企业信息安全的问题范文

时间:2023-10-09 17:30:30

导语:如何才能写好一篇企业信息安全的问题,这就需要搜集整理更多的资料和文献,欢迎阅读由公文云整理的十篇范文,供你借鉴。

企业信息安全的问题

篇1

【关键词】企业信息化;信息安全问题;原因;对策

新时期下,信息化技术在各行业中运用日渐深入,给企业现代化建设与快速发展带来了无限动力。企业信息化建设已成为我国经济信息化建设能否成功的关键所在,也是提升企业自身市场竞争力与企业升级进步的重要保证和标志[1]。但是,企业信息化建设过程中不可避免的出现信息安全问题,给企业正常生产经营带来诸多不利影响。因此,加强企业信息化建设中信息安全管理,已成为现代企业经营管理的一个至关重要的工作。

1企业信息化概述

所谓的企业信息化,指的是实现企业的资金流、物流、作业流、信息流的数字化、网络化管理,实行企业运行的自动化和企业制度的现代化[2]。企业信息化建设涉及了企业生产经营中的各个部门,其主要利用现代化信息技术,通过完善企业内外网络信息系统,实现对企业内外知识与信息资源的开发。可见,建设企业信息化体系,不但可以及时有效的提供各种数据信息给企业决策层,也为企业未来规划设计提供参考依据,而且还有利于企业满足瞬息万变的市场需求,为企业市场核心竞争力的提升带来动力。

2当前企业信息化建设中信息安全问题

企业信息化建设与发展为企业持续、健康、稳定发展发挥了显著作用,但同时也存在着诸多信息安全问题,具体分析主要有以下几方面[3]:(1)当前,绝大多数企业缺乏完善的安全防御系统,导致企业内部使用的信息系统易遭受外部网络系统的攻击,引发企业信息资料被他人截获、篡改与伪造等问题,甚至企业信息系统中出现通信线路、硬盘设施以及其他文件系统遭恶意破坏现象,上述问题的发生不但致使企业信息系统无法正常运行,而且其内部机密信息易发生泄漏,造成企业严重的社会经济损失。(2)针对邮件系统攻击防不甚防。在企业信息系统中电子邮件具有重要的作用,通过电子邮件接收与传送,极大的方便了企业内部间与外部间信息交流与沟通。然而,电子邮件安全问题也日益突出,典型的如电子邮件病毒、垃圾邮件、机密信息泄露以及电子邮件炸弹等,给企业信息传输带来了巨大安全隐患。因此,电子邮件安全问题不可忽视。(3)漏洞攻击日益严重。按照漏洞问题发生原因可分为软件漏洞和协议漏洞两种,其中软件漏洞主要是受外部不法分子攻击软件自身存在的漏洞,造成企业信息泄露等问题;而协议漏洞则主要是由于TCP/IP协议自身在安全机制方面存在的诸多漏洞问题导致,外部不法人员通过攻击TCP/IP协议漏洞,致使企业信息系统遭受破坏。目前情况,很多企业对自身信息系统缺乏成熟的漏洞检测手段和能力,往往事发后才采取补救措施。(4)是Web服务安全问题突出,根据Web服务流程,其发生安全问题的主要组成包括Web服务端安全问题、浏览器客户端安全问题两种。其中,Web服务端安全问题主要是企业Web主机遭受外部不法分子侵入,导致企业保密信息遭窃或者企业部分信息遭受非法篡改等;浏览器客户端安全问题则是企业浏览器客户端遭外部非法分子侵入,致使部分机密信息与数据遭窃等。

3导致企业信息化建设中信息安全问题因素

企业信息化建设中信息安全问题发生受诸多因素影响,具体分析主要有以下几方面[4]:(1)目前,绝大多数企业在信息化建设过程中,对于信息安全问题重视度严重不足。一方面,受传统经营观念影响,企业管理层偏重于对企业生产经营中的有形资产给予关注与重视,而忽略了企业知识与信息资料等无形资源,导致在企业信息安全管理方面各项投入严重不足,进而造成信息安全问题日益凸显;另一方面,多数企业在面对信息安全问题时,存在着盲目乐观现象,认为信息安全问题不至于导致企业正常生产经营,使得信息安全管理无法上升至企业发展规划战略之中,进而造成信息安全问题得不到及时有效解决。(2)由于企业信息化建设在我国尚处于起步阶段,各方面配套管理制度不够完善,特别是缺乏健全的企业信息安全管理体制。受此影响,企业信息化建设中信息安全问题一方面无法得到有效的预防措施,另一方面是一旦发生信息安全问题,无法采取及时有效的补救与解决对策。同时,由于缺乏科学、合理、有效的企业信息安全防护策略,使得企业信息管理人员缺乏必要的安全防护意识与业务素质能力,致使企业信息安全防护软硬件工作质量与效率明显不足。上述两个因素,导致企业无论是从人员配置,还是资金与技术投入方面都严重不足,受企业信息管理人员业务素质能力不足、信息安全技术方法落后以及配套的资金缺乏等影响,企业信息安全防护的措施、手段偏低,造成企业信息化建设存在着严重安全隐患。

4提升企业信息化建设中信息安全对策

针对当前企业信息化建设中存在的信息安全问题,为加强企业信息安全管理,提升企业信息安全保障,可通过采取以下几方面对策,具体有[5]:(1)转变传统企业信息化建设观念,在企业内部管理层从上至下加强对企业信息安全的重视,并树立正确的安全意识。一方面,通过组织各种信息安全管理培训等,增强全体企业员工信息安全意识,确保企业保密信息不外漏;另一方面,逐步加大企业信息化建设中信息安全管理各项资金、技术、人力投入,并建立科学、合理、有效的企业信息安全防护策略,保障企业信息系统安全稳定。(2)不断的推进网络信息技术的发展与运用,促进企业组织结构网络化的实现,同时引进先进的安全防护技术,确保企业信息化系统安全稳定运行。任何网络信息系统都存在着或大或小的安全漏洞问题,而保证其不受外部不法分子侵入的一个关键方法就是安全防护技术的运用。通过选用先进的安全防护技术,可以有效的提高企业信息系统抵抗外来攻击,避免企业信息遭受窃取、篡改甚至破坏等,对于保障企业持续、健康、稳定发展具有显著作用。(3)结合企业信息化建设实际情况,建立健全企业内部信息系统管理体制。一方面,针对信息安全问题,应建立科学、合理、规范的信息安全管理体制,保证企业信息系统安全运行;另一方面,建立健全企业安全风险评估机制,针对不同系统找出影响其安全的因素和漏洞,并制定出最佳的对策,降低企业信息安全风险;此外,加强相应的网络管理,防止外来不法分子通过网络侵入企业信息系统。(4)根据新时期企业信息化建设需要,加强企业信息技术人才、信息管理人才队伍建设,为企业信息安全管理奠定坚实的人才基础。一方面,在企业内部,加强信息技术人才培训,提高企业内部相关人才业务素质能力;另一方面,在企业外部,采取有效措施,积极招聘人才,引进具有先进信息技术型人才;此外,建立健全企业信息安全管理用人机制,激发员工工作积极性,提高工作质量与效率。

5小结

总而言之,企业信息安全事关企业信息化建设是否成功,对于企业持续、健康、稳定发展具有至关重要的作用。因此,应提高企业信息安全管理意识,增强企业信息安全管理机制,促进企业信息安全管理工作质量与效率,保障企业信息化建设顺利开展。

作者:吴捷 单位:中海石油气电集团有限责任公司

参考文献

[1]毛志勇.企业信息化建设的信息安全形势与对策研究[J].科技与产业,2008,8,(1):43~45.

[2]纂振法,徐福缘.浅析企业信息化建设的意义、问题与对策[J].吉林省经济管理干部学院学报,2001,3:24~28.

[3]谢志宏.企业信息化建设中的信息安全问题研究[J].企业导报,2014(06):132~133.

篇2

[摘 要] 信息安全审计系统针对互联网行为提供有效的行为审计、内容审计、行为报警、行为控制及相关审计功能。从管理层面提供互联网的有效监督,预防、制止数据泄密。满足用户对互联网行为审计备案及安全保护措施的要求,提供完整的上网记录,便于信息追踪、系统安全管理和风险防范。

[关键词] 安全;信息系统;审计;虚拟化

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2017. 07. 028

[中图分类号] F239.1 [文献标识码] A [文章编号] 1673 - 0194(2017)07- 0058- 04

1 引 言

随着信息技术的高速发展,企业业务对于IT系统的依赖性不断增强,信息和业务交付的灵活性与信息安全保护、防止泄露成为实际工作中的矛盾,企业IT运营既要满足业务发展对业务交付灵活性的要求,又要防止信息泄露,因为信息安全问题关系到企业的声誉,同时关系到企业的经营风险,更关系到国家的机密信息安全。

2 目前化工行业信息安全风险分析

2.1 化工行业信息化发展趋势

石油化学工业是基础性产业,在国民经济中占有举足轻重的地位,是我国的支柱产业部门之一,化工行业之所以重视信息化工作,首先与2015年总理提出的“互联网+”的大发展背景密不可分,工艺流程的制定、化工装置的运行、化工产品的销售都高度依赖于信息化、互联网技术;其次是从化工行业的自身特点衍生出来的,其产品数量多、种类多,产品各个环节的各个控制点特别多,这就要求用信息化技术能够对化工生产中的各个环节产生积极和促进作用。

2.2 化工行业信息安全管理的现状和挑战

因为信息安全管理的要求,在网络管理层面,石油系统内的企业已经建立了完善的内、外网隔离的管理平台,两个网络完全物理隔离,不能互相访问;石油系统内还部署了病毒防御、主动攻击防御系统(Symantec Endpoint Protection),保密安全,漏洞防护等一系列安全防护系统,看似已经建立了一个信息非常安全、固若金汤的基础架构。但在实际业务发展中,仍然存在一些隐患,不容忽视,面临挑战。

一方面企业的业务已经非常依赖信息系统,因为业务发展需要急需把内网系统交付到外网去,即人员在出差过程中能处理内网的业务。现有的内外网隔离架构,只有特权用户能够进行办公,为新的用户授权又需要经过一系列严格的程序,交付周期相对较长,因此不具备实现业务交付的灵活性。

另一方面,即使建立了内外网隔离的架构,也不能从根本阻止信息泄露,而且对于信息泄露事件也不能做到追本溯源,以避免类似事件发生。据全球权威的调查机构报告显示客户发生的信息泄露75%来自系统内部网络,而且超过50%的信息泄露没有找到信息泄露的源头。外网通过入侵,只能获得企业非关键信息;而对内网进行的各种违规操作,才是最致命的,给企业带来巨大的经营风险。所以即使进行了完全隔离,也不能杜绝信息泄露,内部网络的信息泄露主要来自于以下三个方面(见图1):

(1)由外包服务公司员工引起信息泄露。伴随着IT系统越来越复杂,客户本身很难成为各种应用系统、各种管理系统的专家,往往采用服务外包方式进行管理,现实的问题在于,由于没有一套完善的监控、审计机制,外包服务公司人员究竟在管理平台上修改了什么,平台上的数据被是否被保存到了IT服务外包人员本地电脑上并被泄漏出去,是否有危及系统安全和数据保密的操作都不得而知,出现人为操作故障后,追溯问题根源存在争执,追究责任困难,这就成为了信息泄露的最大漏洞。

(2)由内部IT人员引起信息泄露。在IT系统管理过程中,IT管理人员通常有非常大的权限,如何管理和评估这些人员在日常工作中是否有超过权限的操作,怎么清晰地知道哪个IT人员什么时间做过什么操作,都是摆在企业面前的现实问题。

(3)由内部业务人员引起信息泄露。业务人员因为直接掌握了企业财务、设备、销售、物料、物流等各个方面的数据,也是信息泄露的关键因素之一。

3 建设审计系统的意义

由于企业信息安全管理存在外包服务公司员工引起信息泄露、炔IT人员引起信息泄露、内部业务人员引起信息泄露的情况,因此围绕业务系统需要建立可控的、有序的安全架构,以防止和杜绝任何企业数据泄漏的隐患,通过使用信息内容审计系统能够在已建立起的网络安全平台上再增加一道安全防护屏障,从而实现真正完善的信息安全防护体系,这对企业的信息化发展具有重要意义,使用信息内容审计系统的具体价值体现在以下几点:

(1)审计敏感信息接触者,如IT管理员、业务人员、外包公司员工,他们都需要通过审计管控平台,才能获得信息系统的访问、管理权限,获得其需要的应用和数据,如此便可实现从源头上防范信息数据的泄露。

(2)IT管理员、业务人员、外包公司员工的所有操作行为可以通过回放录像的方式进行检索,从而捕捉到关键行为、操作,对于出现的信息泄露等重大问题,责任范围可追溯,做到有依可循、有据可查。

(3)对于系统故障,误删除等操作造成的数据丢失可以通过操作行为录像回放,找出故障原因,找回丢失的重要数据,从而保证企业的财产不受损失,保证企业的名誉不受损失。

4 审计的方法、特点

审计系统综合了核心系统运维和安全审计管控两大主干功能,从技术实现上讲,通过切断终端计算机对网络和服务器资源的直接访问,而采用协议的方式,接管了终端计算机对网络和服务器的访问。目前普遍采用的审计方式有两种,一种采用一体堡垒机的方法,一种采用服务器、审计软件两层架构的方法。

4.1 一体堡垒机功能

(1)单点登录功能:支持对Windows、LINUX、UNIX、数据库、网络设备、安全设备等一系列授权账号进行密码的自动化周期更改,简化密码管理,让使用者无需记忆众多系统密码,即可实现自动登录目标设备,便捷安全。

(2)统一的账号管理:能够对所有服务器、网络设备、安全设备等账号进行集中管理,化繁为简,实现对维护管理员的统一审核。

(3)资源授权:设备提供基于用户、目标设备、时间、协议类型IP、行为等要素实现细粒度的操作授权,最大限度保护用户资源的安全。

(4)访问控制:设备支持对不同用户进行不同策略的制定,细粒度的访问控制能够最大限度的保护用户资源的安全,严防非法、越权访问事件的发生。

(5)操作审计:能够对字符、图形、文件传输、数据库等全程操作行为审计;通过设备录像方式实时监控运维人员对操作系统、安全设备、网络设备、数据库等进行的各种操作,对违规行为进行事中控制。对终端指令信息能够进行精确搜索,进行录像精确定位。

4.2 审计软件功能

新一代的审计软件克服了传统堡垒机的很多不足,如专用硬件不易维修、升级困难、不能实现应用和数据管控、不能对图像操作进行检索等,在继承了传统堡垒机的基础上又具备以下优点:

(1)应用管控。实现独立管控,不同人员获得使用不同应用程序的权限。

(2)数据管控。无论局域网操作者还是广域网远程操作者,在审计环境下可以看到数据,使用数据,但无法下载数据。

(3)高安全性。以客户端/服务器方式运行,将用户行为变为可视、可跟踪、可鉴定,保护重要数据的安全。

(4)集中审计,审计无盲点。实现集中审计、集中访问控制,对于企业重要系统和数据的管理,有非常重要的价值;

(5)准确追溯历史。在服务器上部署审计软件的科学方式能够将来访人员的行为完整的记录,并保存在服务器上,审计人员能够按照其想调查的时间点、调查的操作人、调查的内容进行选择,通过清晰的视频回放准确的定位操作行为。

(6)行为分析报表。能够提供准确、详细的审计报表,直观的展现历史过程。

此外,新一代的审计软件还具备更为可靠、先进的核心业务非法访问监测、恶意程序篡改进程、关键数据的访问监测、多维度的行为分析和查询、云终端用户操作等行为审计等功能。

5 审计系统的建设

鉴于石油化工系统的信息安全、数据保密的重要性,在设计企业信息安全防护系统时要充分考虑到架构是否能够有效的起到安全防护作用、规范作用,是否能够为企业运营节省成本、提升企业运营效率等因素,因此在设计架构时要打破传统安全防护的壁垒,在创新发展与严密管控之间找到平衡点,充分发挥出架构的优势。

5.1 架构组成

架构由三个部分组成,分别是客户部分、集中访问控制部分、信息系统部分(见图2)。

(1)客户部分,包括IT管理人员、IT运维人员、IT外包人员、审计人员等。

(2)集中访问控制部分,这里是审计系统的核心控制区,包括行为审计应用产品、审计数据存储产品、访问控制程序区(SSH、Putty、SecureCRT、远程桌面等)。

(3)信息系统部分,包含企业的各个生产、销售、物料等信息系统。

5.2 架构设计

方案采用应用虚拟化技术+智能审计解决方案,采用行业中技术领先的CitrixXenapp+AuditSys审计产品,构建一个安全的集中访问平台,将用户与信息系统分隔开。

首先建立XenApp平台,将远程服务器和客户机上的应用程序部署到XenApp平台上,客户端设备只需通过IE就可以运行应用系统,多用户同时访问时,由XenApp管理应用客户端软件的多进程访问,并控制向不同用户的权限,服务器与客户端之间的数据传输只是屏幕变化和鼠标键盘的指令信息,而不传输任何实际操作数据,真实的数据传输发生在XenApp平台与信息系统部分之间,从安全性角度分析,这种安全性接近于物理环境隔离。

然后在XenApp平台上部署AuditSys产品,实现审计任何通过Xenapp平台访问的用户会话,也可以审计任何通过远程桌面、终端服务、PCANYWHERE等远程协议访问过来的会话,也可以审计通过KVM或者通过本地登的用户会话,通过与Citrix XenApp的无缝集成,不仅可以构建一个安全的远程集中访问平台,还可以对所有的用户会话,管理员维护操作等用户行为进行审计。

所有的行为审计过程需要完整的记录并保存,这里部署了Auditsys App Server,保存了Auditsys记录的完整的行为过程,为检查人员、审核人员的安全检查提供可靠依据。

5.3 架构优势

XenApp集中化方法将所有应用程序和数据存储都集中在数据中心服务器上,并把数据的管理严格控制在数据中心。

该方法从安全角度和先进角度出发,在安全防护方面做到了数据的不可复制,在该架构下,只有用户界面、键盘敲击和鼠标操作等小量交互信息通过网络传输,且都是经过加密处理的。

XenApp上的应用程序需要上层管理者授权才能使用,保证了应用的管控和规范使用。

客户部分使用计算机在完成数据操作时,只能够看到所使用的数据,真正的数据依然存放在集中访问控制部分和信息系统中,充分做到了数据的安全防护。

AuditSys具备功能强大的数据搜索引擎,支持细化的组合查询、多条件选择查询,帮助用户快速完成记录搜索。

6 总 结

信息化是企业工业生产的重要驱动力,是企业可持续发展的重要因素,互联网+工业是未来工业发展的方向,且工业信息化发展的前提又是信息安全,因此,企业信息安全防护系统做的好不好,企业信息安全管理规范,直接作用于企业的工业信息化发展,进而影响企业的发展动力、产品创新、技术产品等多个方面。而信息安全体系中,人员的管控的是最复杂、最困难的,信息工作中,能否通过有效的安全系统及时有效的发现、制止信息泄密事件,做到未雨绸缪;能否在发生泄密事件后,准确的查出泄密原因,找出泄密人员,亡羊补牢,这尤其需要企业在信息安全工作中重点考虑,以保证企业的信息安全防护系统坚固、夯实,以保证企业的信息化发展健康、稳步。

主要参考文献

[1]邓小榕,陈龙.安全审计数据的综合审计分析方法[J].重庆邮电学院学报:自然科学版,2005(5).

[2]许霆,袁萌,史美林.网络监控审计系统的设计与实现[J].计算机工程与应用,2002(18).

[3]邓瑛,常国岑.网络安全监控与审计系统的设计与实现[J],计算机工程,2002(12).

[4]张俊良.基于信息过滤的网络安全审计系统的研究与实现[D].西安:西北大学,2009.

[5]曹晖,王青青.新型数据库安全审计系统[J].计算机工程与应用,2007,43(5):163-165.

[6]王渊,马骏.一种基于入侵检测的数据库安全审计[J].计算机仿真,2007,24(2):33-36.

[7]高彩容.基于数据挖掘的网络安全审计技术研究[D].西安:西安电子科技大学,2008.

[8]韦猛,程克非.基于主机信息内容审计系统的设计与实现[J].重庆邮电大学学报,2008,20(6):725-728.

[9]范红,邵华.应用系统安全审计检测研究[J].信息网络安全,2012(8):170-172.

篇3

关键词:企业信息化 网络安全 安全分析

中图分类号:F270.7 文献标识码:A 文章编号:1672-3791(2016)03(b)-0024-02

随着网络信息化时代的到来,互联网的快速发展,如今网络化已经成为企业信息化发展过程中的重要推动力量,网络信息化使得全球两百多个国家的信息资源可以得到最大程度上的共享。对于中小企业而言,企业信息化的发展是必经之路。但是凡事都有两面性,都不可能一直顺风顺水,这一进程必将遭受大大小小的挫折和考验;随着企业信息化的高速发展,企业信息化网络安全问题也渐渐变得突出,网络安全问题已经成为阻碍企业发展难以逾越的一条鸿沟。

1 企业信息化与网络安全

1.1 企业信息化概述

企业信息化即企业建设一个良好的资源平台,收集各种各样的信息,建立一个网络数据库。在一定程度上利用计算机互联网技术,控制企业的经济发展,将企业收集到的信息高度集成化,以此达到企业实现资源共享的目的。其种种行为,都是为了提高企业的经济效益,提高企业市场竞争力。为了达到之一目的,这就意味着要对企业的管理流程进行变革和优化、管理理念的创新和改善、管理团队的重组以及管理手段进行创新。

1.2 网络安全概述

网络安全的通用定义:就是在网络运行过程中,网络系统的硬件和软件系统都可以得到很好的保护,不会因为偶然间的原因而遭到恶意的破坏和泄漏,系统的连续十分可靠,在正常情况下都可以稳定运行,网络服务器不会因为其他原因而中途中断。在如今的信息时代下,网络安全问题层出不穷,在目前的公共通信网络存在着千奇百种的安全漏洞和威胁。

从企业和单位个人的角度来看,这一群体希望自己的个人隐私和商户利益在进行网络传输时受到保护。要求这种保护真实完整,保密系数高,可以做到避免不法分子的窃取和侵犯。保证用户的利益和隐私不受到损害和侵犯。同时这一群体也希望主机上的个人信息不受到其他用户的干扰和破坏。从网络运行管理者的角度来看,这一群体希望对本地网络信息的安全做出有力的保证。保证用户的个人信息、商业机密、生活隐私不受到侵犯和威胁。避免出现病毒的传染、网络资源的非法占用、非法存取、拒绝服务,对黑客的网络攻击进行制止和防御。

1.3 网络安全的基本特征

保密性:保密性指的是不将用户的个人隐私、商业机密、生活隐私等信息向外界透露,不泄密给非授权的个人,法律规定的除外。

可控制性:简言之,可控制性就是指对企业信息的传播方式,传播途径都可以很好的掌握,必要时,可以及时控制企业信息的发出。可以在授权范围内对文件的流向以及方式进行控制。

可用性:可用性是指保证用户在合法的情况下,可以及时访问到所需要的信息资源。具体是指:可用性合法用户访问信息并能够按要求顺序使用信息的特性。

2 网络安全问题分析

2.1 内部因素

企业在安全意识方面注意度不够。即使目前已经有了相当大一部分企业加快了企业内部信息化建设的步伐,但是企业管理者往往看到的只是企业信息化带来的经济效益和社会效益。却忽略了信息化建设发展中存在的一些问题,对信息化的建设发展没有引起高度重视。

管理者在管理制度上存在一定的缺陷,存在着管理制度不够完善的情况。由于管理制度的整体缺失,加上管理者可能出现操作上的疏忽,这在一定程度上就给了黑客和不法分子趁虚而入的机会,从而造成企业信息被窃取,导致企业蒙受不必要的损失。

国内软件制作技术相对落后,软件安全得不到高度保障。自信息化时代以来,尤其是近几年软件技术发展十分迅速。即便如此,但是我国在软件制作技术发面和发达国家在软件制作技术方面还是存在着一定差距。

在企业信息化管理人员方面,尤其是具备这方面的高素质管理人才,我国还很缺乏。在企业信息化安全策略制定的前期,日常安全系统的维护及日后安全系统的升级,都需要这方面的高素质人才进行操作。由此可见,企业高素质管理人才的缺乏将直接影响到企业的信息化建设。其次,我国的相关法律法规及制度还不够完善。法规的不够具体和空白现象,必然直接影响到信息化的建设,阻碍企业未来的发展效益。

2.2 外部因素

企业在信息化建设过程中受到的影响有很大一部分来自外部因素。随着社会经济的发展,加上市场经济的推动,在市场竞争中,信息的准确性已经显得十分重要。有很大一部分不法分子靠窃取商业机密来牟利,想尽一切办法和手段来窃取企业信息达到目的。与此同时,还存在着竞争对手用不良手段窃取其他企业商业秘密,获得经济利益。目前黑客可以通过传播病毒和攻击用户防护系统等手段入侵企业的信息化网络,攻击企业信息系统。

3 信息化网络安全问题的研究对策

加强对网络安全的保护,在对建设企业信息化的问题上,起到了至关重要的作用。不仅为企业提供了一个良好的网络安全环境,还为企业信息化工作提供了一个很好的网络信息传输平台。下面是一些加强对网络安全的保护对策。

3.1 数据加密技术

数据加密可以用来提高信息系统的安全性,对用户数据的保密性也有着十分明显的作用。数据加密手段对保护数据外泄有着非常好的效果。数据加密具体通过对数据的传输、数据的存储、数据的完整性这几个方面来加强对企业数据的防护,以此来提高企业整体上的安全系数,达到保障企业信息化建设顺利进行目的。

3.2 主机安全技术

主机安全技术主要控制系统用户能否进入系统和进入系统后可以访问哪些资源。这对保护用户的安全可以起到一定的防范作用。同时他还具备操作系统安全,数据库安全,应用软件程序安全等方面的应用。

3.3 树立安全意识

企业在信息化发展进程中,必须要意识到企业发展环境的重要性,如果企业的发展过程中没有一个良好的网络环境。那么在企业的发展过程中,企业的商业机密和部分信息资源就很有可能被泄露。那么对于企业而言,这种打击无疑是毁灭性的,很可能导致企业经济效益下降。因此树立良好的安全意识不仅可以让竞争对手找不到下手的机会,打消其作案念头和使得其不具备作案条件。与此同时,还可以为企业的后续发展打下良好的基础。

3.4 选择安全性能高的防护软件

世界上的任何一款软件都可以被破解,没有绝对破解不了的信息化软件。但是要明白的是,一些好的信息化软件比起那些次的信息化软件,其性能方面是不可比拟的。无论是在操作性能上还是在破解难度上,高性能的防护软件,都有着其独特的性能优势。

3.5 要时刻加强对企业内部信息化的系统管理

为了加强企业的信息化管理,可以采用一些必要的技术手段。例如:采取数据加密技术、防火墙技术和访问控制技术。当然,加强对企业的安全意识,对企业信息化管理也有着一定程度上的帮助。只有加强对企业的信息化管理,才能为企业的系统安全打下良好的基础。

4 结语

企业在信息化建设过程中,遇到的网络问题涉及面非常广,我国企业信息网络安全技术的研究仍处于起步阶段,对一些网络安全方面遇到的问题,需要人们去深入研究和进一步的探索,实时保障企业信息化网络的安全,对企业经济的快速发展起着重要作用。

参考文献

[1] 何晓晗.企业信息化建设中的安全分析[J].科技信息,2008(26):67-68.

篇4

电子商务已经成为人们进行商务活动新的、充满活力的模式。根据赛迪网的统计,2005年全国的电子商务交易额达到7000亿元,预计2007年将突破万亿元大关。这种崭新的商务交易模式要求企业的各部门全面网络化,而不仅仅是销售机构,这之中的重中之重就是会计部门财务机构的网络化,即网络财务。所谓“网络财务”是指基于Internet/Intranet技术,以财务管理为核心,业务管理与财务管理一体化,支持电子商务,能够实现各种远程控制(如远程记账、远程报表、远程查账、远程审计、远程监控等)和动态会计核算与在线财务管理,能够处理电子单据和进行电子货币结算的一种全新的财务管理模式。网络财务是企业信息化环境下的会计信息系统,是电子商务的重要组成部分。

一、会计信息化系统与会计电算化系统的比较

会计信息化系统与会计电算化系统相比,无论从技术上还是内容上来讲都是一次质的飞跃,其意义不亚于从手工会计系统到会计电算化系统的飞跃。二者在基本特征上是有很大区别的。

从基本的技术支撑以及行为特征上看,会计电算化系统是财会部门边界范围内的独立信息系统;是基于局域网的信息系统;是模拟人工业务内容和流程的系统;是事后核算型系统;是与业务处理分割的系统;是与管理控制分割的系统;它无法实现与企业内其他系统的数据共享。而相应地,会计信息化系统是企业边界范围内的非独立信息系统;是基于互联网的信息系统;是业务流程重组以后的系统;是实时数据处理的系统;是与业务协同处理的系统;是实时管理控制的系统;是信息高度集成和共享的系统。以上的差异导致在具体操作手段上对会计信息化系统出现了不同于会计电算化系统的要求,而安全问题是网络财务发展的瓶颈,关系到财务网络化的建立与发展,是应优先提出并解决的问题。

二.会计信息化系统面临的安全隐患与对策

1.安全隐患

在电子商务这种新的经济模式下,财务系统的安全受到了以前所没有碰到过的挑战,产生了不同于以往的安全隐患,比如各种数据与财务报表是以电子的形式存在,并且这些本已脆弱的电子数据还要在私有的甚至是公共网络上传递,这样使得在整个财务流程中产生出了很多新的漏洞。这些有别于传统会计电算化系统的安全隐患归根结底是由网络的不安全所导致的。

Internet的无限性和技术的开放性,为实现工作场地虚拟化,资料记录无纸化,数据传递远程化,信息交流数字化提供了广阔的空间,在当今时代已经显现出无比的优越性,但也使一些不法分子常常有机可乘,从而使用户有价值的企业信息、关键性的商业应用以及公司客户的各类私人保密信息暴露。恶意的袭击会侵入网络财务站点,进行各种可能的破坏,如制造和传播破坏性病毒或让服务器拒绝服务等。这些攻击可导致公众信心的丧失,网络财务实施的瓦解。目前网络上已经存在的钓鱼攻击以及经过特别编制的木马病毒,都可以使用户的信用卡帐号与密码泄露。当前我国拥有网上银行用户以千万计,每年在网上流通的资金数以千亿计,如若各种攻击可轻易得手,后果将不堪设想。美国有关机构曾做过测试,没有任何安全保护措施的计算机在Internet上的“存活时间”已经从2003年平均近1小时下降到了2005年的不足20分钟。如此脆弱的网络确实让人担忧,而以这样的互联网为平台的网络财务更让人担忧。

2.解决对策

网络财务的信息安全问题是困扰网络财务发展的核心问题。要应对种种的安全隐患,首先,要做的就是强化网络安全防范意识。从宏观上强化网络安全防范意识,实行网络会计信息安全预警报告制度。网络财务的运行平台是Internet,而且大多数服务器和客户端都以Microsoft?Windows系统作为操作系统,而计算机病毒或黑客软件等破坏程序多数是利用操作系统或应用软件的安全漏洞传播,这为实行预警报告制度提供了非常有利的条件。因此,财务主管部门应尽快建立一套完善的网络财务信息安全预警报告制度,依托国家反计算机入侵和防病毒研究中心及各大杀毒软件公司雄厚的实力,及时网络财务信息安全问题及计算机病毒疫情,从而切实有效地防范网络财务信息安全事件。另外,要增强用户的网络安全意识,切实做好网络财务信息安全防范工作。要针对用户安全意识薄弱,对网络安全重视不够,安全措施不落实的现状,开展多层次、多方位的信息网络安全宣传和培训,真正提高用户的网络安全意识和防范能力。

篇5

 

随着社会经济的不断发展,网络时代逐渐进入人们的生活,计算机被运用在了各个领域中,成为促进社会发展的重要媒介。而与此同时,企业信息安全问题也逐渐凸显出来,严重阻碍了企业的可持续发展,因此,在网络时代背景下研究企业安全风险和控制具有重要意义。

 

1 企业信息安全相关概述

 

1.1 信息安全的含义

 

迄今为止,对信息安全依然没有一个统一和公认的定义。但是从国内外研究来看,对其主要存在2种说法:一种指的是具体信息安全技术系统的安全;而另一种则指的是某些特定的信息体系的安全。上述2种定义主要站在静态的角度上阐述了信息安全的基本层面,但是信息系统和网络的影响决定了信息安全是一个动态的改变,其主要是防止企业信息遭到恶意泄露、破坏、更改[1]。信息安全的最终目的是向合法的对象提供安全、可靠的信息。

 

1.2 信息安全在企业中发挥的重要作用

 

企业信息作为企业的宝贵资源,保证企业信息的安全性对企业的生存和发展具有重要作用,主要体现在以下3个方面:一是企业信息安全是保障企业正常运行的基本前提。在网络时代背景下,企业信息安全的内容更广泛,再加上现代企业制度的不断建立和完善,越来越多的企业依靠信息数据库开展各项工作,例如:对于市场情况的分析、做出重大决策等等。二是保障企业信息安全是提高企业市场竞争力的必备条件。随着市场经济的不断完善,企业面临的竞争也越来越激烈,在这种形势下,企业要想获取市场竞争优势就需要依靠信息安全来实现。三是企业信息安全作为企业发展战略中重要的组成部分,而企业实施各项战略主要是通过自身的经营活动、财务信息等开展的,这些数据也能够将企业的战略实施方法以及下一步计划详细地反应出来,因此,如果企业的信息安全无法得到保障,那么企业要实施各项战略难度也很大。

 

2 网络时代下企业信息安全风险分析

 

2.1 缺乏高度的信息安全风险意识

 

在网络时代的浪潮下,很多企业都在逐步加强自身信息安全的建设,通过加大资金投入、创新技术等措施来保障自身的信息安全,然而,对信息风险的控制并非仅仅依靠技术就可以实现,更重要的是人们要树立起信息安全的风险意识。但是从当前来看,还有很大一部分企业的领导者、管理者、员工缺乏对信息安全风险的高度重视,主要表现在:个别人甚至片面地认为信息安全仅仅是网络部门的责任,跟自身没有多大关系;二是有个别企业领导者认为对信息安全的宣传过度夸张,遭受网络攻击的概率小,一般不会发生在自己身上;三是个别企业没有建立信息安全风险管理体系,再加上企业缺乏具体的故障系统,导致企业信息安全遭到风险时,员工往往手足无措,虽说有些企业针对自身的信息安全制定了一系列规章和制度,但是由于缺乏针对性和操作性,导致这些制度无法得到真正落实。

 

2.2 应用系统的安全性不高

 

企业要实现信息化建设的目的,少不了各种应用系统作支撑,但是从实际情况来看,很多企业还存在着应用系统的安全性不高等问题,进而导致企业在数据传输和存储等方面存在漏洞。如此容易被一些病毒、恶意软件窃取,实现非法访问,进而引发企业信息丢失或者泄露等安全风险。另外,很多企业应用系统的安全方模式也较为单一,绝大部分主要是采用“口令”的方式进行认证,无法实现对信息安全全方位的防范。另外,企业设置的密码过于简单、操作不规范等等都会增加应用系统安全的风险。

 

2.3 技术设备和设施的作用发挥不足

 

个别企业为了防范信息安全风险,针对一些重要信息设置了安全设备,但是由于操作条件和参数设施不够合理,无法将这些设备的作用充分发挥出来。还有很多企业没有通过建立工作日志来对安全设备、设施的运行情况进行监控,进而不能根据企业的经营情况对信息安全进行风险控制,更无法采取有效措施保障企业风险管理。

 

3 网络时代下控制企业信息安全风险途径分析

 

3.1 加强信息安全教育,提高信息安全风险意识

 

由于在企业信息安全控制中,提高员工的信息安全意识是保证企业信息安全的决定性因素,因此,企业应该加强对员工的信息安全教育,帮助员工树立起信息安全风险意识,例如:企业可以利用一些重大节日开展关于信息安全的演讲比赛、征文比赛,也可以通过建立适当的激励制度以及开展培训活动等途径来加强员工对信息安全重要性的认识,进而提高自身的信息安全风险防范意识和观念。

 

3.2 加强信息化建设,设置信息安全管理部门

 

在企业信息化建设中,信息安全作为重要的基础,企业要强化自身的内部控制,就应该落实信息安全的建设工作。加强信息化建设首先需要企业将信息安全纳入安全管理范围内,进而突出信息安全建设管理的重要地位;然后不断健全信息安全的责任制度,争取形成信息安全联动管理机制,确保信息安全管理的有效性;最后,在企业中设置信息安全管理机构,该部分的主要职能为企业信息安全建设、管理以及员工的信息安全教育培训工作等,从而为企业的信息安全风险控制创建一个良好的内部环境[2]。

 

3.3 运用新技术,加强信息安全风险防范

 

当前控制信息安全风险常见的主要有VPN技术和防火墙技术:(1)VPN技术。VPN主要指的是在公共网络的虚拟专用网络中建立一个临时的安全链接,在通常情况下,对VPN内部进行扩展可以实现远程操作,建立一条分公司、商业合作商和供应商跟公司内部网络安全联系,从而确保信息交换的安全性,保证数据传输的安全性。(2)防火墙技术。防火墙也被称为访问控制系统,主要是通过对网络做拓扑结构和服务类型上的隔离来保障网络安全。运用防火墙技术可以保证企业的内部网络免受外部网络的侵占,并阻断非法访问的外部网络进入企业内部网络,保证企业信息和资源的安全。

 

4 结 语

 

总之,网络时代的产生为企业发展创造了新的模式和发展契机,但与此同时,企业的信息安全也面临着很大的威胁,在很大程度上制约了企业的可持续发展。要实现对企业信息安全风险的控制,首先应该找准企业信息安全的风险点,然后采取对应措施,如:加强信息安全教育、加强信息化建设、运用新技术等几个方面来控制信息安全风险。

 

作者:袁亮 来源:中国管理信息化 2015年17期

篇6

【关键词】电力企业信息安全管理;组织管理;失误因素

1 电力企业信息安全管理中组织管理失误的分析方法

电力企业信息安全管理中的组织管理失误分析法(英文:Cognitive Relia-bility andErrorAnalysisMethod,即CREAM),是可靠性分析法的典型代表,具有追溯分析功能。通过CREAM的应用,可以将失误事件的外在表现形式称为失效模式,并且将引起这些失误事件的直接原因定义为前因。实践中,前因可分为具体的前因、一般性前因,CREAM分析法是以失效模式作为出发点。首先,通过分析失效模式的一般前因、具体前因,得到失效模式前因表,在表中选定一个前因作为后果,然后分析引起这一后果的可能前因,最终得到包含这一后果、可能的前因追溯表;再以该可能前因为后果,分析可能的前因,通过连续不断的寻找,最终找到引起事件失误的根本原因。

2 在电力电力企业信息组织管理过程中,开展多项管控措施、分三步走

第一步,从思想上加强重视。实践中,应当认真学习贯彻违规外联、外网邮箱发送的要求,严格按照“业务工作谁主管,保密工作谁负责”以及“统一领导、分级负责”的原则,将信息安全保密职责有效地落实到人,让每个员工熟悉、掌握保密工作的基本要求和规范。

第二步,深入检查,全面整改。实践中,应当严格按照检查内容检查,一定不能留死角、搞形式。在检查中发现的问题,要立即纠正,认真整改,对存在严重问题的单位要监督整改,并组织复查;发生泄密、违规问题时,一定要严肃查处,必要时还要追究责任人的责任。

第三步,严格管理,务求实效。要进一步落实保密工作责任制,坚持标本兼治、系统治理,把检查活动与日常保密工作安排结合起来,边检查边整改,以查促管、以查促改、以查促教、以查促防,确保检查取得实效。

3 电力企业信息系统安全管理的必要性

电力企业信息系统安全管理,是企业在一定范围内建立起来的信息安全目标和方针,并通过努力完成目标。对于电力企业信息安全管理而言,可表示为方法、目的、基本原则和实施过程等要素集合,作为直接的信息安全管理结果。2014年8月,某技术质管部专责高某通过电子邮箱将创新成果--《电力设计企业基于桌面云技术的信息》以附件形式经压缩、更名后在没有经过加密的情况下,发送到某部门专家评审组;由于附件内容出现“保密”等敏感词,该邮件被公司外网邮件拦截系统拦截。经现场查实,邮件均不涉商业秘密,但违反了“工作邮件只限于公司内网邮箱发送”规定。由此可见,电力企业信息系统安全管理工作非常重要,也非常有必要。通常情况下,电力企业信息安全管理工作主要包括制定信息安全管理的策略,合理、科学的对电力企业信息安全工作进行组织管理,具有非常重要的作用。电力企业应当提高全体员工的信息安全意识,加强电力电力企业信息内外网安全管理。第一,内、外网电脑都必须安装三种软件,即北信源、天以及趋势杀毒。软件有内、外网版本之别,而且客户端也不同;第二,遵守专机、专网之规定,内网电脑不能与外网相连接,外网电脑不能连接内网,家用电脑不能接入内网使用,尤其是来历不明、使用背景不明的电脑,一律禁止接入内网系统。

4 电力企业信息安全管理中组织管理常见失误

近年来,随着市场经济体制改革的不断深化,虽然电力企业信息安全管理水平有了很大程度的提升,但电力企业信息安全管理过程中依然存在着一些问题与不足,总结之,主要表现在以下几个方面:

第一,信息安全措施和技术手段不成熟。对于大多数企业而言,在信息系统建设过程中欠缺完善的安全手段和措施,严重影响了安全措施的制定与执行。

第二,电力企业信息安全风险控制不到位。实践中可以看到,很多企业在信息化规划与建设过程中,对信息安全的前期分析比较欠缺,将分析对象主要集中在技术层面研究上,很难有效解决企业安全信息系统操作失误、缺陷与不足等安全问题。

第三,信息安全意识不强,缺乏有效的安全管理机制。对于部分企业领导层而言,对信息安全的重视不够,对潜在的各种风险和安全隐患问题分析不到位。

5 电力企业信息安全管理体现构建的有效策略

基于以上对当前企业安全管理中的问题分析,笔者认为要想减少和控制电力企业信息安全管理中组织管理失误现象, 应当根据企业实际生产运营状况,以IS027001信息安全管理体系标准为基础,从组织、技术、管理以及运行和监督这等方面入手,对现有的信息安全管理架构进行改进和完善,增加运行、监督环节。

5.1 提高对电力企业信息安全的认知度

针对企业员工对信息安全知识掌握不足的现状和问题,通过宣传、教育和培训等方法,提高企业全体员工对信息安全的认知度。首先,加强信息安全宣传教育。电力企业信息安全宣传的目的在于让全体员工清楚地认识到信息安全管理工作的重要性,了解信息安全管理目标,以此来提高企业员工的信息安全管理意识。

5.2 建立健全信息安全审计机制

内部审计是对电力企业信息安全管理体系建设与实施情况的评价,定期组织审计活动,以此来促进安全管理体系的改进与完善。企业的信息安全政策、规范制度是信息安全管理工作得以有效开展的重要依据,因此审计工作的主要内容是检验信息安全标准的符合性、执行情况。在审计过程中,主要包括如下内容,即检验是否按照要求制定规章制度、执行细则;检验员工对的规章制度执行状况,对审计结果的整改落实情况进行核查;同时,还要对信息安全控制措施的应用效果进行全面检查,确保评估的有效性。

5.3 建立和完善信息安全风险管理制度

信息安全风险,即威胁利用系统弱点对相关信息资产造成破坏、损失的可能性,信息系统安全与否,主要取决于其风险是否己在现有措施条件下实现了最小化,而非绝对没有风险。

篇7

【 关键词 】 信息安全;安全治理;框架;风险管理

1 引言

随着企业的信息化建设,企业信息系统在纵、横向的耦合程度日益加深,系统间的联系也日益紧密,因此企业的信息安全影响着企业信息系统的安全、持续、可靠和稳定运行。此外,美国明尼苏达大学Bush-Kugel的研究报告指出企业在没有信息资料可用的情况下,金融业至多只能运作2天,商业则为3天,工业则为5天。而从经济情况来看,25%的企业由于数据损毁可能随即破产,40%会在两年内破产,而仅有7%不到的企业在5年后继续存活。伴随着监管机构对信息安全日趋严格的要求,企业对信息安全的关注逐渐提高,并对信息安全投入的资源不断增加,从而使得信息安全越来越为公司高级管理层所关注。

2 信息安全问题

目前企业信息安全问题主要包括几个方面。

(1)信息质量底下:无用信息、有害信息或劣质信息渗透到企业信息资源中, 对信息资源的收集、开发和利用造成干扰。

(2)信息泄漏:网络信息泄漏和操作泄漏是目前企业普遍存在的信息安全困扰。网络信息泄漏是信息在获取、存储、使用或传播的时候被其他人非法取得的过程。而操作泄漏则是由于不正当操作或者未经授权的访问、蓄意攻击等行为,从而使企业信息泄漏。

(3)信息破坏:指内部员工或者外部人员制造和传播恶意程序, 破坏计算机内所存储的信息和程序, 甚至破坏计算机硬件。

(4)信息侵权:指对信息产权的侵犯。现代信息技术的发展和应用, 导致了信息载体的变化、信息内容的扩展、信息传递方式的增加, 一方面实现了信息的全球共享, 但同时也带来了知识产权难以解决的纠纷。

3 信息安全治理的困惑

基于信息安全的重要性,企业在信息安全治理方面投入了诸多资源,但是在信息安全治理成效方面仍不尽如人意,主要问题在于几个方面。

(1)信息安全治理的范围不明确:目前企业都在尽力实现良好的信息安全治理,但是由于无法正确理解信息安全治理和信息安全管理的区别,导致了信息安全治理无法与企业的安全规划和企业战略形成一致性。表1从工作内容、执行主体和技术深度三个层面分析了两者的区别。

从表1中可以明确:信息安全治理是为组织机构的信息安全定义一个战略性的框架,指明了具体安全管理工作的目标和权责范围,使信息系统安全专业人员能够准确地按照企业高层管理人员的要求开展工作。

(2)企业信息安全治理路径的错误理解:企业在信息安全治理的过程中,最常用的手法是采用信息安全的技术措施,如使用加密和防伪技术、认证技术、防病毒技术、防火墙技术等方式来进行,但是往往企业投入很多,却没有达到预想的效果,问题在于,信息安全治理并不单单是技术问题,信息安全治理也包含了安全战略、风险管理、绩效评估、层级报告以及职责明确等方面。

4 信息安全治理关注的领域

(1)战略一致性:信息安全治理需与企业的发展战略和业务战略相一致,建立相互协作的解决方案。

(2)价值交付:衡量信息安全治理价值交付的基准是信息安全战略能否按时、按质并在预算内实现预期的价值目标。因此需要设计明确的价值目标,对信息安全治理的交付价值进行评估。

(3)资源管理:实现对支持信息运行的关键资源进行最优化投资和最佳管理。

(4)风险管理:企业管理层应具备足够的风险意识,明确企业风险容忍度,制定风险管理策略,将风险管理融入到企业的日常运营中。

(5)绩效度量:利用科学的管理方法,将信息安全治理转换为可评价的目标的行动,便于对信息安全各项工作的绩效进行有效管理。

5 信息安全治理框架

通过良好的信息安全治理, 可以保护企业的信息资产,避免遭受各种威胁,降低对企业之伤害,确保企业的永续经营,以及提升企业投资回报率及竞争优势。

通过长期的实践经验以及结合COBIT标准和GB/T 22080-2008,总结出信息安全治理的框架主要由四部分组成,如图1所示。

(1)信息安全战略:结合企业的整体信息技术战略规划和信息安全治理现状,制定信息安全战略。

(2)信息安全组织架构:根据企业层面在决策、管理和执行机制对组织结构的要求,建立信息安全治理框架和决策沟通机制,明确公司各级管理层及相关部门在信息安全组织架构中的工作职责与角色定位。

(3)信息安全职责:根据公司信息安全组织架构,进一步明确信息安全相关岗位的工作职责、分工界面和汇报路径等。

(4)信息安全管理制度:信息安全管理制度通过建立一个层次化的制度体系,针对不同的需求方(管理者、执行者、检查者等)从政策、制度、流程、规范和记录等方面进行信息安全活动相关的规定,实现信息安全的功能和管理目标。

6 信息安全治理评估

企业信息安全治理评估有助于提高信息安全治理投资的效益和效果。企业的最高管理层和管理执行层可以使用信息安全治理成熟度模型建立企业的安全治理级别。该模型,如表2所示,被应用为几个方面。

(1)在市场环境中,相对于国际信息安全治理标准、行业最佳实践,以及直接竞争对手,了解企业在信息安全治理上的级别。

(2)进行差距分析,为改进措施提供明确的路径。

(3)了解企业的竞争优势和劣势。

(4)有利于对信息安全治理进行绩效评估。

7 结束语

本文从企业信息安全治理的实践出发,概述了目前企业信息安全治理存在的问题和困惑,总结了企业实现有效的信息治理的关注领域和实施内容,为企业建立良好的信息安全治理提供了基本框架。

参考文献

[1] 马峰辉,刘寿强.企业信息安全治理的经济性探析.计算机安全,2003:70-71.

[2] 娄策群,范昊,王菲.现代信息技术环境中的信息安全问题及其对策.中国图书馆学报,2000(11):33-37.

[3] 刘金锁,李筱炜,杨维永.企业实现有效的信息安全治理之路.中国管理信息化,2012(11):37-39.

[4] 黄华军,钱亮,王耀钧.基于异常特征的钓鱼网站URL检测技术[J].信息网络安全,2012,(01):23-25.

[5] 黄世中.GF(2m)域SM2算法的实现与优化[J].信息网络安全,2012,(01):36-39.

篇8

【关键词】 电力企业 信息安全 管理 问题 完善措施

1 前言

电力企业信息技术的发展起始于20世纪90年代,最早的计算机应用开始于财务管理、营销管理等办公业务,随着信息技术的不断深入发展,信息技术在电力企业的应用范围也日益扩大和深化,目前已经渗透入电力企业运营管理的全过程,信息技术也渐渐从开始的“配角”提升为电力企业运营管理的“主角”。在电力企业信息化技术应用日趋成熟、重要程度日益上升的今天,企业对信息化的管理和关注重点也在不停的发生变化,一方面信息化成果已成为企业甚至社会的重要资源,在整个企业的生产运行、电网调度、办公管理等各个方面发挥着重要的作用;另一方面由于信息技术的迅猛发展而带来的信息安全事故、事件屡见不鲜,信息安全问题与矛盾日益显著。而信息安全工程是一个多层面、多因素的、综合的、动态的系统工程。企业要实现信息安全管理,就必须不断完善和建立一套行之有效的信息安全管理与技术有机结合的安全防范体系。

2 我国电力企业信息安全管理存在的问题

2.1 电力企业普遍存在重技术、轻管理的问题

信息安全是“三分技术、七分管理”,但是现在许多电力企业任普遍存在重技术、轻管理的问题,甚至很多电力企业根本没有完善的安全管理制度,并且管理人员信息安全意识普遍不高,这也就在一定程度上加深了企业信息安全风险。要知道再好的技术在其运行的过程中管理才是第一位的,比如在实际工作中,有最好的技术,但是如果管理不到位,系统的运行、维护和开发等岗位分配不清,职责划分不明,存在一人身兼多职的现象,再先进的技术也不可能发挥其应有的效力,一样不具备竞争力、防御力。又如,企业在管理过程中对网络工作人员的基本技能和素质要求把关不严格,极易造成因网络工作人员因操作不当而造成硬件或者软件出现漏洞,使恶意份子有机可乘,同样影响网络信息安全。

2.2 电力企业对员工的信息安全意识宣传不到位

随着信息安全地位的不断攀升,电力企业对信息安全也越来越重视,但是,企业对于信息安全的培训力度仍显不够,电力企业员工信息安全意识仍非常低。如,一些电力员工在离开办公场所时,没有意识主动关闭电脑或锁定屏幕,因此容易造成企业数据的丢失及客户信息的泄漏。又如,一些员工为了贪图方便省事,直接将系统账号交给第三方人员进行操作,容易造成系统数据的错失遗漏,或者出现未授权的审批等等。再如,还有一些员工对于未确定安全性的文件防范意识不够,一旦点击打开后,就容易造成木马的植入或者病毒的扩散,从而造成数据的泄漏或丢失破坏。

2.3 电力企业信息安全技术不够完善

首先,在计算机的使用方面,有很多的办公计算机还是内网与外网混合使用的状态。虽然公司已经做出了相应的规定,要求内网与外网进行分开使用。但是,内外网混用情况仍十分严重,这就会给安全问题带来极大的隐患。其次,一些电力企业对移动介质的使用管理比较松散。如:一些企业的移动介质不需授权就能直接接入办公电脑中,容易让别有用心的人加以利用,从而拷贝了公司的内部资料,造成企业损失。又如,一些员工在未确保外来移动介质正常的情况下就接入内部网络,容易造成病毒的传入,从而影响内部网络的正常以及数据的安全。最后,部分电力企业数据库数据和文件的明文存储保护不完善。供电行业应用系统基本上基于商业软硬件系统设计和开发,用户身份认证基本上采用口令的鉴别模式,而这种模式很容易被攻破。

3 完善电力企业信息安全管理的具体措施

3.1 完善电力企业安全风险的评估

电力企业要解决网络安全问题并不能够仅仅是从技术上进行考虑,技术是安全的主体,但是却不能成为安全的灵魂,而管理才是安全的灵魂。首先电力企业必须做好安全状况评估分析,评估应聘请专业权威的信息安全专家或者咨询机构,并组织企业内部信息人员和专业人员深度参与,全面进行信息安全风险评估,搞清楚信息系统现有以及潜在的风险,充分评估这些风险可能带来的危害和影响,针对评估出来的风险制定详细的解决预防方案并认真实施,实施完成后还要定期对其进行评估和不断改进完善。其次,网络安全离不开各种安全技术的具体实施以及各种安全产品的部署,但是现在市面上安全技术及产品种类繁多,让人眼花缭乱,难以进行抉择,我们信息安全系统建设中心内容是安全和稳定,所以我们企业应尽量采用成熟的技术和产品,不能过分求全求新。最后,培养信息安全专门人才和加强信息安全管理工作必须与信息安全防护系统建设同步进行,才能真正发挥信息安全防护系统和设备的作用。

3.2 不断完善电力企业信息安全管理制度

首先,构建良好的管理体制,在网络系统管理中,要做到管业务不管系统,管系统不管业务,如果二者混淆,就容易将所有权限落入一人之手,若该员工,同样造成网络信息安全的极大威胁。其次,数据安全管理制度,即确保数据存储介质(设备)的安全;定时进行数据备份,备份数据必须异地存放;对数据的操作需经主管部门的审批、同意方可进行;数据的清除、整理工作需两人或两人以上在场,并由相关部门进行监督、记录。最后,准入管理制度。准入管理又称密码、权限管理,通过准入系统可以判断请求登录的用户是否是合法的、值得信任的。

3.3 加强对电力企业全员信息安全的教育及培训,提升全员信息安全意识

对于企业信息安全工作的开展不是一个部门一个人的事,而是我们电力公司全体员工的事情,所以必须提高企业全体员工的信息安全意识。通过开展多种形式的信息安全知识培训,可以提高员工的警惕性以及养成良好的计算机使用习惯。在不定时开展信息安全教育和培训的时候应注意安全教育知识的层次性。主管信息安全工作的负责人和各级信息安全员,重点要了解和掌握信息安全的整体策略及目标、安全管理部门的建立和管理制度的制定等;负责信息安全运行管理及维护的技术人员,重点要充分理解信息安全管理策略,掌握安全管理的基本方法,精通信息系统的安全维护技术等;广大信息系统用户重点要学习各种安全操作流程和行为规范,了解和掌握与其相关的信息安全策略,包括自身应该承担的安全职责等。另外,我们企业还可以采取一些考核奖罚措施,去激励和约束全员认真进行信息安全培训,认真落实信息安全操作,从而有效提高我们电力企业整体信息安全水平,提高信息安全意识,最终有效避免信息安全问题或失泄密事件的发生。

3.4 不断完善和提升电力企业信息安全技术

第一,对电力企业内部和外部网络进行物理隔离。采用最高效的解决信息网络安全问题的办法:将局域网与外网物理隔离,使局域网内的用户只能访问内网资源,外网计算机无法与内网相连接。通过这种方法可以很大程度地防止互联网上的病毒、流氓软件等的入侵,避免企业及用户个人的重要信息与数据的失窃,进而可以控制可能由此造成的无法估计的损失。其次,对于移动介质,应加入认证管理,只有被预先授权的介质才能接入内网,对于数据的拷贝,只能通过加密形式处理。第三,数据与系统备份技术。供电企业的数据库必须定期进行备份,按其重要程度确定数据备份等级。配置数据备份策略,建立数据备份中心,采用先进灾难恢复技术,对关键业务的数据与应用系统进行备份,制定详尽的应用数据备份和数据库故障恢复预案,并进行定期预演。计算机病毒传播广,破坏力大,会严重影响电力企业网络系统的安全运行。因此,为了使电力企业免受病毒的侵害,作为网络管理人员应该建立从主机到服务器的完善的防病毒体系,建立健全的网络信息管理制定,以此来有效的提高电力企业网络信息的安全管理。最后,建立信息安全身份认证体系。供电企业面对来自内部和外部信息安全风险威胁,需建立有效的信息安全身份认证体系,实现网络危险过滤、终端准入、用户识别、上网授权等功能,最终实现企业内网用户终端安全性的提升,达成企业整网上网安全性的保障。

参考文献:

[1]尹鸿波.网络环境下企业信息安全管理对策研究[J].电脑与信息技术,2011(4).

[2]冯慧昌.信息安全管理现状与研究策略[J].科技风,2012(7).

[3]姚军.中科网威助力工业网络信息安全[J].企业研究,2O12(12).

[4]胡国胜,张迎春.信息安全基础[M].北京:电子工业出版社,2011.

[5]胡泉军,王以群,张延芝.企业信息安全管理中组织管理失误因素分析[J].工业工程,2009(2).

篇9

1.企业信息安全事件发生状况

调查显示在过去的1年内(2012年1月~2012年12月),超过93.2%的被调查企业发生过信息安全事件,其中发生信息安全事件次数超过5次的占被调查企业的13.1%。这一调查结果表明,河北中小企业信息安全形势非常严峻,如何保护信息系统安全已经成为中小企业信息化建设首要面临的问题。

2.目前中小企业信息安全面临的主要威胁

调查发现,近1年内,82.1%的被调查企业遭受过病毒、蠕虫或木马程序破坏;47.3%的企业遭受过黑客攻击或网络诈骗;33%的企业遭受过垃圾邮件和网页篡改的干扰,还有28%的企业遭受的破坏竟然来自企业内部员工的操作。这一调查结果表明,病毒泛滥、网络诈骗、黑客攻击、垃圾邮件和来自企业内部员工破坏是河北中小企业面临的最主要信息安全威胁。其中,病毒和木马程序的破坏尤为严重,直接造成企业数据丢失、信息泄漏甚至系统瘫痪等后果,严重威胁着企业的信息安全。

3.企业信息安全保护措施现状

调查发现,93.7%的被访企业采用了杀毒软件进行病毒防护和监控,25.1%的被访企业装有入侵检测系统和硬件防火墙,54.8%的被访企业采用了身份认证技术和设置访问权限进行信息保护。同时,通过调查也发现,只有不到29.5%的企业有定期的数据备份,仅有6.9%的企业为重要信息进行了数据加密。这一调查结果表明:在信息安全技术防护方面,几乎被访企业都采取了信息安全保护措施,但是大部分企业却只停留在病毒防护和身份认证的水平上,而缺少数据完整性和数据加密等保护技术。

4.信息安全管理保障措施情况

调查发现,在信息安全管理保障措施方面,25.7%的被访企业设立了专门的信息安全部门及相应的专职管理人员,44.6%的企业制定了企业信息安全管理制度,只有8.5%的企业能够对信息安全状况进行定期的风险评估,而制定信息安全事件应急处置措施的企业却只有5.3%。这一调查结果表明:河北中小企业信息安全保障组织构架设立不完善、缺乏信息安全管理制度,定期的信息安全风险评估以及信息安全应急处置预案措施严重缺失。

5.信息安全经费投入状况

调查发现,23.5%的被访企业信息安全方面的经费投入占整个企业信息化总投资的比例低于5%,39.6%被访企业同样投资比例在5%~10%之间,只有38.5%的企业信息安全方面的经费投入已经超过企业信息化总投资的10%。这一调查结果表明:河北中小企业安全意识淡薄,信息安全经费投入严重不足,低于国外20%~30%的投资比例。

二、对策与建议

通过课题组调查发现,网络环境下河北中小企业的信息安全问题突出,主要表现在认识误区、资金不足、技术薄弱和信息管理制度缺失等方面,要全面解决,必须从法律、技术和管理等几个方面全盘考虑综合治理。法律、技术和管理三者相辅相成,缺一不可,才能共同保证中小企业信息系统可靠安全运行。

1.法律法规层面加强政府支持力度和引导力度

仅仅靠中小企业自身搞信息安全防护是远远不够的,在此过程中,政府的支持、鼓励与引导是至关重要的。因此,政府应不断完善信息安全相关法律法规的建设,加快网络安全的基础设施建设,加大打击网络犯罪的力度。同时,针对河北中小企业特点,当地政府应加大企业信息安全重要性的引导和宣传,让中小企业特别是企业的领导者,充分认识到企业信息安全的重大意义与作用,从而在日常企业决策中对企业信息安全建设投资有一定的倾斜,完善企业信息安全体系建设。从长远发展角度和战略高度来重视企业信息安全。

2.技术层面

设计实施多层次、多方位的网络系统安全保护技术,以提高企业风险防范的技术水平。风险防范是一个复杂的系统工程,从技术角度,建议从以下几个方面来实现:

(1)建立网络身份认证体系。网络环境下河北中小企业的各种商务活动,都需要对参与商务活动的各方进行身份的鉴别、认证,这就需要在企业内部建立网络身份认证体系来证实各方的身份,以保证网络环境下各交易方的经济利益。

(2)配置高效的防火墙。在企业内部网与外联网之间设置防火墙,从而实现内、外网的隔离与访问控制,在他们之间形成一道有效的屏障,是保护企业内部网安全的最主要、最有效、最经济的措施之一。

(3)定期实施重要信息的备份和恢复。企业要对核心的数据和应用程序进行实时和定期的备份工作。并把备份数据的副本存储在光盘上,这样就可以避免一旦发生安全事故关键的应用程序和数据丢失给中小企业带来的巨大损失。

(4)对关键数据进行加密。企业的各类数据和应用程序,是企业多年发展中积累下来的宝贵数据资源,也是企业决策的重要依据。因此,要对这些关键数据进行加密处理,以提高数据的安全性,防止企业私密数据信息被泄露和窃取。

篇10

【关键词】企业信息化;信息安全问题;原因;对策

【中图分类号】F270.7【文献标识码】A【文章编号】1006-4222(2016)01-0247-02

新时期下,信息化技术在各行业中运用日渐深入,给企业现代化建设与快速发展带来了无限动力。企业信息化建设已成为我国经济信息化建设能否成功的关键所在,也是提升企业自身市场竞争力与企业升级进步的重要保证和标志[1]。但是,企业信息化建设过程中不可避免的出现信息安全问题,给企业正常生产经营带来诸多不利影响。因此,加强企业信息化建设中信息安全管理,已成为现代企业经营管理的一个至关重要的工作。

1企业信息化概述

所谓的企业信息化,指的是实现企业的资金流、物流、作业流、信息流的数字化、网络化管理,实行企业运行的自动化和企业制度的现代化[2]。企业信息化建设涉及了企业生产经营中的各个部门,其主要利用现代化信息技术,通过完善企业内外网络信息系统,实现对企业内外知识与信息资源的开发。可见,建设企业信息化体系,不但可以及时有效的提供各种数据信息给企业决策层,也为企业未来规划设计提供参考依据,而且还有利于企业满足瞬息万变的市场需求,为企业市场核心竞争力的提升带来动力。

2当前企业信息化建设中信息安全问题

企业信息化建设与发展为企业持续、健康、稳定发展发挥了显著作用,但同时也存在着诸多信息安全问题,具体分析主要有以下几方面[3]:(1)当前,绝大多数企业缺乏完善的安全防御系统,导致企业内部使用的信息系统易遭受外部网络系统的攻击,引发企业信息资料被他人截获、篡改与伪造等问题,甚至企业信息系统中出现通信线路、硬盘设施以及其他文件系统遭恶意破坏现象,上述问题的发生不但致使企业信息系统无法正常运行,而且其内部机密信息易发生泄漏,造成企业严重的社会经济损失。(2)针对邮件系统攻击防不甚防。在企业信息系统中电子邮件具有重要的作用,通过电子邮件接收与传送,极大的方便了企业内部间与外部间信息交流与沟通。然而,电子邮件安全问题也日益突出,典型的如电子邮件病毒、垃圾邮件、机密信息泄露以及电子邮件炸弹等,给企业信息传输带来了巨大安全隐患。因此,电子邮件安全问题不可忽视。(3)漏洞攻击日益严重。按照漏洞问题发生原因可分为软件漏洞和协议漏洞两种,其中软件漏洞主要是受外部不法分子攻击软件自身存在的漏洞,造成企业信息泄露等问题;而协议漏洞则主要是由于TCP/IP协议自身在安全机制方面存在的诸多漏洞问题导致,外部不法人员通过攻击TCP/IP协议漏洞,致使企业信息系统遭受破坏。目前情况,很多企业对自身信息系统缺乏成熟的漏洞检测手段和能力,往往事发后才采取补救措施。(4)是Web服务安全问题突出,根据Web服务流程,其发生安全问题的主要组成包括Web服务端安全问题、浏览器客户端安全问题两种。其中,Web服务端安全问题主要是企业Web主机遭受外部不法分子侵入,导致企业保密信息遭窃或者企业部分信息遭受非法篡改等;浏览器客户端安全问题则是企业浏览器客户端遭外部非法分子侵入,致使部分机密信息与数据遭窃等。

3导致企业信息化建设中信息安全问题因素

企业信息化建设中信息安全问题发生受诸多因素影响,具体分析主要有以下几方面[4]:(1)目前,绝大多数企业在信息化建设过程中,对于信息安全问题重视度严重不足。一方面,受传统经营观念影响,企业管理层偏重于对企业生产经营中的有形资产给予关注与重视,而忽略了企业知识与信息资料等无形资源,导致在企业信息安全管理方面各项投入严重不足,进而造成信息安全问题日益凸显;另一方面,多数企业在面对信息安全问题时,存在着盲目乐观现象,认为信息安全问题不至于导致企业正常生产经营,使得信息安全管理无法上升至企业发展规划战略之中,进而造成信息安全问题得不到及时有效解决。(2)由于企业信息化建设在我国尚处于起步阶段,各方面配套管理制度不够完善,特别是缺乏健全的企业信息安全管理体制。受此影响,企业信息化建设中信息安全问题一方面无法得到有效的预防措施,另一方面是一旦发生信息安全问题,无法采取及时有效的补救与解决对策。同时,由于缺乏科学、合理、有效的企业信息安全防护策略,使得企业信息管理人员缺乏必要的安全防护意识与业务素质能力,致使企业信息安全防护软硬件工作质量与效率明显不足。上述两个因素,导致企业无论是从人员配置,还是资金与技术投入方面都严重不足,受企业信息管理人员业务素质能力不足、信息安全技术方法落后以及配套的资金缺乏等影响,企业信息安全防护的措施、手段偏低,造成企业信息化建设存在着严重安全隐患。

4提升企业信息化建设中信息安全对策

针对当前企业信息化建设中存在的信息安全问题,为加强企业信息安全管理,提升企业信息安全保障,可通过采取以下几方面对策,具体有[5]:(1)转变传统企业信息化建设观念,在企业内部管理层从上至下加强对企业信息安全的重视,并树立正确的安全意识。一方面,通过组织各种信息安全管理培训等,增强全体企业员工信息安全意识,确保企业保密信息不外漏;另一方面,逐步加大企业信息化建设中信息安全管理各项资金、技术、人力投入,并建立科学、合理、有效的企业信息安全防护策略,保障企业信息系统安全稳定。(2)不断的推进网络信息技术的发展与运用,促进企业组织结构网络化的实现,同时引进先进的安全防护技术,确保企业信息化系统安全稳定运行。任何网络信息系统都存在着或大或小的安全漏洞问题,而保证其不受外部不法分子侵入的一个关键方法就是安全防护技术的运用。通过选用先进的安全防护技术,可以有效的提高企业信息系统抵抗外来攻击,避免企业信息遭受窃取、篡改甚至破坏等,对于保障企业持续、健康、稳定发展具有显著作用。(3)结合企业信息化建设实际情况,建立健全企业内部信息系统管理体制。一方面,针对信息安全问题,应建立科学、合理、规范的信息安全管理体制,保证企业信息系统安全运行;另一方面,建立健全企业安全风险评估机制,针对不同系统找出影响其安全的因素和漏洞,并制定出最佳的对策,降低企业信息安全风险;此外,加强相应的网络管理,防止外来不法分子通过网络侵入企业信息系统。(4)根据新时期企业信息化建设需要,加强企业信息技术人才、信息管理人才队伍建设,为企业信息安全管理奠定坚实的人才基础。一方面,在企业内部,加强信息技术人才培训,提高企业内部相关人才业务素质能力;另一方面,在企业外部,采取有效措施,积极招聘人才,引进具有先进信息技术型人才;此外,建立健全企业信息安全管理用人机制,激发员工工作积极性,提高工作质量与效率。

5小结

总而言之,企业信息安全事关企业信息化建设是否成功,对于企业持续、健康、稳定发展具有至关重要的作用。因此,应提高企业信息安全管理意识,增强企业信息安全管理机制,促进企业信息安全管理工作质量与效率,保障企业信息化建设顺利开展。

参考文献

[1]毛志勇.企业信息化建设的信息安全形势与对策研究[J].科技与产业,2008,8,(1):43~45.

[2]纂振法,徐福缘.浅析企业信息化建设的意义、问题与对策[J].吉林省经济管理干部学院学报,2001,3:24~28.

[3]谢志宏.企业信息化建设中的信息安全问题研究[J].企业导报,2014(06):132~133.

[4]秦海峰.企业信息化建设中信息安全问题的分析研究[J].中国信息界,2012(05):61~62.