時間:2023-08-16 17:11:36
引言:易發表網憑借豐富的文秘實踐,為您精心挑選了九篇企業信息化安全建設范例。如需獲取更多原創內容,可隨時聯系我們的客服老師。
【關鍵詞】企業;信息化建設;信息安全
伴隨著我國社會經濟的發展,各個企業間的競爭也是非常的激烈。各企業發展的過程中重要工作就是加強信息化建設,在企業信息化建設發展的過程當中,又顯現出來了信息安全的問題,加上有的不法分子會采取各種手段盜取企業的內部信息以便達到自己的經濟利益。所以說研究企業信息化當中的信息安全問題是具有非常重要意義。
一、企業信息化建設過程中信息安全的問題
一般情況下能造成企業內部信息安全問題的原因分為外部原因和內部原因,可是不管是內部原因還是外部原因都會對企業的信息系統的安全帶來隱患。
1.1企業內部因素
第一個方面是企業的信息安全意識不強,雖然是現在有很多的企業加快企業內部信息化建設的進程,但是有些企業只是在表面上看到信息化建設所帶來的優勢,而信息化建設當中的安全問題并沒能夠引起企業的足夠重視,所以在信息化建設的過程中比較容易出現安全隱患。第二個方面就是我國的安全軟件還是比較落后,雖然國內計算機軟件技術在快速的反戰,可是與一些發達的國家相比還是存在一定距離,第三個方面在管理操作方面存在問題,現在有很多的企業對于自己企業內部的信息安全問題還存在不夠重視的問題,在企業信息系統的管理上不夠謹慎,這就會被不法分子和黑客進入的機會,造成了企業的主要信息被盜取。第四個方面缺少優秀的專業管理團隊,企業信息的系統安全是前期的制定和日常系統安全的維護以及日后都是由專業的人員來進行操作,所以相關的技術人員都必須具有很好的素養和賢能的技術,第五個方面法律法規的不全面。現在我國與企業信息安全問題的法律法規不全面這就造成企業內部信息被盜取不能得到相關的賠償。
1.2企業外部因素
現在企業信息安全系統的威脅主要來自于外部的因素,隨著我國經濟社會的飛速變化,在競爭激烈情況下信息是非常重要的,大昂仁會有很多的不法分子會利用各種手段來盜取企業的信息為自身得到利益。還有些企業在于對手的競爭過程中使用不正當的手段來擊垮對手保證自己企業的利益。
二、企業信息化建設過程中的信息安全與對策
在我國社會經濟快速發展的今天,企業信息安全對于一個企業的發展是非常具有意義的,企業的信息被盜取和泄露會給企業帶來很大的損失,所以說企業對信息安全問題必須要有足夠的重視。有的企業已經做好了信息安全的必要工作就應該更加注意安全軟件并不是時時刻刻都能做好安全的保護,做好安全保護還要加強管理。
2.1確保正確的安全意識
一個企業在信息化發展的過程中,應該認識到企業信息的安全問題和企業發展相互的關聯。如果企業的重要內部信息被盜取或者泄露那么對于企業所造成的打擊是非常大的,而與此同時也是給了對手創造了很好機會。所以確保正確的安全信息意識對于一個企業來說是非常重要的,也是為了以后給企業的各項工作打下了很好基礎。
2.2選擇安全性能比較高的軟件
其實任何軟件都不是牢不可破的,可是對于安全性能比較高的軟件,如果說破解的話難度還是相當高的,所以企業選擇安全軟件的時候要選擇安全性能高的,不要為了節省一點企業的支出而選擇使用安全性能差的保護軟件,一旦出現問題所造成的企業損失價值會大于軟件的價格。
2.3加強企業網路管理
很大一部分的企業信息被盜取都是不法分子通過網絡進行的,所以說必須要對企業的網絡管理進行加強,這樣才能確保企業信息系統在安全的狀態的情況下運行。對于信息安全的種類和等級的高低來進行制定合理的方案,并且提前做出如果發生特殊情況下怎么進行處理的方案。如果說企業的信息安全發生危機的時候,企業應該快速的組建處理小組,針對信息安全危機的步驟處理并且做好危機處理的工作,還要避免出現由于處理不當而產生的各種情況。
三、結語
以上所述是企業信息化建設過程中所必需要面對的問題,一個企業的信息安全建設應該先從管理開始,必須做到以防范為主要,必需制定有效的安全防護把安全的風險降至最低。在現在經濟發展的快速時代,企業信息的安全問題決定著企業的安全運營。
參考文獻
[1]原黎.探析企業信息安全問題的成因及對策[J].現代工業經濟和信息化.2011(08)
[2]張耀輝.關于企業信息化建設中的信息安全探討[J].電子技術與軟件工程.2013(14)
[3]趙曉華,陳秀芹,周文艷,夏莉莉,李建忠.網絡環境下河北中小企業信息安全問題研究[J].科技資訊.2013(31)
[4]葉瑞強.企業網絡信息安全存在的問題及對策[J].信息與電腦(理論版).2012(03)
關鍵詞:供電企業;信息化建設;安全
中圖分類號: C29 文獻標識碼: A
前言
企業生產銷售、經營管理和技術的開發等領域是不斷的達到社會經濟效益和全面提高管理水平的整個過程。目前,供電企業已經建立了一套完成的包括文件處理、財務、人力資源、生產管理等各個專業的應用信息系統,全面促進企業發展,提高企業在社會市場的競爭。隨著電力行業的高速發展,社會民眾對供電企業的服務需求逐漸增多,這對企業信息化建設水平提出了更高的要求。面對社會發展的新形勢,供電企業必須在先進信息技術基礎之上,抓住信息化建設這一機遇,實現跨越式發展,爭取早日建設成為一個優秀的現代公司。
1. 供電企業信息化建設安全常見問題及原因
1.1、重應用,輕管理的思想意識
供電企業信息化建設開展和實施以來,許多工作人員并沒有在思想上轉變傳統的工作模式,依然只是將信息化建設和管理作為一項應用型工具,以為就是簡單的計算機應用工作,缺乏必備的網絡和信息數據安全管理知識。即便有些人了解到信息化建設安全的重要性,但是對于如何防范的措施卻一知半解。還有大部分人存在僥幸心理,認為一切從簡,密碼簡單、不開啟防火墻、不備份數據文件、對于共享和可見性以及遠程操作等關鍵環節更是隨心所欲,造成供電企業信息化建設安全危機重重。
1.2、供電企業信息化人才短缺
在人才培養方面,供電企業更重視安全生產、營銷服務等專業人才培養,對計算機、網絡、通信方面人才不夠重視,這讓信息人才對企業歸屬感不強,感覺缺少發展空間。在人才管理機制方面,由于人才激勵效果不明顯,績效考評制度不健全,導致供電企業的人才培養機制有效性不強。供電企業內管理專業工作人員對信息技術知識知之甚少,而信息技術管理人員又不懂安全生產、營銷管理等業務,復合型人才嚴重短缺,也使企業務與信息技術相互不能有效的整合。在人員配置上,基層供電企業的計算機、網絡、通信管理人員數量較少,信息化專業班組成立剛剛幾年,如遇計算機、網絡突發狀況,無法及時處理。
1.3、缺乏有效的病毒防治管理
網絡病毒是信息化建設安全的最大威脅之一,對于供電企業信息化建設安全來講,重點就在于對網絡病毒的防治和管理。網絡病毒的防治和管理是一項長期且艱巨的任務,目前沒有任何系統可以對所有病毒都具有防護的功能。而供電企業的基層單位對于病毒的防治大多數也只是安裝單一的網絡殺毒軟件,再無其他的病毒防治預案。管理工作也通常比較簡單和疏松,當殺毒軟件無法識別或者根除一些病毒或者木馬時,相應的技術人員也只是自己通過其他途徑尋找解決方案,一旦實在無法解決就要面臨重裝系統,丟失所有當前數據文件信息的風險;更為嚴重的甚至會造成業務系統的崩潰,導致正常的工作難以進行。
1.4、供電企業信息化建設安全性不高
供電企業信息化建設是以局域網為基礎的,網絡通暢和安全問題是企業開展信息化建設必須考慮的重要問題。局域網絡每一次發生故障,都會導致企業業務運行陷入癱瘓狀態,其帶來的損失難以估計。目前,造成供電企業信息化建設安全問題的原因主要有四個方面:一是殺毒軟件沒有真正發揮作用,目前全省供電企業已經安裝了統一的殺毒軟件,但在及時更新和升級方面還存在一些問題;二、計算機配置硬件水平參差不齊,一些基層單位仍在使用的計算機老舊,甚至不能安裝較大的殺毒軟件,否則無法啟動,更談不上安全性了。三是,計算機的管理人員與應用人的安全意識薄弱,殊不知竟有75%以上的安全問題是由于組織內部人員的不正常使用引起來的。四、局域網絡運行可靠性低。在縣供電企業局域網絡基本為十年前建成,局域網絡為單一通道,沒有備用線路,一旦發生光纜損壞,涉及的單位通信終端,各項工作基本處于癱瘓狀態,特別一些供電所位于偏遠山區,一旦出現通信故障,維修耗時較長,影響正常工作。另外,機房等局域網重要節點缺少備用電源,一遇故障停電,全部網絡中斷。
2. 提高供電企業信息化建設安全的措施
2.1、建立健全信息化建設安全管理和考核機制
供電企業信息化建設安全管理是一項動態的、靈活的工作,不僅僅是引進了新的技術或者新的安全體系就能馬上見效的,還要靠平時的管理和監測。技術所能起到的作用就是預防更多的已知的安全隱患;而管理則是靈活的,實施的主體以人為主,可以通過建立各種安全管理制度,用技術來對人進行約束和管理,真正發揮人的靈活性和主動性,在安全威脅來臨之前就發揮防控作用,不給安全威脅發生的機會。同時,還要針對供電企業信息建設安全的特點建立一套涵蓋引進標準、風險性評估和技術應用規范的安全管理體系。落實安全崗位職責,推行責任制,嚴格按著相關法律法規的標準結合企業實際的安全等級要求進行信息安全管理系統的建設和管理。將安全管理融入到信息系統的各個環節當中,實現每個環節的自管、自查和自評,再通過不定期的崗位臨檢,來考核信息化建設安全的各個環節是否達到規定的標準,提高信息化建設安全的重視程度,強化信息化建設安全意識。
2.2、培養信息化人才
供電企業應通過平等待遇、增強激勵等方式培養一批高效的、專業的信息化建設人才。把信息化建設和業務管理放在同等的地位對待,在日常工作中,積極開展信息化專業人員培訓、崗位練兵、專業競賽等活動,為從事信息崗位員工提供發展空間和施展才能的平臺,加強信息化人才儲備,提高信息化人才在供電企業中的地位。加強企業其他員工信息化知識培訓學習,營造良好的學習氛圍,提高企業整體信息化應用水平。進一步培養復合型的人才,特別是在管理層要培養一批既懂業務管理又懂信息技術的管理人員,這樣在管理上才能進一步提高水平。建立和完善供電企業信息化方面的人才管理和評價機制,采取合理有效的激勵和績效考核手段,調動員工積極性,不斷完善用人制度,通過競爭、擇優上崗,優化人力資源配置。
2.3、加強移動存儲介質的控制和管理
鑒于移動存儲介質的廣泛應用和其實際應用中的便攜性、靈活性,供電企業信息化建設安全部門應該根據行業的實際情況制定一些有效的移動存儲介質使用標準和規范,并進行全員的教育和培訓。其內容可以從移動存儲設備的插拔使用、讀寫開關應用、加密設置和定期殺毒要領等基礎知識展開。使企業內部的人員熟練掌握移動存儲介質的基礎知識和安全使用方法,逐步提高安全防范意識,養成良好的移動存儲介質使用習慣。移動存儲介質使用的具體安全管理工作可以從以下幾個方面做起:一是妥善保管防止遺失;二是專職專用,嚴禁外借;三是定期殺毒;四是采取“雙備份”原則;五是杜絕任何形式的非法外聯操作。
結束語
綜上所述中可以看出,供電企業信息化建設安全保障是一項綜合技術和管理為主要內容的工作。供電企業信息系統的安全管理是一項綜合性較強的課題,不僅僅涉及到了應用、技術和管理,還包括信息系統自身的安全性能以及物理和邏輯上面的計算的相關措施,技術僅僅只是解決某個問題的技術。因此,供電企業信息化安全建設是一項長期的、靈活的,需要供電企業全體人員共同參與的工作,還需要我們不斷的努力學習和創新。
參考文獻
[1]趙若楠,李瑞嬌.供電企業信息化建設相關問題探討[J].網絡安全技術與應用,2013,11.
【關鍵詞】企業信息化;信息安全問題;原因;對策
新時期下,信息化技術在各行業中運用日漸深入,給企業現代化建設與快速發展帶來了無限動力。企業信息化建設已成為我國經濟信息化建設能否成功的關鍵所在,也是提升企業自身市場競爭力與企業升級進步的重要保證和標志[1]。但是,企業信息化建設過程中不可避免的出現信息安全問題,給企業正常生產經營帶來諸多不利影響。因此,加強企業信息化建設中信息安全管理,已成為現代企業經營管理的一個至關重要的工作。
1企業信息化概述
所謂的企業信息化,指的是實現企業的資金流、物流、作業流、信息流的數字化、網絡化管理,實行企業運行的自動化和企業制度的現代化[2]。企業信息化建設涉及了企業生產經營中的各個部門,其主要利用現代化信息技術,通過完善企業內外網絡信息系統,實現對企業內外知識與信息資源的開發。可見,建設企業信息化體系,不但可以及時有效的提供各種數據信息給企業決策層,也為企業未來規劃設計提供參考依據,而且還有利于企業滿足瞬息萬變的市場需求,為企業市場核心競爭力的提升帶來動力。
2當前企業信息化建設中信息安全問題
企業信息化建設與發展為企業持續、健康、穩定發展發揮了顯著作用,但同時也存在著諸多信息安全問題,具體分析主要有以下幾方面[3]:(1)當前,絕大多數企業缺乏完善的安全防御系統,導致企業內部使用的信息系統易遭受外部網絡系統的攻擊,引發企業信息資料被他人截獲、篡改與偽造等問題,甚至企業信息系統中出現通信線路、硬盤設施以及其他文件系統遭惡意破壞現象,上述問題的發生不但致使企業信息系統無法正常運行,而且其內部機密信息易發生泄漏,造成企業嚴重的社會經濟損失。(2)針對郵件系統攻擊防不甚防。在企業信息系統中電子郵件具有重要的作用,通過電子郵件接收與傳送,極大的方便了企業內部間與外部間信息交流與溝通。然而,電子郵件安全問題也日益突出,典型的如電子郵件病毒、垃圾郵件、機密信息泄露以及電子郵件炸彈等,給企業信息傳輸帶來了巨大安全隱患。因此,電子郵件安全問題不可忽視。(3)漏洞攻擊日益嚴重。按照漏洞問題發生原因可分為軟件漏洞和協議漏洞兩種,其中軟件漏洞主要是受外部不法分子攻擊軟件自身存在的漏洞,造成企業信息泄露等問題;而協議漏洞則主要是由于TCP/IP協議自身在安全機制方面存在的諸多漏洞問題導致,外部不法人員通過攻擊TCP/IP協議漏洞,致使企業信息系統遭受破壞。目前情況,很多企業對自身信息系統缺乏成熟的漏洞檢測手段和能力,往往事發后才采取補救措施。(4)是Web服務安全問題突出,根據Web服務流程,其發生安全問題的主要組成包括Web服務端安全問題、瀏覽器客戶端安全問題兩種。其中,Web服務端安全問題主要是企業Web主機遭受外部不法分子侵入,導致企業保密信息遭竊或者企業部分信息遭受非法篡改等;瀏覽器客戶端安全問題則是企業瀏覽器客戶端遭外部非法分子侵入,致使部分機密信息與數據遭竊等。
3導致企業信息化建設中信息安全問題因素
企業信息化建設中信息安全問題發生受諸多因素影響,具體分析主要有以下幾方面[4]:(1)目前,絕大多數企業在信息化建設過程中,對于信息安全問題重視度嚴重不足。一方面,受傳統經營觀念影響,企業管理層偏重于對企業生產經營中的有形資產給予關注與重視,而忽略了企業知識與信息資料等無形資源,導致在企業信息安全管理方面各項投入嚴重不足,進而造成信息安全問題日益凸顯;另一方面,多數企業在面對信息安全問題時,存在著盲目樂觀現象,認為信息安全問題不至于導致企業正常生產經營,使得信息安全管理無法上升至企業發展規劃戰略之中,進而造成信息安全問題得不到及時有效解決。(2)由于企業信息化建設在我國尚處于起步階段,各方面配套管理制度不夠完善,特別是缺乏健全的企業信息安全管理體制。受此影響,企業信息化建設中信息安全問題一方面無法得到有效的預防措施,另一方面是一旦發生信息安全問題,無法采取及時有效的補救與解決對策。同時,由于缺乏科學、合理、有效的企業信息安全防護策略,使得企業信息管理人員缺乏必要的安全防護意識與業務素質能力,致使企業信息安全防護軟硬件工作質量與效率明顯不足。上述兩個因素,導致企業無論是從人員配置,還是資金與技術投入方面都嚴重不足,受企業信息管理人員業務素質能力不足、信息安全技術方法落后以及配套的資金缺乏等影響,企業信息安全防護的措施、手段偏低,造成企業信息化建設存在著嚴重安全隱患。
4提升企業信息化建設中信息安全對策
針對當前企業信息化建設中存在的信息安全問題,為加強企業信息安全管理,提升企業信息安全保障,可通過采取以下幾方面對策,具體有[5]:(1)轉變傳統企業信息化建設觀念,在企業內部管理層從上至下加強對企業信息安全的重視,并樹立正確的安全意識。一方面,通過組織各種信息安全管理培訓等,增強全體企業員工信息安全意識,確保企業保密信息不外漏;另一方面,逐步加大企業信息化建設中信息安全管理各項資金、技術、人力投入,并建立科學、合理、有效的企業信息安全防護策略,保障企業信息系統安全穩定。(2)不斷的推進網絡信息技術的發展與運用,促進企業組織結構網絡化的實現,同時引進先進的安全防護技術,確保企業信息化系統安全穩定運行。任何網絡信息系統都存在著或大或小的安全漏洞問題,而保證其不受外部不法分子侵入的一個關鍵方法就是安全防護技術的運用。通過選用先進的安全防護技術,可以有效的提高企業信息系統抵抗外來攻擊,避免企業信息遭受竊取、篡改甚至破壞等,對于保障企業持續、健康、穩定發展具有顯著作用。(3)結合企業信息化建設實際情況,建立健全企業內部信息系統管理體制。一方面,針對信息安全問題,應建立科學、合理、規范的信息安全管理體制,保證企業信息系統安全運行;另一方面,建立健全企業安全風險評估機制,針對不同系統找出影響其安全的因素和漏洞,并制定出最佳的對策,降低企業信息安全風險;此外,加強相應的網絡管理,防止外來不法分子通過網絡侵入企業信息系統。(4)根據新時期企業信息化建設需要,加強企業信息技術人才、信息管理人才隊伍建設,為企業信息安全管理奠定堅實的人才基礎。一方面,在企業內部,加強信息技術人才培訓,提高企業內部相關人才業務素質能力;另一方面,在企業外部,采取有效措施,積極招聘人才,引進具有先進信息技術型人才;此外,建立健全企業信息安全管理用人機制,激發員工工作積極性,提高工作質量與效率。
5小結
總而言之,企業信息安全事關企業信息化建設是否成功,對于企業持續、健康、穩定發展具有至關重要的作用。因此,應提高企業信息安全管理意識,增強企業信息安全管理機制,促進企業信息安全管理工作質量與效率,保障企業信息化建設順利開展。
作者:吳捷 單位:中海石油氣電集團有限責任公司
參考文獻
[1]毛志勇.企業信息化建設的信息安全形勢與對策研究[J].科技與產業,2008,8,(1):43~45.
[2]纂振法,徐福緣.淺析企業信息化建設的意義、問題與對策[J].吉林省經濟管理干部學院學報,2001,3:24~28.
[3]謝志宏.企業信息化建設中的信息安全問題研究[J].企業導報,2014(06):132~133.
關鍵詞:國有企業;信息安全;數據挖掘
中圖分類號:F592.6文獻標識碼:A文章編號:1006-8937(2016)03-0018-02
在信息化時代,基于網絡侵入技術的不斷提升,黑客與病毒對計算機系統攻擊事件不斷發生,據此而言,信息化技術在給國企生產經營活動帶來便捷的同時,也成為最為脆弱的地方,此時的數據挖掘技術的運用就顯得十分必要,依靠數據挖掘技術就可以使得來往流量處于實時監控的狀態,并及時會對入侵產生自動檢測的工具,從而大大維護了國有企業信息化系統正常運行。
1國有企業信息化建設中的信息安全概念及意義
1.1國有企業信息化建設中的信息安全概念
所謂的信息安全是指為保護國有企業計算機數據處理系統不受侵犯,在技術層面對計算機數據處理系統所采取保護的方式方法與手段,以達到維護計算機軟硬件,以及數據安全,使機密信息可以在完整的狀態下與既定對象實現信息共享的目的,從而確保了數據信息得到可用性保護,從技術的層面分析,主要分為下面三種形式。一是物理隔離形式的信息安全技術。就是將計算機網絡系統的硬件實體與公共網絡線路鏈接在技術層面予以有條件隔離,即防火墻技術,這一技術起到了對來往信息數據篩查的作用,從而使國有企業計算機系統在不受外界非法侵入的前提下創設一個電磁兼容的內部網絡環境。二是訪問可控形式的信息安全技術。訪問可控安全是防火墻技術的協作部分,在這一技術手段的支持下,國有企業信息系統能夠對外來信息數據進行甄別、預警,如果黑客和病毒等惡意流量得不到有效驗證,則會使得網絡侵襲問題飆升;三是數據加密形式的信息安全技術。為切實保護網上與傳輸過程中數據的可用性,國有企業信息系統需要在網絡節點間、源節點與目的節點間、原端用戶與目的端用戶間的數據傳輸實施密鑰管理。
1.2國有企業信息化建設中信息安全的意義
在社會經濟信息化的今天,國有企業生產經營與市場營銷等各領域都離不開信息化建設,以計算機網絡技術為支撐的信息化建設基于此而成為國有企業日常運作的有機組成部分,但是,在信息化系統開放的過程中,卻由于其安全漏洞問題存在而為一些不法行為提供可乘之機,信息安全據此成為人們關注焦點。
1.2.1保障個人信息不被泄露
以計算機網絡為技術支撐信息系統為國有企業日常運作帶來了極大便利,基于此成為國有企業進行生產經營、市場營銷,以及日常管理的主要工具。在國有企業人力資源管理中,個人信息資料往往成為信息化建設的一個領域,這些資料在法律上歸屬于個人隱私范疇,有關部門無權將資料予以公開,但是,一些黑客在對國有企業內部信息系統攻擊過程中,往往會竊取國有企業人力資源隱私資料,并將此作為謀取非法利益的籌碼,如果國有企業對自身的信息管理系統的安全等級予以升級,則就使得黑客攻擊處于無效狀態,從而使得國有企業人力資源隱私信息得到最大限度保障。
1.2.2保障國有企業科技信息共享的實現
當前的國有企業通過搭建信息共享平臺方式實現數據信息的共享,以國有企業與高校的科技信息共享平臺搭建為例,高校通過自己在人力資源、館藏資源、科技研究等方面的固有優勢搭建了校企聯合的科技信息平臺,國有企業可以隨時登陸這一平臺搜索到自己所需要的科技信息,高校也可以通過這一平臺將自己的科研成果及時轉化為生產力,但是,這一平臺的運作需要強大數據庫的支持,在其運作過程中,黑客的攻擊是必不可少,黑客可以通過截取網絡信息傳輸、竊取用戶口令、盜取數據庫信息、篡改數據庫內容等一系列非法手段,達到破壞科技信息共享平臺正常運作的目的,因此,采取切實有效的措施,加強計算機網絡系統的安全性能,就能夠保障國有企業的合法利益。
2國有企業信息化建設中的信息安全問題
以計算機網絡為技術支撐的信息系統是影響信息安全的最為主要的問題,這是因為計算機網絡技術是支撐起其正常運作的最為主要的力量,從安全的角度出發,影響到以國有企業信息系統運作安全的問題主要可以細化為以下幾點。
2.1網絡信息資源共享使得黑客攻擊頻現
以計算機網絡為技術支撐的信息系統運作的一個重要目的就是要實現資源共享,國有企業與高校領域所搭建的信息共享平臺即是此例,在搭建信息共享平臺實踐中,國有企業即可通過相關計算機網絡技術應用得到信息的共享,但是這一開放性的功能卻存在一定的安全隱患,只要是有共享,就會有開放,共享的技術環境為黑客的攻擊提供了便利。
2.2國有企業信息操作系統漏洞凸顯
基于以計算機網絡為技術支撐的國有企業信息系統快速進步,其系統升級也在同步進行,但是,國有企業信息操作系統的漏洞也在不斷顯現,這是因為國有企業對計算機網絡技術的應用要求在不斷提高,技術的發展相對滯后的問題始終存在,一些黑客就會對國有企業目標計算機網絡操作系統進行深究,尋找其漏洞,然后通過不同的方式予以攻擊,從而達到竊取國有企業信息資源、破壞國有企業信息系統等非法的目的。攻擊的手段是多樣的,例如可以利用計算機網絡系統的開放性的特點,制造出大流量的無效數據,并將這一些數據流形成系統阻隔,從而導致主機處于被隔離的實際發展狀態;還可以阻隔其他服務請求,主機往往會存在提供服務或傳輸協議上處理重復連接的痼疾,黑客就會據此而重復性、高頻度發出攻擊性的請求,一旦請求發出,自然就會影響到其他正常的服務請求;再者黑客還根據目標主機的特點,向其發出帶有病毒的錯數數據信息,從而直接導致主機死機。
2.3人為因素導致信息系統安全保障效能低下
從根本上來說,以計算機網絡為技術支撐的國有企業信息系統的運作離不開人的操作,因此,國有企業信息系統可持續發展就需要對其實施卓有成效的管理才能夠達到既定的目標,在這其中,人力資源的因素必不可少。舉例來說,如果在實施計算機網絡管理的實踐中,其人員基于自己的防范意識、認知水平、技術程度等方面的原因,就將會直接導致信息系統管理的安全保障效率趨于低下。
3國有企業信息化建設中的信息安全保障策略
3.1制定與落實國有企業信息安全制度規范
為了提高以計算機網絡為技術支撐的國有企業信息系統安全防范性能的提高,制度規范的制定與落實是基礎,具體來說,則是要制定出信息系統安全管理、計算機網絡硬件管理、數據信息保密等諸多制度規范,并進一步強化信息安全制度的落實。
3.2提升國有企業信息化技術人員操作水平
為促進國有企業信息安全規制的落實,人力資源的培養是關鍵環節,基于此而言,就應該對以計算機網絡為技術支撐的國有企業信息系統操作技術人員進行安全法規的培訓,從而使之既能夠熟知這些法規,又能夠認知自己的行為,促使自己的操作行為具有規范性,提高安全保障的能力。
3.3應用數據挖掘的信息安全技術
數據挖掘技術是一個新興研究領域,涵蓋了大型數據庫、人工智能、統計學等諸多的方面,數據挖掘技術就是指在大型數據庫中尋找并獲取對自己“有價值”的、存在形式多用的數據信息。在其應用的過程中,靜態和動態流量數據分析會對最終的檢查結果作出及時的反映,將儲存在數據庫當中的既有模式與所確定的特征與規則進行比對,以此構建正確的模式來保障信息系統運作的安全。
3.3.1靜態流量數據分析算法
①建立模型的分類算法。模型的建立適合于通過分類算法來對靜態流量數據予以分析,一般而言,就是根據數據挖掘的目標予以分類,需要從兩個階段進行。第一個階段模型的建立。這一階段首先就是根據訓練屬性的分類的原則對目標數據庫構建模型;第二個階段模型的分類。模型的首要功能就是要對預測提供參考數據,基于此而言,模型就要通過在測試樣本比較的基礎上,對測試樣本的準確率予以評估,如果準確率達到所要求的標準,則就可以以此為依據對該樣本的類預測標號中不明數據元分類,這一模型的建立主要是在于將用戶或程序中大量存在的數據予以吸納,然后再通過模型來產生具有一定標準的分類算法,這一算法主要是測試這些未知數據的性質,為后繼措施的實施奠定基礎。
②數據關聯性算法。挖掘數據之間的關聯性是靜態流量數據分析算法的一個較為主要的方式之一。這是因為各數據之間并非是互相間隔的而是存在必然的聯系。具體而言,就需要深入挖掘數據之間潛藏的各種關系,并將其運用到檢測威脅網絡安全的各種現實情況中去,以此來探查各種入侵行為所存在的必然關系,從而尋求可解決的策略。數據關聯性算法主要是挖掘各數據之問隱藏的相互關系,具體應用到入侵檢測系統中可以利用關聯分析檢測出入侵者的各種入侵行為之問的相關性,此種分析方法主要側重于事件的因果關系。
③事務關聯分析算法。所謂的事務關聯分析就是在事務中尋找具有相似性的之間的聯系,具體而言,就是在事務記錄中打入某一關鍵字詞,與之相關聯的記錄就會呈現出來,再在其中找出重復率較高的原始數據,從此而形成具有一定指向性的數據的集合,用于指導檢查網絡安全相關的諸如網絡攻擊與時間變量之間的關系,從而為分析相應的數據結構打下堅實的基礎。
3.3.2動態流量數據分析算法
動態流量數據分析的主要目標就是要在大量的數據中甄別并擇取有效信息,同時要將無效,甚至于有害信息予以阻遏,為達到動態流量數據分析的有效性,建立一個動態流量數據分析系統是十分必要的,該系統承擔了對動態流量數據分析、計算的任務。
①數據的擇取。數據擇取的主要范圍是在互聯網上,其內容涉及安裝使用對數據包的截獲程序、提取網絡數據包中的需要檢測的信息等。
②數據的處理。在互聯網上截獲的原始網絡信息需要采取信息化處理的過程,這也就是說,可以將這一些信息進行諸如壓縮等方式的處理,使之能夠實現信息分類的儲存,然后再將這些信息轉換成具有持續時問、源IP地址、目的IP地址等連接特征的網絡連接記錄,這就完成了數據挖掘的前期準備工作,繼而則在數據信息準備的基礎上,再一次對這些數據信息予以“清潔”,即刪除掉無效或無用的信息,而保存有效或有用的信息,最后環節則是數據信息的挖掘。
③數據信息的分類。在所截取的數據信息庫中存放大量的數據信息源,這些信息源處于無序與混亂的狀態,應該按照一定的規則進行區別。一方面,就要在對所儲存數據信息源特征與規則明晰的基礎上,確立非正常與正常模式的基本狀態,并將其儲存在數據庫當中,另一方面則要將儲存在數據庫當中的既有模式與所確定的特征與規則進行比對。當然,就業數據處于不斷有新的數據信息充實的狀態,原有的數據信息也會不斷被淘汰,因此數據酷中非正常與正常模式、數據信息源特征與規則等都應該處在不斷變化的過程中,只有如此,才能夠使數據挖掘方法的使用更加有效。
④應用模式評估。動態流量數據分析系統要根據最終的檢查結果作出及時的反映,如果歸屬于惡意侵犯的性質(如竊取機密信息數據等黑客的行為性質)則不但要發出警報,而且還應該采取防火墻等技術手段及時切斷內外網之間的關聯,并查找入侵的路徑,保留犯罪的證據;如果經過身份的甄別屬于正常的進入,系統則要依照正常的程序繼續對該用戶進行檢測。在基于數據挖掘的動態流量數據分析過程之中的模式應用后,都應該對正常模式與非正常模式的應用予以全面的評估,簡而言之,如果模式的應用起到了及時報警、阻遏非法侵犯的行為的作用,從而保障了數據信息的安全,就說明這一模式是成功的,起到了應有的效果,反之,則應該在多次試驗中予以驗證,直至建立起科學的模式。
4結語
在信息化的時代,基于網絡侵入技術的不斷提升,黑客與病毒對國有企業信息系統攻擊事件不斷發生,從而使得信息系統在為人們帶來便捷的同時,也成為最為脆弱的地方,此時信息系統安全防范技術的運用就顯得十分必要,依靠信息系統安全防范技術可以使得國有企業往來的數據信息都處于實時監控的狀態,并及時會對入侵產生監測與防御,這就會在一定程度上維護了國有企業往來數據信息的安全。為達此目的,就應該從制定與落實國有企業信息安全制度規范、提升國有企業信息化技術人員的操作水平、應用數據挖掘的信息安全技術這三方面著手,以此促進國有企業信息化建設的信息安全實踐健康發展。
參考文獻:
[1]秦海峰.企業信息化建設中信息安全問題的分析研究[J].中國信息界,2012,(5).
[2]杜凡.新形式下加強財務信息安全的途徑[J].當代經濟,2011,(21).
[3]張兆安.信息安全是信息化建設的重要基礎[J].上海企業,2013,(11).
關鍵詞:信息化;網絡安全;企業;解決方案
0 引言
現代企業信息化網絡是基于內部傳輸網和Internet網絡的互聯網絡,由于公眾網絡是一個相對開放的平臺,網絡接入比較復雜,掛接的相關點比較多,網絡一旦接入公眾網絡,對于一些網絡安全比較敏感的數據,傳輸的安全性就比較弱,比較危險。本文將重點分析企業網絡系統安全性方面以及業務系統安全性方面存在的問題。
1 企業信息化網絡存在的安全隱患
1.1 Windows系統的安全隱患
Windows的安全機制不是外加的,而是建立在操作系統內部的,可以通過一定的系統參數、權限等設置使文件和其他資源免受不良用戶的威脅(破壞、非法的編輯等等)。例如設置系統時鐘,對用戶賬號、用戶權限及資源權限的合理分配等。
由于Windows系統的復雜性,以及系統的生存周期比較短,系統中存在大量已知和未知的漏洞。一些國際上的安全組織已經公示了大量的安全漏洞,其中一些漏洞可以導致入侵者獲得管理員的權限,而另一些漏洞則可以被用來實施拒絕服務攻擊。例如,Windows所采用的存儲數據庫和加密機制可導致一系列安全隱患:NT把用戶信息和加密口令保存于NTRegistry的SAM文件即安全賬戶管理(securityAccounts Management)數據庫中,由于采用的算法的原因,NT口令比較脆弱,容易被破譯。能解碼SAM數據庫并能破解口令的工具有:PWDump和NTCrack。這些工具可以很容易在Internet上得到。黑客可以利用這些工具發現漏洞而破譯―個或多個DomainAdministrator帳戶的口令,并且對NT域中所有主機進行破壞活動。
1.2 路由和交換設備的安全隱患
路由器是企業網絡的核心部件,它的安全將直接影響整個網絡的安全。路由器在缺省情況下只使用簡單的口令驗證用戶身份,并且在遠程TELNET登錄時以明文傳輸口令。一旦口令泄密,路由器將失去所有的保護能力。同時,路由器口令的弱點是沒有計數器功能,所以每個人都可以不限次數地嘗試登錄口令,在口令字典等工具的幫助下很容易破解登錄口令。每個管理員都可能使用相同的口令,路由器對于誰曾經作過什么修改沒有跟蹤審計的能力。此外,路由器實現的某些動態路由協議存在一定的安全漏洞,有可能被惡意攻擊者利用來破壞網絡的路由設置,達到破壞網絡或為攻擊作準備的目的。
1.3 數據庫系統的安全隱患
一般的現代化企業信息系統包含著多套數據庫系統。數據庫系統是存儲重要信息的場所并擔負著管理這些數據信息的任務。數據庫的安全問題,在數據庫技術誕生之后就一直存在,并隨著數據庫技術的發展而不斷深化。如何保證和加強數據庫系統的安全性和保密性對于企業的正常、安全運行至關重要。
我們將企業數據庫系統分成兩個部分:一部分是數據庫,按照一定的方式存取各業務數據。一部分是數據庫管理系統(DBMS),它為用戶及應用程序提供數據訪問,同時對數據庫進行管理,維護等多種功能。
數據庫系統的安全隱患有如下特點:涉及到信息在不同程度上的安全,即客體具有層次性和多項性;在DBMS中受到保護的客體可能是復雜的邏輯結構,若干復雜的邏輯結構可能映射到同一物理數據客體上,即客體邏輯結構與物理結構的分離;客體之間的信息相關性較大,應該考慮對特殊推理攻擊的防范。
2 企業信息化網絡安全策略的體系
網絡安全策略為網絡安全提供管理指導和支持。企業應該制定一套清晰的指導方針,并通過在組織內對網絡安全策略的和保持來證明對網絡安全的支持與承諾。
2.1 安全策略系列文檔結構
(1)最高方針
最高方針,屬于綱領性的安全策略主文檔,陳述本策略的目的、適用范圍、網絡安全的管理意圖、支持目標以及指導原則,網絡安全各個方面所應遵守的原則方法和指導性策略。安全策略的其他部分都從最高方針引申出來,并遵照最高方針,不與之發生違背和抵觸。
(2)技術規范和標準
技術標準和規范,包括各個網絡設備、主機操作系統和主要應用程序應遵守的安全配置和管理技術標準和規范。技術標準和規范將作為各個網絡設備、主機操作系統和應用程序安裝、配置、采購、項目評審、日常安全管理和維護時必須遵照的標準,不允許發生違背和沖突。它向上遵照最高方針,向下延伸到安全操作流程,作為安全操作流程的依據。
(3)管理制度和規定
管理制度和規定包括各類管理規定、管理辦法和暫行規定。從安全策略主文檔中規定的安全各個方面所應遵守的原則方法和指導性策略引出的具體管理規定、管理辦法和實施辦法,必須具有可操作性,而且必須得到有效推行和實施。它向上遵照最高方針,向下延伸到用戶簽署的文檔和協議。用戶協議必須遵照管理規定和管理辦法,不與之發生違背。
(4)組織機構和人員職責
安全管理組織機構和人員的安全職責,包括安全管理機構組織形式和運作方式,機構和人員的一般責任和具體責任。作為機構和員工工作時的具體職責依照,此部分必須具有可操作性,而目必須得到有效推行和實施。
(5)用戶協議
用戶簽署的文檔和協議,包括安全管理人員、網絡和系統管理員安全責任書、保密協議、安全使用承諾等等。作為員工或用戶對日常工作中遵守安全規定的承諾,也作為違背安全時處罰的依據。
2.2 策略體系的建立
目前的企業普遍缺乏完整的安全策略體系,沒有將政府高層對于網絡安全的重視體現在正式的、成文的、可操作的策略和規定上。企業應當建立策略體系,制定安全策略系列文檔。建議按照上面所描述的策略文檔結構,建立起安全策略文檔體系。
建議策略編制原則為建立一個統一的、體系完整的企業安全策略體系,內容覆蓋企業中的所有網絡、部門、人員、地點和分支機構。鑒于企業中的各個機構業務情況和網絡現狀差別很大,因此在整體的策略框架和體系下,允許各個機構根據各自情況,對策略體系中的管理制度、操作流程、用戶協議、組織和人員職責進行細化。但細化后的策略文檔必須依照企業統一制定的策略文檔中的規定,不允許發生違背和矛盾,其要求的安全程度只能持平或提高,不允許下降。
2.3 策略的有效和執行
安全策略系列文檔制定后,必須和有效執行。和執行過程中除了要得到企業高層領導的大力支持和推動外,還必須要有合適的、可行的和推動手段,同時在和執行前對每個本員要進行與其相關部分的充分培訓,保證每個人員都了解與其相關部分的內容。必須要注意到這是一個長期、艱苦的工作,需要付出艱苦的努力,而且由于牽扯到企業許多部門和絕大多數人,可能需要改變工作方式和流程,所以推行起 來阻力會相當大;同時安全策略本身存在的缺陷,包括不切實際的、太過復雜和繁瑣的、規定有缺欠的情況等,都會導致整體策略難以落實。
3 企業信息化網絡安全技術總體解決方案
參考以上所論述的,結合現有網絡安全核心技術,本文認為,企業信息化網絡總體的安全技術解決方案將圍繞著企業信息化網絡的物理層、網絡層、系統層、應用層和安全服務層搭建整體的解決方案,企業信息化網絡建設將著重從邊界防護、系統加固、認證授權、數據加密、集中管理五個方面進行,在企業信息化網絡中重點部署防火墻、入侵檢測、漏洞掃描、網絡防病毒、VPN五大子系統,并通過統一的平臺進行集中管理,從而實現企業信息化網絡安全既定的目標。
3.1 防火墻系統的引入
通過防火墻系統的引入,利用防火墻“邊界隔離+訪問控制”的功能,實現對進出企業網的訪問控制,特別是針對內網服務器資源的訪問,進行重點監控,可以提高企業網的網絡層面安全。防火墻子系統能夠與入侵檢測子系統進行聯動,當入侵檢測系統對網絡中的數據包進行細粒度檢測,發現異常,并通知防火墻時,防火墻會自動生成安全策略,將訪問源阻斷在防火墻之外。
3.2 入侵檢測子系統的引入
入侵檢測系統用于實時檢測針對重要網絡資源的網絡攻擊行為,它會對企業網內異常的訪問及數據包發出報警,以便企業的網絡管理人員及時采取有效的措施,防范重要的信息資產遭到破壞。同時,可在入侵檢測探測器與防火墻之間建立互動響應體系,當探測器檢測到攻擊行為時,向防火墻發出指令,防火墻根據入侵檢測系統上報的信息,自動生成動態規則,對發出異常訪問及數據包的源地址給予阻斷。入侵檢測和防火墻相互配合,能夠共同提高企業網整體網絡層面的安全性,兩個系統共同構成了企業網的邊界防護體系。
3.3 網絡防病毒子系統的引入
防病毒子系統用于實時查殺各種網絡病毒,可防范企業網遭到病毒的侵害。企業應在內部部署網關級、服務器級、郵件級,以及個人主機級的病毒防護。從整體上提高系統的容災能力,提升企業網整體網絡層面的安全性。
3.4 漏洞掃描子系統的引入
漏洞掃描子系統能定期分析網絡系統存在的安全隱患,把隱患消滅在萌牙狀態。針對企業網絡中存在眾多類型的操作系統、數據庫系統,運行著營銷系統、財務系統、客戶信息系統、人力資源系統等重要的應用,如何確保各類應用系統的穩定和眾多信息資產的安全,是企業信息化網絡中需要重點關注的問題。通過漏洞掃描子系統對操作系統、數據庫、網絡設備的掃描,定期提交漏洞及弱點報告,可大大提高企業網整體系統層面的安全性。該系統與病毒防范系統一起構成了企業網的系統加固平臺。
3.5 數據加密子系統的引入
通過對企業網重要數據的加密,確保數據在網絡中以密文的方式被傳遞,可以有效防范攻擊者通過偵聽網絡上傳輸的數據,竊取企業的重要數據,或以此為基礎實施進一步的攻擊,從而提高了企業網整體應用層面的安全性。
關鍵詞:電力;通信企業;安全文化;建設
現階段,企業安全文化由于其本身具備有優良的安全管理手段的特點,已經受到眾多企業廣泛的關注。因此,怎樣有效地構建安全文化是當前電力行業及通信企業共同探討的話題。電力通信企業生產的主要目的在于如何有效地利用通信為電力企業搭建一個基礎平臺,能夠準確地控制各項生產、營銷、辦公自動化的消息的全面傳送,能夠給電網的安全生產及經營管理提供安全、可靠的通信保障及優質的服務。它不僅具備維護量大、點多面廣線長的特點,而且其技術更新過程很快,需要不斷學習才能夠具備駕馭能力。另外,其安全責任性相對較大,特別是針對電網安全運行,需要更新傳統的通信安全觀念,樹立與電網安全生產要求相適應的安全管理理念。因此,電力通信企業的安全文化管理是一個繁雜的系統性工程,由于其涉及眾多因素,必須長期堅持開展工作,而領導班子齊心協力是建設企業安全文化的重要基礎。
1 安全文化建設的內涵及意義
電力通信企業的安全文化指的是在從事電力通信生產的實際過程中,為了能夠保證生產能夠正常進行,保護職工不受到傷害,通過長時間不斷地積淀和總結,并結合當前形式下的市場積極制度所形成的一種思想及理論。其不僅是全體職工對安全工作形成階段的一種共識,而且還是電力通信企業安全工作的基礎與平臺,更是實現電力通信企業安全生產長治久安的堅強后盾。因此,安全文化在電力通信安全管理階段中具備非常重要的意義。
1.1 企業安全文化建設的步驟
1.1.1 建立機構
企業安全文化組織的保證來源于建立領導機構。委員會負責對領導的組織工作,日常工作開展主要依靠下設辦公室完善,各項二級單位需要成立專門的領導小組。安全文化建設領導機構能夠有效建立及正常運轉都少不了高層領導的高度重視。各級領導需要充分意識到建設企業文化對企業發展的重要性,積極組織好安全文化小組,完成各項任務,要保證其在任務階段能夠獲取有效成績,推進企業安全文化建設步伐,以此帶動企業安全生產管理水平的提升。
1.1.2 制訂規劃
在進行電力通信企業安全文化的建設過程中,需要有總體規劃方案,即行動有計劃,并且要定時定期地檢查計劃與規劃的執行狀況。在制定規劃的過程中,需要調查分析安全文化所涉及的內容,并且要根據電力企業安全生產及經營管理對通信專業的基本要求,對企業的安全文化理念做定格的設定。要及時地制定科學的時間表,在實施計劃過程需要講究效率及效果,而且要定期檢查實施情況。值得特別注意的是,企業必須與時俱進,要按照電力企業對通信企業提出的各項要求,進行創新文化的理念革新,及時修訂安全文化的建設規劃,使其能夠適應時展。
1.1.3 訓練骨干
在安全文化建設的過程中,只有訓練出一批對安全文化建設有正確認識及深刻體驗的骨干人才,才能夠在一定基礎上有效地帶動群眾隊伍,從而齊心地建設和完善企業安全文化。這一過程的訓練內容基本包括理論分析、實例分析及經驗詳談和單位的實施方法等。企業骨干培訓越多,企業安全文化建設的推動就越有利。所以,對于企業領導、班級領導,首先要讓自己成為企業中的骨干,只有這樣才能起到帶頭作用,才能更好地影響群眾。
1.1.4 宣傳教育
安全文化建設的手段主要通過宣傳、激勵、教育、感化的形式進行。通過采取各種文化模式,例如宣傳激勵、科技創新、文學藝術、教育培訓等協助安全文化建設的推進工作。在此有幾方面的內容需要強調,具體如下;
(1)要傳遞上級主管部門在各個環節的重要指示精神,特別是針對通信專業的具體要求,需要領悟其深刻思想,要在一定程度上加強安全生產的責任感。
(2)要積極、有效地運用“安全月”“安全隱患排查”的活動,及時做好安全文化建設的宣傳工作,營造文化氣氛。
(3)要抓住重大事故的案例進行對比,按照四不放過的原則進行嚴格管控,通過舉一反三的形式對員工進行安全意識培養。
1.1.5 努力實踐
在建設企業安全文化的階段中,不僅需要做到雷厲風行,而且還要完善實際效果。安全建設文化實踐的要點主要包括以下方面:
(1)高層領導需要起到表率的作用,要不斷深入群眾體系,聆聽大眾建議。
(2)管理人員在管理過程必須有創新精神,而且這個階段需要培養新的工作作風。
(3)需要建立完善的機制,需要表彰獎勵先進,對正確的行為方式給予鼓勵。
2 企業安全文化建設的內容及方法
當前,在電網的安全管理及經營管理都依賴于通信的形勢下,電力通信安全生產的重要性,在很大程度上決定了企業安全文化建設的必然性。其中,通信企業安全文化建設的內容主要包括以下方面:
(1)有效地完善安全機制,提升安全意識。
(2)通過對事故心理的研究,塑造優良的心理狀態。
(3)加大教育力度,增強教育效果。
(4)不斷完善安全立法,規范行為作業。
3 電力企業安全文化建設的途徑
只有將“以人為本”的概念放在文化建設的首位,才能夠有效地將企業文化塑造成具有可操作性的企業安全文化,并且以此為基礎,形成相對的安全意識及安全價值觀。當前,在電力體系不斷改革的基礎下,電力企業安全文化建設也在不斷向人性化、統一化轉變,由面向設備慢慢向面向人轉變,由面向技術逐漸轉變為面向規范化。
3.1 科學地樹立安全價值觀
在安全生產的實際階段中,電力企業需要根據自身特點,培訓員工普遍認同的科學的安全價值觀及安全生產理念,運用簡練的語言進行表述,以此激發員工的積極性以及提高員工的工作熱情,從而提升安全生產責任感。采用正確的價值觀去面對事故發生的瞬間,積極地調整和約束自己的行為,做出保護生命財產及減少損失的正確選擇。以上這些行為措施,都對提高全體員工的安全素質有一定的意義,對其實現安全生產目標有推動性作用。
3.2 建立以人為本的文化概念
國外杜邦公司經過研究認為,96%的安全因素來源于人體行為。幾年來,通過多起事故的實際調查分析,也充分證明了這一點。所以要想做好安全生產就需要對“人”進行有效管控,要從“人”這個管理要素入手,培養適合本企業的安全生產文化,并且這個階段如何被廣大職工接受,讓其在內心深處留下積極印象,從而在安全生產中發揮重要作用,這應該是當前電力通信企業安全文化建設的首要任務。
3.3 建立分成負責的安全管理網絡
在這一過程中需要建立一個以行政領導為中心、面向管理部門與基層部門班組輻射的安全管理網絡。各層需要有專人負責,各層都需要做到人員、制度、措施的3個落實制度,每層都需要重視安全文明建設,各個層面都需要能夠運行系統管理的原理方法及分析評價系統的安全狀態,要及時發現通報系統中存在的危險信號,通過采取綜合措施,讓系統中發生的事故率有所降低,使其安全狀態保持穩定。
3.4 建立統一的職業規范
根據電力系統的各項系統特征,需要制定一個有效的職業規范。安全生產技術的培訓,在一定階段中促成了職業規范的形成。嚴格的培訓能夠在一定基礎上員工的行為形成一種準則及思維方式,能夠讓員工各就其位,各負其責,能夠提高其工作效率及安全監管水平。企業需要定時對員工進行組織培訓,培訓內容應該以國家方針、政策、法律及企業安全生產技術為基礎,特別要針對剛上崗的新員工進行嚴格的崗位培訓。
目前,企業信息系統中的威脅主要來源于外部因素,隨著社會的快速發展,在激烈的市場競爭中信息占有非常重要的位置,有很多不法分子會想方設法的利用各種手段竊取企業信息,最終獲得經濟效益。還存在部分企業在與對手競爭中為占取有利位置會采取不正當手段獲取對方企業信息,最終達到擊敗對方的目的。目前在國內黑客人侵企業網絡的主要手段有直接進攻企業信息系統和傳播病毒兩種。
二、當前企業信息化建設中完善信息安全的對策
(一)樹立正確安全意識企業在信息化發展的進程中,應意識到企業信息的安全問題與企業發展之間存在的關聯性。一旦企業的重要信息被竊取或外泄,企業機密被泄漏,對企業所造成的打擊是非常巨大的,同時也給競爭對手創造了有利的機會。因此樹立正確的安全意識對于企業是非常重要的這樣才能為后面的工作打下良好的基礎。
(二)選擇安全性能高的防護軟件雖然任何軟件都是有可以破解方法的,但是對于安全性能高的軟件而言,其破解的困難性也隨之增加,所以企業在選擇安全軟件時應盡量選擇安全性能高的,不要為節省企業開支而選擇性能差的防護軟件,如果出現問題其造成的損失價值會遠遠的大于軟件價格。
(三)加強企業內部信息系統管理首先,對于企業信息系統安全而言,無論是使用哪種安全軟件都會遭到攻擊和破解,所以在安全防御中信息技術并不能占據主體,而管理才是信息安全系統的主體。因此建立合理、規范的信息安全管理體質對于企業而言是非常重要的,只有合理、規范的管理信息,才能為系統安全打下良好的基礎。其次,建立安全風險評價機制。企業的信息系統并不是在同一技術和時間下所建設的,在日常的操作和管理過程中,任何系統都是會存在不同的優勢和劣勢的因此企業應對自身的信息系統做安全風險評估,根據系統的不同找出影響系統安全的漏洞和因素,并制定出詳細的應對策略。
(四)加強網絡安全管理意識首先,網絡安全管理部門應樹立正確的網絡安全觀念,加強對網絡安全的維護,在企業人員培訓中加入對人員的網絡安全培訓,從而使企業工作人員自覺提升安全防范意識,擺脫傳統的思維模式,突破網絡認識誤區。加強對對網絡黑客尤其是未成年人黑客的網絡道德和法律教育,提高他們的法律意識,從而使他們自覺遵守網絡使用的法律法規。其次,應當利用合理有效的方式普及對全體員工有關于網絡法律法規及網絡知識的教育,以提高他們的網絡安全意識。
(五)網絡的開放性使得網絡不存在絕對的安全,所以一勞永逸的安全保護策略也是不存在的由此可以看出,企業實施的網絡安全策隨著網絡問題的升級而發展的,具有動態特征。因此企業制定的策略要在符合法律法規的基礎上,通過網絡信息技術的支持,并根據網絡發展狀況、策略執行情以及突發事件處理能力進行相應的調整與更新,這樣才能確保安全策略的有效性。此外企業還應綜合分析地方網絡安全需求,進一步制定更加完善的網絡安全防護體系,以減少網絡安全存在的風險,保證信息化網絡的安全性。絕大部分的企業信息被竊取都是不法分子通過網絡進行的,因此必須加強企業的網絡管理,才能確保企業信息系統在安全的狀態下運行。針對信息安全的種類和等級制定出行之有效的方案,并提前制定出如果發生了特定的信息安全事故企業應采取哪種應對方案。當企業信息安全危機發生時,企業應快速成立處理小組,根據信息安全危機的處理步驟和管理預案,做好危機處理工作,避免出現由于不當處置而導致的連鎖危機的發生。另外,還應在企業內部做好信息安全的培訓和教育工作,提高信息安全的管理意識,提高工作人員對安全危機事件的處理能力。
三、結語
【關鍵詞】 企業 信息化建設 信息安全
前言
當前,信息化建設已經成為了各類企業建設和發展的重點內容,企業通過信息化建設的方式,讓自身生產與流通工作可以更順利地進行,并利用互聯網,創造出現代企業新型發展模式。但是,就實際情況而言,企業的信息化建設并不是一直處于一個平穩的發展狀態,在其發展的過程中也會受到諸多內部或外部因素的影響和束縛,在信息的安全方面也存在許多的問題,如黑客入侵或是病毒入侵。如果企業信息存在的安全問題比較嚴重,不僅會給企業信息化建設造成不利影響,還有可能會影響到企業的正常運營和發展。
一、造成企業信息化建設中的信息安全問題的原因
1.1內部原因
①企業內部的信息安全意識缺乏,目前,雖然很多的企業都提倡建設企業內部信息化,但是大部分企業過于注重信息化建設過程中得到的利益和優勢,卻忽略了信息化建設中信息的安全問題。
②軟件安裝的技術比較落后,黑客與病毒的發展速度比軟件技術更新速度快。
③管理操作不得當,在對信息系統進行管理與操作的過程中過于粗心大意,給黑客與不法分子和黑客制造了入侵的機會,對企業的信息安全造成威脅。
④專業的管理人才缺乏,沒有對企業的信息安全系統定制出合理的安全管理策略,且沒有讓專業的操作人員對統系統進行維護和升級,致使企業信息系存在信息安全隱患[1]。
1.2外部原因
對于大多數企業而言,信息系統中存在的安全威脅大部分來自于外部因素,隨著社會的不斷發展,信息建設在各類企業市場競爭中的地位和作用日益提高,許多的不法分子想盡辦法對各類企業的信息進行竊取和破壞,以此來獲得自身的利益。還有一部分企業為了得到競爭對手企業的各類商業信息,采用不正當的手段破壞或是入侵對手企業的信息系統,竊取對方企業的商業機密,以此來打倒對方。
二、企業信息化建設中存在的信息安全問題
2.1企業不夠重視信息系統的安全問題
就目前而言,國內的大部分企業都沒有給予信息系統安全問題足夠的重視,沒有意識到信息系統安全的重要性。近年來,雖然國內信息化建設得到了快速的發展,國內企業的信息安全程度也有所提高,但是大部分的企業還是沒有意識到信息安全問題對企業的重要性,只看到了信息化建設給企業創造的短暫利益,而忽視了信息化建設信息安全的長遠發展,未針對信息安全問題采取適當的防范措施,致使企業信息化的發展存在較多的安全隱患。
2.2企業信息化操作管理不到位
在企業進行信息化建設的過程中,大多數的企業沒有認識到對企業信息進行科學管理和操作的重要性。相關的操作和管理人員在信息化建設的管理和操作中缺少合理性,導致黑客與入侵者有機可乘,造成企業信息外泄。企業的信息化建設是一個全新的的概念,其中的信息系統管理,信息安全系統的維護與升級都必須由專業的操作人員進行操作和管理,因此,專業技術人員專業技能的缺乏和個人的素質對企業的信息安全有著直接的影響。
2.3可用于信息化建設的軟件較少
近年來,市場上各種類型的系統軟件越來越多,但是能夠真正用到企業信息化建設的系統軟件卻比較缺乏,特別是相較于國際市場,國內的軟件無論是在適用范圍,還是技術水平方面都比較落后,這也是給企業數據安全帶來隱患的一大重要原因。
企業信息化建設使用的軟件安全性能較低,很容易被病毒或是黑客入侵,從而對企業的信息安全造成威脅,雖然大部分的企業在商業機密信息方面設置了一定的操作權限,但是在企業的實際管理中,比較容易出現員工操作權限重復的情況,操作人員的責任不夠明確,從而導致企業信息外泄或是數據丟失[2]。
三、企業提高信息化建設中的信息安全性的對策
3.1企業需樹立正確安全意識
在企業信息化的發展進程中,企業應該充分了解企業信息安全問題和企業發展之間的關系。意識到一旦企業的重要機密發生外泄或者是被竊取,將會給企業造成不可估量的損失,并給競爭對手提供有利的機會。
因此,企業應該采取適當有效的措施,防止信息安全問題的產生,樹立正確的信息安全意識,以便為企業未來的信息化發展打下更好的基礎。
3.2加強企業內部信息系統管理
①正常來說,企業信息的系統使用任何的安全軟件都有可能被攻擊或被破解。在信息的安全防御過程中,最重要的并不只是信息技術,管理對于企業的信息安全系統來說也非常重要,只有對企業的信息進行合理、規范的管理,才能更有效提升企業信息系統的安全性。因此,合理的對信息安全管理體系進行規范化建設,對于企業的信息安全管理至關重要。
②完善企業安全的風險評估機制。企業信息系統的建設,并非是利用一種技術在短時間內能夠完成,在平常的操作與管理中,所有的系統都有自己的優勢與缺點,因此,企業應該針對本身信息系統的優勢和缺點建立相關的安全風險評估機制,找到對信息系統安全造成影響的漏洞和原因,并及時地進行處理,以有效降低企業信息系統被攻擊的可能性。
3.3運用安全性較高的防護軟件
盡管所有的防護軟件都有辦法破解,但是安全性越高的防護軟件,破解的難度就越大,企業信息被竊取或是泄露的可能性也就越低。因此,企業在對安全防護軟件進行選擇時,不應該為了節省企業的成本,而在信息系統中使用一些安全性較低的防護軟件,應該選技安全系數較高的防護軟件,防止信息系統出現安全問題,給企業帶來更大的經濟損失。
3.4加強企業的網絡管理
大多數的不法分子都是通過網絡對各個企業的信息進行竊取和破壞,因此,企業需要加強企業的網絡管理,以確保企業信息系統的運行可以在安全的狀態下進行。企業應該依據信息安全的等級、種類制定出相關的防護措施和方案,并提前制定好信息安全事故發生之后,企業應該采取的解決措施[3]。在企業的信息安全受到威脅時,企業應該及時成立起危機處理小組,讓該小組依據信息安全危機處理的步驟與預案,進行危機處理,防止危機處理不當而出現更加嚴重的連鎖危機。此外,企業應該對內部的員工進行信息安全培訓與教育,提升員工信息安全管理意識和安全危機事件的處理能力,從而有效防止企業自身失誤而造成的信息安全問題。
四、結束語
總之,在這個信息化的時代,企業進行信息化建設是其發展和生存的重要途徑。但就目前而言,我國大部分的企業都只看到了信息化建設的優勢,沒有意識到信息系統安全問題的重要性,信息系統還處在一個長期不設防的狀態當中,這一情況直接影響了企業信息系統的安全性。因此,為了提高現代企業信息系統的安全性,企業就應該重視信息系統的安全問題,樹立正確的信息安全意識,采取有效的防范措施、不斷完善企業的信息管理體系,在企業信息化建設過程中,對可能會影響信息系統安全的因素進行全面考慮,以確保企業信息系統建設的安全性。
參 考 文 獻
[1]艾戩.企業信息化建設中的信息安全探究[J].網絡安全技術與應用,2015,9(3):101-102.
一、新時期煤礦企業安全文化建設的內涵解析
(一)安全文化的產生與發展。安全文化是在社會生產以及人類生存過程中的客觀存在與主觀存在,所以,安全文化隨著人類社會的產生而產生,隨著人類社會的發展而發展。然而,在最近十年間,人類才有意識地發展安全文化,建設安全文化。隨著我國技術水平的不斷提高以及工業進程的不斷加快,人類對于安全文化逐步有了系統、科學的理解和認識。根據安全文化的演變以及發展過程,本文將安全文化歸納為幾個階段,時代的安全文化、近代安全文化、現代安全文化以及發展的安全文化。
(二)安全文化的內涵。安全文化既是文化的一個分支,更是社會文化的重要組成部分。在工業領域的安全文化就被稱為企業安全文化,倘若與管理工作或者行政工作相結合,就成為安全管理文化。總之,安全文化可以應用到各個行業和各個領域,安全文化的核心就是保障和維護人們的身心健康及生命安全。無論是哪個領域的安全文化,都包含兩個層次的結構。
安全文化的第一個層次就是表層結構,由安全使用標準和安全使用規范組成。表層結構還可以細分為非立約和立約兩類:非立約類的表層安全文化就是沒有用法規的形式表現出來,但是在人們內心約定俗成的一些內容,比如安全禮讓、安全崇尚、安全習慣、安全風俗等;立約類的表層安全文化就是指用一定的形式明確規定出來的一些內容,比如技術標準、規章、制度、條例、法律等。
安全文化的第二個層次就是里層結構,這是安全文化的理性部分,包括“安全第一”的生產及經營原則、“安全第一”的道德思想、“安全第一”的科學思想等。總之,這些內容集中體現為“安全第一”的價值觀,具體表現為以下安全要素:誓言;環境;發展戰略;道德;民主;價值;管理哲學;道路;信條;追求;風格;精神;宗旨;目標。
二、新時期煤礦企業安全文化建設中的一些問題
(一)安全文化建設程度不夠深入。隨著我國社會經濟的不斷發展以及改革開放的不斷深入,我國大部分的煤礦企業相繼開始了安全文化的建設工作,全國各地興起了“文化熱”。然而,在實際的實施過程中,煤礦企業大多重視安全技術改造方面的工作,忽視企業的安全文化建設。此外,有些煤礦企業的中層文化建設和表層文化建設都比較到位,但是,企業的安全文化規章制度還是停留在表面上和紙面上,沒有內化為全體員工的行為準則和安全習慣,即深層企業安全文化建設還比較薄弱。
(二)安全文化建設缺乏整體規劃。雖然國內很多學者對企業安全文化進行了研究,但是,這種分析和研究大多停留在理論層面和口頭層面上,安全文化的理論研究成果可操作性不強,不能適應生產實踐和社會發展的需要。煤礦企業安全文化的研究人員大多是煤礦企業的一線工作者,經驗大多為經驗式的,不太注重研究結論和研究過程的檢驗性和試驗性。此外,安全文化建設缺乏整體規劃,大多數煤礦企業沒有制定科學完善的安全規劃以及安全方案,安全文化建設過程淪為一般的安全教育過程。
(三)安全文化建設存在認識誤區。簡而言之,企業安全文化就是人們自覺形成、自覺遵守、自覺堅持的一種約定俗成的安全習慣和行為準則。但是,對于安全文化的理念以及內涵,一些人還存在認識上的誤區,具體表現如下:有的人認為安全文化建設就是搞一些文藝演出和安全活動,這種認識是淺層次的、表面性的,沒有深刻領會安全文化建設的真諦;有的人認為安全文化建設就是單純營造一種安全文化氛圍,寫一些安全警句,懸掛一些安全標示等;還有些人認為安全文化建設就是一般性的安全培訓和安全教育。
(四)安全文化建設缺乏科學評估。由于文化的“軟”特點,難以進行有效測量和有效評估。安全文化評價指標體系的建立是一項復雜、艱巨的任務和工作,它需要一套系統、完善、科學、合理的建設方案和建設計劃,包括評價結果的測量、評價方法的確定、評價指標的收集等。當前,我國在安全文化的評價指標體系方面的工作還不夠完善,雖然有學者進行了這方面的研究,但是沒有建立一套能夠進行綜合評價和系統分析的定量方法,其操作性和可行性更需要進一步的研究和探討。
三、新時期煤礦企業安全文化建設中的具體策略
在實際的建設中,煤礦企業應該高度重視安全文化建設,立足本企業的實際生產狀況以及本行業的實際建設現狀,轉變安全文化建設觀念,創新安全文化建設思路,改進安全文化建設方法,培訓企業獨有的安全文化,進而充分發揮安全文化對于企業發展的巨大作用。
(一)增強企業安全文化建設意識。在煤礦企業安全文化的建設過程中,必須提高認識,轉變觀念,增強企業安全文化建設意識。我們要開展各種形式的安全教育活動,組織各種類型的安全培訓學習,建立起一套行之有效的安全文化規章制度。首先,煤礦企業的各個管理層人員以及 (下轉第65頁)
(上接第50頁)領導層必須高度重視企業安全文化的建設工作,轉變安全文化建設觀念,創新安全文化建設思路,樹立人性化、精細化、科學化的安全文化建設理念。其次,直接參與到煤礦企業安全生產的工作人員要自覺接受安全宣傳教育,努力學習安全生產知識。最后,要充分發揮黑板報、報紙、電視、廣播等宣傳陣地和宣傳媒體的作用,加強企業安全文化建設的必要性、重要性方面的宣傳。
(二)注重安全文化建設實踐。首先,我們要突出重點,注重實效,努力把對企業安全文化建設的理論研究轉變為企業的實際建設。第一,要不斷宣傳和灌輸安全文化建設理念。第二,要不斷創新安全文化教育活動。第三,要深入開展和舉辦各種類型的安全文化活動。通過這些安全文化教育活動,讓員工加強對安全文化建設的理論認識和理解,包括安全建設規程、安全標語、安全警句、企業精神、安全理念等制作成圖文并茂的各種宣傳板,進而營造一種良好的企業安全文化建設氛圍,使安全生產工作人員隨時隨地接受安全文化的熏陶。
(三)建立安全文化建設評價體系。針對當前的企業安全文化建設評價方面的問題,比如評價主觀性過強,評價方法較為簡單等問題,要建立科學有效的安全文化建設評價體系。依據我國目前的煤礦企業的安全建設的實際狀況,本文提出了以下9個安全文化評價指標,以供參考:員工素質、一線員工的安全事務影響力、安全行為激勵、安全信息傳播、安全培訓、安全管理、安全環境、安全承諾、資金投入。
(四)提高安全工作人員的素質。與其他行業相比,煤礦企業的工作人員的整體素質偏低,尤其是在井下采掘的一線員工。對于煤礦企業來講,員工的安全技能培訓非常重要,煤礦企業的管理人員必須高度重視。其一,建立健全員工培訓機制,將員工培訓放在煤礦企業管理工作的首要位置。其二,掌握實情,摸清底子,根據員工的業務技能、文化程度、知識結構的實際情況,有針對性地開展員工培訓。其三,要根據施工安全技術和施工場地,分期、分批、分崗位、分工種地進行有針對性的、有重點的培訓。其四,不斷創新培訓觀念和培訓形式,注重培訓的實際效果。
