時間:2024-02-24 09:42:54
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇企業信息安全管理,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
【關鍵詞】 信息安全 違規外聯 電力企業
一、前言
國網公司現已建成覆蓋至基層生產班站及營業站所的信息內網。隨著SG186工程的全面投入運行,從職能部室到一線班組,電力企業所有的業務數據都依賴網絡進行流轉,電網企業生產和經營對信息網絡和信息系統的依賴程度越來越高信息安全的重要性日益凸顯。國網公司已將網絡與信息安全納入公司安全管理體系。
一直以來,信息安全防御理念常局限于常規的網關級別(防火墻等)、網絡邊界(漏洞掃描、安全審計)等方面的防御,重要的安全設施大多集中于核心機房、網絡入口處,在這些設備的嚴密監控下,來自網絡外部的安全威脅已大大減少,尤其實行內外網隔離、雙網雙機后,來自于互聯網的威脅微乎其微。而內網辦公終端由于分布地點廣泛,管控難度大,加之現在無線上網卡、無線wifi和智能手機的興起,內網計算機接入互聯網的事件時有發生,一旦使用人員將內網計算機通過以上方式接入互聯網,即造成違規外聯事件。由于違規外聯開通了一條無任何保護措施進出內外網的通道,一旦遭遇黑客襲擊,就可能造成信息泄露、重要數據丟失、病毒入侵、網絡癱瘓等信息安全事故,給企業信息安全帶來重大的安全隱患和風險。
二、強化管理、落實責任,監培并進
1、將違規外聯明確寫入公司各項規章制度,并納入經濟責任考核。在《公司信息系統安全管理辦法》中,對杜絕違規外聯事件進行了明確的要求:所有內網計算機必須粘貼防止違規外聯提示卡,嚴禁將接入過互聯網未經處理的計算機接入內網,嚴禁在普通計算機上安裝雙網卡,嚴禁將智能設備(3G手機、無線網卡等)插入內網計算機USB端口,嚴禁在辦公區通過路由器連接外網,杜絕違規外聯行為。 一旦發生違規外聯事件,依據《企業信息化工作評級實施細則》,按照“誰主管誰負責、誰運行誰負責、誰使用誰負責”的原則對事件責任人進行嚴肅處理和經濟考核,并在全公司通報批評。將信息安全責任落實到人。
2、加大違規外聯宣貫和培訓力度。信息安全工作,重在預防,將一切安全事件消滅在萌芽狀態,才能確保信息系統安全穩定運行。分層次組織開展公司在崗員工,尤其是新員工的信息安全教育培訓工作,即重點培訓各部門信息化管理人員,各級管理人員培訓本部門技術人員,本部門技術人員培訓一線員工。通過分層式培訓,提高了培訓效果,同時各級管理人員、技術人員作為下級培訓對象講師提高了自身素質,強化了信息安全關鍵點的作用。確保違規外聯事件的嚴重性、危害性和工作機理已宣貫至公司每一位員工,實現全員重視、全員掌握,做到內網計算機“離座就鎖屏,下班就關機”的工作習慣。
3、加強外來工作人員管控。加強外來工作人員信息安全教育,并簽訂《第三方人員現場安全合同書》,嚴禁外來工作人員計算機接入公司內外網。對第三方人員工作過程全程監控,防止因外來工作人員擅自操作造成違規外聯事件。
二、加強技術管控,從源頭杜絕安全事件的發生
2.1嚴格執行“雙網雙機”
嚴禁在信息內網和外網交叉使用計算機。對要求接入信息內、外網的計算機,需向本人核實該計算機之前網絡接入情況,對內外網絡接入方式有變化、或者是不清楚的情況,需對計算機進行硬盤格式化并重裝系統后方可接入網絡。
2.2安裝桌面終端,設置強口令,防止違規外聯
實時監控全公司內網終端桌面終端系統安裝率,確保所有內網計算機桌面終端安裝率達100%。設置桌面終端策略,一旦發生違規外聯,系統立即采取斷網措施,并對終端用戶進行警示。要求全部內網計算機設置開機強口令(數字+字母+特殊符號,且大于8位),防止非本人操作的違規外聯行為。通過桌面終端系統對內網計算機開機強口令進行實時監控。
2.3做好溫馨提示,明確內外網設備,防止違規外聯
做到每一臺內網計算機均粘貼信息安全提示標簽提示員工切勿內網計算機接入外網網絡,無線網卡及智能手機切勿接入內網。內外網網絡端口模塊、網線端口都要有明顯標識,防止員工誤接網絡。
2.4實行內網計算機IP、MAC綁定和外網計算機IP、認證賬號綁定
加強IP地址綁定,從交換機端口對接入內網的計算機進行IP、MAC地址綁定,確保除本計算機外,其余計算機無法通過該端口接入內網。
通過外網審計(網康科技)對外網IP和用戶認證賬戶進行綁定,完善外網用戶和計算機基礎資料,做到全局外網終端和用戶可控。
信息安全是指計算機網絡系統中的硬件、軟件和其他數據等不受非法用法的破壞,主要指未經授權的訪問者無法使用訪問數據和修改數據,而只給授權的用戶提供數據服務和可信信息服務,并保證服務的完整性、可信性和機密性。電力信息安全是指供電系統中提供給用戶或公司內部員工的數據是安全的、可信的。供電公司管理系統是個繁雜的系統,涉及用電客戶和公司內部員工及第三方托管服務公司,系統的信息安全一直是公司發展的瓶頸。正確評估供電公司信息安全系統的合理性和安全性,針對安全風險進行分析,最后制訂供電公司信息安全的策略非常重要,也是至關重要的。
2供電企業信息安全的影響因素
盡管供電公司投入了大量的財力、物力建設電網信息安全系統,但供電企業內部網絡仍不健全,存在許多安全隱患。另外,供電公司信息化水平不高,信息安全保障措施薄弱也制約了其信息安全系統的建設。要構建一個健全的供電公司信息安全保障體系,就要首先分析供電公司信息安全的影響因素,對癥下藥,進一步提出供電企業加強信息安全管理的對策。
2.1不可抗拒因素
所謂“不可抗拒因素”,就是由于火災、水災、供電、雷電、地震等自然災害影響,供電公司的供電線路、計算機網絡信號、計算機數據等受到破壞,并威脅到供電公司的信息安全。
2.2計算機網絡設備因素
供電公司計算機系統中使用大量的網絡設備,包括集線器、網絡服務器和路由器等,其正常運行關系著供電公司內部網絡的正常運行,而計算機網絡設備的安全直接關系著供電公司的正常運行。
2.3數據庫安全因素
供電公司計算機系統監控用戶峰值,管理用電客戶信息及其他用戶繳費等情況,計算機數據庫的系統安全決定了供電企業的調度效率,也決定了供電公司公共信息的安全。供電公司應該使用專用網絡設備,確保企業內部網絡與外部互聯網的隔離。
2.4管理因素
供電公司員工的業務素質和職業修養參差不齊,直接影響到供電公司的網絡安全。供電公司應該建立過錯追究制度,提高員工的信息化素質,有效防止和杜絕管理因素造成的信息安全問題。
3供電企業加強信息安全管理的對策
3.1提升員工信息安全防患意識
開展信息安全管理工作,并非僅僅是系統使用或者管理部門的事,而是企業所有職工的事,因此,要增強全體員工的信息安全和防患意識。通過采取培訓和考核等有力措施,進一步提升全體員工對企業信息安全的認識,讓信息安全成為企業日常工作業務的一個組成部分,從而提升企業整體信息安全水平。
3.2采用知識型管理
傳統的安全管理大部分采取的是一種硬性的管理手段。在當今知識經濟的時代,安全管理應當以知識管理為主,從而使得安全管理措施與手段也越來越知識化、數字化和智能化,促使信息安全管理工作進入一個嶄新的階段。
3.3設置系統用戶權限
為了預防非法用戶侵入系統,應按照用戶不同的級別限制用戶的權限,并投入資金開展安全技術督查和安全審計等相關活動。信息安全并非一朝一夕就能完成的事,它需要一個長期的過程才能達到較高的水平,需建立并完善相應的管理制度,從平時的基礎工作著手,及時發現問題,匯報問題,分析問題并解決問題。
3.4防范計算機病毒攻擊
加速信息安全管控措施的建設,在電力信息化工作中,辦公自動化是其中一項非常重要的內容,而核心工作業務就是電子郵件的發送與接收,這也正是計算機病毒一個非常重要的傳播渠道。因此,必須大力促進個人終端標準化工作的建設,實現病毒軟件的自動更新、自動升級,不得隨意下載并安裝盜版軟件;加強對木馬病毒等的安全防范措施,對用戶訪問實施嚴格的控制。
3.5完善信息安全應急預案
嚴格規范信息安全事故通報程序,對于隱瞞信息事件的現象,必須嚴肅查處。對于國家和企業信息安全運行動態,要及時通報,分析事件,及時信息安全通告。對于己經制定的相關預案和安全措施,必須落到實處。另外,還要進一步加強信息安全技術督查隊伍的建設,提高信息安全考核與執行的力度。
3.6建立信息安全保密機制
加強信息安全保密措施的落實,禁止將計算機連接到互聯網及其他公共信息網絡,完善外部人員訪問的相關授權、審批程序。定期組織開展信息系統安全保密的各項檢查工作,切實做好文檔的登記、存檔和解密等環節的工作。
4結束語
摘 要:在現階段的發展中,已經完全進入到網絡時代,幾乎所有的工作實施,都是依靠網絡設備、網絡技術來進行實施的。為了能夠在今后的網絡環境下,實現工作水平的大幅度提升,必須將企業信息安全管理更好的鞏固,要求在管理的策略和具體手段上,告別既往的多項不足,要創造出較高的價值。文章就此展開討論,并提出合理化建議。
關鍵詞:網絡環境;企業;信息安全;管理
從客觀的角度來分析,企業信息安全管理在開展的過程中,有很多工作的實施,都不能利用單一的手段來完成。現如今的信息安全,已經成為了全社會都非常矚目的內容,如果在最終的工作上表現為缺失現象,不僅容易造成強烈的隱患和沖突,還會對很多領域的發展構成嚴重的威脅,這是需要在日后工作中積極面對的,不能有任何的嚴重損失。
一、網絡環境下企業信息安全管理現狀
1.建立信息安全管理體系框架
從已經掌握的情況來看,很多地方的企業信息安全管理,都在不斷的建立信息安全管理w系框架,希望由此來對網絡環境做出更好的優化處理,實現企業信息安全管理的更大進步。我國在現階段的發展中,正處于一個非常重要的階段,企業更加是國家的核心組成部分,為了更好應對網絡環境所帶來的挑戰,在相關的政策、規范頒布上是比較突出的。例如,國務院辦公廳在現下的工作中,對于網絡環境開展了深入的分析,同時先后頒布了特別多的政策、法令,對于信息安全等級評估保護的具體措施、檢查核實方法等,都做出了明確的規范;對于使用單位信息安全管理制度,做出了進一步的深化處理;直接引導、推進了信息安全系統的持續應用,在發展空間上得到了明顯的擴大。
2.信息安全管理體系的審核
企業信息安全管理在開展的過程中,必須在網絡環境方面深入的關注,絕對不能有任何的違背現象發生。從既往的工作來看,有些企業對于信息安全管理,總是追求短期上的效果,對長期的規劃表現不足,雖然很大程度上對網絡環境做出了充分的利用,但實際上創造的價值,還是有待提升的。鑒于這種現象的發生,網絡環境下的企業信息安全管理,開始不斷的做出變革,特別是在信息安全管理體系的審核上,基本上是按照最嚴格的方法來完成的。例如,在ISMS審核過程中,其主要指的是,機構為驗證所有安全程序,采用的系統的、獨立的檢查和評價。通過開展ISMS審核處理,能夠對申請認證的單位,提供較多的支持與幫助,在企業信息安全管理方面有綜合的判定與分析。除此之外,ISMS審核工作的開展,還表現為突出的自我保證手段,其能夠將多項問題做出一個明確的分析,無論是在波及范圍上,還是在具體的處理方式上,都能夠給予較多的參考和指導,很少出現嚴重的偏差。
二、網絡環境下企業信息安全管理的對策
1.物理安全管理
在現階段的發展中,網絡環境已經成為了不可扭轉的趨勢,想要在今后的企業信息安全管理中取得理想的效果,必須將網絡環境有效的利用,在硬性規范下,針對物理安全管理持續的加強,這是實踐方面的工作,不能有任何的忽視。簡單而言,物理安全管理在開展的過程中,會將信息系統開展全面的檢查分析,包括信息系統的保密性、完整性、可用性等等,會在相關的硬件設施上、線路上,都做出詳細的分析,而后提交相應的物理安全管理報告。企業根據這份報告,再結合客觀實際以后,決定具體的改善辦法。在除此之外,物理安全管理在開展的過程中,對于企業網絡工程的設計、施工等,都會產生較大的幫助。現下的很多企業信息安全管理,都會在網絡工程方面投入較多的努力,為了更好的協調網絡工程的硬件設備、網絡體系等,必須在網絡設備的安全性、可靠性方面提升。例如,通過物理安全管理的實施,能夠針對網絡設備、系統的運作空間做出分析,在溫度、濕度等物理因素上積極的把控,避免造成嚴重的損失。
2.人員安全管理
在企業信息安全管理當中,網絡環境下的誘惑較多,同時在相關的影響因素上,也在不斷的增加。為了確保在企業信息安全管理方面,能夠按照科學的方向來前進,有必要將人員安全管理更好的改善,針對多項工作的實施,都要從長遠的角度來出發,這樣才能更好的提高管理水平。首先,所有的工作人員,在相應的權限上都要積極的設定,要避免企業信息安全管理的員工權限混亂現象,達到相互之間的制衡效果,避免在信息方面出現嚴重的泄漏。其次,對于人員安全管理,有必要開展技術性的專業培訓,要求列舉大量的技術案例分析,讓所有的工作人員意識到,錯誤的工作方法,以及某些極端的行為,會給企業帶來嚴重的損失,部分情況下,甚至會產生法律上的責任和問題,要求員工在態度上,以及工作實踐上,都可以嚴格的要求自己,而后對將來的工作負責。第三,必須積極的招聘、引進網絡人才,將企業信息安全管理的體系不斷健全,尤其是在網絡平臺的打造、客戶端的建設、日常信息管理措施的實施上,都要形成良性工作循環。
3.軟件應用和系統安全管理
網絡環境下的企業信息安全管理,表現為持續進步的特點,根本不可能長久維持在固有的水平上。我們在實施企業信息安全管理的過程中,對于軟件應用和系統安全管理,必須不斷的加深研討,要從多個角度出發,創造出較高的價值。首先,軟件應用上,企業必須根據自身的需求,為不同層級、不同部門的員工,選定差異化的工作軟件,要提高工作質量和工作效率。同時,對于軟件本身的分析要不斷的拓展,從是否付費、是否存在軟件沖突、是否具備較高的兼容性等方面,均要進行大量的探討,要防止造成工作上的嚴重疏漏,提高工作效率。其次,對于系統安全管理而言,必須堅持定期維護、更新,要求從外部聘請專業人員,進行系統的積極分析和測試,發現問題后,及時的采用網絡技術來彌補,同時增加相應的軟件防護和程序補丁,促使系統的日常運營,能夠達到更加穩定的目標。
4.設備的運行與安全管理
除了上述的幾項工作內容外,企業信息安全管理在實施的過程中,還需要在設備的運行與安全管理上投入較多的努力。當下的設備研究力度有所加深,特別是在重要元件上,市場上的更新換代速度不斷的加快,企業必須對設備本身、設備元件開展積極的分析,不能盲目的跟風更換,也不能長久的維持在既有的水準上,要確保設備的運行,能夠長期保持在高效狀態,可以將安全管理工作更好的改善,減少矛盾。網絡系統穩定高效的運行,對于企業來說是非常重要的。企業要加強對網絡的科學管理,及時排除網絡故障,對設備、運行安全進行全方位管理,是保障信息系統安全的重要前提。設備、運行安全管理包括設備的選型、檢測、安裝、登記、使用、維修、儲存以及故障管理、性能管理、變更管理和排障工具等。隨著網絡普及和企業信息化業務的不斷拓展,信息成為一種重要的戰略資源,信息安全保障能力成為一個企業綜合能力的重要組成部分。
三、總結
本文對網絡環境下企業信息安全管理展開討論,現階段的工作實施中,整體上得到的效果比較顯著,未表現出嚴重的隱患。日后,應該在網絡環境方面不斷的優化,將企業信息安全管理的體系不斷的健全。除此之外,在開展企業信息安全管理時,一定要持續性的實施,要不斷的跟隨國家倡導內容,對社會潮流做出把控,在重點工作上積極的提升。
參考文獻:
[1]于倩,李靈君.網絡環境下企業信息安全管理的對策分析[J].網絡安全技術與應用,2017,(01):16-17.
[2]錢濃林,洪芳華,朱利軍,肖鋒,徐F欣.”互聯網+“環境下企業信息安全管理策略[J].經營與管理,2017,(01):128-130.
[3]張黎明.網絡環境下企業信息安全管理的對策分析[J].商,2016,(19):2.
[4]宋晴.網絡環境下企業信息安全管理對策研究[J].通訊世界,2015,(14):256.
現階段,信息技術已經深刻的影響了社會的發展,電力企業也不例外。信息技術已經應用到電力企業的各個角落,成為企業信息流組織的重要技術手段,隨著智能化電網的深入建設,信息技術不僅運用于辦公室的信息處理,更是延伸到電網的運行控制。信息安全受到破壞不僅僅只使信息本身的可用性、完整性、保密性受到破壞,還可能直接影響到現實世界的社會生活、生產,甚至直接造成人身傷亡、財產損失。信息技術的發展給電力企業帶來發展機遇的同時也提出了全新的挑戰,使信息安全成為電力企業安全管理不可或缺的重要組成部分。
2信息安全面臨的挑戰與困難
2.1設備分布點多面廣,全面防控困難
電力設施分布于廣大的地域范圍內,需要為每個電力客戶提供電能供應點,還必須建立連接這些電能供應點與電源之間的通道,從而形成電能供應網絡。隨著智能電網建設的深入,信息產生、傳輸、處理、保存的設備也隨電網一同延伸到電網的各個角落,許多設備和設施安裝于野外,沒有封閉的安裝環境,沒有現場值守人員,要監控所有設備的狀態、保證其物理安全,幾乎是不可能的。
2.2蓄意破壞行為泛濫,防范難度較高
信息安全不僅面對無意的、偶發的威脅,還必須面對眾多蓄意的破壞。潛在的攻擊者可能采取各種已知或未知的手段避開或攻破安全限制獲取或破壞信息,這要求信息安全管理人員不僅需要掌握已知的攻擊手段并采取相應的防范措施,還需要不斷對原先被判為正常的信息訪問進行審計,發現可能的未知攻擊手段并采取對策,這是一個艱巨的任務。攻擊者可能不僅具有高超的手段,還可能采取各種方法隱藏自己的蹤跡,從而提高安全人員的識別難度。互聯網上流傳著各種信息,包括各種信息安全漏洞以及利用漏洞的方法,甚至還有漏洞利用工具,社會上也有眾多技術愛好者、惡作劇人員、敵對分子,不管出于何種原因、何種目的,他們都極容易成為攻擊者。因此,信息安全必然面對廣泛的攻擊來源和眾多未知的攻擊手段,而且還必須應對蓄意的、有針對性的安全性規則破壞。
2.3職工安全意識不高,責權界定復雜
信息網絡安全管理的最核心關鍵部分就是管理,管理水平的高低對最終的效果是決定性的。電力企業的應用系統已經具有相當規模,幾乎已經涉及工作的方方面面,對每位員工的責權進行仔細的界定也是一項艱巨而復雜的工作。在實際的工作中,仍然存在密碼強度不夠、在員工之間共享賬號、應用系統權限管理不規范的現象,從而使信息的安全特性容易或已經受到破壞。
3信息安全管理的常見誤區
3.1信息安全主要是防病毒
雖然病毒的防范是信息安全工作之一,但部分管理人員卻將病毒防范工作放在信息安全工作的中心,而忽略了信息安全工作的其它方面,這是一個嚴重的誤解。雖然病毒的入侵是導致信息安全事件的重要因素之一,但是病毒或木馬的真正目標濁使正常用戶無法正常使用資源或竊取攻擊者需要的信息,因此,信息安全工作的目標是保護資源和信息能正常使用且不被非法訪問和篡改。
3.2部署了安全系統就安全
近年來,隨著信息安全問題的日益顯現,管理層對信息安全的重視程度有極大的提高,也有較大的投入,許多企業先后部署了防病毒系統、防火墻、入侵檢測或入侵防御系統、安全網關、應用網關、安全隔離裝置、桌面管控系統、移動存儲安全注冊系統、安全審計系統等一系列安全系統或設備。這些系統或設備的部署為保障信息安全提供了技術上的手段,但是,許多管理人員卻在部署之后疏于管理,未定義或更新安全規則,從而使所有部署的系統成為擺設,不能發揮其作用,反而成為影響性能的累贅。另外,這種情況下,還會造成一種安全假象,使管理員危機感降低,反而不利于信息安全能力的提高。
3.3物理是安全的
工作實踐中,常常發現許多辦公室沒有人,但門卻開著,計算機也沒有鎖定;機房里有人工作,但管理員卻不在現場,甚至不知道有人工作。調查發現,許多人認為計算機沒什么需要保密的內容,沒什么值得別人竊取的,不需要特別限制他人使用計算機。而事實上,如果物理安全得不到保障,則任何操作系統都是可以被攻破的,是不安全的,是可以被攻擊者利用的主機。如果一位惡意攻擊者能夠使用網絡上的一臺計算機,他幾乎可以做任何事,包括竊取本機上的資料、安裝信息收集后門;監視使用者本人的使用習慣,獲取使用者信息,常用密碼及密碼字符的組合方式;甚至通過這臺計算機破壞整個網絡的安全性、竊取網絡上其他計算機上的資料。如果使用的后門是一個特殊的專用工具,網絡上沒有流傳,則病毒和木馬查殺軟件往往無法發現,因此會長期的破壞信息安全措施,造成極大的危害。
3.4內部就是安全的
由于許多安全設施,如防火墻、入侵檢測系統、入侵防御系統、安全網關等,都有一個假設———內部是安全區域,因此有許多管理員接受這個假設,并將它用于整個信息安全工作的指導思想中。但是,可以肯定的是,事實上并非如此。內部人員作案或內外勾結作案的事件不時見于報端,可以算是典型的反面例證。
3.5網絡隔離了就安全
國家電網公司實施了網絡區域安全隔離措施,將控制網、信息內網、信息外網在物理上隔離,從而從通信上隔離了攻擊者。這在一定程度上是非常有效的,由于通常情況下,攻擊者無法訪問控制網、信息內網的資源,因此無法直接進行攻擊。但是,網絡隔離了并不等于安全了。例如,網絡上已經出現了“擺渡攻擊”的成功案例,而且,整個電力系統企業內有上百萬工作人員,還有眾多外部合作企業,他們都可能是不安全因素的來源。
4信息安全對策探析
4.1仔細劃分安全區域
由于無法確知內部的安全性,因此應該根據風險發生的概率與風險發生后損失的程度兩方面的因素,將信息處理所涉及的各種要素劃分為不同的安全級別,不同的級別要素部署于不同的安全區域。例如,重要的設備、數據具有較高的安全級別,部署于機房內,嚴格控制其訪問;所有安裝于野外的設備,如遠程通訊通道或遠程數據采集點都是容易受到攻擊的或損壞的,應當認為是不安全的,對其發出的信息需要進行更仔細的鑒別和更高強度的加密;所有桌面終端上都未必是安全的,需要認真進行身份鑒別,等等。劃定各要素的默認安全級別是所有安全措施的基礎,在此基礎上才能部署相應的安全設施,采取相應風險防范措施,否則必然造成安全投入的不足與浪費。而且,關鍵的安全區域應當盡量的小和少,這樣才能比較容易保證安全性。
4.2加強安全硬件部署
為了能夠更加有效的保障信息安全,需根據實際的需求加強安全設施部署,例如部署防火墻、入侵檢測系統、入侵防御系統保證網絡入口的安全;部署安全網關、應用網關保證應用服務的安全;部署審計系統記錄資源使用情況及用戶使用行為,保證事后可追溯性,等等,從而全方位的保證信息安全。安全設施部署后,還需要認真制定防護規則、定期審計,發現潛在的攻擊與隱患,并及時修正規則,才能真正發揮安全設施的作用。
4.3嚴格落實制度標準
據不完全統計,目前基層電力企業信息專業需要執行的工作標準有近百項、技術標準達數百項,規定的內容涉及信息工作的方方面面,已經比較完備了。每個信息安全事件調查中,幾乎都能找到制度落實不到位的情況。例如,某電力公司發生員工修改用戶電費收取費用謀利事件,就是因為沒有落實管理員權限最小化和制約制度、沒有落實事件審計制度引起的;某公司應用系統投入運行后,發現開發商利用系統所留后門以及開發賬號登錄系統修改數據事件,就是由于未落實系統開發相關制度、系統上下線管理制度,沒有清理開發賬號,沒有進行代碼審查和安全測試,等等。安全來源于過程,信息安全也不例外。制度雖然完備,但需要落到實處才能發揮其效果。
4.4提供安全基礎服務
隨著當前電力企業改革的深入推進,電力企業的組織機構變得集約、扁平,信息系統也多采用國家電網公司一級或國家電網公司與省公司二級部署的方式,遵循五統一的原則建設應用系統。但是,由于地域差異,各地區電力企業面臨不同的用戶、不同的規劃、不同的問題,管理側重點也必然有所不同,因此應用需求也存在差異,有必要利用基層單位的力量推進開發進程。所有應用系統都有一些共同的需求,在安全方面有身份鑒別、權限管理、數據傳輸、日志管理、備份恢復等,如果公司總部統一開發并公開服務的接口調用、安全協議等方面的規范,并提供接入申請、審批、注冊等方面的管理制度,方便下級單位運用。這樣公司總部只開發一次,保證一個系統的安全,就能保證所有系統公共部分的安全,節約后續開發的投資與時間,充分發揮投資效益。
5結束語
關鍵詞:電信企業;信息安全;風險防控;管理體系;建設;研究
一、電信企業信息管理的現狀與作用
(一)電信企業信息管理體系的現狀
隨著社會的發展,無論是個人還是企業,都越來越離不開科學技術。這也導致科技所引發的信息安全管理體系的問題出現。1、針對信息安全管理體系的建設沒有創建出專門的管理機構由于在信息管理方面,企業沒有一個系統的較為權威的管理部門及相關組織,其管理權限分散在建設、運維、系統支撐、市場等部門,在很大程度上致使企業信息管理中的相關法規得不到正常有效的運行。2、未能充分的考慮企業相關管理部門與信息安全管理體系的建設完善由于電信企業的特殊性,在具體的信息安全建設管理中,信息體系建設和信息安全管理的工作不夠協調,使得企業在信息安全管理的相關工作上沒法進行積極主動實施,導致了企業信息安全管理體系建設工作的沒能與相關體系升級換代同步進行。3、企業信息管理建設滯后對于相關部門而言,信息安全管理常常局限于使用比較局部的安全產品進行保障,這樣就容易形成被動的使用相關辦法來應對信息安全的漏洞風險,導致此類方法嚴重缺乏科學性,而且由于使用范圍的局限,從而也不完全能夠抵御安全問題給企業所帶來的運營風險。
(二)企業信息安全管理的作用
信息安全管理體系的建設是對企業來說非常重要,尤其是電信企業,通過信息安全管理體系的建設,不僅有利于提高相關部門的工作人員的信息安全意識,而且還能夠加強對信息安全的管理組織的規范管理,通過充分有效的安全信息維護,能夠幫助企業在信息管理受到嚴重威脅時可以及時消除風險,從而維護國家、企業、廣大用戶的切身利益,確保電信企業在國家信息建安全戰略中的中流砥柱作用。
二、電信企業信息管理建設的有效方法
(一)制定有效的信息管理計劃
在企業管理中,有效的信息安全管理,是企業發展的前提;信息管理建設需要有效的策劃:1、教育培訓在企業管理中,做好教育培訓工作是非常重要的,通過相關培訓,不但能夠提高相關人員的安全信息管理意識,強化相關人員實際操作能力,而且還可以為信息管理體系吸引大量的相關人才。2、制定信息安全管理計劃制定管理的相關計劃是企業發展中的關鍵環節,所以,為了企業的可持續發展,相關部門需要制定信息管理體系建設的標準,擬定相關計劃。
(二)電信企業信息管理建設的范圍
對于一個企業來說,確定信息管理體系的范圍是非常重要的,其需要相關部門人員根據實際情況來進行重點有效的管理,這個管理的范圍就是安全管理體系的范圍。這一范圍還可分為整體范圍與個別信息安全管理范圍,通過不同的部門可對管理組織進行劃分,并在一定的程度上進行不同力度的管理。就電信企業而言,主要涉及企業信息管理和用戶信息管理,其安全體系建設貫穿在企業運行的全過程。
(三)建立企業信息管理框架
對一個企業而言,企業的信息管理必須建立起一個嚴格的管理模式。具體步驟如下:1、信息安全管理體制的計劃在規劃信息安全管理體系時,首先的一個步驟就是對企業的信息安全管理有一個明確的計劃。這樣一來不僅能夠對后續工作做了一個提前的準備,有利于建立管理機構,而且還能夠對管理的責任做出明確的規定,能夠更好的確立管理目標,評估管理風險。2、企業信息安全管理的實施有了一定的企業信息安全管理體系的計劃,接下來的一個重要步驟就是計劃的實施過程,過程主要有信息安全管理方法應用和相關措施落實等。3、企業信息安全管理體制的檢查這個階段的工作開展要做好充分的準備,因為這一階段是整個計劃的關鍵階段,主要通過審計、自我評估或借助第三方審核等方法來對計劃實施的效果進行審查。
三、結束語
綜上所述,“我國電信運營企業的信息安全風險無處不在,安全形勢日益嚴峻,迫切需要系統、科學、有效的信息安全風險管理體系理論指導管理工作實踐。”通過本文,我們了解到我國電信企業的信息安全管理體系方面的現狀以及信息安全管理的重要性,通過相關部門的共同努力,切實提高信息安全管理水平,維護好國家安全和公共利益安全,為建設信息化強國做出應有的貢獻。
參考文獻:
[1]鄭敏.關于信息安全管理體系建設的研究[J].計算機光盤軟件與應用,2014
[2]曾劍秋,程廣煥,楊萌柯.電信運營企業信息安全風險管理體系研究[J].科技管理研究,2016
1工作思路
1.1現狀分析
縣級供電企業在原有的局域網絡,由于沒有外網進行隔離,管理制度不健全,且管理比較混亂,在局域網內的計算機終端可以隨意聯網,缺乏桌面管理的相關軟件,個人私自換機與路由器的情況也時有發生,這已經嚴重的威脅縣級供電企業內部網絡信息安全并且影響企業的經濟效益。
1.2工作思路
為了加強縣級信息安全的管理,強化企業日常信息安全的監督與應急處理能力,防范信息安全問題的發生,提高縣級供電企業整體信息安全建設水平,企業應該重新制定與規劃信息安全的監管制度,以及企業內部計算機使用規范,與一定的懲罰措施等。指定企業內部信息安全的負責人,對造成企業信息安全問題的人員給予嚴重的處罰。在企業內部的局域網增加防火墻,企業局域網內的所有終端設備統一安裝由省供電企業統一部署的桌面管理系統與趨勢殺毒軟件,再配備高質量的移動存儲介質用來備份重要的信息資源,最大限度的降低信息安全所帶來的隱患,確保企業的信息安全。
2主要做法
2.1加快組織機構和制度的建設
縣級供電企業應該成立主管信息安全工作的組織,以企業中層信息管理者為組長,建立一整套企業信息安全管理體系,實行統一領導,分級管理,各個部門主要負責本單位內部信息安全的管理工作。企業信息安全管理小組主要負責本企業信息安全的重大事項的決策與企業內部的協調工作。企業領導者與各部門簽訂信息安全責任書,且企業全體員工簽訂安全保密工作承諾書,并對企業的全體員工進行“八不準、三個不發生”信息安全宣傳,明確誰使用,誰負責的信息安全原則。將信息安全管理納入企業的戰略管理層面上來,實行專業化管理與監督,企業的信息部門負責管理企業信息安全保障工作,并負責指導、檢查與協調企業各部門的信息安全工作,組織落實企業信息安全工作的制度,對企業的信息系統的安全性進行評估。組織企業信息系統安全的宣傳與對企業員工進行信息安全基本常識的培訓。
2.2全企業信息系統的管理體系
完善信息安全管理的制度,主要包括:企業各級信息安全崗位職責與巡視制度。建立健全信息流程控制,員工進行數據錄用之前,首先要保證信息系統數據的合理性與合法性以及安全性,更為重要的是進行信息系統的安全管理,于此時同時,引進與強化計算機自動控制系統,以確保計算機系統與數據的安全性和數據處理的可靠性。
2.3建立信息系統的管理模型
信息主要體現三個方面的屬性:信息的可行性、信息的保密性以及信息的完整性。在信息安全管理工作中者三個屬性都是非常重要,對于縣級供電企業而言,保障信息安全的直接原因是確保企業信息的保密性。縣級供電企業信息的完整性與信息的可用性在從一方面來講是信息安全屬性中的附屬屬性,因此信息的保密性對于縣級供電企業來講顯得尤為重要。由此,而提出了有針對性的管理方法與管理模型。管理模型具體內容“執行力”、“堵”、“護”是信息安全管理簡化的總結。
2.3.1執行力:縣級供電企業建設企業文化與信息安全相互適應的體系縣級供電企業的信息安全系統必須能夠適應縣級供電企業文化。信息安全的管理方法不能與企業文化相互沖突,信息安全要有與之相適應的技術支持、監督管理方法等都會有效的提高縣級供電企業的信息安全水平。如果信息安全系統不能適應企業文化,企業的信息安全工作就不能有效的進行。
2.3.2堵:信息傳播途徑的管理“堵”針對的是信息傳遞的途徑管理,研究分析信息傳輸的各個途徑,禁止非法信息的訪問及傳遞。“堵”的工作在信息安全管理中是一個長期的工作,并且會隨著技術水平的進步,信息傳播的途徑也會越來越多,傳播的方法也會不斷的更新。“堵”的方法主要是由技術人員在信息的安全管理和計算機系統以及通信管理等方面進行。人員的安全管理是“堵”的核心內容,電力企業的信息資料都是由人來控制與管理的。對于人的管理也就是信息資料的管理,對于人的管理也是信息安全管理體系中最難的一部分。其中有這樣一句話“在企業中信息安全最大的風險在于一些心懷不測的員工可能帶來的風險”。即使這樣我們依舊可以使用一些有效的措施,對供電企業核心人員的管理,進而提升信息安全管理的水平。物力安全管理也是信息安全管理的重要一部分,對于縣級供電企業的機房等核心區域,要加強其管理力度,可以建立門禁系統,在此方面來減少信息安全的一些漏洞。網絡安全和計算機系統如今是發展最快的內容。市面上已經有非常多的安全產品用來解決一些安全方面的問題。對于安全產品的選擇應結合縣級供電企業現有系統,選擇的產品要能與現有系統相互兼容,有效的提高信息安全管理的水平。
2.3.3護:信息資源的保護信息安全的保護工作的根本目的是針對縣級供電企業重要且價值巨大的信息資料進行保護,這樣縣級供電公司信息安全工作可以有效的提高工作效率。一個縣級供電企業來說企業的投入的資源總是有限的,對于信息安全投入也是同樣的道理,怎樣才能在有限的投入為企業來取得最大的經濟效益,才是最明智的選擇。對于縣級供電企業來講重要的、價值巨大的信息資料的保護才是企業領導最應該關心的問題。核心信息資產的保護主要是通過核心流程梳理、容災和備份、文檔安全管理、數據保密、資產分級管理等一系列方法與手段對企業的核心信息進行管理保護。核心流程梳理:主要是由企業核心的業務流程,對其進行有效梳理,對于企業核心流程產生的信息進行分權與分級管理,這種管理是對企業核心信息在企業的整個生命周期進行管理。主要是由一些專業人員來主導進行的。容災和備份:對一些重要的信息,應該定期的進行備份,這樣可以在發生信息資源丟失或者損壞的情況下可以避免企業的損失。文檔安全管理:主要是對于企業比較重要的紙質文檔通過人工手段采取保護的手段,確保企業核心文檔資料的保密性。可以借助于文檔安全類的產品來實現。數據保密:數據的保密工作可以采用多種形式進行,以防止第三方盜取數據。縣級供電企業的大多數信息是存放在應用系統和數據庫中,對于數據庫的安全保護線的尤為重要。可以采取數據加密,數據備份等形式加以保護。
3結束語
執行力、堵、護在縣級供電企業的信息安全管理特別是在縣級供電企業信息安全管理的起步階段,會起到非常不錯的指導效果。隨著縣級供電企業信息安全管理的不斷完善,信息安安管理體系的建設可以這對企業所處不同的環境做進一步具體內容。信息安全管理水平的提高可以有效地提升縣級供電企業的市場競爭力,提高企業的經濟效益。
作者:馬遠 李恒 單位:國網河南省電力公司滎陽市供電公司
參考文獻:
[1]王凱麗.加強縣級供電企業信息安全建設和管理[J].科技與企業,2013(10):77~79.
[2]王衛平.企業信息安全管理研究[J].學術研究,2007(6):113~116.
(一)信息化安全認知匱乏
在我國,大多數中小企業信息建設管理中存在著明顯的認知不足,全球聯系的增強和市場的激烈競爭促使中小企業認識到了信息化建設的重要性,但是缺少足夠的信息安全管理認知,日常安全管理工作過于疏忽,沒有形成科學有效地安全管理體制,作為重要保護對象。中小企業內部不同的信息需要不同的方式進行安全管理,由于企業對于信息安全管理的重視程度不夠,針對安全管理投入力度難以形成有效的安全體系,無法保證信息安全。
(二)信息化安全管理制度不夠完善
由于我國信息化建設起步較晚,我國中小企業相較于西方發達國家信息建設程度還有所欠缺。企業內部對于信息安全管理缺乏科學的規章制度,難以做到信息合理有效的安全防護。安全管理制度的不完善導致了各項制度之間出現混淆,安全職責定位不夠明確,安全問題出現無從追求,這種現象在中小企業信息泄露中時有發生。
(三)缺乏相關技術人才
大部分中小企業由于對信息安全管理重視程度不夠,投入力度較輕,導致安全管理出現盲區。信息安全建設過程中對于相關人才的培養力度不夠,企業內部缺少專門的技術人才對安全管理盲區予以修復,進而導致信息泄露。
二、中小企業信息化安全管理完善措施
(一)強化信息安全意識
企業信息安全是企業健康平穩發展的基礎,由此中小企業內部每個員工都應該予以承擔相應的義務和責任。強化員工對于信息安全的意識,相比于技術安全更值得重視。所以,企業內部必須強化員工信息安全意識,營造內部良好的安全意識氛圍,提升員工信息安全防護能力。
(二)完善安全管理制度
有效地安全措施離不開科學的安全管理制度,企業需要強化制度建設力度,做到安全管理有章可循,對于企業內部用戶相關信息權限予以限制,明確,減少個人操作可能引發的信息泄露風險。在企業不斷發展的過程中,制度應隨著企業發展而創新升級,以滿足企業發展的需要。
(三)重點培養信息安全管理人才
任何一個企業發展的根本動力都是人才的支持,優秀的人才能夠促進企業內部穩定,工作效率提升,企業發展收益增強。在企業發展過程中,安全管理盲區需要相應的技術人員進行定期檢查,維護,針對存在的安全隱患及時有效地解決,規避風險的發生。
三、結論
關鍵詞:企業管理 企業信息管理 安全措施
全球經濟一體化趨勢的不斷增強,使得企業之間的競爭日益激烈,企業之間的空間也越來越小,在這種競爭形勢下,企業的經營方式和管理方式也隨之發生了變化。同時,我們也應當意識到,這種個變革促進了企業的信息化管理的進程,同時也使得企業與外部信息網絡的溝通方式得到了拓寬,企業內部的人與人、人與物的溝通方式也得到了優化,與此同時,企業信息管理的安全問題也逐漸受到了越來越多的重視。
一、企業信息管理
企業信息管理指的就是通過現代化的信息技術和設備,以網絡技術和網絡設備實現企業管理的自動化,進而對企業進行全方位和多角度的管理,以此來促進企業物流和能源流的優化配置,進而通過企業資源的開發和信息技術的有效利用來提高企業的管理水平,增強企業的核心競爭力。企業信息管理的主要內容,一般包括企業未來的經濟形勢分析、預測資料、資源的可獲量、市場和競爭對手的發展動向,以及政府政策與政治情況的環境變化等等。企業信息管理與制訂企業發展戰略、制訂規劃、合理地分配資源是密切相關的。同時,企業的信息管理也應當包括企業內部的信息資源,如財務管理信息、庫存、產品設計、職工檔案管理等多方面的內容,并且促進企業的全面發展。
二、企業信息安全管理的必要性
企業信息的存在方式有著多樣性,而進行企業安全信息管理的主要目的,在于保護企業的信息安全,保證企業能夠順利的參與到市場經濟活動中,進而提高企業的經濟效益和社會效益。企業信息安全管理主要有三個特點:
1.保密性
企業安全信息只有被授權的人才能夠進行訪問,具有較強的保密性。
2.完整性
信息本身和信息處理方法具有一定的準確性和完整性,才能夠確保企業信息管理的有效性。
3.可用性
企業安全信息具有一定的可用性,需要時可以通過授權用戶實現對信息的訪問。企業的安全信息管理能夠通過有效的控制措施來實現,前提是充分認識到企業信息安全管理的必要性。第一,企業管理的信息具有很強的保密性和完整性的特點,因此其對于企業的資金流動、企業的綜合競爭力等多方面都有著重要的影響,同時對于企業的商業形象與合法經營也至關重要,因此加強企業信息安全管理是必要的。第二,由于網絡自身所具有的開放性特性,決定了企業信息管理也面臨著來自各方面的安全威脅,比如計算機病毒、黑客等,以及計算機詐騙、泄密等問題,也說明了加強企業信息安全管理勢在必行。第三,企業對于信息系統產生的依賴也從另一方面暴露出了信息管理系統的脆弱,公共網絡與私人網絡的連接增強了信息的控制難度,使得信息在分散化的管理模式下,集中、專業控制的有效性大大的減弱。另外,由于很多信息管理系統設計的缺陷,其自身就存在著不合理之處,這對于信息安全管理也帶來了一定的難度。基于此,對于企業信息管理的安全性也成為了當前企業管理面臨的一個重大課題。
三、企業信息管理的安全防范措施
1.不斷完善的信息管理系統
信息管理系統的投入和使用,是建立在充分的實踐經驗的基礎上,通過一段時間的運行和觀察,才能夠投入使用。在不同的部門進行信息系統的引入時,應當按照部門的實際情況,通過多方引進,使用統一的信息管理系統。對于信息安全來說,首先要解決的就是系統是否能夠通過安全驗證對用戶進行有效的管理,并且賦予不同等級的用戶不同的使用權限,這樣則能夠有效的防止無權訪問信息的用戶對核心區域的訪問,保證信息不會被盜用。
2.有效的設備管理
對于管理系統中使用的設備品牌、機型、內部配置以及使用時間等信息都要進行專門的記錄,通過這些記錄,定期對設備進行維護,同時也能夠通過這些信息判斷出信息的使用效率以及運行情況,對于設備的損壞或者是丟失情況都能夠及時的了解。
3.加強對人員的監督與管理
人是設備的主要操作者,因此對于信息的安全管理,就需要加強對人的管理,這就需要操作人員具有足夠的安全意識,對于每一位操作人員都應當進行相關的培訓,對于唯一的用戶名和密碼等信息要進行妥善額保管,同時讓操作人員了解到泄密會導致的嚴重后果,增強責任意識。同時,要加強對各種票據的管理,對于票據的領用,相關人員要做好登記,同時要保留相吻合的票據號碼,用來存檔。通過不斷的加強過程管理,通過對每個細節的嚴密審查,能夠有效的減少渾水摸魚的現象,同時通過科學的評價機制和激勵機制,刺激人員工作的積極性,加強自身的責任意識。
4.多方研發和推廣網絡信息處理系統
網絡信息處理系統是在網絡計算技術的基礎上, 結合實現電子商務管理為方向。在可以提供互聯網環境下的管理方式、信息處理模式和別的各種功能的信息處理系統。網絡管理作為INTERNET與電子商務環境下信息處理系統的主流發展方向。跟傳統信息處理系統相比, 網絡系統還要有著各類輔助作用。
四、結束語
在現代市場經濟條件下,企業能夠對信息實施有效的安全管理,對于企業的綜合競爭力,有著重要的影響。而企業信息管理的安全性,主要與企業的信息安全管理體制是否完善、是否具有與企業文化相符合的信息安全管理辦法以及科學的評估方法等因素有著直接的關系,因此,企業應當不斷的加強對信息的安全管理,不斷提高企業的管理效率,以此促進企業實現持續、穩定的發展。
參考文獻
[1]黃國忠.企業信息安全風險自評估模型研究[D].浙江大學管理學院 浙江大學:管理科學與工程,2008.
[2]陳麗霞,楊超.基于Web的企業信息管理系統安全方案[J].電腦知識與技術,2008(25).
[3]翟俊.企業信息管理系統建設的現存問題與對策簡析[J].計算機光盤軟件與應用,2011(17).
一、目前企業網絡信息安全管理中存在的問題
目前各級供電企業對信息安全日趨重視,但主要側重于防備外來未授權用戶的非訪問,并過于注重如防火墻、入侵檢測等技術問題,忽略了信息安全中人的管理,造成了幾個突出問題:
1、人員安全意識淡薄
由于系統的專業教育與培訓不足,許多專業技術人員仍然抱著“防火墻等于安全”的僥幸心理,缺乏“防黑防毒”的意識和內部員工操作失誤或惡意攻擊的警惕性,對信息安全采取的防護措施非常簡單。大多數信息系統使用員工對信息安全知識和技能掌握不夠,認為信息安全只是技術部門的事,安全防護意識不強。
2、網絡信息機構不健全
有些供電企業沒有專門的信息技術運行機構或沒有規范的建制和崗位,人員配置又偏少,而且信息系統架構的分散也導致人力資源不集中,信息戰線拉得大長,幾乎沒有時間關注信息安全。由于IT技術發展很快,基層信息技術人員得不到相應的培訓,難以對日新月異的IT技術中有關主機、操作系統、數據庫、網絡、存儲、安全等方面作全面的了解和掌握,運行維護能力低下,系統安全監控不到位。
3、網絡信息安全管理專業化程度不夠
大多數基層供電公司缺乏專門的信息安全監督管理機構,或者沒有配備專業的信息安全監督管理人員,或者只設兼職。由于缺乏信息安全管理專業知識和技能,對信息安全特殊性認識不足,難于發揮有效的信息安全監督管理,使信息安全管理工作處于一種似管非管或基本不管的真空狀態。
4、管理制度滯后且執行不力
隨著國網公司集中集成工作的展開和信息網絡基礎建設不斷加強,原有的信息安全管理制度已相對滯后,而且有些制度不完全適合基層實際,個別條款操作性較差,難于執行,這就造成制度執行不力、有章不循、違規操作,這些都增加了信息安全風險。
二、加強企業網絡信息安全管理的幾點建議
1、加強全員網絡信息安全意識教育
通過普及信息安全知識教育,提高企業員工網絡信息安全知識和安全意識,掌握發現、解決某些常見安全問題的能力。信息安全教育的具體內容一般應包括以下內容:(1)信息安全所面臨的風險;
(2)企業信息安全方針及目標;
(3)企業安全管理規章制度;
(4)與信息安全有關的其它內容。通過安全教育使所有員工增強整體信息系統的安全防護意識。
2、加強企業員工相應技能培訓
為了確保企業員工在日常工作過程中具有保護企業信息安全方面的能力,應當加強對員工計算機安全技能培訓,教育員工平時應做到所有操作應符合規定、不得向他人泄露自己的操作口令、不訪問陌生的網站、不瀏覽或打開一些來歷不明的郵件及附件、外來光盤、U盤等存儲設備須先殺毒后使用、發現問題立即通知技術人員處理等基本的安全技能。
3、健全信息技術部門建設
根據需要合理配置信息技術人員,加強信息技術隊伍建設,明確機房管理員、網絡管理員、應用系統管理員、數據庫管理員、防病毒管理員、運行維護員等崗位配置,重要崗位設置A、B崗,落實崗位職責具體到人。對技術人員應注重技術培訓,可以定期或不定期參加各種針對性的技術培訓,增強技術儲備力度。
4、加強信息安全規章制度建設
建立健全適應企業實際的安全管理制度是信息安全管理的前提。標準化的安全管理,能夠克服傳統管理中個人的主觀意志驅動的管理模式。應在對企業信息安全評估下,根據單位實際情況,遵照上級有關規定,制定出切實可行、全面的安全管理制度。如:保密制度、機房管理制度、網絡運行管理制度、應用系統運行管理制度、設備維護工作制度、值班制度、計算機系統使用規范等,管理制度應明確描述所有信息技術人員以及信息系統使用人員的信息安全職責和信息系統日常使用規范,規范信息系統操作流程,減少人為失誤。
5、建立安全監督保證體系
成立安全領導小組,由分管領導抓信息安全工作,并設置一個獨立于信息技術部門的信息安全管理監督部門作為企業的信息安全日常管理機構,根據信息系統安全需要設定安全事務的職位,負責企業范圍內信息安全監督管理工作。各部門應配備計算機技能較強的信息安全專兼職人員,負責所在部門信息安全制度的落實和執行,形成良好的信息安全監督保證體系。
6、加強信息安全考核力度
隨著社會經濟的不斷發展,網絡時代逐漸進入人們的生活,計算機被運用在了各個領域中,成為促進社會發展的重要媒介。而與此同時,企業信息安全問題也逐漸凸顯出來,嚴重阻礙了企業的可持續發展,因此,在網絡時代背景下研究企業安全風險和控制具有重要意義。
1 企業信息安全相關概述
1.1 信息安全的含義
迄今為止,對信息安全依然沒有一個統一和公認的定義。但是從國內外研究來看,對其主要存在2種說法:一種指的是具體信息安全技術系統的安全;而另一種則指的是某些特定的信息體系的安全。上述2種定義主要站在靜態的角度上闡述了信息安全的基本層面,但是信息系統和網絡的影響決定了信息安全是一個動態的改變,其主要是防止企業信息遭到惡意泄露、破壞、更改[1]。信息安全的最終目的是向合法的對象提供安全、可靠的信息。
1.2 信息安全在企業中發揮的重要作用
企業信息作為企業的寶貴資源,保證企業信息的安全性對企業的生存和發展具有重要作用,主要體現在以下3個方面:一是企業信息安全是保障企業正常運行的基本前提。在網絡時代背景下,企業信息安全的內容更廣泛,再加上現代企業制度的不斷建立和完善,越來越多的企業依靠信息數據庫開展各項工作,例如:對于市場情況的分析、做出重大決策等等。二是保障企業信息安全是提高企業市場競爭力的必備條件。隨著市場經濟的不斷完善,企業面臨的競爭也越來越激烈,在這種形勢下,企業要想獲取市場競爭優勢就需要依靠信息安全來實現。三是企業信息安全作為企業發展戰略中重要的組成部分,而企業實施各項戰略主要是通過自身的經營活動、財務信息等開展的,這些數據也能夠將企業的戰略實施方法以及下一步計劃詳細地反應出來,因此,如果企業的信息安全無法得到保障,那么企業要實施各項戰略難度也很大。
2 網絡時代下企業信息安全風險分析
2.1 缺乏高度的信息安全風險意識
在網絡時代的浪潮下,很多企業都在逐步加強自身信息安全的建設,通過加大資金投入、創新技術等措施來保障自身的信息安全,然而,對信息風險的控制并非僅僅依靠技術就可以實現,更重要的是人們要樹立起信息安全的風險意識。但是從當前來看,還有很大一部分企業的領導者、管理者、員工缺乏對信息安全風險的高度重視,主要表現在:個別人甚至片面地認為信息安全僅僅是網絡部門的責任,跟自身沒有多大關系;二是有個別企業領導者認為對信息安全的宣傳過度夸張,遭受網絡攻擊的概率小,一般不會發生在自己身上;三是個別企業沒有建立信息安全風險管理體系,再加上企業缺乏具體的故障系統,導致企業信息安全遭到風險時,員工往往手足無措,雖說有些企業針對自身的信息安全制定了一系列規章和制度,但是由于缺乏針對性和操作性,導致這些制度無法得到真正落實。
2.2 應用系統的安全性不高
企業要實現信息化建設的目的,少不了各種應用系統作支撐,但是從實際情況來看,很多企業還存在著應用系統的安全性不高等問題,進而導致企業在數據傳輸和存儲等方面存在漏洞。如此容易被一些病毒、惡意軟件竊取,實現非法訪問,進而引發企業信息丟失或者泄露等安全風險。另外,很多企業應用系統的安全方模式也較為單一,絕大部分主要是采用“口令”的方式進行認證,無法實現對信息安全全方位的防范。另外,企業設置的密碼過于簡單、操作不規范等等都會增加應用系統安全的風險。
2.3 技術設備和設施的作用發揮不足
個別企業為了防范信息安全風險,針對一些重要信息設置了安全設備,但是由于操作條件和參數設施不夠合理,無法將這些設備的作用充分發揮出來。還有很多企業沒有通過建立工作日志來對安全設備、設施的運行情況進行監控,進而不能根據企業的經營情況對信息安全進行風險控制,更無法采取有效措施保障企業風險管理。
3 網絡時代下控制企業信息安全風險途徑分析
3.1 加強信息安全教育,提高信息安全風險意識
由于在企業信息安全控制中,提高員工的信息安全意識是保證企業信息安全的決定性因素,因此,企業應該加強對員工的信息安全教育,幫助員工樹立起信息安全風險意識,例如:企業可以利用一些重大節日開展關于信息安全的演講比賽、征文比賽,也可以通過建立適當的激勵制度以及開展培訓活動等途徑來加強員工對信息安全重要性的認識,進而提高自身的信息安全風險防范意識和觀念。
3.2 加強信息化建設,設置信息安全管理部門
在企業信息化建設中,信息安全作為重要的基礎,企業要強化自身的內部控制,就應該落實信息安全的建設工作。加強信息化建設首先需要企業將信息安全納入安全管理范圍內,進而突出信息安全建設管理的重要地位;然后不斷健全信息安全的責任制度,爭取形成信息安全聯動管理機制,確保信息安全管理的有效性;最后,在企業中設置信息安全管理機構,該部分的主要職能為企業信息安全建設、管理以及員工的信息安全教育培訓工作等,從而為企業的信息安全風險控制創建一個良好的內部環境[2]。
3.3 運用新技術,加強信息安全風險防范
當前控制信息安全風險常見的主要有VPN技術和防火墻技術:(1)VPN技術。VPN主要指的是在公共網絡的虛擬專用網絡中建立一個臨時的安全鏈接,在通常情況下,對VPN內部進行擴展可以實現遠程操作,建立一條分公司、商業合作商和供應商跟公司內部網絡安全聯系,從而確保信息交換的安全性,保證數據傳輸的安全性。(2)防火墻技術。防火墻也被稱為訪問控制系統,主要是通過對網絡做拓撲結構和服務類型上的隔離來保障網絡安全。運用防火墻技術可以保證企業的內部網絡免受外部網絡的侵占,并阻斷非法訪問的外部網絡進入企業內部網絡,保證企業信息和資源的安全。
4 結 語
總之,網絡時代的產生為企業發展創造了新的模式和發展契機,但與此同時,企業的信息安全也面臨著很大的威脅,在很大程度上制約了企業的可持續發展。要實現對企業信息安全風險的控制,首先應該找準企業信息安全的風險點,然后采取對應措施,如:加強信息安全教育、加強信息化建設、運用新技術等幾個方面來控制信息安全風險。
作者:袁亮 來源:中國管理信息化 2015年17期
1.1信息化機構建設不健全
電力企業很少為信息管理部門專門設置機構,因而缺乏應有的規范的崗位及建制。大多信息部門附屬在技術部、科技部或總經理工作部門下,甚至僅設置一個專責人員負責。信息化管理是一項系統性的工程,沒有專門的部門負責是不能滿足現代企業信息化安全的需求的。
1.2企業管理阻礙信息化發展
有些電力企業管理辦法革新緩慢,大多采用較落后的、非現代信息化企業的管理模式。這樣的企業即便引入最完善的信息管理系統、最先進的信息化設備,也只能受落后的企業管理模式所制約,無法發揮其應有的作用。
1.3網絡結構不合理
電力企業大多將公司網絡分為外網和內網,兩種網絡之間實行物理隔離措施,但很多企業的網絡交換機是一臺二層交換機,決定了內網和外網用戶在網絡中地位是平等的,導致安全問題只能靠完善管理系統去解決,給系統編寫帶來很多不必要的困難。
1.4身份認證缺陷
電力企業一般只建立內部使用的信息系統,而企業內部不同管理部門、不同層次員工有不同等級的授權,根據授權等級不同決定各部門和員工訪問的數據和信息不同。這類授權是以身份認證為基礎的信息訪問控制,但在當前的企業身份認證系統中大多存在缺陷和漏洞,給信息安全留下隱患。
1.5軟件系統安全風險較大
軟件系統安全風險指兩方面,一是編寫的各種應用系統可能有漏洞造成安全風險,二是操作系統本身風險,隨著近期微軟停止對windowsXP系統的服務支持,大量使用windowsXP系統的信息管理軟件都將得不到系統漏洞的修補,這無疑會給信息安全帶來極大風險。
1.6管理人員意識不足
很多電力企業員工網絡安全意識參差不齊,一方面是時代的迅速發展導致較年輕的管理人員安全意識較高,而對網絡接觸較少的中老年員工網絡安全意識較為缺乏;另一方面也有電力企業管理制度不夠完善、忽視對員工進行及時培訓的原因。在這種人員背景下,如果管理人員配備不當、信息管理系統設置不合理都會給企業信息埋下安全隱患。
2、電力企業網絡信息安全管理措施
要建立完善合理的網絡信息安全管理體系,需要各企業認清企業現狀,根據實際進行統一規劃,分部建設,保證建設內容能科學有效的運行。
2.1加強信息安全教育培訓
不論計算機程序有多么先進多么完善,如果操作管理人員素質和意識不足,那也不能保證企業信息化的安全。因此,實現企業網絡信息安全管理的根本在人,可以根據員工職責分層次進行培訓,一方面提高安全管理員工的專業知識水平及安全管理意識,另一方面加強對一線工作人員的安全意識教育,將網絡信息安全變為企業文化和精神支柱的一部分。
2.2完善管理制度建設
電力企業要把網絡信息安全管理視為一個系統工程來考慮,必須在企業內部建立起合理而完善的管理制度,比如:加強網絡日志管理;對安全審計數據嚴格管理;在企業網絡上安裝病毒防護軟件;規定不能隨意在內網主機上下載互聯網數據、不能在內網計算機上隨意使用來歷不明的移動存儲設備等。
2.3不斷更新完善信息安全管理系統
大力推進信息安全新技術的探索和應用,建立信息安全防護體系,可以圍繞數據庫安全、數據備份和恢復、網絡服務完全、病毒防護系統的應用、數據加密技術及數據傳輸安全等方面建立一個多方面多層次聯合的技術安全體系,從而提高信息系統安全防護能力,確保企業信息安全可靠。
3、總結
電子信息技術指的是使用通信手段對信息進行傳遞、存儲、處理和顯示的一種技術,總地來說,信息技術主要由以下四個方面構成:(1)識別和感應測試技術。主要包含信息提取、信息識別、信息檢測等技術,這種類型技術稱為傳感技術,可以提高人類的信息感知能力。(2)信息傳遞技術。主要是從功能上實現信息可靠、快速、安全轉移的目的。(3)信息處理和再生技術。信息處理技術主要包含了對信息進行壓縮、編碼和加密,在處理信息的基礎上形成一種層次更深的決策信息。(4)信息使用技術。這種技術主要包含了信息控制技術和顯示技術,在當前科學技術不斷進步、經濟不斷發展的情況下,現代信息技術正逐漸成為一門綜合性比較高的科學技術,并已經成為現代化企業管理中不可或缺的部分,信息時代的到來,正逐漸改變著傳統企業的管理模式。
2電子信息技術在企業應用中存在的問題
2.1防范意識弱
目前,信息化建設已經成為大多數企業管理工作中的主要構成部分,為了提高企業管理的安全性能,企業不斷加大在資金和技術方面的投入。由于企業信息安全管理問題不單單是技術上存在的缺陷,和企業員工信息安全的重視程度以及信息安全風險意識也有很大關聯。在日常企業管理中,部分企業員工對企業宣傳的信息安全問題不夠重視,認為在企業管理中真正受信息安全問題困擾的內容很少。還有一些企業員工認為信息安全是IT部門的責任,跟自己的部門并沒有關聯。有些企業信息管理的操作性和針對性都不夠強大,信息化程度落后,即使對員工規定了信息安全的規章制度條例,員工也從未按照規章制度辦事。這些問題都說明對于信息安全問題企業員工還是不夠重視,在信息安全管理方面提防意識薄弱。
2.2病毒的傳播
一直以來,計算機病毒一直危害著企業信息網絡的安全性,在互聯網上存在著各種各樣的網絡病毒。在企業日常運營的過程中,員工需要經常接觸網絡,稍有不慎,就有可能導致計算機感染病毒,一旦電腦出現病毒,輕者對使用者的工作效率造成影響,導致計算機的運行速度降低,重者會導致計算機處于癱瘓的狀態,將用戶的相關程序禁止。如果在用戶不知情的情況下,電腦中被黑客植入了木馬,電腦就會被黑客遠程控制,非法取得電腦上的相關信息。這些網絡安全問題都需要企業給予足夠的重視。
2.3存在信息安全漏洞
目前,電子信息技術雖然有著良好的發展勢頭,但是在管理方面和應用方面的發展還不夠完善,在實際的使用過程中經常還會出現安全漏洞方面的問題,不管是系統軟件還是電子信息的運營都會有比較大的漏洞存在。如果在企業管理的過程中,沒有及時將系統漏洞解決,就存在被黑客入侵的隱患,極大地威脅到了企業的系統安全。當前,市場的競爭非常激烈,很多企業法人為了獲得更高的利潤,會買通黑客入侵到對手企業的管理系統中,破壞和攻擊對手企業的管理系統。而且,一些技術員工如果對企業存在不滿,也會利用系統存在的漏洞對企業管理系統進行攻擊,導致企業管理數據丟失,影響企業正常的管理運營,甚至會造成不可估量的經濟損失。
2.4受到非法入侵和惡意攻擊
目前,在企業管理中,非法入侵和惡意攻擊已經成為了一種常態,在企業信息網絡運行的過程中經常會遇到這種問題。例如,黑客可以通過網絡非法入侵到企業的管理系統中,惡意終止某個程序的正常運行或者對企業的某個商業活動進行終止,從而影響企業的正常運行。此外,黑客還可以使用木馬病毒非法盜取企業的機密,對企業的正常運營造成了極大的影響。
3提高電子信息技術在企業安全管理中應用的措施
3.1提高防火墻設計
由于企業員工在上網的過程中,經常會因為操作失誤導致企業信息管理系統被黑客入侵,嚴重威脅了企業的健康發展。一直以來,企業信息管理的安全維護都是由多個安全設備共同操作實現的,各種功能和品牌不同的設備在運行的過程中,企業的網絡就會呈現出一種混亂無序的狀態,而且還會出現無法兼容的情況,對網絡的正常運行造成了極大的影響,為了保證系統的安全,就需要配置比較多的人力。為了對這種問題進行解決,企業可以通過終端安全系統,提高企業信息技術管理,防止黑客入侵。企業防火墻的設計如圖1所示,所有的信息數據都需要通過防火墻進行安全檢測后,才可以進入到企業的內部服務器。在通信的過程中,防火墻會對每個連接發起和結束的整個過程進行檢測,對H.32、FTP協議等進行分析,監控和審計客戶端行為,及時對系統漏洞進行修補。此外,企業要根據自身的實際情況,訂制終端管理系統的功能,從而全面地對企業信息管理的安全性和可靠性進行提升。
3.2提高員工對信息安全的認識度
由于人們的行為活動都是在潛意識的引導下開展的,所以,在信息安全問題管理的過程中,要使員工對信息安全的認識度進行提升,從意識的層面重視企業的信息安全管理。信息的安全性直接影響到了企業未來的發展和生存,只有所有的員工都認識到信息安全管理的重要性,才可以在日常工作中有意識地對企業的機密信息進行保護。在實際的管理過程中,企業首先要培養出具有專業技術的管理人員和技術人員,定期對這些技術人員進行培訓,為企業信息管理的安全性打下堅實的基礎。其次,企業信息管理部門要全面掌控企業的信息資源,根據部門的不同,對管理系統的安全系數進行提升,實時監測各個部門的相關信息,并根據歷史入侵信息,適當地對信息安全管理的手段進行調整,使信息的存儲持續處于一種變化的過程中。如此一來,企業的信息安全性就會得到極大的提高,企業信息泄露的概率會大幅度降低,從而最大程度保證企業的利益。
3.3 提高基礎建設資金的投入力度
對于企業信息管理來說,信息管理的安全性是非常重要的,所以,企業要提高信息安全管理基礎設施的投資力度,采購一些安全系數比較高的設備,定期對技術人員進行培訓。企業每年劃出一部分資金投入到企業的安全管理中,具體的投入金額要根據企業的實際發展情況進行確定。目前,很多企業的信息管理設備都出現了嚴重的老化,對于這種情況,企業要提高設備線路的維護和檢修,在購買相關的管理設備時,要評估設備的功能,判斷其是否可以全面解決安全問題,設備的使用流程是否過于復雜。例如,為了防止企業因為停電而導致無法運營的情況,企業可以采購一些UPS電源來保證企業安全管理系統可以持續運營,避免因停電等事故造成的數據損失的情況出現。
3.4提高企業網絡平臺的建設
通過配合使用軟件和安全芯片,可以建立出一個私密的存儲平臺,這種安全平臺目前已經在很多的公司進行推廣運用,通過這種平臺可以為企業提供更加全面的保護,避免出現企業機密泄露的情況。而且,企業可以根據各種使用要求,通過內部權限設置相應的工作組和共享平臺。例如,某公司在建立關鍵項目的共享文件時,可以首先建立封閉的局域工作網絡,權限設置為只有相關人員進行瀏覽,如此一來,就降低了機密文件被盜用的可能性,為企業信息安全的管理提供了技術保障。
4結語
