关于企业信息安全措施精选(十四篇)
发布时间:2023-10-10 17:14:56
篇1
关键词:企业 网络信息安全 防范措施
一、企业信息安全不稳定的因素
计算机病毒在计算机领域非常的活跃,只要用过计算机的人都非常有可能碰到过病毒的危害。
1、网络病毒的活跃
其实计算机病毒本身是一种程序,通俗易懂的方法来描述计算机病毒,它就像生物里的病毒一样,和生物病毒有非常相似的特征,它的复制能力非常强,并且非常快速传播,同时也很难去根除。生物病毒是依附在各种微生物和细胞中生活,而计算机病毒一般都依附在文件中,最可怕是,当一台计算机向另一台计算机传送文件时,进行非法的拷贝。另外它有很强的自我复制能力,隐藏在程序内部,只要人们操作计算机,它就不断地自我复制。同时,计算机病毒还具有破坏性、隐蔽性,它常常被黑客利用用以攻击他人的计算机,达到非法的目的,给企业信息基础设施以及企业业务带来不可估量的损失。
2、恶意病毒网页的流动
每个比较正规并且有一定市场影响力的企业会拥有自己的网站,通过自己的网站向外界宣传自己的公司,用于达到宣传营销的目的。使用电脑的人希望不断的搜寻网页来寻找自己需要的信息,可是很多电脑使用者不知道自己使用的网页是否是安全无毒的。许多网页容易被人利用达到自己的目的,如果企业的网页被别人注入了木马病毒,那么当你打开网页的时候,木马病毒就已经进入你的电脑软件中,到最后你的私人信息就会被泄露出去,其他会利用你的信息达到盈利或者伤害你的目的。
3、员工网络信息安全意识淡薄和企业管理网络的松懈
在很多企业中,企业员工使用电脑从来只关心工作、学习、娱乐而已,从来不会关心电脑安全问题,因为企业员工会认为网络安全不需要重视,因为有网络管理员。有研究表明,在90%的企业电脑中有计算机病毒,因为员工在公司电脑上做一些与公司无关的事情,看电影和玩游戏是最容易中毒的,这些做法很容易导致企业的机密性文件和信息被泄露,从而使企业遭到巨大的损失。
4、黑客攻击和计算机犯罪
导致企业网络信息安全不稳定的最大因素就是黑客攻击和计算机犯罪。黑客攻击一般情况是以各种方式有目的性有选择性的盗取企业信息,这种是破坏了网络的正常工作,另一种不影响网络正常工作,它进行破译、窃取等手段获得重要的机密文件。这都对企业机密文件产生重大的影响。所以企业的网络安全形式非常严峻。还有计算机犯罪,计算机作为现代信息处理工具,在经济和社会生活中具有不可替代的重要作用。尤其是在企业网络中,计算机犯罪已经成为不可忽视的问题。
二、网络环境下的企业信息安全隐患的防范措施
以上谈论现在在企业中比较常见的几种网络安全隐患,但是其实在现实社会中,企业面对的安全问题非常多并且非常杂。如果企业希望有一个安全完美的未来,那么企业必须要重视对网络信息安全的重视,要增强全部成员包括自己的网络安全防范意识,并且要采取有效可行的防范措施。
1、加密设置
在当今世界,重要的信息几乎全部都加密。密码在网络里更是具有无可代替的作用。所以唉企业的网络信息安全管理中,认证密码技术和技术加密是企业网络最有效最可靠的技术。加密信息不仅可以有效的保护网络内的文件和信息,还可以保护网络传输的数据。对企业信息加密不但可以防御无授权的用户的入网及窃听,还可以抵抗恶意软件的损害。所以,加密设置对于企业网络信息安全管理是最直接也是最有效的措施。
2、防火墙设置
本人认为凡是没有安装防火墙的计算机,一定要及时安装防火墙,并且安装防火墙也需要不定时的进行升级,因为防火墙可以阻止网络黑客访问某个企业网络的大屏障,可以阻挡许多外部网络的入侵。防火墙是一种最近几年发展用于保护计算机网络安全的技术性的措施,企业应该根据自己实际情况,安装可靠性强、适应企业、功能巨大的防火墙,用于抵抗黑客的攻击和病毒的传播,从而达到保护网络系统的安全。企业安装了防火墙也不能高枕无忧。企业管理员需要对企业的网络信息和系统进行备份,防止意外事件的发生导致网络瘫痪及信息丢失,同时,需要定期检测备份的有效性。配置防火墙是保证企业网络信息安全的首选。因为防火墙确保我们网络连接的安全,更不会出现连接段口安全漏洞,所以每个企业每台计算机必须要安装防火墙来保护自己的网络。
3、强化员工网络安全意识和管理者的网络忧患意识
企业员工使用计算机应该根据自身的电脑实际情况,要不定期的进行安全检查,管理者也要根据企业计算机的自身硬件和网络实际情况,培训员工,提高员工的保密意识和责任意识,不要因为人为的因素导致企业承受巨大的损失。在必要的时候,可以利用密码设置,对需要的设备设置密码,从而达到外界人员和攻击者不能破坏的目标。应该从全企业倡导保护网络信息安全,使企业每个人都懂得网络信息安全的重要性。最后,企业也需要加强计算机和系统的安全管理,一些计算机终端等地方需要防止火灾或者是意外事故的发生。
4、从法律方面保障企业网络信息
企业网络信息安全单单从计算机的软件和硬件上保护还是远不够的。每一个管理者需要加强法律意识,企业的网络信息安全需要有相对应的法律和法规作为后盾。要懂的使用法律的武器去打击那些违反网络窃取信息的犯罪分子。现在,在我国黑客攻击是最普遍的网络犯罪,所以我们需要对那些恶意侵害企业网络信息安全的犯罪行为进行坚决的打击,制止其犯罪行为并让罚罪者付出代价。
总之,当网络与我们的生活越来越分不开的时候,我们更加需要注意网络信息安全的防范,企业管理者不应该仅仅只注意网络的便捷,更需要注重企业网络信息安全并强化信息安全意识的同时切实采取措施,确保企业电子网络信息安全。
参考文献:
[1]岳剑梅、《信息系统的安全管理研究》、[J]、情报理论与实践,2011、7
篇2
关键词:信息安全;安全生产风险管理体系;风险评估;风险控制
0引言
随着信息化建设的飞速发展和普及,各行各业的网络化、信息化水平显著提高,无论是电网安全稳定经济运行还是企业管理业务运转都离不开信息化系统的支持,在信息化带来高效率的同时不得不考虑网络化带来的安全问题。企业信息安全管理的有效性,关系企业或国家机密,一旦面临威胁和遭遇攻击,就会给企业或国家带来严重的损失[1]。目前在我国电力企业信息安全管理领域,信息安全风险管理依然研究不够深入,较多采取的基于问题的管理方式,遭到攻击或同类行业遭到攻击后,进行系统排查,查找系统漏洞,然后堵住漏洞,这种被动式的管理方式为企业的安全生产埋下较大安全隐患。安全是企业的生命线,只有事前做好各类防范和应急处置,管控风险是实现安全生产的重要保证,在电力企业信息化建设过程中建立一套基于风险的信息安全管理体系,降低信息安全事件发生概率是现代电力企业需要深入研究的问题[2]。
1风险管理体系概述
1.1安全生产风险管理体系概念
安全生产风险管理体系是南方电网借鉴国际先进安全管理理念的基础上,基于电网实际情况提出的了一种安全生产风险管理思路和方法,以风险管控为主线、以“计划-实施-检查-改进(PDCA)“闭环管理为原则,系统地提出了安全生产管理的具体内容,指明了风险管控的目标、规范要求和管理途径,为南方电网安全生产管理和作业提出了具体的工作指引[3]。安全生产风险管理体系核心思想为“基于风险、系统性、规范性、持续改进”:基于风险是指企业应基于实际面临的风险确定核心业务和基于各类风险管控脉络及影响业务目的性的风险因素业务流程节点的设计;系统性是指企业在设计管理系统框架及业务流程节点时,保证流程节点的充分性并遵循PDCA的闭环管理模式,理清业务与业务之间的输入、输出关系;规范性是指企业应明确各项工作的执行标准,确保执行标准的唯一性、科学性,同时企业各部门、生产单位、班组能够按照标准开展工作,保证企业管理的统一性;持续改进是指企业应建立完善的问题发现机制及问题改进机制,能够及时发现系统运行过程中存在的问题并进行改进,同时不断地完善企业管理系统的策划,实现管理系统的持续改进。自2007年建立以来,全网范围内风险管控方法得到有效应用,安全生产管理基础得到进一步夯实,主要安全生产指标持续向好。
1.2基于风险的信息安全管理框架
南方电网安全生产风险管理体系,为电网企业提供了非常有效的一套安全生产管理方法,其基于风险的管理思路遵循国际通用的“危害识别、风险评估、风险控制、风险回顾”风险管控模型,强调事前风险分析和评估、事中落实管控措施、事后总结回顾和改进,目前主要应用在电网、设备、作业和职业健康风险管控上,并取得了不错的成绩,也为信息安全管理带来了有益的启示,即可以通过引入该方法和结合业务实践建立基于风险的信息安全管理框架,探索信息安全风险管理长效机制[4]。
2基于风险的信息安全风险管理体系建立的重要环节
2.1确定风险评估的目标
从管理目的出发,是安全生产风险管理体系的一个重要思想,以目的为导向,分析在现状下实现目的存在的障碍因素,也就是管理关键流程节点,从而确定业务的管理脉络,实现以基于风险的管理思路,最终达到业务工作的系统化和规范化。信息安全管理目标就是要实现信息系统的基本安全特性,并达到所需要的保障级别[3]。信息安全的基本安全属性包括资产的保密性、完整性和可用性,资产的三性对于维持现金流动、企业效益、法律法规要求等是非常必要的。企业的风险评估目标来源于企业中长期发展战略目标的需求,满足相关方的要求、满足法律法规的要求等方面[4]。
2.2风险识别
风险识别是指在运用各种方法全面、系统地识别出在信息安全管理中的风险,找出潜在的原因。一个组织的信息系统和网络可能是严重威胁的目标,同时,由于企业信息化水平的逐步提高,对于信息系统和服务技术的依赖日益增加,企业可能出现更多的脆弱性[5]。在信息安全管理中主要从资产、威胁、脆弱性三个角度识别风险。风险评估中资产的价值不是以资产的经济价值来衡量,而是由资产的三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。安全属性达成程度的不同将使资产具有不同的价值,而资产面临的威胁、存在的脆弱性、以及已采用的安全措施都将对资产安全属性的达成程度产生影响[6]。信息安全管理的最终目标是在满足企业中长期发展对信息化水平要求的同时,确保信息安全的三性,降低信息安全事故事件发生的概率。影响该目标实现的因素有危害因素识别是否全面、风险评估结果是否准确、措施是否有效,因此选择合适的风险评估办法和模型,对信息安全管理来说至关重要。
2.3信息安全风险评估
2.3.1信息安全风险评估模型
风险评估是在确定影响信息安全风险评估的三个维度的基础上,选择定性或者定量的风险评估方法,对识别出的风险发生的可能性或可能导致的后果进行衡量,并根据评估结果划分风险等级,然后建立分层分级的管控措施。在完成了资产识别、威胁识别、脆弱性识别,以及已有安全措施确认后,将采用适当的方法与工具确定威胁利用脆弱性导致安全事件发生的可能性。综合安全事件所作用的资产价值及脆弱性的严重程度,判断安全事件造成的损失对组织的影响,即安全风险值=R(A,T,V)=R(L(T,V),F(A,V))。
2.3.2信息安全风险评估实施与运行
(1)信息安全风险概述通俗来讲,风险概述就是风险的管理方案,基于风险评估的结果,制定年度风险管控重点工作安排,为年度安全生产工作计划提供方向。概述报告编制时,应充分考虑风险数据的输出应用,为涉及相关单位(部门)的管理提供输入。风险概述报告至少包含以下信息:风险描述、风险范畴、风险细分种类、风险等级和风险控制措施,并按风险等级排序。(2)风险控制风险控制是在风险评估之后,控制措施建议应综合考虑风险控制成本与风险造成的影响,结合法律法规、国家、行业、上级主管单位和公司有关政策要求以及当前的重点任务统筹考虑选择合适的风险控制措施。风险控制方法一般按照以下顺序进行选择:消除/终止、替代、转移、工程、隔离/闭锁、行政管理、个人防护等。总的来说控制措施从管理措施和技术措施两个方面提出,优先考虑技术措施。属于组织结构不完善的,建立信息安全组织体系。属于管理措施的融入管理办法,编制各层次的信息安全管理体系文件,包括信息安全管理制度、人员安全管理制度、信息系统项目建设管理制度、信息系统运维管理制度,明确管理要求;属于物理安全隐患的,加强机房、门控、安保系统和队伍建设;属于信息系统保护的,纳入信息安全项目建设计划,提高防病毒、漏洞补丁、安全配置、安全认证、访问控制、数据加密、入侵检测等保护能力;属于作业过程执行的措施,将信息安全管控要求纳入作业指导书、“两票”等作业标准,减少人的因素引发的信息安全事故事件;属于人员技能和意识的纳入教育培训计划;属于信息安全应急响应的建立信息安全应急预案或现场处置方案,并按照演练计划开展应急演练[7]。
2.4风险监测
风险控制措施制定后需要对措施的有效性进行评估,发布年度风险预控措施计划表。风险控制措施应明确责任单位(部门)、责任人、完成时间。在制定风险控制措施时,应避免控制措施带来新的风险。结合年度风险预控措施表和变化识别内容,制定月度风险监督计划,并明确各项预控措施执行情况的各级监督部门,确保风险措施按计划落实执行。
2.5管理回顾,持续改进
PDCA闭环管理是安全生产风险管理体系核心之一,通过定期开展管理回顾,审视信息安全风险管控的有效性,进而形成长效机制持续改进。在回顾过程中注意以下几个方面:(1)识别变化,优化管控手段企业所面临的内部和外部环境不是一成不变的,当变化产生时需要及时识别也调整管控措施。当法律法规变化时需要及时对法律法规风险进行识别和融入;当国际、国内信息安全态势发生变化、信息安全漏洞不断涌现时及时更新防护技术手段、优化管理标准、更新应急处置方案,并保存变化过程的相关资料。(2)建立纠正与预防系统安全生产风险管理体系核心思想之一就是持续改进,通过建立问题发现机制和问题改进机制最终实现企业的管理水平持续提升[8]。在信息安全管理方面,纠正与预防的来源包括信息安全防护系统检测情况、系统运行分析统计、外部信息安全形势、检查发现问题等,并进行根本原因分析,制定纠正或预防措施,通过评估措施的有效性,进行统计输出应用,输出应用到信息安全管理制度、能力与意识提升等各个环节,进而确保企业的信息安全管理水平得到持续提升。
3结语
篇3
关键词:电力信息;网络安全;防范措施
信息技术的发展,为电力企业的工作效率和管理水平的提升发挥着重要的推动作用。电力信息的网络化在促进电力企业管理的高效化的同时,也给电力企业的网络安全带来了极大的隐患,因而加强电力信息网络安全性的研究满足电力企业发展的实际需求,对于电力企业的稳定发展具有重要意义。
1影响电力信息网络安全因素的特点
就当前电力信息网络的总体情况来看,信息网络安全的影响因素具有综合化和复杂化的特点,随着影响信息网络安全的因素的发展,维护电力信息网络安全逐渐成为电力企业当前所面临的一项重要问题。信息网络的开放性逐渐提高,一定程度上促进了电力信息网络的不稳定性和不安全性,极易受到多种因素的影响导致信息网络出现问题,从而对电力系统的正常运行产生严重影响。当前我国部分电力企业依然缺乏有效的安全防范体系设置,并且电力相关数据并未进行备份,这种情况下,一旦电力信息网路出现故障,会对电力企业的运行产生严重的影响。综合来看,电力信息网络中存在诸多不安全因素,严重威胁着电力系统的稳定运行。
2电力信息网络安全的现状
当前我国部分电力企业信息网络的安全意识相对淡薄,相关人员也并未充分认识到电力信息网络安全的重要性,缺乏合理有效的信息网络安全体系来对电力信息网络进行规范化管理,当前电力信息网络的运行缺乏有效的制度支撑,实际管理规范效率较低。当前维护电力信息网络安全的基础设施并不完善,导致电力系统的稳定运行缺乏可靠的前提和基础。尤其是电力信息网络中的身份验证存在一定弊端,对于不同身份角色的识别过程中存在极大的信息网络安全隐患,亟待电力企业进行有效改善。在电力信息网络出现安全性问题时,相关人员并不能够及时进行有效解决,并且在解决措施的选取上也存在一定局限性。当前电力信息网络中存在着恶意侵入、软件漏洞以及病毒传播等多种安全问题,个电力信息网络的安全埋下严重的隐患。电力信息网络具有高机密性,一旦遭到黑客侵入或病毒的侵害,会导致电力信息被盗,更有甚者会对电力信息进行不良的利用,导致电力资料收到严重损坏,从而在一定程度上对电力系统的稳定运行产生严重影响,不利于电力企业的经营效率和管理水平的提高。从整体上看,电力信息网络的安全性较差。在网络环境中,病毒的传播会对用户的正常操作产生严重的影响,开机速度慢、反应速度慢以及电脑死机等都是常出现的情况,类似的情况给用户方带来了严重的困扰。并且这种病毒会大量复制和扩散,杀毒软件也无济于事,从而对电脑系统产生严重的破坏。应用软件的漏洞具有隐蔽性,需要不断进行更新并对漏洞进行修复,若漏洞得不到及时的修复,会对电力信息网络的安全埋下一定的安全隐患。
3电力信息网络的安全防范措施
电力信息网络的安全防范,需要相关人员制定严格且合理的防范措施,促进电力信息网络安全得到可靠的保证。应当对多种因素进行衡量和分析,进而采取有针对性的措施促进电力信息网络安全防范的科学性和有效性。
3.1加强安全管理
加强电力信息网络安全培训与教育,是电力企业信息网络安全防范的重要方面,通过组织电力企业相关管理人员进行信息网络安全教育和知识培训,在一定程度上提高电力企业相关人员的对信息网络安全的认识,在实际工作中能够积极遵守相关制度和网络安全的规定。与此同时培养员工良好的用网习惯,自觉抵制风险较高的网站,与工作无关的设备和软件也不允许在企业电脑使用。不断强化电力信息网络安全,对电力信息网络安全采取可靠的安全防护措施。电力企业的信息网络应当进行定期杀毒,相关电力文件及时做好备份。开机口令应当不定期的进行修改,以有效的减少电力信息的泄漏。在电力信息网络的安全防护措施上,可以采取防火墙技术、物理隔离装置技术及信息检测系统技术对电力信息网络安全进行保护,不断进行技术创新,促进电力信息网络中的不安全因素得到有效的解决。建立多层防御体系,严格控制电力企业网络的访问权限,做好相关用户的认证工作,以减少不必要的安全隐患。对于尤为重要的电力信息,相关管理人员应当对信息进行及时有效的保密,有效的保证网络安全事故得到控制。
3.2防止恶意侵入
将电力信息网络中不必要端口与服务进行关闭,要及时发现系统的漏洞,一旦出现漏洞要及时升级各种补丁,防止系统受到恶意的入侵。将电脑与系统闲置的端口和可能存在威胁的端口和服务要进行关闭,这可以有效预防黑客从这些闲置的、存有威胁的端口或服务进入、甚至破坏,如果一旦发现流行病毒后门的端口或者远程的服务访问,也要进行关闭。防火墙可以有效防止恶意的入侵和攻击,是计算机系统自我保护的重要屏障。防火墙可以对各种软件进行识别,也可以对抵抗非授权的访问进行技术控制,内部的资源哪些可以被外界访问,外部的服务哪些可以被内部人员访问,都可以进行识别。防火墙的抗恶意攻击和免疫能力较强,可以对企业内部的网络进行划分,对各个网段进行隔离,限制重点或者敏感部分的网络安全。而入侵检测系统作为防火墙的补充,为网络提供了主动的保护功能,可以探测网络的流量中有可能存在的入侵,攻击或者滥用模式的发生。通过上述这些措施,有效解决电力信息网络的安全问题。信息检测系统技术的发展和应用,对于网络病毒和黑客攻击起到了较好的抵制作用,一定程度上提高了电力信息网络的安全性。与此同时,相关人员应当进行信息网络隐患扫面技术创新,对所有不安全因素及进行及时的发现,以便提早进行预防和控制。应当不断开拓技术实际应用性,提高防病毒侵入技术的实际效果,将该技术应用到整体电力信息网络系统中,实现电力信息系统的数据安全。
4结束语
从整体情况来看,电力信息网络的安全对于电力系统的整体运行和未来发展具有重要意义,一旦电力信息网络安全受到影响和破坏,严重威胁着社会经济的稳定运行,与此同时为社会群体带来严重的生活困扰。因而加强电力信息网络安全的防范具有重要性和必要性,是当前电力企业所面临的重要任务,应当运用多种力量对电力信息网络进行监管和控制,促进电力信息网络的稳定高效发展。
参考文献
[1]蔡文检.电力企业信息安全风险分析与防范措施[J].计算机光盘软件与应用(信息技术应用研究),2011,(19).
[2]崔文彦.网络信息安全技术防范措施[J].计算机光盘软件与应用(工程技术),2011,(7).
篇4
【论文摘 要】目前,计算机技术的不断普及使一些传统的文件载体不断消失,而计算机办公自动化正逐渐被很多企业推广运用。办公自动化最明显的标志就是信息档案的建立,这种记录信息的手段对企业来说更加方便和快捷,避免了传统的纸张档案的弊端。但是有利必有弊,计算机自身也存在着一些缺陷,导致企业在使用信息档案这一手段时也存在一些弊端,针对这个问题,企业在运用此技术时一点要做好风险的防范措施,力求使风险降到最低。基于此,本文主要对电子信息档案管理的风险控制方法进行了探讨。
目前,人们生活中一个非常重要的,必须的工具的就是电子计算机,其具有多种多样的功能,这为企业的办公带来了巨大的变革,使企业办公变得更加方便快捷。而在信息技术时代,最新的档案方式就是电子信息档案,它对企业在高科技方面的创新发展意义重大。但是根据具体情况来看,电子信息档案并不全是优化,它也有自己的不足,比如与传统的纸张档案相比,具有更大的风险性,如果没有积极制定防范风险的措施,那么很容易导致企业的数据被盗,所以,企业在使用信息档案时一定要注意信息的安全性,积极主动的制定一些避免风险的措施,以使信息资源更加安全。
一、避免风险的措施
提前预防,在风险还没有出现的时候就进行遏制是规避风险最有效的方式,也是最经济的方式,对于电子档案来说,应该以其自身的潜在缺陷为根据来实施控制管理,来保证内部信息的安全可靠,主要措施有:电子信息档案管理的风险控制方法如下:
1.积极引进最新技术。计算机在工作过程中要同时结合多种措施,而规避风险的最好的办法就是引进新的技术,新技术对可以使电子信息档案更加安全可靠。其中一个很重要的方法就是设置密码,这是现代操作系统最常运用的方式,在对电子信息档案实施密码设置后,要积极的训练一些计算机技术人员来实施管理控制,避免信息资源被一些外界因素干扰。
2.制定一些制度。为了保证信息资源的安全性,那么必要的管理制度是必不可少的,所以企业要主动制定一些有针对性的制度来进行预防,也可以根据需要授权档案管理人员自己制定制度,例如:可以规定只有管理人员才能进行相关的系统操控,而无关的人员没有权利操作系统等。
3.及时消除风险。为了确保信息档案数据的安全性,及时消除潜在的风险是非常重要的,在计算机维修期内,企业尤其要注意随时可能存在的风险,主动采取应对措施。因为计算机网络的的复杂性,使得控制风险工作也极其的不容易,不过,只要及时且做到全面看待问题,那么就可以把问题解决掉。比如,对于那种对计算机激进主义异常敏感的机构来说,为了应对潜在的危险,那么采取一定的措施是非常必要的。
4.及时进行预防和保护。为了消除危险电子信息档案的因素,其中一个很重要的措施就是安全防护,其可以有效的避免信息数据受到外界因素的破坏,保证信息的安全可靠。
二、缓解风险的措施
电子信息档案在遭到外界的干扰后,为了把危险降到最小,就需要管理人员尽最大的努力把危险掌控在一定的范围内,那么管理人员应该怎么做才能使风险得到缓解?目前,许多企业开始利用风险转移的策略进行缓解,电子信息档案管理的风险缓解就是通过制定实施应变计划、灾难恢复计划、电子信息档案相关资产重新布置等手段来减小电子信息档案及相关资产价值本身或风险的后果或影响。常见的风险缓解方法包括:事前措施、事后措施。前者是指在损失发生前为减少损失程度执行的方案;后者是在损失发生后为减少损失执行的方法。需要强调的是,在进行电子信息档案的管理时如果发生危险,那么不管是什么情况,企业都要积极主动的进行及时的处理,这才是最为关键的。
三、分散风险的措施
在电子信息档案管理中,还有一种经常使用的规避风险的措施就是转移策略,所谓转移策略实质上是一种风险的分散,即把风险转到其他的地方,以此来把已经存在的风险降到最低,一般而言,能够从多个角度对风险转移的方法实施修正,如:修改配置模式、购买保险、外包给其他机构、或者与提供商签署服务合同等等。经过这样的处理之后,我们可以把复杂的风险问题进行简化,再对原先实施的电子信息档案管理策略优化改进,创造更加先进的电子信息档案管理系统。此外,还可以与网络供应商互相协调,让供应商的安全服务符合电子信息档案的使用需要。另外,还要强调的是,外包同样隐含着风险,如果外包人员不符合合同的标准,那么后果会很严重。所以为了预防人为因素给企业造成损失,那么那些使用电子信息档案的人员要做的就是一定要严格遵守操作标准。
四、评估风险的措施
当风险来临后,企业最需要做的就是积极采取措施进行处理,为了把风险造成的影响控制在最小的范围内,还要积极与其他措施相结合使用。风险评估的目的是为了能够使预防计划更加科学合理,在对电子信息档案实施全面分析的基础上,探究引起风险的因素以及其带来的后果。需要实施分析评估的基本内容是:发生危险的概率,危险带来的后果有多大,危险的成本探析,有哪些合适的控制防范办法等等。此外,企业管理者要树立风险观念,积极主动的制定一套体系完善的针对多种风险的预防计划。需要强调一点,如果机构中每个已被识别的弱点通过承认得以控制,这说明企业在安全防范工作中未能给予足够的重视。企业防范风险的最大弊端在于,许多经营管理者错误地认为电子信息档案无危险性,在使用档案资料时未采取针对性的安全管理方案,这对于电子信息档案带来了诸多不便。而对于档案管理人员来说,其在管理期间要控制好各个环节的工作,这对于档案管理是极为重点的。在进行评估中,为了确保档案信息的安全性,档案管理人员就必须要非常警觉,对于潜在的风险能够及时发现,并把其扼杀在萌芽状态,对于已经发生的风险要积极采取措施,力求使风险造成的损失最小。
简而言之,管理者或管理部门在对电子信息档案管理时,一定要有这样的意识,即电子文件的风险不是主观的,而是客观存在的,这种风险不是确定的,而是不确定的,而且还可能带来很大的危险,所以一定要有对风险的警觉度,把预防风险看做所有工作的重中之重,积极制定风险防范办法,使电子信息档案的管理水平得以提高,这对于有效规避风险和降低损失有重要的意义。
参 考 文 献
[1]冯惠玲.论电子文件的风险管理[J].档案学通讯.2005(3):8~11
[2]王兆新,裘洁.浅议电子文件信息的安全与保密[J].浙江档案.2004(1):36~37
[3]邹生.开放网络环境下的信息安全问题[J].信息安全与通信保密.2004(4):28~29
篇5
[关键词]电力企业;信息;网络安全;防护技术;防范措施;
中图分类号:TP393.08 文献标识码:A 文章编号:1009-914X(2017)13-0225-01
随着电网高速发展,电力系统的自动化、信息化程度越来越高。由此而带来的是网络安全风险的增加。如何提高电网信息网络的安全防护能力,确保电网的稳健运行,提供更优质的服务,是当前电网信息化建设的一个重要工作。
一、电力企业信息网络系统
电力企业信息网络系统的飞速发展,企业网络安全显得至关重要,电力企业内部网络已成为企业生产生活不可或缺的一部分,提高企业信息网络的安全性已经成为企业安全必须关注和解决的一个重要问题。
1、结构复杂
计算机信息化的快速发展,在给人们带去极大便利的同时,也使得信息网络安全问题日益突出,@些问题也越来越得到用户们对信息网络安全的关注。电力信息网络的工作十分繁杂,为此涉及到大量的数据信息,而每一个数据信息的运算背后后关系到电力信息系统的业务工作,如果这些数据受到外界的攻击,发生了丝毫差错的话,就会危及影响到整个电力系统的发展。
2、缺少防护
信息网络安全与控制的主要关联在于:一个安全的信息系统是由物理结构安全控制及逻辑机构安全控制和行为安全控制共同保护的,该机制从多方面保证信息网络在传递、存储、处理信息时能提供全方位的安全保障。电力信息网络安全问题直接关系到我国电力企业的发展前景,可以说在电力系统中占有着举足轻重的地位,然而,与其重要性十分不相匹配的是,我国电力信息网络缺少足够的防护措施,始终处于一种暴露状态,一旦有不法分子侵入信息网,将会控制到电力系统的数据,给电力系统工作带来损害。
3、认知不足
信息网络安全的控制是一门对专业水平要求很高的高端技术,离不开对技术的支持与保护。我国电力系统的很多业务人员工作年限都非常长,不缺乏实际工作的经验,但是由于年龄增加,对于新事物的接受能力越来越弱,对于先进科学技术与科学设备的应用能力较差,且缺乏对其重要性的认知,因此其技术水平仍然止步不前。在工作上难以得心应手,而且没有良好的、积极的工作态度。
三、电力企业信息网络安全的有效防范措施
电力作为国家支柱产业,其顺利运行与国民经济发展、社会进步密切相关。基于网络的特殊性,有关供电系统数据网的安全问题不容忽视,要保障其网络的安全可靠运行,不能仅仅依靠防火墙等单个的系统,将各种安全技术结合在一起,方能生成一个高效、通用、安全的网络系统。
1、加强人员管理和培训,提高员工安全意识
完善信息网络安全不是一个简单的任务,它是一个复杂的、涉及多方面各领域的问题,因此,需要多方面的积极努力与配合。电力企业要定期开展内部信息网络安全培训,使员工增强信息网络安全防范的意识。电力企业要组织电力管理相关人员进行信息网络安全教育与培训,如部门负责人、用户、相关技术人员等,要求电力企业所有人员必须认识并严格遵守电力信息网络安全规定。
培养员工建立良好网络使用习惯,与工作无关的设备要禁止在企业电脑中使用。不允许在企业电脑安装盗版的软件和与工作无关的软件,严格执行“双机双网”,不允许内、外网混合使用,对电力信息网络开机口令和应用系统口令要定期进行修改,对屏幕要设置密码,对每台操作的电脑都要进行定期的杀毒和文件的备份工作等。只有提高企业所有人员的信息网络安全化意识。才能真正开展电力信息网络安全防范措施。
2、建立完善的防火墙保护系统
防火墙的作用在于防御外部入侵者对电厂计算机网络的攻击及恶意闯入,电力企业信息网络的安全发展,要在完善的防火墙保护体系上进行。网络上常用的防火墙保护体系一般有三种,分组过滤式的防火墙、复合型的防火墙以及应用性的防火墙。每一个类型的防火墙的功能都有所不同,但都能禁止外部的非安全信息的侵入,同时可以对外部的信息进行有效的检测。在电力企业的发展中,防火墙的建立是确保企业信息网络安全的重要举措,能有效保障企业的信息完全。
3、完善网络安全制度
要做好电力信息网络安全工作,技术是保障,而管理是关键。因此,需要有一套严密有效的网络安全管理制度,无论是技术人员还是普通用户都需要严格遵守和执行管理规定。这些制度包含几个方面。?
1)设备管理和使用。对各种软、硬件设备,在采购、运输、安装、使用和报废等关键环节,都需要登记造册,由专门的部门以及专人负责保管和维护,确保设备的安全。针对密级较高的设备,可以由专人负责分类存放,甚至可以配置专人专机。一般情况下,不允许使用个人设备、未登记备案的办公设备、未经加密处理的设备接入网络。
2)存储和备份管理。各种存储信息的介质,都需要统一编号登记,按照级别分门别类存放,由专门的部门专门的人员负责。数据是保证信息网络安全的核心,而数据备份是保证数据不受损失的最佳方法。为了防止设备意外损坏、人为操作失误或者其它未知因素导致的数据丢失,需要制定完备的备份恢复策略,保证及时有效地恢复数据,避免系统瘫痪。可以结合实际情况,采取增量备份,完整备份,或者利用第三方工具进行磁带备份等等技术手段,提高数据的安全性,保证数据的完整性。
四、结束语
安全的网络信息环境的塑造,以及每个人的隐私以及财产利益的保护,也关及我国信息化道路的稳步向前推进,然而,由于我国电力行业的信息化普及较晚,起点尚低,所以,加强我国电力行业的计算机网络环境的监管和控制便显得十分重要。对此,电力企业根据自身企业发展中存在的问题制定相应的对策,从而塑造一个稳定化、效率化、安全化的电力网络信息环境。
参考文献
[1] 翟镜荣. 电力系统强化计算机网络信息安全管理措施[J]. 黑龙江科技信息,2013,29:172.
[2] 兰艳贞. 电力系统信息网络安全防护措施分析[J]. 无线互联科技,2012,10:23-24.
篇6
1.1编制目的
为进一步加强安全生产领域防汛工作,明确安监部门开展防汛工作所承担的任务,督促工矿商贸企业(以下简称企业)采取有效措施,科学、有序地开展防汛工作,最大限度防范和降低因洪涝自然灾害引发生产安全事故的风险,维护人民群众的生命财产安全。
1.2编制依据
依据《突发事件应对法》、《中华人民共和国安全生产法》、《生产安全事故应急预案管理办法》等规定和县防汛抗旱指挥部《关于印发防汛抗旱指挥部成员职能职责及汛期值班安排的通知》(平防汛指〔2016〕2号)文件要求,按照我县防汛防旱指挥部的部署要求,制定本预案。
1.3适用范围
本预案适用于全县企业开展防范洪涝自然灾害引发生产安全事故的相关预防、预警和应急处置工作。
1.4工作原则
在县防汛防旱指挥部的领导下,坚持以人为本、预防为主的理念,按照属地管理、条块结合的原则,组织镇(街道)安监办、相关企业在自然灾害发生期间开展安全生产检查,认真做好预测、预警、预防和应急处置工作;不断完善应急管理基础信息、应急专家库;督促企业,特别是重点监管的危险化学品、烟花爆竹企业(以下简称重点企业)做好常态下的风险评估、物资储备、队伍建设、装备补充和隐患排查治理等工作;协调专业应急队伍和社会应急力量,及时高效地处置因自然灾害引发的安全生产险情、事故。
2组织体系及职责
2.1企业防汛工作领导小组
县安全监管局成立企业防汛工作领导小组(以下简称领导小组),负责指导协调和督促检查各级安监部门、相关企业开展防范自然灾害工作。具体组成如下:
组长:
副组长:
成员:
领导小组下设办公室在安全监管局办公室,负责局防汛工作的启动,向镇(街道)企业防汛工作领导小组预警信息和灾害等级,启动相应的企业防汛应急响应等级,做好事故的上报、防范自然灾害的情况汇总等组织协调工作。
成立检查督导组、应急管理组和后勤保障组3个工作组,推进防汛工作的落实。
检查督导组:由局各片区分管领导带队,负责指导和督查联系片区的乡镇(街道、管委会)开展防汛工作,督促相关企业提高思想认识、加强物资储备、落实防范措施,对不履行工作职责的企业进行通报和跟踪督促整改。
应急管理组:由应急办负责,密切关注自然灾害动态,及时起草文件,部署防汛工作;保持与县防汛防旱指挥部、各乡镇(街道、管委会)安监办的沟通联系,及时上报相关信息;督促有关股室(队)掌握企业基础信息和应急救援物资、装备的储备情况;协调确认应急专家组、专业应急救援队伍;指导企业落实自然灾害发生前、中、后安全措施。
后勤保障组:由局办公室负责,利用信息平台预防、预警、应急响应、安全措施信息,开展对外防汛工作宣传报道,安排好本单位人员值班、物资供应、车辆保障等工作。
3灾害分级与应急响应等级
参照《县防汛抗旱应急预案》对于洪涝台旱灾害的分级,分为特大(I级,红色)、重大(II级,橙色)、较大(III级,黄色)和一般(IV级,蓝色)洪涝台旱灾害。将县防汛防旱指挥部统一灾害等级作为企业防汛应急响应等级,即I级、II级、III级、IV级应急响应等级。
4预防与预警
4.1应急准备
(1)思想准备:严格按照县委、县政府和县防汛防旱指挥部要求,加强对防汛工作的组织领导;召开全体人员动员大会,增强做好相关工作的责任感和紧迫感;明确职责分工、防范措施、工作纪律。
(2)组织准备:建立健全各乡镇(街道、管委会)安监办防汛应急领导组织,落实各项工作,加强与企业、部门的沟通联动。协调确认应急专家组、专业应急救援队伍。督促企业落实安全生产主体责任,建立完善各类应急处置队伍。
(3)工作准备:制定24小时人员应急值守计划,完善信息沟通渠道。通知乡镇(街道、管委会)企业防汛领导小组做好应急联动,同步开展各项防范工作。督促企业特别是危化企业开展安全隐患的紧急排查,做好在自然灾害情况下的安全评估,落实应对性措施。
(4)预案准备:根据灾情特点,熟悉企业防汛应急预案,明确应急处置流程、指挥报告程序、应急救援队伍、应急救援物资储备等内容,制定专项工作方案。督促企业按照有关要求,完善应急预案;所有重大危险源、重点岗位、要害部位都应编制现场处置方案,并进行培训学习。
(5)物资准备:按照“属地管理、分级负责”的原则,做好区域内应急救援物资器材设备的统计,建立紧急情况下的调用机制。承担区域专业应急救援任务的企业或单位补充必要的应急装备物资。有关企业要根据生产实际,配足相应的应急物资,做好清理使用和维护保养。
(6)通信准备:明确值班、值守人员的通信联系方式,配备必要的应急通信设备,保证信息实时畅通。
4.2监督检查
危险化学品、非煤矿山、烟花爆竹等企业,是防汛工作的重点。各乡镇(街道、管委会)安监办要及时完善防汛专项应急预案,组织开展风险监测、预防和评估,认真开展以“六查”(查组织、查工程、查预案、查物资、查通信、查措施)为主要内容的防汛专项检查,做到安全隐患早发现、早防控、早整改。
各乡镇(街道、管委会)安监办要督促重点企业加强应急救援队伍建设,提高企业员工的应急意识和应急处置、避险逃生、自救互救能力;做好相关装置、安全设施的检测检验和维护保养工作,确保其安全可靠和有效运行;明确重大危险源、危险装置等重点部位的责任人,强化领导带班、值班;在自然灾害发生期间,主要负责人要亲自带队,对重点部位的安全生产状况进行全面检查,及时采取措施消除事故隐患。
4.3预警
根据县防汛防旱指挥部的预警信息,向乡镇(街道、管委会)企业防汛领导小组发出预警;通过信息平台向有关部门和重点企业传递防汛有关信息。收集汇总安全生产应急、重大险情信息;重大险情应在接到报告后2小时内将初步情况报县防汛防旱指挥部,并实时对险情组织核实。
各乡镇(街道、管委会)安监办防汛领导小组接到预警后,按照分级负责的原则,及时向重点企业、村(社区)发出预警。通知企业有序组织生产,有针对性地开展安全检查,降低安全风险,消除事故隐患;落实好抢险队伍、物资和装备,严格执行领导值班制度,保证主要负责人、安全技术人员和应急队伍坚守工作岗位。
5应急响应
根据县防汛防旱指挥部的灾害等级,启动相应的企业防汛应急响应等级,并启用24小时应急值守电话和应急信息报送制度,将信息通报全局工作人员,并妥善安排好值班工作,保持通讯畅通,做好值班记录。
5.1I级应急响应
根据县防汛防旱指挥部发出的I级应急响应命令,I级应急响应行动,启用24小时领导带班和应急值守制度,全局人员处于待命状态。
由局长负责指挥,局领导及相关股室(队)人员参与值班保障。一是与各地值班人员保持实时联系,对可能出现的企业险情进行研判,提出防御目标和应急措施,部署企业防汛抢险救灾工作;二是与相关应急专家、专业应急处置队伍保持联系,确保一旦发生险情能拉得出、救得下;三是督促乡镇(街道、管委会)通知相关企业全面启动防汛专项预案,企业组织停产或减荷,进行安全检查,安排好值班人员,加强对危险部位(储罐区、配电房、非煤矿山作业面等)监控,做好处置各类突发事件的准备;四是充分利用广播、电视、报纸、网络信息平台等媒体,宣传防汛期间安全生产各项措施。
5.2II级应急响应
根据县防汛防旱指挥部发出的II级应急响应命令,领导小组II级应急响应行动,启用24小时应急值守制度,全局人员轮流处于待命状态。
由领导小组分管企业管理的副组长负责指挥,相关股室(队)人员参与值班,对可能出现的企业险情进行评估,提出防御目标和应急措施。通知应急专家、专业应急处置队伍处于待命状态。督促各乡镇(街道、管委会)通知相关企业启动防汛专项预案,加强人员巡查检查,安排好值班人员;加强对危险部位监控,提前做好紧急情况下的安全措施。指导各地开展企业防汛抢险救灾工作,利用媒体宣传防汛安全知识。
5.3III级应急响应
根据县防汛防旱指挥部发出的III级应急响应命令,领导小组III级应急响应行动,启动24小时应急电话值班。
由领导小组副组长轮流负责值班指挥,相关股室(队)积极参与,对可能出现的企业险情进行分析,提出防御目标,部署相关工作。明确应急专家、专业应急处置队伍人员组成。对企业开展应急准备情况进行抽查。督促各地做好相应的应急准备工作,通知企业做好启动专项预案的准备。
5.4IV级应急响应
根据县防汛防旱指挥部发出的IV级应急响应命令,领导小组IV级应急响应行动,加强电话应急值班。
相关股室(队)做好应对突发事件的准备,对可能出现的企业险情进行预测。
5.5应急响应措施
1、开展思想发动,将信息通报全局工作人员,妥善安排好值班,保持通讯畅通,做好值班记录。
2、督促乡镇(街道、管委会)企业防汛领导小组落实防范措施。利用广播、电视、报纸、网络信息平台等媒体,开展宣传教育。
3、企业开展安全生产大检查,对重点设备、部位和岗位开展隐患排查治理,做好在强风、暴雨、雷电等情况下企业安全性评估,加强应对性措施的落实;强化人员的安全教育,增强自救互救和应急处置能力;提前制定设备和设施倒塌、库区及车间进水、危化品泄漏和爆炸、厂区突发断电等紧急情况下的安全措施。无法排除的险情要按规定及时报告,并落实安全措施。安排好人员值班,加强对危险部位监控,发现险情应及时排除。
4、按照县委、县政府和县防汛抗旱指挥部统一部署和要求,开展防汛工作专项督查。督促企业落实安全生产主体责任,加强隐患排查治理,加强人员值守,加强事故预测预想,加强应急救援准备,切实消除事故隐患。
5.6信息与新闻宣传
领导小组是企业防汛应急信息的指定来源,由领导小组统一收集和对外报道企业防汛的信息。
5.7应急结束
根据县防汛防旱指挥部正式解除灾害警报信号后,结合各地反馈信息,由局领导小组决定,结束企业防汛抗台应急状态。
6后续处置
根据自然灾害期间企业停产、减产情况,督促企业落实相关措施,确保安全复产、复工。
6.1开展安全检查
重点检查生产装置、管道及设备设施是否在防汛期间受到损害破坏,检查安全阀等附件是否损伤,检查检测原材料等是否受到影响,检查电气仪表、自动化安全控制系统是否处于适用状态;采矿作业面是否遭受损坏,电器线路是否发生短路漏电等。
6.2做好防汛期间应急防范工作
重点落实应急器材的准备,专业技术、应急处置人员必须到位,并严格执行应急值班执勤制度,落实企业主要负责人带班制度。
6.3防汛工作评估
领导小组负责对预警和应急响应期间各环节工作落实情况进行分析、评估和总结;各乡镇(街道、管委会)安监办对发生险情的企业及时进行检查,并落实整改;对发生的生产安全事故,按照有关规定进行调查处理。
7预案管理
7.1预案演练
各乡镇(街道、管委会)防汛领导小组应定期组织各类应急演习,以检验、改善和提高应急准备和应急响应能力。
7.2预案修订
本预案由县安全监管局(应急办)制定并实施。根据工作实际,视情作出相应调整修改。各乡镇(街道、管委会)根据本预案,制定当地防汛专项预案。
篇7
【关键词】制造企业信息化;建设风险;防范措施
制造企业信息化建设是增强制造企业市场竞争力的首要举措,也是当下制造企业发展的迫切需求。但不可避免的是制造企业信息化建设中必然会遇到各种各样的风险因素,为此,需要制造企业信息化建设管理人员以及信息化产品的供应商集思广益,共同完成制造企业信息化建设中的风险防范,为制造企业信息化建设的良性发展奠定坚实的基础。
一、制造企业信息化建设的风险分析
制造企业信息化建设建设主要是采用CAD/CAM/CAPP等现代化的信息技术,使得制造企业生产过程信息化;采用MEP/ERP等现代化的管理技术,则是为了制造企业的管理水平科学化,管理流程信息化;采用CMS等、等进行制造企业信息的搜集,逐渐形成集设计、制造以及管理为一体的计算机综合集成制造系统,并采用计算机技术,将制造企业内部的信息资料整合起来,并将其扩展到制造企业外部。从制造企业信息化建设本质来看,就是实现制造企业各个层面的信息化,使得企业整体运营逐渐高效化、科学化、合理化。由此可见,制造企业信息化建设并不是一个企业信息化的建立,它是一个信息化系统的革新,对制造企业而来,更像是一场信息化革命[1]。然而,对于制造企业信息化建设而言,虽然信息化建设有利于当下企业管理格局的改善,但是在制造企业信息化建设中必然会遇到各种风险因素,这就要求企业在信息化建设的过程中,除了关注信息化建设之外,还需要对周围的风险源进行及时的侦查,分析风险源的源头,做出最佳的风险处理措施。
(一)制造企业信息化建设技术风险。
高制造企业信息化建设属于高科技的信息化应用,这类信息化技术对于制造企业的管理和信息搜集大有帮助,但是该类型的技术牵扯信息内容过多,是多种综合技术的结合,因此存在很多不确定因素,对于初步建立信息化的制造企业而言,这种不确定的风险因素在短时间内难以做到合理化的有效控制,无法预测信息化系统在运行过程中的偶然现象,对于风险的发生不能做到及时的防范,进而给制造企业带来经济损失。
(二)制造企业信息化建设资金风险。
制造企业信息化建设中必然会投入大量的资金,用于各种软硬件设备的购买、软件系统和信息支付企业的服务费用等等。除此之外,还涉及一些隐藏费用,例如制造企业信息化建设后的信息系统应用培训、信息化系统安全维护费用等,致使制造企业耗费大量的资金费用,给企业的资金流转造成阻碍。此外,由于制造企业信息化建设投入资金预算和实际花费资金差距过大,会造成制造企业运营的资金短缺[2]。此外,在制造企业信息化建设后,需要花费几十万或是几百万资金用于整个制造企业信息系统维护和调整,使其满足制造企业信息化发展需求。
(三)制造企业信息化建设安全风险。
制造企业信息化建设之前,由于对信息化的陌生,使得企业管理人员安全防范意识匮乏,忽略了制造企业信息化建设安全风险,导致客户信息资料的泄漏,外来病毒入侵,引发整个信息系统的瘫痪。
二、制造企业信息化建设中风险防范措施
制造企业信息化建设风险防范措施的应用是信息化建设中必不可少的关键环节,它对于制造企业信息化系统安全运营大有裨益。此外,加强制造企业信息化建设中的风险防范,还能减少因风险因素造成的经济损失[3]。以下则是笔者结合制造企业信息化建设中出现的风险因素,在查阅多方资料后总结出的风险防范措施。
(一)制造企业信息化建设技术风险防范措施。
一个完整的信息系统,必然离不开多项技术的综合应用。对于制造企业信息化建设而言,其应用的信息化技术都是按照信息系统建设的总规划,按部就班的采用制造企业信息化建设技术。因而,在制造企业信息化建设风险防范中,需要根据制造企业信息化建设整体目标和阶段性计划,找准技术的切入点,按照制造企业信息化建设层次,进行风险防范。
(二)制造企业信息化建设资金防范措施。
制造企业信息化建设风险因素的发生,必然造成制造企业的经济损失,治愈资金损失额度大小,则完全取决于制造企业信息化的风险管理。比如,在制造企业信息化建设之处就制定好严密的风险管理计划,并安排管理人员对制造企业信息化建设资金进行预算统计和管理。在此基础上,加强制造企业信息化建设的日常监控,一旦发现隐藏风险源及时进行处理解决,降低制造企业信息化建设中额外的风险资金投入[4]。
(三)制造企业信息化建设的安全风险防范。
制造企业信息化建设中的安全风险防范,需要从制造企业信息化内部进行管理和风险监测。由于每年制造企业都需要投入大量的资金用于安全风险维护,基于此,可用这笔资金进行信息化风险管理人员的技术培训以及日常信息系统的维护当中,一旦发现制造企业信息化建设的风险漏洞,采取防火墙措施,避免客户资料的外泄和外来病毒的入侵。其次,加强客户安全意识的提升,采用邮件形式,告知客户安全操作流程,便于客户的风险防范。
结语
综上所述,制造企业信息化建设是增强制造企业市场竞争力的首要举措,也是当下制造企业发展的迫切需求,以此,企业内部的信息系统建设规模也日趋大型化发展,而网络信息系统也呈现多样化。此种情况下,制造企业信息化建设必然存在多处风险,进而影响制造企业信息化建设发展,基于此,还需要找出制造企业信息化建设各项风险因素,对其进行系统化的分析评估,进而采取科学有效的风险防范措施。
参考文献
[1]祝连波,穆好新.我国建筑企业信息化建设风险源的识别研究[J].施工技术,2011,40(16):89-91,101.
[2]张小凤.内部审计信息化建设中供应商“绑架”风险探析[J].会计之友,2014,(12):72-73,74.
篇8
【关键词】制造企业信息化;建设风险;防范措施
制造企业信息化建设是增强制造企业市场竞争力的首要举措,也是当下制造企业发展的迫切需求。但不可避免的是制造企业信息化建设中必然会遇到各种各样的风险因素,为此,需要制造企业信息化建设管理人员以及信息化产品的供应商集思广益,共同完成制造企业信息化建设中的风险防范,为制造企业信息化建设的良性发展奠定坚实的基础。
一、制造企业信息化建设的风险分析
制造企业信息化建设建设主要是采用CAD/CAM/CAPP等现代化的信息技术,使得制造企业生产过程信息化;采用MEP/ERP等现代化的管理技术,则是为了制造企业的管理水平科学化,管理流程信息化;采用CMS等、等进行制造企业信息的搜集,逐渐形成集设计、制造以及管理为一体的计算机综合集成制造系统,并采用计算机技术,将制造企业内部的信息资料整合起来,并将其扩展到制造企业外部。从制造企业信息化建设本质来看,就是实现制造企业各个层面的信息化,使得企业整体运营逐渐高效化、科学化、合理化。由此可见,制造企业信息化建设并不是一个企业信息化的建立,它是一个信息化系统的革新,对制造企业而来,更像是一场信息化革命[1]。然而,对于制造企业信息化建设而言,虽然信息化建设有利于当下企业管理格局的改善,但是在制造企业信息化建设中必然会遇到各种风险因素,这就要求企业在信息化建设的过程中,除了关注信息化建设之外,还需要对周围的风险源进行及时的侦查,分析风险源的源头,做出最佳的风险处理措施。
(一)制造企业信息化建设技术风险。高制造企业信息化建设属于高科技的信息化应用,这类信息化技术对于制造企业的管理和信息搜集大有帮助,但是该类型的技术牵扯信息内容过多,是多种综合技术的结合,因此存在很多不确定因素,对于初步建立信息化的制造企业而言,这种不确定的风险因素在短时间内难以做到合理化的有效控制,无法预测信息化系统在运行过程中的偶然现象,对于风险的发生不能做到及时的防范,进而给制造企业带来经济损失。
(二)制造企业信息化建设资金风险。制造企业信息化建设中必然会投入大量的资金,用于各种软硬件设备的购买、软件系统和信息支付企业的服务费用等等。除此之外,还涉及一些隐藏费用,例如制造企业信息化建设后的信息系统应用培训、信息化系统安全维护费用等,致使制造企业耗费大量的资金费用,给企业的资金流转造成阻碍。此外,由于制造企业信息化建设投入资金预算和实际花费资金差距过大,会造成制造企业运营的资金短缺[2]。此外,在制造企业信息化建设后,需要花费几十万或是几百万资金用于整个制造企业信息系统维护和调整,使其满足制造企业信息化发展需求。
(三)制造企业信息化建设安全风险。制造企业信息化建设之前,由于对信息化的陌生,使得企业管理人员安全防范意识匮乏,忽略了制造企业信息化建设安全风险,导致客户信息资料的泄漏,外来病毒入侵,引发整个信息系统的瘫痪。
二、制造企业信息化建设中风险防范措施
制造企业信息化建设风险防范措施的应用是信息化建设中必不可少的关键环节,它对于制造企业信息化系统安全运营大有裨益。此外,加强制造企业信息化建设中的风险防范,还能减少因风险因素造成的经济损失[3]。以下则是笔者结合制造企业信息化建设中出现的风险因素,在查阅多方资料后总结出的风险防范措施。
(一)制造企业信息化建设技术风险防范措施。一个完整的信息系统,必然离不开多项技术的综合应用。对于制造企业信息化建设而言,其应用的信息化技术都是按照信息系统建设的总规划,按部就班的采用制造企业信息化建设技术。因而,在制造企业信息化建设风险防范中,需要根据制造企业信息化建设整体目标和阶段性计划,找准技术的切入点,按照制造企业信息化建设层次,进行风险防范。
(二)制造企业信息化建设资金防范措施。制造企业信息化建设风险因素的发生,必然造成制造企业的经济损失,治愈资金损失额度大小,则完全取决于制造企业信息化的风险管理。比如,在制造企业信息化建设之处就制定好严密的风险管理计划,并安排管理人员对制造企业信息化建设资金进行预算统计和管理。在此基础上,加强制造企业信息化建设的日常监控,一旦发现隐藏风险源及时进行处理解决,降低制造企业信息化建设中额外的风险资金投入[4]。
(三)制造企业信息化建设的安全风险防范。制造企业信息化建设中的安全风险防范,需要从制造企业信息化内部进行管理和风险监测。由于每年制造企业都需要投入大量的资金用于安全风险维护,基于此,可用这笔资金进行信息化风险管理人员的技术培训以及日常信息系统的维护当中,一旦发现制造企业信息化建设的风险漏洞,采取防火墙措施,避免客户资料的外泄和外来病毒的入侵。其次,加强客户安全意识的提升,采用邮件形式,告知客户安全操作流程,便于客户的风险防范。
结语
综上所述,制造企业信息化建设是增强制造企业市场竞争力的首要举措,也是当下制造企业发展的迫切需求,以此,企业内部的信息系统建设规模也日趋大型化发展,而网络信息系统也呈现多样化。此种情况下,制造企业信息化建设必然存在多处风险,进而影响制造企业信息化建设发展,基于此,还需要找出制造企业信息化建设各项风险因素,对其进行系统化的分析评估,进而采取科学有效的风险防范措施。
参考文献
[1]祝连波,穆好新.我国建筑企业信息化建设风险源的识别研究[J].施工技术,2011,40(16):89-91,101.
[2]张小凤.内部审计信息化建设中供应商“绑架”风险探析[J].会计之友,2014,(12):72-73,74.
[3]陈一君,刘益.基于ERP系统的建筑企业信息化建设风险评价研究[J].工程管理学报,2011,25(2):225-229.
篇9
木桶理论的缺陷
木桶理论可谓众所周知:一个由许多块长短不同的木板箍成的木桶,决定其容水量大小的,并非是其中最长的那块木板、或全部木板长度的平均值,而是取决于其中最短的那块木板。
将木桶理论应用于企业信息安全领域的重要意义在于,使企业认识到了企业整体信息安全防御能力的强度取决于信息安全体系中最脆弱的环节。根据木桶理论,很多企业都在努力发掘、克服信息安全中的短板,针对信息安全体系中存在的盲区、潜在风险、薄弱点等纷纷部署了不同功能、应用、规模的信息安全产品,例如:针对网络病毒泛滥,在内网安装部署中央控管防病毒系统进行病毒防御;针对互联网非法入侵,在互联网出口安装防火墙、IPS、安全网关等工具进行安全防御。
然而,实践已经证明,在企业信息安全领域应用木桶理论仍存在一定缺陷:缺乏系统、整体、科学的统筹规划,导致企业在信息安全措施的运用上存在“据病就医”的不合理现象,很难实现“标本兼治”。实际情况往往是随着信息安全工具、平台、系统越上越多,企业信息安全问题非但没有减少,安全事件发生率、安全隐患、安全风险反而趋于增大,这个问题亟待解决。
新木桶理论
新木桶理论是这样的:一个木桶能不能容水,能容多少水,除了看最短的那块木板以外,还要看另外一些关键信息――一是这个木桶是否有坚实的底板、二是木板之间是否存在缝隙。
一个完整的木桶除了长板、短板之外,还有底板。正是这块底板,构成了企业信息安全的基础架构(Information Security Architecture),其中包括信息安全工作相关的组织机构、管理策略、规章制度、操作流程、运维体系等。
木桶能否有效盛水,除了需要坚实的底板之外,木板之间的缝隙同样至关重要。对于一个信息安全体系而言,不同功能、厂家、规格的信息安全产品之间的协作、联动、集成有如木板之间的缝隙,很容易被忽视,这样所导致的安全风险和危害往往是最严重的。
坚实的底板
拥有坚实的底板,是一个木桶能够盛水的前提基础。企业信息安全基础架构就是信息安全体系的底板,它全面完整地反映了一个组织机构或系统对安全管理的要求,是对ISO17799安全管理体系的深刻诠释。企业信息安全基础架构由三要素(即资产管理、威胁管理、风险管理)和四个层次(即策略、组织、操作、技术)组成,现对四个层次的主要内容说明如下:
(1)策略层次:体现整个机构的信息安全方针、纲领、标准、制度、规范、参考文献、指南等。
(2)组织层次:建立有效的信息安全组织,并赋予组织成员明确的角色和职责,普及安全知识,实施安全教育,提高全员的安全意识。
(3)操作层次:用户管理、资产管理、环境安全管理,应用系统开发运维管理,业务操作规范等。
(4)技术层次:完整覆盖信息安全体系各个基础要素的技术标准、方案及其实现。
对部分企业而言,由于没有进行过系统的信息安全建设需求调研、分析评估、整体规划,在信息安全建设过程中存在一定的随意性,将安全视为软、硬件产品技术的简单叠加,忽略制度建设,缺乏执行力,其后果可想而知。
针对以上问题,企业应该在具备专业信息安全认证资质的服务商的支持、协助下,运用先进的理念方法,在企业内部自上而下地组织进行一次全面、彻底、深入的信息安全评估,通过认真调研企业的信息安全现状和安全需求,结合企业未来发展战略规划,制订信息安全整体解决方案,分轻重、分缓急、分步骤地逐步予以实施。这里有两个问题需要特别强调:一是执行力度,信息安全工程是典型的“一把手工程”、“全员参与工程”,没有领导的重视和支持,没有员工的普遍接受和参与,没有切实可行的制度保障和考核体系支撑,安全就是一句空话;二是动态需求,信息安全工作只有起点,没有终点,随着企业对信息安全需求的动态变化,木桶的盛水量需求逐渐增大,木桶底板必须不断提高坚实程度。
无缝是关键
桶箍的作用在于将一堆独立的木条紧紧联合起来,使木桶成为一个封闭无缝的容器。试想一下,如果没有桶箍,或者箍得不紧,那么木桶仍然无法容水。企业信息安全体系的桶箍是企业信息安全技术、安全产品、安全策略、安全措施等各种对象的有机结合体,其中安全策略是最核心的,安全策略应该是系统的、长期的、整体的。企业应始终坚持应用系统建设与信息安全建设同步规划、同步建设、协调发展的原则,将信息安全体系建设融入到信息化规划、建设、管理和运维的全过程之中。
信息安全策略也叫信息安全方针,是企业对信息化相关全部资源(人、财、物、信息)进行管理、保护和分配的原则,是有关信息安全的行为规范。信息安全策略主要解决两大问题:一是明确企业员工的信息资源访问权限及流程(重点),告诉员工在日常的工作中什么是可以做的、什么是必须做的、什么是允许做的、什么是禁止做的;二是清晰阐述针对各类信息资源的防御措施及流程(难点),说明什么信息资源是需要保护的、安全保护等级是什么、保护措施是什么、保护措施的优先次序、保护措施之间的关联关系等。企业应根据信息安全等级保护的原则,识别出各类潜在的信息安全风险,并制订出详尽的信息安全风险应对策略(包括风险避免、风险转移、风险减轻、风险接受)。
篇10
企业档案信息安全的主要内容
1 建立一套科学、合理、严格、务实的安全管理制度
企业档案以企业文件材料归档为原点。向前延伸,涉及企业文件材料形成的各个环节。加强前端控制和全程管理,不仅是企业文件管理者的职责,也是企业档案工作者的职责,以档案工作者的独特眼光、科学态度和严谨作风,加强企业文件材料形成过程的业务指导、监督、规范作业流程和建章立制,是―种可行而必要的方法;向后拓展,涉及企业档案信息安全管理的各个方面,规范制度,严格执行。制度至少包括:档案归档制度,档案保密制度,档案借阅利用制度,档案鉴定销毁制度,档案分类、密级及保管期限划分制度,各类档案管理规定。
2 建立一套重当前、谋深远的档案信息安全保障策略和技术方法
档案信息安全管理策略。在企业档案信息化系统建设的过程中,应当制定和落实重当前、谋深远的全程管理、风险管理、分级管理、重点管理的档案信息安全保障策略。
全程管理就是指对电子文件从形成就开始进行控制,并贯彻到电子文件形成、归档、流转、鉴定、整理、保管等工作始终。风险管理是指加强风险点分析与控制,把有害因素降低到最小程度和可控范围内。分级管理是指对信息内容作出主动公开、申请公开和不公开的分级划分,以便满足不同利用者的需求,又能确保企业知识产权、国家安全和个人隐私、商业秘密不被外泄。重点管理是指对于核心信息和信息采取特殊安全措施,确保无虞。
技术方法的研究和应用。当前要重点加强以下技术方法的研究和应用:数字加密技术,数字签名技术,数字水印技术,二维码技术,电子档案防扩散技术应用,备份与灾难恢复技术。
3 建立一套人防、物防、技防综合运用的档案信息安全措施
人防的重点是筑牢思想防线,落实档案信息安全的工作措施;物防的重点是要配备各种必要的防护设施、设备和物质保障;技防的重点是要加强研究和应用技术手段,在力所能及的条件下,用高端技术防范高端风险,防止信息外泄与扩散。综合运用“三防”机制,是全面提高企业档案信息安全的基本要求和可靠保障,一定要认真落实,从基础做起。
企业信息安全的主要指标
实体安全。包括纸质实体和电子载体。对电子档案载体要加强存放安全和技术检测,确保物理性能稳定和数字安全可靠。
存储安全。在企业档案信息化过程中,档案管理一般都使用“双套制”的模式,即纸质一套,电子一套。电子档案数据存储安全尤为重要。需要关注的焦点:一是抗病毒能力。在各种网络和计算机病毒层出不穷的环境下,怎样确保每天在系统中存取的电子档案数据不曾被病毒感染是个重要问题。加强抗病毒能力建设刻不容缓;二是数据加密能力。近年国外企业数据丢失案件频频发生。保证存储设备上的数据在丢失后不至于带来更大的灾害,需要加强存储系统加密能力建设,防止出现更大范围数据丢失现象发生;三是数据恢复能力。企业的数据存储系统复杂性决定了企业档案信息安全问题的复杂性。怎样在灾难性事故发生后将丢失的数据完好的恢复,也是考量企业档案信息存储安全的一项重要指标。
利用安全。利用是一个永恒的主题,也是安全工作的目标。档案利用环节应重点关心如下的问题:文档加密,权限控管,时间划允记录追踪。在企业档案信息化的过程中,可以基于上述的指标,构建一套文档安全防扩散系统,确保档案利用安全。
传输安全。包括在线和离线两个方面。在线安全主要是信息安全;离线安全主要是载体安全。二者都要有安全可靠的控制措施和防范措施。
企业档案信息安全实践思路
抓好顶层设计。企业档案信息安全要有世界眼光,宏观思维,盯紧先进,瞄准前沿,跟踪技术,应用先进理念,从长远和现实两个方面科学谋划,精心设计,动态管理,分步实施,落实安全第一责任。
篇11
1.企业信息安全事件发生状况
调查显示在过去的1年内(2012年1月~2012年12月),超过93.2%的被调查企业发生过信息安全事件,其中发生信息安全事件次数超过5次的占被调查企业的13.1%。这一调查结果表明,河北中小企业信息安全形势非常严峻,如何保护信息系统安全已经成为中小企业信息化建设首要面临的问题。
2.目前中小企业信息安全面临的主要威胁
调查发现,近1年内,82.1%的被调查企业遭受过病毒、蠕虫或木马程序破坏;47.3%的企业遭受过黑客攻击或网络诈骗;33%的企业遭受过垃圾邮件和网页篡改的干扰,还有28%的企业遭受的破坏竟然来自企业内部员工的操作。这一调查结果表明,病毒泛滥、网络诈骗、黑客攻击、垃圾邮件和来自企业内部员工破坏是河北中小企业面临的最主要信息安全威胁。其中,病毒和木马程序的破坏尤为严重,直接造成企业数据丢失、信息泄漏甚至系统瘫痪等后果,严重威胁着企业的信息安全。
3.企业信息安全保护措施现状
调查发现,93.7%的被访企业采用了杀毒软件进行病毒防护和监控,25.1%的被访企业装有入侵检测系统和硬件防火墙,54.8%的被访企业采用了身份认证技术和设置访问权限进行信息保护。同时,通过调查也发现,只有不到29.5%的企业有定期的数据备份,仅有6.9%的企业为重要信息进行了数据加密。这一调查结果表明:在信息安全技术防护方面,几乎被访企业都采取了信息安全保护措施,但是大部分企业却只停留在病毒防护和身份认证的水平上,而缺少数据完整性和数据加密等保护技术。
4.信息安全管理保障措施情况
调查发现,在信息安全管理保障措施方面,25.7%的被访企业设立了专门的信息安全部门及相应的专职管理人员,44.6%的企业制定了企业信息安全管理制度,只有8.5%的企业能够对信息安全状况进行定期的风险评估,而制定信息安全事件应急处置措施的企业却只有5.3%。这一调查结果表明:河北中小企业信息安全保障组织构架设立不完善、缺乏信息安全管理制度,定期的信息安全风险评估以及信息安全应急处置预案措施严重缺失。
5.信息安全经费投入状况
调查发现,23.5%的被访企业信息安全方面的经费投入占整个企业信息化总投资的比例低于5%,39.6%被访企业同样投资比例在5%~10%之间,只有38.5%的企业信息安全方面的经费投入已经超过企业信息化总投资的10%。这一调查结果表明:河北中小企业安全意识淡薄,信息安全经费投入严重不足,低于国外20%~30%的投资比例。
二、对策与建议
通过课题组调查发现,网络环境下河北中小企业的信息安全问题突出,主要表现在认识误区、资金不足、技术薄弱和信息管理制度缺失等方面,要全面解决,必须从法律、技术和管理等几个方面全盘考虑综合治理。法律、技术和管理三者相辅相成,缺一不可,才能共同保证中小企业信息系统可靠安全运行。
1.法律法规层面加强政府支持力度和引导力度
仅仅靠中小企业自身搞信息安全防护是远远不够的,在此过程中,政府的支持、鼓励与引导是至关重要的。因此,政府应不断完善信息安全相关法律法规的建设,加快网络安全的基础设施建设,加大打击网络犯罪的力度。同时,针对河北中小企业特点,当地政府应加大企业信息安全重要性的引导和宣传,让中小企业特别是企业的领导者,充分认识到企业信息安全的重大意义与作用,从而在日常企业决策中对企业信息安全建设投资有一定的倾斜,完善企业信息安全体系建设。从长远发展角度和战略高度来重视企业信息安全。
2.技术层面
设计实施多层次、多方位的网络系统安全保护技术,以提高企业风险防范的技术水平。风险防范是一个复杂的系统工程,从技术角度,建议从以下几个方面来实现:
(1)建立网络身份认证体系。网络环境下河北中小企业的各种商务活动,都需要对参与商务活动的各方进行身份的鉴别、认证,这就需要在企业内部建立网络身份认证体系来证实各方的身份,以保证网络环境下各交易方的经济利益。
(2)配置高效的防火墙。在企业内部网与外联网之间设置防火墙,从而实现内、外网的隔离与访问控制,在他们之间形成一道有效的屏障,是保护企业内部网安全的最主要、最有效、最经济的措施之一。
(3)定期实施重要信息的备份和恢复。企业要对核心的数据和应用程序进行实时和定期的备份工作。并把备份数据的副本存储在光盘上,这样就可以避免一旦发生安全事故关键的应用程序和数据丢失给中小企业带来的巨大损失。
(4)对关键数据进行加密。企业的各类数据和应用程序,是企业多年发展中积累下来的宝贵数据资源,也是企业决策的重要依据。因此,要对这些关键数据进行加密处理,以提高数据的安全性,防止企业私密数据信息被泄露和窃取。
篇12
关键词:建筑安全信息机制;分析;构建
建筑行业具有高危险特征,在实际施工与管理期间,相关部门必须要做好建筑安全信息管理工作,制定完善的管理机制,提升自身工作质量,满足现代化建筑施工企业的发展需求。
1建筑安全信息内涵分析
在建筑企业实际发展中,相关部门必须要对安全信息的内涵进行分析,保证可以根据安全事故的原因等开展分析工作,除了可以提升施工人员生命安全性之外,还要保证建筑管理工作的安全性符合相关规定。在此期间,建筑施工企业需要建设完善的安全管理模型,对安全信息进行管理,提升施工工作的安全性,将文字与图像等作为主要载体,利用先进的沟通渠道等,对信息进行传播,保证组织机构与施工人员都能全面了解安全管理信息,并制定完善的决策与规划方案,落实上级部门的要求,提升自身工作质量。对于建筑安全信息而言,具有预防、控制等特征,可以弥补传统建筑信息的不足,并预防建筑施工安全问题,全面开展法律培训、制度培训与安全技能培训等活动,提升建筑施工企业管理工作质量。第一,建筑安全信息机制的主体。对于建筑信息安全机制而言,主要就是利用网络信息技术,及时获取其中的数据信息,并分析其安全性与经济效益,在数据信息处理与交流之后,根据其实际特征开展相关管控活动,明确信息机制使用者与管理者的职责,并完善安全信息机制[1]。第二,传导模式。对于建筑安全信息而言,其传导模式较多,主要为时间与空间方面的沟通,满足建筑企业的实际发展需求,并构成完善的信息流或是网络机制。目前,我国部分建筑施工企业在安全信息传导过程中,还存在一些问题,难以突破传统传导模式的局限性,甚至会出现信息机制主体各自为政的现象,无法在相互合作与联系的情况下,提升建筑安全信息机制的完善性与可行性。部分建筑企业在建立安全信息机制之后,会出现各类损耗问题,导致出现信息量缩减的现象,无法提升数据信息真实性与合理性,缺乏一定的指导价值,甚至会导致建筑施工过程出现安全事故,甚至会导致施工企业出现严重的经济损失。一些建筑施工企业还没有明确安全信息传递负责人,甚至会出现隐瞒真相的现象,难以提升安全信息机制的运行效率,无法增强其可靠性。
2建筑安全信息机制的构建措施
建筑施工企业在实际工作中,必须要全面构建安全信息机制,将其应用在实际施工中。但是,我国建筑安全信息机制属于初步建立阶段,在实际工作中,安全信息机制还存在较多问题,需要相关部门对其进行完善与创新,提升自身管理工作质量,优化其发展体系。具体措施包括以下几点:(1)建筑安全信息机制设计措施。在实际工作中,相关部门需要做好安全信息机制设计工作,根据建筑企业的实际发展需求,制定完善的信息搜索与传输系统,并拓宽信息处理渠道,积极借鉴国外先进的工作技术,明确安全信息机制的核心内容,保证可以提升自身工作质量,优化其发展体系。相关部门需要提升安全信息机制的构建效率,科学控制建筑企业的运行成本,同时,还要利用安全信息机制,规避施工事故,减少施工事故对于企业带来的危害,并为建筑施工人员营造安全的工作环境,提升建筑施工企业的安全性,并提高施工工作效率。另外,施工企业必须要重视自身经济效益,利用安全信息机制等,防范安全问题,降低事故成本,提高经济效益。施工企业在设计安全信息机制的过程中,必须要建设系统工程,并对安全信息系统等其他内容进行全面的分析处理,设计总框架图,然后利用框架图开展相关管理工作。如图所示,施工企业在设计安全信息机制的时候,必须要明确整体信息核心,构建完善的信息系统,提升自身工作质量。相关设计人员还要对法律法规、组织信息、先进技术、经济效益、企业文化与其他管理工作进行全面分析,将其设计在安全信息机制模型中,并建设其他子系统,规划管理建筑施工企业的各类项目。同时,建筑施工企业需要完善相关系统,保证各类项目之间的配合密切性,并构建完善的安全信息机制,提升自身工作质量与可靠性,达到预期的管理目的。(2)建筑安全信息机制构成措施。在建筑施工企业对安全信息机制进行设计之后,需要全面分析其构成要求,并将其分为核心系统与系统,利用先进的网络信息技术等,建设完善的数据库,然后对各类安全信息数据进行共享,并构建统一的信息机制。同时,相关管理人员需要对建筑施工经济效益、技术与法律等进行管理,制定阶段性的培训方案,建设高素质人才队伍,支持建筑施工企业的长远进步,逐渐优化其发展体系,满足施工企业安全信息机制的建设要求。(3)制定安全预警方案。建筑施工企业在完善安全信息机制之后,需要制定完善的安全预警方案,针对建筑施工安全问题等,全面开展事故预防与处理工作,对事故进行动态监管,及时发现建筑施工中存在的安全事故萌芽,并采取有效措施预防各类问题,例如:建设专门的事故预防监测系统,对建筑四个进行全面的分析,获得原材料质量数据信息、施工人员施工水平数据信息、施工机械设备质量数据信息与地质安全数据信息等,并对其进行简易化处理,构成完善的信息处理模型,在提升事故预防工作效率的基础上,规避建筑企业事故安全事故问题,满足建筑安全信息机制的完善需求。
3结语
在建筑安全信息机制实际构建期间,相关部门必须要制定完善的管理方案,创新安全信息机制的构建方式,明确自身工作要求,积极引进先进的信息技术,提升自身管理工作质量,满足建筑企业的实际发展需求。
参考文献:
篇13
【关键词】企业信息化建设;信息安全问题;防范措施
当今是信息爆炸时代,信息化时代的到来给企业带来了更为广阔的发展空间。企业通过互联网渠道搜集海量信息,为企业产品推广和联系客户提供了平台。当前,尤其是伴随着“两化融合”的推进,许多的企业都意识到加强信息化建设对自身发展的重要性,加大了对信息化建设的资金、人力投入,以促进企业走向信息化发展道路。但伴随着企业信息化建设过程中也出现了一些信息安全问题,例如:不法分子采取技术手段窃取企业重要信息进行不正当交易。企业重要信息一旦泄露,很可能会给企业带来严重的经济损失,严重者可能会造成企业倒闭。因此,作为企业而言在加快信息化建设的同时绝对不能忽视信息安全问题。深入性地分析信息安全问题产生的原因,积极采取有效措施,减少或者避免信息安全问题的发生。
1企业信息安全问题分析
就当前企业信息化建设中存在安全问题的原因来讲,只要主要有内因和外因两种。具体分析如下:
1.1内部原因
1.1.1企业信息系统安全意识薄弱
当前,多数企业都意识到信息化建设对自身发展的重要性,加大了信息化建设的投入力度。但因缺乏实践指导,管理层信息化意识缺乏,发展盲目,对信息安全问题往往忽视,使得信息化系统运行过程中出现不同程度的安全问题。
1.1.2信息安全软件技术不高
当前国内的信息安全软件技术虽然发展较快,但同国外发达国家的信息安全软件技术水平相比,差距仍旧比较大。并且信息安全软件是“盾”,黑客病毒是“矛”,防范措施总是很难赶上病毒以及黑客的发展。
1.1.3管理缺乏规范
部分企业由于没有从思想上认识到信息安全问题的危害性,重投入,轻管理,空有信息系统却管理混乱,没有建立有效的安全问题防范机制,这就给恶意人员侵入企业信息系统提供了机会,造成企业的重要信息被窃取或丢失。
1.1.4专业技术人员缺乏
一般而言,企业信息安全系统的维护和升级都要有专业的技术人员操作。但由于企业的高层对于信息化的认识程度、企业的发展程度差异,导致部分企业没有配置专门的管理技术人员,设备与系统缺乏专业的维护管理。
1.1.5信息安全问题的相关法律不够健全
针对当前国内危及企业信息安全的违法犯罪行为,我国还没有相关的法律法规体系,导致这种类型犯罪较难管理,企业因信息被窃取而造成的经济损失,也很难获得合理赔偿。
1.2外部原因
现阶段,企业信息系统受到的威胁主要来源于外部。随着现代信息技术的高速发展,信息逐渐在市场中突显出其重要作用。一些不法分子看准信息对企业发展重要性的这一点采用不同手段来窃取企业的一些重要信息来谋取利益。此外,还有一些企业为了能够在市场中取得竞争优势,也会采取一些不法手段来获取其他竞争对手的信息,借以打压竞争对手。
2企业信息化建设中安全问题的应对措施
2.1企业应提高信息安全问题防范意识
企业应提高信息安全问题防范意识,将信息安全问题防范工作上升到企业战略层面,将其放在企业信息化建设工作的重要位置,立足长远,合理规划,重视信息化建设中信息安全问题的防范,加强对信息安全问题的研究,积极采取有效措施防范可能会发生的信息安全问题,建立长效机制。
2.2正确选择信息安全防护软件
目前,企业在信息化建设中对于信息安全问题往往会采用信息安全防护软件方式来防范安全问题。但有些企业在选择信息安全防护软件时没有注重信息安全防护软件的质量,有时候选择一些防护性能弱,价格低廉的软件。使得信息安全防护软件起不到防护功能。即浪费了企业资金,由起不到应有的效果。
2.3加强企业信息系统管理
我们知道,不管是任何安全防护硬件或者软件都不是完美的,都存在一定的漏洞,都有可能遭到破坏和攻击,使其失去防护功能。所以,其只是辅助措施,对于信息安全防护工作不能完全依赖技术手段,以为只要采购好软硬设备旧高枕无忧了,而是要在拥有技术手段的同时,加强日常管理,建立长效管理机制。通过健全的信息安全管理制度,并且管理人员切实贯彻落实才能防患于未然。建立信息安全风险评估体制。基于企业的信息系统不是在同一时间和同一技术支持下所建立的,所以在信息系统运行管理中各个系统可能存在的运行安全隐患是不同的。这就需要企业根据系统的不同找出各自的不安全因素和漏洞。建立完善的信息安全风险评估体制,通过量化分析,制定切实可行的信息系统运行风险防范措施。加强网络管理。企业的信息系统遭到破坏,信息泄露都是企业外的一些不法分子通过网络来窃取的。因此,企业内部应建立完善的网络管理专业人才队伍,加强对网络安全管理,给企业信息系统的运行提供安全可靠环境。
3结语
总之,加强信息化建设已经成为当前企业必须要重视的课题。在企业信息化建设快速发展的同时,信息系统安全问题也越来越突出,给企业信息系统的可靠性运行造成了不同程度的影响,所以,企业应重视信息系统安全问题的分析和研究,采取有效的信息安全防范对策,确保企业信息系统的安全、稳定、可靠运行。
参考文献
篇14
关键词: BOSS系统;风险评估;广电
中图分类号:F49 文献标识码:A 文章编号:1671-7597(2012)0210099-01
1 项目背景
随着公司整体融资上市,陕西广电确立了“管理架构集团化、产业发展多元化、经营运作市场化”的“三化”战略构想,并在全国率先完成网络整合,实现有线电视业务和数据多业务等全业务运营,公司从传统的有线电视运营商向综合信息服务供应商转型。2010年,伴随三网融合的逐步推进,陕西广电将加大全业务运营的步伐,有线电视数字化、数据业务、高清、互动业务等蓬勃发展。为适应企业业务的转型和业务的飞速发展,陕西广电于08年开始建设自己的运营支撑平台BOSS系统,这是陕西广电业务运营上台阶、管理上品质的一次里程碑式的重要举措,将全面优化陕西广电的业务运营,全面提升企业运营效率,因此,BOSS系统建设的成败、是否安全稳定的运行对于陕西广电至关重要。
根据信息安全与信息系统“同步规划、同步建设、同步运营”的三同步原则,陕西广电决定同步着手构建BOSS系统的信息安全体系。从风险控制以及安全经济效益的角度,“以安全保发展、在发展中求安全”,避免来自信息安全方面的风险,实现BOSS系统安全可管理、可运营,增强企业可持续发展的能力,最大限度实现间接的安全经济效益的提升。
那么,BOSS系统的信息安全如何建设、如何运营管理,依据是什么?信息安全风险评估是企业信息安全建设中关键的第一步,它将明确告诉我们BOSS系统有哪些信息资产,信息资产存在的漏洞、所面临的威胁以及主要的信息安全风险点在哪里,从而为企业的信息安全规划和建设提供最直接的决策依据,使得企业的信息安全建设能够有目标、有重点、有计划、有步骤进行。
2 项目实施
2.1 项目实施范围
本项目属于企业信息化中信息安全领域,陕西广电网络BOSS系统风险评估项目的重点是对BOSS系统的核心区域进行信息安全风险评估,同时,鉴于地市分公司之间在信息安全方面具有较强的共性,因此以抽样的方式,抽取了3个节点进行风险评估。
项目主要内容包括:
1)信息资产的清理和重要性赋值
2)安全技术漏洞和威胁的调研评估
3)安全管理漏洞和威胁的调研评估
4)全面分析BOSS系统存在的信息安全风险
5)提出BOSS系统信息安全管理体系改进建议
6)提出合理的安全技术解决方案建议
7)提出若干重要的信息安全管理制度和规范
2.2 项目实施内容
2.2.1 系统业务调研。业务调研的目的是使评估活动业务密切结合,安全建议能够与企业的业务发展战略相一致,通过调查BOSS系统上运行的所有业务和应用,了解主要业务流程,清楚的掌握支持业务运行的网络系统基本结构和安全现状,收集评估所需的资产属性信息。调研范围包括:评估的业务或应用、信息资产、人员、环境、活动、IP地址信息。
2.2.2 资产识别与估价。在BOSS系统的评估范围内,按照网络安全拓扑结构图的业务系统为主线,列出所有网络上的物理资产、软件资产和数据资产,并为每项资产赋予价值。首先根据调查结果对资产属性进行权值定义,然后对进行影响分析。主要从以下几方面来考虑:违反了有关法律或(和)规章制度、影响了业务执行、造成了信誉、声誉损失、侵犯了个人隐私、造成了人身伤害、对法律实施造成了负面影响、侵犯了商业机密、违反了社会公共准则、造成了经济损失、破坏了业务活动、危害了公共安全。
2.2.3 威胁评估。BOSS系统威胁评估过程中,首先要对组织需要保护的每一项关键资产进行威胁识别。用于威胁评估的信息能够从信息安全管理的有关人员,以及相关的商业过程中获得。
接着要做的是对每种威胁的严重性和发生的可能性进行分析,最终为其赋予相对等级值。评估确定威胁发生的可能性是这一阶段的重要工作。其中,威胁发生的可能性受下列因素影响:资产的吸引力、资产转化成报酬的容易程度、威胁的技术力量、脆弱性被利用的难易程度。
2.2.4 脆弱性评估。针对BOSS系统需要保护的信息资产,找出威胁所能利用的脆弱性,并对脆弱性的严重程度进行评估。脆弱性评估主要从技术、管理和策略三个方面进行。其中在技术方面主要是通过远程和本地两种方式进行系统扫描、对网络设备和主机等进行适当的人工抽查、对关键外网服务主机进行远程渗透测试;管理脆弱性评估方面主要是按照ISO27001的安全管理要求对现有的安全管理制度及其执行情况进行检查;策略脆弱性评估方面主要是从整体网络安全的角度对现有的网络安全策略进行全局性的评估。脆弱性评估所采用的方法主要为:问卷调查、顾问访谈、工具扫描、人工检查、文档审查、渗透测试等。
2.2.5 已有安全措施的确认。BOSS系统安全措施可以分为预防性安全措施和保护性安全措施两种,预防性安全措施可以降低威胁利用脆弱性导致安全事件发生的可能性,如入侵检测系统;保护性安全措施可以减少因安全事件发生对资产造成的影响。已有安全措施的确认是对已采取的安全措施的有效性进行确认,防止安全措施的重复实施。对于确认为不适当的安全措施应核实是否应被取消,或者用更合适的安全措施替代。
2.2.6 现状与风险的分析管理。首先是对各种数据的汇总和分析,从物理、网络、系统、应用、管理等方面全面分析,得出系统的整体安全现状,输出安全现状和风险报告。根据评估结果进一步完成相关的安全建设方案,明确保护哪些资产,防止哪些威胁,如何才能保证系统达到某一安全级别;所提出的安全方案需要多少技术和费用的消耗等。
3 项目推广情况及前景
3.1 贯彻“同步规划、同步建设、同步运行”原则
- 上一篇:心理课程体系建设范文
- 下一篇:成功演讲的技巧范文
