引論:我們?yōu)槟砹?3篇企業(yè)信息安全重要性范文,供您借鑒以豐富您的創(chuàng)作。它們是您寫作時的寶貴資源,期望它們能夠激發(fā)您的創(chuàng)作靈感,讓您的文章更具深度。
篇1
1 現(xiàn)狀分析
我國中、大型煤礦企業(yè)建設(shè)和應(yīng)用了大量的信息系統(tǒng)和工業(yè)控制系統(tǒng),并且這些信息系統(tǒng)已經(jīng)深入到生產(chǎn)經(jīng)營的方方面面,促使煤礦企業(yè)從傳統(tǒng)的密集型、重體力生產(chǎn)模式向“采掘機(jī)械化、生產(chǎn)自動化、管理信息化”模式轉(zhuǎn)變,有力地提升了煤礦企業(yè)管理效率,加速了煤礦的企業(yè)轉(zhuǎn)型升級。但是煤礦企業(yè)在信息網(wǎng)絡(luò)安全管理方面還存在諸多問題:
1.1 企業(yè)管理人員對信息網(wǎng)絡(luò)安全的重要性認(rèn)識不足
主要表現(xiàn)在四點,一是沒有建立完善的信息網(wǎng)絡(luò)組織體系,相關(guān)的制度建立和落實不到位。二是企業(yè)大都沒有編制詳實可行的信息網(wǎng)絡(luò)安全預(yù)案,也沒有進(jìn)行相關(guān)的應(yīng)急演練;三是信息網(wǎng)絡(luò)安全方面的投入比較少,企業(yè)安全防護(hù)設(shè)施不全;四是企業(yè)管理人員對于信息網(wǎng)絡(luò)安全的知識非常欠缺,只注重信息系統(tǒng)具體應(yīng)用和預(yù)設(shè)功能,對于操作可能帶來的網(wǎng)絡(luò)威脅沒有防范意識。
1.2 信息孤島與信息網(wǎng)絡(luò)安全之間的矛盾日益沖突
早期煤礦企業(yè)建設(shè)的信息系統(tǒng)和工業(yè)控制系統(tǒng)都是一個單一的個體,相互獨立,之間沒有任何聯(lián)系,隨著信息技術(shù)的發(fā)展和企業(yè)管控一體化進(jìn)程的不斷推進(jìn)。“信息孤島”的問題得到了很大程度的解決,但同時產(chǎn)生的信息網(wǎng)絡(luò)安全問題也日益突出。“信息孤島”的消除依賴網(wǎng)絡(luò)的廣泛應(yīng)用,而網(wǎng)絡(luò)正是信息安全的薄弱環(huán)節(jié)。消除“信息孤島”勢必使工業(yè)控制系統(tǒng)增加大量的對外聯(lián)系通道,這使得信息網(wǎng)絡(luò)安全面臨更加復(fù)雜的環(huán)境,安全保障的難度大大增加。
1.3 信息安全管理人員信息安全知識和技能不足,主要依靠外部安全服務(wù)公司的力量
主要原因有三點:
(1)煤礦企業(yè)地處偏遠(yuǎn)山區(qū)、工作環(huán)境和生活環(huán)境相對都比較差,很難招聘到高科技人才,即是招到人也很難留下來。
(2)企業(yè)以煤炭生產(chǎn)、加工、銷售為主業(yè),信息技術(shù)人才發(fā)展空間小、大多數(shù)人員都只是從事信息維修工和桌面支持之類的工作。
(3)信息安全管理人員長期得不到培訓(xùn)和學(xué)習(xí)的機(jī)會,信息技術(shù)知識的儲備量有限、業(yè)務(wù)水平處在較低的一個水平,所以只能依靠外部安全服務(wù)公司。
1.4 信息網(wǎng)絡(luò)安全防護(hù)設(shè)備利用率低,很難發(fā)揮應(yīng)有的功能
煤礦企業(yè)在信息網(wǎng)絡(luò)建設(shè)初期都會做網(wǎng)絡(luò)安全方面的布置,比如在網(wǎng)絡(luò)邊界架設(shè)防火墻、入侵檢測設(shè)備,在內(nèi)部部署殺毒軟件,形成了軟硬件相結(jié)合的防御模式,可是很多企業(yè)的防火墻和入侵檢測設(shè)備從安裝到被替換可能從來都沒有做過配置更新,和漏洞修復(fù)、打補(bǔ)丁之類的操作,大多數(shù)的員工電腦也從不安裝殺毒軟件,這就做法無形中弱化了我們防御的盾牌和進(jìn)攻的長矛,使網(wǎng)絡(luò)安全防護(hù)設(shè)備長期處于半“休眠”狀態(tài)。
2 重要性
“沒有網(wǎng)絡(luò)安全就沒有國家安全”,在浙江烏鎮(zhèn)世界互聯(lián)網(wǎng)大會上提出的網(wǎng)絡(luò)安全觀,足以證明網(wǎng)絡(luò)安全對于國家的重要性。那么同樣對于現(xiàn)今充分利用信息網(wǎng)絡(luò)和工業(yè)控制系統(tǒng)的現(xiàn)代化煤礦企業(yè)來說,如果沒有足夠的信息網(wǎng)絡(luò)安全也就沒有企業(yè)的安全生產(chǎn)。信息技術(shù)是一把“雙刃劍”,它改變了企業(yè)的生產(chǎn)方式,優(yōu)化了企業(yè)的管理流程,提高了企業(yè)管理效率,可是同樣卻又不得不將企業(yè)置身于互聯(lián)網(wǎng)之中。互聯(lián)網(wǎng)是一個“超領(lǐng)土”存在的虛擬空間,存在各種潛在的威脅,比如利用木馬、病毒、遠(yuǎn)程攻擊、控制等方式,泄露企業(yè)的商業(yè)機(jī)密、修改控制系統(tǒng)指令、攻陷服務(wù)器、盜取個人信息等,這些都有可能對企業(yè)造成嚴(yán)重安全事故和經(jīng)濟(jì)損失。這些還只是企業(yè)內(nèi)部的損失,很多大、中型煤礦企業(yè)為了提升企業(yè)管理效率都開通與集團(tuán)公司之間的專線VPN,承載了很多應(yīng)用服務(wù)包括協(xié)同OA、生產(chǎn)調(diào)度、銷售等等的數(shù)據(jù)都要進(jìn)行通信,如果信息網(wǎng)絡(luò)安全受到攻擊癱瘓,都會對企業(yè)的生產(chǎn)經(jīng)營造成影響,更有甚者可能通過煤礦企業(yè)本地發(fā)起攻擊,致使整個集團(tuán)的信息網(wǎng)絡(luò)受到嚴(yán)重威脅,所以煤礦企業(yè)管理人員一定要樹立正確的信息網(wǎng)絡(luò)安全觀,充分認(rèn)知信息網(wǎng)絡(luò)安全的重要性,加快構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系,增強(qiáng)企業(yè)信息網(wǎng)絡(luò)安全的防御能力。
3 總結(jié)
總之,信息網(wǎng)絡(luò)技術(shù)發(fā)展的今天,信息網(wǎng)絡(luò)安全已經(jīng)是每一個煤礦企業(yè)必須面對和正視的問題,也是每一個企業(yè)管理者應(yīng)該積極參與和考慮的問題。古人云“知己知彼 百戰(zhàn)不殆”,煤礦企業(yè)應(yīng)該立即行動起來,通過開展關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全檢查,準(zhǔn)確掌握企業(yè)關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全狀況,詳細(xì)評估企業(yè)所面R的網(wǎng)絡(luò)安全威脅,制定對應(yīng)的防范措施,構(gòu)建企業(yè)信息網(wǎng)絡(luò)安全的“防火墻”,為企業(yè)安全生產(chǎn)經(jīng)營、職工娛樂生活營造一個安全、穩(wěn)定、健康的網(wǎng)絡(luò)環(huán)境。
參考文獻(xiàn)
[1]陳龍.煤炭企業(yè)網(wǎng)絡(luò)安全建設(shè)與管理探究[J].煤炭技術(shù),2013.
篇2
前言
文章對企業(yè)計算機(jī)網(wǎng)絡(luò)安全存在的問題進(jìn)行了介紹,對影響企業(yè)計算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的因素進(jìn)行了闡述,通過分析,并結(jié)合自身實踐經(jīng)驗和相關(guān)理論知識,對加強(qiáng)企業(yè)網(wǎng)絡(luò)安全管理措施進(jìn)行了探討。
二、企業(yè)計算機(jī)網(wǎng)絡(luò)安全存在的問題
1.安全意識淡薄
在企業(yè)網(wǎng)絡(luò)系統(tǒng)中,每一臺計算機(jī)的安全性都會影響整個系統(tǒng)的安全性能,網(wǎng)絡(luò)安全與每個用戶息息相關(guān)。內(nèi)部員工了解公司的網(wǎng)絡(luò)結(jié)構(gòu)、數(shù)據(jù)存放方式和地點甚至掌握業(yè)務(wù)系統(tǒng)的密碼。在具有嚴(yán)格訪問權(quán)限的系統(tǒng)中,使用弱密碼的用戶有可能成為安全系統(tǒng)中的缺陷,甚至有些人隨意改動系統(tǒng)注冊表,使得整個網(wǎng)絡(luò)安全系統(tǒng)失效。
2.網(wǎng)絡(luò)安全體系不健全
當(dāng)前很多企業(yè)盡管采取了一些安全措施,但安全保護(hù)措施較為零散,缺乏整體性與系統(tǒng)性,對于企業(yè)網(wǎng)絡(luò)信息安全保護(hù)缺乏統(tǒng)一的、明確的指導(dǎo)思想,沒有建立一個完善的安全體系,這是引發(fā)安全問題的主要源頭。
3.網(wǎng)絡(luò)黑客攻擊
黑客肆意妄為,破壞的手段也越來越多樣化。企業(yè)的內(nèi)部資料對于整個企業(yè)經(jīng)營來說相當(dāng)重要,因為它關(guān)系到整個企業(yè)的生死存亡。企業(yè)存放信息會因網(wǎng)絡(luò)黑客攻擊而造成資料的泄密。
4.來自企業(yè)外部的感染
來自企業(yè)外部的計算機(jī)病毒具有傳播性、破壞性、隱蔽性、潛伏性和可觸發(fā)性等特點,通過入侵網(wǎng)絡(luò)系統(tǒng)和設(shè)備,對數(shù)據(jù)進(jìn)行破壞,使網(wǎng)絡(luò)癱瘓,不能正常運作。網(wǎng)絡(luò)蠕蟲由于不需要用戶干預(yù)就能觸發(fā),因而其傳播速度要遠(yuǎn)遠(yuǎn)大于計算機(jī)病毒,其對網(wǎng)絡(luò)性能產(chǎn)生的影響也更為顯著和嚴(yán)重。木馬是指附著在應(yīng)用程序中或者單獨存在的一些惡意程序,它可以利用網(wǎng)絡(luò)遠(yuǎn)程控制安裝有服務(wù)端程序的主機(jī),實現(xiàn)對主機(jī)的控制或者竊取主機(jī)上的機(jī)密信息。
5.來自企業(yè)網(wǎng)絡(luò)內(nèi)部的攻擊
企業(yè)防護(hù)重點是對外,往往忽視對內(nèi)部防護(hù)的重視。利用企業(yè)內(nèi)部計算機(jī)對企業(yè)局域網(wǎng)絡(luò)進(jìn)行攻擊,企業(yè)局域網(wǎng)絡(luò)也會受到嚴(yán)重攻擊,當(dāng)前企業(yè)內(nèi)部攻擊行為大大加強(qiáng)了企業(yè)網(wǎng)絡(luò)安全的風(fēng)險。
三、影響企業(yè)計算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的因素
1.病毒攻擊
目前,計算機(jī)病毒的制造者大多利用Internet網(wǎng)絡(luò)進(jìn)行傳播,因中小企業(yè)防范薄弱管理規(guī)范性有待提高,所以他們很大可能要遭到病毒的攻擊。病毒可能會感染大量的機(jī)器系統(tǒng),也可能會大量占用網(wǎng)絡(luò)帶寬,阻塞正常流量,如:發(fā)送垃圾郵件的病毒,從而影響企業(yè)計算機(jī)網(wǎng)絡(luò)的正常運行。
2.軟件漏洞
任何軟件都有漏洞,這是客觀事實。而同時中小企業(yè)在軟件采用上大都以節(jié)約為本,不注重也不舍得花銷來進(jìn)行軟件更新的后期升級服務(wù),以至于非法用戶正好通過這些需要升級的漏洞竊取用戶信息和破壞信息,針對固有的安全漏洞進(jìn)行攻擊。
3.職員不當(dāng)操作
中小企業(yè)計算機(jī)管理人員配置少,監(jiān)督管理都難以細(xì)致,其它職工在信息化系統(tǒng)操作中容易出現(xiàn)工作馬虎,不細(xì)心,不按成型的規(guī)范操作,不遵守制定的相應(yīng)規(guī)章制度。中小企業(yè)中很多職工信息安全意識不強(qiáng),將自己的生日或工號作為系統(tǒng)口令,或?qū)挝坏馁~號隨意轉(zhuǎn)借他人使用,從而造成信息的丟失或篡改。
四、加強(qiáng)企業(yè)網(wǎng)絡(luò)安全管理措施
1.要加大對計算機(jī)網(wǎng)絡(luò)與信息安全工作的投入。信息技術(shù)進(jìn)步神速,我國在這一領(lǐng)域同發(fā)達(dá)國家比,并沒有優(yōu)勢。因此我國更應(yīng)加大投入,刻苦攻關(guān),掌握一些關(guān)鍵的信息技術(shù),以確保我國在信息安全方面的自主能力。可以毫不夸張地說,今年安全方面的自主能力,將制約我國的綜合國力和國防實力,因此,我國應(yīng)當(dāng)像五六十年展“兩彈一星”一樣,集中力量,加大投入,迎接信息技術(shù)革命的挑戰(zhàn),保衛(wèi)國家安全。這一點,我們不能幻想通過進(jìn)口來解決問題。在信息安全技術(shù)方面,發(fā)達(dá)國家一方面極為重視研究開發(fā),美國政府曾為了改進(jìn)美國政府的計算機(jī)安全系統(tǒng),投入巨大的資金;另一方面,又嚴(yán)格控制信息安全技術(shù)的出口。以美國為代表的發(fā)達(dá)國家,對信息安全產(chǎn)品出口,已作出許多嚴(yán)格限制,以維護(hù)其在信息技術(shù)領(lǐng)域的絕對優(yōu)勢。
2.關(guān)鍵數(shù)據(jù)采用加密手段。在企業(yè)計算機(jī)網(wǎng)絡(luò)中關(guān)于數(shù)據(jù)安全的隱患無處不在。尤其是一些機(jī)密數(shù)據(jù)庫、商業(yè)數(shù)據(jù)等一定要保證它的安全性,這時一般會采取對數(shù)據(jù)加密的手段,它是一種保護(hù)數(shù)據(jù)在存儲和傳遞過程中不被竊取或修改的一種手段,該數(shù)據(jù)加密系統(tǒng)在使用的過程中需要綜合考慮執(zhí)行效率與安全性之間的平衡。
3.加強(qiáng)安全管理力度健全管理制度。首先,加強(qiáng)信息安全管理力度應(yīng)積極采取宏觀管理與重點監(jiān)控相結(jié)合的方式,保證信息化項目的安全性。系統(tǒng)的實施及管理部門應(yīng)該全面掌握各單位的計算機(jī)網(wǎng)絡(luò)系統(tǒng)的相關(guān)情況,為企業(yè)統(tǒng)一管理提供可靠依據(jù)。同時,對重點工程實地考察,對信息安全進(jìn)行檢查,發(fā)現(xiàn)問題及時解決。
4.事務(wù)管理和故障恢復(fù)。事務(wù)管理和故障恢復(fù)主要是對付系統(tǒng)內(nèi)發(fā)生的自然因素故障,保證數(shù)據(jù)和事務(wù)的一致性和完整性。故障恢復(fù)的主要措施是進(jìn)行日志記錄和數(shù)據(jù)復(fù)制。計算機(jī)同其他設(shè)備一樣,都可能發(fā)生各種各樣的故障,比如電源故障、軟件故障、災(zāi)害故障以及人為破壞等,這些故障可能會造成數(shù)據(jù)庫的數(shù)據(jù)丟失,因此為了保證計算機(jī)的安全運行,必須在發(fā)生故障時采取必要的措施恢復(fù)數(shù)據(jù)庫,事務(wù)管理和故障恢復(fù)就是這個作用,它能夠保障數(shù)據(jù)庫在出現(xiàn)故障時,仍可以把數(shù)據(jù)庫系統(tǒng)還原到正常狀態(tài)。
五、企業(yè)信息安全新形勢
網(wǎng)絡(luò)信息安全工作始終是通信行業(yè)最為關(guān)鍵的工作之一,具有長期性、復(fù)雜性和艱巨性的特點。2010年3G及寬帶網(wǎng)絡(luò)蓬勃發(fā)展,三網(wǎng)融合開始實施操作,云計算和物聯(lián)網(wǎng)產(chǎn)業(yè)方興未艾,需求的個性化、數(shù)字的海量化、業(yè)務(wù)的復(fù)雜化給通信行業(yè)網(wǎng)絡(luò)信息安全帶來了新的更大的挑戰(zhàn),行業(yè)中企業(yè)要進(jìn)一步提高對網(wǎng)絡(luò)信息安全重要性的認(rèn)識,發(fā)展與管理并重,加強(qiáng)部門協(xié)調(diào)配合,加強(qiáng)網(wǎng)絡(luò)基礎(chǔ)管理工作,加強(qiáng)網(wǎng)絡(luò)信息安全保障能力建設(shè),特別是要加快網(wǎng)絡(luò)信息安全關(guān)鍵基礎(chǔ)產(chǎn)業(yè)的研發(fā)應(yīng)用和產(chǎn)業(yè)化,通過核心技術(shù)掌握自主知識產(chǎn)權(quán),加快發(fā)展自主可控的信息安全產(chǎn)業(yè),建設(shè)新時期通信行業(yè)網(wǎng)絡(luò)安全、信息安全長城。
從國際國內(nèi)出現(xiàn)的安全現(xiàn)象出發(fā),應(yīng)對多種復(fù)雜的安全新問題,應(yīng)該借助于RFID等物聯(lián)網(wǎng)新技術(shù),并通過極主動地建立網(wǎng)絡(luò)與信息安全的保障體系,技術(shù)和管理并重,加強(qiáng)立法建設(shè)、政策制訂、技術(shù)研究、標(biāo)準(zhǔn)制訂、隊伍建設(shè)、人才培養(yǎng)、市場服務(wù)、宣傳教育等多方面的工作,通過產(chǎn)業(yè)鏈各方的緊密合作共同構(gòu)造一個全方位多層次的網(wǎng)絡(luò)與信息安全環(huán)境,來共同改善全球的網(wǎng)絡(luò)與信息安全問題。
結(jié)束語
隨著科技的發(fā)展,一些不法份子和黑客通過計算機(jī)網(wǎng)絡(luò)竊取企業(yè)商業(yè)機(jī)密的現(xiàn)象越來越多,因此,對于計算機(jī)網(wǎng)絡(luò)信息安全管理應(yīng)該予以高度重視,否則可能對企業(yè)造成不可預(yù)估的損失。
參考文獻(xiàn)
[1]林延君.局域網(wǎng)企業(yè)信息安全系統(tǒng)的設(shè)計與實現(xiàn)[D].大連理工大學(xué),2006年.
篇3
近日,有媒體報道每年有數(shù)萬個境外IP地址作為木馬,參與控制了我國境內(nèi)近千萬臺主機(jī),如此龐大的數(shù)據(jù)讓我們觸目驚心。而最近眾多“泄密門”“后門”事件的發(fā)生,更讓我們看到企業(yè)的信息安全狀況不容樂觀。很多企業(yè)都意識到解決企業(yè)信息安全問題迫在眉睫,有的企業(yè)在大力加強(qiáng)企業(yè)信息安全體系的建設(shè),針對信息安全設(shè)備進(jìn)行全面檢查,并且做出了相應(yīng)的措施。2005年中國昆侖工程公司信息管理部為保障數(shù)據(jù)安全曾對某重點專業(yè)部門的臺式電腦進(jìn)行改造,全部升級為無盤工作站,拆除了所有個人用戶電腦中的硬盤,電腦系統(tǒng)以及所有數(shù)據(jù)都在數(shù)據(jù)中心的服務(wù)器中運行和存儲,從而保證數(shù)據(jù)的安全性,獲得較好效果,并且獲得省部級獎項。
無盤工作站的工作方式就是在數(shù)據(jù)中心部署一臺服務(wù)器,這臺服務(wù)器作為系統(tǒng)搭建的平臺,個人終端通過網(wǎng)絡(luò)連接到服務(wù)器上。個人終端只有如主板、內(nèi)存、電源等必備硬件卻沒有硬盤,網(wǎng)卡必須帶有可引導(dǎo)芯片。在無盤工作站啟動時網(wǎng)卡上的可引導(dǎo)芯片從系統(tǒng)服務(wù)器中取回所需數(shù)據(jù)供用戶使用。所以,無盤工作站其實就是把硬盤和主機(jī)分離,無盤工作站只執(zhí)行操作不執(zhí)行存儲,故不會對文件造成竊取或者遺失。由于無盤工作站不需要硬盤等存儲設(shè)備,減少了硬件的投入與維護(hù),啟動和運行速度快,系統(tǒng)不被破壞、能自動還原、無需重裝系統(tǒng)。但是無盤工作站則完全依賴網(wǎng)絡(luò)和服務(wù)器的支持,一旦網(wǎng)絡(luò)或服務(wù)器中毒或因為某些原因無法運行,將會導(dǎo)致全網(wǎng)癱瘓。并且存在個人隱私得不到保障、服務(wù)器成本投入過高、對網(wǎng)絡(luò)質(zhì)量要求高、占用過多網(wǎng)絡(luò)帶寬等缺點。
3文件加密技術(shù)在企業(yè)中的應(yīng)用
為了避免企業(yè)局域網(wǎng)出現(xiàn)信息泄密,造成嚴(yán)重的損失。很多企業(yè)都對文件做出了嚴(yán)格的管理制度以及多種監(jiān)控手段,其中對數(shù)據(jù)傳輸與載體的管控成為最廣泛最簡單的措施。近年來一直使用的包括無盤工作站,封鎖USB口,封鎖光驅(qū),網(wǎng)絡(luò)控制等等方式都是以切斷數(shù)據(jù)傳輸以及管控數(shù)據(jù)載體為手段的技術(shù)辦法,但是這種物理隔絕的信息保護(hù)機(jī)制非常落后,“一刀切”的方式不僅改變了用戶操作習(xí)慣,還嚴(yán)重影響了非機(jī)密數(shù)據(jù)的傳輸,導(dǎo)致工作流程繁瑣。在這種情況下我們決定嘗試采取特定文件全自動加密技術(shù),這種加密方式不會改變用戶的操作習(xí)慣,并且能夠做到強(qiáng)制性加密。當(dāng)用戶打開或編輯指定文件時,系統(tǒng)將自動對未加密的文件進(jìn)行加密,對已加密的文件自動解密。不需要對文件的傳輸做任何限制,也不用擔(dān)心文件通過任何方式被復(fù)制到別的地方。因為文件在任何載體上都是以密文的形式存在,只有在加密系統(tǒng)的硬件內(nèi)存中是明文形式,所以一旦離開終端用戶的電腦系統(tǒng),加密文件無法得到自動解密的服務(wù)而無法打開,起到保護(hù)文件的效果。
全自動文件加密系統(tǒng)主要分為服務(wù)器端和客戶端,服務(wù)器端主要是記錄用戶資料、給用戶分配權(quán)限以及管理用戶文件的密鑰信息等。客戶端主要負(fù)責(zé)與服務(wù)器進(jìn)行交互,對登錄系統(tǒng)的用戶進(jìn)行身份認(rèn)證、獲取文件加/解密密鑰及生成控制文件等,同時將客戶端處理的信息交給服務(wù)器。全自動文件加密系統(tǒng)能夠自動識別每一個登錄到局域網(wǎng)內(nèi)部的用戶并進(jìn)行身份驗證,只有具有權(quán)限的用戶才能操作文件。因為機(jī)密文件在電腦的硬盤上是以密文形式存在的,只有用戶擁有操作文件的權(quán)限才可以看到明文信息,否則將會是亂碼。該系統(tǒng)具有加密制定程序生成的文件、泄密控制、審批管理、離線文檔管理、外發(fā)文檔管理、用戶/鑒權(quán)管理、審計管理、自我保護(hù)等功能。2013年10月已在某專業(yè)設(shè)計部小網(wǎng)中部署了該文件加密系統(tǒng)并已使用,今年計劃在全網(wǎng)部署該系統(tǒng)。目前的加密策略為自動加密+全盤掃描,加密的文件類型為CAD,Word,PDF,Excel。即后臺掃描該電腦部署文檔機(jī)密系統(tǒng)前的所有歷史相關(guān)類型文件并進(jìn)行強(qiáng)制自動加密,對于新文件,打開相關(guān)類型的文件也會自動加密,有效實現(xiàn)了公司數(shù)據(jù)的保密,增強(qiáng)了信息系統(tǒng)的數(shù)據(jù)安全性。
4結(jié)語
信息安全和知識產(chǎn)權(quán)專利技術(shù)保密對企業(yè)發(fā)展具有重要的激勵作用,有助于減少經(jīng)營風(fēng)險,增強(qiáng)企業(yè)競爭力。而企業(yè)也需認(rèn)識到信息安全在當(dāng)今社會發(fā)展中的重要作用,在謀求企業(yè)全面發(fā)展的同時重視知識產(chǎn)權(quán)保護(hù),運用新技術(shù)保護(hù)企業(yè)的數(shù)據(jù),減少信息系統(tǒng)的安全漏洞和隱患,加大對知識產(chǎn)權(quán)專利的保護(hù)力度,推動技術(shù)進(jìn)步和企業(yè)的又好又快發(fā)展。
主要參考文獻(xiàn)
篇4
所以,怎樣把企業(yè)信息安全管理與風(fēng)險控制融合起來就是擺在企業(yè)經(jīng)營管理者面前的一道難題。企業(yè)的信息安全風(fēng)險控制必須通過企業(yè)建立完善的企業(yè)信息安全風(fēng)險體系實現(xiàn)。企業(yè)的信息安全風(fēng)險控制是指企業(yè)在企業(yè)信息安全遭遇威脅之前,提前對企業(yè)的信息進(jìn)行風(fēng)險預(yù)估,并采取一系列的有針對性的活動降低企業(yè)面臨的信息安全風(fēng)險,從而盡可能減少因為企業(yè)本身信息安全管理中存在漏洞給企業(yè)帶來不必要的損失。常見的企業(yè)信息安全風(fēng)險體系建立主要包含以下幾個方面的內(nèi)容。第一,建立企業(yè)信息安全風(fēng)險管理制度,明確企業(yè)信息安全管理的責(zé)任分配機(jī)制,明確企業(yè)各個部門對各自信息安全所應(yīng)承擔(dān)的責(zé)任,并建立相應(yīng)的問責(zé)機(jī)制。第二,設(shè)置規(guī)范的企業(yè)信息安全風(fēng)險管理指標(biāo),對企業(yè)存在的可能威脅企業(yè)信息安全管理的漏洞予以風(fēng)險定級,方便企業(yè)管理者對不同的信息安全管理漏洞采取有區(qū)別的對策。第三,企業(yè)要加強(qiáng)對信息安全管理人員的培訓(xùn),提高企業(yè)信息安全管理工作人員的風(fēng)險意識,讓企業(yè)內(nèi)部從事信息安全管理工作人員認(rèn)識到自身工作的重要性,讓企業(yè)內(nèi)部從事信息安全管理工作人員了解到規(guī)范自身行為,正確履行職責(zé)的重要性。第四,將企業(yè)信息安全管理與風(fēng)險控制有效融合,重視企業(yè)信息安全管理工作,通過風(fēng)險控制對企業(yè)內(nèi)部信息安全的管理方式進(jìn)行正確評估,找出現(xiàn)行的企業(yè)內(nèi)部信息安全管理手段中存在容易忽視的地方。
二、企業(yè)信息安全管理與風(fēng)險控制存在的不足
1.企業(yè)信息安全管理工作人員素質(zhì)不高
對于企業(yè)來說,企業(yè)信息安全管理工作是一項極為重要而隱秘的工作,因此,必須增強(qiáng)對企業(yè)信息安全管理工作人員的素質(zhì)要求。但是根據(jù)調(diào)查統(tǒng)計,目前很多企業(yè)對信息安全工作的管理僅僅停留在對企業(yè)信息安全管理工作人員的技術(shù)要求上,對企業(yè)信息安全管理工作人員的道德素養(yǎng),職業(yè)素養(yǎng),風(fēng)險意識并沒有嚴(yán)格要求。此外,絕大多數(shù)企業(yè)并沒有意識開展對企業(yè)信息安全管理工作的道德素質(zhì)的教育培訓(xùn),并沒有通過建立相關(guān)管理制度以及問責(zé)機(jī)制對企業(yè)信息安全管理工作人員實行監(jiān)督,這無疑給別有用心或者立場不堅定的企業(yè)信息安全管理工作人員留下了危害企業(yè)信息安全的可乘之機(jī)。
2.企業(yè)信息安全管理技術(shù)不過關(guān)
企業(yè)信息安全管理工作涉及多許多技術(shù),包括信息技術(shù),計算機(jī)技術(shù),密碼技術(shù),網(wǎng)絡(luò)應(yīng)用技術(shù)等等,應(yīng)當(dāng)說成熟的計算機(jī)應(yīng)用技術(shù)是做好企業(yè)信息安全管理的基礎(chǔ),但是,現(xiàn)實是許多企業(yè)的信息安全管理技術(shù)并不過關(guān),一方面企業(yè)的信息安全管理硬件并不過關(guān),在物理層面對企業(yè)信息缺乏保護(hù),另一方面,企業(yè)信息安全管理工作的專業(yè)技術(shù)沒有及時更新,一些企業(yè)信息安全管理工作人員缺乏企業(yè)信息安全管理的實踐經(jīng)驗,企業(yè)信息安全管理的知識也并沒有及時更新,從而導(dǎo)致企業(yè)的信息安全管理理論嚴(yán)重滯后,這種技術(shù)的落后很容易讓企業(yè)成為不法分子的攻擊對象。近年來網(wǎng)絡(luò)病毒的傳播越來越猖狂,很多服務(wù)器、系統(tǒng)提示安全補(bǔ)丁的下載更新以及客戶端的時常更新成為一個惱人的問題。作為一個行業(yè)中的大中型企業(yè),企業(yè)內(nèi)部設(shè)備數(shù)量比較多,尤其是客戶端數(shù)量占了較大比重,僅僅靠少數(shù)幾個管理員進(jìn)行管理是難以承擔(dān)如此大量的工作量。另外,企業(yè)信息安全管理系統(tǒng)不成熟也是一個重大的隱患。
3.企業(yè)信息安全管理制度不健全
企業(yè)信息安全管理制度不僅僅需要理論制度的完善,更加需要一系列配套監(jiān)督機(jī)制保障企業(yè)信息安全管理的有效執(zhí)行。通過調(diào)查分析,許多企業(yè)雖然建立了企業(yè)信息安全管理制度,但是通常情況下,這些制度只能流于形式,企業(yè)信息安全管理工作缺少有效的制約和監(jiān)督,企業(yè)信息安全管理工作人員缺乏執(zhí)行力。企業(yè)信息安全管理制度不健全,企業(yè)信息安全管理工作缺乏執(zhí)行力常常體現(xiàn)在以下幾個方面。第一,企業(yè)員工對于信息安全管理的認(rèn)識嚴(yán)重不足,對企業(yè)信息安全管理工作不重視。企業(yè)內(nèi)部計算機(jī)系統(tǒng)安全的計算機(jī)防病毒軟件并沒有及時更新,使用,甚至企業(yè)內(nèi)部計算機(jī)的防病毒軟件還被企業(yè)員工卸載了。部分企業(yè)員工認(rèn)為自己的工作與企業(yè)信息安全管理不相關(guān),認(rèn)為做好企業(yè)信息安全管理工作僅僅是企業(yè)信息安全部門的事。第二,企業(yè)內(nèi)部信息安全管理制度并沒有形成聯(lián)動機(jī)制,企業(yè)信息安全管理工作僅僅由企業(yè)信息安全部門“一人包干”,企業(yè)信息安全反映的問題并沒有得到積極的反饋,一些企業(yè)領(lǐng)導(dǎo)對企業(yè)信息安全現(xiàn)狀所了解的少之又少。
三、企業(yè)信息安全管理常見的技術(shù)手段
1.OSI安全體系結(jié)構(gòu)
OSI概念化的安全體系結(jié)構(gòu)是一個多層次的結(jié)構(gòu),它的設(shè)計初衷是面向客戶的,提供給客戶各種安全應(yīng)用,安全應(yīng)用必須依靠安全服務(wù)來實現(xiàn),而安全服務(wù)又是由各種安全機(jī)制來保障的。所以,安全服務(wù)標(biāo)志著一個安全系統(tǒng)的抗風(fēng)險的能力,安全服務(wù)數(shù)量越多,系統(tǒng)就越安全。
2.P2DR模型
P2DR模型包含四個部分:響應(yīng)、安全策略、檢測、防護(hù)。安全策略是信息安全的重點,為安全管理提供管理途徑和保障手段。因此,要想實施動態(tài)網(wǎng)絡(luò)安全循環(huán)過程,必須制定一個企業(yè)的安全模式。在安全策略的指導(dǎo)下實施所有的檢測、防護(hù)、響應(yīng),防護(hù)通常是通過采用一些傳統(tǒng)的靜態(tài)安全技術(shù)或者方法來突破的,比如有防火墻、訪問控制、加密、認(rèn)證等方法,檢測是動態(tài)響應(yīng)的判斷依據(jù),同時也是有力落實安全策略的實施工具,通過監(jiān)視來自網(wǎng)絡(luò)的入侵行為,可以檢測出騷擾行為或錯誤程序?qū)е碌木W(wǎng)絡(luò)不安全因素;經(jīng)過不斷地監(jiān)測網(wǎng)絡(luò)和系統(tǒng)來發(fā)現(xiàn)新的隱患和弱點。在安全系統(tǒng)中,應(yīng)急響應(yīng)占有重要的地位,它是解決危險潛在性的最有效的辦法。
3.HTP模型
HTP最為強(qiáng)調(diào)企業(yè)信息安全管理工作人員在整個系統(tǒng)中的價值。企業(yè)信息安全工作人員企業(yè)信息安全最為關(guān)鍵的參與者,企業(yè)信息安全工作人員直接主導(dǎo)企業(yè)信息安全管理工作,企業(yè)信息安全工作人員不僅僅是企業(yè)信息安全的保障者,也是企業(yè)信息安全管理的威脅者。因此,HTP模型最為強(qiáng)調(diào)對企業(yè)信息安全管理工作人員的管理與監(jiān)督。另外,HTP模式同樣是建立在企業(yè)信心安全體系,信息安全技術(shù)防范的基礎(chǔ)上,HTP模式采取了豐富的安全技術(shù)手段確保企業(yè)的信息安全。最后,HTP強(qiáng)調(diào)動態(tài)管理,動態(tài)監(jiān)督,對于企業(yè)信息安全管理工作始終保持高強(qiáng)度的監(jiān)督與管理,在實際工作中,通過HTP模型的應(yīng)用,找出HTP模型中的漏洞并不斷完善。
四、完善企業(yè)信息安全管理與降低風(fēng)險的建議
1.建設(shè)企業(yè)信息安全管理系統(tǒng)
(1)充分調(diào)查和分析企業(yè)的安全系統(tǒng),建立一個全面合理的系統(tǒng)模型,安全系統(tǒng)被劃分成各個子系統(tǒng),明確實施步驟和功能摸塊,將企業(yè)常規(guī)管理工作和安全管理聯(lián)動協(xié)議相融合,實現(xiàn)信息安全監(jiān)控的有效性和高效性。
(2)成立一個中央數(shù)據(jù)庫,整合分布式數(shù)據(jù)庫里的數(shù)據(jù),把企業(yè)的所有數(shù)據(jù)上傳到中央數(shù)據(jù)庫,實現(xiàn)企業(yè)數(shù)據(jù)信息的集中管理與有效運用。
(3)設(shè)計優(yōu)良的人機(jī)界面,通過對企業(yè)數(shù)據(jù)信息進(jìn)行有效的運用,為企業(yè)管理階層人員、各級領(lǐng)導(dǎo)及時提供各種信息,為企業(yè)領(lǐng)導(dǎo)的正確決策提供數(shù)據(jù)支持,根本上提高信息數(shù)據(jù)的管理水平。
(4)簡化企業(yè)內(nèi)部的信息傳輸通道,對應(yīng)用程序和數(shù)據(jù)庫進(jìn)行程序化設(shè)計,加強(qiáng)對提高企業(yè)內(nèi)部信息處理的規(guī)范性和準(zhǔn)確性。
2.設(shè)計企業(yè)信息安全管理風(fēng)險體系
(1)確定信息安全風(fēng)險評估的目標(biāo)
在企業(yè)信息安全管理風(fēng)險體系的設(shè)計過程中,首要工作是設(shè)計企業(yè)信息安全風(fēng)險評估的目標(biāo),只有明確了企業(yè)信息安全管理的目標(biāo),明確了企業(yè)信息安全管理的要求和工作能容,才能建立相關(guān)圍繞信息安全風(fēng)險控制為目標(biāo)的信息安全管理工作制度,才能順利通過對風(fēng)險控制的結(jié)果的定量考核,檢測企業(yè)信息安全管理的風(fēng)險,定性定量地企業(yè)信息安全管理工作進(jìn)行分析,找準(zhǔn)企業(yè)信息安全管理的工作辦法。
(2)確定信息安全風(fēng)險評估的范圍
篇5
0.引言
隨著信息技術(shù)的不斷發(fā)展以及市場競爭的不斷激烈,企業(yè)信息安全建設(shè)已經(jīng)成為提高企業(yè)競爭力的重要途徑,杜絕信息泄露可以避免巨大的經(jīng)濟(jì)損失。雖然大多數(shù)企業(yè)在信息安全管理方面采取了較多的措施,但是信息安全問題仍然頻發(fā),對于企業(yè)的經(jīng)營活動帶來巨大的損失。加強(qiáng)企業(yè)內(nèi)部的計算機(jī)管理,提高對于信息安全的認(rèn)識程度,保證信息數(shù)據(jù)庫的安全,避免信息泄露的發(fā)生已經(jīng)成為現(xiàn)階段企業(yè)信息化建設(shè)亟待解決的管理問題。
1.企業(yè)信息化建設(shè)信息安全影響因素分析
(1)信息系統(tǒng)實體安全。信息實體主要包括用于企業(yè)信息化建設(shè)的計算機(jī)、網(wǎng)絡(luò)連接、服務(wù)器等媒介硬件設(shè)施,對于信息實體安全影響因素主要包括火災(zāi)、水災(zāi)、失竊或者是其他事故造成設(shè)備硬件的損壞,從而造成企業(yè)信息庫數(shù)據(jù)安全出現(xiàn)問題。
(2)信息系統(tǒng)運行安全。信息系統(tǒng)的安全是指為了保證企業(yè)信息數(shù)據(jù)庫的安全,采取各種措施對系統(tǒng)運行進(jìn)行安全保護(hù)。由于信息數(shù)據(jù)庫有可能受到非授權(quán)的訪問、泄露、數(shù)據(jù)纂改或者是被其他非法程序控制的威脅,因此確保信息系統(tǒng)運行安全主要是保證信息數(shù)據(jù)庫的完整、保密以及時時可用性。
(3)信息系統(tǒng)管理人員安全責(zé)任意識。管理人員在日常工作中的安全管理意識、專業(yè)操作水平以及法律意識等均會對企業(yè)信息數(shù)據(jù)的安全產(chǎn)生影響。信息安全管理人員的日常管理工作責(zé)任心以及工作方式方法,對于保證信息數(shù)據(jù)庫的安全十分重要。
2.企業(yè)信息安全管理問題分析
目前由于管理制度以及軟硬件設(shè)施等一系列的問題,企業(yè)數(shù)據(jù)庫破壞以及重要數(shù)據(jù)信息泄漏的現(xiàn)象時有發(fā)生,嚴(yán)重影響了企業(yè)的正常生產(chǎn)經(jīng)營活動,通過分析發(fā)現(xiàn)影響企業(yè)信息化建設(shè)信息安全的問題主要由以下幾方面:
(1)企業(yè)內(nèi)部移動存儲設(shè)備管理疏松,缺乏安全保密管理制度。由于許多企業(yè)在日常管理過程中,移動存儲設(shè)備使用較多,員工可以隨意對企業(yè)內(nèi)部的各種信息資料進(jìn)行備份,企業(yè)用于經(jīng)營活動的客戶信息、產(chǎn)品設(shè)計、財務(wù)管理等各項信息極易造成泄漏,帶來巨大的信息安全損失。部分企業(yè)由于對于信息安全管理認(rèn)識程度不足,企業(yè)內(nèi)部信息安全管理缺乏必要的規(guī)章制度,安全管理職責(zé)權(quán)限不清,信息安全漏洞較多。
(2)對于內(nèi)部信息共享控制不嚴(yán)格,信息安全管理權(quán)限混亂。由于企業(yè)在生產(chǎn)經(jīng)營過程中為了提高生產(chǎn)經(jīng)營效率以及加強(qiáng)企業(yè)內(nèi)部各部門之間的溝通聯(lián)系,對于一些設(shè)計企業(yè)銷售計劃、客戶信息以及生產(chǎn)計劃等文件采取共享的措施,因此企業(yè)員工的流動或者其他管理不當(dāng)均會造成企業(yè)信息的泄露。
(3)信息權(quán)限管理混亂,企業(yè)的中介服務(wù)體系穩(wěn)定性較差。對于加密的授權(quán)訪問,權(quán)限管理則成為保護(hù)企業(yè)信息安全的重要因素。但是由于企業(yè)在信息安全管理過程中體系混亂,操作權(quán)限不清晰導(dǎo)致經(jīng)常出現(xiàn)影響信息安全的非授權(quán)訪問。而且對于部分中小企業(yè)由于信息化建設(shè)采取對外委托的方式,而中介第三方由于穩(wěn)定性難以保證,隨時更換或者退出的第三方極易造成企業(yè)有價值信息的泄漏,影響企業(yè)信息安全建設(shè)。
(4)信息管理安全防范體系不健全,缺乏針對信息安全管理的專業(yè)技術(shù)人才。雖然部分企業(yè)已經(jīng)認(rèn)識到信息化管理的重要性,并在企業(yè)網(wǎng)絡(luò)內(nèi)設(shè)置了必要的安全設(shè)備。但是缺乏一系列的安全管理機(jī)制,在信息安全管理方面缺乏行之有效的整體規(guī)劃與具體落實措施。此外,由于大部分企業(yè)在信息安全管理工作中將重點放在軟硬件設(shè)施上,而忽略了對于信息安全技術(shù)人員的培養(yǎng),而且為了減少人力資源支出成本,信息安全管理人員少工作任務(wù)重,管理權(quán)限集中化程度高,影響了信息化建設(shè)的安全管理。
3.企業(yè)信息建設(shè)信息安全管理措施
(1)加強(qiáng)對于信息庫硬件設(shè)備的保護(hù)管理。首先應(yīng)保證計算機(jī)等硬件設(shè)備具有安全的工作環(huán)境,做好計算機(jī)設(shè)備的防火、防潮、防盜措施,并避免強(qiáng)磁環(huán)境對信息數(shù)據(jù)可能造成的損壞。其次,在對各種硬件設(shè)備進(jìn)行檢修時,硬組織企業(yè)內(nèi)部相關(guān)技術(shù)人員進(jìn)行監(jiān)督管理,對于需要外送檢修的設(shè)備,則應(yīng)提前進(jìn)行數(shù)據(jù)加密處理。
(2)提高企業(yè)內(nèi)部的信息安全管理意識。企業(yè)信息安全管理對于提高企業(yè)競爭力,避免企業(yè)經(jīng)濟(jì)損失具有重要的意義。在企業(yè)的正常管理過程中,加強(qiáng)信息安全宣傳工作,使員工充分認(rèn)識到企業(yè)信息安全管理的重要性,并熟悉企業(yè)相關(guān)信息數(shù)據(jù)保密的規(guī)則制度,提高企業(yè)的整體信息安全防范水平。
(3)加強(qiáng)信息安全操作管理人員的管理。在企業(yè)信息日常管理過程中,應(yīng)加強(qiáng)對于業(yè)務(wù)操作以及數(shù)據(jù)存取控制代碼的管理。系統(tǒng)管理操作代碼的獲得應(yīng)經(jīng)過企業(yè)管理者授權(quán),系統(tǒng)管理人員在進(jìn)行企業(yè)相關(guān)信息數(shù)據(jù)庫的整理以及維護(hù)過程中,必須通過授權(quán)進(jìn)行。系統(tǒng)管理人員離開工作崗位后,相關(guān)責(zé)任人應(yīng)及時更換管理員操作代碼。
(4)加強(qiáng)企業(yè)信息數(shù)據(jù)庫的密碼與權(quán)限管理。對于涉及到企業(yè)信息數(shù)據(jù)庫安全的密碼,應(yīng)分別設(shè)置用戶密碼以及操作密碼,并提高密碼的安全程度,及時定期更換登陸操作密碼。對于組成企業(yè)內(nèi)部局域網(wǎng)絡(luò)的服務(wù)器、路由器等設(shè)施的設(shè)置管理工作,應(yīng)嚴(yán)格按照相關(guān)管理規(guī)定進(jìn)行設(shè)置。
(5)明確企業(yè)信息數(shù)據(jù)庫管理制度。對于企業(yè)重要的數(shù)據(jù)應(yīng)存放備份數(shù)據(jù),并采取異地存放的方式對備份數(shù)據(jù)庫進(jìn)行管理。對于廢棄或者需要銷毀的數(shù)據(jù)信息,應(yīng)嚴(yán)格依照程序采取逐級審批的方式,避免數(shù)據(jù)信息的泄露。需要進(jìn)行數(shù)據(jù)恢復(fù)工作時,應(yīng)嚴(yán)格按照相關(guān)技術(shù)手冊,并對恢復(fù)的數(shù)據(jù)進(jìn)行驗證確認(rèn)數(shù)據(jù)的完整可用。
(6)加強(qiáng)企業(yè)信息數(shù)據(jù)機(jī)房的管理。相關(guān)人員出入信息數(shù)據(jù)庫機(jī)房進(jìn)行數(shù)據(jù)查閱以及提取工作時,應(yīng)經(jīng)由相關(guān)主管人員的授權(quán),并登記進(jìn)入。在日常管理過程中,定期對硬件設(shè)備進(jìn)行保養(yǎng),同時研究違章操作在信息數(shù)據(jù)機(jī)房安裝外部其他軟件。
參考文獻(xiàn)
篇6
現(xiàn)代企業(yè)的信息安全是指在管理上和技術(shù)上對數(shù)據(jù)處理系統(tǒng)進(jìn)行安全的保護(hù),使計算機(jī)的軟件、硬件、保密數(shù)據(jù)等不會遭到破壞、更改、泄露。通過對企業(yè)信息安全的管理,能夠保護(hù)企業(yè)信息的機(jī)密性和完整性,保護(hù)企業(yè)的生產(chǎn)運營安全,是企業(yè)發(fā)展的必不可少的環(huán)節(jié)。
1 網(wǎng)絡(luò)環(huán)境下現(xiàn)代企業(yè)信息安全存在的問題
1.1 人為因素造成的安全問題
現(xiàn)代企業(yè)之間的競爭十分激烈,企業(yè)管理者把精神都集中在企業(yè)的生產(chǎn)和經(jīng)營上,對計算機(jī)的管理不夠重視,加上網(wǎng)絡(luò)屬于新生事物的一種,人們會利用網(wǎng)絡(luò)進(jìn)行娛樂活動,卻忽視了網(wǎng)絡(luò)的安全性,缺乏網(wǎng)絡(luò)安全意識,企業(yè)員工在工作時間利用網(wǎng)絡(luò)進(jìn)行娛樂活動的行為十分普遍,由于自身的安全意識匱乏,不但浪費了企業(yè)的網(wǎng)絡(luò)資源,也加大了病毒侵害的可能性,威脅了企業(yè)的信息安全。企業(yè)信息安全的管理需要管理部門重視起來,現(xiàn)實中,企業(yè)對信息安全的管理投入很少,安全防范做得不好,管理者對信息安全管理的認(rèn)識不足,下面的員工安全意識也淡薄,規(guī)章制度不完善,信息安全管理無據(jù)可依,管理者也沒有對信息安全進(jìn)行有效的監(jiān)督,沒有在第一時間發(fā)現(xiàn)網(wǎng)絡(luò)存在的問題,甚至在網(wǎng)絡(luò)不能正常運行了才去解決問題,給公司發(fā)展帶來不利影響。
1.2 網(wǎng)絡(luò)技術(shù)自身存在的安全問題
隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,各種軟件也不斷更新?lián)Q代,現(xiàn)在Windows 7正在大規(guī)模地進(jìn)軍國內(nèi)市場,微軟不斷推出新的產(chǎn)品,各種操作系統(tǒng)的漏洞也一直存在,為病毒的滋生提供了機(jī)會,很多網(wǎng)絡(luò)軟件存在后門,這些后門原本是編程人員為了軟件的擴(kuò)展和維護(hù)設(shè)置的,如果被不法分子發(fā)現(xiàn),對公司的信息安全有很大的威脅。計算機(jī)犯罪中最典型的就是黑客的攻擊,黑客攻擊也分為主動攻擊和被動攻擊兩種,主動攻擊直接為企業(yè)的信息完整性、機(jī)密性造成破壞,被動攻擊雖然能夠保證公司電腦的正常運行,但企業(yè)的重要信息可能會被截獲、竊取,都嚴(yán)重影響了企業(yè)信息安全。
1.3 設(shè)備環(huán)境造成的安全問題
從網(wǎng)絡(luò)環(huán)境來說,外部環(huán)境對企業(yè)信息安全也構(gòu)成威脅,企業(yè)的計算機(jī)房的位置不能是隨便設(shè)置的,需要有一定的安全技術(shù)要求。網(wǎng)絡(luò)的線纜等通信設(shè)施容易被人為破壞,或者受到自然環(huán)境如地震、雷雨、電磁場等環(huán)境的影響發(fā)生破壞,并且自然環(huán)境的影響是不可預(yù)測的,一旦出現(xiàn)問題,會給企業(yè)的信息造成直接的破壞,影響信息的完整性。計算機(jī)的硬盤、內(nèi)存的運行狀況也應(yīng)該得到管理人員的注意,計算機(jī)設(shè)備的防盜等都是問題,企業(yè)員工在工作過程中往往會拷數(shù)據(jù)回家,或者加班后在用U盤等移動設(shè)備把資料拷貝到公司電腦中,增加了企業(yè)計算機(jī)中毒的危險。
2 解決企業(yè)信息安全問題的對策研究
2.1 重視信息安全管理,加強(qiáng)制度建設(shè)
首先,企業(yè)管理者應(yīng)該認(rèn)識到企業(yè)信息安全的重要性,認(rèn)識到網(wǎng)絡(luò)保護(hù)的重要性,提高信息安全意識,這樣才能加強(qiáng)制度建設(shè),做好信息安全管理與監(jiān)督工作。計算機(jī)房是重要場所,它的設(shè)置也需要一定的隱蔽性,一般不要設(shè)置在公司一樓。企業(yè)應(yīng)該建立和完善信息安全管理制度,幫助員工樹立信息安全意識,明確信息安全保護(hù)的對象和目標(biāo),保證各項管理制度的落實執(zhí)行,制訂明確科學(xué)的操作流程,規(guī)范員工的日常操作行為,制訂應(yīng)急預(yù)案和網(wǎng)絡(luò)維護(hù)制度,計算機(jī)管理人員應(yīng)該每天對計算機(jī)系統(tǒng)進(jìn)行檢查或者更新,及時發(fā)現(xiàn)網(wǎng)絡(luò)運行中出現(xiàn)的問題,防止病毒的產(chǎn)生,在發(fā)生問題后把損失降到最低。
2.2 加強(qiáng)企業(yè)信息安全的網(wǎng)絡(luò)技術(shù)控制
依靠網(wǎng)絡(luò)技術(shù)來保護(hù)現(xiàn)代企業(yè)信息安全是十分有效的方式,網(wǎng)絡(luò)技術(shù)手段主要有防火墻、信息加密與認(rèn)證、病毒防控、數(shù)據(jù)備份等方式。防火墻是網(wǎng)絡(luò)技術(shù)中保護(hù)信息安全最重要的技術(shù)之一,它通過設(shè)置屏障阻止黑客的訪問,能夠有效防止病毒的侵入,企業(yè)應(yīng)該按照質(zhì)量可靠的防火墻,并時刻關(guān)注防火墻的問題與升級情況。直接對企業(yè)信息進(jìn)行加密也是有效的方法之一,企業(yè)可以設(shè)置專門的訪問密碼,僅供本公司員工使用,或者每個員工都有自己的上網(wǎng)編號,輸入之后才能訪問公司網(wǎng)絡(luò),公司也可以根據(jù)瀏覽記錄查看哪些員工上網(wǎng),能夠有效防止企業(yè)人員泄密行為,對重要文件采取多種加密措施。企業(yè)應(yīng)該注意對防病毒軟件的更新?lián)Q代,提高防毒、殺毒的效率,保證系統(tǒng)的安全。電腦一旦中毒,一些文件就可能丟失或者被更改,企業(yè)需要對重要文件進(jìn)行備份,這樣在發(fā)生中毒之后能夠?qū)p失降到最低。
2.3 加強(qiáng)法制建設(shè),運用法律武器保護(hù)企業(yè)信息安全
現(xiàn)代企業(yè)的信息安全應(yīng)該受到法律的保護(hù),公司的機(jī)密文件關(guān)系到公司的生死存亡,關(guān)系到社會公平競爭,關(guān)系到個人隱私,應(yīng)該受到法律的保護(hù)。國家應(yīng)該完善企業(yè)信息安全的法律法規(guī),為企業(yè)保護(hù)自己的權(quán)益提供法律武器,企業(yè)也應(yīng)該具有法律意識,在公司的信息惡意遭到破壞和侵害時,不是采用同樣的方法對待競爭企業(yè),而是應(yīng)該拿起法律武器保護(hù)自己,用國家法律來抵制侵犯,保護(hù)自己企業(yè)的信息安全與完整。
3 結(jié) 語
網(wǎng)絡(luò)的發(fā)展是一把雙刃劍,在給社會進(jìn)步和發(fā)展帶來巨大益處的同時,也帶來了一些負(fù)面影響,企業(yè)應(yīng)該辯證對待網(wǎng)絡(luò)時代的發(fā)展,充分利用網(wǎng)絡(luò)環(huán)境帶來了優(yōu)勢,通過技術(shù)手段創(chuàng)新、管理加強(qiáng)、法律法規(guī)的完善等措施來保護(hù)企業(yè)信息安全,為企業(yè)的發(fā)展創(chuàng)造安全的環(huán)境。
主要參考文獻(xiàn)
[1] 薛偉蓮. 保證信息與網(wǎng)絡(luò)安全的網(wǎng)絡(luò)倫理規(guī)范體系的構(gòu)建[J]. 網(wǎng)絡(luò)與信息,2010(11).
[2] 費宏偉. 保證電算化時代會計信息安全的幾點思考[J]. 東西南北·教育觀察,2010(11).
篇7
企業(yè)信息泄露還有一種就是人才流動,現(xiàn)如今企業(yè)人員流動較大,企業(yè)信息可能被直接帶到其他企業(yè)之中,這也是個比較棘手的問題。
另外一種情況是隨著企業(yè)之間的合作不斷增加,企業(yè)外派員工成為常見的現(xiàn)象,這樣就加大了企業(yè)間的交流和接觸時間,對于本企業(yè)的信息泄露也許就是在不經(jīng)意間。
無論是網(wǎng)絡(luò)問題還是人為問題,如果造成企業(yè)信息泄露,其對自身企業(yè)的損害是非常大的。以技術(shù)為核心的制造型企業(yè)加強(qiáng)信息安全管理勢在必行。
二、制造型企業(yè)信息安全管理的現(xiàn)狀及問題
1.企業(yè)信息安全管理的被動性
制造型企業(yè)的工作重點在產(chǎn)品制造與生產(chǎn),對于網(wǎng)絡(luò)信息管理意識薄弱,很多時候企業(yè)只有發(fā)現(xiàn)企業(yè)信息泄露或者遭受病毒的攻擊等安全事件,才會關(guān)注企業(yè)信息安全問題,進(jìn)而調(diào)動技術(shù)部門前來解決問題。這很大程度上反映制造型企業(yè)對網(wǎng)絡(luò)信息安全不夠重視,只有出現(xiàn)信息安全問題時,才組建臨時小組來解決企業(yè)信息問題,待到問題解決后小組便被解散,沒有對企業(yè)信息后序的監(jiān)督和管理,企業(yè)信息安全管理缺乏系統(tǒng)策劃和制度化要求,管理活動臨時性強(qiáng),缺少日常的維護(hù)和預(yù)防,導(dǎo)致更多的是重蹈覆轍,這樣不僅沒有為企業(yè)省下對安全管理的資金,相反的恰恰是增加了企業(yè)的資金投入,直接增加了企業(yè)安全管理的成本。同時因為臨時小組的組建,使得人員調(diào)動頻繁,大大降低了工作效率,進(jìn)而對企業(yè)的經(jīng)濟(jì)效益造成影響。
2.員工使用內(nèi)部系統(tǒng)連接外網(wǎng)
雖然大部分制造型企業(yè)對企業(yè)自身的內(nèi)網(wǎng)進(jìn)行了防護(hù)監(jiān)測,而且對員工上網(wǎng)和網(wǎng)頁瀏覽采取了一定的限制措施,但是實際上,企業(yè)對員工上網(wǎng)的控制落實程度不夠,員工依舊可以在工作時間使用企業(yè)網(wǎng)絡(luò)進(jìn)行外部網(wǎng)絡(luò)連接,而且對于一些網(wǎng)站毫無防備。而網(wǎng)絡(luò)病毒是時刻都在通過網(wǎng)絡(luò)攻擊使用者的,特別對于企業(yè)內(nèi)部網(wǎng)絡(luò),黑客更是隨時隨地緊盯著企業(yè)內(nèi)網(wǎng)出現(xiàn)漏洞,進(jìn)而竊取企業(yè)內(nèi)部信息。由于企業(yè)員工的疏忽,會有很大幾率使得企業(yè)信息出現(xiàn)安全隱患,輕則影響企業(yè)正常的生產(chǎn)工作,重則企業(yè)商業(yè)、技術(shù)信息被盜取或者企業(yè)內(nèi)網(wǎng)癱瘓甚至縱,為企業(yè)帶來非常嚴(yán)重的后果及損失。
3.移動設(shè)備限制力度不夠
制造型企業(yè)在信息安全管理方面通常采取的措施是限制流水線工人的移動設(shè)備使用,但是對于辦公部門卻沒有嚴(yán)格要求,辦公人員可以自由攜帶智能手機(jī)、筆記本電腦、pad、硬盤等移動設(shè)備。因辦公人員要對數(shù)據(jù)進(jìn)行處理,會導(dǎo)致企業(yè)內(nèi)部信息被無限制地拷貝。而且現(xiàn)如今的移動智能設(shè)備都能直接通過企業(yè)的無線網(wǎng)絡(luò),連接企業(yè)內(nèi)網(wǎng)以獲得權(quán)限,這樣的確提高了企業(yè)內(nèi)部的辦公效率,同時也給黑客病毒提供了通過無線網(wǎng)絡(luò)進(jìn)行傳播的機(jī)會,提高了企業(yè)內(nèi)部信息安全的風(fēng)險。
4.信息安全防護(hù)技術(shù)水平低
在我國,普遍存在信息安全研發(fā)技術(shù)水平較低的情況,這也是制造型企業(yè)安全技術(shù)不高的原因之一。制造型企業(yè)的工作重心偏重于生產(chǎn)、制造及商務(wù)活動中,而對于網(wǎng)絡(luò)安全的防護(hù)意識不高。
作為企業(yè),都會有一些信息安全意識。在企業(yè)成立初期,信息安全防護(hù)措施通常會被考慮并采納,尤其是一些進(jìn)口設(shè)備,但僅僅依賴進(jìn)口設(shè)備是遠(yuǎn)遠(yuǎn)不夠的。第一,進(jìn)口設(shè)備雖然技術(shù)先進(jìn),但是出現(xiàn)問題是在所難免的,往往出問題的是一些關(guān)鍵的零部件,這些零部件不僅難以拆卸且是整臺設(shè)備的技術(shù)核心,設(shè)備廠商必然會控制其銷售渠道。第二,很多企業(yè)過于相信進(jìn)口設(shè)備的技術(shù),力爭做到一步到位,使得企業(yè)發(fā)展中前期安全防護(hù)的確不錯,但是卻忽略了系統(tǒng)的更新和維護(hù),網(wǎng)絡(luò)病毒每天新出幾萬種,就算設(shè)備再先進(jìn),如果不進(jìn)行更新,遲早會被病毒攻破。第三,很多企業(yè)都采用家用式免費殺毒軟件,這些殺毒軟件更新頻率快,一些簡單病毒、木馬都能有效查殺,對家用來說但是對企業(yè)來講遠(yuǎn)遠(yuǎn)不夠,企業(yè)一般是黑客重點關(guān)注的對象,黑客往往會研制更先進(jìn)的病毒來攻克企業(yè)的防火墻,一些免費殺毒軟件很容易被攻破,增加制造企業(yè)內(nèi)部信息安全問題。
5.企業(yè)出現(xiàn)安全問題處理方法不當(dāng)
現(xiàn)如今研發(fā)病毒的技術(shù)快速而先進(jìn),病毒出現(xiàn)時的及時處理是非常重要的,我國制造型企業(yè)在出現(xiàn)信息安全問題的時候,雖然有相關(guān)的殺毒軟件,但因為大部分都是免費的,其更新速度雖然頻率高,相對滯后性比較強(qiáng),對于新病毒無法第一時間發(fā)現(xiàn)、處理。而且許多病毒都是潛在性的,企業(yè)內(nèi)部系統(tǒng)中毒之后沒有任何異樣,這就導(dǎo)致企業(yè)內(nèi)部人員無法及時發(fā)現(xiàn)企業(yè)內(nèi)網(wǎng)是否被越權(quán)或遭到攻擊。同時,由于很多企業(yè)缺少專門管理信息安全的部門,并且對于病毒侵入缺乏有針對性的安全對策和應(yīng)急措施,這就導(dǎo)致就算病毒被發(fā)現(xiàn),企業(yè)在第一時間也無從下手。
三、制造型企業(yè)容易出現(xiàn)安全問題的原因
1.企業(yè)內(nèi)部信息安全意識低
制造型企業(yè)的本質(zhì)是通過生產(chǎn)經(jīng)營活動而獲得盈利,因此制造型企業(yè)的工作重點主要是企業(yè)生產(chǎn)、制造以及流通和服務(wù)。在此情況下,企業(yè)更關(guān)注盈利情況,而缺乏對信息安全的管理意識,對信息安全管理的重視度不足。導(dǎo)致這一現(xiàn)象的重要原因是安全防護(hù)不能為企業(yè)帶來直接的經(jīng)濟(jì)效益,反而要投入大量的人力、物力、財力。另一方面,從安全管理角度來說,沒有事故發(fā)生才是管理績效的體現(xiàn)。相對于質(zhì)量管理、生產(chǎn)安全管理來說,信息安全管理的管理性質(zhì)是類似的,但因為其管理對象的不可見性,往往容易被企業(yè)高層忽視。同時,一般也會存在僥幸心理,感覺企業(yè)內(nèi)部網(wǎng)絡(luò)不會受到黑客攻擊,或是認(rèn)為就算受到病毒攻擊也不會對生產(chǎn)經(jīng)營造成什么大影響,對企業(yè)整體利益影響不大。基層員工更是不明白什么是安全防護(hù),對企業(yè)安全防護(hù)的重要性一無所知,這就導(dǎo)致許多企業(yè)內(nèi)部信息技術(shù)會從員工口中泄露。
2.信息安全管理模式不夠完善
制造型企業(yè)信息安全問題頻發(fā)的原因,究其根本就是因為企業(yè)信息安全管理模式不夠完善,具體原因是制造型企業(yè)不重視信息安全管理、缺少系統(tǒng)規(guī)范的信息安全管理制度、缺乏專業(yè)的信息安全管理技術(shù)和安全管理人員,企業(yè)信息系統(tǒng)設(shè)計沒有風(fēng)險評估、沒有完善的業(yè)務(wù)流程,信息安全管理存在頭痛醫(yī)頭腳痛醫(yī)腳的現(xiàn)象。
3.信息安全系統(tǒng)沒有應(yīng)急措施
制造型企業(yè)信息安全系統(tǒng)缺少應(yīng)急措施,也可以說沒有自我保護(hù)系統(tǒng)。自我保護(hù)系統(tǒng)是一種比較先進(jìn)的技術(shù),一旦有病毒侵入系統(tǒng),系統(tǒng)會自動對重要信息進(jìn)行加密、封鎖,待系統(tǒng)安全后自動解鎖。然而由于對信息管理的意識不足,使得很多制造型企業(yè)沒有建立信息安全自我保護(hù)系統(tǒng)。在我國,諸多制造型企業(yè)在信息管理方面更多的是依靠員工的經(jīng)驗,對于網(wǎng)絡(luò)自身的保護(hù)信任度不足,也缺少對信息安全管理技術(shù)發(fā)展的關(guān)注和引用。
四、制造型企業(yè)信息安全管理存在問題的對策
綜上所述,制造型企業(yè)信息安全問題是由很多因素造成的,包括管理層的重視方面、技術(shù)方面、人員管理方面等。首要的,企業(yè)應(yīng)提升對信息安全管理的重視程度,只有加強(qiáng)意識,并建立有效的信息安全防范措施,才能有效保護(hù)企業(yè)自身的核心競爭力,以獲得在市場經(jīng)濟(jì)中更好的發(fā)展。
1.提高企業(yè)內(nèi)部員工的信息安全意識
很多制造型企業(yè)信息泄露都是內(nèi)部員工無意間透露出去的,這也是最常見的企業(yè)內(nèi)部信息泄露渠道,企業(yè)應(yīng)充分重視員工的信息安全教育,定期對企業(yè)內(nèi)部員工進(jìn)行信息安全培訓(xùn)及考核,通過教育向員工灌輸信息安全的基本知識和常識、企業(yè)內(nèi)部信息的重要性、一旦發(fā)生企業(yè)核心技術(shù)泄露將產(chǎn)生的嚴(yán)重后果等信息。加強(qiáng)企業(yè)內(nèi)部員工信息安全意識,也就是從根本上降低了企業(yè)信息安全隱患,企業(yè)中如果基層員工都非常了解并重視信息安全問題,那么這個企業(yè)在信息安全管理方面必然非常完善有效。
2.建立健全企業(yè)信息安全管理機(jī)制
由于很多制造型企業(yè)缺少健全的信息安全管理機(jī)制,這就給了很多黑客病毒更多的侵入機(jī)會。一套完善的信息安全管理機(jī)制能夠有效的保護(hù)企業(yè)信息安全,降低安全隱患。制造型企業(yè)應(yīng)該建立健全企業(yè)信息安全管理機(jī)制,設(shè)立專門的企業(yè)信息安全管理部門,這樣能最大程度保證信息的日常安全防范,也保證了一旦出現(xiàn)安全問題,企業(yè)能更好、更快地解決問題,健全的管理機(jī)制能夠?qū)︼L(fēng)險有一定的預(yù)見性,把風(fēng)險降到最低。
3.加大對信息安全管理的資金投入
任何新型技術(shù)都離不開資金的投入,信息安全管理同樣也是,而且信息安全管理更多的屬于技術(shù)型投入,對資金依賴性更高。制造型企業(yè)想要獲得可持續(xù)發(fā)展,就必須要把目標(biāo)放得更加長遠(yuǎn)。企業(yè)內(nèi)部信息往往是一個企業(yè)的核心,因此企業(yè)應(yīng)提高對信息管理的重視程度,加大對信息安全系統(tǒng)的投資,把信息安全管理作為企業(yè)管理重要的一部分,信息安全管理資金劃作專項資金專款專用。企業(yè)對信息安全管理的投資要有計劃性,確保突況的資金投入、技術(shù)更新的資金投入、管理人員的資金投入、安全教育的資金投入等。把信息安全管理納入企業(yè)整體的發(fā)展規(guī)劃中,這樣才能保證企業(yè)信息更加安全,企業(yè)才能獲得長足的發(fā)展。
4.加大對信息安全管理人才的認(rèn)識
因為信息對企業(yè)生存至關(guān)重要,信息安全甚至?xí)绊懙狡髽I(yè)的發(fā)展戰(zhàn)略的制定和落實,制造型企業(yè)應(yīng)當(dāng)把信息安全管理與生產(chǎn)經(jīng)營提高到同一個層次。企業(yè)內(nèi)網(wǎng)是網(wǎng)絡(luò)技術(shù)領(lǐng)域,既然是技術(shù),就離不開專業(yè)人才的支持,企業(yè)應(yīng)該加強(qiáng)信息安全管理的人才培養(yǎng),提高企業(yè)信息安全管理的質(zhì)量。如果企業(yè)內(nèi)部沒有專業(yè)的信息安全管理人才,企業(yè)可以通過對外招聘的形式,在社會中尋求人才。現(xiàn)如今互聯(lián)網(wǎng)技術(shù)已經(jīng)逐步走向成熟,計算機(jī)人才更是越來越多,所以,制造型企業(yè)在社會中尋找信息安全管理的人才不會很難,同時還能促進(jìn)計算機(jī)技術(shù)人才就業(yè),對于企業(yè)自身以及社會都有很大意義。
5.加強(qiáng)企業(yè)內(nèi)網(wǎng)管理
一般來說,企業(yè)內(nèi)網(wǎng)系統(tǒng)中的信息很多都屬于商業(yè)機(jī)密,基層員工是無權(quán)了解的。制造型企業(yè)應(yīng)該把各個層級的員工賬號及內(nèi)網(wǎng)系統(tǒng)中的信息進(jìn)行分類管理,按信息等級設(shè)置不同的訪問權(quán)限和防范措施,以免企業(yè)員工在使用內(nèi)網(wǎng)時網(wǎng)絡(luò)病毒通過權(quán)限竊取過多的企業(yè)信息。另外,很多企業(yè)信息泄露都是由于某些員工通過企業(yè)無線網(wǎng)連接外網(wǎng)導(dǎo)致企業(yè)系統(tǒng)中毒,針對此類情況企業(yè)要制定相應(yīng)的政策和管理制度,通過對硬件的管理和網(wǎng)頁訪問權(quán)限設(shè)置,嚴(yán)禁員工上班時間通過移動設(shè)備隨意連接外網(wǎng)。
篇8
近幾年,隨著行業(yè)信息化建設(shè)逐步深入,伴隨著OA辦公自動化、ERP、卷煙生產(chǎn)經(jīng)營決策管理和MES生產(chǎn)制造執(zhí)行等系統(tǒng)相繼投入使用,與生產(chǎn)經(jīng)營息息相關(guān)的關(guān)鍵業(yè)務(wù)對信息系統(tǒng)的依賴程度越來越高,企業(yè)也逐步認(rèn)識到信息安全的重要性,企業(yè)員工的安全意識也都得到逐步提高。行業(yè)也相繼出臺了煙草行業(yè)信息安全保障體系建設(shè)指南和各類信息安全制度,并通過這幾年信息安全檢查工作,促進(jìn)企業(yè)的信息安全水平得到了進(jìn)一步提高。由于企業(yè)信息安全意識不斷提高,企業(yè)不斷加大信息安全方面的投入,如建立標(biāo)準(zhǔn)化的機(jī)房、購買與部署各類信息安全軟件和設(shè)備等。但是木馬、病毒、垃圾郵件、間諜軟件、惡意軟件、僵尸網(wǎng)絡(luò)等也隨著計算機(jī)技術(shù)的發(fā)展不斷更新,攻擊手段也越發(fā)隱蔽和多樣化。企業(yè)不僅要應(yīng)對外部的攻擊,也要應(yīng)對來自于企業(yè)內(nèi)部的信息安全威脅,安全形勢不容樂觀。企業(yè)的信息安全已不僅僅是技術(shù)問題,還需要借助管理手段來保障。企業(yè)如果不能正確樹立信息風(fēng)險導(dǎo)向意識,一味注重“技術(shù)”的作用,忽略“管理”的重要性,就很難發(fā)揮信息安全技術(shù)的作用,無法把企業(yè)的各項信息安全措施落到實處,企業(yè)的信息安全也就無從談起。只有切實發(fā)揮管理作用,企業(yè)的信息安全才能得到有效保障。
2企業(yè)信息安全體系架構(gòu)
在談到信息安全時,大多數(shù)剛接觸的人都比較疑惑,都說保障信息安全十分重要,那到底什么是信息安全呢?下面就簡單介紹一下信息安全的概念以及企業(yè)的信息安全體系架構(gòu)。2.1信息。對企業(yè)來說,信息是一種無形資產(chǎn),具有一定商業(yè)價值,以電子、影像、話語等多種形式存在,必須進(jìn)行保護(hù)。2.2信息安全。主要是指防止信息泄露、被篡改、被損壞或被非法辨識與控制,避免造成不良影響或者資產(chǎn)損失。2.3企業(yè)信息安全體系架構(gòu)。在保障企業(yè)信息安全過程中,信息安全技術(shù)是保障信息安全的重要手段。通過上文對企業(yè)信息安全現(xiàn)狀的分析,不難看出企業(yè)信息安全體系主要分為技術(shù)、管理兩個重要體系,進(jìn)一步細(xì)分則涉及安全運維方面。2.3.1信息安全技術(shù)體系作用。主要是指通過部署信息安全產(chǎn)品,合理制定安全策略,實現(xiàn)防止信息泄露、被篡改、被損壞等安全目標(biāo)。信息安全產(chǎn)品主要是指實現(xiàn)信息安全的工具平臺,如防火墻類產(chǎn)品、防攻擊類產(chǎn)品、殺毒軟件類產(chǎn)品和密碼類產(chǎn)品等,而信息安全技術(shù)則是指實現(xiàn)信息安全產(chǎn)品的技術(shù)基礎(chǔ)。2.3.2信息安全管理體系作用。完善信息安全組織機(jī)構(gòu)、制度,細(xì)化職責(zé)分工,制定執(zhí)行標(biāo)準(zhǔn),確保日常管理、檢查等制度有效執(zhí)行,最大程度發(fā)揮信息安全技術(shù)體系作用,確保信息安全相關(guān)保護(hù)措施有效執(zhí)行。通過上文簡單介紹,對信息安全以及信息安全系統(tǒng)有了大概了解。可以看出單純借助技術(shù)或管理無法保障企業(yè)信息安全,因此,建立企業(yè)信息安全管理體系的重要性也就不言而喻。
3信息安全管理體系概念
3.1信息安全管理。運用技術(shù)、管理手段,做好信息安全工作整體規(guī)劃、組織、協(xié)調(diào)與控制,確保實現(xiàn)信息安全目標(biāo)。3.2管理體系。體系是指相互關(guān)聯(lián)和相互作用的一組要素,而管理體系則是建立方針和目標(biāo)并實現(xiàn)這些目標(biāo)的體系。3.3信息安全管理體系(ISMS)。在一定組織范圍內(nèi)建立、完成信息安全方針和目標(biāo),采取或運用方法的體系。作為管理活動最終結(jié)果,包含方針、原則、目標(biāo)、方法、過程、核查表等眾多要素。3.4建立信息安全管理體系的目的。作為企業(yè)總管理體系的一個子體系,目的是建立、實施、運行、監(jiān)視、評審、保持和改進(jìn)信息安全。3.5信息安全管理體系涉及的要素。3.5.1信息安全組織機(jī)構(gòu)。明確職責(zé)分工,確保信息安全工作組織與落實。3.5.2信息安全管理體系文件。編制信息安全管理體系的方針、過程、程序和其他必需的文件等。3.5.3資源。提供體系運轉(zhuǎn)所需的資金、設(shè)備與人員等。
4信息安全管理體系機(jī)構(gòu)設(shè)置以及作用
在建立企業(yè)的信息安全管理體系之前,如果沒有設(shè)置相應(yīng)的信息安全組織機(jī)構(gòu),那么建立體系所需要的資源(資金、人員等)就無法得到保障,企業(yè)的信息安全制度和策略也就無法貫徹落實,企業(yè)的信息安全管理體系就形同虛設(shè)起不到任何作用。因此,企業(yè)在建立信息安全管理體系前必須建立健全信息安全組織機(jī)構(gòu),機(jī)構(gòu)設(shè)置可以根據(jù)職責(zé)分為三個層次。4.1信息安全決策機(jī)構(gòu)。信息安全決策機(jī)構(gòu)處于安全組織機(jī)構(gòu)的第一個層次,是本單位信息安全工作的最高管理機(jī)構(gòu)。應(yīng)以單位主要領(lǐng)導(dǎo)負(fù)責(zé),對信息安全規(guī)劃、信息安全策略和信息安全建設(shè)方案等進(jìn)行審批,并為企業(yè)信息安全工作提供各類必要資源。4.2管理機(jī)構(gòu)。處于安全組織機(jī)構(gòu)的第二個層次,在決策機(jī)構(gòu)的領(lǐng)導(dǎo)下,主要負(fù)責(zé)企業(yè)日常信息安全的管理、監(jiān)督以及安全教育與培訓(xùn)等工作,此類工作大部分都由企業(yè)的信息化部門承擔(dān)。4.3執(zhí)行機(jī)構(gòu)。處于信息安全組織機(jī)構(gòu)的第三個層次,在管理機(jī)構(gòu)的領(lǐng)導(dǎo)下,負(fù)責(zé)保證信息安全技術(shù)體系的有效運行及日常維護(hù),通過具體技術(shù)手段落實安全策略,消除安全風(fēng)險,以及發(fā)生安全事件后的具體響應(yīng)和處理,執(zhí)行機(jī)構(gòu)人員可以由信息中心技術(shù)人員與各部門專職或兼職信息安全員組成。
5信息安全管理體系的建立
ISO/IEC27001:2005標(biāo)準(zhǔn)的“建立ISMS”章節(jié)中,已明確了信息安全管理體系建立的10項強(qiáng)制性要求和步驟。企業(yè)應(yīng)結(jié)合自身實際情況,遵照這些內(nèi)容和步驟,建立自己的信息安全管理體系,并形成相應(yīng)的體系文件。5.1建立的步驟。(1)結(jié)合企業(yè)實際,明確體系邊界與范圍,并編制體系范圍文件。(2)明確體系策略,構(gòu)建目標(biāo)框架、風(fēng)險評價的準(zhǔn)則等,形成方針文件。(3)確定風(fēng)險評估方法。(4)識別信息安全風(fēng)險,主要包括信息安全資產(chǎn)、責(zé)任、威脅以及造成的后果等。(5)進(jìn)行安全風(fēng)險分析評價,編制評估報告,確定信息安全資產(chǎn)保護(hù)清單。(6)明確安全保護(hù)措施,編制風(fēng)險處理計劃。(7)制定工作目標(biāo)、措施。(8)管理者審核、批準(zhǔn)所有殘余風(fēng)險。(9)經(jīng)管理層授權(quán)實施和運行安全體系。(10)準(zhǔn)備適用性聲明。以上步驟解釋不詳盡之處,參看ISO/IEC27001:20054.2.1章節(jié)中A-J部分。5.2信息安全管理體系涉及的文件。文件作為體系的主要元素,必須與ISO/IEC27001:2005標(biāo)準(zhǔn)保持一致,同時也要結(jié)合企業(yè)實際,確保員工遵照要求嚴(yán)格執(zhí)行。而且也要符合企業(yè)的實際情況和信息安全需要。在實際工作中,企業(yè)員工應(yīng)按照文件要求嚴(yán)格執(zhí)行。5.2.1體系文件類型主要涉及方針、程序與記錄三類。方針類主要是指管理體系方針與信息安全方針,涵蓋硬件、網(wǎng)絡(luò)、軟件、訪問控制等;程序類主要是指“過程文件”,涉及輸入、處理與輸出三個環(huán)節(jié),結(jié)果常以“記錄”形式出現(xiàn);記錄類主要是記錄程序文件結(jié)果,常以是表格形式出現(xiàn)。至于適用性聲明文件,企業(yè)應(yīng)結(jié)合自身情況,參照ISO/IEC27001:2005標(biāo)準(zhǔn)的附錄A,有選擇性地作出聲明,并形成聲明文件。5.2.2體系必須具備的文件。主要包括方針、風(fēng)險評估、處理、文件控制、記錄控制、內(nèi)部審核、糾正與預(yù)防、控制措施有效性測量、管理評審與適用性聲明等。5.2.3任意性文件。企業(yè)可以針對自身業(yè)務(wù)、管理與信息系統(tǒng)等情況,制定自己獨有的信息方針、程序類文件。5.2.4文件的符合性。文件必須符合相關(guān)法律法規(guī)、ISO/IEC27001:2005標(biāo)準(zhǔn)以及企業(yè)實際要求,保證與企業(yè)其他體系文件協(xié)調(diào)一致,避免沖突,同時在文字描述準(zhǔn)確且無二義。
6體系實施與運行
主要包括策略控制措施、過程和程序,涉及制定和實施風(fēng)險處理計劃、選擇控制措施與驗證有效性、安全教育培訓(xùn)、運行管理、資源管理以及安全事件應(yīng)急處理等。
7體系的監(jiān)視與評審
主要指對照策略、目標(biāo)與實際運行情況,監(jiān)控與評審運行狀態(tài),主要涉及有效性評審、控制措施測試驗證、風(fēng)險評估、內(nèi)部審核、管理評審等環(huán)節(jié),并根據(jù)評審結(jié)果編制與完善安全計劃。
8體系的保持和改進(jìn)
主要是依據(jù)監(jiān)視與評審結(jié)果,有針對性地持續(xù)改進(jìn)。主要包括改進(jìn)措施、制定完善措施、整改總結(jié)等,同時需相關(guān)方進(jìn)行溝通,確保達(dá)到預(yù)計改進(jìn)標(biāo)準(zhǔn)。
篇9
2.目前中小企業(yè)信息安全面臨的主要威脅
調(diào)查發(fā)現(xiàn),近1年內(nèi),82.1%的被調(diào)查企業(yè)遭受過病毒、蠕蟲或木馬程序破壞;47.3%的企業(yè)遭受過黑客攻擊或網(wǎng)絡(luò)詐騙;33%的企業(yè)遭受過垃圾郵件和網(wǎng)頁篡改的干擾,還有28%的企業(yè)遭受的破壞竟然來自企業(yè)內(nèi)部員工的操作。這一調(diào)查結(jié)果表明,病毒泛濫、網(wǎng)絡(luò)詐騙、黑客攻擊、垃圾郵件和來自企業(yè)內(nèi)部員工破壞是河北中小企業(yè)面臨的最主要信息安全威脅。其中,病毒和木馬程序的破壞尤為嚴(yán)重,直接造成企業(yè)數(shù)據(jù)丟失、信息泄漏甚至系統(tǒng)癱瘓等后果,嚴(yán)重威脅著企業(yè)的信息安全。
3.企業(yè)信息安全保護(hù)措施現(xiàn)狀
調(diào)查發(fā)現(xiàn),93.7%的被訪企業(yè)采用了殺毒軟件進(jìn)行病毒防護(hù)和監(jiān)控,25.1%的被訪企業(yè)裝有入侵檢測系統(tǒng)和硬件防火墻,54.8%的被訪企業(yè)采用了身份認(rèn)證技術(shù)和設(shè)置訪問權(quán)限進(jìn)行信息保護(hù)。同時,通過調(diào)查也發(fā)現(xiàn),只有不到29.5%的企業(yè)有定期的數(shù)據(jù)備份,僅有6.9%的企業(yè)為重要信息進(jìn)行了數(shù)據(jù)加密。這一調(diào)查結(jié)果表明:在信息安全技術(shù)防護(hù)方面,幾乎被訪企業(yè)都采取了信息安全保護(hù)措施,但是大部分企業(yè)卻只停留在病毒防護(hù)和身份認(rèn)證的水平上,而缺少數(shù)據(jù)完整性和數(shù)據(jù)加密等保護(hù)技術(shù)。
4.信息安全管理保障措施情況
調(diào)查發(fā)現(xiàn),在信息安全管理保障措施方面,25.7%的被訪企業(yè)設(shè)立了專門的信息安全部門及相應(yīng)的專職管理人員,44.6%的企業(yè)制定了企業(yè)信息安全管理制度,只有8.5%的企業(yè)能夠?qū)π畔踩珷顩r進(jìn)行定期的風(fēng)險評估,而制定信息安全事件應(yīng)急處置措施的企業(yè)卻只有5.3%。這一調(diào)查結(jié)果表明:河北中小企業(yè)信息安全保障組織構(gòu)架設(shè)立不完善、缺乏信息安全管理制度,定期的信息安全風(fēng)險評估以及信息安全應(yīng)急處置預(yù)案措施嚴(yán)重缺失。
5.信息安全經(jīng)費投入狀況
調(diào)查發(fā)現(xiàn),23.5%的被訪企業(yè)信息安全方面的經(jīng)費投入占整個企業(yè)信息化總投資的比例低于5%,39.6%被訪企業(yè)同樣投資比例在5%~10%之間,只有38.5%的企業(yè)信息安全方面的經(jīng)費投入已經(jīng)超過企業(yè)信息化總投資的10%。這一調(diào)查結(jié)果表明:河北中小企業(yè)安全意識淡薄,信息安全經(jīng)費投入嚴(yán)重不足,低于國外20%~30%的投資比例。
二、對策與建議
通過課題組調(diào)查發(fā)現(xiàn),網(wǎng)絡(luò)環(huán)境下河北中小企業(yè)的信息安全問題突出,主要表現(xiàn)在認(rèn)識誤區(qū)、資金不足、技術(shù)薄弱和信息管理制度缺失等方面,要全面解決,必須從法律、技術(shù)和管理等幾個方面全盤考慮綜合治理。法律、技術(shù)和管理三者相輔相成,缺一不可,才能共同保證中小企業(yè)信息系統(tǒng)可靠安全運行。
1.法律法規(guī)層面加強(qiáng)政府支持力度和引導(dǎo)力度
僅僅靠中小企業(yè)自身搞信息安全防護(hù)是遠(yuǎn)遠(yuǎn)不夠的,在此過程中,政府的支持、鼓勵與引導(dǎo)是至關(guān)重要的。因此,政府應(yīng)不斷完善信息安全相關(guān)法律法規(guī)的建設(shè),加快網(wǎng)絡(luò)安全的基礎(chǔ)設(shè)施建設(shè),加大打擊網(wǎng)絡(luò)犯罪的力度。同時,針對河北中小企業(yè)特點,當(dāng)?shù)卣畱?yīng)加大企業(yè)信息安全重要性的引導(dǎo)和宣傳,讓中小企業(yè)特別是企業(yè)的領(lǐng)導(dǎo)者,充分認(rèn)識到企業(yè)信息安全的重大意義與作用,從而在日常企業(yè)決策中對企業(yè)信息安全建設(shè)投資有一定的傾斜,完善企業(yè)信息安全體系建設(shè)。從長遠(yuǎn)發(fā)展角度和戰(zhàn)略高度來重視企業(yè)信息安全。
2.技術(shù)層面
設(shè)計實施多層次、多方位的網(wǎng)絡(luò)系統(tǒng)安全保護(hù)技術(shù),以提高企業(yè)風(fēng)險防范的技術(shù)水平。風(fēng)險防范是一個復(fù)雜的系統(tǒng)工程,從技術(shù)角度,建議從以下幾個方面來實現(xiàn):
(1)建立網(wǎng)絡(luò)身份認(rèn)證體系。網(wǎng)絡(luò)環(huán)境下河北中小企業(yè)的各種商務(wù)活動,都需要對參與商務(wù)活動的各方進(jìn)行身份的鑒別、認(rèn)證,這就需要在企業(yè)內(nèi)部建立網(wǎng)絡(luò)身份認(rèn)證體系來證實各方的身份,以保證網(wǎng)絡(luò)環(huán)境下各交易方的經(jīng)濟(jì)利益。
(2)配置高效的防火墻。在企業(yè)內(nèi)部網(wǎng)與外聯(lián)網(wǎng)之間設(shè)置防火墻,從而實現(xiàn)內(nèi)、外網(wǎng)的隔離與訪問控制,在他們之間形成一道有效的屏障,是保護(hù)企業(yè)內(nèi)部網(wǎng)安全的最主要、最有效、最經(jīng)濟(jì)的措施之一。
(3)定期實施重要信息的備份和恢復(fù)。企業(yè)要對核心的數(shù)據(jù)和應(yīng)用程序進(jìn)行實時和定期的備份工作。并把備份數(shù)據(jù)的副本存儲在光盤上,這樣就可以避免一旦發(fā)生安全事故關(guān)鍵的應(yīng)用程序和數(shù)據(jù)丟失給中小企業(yè)帶來的巨大損失。
篇10
計算機(jī)和網(wǎng)絡(luò)通信相結(jié)合的信息技術(shù),是促進(jìn)當(dāng)代社會信息化發(fā)展的主要力量,為社會上各行各業(yè)的發(fā)展創(chuàng)造了良好的環(huán)境。許多企業(yè)在經(jīng)營與管理中已經(jīng)引用現(xiàn)代信息技術(shù),從而使經(jīng)營與管理更為科學(xué),工作效率更高,獲得的經(jīng)濟(jì)效益也越多。然而現(xiàn)代信息技術(shù)是一把雙刃劍,信息化的程度越高,由它帶來的風(fēng)險也越大。當(dāng)前,企業(yè)的信息安全風(fēng)險評估工作存在著一些問題,這些問題對企業(yè)的發(fā)展造成很多不利的影響。
一、企業(yè)信息安全風(fēng)險概述
對企業(yè)來說,信息是維持企業(yè)正常運作的必要資源。企業(yè)的信息包括重要的數(shù)據(jù)、企業(yè)的發(fā)展規(guī)劃、保密性文件、知識產(chǎn)權(quán)等。這些信息一旦被泄露,那么企業(yè)將面臨著或大或小的經(jīng)濟(jì)損失,更嚴(yán)重的還會使企業(yè)面臨破產(chǎn)的危險。所謂的企業(yè)信息安全就是指信息在其生命周期中,它的完整性、保密性和可用性這三個特性的保留情況。如果這三個特性都得到了保障,那么信息的安全性就高;如果其中的某個特性被破壞,那么信息的安全性就低。而信息安全風(fēng)險就是指信息在特定的環(huán)境與特定的時間里可能遭遇的安全威脅。
信息安全風(fēng)險可以分為可控性風(fēng)險與不可控風(fēng)險、可接受風(fēng)險與不可接受風(fēng)險、自然風(fēng)險與人為風(fēng)險等[1],這些風(fēng)險給企業(yè)的信息安全管理工作帶來了更多的不確定因素,加深了工作難度。
二、企業(yè)信息安全風(fēng)險評估的現(xiàn)狀與問題
當(dāng)前,我國企業(yè)的信息安全風(fēng)險評估工作存在著許多問題,給企業(yè)的日常經(jīng)營與管理帶來了許多不利的影響。
首先,企業(yè)沒有樹立正確的信息安全觀。很多企業(yè)的管理者在信息安全問題上會走向兩個極端,一種是認(rèn)為只要加大信息建設(shè)的投入,信息就存在絕對安全的可能;另一種是忽視信息安全建設(shè),信息安全風(fēng)險意識淡薄。很多企業(yè)的管理層對信息資產(chǎn)的重要性認(rèn)識不夠,因而他們在保護(hù)信息安全方面幾乎是無作為。
其次,企業(yè)在具體的信息安全風(fēng)險評估工作中,表現(xiàn)出重安全技術(shù)而輕安全管理的思想與行為方式。這些企業(yè)在工作過程當(dāng)中,不論是在心理還是在行為上都過分依賴安全技術(shù),甚至認(rèn)為只要安全技術(shù)過硬,信息安全就一定能夠得到保證,為此,企業(yè)普遍采用現(xiàn)代通信技術(shù)、計算機(jī)和網(wǎng)絡(luò)技術(shù)來構(gòu)建企業(yè)信息安全系統(tǒng)。而在安全管理上,出現(xiàn)了管理措施不到位,員工在信息保密上不夠嚴(yán)肅等問題,造成信息安全技術(shù)做無用功。
此外,企業(yè)信息安全風(fēng)險評估工作還存在著管理制度不夠完善、責(zé)任劃分不夠明確等問題。信息安全風(fēng)險的評估工作需要收集各方面的大量的信息,如此才能增強(qiáng)評估的有效性。而企業(yè)由于管理制度不完善、職責(zé)劃分不明確等問題,造成各部門的工作不配合、不協(xié)調(diào)。信息技術(shù)部門被孤立,信息安全的風(fēng)險評估工作也就不能得到及時有效的完成。
最后,我國有些企業(yè)在信息安全風(fēng)險評估的技術(shù)與方法上落后于時代。現(xiàn)代信息系統(tǒng)越往后發(fā)展,結(jié)構(gòu)就越復(fù)雜。這要求企業(yè)要根據(jù)不斷變化的信息技術(shù)來改進(jìn)自己的風(fēng)險管理理念和手段,同時也要吸收國際上的先進(jìn)信息安全風(fēng)險評估技術(shù),保障自身的信息安全。
三、企業(yè)信息安全風(fēng)險的控制
企業(yè)信息安全問題對企業(yè)來說是不應(yīng)該被忽視的部分,企業(yè)應(yīng)該在經(jīng)營與管理的每個環(huán)節(jié)做好信息安全風(fēng)險的控制工作,使企業(yè)的重要信息能夠得到充分的保護(hù)。企業(yè)信息安全風(fēng)險的控制可以從風(fēng)險分析、管理控制、技術(shù)控制三個方面來進(jìn)行。
(一)風(fēng)險分析
在進(jìn)行信息安全風(fēng)險控制之前,先對風(fēng)險進(jìn)行分析可以使風(fēng)險控制工作更加具有針對性,能夠提高風(fēng)險控制工作的效率。對風(fēng)險的分析可以從信息資產(chǎn)面臨的威脅、存在的弱點等方面來進(jìn)行[2]。在風(fēng)險分析工作中,要明確以下幾點:首先是信息安全風(fēng)險控制工作中需要保護(hù)哪些信息,這些信息具有什么樣的價值;信息資產(chǎn)面臨著哪些潛在的威脅,導(dǎo)致這些威脅產(chǎn)生的根源是什么,威脅發(fā)生的幾率有多大;信息資產(chǎn)中是否具有漏洞,這些漏洞是否會被人威脅利用;信息資產(chǎn)發(fā)生威脅之后,企業(yè)會面臨多大的損失;企業(yè)該采取什么樣的措施來應(yīng)對風(fēng)險帶來的損失,等等。
(二)管理控制
企業(yè)信息安全風(fēng)險控制工作主要從組織管理、人員管理、政策實施等幾個方面來進(jìn)行。首先,企業(yè)應(yīng)該建立信息安全組織機(jī)構(gòu),吸收組織成員,協(xié)調(diào)企業(yè)內(nèi)部的各項資源,制定信息安全控制的目標(biāo)并通過組織成員履行職責(zé)來達(dá)到目標(biāo)。其次,企業(yè)要培養(yǎng)素質(zhì)高、責(zé)任心強(qiáng)、原則性強(qiáng),能夠遵守企業(yè)政策的人員。企業(yè)信息安全風(fēng)險的控制不僅與強(qiáng)大的技術(shù)力量有關(guān),而且還有賴于執(zhí)行人員對信息安全工作的支持與參與。此外,在政策實施上,企業(yè)要嚴(yán)格執(zhí)行相關(guān)的信息安全保護(hù)政策,比如目前國際通用的《信息技術(shù)―信息安全管理實施細(xì)則》[1],為企業(yè)執(zhí)行信息安全保護(hù)工作提供一個統(tǒng)一的標(biāo)準(zhǔn),從而使工作能夠有序地展開。
(三)技術(shù)控制
技術(shù)對信息安全控制的影響力是比較大的,它在很大程度上決定了信息安全風(fēng)險的大小、范圍,同時它也決定了修補(bǔ)信息安全漏洞的方式和方法。因此,在技術(shù)方面對信息安全風(fēng)險進(jìn)行控制是非常有必要的。首先,技術(shù)構(gòu)架的設(shè)計應(yīng)該遵循系統(tǒng)性原則、技術(shù)先進(jìn)性原則、可控性原則、適度性原則等,使技術(shù)能夠更好地服務(wù)于風(fēng)險控制;其次,要做好安全域的信息安全保障工作,根據(jù)不同的安全域所面臨的不同風(fēng)險來進(jìn)行信息安全保護(hù)工作;最后,要提高信息安全保障技術(shù)。目前而言,我國的信息安全保障技術(shù)與國際上的相比明顯處于落后狀態(tài),因此,企業(yè)要引進(jìn)先進(jìn)的技術(shù)力量,加強(qiáng)信息安全風(fēng)險的控制力度。
四、結(jié)語
在這個信息化高度發(fā)展的社會,任何企業(yè)與個人在享受信息化帶來的便利的同時,也要承擔(dān)信息化帶來的風(fēng)險。我國企業(yè)在激烈的市場競爭中,不可避免會遇到信息安全上的威脅。因此每個企業(yè)都應(yīng)該做好信息安全的管控工作,認(rèn)真、嚴(yán)肅地對待當(dāng)前網(wǎng)絡(luò)環(huán)境下的企業(yè)信息安全問題。
參考文獻(xiàn):
篇11
[中圖分類號]TM73;TP309 [文獻(xiàn)標(biāo)識碼]A [文章編號]1673-0194(2016)16-00-02
1 我國電力企業(yè)的信息系統(tǒng)存在的問題
1.1 電力企業(yè)的信息安全意識比較差
信息化給企業(yè)帶來的各方面積極作用已經(jīng)被人們熟知和認(rèn)可,然而,信息技術(shù)的作用在被人們關(guān)注的同時,信息化安全方面的問題層出不窮。安全問題出現(xiàn)的原因主要是由電力企業(yè)基層員工的安全意識較差造成的。近幾年來,隨著信息安全事件的不斷出現(xiàn),電力企業(yè)的管理者加大了對安全問題的重視,其安全意識不斷提高,但是電力企業(yè)的基層員工對于信息安全的重要性認(rèn)識還不足,造成了企業(yè)的信息安全問題依然不斷出現(xiàn)。一方面,電力企業(yè)信息安全問題直接影響企業(yè)的管理,對于基礎(chǔ)員工的直接影響較小,因此,對于信息安全問題電力企業(yè)的管理者比較敏感,電力企業(yè)的基層員工的安全意識比較差。另一方面,電力企業(yè)的管理層雖然提高了對信息安全問題的重視,但是卻很少有企業(yè)制定切實可行的規(guī)章制度或者解決措施,更沒有把相關(guān)的規(guī)章制度有效的執(zhí)行下去,落實到企業(yè)每個員工的身上,因此,電力企業(yè)的基層員工對于信息安全的認(rèn)識不足,安全意識相對較差。
1.2 電力企業(yè)信息系統(tǒng)的技術(shù)性較差
信息技術(shù)隨著社會的進(jìn)步在不斷的革新。因此電力企業(yè)的信息系統(tǒng)必須要隨著信息技術(shù)的進(jìn)步不斷的變化,由此可知,電力企業(yè)的信息系統(tǒng)是動態(tài)的發(fā)展過程,因此,電力企業(yè)在應(yīng)用全新的信息系統(tǒng)的過程中難免存在技術(shù)缺陷,這就為電力企業(yè)日常的經(jīng)營與管理埋下了安全隱患,一旦出現(xiàn)安全問題,企業(yè)的重要信息資源可能被盜取,直接影響企業(yè)的經(jīng)濟(jì)利益以及長期穩(wěn)定的發(fā)展。例如:TCP/IP協(xié)議設(shè)計如果不夠全面、科學(xué)就會直接導(dǎo)致信息系統(tǒng)的軟件和硬件存在安全隱患,嚴(yán)重時會導(dǎo)致企業(yè)的軟件崩潰,企業(yè)的重要信息資源也將瞬間化為烏有,影響企業(yè)的日常管理,對于企業(yè)長期穩(wěn)定的發(fā)展非常不利。
1.3 信息系統(tǒng)的管理水平相對較低
信息系統(tǒng)安全問題給電力企業(yè)帶來的危害是巨大的,這一點已經(jīng)引起了電力企業(yè)管理層的高度重視,然而,目前電力企業(yè)的信息系統(tǒng)管理水平不是很高,企業(yè)管理中的漏洞給信息系統(tǒng)帶來了很多問題;部分管理人員在管理信息系統(tǒng)的過程中疏忽大意,增加了企業(yè)信息系統(tǒng)安全問題發(fā)生率;信息操作人員的操作程序不規(guī)范,一旦信息系統(tǒng)出現(xiàn)問題,企業(yè)的管理者不能第一時間知道是哪個程序出現(xiàn)了問題,從而不能及時解決信息安全問題,最終可能影響到企業(yè)的信息安全,給企業(yè)帶來巨大的損失。
1.4 電力企業(yè)信息系統(tǒng)集成性低
電力企業(yè)的業(yè)務(wù)部門相對較多,各個部門之間缺乏必要的溝通和有效的滲透,因此,企業(yè)信息系統(tǒng)的集成性較低。企業(yè)的信息系統(tǒng)中,各個部門的相關(guān)業(yè)務(wù)相互獨立,相互之間缺乏聯(lián)系,使得企業(yè)的信息系統(tǒng)中各個部門之間的數(shù)據(jù)信息存在很大的差距,各種信息的相關(guān)性不高,數(shù)據(jù)信息之間的聯(lián)系非常小,信息數(shù)據(jù)不能有效地銜接在一起。最終使企業(yè)信息化缺乏整體性,信息化應(yīng)用的最終目的不能實現(xiàn),電力企業(yè)及時信息化程度非常高,難以實現(xiàn)信息化給企業(yè)帶來的優(yōu)勢。
2 加強(qiáng)電力信息安全運行維護(hù)與管理的措施
2.1 提高企業(yè)信息安全意識,不斷完善企業(yè)的安全管理制度
電力企業(yè)必須認(rèn)識到應(yīng)用信息技術(shù)的前提就是要保證企業(yè)信息的安全性,如果不能有效地保證企業(yè)信息的安全,那么電力企業(yè)應(yīng)用信息技術(shù)的初衷將不能很好的實現(xiàn)。為了有效提高企業(yè)的安全意識,首先,電力企業(yè)的管理者人員應(yīng)該加強(qiáng)對企業(yè)員工信息安全知識的教育,讓每個工作人員都能意識到信息安全的重要性,積極地為企業(yè)提高信息安全出謀劃策。其次,電力企業(yè)應(yīng)該積極地學(xué)習(xí)西方先進(jìn)的安全防范措施,根據(jù)自身的實際情況制定有效的措施。最后,電力企業(yè)應(yīng)該制定完善的安全管理制度,合理保證企業(yè)信息的安全性。在制定安全管理制度的過程中一定要保證責(zé)任到人,一旦出現(xiàn)信息安全問題,電力企業(yè)能夠第一時間找到問題的所在,及時解決相關(guān)問題,同時還能追究直接責(zé)任人的相關(guān)責(zé)任,保證企業(yè)安全制度落實到實處。
2.2 提高信息系統(tǒng)技術(shù)水平
面對技術(shù)缺陷,電力企業(yè)應(yīng)該積極的提高信息系統(tǒng)的技術(shù)水平,采取有效措施避免系統(tǒng)缺陷導(dǎo)致的安全問題。首先,電力企業(yè)應(yīng)該設(shè)置有效的應(yīng)急措施,一旦信息系統(tǒng)出現(xiàn)技術(shù)上的問題,必須要保證信息的完整性,防止不法分子利用技術(shù)缺陷來危害企業(yè)的信息系統(tǒng)。例如:企業(yè)可以安裝自動報警系統(tǒng),一旦發(fā)現(xiàn)有人利用技術(shù)缺陷盜取企業(yè)的數(shù)據(jù)信息,第一時間報警,讓相關(guān)人員采取應(yīng)急措施防止企業(yè)信息泄露。其次,電力企業(yè)應(yīng)該不斷提升信息系統(tǒng)的技術(shù)水平,加強(qiáng)對信息技術(shù)的研究與探索,利用高級、精密、尖端的技術(shù)來規(guī)避企業(yè)信息系統(tǒng)中的技術(shù)缺陷,保證企業(yè)信息的安全。再次,電力企業(yè)要加強(qiáng)網(wǎng)絡(luò)防護(hù)技術(shù)在信息系統(tǒng)中的應(yīng)用,安裝IDS以及IPS技術(shù)系統(tǒng)加強(qiáng)企業(yè)信息系統(tǒng)的網(wǎng)絡(luò)防護(hù)能力。最后,電力企業(yè)應(yīng)該啟動安全審計系統(tǒng),對企業(yè)信息系統(tǒng)進(jìn)行嚴(yán)格的審計,一方面,企業(yè)能夠第一時間發(fā)現(xiàn)信息系統(tǒng)的問題,及時解決相關(guān)問題;另一方面,通過審計系統(tǒng)的分析,企業(yè)能夠全面了解信息系統(tǒng)的運行情況,幫助企業(yè)更好地查看信息系統(tǒng)的運行狀況。
2.3 提高信息管理的水平
電力企業(yè)的管理者在重視信息安全問題的同時,必須加強(qiáng)對信息的管理,提升企業(yè)的信息管理水平。制定嚴(yán)格的工作責(zé)任制,一旦發(fā)現(xiàn)信息安全問題,做到責(zé)任到人,防止管理人員由于麻痹大意而導(dǎo)致的信息安全問題。作為信息管理人員,如果自身的管理范圍內(nèi)出現(xiàn)了信息安全問題,企業(yè)一定會追究其管理責(zé)任,這對于提高管理人員的警惕性,減少其麻痹大意的作用非常有效。電力企業(yè)對于信息系統(tǒng)的操作人員要進(jìn)行定期培訓(xùn),強(qiáng)調(diào)信息操作標(biāo)準(zhǔn)的重要性,對于不嚴(yán)格按照信息操作標(biāo)準(zhǔn)操作的工作人員進(jìn)行嚴(yán)厲處罰,情節(jié)嚴(yán)重的給予開除。另外,電力企業(yè)要加強(qiáng)對信息系統(tǒng)的維護(hù),及時修復(fù)信息系統(tǒng)的漏洞,提高企業(yè)的信息管理水平。
2.4 提升電力企業(yè)信息系統(tǒng)的集成水平
信息系統(tǒng)的集成性是指企業(yè)在一定的技術(shù)指導(dǎo)下,能夠?qū)崿F(xiàn)對企業(yè)各個部門的有效調(diào)配,從整體上掌握企業(yè)日常運行情況以及企業(yè)在日常管理中存在的問題,滿足客戶對于企業(yè)的不同需求,在提高企業(yè)管理水平的同時,實現(xiàn)企業(yè)的高速發(fā)展。電力企業(yè)針對目前集成水平低的問題,必須要引起高度重視,采取有效措施提高企業(yè)集成水平。首先,電力企業(yè)應(yīng)該加強(qiáng)各個部門之間的溝通與聯(lián)系,保證企業(yè)各個部門數(shù)據(jù)信息的銜接度。其次,電力企業(yè)應(yīng)該加強(qiáng)企業(yè)信息系統(tǒng)的一體化建設(shè),站在企業(yè)的高度對企業(yè)中的財務(wù)系統(tǒng)、生產(chǎn)系統(tǒng)以及辦公系統(tǒng)進(jìn)行統(tǒng)一的管理與應(yīng)用,提升企業(yè)信息系統(tǒng)的集成水平。
3 結(jié) 語
電力是我國經(jīng)濟(jì)發(fā)展的基礎(chǔ)。電力企業(yè)必須擁有足夠的安全意識,保證企業(yè)長期穩(wěn)定的發(fā)展。我國電力企業(yè)采用信息技術(shù)來幫助企業(yè)更好的運營和管理是很有必要的,其出發(fā)點與落腳點都非常符合我國市場經(jīng)濟(jì)發(fā)展的要求。然而,如果電力企業(yè)的安全防范不能及時地跟上企業(yè)信息技術(shù)的應(yīng)用步伐,那么電力企業(yè)應(yīng)用信息技術(shù)的目的不但不能實現(xiàn),很可能會適得其反,使電力企業(yè)降低經(jīng)濟(jì)效益。
篇12
1信息安全與信息安全管理
(1)信息安全的根本目的是保障企業(yè)內(nèi)部信息不受任何因素的威脅,確保系統(tǒng)能夠連續(xù)可靠正常地運行,現(xiàn)代企業(yè)的信息安全是指企業(yè)為確保信息的保密性、真實性、完整性、未授權(quán)拷貝和所寄生系統(tǒng)的安全性不因偶然或惡意原因遭受破壞、更改和泄露而在計算機(jī)管理和技術(shù)上對數(shù)據(jù)處理系統(tǒng)進(jìn)行的安全保護(hù),保護(hù)企業(yè)的生產(chǎn)運營安全。(2)一般來說,存儲設(shè)備配置和信息安全管理中的漏洞、網(wǎng)絡(luò)環(huán)境和企業(yè)內(nèi)部局域網(wǎng)潛在的危險是企業(yè)信息安全的主要隱患。結(jié)合企業(yè)實際特點和需要,構(gòu)建企業(yè)信息安全管理體系,避免企業(yè)機(jī)密資料外泄,保護(hù)企業(yè)的生產(chǎn)運營安全是企業(yè)信息安全管理研究的重要課題。企業(yè)信息安全管理是企業(yè)為實現(xiàn)安全目標(biāo)進(jìn)行的信息安全風(fēng)險相互協(xié)調(diào)活動,其目的在于通過制定信息安全政策、風(fēng)險評估等系列工作盡量做到在有限的成本下保證資產(chǎn)的安全,維護(hù)信息的機(jī)密性、完整性和可用性。(3)隨著科學(xué)技術(shù)的不斷發(fā)展,云計算、大數(shù)據(jù)以及互聯(lián)網(wǎng)等將引領(lǐng)著未來IT的發(fā)展。企業(yè)想要實現(xiàn)發(fā)展,就要做好基礎(chǔ)性的工作,完善基礎(chǔ)設(shè)施建設(shè),建立出完善的信息安全保障系統(tǒng),在健康的網(wǎng)絡(luò)環(huán)境下來實現(xiàn)長遠(yuǎn)的發(fā)展。企業(yè)想要實現(xiàn)長遠(yuǎn)的發(fā)展,就要保證自身信息上的安全,同時還要認(rèn)識到信息安全的重要性,從長遠(yuǎn)的角度上出發(fā)來保護(hù)好信息。
2網(wǎng)絡(luò)環(huán)境下企業(yè)信息安全管理存在的問題
2.1計算機(jī)自身的不確定性
網(wǎng)絡(luò)時代,人人都可以成為信息的制造者、傳播者和接受者,但由于網(wǎng)絡(luò)的開放性、匿名性以及網(wǎng)民素質(zhì)的良莠不齊,不僅導(dǎo)致網(wǎng)絡(luò)產(chǎn)生許多虛假信息、表述不明確信息,來混淆視聽。甚至誤導(dǎo)網(wǎng)民,引發(fā),而且還為不法分子盜取企業(yè)信息提供了便利條件。加之,網(wǎng)絡(luò)資源的共享性為網(wǎng)絡(luò)系統(tǒng)安全的攻擊者提供了破壞企業(yè)信息安全的機(jī)會,給企業(yè)信息資源帶來大量的安全漏洞,給企業(yè)發(fā)展帶來不利的影響。
2.2安全軟件設(shè)計滯后
進(jìn)入信息化時代,計算機(jī)在企業(yè)發(fā)展過程中扮演著極為重要的角色,而隨著計算機(jī)與互聯(lián)網(wǎng)技術(shù)的融合,網(wǎng)絡(luò)不僅為企業(yè)提供了極為豐富的信息資源,拓寬了企業(yè)獲取信息的渠道,而且還極大地提高了工作效率,提升了企業(yè)經(jīng)濟(jì)效益和社會效益。但拓?fù)浣Y(jié)構(gòu)的設(shè)計和各種網(wǎng)絡(luò)設(shè)備的選擇容易感染病毒或被黑客侵略的問題,給企業(yè)信息安全帶來直接的安全隱患。而相關(guān)病毒查殺軟件都是為應(yīng)對問題而設(shè)計的,也就是說,病毒查殺軟件是針對病毒研發(fā)的一種“見招拆招”的軟件,具有嚴(yán)重的滯后性。合理的安全軟件設(shè)計能夠為企業(yè)信息安全提供較好的保護(hù),不合理的安全軟件設(shè)計則會成為企業(yè)信息安全的隱患。此外,由于安全軟件設(shè)計不合理或維護(hù)工作不完備,也極易造成病毒入侵、系統(tǒng)癱瘓等狀況,影響企業(yè)正常運轉(zhuǎn)。
2.3網(wǎng)絡(luò)操作系統(tǒng)的漏洞
隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,作為網(wǎng)絡(luò)服務(wù)得以實現(xiàn)的載體,網(wǎng)絡(luò)操作系統(tǒng)不可避免地會存在一些漏洞,這些漏洞作為一種伴生性漏洞不僅一直存在,而且還為病毒的滋生和入侵提供了機(jī)會。不斷更新?lián)Q代的網(wǎng)絡(luò)軟件在設(shè)計時考慮到便于軟件的擴(kuò)展和維護(hù),常會為編程人員設(shè)置后門,但網(wǎng)絡(luò)協(xié)議實現(xiàn)的復(fù)雜性使得操作系統(tǒng)的缺陷和漏洞成為網(wǎng)絡(luò)安全的硬傷,這些后門一旦被不法分子發(fā)現(xiàn),會對企業(yè)信息安全造成很大的威脅。如黑客攻擊就是基于網(wǎng)絡(luò)操作系統(tǒng)漏洞而產(chǎn)生的一種難以防范的、人為惡意攻擊,對企業(yè)造成無法彌補(bǔ)的損失。
2.4人為因素造成的安全問題
隨著市場經(jīng)濟(jì)體制的不斷完善,企業(yè)之間的競爭日趨激烈,很多企業(yè)只重視利益的發(fā)展,將全部精力集中于企業(yè)生產(chǎn)經(jīng)營,并沒有認(rèn)識到企業(yè)信息保護(hù)的重要性,造成企業(yè)信息在存儲過程中沒有適當(dāng)?shù)闹萍s機(jī)制,造成企業(yè)信息安全保障系統(tǒng)存在漏洞和隱患。加之網(wǎng)絡(luò)作為一種新生事物,企業(yè)對信息安全管理投入不足,員工普遍安全意識缺乏,信息安全管理規(guī)章制度不完善,這不僅浪費了企業(yè)的網(wǎng)絡(luò)資源,而且還極易出現(xiàn)安全隱患和漏洞。
3網(wǎng)絡(luò)環(huán)境下企業(yè)信息安全管理建設(shè)的措施
3.1通過對目前的應(yīng)用系統(tǒng)進(jìn)行分析與評估等工作是實際
可行的辦法安全風(fēng)險評估。因此,在實際中企業(yè)中的信息系統(tǒng)根據(jù)風(fēng)險管理的方法來對可能存在的風(fēng)險以及需要進(jìn)行保護(hù)的信息進(jìn)行分析,以風(fēng)險評估為最終結(jié)果來選擇出適當(dāng)?shù)拇胧?應(yīng)對好可能出現(xiàn)的風(fēng)險。企業(yè)只有對安全風(fēng)險進(jìn)行有效的評估,才能夠結(jié)合實際問題進(jìn)行科學(xué)合理的分析,采取有效的措施避免風(fēng)險出現(xiàn)。
3.2要做好技術(shù)上的創(chuàng)新。對于網(wǎng)絡(luò)的正常運行來說,安全是最基礎(chǔ)的,想要保證網(wǎng)絡(luò)的安全,就要從多個層面上出發(fā)來進(jìn)行立體保護(hù)。將監(jiān)督檢查機(jī)制落實到實際中去。時代的發(fā)展是建立在創(chuàng)新基礎(chǔ)之上的,只有實現(xiàn)不斷的創(chuàng)新,才能實現(xiàn)更好的發(fā)展。因此,在技術(shù)不斷創(chuàng)新的影響下,就要提高其質(zhì)量,保證效益,建立出以市場發(fā)展為基礎(chǔ)的創(chuàng)新機(jī)制。同時還要保證財力上的支持,實現(xiàn)技術(shù)的改進(jìn)與創(chuàng)新。通過對各項制度的實際情況進(jìn)行檢查,可以保證企業(yè)中信息的安全。想要保證信息的安全,就要制定出信息的搶救措施,如進(jìn)行數(shù)據(jù)恢復(fù)、備份以及銷毀等安全預(yù)防措施。
3.3充分運用防火墻技術(shù)
在網(wǎng)絡(luò)信息安全的管理中,防火墻技術(shù)屬于一項較為有效的安全技術(shù),能夠按照特定的規(guī)則,從而來允許以及限制數(shù)據(jù)的通過。防火墻能夠有效防止黑客訪問用戶的及其,以此來組織黑客拷貝篡改用戶的信息,以此來保證信息的安全。現(xiàn)今很多企業(yè)都廣泛應(yīng)用防火墻技術(shù),以此來保證自身企業(yè)的信息安全。并且防火墻自身具有很強(qiáng)的抗攻擊性,不會被病毒所控制。同時防火墻技術(shù)能夠?qū)?nèi)部的網(wǎng)絡(luò)進(jìn)行劃分,從而來將重點的網(wǎng)段進(jìn)行隔離,以此來對其進(jìn)行保護(hù)。
4結(jié)語
總之,想要保證企業(yè)中的信息安全,就要堅持從信息安全技術(shù)與做好內(nèi)部管理工作上出發(fā),企業(yè)網(wǎng)絡(luò)辦公不僅可以將各個部門緊密聯(lián)系在一起,工作溝通起來還可以更方便,極大地提高了工作效率,創(chuàng)造了更多的經(jīng)濟(jì)效益。這是新時代、網(wǎng)絡(luò)時期給企業(yè)帶來的難得一遇的機(jī)會和福音。通過安全技術(shù)的支撐來提高內(nèi)部管理工作的效果,同時還要落實管理與監(jiān)控工作,加強(qiáng)信息安全教育,建立出完善的管理制度,提高安全管理的水平。還竭盡全力做好企業(yè)內(nèi)部網(wǎng)絡(luò)的安全管理和防范對策,兩者結(jié)合、相輔相成,這樣一來企業(yè)的發(fā)展會更美好,更有希望。
作者:于倩 單位:淄博信息工程學(xué)校 淄博建筑工程學(xué)校
篇13
一、企業(yè)信息化建設(shè)過程中信息安全的問題
一般情況下能造成企業(yè)內(nèi)部信息安全問題的原因分為外部原因和內(nèi)部原因,可是不管是內(nèi)部原因還是外部原因都會對企業(yè)的信息系統(tǒng)的安全帶來隱患。
1.1企業(yè)內(nèi)部因素
第一個方面是企業(yè)的信息安全意識不強(qiáng),雖然是現(xiàn)在有很多的企業(yè)加快企業(yè)內(nèi)部信息化建設(shè)的進(jìn)程,但是有些企業(yè)只是在表面上看到信息化建設(shè)所帶來的優(yōu)勢,而信息化建設(shè)當(dāng)中的安全問題并沒能夠引起企業(yè)的足夠重視,所以在信息化建設(shè)的過程中比較容易出現(xiàn)安全隱患。第二個方面就是我國的安全軟件還是比較落后,雖然國內(nèi)計算機(jī)軟件技術(shù)在快速的反戰(zhàn),可是與一些發(fā)達(dá)的國家相比還是存在一定距離,第三個方面在管理操作方面存在問題,現(xiàn)在有很多的企業(yè)對于自己企業(yè)內(nèi)部的信息安全問題還存在不夠重視的問題,在企業(yè)信息系統(tǒng)的管理上不夠謹(jǐn)慎,這就會被不法分子和黑客進(jìn)入的機(jī)會,造成了企業(yè)的主要信息被盜取。第四個方面缺少優(yōu)秀的專業(yè)管理團(tuán)隊,企業(yè)信息的系統(tǒng)安全是前期的制定和日常系統(tǒng)安全的維護(hù)以及日后都是由專業(yè)的人員來進(jìn)行操作,所以相關(guān)的技術(shù)人員都必須具有很好的素養(yǎng)和賢能的技術(shù),第五個方面法律法規(guī)的不全面。現(xiàn)在我國與企業(yè)信息安全問題的法律法規(guī)不全面這就造成企業(yè)內(nèi)部信息被盜取不能得到相關(guān)的賠償。
1.2企業(yè)外部因素
現(xiàn)在企業(yè)信息安全系統(tǒng)的威脅主要來自于外部的因素,隨著我國經(jīng)濟(jì)社會的飛速變化,在競爭激烈情況下信息是非常重要的,大昂仁會有很多的不法分子會利用各種手段來盜取企業(yè)的信息為自身得到利益。還有些企業(yè)在于對手的競爭過程中使用不正當(dāng)?shù)氖侄蝸頁艨鍖κ直WC自己企業(yè)的利益。
二、企業(yè)信息化建設(shè)過程中的信息安全與對策
在我國社會經(jīng)濟(jì)快速發(fā)展的今天,企業(yè)信息安全對于一個企業(yè)的發(fā)展是非常具有意義的,企業(yè)的信息被盜取和泄露會給企業(yè)帶來很大的損失,所以說企業(yè)對信息安全問題必須要有足夠的重視。有的企業(yè)已經(jīng)做好了信息安全的必要工作就應(yīng)該更加注意安全軟件并不是時時刻刻都能做好安全的保護(hù),做好安全保護(hù)還要加強(qiáng)管理。
2.1確保正確的安全意識
一個企業(yè)在信息化發(fā)展的過程中,應(yīng)該認(rèn)識到企業(yè)信息的安全問題和企業(yè)發(fā)展相互的關(guān)聯(lián)。如果企業(yè)的重要內(nèi)部信息被盜取或者泄露那么對于企業(yè)所造成的打擊是非常大的,而與此同時也是給了對手創(chuàng)造了很好機(jī)會。所以確保正確的安全信息意識對于一個企業(yè)來說是非常重要的,也是為了以后給企業(yè)的各項工作打下了很好基礎(chǔ)。
2.2選擇安全性能比較高的軟件
其實任何軟件都不是牢不可破的,可是對于安全性能比較高的軟件,如果說破解的話難度還是相當(dāng)高的,所以企業(yè)選擇安全軟件的時候要選擇安全性能高的,不要為了節(jié)省一點企業(yè)的支出而選擇使用安全性能差的保護(hù)軟件,一旦出現(xiàn)問題所造成的企業(yè)損失價值會大于軟件的價格。
2.3加強(qiáng)企業(yè)網(wǎng)路管理
很大一部分的企業(yè)信息被盜取都是不法分子通過網(wǎng)絡(luò)進(jìn)行的,所以說必須要對企業(yè)的網(wǎng)絡(luò)管理進(jìn)行加強(qiáng),這樣才能確保企業(yè)信息系統(tǒng)在安全的狀態(tài)的情況下運行。對于信息安全的種類和等級的高低來進(jìn)行制定合理的方案,并且提前做出如果發(fā)生特殊情況下怎么進(jìn)行處理的方案。如果說企業(yè)的信息安全發(fā)生危機(jī)的時候,企業(yè)應(yīng)該快速的組建處理小組,針對信息安全危機(jī)的步驟處理并且做好危機(jī)處理的工作,還要避免出現(xiàn)由于處理不當(dāng)而產(chǎn)生的各種情況。
三、結(jié)語
以上所述是企業(yè)信息化建設(shè)過程中所必需要面對的問題,一個企業(yè)的信息安全建設(shè)應(yīng)該先從管理開始,必須做到以防范為主要,必需制定有效的安全防護(hù)把安全的風(fēng)險降至最低。在現(xiàn)在經(jīng)濟(jì)發(fā)展的快速時代,企業(yè)信息的安全問題決定著企業(yè)的安全運營。
參考文獻(xiàn)
[1]原黎.探析企業(yè)信息安全問題的成因及對策[J].現(xiàn)代工業(yè)經(jīng)濟(jì)和信息化.2011(08)
[2]張耀輝.關(guān)于企業(yè)信息化建設(shè)中的信息安全探討[J].電子技術(shù)與軟件工程.2013(14)
[3]趙曉華,陳秀芹,周文艷,夏莉莉,李建忠.網(wǎng)絡(luò)環(huán)境下河北中小企業(yè)信息安全問題研究[J].科技資訊.2013(31)
