时间:2023-09-18 17:33:17
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇企业网络安全建设实践,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
关键词:网络安全技术 企业网络 解决方案
中图分类号:TN711文献标识码: A 文章编号:
随着计算机网络技术的飞速发展,自由的、开放的、国际化的Internet给政府机构、企事业单位带来了前所未有的变革,使得企事业单位能够利用Internet提高办事效率和市场反应能力,进而提高竞争力。另外,网络安全问题也随着网络技术的发展而真多,凡是有网络的地方就存在着安全隐患。在2007年1月举行的达沃斯世界经济论坛上,与会者首次触及了互联网安全问题,表明网络安全已经成为影响互联网发展的重要问题。由于因特网所具有的开放性、国际性和自由性在增加应用自由度的同时,网络安全隐患也越来越大,如何针对企业的具体网络结构设计出先进的安全方案并选配合理的网络安全产品,以及搭建有效的企业网络安全防护体系是摆在计算机工作者面前的巨大课题。
一、企业网络安全隐患分析 企事业单位可以通过Internet获取重要数据,同时又要面对Internet开放性带来的数据安全问题。公安部网络安全状况调查结果显示:2009年,被调查的企业有49%发生过网络信息安全事件。在发生过安全事件的企业中,83%的企业感染了计算机病毒、蠕虫和木马程序,36%的企业受到垃圾电子邮件干扰和影响。59%的企业发生网络端口扫描,拒绝服务攻击和网页篡改等安全危机。如何保护企业的机密信息不受黑客和工业间谍的攻击,已成为政府机构、企事业单位信息化健康发展所要解决的一项重要工作。随着信息技术的发展,网络病毒和黑客工具软件具有技术先进、隐蔽性强、传播速度快、破坏力强等特点。这主要表现在: 1.网络安全所面临的是一个国际化的挑战,网络的攻击不仅仅来自本地网络的用户,而是可以来自Internet上的任何一个终端机器。2.由于网络技术是全开放的,任何一个团体组织或者个人都可能获得,开放性的网络导致网络所面临的破坏和攻击往往是多方面的,例如:对网络通信协议的攻击,对物理传输线路的攻击,对硬件的攻击,也可以是对软件的攻击等等。3.用户可以自由地使用和各种类型的信息,自由地访问网络服务器,因为网络最初对用户的使用并没有提供任何的技术约束。
二、企业网络安全解决方案
(一)物理隔离方案。其基本原理为:从物理上来隔离阻断网络上潜在的攻击连接。其中包括一系列阻断的特征,如:没有连接、没有命令、没有协议、没有TCP/IP连接,没有应用连接、没有包转发,只有文件“摆渡”,对固态介质只有读和写两个命令。其结果是无法攻击、无法入侵、无法破坏。比如可以采用DShield/宇宙盾通用双向网络信息安全隔离网闸。
(二)网络系统安全解决方案。网络应用服务器的操作系统选择是一个很重要的部分,网络操作系统的稳定性和安全性能决定了服务器的性能。网络操作系统的系统软件,管理并控制着计算机软硬件资源,并在用户与计算之间担任着重要的桥梁作用。一般对其采用下列设置保障其基本安全
1.关闭不必要的服务。2.制定严格的账户策略。3.科学的分配用户账户权限。4.科学的安全配置和分析。 (三)入侵检测解决方案。在现有的企业网络安全防护体系中,大部分企业都部署了防火墙对企业进行保护。但是传统防火墙设备有其自身的缺点。如果操作系统由于自身的漏洞也有可能带来较大的安全风险。根据企业网络的实际应用情况,对网络环境安全状况进行详细的分析研究认为,对外提供应用服务的服务器应该受到重点的监控和防护。在这一区域部署入侵检测系统,这样可以充分发挥IDS的优势,形成防火墙后的第二道防线,如果充分利用IDS与防火墙的互动功能优势,则可以大大提升动态防护的效果。
(四)安全管理解决方案。信息系统安全管理机构是负责信息安全日常事务工作的,应按照国家信息系统安全的有关法律、法规、制度、规范建立和健全有关的安全策略和安全目标,结合自身信息系统的安全需求建立安全实施细则,并负责贯彻实施。 单位安全网(即内网)系统安全管理机构主要实现以下职能:
1.建立和健全本系统的系统安全操作规程。
2.确定信息安全各岗位人员的职责和权限,实行相互授权、相互牵连,建立岗位责任制。
3.审议并通过安全规划,年度安全报告,有关安全的宣传、教育、培训计划。
1信息安全总体设计及实践
1.1网络安全要求及问题
1.1.1信息安全的最终实现目标为应对市场竞争,提高企业生产经营效率,满足企业信息化建设的需要,汽车制造业应借鉴国内先进的信息技术和安全管理经验,建立一套企业信息化办公网络,并逐步加强网络传输的安全建设,和网络安全管理手段。以保障企业信息化的稳定运行。2.1.2系统和应用的脆弱性企业信息化办公网络建成后为企业经营和管理带来了极大的便利,生产经营效率明显提高。但同时引发了很多的技术问题:跨省专线费用太高,且链路发生故障之后的报修、排故、恢复程序极其繁杂,严重影响效率;无法满足移动办公的需求,无法满足上下游供应商的使用需求;与互联网连接时常受到攻击导致业务中断;内部人员未经授权许可访问互联网导致病毒攻击内部办公网等等。
1.1.3常见网络风险通过系统的网络安全技术学习,汽车制造业信息化人员应掌握企业网络信息化建设过程中大量常见的网络风险和防范手段:Backdo(各种后门和远程控制软件,例如BO、Netbus等)、BruteFce(各种浏览器相关的弱点,例如自动执行移动代码等)、CGI-BIN(各种CGI-BIN相关的弱点,例如PHF、wwwboard等)、Daemons(服务器中各种监守程序产生弱点,例如amd,nntp等)、DCOM(微软公司DCOM控件产生的相关弱点)、DNS(DNS服务相关弱点,例如BIND8.2远程溢出弱点)、E-mail(各种邮件服务器、客户端相关的安全弱点,例如Qpopper的远程溢出弱点)、Firewalls(各种防火墙及其产生的安全弱点,例如GauntletFirewallCyberPatrol内容检查弱点)、FTP(各种FTP服务器和客户端相关程序或配置弱点,例如WuFTPDsiteexec弱点)、InfmationGathering(各种由于协议或配置不当造成信息泄露弱点,例如finger或rstat的输出)、InstantMessaging(当前各种即时消息传递工具相关弱点,例如OICQ、IRC、Yahoomessager等相关弱点)、LDAP(LDAP服务相关的安全弱点)、Netwk(网络层协议处理不当引发的安全弱点,例如LAND攻击弱点)、NetwkSniffers(各种窃听器相关的安全弱点,例如NetXRay访问控制弱点)、NFS(NFS服务相关的安全弱点,例如NFS信任关系弱点)、NIS(NIS服务相关的安全弱点,例如知道NIS域名后可以猜测口令弱点)、NTRelated(微软公司NT操作系统相关安全弱点)、ProtocolSpoofing(协议中存在的安全弱点,例如TCP序列号猜测弱点)、Router/Switch(各种路由器、交换机等网络设备中存在的安全弱点,例如CiscoIOS10.3存在拒绝服务攻击弱点)、RPC(RPC(SUN公司远程过程调用)服务相关的弱点,例如rpc.ttdbserver远程缓冲区溢出弱点)、Shares(文件共享服务相关的安全弱点,BIOS/Samba等相关弱点,例如Samba缓冲区溢出弱点)、SNMP(SNMP协议相关的安全弱点,例如利用“public”进行SNMP_SET操作)、UDP(UDP协议相关弱点,例如允许端口扫描等)、WebScan(Web服务器相关安全弱点,例如IISASPdot弱点)、XWindows(X服务相关安全弱点)、Management(安全管理类漏洞)等。
1.2网络安全加固及应用拓展改造
针对上述网络风险,汽车制造业应加强自身的网络安全建设,强化网络安全管理。重点进行了四个方面的技术改造:防火墙(VPN)、上网行为管理、入侵防御及桌面管理系统。
1.2.1访问控制——防火墙部署防火墙之后,内部办公网络的IP地址与MAC地址捆绑,授权上网用户实名制管理,根据工作需要申请和审批上网时间和访问权限。内部VLAN划分,把不同部门用VLAN划分为不同的域以区分管理。重要数据库服务器和存储设备与办公网隔离。严格管理和控制内外网对数据库的访问。
1.2.2远程用户加密访问——VPN为保障企业运营效率,根据不同的工作人员分配不同的权限,可以在出差途中或家中处理紧急公务。并细化配置其VPN功能对企业内网的访问权限,可以实现工作需要,保障企业内部流程效率
1.2.3内网用户网络行为监控——上网行为管理系统通过对进程的审计可以了解到当前服务器的运行情况以及客户端的使用情况,对非法的行为可以限制非法进程(包括病毒进程、聊天软件进程等)的运行,非法软件的安全,随意的修改IP地址而导致的IP冲突等;内网用户的网络行为监控,可以极大程度地避免企业内网的安全风险。
1.2.4外网攻击的防护措施——入侵防御与防病毒采用入侵防御系统,具备7层检索比对入侵防御设备需要的高速芯片,同时具备硬件BYPASS功能和自动报警功能,当设备自身出现故障时不能中断网络运行,最大限度地避免单点故障对网络稳定运行的风险。
1.2.5桌面端管理通过桌面端管理套件核心服务器管理全网所有客户端。所有的管理数据统一保存在核心服务器后台的数据库中。通过角色管理可以使用管理套件控制台直接查看AD架构,而无需在管理套件中复制AD角色。同时可以分配管理套件权限给AD组或OU(ganizationunits),在分配权限时支持继承的概念。
2结论
【关键词】信息安全
1、绪论
汽车市场的竞争实质上是现代科技的较量,是技术创新的竞争。因此,信息化水平的提高成为我国汽车企业目前极为迫切的要求,许多企业在这上面不惜投入巨大的财力和人力。对于中国的汽车工业,无论是整车厂还是零配件厂商,跟上国际汽车巨头的信息化步伐,成为参与国际分工乃至进一步自主创新的关键。
昌河汽车自成立以来十分注重新产品的引进与开发。先后开发研制出了微型面包车、多功能车、轿车等系列车型和K系列发动机。公司现主要经营的产品有:微型厢式客车、北斗星系列多功能车、利亚纳轿车以及K14B发动机。昌河汽车在全国建立了较为完善的汽车营销和售后服务网络体系,为用户提供良好的售前、售中和售后服务。
昌河汽车以转换经营机制为突破口,结合铃木公司先进的管理经验,大力推行5S活动和看板管理,加快企业内部信息化建设,形成了具有自身特色的生产、开发、技术、管理、营销模式。多年来,公司始终坚持“站在用户的立场,创造有价值的产品”的质量方针,以一流品质真诚服务用户,奉献社会。
昌河汽车一直重视信息化及信息系统安全方面的建设。信息化建设网络基础:2001年建设公司局域网,网络分布至公司每个部门及库房、生产现场,对外internet采用NAT方式,拥有独立的WEB门户网站和EMAIL邮件系统。硬件环境:现有各类业务服务器共三十余台,台式计算机1500余台,计算机使用普及率高。主要业务管理系统:生产管理信息系统、销售管理信息系统、设备管理信息系统、财务管理系统、企业协同系统等。
2、信息安全总体设计及实践
2.1网络安全要求及问题
2.1.1信息安全的最终实现目标
为应对市场竞争,提高企业生产经营效率,满足企业信息化建设的需要,昌河汽车借鉴国内先进的信息技术和安全管理经验,建成了一套企业信息化办公网络,并逐步加强网络传输的安全建设,和网络安全管理手段。以保障企业信息化的稳定运行。
2.1.2系统和应用的脆弱性
企业信息化办公网络建成后为企业经营和管理带来了极大的便利,生产经营效率明显提高。但同时引发了很多的技术问题:跨省专线费用太高,且链路发生故障之后的报修、排故、恢复程序极其繁杂,严重影响效率;无法满足移动办公的需求,无法满足上下游供应商的使用需求;与因特网连接时常受到攻击导致业务中断;内部人员未经授权许可访问互联网导致病毒攻击内部办公网等等。
2.1.3常见网络风险
通过系统的网络安全技术学习,昌河汽车信息化人员掌握了企业网络信息化建设过程中大量常见的网络风险和防范手段:Backdoor(各种后门和远程控制软件)、Brute Force(各种浏览器相关的弱点)、CGI-BIN(各种CGI-BIN相关的弱点)、Daemons(服务器中各种监守程序产生弱点)、DCOM(微软公司DCOM控件产生的相关弱点)、DNS(DNS服务相关弱点)、E-mail(各种邮件服务器、客户端相关的安全弱点)、Firewalls(各种防火墙及其产生的安全弱点)、FTP(各种FTP服务器和客户端相关程序或配置弱点)、Information Gathering(各种由于协议或配置不当造成信息泄露弱点)、Instant Messaging(当前各种即时消息传递工具相关弱点)、LDAP(LDAP服务相关的安全弱点)、Network(网络层协议处理不当引发的安全弱点)、Network Sniffers(各种窃听器相关的安全弱点)、NFS(NFS服务相关的安全弱点)、NIS(NIS服务相关的安全弱点)、NT Related(微软公司NT操作系统相关安全弱点)、Protocol Spoofing(协议中存在的安全弱点)、Router/Switch(各种路由器、交换机等网络设备中存在的安全弱点)、RPC(RPC(SUN公司远程过程调用)服务相关的弱点)、Shares(文件共享服务相关的安全弱点,i.e. NetBIOS/Samba等相关弱点)、SNMP(SNMP协议相关的安全弱点)、UDP(UDP协议相关弱点)、Web Scan(Web服务器相关安全弱点)、X Windows(X服务相关安全弱点)、Management(安全管理类漏洞)等。
2.2网络安全加固及应用拓展改造
针对上述网络风险,昌河汽车加强自身的网络安全建设,强化网络安全管理。重点进行了四个方面的技术改造:防火墙、上网行为管理、入侵防御及桌面管理系统。
2.2.1访问控制——防火墙
昌河汽车部署防火墙之后,内部办公网络的IP地址与MAC地址捆绑,授权上网用户实名制管理,根据工作需要申请和审批上网时间和访问权限。内部VLAN划分,把不同部门用VLAN划分为不同的域以区分管理。重要数据库服务器和存存储设备与办公网隔离。严格管理和控制内外网对数据库的访问。
2.2.2远程用户加密访问——VPN
昌河汽车生产销售和管理业务涉及两个省三个地市,为保障企业运营效率,根据不同的工作人员分配不同的权限,可以在出差途中或家中处理紧急公务。并细化配置其VPN功能对企业内网的访问权限,可以实现工作需要,保障企业内部流程效率
2.2.3内网用户网络行为监控---上网行为管理系统
昌河汽车通过对进程的审计可以了解到当前服务器的运行情况以及客户端的使用情况,对非法的行为可以限制非法进程的运行,非法软件的安全,随意的修改IP地址而导致的IP冲突等,内网用户的网络行为监控,可以极大程度的避免企业内网的安全风险。
2.2.4外网攻击的防护措施——入侵防御与防病毒
昌河汽车采用的入侵防御系统,具备7层检索比对入侵防御设备需要的高速芯片,同时具备硬件BYPASS功能和自动报警功能,当设备自身出现故障时不能中断网络运行,最大限度的避免单点故障对网络稳定运行的风险
云计算服务模式产生了一些新的安全风险,如:用户失去了对物理资源的直接控制,虚拟化环境下产生了虚拟化安全漏洞,多租户的安全隔离、服务专业化引发的多层转包带来的安全问题等。如何实现云安全,已经成为安全产业面临的巨大挑战。
保卫云的安全,需要基于“云”的手段,这可以从两个维度来理解,一个是用安全手段保护云计算环境,确保云计算下网络设施和信息的安全;另一个是采用云计算的架构模式,构建安全防护设施的云环境,以云的方式为企业提供安全保护。
云安全需要一些新的关键技术来保障,如:虚拟化安全,包括虚拟机安全、虚拟化环境下的通信安全等;数据安全和隐私保护技术,包括密文的检索和处理,满足云环境下的数据隐私、身份隐私和属私的保护等;安全云(安全即服务),包括安全系统的云化、安全系统的资源调度和接口互操作性的标准化;可信云计算。
在一次“云计算”项目调研中,信息安全专家卿斯汉发现,目前,我国的云计算项目对常规安全措施做得比较到位,但仍需加强,除需要无缝集成传统网络安全和系统安全的防护工具外,还需要考虑虚拟机安全、隐私性保护及不间断服务等。云计算的核心是虚拟化,保证虚拟机的安全至关重要。
在云计算时代,数据中心的安全建设可以划分为三个阶段:第一阶段,传统安全产品的虚拟化,即:让传统安全产品“跑”在虚拟化设备上,支持虚拟设备功能;第二阶段,融合到云计算平台的虚拟机安全设备,即:安全设备作为一个安全应用被融合在虚拟化平台上;第三阶段,自主安全可控的云计算平台,即:考虑云计算平台自身的安全性。目前,由于云计算应用本身处于基础阶段,革命性的安全技术也未出现,云安全建设多数仍处在第一阶段。不过,云计算应用已经为传统安全产业带来了新的驱动力,并加速了安全技术的融合,安全企业之间的合作也变得越来越紧密。
在云计算的道路上鲜有独行者,云安全生态链同样需要安全企业共同打造和完善。目前,虚拟化领军企业VMware公司就已经跟许多知名的安全企业开展了深度合作,如:CheckPoint、McAffee、RSA、赛门铁克等,通过对安全企业提供API,开发基于虚拟平台的安全产品,共同构建基于云的安全架构体系。而在国内,也很少有一家安全企业独立地把所有安全技术都做得很精,这样一来,多家公司合作,共同提供云安全所需的各种产品和服务,将成为未来的最佳模式。
作为目前全球市场占有率领先的云端安全防护提供商,趋势科技早在六年前就投入大量资金和人力研究虚拟化及云计算安全解决方案。而作为云安全联盟(CSA)成员单位,绿盟公司正在安全智能领域积极进行着前沿的研究与探索实践,启明星辰公司2010年开始在云计算安全领域展开关键技术的研究,并成功申报承担了电子发展基金“云计算关键支撑软件(平台安全软件)研发与产业化”等一系列国家研究项目。在云计算环境下的身份管理中,众人网络走出了一条新路,其方案在工业和信息化部软件与集成电路促进中心(CSIP)联合企业开展的“基于安全可控软硬件产品云计算解决方案”推介工作中,被推选为示范项目。将内容检测和网络安全技术相结合,提供专为安全服务的安全云,成为被安全企业看好新趋势,这也是一些安全企业新的努力方向,以高性能扫描和深度内容检测技术见长的稳捷网络就是如此。
将设备和资源纳入云身份管理
云计算改变了传统安全产业的服务模式,也给安全产业提出了新的挑战。其中,虚拟化安全、数据安全和隐私保护成为云计算应用安全防护的重点和难点。在云计算环境下,多租户模式让身份管理变得更为重要,也更加复杂。要实现云安全,身份管理是基础,因为当所有资源都虚拟化了,就必须对其进行标识,以便于对虚拟化的资源进行管理,明确这些资源的使用权限。
与传统的身份管理不同,在云计算环境下,身份管理的应用范围进一步扩大。在传统安全环境下,身份管理的应用范围有所局限,如:国内现有的30多家CA目前的服务对象主要集中在税务、工商、电子商务等领域。未来,一旦公有云全面建成,一个庞大的云身份体系将会出现,到那时,身份管理将真正形成一种服务,而非技术本身。现在,说到运营CA,更多是基于PKI体系的,其实身份服务还有另外一些不同的技术,如:动态密码体系、IBE体系。在云中,云身份服务可能基于多种技术体系,为云计算服务平台服务。
另外,传统的身份管理服务,更多的是针对人本身进行。而在云中,身份服务更多是针对人、设备和资源进行。上海众人网络安全技术股份有限任公司执行总裁何长龙认为,在云体系中,身份管理的技术架构也将改变,因为传统身份管理针对的互联网用户是有限的,但在云体系中,身份管理针对的数据量却是无限的。
目前,对于云计算环境下的身份认证服务,多数还是基于传统的方法,是原有产品的直接嫁接,即在进行身份管理之前,对现有资源并没有进行虚拟化,这样做无法对资源进行认证、标识和许可,只限于对人或设备进行认证。
与其他同类企业将原有技术直接嫁接到云端不同,众人网络科技公司已经基于私有云,形成了自己的云身份服务平台。众人网络提供的云身份服务是在用户对资源做了虚拟化的基础上进行。
云架构体系对安全企业的技术能力、服务能力提出了更高要求,对身份架构体系的要求也是如此。只有对资源进行了虚拟化,才能得以对其进行定义,由此将其与云身份进行对接。
目前,众人网络在资源虚拟化基础上进行的身份管理已经有了实际应用的案例。众人网络为一家通信类客户架构了一个总部级的身份服务体系,在该用户将现有的硬件资产和软件资源进行统一虚拟架构后,众人科技对其所有资源进行了标识许可,由此实现了对虚拟化的资源进行认证、许可和分配。
融合检测和网络技术,打造安全云
云计算环境正变得越来越开放,云数据和云应用也越来越多,这给传统的网络安全防护带来新的挑战。以防火墙为主的“看门式”安全管理将难以保证云的安全,云计算安全需要建立一个全新的安全管理模式。
与传统的企业网相比,云中心的网络流量变得极其庞大,如果再将安全防护寄望于传统网关设备将不可想象。目前,在云中心,最常用的措施是采用虚拟防火墙、虚拟杀毒软件或虚拟安全网关,这是对传统安全产品的虚拟化,但并没有对云中心进行虚拟化,只是让安全软件跑在一个一个服务器上,它会消耗大量服务器内存,这依然是基于主机的解决方案。在云中心,往往有成千上万个主机,如果给每个主机都装上杀毒软件,维护成本将会很高。因此,这种云中心防护手段不是十分理想。
另外一种云安全方案中,安全设备并没装在主机上,只是将扫描工作放在云中进行,病毒库也是存放在云中,如:360公司的云安全方案就是这样。这种方案将云计算技术应用于安全,但这种方案保护的是云的使用者,并不保护云中心本身。
有没有一种新的手段,对云中心进行更加有效的保护?一些安全企业正在为此而努力。以高性能扫描和深度内容检测技术见长的稳捷网络公司就在进行相关的尝试。
在传统思维下,网络安全厂商一般只负责网络协议、端口有无入侵等,而不去检测内容;而负责内容的杀毒软件厂商也很少想到去网络上做。稳捷网络从创办之初就定位于做基于网络的深度内容检测,把查杀病毒和网络安全两种技术相结合,在网络端对内容进行清洗检测。
稳捷网络公司中国区总经理彭朝晖向《中国计算机报》记者表示,未来,有一种趋势将被看好,那就是:将内容检测和网络安全技术相结合,提供专为安全服务的安全云。
另外,云安全数据中心凭借庞大的网络服务、实时的数据采集、分析及处理能力得到众多厂商青睐。随着卡巴斯基、瑞星、趋势、金山等一批安全厂商逐渐加快云安全数据中心建设,云安全数据中心已经投入到实际应用中。其中,趋势科技已在全球部署5个云安全数据中心。
图解云安全技术和模式
云安全带来了很多新的技术,也带来很多新的课题,如:风险管理与兼容性问题、身份认证与访问管理问题、服务与终端的完整性问题、虚拟机应用的安全问题、数据保护与隐私保护问题等。围绕这些新课题,传统安全企业及其从业者展开了深入的研究。以下我们选取了部分与云安全相关的关键技术方案和模式图,分别涉及云计算环境下的数据防泄漏方案、虚拟化对于安全功能的拆解、下一代安全的关键能力,这些技术方案或研究成果分别来自RSA公司、启明星辰公司和绿盟公司。这些安全企业所关注的技术焦点也在一定程度上反映了他们在云安全道路上努力的方向。
数据安全是云安全的重中之重。数据防护领域的知名安全企业RSA公司的虚拟化专家Mike Foley认为,在实体环境中,DLP(数据防泄漏)是在操作系统中完成的,一旦操作系统受到威胁,就无法使用DLP的软件和功能。而在虚拟化环境中,相应的数据都储存在虚拟机里,数据防泄漏工作可以通过扫描虚拟机来进行。在这个过程中,需要有一个专门负责安全的虚拟机。
【关键词】计算机 信息化 建设 管理问题 措施
目前,随着信息化技术的飞速发展,极大地改变着企业的生产与管理方式,为了适应这种变革,增强企业的核心竞争力,企业必须加强信息化建设。而所谓的企业信息化指的是企业在生产、流通及服务等各项业务活动中,利用现代化的信息、技术手段,通过网络技术把企业的生产、经营、设计等各个环节,进行整合,从而实现生产自动化、管理网络化、信息化、智能化的过程。我国的企业信息化建设经过一段时间的发展,取得了很大的发展,但是由于管理制度与管理方法上面的一些缺陷,使得信息化建设还存在一些问题和不足,因此如何加强计算机信息化建设与管理的措施具有重要的研究意义。
一、实施计算机信息化建设的必要性
(一)加强计算机信息化建设可以有效促进我国经济增长。计算机信息化建设在很大程度上改变了企业的传统生产管理模式,通过信息技术与产业相结合,把信息化技术应用到企业管理、生产、流通的各个环节,即可实现节能降耗的目的,又可提高产品质量,在提高企业经济效益的同时,也极大地促进了我国国民经济的增长。比如,企业内部沿用马钢两企业办公自动化管理软件( Lotus)进行公文的办理工作,从文件登记审批传阅查询到归档,全过程规范统一,有效缩短了文件的办理和查阅时间,提高了办公效率。又如在建筑工程规划与设计方面,采用计算机工程辅助绘图软件绘图,通过工程量清单计价软件进行招投标文件编制和工程预算审核等,节约了成本开支,克服了传统的计算审核所带来的困难,保障了工程管理的顺利实施。
(二)计算机信息化建设是企业提高核心竞争力的基础。在当前全球经济一体化的大环境中,计算机信息化建设是企业提高核心竞争力的基础。所以,加强计算机信息化建设在改善企业内部管理,优化产业结构,提高企业市场反应能力和自动化水平都具有积极的意义。
(三)计算机信息化建设,可以提高员工整体素质。在企业的信息化建设中,计算机得到广泛的应用,企业为了适应这种发展变化的需要,就必须要对员工经常性地进行一系列的专业培训,使他们学习掌握先进的操作规程和技术,从而提高员工的整体素质。例如,某办公楼,利用马钢门禁卡和员工考勤管理系统实现对企业员工的出勤考核管理,优化了企业的管理流程。
二、企业计算机信息化建设和管理中存在的问题
虽然大部分企业已经初步实现了信息化管理,但在信息化建设与管理的过程中仍有一些问题亟待改进,并不断加以系统化,否则将会影响到企业信息化建设的进程,大致看了,这些问题主要表现在以下几个方面:
(一)部分企业的领导和职工在对待信息化建设和管理的意识和态度上存在问题,不能将计算机信息建设和管理作为企业的一项工作去做而是认为信息化仅仅是利用计算机技术等完成对现代化办公设备的操作和使用。
(二)相对于信息化建设而言,部分企业的制度与管理措施比较滞后,还没有形成一个行之有效的约束和推广办法,且在应用深度上对信息化软件如办公自动化系统、人力资源管理系统使用的深度扩展不够,致使信息化管理在应用上没有实质性进展。
(三)不少企业都紧缺专门从事信息化教育与管理的人才,在技术支持和人员潜能发挥与利用上没有达到理想的效果,不能保证信息化建设与管理工作的深入开展。
三、加强企业计算机信息化建设和管理的措施
根据以上分析可知,企业在计算机信息化建设和管理中存在着许多问题,我们应当借助现有的网络平台,进行一些必要的改进工作,不断探索出信息化建设和管理的新思路。
(一)加强对信息化建设重要性的认识和信息化管理的制度建设。在企业上下广泛宣传企业信息化建设的重要性,强化全员信息化建设意识与信息化管理的观念,同时引导大家正确地使用网络和信息资源。从制度上加强对信息化建设的管理,要有专门的机构或部门对企业信息化管理进行整体规划和分步实施,在推行过程中要建立良好的绩效评价机制,以保障企业信息化建设的深入开展。
(二)加强对现有资源的整合与利用。优化资源配置,同时充分利用现有网络平台实现信息资源共享。如借助目前企业办公自动化系统进行信息交流,利用企业网站进行信息资料的共享。加强对专业性应用软件在功能上的深化运用,鼓励员工加强对专业应用软件使用功能的深入研究,充分利用软件资源。
(三)加强对企业的网络安全建设。随着网络技术的快速发展,网络安全已成为企业信息化管理的重要内容之一。我们应加强对网络安全的建设,采取有效的防范措施加以监督和控制,如购置并安装网络防火墙进行实时更新或升级病毒包对企业网络实施保护,以保证企业信息化建设的顺利开展。
(四)加强对企业复合型人才的培养。在信息技术方面,企业除配备专业性技术人才外,还需要更多的复合型人才,特别是信息技术应用方面的人才。要组织对信息化工作人员的培训和再教育,提高他们的信息化技术水平,鼓励其进行信息化技术的开发和深度应用,逐步形成一批贴近企业需要的、专业性强的信息技术支撑力量。
四、结语
总之,计算机信息化建设和管理是企业一项长期性战略性和系统性的重要工作,尽管企业在信息化建设和管理的过程中会遇到各种难题,但是我们必须从各个方面来加以改进,首先要端正态度,提高企业领导者和员工对信息化建设和管理的认识,然后从技术方面管理模式方面人才培养方面等探索强化企业计算机信息化建设和管理的新方案和新策略,从而才能真正提高企业的生产力水平和管理水平,保证企业向更合理、更科学和更健康方面发展。
参考文献:
关键词:互联网金融;企业融资
一、互联网金融的相关概念
互联网金融是在当下信息时展起来的一种新兴金融,其主要是依托于云计算和支付、社交网络以及各种搜索引擎等一系列互联网工具,而实现资金支付、资金融通以及信息中介等各种业务。并且在近几年互联网金融更被大家所了解和应用,其主要是在传统金融模式中利用信息时代下的互联网信息公开透明、成本不高并且高效、便捷等特点而进行了思维创新。而当前互联网金融发展主要分为以余额宝为主要代表的网上理财产品,微信支付、支付宝支付等支付网络化,还有网上各种融资平台。
二、互联网金融对企业融资行为的影响
(一)互联网金融对企业融资的几点积极影响
1、降低融资成本并提高融资效率不同于传统的金融模式的融资过程,在互联网金融模式下,企业的融资往往是依靠该企业在该平台所留下的历史信息和记录以及该企业在央行的征信体系的一系列信息,从而根据一些数据技术来对企业真实的经营状况及财务状况进行一定程度的了解,这样就不用进行实地调研和面对面的调查,不仅避免了骗贷现象的出现,还能保证所有融资环节都可以在互联网上完成,缩短了融资时间,进一步提高了企业的融资效率。另外由于操作成本等降低,互联网金融还能够大大降低企业的融资成本。2、缓解金融机构信息不对称问题在互联网金融模式中,各种金融交易和交易数据都会被电商平台所记录,而网贷平台便可以利用该企业的各种数据来发现该企业的经营情况和财务情况,并且根据其平台内的恰当的规则而建立起有关该企业信用评级体系,还会根据评级不同以及各个规模大小的企业的具体情况而制定合适的授信额度以及合理的贷款利率。而为了保证资金的安全,在网贷平台为企业做好融资之后,还能够通过关注企业在网上的各项交易行为以及资金去向来掌握了解企业的实时情况。并且联保体系的建立还会激励企业之间彼此相互监督,从而大大减少网贷平台上欺诈行为的发生。能够推动贷款平台和各个企业之间的信息沟通的公开化、透明化,进而有效地缓解了过去传统金融模式一直困扰的信息不对称问题。3、企业的融资渠道多元化在过去传统金融的发展当中,企业融资大多数都是依靠银行贷款或者是民间借贷的,而在互联网金融模式下,很多需要融资的企业只需要通过面向大众开发的网络贷款平台就能够完成融资。在信息时代融资效率也会相对更高,并且由于平台是根据海量数据所分析的,因此可以大大提高其分析结果的可靠性和准确性,而当下融资方式也在不断创新,所以会引入更多的投资者,例如余额宝的应用,融资方式将会更多元化和灵活。
(二)互联网金融对企业融资的消极影响
1、融资的风险增大由于互联网金融发展历史较短,目前我国关于互联网金融的监管力度还是远远不够的,特别是对网络借贷的一系列平台的管理不够严谨而较为混乱,并且对于平台的非法行为和合法行为的界定不够明确。这样就使得很多平台容易在经营的过程中会陷入圈钱或者流动性风险,会遭到投资人的挤兑以至于破产,致使有些企业在融资过程中而遭受临时停款或者提前返款的损失。2、信用评价可信度有限一些西方国家关于个人信用评价体系的建设较为完善,比如说美国的FICO评分系统,能够完整的查出个人的所有历史记录和其所有有关的数据,并且其个人的征信系统还会和该人的社交账号以及社保号等一起绑定,从而方便查询其信用度。而当前我国虽然已经建立起了个人征信系统,但是关于个人信用的评价体系还是不够完善,并且按照我国有关个人信息信用数据的有关的规定,目前我国个人信用报告仅只限商业银行以及依法办理信用贷款的有限的金融机构等使用,而网络平台则不属于合理的使用者,这样也就使得该信用评价的可靠性和准确性有限。
三、互联网背景下融资创新的方式
(一)众筹融资
众筹融资指的是企业可以借助互联网的众筹平台利用社交网络的传播性能,是以团购加预购的形式为企业的项目向社会公众募集资金的模式。众筹融资的特点是小额与大量,众筹融资的门槛低,并且不单单以商业价值作为其评判标准,所以这就为企业的融资提供新的融资路径。企业等融资者利用众筹模式可以在众筹平台上为其自身建立专门的有关项目的网页,从而向社会公众介绍其融资项目以及其项目的具体回报方式,社会公众通过对融资项目以及回报的了解、分析及判断,从而选择自身感兴趣的项目提供资金支持,每位社会上的投资者都可以通过少量的投资金额而从企业等融资者那里得到实物或者股权回报。
(二)互联网金融门户
互联网金融门户模式指的是企业通过互联网金融门户的服务平台,从而垂直搜索平台上面的各家金融机构的产品,对每种金融产品的价格及特点进行对比和分析,从而挑选出合适的金融机构为其提供合适的金融服务的产品。这种模式的本质特点就是“搜索,比价”。在当下互联网金融的背景下,互联网金融门户模式快速兴起,企业选择一个金融垂直搜索平台作为其金融门户,然后便会对该平台上的金融产品进行比价分析,从而确定能够为其提供合适的信贷产品融资的合适的电子金融机构,进而企业利用这种由多种方式所构成的方便的电子银行立体服务体系而快速获得金融机构的融资。互联网上的金融门户模式为社会公众和企业提供方便的搜索,从一定程度上解决了企业融资难的问题。
(三)点对点的融资模式
点对点的融资模式指的是一些中小企业通过互联网这个中介平台,去寻找筛选具有相应的贷款能力并且能够满足其自身的融资需求的贷款方,从而能够实现贷方与借方两方资金相匹配。企业采用这种融资模式,应该先通过对比贷款方的利率条件从而选择有利于自身的利率,企业和贷款方都先进入接待筛选工作,两者同时达成初步的合作意向,然后再进入审核等步骤,最后双方还应进行资金的匹配,防控资金风险。这种点对点的融资模式的优点是能够降低交易成本,有效的防控风险。
四、利用互联网金融促进企业的融资的几点建议
目前相对于我国传统金融的发展,互联网金融在我国发展历史还是比较短的,因此在企业融资方面还是存在很多不足的地方,而且覆盖面也还不够广泛,可见互联网金融业务的发展上还是需要很多注意的地方。
(一)制定好相应的法律法规并做好完善工作
在我国传统金融的发展当中,还是有较为健全并且相对完善的法律体系,以此来对金融的经营业务的形式以及范围进行明确的约束和规范。而在当前我国的互联网金融的发展中,却还缺少相对规范和明确的法律法规来对其进行约束,而互联网金融的业务的范围跨度又较大,经营形式多种多样。所以,我国政府要注意对互联网金融的约束,制度和完善好相关的法律法规,从而将互联网金融的经营风险降低到最小程度。与此同时,还要加强必要的监管,并针对其金融业务而采用可操作性较强的方法有与供货商或厂商达成分期付款或赊销的协议,拖延资金用来作为税金的流出,调节资金周转。
(二)建立一整套评估机制,扩大企业的融资
在互联网金融迅速发展的信息时代,信息不对称是一个需要重点解决的问题,因此需要建立一整套的评估机制去合理有效的评估企业信用以及管理风险。该评估机制应该以解决信息不对称问题作为出发点,在最大程度上优化互联网金融融资的成本。然而从当前互联网的发展情况来看,所能够获取的信息还是存在一定的局限性的,并不可能掌握所有征信数据。因此,随着信息技术浪潮的推进和互联网金融的发展,应该实现信息共享,那么建设完善的信息系统是非常有必要的,而作为是当下互联网金融发展的体制机制创新的重要组成部分的互联网系统的建设应该得到加强,做好各项措施来顺应当下互联网金融发展的潮流,进一步扩大企业的融资。
(三)加强互联网的网络安全建设,进而推动企业融资
在目前我国互联网金融的不断发展的背景下,互联网和金融关系也越来越密切。并且在当下金融的发展以及其业务的开展都需要依靠互联网强大的信息技术,从而完成融资,因此,金融业务已经对互联网产生了极大的依赖性。然而随着互联网信息系统以及高超的现代信息技术在金融业务的处理过程中的广泛应用,存在的一些信息技术的内在漏洞如系统故障、硬件老化等自然因素,还有一些黑客的入侵、病毒以及木马等人为因素引起的漏洞,而由于信息系统自身的脆弱性,这就会给互联网金融的发展带来一些无法预测的风险,而阻碍互联网金融的发展。然而,在目前各类互联网金融的发展中,金融交易逐渐加大,但是其所建设的网络平台却都还没有一个安全统一的技术标准作为参照,这也就很容易使得其网络平台成为被攻击的对象。因此必须加强互联网的网络安全建设,不仅仅要保证其技术上的安全,保证其软硬件的系统建设的加强,还要做好预警措施。为了互联网金融更好地进行交易,还应建立以及完善好其运营机制,制定和完善好相对应的安全制度。只有这样,才能够营构建良好的互联网金融的发展环境,进而保证各项金融业务可靠的完成,以此促进企业的融资。
五、结束语
随着我国的电子技术的发展和我国的法制建设的不断完善,相信我国的互联网金融模式也会逐渐得到完善。因此,在目前我国的互联网发展过程中,我们应该要以全面发展的眼光去看待未来互联网的发展以及未来网上融资的良好前景,并且要积极地推动企业网上融资的发展和消除网上融资的隐患,加快社会市场的经济发展。
参考文献:
[1]刘大伟.互联网金融为何火爆中国?[J].中国民商,2014(2)
[2]刘金燕.基于互联网金融的中小企业融资模式探讨[J].中国市场,2014(43)
【 关键词 】 内蒙古电力公司信息系统;信息安全;风险评估;探索与思考
The Exploration and Inspiration of Risk Assessment on Information Systems
in Inner Mongolia Power (Group) Co., Ltd.
Ao Wei 1 Zhuang Su-shuai 2
(1.Information Communication Branch of the Inner Mongolia Power (Group)Co., Ltd Inner MongoliaHohhot 010020;
2.Beijing Certificate Authority Co., Ltd Beijing 100080)
【 Abstract 】 Based on the conduct of information security risk assessment in Inner Mongolia Power (Group) Co. Ltd., we analyzed the general methods of risk assessment on power information systems. Besides, we studied the techniques and overall process of risk assessment on power information systems in Inner Mongolia Power (Group) Co. Ltd., whose exploration provides valuable inspiration to information security in electric power industry.
【 Keywords 】 information systems of Inner Mongolia Power (Group) Co., Ltd.; information security; risk assessment; exploration and inspiration
1 引言
目前,电力行业信息安全的研究只停留于网络安全防御框架与防御技术的应用层面,缺少安全评估方法与模型研究。文献[1]-[3]只初步分析了信息安全防护体系的构架与策略,文献[4]、[5]研究了由防火墙、VPN、PKI和防病毒等多种技术构建的层次式信息安全防护体系。这些成果都局限于单纯的信息安全保障技术的改进与应用。少数文献对电力信息安全评估模型进行了讨论,但对于安全风险评估模型的研究都不够深入。文献[6]、文献[7]只定性指出了安全风险分析需要考虑的内容;文献[8]讨论了一种基于模糊数学的电力信息安全评估模型,这种模型本质上依赖于专家的经验,带有主观性;文献[9]只提出了一种电力信息系统安全设计的建模语言和定量化评估方法,但是并未对安全风险的评估模型进行具体分析。
本文介绍了内蒙古电力信息系统风险评估的相关工作,并探讨了内蒙古电力信息系统风险评估工作在推动行业信息安全保护方面带给我们的启示。
2 内蒙古电力信息安全风险评估工作
随着电网规模的日益扩大,内蒙古电力信息系统日益复杂,电网运行对信息系统的依赖性不断增加,对电力系统信息安全的要求也越来越高。因此,在电力行业开展信息安全风险评估工作,研究电力信息安全问题,显得尤为必要。
根据国家关于信息安全的相关标准与政策,并根据实际业务情况,内蒙古电力公司委托北京数字认证股份有限公司(BJCA)对信息系统进行了有效的信息安全风险评估工作。评估的内容主要包括系统面临的安全威胁与系统脆弱性两个方面,以解决电力信息系统面临的的安全风险。
3 电力系统信息安全风险评估的解决方案
通过对内蒙古电力信息系统的风险评估工作,我们可以总结出电力信息系统风险评估的解决方案。
4 电力信息系统风险评估的流程
电力信息系统风险评估的一般流程。
(1) 前期准备阶段。本阶段为风险评估实施之前的必需准备工作,包括对风险评估进行规划、确定评估团队组成、明确风险评估范围、准备调查资料等。
(2) 现场调查阶段:实施人员对评估信息系统进行详细调查,收集数据信息,包括信息系统资产组成、系统资产脆弱点、组织管理脆弱点、威胁因素等。
(3) 风险分析阶段:根据现场调查阶段获得的相关数据,选择适当的分析方法对目标信息系统的风险状况进行综合分析。
(4) 策略制定阶段:根据风险分析结果,结合目标信息系统的安全需求制定相应的安全策略,包括安全管理策略、安全运行策略和安全体系规划。
5 数据采集
在风险评估实践中经常使用的数据采集方式主要有三类。
(1) 调查表格。根据一定的采集目的而专门设计的表格,根据调查内容、调查对象、调查方式、工作计划的安排而设计。常用的调查表有资产调查表、安全威胁调查表、安全需求调查表、安全策略调查表等。
(2) 技术分析工具。常用的是一些系统脆弱性分析工具。通过技术分析工具可以直接了解信息系统目前存在的安全隐患的脆弱性,并确认已有安全技术措施是否发挥作用。
(3) 信息系统资料。风险评估还需要通过查阅、分析、整理信息系统相关资料来收集相关资料。如:系统规划资料、建设资料、运行记录、事故处理记录、升级记录、管理制度等。
a) 分析方法
风险评估的关键在于根据所收集的资料,采取一定的分析方法,得出信息系统安全风险的结论,因此,分析方法的正确选择是风险评估的核心。
结合内蒙电力信息系统风险评估工作的实践,我们认为电力行业信息安全风险分析的方法可以分为三类。
定量分析方法是指运用数量指标来对风险进行评估,在风险评估与成本效益分析期间收集的各个组成部分计算客观风险值,典型的定量分析方法有因子分析法、聚类分析法、时序模型、回归模型、等风险图法等。
定性分析方法主要依据评估者的知识、经验、历史教训、政策走向及特殊案例等非量化资料对系统风险状况做出判断的过程。在实践中,可以通过调查表和合作讨论会的形式进行风险分析,分析活动会涉及来自信息系统运行和使用相关的各个部门的人员。
综合分析方法中的安全风险管理的定性方法和定量方法都具有各自的优点与缺点。在某些情况下会要求采用定量方法,而在其他情况下定性的评估方法更能满足组织需求。
表1概括介绍了定量和定性方法的优点与缺点。
b) 质量保证
鉴于风险评估项目具有一定的复杂性和主观性,只有进行完善的质量控制和严格的流程管理,才能保证风险评估项目的最终质量。风险评估项目的质量保障主要体现在实施流程的透明性以及对整体项目的可控性,质量保障活动需要在评估项目实施中提供足够的可见性,确保项目实施按照规定的标准流程进行。在内蒙古电力风险评估的实践中,设立质量监督员(或聘请独立的项目监理担任)是一个有效的方法。质量监督员依照相应各阶段的实施标准,通过记录审核、流程监理、组织评审、异常报告等方式对项目的进度、质量进行控制。
6 内蒙古电力信息安全风险评估的启示
为了更好地开展风险评估工作,可以采取以下安全措施及管理办法。
6.1 建立定期风险评估制度
信息安全风险管理是发达国家信息安全保障工作的通行做法。按照风险管理制度,适时开展风险评估工作,或建立风险评估的长效机制,将风险评估工作与信息系统的生命周期和安全建设联系起来,让风险评估成为信息安全保障工作运行机制的基石。
6.2 编制电力信息系统风险评估实施细则
由于所有的信息安全风险评估标准给出的都是指导性文件,并没有给出具体实施过程、风险要素识别方法、风险分析方法、风险计算方法、风险定级方法等,因此建议在国标《信息安全风险评估指南》的框架下,编制适合电力公司业务特色的实施细则,根据选用的或自定义的风险计算方法,,制各种模板,以在电力信息系统实现评估过程和方法的统一。
6.3 加强风险评估基础设施建设,统一选配风险评估工具
风险评估工具是保障风险评估结果可信度的重要因素。应根据选用的评估标准和评估方法,选择配套的专业风险评估工具,向分支机构配发或推荐。如漏洞扫描、渗透测试等评估辅助工具,及向评估人员提供帮助的资产分类库、威胁参考库、脆弱性参考库、可能性定义库、算法库等评估辅助专家系统。
6.4 统一组织实施核心业务系统的评估
由于评估过程本身的风险性,对于重要的实时性强、社会影响大的核心业务系统的评估,由电力公司统一制定评估方案、组织实施、指导加固整改工作。
6.5 以自评估为主,自评估和检查评估相结合
自评估和检查评估各有优缺点,要发挥各自优势,配合实施,使评估的过程、方法和风险控制措施更科学合理。自评估时,通过对实施过程、风险要素识别、风险分析、风险计算方法、评估结果、风险控制措施等重要环节的科学性、合理性进行分析,得出风险判断。
6.6 风险评估与信息系统等级保护应结合起来
信息系统等级保护若与风险评估结合起来,则可相互促进,相互依托。等级保护的级别是依据系统的重要程度和安全三性来定义,而风险评估中的风险等级则是综合考虑了信息的重要性、安全三性、现有安全控制措施的有效性及运行现状后的综合结果。通过风险评估为信息系统确定安全等级提供依据。确定安全等级后,根据风险评估的结果作为实施等级保护、安全等级建设的出发点和参考,检验网络与信息系统的防护水平是否符合等级保护的要求。
参考文献
[1] 魏晓菁, 柳英楠, 来风刚. 国家电力信息网信息安全防护体系框架与策略. 计算机安全,2004,6.
[2] 魏晓菁,柳英楠,来风刚. 国家电力信息网信息安全防护体系框架与策略研究. 电力信息化,2004,2(1).
[3] 沈亮. 构建电力信息网安全防护框架. 电力信息化,2004,2(7).
[4] 梁运华,李明,谈顺涛. 电力企业信息网网络安全层次式防护体系探究. 电力信息化,2003,2(1).
[5] 周亮,刘开培,李俊娥. 一种安全的电力系统计算机网络构建方案. 电网技术,2004,28(23).
[6] 陈其,陈铁,姚林等. 电力系统信息安全风险评估策略研究. 计算机安全,2007,6.
[7] 阮文峰. 电力企业网络系统的安全风险分析和评估. 计算机安全,2003(4).
[8] 丛林,李志民,潘明惠等. 基于模糊综合评判法的电力系统信息安全评估. 电力系统自动化,2004,28(12).
[9] 胡炎,谢小荣,辛耀中. 电力信息系统建模和定量安全评估. 电力系统自动化,2005,29(10).
作者简介:
