引论:我们为您整理了13篇企业信息安全重要性范文,供您借鉴以丰富您的创作。它们是您写作时的宝贵资源,期望它们能够激发您的创作灵感,让您的文章更具深度。
篇1
1 现状分析
我国中、大型煤矿企业建设和应用了大量的信息系统和工业控制系统,并且这些信息系统已经深入到生产经营的方方面面,促使煤矿企业从传统的密集型、重体力生产模式向“采掘机械化、生产自动化、管理信息化”模式转变,有力地提升了煤矿企业管理效率,加速了煤矿的企业转型升级。但是煤矿企业在信息网络安全管理方面还存在诸多问题:
1.1 企业管理人员对信息网络安全的重要性认识不足
主要表现在四点,一是没有建立完善的信息网络组织体系,相关的制度建立和落实不到位。二是企业大都没有编制详实可行的信息网络安全预案,也没有进行相关的应急演练;三是信息网络安全方面的投入比较少,企业安全防护设施不全;四是企业管理人员对于信息网络安全的知识非常欠缺,只注重信息系统具体应用和预设功能,对于操作可能带来的网络威胁没有防范意识。
1.2 信息孤岛与信息网络安全之间的矛盾日益冲突
早期煤矿企业建设的信息系统和工业控制系统都是一个单一的个体,相互独立,之间没有任何联系,随着信息技术的发展和企业管控一体化进程的不断推进。“信息孤岛”的问题得到了很大程度的解决,但同时产生的信息网络安全问题也日益突出。“信息孤岛”的消除依赖网络的广泛应用,而网络正是信息安全的薄弱环节。消除“信息孤岛”势必使工业控制系统增加大量的对外联系通道,这使得信息网络安全面临更加复杂的环境,安全保障的难度大大增加。
1.3 信息安全管理人员信息安全知识和技能不足,主要依靠外部安全服务公司的力量
主要原因有三点:
(1)煤矿企业地处偏远山区、工作环境和生活环境相对都比较差,很难招聘到高科技人才,即是招到人也很难留下来。
(2)企业以煤炭生产、加工、销售为主业,信息技术人才发展空间小、大多数人员都只是从事信息维修工和桌面支持之类的工作。
(3)信息安全管理人员长期得不到培训和学习的机会,信息技术知识的储备量有限、业务水平处在较低的一个水平,所以只能依靠外部安全服务公司。
1.4 信息网络安全防护设备利用率低,很难发挥应有的功能
煤矿企业在信息网络建设初期都会做网络安全方面的布置,比如在网络边界架设防火墙、入侵检测设备,在内部部署杀毒软件,形成了软硬件相结合的防御模式,可是很多企业的防火墙和入侵检测设备从安装到被替换可能从来都没有做过配置更新,和漏洞修复、打补丁之类的操作,大多数的员工电脑也从不安装杀毒软件,这就做法无形中弱化了我们防御的盾牌和进攻的长矛,使网络安全防护设备长期处于半“休眠”状态。
2 重要性
“没有网络安全就没有国家安全”,在浙江乌镇世界互联网大会上提出的网络安全观,足以证明网络安全对于国家的重要性。那么同样对于现今充分利用信息网络和工业控制系统的现代化煤矿企业来说,如果没有足够的信息网络安全也就没有企业的安全生产。信息技术是一把“双刃剑”,它改变了企业的生产方式,优化了企业的管理流程,提高了企业管理效率,可是同样却又不得不将企业置身于互联网之中。互联网是一个“超领土”存在的虚拟空间,存在各种潜在的威胁,比如利用木马、病毒、远程攻击、控制等方式,泄露企业的商业机密、修改控制系统指令、攻陷服务器、盗取个人信息等,这些都有可能对企业造成严重安全事故和经济损失。这些还只是企业内部的损失,很多大、中型煤矿企业为了提升企业管理效率都开通与集团公司之间的专线VPN,承载了很多应用服务包括协同OA、生产调度、销售等等的数据都要进行通信,如果信息网络安全受到攻击瘫痪,都会对企业的生产经营造成影响,更有甚者可能通过煤矿企业本地发起攻击,致使整个集团的信息网络受到严重威胁,所以煤矿企业管理人员一定要树立正确的信息网络安全观,充分认知信息网络安全的重要性,加快构建关键信息基础设施安全保障体系,增强企业信息网络安全的防御能力。
3 总结
总之,信息网络技术发展的今天,信息网络安全已经是每一个煤矿企业必须面对和正视的问题,也是每一个企业管理者应该积极参与和考虑的问题。古人云“知己知彼 百战不殆”,煤矿企业应该立即行动起来,通过开展关键信息基础设施网络安全检查,准确掌握企业关键基础设施的网络安全状况,详细评估企业所面R的网络安全威胁,制定对应的防范措施,构建企业信息网络安全的“防火墙”,为企业安全生产经营、职工娱乐生活营造一个安全、稳定、健康的网络环境。
参考文献
[1]陈龙.煤炭企业网络安全建设与管理探究[J].煤炭技术,2013.
篇2
前言
文章对企业计算机网络安全存在的问题进行了介绍,对影响企业计算机网络系统安全的因素进行了阐述,通过分析,并结合自身实践经验和相关理论知识,对加强企业网络安全管理措施进行了探讨。
二、企业计算机网络安全存在的问题
1.安全意识淡薄
在企业网络系统中,每一台计算机的安全性都会影响整个系统的安全性能,网络安全与每个用户息息相关。内部员工了解公司的网络结构、数据存放方式和地点甚至掌握业务系统的密码。在具有严格访问权限的系统中,使用弱密码的用户有可能成为安全系统中的缺陷,甚至有些人随意改动系统注册表,使得整个网络安全系统失效。
2.网络安全体系不健全
当前很多企业尽管采取了一些安全措施,但安全保护措施较为零散,缺乏整体性与系统性,对于企业网络信息安全保护缺乏统一的、明确的指导思想,没有建立一个完善的安全体系,这是引发安全问题的主要源头。
3.网络黑客攻击
黑客肆意妄为,破坏的手段也越来越多样化。企业的内部资料对于整个企业经营来说相当重要,因为它关系到整个企业的生死存亡。企业存放信息会因网络黑客攻击而造成资料的泄密。
4.来自企业外部的感染
来自企业外部的计算机病毒具有传播性、破坏性、隐蔽性、潜伏性和可触发性等特点,通过入侵网络系统和设备,对数据进行破坏,使网络瘫痪,不能正常运作。网络蠕虫由于不需要用户干预就能触发,因而其传播速度要远远大于计算机病毒,其对网络性能产生的影响也更为显著和严重。木马是指附着在应用程序中或者单独存在的一些恶意程序,它可以利用网络远程控制安装有服务端程序的主机,实现对主机的控制或者窃取主机上的机密信息。
5.来自企业网络内部的攻击
企业防护重点是对外,往往忽视对内部防护的重视。利用企业内部计算机对企业局域网络进行攻击,企业局域网络也会受到严重攻击,当前企业内部攻击行为大大加强了企业网络安全的风险。
三、影响企业计算机网络系统安全的因素
1.病毒攻击
目前,计算机病毒的制造者大多利用Internet网络进行传播,因中小企业防范薄弱管理规范性有待提高,所以他们很大可能要遭到病毒的攻击。病毒可能会感染大量的机器系统,也可能会大量占用网络带宽,阻塞正常流量,如:发送垃圾邮件的病毒,从而影响企业计算机网络的正常运行。
2.软件漏洞
任何软件都有漏洞,这是客观事实。而同时中小企业在软件采用上大都以节约为本,不注重也不舍得花销来进行软件更新的后期升级服务,以至于非法用户正好通过这些需要升级的漏洞窃取用户信息和破坏信息,针对固有的安全漏洞进行攻击。
3.职员不当操作
中小企业计算机管理人员配置少,监督管理都难以细致,其它职工在信息化系统操作中容易出现工作马虎,不细心,不按成型的规范操作,不遵守制定的相应规章制度。中小企业中很多职工信息安全意识不强,将自己的生日或工号作为系统口令,或将单位的账号随意转借他人使用,从而造成信息的丢失或篡改。
四、加强企业网络安全管理措施
1.要加大对计算机网络与信息安全工作的投入。信息技术进步神速,我国在这一领域同发达国家比,并没有优势。因此我国更应加大投入,刻苦攻关,掌握一些关键的信息技术,以确保我国在信息安全方面的自主能力。可以毫不夸张地说,今年安全方面的自主能力,将制约我国的综合国力和国防实力,因此,我国应当像五六十年展“两弹一星”一样,集中力量,加大投入,迎接信息技术革命的挑战,保卫国家安全。这一点,我们不能幻想通过进口来解决问题。在信息安全技术方面,发达国家一方面极为重视研究开发,美国政府曾为了改进美国政府的计算机安全系统,投入巨大的资金;另一方面,又严格控制信息安全技术的出口。以美国为代表的发达国家,对信息安全产品出口,已作出许多严格限制,以维护其在信息技术领域的绝对优势。
2.关键数据采用加密手段。在企业计算机网络中关于数据安全的隐患无处不在。尤其是一些机密数据库、商业数据等一定要保证它的安全性,这时一般会采取对数据加密的手段,它是一种保护数据在存储和传递过程中不被窃取或修改的一种手段,该数据加密系统在使用的过程中需要综合考虑执行效率与安全性之间的平衡。
3.加强安全管理力度健全管理制度。首先,加强信息安全管理力度应积极采取宏观管理与重点监控相结合的方式,保证信息化项目的安全性。系统的实施及管理部门应该全面掌握各单位的计算机网络系统的相关情况,为企业统一管理提供可靠依据。同时,对重点工程实地考察,对信息安全进行检查,发现问题及时解决。
4.事务管理和故障恢复。事务管理和故障恢复主要是对付系统内发生的自然因素故障,保证数据和事务的一致性和完整性。故障恢复的主要措施是进行日志记录和数据复制。计算机同其他设备一样,都可能发生各种各样的故障,比如电源故障、软件故障、灾害故障以及人为破坏等,这些故障可能会造成数据库的数据丢失,因此为了保证计算机的安全运行,必须在发生故障时采取必要的措施恢复数据库,事务管理和故障恢复就是这个作用,它能够保障数据库在出现故障时,仍可以把数据库系统还原到正常状态。
五、企业信息安全新形势
网络信息安全工作始终是通信行业最为关键的工作之一,具有长期性、复杂性和艰巨性的特点。2010年3G及宽带网络蓬勃发展,三网融合开始实施操作,云计算和物联网产业方兴未艾,需求的个性化、数字的海量化、业务的复杂化给通信行业网络信息安全带来了新的更大的挑战,行业中企业要进一步提高对网络信息安全重要性的认识,发展与管理并重,加强部门协调配合,加强网络基础管理工作,加强网络信息安全保障能力建设,特别是要加快网络信息安全关键基础产业的研发应用和产业化,通过核心技术掌握自主知识产权,加快发展自主可控的信息安全产业,建设新时期通信行业网络安全、信息安全长城。
从国际国内出现的安全现象出发,应对多种复杂的安全新问题,应该借助于RFID等物联网新技术,并通过极主动地建立网络与信息安全的保障体系,技术和管理并重,加强立法建设、政策制订、技术研究、标准制订、队伍建设、人才培养、市场服务、宣传教育等多方面的工作,通过产业链各方的紧密合作共同构造一个全方位多层次的网络与信息安全环境,来共同改善全球的网络与信息安全问题。
结束语
随着科技的发展,一些不法份子和黑客通过计算机网络窃取企业商业机密的现象越来越多,因此,对于计算机网络信息安全管理应该予以高度重视,否则可能对企业造成不可预估的损失。
参考文献
[1]林延君.局域网企业信息安全系统的设计与实现[D].大连理工大学,2006年.
篇3
近日,有媒体报道每年有数万个境外IP地址作为木马,参与控制了我国境内近千万台主机,如此庞大的数据让我们触目惊心。而最近众多“泄密门”“后门”事件的发生,更让我们看到企业的信息安全状况不容乐观。很多企业都意识到解决企业信息安全问题迫在眉睫,有的企业在大力加强企业信息安全体系的建设,针对信息安全设备进行全面检查,并且做出了相应的措施。2005年中国昆仑工程公司信息管理部为保障数据安全曾对某重点专业部门的台式电脑进行改造,全部升级为无盘工作站,拆除了所有个人用户电脑中的硬盘,电脑系统以及所有数据都在数据中心的服务器中运行和存储,从而保证数据的安全性,获得较好效果,并且获得省部级奖项。
无盘工作站的工作方式就是在数据中心部署一台服务器,这台服务器作为系统搭建的平台,个人终端通过网络连接到服务器上。个人终端只有如主板、内存、电源等必备硬件却没有硬盘,网卡必须带有可引导芯片。在无盘工作站启动时网卡上的可引导芯片从系统服务器中取回所需数据供用户使用。所以,无盘工作站其实就是把硬盘和主机分离,无盘工作站只执行操作不执行存储,故不会对文件造成窃取或者遗失。由于无盘工作站不需要硬盘等存储设备,减少了硬件的投入与维护,启动和运行速度快,系统不被破坏、能自动还原、无需重装系统。但是无盘工作站则完全依赖网络和服务器的支持,一旦网络或服务器中毒或因为某些原因无法运行,将会导致全网瘫痪。并且存在个人隐私得不到保障、服务器成本投入过高、对网络质量要求高、占用过多网络带宽等缺点。
3文件加密技术在企业中的应用
为了避免企业局域网出现信息泄密,造成严重的损失。很多企业都对文件做出了严格的管理制度以及多种监控手段,其中对数据传输与载体的管控成为最广泛最简单的措施。近年来一直使用的包括无盘工作站,封锁USB口,封锁光驱,网络控制等等方式都是以切断数据传输以及管控数据载体为手段的技术办法,但是这种物理隔绝的信息保护机制非常落后,“一刀切”的方式不仅改变了用户操作习惯,还严重影响了非机密数据的传输,导致工作流程繁琐。在这种情况下我们决定尝试采取特定文件全自动加密技术,这种加密方式不会改变用户的操作习惯,并且能够做到强制性加密。当用户打开或编辑指定文件时,系统将自动对未加密的文件进行加密,对已加密的文件自动解密。不需要对文件的传输做任何限制,也不用担心文件通过任何方式被复制到别的地方。因为文件在任何载体上都是以密文的形式存在,只有在加密系统的硬件内存中是明文形式,所以一旦离开终端用户的电脑系统,加密文件无法得到自动解密的服务而无法打开,起到保护文件的效果。
全自动文件加密系统主要分为服务器端和客户端,服务器端主要是记录用户资料、给用户分配权限以及管理用户文件的密钥信息等。客户端主要负责与服务器进行交互,对登录系统的用户进行身份认证、获取文件加/解密密钥及生成控制文件等,同时将客户端处理的信息交给服务器。全自动文件加密系统能够自动识别每一个登录到局域网内部的用户并进行身份验证,只有具有权限的用户才能操作文件。因为机密文件在电脑的硬盘上是以密文形式存在的,只有用户拥有操作文件的权限才可以看到明文信息,否则将会是乱码。该系统具有加密制定程序生成的文件、泄密控制、审批管理、离线文档管理、外发文档管理、用户/鉴权管理、审计管理、自我保护等功能。2013年10月已在某专业设计部小网中部署了该文件加密系统并已使用,今年计划在全网部署该系统。目前的加密策略为自动加密+全盘扫描,加密的文件类型为CAD,Word,PDF,Excel。即后台扫描该电脑部署文档机密系统前的所有历史相关类型文件并进行强制自动加密,对于新文件,打开相关类型的文件也会自动加密,有效实现了公司数据的保密,增强了信息系统的数据安全性。
4结语
信息安全和知识产权专利技术保密对企业发展具有重要的激励作用,有助于减少经营风险,增强企业竞争力。而企业也需认识到信息安全在当今社会发展中的重要作用,在谋求企业全面发展的同时重视知识产权保护,运用新技术保护企业的数据,减少信息系统的安全漏洞和隐患,加大对知识产权专利的保护力度,推动技术进步和企业的又好又快发展。
主要参考文献
篇4
所以,怎样把企业信息安全管理与风险控制融合起来就是摆在企业经营管理者面前的一道难题。企业的信息安全风险控制必须通过企业建立完善的企业信息安全风险体系实现。企业的信息安全风险控制是指企业在企业信息安全遭遇威胁之前,提前对企业的信息进行风险预估,并采取一系列的有针对性的活动降低企业面临的信息安全风险,从而尽可能减少因为企业本身信息安全管理中存在漏洞给企业带来不必要的损失。常见的企业信息安全风险体系建立主要包含以下几个方面的内容。第一,建立企业信息安全风险管理制度,明确企业信息安全管理的责任分配机制,明确企业各个部门对各自信息安全所应承担的责任,并建立相应的问责机制。第二,设置规范的企业信息安全风险管理指标,对企业存在的可能威胁企业信息安全管理的漏洞予以风险定级,方便企业管理者对不同的信息安全管理漏洞采取有区别的对策。第三,企业要加强对信息安全管理人员的培训,提高企业信息安全管理工作人员的风险意识,让企业内部从事信息安全管理工作人员认识到自身工作的重要性,让企业内部从事信息安全管理工作人员了解到规范自身行为,正确履行职责的重要性。第四,将企业信息安全管理与风险控制有效融合,重视企业信息安全管理工作,通过风险控制对企业内部信息安全的管理方式进行正确评估,找出现行的企业内部信息安全管理手段中存在容易忽视的地方。
二、企业信息安全管理与风险控制存在的不足
1.企业信息安全管理工作人员素质不高
对于企业来说,企业信息安全管理工作是一项极为重要而隐秘的工作,因此,必须增强对企业信息安全管理工作人员的素质要求。但是根据调查统计,目前很多企业对信息安全工作的管理仅仅停留在对企业信息安全管理工作人员的技术要求上,对企业信息安全管理工作人员的道德素养,职业素养,风险意识并没有严格要求。此外,绝大多数企业并没有意识开展对企业信息安全管理工作的道德素质的教育培训,并没有通过建立相关管理制度以及问责机制对企业信息安全管理工作人员实行监督,这无疑给别有用心或者立场不坚定的企业信息安全管理工作人员留下了危害企业信息安全的可乘之机。
2.企业信息安全管理技术不过关
企业信息安全管理工作涉及多许多技术,包括信息技术,计算机技术,密码技术,网络应用技术等等,应当说成熟的计算机应用技术是做好企业信息安全管理的基础,但是,现实是许多企业的信息安全管理技术并不过关,一方面企业的信息安全管理硬件并不过关,在物理层面对企业信息缺乏保护,另一方面,企业信息安全管理工作的专业技术没有及时更新,一些企业信息安全管理工作人员缺乏企业信息安全管理的实践经验,企业信息安全管理的知识也并没有及时更新,从而导致企业的信息安全管理理论严重滞后,这种技术的落后很容易让企业成为不法分子的攻击对象。近年来网络病毒的传播越来越猖狂,很多服务器、系统提示安全补丁的下载更新以及客户端的时常更新成为一个恼人的问题。作为一个行业中的大中型企业,企业内部设备数量比较多,尤其是客户端数量占了较大比重,仅仅靠少数几个管理员进行管理是难以承担如此大量的工作量。另外,企业信息安全管理系统不成熟也是一个重大的隐患。
3.企业信息安全管理制度不健全
企业信息安全管理制度不仅仅需要理论制度的完善,更加需要一系列配套监督机制保障企业信息安全管理的有效执行。通过调查分析,许多企业虽然建立了企业信息安全管理制度,但是通常情况下,这些制度只能流于形式,企业信息安全管理工作缺少有效的制约和监督,企业信息安全管理工作人员缺乏执行力。企业信息安全管理制度不健全,企业信息安全管理工作缺乏执行力常常体现在以下几个方面。第一,企业员工对于信息安全管理的认识严重不足,对企业信息安全管理工作不重视。企业内部计算机系统安全的计算机防病毒软件并没有及时更新,使用,甚至企业内部计算机的防病毒软件还被企业员工卸载了。部分企业员工认为自己的工作与企业信息安全管理不相关,认为做好企业信息安全管理工作仅仅是企业信息安全部门的事。第二,企业内部信息安全管理制度并没有形成联动机制,企业信息安全管理工作仅仅由企业信息安全部门“一人包干”,企业信息安全反映的问题并没有得到积极的反馈,一些企业领导对企业信息安全现状所了解的少之又少。
三、企业信息安全管理常见的技术手段
1.OSI安全体系结构
OSI概念化的安全体系结构是一个多层次的结构,它的设计初衷是面向客户的,提供给客户各种安全应用,安全应用必须依靠安全服务来实现,而安全服务又是由各种安全机制来保障的。所以,安全服务标志着一个安全系统的抗风险的能力,安全服务数量越多,系统就越安全。
2.P2DR模型
P2DR模型包含四个部分:响应、安全策略、检测、防护。安全策略是信息安全的重点,为安全管理提供管理途径和保障手段。因此,要想实施动态网络安全循环过程,必须制定一个企业的安全模式。在安全策略的指导下实施所有的检测、防护、响应,防护通常是通过采用一些传统的静态安全技术或者方法来突破的,比如有防火墙、访问控制、加密、认证等方法,检测是动态响应的判断依据,同时也是有力落实安全策略的实施工具,通过监视来自网络的入侵行为,可以检测出骚扰行为或错误程序导致的网络不安全因素;经过不断地监测网络和系统来发现新的隐患和弱点。在安全系统中,应急响应占有重要的地位,它是解决危险潜在性的最有效的办法。
3.HTP模型
HTP最为强调企业信息安全管理工作人员在整个系统中的价值。企业信息安全工作人员企业信息安全最为关键的参与者,企业信息安全工作人员直接主导企业信息安全管理工作,企业信息安全工作人员不仅仅是企业信息安全的保障者,也是企业信息安全管理的威胁者。因此,HTP模型最为强调对企业信息安全管理工作人员的管理与监督。另外,HTP模式同样是建立在企业信心安全体系,信息安全技术防范的基础上,HTP模式采取了丰富的安全技术手段确保企业的信息安全。最后,HTP强调动态管理,动态监督,对于企业信息安全管理工作始终保持高强度的监督与管理,在实际工作中,通过HTP模型的应用,找出HTP模型中的漏洞并不断完善。
四、完善企业信息安全管理与降低风险的建议
1.建设企业信息安全管理系统
(1)充分调查和分析企业的安全系统,建立一个全面合理的系统模型,安全系统被划分成各个子系统,明确实施步骤和功能摸块,将企业常规管理工作和安全管理联动协议相融合,实现信息安全监控的有效性和高效性。
(2)成立一个中央数据库,整合分布式数据库里的数据,把企业的所有数据上传到中央数据库,实现企业数据信息的集中管理与有效运用。
(3)设计优良的人机界面,通过对企业数据信息进行有效的运用,为企业管理阶层人员、各级领导及时提供各种信息,为企业领导的正确决策提供数据支持,根本上提高信息数据的管理水平。
(4)简化企业内部的信息传输通道,对应用程序和数据库进行程序化设计,加强对提高企业内部信息处理的规范性和准确性。
2.设计企业信息安全管理风险体系
(1)确定信息安全风险评估的目标
在企业信息安全管理风险体系的设计过程中,首要工作是设计企业信息安全风险评估的目标,只有明确了企业信息安全管理的目标,明确了企业信息安全管理的要求和工作能容,才能建立相关围绕信息安全风险控制为目标的信息安全管理工作制度,才能顺利通过对风险控制的结果的定量考核,检测企业信息安全管理的风险,定性定量地企业信息安全管理工作进行分析,找准企业信息安全管理的工作办法。
(2)确定信息安全风险评估的范围
篇5
0.引言
随着信息技术的不断发展以及市场竞争的不断激烈,企业信息安全建设已经成为提高企业竞争力的重要途径,杜绝信息泄露可以避免巨大的经济损失。虽然大多数企业在信息安全管理方面采取了较多的措施,但是信息安全问题仍然频发,对于企业的经营活动带来巨大的损失。加强企业内部的计算机管理,提高对于信息安全的认识程度,保证信息数据库的安全,避免信息泄露的发生已经成为现阶段企业信息化建设亟待解决的管理问题。
1.企业信息化建设信息安全影响因素分析
(1)信息系统实体安全。信息实体主要包括用于企业信息化建设的计算机、网络连接、服务器等媒介硬件设施,对于信息实体安全影响因素主要包括火灾、水灾、失窃或者是其他事故造成设备硬件的损坏,从而造成企业信息库数据安全出现问题。
(2)信息系统运行安全。信息系统的安全是指为了保证企业信息数据库的安全,采取各种措施对系统运行进行安全保护。由于信息数据库有可能受到非授权的访问、泄露、数据纂改或者是被其他非法程序控制的威胁,因此确保信息系统运行安全主要是保证信息数据库的完整、保密以及时时可用性。
(3)信息系统管理人员安全责任意识。管理人员在日常工作中的安全管理意识、专业操作水平以及法律意识等均会对企业信息数据的安全产生影响。信息安全管理人员的日常管理工作责任心以及工作方式方法,对于保证信息数据库的安全十分重要。
2.企业信息安全管理问题分析
目前由于管理制度以及软硬件设施等一系列的问题,企业数据库破坏以及重要数据信息泄漏的现象时有发生,严重影响了企业的正常生产经营活动,通过分析发现影响企业信息化建设信息安全的问题主要由以下几方面:
(1)企业内部移动存储设备管理疏松,缺乏安全保密管理制度。由于许多企业在日常管理过程中,移动存储设备使用较多,员工可以随意对企业内部的各种信息资料进行备份,企业用于经营活动的客户信息、产品设计、财务管理等各项信息极易造成泄漏,带来巨大的信息安全损失。部分企业由于对于信息安全管理认识程度不足,企业内部信息安全管理缺乏必要的规章制度,安全管理职责权限不清,信息安全漏洞较多。
(2)对于内部信息共享控制不严格,信息安全管理权限混乱。由于企业在生产经营过程中为了提高生产经营效率以及加强企业内部各部门之间的沟通联系,对于一些设计企业销售计划、客户信息以及生产计划等文件采取共享的措施,因此企业员工的流动或者其他管理不当均会造成企业信息的泄露。
(3)信息权限管理混乱,企业的中介服务体系稳定性较差。对于加密的授权访问,权限管理则成为保护企业信息安全的重要因素。但是由于企业在信息安全管理过程中体系混乱,操作权限不清晰导致经常出现影响信息安全的非授权访问。而且对于部分中小企业由于信息化建设采取对外委托的方式,而中介第三方由于稳定性难以保证,随时更换或者退出的第三方极易造成企业有价值信息的泄漏,影响企业信息安全建设。
(4)信息管理安全防范体系不健全,缺乏针对信息安全管理的专业技术人才。虽然部分企业已经认识到信息化管理的重要性,并在企业网络内设置了必要的安全设备。但是缺乏一系列的安全管理机制,在信息安全管理方面缺乏行之有效的整体规划与具体落实措施。此外,由于大部分企业在信息安全管理工作中将重点放在软硬件设施上,而忽略了对于信息安全技术人员的培养,而且为了减少人力资源支出成本,信息安全管理人员少工作任务重,管理权限集中化程度高,影响了信息化建设的安全管理。
3.企业信息建设信息安全管理措施
(1)加强对于信息库硬件设备的保护管理。首先应保证计算机等硬件设备具有安全的工作环境,做好计算机设备的防火、防潮、防盗措施,并避免强磁环境对信息数据可能造成的损坏。其次,在对各种硬件设备进行检修时,硬组织企业内部相关技术人员进行监督管理,对于需要外送检修的设备,则应提前进行数据加密处理。
(2)提高企业内部的信息安全管理意识。企业信息安全管理对于提高企业竞争力,避免企业经济损失具有重要的意义。在企业的正常管理过程中,加强信息安全宣传工作,使员工充分认识到企业信息安全管理的重要性,并熟悉企业相关信息数据保密的规则制度,提高企业的整体信息安全防范水平。
(3)加强信息安全操作管理人员的管理。在企业信息日常管理过程中,应加强对于业务操作以及数据存取控制代码的管理。系统管理操作代码的获得应经过企业管理者授权,系统管理人员在进行企业相关信息数据库的整理以及维护过程中,必须通过授权进行。系统管理人员离开工作岗位后,相关责任人应及时更换管理员操作代码。
(4)加强企业信息数据库的密码与权限管理。对于涉及到企业信息数据库安全的密码,应分别设置用户密码以及操作密码,并提高密码的安全程度,及时定期更换登陆操作密码。对于组成企业内部局域网络的服务器、路由器等设施的设置管理工作,应严格按照相关管理规定进行设置。
(5)明确企业信息数据库管理制度。对于企业重要的数据应存放备份数据,并采取异地存放的方式对备份数据库进行管理。对于废弃或者需要销毁的数据信息,应严格依照程序采取逐级审批的方式,避免数据信息的泄露。需要进行数据恢复工作时,应严格按照相关技术手册,并对恢复的数据进行验证确认数据的完整可用。
(6)加强企业信息数据机房的管理。相关人员出入信息数据库机房进行数据查阅以及提取工作时,应经由相关主管人员的授权,并登记进入。在日常管理过程中,定期对硬件设备进行保养,同时研究违章操作在信息数据机房安装外部其他软件。
参考文献
篇6
现代企业的信息安全是指在管理上和技术上对数据处理系统进行安全的保护,使计算机的软件、硬件、保密数据等不会遭到破坏、更改、泄露。通过对企业信息安全的管理,能够保护企业信息的机密性和完整性,保护企业的生产运营安全,是企业发展的必不可少的环节。
1 网络环境下现代企业信息安全存在的问题
1.1 人为因素造成的安全问题
现代企业之间的竞争十分激烈,企业管理者把精神都集中在企业的生产和经营上,对计算机的管理不够重视,加上网络属于新生事物的一种,人们会利用网络进行娱乐活动,却忽视了网络的安全性,缺乏网络安全意识,企业员工在工作时间利用网络进行娱乐活动的行为十分普遍,由于自身的安全意识匮乏,不但浪费了企业的网络资源,也加大了病毒侵害的可能性,威胁了企业的信息安全。企业信息安全的管理需要管理部门重视起来,现实中,企业对信息安全的管理投入很少,安全防范做得不好,管理者对信息安全管理的认识不足,下面的员工安全意识也淡薄,规章制度不完善,信息安全管理无据可依,管理者也没有对信息安全进行有效的监督,没有在第一时间发现网络存在的问题,甚至在网络不能正常运行了才去解决问题,给公司发展带来不利影响。
1.2 网络技术自身存在的安全问题
随着网络技术的发展,各种软件也不断更新换代,现在Windows 7正在大规模地进军国内市场,微软不断推出新的产品,各种操作系统的漏洞也一直存在,为病毒的滋生提供了机会,很多网络软件存在后门,这些后门原本是编程人员为了软件的扩展和维护设置的,如果被不法分子发现,对公司的信息安全有很大的威胁。计算机犯罪中最典型的就是黑客的攻击,黑客攻击也分为主动攻击和被动攻击两种,主动攻击直接为企业的信息完整性、机密性造成破坏,被动攻击虽然能够保证公司电脑的正常运行,但企业的重要信息可能会被截获、窃取,都严重影响了企业信息安全。
1.3 设备环境造成的安全问题
从网络环境来说,外部环境对企业信息安全也构成威胁,企业的计算机房的位置不能是随便设置的,需要有一定的安全技术要求。网络的线缆等通信设施容易被人为破坏,或者受到自然环境如地震、雷雨、电磁场等环境的影响发生破坏,并且自然环境的影响是不可预测的,一旦出现问题,会给企业的信息造成直接的破坏,影响信息的完整性。计算机的硬盘、内存的运行状况也应该得到管理人员的注意,计算机设备的防盗等都是问题,企业员工在工作过程中往往会拷数据回家,或者加班后在用U盘等移动设备把资料拷贝到公司电脑中,增加了企业计算机中毒的危险。
2 解决企业信息安全问题的对策研究
2.1 重视信息安全管理,加强制度建设
首先,企业管理者应该认识到企业信息安全的重要性,认识到网络保护的重要性,提高信息安全意识,这样才能加强制度建设,做好信息安全管理与监督工作。计算机房是重要场所,它的设置也需要一定的隐蔽性,一般不要设置在公司一楼。企业应该建立和完善信息安全管理制度,帮助员工树立信息安全意识,明确信息安全保护的对象和目标,保证各项管理制度的落实执行,制订明确科学的操作流程,规范员工的日常操作行为,制订应急预案和网络维护制度,计算机管理人员应该每天对计算机系统进行检查或者更新,及时发现网络运行中出现的问题,防止病毒的产生,在发生问题后把损失降到最低。
2.2 加强企业信息安全的网络技术控制
依靠网络技术来保护现代企业信息安全是十分有效的方式,网络技术手段主要有防火墙、信息加密与认证、病毒防控、数据备份等方式。防火墙是网络技术中保护信息安全最重要的技术之一,它通过设置屏障阻止黑客的访问,能够有效防止病毒的侵入,企业应该按照质量可靠的防火墙,并时刻关注防火墙的问题与升级情况。直接对企业信息进行加密也是有效的方法之一,企业可以设置专门的访问密码,仅供本公司员工使用,或者每个员工都有自己的上网编号,输入之后才能访问公司网络,公司也可以根据浏览记录查看哪些员工上网,能够有效防止企业人员泄密行为,对重要文件采取多种加密措施。企业应该注意对防病毒软件的更新换代,提高防毒、杀毒的效率,保证系统的安全。电脑一旦中毒,一些文件就可能丢失或者被更改,企业需要对重要文件进行备份,这样在发生中毒之后能够将损失降到最低。
2.3 加强法制建设,运用法律武器保护企业信息安全
现代企业的信息安全应该受到法律的保护,公司的机密文件关系到公司的生死存亡,关系到社会公平竞争,关系到个人隐私,应该受到法律的保护。国家应该完善企业信息安全的法律法规,为企业保护自己的权益提供法律武器,企业也应该具有法律意识,在公司的信息恶意遭到破坏和侵害时,不是采用同样的方法对待竞争企业,而是应该拿起法律武器保护自己,用国家法律来抵制侵犯,保护自己企业的信息安全与完整。
3 结 语
网络的发展是一把双刃剑,在给社会进步和发展带来巨大益处的同时,也带来了一些负面影响,企业应该辩证对待网络时代的发展,充分利用网络环境带来了优势,通过技术手段创新、管理加强、法律法规的完善等措施来保护企业信息安全,为企业的发展创造安全的环境。
主要参考文献
[1] 薛伟莲. 保证信息与网络安全的网络伦理规范体系的构建[J]. 网络与信息,2010(11).
[2] 费宏伟. 保证电算化时代会计信息安全的几点思考[J]. 东西南北·教育观察,2010(11).
篇7
企业信息泄露还有一种就是人才流动,现如今企业人员流动较大,企业信息可能被直接带到其他企业之中,这也是个比较棘手的问题。
另外一种情况是随着企业之间的合作不断增加,企业外派员工成为常见的现象,这样就加大了企业间的交流和接触时间,对于本企业的信息泄露也许就是在不经意间。
无论是网络问题还是人为问题,如果造成企业信息泄露,其对自身企业的损害是非常大的。以技术为核心的制造型企业加强信息安全管理势在必行。
二、制造型企业信息安全管理的现状及问题
1.企业信息安全管理的被动性
制造型企业的工作重点在产品制造与生产,对于网络信息管理意识薄弱,很多时候企业只有发现企业信息泄露或者遭受病毒的攻击等安全事件,才会关注企业信息安全问题,进而调动技术部门前来解决问题。这很大程度上反映制造型企业对网络信息安全不够重视,只有出现信息安全问题时,才组建临时小组来解决企业信息问题,待到问题解决后小组便被解散,没有对企业信息后序的监督和管理,企业信息安全管理缺乏系统策划和制度化要求,管理活动临时性强,缺少日常的维护和预防,导致更多的是重蹈覆辙,这样不仅没有为企业省下对安全管理的资金,相反的恰恰是增加了企业的资金投入,直接增加了企业安全管理的成本。同时因为临时小组的组建,使得人员调动频繁,大大降低了工作效率,进而对企业的经济效益造成影响。
2.员工使用内部系统连接外网
虽然大部分制造型企业对企业自身的内网进行了防护监测,而且对员工上网和网页浏览采取了一定的限制措施,但是实际上,企业对员工上网的控制落实程度不够,员工依旧可以在工作时间使用企业网络进行外部网络连接,而且对于一些网站毫无防备。而网络病毒是时刻都在通过网络攻击使用者的,特别对于企业内部网络,黑客更是随时随地紧盯着企业内网出现漏洞,进而窃取企业内部信息。由于企业员工的疏忽,会有很大几率使得企业信息出现安全隐患,轻则影响企业正常的生产工作,重则企业商业、技术信息被盗取或者企业内网瘫痪甚至纵,为企业带来非常严重的后果及损失。
3.移动设备限制力度不够
制造型企业在信息安全管理方面通常采取的措施是限制流水线工人的移动设备使用,但是对于办公部门却没有严格要求,办公人员可以自由携带智能手机、笔记本电脑、pad、硬盘等移动设备。因办公人员要对数据进行处理,会导致企业内部信息被无限制地拷贝。而且现如今的移动智能设备都能直接通过企业的无线网络,连接企业内网以获得权限,这样的确提高了企业内部的办公效率,同时也给黑客病毒提供了通过无线网络进行传播的机会,提高了企业内部信息安全的风险。
4.信息安全防护技术水平低
在我国,普遍存在信息安全研发技术水平较低的情况,这也是制造型企业安全技术不高的原因之一。制造型企业的工作重心偏重于生产、制造及商务活动中,而对于网络安全的防护意识不高。
作为企业,都会有一些信息安全意识。在企业成立初期,信息安全防护措施通常会被考虑并采纳,尤其是一些进口设备,但仅仅依赖进口设备是远远不够的。第一,进口设备虽然技术先进,但是出现问题是在所难免的,往往出问题的是一些关键的零部件,这些零部件不仅难以拆卸且是整台设备的技术核心,设备厂商必然会控制其销售渠道。第二,很多企业过于相信进口设备的技术,力争做到一步到位,使得企业发展中前期安全防护的确不错,但是却忽略了系统的更新和维护,网络病毒每天新出几万种,就算设备再先进,如果不进行更新,迟早会被病毒攻破。第三,很多企业都采用家用式免费杀毒软件,这些杀毒软件更新频率快,一些简单病毒、木马都能有效查杀,对家用来说但是对企业来讲远远不够,企业一般是黑客重点关注的对象,黑客往往会研制更先进的病毒来攻克企业的防火墙,一些免费杀毒软件很容易被攻破,增加制造企业内部信息安全问题。
5.企业出现安全问题处理方法不当
现如今研发病毒的技术快速而先进,病毒出现时的及时处理是非常重要的,我国制造型企业在出现信息安全问题的时候,虽然有相关的杀毒软件,但因为大部分都是免费的,其更新速度虽然频率高,相对滞后性比较强,对于新病毒无法第一时间发现、处理。而且许多病毒都是潜在性的,企业内部系统中毒之后没有任何异样,这就导致企业内部人员无法及时发现企业内网是否被越权或遭到攻击。同时,由于很多企业缺少专门管理信息安全的部门,并且对于病毒侵入缺乏有针对性的安全对策和应急措施,这就导致就算病毒被发现,企业在第一时间也无从下手。
三、制造型企业容易出现安全问题的原因
1.企业内部信息安全意识低
制造型企业的本质是通过生产经营活动而获得盈利,因此制造型企业的工作重点主要是企业生产、制造以及流通和服务。在此情况下,企业更关注盈利情况,而缺乏对信息安全的管理意识,对信息安全管理的重视度不足。导致这一现象的重要原因是安全防护不能为企业带来直接的经济效益,反而要投入大量的人力、物力、财力。另一方面,从安全管理角度来说,没有事故发生才是管理绩效的体现。相对于质量管理、生产安全管理来说,信息安全管理的管理性质是类似的,但因为其管理对象的不可见性,往往容易被企业高层忽视。同时,一般也会存在侥幸心理,感觉企业内部网络不会受到黑客攻击,或是认为就算受到病毒攻击也不会对生产经营造成什么大影响,对企业整体利益影响不大。基层员工更是不明白什么是安全防护,对企业安全防护的重要性一无所知,这就导致许多企业内部信息技术会从员工口中泄露。
2.信息安全管理模式不够完善
制造型企业信息安全问题频发的原因,究其根本就是因为企业信息安全管理模式不够完善,具体原因是制造型企业不重视信息安全管理、缺少系统规范的信息安全管理制度、缺乏专业的信息安全管理技术和安全管理人员,企业信息系统设计没有风险评估、没有完善的业务流程,信息安全管理存在头痛医头脚痛医脚的现象。
3.信息安全系统没有应急措施
制造型企业信息安全系统缺少应急措施,也可以说没有自我保护系统。自我保护系统是一种比较先进的技术,一旦有病毒侵入系统,系统会自动对重要信息进行加密、封锁,待系统安全后自动解锁。然而由于对信息管理的意识不足,使得很多制造型企业没有建立信息安全自我保护系统。在我国,诸多制造型企业在信息管理方面更多的是依靠员工的经验,对于网络自身的保护信任度不足,也缺少对信息安全管理技术发展的关注和引用。
四、制造型企业信息安全管理存在问题的对策
综上所述,制造型企业信息安全问题是由很多因素造成的,包括管理层的重视方面、技术方面、人员管理方面等。首要的,企业应提升对信息安全管理的重视程度,只有加强意识,并建立有效的信息安全防范措施,才能有效保护企业自身的核心竞争力,以获得在市场经济中更好的发展。
1.提高企业内部员工的信息安全意识
很多制造型企业信息泄露都是内部员工无意间透露出去的,这也是最常见的企业内部信息泄露渠道,企业应充分重视员工的信息安全教育,定期对企业内部员工进行信息安全培训及考核,通过教育向员工灌输信息安全的基本知识和常识、企业内部信息的重要性、一旦发生企业核心技术泄露将产生的严重后果等信息。加强企业内部员工信息安全意识,也就是从根本上降低了企业信息安全隐患,企业中如果基层员工都非常了解并重视信息安全问题,那么这个企业在信息安全管理方面必然非常完善有效。
2.建立健全企业信息安全管理机制
由于很多制造型企业缺少健全的信息安全管理机制,这就给了很多黑客病毒更多的侵入机会。一套完善的信息安全管理机制能够有效的保护企业信息安全,降低安全隐患。制造型企业应该建立健全企业信息安全管理机制,设立专门的企业信息安全管理部门,这样能最大程度保证信息的日常安全防范,也保证了一旦出现安全问题,企业能更好、更快地解决问题,健全的管理机制能够对风险有一定的预见性,把风险降到最低。
3.加大对信息安全管理的资金投入
任何新型技术都离不开资金的投入,信息安全管理同样也是,而且信息安全管理更多的属于技术型投入,对资金依赖性更高。制造型企业想要获得可持续发展,就必须要把目标放得更加长远。企业内部信息往往是一个企业的核心,因此企业应提高对信息管理的重视程度,加大对信息安全系统的投资,把信息安全管理作为企业管理重要的一部分,信息安全管理资金划作专项资金专款专用。企业对信息安全管理的投资要有计划性,确保突况的资金投入、技术更新的资金投入、管理人员的资金投入、安全教育的资金投入等。把信息安全管理纳入企业整体的发展规划中,这样才能保证企业信息更加安全,企业才能获得长足的发展。
4.加大对信息安全管理人才的认识
因为信息对企业生存至关重要,信息安全甚至会影响到企业的发展战略的制定和落实,制造型企业应当把信息安全管理与生产经营提高到同一个层次。企业内网是网络技术领域,既然是技术,就离不开专业人才的支持,企业应该加强信息安全管理的人才培养,提高企业信息安全管理的质量。如果企业内部没有专业的信息安全管理人才,企业可以通过对外招聘的形式,在社会中寻求人才。现如今互联网技术已经逐步走向成熟,计算机人才更是越来越多,所以,制造型企业在社会中寻找信息安全管理的人才不会很难,同时还能促进计算机技术人才就业,对于企业自身以及社会都有很大意义。
5.加强企业内网管理
一般来说,企业内网系统中的信息很多都属于商业机密,基层员工是无权了解的。制造型企业应该把各个层级的员工账号及内网系统中的信息进行分类管理,按信息等级设置不同的访问权限和防范措施,以免企业员工在使用内网时网络病毒通过权限窃取过多的企业信息。另外,很多企业信息泄露都是由于某些员工通过企业无线网连接外网导致企业系统中毒,针对此类情况企业要制定相应的政策和管理制度,通过对硬件的管理和网页访问权限设置,严禁员工上班时间通过移动设备随意连接外网。
篇8
近几年,随着行业信息化建设逐步深入,伴随着OA办公自动化、ERP、卷烟生产经营决策管理和MES生产制造执行等系统相继投入使用,与生产经营息息相关的关键业务对信息系统的依赖程度越来越高,企业也逐步认识到信息安全的重要性,企业员工的安全意识也都得到逐步提高。行业也相继出台了烟草行业信息安全保障体系建设指南和各类信息安全制度,并通过这几年信息安全检查工作,促进企业的信息安全水平得到了进一步提高。由于企业信息安全意识不断提高,企业不断加大信息安全方面的投入,如建立标准化的机房、购买与部署各类信息安全软件和设备等。但是木马、病毒、垃圾邮件、间谍软件、恶意软件、僵尸网络等也随着计算机技术的发展不断更新,攻击手段也越发隐蔽和多样化。企业不仅要应对外部的攻击,也要应对来自于企业内部的信息安全威胁,安全形势不容乐观。企业的信息安全已不仅仅是技术问题,还需要借助管理手段来保障。企业如果不能正确树立信息风险导向意识,一味注重“技术”的作用,忽略“管理”的重要性,就很难发挥信息安全技术的作用,无法把企业的各项信息安全措施落到实处,企业的信息安全也就无从谈起。只有切实发挥管理作用,企业的信息安全才能得到有效保障。
2企业信息安全体系架构
在谈到信息安全时,大多数刚接触的人都比较疑惑,都说保障信息安全十分重要,那到底什么是信息安全呢?下面就简单介绍一下信息安全的概念以及企业的信息安全体系架构。2.1信息。对企业来说,信息是一种无形资产,具有一定商业价值,以电子、影像、话语等多种形式存在,必须进行保护。2.2信息安全。主要是指防止信息泄露、被篡改、被损坏或被非法辨识与控制,避免造成不良影响或者资产损失。2.3企业信息安全体系架构。在保障企业信息安全过程中,信息安全技术是保障信息安全的重要手段。通过上文对企业信息安全现状的分析,不难看出企业信息安全体系主要分为技术、管理两个重要体系,进一步细分则涉及安全运维方面。2.3.1信息安全技术体系作用。主要是指通过部署信息安全产品,合理制定安全策略,实现防止信息泄露、被篡改、被损坏等安全目标。信息安全产品主要是指实现信息安全的工具平台,如防火墙类产品、防攻击类产品、杀毒软件类产品和密码类产品等,而信息安全技术则是指实现信息安全产品的技术基础。2.3.2信息安全管理体系作用。完善信息安全组织机构、制度,细化职责分工,制定执行标准,确保日常管理、检查等制度有效执行,最大程度发挥信息安全技术体系作用,确保信息安全相关保护措施有效执行。通过上文简单介绍,对信息安全以及信息安全系统有了大概了解。可以看出单纯借助技术或管理无法保障企业信息安全,因此,建立企业信息安全管理体系的重要性也就不言而喻。
3信息安全管理体系概念
3.1信息安全管理。运用技术、管理手段,做好信息安全工作整体规划、组织、协调与控制,确保实现信息安全目标。3.2管理体系。体系是指相互关联和相互作用的一组要素,而管理体系则是建立方针和目标并实现这些目标的体系。3.3信息安全管理体系(ISMS)。在一定组织范围内建立、完成信息安全方针和目标,采取或运用方法的体系。作为管理活动最终结果,包含方针、原则、目标、方法、过程、核查表等众多要素。3.4建立信息安全管理体系的目的。作为企业总管理体系的一个子体系,目的是建立、实施、运行、监视、评审、保持和改进信息安全。3.5信息安全管理体系涉及的要素。3.5.1信息安全组织机构。明确职责分工,确保信息安全工作组织与落实。3.5.2信息安全管理体系文件。编制信息安全管理体系的方针、过程、程序和其他必需的文件等。3.5.3资源。提供体系运转所需的资金、设备与人员等。
4信息安全管理体系机构设置以及作用
在建立企业的信息安全管理体系之前,如果没有设置相应的信息安全组织机构,那么建立体系所需要的资源(资金、人员等)就无法得到保障,企业的信息安全制度和策略也就无法贯彻落实,企业的信息安全管理体系就形同虚设起不到任何作用。因此,企业在建立信息安全管理体系前必须建立健全信息安全组织机构,机构设置可以根据职责分为三个层次。4.1信息安全决策机构。信息安全决策机构处于安全组织机构的第一个层次,是本单位信息安全工作的最高管理机构。应以单位主要领导负责,对信息安全规划、信息安全策略和信息安全建设方案等进行审批,并为企业信息安全工作提供各类必要资源。4.2管理机构。处于安全组织机构的第二个层次,在决策机构的领导下,主要负责企业日常信息安全的管理、监督以及安全教育与培训等工作,此类工作大部分都由企业的信息化部门承担。4.3执行机构。处于信息安全组织机构的第三个层次,在管理机构的领导下,负责保证信息安全技术体系的有效运行及日常维护,通过具体技术手段落实安全策略,消除安全风险,以及发生安全事件后的具体响应和处理,执行机构人员可以由信息中心技术人员与各部门专职或兼职信息安全员组成。
5信息安全管理体系的建立
ISO/IEC27001:2005标准的“建立ISMS”章节中,已明确了信息安全管理体系建立的10项强制性要求和步骤。企业应结合自身实际情况,遵照这些内容和步骤,建立自己的信息安全管理体系,并形成相应的体系文件。5.1建立的步骤。(1)结合企业实际,明确体系边界与范围,并编制体系范围文件。(2)明确体系策略,构建目标框架、风险评价的准则等,形成方针文件。(3)确定风险评估方法。(4)识别信息安全风险,主要包括信息安全资产、责任、威胁以及造成的后果等。(5)进行安全风险分析评价,编制评估报告,确定信息安全资产保护清单。(6)明确安全保护措施,编制风险处理计划。(7)制定工作目标、措施。(8)管理者审核、批准所有残余风险。(9)经管理层授权实施和运行安全体系。(10)准备适用性声明。以上步骤解释不详尽之处,参看ISO/IEC27001:20054.2.1章节中A-J部分。5.2信息安全管理体系涉及的文件。文件作为体系的主要元素,必须与ISO/IEC27001:2005标准保持一致,同时也要结合企业实际,确保员工遵照要求严格执行。而且也要符合企业的实际情况和信息安全需要。在实际工作中,企业员工应按照文件要求严格执行。5.2.1体系文件类型主要涉及方针、程序与记录三类。方针类主要是指管理体系方针与信息安全方针,涵盖硬件、网络、软件、访问控制等;程序类主要是指“过程文件”,涉及输入、处理与输出三个环节,结果常以“记录”形式出现;记录类主要是记录程序文件结果,常以是表格形式出现。至于适用性声明文件,企业应结合自身情况,参照ISO/IEC27001:2005标准的附录A,有选择性地作出声明,并形成声明文件。5.2.2体系必须具备的文件。主要包括方针、风险评估、处理、文件控制、记录控制、内部审核、纠正与预防、控制措施有效性测量、管理评审与适用性声明等。5.2.3任意性文件。企业可以针对自身业务、管理与信息系统等情况,制定自己独有的信息方针、程序类文件。5.2.4文件的符合性。文件必须符合相关法律法规、ISO/IEC27001:2005标准以及企业实际要求,保证与企业其他体系文件协调一致,避免冲突,同时在文字描述准确且无二义。
6体系实施与运行
主要包括策略控制措施、过程和程序,涉及制定和实施风险处理计划、选择控制措施与验证有效性、安全教育培训、运行管理、资源管理以及安全事件应急处理等。
7体系的监视与评审
主要指对照策略、目标与实际运行情况,监控与评审运行状态,主要涉及有效性评审、控制措施测试验证、风险评估、内部审核、管理评审等环节,并根据评审结果编制与完善安全计划。
8体系的保持和改进
主要是依据监视与评审结果,有针对性地持续改进。主要包括改进措施、制定完善措施、整改总结等,同时需相关方进行沟通,确保达到预计改进标准。
篇9
2.目前中小企业信息安全面临的主要威胁
调查发现,近1年内,82.1%的被调查企业遭受过病毒、蠕虫或木马程序破坏;47.3%的企业遭受过黑客攻击或网络诈骗;33%的企业遭受过垃圾邮件和网页篡改的干扰,还有28%的企业遭受的破坏竟然来自企业内部员工的操作。这一调查结果表明,病毒泛滥、网络诈骗、黑客攻击、垃圾邮件和来自企业内部员工破坏是河北中小企业面临的最主要信息安全威胁。其中,病毒和木马程序的破坏尤为严重,直接造成企业数据丢失、信息泄漏甚至系统瘫痪等后果,严重威胁着企业的信息安全。
3.企业信息安全保护措施现状
调查发现,93.7%的被访企业采用了杀毒软件进行病毒防护和监控,25.1%的被访企业装有入侵检测系统和硬件防火墙,54.8%的被访企业采用了身份认证技术和设置访问权限进行信息保护。同时,通过调查也发现,只有不到29.5%的企业有定期的数据备份,仅有6.9%的企业为重要信息进行了数据加密。这一调查结果表明:在信息安全技术防护方面,几乎被访企业都采取了信息安全保护措施,但是大部分企业却只停留在病毒防护和身份认证的水平上,而缺少数据完整性和数据加密等保护技术。
4.信息安全管理保障措施情况
调查发现,在信息安全管理保障措施方面,25.7%的被访企业设立了专门的信息安全部门及相应的专职管理人员,44.6%的企业制定了企业信息安全管理制度,只有8.5%的企业能够对信息安全状况进行定期的风险评估,而制定信息安全事件应急处置措施的企业却只有5.3%。这一调查结果表明:河北中小企业信息安全保障组织构架设立不完善、缺乏信息安全管理制度,定期的信息安全风险评估以及信息安全应急处置预案措施严重缺失。
5.信息安全经费投入状况
调查发现,23.5%的被访企业信息安全方面的经费投入占整个企业信息化总投资的比例低于5%,39.6%被访企业同样投资比例在5%~10%之间,只有38.5%的企业信息安全方面的经费投入已经超过企业信息化总投资的10%。这一调查结果表明:河北中小企业安全意识淡薄,信息安全经费投入严重不足,低于国外20%~30%的投资比例。
二、对策与建议
通过课题组调查发现,网络环境下河北中小企业的信息安全问题突出,主要表现在认识误区、资金不足、技术薄弱和信息管理制度缺失等方面,要全面解决,必须从法律、技术和管理等几个方面全盘考虑综合治理。法律、技术和管理三者相辅相成,缺一不可,才能共同保证中小企业信息系统可靠安全运行。
1.法律法规层面加强政府支持力度和引导力度
仅仅靠中小企业自身搞信息安全防护是远远不够的,在此过程中,政府的支持、鼓励与引导是至关重要的。因此,政府应不断完善信息安全相关法律法规的建设,加快网络安全的基础设施建设,加大打击网络犯罪的力度。同时,针对河北中小企业特点,当地政府应加大企业信息安全重要性的引导和宣传,让中小企业特别是企业的领导者,充分认识到企业信息安全的重大意义与作用,从而在日常企业决策中对企业信息安全建设投资有一定的倾斜,完善企业信息安全体系建设。从长远发展角度和战略高度来重视企业信息安全。
2.技术层面
设计实施多层次、多方位的网络系统安全保护技术,以提高企业风险防范的技术水平。风险防范是一个复杂的系统工程,从技术角度,建议从以下几个方面来实现:
(1)建立网络身份认证体系。网络环境下河北中小企业的各种商务活动,都需要对参与商务活动的各方进行身份的鉴别、认证,这就需要在企业内部建立网络身份认证体系来证实各方的身份,以保证网络环境下各交易方的经济利益。
(2)配置高效的防火墙。在企业内部网与外联网之间设置防火墙,从而实现内、外网的隔离与访问控制,在他们之间形成一道有效的屏障,是保护企业内部网安全的最主要、最有效、最经济的措施之一。
(3)定期实施重要信息的备份和恢复。企业要对核心的数据和应用程序进行实时和定期的备份工作。并把备份数据的副本存储在光盘上,这样就可以避免一旦发生安全事故关键的应用程序和数据丢失给中小企业带来的巨大损失。
篇10
计算机和网络通信相结合的信息技术,是促进当代社会信息化发展的主要力量,为社会上各行各业的发展创造了良好的环境。许多企业在经营与管理中已经引用现代信息技术,从而使经营与管理更为科学,工作效率更高,获得的经济效益也越多。然而现代信息技术是一把双刃剑,信息化的程度越高,由它带来的风险也越大。当前,企业的信息安全风险评估工作存在着一些问题,这些问题对企业的发展造成很多不利的影响。
一、企业信息安全风险概述
对企业来说,信息是维持企业正常运作的必要资源。企业的信息包括重要的数据、企业的发展规划、保密性文件、知识产权等。这些信息一旦被泄露,那么企业将面临着或大或小的经济损失,更严重的还会使企业面临破产的危险。所谓的企业信息安全就是指信息在其生命周期中,它的完整性、保密性和可用性这三个特性的保留情况。如果这三个特性都得到了保障,那么信息的安全性就高;如果其中的某个特性被破坏,那么信息的安全性就低。而信息安全风险就是指信息在特定的环境与特定的时间里可能遭遇的安全威胁。
信息安全风险可以分为可控性风险与不可控风险、可接受风险与不可接受风险、自然风险与人为风险等[1],这些风险给企业的信息安全管理工作带来了更多的不确定因素,加深了工作难度。
二、企业信息安全风险评估的现状与问题
当前,我国企业的信息安全风险评估工作存在着许多问题,给企业的日常经营与管理带来了许多不利的影响。
首先,企业没有树立正确的信息安全观。很多企业的管理者在信息安全问题上会走向两个极端,一种是认为只要加大信息建设的投入,信息就存在绝对安全的可能;另一种是忽视信息安全建设,信息安全风险意识淡薄。很多企业的管理层对信息资产的重要性认识不够,因而他们在保护信息安全方面几乎是无作为。
其次,企业在具体的信息安全风险评估工作中,表现出重安全技术而轻安全管理的思想与行为方式。这些企业在工作过程当中,不论是在心理还是在行为上都过分依赖安全技术,甚至认为只要安全技术过硬,信息安全就一定能够得到保证,为此,企业普遍采用现代通信技术、计算机和网络技术来构建企业信息安全系统。而在安全管理上,出现了管理措施不到位,员工在信息保密上不够严肃等问题,造成信息安全技术做无用功。
此外,企业信息安全风险评估工作还存在着管理制度不够完善、责任划分不够明确等问题。信息安全风险的评估工作需要收集各方面的大量的信息,如此才能增强评估的有效性。而企业由于管理制度不完善、职责划分不明确等问题,造成各部门的工作不配合、不协调。信息技术部门被孤立,信息安全的风险评估工作也就不能得到及时有效的完成。
最后,我国有些企业在信息安全风险评估的技术与方法上落后于时代。现代信息系统越往后发展,结构就越复杂。这要求企业要根据不断变化的信息技术来改进自己的风险管理理念和手段,同时也要吸收国际上的先进信息安全风险评估技术,保障自身的信息安全。
三、企业信息安全风险的控制
企业信息安全问题对企业来说是不应该被忽视的部分,企业应该在经营与管理的每个环节做好信息安全风险的控制工作,使企业的重要信息能够得到充分的保护。企业信息安全风险的控制可以从风险分析、管理控制、技术控制三个方面来进行。
(一)风险分析
在进行信息安全风险控制之前,先对风险进行分析可以使风险控制工作更加具有针对性,能够提高风险控制工作的效率。对风险的分析可以从信息资产面临的威胁、存在的弱点等方面来进行[2]。在风险分析工作中,要明确以下几点:首先是信息安全风险控制工作中需要保护哪些信息,这些信息具有什么样的价值;信息资产面临着哪些潜在的威胁,导致这些威胁产生的根源是什么,威胁发生的几率有多大;信息资产中是否具有漏洞,这些漏洞是否会被人威胁利用;信息资产发生威胁之后,企业会面临多大的损失;企业该采取什么样的措施来应对风险带来的损失,等等。
(二)管理控制
企业信息安全风险控制工作主要从组织管理、人员管理、政策实施等几个方面来进行。首先,企业应该建立信息安全组织机构,吸收组织成员,协调企业内部的各项资源,制定信息安全控制的目标并通过组织成员履行职责来达到目标。其次,企业要培养素质高、责任心强、原则性强,能够遵守企业政策的人员。企业信息安全风险的控制不仅与强大的技术力量有关,而且还有赖于执行人员对信息安全工作的支持与参与。此外,在政策实施上,企业要严格执行相关的信息安全保护政策,比如目前国际通用的《信息技术―信息安全管理实施细则》[1],为企业执行信息安全保护工作提供一个统一的标准,从而使工作能够有序地展开。
(三)技术控制
技术对信息安全控制的影响力是比较大的,它在很大程度上决定了信息安全风险的大小、范围,同时它也决定了修补信息安全漏洞的方式和方法。因此,在技术方面对信息安全风险进行控制是非常有必要的。首先,技术构架的设计应该遵循系统性原则、技术先进性原则、可控性原则、适度性原则等,使技术能够更好地服务于风险控制;其次,要做好安全域的信息安全保障工作,根据不同的安全域所面临的不同风险来进行信息安全保护工作;最后,要提高信息安全保障技术。目前而言,我国的信息安全保障技术与国际上的相比明显处于落后状态,因此,企业要引进先进的技术力量,加强信息安全风险的控制力度。
四、结语
在这个信息化高度发展的社会,任何企业与个人在享受信息化带来的便利的同时,也要承担信息化带来的风险。我国企业在激烈的市场竞争中,不可避免会遇到信息安全上的威胁。因此每个企业都应该做好信息安全的管控工作,认真、严肃地对待当前网络环境下的企业信息安全问题。
参考文献:
篇11
[中图分类号]TM73;TP309 [文献标识码]A [文章编号]1673-0194(2016)16-00-02
1 我国电力企业的信息系统存在的问题
1.1 电力企业的信息安全意识比较差
信息化给企业带来的各方面积极作用已经被人们熟知和认可,然而,信息技术的作用在被人们关注的同时,信息化安全方面的问题层出不穷。安全问题出现的原因主要是由电力企业基层员工的安全意识较差造成的。近几年来,随着信息安全事件的不断出现,电力企业的管理者加大了对安全问题的重视,其安全意识不断提高,但是电力企业的基层员工对于信息安全的重要性认识还不足,造成了企业的信息安全问题依然不断出现。一方面,电力企业信息安全问题直接影响企业的管理,对于基础员工的直接影响较小,因此,对于信息安全问题电力企业的管理者比较敏感,电力企业的基层员工的安全意识比较差。另一方面,电力企业的管理层虽然提高了对信息安全问题的重视,但是却很少有企业制定切实可行的规章制度或者解决措施,更没有把相关的规章制度有效的执行下去,落实到企业每个员工的身上,因此,电力企业的基层员工对于信息安全的认识不足,安全意识相对较差。
1.2 电力企业信息系统的技术性较差
信息技术随着社会的进步在不断的革新。因此电力企业的信息系统必须要随着信息技术的进步不断的变化,由此可知,电力企业的信息系统是动态的发展过程,因此,电力企业在应用全新的信息系统的过程中难免存在技术缺陷,这就为电力企业日常的经营与管理埋下了安全隐患,一旦出现安全问题,企业的重要信息资源可能被盗取,直接影响企业的经济利益以及长期稳定的发展。例如:TCP/IP协议设计如果不够全面、科学就会直接导致信息系统的软件和硬件存在安全隐患,严重时会导致企业的软件崩溃,企业的重要信息资源也将瞬间化为乌有,影响企业的日常管理,对于企业长期稳定的发展非常不利。
1.3 信息系统的管理水平相对较低
信息系统安全问题给电力企业带来的危害是巨大的,这一点已经引起了电力企业管理层的高度重视,然而,目前电力企业的信息系统管理水平不是很高,企业管理中的漏洞给信息系统带来了很多问题;部分管理人员在管理信息系统的过程中疏忽大意,增加了企业信息系统安全问题发生率;信息操作人员的操作程序不规范,一旦信息系统出现问题,企业的管理者不能第一时间知道是哪个程序出现了问题,从而不能及时解决信息安全问题,最终可能影响到企业的信息安全,给企业带来巨大的损失。
1.4 电力企业信息系统集成性低
电力企业的业务部门相对较多,各个部门之间缺乏必要的沟通和有效的渗透,因此,企业信息系统的集成性较低。企业的信息系统中,各个部门的相关业务相互独立,相互之间缺乏联系,使得企业的信息系统中各个部门之间的数据信息存在很大的差距,各种信息的相关性不高,数据信息之间的联系非常小,信息数据不能有效地衔接在一起。最终使企业信息化缺乏整体性,信息化应用的最终目的不能实现,电力企业及时信息化程度非常高,难以实现信息化给企业带来的优势。
2 加强电力信息安全运行维护与管理的措施
2.1 提高企业信息安全意识,不断完善企业的安全管理制度
电力企业必须认识到应用信息技术的前提就是要保证企业信息的安全性,如果不能有效地保证企业信息的安全,那么电力企业应用信息技术的初衷将不能很好的实现。为了有效提高企业的安全意识,首先,电力企业的管理者人员应该加强对企业员工信息安全知识的教育,让每个工作人员都能意识到信息安全的重要性,积极地为企业提高信息安全出谋划策。其次,电力企业应该积极地学习西方先进的安全防范措施,根据自身的实际情况制定有效的措施。最后,电力企业应该制定完善的安全管理制度,合理保证企业信息的安全性。在制定安全管理制度的过程中一定要保证责任到人,一旦出现信息安全问题,电力企业能够第一时间找到问题的所在,及时解决相关问题,同时还能追究直接责任人的相关责任,保证企业安全制度落实到实处。
2.2 提高信息系统技术水平
面对技术缺陷,电力企业应该积极的提高信息系统的技术水平,采取有效措施避免系统缺陷导致的安全问题。首先,电力企业应该设置有效的应急措施,一旦信息系统出现技术上的问题,必须要保证信息的完整性,防止不法分子利用技术缺陷来危害企业的信息系统。例如:企业可以安装自动报警系统,一旦发现有人利用技术缺陷盗取企业的数据信息,第一时间报警,让相关人员采取应急措施防止企业信息泄露。其次,电力企业应该不断提升信息系统的技术水平,加强对信息技术的研究与探索,利用高级、精密、尖端的技术来规避企业信息系统中的技术缺陷,保证企业信息的安全。再次,电力企业要加强网络防护技术在信息系统中的应用,安装IDS以及IPS技术系统加强企业信息系统的网络防护能力。最后,电力企业应该启动安全审计系统,对企业信息系统进行严格的审计,一方面,企业能够第一时间发现信息系统的问题,及时解决相关问题;另一方面,通过审计系统的分析,企业能够全面了解信息系统的运行情况,帮助企业更好地查看信息系统的运行状况。
2.3 提高信息管理的水平
电力企业的管理者在重视信息安全问题的同时,必须加强对信息的管理,提升企业的信息管理水平。制定严格的工作责任制,一旦发现信息安全问题,做到责任到人,防止管理人员由于麻痹大意而导致的信息安全问题。作为信息管理人员,如果自身的管理范围内出现了信息安全问题,企业一定会追究其管理责任,这对于提高管理人员的警惕性,减少其麻痹大意的作用非常有效。电力企业对于信息系统的操作人员要进行定期培训,强调信息操作标准的重要性,对于不严格按照信息操作标准操作的工作人员进行严厉处罚,情节严重的给予开除。另外,电力企业要加强对信息系统的维护,及时修复信息系统的漏洞,提高企业的信息管理水平。
2.4 提升电力企业信息系统的集成水平
信息系统的集成性是指企业在一定的技术指导下,能够实现对企业各个部门的有效调配,从整体上掌握企业日常运行情况以及企业在日常管理中存在的问题,满足客户对于企业的不同需求,在提高企业管理水平的同时,实现企业的高速发展。电力企业针对目前集成水平低的问题,必须要引起高度重视,采取有效措施提高企业集成水平。首先,电力企业应该加强各个部门之间的沟通与联系,保证企业各个部门数据信息的衔接度。其次,电力企业应该加强企业信息系统的一体化建设,站在企业的高度对企业中的财务系统、生产系统以及办公系统进行统一的管理与应用,提升企业信息系统的集成水平。
3 结 语
电力是我国经济发展的基础。电力企业必须拥有足够的安全意识,保证企业长期稳定的发展。我国电力企业采用信息技术来帮助企业更好的运营和管理是很有必要的,其出发点与落脚点都非常符合我国市场经济发展的要求。然而,如果电力企业的安全防范不能及时地跟上企业信息技术的应用步伐,那么电力企业应用信息技术的目的不但不能实现,很可能会适得其反,使电力企业降低经济效益。
篇12
1信息安全与信息安全管理
(1)信息安全的根本目的是保障企业内部信息不受任何因素的威胁,确保系统能够连续可靠正常地运行,现代企业的信息安全是指企业为确保信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性不因偶然或恶意原因遭受破坏、更改和泄露而在计算机管理和技术上对数据处理系统进行的安全保护,保护企业的生产运营安全。(2)一般来说,存储设备配置和信息安全管理中的漏洞、网络环境和企业内部局域网潜在的危险是企业信息安全的主要隐患。结合企业实际特点和需要,构建企业信息安全管理体系,避免企业机密资料外泄,保护企业的生产运营安全是企业信息安全管理研究的重要课题。企业信息安全管理是企业为实现安全目标进行的信息安全风险相互协调活动,其目的在于通过制定信息安全政策、风险评估等系列工作尽量做到在有限的成本下保证资产的安全,维护信息的机密性、完整性和可用性。(3)随着科学技术的不断发展,云计算、大数据以及互联网等将引领着未来IT的发展。企业想要实现发展,就要做好基础性的工作,完善基础设施建设,建立出完善的信息安全保障系统,在健康的网络环境下来实现长远的发展。企业想要实现长远的发展,就要保证自身信息上的安全,同时还要认识到信息安全的重要性,从长远的角度上出发来保护好信息。
2网络环境下企业信息安全管理存在的问题
2.1计算机自身的不确定性
网络时代,人人都可以成为信息的制造者、传播者和接受者,但由于网络的开放性、匿名性以及网民素质的良莠不齐,不仅导致网络产生许多虚假信息、表述不明确信息,来混淆视听。甚至误导网民,引发,而且还为不法分子盗取企业信息提供了便利条件。加之,网络资源的共享性为网络系统安全的攻击者提供了破坏企业信息安全的机会,给企业信息资源带来大量的安全漏洞,给企业发展带来不利的影响。
2.2安全软件设计滞后
进入信息化时代,计算机在企业发展过程中扮演着极为重要的角色,而随着计算机与互联网技术的融合,网络不仅为企业提供了极为丰富的信息资源,拓宽了企业获取信息的渠道,而且还极大地提高了工作效率,提升了企业经济效益和社会效益。但拓扑结构的设计和各种网络设备的选择容易感染病毒或被黑客侵略的问题,给企业信息安全带来直接的安全隐患。而相关病毒查杀软件都是为应对问题而设计的,也就是说,病毒查杀软件是针对病毒研发的一种“见招拆招”的软件,具有严重的滞后性。合理的安全软件设计能够为企业信息安全提供较好的保护,不合理的安全软件设计则会成为企业信息安全的隐患。此外,由于安全软件设计不合理或维护工作不完备,也极易造成病毒入侵、系统瘫痪等状况,影响企业正常运转。
2.3网络操作系统的漏洞
随着网络技术的发展,作为网络服务得以实现的载体,网络操作系统不可避免地会存在一些漏洞,这些漏洞作为一种伴生性漏洞不仅一直存在,而且还为病毒的滋生和入侵提供了机会。不断更新换代的网络软件在设计时考虑到便于软件的扩展和维护,常会为编程人员设置后门,但网络协议实现的复杂性使得操作系统的缺陷和漏洞成为网络安全的硬伤,这些后门一旦被不法分子发现,会对企业信息安全造成很大的威胁。如黑客攻击就是基于网络操作系统漏洞而产生的一种难以防范的、人为恶意攻击,对企业造成无法弥补的损失。
2.4人为因素造成的安全问题
随着市场经济体制的不断完善,企业之间的竞争日趋激烈,很多企业只重视利益的发展,将全部精力集中于企业生产经营,并没有认识到企业信息保护的重要性,造成企业信息在存储过程中没有适当的制约机制,造成企业信息安全保障系统存在漏洞和隐患。加之网络作为一种新生事物,企业对信息安全管理投入不足,员工普遍安全意识缺乏,信息安全管理规章制度不完善,这不仅浪费了企业的网络资源,而且还极易出现安全隐患和漏洞。
3网络环境下企业信息安全管理建设的措施
3.1通过对目前的应用系统进行分析与评估等工作是实际
可行的办法安全风险评估。因此,在实际中企业中的信息系统根据风险管理的方法来对可能存在的风险以及需要进行保护的信息进行分析,以风险评估为最终结果来选择出适当的措施,应对好可能出现的风险。企业只有对安全风险进行有效的评估,才能够结合实际问题进行科学合理的分析,采取有效的措施避免风险出现。
3.2要做好技术上的创新。对于网络的正常运行来说,安全是最基础的,想要保证网络的安全,就要从多个层面上出发来进行立体保护。将监督检查机制落实到实际中去。时代的发展是建立在创新基础之上的,只有实现不断的创新,才能实现更好的发展。因此,在技术不断创新的影响下,就要提高其质量,保证效益,建立出以市场发展为基础的创新机制。同时还要保证财力上的支持,实现技术的改进与创新。通过对各项制度的实际情况进行检查,可以保证企业中信息的安全。想要保证信息的安全,就要制定出信息的抢救措施,如进行数据恢复、备份以及销毁等安全预防措施。
3.3充分运用防火墙技术
在网络信息安全的管理中,防火墙技术属于一项较为有效的安全技术,能够按照特定的规则,从而来允许以及限制数据的通过。防火墙能够有效防止黑客访问用户的及其,以此来组织黑客拷贝篡改用户的信息,以此来保证信息的安全。现今很多企业都广泛应用防火墙技术,以此来保证自身企业的信息安全。并且防火墙自身具有很强的抗攻击性,不会被病毒所控制。同时防火墙技术能够将内部的网络进行划分,从而来将重点的网段进行隔离,以此来对其进行保护。
4结语
总之,想要保证企业中的信息安全,就要坚持从信息安全技术与做好内部管理工作上出发,企业网络办公不仅可以将各个部门紧密联系在一起,工作沟通起来还可以更方便,极大地提高了工作效率,创造了更多的经济效益。这是新时代、网络时期给企业带来的难得一遇的机会和福音。通过安全技术的支撑来提高内部管理工作的效果,同时还要落实管理与监控工作,加强信息安全教育,建立出完善的管理制度,提高安全管理的水平。还竭尽全力做好企业内部网络的安全管理和防范对策,两者结合、相辅相成,这样一来企业的发展会更美好,更有希望。
作者:于倩 单位:淄博信息工程学校 淄博建筑工程学校
篇13
一、企业信息化建设过程中信息安全的问题
一般情况下能造成企业内部信息安全问题的原因分为外部原因和内部原因,可是不管是内部原因还是外部原因都会对企业的信息系统的安全带来隐患。
1.1企业内部因素
第一个方面是企业的信息安全意识不强,虽然是现在有很多的企业加快企业内部信息化建设的进程,但是有些企业只是在表面上看到信息化建设所带来的优势,而信息化建设当中的安全问题并没能够引起企业的足够重视,所以在信息化建设的过程中比较容易出现安全隐患。第二个方面就是我国的安全软件还是比较落后,虽然国内计算机软件技术在快速的反战,可是与一些发达的国家相比还是存在一定距离,第三个方面在管理操作方面存在问题,现在有很多的企业对于自己企业内部的信息安全问题还存在不够重视的问题,在企业信息系统的管理上不够谨慎,这就会被不法分子和黑客进入的机会,造成了企业的主要信息被盗取。第四个方面缺少优秀的专业管理团队,企业信息的系统安全是前期的制定和日常系统安全的维护以及日后都是由专业的人员来进行操作,所以相关的技术人员都必须具有很好的素养和贤能的技术,第五个方面法律法规的不全面。现在我国与企业信息安全问题的法律法规不全面这就造成企业内部信息被盗取不能得到相关的赔偿。
1.2企业外部因素
现在企业信息安全系统的威胁主要来自于外部的因素,随着我国经济社会的飞速变化,在竞争激烈情况下信息是非常重要的,大昂仁会有很多的不法分子会利用各种手段来盗取企业的信息为自身得到利益。还有些企业在于对手的竞争过程中使用不正当的手段来击垮对手保证自己企业的利益。
二、企业信息化建设过程中的信息安全与对策
在我国社会经济快速发展的今天,企业信息安全对于一个企业的发展是非常具有意义的,企业的信息被盗取和泄露会给企业带来很大的损失,所以说企业对信息安全问题必须要有足够的重视。有的企业已经做好了信息安全的必要工作就应该更加注意安全软件并不是时时刻刻都能做好安全的保护,做好安全保护还要加强管理。
2.1确保正确的安全意识
一个企业在信息化发展的过程中,应该认识到企业信息的安全问题和企业发展相互的关联。如果企业的重要内部信息被盗取或者泄露那么对于企业所造成的打击是非常大的,而与此同时也是给了对手创造了很好机会。所以确保正确的安全信息意识对于一个企业来说是非常重要的,也是为了以后给企业的各项工作打下了很好基础。
2.2选择安全性能比较高的软件
其实任何软件都不是牢不可破的,可是对于安全性能比较高的软件,如果说破解的话难度还是相当高的,所以企业选择安全软件的时候要选择安全性能高的,不要为了节省一点企业的支出而选择使用安全性能差的保护软件,一旦出现问题所造成的企业损失价值会大于软件的价格。
2.3加强企业网路管理
很大一部分的企业信息被盗取都是不法分子通过网络进行的,所以说必须要对企业的网络管理进行加强,这样才能确保企业信息系统在安全的状态的情况下运行。对于信息安全的种类和等级的高低来进行制定合理的方案,并且提前做出如果发生特殊情况下怎么进行处理的方案。如果说企业的信息安全发生危机的时候,企业应该快速的组建处理小组,针对信息安全危机的步骤处理并且做好危机处理的工作,还要避免出现由于处理不当而产生的各种情况。
三、结语
以上所述是企业信息化建设过程中所必需要面对的问题,一个企业的信息安全建设应该先从管理开始,必须做到以防范为主要,必需制定有效的安全防护把安全的风险降至最低。在现在经济发展的快速时代,企业信息的安全问题决定着企业的安全运营。
参考文献
[1]原黎.探析企业信息安全问题的成因及对策[J].现代工业经济和信息化.2011(08)
[2]张耀辉.关于企业信息化建设中的信息安全探讨[J].电子技术与软件工程.2013(14)
[3]赵晓华,陈秀芹,周文艳,夏莉莉,李建忠.网络环境下河北中小企业信息安全问题研究[J].科技资讯.2013(31)