时间:2023-10-12 09:41:42
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇企业信息安全意识,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
关键词:企业 文化建设 信息安全
世界上每分钟就有2家企业因为信息安全问题倒闭,而在所有的信息安全事故中,只有20%—30%是因为黑客入侵或其他外部原因造成的,70%—80%是由于内部员工的疏忽或有意泄露造成的,同时78%的企业数据泄露是来自内部员工的不规范操作。根据GooAnn的《2011年度中国企业员工信息安全意识调查报告》结果显示,对于目前有效保护企业和组织信息安全面临的最大障碍,受访者认为最大的障碍是普遍缺乏信息安全意识。因此,提高全员的信息安全意识应该摆到企业和组织信息安全建设的议事日程上来。
意识是人脑的机能对客观事物的现实反映,意识的存在会对事物发展进程起到巨大的促进或阻碍作用。所谓安全意识就是人多种意识当中的一种,是人所特有的对安全生产实现的心理反应,是人的大脑对安全的认识和理解而产生的各种思维,是公司领导到每一位员工对企业信息安全方面的认识和理解,它和安全认识紧密联系,其核心是安全知识,没有安全知识就谈不上安全意识。人的安全意识的实现既要通过思维来获得,也要通过感知来获得。安全意识对生产活动、进行安全操作有调节作用;反过来,生产活动也影响着人的安全意识的形成。
要解决公司存在的问题,仅仅靠技术手段和制度约束是不够的,必须发起一场声势浩大的思想上的变革,才能奠定公司长远发展的文化基础。公司的价值观要能够深入人心,使广大员工产生共鸣;注重个体成长,营造轻松、关爱、严谨的工作和生活环境,让员工从内心认可公司是自己的依靠。
实践证明,企业文化既是文化创新的重要内容,又是经济发展中最具活力的因素。加强企业文化建设,就一头抓住了发展先进社会生产力这个基础,另一头抓住了发展社会先进文化这个枢纽,有利于促进社会生产力的快速发展,有利于促进全社会思想道德水平和科学文化素质的提升,从根本上说,有利于服务社会、服务职工。一个企业如果没有灵魂,就不会有活力,更不会有竞争力和战斗力。
为了提高安全意识,我们就要从安全知识着手。这些知识可以表现为法律法规、规章制度、体系程序、安全图例图画和技能教育等。我们在日常生产活动中利用这些知识来指导和约束生产行为,并对生产活动中的偏差和事故案例产生感知,从而反过来增加了员工们的纠偏知识和预防知识。我们在工作中只有有了安全意识,才能决定我们的工作行为,长期严格地利用正确的安全知识来指导行为,并形成习惯,这就是我们常说的安全行为习惯。因为我们知道意识决定行为、行为决定习惯、习惯决定的素质、素质决定了我们的命运,用我们良好安全意识来掌控我们的命运。安全意识的培养是一个系统的工程,其中安全知识或安全信息贯穿着安全管理的始终。以下我们系统地分析一下如何提高员工安全意识:
一是继承传统文化的精髓,从思想层面上提升员工信息安全意识。认为:“人们自己创造自己的历史,但他们并不是随心所欲地创造,而是在直接碰到的从过去继承下来的条件下创造。”中国企业文化建设也是这样,它应该是在传统文化的基础上进行增值开发,否则企业文化就会失去存在的基础,也就没有生命力。增值开发就是对传统文化进行借鉴,弃其糟粕,取其精华。在增值开发的过程中,要使员工产生强烈的主人翁意识,促进其从思想上主动维护好企业的信息安全。
二是发展灵活多样的形式,从工作层面上提升员工信息安全意识。与国外企业相比,我国企业员工的信息安全意识相对薄弱,对企业员工的信息安全培训形式相对单一,更为严重的是部分管理者甚至认为这种培训一次就够了。仅仅是将枯燥的条条框框翻来覆去的宣传,采取单一而又枯燥的填鸭式的课堂培训,员工不但不会去理睬,还会觉得非常反感。针对现实中存在的问题,我们应该发展形式多样、内容丰富的培训方式。例如:信息安全意识Flash短片,信息安全手册,鼠标垫,海报,电子报等形式,寓教于乐、潜移默化地提高员工的信息安全意识。只有提高了员工的信息安全意识水平,才能真正地提升整个企业的信息安全水平。
三是构建全面立体的体系,从体制层面上提升员工信息安全意识。“无规矩不成方圆”。目前,中国企业中绝大多数缺少全面化、立体化、全过程的员工信息安全意识的体系建设,对员工信息安全意识方面的培训具有随意性,为此,亟需建立这方面的体系。提升企业员工信息安全意识这项工作不是一朝一夕,三分钟热度就能完成的,要有体系的规范,有制度的约束。企业要结合自身的发展特点,构建符合自身需求的员工信息安全意识的体系建设,从体制层面对提升员工信息安全意识提出客观要求。
企业文化是实现企业可持续发展目标的有力保证。企业文化建塑的根本目的,就是用文化力激活生产力,增强凝聚力、执行力和创造力,进而提升企业核心竞争力。“人类因梦想而伟大,企业因文化而繁荣。”一个成功的企业,必须致力于企业文化的建塑,必须千方百计地提升企业员工的信息安全意识,如此才能在激烈的市场竞争中占有一席之地,才能实现全面、快速、可持续的发展。
一、信息化安全管理制度不够完善
由于我国信息化建设起步较晚,我国中小企业相较于西方发达国家信息建设程度还有所欠缺。企业内部对于信息安全管理缺乏科学的规章制度,难以做到信息合理有效的安全防护。安全管理制度的不完善导致了各项制度之间出现混淆,安全职责定位不够明确,安全问题出现无从追求,这种现象在中小企业信息泄露中时有发生。
二、缺乏相关技术人才
大部分中小企业由于对信息安全管理重视程度不够,投入力度较轻,导致安全管理出现盲区。信息安全建设过程中对于相关人才的培养力度不够,企业内部缺少专门的技术人才对安全管理盲区予以修复,进而导致信息泄露。
三、中小企业信息化安全管理完善措施
(一)强化信息安全意识。企业信息安全是企业健康平稳发展的基础,由此中小企业内部每个员工都应该予以承担相应的义务和责任。强化员工对于信息安全的意识,相比于技术安全更值得重视[2]。所以,企业内部必须强化员工信息安全意识,营造内部良好的安全意识氛围,提升员工信息安全防护能力。
(二)完善安全管理制度。有效地安全措施离不开科学的安全管理制度,企业需要强化制度建设力度,做到安全管理有章可循,对于企业内部用户相关信息权限予以限制,明确,减少个人操作可能引发的信息泄露风险。在企业不断发展的过程中,制度应随着企业发展而创新升级,以满足企业发展的需要。
(三)重点培养信息安全管理人才。任何一个企业发展的根本动力都是人才的支持,优秀的人才能够促进企业内部稳定,工作效率提升,企业发展收益增强[3]。在企业发展过程中,安全管理盲区需要相应的技术人员进行定期检查,维护,针对存在的安全隐患及时有效地解决,规避风险的发生。
四、结论
综上所述,中小企业是我国市场经济体制的重要组成部分,是动力先驱,能够极大的促进我国社会主义发展进程,对缓解社会就业压力和社会稳定具有一定的积极意义。目前我国中小企业在发展过程中,安全管理盲区方面仍然存在着部分盲区,造成企业信息的泄露,由此针对其中存在的问题提出合理改善措施,对促进我国中小企业可持续发展具有深远的影响。
作者: 杨俊 涂春仁 郑康维 幸小基
一、外部因素
目前,企业信息系统中的威胁主要来源于外部因素,随着社会的快速发展,在激烈的市场竞争中信息占有非常重要的位置,有很多不法分子会想方设法的利用各种手段窃取企业信息,最终获得经济效益。还存在部分企业在与对手竞争中为占取有利位置会采取不正当手段获取对方企业信息,最终达到击败对方的目的。目前在国内黑客人侵企业网络的主要手段有直接进攻企业信息系统和传播病毒两种。
二、当前企业信息化建设中完善信息安全的对策
(一)树立正确安全意识企业在信息化发展的进程中,应意识到企业信息的安全问题与企业发展之间存在的关联性。一旦企业的重要信息被窃取或外泄,企业机密被泄漏,对企业所造成的打击是非常巨大的,同时也给竞争对手创造了有利的机会。因此树立正确的安全意识对于企业是非常重要的这样才能为后面的工作打下良好的基础。
(二)选择安全性能高的防护软件虽然任何软件都是有可以破解方法的,但是对于安全性能高的软件而言,其破解的困难性也随之增加,所以企业在选择安全软件时应尽量选择安全性能高的,不要为节省企业开支而选择性能差的防护软件,如果出现问题其造成的损失价值会远远的大于软件价格。
(三)加强企业内部信息系统管理首先,对于企业信息系统安全而言,无论是使用哪种安全软件都会遭到攻击和破解,所以在安全防御中信息技术并不能占据主体,而管理才是信息安全系统的主体。因此建立合理、规范的信息安全管理体质对于企业而言是非常重要的,只有合理、规范的管理信息,才能为系统安全打下良好的基础。其次,建立安全风险评价机制。企业的信息系统并不是在同一技术和时间下所建设的,在日常的操作和管理过程中,任何系统都是会存在不同的优势和劣势的因此企业应对自身的信息系统做安全风险评估,根据系统的不同找出影响系统安全的漏洞和因素,并制定出详细的应对策略。
(四)加强网络安全管理意识首先,网络安全管理部门应树立正确的网络安全观念,加强对网络安全的维护,在企业人员培训中加入对人员的网络安全培训,从而使企业工作人员自觉提升安全防范意识,摆脱传统的思维模式,突破网络认识误区。加强对对网络黑客尤其是未成年人黑客的网络道德和法律教育,提高他们的法律意识,从而使他们自觉遵守网络使用的法律法规。其次,应当利用合理有效的方式普及对全体员工有关于网络法律法规及网络知识的教育,以提高他们的网络安全意识。
(五)网络的开放性使得网络不存在绝对的安全,所以一劳永逸的安全保护策略也是不存在的由此可以看出,企业实施的网络安全策随着网络问题的升级而发展的,具有动态特征。因此企业制定的策略要在符合法律法规的基础上,通过网络信息技术的支持,并根据网络发展状况、策略执行情以及突发事件处理能力进行相应的调整与更新,这样才能确保安全策略的有效性。此外企业还应综合分析地方网络安全需求,进一步制定更加完善的网络安全防护体系,以减少网络安全存在的风险,保证信息化网络的安全性。绝大部分的企业信息被窃取都是不法分子通过网络进行的,因此必须加强企业的网络管理,才能确保企业信息系统在安全的状态下运行。针对信息安全的种类和等级制定出行之有效的方案,并提前制定出如果发生了特定的信息安全事故企业应采取哪种应对方案。当企业信息安全危机发生时,企业应快速成立处理小组,根据信息安全危机的处理步骤和管理预案,做好危机处理工作,避免出现由于不当处置而导致的连锁危机的发生。另外,还应在企业内部做好信息安全的培训和教育工作,提高信息安全的管理意识,提高工作人员对安全危机事件的处理能力。
三、结语
综上所述,企在信息经济时代,企业信息的安全问题制约着企业的安全运行,在实施中,应做好前期安全策略的制定、中期安全方案的选择、后期安全服务的跟进,做到全方位的安全把关,进而为企业健康、持续发展打下良好而又坚实的基础。
作者:王静单位:中国联合网络通信集团有限公司洛阳市分公司
【关键词】:信息安全 ;问题;解决方案
【引言】:在中小企业的信息管理系统中存在大量的信息和文件材料,其中有对企业发展至关重要的文件材料,一旦这些信息材料在通过网络传送时被不法分子和竞争对手窃听、泄密、篡改或伪造,将会严重威胁中小企业的发展,所以,提出中小企业信息安全问题的解决方案具有重要意义。
1. 中小企业信息安全存在的问题
1.1信息安全管理意识不强。
相对大型企业来说,中小企业信息资产方面的积累相对较为薄弱,并且很多时候这种积累并非企业的有意识行为,所以在正常的信息化应用情况下,往往会忽视对自己信息资产的保护,而只有在信息资产受到破坏,形成了实际的经济和附加损失的情况下,才会开始意识和重视这信息安全问题。
1.2信息安全管理水平较低信息安全风险较大。
目前的中小企业管理层人员虽然已经认识到了信息化的重要性,但却没有认识到企业信息化管理是需要在企业管理念上进行根本变革才能实现的。信息安全大约70%以上的问题都是由管理方面的原因造成的。他们大多是按照原有的管理模式进行改造,结果造成一种信息化的假象,致使“信息化”走向了徒有其表的误区,信息安全也没有得到足够重视。
1.3人才短缺专业人员匮乏。
中小企业一般很难有足够的吸引力留住信息化及信息安全这一领域的人才。因此,在这种人才短缺的情况下,自然影响到企业信息化的进程。主要表现为:企业一般没有自己的信息化建设人才队伍。信息技术专业人员的知识结构也不能达到要求,掌握技术的不懂管理,懂管理的又不会技术,而且信息安全往往没有专业人员进行管理。
1.4资金短缺。
中小企业的资金状况决定了其信息化投入遇到的限制相对较多。企业相对有限的资金,一般要优先投入到直接促进公司业绩增长的方向,而无形中就造成了信息资产所面临的巨大风险;特别是在当今越来越多的企业业务与互联网有密切的联系,甚至一些企业的业务完全建立在互联网之上,以平均不到企业总收入1%的信息安全投入,怎么能保障这些业务的正常运行?尽可能使投入比例接近常规,至少应该使企业核心信息资产的安全得到保证,从实际情况来讲,在良好的安全理念指导下,进行细致的规划和评估,通过适当的投入也是可以达到较好的整体效果,因为在中小企业的应用情境下,信息安全防御广度是相对容易控制的;设计出体现其规律和特点的真正适合中小企业的信息安全产品,才能从根本上满足中小企业信息安全需求。
1.5中小企业的信息伦理意识不强。
由于某些员工的信息伦理原因而带来的信息安全问题屡见不鲜。在很多时候,企业的员工都会因为某些不经意的行为对企业的信息资产造成破坏。尤其是在中小企业中员工的信息安全意识往往相对比较落后,对于互联网上存在的威胁往往缺乏足够的重视,而企业的管理层对于网络的使用也没有很好的管理手段。
2.中小企业信息安全问题的解决措施
2.1从企业的自身情况考虑
要解决中小企业网络信息安全问题,不能仅依靠企业的安全设施和网络安全产品,而应该考虑如何提高企业自身的网络安全意识,将信息安全问题提升到重视的高度,要重视“人”的因素。具体表现在以下两个方面:
2.1.1提高安全认识
定期对企业员工进行网络安全教育培训深化企业的全员信息安全意识,企业管理层要制定完整的信息安全策略并贯彻执行,对安全问题要做到预先考虑和防备。
2.2.2要求中小企业在上网的过程中要做到“一做三不要”
首先将存有重要数据的电脑坚决同网络隔离,同时设置开机密码,并将软驱、硬盘加密锁定,进行三级保护,其次不要在自己的系统之内使用任何具有记忆命令的程序,因为这些程序不但能记录用户的击键动作甚至能以快照的形式记录到屏幕上发生的一切,同时不在网上的任何场合下随意透露自己企业的任何安全信息,最后不要启动系统资源共享功能,要尽量减少企业资源暴露在外部网上的机会和次数,减少黑客进攻的机会【1】。
2.2从网络安全角度考虑
2.2.1从网络安全服务商的角度来说,服务商要重视中小企业对网络安全解决方案的需要,充分考虑中小企业的现实状况,仔细调查和分析中小企业的安全因素,开发出适合中小企业实际情况的网络安全综合解决方案。此外,还应该注意投入大量精力在安全策略的施行及安全教育的开展方面,这样才能为中小企业信息安全工作的顺利开展提供坚实的保证。
2.2.2要用防火墙将企业的局域网(Intranet)与互联网之间进行隔离。由于网络攻击不断升级,对应的防火墙软件也应该及时跟着升级,这样就要求我们企业的网管人员要经常到有P网站上下载最新的补丁程序,以便进行网络维护,同时经常扫描整个内部网络,以发现任何安全隐患并及时更改,才能做到有备无患【2】。
2.2.3企业用户最好自己学会如何调试和管理自己的局域网系统,不要经常请别人来协助管理。中小企业要培养自己解决安全问题的能力,提高自己的信息安全技术。如果缺乏这方面的人才就应该去引进或者培养相关人才。
2.2.4内部网络系统的密码要定期修改。动态的密码有助于防止黑客的攻击以及来自内部人员的泄密。
2.2.5要经常使用杀毒软件来维护局域网系统不受病毒攻击。现在国内的杀毒软件都推出了清除某些特洛伊木马的功能,可以不定期地在脱机的情况下进行检查和清除。
2.2.6同其它企业进行联合,共同抵制黑客的入侵,一旦被入侵要及时向有关部门汇报,并共同查找入侵来源,锁定黑客IP地址。将网络的TCP起时限制在15分钟以内,减少黑客入侵的机会。并扩大连接表,增加黑客填写整个连接表的难度【3】。
小结
综上所述,我国中小企业的信息安全问题日益突出。由于受到管理水平、资金、技术、 意识等几方面的制约,中小企业完全依靠自己解决所有信息化安全问题是不现实的,它们很难使用大企业中那种复杂的信息安全系统,因此迫切需要适合中小企业自身情况的综合解决措施。
【参考文献】:
【1】 杨江;周小玲; 基于企业的危机信息管理[J];科技情报开发与经济;2009年32期
当前,网络和计算机技术已经推动各行各业进入了数字化时代。数字化的企业承载着业务流和信息流,信息流引导业务流,业务流依附信息流,从而使企业的运行更加安全、可靠、优质、经济。
信息系统承载着企业几乎所有的运营管理信息,其安全性已经直接关系到整个企业的安全可靠运行。信息是企业的重要战略资源,确保其安全是现代信息化企业必须面临的重要任务。
随着企业信息化建设的不断深入,信息安全保障工作的重要性、迫切性日益凸现。如果网络和信息系统的安全隐患得不到有效地防范,企业就极有可能遭受到恶意攻击或破坏。信息安全事故不但会对公司业务、资产、形象造成影响,在某些行业,严重的还会引发区域性,乃至全国性的重大安全事故,其社会危害性无法估量。
据相关信息安全调查报告显示,中国内地企业在信息安全管理方面存在滞后,信息安全与隐私保障方面远远落后于印度。数据显示,内地企业44%的信息安全事件与数据泄露、员工不当操作等管理问题有关,而全球的平均水平只有16%。
调查显示,中国内地企业在改善信息安全机制上仍有待努力,从近年安全事件结果看,中国每年大约98万美元的财务损失,而亚洲国家平均约为75万美元,印度大约为30.8万美元。此外,42%的中国内地受访企业经历了应用软件、系统和网络的信息安全事件。
目前,国内的计算机信息安全从技术角度来看并不十分落后,但发展过程中暴露出很多管理方面的问题,例如信息安全管理人员意识、知识等方面的缺乏,急需大量补充。而且,授人与鱼不如授人与渔,产品不是最重要的,重要的是要培养出安全的意识,否则企业的信息安全人员只是把产品买回去,并不能很好的发挥这些产品的作用,要从根本上解决安全的问题,必须提高员工的安全意识。
二、误区多多,困难重重
面对瞬息万变的安全形势,企业并不是总能对症下药。寻找安全良方,避免种种安全的误区,才是长远的安全和发展之道。
误区1:外部威胁大于内部隐患
要防范威胁,首先要了解威胁来自于哪里。通常,人们都会认为来自于计算机黑客、恶意代码编写者等外部的安全威胁远远大于内部的安全隐患,所以一般企业安全范围的重点是在防范外部黑客攻击,但是超过一半的威胁恰恰来自企业内部,外部攻击仅占46%。
在内部安全威胁中,96%的是源于非蓄意的动机和错误;只有1%才是真正的恶意行为。由此看来,内部威胁之所以危害巨大,归根结底,还是员工安全意识薄弱。
尽管在防范内部威胁方面,大多数企业还没有拿出切实有效的方案。但是从安全调查来看,57.6%的企业已经表示,培养并提高员工的信息安全意识,将是自己所在企业未来一年里,打算采取的最关键的安全策略。企业在未来之所以越来越重视员工信息安全管理,要归结于多个因素:近几年对安全意识的讨论越来越多,为安全意识从“概念”到“落地”做好了准备;安全厂商也在推出越来越多成熟、有效的产品和方案;不少企业的成功应用案例,也提供了很多借鉴性的经验。当然,最关键的是,企业自身的确实存在这样的安全需求,认识到了提高信息安全意识的重要性以及必要性。
误区2:信息安全是IT部门的事,与其他部门无关
在某些企业中,IT部门员工就像是救火队员,哪里出了问题就到哪里,东奔西走,十分辛苦。但是,就是这么一群任务繁重、任劳任怨的员工,却得不到其他同事的理解和认同。当IT人员为其他部门进行安全控制时(如进行安全检查、安装防病毒软件等),其他部门会反感,认为增加了他们的工作量,降低了工作效率。但当真正出现了信息安全事故时,其他部门又会责怪IT部门,认为其平时的安全防范工作没有做好。所以,IT部门往往是出力不讨好。
怎样彻底改变其他部门对IT部门的看法,怎样使公司全体员工主动、积极地配合IT部门的工作,甚至可以做到自查自纠?信息安全意识的提高无疑是关键。员工接受了安全意识宣贯之后,就会认识到保护信息的安全不仅仅是IT部门的职责,更是全体员工的责任;就会理解平时的安全措施不是绑着他们的绳索,而是护着他们的盾牌;就会在主动、自觉地规范自己的行为,防止信息安全事故的发生。
误区3:重视技术产品的引进,忽略安全意识的培养
如今,便携式的移动设备,比如U盘、PDA等,已经相当普及,移动办公已经成为不可逆转的趋势。但同时,U盘中毒、失窃所导致机密信息泄露的事件也屡见不鲜。所以,大多数企业越来越重视对移动设备的保护。许多公司统一采购了具有加密、杀毒功能,甚至可以指纹识别的高科技安全U盘,分发给员工,旨在杜绝U盘泄密事件的再次发生,但往往未能达到预期效果。
严谨的加密技术,配合访问控制技术,虽然可以在一定程度上防止移动设备上的数据被泄露,但依然无法防止员工不规范的使用,和移动设备的丢失或被盗。若员工把加密U盘插入自己的家庭电脑进行办公,那么病毒依旧有可能入侵到U盘中,这样再强的加密技术也无济于事。
和欧美等国家相比,中国U盘传毒的问题越来越严重,并且一直没办法根绝,这和员工缺乏安全意识紧密相关。通常,员工插取U盘时,很少会考虑到是否和公司的安全策略相违背,或者有可能引发公司的安全事故。
三、立体宣贯,提升实力
论文摘要:伴随着企业信息化的发展,信息安全越来越受到重视。针对当前信息安全存在的问题,作者进行了调查,分析了其中的原因,最后从管理学的角度提出了相关的策略和建议。
随着信息技术的发展和网络化应用的普遍推广,各机关组织和企事业单位都开展各类管理业务的信息化建立。企业的发展运作离不开信息系统的安全运行。信息安全通过保护企业信息的机密性、完整性和可用性,不仅保护了企业各类信息资产的安全,还能增强企业的核心竞争力,维护企业的形象和信誉。信息安全对企业的生存和发展的是至关重要的,需要从战略的高度对信息安全进行规划和管理。
一、企业中信息安全管理经常存在的问题
日常安全管理中存在的主要问题,首先是用户安全意识和观念薄弱的占58%,第二位的是网络安全管理人员缺乏培训,占39%;其后,依次是保障经费投入不足、缺乏安全信息共享和安全产品不能满足要求。
不仅在日常管理中,在技术管理方面也存在一定的问题。在CSDN泄密门事件中,专业IT博客“月光博客”撰文表示“整个事件最不可思议的地方在于,像CSDN这样的以程序员和开发为核心的大型网站,居然采用明文存储密码”,“稍微懂一点编程的程序员都知道,为了用户的安全,应该在数据库里保存用户密码的加密信息,这样黑客即使下载了数据库,破解用户密码也不是一件容易的事情” 。可见,有些涉及技术方面的问题,也并不是单纯的技术问题,而是与技术人员安全意识不强、责任心不到位有关。
为了了解企业内部员工在信息安全问题上的看法及所做的努力,我们对一家电子商务企业和一家银行的部分工作人员进行了问卷和访谈调查,发现在企业员工中存在如下一些问题:
1.是信息安全意识方面,被调查者认为信息安全对企业和个人都非常重要。但大多数受访者对信息安全的问题了解很少等。
2.很多受访者认为信息安全属于技术人员的事情;与技术人员的交流非常少;忙于业务,没有时间去处理。
3.是用户认为信息安全管理措施效果不好。有些信息安全行为的规范标准虽然挂在网上或贴在墙上,很少有人去关注;公司发动的信息安全的培训活动没有收到好的效果。
二、信息安全问题的根源
通过对调查的结果进行深入分析,发现导致信息安全事件频发、风险损失严重的原因从根本上来说,有以下几个方面:
1.信息安全是一个多维问题,涉及到企业管理的方方面面。企业在信息安全问题上往往涉及多个部门。有些情况下,无法明确责任,使得信息安全得不到应有的重视以及有效的管理。
2.风险平衡理论认为,人会愿意承担一定程度的风险。这与你采用多少的安全防护措施无关。有时即使有条件可以到达绝对安全的状态,由于人性的缘故,也不会那样去做。
3.信息安全与效率和便利性本身是矛盾的。信息安全加强了,受到的约束也就多了,相应地效率也就降低了。比如简单规律地密码,可以不必费力去记;插入U盘时进行杀毒,必然要耽误时间;没有接入网络,不可能受到网络攻击,但也就失去了网上浏览所需信息、网络交流的自由,因此有人半开玩笑地说:“最安全的计算机是拔掉网络的那台计算机”。
4.由于某些缘故,网络中总是存在黑客,专门窃取信息或破坏网络系统。他们的水平都非常专业,一般的用户难以预防。所谓“道高一尺,魔高一丈”,信息安全的水平总是在这种攻击与防守中进步的。
5.信息安全问题的不确定性。信息安全问题的不确定性主要指是否发生风险的不确定性、无法精确地评估当前所面临的风险以及风险发生所带来的损失的难以把握。
所有这一切因素,都使得信息安全无法得到有效的关注和重视,无法采用有效的措施来预防和避免。这也是导致信息安全事件发生频率居高不下,风险损失较大的主要原因。
三、相关的建议和策略
针对企业信息安全的问题,文章运用管理学的理论进行论述。企业管理涉及四个功能:计划、组织、领导、控制 。
1.从计划的角度来看:企业应当确立信息安全的发展战略,从战略的高度来对待和管理信息安全,确保信息安全所引发的风险达到可以接受的范围之内。从全局角度制定信息安全的策略,确立信息安全的目标,以及实现目标需要的行动方案。
2.从组织的角度来看:人力资源的管理的观点认为,企业的组织结构,取决于组织战略 。在许多企业组织结构中,只有技术部门,没有信息安全管理部门。S.H.(basie) von Solms 曾讨论过,技术管理与安全管理两个部门必须设置成为两个独立的部门,否则无法保证安全评估的客观性。因此有必要设置一个专门负责信息安全管理的部门,这个部门并不负责具体的技术,但是要懂技术,主要是开展企业的安全培训工作、日常的安全管理工作、对存在的风险进行评估,最大限度地降低安全风险。
3.从领导的角度来看:根据wilde的风险平衡理论,一个人会愿意承担一定程度的风险。 “风险平衡”观念会让整个机构处于盲目乐观的过度自信状态,不管是企业的员工还是管理者都倾向于追求效率 ,从而忽视信息安全的投入。
在企业的管理过程中,应当加强信息安全、风险意识方面的培训和教育,增进员工与技术人员的面对面的沟通与交流,开展有效的安全意识活动。
4.从控制的角度来看:对风险的控制要求企业对自己的安全状况不断评估,时时防范。这就要求安全管理部门每隔一定时间向上汇报信息安全的进展情况,定期进行风险评估工作。
文章从管理学的角度来分析信息安全风险管理,对信息安全问题做了实地调查,分析了目前信息安全存在的一些问题,并对存在的问题的根源进行了深入的分析,最后文章运用管理学的理论,从计划、组织、领导、控制四个角度出了相应的建议和策略。
参考文献:
[1]Wilde GJS.The theory of risk homeostasis: implications for safety and health. Risk Analysis 1982;2(04):209-25.
[2]秦志华.企业管理[M].大连:东北财经大学出版社,2011,1.
[3]廖三余,曹会勇.人力资源管理[M].北京:清华大学出版社,2011,9.
关键词:信息安全;防护体系
随着企业各个业务系统的深化应用,企业的日常运作管理越来越倚重信息化,越来越多的数据都存储在计算机上。信息安全防护变得日益重要,信息安全就是要保证信息系统安全、可靠、持续运行,防范企业机密泄露。信息安全包括的内容很多,包括主机系统安全、网络安全、防病毒、安全加密、应用软件安全等方面。其中任何一个安全漏洞便可以威胁全局。随着信息化建设地不断深入和发展,数据通信网改造后,市县信息网络一体化相互融合,安全防护工作尤显重要。如何保障县公司信息网络安全成为重要课题。信息安全健康率主要由两方面体现,一是提升安全防护技术手段,二是完善安全管理体系。安全防护技术手段主要侧重于安全设备的应用、防病毒软件的部署、安全策略的制定、桌面终端的监管、安全移动介质、主机加固和双网双机等方面,安全管理则侧重于信息安全目标的建立、制度的建设、人员及岗位的规范、标准流程的制定、安全工作记录、信息安全宣传等方面[1]。因此,企业要提升信息安全,必须从管理机制、技术防护、监督检查、风险管控等方面入手,并行采取多种措施,严密部署县公司信息安全防护体系,确保企业信息系统及网络的安全稳定运行,主要体现在以下几方面:
1机制建立是关键
企业信息安全防护“七分靠管理,三分靠技术”,没有严谨的管理机制,安全工作是一纸空谈,因此,做好防护工作必须先建立管理体系。一是完善组织机制。在企业信息安全工作领导小组之下,设立县公司数据通信网安全防护工作组,由信通管理部门归口负责日常工作,落实信息安全各级责任。将信息安全纳入县公司安全生产体系,进而明确信息安全保障管理和监督部门的职责。建立健全信息安全管理等规章制度,加强信息安全规范化管理。二是强化培训机制。根据近年来信息安全的研究,企业最大信息安全的威胁来自于内部,因此,企业应以“时时讲信息安全,人人重信息安全,人人懂信息安全”为目标,开展“教育培训常态化、形式内容多样化、培训范围全员化、内容难度层次化”培训工作,为信息安全工作开展提供充分的智力保障。企业应充分利用网络大学、企业门户、即时通讯等媒介,充实信息安全内容,营造信息安全氛围,进而强化全员信息安全意识。三是建立应急机制。完善反应灵敏、协调有力的信息安全应急协调机制,修订完善县公司数据网现场应急处置预案,加强演练。严格执行特殊时期领导带班和骨干技术人员值班制度,进一步畅通安全事件通报渠道,规范信息安全事件通报程序,做好应急抢修人员、物资和车辆准备工作,及时响应和处理县公司信息安全事件。重点落实应对光缆中断、电源失去、设备故障应急保障措施,确保应急处置及时有效。杜绝应急预案编制后束之高阁和敷衍应付的行为。
2技术防护是基础
技术防护要从基础管理、边界防护、安全加固等方面入手[2]。(1)基础管理方面。一是技术资料由专人负责组织归类、整理,设备或接线如有变化,其图纸、模拟图板、设备台帐和技术档案等均应及时进行修正。二是将设备或主要部件进行固定,并设置明显的不易除去的标识,屏(柜)前后屏眉有信息专业统一规范的名称。三是设备自安装运行之日起建立单独的设备档案,有月度及年度检修计划并按计划进行检修,检修记录完整。所有设备的调试、修复、移动及任一信息线或网络线的拔插和所有设备的开关动作,都按有关程序严格执行,并在相应的设备档案中做好记录。四是加强运行值班监视和即时报告,确保系统缺陷和异常及时发现,及时消除。(2)安全隔离方面。安全隔离与信息交换系统(网闸)由内、外网处理单元和安全数据交换单元组成。安全数据交换单元在内外网主机间按照指定的周期进行安全数据的摆渡,从而在保证内外网隔离的情况下,实现可靠、高效的安全数据交换,而所有这些复杂的操作均由隔离系统自动完成,用户只需依据自身业务特点定制合适的安全策略,既可以实现内外网络进行安全数据通信,在保障用户信息系统安全性的同时,最大限度保证客户应用的方便性。(3)边界防护方面。一是部署防火墙,做好网络隔离。在路由器与核心交换机之间配置防火墙,并设置详细的安全防护策略。防火墙总体策略应是白名单防护策略(即整体禁止,根据需要开放白名单中地址)。将内部区域(下联口)权限设置为禁止、外部区域(上联口)权限设置为允许。定义防火墙管理地址范围,针对PING、Webui、Gui三种服务进行设置:只允许特定管理员地址远程管理。二是严格执行防火墙策略调整审批程序,需要进行策略调整的相关单位,必须填写申请单,且必须符合相关安全要求,经审批后进行策略调整。三是严禁无线设备接入。(4)安全加固方面。一是应以最小权限原则为每个帐号分配其必须的角色、系统权限、对象权限和语句权限,删除系统多余用户,避免使用弱口令。二是安装系统安全补丁,对扫描或手工检查发现的系统漏洞进行修补。三是关闭网络设备中不安全的服务,确保网络设备只开启承载业务所必需的网络服务。四是配置网络设备的安全审计功能和访问控制策略。五是开展风险评估工作中,认真分析网络与信息系统安全潜在威胁、薄弱环节,综合运用评估工具,在常规评估内容基础上,加强渗透性验证测试和密码脆弱性测试,重视对系统结构与配置的安全评估。根据评估结果,及时提出并落实整改方案,实施安全加固措施。
3监督检查是保障
全面落实“按制度办事,让标准说话”的信息安全管理准则,在企业指导下,由县公司信通专业牵头,业务部门主导,分工协作建立督查机制,加强过程安全管控与全方位安全监测,推进安全督查队伍一体化管理,完善督查流程和标准,开展好安全督查工作,以监督促进安全提升。一是全面提升责任部门安全人员专业技术水平,加强督查队伍建设。二是完善督查机制,对督查中发现的问题督促落实整改,并开展分析总结,通报相关情况。三是开展常态督查,通过软件扫描、终端监测等手段,确保监测全方位。四是加强考核,开展指标评价。保障督查管理水平和工作质量。
险管控是对策
为确保公司信息化网络安全,公司要将被动的事件驱动型管理模式转变为主动的风险管控模式,主动地对威胁和风险进行评估,主动地采取风险处置措施。通过资源的调控实现对信息安全工作的调控。公司应在信息安全治理过程中大量借鉴管理学方法,进行动态的控制和治理,通过治理的流程控制措施进行资源的调配,实现对关键项目、关键技术、关键措施的扶持,对非关键活动的控制,确保公司信息化网络安全。数据通信网升级改造为企业信息化发展扩展了领域,同时,对信息安全工作提出了新的课题和更高的要求。本文通过分析企业信息化安全管理过程中的一些薄弱环节,提出了安全防护经验的措施,从管理机制、技术防护、监督检查、风险管控等方面入手,提高了县公司全体人员信息化安全意识,极大地保障了企业系统(含县公司)信息网络系统的安全、稳定运行,完善了县公司信息安全策略及总体防护体系,密织信息安全防护网,保障数据网不失密、不泄密,不发生信息安全事件。公司下一步将加强信息化常态安全巡检,加强信息化相关资料的管理,加强单位干部员工的信息化安全培训力度,进一步完善信息安全策略及总体防护体系。提高全体人员信息化安全意识,保障信息化网络安全。企业信息安全建设是一项复杂的综合系统工程,涵盖了公司员工、技术、管理等多方面因素。企业要实现信息安全,必须加强安全意识培训,制定明确的规章制度,综合各项信息安全技术,建立完善的信息安全管理体系,并将信息安全管理始终贯彻落实于企业各项活动的方方面面,做到管理和技术并重,形成一套完善的信息安全防护体系。
参考文献:
[1]马贵峰,马巨革.构建网络信息安全防护体系的思路及方法——浅谈网络信息安全的重要发展方向[J].信息系统工程,2010(6).
电力企业使用的各种应用软件都有可能存在一定的设计缺陷,这些缺陷通常称之为漏洞。很多的黑客就是利用这些漏洞对企业的应用信息网络实施攻击,而很多的电力企业的局域网和国际互联网是隔离的,这就造成企业的电脑应用软件系统不能及时更新,漏洞不能第一时间修复,一旦木马通过移动存储设备入侵,就会造成难以估量的损失。
1.1电力企业的系统备份缺乏应用经验
当前很多的维护人员对企业重要信息数据普遍采用每周备份,每星期对数据进行一次刻录备份,而在实际的应用过程中,备份的信息数据只有在不断训练中才能保证及时有效应用。但是,从工作实际来看,备份恢复操作演练要比备份本身复杂得多,很多的维护工作人员宁可选择每天备份,也不情愿组织一次数据恢复训练。信息安全网络应该是在建设、运行、维护和管理这几个方面相互结合而的。信息安全是降低其企业风险和减少成本的一个必要的环节。
2.电力企业信息安全与管理问题对策探析
电力信息安全管理是一个技术和管理相互结合的一个问题。除了技术手段啊之外还需要落实安全管理。不断提升企业的信息安全防护等级,紧盯当今世界信息安全防护领域的发展和技术突破,运用先进的信息技术来应对可能出现的安全问题,制定明确的安全防护策略和制度,确保信息安全有制度保障。根据著名的木桶原理,企业信息安全的隐患不在信息的优势环节,而在企业最为薄弱的管理应用环节。立足信息管理的现状和时展需要,尽快构建高效安全的综合性信息安全管理防范体系。
2.1健全电力企业的安全管理与考评机制
在很多的企业、事业单位了,一直都流行并经常验证着这样一个名言:“三分技术七分管理。”从技术的角度来看,防范一般都是已知的各种安全问题和威胁,三分技术;从管理的角度来看,工作是人的工作,人的工作是活的工作,人的工作具有很大的不确定性,这都给安全管理带来诸多的不确定性,管理都是针对人,无论才能哪种安全管理制度来约束,还是使用一定的技术手段来要求限制,目的都是要约束人的行动,规范人的行为,尽可能不给安全威胁以任何机会。为此,就要建立切实可行并认真执行的引进标准、风险评估、技术应用等技术管理机制;通过实行岗位安全责任制,严格明确各方的安全责任,依照法律规定和安全生产标准来建设信息系统和制定管理制度。并定期或不定期开展自查、自评、督查、考评等,把电力企业的安全责任严格落实到人,并将企业信息安全与管理和年读考评直接挂钩,确保制度健全,落实到位。这样每个人都可以清楚的了解自己的职责所在的,员工都会积极的参与到信息安全管理之中。
2.2建立健全“长治机制”,做好信息安全教育培训
电力企业信息安全管理是一项长期系统工程,需要常抓不懈,警钟长鸣,不能风过无形,流于形式。重在落实,长期坚持,永不松懈。电力企业进行信息安全教育培训是确保信息安全的又一重要保障。对企业员工的教育和技术培训直接关乎安全的重视程度和执行效果。只有不断加强教育,才能引起员工对信息安全的足够重视,只有不断及时培训,才能保证员工在技术上有可靠保障。为此,电力企业应建立一整套较为完善的信息安全培训体系,制定翔实的技术培训计划,增强员工的安全意识,提高企业的应对水平。建立信息网络安全按的一个组织系统,控制和开展信息安全的管理权限,并且积极学习关于信息安全的专业知识组建可行性的信息安全系统。
2.3规范使用各种移动存储设备
由于现在各种移动存储设备已经普及,使用的频率非常之高,各级主管部门必须根据实际情况进行综合管理和教育培训。不可能禁止使用,又不能让这些设备滥用。最好的办法就是对员工进行积极教育培训,引导员工科学、适时使用移动存储设备,首先让员工明白,使用移动存储设备可能带来的安全隐患,引导员工减少使用次数,增强安全意识;其次,进行技术培训,引导员工按照插拔要领进行操作,使用读写开关和加密功能,定期进行病毒查杀,使用设备不得违反信息安全的管理制度等等。力争员工养成良好的使用习惯,做到妥善保管,操作规范,严禁外借,及时杀毒,做好双备份等。
3.结束语
【关键词】企业信息化;信息安全问题;原因;对策
新时期下,信息化技术在各行业中运用日渐深入,给企业现代化建设与快速发展带来了无限动力。企业信息化建设已成为我国经济信息化建设能否成功的关键所在,也是提升企业自身市场竞争力与企业升级进步的重要保证和标志[1]。但是,企业信息化建设过程中不可避免的出现信息安全问题,给企业正常生产经营带来诸多不利影响。因此,加强企业信息化建设中信息安全管理,已成为现代企业经营管理的一个至关重要的工作。
1企业信息化概述
所谓的企业信息化,指的是实现企业的资金流、物流、作业流、信息流的数字化、网络化管理,实行企业运行的自动化和企业制度的现代化[2]。企业信息化建设涉及了企业生产经营中的各个部门,其主要利用现代化信息技术,通过完善企业内外网络信息系统,实现对企业内外知识与信息资源的开发。可见,建设企业信息化体系,不但可以及时有效的提供各种数据信息给企业决策层,也为企业未来规划设计提供参考依据,而且还有利于企业满足瞬息万变的市场需求,为企业市场核心竞争力的提升带来动力。
2当前企业信息化建设中信息安全问题
企业信息化建设与发展为企业持续、健康、稳定发展发挥了显著作用,但同时也存在着诸多信息安全问题,具体分析主要有以下几方面[3]:(1)当前,绝大多数企业缺乏完善的安全防御系统,导致企业内部使用的信息系统易遭受外部网络系统的攻击,引发企业信息资料被他人截获、篡改与伪造等问题,甚至企业信息系统中出现通信线路、硬盘设施以及其他文件系统遭恶意破坏现象,上述问题的发生不但致使企业信息系统无法正常运行,而且其内部机密信息易发生泄漏,造成企业严重的社会经济损失。(2)针对邮件系统攻击防不甚防。在企业信息系统中电子邮件具有重要的作用,通过电子邮件接收与传送,极大的方便了企业内部间与外部间信息交流与沟通。然而,电子邮件安全问题也日益突出,典型的如电子邮件病毒、垃圾邮件、机密信息泄露以及电子邮件炸弹等,给企业信息传输带来了巨大安全隐患。因此,电子邮件安全问题不可忽视。(3)漏洞攻击日益严重。按照漏洞问题发生原因可分为软件漏洞和协议漏洞两种,其中软件漏洞主要是受外部不法分子攻击软件自身存在的漏洞,造成企业信息泄露等问题;而协议漏洞则主要是由于TCP/IP协议自身在安全机制方面存在的诸多漏洞问题导致,外部不法人员通过攻击TCP/IP协议漏洞,致使企业信息系统遭受破坏。目前情况,很多企业对自身信息系统缺乏成熟的漏洞检测手段和能力,往往事发后才采取补救措施。(4)是Web服务安全问题突出,根据Web服务流程,其发生安全问题的主要组成包括Web服务端安全问题、浏览器客户端安全问题两种。其中,Web服务端安全问题主要是企业Web主机遭受外部不法分子侵入,导致企业保密信息遭窃或者企业部分信息遭受非法篡改等;浏览器客户端安全问题则是企业浏览器客户端遭外部非法分子侵入,致使部分机密信息与数据遭窃等。
3导致企业信息化建设中信息安全问题因素
企业信息化建设中信息安全问题发生受诸多因素影响,具体分析主要有以下几方面[4]:(1)目前,绝大多数企业在信息化建设过程中,对于信息安全问题重视度严重不足。一方面,受传统经营观念影响,企业管理层偏重于对企业生产经营中的有形资产给予关注与重视,而忽略了企业知识与信息资料等无形资源,导致在企业信息安全管理方面各项投入严重不足,进而造成信息安全问题日益凸显;另一方面,多数企业在面对信息安全问题时,存在着盲目乐观现象,认为信息安全问题不至于导致企业正常生产经营,使得信息安全管理无法上升至企业发展规划战略之中,进而造成信息安全问题得不到及时有效解决。(2)由于企业信息化建设在我国尚处于起步阶段,各方面配套管理制度不够完善,特别是缺乏健全的企业信息安全管理体制。受此影响,企业信息化建设中信息安全问题一方面无法得到有效的预防措施,另一方面是一旦发生信息安全问题,无法采取及时有效的补救与解决对策。同时,由于缺乏科学、合理、有效的企业信息安全防护策略,使得企业信息管理人员缺乏必要的安全防护意识与业务素质能力,致使企业信息安全防护软硬件工作质量与效率明显不足。上述两个因素,导致企业无论是从人员配置,还是资金与技术投入方面都严重不足,受企业信息管理人员业务素质能力不足、信息安全技术方法落后以及配套的资金缺乏等影响,企业信息安全防护的措施、手段偏低,造成企业信息化建设存在着严重安全隐患。
4提升企业信息化建设中信息安全对策
针对当前企业信息化建设中存在的信息安全问题,为加强企业信息安全管理,提升企业信息安全保障,可通过采取以下几方面对策,具体有[5]:(1)转变传统企业信息化建设观念,在企业内部管理层从上至下加强对企业信息安全的重视,并树立正确的安全意识。一方面,通过组织各种信息安全管理培训等,增强全体企业员工信息安全意识,确保企业保密信息不外漏;另一方面,逐步加大企业信息化建设中信息安全管理各项资金、技术、人力投入,并建立科学、合理、有效的企业信息安全防护策略,保障企业信息系统安全稳定。(2)不断的推进网络信息技术的发展与运用,促进企业组织结构网络化的实现,同时引进先进的安全防护技术,确保企业信息化系统安全稳定运行。任何网络信息系统都存在着或大或小的安全漏洞问题,而保证其不受外部不法分子侵入的一个关键方法就是安全防护技术的运用。通过选用先进的安全防护技术,可以有效的提高企业信息系统抵抗外来攻击,避免企业信息遭受窃取、篡改甚至破坏等,对于保障企业持续、健康、稳定发展具有显著作用。(3)结合企业信息化建设实际情况,建立健全企业内部信息系统管理体制。一方面,针对信息安全问题,应建立科学、合理、规范的信息安全管理体制,保证企业信息系统安全运行;另一方面,建立健全企业安全风险评估机制,针对不同系统找出影响其安全的因素和漏洞,并制定出最佳的对策,降低企业信息安全风险;此外,加强相应的网络管理,防止外来不法分子通过网络侵入企业信息系统。(4)根据新时期企业信息化建设需要,加强企业信息技术人才、信息管理人才队伍建设,为企业信息安全管理奠定坚实的人才基础。一方面,在企业内部,加强信息技术人才培训,提高企业内部相关人才业务素质能力;另一方面,在企业外部,采取有效措施,积极招聘人才,引进具有先进信息技术型人才;此外,建立健全企业信息安全管理用人机制,激发员工工作积极性,提高工作质量与效率。
5小结
总而言之,企业信息安全事关企业信息化建设是否成功,对于企业持续、健康、稳定发展具有至关重要的作用。因此,应提高企业信息安全管理意识,增强企业信息安全管理机制,促进企业信息安全管理工作质量与效率,保障企业信息化建设顺利开展。
作者:吴捷 单位:中海石油气电集团有限责任公司
参考文献
[1]毛志勇.企业信息化建设的信息安全形势与对策研究[J].科技与产业,2008,8,(1):43~45.
[2]纂振法,徐福缘.浅析企业信息化建设的意义、问题与对策[J].吉林省经济管理干部学院学报,2001,3:24~28.
[3]谢志宏.企业信息化建设中的信息安全问题研究[J].企业导报,2014(06):132~133.
关键词:电力企业 信息化 发展
【中图分类号】TP311.52
随着科学技术的不断发展,信息技术被广泛应用于经济社会的各个领域中,信息化已经成为各企业的重要发展方向。电力企业作为一项关乎国计民生的企业,其信息化的发展程度逐渐引起人们的关注。而随着经济全球化的不断发展和我国市场经济改革的不断深化,电力企业在发展过程中也遇到了极大的挑战,如何紧跟时代的步伐,推行企业的信息化管理,提高企业的信息化程度成为当前电力企业面临的一个重要问题。
我国电力企业的信息化建设起步较晚,而发达国家的重要企业在20世纪80年代便完成了信息化改革,因此,我国的电力企业同国外电力企业相比仍存在着一定的差距。但不可否认的是,我国的电力企业在近些年的发展中仍取得了很大的成果,无论是企业网络架构的建设,还是自动化办公系统、生产监控系统、企业资源管理系统等的应用,都体现了我国电力企业近些年的不断发展和进步。同时,我们也应该清楚地认识到,目前我国的电力企业信息化发展仍处于局部应用阶段,决策支持系统、业务处理系统等仍需要进一步健全。
一、电力企业信息化的意义
电力企业信息化是信息技术迅速发展的必然结果,推进电力企业的信息化程度对于电力企业的发展具有重要的现实意义。首先,信息化系统的建设可以优化电力企业的管理机构。信息技术的应用可以有效地提高企业信息的传递效率,简化企业的管理流程,既抑制了企业冗员和官僚作风的出现,也提高了企业的业务处理效率。其次,信息化系统的建设可以提高企业信息的透明度,提高企业的实时业务处理能力。最后,企业的信息化系统建设可以促进企业的技术创新。通过对企业信息进行整合、处理,可以使员工在遇到问题时能够更快捷地获取信息,通过对收集到的信息进行分析研究提出应变的方法。
二、电力企业信息化系统建设中存在的问题
(一)企业内部机构复杂,信息化进程缺乏系统性
电力企业的机构比较复杂,依据专业、职能等的不同分为很多机构,它们相互依托,相互联系。然而,在推进电力企业的信息化进程中,很多部门都是依据自身的业务需求进行信息化系统建设,而不同部门的系统之间则缺乏必要的联系,导致信息无法实现共享,业务的处理也无法协同。
(二)缺乏统一的信息化标准体系
我国电力企业的信息化系统建设起步较晚,因此还没有制定出统一的信息化标准体系,不同的电力企业应用的信息系统在技术规范、技术标准、信息编码等方面存在很大差异。同时,信息化标准体系的缺失也导致同一企业内部系统无法集成、资源无法共享。
(三)信息安全防护不当
虽然电力企业的信息化系统都安装了防火墙等安全防御系统,但无论是操作系统还是应用软件,都存在着或多或少的漏洞,导致信息安全防护问题的产生。尽管企业的计算机终端设备已进行内外网分开使用,仍有个别人员信息安全意识淡薄,导致违规外联的情况发生;而企业内外网中部分系统或应用的用户口令过于薄弱也可能导致企业信息的泄漏;部分企业的无线网络信号覆盖到企业周边地区,容易被外人侵入等。
(四)信息化管理水平落后
受传统管理观念和管理模式的影响,很多企业管理人员无法适应电力企业的信息化管理模式,导致许多信息化系统无法正常地发挥功能,达不到预期的使用效果。
三、电力企业信息化系统建设的展望
信息化系统建设是电力企业与时俱进、顺应时展潮流的必然结果,也是电力企业提高管理水平、实现现代化管理的重要途径。目前,我国电力企业的信息化系统建设尚存在很多问题,但不可否认的是,电力企业的信息化系统建设已经取得了一定的成就,而且在不断地进步和发展。展望未来,电力企业的信息化系统建设应该从整合信息系统、确保信息安全、建立信息化标准体系以及建立信息系统仿真平台等方面进行发展。
(一)整合信息系统,消除信息孤岛
信息孤岛的存在严重阻碍了电力企业信息化系统的发展,因此,消除信息孤岛、整合信息系统将成为电力企业信息化系统的重要发展方向之一。整合电力企业的信息化系统,首先应该统一电力系统的通信网、数据网和信息网,以便加强企业网络信息的安全性;其次,要整合企业内部不同专业和职能机构的应用系统,对软件、系统等的使用进行统一规定,以便于系统的更新维护和人员的培养;最后,要对不同机构之间的信息化应用系统进行整合,实现不同系统之间信息的交流与共享。
(二)建立安全稳定的信息渠道
网络信息的安全性一直是人们关注的重点,电力企业要建立完善可靠的信息化系统,必须通过多种渠道加强企业信息安全的防范措施。首先,要加强工作人员的信息安全意识,完善责权划分。企业应该依据工作需要、工作性质的不同,对工作人员进行信息安全知识和信息安全技术的培训,提高他们的信息安全意识。同时,企业需要完善内部的责权划分,将责任和权利细化到个人,提高工作人员的责任意识。
其次,要对企业信息化系统实施多层防护,消除潜在隐患。要确保企业所使用的信息产品的自主可控,同时加强系统的防护措施,例如,细化防火墙设置、控制访问权限、实行定点访问等。
最后,企业要加强信息安全的监管。为避免资源的浪费,企业可以依据信息机密性的等级进行不同程度的安全防护隔离,同时,要加强企业网络的访问监管,严格控制一机双系统两网连接和非法连接外网现象的发生。
(三)建立完善的信息化标准体系
完善的信息化标准体系是促进信息交流和共享的重要保障。建立完善的信息标准体系应该从以下几方面进行:首先,要建立统一的企业流程标准体系,为信息化系统的开发应用打下良好的基础;其次,系统的开发过程要实现标准化,无论是信息化平台的建立、信息编码的使用、数据库结构的类型等,都要实现标准化;最后,信息化系统的技术标准和技术规范要统一,这样既方便对项目和产品进行评价,也可以依此进行性能对比。
(四)建立完善的信息系统仿真平台
随着电力企业信息化建设的不断进行,各类信息系统的建设日渐完备,如何为企业培养一批具有一定业务知识和专业技能的信息化人才成为目前亟待解决的问题,信息系统仿真平台正是为满足这一需求而建立的。
信息系统仿真平台是在原有网络、安全、主机三种类型仿真建模的基础上,完成生产管理系统、电子商务平台、灾备应急演练、桌面管理系统等业务系统的仿真建设,在此基础上对企业信息系统的运维人员进行培训、考试、竞赛等活动,为企业构建“持续培训、阶段考试、持证上岗”的系统化人才队伍建设体系,促进企业信息系统运行的规范化、标准化。除此之外,信息系统仿真平台还可以根据具体业务的需要,完善相应的工具和场景设计,以产品化的方式为企业提供最佳的解决方案。
参考文献
[1] 李羡.浅谈电力企业信息化建设[J].山东电力高等专科学校学报,2009,10(5):78-80.
1企业信息安全相关概述
1.1信息安全的含义
迄今为止,对信息安全依然没有一个统一和公认的定义。但是从国内外研究来看,对其主要存在2种说法:一种指的是具体信息安全技术系统的安全;而另一种则指的是某些特定的信息体系的安全。上述2种定义主要站在静态的角度上阐述了信息安全的基本层面,但是信息系统和网络的影响决定了信息安全是一个动态的改变,其主要是防止企业信息遭到恶意泄露、破坏、更改[1]。信息安全的最终目的是向合法的对象提供安全、可靠的信息。
1.2信息安全在企业中发挥的重要作用
企业信息作为企业的宝贵资源,保证企业信息的安全性对企业的生存和发展具有重要作用,主要体现在以下3个方面:一是企业信息安全是保障企业正常运行的基本前提。在网络时代背景下,企业信息安全的内容更广泛,再加上现代企业制度的不断建立和完善,越来越多的企业依靠信息数据库开展各项工作,例如:对于市场情况的分析、做出重大决策等等。二是保障企业信息安全是提高企业市场竞争力的必备条件。随着市场经济的不断完善,企业面临的竞争也越来越激烈,在这种形势下,企业要想获取市场竞争优势就需要依靠信息安全来实现。三是企业信息安全作为企业发展战略中重要的组成部分,而企业实施各项战略主要是通过自身的经营活动、财务信息等开展的,这些数据也能够将企业的战略实施方法以及下一步计划详细地反应出来,因此,如果企业的信息安全无法得到保障,那么企业要实施各项战略难度也很大。
2网络时代下企业信息安全风险分析
2.1缺乏高度的信息安全风险意识
在网络时代的浪潮下,很多企业都在逐步加强自身信息安全的建设,通过加大资金投入、创新技术等措施来保障自身的信息安全,然而,对信息风险的控制并非仅仅依靠技术就可以实现,更重要的是人们要树立起信息安全的风险意识。但是从当前来看,还有很大一部分企业的领导者、管理者、员工缺乏对信息安全风险的高度重视,主要表现在:个别人甚至片面地认为信息安全仅仅是网络部门的责任,跟自身没有多大关系;二是有个别企业领导者认为对信息安全的宣传过度夸张,遭受网络攻击的概率小,一般不会发生在自己身上;三是个别企业没有建立信息安全风险管理体系,再加上企业缺乏具体的故障系统,导致企业信息安全遭到风险时,员工往往手足无措,虽说有些企业针对自身的信息安全制定了一系列规章和制度,但是由于缺乏针对性和操作性,导致这些制度无法得到真正落实。
2.2应用系统的安全性不高
企业要实现信息化建设的目的,少不了各种应用系统作支撑,但是从实际情况来看,很多企业还存在着应用系统的安全性不高等问题,进而导致企业在数据传输和存储等方面存在漏洞。如此容易被一些病毒、恶意软件窃取,实现非法访问,进而引发企业信息丢失或者泄露等安全风险。另外,很多企业应用系统的安全方模式也较为单一,绝大部分主要是采用“口令”的方式进行认证,无法实现对信息安全全方位的防范。另外,企业设置的密码过于简单、操作不规范等等都会增加应用系统安全的风险。
2.3技术设备和设施的作用发挥不足
个别企业为了防范信息安全风险,针对一些重要信息设置了安全设备,但是由于操作条件和参数设施不够合理,无法将这些设备的作用充分发挥出来。还有很多企业没有通过建立工作日志来对安全设备、设施的运行情况进行监控,进而不能根据企业的经营情况对信息安全进行风险控制,更无法采取有效措施保障企业风险管理。
3网络时代下控制企业信息安全风险途径分析
3.1加强信息安全教育,提高信息安全风险意识
由于在企业信息安全控制中,提高员工的信息安全意识是保证企业信息安全的决定性因素,因此,企业应该加强对员工的信息安全教育,帮助员工树立起信息安全风险意识,例如:企业可以利用一些重大节日开展关于信息安全的演讲比赛、征文比赛,也可以通过建立适当的激励制度以及开展培训活动等途径来加强员工对信息安全重要性的认识,进而提高自身的信息安全风险防范意识和观念。
3.2加强信息化建设,设置信息安全管理部门
在企业信息化建设中,信息安全作为重要的基础,企业要强化自身的内部控制,就应该落实信息安全的建设工作。加强信息化建设首先需要企业将信息安全纳入安全管理范围内,进而突出信息安全建设管理的重要地位;然后不断健全信息安全的责任制度,争取形成信息安全联动管理机制,确保信息安全管理的有效性;最后,在企业中设置信息安全管理机构,该部分的主要职能为企业信息安全建设、管理以及员工的信息安全教育培训工作等,从而为企业的信息安全风险控制创建一个良好的内部环境[2]。
3.3运用新技术,加强信息安全风险防范
当前控制信息安全风险常见的主要有VPN技术和防火墙技术:(1)VPN技术。VPN主要指的是在公共网络的虚拟专用网络中建立一个临时的安全链接,在通常情况下,对VPN内部进行扩展可以实现远程操作,建立一条分公司、商业合作商和供应商跟公司内部网络安全联系,从而确保信息交换的安全性,保证数据传输的安全性。(2)防火墙技术。防火墙也被称为访问控制系统,主要是通过对网络做拓扑结构和服务类型上的隔离来保障网络安全。运用防火墙技术可以保证企业的内部网络免受外部网络的侵占,并阻断非法访问的外部网络进入企业内部网络,保证企业信息和资源的安全。
4结语
【关键词】企业信息化建设;信息安全问题;防范措施
当今是信息爆炸时代,信息化时代的到来给企业带来了更为广阔的发展空间。企业通过互联网渠道搜集海量信息,为企业产品推广和联系客户提供了平台。当前,尤其是伴随着“两化融合”的推进,许多的企业都意识到加强信息化建设对自身发展的重要性,加大了对信息化建设的资金、人力投入,以促进企业走向信息化发展道路。但伴随着企业信息化建设过程中也出现了一些信息安全问题,例如:不法分子采取技术手段窃取企业重要信息进行不正当交易。企业重要信息一旦泄露,很可能会给企业带来严重的经济损失,严重者可能会造成企业倒闭。因此,作为企业而言在加快信息化建设的同时绝对不能忽视信息安全问题。深入性地分析信息安全问题产生的原因,积极采取有效措施,减少或者避免信息安全问题的发生。
1企业信息安全问题分析
就当前企业信息化建设中存在安全问题的原因来讲,只要主要有内因和外因两种。具体分析如下:
1.1内部原因
1.1.1企业信息系统安全意识薄弱
当前,多数企业都意识到信息化建设对自身发展的重要性,加大了信息化建设的投入力度。但因缺乏实践指导,管理层信息化意识缺乏,发展盲目,对信息安全问题往往忽视,使得信息化系统运行过程中出现不同程度的安全问题。
1.1.2信息安全软件技术不高
当前国内的信息安全软件技术虽然发展较快,但同国外发达国家的信息安全软件技术水平相比,差距仍旧比较大。并且信息安全软件是“盾”,黑客病毒是“矛”,防范措施总是很难赶上病毒以及黑客的发展。
1.1.3管理缺乏规范
部分企业由于没有从思想上认识到信息安全问题的危害性,重投入,轻管理,空有信息系统却管理混乱,没有建立有效的安全问题防范机制,这就给恶意人员侵入企业信息系统提供了机会,造成企业的重要信息被窃取或丢失。
1.1.4专业技术人员缺乏
一般而言,企业信息安全系统的维护和升级都要有专业的技术人员操作。但由于企业的高层对于信息化的认识程度、企业的发展程度差异,导致部分企业没有配置专门的管理技术人员,设备与系统缺乏专业的维护管理。
1.1.5信息安全问题的相关法律不够健全
针对当前国内危及企业信息安全的违法犯罪行为,我国还没有相关的法律法规体系,导致这种类型犯罪较难管理,企业因信息被窃取而造成的经济损失,也很难获得合理赔偿。
1.2外部原因
现阶段,企业信息系统受到的威胁主要来源于外部。随着现代信息技术的高速发展,信息逐渐在市场中突显出其重要作用。一些不法分子看准信息对企业发展重要性的这一点采用不同手段来窃取企业的一些重要信息来谋取利益。此外,还有一些企业为了能够在市场中取得竞争优势,也会采取一些不法手段来获取其他竞争对手的信息,借以打压竞争对手。
2企业信息化建设中安全问题的应对措施
2.1企业应提高信息安全问题防范意识
企业应提高信息安全问题防范意识,将信息安全问题防范工作上升到企业战略层面,将其放在企业信息化建设工作的重要位置,立足长远,合理规划,重视信息化建设中信息安全问题的防范,加强对信息安全问题的研究,积极采取有效措施防范可能会发生的信息安全问题,建立长效机制。
2.2正确选择信息安全防护软件
目前,企业在信息化建设中对于信息安全问题往往会采用信息安全防护软件方式来防范安全问题。但有些企业在选择信息安全防护软件时没有注重信息安全防护软件的质量,有时候选择一些防护性能弱,价格低廉的软件。使得信息安全防护软件起不到防护功能。即浪费了企业资金,由起不到应有的效果。
2.3加强企业信息系统管理
我们知道,不管是任何安全防护硬件或者软件都不是完美的,都存在一定的漏洞,都有可能遭到破坏和攻击,使其失去防护功能。所以,其只是辅助措施,对于信息安全防护工作不能完全依赖技术手段,以为只要采购好软硬设备旧高枕无忧了,而是要在拥有技术手段的同时,加强日常管理,建立长效管理机制。通过健全的信息安全管理制度,并且管理人员切实贯彻落实才能防患于未然。建立信息安全风险评估体制。基于企业的信息系统不是在同一时间和同一技术支持下所建立的,所以在信息系统运行管理中各个系统可能存在的运行安全隐患是不同的。这就需要企业根据系统的不同找出各自的不安全因素和漏洞。建立完善的信息安全风险评估体制,通过量化分析,制定切实可行的信息系统运行风险防范措施。加强网络管理。企业的信息系统遭到破坏,信息泄露都是企业外的一些不法分子通过网络来窃取的。因此,企业内部应建立完善的网络管理专业人才队伍,加强对网络安全管理,给企业信息系统的运行提供安全可靠环境。
3结语
总之,加强信息化建设已经成为当前企业必须要重视的课题。在企业信息化建设快速发展的同时,信息系统安全问题也越来越突出,给企业信息系统的可靠性运行造成了不同程度的影响,所以,企业应重视信息系统安全问题的分析和研究,采取有效的信息安全防范对策,确保企业信息系统的安全、稳定、可靠运行。
参考文献
