時間:2023-08-21 17:21:43
序論:好文章的創作是一個不斷探索和完善的過程,我們為您推薦十篇企業信息化安全建設范例,希望它們能助您一臂之力,提升您的閱讀品質,帶來更深刻的閱讀感受。
【中圖分類號】TU714 【文獻標識碼】A 【文章編號】1672—5158(2012)08—0255-02
0.引言
隨著信息技術的不斷發展以及市場競爭的不斷激烈,企業信息安全建設已經成為提高企業競爭力的重要途徑,杜絕信息泄露可以避免巨大的經濟損失。雖然大多數企業在信息安全管理方面采取了較多的措施,但是信息安全問題仍然頻發,對于企業的經營活動帶來巨大的損失。加強企業內部的計算機管理,提高對于信息安全的認識程度,保證信息數據庫的安全,避免信息泄露的發生已經成為現階段企業信息化建設亟待解決的管理問題。
1.企業信息化建設信息安全影響因素分析
(1)信息系統實體安全。信息實體主要包括用于企業信息化建設的計算機、網絡連接、服務器等媒介硬件設施,對于信息實體安全影響因素主要包括火災、水災、失竊或者是其他事故造成設備硬件的損壞,從而造成企業信息庫數據安全出現問題。
(2)信息系統運行安全。信息系統的安全是指為了保證企業信息數據庫的安全,采取各種措施對系統運行進行安全保護。由于信息數據庫有可能受到非授權的訪問、泄露、數據纂改或者是被其他非法程序控制的威脅,因此確保信息系統運行安全主要是保證信息數據庫的完整、保密以及時時可用性。
(3)信息系統管理人員安全責任意識。管理人員在日常工作中的安全管理意識、專業操作水平以及法律意識等均會對企業信息數據的安全產生影響。信息安全管理人員的日常管理工作責任心以及工作方式方法,對于保證信息數據庫的安全十分重要。
2.企業信息安全管理問題分析
目前由于管理制度以及軟硬件設施等一系列的問題,企業數據庫破壞以及重要數據信息泄漏的現象時有發生,嚴重影響了企業的正常生產經營活動,通過分析發現影響企業信息化建設信息安全的問題主要由以下幾方面:
(1)企業內部移動存儲設備管理疏松,缺乏安全保密管理制度。由于許多企業在日常管理過程中,移動存儲設備使用較多,員工可以隨意對企業內部的各種信息資料進行備份,企業用于經營活動的客戶信息、產品設計、財務管理等各項信息極易造成泄漏,帶來巨大的信息安全損失。部分企業由于對于信息安全管理認識程度不足,企業內部信息安全管理缺乏必要的規章制度,安全管理職責權限不清,信息安全漏洞較多。
(2)對于內部信息共享控制不嚴格,信息安全管理權限混亂。由于企業在生產經營過程中為了提高生產經營效率以及加強企業內部各部門之間的溝通聯系,對于一些設計企業銷售計劃、客戶信息以及生產計劃等文件采取共享的措施,因此企業員工的流動或者其他管理不當均會造成企業信息的泄露。
(3)信息權限管理混亂,企業的中介服務體系穩定性較差。對于加密的授權訪問,權限管理則成為保護企業信息安全的重要因素。但是由于企業在信息安全管理過程中體系混亂,操作權限不清晰導致經常出現影響信息安全的非授權訪問。而且對于部分中小企業由于信息化建設采取對外委托的方式,而中介第三方由于穩定性難以保證,隨時更換或者退出的第三方極易造成企業有價值信息的泄漏,影響企業信息安全建設。
(4)信息管理安全防范體系不健全,缺乏針對信息安全管理的專業技術人才。雖然部分企業已經認識到信息化管理的重要性,并在企業網絡內設置了必要的安全設備。但是缺乏一系列的安全管理機制,在信息安全管理方面缺乏行之有效的整體規劃與具體落實措施。此外,由于大部分企業在信息安全管理工作中將重點放在軟硬件設施上,而忽略了對于信息安全技術人員的培養,而且為了減少人力資源支出成本,信息安全管理人員少工作任務重,管理權限集中化程度高,影響了信息化建設的安全管理。
3.企業信息建設信息安全管理措施
(1)加強對于信息庫硬件設備的保護管理。首先應保證計算機等硬件設備具有安全的工作環境,做好計算機設備的防火、防潮、防盜措施,并避免強磁環境對信息數據可能造成的損壞。其次,在對各種硬件設備進行檢修時,硬組織企業內部相關技術人員進行監督管理,對于需要外送檢修的設備,則應提前進行數據加密處理。
(2)提高企業內部的信息安全管理意識。企業信息安全管理對于提高企業競爭力,避免企業經濟損失具有重要的意義。在企業的正常管理過程中,加強信息安全宣傳工作,使員工充分認識到企業信息安全管理的重要性,并熟悉企業相關信息數據保密的規則制度,提高企業的整體信息安全防范水平。
(3)加強信息安全操作管理人員的管理。在企業信息日常管理過程中,應加強對于業務操作以及數據存取控制代碼的管理。系統管理操作代碼的獲得應經過企業管理者授權,系統管理人員在進行企業相關信息數據庫的整理以及維護過程中,必須通過授權進行。系統管理人員離開工作崗位后,相關責任人應及時更換管理員操作代碼。
(4)加強企業信息數據庫的密碼與權限管理。對于涉及到企業信息數據庫安全的密碼,應分別設置用戶密碼以及操作密碼,并提高密碼的安全程度,及時定期更換登陸操作密碼。對于組成企業內部局域網絡的服務器、路由器等設施的設置管理工作,應嚴格按照相關管理規定進行設置。
(5)明確企業信息數據庫管理制度。對于企業重要的數據應存放備份數據,并采取異地存放的方式對備份數據庫進行管理。對于廢棄或者需要銷毀的數據信息,應嚴格依照程序采取逐級審批的方式,避免數據信息的泄露。需要進行數據恢復工作時,應嚴格按照相關技術手冊,并對恢復的數據進行驗證確認數據的完整可用。
(6)加強企業信息數據機房的管理。相關人員出入信息數據庫機房進行數據查閱以及提取工作時,應經由相關主管人員的授權,并登記進入。在日常管理過程中,定期對硬件設備進行保養,同時研究違章操作在信息數據機房安裝外部其他軟件。
參考文獻
中圖分類號: C29 文獻標識碼: A
前言
企業生產銷售、經營管理和技術的開發等領域是不斷的達到社會經濟效益和全面提高管理水平的整個過程。目前,供電企業已經建立了一套完成的包括文件處理、財務、人力資源、生產管理等各個專業的應用信息系統,全面促進企業發展,提高企業在社會市場的競爭。隨著電力行業的高速發展,社會民眾對供電企業的服務需求逐漸增多,這對企業信息化建設水平提出了更高的要求。面對社會發展的新形勢,供電企業必須在先進信息技術基礎之上,抓住信息化建設這一機遇,實現跨越式發展,爭取早日建設成為一個優秀的現代公司。
1. 供電企業信息化建設安全常見問題及原因
1.1、重應用,輕管理的思想意識
供電企業信息化建設開展和實施以來,許多工作人員并沒有在思想上轉變傳統的工作模式,依然只是將信息化建設和管理作為一項應用型工具,以為就是簡單的計算機應用工作,缺乏必備的網絡和信息數據安全管理知識。即便有些人了解到信息化建設安全的重要性,但是對于如何防范的措施卻一知半解。還有大部分人存在僥幸心理,認為一切從簡,密碼簡單、不開啟防火墻、不備份數據文件、對于共享和可見性以及遠程操作等關鍵環節更是隨心所欲,造成供電企業信息化建設安全危機重重。
1.2、供電企業信息化人才短缺
在人才培養方面,供電企業更重視安全生產、營銷服務等專業人才培養,對計算機、網絡、通信方面人才不夠重視,這讓信息人才對企業歸屬感不強,感覺缺少發展空間。在人才管理機制方面,由于人才激勵效果不明顯,績效考評制度不健全,導致供電企業的人才培養機制有效性不強。供電企業內管理專業工作人員對信息技術知識知之甚少,而信息技術管理人員又不懂安全生產、營銷管理等業務,復合型人才嚴重短缺,也使企業務與信息技術相互不能有效的整合。在人員配置上,基層供電企業的計算機、網絡、通信管理人員數量較少,信息化專業班組成立剛剛幾年,如遇計算機、網絡突發狀況,無法及時處理。
1.3、缺乏有效的病毒防治管理
網絡病毒是信息化建設安全的最大威脅之一,對于供電企業信息化建設安全來講,重點就在于對網絡病毒的防治和管理。網絡病毒的防治和管理是一項長期且艱巨的任務,目前沒有任何系統可以對所有病毒都具有防護的功能。而供電企業的基層單位對于病毒的防治大多數也只是安裝單一的網絡殺毒軟件,再無其他的病毒防治預案。管理工作也通常比較簡單和疏松,當殺毒軟件無法識別或者根除一些病毒或者木馬時,相應的技術人員也只是自己通過其他途徑尋找解決方案,一旦實在無法解決就要面臨重裝系統,丟失所有當前數據文件信息的風險;更為嚴重的甚至會造成業務系統的崩潰,導致正常的工作難以進行。
1.4、供電企業信息化建設安全性不高
供電企業信息化建設是以局域網為基礎的,網絡通暢和安全問題是企業開展信息化建設必須考慮的重要問題。局域網絡每一次發生故障,都會導致企業業務運行陷入癱瘓狀態,其帶來的損失難以估計。目前,造成供電企業信息化建設安全問題的原因主要有四個方面:一是殺毒軟件沒有真正發揮作用,目前全省供電企業已經安裝了統一的殺毒軟件,但在及時更新和升級方面還存在一些問題;二、計算機配置硬件水平參差不齊,一些基層單位仍在使用的計算機老舊,甚至不能安裝較大的殺毒軟件,否則無法啟動,更談不上安全性了。三是,計算機的管理人員與應用人的安全意識薄弱,殊不知竟有75%以上的安全問題是由于組織內部人員的不正常使用引起來的。四、局域網絡運行可靠性低。在縣供電企業局域網絡基本為十年前建成,局域網絡為單一通道,沒有備用線路,一旦發生光纜損壞,涉及的單位通信終端,各項工作基本處于癱瘓狀態,特別一些供電所位于偏遠山區,一旦出現通信故障,維修耗時較長,影響正常工作。另外,機房等局域網重要節點缺少備用電源,一遇故障停電,全部網絡中斷。
2. 提高供電企業信息化建設安全的措施
2.1、建立健全信息化建設安全管理和考核機制
供電企業信息化建設安全管理是一項動態的、靈活的工作,不僅僅是引進了新的技術或者新的安全體系就能馬上見效的,還要靠平時的管理和監測。技術所能起到的作用就是預防更多的已知的安全隱患;而管理則是靈活的,實施的主體以人為主,可以通過建立各種安全管理制度,用技術來對人進行約束和管理,真正發揮人的靈活性和主動性,在安全威脅來臨之前就發揮防控作用,不給安全威脅發生的機會。同時,還要針對供電企業信息建設安全的特點建立一套涵蓋引進標準、風險性評估和技術應用規范的安全管理體系。落實安全崗位職責,推行責任制,嚴格按著相關法律法規的標準結合企業實際的安全等級要求進行信息安全管理系統的建設和管理。將安全管理融入到信息系統的各個環節當中,實現每個環節的自管、自查和自評,再通過不定期的崗位臨檢,來考核信息化建設安全的各個環節是否達到規定的標準,提高信息化建設安全的重視程度,強化信息化建設安全意識。
2.2、培養信息化人才
供電企業應通過平等待遇、增強激勵等方式培養一批高效的、專業的信息化建設人才。把信息化建設和業務管理放在同等的地位對待,在日常工作中,積極開展信息化專業人員培訓、崗位練兵、專業競賽等活動,為從事信息崗位員工提供發展空間和施展才能的平臺,加強信息化人才儲備,提高信息化人才在供電企業中的地位。加強企業其他員工信息化知識培訓學習,營造良好的學習氛圍,提高企業整體信息化應用水平。進一步培養復合型的人才,特別是在管理層要培養一批既懂業務管理又懂信息技術的管理人員,這樣在管理上才能進一步提高水平。建立和完善供電企業信息化方面的人才管理和評價機制,采取合理有效的激勵和績效考核手段,調動員工積極性,不斷完善用人制度,通過競爭、擇優上崗,優化人力資源配置。
2.3、加強移動存儲介質的控制和管理
鑒于移動存儲介質的廣泛應用和其實際應用中的便攜性、靈活性,供電企業信息化建設安全部門應該根據行業的實際情況制定一些有效的移動存儲介質使用標準和規范,并進行全員的教育和培訓。其內容可以從移動存儲設備的插拔使用、讀寫開關應用、加密設置和定期殺毒要領等基礎知識展開。使企業內部的人員熟練掌握移動存儲介質的基礎知識和安全使用方法,逐步提高安全防范意識,養成良好的移動存儲介質使用習慣。移動存儲介質使用的具體安全管理工作可以從以下幾個方面做起:一是妥善保管防止遺失;二是專職專用,嚴禁外借;三是定期殺毒;四是采取“雙備份”原則;五是杜絕任何形式的非法外聯操作。
結束語
綜上所述中可以看出,供電企業信息化建設安全保障是一項綜合技術和管理為主要內容的工作。供電企業信息系統的安全管理是一項綜合性較強的課題,不僅僅涉及到了應用、技術和管理,還包括信息系統自身的安全性能以及物理和邏輯上面的計算的相關措施,技術僅僅只是解決某個問題的技術。因此,供電企業信息化安全建設是一項長期的、靈活的,需要供電企業全體人員共同參與的工作,還需要我們不斷的努力學習和創新。
參考文獻
1 卷煙企業安全管理現狀分析
安全管理作為支撐企業管理的關鍵核心,始終得到企業各級領導及員工的高度重視;與此同時,隨著近年來的企業信息化建設與應用水平提升,辦公OA系統、ERP、MES以及EAM裝備信息化等系統的廣泛應用,信息化支撐企業各項管理現代化已經成為一種趨勢,更是企業有效提升管理效率、增強核心競爭力的一條捷徑。但是,在具體實踐中部分卷煙企業還未能夠將信息化與安全管理有效融合,對于有效利用信息化提供的高效、及時性方面還不能夠達成共識,這一情況除存在一定的意識淡薄、資金缺少、技術匱乏之外,還應該從以下三個方面進行剖析:
1.1 安全管理人員隊伍素質偏低
根據大多數卷煙企業的安全管理隊伍整體素質水平,相對處于企業知識結構與能力水平較弱的層級,對于信息化的應用能力與水平存在一定的障礙,而作為安全管理信息系統具有系統性、先進性、前瞻性的技術特點,在系統的建設、運行與維護方面都需要一定的專業知識與技術,造成系統建設的技術壁壘。
1.2 安全信息系統投入風險較大
信息系統的建設是一種系統工程,需要系統設計、統籌實施與有效實現,在企業涉及安全建設方面的投入需要多方面的審核與把關,相對投入資金較大、周期較長、風險共存,在與企業相關系統集成中存在不確定性、融合度低等風險,影響到系統的建成效果,以及企業領導層的決策。
1.3 安全信息系統建成模式單一
安全管理信息系統的建成模式還比較單一,可借鑒與實踐的經驗相對較少,在建設中以信息化建設為主導推進,以信息化工作梳理流程、建成模塊、系統實現,在投入運行中以安全管理為主導理論,如果不能夠有效實現工作流、業務流、信息流的前期整合,不能夠有效分清“主導”要素,必然會造成信息系統運行的沖突與障礙。
2 安全管理信息系統內涵
借助于現代高效的信息技術應用平臺,用系統性、流程化、模塊化的建設理論為基礎,強化安全管理的PDCA過程管理方法,推進安全管理工作的流程化、信息化、系統化,持續提升企業安全管理與應急響應等級水平。信息化的安全管理從安全基礎管理、過程控制及效果監督等形成有效的執行系統,有效改善了安全管理從“結果導向型”向“過程控制型”轉變;系統化的安全管理從影響安全的各項因素入手,深入統計與分析、決策與判斷,逐步形成科學性、有效化的決策體系,用系統化的全過程預防控制方法,將傳統的“被動事故處理”向“超前隱患預防”轉變;體系化的安全管理借助于安全工作組織架構、資源實現、過程方法、監督考核、持續改進等,夯實安全基礎,筑牢安全防線,實現安全管理從“簡單粗放”向“精益標準”轉變,有效促進企業一體化管理水平持續提升。
3 安全管理信息系統構建內容
卷煙生產企業安全管理信息系統的建成理論基礎來源于YC/T384-2011《煙草企業安全生產標準化規范》,嚴格依據行業安全標準體系建設理論,依托煙草工業企業獨有的目標體系、治理結構、管理流程、現場監控、應急處理等安全管理特點,運用先進的虛擬化、網絡化、電子化及信息化手段,將安全管理全過程中的工作指令、指揮調度、預警處理、信息反饋等實現數字信息化、網絡化,集中存儲與應用,并且運用自身的關鍵命令參數設置,及時有效地做出綜合評價及分析判斷,快速處理各種信息源的數據與差異,實現企業安全管理信息化、動態化和高效化,為企業安全管理提供先進性、系統性、快捷性的技術支撐。
安全管理信息系統包含安全管理體系、信息系統硬件、信息系統軟件三個基本框架,涉及信息收集、數據分析、評價判斷、信息反饋、決策執行、應急處置等六個系統模塊。
3.1 安全管理體系
以煙草行業安全標準化理論為基礎,以“人、機、料、法、環、測”關鍵要素為核心,運用系統論工作方法,對安全管理工作進行流程化、標準化、體系化、系統化管理。安全管理體系是安全管理信息系統形成的基礎框架,對于信息系統的組成范圍、人員分工、工作流程、應急處理、預案演練、信息反饋機制等方面進行了規定與要求,確保安全信息系統的有效建成與組織落實。核心要素包括安全方針,危險源的辨識、評價與控制,法規和其他要求,安全目標,安全管理方案,結構和職責,運
行控制,測量和監視,審核,管理評審等10個方面。
3.2 信息系統硬件
安全信息系統的有效運行依托于企業信息化的基礎平臺,運行效率的高低完全取決于企業信息化的建設水平。信息系統的核心組件包括數據服務器、核心網絡、應用終端三個系統平臺,配套組件包括安全與備份設備、應用服務設施、集中監控與管理設施等,共同形成信息系統有效運行的硬件平臺。
3.3 信息系統軟件
安全信息系統的核心組成是業務流、工作流,關鍵點在于安全信息的有效集成和全面共享,即實現將關鍵的準確的安全信息、安全數據及時地傳輸到相應的影響決策人的手中,從而為企業的安全運作決策提供強力支撐。依據煙草行業安全管理體系建設的系統理論與實踐應用,結合卷煙企業的安全生產管理特點,運用PDCA過程控制方法中,將安全信息管理系統大致分為六個核心功能模塊。
3.3.1 信息收集模塊。信息收集的來源在于人、機、設備方面的基本信息、潛在危險源、異常報告及事故處理等,包括數據的分類標簽、獲取系統和存貯系統、傳輸系統。對于相關數據的獲取范圍、數據大小及響應時間應做出規定要求,每種數據獲取系統中都應有檢驗數據完整性、及時性、有效性的數據質量系統。
3.3.2 數據分析模塊。根據數據范圍與應用,結合不同數據在各個體系功能中的作用模式,建立符合不同要素標準的數據統計與分析算法,利用電子自動運算與合成,對所有有效數據進行統計分析。要持續關注數據的整體性、關聯性分析,建立有效數字分析模型。
3.3.3 評價判斷模塊。應建立對應于企業實踐的安全指標體系模型,運用信息化的邏輯算法比對數據分析結果的符合性、異常性及突變程度,以做出相應的反饋與動作。
3.3.4 信息反饋模塊。在應用層與決策層搭建有效信息通道,保障所有數據流、信息流始終暢通。建立信息優化系統,對反饋信息進行有效甄別與篩選,合理辨識信息的完整性、可用性。
3.3.5 決策執行模塊。決策模塊響應底層數據收集、分析與評價機制,實現信息雙向互傳,具備自我完善的運行機制與策略,用正確的數據傳達正確的指令,通過方案決策系統決定控制策略,形成共同協商、高度集中的執行決策,從而形成閉環的信息體系。
在科技飛速發展的大環境下,信息化已經成為當今時代的發展趨勢,企業信息化建設已經成為企業發展的必經之路,企業通過對信息化建設過程中的信息安全的探索,保證企業信息化建設過程中的信息安全與系統穩定,從而使企業在競爭中處于不敗之地,讓企業在工業化與信息化深度融合下,快速發展,與時俱進。
1 當前企業信息化建設中的信息安全問題
1.1 信息安全管理問題
目前企業的信息安全管理上存在的問題,首先,信息管理人員缺乏或者人員經驗不足:計算機信息安全很大程度上取決于管理人才,調查顯示,我國七成IT企業信息安全系統保障不足,主要原因是管理人員沒有及時更新系統補丁程序、沒有及時維護系統。企業信息安全是上不斷完善的動態過程,需要不斷對現有系統進行安全檢查、評估,及時發現新的問題,跟蹤最新安全技術,及時調整安全策略,增強企業信息安全性。其次,在企業的信息化建設中信息安全管理系統不完善,信息安全管理系統,如果沒有一個很好的保障體系,會使得信息的管理錯亂,無秩序,重復管理、漏管等現象發生,使得信息系統出現漏洞,安全性降低。最后,安全以人為本,如果管理不善,人為原因,造成的操作失誤,誤用或濫用關鍵、敏感數據或資源等導致信息丟失泄露,外部人員和硬件的商家等對于企業的系統有一定的了解,有權限合法訪問,這也會造成信息的安全問題。
1.2 信息化建設中的硬件問題
近年來,由于信息化發展較快,企業信息化建設的成本也在不斷提高,由于信息化建設投資大、回報慢,一些企業雖然有信息化建設的意愿,但是在實際投入上比較小,這就使得企業信息化建設過程中,企業的硬件設施跟不上時代的不發,導致企業信息化建設止步不前,計算機硬件設施的老化,對企業信息化建設過程中的安全問題存在這一定的隱患,而且,計算機的硬件決定著信息化建設的穩定性。另外在鏈路傳輸、網絡設備(路由器、交換機、防火墻、通訊線路故障)等以及物量的一些不可抗力造成的地震、水災、火災等環境事故使系統毀灰。
1.3 信息化建設中的軟件問題
(1)國內的軟件水平與世界先進水平還存在較大的差距,更容易受到黑客和病毒的攻擊。這樣就會造成使用這些軟件的企業信息化建設中存在信息安全問題。
(2)配置中存在的問題,很多的系統和應用軟件在初裝后會使用默認的用戶名和口令以及開放的端口,而這些都容易造成信息的泄露。
(3)Web服務中的安全問題,www體系的主要特點是開放、共享、交互,這使得信息安全問題增加,安全漏洞多樣,如果服務器的保密信息被竊取,信息系統就會受到攻擊,獲取Web主機信息,使機器暫時不能使用,使機器暫時不能使用,服務器和客戶端之間的信息被監聽等。
(4)路由器信息的不安全行為,路由器簡單的密碼或共享密碼、安全功能沒有設置會導致信息的泄露。
2 企業信息化建設中信息安全的對策
信息安全是企業信息化建設中的重要問題,只有保證信息的安全才能使企業在信息化建設中走得更遠。企業在信息化建設進行信息安全的建設,主要可以從強化信息安全觀念、加強硬件建設安全防護、提升軟件建設安全措施三個方面進行。
2.1 強化信息安全觀念
在企業信息化建設中,一旦企業信息被盜取或丟失,對企業肯定會造成損失甚至是致命的打擊。要從企業的基層員工到管理者都要正確認識信息安全的重要性,強化信息安全的觀念,提高信息安全意識,從思想上認識提高信息安全的必要性。
2.2 加強硬件建設安全防護
加強企業信息化建設過程中的硬件建設安全,首先要保證計算機的安全。企業的信息化建設離不開計算機,要保證計算機的安全就要對計算機進行定期的維護與保養,避免計算機在運行過程中出現突發性故障而導致企業信息的丟失。
另外,企業的信息化建設中,要加強網絡硬件的建設。目前,市場上應用比較廣泛的企業網絡協議就是TCP/IP協議,硬件組成有服務器、通信設備、網絡安全設備,主要應用技術是網絡交換、網絡管理、WEB數據庫技術、防火墻等技術,同時還有支持網絡運行的支撐系統,整個硬件建設安全、穩定、可靠。
2.3 提升軟件建設安全措施
要解決企業信息化建設過程中的信息安全問題還需要加強企業信息系統的軟件安全防御措施,要采用高性能的安全軟件對系統進行防護,使用防護軟件要使其發揮其價值所在,不要因小失大。目前,大多數企業的軟件防護措施不到位,主要原因就在于軟件防護措施不到位,例如企業在公共區域設置無密碼的無線路由器,等于是向所有人公開企業的信息,安全無法保證。因此,企業在信息化建設過程中有必要采取高性能的安全防護軟件來保證信息的安全。
3 小結
企業在信息化建O過程中的信息安全問題,有著很廣泛的內容,企業信息化建設中信息安全的監控、維護等涉及的面比較廣。在信息安全問題上主要應該以防護為主,從良好的管理開始,將信息安全風險扼殺在搖籃中,形成安全保障體系。信息時代,企業的信息化建設是企業發展和提高競爭力的基礎,我國的企業信息系統長期處于不安全狀態,沒有足夠認識到企業信息安全的重要性,希望通過本文的探索和論述,能夠引起企業的關注,加強信息安全的防護。
參考文獻
[1]艾戩.企業信息化建設中的信息安全探究[J].網絡安全技術與應用,2015(03).
[2]辛玉紅.企業信息化建設中的信息安全問題[J].現代情報,2004(11).
[3]馬良.企業信息化建設中的信息安全問題[J].才智,2014(01).
[4]張耀輝.關于企業信息化建設中的信息安全探討[J].電子技術與軟件工程,2013(14).
0 引言
現代企業信息化網絡是基于內部傳輸網和Internet網絡的互聯網絡,由于公眾網絡是一個相對開放的平臺,網絡接入比較復雜,掛接的相關點比較多,網絡一旦接入公眾網絡,對于一些網絡安全比較敏感的數據,傳輸的安全性就比較弱,比較危險。本文將重點分析企業網絡系統安全性方面以及業務系統安全性方面存在的問題。
1 企業信息化網絡存在的安全隱患
1.1 Windows系統的安全隱患
Windows的安全機制不是外加的,而是建立在操作系統內部的,可以通過一定的系統參數、權限等設置使文件和其他資源免受不良用戶的威脅(破壞、非法的編輯等等)。例如設置系統時鐘,對用戶賬號、用戶權限及資源權限的合理分配等。
由于Windows系統的復雜性,以及系統的生存周期比較短,系統中存在大量已知和未知的漏洞。一些國際上的安全組織已經公示了大量的安全漏洞,其中一些漏洞可以導致入侵者獲得管理員的權限,而另一些漏洞則可以被用來實施拒絕服務攻擊。例如,Windows所采用的存儲數據庫和加密機制可導致一系列安全隱患:NT把用戶信息和加密口令保存于NTRegistry的SAM文件即安全賬戶管理(securityAccounts Management)數據庫中,由于采用的算法的原因,NT口令比較脆弱,容易被破譯。能解碼SAM數據庫并能破解口令的工具有:PWDump和NTCrack。這些工具可以很容易在Internet上得到。黑客可以利用這些工具發現漏洞而破譯―個或多個DomainAdministrator帳戶的口令,并且對NT域中所有主機進行破壞活動。
1.2 路由和交換設備的安全隱患
路由器是企業網絡的核心部件,它的安全將直接影響整個網絡的安全。路由器在缺省情況下只使用簡單的口令驗證用戶身份,并且在遠程TELNET登錄時以明文傳輸口令。一旦口令泄密,路由器將失去所有的保護能力。同時,路由器口令的弱點是沒有計數器功能,所以每個人都可以不限次數地嘗試登錄口令,在口令字典等工具的幫助下很容易破解登錄口令。每個管理員都可能使用相同的口令,路由器對于誰曾經作過什么修改沒有跟蹤審計的能力。此外,路由器實現的某些動態路由協議存在一定的安全漏洞,有可能被惡意攻擊者利用來破壞網絡的路由設置,達到破壞網絡或為攻擊作準備的目的。
1.3 數據庫系統的安全隱患
一般的現代化企業信息系統包含著多套數據庫系統。數據庫系統是存儲重要信息的場所并擔負著管理這些數據信息的任務。數據庫的安全問題,在數據庫技術誕生之后就一直存在,并隨著數據庫技術的發展而不斷深化。如何保證和加強數據庫系統的安全性和保密性對于企業的正常、安全運行至關重要。
我們將企業數據庫系統分成兩個部分:一部分是數據庫,按照一定的方式存取各業務數據。一部分是數據庫管理系統(DBMS),它為用戶及應用程序提供數據訪問,同時對數據庫進行管理,維護等多種功能。
數據庫系統的安全隱患有如下特點:涉及到信息在不同程度上的安全,即客體具有層次性和多項性;在DBMS中受到保護的客體可能是復雜的邏輯結構,若干復雜的邏輯結構可能映射到同一物理數據客體上,即客體邏輯結構與物理結構的分離;客體之間的信息相關性較大,應該考慮對特殊推理攻擊的防范。
2 企業信息化網絡安全策略的體系
網絡安全策略為網絡安全提供管理指導和支持。企業應該制定一套清晰的指導方針,并通過在組織內對網絡安全策略的和保持來證明對網絡安全的支持與承諾。
2.1 安全策略系列文檔結構
(1)最高方針
最高方針,屬于綱領性的安全策略主文檔,陳述本策略的目的、適用范圍、網絡安全的管理意圖、支持目標以及指導原則,網絡安全各個方面所應遵守的原則方法和指導性策略。安全策略的其他部分都從最高方針引申出來,并遵照最高方針,不與之發生違背和抵觸。
(2)技術規范和標準
技術標準和規范,包括各個網絡設備、主機操作系統和主要應用程序應遵守的安全配置和管理技術標準和規范。技術標準和規范將作為各個網絡設備、主機操作系統和應用程序安裝、配置、采購、項目評審、日常安全管理和維護時必須遵照的標準,不允許發生違背和沖突。它向上遵照最高方針,向下延伸到安全操作流程,作為安全操作流程的依據。
(3)管理制度和規定
管理制度和規定包括各類管理規定、管理辦法和暫行規定。從安全策略主文檔中規定的安全各個方面所應遵守的原則方法和指導性策略引出的具體管理規定、管理辦法和實施辦法,必須具有可操作性,而且必須得到有效推行和實施。它向上遵照最高方針,向下延伸到用戶簽署的文檔和協議。用戶協議必須遵照管理規定和管理辦法,不與之發生違背。
(4)組織機構和人員職責
安全管理組織機構和人員的安全職責,包括安全管理機構組織形式和運作方式,機構和人員的一般責任和具體責任。作為機構和員工工作時的具體職責依照,此部分必須具有可操作性,而目必須得到有效推行和實施。
(5)用戶協議
用戶簽署的文檔和協議,包括安全管理人員、網絡和系統管理員安全責任書、保密協議、安全使用承諾等等。作為員工或用戶對日常工作中遵守安全規定的承諾,也作為違背安全時處罰的依據。
2.2 策略體系的建立
目前的企業普遍缺乏完整的安全策略體系,沒有將政府高層對于網絡安全的重視體現在正式的、成文的、可操作的策略和規定上。企業應當建立策略體系,制定安全策略系列文檔。建議按照上面所描述的策略文檔結構,建立起安全策略文檔體系。
建議策略編制原則為建立一個統一的、體系完整的企業安全策略體系,內容覆蓋企業中的所有網絡、部門、人員、地點和分支機構。鑒于企業中的各個機構業務情況和網絡現狀差別很大,因此在整體的策略框架和體系下,允許各個機構根據各自情況,對策略體系中的管理制度、操作流程、用戶協議、組織和人員職責進行細化。但細化后的策略文檔必須依照企業統一制定的策略文檔中的規定,不允許發生違背和矛盾,其要求的安全程度只能持平或提高,不允許下降。
2.3 策略的有效和執行
安全策略系列文檔制定后,必須和有效執行。和執行過程中除了要得到企業高層領導的大力支持和推動外,還必須要有合適的、可行的和推動手段,同時在和執行前對每個本員要進行與其相關部分的充分培訓,保證每個人員都了解與其相關部分的內容。必須要注意到這是一個長期、艱苦的工作,需要付出艱苦的努力,而且由于牽扯到企業許多部門和絕大多數人,可能需要改變工作方式和流程,所以推行起 來阻力會相當大;同時安全策略本身存在的缺陷,包括不切實際的、太過復雜和繁瑣的、規定有缺欠的情況等,都會導致整體策略難以落實。
3 企業信息化網絡安全技術總體解決方案
參考以上所論述的,結合現有網絡安全核心技術,本文認為,企業信息化網絡總體的安全技術解決方案將圍繞著企業信息化網絡的物理層、網絡層、系統層、應用層和安全服務層搭建整體的解決方案,企業信息化網絡建設將著重從邊界防護、系統加固、認證授權、數據加密、集中管理五個方面進行,在企業信息化網絡中重點部署防火墻、入侵檢測、漏洞掃描、網絡防病毒、VPN五大子系統,并通過統一的平臺進行集中管理,從而實現企業信息化網絡安全既定的目標。
3.1 防火墻系統的引入
通過防火墻系統的引入,利用防火墻“邊界隔離+訪問控制”的功能,實現對進出企業網的訪問控制,特別是針對內網服務器資源的訪問,進行重點監控,可以提高企業網的網絡層面安全。防火墻子系統能夠與入侵檢測子系統進行聯動,當入侵檢測系統對網絡中的數據包進行細粒度檢測,發現異常,并通知防火墻時,防火墻會自動生成安全策略,將訪問源阻斷在防火墻之外。
3.2 入侵檢測子系統的引入
入侵檢測系統用于實時檢測針對重要網絡資源的網絡攻擊行為,它會對企業網內異常的訪問及數據包發出報警,以便企業的網絡管理人員及時采取有效的措施,防范重要的信息資產遭到破壞。同時,可在入侵檢測探測器與防火墻之間建立互動響應體系,當探測器檢測到攻擊行為時,向防火墻發出指令,防火墻根據入侵檢測系統上報的信息,自動生成動態規則,對發出異常訪問及數據包的源地址給予阻斷。入侵檢測和防火墻相互配合,能夠共同提高企業網整體網絡層面的安全性,兩個系統共同構成了企業網的邊界防護體系。
3.3 網絡防病毒子系統的引入
防病毒子系統用于實時查殺各種網絡病毒,可防范企業網遭到病毒的侵害。企業應在內部部署網關級、服務器級、郵件級,以及個人主機級的病毒防護。從整體上提高系統的容災能力,提升企業網整體網絡層面的安全性。
3.4 漏洞掃描子系統的引入
漏洞掃描子系統能定期分析網絡系統存在的安全隱患,把隱患消滅在萌牙狀態。針對企業網絡中存在眾多類型的操作系統、數據庫系統,運行著營銷系統、財務系統、客戶信息系統、人力資源系統等重要的應用,如何確保各類應用系統的穩定和眾多信息資產的安全,是企業信息化網絡中需要重點關注的問題。通過漏洞掃描子系統對操作系統、數據庫、網絡設備的掃描,定期提交漏洞及弱點報告,可大大提高企業網整體系統層面的安全性。該系統與病毒防范系統一起構成了企業網的系統加固平臺。
3.5 數據加密子系統的引入
現階段,企業安全文化由于其本身具備有優良的安全管理手段的特點,已經受到眾多企業廣泛的關注。因此,怎樣有效地構建安全文化是當前電力行業及通信企業共同探討的話題。電力通信企業生產的主要目的在于如何有效地利用通信為電力企業搭建一個基礎平臺,能夠準確地控制各項生產、營銷、辦公自動化的消息的全面傳送,能夠給電網的安全生產及經營管理提供安全、可靠的通信保障及優質的服務。它不僅具備維護量大、點多面廣線長的特點,而且其技術更新過程很快,需要不斷學習才能夠具備駕馭能力。另外,其安全責任性相對較大,特別是針對電網安全運行,需要更新傳統的通信安全觀念,樹立與電網安全生產要求相適應的安全管理理念。因此,電力通信企業的安全文化管理是一個繁雜的系統性工程,由于其涉及眾多因素,必須長期堅持開展工作,而領導班子齊心協力是建設企業安全文化的重要基礎。
1安全文化建設的內涵及意義
電力通信企業的安全文化指的是在從事電力通信生產的實際過程中,為了能夠保證生產能夠正常進行,保護職工不受到傷害,通過長時間不斷地積淀和總結,并結合當前形式下的市場積極制度所形成的一種思想及理論。其不僅是全體職工對安全工作形成階段的一種共識,而且還是電力通信企業安全工作的基礎與平臺,更是實現電力通信企業安全生產長治久安的堅強后盾。因此,安全文化在電力通信安全管理階段中具備非常重要的意義。
1.1企業安全文化建設的步驟
1.1.1建立機構
企業安全文化組織的保證來源于建立領導機構。委員會負責對領導的組織工作,日常工作開展主要依靠下設辦公室完善,各項二級單位需要成立專門的領導小組。安全文化建設領導機構能夠有效建立及正常運轉都少不了高層領導的高度重視。各級領導需要充分意識到建設企業文化對企業發展的重要性,積極組織好安全文化小組,完成各項任務,要保證其在任務階段能夠獲取有效成績,推進企業安全文化建設步伐,以此帶動企業安全生產管理水平的提升。
1.1.2制訂規劃
在進行電力通信企業安全文化的建設過程中,需要有總體規劃方案,即行動有計劃,并且要定時定期地檢查計劃與規劃的執行狀況。在制定規劃的過程中,需要調查分析安全文化所涉及的內容,并且要根據電力企業安全生產及經營管理對通信專業的基本要求,對企業的安全文化理念做定格的設定。要及時地制定科學的時間表,在實施計劃過程需要講究效率及效果,而且要定期檢查實施情況。值得特別注意的是,企業必須與時俱進,要按照電力企業對通信企業提出的各項要求,進行創新文化的理念革新,及時修訂安全文化的建設規劃,使其能夠適應時展。
1.1.3訓練骨干
在安全文化建設的過程中,只有訓練出一批對安全文化建設有正確認識及深刻體驗的骨干人才,才能夠在一定基礎上有效地帶動群眾隊伍,從而齊心地建設和完善企業安全文化。這一過程的訓練內容基本包括理論分析、實例分析及經驗詳談和單位的實施方法等。企業骨干培訓越多,企業安全文化建設的推動就越有利。所以,對于企業領導、班級領導,首先要讓自己成為企業中的骨干,只有這樣才能起到帶頭作用,才能更好地影響群眾。
1.1.4宣傳教育
安全文化建設的手段主要通過宣傳、激勵、教育、感化的形式進行。通過采取各種文化模式,例如宣傳激勵、科技創新、文學藝術、教育培訓等協助安全文化建設的推進工作。在此有幾方面的內容需要強調,具體如下;
(1)要傳遞上級主管部門在各個環節的重要指示精神,特別是針對通信專業的具體要求,需要領悟其深刻思想,要在一定程度上加強安全生產的責任感。
(2)要積極、有效地運用“安全月”“安全隱患排查”的活動,及時做好安全文化建設的宣傳工作,營造文化氣氛。
(3)要抓住重大事故的案例進行對比,按照四不放過的原則進行嚴格管控,通過舉一反三的形式對員工進行安全意識培養。
1.1.5努力實踐
在建設企業安全文化的階段中,不僅需要做到雷厲風行,而且還要完善實際效果。安全建設文化實踐的要點主要包括以下方面:
(1)高層領導需要起到表率的作用,要不斷深入群眾體系,聆聽大眾建議。
(2)管理人員在管理過程必須有創新精神,而且這個階段需要培養新的工作作風。
(3)需要建立完善的機制,需要表彰獎勵先進,對正確的行為方式給予鼓勵。
2企業安全文化建設的內容及方法
當前,在電網的安全管理及經營管理都依賴于通信的形勢下,電力通信安全生產的重要性,在很大程度上決定了企業安全文化建設的必然性。其中,通信企業安全文化建設的內容主要包括以下方面:
(1)有效地完善安全機制,提升安全意識。
(2)通過對事故心理的研究,塑造優良的心理狀態。
(3)加大教育力度,增強教育效果。
(4)不斷完善安全立法,規范行為作業。
3電力企業安全文化建設的途徑
只有將“以人為本”的概念放在文化建設的首位,才能夠有效地將企業文化塑造成具有可操作性的企業安全文化,并且以此為基礎,形成相對的安全意識及安全價值觀。當前,在電力體系不斷改革的基礎下,電力企業安全文化建設也在不斷向人性化、統一化轉變,由面向設備慢慢向面向人轉變,由面向技術逐漸轉變為面向規范化。
3.1科學地樹立安全價值觀
在安全生產的實際階段中,電力企業需要根據自身特點,培訓員工普遍認同的科學的安全價值觀及安全生產理念,運用簡練的語言進行表述,以此激發員工的積極性以及提高員工的工作熱情,從而提升安全生產責任感。采用正確的價值觀去面對事故發生的瞬間,積極地調整和約束自己的行為,做出保護生命財產及減少損失的正確選擇。以上這些行為措施,都對提高全體員工的安全素質有一定的意義,對其實現安全生產目標有推動性作用。
3.2建立以人為本的文化概念
國外杜邦公司經過研究認為,96%的安全因素來源于人體行為。幾年來,通過多起事故的實際調查分析,也充分證明了這一點。所以要想做好安全生產就需要對“人”進行有效管控,要從“人”這個管理要素入手,培養適合本企業的安全生產文化,并且這個階段如何被廣大職工接受,讓其在內心深處留下積極印象,從而在安全生產中發揮重要作用,這應該是當前電力通信企業安全文化建設的首要任務。
3.3建立分成負責的安全管理網絡
在這一過程中需要建立一個以行政領導為中心、面向管理部門與基層部門班組輻射的安全管理網絡。各層需要有專人負責,各層都需要做到人員、制度、措施的3個落實制度,每層都需要重視安全文明建設,各個層面都需要能夠運行系統管理的原理方法及分析評價系統的安全狀態,要及時發現通報系統中存在的危險信號,通過采取綜合措施,讓系統中發生的事故率有所降低,使其安全狀態保持穩定。
3.4建立統一的職業規范
根據電力系統的各項系統特征,需要制定一個有效的職業規范。安全生產技術的培訓,在一定階段中促成了職業規范的形成。嚴格的培訓能夠在一定基礎上員工的行為形成一種準則及思維方式,能夠讓員工各就其位,各負其責,能夠提高其工作效率及安全監管水平。企業需要定時對員工進行組織培訓,培訓內容應該以國家方針、政策、法律及企業安全生產技術為基礎,特別要針對剛上崗的新員工進行嚴格的崗位培訓。
4結語
總而言之,電力通信企業文化建設的主要目的在于能夠進一步提升人們的安全意識,更新人們的安全觀念,在電力通信企業的安全文化建設階段中,要對普及性及實際操作性認真探究,做到不求高深理論,只求科學合理使用。另外,要以提高員工素質為第一保障,將滿足客戶需求作為第一要求,將保護員工生命財產作為第一管理目標,要檢查以人文本的基本理念,要將企業立足于規范化及完整性和適用性逐步形成企業特有的安全文化特色。
[參考文獻]
[1]任濤,王保義.電力市場運營系統數據通信安全研究[J].電力系統通信,2008(8):48-51.
1企業信息化建設集成的重要性
首先,在企業管理上具有重要現實意義。在企業的經營和發展過程中經營的業務越來越多,區域越來越廣泛,導致企業管理任務越來越復雜和多樣,企業內部的組織結構和流程控制體系越來越完善,這都是因為信息化建設集成發揮了重要作用,其還促進管理服務和觀念朝著信息化的方向發展。其次,企業信息化建設符合時展的潮流。如果想讓集成化效率達到最高水平,就需要對傳統的管理模式進行創新和發展,避免在集成化效率提高的同時帶來一些嚴重的問題和風險,例如:現場安全管理和對管理人員的裁減等,企業必須在網絡信息技術和計算機技術發展飛速的今天,對內部管理體系進行創新和改革,挖掘各組織和員工內在潛能和上升空間,在激烈的市場競爭中提升企業自身的活力與優勢,從而將企業的經濟收益上升到最高峰。第三,信息化建設集成具有自身獨特的優勢。大型公司集團會運用最新的互聯網數據和先進的計算機技術創建一個管理信息平臺,通過這個平臺將在生產和管理方面的數據信息進行共享和聯動,利用相關軟件和系統將公司管理朝著集成化、信息化方向發展,有效地為公司的管理層提供決策理論支持,避免公司集團內部組織結構和人員冗雜,有效提高運營各環節的工作效率,以提供高質量、高效的服務。
2企業信息化建設集成中存在的網絡安全問題
在利用現代網絡信息平臺對企業相關數據進行優化整合時,網絡安全方面還存在一定的問題,企業相關信息和資料很容易受到網絡攻擊,系統很容易被黑客入侵,導致數據和信息被竊取或者丟失,這些問題都不利于企業的現代信息化建設集成和正常的運營發展。從外部環境來看,日益競爭的市場環境是造成網絡安全管理的大環境因素,隨著時代快速的發展和科學技術的進步,一些不法分子會利用黑客技術和網絡病毒竊取企業內部的數據資料,并通過出售來牟取巨額利潤,這種情況若得不到有效控制和整改,會導致企業網絡安全環境日益惡化。其次,從企業的內部因素出發,企業信息化建設集成出現網絡安全問題是因為企業自身沒具備成熟的網絡信息安全理念,沒有采取相關的措施保證自身的網絡信息安全,所以企業相關意識的缺乏使黑客有機可乘,他們簡單操作就能獲得企業內部的數據信息。總之,缺乏一定的網絡信息防護手段和對員工的網絡信息安全培訓,會導致企業在信息化建設集成中受到更大的網絡信息安全威脅。
3保障企業信息化建設集成中網絡安全的措施
3.1創建企業信息安全標準
針對企業信息化建設集成中可能會出現的病毒入侵、非法訪問和信息竊取等問題,筆者提出了一些加強網絡安全的措施。首先,要建設一個信息化安全相關標準。當企業應用現代計算機網絡技術,尤其是計算機集成制造系統時,要創建一個高效、高質量的企業信息化機制和信息安全標準,保證所有信息工作都具備標準流程,例如:我國現已存在的信息安全管理度量機制和測量措施,能夠促使企業在運用網絡信息平臺時,提高自身的信息管理水平,從而保證企業在日常運用中能夠順利、安全地開展相關信息交流和信息傳遞工作。
3.2運用先進的網絡安全技術
要引入現代網絡安全技術,包括防火墻技術、入侵檢測技術信息加密技術、訪問控制技術等。防火墻技術是指將計算機與外部建立一道隔墻,防火墻技術包括網絡級防火墻與應用級防火墻兩種,網絡級能夠有效防止網絡中的非法入侵,應用級防火墻技術是全方位地防護相關應用程序,使用起來比較簡單還能夠有效防止病毒入侵和非法訪問。兩者的防護能力與防護范圍不同,因此在使用過程中需要將兩者融合發揮作用,在動態防護、屏蔽路由和包過濾的基礎上,更好地發揮防火墻防護技術。入侵檢測技術是一種辨別網絡系統的使用是否是惡意行為的技術,其在動態中對網絡進行相關檢測,及時發現非法訪問行為和未授權的活動并反映給計算機用戶,將軟件與硬件融合起來共同對數據進行分析和作用,在瑣碎和繁雜的數據處理方面不再需要人工操作,減少人力和資源的浪費和管理成本。但從整體來看,效果不如防火墻技術,也不能夠完全代替防火墻技術。信息加密技術包括對稱加密與非對成加密兩種,且隨著時代的發展不斷優化升級。該技術主要是為了避免數據被非法竊取,對相關重要的信息資料進行加密處理,降低數據資料丟失和泄露的概率,從而在數據傳遞和資料存儲中保證數據資料的完整性和安全性。訪問控制技術是指通過檢測訪問者的信息在網絡中保證網絡資源的安全,包括高層和底層訪問控制兩種訪問模式,前者是檢測資源種類、用戶權限和用戶口令,后者是指通過通信協議中的信息判斷訪問者是否合法,并作出相關反應。
3.3提高企業網絡安全管理水平
現代化企業集團在發展信息化建設集成過程中還存在很多網絡安全隱患,但是傳統管理模式已經明顯不適用于目前的發展情況,網絡安全受到了更大的威脅,造成的經濟損失也較多,所以必須提高企業的網絡安全管理水平。首先,要提高企業網絡信息化系統管理水平和管理效率,要讓企業內部包括員工和管理層都建立起網絡安全管理的觀念,創建一個成熟、完善的網絡安全管理平臺,樹立現代化的網絡安全管理意識,從而能夠及時解決企業運營和發展過程中存在的問題,將企業發展中重要的資料信息利用網絡技術實行集中性存儲。另外,要對所有員工進行網絡安全培訓和再教育,提高員工的綜合素質水平,以規范員工對信息化系統的具體操作,將企業重要數據信息進行加密處理和備份處理,企業要營造一個安全、穩定的網絡安全環境,防止網絡病毒和黑客的入侵。其次,企業要使用有效、實用的安全防護軟件,例如,目前市場上的金山毒霸、360殺毒軟件都得到了廣泛運用,企業要根據自身具體情況選擇一個有效的防護軟件抵制外部非法入侵,設置好相關的安全管理權限,創建一個完善、嚴密、分層的安全管理權限體系,在用戶登錄和用戶訪問環節都要設置權限和密碼,從而保證企業的信息安全。最后,要對企業信息化建設集成中的防火墻系統和訪問控制模式進行完善的配置,安排一個較為專業的訪問控制模式,避免網絡環境中出現各種意外或者病毒入侵的情況,保證企業內部局域網絡信息的安全,選擇信息隱藏模式提高網絡信息安全性。這種信息隱藏模式一般是運用高效的編碼將數據修改方法嵌入,包括擴頻嵌入和矩陣編碼,將編碼過程變得更加專業和復雜,網絡黑客一般破譯不了,有利于企業抵御網絡黑客入侵和系統漏洞,保證企業信息化建設集成的健康發展,提高企業的經濟收益。
4運用虛擬化的云計算平臺創建相關安全機制
在運用虛擬化的云計算平臺時,要具備更加安全和穩定的機制和系統,如行為約束機制、CHAOS系統和Shepherd系統,及時監控計算機中的相關進程、避免用戶錯誤操作,防止非法進程對云計算平臺的破壞,將異常進程進行數據安全隔離,從而保證企業信息化建設集成中的網絡安全。
主要參考文獻
前言
當前,信息化建設已經成為了各類企業建設和發展的重點內容,企業通過信息化建設的方式,讓自身生產與流通工作可以更順利地進行,并利用互聯網,創造出現代企業新型發展模式。但是,就實際情況而言,企業的信息化建設并不是一直處于一個平穩的發展狀態,在其發展的過程中也會受到諸多內部或外部因素的影響和束縛,在信息的安全方面也存在許多的問題,如黑客入侵或是病毒入侵。如果企業信息存在的安全問題比較嚴重,不僅會給企業信息化建設造成不利影響,還有可能會影響到企業的正常運營和發展。
一、造成企業信息化建設中的信息安全問題的原因
1.1內部原因
①企業內部的信息安全意識缺乏,目前,雖然很多的企業都提倡建設企業內部信息化,但是大部分企業過于注重信息化建設過程中得到的利益和優勢,卻忽略了信息化建設中信息的安全問題。
②軟件安裝的技術比較落后,黑客與病毒的發展速度比軟件技術更新速度快。
③管理操作不得當,在對信息系統進行管理與操作的過程中過于粗心大意,給黑客與不法分子和黑客制造了入侵的機會,對企業的信息安全造成威脅。
④專業的管理人才缺乏,沒有對企業的信息安全系統定制出合理的安全管理策略,且沒有讓專業的操作人員對統系統進行維護和升級,致使企業信息系存在信息安全隱患[1]。
1.2外部原因
對于大多數企業而言,信息系統中存在的安全威脅大部分來自于外部因素,隨著社會的不斷發展,信息建設在各類企業市場競爭中的地位和作用日益提高,許多的不法分子想盡辦法對各類企業的信息進行竊取和破壞,以此來獲得自身的利益。還有一部分企業為了得到競爭對手企業的各類商業信息,采用不正當的手段破壞或是入侵對手企業的信息系統,竊取對方企業的商業機密,以此來打倒對方。
二、企業信息化建設中存在的信息安全問題
2.1企業不夠重視信息系統的安全問題
就目前而言,國內的大部分企業都沒有給予信息系統安全問題足夠的重視,沒有意識到信息系統安全的重要性。近年來,雖然國內信息化建設得到了快速的發展,國內企業的信息安全程度也有所提高,但是大部分的企業還是沒有意識到信息安全問題對企業的重要性,只看到了信息化建設給企業創造的短暫利益,而忽視了信息化建設信息安全的長遠發展,未針對信息安全問題采取適當的防范措施,致使企業信息化的發展存在較多的安全隱患。
2.2企業信息化操作管理不到位
在企業進行信息化建設的過程中,大多數的企業沒有認識到對企業信息進行科學管理和操作的重要性。相關的操作和管理人員在信息化建設的管理和操作中缺少合理性,導致黑客與入侵者有機可乘,造成企業信息外泄。企業的信息化建設是一個全新的的概念,其中的信息系統管理,信息安全系統的維護與升級都必須由專業的操作人員進行操作和管理,因此,專業技術人員專業技能的缺乏和個人的素質對企業的信息安全有著直接的影響。
2.3可用于信息化建設的軟件較少
近年來,市場上各種類型的系統軟件越來越多,但是能夠真正用到企業信息化建設的系統軟件卻比較缺乏,特別是相較于國際市場,國內的軟件無論是在適用范圍,還是技術水平方面都比較落后,這也是給企業數據安全帶來隱患的一大重要原因。
企業信息化建設使用的軟件安全性能較低,很容易被病毒或是黑客入侵,從而對企業的信息安全造成威脅,雖然大部分的企業在商業機密信息方面設置了一定的操作權限,但是在企業的實際管理中,比較容易出現員工操作權限重復的情況,操作人員的責任不夠明確,從而導致企業信息外泄或是數據丟失[2]。
三、企業提高信息化建設中的信息安全性的對策
3.1企業需樹立正確安全意識
在企業信息化的發展進程中,企業應該充分了解企業信息安全問題和企業發展之間的關系。意識到一旦企業的重要機密發生外泄或者是被竊取,將會給企業造成不可估量的損失,并給競爭對手提供有利的機會。
因此,企業應該采取適當有效的措施,防止信息安全問題的產生,樹立正確的信息安全意識,以便為企業未來的信息化發展打下更好的基礎。
3.2加強企業內部信息系統管理
①正常來說,企業信息的系統使用任何的安全軟件都有可能被攻擊或被破解。在信息的安全防御過程中,最重要的并不只是信息技術,管理對于企業的信息安全系統來說也非常重要,只有對企業的信息進行合理、規范的管理,才能更有效提升企業信息系統的安全性。因此,合理的對信息安全管理體系進行規范化建設,對于企業的信息安全管理至關重要。
②完善企業安全的風險評估機制。企業信息系統的建設,并非是利用一種技術在短時間內能夠完成,在平常的操作與管理中,所有的系統都有自己的優勢與缺點,因此,企業應該針對本身信息系統的優勢和缺點建立相關的安全風險評估機制,找到對信息系統安全造成影響的漏洞和原因,并及時地進行處理,以有效降低企業信息系統被攻擊的可能性。
3.3運用安全性較高的防護軟件
盡管所有的防護軟件都有辦法破解,但是安全性越高的防護軟件,破解的難度就越大,企業信息被竊取或是泄露的可能性也就越低。因此,企業在對安全防護軟件進行選擇時,不應該為了節省企業的成本,而在信息系統中使用一些安全性較低的防護軟件,應該選技安全系數較高的防護軟件,防止信息系統出現安全問題,給企業帶來更大的經濟損失。
3.4加強企業的網絡管理
大多數的不法分子都是通過網絡對各個企業的信息進行竊取和破壞,因此,企業需要加強企業的網絡管理,以確保企業信息系統的運行可以在安全的狀態下進行。企業應該依據信息安全的等級、種類制定出相關的防護措施和方案,并提前制定好信息安全事故發生之后,企業應該采取的解決措施[3]。在企業的信息安全受到威脅時,企業應該及時成立起危機處理小組,讓該小組依據信息安全危機處理的步驟與預案,進行危機處理,防止危機處理不當而出現更加嚴重的連鎖危機。此外,企業應該對內部的員工進行信息安全培訓與教育,提升員工信息安全管理意識和安全危機事件的處理能力,從而有效防止企業自身失誤而造成的信息安全問題。
四、結束語
總之,在這個信息化的時代,企業進行信息化建設是其發展和生存的重要途徑。但就目前而言,我國大部分的企業都只看到了信息化建設的優勢,沒有意識到信息系統安全問題的重要性,信息系統還處在一個長期不設防的狀態當中,這一情況直接影響了企業信息系統的安全性。因此,為了提高現代企業信息系統的安全性,企業就應該重視信息系統的安全問題,樹立正確的信息安全意識,采取有效的防范措施、不斷完善企業的信息管理體系,在企業信息化建設過程中,對可能會影響信息系統安全的因素進行全面考慮,以確保企業信息系統建設的安全性。
參 考 文 獻
中圖分類號:TP393
1 項目來源
重鋼集團公司按照國家“管住增量、調整存量、上大壓小、扶優汰劣”的原則,將重慶市淘汰落后產能、節能減排與重鋼環保搬遷改造工程結合起來。隨著重慶市經濟和城市化快速發展,重慶鋼鐵(集團)有限責任公司擬退出主城區,進行環保搬遷。重鋼環保搬遷新廠區位于長壽區江南鎮,主要生產設施包括碼頭、原料場、焦化、燒結、高爐、煉鋼、連鑄、寬厚板軋機、熱連軋機和各工藝配套設施以及全廠的公輔設施等,生產規模為630萬噸。
2 系統目標
重鋼股份公司在搬遷的長壽區建立了全新的信息化機房,結合自身實際,決定部署一套符合自身需要的信息化平臺。整個平臺包含:財務系統、人力資源管理系統、門戶.OA系統、各產線的MES系統、以及企業的原料,物流系統等。
3 系統實現
重鋼信息系統全由公司自主研發,服務器端采用:中間服務器操作系統win2003server+Oracle Developer6i Runtimes,數據庫服務器:Unix Ware+ORACLE 10g。開發端:Windows 9x/2000/XP+ Oracle Developer 2000 Release。根據業務需求,公司統一按國家標準部署了裝修一個中心機房,選擇了核心數據庫服務器小型機、其他小型機服務器、FC-SAN存儲柜、SAN交換機,磁帶庫、PC服務器、網絡安全管理設備,機柜、應用服務器軟件、數據備份管理軟件、UPS電源。等硬件基礎設施對此系統項目進行集成。在信息化建設實施過程中,本人主要參與了整個系統項目集成方案設計和實施。
4 項目特點
4.1 網絡設計
中心機房通過防火墻等網絡設備提供網絡互聯、網絡監測、流量控制、帶寬保證、防入侵檢測等技術,抗擊各種非法攻擊和干擾,保證網絡安全可靠。同時網絡建設選擇了骨干線路采用16芯單模光纖,接入層線路采用8芯單模光纖,桌面線路采用六類非屏蔽網絡線;光纖骨干線部分采用萬兆+千兆光纖雙鏈路連接,接入層光纖采用千兆鏈路接口至桌面。整個網絡體系滿足千兆以上數據傳輸及交換要求。
4.2 系統設計
本系統采用業界流行的三層架構,客戶端,應用服務器層,后臺數據庫層。
4.2.1 應用層設計特點
在應用層選擇上,重鋼選擇了citrix軟件來實現企業的虛擬化云平臺,原先安裝在客戶端的應用程序客戶端程序安裝在Citrix服務器上,客戶端不再需要安裝原有的Client端軟件,Client端設備只需通過IE就可以進行訪問。這樣就把原先的C/S的應用立刻轉化為B/S的訪問形式,而且無需進行任何的開發和修改源代碼的工作。同時使用Citrix的“Data Collector”負載均衡調度服務器負責收集每一臺服務器里面的一些動態信息,并與之進行交流;當有應用請求時,自動將請求轉到負載最輕的服務器上運行。Citrix是通過自己的專利技術,把軟件的計算邏輯和顯示邏輯分開,這樣客戶端只需上傳一些鼠標、鍵盤的命令,服務器接到命令之后進行計算,將計算完的結果傳送給客戶端,注意:Citrix所傳送的不是數據流,而是將圖像的變化部分經過壓縮傳給客戶端,只有在客戶端和服務器端才可以看到真實的數據,而中間層傳輸的只是代碼,并且Citrix還對這些代碼進行了加密。對于網絡的需求,只需要10K~20K的帶寬就可以滿足需要,尤其是在ERP中收發郵件,經常遇到較大郵件,通常在窄帶、無線網絡條件下基本無法訪問,但通過Citrix就可以很快打開郵件,進行文件的及時處理。
4.2.2 數據庫層技術特點
在數據庫層的選擇上,重鋼選擇了oracle軟件。利用oracle軟件本身的技術特點,我們設計系統采用ORACLE RAC+DATAGUARD的部署方式。RAC技術是通過CPU共享和存儲設備共享來實現多節點之間的無縫集群,用戶提交的每一項任務被自動分配給集群中的多臺機器執行,用戶不必通過冗余的硬件來滿足高可靠性要求。
RAC的優勢在于:在Cluster、MPP體系結構中,實現一個共享數據庫,支持并行處理,均分負載,保證故障時數據庫的不間斷運行;支持Shared Disk和Shared Nothing類型的體系結構;多個節點同時工作;節點均分負載。當RAC群組的一個A節點失效時,所有的用戶會被重新鏈接到B節點,這一切對來說用戶是完全透明的,從而實現數據庫的高可用性。
Data Guard是Oracle公司提出的數據庫容災技術,它提供了一種管理、監測和自動運行的體系結構,用于創建和維護一個或多個備份數據庫。與遠程磁盤鏡像技術的根本區別在于,Data Guard是在邏輯級,通過傳輸和運行數據庫日志文件,來保持生產和備份數據庫的數據一致性。一旦數據庫因某種情況而不可用時,備份數據庫將正常切換或故障切換為新的生產數據庫,以達到無數據損失或最小化數據損失的目的,為業務系統提供持續的數據服務能力。
4.2.3 數據備份保護特點
備份軟件采用HP Data Protector軟件。HP Data Protector軟件能夠實現自動化的高性能備份與恢復,支持通過磁盤和磁帶進行備份和恢復,并且沒有距離限制,從而可實現24x7全天候業務連續性,并提高IT資源利用率。Data Protector軟件的采購和部署成本比競爭對手低30-70%,能夠幫助客戶降低IT成本,提升運營效率。許可模式簡單易懂,有助于降低復雜性。廣泛的可擴展性和各種特性可以實現連續的備份和恢復,使您憑借一款產品即可支持業務增長。此外,該軟件還能夠與領先的HP StorageWorks磁盤和磁帶產品系列以及其它異構存儲基礎設施完美集成。作為增長迅猛的惠普軟件產品組合(包括存儲資源管理、歸檔、復制和設備管理軟件)的重要組成部分,Data Protector軟件還能與HP BTO管理解決方案全面集成,使客戶能夠將數據保護作為整個IT服務的重要環節進行管理。該解決方案將軟硬件和屢獲殊榮的支持服務集于一身,借助快速安裝、日常任務自動化以及易于使用等特性,Data Protector軟件能夠大大簡化復雜的備份和恢復流程。借助集中的多站點管理,可以輕松實施多站點變更,實時適應不斷變化的業務需求。
5 結束語
企業信息化平臺系統集成不是簡單的機器設備堆疊,需要根據企業自身使用軟件特點,企業使用方式,選擇合適的操作系統,應用軟件作為企業生產軟件部署的基礎,另外要合理利用各軟件提供的技術方式,對系統的穩定性,安全性,冗余性進行部署,從而達到高可用和可擴展的整體系統平臺。
參考文獻:
[1]肖建國.《信息化規劃方法論》.
[2]雷萬云.信息化與信息管理實踐之道[M].北京:清華大學出版社,2012(04).
[3]《Pattern of Enterprise Application Architecture》.Martin Foeler
中圖分類號:TP393.18 文獻標識碼:A 文章編號:1007-9416(2017)01-0209-02
企業信息化任務的建設與集成,其首要任務為網絡構架與網絡安全設計。建立一套安全的網絡系統,不僅可以為企業的信息交流、信息與信息傳輸創造一個安全平臺,確保企業的安全生產,還可優化調度管理,為企業決策提供參考數據,避免惡意篡改與非法盜取現象的發生。因此,加強企業信息化建設集成與網絡安全的研究,確保企業生產環境安全可靠,已逐漸成為現代化企業發面所面臨的重點研究課題。
1 企業實現信息化建設集成的意義
1.1 強化企業管理
隨著企業管理模式的發展,企業業務經營逐漸多元化和區域不集中化,從而造成了管理任務的復雜與多變化。實行信息化集成管理的核心就是在企業內部,以業務整合、流程與資源配置優化的方式,建立起信息化的組織架構、管理服務和流程控制體系,而這一目標的實現則需通過信息集成化處理的手段,并將企業先進的管理理念與技術搭建在所構平臺上,以此進行運行。
1.2 時展的必然性
實踐證明,傳統的管理模式還不足以使集成化效率最大化,甚至有時候會帶來更加嚴重的風險和漏洞,如管理人員的壓縮,引發的現場安全管理、資金管理和用工管理等風險,信息技術快速發展的當下,企業只有對管理系統進行重新綜合集成,充分挖掘各方面潛能和整體效力,方可在集成化管理和市場競爭中把握先機,從而實現企業效益的最大化。
1.3 自身優勢的使然
目前,大型企業集團均通過對在生產和管理方面的信息化建設,利用互聯網技術把企業信息集成起來組成一個管理信息平臺,達到數據共享,并借助專用軟件,將企業管理向集成化、網絡化改造,既能為企業的高層決策者提供決策支持,又能減少結構冗員,提高運營效率和服務質量。
2 加強企業信息化集成網絡安全的措施
基于非法入侵、病毒傳播與數據丟失等網絡安全問題,本文針對性的從以下兩點進行防護措施的論述。
2.1 加快信息化安全標準建設
在信息化方面,目前,無論是處于單項技術、單機、單線的應用狀態,還是型號工程實現了CIMS(計算機集成制造系統)的企業,要實現數字化,構建高水平、高安全的企業信息化體系,信息安全標準及其標準化工作都是非常重要的。例如IS0/IEC JTC1/SC27正在制定的有關信息安全管理體系方面的標準:
?ISO/IEC 27001 信息安全管理體系要求(現在的標準 IS0/IEC FCD 24743)。
?ISO/IEC 27002 保留現在的標準ISO/IEC 17799 信息安全管理實用規則。
?ISO/IEC 27003 保留編號。
?ISO/IEC 27004 信息安全管理度量機制和測量措施(現在的標準IS0/IEC 24742)。
?ISO/IEC JTC1/SC27 NP 信息安全管理體系實施指南。
此類標準實施的目的在于幫助企業建立與健全信息安全管理體系,促使其管理水平與保證能力得到提高,做到日常生產安全順利運行。因此,企業要想構建高水平、高質量的信息化安保體系,必須要加強信息化集成任務的標準化實施。
2.2 利用先進的網絡安全技術
2.2.1 防火墻技術
以防護范圍與防護能力劃分,可將防火墻技術分為網絡級與應用級兩大類,其中,網絡級防火墻是以整體網絡的非法入侵為防護對象,實施全方位保護,而應用級防火墻是以具體的應用程序為防護對象,只是在程序接入時進行防護控制,功能比較單一但針對性強,因此,一套完整的防火墻技術,應是以網絡級和應用級的共同結合使用。日常生活中,我們一般所用防火墻大多擁有基于、動態防護、包過濾和屏蔽路由等技術。
2.2.2 入侵檢測技術
作為一種動態網絡檢測技術,入侵檢測技術的實施可有效識別惡意使用網絡系統,通過分析與辨別,將非法入侵行為及時發現,其檢測范圍包括內部未經授權的活動和外部用戶的非法入侵,并能夠對入侵行為作出相應的反映,該系統的組成由相應的軟件與硬件共同完成,運行后能夠做到數據分析并得到結果,大大降低了管理人員的工作量。除此之外,入侵檢測技術對于網絡攻擊也有一定的反防護能力,但效果不及防火墻技術,因此不能做到代替。
2.2.3 信息加密技術
對稱加密與非對稱加密作為信息加密技術的兩種表現形式,隨著網絡技術的快速發展,使其得到了不斷優化與發展。該技術的應用是以防止數據受到非法盜取為目的,通過數據加密技術對某些重要數據與信息采取保密處理后,以此達到確保信息安全的效果,其主要包括數據傳輸、數據存儲、數據完整性鑒別和密匙管理四種方式。
2.2.4 訪問控制技術
訪問控制技術簡稱AC,它的作用是能夠確保網絡資源不會被非法訪問和非法使用,能夠起到網絡安全防范和保護的作用。訪問控制是檢測訪問者的相關信息,限制或者禁止訪問者使用資源的控制技術。訪問控制技術能維護網絡系統安全和保護網絡資源,是確保網絡安全的主要措施。訪問控制分為高層訪問控制和低層訪問控制兩種,高層訪問控制檢測對象是用戶口令、用戶權限、資源屬性;低層訪問控制對象是通信協議中的特征信息通過分析然后做出判斷控制訪問者能否訪問信息。
3 結語
綜上所述,作為現代企業的發展方向,信息化的建設與集成在給人們帶來便利的同時又隱藏著許多網絡安全隱患,相比于傳統管理模式上的失誤,這種安全隱患具有威脅更大,速度更快等特點,動輒就是成千萬的經濟損失。因此,作為現代企業的管理者,我們只有不斷研究,不斷實踐,立足于企業信息化建設與集成任務的標準化與多元化發展方向,做到不斷的自我完善與自我修正,方能促進現代企業的健康發展。
