企业信息安全重要性精选(十四篇)
发布时间:2023-10-10 17:14:14
序言:作为思想的载体和知识的探索者,写作是一种独特的艺术,我们为您准备了不同风格的14篇企业信息安全重要性,期待它们能激发您的灵感。
篇1
【关键词】煤矿 信息网络信息系统 网络安全
随着信息技术、网络技术、自动化技术、视频技术、传感器技术等一系列先进技术的快速发展和融合,煤矿企业信息网络建设也取得了丰硕成果。目前国内大、中型煤矿企业基本上都已经构建和装备了企业互联网、工业以太网、监测监控、人员定位、工业控制等信息系统,这些信息系统已经深入到煤矿安全生产的方方面面,而且很多工业系统自动化程度非常的高,比如提升系统、选煤系统等已经实现了无人操作,远程开停、故障闭锁等,操作人员只需要对运行的参数进行观测和记录,大大提高了人员工作效率、增强了企业的核心竞争力。所以今天煤矿企业信息网安全就显得尤为重要,本文将就煤矿企业信息网络安全现状及重要性进行分析和探究。
1 现状分析
我国中、大型煤矿企业建设和应用了大量的信息系统和工业控制系统,并且这些信息系统已经深入到生产经营的方方面面,促使煤矿企业从传统的密集型、重体力生产模式向“采掘机械化、生产自动化、管理信息化”模式转变,有力地提升了煤矿企业管理效率,加速了煤矿的企业转型升级。但是煤矿企业在信息网络安全管理方面还存在诸多问题:
1.1 企业管理人员对信息网络安全的重要性认识不足
主要表现在四点,一是没有建立完善的信息网络组织体系,相关的制度建立和落实不到位。二是企业大都没有编制详实可行的信息网络安全预案,也没有进行相关的应急演练;三是信息网络安全方面的投入比较少,企业安全防护设施不全;四是企业管理人员对于信息网络安全的知识非常欠缺,只注重信息系统具体应用和预设功能,对于操作可能带来的网络威胁没有防范意识。
1.2 信息孤岛与信息网络安全之间的矛盾日益冲突
早期煤矿企业建设的信息系统和工业控制系统都是一个单一的个体,相互独立,之间没有任何联系,随着信息技术的发展和企业管控一体化进程的不断推进。“信息孤岛”的问题得到了很大程度的解决,但同时产生的信息网络安全问题也日益突出。“信息孤岛”的消除依赖网络的广泛应用,而网络正是信息安全的薄弱环节。消除“信息孤岛”势必使工业控制系统增加大量的对外联系通道,这使得信息网络安全面临更加复杂的环境,安全保障的难度大大增加。
1.3 信息安全管理人员信息安全知识和技能不足,主要依靠外部安全服务公司的力量
主要原因有三点:
(1)煤矿企业地处偏远山区、工作环境和生活环境相对都比较差,很难招聘到高科技人才,即是招到人也很难留下来。
(2)企业以煤炭生产、加工、销售为主业,信息技术人才发展空间小、大多数人员都只是从事信息维修工和桌面支持之类的工作。
(3)信息安全管理人员长期得不到培训和学习的机会,信息技术知识的储备量有限、业务水平处在较低的一个水平,所以只能依靠外部安全服务公司。
1.4 信息网络安全防护设备利用率低,很难发挥应有的功能
煤矿企业在信息网络建设初期都会做网络安全方面的布置,比如在网络边界架设防火墙、入侵检测设备,在内部部署杀毒软件,形成了软硬件相结合的防御模式,可是很多企业的防火墙和入侵检测设备从安装到被替换可能从来都没有做过配置更新,和漏洞修复、打补丁之类的操作,大多数的员工电脑也从不安装杀毒软件,这就做法无形中弱化了我们防御的盾牌和进攻的长矛,使网络安全防护设备长期处于半“休眠”状态。
2 重要性
“没有网络安全就没有国家安全”,在浙江乌镇世界互联网大会上提出的网络安全观,足以证明网络安全对于国家的重要性。那么同样对于现今充分利用信息网络和工业控制系统的现代化煤矿企业来说,如果没有足够的信息网络安全也就没有企业的安全生产。信息技术是一把“双刃剑”,它改变了企业的生产方式,优化了企业的管理流程,提高了企业管理效率,可是同样却又不得不将企业置身于互联网之中。互联网是一个“超领土”存在的虚拟空间,存在各种潜在的威胁,比如利用木马、病毒、远程攻击、控制等方式,泄露企业的商业机密、修改控制系统指令、攻陷服务器、盗取个人信息等,这些都有可能对企业造成严重安全事故和经济损失。这些还只是企业内部的损失,很多大、中型煤矿企业为了提升企业管理效率都开通与集团公司之间的专线VPN,承载了很多应用服务包括协同OA、生产调度、销售等等的数据都要进行通信,如果信息网络安全受到攻击瘫痪,都会对企业的生产经营造成影响,更有甚者可能通过煤矿企业本地发起攻击,致使整个集团的信息网络受到严重威胁,所以煤矿企业管理人员一定要树立正确的信息网络安全观,充分认知信息网络安全的重要性,加快构建关键信息基础设施安全保障体系,增强企业信息网络安全的防御能力。
3 总结
总之,信息网络技术发展的今天,信息网络安全已经是每一个煤矿企业必须面对和正视的问题,也是每一个企业管理者应该积极参与和考虑的问题。古人云“知己知彼 百战不殆”,煤矿企业应该立即行动起来,通过开展关键信息基础设施网络安全检查,准确掌握企业关键基础设施的网络安全状况,详细评估企业所面R的网络安全威胁,制定对应的防范措施,构建企业信息网络安全的“防火墙”,为企业安全生产经营、职工娱乐生活营造一个安全、稳定、健康的网络环境。
参考文献
[1]陈龙.煤炭企业网络安全建设与管理探究[J].煤炭技术,2013.
[2]刘永军.关于煤炭网络信息安全问题分析及对策研究[J].科技创新与应用,2014.
篇2
关键词:信息网络;安全性;企业的发展;重要性
引言
信息网络看不见摸不着,却又切实围绕在每个人的身边,并渗透进了经济发展的每个细胞里。现代企业作为推动国家经济发展的细胞,繁荣衰盛牵动着国家经济的每一根神经,计算机网络在企业的应用是不可阻挡的趋势,他给企业,给社会经济的发展带来的益处不言而喻,数不胜数,可任何事情都有其发展的轨道和两面性,信息网络在带给社会便利的同时,其安全性也对大环境下经济发展构成威胁。现今,网络发展促使越来越多的计算机人才的涌现,利用好了便造福于社会,否则便会成为威胁网络安全的罪魁祸首。为了确保网络的安全性,全社会从上至下树立起安全用网的意识,完善相关法律法规的制定,各部门加强防范意识,坚持自主创新,具体情况具体分析,完善内部网络安全,创造网络发展良好环境,使得网络健康有序地服务于社会经济的发展。
一、网络使用在企业中的现状
信息网的安全性破坏绝非一朝一夕的事情,许多的网络木马病毒总是会从各种渠道悄无声息侵入到整个系统,致使信息网的瘫痪,造成不可估量的损失。现今,网络安全主要会从以下方面受到威胁:1.1、企业员工,员工的网络意识不高,多数员工并没有意识到网络信息不安全的事实,在使用内部计算机时,会因为安全配置不当,而造成的网络安全漏洞,随意浏览网页或与他人共享网络资源,用户口令选择不当安全意识不强,等等都会为网络病毒提供有乘之机.1.2、企业忽视对网络的建设,企业经营者注重的往往是网络效应,缺乏对构建安全网络的投入,使得许多的企业网络基本处于被动防御封堵网络漏洞的状态,缺乏安全意识,没有建立主动防范的网络体系,提高网络检测、防护和恢复能力.1.3、网络信息安全还有很大一部分原因要归咎与人为的恶意攻击。他们熟知网络的运作方式,拥有纯熟的网络技术和操作水平。如近年来,网络黑客以及其他的网络犯罪活动猖獗,他们攻击方式主要分为有目的的攻击,也就是主动窃取目标信息,有选择地破坏企业内部信息的完整性和机密性,另外一种是被动攻击,被动攻击是在不影响网络正常工作的前提下,截获或窃取公司的机密信息,这两种攻击破坏力都非常强,企业必须对此提高警惕,完善防范和监督体系。第四、相关法律法规的缺失,对恶意攻击网络的行为惩罚力度不够,间接促使了人为攻击和网络犯罪的频增。
二、保障信息网络安全,促进企业稳定发展
2.1、完善网络使用的规章制度,提高员工安全防范意识
网络安全从内部抓起,健全和完善企业网络使用的规章制度,监督体系,并建立明确奖惩规则,如严令禁止私人使用移动存储设备,强制性杜绝利用企业网络处理私人问题的行为;贴封条,并定期检查网络设备,加大对网络维护和监测力度,同时加强对员工的思想教育,提高员工的整体素质,明确滥用网络的危害性,增强员工的企业责任心,普及安全用网知识,人为的对网络进行控制和监管,防止信息泄露,和网络漏洞的出现。
2.2、完善企业信息网络的防范系统和监督体系
企业管理人员应加大对主动防范领域的投资,转被动封漏为主动出击,加强防范与监督,严防网络病毒的入侵,一旦发现病毒及时查杀,并定期更新完善杀毒软件,检查网络设备。注重企业的紧急预警,发生病毒侵入事故,立即执行有效的应对方案,及时减少不必要的损失,防患于未然。加强企业内部自身的防御体系建设,建立完备的防火墙,防水墙体系,定期按时监测。加大企业对计算机技术人才的投资,调高企业相关技术人员的技能和技术水平,加大网络建设的人才投资,调高技术员工的综合素质,完善企业内部的计算机信息网络,保障信息网络的安全,谨防企业内部的机密信息外泄,给企业带来的难以挽回的损失,对企业的持续,健康,稳定的发展十分重要。
2.3、建立健全的法律法规
市场经济条件下,企业之间,各部门之间资源流通,实现高度共享,充分利用资源,谋求发展。这个信息公开透明的环境,为网络犯罪活动提供良好的途径,除了企业自身应该加强防范系统的建设与监测以外,国家作为宏观调控的有效手段,应该加强网络市场的监管,为经济发展营造一个公平公正的环境。针对网络黑客的恶意攻击,国家应当完善当前网络犯罪惩治的法律法规,对网络犯罪行为施以重击,从源头上打击这类方法活动,使其望而却步。同时加紧完善网络监督体系,严格把关每一类流放市场的信息的合法性,这对社会经济充分发展,企业资源实现共享,发展新型健康经济,提供了重要的基础。
结语:
市场经济为企业的发展提供了良好的平台,实现了企业之间的资本快速流通,信息网络的发展则为企业发展实现资源共享,为经济良性循环发展提供了有效的方式,企业信息网络安全,对保护企业核心信息,保障企业核心竞争力十分重要;同时信息网络安全对市场经济健康发展,营造公平公正公开的市场竞争环境有着举足轻重的作用。加强企业信息网络安全,决不是只凭借一人之力就能完成的,个人,集体,社会必须统一加强网络安全意识,企业管理应注重完善内部网络的监督与防范体系,保护核心利益不受莫名损害,社会应从源头上,建立健全网络监督体制,和法律法规,对网络犯罪活动严惩不贷,上下齐心,打造安全的网络环境。
参考文献:
[1]陈舒.关于构建企业信息安全体系的探讨[J].网络安全技术与应用,2004,(11):33-35.
篇3
随着高新技术的日益普及和发展,越来越多的企业陆陆续续地将网络和计算机逐步运用到企业自身的经营和管理中去,因此这使得企业的信息化安全变得越来越重要。企业信息化安全作为企业信息化管理和建设中十分关键的一个环节,是企业能够流畅运作的保障,现如今如何更好的保证企业管理中的信息化安全已经成为每一个新型企业都要面临的严峻问题。
【关键词】信息化安全 企业管理 网络平台
随着我国信息技术的大力发展和普及,越来越多的企业将信息化的企业运营和管理作为企业发展的重点,以此来提升企业自身的运作效率,从而进一步增加企业自身的知名度和企业收益。本文根据企业所面临的实际情况,从几个常见的要点和方面分析了在企业管理中常见的几个信息化安全问题,于此同时,并给出了解决这些问题的合理的方案并为日后企业管理的信息化安全提供了一定的理论价值。
1 企业管理中信息化安全的基本概述
所谓企业管理信息化指的是企业将计算机和互联网作为管理平台,在此基础上进行开发、生产等控制性的活动,旨在提升企业的运作效率和生产进度,从而提高企业内部的核心竞争力。虽然信息化在企业的管理上占有一定的优势,但是随着计算机病毒和互联网黑客的大肆盛行,在信息化大环境下的企业管理难免会出现一定的数据安全问题。信息化企业管理平台的安全与否直接关系到企业机密数据的安全问题。对于部分与外界互联网有链接的企业信息化管理平台,甚至可能会造成企业核心机密文件的丢失,从而给企业自身带来不可估量的损失。
2 企业管理中信息化安全的重要方面
完善和健全企业管理的信息化平台是确保企业运行顺畅非常重要的一个关键性因素。相关企业信息化的管理层领导要切实从企业信息化的核心层面保障企业管理的信息化安全,这是非常重要和必要的。而在企业管理中信息化安全的重要方面主要分为三个方面。分别是运行管理小组、服务管理小组和用户管理小组。
第一个是运行管理小组,所谓的运行管理小组,指得是要得以保证网络的顺畅运行,因此就要对企业网络上出现的以及即将出现的安全隐患要做到及时解决,从而保证企业网不间断的运行。面对十分严苛的企业信息化环境,运行小组要及时的对企业管理的网络平台进行监督和保护,并实时保证企业管理网络平台的运行顺畅,从而切实保障企业管理的顺利进行。
第二个是服务管理小组,所谓的服务管理小组,指的是对企业管理网络平台服务层面上的管理,即对信息化服务中相关服务的运行、服务器硬件系统的运行以及安全事件进行统计分析。
第三个是用户管理小组,负责企业管理网络平台的用户监控和管理,对网络平台上的用户行为进行合理的统计和分析,并对外来访客的身份进行识别和确认,从而进一步保证企业管理网络平台的信息化安全。
企业管理网络平台作为企业信息化管理的基础性工具,是企业内部所建立的计算机互联网络。如果企业自身遍布世界各地,那么企业管理网络平台也会根据企业实际所在的地点形成不同的局域网。这些不同地区的局域网相互连接从而形成真正完整的企业管理网络平台。但这些连接也在无形之中给企业管理的信息化安全造成了一定的威胁。如果未经企业允许,私自接入企业网络的终端,便会对对企业网构成安全威胁。同时,网络平台的稳定性也会对企业数据的安全传输构成潜在威胁。
3 企业管理中信息化安全的重要性
企业管理中信息化安全是企业网络安全稳定运行的重要基础,在企业管理的网络运行当中,无论是网络连接线路还是网络传输设备出现问题都会有备用的线路或者设备马上投入运行,从而确保企业管理核心数据的安全。再者,企业管理中的信息化安全能够对实时接入企业网络的用户进行实时的监督和控制,并且采用相关的网络技术手段防止不明身份访客的非法链接,对于未经允许进入的用户要能及时发现,并对其行为进行监测和控制,这也在一定程度上保证了企业管理中的信息化安全。
总之,企业管理的信息化平台是企业的门户,因此要切实保证企业管理的信息化安全是十分重要和必要的。为此要做到以下几个方面:
(1)对企业内部用户进行实时的监督和管理,对企业外网用户的进入行为进行实时监控和分析,一旦发现存有异常的非法违法行为要及时和制止和处理;
(2)对病毒和非法内容要及时的进行过滤;
(3)对异常的网络破坏行为,如黑客非法入侵、异常发送或接收相关数据等等,要及时进行相关的检测和控制。
4 结束语
信息化是日后企业发展的一个大方向。而信息化安全则是企业管理的一个重要保障。在今后的发展中,企业自身要与时俱进,根据实际情况制定自己明确的信息化安全策略,才能切实保证信息化能够为企业的发展和壮大保驾护航,更为企业自身带来更多的经济利益,从而充分地提升企业自身在社会上的竞争力。本文通过对信息化安全在企业管理上出现的一些实际问题做出了合理的分析,从而为日后企业利用信息化技术更好的发展提供了一定的理论价值,从而指明了一条更为清晰的发展道路。
参考文献
[1]卢晓晖.我国企业信息化的问题与对策研究[J].科技信息,2013(07).
[2]乔军利.企业内部计算机网络安全问题与防范[J].西铁科技,2010(01).
[3]高榕.中小型企业园区网络设计与实现[J].软件导刊,2010(08).
作者简介
韩一嫡(1988-),女。辽宁省辽阳市人。现为辽阳石化分公司信息技术部助理工程师。大学本科学历。
篇4
企业经营信息对于企业来说是一种资源,对于企业自身来说具有重要意义,企业需要妥善管理自身企业的信息。近年来,企业的各项经营活动都逐渐开始通过计算机,网络开展,因此,企业的信息安全管理对于企业越来越重要。许多企业开始通过各种技术手段以及制度改革,把更多的注意力放在企业内部的信息安全管理工作,同时将企业信息安全管理与风险控制结合起来,这是一个正确的选择,能够帮助企业实现稳定经营。在介绍企业信息安全管理以及风险控制前必须厘清企业信息安全管理的概念与企业风险控制定义,因此,本节将着重介绍企业信息安全管理的概念以及企业风险控制的定义。
企业的信息安全管理包含十分丰富的内容,简单来说是指企业通过各种手段来保护企业硬件和软件,保护网络存储中的各种数据不受偶然因素的破坏或者恶意的原因被攻击。对于信息安全的认定通过包括4个指标,即保证信息数据的完整,保证信息数据不被泄露,保证信息数据能够正常使用,保证信息数据能够控制管理。要想做好企业的信息安全管理,首先需要了解的是关于信息的传输方式。随着信息技术的不断普及,信息传递的方式越来越多,常见的信息传递方式主要有互联网传播,局域网传播,硬件传播等等。要想实现企业的信息安全管理,其中很重要的一项工作在于保护信源、信号以及信息。信息安全管理是一项需要综合学科知识基础的工作,从事企业信息安全管理工作的人员通过需要具有网络安全技术、计算机技术、密码技术、通信技术。从企业的信息安全管理来讲,最为关键的一项工作时保护企业内部经营信息数据的完整。经过近十年来的企业信息安全管理工作经验总结,企业信息安全不仅仅需要信息技术的支持,更需要通过建立完善的企业风险控制体系来帮助企业实现更好地保护企业信息安全的目标。
所以,怎样把企业信息安全管理与风险控制融合起来就是摆在企业经营管理者面前的一道难题。企业的信息安全风险控制必须通过企业建立完善的企业信息安全风险体系实现。企业的信息安全风险控制是指企业在企业信息安全遭遇威胁之前,提前对企业的信息进行风险预估,并采取一系列的有针对性的活动降低企业面临的信息安全风险,从而尽可能减少因为企业本身信息安全管理中存在漏洞给企业带来不必要的损失。常见的企业信息安全风险体系建立主要包含以下几个方面的内容。第一,建立企业信息安全风险管理制度,明确企业信息安全管理的责任分配机制,明确企业各个部门对各自信息安全所应承担的责任,并建立相应的问责机制。第二,设置规范的企业信息安全风险管理指标,对企业存在的可能威胁企业信息安全管理的漏洞予以风险定级,方便企业管理者对不同的信息安全管理漏洞采取有区别的对策。第三,企业要加强对信息安全管理人员的培训,提高企业信息安全管理工作人员的风险意识,让企业内部从事信息安全管理工作人员认识到自身工作的重要性,让企业内部从事信息安全管理工作人员了解到规范自身行为,正确履行职责的重要性。第四,将企业信息安全管理与风险控制有效融合,重视企业信息安全管理工作,通过风险控制对企业内部信息安全的管理方式进行正确评估,找出现行的企业内部信息安全管理手段中存在容易忽视的地方。
二、企业信息安全管理与风险控制存在的不足
1.企业信息安全管理工作人员素质不高
对于企业来说,企业信息安全管理工作是一项极为重要而隐秘的工作,因此,必须增强对企业信息安全管理工作人员的素质要求。但是根据调查统计,目前很多企业对信息安全工作的管理仅仅停留在对企业信息安全管理工作人员的技术要求上,对企业信息安全管理工作人员的道德素养,职业素养,风险意识并没有严格要求。此外,绝大多数企业并没有意识开展对企业信息安全管理工作的道德素质的教育培训,并没有通过建立相关管理制度以及问责机制对企业信息安全管理工作人员实行监督,这无疑给别有用心或者立场不坚定的企业信息安全管理工作人员留下了危害企业信息安全的可乘之机。
2.企业信息安全管理技术不过关
企业信息安全管理工作涉及多许多技术,包括信息技术,计算机技术,密码技术,网络应用技术等等,应当说成熟的计算机应用技术是做好企业信息安全管理的基础,但是,现实是许多企业的信息安全管理技术并不过关,一方面企业的信息安全管理硬件并不过关,在物理层面对企业信息缺乏保护,另一方面,企业信息安全管理工作的专业技术没有及时更新,一些企业信息安全管理工作人员缺乏企业信息安全管理的实践经验,企业信息安全管理的知识也并没有及时更新,从而导致企业的信息安全管理理论严重滞后,这种技术的落后很容易让企业成为不法分子的攻击对象。近年来网络病毒的传播越来越猖狂,很多服务器、系统提示安全补丁的下载更新以及客户端的时常更新成为一个恼人的问题。作为一个行业中的大中型企业,企业内部设备数量比较多,尤其是客户端数量占了较大比重,仅仅靠少数几个管理员进行管理是难以承担如此大量的工作量。另外,企业信息安全管理系统不成熟也是一个重大的隐患。
3.企业信息安全管理制度不健全
企业信息安全管理制度不仅仅需要理论制度的完善,更加需要一系列配套监督机制保障企业信息安全管理的有效执行。通过调查分析,许多企业虽然建立了企业信息安全管理制度,但是通常情况下,这些制度只能流于形式,企业信息安全管理工作缺少有效的制约和监督,企业信息安全管理工作人员缺乏执行力。企业信息安全管理制度不健全,企业信息安全管理工作缺乏执行力常常体现在以下几个方面。第一,企业员工对于信息安全管理的认识严重不足,对企业信息安全管理工作不重视。企业内部计算机系统安全的计算机防病毒软件并没有及时更新,使用,甚至企业内部计算机的防病毒软件还被企业员工卸载了。部分企业员工认为自己的工作与企业信息安全管理不相关,认为做好企业信息安全管理工作仅仅是企业信息安全部门的事。第二,企业内部信息安全管理制度并没有形成联动机制,企业信息安全管理工作仅仅由企业信息安全部门“一人包干”,企业信息安全反映的问题并没有得到积极的反馈,一些企业领导对企业信息安全现状所了解的少之又少。
三、企业信息安全管理常见的技术手段
1.OSI安全体系结构
OSI概念化的安全体系结构是一个多层次的结构,它的设计初衷是面向客户的,提供给客户各种安全应用,安全应用必须依靠安全服务来实现,而安全服务又是由各种安全机制来保障的。所以,安全服务标志着一个安全系统的抗风险的能力,安全服务数量越多,系统就越安全。
2.P2DR模型
P2DR模型包含四个部分:响应、安全策略、检测、防护。安全策略是信息安全的重点,为安全管理提供管理途径和保障手段。因此,要想实施动态网络安全循环过程,必须制定一个企业的安全模式。在安全策略的指导下实施所有的检测、防护、响应,防护通常是通过采用一些传统的静态安全技术或者方法来突破的,比如有防火墙、访问控制、加密、认证等方法,检测是动态响应的判断依据,同时也是有力落实安全策略的实施工具,通过监视来自网络的入侵行为,可以检测出骚扰行为或错误程序导致的网络不安全因素;经过不断地监测网络和系统来发现新的隐患和弱点。在安全系统中,应急响应占有重要的地位,它是解决危险潜在性的最有效的办法。
3.HTP模型
HTP最为强调企业信息安全管理工作人员在整个系统中的价值。企业信息安全工作人员企业信息安全最为关键的参与者,企业信息安全工作人员直接主导企业信息安全管理工作,企业信息安全工作人员不仅仅是企业信息安全的保障者,也是企业信息安全管理的威胁者。因此,HTP模型最为强调对企业信息安全管理工作人员的管理与监督。另外,HTP模式同样是建立在企业信心安全体系,信息安全技术防范的基础上,HTP模式采取了丰富的安全技术手段确保企业的信息安全。最后,HTP强调动态管理,动态监督,对于企业信息安全管理工作始终保持高强度的监督与管理,在实际工作中,通过HTP模型的应用,找出HTP模型中的漏洞并不断完善。
四、完善企业信息安全管理与降低风险的建议
1.建设企业信息安全管理系统
(1)充分调查和分析企业的安全系统,建立一个全面合理的系统模型,安全系统被划分成各个子系统,明确实施步骤和功能摸块,将企业常规管理工作和安全管理联动协议相融合,实现信息安全监控的有效性和高效性。
(2)成立一个中央数据库,整合分布式数据库里的数据,把企业的所有数据上传到中央数据库,实现企业数据信息的集中管理与有效运用。
(3)设计优良的人机界面,通过对企业数据信息进行有效的运用,为企业管理阶层人员、各级领导及时提供各种信息,为企业领导的正确决策提供数据支持,根本上提高信息数据的管理水平。
(4)简化企业内部的信息传输通道,对应用程序和数据库进行程序化设计,加强对提高企业内部信息处理的规范性和准确性。
2.设计企业信息安全管理风险体系
(1)确定信息安全风险评估的目标
在企业信息安全管理风险体系的设计过程中,首要工作是设计企业信息安全风险评估的目标,只有明确了企业信息安全管理的目标,明确了企业信息安全管理的要求和工作能容,才能建立相关围绕信息安全风险控制为目标的信息安全管理工作制度,才能顺利通过对风险控制的结果的定量考核,检测企业信息安全管理的风险,定性定量地企业信息安全管理工作进行分析,找准企业信息安全管理的工作办法。
(2)确定信息安全风险评估的范围
不同企业对于风险的承受能力是有区别的,因此,对于不同的企业的特殊性应该采取不同的风险控制办法,其中,不同企业对于能够承受的信息安全风范围有所不同,企业的信息安全风险承受范围需要根据企业的实际能力来制定。不仅如此,企业的信息安全风险评估范围也应当根据企业的实际经营情况变化采取有针对性的办法。
篇5
【关键词】信息化建设 信息安全 对策分析
在科技飞速发展的大环境下,信息化已经成为当今时代的发展趋势,企业信息化建设已经成为企业发展的必经之路,企业通过对信息化建设过程中的信息安全的探索,保证企业信息化建设过程中的信息安全与系统稳定,从而使企业在竞争中处于不败之地,让企业在工业化与信息化深度融合下,快速发展,与时俱进。
1 当前企业信息化建设中的信息安全问题
1.1 信息安全管理问题
目前企业的信息安全管理上存在的问题,首先,信息管理人员缺乏或者人员经验不足:计算机信息安全很大程度上取决于管理人才,调查显示,我国七成IT企业信息安全系统保障不足,主要原因是管理人员没有及时更新系统补丁程序、没有及时维护系统。企业信息安全是上不断完善的动态过程,需要不断对现有系统进行安全检查、评估,及时发现新的问题,跟踪最新安全技术,及时调整安全策略,增强企业信息安全性。其次,在企业的信息化建设中信息安全管理系统不完善,信息安全管理系统,如果没有一个很好的保障体系,会使得信息的管理错乱,无秩序,重复管理、漏管等现象发生,使得信息系统出现漏洞,安全性降低。最后,安全以人为本,如果管理不善,人为原因,造成的操作失误,误用或滥用关键、敏感数据或资源等导致信息丢失泄露,外部人员和硬件的商家等对于企业的系统有一定的了解,有权限合法访问,这也会造成信息的安全问题。
1.2 信息化建设中的硬件问题
近年来,由于信息化发展较快,企业信息化建设的成本也在不断提高,由于信息化建设投资大、回报慢,一些企业虽然有信息化建设的意愿,但是在实际投入上比较小,这就使得企业信息化建设过程中,企业的硬件设施跟不上时代的不发,导致企业信息化建设止步不前,计算机硬件设施的老化,对企业信息化建设过程中的安全问题存在这一定的隐患,而且,计算机的硬件决定着信息化建设的稳定性。另外在链路传输、网络设备(路由器、交换机、防火墙、通讯线路故障)等以及物量的一些不可抗力造成的地震、水灾、火灾等环境事故使系统毁灰。
1.3 信息化建设中的软件问题
(1)国内的软件水平与世界先进水平还存在较大的差距,更容易受到黑客和病毒的攻击。这样就会造成使用这些软件的企业信息化建设中存在信息安全问题。
(2)配置中存在的问题,很多的系统和应用软件在初装后会使用默认的用户名和口令以及开放的端口,而这些都容易造成信息的泄露。
(3)Web服务中的安全问题,www体系的主要特点是开放、共享、交互,这使得信息安全问题增加,安全漏洞多样,如果服务器的保密信息被窃取,信息系统就会受到攻击,获取Web主机信息,使机器暂时不能使用,使机器暂时不能使用,服务器和客户端之间的信息被监听等。
(4)路由器信息的不安全行为,路由器简单的密码或共享密码、安全功能没有设置会导致信息的泄露。
2 企业信息化建设中信息安全的对策
信息安全是企业信息化建设中的重要问题,只有保证信息的安全才能使企业在信息化建设中走得更远。企业在信息化建设进行信息安全的建设,主要可以从强化信息安全观念、加强硬件建设安全防护、提升软件建设安全措施三个方面进行。
2.1 强化信息安全观念
在企业信息化建设中,一旦企业信息被盗取或丢失,对企业肯定会造成损失甚至是致命的打击。要从企业的基层员工到管理者都要正确认识信息安全的重要性,强化信息安全的观念,提高信息安全意识,从思想上认识提高信息安全的必要性。
2.2 加强硬件建设安全防护
加强企业信息化建设过程中的硬件建设安全,首先要保证计算机的安全。企业的信息化建设离不开计算机,要保证计算机的安全就要对计算机进行定期的维护与保养,避免计算机在运行过程中出现突发性故障而导致企业信息的丢失。
另外,企业的信息化建设中,要加强网络硬件的建设。目前,市场上应用比较广泛的企业网络协议就是TCP/IP协议,硬件组成有服务器、通信设备、网络安全设备,主要应用技术是网络交换、网络管理、WEB数据库技术、防火墙等技术,同时还有支持网络运行的支撑系统,整个硬件建设安全、稳定、可靠。
2.3 提升软件建设安全措施
要解决企业信息化建设过程中的信息安全问题还需要加强企业信息系统的软件安全防御措施,要采用高性能的安全软件对系统进行防护,使用防护软件要使其发挥其价值所在,不要因小失大。目前,大多数企业的软件防护措施不到位,主要原因就在于软件防护措施不到位,例如企业在公共区域设置无密码的无线路由器,等于是向所有人公开企业的信息,安全无法保证。因此,企业在信息化建设过程中有必要采取高性能的安全防护软件来保证信息的安全。
3 小结
企业在信息化建O过程中的信息安全问题,有着很广泛的内容,企业信息化建设中信息安全的监控、维护等涉及的面比较广。在信息安全问题上主要应该以防护为主,从良好的管理开始,将信息安全风险扼杀在摇篮中,形成安全保障体系。信息时代,企业的信息化建设是企业发展和提高竞争力的基础,我国的企业信息系统长期处于不安全状态,没有足够认识到企业信息安全的重要性,希望通过本文的探索和论述,能够引起企业的关注,加强信息安全的防护。
参考文献
[1]艾戬.企业信息化建设中的信息安全探究[J].网络安全技术与应用,2015(03).
[2]辛玉红.企业信息化建设中的信息安全问题[J].现代情报,2004(11).
[3]马良.企业信息化建设中的信息安全问题[J].才智,2014(01).
[4]张耀辉.关于企业信息化建设中的信息安全探讨[J].电子技术与软件工程,2013(14).
[5]刘生堂.试论企业信息化建设中的信息安全问题[J].中国新通信,2015(22).
篇6
关键词:供电企业;信息;安全管理
1供电企业信息安全管理的重要性
供电企业作为我国企业重要的组成部分,对我国社会和经济的快速发展至关重要。网络时代到来,要求我国企业必须信息化、现代化、科技化,供电企业为了提高企业工作的效率和质量,将互联网引进供电企业。供电企业在互联网环境下得到了飞速的发展,但是仍然存在着多方面的隐患:管理制度不够完善、工作人员综合素质和能力不足、机构和系统滞后等制约了供电企业的全面发展。因此,建立完善、可行的信息安全管理体系对供电企业的发展非常重要。供电企业是我国社会和经济发展的保障,必须提高供电企业信息安全意识,投入大量的精力和财力维护供电企业信息安全,真正确保供电企业的信息安全,推动供电企业的正常运行,促进我国社会和经济的可持续发展。
2供电企业信息安全管理的影响因素
2.1管理制度因素
制度是企业发展的根本,供电企业信息安全管理最重要的影响因素是在供电企业中是否制定了相应的管理制度,不但应该包括环境管理制度、机构管理制度、系统管理制度,还包括对供电企业中管理层与员工的管理制度,制度在一定程度上能够衡量供电企业信息安全管理实施情况,并且提供强硬的保障。确保供电企业活动在硬性的管理制度下开展和实施。环境、机构、系统、人员等这些能够对供电企业信息安全造成影响的因素通过硬性制度规范能够符合供电企业发展需求。
2.2工作人员因素
供电企业信息安全管理工作人员是供电企业信息安全管理活动开展的核心,工作人员的综合素质和能力直接决定了供电企业信息安全管理活动开展的效率和质量。供电企业作为特殊性质的企业,不但需要具备专业知识和能力的工作人员,更重要的是需要道德高尚的工作人员,即对工作有正确的认识,在任何情况下都能够对工作内容进行保密。因此,在供电企业信息安全管理工作中必须要考虑工作人员的招聘和培养,选择有专业素养和道德修养的人员降低供电企业信息安全存在的风险,全面推动供电企业工作的开展。
2.3机构和系统因素
在供电企业中,设有专门的信息安全机构和系统,完善的信息安全机构和系统是信息安全管理的关键。信息安全机构、岗位和人员的安排直接影响供电企业的信息安全,环境系统设置、介质系统设置、监控系统设置、备份和恢复系统设置是信息安全管理的重点。在供电企业信息安全管理工作中要大量投入精力和财力构建完善的信息安全管理机构和系统,信息安全管理系统需进行定期和不定期检查和维护,防止重要信息和文件丢失。
3供电企业信息安全管理的建议
3.1制定供电企业信息安全管理制度
在供电企业中,应该根据供电企业的性质和特点,制定相应的日常管理制度,其中包括环境卫生问题、系统检查问题、人员管理问题等,并且针对日常管理制度执行情况实行奖惩,不但要对违反管理制度人员进行惩罚,更应该加大奖励制度,奖励在企业中遵守规章制度,做出特殊贡献的人员。另外最重要的是,不但要完善日常管理制度,还需制定信息安全预测和规避制度,包括供电企业信息安全存在的风险因素预测、信息安全风险规避原则和方法等。对供电企业信息安全风险进行预测和规避不但能够降低供电企业信息安全管理费用支出,更能够加快供电企业信息安全管理工作进度,提高供电企业信息安全管理水平,提升供电企业的竞争力。
3.2提高供电企业信息安全管理人员素质和能力
提高信息安全管理人员的综合素质和能力是确保顺利开展供电企业信息安全管理活动的根本。第一,要重视相关工作人员的选拔,信息安全管理工作人员必须具备专业的知识和技能,最重要是必须具备道德素养,严格遵守企业的规章制度,不论是在职还是离职后都做到不向任何人泄露供电企业信息和数据。第二,重视工作人员的培训和考核,对信息安全管理人员进行专业知识和技能的培训,提高信息安全管理人员信息安全意识,提高信息安全预防、维护技能。并且定期或者不定期对工作人员进行考核,根据考核结果制定后期培训和管理计划。第三,处理好信息安全管理离职人员交接工作,信息安全管理离职人员掌握着关于供电企业的重要信息和数据,因此供电企业必须重视信息安全管理离职人员工作的交接,并且签订相应的保密协议,在工作人员离职后保守关于供电企业的信息和数据。
3.3完善供电企业信息安全管理机构与系统
供电企业信息安全管理离不开完善的管理机构和系统。关于信息安全管理机构而言,就是要在供电企业中设置专门的部门、岗位和人员进行信息安全管理,做到责任到人。在出现信息安全问题时,可以及时地与相关部门岗位人员进行沟通,尽快解决问题,避免企业遭受损失。关于企业信息安全管理系统,主要分为以下方面:(1)环境管理,主要是针对供电企业信息安全设备进行管理,对机房电脑和监控等设备进行维护;(2)介质管理,指的是对供电企业中传播媒介进行有效的管理,并且防止在介质使用过程中信息、数据丢失;(3)监控管理,监控作为供电企业信息安全保障对供电企业信息安全管理至关重要,要加大力度进行维护和管理;(4)备份和恢复管理,在供电企业中重要的信息和数据一定进行了备份,为了信息安全,供电企业必须高度重视信息备份和恢复。
4结束语
供电企业的发展离不开信息环境,在信息环境下,供电企业不但提高了工作效率,最重要的是保证了工作质量。但是目前由于供电企业自身管理缺陷与信息环境存在的风险,供电企业信息安全管理工作中仍然存在着很大的问题。供电企业信息安全管理是供电企业可持续发展的根本保障。因此,供电企业信息安全管理的实施可以从以下三个方面开展:制定供电企业信息安全管理制度、提高供电企业信息安全管理工作人员的素质和能力、完善供电企业信息管理的机构和系统。推动供电企业信息安全管理的发展,真正提高供电企业竞争力。
作者:张晓明 单位:国网江苏省电力公司靖江市供电公司
参考文献:
[1]吴庆辉.计算机网络安全管理[J].信息与电脑(理论版),2016(11).
篇7
一、制造型企业信息安全的必要性
随着我国市场信息化水平加深,网络技术已经成为了推动社会发展重要因素之一。网络的便捷性,使得任何人都可以利用网络接受、传送大量的网络信息,或者是存在网络云盘之中。而网络的公开性,也导致网络对于任何人来说都没有门槛,这也是窃取信息的问题不断发生的主要原因。对于企业来说,尤其是制造型企业,一旦企业赖以生存的核心技术被盗取,几十年的劳动成果皆拱手送人,企业将承受巨大的、甚至是毁灭性的损失。
企业信息泄露还有一种就是人才流动,现如今企业人员流动较大,企业信息可能被直接带到其他企业之中,这也是个比较棘手的问题。
另外一种情况是随着企业之间的合作不断增加,企业外派员工成为常见的现象,这样就加大了企业间的交流和接触时间,对于本企业的信息泄露也许就是在不经意间。
无论是网络问题还是人为问题,如果造成企业信息泄露,其对自身企业的损害是非常大的。以技术为核心的制造型企业加强信息安全管理势在必行。
二、制造型企业信息安全管理的现状及问题
1.企业信息安全管理的被动性
制造型企业的工作重点在产品制造与生产,对于网络信息管理意识薄弱,很多时候企业只有发现企业信息泄露或者遭受病毒的攻击等安全事件,才会关注企业信息安全问题,进而调动技术部门前来解决问题。这很大程度上反映制造型企业对网络信息安全不够重视,只有出现信息安全问题时,才组建临时小组来解决企业信息问题,待到问题解决后小组便被解散,没有对企业信息后序的监督和管理,企业信息安全管理缺乏系统策划和制度化要求,管理活动临时性强,缺少日常的维护和预防,导致更多的是重蹈覆辙,这样不仅没有为企业省下对安全管理的资金,相反的恰恰是增加了企业的资金投入,直接增加了企业安全管理的成本。同时因为临时小组的组建,使得人员调动频繁,大大降低了工作效率,进而对企业的经济效益造成影响。
2.员工使用内部系统连接外网
虽然大部分制造型企业对企业自身的内网进行了防护监测,而且对员工上网和网页浏览采取了一定的限制措施,但是实际上,企业对员工上网的控制落实程度不够,员工依旧可以在工作时间使用企业网络进行外部网络连接,而且对于一些网站毫无防备。而网络病毒是时刻都在通过网络攻击使用者的,特别对于企业内部网络,黑客更是随时随地紧盯着企业内网出现漏洞,进而窃取企业内部信息。由于企业员工的疏忽,会有很大几率使得企业信息出现安全隐患,轻则影响企业正常的生产工作,重则企业商业、技术信息被盗取或者企业内网瘫痪甚至纵,为企业带来非常严重的后果及损失。
3.移动设备限制力度不够
制造型企业在信息安全管理方面通常采取的措施是限制流水线工人的移动设备使用,但是对于办公部门却没有严格要求,办公人员可以自由携带智能手机、笔记本电脑、pad、硬盘等移动设备。因办公人员要对数据进行处理,会导致企业内部信息被无限制地拷贝。而且现如今的移动智能设备都能直接通过企业的无线网络,连接企业内网以获得权限,这样的确提高了企业内部的办公效率,同时也给黑客病毒提供了通过无线网络进行传播的机会,提高了企业内部信息安全的风险。
4.信息安全防护技术水平低
在我国,普遍存在信息安全研发技术水平较低的情况,这也是制造型企业安全技术不高的原因之一。制造型企业的工作重心偏重于生产、制造及商务活动中,而对于网络安全的防护意识不高。
作为企业,都会有一些信息安全意识。在企业成立初期,信息安全防护措施通常会被考虑并采纳,尤其是一些进口设备,但仅仅依赖进口设备是远远不够的。第一,进口设备虽然技术先进,但是出现问题是在所难免的,往往出问题的是一些关键的零部件,这些零部件不仅难以拆卸且是整台设备的技术核心,设备厂商必然会控制其销售渠道。第二,很多企业过于相信进口设备的技术,力争做到一步到位,使得企业发展中前期安全防护的确不错,但是却忽略了系统的更新和维护,网络病毒每天新出几万种,就算设备再先进,如果不进行更新,迟早会被病毒攻破。第三,很多企业都采用家用式免费杀毒软件,这些杀毒软件更新频率快,一些简单病毒、木马都能有效查杀,对家用来说但是对企业来讲远远不够,企业一般是黑客重点关注的对象,黑客往往会研制更先进的病毒来攻克企业的防火墙,一些免费杀毒软件很容易被攻破,增加制造企业内部信息安全问题。
5.企业出现安全问题处理方法不当
现如今研发病毒的技术快速而先进,病毒出现时的及时处理是非常重要的,我国制造型企业在出现信息安全问题的时候,虽然有相关的杀毒软件,但因为大部分都是免费的,其更新速度虽然频率高,相对滞后性比较强,对于新病毒无法第一时间发现、处理。而且许多病毒都是潜在性的,企业内部系统中毒之后没有任何异样,这就导致企业内部人员无法及时发现企业内网是否被越权或遭到攻击。同时,由于很多企业缺少专门管理信息安全的部门,并且对于病毒侵入缺乏有针对性的安全对策和应急措施,这就导致就算病毒被发现,企业在第一时间也无从下手。
三、制造型企业容易出现安全问题的原因
1.企业内部信息安全意识低
制造型企业的本质是通过生产经营活动而获得盈利,因此制造型企业的工作重点主要是企业生产、制造以及流通和服务。在此情况下,企业更关注盈利情况,而缺乏对信息安全的管理意识,对信息安全管理的重视度不足。导致这一现象的重要原因是安全防护不能为企业带来直接的经济效益,反而要投入大量的人力、物力、财力。另一方面,从安全管理角度来说,没有事故发生才是管理绩效的体现。相对于质量管理、生产安全管理来说,信息安全管理的管理性质是类似的,但因为其管理对象的不可见性,往往容易被企业高层忽视。同时,一般也会存在侥幸心理,感觉企业内部网络不会受到黑客攻击,或是认为就算受到病毒攻击也不会对生产经营造成什么大影响,对企业整体利益影响不大。基层员工更是不明白什么是安全防护,对企业安全防护的重要性一无所知,这就导致许多企业内部信息技术会从员工口中泄露。
2.信息安全管理模式不够完善
制造型企业信息安全问题频发的原因,究其根本就是因为企业信息安全管理模式不够完善,具体原因是制造型企业不重视信息安全管理、缺少系统规范的信息安全管理制度、缺乏专业的信息安全管理技术和安全管理人员,企业信息系统设计没有风险评估、没有完善的业务流程,信息安全管理存在头痛医头脚痛医脚的现象。
3.信息安全系统没有应急措施
制造型企业信息安全系统缺少应急措施,也可以说没有自我保护系统。自我保护系统是一种比较先进的技术,一旦有病毒侵入系统,系统会自动对重要信息进行加密、封锁,待系统安全后自动解锁。然而由于对信息管理的意识不足,使得很多制造型企业没有建立信息安全自我保护系统。在我国,诸多制造型企业在信息管理方面更多的是依靠员工的经验,对于网络自身的保护信任度不足,也缺少对信息安全管理技术发展的关注和引用。
四、制造型企业信息安全管理存在问题的对策
综上所述,制造型企业信息安全问题是由很多因素造成的,包括管理层的重视方面、技术方面、人员管理方面等。首要的,企业应提升对信息安全管理的重视程度,只有加强意识,并建立有效的信息安全防范措施,才能有效保护企业自身的核心竞争力,以获得在市场经济中更好的发展。
1.提高企业内部员工的信息安全意识
很多制造型企业信息泄露都是内部员工无意间透露出去的,这也是最常见的企业内部信息泄露渠道,企业应充分重视员工的信息安全教育,定期对企业内部员工进行信息安全培训及考核,通过教育向员工灌输信息安全的基本知识和常识、企业内部信息的重要性、一旦发生企业核心技术泄露将产生的严重后果等信息。加强企业内部员工信息安全意识,也就是从根本上降低了企业信息安全隐患,企业中如果基层员工都非常了解并重视信息安全问题,那么这个企业在信息安全管理方面必然非常完善有效。
2.建立健全企业信息安全管理机制
由于很多制造型企业缺少健全的信息安全管理机制,这就给了很多黑客病毒更多的侵入机会。一套完善的信息安全管理机制能够有效的保护企业信息安全,降低安全隐患。制造型企业应该建立健全企业信息安全管理机制,设立专门的企业信息安全管理部门,这样能最大程度保证信息的日常安全防范,也保证了一旦出现安全问题,企业能更好、更快地解决问题,健全的管理机制能够对风险有一定的预见性,把风险降到最低。
3.加大对信息安全管理的资金投入
任何新型技术都离不开资金的投入,信息安全管理同样也是,而且信息安全管理更多的属于技术型投入,对资金依赖性更高。制造型企业想要获得可持续发展,就必须要把目标放得更加长远。企业内部信息往往是一个企业的核心,因此企业应提高对信息管理的重视程度,加大对信息安全系统的投资,把信息安全管理作为企业管理重要的一部分,信息安全管理资金划作专项资金专款专用。企业对信息安全管理的投资要有计划性,确保突况的资金投入、技术更新的资金投入、管理人员的资金投入、安全教育的资金投入等。把信息安全管理纳入企业整体的发展规划中,这样才能保证企业信息更加安全,企业才能获得长足的发展。
4.加大对信息安全管理人才的认识
因为信息对企业生存至关重要,信息安全甚至会影响到企业的发展战略的制定和落实,制造型企业应当把信息安全管理与生产经营提高到同一个层次。企业内网是网络技术领域,既然是技术,就离不开专业人才的支持,企业应该加强信息安全管理的人才培养,提高企业信息安全管理的质量。如果企业内部没有专业的信息安全管理人才,企业可以通过对外招聘的形式,在社会中寻求人才。现如今互联网技术已经逐步走向成熟,计算机人才更是越来越多,所以,制造型企业在社会中寻找信息安全管理的人才不会很难,同时还能促进计算机技术人才就业,对于企业自身以及社会都有很大意义。
5.加强企业内网管理
一般来说,企业内网系统中的信息很多都属于商业机密,基层员工是无权了解的。制造型企业应该把各个层级的员工账号及内网系统中的信息进行分类管理,按信息等级设置不同的访问权限和防范措施,以免企业员工在使用内网时网络病毒通过权限窃取过多的企业信息。另外,很多企业信息泄露都是由于某些员工通过企业无线网连接外网导致企业系统中毒,针对此类情况企业要制定相应的政策和管理制度,通过对硬件的管理和网页访问权限设置,严禁员工上班时间通过移动设备随意连接外网。
五、结束语
篇8
随着信息系统在企业中的广泛应用,信息安全的问题逐渐突出和严峻,这就体现了进行现安全有效性管理的重要性。实现信息安全管理的有效性测量是对企业进行信息安全运行的风险问题进行评估,进而得出企业的信息安全系统能否同企业信息安全的控制水平相一致,体现了对于整体性提高企业信息安全管理水平的重要性。
【关键词】
信息安全管理;有效性测量;方法
在21世纪的社会发展新时代,网络、计算机、信息技术被大量的企业纳入到自身的生产经营管理之中,在基本运行中会涉及到企业众多的机密文件和信息,直接关系的企业的发展运行,所以,一旦出现安全问题就会对企业产生重要的影响。所以,在不断深化的应用中,企业开始注重对信息安全的管理,并通过多样化的技术手段和方式来进行强化,但是这样的方式决定了对安全管理的有效性不能进行合理的把握和控制,并且对整体的安全水准也没有实现准确的衡量。所以,如果企业只是强化了信息安全在技术方面的建设,而并没有开展有效的安全管理评估工作,就会使信息安全系统在整体的规划中存在缺陷和漏洞,所以,进行信息安全管理的有效性测量是极为重要的。企业也逐渐认识到其重要性,使得近年来,我国企业对于信息安全有效性的测量需求不断增多,但是,在这方面我国起步较晚,存在着很多不足和缺陷,这就需要在有效的研究中寻找适当的方法来提升测量的整体有效性。
一、信息安全管理有效性测量的目的
通过实现有效性的测量,能够真实评估和反映企业信息安全管理的整体水平,以使企业在后续的信息安全管理中有明确的发展目标和整体方向。企业进行信息系统的建立时,往往会依据企业自身的发展需求、信息组成、安全标准、组织结构、利益关系等方面的需求进行,进而构筑相应的信息安全的整体体系和相关模型。通过对企业的信息安全管理进行有效性的测量,可以在技术的管理支撑下客观真实的反映企业信息管理的整体性评估,会能实现对企业信息安全管理目标的运行程度进行说明,并能对企业信息安全管理的系统效能开展准确科学的评测,为企业提供进行信息安全管理考核的基本依据[1]。就企业的整体发展实际来看,如果不开展信息安全管理的有效性测量,会使企业的整体管理水平只依赖于基本测评状态下的运行管理水平,难以同真实的信息安全运行环境相脱离,造成企业在安全管理过程中的漏洞和误差,使得企业在正常的运营和发展中的实际需求同所进行信息安全管理的整体水平不相一致,并且在对基础环节下的表面数据有所依赖时,并不能发现运行中的不足和缺陷,更遑论进行有效合理的解决,极大化的为企业的发展运行埋下了信息安全的运行隐患。而通过有效性的测量活动,能够准确的将企业在信息安全方面的漏洞进行定位,并且还能够有效指导基本的解决策略,有效保障企业信息管理系统的整体安全和有效。
二、信息安全管理有效性的测量方法
在开展信息安全管理有效性的测量时,需要对进行测量的指标进行量化的处理,并最终形成具有实际可行性的量化测量指标。在测量中,不同的指标则需要不同的测量方法来进行,一般而言,具有风险分析、问卷调查、内部审核、渗透性测试、个人访谈、内外对比、风险评估、报表统计等不同的方法。通过不同指标的不同测量之后,能够得得出各个指标的测度结果,在此基础上再根据不同的技术需要对结果进行科学有效的取值管理,给各个指标赋予不同的安全分险权重,然后综合计算企业信息安全管理有效性的整体水平[2]。比如在进行信息安全管理整体运行的有效性测量时,在对基本技术要求进行测量评估时,还需要对企业的环境安全、人员安全、业务联系、安全意识、事件管理等开展管理有效性的评估,以保障最终结果的综合有效性。在信息安全管理有效性的测量发展中,相关专业机构提出了同通过整体的系统模型来实现信息系统的整体安全性的方法。通过信息安全测量模型的建立,将信息系统运行中需要进行安全检测的对象中的某一些属性在通过一系列的检测管理过程之后,得出最后的测量结果,其中最为重要的就是测量方法和基本测度。将测量对象的多个属性应用不同的测量方法之后就能够得到基本测度,而基本测量方法的获取是通过多样化的数据资源进行测量对象的数据获取,比如风险评估结果、日志报表统计记录、调查表、测量结果等途径。就我国当前进行信息安全管理有效性测量的方式而言,在设定环节相对复杂和冗余,但在基本的项目实践中得出如下的基本运行方法:
2.1审计监控系统回顾
在进行检测时,需要尽可能的发现各个环节所存在违反和潜在信息安全的现象和事件,以实现有效的防治,实现影响的最小化[3]。
2.2纠正预防措施验证
对已经纳入整体有效性测量计划的纠正预防措施,在开展检测时进行检查和回顾,以保证检验过程中对于信息安全管理系统所采取的各项措施是否合乎当下的现状和企业具体要求。
2.3信息安全事故统计
主要是对已经发生过的安全事件进行统计和分析,以为检测的有效性提供更加高效合理的方法指引,以实现进行更高角度的评估以及在控制措施方面的有效性。这样的方式是将基本的计划和检测方式实现了有效的结合,并在各种方法的支撑下,实现综合型的检测,做到有效的预防和纠正,从不同的层面反应了进行信息安全检测的有效性,并保障整体运行体系的完整有效性,进而形成一个有效的良性循环。
三、结束语
就我国的整体实际而言,信息安全管理有效性的测量方法,还处于基础的起步阶段,而且相关的各项理论研究和测量指标等也均没有达到完善的阶段,这就需要进行不断的发展和探索,而且实践证明,进行信息安全管理有效性的研究是有着极为广阔的发展前景的,在保障整体信息运行管理的安全性基础上,能够使企业提升整体的竞争力和自身生存能力,并且能够将测量中发现的问题和相关数据进行分析,然后具有针对性的使企业所存在的风险得到最大化的控制,最终达到基本业务的正常有效运行。
作者:薛拥华 邓冲 陈宇 刘板浩 黄刚 单位:精诚瑞宝计算机系统有限公司
参考文献
[1]朱英菊,刘红丽,陈长松.信息安全管理有效性的测量研究[J].情报杂志,2010,01:73-76+41.
篇9
1.1地理信息系统及数据采集与监控系统
在燃气企业中应用GIS系统,既能对燃气管线进行电子化图档管理,也能实时监控天然气管网规划、抢修等情况。GIS通过将现有的管网及周边地理状况、管线、设备等信息,集成为管线集输的综合信息,然后,实时传输和展现给燃气企业相关管理人员,从而为燃气管线运行、设备维护和安全管理,提供全面、准确的参考依据。
1.1.1.数据采集与监控系统(SCADA)
SCADA系统是燃气管道应急系统的重要组成部分,是一项集实时工控与调度信息管理为一体的大型的计算机应用系统。可以远程监控与管理各门站、调压站等站点,确保燃气系统运行高效、安全、经济运行。
1.2事故处理方案决策优化与管网风险评价
1.2.1事故处理方案优化决策
在燃气行业的日常工作中,如遇管网故障,发生危险,必须快速、有效的进行应急处置和救援。其具体流程一般如下:接获任务并了解现场情况,相关人员迅速召开会议或电话、电视会议,制定抢修、救援方案,然后进行抢修和救援。但是,抢修时间紧迫,这种处置流程不仅浪费宝贵的时间和资源,也会受到人为主观因素的影响,例如,意见不统一或决策失误等,不仅延误抢修和救援,甚至可能会导致二次事故。采用模糊评价法对燃气管网事故的解决方案进行对比和遴选,通过定性和定量分析选择最优方案。首先利用模糊关键词,采用定性和定量方法分析事故,然后以技术打分分配各因素权重,最后通过决策软件实现方案的最优选择。可以实现在事故发生时,提供关键词,即可获得最佳的抢修方案,以排除人为主观因素的干扰,更科学、更理性。
1.2.2管网风险评价
不少燃气企业对管网安全评价重视不足,尤其缺乏对现役管线的风险评价。对燃气管线的管理,仅仅做到定期运行和巡检是不够的,还要更多的考虑到未来规划的问题。例如,分几期对管线进行改造,改造又分为几步,如何开展等等。通过建立管网仿真及安全评价系统,结合各管线属性信息,例如腐蚀程度、第三方破坏程度、维检修情况、压力检测等等,建立一个庞大的数据信息库,全面考察管线危险性,得到危险等级排序,预测管线使用寿命,对未来管线更新及改造规划提供理论指导。
2城市燃气企业信息安全探索
2.1信息安全的概念
根据GB/T22081-2008,所谓的信息安全就是通过采取有效策略,确保信息免受各种威胁、损害,从而保证业务连续性,并达到风险最小、投资回报最优。燃气企业信息安全,就是指燃气企业信息资产安全可靠,业务稳定开展,不会受到系统自身和外来网络病毒、黑客等的攻击,如果出现安全事故,其损失可以降到最低。
2.2燃气企业管理存在的信息安全问题
2.2.1信息安全意识淡薄
当代社会,信息载体多样化,办公电脑、存储设备以及系统软件使用不规范都容易导致信息泄露,在常见的搜索引擎上可以轻易的查询到某燃气企业或大型公司企业的内部文件,这些情况的发生,正是由于企业信息安全意识淡薄,对信息的传播安全管理重视不够导致的。
2.2.2信息安全管理机制不健全
在网络信息安全管理中,一般都强调“三分技术,七分管理”。由此可见,信息安全最重要的是管理的安全。安全与管理是密不可分的,信息防护技术只是信息安全的一部分,仅仅将投入放在这一方面是远远不够的,缺乏完整、规范以及系统化的信息安全管理制度,将无法从根本上实现信息安全。
2.2.3信息安全技术人才缺乏
在燃气企业中,受传统管理理念的影响,不少企业管理人员对于信息安全认识及其重要性认识不足,不注重企业信息安全管理人员和技术配备,导致企业信息安全管理水平不高。虽然最近几年来,燃气企业信息化建设水平不断提高,吸纳了许多信息化技术人才,但是专业从事综合性的信息安全管理工作人员比例仍然较低。
2.3信息安全建设中的关键问题分析
2.3.1准确评估风险大小,正确处置安全风险
风险评估的方法很多,燃气企业进行信息安全风险评估时,需要立足企业实际,根据GB/T20984-2007《信息安全技术信息安全风险评估规范》,制定科学、合理的风险评估流程,辨识完毕企业的信息安全风险之后,要采取科学、合理的处置办法:风险接受、风险规避、风险减缓以及风险转移。
2.3.2重视人在燃气企业信息安全管理中的作用
企业管理中,最重要的因素就是人,人是信息安全的管理者,也是信息安全危险事件的诱发者,由于人为因素导致的信息安全事件不在少数。若要对企业职工进行约束,首先要明确职工的信息安全管理职责,加强人员思想教育,通过教育和培训,在企业内建立起良好的信息安全文化氛围。
2.3.3细化信息资产分类,提高资产管理水平
在当今,信息无疑是燃气企业宝贵的资源和资产,信息资产的管理应当做到:建立信息资产清单并规范管理;设定信息分类、等级并区分保存;信息标记,并明确标记内容。尤其大量存储数据信息的移动硬盘、废旧电脑,简单的格式化处理后,数据信息极易被还原,必须要通过物理销毁、数据覆盖或者不可逆专门处理工具进行销毁。
2.3.4加强信息安全事件管理,预防信息安全事件发生
通过有效的技术防范措施,比如在系统中安装防火墙软件、反病毒产品、定期备份数据等,对设备、网络进行定期检查,及时处理过期、失效产品。同时,燃气企业还要建立完善的信息安全应急处置预案,明确处置程序及各部门的职责,定期开展应急演练,以提高信息安全应急处置水平。
2.4燃气企业做好信息安全工作的几点探索
2.4.1加强新型技术的应用
如今,无线技术、互联网技术、云技术等先进的科学技术,已经日益广泛地融入企业日常工作,通过技术更新,企业信息技术应用,也需要随之而变。企业推进新技术应用的同时,应当加强入侵检测、加密认证、灾难备份技术等信息安全防护技术,确保企业在新的信息技术环境中实现信息安全建设。
2.4.2大力发挥人才的优势
篇10
【关键词】企业; 信息安全; 风险评估; 风险控制
引言:
计算机和网络通信相结合的信息技术,是促进当代社会信息化发展的主要力量,为社会上各行各业的发展创造了良好的环境。许多企业在经营与管理中已经引用现代信息技术,从而使经营与管理更为科学,工作效率更高,获得的经济效益也越多。然而现代信息技术是一把双刃剑,信息化的程度越高,由它带来的风险也越大。当前,企业的信息安全风险评估工作存在着一些问题,这些问题对企业的发展造成很多不利的影响。
一、企业信息安全风险概述
对企业来说,信息是维持企业正常运作的必要资源。企业的信息包括重要的数据、企业的发展规划、保密性文件、知识产权等。这些信息一旦被泄露,那么企业将面临着或大或小的经济损失,更严重的还会使企业面临破产的危险。所谓的企业信息安全就是指信息在其生命周期中,它的完整性、保密性和可用性这三个特性的保留情况。如果这三个特性都得到了保障,那么信息的安全性就高;如果其中的某个特性被破坏,那么信息的安全性就低。而信息安全风险就是指信息在特定的环境与特定的时间里可能遭遇的安全威胁。
信息安全风险可以分为可控性风险与不可控风险、可接受风险与不可接受风险、自然风险与人为风险等[1],这些风险给企业的信息安全管理工作带来了更多的不确定因素,加深了工作难度。
二、企业信息安全风险评估的现状与问题
当前,我国企业的信息安全风险评估工作存在着许多问题,给企业的日常经营与管理带来了许多不利的影响。
首先,企业没有树立正确的信息安全观。很多企业的管理者在信息安全问题上会走向两个极端,一种是认为只要加大信息建设的投入,信息就存在绝对安全的可能;另一种是忽视信息安全建设,信息安全风险意识淡薄。很多企业的管理层对信息资产的重要性认识不够,因而他们在保护信息安全方面几乎是无作为。
其次,企业在具体的信息安全风险评估工作中,表现出重安全技术而轻安全管理的思想与行为方式。这些企业在工作过程当中,不论是在心理还是在行为上都过分依赖安全技术,甚至认为只要安全技术过硬,信息安全就一定能够得到保证,为此,企业普遍采用现代通信技术、计算机和网络技术来构建企业信息安全系统。而在安全管理上,出现了管理措施不到位,员工在信息保密上不够严肃等问题,造成信息安全技术做无用功。
此外,企业信息安全风险评估工作还存在着管理制度不够完善、责任划分不够明确等问题。信息安全风险的评估工作需要收集各方面的大量的信息,如此才能增强评估的有效性。而企业由于管理制度不完善、职责划分不明确等问题,造成各部门的工作不配合、不协调。信息技术部门被孤立,信息安全的风险评估工作也就不能得到及时有效的完成。
最后,我国有些企业在信息安全风险评估的技术与方法上落后于时代。现代信息系统越往后发展,结构就越复杂。这要求企业要根据不断变化的信息技术来改进自己的风险管理理念和手段,同时也要吸收国际上的先进信息安全风险评估技术,保障自身的信息安全。
三、企业信息安全风险的控制
企业信息安全问题对企业来说是不应该被忽视的部分,企业应该在经营与管理的每个环节做好信息安全风险的控制工作,使企业的重要信息能够得到充分的保护。企业信息安全风险的控制可以从风险分析、管理控制、技术控制三个方面来进行。
(一)风险分析
在进行信息安全风险控制之前,先对风险进行分析可以使风险控制工作更加具有针对性,能够提高风险控制工作的效率。对风险的分析可以从信息资产面临的威胁、存在的弱点等方面来进行[2]。在风险分析工作中,要明确以下几点:首先是信息安全风险控制工作中需要保护哪些信息,这些信息具有什么样的价值;信息资产面临着哪些潜在的威胁,导致这些威胁产生的根源是什么,威胁发生的几率有多大;信息资产中是否具有漏洞,这些漏洞是否会被人威胁利用;信息资产发生威胁之后,企业会面临多大的损失;企业该采取什么样的措施来应对风险带来的损失,等等。
(二)管理控制
企业信息安全风险控制工作主要从组织管理、人员管理、政策实施等几个方面来进行。首先,企业应该建立信息安全组织机构,吸收组织成员,协调企业内部的各项资源,制定信息安全控制的目标并通过组织成员履行职责来达到目标。其次,企业要培养素质高、责任心强、原则性强,能够遵守企业政策的人员。企业信息安全风险的控制不仅与强大的技术力量有关,而且还有赖于执行人员对信息安全工作的支持与参与。此外,在政策实施上,企业要严格执行相关的信息安全保护政策,比如目前国际通用的《信息技术―信息安全管理实施细则》[1],为企业执行信息安全保护工作提供一个统一的标准,从而使工作能够有序地展开。
(三)技术控制
技术对信息安全控制的影响力是比较大的,它在很大程度上决定了信息安全风险的大小、范围,同时它也决定了修补信息安全漏洞的方式和方法。因此,在技术方面对信息安全风险进行控制是非常有必要的。首先,技术构架的设计应该遵循系统性原则、技术先进性原则、可控性原则、适度性原则等,使技术能够更好地服务于风险控制;其次,要做好安全域的信息安全保障工作,根据不同的安全域所面临的不同风险来进行信息安全保护工作;最后,要提高信息安全保障技术。目前而言,我国的信息安全保障技术与国际上的相比明显处于落后状态,因此,企业要引进先进的技术力量,加强信息安全风险的控制力度。
四、结语
在这个信息化高度发展的社会,任何企业与个人在享受信息化带来的便利的同时,也要承担信息化带来的风险。我国企业在激烈的市场竞争中,不可避免会遇到信息安全上的威胁。因此每个企业都应该做好信息安全的管控工作,认真、严肃地对待当前网络环境下的企业信息安全问题。
参考文献:
[1]谷田.网络环境下的企业信息安全问题研究[D].郑州大学2012
篇11
[关键词]信息安全管理 评估模型 管理体系
中图分类号:P9.T3308 文献标识码:A 文章编号:1009-914X(2016)21-0400-01
1、 引言
随着信息化建设的发展,信息安全越来越多的受到人们的重视,企业信息安全重点面临的问题主要表现在[1]:1)网络受到外部的恶意攻击,部分单位无终端接入控制措施,使企业的正常业务无法开展或相关重要数据被盗取;2)网站受到黑客攻击,由于部分掌握网络技术的不法人员查询到破解网站所存在的漏洞,加以利用并篡改网站信息及获取网站管理权限,使得网站陷入瘫痪;3)信息的监管不利产生不良的影响,通常情况下信息没有主管部门负责审核导致监管不到位,那么不良信息就可能由于工作人员的疏忽而上传到网站上,造成不良影响;4)计算机病毒的危害,相关系统不及时更新补丁和升级,受到病毒入侵并加以利用,篡改应用系统信息或获取管理权限,使得应用系统丢失重要信息。
当前,有关信息系统的安全评价虽然存在着多种多样的具体实践方式,但在目前还没有形成系统化和形式化的评价理论和方法。评价模型基本是基于灰色理论(Gray Theory)或者模糊(Fuzzy)数学,而评价方法基本上用层次分析法AHP[2](Analytic Hierarchy Process)或模糊层次分析法Fuzzy AHP[3]将定性因素与定量参数结合,建立了安全评价体系,并运用隶属函数和隶属度确定待评对象的安全状况。上述各种安全评估思想都是从信息系统安全的某一个方面出发,如技术、管理、过程、人员等,着重于评估网络系统安全某一方面的实践规范。在操作上主观随意性较强,其评估过程主要依靠测试者的技术水平和对网络系统的了解程度,缺乏统一的、系统化的安全评估框架,很多评估准则和指标没有与被评价对象的实际运行情况和信息安全保障的效果结合起来。
大型企业信息安全管理体系的研究,就是为了寻找一个科学、合理的管理体系,并根据该体系和方法对大型企业的信息安全状况和水平进行评价,对信息安全管理绩效进行考核。
2、 大型企业信息安全管理体系的内涵
通过管理体系的应用,将对大型企业信息安全产生非常重要的作用。一是可以对企业信息安全的水平做出客观的反应,认识企业信息安全存在的不足之处,发挥考评体系的指导作用,引导企业“信息安全”工作健康科学发展;二是可以为企业信息安全的建设指明方向,为信息安全的发展提供有力支撑;三是可以帮助企业管理者建立起一套科学的信息安全管理系统,有效控制信息化活动的进程,提高信息安全级别,减少因信息安全事件引起的损失,有利于正确引导和规范企业的信息化建设,指导企业科学发展具有重要的意义。
3、 大型企业信息安全管理体系的主要做法
为了大型企业信息安全管理体系的建立,提出了管理体系的目标:对于信息安全方面出现的问题,达到防范目的;对于信息安全工作进行查漏补缺,加强管理;通过评估体系的考核,落实相关信息安全文件、推进信息安全工作,为企业信息安全的建设指明方向,同时注重管理体系整体的时效性,根据信息安全发展的不同阶段进行及时更新。
1) 建立大型企业信息安全体系
信息安全体系总体设计。信息安全体系设计共分为三级,包含9个一级指标,14个二级指标,27个三级指标。一级指标和二级指标为共性指标,三级指标为数据采集项。一级指标包括:网络安全管理、环境安全管理、应用系统安全管理、数据安全管理、终端安全管理、操作安全管理、网络信息安全、移动信息化安全、服务器扫描情况。一级和二级指标结构图如下:
2)信息安全考评指标的权重设计
指标权重理论思路。具体权重根据德尔菲法[4]、层次分析法,结合政策导向确定。
管理体系的指标权重确定方法设计过程中,选取两组技术、管理等方面的专家,其中一组专家根据各指标在企业信息化中的重要程度,确定各指标的相对重要性,采用层次分析法确定各指标的权重。另外一组专家根据各指标在企业信息化中的重要程度,对各指标按百分制进行赋值,确定各指标的权重。综合两组专家的意见,初步确定各指标的权重,再组织专家研讨会,最终确定各指标的权重。
企业信息安全考评指标总分计算方法:
I=Σ(Pi*Wi) (1)
I表示指标体系的总得分;Pi表示第i个指标的得分,各指标得满分都是100分;Wi表示第i个指标的权重,所有指标权重的和为100%。
3)建设大型企业信息化评价管理系统
为了实施信息安全措施体系,以信息安全体系、信息安全文件和考评制度为基础,研发包括信息安全在内的大型企业信息化评价管理系统。通过使用该系统,将减轻信息化管理部门的负担,填报和汇总数据的效率显著提高,最为突出的是以上报数据为基础,可以自动、实时地形成各种统计、分析图表,从而完成以往需要信息化管理人员几天才能完成的大量统计工作,大大减轻了信息化管理部门的工作强度,增加了信息化管理部门对新情况快速反应能力。
系统整体架构由数据库层、框架服务层、应用逻辑层、界面表现层组成,系统部署了tomcat下运行的I@Report和BI@Report作为框架服务层,并在此基础上开发了业务系统。
系统主要实现了如下功能:
编码同步、基层权限管理、评价初始化、基层初评、数据提交、部门权限管理(含单位、指标项)、管理部门复评、信息稽核、数据计算、统计管理、查询管理、决策模型。
建立统一的数据报送平台,提高企业信息整合水平。
建立在线交流及公告平台。
系统根据建立的数学模型进行综合分析,可自动、实时地形成各种统计分析图表、报告等,例如:信息化评级、信息化水平评测报告。
4、 结束语
通过大型企业信息安全管理体系的实施,使企业信息化水平评估体系更加完善,在考评信息化建设水平的同时,又对信息安全水平等级有所提升。
参考文献
[1] 周学广,刘艺.信息安全学[M].北京:机械工业出版社,2003.
[2] 常建娥,蒋太立.层次分析法确定权重的研究[J].武汉理工大学学报,信息与管理工程版,2007,1(29):153-156.
篇12
由于电力企业以发电、经营电力为主,信息网络安全问题并没有得到足够重视,管理方面存在重技术轻管理的问题,未建立完善的信息安全管理制度,面对上级检查,简单应付,脑子里轻视信息安全,信息安全观念淡薄,这都会增加企业信息系统的安全风险。例如,缺少对企业职工的信息安全教育培训、缺少定期对信息运维人员的安全技能的培训等等,都会严重威胁企业信息网络的安全。电力企业在针对信息系统的应用和信息网络安全两个方面时,更加注重的是前者。以此同时,可能部分职工还存在侥幸心理,忽视了网络安全问题的重要性。
2电力企业网络信息安全管理的有效策略
2.1注重建设基础设施和管理运行环境
需要严格的管理配电室、信息、通信机房等关键性的基础设施,对防水、防火、防盗装置进行合理配备;对电力二次设备安全防护要做到,安全分区、网络专用、横向隔离、纵向认证,生产控制大区与信息管理大区要做好物理强隔离;机房需要安装监控报警设备和动环监测系统;对桌面终端和主机等设备要做好补丁更新,控制权限;在网络安全设备上要做好安全策略;做好流量监测和行为监测;此外,建立设备运行日志,对设备的运行状况进行记录,并且建立操作规程,从而保证信息系统运行的稳定性和安全性。
2.2建立并完善信息安全管理制度
建立健全信息安全管理制度,注重安全管理,确保根据安全管理制度进行操作;做好安全防护记录、制定应急响应预案、系统操作规程、用户应用手册、网络安全规范、管理好口令、落实安全保密要求、人员分工、管理机房建设方案等制度,确保信息系统运行的稳定性和安全性。由内至外,全面的贯彻,实施动态性地管理,持续提高信息安全、优化网络拓扑结构。
2.3注重信息安全反违章督察工作的开展
建立信息安全督察队伍,明确职责,按照信息安全要求,开展定期的督察,发现问题,限期整改。电力企业要对企业信息系统软硬件设施、容灾系统、桌面终端、防护策略等进行定期督查,实现信息安全设备加固和更新,培养信息安全督查专家队伍,交叉互查、发现并解决问题,提高信息系统的安全性。
2.4积极探索电力企业信息安全等级保护
信息安全等级保护指的是,对涉及国计民生的基础信息网络和重要信息系统按照其重要程度及实际安全需求,合理投入,分级进行保护,分类指导,分阶段实施,保障信息系统安全。针对电力企业信息系统,应建立相应的信息安全等级保护机制。技术上分级落实物理安全、网络安全、主机安全、应用安全、数据安全;管理上要建立对应的安全管理制度、设置安全管理机构、做好人员安全管理、系统建设、运维管理。
2.5明确员工信息安全责任,实现企业信息安全文化建设
针对企业的所有员工,关键是明确自己需要担负的安全责任、熟悉有关的安全策略,理解一系列的信息安全要求。针对信息运维人员,需要对信息安全的管理策略进行有效地把握,明确安全评估的策略,准确使用维护技术安全操作;针对管理电力企业信息网络安全的管理人员,关键在于对企业的信息安全管理制度、信息安全体系的组成、信息安全目标的把握和熟悉。以上述作为基础,实现企业信息安全文化的建设。
2.6提升人员的信息安全意识
针对电力企业信息安全而言,员工信息安全意识的提高十分关键。企业需要组织一系列有关的信息安全知识培训,培养员工应用电脑的良好习惯,比如不允许在企业的电脑上使用未加密的存储介质,不应当将无关软件或者是游戏软件安装在终端上,对桌面终端进行强口令设置,以及启用安全组策略,备份关键性的文件等,从而使员工的信息安全意识逐步提高。
3结语
篇13
【关键词】企业;信息化建设;信息安全
伴随着我国社会经济的发展,各个企业间的竞争也是非常的激烈。各企业发展的过程中重要工作就是加强信息化建设,在企业信息化建设发展的过程当中,又显现出来了信息安全的问题,加上有的不法分子会采取各种手段盗取企业的内部信息以便达到自己的经济利益。所以说研究企业信息化当中的信息安全问题是具有非常重要意义。
一、企业信息化建设过程中信息安全的问题
一般情况下能造成企业内部信息安全问题的原因分为外部原因和内部原因,可是不管是内部原因还是外部原因都会对企业的信息系统的安全带来隐患。
1.1企业内部因素
第一个方面是企业的信息安全意识不强,虽然是现在有很多的企业加快企业内部信息化建设的进程,但是有些企业只是在表面上看到信息化建设所带来的优势,而信息化建设当中的安全问题并没能够引起企业的足够重视,所以在信息化建设的过程中比较容易出现安全隐患。第二个方面就是我国的安全软件还是比较落后,虽然国内计算机软件技术在快速的反战,可是与一些发达的国家相比还是存在一定距离,第三个方面在管理操作方面存在问题,现在有很多的企业对于自己企业内部的信息安全问题还存在不够重视的问题,在企业信息系统的管理上不够谨慎,这就会被不法分子和黑客进入的机会,造成了企业的主要信息被盗取。第四个方面缺少优秀的专业管理团队,企业信息的系统安全是前期的制定和日常系统安全的维护以及日后都是由专业的人员来进行操作,所以相关的技术人员都必须具有很好的素养和贤能的技术,第五个方面法律法规的不全面。现在我国与企业信息安全问题的法律法规不全面这就造成企业内部信息被盗取不能得到相关的赔偿。
1.2企业外部因素
现在企业信息安全系统的威胁主要来自于外部的因素,随着我国经济社会的飞速变化,在竞争激烈情况下信息是非常重要的,大昂仁会有很多的不法分子会利用各种手段来盗取企业的信息为自身得到利益。还有些企业在于对手的竞争过程中使用不正当的手段来击垮对手保证自己企业的利益。
二、企业信息化建设过程中的信息安全与对策
在我国社会经济快速发展的今天,企业信息安全对于一个企业的发展是非常具有意义的,企业的信息被盗取和泄露会给企业带来很大的损失,所以说企业对信息安全问题必须要有足够的重视。有的企业已经做好了信息安全的必要工作就应该更加注意安全软件并不是时时刻刻都能做好安全的保护,做好安全保护还要加强管理。
2.1确保正确的安全意识
一个企业在信息化发展的过程中,应该认识到企业信息的安全问题和企业发展相互的关联。如果企业的重要内部信息被盗取或者泄露那么对于企业所造成的打击是非常大的,而与此同时也是给了对手创造了很好机会。所以确保正确的安全信息意识对于一个企业来说是非常重要的,也是为了以后给企业的各项工作打下了很好基础。
2.2选择安全性能比较高的软件
其实任何软件都不是牢不可破的,可是对于安全性能比较高的软件,如果说破解的话难度还是相当高的,所以企业选择安全软件的时候要选择安全性能高的,不要为了节省一点企业的支出而选择使用安全性能差的保护软件,一旦出现问题所造成的企业损失价值会大于软件的价格。
2.3加强企业网路管理
很大一部分的企业信息被盗取都是不法分子通过网络进行的,所以说必须要对企业的网络管理进行加强,这样才能确保企业信息系统在安全的状态的情况下运行。对于信息安全的种类和等级的高低来进行制定合理的方案,并且提前做出如果发生特殊情况下怎么进行处理的方案。如果说企业的信息安全发生危机的时候,企业应该快速的组建处理小组,针对信息安全危机的步骤处理并且做好危机处理的工作,还要避免出现由于处理不当而产生的各种情况。
三、结语
以上所述是企业信息化建设过程中所必需要面对的问题,一个企业的信息安全建设应该先从管理开始,必须做到以防范为主要,必需制定有效的安全防护把安全的风险降至最低。在现在经济发展的快速时代,企业信息的安全问题决定着企业的安全运营。
参考文献
[1]原黎.探析企业信息安全问题的成因及对策[J].现代工业经济和信息化.2011(08)
[2]张耀辉.关于企业信息化建设中的信息安全探讨[J].电子技术与软件工程.2013(14)
[3]赵晓华,陈秀芹,周文艳,夏莉莉,李建忠.网络环境下河北中小企业信息安全问题研究[J].科技资讯.2013(31)
[4]叶瑞强.企业网络信息安全存在的问题及对策[J].信息与电脑(理论版).2012(03)
篇14
【关键词】国有大型企业 信息安全管理 模糊综合评价
随着我国计算机技术和网络技术的迅速发展,很多国有大型企业对信息和信息技术的依赖程度越来越高,信息已经成为企业一种崭新的资产,对企业的发展起到了至关重要的作用[1]。研究发现,对于企业信息安全管理的评价多数侧重于信息安全系统技术层面的评价 [2],或对信息安全等级评估和风险的评估[3] [4]。但国有大型企业的信息安全管理是一个概念非常复杂的管理事务,不能单纯依赖技术及防护设备,还将涉及安全、风险、人员、规章制度等管理因素,对其评价是一个定性与定量指标共存的综合的评价,要运用综合评价的思想和方法,才能够使评价结果更严谨。
本文着重从管理的角度出发,构建了国有大型企业信息安全管理评价指标体系,应用模糊综合评价的方法建立评价模型,并结合实证研究,得出客观、科学的评价结果。
1.评价指标体系构建
1.1 指标体系的构建
本文在研究了国外信息安全管理的评价标准[5] [6],以及国内信息安全管理体系的发展状况基础上[7] [8],结合国家对国有大型企业信息系统安全性的基本要求[9],综合考虑信息安全的技术属性和管理要素,通过德尔菲法反复征询5位专家的意见,构建了国有大型企业信息安全管理评价指标体系。
该指标体系共分为5项一级指标和16项二级指标,其中一级指标包括安全管理、技术管理、风险管理、人员管理和制度管理。各二级指标分别为物理安全、软件安全、网络安全;防御攻击能力、预警能力、系统应急反应能力、技术创新能力;风险识别、风险评估、风险控制;专业人员比例、考评上岗合格率、对员工的培训率;企业保密机制、安全规章制度、应急处理预案。
1.2 指标权重的确定
选用层次分析法作为指标体系中确定权重的方法,具体步骤如下:
(1)建立递阶层次结构模型,将决策问题的因素自上而下划分为不同的层次,包括目标层、准则层、指标层等。
(2)构造判别矩阵。一般用1―9标度的表示方法,把处于同一子集上的指标相对重要性进行专家评分,构造一个以重要性标度Aij为元素的两两比较判别矩阵A=(Aij)m*n。
(3)层次单排序。根据判别矩阵,求解矩阵A的最大特征根?姿m?琢x=?蒡■■■所对应的特征向量,并且做归一化处理。
(4)一致性检验。判断所得到的特征向量是否是权向量。
(5)层次总排序。层次总排序所得到的二级指标权重值等于层次单排序中每个二级指标的权值乘以其对应的一级指标的权值。
应用该方法,选取5位专家,结合已构建的评价指标体系,分别对一级指标、二级指标进行1―9标度判别矩阵的排序,应用层次分析法软件得出各个指标的权重值,此数据将作为后续评价的主要依据。
2.案例研究
模糊综合评价(Fuzzy Comprehensive Evaluation, FCE)是一种非常有效的多因素决策方法,主要运用模糊变换原理和最大隶属度原则,综合考虑与被评价事物相关的各个因素,对评估对象作综合评价。一般分为确定评价因素集、评语集、权重集,进行单因素模糊综合评价、多因素模糊综合评价及对评价向量分析6个步骤[10]。
本文的评语集为{优秀、良好、中等、一般、差} 5个等级,建立隶属函数,根据5位专家对指标的评分数据,计算出各二级指标的隶属度,最后分别得到安全管理、技术管理、风险管理、人员管理和制度管理的综合评价关系矩阵R1、 R2、 R3、 R4、 R5。
根据模型的计算公式,多因素模糊综合评价矩阵Bn为权重向量Wn与单因素评价关系矩阵Rn相乘所得到的行向量,本指标体系的多因素模糊综合评价矩阵分别为:B1=(0.29,0.65,0.06,0,0,B2=(0.25,0.67,0.08,0,0),B3=(0.14,0.51,0.35,0,0),B4=(0.39,0.27,0.34,
0,0),B5=(0.25,0.57,0.18,0,0)。
由B1、B2、B3、B4和B5构成了该国有大型企业信息安全管理的单因素评价关系矩阵R,最终得到企业信息安全管理评价指标体系的总体评价结果如表1所示。
3.结论
根据表1,进一步对评价结果进行分析,该国有大型企业信息安全管理总体评价属于“优秀”、“良好”、“中等”的程度分别为24%、 57%、19%,按照隶属度最大原则,企业信息安全管理总体评价结果为“良好”偏上,总体可以评定为“优秀”。结合上述评价结果和企业自身的特点,给出以下几点对策建议。
(1)加强国有大型企业信息安全的技术管理,注重技术创新。提高技术的全面性,以及企业信息安全技术的创新能力,将信息安全列入企业战略规划之中,用先进的技术手段保证企业的信息安全、完整。
(2)进一步提高国有大型企业的风险管理,重视风险评估。企业要组建专业的评估管理与实施团队,进行系统、全面的调研工作,以确定信息安全风险评估的目标和范围。同时,及时进行风险评估的总结,将企业信息安全存在的风险问题控制在一定范围内,防止不必要的错误再次发生。
(3)加强企业对员工有关信息安全保密意识的培训力度。制定安全保密培训制度,增加对员工信息安全培训的次数,明确岗位职责,提高员工保密意识。
(4)重视企业信息安全的规章制度建设,提高执行能力。加强企业领导的重视,在信息安全管理的各个方面,成立安全监管小组。在企业涉及信息安全的部门,制定相应的规章制度,如机房管理制度、人员管理制度等,使企业高效率运行;设立绩效奖惩制度,提高员工保护企业信息的积极性。
国有大型企业信息安全管理是一个复杂的、动态的过程,涉及到很多的因素,且因素间相互影响,目前现有的研究并不多。本文从管理的角度出发,综合考虑了国有大型企业信息安全管理的特点,构建的评价指标体系具有科学、客观性。同时,采用模糊综合评价的方法将国有大型企业信息安全管理中的技术、安全、风险、人员和制度等因素纳入层次结构模型中,对难以评价、模糊的指标信息予以处理,评价方法容易实现。本文的研究为评价国有大型企业信息安全管理工作提供了方法,具有一定的实际应用价值。
*基金项目:国家自然科学基金项目“开放式服务交付平台(OSDP)的运营模式分析与研究”(71172135)。
参考文献:
[1]孟洁.国有企业中的信息安全管理和应用[J].科技信息,2012,(2):252
[2]孙博.企业信息安全及相关技术概述[J].科技创新导报,2009,(4):211
[3]傅璧,丁爽,张恺.信息系统的安全风险评估及风险管理[J].企业导报,2011,(13):89―90
[4]吉增瑞.信息安全等级保护浅析[J].网络安全技术与应用,2005,(1):55―57
[5]Mikko Siponen,Robert Willison. Information security management standards: Problems and solutions[J]. Information & Management, 2009,46(5):267-270
[6]Hyeun-Suk Rhee,Young U. Ryu, Cheong-Tag Kim.Unrealistic optimism on information security management[J].Computers & Security,2012,31(2):221-232
[7]高文涛.国内外信息安全管理体系研究[J].计算机安全,2008,(12):95―97
[8]李晓玉.国内外信息安全标准研究现状综述[J].信息安全与通信保密,2009,(8):167―171
[9]徐毅.信息安全管理标准及其应用探讨[J].科技信息,2008,(36):65―66
[10]黄芳芳,刘桥.基于模糊综合评判的信息安全风险量化分析[J].网络安全技术与应用,2009,(12):22―24
作者简介:
王宁(1984-),女,辽宁锦州。北京邮电大学经济与管理学院研究生,研究方向是消费者决策分析。
王宁(1958-),男,辽宁抚顺。北京邮电大学经济与管理学院教授,工学博士,研究方向是消费者行为与决策分析。
