企業(yè)信息安全的問題范文

時間:2023-10-09 17:30:30

導(dǎo)語:如何才能寫好一篇企業(yè)信息安全的問題,這就需要搜集整理更多的資料和文獻(xiàn),歡迎閱讀由公務(wù)員之家整理的十篇范文,供你借鑒。

企業(yè)信息安全的問題

篇1

【關(guān)鍵詞】企業(yè)信息化;信息安全問題;原因;對策

新時期下,信息化技術(shù)在各行業(yè)中運(yùn)用日漸深入,給企業(yè)現(xiàn)代化建設(shè)與快速發(fā)展帶來了無限動力。企業(yè)信息化建設(shè)已成為我國經(jīng)濟(jì)信息化建設(shè)能否成功的關(guān)鍵所在,也是提升企業(yè)自身市場競爭力與企業(yè)升級進(jìn)步的重要保證和標(biāo)志[1]。但是,企業(yè)信息化建設(shè)過程中不可避免的出現(xiàn)信息安全問題,給企業(yè)正常生產(chǎn)經(jīng)營帶來諸多不利影響。因此,加強(qiáng)企業(yè)信息化建設(shè)中信息安全管理,已成為現(xiàn)代企業(yè)經(jīng)營管理的一個至關(guān)重要的工作。

1企業(yè)信息化概述

所謂的企業(yè)信息化,指的是實(shí)現(xiàn)企業(yè)的資金流、物流、作業(yè)流、信息流的數(shù)字化、網(wǎng)絡(luò)化管理,實(shí)行企業(yè)運(yùn)行的自動化和企業(yè)制度的現(xiàn)代化[2]。企業(yè)信息化建設(shè)涉及了企業(yè)生產(chǎn)經(jīng)營中的各個部門,其主要利用現(xiàn)代化信息技術(shù),通過完善企業(yè)內(nèi)外網(wǎng)絡(luò)信息系統(tǒng),實(shí)現(xiàn)對企業(yè)內(nèi)外知識與信息資源的開發(fā)。可見,建設(shè)企業(yè)信息化體系,不但可以及時有效的提供各種數(shù)據(jù)信息給企業(yè)決策層,也為企業(yè)未來規(guī)劃設(shè)計(jì)提供參考依據(jù),而且還有利于企業(yè)滿足瞬息萬變的市場需求,為企業(yè)市場核心競爭力的提升帶來動力。

2當(dāng)前企業(yè)信息化建設(shè)中信息安全問題

企業(yè)信息化建設(shè)與發(fā)展為企業(yè)持續(xù)、健康、穩(wěn)定發(fā)展發(fā)揮了顯著作用,但同時也存在著諸多信息安全問題,具體分析主要有以下幾方面[3]:(1)當(dāng)前,絕大多數(shù)企業(yè)缺乏完善的安全防御系統(tǒng),導(dǎo)致企業(yè)內(nèi)部使用的信息系統(tǒng)易遭受外部網(wǎng)絡(luò)系統(tǒng)的攻擊,引發(fā)企業(yè)信息資料被他人截獲、篡改與偽造等問題,甚至企業(yè)信息系統(tǒng)中出現(xiàn)通信線路、硬盤設(shè)施以及其他文件系統(tǒng)遭惡意破壞現(xiàn)象,上述問題的發(fā)生不但致使企業(yè)信息系統(tǒng)無法正常運(yùn)行,而且其內(nèi)部機(jī)密信息易發(fā)生泄漏,造成企業(yè)嚴(yán)重的社會經(jīng)濟(jì)損失。(2)針對郵件系統(tǒng)攻擊防不甚防。在企業(yè)信息系統(tǒng)中電子郵件具有重要的作用,通過電子郵件接收與傳送,極大的方便了企業(yè)內(nèi)部間與外部間信息交流與溝通。然而,電子郵件安全問題也日益突出,典型的如電子郵件病毒、垃圾郵件、機(jī)密信息泄露以及電子郵件炸彈等,給企業(yè)信息傳輸帶來了巨大安全隱患。因此,電子郵件安全問題不可忽視。(3)漏洞攻擊日益嚴(yán)重。按照漏洞問題發(fā)生原因可分為軟件漏洞和協(xié)議漏洞兩種,其中軟件漏洞主要是受外部不法分子攻擊軟件自身存在的漏洞,造成企業(yè)信息泄露等問題;而協(xié)議漏洞則主要是由于TCP/IP協(xié)議自身在安全機(jī)制方面存在的諸多漏洞問題導(dǎo)致,外部不法人員通過攻擊TCP/IP協(xié)議漏洞,致使企業(yè)信息系統(tǒng)遭受破壞。目前情況,很多企業(yè)對自身信息系統(tǒng)缺乏成熟的漏洞檢測手段和能力,往往事發(fā)后才采取補(bǔ)救措施。(4)是Web服務(wù)安全問題突出,根據(jù)Web服務(wù)流程,其發(fā)生安全問題的主要組成包括Web服務(wù)端安全問題、瀏覽器客戶端安全問題兩種。其中,Web服務(wù)端安全問題主要是企業(yè)Web主機(jī)遭受外部不法分子侵入,導(dǎo)致企業(yè)保密信息遭竊或者企業(yè)部分信息遭受非法篡改等;瀏覽器客戶端安全問題則是企業(yè)瀏覽器客戶端遭外部非法分子侵入,致使部分機(jī)密信息與數(shù)據(jù)遭竊等。

3導(dǎo)致企業(yè)信息化建設(shè)中信息安全問題因素

企業(yè)信息化建設(shè)中信息安全問題發(fā)生受諸多因素影響,具體分析主要有以下幾方面[4]:(1)目前,絕大多數(shù)企業(yè)在信息化建設(shè)過程中,對于信息安全問題重視度嚴(yán)重不足。一方面,受傳統(tǒng)經(jīng)營觀念影響,企業(yè)管理層偏重于對企業(yè)生產(chǎn)經(jīng)營中的有形資產(chǎn)給予關(guān)注與重視,而忽略了企業(yè)知識與信息資料等無形資源,導(dǎo)致在企業(yè)信息安全管理方面各項(xiàng)投入嚴(yán)重不足,進(jìn)而造成信息安全問題日益凸顯;另一方面,多數(shù)企業(yè)在面對信息安全問題時,存在著盲目樂觀現(xiàn)象,認(rèn)為信息安全問題不至于導(dǎo)致企業(yè)正常生產(chǎn)經(jīng)營,使得信息安全管理無法上升至企業(yè)發(fā)展規(guī)劃戰(zhàn)略之中,進(jìn)而造成信息安全問題得不到及時有效解決。(2)由于企業(yè)信息化建設(shè)在我國尚處于起步階段,各方面配套管理制度不夠完善,特別是缺乏健全的企業(yè)信息安全管理體制。受此影響,企業(yè)信息化建設(shè)中信息安全問題一方面無法得到有效的預(yù)防措施,另一方面是一旦發(fā)生信息安全問題,無法采取及時有效的補(bǔ)救與解決對策。同時,由于缺乏科學(xué)、合理、有效的企業(yè)信息安全防護(hù)策略,使得企業(yè)信息管理人員缺乏必要的安全防護(hù)意識與業(yè)務(wù)素質(zhì)能力,致使企業(yè)信息安全防護(hù)軟硬件工作質(zhì)量與效率明顯不足。上述兩個因素,導(dǎo)致企業(yè)無論是從人員配置,還是資金與技術(shù)投入方面都嚴(yán)重不足,受企業(yè)信息管理人員業(yè)務(wù)素質(zhì)能力不足、信息安全技術(shù)方法落后以及配套的資金缺乏等影響,企業(yè)信息安全防護(hù)的措施、手段偏低,造成企業(yè)信息化建設(shè)存在著嚴(yán)重安全隱患。

4提升企業(yè)信息化建設(shè)中信息安全對策

針對當(dāng)前企業(yè)信息化建設(shè)中存在的信息安全問題,為加強(qiáng)企業(yè)信息安全管理,提升企業(yè)信息安全保障,可通過采取以下幾方面對策,具體有[5]:(1)轉(zhuǎn)變傳統(tǒng)企業(yè)信息化建設(shè)觀念,在企業(yè)內(nèi)部管理層從上至下加強(qiáng)對企業(yè)信息安全的重視,并樹立正確的安全意識。一方面,通過組織各種信息安全管理培訓(xùn)等,增強(qiáng)全體企業(yè)員工信息安全意識,確保企業(yè)保密信息不外漏;另一方面,逐步加大企業(yè)信息化建設(shè)中信息安全管理各項(xiàng)資金、技術(shù)、人力投入,并建立科學(xué)、合理、有效的企業(yè)信息安全防護(hù)策略,保障企業(yè)信息系統(tǒng)安全穩(wěn)定。(2)不斷的推進(jìn)網(wǎng)絡(luò)信息技術(shù)的發(fā)展與運(yùn)用,促進(jìn)企業(yè)組織結(jié)構(gòu)網(wǎng)絡(luò)化的實(shí)現(xiàn),同時引進(jìn)先進(jìn)的安全防護(hù)技術(shù),確保企業(yè)信息化系統(tǒng)安全穩(wěn)定運(yùn)行。任何網(wǎng)絡(luò)信息系統(tǒng)都存在著或大或小的安全漏洞問題,而保證其不受外部不法分子侵入的一個關(guān)鍵方法就是安全防護(hù)技術(shù)的運(yùn)用。通過選用先進(jìn)的安全防護(hù)技術(shù),可以有效的提高企業(yè)信息系統(tǒng)抵抗外來攻擊,避免企業(yè)信息遭受竊取、篡改甚至破壞等,對于保障企業(yè)持續(xù)、健康、穩(wěn)定發(fā)展具有顯著作用。(3)結(jié)合企業(yè)信息化建設(shè)實(shí)際情況,建立健全企業(yè)內(nèi)部信息系統(tǒng)管理體制。一方面,針對信息安全問題,應(yīng)建立科學(xué)、合理、規(guī)范的信息安全管理體制,保證企業(yè)信息系統(tǒng)安全運(yùn)行;另一方面,建立健全企業(yè)安全風(fēng)險(xiǎn)評估機(jī)制,針對不同系統(tǒng)找出影響其安全的因素和漏洞,并制定出最佳的對策,降低企業(yè)信息安全風(fēng)險(xiǎn);此外,加強(qiáng)相應(yīng)的網(wǎng)絡(luò)管理,防止外來不法分子通過網(wǎng)絡(luò)侵入企業(yè)信息系統(tǒng)。(4)根據(jù)新時期企業(yè)信息化建設(shè)需要,加強(qiáng)企業(yè)信息技術(shù)人才、信息管理人才隊(duì)伍建設(shè),為企業(yè)信息安全管理奠定堅(jiān)實(shí)的人才基礎(chǔ)。一方面,在企業(yè)內(nèi)部,加強(qiáng)信息技術(shù)人才培訓(xùn),提高企業(yè)內(nèi)部相關(guān)人才業(yè)務(wù)素質(zhì)能力;另一方面,在企業(yè)外部,采取有效措施,積極招聘人才,引進(jìn)具有先進(jìn)信息技術(shù)型人才;此外,建立健全企業(yè)信息安全管理用人機(jī)制,激發(fā)員工工作積極性,提高工作質(zhì)量與效率。

5小結(jié)

總而言之,企業(yè)信息安全事關(guān)企業(yè)信息化建設(shè)是否成功,對于企業(yè)持續(xù)、健康、穩(wěn)定發(fā)展具有至關(guān)重要的作用。因此,應(yīng)提高企業(yè)信息安全管理意識,增強(qiáng)企業(yè)信息安全管理機(jī)制,促進(jìn)企業(yè)信息安全管理工作質(zhì)量與效率,保障企業(yè)信息化建設(shè)順利開展。

作者:吳捷 單位:中海石油氣電集團(tuán)有限責(zé)任公司

參考文獻(xiàn)

[1]毛志勇.企業(yè)信息化建設(shè)的信息安全形勢與對策研究[J].科技與產(chǎn)業(yè),2008,8,(1):43~45.

[2]纂振法,徐福緣.淺析企業(yè)信息化建設(shè)的意義、問題與對策[J].吉林省經(jīng)濟(jì)管理干部學(xué)院學(xué)報(bào),2001,3:24~28.

[3]謝志宏.企業(yè)信息化建設(shè)中的信息安全問題研究[J].企業(yè)導(dǎo)報(bào),2014(06):132~133.

篇2

[摘 要] 信息安全審計(jì)系統(tǒng)針對互聯(lián)網(wǎng)行為提供有效的行為審計(jì)、內(nèi)容審計(jì)、行為報(bào)警、行為控制及相關(guān)審計(jì)功能。從管理層面提供互聯(lián)網(wǎng)的有效監(jiān)督,預(yù)防、制止數(shù)據(jù)泄密。滿足用戶對互聯(lián)網(wǎng)行為審計(jì)備案及安全保護(hù)措施的要求,提供完整的上網(wǎng)記錄,便于信息追蹤、系統(tǒng)安全管理和風(fēng)險(xiǎn)防范。

[關(guān)鍵詞] 安全;信息系統(tǒng);審計(jì);虛擬化

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2017. 07. 028

[中圖分類號] F239.1 [文獻(xiàn)標(biāo)識碼] A [文章編號] 1673 - 0194(2017)07- 0058- 04

1 引 言

隨著信息技術(shù)的高速發(fā)展,企業(yè)業(yè)務(wù)對于IT系統(tǒng)的依賴性不斷增強(qiáng),信息和業(yè)務(wù)交付的靈活性與信息安全保護(hù)、防止泄露成為實(shí)際工作中的矛盾,企業(yè)IT運(yùn)營既要滿足業(yè)務(wù)發(fā)展對業(yè)務(wù)交付靈活性的要求,又要防止信息泄露,因?yàn)樾畔踩珕栴}關(guān)系到企業(yè)的聲譽(yù),同時關(guān)系到企業(yè)的經(jīng)營風(fēng)險(xiǎn),更關(guān)系到國家的機(jī)密信息安全。

2 目前化工行業(yè)信息安全風(fēng)險(xiǎn)分析

2.1 化工行業(yè)信息化發(fā)展趨勢

石油化學(xué)工業(yè)是基礎(chǔ)性產(chǎn)業(yè),在國民經(jīng)濟(jì)中占有舉足輕重的地位,是我國的支柱產(chǎn)業(yè)部門之一,化工行業(yè)之所以重視信息化工作,首先與2015年總理提出的“互聯(lián)網(wǎng)+”的大發(fā)展背景密不可分,工藝流程的制定、化工裝置的運(yùn)行、化工產(chǎn)品的銷售都高度依賴于信息化、互聯(lián)網(wǎng)技術(shù);其次是從化工行業(yè)的自身特點(diǎn)衍生出來的,其產(chǎn)品數(shù)量多、種類多,產(chǎn)品各個環(huán)節(jié)的各個控制點(diǎn)特別多,這就要求用信息化技術(shù)能夠?qū)どa(chǎn)中的各個環(huán)節(jié)產(chǎn)生積極和促進(jìn)作用。

2.2 化工行業(yè)信息安全管理的現(xiàn)狀和挑戰(zhàn)

因?yàn)樾畔踩芾淼囊?,在網(wǎng)絡(luò)管理層面,石油系統(tǒng)內(nèi)的企業(yè)已經(jīng)建立了完善的內(nèi)、外網(wǎng)隔離的管理平臺,兩個網(wǎng)絡(luò)完全物理隔離,不能互相訪問;石油系統(tǒng)內(nèi)還部署了病毒防御、主動攻擊防御系統(tǒng)(Symantec Endpoint Protection),保密安全,漏洞防護(hù)等一系列安全防護(hù)系統(tǒng),看似已經(jīng)建立了一個信息非常安全、固若金湯的基礎(chǔ)架構(gòu)。但在實(shí)際業(yè)務(wù)發(fā)展中,仍然存在一些隱患,不容忽視,面臨挑戰(zhàn)。

一方面企業(yè)的業(yè)務(wù)已經(jīng)非常依賴信息系統(tǒng),因?yàn)闃I(yè)務(wù)發(fā)展需要急需把內(nèi)網(wǎng)系統(tǒng)交付到外網(wǎng)去,即人員在出差過程中能處理內(nèi)網(wǎng)的業(yè)務(wù)?,F(xiàn)有的內(nèi)外網(wǎng)隔離架構(gòu),只有特權(quán)用戶能夠進(jìn)行辦公,為新的用戶授權(quán)又需要經(jīng)過一系列嚴(yán)格的程序,交付周期相對較長,因此不具備實(shí)現(xiàn)業(yè)務(wù)交付的靈活性。

另一方面,即使建立了內(nèi)外網(wǎng)隔離的架構(gòu),也不能從根本阻止信息泄露,而且對于信息泄露事件也不能做到追本溯源,以避免類似事件發(fā)生。據(jù)全球權(quán)威的調(diào)查機(jī)構(gòu)報(bào)告顯示客戶發(fā)生的信息泄露75%來自系統(tǒng)內(nèi)部網(wǎng)絡(luò),而且超過50%的信息泄露沒有找到信息泄露的源頭。外網(wǎng)通過入侵,只能獲得企業(yè)非關(guān)鍵信息;而對內(nèi)網(wǎng)進(jìn)行的各種違規(guī)操作,才是最致命的,給企業(yè)帶來巨大的經(jīng)營風(fēng)險(xiǎn)。所以即使進(jìn)行了完全隔離,也不能杜絕信息泄露,內(nèi)部網(wǎng)絡(luò)的信息泄露主要來自于以下三個方面(見圖1):

(1)由外包服務(wù)公司員工引起信息泄露。伴隨著IT系統(tǒng)越來越復(fù)雜,客戶本身很難成為各種應(yīng)用系統(tǒng)、各種管理系統(tǒng)的專家,往往采用服務(wù)外包方式進(jìn)行管理,現(xiàn)實(shí)的問題在于,由于沒有一套完善的監(jiān)控、審計(jì)機(jī)制,外包服務(wù)公司人員究竟在管理平臺上修改了什么,平臺上的數(shù)據(jù)被是否被保存到了IT服務(wù)外包人員本地電腦上并被泄漏出去,是否有危及系統(tǒng)安全和數(shù)據(jù)保密的操作都不得而知,出現(xiàn)人為操作故障后,追溯問題根源存在爭執(zhí),追究責(zé)任困難,這就成為了信息泄露的最大漏洞。

(2)由內(nèi)部IT人員引起信息泄露。在IT系統(tǒng)管理過程中,IT管理人員通常有非常大的權(quán)限,如何管理和評估這些人員在日常工作中是否有超過權(quán)限的操作,怎么清晰地知道哪個IT人員什么時間做過什么操作,都是擺在企業(yè)面前的現(xiàn)實(shí)問題。

(3)由內(nèi)部業(yè)務(wù)人員引起信息泄露。業(yè)務(wù)人員因?yàn)橹苯诱莆樟似髽I(yè)財(cái)務(wù)、設(shè)備、銷售、物料、物流等各個方面的數(shù)據(jù),也是信息泄露的關(guān)鍵因素之一。

3 建設(shè)審計(jì)系統(tǒng)的意義

由于企業(yè)信息安全管理存在外包服務(wù)公司員工引起信息泄露、炔IT人員引起信息泄露、內(nèi)部業(yè)務(wù)人員引起信息泄露的情況,因此圍繞業(yè)務(wù)系統(tǒng)需要建立可控的、有序的安全架構(gòu),以防止和杜絕任何企業(yè)數(shù)據(jù)泄漏的隱患,通過使用信息內(nèi)容審計(jì)系統(tǒng)能夠在已建立起的網(wǎng)絡(luò)安全平臺上再增加一道安全防護(hù)屏障,從而實(shí)現(xiàn)真正完善的信息安全防護(hù)體系,這對企業(yè)的信息化發(fā)展具有重要意義,使用信息內(nèi)容審計(jì)系統(tǒng)的具體價(jià)值體現(xiàn)在以下幾點(diǎn):

(1)審計(jì)敏感信息接觸者,如IT管理員、業(yè)務(wù)人員、外包公司員工,他們都需要通過審計(jì)管控平臺,才能獲得信息系統(tǒng)的訪問、管理權(quán)限,獲得其需要的應(yīng)用和數(shù)據(jù),如此便可實(shí)現(xiàn)從源頭上防范信息數(shù)據(jù)的泄露。

(2)IT管理員、業(yè)務(wù)人員、外包公司員工的所有操作行為可以通過回放錄像的方式進(jìn)行檢索,從而捕捉到關(guān)鍵行為、操作,對于出現(xiàn)的信息泄露等重大問題,責(zé)任范圍可追溯,做到有依可循、有據(jù)可查。

(3)對于系統(tǒng)故障,誤刪除等操作造成的數(shù)據(jù)丟失可以通過操作行為錄像回放,找出故障原因,找回丟失的重要數(shù)據(jù),從而保證企業(yè)的財(cái)產(chǎn)不受損失,保證企業(yè)的名譽(yù)不受損失。

4 審計(jì)的方法、特點(diǎn)

審計(jì)系統(tǒng)綜合了核心系統(tǒng)運(yùn)維和安全審計(jì)管控兩大主干功能,從技術(shù)實(shí)現(xiàn)上講,通過切斷終端計(jì)算機(jī)對網(wǎng)絡(luò)和服務(wù)器資源的直接訪問,而采用協(xié)議的方式,接管了終端計(jì)算機(jī)對網(wǎng)絡(luò)和服務(wù)器的訪問。目前普遍采用的審計(jì)方式有兩種,一種采用一體堡壘機(jī)的方法,一種采用服務(wù)器、審計(jì)軟件兩層架構(gòu)的方法。

4.1 一體堡壘機(jī)功能

(1)單點(diǎn)登錄功能:支持對Windows、LINUX、UNIX、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等一系列授權(quán)賬號進(jìn)行密碼的自動化周期更改,簡化密碼管理,讓使用者無需記憶眾多系統(tǒng)密碼,即可實(shí)現(xiàn)自動登錄目標(biāo)設(shè)備,便捷安全。

(2)統(tǒng)一的賬號管理:能夠?qū)λ蟹?wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等賬號進(jìn)行集中管理,化繁為簡,實(shí)現(xiàn)對維護(hù)管理員的統(tǒng)一審核。

(3)資源授權(quán):設(shè)備提供基于用戶、目標(biāo)設(shè)備、時間、協(xié)議類型IP、行為等要素實(shí)現(xiàn)細(xì)粒度的操作授權(quán),最大限度保護(hù)用戶資源的安全。

(4)訪問控制:設(shè)備支持對不同用戶進(jìn)行不同策略的制定,細(xì)粒度的訪問控制能夠最大限度的保護(hù)用戶資源的安全,嚴(yán)防非法、越權(quán)訪問事件的發(fā)生。

(5)操作審計(jì):能夠?qū)ψ址D形、文件傳輸、數(shù)據(jù)庫等全程操作行為審計(jì);通過設(shè)備錄像方式實(shí)時監(jiān)控運(yùn)維人員對操作系統(tǒng)、安全設(shè)備、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫等進(jìn)行的各種操作,對違規(guī)行為進(jìn)行事中控制。對終端指令信息能夠進(jìn)行精確搜索,進(jìn)行錄像精確定位。

4.2 審計(jì)軟件功能

新一代的審計(jì)軟件克服了傳統(tǒng)堡壘機(jī)的很多不足,如專用硬件不易維修、升級困難、不能實(shí)現(xiàn)應(yīng)用和數(shù)據(jù)管控、不能對圖像操作進(jìn)行檢索等,在繼承了傳統(tǒng)堡壘機(jī)的基礎(chǔ)上又具備以下優(yōu)點(diǎn):

(1)應(yīng)用管控。實(shí)現(xiàn)獨(dú)立管控,不同人員獲得使用不同應(yīng)用程序的權(quán)限。

(2)數(shù)據(jù)管控。無論局域網(wǎng)操作者還是廣域網(wǎng)遠(yuǎn)程操作者,在審計(jì)環(huán)境下可以看到數(shù)據(jù),使用數(shù)據(jù),但無法下載數(shù)據(jù)。

(3)高安全性。以客戶端/服務(wù)器方式運(yùn)行,將用戶行為變?yōu)榭梢?、可跟蹤、可鑒定,保護(hù)重要數(shù)據(jù)的安全。

(4)集中審計(jì),審計(jì)無盲點(diǎn)。實(shí)現(xiàn)集中審計(jì)、集中訪問控制,對于企業(yè)重要系統(tǒng)和數(shù)據(jù)的管理,有非常重要的價(jià)值;

(5)準(zhǔn)確追溯歷史。在服務(wù)器上部署審計(jì)軟件的科學(xué)方式能夠?qū)碓L人員的行為完整的記錄,并保存在服務(wù)器上,審計(jì)人員能夠按照其想調(diào)查的時間點(diǎn)、調(diào)查的操作人、調(diào)查的內(nèi)容進(jìn)行選擇,通過清晰的視頻回放準(zhǔn)確的定位操作行為。

(6)行為分析報(bào)表。能夠提供準(zhǔn)確、詳細(xì)的審計(jì)報(bào)表,直觀的展現(xiàn)歷史過程。

此外,新一代的審計(jì)軟件還具備更為可靠、先進(jìn)的核心業(yè)務(wù)非法訪問監(jiān)測、惡意程序篡改進(jìn)程、關(guān)鍵數(shù)據(jù)的訪問監(jiān)測、多維度的行為分析和查詢、云終端用戶操作等行為審計(jì)等功能。

5 審計(jì)系統(tǒng)的建設(shè)

鑒于石油化工系統(tǒng)的信息安全、數(shù)據(jù)保密的重要性,在設(shè)計(jì)企業(yè)信息安全防護(hù)系統(tǒng)時要充分考慮到架構(gòu)是否能夠有效的起到安全防護(hù)作用、規(guī)范作用,是否能夠?yàn)槠髽I(yè)運(yùn)營節(jié)省成本、提升企業(yè)運(yùn)營效率等因素,因此在設(shè)計(jì)架構(gòu)時要打破傳統(tǒng)安全防護(hù)的壁壘,在創(chuàng)新發(fā)展與嚴(yán)密管控之間找到平衡點(diǎn),充分發(fā)揮出架構(gòu)的優(yōu)勢。

5.1 架構(gòu)組成

架構(gòu)由三個部分組成,分別是客戶部分、集中訪問控制部分、信息系統(tǒng)部分(見圖2)。

(1)客戶部分,包括IT管理人員、IT運(yùn)維人員、IT外包人員、審計(jì)人員等。

(2)集中訪問控制部分,這里是審計(jì)系統(tǒng)的核心控制區(qū),包括行為審計(jì)應(yīng)用產(chǎn)品、審計(jì)數(shù)據(jù)存儲產(chǎn)品、訪問控制程序區(qū)(SSH、Putty、SecureCRT、遠(yuǎn)程桌面等)。

(3)信息系統(tǒng)部分,包含企業(yè)的各個生產(chǎn)、銷售、物料等信息系統(tǒng)。

5.2 架構(gòu)設(shè)計(jì)

方案采用應(yīng)用虛擬化技術(shù)+智能審計(jì)解決方案,采用行業(yè)中技術(shù)領(lǐng)先的CitrixXenapp+AuditSys審計(jì)產(chǎn)品,構(gòu)建一個安全的集中訪問平臺,將用戶與信息系統(tǒng)分隔開。

首先建立XenApp平臺,將遠(yuǎn)程服務(wù)器和客戶機(jī)上的應(yīng)用程序部署到XenApp平臺上,客戶端設(shè)備只需通過IE就可以運(yùn)行應(yīng)用系統(tǒng),多用戶同時訪問時,由XenApp管理應(yīng)用客戶端軟件的多進(jìn)程訪問,并控制向不同用戶的權(quán)限,服務(wù)器與客戶端之間的數(shù)據(jù)傳輸只是屏幕變化和鼠標(biāo)鍵盤的指令信息,而不傳輸任何實(shí)際操作數(shù)據(jù),真實(shí)的數(shù)據(jù)傳輸發(fā)生在XenApp平臺與信息系統(tǒng)部分之間,從安全性角度分析,這種安全性接近于物理環(huán)境隔離。

然后在XenApp平臺上部署AuditSys產(chǎn)品,實(shí)現(xiàn)審計(jì)任何通過Xenapp平臺訪問的用戶會話,也可以審計(jì)任何通過遠(yuǎn)程桌面、終端服務(wù)、PCANYWHERE等遠(yuǎn)程協(xié)議訪問過來的會話,也可以審計(jì)通過KVM或者通過本地登的用戶會話,通過與Citrix XenApp的無縫集成,不僅可以構(gòu)建一個安全的遠(yuǎn)程集中訪問平臺,還可以對所有的用戶會話,管理員維護(hù)操作等用戶行為進(jìn)行審計(jì)。

所有的行為審計(jì)過程需要完整的記錄并保存,這里部署了Auditsys App Server,保存了Auditsys記錄的完整的行為過程,為檢查人員、審核人員的安全檢查提供可靠依據(jù)。

5.3 架構(gòu)優(yōu)勢

XenApp集中化方法將所有應(yīng)用程序和數(shù)據(jù)存儲都集中在數(shù)據(jù)中心服務(wù)器上,并把數(shù)據(jù)的管理嚴(yán)格控制在數(shù)據(jù)中心。

該方法從安全角度和先進(jìn)角度出發(fā),在安全防護(hù)方面做到了數(shù)據(jù)的不可復(fù)制,在該架構(gòu)下,只有用戶界面、鍵盤敲擊和鼠標(biāo)操作等小量交互信息通過網(wǎng)絡(luò)傳輸,且都是經(jīng)過加密處理的。

XenApp上的應(yīng)用程序需要上層管理者授權(quán)才能使用,保證了應(yīng)用的管控和規(guī)范使用。

客戶部分使用計(jì)算機(jī)在完成數(shù)據(jù)操作時,只能夠看到所使用的數(shù)據(jù),真正的數(shù)據(jù)依然存放在集中訪問控制部分和信息系統(tǒng)中,充分做到了數(shù)據(jù)的安全防護(hù)。

AuditSys具備功能強(qiáng)大的數(shù)據(jù)搜索引擎,支持細(xì)化的組合查詢、多條件選擇查詢,幫助用戶快速完成記錄搜索。

6 總 結(jié)

信息化是企業(yè)工業(yè)生產(chǎn)的重要驅(qū)動力,是企業(yè)可持續(xù)發(fā)展的重要因素,互聯(lián)網(wǎng)+工業(yè)是未來工業(yè)發(fā)展的方向,且工業(yè)信息化發(fā)展的前提又是信息安全,因此,企業(yè)信息安全防護(hù)系統(tǒng)做的好不好,企業(yè)信息安全管理規(guī)范,直接作用于企業(yè)的工業(yè)信息化發(fā)展,進(jìn)而影響企業(yè)的發(fā)展動力、產(chǎn)品創(chuàng)新、技術(shù)產(chǎn)品等多個方面。而信息安全體系中,人員的管控的是最復(fù)雜、最困難的,信息工作中,能否通過有效的安全系統(tǒng)及時有效的發(fā)現(xiàn)、制止信息泄密事件,做到未雨綢繆;能否在發(fā)生泄密事件后,準(zhǔn)確的查出泄密原因,找出泄密人員,亡羊補(bǔ)牢,這尤其需要企業(yè)在信息安全工作中重點(diǎn)考慮,以保證企業(yè)的信息安全防護(hù)系統(tǒng)堅(jiān)固、夯實(shí),以保證企業(yè)的信息化發(fā)展健康、穩(wěn)步。

主要參考文獻(xiàn)

[1]鄧小榕,陳龍.安全審計(jì)數(shù)據(jù)的綜合審計(jì)分析方法[J].重慶郵電學(xué)院學(xué)報(bào):自然科學(xué)版,2005(5).

[2]許霆,袁萌,史美林.網(wǎng)絡(luò)監(jiān)控審計(jì)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)工程與應(yīng)用,2002(18).

[3]鄧瑛,常國岑.網(wǎng)絡(luò)安全監(jiān)控與審計(jì)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J],計(jì)算機(jī)工程,2002(12).

[4]張俊良.基于信息過濾的網(wǎng)絡(luò)安全審計(jì)系統(tǒng)的研究與實(shí)現(xiàn)[D].西安:西北大學(xué),2009.

[5]曹暉,王青青.新型數(shù)據(jù)庫安全審計(jì)系統(tǒng)[J].計(jì)算機(jī)工程與應(yīng)用,2007,43(5):163-165.

[6]王淵,馬駿.一種基于入侵檢測的數(shù)據(jù)庫安全審計(jì)[J].計(jì)算機(jī)仿真,2007,24(2):33-36.

[7]高彩容.基于數(shù)據(jù)挖掘的網(wǎng)絡(luò)安全審計(jì)技術(shù)研究[D].西安:西安電子科技大學(xué),2008.

[8]韋猛,程克非.基于主機(jī)信息內(nèi)容審計(jì)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].重慶郵電大學(xué)學(xué)報(bào),2008,20(6):725-728.

[9]范紅,邵華.應(yīng)用系統(tǒng)安全審計(jì)檢測研究[J].信息網(wǎng)絡(luò)安全,2012(8):170-172.

篇3

關(guān)鍵詞:企業(yè)信息化 網(wǎng)絡(luò)安全 安全分析

中圖分類號:F270.7 文獻(xiàn)標(biāo)識碼:A 文章編號:1672-3791(2016)03(b)-0024-02

隨著網(wǎng)絡(luò)信息化時代的到來,互聯(lián)網(wǎng)的快速發(fā)展,如今網(wǎng)絡(luò)化已經(jīng)成為企業(yè)信息化發(fā)展過程中的重要推動力量,網(wǎng)絡(luò)信息化使得全球兩百多個國家的信息資源可以得到最大程度上的共享。對于中小企業(yè)而言,企業(yè)信息化的發(fā)展是必經(jīng)之路。但是凡事都有兩面性,都不可能一直順風(fēng)順?biāo)?,這一進(jìn)程必將遭受大大小小的挫折和考驗(yàn);隨著企業(yè)信息化的高速發(fā)展,企業(yè)信息化網(wǎng)絡(luò)安全問題也漸漸變得突出,網(wǎng)絡(luò)安全問題已經(jīng)成為阻礙企業(yè)發(fā)展難以逾越的一條鴻溝。

1 企業(yè)信息化與網(wǎng)絡(luò)安全

1.1 企業(yè)信息化概述

企業(yè)信息化即企業(yè)建設(shè)一個良好的資源平臺,收集各種各樣的信息,建立一個網(wǎng)絡(luò)數(shù)據(jù)庫。在一定程度上利用計(jì)算機(jī)互聯(lián)網(wǎng)技術(shù),控制企業(yè)的經(jīng)濟(jì)發(fā)展,將企業(yè)收集到的信息高度集成化,以此達(dá)到企業(yè)實(shí)現(xiàn)資源共享的目的。其種種行為,都是為了提高企業(yè)的經(jīng)濟(jì)效益,提高企業(yè)市場競爭力。為了達(dá)到之一目的,這就意味著要對企業(yè)的管理流程進(jìn)行變革和優(yōu)化、管理理念的創(chuàng)新和改善、管理團(tuán)隊(duì)的重組以及管理手段進(jìn)行創(chuàng)新。

1.2 網(wǎng)絡(luò)安全概述

網(wǎng)絡(luò)安全的通用定義:就是在網(wǎng)絡(luò)運(yùn)行過程中,網(wǎng)絡(luò)系統(tǒng)的硬件和軟件系統(tǒng)都可以得到很好的保護(hù),不會因?yàn)榕既婚g的原因而遭到惡意的破壞和泄漏,系統(tǒng)的連續(xù)十分可靠,在正常情況下都可以穩(wěn)定運(yùn)行,網(wǎng)絡(luò)服務(wù)器不會因?yàn)槠渌蚨型局袛?。在如今的信息時代下,網(wǎng)絡(luò)安全問題層出不窮,在目前的公共通信網(wǎng)絡(luò)存在著千奇百種的安全漏洞和威脅。

從企業(yè)和單位個人的角度來看,這一群體希望自己的個人隱私和商戶利益在進(jìn)行網(wǎng)絡(luò)傳輸時受到保護(hù)。要求這種保護(hù)真實(shí)完整,保密系數(shù)高,可以做到避免不法分子的竊取和侵犯。保證用戶的利益和隱私不受到損害和侵犯。同時這一群體也希望主機(jī)上的個人信息不受到其他用戶的干擾和破壞。從網(wǎng)絡(luò)運(yùn)行管理者的角度來看,這一群體希望對本地網(wǎng)絡(luò)信息的安全做出有力的保證。保證用戶的個人信息、商業(yè)機(jī)密、生活隱私不受到侵犯和威脅。避免出現(xiàn)病毒的傳染、網(wǎng)絡(luò)資源的非法占用、非法存取、拒絕服務(wù),對黑客的網(wǎng)絡(luò)攻擊進(jìn)行制止和防御。

1.3 網(wǎng)絡(luò)安全的基本特征

保密性:保密性指的是不將用戶的個人隱私、商業(yè)機(jī)密、生活隱私等信息向外界透露,不泄密給非授權(quán)的個人,法律規(guī)定的除外。

可控制性:簡言之,可控制性就是指對企業(yè)信息的傳播方式,傳播途徑都可以很好的掌握,必要時,可以及時控制企業(yè)信息的發(fā)出??梢栽谑跈?quán)范圍內(nèi)對文件的流向以及方式進(jìn)行控制。

可用性:可用性是指保證用戶在合法的情況下,可以及時訪問到所需要的信息資源。具體是指:可用性合法用戶訪問信息并能夠按要求順序使用信息的特性。

2 網(wǎng)絡(luò)安全問題分析

2.1 內(nèi)部因素

企業(yè)在安全意識方面注意度不夠。即使目前已經(jīng)有了相當(dāng)大一部分企業(yè)加快了企業(yè)內(nèi)部信息化建設(shè)的步伐,但是企業(yè)管理者往往看到的只是企業(yè)信息化帶來的經(jīng)濟(jì)效益和社會效益。卻忽略了信息化建設(shè)發(fā)展中存在的一些問題,對信息化的建設(shè)發(fā)展沒有引起高度重視。

管理者在管理制度上存在一定的缺陷,存在著管理制度不夠完善的情況。由于管理制度的整體缺失,加上管理者可能出現(xiàn)操作上的疏忽,這在一定程度上就給了黑客和不法分子趁虛而入的機(jī)會,從而造成企業(yè)信息被竊取,導(dǎo)致企業(yè)蒙受不必要的損失。

國內(nèi)軟件制作技術(shù)相對落后,軟件安全得不到高度保障。自信息化時代以來,尤其是近幾年軟件技術(shù)發(fā)展十分迅速。即便如此,但是我國在軟件制作技術(shù)發(fā)面和發(fā)達(dá)國家在軟件制作技術(shù)方面還是存在著一定差距。

在企業(yè)信息化管理人員方面,尤其是具備這方面的高素質(zhì)管理人才,我國還很缺乏。在企業(yè)信息化安全策略制定的前期,日常安全系統(tǒng)的維護(hù)及日后安全系統(tǒng)的升級,都需要這方面的高素質(zhì)人才進(jìn)行操作。由此可見,企業(yè)高素質(zhì)管理人才的缺乏將直接影響到企業(yè)的信息化建設(shè)。其次,我國的相關(guān)法律法規(guī)及制度還不夠完善。法規(guī)的不夠具體和空白現(xiàn)象,必然直接影響到信息化的建設(shè),阻礙企業(yè)未來的發(fā)展效益。

2.2 外部因素

企業(yè)在信息化建設(shè)過程中受到的影響有很大一部分來自外部因素。隨著社會經(jīng)濟(jì)的發(fā)展,加上市場經(jīng)濟(jì)的推動,在市場競爭中,信息的準(zhǔn)確性已經(jīng)顯得十分重要。有很大一部分不法分子靠竊取商業(yè)機(jī)密來牟利,想盡一切辦法和手段來竊取企業(yè)信息達(dá)到目的。與此同時,還存在著競爭對手用不良手段竊取其他企業(yè)商業(yè)秘密,獲得經(jīng)濟(jì)利益。目前黑客可以通過傳播病毒和攻擊用戶防護(hù)系統(tǒng)等手段入侵企業(yè)的信息化網(wǎng)絡(luò),攻擊企業(yè)信息系統(tǒng)。

3 信息化網(wǎng)絡(luò)安全問題的研究對策

加強(qiáng)對網(wǎng)絡(luò)安全的保護(hù),在對建設(shè)企業(yè)信息化的問題上,起到了至關(guān)重要的作用。不僅為企業(yè)提供了一個良好的網(wǎng)絡(luò)安全環(huán)境,還為企業(yè)信息化工作提供了一個很好的網(wǎng)絡(luò)信息傳輸平臺。下面是一些加強(qiáng)對網(wǎng)絡(luò)安全的保護(hù)對策。

3.1 數(shù)據(jù)加密技術(shù)

數(shù)據(jù)加密可以用來提高信息系統(tǒng)的安全性,對用戶數(shù)據(jù)的保密性也有著十分明顯的作用。數(shù)據(jù)加密手段對保護(hù)數(shù)據(jù)外泄有著非常好的效果。數(shù)據(jù)加密具體通過對數(shù)據(jù)的傳輸、數(shù)據(jù)的存儲、數(shù)據(jù)的完整性這幾個方面來加強(qiáng)對企業(yè)數(shù)據(jù)的防護(hù),以此來提高企業(yè)整體上的安全系數(shù),達(dá)到保障企業(yè)信息化建設(shè)順利進(jìn)行目的。

3.2 主機(jī)安全技術(shù)

主機(jī)安全技術(shù)主要控制系統(tǒng)用戶能否進(jìn)入系統(tǒng)和進(jìn)入系統(tǒng)后可以訪問哪些資源。這對保護(hù)用戶的安全可以起到一定的防范作用。同時他還具備操作系統(tǒng)安全,數(shù)據(jù)庫安全,應(yīng)用軟件程序安全等方面的應(yīng)用。

3.3 樹立安全意識

企業(yè)在信息化發(fā)展進(jìn)程中,必須要意識到企業(yè)發(fā)展環(huán)境的重要性,如果企業(yè)的發(fā)展過程中沒有一個良好的網(wǎng)絡(luò)環(huán)境。那么在企業(yè)的發(fā)展過程中,企業(yè)的商業(yè)機(jī)密和部分信息資源就很有可能被泄露。那么對于企業(yè)而言,這種打擊無疑是毀滅性的,很可能導(dǎo)致企業(yè)經(jīng)濟(jì)效益下降。因此樹立良好的安全意識不僅可以讓競爭對手找不到下手的機(jī)會,打消其作案念頭和使得其不具備作案條件。與此同時,還可以為企業(yè)的后續(xù)發(fā)展打下良好的基礎(chǔ)。

3.4 選擇安全性能高的防護(hù)軟件

世界上的任何一款軟件都可以被破解,沒有絕對破解不了的信息化軟件。但是要明白的是,一些好的信息化軟件比起那些次的信息化軟件,其性能方面是不可比擬的。無論是在操作性能上還是在破解難度上,高性能的防護(hù)軟件,都有著其獨(dú)特的性能優(yōu)勢。

3.5 要時刻加強(qiáng)對企業(yè)內(nèi)部信息化的系統(tǒng)管理

為了加強(qiáng)企業(yè)的信息化管理,可以采用一些必要的技術(shù)手段。例如:采取數(shù)據(jù)加密技術(shù)、防火墻技術(shù)和訪問控制技術(shù)。當(dāng)然,加強(qiáng)對企業(yè)的安全意識,對企業(yè)信息化管理也有著一定程度上的幫助。只有加強(qiáng)對企業(yè)的信息化管理,才能為企業(yè)的系統(tǒng)安全打下良好的基礎(chǔ)。

4 結(jié)語

企業(yè)在信息化建設(shè)過程中,遇到的網(wǎng)絡(luò)問題涉及面非常廣,我國企業(yè)信息網(wǎng)絡(luò)安全技術(shù)的研究仍處于起步階段,對一些網(wǎng)絡(luò)安全方面遇到的問題,需要人們?nèi)ド钊胙芯亢瓦M(jìn)一步的探索,實(shí)時保障企業(yè)信息化網(wǎng)絡(luò)的安全,對企業(yè)經(jīng)濟(jì)的快速發(fā)展起著重要作用。

參考文獻(xiàn)

[1] 何曉晗.企業(yè)信息化建設(shè)中的安全分析[J].科技信息,2008(26):67-68.

篇4

電子商務(wù)已經(jīng)成為人們進(jìn)行商務(wù)活動新的、充滿活力的模式。根據(jù)賽迪網(wǎng)的統(tǒng)計(jì),2005年全國的電子商務(wù)交易額達(dá)到7000億元,預(yù)計(jì)2007年將突破萬億元大關(guān)。這種嶄新的商務(wù)交易模式要求企業(yè)的各部門全面網(wǎng)絡(luò)化,而不僅僅是銷售機(jī)構(gòu),這之中的重中之重就是會計(jì)部門財(cái)務(wù)機(jī)構(gòu)的網(wǎng)絡(luò)化,即網(wǎng)絡(luò)財(cái)務(wù)。所謂“網(wǎng)絡(luò)財(cái)務(wù)”是指基于Internet/Intranet技術(shù),以財(cái)務(wù)管理為核心,業(yè)務(wù)管理與財(cái)務(wù)管理一體化,支持電子商務(wù),能夠?qū)崿F(xiàn)各種遠(yuǎn)程控制(如遠(yuǎn)程記賬、遠(yuǎn)程報(bào)表、遠(yuǎn)程查賬、遠(yuǎn)程審計(jì)、遠(yuǎn)程監(jiān)控等)和動態(tài)會計(jì)核算與在線財(cái)務(wù)管理,能夠處理電子單據(jù)和進(jìn)行電子貨幣結(jié)算的一種全新的財(cái)務(wù)管理模式。網(wǎng)絡(luò)財(cái)務(wù)是企業(yè)信息化環(huán)境下的會計(jì)信息系統(tǒng),是電子商務(wù)的重要組成部分。

一、會計(jì)信息化系統(tǒng)與會計(jì)電算化系統(tǒng)的比較

會計(jì)信息化系統(tǒng)與會計(jì)電算化系統(tǒng)相比,無論從技術(shù)上還是內(nèi)容上來講都是一次質(zhì)的飛躍,其意義不亞于從手工會計(jì)系統(tǒng)到會計(jì)電算化系統(tǒng)的飛躍。二者在基本特征上是有很大區(qū)別的。

從基本的技術(shù)支撐以及行為特征上看,會計(jì)電算化系統(tǒng)是財(cái)會部門邊界范圍內(nèi)的獨(dú)立信息系統(tǒng);是基于局域網(wǎng)的信息系統(tǒng);是模擬人工業(yè)務(wù)內(nèi)容和流程的系統(tǒng);是事后核算型系統(tǒng);是與業(yè)務(wù)處理分割的系統(tǒng);是與管理控制分割的系統(tǒng);它無法實(shí)現(xiàn)與企業(yè)內(nèi)其他系統(tǒng)的數(shù)據(jù)共享。而相應(yīng)地,會計(jì)信息化系統(tǒng)是企業(yè)邊界范圍內(nèi)的非獨(dú)立信息系統(tǒng);是基于互聯(lián)網(wǎng)的信息系統(tǒng);是業(yè)務(wù)流程重組以后的系統(tǒng);是實(shí)時數(shù)據(jù)處理的系統(tǒng);是與業(yè)務(wù)協(xié)同處理的系統(tǒng);是實(shí)時管理控制的系統(tǒng);是信息高度集成和共享的系統(tǒng)。以上的差異導(dǎo)致在具體操作手段上對會計(jì)信息化系統(tǒng)出現(xiàn)了不同于會計(jì)電算化系統(tǒng)的要求,而安全問題是網(wǎng)絡(luò)財(cái)務(wù)發(fā)展的瓶頸,關(guān)系到財(cái)務(wù)網(wǎng)絡(luò)化的建立與發(fā)展,是應(yīng)優(yōu)先提出并解決的問題。

二.會計(jì)信息化系統(tǒng)面臨的安全隱患與對策

1.安全隱患

在電子商務(wù)這種新的經(jīng)濟(jì)模式下,財(cái)務(wù)系統(tǒng)的安全受到了以前所沒有碰到過的挑戰(zhàn),產(chǎn)生了不同于以往的安全隱患,比如各種數(shù)據(jù)與財(cái)務(wù)報(bào)表是以電子的形式存在,并且這些本已脆弱的電子數(shù)據(jù)還要在私有的甚至是公共網(wǎng)絡(luò)上傳遞,這樣使得在整個財(cái)務(wù)流程中產(chǎn)生出了很多新的漏洞。這些有別于傳統(tǒng)會計(jì)電算化系統(tǒng)的安全隱患?xì)w根結(jié)底是由網(wǎng)絡(luò)的不安全所導(dǎo)致的。

Internet的無限性和技術(shù)的開放性,為實(shí)現(xiàn)工作場地虛擬化,資料記錄無紙化,數(shù)據(jù)傳遞遠(yuǎn)程化,信息交流數(shù)字化提供了廣闊的空間,在當(dāng)今時代已經(jīng)顯現(xiàn)出無比的優(yōu)越性,但也使一些不法分子常常有機(jī)可乘,從而使用戶有價(jià)值的企業(yè)信息、關(guān)鍵性的商業(yè)應(yīng)用以及公司客戶的各類私人保密信息暴露。惡意的襲擊會侵入網(wǎng)絡(luò)財(cái)務(wù)站點(diǎn),進(jìn)行各種可能的破壞,如制造和傳播破壞性病毒或讓服務(wù)器拒絕服務(wù)等。這些攻擊可導(dǎo)致公眾信心的喪失,網(wǎng)絡(luò)財(cái)務(wù)實(shí)施的瓦解。目前網(wǎng)絡(luò)上已經(jīng)存在的釣魚攻擊以及經(jīng)過特別編制的木馬病毒,都可以使用戶的信用卡帳號與密碼泄露。當(dāng)前我國擁有網(wǎng)上銀行用戶以千萬計(jì),每年在網(wǎng)上流通的資金數(shù)以千億計(jì),如若各種攻擊可輕易得手,后果將不堪設(shè)想。美國有關(guān)機(jī)構(gòu)曾做過測試,沒有任何安全保護(hù)措施的計(jì)算機(jī)在Internet上的“存活時間”已經(jīng)從2003年平均近1小時下降到了2005年的不足20分鐘。如此脆弱的網(wǎng)絡(luò)確實(shí)讓人擔(dān)憂,而以這樣的互聯(lián)網(wǎng)為平臺的網(wǎng)絡(luò)財(cái)務(wù)更讓人擔(dān)憂。

2.解決對策

網(wǎng)絡(luò)財(cái)務(wù)的信息安全問題是困擾網(wǎng)絡(luò)財(cái)務(wù)發(fā)展的核心問題。要應(yīng)對種種的安全隱患,首先,要做的就是強(qiáng)化網(wǎng)絡(luò)安全防范意識。從宏觀上強(qiáng)化網(wǎng)絡(luò)安全防范意識,實(shí)行網(wǎng)絡(luò)會計(jì)信息安全預(yù)警報(bào)告制度。網(wǎng)絡(luò)財(cái)務(wù)的運(yùn)行平臺是Internet,而且大多數(shù)服務(wù)器和客戶端都以Microsoft?Windows系統(tǒng)作為操作系統(tǒng),而計(jì)算機(jī)病毒或黑客軟件等破壞程序多數(shù)是利用操作系統(tǒng)或應(yīng)用軟件的安全漏洞傳播,這為實(shí)行預(yù)警報(bào)告制度提供了非常有利的條件。因此,財(cái)務(wù)主管部門應(yīng)盡快建立一套完善的網(wǎng)絡(luò)財(cái)務(wù)信息安全預(yù)警報(bào)告制度,依托國家反計(jì)算機(jī)入侵和防病毒研究中心及各大殺毒軟件公司雄厚的實(shí)力,及時網(wǎng)絡(luò)財(cái)務(wù)信息安全問題及計(jì)算機(jī)病毒疫情,從而切實(shí)有效地防范網(wǎng)絡(luò)財(cái)務(wù)信息安全事件。另外,要增強(qiáng)用戶的網(wǎng)絡(luò)安全意識,切實(shí)做好網(wǎng)絡(luò)財(cái)務(wù)信息安全防范工作。要針對用戶安全意識薄弱,對網(wǎng)絡(luò)安全重視不夠,安全措施不落實(shí)的現(xiàn)狀,開展多層次、多方位的信息網(wǎng)絡(luò)安全宣傳和培訓(xùn),真正提高用戶的網(wǎng)絡(luò)安全意識和防范能力。

篇5

 

隨著社會經(jīng)濟(jì)的不斷發(fā)展,網(wǎng)絡(luò)時代逐漸進(jìn)入人們的生活,計(jì)算機(jī)被運(yùn)用在了各個領(lǐng)域中,成為促進(jìn)社會發(fā)展的重要媒介。而與此同時,企業(yè)信息安全問題也逐漸凸顯出來,嚴(yán)重阻礙了企業(yè)的可持續(xù)發(fā)展,因此,在網(wǎng)絡(luò)時代背景下研究企業(yè)安全風(fēng)險(xiǎn)和控制具有重要意義。

 

1 企業(yè)信息安全相關(guān)概述

 

1.1 信息安全的含義

 

迄今為止,對信息安全依然沒有一個統(tǒng)一和公認(rèn)的定義。但是從國內(nèi)外研究來看,對其主要存在2種說法:一種指的是具體信息安全技術(shù)系統(tǒng)的安全;而另一種則指的是某些特定的信息體系的安全。上述2種定義主要站在靜態(tài)的角度上闡述了信息安全的基本層面,但是信息系統(tǒng)和網(wǎng)絡(luò)的影響決定了信息安全是一個動態(tài)的改變,其主要是防止企業(yè)信息遭到惡意泄露、破壞、更改[1]。信息安全的最終目的是向合法的對象提供安全、可靠的信息。

 

1.2 信息安全在企業(yè)中發(fā)揮的重要作用

 

企業(yè)信息作為企業(yè)的寶貴資源,保證企業(yè)信息的安全性對企業(yè)的生存和發(fā)展具有重要作用,主要體現(xiàn)在以下3個方面:一是企業(yè)信息安全是保障企業(yè)正常運(yùn)行的基本前提。在網(wǎng)絡(luò)時代背景下,企業(yè)信息安全的內(nèi)容更廣泛,再加上現(xiàn)代企業(yè)制度的不斷建立和完善,越來越多的企業(yè)依靠信息數(shù)據(jù)庫開展各項(xiàng)工作,例如:對于市場情況的分析、做出重大決策等等。二是保障企業(yè)信息安全是提高企業(yè)市場競爭力的必備條件。隨著市場經(jīng)濟(jì)的不斷完善,企業(yè)面臨的競爭也越來越激烈,在這種形勢下,企業(yè)要想獲取市場競爭優(yōu)勢就需要依靠信息安全來實(shí)現(xiàn)。三是企業(yè)信息安全作為企業(yè)發(fā)展戰(zhàn)略中重要的組成部分,而企業(yè)實(shí)施各項(xiàng)戰(zhàn)略主要是通過自身的經(jīng)營活動、財(cái)務(wù)信息等開展的,這些數(shù)據(jù)也能夠?qū)⑵髽I(yè)的戰(zhàn)略實(shí)施方法以及下一步計(jì)劃詳細(xì)地反應(yīng)出來,因此,如果企業(yè)的信息安全無法得到保障,那么企業(yè)要實(shí)施各項(xiàng)戰(zhàn)略難度也很大。

 

2 網(wǎng)絡(luò)時代下企業(yè)信息安全風(fēng)險(xiǎn)分析

 

2.1 缺乏高度的信息安全風(fēng)險(xiǎn)意識

 

在網(wǎng)絡(luò)時代的浪潮下,很多企業(yè)都在逐步加強(qiáng)自身信息安全的建設(shè),通過加大資金投入、創(chuàng)新技術(shù)等措施來保障自身的信息安全,然而,對信息風(fēng)險(xiǎn)的控制并非僅僅依靠技術(shù)就可以實(shí)現(xiàn),更重要的是人們要樹立起信息安全的風(fēng)險(xiǎn)意識。但是從當(dāng)前來看,還有很大一部分企業(yè)的領(lǐng)導(dǎo)者、管理者、員工缺乏對信息安全風(fēng)險(xiǎn)的高度重視,主要表現(xiàn)在:個別人甚至片面地認(rèn)為信息安全僅僅是網(wǎng)絡(luò)部門的責(zé)任,跟自身沒有多大關(guān)系;二是有個別企業(yè)領(lǐng)導(dǎo)者認(rèn)為對信息安全的宣傳過度夸張,遭受網(wǎng)絡(luò)攻擊的概率小,一般不會發(fā)生在自己身上;三是個別企業(yè)沒有建立信息安全風(fēng)險(xiǎn)管理體系,再加上企業(yè)缺乏具體的故障系統(tǒng),導(dǎo)致企業(yè)信息安全遭到風(fēng)險(xiǎn)時,員工往往手足無措,雖說有些企業(yè)針對自身的信息安全制定了一系列規(guī)章和制度,但是由于缺乏針對性和操作性,導(dǎo)致這些制度無法得到真正落實(shí)。

 

2.2 應(yīng)用系統(tǒng)的安全性不高

 

企業(yè)要實(shí)現(xiàn)信息化建設(shè)的目的,少不了各種應(yīng)用系統(tǒng)作支撐,但是從實(shí)際情況來看,很多企業(yè)還存在著應(yīng)用系統(tǒng)的安全性不高等問題,進(jìn)而導(dǎo)致企業(yè)在數(shù)據(jù)傳輸和存儲等方面存在漏洞。如此容易被一些病毒、惡意軟件竊取,實(shí)現(xiàn)非法訪問,進(jìn)而引發(fā)企業(yè)信息丟失或者泄露等安全風(fēng)險(xiǎn)。另外,很多企業(yè)應(yīng)用系統(tǒng)的安全方模式也較為單一,絕大部分主要是采用“口令”的方式進(jìn)行認(rèn)證,無法實(shí)現(xiàn)對信息安全全方位的防范。另外,企業(yè)設(shè)置的密碼過于簡單、操作不規(guī)范等等都會增加應(yīng)用系統(tǒng)安全的風(fēng)險(xiǎn)。

 

2.3 技術(shù)設(shè)備和設(shè)施的作用發(fā)揮不足

 

個別企業(yè)為了防范信息安全風(fēng)險(xiǎn),針對一些重要信息設(shè)置了安全設(shè)備,但是由于操作條件和參數(shù)設(shè)施不夠合理,無法將這些設(shè)備的作用充分發(fā)揮出來。還有很多企業(yè)沒有通過建立工作日志來對安全設(shè)備、設(shè)施的運(yùn)行情況進(jìn)行監(jiān)控,進(jìn)而不能根據(jù)企業(yè)的經(jīng)營情況對信息安全進(jìn)行風(fēng)險(xiǎn)控制,更無法采取有效措施保障企業(yè)風(fēng)險(xiǎn)管理。

 

3 網(wǎng)絡(luò)時代下控制企業(yè)信息安全風(fēng)險(xiǎn)途徑分析

 

3.1 加強(qiáng)信息安全教育,提高信息安全風(fēng)險(xiǎn)意識

 

由于在企業(yè)信息安全控制中,提高員工的信息安全意識是保證企業(yè)信息安全的決定性因素,因此,企業(yè)應(yīng)該加強(qiáng)對員工的信息安全教育,幫助員工樹立起信息安全風(fēng)險(xiǎn)意識,例如:企業(yè)可以利用一些重大節(jié)日開展關(guān)于信息安全的演講比賽、征文比賽,也可以通過建立適當(dāng)?shù)募钪贫纫约伴_展培訓(xùn)活動等途徑來加強(qiáng)員工對信息安全重要性的認(rèn)識,進(jìn)而提高自身的信息安全風(fēng)險(xiǎn)防范意識和觀念。

 

3.2 加強(qiáng)信息化建設(shè),設(shè)置信息安全管理部門

 

在企業(yè)信息化建設(shè)中,信息安全作為重要的基礎(chǔ),企業(yè)要強(qiáng)化自身的內(nèi)部控制,就應(yīng)該落實(shí)信息安全的建設(shè)工作。加強(qiáng)信息化建設(shè)首先需要企業(yè)將信息安全納入安全管理范圍內(nèi),進(jìn)而突出信息安全建設(shè)管理的重要地位;然后不斷健全信息安全的責(zé)任制度,爭取形成信息安全聯(lián)動管理機(jī)制,確保信息安全管理的有效性;最后,在企業(yè)中設(shè)置信息安全管理機(jī)構(gòu),該部分的主要職能為企業(yè)信息安全建設(shè)、管理以及員工的信息安全教育培訓(xùn)工作等,從而為企業(yè)的信息安全風(fēng)險(xiǎn)控制創(chuàng)建一個良好的內(nèi)部環(huán)境[2]。

 

3.3 運(yùn)用新技術(shù),加強(qiáng)信息安全風(fēng)險(xiǎn)防范

 

當(dāng)前控制信息安全風(fēng)險(xiǎn)常見的主要有VPN技術(shù)和防火墻技術(shù):(1)VPN技術(shù)。VPN主要指的是在公共網(wǎng)絡(luò)的虛擬專用網(wǎng)絡(luò)中建立一個臨時的安全鏈接,在通常情況下,對VPN內(nèi)部進(jìn)行擴(kuò)展可以實(shí)現(xiàn)遠(yuǎn)程操作,建立一條分公司、商業(yè)合作商和供應(yīng)商跟公司內(nèi)部網(wǎng)絡(luò)安全聯(lián)系,從而確保信息交換的安全性,保證數(shù)據(jù)傳輸?shù)陌踩浴?2)防火墻技術(shù)。防火墻也被稱為訪問控制系統(tǒng),主要是通過對網(wǎng)絡(luò)做拓?fù)浣Y(jié)構(gòu)和服務(wù)類型上的隔離來保障網(wǎng)絡(luò)安全。運(yùn)用防火墻技術(shù)可以保證企業(yè)的內(nèi)部網(wǎng)絡(luò)免受外部網(wǎng)絡(luò)的侵占,并阻斷非法訪問的外部網(wǎng)絡(luò)進(jìn)入企業(yè)內(nèi)部網(wǎng)絡(luò),保證企業(yè)信息和資源的安全。

 

4 結(jié) 語

 

總之,網(wǎng)絡(luò)時代的產(chǎn)生為企業(yè)發(fā)展創(chuàng)造了新的模式和發(fā)展契機(jī),但與此同時,企業(yè)的信息安全也面臨著很大的威脅,在很大程度上制約了企業(yè)的可持續(xù)發(fā)展。要實(shí)現(xiàn)對企業(yè)信息安全風(fēng)險(xiǎn)的控制,首先應(yīng)該找準(zhǔn)企業(yè)信息安全的風(fēng)險(xiǎn)點(diǎn),然后采取對應(yīng)措施,如:加強(qiáng)信息安全教育、加強(qiáng)信息化建設(shè)、運(yùn)用新技術(shù)等幾個方面來控制信息安全風(fēng)險(xiǎn)。

 

作者:袁亮 來源:中國管理信息化 2015年17期

篇6

【關(guān)鍵詞】電力企業(yè)信息安全管理;組織管理;失誤因素

1 電力企業(yè)信息安全管理中組織管理失誤的分析方法

電力企業(yè)信息安全管理中的組織管理失誤分析法(英文:Cognitive Relia-bility andErrorAnalysisMethod,即CREAM),是可靠性分析法的典型代表,具有追溯分析功能。通過CREAM的應(yīng)用,可以將失誤事件的外在表現(xiàn)形式稱為失效模式,并且將引起這些失誤事件的直接原因定義為前因。實(shí)踐中,前因可分為具體的前因、一般性前因,CREAM分析法是以失效模式作為出發(fā)點(diǎn)。首先,通過分析失效模式的一般前因、具體前因,得到失效模式前因表,在表中選定一個前因作為后果,然后分析引起這一后果的可能前因,最終得到包含這一后果、可能的前因追溯表;再以該可能前因?yàn)楹蠊?,分析可能的前因,通過連續(xù)不斷的尋找,最終找到引起事件失誤的根本原因。

2 在電力電力企業(yè)信息組織管理過程中,開展多項(xiàng)管控措施、分三步走

第一步,從思想上加強(qiáng)重視。實(shí)踐中,應(yīng)當(dāng)認(rèn)真學(xué)習(xí)貫徹違規(guī)外聯(lián)、外網(wǎng)郵箱發(fā)送的要求,嚴(yán)格按照“業(yè)務(wù)工作誰主管,保密工作誰負(fù)責(zé)”以及“統(tǒng)一領(lǐng)導(dǎo)、分級負(fù)責(zé)”的原則,將信息安全保密職責(zé)有效地落實(shí)到人,讓每個員工熟悉、掌握保密工作的基本要求和規(guī)范。

第二步,深入檢查,全面整改。實(shí)踐中,應(yīng)當(dāng)嚴(yán)格按照檢查內(nèi)容檢查,一定不能留死角、搞形式。在檢查中發(fā)現(xiàn)的問題,要立即糾正,認(rèn)真整改,對存在嚴(yán)重問題的單位要監(jiān)督整改,并組織復(fù)查;發(fā)生泄密、違規(guī)問題時,一定要嚴(yán)肅查處,必要時還要追究責(zé)任人的責(zé)任。

第三步,嚴(yán)格管理,務(wù)求實(shí)效。要進(jìn)一步落實(shí)保密工作責(zé)任制,堅(jiān)持標(biāo)本兼治、系統(tǒng)治理,把檢查活動與日常保密工作安排結(jié)合起來,邊檢查邊整改,以查促管、以查促改、以查促教、以查促防,確保檢查取得實(shí)效。

3 電力企業(yè)信息系統(tǒng)安全管理的必要性

電力企業(yè)信息系統(tǒng)安全管理,是企業(yè)在一定范圍內(nèi)建立起來的信息安全目標(biāo)和方針,并通過努力完成目標(biāo)。對于電力企業(yè)信息安全管理而言,可表示為方法、目的、基本原則和實(shí)施過程等要素集合,作為直接的信息安全管理結(jié)果。2014年8月,某技術(shù)質(zhì)管部專責(zé)高某通過電子郵箱將創(chuàng)新成果--《電力設(shè)計(jì)企業(yè)基于桌面云技術(shù)的信息》以附件形式經(jīng)壓縮、更名后在沒有經(jīng)過加密的情況下,發(fā)送到某部門專家評審組;由于附件內(nèi)容出現(xiàn)“保密”等敏感詞,該郵件被公司外網(wǎng)郵件攔截系統(tǒng)攔截。經(jīng)現(xiàn)場查實(shí),郵件均不涉商業(yè)秘密,但違反了“工作郵件只限于公司內(nèi)網(wǎng)郵箱發(fā)送”規(guī)定。由此可見,電力企業(yè)信息系統(tǒng)安全管理工作非常重要,也非常有必要。通常情況下,電力企業(yè)信息安全管理工作主要包括制定信息安全管理的策略,合理、科學(xué)的對電力企業(yè)信息安全工作進(jìn)行組織管理,具有非常重要的作用。電力企業(yè)應(yīng)當(dāng)提高全體員工的信息安全意識,加強(qiáng)電力電力企業(yè)信息內(nèi)外網(wǎng)安全管理。第一,內(nèi)、外網(wǎng)電腦都必須安裝三種軟件,即北信源、天以及趨勢殺毒。軟件有內(nèi)、外網(wǎng)版本之別,而且客戶端也不同;第二,遵守專機(jī)、專網(wǎng)之規(guī)定,內(nèi)網(wǎng)電腦不能與外網(wǎng)相連接,外網(wǎng)電腦不能連接內(nèi)網(wǎng),家用電腦不能接入內(nèi)網(wǎng)使用,尤其是來歷不明、使用背景不明的電腦,一律禁止接入內(nèi)網(wǎng)系統(tǒng)。

4 電力企業(yè)信息安全管理中組織管理常見失誤

近年來,隨著市場經(jīng)濟(jì)體制改革的不斷深化,雖然電力企業(yè)信息安全管理水平有了很大程度的提升,但電力企業(yè)信息安全管理過程中依然存在著一些問題與不足,總結(jié)之,主要表現(xiàn)在以下幾個方面:

第一,信息安全措施和技術(shù)手段不成熟。對于大多數(shù)企業(yè)而言,在信息系統(tǒng)建設(shè)過程中欠缺完善的安全手段和措施,嚴(yán)重影響了安全措施的制定與執(zhí)行。

第二,電力企業(yè)信息安全風(fēng)險(xiǎn)控制不到位。實(shí)踐中可以看到,很多企業(yè)在信息化規(guī)劃與建設(shè)過程中,對信息安全的前期分析比較欠缺,將分析對象主要集中在技術(shù)層面研究上,很難有效解決企業(yè)安全信息系統(tǒng)操作失誤、缺陷與不足等安全問題。

第三,信息安全意識不強(qiáng),缺乏有效的安全管理機(jī)制。對于部分企業(yè)領(lǐng)導(dǎo)層而言,對信息安全的重視不夠,對潛在的各種風(fēng)險(xiǎn)和安全隱患問題分析不到位。

5 電力企業(yè)信息安全管理體現(xiàn)構(gòu)建的有效策略

基于以上對當(dāng)前企業(yè)安全管理中的問題分析,筆者認(rèn)為要想減少和控制電力企業(yè)信息安全管理中組織管理失誤現(xiàn)象, 應(yīng)當(dāng)根據(jù)企業(yè)實(shí)際生產(chǎn)運(yùn)營狀況,以IS027001信息安全管理體系標(biāo)準(zhǔn)為基礎(chǔ),從組織、技術(shù)、管理以及運(yùn)行和監(jiān)督這等方面入手,對現(xiàn)有的信息安全管理架構(gòu)進(jìn)行改進(jìn)和完善,增加運(yùn)行、監(jiān)督環(huán)節(jié)。

5.1 提高對電力企業(yè)信息安全的認(rèn)知度

針對企業(yè)員工對信息安全知識掌握不足的現(xiàn)狀和問題,通過宣傳、教育和培訓(xùn)等方法,提高企業(yè)全體員工對信息安全的認(rèn)知度。首先,加強(qiáng)信息安全宣傳教育。電力企業(yè)信息安全宣傳的目的在于讓全體員工清楚地認(rèn)識到信息安全管理工作的重要性,了解信息安全管理目標(biāo),以此來提高企業(yè)員工的信息安全管理意識。

5.2 建立健全信息安全審計(jì)機(jī)制

內(nèi)部審計(jì)是對電力企業(yè)信息安全管理體系建設(shè)與實(shí)施情況的評價(jià),定期組織審計(jì)活動,以此來促進(jìn)安全管理體系的改進(jìn)與完善。企業(yè)的信息安全政策、規(guī)范制度是信息安全管理工作得以有效開展的重要依據(jù),因此審計(jì)工作的主要內(nèi)容是檢驗(yàn)信息安全標(biāo)準(zhǔn)的符合性、執(zhí)行情況。在審計(jì)過程中,主要包括如下內(nèi)容,即檢驗(yàn)是否按照要求制定規(guī)章制度、執(zhí)行細(xì)則;檢驗(yàn)員工對的規(guī)章制度執(zhí)行狀況,對審計(jì)結(jié)果的整改落實(shí)情況進(jìn)行核查;同時,還要對信息安全控制措施的應(yīng)用效果進(jìn)行全面檢查,確保評估的有效性。

5.3 建立和完善信息安全風(fēng)險(xiǎn)管理制度

信息安全風(fēng)險(xiǎn),即威脅利用系統(tǒng)弱點(diǎn)對相關(guān)信息資產(chǎn)造成破壞、損失的可能性,信息系統(tǒng)安全與否,主要取決于其風(fēng)險(xiǎn)是否己在現(xiàn)有措施條件下實(shí)現(xiàn)了最小化,而非絕對沒有風(fēng)險(xiǎn)。

篇7

【 關(guān)鍵詞 】 信息安全;安全治理;框架;風(fēng)險(xiǎn)管理

1 引言

隨著企業(yè)的信息化建設(shè),企業(yè)信息系統(tǒng)在縱、橫向的耦合程度日益加深,系統(tǒng)間的聯(lián)系也日益緊密,因此企業(yè)的信息安全影響著企業(yè)信息系統(tǒng)的安全、持續(xù)、可靠和穩(wěn)定運(yùn)行。此外,美國明尼蘇達(dá)大學(xué)Bush-Kugel的研究報(bào)告指出企業(yè)在沒有信息資料可用的情況下,金融業(yè)至多只能運(yùn)作2天,商業(yè)則為3天,工業(yè)則為5天。而從經(jīng)濟(jì)情況來看,25%的企業(yè)由于數(shù)據(jù)損毀可能隨即破產(chǎn),40%會在兩年內(nèi)破產(chǎn),而僅有7%不到的企業(yè)在5年后繼續(xù)存活。伴隨著監(jiān)管機(jī)構(gòu)對信息安全日趨嚴(yán)格的要求,企業(yè)對信息安全的關(guān)注逐漸提高,并對信息安全投入的資源不斷增加,從而使得信息安全越來越為公司高級管理層所關(guān)注。

2 信息安全問題

目前企業(yè)信息安全問題主要包括幾個方面。

(1)信息質(zhì)量底下:無用信息、有害信息或劣質(zhì)信息滲透到企業(yè)信息資源中, 對信息資源的收集、開發(fā)和利用造成干擾。

(2)信息泄漏:網(wǎng)絡(luò)信息泄漏和操作泄漏是目前企業(yè)普遍存在的信息安全困擾。網(wǎng)絡(luò)信息泄漏是信息在獲取、存儲、使用或傳播的時候被其他人非法取得的過程。而操作泄漏則是由于不正當(dāng)操作或者未經(jīng)授權(quán)的訪問、蓄意攻擊等行為,從而使企業(yè)信息泄漏。

(3)信息破壞:指內(nèi)部員工或者外部人員制造和傳播惡意程序, 破壞計(jì)算機(jī)內(nèi)所存儲的信息和程序, 甚至破壞計(jì)算機(jī)硬件。

(4)信息侵權(quán):指對信息產(chǎn)權(quán)的侵犯?,F(xiàn)代信息技術(shù)的發(fā)展和應(yīng)用, 導(dǎo)致了信息載體的變化、信息內(nèi)容的擴(kuò)展、信息傳遞方式的增加, 一方面實(shí)現(xiàn)了信息的全球共享, 但同時也帶來了知識產(chǎn)權(quán)難以解決的糾紛。

3 信息安全治理的困惑

基于信息安全的重要性,企業(yè)在信息安全治理方面投入了諸多資源,但是在信息安全治理成效方面仍不盡如人意,主要問題在于幾個方面。

(1)信息安全治理的范圍不明確:目前企業(yè)都在盡力實(shí)現(xiàn)良好的信息安全治理,但是由于無法正確理解信息安全治理和信息安全管理的區(qū)別,導(dǎo)致了信息安全治理無法與企業(yè)的安全規(guī)劃和企業(yè)戰(zhàn)略形成一致性。表1從工作內(nèi)容、執(zhí)行主體和技術(shù)深度三個層面分析了兩者的區(qū)別。

從表1中可以明確:信息安全治理是為組織機(jī)構(gòu)的信息安全定義一個戰(zhàn)略性的框架,指明了具體安全管理工作的目標(biāo)和權(quán)責(zé)范圍,使信息系統(tǒng)安全專業(yè)人員能夠準(zhǔn)確地按照企業(yè)高層管理人員的要求開展工作。

(2)企業(yè)信息安全治理路徑的錯誤理解:企業(yè)在信息安全治理的過程中,最常用的手法是采用信息安全的技術(shù)措施,如使用加密和防偽技術(shù)、認(rèn)證技術(shù)、防病毒技術(shù)、防火墻技術(shù)等方式來進(jìn)行,但是往往企業(yè)投入很多,卻沒有達(dá)到預(yù)想的效果,問題在于,信息安全治理并不單單是技術(shù)問題,信息安全治理也包含了安全戰(zhàn)略、風(fēng)險(xiǎn)管理、績效評估、層級報(bào)告以及職責(zé)明確等方面。

4 信息安全治理關(guān)注的領(lǐng)域

(1)戰(zhàn)略一致性:信息安全治理需與企業(yè)的發(fā)展戰(zhàn)略和業(yè)務(wù)戰(zhàn)略相一致,建立相互協(xié)作的解決方案。

(2)價(jià)值交付:衡量信息安全治理價(jià)值交付的基準(zhǔn)是信息安全戰(zhàn)略能否按時、按質(zhì)并在預(yù)算內(nèi)實(shí)現(xiàn)預(yù)期的價(jià)值目標(biāo)。因此需要設(shè)計(jì)明確的價(jià)值目標(biāo),對信息安全治理的交付價(jià)值進(jìn)行評估。

(3)資源管理:實(shí)現(xiàn)對支持信息運(yùn)行的關(guān)鍵資源進(jìn)行最優(yōu)化投資和最佳管理。

(4)風(fēng)險(xiǎn)管理:企業(yè)管理層應(yīng)具備足夠的風(fēng)險(xiǎn)意識,明確企業(yè)風(fēng)險(xiǎn)容忍度,制定風(fēng)險(xiǎn)管理策略,將風(fēng)險(xiǎn)管理融入到企業(yè)的日常運(yùn)營中。

(5)績效度量:利用科學(xué)的管理方法,將信息安全治理轉(zhuǎn)換為可評價(jià)的目標(biāo)的行動,便于對信息安全各項(xiàng)工作的績效進(jìn)行有效管理。

5 信息安全治理框架

通過良好的信息安全治理, 可以保護(hù)企業(yè)的信息資產(chǎn),避免遭受各種威脅,降低對企業(yè)之傷害,確保企業(yè)的永續(xù)經(jīng)營,以及提升企業(yè)投資回報(bào)率及競爭優(yōu)勢。

通過長期的實(shí)踐經(jīng)驗(yàn)以及結(jié)合COBIT標(biāo)準(zhǔn)和GB/T 22080-2008,總結(jié)出信息安全治理的框架主要由四部分組成,如圖1所示。

(1)信息安全戰(zhàn)略:結(jié)合企業(yè)的整體信息技術(shù)戰(zhàn)略規(guī)劃和信息安全治理現(xiàn)狀,制定信息安全戰(zhàn)略。

(2)信息安全組織架構(gòu):根據(jù)企業(yè)層面在決策、管理和執(zhí)行機(jī)制對組織結(jié)構(gòu)的要求,建立信息安全治理框架和決策溝通機(jī)制,明確公司各級管理層及相關(guān)部門在信息安全組織架構(gòu)中的工作職責(zé)與角色定位。

(3)信息安全職責(zé):根據(jù)公司信息安全組織架構(gòu),進(jìn)一步明確信息安全相關(guān)崗位的工作職責(zé)、分工界面和匯報(bào)路徑等。

(4)信息安全管理制度:信息安全管理制度通過建立一個層次化的制度體系,針對不同的需求方(管理者、執(zhí)行者、檢查者等)從政策、制度、流程、規(guī)范和記錄等方面進(jìn)行信息安全活動相關(guān)的規(guī)定,實(shí)現(xiàn)信息安全的功能和管理目標(biāo)。

6 信息安全治理評估

企業(yè)信息安全治理評估有助于提高信息安全治理投資的效益和效果。企業(yè)的最高管理層和管理執(zhí)行層可以使用信息安全治理成熟度模型建立企業(yè)的安全治理級別。該模型,如表2所示,被應(yīng)用為幾個方面。

(1)在市場環(huán)境中,相對于國際信息安全治理標(biāo)準(zhǔn)、行業(yè)最佳實(shí)踐,以及直接競爭對手,了解企業(yè)在信息安全治理上的級別。

(2)進(jìn)行差距分析,為改進(jìn)措施提供明確的路徑。

(3)了解企業(yè)的競爭優(yōu)勢和劣勢。

(4)有利于對信息安全治理進(jìn)行績效評估。

7 結(jié)束語

本文從企業(yè)信息安全治理的實(shí)踐出發(fā),概述了目前企業(yè)信息安全治理存在的問題和困惑,總結(jié)了企業(yè)實(shí)現(xiàn)有效的信息治理的關(guān)注領(lǐng)域和實(shí)施內(nèi)容,為企業(yè)建立良好的信息安全治理提供了基本框架。

參考文獻(xiàn)

[1] 馬峰輝,劉壽強(qiáng).企業(yè)信息安全治理的經(jīng)濟(jì)性探析.計(jì)算機(jī)安全,2003:70-71.

[2] 婁策群,范昊,王菲.現(xiàn)代信息技術(shù)環(huán)境中的信息安全問題及其對策.中國圖書館學(xué)報(bào),2000(11):33-37.

[3] 劉金鎖,李筱煒,楊維永.企業(yè)實(shí)現(xiàn)有效的信息安全治理之路.中國管理信息化,2012(11):37-39.

[4] 黃華軍,錢亮,王耀鈞.基于異常特征的釣魚網(wǎng)站URL檢測技術(shù)[J].信息網(wǎng)絡(luò)安全,2012,(01):23-25.

[5] 黃世中.GF(2m)域SM2算法的實(shí)現(xiàn)與優(yōu)化[J].信息網(wǎng)絡(luò)安全,2012,(01):36-39.

篇8

【關(guān)鍵詞】 電力企業(yè) 信息安全 管理 問題 完善措施

1 前言

電力企業(yè)信息技術(shù)的發(fā)展起始于20世紀(jì)90年代,最早的計(jì)算機(jī)應(yīng)用開始于財(cái)務(wù)管理、營銷管理等辦公業(yè)務(wù),隨著信息技術(shù)的不斷深入發(fā)展,信息技術(shù)在電力企業(yè)的應(yīng)用范圍也日益擴(kuò)大和深化,目前已經(jīng)滲透入電力企業(yè)運(yùn)營管理的全過程,信息技術(shù)也漸漸從開始的“配角”提升為電力企業(yè)運(yùn)營管理的“主角”。在電力企業(yè)信息化技術(shù)應(yīng)用日趨成熟、重要程度日益上升的今天,企業(yè)對信息化的管理和關(guān)注重點(diǎn)也在不停的發(fā)生變化,一方面信息化成果已成為企業(yè)甚至社會的重要資源,在整個企業(yè)的生產(chǎn)運(yùn)行、電網(wǎng)調(diào)度、辦公管理等各個方面發(fā)揮著重要的作用;另一方面由于信息技術(shù)的迅猛發(fā)展而帶來的信息安全事故、事件屢見不鮮,信息安全問題與矛盾日益顯著。而信息安全工程是一個多層面、多因素的、綜合的、動態(tài)的系統(tǒng)工程。企業(yè)要實(shí)現(xiàn)信息安全管理,就必須不斷完善和建立一套行之有效的信息安全管理與技術(shù)有機(jī)結(jié)合的安全防范體系。

2 我國電力企業(yè)信息安全管理存在的問題

2.1 電力企業(yè)普遍存在重技術(shù)、輕管理的問題

信息安全是“三分技術(shù)、七分管理”,但是現(xiàn)在許多電力企業(yè)任普遍存在重技術(shù)、輕管理的問題,甚至很多電力企業(yè)根本沒有完善的安全管理制度,并且管理人員信息安全意識普遍不高,這也就在一定程度上加深了企業(yè)信息安全風(fēng)險(xiǎn)。要知道再好的技術(shù)在其運(yùn)行的過程中管理才是第一位的,比如在實(shí)際工作中,有最好的技術(shù),但是如果管理不到位,系統(tǒng)的運(yùn)行、維護(hù)和開發(fā)等崗位分配不清,職責(zé)劃分不明,存在一人身兼多職的現(xiàn)象,再先進(jìn)的技術(shù)也不可能發(fā)揮其應(yīng)有的效力,一樣不具備競爭力、防御力。又如,企業(yè)在管理過程中對網(wǎng)絡(luò)工作人員的基本技能和素質(zhì)要求把關(guān)不嚴(yán)格,極易造成因網(wǎng)絡(luò)工作人員因操作不當(dāng)而造成硬件或者軟件出現(xiàn)漏洞,使惡意份子有機(jī)可乘,同樣影響網(wǎng)絡(luò)信息安全。

2.2 電力企業(yè)對員工的信息安全意識宣傳不到位

隨著信息安全地位的不斷攀升,電力企業(yè)對信息安全也越來越重視,但是,企業(yè)對于信息安全的培訓(xùn)力度仍顯不夠,電力企業(yè)員工信息安全意識仍非常低。如,一些電力員工在離開辦公場所時,沒有意識主動關(guān)閉電腦或鎖定屏幕,因此容易造成企業(yè)數(shù)據(jù)的丟失及客戶信息的泄漏。又如,一些員工為了貪圖方便省事,直接將系統(tǒng)賬號交給第三方人員進(jìn)行操作,容易造成系統(tǒng)數(shù)據(jù)的錯失遺漏,或者出現(xiàn)未授權(quán)的審批等等。再如,還有一些員工對于未確定安全性的文件防范意識不夠,一旦點(diǎn)擊打開后,就容易造成木馬的植入或者病毒的擴(kuò)散,從而造成數(shù)據(jù)的泄漏或丟失破壞。

2.3 電力企業(yè)信息安全技術(shù)不夠完善

首先,在計(jì)算機(jī)的使用方面,有很多的辦公計(jì)算機(jī)還是內(nèi)網(wǎng)與外網(wǎng)混合使用的狀態(tài)。雖然公司已經(jīng)做出了相應(yīng)的規(guī)定,要求內(nèi)網(wǎng)與外網(wǎng)進(jìn)行分開使用。但是,內(nèi)外網(wǎng)混用情況仍十分嚴(yán)重,這就會給安全問題帶來極大的隱患。其次,一些電力企業(yè)對移動介質(zhì)的使用管理比較松散。如:一些企業(yè)的移動介質(zhì)不需授權(quán)就能直接接入辦公電腦中,容易讓別有用心的人加以利用,從而拷貝了公司的內(nèi)部資料,造成企業(yè)損失。又如,一些員工在未確保外來移動介質(zhì)正常的情況下就接入內(nèi)部網(wǎng)絡(luò),容易造成病毒的傳入,從而影響內(nèi)部網(wǎng)絡(luò)的正常以及數(shù)據(jù)的安全。最后,部分電力企業(yè)數(shù)據(jù)庫數(shù)據(jù)和文件的明文存儲保護(hù)不完善。供電行業(yè)應(yīng)用系統(tǒng)基本上基于商業(yè)軟硬件系統(tǒng)設(shè)計(jì)和開發(fā),用戶身份認(rèn)證基本上采用口令的鑒別模式,而這種模式很容易被攻破。

3 完善電力企業(yè)信息安全管理的具體措施

3.1 完善電力企業(yè)安全風(fēng)險(xiǎn)的評估

電力企業(yè)要解決網(wǎng)絡(luò)安全問題并不能夠僅僅是從技術(shù)上進(jìn)行考慮,技術(shù)是安全的主體,但是卻不能成為安全的靈魂,而管理才是安全的靈魂。首先電力企業(yè)必須做好安全狀況評估分析,評估應(yīng)聘請專業(yè)權(quán)威的信息安全專家或者咨詢機(jī)構(gòu),并組織企業(yè)內(nèi)部信息人員和專業(yè)人員深度參與,全面進(jìn)行信息安全風(fēng)險(xiǎn)評估,搞清楚信息系統(tǒng)現(xiàn)有以及潛在的風(fēng)險(xiǎn),充分評估這些風(fēng)險(xiǎn)可能帶來的危害和影響,針對評估出來的風(fēng)險(xiǎn)制定詳細(xì)的解決預(yù)防方案并認(rèn)真實(shí)施,實(shí)施完成后還要定期對其進(jìn)行評估和不斷改進(jìn)完善。其次,網(wǎng)絡(luò)安全離不開各種安全技術(shù)的具體實(shí)施以及各種安全產(chǎn)品的部署,但是現(xiàn)在市面上安全技術(shù)及產(chǎn)品種類繁多,讓人眼花繚亂,難以進(jìn)行抉擇,我們信息安全系統(tǒng)建設(shè)中心內(nèi)容是安全和穩(wěn)定,所以我們企業(yè)應(yīng)盡量采用成熟的技術(shù)和產(chǎn)品,不能過分求全求新。最后,培養(yǎng)信息安全專門人才和加強(qiáng)信息安全管理工作必須與信息安全防護(hù)系統(tǒng)建設(shè)同步進(jìn)行,才能真正發(fā)揮信息安全防護(hù)系統(tǒng)和設(shè)備的作用。

3.2 不斷完善電力企業(yè)信息安全管理制度

首先,構(gòu)建良好的管理體制,在網(wǎng)絡(luò)系統(tǒng)管理中,要做到管業(yè)務(wù)不管系統(tǒng),管系統(tǒng)不管業(yè)務(wù),如果二者混淆,就容易將所有權(quán)限落入一人之手,若該員工,同樣造成網(wǎng)絡(luò)信息安全的極大威脅。其次,數(shù)據(jù)安全管理制度,即確保數(shù)據(jù)存儲介質(zhì)(設(shè)備)的安全;定時進(jìn)行數(shù)據(jù)備份,備份數(shù)據(jù)必須異地存放;對數(shù)據(jù)的操作需經(jīng)主管部門的審批、同意方可進(jìn)行;數(shù)據(jù)的清除、整理工作需兩人或兩人以上在場,并由相關(guān)部門進(jìn)行監(jiān)督、記錄。最后,準(zhǔn)入管理制度。準(zhǔn)入管理又稱密碼、權(quán)限管理,通過準(zhǔn)入系統(tǒng)可以判斷請求登錄的用戶是否是合法的、值得信任的。

3.3 加強(qiáng)對電力企業(yè)全員信息安全的教育及培訓(xùn),提升全員信息安全意識

對于企業(yè)信息安全工作的開展不是一個部門一個人的事,而是我們電力公司全體員工的事情,所以必須提高企業(yè)全體員工的信息安全意識。通過開展多種形式的信息安全知識培訓(xùn),可以提高員工的警惕性以及養(yǎng)成良好的計(jì)算機(jī)使用習(xí)慣。在不定時開展信息安全教育和培訓(xùn)的時候應(yīng)注意安全教育知識的層次性。主管信息安全工作的負(fù)責(zé)人和各級信息安全員,重點(diǎn)要了解和掌握信息安全的整體策略及目標(biāo)、安全管理部門的建立和管理制度的制定等;負(fù)責(zé)信息安全運(yùn)行管理及維護(hù)的技術(shù)人員,重點(diǎn)要充分理解信息安全管理策略,掌握安全管理的基本方法,精通信息系統(tǒng)的安全維護(hù)技術(shù)等;廣大信息系統(tǒng)用戶重點(diǎn)要學(xué)習(xí)各種安全操作流程和行為規(guī)范,了解和掌握與其相關(guān)的信息安全策略,包括自身應(yīng)該承擔(dān)的安全職責(zé)等。另外,我們企業(yè)還可以采取一些考核獎罰措施,去激勵和約束全員認(rèn)真進(jìn)行信息安全培訓(xùn),認(rèn)真落實(shí)信息安全操作,從而有效提高我們電力企業(yè)整體信息安全水平,提高信息安全意識,最終有效避免信息安全問題或失泄密事件的發(fā)生。

3.4 不斷完善和提升電力企業(yè)信息安全技術(shù)

第一,對電力企業(yè)內(nèi)部和外部網(wǎng)絡(luò)進(jìn)行物理隔離。采用最高效的解決信息網(wǎng)絡(luò)安全問題的辦法:將局域網(wǎng)與外網(wǎng)物理隔離,使局域網(wǎng)內(nèi)的用戶只能訪問內(nèi)網(wǎng)資源,外網(wǎng)計(jì)算機(jī)無法與內(nèi)網(wǎng)相連接。通過這種方法可以很大程度地防止互聯(lián)網(wǎng)上的病毒、流氓軟件等的入侵,避免企業(yè)及用戶個人的重要信息與數(shù)據(jù)的失竊,進(jìn)而可以控制可能由此造成的無法估計(jì)的損失。其次,對于移動介質(zhì),應(yīng)加入認(rèn)證管理,只有被預(yù)先授權(quán)的介質(zhì)才能接入內(nèi)網(wǎng),對于數(shù)據(jù)的拷貝,只能通過加密形式處理。第三,數(shù)據(jù)與系統(tǒng)備份技術(shù)。供電企業(yè)的數(shù)據(jù)庫必須定期進(jìn)行備份,按其重要程度確定數(shù)據(jù)備份等級。配置數(shù)據(jù)備份策略,建立數(shù)據(jù)備份中心,采用先進(jìn)災(zāi)難恢復(fù)技術(shù),對關(guān)鍵業(yè)務(wù)的數(shù)據(jù)與應(yīng)用系統(tǒng)進(jìn)行備份,制定詳盡的應(yīng)用數(shù)據(jù)備份和數(shù)據(jù)庫故障恢復(fù)預(yù)案,并進(jìn)行定期預(yù)演。計(jì)算機(jī)病毒傳播廣,破壞力大,會嚴(yán)重影響電力企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)行。因此,為了使電力企業(yè)免受病毒的侵害,作為網(wǎng)絡(luò)管理人員應(yīng)該建立從主機(jī)到服務(wù)器的完善的防病毒體系,建立健全的網(wǎng)絡(luò)信息管理制定,以此來有效的提高電力企業(yè)網(wǎng)絡(luò)信息的安全管理。最后,建立信息安全身份認(rèn)證體系。供電企業(yè)面對來自內(nèi)部和外部信息安全風(fēng)險(xiǎn)威脅,需建立有效的信息安全身份認(rèn)證體系,實(shí)現(xiàn)網(wǎng)絡(luò)危險(xiǎn)過濾、終端準(zhǔn)入、用戶識別、上網(wǎng)授權(quán)等功能,最終實(shí)現(xiàn)企業(yè)內(nèi)網(wǎng)用戶終端安全性的提升,達(dá)成企業(yè)整網(wǎng)上網(wǎng)安全性的保障。

參考文獻(xiàn):

[1]尹鴻波.網(wǎng)絡(luò)環(huán)境下企業(yè)信息安全管理對策研究[J].電腦與信息技術(shù),2011(4).

[2]馮慧昌.信息安全管理現(xiàn)狀與研究策略[J].科技風(fēng),2012(7).

[3]姚軍.中科網(wǎng)威助力工業(yè)網(wǎng)絡(luò)信息安全[J].企業(yè)研究,2O12(12).

[4]胡國勝,張迎春.信息安全基礎(chǔ)[M].北京:電子工業(yè)出版社,2011.

[5]胡泉軍,王以群,張延芝.企業(yè)信息安全管理中組織管理失誤因素分析[J].工業(yè)工程,2009(2).

篇9

1.企業(yè)信息安全事件發(fā)生狀況

調(diào)查顯示在過去的1年內(nèi)(2012年1月~2012年12月),超過93.2%的被調(diào)查企業(yè)發(fā)生過信息安全事件,其中發(fā)生信息安全事件次數(shù)超過5次的占被調(diào)查企業(yè)的13.1%。這一調(diào)查結(jié)果表明,河北中小企業(yè)信息安全形勢非常嚴(yán)峻,如何保護(hù)信息系統(tǒng)安全已經(jīng)成為中小企業(yè)信息化建設(shè)首要面臨的問題。

2.目前中小企業(yè)信息安全面臨的主要威脅

調(diào)查發(fā)現(xiàn),近1年內(nèi),82.1%的被調(diào)查企業(yè)遭受過病毒、蠕蟲或木馬程序破壞;47.3%的企業(yè)遭受過黑客攻擊或網(wǎng)絡(luò)詐騙;33%的企業(yè)遭受過垃圾郵件和網(wǎng)頁篡改的干擾,還有28%的企業(yè)遭受的破壞竟然來自企業(yè)內(nèi)部員工的操作。這一調(diào)查結(jié)果表明,病毒泛濫、網(wǎng)絡(luò)詐騙、黑客攻擊、垃圾郵件和來自企業(yè)內(nèi)部員工破壞是河北中小企業(yè)面臨的最主要信息安全威脅。其中,病毒和木馬程序的破壞尤為嚴(yán)重,直接造成企業(yè)數(shù)據(jù)丟失、信息泄漏甚至系統(tǒng)癱瘓等后果,嚴(yán)重威脅著企業(yè)的信息安全。

3.企業(yè)信息安全保護(hù)措施現(xiàn)狀

調(diào)查發(fā)現(xiàn),93.7%的被訪企業(yè)采用了殺毒軟件進(jìn)行病毒防護(hù)和監(jiān)控,25.1%的被訪企業(yè)裝有入侵檢測系統(tǒng)和硬件防火墻,54.8%的被訪企業(yè)采用了身份認(rèn)證技術(shù)和設(shè)置訪問權(quán)限進(jìn)行信息保護(hù)。同時,通過調(diào)查也發(fā)現(xiàn),只有不到29.5%的企業(yè)有定期的數(shù)據(jù)備份,僅有6.9%的企業(yè)為重要信息進(jìn)行了數(shù)據(jù)加密。這一調(diào)查結(jié)果表明:在信息安全技術(shù)防護(hù)方面,幾乎被訪企業(yè)都采取了信息安全保護(hù)措施,但是大部分企業(yè)卻只停留在病毒防護(hù)和身份認(rèn)證的水平上,而缺少數(shù)據(jù)完整性和數(shù)據(jù)加密等保護(hù)技術(shù)。

4.信息安全管理保障措施情況

調(diào)查發(fā)現(xiàn),在信息安全管理保障措施方面,25.7%的被訪企業(yè)設(shè)立了專門的信息安全部門及相應(yīng)的專職管理人員,44.6%的企業(yè)制定了企業(yè)信息安全管理制度,只有8.5%的企業(yè)能夠?qū)π畔踩珷顩r進(jìn)行定期的風(fēng)險(xiǎn)評估,而制定信息安全事件應(yīng)急處置措施的企業(yè)卻只有5.3%。這一調(diào)查結(jié)果表明:河北中小企業(yè)信息安全保障組織構(gòu)架設(shè)立不完善、缺乏信息安全管理制度,定期的信息安全風(fēng)險(xiǎn)評估以及信息安全應(yīng)急處置預(yù)案措施嚴(yán)重缺失。

5.信息安全經(jīng)費(fèi)投入狀況

調(diào)查發(fā)現(xiàn),23.5%的被訪企業(yè)信息安全方面的經(jīng)費(fèi)投入占整個企業(yè)信息化總投資的比例低于5%,39.6%被訪企業(yè)同樣投資比例在5%~10%之間,只有38.5%的企業(yè)信息安全方面的經(jīng)費(fèi)投入已經(jīng)超過企業(yè)信息化總投資的10%。這一調(diào)查結(jié)果表明:河北中小企業(yè)安全意識淡薄,信息安全經(jīng)費(fèi)投入嚴(yán)重不足,低于國外20%~30%的投資比例。

二、對策與建議

通過課題組調(diào)查發(fā)現(xiàn),網(wǎng)絡(luò)環(huán)境下河北中小企業(yè)的信息安全問題突出,主要表現(xiàn)在認(rèn)識誤區(qū)、資金不足、技術(shù)薄弱和信息管理制度缺失等方面,要全面解決,必須從法律、技術(shù)和管理等幾個方面全盤考慮綜合治理。法律、技術(shù)和管理三者相輔相成,缺一不可,才能共同保證中小企業(yè)信息系統(tǒng)可靠安全運(yùn)行。

1.法律法規(guī)層面加強(qiáng)政府支持力度和引導(dǎo)力度

僅僅靠中小企業(yè)自身搞信息安全防護(hù)是遠(yuǎn)遠(yuǎn)不夠的,在此過程中,政府的支持、鼓勵與引導(dǎo)是至關(guān)重要的。因此,政府應(yīng)不斷完善信息安全相關(guān)法律法規(guī)的建設(shè),加快網(wǎng)絡(luò)安全的基礎(chǔ)設(shè)施建設(shè),加大打擊網(wǎng)絡(luò)犯罪的力度。同時,針對河北中小企業(yè)特點(diǎn),當(dāng)?shù)卣畱?yīng)加大企業(yè)信息安全重要性的引導(dǎo)和宣傳,讓中小企業(yè)特別是企業(yè)的領(lǐng)導(dǎo)者,充分認(rèn)識到企業(yè)信息安全的重大意義與作用,從而在日常企業(yè)決策中對企業(yè)信息安全建設(shè)投資有一定的傾斜,完善企業(yè)信息安全體系建設(shè)。從長遠(yuǎn)發(fā)展角度和戰(zhàn)略高度來重視企業(yè)信息安全。

2.技術(shù)層面

設(shè)計(jì)實(shí)施多層次、多方位的網(wǎng)絡(luò)系統(tǒng)安全保護(hù)技術(shù),以提高企業(yè)風(fēng)險(xiǎn)防范的技術(shù)水平。風(fēng)險(xiǎn)防范是一個復(fù)雜的系統(tǒng)工程,從技術(shù)角度,建議從以下幾個方面來實(shí)現(xiàn):

(1)建立網(wǎng)絡(luò)身份認(rèn)證體系。網(wǎng)絡(luò)環(huán)境下河北中小企業(yè)的各種商務(wù)活動,都需要對參與商務(wù)活動的各方進(jìn)行身份的鑒別、認(rèn)證,這就需要在企業(yè)內(nèi)部建立網(wǎng)絡(luò)身份認(rèn)證體系來證實(shí)各方的身份,以保證網(wǎng)絡(luò)環(huán)境下各交易方的經(jīng)濟(jì)利益。

(2)配置高效的防火墻。在企業(yè)內(nèi)部網(wǎng)與外聯(lián)網(wǎng)之間設(shè)置防火墻,從而實(shí)現(xiàn)內(nèi)、外網(wǎng)的隔離與訪問控制,在他們之間形成一道有效的屏障,是保護(hù)企業(yè)內(nèi)部網(wǎng)安全的最主要、最有效、最經(jīng)濟(jì)的措施之一。

(3)定期實(shí)施重要信息的備份和恢復(fù)。企業(yè)要對核心的數(shù)據(jù)和應(yīng)用程序進(jìn)行實(shí)時和定期的備份工作。并把備份數(shù)據(jù)的副本存儲在光盤上,這樣就可以避免一旦發(fā)生安全事故關(guān)鍵的應(yīng)用程序和數(shù)據(jù)丟失給中小企業(yè)帶來的巨大損失。

(4)對關(guān)鍵數(shù)據(jù)進(jìn)行加密。企業(yè)的各類數(shù)據(jù)和應(yīng)用程序,是企業(yè)多年發(fā)展中積累下來的寶貴數(shù)據(jù)資源,也是企業(yè)決策的重要依據(jù)。因此,要對這些關(guān)鍵數(shù)據(jù)進(jìn)行加密處理,以提高數(shù)據(jù)的安全性,防止企業(yè)私密數(shù)據(jù)信息被泄露和竊取。

篇10

【關(guān)鍵詞】企業(yè)信息化;信息安全問題;原因;對策

【中圖分類號】F270.7【文獻(xiàn)標(biāo)識碼】A【文章編號】1006-4222(2016)01-0247-02

新時期下,信息化技術(shù)在各行業(yè)中運(yùn)用日漸深入,給企業(yè)現(xiàn)代化建設(shè)與快速發(fā)展帶來了無限動力。企業(yè)信息化建設(shè)已成為我國經(jīng)濟(jì)信息化建設(shè)能否成功的關(guān)鍵所在,也是提升企業(yè)自身市場競爭力與企業(yè)升級進(jìn)步的重要保證和標(biāo)志[1]。但是,企業(yè)信息化建設(shè)過程中不可避免的出現(xiàn)信息安全問題,給企業(yè)正常生產(chǎn)經(jīng)營帶來諸多不利影響。因此,加強(qiáng)企業(yè)信息化建設(shè)中信息安全管理,已成為現(xiàn)代企業(yè)經(jīng)營管理的一個至關(guān)重要的工作。

1企業(yè)信息化概述

所謂的企業(yè)信息化,指的是實(shí)現(xiàn)企業(yè)的資金流、物流、作業(yè)流、信息流的數(shù)字化、網(wǎng)絡(luò)化管理,實(shí)行企業(yè)運(yùn)行的自動化和企業(yè)制度的現(xiàn)代化[2]。企業(yè)信息化建設(shè)涉及了企業(yè)生產(chǎn)經(jīng)營中的各個部門,其主要利用現(xiàn)代化信息技術(shù),通過完善企業(yè)內(nèi)外網(wǎng)絡(luò)信息系統(tǒng),實(shí)現(xiàn)對企業(yè)內(nèi)外知識與信息資源的開發(fā)??梢姡ㄔO(shè)企業(yè)信息化體系,不但可以及時有效的提供各種數(shù)據(jù)信息給企業(yè)決策層,也為企業(yè)未來規(guī)劃設(shè)計(jì)提供參考依據(jù),而且還有利于企業(yè)滿足瞬息萬變的市場需求,為企業(yè)市場核心競爭力的提升帶來動力。

2當(dāng)前企業(yè)信息化建設(shè)中信息安全問題

企業(yè)信息化建設(shè)與發(fā)展為企業(yè)持續(xù)、健康、穩(wěn)定發(fā)展發(fā)揮了顯著作用,但同時也存在著諸多信息安全問題,具體分析主要有以下幾方面[3]:(1)當(dāng)前,絕大多數(shù)企業(yè)缺乏完善的安全防御系統(tǒng),導(dǎo)致企業(yè)內(nèi)部使用的信息系統(tǒng)易遭受外部網(wǎng)絡(luò)系統(tǒng)的攻擊,引發(fā)企業(yè)信息資料被他人截獲、篡改與偽造等問題,甚至企業(yè)信息系統(tǒng)中出現(xiàn)通信線路、硬盤設(shè)施以及其他文件系統(tǒng)遭惡意破壞現(xiàn)象,上述問題的發(fā)生不但致使企業(yè)信息系統(tǒng)無法正常運(yùn)行,而且其內(nèi)部機(jī)密信息易發(fā)生泄漏,造成企業(yè)嚴(yán)重的社會經(jīng)濟(jì)損失。(2)針對郵件系統(tǒng)攻擊防不甚防。在企業(yè)信息系統(tǒng)中電子郵件具有重要的作用,通過電子郵件接收與傳送,極大的方便了企業(yè)內(nèi)部間與外部間信息交流與溝通。然而,電子郵件安全問題也日益突出,典型的如電子郵件病毒、垃圾郵件、機(jī)密信息泄露以及電子郵件炸彈等,給企業(yè)信息傳輸帶來了巨大安全隱患。因此,電子郵件安全問題不可忽視。(3)漏洞攻擊日益嚴(yán)重。按照漏洞問題發(fā)生原因可分為軟件漏洞和協(xié)議漏洞兩種,其中軟件漏洞主要是受外部不法分子攻擊軟件自身存在的漏洞,造成企業(yè)信息泄露等問題;而協(xié)議漏洞則主要是由于TCP/IP協(xié)議自身在安全機(jī)制方面存在的諸多漏洞問題導(dǎo)致,外部不法人員通過攻擊TCP/IP協(xié)議漏洞,致使企業(yè)信息系統(tǒng)遭受破壞。目前情況,很多企業(yè)對自身信息系統(tǒng)缺乏成熟的漏洞檢測手段和能力,往往事發(fā)后才采取補(bǔ)救措施。(4)是Web服務(wù)安全問題突出,根據(jù)Web服務(wù)流程,其發(fā)生安全問題的主要組成包括Web服務(wù)端安全問題、瀏覽器客戶端安全問題兩種。其中,Web服務(wù)端安全問題主要是企業(yè)Web主機(jī)遭受外部不法分子侵入,導(dǎo)致企業(yè)保密信息遭竊或者企業(yè)部分信息遭受非法篡改等;瀏覽器客戶端安全問題則是企業(yè)瀏覽器客戶端遭外部非法分子侵入,致使部分機(jī)密信息與數(shù)據(jù)遭竊等。

3導(dǎo)致企業(yè)信息化建設(shè)中信息安全問題因素

企業(yè)信息化建設(shè)中信息安全問題發(fā)生受諸多因素影響,具體分析主要有以下幾方面[4]:(1)目前,絕大多數(shù)企業(yè)在信息化建設(shè)過程中,對于信息安全問題重視度嚴(yán)重不足。一方面,受傳統(tǒng)經(jīng)營觀念影響,企業(yè)管理層偏重于對企業(yè)生產(chǎn)經(jīng)營中的有形資產(chǎn)給予關(guān)注與重視,而忽略了企業(yè)知識與信息資料等無形資源,導(dǎo)致在企業(yè)信息安全管理方面各項(xiàng)投入嚴(yán)重不足,進(jìn)而造成信息安全問題日益凸顯;另一方面,多數(shù)企業(yè)在面對信息安全問題時,存在著盲目樂觀現(xiàn)象,認(rèn)為信息安全問題不至于導(dǎo)致企業(yè)正常生產(chǎn)經(jīng)營,使得信息安全管理無法上升至企業(yè)發(fā)展規(guī)劃戰(zhàn)略之中,進(jìn)而造成信息安全問題得不到及時有效解決。(2)由于企業(yè)信息化建設(shè)在我國尚處于起步階段,各方面配套管理制度不夠完善,特別是缺乏健全的企業(yè)信息安全管理體制。受此影響,企業(yè)信息化建設(shè)中信息安全問題一方面無法得到有效的預(yù)防措施,另一方面是一旦發(fā)生信息安全問題,無法采取及時有效的補(bǔ)救與解決對策。同時,由于缺乏科學(xué)、合理、有效的企業(yè)信息安全防護(hù)策略,使得企業(yè)信息管理人員缺乏必要的安全防護(hù)意識與業(yè)務(wù)素質(zhì)能力,致使企業(yè)信息安全防護(hù)軟硬件工作質(zhì)量與效率明顯不足。上述兩個因素,導(dǎo)致企業(yè)無論是從人員配置,還是資金與技術(shù)投入方面都嚴(yán)重不足,受企業(yè)信息管理人員業(yè)務(wù)素質(zhì)能力不足、信息安全技術(shù)方法落后以及配套的資金缺乏等影響,企業(yè)信息安全防護(hù)的措施、手段偏低,造成企業(yè)信息化建設(shè)存在著嚴(yán)重安全隱患。

4提升企業(yè)信息化建設(shè)中信息安全對策

針對當(dāng)前企業(yè)信息化建設(shè)中存在的信息安全問題,為加強(qiáng)企業(yè)信息安全管理,提升企業(yè)信息安全保障,可通過采取以下幾方面對策,具體有[5]:(1)轉(zhuǎn)變傳統(tǒng)企業(yè)信息化建設(shè)觀念,在企業(yè)內(nèi)部管理層從上至下加強(qiáng)對企業(yè)信息安全的重視,并樹立正確的安全意識。一方面,通過組織各種信息安全管理培訓(xùn)等,增強(qiáng)全體企業(yè)員工信息安全意識,確保企業(yè)保密信息不外漏;另一方面,逐步加大企業(yè)信息化建設(shè)中信息安全管理各項(xiàng)資金、技術(shù)、人力投入,并建立科學(xué)、合理、有效的企業(yè)信息安全防護(hù)策略,保障企業(yè)信息系統(tǒng)安全穩(wěn)定。(2)不斷的推進(jìn)網(wǎng)絡(luò)信息技術(shù)的發(fā)展與運(yùn)用,促進(jìn)企業(yè)組織結(jié)構(gòu)網(wǎng)絡(luò)化的實(shí)現(xiàn),同時引進(jìn)先進(jìn)的安全防護(hù)技術(shù),確保企業(yè)信息化系統(tǒng)安全穩(wěn)定運(yùn)行。任何網(wǎng)絡(luò)信息系統(tǒng)都存在著或大或小的安全漏洞問題,而保證其不受外部不法分子侵入的一個關(guān)鍵方法就是安全防護(hù)技術(shù)的運(yùn)用。通過選用先進(jìn)的安全防護(hù)技術(shù),可以有效的提高企業(yè)信息系統(tǒng)抵抗外來攻擊,避免企業(yè)信息遭受竊取、篡改甚至破壞等,對于保障企業(yè)持續(xù)、健康、穩(wěn)定發(fā)展具有顯著作用。(3)結(jié)合企業(yè)信息化建設(shè)實(shí)際情況,建立健全企業(yè)內(nèi)部信息系統(tǒng)管理體制。一方面,針對信息安全問題,應(yīng)建立科學(xué)、合理、規(guī)范的信息安全管理體制,保證企業(yè)信息系統(tǒng)安全運(yùn)行;另一方面,建立健全企業(yè)安全風(fēng)險(xiǎn)評估機(jī)制,針對不同系統(tǒng)找出影響其安全的因素和漏洞,并制定出最佳的對策,降低企業(yè)信息安全風(fēng)險(xiǎn);此外,加強(qiáng)相應(yīng)的網(wǎng)絡(luò)管理,防止外來不法分子通過網(wǎng)絡(luò)侵入企業(yè)信息系統(tǒng)。(4)根據(jù)新時期企業(yè)信息化建設(shè)需要,加強(qiáng)企業(yè)信息技術(shù)人才、信息管理人才隊(duì)伍建設(shè),為企業(yè)信息安全管理奠定堅(jiān)實(shí)的人才基礎(chǔ)。一方面,在企業(yè)內(nèi)部,加強(qiáng)信息技術(shù)人才培訓(xùn),提高企業(yè)內(nèi)部相關(guān)人才業(yè)務(wù)素質(zhì)能力;另一方面,在企業(yè)外部,采取有效措施,積極招聘人才,引進(jìn)具有先進(jìn)信息技術(shù)型人才;此外,建立健全企業(yè)信息安全管理用人機(jī)制,激發(fā)員工工作積極性,提高工作質(zhì)量與效率。

5小結(jié)

總而言之,企業(yè)信息安全事關(guān)企業(yè)信息化建設(shè)是否成功,對于企業(yè)持續(xù)、健康、穩(wěn)定發(fā)展具有至關(guān)重要的作用。因此,應(yīng)提高企業(yè)信息安全管理意識,增強(qiáng)企業(yè)信息安全管理機(jī)制,促進(jìn)企業(yè)信息安全管理工作質(zhì)量與效率,保障企業(yè)信息化建設(shè)順利開展。

參考文獻(xiàn)

[1]毛志勇.企業(yè)信息化建設(shè)的信息安全形勢與對策研究[J].科技與產(chǎn)業(yè),2008,8,(1):43~45.

[2]纂振法,徐福緣.淺析企業(yè)信息化建設(shè)的意義、問題與對策[J].吉林省經(jīng)濟(jì)管理干部學(xué)院學(xué)報(bào),2001,3:24~28.

[3]謝志宏.企業(yè)信息化建設(shè)中的信息安全問題研究[J].企業(yè)導(dǎo)報(bào),2014(06):132~133.

[4]秦海峰.企業(yè)信息化建設(shè)中信息安全問題的分析研究[J].中國信息界,2012(05):61~62.