时间:2024-02-24 09:42:54
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇企业信息安全管理,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
【关键词】 信息安全 违规外联 电力企业
一、前言
国网公司现已建成覆盖至基层生产班站及营业站所的信息内网。随着SG186工程的全面投入运行,从职能部室到一线班组,电力企业所有的业务数据都依赖网络进行流转,电网企业生产和经营对信息网络和信息系统的依赖程度越来越高信息安全的重要性日益凸显。国网公司已将网络与信息安全纳入公司安全管理体系。
一直以来,信息安全防御理念常局限于常规的网关级别(防火墙等)、网络边界(漏洞扫描、安全审计)等方面的防御,重要的安全设施大多集中于核心机房、网络入口处,在这些设备的严密监控下,来自网络外部的安全威胁已大大减少,尤其实行内外网隔离、双网双机后,来自于互联网的威胁微乎其微。而内网办公终端由于分布地点广泛,管控难度大,加之现在无线上网卡、无线wifi和智能手机的兴起,内网计算机接入互联网的事件时有发生,一旦使用人员将内网计算机通过以上方式接入互联网,即造成违规外联事件。由于违规外联开通了一条无任何保护措施进出内外网的通道,一旦遭遇黑客袭击,就可能造成信息泄露、重要数据丢失、病毒入侵、网络瘫痪等信息安全事故,给企业信息安全带来重大的安全隐患和风险。
二、强化管理、落实责任,监培并进
1、将违规外联明确写入公司各项规章制度,并纳入经济责任考核。在《公司信息系统安全管理办法》中,对杜绝违规外联事件进行了明确的要求:所有内网计算机必须粘贴防止违规外联提示卡,严禁将接入过互联网未经处理的计算机接入内网,严禁在普通计算机上安装双网卡,严禁将智能设备(3G手机、无线网卡等)插入内网计算机USB端口,严禁在办公区通过路由器连接外网,杜绝违规外联行为。 一旦发生违规外联事件,依据《企业信息化工作评级实施细则》,按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则对事件责任人进行严肃处理和经济考核,并在全公司通报批评。将信息安全责任落实到人。
2、加大违规外联宣贯和培训力度。信息安全工作,重在预防,将一切安全事件消灭在萌芽状态,才能确保信息系统安全稳定运行。分层次组织开展公司在岗员工,尤其是新员工的信息安全教育培训工作,即重点培训各部门信息化管理人员,各级管理人员培训本部门技术人员,本部门技术人员培训一线员工。通过分层式培训,提高了培训效果,同时各级管理人员、技术人员作为下级培训对象讲师提高了自身素质,强化了信息安全关键点的作用。确保违规外联事件的严重性、危害性和工作机理已宣贯至公司每一位员工,实现全员重视、全员掌握,做到内网计算机“离座就锁屏,下班就关机”的工作习惯。
3、加强外来工作人员管控。加强外来工作人员信息安全教育,并签订《第三方人员现场安全合同书》,严禁外来工作人员计算机接入公司内外网。对第三方人员工作过程全程监控,防止因外来工作人员擅自操作造成违规外联事件。
二、加强技术管控,从源头杜绝安全事件的发生
2.1严格执行“双网双机”
严禁在信息内网和外网交叉使用计算机。对要求接入信息内、外网的计算机,需向本人核实该计算机之前网络接入情况,对内外网络接入方式有变化、或者是不清楚的情况,需对计算机进行硬盘格式化并重装系统后方可接入网络。
2.2安装桌面终端,设置强口令,防止违规外联
实时监控全公司内网终端桌面终端系统安装率,确保所有内网计算机桌面终端安装率达100%。设置桌面终端策略,一旦发生违规外联,系统立即采取断网措施,并对终端用户进行警示。要求全部内网计算机设置开机强口令(数字+字母+特殊符号,且大于8位),防止非本人操作的违规外联行为。通过桌面终端系统对内网计算机开机强口令进行实时监控。
2.3做好温馨提示,明确内外网设备,防止违规外联
做到每一台内网计算机均粘贴信息安全提示标签提示员工切勿内网计算机接入外网网络,无线网卡及智能手机切勿接入内网。内外网网络端口模块、网线端口都要有明显标识,防止员工误接网络。
2.4实行内网计算机IP、MAC绑定和外网计算机IP、认证账号绑定
加强IP地址绑定,从交换机端口对接入内网的计算机进行IP、MAC地址绑定,确保除本计算机外,其余计算机无法通过该端口接入内网。
通过外网审计(网康科技)对外网IP和用户认证账户进行绑定,完善外网用户和计算机基础资料,做到全局外网终端和用户可控。
信息安全是指计算机网络系统中的硬件、软件和其他数据等不受非法用法的破坏,主要指未经授权的访问者无法使用访问数据和修改数据,而只给授权的用户提供数据服务和可信信息服务,并保证服务的完整性、可信性和机密性。电力信息安全是指供电系统中提供给用户或公司内部员工的数据是安全的、可信的。供电公司管理系统是个繁杂的系统,涉及用电客户和公司内部员工及第三方托管服务公司,系统的信息安全一直是公司发展的瓶颈。正确评估供电公司信息安全系统的合理性和安全性,针对安全风险进行分析,最后制订供电公司信息安全的策略非常重要,也是至关重要的。
2供电企业信息安全的影响因素
尽管供电公司投入了大量的财力、物力建设电网信息安全系统,但供电企业内部网络仍不健全,存在许多安全隐患。另外,供电公司信息化水平不高,信息安全保障措施薄弱也制约了其信息安全系统的建设。要构建一个健全的供电公司信息安全保障体系,就要首先分析供电公司信息安全的影响因素,对症下药,进一步提出供电企业加强信息安全管理的对策。
2.1不可抗拒因素
所谓“不可抗拒因素”,就是由于火灾、水灾、供电、雷电、地震等自然灾害影响,供电公司的供电线路、计算机网络信号、计算机数据等受到破坏,并威胁到供电公司的信息安全。
2.2计算机网络设备因素
供电公司计算机系统中使用大量的网络设备,包括集线器、网络服务器和路由器等,其正常运行关系着供电公司内部网络的正常运行,而计算机网络设备的安全直接关系着供电公司的正常运行。
2.3数据库安全因素
供电公司计算机系统监控用户峰值,管理用电客户信息及其他用户缴费等情况,计算机数据库的系统安全决定了供电企业的调度效率,也决定了供电公司公共信息的安全。供电公司应该使用专用网络设备,确保企业内部网络与外部互联网的隔离。
2.4管理因素
供电公司员工的业务素质和职业修养参差不齐,直接影响到供电公司的网络安全。供电公司应该建立过错追究制度,提高员工的信息化素质,有效防止和杜绝管理因素造成的信息安全问题。
3供电企业加强信息安全管理的对策
3.1提升员工信息安全防患意识
开展信息安全管理工作,并非仅仅是系统使用或者管理部门的事,而是企业所有职工的事,因此,要增强全体员工的信息安全和防患意识。通过采取培训和考核等有力措施,进一步提升全体员工对企业信息安全的认识,让信息安全成为企业日常工作业务的一个组成部分,从而提升企业整体信息安全水平。
3.2采用知识型管理
传统的安全管理大部分采取的是一种硬性的管理手段。在当今知识经济的时代,安全管理应当以知识管理为主,从而使得安全管理措施与手段也越来越知识化、数字化和智能化,促使信息安全管理工作进入一个崭新的阶段。
3.3设置系统用户权限
为了预防非法用户侵入系统,应按照用户不同的级别限制用户的权限,并投入资金开展安全技术督查和安全审计等相关活动。信息安全并非一朝一夕就能完成的事,它需要一个长期的过程才能达到较高的水平,需建立并完善相应的管理制度,从平时的基础工作着手,及时发现问题,汇报问题,分析问题并解决问题。
3.4防范计算机病毒攻击
加速信息安全管控措施的建设,在电力信息化工作中,办公自动化是其中一项非常重要的内容,而核心工作业务就是电子邮件的发送与接收,这也正是计算机病毒一个非常重要的传播渠道。因此,必须大力促进个人终端标准化工作的建设,实现病毒软件的自动更新、自动升级,不得随意下载并安装盗版软件;加强对木马病毒等的安全防范措施,对用户访问实施严格的控制。
3.5完善信息安全应急预案
严格规范信息安全事故通报程序,对于隐瞒信息事件的现象,必须严肃查处。对于国家和企业信息安全运行动态,要及时通报,分析事件,及时信息安全通告。对于己经制定的相关预案和安全措施,必须落到实处。另外,还要进一步加强信息安全技术督查队伍的建设,提高信息安全考核与执行的力度。
3.6建立信息安全保密机制
加强信息安全保密措施的落实,禁止将计算机连接到互联网及其他公共信息网络,完善外部人员访问的相关授权、审批程序。定期组织开展信息系统安全保密的各项检查工作,切实做好文档的登记、存档和解密等环节的工作。
4结束语
摘 要:在现阶段的发展中,已经完全进入到网络时代,几乎所有的工作实施,都是依靠网络设备、网络技术来进行实施的。为了能够在今后的网络环境下,实现工作水平的大幅度提升,必须将企业信息安全管理更好的巩固,要求在管理的策略和具体手段上,告别既往的多项不足,要创造出较高的价值。文章就此展开讨论,并提出合理化建议。
关键词:网络环境;企业;信息安全;管理
从客观的角度来分析,企业信息安全管理在开展的过程中,有很多工作的实施,都不能利用单一的手段来完成。现如今的信息安全,已经成为了全社会都非常瞩目的内容,如果在最终的工作上表现为缺失现象,不仅容易造成强烈的隐患和冲突,还会对很多领域的发展构成严重的威胁,这是需要在日后工作中积极面对的,不能有任何的严重损失。
一、网络环境下企业信息安全管理现状
1.建立信息安全管理体系框架
从已经掌握的情况来看,很多地方的企业信息安全管理,都在不断的建立信息安全管理w系框架,希望由此来对网络环境做出更好的优化处理,实现企业信息安全管理的更大进步。我国在现阶段的发展中,正处于一个非常重要的阶段,企业更加是国家的核心组成部分,为了更好应对网络环境所带来的挑战,在相关的政策、规范颁布上是比较突出的。例如,国务院办公厅在现下的工作中,对于网络环境开展了深入的分析,同时先后颁布了特别多的政策、法令,对于信息安全等级评估保护的具体措施、检查核实方法等,都做出了明确的规范;对于使用单位信息安全管理制度,做出了进一步的深化处理;直接引导、推进了信息安全系统的持续应用,在发展空间上得到了明显的扩大。
2.信息安全管理体系的审核
企业信息安全管理在开展的过程中,必须在网络环境方面深入的关注,绝对不能有任何的违背现象发生。从既往的工作来看,有些企业对于信息安全管理,总是追求短期上的效果,对长期的规划表现不足,虽然很大程度上对网络环境做出了充分的利用,但实际上创造的价值,还是有待提升的。鉴于这种现象的发生,网络环境下的企业信息安全管理,开始不断的做出变革,特别是在信息安全管理体系的审核上,基本上是按照最严格的方法来完成的。例如,在ISMS审核过程中,其主要指的是,机构为验证所有安全程序,采用的系统的、独立的检查和评价。通过开展ISMS审核处理,能够对申请认证的单位,提供较多的支持与帮助,在企业信息安全管理方面有综合的判定与分析。除此之外,ISMS审核工作的开展,还表现为突出的自我保证手段,其能够将多项问题做出一个明确的分析,无论是在波及范围上,还是在具体的处理方式上,都能够给予较多的参考和指导,很少出现严重的偏差。
二、网络环境下企业信息安全管理的对策
1.物理安全管理
在现阶段的发展中,网络环境已经成为了不可扭转的趋势,想要在今后的企业信息安全管理中取得理想的效果,必须将网络环境有效的利用,在硬性规范下,针对物理安全管理持续的加强,这是实践方面的工作,不能有任何的忽视。简单而言,物理安全管理在开展的过程中,会将信息系统开展全面的检查分析,包括信息系统的保密性、完整性、可用性等等,会在相关的硬件设施上、线路上,都做出详细的分析,而后提交相应的物理安全管理报告。企业根据这份报告,再结合客观实际以后,决定具体的改善办法。在除此之外,物理安全管理在开展的过程中,对于企业网络工程的设计、施工等,都会产生较大的帮助。现下的很多企业信息安全管理,都会在网络工程方面投入较多的努力,为了更好的协调网络工程的硬件设备、网络体系等,必须在网络设备的安全性、可靠性方面提升。例如,通过物理安全管理的实施,能够针对网络设备、系统的运作空间做出分析,在温度、湿度等物理因素上积极的把控,避免造成严重的损失。
2.人员安全管理
在企业信息安全管理当中,网络环境下的诱惑较多,同时在相关的影响因素上,也在不断的增加。为了确保在企业信息安全管理方面,能够按照科学的方向来前进,有必要将人员安全管理更好的改善,针对多项工作的实施,都要从长远的角度来出发,这样才能更好的提高管理水平。首先,所有的工作人员,在相应的权限上都要积极的设定,要避免企业信息安全管理的员工权限混乱现象,达到相互之间的制衡效果,避免在信息方面出现严重的泄漏。其次,对于人员安全管理,有必要开展技术性的专业培训,要求列举大量的技术案例分析,让所有的工作人员意识到,错误的工作方法,以及某些极端的行为,会给企业带来严重的损失,部分情况下,甚至会产生法律上的责任和问题,要求员工在态度上,以及工作实践上,都可以严格的要求自己,而后对将来的工作负责。第三,必须积极的招聘、引进网络人才,将企业信息安全管理的体系不断健全,尤其是在网络平台的打造、客户端的建设、日常信息管理措施的实施上,都要形成良性工作循环。
3.软件应用和系统安全管理
网络环境下的企业信息安全管理,表现为持续进步的特点,根本不可能长久维持在固有的水平上。我们在实施企业信息安全管理的过程中,对于软件应用和系统安全管理,必须不断的加深研讨,要从多个角度出发,创造出较高的价值。首先,软件应用上,企业必须根据自身的需求,为不同层级、不同部门的员工,选定差异化的工作软件,要提高工作质量和工作效率。同时,对于软件本身的分析要不断的拓展,从是否付费、是否存在软件冲突、是否具备较高的兼容性等方面,均要进行大量的探讨,要防止造成工作上的严重疏漏,提高工作效率。其次,对于系统安全管理而言,必须坚持定期维护、更新,要求从外部聘请专业人员,进行系统的积极分析和测试,发现问题后,及时的采用网络技术来弥补,同时增加相应的软件防护和程序补丁,促使系统的日常运营,能够达到更加稳定的目标。
4.设备的运行与安全管理
除了上述的几项工作内容外,企业信息安全管理在实施的过程中,还需要在设备的运行与安全管理上投入较多的努力。当下的设备研究力度有所加深,特别是在重要元件上,市场上的更新换代速度不断的加快,企业必须对设备本身、设备元件开展积极的分析,不能盲目的跟风更换,也不能长久的维持在既有的水准上,要确保设备的运行,能够长期保持在高效状态,可以将安全管理工作更好的改善,减少矛盾。网络系统稳定高效的运行,对于企业来说是非常重要的。企业要加强对网络的科学管理,及时排除网络故障,对设备、运行安全进行全方位管理,是保障信息系统安全的重要前提。设备、运行安全管理包括设备的选型、检测、安装、登记、使用、维修、储存以及故障管理、性能管理、变更管理和排障工具等。随着网络普及和企业信息化业务的不断拓展,信息成为一种重要的战略资源,信息安全保障能力成为一个企业综合能力的重要组成部分。
三、总结
本文对网络环境下企业信息安全管理展开讨论,现阶段的工作实施中,整体上得到的效果比较显著,未表现出严重的隐患。日后,应该在网络环境方面不断的优化,将企业信息安全管理的体系不断的健全。除此之外,在开展企业信息安全管理时,一定要持续性的实施,要不断的跟随国家倡导内容,对社会潮流做出把控,在重点工作上积极的提升。
参考文献:
[1]于倩,李灵君.网络环境下企业信息安全管理的对策分析[J].网络安全技术与应用,2017,(01):16-17.
[2]钱浓林,洪芳华,朱利军,肖锋,徐F欣.”互联网+“环境下企业信息安全管理策略[J].经营与管理,2017,(01):128-130.
[3]张黎明.网络环境下企业信息安全管理的对策分析[J].商,2016,(19):2.
[4]宋晴.网络环境下企业信息安全管理对策研究[J].通讯世界,2015,(14):256.
现阶段,信息技术已经深刻的影响了社会的发展,电力企业也不例外。信息技术已经应用到电力企业的各个角落,成为企业信息流组织的重要技术手段,随着智能化电网的深入建设,信息技术不仅运用于办公室的信息处理,更是延伸到电网的运行控制。信息安全受到破坏不仅仅只使信息本身的可用性、完整性、保密性受到破坏,还可能直接影响到现实世界的社会生活、生产,甚至直接造成人身伤亡、财产损失。信息技术的发展给电力企业带来发展机遇的同时也提出了全新的挑战,使信息安全成为电力企业安全管理不可或缺的重要组成部分。
2信息安全面临的挑战与困难
2.1设备分布点多面广,全面防控困难
电力设施分布于广大的地域范围内,需要为每个电力客户提供电能供应点,还必须建立连接这些电能供应点与电源之间的通道,从而形成电能供应网络。随着智能电网建设的深入,信息产生、传输、处理、保存的设备也随电网一同延伸到电网的各个角落,许多设备和设施安装于野外,没有封闭的安装环境,没有现场值守人员,要监控所有设备的状态、保证其物理安全,几乎是不可能的。
2.2蓄意破坏行为泛滥,防范难度较高
信息安全不仅面对无意的、偶发的威胁,还必须面对众多蓄意的破坏。潜在的攻击者可能采取各种已知或未知的手段避开或攻破安全限制获取或破坏信息,这要求信息安全管理人员不仅需要掌握已知的攻击手段并采取相应的防范措施,还需要不断对原先被判为正常的信息访问进行审计,发现可能的未知攻击手段并采取对策,这是一个艰巨的任务。攻击者可能不仅具有高超的手段,还可能采取各种方法隐藏自己的踪迹,从而提高安全人员的识别难度。互联网上流传着各种信息,包括各种信息安全漏洞以及利用漏洞的方法,甚至还有漏洞利用工具,社会上也有众多技术爱好者、恶作剧人员、敌对分子,不管出于何种原因、何种目的,他们都极容易成为攻击者。因此,信息安全必然面对广泛的攻击来源和众多未知的攻击手段,而且还必须应对蓄意的、有针对性的安全性规则破坏。
2.3职工安全意识不高,责权界定复杂
信息网络安全管理的最核心关键部分就是管理,管理水平的高低对最终的效果是决定性的。电力企业的应用系统已经具有相当规模,几乎已经涉及工作的方方面面,对每位员工的责权进行仔细的界定也是一项艰巨而复杂的工作。在实际的工作中,仍然存在密码强度不够、在员工之间共享账号、应用系统权限管理不规范的现象,从而使信息的安全特性容易或已经受到破坏。
3信息安全管理的常见误区
3.1信息安全主要是防病毒
虽然病毒的防范是信息安全工作之一,但部分管理人员却将病毒防范工作放在信息安全工作的中心,而忽略了信息安全工作的其它方面,这是一个严重的误解。虽然病毒的入侵是导致信息安全事件的重要因素之一,但是病毒或木马的真正目标浊使正常用户无法正常使用资源或窃取攻击者需要的信息,因此,信息安全工作的目标是保护资源和信息能正常使用且不被非法访问和篡改。
3.2部署了安全系统就安全
近年来,随着信息安全问题的日益显现,管理层对信息安全的重视程度有极大的提高,也有较大的投入,许多企业先后部署了防病毒系统、防火墙、入侵检测或入侵防御系统、安全网关、应用网关、安全隔离装置、桌面管控系统、移动存储安全注册系统、安全审计系统等一系列安全系统或设备。这些系统或设备的部署为保障信息安全提供了技术上的手段,但是,许多管理人员却在部署之后疏于管理,未定义或更新安全规则,从而使所有部署的系统成为摆设,不能发挥其作用,反而成为影响性能的累赘。另外,这种情况下,还会造成一种安全假象,使管理员危机感降低,反而不利于信息安全能力的提高。
3.3物理是安全的
工作实践中,常常发现许多办公室没有人,但门却开着,计算机也没有锁定;机房里有人工作,但管理员却不在现场,甚至不知道有人工作。调查发现,许多人认为计算机没什么需要保密的内容,没什么值得别人窃取的,不需要特别限制他人使用计算机。而事实上,如果物理安全得不到保障,则任何操作系统都是可以被攻破的,是不安全的,是可以被攻击者利用的主机。如果一位恶意攻击者能够使用网络上的一台计算机,他几乎可以做任何事,包括窃取本机上的资料、安装信息收集后门;监视使用者本人的使用习惯,获取使用者信息,常用密码及密码字符的组合方式;甚至通过这台计算机破坏整个网络的安全性、窃取网络上其他计算机上的资料。如果使用的后门是一个特殊的专用工具,网络上没有流传,则病毒和木马查杀软件往往无法发现,因此会长期的破坏信息安全措施,造成极大的危害。
3.4内部就是安全的
由于许多安全设施,如防火墙、入侵检测系统、入侵防御系统、安全网关等,都有一个假设———内部是安全区域,因此有许多管理员接受这个假设,并将它用于整个信息安全工作的指导思想中。但是,可以肯定的是,事实上并非如此。内部人员作案或内外勾结作案的事件不时见于报端,可以算是典型的反面例证。
3.5网络隔离了就安全
国家电网公司实施了网络区域安全隔离措施,将控制网、信息内网、信息外网在物理上隔离,从而从通信上隔离了攻击者。这在一定程度上是非常有效的,由于通常情况下,攻击者无法访问控制网、信息内网的资源,因此无法直接进行攻击。但是,网络隔离了并不等于安全了。例如,网络上已经出现了“摆渡攻击”的成功案例,而且,整个电力系统企业内有上百万工作人员,还有众多外部合作企业,他们都可能是不安全因素的来源。
4信息安全对策探析
4.1仔细划分安全区域
由于无法确知内部的安全性,因此应该根据风险发生的概率与风险发生后损失的程度两方面的因素,将信息处理所涉及的各种要素划分为不同的安全级别,不同的级别要素部署于不同的安全区域。例如,重要的设备、数据具有较高的安全级别,部署于机房内,严格控制其访问;所有安装于野外的设备,如远程通讯通道或远程数据采集点都是容易受到攻击的或损坏的,应当认为是不安全的,对其发出的信息需要进行更仔细的鉴别和更高强度的加密;所有桌面终端上都未必是安全的,需要认真进行身份鉴别,等等。划定各要素的默认安全级别是所有安全措施的基础,在此基础上才能部署相应的安全设施,采取相应风险防范措施,否则必然造成安全投入的不足与浪费。而且,关键的安全区域应当尽量的小和少,这样才能比较容易保证安全性。
4.2加强安全硬件部署
为了能够更加有效的保障信息安全,需根据实际的需求加强安全设施部署,例如部署防火墙、入侵检测系统、入侵防御系统保证网络入口的安全;部署安全网关、应用网关保证应用服务的安全;部署审计系统记录资源使用情况及用户使用行为,保证事后可追溯性,等等,从而全方位的保证信息安全。安全设施部署后,还需要认真制定防护规则、定期审计,发现潜在的攻击与隐患,并及时修正规则,才能真正发挥安全设施的作用。
4.3严格落实制度标准
据不完全统计,目前基层电力企业信息专业需要执行的工作标准有近百项、技术标准达数百项,规定的内容涉及信息工作的方方面面,已经比较完备了。每个信息安全事件调查中,几乎都能找到制度落实不到位的情况。例如,某电力公司发生员工修改用户电费收取费用谋利事件,就是因为没有落实管理员权限最小化和制约制度、没有落实事件审计制度引起的;某公司应用系统投入运行后,发现开发商利用系统所留后门以及开发账号登录系统修改数据事件,就是由于未落实系统开发相关制度、系统上下线管理制度,没有清理开发账号,没有进行代码审查和安全测试,等等。安全来源于过程,信息安全也不例外。制度虽然完备,但需要落到实处才能发挥其效果。
4.4提供安全基础服务
随着当前电力企业改革的深入推进,电力企业的组织机构变得集约、扁平,信息系统也多采用国家电网公司一级或国家电网公司与省公司二级部署的方式,遵循五统一的原则建设应用系统。但是,由于地域差异,各地区电力企业面临不同的用户、不同的规划、不同的问题,管理侧重点也必然有所不同,因此应用需求也存在差异,有必要利用基层单位的力量推进开发进程。所有应用系统都有一些共同的需求,在安全方面有身份鉴别、权限管理、数据传输、日志管理、备份恢复等,如果公司总部统一开发并公开服务的接口调用、安全协议等方面的规范,并提供接入申请、审批、注册等方面的管理制度,方便下级单位运用。这样公司总部只开发一次,保证一个系统的安全,就能保证所有系统公共部分的安全,节约后续开发的投资与时间,充分发挥投资效益。
5结束语
关键词:电信企业;信息安全;风险防控;管理体系;建设;研究
一、电信企业信息管理的现状与作用
(一)电信企业信息管理体系的现状
随着社会的发展,无论是个人还是企业,都越来越离不开科学技术。这也导致科技所引发的信息安全管理体系的问题出现。1、针对信息安全管理体系的建设没有创建出专门的管理机构由于在信息管理方面,企业没有一个系统的较为权威的管理部门及相关组织,其管理权限分散在建设、运维、系统支撑、市场等部门,在很大程度上致使企业信息管理中的相关法规得不到正常有效的运行。2、未能充分的考虑企业相关管理部门与信息安全管理体系的建设完善由于电信企业的特殊性,在具体的信息安全建设管理中,信息体系建设和信息安全管理的工作不够协调,使得企业在信息安全管理的相关工作上没法进行积极主动实施,导致了企业信息安全管理体系建设工作的没能与相关体系升级换代同步进行。3、企业信息管理建设滞后对于相关部门而言,信息安全管理常常局限于使用比较局部的安全产品进行保障,这样就容易形成被动的使用相关办法来应对信息安全的漏洞风险,导致此类方法严重缺乏科学性,而且由于使用范围的局限,从而也不完全能够抵御安全问题给企业所带来的运营风险。
(二)企业信息安全管理的作用
信息安全管理体系的建设是对企业来说非常重要,尤其是电信企业,通过信息安全管理体系的建设,不仅有利于提高相关部门的工作人员的信息安全意识,而且还能够加强对信息安全的管理组织的规范管理,通过充分有效的安全信息维护,能够帮助企业在信息管理受到严重威胁时可以及时消除风险,从而维护国家、企业、广大用户的切身利益,确保电信企业在国家信息建安全战略中的中流砥柱作用。
二、电信企业信息管理建设的有效方法
(一)制定有效的信息管理计划
在企业管理中,有效的信息安全管理,是企业发展的前提;信息管理建设需要有效的策划:1、教育培训在企业管理中,做好教育培训工作是非常重要的,通过相关培训,不但能够提高相关人员的安全信息管理意识,强化相关人员实际操作能力,而且还可以为信息管理体系吸引大量的相关人才。2、制定信息安全管理计划制定管理的相关计划是企业发展中的关键环节,所以,为了企业的可持续发展,相关部门需要制定信息管理体系建设的标准,拟定相关计划。
(二)电信企业信息管理建设的范围
对于一个企业来说,确定信息管理体系的范围是非常重要的,其需要相关部门人员根据实际情况来进行重点有效的管理,这个管理的范围就是安全管理体系的范围。这一范围还可分为整体范围与个别信息安全管理范围,通过不同的部门可对管理组织进行划分,并在一定的程度上进行不同力度的管理。就电信企业而言,主要涉及企业信息管理和用户信息管理,其安全体系建设贯穿在企业运行的全过程。
(三)建立企业信息管理框架
对一个企业而言,企业的信息管理必须建立起一个严格的管理模式。具体步骤如下:1、信息安全管理体制的计划在规划信息安全管理体系时,首先的一个步骤就是对企业的信息安全管理有一个明确的计划。这样一来不仅能够对后续工作做了一个提前的准备,有利于建立管理机构,而且还能够对管理的责任做出明确的规定,能够更好的确立管理目标,评估管理风险。2、企业信息安全管理的实施有了一定的企业信息安全管理体系的计划,接下来的一个重要步骤就是计划的实施过程,过程主要有信息安全管理方法应用和相关措施落实等。3、企业信息安全管理体制的检查这个阶段的工作开展要做好充分的准备,因为这一阶段是整个计划的关键阶段,主要通过审计、自我评估或借助第三方审核等方法来对计划实施的效果进行审查。
三、结束语
综上所述,“我国电信运营企业的信息安全风险无处不在,安全形势日益严峻,迫切需要系统、科学、有效的信息安全风险管理体系理论指导管理工作实践。”通过本文,我们了解到我国电信企业的信息安全管理体系方面的现状以及信息安全管理的重要性,通过相关部门的共同努力,切实提高信息安全管理水平,维护好国家安全和公共利益安全,为建设信息化强国做出应有的贡献。
参考文献:
[1]郑敏.关于信息安全管理体系建设的研究[J].计算机光盘软件与应用,2014
[2]曾剑秋,程广焕,杨萌柯.电信运营企业信息安全风险管理体系研究[J].科技管理研究,2016
1工作思路
1.1现状分析
县级供电企业在原有的局域网络,由于没有外网进行隔离,管理制度不健全,且管理比较混乱,在局域网内的计算机终端可以随意联网,缺乏桌面管理的相关软件,个人私自换机与路由器的情况也时有发生,这已经严重的威胁县级供电企业内部网络信息安全并且影响企业的经济效益。
1.2工作思路
为了加强县级信息安全的管理,强化企业日常信息安全的监督与应急处理能力,防范信息安全问题的发生,提高县级供电企业整体信息安全建设水平,企业应该重新制定与规划信息安全的监管制度,以及企业内部计算机使用规范,与一定的惩罚措施等。指定企业内部信息安全的负责人,对造成企业信息安全问题的人员给予严重的处罚。在企业内部的局域网增加防火墙,企业局域网内的所有终端设备统一安装由省供电企业统一部署的桌面管理系统与趋势杀毒软件,再配备高质量的移动存储介质用来备份重要的信息资源,最大限度的降低信息安全所带来的隐患,确保企业的信息安全。
2主要做法
2.1加快组织机构和制度的建设
县级供电企业应该成立主管信息安全工作的组织,以企业中层信息管理者为组长,建立一整套企业信息安全管理体系,实行统一领导,分级管理,各个部门主要负责本单位内部信息安全的管理工作。企业信息安全管理小组主要负责本企业信息安全的重大事项的决策与企业内部的协调工作。企业领导者与各部门签订信息安全责任书,且企业全体员工签订安全保密工作承诺书,并对企业的全体员工进行“八不准、三个不发生”信息安全宣传,明确谁使用,谁负责的信息安全原则。将信息安全管理纳入企业的战略管理层面上来,实行专业化管理与监督,企业的信息部门负责管理企业信息安全保障工作,并负责指导、检查与协调企业各部门的信息安全工作,组织落实企业信息安全工作的制度,对企业的信息系统的安全性进行评估。组织企业信息系统安全的宣传与对企业员工进行信息安全基本常识的培训。
2.2全企业信息系统的管理体系
完善信息安全管理的制度,主要包括:企业各级信息安全岗位职责与巡视制度。建立健全信息流程控制,员工进行数据录用之前,首先要保证信息系统数据的合理性与合法性以及安全性,更为重要的是进行信息系统的安全管理,于此时同时,引进与强化计算机自动控制系统,以确保计算机系统与数据的安全性和数据处理的可靠性。
2.3建立信息系统的管理模型
信息主要体现三个方面的属性:信息的可行性、信息的保密性以及信息的完整性。在信息安全管理工作中者三个属性都是非常重要,对于县级供电企业而言,保障信息安全的直接原因是确保企业信息的保密性。县级供电企业信息的完整性与信息的可用性在从一方面来讲是信息安全属性中的附属属性,因此信息的保密性对于县级供电企业来讲显得尤为重要。由此,而提出了有针对性的管理方法与管理模型。管理模型具体内容“执行力”、“堵”、“护”是信息安全管理简化的总结。
2.3.1执行力:县级供电企业建设企业文化与信息安全相互适应的体系县级供电企业的信息安全系统必须能够适应县级供电企业文化。信息安全的管理方法不能与企业文化相互冲突,信息安全要有与之相适应的技术支持、监督管理方法等都会有效的提高县级供电企业的信息安全水平。如果信息安全系统不能适应企业文化,企业的信息安全工作就不能有效的进行。
2.3.2堵:信息传播途径的管理“堵”针对的是信息传递的途径管理,研究分析信息传输的各个途径,禁止非法信息的访问及传递。“堵”的工作在信息安全管理中是一个长期的工作,并且会随着技术水平的进步,信息传播的途径也会越来越多,传播的方法也会不断的更新。“堵”的方法主要是由技术人员在信息的安全管理和计算机系统以及通信管理等方面进行。人员的安全管理是“堵”的核心内容,电力企业的信息资料都是由人来控制与管理的。对于人的管理也就是信息资料的管理,对于人的管理也是信息安全管理体系中最难的一部分。其中有这样一句话“在企业中信息安全最大的风险在于一些心怀不测的员工可能带来的风险”。即使这样我们依旧可以使用一些有效的措施,对供电企业核心人员的管理,进而提升信息安全管理的水平。物力安全管理也是信息安全管理的重要一部分,对于县级供电企业的机房等核心区域,要加强其管理力度,可以建立门禁系统,在此方面来减少信息安全的一些漏洞。网络安全和计算机系统如今是发展最快的内容。市面上已经有非常多的安全产品用来解决一些安全方面的问题。对于安全产品的选择应结合县级供电企业现有系统,选择的产品要能与现有系统相互兼容,有效的提高信息安全管理的水平。
2.3.3护:信息资源的保护信息安全的保护工作的根本目的是针对县级供电企业重要且价值巨大的信息资料进行保护,这样县级供电公司信息安全工作可以有效的提高工作效率。一个县级供电企业来说企业的投入的资源总是有限的,对于信息安全投入也是同样的道理,怎样才能在有限的投入为企业来取得最大的经济效益,才是最明智的选择。对于县级供电企业来讲重要的、价值巨大的信息资料的保护才是企业领导最应该关心的问题。核心信息资产的保护主要是通过核心流程梳理、容灾和备份、文档安全管理、数据保密、资产分级管理等一系列方法与手段对企业的核心信息进行管理保护。核心流程梳理:主要是由企业核心的业务流程,对其进行有效梳理,对于企业核心流程产生的信息进行分权与分级管理,这种管理是对企业核心信息在企业的整个生命周期进行管理。主要是由一些专业人员来主导进行的。容灾和备份:对一些重要的信息,应该定期的进行备份,这样可以在发生信息资源丢失或者损坏的情况下可以避免企业的损失。文档安全管理:主要是对于企业比较重要的纸质文档通过人工手段采取保护的手段,确保企业核心文档资料的保密性。可以借助于文档安全类的产品来实现。数据保密:数据的保密工作可以采用多种形式进行,以防止第三方盗取数据。县级供电企业的大多数信息是存放在应用系统和数据库中,对于数据库的安全保护线的尤为重要。可以采取数据加密,数据备份等形式加以保护。
3结束语
执行力、堵、护在县级供电企业的信息安全管理特别是在县级供电企业信息安全管理的起步阶段,会起到非常不错的指导效果。随着县级供电企业信息安全管理的不断完善,信息安安管理体系的建设可以这对企业所处不同的环境做进一步具体内容。信息安全管理水平的提高可以有效地提升县级供电企业的市场竞争力,提高企业的经济效益。
作者:马远 李恒 单位:国网河南省电力公司荥阳市供电公司
参考文献:
[1]王凯丽.加强县级供电企业信息安全建设和管理[J].科技与企业,2013(10):77~79.
[2]王卫平.企业信息安全管理研究[J].学术研究,2007(6):113~116.
(一)信息化安全认知匮乏
在我国,大多数中小企业信息建设管理中存在着明显的认知不足,全球联系的增强和市场的激烈竞争促使中小企业认识到了信息化建设的重要性,但是缺少足够的信息安全管理认知,日常安全管理工作过于疏忽,没有形成科学有效地安全管理体制,作为重要保护对象。中小企业内部不同的信息需要不同的方式进行安全管理,由于企业对于信息安全管理的重视程度不够,针对安全管理投入力度难以形成有效的安全体系,无法保证信息安全。
(二)信息化安全管理制度不够完善
由于我国信息化建设起步较晚,我国中小企业相较于西方发达国家信息建设程度还有所欠缺。企业内部对于信息安全管理缺乏科学的规章制度,难以做到信息合理有效的安全防护。安全管理制度的不完善导致了各项制度之间出现混淆,安全职责定位不够明确,安全问题出现无从追求,这种现象在中小企业信息泄露中时有发生。
(三)缺乏相关技术人才
大部分中小企业由于对信息安全管理重视程度不够,投入力度较轻,导致安全管理出现盲区。信息安全建设过程中对于相关人才的培养力度不够,企业内部缺少专门的技术人才对安全管理盲区予以修复,进而导致信息泄露。
二、中小企业信息化安全管理完善措施
(一)强化信息安全意识
企业信息安全是企业健康平稳发展的基础,由此中小企业内部每个员工都应该予以承担相应的义务和责任。强化员工对于信息安全的意识,相比于技术安全更值得重视。所以,企业内部必须强化员工信息安全意识,营造内部良好的安全意识氛围,提升员工信息安全防护能力。
(二)完善安全管理制度
有效地安全措施离不开科学的安全管理制度,企业需要强化制度建设力度,做到安全管理有章可循,对于企业内部用户相关信息权限予以限制,明确,减少个人操作可能引发的信息泄露风险。在企业不断发展的过程中,制度应随着企业发展而创新升级,以满足企业发展的需要。
(三)重点培养信息安全管理人才
任何一个企业发展的根本动力都是人才的支持,优秀的人才能够促进企业内部稳定,工作效率提升,企业发展收益增强。在企业发展过程中,安全管理盲区需要相应的技术人员进行定期检查,维护,针对存在的安全隐患及时有效地解决,规避风险的发生。
三、结论
关键词:企业管理 企业信息管理 安全措施
全球经济一体化趋势的不断增强,使得企业之间的竞争日益激烈,企业之间的空间也越来越小,在这种竞争形势下,企业的经营方式和管理方式也随之发生了变化。同时,我们也应当意识到,这种个变革促进了企业的信息化管理的进程,同时也使得企业与外部信息网络的沟通方式得到了拓宽,企业内部的人与人、人与物的沟通方式也得到了优化,与此同时,企业信息管理的安全问题也逐渐受到了越来越多的重视。
一、企业信息管理
企业信息管理指的就是通过现代化的信息技术和设备,以网络技术和网络设备实现企业管理的自动化,进而对企业进行全方位和多角度的管理,以此来促进企业物流和能源流的优化配置,进而通过企业资源的开发和信息技术的有效利用来提高企业的管理水平,增强企业的核心竞争力。企业信息管理的主要内容,一般包括企业未来的经济形势分析、预测资料、资源的可获量、市场和竞争对手的发展动向,以及政府政策与政治情况的环境变化等等。企业信息管理与制订企业发展战略、制订规划、合理地分配资源是密切相关的。同时,企业的信息管理也应当包括企业内部的信息资源,如财务管理信息、库存、产品设计、职工档案管理等多方面的内容,并且促进企业的全面发展。
二、企业信息安全管理的必要性
企业信息的存在方式有着多样性,而进行企业安全信息管理的主要目的,在于保护企业的信息安全,保证企业能够顺利的参与到市场经济活动中,进而提高企业的经济效益和社会效益。企业信息安全管理主要有三个特点:
1.保密性
企业安全信息只有被授权的人才能够进行访问,具有较强的保密性。
2.完整性
信息本身和信息处理方法具有一定的准确性和完整性,才能够确保企业信息管理的有效性。
3.可用性
企业安全信息具有一定的可用性,需要时可以通过授权用户实现对信息的访问。企业的安全信息管理能够通过有效的控制措施来实现,前提是充分认识到企业信息安全管理的必要性。第一,企业管理的信息具有很强的保密性和完整性的特点,因此其对于企业的资金流动、企业的综合竞争力等多方面都有着重要的影响,同时对于企业的商业形象与合法经营也至关重要,因此加强企业信息安全管理是必要的。第二,由于网络自身所具有的开放性特性,决定了企业信息管理也面临着来自各方面的安全威胁,比如计算机病毒、黑客等,以及计算机诈骗、泄密等问题,也说明了加强企业信息安全管理势在必行。第三,企业对于信息系统产生的依赖也从另一方面暴露出了信息管理系统的脆弱,公共网络与私人网络的连接增强了信息的控制难度,使得信息在分散化的管理模式下,集中、专业控制的有效性大大的减弱。另外,由于很多信息管理系统设计的缺陷,其自身就存在着不合理之处,这对于信息安全管理也带来了一定的难度。基于此,对于企业信息管理的安全性也成为了当前企业管理面临的一个重大课题。
三、企业信息管理的安全防范措施
1.不断完善的信息管理系统
信息管理系统的投入和使用,是建立在充分的实践经验的基础上,通过一段时间的运行和观察,才能够投入使用。在不同的部门进行信息系统的引入时,应当按照部门的实际情况,通过多方引进,使用统一的信息管理系统。对于信息安全来说,首先要解决的就是系统是否能够通过安全验证对用户进行有效的管理,并且赋予不同等级的用户不同的使用权限,这样则能够有效的防止无权访问信息的用户对核心区域的访问,保证信息不会被盗用。
2.有效的设备管理
对于管理系统中使用的设备品牌、机型、内部配置以及使用时间等信息都要进行专门的记录,通过这些记录,定期对设备进行维护,同时也能够通过这些信息判断出信息的使用效率以及运行情况,对于设备的损坏或者是丢失情况都能够及时的了解。
3.加强对人员的监督与管理
人是设备的主要操作者,因此对于信息的安全管理,就需要加强对人的管理,这就需要操作人员具有足够的安全意识,对于每一位操作人员都应当进行相关的培训,对于唯一的用户名和密码等信息要进行妥善额保管,同时让操作人员了解到泄密会导致的严重后果,增强责任意识。同时,要加强对各种票据的管理,对于票据的领用,相关人员要做好登记,同时要保留相吻合的票据号码,用来存档。通过不断的加强过程管理,通过对每个细节的严密审查,能够有效的减少浑水摸鱼的现象,同时通过科学的评价机制和激励机制,刺激人员工作的积极性,加强自身的责任意识。
4.多方研发和推广网络信息处理系统
网络信息处理系统是在网络计算技术的基础上, 结合实现电子商务管理为方向。在可以提供互联网环境下的管理方式、信息处理模式和别的各种功能的信息处理系统。网络管理作为INTERNET与电子商务环境下信息处理系统的主流发展方向。跟传统信息处理系统相比, 网络系统还要有着各类辅助作用。
四、结束语
在现代市场经济条件下,企业能够对信息实施有效的安全管理,对于企业的综合竞争力,有着重要的影响。而企业信息管理的安全性,主要与企业的信息安全管理体制是否完善、是否具有与企业文化相符合的信息安全管理办法以及科学的评估方法等因素有着直接的关系,因此,企业应当不断的加强对信息的安全管理,不断提高企业的管理效率,以此促进企业实现持续、稳定的发展。
参考文献
[1]黄国忠.企业信息安全风险自评估模型研究[D].浙江大学管理学院 浙江大学:管理科学与工程,2008.
[2]陈丽霞,杨超.基于Web的企业信息管理系统安全方案[J].电脑知识与技术,2008(25).
[3]翟俊.企业信息管理系统建设的现存问题与对策简析[J].计算机光盘软件与应用,2011(17).
一、目前企业网络信息安全管理中存在的问题
目前各级供电企业对信息安全日趋重视,但主要侧重于防备外来未授权用户的非访问,并过于注重如防火墙、入侵检测等技术问题,忽略了信息安全中人的管理,造成了几个突出问题:
1、人员安全意识淡薄
由于系统的专业教育与培训不足,许多专业技术人员仍然抱着“防火墙等于安全”的侥幸心理,缺乏“防黑防毒”的意识和内部员工操作失误或恶意攻击的警惕性,对信息安全采取的防护措施非常简单。大多数信息系统使用员工对信息安全知识和技能掌握不够,认为信息安全只是技术部门的事,安全防护意识不强。
2、网络信息机构不健全
有些供电企业没有专门的信息技术运行机构或没有规范的建制和岗位,人员配置又偏少,而且信息系统架构的分散也导致人力资源不集中,信息战线拉得大长,几乎没有时间关注信息安全。由于IT技术发展很快,基层信息技术人员得不到相应的培训,难以对日新月异的IT技术中有关主机、操作系统、数据库、网络、存储、安全等方面作全面的了解和掌握,运行维护能力低下,系统安全监控不到位。
3、网络信息安全管理专业化程度不够
大多数基层供电公司缺乏专门的信息安全监督管理机构,或者没有配备专业的信息安全监督管理人员,或者只设兼职。由于缺乏信息安全管理专业知识和技能,对信息安全特殊性认识不足,难于发挥有效的信息安全监督管理,使信息安全管理工作处于一种似管非管或基本不管的真空状态。
4、管理制度滞后且执行不力
随着国网公司集中集成工作的展开和信息网络基础建设不断加强,原有的信息安全管理制度已相对滞后,而且有些制度不完全适合基层实际,个别条款操作性较差,难于执行,这就造成制度执行不力、有章不循、违规操作,这些都增加了信息安全风险。
二、加强企业网络信息安全管理的几点建议
1、加强全员网络信息安全意识教育
通过普及信息安全知识教育,提高企业员工网络信息安全知识和安全意识,掌握发现、解决某些常见安全问题的能力。信息安全教育的具体内容一般应包括以下内容:(1)信息安全所面临的风险;
(2)企业信息安全方针及目标;
(3)企业安全管理规章制度;
(4)与信息安全有关的其它内容。通过安全教育使所有员工增强整体信息系统的安全防护意识。
2、加强企业员工相应技能培训
为了确保企业员工在日常工作过程中具有保护企业信息安全方面的能力,应当加强对员工计算机安全技能培训,教育员工平时应做到所有操作应符合规定、不得向他人泄露自己的操作口令、不访问陌生的网站、不浏览或打开一些来历不明的邮件及附件、外来光盘、U盘等存储设备须先杀毒后使用、发现问题立即通知技术人员处理等基本的安全技能。
3、健全信息技术部门建设
根据需要合理配置信息技术人员,加强信息技术队伍建设,明确机房管理员、网络管理员、应用系统管理员、数据库管理员、防病毒管理员、运行维护员等岗位配置,重要岗位设置A、B岗,落实岗位职责具体到人。对技术人员应注重技术培训,可以定期或不定期参加各种针对性的技术培训,增强技术储备力度。
4、加强信息安全规章制度建设
建立健全适应企业实际的安全管理制度是信息安全管理的前提。标准化的安全管理,能够克服传统管理中个人的主观意志驱动的管理模式。应在对企业信息安全评估下,根据单位实际情况,遵照上级有关规定,制定出切实可行、全面的安全管理制度。如:保密制度、机房管理制度、网络运行管理制度、应用系统运行管理制度、设备维护工作制度、值班制度、计算机系统使用规范等,管理制度应明确描述所有信息技术人员以及信息系统使用人员的信息安全职责和信息系统日常使用规范,规范信息系统操作流程,减少人为失误。
5、建立安全监督保证体系
成立安全领导小组,由分管领导抓信息安全工作,并设置一个独立于信息技术部门的信息安全管理监督部门作为企业的信息安全日常管理机构,根据信息系统安全需要设定安全事务的职位,负责企业范围内信息安全监督管理工作。各部门应配备计算机技能较强的信息安全专兼职人员,负责所在部门信息安全制度的落实和执行,形成良好的信息安全监督保证体系。
6、加强信息安全考核力度
随着社会经济的不断发展,网络时代逐渐进入人们的生活,计算机被运用在了各个领域中,成为促进社会发展的重要媒介。而与此同时,企业信息安全问题也逐渐凸显出来,严重阻碍了企业的可持续发展,因此,在网络时代背景下研究企业安全风险和控制具有重要意义。
1 企业信息安全相关概述
1.1 信息安全的含义
迄今为止,对信息安全依然没有一个统一和公认的定义。但是从国内外研究来看,对其主要存在2种说法:一种指的是具体信息安全技术系统的安全;而另一种则指的是某些特定的信息体系的安全。上述2种定义主要站在静态的角度上阐述了信息安全的基本层面,但是信息系统和网络的影响决定了信息安全是一个动态的改变,其主要是防止企业信息遭到恶意泄露、破坏、更改[1]。信息安全的最终目的是向合法的对象提供安全、可靠的信息。
1.2 信息安全在企业中发挥的重要作用
企业信息作为企业的宝贵资源,保证企业信息的安全性对企业的生存和发展具有重要作用,主要体现在以下3个方面:一是企业信息安全是保障企业正常运行的基本前提。在网络时代背景下,企业信息安全的内容更广泛,再加上现代企业制度的不断建立和完善,越来越多的企业依靠信息数据库开展各项工作,例如:对于市场情况的分析、做出重大决策等等。二是保障企业信息安全是提高企业市场竞争力的必备条件。随着市场经济的不断完善,企业面临的竞争也越来越激烈,在这种形势下,企业要想获取市场竞争优势就需要依靠信息安全来实现。三是企业信息安全作为企业发展战略中重要的组成部分,而企业实施各项战略主要是通过自身的经营活动、财务信息等开展的,这些数据也能够将企业的战略实施方法以及下一步计划详细地反应出来,因此,如果企业的信息安全无法得到保障,那么企业要实施各项战略难度也很大。
2 网络时代下企业信息安全风险分析
2.1 缺乏高度的信息安全风险意识
在网络时代的浪潮下,很多企业都在逐步加强自身信息安全的建设,通过加大资金投入、创新技术等措施来保障自身的信息安全,然而,对信息风险的控制并非仅仅依靠技术就可以实现,更重要的是人们要树立起信息安全的风险意识。但是从当前来看,还有很大一部分企业的领导者、管理者、员工缺乏对信息安全风险的高度重视,主要表现在:个别人甚至片面地认为信息安全仅仅是网络部门的责任,跟自身没有多大关系;二是有个别企业领导者认为对信息安全的宣传过度夸张,遭受网络攻击的概率小,一般不会发生在自己身上;三是个别企业没有建立信息安全风险管理体系,再加上企业缺乏具体的故障系统,导致企业信息安全遭到风险时,员工往往手足无措,虽说有些企业针对自身的信息安全制定了一系列规章和制度,但是由于缺乏针对性和操作性,导致这些制度无法得到真正落实。
2.2 应用系统的安全性不高
企业要实现信息化建设的目的,少不了各种应用系统作支撑,但是从实际情况来看,很多企业还存在着应用系统的安全性不高等问题,进而导致企业在数据传输和存储等方面存在漏洞。如此容易被一些病毒、恶意软件窃取,实现非法访问,进而引发企业信息丢失或者泄露等安全风险。另外,很多企业应用系统的安全方模式也较为单一,绝大部分主要是采用“口令”的方式进行认证,无法实现对信息安全全方位的防范。另外,企业设置的密码过于简单、操作不规范等等都会增加应用系统安全的风险。
2.3 技术设备和设施的作用发挥不足
个别企业为了防范信息安全风险,针对一些重要信息设置了安全设备,但是由于操作条件和参数设施不够合理,无法将这些设备的作用充分发挥出来。还有很多企业没有通过建立工作日志来对安全设备、设施的运行情况进行监控,进而不能根据企业的经营情况对信息安全进行风险控制,更无法采取有效措施保障企业风险管理。
3 网络时代下控制企业信息安全风险途径分析
3.1 加强信息安全教育,提高信息安全风险意识
由于在企业信息安全控制中,提高员工的信息安全意识是保证企业信息安全的决定性因素,因此,企业应该加强对员工的信息安全教育,帮助员工树立起信息安全风险意识,例如:企业可以利用一些重大节日开展关于信息安全的演讲比赛、征文比赛,也可以通过建立适当的激励制度以及开展培训活动等途径来加强员工对信息安全重要性的认识,进而提高自身的信息安全风险防范意识和观念。
3.2 加强信息化建设,设置信息安全管理部门
在企业信息化建设中,信息安全作为重要的基础,企业要强化自身的内部控制,就应该落实信息安全的建设工作。加强信息化建设首先需要企业将信息安全纳入安全管理范围内,进而突出信息安全建设管理的重要地位;然后不断健全信息安全的责任制度,争取形成信息安全联动管理机制,确保信息安全管理的有效性;最后,在企业中设置信息安全管理机构,该部分的主要职能为企业信息安全建设、管理以及员工的信息安全教育培训工作等,从而为企业的信息安全风险控制创建一个良好的内部环境[2]。
3.3 运用新技术,加强信息安全风险防范
当前控制信息安全风险常见的主要有VPN技术和防火墙技术:(1)VPN技术。VPN主要指的是在公共网络的虚拟专用网络中建立一个临时的安全链接,在通常情况下,对VPN内部进行扩展可以实现远程操作,建立一条分公司、商业合作商和供应商跟公司内部网络安全联系,从而确保信息交换的安全性,保证数据传输的安全性。(2)防火墙技术。防火墙也被称为访问控制系统,主要是通过对网络做拓扑结构和服务类型上的隔离来保障网络安全。运用防火墙技术可以保证企业的内部网络免受外部网络的侵占,并阻断非法访问的外部网络进入企业内部网络,保证企业信息和资源的安全。
4 结 语
总之,网络时代的产生为企业发展创造了新的模式和发展契机,但与此同时,企业的信息安全也面临着很大的威胁,在很大程度上制约了企业的可持续发展。要实现对企业信息安全风险的控制,首先应该找准企业信息安全的风险点,然后采取对应措施,如:加强信息安全教育、加强信息化建设、运用新技术等几个方面来控制信息安全风险。
作者:袁亮 来源:中国管理信息化 2015年17期
1.1信息化机构建设不健全
电力企业很少为信息管理部门专门设置机构,因而缺乏应有的规范的岗位及建制。大多信息部门附属在技术部、科技部或总经理工作部门下,甚至仅设置一个专责人员负责。信息化管理是一项系统性的工程,没有专门的部门负责是不能满足现代企业信息化安全的需求的。
1.2企业管理阻碍信息化发展
有些电力企业管理办法革新缓慢,大多采用较落后的、非现代信息化企业的管理模式。这样的企业即便引入最完善的信息管理系统、最先进的信息化设备,也只能受落后的企业管理模式所制约,无法发挥其应有的作用。
1.3网络结构不合理
电力企业大多将公司网络分为外网和内网,两种网络之间实行物理隔离措施,但很多企业的网络交换机是一台二层交换机,决定了内网和外网用户在网络中地位是平等的,导致安全问题只能靠完善管理系统去解决,给系统编写带来很多不必要的困难。
1.4身份认证缺陷
电力企业一般只建立内部使用的信息系统,而企业内部不同管理部门、不同层次员工有不同等级的授权,根据授权等级不同决定各部门和员工访问的数据和信息不同。这类授权是以身份认证为基础的信息访问控制,但在当前的企业身份认证系统中大多存在缺陷和漏洞,给信息安全留下隐患。
1.5软件系统安全风险较大
软件系统安全风险指两方面,一是编写的各种应用系统可能有漏洞造成安全风险,二是操作系统本身风险,随着近期微软停止对windowsXP系统的服务支持,大量使用windowsXP系统的信息管理软件都将得不到系统漏洞的修补,这无疑会给信息安全带来极大风险。
1.6管理人员意识不足
很多电力企业员工网络安全意识参差不齐,一方面是时代的迅速发展导致较年轻的管理人员安全意识较高,而对网络接触较少的中老年员工网络安全意识较为缺乏;另一方面也有电力企业管理制度不够完善、忽视对员工进行及时培训的原因。在这种人员背景下,如果管理人员配备不当、信息管理系统设置不合理都会给企业信息埋下安全隐患。
2、电力企业网络信息安全管理措施
要建立完善合理的网络信息安全管理体系,需要各企业认清企业现状,根据实际进行统一规划,分部建设,保证建设内容能科学有效的运行。
2.1加强信息安全教育培训
不论计算机程序有多么先进多么完善,如果操作管理人员素质和意识不足,那也不能保证企业信息化的安全。因此,实现企业网络信息安全管理的根本在人,可以根据员工职责分层次进行培训,一方面提高安全管理员工的专业知识水平及安全管理意识,另一方面加强对一线工作人员的安全意识教育,将网络信息安全变为企业文化和精神支柱的一部分。
2.2完善管理制度建设
电力企业要把网络信息安全管理视为一个系统工程来考虑,必须在企业内部建立起合理而完善的管理制度,比如:加强网络日志管理;对安全审计数据严格管理;在企业网络上安装病毒防护软件;规定不能随意在内网主机上下载互联网数据、不能在内网计算机上随意使用来历不明的移动存储设备等。
2.3不断更新完善信息安全管理系统
大力推进信息安全新技术的探索和应用,建立信息安全防护体系,可以围绕数据库安全、数据备份和恢复、网络服务完全、病毒防护系统的应用、数据加密技术及数据传输安全等方面建立一个多方面多层次联合的技术安全体系,从而提高信息系统安全防护能力,确保企业信息安全可靠。
3、总结
电子信息技术指的是使用通信手段对信息进行传递、存储、处理和显示的一种技术,总地来说,信息技术主要由以下四个方面构成:(1)识别和感应测试技术。主要包含信息提取、信息识别、信息检测等技术,这种类型技术称为传感技术,可以提高人类的信息感知能力。(2)信息传递技术。主要是从功能上实现信息可靠、快速、安全转移的目的。(3)信息处理和再生技术。信息处理技术主要包含了对信息进行压缩、编码和加密,在处理信息的基础上形成一种层次更深的决策信息。(4)信息使用技术。这种技术主要包含了信息控制技术和显示技术,在当前科学技术不断进步、经济不断发展的情况下,现代信息技术正逐渐成为一门综合性比较高的科学技术,并已经成为现代化企业管理中不可或缺的部分,信息时代的到来,正逐渐改变着传统企业的管理模式。
2电子信息技术在企业应用中存在的问题
2.1防范意识弱
目前,信息化建设已经成为大多数企业管理工作中的主要构成部分,为了提高企业管理的安全性能,企业不断加大在资金和技术方面的投入。由于企业信息安全管理问题不单单是技术上存在的缺陷,和企业员工信息安全的重视程度以及信息安全风险意识也有很大关联。在日常企业管理中,部分企业员工对企业宣传的信息安全问题不够重视,认为在企业管理中真正受信息安全问题困扰的内容很少。还有一些企业员工认为信息安全是IT部门的责任,跟自己的部门并没有关联。有些企业信息管理的操作性和针对性都不够强大,信息化程度落后,即使对员工规定了信息安全的规章制度条例,员工也从未按照规章制度办事。这些问题都说明对于信息安全问题企业员工还是不够重视,在信息安全管理方面提防意识薄弱。
2.2病毒的传播
一直以来,计算机病毒一直危害着企业信息网络的安全性,在互联网上存在着各种各样的网络病毒。在企业日常运营的过程中,员工需要经常接触网络,稍有不慎,就有可能导致计算机感染病毒,一旦电脑出现病毒,轻者对使用者的工作效率造成影响,导致计算机的运行速度降低,重者会导致计算机处于瘫痪的状态,将用户的相关程序禁止。如果在用户不知情的情况下,电脑中被黑客植入了木马,电脑就会被黑客远程控制,非法取得电脑上的相关信息。这些网络安全问题都需要企业给予足够的重视。
2.3存在信息安全漏洞
目前,电子信息技术虽然有着良好的发展势头,但是在管理方面和应用方面的发展还不够完善,在实际的使用过程中经常还会出现安全漏洞方面的问题,不管是系统软件还是电子信息的运营都会有比较大的漏洞存在。如果在企业管理的过程中,没有及时将系统漏洞解决,就存在被黑客入侵的隐患,极大地威胁到了企业的系统安全。当前,市场的竞争非常激烈,很多企业法人为了获得更高的利润,会买通黑客入侵到对手企业的管理系统中,破坏和攻击对手企业的管理系统。而且,一些技术员工如果对企业存在不满,也会利用系统存在的漏洞对企业管理系统进行攻击,导致企业管理数据丢失,影响企业正常的管理运营,甚至会造成不可估量的经济损失。
2.4受到非法入侵和恶意攻击
目前,在企业管理中,非法入侵和恶意攻击已经成为了一种常态,在企业信息网络运行的过程中经常会遇到这种问题。例如,黑客可以通过网络非法入侵到企业的管理系统中,恶意终止某个程序的正常运行或者对企业的某个商业活动进行终止,从而影响企业的正常运行。此外,黑客还可以使用木马病毒非法盗取企业的机密,对企业的正常运营造成了极大的影响。
3提高电子信息技术在企业安全管理中应用的措施
3.1提高防火墙设计
由于企业员工在上网的过程中,经常会因为操作失误导致企业信息管理系统被黑客入侵,严重威胁了企业的健康发展。一直以来,企业信息管理的安全维护都是由多个安全设备共同操作实现的,各种功能和品牌不同的设备在运行的过程中,企业的网络就会呈现出一种混乱无序的状态,而且还会出现无法兼容的情况,对网络的正常运行造成了极大的影响,为了保证系统的安全,就需要配置比较多的人力。为了对这种问题进行解决,企业可以通过终端安全系统,提高企业信息技术管理,防止黑客入侵。企业防火墙的设计如图1所示,所有的信息数据都需要通过防火墙进行安全检测后,才可以进入到企业的内部服务器。在通信的过程中,防火墙会对每个连接发起和结束的整个过程进行检测,对H.32、FTP协议等进行分析,监控和审计客户端行为,及时对系统漏洞进行修补。此外,企业要根据自身的实际情况,订制终端管理系统的功能,从而全面地对企业信息管理的安全性和可靠性进行提升。
3.2提高员工对信息安全的认识度
由于人们的行为活动都是在潜意识的引导下开展的,所以,在信息安全问题管理的过程中,要使员工对信息安全的认识度进行提升,从意识的层面重视企业的信息安全管理。信息的安全性直接影响到了企业未来的发展和生存,只有所有的员工都认识到信息安全管理的重要性,才可以在日常工作中有意识地对企业的机密信息进行保护。在实际的管理过程中,企业首先要培养出具有专业技术的管理人员和技术人员,定期对这些技术人员进行培训,为企业信息管理的安全性打下坚实的基础。其次,企业信息管理部门要全面掌控企业的信息资源,根据部门的不同,对管理系统的安全系数进行提升,实时监测各个部门的相关信息,并根据历史入侵信息,适当地对信息安全管理的手段进行调整,使信息的存储持续处于一种变化的过程中。如此一来,企业的信息安全性就会得到极大的提高,企业信息泄露的概率会大幅度降低,从而最大程度保证企业的利益。
3.3 提高基础建设资金的投入力度
对于企业信息管理来说,信息管理的安全性是非常重要的,所以,企业要提高信息安全管理基础设施的投资力度,采购一些安全系数比较高的设备,定期对技术人员进行培训。企业每年划出一部分资金投入到企业的安全管理中,具体的投入金额要根据企业的实际发展情况进行确定。目前,很多企业的信息管理设备都出现了严重的老化,对于这种情况,企业要提高设备线路的维护和检修,在购买相关的管理设备时,要评估设备的功能,判断其是否可以全面解决安全问题,设备的使用流程是否过于复杂。例如,为了防止企业因为停电而导致无法运营的情况,企业可以采购一些UPS电源来保证企业安全管理系统可以持续运营,避免因停电等事故造成的数据损失的情况出现。
3.4提高企业网络平台的建设
通过配合使用软件和安全芯片,可以建立出一个私密的存储平台,这种安全平台目前已经在很多的公司进行推广运用,通过这种平台可以为企业提供更加全面的保护,避免出现企业机密泄露的情况。而且,企业可以根据各种使用要求,通过内部权限设置相应的工作组和共享平台。例如,某公司在建立关键项目的共享文件时,可以首先建立封闭的局域工作网络,权限设置为只有相关人员进行浏览,如此一来,就降低了机密文件被盗用的可能性,为企业信息安全的管理提供了技术保障。
4结语
