企業信息安全的問題范文

時間:2023-10-09 17:30:30

導語:如何才能寫好一篇企業信息安全的問題,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公文云整理的十篇范文,供你借鑒。

企業信息安全的問題

篇1

【關鍵詞】企業信息化;信息安全問題;原因;對策

新時期下,信息化技術在各行業中運用日漸深入,給企業現代化建設與快速發展帶來了無限動力。企業信息化建設已成為我國經濟信息化建設能否成功的關鍵所在,也是提升企業自身市場競爭力與企業升級進步的重要保證和標志[1]。但是,企業信息化建設過程中不可避免的出現信息安全問題,給企業正常生產經營帶來諸多不利影響。因此,加強企業信息化建設中信息安全管理,已成為現代企業經營管理的一個至關重要的工作。

1企業信息化概述

所謂的企業信息化,指的是實現企業的資金流、物流、作業流、信息流的數字化、網絡化管理,實行企業運行的自動化和企業制度的現代化[2]。企業信息化建設涉及了企業生產經營中的各個部門,其主要利用現代化信息技術,通過完善企業內外網絡信息系統,實現對企業內外知識與信息資源的開發。可見,建設企業信息化體系,不但可以及時有效的提供各種數據信息給企業決策層,也為企業未來規劃設計提供參考依據,而且還有利于企業滿足瞬息萬變的市場需求,為企業市場核心競爭力的提升帶來動力。

2當前企業信息化建設中信息安全問題

企業信息化建設與發展為企業持續、健康、穩定發展發揮了顯著作用,但同時也存在著諸多信息安全問題,具體分析主要有以下幾方面[3]:(1)當前,絕大多數企業缺乏完善的安全防御系統,導致企業內部使用的信息系統易遭受外部網絡系統的攻擊,引發企業信息資料被他人截獲、篡改與偽造等問題,甚至企業信息系統中出現通信線路、硬盤設施以及其他文件系統遭惡意破壞現象,上述問題的發生不但致使企業信息系統無法正常運行,而且其內部機密信息易發生泄漏,造成企業嚴重的社會經濟損失。(2)針對郵件系統攻擊防不甚防。在企業信息系統中電子郵件具有重要的作用,通過電子郵件接收與傳送,極大的方便了企業內部間與外部間信息交流與溝通。然而,電子郵件安全問題也日益突出,典型的如電子郵件病毒、垃圾郵件、機密信息泄露以及電子郵件炸彈等,給企業信息傳輸帶來了巨大安全隱患。因此,電子郵件安全問題不可忽視。(3)漏洞攻擊日益嚴重。按照漏洞問題發生原因可分為軟件漏洞和協議漏洞兩種,其中軟件漏洞主要是受外部不法分子攻擊軟件自身存在的漏洞,造成企業信息泄露等問題;而協議漏洞則主要是由于TCP/IP協議自身在安全機制方面存在的諸多漏洞問題導致,外部不法人員通過攻擊TCP/IP協議漏洞,致使企業信息系統遭受破壞。目前情況,很多企業對自身信息系統缺乏成熟的漏洞檢測手段和能力,往往事發后才采取補救措施。(4)是Web服務安全問題突出,根據Web服務流程,其發生安全問題的主要組成包括Web服務端安全問題、瀏覽器客戶端安全問題兩種。其中,Web服務端安全問題主要是企業Web主機遭受外部不法分子侵入,導致企業保密信息遭竊或者企業部分信息遭受非法篡改等;瀏覽器客戶端安全問題則是企業瀏覽器客戶端遭外部非法分子侵入,致使部分機密信息與數據遭竊等。

3導致企業信息化建設中信息安全問題因素

企業信息化建設中信息安全問題發生受諸多因素影響,具體分析主要有以下幾方面[4]:(1)目前,絕大多數企業在信息化建設過程中,對于信息安全問題重視度嚴重不足。一方面,受傳統經營觀念影響,企業管理層偏重于對企業生產經營中的有形資產給予關注與重視,而忽略了企業知識與信息資料等無形資源,導致在企業信息安全管理方面各項投入嚴重不足,進而造成信息安全問題日益凸顯;另一方面,多數企業在面對信息安全問題時,存在著盲目樂觀現象,認為信息安全問題不至于導致企業正常生產經營,使得信息安全管理無法上升至企業發展規劃戰略之中,進而造成信息安全問題得不到及時有效解決。(2)由于企業信息化建設在我國尚處于起步階段,各方面配套管理制度不夠完善,特別是缺乏健全的企業信息安全管理體制。受此影響,企業信息化建設中信息安全問題一方面無法得到有效的預防措施,另一方面是一旦發生信息安全問題,無法采取及時有效的補救與解決對策。同時,由于缺乏科學、合理、有效的企業信息安全防護策略,使得企業信息管理人員缺乏必要的安全防護意識與業務素質能力,致使企業信息安全防護軟硬件工作質量與效率明顯不足。上述兩個因素,導致企業無論是從人員配置,還是資金與技術投入方面都嚴重不足,受企業信息管理人員業務素質能力不足、信息安全技術方法落后以及配套的資金缺乏等影響,企業信息安全防護的措施、手段偏低,造成企業信息化建設存在著嚴重安全隱患。

4提升企業信息化建設中信息安全對策

針對當前企業信息化建設中存在的信息安全問題,為加強企業信息安全管理,提升企業信息安全保障,可通過采取以下幾方面對策,具體有[5]:(1)轉變傳統企業信息化建設觀念,在企業內部管理層從上至下加強對企業信息安全的重視,并樹立正確的安全意識。一方面,通過組織各種信息安全管理培訓等,增強全體企業員工信息安全意識,確保企業保密信息不外漏;另一方面,逐步加大企業信息化建設中信息安全管理各項資金、技術、人力投入,并建立科學、合理、有效的企業信息安全防護策略,保障企業信息系統安全穩定。(2)不斷的推進網絡信息技術的發展與運用,促進企業組織結構網絡化的實現,同時引進先進的安全防護技術,確保企業信息化系統安全穩定運行。任何網絡信息系統都存在著或大或小的安全漏洞問題,而保證其不受外部不法分子侵入的一個關鍵方法就是安全防護技術的運用。通過選用先進的安全防護技術,可以有效的提高企業信息系統抵抗外來攻擊,避免企業信息遭受竊取、篡改甚至破壞等,對于保障企業持續、健康、穩定發展具有顯著作用。(3)結合企業信息化建設實際情況,建立健全企業內部信息系統管理體制。一方面,針對信息安全問題,應建立科學、合理、規范的信息安全管理體制,保證企業信息系統安全運行;另一方面,建立健全企業安全風險評估機制,針對不同系統找出影響其安全的因素和漏洞,并制定出最佳的對策,降低企業信息安全風險;此外,加強相應的網絡管理,防止外來不法分子通過網絡侵入企業信息系統。(4)根據新時期企業信息化建設需要,加強企業信息技術人才、信息管理人才隊伍建設,為企業信息安全管理奠定堅實的人才基礎。一方面,在企業內部,加強信息技術人才培訓,提高企業內部相關人才業務素質能力;另一方面,在企業外部,采取有效措施,積極招聘人才,引進具有先進信息技術型人才;此外,建立健全企業信息安全管理用人機制,激發員工工作積極性,提高工作質量與效率。

5小結

總而言之,企業信息安全事關企業信息化建設是否成功,對于企業持續、健康、穩定發展具有至關重要的作用。因此,應提高企業信息安全管理意識,增強企業信息安全管理機制,促進企業信息安全管理工作質量與效率,保障企業信息化建設順利開展。

作者:吳捷 單位:中海石油氣電集團有限責任公司

參考文獻

[1]毛志勇.企業信息化建設的信息安全形勢與對策研究[J].科技與產業,2008,8,(1):43~45.

[2]纂振法,徐福緣.淺析企業信息化建設的意義、問題與對策[J].吉林省經濟管理干部學院學報,2001,3:24~28.

[3]謝志宏.企業信息化建設中的信息安全問題研究[J].企業導報,2014(06):132~133.

篇2

[摘 要] 信息安全審計系統針對互聯網行為提供有效的行為審計、內容審計、行為報警、行為控制及相關審計功能。從管理層面提供互聯網的有效監督,預防、制止數據泄密。滿足用戶對互聯網行為審計備案及安全保護措施的要求,提供完整的上網記錄,便于信息追蹤、系統安全管理和風險防范。

[關鍵詞] 安全;信息系統;審計;虛擬化

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2017. 07. 028

[中圖分類號] F239.1 [文獻標識碼] A [文章編號] 1673 - 0194(2017)07- 0058- 04

1 引 言

隨著信息技術的高速發展,企業業務對于IT系統的依賴性不斷增強,信息和業務交付的靈活性與信息安全保護、防止泄露成為實際工作中的矛盾,企業IT運營既要滿足業務發展對業務交付靈活性的要求,又要防止信息泄露,因為信息安全問題關系到企業的聲譽,同時關系到企業的經營風險,更關系到國家的機密信息安全。

2 目前化工行業信息安全風險分析

2.1 化工行業信息化發展趨勢

石油化學工業是基礎性產業,在國民經濟中占有舉足輕重的地位,是我國的支柱產業部門之一,化工行業之所以重視信息化工作,首先與2015年總理提出的“互聯網+”的大發展背景密不可分,工藝流程的制定、化工裝置的運行、化工產品的銷售都高度依賴于信息化、互聯網技術;其次是從化工行業的自身特點衍生出來的,其產品數量多、種類多,產品各個環節的各個控制點特別多,這就要求用信息化技術能夠對化工生產中的各個環節產生積極和促進作用。

2.2 化工行業信息安全管理的現狀和挑戰

因為信息安全管理的要求,在網絡管理層面,石油系統內的企業已經建立了完善的內、外網隔離的管理平臺,兩個網絡完全物理隔離,不能互相訪問;石油系統內還部署了病毒防御、主動攻擊防御系統(Symantec Endpoint Protection),保密安全,漏洞防護等一系列安全防護系統,看似已經建立了一個信息非常安全、固若金湯的基礎架構。但在實際業務發展中,仍然存在一些隱患,不容忽視,面臨挑戰。

一方面企業的業務已經非常依賴信息系統,因為業務發展需要急需把內網系統交付到外網去,即人員在出差過程中能處理內網的業務。現有的內外網隔離架構,只有特權用戶能夠進行辦公,為新的用戶授權又需要經過一系列嚴格的程序,交付周期相對較長,因此不具備實現業務交付的靈活性。

另一方面,即使建立了內外網隔離的架構,也不能從根本阻止信息泄露,而且對于信息泄露事件也不能做到追本溯源,以避免類似事件發生。據全球權威的調查機構報告顯示客戶發生的信息泄露75%來自系統內部網絡,而且超過50%的信息泄露沒有找到信息泄露的源頭。外網通過入侵,只能獲得企業非關鍵信息;而對內網進行的各種違規操作,才是最致命的,給企業帶來巨大的經營風險。所以即使進行了完全隔離,也不能杜絕信息泄露,內部網絡的信息泄露主要來自于以下三個方面(見圖1):

(1)由外包服務公司員工引起信息泄露。伴隨著IT系統越來越復雜,客戶本身很難成為各種應用系統、各種管理系統的專家,往往采用服務外包方式進行管理,現實的問題在于,由于沒有一套完善的監控、審計機制,外包服務公司人員究竟在管理平臺上修改了什么,平臺上的數據被是否被保存到了IT服務外包人員本地電腦上并被泄漏出去,是否有危及系統安全和數據保密的操作都不得而知,出現人為操作故障后,追溯問題根源存在爭執,追究責任困難,這就成為了信息泄露的最大漏洞。

(2)由內部IT人員引起信息泄露。在IT系統管理過程中,IT管理人員通常有非常大的權限,如何管理和評估這些人員在日常工作中是否有超過權限的操作,怎么清晰地知道哪個IT人員什么時間做過什么操作,都是擺在企業面前的現實問題。

(3)由內部業務人員引起信息泄露。業務人員因為直接掌握了企業財務、設備、銷售、物料、物流等各個方面的數據,也是信息泄露的關鍵因素之一。

3 建設審計系統的意義

由于企業信息安全管理存在外包服務公司員工引起信息泄露、炔IT人員引起信息泄露、內部業務人員引起信息泄露的情況,因此圍繞業務系統需要建立可控的、有序的安全架構,以防止和杜絕任何企業數據泄漏的隱患,通過使用信息內容審計系統能夠在已建立起的網絡安全平臺上再增加一道安全防護屏障,從而實現真正完善的信息安全防護體系,這對企業的信息化發展具有重要意義,使用信息內容審計系統的具體價值體現在以下幾點:

(1)審計敏感信息接觸者,如IT管理員、業務人員、外包公司員工,他們都需要通過審計管控平臺,才能獲得信息系統的訪問、管理權限,獲得其需要的應用和數據,如此便可實現從源頭上防范信息數據的泄露。

(2)IT管理員、業務人員、外包公司員工的所有操作行為可以通過回放錄像的方式進行檢索,從而捕捉到關鍵行為、操作,對于出現的信息泄露等重大問題,責任范圍可追溯,做到有依可循、有據可查。

(3)對于系統故障,誤刪除等操作造成的數據丟失可以通過操作行為錄像回放,找出故障原因,找回丟失的重要數據,從而保證企業的財產不受損失,保證企業的名譽不受損失。

4 審計的方法、特點

審計系統綜合了核心系統運維和安全審計管控兩大主干功能,從技術實現上講,通過切斷終端計算機對網絡和服務器資源的直接訪問,而采用協議的方式,接管了終端計算機對網絡和服務器的訪問。目前普遍采用的審計方式有兩種,一種采用一體堡壘機的方法,一種采用服務器、審計軟件兩層架構的方法。

4.1 一體堡壘機功能

(1)單點登錄功能:支持對Windows、LINUX、UNIX、數據庫、網絡設備、安全設備等一系列授權賬號進行密碼的自動化周期更改,簡化密碼管理,讓使用者無需記憶眾多系統密碼,即可實現自動登錄目標設備,便捷安全。

(2)統一的賬號管理:能夠對所有服務器、網絡設備、安全設備等賬號進行集中管理,化繁為簡,實現對維護管理員的統一審核。

(3)資源授權:設備提供基于用戶、目標設備、時間、協議類型IP、行為等要素實現細粒度的操作授權,最大限度保護用戶資源的安全。

(4)訪問控制:設備支持對不同用戶進行不同策略的制定,細粒度的訪問控制能夠最大限度的保護用戶資源的安全,嚴防非法、越權訪問事件的發生。

(5)操作審計:能夠對字符、圖形、文件傳輸、數據庫等全程操作行為審計;通過設備錄像方式實時監控運維人員對操作系統、安全設備、網絡設備、數據庫等進行的各種操作,對違規行為進行事中控制。對終端指令信息能夠進行精確搜索,進行錄像精確定位。

4.2 審計軟件功能

新一代的審計軟件克服了傳統堡壘機的很多不足,如專用硬件不易維修、升級困難、不能實現應用和數據管控、不能對圖像操作進行檢索等,在繼承了傳統堡壘機的基礎上又具備以下優點:

(1)應用管控。實現獨立管控,不同人員獲得使用不同應用程序的權限。

(2)數據管控。無論局域網操作者還是廣域網遠程操作者,在審計環境下可以看到數據,使用數據,但無法下載數據。

(3)高安全性。以客戶端/服務器方式運行,將用戶行為變為可視、可跟蹤、可鑒定,保護重要數據的安全。

(4)集中審計,審計無盲點。實現集中審計、集中訪問控制,對于企業重要系統和數據的管理,有非常重要的價值;

(5)準確追溯歷史。在服務器上部署審計軟件的科學方式能夠將來訪人員的行為完整的記錄,并保存在服務器上,審計人員能夠按照其想調查的時間點、調查的操作人、調查的內容進行選擇,通過清晰的視頻回放準確的定位操作行為。

(6)行為分析報表。能夠提供準確、詳細的審計報表,直觀的展現歷史過程。

此外,新一代的審計軟件還具備更為可靠、先進的核心業務非法訪問監測、惡意程序篡改進程、關鍵數據的訪問監測、多維度的行為分析和查詢、云終端用戶操作等行為審計等功能。

5 審計系統的建設

鑒于石油化工系統的信息安全、數據保密的重要性,在設計企業信息安全防護系統時要充分考慮到架構是否能夠有效的起到安全防護作用、規范作用,是否能夠為企業運營節省成本、提升企業運營效率等因素,因此在設計架構時要打破傳統安全防護的壁壘,在創新發展與嚴密管控之間找到平衡點,充分發揮出架構的優勢。

5.1 架構組成

架構由三個部分組成,分別是客戶部分、集中訪問控制部分、信息系統部分(見圖2)。

(1)客戶部分,包括IT管理人員、IT運維人員、IT外包人員、審計人員等。

(2)集中訪問控制部分,這里是審計系統的核心控制區,包括行為審計應用產品、審計數據存儲產品、訪問控制程序區(SSH、Putty、SecureCRT、遠程桌面等)。

(3)信息系統部分,包含企業的各個生產、銷售、物料等信息系統。

5.2 架構設計

方案采用應用虛擬化技術+智能審計解決方案,采用行業中技術領先的CitrixXenapp+AuditSys審計產品,構建一個安全的集中訪問平臺,將用戶與信息系統分隔開。

首先建立XenApp平臺,將遠程服務器和客戶機上的應用程序部署到XenApp平臺上,客戶端設備只需通過IE就可以運行應用系統,多用戶同時訪問時,由XenApp管理應用客戶端軟件的多進程訪問,并控制向不同用戶的權限,服務器與客戶端之間的數據傳輸只是屏幕變化和鼠標鍵盤的指令信息,而不傳輸任何實際操作數據,真實的數據傳輸發生在XenApp平臺與信息系統部分之間,從安全性角度分析,這種安全性接近于物理環境隔離。

然后在XenApp平臺上部署AuditSys產品,實現審計任何通過Xenapp平臺訪問的用戶會話,也可以審計任何通過遠程桌面、終端服務、PCANYWHERE等遠程協議訪問過來的會話,也可以審計通過KVM或者通過本地登的用戶會話,通過與Citrix XenApp的無縫集成,不僅可以構建一個安全的遠程集中訪問平臺,還可以對所有的用戶會話,管理員維護操作等用戶行為進行審計。

所有的行為審計過程需要完整的記錄并保存,這里部署了Auditsys App Server,保存了Auditsys記錄的完整的行為過程,為檢查人員、審核人員的安全檢查提供可靠依據。

5.3 架構優勢

XenApp集中化方法將所有應用程序和數據存儲都集中在數據中心服務器上,并把數據的管理嚴格控制在數據中心。

該方法從安全角度和先進角度出發,在安全防護方面做到了數據的不可復制,在該架構下,只有用戶界面、鍵盤敲擊和鼠標操作等小量交互信息通過網絡傳輸,且都是經過加密處理的。

XenApp上的應用程序需要上層管理者授權才能使用,保證了應用的管控和規范使用。

客戶部分使用計算機在完成數據操作時,只能夠看到所使用的數據,真正的數據依然存放在集中訪問控制部分和信息系統中,充分做到了數據的安全防護。

AuditSys具備功能強大的數據搜索引擎,支持細化的組合查詢、多條件選擇查詢,幫助用戶快速完成記錄搜索。

6 總 結

信息化是企業工業生產的重要驅動力,是企業可持續發展的重要因素,互聯網+工業是未來工業發展的方向,且工業信息化發展的前提又是信息安全,因此,企業信息安全防護系統做的好不好,企業信息安全管理規范,直接作用于企業的工業信息化發展,進而影響企業的發展動力、產品創新、技術產品等多個方面。而信息安全體系中,人員的管控的是最復雜、最困難的,信息工作中,能否通過有效的安全系統及時有效的發現、制止信息泄密事件,做到未雨綢繆;能否在發生泄密事件后,準確的查出泄密原因,找出泄密人員,亡羊補牢,這尤其需要企業在信息安全工作中重點考慮,以保證企業的信息安全防護系統堅固、夯實,以保證企業的信息化發展健康、穩步。

主要參考文獻

[1]鄧小榕,陳龍.安全審計數據的綜合審計分析方法[J].重慶郵電學院學報:自然科學版,2005(5).

[2]許霆,袁萌,史美林.網絡監控審計系統的設計與實現[J].計算機工程與應用,2002(18).

[3]鄧瑛,常國岑.網絡安全監控與審計系統的設計與實現[J],計算機工程,2002(12).

[4]張俊良.基于信息過濾的網絡安全審計系統的研究與實現[D].西安:西北大學,2009.

[5]曹暉,王青青.新型數據庫安全審計系統[J].計算機工程與應用,2007,43(5):163-165.

[6]王淵,馬駿.一種基于入侵檢測的數據庫安全審計[J].計算機仿真,2007,24(2):33-36.

[7]高彩容.基于數據挖掘的網絡安全審計技術研究[D].西安:西安電子科技大學,2008.

[8]韋猛,程克非.基于主機信息內容審計系統的設計與實現[J].重慶郵電大學學報,2008,20(6):725-728.

[9]范紅,邵華.應用系統安全審計檢測研究[J].信息網絡安全,2012(8):170-172.

篇3

關鍵詞:企業信息化 網絡安全 安全分析

中圖分類號:F270.7 文獻標識碼:A 文章編號:1672-3791(2016)03(b)-0024-02

隨著網絡信息化時代的到來,互聯網的快速發展,如今網絡化已經成為企業信息化發展過程中的重要推動力量,網絡信息化使得全球兩百多個國家的信息資源可以得到最大程度上的共享。對于中小企業而言,企業信息化的發展是必經之路。但是凡事都有兩面性,都不可能一直順風順水,這一進程必將遭受大大小小的挫折和考驗;隨著企業信息化的高速發展,企業信息化網絡安全問題也漸漸變得突出,網絡安全問題已經成為阻礙企業發展難以逾越的一條鴻溝。

1 企業信息化與網絡安全

1.1 企業信息化概述

企業信息化即企業建設一個良好的資源平臺,收集各種各樣的信息,建立一個網絡數據庫。在一定程度上利用計算機互聯網技術,控制企業的經濟發展,將企業收集到的信息高度集成化,以此達到企業實現資源共享的目的。其種種行為,都是為了提高企業的經濟效益,提高企業市場競爭力。為了達到之一目的,這就意味著要對企業的管理流程進行變革和優化、管理理念的創新和改善、管理團隊的重組以及管理手段進行創新。

1.2 網絡安全概述

網絡安全的通用定義:就是在網絡運行過程中,網絡系統的硬件和軟件系統都可以得到很好的保護,不會因為偶然間的原因而遭到惡意的破壞和泄漏,系統的連續十分可靠,在正常情況下都可以穩定運行,網絡服務器不會因為其他原因而中途中斷。在如今的信息時代下,網絡安全問題層出不窮,在目前的公共通信網絡存在著千奇百種的安全漏洞和威脅。

從企業和單位個人的角度來看,這一群體希望自己的個人隱私和商戶利益在進行網絡傳輸時受到保護。要求這種保護真實完整,保密系數高,可以做到避免不法分子的竊取和侵犯。保證用戶的利益和隱私不受到損害和侵犯。同時這一群體也希望主機上的個人信息不受到其他用戶的干擾和破壞。從網絡運行管理者的角度來看,這一群體希望對本地網絡信息的安全做出有力的保證。保證用戶的個人信息、商業機密、生活隱私不受到侵犯和威脅。避免出現病毒的傳染、網絡資源的非法占用、非法存取、拒絕服務,對黑客的網絡攻擊進行制止和防御。

1.3 網絡安全的基本特征

保密性:保密性指的是不將用戶的個人隱私、商業機密、生活隱私等信息向外界透露,不泄密給非授權的個人,法律規定的除外。

可控制性:簡言之,可控制性就是指對企業信息的傳播方式,傳播途徑都可以很好的掌握,必要時,可以及時控制企業信息的發出。可以在授權范圍內對文件的流向以及方式進行控制。

可用性:可用性是指保證用戶在合法的情況下,可以及時訪問到所需要的信息資源。具體是指:可用性合法用戶訪問信息并能夠按要求順序使用信息的特性。

2 網絡安全問題分析

2.1 內部因素

企業在安全意識方面注意度不夠。即使目前已經有了相當大一部分企業加快了企業內部信息化建設的步伐,但是企業管理者往往看到的只是企業信息化帶來的經濟效益和社會效益。卻忽略了信息化建設發展中存在的一些問題,對信息化的建設發展沒有引起高度重視。

管理者在管理制度上存在一定的缺陷,存在著管理制度不夠完善的情況。由于管理制度的整體缺失,加上管理者可能出現操作上的疏忽,這在一定程度上就給了黑客和不法分子趁虛而入的機會,從而造成企業信息被竊取,導致企業蒙受不必要的損失。

國內軟件制作技術相對落后,軟件安全得不到高度保障。自信息化時代以來,尤其是近幾年軟件技術發展十分迅速。即便如此,但是我國在軟件制作技術發面和發達國家在軟件制作技術方面還是存在著一定差距。

在企業信息化管理人員方面,尤其是具備這方面的高素質管理人才,我國還很缺乏。在企業信息化安全策略制定的前期,日常安全系統的維護及日后安全系統的升級,都需要這方面的高素質人才進行操作。由此可見,企業高素質管理人才的缺乏將直接影響到企業的信息化建設。其次,我國的相關法律法規及制度還不夠完善。法規的不夠具體和空白現象,必然直接影響到信息化的建設,阻礙企業未來的發展效益。

2.2 外部因素

企業在信息化建設過程中受到的影響有很大一部分來自外部因素。隨著社會經濟的發展,加上市場經濟的推動,在市場競爭中,信息的準確性已經顯得十分重要。有很大一部分不法分子靠竊取商業機密來牟利,想盡一切辦法和手段來竊取企業信息達到目的。與此同時,還存在著競爭對手用不良手段竊取其他企業商業秘密,獲得經濟利益。目前黑客可以通過傳播病毒和攻擊用戶防護系統等手段入侵企業的信息化網絡,攻擊企業信息系統。

3 信息化網絡安全問題的研究對策

加強對網絡安全的保護,在對建設企業信息化的問題上,起到了至關重要的作用。不僅為企業提供了一個良好的網絡安全環境,還為企業信息化工作提供了一個很好的網絡信息傳輸平臺。下面是一些加強對網絡安全的保護對策。

3.1 數據加密技術

數據加密可以用來提高信息系統的安全性,對用戶數據的保密性也有著十分明顯的作用。數據加密手段對保護數據外泄有著非常好的效果。數據加密具體通過對數據的傳輸、數據的存儲、數據的完整性這幾個方面來加強對企業數據的防護,以此來提高企業整體上的安全系數,達到保障企業信息化建設順利進行目的。

3.2 主機安全技術

主機安全技術主要控制系統用戶能否進入系統和進入系統后可以訪問哪些資源。這對保護用戶的安全可以起到一定的防范作用。同時他還具備操作系統安全,數據庫安全,應用軟件程序安全等方面的應用。

3.3 樹立安全意識

企業在信息化發展進程中,必須要意識到企業發展環境的重要性,如果企業的發展過程中沒有一個良好的網絡環境。那么在企業的發展過程中,企業的商業機密和部分信息資源就很有可能被泄露。那么對于企業而言,這種打擊無疑是毀滅性的,很可能導致企業經濟效益下降。因此樹立良好的安全意識不僅可以讓競爭對手找不到下手的機會,打消其作案念頭和使得其不具備作案條件。與此同時,還可以為企業的后續發展打下良好的基礎。

3.4 選擇安全性能高的防護軟件

世界上的任何一款軟件都可以被破解,沒有絕對破解不了的信息化軟件。但是要明白的是,一些好的信息化軟件比起那些次的信息化軟件,其性能方面是不可比擬的。無論是在操作性能上還是在破解難度上,高性能的防護軟件,都有著其獨特的性能優勢。

3.5 要時刻加強對企業內部信息化的系統管理

為了加強企業的信息化管理,可以采用一些必要的技術手段。例如:采取數據加密技術、防火墻技術和訪問控制技術。當然,加強對企業的安全意識,對企業信息化管理也有著一定程度上的幫助。只有加強對企業的信息化管理,才能為企業的系統安全打下良好的基礎。

4 結語

企業在信息化建設過程中,遇到的網絡問題涉及面非常廣,我國企業信息網絡安全技術的研究仍處于起步階段,對一些網絡安全方面遇到的問題,需要人們去深入研究和進一步的探索,實時保障企業信息化網絡的安全,對企業經濟的快速發展起著重要作用。

參考文獻

[1] 何曉晗.企業信息化建設中的安全分析[J].科技信息,2008(26):67-68.

篇4

電子商務已經成為人們進行商務活動新的、充滿活力的模式。根據賽迪網的統計,2005年全國的電子商務交易額達到7000億元,預計2007年將突破萬億元大關。這種嶄新的商務交易模式要求企業的各部門全面網絡化,而不僅僅是銷售機構,這之中的重中之重就是會計部門財務機構的網絡化,即網絡財務。所謂“網絡財務”是指基于Internet/Intranet技術,以財務管理為核心,業務管理與財務管理一體化,支持電子商務,能夠實現各種遠程控制(如遠程記賬、遠程報表、遠程查賬、遠程審計、遠程監控等)和動態會計核算與在線財務管理,能夠處理電子單據和進行電子貨幣結算的一種全新的財務管理模式。網絡財務是企業信息化環境下的會計信息系統,是電子商務的重要組成部分。

一、會計信息化系統與會計電算化系統的比較

會計信息化系統與會計電算化系統相比,無論從技術上還是內容上來講都是一次質的飛躍,其意義不亞于從手工會計系統到會計電算化系統的飛躍。二者在基本特征上是有很大區別的。

從基本的技術支撐以及行為特征上看,會計電算化系統是財會部門邊界范圍內的獨立信息系統;是基于局域網的信息系統;是模擬人工業務內容和流程的系統;是事后核算型系統;是與業務處理分割的系統;是與管理控制分割的系統;它無法實現與企業內其他系統的數據共享。而相應地,會計信息化系統是企業邊界范圍內的非獨立信息系統;是基于互聯網的信息系統;是業務流程重組以后的系統;是實時數據處理的系統;是與業務協同處理的系統;是實時管理控制的系統;是信息高度集成和共享的系統。以上的差異導致在具體操作手段上對會計信息化系統出現了不同于會計電算化系統的要求,而安全問題是網絡財務發展的瓶頸,關系到財務網絡化的建立與發展,是應優先提出并解決的問題。

二.會計信息化系統面臨的安全隱患與對策

1.安全隱患

在電子商務這種新的經濟模式下,財務系統的安全受到了以前所沒有碰到過的挑戰,產生了不同于以往的安全隱患,比如各種數據與財務報表是以電子的形式存在,并且這些本已脆弱的電子數據還要在私有的甚至是公共網絡上傳遞,這樣使得在整個財務流程中產生出了很多新的漏洞。這些有別于傳統會計電算化系統的安全隱患歸根結底是由網絡的不安全所導致的。

Internet的無限性和技術的開放性,為實現工作場地虛擬化,資料記錄無紙化,數據傳遞遠程化,信息交流數字化提供了廣闊的空間,在當今時代已經顯現出無比的優越性,但也使一些不法分子常常有機可乘,從而使用戶有價值的企業信息、關鍵性的商業應用以及公司客戶的各類私人保密信息暴露。惡意的襲擊會侵入網絡財務站點,進行各種可能的破壞,如制造和傳播破壞性病毒或讓服務器拒絕服務等。這些攻擊可導致公眾信心的喪失,網絡財務實施的瓦解。目前網絡上已經存在的釣魚攻擊以及經過特別編制的木馬病毒,都可以使用戶的信用卡帳號與密碼泄露。當前我國擁有網上銀行用戶以千萬計,每年在網上流通的資金數以千億計,如若各種攻擊可輕易得手,后果將不堪設想。美國有關機構曾做過測試,沒有任何安全保護措施的計算機在Internet上的“存活時間”已經從2003年平均近1小時下降到了2005年的不足20分鐘。如此脆弱的網絡確實讓人擔憂,而以這樣的互聯網為平臺的網絡財務更讓人擔憂。

2.解決對策

網絡財務的信息安全問題是困擾網絡財務發展的核心問題。要應對種種的安全隱患,首先,要做的就是強化網絡安全防范意識。從宏觀上強化網絡安全防范意識,實行網絡會計信息安全預警報告制度。網絡財務的運行平臺是Internet,而且大多數服務器和客戶端都以Microsoft?Windows系統作為操作系統,而計算機病毒或黑客軟件等破壞程序多數是利用操作系統或應用軟件的安全漏洞傳播,這為實行預警報告制度提供了非常有利的條件。因此,財務主管部門應盡快建立一套完善的網絡財務信息安全預警報告制度,依托國家反計算機入侵和防病毒研究中心及各大殺毒軟件公司雄厚的實力,及時網絡財務信息安全問題及計算機病毒疫情,從而切實有效地防范網絡財務信息安全事件。另外,要增強用戶的網絡安全意識,切實做好網絡財務信息安全防范工作。要針對用戶安全意識薄弱,對網絡安全重視不夠,安全措施不落實的現狀,開展多層次、多方位的信息網絡安全宣傳和培訓,真正提高用戶的網絡安全意識和防范能力。

篇5

 

隨著社會經濟的不斷發展,網絡時代逐漸進入人們的生活,計算機被運用在了各個領域中,成為促進社會發展的重要媒介。而與此同時,企業信息安全問題也逐漸凸顯出來,嚴重阻礙了企業的可持續發展,因此,在網絡時代背景下研究企業安全風險和控制具有重要意義。

 

1 企業信息安全相關概述

 

1.1 信息安全的含義

 

迄今為止,對信息安全依然沒有一個統一和公認的定義。但是從國內外研究來看,對其主要存在2種說法:一種指的是具體信息安全技術系統的安全;而另一種則指的是某些特定的信息體系的安全。上述2種定義主要站在靜態的角度上闡述了信息安全的基本層面,但是信息系統和網絡的影響決定了信息安全是一個動態的改變,其主要是防止企業信息遭到惡意泄露、破壞、更改[1]。信息安全的最終目的是向合法的對象提供安全、可靠的信息。

 

1.2 信息安全在企業中發揮的重要作用

 

企業信息作為企業的寶貴資源,保證企業信息的安全性對企業的生存和發展具有重要作用,主要體現在以下3個方面:一是企業信息安全是保障企業正常運行的基本前提。在網絡時代背景下,企業信息安全的內容更廣泛,再加上現代企業制度的不斷建立和完善,越來越多的企業依靠信息數據庫開展各項工作,例如:對于市場情況的分析、做出重大決策等等。二是保障企業信息安全是提高企業市場競爭力的必備條件。隨著市場經濟的不斷完善,企業面臨的競爭也越來越激烈,在這種形勢下,企業要想獲取市場競爭優勢就需要依靠信息安全來實現。三是企業信息安全作為企業發展戰略中重要的組成部分,而企業實施各項戰略主要是通過自身的經營活動、財務信息等開展的,這些數據也能夠將企業的戰略實施方法以及下一步計劃詳細地反應出來,因此,如果企業的信息安全無法得到保障,那么企業要實施各項戰略難度也很大。

 

2 網絡時代下企業信息安全風險分析

 

2.1 缺乏高度的信息安全風險意識

 

在網絡時代的浪潮下,很多企業都在逐步加強自身信息安全的建設,通過加大資金投入、創新技術等措施來保障自身的信息安全,然而,對信息風險的控制并非僅僅依靠技術就可以實現,更重要的是人們要樹立起信息安全的風險意識。但是從當前來看,還有很大一部分企業的領導者、管理者、員工缺乏對信息安全風險的高度重視,主要表現在:個別人甚至片面地認為信息安全僅僅是網絡部門的責任,跟自身沒有多大關系;二是有個別企業領導者認為對信息安全的宣傳過度夸張,遭受網絡攻擊的概率小,一般不會發生在自己身上;三是個別企業沒有建立信息安全風險管理體系,再加上企業缺乏具體的故障系統,導致企業信息安全遭到風險時,員工往往手足無措,雖說有些企業針對自身的信息安全制定了一系列規章和制度,但是由于缺乏針對性和操作性,導致這些制度無法得到真正落實。

 

2.2 應用系統的安全性不高

 

企業要實現信息化建設的目的,少不了各種應用系統作支撐,但是從實際情況來看,很多企業還存在著應用系統的安全性不高等問題,進而導致企業在數據傳輸和存儲等方面存在漏洞。如此容易被一些病毒、惡意軟件竊取,實現非法訪問,進而引發企業信息丟失或者泄露等安全風險。另外,很多企業應用系統的安全方模式也較為單一,絕大部分主要是采用“口令”的方式進行認證,無法實現對信息安全全方位的防范。另外,企業設置的密碼過于簡單、操作不規范等等都會增加應用系統安全的風險。

 

2.3 技術設備和設施的作用發揮不足

 

個別企業為了防范信息安全風險,針對一些重要信息設置了安全設備,但是由于操作條件和參數設施不夠合理,無法將這些設備的作用充分發揮出來。還有很多企業沒有通過建立工作日志來對安全設備、設施的運行情況進行監控,進而不能根據企業的經營情況對信息安全進行風險控制,更無法采取有效措施保障企業風險管理。

 

3 網絡時代下控制企業信息安全風險途徑分析

 

3.1 加強信息安全教育,提高信息安全風險意識

 

由于在企業信息安全控制中,提高員工的信息安全意識是保證企業信息安全的決定性因素,因此,企業應該加強對員工的信息安全教育,幫助員工樹立起信息安全風險意識,例如:企業可以利用一些重大節日開展關于信息安全的演講比賽、征文比賽,也可以通過建立適當的激勵制度以及開展培訓活動等途徑來加強員工對信息安全重要性的認識,進而提高自身的信息安全風險防范意識和觀念。

 

3.2 加強信息化建設,設置信息安全管理部門

 

在企業信息化建設中,信息安全作為重要的基礎,企業要強化自身的內部控制,就應該落實信息安全的建設工作。加強信息化建設首先需要企業將信息安全納入安全管理范圍內,進而突出信息安全建設管理的重要地位;然后不斷健全信息安全的責任制度,爭取形成信息安全聯動管理機制,確保信息安全管理的有效性;最后,在企業中設置信息安全管理機構,該部分的主要職能為企業信息安全建設、管理以及員工的信息安全教育培訓工作等,從而為企業的信息安全風險控制創建一個良好的內部環境[2]。

 

3.3 運用新技術,加強信息安全風險防范

 

當前控制信息安全風險常見的主要有VPN技術和防火墻技術:(1)VPN技術。VPN主要指的是在公共網絡的虛擬專用網絡中建立一個臨時的安全鏈接,在通常情況下,對VPN內部進行擴展可以實現遠程操作,建立一條分公司、商業合作商和供應商跟公司內部網絡安全聯系,從而確保信息交換的安全性,保證數據傳輸的安全性。(2)防火墻技術。防火墻也被稱為訪問控制系統,主要是通過對網絡做拓撲結構和服務類型上的隔離來保障網絡安全。運用防火墻技術可以保證企業的內部網絡免受外部網絡的侵占,并阻斷非法訪問的外部網絡進入企業內部網絡,保證企業信息和資源的安全。

 

4 結 語

 

總之,網絡時代的產生為企業發展創造了新的模式和發展契機,但與此同時,企業的信息安全也面臨著很大的威脅,在很大程度上制約了企業的可持續發展。要實現對企業信息安全風險的控制,首先應該找準企業信息安全的風險點,然后采取對應措施,如:加強信息安全教育、加強信息化建設、運用新技術等幾個方面來控制信息安全風險。

 

作者:袁亮 來源:中國管理信息化 2015年17期

篇6

【關鍵詞】電力企業信息安全管理;組織管理;失誤因素

1 電力企業信息安全管理中組織管理失誤的分析方法

電力企業信息安全管理中的組織管理失誤分析法(英文:Cognitive Relia-bility andErrorAnalysisMethod,即CREAM),是可靠性分析法的典型代表,具有追溯分析功能。通過CREAM的應用,可以將失誤事件的外在表現形式稱為失效模式,并且將引起這些失誤事件的直接原因定義為前因。實踐中,前因可分為具體的前因、一般性前因,CREAM分析法是以失效模式作為出發點。首先,通過分析失效模式的一般前因、具體前因,得到失效模式前因表,在表中選定一個前因作為后果,然后分析引起這一后果的可能前因,最終得到包含這一后果、可能的前因追溯表;再以該可能前因為后果,分析可能的前因,通過連續不斷的尋找,最終找到引起事件失誤的根本原因。

2 在電力電力企業信息組織管理過程中,開展多項管控措施、分三步走

第一步,從思想上加強重視。實踐中,應當認真學習貫徹違規外聯、外網郵箱發送的要求,嚴格按照“業務工作誰主管,保密工作誰負責”以及“統一領導、分級負責”的原則,將信息安全保密職責有效地落實到人,讓每個員工熟悉、掌握保密工作的基本要求和規范。

第二步,深入檢查,全面整改。實踐中,應當嚴格按照檢查內容檢查,一定不能留死角、搞形式。在檢查中發現的問題,要立即糾正,認真整改,對存在嚴重問題的單位要監督整改,并組織復查;發生泄密、違規問題時,一定要嚴肅查處,必要時還要追究責任人的責任。

第三步,嚴格管理,務求實效。要進一步落實保密工作責任制,堅持標本兼治、系統治理,把檢查活動與日常保密工作安排結合起來,邊檢查邊整改,以查促管、以查促改、以查促教、以查促防,確保檢查取得實效。

3 電力企業信息系統安全管理的必要性

電力企業信息系統安全管理,是企業在一定范圍內建立起來的信息安全目標和方針,并通過努力完成目標。對于電力企業信息安全管理而言,可表示為方法、目的、基本原則和實施過程等要素集合,作為直接的信息安全管理結果。2014年8月,某技術質管部專責高某通過電子郵箱將創新成果--《電力設計企業基于桌面云技術的信息》以附件形式經壓縮、更名后在沒有經過加密的情況下,發送到某部門專家評審組;由于附件內容出現“保密”等敏感詞,該郵件被公司外網郵件攔截系統攔截。經現場查實,郵件均不涉商業秘密,但違反了“工作郵件只限于公司內網郵箱發送”規定。由此可見,電力企業信息系統安全管理工作非常重要,也非常有必要。通常情況下,電力企業信息安全管理工作主要包括制定信息安全管理的策略,合理、科學的對電力企業信息安全工作進行組織管理,具有非常重要的作用。電力企業應當提高全體員工的信息安全意識,加強電力電力企業信息內外網安全管理。第一,內、外網電腦都必須安裝三種軟件,即北信源、天以及趨勢殺毒。軟件有內、外網版本之別,而且客戶端也不同;第二,遵守專機、專網之規定,內網電腦不能與外網相連接,外網電腦不能連接內網,家用電腦不能接入內網使用,尤其是來歷不明、使用背景不明的電腦,一律禁止接入內網系統。

4 電力企業信息安全管理中組織管理常見失誤

近年來,隨著市場經濟體制改革的不斷深化,雖然電力企業信息安全管理水平有了很大程度的提升,但電力企業信息安全管理過程中依然存在著一些問題與不足,總結之,主要表現在以下幾個方面:

第一,信息安全措施和技術手段不成熟。對于大多數企業而言,在信息系統建設過程中欠缺完善的安全手段和措施,嚴重影響了安全措施的制定與執行。

第二,電力企業信息安全風險控制不到位。實踐中可以看到,很多企業在信息化規劃與建設過程中,對信息安全的前期分析比較欠缺,將分析對象主要集中在技術層面研究上,很難有效解決企業安全信息系統操作失誤、缺陷與不足等安全問題。

第三,信息安全意識不強,缺乏有效的安全管理機制。對于部分企業領導層而言,對信息安全的重視不夠,對潛在的各種風險和安全隱患問題分析不到位。

5 電力企業信息安全管理體現構建的有效策略

基于以上對當前企業安全管理中的問題分析,筆者認為要想減少和控制電力企業信息安全管理中組織管理失誤現象, 應當根據企業實際生產運營狀況,以IS027001信息安全管理體系標準為基礎,從組織、技術、管理以及運行和監督這等方面入手,對現有的信息安全管理架構進行改進和完善,增加運行、監督環節。

5.1 提高對電力企業信息安全的認知度

針對企業員工對信息安全知識掌握不足的現狀和問題,通過宣傳、教育和培訓等方法,提高企業全體員工對信息安全的認知度。首先,加強信息安全宣傳教育。電力企業信息安全宣傳的目的在于讓全體員工清楚地認識到信息安全管理工作的重要性,了解信息安全管理目標,以此來提高企業員工的信息安全管理意識。

5.2 建立健全信息安全審計機制

內部審計是對電力企業信息安全管理體系建設與實施情況的評價,定期組織審計活動,以此來促進安全管理體系的改進與完善。企業的信息安全政策、規范制度是信息安全管理工作得以有效開展的重要依據,因此審計工作的主要內容是檢驗信息安全標準的符合性、執行情況。在審計過程中,主要包括如下內容,即檢驗是否按照要求制定規章制度、執行細則;檢驗員工對的規章制度執行狀況,對審計結果的整改落實情況進行核查;同時,還要對信息安全控制措施的應用效果進行全面檢查,確保評估的有效性。

5.3 建立和完善信息安全風險管理制度

信息安全風險,即威脅利用系統弱點對相關信息資產造成破壞、損失的可能性,信息系統安全與否,主要取決于其風險是否己在現有措施條件下實現了最小化,而非絕對沒有風險。

篇7

【 關鍵詞 】 信息安全;安全治理;框架;風險管理

1 引言

隨著企業的信息化建設,企業信息系統在縱、橫向的耦合程度日益加深,系統間的聯系也日益緊密,因此企業的信息安全影響著企業信息系統的安全、持續、可靠和穩定運行。此外,美國明尼蘇達大學Bush-Kugel的研究報告指出企業在沒有信息資料可用的情況下,金融業至多只能運作2天,商業則為3天,工業則為5天。而從經濟情況來看,25%的企業由于數據損毀可能隨即破產,40%會在兩年內破產,而僅有7%不到的企業在5年后繼續存活。伴隨著監管機構對信息安全日趨嚴格的要求,企業對信息安全的關注逐漸提高,并對信息安全投入的資源不斷增加,從而使得信息安全越來越為公司高級管理層所關注。

2 信息安全問題

目前企業信息安全問題主要包括幾個方面。

(1)信息質量底下:無用信息、有害信息或劣質信息滲透到企業信息資源中, 對信息資源的收集、開發和利用造成干擾。

(2)信息泄漏:網絡信息泄漏和操作泄漏是目前企業普遍存在的信息安全困擾。網絡信息泄漏是信息在獲取、存儲、使用或傳播的時候被其他人非法取得的過程。而操作泄漏則是由于不正當操作或者未經授權的訪問、蓄意攻擊等行為,從而使企業信息泄漏。

(3)信息破壞:指內部員工或者外部人員制造和傳播惡意程序, 破壞計算機內所存儲的信息和程序, 甚至破壞計算機硬件。

(4)信息侵權:指對信息產權的侵犯。現代信息技術的發展和應用, 導致了信息載體的變化、信息內容的擴展、信息傳遞方式的增加, 一方面實現了信息的全球共享, 但同時也帶來了知識產權難以解決的糾紛。

3 信息安全治理的困惑

基于信息安全的重要性,企業在信息安全治理方面投入了諸多資源,但是在信息安全治理成效方面仍不盡如人意,主要問題在于幾個方面。

(1)信息安全治理的范圍不明確:目前企業都在盡力實現良好的信息安全治理,但是由于無法正確理解信息安全治理和信息安全管理的區別,導致了信息安全治理無法與企業的安全規劃和企業戰略形成一致性。表1從工作內容、執行主體和技術深度三個層面分析了兩者的區別。

從表1中可以明確:信息安全治理是為組織機構的信息安全定義一個戰略性的框架,指明了具體安全管理工作的目標和權責范圍,使信息系統安全專業人員能夠準確地按照企業高層管理人員的要求開展工作。

(2)企業信息安全治理路徑的錯誤理解:企業在信息安全治理的過程中,最常用的手法是采用信息安全的技術措施,如使用加密和防偽技術、認證技術、防病毒技術、防火墻技術等方式來進行,但是往往企業投入很多,卻沒有達到預想的效果,問題在于,信息安全治理并不單單是技術問題,信息安全治理也包含了安全戰略、風險管理、績效評估、層級報告以及職責明確等方面。

4 信息安全治理關注的領域

(1)戰略一致性:信息安全治理需與企業的發展戰略和業務戰略相一致,建立相互協作的解決方案。

(2)價值交付:衡量信息安全治理價值交付的基準是信息安全戰略能否按時、按質并在預算內實現預期的價值目標。因此需要設計明確的價值目標,對信息安全治理的交付價值進行評估。

(3)資源管理:實現對支持信息運行的關鍵資源進行最優化投資和最佳管理。

(4)風險管理:企業管理層應具備足夠的風險意識,明確企業風險容忍度,制定風險管理策略,將風險管理融入到企業的日常運營中。

(5)績效度量:利用科學的管理方法,將信息安全治理轉換為可評價的目標的行動,便于對信息安全各項工作的績效進行有效管理。

5 信息安全治理框架

通過良好的信息安全治理, 可以保護企業的信息資產,避免遭受各種威脅,降低對企業之傷害,確保企業的永續經營,以及提升企業投資回報率及競爭優勢。

通過長期的實踐經驗以及結合COBIT標準和GB/T 22080-2008,總結出信息安全治理的框架主要由四部分組成,如圖1所示。

(1)信息安全戰略:結合企業的整體信息技術戰略規劃和信息安全治理現狀,制定信息安全戰略。

(2)信息安全組織架構:根據企業層面在決策、管理和執行機制對組織結構的要求,建立信息安全治理框架和決策溝通機制,明確公司各級管理層及相關部門在信息安全組織架構中的工作職責與角色定位。

(3)信息安全職責:根據公司信息安全組織架構,進一步明確信息安全相關崗位的工作職責、分工界面和匯報路徑等。

(4)信息安全管理制度:信息安全管理制度通過建立一個層次化的制度體系,針對不同的需求方(管理者、執行者、檢查者等)從政策、制度、流程、規范和記錄等方面進行信息安全活動相關的規定,實現信息安全的功能和管理目標。

6 信息安全治理評估

企業信息安全治理評估有助于提高信息安全治理投資的效益和效果。企業的最高管理層和管理執行層可以使用信息安全治理成熟度模型建立企業的安全治理級別。該模型,如表2所示,被應用為幾個方面。

(1)在市場環境中,相對于國際信息安全治理標準、行業最佳實踐,以及直接競爭對手,了解企業在信息安全治理上的級別。

(2)進行差距分析,為改進措施提供明確的路徑。

(3)了解企業的競爭優勢和劣勢。

(4)有利于對信息安全治理進行績效評估。

7 結束語

本文從企業信息安全治理的實踐出發,概述了目前企業信息安全治理存在的問題和困惑,總結了企業實現有效的信息治理的關注領域和實施內容,為企業建立良好的信息安全治理提供了基本框架。

參考文獻

[1] 馬峰輝,劉壽強.企業信息安全治理的經濟性探析.計算機安全,2003:70-71.

[2] 婁策群,范昊,王菲.現代信息技術環境中的信息安全問題及其對策.中國圖書館學報,2000(11):33-37.

[3] 劉金鎖,李筱煒,楊維永.企業實現有效的信息安全治理之路.中國管理信息化,2012(11):37-39.

[4] 黃華軍,錢亮,王耀鈞.基于異常特征的釣魚網站URL檢測技術[J].信息網絡安全,2012,(01):23-25.

[5] 黃世中.GF(2m)域SM2算法的實現與優化[J].信息網絡安全,2012,(01):36-39.

篇8

【關鍵詞】 電力企業 信息安全 管理 問題 完善措施

1 前言

電力企業信息技術的發展起始于20世紀90年代,最早的計算機應用開始于財務管理、營銷管理等辦公業務,隨著信息技術的不斷深入發展,信息技術在電力企業的應用范圍也日益擴大和深化,目前已經滲透入電力企業運營管理的全過程,信息技術也漸漸從開始的“配角”提升為電力企業運營管理的“主角”。在電力企業信息化技術應用日趨成熟、重要程度日益上升的今天,企業對信息化的管理和關注重點也在不停的發生變化,一方面信息化成果已成為企業甚至社會的重要資源,在整個企業的生產運行、電網調度、辦公管理等各個方面發揮著重要的作用;另一方面由于信息技術的迅猛發展而帶來的信息安全事故、事件屢見不鮮,信息安全問題與矛盾日益顯著。而信息安全工程是一個多層面、多因素的、綜合的、動態的系統工程。企業要實現信息安全管理,就必須不斷完善和建立一套行之有效的信息安全管理與技術有機結合的安全防范體系。

2 我國電力企業信息安全管理存在的問題

2.1 電力企業普遍存在重技術、輕管理的問題

信息安全是“三分技術、七分管理”,但是現在許多電力企業任普遍存在重技術、輕管理的問題,甚至很多電力企業根本沒有完善的安全管理制度,并且管理人員信息安全意識普遍不高,這也就在一定程度上加深了企業信息安全風險。要知道再好的技術在其運行的過程中管理才是第一位的,比如在實際工作中,有最好的技術,但是如果管理不到位,系統的運行、維護和開發等崗位分配不清,職責劃分不明,存在一人身兼多職的現象,再先進的技術也不可能發揮其應有的效力,一樣不具備競爭力、防御力。又如,企業在管理過程中對網絡工作人員的基本技能和素質要求把關不嚴格,極易造成因網絡工作人員因操作不當而造成硬件或者軟件出現漏洞,使惡意份子有機可乘,同樣影響網絡信息安全。

2.2 電力企業對員工的信息安全意識宣傳不到位

隨著信息安全地位的不斷攀升,電力企業對信息安全也越來越重視,但是,企業對于信息安全的培訓力度仍顯不夠,電力企業員工信息安全意識仍非常低。如,一些電力員工在離開辦公場所時,沒有意識主動關閉電腦或鎖定屏幕,因此容易造成企業數據的丟失及客戶信息的泄漏。又如,一些員工為了貪圖方便省事,直接將系統賬號交給第三方人員進行操作,容易造成系統數據的錯失遺漏,或者出現未授權的審批等等。再如,還有一些員工對于未確定安全性的文件防范意識不夠,一旦點擊打開后,就容易造成木馬的植入或者病毒的擴散,從而造成數據的泄漏或丟失破壞。

2.3 電力企業信息安全技術不夠完善

首先,在計算機的使用方面,有很多的辦公計算機還是內網與外網混合使用的狀態。雖然公司已經做出了相應的規定,要求內網與外網進行分開使用。但是,內外網混用情況仍十分嚴重,這就會給安全問題帶來極大的隱患。其次,一些電力企業對移動介質的使用管理比較松散。如:一些企業的移動介質不需授權就能直接接入辦公電腦中,容易讓別有用心的人加以利用,從而拷貝了公司的內部資料,造成企業損失。又如,一些員工在未確保外來移動介質正常的情況下就接入內部網絡,容易造成病毒的傳入,從而影響內部網絡的正常以及數據的安全。最后,部分電力企業數據庫數據和文件的明文存儲保護不完善。供電行業應用系統基本上基于商業軟硬件系統設計和開發,用戶身份認證基本上采用口令的鑒別模式,而這種模式很容易被攻破。

3 完善電力企業信息安全管理的具體措施

3.1 完善電力企業安全風險的評估

電力企業要解決網絡安全問題并不能夠僅僅是從技術上進行考慮,技術是安全的主體,但是卻不能成為安全的靈魂,而管理才是安全的靈魂。首先電力企業必須做好安全狀況評估分析,評估應聘請專業權威的信息安全專家或者咨詢機構,并組織企業內部信息人員和專業人員深度參與,全面進行信息安全風險評估,搞清楚信息系統現有以及潛在的風險,充分評估這些風險可能帶來的危害和影響,針對評估出來的風險制定詳細的解決預防方案并認真實施,實施完成后還要定期對其進行評估和不斷改進完善。其次,網絡安全離不開各種安全技術的具體實施以及各種安全產品的部署,但是現在市面上安全技術及產品種類繁多,讓人眼花繚亂,難以進行抉擇,我們信息安全系統建設中心內容是安全和穩定,所以我們企業應盡量采用成熟的技術和產品,不能過分求全求新。最后,培養信息安全專門人才和加強信息安全管理工作必須與信息安全防護系統建設同步進行,才能真正發揮信息安全防護系統和設備的作用。

3.2 不斷完善電力企業信息安全管理制度

首先,構建良好的管理體制,在網絡系統管理中,要做到管業務不管系統,管系統不管業務,如果二者混淆,就容易將所有權限落入一人之手,若該員工,同樣造成網絡信息安全的極大威脅。其次,數據安全管理制度,即確保數據存儲介質(設備)的安全;定時進行數據備份,備份數據必須異地存放;對數據的操作需經主管部門的審批、同意方可進行;數據的清除、整理工作需兩人或兩人以上在場,并由相關部門進行監督、記錄。最后,準入管理制度。準入管理又稱密碼、權限管理,通過準入系統可以判斷請求登錄的用戶是否是合法的、值得信任的。

3.3 加強對電力企業全員信息安全的教育及培訓,提升全員信息安全意識

對于企業信息安全工作的開展不是一個部門一個人的事,而是我們電力公司全體員工的事情,所以必須提高企業全體員工的信息安全意識。通過開展多種形式的信息安全知識培訓,可以提高員工的警惕性以及養成良好的計算機使用習慣。在不定時開展信息安全教育和培訓的時候應注意安全教育知識的層次性。主管信息安全工作的負責人和各級信息安全員,重點要了解和掌握信息安全的整體策略及目標、安全管理部門的建立和管理制度的制定等;負責信息安全運行管理及維護的技術人員,重點要充分理解信息安全管理策略,掌握安全管理的基本方法,精通信息系統的安全維護技術等;廣大信息系統用戶重點要學習各種安全操作流程和行為規范,了解和掌握與其相關的信息安全策略,包括自身應該承擔的安全職責等。另外,我們企業還可以采取一些考核獎罰措施,去激勵和約束全員認真進行信息安全培訓,認真落實信息安全操作,從而有效提高我們電力企業整體信息安全水平,提高信息安全意識,最終有效避免信息安全問題或失泄密事件的發生。

3.4 不斷完善和提升電力企業信息安全技術

第一,對電力企業內部和外部網絡進行物理隔離。采用最高效的解決信息網絡安全問題的辦法:將局域網與外網物理隔離,使局域網內的用戶只能訪問內網資源,外網計算機無法與內網相連接。通過這種方法可以很大程度地防止互聯網上的病毒、流氓軟件等的入侵,避免企業及用戶個人的重要信息與數據的失竊,進而可以控制可能由此造成的無法估計的損失。其次,對于移動介質,應加入認證管理,只有被預先授權的介質才能接入內網,對于數據的拷貝,只能通過加密形式處理。第三,數據與系統備份技術。供電企業的數據庫必須定期進行備份,按其重要程度確定數據備份等級。配置數據備份策略,建立數據備份中心,采用先進災難恢復技術,對關鍵業務的數據與應用系統進行備份,制定詳盡的應用數據備份和數據庫故障恢復預案,并進行定期預演。計算機病毒傳播廣,破壞力大,會嚴重影響電力企業網絡系統的安全運行。因此,為了使電力企業免受病毒的侵害,作為網絡管理人員應該建立從主機到服務器的完善的防病毒體系,建立健全的網絡信息管理制定,以此來有效的提高電力企業網絡信息的安全管理。最后,建立信息安全身份認證體系。供電企業面對來自內部和外部信息安全風險威脅,需建立有效的信息安全身份認證體系,實現網絡危險過濾、終端準入、用戶識別、上網授權等功能,最終實現企業內網用戶終端安全性的提升,達成企業整網上網安全性的保障。

參考文獻:

[1]尹鴻波.網絡環境下企業信息安全管理對策研究[J].電腦與信息技術,2011(4).

[2]馮慧昌.信息安全管理現狀與研究策略[J].科技風,2012(7).

[3]姚軍.中科網威助力工業網絡信息安全[J].企業研究,2O12(12).

[4]胡國勝,張迎春.信息安全基礎[M].北京:電子工業出版社,2011.

[5]胡泉軍,王以群,張延芝.企業信息安全管理中組織管理失誤因素分析[J].工業工程,2009(2).

篇9

1.企業信息安全事件發生狀況

調查顯示在過去的1年內(2012年1月~2012年12月),超過93.2%的被調查企業發生過信息安全事件,其中發生信息安全事件次數超過5次的占被調查企業的13.1%。這一調查結果表明,河北中小企業信息安全形勢非常嚴峻,如何保護信息系統安全已經成為中小企業信息化建設首要面臨的問題。

2.目前中小企業信息安全面臨的主要威脅

調查發現,近1年內,82.1%的被調查企業遭受過病毒、蠕蟲或木馬程序破壞;47.3%的企業遭受過黑客攻擊或網絡詐騙;33%的企業遭受過垃圾郵件和網頁篡改的干擾,還有28%的企業遭受的破壞竟然來自企業內部員工的操作。這一調查結果表明,病毒泛濫、網絡詐騙、黑客攻擊、垃圾郵件和來自企業內部員工破壞是河北中小企業面臨的最主要信息安全威脅。其中,病毒和木馬程序的破壞尤為嚴重,直接造成企業數據丟失、信息泄漏甚至系統癱瘓等后果,嚴重威脅著企業的信息安全。

3.企業信息安全保護措施現狀

調查發現,93.7%的被訪企業采用了殺毒軟件進行病毒防護和監控,25.1%的被訪企業裝有入侵檢測系統和硬件防火墻,54.8%的被訪企業采用了身份認證技術和設置訪問權限進行信息保護。同時,通過調查也發現,只有不到29.5%的企業有定期的數據備份,僅有6.9%的企業為重要信息進行了數據加密。這一調查結果表明:在信息安全技術防護方面,幾乎被訪企業都采取了信息安全保護措施,但是大部分企業卻只停留在病毒防護和身份認證的水平上,而缺少數據完整性和數據加密等保護技術。

4.信息安全管理保障措施情況

調查發現,在信息安全管理保障措施方面,25.7%的被訪企業設立了專門的信息安全部門及相應的專職管理人員,44.6%的企業制定了企業信息安全管理制度,只有8.5%的企業能夠對信息安全狀況進行定期的風險評估,而制定信息安全事件應急處置措施的企業卻只有5.3%。這一調查結果表明:河北中小企業信息安全保障組織構架設立不完善、缺乏信息安全管理制度,定期的信息安全風險評估以及信息安全應急處置預案措施嚴重缺失。

5.信息安全經費投入狀況

調查發現,23.5%的被訪企業信息安全方面的經費投入占整個企業信息化總投資的比例低于5%,39.6%被訪企業同樣投資比例在5%~10%之間,只有38.5%的企業信息安全方面的經費投入已經超過企業信息化總投資的10%。這一調查結果表明:河北中小企業安全意識淡薄,信息安全經費投入嚴重不足,低于國外20%~30%的投資比例。

二、對策與建議

通過課題組調查發現,網絡環境下河北中小企業的信息安全問題突出,主要表現在認識誤區、資金不足、技術薄弱和信息管理制度缺失等方面,要全面解決,必須從法律、技術和管理等幾個方面全盤考慮綜合治理。法律、技術和管理三者相輔相成,缺一不可,才能共同保證中小企業信息系統可靠安全運行。

1.法律法規層面加強政府支持力度和引導力度

僅僅靠中小企業自身搞信息安全防護是遠遠不夠的,在此過程中,政府的支持、鼓勵與引導是至關重要的。因此,政府應不斷完善信息安全相關法律法規的建設,加快網絡安全的基礎設施建設,加大打擊網絡犯罪的力度。同時,針對河北中小企業特點,當地政府應加大企業信息安全重要性的引導和宣傳,讓中小企業特別是企業的領導者,充分認識到企業信息安全的重大意義與作用,從而在日常企業決策中對企業信息安全建設投資有一定的傾斜,完善企業信息安全體系建設。從長遠發展角度和戰略高度來重視企業信息安全。

2.技術層面

設計實施多層次、多方位的網絡系統安全保護技術,以提高企業風險防范的技術水平。風險防范是一個復雜的系統工程,從技術角度,建議從以下幾個方面來實現:

(1)建立網絡身份認證體系。網絡環境下河北中小企業的各種商務活動,都需要對參與商務活動的各方進行身份的鑒別、認證,這就需要在企業內部建立網絡身份認證體系來證實各方的身份,以保證網絡環境下各交易方的經濟利益。

(2)配置高效的防火墻。在企業內部網與外聯網之間設置防火墻,從而實現內、外網的隔離與訪問控制,在他們之間形成一道有效的屏障,是保護企業內部網安全的最主要、最有效、最經濟的措施之一。

(3)定期實施重要信息的備份和恢復。企業要對核心的數據和應用程序進行實時和定期的備份工作。并把備份數據的副本存儲在光盤上,這樣就可以避免一旦發生安全事故關鍵的應用程序和數據丟失給中小企業帶來的巨大損失。

(4)對關鍵數據進行加密。企業的各類數據和應用程序,是企業多年發展中積累下來的寶貴數據資源,也是企業決策的重要依據。因此,要對這些關鍵數據進行加密處理,以提高數據的安全性,防止企業私密數據信息被泄露和竊取。

篇10

【關鍵詞】企業信息化;信息安全問題;原因;對策

【中圖分類號】F270.7【文獻標識碼】A【文章編號】1006-4222(2016)01-0247-02

新時期下,信息化技術在各行業中運用日漸深入,給企業現代化建設與快速發展帶來了無限動力。企業信息化建設已成為我國經濟信息化建設能否成功的關鍵所在,也是提升企業自身市場競爭力與企業升級進步的重要保證和標志[1]。但是,企業信息化建設過程中不可避免的出現信息安全問題,給企業正常生產經營帶來諸多不利影響。因此,加強企業信息化建設中信息安全管理,已成為現代企業經營管理的一個至關重要的工作。

1企業信息化概述

所謂的企業信息化,指的是實現企業的資金流、物流、作業流、信息流的數字化、網絡化管理,實行企業運行的自動化和企業制度的現代化[2]。企業信息化建設涉及了企業生產經營中的各個部門,其主要利用現代化信息技術,通過完善企業內外網絡信息系統,實現對企業內外知識與信息資源的開發。可見,建設企業信息化體系,不但可以及時有效的提供各種數據信息給企業決策層,也為企業未來規劃設計提供參考依據,而且還有利于企業滿足瞬息萬變的市場需求,為企業市場核心競爭力的提升帶來動力。

2當前企業信息化建設中信息安全問題

企業信息化建設與發展為企業持續、健康、穩定發展發揮了顯著作用,但同時也存在著諸多信息安全問題,具體分析主要有以下幾方面[3]:(1)當前,絕大多數企業缺乏完善的安全防御系統,導致企業內部使用的信息系統易遭受外部網絡系統的攻擊,引發企業信息資料被他人截獲、篡改與偽造等問題,甚至企業信息系統中出現通信線路、硬盤設施以及其他文件系統遭惡意破壞現象,上述問題的發生不但致使企業信息系統無法正常運行,而且其內部機密信息易發生泄漏,造成企業嚴重的社會經濟損失。(2)針對郵件系統攻擊防不甚防。在企業信息系統中電子郵件具有重要的作用,通過電子郵件接收與傳送,極大的方便了企業內部間與外部間信息交流與溝通。然而,電子郵件安全問題也日益突出,典型的如電子郵件病毒、垃圾郵件、機密信息泄露以及電子郵件炸彈等,給企業信息傳輸帶來了巨大安全隱患。因此,電子郵件安全問題不可忽視。(3)漏洞攻擊日益嚴重。按照漏洞問題發生原因可分為軟件漏洞和協議漏洞兩種,其中軟件漏洞主要是受外部不法分子攻擊軟件自身存在的漏洞,造成企業信息泄露等問題;而協議漏洞則主要是由于TCP/IP協議自身在安全機制方面存在的諸多漏洞問題導致,外部不法人員通過攻擊TCP/IP協議漏洞,致使企業信息系統遭受破壞。目前情況,很多企業對自身信息系統缺乏成熟的漏洞檢測手段和能力,往往事發后才采取補救措施。(4)是Web服務安全問題突出,根據Web服務流程,其發生安全問題的主要組成包括Web服務端安全問題、瀏覽器客戶端安全問題兩種。其中,Web服務端安全問題主要是企業Web主機遭受外部不法分子侵入,導致企業保密信息遭竊或者企業部分信息遭受非法篡改等;瀏覽器客戶端安全問題則是企業瀏覽器客戶端遭外部非法分子侵入,致使部分機密信息與數據遭竊等。

3導致企業信息化建設中信息安全問題因素

企業信息化建設中信息安全問題發生受諸多因素影響,具體分析主要有以下幾方面[4]:(1)目前,絕大多數企業在信息化建設過程中,對于信息安全問題重視度嚴重不足。一方面,受傳統經營觀念影響,企業管理層偏重于對企業生產經營中的有形資產給予關注與重視,而忽略了企業知識與信息資料等無形資源,導致在企業信息安全管理方面各項投入嚴重不足,進而造成信息安全問題日益凸顯;另一方面,多數企業在面對信息安全問題時,存在著盲目樂觀現象,認為信息安全問題不至于導致企業正常生產經營,使得信息安全管理無法上升至企業發展規劃戰略之中,進而造成信息安全問題得不到及時有效解決。(2)由于企業信息化建設在我國尚處于起步階段,各方面配套管理制度不夠完善,特別是缺乏健全的企業信息安全管理體制。受此影響,企業信息化建設中信息安全問題一方面無法得到有效的預防措施,另一方面是一旦發生信息安全問題,無法采取及時有效的補救與解決對策。同時,由于缺乏科學、合理、有效的企業信息安全防護策略,使得企業信息管理人員缺乏必要的安全防護意識與業務素質能力,致使企業信息安全防護軟硬件工作質量與效率明顯不足。上述兩個因素,導致企業無論是從人員配置,還是資金與技術投入方面都嚴重不足,受企業信息管理人員業務素質能力不足、信息安全技術方法落后以及配套的資金缺乏等影響,企業信息安全防護的措施、手段偏低,造成企業信息化建設存在著嚴重安全隱患。

4提升企業信息化建設中信息安全對策

針對當前企業信息化建設中存在的信息安全問題,為加強企業信息安全管理,提升企業信息安全保障,可通過采取以下幾方面對策,具體有[5]:(1)轉變傳統企業信息化建設觀念,在企業內部管理層從上至下加強對企業信息安全的重視,并樹立正確的安全意識。一方面,通過組織各種信息安全管理培訓等,增強全體企業員工信息安全意識,確保企業保密信息不外漏;另一方面,逐步加大企業信息化建設中信息安全管理各項資金、技術、人力投入,并建立科學、合理、有效的企業信息安全防護策略,保障企業信息系統安全穩定。(2)不斷的推進網絡信息技術的發展與運用,促進企業組織結構網絡化的實現,同時引進先進的安全防護技術,確保企業信息化系統安全穩定運行。任何網絡信息系統都存在著或大或小的安全漏洞問題,而保證其不受外部不法分子侵入的一個關鍵方法就是安全防護技術的運用。通過選用先進的安全防護技術,可以有效的提高企業信息系統抵抗外來攻擊,避免企業信息遭受竊取、篡改甚至破壞等,對于保障企業持續、健康、穩定發展具有顯著作用。(3)結合企業信息化建設實際情況,建立健全企業內部信息系統管理體制。一方面,針對信息安全問題,應建立科學、合理、規范的信息安全管理體制,保證企業信息系統安全運行;另一方面,建立健全企業安全風險評估機制,針對不同系統找出影響其安全的因素和漏洞,并制定出最佳的對策,降低企業信息安全風險;此外,加強相應的網絡管理,防止外來不法分子通過網絡侵入企業信息系統。(4)根據新時期企業信息化建設需要,加強企業信息技術人才、信息管理人才隊伍建設,為企業信息安全管理奠定堅實的人才基礎。一方面,在企業內部,加強信息技術人才培訓,提高企業內部相關人才業務素質能力;另一方面,在企業外部,采取有效措施,積極招聘人才,引進具有先進信息技術型人才;此外,建立健全企業信息安全管理用人機制,激發員工工作積極性,提高工作質量與效率。

5小結

總而言之,企業信息安全事關企業信息化建設是否成功,對于企業持續、健康、穩定發展具有至關重要的作用。因此,應提高企業信息安全管理意識,增強企業信息安全管理機制,促進企業信息安全管理工作質量與效率,保障企業信息化建設順利開展。

參考文獻

[1]毛志勇.企業信息化建設的信息安全形勢與對策研究[J].科技與產業,2008,8,(1):43~45.

[2]纂振法,徐福緣.淺析企業信息化建設的意義、問題與對策[J].吉林省經濟管理干部學院學報,2001,3:24~28.

[3]謝志宏.企業信息化建設中的信息安全問題研究[J].企業導報,2014(06):132~133.

[4]秦海峰.企業信息化建設中信息安全問題的分析研究[J].中國信息界,2012(05):61~62.