企业安全信息化篇1
随着信息化技术的不断发展进步,我国企业信息化建设得到了广阔的发展空间,为提升企业在市场中核心竞争力带来了无限动力。然而,受企业传统经营理念以及信息化技术水平等影响,当前企业信息化建设中存在着诸多信息安全问题,例如信息风险与攻击、网络漏洞以及web服务安全问题等,给企业持续、健康、稳定发展带来巨大安全隐患。因此,加强企业信息化建设中安全管理势在必行。本文在介绍企业信息化建设的基础上,就当前企业信息化建设中信息安全问题进行了分析,并阐述了其导致因素,着重就如何提升企业信息安全管理提出了相应的对策。
【关键词】企业信息化;信息安全问题;原因;对策
新时期下,信息化技术在各行业中运用日渐深入,给企业现代化建设与快速发展带来了无限动力。企业信息化建设已成为我国经济信息化建设能否成功的关键所在,也是提升企业自身市场竞争力与企业升级进步的重要保证和标志[1]。但是,企业信息化建设过程中不可避免的出现信息安全问题,给企业正常生产经营带来诸多不利影响。因此,加强企业信息化建设中信息安全管理,已成为现代企业经营管理的一个至关重要的工作。
1企业信息化概述
所谓的企业信息化,指的是实现企业的资金流、物流、作业流、信息流的数字化、网络化管理,实行企业运行的自动化和企业制度的现代化[2]。企业信息化建设涉及了企业生产经营中的各个部门,其主要利用现代化信息技术,通过完善企业内外网络信息系统,实现对企业内外知识与信息资源的开发。可见,建设企业信息化体系,不但可以及时有效的提供各种数据信息给企业决策层,也为企业未来规划设计提供参考依据,而且还有利于企业满足瞬息万变的市场需求,为企业市场核心竞争力的提升带来动力。
2当前企业信息化建设中信息安全问题
企业信息化建设与发展为企业持续、健康、稳定发展发挥了显著作用,但同时也存在着诸多信息安全问题,具体分析主要有以下几方面[3]:
(1)当前,绝大多数企业缺乏完善的安全防御系统,导致企业内部使用的信息系统易遭受外部网络系统的攻击,引发企业信息资料被他人截获、篡改与伪造等问题,甚至企业信息系统中出现通信线路、硬盘设施以及其他文件系统遭恶意破坏现象,上述问题的发生不但致使企业信息系统无法正常运行,而且其内部机密信息易发生泄漏,造成企业严重的社会经济损失。
(2)针对邮件系统攻击防不甚防。在企业信息系统中电子邮件具有重要的作用,通过电子邮件接收与传送,极大的方便了企业内部间与外部间信息交流与沟通。然而,电子邮件安全问题也日益突出,典型的如电子邮件病毒、垃圾邮件、机密信息泄露以及电子邮件炸弹等,给企业信息传输带来了巨大安全隐患。因此,电子邮件安全问题不可忽视。
(3)漏洞攻击日益严重。按照漏洞问题发生原因可分为软件漏洞和协议漏洞两种,其中软件漏洞主要是受外部不法分子攻击软件自身存在的漏洞,造成企业信息泄露等问题;而协议漏洞则主要是由于tCp/ip协议自身在安全机制方面存在的诸多漏洞问题导致,外部不法人员通过攻击tCp/ip协议漏洞,致使企业信息系统遭受破坏。目前情况,很多企业对自身信息系统缺乏成熟的漏洞检测手段和能力,往往事发后才采取补救措施。
(4)是web服务安全问题突出,根据web服务流程,其发生安全问题的主要组成包括web服务端安全问题、浏览器客户端安全问题两种。其中,web服务端安全问题主要是企业web主机遭受外部不法分子侵入,导致企业保密信息遭窃或者企业部分信息遭受非法篡改等;浏览器客户端安全问题则是企业浏览器客户端遭外部非法分子侵入,致使部分机密信息与数据遭窃等。
3导致企业信息化建设中信息安全问题因素
企业信息化建设中信息安全问题发生受诸多因素影响,具体分析主要有以下几方面[4]:
(1)目前,绝大多数企业在信息化建设过程中,对于信息安全问题重视度严重不足。一方面,受传统经营观念影响,企业管理层偏重于对企业生产经营中的有形资产给予关注与重视,而忽略了企业知识与信息资料等无形资源,导致在企业信息安全管理方面各项投入严重不足,进而造成信息安全问题日益凸显;另一方面,多数企业在面对信息安全问题时,存在着盲目乐观现象,认为信息安全问题不至于导致企业正常生产经营,使得信息安全管理无法上升至企业发展规划战略之中,进而造成信息安全问题得不到及时有效解决。
(2)由于企业信息化建设在我国尚处于起步阶段,各方面配套管理制度不够完善,特别是缺乏健全的企业信息安全管理体制。受此影响,企业信息化建设中信息安全问题一方面无法得到有效的预防措施,另一方面是一旦发生信息安全问题,无法采取及时有效的补救与解决对策。同时,由于缺乏科学、合理、有效的企业信息安全防护策略,使得企业信息管理人员缺乏必要的安全防护意识与业务素质能力,致使企业信息安全防护软硬件工作质量与效率明显不足。上述两个因素,导致企业无论是从人员配置,还是资金与技术投入方面都严重不足,受企业信息管理人员业务素质能力不足、信息安全技术方法落后以及配套的资金缺乏等影响,企业信息安全防护的措施、手段偏低,造成企业信息化建设存在着严重安全隐患。
4提升企业信息化建设中信息安全对策
针对当前企业信息化建设中存在的信息安全问题,为加强企业信息安全管理,提升企业信息安全保障,可通过采取以下几方面对策,具体有[5]:
(1)转变传统企业信息化建设观念,在企业内部管理层从上至下加强对企业信息安全的重视,并树立正确的安全意识。一方面,通过组织各种信息安全管理培训等,增强全体企业员工信息安全意识,确保企业保密信息不外漏;另一方面,逐步加大企业信息化建设中信息安全管理各项资金、技术、人力投入,并建立科学、合理、有效的企业信息安全防护策略,保障企业信息系统安全稳定。
(2)不断的推进网络信息技术的发展与运用,促进企业组织结构网络化的实现,同时引进先进的安全防护技术,确保企业信息化系统安全稳定运行。任何网络信息系统都存在着或大或小的安全漏洞问题,而保证其不受外部不法分子侵入的一个关键方法就是安全防护技术的运用。通过选用先进的安全防护技术,可以有效的提高企业信息系统抵抗外来攻击,避免企业信息遭受窃取、篡改甚至破坏等,对于保障企业持续、健康、稳定发展具有显著作用。
(3)结合企业信息化建设实际情况,建立健全企业内部信息系统管理体制。一方面,针对信息安全问题,应建立科学、合理、规范的信息安全管理体制,保证企业信息系统安全运行;另一方面,建立健全企业安全风险评估机制,针对不同系统找出影响其安全的因素和漏洞,并制定出最佳的对策,降低企业信息安全风险;此外,加强相应的网络管理,防止外来不法分子通过网络侵入企业信息系统。
(4)根据新时期企业信息化建设需要,加强企业信息技术人才、信息管理人才队伍建设,为企业信息安全管理奠定坚实的人才基础。一方面,在企业内部,加强信息技术人才培训,提高企业内部相关人才业务素质能力;另一方面,在企业外部,采取有效措施,积极招聘人才,引进具有先进信息技术型人才;此外,建立健全企业信息安全管理用人机制,激发员工工作积极性,提高工作质量与效率。
5小结
总而言之,企业信息安全事关企业信息化建设是否成功,对于企业持续、健康、稳定发展具有至关重要的作用。因此,应提高企业信息安全管理意识,增强企业信息安全管理机制,促进企业信息安全管理工作质量与效率,保障企业信息化建设顺利开展。
参考文献
[1]毛志勇.企业信息化建设的信息安全形势与对策研究[J].科技与产业,2008,8,(1):43~45.
[2]纂振法,徐福缘.浅析企业信息化建设的意义、问题与对策[J].吉林省经济管理干部学院学报,2001,3:24~28.
[3]谢志宏.企业信息化建设中的信息安全问题研究[J].企业导报,2014(06):132~133.
[4]秦海峰.企业信息化建设中信息安全问题的分析研究[J].中国信息界,2012(05):61~62.
企业安全信息化篇2
为了增强国家经济的可持续性快速发展,增强国家的综合实力,党的十六大报告中明确提出“坚持以信息化带动工业化,以工业化促进信息化”的发展战略,十七大报告提出“大力推进信息化与工业化融合”。可以看出,对信息化在国民经济和社会发展全局中地位和作用的认识随着我国经济发展在逐步深化。
随着企业信息化建设的不断推进,信息在整个企业经营过程中起着至关重要的作用,信息安全是信息化可持续发展的保障,信息是社会发展的重要战略资源。网络信息安全已成为急待解决,影响企业发展极为关键的问题。
一、信息安全至关重要
信息安全是指信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。
国际信息系统安全核准联盟(iSC2)公布其全球信息安全专业人员调查,并指出近四分之三的信息安全从业人士认为,避免企业信誉受损是安全项目的首要任务。《2008全球信息安全从业员研究》(“GiSwS”)由Frost&Sullivan代表iSC2进行。共有来自100多个国家的企业和公共部门机构的7,548名信息安全从业人员接受了调查。数据丢失和审核所带来的压力已经使信息安全的可靠性受到企业管理层的关注。
由国家计算机网络应急技术处理协调中心的《2007年网络安全工作报告》称,网络信息系统存在的安全漏洞和隐患层出不穷,利益驱使下的地下黑客产业继续发展,网络攻击的种类和数量成倍增长,终端用户和互联网企业是主要的受害者,基础网络和重要信息系统面临着严峻的安全威胁。2007年各种网络安全事件与2006年相比都有显著增加。企业在面对外忧的同时,还要承受内患的威胁。企业或许通过构建数据隔离系统能有效防御外部攻击,但对内部的主动泄密却毫无招架之力,有数据显示,目前,泄密事件78.9%的损失都是由内部主动泄密导致。除了防御外部攻击外,内网的管理也至关重要。
二、信息安全的基本目标
信息安全通常强调所谓Cia三元组的目标,即:保密性(Confidentiality)、完整性(integrity)和可用性(availability)。Cia概念的阐述源自信息技术安全评估标准(informationtechnologySecurityevaluationCriteria,itSeC),它也是信息安全的基本要素和安全建设所应遵循的基本原则。1.保密性:确保信息在存储、使用、传输过程中不会泄漏给非授权用户或实体。2.完整性:确保信息在存储、使用、传输过程中不会被非授权用户篡改,同时还要防止授权用户对系统及信息进行不恰当的篡改,保持信息内、外部表示的一致性。3.可用性:确保授权用户或实体对信息及资源的正常使用不会被异常拒绝,允许其可靠而及时地访问信息及资源。
除了Cia,信息安全还有一些其他原则,包括可追溯性(accountability)、抗抵赖性(non-repudiation)、真实性(authenticity)、可控性(Controllable)等,这些都是对Cia原则的细化、补充或加强。
三、信息安全漏洞
企业信息化建设,既能使企业获得发展的先机,提高和巩固企业竞争优势,也能给企业带来新的风险。信息安全就是其中的核心问题。信息安全问题控制不当,企业信息化不但无法提高企业活力,还可能给企业带来灾难性的后果,威胁企业的生存。企业信息安全的威胁大致有以下几方面。
1.外部威胁。⑴软件系统漏洞:wndows系统的脆弱被大家公认。在2007年中,这种情况有了新的改变,百度搜霸、暴风影音、Qvod(Q播)、realplayer等流行软件取代了windows的“漏洞王”地位。⑵网络攻击:①“黑客”侵入:窃取企业信息、篡改企业数据库、干扰用户之间的通讯信息、攻击服务系统造成系统瘫痪。②计算机病毒:浏览器配置被修改、数据受损或丢失、系统使用受限、网络无法使用、密码被盗是计算机病毒造成的主要破坏后果。2007年我国计算机病毒感染率为91.4%,为历年来最高;多次感染病毒的比率为54%,仍然维持在较高水平。③邮件灾难:企业管理人员随时可能发送涉及高度敏感话题的未加密电子邮件(股票发行、新产品计划、合并、收购等等),而它极易被人截获并加以利用。批量发送的未经收信人许可垃圾邮件已严重影响正常网络通信,企业带来时间和金钱上的损失。同时,垃圾邮件已成为黑客助纣为虐的工具。而通过电子邮件携带及传播恶意代码、病毒等更是对系统造成严重后果;④自然灾害、意外事故:地震、水灾、火灾等自然灾害将对系统造成毁灭性的伤害;意外事故(断电、水浸、虫咬)同样不可忽视。
2.内部威胁。⑴系统风险:硬件选配不合适,环境不合要求,设备安装不规范等;信息技术方案选择失误,信息技术的快速增长并没有反映到你的系统中,使得系统安全性减弱;⑵非授权访问:未经系统授权而使用网络或计算机资源;⑶人为错误,比如:使用不当,安全意识差等;⑷计算机犯罪:恶意窃取、或出售企业机密;⑸管理漏洞:没有严格的信息安全方针和规程;管理层不重视,不能保证足够的安全预算;用户权限设置混乱;过多的文件读/写权限,休眠的用户账户也是一个常见的安全风险。
四、信息安全控制
1.及时修补软件漏洞。在日常的安全防护中,不但要重视windows系统漏洞的弥补,还要注意防范应用软件的漏洞。某些ie浏览器的插件、输入法、影音播放等应用软件,都可能成为“黑客”病毒攻击的对象。用户使用这些软件时不要仅仅关注他们的功能,还要注意其安全性能,并使用最新版本的软件。
2.快速事故响应。及时制定事故相应方针和规程,告诉用户当发生事故或入侵时应该做什么、如何做、采取行动的时间以及向谁报告,这将决定企业机密信息的命运。
3.启用防火墙。制定防火墙方针和规程,指定专人负责、定期升级、应用最新补丁、及时培训,阅读审核日志,使用检测软件,快速响应,要求安全证据。
4.跟踪外部连接。随着电子商务的开展,越来越多的企业使用internet来交换重要的商业信息,从而引起外部连接数目的激增,包括资金和财务数据。有必要专人负责跟踪外部连接,记录并定期提交详细的连接状态报告。
5.加密/过滤电子邮件。电子邮件加密套件十分容易安装,并且对用户来说近乎透明,能对用户的隐私进行有效地加密保护;更为重要的是你必须使用垃圾邮件过滤软件,阻止各种兜售信息(垃圾邮件)、病毒恐慌、真正的病毒、蠕虫、特洛伊木马等的攻击。
6.贯彻冗余方案。建立冷备份、热备份和冗余备份。冷备份指除一个在用网络外,还有一备份网络。备份网络在日常处理时不开机,一旦发现网络出现故障,立即启动备份网络,代替生产网络进行工作。热备份指备份网络也开机运行,但并不服务。一旦网络失效,备份网络即自动代替生产网络进入服务。冗余备份则是多个网络同时进行服务,一个网络的失效不影响整个系统的运行。
7.加强内部管理。企业应建立相应的网络安全管理办法,加强内部管理,建立合适的网络安全管理系统,加强用户管理和授权管理,建立安全审计和跟踪体系,及时进行用户培训,提高整体网络安全和法律意识;
五、结语
国民经济的发展,综合国力的提升,提高企业的市场竞争力,企业信息化是必经之路。实现信息安全是企业信息化成败的关键,它不但靠先进的技术,而且也得靠严格的安全管理,法律约束和安全教育
参考文献:
[1]LindamcCarthy:《信息安全-企业抵御风险之道》,清华大学出版社,2003。
[2]飘摇:《信息安全成为当前全球企业信息化首要任务》,赛迪网,2008.4。
[3]国家计算机网络应急技术处理协调中心:《2007年网络安全工作报告》,2008。
企业安全信息化篇3
关键词:国有企业;信息安全;数据挖掘
在信息化时代,基于网络侵入技术的不断提升,黑客与病毒对计算机系统攻击事件不断发生,据此而言,信息化技术在给国企生产经营活动带来便捷的同时,也成为最为脆弱的地方,此时的数据挖掘技术的运用就显得十分必要,依靠数据挖掘技术就可以使得来往流量处于实时监控的状态,并及时会对入侵产生自动检测的工具,从而大大维护了国有企业信息化系统正常运行。
一、国有企业信息化建设中的信息安全概念及意义
(一)国有企业信息化建设中的信息安全概念
所谓的信息安全是指为保护国有企业计算机数据处理系统不受侵犯,在技术层面对计算机数据处理系统所采取保护的方式方法与手段,以达到维护计算机软硬件,以及数据安全,使机密信息可以在完整的状态下与既定对象实现信息共享的目的,从而确保了数据信息得到可用性保护,从技术的层面分析,主要分为下面三种主要形式。
一是物理隔离形式的信息安全技术。就是将计算机网络系统的硬件实体与公共网络线路链接在技术层面予以有条件隔离,即防火墙技术,这一技术起到了对来往信息数据筛查的作用,从而使国有企业计算机系统在不受外界非法侵入的前提下创设一个电磁兼容的内部网络环境。
二是访问可控形式的信息安全技术。访问可控安全是防火墙技术的协作部分,在这一技术手段的支持下,国有企业信息系统能够对外来信息数据进行甄别、预警,如果黑客和病毒等恶意流量得不到有效验证,则会使得网络侵袭问题飙升;
三是数据加密形式的信息安全技术。为切实保护网上与传输过程中数据的可用性,国有企业信息系统需要在网络节点间、源节点与目的节点间、原端用户与目的端用户间的数据传输实施密钥管理。
(二)国有企业信息化建设中信息安全的意义
在社会经济信息化的今天,国有企业生产经营与市场营销等各领域都离不开信息化建设,以计算机网络技术为支撑的信息化建设基于此而成为国有企业日常运作的有机组成部分,但是,在信息化系统开放的过程中,却由于其安全漏洞问题存在而为一些不法行为提供可乘之机,信息安全据此成为人们关注焦点。
1、保障了个人信息不被泄露
以计算机网络为技术支撑信息系统为国有企业日常运作带来了极大便利,基于此成为国有企业进行生产经营、市场营销,以及日常管理的主要工具。在国有企业人力资源管理中,个人信息资料往往成为信息化建设的一个领域,这些资料在法律上归属于个人隐私范畴,有关部门无权将资料予以公开,但是,一些黑客在对国有企业内部信息系统攻击过程中,往往会窃取国有企业人力资源隐私资料,并将此作为谋取非法利益的筹码,如果国有企业对自身的信息管理系统的安全等级予以升级,则就使得黑客攻击处于无效状态,从而使得国有企业人力资源隐私信息得到最大限度保障。
2、保障了国有企业科技信息共享的实现
当前的国有企业通过搭建信息共享平台方式实现数据信息的共享,以国有企业与高校的科技信息共享平台搭建为例,高校通过自己在人力资源、馆藏资源、科技研究等方面的固有优势搭建了校企联合的科技信息平台,国有企业可以随时登陆这一平台搜索到自己所需要的科技信息,高校也可以通过这一平台将自己的科研成果及时转化为生产力,但是,这一平台的运作需要强大数据库的支持,在其运作过程中,黑客的攻击是必不可少,黑客可以通过截取网络信息传输、窃取用户口令、盗取数据库信息、篡改数据库内容等一系列非法手段,达到破坏科技信息共享平台正常运作的目的,因此,采取切实有效的措施,加强计算机网络系统的安全性能,就能够保障国有企业的合法利益。
二、国有企业信息化建设中信息安全问题
以计算机网络为技术支撑的信息系统是影响信息安全的最为主要的问题,这是因为计算机网络技术是支撑起其正常运作的最为主要的力量,从安全的角度出发,影响到以国有企业信息系统运作安全的问题主要可以细化为以下几点。
(一)网络信息资源共享使得黑客攻击频现
以计算机网络为技术支撑的信息系统运作的一个重要目的就是要实现资源共享,国有企业与高校领域所搭建的信息共享平台即是此例,在搭建信息共享平台实践中,国有企业即可通过相关计算机网络技术应用得到信息的共享,但是这一开放性的功能却存在一定的安全隐患,只要是有共享,就会有开放,共享的技术环境为黑客的攻击提供了便利。
(二)国有企业信息操作系统漏洞凸显
基于以计算机网络为技术支撑的国有企业信息系统快速进步,其系统升级也在同步进行,但是,国有企业信息操作系统的漏洞也在不断显现,这是因为国有企业对计算机网络技术的应用要求在不断提高,技术的发展相对滞后的问题始终存在,一些黑客就会对国有企业目标计算机网络操作系统进行深究,寻找其漏洞,然后通过不同的方式予以攻击,从而达到窃取国有企业信息资源、破坏国有企业信息系统等非法的目的。攻击的手段是多样式的,例如可以利用计算机网络系统的开放性的特点,制造出大流量的无效数据,并将这一些数据流形成系统阻隔,从而导致主机处于被隔离的实际发展状态;还可以阻隔其他服务请求,主机往往会存在提供服务或传输协议上处理重复连接的痼疾,黑客就会据此而重复性、高频度发出攻击性的请求,一旦请求发出,自然就会影响到其他正常的服务请求;再者黑客还根据目标主机的特点,向其发出带有病毒的错数数据信息,从而直接导致主机死机。
(三)人为因素导致信息系统安全保障效能低下
从根本上来说,以计算机网络为技术支撑的国有企业信息系统的运作离不开人的操作,因此,国有企业信息系统可持续发展就需要对其实施卓有成效的管理才能够达到既定的目标,在这其中,人力资源的因素必不可少。举例来说,如果在实施计算机网络管理的实践中,其人员基于自己的防范意识、认知水平、技术程度等方面的原因,就将会直接导致信息系统管理的安全保障效率趋于低下。
三、国有企业信息化建设中的信息安全保障策略
(一)制定与落实国有企业信息安全制度规范
为了提高以计算机网络为技术支撑的国有企业信息系统安全防范性能的提高,制度规范的制定与落实是基础,具体来说,则是要制定出信息系统安全管理、计算机网络硬件管理、数据信息保密等诸多制度规范,并进一步强化信息安全制度的落实;
(二)提升国有企业信息化技术人员操作水平
为促进国有企业信息安全规制的落实,人力资源的培养是关键环节,基于此而言,就应该对以计算机网络为技术支撑的国有企业信息系统操作技术人员进行安全法规的培训,从而使之既能够熟知这些法规,又能够认知自己的行为,促使自己的操作行为具有规范性,提高安全保障的能力。
(三)应用数据挖掘的信息安全技术
数据挖掘技术是一个新兴研究领域,涵盖了大型数据库、人工智能、统计学等诸多的方面,数据挖掘技术就是指在大型数据库中寻找并获取对自己“有价值”的、存在形式多用的数据信息。在其应用的过程中,静态和动态流量数据分析会对最终的检查结果作出及时的反映,将储存在数据库当中的既有模式与所确定的特征与规则进行比对,以此构建正确的模式来保障信息系统运作的安全。
1、静态流量数据分析算法
(1)建立模型的分类算法
模型的建立适合于通过分类算法来对静态流量数据予以分析,一般而言,就是根据数据挖掘的目标予以分类,需要从两个阶段进行。
第一个阶段模型的建立。这一阶段首先就是根据训练属性的分类的原则对目标数据库构建模型;第二个阶段模型的分类。模型的首要功能就是要对预测提供参考数据,基于此而言,模型就要通过在测试样本比较的基础上,对测试样本的准确率予以评估,如果准确率达到所要求的标准,则就可以以此为依据对该样本的类预测标号中不明数据元分类,这一模型的建立主要是在于将用户或程序中大量存在的数据予以吸纳,然后再通过模型来产生具有一定标准的分类算法,这一算法主要是测试这些未知数据的性质,为后继措施的实施奠定基础。
(2)数据关联性算法
挖掘数据之间的关联性是静态流量数据分析算法的一个较为主要的方式之一。这是因为各数据之间并非是互相间隔的而是存在必然的联系。具体而言,就需要深入挖掘数据之间潜藏的各种关系,并将其运用到检测威胁网络安全的各种现实情况中去,以此来探查各种入侵行为所存在的必然关系,从而寻求可解决的策略。
数据关联性算法主要是挖掘各数据之问隐藏的相互关系,具体应用到入侵检测系统中可以利用关联分析检测出入侵者的各种入侵行为之问的相关性,此种分析方法主要侧重于事件的因果关系。
(3)事务关联分析算法
所谓的事务关联分析就是在事务中寻找具有相似性的之间的联系,具体而言,就是在事务记录中打入某一关键字词,与之相关联的记录就会呈现出来,再在其中找出重复率较高的原始数据,从此而形成具有一定指向性的数据的集合,用于指导检查网络安全相关的诸如网络攻击与时间变量之间的关系,从而为分析相应的数据结构打下坚实的基础。
2、动态流量数据分析算法
动态流量数据分析的主要目标就是要在大量的数据中甄别并择取有效信息,同时要将无效,甚至于有害信息予以阻遏,为达到动态流量数据分析的有效性,建立一个动态流量数据分析系统是十分必要的,该系统承担了对动态流量数据分析、计算的任务。
一是数据的择取。数据择取的主要范围是在互联网上,其内容涉及安装使用对数据包的截获程序、提取网络数据包中的需要检测的信息等。
二是数据的处理。在互联网上截获的原始网络信息需要采取信息化处理的过程,这也就是说,可以将这一些信息进行诸如压缩等方式的处理,使之能够实现信息分类的储存,然后再将这些信息转换成具有持续时问、源ip地址、目的ip地址等连接特征的网络连接记录,这就完成了数据挖掘的前期准备工作,继而则在数据信息准备的基础上,再一次对这些数据信息予以“清洁”,即删除掉无效或无用的信息,而保存有效或有用的信息,最后环节则是数据信息的挖掘。
三是数据信息的分类。在所截取的数据信息库中存放大量的数据信息源,这些信息源处于无序与混乱的状态,应该按照一定的规则进行区别。一方面,就要在对所储存数据信息源特征与规则明晰的基础上,确立非正常与正常模式的基本状态,并将其储存在数据库当中,另一方面则要将储存在数据库当中的既有模式与所确定的特征与规则进行比对。当然,就业数据处于不断有新的数据信息充实的状态,原有的数据信息也会不断被淘汰,因此数据酷中非正常与正常模式、数据信息源特征与规则等都应该处在不断变化的过程中,只有如此,才能够使数据挖掘方法的使用更加有效。
四是应用模式评估。动态流量数据分析系统要根据最终的检查结果作出及时的反映,如果归属于恶意侵犯的性质(如窃取机密信息数据等黑客的行为性质)则不但要发出警报,而且还应该采取防火墙等技术手段及时切断内外网之间的关联,并查找入侵的路径,保留犯罪的证据;如果经过身份的甄别属于正常的进入,系统则要依照正常的程序继续对该用户进行检测。
在基于数据挖掘的动态流量数据分析过程之中的模式应用后,都应该对正常模式与非正常模式的应用予以全面的评估,简而言之,如果模式的应用起到了及时报警、阻遏非法侵犯的行为的作用,从而保障了数据信息的安全,就说明这一模式是成功的,起到了应有的效果,反之,则应该在多次试验中予以验证,直至建立起科学的模式。
四、结语:
在信息化的时代,基于网络侵入技术的不断提升,黑客与病毒对国有企业信息系统攻击事件不断发生,从而使得信息系统在为人们带来便捷的同时,也成为最为脆弱的地方,此时信息系统安全防范技术的运用就显得十分必要,依靠信息系统安全防范技术可以使得国有企业往来的数据信息都处于实时监控的状态,并及时会对入侵产生监测与防御,这就会在一定程度上维护了国有企业往来数据信息的安全。为达此目的,就应该从制定与落实国有企业信息安全制度规范、提升国有企业信息化技术人员操作水平、应用数据挖掘的信息安全技术这三方面着手,以此促进国有企业信息化建设的信息安全实践健康发展。
参考文献:
[1]秦海峰.企业信息化建设中信息安全问题的分析研究[J].中国信息界.2012(05)
[2]杜凡.新形式下加强财务信息安全的途径[J].当代经济.2011(21)
[3]张兆安.信息安全是信息化建设的重要基础[J].上海企业.2013(11)
企业安全信息化篇4
(一)信息化安全认知匮乏
在我国,大多数中小企业信息建设管理中存在着明显的认知不足,全球联系的增强和市场的激烈竞争促使中小企业认识到了信息化建设的重要性,但是缺少足够的信息安全管理认知,日常安全管理工作过于疏忽,没有形成科学有效地安全管理体制,作为重要保护对象。中小企业内部不同的信息需要不同的方式进行安全管理,由于企业对于信息安全管理的重视程度不够,针对安全管理投入力度难以形成有效的安全体系,无法保证信息安全。
(二)信息化安全管理制度不够完善
由于我国信息化建设起步较晚,我国中小企业相较于西方发达国家信息建设程度还有所欠缺。企业内部对于信息安全管理缺乏科学的规章制度,难以做到信息合理有效的安全防护。安全管理制度的不完善导致了各项制度之间出现混淆,安全职责定位不够明确,安全问题出现无从追求,这种现象在中小企业信息泄露中时有发生。
(三)缺乏相关技术人才
大部分中小企业由于对信息安全管理重视程度不够,投入力度较轻,导致安全管理出现盲区。信息安全建设过程中对于相关人才的培养力度不够,企业内部缺少专门的技术人才对安全管理盲区予以修复,进而导致信息泄露。
二、中小企业信息化安全管理完善措施
(一)强化信息安全意识
企业信息安全是企业健康平稳发展的基础,由此中小企业内部每个员工都应该予以承担相应的义务和责任。强化员工对于信息安全的意识,相比于技术安全更值得重视。所以,企业内部必须强化员工信息安全意识,营造内部良好的安全意识氛围,提升员工信息安全防护能力。
(二)完善安全管理制度
有效地安全措施离不开科学的安全管理制度,企业需要强化制度建设力度,做到安全管理有章可循,对于企业内部用户相关信息权限予以限制,明确,减少个人操作可能引发的信息泄露风险。在企业不断发展的过程中,制度应随着企业发展而创新升级,以满足企业发展的需要。
(三)重点培养信息安全管理人才
任何一个企业发展的根本动力都是人才的支持,优秀的人才能够促进企业内部稳定,工作效率提升,企业发展收益增强。在企业发展过程中,安全管理盲区需要相应的技术人员进行定期检查,维护,针对存在的安全隐患及时有效地解决,规避风险的发生。
三、结论
企业安全信息化篇5
移动信息化排头兵:政府、金融、运营商
实际上在移动信息化方面,企业的脚步还是迈得小了点。你可知道,现在移动信息系统应用最多的是谁?政府!答案是“政府”。调查数据显示,政府在移动信息化方面遥遥领先,其次是金融行业和运营商。近几年,政府一直在加快政务信息化建设,交警、海关等由于自身业务的特殊性,其信息化建设就凸显了“移动”这一特性。在越来越被人们所使用的网上银行、手机银行则是金融行业移动信息化的典型代表。而运营商的特殊地位,使其成为推动移动信息化的强劲力量。
处于初级阶段的企业移动信息化
你可知,现在移动信息化的最重要推动力是企事业单位的高管。由于这些高管经常处于移动办公状态,其对移动信息化的需求最为强烈。加之其处于决策层,更容易推动移动信息化的部署。而普通员工、业务人员对于移动信息化的需求就不那么明显了,有些业务人员虽然也经常移动办公,但一方面其不具有决策权,另一方面其也担心移动系统不够稳定、不够安全,非但不能提高其工作效率,反可能会造成不好的影响。
另外,现在移动信息化的主要应用方向绝大部分集中在了企业的oa系统,其他诸如移动CRm、移动财务、移动eRp、业务系统所占比例极低。移动信息化在企业内部还没有得到普及,特别是没有触及企业的核心业务。所以,可以说当前的企业移动信息化还处于初级阶段,企业移动信息化还有很长的路要走。
BYoD促进企业移动信息化发展
当繁多的app应用开始迷乱用户眼睛的时候,企业也发现app应用是实现企业移动信息化的一个好办法。app模式具有很好的易用性,而且支持离线操作。半数以上的企业将app模式作为其实现移动信息化的首选方案,选择虚拟化方式,在移动终端建立虚拟企业业务系统的比例也达到了32%,还有15%的用户选择了wap方式。不过,虽然虚拟化技术可以快速将信息化系统迁移到移动智能终端,但是可用性较差不易被接受,虚拟化模式仅可作为移动信息化的一个过渡阶段。相信随着移动信息化的逐步成熟,虚拟化模式将面临被淘汰的可能。
企业在移动信息化建设过程中采取了小心谨慎的态度,大部分企业都依据其业务特点和需求选择了“部分移植”的思路,也就是仅将最迫切需要移动信息化的业务移植到移动终端,循序渐进。也有部分企业特别是新兴企业则是一步到位,直接在移动终端独立建设全新业务系统。由于移动终端与传统pC终端的巨大差异,将企业业务整体移植到移动终端,会面临极难解决的兼容问题。同样由于移动终端小巧便携的特性,使得当前的企业移动信息化主要集中在输出操作,而非输入操作。
作为移动信息化的主要载体,企业在推进移动信息化过程中需要着重考虑移动接入终端设备问题。现在许多企事业单位出于统一管理的考虑,采取了统一采购的方法,但这也造成了很大的成本压力。好消息是BYoD给出了一个折中的解决办法。
BYoD(BringYourownDevice),指携带自己的设备办公,这些设备包括个人笔记本电脑、智能手机、平板电脑等。现在更多的情况指智能手机或平板电脑这样的移动智能终端设备。现在许多企业允许员工携带自己的移动终端接入企业业务系统进行办公,这很大程度地节省了企业在移动信息化上的成本投入,促进了企业移动信息化的发展建设。
移动安全:企业移动信息化的首要问题
其实,移动设备问题并不是企业移动信息化里最主要的问题。移动安全对企业移动信息化的影响最重要,其次是建设成本问题、业务效率提升问题、网络稳定性问题等等。
企业希望通过移动信息化提升企业业务效率,带来更多业务发展空间,但也不希望移动智能终端的接入给企业业务系统带来安全隐患,甚至造成重大损失。调查中,高达96%的用户都十分关注移动安全问题。企业非常担心由于移动智能终端的接入,使得企业机密数据“获得”新的泄密途径。或者由于某些重要数据在移动智能终端上的存储,随着移动智能终端的不慎遗失而外泄。实际上,超过半数的用户都会在移动智能终端保存数据,所以数据安全问题已经成为企业部署移动应用系统的首要考虑因素。另外,BYoD所引起的设备管理问题、移动办公所涉及的身份安全问题、政策合规性问题,也是企业所重视的安全问题。
企业安全信息化篇6
关键词企业信息安全;安全管理策略
中图分类号tp309;F270.7文献标识码a文章编号1673-9671-(2013)012-0209-01
企业信息化的构建可以实现企业生产过程的自动化、管理方式的网络化、决策支持的智能化和商务运营的电子化,从而提高企业的经济效益和企业的竞争力。
1企业信息安全体系构建的重要意义
企业信息安全对企业的安全管理和企业的发展意义重大,同时,信息安全问题也直接关系到企业的信息化建设。在企业信息化的构建过程中,要充分考虑企业在保密性(C)、完整性(i)、可用性(a)三方面的安全需求,并且从应用安全、数据安全、主机安全、网络安全、桌面安全、物理安全等方面系统地实现企业的安全需求。
2影响企业内部信息安全的因素及应对策略
外来存储设备的影响
对计算机信息安全最主要的威胁来自可移动存储设备。利用可移动存储设备,通过软驱、光驱、打印机、USB和网络接口等外设进行信息窃取。对于目前常用的windows操作系统而言,应注意以下几点:
1)利用windows操作系统中的设备管理器对外设进行必要的限制。通过对可移动存储设备及接口的限制,防止窃取信息。同时,也需禁用共享设置,防止通过共享的方式盗取信息。
2)使用插件对外设的使用权限进行设置。禁用USB接口,可能导致鼠标、键盘等必要设备无法使用;就USB接口而言,插件可以对不同的连接设备设置使用权限,既可以使用外部设备,又可以防止本机信息被非法修改或窃取。
3)设备老化换新的过程中,应注意硬盘的处理,防止信息泄露带来的安全风险。
3计算机网络安全的影响
计算机网络的发展给企业的发展带来了极大的方便,但是由于网络安全性造成的威胁也是有目共睹的。
3.1加强网络的病毒防护
随着网络的不断发展,信息共享、信息交换越来越多,因此感染病毒的机会更大,在企业内部,一旦有主机感染病毒,病毒将会传播到整个网络,给企业造成巨大的经济损失。除了对防火墙进行安全部署,尽量关闭系统不使用的端口,以防止入侵者对系统攻击外,还要对操作系统及所使用的杀毒软件进行更新与升级,减少因漏洞造成的安全隐患。
3.2加强对访问控制的监管。
访问控制是保证内、外用户对系统资源的访问,防止非授权用户进入系统,实现对授权用户的存取权限控制。对于只对企业内部或合作单位开放的信息,应该设置访问控制,只有得到用户名和密码的用户才能访问,可以通过配置路由器来实现这些内容。
1)对操作系统设置访问权限。对企业内部用户进行操作系统的权限设置,以防止账户信息被随意更改,如果账户信息被随意更改,则有可能是企业内部人员伪装合法用户身份信息盗取企业内部账户信息。
2)对各类信息系统软件中的账户信息进行加密。软件的登录过程中,输入的用户名和密码,均采用明文的方式在服务器上进行身份验证,在传输的过程中易被盗取和利用,所以,应在实现用户管理功能上采用加密传输方式,防止由此带来的安全隐患。
3)不同部门对网络权限的限制。在构建网络时应用VLan技术和第三层交换技术,可在同一个基础物理网络上实现员工网络、财务网络、领导网络、部门网络的逻辑分隔,从而提高整个系统的安全性。
4)对密码复杂程度进行限制。无论操作系统还是管理系统,都应设置密码的最少位数和复杂程度,并且设定更新时间和错误次数的限定。当密码出错次数超过限次,系统自动锁死,该用户再次进入系统需管理人员开启,以防止非法用户猜码进入系统。
5)限定特定计算机登录。对于企业的重要信息资料,要限定在特定的计算机上登录,防止非法用户盗取账户的信息和物理地址后,利用其他计算机登录后盗取企业重要信息。
6)加强对企业数据库系统的访问管理。在系统开发时,应采用多层体系架构,防止客户端程序破解程序后进入数据库系统。第一层是注册和用户许可,保护对服务器的基本存取;第二层是存取控制,对不同用户设定不同的权限,使数据库得到最大限度的保护;第三层是增加限制数据存取的视图和存储过程,在数据库和用户之间建立一道屏障。
4系统稳定性的影响
计算机系统的良好运转,直接影响到数据信息的安全。随着企业信息化的发展,信息系统的连续而稳定运行越来越重要。
1)系统的连续性。一旦系统中断,将会给企业的工作带来不便,而数据一旦丢失,后果将是灾难性的。为保证系统的连续稳定运行,目前,多采用双机热备份的方式来解决,以保证当出现信息丢失或错误时能及时恢复,并找出问题的原因。这种系统由两个服务器组成:主服务器和从服务器,两台服务器,互相备份,共同执行同一服务。当一台服务器出现故障时,可以由另一台服务器承担服务任务,从而在不需要人工干预的情况下,自动保证系统能持续提供服务。双机热备由备用的服务器解决了在主服务器故障时服务不中断的问题。但在实际应用中,可能会出现多台服务器的情况,即服务器集群,双机热备一般情况下需要有共享的存储设备。但某些情况下也可以使用两立的服务器实现双机热备,需要通过专业的集群软件或双机软件
2)通信故障引起的稳定性。对于可能出现的通信故障,采用备用线路的方式,以确保通信畅通。对于安全级别要求高的企业,可采用专用线路。
3)信息系统设计的缺陷影响系统的稳定性。在设计初期,应有良好的架构,以利于日后的管理和运维。信息系统长期运行后,应有专业人员定期对操作系统和数据库进行维护。
5网络管理人员的影响
1)网络管理人员的权限设置不宜过大,并且要有严格的行政管理制度进行约束。
2)加强网络技术的培训。企业网络管理人员必须不断学习新的网络知识,掌握新的网络产品的功能,了解网络病毒、密码攻击、分组窃听、ip欺骗、拒绝服务、端口攻击等多样化的攻击手段,才能更好地管理好网络。
3)要了解黑客攻击的一般规律和新手段,要有时刻应对黑客攻击的高度警觉。
企业安全信息化篇7
关键词:建筑企业;安全;管理;信息化;策略
中图分类号:C29文献标识码:a
随着我国经济建设的发展,基本建设规模不断扩大,建筑业队伍也随之迅猛增加,用信息技术提升产业素质已经势在必行。由于建筑施工企业的安全管理具有其特殊性,这使得其安全信息化有别于标准制造业和流程工业信息化。另外,建筑生产具有一次性、复杂性、露天高空作业多、劳动力密集等特点,因而导致建筑领域的安全事故频繁发生。所以,针对其特殊性,在建筑施工领域中建立一套安全管理信息系统是推进安全信息化的重要手段。
一、建筑施工企业安全管理信息系统构建的理论基础
1、建筑施工危险源辨识
建筑施工危险源辨识的范围:施工现场危险源识别的范围,可根据现行的国家标准、行业规范、操作规程、产品使用说明书上的技术要求及以前一些事故案例,结合施工现场的分部分项工程的施工工艺、方法,进行识别。
在建筑生产领域危险源是以多种多样的形式存在的,危险源所导致事故被归结为能量得以意外释放或有害物质的泄漏。根据危险源在事故发生发展过程中的作用,把危险源分为两大类,第一类危险源和第二类危险源。
2、建筑施工危险源评价
危险性评价方法针对能否在评价中对评价指标进行量化处理来分类,一般可分为定性评价、定量评价和综合评价。通过对安全管理科学中各种评价理论模型的比较,结合建筑施工企业安全管理的具体特点,这里采用模糊综合评价方法。
模糊综合评价就是应用模糊变换原理和最大隶属度原则,考虑与被评价事物相关的各个因素,对其所作的综合评价。评价的着眼点是所要考虑的各个相关因素。是目前多数企业选择的一种定量的评价方法
3、建筑施工危险源控制
对不同的危险源特性和危险源所处的环境,我们需要对危险源的控制方式进行分类,确定不同的控制要求。
(1)建筑施工第一类危险源的控制
(a)防止事故发生的措施有消除危险源、限制能量或危险物质、隔离;
(b)避免或减少事故损失的措施有隔离、个体防护、设置薄弱环节使能量或危险物质按人们的意图释放、避难与援救。
(2)建筑施工第二类危险源的控制
(a)减少设备的人为故障发生,如增加设备操作安全系数、提高设备可靠性、设置安全监控系统;
(b)进行设备的本质安全设计,如采用故障-消极方案,故障-积极方案,故障-正常方案等不同模式进行本质安全化设计。
二、安全事故应急预案制定及管理
一个成功的施工安全信息管理系统将对企业的施工安全起到很大的支持保障作用,但是在建筑施工安全信息系统中并未监测到或者说未给出预警信息,在建筑施工安全信息系统中,出现了比较重大的安全事故,但是此系统并没有给出预警信息或者说没有监测到,那么如何避免建设建筑施工安全信息化系统工作中出现此类情况呢?
1、目前建筑施工领域是正在发展信息化的领域,安全信息管理工作主要存在着以下几个问题:a、带来信息共享革命性的变化是信息技术,因此,做好安全信息的共享会在第一时间内,合适的发送给部门和人,在系统规划的时候就需要形成明确的需求。同时又方便了检索信息安全,此外施工管理信息化系统把语音、各类视频和传感技术等的综合利用,在安全生产过程中,得以支持人员和车辆设备的实时交互沟通、调度以及指挥等等。b、建筑施工具有分散的作业点、负责的作业情况属于室外作业。如何实时的、动态的将安全生产危险源、混凝土质量的信息等传送给后台系统呢?这需要重视与其相关的安全信息搜集过程,通过合理、规范化的流程,使共享、分类汇总搜集到的信息更加完整,实时性更强。c、在日常的信息管理中,安全管理系统要管理和建立安全生产基线信息,对安全合规的检查过程和标准数据的生成要高度重视。如:通过相关的传感器和系统的连接,随时发现电力负载存在的容忍线情况,对动力环境出现的问题要尽早发现,并且对预警和整改意见要积极地提出来。d、为了确保安全预警的有效性,提高再次发生安全信息成果转化的效率。把再次发生率降到最低。建筑施工安全管理信息化建设,并不是一件容易的事情,对于保障安全生产,提高安全管理效率具有重要作用,在企业领导重视的前提下,其中心要以系统使用者岗位的需求,以梳理和分析关键的安全管理需求为依据,其手段是以录入和整合安全管理信息为切入点,进行统一规划,分阶段有序的实施。同时,技术手段和管理意识都不可缺少。
2、在推广工作中,安全生产信息管理系统的应用和建设,具有共性建设规律。a、系统组成是软件也是硬件+信息+软件+企业生产过程、人员。系统中需要协调运作和软、硬件相互动作等要素才能产生合力。b、在企业的组织结构和实际情况上,划分的系统角色和流程必须和其匹配,首先建筑施工企业自身的实际情况要与组织结构和角色参数的配置、规则和流程的配置相适应。c、机遇划分的工作岗位角色和定义的需求、构筑的系统能共享,角色要对应计算机系统,集合一组权限。在规划建设的阶段中,施工管理的领导和人员要充分参与,发表意见,以系统的事迹使用为中心,建设符合本企业实际需求切实可用的系统功能。
3、作为建筑施工领域当前正在发展的信息化新领域,安全生产信息管理工作又存在着具有自身特点的一些问题需要注意,包括:a.做好基础安全信息的收集工作;建筑施工属于室外作业,作业点分散、作业情况复杂,如何将最前端的信息,如混凝土质量信息、安全生产危险源信息等实时地、动态地传送给后台系统,不只是一个技术问题,更关系到建筑施工相关系统的最终使用效果。需要重视与之相关联的一个问题即是安全信息的收集过程应规范化、流程化,通过规范化的流程,可以使收集到的信息更完整、更便于分类汇总、共享、信息实时性更强。b.做好安全信息的共享,信息技术给信息的共享带来了革命性的变化,但是如何将合适的安全信息在第一时间发送给合适的人或部门,需要在系统规划之初就形成明确的需求。同时,要让安全信息的检索更方便,此外,随着现代通讯技术的发展,施工管理信息化系统将越来越开放,其将与各类视频、语音及传感技术等相集成,以支持安全生产过程中人员、车辆设备的调度、实时沟通交互、指挥等。c.注重安全成果信息转化率,也即安全预警的有效性,提高安全信息的渗透性,即确保同类事故的再次发生率降到最低。d.重视对安全合规标准数据的生成和合规检查过程:安全管理信息系统不但要管理日常信息,还要建立和管理安全生产基线信息,所谓基线就是动态的门限,如,每天企业的电力负载都会随着时间的变化有一个出现高峰及波谷的过程,且电力负载会有一个相对稳定的上限和下限变化曲线,如果通过系统与最前端的相关传感器件互联,就能随时发现当前的动力负载可能存在超出容忍线的情况,尽早发现可能动力环境出问题的情况,并及时提出预警及相关整改意见。
综上所述,信息化社会的发展必然会导致安全信息管理学在安全科学的领域中占有越来越重要的地位,也必然会导致安全管理信息系统在人类安全系统的管理中发挥越来越重要的作用。也希望安全管理工作的人员更加努力地不断进行探索,相互探讨,总结经验,健全安全模型,逐步完善系统的功能,使安全管理信息系统更加适用、完善。
参考文献:
企业安全信息化篇8
【关键词】信息;信息管理;信息安全;身份识别
enterpriseinformationmanagementintheResearchofDataSecurity
ZhangYing-shi
(northeastChinaRailwaySurveyandDesigninstituteGroupCo.,Ltd.5BranchHeilongjiangHarbin150080)
【abstract】torealizeinformationmanagementistheinevitablerequirementofthecurrententerprisedevelopment,whiletheimplementationoftheinformationmanagementdependsonthedegreeofthedevelopmentoftheenterpriseinformationsafetyconstruction.Startingfromtheactualdemandofdesigninstitutedataapplication,thispaperputsforwardthebasicprinciplesofinformationsecuritymanagementsystemconstruction,andputsforwardtherelatedtechnicalmeanstoprotectthesafetyofinformation.Scientificandperfectmanagementsystemandrelatedtechnologyofcombiningthemanagementmodeofsolvetheenterprisesecurityproblemsofinformationsecurity.
【Keywords】information;informationmanagement;informationsecurity;identification
1前言
随着信息技术时代的到来,特别是微电子技术的高速发展和计算机应用的普及,各个企业需要处理的数据以爆炸式的方式增长。企业面对浩如烟海的信息,仅仅依靠孤岛式的管理方式是无法对其实现科学而高效的管理的。当前,信息化管理水平的高低已然成为衡量一个企业综合实力的标志,各企业都结合本企业实际生产状况建立了适合本企业的信息管理模式。这些信息化管理手段在提高企业信息化管理水平的同时,也带来一个令诸多企业管理者头疼的问题:信息化管理模式下的信息安全。因此,如何确保日常工作中的信息安全,就成为信息管理者首先必须解决的问题。
2信息安全现状
2.1信息数据的类型
从信息管理的角度来看,日常生产包含了多种类型的数据。首先也是最主要的,是院内设计和生产部门形成的各种文件,主要由设计形成的图纸、保密的合同、以及未公开的各项试验数据等组成。其次就是财务部门日常工作处理的数据和形成的各种报表文件,这类数据和文件对安全性要求极高,未经授权任何人不得访问。最后一类数据是由院内各种网络应用程序产生的日志文件,其中包含了员工对数据访问的历史记录,以及在各种应用软件上的网络访问活动等。
上述数据的生成、存储、传输都严重依赖于计算机和网络系统。可见,确保院内数据的安全,首要问题就是解决院内计算机应用和网络系统的安全。目前,影响院内计算机和网络系统安全的因素主要有几个方面。
2.2计算机病毒的威胁
计算机病毒作为一种有害的软件程序,其短小、隐蔽,但能给计算机系统带来较大的破坏,因而成为当前计算机系统面临的主要威胁。一台感染了病毒的计算机,轻则出现应用软件运行变慢,甚至无法正常运行的情况;严重时将导致操作系统崩溃、重要数据丢失;最为极端的情况是,计算机的硬件系统可能被一些类似CiH的病毒破坏,造成不可挽回的损失。看似小小的病毒,瘫痪的却是整个计算机系统。
2.3软件漏洞的威胁
随着操作系统与应用软件变得越来越大,日益复杂的软件开发框架在满足了终端用户项目需求的同时,也带来了更多的安全隐患。目前,操作系统软件补丁层出不穷,隐藏在各种应用软件中的后门更是比比皆是。软件本身在使用过程中出现的安全漏洞给用户数据安全造成极大的威胁,非法用户利用漏洞获取合法授权用户的数据访问权限,从而导致数据的篡改和丢失。
2.4网络攻击的威胁
与计算机病毒相比,网络攻击的最大特点就是发动者带有明确的目的。也就是说,网络攻击从开始就设定了攻击对象,而被攻击者只有在意识到自己遭受了攻击后才开始实施补救措施。除此以外,网络攻击的范围更广,其攻击对象不仅是单台计算机,而且包括了整个网络传输系统设备。对网络设备攻击行为不但会导致网络传输的拥塞,拒绝服务攻击还可导致正常的web服务请求无法完成,最终导致网络瘫痪。
3信息安全的实现
3.1管理制度与技术手段的结合
对于利用网络进行分布式数据处理以及远程数据传输的用户来说,确保信息安全首先需要建立科学完善的管理制度,没有相应管理制度保障的信息安全是无法实现的。其次,管理制度的具体实施依赖于先进的计算机和网络管理技术,脱离技术支持的管理是无法有效进行的,二者相辅相成,共同守护信息的安全。
信息安全管理的对象包括了信息数据的创建者和使用者,信息数据本身以及完成信息数据存放、处理、传输的设备。建立科学完善的管理体系,应从上述三个方面入手,解决信息的访问控制机制和监测机制两大问题。前者指对用户数据以及相关访问用户进行的有效的管理与控制。后者则是为了保障网络系统正常运行而采取的相关技术手段。
3.2建立管理制度的基本原则
信息安全管理的核心是数据,建立科学管理制度的前提是对院内不同部门的业务数据进行安全等级划分,同时对相关人员的数据访问限定不同级别的权限,杜绝非法授权访问,从而避免重要数据被篡改甚至丢失。
管理制度中另一个问题是对联网设备进行审核。依据接入网络中计算机处理数据的不同密级,管理员采取相应的联网方式及保密措施。特别是对涉及财务数据的计算机,严禁一网两用,一定做到专网专用,实现物理层的隔离。
定义了数据的安全级别以及访问权限,管理制度需要解决的又一个重要问题是信息安全的监测。为了保障网络的正常使用以及发生安全事件后的行为追踪,管理人员除了日常的实时巡查外,还需配置相关软硬件来记录数据以及网络访问的历史记录,做到数据访问有据可查。
3.3管理制度实施的技术手段
目前,比较流行的计算机操作系统都对数据安全提供了很好的支持。在基于windows域构建的数据共享网络中,文件系统和域访问机制实现数据的安全性。数据作为软件系统的文件,管理人员通过对文件设置完全、可执行、只读、无任何权限来设定文件的安全级;域上的用户通过分配不同的权限来实现对数据的安全访问。这一安全访问机制较好地解决数据能不能被访问,以及可由谁来访问的问题。
对接入网络的计算机,用户通过交换和路由设备实现对网络数据的访问。管理人员一方面利用maC地址的唯一性,在绑定pC的maC地址与交换机物理端口的基础上,实现接入用户身份确定。另一方面通过防火墙配置的ip地址访问列表来限定不同用户数据交互的访问权限。特别是对和外网有数据交互的网络应用,利用加密的口令认证技术和VLan技术实现内外网交互的身份识别,确保数据使用安全。
在互联网中,各种网络攻击事件时有发生。院内每台计算机安装的防火墙和网络中心的入侵检测设备可有效降低这类危害,二者分别从计算机用户和网络管理员方面为数据提供安全屏障。特别是位于网络中心的入侵检测系统,实时监测并记录网络设备运行状态,如发现异常访问,可及时向管理人员报警。对已发生的网络攻击事件,入侵检测系统的日志文件提供外网用户对内网的访问记录,管理人员据此分析攻击来源以及攻击类型,了解网络存在的隐患,进而通过制定相关措施增强既有网络的安全性。
4结束语
如何确保开放网络环境下的信息安全,是企业信息化过程中面临的重大问题。企业信息安全的实现,不仅依赖于本企业信息安全管理制度的健全与完善,还与管理人员的技术水平、企业内部相关软硬件设备的配置密切相关,只有将科学管理方法与先进的管理技术进行科学整合,才能真正实现企业的信息安全。
参考文献
[1]张宝奇.企业信息管理技术探索与实践[J].科技向导,2013(17):282.
[2]杨丽.计算机信息管理与现实管理结合[J].科技信息,2013(17):105.
[3]徐岩.网络信息安全技术防范措施研究与探讨[J].科技传播.2012(02):151.
[4]张兰兰.计算机网络信息技术安全及对策探讨[J].计算机光盘软件与应用,2012[18]:43-44.
企业安全信息化篇9
[关键词]电力企业;档案管理;信息化;安全
电力企业在国民经济中发挥着举足轻重的作用,对社会经济的正常运行和人们生活的正常进行都有着不可忽视的意义。计算机技术的发展,使得电力企业的档案管理也呈现出信息化管理的趋势。随着档案信息化管理的普遍应用,企业档案信息化管理的安全问题面临着巨大的挑战,保证电力企业中档案信息化管理的安全性,成为了电力企业发展的重要内容。
一、电力企业档案信息化管理
1.电力企业档案信息化管理的现状
档案的存储、档案的管理和档案的查询是档案管理的三种基本模式[1]。在电力企业的日常工作中,很好的利用档案存档信息,对于工作的顺利进展有很大的帮助,所以档案资料的及时接收、整理分类、保管体系也在逐步走向正规化。在以往的传统档案管理中,呈现的都是纸质文件,伴随手工操作进行管理,而随着科学技术的进步,信息化的技术也在档案的管理中应用,对纸质文件进行数字化的信息处理,使档案资料保管更便捷,查询起来更方便。可以对档案信息可以进行备份处理,使得档案信息更安全。但目前这种档案信息化的管理工作方式还没有在电力企业中全方位、多角度的进行普及,而应用了档案信息化管理方式的电力企业还存在一些问题,所以档案信息化管理的技术和应用还有很大的提升空间。
2.实现电力企业档案信息化安全工作管理的必要性
首先,电力企业在国民经济汇总扮演着重要角色,它是一项基础性的支柱企业。如果失去了电力行业的支持,全社会就可能出现经济瘫痪的现象。在2008年伊始,我国南方多数省市都遭受了雨雪冰冻的袭击,电力行业在此次自然灾害中受到了极大的影响,使得多地区都出现了电力中断的现象,对国民的正常生活带来严重的影响,这充分的表明了电力资源对市民生活的重要性,没有电力资源人们就无法进行正常的生活。在现代数字化的战争中,攻破电网就是战争取得胜利的关键点,这种说法毫不夸张[2]。近些年来,电力企业的档案信息经常被攻击,导致档案信息泄露,为了提高电力企业档案的保密性和警惕性,对档案信息化安全管理工作一定要加强。
其次,因为电力企业的发展经历了一个漫长的历史时期,企业中的各项管理与经营方式都逐步在完善,都形成了各自的特征与优势。随着市场经济的发展,电力企业也得到了大幅度的发展,企业的数量与电力经营项目也日益增多。在经济全球化的今天,优胜劣汰的竞争淘汰法则一直在各大企业间上演,为了在激烈的市场竞争中,拥有自己的一席之地,竞争手段则是五花八门,其中也不缺少使用不正当手段窃取其他竞争对手的商业机密,而经常因为利益等原因的驱使,企业的档案信息管理难免会出现失误和泄露。多种实例证明,保护好档案信息就是保护好本企业的利益,所以电力企业对自己的商业机密加强保护,显得尤为重要。
再次,电力企业是资金和技术密集型的企业,拥有着较高的专业技能人才,掌握先着进的核心技术。在科学技术飞速发展的今天,各大电力企业都在努力创新自己的技术成果,对高性能和高质量的电力产品研发力度不断加大,为了加强电力企业的竞争实力,每一年各个企业都有新的研发目标,同时还要进行科技的引进和创新,并逐渐形成自己的知识产权,所以一定要加强档案信息化安全管理,对本企业的知识产权和技术成果进行保护。档案信息的安全保护,就是对企业的技术领先和核心竞争力进行保护。
二、电力企业档案信息化管理中存在的问题
1.滞后的档案信息化管理体系
因为电力企业的档案信息化管理是随着科学技术的发展而产生的,在使用初期,难免会在相关的管理和技术层面上存在缺陷。在电子档案的存档、保管、查阅等方面还没有建立健全明确的规章制度,出现问题时不能及时很好的解决,进而引起一系列的不良连锁反应[3]。因为档案管理信息化是最近几年才发展起来的,在大量的纸质档案向电子版本转换时,在速度和质量上还难以保证。
2.对档案的信息化管理还没有足够的重视
在电力企业中,一些元老级的领导还没有对档案信息化管理有充足的认识,把主要精力放在了产品研发和市场占有率上,档案信息化管理在企业的发展中的隐性作用总是被忽视,简单的认为档案管理是一种文职类的日常琐事,对重要档案科室和部门更是没有建立,没有把档案信息化管理融入企业的发展战略中,因此使得档案信息化管理出现人员短缺、管理落后等问题。
3.档案管理人员素质不够
因为在多数电力企业中,没有对档案信息化管理的重要性有足够的认识,因此对档案管理人员的要求不高,很多档案管理人员对档案管理工作却不了解,只是对档案进行简单的整理和归类,没有管理重点,往往忽略了对包含重要经济信息的档案进行存档和保护,因为不具有档案管理的专业知识,在技术和管理观念上还有很多漏洞,很容易造成重要档案信息的流失和机密的泄露。
三、加强电力企业档案信息化安全工作管理的途径
1.完善电力企业档案信息化安全工作的制度体系
规章制度对人的行为具有一定的约束和提醒作用,对于人的行动意识具有强化的功能。因为规章制度的约束性、权威性和稳定性的特点,使得规章制度的制定在档案信息化管理中有章法可遵循,有标准可参照。所以一定要在国家法律法规范围内,制定符合电力企业实际情况的规章制度,建立健全档案信息化安全管理相关工作的流程、体系。并要大力倡导监督检查行为和责任问责制,使档案管理工作真正落实,填补档案信息化安全管理的空白,同时可适当的使用一些奖惩制度,促使档案信息化管理工作安全、有效进行。
2.提高电力企业决策层对档案管理信息化安全的重视度
电力企业的决策层作为企业的家长,是企业发展战略的制定者和前进方向的指挥者,所以一定要在企业成长发展中,对档案信息化管理安全要有足够的重视并加强其建设,至上而下的把档案信息化安全管理工作落实到企业发展的各个角落。同时要认真分析国内外电力企业的发展形势和先进理念,认清企业档案信息化管理的安全性在企业未来发展道路上的重要意义。
3.加强对电力企业档案信息化管理人员的职业素质和专业技能培养
电力企业的档案管理人员每天要面对众多的档案信息,其个人素质的高低对于档案信息化安全管理具有重要的影响作用。基于电力企业在国民经济发展中的重要地位,所以要重视对电力企业档案管理人员的选拔和培养。提高电力企业档案信息化管理人员对档案管理工作和信息保密的认识,培养其形成坚定的立场和明锐的洞察力,要对档案管理人员的专业技能进行不定期的培训,使其具备更加专业和规范的技能,使其能够对信息化管理中不安全因素的进行分析、判断和解决,提高在档案信息化安全管理中的实践能力。努力打造出一支专业技能高、安全意识强、纪律严明、业务精通的新时代电力企业档案信息化管理团队。
4.采取技术手段防止企业档案信息泄密
科学技术是第一生产力。在电力企业的档案信息化管理中,当然也少不了科学技术的大力支持。电力企业的档案管理是一项复杂而艰巨的工作,需要在平时的工作中不断进行经验和教训的总结,从而为科技人员的新技术研究与开发提供理论依据。将计算机技术更好的融入到档案的管理当中,借鉴与吸取先进的技术成果。在广泛运用计算机技术的同时,也要加强计算机网络安全技术的研究与实践。设立档案信息安全系统,加强对档案信息和文件销毁环节的技术运用和保密管理,对于计算机网络上的有关安全的信息严格把关。在电力企业管理中,大力宣扬“积极防范、技管并重”的思想[4],加强与规范企业档案信息安全的管理工作。
结束语
电力企业在我国国民经济中占据着重要的地位,所以电力企业的档案信息化管理安全工作也意义重大。电力企业档案信息管理对国家的安全保障、企业在市场中的竞争地位、企业的知识产权等方面都有重要的作用,所以要加强电力企业档案信息化安全管理工作,采用新技术加强档案管理的安全性建设,培养专业素质高的管理人才,加大对企业档案管理信息化安全建设的资金投入,加强风险防范和责任意识等等。总之,对于加强电力企业档案信息化安全工作要从科技、人力、物力、财力等多方面进行,从而更好的保障电力企业档案信息化管理安全有序的进行,为电力企业和国家经济的安全发展做出贡献。
参考文献:
[1]丁艳娟.基于信息化环境的电力企业档案管理[J].北京:科技大学出版社,2012(10).
[2]寇杨.电力设计档案管理存在的问题及对策研究[J].上海:信息工程研究出版社,2011(1).
企业安全信息化篇10
【摘要】本文首先讲述了信息化管理对企业发展的作用和意义,然后介绍了提升安全管理的必要性,最后介绍了入户安检管理信息化管理。【关键词】城市燃气企业,入户安全检查,信息化管理中图分类号:C29
文献标识码:a一、前言安全用电用气是家庭用户必须了解的知识,用户在使用燃气时有很多不正确的行为,这些行为都会存在很多的安全隐患。城市燃气企业入户安全检查就是排除隐患,确保用户能够安全用气。二、信息化管理对企业发展的作用和意义众所周知,企业的发展必须要与时俱进,只有跟上时代进步的步伐,与时展的脚步保持一致,并满足当前社会的需要,满足市场经济的需求,企业才能得到健康、长足的发展。因此,在当前这个普遍推广和应用计算机网络技术的信息时代下,企业想要更好的发展,就必须符合当前时展,充分运用信息技术来调整企业结构,加快企业的产业升级,逐步实现企业信息化管理。企业实行信息化管理的实际意义是,利用信息化来带动企业生产,进而推动工业化经济增长。在竞争如此激烈的信息化时代下,企业只有通过信息化,加快企业自身发展,强大企业资本,在不断拓宽市场和提高市场竞争力的前提之下,才能从容而有效的应对市场竞争的挑战。对于国内燃气企业来说,燃气企业信息化不仅是贯彻中央所提出的“以信息化带动工业化”战略的核心,还是满足现代城市发展需要以及促进企业自身快速发展的重要手段。三、我国燃气企业发展所遇到的难题就国内多数燃气企业而言,其在实际发展所遇到的最大挑战应该是外部环境变化的不确定性。这里的外部环境包括经济环境、法律环境、市场环境以及社会需求等。燃气企业想要发展,就必须要根据外部环境的变化以及企业发展战略的需要,来不断调整和改变企业的资源组织方式,以确保企业内部资源能够在企业活动中得到充分的发挥,利于企业核心能力的积累,这就是我们常说的企业管理目标。燃气企业为了实现其管理目标,就必须要对自身管理工作提出高要求,更加科学、有效的进行企业经营管理。而企业经营管理的实质内容是对经营信息的管理,企业通过对经营活动中所产生的信息进行搜集、整理、保存和利用,使经营信息与企业实体的生产工作有机的结合起来,并在必要时候作为参考依据,及时提供利用。事实上,企业对经营信息的管理全过程就是档案管理中的一部分,如果采用手工操作来对经营信息进行管理,其管理难度是非常大的,只有借助于信息化技术,借助计算机网络系统,推行信息化管理,才有可能更快更好的实现企业经营信息的管理,从而实现企业的管理目标。四、提升安全管理的必要性城市燃气具有使用风险大、服务对象组成复杂、点多面广、管理难度大、隐患较多等特点,提升安全管理势在必行。1、燃气使用风险大天然气具有易燃、易爆的特点,不完全燃烧的产物一氧化碳有剧毒。燃气客户分布面广,点多线长,一户存在隐患,将危及众多住户的安全,容易造成人员伤亡和财产损失,影响社会稳定与和谐。2、服务对象组成复杂燃气客户分为:社区居民、出租户、公商客户等,中老年人、儿童、外来人员较多,整体安全意识和安全行为能力较低。3、安全管理难度大小区燃气管线点多面广,相对分散,风险源较多。4、隐患存在率高由于设计不规范、客户擅自改动、燃气设备使用超年限、设备质量瑕疵、软管老化等原因造成安全隐患无处不在。以XX燃气公司某片区统计数据(截止2013年7月)为例,无隐患客户仅占36%,严重隐患客户占12%,在71923户客户中有45727户客户存在隐患,其中严重隐患11071处,一般隐患73745处,平均每户存在1.85处隐患。隐患中软管及热水器烟道、管道问题尤为突出,及时发现隐患、消除隐患是保证客户安全的重要途径。五、入户安检管理信息化管理1、建立燃气入户安检信息平台全面使用安检管理系统信息平台,首先为入户安检人员配备了平板电脑、检漏仪、安检包、维修工具等设备,安检员在入户安检时,利用移动平板电脑摄像功能将用户燃气安全信息并分门别类上传到安检系统中,通过信息共享,数据库分析,形成详细计划和执行系统,如安检计划分配和执行实施、隐患用户情况、隐患处理情况、到访不遇用户情况、拒绝安检用户情况等诸多情况,可直观系统的为后续管理决策服务,减少了大量的人力物力,提高了管理效率。构建入户安检管理信息系统(一)、需求分析需求分析是信息系统建设的基础,也是重点。目前公司依据《入户安检规程》对所有入户的安检工作进行了细致的需求分析,形成了一个系统的安检pDCa工作环(又称戴明环):事前有安检总量下达,安检计划编制,安检计划派工;事中有安检计划下载,安检计划执行,安检结果回传;事后有安全隐患处理、稽查(注重对工作质量的检查)、回访(注重对服务态度的检查)。最终形成统计分析表,便于绩效考核,并实现全程临控,掌握入户安检工作的实施进度和工作状况,以便及时调整工作安排。(二)、信息系统的设计在需求分析的基础上,公司结合已有的运营管理信息平台,进行了入户安检管理信息系统设计。采用J2ee三级架构,使用JaVaJDKl.5开发,在weBSpeRe7.0上应用程序。在设计时应注意与运营管理信息平台硬件、网络的共享和无线接入点的新增。与运营管理信息平台共用2台数据库服务器及3台应用服务器,根据该项工作的推进考虑逐步部署在其他应用服务器上。与运营管理信息平台共享网络资源,并新增无线接入点便于移动终端的数据传输。(三)、功能入户安检管理信息系统共有一级功能模块3个:模板制定,安检,稽查;二级功能模块8个:安检项管理,后台管理,移动安检管理等;三级功能35个:安检项定义,安检计划编制,安检结果处理等。移动终端具备坐标定位、数据备份、安检计划下载、安检计划执行、安检记录上传等功能。2、完善入户安检和抄表计量功能为避免燃气使用量抄表二次入户,利用安检管理系统信息平台实现安检、抄表一体化,将研发安检和抄表开发在一个系统界面上,利用平板电脑记录上次的安检和抄表时间,安检员根据平板电脑通报实施安检、抄表的操作,解决了二次入户的问题。3、实现安全隐患信息化管理为切实消除户内安全隐患,完善了安检管理系统信息平台与隐患整改联动机制,将安检系统和收费系统关联起来,实现数据交换和信息共享。即收费人员可直接查询缴费用户最近一次安检时间、隐患处理等情况,对于到访不遇的用户,客服人员立即联系相关的安检员及时的为用户安检;对于存在隐患且未整改到位的用户,客服人员采取限购气的措施,用户必须在充值气量使用时间内按照要求完成整改,复检合格后恢复购气,通过安检管理系统信息平台与隐患整改联动机制有力的促进用户限时完成隐患整改。六、结束语燃气安全工作是和谐社会建设的重要组成部分,是社会安全稳定的基础。入户安全检查是对用户的负责,也是一种责任的表现,参考文献[1]王志峰,刘亚平,于英莲.户内燃气设施安全检查工作管理和实施[J].煤气与热力,2011,31(7):B35-B36.[2]董宏理.建立燃气安全检查标准实行科学监管[J].煤气与热力,2010,29(6):B33-B35.