部信息安全问题的原因分为外部原因和内部原因,可是不管是内部原因还是外部原因都会对企业的信息系统的安全带来隐患。
1.1企业内部因素
第一个方面是企业的信息安全意识不强,虽然是现在有很多的企业加快企业内部信息化建设的进程,但是有些企业只是在表面上看到信息化建设所带来的优势,而信息化建设当中的安全问题并没能够引起企业的足够重视,所以在信息化建设的过程中比较容易出现安全隐患。第二个方面就是我国的安全软件还是比较落后,虽然国内计算机软件技术在快速的反战,可是与一些发达的国家相比还是存在一定距离,第三个方面在管理操作方面存在问题,现在有很多的企业对于自己企业内部的信息安全问题还存在不够重视的问题,在企业信息系统的管理上不够谨慎,这就会被不法分子和黑客进入的机会,造成了企业的主要信息被盗取。第四个方面缺少优秀的专业管理团队,企业信息的系统安全是前期的制定和日常系统安全的维护以及日后都是由专业的人员来进行操作,所以相关的技术人员都必须具有很好的素养和贤能的技术,第五个方面法律法规的不全面。现在我国与企业信息安全问题的法律法规不全面这就造成企业内部信息被盗取不能得到相关的赔偿。
1.2企业外部因素
现在企业信息安全系统的威胁主要来自于外部的因素,随着我国经济社会的飞速变化,在竞争激烈情况下信息是非常重要的,大昂仁会有很多的不法分子会利用各种手段来盗取企业的信息为自身得到利益。还有些企业在于对手的竞争过程中使用不正当的手段来击垮对手保证自己企业的利益。
二、企业信息化建设过程中的信息安全与对策
在我国社会经济快速发展的今天,企业信息安全对于一个企业的发展是非常具有意义的,企业的信息被盗取和泄露会给企业带来很大的损失,所以说企业对信息安全问题必须要有足够的重视。有的企业已经做好了信息安全的必要工作就应该更加注意安全软件并不是时时刻刻都能做好安全的保护,做好安全保护还要加强管理。
2.1确保正确的安全意识
一个企业在信息化发展的过程中,应该认识到企业信息的安全问题和企业发展相互的关联。如果企业的重要内部信息被盗取或者泄露那么对于企业所造成的打击是非常大的,而与此同时也是给了对手创造了很好机会。所以确保正确的安全信息意识对于一个企业来说是非常重要的,也是为了以后给企业的各项工作打下了很好基础。
2.2选择安全性能比较高的软件
其实任何软件都不是牢不可破的,可是对于安全性能比较高的软件,如果说破解的话难度还是相当高的,所以企业选择安全软件的时候要选择安全性能高的,不要为了节省一点企业的支出而选择使用安全性能差的保护软件,一旦出现问题所造成的企业损失价值会大于软件的价格。
2.3加强企业网路管理
很大一部分的企业信息被盗取都是不法分子通过网络进行的,所以说必须要对企业的网络管理进行加强,这样才能确保企业信息系统在安全的状态的情况下运行。对于信息安全的种类和等级的高低来进行制定合理的方案,并且提前做出如果发生特殊情况下怎么进行处理的方案。如果说企业的信息安全发生危机的时候,企业应该快速的组建处理小组,针对信息安全危机的步骤处理并且做好危机处理的工作,还要避免出现由于处理不当而产生的各种情况。
三、结语
以上所述是企业信息化建设过程中所必需要面对的问题,一个企业的信息安全建设应该先从管理开始,必须做到以防范为主要,必需制定有效的安全防护把安全的风险降至最低。在现在经济发展的快速时代,企业信息的安全问题决定着企业的安全运营。
参考文献
[1]原黎.探析企业信息安全问题的成因及对策[J].现代工业经济和信息化.2011(08)
[2]张耀辉.关于企业信息化建设中的信息安全探讨[J].电子技术与软件工程.2013(14)
[3]赵晓华,陈秀芹,周文艳,夏莉莉,李建忠.网络环境下河北中小企业信息安全问题研究[J].科技资讯.2013(31)
[4]叶瑞强.企业网络信息安全存在的问题及对策[J].信息与电脑(理论版).2012(03)
- 上一篇:双高背景下思政课程建设范文
- 下一篇:名人的生命观范文
