時間:2023-10-12 09:41:42
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇企業信息安全意識,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
關鍵詞:企業 文化建設 信息安全
世界上每分鐘就有2家企業因為信息安全問題倒閉,而在所有的信息安全事故中,只有20%—30%是因為黑客入侵或其他外部原因造成的,70%—80%是由于內部員工的疏忽或有意泄露造成的,同時78%的企業數據泄露是來自內部員工的不規范操作。根據GooAnn的《2011年度中國企業員工信息安全意識調查報告》結果顯示,對于目前有效保護企業和組織信息安全面臨的最大障礙,受訪者認為最大的障礙是普遍缺乏信息安全意識。因此,提高全員的信息安全意識應該擺到企業和組織信息安全建設的議事日程上來。
意識是人腦的機能對客觀事物的現實反映,意識的存在會對事物發展進程起到巨大的促進或阻礙作用。所謂安全意識就是人多種意識當中的一種,是人所特有的對安全生產實現的心理反應,是人的大腦對安全的認識和理解而產生的各種思維,是公司領導到每一位員工對企業信息安全方面的認識和理解,它和安全認識緊密聯系,其核心是安全知識,沒有安全知識就談不上安全意識。人的安全意識的實現既要通過思維來獲得,也要通過感知來獲得。安全意識對生產活動、進行安全操作有調節作用;反過來,生產活動也影響著人的安全意識的形成。
要解決公司存在的問題,僅僅靠技術手段和制度約束是不夠的,必須發起一場聲勢浩大的思想上的變革,才能奠定公司長遠發展的文化基礎。公司的價值觀要能夠深入人心,使廣大員工產生共鳴;注重個體成長,營造輕松、關愛、嚴謹的工作和生活環境,讓員工從內心認可公司是自己的依靠。
實踐證明,企業文化既是文化創新的重要內容,又是經濟發展中最具活力的因素。加強企業文化建設,就一頭抓住了發展先進社會生產力這個基礎,另一頭抓住了發展社會先進文化這個樞紐,有利于促進社會生產力的快速發展,有利于促進全社會思想道德水平和科學文化素質的提升,從根本上說,有利于服務社會、服務職工。一個企業如果沒有靈魂,就不會有活力,更不會有競爭力和戰斗力。
為了提高安全意識,我們就要從安全知識著手。這些知識可以表現為法律法規、規章制度、體系程序、安全圖例圖畫和技能教育等。我們在日常生產活動中利用這些知識來指導和約束生產行為,并對生產活動中的偏差和事故案例產生感知,從而反過來增加了員工們的糾偏知識和預防知識。我們在工作中只有有了安全意識,才能決定我們的工作行為,長期嚴格地利用正確的安全知識來指導行為,并形成習慣,這就是我們常說的安全行為習慣。因為我們知道意識決定行為、行為決定習慣、習慣決定的素質、素質決定了我們的命運,用我們良好安全意識來掌控我們的命運。安全意識的培養是一個系統的工程,其中安全知識或安全信息貫穿著安全管理的始終。以下我們系統地分析一下如何提高員工安全意識:
一是繼承傳統文化的精髓,從思想層面上提升員工信息安全意識。認為:“人們自己創造自己的歷史,但他們并不是隨心所欲地創造,而是在直接碰到的從過去繼承下來的條件下創造。”中國企業文化建設也是這樣,它應該是在傳統文化的基礎上進行增值開發,否則企業文化就會失去存在的基礎,也就沒有生命力。增值開發就是對傳統文化進行借鑒,棄其糟粕,取其精華。在增值開發的過程中,要使員工產生強烈的主人翁意識,促進其從思想上主動維護好企業的信息安全。
二是發展靈活多樣的形式,從工作層面上提升員工信息安全意識。與國外企業相比,我國企業員工的信息安全意識相對薄弱,對企業員工的信息安全培訓形式相對單一,更為嚴重的是部分管理者甚至認為這種培訓一次就夠了。僅僅是將枯燥的條條框框翻來覆去的宣傳,采取單一而又枯燥的填鴨式的課堂培訓,員工不但不會去理睬,還會覺得非常反感。針對現實中存在的問題,我們應該發展形式多樣、內容豐富的培訓方式。例如:信息安全意識Flash短片,信息安全手冊,鼠標墊,海報,電子報等形式,寓教于樂、潛移默化地提高員工的信息安全意識。只有提高了員工的信息安全意識水平,才能真正地提升整個企業的信息安全水平。
三是構建全面立體的體系,從體制層面上提升員工信息安全意識。“無規矩不成方圓”。目前,中國企業中絕大多數缺少全面化、立體化、全過程的員工信息安全意識的體系建設,對員工信息安全意識方面的培訓具有隨意性,為此,亟需建立這方面的體系。提升企業員工信息安全意識這項工作不是一朝一夕,三分鐘熱度就能完成的,要有體系的規范,有制度的約束。企業要結合自身的發展特點,構建符合自身需求的員工信息安全意識的體系建設,從體制層面對提升員工信息安全意識提出客觀要求。
企業文化是實現企業可持續發展目標的有力保證。企業文化建塑的根本目的,就是用文化力激活生產力,增強凝聚力、執行力和創造力,進而提升企業核心競爭力。“人類因夢想而偉大,企業因文化而繁榮。”一個成功的企業,必須致力于企業文化的建塑,必須千方百計地提升企業員工的信息安全意識,如此才能在激烈的市場競爭中占有一席之地,才能實現全面、快速、可持續的發展。
一、信息化安全管理制度不夠完善
由于我國信息化建設起步較晚,我國中小企業相較于西方發達國家信息建設程度還有所欠缺。企業內部對于信息安全管理缺乏科學的規章制度,難以做到信息合理有效的安全防護。安全管理制度的不完善導致了各項制度之間出現混淆,安全職責定位不夠明確,安全問題出現無從追求,這種現象在中小企業信息泄露中時有發生。
二、缺乏相關技術人才
大部分中小企業由于對信息安全管理重視程度不夠,投入力度較輕,導致安全管理出現盲區。信息安全建設過程中對于相關人才的培養力度不夠,企業內部缺少專門的技術人才對安全管理盲區予以修復,進而導致信息泄露。
三、中小企業信息化安全管理完善措施
(一)強化信息安全意識。企業信息安全是企業健康平穩發展的基礎,由此中小企業內部每個員工都應該予以承擔相應的義務和責任。強化員工對于信息安全的意識,相比于技術安全更值得重視[2]。所以,企業內部必須強化員工信息安全意識,營造內部良好的安全意識氛圍,提升員工信息安全防護能力。
(二)完善安全管理制度。有效地安全措施離不開科學的安全管理制度,企業需要強化制度建設力度,做到安全管理有章可循,對于企業內部用戶相關信息權限予以限制,明確,減少個人操作可能引發的信息泄露風險。在企業不斷發展的過程中,制度應隨著企業發展而創新升級,以滿足企業發展的需要。
(三)重點培養信息安全管理人才。任何一個企業發展的根本動力都是人才的支持,優秀的人才能夠促進企業內部穩定,工作效率提升,企業發展收益增強[3]。在企業發展過程中,安全管理盲區需要相應的技術人員進行定期檢查,維護,針對存在的安全隱患及時有效地解決,規避風險的發生。
四、結論
綜上所述,中小企業是我國市場經濟體制的重要組成部分,是動力先驅,能夠極大的促進我國社會主義發展進程,對緩解社會就業壓力和社會穩定具有一定的積極意義。目前我國中小企業在發展過程中,安全管理盲區方面仍然存在著部分盲區,造成企業信息的泄露,由此針對其中存在的問題提出合理改善措施,對促進我國中小企業可持續發展具有深遠的影響。
作者: 楊俊 涂春仁 鄭康維 幸小基
一、外部因素
目前,企業信息系統中的威脅主要來源于外部因素,隨著社會的快速發展,在激烈的市場競爭中信息占有非常重要的位置,有很多不法分子會想方設法的利用各種手段竊取企業信息,最終獲得經濟效益。還存在部分企業在與對手競爭中為占取有利位置會采取不正當手段獲取對方企業信息,最終達到擊敗對方的目的。目前在國內黑客人侵企業網絡的主要手段有直接進攻企業信息系統和傳播病毒兩種。
二、當前企業信息化建設中完善信息安全的對策
(一)樹立正確安全意識企業在信息化發展的進程中,應意識到企業信息的安全問題與企業發展之間存在的關聯性。一旦企業的重要信息被竊取或外泄,企業機密被泄漏,對企業所造成的打擊是非常巨大的,同時也給競爭對手創造了有利的機會。因此樹立正確的安全意識對于企業是非常重要的這樣才能為后面的工作打下良好的基礎。
(二)選擇安全性能高的防護軟件雖然任何軟件都是有可以破解方法的,但是對于安全性能高的軟件而言,其破解的困難性也隨之增加,所以企業在選擇安全軟件時應盡量選擇安全性能高的,不要為節省企業開支而選擇性能差的防護軟件,如果出現問題其造成的損失價值會遠遠的大于軟件價格。
(三)加強企業內部信息系統管理首先,對于企業信息系統安全而言,無論是使用哪種安全軟件都會遭到攻擊和破解,所以在安全防御中信息技術并不能占據主體,而管理才是信息安全系統的主體。因此建立合理、規范的信息安全管理體質對于企業而言是非常重要的,只有合理、規范的管理信息,才能為系統安全打下良好的基礎。其次,建立安全風險評價機制。企業的信息系統并不是在同一技術和時間下所建設的,在日常的操作和管理過程中,任何系統都是會存在不同的優勢和劣勢的因此企業應對自身的信息系統做安全風險評估,根據系統的不同找出影響系統安全的漏洞和因素,并制定出詳細的應對策略。
(四)加強網絡安全管理意識首先,網絡安全管理部門應樹立正確的網絡安全觀念,加強對網絡安全的維護,在企業人員培訓中加入對人員的網絡安全培訓,從而使企業工作人員自覺提升安全防范意識,擺脫傳統的思維模式,突破網絡認識誤區。加強對對網絡黑客尤其是未成年人黑客的網絡道德和法律教育,提高他們的法律意識,從而使他們自覺遵守網絡使用的法律法規。其次,應當利用合理有效的方式普及對全體員工有關于網絡法律法規及網絡知識的教育,以提高他們的網絡安全意識。
(五)網絡的開放性使得網絡不存在絕對的安全,所以一勞永逸的安全保護策略也是不存在的由此可以看出,企業實施的網絡安全策隨著網絡問題的升級而發展的,具有動態特征。因此企業制定的策略要在符合法律法規的基礎上,通過網絡信息技術的支持,并根據網絡發展狀況、策略執行情以及突發事件處理能力進行相應的調整與更新,這樣才能確保安全策略的有效性。此外企業還應綜合分析地方網絡安全需求,進一步制定更加完善的網絡安全防護體系,以減少網絡安全存在的風險,保證信息化網絡的安全性。絕大部分的企業信息被竊取都是不法分子通過網絡進行的,因此必須加強企業的網絡管理,才能確保企業信息系統在安全的狀態下運行。針對信息安全的種類和等級制定出行之有效的方案,并提前制定出如果發生了特定的信息安全事故企業應采取哪種應對方案。當企業信息安全危機發生時,企業應快速成立處理小組,根據信息安全危機的處理步驟和管理預案,做好危機處理工作,避免出現由于不當處置而導致的連鎖危機的發生。另外,還應在企業內部做好信息安全的培訓和教育工作,提高信息安全的管理意識,提高工作人員對安全危機事件的處理能力。
三、結語
綜上所述,企在信息經濟時代,企業信息的安全問題制約著企業的安全運行,在實施中,應做好前期安全策略的制定、中期安全方案的選擇、后期安全服務的跟進,做到全方位的安全把關,進而為企業健康、持續發展打下良好而又堅實的基礎。
作者:王靜單位:中國聯合網絡通信集團有限公司洛陽市分公司
【關鍵詞】:信息安全 ;問題;解決方案
【引言】:在中小企業的信息管理系統中存在大量的信息和文件材料,其中有對企業發展至關重要的文件材料,一旦這些信息材料在通過網絡傳送時被不法分子和競爭對手竊聽、泄密、篡改或偽造,將會嚴重威脅中小企業的發展,所以,提出中小企業信息安全問題的解決方案具有重要意義。
1. 中小企業信息安全存在的問題
1.1信息安全管理意識不強。
相對大型企業來說,中小企業信息資產方面的積累相對較為薄弱,并且很多時候這種積累并非企業的有意識行為,所以在正常的信息化應用情況下,往往會忽視對自己信息資產的保護,而只有在信息資產受到破壞,形成了實際的經濟和附加損失的情況下,才會開始意識和重視這信息安全問題。
1.2信息安全管理水平較低信息安全風險較大。
目前的中小企業管理層人員雖然已經認識到了信息化的重要性,但卻沒有認識到企業信息化管理是需要在企業管理念上進行根本變革才能實現的。信息安全大約70%以上的問題都是由管理方面的原因造成的。他們大多是按照原有的管理模式進行改造,結果造成一種信息化的假象,致使“信息化”走向了徒有其表的誤區,信息安全也沒有得到足夠重視。
1.3人才短缺專業人員匱乏。
中小企業一般很難有足夠的吸引力留住信息化及信息安全這一領域的人才。因此,在這種人才短缺的情況下,自然影響到企業信息化的進程。主要表現為:企業一般沒有自己的信息化建設人才隊伍。信息技術專業人員的知識結構也不能達到要求,掌握技術的不懂管理,懂管理的又不會技術,而且信息安全往往沒有專業人員進行管理。
1.4資金短缺。
中小企業的資金狀況決定了其信息化投入遇到的限制相對較多。企業相對有限的資金,一般要優先投入到直接促進公司業績增長的方向,而無形中就造成了信息資產所面臨的巨大風險;特別是在當今越來越多的企業業務與互聯網有密切的聯系,甚至一些企業的業務完全建立在互聯網之上,以平均不到企業總收入1%的信息安全投入,怎么能保障這些業務的正常運行?盡可能使投入比例接近常規,至少應該使企業核心信息資產的安全得到保證,從實際情況來講,在良好的安全理念指導下,進行細致的規劃和評估,通過適當的投入也是可以達到較好的整體效果,因為在中小企業的應用情境下,信息安全防御廣度是相對容易控制的;設計出體現其規律和特點的真正適合中小企業的信息安全產品,才能從根本上滿足中小企業信息安全需求。
1.5中小企業的信息倫理意識不強。
由于某些員工的信息倫理原因而帶來的信息安全問題屢見不鮮。在很多時候,企業的員工都會因為某些不經意的行為對企業的信息資產造成破壞。尤其是在中小企業中員工的信息安全意識往往相對比較落后,對于互聯網上存在的威脅往往缺乏足夠的重視,而企業的管理層對于網絡的使用也沒有很好的管理手段。
2.中小企業信息安全問題的解決措施
2.1從企業的自身情況考慮
要解決中小企業網絡信息安全問題,不能僅依靠企業的安全設施和網絡安全產品,而應該考慮如何提高企業自身的網絡安全意識,將信息安全問題提升到重視的高度,要重視“人”的因素。具體表現在以下兩個方面:
2.1.1提高安全認識
定期對企業員工進行網絡安全教育培訓深化企業的全員信息安全意識,企業管理層要制定完整的信息安全策略并貫徹執行,對安全問題要做到預先考慮和防備。
2.2.2要求中小企業在上網的過程中要做到“一做三不要”
首先將存有重要數據的電腦堅決同網絡隔離,同時設置開機密碼,并將軟驅、硬盤加密鎖定,進行三級保護,其次不要在自己的系統之內使用任何具有記憶命令的程序,因為這些程序不但能記錄用戶的擊鍵動作甚至能以快照的形式記錄到屏幕上發生的一切,同時不在網上的任何場合下隨意透露自己企業的任何安全信息,最后不要啟動系統資源共享功能,要盡量減少企業資源暴露在外部網上的機會和次數,減少黑客進攻的機會【1】。
2.2從網絡安全角度考慮
2.2.1從網絡安全服務商的角度來說,服務商要重視中小企業對網絡安全解決方案的需要,充分考慮中小企業的現實狀況,仔細調查和分析中小企業的安全因素,開發出適合中小企業實際情況的網絡安全綜合解決方案。此外,還應該注意投入大量精力在安全策略的施行及安全教育的開展方面,這樣才能為中小企業信息安全工作的順利開展提供堅實的保證。
2.2.2要用防火墻將企業的局域網(Intranet)與互聯網之間進行隔離。由于網絡攻擊不斷升級,對應的防火墻軟件也應該及時跟著升級,這樣就要求我們企業的網管人員要經常到有P網站上下載最新的補丁程序,以便進行網絡維護,同時經常掃描整個內部網絡,以發現任何安全隱患并及時更改,才能做到有備無患【2】。
2.2.3企業用戶最好自己學會如何調試和管理自己的局域網系統,不要經常請別人來協助管理。中小企業要培養自己解決安全問題的能力,提高自己的信息安全技術。如果缺乏這方面的人才就應該去引進或者培養相關人才。
2.2.4內部網絡系統的密碼要定期修改。動態的密碼有助于防止黑客的攻擊以及來自內部人員的泄密。
2.2.5要經常使用殺毒軟件來維護局域網系統不受病毒攻擊。現在國內的殺毒軟件都推出了清除某些特洛伊木馬的功能,可以不定期地在脫機的情況下進行檢查和清除。
2.2.6同其它企業進行聯合,共同抵制黑客的入侵,一旦被入侵要及時向有關部門匯報,并共同查找入侵來源,鎖定黑客IP地址。將網絡的TCP起時限制在15分鐘以內,減少黑客入侵的機會。并擴大連接表,增加黑客填寫整個連接表的難度【3】。
小結
綜上所述,我國中小企業的信息安全問題日益突出。由于受到管理水平、資金、技術、 意識等幾方面的制約,中小企業完全依靠自己解決所有信息化安全問題是不現實的,它們很難使用大企業中那種復雜的信息安全系統,因此迫切需要適合中小企業自身情況的綜合解決措施。
【參考文獻】:
【1】 楊江;周小玲; 基于企業的危機信息管理[J];科技情報開發與經濟;2009年32期
當前,網絡和計算機技術已經推動各行各業進入了數字化時代。數字化的企業承載著業務流和信息流,信息流引導業務流,業務流依附信息流,從而使企業的運行更加安全、可靠、優質、經濟。
信息系統承載著企業幾乎所有的運營管理信息,其安全性已經直接關系到整個企業的安全可靠運行。信息是企業的重要戰略資源,確保其安全是現代信息化企業必須面臨的重要任務。
隨著企業信息化建設的不斷深入,信息安全保障工作的重要性、迫切性日益凸現。如果網絡和信息系統的安全隱患得不到有效地防范,企業就極有可能遭受到惡意攻擊或破壞。信息安全事故不但會對公司業務、資產、形象造成影響,在某些行業,嚴重的還會引發區域性,乃至全國性的重大安全事故,其社會危害性無法估量。
據相關信息安全調查報告顯示,中國內地企業在信息安全管理方面存在滯后,信息安全與隱私保障方面遠遠落后于印度。數據顯示,內地企業44%的信息安全事件與數據泄露、員工不當操作等管理問題有關,而全球的平均水平只有16%。
調查顯示,中國內地企業在改善信息安全機制上仍有待努力,從近年安全事件結果看,中國每年大約98萬美元的財務損失,而亞洲國家平均約為75萬美元,印度大約為30.8萬美元。此外,42%的中國內地受訪企業經歷了應用軟件、系統和網絡的信息安全事件。
目前,國內的計算機信息安全從技術角度來看并不十分落后,但發展過程中暴露出很多管理方面的問題,例如信息安全管理人員意識、知識等方面的缺乏,急需大量補充。而且,授人與魚不如授人與漁,產品不是最重要的,重要的是要培養出安全的意識,否則企業的信息安全人員只是把產品買回去,并不能很好的發揮這些產品的作用,要從根本上解決安全的問題,必須提高員工的安全意識。
二、誤區多多,困難重重
面對瞬息萬變的安全形勢,企業并不是總能對癥下藥。尋找安全良方,避免種種安全的誤區,才是長遠的安全和發展之道。
誤區1:外部威脅大于內部隱患
要防范威脅,首先要了解威脅來自于哪里。通常,人們都會認為來自于計算機黑客、惡意代碼編寫者等外部的安全威脅遠遠大于內部的安全隱患,所以一般企業安全范圍的重點是在防范外部黑客攻擊,但是超過一半的威脅恰恰來自企業內部,外部攻擊僅占46%。
在內部安全威脅中,96%的是源于非蓄意的動機和錯誤;只有1%才是真正的惡意行為。由此看來,內部威脅之所以危害巨大,歸根結底,還是員工安全意識薄弱。
盡管在防范內部威脅方面,大多數企業還沒有拿出切實有效的方案。但是從安全調查來看,57.6%的企業已經表示,培養并提高員工的信息安全意識,將是自己所在企業未來一年里,打算采取的最關鍵的安全策略。企業在未來之所以越來越重視員工信息安全管理,要歸結于多個因素:近幾年對安全意識的討論越來越多,為安全意識從“概念”到“落地”做好了準備;安全廠商也在推出越來越多成熟、有效的產品和方案;不少企業的成功應用案例,也提供了很多借鑒性的經驗。當然,最關鍵的是,企業自身的確實存在這樣的安全需求,認識到了提高信息安全意識的重要性以及必要性。
誤區2:信息安全是IT部門的事,與其他部門無關
在某些企業中,IT部門員工就像是救火隊員,哪里出了問題就到哪里,東奔西走,十分辛苦。但是,就是這么一群任務繁重、任勞任怨的員工,卻得不到其他同事的理解和認同。當IT人員為其他部門進行安全控制時(如進行安全檢查、安裝防病毒軟件等),其他部門會反感,認為增加了他們的工作量,降低了工作效率。但當真正出現了信息安全事故時,其他部門又會責怪IT部門,認為其平時的安全防范工作沒有做好。所以,IT部門往往是出力不討好。
怎樣徹底改變其他部門對IT部門的看法,怎樣使公司全體員工主動、積極地配合IT部門的工作,甚至可以做到自查自糾?信息安全意識的提高無疑是關鍵。員工接受了安全意識宣貫之后,就會認識到保護信息的安全不僅僅是IT部門的職責,更是全體員工的責任;就會理解平時的安全措施不是綁著他們的繩索,而是護著他們的盾牌;就會在主動、自覺地規范自己的行為,防止信息安全事故的發生。
誤區3:重視技術產品的引進,忽略安全意識的培養
如今,便攜式的移動設備,比如U盤、PDA等,已經相當普及,移動辦公已經成為不可逆轉的趨勢。但同時,U盤中毒、失竊所導致機密信息泄露的事件也屢見不鮮。所以,大多數企業越來越重視對移動設備的保護。許多公司統一采購了具有加密、殺毒功能,甚至可以指紋識別的高科技安全U盤,分發給員工,旨在杜絕U盤泄密事件的再次發生,但往往未能達到預期效果。
嚴謹的加密技術,配合訪問控制技術,雖然可以在一定程度上防止移動設備上的數據被泄露,但依然無法防止員工不規范的使用,和移動設備的丟失或被盜。若員工把加密U盤插入自己的家庭電腦進行辦公,那么病毒依舊有可能入侵到U盤中,這樣再強的加密技術也無濟于事。
和歐美等國家相比,中國U盤傳毒的問題越來越嚴重,并且一直沒辦法根絕,這和員工缺乏安全意識緊密相關。通常,員工插取U盤時,很少會考慮到是否和公司的安全策略相違背,或者有可能引發公司的安全事故。
三、立體宣貫,提升實力
論文摘要:伴隨著企業信息化的發展,信息安全越來越受到重視。針對當前信息安全存在的問題,作者進行了調查,分析了其中的原因,最后從管理學的角度提出了相關的策略和建議。
隨著信息技術的發展和網絡化應用的普遍推廣,各機關組織和企事業單位都開展各類管理業務的信息化建立。企業的發展運作離不開信息系統的安全運行。信息安全通過保護企業信息的機密性、完整性和可用性,不僅保護了企業各類信息資產的安全,還能增強企業的核心競爭力,維護企業的形象和信譽。信息安全對企業的生存和發展的是至關重要的,需要從戰略的高度對信息安全進行規劃和管理。
一、企業中信息安全管理經常存在的問題
日常安全管理中存在的主要問題,首先是用戶安全意識和觀念薄弱的占58%,第二位的是網絡安全管理人員缺乏培訓,占39%;其后,依次是保障經費投入不足、缺乏安全信息共享和安全產品不能滿足要求。
不僅在日常管理中,在技術管理方面也存在一定的問題。在CSDN泄密門事件中,專業IT博客“月光博客”撰文表示“整個事件最不可思議的地方在于,像CSDN這樣的以程序員和開發為核心的大型網站,居然采用明文存儲密碼”,“稍微懂一點編程的程序員都知道,為了用戶的安全,應該在數據庫里保存用戶密碼的加密信息,這樣黑客即使下載了數據庫,破解用戶密碼也不是一件容易的事情” 。可見,有些涉及技術方面的問題,也并不是單純的技術問題,而是與技術人員安全意識不強、責任心不到位有關。
為了了解企業內部員工在信息安全問題上的看法及所做的努力,我們對一家電子商務企業和一家銀行的部分工作人員進行了問卷和訪談調查,發現在企業員工中存在如下一些問題:
1.是信息安全意識方面,被調查者認為信息安全對企業和個人都非常重要。但大多數受訪者對信息安全的問題了解很少等。
2.很多受訪者認為信息安全屬于技術人員的事情;與技術人員的交流非常少;忙于業務,沒有時間去處理。
3.是用戶認為信息安全管理措施效果不好。有些信息安全行為的規范標準雖然掛在網上或貼在墻上,很少有人去關注;公司發動的信息安全的培訓活動沒有收到好的效果。
二、信息安全問題的根源
通過對調查的結果進行深入分析,發現導致信息安全事件頻發、風險損失嚴重的原因從根本上來說,有以下幾個方面:
1.信息安全是一個多維問題,涉及到企業管理的方方面面。企業在信息安全問題上往往涉及多個部門。有些情況下,無法明確責任,使得信息安全得不到應有的重視以及有效的管理。
2.風險平衡理論認為,人會愿意承擔一定程度的風險。這與你采用多少的安全防護措施無關。有時即使有條件可以到達絕對安全的狀態,由于人性的緣故,也不會那樣去做。
3.信息安全與效率和便利性本身是矛盾的。信息安全加強了,受到的約束也就多了,相應地效率也就降低了。比如簡單規律地密碼,可以不必費力去記;插入U盤時進行殺毒,必然要耽誤時間;沒有接入網絡,不可能受到網絡攻擊,但也就失去了網上瀏覽所需信息、網絡交流的自由,因此有人半開玩笑地說:“最安全的計算機是拔掉網絡的那臺計算機”。
4.由于某些緣故,網絡中總是存在黑客,專門竊取信息或破壞網絡系統。他們的水平都非常專業,一般的用戶難以預防。所謂“道高一尺,魔高一丈”,信息安全的水平總是在這種攻擊與防守中進步的。
5.信息安全問題的不確定性。信息安全問題的不確定性主要指是否發生風險的不確定性、無法精確地評估當前所面臨的風險以及風險發生所帶來的損失的難以把握。
所有這一切因素,都使得信息安全無法得到有效的關注和重視,無法采用有效的措施來預防和避免。這也是導致信息安全事件發生頻率居高不下,風險損失較大的主要原因。
三、相關的建議和策略
針對企業信息安全的問題,文章運用管理學的理論進行論述。企業管理涉及四個功能:計劃、組織、領導、控制 。
1.從計劃的角度來看:企業應當確立信息安全的發展戰略,從戰略的高度來對待和管理信息安全,確保信息安全所引發的風險達到可以接受的范圍之內。從全局角度制定信息安全的策略,確立信息安全的目標,以及實現目標需要的行動方案。
2.從組織的角度來看:人力資源的管理的觀點認為,企業的組織結構,取決于組織戰略 。在許多企業組織結構中,只有技術部門,沒有信息安全管理部門。S.H.(basie) von Solms 曾討論過,技術管理與安全管理兩個部門必須設置成為兩個獨立的部門,否則無法保證安全評估的客觀性。因此有必要設置一個專門負責信息安全管理的部門,這個部門并不負責具體的技術,但是要懂技術,主要是開展企業的安全培訓工作、日常的安全管理工作、對存在的風險進行評估,最大限度地降低安全風險。
3.從領導的角度來看:根據wilde的風險平衡理論,一個人會愿意承擔一定程度的風險。 “風險平衡”觀念會讓整個機構處于盲目樂觀的過度自信狀態,不管是企業的員工還是管理者都傾向于追求效率 ,從而忽視信息安全的投入。
在企業的管理過程中,應當加強信息安全、風險意識方面的培訓和教育,增進員工與技術人員的面對面的溝通與交流,開展有效的安全意識活動。
4.從控制的角度來看:對風險的控制要求企業對自己的安全狀況不斷評估,時時防范。這就要求安全管理部門每隔一定時間向上匯報信息安全的進展情況,定期進行風險評估工作。
文章從管理學的角度來分析信息安全風險管理,對信息安全問題做了實地調查,分析了目前信息安全存在的一些問題,并對存在的問題的根源進行了深入的分析,最后文章運用管理學的理論,從計劃、組織、領導、控制四個角度出了相應的建議和策略。
參考文獻:
[1]Wilde GJS.The theory of risk homeostasis: implications for safety and health. Risk Analysis 1982;2(04):209-25.
[2]秦志華.企業管理[M].大連:東北財經大學出版社,2011,1.
[3]廖三余,曹會勇.人力資源管理[M].北京:清華大學出版社,2011,9.
關鍵詞:信息安全;防護體系
隨著企業各個業務系統的深化應用,企業的日常運作管理越來越倚重信息化,越來越多的數據都存儲在計算機上。信息安全防護變得日益重要,信息安全就是要保證信息系統安全、可靠、持續運行,防范企業機密泄露。信息安全包括的內容很多,包括主機系統安全、網絡安全、防病毒、安全加密、應用軟件安全等方面。其中任何一個安全漏洞便可以威脅全局。隨著信息化建設地不斷深入和發展,數據通信網改造后,市縣信息網絡一體化相互融合,安全防護工作尤顯重要。如何保障縣公司信息網絡安全成為重要課題。信息安全健康率主要由兩方面體現,一是提升安全防護技術手段,二是完善安全管理體系。安全防護技術手段主要側重于安全設備的應用、防病毒軟件的部署、安全策略的制定、桌面終端的監管、安全移動介質、主機加固和雙網雙機等方面,安全管理則側重于信息安全目標的建立、制度的建設、人員及崗位的規范、標準流程的制定、安全工作記錄、信息安全宣傳等方面[1]。因此,企業要提升信息安全,必須從管理機制、技術防護、監督檢查、風險管控等方面入手,并行采取多種措施,嚴密部署縣公司信息安全防護體系,確保企業信息系統及網絡的安全穩定運行,主要體現在以下幾方面:
1機制建立是關鍵
企業信息安全防護“七分靠管理,三分靠技術”,沒有嚴謹的管理機制,安全工作是一紙空談,因此,做好防護工作必須先建立管理體系。一是完善組織機制。在企業信息安全工作領導小組之下,設立縣公司數據通信網安全防護工作組,由信通管理部門歸口負責日常工作,落實信息安全各級責任。將信息安全納入縣公司安全生產體系,進而明確信息安全保障管理和監督部門的職責。建立健全信息安全管理等規章制度,加強信息安全規范化管理。二是強化培訓機制。根據近年來信息安全的研究,企業最大信息安全的威脅來自于內部,因此,企業應以“時時講信息安全,人人重信息安全,人人懂信息安全”為目標,開展“教育培訓常態化、形式內容多樣化、培訓范圍全員化、內容難度層次化”培訓工作,為信息安全工作開展提供充分的智力保障。企業應充分利用網絡大學、企業門戶、即時通訊等媒介,充實信息安全內容,營造信息安全氛圍,進而強化全員信息安全意識。三是建立應急機制。完善反應靈敏、協調有力的信息安全應急協調機制,修訂完善縣公司數據網現場應急處置預案,加強演練。嚴格執行特殊時期領導帶班和骨干技術人員值班制度,進一步暢通安全事件通報渠道,規范信息安全事件通報程序,做好應急搶修人員、物資和車輛準備工作,及時響應和處理縣公司信息安全事件。重點落實應對光纜中斷、電源失去、設備故障應急保障措施,確保應急處置及時有效。杜絕應急預案編制后束之高閣和敷衍應付的行為。
2技術防護是基礎
技術防護要從基礎管理、邊界防護、安全加固等方面入手[2]。(1)基礎管理方面。一是技術資料由專人負責組織歸類、整理,設備或接線如有變化,其圖紙、模擬圖板、設備臺帳和技術檔案等均應及時進行修正。二是將設備或主要部件進行固定,并設置明顯的不易除去的標識,屏(柜)前后屏眉有信息專業統一規范的名稱。三是設備自安裝運行之日起建立單獨的設備檔案,有月度及年度檢修計劃并按計劃進行檢修,檢修記錄完整。所有設備的調試、修復、移動及任一信息線或網絡線的拔插和所有設備的開關動作,都按有關程序嚴格執行,并在相應的設備檔案中做好記錄。四是加強運行值班監視和即時報告,確保系統缺陷和異常及時發現,及時消除。(2)安全隔離方面。安全隔離與信息交換系統(網閘)由內、外網處理單元和安全數據交換單元組成。安全數據交換單元在內外網主機間按照指定的周期進行安全數據的擺渡,從而在保證內外網隔離的情況下,實現可靠、高效的安全數據交換,而所有這些復雜的操作均由隔離系統自動完成,用戶只需依據自身業務特點定制合適的安全策略,既可以實現內外網絡進行安全數據通信,在保障用戶信息系統安全性的同時,最大限度保證客戶應用的方便性。(3)邊界防護方面。一是部署防火墻,做好網絡隔離。在路由器與核心交換機之間配置防火墻,并設置詳細的安全防護策略。防火墻總體策略應是白名單防護策略(即整體禁止,根據需要開放白名單中地址)。將內部區域(下聯口)權限設置為禁止、外部區域(上聯口)權限設置為允許。定義防火墻管理地址范圍,針對PING、Webui、Gui三種服務進行設置:只允許特定管理員地址遠程管理。二是嚴格執行防火墻策略調整審批程序,需要進行策略調整的相關單位,必須填寫申請單,且必須符合相關安全要求,經審批后進行策略調整。三是嚴禁無線設備接入。(4)安全加固方面。一是應以最小權限原則為每個帳號分配其必須的角色、系統權限、對象權限和語句權限,刪除系統多余用戶,避免使用弱口令。二是安裝系統安全補丁,對掃描或手工檢查發現的系統漏洞進行修補。三是關閉網絡設備中不安全的服務,確保網絡設備只開啟承載業務所必需的網絡服務。四是配置網絡設備的安全審計功能和訪問控制策略。五是開展風險評估工作中,認真分析網絡與信息系統安全潛在威脅、薄弱環節,綜合運用評估工具,在常規評估內容基礎上,加強滲透性驗證測試和密碼脆弱性測試,重視對系統結構與配置的安全評估。根據評估結果,及時提出并落實整改方案,實施安全加固措施。
3監督檢查是保障
全面落實“按制度辦事,讓標準說話”的信息安全管理準則,在企業指導下,由縣公司信通專業牽頭,業務部門主導,分工協作建立督查機制,加強過程安全管控與全方位安全監測,推進安全督查隊伍一體化管理,完善督查流程和標準,開展好安全督查工作,以監督促進安全提升。一是全面提升責任部門安全人員專業技術水平,加強督查隊伍建設。二是完善督查機制,對督查中發現的問題督促落實整改,并開展分析總結,通報相關情況。三是開展常態督查,通過軟件掃描、終端監測等手段,確保監測全方位。四是加強考核,開展指標評價。保障督查管理水平和工作質量。
險管控是對策
為確保公司信息化網絡安全,公司要將被動的事件驅動型管理模式轉變為主動的風險管控模式,主動地對威脅和風險進行評估,主動地采取風險處置措施。通過資源的調控實現對信息安全工作的調控。公司應在信息安全治理過程中大量借鑒管理學方法,進行動態的控制和治理,通過治理的流程控制措施進行資源的調配,實現對關鍵項目、關鍵技術、關鍵措施的扶持,對非關鍵活動的控制,確保公司信息化網絡安全。數據通信網升級改造為企業信息化發展擴展了領域,同時,對信息安全工作提出了新的課題和更高的要求。本文通過分析企業信息化安全管理過程中的一些薄弱環節,提出了安全防護經驗的措施,從管理機制、技術防護、監督檢查、風險管控等方面入手,提高了縣公司全體人員信息化安全意識,極大地保障了企業系統(含縣公司)信息網絡系統的安全、穩定運行,完善了縣公司信息安全策略及總體防護體系,密織信息安全防護網,保障數據網不失密、不泄密,不發生信息安全事件。公司下一步將加強信息化常態安全巡檢,加強信息化相關資料的管理,加強單位干部員工的信息化安全培訓力度,進一步完善信息安全策略及總體防護體系。提高全體人員信息化安全意識,保障信息化網絡安全。企業信息安全建設是一項復雜的綜合系統工程,涵蓋了公司員工、技術、管理等多方面因素。企業要實現信息安全,必須加強安全意識培訓,制定明確的規章制度,綜合各項信息安全技術,建立完善的信息安全管理體系,并將信息安全管理始終貫徹落實于企業各項活動的方方面面,做到管理和技術并重,形成一套完善的信息安全防護體系。
參考文獻:
[1]馬貴峰,馬巨革.構建網絡信息安全防護體系的思路及方法——淺談網絡信息安全的重要發展方向[J].信息系統工程,2010(6).
電力企業使用的各種應用軟件都有可能存在一定的設計缺陷,這些缺陷通常稱之為漏洞。很多的黑客就是利用這些漏洞對企業的應用信息網絡實施攻擊,而很多的電力企業的局域網和國際互聯網是隔離的,這就造成企業的電腦應用軟件系統不能及時更新,漏洞不能第一時間修復,一旦木馬通過移動存儲設備入侵,就會造成難以估量的損失。
1.1電力企業的系統備份缺乏應用經驗
當前很多的維護人員對企業重要信息數據普遍采用每周備份,每星期對數據進行一次刻錄備份,而在實際的應用過程中,備份的信息數據只有在不斷訓練中才能保證及時有效應用。但是,從工作實際來看,備份恢復操作演練要比備份本身復雜得多,很多的維護工作人員寧可選擇每天備份,也不情愿組織一次數據恢復訓練。信息安全網絡應該是在建設、運行、維護和管理這幾個方面相互結合而的。信息安全是降低其企業風險和減少成本的一個必要的環節。
2.電力企業信息安全與管理問題對策探析
電力信息安全管理是一個技術和管理相互結合的一個問題。除了技術手段啊之外還需要落實安全管理。不斷提升企業的信息安全防護等級,緊盯當今世界信息安全防護領域的發展和技術突破,運用先進的信息技術來應對可能出現的安全問題,制定明確的安全防護策略和制度,確保信息安全有制度保障。根據著名的木桶原理,企業信息安全的隱患不在信息的優勢環節,而在企業最為薄弱的管理應用環節。立足信息管理的現狀和時展需要,盡快構建高效安全的綜合性信息安全管理防范體系。
2.1健全電力企業的安全管理與考評機制
在很多的企業、事業單位了,一直都流行并經常驗證著這樣一個名言:“三分技術七分管理。”從技術的角度來看,防范一般都是已知的各種安全問題和威脅,三分技術;從管理的角度來看,工作是人的工作,人的工作是活的工作,人的工作具有很大的不確定性,這都給安全管理帶來諸多的不確定性,管理都是針對人,無論才能哪種安全管理制度來約束,還是使用一定的技術手段來要求限制,目的都是要約束人的行動,規范人的行為,盡可能不給安全威脅以任何機會。為此,就要建立切實可行并認真執行的引進標準、風險評估、技術應用等技術管理機制;通過實行崗位安全責任制,嚴格明確各方的安全責任,依照法律規定和安全生產標準來建設信息系統和制定管理制度。并定期或不定期開展自查、自評、督查、考評等,把電力企業的安全責任嚴格落實到人,并將企業信息安全與管理和年讀考評直接掛鉤,確保制度健全,落實到位。這樣每個人都可以清楚的了解自己的職責所在的,員工都會積極的參與到信息安全管理之中。
2.2建立健全“長治機制”,做好信息安全教育培訓
電力企業信息安全管理是一項長期系統工程,需要常抓不懈,警鐘長鳴,不能風過無形,流于形式。重在落實,長期堅持,永不松懈。電力企業進行信息安全教育培訓是確保信息安全的又一重要保障。對企業員工的教育和技術培訓直接關乎安全的重視程度和執行效果。只有不斷加強教育,才能引起員工對信息安全的足夠重視,只有不斷及時培訓,才能保證員工在技術上有可靠保障。為此,電力企業應建立一整套較為完善的信息安全培訓體系,制定翔實的技術培訓計劃,增強員工的安全意識,提高企業的應對水平。建立信息網絡安全按的一個組織系統,控制和開展信息安全的管理權限,并且積極學習關于信息安全的專業知識組建可行性的信息安全系統。
2.3規范使用各種移動存儲設備
由于現在各種移動存儲設備已經普及,使用的頻率非常之高,各級主管部門必須根據實際情況進行綜合管理和教育培訓。不可能禁止使用,又不能讓這些設備濫用。最好的辦法就是對員工進行積極教育培訓,引導員工科學、適時使用移動存儲設備,首先讓員工明白,使用移動存儲設備可能帶來的安全隱患,引導員工減少使用次數,增強安全意識;其次,進行技術培訓,引導員工按照插拔要領進行操作,使用讀寫開關和加密功能,定期進行病毒查殺,使用設備不得違反信息安全的管理制度等等。力爭員工養成良好的使用習慣,做到妥善保管,操作規范,嚴禁外借,及時殺毒,做好雙備份等。
3.結束語
【關鍵詞】企業信息化;信息安全問題;原因;對策
新時期下,信息化技術在各行業中運用日漸深入,給企業現代化建設與快速發展帶來了無限動力。企業信息化建設已成為我國經濟信息化建設能否成功的關鍵所在,也是提升企業自身市場競爭力與企業升級進步的重要保證和標志[1]。但是,企業信息化建設過程中不可避免的出現信息安全問題,給企業正常生產經營帶來諸多不利影響。因此,加強企業信息化建設中信息安全管理,已成為現代企業經營管理的一個至關重要的工作。
1企業信息化概述
所謂的企業信息化,指的是實現企業的資金流、物流、作業流、信息流的數字化、網絡化管理,實行企業運行的自動化和企業制度的現代化[2]。企業信息化建設涉及了企業生產經營中的各個部門,其主要利用現代化信息技術,通過完善企業內外網絡信息系統,實現對企業內外知識與信息資源的開發。可見,建設企業信息化體系,不但可以及時有效的提供各種數據信息給企業決策層,也為企業未來規劃設計提供參考依據,而且還有利于企業滿足瞬息萬變的市場需求,為企業市場核心競爭力的提升帶來動力。
2當前企業信息化建設中信息安全問題
企業信息化建設與發展為企業持續、健康、穩定發展發揮了顯著作用,但同時也存在著諸多信息安全問題,具體分析主要有以下幾方面[3]:(1)當前,絕大多數企業缺乏完善的安全防御系統,導致企業內部使用的信息系統易遭受外部網絡系統的攻擊,引發企業信息資料被他人截獲、篡改與偽造等問題,甚至企業信息系統中出現通信線路、硬盤設施以及其他文件系統遭惡意破壞現象,上述問題的發生不但致使企業信息系統無法正常運行,而且其內部機密信息易發生泄漏,造成企業嚴重的社會經濟損失。(2)針對郵件系統攻擊防不甚防。在企業信息系統中電子郵件具有重要的作用,通過電子郵件接收與傳送,極大的方便了企業內部間與外部間信息交流與溝通。然而,電子郵件安全問題也日益突出,典型的如電子郵件病毒、垃圾郵件、機密信息泄露以及電子郵件炸彈等,給企業信息傳輸帶來了巨大安全隱患。因此,電子郵件安全問題不可忽視。(3)漏洞攻擊日益嚴重。按照漏洞問題發生原因可分為軟件漏洞和協議漏洞兩種,其中軟件漏洞主要是受外部不法分子攻擊軟件自身存在的漏洞,造成企業信息泄露等問題;而協議漏洞則主要是由于TCP/IP協議自身在安全機制方面存在的諸多漏洞問題導致,外部不法人員通過攻擊TCP/IP協議漏洞,致使企業信息系統遭受破壞。目前情況,很多企業對自身信息系統缺乏成熟的漏洞檢測手段和能力,往往事發后才采取補救措施。(4)是Web服務安全問題突出,根據Web服務流程,其發生安全問題的主要組成包括Web服務端安全問題、瀏覽器客戶端安全問題兩種。其中,Web服務端安全問題主要是企業Web主機遭受外部不法分子侵入,導致企業保密信息遭竊或者企業部分信息遭受非法篡改等;瀏覽器客戶端安全問題則是企業瀏覽器客戶端遭外部非法分子侵入,致使部分機密信息與數據遭竊等。
3導致企業信息化建設中信息安全問題因素
企業信息化建設中信息安全問題發生受諸多因素影響,具體分析主要有以下幾方面[4]:(1)目前,絕大多數企業在信息化建設過程中,對于信息安全問題重視度嚴重不足。一方面,受傳統經營觀念影響,企業管理層偏重于對企業生產經營中的有形資產給予關注與重視,而忽略了企業知識與信息資料等無形資源,導致在企業信息安全管理方面各項投入嚴重不足,進而造成信息安全問題日益凸顯;另一方面,多數企業在面對信息安全問題時,存在著盲目樂觀現象,認為信息安全問題不至于導致企業正常生產經營,使得信息安全管理無法上升至企業發展規劃戰略之中,進而造成信息安全問題得不到及時有效解決。(2)由于企業信息化建設在我國尚處于起步階段,各方面配套管理制度不夠完善,特別是缺乏健全的企業信息安全管理體制。受此影響,企業信息化建設中信息安全問題一方面無法得到有效的預防措施,另一方面是一旦發生信息安全問題,無法采取及時有效的補救與解決對策。同時,由于缺乏科學、合理、有效的企業信息安全防護策略,使得企業信息管理人員缺乏必要的安全防護意識與業務素質能力,致使企業信息安全防護軟硬件工作質量與效率明顯不足。上述兩個因素,導致企業無論是從人員配置,還是資金與技術投入方面都嚴重不足,受企業信息管理人員業務素質能力不足、信息安全技術方法落后以及配套的資金缺乏等影響,企業信息安全防護的措施、手段偏低,造成企業信息化建設存在著嚴重安全隱患。
4提升企業信息化建設中信息安全對策
針對當前企業信息化建設中存在的信息安全問題,為加強企業信息安全管理,提升企業信息安全保障,可通過采取以下幾方面對策,具體有[5]:(1)轉變傳統企業信息化建設觀念,在企業內部管理層從上至下加強對企業信息安全的重視,并樹立正確的安全意識。一方面,通過組織各種信息安全管理培訓等,增強全體企業員工信息安全意識,確保企業保密信息不外漏;另一方面,逐步加大企業信息化建設中信息安全管理各項資金、技術、人力投入,并建立科學、合理、有效的企業信息安全防護策略,保障企業信息系統安全穩定。(2)不斷的推進網絡信息技術的發展與運用,促進企業組織結構網絡化的實現,同時引進先進的安全防護技術,確保企業信息化系統安全穩定運行。任何網絡信息系統都存在著或大或小的安全漏洞問題,而保證其不受外部不法分子侵入的一個關鍵方法就是安全防護技術的運用。通過選用先進的安全防護技術,可以有效的提高企業信息系統抵抗外來攻擊,避免企業信息遭受竊取、篡改甚至破壞等,對于保障企業持續、健康、穩定發展具有顯著作用。(3)結合企業信息化建設實際情況,建立健全企業內部信息系統管理體制。一方面,針對信息安全問題,應建立科學、合理、規范的信息安全管理體制,保證企業信息系統安全運行;另一方面,建立健全企業安全風險評估機制,針對不同系統找出影響其安全的因素和漏洞,并制定出最佳的對策,降低企業信息安全風險;此外,加強相應的網絡管理,防止外來不法分子通過網絡侵入企業信息系統。(4)根據新時期企業信息化建設需要,加強企業信息技術人才、信息管理人才隊伍建設,為企業信息安全管理奠定堅實的人才基礎。一方面,在企業內部,加強信息技術人才培訓,提高企業內部相關人才業務素質能力;另一方面,在企業外部,采取有效措施,積極招聘人才,引進具有先進信息技術型人才;此外,建立健全企業信息安全管理用人機制,激發員工工作積極性,提高工作質量與效率。
5小結
總而言之,企業信息安全事關企業信息化建設是否成功,對于企業持續、健康、穩定發展具有至關重要的作用。因此,應提高企業信息安全管理意識,增強企業信息安全管理機制,促進企業信息安全管理工作質量與效率,保障企業信息化建設順利開展。
作者:吳捷 單位:中海石油氣電集團有限責任公司
參考文獻
[1]毛志勇.企業信息化建設的信息安全形勢與對策研究[J].科技與產業,2008,8,(1):43~45.
[2]纂振法,徐福緣.淺析企業信息化建設的意義、問題與對策[J].吉林省經濟管理干部學院學報,2001,3:24~28.
[3]謝志宏.企業信息化建設中的信息安全問題研究[J].企業導報,2014(06):132~133.
關鍵詞:電力企業 信息化 發展
【中圖分類號】TP311.52
隨著科學技術的不斷發展,信息技術被廣泛應用于經濟社會的各個領域中,信息化已經成為各企業的重要發展方向。電力企業作為一項關乎國計民生的企業,其信息化的發展程度逐漸引起人們的關注。而隨著經濟全球化的不斷發展和我國市場經濟改革的不斷深化,電力企業在發展過程中也遇到了極大的挑戰,如何緊跟時代的步伐,推行企業的信息化管理,提高企業的信息化程度成為當前電力企業面臨的一個重要問題。
我國電力企業的信息化建設起步較晚,而發達國家的重要企業在20世紀80年代便完成了信息化改革,因此,我國的電力企業同國外電力企業相比仍存在著一定的差距。但不可否認的是,我國的電力企業在近些年的發展中仍取得了很大的成果,無論是企業網絡架構的建設,還是自動化辦公系統、生產監控系統、企業資源管理系統等的應用,都體現了我國電力企業近些年的不斷發展和進步。同時,我們也應該清楚地認識到,目前我國的電力企業信息化發展仍處于局部應用階段,決策支持系統、業務處理系統等仍需要進一步健全。
一、電力企業信息化的意義
電力企業信息化是信息技術迅速發展的必然結果,推進電力企業的信息化程度對于電力企業的發展具有重要的現實意義。首先,信息化系統的建設可以優化電力企業的管理機構。信息技術的應用可以有效地提高企業信息的傳遞效率,簡化企業的管理流程,既抑制了企業冗員和官僚作風的出現,也提高了企業的業務處理效率。其次,信息化系統的建設可以提高企業信息的透明度,提高企業的實時業務處理能力。最后,企業的信息化系統建設可以促進企業的技術創新。通過對企業信息進行整合、處理,可以使員工在遇到問題時能夠更快捷地獲取信息,通過對收集到的信息進行分析研究提出應變的方法。
二、電力企業信息化系統建設中存在的問題
(一)企業內部機構復雜,信息化進程缺乏系統性
電力企業的機構比較復雜,依據專業、職能等的不同分為很多機構,它們相互依托,相互聯系。然而,在推進電力企業的信息化進程中,很多部門都是依據自身的業務需求進行信息化系統建設,而不同部門的系統之間則缺乏必要的聯系,導致信息無法實現共享,業務的處理也無法協同。
(二)缺乏統一的信息化標準體系
我國電力企業的信息化系統建設起步較晚,因此還沒有制定出統一的信息化標準體系,不同的電力企業應用的信息系統在技術規范、技術標準、信息編碼等方面存在很大差異。同時,信息化標準體系的缺失也導致同一企業內部系統無法集成、資源無法共享。
(三)信息安全防護不當
雖然電力企業的信息化系統都安裝了防火墻等安全防御系統,但無論是操作系統還是應用軟件,都存在著或多或少的漏洞,導致信息安全防護問題的產生。盡管企業的計算機終端設備已進行內外網分開使用,仍有個別人員信息安全意識淡薄,導致違規外聯的情況發生;而企業內外網中部分系統或應用的用戶口令過于薄弱也可能導致企業信息的泄漏;部分企業的無線網絡信號覆蓋到企業周邊地區,容易被外人侵入等。
(四)信息化管理水平落后
受傳統管理觀念和管理模式的影響,很多企業管理人員無法適應電力企業的信息化管理模式,導致許多信息化系統無法正常地發揮功能,達不到預期的使用效果。
三、電力企業信息化系統建設的展望
信息化系統建設是電力企業與時俱進、順應時展潮流的必然結果,也是電力企業提高管理水平、實現現代化管理的重要途徑。目前,我國電力企業的信息化系統建設尚存在很多問題,但不可否認的是,電力企業的信息化系統建設已經取得了一定的成就,而且在不斷地進步和發展。展望未來,電力企業的信息化系統建設應該從整合信息系統、確保信息安全、建立信息化標準體系以及建立信息系統仿真平臺等方面進行發展。
(一)整合信息系統,消除信息孤島
信息孤島的存在嚴重阻礙了電力企業信息化系統的發展,因此,消除信息孤島、整合信息系統將成為電力企業信息化系統的重要發展方向之一。整合電力企業的信息化系統,首先應該統一電力系統的通信網、數據網和信息網,以便加強企業網絡信息的安全性;其次,要整合企業內部不同專業和職能機構的應用系統,對軟件、系統等的使用進行統一規定,以便于系統的更新維護和人員的培養;最后,要對不同機構之間的信息化應用系統進行整合,實現不同系統之間信息的交流與共享。
(二)建立安全穩定的信息渠道
網絡信息的安全性一直是人們關注的重點,電力企業要建立完善可靠的信息化系統,必須通過多種渠道加強企業信息安全的防范措施。首先,要加強工作人員的信息安全意識,完善責權劃分。企業應該依據工作需要、工作性質的不同,對工作人員進行信息安全知識和信息安全技術的培訓,提高他們的信息安全意識。同時,企業需要完善內部的責權劃分,將責任和權利細化到個人,提高工作人員的責任意識。
其次,要對企業信息化系統實施多層防護,消除潛在隱患。要確保企業所使用的信息產品的自主可控,同時加強系統的防護措施,例如,細化防火墻設置、控制訪問權限、實行定點訪問等。
最后,企業要加強信息安全的監管。為避免資源的浪費,企業可以依據信息機密性的等級進行不同程度的安全防護隔離,同時,要加強企業網絡的訪問監管,嚴格控制一機雙系統兩網連接和非法連接外網現象的發生。
(三)建立完善的信息化標準體系
完善的信息化標準體系是促進信息交流和共享的重要保障。建立完善的信息標準體系應該從以下幾方面進行:首先,要建立統一的企業流程標準體系,為信息化系統的開發應用打下良好的基礎;其次,系統的開發過程要實現標準化,無論是信息化平臺的建立、信息編碼的使用、數據庫結構的類型等,都要實現標準化;最后,信息化系統的技術標準和技術規范要統一,這樣既方便對項目和產品進行評價,也可以依此進行性能對比。
(四)建立完善的信息系統仿真平臺
隨著電力企業信息化建設的不斷進行,各類信息系統的建設日漸完備,如何為企業培養一批具有一定業務知識和專業技能的信息化人才成為目前亟待解決的問題,信息系統仿真平臺正是為滿足這一需求而建立的。
信息系統仿真平臺是在原有網絡、安全、主機三種類型仿真建模的基礎上,完成生產管理系統、電子商務平臺、災備應急演練、桌面管理系統等業務系統的仿真建設,在此基礎上對企業信息系統的運維人員進行培訓、考試、競賽等活動,為企業構建“持續培訓、階段考試、持證上崗”的系統化人才隊伍建設體系,促進企業信息系統運行的規范化、標準化。除此之外,信息系統仿真平臺還可以根據具體業務的需要,完善相應的工具和場景設計,以產品化的方式為企業提供最佳的解決方案。
參考文獻
[1] 李羨.淺談電力企業信息化建設[J].山東電力高等專科學校學報,2009,10(5):78-80.
1企業信息安全相關概述
1.1信息安全的含義
迄今為止,對信息安全依然沒有一個統一和公認的定義。但是從國內外研究來看,對其主要存在2種說法:一種指的是具體信息安全技術系統的安全;而另一種則指的是某些特定的信息體系的安全。上述2種定義主要站在靜態的角度上闡述了信息安全的基本層面,但是信息系統和網絡的影響決定了信息安全是一個動態的改變,其主要是防止企業信息遭到惡意泄露、破壞、更改[1]。信息安全的最終目的是向合法的對象提供安全、可靠的信息。
1.2信息安全在企業中發揮的重要作用
企業信息作為企業的寶貴資源,保證企業信息的安全性對企業的生存和發展具有重要作用,主要體現在以下3個方面:一是企業信息安全是保障企業正常運行的基本前提。在網絡時代背景下,企業信息安全的內容更廣泛,再加上現代企業制度的不斷建立和完善,越來越多的企業依靠信息數據庫開展各項工作,例如:對于市場情況的分析、做出重大決策等等。二是保障企業信息安全是提高企業市場競爭力的必備條件。隨著市場經濟的不斷完善,企業面臨的競爭也越來越激烈,在這種形勢下,企業要想獲取市場競爭優勢就需要依靠信息安全來實現。三是企業信息安全作為企業發展戰略中重要的組成部分,而企業實施各項戰略主要是通過自身的經營活動、財務信息等開展的,這些數據也能夠將企業的戰略實施方法以及下一步計劃詳細地反應出來,因此,如果企業的信息安全無法得到保障,那么企業要實施各項戰略難度也很大。
2網絡時代下企業信息安全風險分析
2.1缺乏高度的信息安全風險意識
在網絡時代的浪潮下,很多企業都在逐步加強自身信息安全的建設,通過加大資金投入、創新技術等措施來保障自身的信息安全,然而,對信息風險的控制并非僅僅依靠技術就可以實現,更重要的是人們要樹立起信息安全的風險意識。但是從當前來看,還有很大一部分企業的領導者、管理者、員工缺乏對信息安全風險的高度重視,主要表現在:個別人甚至片面地認為信息安全僅僅是網絡部門的責任,跟自身沒有多大關系;二是有個別企業領導者認為對信息安全的宣傳過度夸張,遭受網絡攻擊的概率小,一般不會發生在自己身上;三是個別企業沒有建立信息安全風險管理體系,再加上企業缺乏具體的故障系統,導致企業信息安全遭到風險時,員工往往手足無措,雖說有些企業針對自身的信息安全制定了一系列規章和制度,但是由于缺乏針對性和操作性,導致這些制度無法得到真正落實。
2.2應用系統的安全性不高
企業要實現信息化建設的目的,少不了各種應用系統作支撐,但是從實際情況來看,很多企業還存在著應用系統的安全性不高等問題,進而導致企業在數據傳輸和存儲等方面存在漏洞。如此容易被一些病毒、惡意軟件竊取,實現非法訪問,進而引發企業信息丟失或者泄露等安全風險。另外,很多企業應用系統的安全方模式也較為單一,絕大部分主要是采用“口令”的方式進行認證,無法實現對信息安全全方位的防范。另外,企業設置的密碼過于簡單、操作不規范等等都會增加應用系統安全的風險。
2.3技術設備和設施的作用發揮不足
個別企業為了防范信息安全風險,針對一些重要信息設置了安全設備,但是由于操作條件和參數設施不夠合理,無法將這些設備的作用充分發揮出來。還有很多企業沒有通過建立工作日志來對安全設備、設施的運行情況進行監控,進而不能根據企業的經營情況對信息安全進行風險控制,更無法采取有效措施保障企業風險管理。
3網絡時代下控制企業信息安全風險途徑分析
3.1加強信息安全教育,提高信息安全風險意識
由于在企業信息安全控制中,提高員工的信息安全意識是保證企業信息安全的決定性因素,因此,企業應該加強對員工的信息安全教育,幫助員工樹立起信息安全風險意識,例如:企業可以利用一些重大節日開展關于信息安全的演講比賽、征文比賽,也可以通過建立適當的激勵制度以及開展培訓活動等途徑來加強員工對信息安全重要性的認識,進而提高自身的信息安全風險防范意識和觀念。
3.2加強信息化建設,設置信息安全管理部門
在企業信息化建設中,信息安全作為重要的基礎,企業要強化自身的內部控制,就應該落實信息安全的建設工作。加強信息化建設首先需要企業將信息安全納入安全管理范圍內,進而突出信息安全建設管理的重要地位;然后不斷健全信息安全的責任制度,爭取形成信息安全聯動管理機制,確保信息安全管理的有效性;最后,在企業中設置信息安全管理機構,該部分的主要職能為企業信息安全建設、管理以及員工的信息安全教育培訓工作等,從而為企業的信息安全風險控制創建一個良好的內部環境[2]。
3.3運用新技術,加強信息安全風險防范
當前控制信息安全風險常見的主要有VPN技術和防火墻技術:(1)VPN技術。VPN主要指的是在公共網絡的虛擬專用網絡中建立一個臨時的安全鏈接,在通常情況下,對VPN內部進行擴展可以實現遠程操作,建立一條分公司、商業合作商和供應商跟公司內部網絡安全聯系,從而確保信息交換的安全性,保證數據傳輸的安全性。(2)防火墻技術。防火墻也被稱為訪問控制系統,主要是通過對網絡做拓撲結構和服務類型上的隔離來保障網絡安全。運用防火墻技術可以保證企業的內部網絡免受外部網絡的侵占,并阻斷非法訪問的外部網絡進入企業內部網絡,保證企業信息和資源的安全。
4結語
【關鍵詞】企業信息化建設;信息安全問題;防范措施
當今是信息爆炸時代,信息化時代的到來給企業帶來了更為廣闊的發展空間。企業通過互聯網渠道搜集海量信息,為企業產品推廣和聯系客戶提供了平臺。當前,尤其是伴隨著“兩化融合”的推進,許多的企業都意識到加強信息化建設對自身發展的重要性,加大了對信息化建設的資金、人力投入,以促進企業走向信息化發展道路。但伴隨著企業信息化建設過程中也出現了一些信息安全問題,例如:不法分子采取技術手段竊取企業重要信息進行不正當交易。企業重要信息一旦泄露,很可能會給企業帶來嚴重的經濟損失,嚴重者可能會造成企業倒閉。因此,作為企業而言在加快信息化建設的同時絕對不能忽視信息安全問題。深入性地分析信息安全問題產生的原因,積極采取有效措施,減少或者避免信息安全問題的發生。
1企業信息安全問題分析
就當前企業信息化建設中存在安全問題的原因來講,只要主要有內因和外因兩種。具體分析如下:
1.1內部原因
1.1.1企業信息系統安全意識薄弱
當前,多數企業都意識到信息化建設對自身發展的重要性,加大了信息化建設的投入力度。但因缺乏實踐指導,管理層信息化意識缺乏,發展盲目,對信息安全問題往往忽視,使得信息化系統運行過程中出現不同程度的安全問題。
1.1.2信息安全軟件技術不高
當前國內的信息安全軟件技術雖然發展較快,但同國外發達國家的信息安全軟件技術水平相比,差距仍舊比較大。并且信息安全軟件是“盾”,黑客病毒是“矛”,防范措施總是很難趕上病毒以及黑客的發展。
1.1.3管理缺乏規范
部分企業由于沒有從思想上認識到信息安全問題的危害性,重投入,輕管理,空有信息系統卻管理混亂,沒有建立有效的安全問題防范機制,這就給惡意人員侵入企業信息系統提供了機會,造成企業的重要信息被竊取或丟失。
1.1.4專業技術人員缺乏
一般而言,企業信息安全系統的維護和升級都要有專業的技術人員操作。但由于企業的高層對于信息化的認識程度、企業的發展程度差異,導致部分企業沒有配置專門的管理技術人員,設備與系統缺乏專業的維護管理。
1.1.5信息安全問題的相關法律不夠健全
針對當前國內危及企業信息安全的違法犯罪行為,我國還沒有相關的法律法規體系,導致這種類型犯罪較難管理,企業因信息被竊取而造成的經濟損失,也很難獲得合理賠償。
1.2外部原因
現階段,企業信息系統受到的威脅主要來源于外部。隨著現代信息技術的高速發展,信息逐漸在市場中突顯出其重要作用。一些不法分子看準信息對企業發展重要性的這一點采用不同手段來竊取企業的一些重要信息來謀取利益。此外,還有一些企業為了能夠在市場中取得競爭優勢,也會采取一些不法手段來獲取其他競爭對手的信息,借以打壓競爭對手。
2企業信息化建設中安全問題的應對措施
2.1企業應提高信息安全問題防范意識
企業應提高信息安全問題防范意識,將信息安全問題防范工作上升到企業戰略層面,將其放在企業信息化建設工作的重要位置,立足長遠,合理規劃,重視信息化建設中信息安全問題的防范,加強對信息安全問題的研究,積極采取有效措施防范可能會發生的信息安全問題,建立長效機制。
2.2正確選擇信息安全防護軟件
目前,企業在信息化建設中對于信息安全問題往往會采用信息安全防護軟件方式來防范安全問題。但有些企業在選擇信息安全防護軟件時沒有注重信息安全防護軟件的質量,有時候選擇一些防護性能弱,價格低廉的軟件。使得信息安全防護軟件起不到防護功能。即浪費了企業資金,由起不到應有的效果。
2.3加強企業信息系統管理
我們知道,不管是任何安全防護硬件或者軟件都不是完美的,都存在一定的漏洞,都有可能遭到破壞和攻擊,使其失去防護功能。所以,其只是輔助措施,對于信息安全防護工作不能完全依賴技術手段,以為只要采購好軟硬設備舊高枕無憂了,而是要在擁有技術手段的同時,加強日常管理,建立長效管理機制。通過健全的信息安全管理制度,并且管理人員切實貫徹落實才能防患于未然。建立信息安全風險評估體制。基于企業的信息系統不是在同一時間和同一技術支持下所建立的,所以在信息系統運行管理中各個系統可能存在的運行安全隱患是不同的。這就需要企業根據系統的不同找出各自的不安全因素和漏洞。建立完善的信息安全風險評估體制,通過量化分析,制定切實可行的信息系統運行風險防范措施。加強網絡管理。企業的信息系統遭到破壞,信息泄露都是企業外的一些不法分子通過網絡來竊取的。因此,企業內部應建立完善的網絡管理專業人才隊伍,加強對網絡安全管理,給企業信息系統的運行提供安全可靠環境。
3結語
總之,加強信息化建設已經成為當前企業必須要重視的課題。在企業信息化建設快速發展的同時,信息系統安全問題也越來越突出,給企業信息系統的可靠性運行造成了不同程度的影響,所以,企業應重視信息系統安全問題的分析和研究,采取有效的信息安全防范對策,確保企業信息系統的安全、穩定、可靠運行。
參考文獻
