时间:2023-10-10 10:42:30
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇企业信息安全现状,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
【关键词】企业,信息,安全
【中图分类号】F270.7 【文献标识码】A 【文章编号】1672-5158(2012)11-0130-02
近年来,随着企业信息化进程的不断推进,许多企业都完成了涵盖基础自动化、过程控制、生产执行到专业管理的信息系统,内容覆盖了硬件网络平台建设、办公自动化(OA)、企业资源计划(ERP)、对基础网络、过程自动化进行升级改造等,企业业务的关键流程如研发、生产与销售对信息系统的依赖性非常高。企业日益复杂庞大的信息系统也无时无刻在面临来自于内部和外部的威胁。
当前企业信息可能面临的安全威胁、存在的安全隐患。
1.可能面临的安全威胁
物理安全威胁主要表现在企业的软件资产和硬件资产、面临自然灾害、环境事故及不法分子通过物理手段进行的违法犯罪等威胁;网络安全威胁主要表现在黑客攻击、垃圾邮件泛滥、病毒、木马造成网络拥塞与瘫痪,内部攻击,冲突域造成网络风暴,黑客的入侵或者使得不法员工可以通过网络泄漏企业机密等。
数据安全威胁主要表现在:数据库数据丢失,财务、客户信息及订单数据被破坏或删除、窃取、备份数据被人恶意篡改、不可预测的灾难导致数据库的崩溃等。
内部网络之间、内外网络之间的连接安全——随着企业的发展壮大,逐渐形成了企业总部、各地分支机构、移动办公人员这样的新型互动运营模式。怎么处理总部与分支机构、移动办公人员的信息共享安全,既要保证信息的及时共享,又要防止机密的泄漏已经成为企业成长过程中不得不考虑的问题。
2.可能存在的安全隐患
网络规划不完善。信息网络建设的初期,没有把构建信息安全体系作为主要的功能来实现。虽然以后采取了一些安全措施,缺乏整体性和系统性。目前从便携设备到可移动存储,再到智能手机、PDA,以及无线网络等。每一项新技术,每一类新产品的推广伴随着新的问题。企业在面临着日趋复杂的威胁的同时,遭受的攻击次数也日益增多。
技术设计不完善。随着电脑技术的不断发展,一些技术上的漏洞和设计方面的缺陷也就随之而来。如操作系统、数据库、网络软件及应用软件等各个层次及网络设备本身存在的技术安全漏洞等。
安全管理不完善。由于信息安全管理制度不健全或贯彻落实不够;员工的安全防范意识不强;构建安全体系的资金投入与运维现状需求存在矛盾等因素,导致安全管理层面的安全措施及安全技术难以有效实施。
为了防止信息安全事件的发生,通行的做法是通过部署防火墙、入侵检测、入侵防范系统、防病毒系统、数据备份、数据加密、漏洞扫描、上网行为管理系统等进行防范。然而,此类技术手段,却无法阻止人为因素导致的破坏。
针对上述分析,笔者认为,构建一个规范的信息安全保障体系必须从管理、技术两方面着手,通过建立企业内部信息安全管理体系的有效措施把可能面临的安全威胁最大限度地弱化,同时针对信息系统的“弱点”进行改进,以此降低潜在的安全危险。
二、加强信息安全工作的途径
1.建立安全体系结构框架
俗话说“三分技术,七分管理”,任何技术措施只能起到增强信息安全防范的作用。为此,管理部门首先需借助相应的行政手段制定适合本单位的信息安全管理制度,建立一个长期有效的安全管理机制。加强安全技术的管理和人员的培训,提高员工的信息化应用水平。其次,技术部门要加强物理场所的安全管理,制定相应的访问控制策略规范网络应用安全,整合现有资源实现能够支撑边界安全和访问控制的要件,同时实现从终端行为一主机全过程的完整安全,实现公司业务正常有序的运行。
2.通过实施信息安全管理体系提升管理水平
信息安全管理体系是系统地对组织敏感信息进行管理,涉及到人、程序和信息技术系统,其依据是信息安全管理体系标准-IS027001。IS027001清晰地定义了ISMS是什么,并对企业主要安全管理过程进行了详细的描述。通过对企业信息系统的信息安全方针,信息安全组织,资产管理、人力资源安全、物理和环境安全管理、通信学术研究和操作管理、访问控制、信息系统获取开发和维护,信息安全事故管理、业务连续性,符合性(IS027002要求的各个控制域)11个方面的处置,来建立企业信息安全管理体系。ISMS建设分为五个阶段,有准备阶段、风险评估阶段、实施阶段,运行阶段和持续改进阶段。
2.1 准备现状调研阶段
现状调研阶段的主要工作是对组织的信息安全管理相关政策、制度和规范、业务特征或服务、现有的组织情况、网络信息与配置、日常操作与管理等内容进行调查,以了解组织业务,挖掘组织中存在的安全问题,分析组织内可能存在的信息安全风险,参照相关标准给出差距分析报告。可以采用文件审核、问卷调查、技术工具评估及现场访谈等方式进行。
2.2 风险评估阶段
在准备阶段工作的基础上,根据IS027001标准的要求,对企业目前的信息安全现状进行风险评估,通过风险评估确定风险管理计划以及需要采取的控制措施。此外,通过风险评估,还可以了解到目前企业信息安全管理的现状,为下一步编写ISMS文件准备基础资料。
2.3 架构设计阶段
架构设计阶段可以考虑从安全策略保障体系、安全组织保障体系、安全运行保障体系、安全技术保障体系、应急恢复保障体系、保密体系等方面构建组织的信息安全总体架构。
2.4 实施阶段
实施阶段将进行ISMS文件体系的策划和编写,确定需要编写的文件数量以及各文件需要包括的控制措施。同时,将已有的操作规程、规范文件整理为具体操作手册,作为三级文件,以指导信息安全管理体系项目的后继实施,最终形成一整套符合企业信息安全管理现状的、可实施的.文件化的信息安全管理体系。
2.5 运行阶段
运行阶段将依据建立的ISMS进行实施。主要的活动有认证机构的预审、对企业信息安全专员培训、全员培训和意识教育整改活动、记录系统运行等各项活动。在体系运行一段时间以后,将通过内部审核的方式评审企业信息安全管理体系运行的符合性。
2.6 持续改进阶段
项目的完成只是企业ISMS建立和完善的一个首要步骤。要通过内审与管理评审等持续改进活动,使企业的信息安全管理工作得到不断的完善和提高。信息安全的最大挑战在于必须面对各种各样的威胁源、不断更新和不可预知的方法、在不确定的时间对企业重要信息资产产生破坏,所以必须要有能够进行持续改善的绩效管理。
3.实施、运行ISMS需要注意的问题
4.1 提高风险意识,加强安全组织建设工作;以风险评估为基础,提高风险管理的有效性;队总体经营目标为核心,制定科学的安全管理策略;通过对企业安全管理流程及标准的建立,完善企业的安全运维体系及响应机制。
4.2 提高行业信息化管理水平,信息安全体系框架构建是关键。而信息安全体系框架构建必须管理、技术两者双管齐下。
4.3 循序渐进,动态管理。信息安全体系建设并不是一蹴而就的,是分步实施、循序渐进的过程。定期进行相关的安全评估,注重各层次、各方面、各时期的相互协调、匹配和衔接。根据当前的技术环境和安全意识的深化及时排查、修改、调整相关的安全策略。
【关键词】企业; 信息安全; 风险评估; 风险控制
引言:
计算机和网络通信相结合的信息技术,是促进当代社会信息化发展的主要力量,为社会上各行各业的发展创造了良好的环境。许多企业在经营与管理中已经引用现代信息技术,从而使经营与管理更为科学,工作效率更高,获得的经济效益也越多。然而现代信息技术是一把双刃剑,信息化的程度越高,由它带来的风险也越大。当前,企业的信息安全风险评估工作存在着一些问题,这些问题对企业的发展造成很多不利的影响。
一、企业信息安全风险概述
对企业来说,信息是维持企业正常运作的必要资源。企业的信息包括重要的数据、企业的发展规划、保密性文件、知识产权等。这些信息一旦被泄露,那么企业将面临着或大或小的经济损失,更严重的还会使企业面临破产的危险。所谓的企业信息安全就是指信息在其生命周期中,它的完整性、保密性和可用性这三个特性的保留情况。如果这三个特性都得到了保障,那么信息的安全性就高;如果其中的某个特性被破坏,那么信息的安全性就低。而信息安全风险就是指信息在特定的环境与特定的时间里可能遭遇的安全威胁。
信息安全风险可以分为可控性风险与不可控风险、可接受风险与不可接受风险、自然风险与人为风险等[1],这些风险给企业的信息安全管理工作带来了更多的不确定因素,加深了工作难度。
二、企业信息安全风险评估的现状与问题
当前,我国企业的信息安全风险评估工作存在着许多问题,给企业的日常经营与管理带来了许多不利的影响。
首先,企业没有树立正确的信息安全观。很多企业的管理者在信息安全问题上会走向两个极端,一种是认为只要加大信息建设的投入,信息就存在绝对安全的可能;另一种是忽视信息安全建设,信息安全风险意识淡薄。很多企业的管理层对信息资产的重要性认识不够,因而他们在保护信息安全方面几乎是无作为。
其次,企业在具体的信息安全风险评估工作中,表现出重安全技术而轻安全管理的思想与行为方式。这些企业在工作过程当中,不论是在心理还是在行为上都过分依赖安全技术,甚至认为只要安全技术过硬,信息安全就一定能够得到保证,为此,企业普遍采用现代通信技术、计算机和网络技术来构建企业信息安全系统。而在安全管理上,出现了管理措施不到位,员工在信息保密上不够严肃等问题,造成信息安全技术做无用功。
此外,企业信息安全风险评估工作还存在着管理制度不够完善、责任划分不够明确等问题。信息安全风险的评估工作需要收集各方面的大量的信息,如此才能增强评估的有效性。而企业由于管理制度不完善、职责划分不明确等问题,造成各部门的工作不配合、不协调。信息技术部门被孤立,信息安全的风险评估工作也就不能得到及时有效的完成。
最后,我国有些企业在信息安全风险评估的技术与方法上落后于时代。现代信息系统越往后发展,结构就越复杂。这要求企业要根据不断变化的信息技术来改进自己的风险管理理念和手段,同时也要吸收国际上的先进信息安全风险评估技术,保障自身的信息安全。
三、企业信息安全风险的控制
企业信息安全问题对企业来说是不应该被忽视的部分,企业应该在经营与管理的每个环节做好信息安全风险的控制工作,使企业的重要信息能够得到充分的保护。企业信息安全风险的控制可以从风险分析、管理控制、技术控制三个方面来进行。
(一)风险分析
在进行信息安全风险控制之前,先对风险进行分析可以使风险控制工作更加具有针对性,能够提高风险控制工作的效率。对风险的分析可以从信息资产面临的威胁、存在的弱点等方面来进行[2]。在风险分析工作中,要明确以下几点:首先是信息安全风险控制工作中需要保护哪些信息,这些信息具有什么样的价值;信息资产面临着哪些潜在的威胁,导致这些威胁产生的根源是什么,威胁发生的几率有多大;信息资产中是否具有漏洞,这些漏洞是否会被人威胁利用;信息资产发生威胁之后,企业会面临多大的损失;企业该采取什么样的措施来应对风险带来的损失,等等。
(二)管理控制
企业信息安全风险控制工作主要从组织管理、人员管理、政策实施等几个方面来进行。首先,企业应该建立信息安全组织机构,吸收组织成员,协调企业内部的各项资源,制定信息安全控制的目标并通过组织成员履行职责来达到目标。其次,企业要培养素质高、责任心强、原则性强,能够遵守企业政策的人员。企业信息安全风险的控制不仅与强大的技术力量有关,而且还有赖于执行人员对信息安全工作的支持与参与。此外,在政策实施上,企业要严格执行相关的信息安全保护政策,比如目前国际通用的《信息技术―信息安全管理实施细则》[1],为企业执行信息安全保护工作提供一个统一的标准,从而使工作能够有序地展开。
(三)技术控制
技术对信息安全控制的影响力是比较大的,它在很大程度上决定了信息安全风险的大小、范围,同时它也决定了修补信息安全漏洞的方式和方法。因此,在技术方面对信息安全风险进行控制是非常有必要的。首先,技术构架的设计应该遵循系统性原则、技术先进性原则、可控性原则、适度性原则等,使技术能够更好地服务于风险控制;其次,要做好安全域的信息安全保障工作,根据不同的安全域所面临的不同风险来进行信息安全保护工作;最后,要提高信息安全保障技术。目前而言,我国的信息安全保障技术与国际上的相比明显处于落后状态,因此,企业要引进先进的技术力量,加强信息安全风险的控制力度。
四、结语
在这个信息化高度发展的社会,任何企业与个人在享受信息化带来的便利的同时,也要承担信息化带来的风险。我国企业在激烈的市场竞争中,不可避免会遇到信息安全上的威胁。因此每个企业都应该做好信息安全的管控工作,认真、严肃地对待当前网络环境下的企业信息安全问题。
参考文献:
[1]谷田.网络环境下的企业信息安全问题研究[D].郑州大学2012
1港口信息安全评价现状及需求
港口信息安全保障应贯穿在港口信息系统的整个生命周期中。港口信息安全保障的工作者应针对港口信息系统的发展特点,通过对港口信息系统的风险分析,制定并执行相应的安全保障策略,从多角度、多层面提出港口信息安全保障要求,确保港口信息系统的保密性、完整性和可用性,将安全风险降至最低或可接受的程度。港口信息化发展重点主要在于对外的数据交换和服务。港口信息安全风险主要来自于港口信息系统自身存在的漏洞和系统外部的威胁。为最大化控制该风险,港口信息系统安全保障工作者应在信息安全保障策略体系的指导下,设计并实现港口信息安全评价体系架构或模型,港口信息安全评价体系的制定应反映港口企业对信息系统安全保障及其目标的理解,其制定和贯彻执行对信息系统安全保障起着纲领性指导作用。港口信息安全评价体系应选用一种折中的机制,在有限资源前提下实现最优选择。防范不足会造成直接的损失,防范过多又会造成间接的损失,在解决或预防安全问题时,要从经济、技术、管理的可行性和有效性上做出权衡和取舍。从现代港口企业信息安全保障工作者的视角出发,其工作层面无外乎对港口信息安全保障的战略管理、常态监管和应急响应。战略管理体现其信息安全战略的先进性,表现在港口企业对信息安全战略规划的制定情况、港口信息安全管理部门的战略地位和港口企业对信息安全工作的资金保障力度等。这些评价能反映港口企业对信息安全的重视程度,预见港口企业信息安全工作未来的发展前景。常态监管主要指港口信息安全战略的具体执行情况,包括基于对港口业务风险的认识,建立、实施、操作、监视、复查、维护和改进信息安全等一系列管理活动,具体表现为计划活动、目标与原则、人员与责任、过程与方法、资源等诸多要素的集合。应急响应主要包括在一些紧急、无预测的危机下,快速应对、解决问题的能力,度过危机以减少损失或者把损失降低到最低程度。
2现代港口信息安全评价指标体系框架
为了让指标体系更加科学、全面、综合,力争每个门类的指标定量、定性相结合,笔者选用了工作层面、保障要素、指标类型作为现代港口企业信息安全保障指标体系框架的3个维度。
3评价指标
按照评价指标体系框架,采用第一维度、第二维度、第三维度逐个相交的方式,对各评价点进行分解,可以设计出适应现代港口企业信息安全保障工作的评价指标体系。为了让指标体系更加科学、可操作,笔者在对上海港、黄骅港等大中型港口调研的基础上,梳理分析,设计出一套普适性较强的评价指标体系。该体系能够较客观、准确、全面地反映港口信息安全工作水平,供港口企业信息安全保障工作者参考。
4结语
1)信息安全评价体系对于现代港口评价信息安全保障工作的完备性,最大化降低、控制信息安全风险,减少技术故障、网络攻击等安全问题对业务带来的影响具有十分重要的作用。
2)以现代港口企业信息安全保障工作为研究对象,遵循科学全面、简单可操作、向导性原则,从工作层面、保障要素、指标类型出发,设计了一套三维评价指标体系框架,并结合国家对港口企业信息安全的相关要求,分析出56个具体指标,提出了评价指标的量化方法和计算方法,可为港口企业信息安全自评价提供参考。
3)取3个港口的信息安全保障工作情况样本进行评价,对评价分值的取值进行分析。试验表明,该方法能够满足现代港口的信息安全评价需求,简单可操作,具备可行性。
作者:吴静媛 周鹏颖 单位:中交水运规划设计院有限公司
当前,企业信息安全尚在起步阶段,发展不够成熟健全,还有更多需要解决的问题。随着网络技术的发展,经济信息量的大幅度上涨,处理信息必须依靠计算机才能完成,但计算机存在一定的弱点,例如计算机病毒、人员素质低下、黑客入侵等因素,以及移动4G、WIFI互联等多边界企业网络环境下,由于内外部网络是直接连接,其互通性和网络访问无限制性易形成黑客或恶意份子入侵的切入口,若是没有设置任何的网络边界安全机制,将造成企业信息受到潜在的安全威胁。企业要想持续发展,信息安全是基本保障。企业信息化程度越高,企业数据也就越安全。企业发展的基础即信息安全,企业管理者要正确认识信息安全工作的长期性和紧迫性。从保护企业利益,促进经济发展,保证企业稳定与安全的角度来看,只有做好基础性工作和设施建设,建立信息安全保障,以及建设安全健康的网络环境,才能有助于信息化安全建设。其实不管科技如何发达,技术如何高超,都是人类智慧的结晶体,所以信息安全已无法离开人类。不少企业信息被泄露,多是人为因素导致,员工滥用企业信息将会给企业带来极大的损失。
2企业信息化安全建设
当今社会已经步入信息知识经济时代,信息对企业良性长久的发展尤为关键,但目前企业信息系统安全问题无疑是企业发展阶段所面临的重点难点。所谓的企业信息安全就是对企业信息资产采取保护措施,使其不受恶意或偶然侵犯而被破坏、篡改及泄露,确保信息系统可靠正常并连续的运行,最小化安全事件对业务的影响,实现业务运行的连续性。因此笔者认为以下几方面是关键。
2.1做好网络保护
其实要保证外网安全需要企业加大硬件设备的投入,信息安全产品在网络经济发展下正面临着新的挑战,传统防火墙、信息加密、防病毒等已无法有效的抵御外部入侵;同时由于内部操作不当,导致内网感染病毒造成信息泄露的现状也是信息安全的焦点问题。针对以上情况,建立事前有效防御,事后追究机制是企业信息化安全建设的当务之急。根据现代企业的特点,笔者认为从下面这几点入手,有助于保护网络的安全:
(1)身份认证技术。
企业内网操作时,可采用身份认证技术,借助PKI、PKM等工具,控制网络应用程序的访问,以及进行身份认证,实现有效资源合法应用和访问的目的。
(2)审计跟踪技术。
通过审计跟踪技术监控和审计网络,控制外设备如MSN、QQ、端口、打印、光驱、软驱等,从而实现禁止使用指定程序,并促进员工操作行为及日志审计规范的目的。
(3)企业还应组建自身网络拓扑结构。
利用严格密钥机制和加密算法,有机的结合加密、认证、授权、审计等功能,保护最底层不同密集评定和授权方式的核心数据,而非限制应用网络和控制网络,进而真正实现合理保护,确保企业信息数据资源的安全。
2.2安全边界的界定和管理
安全边界的界定通过分析现有网络边界安全的需求,笔者认为有几方面:首先,内部网段。即企业网内网,是防火墙的重点保护对象,安全级别和授信级别更高,主要承载对象是企业所有人员的计算机。其次,外部网段。即边界路由器以外的网络,比如移动4G、WIFI互联等多边界网络,安全级别和授信级别最低,是企业信息数据泄露最大的安全隐患,需要严格禁止或控制。最后,DMZ网段。即对外服务器,安全级别和授信级别介于内外网络之间,其资源运行外部网络访问。
(1)由于外部用户访问DMZ区域中服务器的方式较为特殊,在系统默认情况下是不被允许的。
可实际应用中是需要外部用户对其进行访问,所以防火墙上必须增加相应允许外部用户访问DMZ区域的访问控制列表,通过对列表的控制允许用户行为,并对进行很好的监控管理,保证企业信息的安全性。
(2)内部用户对外部网络以及DMZ区域中服务器的访问。
按照ASA自适应安全算法,在系统默认情况下是允许高安全等级接口流向低安全等级接口流量的,外部网络安全级别远没企业内部网络安全级别高,所以在默认情况下这种访问方式是被允许的,不过实际应用过程中,需要限制对外访问流量。
(3)外部用户对内部网络的访问。
在系统默认情况下这种情况是不被允许的,是对外部用户非法访问的有效抵御,能有效的保证企业信息的安全,促进企业信息化的安全建设。
2.3强化系统管理
由于任何安全软件都有被攻击或破解的可能性,单纯依靠软件技术来保障企业信息安全是不现实的,只有强化企业内部信息系统的管理才行之有效。所以,企业内部信息管理体制要完善,尽可能促进管理系统规范性和可靠性的提高,才能为企业内部信息的安全提供更高保障。同时,要进行安全风险评估工作。因为各个信息系统使用的都是不同的技术手段和组成方式,其自身优势及安全漏洞也具有较大的差异,由此在选择企业所需的信息系统时,一定要先做各个系统的安全风险评估工作,信息安全系统的选择要针对企业自身特点,降低信息安全问题出现的概率。最后,就是加强系统管理。在实际生活中信息窃取和系统攻击大多是在网络上完成的,企业必须要强化网络管理工作,以便促进企业的运行更安全政策。
2.4加强企业信息安全管理团队建设
当前,企业信息安全体系的建设中已完全渗透“七分管理,三分技术”的意识,强化企业员工信息安全知识培训,制定完善合理的信息安全管理制度,是企业信息安全建设顺利实施的关键保障。企业信息安全建设时要另立专门管理信息安全的部门,负责企业内部的信息安全防护工作,加强对企业内部计算机网络系统的维护及常规检查。企业信息安全管理团队的职责主要包括:工作人员安全操作规范、工作人员守则以及管理制度的制定,再交由上级主管部门审批后监督制度规范的执行;定期组织安全运行和信息网络建设的检查监测,掌握公司全面的第一手安全资料,根据资料研究相关的安全对策和措施;负责常规的信息网络安全管理维护工作;定期制订安全工作总结,且要接受国家相关信息安全职能部门对信息安全的工作指导。
2.5入侵检测系统(IDS)与入侵防护系统(IPS)
IDS即入侵检测系统能够弥补防火墙的缺陷,能实时的提供给网络安全入侵检测,并采取一定的防护手段保护网络。良好的入侵检测系统不但可有助于系统管理员随时了解网络系统的变更,还能提高可靠的网络安全策略制订依据。因此,入侵检测系统的管理应配置简单,随时根据系统构造、网络规模、安全需求改变。IDS必须布置在能够监控局域网和Internet之间所有流量的地方,才能第一时间检测到入侵时,做出及时的响应,比如记录时间、切断网络连接等。
3总结
1网络环境下企业信息安全管理现状
在信息安全管理中最容易出现问题的就是信息的储存和传输,在企业的网络信息使用中也是这一环节最容易出现问题,比如企业信息系统中各种内部服务器,以及用户使用的计算机都容易对信息系统的安全造成威胁[1]。计算机的使用中最容易造成安全隐患的就是计算机中最常见的软件病毒,病毒的入侵会毁坏计算机的数据,最终导致极端及无法使用。最简单地说,计算机病毒实际上就是一种恶意破坏系统程序的软件,趁使用者不注意的情况下,入侵到计算机中,破坏计算机中的数据,影响计算机的正常使用,再严重的会导致整个系统的瘫痪,使链接这台计算机的其他计算机也无法使用。还有一种就是黑客的攻击,黑客对于计算机的攻击属于人为方式,就是指在没有经过企业计算机系统授权的情况下,对系统进行的恶意攻击其网站系统,对整个系统造成比较严重的伤害,最终导致系统中存入的数据泄露,对企业造成无法弥补的损失[2]。
在企业中也会出现信息安全管理的漏洞,因为企业中的信息管理必然会在每个部门之间相互传输,并且整合成最终完整的需要储存的信息,这样的过程中就很容易导致信息的丢失,人工操作的信息链接,很容易在中间的时候由于疏忽被非法人员抓到可乘之机,最终导致信息系统失控。很多企业重视利益的发展,并没有在乎企业信息的保护,因此在整个网络信息储存的过程中就会造成没有适当的制约机制,最终造成安全漏洞和隐患。企业的制约对于任何一个部门来说都具有非常好的管理和实效性,因此一旦企业在信息管理上没有一个好的制约管理机制,就很容易出现安全隐患和漏洞。
2企业信息安全管理的策略
首先企业要在电脑病毒和黑客方面入手,阻挡威胁信息安全的客观因素,既然企业想在整个工作中使用网络信息,那么就应该在专业的软件供应商处购买比较安全的电脑系统漏洞补丁,以及安全系数较高,非常可靠的杀毒软件。这样就能够最初级的防范电脑中毒和电脑黑客。对于新的设备一定要首先做好安全监察,在电脑上安装比较可靠的杀毒软件,并且每个员工,每台电脑上都有非常高强度的密码,这样就能够有效防治黑客的入侵。找出专门人员,对电脑中重要的数据,进行每天备份,如果数据较多,公司比较大,最少也要做到每周备份,然后每个月末进行以此校对和审核,这样就能够放心使用计算机,不用担心系统崩溃或者数据丢失了[3]。在企业中建立信息安全管理机制小组,这一小组需要选用非常熟悉电脑的专业人员,最好是曾经从事过电脑维修工作的员工,这样可以在大家没有合理使用电脑,造成系统崩溃的时候,对信息进行及时的恢复,以便挽回企业损失。
3总结
综上所述,随着网络在生活中的普及,还有企业的不断发展,信息化也成了企业工作中一个非常重要的资源,因此信息安全管理策略也成了企业信息化发展中一项非常重要的组成部分。但是在我国现阶段企业的发展往往是把利益摆在最前面,并且在员工的思想当中也是比较重视恶人利益,而没有考虑到企业安全问题,因此企业想要顺应时代的发展,把网络利用到企业发展中,就要充分认识到企业信息安全管理的重要性,重视企业信息在储存和传输过程中存在的漏洞,并且及时修补,保证企业信息具有安全可靠的管理对策,这样才能确保企业顺利发展,我国经济发展更上一层楼。
作者:宋晴 单位:国网山东胶州市供电公司
Abstract: With the advent of the information age, information technology plays an increasingly important role in the enterprise, and in the current network environment, a large number of virus frequently attacks the enterprise's information system, and even cause system cannot deal with the attacks. Therefore, the enterprise information security should change passive treatment into active defense, establish risk management framework in the information system, rationally use internal resources, and improve enterprise information system security. In this paper, the framework of enterprise information security risk management is studied, and the requirements, process and implementation of enterprise information security risk management are discussed.
关键词:信息安全;风险管理;框架探究
Key words: information security;risk management;framework research
中图分类号:F270 文献标识码:A 文章编号:1006-4311(2017)18-0053-03
0 引言
在社会不断发展的同时,信息化技术也获得了长足的进步,并且已经广泛地应用到人们的生活与工作中。对于企业单位而言,信息资源是保证正常运营的关键因素,企业运营的重要数据、客户资料以及知识产权等信息都是重要的信息资源,这些资源一旦泄露或丢失,会对企业造成极大的影响。因此,企业必须重视自身信息系统安全风险管理的框架的建设,有效防止来自网络的恶意攻击,防止内部重要信息泄露或丢失,保证企业信息安全。
1 企业信息安全实践的需求分析
在信息时代的大背景下,企业的信息化程度是衡量其发展水平的重要因素。但是,我国的信息安全形势不容乐观,大部分企业没有树立信息安全风险管理概念,企业的信息安全无法得到良好的保障。信息安全是一项综合性的工程,不能仅凭企业短期内需要就采取某些措施,无法从根本上提高信息安全水平。想要做好企业信息安全实践工作,必须事先做好企业对信息安全的需求分析,形成全面的分析报告,并根据报告中的内容采取相应的措施,改善企业信息安全现状。但是,需求分析的具体过程也不是始终不变的,而是会根据企业的发展与信息技术的进步发生改变的。信息安全风险的独特性必须在框架中体现出来。信息安全风险源于信息,信息本身具有不断发生变化的特性,从其以数据的形势出现开始,直至在各项功能中发挥相关的作用,这个周期内的每个阶段都有相的价值。信息安全管理就是要对企业的信息资源进行全面的保护,避免因这些资源受到损失而对企业的运营造成影响。企业信息安全风险管理框架中,必须能够发现信息资源即将受到的威胁,评估这些威胁会对信息资源造成的后果,以确定应对这些威胁的顺序。在制定风险计划时,需要明确对于风险的应对方式以及合理的控制措施。在风险的监督与改进过程中,需要根据这些风险采取适当的监控手段。总之,在此过程框架每个过程要素的分析中,都必须体现信息安全风险的独特性。
2 企业信息安全风险的类型及内容
一般来说,在企业运营过程中,信息安全系统通常面临以下风险因素:
①因线路故障、停电、网络通信设备损坏等导致网络突然中断。
②网站遭到非法攻击,主页被恶意篡改或者被非法植入煽动国家分裂或抗拒法律法规、歪曲事实、散布谣言的言论,以及破坏社会稳定、损害公司名誉的不当言论等。
③公司内部网络服务器或他服务器被非法入侵,相关网络设置被非法拷贝、修改、删除,发生泄密事件。
④公司内外网终端混用,被国网公司信息管理部门查处,造成公司信息泄露、丢失事件。
信息系统是企业正常开展生产运营工作的基本前提,信息管理系统一旦出现问题,轻则影响企业内部业务项目的正常进行,重则导致企业蒙受巨大的经济亏损。因此,针对信息安全风险加强管控对企业来说意义重大。
3 企业信息安全风险管理方案
3.1 建立信息安全风险管理流程
企业信息安全风险管理工作可按照图1所示流程逐步展开。
3.2 完善信息安全风险管理措施
对信息安全风险的管理可以以阶段化的管理模式逐步展开,具体措施如下:
3.2.1 实施准备阶段
信息安全风险管理实施的准备阶段主要包括管理开端的建立、风险评估以及制定行动方案三个步骤。第一,在管理开端的建立中,首先要获得企业管理部门与业务部门的支持,并且建立完善的管理质素,明确参与到管理过程中的工作人员的职责;第二,在风险评估步骤中,首先,确定风险评估对象的范围,其次,确定评估小组的成员,并且制定评估方案;最后,对评估小组成员进行与评估方案有关的培训。在这些准备工作结束后,评估人员就可以开始通过访谈或调查的形式来确定公司信息资源的具体情况,明确用户对信息安全的需求。再通过对风险进行识别与分析,发现企业信息系统中存在的风险。第三,在制定行动方案的步骤中,需要完成保护方案的制定以及确定风险处理方式两部分工作。通常情况下,保护方案就是需要企业长期持续执行,能够帮助企业保证自身信息安全的方案,但不足以满足企业在短期内提高信息安全性的需求。因此,企业必须对所有控制措施制定相应的处理方式,在短期内解决企业最需要解决的问题。
3.2.2 部署与执行阶段
行动的部署与执行阶段主要有计划的部署与安全培训两方面工作组成。第一,行动计划部署。在这个过程中,安全风险管理计划中的所有措施都必须被执行,需要对具体行动方案进行必要的理解并执行。首先,要与企业中的员工进行事先沟通,防止在实施中遇到反对或抵触的情绪。其次,确保被安排到行动计划的员工能够把握这些工作的优先级。此外,必须制定行动执行保障制度,为计划执行准备足够的资源,以保证计划顺利执行。第二,安全培训工作的实施。在企业内部,从事安全风险管理工作的员工有时会将普通工作人员视为技术人员,显然这种想法是有问题的,并不是企业内的所有员工都了解信息安全风险管理。所以,我们必须了解企业中大部分员工知识利用信息系统完成自己的工作任务,信息安全的保护是需要专业的信息安全人员进行的。所以,企业必须组织安全培训,通过培训提高员工安全意识,保证他们在信息系统遇到危险时能够采取一些有效的行动,对系统进行适当的保护。
3.2.3 风险监督检查阶段
在信息安全风险管理团队中,必须组建风险监督小组,在风险管理的整个过程中对其进行监督与检查,小组应由小组负责人与检查人员组成。实施风险监督检查的目的就是为了掌握企业信息安全的实际状态,并且收集信息安全环境变更信息,方便对未来的风险进行预测。风险监督小组在获得这些信息后,必须及时向风险管理团队反馈,确保他们能够掌握企业最近的信息安全状态。
3.2.4 风险改进阶段
在这一阶段,我们必须做好以下工作:制定详细的风险改进措施。风险管理团队需要根据企业的信息安全状态制定详细的风险改进措施。通过对监督检查过程中发现的问题进行分析,可以找出导致问题产生的原因,制定相应的改进措施并限期完成,检查人员则要负责对具体的实施情况进行检查。在改进过程中,需要注意的是,改进措施必须获得最高管理者的批准,特别是关系到整个企业或大多数部门的改进措施。风险监督小组必须随时跟踪纠正措施实施情况,验证改进措施的执行是否符合标准。
3.3 建立企业信息安全风险评估体系,促进信息管理工作不断优化改进
3.3.1 明_信息安全风险评估流程
企业信息安全风险评估工作可以参照图2逐步实行。
3.3.2 信息安全风险的计算及处理措施
企业的风险可以通过多种计算方法得到,但通常资产的风险值可以定义为:风险值=f(安全事件发生的可能性,安全事件发生的危害性)=g(资产,威胁,脆弱性,已实施的控制措施)。评估人员根据这样的函数形式,可以采用一种类似5×5形式的矩阵来计算风险,其中行和列分别代表了安全事件发生的可能性或发生的危害性等级。当然,评估人员为了细化这些风险可以采用维数更多(更细)的矩阵。
4 结论及建议
企业通过信息安全风险管理的实施,能够确定长时间的安全风险管理计划,并且可以有效地缓解企业信息系统中的安全风险,提高工作人员对与信息安全风险的认识,建立健康的安全风险管理氛围,推动企业信息化发展。
另外,建议企业在实施信息风险管理的同时,及时建立信息安全风险预警系统,特别要加强网络与信息系统安全管理,充分发挥技术支撑、机制保障作用,不断完善预防与抢险相结合,有效地预防和减少信息系统安全事故的发生,保障信息安全稳定运行。
参考文献:
[1]王淳萱.大数据环境下国有企业的信息安全探析[J].冶金经济与管理,2016(02).
关键词:信息异化;信息安全;安全保障策略
中图分类号:G202 文献标志码:A 文章编号:1000-8772(2013)09-0170-03
引言
在当前的错综复杂的信息环境中,信息随着信息环境多样化的发展,变得更加的丰富与多样。在信息的传播过程中,信息异化现象的越发明显,不仅给人们获取和利用信息带来了障碍。而且也进一步地影响了人们信息活动的安全。
“异化”(alienation)源于拉丁语alienation,有转让、疏远、脱离、差异和分离之意。所谓信息异化,是指人们创造的信息在生产、传播和利用等活动过程中,因受到各种因素的干扰,而导致信息丧失原有的内涵,甚至反客为主演变成外在的支配、统治和控制人的异己力量。简单地说,信息异化就是作为主体的人与作为客体的信息之间产生关系的颠倒,从而使人丢失了自身的主体性。由此可以看出,信息异化扭曲了信息的本质,直接影响了信息的合理利用,而如何客观的认识信息异化环境,准确处理信息异化问题,是我们必须解决的核心问题。
信息安全是信息异化所涉及到的最为敏感且重要的问题之一。关于信息异化在信息安全方面的研究,其采用的处理手段主要集中在信息导航、信息过滤控制以及信息安全保密角度三个方面。信息导航作为展示信息资源内容与结构的基本手段,以有序化的方式体现无序化的信息,为用户提供方便快捷的信息指引;网络信息过滤作为筛选信息、满足用户需求的有效方法,通过运用一定的标准和工具,从大量的动态网络信息流中根据用户的信息需求选取相关的信息或剔除不相关信息;信息安全保密控制的核心在于融合管理、技术、执法几种手段综合加以治理,通过内部网的安全保密技术以及内部网与外部网的防火墙技术隔离技术确保内部网的安全,同时细化电子文件密集,完善身份验证、存取控制、数据完整性、数据机密性、防火墙技术、安全协议等手段,实现信息安全技术的应用。
现阶段对于信息异化中信息安全的研究大多都处于强针对性条件下的研究现状,单一的目的性导致了信息异化影响无法完全消失,信息污染无法被彻底地清除,信息安全依旧得不到完善的保障。因此,本文旨在参照目前信息异化的现状处理的不足,在分析现有的安全保障系统缺陷的条件下,提出一套系统性的安全保障模式。
一、现有的企业信息安全保障系统
目前,国内外与信息异化环境下的信息安全保障相关的系统结构主要为OPSEC安全保障策略和网络信息创新平台。
(一)安全保障策略(OPSEC)系统
OPSEC安全保障策略(Operation Seeurity),是美国国家安全局依照企业反竞争情报的理念设计的一套以分析信息的价值人手,针对信息的价值来确定所要采取的保护策略的安全保障系统。OPSEC的运行机制是通过鉴别和分析竞争对手想要获得的决定竞争成败的关键信息,确定关键信息的危害程度,采取措施进行补救减少威胁,同时对自身信息系统的所有过程进行检验和分析。找到直接危害信息安全的弱点并采取弥补措施,通过对自身弱点的分析,找到弥补措施的平衡点,并最终综合上述所有的环节进行研究,制定出综合应对策略嘲。
OPSEC在通过运用过程中通过全面分析信息找出存在的漏洞,通过分析这些漏洞是否值得保护而进行的筛选信息保护。OPSEC的应用偏重于针对一定信息的异化处理和安全保障,有利于在低投入的条件下从根本上清除相关的信息污染,但降低了针对信息自身的多变性和时效性的异化分析。
(二)网络信息创新平台模式
网络信息创新平台即建立在技术进步基础之上,利用信息科学的基本原理和方法实现人类信息处理扩展的技术模式。网络创新平台的着重点在于虚实与创新有机结合的信息技术模式,从提高信息技术的综合水平上加强安全保密措施。虚实与创新有机结合的信息技术模式,在于针对现代信息技术发展造成信息生产者创新能力的丢失以及虚假信息扩散的现状,发展出的一种将虚实和创新有机结合的信息技术模式,通过信息的时效性、开放性等特征,将各种现实信息紧密联系,实现不同媒介信息的融合,提升信息的创新价值,在信息生产的阶段,由于信息技术的促使信息量逐步提升使得信息在急剧增加的同时质量下降,而提高信息技术的信息加工传递的速率以及信息的辨别处理能力。当今的技术漏洞使信息安全受到了威胁,成为威胁信息安全的隐患。信息系统安全保密技术是防止信息污染发生的一项关键性技术系统,保障信息活动逐步规范化。
网络信息创新平台在理论上建立起了针对信息异化环境的信息安全保障系统,通过从信息的生产源人手,进一步体现信息的本质并兼顾自身的安全保障,对信息的处理和安全保障更加规范化。但目前信息安全的发展缺乏在信息安全应用上的创新研究,研究与应用发展不平衡性,没有覆盖信息安全的主要方向。
二、企业信息安全保障系统构建与分析
(一)核心目标
信息安全保障系统是指在信息环境下由信息安全的各个组成部分相互联系且相辅相成所建立的总体结构。在信息异化的环境下,信息污染将成为信息安全的首要威胁之一,因此对于信息异化的处理将成为信息安全保障的首要工作。
信息安全保障系统能否具有可行性的关键,在于系统自身能否解决异化环境中信息污染的处理问题,以及能否适应当前所面对的各种客观的信息安全保障环境和日益加剧的安全系统漏洞。
(二)企业信息安全保障系统结构构建
信息异化环境下的企业信息安全保障系统(如图1所示),该系统的关键在于将异化后的信息通过信息清理模块的初步处理,使信息的核心价值得以体现,再通过安全保障模块的核心进行分析处理与安全保护模块的信息加密,防止信息受到二次异化,从而使得信息价值得到充分的利用。
(三)企业信息安全保障系统的运行机制
信息异化环境下企业信息安全保障系统的运行机制(如图2所示):将信息异化环境中被异化的信息提取并选择与自身安全有关联的信息进行关键词挖掘,通过对异化信息中的核心词汇进行提取用以找到合适的信息源,同时对同信息源或同类关键词汇进行合成从而形成关键信息并进行分析和制定安全保障策略,最后通过设置的保密措施来对安全保障策略进行实施和成效反馈。因此,该信息安全保障系统中应包含信息清理模块、安全保障策略模块以及自身的安全保护模块三个部分。
(四)企业信息安全保障系统功能分析
1 信息清理模块
信息清理模块主要用以对信息异化环境中受到异化的信息进行初处理,其具体的实施功能为信息源选取、关键词挖掘和信息集成。
(1)信息源选取。对信息异化环境中的信息进行过滤,选取与目前对自身安全有关的信息,并确认信息的信息源。(2)关键词挖掘。通过对与自身安全相关联的信息进行语义挖掘,判断并找出信息中的核心词汇。(3)信息集成。明确信息的信息源,并将其与被挖掘出来的信息关键词进行关联分析,同时通过将信息源所发出的所有与自身目前相关的信息与挖掘LIJ的信息关键词进行匹配,找到合适的信息体进行合成。
2 安全保障模块
安全保障模块是以信息分析,策略制定和实施以及成效反馈为主要步骤来进行的信息安全保障活动。
(1)信息分析。将已经合成的信息进行分析,发现其对自身信息安全产生的威胁,并找到自身信息安全存在的漏洞。(2)策略制定。对信息威胁和发现的信息漏洞进行综合研究,制定}H相关补救策略,同时进一步加强总体性的信息安全保障。(3)策略实施。针对所制定的策略细节进行加密保护,再将加密后的策略信息进行实施和传递存储。(4)成效反馈。基于策略实施后的成效进行反馈研究,并将结果进行加密后返送至信息分析功能板块,通过对反馈的成效分析,查漏补缺,进一步制定和完善信息安全保障策略。
3 安全保护模块
安全保护模块的主要功能是保密措施,其运行机制在于对安全保障模块中保障措施的实施和反馈进行的加密保护,并通过一系列实践活动进一步对策略的实施给予保障。
三、实验分析与验证
(一)信息清理
目前从网络销售平台中,将某手机品牌制造企业生产的E型手机选取三条相关信息:
信息1:本品牌产品本月综合关注排行有所提升;
信息2:此E型手机的总销量为近两百四十台;
信息3:此E型手机本月销量上升一个百分点。
(二)信息挖掘与集成
现分别将以上三条信息的关键词进行挖掘与集成,即如下表所示:
(三)安全保障
根据集成信息进行分析,可以得出本产品具有一定的市场潜力,在品牌效应促使下产品销量也正在逐步提升,因此,保障品牌的可信度以及产品的好评率是取得客户信任的关键一环。针对此现象,制定出进一步打造品牌效应,加强广告宣传力度以及实行产品促销活动,争取更广泛的客户群体的提升策略。
在策略进行的同时,开展有偿回访,积极深入了解客户的内心需求,并针对客户的需求进一步完善产品的功能,并在产品平台的基础上研发功能更加全面的软件,进行升级下载。
(四)安全保护
在策略制定的过程中,为了获取准确的客户信息。需要在客户回访中,深入了解客户购机的背景以及用途,同时进行多层次的交流以及实行多次的效应评估和完善评价。在品牌宣传的过程中实施相关信息的及时反馈,并在促销活动中体现品牌诚信以及公信度,从而进一步保障策略准确的实施和虚假异化信息的有效防范。
四、结论
信息是人及其活动中不可缺少的要素之一。在社会信息环境中,信息异化会促使人们表现出对自己创造的信息环境的不适感。针对信息异化现象的控制,需遵循信息生产、传播和利用的利他法则。因此,信息行为也必须像其他行为一样受道德与法律的双重规范的约束。对于信息异化的控制,需努力寻找其根源,从多个角度进行控制研究,有效控制信息异化。
通过对于目前所提出的信息异化环境下的企业信息安全保障系统的阐述,我们可以从中发现系统性综合性的信息安全保障模式可以在信息异化的环境下,针对特定的信息进行相关异化分析,并在内部和外部环境下的信息综合评价进行安全保护。但作为系统性的运作模式,各模块由于其间特性的不同,从而导致的模块之间的衔接较为简单,因而形成了信息安全保护相对较低、对于个别综合性较大的异化信息所需进行的处理力度略显不够的状况。因此,进一步提升信息安全的防范指数,促进信息异化环境下的信息安全运作系统各模块间的衔接,下一步所需研究的核心问题。
参考文献:
[1]刘丹丹,孙瑞英,网络环境下信息异化的心理原因探析[J]图书馆学研究,2009,33(4)
[2]孙瑞英。信息异化问题的理性思考[J]情报科学,2007,25(3):340-344
[3]曾忠禄,情报制胜[M],北京:企业管理出版社,2000:281-283
[4]俞培宁,信息异化的成因及对策研究[J],图书馆学研究,2011(3):9-11
[5]张立彬,信息异化的根源及其控制研究[J],情报科学,2009,27(3):338-343
【关键词】信息资产;管理;流程;措施
【中图分类号】F273.4
【文献标识码】A
【文章编号】1672—5158(2012)10-0130-01
1 引言
信息资源是指企业生产及管理过程中所涉及到的文档、数据以及生产和承载数据的软硬件系统(设备)的总和。国务院颁发的《2006-2020年国家信息化发展战略》指出:“进入21世纪,信息资源日益成为重要生产要素、无形资产和社会财富”,正式明确信息是一种资产。
信息资产是指由企业拥有或者控制的、能够为企业带来经济利益的信息资源,企业信息资产具有来源渠道多、更新周期快、分布范围广、流转频率高、公私通用性强、配件调换方便等特点,因此,企业信息资产管理,既有别于传统意义上的固定资产管理,也不同于ERP(企业资源计划)、EAM(企业资产管理)等系统中的资产管理概念,它在具备常规企业资产管理特征的同时,更注重于资产的识别及其动态的管理,进而为ISMS(信息安全管理体系)提供准确、可靠的识别信息,为企业信息和承载信息的网络环境、终端设备及业务应用的安全稳定运行提供基本保障。
2 信息资产管理现状分析
随着企业信息化水平的不断提高,信息资产管理对信息网络安全管理与信息系统运维管理的影响越来越大。为此,国家电网公司下发了“信息计划(2008/37号文件”,将信息资产中的物理资产和软件分为7大类31小类(不包括复印机、照相机、录像机等办公设备和移动存储介质),要求建立包括设备序列号及各种性能参数的资产信息数据库和设备台账,并定期统计、上传信息资产报表,其目的是实现企业信息资产“账、卡、物”一致和资产存在状态“可控、在控、能控”,以满足信息安全管理需要。
同时,国网公司还通过信息安全技术督查和信息网络综合运维监管系统,进一步加强了企业信息资产监管工作力度。尽管如此,我们的信息资产管理还是存在着制度不健全、台账不完整、存在状态不清楚、报表数据不准确等问题,不能满足企业网络及信息安全管理需要,主要原因是:
第一,信息资产的所有权与控制权分离,管理手段落后、监管乏力。长期以来,企业信息资产一直是二级单位使用、信息部门统计、财务部门监管,实际上是二级单位在行使常用信息资产的调配控制权。资产管理、统计报表、配置审批相互脱节,管配置的不掌握资产的配置情况和用户需求,管资产的不知道资产的存量情况和存在状态,信息管理部门则是无法全面掌握资产的来源、数量、配置及具体使用情况。
第二,信息资产来源渠道多、配置变化快,统计报表不能真实反映企业信息资产现状。企业信息资产除正常计划购置外,还有工程项目配套的、业务应用系统建设附带的、推广应用项目配备的、工作需要特批的、主管部门下发的、其它费用变通的等等,由于没有有效的归口管理制度和专职信息资产管理人员,信息管理部门不能完全掌握资产来源情况,现有信息资产报表不能真实反映企业信息资产的实际情况,更不能为信息安全管理提供准确、可靠的数据保证。
第三,信息(数据库和数据文件)管理近乎空白,企业数据资源浪费严重。现行的信息资产管理还局限在物理资产(含软件)管理的层面上,对其它资产,尤其是最为重要的资产——信息的管理,还没有纳入信息资产管理工作中。企业信息化过程中产生的大量运行数据,大都是根据业务应用情况分别存贮,作为历史数据保存下来,并形成一个个信息孤岛。业务系统升级或更新改造后,许多历史数据没有导入新系统,而是随着原系统的报废而被束之高阁,并将随着业务管理人员的更新和时间的流逝而被遗弃。
3 规范管理信息资产的具体措施
规范信息资产管理流程、完善信息资产管理措施,是提高信息安全技术督查管理水平、提高企业信息网络安全可靠性的基础和保证。
3.1 健全制度、规范流程是信息资产“可控、在控、能控”的保证。
根据国网公司资产全寿命周期管理、信息系统运行维护工作规范、信息资产统计报表、信息安全督查规范等文件要求,梳理工作内容与管理流程、明确岗位职责与业务关系,建立以“信息资产数据库”为核心、信息管理部门归口负责、专人管理的企业信息资产管理与考核体系,明确相关部门的职责、权限和义务,确保信息资产管理部门与物资采购、财务核算、人力资源、系统运维等部门齐抓共管、密切配合,实现企业信息资产管理与“人财物集约化”、“信息网络综合运维监管系统”的在线联动、信息共享。
3.2 集中管控、统一调配是信息资产台账准确、“账、卡、物”一致的关键。
企业信息资产集中管控、归口管理、统一调配,二级单位或个人只有使用权没有调配权,用户对所用资产安全负全责。作为日常办公工具,信息资产落到个人账上,直至达到报废年限、履行报废程序后,再以旧换新;使用人调换工作岗位后,所用信息资产随人同时调转;特殊情况需要增减配置时,必须履行签报审批程序并按规定调配;使用人退休或调离本企业前,必须履行信息资产移交签字程序,否则人资管理部门不得办理退休或调离手续。
新增加的信息资产严格履行申报登记制度,不管是那条渠道进来的信息资产,到货验收单和使用分配表均须到信息资产管理部门登记造册,保证信息资产数据库的完整性、信息资产台账的准确性和“账、卡、物”的一致性。
3.3 科学管理是降低信息网络安全风险、提高运维水平的基础。
信息网络安全督察和信息系统运维管理需求的日益增长,对信息资产的管理提出了更高的要求。信息资产管理除实现资产基本特性、物理位置、管理责任的登记造册与统计查询外,还应该反映信息资产的逻辑位置、关联关系、存在历史、当前状态、最终去向等管理属性。只有将常规的平面管理方式提升到现代的立体管理方式,才能使信息资产管理与信息网络安全技术管理相辅相成,从而有效降低网络及信息安全风险、提高信息网络运维管理水平。
3.4 数据应用是企业信息化的根本目的、是信息资产管理的更高目标。
有形资产的购置和维护需要成本,信息(数据)的获取和存贮也需要成本。在加强物理信息资产管理的同时,加速研究、制定企业数据(数据库和数据文件)资产的管控制度,将其与物理资产一样管理,并通过对此类资产的开发利用,为企业创造效益。应在完成企业数据总体规划的基础上,规范企业数据库内容及其管理措施;业务应用系统投入运行后,必须建立包括数据库结构、存贮格式等属性在内的数据管理档案;业务应用系统升级或更新改造后,必须将原系统运行数据全部导入新系统中,保证企业数据的连续性和完整性;建立信息资产管理与企业数据的关联关系,以提高数据检索和查阅效率。企业数据的共享和有效利用,是企业信息化建设的根本目的,也是信息资产管理的更高目标。
4 结语
随着全球“数字化”及“物联网”的快速发展,国家电网公司也加快了“数字电网”和“智能化电厂”的建设步伐,企业信息资产将再次急骤增加,相应的信息安全管理和信息系统运维任务也会更加繁重。因此,建立健全信息资产管控制度,明确信息资产管理流程,强化企业数据等无形资产的管理与利用,实现信息资产管理的制度化、程序化、规范化,既是企业信息网络安全和信息系统运维管理的需要,更是企业信息化发展和“数字电网”建设的必然。
参考文献
[1]《国家电网公司资产全寿命周期管理评估指标体系》
[2]《关于开展国家电网公司信息系统设备(软件)统计工作的通知》
一、加强企业信息网络安全优化的重要性
1.1提升现代企业的管理质量
在现代企业的发展过程中,信息安全具有不可或缺的重要作用。因此,加强现代企业信息网络安全优化管理,可保障企业信息的安全性和真实性,同时也可保障现代企业信息系统的可用性和机密性。企业信息网络的安全性得以保障,可为信息系统工作质量提供重要的参考数据。此外,信息网络管理人员要对信息网络优化和管理中体现出的实际问题进行总结,并针对信息系统管理中反馈出的实际问题,在企业内部制定针对性的应对方案和措施。最终,接提升现代企业的管理质量,提升整体管理水平。
1.2为现代企业获得更大的经济利益
任何一个企业发展的最终目的均为获得经济利益,利润是企业发展的主要动力。作为现代企业而言,保障企业的信息安全,并保障信息系统的正常运行,方可在有效安全技术的支持,为企业后期发展创造更大的利润空间。通过对企业近年来的发展情况进行分析和总结,利用数据和统计分析的方法,为企业的发展制定全面的发展方案[1]。同时,在进行数据分析和总结的过程中,可及时发现企业发展中存在的问题,并针对具体存在的问题,提出针对性的解决对策,保障现代企业获得更大的经济利益,获得更大的利润空间。
二、现代企业信息网络中存在的安全问题
2.1企业信息网络安全管理制度不健全
纵观目前我国现代企业的信息网络安全管理现状,仍存在较多的安全问题,其中,最为显著的安全问题就是企业内部尚未建立健全的网络安全管理制度。管理制度的不健全势必造成企业信息网络安全出现问题,例如,企业的网络管理工作中频繁出现违规操作的现象,造成信息网络的正常运行受到影响。
2.2企业信息网络安全管理人员的综合素质相对较低
从现代企业的网络安全人员配置上看,大部分现代企业在发展过程中仍存在技术人员缺乏的现象。企业在缺乏专业的技术人员和管理人员,导致企业在发展的过程中难以及时发现信息网络中存在的问题和漏洞。在网络信息技术不断发展的当今社会,企业信息网络安全面临着新的发展机遇[2]。当一些先进的技术、管理方式和操作方式引入到企业中,而企业内缺乏相关的专业人才,将造成企业信息系统的安全性和操作规范化受到影响。因此,现代企业的发展过程中,需要解决信息网络安全管理人员专业技能差、综合素质相对较低的问题,保障网络管理人员可及时解决信息系统在安全维护方面的问题,方可促进现代企业的全面发展。但就目前我国大部分企业的信息网络安全管理人员配置情况上看,解决此问题仍需要经历较长的一段时间,也需要企业付出更多的精力和财力。
2.3尚未制定完善的网络安全事故应急处理预案
在现代企业的发展过程中,加强对企业信息和信息系统安全运行的管理至关重要。企业出现网络信息安全是不可避免的,但企业可通过分析总结出现信息网络安全问题的原因,制定针对性的解决对策,预防信息网络安全事故的发生。但纵观现阶段我国大多数企业的发展现状,大多数企业仅仅意识到了加强网络信息安全管理的重要性,但并未在实际行动上体现出来。通过对现代企业的调查,发现大部分企业尚未制定完善的网络安全事故应急处理预案,当信息网络安全事故发生后,企业在面对安全问题上显得手足失措,难以有效应对。而这样的问题,对于信息网络的安全维护和安全管理而言,将造成较大的负面影响,不利于现代企业的长足发展。
三、实现现代企业信息网络安全优化的策略
3.1加强现代企业信息网络系统的规范化管理
在现代企业信息网络安全管理中,要实现企业信息网络的规范化和系统化,首先需要在企业内部制定严格的责任管理制度,加强安全管理。在网络管理中,通过建构多层防御和等级保护体系,加强对信息网络安全的控制和规范化管理。与此同时,企业要在现代化的发展过程中,要保障自身信息网络系统的安全性,要加强对网络性能的检测力度,并将外网和内网进行有效隔离[3],为信息网络系统提供安全管理,并在企业的各部门实现信息系统安全管理。
3.2提升现代企业信息网络管理人员的综合素质
在现代企业的发展过程中,信息网络安全优化和管理是一项相对较为复杂且系统的工作。因此,在信息网络安全优化中,网络管理人员的专业能力和综合素质对安全优化管理的工作质量均可产生决定性作用。这则要求企业要对信息网络管理人员进行定期培训,通过在企业内部开展培训项目可使管理人员的管理能力提升,同时也可培养网络安全管理人员严谨的工作态度,让其意识到信息网络安全优化工作的重要性和必要性。与此同时,现代企业还可组织相关技术人员和专家,对企业信息网络安全优化的相关措施进行专题分析。通过系列的专题分析,可了解企业信息网络运行的实际情况,从而激发现代企业网络管理人员的工作热情和工作积极性。最终,可提升网络管理人员的综合能力,提升现代企业信息网络安全管理质量,提升整体管理水平。
3.3制定企业信息网络安全事故的应急方案
现代企业在发展的过程中,难免会遇到各种各样的信息网络安全问题。鉴于此种情况,不仅要提升网络管理人员的综合素质,加强对信息网络的规范化管理。还需要针对企业自身的信息网络安全管理现状,制定完善的现代企业信息网络安全事故应急预案。在制定应急预案的过程中,企业要将目标性、针对性、合理性以及全面化、规范化等特征融入其中。同时,在信息网络的运行过程中,要针对具体的运行情况,适当增加安全事故模拟演习和模拟训练等,提升信息网络管理人员的警惕性,保持认真的工作态度。只有在日常工作中,加强管理和训练,方可在事故发生时从容应对,最大限度降低信息网络安全事故对现代企业信息安全和自身发展造成的负面影响。
电力企业使用的各种应用软件都有可能存在一定的设计缺陷,这些缺陷通常称之为漏洞。很多的黑客就是利用这些漏洞对企业的应用信息网络实施攻击,而很多的电力企业的局域网和国际互联网是隔离的,这就造成企业的电脑应用软件系统不能及时更新,漏洞不能第一时间修复,一旦木马通过移动存储设备入侵,就会造成难以估量的损失。
1.1电力企业的系统备份缺乏应用经验
当前很多的维护人员对企业重要信息数据普遍采用每周备份,每星期对数据进行一次刻录备份,而在实际的应用过程中,备份的信息数据只有在不断训练中才能保证及时有效应用。但是,从工作实际来看,备份恢复操作演练要比备份本身复杂得多,很多的维护工作人员宁可选择每天备份,也不情愿组织一次数据恢复训练。信息安全网络应该是在建设、运行、维护和管理这几个方面相互结合而的。信息安全是降低其企业风险和减少成本的一个必要的环节。
2.电力企业信息安全与管理问题对策探析
电力信息安全管理是一个技术和管理相互结合的一个问题。除了技术手段啊之外还需要落实安全管理。不断提升企业的信息安全防护等级,紧盯当今世界信息安全防护领域的发展和技术突破,运用先进的信息技术来应对可能出现的安全问题,制定明确的安全防护策略和制度,确保信息安全有制度保障。根据著名的木桶原理,企业信息安全的隐患不在信息的优势环节,而在企业最为薄弱的管理应用环节。立足信息管理的现状和时展需要,尽快构建高效安全的综合性信息安全管理防范体系。
2.1健全电力企业的安全管理与考评机制
在很多的企业、事业单位了,一直都流行并经常验证着这样一个名言:“三分技术七分管理。”从技术的角度来看,防范一般都是已知的各种安全问题和威胁,三分技术;从管理的角度来看,工作是人的工作,人的工作是活的工作,人的工作具有很大的不确定性,这都给安全管理带来诸多的不确定性,管理都是针对人,无论才能哪种安全管理制度来约束,还是使用一定的技术手段来要求限制,目的都是要约束人的行动,规范人的行为,尽可能不给安全威胁以任何机会。为此,就要建立切实可行并认真执行的引进标准、风险评估、技术应用等技术管理机制;通过实行岗位安全责任制,严格明确各方的安全责任,依照法律规定和安全生产标准来建设信息系统和制定管理制度。并定期或不定期开展自查、自评、督查、考评等,把电力企业的安全责任严格落实到人,并将企业信息安全与管理和年读考评直接挂钩,确保制度健全,落实到位。这样每个人都可以清楚的了解自己的职责所在的,员工都会积极的参与到信息安全管理之中。
2.2建立健全“长治机制”,做好信息安全教育培训
电力企业信息安全管理是一项长期系统工程,需要常抓不懈,警钟长鸣,不能风过无形,流于形式。重在落实,长期坚持,永不松懈。电力企业进行信息安全教育培训是确保信息安全的又一重要保障。对企业员工的教育和技术培训直接关乎安全的重视程度和执行效果。只有不断加强教育,才能引起员工对信息安全的足够重视,只有不断及时培训,才能保证员工在技术上有可靠保障。为此,电力企业应建立一整套较为完善的信息安全培训体系,制定翔实的技术培训计划,增强员工的安全意识,提高企业的应对水平。建立信息网络安全按的一个组织系统,控制和开展信息安全的管理权限,并且积极学习关于信息安全的专业知识组建可行性的信息安全系统。
2.3规范使用各种移动存储设备
由于现在各种移动存储设备已经普及,使用的频率非常之高,各级主管部门必须根据实际情况进行综合管理和教育培训。不可能禁止使用,又不能让这些设备滥用。最好的办法就是对员工进行积极教育培训,引导员工科学、适时使用移动存储设备,首先让员工明白,使用移动存储设备可能带来的安全隐患,引导员工减少使用次数,增强安全意识;其次,进行技术培训,引导员工按照插拔要领进行操作,使用读写开关和加密功能,定期进行病毒查杀,使用设备不得违反信息安全的管理制度等等。力争员工养成良好的使用习惯,做到妥善保管,操作规范,严禁外借,及时杀毒,做好双备份等。
3.结束语
关键词:信息化建设;计算机技术;应用实效
前言:
在2015年两会上提出中国未来企业发展趋势将为“互联网+”的模式。随着互联网技术的不断使用,计算机技术逐渐深入到各企业内部,并得到广泛应用。因此,在未来企业信息化建设中企业应更加重视计算机技术的应用,为企业的生产和生活提供有力的信息化技术保证,从而使企业能够可持续发展。
一、企业信息化建设的现状
从2013年12月~2014年12月我国网络使用人群(网民)规模从3.78亿人增长到8.76亿人,互联网在全国人民中普及率达到69.12%,比上一年增长21.03%[1]。与此同时,互联网在我国企业发展中的使用数量也逐年增长,到2013年底我国大、中、小型企业中86.12%的企业使用互联网,将计算机技术应用于企业中。截止到2014年底我国大、中、小型企业计算机技术的使用率同比2013年增长12.32%,也就是说在2015年中国各大、中、小型企业都在进行企业信息化建设,并将计算机技术应用于企业信息化建设发展中[2]。相比于小型企业计算机技术的应用率,大型企业在信息化建设中的应用率更高,我国大型企业通过近几年企业信息化的发展,已经全部步入信息化,完成企业科学管理。
二、计算机技术在企业信息化建设中主要技术手段
(一)信息技术统计技术
企业信息化建设离不开大数据的支撑,作为信息“大爆炸”的产物,大数据的出现对企业信息化建设提出一定考验,充分考量着企业对数据信息的处理能力。信息统计技术在企业信息化建设中的运用,主要表现在对海量数据的收集、整理与统筹优化。基于网络数据大流量表达方式的基础之上,将企业所需信息进行整合与过滤,为企业决策留住高效信息。
(二)企业信息安全技术
基于宏观角度分析,当前企业在信息化建设开展的过程中,信息安全影响因素屡见不鲜,造成企业内部出现大量的信息安全问题。针对这一问题,企业信息安全技术的运用,对提高企业信息安全程度以及等级效用明显。对于信息安全技术而言,主要包括访问控制、防火墙控制以及信息加密等。1.访问控制访问控制是网络安全防范与保护的重要策略,同时也是当前企业应用相对广泛的安全技术手段之一。访问控制技术,主要任务是保障网络资源的安全性,避免被非法使用与访问,对维护企业自身网络体系安全以及保护网络资源十分重要。访问控制涵盖的范围相对广泛,该安全技术通过制定出系统性的方案,将标识当中的功能进行描述,形成组织并托管,将企业所涉及到的数据及资源进行整合,将接口端与权限引擎相结合,给出权限功能,回答的方案包括有、没有以及故障等因素。2.防火墙控制防火墙是近年来发展起来的一种能够充分的维护计算机网络安全的技术性措施,根本目的是维护网络安全,对黑客行为建立屏障及规范。同时,防火墙控制技术,能够对通信系统的进出门槛设置。进而在边界建立通信监控系统以及隔离内部与外部网络,最大限度上的阻挡外部网络方面的侵入。当前所产生的主流防火墙技术,具体包括三种类型:过滤防火墙、防火墙、双穴主机防火墙。3.信息加密企业信息化建设主要是针对信息因素进行管理与应用,当前在具体应用的过程中,信息加密的根本目的是保护网内数据、文件、口令以及控制信息等,确保网上传输的具体数据。网络加密在企业信息管理方面的应用,主要包括加密的常用方式,包括链路加密、端点加密以及节点加密方法三种[3]。
三、计算机技术在企业信息化建设中具体应用
(一)在企业日常管理中的应用
当前企业已经初步形成信息化建设体系,企业对计算机技术方面的要求较高,强调网络制度对企业信息化建设的重视程度。企业信息化建设的是指因素,则是通过计算机对企业网络定期维护以及日常事物方面的管理进行充分研究,掌握企业生产过程、事物处理、现金流动以及客户交易等多方面的内容,在完成整合与处理之后,制定具备针对性的措施。在有关信息整合以及提供决策之后,能够满足自动化以及远程控制指标,例如对制造企业而言,日程管理方面工作流程的优化,在信息化自动控制以及网络技术帮助下,能够对整个生产流程进行全面监督,为产品质量提供基础保障。
(二)在企业生产经营中的应用
计算机技术在企业信息化建设方面,对企业自身生产经营的有效规范能够最大限度上提升经营成果,使得企业生产经营的各项流程得到优化。诸如对事物决策以及数据管理系统方面等计算机应用技术的内容,提高企业对数据收集的效率及速度,满足企业对生产经营数据的加工与整合,最大限度上的提升信息精准度。企业生产经营活动,是一个有机整体,各个体系的充分融合能够发挥出实效性。基于此,在计算机技术在信息化建设方面的应用,应该结合自身实际情况,将信息各项基本形式进行高效管理,例如对电子文档、视频文件、电子邮件以及多媒体信息等,将现代化办公与计算机技术相结合,推动企业生产经营活动的快速发展。
总结:
通过全文对计算机技术在企业信息化发展中应用的讨论,不难看出,计算机技术的应用,是企业信息化发展的重要手段。在企业信息化发展中要合理利用计算机技术,将计算机技术应用于企业整体工作流程中,从而推动企业实现全面信息化建设。研究结果表明,此次对计算机技术在企业信息化中的应用,效果明显,实效性较强。
参考文献:
[1]王冰.企业信息化规划方法研究与应用[J].河北企业,2015,01(05):18-19.
关键词:电力;信息化;安全问题
1 电力系统网络信息安全的概述与现状分析
电力系统的信息安全不仅可以保障电力生产运行的安全性,还是电力企业对用户供电可靠性的重要保证。电力系统网络信息安全是一项涉及到电力的生产、经营和管理等多方面的系统工程,它控制着电力系统中电网调度自动化、继电保护装置自动化、配电网自动化、变电运行智能化、电力负荷控制、电力市场交易以及电力营销等环节性能的正常发挥。根据电力工业的特点,再结合电力工业信息网络系统和电力运行实时控制系统,对电力系统信息安全问题进行分析,发现许多电力系统中的信息工程没有建立一个完整的安全体系,只是以防病毒软件和防火墙来作为安全防护,有的甚至连信息安全防护设施也没有,从而给电力系统网络信息安全埋下了许多安全隐患。针对此现象,电力企业必须尽快对电力系统建立一个计算机信息安全体系以保护电力系统网络信息的安全。
2 电力企业网络信息安全问题概述
2.1 电力企业中信息化部门的建设不健全
在电力企业中,电力信息部门没有受到应有的重视,它既没有配备专门的机构设施,也没有设立专门的岗位进行作业,更没有规范的制度进行管理,从而根本无法满足电力系统信息化对人才和机构的要求。
2.2 电力企业的信息化管理还跟不上信息化发展的速度
信息技术在电力系统中的应用与发展已越来越广泛,然而电力企业针对电力信息化的管理还比较落后,无法跟上发展速度,从而导致信息系统的功能无法完全的发挥出来,对电力系统的作用也不尽如意。
2.3 电力企业安全文化建设中网络信息安全管理所处的地位不恰当
现在,信息安全管理在电力企业安全文化建设中仍然是处于从属地位,从而阻碍了信息安全在电力行业中的发展。因此,电力企业要重视信息安全管理的发展,使其成为企业安全文化的中坚力量。
2.4 电力企业网络信息安全中存在着多方面的风险
电力企业网络信息和其他的企业网络信息一样,存在着多方面的安全风险,例如:网络结构设计不合理的风险、来自互联网的信息干扰风险、来自企业内部的操作不当风险、病毒的侵害的风险、管理人员素质低风险、系统的安全风险等。
3 电力企业网络信息安全问题的原因分析
3.1 电力企业对网络信息安全防护的意识薄弱且管理不够
技术人员对电力系统网络信息的安全意识薄弱,经常性的忽视了对其安全性的管理与防护,并且电力企业更侧重于网络效应,对信息安全的重视还远远不够,管理和投入也达不到安全防范的要求。因此,电力企业的网络信息安全一直都处在被动的封堵漏涮状态。
3.2 电力企业中网络信息安全的运行管理机制不完善
现今我国电力行业中对电力系统的运行管理机制还存在着一些缺陷和不足,如网络安全管理方面的人才欠缺、网络信息安全防护措施的不完善及实施不到位、缺乏综合性的安全解决方案。
4 电力企业网络信息安全管理内容的介绍
4.1 网络信息安全风险的管理
对于网络信息安全风险的管理首先得识别企业的信息资产,再对威胁这些资产的风险进行预估与统计整理,最后假定这些风险的发生给企业所带来的灾难和损失进行评估,从而达到对风险实施降低、避免、转嫁等多种管理方式,为管理部门企业信息安全策略的制定奠定基础。
4.2 企业信息安全策略的制定
信息安全策略要作为电力企业安全管理的最高方针,它的制定必须由企业的高级管理部门进行审核通过,并要以书面文档的形式进行保存与企业员工之间的传阅。
4.3 企业员工的网络信息安全教育
信息安全意识和信息安全管理技能的培训是企业安全管理中的重要内容,其实施的力度将直接影响到企业安全策略的认知度和执行度。因此,电力企业的高级管理部门要对企业的各级管理人员、技术人员以及用户等多加开展安全教育活动,使他们能够详细的了解企业信息安全策略,并执行到位,从而有效的保证电力企业网络信息的安全。
5 电力企业网络信息安全问题的解决措施
5.1 加强电力系统网络信息的安全规化
企业网络安全规划的目的就是为了对网络的安全问题有一个全方位的认识与了解,培养人们能够以系统的观点去考虑与解决安全问题。因此,电力企业要加强对电力系统网络信息安全的规划,建立一套系统全面的信息安全管理体系,从而达到对网络信息安全的有效管理。
5.2 加强电力企业信息网络安全域的合理划分
电力企业的信息网络实施的是特理隔离法,因此在其内网上要加强安全域的合理划分。这就需要结合电力系统的整体安全规划和信息安全密级进行逻辑上的安全域划分,其一般划分为核心重点防范区域、一般防范区域和开放区域,其中的重点防范的区域是电力企业网络安全管理的中心部分。
5.3 加强企业信息安全管理制度的建立
电力企业网络信息安全的管理需有安全管理制度作为其基础与依据。因此,要加强对电力企业信息安全管理制度的建立并将其落实到位,例如,加强企业对网络信息安全的重视程度,加强网络安全基础设施和运行环境的建设,坚持安全为主、多人负责的管理原则,定期进行安全督导检查。另外,还需加强电力系统运行日志的管理与安全审计,建立一套企业内网的统一认证系统,以及建立一套适合电力企业的病毒防护体系等。
5.4 加强企业工作人员的网络信息安全教育
加强企业工作人员的网络信息安全教育对电力企业的信息化安全来说也十分重要。企业在开展网络信息安全教育工作时要注意其层次性,特定人员要进行特别的安全培训。对信息安全工作的高级负责人和各级管理员的安全教育工作重点是要加强他们对企业信息安全策略和目标的充分了解,加强他们对企业信息安全体系和企业安全管理制度的建立与编制工作的完成。对于信息安全运行的管理维护人员的教育工作则是要加强他们对信息安全管理策略的充分理解、安全评估基本方法的熟练掌握、安全操作和维护技术运用能力的大力提升。对于那些关键、特殊岗位的人员可以将他们送往专业机构进行专业特定的安全知识和技能的学习和培训。
6 结束语
电力网络信息安全的管理问题是一个全面系统的工程,网络上的任何一处风险都有可能导致整个电力网的安全问题,我们要用系统的观点进行电力网络安全问题的分析与解决。网络信息安全问题的解决可以利用行政法律手段和各种管理制度以及专业措施来进行,其中技术与管理相辅相成。电力系统网络信息安全问题的解决需建立一个有效的运行管理机制,加强网络风险的认知和人员安全意识的培训,将有效的安全管理贯彻落实到信息安全中来。另外,在电力企业中建立安全文化,并将网络信息安全管理在整个企业文化体系中贯彻落实好,使其成为中坚力量才是电力信息化安全问题的最基本解决办法。
参考文献
[1]周冰.电力信息化切入核心[J].信息系统工程,2003.
