企業網絡安全應急預案范文
時間:2023-09-13 17:17:51
導語:如何才能寫好一篇企業網絡安全應急預案,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公文云整理的十篇范文,供你借鑒。
篇1
【關鍵詞】網絡安全;信息安全; 安全隔離;MPLS-VPN
1 引言
隨著技術的不發展網絡安全面臨越來越多的挑戰;從U盤到病毒、漏洞;從蠕蟲到非法入侵等等電力信息網絡面臨各種各樣的威脅。本文主要闡述電力信息網絡安全的技術手段在實際工作中的應用。
2 電力企業信息安全技術手段
2.1 安全U盤
廣泛使用安全U盤對文件加密、信息摘要和訪問控制等安全措施,來實現文件存儲和傳輸的保密和完整性要求,并實現對文件訪問的控制。通過安全U盤對數據加密、信息摘要和數字簽名等安全措施對通信過程中的信息進行保護,實現數據在通信中的保密、完整和不可抵賴性安全要求。即使安全U盤丟失都不會造成公司信息的泄露。
2.2 網絡隱患掃描
通過我局統一網管平臺對網絡隱患掃描系統能夠掃描網絡范圍內的所有支持TCP/IP協議的設備,掃描的對象包括掃描多種操作系統,掃描網絡設備包括:服務器、工作站、防火墻、路由器、路由交換機等。在進行掃描時,可以從網絡中不同的位置對網絡設備進行掃描。掃描結束后生成詳細的安全評估報告,采用報表和圖形的形式對掃描結果進行分析,可以方便直觀地對用戶進行安全性能評估和檢查。此項工作也可在防火墻的管理界面里監控;也可采用第三方的網管軟件管理。
2.3 入侵檢測
入侵檢測系統是專門針對黑客攻擊行為而研制的網絡安全產品。國際上先進的分布式入侵檢測構架,可最大限度地、全天候地實施監控,提供企業級的安全檢測手段。在事后分析的時候,可以清楚地界定責任人和責任事件,為網絡管理人員提供強有力的保障。入侵檢測系統采用攻擊防衛技術,具有高可靠性、高識別率、規則更新迅速等特點。系統具有強大的功能、方便友好的管理機制,可廣泛應用于電力行業各單位。此設備與防火墻聯動有效防止黑客等網絡攻擊。
2.4 網絡防病毒放漏洞
此類設備以我局應用趨勢防毒軟件為例,趨勢軟件可以采用C/S模式,在網絡防毒服務器中安裝殺毒軟件服務器端程序,以服務器作為網絡的核心,通過派發的形式對整個網絡部署查、殺毒,服務器通過Internet利用LiveUpdate(在線升級)功能,從免疫中心實時獲取最新的病毒碼信息和操作系統漏洞補丁信息,及時更新病毒代碼庫和系統漏洞補丁信息。為保護整個電力信息網絡免受病毒侵害,保證網絡系統中信息的可用性,應構建從主機到服務器的完善的防病毒體系。服務器和網絡工作站都安裝客戶端軟件,利用從服務器端獲取的病毒碼信息對本地工作站進行病毒掃描,并對發現的病毒采取相應措施進行清除。同時拒絕不安裝客戶端軟件、有系統漏洞的用戶接入信息網。客戶端根據需要可用三種方式進行病毒掃描:實時掃描、預置掃描和人工掃描。由于病毒掃描可能帶來服務器性能上的降低,因此可采用預置掃描方式,將掃描時間設定在服務器訪問率最低的夜間。網絡工作站可根據各自需要,選擇合適的方式進行病毒掃描。客戶端采用登錄網絡自動安裝方式,確保每一臺上網的計算機都安裝并啟動病毒防火墻。同時要注意,選擇的網絡防病毒軟件應能夠適應各種系統平臺,各種數據庫平臺,各種應用軟件。
2.5 物理隔離
主要用于電力信息網的內外網之間的隔離。并嚴格遵守“上網不,不上網”原則。使用隔離機或隔離卡等設備隔離信息內網計算機與信息外網計算機;物理隔離做到企業內網計算機與上外網計算機分開使用。
2.6 防火墻安全網關
此類設備以防火墻為代表。防火墻是企業信息網絡的第一道屏障,這里的外網包括到不同層次的電力網、其他信息網如政府網和銀行網絡、internet,所有的訪問都將通過防火墻進行,不允許任何繞過防火墻的連接。DMZ停火區放置了企業對外提供各項服務的服務器,即能夠保證提供正常的服務,又能夠有效地保護服務器不受攻擊。要正確設置防火墻的訪問策略,遵循“缺省全部關閉,按需求開通的原則”,拒絕除明確許可外的任何服務,也即是拒絕一切未予準許的服務。與Internet連接的防火墻的訪問策略中,必須禁止Rlogin,NNTP,Finger,Gopher,RSH,NFS等危險服務,也必須禁止Telnet,Terminal Server等遠程管理服務。
2.7 虛擬專用網絡
數據安全傳輸: 采用MPLS-VPN 技術對網絡信息進行加密、信息摘要和訪問控制等安全措施,來實現文件存儲和傳輸的保密和完整性要求,并實現對文件訪問的控制。對通信安全,采用數據加密、信息摘要和數字簽名等安全措施對通信過程中的信息進行保護,實現數據在通信中的保密、完整和不可抵賴性安全要求。對遠程接入安全,通過VPN技術,提高時的信息(如電子公文,MAIL等等)在傳輸過程中的保密性和安全性。
3 結束語
電力信息網絡安全是一個系統的、全局的安全問題,網絡上的任何一個漏洞,都會導致全網的安全問題。不斷積累完善針對網絡實際情況的各類安全技術全面提高網絡的安全管理水平。動態調整及時檢測環境或系統中的變化,分析這些變化可能帶來的風險,并在必要時調整修改原有安全保護及管理措施或增加新的措施,以控制或防范風險。
參考文獻:
[1](美)米特尼克(Mitnick, K. D.),(美) 西蒙(Simon, W. L.).著.《網管天下:網絡安全管理實踐》,清華大學出版社,2014.02.05.
[2][英]Dafydd Stuttard Marcus Pinto.著 .《黑客攻防技術寶典:Web實戰篇》.012.07.01.
篇2
飛速發展的社會經濟將企業管理投入到信息技術的海洋之中,大中型企業管理的自動化水平正在不斷提高。現代企業的核心管理手段是將計算機網絡技術應用于業務管理系統,實現企業管理理念的宏觀化、管理手段的智能化、管理方式的網絡化,從而帶來的是管理效率的高速化。具體的管理系統包括外門戶網站系統、內部門戶網站系統、辦公自動化系統、營銷管理系統、配網管理系統、財務管理系統、生產管理系統等[ 1 ]。
1 企業網絡信息安全概述
1.1 網絡信息安全面臨的威脅
網絡信息的安全主要是系統漏洞帶來的病毒和黑客侵襲。漏洞是在硬件、軟件、協議的具體實現或系統安全策略上存在的缺陷,從而可以使攻擊者能夠在未授權的情況下訪問或破壞系統[ 2 ]。系統漏洞是危害網絡安全的最主要因素,特別是軟件系統的各種漏洞。黑客的攻擊行為都是利用系統的安全漏洞來進行的。許多系統都有這樣那樣的安全漏洞(Bugs),其中有些是操作系統或應用軟件由于設計缺陷本身所具有的,這些漏洞在補丁未被開發出來之前一般很難防御黑客的破壞,除非你不接入網絡。還有就是程序員在設計一些功能復雜的程序時,預留的用于測試和維護的程序入口,由于疏忽或者其他原因(如將它留在程序中,便于日后訪問、測試或維護)沒有去掉,這就可能被一些黑客發現并利用作為后門。到目前為止,還沒有出現真正安全無漏洞的產品,這也是當前黑客肆虐的主要原因[ 3 ]。
1.2 造成企業網絡信息安全威脅的原因
1.2.1 計算機系統原生漏洞
目前計算機所依賴的依然是普遍通用的微軟Windows系統。為了適應用戶的需求,這一系統的研發進展不斷進步,系統升級較為頻繁,每兩年左右便會有新系統推出面世。許多計算機用戶,特別是企業用戶,如果對新系統沒有全面、專業、深入的了解而盲目進行了系統更新,有可能造成安裝設置過程中缺陷導致的新系統帶來的弊端,從而埋下漏洞隱患,給信息安全造成威脅。
1.2.2 計算機軟件應用不當遭遇惡意軟件
在企業管理計算機軟件應用過程中,如果沒有專業的識別和下載安裝經驗,極有可能遇到惡意軟件。惡意軟件常常故意不對用戶做明確提示(如選項提示、退出安裝提示等)或者在未經用戶許可的情況下,在用戶的計算機上強行安裝;有的軟件難以卸載(設置卸載障礙);還有的軟件通過瀏覽器劫持行為,肆意:指未經用戶許可,修改用戶瀏覽器或設置,迫使用戶訪問特定網站或導致用戶無法正常上網等。惡意軟件造成的計算機病毒感染,黑客的乘虛而入將嚴重威脅企業網絡信息安全,甚至導致系統崩潰,數據丟失。有的惡意軟件甚至自帶網絡數據運行監視裝置,被惡意使用后可以直接用于竊取商業數據和信息,給企業造成巨大損失。
1.2.3 企業網絡信息系統維護規范欠缺
企業網絡信息系統在運行過程中無論何種原因都難以避免可能產生的漏洞,而對信息系統的規范維護是信息安全保護的重要手段。但部分企業沒有對系統維護規范作出規定,如系統維護工程師、助理工程師的職責與權限并不明確,生產或銷售應用系統的監控記錄不能定期建檔,生產或辦公系統主機的日常故障處理不做登記,應用系統的數據庫啟動情況和數據庫設置得不到及時觀察,重要數據庫的變更操作,定期清理過期備份不能正常進行,應用數據庫癱瘓后的異地備份恢復記錄不完整等,都有可能造成企業網絡信息系統的安全隱患。
2 企業信息系統安全管理存在的問題
2.1 企業對信息系統管理重視不足
許多企業頂層決策缺乏長久觀念,比較重視信息網絡的建設而較易忽視信息網絡和系統的管理。在企業網絡建設初期往往偏重于硬件設施的投資和技術成本的投入,盲目追求管理系統的高性能、高配置,忽略了硬件設施與實際應用的差距,認為高層次的網絡系統一旦建成便萬事大吉。這種認識不但造成了不必要的資金浪費,更容易形成輕視系統維護管理工作的狀況。由于缺乏管理意識,許多企業在規章制度、人事安排、專業培訓、技術隊伍等幾方面沒有形成企業信息系統的專業團隊,更沒有針對系統癱瘓、數據丟失等突發事件的應急預案,往往是問題發生后臨時應急解決,“頭痛治頭足痛治足”,致使現代化信息系統不能充分發揮在企業運行管理中應有的作用。
2.2 企業網絡信息安全性難以保障
由于信息安全管理意識淡薄,部分企業沒有專業的網絡管理團隊。現有網管人員維護、管理網聯絡信息技術沒有保障,或者責任心不強。例如,民營生產銷售企業由于操作不規范銷售報表和潛在客戶資料數據丟失現象時有發生;部分縣級以上醫院分科或多或少都存在體統停滯現象;中小型企業中財務資料的誤刪時有發生。雖然這些單位有的也具備系統維護應急預案,部分數據得到恢復,但依然給企業造成一定損失。
3 企業網絡信息安全防范措施
3.1 建立系統安全檢查制度
企業的規章制度要重視系統安全的保護,對重要信息系統的安全檢查要建章立制,不能松懈。首先要對系統安全負責的團隊人員構成和崗位職責進行明文規定。其次要確定具體的安全檢查目標,如企業的基礎網絡是否完善、主服務器配置是否異常,對外門戶網站防火墻是否堅固,數據中心的設置是否可靠,內部辦公系統(包括財務、銷售、服務等)更新是否正常等等。第三,信息安全檢查規章制度中要具化檢點內容,如安全管理保障系統方面,對崗位制度是否建全,人員負責是否落實,信息數據是否安全,應急響應是否穩妥等項目要做出詳細檢查記錄。技術保障方面:服務器(包括操作系統、數據庫、應用系統)的各項指標,網絡設備和安全設備的各種配置,網站建設和終端等組織策略和運行維護等內容都要落實到檢查實處。
3.2 加大企業網絡信息安全的管理力度
第一,要增強網絡信息管理人員的技術培訓,使企業信息系統得到可靠的技術維護和管理,組件一只責任心強、分工明確、技術精湛的網管團隊,以保障企業網絡信息系統正常運轉不出紕漏。
第二,提高企業核心機密資料的加密層次,在這方面要投入資金購買保密程度較有保障的計算機軟件裝備,防止黑客攻擊和病毒感染。
第三,對企業信息管理和維護工作進行定期記錄、責任到人,記錄保護存檔以備可查。
第四,要建立安全可靠的計算機數據異地備案和應急預案機制,有專門制定人員負責,定期檢測數據,嚴格管理制度,以確保企業網絡信息系統出現異常時得到有效維護和修復。
篇3
1.信用風險。信用是衡量一個企業能不能長久發展維持下去的標準。如果企業沒有一個良好的信用,應就沒有客戶會長期選擇與這樣的企業進行合作。信用一直是企業和客戶都看重的一點,企業愿意和信用良好的客戶進行交易,客戶在選擇購買一件物品時肯定會首先考慮一家企業的信用是否良好。若企業在客戶群里擁有良好的口碑和信用,這就會給企業帶來長久大量的業務。
2.市場風險。我國改革開放幾十年,取得了巨大的成就。國人的思想越來越前衛,越來越追求個性和獨特,這也就是目前市場環境多變的原因。如果企業沒有敏銳的市場嗅覺,那么這個企業只會走下坡路,漸漸的脫離市場走向沒落。李寧,是1990年我國著名的“體操王子”李寧先生一手創立的體育用品公司。經過短短5年的發展在1995年李寧就成為了中國體育用品行業的領跑者。在2009年李寧的內地銷售量超過了國際著名運動品牌阿迪達斯,但是隨后李寧就開始走向沒落。“一切皆有可能!”,這是李寧最廣為傳播的一句廣告語,也一直陪伴著李寧的快速成長。“一切皆有可能”是運動者的心聲,是年輕人的心聲!但其產品的創新沒有跟上步伐,以至于目標消費者與實際購買者嚴重錯位,品牌老化,缺乏個性,被消費者視為時尚的門外漢。2014年息稅前利潤加折舊及攤銷為虧損350,570,000元人民幣。由此可以看出如果市場定位不準確,企業將會直接面臨市場風險,從而使公司財務損失慘重,面臨嚴重的財務風險。
3.網絡風險。構建基于電子商務的網絡財務系統和安全保障體系,重構企業組織結構,優化企業業務流程,以促進企業新的可持續發展。電子商務主要是依賴信息技術,即依賴互聯網。而電子商務的經營一定不可忽視網絡安全的重要性。因為在電子商務環境下供銷雙方的交易往來基本全是通過網絡渠道,而企業之間通過網絡發送的電子信息極有可能被不法分子給攔截。攔截之后文件等信息可以被修改,假冒企業的名義發送郵件,或者是通過一定的技術手段掩蓋事實拒絕承認交易的存在。
4.法律風險。相對于傳統商務來說,電子商務還太年輕。而傳統商務在經過這么多年的發展與改進,從交易的開始一直到交易的完結,國家已經為其制定非常完善的法律體系來保證和維護交易活動的正常進行。而對于電子商務來說,由于國家還沒有為其制定完善的法律法規,許多企業都在打球,近幾年的3.15晚會曝光最多的就是電商企業。由于法律的不完善,國家的監管方式不全面,監管力度不夠,電商企業成為最近幾年消費者投訴最多的企業。而被投訴最多的內容就是電商企業侵權、售假、消費者個人信息被泄露。2014年法國Kering SA公司就狀告阿里巴巴旗下的淘寶在全球范圍內售假,其行為使Kering SA遭受巨大的損失,最后經過兩家公司的協商與調節進行了私下解決。就在2015年Kering SA再次對阿里巴巴提訟要求作出賠償,原因就在于阿里巴巴對淘寶網上店家的售假行為的不作為。由此能看出,盡管中國可能在電子商務方面存在法律上的缺陷,但侵權、售假、泄露個人信息等欺騙危害消費者和侵犯企業合法權益的行為終究是不合法的。隨著法律的逐步完善,那些觸犯法律的企業一定會受到相應的制裁,所以企業的領導者要防止企業觸犯法律,不打球,避免在電子商務環境下企業面臨嚴重的法律風險。
5.籌資以及用資風險。電子商務企業的資金投入不像傳統商務企業一樣把大部分資金投入到有形資產中,相反大多都是投入到企業的無形資產中。例如電子商務企業在電商平臺開設店鋪的費用,以及網站的設計費用和網站的日常維護費用等。這些無形資產需要的資金量相對于傳統商務來說更多,因為電子商務是深深依賴信息技術的發展,即在網絡上的資金需求量會很多,即使這樣也不能滿足電子商務企業發展對資金的需求。又因為電子商務是新興事物,所以企業向銀行等機構貸款也存在很大的難度。這就造成了企業的籌資風險。在電子商務環境下,企業資金的運用與傳統商務企業不盡相同。一些電子商務企業的資金大部分都是投入到無形資產中,所以企業要對這部分資金進行監控和管理。每筆資金產生的原因以及資金使用的理由都要經過企業與收款方進行核對確定。否則資金的運用就不在企業的掌控范圍內,就會給企業帶來嚴重的用資風險。
二、電子商務環境下企業財務風險的控制措施
1.構建靈活的預算管理系統。電子商務環境下的預算管理系統與傳統商務模式下的預算管理系統既有聯系又有區別。由于電子商務資金運用的不確定性以及市場等變化速度快的特點,相應的要求預算管理系統要去適應電子商務的這些特點。企業可以在原來的預算管理系統基礎上去做些變動來適合電子商務,只需要充分去考慮在電子商務環境下資金需求量的多變性和不規律性,使預算管理系統更加的靈活。而且在電子商務環境下,企業都在追尋“零庫存”,這也對企業進行預算管理系統造成了很大的影響。“零庫存”情況下銷售方只能根據消費者的訂單量來預算大致的資金需求量,而銷量的不確定性,以及生產方和物流運輸方的不確定性,也給企業的預算管理系統增加了難度。所以,企業要制定新型的預算管理系統來適應電子商務的多變性和靈活性。
2.設立合理準確的戰略管理體系。傳統商務模式下的戰略目標可以在很長的一段時間內不用變動,但是由于電子商務環境下市場等變化的多樣性和不規律性,使得企業的戰略目標也要及時的跟著電子商務的變化而變化。如今消費者越來越注重生活的品質和個人風格的凸顯。在電子商務便捷的消費方式下,一旦電子商務企業的產品定位和市場戰略不緊跟大眾潮流,將使企業直接面臨市場風險,從而導致財務風險的發生。所以在電子商務環境下企業應當緊跟大眾的眼光,緊跟時尚潮流,并制定準確的市場戰略,這樣才能使企業長久不衰、良好的發展下去。若是企業同時擁有線上和線下的業務,也要盡可能地避免線上和線下業務的正面沖突,否則就會像以純那樣忍痛關掉線上商城。要達到以上的要求就需要企業在設立戰略管理體系時要充分的考慮電子商務的特點,制定出一個合理的戰略管理體系。
3.重構組織結構及優化業務流程。首先企業應先建立完善的供應鏈服務渠道,確保商品的正常及r的流轉。因為電子商務企業和商品的生產方以及物流公司、電商平臺多方面相關聯。電商企業應與生產方、物流公司、電商平臺協商制定出一個適合每個參與者的商品流轉的流程協議,整合改善設置合理的部門機構,優化各個機構部門之間的工作對接方式,保證商品能及時地送到消費者手里,形成一條及時高效的供應鏈服務渠道。其次企業應建立健全的網絡維護小組,用來維護網絡的正常運轉以及防止企業網絡遭受不法分子的攻擊,亦可聘請外部專家來對公司網絡進行專門優化與加固。增設網絡防火墻,身份證識別等技術來使企業的網絡更加的安全。還需要企業注意的就是企業之間通過網絡傳達的郵件等信息這一方面,為了防止在信息傳輸的過程中被不法分子攔截、篡改、偽造等風險,企業之間可以使用文件加密技術來保護郵件信息等的安全。可使用對稱密匙或一公一私密匙來對郵件等信息進行加密。以此來減少企業面臨的運營風險。
4.制定合理的財務風險監控預警體系。在電子商務環境下企業需要根據自身情況,量身制定出適合自己的財務風險監控預警體系。要對財務風險進行監控和預警的內容即要監控風險,有信用風險、市場風險、經營風險以及籌資用資風險,這就要求財務風險監控預警體系要把這些內容和環節緊緊整合到一起。預警體系就表示要求企業制定的系統要具有分析的功能,企業的管理層可根據系統給出的數據來分析企業是否將要面臨財務風險。又因為電子商務市場等變化的多樣性以及不規律性,要求企業制定的財務風險監控預警體系要具有相對的靈活性,這樣制定出來的系統才能更好的被企業所運用,才能正確的為企業對財務風險進行監控和預警。
5.建立合理的資金流監管系統。資金流監管系統的作用就是對資金的籌集和使用等進行統計整理,以達到企業對資金的流動的原因和流動的終點有清晰的認識。電子商務環境下,企業的資金流動方向有電商平臺、生產廠家、物流等。這就更需要企業制定一個合理完善的資金流監管系統。既能系統的整合各種類資金的流動方向,也能分類統計匯總單個方向的資金流動。能確保每一筆的資金流動方向都能被清晰合理的記錄在管理系統中,方便管理層對資金流的掌握和控制。也要做到信息的實時共享,因為傳統商務模式下,企業匯報的流程是逐級匯報,這樣就產生了資金運動信息傳遞的滯后性,不利于企業對資金流的掌控和管理。只有及時的做到資金流信息在企業內部相關人員里傳遞共享,才能避免企業資金的不合理流失,減少企業面對用資風險的可能性。
篇4
―、影響供電企業信息安全的主要因素分析
增強信息系統安全的措施的制度,需要依據對影響信息安全的因素的分析。要保證硬件設備的安全,就要考慮自然環境以及各種不可抗拒因素,例如水災、雷電等,會造成網絡信號中斷、數據遭到破壞等。還需考慮電磁產生的干擾因素,信息傳輸中受到電磁干擾,容易導致信息的泄漏。
物理設備的潛在風險不容忽視。在供電企業信息系統中使用了大量的網絡設備,比如路由器等,這些設備本身的安全性能也會對網絡的正常運行產生較大的影響。
嚴禁供電企業以及調度中心的電力控制系統直接和辦公信息網絡進行連接,務必安裝經國家相關部門認證的專業安全隔離設施,同時選擇專用設備組網,確保物理層面上和公用信息網絡之間的安全隔離。
二、加強信息安全的對策
1.進一步提升廣大職工的信息安全知識水平,加強員工的安全文化建設及其信息安全防患意識。開展信息安全管理工作,并非僅僅是系統使用或者管理部門的事,而是企業所有職工的事,因此務必增強全體員工的信息安全以及防患意識。通過采取培訓各種考核等有力措施,進_步提升全體員工對企業信息安全的認識,讓信息安全成為企業曰常工作業務的一個組成部分,從而提升企業整體信息安全水平。當前世界已進入知識經濟時代,這一變化對電力企業安全文化建設提出了更加嚴格的要求,廣大電力企業必須進一步強化安全文化建設,以便能夠順應知識經濟時代的發展要求。
2.設置系統授權。為了預防非法用戶侵入系統,應按照用戶不同的級別所獲得的相應權限對用戶進行對應的限制,并且投入資金開展安全技術督查以及安全審計等相關活動。信息安全并非_朝_夕就能完成的事,它需要一個長期的過程才能達到較高的水平,建立并完善相應的管理制度,從平時的基礎工作著手,及時發現問題,匯報問題,分析問題并解決問題。
3.預防計算機病毒的襲擊。加速信息安全管控方法的建設,在電力信息化工作中,辦公自動化是其中一項非常重要的內容;而核心工作業務就是電子郵件的發送與接收,這也正是計算機病毒的一個非常重要的傳播渠道。因此,必須大力促進個人終端標準化工作的建設,完善人終端補丁程序并實現病毒軟件進行自動更新、自動升級,不得隨意下載并安裝盜版軟件。加強對木馬病毒等的安全防范措施,對用戶訪問實施嚴格控制。
4.由硬性管理逐步轉變為知識型管理。傳統的安全管理大部分采取的是一種硬性的管理手段。在當今知識經濟的時代,安全管理應當以知識管理為主,從而使得安全管理措施與手段也將愈來愈知識化、數字化以及智能化,促進信息安全管理工作進入一個嶄新的階段。
5.加強信息安全應急及其匯報制度,進一步完善信息安全應急預案,并且加強演練。嚴格規范信息安全事故通報程序,對于隱瞞信息事件的現象必須嚴肅查處。對于國家以及企業信息安全運行動態及時加以通報,強化對事件的分析,及時信息安全通告。對于已經制定的相關預案以及安全措施必須強化督促實施,進一步加強信息安全技術督查隊伍的建設,提高信息安全考核與執行的力度。
三、結語
網絡安全是一個系統的的管理問題,任何一個漏洞,都會導致全網的安全問題。對于廣大供電企業而言,電力信息系統的安全工作與生產安全工作同樣重要,電力信息安全也是國家安全的一個非常重要的組成部分。所以,積極開展信息安全技術的研究,進一步完善電力信息系統的安全體系,對于提高電力系統安全平穩、經濟高效運行以及加快"數字電力系統〃的建設步伐,都有非常重大的現實意義。
參考文獻:
[1]Christopher信息安全管理[M]北京:清華大學出版杜,2005.
[2]王瑞軍,冼沛勇實現企業網絡信息安全的具體方法[J].計算機與網絡,2005(z1):87~89.
篇5
【關鍵詞】CA證書認證 體系設計 非功能性技術設計 內外網統一安全接入――P2P VSN虛擬安全域 社會工程學入侵
目前大部分市區級政務信息網絡主要著承載政務辦公數據流系統、對公眾提供業務辦理等系統以及基本的互聯網訪問權限。隨著政務信息業務系統業務邏輯日趨復雜,體量日益龐大,在政務信息系統的風險控制,安全運維成本,科學管理,方面將迎來一個全新的戰場。
當前政務信息系統有或部分有以下問題:
區縣的相關管理、運維人員能力匱乏,網絡安全知識相對較落后,對全局政務網的硬件服務器、存儲、數據庫軟件、應用服務器中間件、相關政務信息業務系統并沒有做到了如指掌不能完全駕馭全局運維與安全保障。在出現故障時無法從業務角度快度鎖定故障起源點,無法對故障進行深度解析并提供完整解決方案并實施。
區縣政務信息系統是沒有統一的認證授權并各自為政,無法做到訪問控制,沒有USB-KEY,CA證書認證等技術融入,病毒非常容相互間在各個系統中傳遞感染,重要數據岌岌可危;區縣政務網基本沒有全網的日志審計和客戶機上網行為管理的,各種繁雜的應用安全系統設備產生的安全事件以及網絡安全行為監控各自獨立,冗余度過高,沒有科學的審計,有效的整合,出現問題業務系統管理員根本無法防御爆炸式連鎖攻擊,安全風險系數極高。外網辦公接入設備直接接入業務網,沒有對過程數據流進行監察審計,業務數據在網絡中的傳輸缺乏近乎透明傳遞,安全隱患非常嚴重。
政務信息網絡發生故障或者爆發大規模病毒攻擊時,無法精準鎖定攻擊源頭,從根源控制攻擊,整個處理過程也缺少科學的提高故障解決手段,缺少應急預案,缺少專家應急小組。
這些問題必須且毋庸置疑的解決和改善,應采用以下技術和策略:CA證書認證體系設計,非功能性技術設計,內外網統一安全接入――P2P VSN虛擬安全域,USB-KEY,動態短信密碼,一次性口令等方式,堵著社會工程學入侵缺口。
1 政務信息系統及網絡安全運維的實踐
實現終端內外網統一接入:整合梳理辦公內網和Internet網絡的用戶認證、訪問授權、資源權限等問題,徹底不留隱患的有效的解決辦公內網的安全接入和Internet網絡安全接入,徹底清除未授權終端非法用戶對政務信息系統的存在威脅,確保了政務業務系統的數據在政務網絡中安全數據流傳輸的可靠性。
完整的用戶行為和關鍵政務信息系統數據流日志審計,記錄并保留一個月以上的用戶上網行為是非常有必要的,在龐大的用戶痕跡日志信息中進行初步數據挖掘,能發現潛在的安全隱患,防患于未然,將安全隱患控制牢牢控制,并扼殺。若已發生安全事故,可迅速定位事故爆發點,妥善快速解決問題,如事故造成嚴重的財產損失,可提交公安機關進行取證。
定期由專業安全運維第三方服務公司提供專家級業務報告,為下一步網絡優化提供建議,保障網絡持續、健康發展、安全:對整個被監控網絡能夠提供全面安全健康狀態檢測報告。報告內容包含客戶機非安全訪問記錄、并發數異常記錄、帶寬控制效果、攻擊發生統計等等。
2 政務信息系統及網絡安全運維建設
2.1 政務信息系統建設內容應涵蓋以下方面
建立覆蓋區縣政務信息系統所涉及的硬件服務器設備、存儲設備、核心網絡鏈路拓撲、政務業務系統結構、數據庫并發數據鏈路流和中間件異常并況的綜合管理安全運維平臺,包括集中授權管理中心、面向業務的精確帶寬流量控制系統和業務服務中心,系統應具備完整業務功能和良好伸縮性。
實現集中授權管理中心,建立集中安全管控平臺:構建全網集中的用戶賬號管理、認證管理、授權管理、日志審計,為內外網用戶提供統一的接入服務,加強內控管理,并且為精確帶寬流量控制系統和業務服務管理中心提供管理控制依據。
面向業務的帶寬流量控制系統:構建業務網絡分析、凈化、控制系統,進行全面的流量監視、凈化和控制,有效提高鏈路的帶寬利用率,保障重點業務的網絡質量。
2.2 CA證書認證體系設計
為切實做好政務信息系統安全認證工作,提高各個區縣網絡安全保障水平和對應用系統的防護能力,建立CA證書認證體系。
遵循“建設政務信息系統統一的身份認證體系,為構建政務網絡信任體系奠定基礎,提高應用系統安全保障和防護能力”的目標,保證數據的完整性和保密性,確保用戶來源和行為的真實性和不可否認性。
2.3 內外網統一安全接入――P2P VSN虛擬安全工作域
建立P2P構成的虛擬安全域,確保政務信息業務應用環境的安全性。
通過集中安全管控平臺,用戶終端無論在企業網內或是在互聯網中,只需要能夠在網絡層與安全網關之間可達、通過身份認證后即可建立P2P VSN虛擬安全工作域,借由端到端的加密隧道與授權業務系統進行通信。
2.4 防止社會工程學入侵滲透
在以上的技術應用可以阻止90%以上的黑客攻擊,但是有關信息系統及其網絡安全的問題是矛與盾永無休止的話題,事實上,沒有任何技術能防范社會工程學攻擊。這就是安全方面做薄弱的環節:人!
政務信息所有工作人員都應該進行定期前言安全知識培訓。
政務信息系統所有業務干系人都應懂得基本的安全策略,策略是指導業務人員行為保護政務信息系統與敏感信息所必須的規則。
參考文獻
[1]張麗麗.新常態下推進“互聯網+政務服務”建設研究――以浙江省政務服務網為例[J].浙江學刊,2016(05).
[2]馮巧玲.IPS在電子政務系統中的部署與實現[J].西安文理學院學報(自然科學版), 2015(02).
[3]劉邦凡,關夢穎.電子政務的信息安全立法[J].電子商務,2014(01).
篇6
關鍵詞:計算機;安全管理;現代通信
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2016)19-0016-02
隨著網絡時代的到來,尤其是移動互聯網的日益普及,人們的生活與信息網絡的交際日益緊密,信息安全方面的問題“應運而生”,不法分子利用計算機來從事竊密、盜竊等犯罪活動已然成為影響世界的一大共同難題。在現代通信領域中,網絡安全上的技術應用包含有諸多內容,要用到幾何管理技術和通信方面的技術應用,有效避免網絡存儲過程中的信息竊密以及網絡傳送過程中信息遭到毀壞,從而實現安全的現代通信。
1 現代通信領域中的計算機安全管理概述
與以往的通信相比,現代通信領域的發展健全通常都離不開計算機技術提供強大的技術支持和網絡環境塑造。計算機技術極大豐富了通信的內容結構,提高了現代通信中的數據傳輸效率,是現代通信有別于傳統通信的重要表現[1]。與此同時,互聯網的開放性也讓計算機技術的運用給現代通信帶來了安全方面的挑戰,制約了現代通信行業的健康穩定發展。
從具體的應用角度來講,現代通信中的計算機安全管理是指通過特定的措施來確保網絡環境的安全性和完整性,包括對網絡的控制和管理等方面的內容。同時,保持網絡信息的私密性也是網絡信息安全的重要內容。要做好通信網絡中的計算機安全管理通常要兩個方面入手,首先是物理方面,通過一系列措施的運用,確保通信設備設施在運行過程中不會出現物理性的損害以影響通信安全,確保數據運行具有必要的完整性。其次,從邏輯層面出發以保證網絡信息的完整和安全,并嚴守保密性。在現代通信工作的計算機應用安全管理的實際工作過程中,我們通常需要在這兩個層面科學結合,確保計算機安全管理落到實處。
2 涉及計算機安全管理的配套舉措
2.1 接收電子郵件的安全處理
在企業的生產經營過程中,接收電子郵件是一項非常重要的內容。現階段,很多電子郵件都會依附著各式病毒,倘若不能及時發現處理,會給企業的生產經營帶來非常重大的安全隱患。面對這種情況的出現,企業的相關部門要重視電子郵件的接收工作,即刻刪除未知郵件,也可以用殺毒軟件對其進行殺毒處理[2]。此外,企業要定期向員工發放經過更新的病毒庫,并強制落實,讓每一位相關員工都能具備高度責任感,并定期更新升級病毒庫,進而實現郵件接收等工作過程中的網絡信息安全。
2.2 安全漏洞防范
隨著計算機網絡應用的飛速發展,各種安全漏洞也呈現層出不窮的姿態,不法分子往往都是通過各種社交手段滲透到企業內部,降低企業的安全警惕性,進而對企業的通信設施進行攻擊破壞。另外,企業還要防止企業內部員工的信息泄露。有些工作人員的技術水平較低,甚至有目的地對敏感材料進行泄露,這些都會給企業帶來嚴重的信息安全隱患。
2.3 設置密碼要注重安全
相關研究發現,不少企業在通信安全方面都面臨著密碼泄露的隱患。造成密碼泄露問題的主要原因是企業相關人員因時間有限把密碼設施的過于簡單,或者是因為把相關密碼進行了共享。這些過于簡單的密碼因難度太低,不法分子可以很容易猜出密碼,并進入系統內部對企業資料進行盜竊[3]。此外,隨著計算機技術的日新月異,不法分子違法技術也水漲船高,他們通常會利用電話以及電子郵件等手段蒙蔽企業員工,直接從員工手里獲得密碼。這些密碼安全隱患都會對現代通信安全帶來嚴重影響。
2.4 安全機制的建立
對于現代通信領域來說,安全防護機制的建立是至關重要的。企業的安全防護機制的建立,需要從多方面入手,包括相關政策制度的制定,并且需要給新員工培訓相關內容,以書面形式把安全防護機制的相關政策、制度告知員工,并要確保每一位員工都能簽字確認。另一方面,企業的網絡技術人員要注重先進通信技術的應用,構建高技術含量的通信安全防護機制,做到快速處理企業設置中出現的各種安全漏洞,并能及時向上級領導部門上報當前可能出現的各種狀況。
3 計算機安全管理及其在現代通信中的應用
3.1 制定應對入侵攻擊的緊急處理機制
不法分子利用企業通信系統中出現的安全漏洞,運用高超的計算機技術入侵通信系統,攻擊系統運行,破壞企業的通信機構,竊取數據庫中的信息數據和企業的保密資料,這對企業的安全影響巨大,會給企業帶來不可估量的損失。
針對不法分子的攻擊入侵,企業要充分利用好通信網絡安全產品,例如安全防火墻、企業網絡入侵檢測系統等等。相關安全產品的合理利用對企業的網絡運行狀況進行有機監控,及時準確地找出攻擊對象,并采取有效措施及時處理并做好相對應的防范。此外,企業要充分考慮緊急情況下能做到恢復系統,為此企業要構建出應對相關狀況的應急預案機制。
3.2 強化開放的網絡服務方法
開放的網絡服務有助于提高通信企業的服務質量,對廣大用戶的日常生活便利起到積極的推動作用,是改善通信服務的重要舉措[4]。但在服務網絡開放的同時,不法分子往往會利用開放的網絡服務來攻擊企業的通信系統,因此,企業要對開放的網絡服務方法進行強化。
企業要在此過程中充分利用因特網的安全策略,其中主要包含兩方面的應用,其一是要快捷廣泛地利用好網絡信息資源的同時,確保自身網絡系統不會受到外部攻擊,其主要方法是接入技術的運用,充分利用好防火墻技術;此外企業要對WEB、FTP服務進行嚴格審查,強化內部網絡用戶相關責任感,對于網絡系統的特殊情況,還要積極充分的利用好審計手段等相關技術。
3.3 網絡防病毒能力的強化
互聯網世界浩瀚無邊魚目混雜,各種元素帶著各種目的參與到互聯網世界,不法分子更是會乘機游弋其中,利用病毒伺機作案。不法分子往往會制作出各種無限裂變復制傳播的病毒對企業的通信網絡進行攻擊,破壞系統運行,竊取數據信息。
針對病毒入侵隱患,企業要切實安裝好病毒防火墻系統,及時有效地對現代通信中各式網絡信息實行過濾。安裝好相關安全系統之后,可以試試監控網絡運行中的各種數據概況,對網絡服務器中的相關文件進行實時掃描,還能在工作站中加裝防病毒卡。如果出現特殊情況,還能用過科學合理的權限設置,對有關文件及網絡目的訪問權進行有效控制,這樣一來,重要文件的傳輸、存儲和利用,職能在確保信任、安全的服務器中才能打開、執行。
3.4 有效切斷病毒的傳播途徑
由于網絡運行過程中不能避免上傳下載,因此各式U盤、硬盤的利用變得習以為常,而不法分子通常會在服務器中上傳各種隱藏的病毒文件,相關操作人員稍有疏忽,便會把病毒下載到自己的存儲設備當中,再在其他終端上傳文件的時候,便會造成病毒的上傳,而且會交互感染,影響尤為嚴重。不法分子正是利用這種線下傳播,避開企業的網絡病毒防火墻,把病毒移植到系統中,因此,企業要切實切斷病毒的此類傳播途徑。
企業相關人員在U盤和各式硬盤的使用過程中要尤為注意,必須實時對其進行病毒查殺。在網絡系統中出現不確定的網絡推送頁面,切忌隨意接受。倘若發現U盤、硬盤燈已經感染病毒,并且在進行病毒查殺之后仍不能保證其安全性,這時就需要對其進行必要的格式化處理,這樣才能及時有效的切除病毒等不安全元素的傳播途徑。
3.5 嚴控網絡訪問控制權的授予
對于通信企業的網絡服務系統中,安全隱患的由來通常與網絡訪問是離不開的,倘若不能做好入網控制,不法分子便會把攻擊文件偽裝成普通的入網用戶,伺機把病毒文件上傳到網絡系統當中,再由其他用戶的疏忽操作來形成大肆入侵攻擊。而網絡控制權限的監管不嚴,會造成非法操作盛行,極大增加企業的網絡安全防范難度,對企業的網絡安全運行帶來重大隱患,甚至會帶來不可估量的損失。
對于通信企業來說,嚴格控制好網絡的訪問權限,是對企業網絡安全運行的基本防護和有效的保護措施。通過相關人員實踐研究和大量的實際網絡安全實例可以看出,網絡訪問權的管控,可以極大促進凈化互聯網信息資源的有效性,可以極大減少互聯網信息系統的非法入侵和非法攻擊,在出現特殊情況時能快速有效的進行處理,最大限度減少非法入侵帶來的損失,能切實保護企業的現代通信網絡安全。訪問控制權的授予是控制網絡訪問的技術主體,涵蓋諸多技術類別,例如入網控制權限技術、網絡控制權技術等等。
4 結語
綜上所述,在互聯網技術應用范圍不斷擴大的今天,在信息化網絡通信不斷健全的當下,計算機安全管理和信息保密也勢必越來越受到廣大用戶的密切關注。現代通信的發展創新離不開功能強大的計算機技術和相關系統,因此,要確保現代通信事業的健全發展,相關企業必須以計算機安全管理作為通信業務發展的基本前提,要提升現代通信企業的業務發展水平,凈化通信行業的網絡環境。
參考文獻:
[1] 黃飛. 計算機安全管理及其在現代通信中的應用分析[J]. 信息通信,2014(6):148.
篇7
關鍵詞:企業內部控制;信息化;安全管理
隨著信息化技術的發展,企業信息化工具擴展度越來越高,擴展面越來越廣,大大提升了企業運營及管理的便捷性,企業依賴系統大數據的信息處理和分析來提升效率,信息化技術應用為企業創造了不可替代的價值。企業財務系統、資源管理系統、辦公系統等形成企業信息化綜合平臺,隨著信息數據的大量輸入、輸出、交換、應用,信息處理的便捷使企業信息化安全工作越來越重要。任何信息安全方面缺失或弱化都可能造成工作的中止、信息的丟失或泄露,使企業產生影響或經濟損失,以信息化平臺為重要工作工具的單位,影響更加重大。4G時代的到來,為企業信息走向移動化鋪好了平臺,也為企業信息安全管理提出了新一步要求。
我國的《企業內部控制基本規范》中提到信息化安全管理問題,該規范第四十一條指出:“企業應當利用信息技術促進信息的集成與共享,充分發揮信息技術在信息溝通中的作用。企業應當加強對信息系統開發與維護、訪問與變更、數據輸入與輸出、文件儲存與保管、網絡安全等方面的控制,保證信息系統安全穩定運行。”所以信息化安全管理應為現代企業內部控制管理重要內容,如何優化信息化管理,提升信息化安全,成為需要思考的問題。
一、信息化安全管理分析
企業信息化安全管理包括物理安全管理、網絡安全管理、系統安全管理、應用安全管理等,內部控制的實施有助于預防信息化管理下企業信息數據尤其是財務數據丟失的風險,降低借助信息系統舞弊的可能性,保證企業各項經營活動有效運行。企業應通過企業信息化安全工作分析,定期進行信息化安全工作檢查,落實信息化安全內部控制管理。
(一)物理安全內部控制管理
1.硬件安全
信息化處理以電腦、服務器、存儲設備、網絡設備、安全設備作為硬件設備,電腦等信息終端設備不完善或故障會影響辦公;服務設備如服務器、存儲設備的損壞,會直接造成數據的丟失和數據處理的中斷;網絡設備如路由器、交換機的損壞,會讓系統停止。沒有安全設備或安全設備不工作會讓系統受外界所攻擊或盜取重要信息。企業信息化安全管理應對硬件安全有應急預案,增加必要的備用設備,如服務器、路由器、交換機等,設備一旦損壞,備用設備馬上進入工作狀態,使業務不中止或恢復時間短。設備應支持雙路電源供電,對于有可能的停電,企業應準備和啟用備用電源。
2.信息設備環境安全
環境安全包含防火、防盜、溫度、濕度、潔凈度等環境安全,只有安全的信息設備環境才能保障信息設備正常、高效工作,防范設備滅失或信息損失。對于一個大型或中型企業應專門建設符合上述環境要素的機房,服務器等設備應放在機房,因機器不間斷運轉造成溫度較高,應配備精密空調等制冷設備,確保溫濕度得到精確控制,服務器的放置空間要合理,保持空氣的流通并符合設備散熱需求。機房配置消防報警裝置、氣體滅火裝置,以應對突發火災事件。機房重地應有門禁管理,確保防盜和人為破壞的發生,信息化管理人員應就機房建設及日常管理進行檢查。
另外移動辦公設備(筆記本電腦、平板電腦、手機)的廣泛使用使設備不安全性增加,云技術、云方案不斷推新應用,使移動辦公增加,企業應對于移動辦公設備丟失制訂預案,對重要移動設備做防盜防丟失部署,以使設備被盜或丟失時由信息管理員實施遠程鎖定,阻止非法入侵或直接銷毀設備中的數據。
3.數據安全
數據的安全分為數據保護、數據保密和數據恢復。存儲設備是數據的載體,也是實施信息化企業的生命,數據丟失可以是致命的,一個安全穩定的存儲設備對數據保護至關重要。重要數據應以加密存儲,存儲介質廢棄時的完全抹除是數據保密應注意事項,可使用硬件自加密硬盤簡化數據保密過程。而存儲備份和恢復方案的實施是數據安全的最后一道防線,可以在事件發生后數據得以恢復。企業應及時做好數據備份、異地備份,防范火災、地震等不可預知事項帶來的數據滅失。企業應做出數據恢復預案并進行演習以應對可能的數據安全事故。
(二)網絡安全與信息傳輸安全內部控制管理
網絡提供了便捷的信息傳遞、快速的信息查詢,實現多人多組織的便捷工作,但也帶來網絡風險。企業首先應做好網絡訪問控制,最主要的措施是建立有效的防火墻,應檢查企業網絡設備是否安裝了有效的防火墻,防火墻的版本是否能及時最新,是否安排專門人員定期通過收集分析網絡行為、安全日志等進行入侵檢測,檢查訪問控制權限審批授予是否得當,是否對不適當的人做訪問權限的撤銷管理。
終端用戶操作不當,如違規安裝軟件或互聯網資訊點擊可能使病毒侵入網絡,故企業防止內部局域網風險,需規范終端用戶操作,對網上下載文件有必要要求及管理。針對承載保密信息的電腦,企業應專機專用并禁止與外網進行連接。對于有特殊安全需求的部門可部署桌面云方案,將數據和操作安全策略放置到服務器上統一管理。企業可通過部署網絡防病毒軟件并實時更新保證各終端使用相同的安全策略,避免個體不正確的安全習慣,保證定期進行病毒和惡意軟件的查殺和清除,保障系統不因病毒侵入而崩潰,是信息化安全內控管理的有效手段。
運營商的線路故障,可能造成整個網絡信息溝通中斷,雖然幾率較少,但對于以信息化工具為重要手段的單位影響會很大;為防止外部網絡中斷,檢查評估是否需要選擇兩家運營商,保證信息傳輸的正常。
(三)系統安全內部控制管理
軟件是信息化實現的載體,所有信息都是基于軟件進行輸入、輸出、運算、分析和應用的。
軟件安全成為一個越來越不容忽視的問題,軟件漏洞會造成信息丟失、信息泄露。軟件病毒會造成系統崩潰、信息錯誤。提升軟件安全性,是企業信息化建設的重要環節。
企業的軟件安全管理應檢查是否使用可靠的系統操作平臺軟件,比如:Windows、Linux;是否安裝有效的防病毒軟件并及時更新,比如:卡巴斯基、諾頓等;是否選擇安全保障高的信息化應用系統軟件,比如:SAP、Oracle、金蝶、用友軟件等;信息化軟件是否有穩定后期保障服務。完善的軟件是信息化數據安全和信息化功能應用的保證。
(四)應用安全內部控制管理
1.系統平臺應用內部控制管理
企業信息化最主要應用是使用系統平成會計信息自動化處理與分析、實現業務流程記錄與信息傳遞。企業應做到信息化平臺統籌規劃,使財務信息化和業務流程信息化充分結合,提高信息處理效率及信息管控力度,將企業的管理思想有效置入信息化流程使信息化平臺成為企業內部控制管理的有效工具和手段。
企業信息化系統平臺應用工作包括系統上線實施建設和系統日常運維管理,都有內部控制風險點管理。系統上線實施建設為系統平臺應用的基礎,對企業信息化應用起到關鍵作用。對于信息化應用程度深的企業,若實施不成功會給企業帶來經濟損失乃至巨大風險,為內部控制管理重大風險點,應予以高度重視。企業應制定詳細的工作計劃及實施方案,優化系統流程,制定編碼規則,項目經理應實施有效的進度管理以保證系統上線成功,系統上線后應對項目進行驗收,對應用中發現問題予以改善。系統日常運維管理(包括變更管理)是信息化有效穩定運行的保證,企業應制定管理制度進行規范化管理,信息化管理人員做好工作表單記錄,通過檢查表單記錄評估信息化工作開展是否得當。
系統平臺應用離不開系統流程與系統授權管理,只有信息化系統操作流程及權限設置合適,內部控制管理工作才能有效開展,風險得到即時控制。系統流程管理要求系統流程與企業管理流程文件相符;系統流程設置應合理有效,以企業增值及反應速度為原則,在實現內部控制基礎上盡量做到流程簡化,體現內部控制管理的全面性、重要性、制衡性、適應性和成本效益性。授權管理為企業內部控制管理關鍵點,如何做好系統授權?首先,授權人適崗,要求系統授權人或批準人對公司流程掌握,對內部控制管理有清醒的認識,對不相容崗位分離有清楚的把握,保證授權批準人與執行人分離,業務執行人與審核人分離,執行人和記錄人分離,物資保管人與記錄人分離,執行業務人與物資保管人分離;其次,配備必要的授權審核人員,授權審核人員可以是企業內控管理人員也可以是企業制度制訂及管理人員,在系統流程制訂時對授權設置進行審核,定期開展授權審計,以發現授權中問題,及時更正;再次,授權管理包括授權工作也包括撤銷授權工作,需及時做好離職離崗人員系統權限調整,以保證系統操作人權限適合。
鑒于系統平臺將企業信息做了大規模的集中,信息泄露的風險加大,所以對于系統數據、信息引出(下載)的權限管理應高度重視,尤其是關鍵數據及信息引出,避免信息批量式流出或關鍵信息被不適合人使用,給企業帶來災難性損失或技術成果和管理成果被他人竊取。
2.密碼內部控制管理
服務器、電腦、平臺系統進入都需要密碼管理,企業應要求操作人員有效設置密碼,不得將密碼告知他人,定期更換密碼,企業應檢查企業員工外出離崗時有無告知他人密碼協助處理流程的行為。隨著技術進步,企業可通過技術手段實施密碼管理。
3.電子郵件和即時交流工具安全管理
信息傳輸的便捷性使信息化風險加大,信息傳輸風險包括重要信息流出后不受控制及內部數據信息通過電子郵件、QQ等即時通訊工具方式泄露,企業應評估重要崗位、重要文檔信息流出的風險度,必要時使用信息安全軟件管理,進行重要文檔加密或對特定區域信息加密管理;通過網絡行為管理軟件跟蹤敏感文件和信息的泄露,使企業信息安全得到控制。對于即時通訊系統如QQ等可能帶來的病毒和入侵風險,企業可根據信息化管理的重要程度確定是否部署內部專用即時通訊系統予以防范。
(五)隨著信息技術的不斷發展與進步,各種云平臺服務推出,服務提供商可以提供專業的機房、服務器、存儲、網絡、信息化平臺等供企業租用,企業只需付一定的服務費,為企業解決大部分信息化安全問題。使用云平臺服務要做好服務商的選擇,對于關鍵信息和數據采用做好方案選擇。
二、結語
篇8
(一)信息安全組織臨時化
通常,制造型企業只有在發生了信息泄露、病毒攻擊、系統破壞等信息安全事件時,才會臨時從信息技術部和業務部門抽調人手處理和解決信息安全事件.出現新的信息安全要求時,才會臨時組建項目小組,根據新的信息安全要求制定解決方案并實施計劃,項目完成后,臨時小組就會解散,沒有人會繼續跟進和執行解決方案.由于沒有定期的信息安全評估,安全計劃不斷地重復開始和結束,帶來大量的人財物重復投入,這將導致安全計劃成本不斷增加,企業的工作效率不斷降低,信息安全防護也未得到有效提升.
(二)員工上網無限制
雖然制造型企業為員工上網提供了用戶名及密碼,并且對其登錄的網站進行了監測,但是員工在工作時間還是可以無設防地利用外網進行網頁游覽、網絡社交等行為,并且使用一些網站的免費郵箱隨意地接收和發送電子郵件,這些給黑客、病毒、釣魚軟件等創造了對企業內部網絡攻擊的機會.于是,員工在不了解原因的情況下,使得企業的信息被泄露或者內部網絡癱瘓,從而影響企業的正常工作,造成企業資產的損失.
(三)個人移動設備(BYOD)使用泛濫
在制造型企業的辦公場合,員工會攜帶個人移動設備(BYOD)如筆記本電腦、平板電腦、智能手機、移動硬盤等進行辦公.企業員工可以較為隨意地使用這些移動存儲設備對內部文件進行拷貝,并且可以使用移動設備接入企業內網的無線WiGFi,并擁有一定程度的內網數據讀取權限,這樣做雖然節約了企業的辦公成本,提高了辦公的效率,但是也增加了企業內網病毒感染及遭受黑客惡意入侵的風險.
(四)信息安全防護水平有限
出于性能、技術等因素的考慮,加之國內自主研發的信息安全產品較少,目前進口的信息安全產品受到許多制造型企業的廣泛采用.盡管這些企業的信息安全需求以此得到了滿足,但近幾年來,進口產品設備故障的頻繁發生也對制造型企業的業務帶來了不同程度的影響.同時,進口信息安全產品已經占據了這些企業信息系統的關鍵節點,這使得企業的商業機密時刻處于高危狀態.不僅如此,部分制造型企業仍舊停留在使用免費的個人版殺毒軟件階段,而這些軟件不僅無法解決病毒交叉感染的問題,也沒有統一的管理平臺對企業內網的安全系統進行統一的升級與維護.另外,信息安全產品在企業內的無序堆疊不僅使得各安全產品存在兼容性問題,同時也使得各產品廠商只能提供與自己產品有關的技術支持,導致企業對問題很難進行跟蹤和排查.最后,企業電腦終端上的防毒程序未開啟或者未升級至最新版本,以及系統漏洞修補的不及時都造成了多病毒大面積入侵企業內網.
(五)信息安全事件處理不及時
制造型企業在發生信息安全事件時,即使有相關的信息安全管理產品,但無法迅速定位安全事件,更無法快速進行安全事件響應處理,常處于混亂、無序的運維管理狀態.由于企業的安全管理人員無法全面了解整個企業網絡中正在發生的內部越權訪問和外部攻擊,出現問題時,他們多表現得無從下手或者手忙腳亂.而且,企業各部門各自為政,對發生信息安全事件無法進行統一規范的快速處理.
二、制造型企業信息安全薄弱的原因
(一)員工信息安全意識淡薄
制造型企業員工信息安全意識比較淡薄,主要表現為企業管理層沒有充分認識到信息安全的重要性,沒有將信息安全管理工作與企業生產安全管理工作放在同等重要的高度來對待,更沒有把它作為日常管理工作的一部分.管理層之所以沒有信息安全意識主要是因為信息安全不會直接為企業帶來經濟效益,反而需要投入大量的時間和資源,尤其是對于受部門業績壓力和資源限制的業務部門來說,他們不愿意把時間和資源放在信息安全防護工作上,并且他們還認為不采取安全防護措施不一定會造成損失.普通員工則表現在他們不了解什么信息安全,不知道遵守和執行信息安全制度對自己及企業帶來的影響,缺少必要的信息安全教育與培訓,有意或無意地導致信息安全事件的發生.
(二)信息安全技術體系不完善
信息安全防護水平受到限制除了受上述因素影響外,還有就是沒有完善的物理安全、運行安全和數據安全相統一的信息安全技術體系,具體體現在企業使用的軟件設計存在缺陷或者技術漏洞、殺毒軟件不及時更新;信息系統設計沒有以風險評估為基礎、業務流程描述錯誤或漏洞、數據訪問權限設置不清晰、關鍵數據沒有備份等因素;物理安全邊界不明確、設備或存儲介質缺乏安全措施、電纜損壞、不可抗力的自然災害等.
(三)信息安全事件應急響應機制缺失
信息安全事件處理不及時很大程度上是因為沒有建立信息安全事件應急響應機制.制造型企業沒有對信息安全事件進行分級響應與處置,也沒有結合企業的實際情況通過預測、評估和分析安全事件對企業造成的后果程度進行等級劃分,并針對不同的安全事件制定相應的應急預案.同時,大部分制造型企業在處理信息安全事件時更多依靠的是人的經驗和責任心,缺少標準化的信息安全事件處理流程,以及必要的審核和工具支撐.
三、改進制造型企業信息安全的對策
通過上述分析可知,信息安全問題不僅出現在技術方面,還更多地出現在管理方面.因此,為了保障企業的業務持續運行,加強企業的股東、客戶以及服務提供商對企業信息安全的信任,增強企業的核心競爭能力,制造型企業可以將管理、技術和運維三方面有效地結合起來,促進企業的可持續發展.
(一)建立健全的信息安全組織層級結構
企業信息安全組織架構的建立是圍繞企業信息安全管理的戰略目標,對企業的信息資源、人力資源、安全技術產品等進行合理安排和配置,構成相互協作的有機整體,使企業的信息安全活動協調有效地運行.制造型企業通過建立多層次、跨部門的信息安全決策委員會、信息安全工作部、信息安全執行部的層級結構,不僅能在企業中形成一張網,覆蓋企業的各個部門,有利于信息安全措施的實施和針對信息安全事件的快速響應,而且還能為后續建立信息安全管理體系提供組織上的保證.信息安全決策委員會主要負責制定信息安全制度和策略、明確各部門信息安全職責、協調各部門實施信息安全控制措施以及信息安全活動的實施等.信息安全工作部由各部門負責信息安全管理的工作人員構成,實施決策委員會制定的信息安全策略、制度和方針,并負責各部門的信息安全管理工作.信息安全執行部具體有三個部門,即信息安全規劃部、信息安全監督審計部、信息安全運行保障部,并且由各部門進行業務支撐。
(二)加強人員教育培訓和規范管理
信息安全最大的威脅不是來自于企業外部的攻擊或是企業信息安全技術的缺陷,而是企業人員缺乏信息安全意識.為了能夠有效地提高企業員工的信息安全意識,企業需要對員工進行完善的信息安全教育培訓,這不僅能提高員工的信息安全保護技能,還能更好地保護企業的信息安全.制造型企業在制定信息安全教育培訓內容時,可以根據員工在企業中所處的職位高低和工作性質的不同有針對性地制定.對于企業管理者而言,教育培訓以信息安全核心知識、風險管理、信息安全政策等為主;企業的信息技術人員,則是以信息安全技術教育培訓為主;一般員工結合所在部門的業務特點以信息安全意識培訓為主.除了對企業的人員進行教育培訓,還需對其進行規范化管理.對掌握產品生產、原材料采購等核心信息的管理者實施更加嚴格的信息安全監督管理制度;對負責計算機系統及日常維護的人員界定其工作權限;規范化管理員工的上網行為,合理利用網絡資源,避免人為的網絡安全隱患.同時在規范管理中引入績效考核機制,這樣不僅使信息安全管理的指標量化,而且,通過信息安全監督審計工作組對員工信息安全工作進行考核,使員工更加重視企業信息安全.因此,加強企業員工的教育培訓和規范化管理,不僅可以營造企業信息安全文化氛圍,還可以約束員工的行為,減少人為因素導致的信息安全事件發生.
(三)完善信息安全技術體系
信息安全技術是企業信息安全的保障,完善的信息安全技術體系可以防止由于技術因素導致的信息安全漏洞,避免給外部攻擊者留下可乘之機,從而減少技術因素導致的信息安全事件發生.制造型企業需從以下六個方面去建立完善的信息安全技術體系,并采用“適度防御”的原則,選擇合適的安全技術與產品,形成企業適用的安全技術防線.一是保障并完善數據安全,制造型企業需通過加密的手段保護企業系統中數據的機密性和完整性,從而提高數據訪問的抗抵賴性,同時加強數據的異地災難恢復機制,實現本地數據的實時遠程復制與備份,避免本地系統遭受災難性破壞導致企業系統中數據的遺失.二是保障并完善終端安全,制造型企業除了要采用全面可靠的防病毒體系和防火墻技術外,還需制定嚴格的移動終端設備使用制度,一方面是為了避免內部員工利用移動終端設備隨意拷貝企業內部文件,導致企業內部信息向外泄露,另一方面是為了防止移動終端設備攜帶的病毒漏過企業系統設置的防火墻而直接在系統內部傳播.三是保障和完善應用安全,除了提供用戶名和口令外其他身份驗證機制,必要時還需支持雙因素認證和具備登錄控制模塊,同時在日常工作不受影響的情況下,控制員工訪問權限,減少越權操作的現象,最大限度地保障個人系統的安全.四是保障和完善網絡安全,制造型企業還需通過內外部署相應的網絡與信息安全設施使計算機設備的物理管理得到加強,并對入侵檢測系統和漏洞掃描系統進行內外部攻擊和誤操作的實時保護的安全設計,使系統免于網絡攻擊的同時,也提升了系統管理人員的安全管理水平.五是保障主機安全,除了采用系統掃描技術對操作系統層設備和系統進行智能化檢測來幫助網絡管理人員高效地完成定期檢測和操作系統安全漏洞修復的工作,還應采用系統實時入侵探測技術來監控主機系統事件,檢測攻擊的可疑特征,并給予響應和處理.六是保證物理安全,制造型企業需要保證機房與設施的安全,針對環境的物理災害、自然災害和人為的蓄意破壞采取安全措施,并通過防盜、防毀、防電磁干擾來保證設備的安全.
(四)建立信息安全事件應急響應機制
篇9
一、以信息化手段為支撐,積極推進國際化工城建設
圍繞國際化工城的戰略定位,緊緊依托區現有化工產業基礎、物流配套設施和戰略樞紐的區位優勢,充分發揮大化工企業的引領作用,強化生產、經營、物流、金融和信息資源的整合。
1、加快信息基礎設施建設,完善信息化發展規劃。圍繞區域功能定位,協調各大通信運營商實施管線、基站、機房等信息基礎設施的集約化建設。組織編制亭林等鎮的信息基礎設施專業規劃,全年共建設管線120多溝公里。全區寬帶用戶9.8萬戶,出口帶寬30G,固定電話裝機20.9萬戶,移動電話52萬戶。區域內信息基礎設施得到進一步完善,服務能力得到進一步提高。
2、協調建設“化工品電子交易平臺”。根據國務院《關于加快電子商務發展的若干意見》和市信息委《關于組織實施BtoB電子商務專項試點工作的通知》的精神,協助化工品交易市場經營管理公司開展“化工品電子交易平臺”建設。該平臺可實現產品數量、價格的和更新、網上交易;洽談、交易合同撮合;合同處理與查詢、成交信息查詢、交易統計等的電子交易功能,已獲得中國石化石化股份公司、中國石化化工銷售分公司的支持,并得到了市信息委的專項資金扶持。
3、舉辦企業信息化系列培訓講座。我們對全區的規模企業進行了調研,摸清其信息化基本狀況,分析其信息化觀念和形勢。結合調研宣傳,引薦軟件研發企業進行信息產業資質的申報,并在門戶網、企業網等網站設立信息產業政策相關欄目,宣傳和解讀各類信息產業政策,供企業參考和應用。年度,共舉辦企業信息化系列培訓講座4次,130余家企業的200多名企業管理人員參加了培訓。
二、以農村信息化為抓手,深入推進社會主義新農村建設
按照原國家信息產業部和市信息委的試點要求,認真組織開展國家農村信息化綜合信息服務試點工作,進展順利。
1、加強農村信息化宣傳,明確農村信息化建設目標和任務。運用多種媒體和渠道,因地制宜地宣傳農村信息化建設的意義,組織召開了區農村信息化現場推進會,回顧總結前期我區農村信息化主要工作情況,并對下一階段的工作進行部署。市信息委領導對我區的農村信息化工作給予了高度評價,充分肯定了農村信息化建設的“模式”。
2、整合農村信息化資源,擴大“為農綜合信息服務站”建設。按照統一網絡、統一場所、統一管理的原則,綜合考慮各方面要求,實現集約化建設和規范化管理。在去年完成廊下鎮、楓涇鎮、衛鎮和呂巷鎮的55個村為“農綜合信息服務站”建設的基礎上,今年進一步擴大覆蓋面,又建成了69個“為農綜合信息服務站”,覆蓋到全區124個行政村(5個農村居委會)。基本體現了為農綜合信息服務站“為民辦事、合作醫療服務、文化娛樂、政府管理、教育培訓、便民服務”六大功能,推動了農業生產、農民生活、農村管理的信息化。
3、開發“二大”應用平臺,切實推進農村信息化應用。
建立全區統一的城鎮政務管理公共服務平臺。實現城鎮政務綜合管理、城鎮黨務管理、村務管理等應用,并完成對區人口庫系統、社區事務受理系統、區級OA系統等應用系統的整合,達到資源充分利用和便民利民的目的。
開發涉農綜合信息服務平臺。以市農委等條線資源為支撐,深入挖掘本區個性化、特色性的涉農信息資源。對外,通過農業網、農信通、農產品交易平臺等多種渠道,為農業龍頭企業、種養業大戶、農產品購銷大戶、農村經紀人和廣大農民提供農業政策、農業技術、農產品市場信息等各類信息服務;對內,通過建設規模經營戶管理系統,有效落實農業補貼,提供輔助決策等服務。規模經營戶管理系統被評為年度市區縣信息化優秀成果獎。此外,通過建設蔬菜管理子系統,將優質農產品加工、產品、服務等信息進行信息化管理,為農民組織化生產提供服務。
4、廣泛開展農村信息化培訓。為進一步提升農村的信息化應用水平和農民的信息化意識,按照本市“千村萬戶”農村信息化培訓普及工程的要求,成立了由區信息委、教育局、婦聯、農委組成的區“千村萬戶”農村信息化培訓普及工程工作小組,對本區10個培訓點進行了認定與授牌,并對各培訓點的相關教師進行了農村信息化師資培訓及指導,規范操作流程,確保培訓質量。制定了培訓普及計劃并積極實施針對農村基層管理者、專業農民及有積極性的普通農民的培訓工作和針對普通農民的宣傳工作,經過精心組織與合理安排,目前已完成3066人的培訓和20139人的宣傳普及工作,分別達到年度培訓和宣傳普及指標的110%和101%。
三、以發展信息產業為先導,努力促進經濟發展方式的轉變
1、認真開展企業服務月活動。嚴格按照區委、區政府的要求,緊緊圍繞“宣傳、引導、服務、交流”的宗旨,認真做好了信息產業政策、專項資金申報、“雙軟”資質認定等方面的宣傳和服務工作,使企業受惠于產業政策。加強了傳統企業和軟件企業間的合作與提升,對處于游離狀態的從事軟件開發的企業做好了規范和引導服務。通過舉辦信息化培訓與講座等系列活動,為企業營造了互動交流和學習的平臺。
2、認真開展軟件和信息服務業統計工作。按照《軟件業統計報表制度》,對注冊于我區的軟件認定企業進行按季度定期網上報表統計,根據獲得的相關運營指標,全面分析和掌握我區軟件產業的基本情況、總體規模和發展現狀等,并對我區信息產業運營狀況進行了量化分析,為進一步開展和落實企業信息化工作提供依據,也為履行服務企業的職能提供數據基礎。年度,共有40家軟件企業季度報表數據進入統計系統,其中軟件認定企業和系統集成企業33家,非認定軟件企業7家。
3、完成了軟件認定企業年審、軟件和集成電路專項資金申報初審工作。根據《軟件企業認定標準及管理辦法(試行)》有關“軟件企業認定實行年審制度”的要求,經自愿申報,市軟件企業認定聯席會議辦公室對2007年度通過年審的軟件企業及2007年度認定的軟件企業進行了年審。年我區共有30家軟件認定企業參加了年審,其中通過區信息委初審的28家軟件企業全部順利通過市信息委年審。今年又有3家企業獲得軟件認定企業資質,使我區獲得軟件認定和系統集成相關資質的企業數量已增至33家。
根據市軟件和集成電路產業發展專項資金納入部門預算管理的要求,及時組織開展了2009年度軟件和集成電路產業發展專項資金項目申報初審工作。共有注冊于區的13家軟件和集成電路企業的項目參與申報,其中“AutoCAPP—全自動工藝生成系統V1.0”項目獲得市信息委100萬元的專項資金支持。
四、以電子政務應用為基礎,不斷提升政府的服務管理能力
1、升級改版區辦公自動化系統。通過升級電子郵件系統及鎮、區OA辦公平臺,更新數字證書等工作,有效地提高了全區辦公網絡平臺的穩定性和安全性,提高了系統維護的便捷性。同時,政務網應用范圍進一步擴大,已覆蓋到全區各部委辦局、區直屬單位(部門)、區屬企業、各醫院、學校、村(居)委會,聯網計算機用戶已超過5000戶。
2、有序推進城市網格化管理。協調各大通信運營商接入城市網格化管理平臺,及時發現和處理信息管理中存在的問題。促進區、鎮(街道)二級城市管理相關信息資源的共享,不斷增強城市管理領域的統籌監管、綜合分析和信息服務能力。
3、開發政務管理公共服務平臺。建設城鎮政務綜合管理子系統。圍繞城鎮政務管理工作中民政事務、勞動就業等內容,建設全區統一的城鎮政務綜合管理子系統,形成較完整的城鎮政務信息化的應用,進一步提升了社區事務的管理水平。建設城鎮黨務管理子系統。圍繞基層組織、黨員、黨務等黨建工作,開發全區統一的黨務管理系統。建設村務管理子系統。將社區事務受理工作向村級的延伸,實現在村一級的民政事務、計生事務、殘聯事務三大類事務的服務。并實現一體化的村務公開信息公布。建設城鎮門戶及授權管理子系統。通過統一門戶系統,對區內各單位的資源進行了整合,通過授權實現不同用戶不同的辦公平臺,增強了個性化的辦公平臺功能。同時,將區內已有的系統和在建的系統中的數據資源進行整合,使各個系統的數據資源可以進行數據共享和資源的充分利用。
4、完成區公共服務中心機房建設。針對區公共服務中心的功能定位,我們對新大樓的中心機房進行了總體規劃,充分考慮和遵循新中心機房的標準性、實用性和可擴展性。完成了地板敷設、UPS電源安裝、精密空調安裝、機柜安裝、氣體消防系統安裝,大樓弱電間的網絡布線以及交換機的安裝和調試,下半年陸續將服務器和安全設備搬進新中心機房進行調試,將服務器群分為內網服務器群、外網服務器和托管服務器群進行分類管理,在國慶期間完成了光纜的切割。
5、拓展人口基礎數據應用。一是完善來滬人員管理系統。根據人口辦等相關部門的要求,對來滬人員管理系統進行了進一步完善,增加了多項統計功能,修改了部分程序,確保系統的運行穩定性。二是完善人口庫系統。對原有人口庫系統進行了整合,完善和豐富了統計功能,對人口庫數據進行了整理和篩選,確保數據的準確性。三是開發了殘疾人就業信息管理系統。建立了全區所有殘疾人員信息庫,并定期進行維護和更新,全區各相關職能部門通過該系統將各自掌握的殘疾人員信息通報給殘疾人聯合會,以達到優化信息、資源共享的目的。
6、加強了區級公務網分級保護改造。為了進一步提高區級公務網的安全性,根據區保密局的要求,對區級公務網域各接入點進行分級保護改造,對原有的網絡方案、保密要求進行了梳理,并制定了分級保護的改造方案。區級公務網改造實施后,能夠提升區級公務網的安全性、保密性。
7、加強信息化項目管理。為了更好地規范我區財政投資的信息化項目建設和管理,統籌各政府財力渠道建設經費的使用,抓好重點項目建設,避免重復投資,促進資源整合和共享。按照《區信息化建設項目管理實施辦法》,制定了相關的操作流程和審核辦法,對全區信息化建設項目開展統一管理和資金審核。組織各相關單位進行2009年度信息化項目支出預算編制申報工作,并按照輕重緩急原則,對所申報的項目進行篩選排序和分組歸檔。
8、加強信息網絡安全監管。一是制訂信息安全應急預案,完善了相關的規章制度,購置了相關的信息安全設備和安全軟件,完成了信息安全等級保護評定。二是突出重要時刻的安全保障,通過加強外網網站漏洞掃描,內網服務器群系統加固,健全值班制度等措施,確保了奧運期間信息網絡安全。三是加強網絡的日常安全維護,定時地對中心機房的所有服務器的系統進行補丁升級,加強托管網站的管理,加大網絡監控力度,防治病毒和控制流量,保證了區政務網的安全、暢通。
9、全力推動社保卡的發放和應用。圍繞“突出應用、強化服務”的宗旨,積極做好社會保障卡和居住證的申領、發放和補換卡工作。一是推進社保卡擴大申領工作,將社保卡發放范圍擴大至0-18歲的人群,共發放社保卡23701張、嬰兒卡16819張。二是認真做好敬老服務專用卡發放工作。按照政府有關部門的統一安排,為本區戶籍的七十周歲以上老年人免費發放具有乘車記次功能的社會保障卡31628張。三是開展新學年學籍卡申領工作,共發放學籍卡11540張。四是辦理來滬人員臨時居住證65711人次,為市民補換卡8705張。
五、以政務誠信建設為重點,深入推進社會誠信體系建設
根據區“作風建設年”的總體要求,深入開展政務誠信建設。進一步增強全社會的信用意識,營造文明守信的社會環境。一是組織召開區社會誠信體系建設聯席會議全體成員會議,總結部署年度工作,明確了年度誠信體系建設的目標和任務。二是指導推進全區誠信建設活動開展。組織開展3.15消費者維權宣傳活動。指導和幫助區勞動局、食藥監管局等相關部門開展誠信體系建設工作。區勞動局組織開展了“勞動保障誠信示范企業和勞動保障誠信企業”評選活動,有2家企業被評選為誠信示范企業,40家企業被評選為誠信企業;區科委組織開展了“創建誠信企業評選活動”,有12家企業被評選為“2007年度創建誠信企業活動先進單位”。三是組織開展年“誠信活動周”宣傳活動,召開政府行政執法信息共享及應用研討,探討執法信息共享內容、方式、途徑以及長效運行機制,促進政府的執法信息逐步公開透明,提高了政府的行政效能。上街設攤宣傳,普及信用知識,提高市民和企業對信用認知度,不斷營造“誠信,和諧生活”氛圍。舉辦企業信用管理及應用講座,讓企業知道如何建設信用管理制度和如何規避商業交易風險,促進商務誠信健康發展。
六、以推進信息公開為契機,切實加強執政能力建設
按照《中華人民共和國政府信息公開條例》及《市政府信息公開規定》要求,通過加強宣傳培訓,公開意識進一步提高,工作機制更加健全,公開渠道有效拓寬,受理程序明顯規范,公開內容不斷深化。
1、開展宣傳培訓,提高公開意識。組織開展《條例》和《規定》的學習宣傳,深刻理解精神實質。進一步明確公開的范圍、方式和責任,把與社會公眾生活密切相關的信息作為公開的重點。同時對照《條例》對已公開的目錄、指南和信息進行了修改補充。
2、加強組織領導,理順工作機制。按照《條例》和《規定》的要求,重新明確了分管領導,明確責任部門。區級層面由區政府辦公室負責全區政府信息公開的協調推進,各職能部門按職責分工落實相關工作。同時,明確了各政府機關的辦公室為本單位政府信息公開工作的責任部門,負責推進、落實本單位的政府信息公開工作。
3、工作機制完善,公開內容豐富。政府信息公開的工作制度、操作流程、保密審查制度、信息協調制度、內容核對更新制度,監督考核機制進一步完善,確保政府信息公開工作依法有序推進。截止年底,全區各政府機關,主動公開政府信息2698條,全文電子化率為96.4%,新增規范性文件110條,提供服務類信息1021條,提供依申請公開信息目錄1882條,網站專欄頁面的訪問量161萬人次;收到公開申請43條,答復42條。
4、加強信息技術應用,提高信息公開效率。開發《政府信息公開管理系統》,整合公開申請網上處理、公文目錄報備、公開信息外網、月度統計報表統計上報、公開信息的網絡化送交等多項功能,統一全區的網上申請與公開專欄的版面,減少工作人員的重復操作次數,有效地提高了政府信息公開工作的效率。
