時間:2023-10-10 10:42:30
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇企業信息安全現狀,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
【關鍵詞】企業,信息,安全
【中圖分類號】F270.7 【文獻標識碼】A 【文章編號】1672-5158(2012)11-0130-02
近年來,隨著企業信息化進程的不斷推進,許多企業都完成了涵蓋基礎自動化、過程控制、生產執行到專業管理的信息系統,內容覆蓋了硬件網絡平臺建設、辦公自動化(OA)、企業資源計劃(ERP)、對基礎網絡、過程自動化進行升級改造等,企業業務的關鍵流程如研發、生產與銷售對信息系統的依賴性非常高。企業日益復雜龐大的信息系統也無時無刻在面臨來自于內部和外部的威脅。
當前企業信息可能面臨的安全威脅、存在的安全隱患。
1.可能面臨的安全威脅
物理安全威脅主要表現在企業的軟件資產和硬件資產、面臨自然災害、環境事故及不法分子通過物理手段進行的違法犯罪等威脅;網絡安全威脅主要表現在黑客攻擊、垃圾郵件泛濫、病毒、木馬造成網絡擁塞與癱瘓,內部攻擊,沖突域造成網絡風暴,黑客的入侵或者使得不法員工可以通過網絡泄漏企業機密等。
數據安全威脅主要表現在:數據庫數據丟失,財務、客戶信息及訂單數據被破壞或刪除、竊取、備份數據被人惡意篡改、不可預測的災難導致數據庫的崩潰等。
內部網絡之間、內外網絡之間的連接安全——隨著企業的發展壯大,逐漸形成了企業總部、各地分支機構、移動辦公人員這樣的新型互動運營模式。怎么處理總部與分支機構、移動辦公人員的信息共享安全,既要保證信息的及時共享,又要防止機密的泄漏已經成為企業成長過程中不得不考慮的問題。
2.可能存在的安全隱患
網絡規劃不完善。信息網絡建設的初期,沒有把構建信息安全體系作為主要的功能來實現。雖然以后采取了一些安全措施,缺乏整體性和系統性。目前從便攜設備到可移動存儲,再到智能手機、PDA,以及無線網絡等。每一項新技術,每一類新產品的推廣伴隨著新的問題。企業在面臨著日趨復雜的威脅的同時,遭受的攻擊次數也日益增多。
技術設計不完善。隨著電腦技術的不斷發展,一些技術上的漏洞和設計方面的缺陷也就隨之而來。如操作系統、數據庫、網絡軟件及應用軟件等各個層次及網絡設備本身存在的技術安全漏洞等。
安全管理不完善。由于信息安全管理制度不健全或貫徹落實不夠;員工的安全防范意識不強;構建安全體系的資金投入與運維現狀需求存在矛盾等因素,導致安全管理層面的安全措施及安全技術難以有效實施。
為了防止信息安全事件的發生,通行的做法是通過部署防火墻、入侵檢測、入侵防范系統、防病毒系統、數據備份、數據加密、漏洞掃描、上網行為管理系統等進行防范。然而,此類技術手段,卻無法阻止人為因素導致的破壞。
針對上述分析,筆者認為,構建一個規范的信息安全保障體系必須從管理、技術兩方面著手,通過建立企業內部信息安全管理體系的有效措施把可能面臨的安全威脅最大限度地弱化,同時針對信息系統的“弱點”進行改進,以此降低潛在的安全危險。
二、加強信息安全工作的途徑
1.建立安全體系結構框架
俗話說“三分技術,七分管理”,任何技術措施只能起到增強信息安全防范的作用。為此,管理部門首先需借助相應的行政手段制定適合本單位的信息安全管理制度,建立一個長期有效的安全管理機制。加強安全技術的管理和人員的培訓,提高員工的信息化應用水平。其次,技術部門要加強物理場所的安全管理,制定相應的訪問控制策略規范網絡應用安全,整合現有資源實現能夠支撐邊界安全和訪問控制的要件,同時實現從終端行為一主機全過程的完整安全,實現公司業務正常有序的運行。
2.通過實施信息安全管理體系提升管理水平
信息安全管理體系是系統地對組織敏感信息進行管理,涉及到人、程序和信息技術系統,其依據是信息安全管理體系標準-IS027001。IS027001清晰地定義了ISMS是什么,并對企業主要安全管理過程進行了詳細的描述。通過對企業信息系統的信息安全方針,信息安全組織,資產管理、人力資源安全、物理和環境安全管理、通信學術研究和操作管理、訪問控制、信息系統獲取開發和維護,信息安全事故管理、業務連續性,符合性(IS027002要求的各個控制域)11個方面的處置,來建立企業信息安全管理體系。ISMS建設分為五個階段,有準備階段、風險評估階段、實施階段,運行階段和持續改進階段。
2.1 準備現狀調研階段
現狀調研階段的主要工作是對組織的信息安全管理相關政策、制度和規范、業務特征或服務、現有的組織情況、網絡信息與配置、日常操作與管理等內容進行調查,以了解組織業務,挖掘組織中存在的安全問題,分析組織內可能存在的信息安全風險,參照相關標準給出差距分析報告。可以采用文件審核、問卷調查、技術工具評估及現場訪談等方式進行。
2.2 風險評估階段
在準備階段工作的基礎上,根據IS027001標準的要求,對企業目前的信息安全現狀進行風險評估,通過風險評估確定風險管理計劃以及需要采取的控制措施。此外,通過風險評估,還可以了解到目前企業信息安全管理的現狀,為下一步編寫ISMS文件準備基礎資料。
2.3 架構設計階段
架構設計階段可以考慮從安全策略保障體系、安全組織保障體系、安全運行保障體系、安全技術保障體系、應急恢復保障體系、保密體系等方面構建組織的信息安全總體架構。
2.4 實施階段
實施階段將進行ISMS文件體系的策劃和編寫,確定需要編寫的文件數量以及各文件需要包括的控制措施。同時,將已有的操作規程、規范文件整理為具體操作手冊,作為三級文件,以指導信息安全管理體系項目的后繼實施,最終形成一整套符合企業信息安全管理現狀的、可實施的.文件化的信息安全管理體系。
2.5 運行階段
運行階段將依據建立的ISMS進行實施。主要的活動有認證機構的預審、對企業信息安全專員培訓、全員培訓和意識教育整改活動、記錄系統運行等各項活動。在體系運行一段時間以后,將通過內部審核的方式評審企業信息安全管理體系運行的符合性。
2.6 持續改進階段
項目的完成只是企業ISMS建立和完善的一個首要步驟。要通過內審與管理評審等持續改進活動,使企業的信息安全管理工作得到不斷的完善和提高。信息安全的最大挑戰在于必須面對各種各樣的威脅源、不斷更新和不可預知的方法、在不確定的時間對企業重要信息資產產生破壞,所以必須要有能夠進行持續改善的績效管理。
3.實施、運行ISMS需要注意的問題
4.1 提高風險意識,加強安全組織建設工作;以風險評估為基礎,提高風險管理的有效性;隊總體經營目標為核心,制定科學的安全管理策略;通過對企業安全管理流程及標準的建立,完善企業的安全運維體系及響應機制。
4.2 提高行業信息化管理水平,信息安全體系框架構建是關鍵。而信息安全體系框架構建必須管理、技術兩者雙管齊下。
4.3 循序漸進,動態管理。信息安全體系建設并不是一蹴而就的,是分步實施、循序漸進的過程。定期進行相關的安全評估,注重各層次、各方面、各時期的相互協調、匹配和銜接。根據當前的技術環境和安全意識的深化及時排查、修改、調整相關的安全策略。
【關鍵詞】企業; 信息安全; 風險評估; 風險控制
引言:
計算機和網絡通信相結合的信息技術,是促進當代社會信息化發展的主要力量,為社會上各行各業的發展創造了良好的環境。許多企業在經營與管理中已經引用現代信息技術,從而使經營與管理更為科學,工作效率更高,獲得的經濟效益也越多。然而現代信息技術是一把雙刃劍,信息化的程度越高,由它帶來的風險也越大。當前,企業的信息安全風險評估工作存在著一些問題,這些問題對企業的發展造成很多不利的影響。
一、企業信息安全風險概述
對企業來說,信息是維持企業正常運作的必要資源。企業的信息包括重要的數據、企業的發展規劃、保密性文件、知識產權等。這些信息一旦被泄露,那么企業將面臨著或大或小的經濟損失,更嚴重的還會使企業面臨破產的危險。所謂的企業信息安全就是指信息在其生命周期中,它的完整性、保密性和可用性這三個特性的保留情況。如果這三個特性都得到了保障,那么信息的安全性就高;如果其中的某個特性被破壞,那么信息的安全性就低。而信息安全風險就是指信息在特定的環境與特定的時間里可能遭遇的安全威脅。
信息安全風險可以分為可控性風險與不可控風險、可接受風險與不可接受風險、自然風險與人為風險等[1],這些風險給企業的信息安全管理工作帶來了更多的不確定因素,加深了工作難度。
二、企業信息安全風險評估的現狀與問題
當前,我國企業的信息安全風險評估工作存在著許多問題,給企業的日常經營與管理帶來了許多不利的影響。
首先,企業沒有樹立正確的信息安全觀。很多企業的管理者在信息安全問題上會走向兩個極端,一種是認為只要加大信息建設的投入,信息就存在絕對安全的可能;另一種是忽視信息安全建設,信息安全風險意識淡薄。很多企業的管理層對信息資產的重要性認識不夠,因而他們在保護信息安全方面幾乎是無作為。
其次,企業在具體的信息安全風險評估工作中,表現出重安全技術而輕安全管理的思想與行為方式。這些企業在工作過程當中,不論是在心理還是在行為上都過分依賴安全技術,甚至認為只要安全技術過硬,信息安全就一定能夠得到保證,為此,企業普遍采用現代通信技術、計算機和網絡技術來構建企業信息安全系統。而在安全管理上,出現了管理措施不到位,員工在信息保密上不夠嚴肅等問題,造成信息安全技術做無用功。
此外,企業信息安全風險評估工作還存在著管理制度不夠完善、責任劃分不夠明確等問題。信息安全風險的評估工作需要收集各方面的大量的信息,如此才能增強評估的有效性。而企業由于管理制度不完善、職責劃分不明確等問題,造成各部門的工作不配合、不協調。信息技術部門被孤立,信息安全的風險評估工作也就不能得到及時有效的完成。
最后,我國有些企業在信息安全風險評估的技術與方法上落后于時代。現代信息系統越往后發展,結構就越復雜。這要求企業要根據不斷變化的信息技術來改進自己的風險管理理念和手段,同時也要吸收國際上的先進信息安全風險評估技術,保障自身的信息安全。
三、企業信息安全風險的控制
企業信息安全問題對企業來說是不應該被忽視的部分,企業應該在經營與管理的每個環節做好信息安全風險的控制工作,使企業的重要信息能夠得到充分的保護。企業信息安全風險的控制可以從風險分析、管理控制、技術控制三個方面來進行。
(一)風險分析
在進行信息安全風險控制之前,先對風險進行分析可以使風險控制工作更加具有針對性,能夠提高風險控制工作的效率。對風險的分析可以從信息資產面臨的威脅、存在的弱點等方面來進行[2]。在風險分析工作中,要明確以下幾點:首先是信息安全風險控制工作中需要保護哪些信息,這些信息具有什么樣的價值;信息資產面臨著哪些潛在的威脅,導致這些威脅產生的根源是什么,威脅發生的幾率有多大;信息資產中是否具有漏洞,這些漏洞是否會被人威脅利用;信息資產發生威脅之后,企業會面臨多大的損失;企業該采取什么樣的措施來應對風險帶來的損失,等等。
(二)管理控制
企業信息安全風險控制工作主要從組織管理、人員管理、政策實施等幾個方面來進行。首先,企業應該建立信息安全組織機構,吸收組織成員,協調企業內部的各項資源,制定信息安全控制的目標并通過組織成員履行職責來達到目標。其次,企業要培養素質高、責任心強、原則性強,能夠遵守企業政策的人員。企業信息安全風險的控制不僅與強大的技術力量有關,而且還有賴于執行人員對信息安全工作的支持與參與。此外,在政策實施上,企業要嚴格執行相關的信息安全保護政策,比如目前國際通用的《信息技術―信息安全管理實施細則》[1],為企業執行信息安全保護工作提供一個統一的標準,從而使工作能夠有序地展開。
(三)技術控制
技術對信息安全控制的影響力是比較大的,它在很大程度上決定了信息安全風險的大小、范圍,同時它也決定了修補信息安全漏洞的方式和方法。因此,在技術方面對信息安全風險進行控制是非常有必要的。首先,技術構架的設計應該遵循系統性原則、技術先進性原則、可控性原則、適度性原則等,使技術能夠更好地服務于風險控制;其次,要做好安全域的信息安全保障工作,根據不同的安全域所面臨的不同風險來進行信息安全保護工作;最后,要提高信息安全保障技術。目前而言,我國的信息安全保障技術與國際上的相比明顯處于落后狀態,因此,企業要引進先進的技術力量,加強信息安全風險的控制力度。
四、結語
在這個信息化高度發展的社會,任何企業與個人在享受信息化帶來的便利的同時,也要承擔信息化帶來的風險。我國企業在激烈的市場競爭中,不可避免會遇到信息安全上的威脅。因此每個企業都應該做好信息安全的管控工作,認真、嚴肅地對待當前網絡環境下的企業信息安全問題。
參考文獻:
[1]谷田.網絡環境下的企業信息安全問題研究[D].鄭州大學2012
1港口信息安全評價現狀及需求
港口信息安全保障應貫穿在港口信息系統的整個生命周期中。港口信息安全保障的工作者應針對港口信息系統的發展特點,通過對港口信息系統的風險分析,制定并執行相應的安全保障策略,從多角度、多層面提出港口信息安全保障要求,確保港口信息系統的保密性、完整性和可用性,將安全風險降至最低或可接受的程度。港口信息化發展重點主要在于對外的數據交換和服務。港口信息安全風險主要來自于港口信息系統自身存在的漏洞和系統外部的威脅。為最大化控制該風險,港口信息系統安全保障工作者應在信息安全保障策略體系的指導下,設計并實現港口信息安全評價體系架構或模型,港口信息安全評價體系的制定應反映港口企業對信息系統安全保障及其目標的理解,其制定和貫徹執行對信息系統安全保障起著綱領性指導作用。港口信息安全評價體系應選用一種折中的機制,在有限資源前提下實現最優選擇。防范不足會造成直接的損失,防范過多又會造成間接的損失,在解決或預防安全問題時,要從經濟、技術、管理的可行性和有效性上做出權衡和取舍。從現代港口企業信息安全保障工作者的視角出發,其工作層面無外乎對港口信息安全保障的戰略管理、常態監管和應急響應。戰略管理體現其信息安全戰略的先進性,表現在港口企業對信息安全戰略規劃的制定情況、港口信息安全管理部門的戰略地位和港口企業對信息安全工作的資金保障力度等。這些評價能反映港口企業對信息安全的重視程度,預見港口企業信息安全工作未來的發展前景。常態監管主要指港口信息安全戰略的具體執行情況,包括基于對港口業務風險的認識,建立、實施、操作、監視、復查、維護和改進信息安全等一系列管理活動,具體表現為計劃活動、目標與原則、人員與責任、過程與方法、資源等諸多要素的集合。應急響應主要包括在一些緊急、無預測的危機下,快速應對、解決問題的能力,度過危機以減少損失或者把損失降低到最低程度。
2現代港口信息安全評價指標體系框架
為了讓指標體系更加科學、全面、綜合,力爭每個門類的指標定量、定性相結合,筆者選用了工作層面、保障要素、指標類型作為現代港口企業信息安全保障指標體系框架的3個維度。
3評價指標
按照評價指標體系框架,采用第一維度、第二維度、第三維度逐個相交的方式,對各評價點進行分解,可以設計出適應現代港口企業信息安全保障工作的評價指標體系。為了讓指標體系更加科學、可操作,筆者在對上海港、黃驊港等大中型港口調研的基礎上,梳理分析,設計出一套普適性較強的評價指標體系。該體系能夠較客觀、準確、全面地反映港口信息安全工作水平,供港口企業信息安全保障工作者參考。
4結語
1)信息安全評價體系對于現代港口評價信息安全保障工作的完備性,最大化降低、控制信息安全風險,減少技術故障、網絡攻擊等安全問題對業務帶來的影響具有十分重要的作用。
2)以現代港口企業信息安全保障工作為研究對象,遵循科學全面、簡單可操作、向導性原則,從工作層面、保障要素、指標類型出發,設計了一套三維評價指標體系框架,并結合國家對港口企業信息安全的相關要求,分析出56個具體指標,提出了評價指標的量化方法和計算方法,可為港口企業信息安全自評價提供參考。
3)取3個港口的信息安全保障工作情況樣本進行評價,對評價分值的取值進行分析。試驗表明,該方法能夠滿足現代港口的信息安全評價需求,簡單可操作,具備可行性。
作者:吳靜媛 周鵬穎 單位:中交水運規劃設計院有限公司
當前,企業信息安全尚在起步階段,發展不夠成熟健全,還有更多需要解決的問題。隨著網絡技術的發展,經濟信息量的大幅度上漲,處理信息必須依靠計算機才能完成,但計算機存在一定的弱點,例如計算機病毒、人員素質低下、黑客入侵等因素,以及移動4G、WIFI互聯等多邊界企業網絡環境下,由于內外部網絡是直接連接,其互通性和網絡訪問無限制性易形成黑客或惡意份子入侵的切入口,若是沒有設置任何的網絡邊界安全機制,將造成企業信息受到潛在的安全威脅。企業要想持續發展,信息安全是基本保障。企業信息化程度越高,企業數據也就越安全。企業發展的基礎即信息安全,企業管理者要正確認識信息安全工作的長期性和緊迫性。從保護企業利益,促進經濟發展,保證企業穩定與安全的角度來看,只有做好基礎性工作和設施建設,建立信息安全保障,以及建設安全健康的網絡環境,才能有助于信息化安全建設。其實不管科技如何發達,技術如何高超,都是人類智慧的結晶體,所以信息安全已無法離開人類。不少企業信息被泄露,多是人為因素導致,員工濫用企業信息將會給企業帶來極大的損失。
2企業信息化安全建設
當今社會已經步入信息知識經濟時代,信息對企業良性長久的發展尤為關鍵,但目前企業信息系統安全問題無疑是企業發展階段所面臨的重點難點。所謂的企業信息安全就是對企業信息資產采取保護措施,使其不受惡意或偶然侵犯而被破壞、篡改及泄露,確保信息系統可靠正常并連續的運行,最小化安全事件對業務的影響,實現業務運行的連續性。因此筆者認為以下幾方面是關鍵。
2.1做好網絡保護
其實要保證外網安全需要企業加大硬件設備的投入,信息安全產品在網絡經濟發展下正面臨著新的挑戰,傳統防火墻、信息加密、防病毒等已無法有效的抵御外部入侵;同時由于內部操作不當,導致內網感染病毒造成信息泄露的現狀也是信息安全的焦點問題。針對以上情況,建立事前有效防御,事后追究機制是企業信息化安全建設的當務之急。根據現代企業的特點,筆者認為從下面這幾點入手,有助于保護網絡的安全:
(1)身份認證技術。
企業內網操作時,可采用身份認證技術,借助PKI、PKM等工具,控制網絡應用程序的訪問,以及進行身份認證,實現有效資源合法應用和訪問的目的。
(2)審計跟蹤技術。
通過審計跟蹤技術監控和審計網絡,控制外設備如MSN、QQ、端口、打印、光驅、軟驅等,從而實現禁止使用指定程序,并促進員工操作行為及日志審計規范的目的。
(3)企業還應組建自身網絡拓撲結構。
利用嚴格密鑰機制和加密算法,有機的結合加密、認證、授權、審計等功能,保護最底層不同密集評定和授權方式的核心數據,而非限制應用網絡和控制網絡,進而真正實現合理保護,確保企業信息數據資源的安全。
2.2安全邊界的界定和管理
安全邊界的界定通過分析現有網絡邊界安全的需求,筆者認為有幾方面:首先,內部網段。即企業網內網,是防火墻的重點保護對象,安全級別和授信級別更高,主要承載對象是企業所有人員的計算機。其次,外部網段。即邊界路由器以外的網絡,比如移動4G、WIFI互聯等多邊界網絡,安全級別和授信級別最低,是企業信息數據泄露最大的安全隱患,需要嚴格禁止或控制。最后,DMZ網段。即對外服務器,安全級別和授信級別介于內外網絡之間,其資源運行外部網絡訪問。
(1)由于外部用戶訪問DMZ區域中服務器的方式較為特殊,在系統默認情況下是不被允許的。
可實際應用中是需要外部用戶對其進行訪問,所以防火墻上必須增加相應允許外部用戶訪問DMZ區域的訪問控制列表,通過對列表的控制允許用戶行為,并對進行很好的監控管理,保證企業信息的安全性。
(2)內部用戶對外部網絡以及DMZ區域中服務器的訪問。
按照ASA自適應安全算法,在系統默認情況下是允許高安全等級接口流向低安全等級接口流量的,外部網絡安全級別遠沒企業內部網絡安全級別高,所以在默認情況下這種訪問方式是被允許的,不過實際應用過程中,需要限制對外訪問流量。
(3)外部用戶對內部網絡的訪問。
在系統默認情況下這種情況是不被允許的,是對外部用戶非法訪問的有效抵御,能有效的保證企業信息的安全,促進企業信息化的安全建設。
2.3強化系統管理
由于任何安全軟件都有被攻擊或破解的可能性,單純依靠軟件技術來保障企業信息安全是不現實的,只有強化企業內部信息系統的管理才行之有效。所以,企業內部信息管理體制要完善,盡可能促進管理系統規范性和可靠性的提高,才能為企業內部信息的安全提供更高保障。同時,要進行安全風險評估工作。因為各個信息系統使用的都是不同的技術手段和組成方式,其自身優勢及安全漏洞也具有較大的差異,由此在選擇企業所需的信息系統時,一定要先做各個系統的安全風險評估工作,信息安全系統的選擇要針對企業自身特點,降低信息安全問題出現的概率。最后,就是加強系統管理。在實際生活中信息竊取和系統攻擊大多是在網絡上完成的,企業必須要強化網絡管理工作,以便促進企業的運行更安全政策。
2.4加強企業信息安全管理團隊建設
當前,企業信息安全體系的建設中已完全滲透“七分管理,三分技術”的意識,強化企業員工信息安全知識培訓,制定完善合理的信息安全管理制度,是企業信息安全建設順利實施的關鍵保障。企業信息安全建設時要另立專門管理信息安全的部門,負責企業內部的信息安全防護工作,加強對企業內部計算機網絡系統的維護及常規檢查。企業信息安全管理團隊的職責主要包括:工作人員安全操作規范、工作人員守則以及管理制度的制定,再交由上級主管部門審批后監督制度規范的執行;定期組織安全運行和信息網絡建設的檢查監測,掌握公司全面的第一手安全資料,根據資料研究相關的安全對策和措施;負責常規的信息網絡安全管理維護工作;定期制訂安全工作總結,且要接受國家相關信息安全職能部門對信息安全的工作指導。
2.5入侵檢測系統(IDS)與入侵防護系統(IPS)
IDS即入侵檢測系統能夠彌補防火墻的缺陷,能實時的提供給網絡安全入侵檢測,并采取一定的防護手段保護網絡。良好的入侵檢測系統不但可有助于系統管理員隨時了解網絡系統的變更,還能提高可靠的網絡安全策略制訂依據。因此,入侵檢測系統的管理應配置簡單,隨時根據系統構造、網絡規模、安全需求改變。IDS必須布置在能夠監控局域網和Internet之間所有流量的地方,才能第一時間檢測到入侵時,做出及時的響應,比如記錄時間、切斷網絡連接等。
3總結
1網絡環境下企業信息安全管理現狀
在信息安全管理中最容易出現問題的就是信息的儲存和傳輸,在企業的網絡信息使用中也是這一環節最容易出現問題,比如企業信息系統中各種內部服務器,以及用戶使用的計算機都容易對信息系統的安全造成威脅[1]。計算機的使用中最容易造成安全隱患的就是計算機中最常見的軟件病毒,病毒的入侵會毀壞計算機的數據,最終導致極端及無法使用。最簡單地說,計算機病毒實際上就是一種惡意破壞系統程序的軟件,趁使用者不注意的情況下,入侵到計算機中,破壞計算機中的數據,影響計算機的正常使用,再嚴重的會導致整個系統的癱瘓,使鏈接這臺計算機的其他計算機也無法使用。還有一種就是黑客的攻擊,黑客對于計算機的攻擊屬于人為方式,就是指在沒有經過企業計算機系統授權的情況下,對系統進行的惡意攻擊其網站系統,對整個系統造成比較嚴重的傷害,最終導致系統中存入的數據泄露,對企業造成無法彌補的損失[2]。
在企業中也會出現信息安全管理的漏洞,因為企業中的信息管理必然會在每個部門之間相互傳輸,并且整合成最終完整的需要儲存的信息,這樣的過程中就很容易導致信息的丟失,人工操作的信息鏈接,很容易在中間的時候由于疏忽被非法人員抓到可乘之機,最終導致信息系統失控。很多企業重視利益的發展,并沒有在乎企業信息的保護,因此在整個網絡信息儲存的過程中就會造成沒有適當的制約機制,最終造成安全漏洞和隱患。企業的制約對于任何一個部門來說都具有非常好的管理和實效性,因此一旦企業在信息管理上沒有一個好的制約管理機制,就很容易出現安全隱患和漏洞。
2企業信息安全管理的策略
首先企業要在電腦病毒和黑客方面入手,阻擋威脅信息安全的客觀因素,既然企業想在整個工作中使用網絡信息,那么就應該在專業的軟件供應商處購買比較安全的電腦系統漏洞補丁,以及安全系數較高,非常可靠的殺毒軟件。這樣就能夠最初級的防范電腦中毒和電腦黑客。對于新的設備一定要首先做好安全監察,在電腦上安裝比較可靠的殺毒軟件,并且每個員工,每臺電腦上都有非常高強度的密碼,這樣就能夠有效防治黑客的入侵。找出專門人員,對電腦中重要的數據,進行每天備份,如果數據較多,公司比較大,最少也要做到每周備份,然后每個月末進行以此校對和審核,這樣就能夠放心使用計算機,不用擔心系統崩潰或者數據丟失了[3]。在企業中建立信息安全管理機制小組,這一小組需要選用非常熟悉電腦的專業人員,最好是曾經從事過電腦維修工作的員工,這樣可以在大家沒有合理使用電腦,造成系統崩潰的時候,對信息進行及時的恢復,以便挽回企業損失。
3總結
綜上所述,隨著網絡在生活中的普及,還有企業的不斷發展,信息化也成了企業工作中一個非常重要的資源,因此信息安全管理策略也成了企業信息化發展中一項非常重要的組成部分。但是在我國現階段企業的發展往往是把利益擺在最前面,并且在員工的思想當中也是比較重視惡人利益,而沒有考慮到企業安全問題,因此企業想要順應時代的發展,把網絡利用到企業發展中,就要充分認識到企業信息安全管理的重要性,重視企業信息在儲存和傳輸過程中存在的漏洞,并且及時修補,保證企業信息具有安全可靠的管理對策,這樣才能確保企業順利發展,我國經濟發展更上一層樓。
作者:宋晴 單位:國網山東膠州市供電公司
Abstract: With the advent of the information age, information technology plays an increasingly important role in the enterprise, and in the current network environment, a large number of virus frequently attacks the enterprise's information system, and even cause system cannot deal with the attacks. Therefore, the enterprise information security should change passive treatment into active defense, establish risk management framework in the information system, rationally use internal resources, and improve enterprise information system security. In this paper, the framework of enterprise information security risk management is studied, and the requirements, process and implementation of enterprise information security risk management are discussed.
關鍵詞:信息安全;風險管理;框架探究
Key words: information security;risk management;framework research
中圖分類號:F270 文獻標識碼:A 文章編號:1006-4311(2017)18-0053-03
0 引言
在社會不斷發展的同時,信息化技術也獲得了長足的進步,并且已經廣泛地應用到人們的生活與工作中。對于企業單位而言,信息資源是保證正常運營的關鍵因素,企業運營的重要數據、客戶資料以及知識產權等信息都是重要的信息資源,這些資源一旦泄露或丟失,會對企業造成極大的影響。因此,企業必須重視自身信息系統安全風險管理的框架的建設,有效防止來自網絡的惡意攻擊,防止內部重要信息泄露或丟失,保證企業信息安全。
1 企業信息安全實踐的需求分析
在信息時代的大背景下,企業的信息化程度是衡量其發展水平的重要因素。但是,我國的信息安全形勢不容樂觀,大部分企業沒有樹立信息安全風險管理概念,企業的信息安全無法得到良好的保障。信息安全是一項綜合性的工程,不能僅憑企業短期內需要就采取某些措施,無法從根本上提高信息安全水平。想要做好企業信息安全實踐工作,必須事先做好企業對信息安全的需求分析,形成全面的分析報告,并根據報告中的內容采取相應的措施,改善企業信息安全現狀。但是,需求分析的具體過程也不是始終不變的,而是會根據企業的發展與信息技術的進步發生改變的。信息安全風險的獨特性必須在框架中體現出來。信息安全風險源于信息,信息本身具有不斷發生變化的特性,從其以數據的形勢出現開始,直至在各項功能中發揮相關的作用,這個周期內的每個階段都有相的價值。信息安全管理就是要對企業的信息資源進行全面的保護,避免因這些資源受到損失而對企業的運營造成影響。企業信息安全風險管理框架中,必須能夠發現信息資源即將受到的威脅,評估這些威脅會對信息資源造成的后果,以確定應對這些威脅的順序。在制定風險計劃時,需要明確對于風險的應對方式以及合理的控制措施。在風險的監督與改進過程中,需要根據這些風險采取適當的監控手段。總之,在此過程框架每個過程要素的分析中,都必須體現信息安全風險的獨特性。
2 企業信息安全風險的類型及內容
一般來說,在企業運營過程中,信息安全系統通常面臨以下風險因素:
①因線路故障、停電、網絡通信設備損壞等導致網絡突然中斷。
②網站遭到非法攻擊,主頁被惡意篡改或者被非法植入煽動國家分裂或抗拒法律法規、歪曲事實、散布謠言的言論,以及破壞社會穩定、損害公司名譽的不當言論等。
③公司內部網絡服務器或他服務器被非法入侵,相關網絡設置被非法拷貝、修改、刪除,發生泄密事件。
④公司內外網終端混用,被國網公司信息管理部門查處,造成公司信息泄露、丟失事件。
信息系統是企業正常開展生產運營工作的基本前提,信息管理系統一旦出現問題,輕則影響企業內部業務項目的正常進行,重則導致企業蒙受巨大的經濟虧損。因此,針對信息安全風險加強管控對企業來說意義重大。
3 企業信息安全風險管理方案
3.1 建立信息安全風險管理流程
企業信息安全風險管理工作可按照圖1所示流程逐步展開。
3.2 完善信息安全風險管理措施
對信息安全風險的管理可以以階段化的管理模式逐步展開,具體措施如下:
3.2.1 實施準備階段
信息安全風險管理實施的準備階段主要包括管理開端的建立、風險評估以及制定行動方案三個步驟。第一,在管理開端的建立中,首先要獲得企業管理部門與業務部門的支持,并且建立完善的管理質素,明確參與到管理過程中的工作人員的職責;第二,在風險評估步驟中,首先,確定風險評估對象的范圍,其次,確定評估小組的成員,并且制定評估方案;最后,對評估小組成員進行與評估方案有關的培訓。在這些準備工作結束后,評估人員就可以開始通過訪談或調查的形式來確定公司信息資源的具體情況,明確用戶對信息安全的需求。再通過對風險進行識別與分析,發現企業信息系統中存在的風險。第三,在制定行動方案的步驟中,需要完成保護方案的制定以及確定風險處理方式兩部分工作。通常情況下,保護方案就是需要企業長期持續執行,能夠幫助企業保證自身信息安全的方案,但不足以滿足企業在短期內提高信息安全性的需求。因此,企業必須對所有控制措施制定相應的處理方式,在短期內解決企業最需要解決的問題。
3.2.2 部署與執行階段
行動的部署與執行階段主要有計劃的部署與安全培訓兩方面工作組成。第一,行動計劃部署。在這個過程中,安全風險管理計劃中的所有措施都必須被執行,需要對具體行動方案進行必要的理解并執行。首先,要與企業中的員工進行事先溝通,防止在實施中遇到反對或抵觸的情緒。其次,確保被安排到行動計劃的員工能夠把握這些工作的優先級。此外,必須制定行動執行保障制度,為計劃執行準備足夠的資源,以保證計劃順利執行。第二,安全培訓工作的實施。在企業內部,從事安全風險管理工作的員工有時會將普通工作人員視為技術人員,顯然這種想法是有問題的,并不是企業內的所有員工都了解信息安全風險管理。所以,我們必須了解企業中大部分員工知識利用信息系統完成自己的工作任務,信息安全的保護是需要專業的信息安全人員進行的。所以,企業必須組織安全培訓,通過培訓提高員工安全意識,保證他們在信息系統遇到危險時能夠采取一些有效的行動,對系統進行適當的保護。
3.2.3 風險監督檢查階段
在信息安全風險管理團隊中,必須組建風險監督小組,在風險管理的整個過程中對其進行監督與檢查,小組應由小組負責人與檢查人員組成。實施風險監督檢查的目的就是為了掌握企業信息安全的實際狀態,并且收集信息安全環境變更信息,方便對未來的風險進行預測。風險監督小組在獲得這些信息后,必須及時向風險管理團隊反饋,確保他們能夠掌握企業最近的信息安全狀態。
3.2.4 風險改進階段
在這一階段,我們必須做好以下工作:制定詳細的風險改進措施。風險管理團隊需要根據企業的信息安全狀態制定詳細的風險改進措施。通過對監督檢查過程中發現的問題進行分析,可以找出導致問題產生的原因,制定相應的改進措施并限期完成,檢查人員則要負責對具體的實施情況進行檢查。在改進過程中,需要注意的是,改進措施必須獲得最高管理者的批準,特別是關系到整個企業或大多數部門的改進措施。風險監督小組必須隨時跟蹤糾正措施實施情況,驗證改進措施的執行是否符合標準。
3.3 建立企業信息安全風險評估體系,促進信息管理工作不斷優化改進
3.3.1 明_信息安全風險評估流程
企業信息安全風險評估工作可以參照圖2逐步實行。
3.3.2 信息安全風險的計算及處理措施
企業的風險可以通過多種計算方法得到,但通常資產的風險值可以定義為:風險值=f(安全事件發生的可能性,安全事件發生的危害性)=g(資產,威脅,脆弱性,已實施的控制措施)。評估人員根據這樣的函數形式,可以采用一種類似5×5形式的矩陣來計算風險,其中行和列分別代表了安全事件發生的可能性或發生的危害性等級。當然,評估人員為了細化這些風險可以采用維數更多(更細)的矩陣。
4 結論及建議
企業通過信息安全風險管理的實施,能夠確定長時間的安全風險管理計劃,并且可以有效地緩解企業信息系統中的安全風險,提高工作人員對與信息安全風險的認識,建立健康的安全風險管理氛圍,推動企業信息化發展。
另外,建議企業在實施信息風險管理的同時,及時建立信息安全風險預警系統,特別要加強網絡與信息系統安全管理,充分發揮技術支撐、機制保障作用,不斷完善預防與搶險相結合,有效地預防和減少信息系統安全事故的發生,保障信息安全穩定運行。
參考文獻:
[1]王淳萱.大數據環境下國有企業的信息安全探析[J].冶金經濟與管理,2016(02).
關鍵詞:信息異化;信息安全;安全保障策略
中圖分類號:G202 文獻標志碼:A 文章編號:1000-8772(2013)09-0170-03
引言
在當前的錯綜復雜的信息環境中,信息隨著信息環境多樣化的發展,變得更加的豐富與多樣。在信息的傳播過程中,信息異化現象的越發明顯,不僅給人們獲取和利用信息帶來了障礙。而且也進一步地影響了人們信息活動的安全。
“異化”(alienation)源于拉丁語alienation,有轉讓、疏遠、脫離、差異和分離之意。所謂信息異化,是指人們創造的信息在生產、傳播和利用等活動過程中,因受到各種因素的干擾,而導致信息喪失原有的內涵,甚至反客為主演變成外在的支配、統治和控制人的異己力量。簡單地說,信息異化就是作為主體的人與作為客體的信息之間產生關系的顛倒,從而使人丟失了自身的主體性。由此可以看出,信息異化扭曲了信息的本質,直接影響了信息的合理利用,而如何客觀的認識信息異化環境,準確處理信息異化問題,是我們必須解決的核心問題。
信息安全是信息異化所涉及到的最為敏感且重要的問題之一。關于信息異化在信息安全方面的研究,其采用的處理手段主要集中在信息導航、信息過濾控制以及信息安全保密角度三個方面。信息導航作為展示信息資源內容與結構的基本手段,以有序化的方式體現無序化的信息,為用戶提供方便快捷的信息指引;網絡信息過濾作為篩選信息、滿足用戶需求的有效方法,通過運用一定的標準和工具,從大量的動態網絡信息流中根據用戶的信息需求選取相關的信息或剔除不相關信息;信息安全保密控制的核心在于融合管理、技術、執法幾種手段綜合加以治理,通過內部網的安全保密技術以及內部網與外部網的防火墻技術隔離技術確保內部網的安全,同時細化電子文件密集,完善身份驗證、存取控制、數據完整性、數據機密性、防火墻技術、安全協議等手段,實現信息安全技術的應用。
現階段對于信息異化中信息安全的研究大多都處于強針對性條件下的研究現狀,單一的目的性導致了信息異化影響無法完全消失,信息污染無法被徹底地清除,信息安全依舊得不到完善的保障。因此,本文旨在參照目前信息異化的現狀處理的不足,在分析現有的安全保障系統缺陷的條件下,提出一套系統性的安全保障模式。
一、現有的企業信息安全保障系統
目前,國內外與信息異化環境下的信息安全保障相關的系統結構主要為OPSEC安全保障策略和網絡信息創新平臺。
(一)安全保障策略(OPSEC)系統
OPSEC安全保障策略(Operation Seeurity),是美國國家安全局依照企業反競爭情報的理念設計的一套以分析信息的價值人手,針對信息的價值來確定所要采取的保護策略的安全保障系統。OPSEC的運行機制是通過鑒別和分析競爭對手想要獲得的決定競爭成敗的關鍵信息,確定關鍵信息的危害程度,采取措施進行補救減少威脅,同時對自身信息系統的所有過程進行檢驗和分析。找到直接危害信息安全的弱點并采取彌補措施,通過對自身弱點的分析,找到彌補措施的平衡點,并最終綜合上述所有的環節進行研究,制定出綜合應對策略嘲。
OPSEC在通過運用過程中通過全面分析信息找出存在的漏洞,通過分析這些漏洞是否值得保護而進行的篩選信息保護。OPSEC的應用偏重于針對一定信息的異化處理和安全保障,有利于在低投入的條件下從根本上清除相關的信息污染,但降低了針對信息自身的多變性和時效性的異化分析。
(二)網絡信息創新平臺模式
網絡信息創新平臺即建立在技術進步基礎之上,利用信息科學的基本原理和方法實現人類信息處理擴展的技術模式。網絡創新平臺的著重點在于虛實與創新有機結合的信息技術模式,從提高信息技術的綜合水平上加強安全保密措施。虛實與創新有機結合的信息技術模式,在于針對現代信息技術發展造成信息生產者創新能力的丟失以及虛假信息擴散的現狀,發展出的一種將虛實和創新有機結合的信息技術模式,通過信息的時效性、開放性等特征,將各種現實信息緊密聯系,實現不同媒介信息的融合,提升信息的創新價值,在信息生產的階段,由于信息技術的促使信息量逐步提升使得信息在急劇增加的同時質量下降,而提高信息技術的信息加工傳遞的速率以及信息的辨別處理能力。當今的技術漏洞使信息安全受到了威脅,成為威脅信息安全的隱患。信息系統安全保密技術是防止信息污染發生的一項關鍵性技術系統,保障信息活動逐步規范化。
網絡信息創新平臺在理論上建立起了針對信息異化環境的信息安全保障系統,通過從信息的生產源人手,進一步體現信息的本質并兼顧自身的安全保障,對信息的處理和安全保障更加規范化。但目前信息安全的發展缺乏在信息安全應用上的創新研究,研究與應用發展不平衡性,沒有覆蓋信息安全的主要方向。
二、企業信息安全保障系統構建與分析
(一)核心目標
信息安全保障系統是指在信息環境下由信息安全的各個組成部分相互聯系且相輔相成所建立的總體結構。在信息異化的環境下,信息污染將成為信息安全的首要威脅之一,因此對于信息異化的處理將成為信息安全保障的首要工作。
信息安全保障系統能否具有可行性的關鍵,在于系統自身能否解決異化環境中信息污染的處理問題,以及能否適應當前所面對的各種客觀的信息安全保障環境和日益加劇的安全系統漏洞。
(二)企業信息安全保障系統結構構建
信息異化環境下的企業信息安全保障系統(如圖1所示),該系統的關鍵在于將異化后的信息通過信息清理模塊的初步處理,使信息的核心價值得以體現,再通過安全保障模塊的核心進行分析處理與安全保護模塊的信息加密,防止信息受到二次異化,從而使得信息價值得到充分的利用。
(三)企業信息安全保障系統的運行機制
信息異化環境下企業信息安全保障系統的運行機制(如圖2所示):將信息異化環境中被異化的信息提取并選擇與自身安全有關聯的信息進行關鍵詞挖掘,通過對異化信息中的核心詞匯進行提取用以找到合適的信息源,同時對同信息源或同類關鍵詞匯進行合成從而形成關鍵信息并進行分析和制定安全保障策略,最后通過設置的保密措施來對安全保障策略進行實施和成效反饋。因此,該信息安全保障系統中應包含信息清理模塊、安全保障策略模塊以及自身的安全保護模塊三個部分。
(四)企業信息安全保障系統功能分析
1 信息清理模塊
信息清理模塊主要用以對信息異化環境中受到異化的信息進行初處理,其具體的實施功能為信息源選取、關鍵詞挖掘和信息集成。
(1)信息源選取。對信息異化環境中的信息進行過濾,選取與目前對自身安全有關的信息,并確認信息的信息源。(2)關鍵詞挖掘。通過對與自身安全相關聯的信息進行語義挖掘,判斷并找出信息中的核心詞匯。(3)信息集成。明確信息的信息源,并將其與被挖掘出來的信息關鍵詞進行關聯分析,同時通過將信息源所發出的所有與自身目前相關的信息與挖掘LIJ的信息關鍵詞進行匹配,找到合適的信息體進行合成。
2 安全保障模塊
安全保障模塊是以信息分析,策略制定和實施以及成效反饋為主要步驟來進行的信息安全保障活動。
(1)信息分析。將已經合成的信息進行分析,發現其對自身信息安全產生的威脅,并找到自身信息安全存在的漏洞。(2)策略制定。對信息威脅和發現的信息漏洞進行綜合研究,制定}H相關補救策略,同時進一步加強總體性的信息安全保障。(3)策略實施。針對所制定的策略細節進行加密保護,再將加密后的策略信息進行實施和傳遞存儲。(4)成效反饋。基于策略實施后的成效進行反饋研究,并將結果進行加密后返送至信息分析功能板塊,通過對反饋的成效分析,查漏補缺,進一步制定和完善信息安全保障策略。
3 安全保護模塊
安全保護模塊的主要功能是保密措施,其運行機制在于對安全保障模塊中保障措施的實施和反饋進行的加密保護,并通過一系列實踐活動進一步對策略的實施給予保障。
三、實驗分析與驗證
(一)信息清理
目前從網絡銷售平臺中,將某手機品牌制造企業生產的E型手機選取三條相關信息:
信息1:本品牌產品本月綜合關注排行有所提升;
信息2:此E型手機的總銷量為近兩百四十臺;
信息3:此E型手機本月銷量上升一個百分點。
(二)信息挖掘與集成
現分別將以上三條信息的關鍵詞進行挖掘與集成,即如下表所示:
(三)安全保障
根據集成信息進行分析,可以得出本產品具有一定的市場潛力,在品牌效應促使下產品銷量也正在逐步提升,因此,保障品牌的可信度以及產品的好評率是取得客戶信任的關鍵一環。針對此現象,制定出進一步打造品牌效應,加強廣告宣傳力度以及實行產品促銷活動,爭取更廣泛的客戶群體的提升策略。
在策略進行的同時,開展有償回訪,積極深入了解客戶的內心需求,并針對客戶的需求進一步完善產品的功能,并在產品平臺的基礎上研發功能更加全面的軟件,進行升級下載。
(四)安全保護
在策略制定的過程中,為了獲取準確的客戶信息。需要在客戶回訪中,深入了解客戶購機的背景以及用途,同時進行多層次的交流以及實行多次的效應評估和完善評價。在品牌宣傳的過程中實施相關信息的及時反饋,并在促銷活動中體現品牌誠信以及公信度,從而進一步保障策略準確的實施和虛假異化信息的有效防范。
四、結論
信息是人及其活動中不可缺少的要素之一。在社會信息環境中,信息異化會促使人們表現出對自己創造的信息環境的不適感。針對信息異化現象的控制,需遵循信息生產、傳播和利用的利他法則。因此,信息行為也必須像其他行為一樣受道德與法律的雙重規范的約束。對于信息異化的控制,需努力尋找其根源,從多個角度進行控制研究,有效控制信息異化。
通過對于目前所提出的信息異化環境下的企業信息安全保障系統的闡述,我們可以從中發現系統性綜合性的信息安全保障模式可以在信息異化的環境下,針對特定的信息進行相關異化分析,并在內部和外部環境下的信息綜合評價進行安全保護。但作為系統性的運作模式,各模塊由于其間特性的不同,從而導致的模塊之間的銜接較為簡單,因而形成了信息安全保護相對較低、對于個別綜合性較大的異化信息所需進行的處理力度略顯不夠的狀況。因此,進一步提升信息安全的防范指數,促進信息異化環境下的信息安全運作系統各模塊間的銜接,下一步所需研究的核心問題。
參考文獻:
[1]劉丹丹,孫瑞英,網絡環境下信息異化的心理原因探析[J]圖書館學研究,2009,33(4)
[2]孫瑞英。信息異化問題的理性思考[J]情報科學,2007,25(3):340-344
[3]曾忠祿,情報制勝[M],北京:企業管理出版社,2000:281-283
[4]俞培寧,信息異化的成因及對策研究[J],圖書館學研究,2011(3):9-11
[5]張立彬,信息異化的根源及其控制研究[J],情報科學,2009,27(3):338-343
【關鍵詞】信息資產;管理;流程;措施
【中圖分類號】F273.4
【文獻標識碼】A
【文章編號】1672—5158(2012)10-0130-01
1 引言
信息資源是指企業生產及管理過程中所涉及到的文檔、數據以及生產和承載數據的軟硬件系統(設備)的總和。國務院頒發的《2006-2020年國家信息化發展戰略》指出:“進入21世紀,信息資源日益成為重要生產要素、無形資產和社會財富”,正式明確信息是一種資產。
信息資產是指由企業擁有或者控制的、能夠為企業帶來經濟利益的信息資源,企業信息資產具有來源渠道多、更新周期快、分布范圍廣、流轉頻率高、公私通用性強、配件調換方便等特點,因此,企業信息資產管理,既有別于傳統意義上的固定資產管理,也不同于ERP(企業資源計劃)、EAM(企業資產管理)等系統中的資產管理概念,它在具備常規企業資產管理特征的同時,更注重于資產的識別及其動態的管理,進而為ISMS(信息安全管理體系)提供準確、可靠的識別信息,為企業信息和承載信息的網絡環境、終端設備及業務應用的安全穩定運行提供基本保障。
2 信息資產管理現狀分析
隨著企業信息化水平的不斷提高,信息資產管理對信息網絡安全管理與信息系統運維管理的影響越來越大。為此,國家電網公司下發了“信息計劃(2008/37號文件”,將信息資產中的物理資產和軟件分為7大類31小類(不包括復印機、照相機、錄像機等辦公設備和移動存儲介質),要求建立包括設備序列號及各種性能參數的資產信息數據庫和設備臺賬,并定期統計、上傳信息資產報表,其目的是實現企業信息資產“賬、卡、物”一致和資產存在狀態“可控、在控、能控”,以滿足信息安全管理需要。
同時,國網公司還通過信息安全技術督查和信息網絡綜合運維監管系統,進一步加強了企業信息資產監管工作力度。盡管如此,我們的信息資產管理還是存在著制度不健全、臺賬不完整、存在狀態不清楚、報表數據不準確等問題,不能滿足企業網絡及信息安全管理需要,主要原因是:
第一,信息資產的所有權與控制權分離,管理手段落后、監管乏力。長期以來,企業信息資產一直是二級單位使用、信息部門統計、財務部門監管,實際上是二級單位在行使常用信息資產的調配控制權。資產管理、統計報表、配置審批相互脫節,管配置的不掌握資產的配置情況和用戶需求,管資產的不知道資產的存量情況和存在狀態,信息管理部門則是無法全面掌握資產的來源、數量、配置及具體使用情況。
第二,信息資產來源渠道多、配置變化快,統計報表不能真實反映企業信息資產現狀。企業信息資產除正常計劃購置外,還有工程項目配套的、業務應用系統建設附帶的、推廣應用項目配備的、工作需要特批的、主管部門下發的、其它費用變通的等等,由于沒有有效的歸口管理制度和專職信息資產管理人員,信息管理部門不能完全掌握資產來源情況,現有信息資產報表不能真實反映企業信息資產的實際情況,更不能為信息安全管理提供準確、可靠的數據保證。
第三,信息(數據庫和數據文件)管理近乎空白,企業數據資源浪費嚴重。現行的信息資產管理還局限在物理資產(含軟件)管理的層面上,對其它資產,尤其是最為重要的資產——信息的管理,還沒有納入信息資產管理工作中。企業信息化過程中產生的大量運行數據,大都是根據業務應用情況分別存貯,作為歷史數據保存下來,并形成一個個信息孤島。業務系統升級或更新改造后,許多歷史數據沒有導入新系統,而是隨著原系統的報廢而被束之高閣,并將隨著業務管理人員的更新和時間的流逝而被遺棄。
3 規范管理信息資產的具體措施
規范信息資產管理流程、完善信息資產管理措施,是提高信息安全技術督查管理水平、提高企業信息網絡安全可靠性的基礎和保證。
3.1 健全制度、規范流程是信息資產“可控、在控、能控”的保證。
根據國網公司資產全壽命周期管理、信息系統運行維護工作規范、信息資產統計報表、信息安全督查規范等文件要求,梳理工作內容與管理流程、明確崗位職責與業務關系,建立以“信息資產數據庫”為核心、信息管理部門歸口負責、專人管理的企業信息資產管理與考核體系,明確相關部門的職責、權限和義務,確保信息資產管理部門與物資采購、財務核算、人力資源、系統運維等部門齊抓共管、密切配合,實現企業信息資產管理與“人財物集約化”、“信息網絡綜合運維監管系統”的在線聯動、信息共享。
3.2 集中管控、統一調配是信息資產臺賬準確、“賬、卡、物”一致的關鍵。
企業信息資產集中管控、歸口管理、統一調配,二級單位或個人只有使用權沒有調配權,用戶對所用資產安全負全責。作為日常辦公工具,信息資產落到個人賬上,直至達到報廢年限、履行報廢程序后,再以舊換新;使用人調換工作崗位后,所用信息資產隨人同時調轉;特殊情況需要增減配置時,必須履行簽報審批程序并按規定調配;使用人退休或調離本企業前,必須履行信息資產移交簽字程序,否則人資管理部門不得辦理退休或調離手續。
新增加的信息資產嚴格履行申報登記制度,不管是那條渠道進來的信息資產,到貨驗收單和使用分配表均須到信息資產管理部門登記造冊,保證信息資產數據庫的完整性、信息資產臺賬的準確性和“賬、卡、物”的一致性。
3.3 科學管理是降低信息網絡安全風險、提高運維水平的基礎。
信息網絡安全督察和信息系統運維管理需求的日益增長,對信息資產的管理提出了更高的要求。信息資產管理除實現資產基本特性、物理位置、管理責任的登記造冊與統計查詢外,還應該反映信息資產的邏輯位置、關聯關系、存在歷史、當前狀態、最終去向等管理屬性。只有將常規的平面管理方式提升到現代的立體管理方式,才能使信息資產管理與信息網絡安全技術管理相輔相成,從而有效降低網絡及信息安全風險、提高信息網絡運維管理水平。
3.4 數據應用是企業信息化的根本目的、是信息資產管理的更高目標。
有形資產的購置和維護需要成本,信息(數據)的獲取和存貯也需要成本。在加強物理信息資產管理的同時,加速研究、制定企業數據(數據庫和數據文件)資產的管控制度,將其與物理資產一樣管理,并通過對此類資產的開發利用,為企業創造效益。應在完成企業數據總體規劃的基礎上,規范企業數據庫內容及其管理措施;業務應用系統投入運行后,必須建立包括數據庫結構、存貯格式等屬性在內的數據管理檔案;業務應用系統升級或更新改造后,必須將原系統運行數據全部導入新系統中,保證企業數據的連續性和完整性;建立信息資產管理與企業數據的關聯關系,以提高數據檢索和查閱效率。企業數據的共享和有效利用,是企業信息化建設的根本目的,也是信息資產管理的更高目標。
4 結語
隨著全球“數字化”及“物聯網”的快速發展,國家電網公司也加快了“數字電網”和“智能化電廠”的建設步伐,企業信息資產將再次急驟增加,相應的信息安全管理和信息系統運維任務也會更加繁重。因此,建立健全信息資產管控制度,明確信息資產管理流程,強化企業數據等無形資產的管理與利用,實現信息資產管理的制度化、程序化、規范化,既是企業信息網絡安全和信息系統運維管理的需要,更是企業信息化發展和“數字電網”建設的必然。
參考文獻
[1]《國家電網公司資產全壽命周期管理評估指標體系》
[2]《關于開展國家電網公司信息系統設備(軟件)統計工作的通知》
一、加強企業信息網絡安全優化的重要性
1.1提升現代企業的管理質量
在現代企業的發展過程中,信息安全具有不可或缺的重要作用。因此,加強現代企業信息網絡安全優化管理,可保障企業信息的安全性和真實性,同時也可保障現代企業信息系統的可用性和機密性。企業信息網絡的安全性得以保障,可為信息系統工作質量提供重要的參考數據。此外,信息網絡管理人員要對信息網絡優化和管理中體現出的實際問題進行總結,并針對信息系統管理中反饋出的實際問題,在企業內部制定針對性的應對方案和措施。最終,接提升現代企業的管理質量,提升整體管理水平。
1.2為現代企業獲得更大的經濟利益
任何一個企業發展的最終目的均為獲得經濟利益,利潤是企業發展的主要動力。作為現代企業而言,保障企業的信息安全,并保障信息系統的正常運行,方可在有效安全技術的支持,為企業后期發展創造更大的利潤空間。通過對企業近年來的發展情況進行分析和總結,利用數據和統計分析的方法,為企業的發展制定全面的發展方案[1]。同時,在進行數據分析和總結的過程中,可及時發現企業發展中存在的問題,并針對具體存在的問題,提出針對性的解決對策,保障現代企業獲得更大的經濟利益,獲得更大的利潤空間。
二、現代企業信息網絡中存在的安全問題
2.1企業信息網絡安全管理制度不健全
縱觀目前我國現代企業的信息網絡安全管理現狀,仍存在較多的安全問題,其中,最為顯著的安全問題就是企業內部尚未建立健全的網絡安全管理制度。管理制度的不健全勢必造成企業信息網絡安全出現問題,例如,企業的網絡管理工作中頻繁出現違規操作的現象,造成信息網絡的正常運行受到影響。
2.2企業信息網絡安全管理人員的綜合素質相對較低
從現代企業的網絡安全人員配置上看,大部分現代企業在發展過程中仍存在技術人員缺乏的現象。企業在缺乏專業的技術人員和管理人員,導致企業在發展的過程中難以及時發現信息網絡中存在的問題和漏洞。在網絡信息技術不斷發展的當今社會,企業信息網絡安全面臨著新的發展機遇[2]。當一些先進的技術、管理方式和操作方式引入到企業中,而企業內缺乏相關的專業人才,將造成企業信息系統的安全性和操作規范化受到影響。因此,現代企業的發展過程中,需要解決信息網絡安全管理人員專業技能差、綜合素質相對較低的問題,保障網絡管理人員可及時解決信息系統在安全維護方面的問題,方可促進現代企業的全面發展。但就目前我國大部分企業的信息網絡安全管理人員配置情況上看,解決此問題仍需要經歷較長的一段時間,也需要企業付出更多的精力和財力。
2.3尚未制定完善的網絡安全事故應急處理預案
在現代企業的發展過程中,加強對企業信息和信息系統安全運行的管理至關重要。企業出現網絡信息安全是不可避免的,但企業可通過分析總結出現信息網絡安全問題的原因,制定針對性的解決對策,預防信息網絡安全事故的發生。但縱觀現階段我國大多數企業的發展現狀,大多數企業僅僅意識到了加強網絡信息安全管理的重要性,但并未在實際行動上體現出來。通過對現代企業的調查,發現大部分企業尚未制定完善的網絡安全事故應急處理預案,當信息網絡安全事故發生后,企業在面對安全問題上顯得手足失措,難以有效應對。而這樣的問題,對于信息網絡的安全維護和安全管理而言,將造成較大的負面影響,不利于現代企業的長足發展。
三、實現現代企業信息網絡安全優化的策略
3.1加強現代企業信息網絡系統的規范化管理
在現代企業信息網絡安全管理中,要實現企業信息網絡的規范化和系統化,首先需要在企業內部制定嚴格的責任管理制度,加強安全管理。在網絡管理中,通過建構多層防御和等級保護體系,加強對信息網絡安全的控制和規范化管理。與此同時,企業要在現代化的發展過程中,要保障自身信息網絡系統的安全性,要加強對網絡性能的檢測力度,并將外網和內網進行有效隔離[3],為信息網絡系統提供安全管理,并在企業的各部門實現信息系統安全管理。
3.2提升現代企業信息網絡管理人員的綜合素質
在現代企業的發展過程中,信息網絡安全優化和管理是一項相對較為復雜且系統的工作。因此,在信息網絡安全優化中,網絡管理人員的專業能力和綜合素質對安全優化管理的工作質量均可產生決定性作用。這則要求企業要對信息網絡管理人員進行定期培訓,通過在企業內部開展培訓項目可使管理人員的管理能力提升,同時也可培養網絡安全管理人員嚴謹的工作態度,讓其意識到信息網絡安全優化工作的重要性和必要性。與此同時,現代企業還可組織相關技術人員和專家,對企業信息網絡安全優化的相關措施進行專題分析。通過系列的專題分析,可了解企業信息網絡運行的實際情況,從而激發現代企業網絡管理人員的工作熱情和工作積極性。最終,可提升網絡管理人員的綜合能力,提升現代企業信息網絡安全管理質量,提升整體管理水平。
3.3制定企業信息網絡安全事故的應急方案
現代企業在發展的過程中,難免會遇到各種各樣的信息網絡安全問題。鑒于此種情況,不僅要提升網絡管理人員的綜合素質,加強對信息網絡的規范化管理。還需要針對企業自身的信息網絡安全管理現狀,制定完善的現代企業信息網絡安全事故應急預案。在制定應急預案的過程中,企業要將目標性、針對性、合理性以及全面化、規范化等特征融入其中。同時,在信息網絡的運行過程中,要針對具體的運行情況,適當增加安全事故模擬演習和模擬訓練等,提升信息網絡管理人員的警惕性,保持認真的工作態度。只有在日常工作中,加強管理和訓練,方可在事故發生時從容應對,最大限度降低信息網絡安全事故對現代企業信息安全和自身發展造成的負面影響。
電力企業使用的各種應用軟件都有可能存在一定的設計缺陷,這些缺陷通常稱之為漏洞。很多的黑客就是利用這些漏洞對企業的應用信息網絡實施攻擊,而很多的電力企業的局域網和國際互聯網是隔離的,這就造成企業的電腦應用軟件系統不能及時更新,漏洞不能第一時間修復,一旦木馬通過移動存儲設備入侵,就會造成難以估量的損失。
1.1電力企業的系統備份缺乏應用經驗
當前很多的維護人員對企業重要信息數據普遍采用每周備份,每星期對數據進行一次刻錄備份,而在實際的應用過程中,備份的信息數據只有在不斷訓練中才能保證及時有效應用。但是,從工作實際來看,備份恢復操作演練要比備份本身復雜得多,很多的維護工作人員寧可選擇每天備份,也不情愿組織一次數據恢復訓練。信息安全網絡應該是在建設、運行、維護和管理這幾個方面相互結合而的。信息安全是降低其企業風險和減少成本的一個必要的環節。
2.電力企業信息安全與管理問題對策探析
電力信息安全管理是一個技術和管理相互結合的一個問題。除了技術手段啊之外還需要落實安全管理。不斷提升企業的信息安全防護等級,緊盯當今世界信息安全防護領域的發展和技術突破,運用先進的信息技術來應對可能出現的安全問題,制定明確的安全防護策略和制度,確保信息安全有制度保障。根據著名的木桶原理,企業信息安全的隱患不在信息的優勢環節,而在企業最為薄弱的管理應用環節。立足信息管理的現狀和時展需要,盡快構建高效安全的綜合性信息安全管理防范體系。
2.1健全電力企業的安全管理與考評機制
在很多的企業、事業單位了,一直都流行并經常驗證著這樣一個名言:“三分技術七分管理。”從技術的角度來看,防范一般都是已知的各種安全問題和威脅,三分技術;從管理的角度來看,工作是人的工作,人的工作是活的工作,人的工作具有很大的不確定性,這都給安全管理帶來諸多的不確定性,管理都是針對人,無論才能哪種安全管理制度來約束,還是使用一定的技術手段來要求限制,目的都是要約束人的行動,規范人的行為,盡可能不給安全威脅以任何機會。為此,就要建立切實可行并認真執行的引進標準、風險評估、技術應用等技術管理機制;通過實行崗位安全責任制,嚴格明確各方的安全責任,依照法律規定和安全生產標準來建設信息系統和制定管理制度。并定期或不定期開展自查、自評、督查、考評等,把電力企業的安全責任嚴格落實到人,并將企業信息安全與管理和年讀考評直接掛鉤,確保制度健全,落實到位。這樣每個人都可以清楚的了解自己的職責所在的,員工都會積極的參與到信息安全管理之中。
2.2建立健全“長治機制”,做好信息安全教育培訓
電力企業信息安全管理是一項長期系統工程,需要常抓不懈,警鐘長鳴,不能風過無形,流于形式。重在落實,長期堅持,永不松懈。電力企業進行信息安全教育培訓是確保信息安全的又一重要保障。對企業員工的教育和技術培訓直接關乎安全的重視程度和執行效果。只有不斷加強教育,才能引起員工對信息安全的足夠重視,只有不斷及時培訓,才能保證員工在技術上有可靠保障。為此,電力企業應建立一整套較為完善的信息安全培訓體系,制定翔實的技術培訓計劃,增強員工的安全意識,提高企業的應對水平。建立信息網絡安全按的一個組織系統,控制和開展信息安全的管理權限,并且積極學習關于信息安全的專業知識組建可行性的信息安全系統。
2.3規范使用各種移動存儲設備
由于現在各種移動存儲設備已經普及,使用的頻率非常之高,各級主管部門必須根據實際情況進行綜合管理和教育培訓。不可能禁止使用,又不能讓這些設備濫用。最好的辦法就是對員工進行積極教育培訓,引導員工科學、適時使用移動存儲設備,首先讓員工明白,使用移動存儲設備可能帶來的安全隱患,引導員工減少使用次數,增強安全意識;其次,進行技術培訓,引導員工按照插拔要領進行操作,使用讀寫開關和加密功能,定期進行病毒查殺,使用設備不得違反信息安全的管理制度等等。力爭員工養成良好的使用習慣,做到妥善保管,操作規范,嚴禁外借,及時殺毒,做好雙備份等。
3.結束語
關鍵詞:信息化建設;計算機技術;應用實效
前言:
在2015年兩會上提出中國未來企業發展趨勢將為“互聯網+”的模式。隨著互聯網技術的不斷使用,計算機技術逐漸深入到各企業內部,并得到廣泛應用。因此,在未來企業信息化建設中企業應更加重視計算機技術的應用,為企業的生產和生活提供有力的信息化技術保證,從而使企業能夠可持續發展。
一、企業信息化建設的現狀
從2013年12月~2014年12月我國網絡使用人群(網民)規模從3.78億人增長到8.76億人,互聯網在全國人民中普及率達到69.12%,比上一年增長21.03%[1]。與此同時,互聯網在我國企業發展中的使用數量也逐年增長,到2013年底我國大、中、小型企業中86.12%的企業使用互聯網,將計算機技術應用于企業中。截止到2014年底我國大、中、小型企業計算機技術的使用率同比2013年增長12.32%,也就是說在2015年中國各大、中、小型企業都在進行企業信息化建設,并將計算機技術應用于企業信息化建設發展中[2]。相比于小型企業計算機技術的應用率,大型企業在信息化建設中的應用率更高,我國大型企業通過近幾年企業信息化的發展,已經全部步入信息化,完成企業科學管理。
二、計算機技術在企業信息化建設中主要技術手段
(一)信息技術統計技術
企業信息化建設離不開大數據的支撐,作為信息“大爆炸”的產物,大數據的出現對企業信息化建設提出一定考驗,充分考量著企業對數據信息的處理能力。信息統計技術在企業信息化建設中的運用,主要表現在對海量數據的收集、整理與統籌優化。基于網絡數據大流量表達方式的基礎之上,將企業所需信息進行整合與過濾,為企業決策留住高效信息。
(二)企業信息安全技術
基于宏觀角度分析,當前企業在信息化建設開展的過程中,信息安全影響因素屢見不鮮,造成企業內部出現大量的信息安全問題。針對這一問題,企業信息安全技術的運用,對提高企業信息安全程度以及等級效用明顯。對于信息安全技術而言,主要包括訪問控制、防火墻控制以及信息加密等。1.訪問控制訪問控制是網絡安全防范與保護的重要策略,同時也是當前企業應用相對廣泛的安全技術手段之一。訪問控制技術,主要任務是保障網絡資源的安全性,避免被非法使用與訪問,對維護企業自身網絡體系安全以及保護網絡資源十分重要。訪問控制涵蓋的范圍相對廣泛,該安全技術通過制定出系統性的方案,將標識當中的功能進行描述,形成組織并托管,將企業所涉及到的數據及資源進行整合,將接口端與權限引擎相結合,給出權限功能,回答的方案包括有、沒有以及故障等因素。2.防火墻控制防火墻是近年來發展起來的一種能夠充分的維護計算機網絡安全的技術性措施,根本目的是維護網絡安全,對黑客行為建立屏障及規范。同時,防火墻控制技術,能夠對通信系統的進出門檻設置。進而在邊界建立通信監控系統以及隔離內部與外部網絡,最大限度上的阻擋外部網絡方面的侵入。當前所產生的主流防火墻技術,具體包括三種類型:過濾防火墻、防火墻、雙穴主機防火墻。3.信息加密企業信息化建設主要是針對信息因素進行管理與應用,當前在具體應用的過程中,信息加密的根本目的是保護網內數據、文件、口令以及控制信息等,確保網上傳輸的具體數據。網絡加密在企業信息管理方面的應用,主要包括加密的常用方式,包括鏈路加密、端點加密以及節點加密方法三種[3]。
三、計算機技術在企業信息化建設中具體應用
(一)在企業日常管理中的應用
當前企業已經初步形成信息化建設體系,企業對計算機技術方面的要求較高,強調網絡制度對企業信息化建設的重視程度。企業信息化建設的是指因素,則是通過計算機對企業網絡定期維護以及日常事物方面的管理進行充分研究,掌握企業生產過程、事物處理、現金流動以及客戶交易等多方面的內容,在完成整合與處理之后,制定具備針對性的措施。在有關信息整合以及提供決策之后,能夠滿足自動化以及遠程控制指標,例如對制造企業而言,日程管理方面工作流程的優化,在信息化自動控制以及網絡技術幫助下,能夠對整個生產流程進行全面監督,為產品質量提供基礎保障。
(二)在企業生產經營中的應用
計算機技術在企業信息化建設方面,對企業自身生產經營的有效規范能夠最大限度上提升經營成果,使得企業生產經營的各項流程得到優化。諸如對事物決策以及數據管理系統方面等計算機應用技術的內容,提高企業對數據收集的效率及速度,滿足企業對生產經營數據的加工與整合,最大限度上的提升信息精準度。企業生產經營活動,是一個有機整體,各個體系的充分融合能夠發揮出實效性。基于此,在計算機技術在信息化建設方面的應用,應該結合自身實際情況,將信息各項基本形式進行高效管理,例如對電子文檔、視頻文件、電子郵件以及多媒體信息等,將現代化辦公與計算機技術相結合,推動企業生產經營活動的快速發展。
總結:
通過全文對計算機技術在企業信息化發展中應用的討論,不難看出,計算機技術的應用,是企業信息化發展的重要手段。在企業信息化發展中要合理利用計算機技術,將計算機技術應用于企業整體工作流程中,從而推動企業實現全面信息化建設。研究結果表明,此次對計算機技術在企業信息化中的應用,效果明顯,實效性較強。
參考文獻:
[1]王冰.企業信息化規劃方法研究與應用[J].河北企業,2015,01(05):18-19.
關鍵詞:電力;信息化;安全問題
1 電力系統網絡信息安全的概述與現狀分析
電力系統的信息安全不僅可以保障電力生產運行的安全性,還是電力企業對用戶供電可靠性的重要保證。電力系統網絡信息安全是一項涉及到電力的生產、經營和管理等多方面的系統工程,它控制著電力系統中電網調度自動化、繼電保護裝置自動化、配電網自動化、變電運行智能化、電力負荷控制、電力市場交易以及電力營銷等環節性能的正常發揮。根據電力工業的特點,再結合電力工業信息網絡系統和電力運行實時控制系統,對電力系統信息安全問題進行分析,發現許多電力系統中的信息工程沒有建立一個完整的安全體系,只是以防病毒軟件和防火墻來作為安全防護,有的甚至連信息安全防護設施也沒有,從而給電力系統網絡信息安全埋下了許多安全隱患。針對此現象,電力企業必須盡快對電力系統建立一個計算機信息安全體系以保護電力系統網絡信息的安全。
2 電力企業網絡信息安全問題概述
2.1 電力企業中信息化部門的建設不健全
在電力企業中,電力信息部門沒有受到應有的重視,它既沒有配備專門的機構設施,也沒有設立專門的崗位進行作業,更沒有規范的制度進行管理,從而根本無法滿足電力系統信息化對人才和機構的要求。
2.2 電力企業的信息化管理還跟不上信息化發展的速度
信息技術在電力系統中的應用與發展已越來越廣泛,然而電力企業針對電力信息化的管理還比較落后,無法跟上發展速度,從而導致信息系統的功能無法完全的發揮出來,對電力系統的作用也不盡如意。
2.3 電力企業安全文化建設中網絡信息安全管理所處的地位不恰當
現在,信息安全管理在電力企業安全文化建設中仍然是處于從屬地位,從而阻礙了信息安全在電力行業中的發展。因此,電力企業要重視信息安全管理的發展,使其成為企業安全文化的中堅力量。
2.4 電力企業網絡信息安全中存在著多方面的風險
電力企業網絡信息和其他的企業網絡信息一樣,存在著多方面的安全風險,例如:網絡結構設計不合理的風險、來自互聯網的信息干擾風險、來自企業內部的操作不當風險、病毒的侵害的風險、管理人員素質低風險、系統的安全風險等。
3 電力企業網絡信息安全問題的原因分析
3.1 電力企業對網絡信息安全防護的意識薄弱且管理不夠
技術人員對電力系統網絡信息的安全意識薄弱,經常性的忽視了對其安全性的管理與防護,并且電力企業更側重于網絡效應,對信息安全的重視還遠遠不夠,管理和投入也達不到安全防范的要求。因此,電力企業的網絡信息安全一直都處在被動的封堵漏涮狀態。
3.2 電力企業中網絡信息安全的運行管理機制不完善
現今我國電力行業中對電力系統的運行管理機制還存在著一些缺陷和不足,如網絡安全管理方面的人才欠缺、網絡信息安全防護措施的不完善及實施不到位、缺乏綜合性的安全解決方案。
4 電力企業網絡信息安全管理內容的介紹
4.1 網絡信息安全風險的管理
對于網絡信息安全風險的管理首先得識別企業的信息資產,再對威脅這些資產的風險進行預估與統計整理,最后假定這些風險的發生給企業所帶來的災難和損失進行評估,從而達到對風險實施降低、避免、轉嫁等多種管理方式,為管理部門企業信息安全策略的制定奠定基礎。
4.2 企業信息安全策略的制定
信息安全策略要作為電力企業安全管理的最高方針,它的制定必須由企業的高級管理部門進行審核通過,并要以書面文檔的形式進行保存與企業員工之間的傳閱。
4.3 企業員工的網絡信息安全教育
信息安全意識和信息安全管理技能的培訓是企業安全管理中的重要內容,其實施的力度將直接影響到企業安全策略的認知度和執行度。因此,電力企業的高級管理部門要對企業的各級管理人員、技術人員以及用戶等多加開展安全教育活動,使他們能夠詳細的了解企業信息安全策略,并執行到位,從而有效的保證電力企業網絡信息的安全。
5 電力企業網絡信息安全問題的解決措施
5.1 加強電力系統網絡信息的安全規化
企業網絡安全規劃的目的就是為了對網絡的安全問題有一個全方位的認識與了解,培養人們能夠以系統的觀點去考慮與解決安全問題。因此,電力企業要加強對電力系統網絡信息安全的規劃,建立一套系統全面的信息安全管理體系,從而達到對網絡信息安全的有效管理。
5.2 加強電力企業信息網絡安全域的合理劃分
電力企業的信息網絡實施的是特理隔離法,因此在其內網上要加強安全域的合理劃分。這就需要結合電力系統的整體安全規劃和信息安全密級進行邏輯上的安全域劃分,其一般劃分為核心重點防范區域、一般防范區域和開放區域,其中的重點防范的區域是電力企業網絡安全管理的中心部分。
5.3 加強企業信息安全管理制度的建立
電力企業網絡信息安全的管理需有安全管理制度作為其基礎與依據。因此,要加強對電力企業信息安全管理制度的建立并將其落實到位,例如,加強企業對網絡信息安全的重視程度,加強網絡安全基礎設施和運行環境的建設,堅持安全為主、多人負責的管理原則,定期進行安全督導檢查。另外,還需加強電力系統運行日志的管理與安全審計,建立一套企業內網的統一認證系統,以及建立一套適合電力企業的病毒防護體系等。
5.4 加強企業工作人員的網絡信息安全教育
加強企業工作人員的網絡信息安全教育對電力企業的信息化安全來說也十分重要。企業在開展網絡信息安全教育工作時要注意其層次性,特定人員要進行特別的安全培訓。對信息安全工作的高級負責人和各級管理員的安全教育工作重點是要加強他們對企業信息安全策略和目標的充分了解,加強他們對企業信息安全體系和企業安全管理制度的建立與編制工作的完成。對于信息安全運行的管理維護人員的教育工作則是要加強他們對信息安全管理策略的充分理解、安全評估基本方法的熟練掌握、安全操作和維護技術運用能力的大力提升。對于那些關鍵、特殊崗位的人員可以將他們送往專業機構進行專業特定的安全知識和技能的學習和培訓。
6 結束語
電力網絡信息安全的管理問題是一個全面系統的工程,網絡上的任何一處風險都有可能導致整個電力網的安全問題,我們要用系統的觀點進行電力網絡安全問題的分析與解決。網絡信息安全問題的解決可以利用行政法律手段和各種管理制度以及專業措施來進行,其中技術與管理相輔相成。電力系統網絡信息安全問題的解決需建立一個有效的運行管理機制,加強網絡風險的認知和人員安全意識的培訓,將有效的安全管理貫徹落實到信息安全中來。另外,在電力企業中建立安全文化,并將網絡信息安全管理在整個企業文化體系中貫徹落實好,使其成為中堅力量才是電力信息化安全問題的最基本解決辦法。
參考文獻
[1]周冰.電力信息化切入核心[J].信息系統工程,2003.
