小企业信息安全范文

时间:2023-06-30 17:57:50

导语:如何才能写好一篇小企业信息安全,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

小企业信息安全

篇1

关键词:信息化信息安全网络安全

根据国家统计局年初公布的数字显示,国内企业总体的99%都是中小企业,他们贡献了超过一半的国内GDP。但截止到目前,这些中小企业的信息化水平仍然比较落后,其中针对信息安全的投人,更是凤毛麟角。

对于国内占大多数的中小企业来说,如何在充分利用信息化优势的同时,更好地保护自身的信息资产,已经成为一个严峻的挑战。特别是近两年来,网络上的病毒、攻击事件频发,信息安全问题正在日益成为中小企业信息化进程中的难题。

一、什么是信息安全

信息是一种资产,与其它重要的资产一样,它对一个组织而言具有一定的价值,因此需要适当的加以保护,而信息又可以以多种形式存在。如可以打印或者写在纸上,以数字化的方式存储,通过邮局邮寄或电子手段发送,表现在胶片上或以谈话的方式说出来。总之,信息无论以什么形式存在,以什么方式存储、传输或共享,都应得到恰当的保护。

所谓信息安全是指信息具有如下特征:

安全性:确保信息仅可让授权获取的人士访问;完整性:保护信息和处理方法的准确和完善;可用性:确保授权人需要时可以获取信息和相应的资产。

信息安全是指使信息避免一系列威胁,保障商务的连续性,最大限度地减少业务的损失,从而最大限度地获取投资和商务的回报。它主要涉及到信息传输的安全、信息存储的安全、以及网络传输信息内容的审计三个方面,它可以通过实施一整套恰当的措施来获得。但目前我国的信息安全令人堪忧,随着政府上网和企业信息化的推进,越来越多的企业的日常业务已经无法脱离网络和信息技术的支持,那么我国中小企业的信息安全现状如何呢?

二、我国企业信息安全的现状

(一)企业的重视程度

随着信息化的加快,企业信息安全越来越受到重视,而我国的中小企业信息安全现阶段正处于初级阶段。在推进企业信息化的进程中,有些中小企业对于信息化概念的认识远远不够,它们认为购置几台电脑放到公司,日常用来打打字,将单个机器连结到网上企业就信息化了,远远没有认识到信息技术给企业所能带来的巨大的变化,对于网络安全更是没有意识。

据调查,目前国内90%的网站存在安全问题,其主要原因是企业管理者缺少或没有安全意识。某些企业网络管理员甚至认为其公司规模较小,不会成为黑客的攻击目标。如此态度,网络安全更是无从谈起。

(二)资金、技术、人员方面情况

已建立了企业内部信息化平台的企业,由于资金、技术等方面的原因,还没有把重点放到网络安全管理上,尤其是中小企业的安全问题一直隐患重重。

据了解,许多中小企业没有专门的网络管理员,一般采用兼职管理方式,这使中小企业的网络管理在安全性方面存在严重的漏洞,与大型企业相比,它们更容易受到网络病毒的侵害,损失也比较严重。

根据IDC对年我国政府、企业用户的信息安全状况分析,约有34.8%的企业因内部雇员的行为(包括对内部资源的不合理使用和对内部数据缺乏有效保护)而造成企业出现安全问题。

(三)网络维护、运行、升级方面的情况

在网络的维护、运行、升级等事务性工作方面,由于工作繁重而且成本较高,一些善于精打细算的中小企业在防范黑客及病毒方面舍不得投入,据相关调查数据资料统计,国内七成以上的中小企业,一是缺乏基本的企业防毒知识,购买一些单机版防毒产品来防护整个企业网络的安全。二是采购了并不适合自身网络系统的企业防毒产品,因此留下许多安全隐患。三是技术力量薄弱,虽然部署了企业防毒产品,但是这些产品操作难度大、使用复杂,最终导致很难全面发挥效用,甚至成了摆设,这样一来企业内部网络就根本没有什么安全而言。

三、如何保证我国中小企业的信息安全

(一)从企业的自身情况考虑

要解决中小企业网络信息安全问题,不能仅依靠企业的安全设施和网络安全产品,而应该考虑如何提高企业自身的网络安全意识,将信息安全问题提升到重视的高度,要重视“人”的因素。具体表现在以下两个方面:

1.提高安全认识

定期对企业员工进行网络安全教育培训深化企业的全员信息安全意识,企业管理层要制定完整的信息安全策略并贯彻执行,对安全问题要做到预先考虑和防备。

2.要求中小企业在上网的过程中要做到“一做三不要”

(1)将存有重要数据的电脑坚决同网络隔离,同时设置开机密码,并将软驱、硬盘加密锁定,进行三级保护。

(2)不要在自己的系统之内使用任何具有记忆命令的程序,因为这些程序不但能记录用户的击键动作甚至能以快照的形式记录到屏幕上发生的一切。

(3)不在网上的任何场合下随意透露自己企业的任何安全信息。

(4)不要启动系统资源共享功能,最后要尽量减少企业资源暴露在外部网上的机会和次数,减少黑客进攻的机会。

(二)从网络安全角度考虑

1.从网络安全服务商的角度来说,服务商要重视中小企业对网络安全解决方案的需要,充分考虑中小企业的现实状况,仔细调查和分析中小企业的安全因素,开发出适合中小企业实际情况的网络安全综合解决方案。此外,还应该注意投入大量精力在安全策略的施行及安全教育的开展方面,这样才能为中小企业信息安全工作的顺利开展提供坚实的保证。

2.要用防火墙将企业的局域网(Intranet)与互联网之间进行隔离。由于网络攻击不断升级,对应的防火墙软件也应该及时跟着升级,这样就要求我们企业的网管人员要经常到有关网站上下载最新的补丁程序,以便进行网络维护,同时经常扫描整个内部网络,以发现任何安全隐患并及时更改,才能做到有备无患。

3.企业用户最好自己学会如何调试和管理自己的局域网系统,不要经常请别人来协助管理。中小企业要培养自己解决安全问题的能力,提高自己的信息安全技术。如果缺乏这方面的人才就应该去引进或者培养相关人才。

4.内部网络系统的密码要定期修改。

由于许多黑客利用穷举法来破解密码,像John这一类的密码破解程序可从因特网上免费下载,只要加上一个足够大的字典在足够快的机器上没日没夜地运行,就可以获得需要的账号及密码,因此,经常修改密码对付这种盗用就显得十分奏效。当然,设定密码也有很深的学问,只有随意性强、有足够的长度并及时更新的密码才能算是比较安全的密码。

5.要经常使用杀毒软件来维护局域网系统不受病毒攻击。现在国内的杀毒软件都推出了清除某些特洛伊木马的功能,可以不定期地在脱机的情况下进行检查和清除。另外,有的杀毒软件还提供网络实时监控功能,这一功能可以在黑客从远端执行用户机器上的文件时,提供报警或让执行失败,使黑客向用户机器上载可执行文件后无法正确执行,从而避免了进一步的损失。

6.同其它企业进行联合,共同抵制黑客的入侵,一旦被入侵要及时向有关部门汇报,并共同查找入侵来源,锁定黑客IP地址。将网络的TCP起时限制在15分钟以内,减少黑客入侵的机会。并扩大连接表,增加黑客填写整个连接表的难度。

四、结束语

篇2

    在企业的管理信息系统中有众多的企业文件在流转,其中肯定有重要性文件,有的甚至涉及到企业的发展前途,如果这些信息在通用过网络传送时被竞争对手或不法分子窃听、泄密、篡改或伪造,将会严重威胁企业的发展,所以,中小企业电子信息安全技术的研究具有重要意义。

    一、中小企业的信息化建设意义

    在这个网络信息时代,企业的信息化进程不断发展,信息成了企业成败的关键,也是管理水平提高的重要途径。如今企业的商务活动,基本上都采用电子商务的形式进行,企业的生产运作、运输和销售各个方面都运用到了信息化技术。如通过网络收集一些关于原材料的质量,价格,出产地等信息来建立一个原材料信息系统,这个信息系统对原材料的采购有很大的作用。通过对数据的分析,可以得到跟多的采购建议和对策,实现企业电子信息化水准。有关调查显示,百分之八十二的中小企业对网站的应还处于宣传企业形象,产品和服务信息,收集客户资料这一阶段,而电子商务这样关系到交易的应用还不到四分之一,这说明企业还未充分开发和利用商业渠道信息。中小企业信息化时代已经到来,企业应该加快信息化的建设。

    二、电子信息安全技术阐述

    1、电子信息中的加密技术

    加密技术能够使数据的传送更为安全和完整,加密技术分为对称和非对称加密两种。其中对称加密通常通过序列密码或者分组机密来实现,包括明文、密钥、加密算法以及解密算法等五个基本组成成分。非对称加密与对称加密有所不同,非对称加密需要公开密钥和私有密钥两个密钥,公开密钥和私有密钥必须配对使用,用公开密钥进行的加密,只有其对应的私有密匙才能解密。用私有密钥进行的加密,也只有用其相应的公开密钥才能解密。

    加密技术对传送的电子信息能够起到保密的作用。在发送电子信息时,发送人用加密密钥或算法对所发的信息加密后将其发出,如果在传输过程中有人窃取信息,他只能得到密文,密文是无法理解的。接受着可以利用解密密钥将密文解密,恢复成明文。

    2、防火墙技术

    随着网络技术的发展,一些邮件炸弹,病毒木马和网上黑客等对网络的安全也造成了很大的威胁。企业的信息化使其网络也遭到同样的威胁,企业电子信息的安全也难以得到保证。针对网络不安全这种状况,最初采取的一种保护措施就是防火墙。在我们的个人电脑中防火墙也起到了很大的作用,它可以阻止非黑客的入侵,电脑信息的篡改等。

    3、认证技术

    消息认证和身份认证是认证技术的两种形式,消息认证主要用于确保信息的完整性和抗否认性,用户通过消息认证来确认信息的真假和是否被第三方修改或伪造。身份认证使用与鉴别用户的身份的,包括识别和验证两个步骤。明确和区分访问者身份是识别,确认访问者身份叫验证。用户在访问一些非公开的资源时必须通过身份认证。比如访问高校的查分系统时,必须要经过学号和密码的验证才能访问。高校图书馆的一些资源要校园网才能进行访问,非校园网的不能进入,除非付费申请一个合格的访问身份。

    三、中小企业中电子信息的主要安全要素

    1、信息的机密性

    在今天这个网络时代,信息的机密性工作似乎变得不那么容易了,但信息直接代表着企业的商业机密,如何保护企业信息不被窃取,篡改,滥用以及破坏,如何利用互联网进行信息传递又能确保信息安全性已成为各中小企业必须解决的重要问题。

    2、信息的有效性

    随着电子信息技术的发展,各中小企业都利用电子形式进行信息传递,信息的有效性直接关系的企业的经济利益,也是个企业贸易顺利进行的前提条件。所以要排除各种网络故障、硬件故障,对这些网络故障带来的潜在威胁加以控制和预防,从而确保传递信息的有效性。

    3、信息的完整性

    企业交易各方的经营策略严重受到交易方的信息的完整性影响,所以保持交易各方的信息的完整性是非常重要对交易各方都是非常重要的。在对信息的处理过程中要预防对信息的随意生成、修改,在传送过程中要防止信息的丢失,保持信息的完整性是企业之间进行交易的基础。

    四、解决中小企业中电子信息安全问题的策略

    1、构建中小企业电子信息安全管理体制

    解决信息安全问题除了使用安全技术以外,还应该建立一套完善的电子信息安全管理制度,以确保信息安全管理的顺利进行。在一般中小企业中,最初建立的相关信息管理制度在很大程度上制约着一个信息系统的安全。如果安全管理制度出了问题,那么围绕着这一制度来选择和使用安全管理技术及手段将无法正常进行,信息的安全性就得不到保证。完善,严格的电子信息安全管理制度对信息系统的安全影响很大。在企业信息系统中,如果没有严格完善的信息安全管理制度,电子信息安全技术和相关的安全工具是不可能发挥应有的作用的。

    2、利用企业的网络条件来提供信息安全服务

    很多企业的多个二级单位都在系统内通过广域网被联通, 局域网在各单位都全部建成,企业应该利用这种良好的网络条件来为企业提供良好的信息安全服务。通过企业这一网络平台技术标准,安全公告和安全法规,提供信息安全软件下载,安全设备选型,提供在线信息安全教育和培训,同时为企业员工提供一个交流经验的场所。

    3、定期对安全防护软件系统进行评估、改进

    随着企业的发展,企业的信息化应用和信息技术也不断发展,人们对信息安全问题的认识是随着技术的发展而不断提高的,在电子信息安全问题不断被发现的同时,解决信息安全问题的安全防护软件系统也应该不断的改进,定期对系统进行评估。

    总之,各中小企业电子星系安全技术包含着技术和管理,以及制度等因素,随着信息技术的不断发展,不仅中小企业办公室逐渐趋向办公自动化,而且还确保了企业电子信息安全。

    参考文献:

    [1]温正卫;信息安全技术在电子政务系统中的应用[J];软件导刊,2010

    [2]闫兵;企业信息安全概述及防范[J];科学咨讯,2010

篇3

关键词:中小企业;信息安全;防火墙;VPN

1背景目前

我国很多中小企业都开始广泛使用信息化手段提升自身的竞争力,借助信息化,企业可以更有效地管理资源,优化组合,提高企业运营效率,帮助企业更快的了解市场行情,促进企业发展。但与此同时信息安全问题也日益突出,每年企业因信息系统的安全问题而遭受经济损失难以估量。本文针对太仓中小企业网络信息安全现状进行深入调研,走访企业了解企业网络信息安全的配置情况,可能存在的问题,然后根据现有的网络安全技术和手段帮助企业解决问题,以满足企业需求、投入资金少、专业技术管理人员投入少为需求给出解决策略,避免因信息安全问题造成的经济损失。

2中小企业网络信息安全现状研究

经调研分析,目前中小企业大致可以分为两类,一类是国内企业,一类是外企也就是总部在国外,国内有分公司或者工厂。总的来说,所有的中小企业都有自己的计算机网络、典型应用系统如办公自动化系统、信息查询系统、web应用、邮件服务、财务和人事系统等。根据中小企业计算机网络应用特点,一般需要保证数据具有实时性、机密性、安全性、完整性、可用性和不可抵赖性。太仓中小企业众多,光德资企业就有200多家。企业的产品信息、业务数据、销售订单都需要利用信息化系统进行处理,有的甚至需要大数据平台分析处理,那么信息系统的安全性也是尤为突出的一个问题。对太仓中小企业而言,构建一个安全、可靠的IT系统是关系到企业能否适合时代新技术,健康良好快速发展的关键因素之一。太仓众多外企总部都在国外,因此总公司和分公司之间需要经常传输大量的数据,其中包括很多重要甚至机密的数据,对于数据传输的保密性、完整性要求更高。针对这些特点目前中小型企业网络存在的主要安全问题有:

1)弱口令造成信息泄露威胁目前中小企业使用的各类系统较多,包括邮件、ERP、内部OA系统、电子商务系统等。面对众多的系统,员工要设置各类密码,非常麻烦,所以基本都会设置简单的便于记忆的弱口令,而且很多系统都设置相同的密码,长期不对密码进行更改,这样就很容易造成密码泄露,一旦成功入侵企业内部网络,就很容易窃取到密码非法进入系统获取资料。

2)网络病毒威胁中小型企业员工一般都是单独使用计算机,并且所有计算机都可以访问互联网,员工根据自己的情况自行安装防病毒系统,由于员工对病毒预防知识和防病毒软件的使用方法掌握情况不同,如果不能正确安装使用防病毒软件,一台计算机感染病毒很快就传播到企业内部的多台计算机,甚至导致企业内部网络瘫痪。

3)企业主干网络没有划分VLAN中小型企业网络系统中,由于网络规模小,没有专业网络设计维护人员,为了省事和方便,很多企业的系统没有划分VLAN或者没有按要求细化,造成同一广播域中计算机数量过多,容易造成广播风暴和网络带宽严重浪费。

4)无线网络密码泄露无线网络的方便快捷使得它在企业中的应用快速发展起来,一般企业公司都在工作区域安装无线路由器等无线设备,方便公司员工及外来人员进入公司内部网络或者互联网。但由于无线密码设置简单,很容易被破译。互联网上的攻击者可以通过破译无线密码,轻松进入到公司内部网络,从而造成公司信息泄露。

5)移动终端安全隐患随着3G时代的到来,公司企业员工使用移动设备连接公司网络,因此由移动终端设备带来的安全隐患也不可避免。对于企业IT部门而言,移动设备已成为网络安全的一个致命弱点,因为通过电子邮件、彩信、蓝牙等方式传播的病毒很容易对企业内网安全造成危害。

3中小企业网络信息安全解决策略研究

中小企业对信息安全的需求主要是保障公司网站稳定运行、避免商业机密被窃取、企业信息被恶意篡改,因此网络安全解决方案的可用性是中小企业首要考虑的问题,只有网络安全设备正常可用,才能保护企业网络安全。其次,中小企业规模小,资金不足,网络安全管理人才缺乏,安全解决方案的易用性也是企业必须考虑的因素,使用简单有效的方法提高企业网络安全,减少企业在资金、专业管理人才的投入同时又能保障公司网络信息安全。移动互联、大数据、云计算环境下,针对企业各类服务和后台系统建议找专业网络公司托管,这类公司有专业的网关、防火墙、入侵检测系统,能够为企业各类服务提供安全保障,这样中小企业也无需在花大量的资金自己购买这类安全设备、专业人员培训等,大大减轻了公司服务器管理和维护压力。针对目前存在的安全问题,给出以下安全策略:

1)加强企业员工网络安全管理中小企业所有的系统口令包括员工设置登陆口令必须按照操作系统密码复杂性要求设置,至少8位字符,其中要包括字母大写、小写、数字、特殊符号中三种情况以上,由企业系统管理员或者网络管理员设置密码失效时间,规定在一定时间内必须更新密码,用简单切实可行的方法建立第一道安全大门。

2)加强企业网络入侵防范中小企业可以利用防火墙加强企业网络入侵防范,实现企业内外网隔离,主要设置网络边界出口链路带宽要求、数量等情况,IP地址规划对防火墙地址转换的需求。通过防火墙的认证机制,过滤访问网络数据。通过防火墙权限设置,严格审核外网用户的非法登录,定期查看防火墙日志文件,对有攻击性的网络访问行为进行警告。

3)VPN策略一般公司都需要连接互联网,特别是针对太仓德资外企来说与德国总部公司通信安全性是非常重要的,可以采用SSLVPN策略。SSLVPN使用浏览器内建的安全通道封包处理功能,用浏览器连回公司内部SSLVPN服务器,然后透过网络封包转向的方式,让使用者可以在远程计算机执行应用程序,读取公司内部服务器数据。中小企业的远程访问环境变化较大,SSLVPN不需要安装客户端软件远程用户,远程用户只需借助标准的浏览器连接Internet,即可访问企业的网络资源。企业可在较短时间内部署完SSLVPN,因此其部署和实施成本较低,其次SSLVPN还提高了平台的灵活性方便扩展应用和增强性能,对中小企业而言可以降低使用成本,最有效地保护投资。

4)无线网络安全策略对于中小企业,建议选择比较有安全保证的产品来部署网络和设置适合的网络结构是确保网络安全的前提条件,同时还要做到如下几点:修改设备的默认值,指定专用于无线网络的IP协议;在AP上使用速度最快的、能够支持的安全功能。在网络上,针对全部用户使用一致的授权规则,在不会被轻易损坏的位置部署硬件。正确全面使用WEP机制来实现保密目标与共享密钥认证功能,通过在每帧中加入一个校验和的做法来保证数据的完整性,防止有的攻击在数据流中插入已知文本来试图破解密钥流。其次必须在每个客户端和每个AP上实现WEP才能起作用,不使用预先定义的WEP密钥,避免使用缺省选项。密钥由用户来设定,并且能够经常更改,最后要使用最坚固的WEP版本,并与标准的最新更新版本保持同步。

5)移动终端安全策略为了避免移动终端携带病毒连接到企业内网中,确保移动终端如智能手机、ipad、移动笔记本安装杀毒软件、防火墙并定期对移动设备进行系统漏洞补丁和更新,定期扫描杀毒,特别不要随意打开、下载不确定的邮件、链接和彩信,以免中木马病毒。如果一旦中毒,应该立刻断网,进行杀毒或者更新系统,以免木马病毒通过无线网络传播企业内部网络。

4结束语

通过深入太仓中小企业调研,了解企业的网络信息安全现状及存在问题,结合网络信息安全建设方案,从物理安全、计算机硬件软件安全、网络体系结构安全、病毒防范、入侵检查、防火墙配置、信息系统运行维护等方面给出切实可行的网络信息安全建设方案,有针对性对太仓中小企业网络信息安全建设策略研究。参考文献:[1]冯运仿.基于防水墙系统的中小企业信息安全策略[J].安防科技,2006(9):57-58.

[2]周伟.电子商务信息安全技术浅议[J].农业网络信息,2007(4):95-96.

[3]项菲,林山.中小企业信息安全策略研究[J].电脑知识与技术,2009(5):325-326.

[4]赵向梅,杜晓春,侯亚玲.中小企业网络安全问题和策略研究[J].电子测试,2014(6):134-135.

[5]邵琳,刘源.浅谈企业网络安全问题及其对策[J].科技传播,2010(10):207-208.

[6]王锋.关于企业网络安全问题的探讨[J].电脑知识与技术,2010(19):207-208.

[7]刘建伟.企业网络安全问题探讨[J].甘肃科技,2006(5):62-63.

篇4

[关键词]信贷保证保险;逆向选择;道德风险;信用机制

中小企业融资难问题是制约中小企业发展的瓶颈,我国为解决该问题已从多方面着手,在一定程度上扩展了中小企业融资途径。但这些措施还不能完全满足中小企业发展的资金需求,所以适时推出中小企业信贷保证保险制度是极为必要的。该制度的建立具有重大的经济效益及社会效益。

一、中小企业信贷保证保险的涵义

信贷保证保险是指以信用风险为保险标的的保险。它包括两类保险:一类是狭义的保证保险,另一类是信用保险。它们的保险标的都是被保证人的信用风险,当被保证人未按照基础合同约定履行义务,使权利人遭受经济损失时,保险人负代为履行付款义务(给付保险赔偿金)责任。凡被保证人根据权利人的要求,由保险人承担自己(被保险人)信用的保险,属狭义的保证保险;凡权利人要求保险人担保对方(被保证人)信用的保险,属信用保险,权利人即被保险人。

狭义的中小企业信贷保证保险的被保证人指的是中小企业,它在保证保险中作为投保人,通常是保费的缴纳者;受益人是债权人,在中小企业信贷保证保险中指向中小企业贷款的金融机构。信用保险的权利人指的是向中小企业贷款的金融机构,它是信用保险的投保人,通常是保费的缴纳者,同时也是保险合同的受益人;被保险人是债务人,即中小企业;保险责任是被保险人到期不能履行还本付息的风险。

二、建立中小企业信贷保证保险制度的意义

(一)增强中小企业信用等级,缓解中小企业资金需求

中小企业贷款难的原因之一是由于大型商业银行对中小企业的还款能力存有疑虑,而中小企业又无充足的资产作为抵押。中小企业信贷保证保险制度的建立可以使中小企业信用等级得到升级,将有效地消除大银行对中小企业还款能力的顾虑,当中小企业不能如期还本付息时,保险公司要按照保险合同约定履行替中小企业还本付息的责任,银行也不会因此而遭受损失。因此,在具有中小企业贷款保险制度的情况下,中小企业将可以和其他大企业一样从银行获得更多的贷款,以满足自身发展的需求。

(二)降低信贷金融机构的风险,提高银行资金收益率

近年来,我国商业银行的存款总额在逐年扩大,而贷款总额相对缩小,存贷比自1995年首次突破“广后,逐步放大。由此可以看出,我国的商业银行存在着大量的剩余资金,银行的资金利用率较低,不利于银行本身的发展。但银行在提高收益率的同时必须考虑资金的安全性,如只注重收益而忽略资金安全则有可能对银行更加不利,所以银行在资金运用上常常处于矛盾的境地。若中小企业信贷保证保险制度得以建立,则商业银行可以在保险公司的参与下,将资金贷给中小企业,既可以提高资金的收益率又可以保证资金的安全。

(三)拓宽保险业务,提高保险公司整体竞争力

保险公司承办中小企业贷款保险业务,可以扩大保险公司的业务量,增强保险公司的竞争实力。自1980年我国恢复办理国内保险业务以来,我国的保险业得到了迅速发展,截至2006年底,保险业总资产达1.9万亿元,但我国的保险深度与保险密度仍然很低,总体上来说,仍处于发展阶段,竞争能力与发达国家相比还比较弱。加之我国加人WTO后,国外的保险公司不断涌人,国外保险公司具有技术与资产等方面的优势,将给我国的民族保险业造成巨大的威胁。发展中小企业贷款保险业务,可以使我国的保险公司增加资金实力,提高整体竞争能力。

(四)促进金融深化与宏观经济的迅速发展

开展中小企业贷款保险业务,一方面可以使银行、保险公司等金融部门之间相互配合,扩大自身业务,增加其资金实力,促进金融深化进程,增加金融部门对宏观经济的贡献率;另一方面,该业务还可以解决生产部门,尤其对中小企业的资金短缺问题,促进中小企业等生产部门发展;最后,金融部门与生产部门的发展是相互促进的,其任何一方的发展都离不开对方的支持,它们的发展是互为因果、轮番促进的。开展中小企业贷款保险业务,可以为之创造出一种相互促进、相得益彰、和谐发展的大好局面。

三、中小企业信贷保证保险制度建立的可行性

(一)建立中小企业信贷保证保险制度符合国家扶持中小企业发展的政策

我国政府一直在积极为中小企业解决资金短缺难题,如创建中小企业板、设立担保机构、进行银行制度改革等,虽然有较大的财力投入,但效果不佳。推出中小企业信贷保证保险业务,符合国家扶持中小企业发展的政策要求,客观上会得到政府的大力支持。因为,该业务属于一种纯商业行为,保险公司是以盈利为最终目的,无须政府太多投入。在这种情况下,保险公司实际上是为政府分担了部分职责,政府再通过诸如税收等优惠政策予以扶持,就可以在不增加财政支出的基础上缓解中小企业资金短缺这一棘手问题。

(二)建立中小企业信贷保证保险制度会得到信贷机构的支持

信贷风险是银行等信贷金融机构面临的重大风险之一,如违约数额较大,则会对其稳定经营造成威胁。信贷金融机构可以通过避免、自留、转移等多种方式进行风险管理。进行风险管理时,风险主体应根据自身抵抗风险的能力以及风险的大小来选择防范风险的最佳方式。对于这样重大的风险,风险转移是银行等信贷机构处理风险的最好选择,而保险又是风险转移中最完善、最合理的方式。因此,信贷保证保险制度的建立必将得到信贷机构的支持。

(三)建立中小企业信贷保证保险制度可以拓展保险公司业务,提高经济效益

我国的保险业经过二十多年的迅猛发展,正在逐渐走向成熟,已在各种传统险种以及近年来推出的汽车信贷保证保险、住房信贷保证保险、出口信贷保证保险等险种的经营方面取得了丰富的经验。无论对标的风险的评估,对风险的技术处理,还是对风险的承保能力都已达到了一定的水平。另外,近年来我国的保险人才不断涌现,保险精算师的数额在逐年增加,为信贷保证保险条款的设计及保险费率的计算提供了人员上的保障。最后,通过开办中小企业信贷保证保险业务能给各保险公司带来经济效益。

四、建立中小企业信贷保证保险制度可能存在的问题

建立中小企业信贷保证保险制度在中小企业、金融机构、保险公司三方“共赢”的同时,还会产生不少问题,其中最严重的问题是“逆选择”与“道德风险”。

“逆选择”是由于信息不对称引起的。中小企业对自己的经营水平、还款能力有着充分的了解,而保险公司对各中小企业的具体情况没有深入了解,常常处于信息不对称状态。在这种情况下,那些经营状况好,还款能力强的企业不愿意投保,而那些经营状况差,还款能力弱的企业则非常愿意投保,这最终将危及保险业的稳定经营,更不利于信贷保证保险制度的实施。

“道德风险”则主要主要来自中小企业和银行等信贷机构两方面。对于中小企业而言,如果投保了信贷保证保险,往往会将资金运用到高风险的项目,如果投资成功则会给企业本身带来巨大的投资回报,倘若投资失败也会有保险公司为其偿还贷款;对银行等信贷机构而言,有了信贷保证保险往往会忽视债务人的信用等级,对于本不应贷款的客户,大量放款,以追逐利润的最大化。道德风险的存在给信贷保证保险制度的建立带来了难度,应为此筹划相应的策略,以化解这些负面因素的影响,充分发挥其积极作用。

五、建立我国中小企业信贷保证保险制度的总体思路

(一)合理选择中小企业信贷保证保险制度建立的方式

建立我国中小企业信贷保证保险制度的方式大体有两种模式:一是筹建新型的专业保险公司来承办中小企业的信贷保证保险业务,出资形式可以由政府承担或由某些大机构牵头组建股份公司;二是由现有的优质保险公司在原有基础上开办该种业务,由专门的下属部门从事中小企业的信贷保证保险业务。考虑到我国的现状,后一种形式应该更为合适。因为这样不仅可以为国家节省财政资金,避免重复建设的问题,还可以增强我国现有公司的实力,树立国家民族保险晶牌。综上所述,建立我国中小企业信贷保证保险制度的最佳方式是利用现有的优质保险公司,先开展试点业务,待机会成熟再全面放开。

(二)实行强制保险,差别费率,防止逆向选择

为了避免出现“逆选择”问题,我国应该对中小企业贷款采取强制性政策。如果实行自愿投保,那么银行对于实力较强的中小企业贷款则不愿投保,而对实力较差的中小企业贷款却非常愿意投保,这将不利于保险公司的长远经营。鉴于此种情况,对于中小企业贷款应采取强制性的贷款保险。但采取强制性保险,采取相同费率,会产生对各个投保主体有失公平的问题。因为,保险公司在制定保险费率时,是根据投保者的风险等级进行计算的,对于违约风险较小的绩优公司的贷款,应实行较低的保险费率;而对于违约风险较大的绩差公司的贷款,应实行较高的保险费率。所以,在实行强制保险,防范逆选择的同时,还应对于不同的信贷主体实行差别费率,以保证公平合理。

(三)实行比例赔付、免赔额等措施,防止道德风险

信贷保证保险过程中,无论是信贷机构还是中小企业都会出于利润最大化的动机,人为的增加贷款风险以及资金运用风险,产生道德风险。实行比例赔付、免赔额等措施是防范道德风险的有效方法。比例赔付是指在贷款发生损失时,保险公司只对贷款进行部分赔偿,其余部分由中小企业和银行承担。实施比例赔付可以使中小企业和银行等贷款机构在发生贷款损失时,承担部分损失。所以,贷款机构在贷款时会非常谨慎,中小企业在利用资金时也会再三珍重,从而有效地防止道德风险。免赔额是指被保险人根据保险合同,在赔付之前,先要自己承担的损失额度。其实施的意义有两个:第一,免赔额可以大大减少保险公司的工作量,减少赔付率,提高其偿付能力。第二,免赔额的实施,可以使信贷机构贷款后保持对贷款人的监督,督促中小企业合理运用资金。由此看来,免赔额同样可以抑制道德风险。

(四)实行再保险、共同保险方式分散风险

大额的信贷保证保险如果一旦债务人违约失信则会给保险公司的稳定经营带来巨大的影响,直接损害其它投保人的利益。因此,保险公司对于数额较大的信贷保证保险应采取合理的风险分散机制,以避免风险集中。具体方法有再保险和共同保险。再保险是指原保险人在与投保人签订保险合同后,与再保险人签订再保险合同,当贷款发生损失时,原保险人和再保险人按合同约定进行赔偿。再保险使原保险人在不损失保险业务的情况下,分散了巨额风险,防止了风险集中,是原保险人经常采取的一种化解巨额风险的方式。共同保险是指由多家保险公司对同一巨额风险共同承保。共同保险同样也可以做到使保险公司扩大承保能力,分散巨额风险的作用。

(五)完善损失补偿机制

加强代位追偿原则的实施,完善损失补偿机制是促进中小企业信贷保证保险制度健康发展的重要保障。代位追偿是指当债务人违约失信,保险公司代之向债权人履行了赔偿义务之后,所取得的向债务人追偿的合法权益。保险公司为了能有效地对债务人进行追偿,可以建立自己的追偿队伍,或者委托专业追账中介机构履行代位追偿的权利。在权利人的积极配合下,代位追偿可以使保险公司的损失得到部分补偿,降低信贷保证保险的经营成本。

篇5

Abstract: The rapid development of the new generation of information technology and complex manufacturing industry development environment decided the complexity of China manufacturing industry informatization process, and need to continuously innovate informatization evaluation theory and method. For a long time, there exists some problems during the enterprise informatization performance evaluation, including single evaluation dimension, contradictory evaluation results, not reflect the Correlation between the evaluation Indicators and so on. To solve these problems,this paper, based on the IT Process Model, established a three dimensional manufacturing enterprise informatization performance evaluation model to valuate the manufacturing enterprise informatization process by the analytic network process and entropy method. The result is of guidance to the manufacturing enterprise informatization process.

关键词: 制造企业;信息化;绩效评测;网络层次分析(ANP);熵权法

Key words: manufacturing enterprise;informatization;performance evaluation;analytic network process;Entropy method

中图分类号:F425 文献标识码:A 文章编号:1006-4311(2012)29-0121-04

0 引言

最早的信息化绩效评测理论出现在上世纪70年代,当时主要从系统使用功能的角度来评测信息系统的价值,他们的研究初衷是提高系统的使用效率,保证IT实施的有效性,比如Borovits and Neumann主要通过容量、系统利用率、响应速度、软件开发时间、过载率、可靠性、系统利用率、存储速度和有效性[1]。随着质量管理理论应用与IT评测,DeLone和McLean(1992)提出了从信息质量、系统质量、使用、用户满意、个体影响和组织影响六方面评测[2]。IT投资额不断增加,并作为一项企业资产对待,学者们开始关注起财务绩效,大量的财务考核理论被应用到IT评测中(Vassilis,2001)[3],后来,许多战略学家从战略的角度评测了企业信息化绩效,包括战略一致性评测、战略贡献率评测、竞争优势贡献评测、资源绩效评测、权变理论的应用。国内方面,学者们并从不同角度提出了信息化测评指标体系,并使用层次分析法或灰色系统理论等方法进行测评[4-8]。但是,目前的信息化绩效评测存在着三个问题:①评测角度过于单一,财务与非财务指标没有形成统一体系。②财务评测与非财务评测得出结论相矛盾。③评测方法无法反映评测指标间的关联与影响,且缺乏主客观地有效结合。

1 制造企业信息化绩效评测体系构建

针对目前的信息化绩效评测中存在的问题,本文依据Christina Soh和M.Lynne Markus提出的IT过程模型[9](图1),结合我国制造企业的信息化过程的特点,从三个维度构建了基于过程的制造企业信息化绩效评测体系,三个维度分别是信息化基础建设、信息化集成应用和信息化综合影响。具体指标见表1。

在指标体系建立的基础上,需要赋予各个指标的一定的权值,传统的权值赋予方法如层次分析法忽略指标间的相关性。但事实上本文的指标体系的三个维度之间是并不是孤立的,而是相互关联的,且各个维度内的指标也是相关的,因此,评测指标之间的联系形成了一个复杂的网络,并且其相关程度也是有差异的。为了反映出评测指标的相关性,本文采用网络层次分析(ANP)进行权值的赋予。

篇6

关键词:全球眼技术 中小企业 安防信息化管理 应用

中图分类号:C931.6

1全球眼技术在中小企业安防信息化管理中应用的局限性

中小企业安防信息化管理应用全球眼技术,主要包括有高中端的家庭住宅、写字楼、商店以及病房等,它们通过利用全球眼技术,实现现场辅助、安防报警以及视频监控等功能。在使用中,主要存在着以下几点局限性。

1.1全球眼的安防报警功能不够完善

就目前来说,全球眼技术的安防报警功能还不够完善。在其网络视频监控系统中,报警终端接入方式主要采取以下两种方法。

第一,利用电缆,实现对硬盘录像机、视频服务器(DVS)或者IP Camera的告警输入接口与报警探测器的连接。当告警输入接口电平出现高低变化时,前端的DVS或者IP Camera就会触发告警,由于已有既定的通信协议,告警就可以上报至“全球眼”网络监控平台。

第二,由安防报警主机管理报警探测器,通过利用无线或者有线,实现安防主机和报警探测器的连接,其中,对于接入的探测器,安防主机不仅可以进行防区设定,还可以布置或者撤销安防管理,通过串口电缆,安防主机就能连接到IP Camera或者DVS。同时IP Camera或DVS对报警探测器的告警触发进行甄别,并且通过既有协议,将告警信息上报平台。

然而,这两种报警方法均存在着局限性。当某一地点发生报警情况时,由于告警传递到平台上的信息量不够充足,因此系统对防区的信息、告警类型等无法正常识别,对前端安防设备的运行状况也不能进行监控,做不到精确监控防区的位置,而只能确定发生报警的IP Camera或者DVS。由于存在着这样的局限,当某一地点发生报警后,工作人员首先需要对监控所在的位置资料进行查看,然后再结合位置的实际情况,做出对警情处理办法的决策,这个过程使工作人员不能及时处理报警事件;同时,由于单向地传输报警信息,因此前端报警终端的监控工作就无法顺利进行,前端报警终端的布、撤防工作也实现不了客户端远程作业与远程管理;除此之外,如果需要详细了解用户前端安防主机的报警信息,还需要电话的帮助,因此全球眼平台无法实现联网上报。而电话、视频监控等等多种安防系统的同时使用,给用户造成了很多麻烦。

1.2全球眼现有的功能没有密切结合中小企业的需要

从中小企业的角度来说,他们希望实现安防报警以及视频监控在同一界面上进行操作的可能,这样,可以对生产情况以及营运情况实现动态化的了解,例如员工的出勤率、商铺的客流量等等,远程监控为他们节省了大量的时间和精力。但是,从全球眼的目前技术上来看,其主要负责实现的是视频监控功能,而且用户一定要保证IP Camera与DVS的捆绑使用,而不能私自进行安防系统功能组合。由于每个用户的需求不同,这种强制性组合安装大大降低了全球眼的吸引力,缩小了全球眼业务拓展的机会。其次,在发生报警时,告警通知的手段比较少,报警信息量不够大,而且单一;当告警信号上报到网络视频服务器时,需要用户在互联网上,否则无法及时发现警情,客户也只能了解些许报警信息,因为平台只是记录报警以及报警时间而已,其他更详细的的信息则无法提供。

1.3全球眼软件技术层面存在着不足

中小企业选择使用全球眼监控,首先,在客户端上,需要用户安装全球眼技术专用的客户端软件,其操作系统也会有相应的限制。其次,在客户端结构上,采取的是C/S(客户机/服务器)结构。当全球眼系统的软件要进行升级时,每一个用户、每一台机器都需要重新安装新的升级软件。然而,由于在实际的使用中,存在着用户移动办公或者分布式办公的现象,因此C/S服务机制会让监控操作程序变得更加繁琐。在监控设备较少或监控点较少的用户上,例如家庭用户、商店或者其他中小企业,由于采用C/S模式,在安装上,工作量非常大;在成本上,所需的维护成本以及升级成本都非常高,大大制约了全球眼业务在市场的扩展。

2如何推进全球眼技术在中小企业安防信息化管理中的应用

2.1改进全球眼技术的视频前端

视频前端由IP Camera或者模拟摄像机以及DVS组成,负责实现监控的音频、视频信息数据的采集、编码、存储、传送等一系列流程功能,同时,来自平台的控制指令可以在视频前端实现作用。从而通过全球眼这一平台,实现对网络视频的监控。

2.2完善安防报警主机

利用IP网络,就可以实现安防报警主机与全球眼平台的连接。网络型安防报警主机下挂各种种类的探测器,以对监控现场的周围环境信息进行采集。要监测现场是否存在着火灾安全隐患时,可以通过烟感探测器;监测现场是否有人员出现时,可以选择红外传感器等等。网络型安防报警系统通过各种类型传感器的帮助,实现了对现场信息的探测、采集,并把采集而来的信息封装成IP数据包,再传输到中心平台。

2.3加强对中心平台的管理功能

利用全球眼现有的监控平台而开发的中心平台,是整个系统的信息控制中心。这个中心平台一方面对全球眼的告警联动、使用者权限以及接入终端进行统一的监控和管理,另一方面,在增设报警管理服务器的前提下,实现对告警联动、联动预案的管理功能,同时指令报警管理服务器,及时、正确地处理安防主机上报的告警信息。

2.4客户端支持多种架构

传统的全球眼客户端只支持C/S结构,改造后还应该能支持B/S架构。这样,客户端的限制度下降,用户就可以利用互联网,登录全球眼平台,远程控制视频前端,同时还可以实现查阅告警记录、浏览实时视频、回放监控录像以及设置报警联动等等功能。

2.5拓宽安防报警的应用范围

由于网络型报警主机具有携带告警信息和全双工通信等功能,因此,可以根据此优势,把安防报警的应用范围扩大到生产管理、经营管理等方面。例如,中国电信可以根据全球眼用户的需求,在安防报警功能的基础上,增加统计客流量、管理人工考勤等功能,从而提高全球眼产品在中小企业安防信息化管理市场上的竞争力。

结束语

尽管全球眼技术在中小企业安防信息化管理的应用中,存在着一些技术上的局限,然而其工作仍然是具有一定的实效性、科学性以及高效性。相信随着科学的进步以及计算机技术的发展,全球眼技术一定能结合用户的需求,做出改变,完善自我,从而促进中小企业安防信息化管理的发展,使之跃上一个新台阶。

参考文献:

[1]许冬琦.智能全球眼走向高清化、智能化,2015年有望全国联网[J].通信世界,2012(47)

篇7

一、问题的提出及文献综述

随着我国中小企业开始实现信息化管理,运用信息管理系统来对企业生产进行管理,一方面,提高了企业管理的效率和科学性,使企业的生产、存储、财务、成本、控制都得到了大幅度的改善;而另一方面,在实际的运行中不可避免的引发各种问题,其中包括信息安全性的问题,即存储在计算机或在传输中的文件和数据遭受到破坏和滥用,而且这种活动对企业的影响非常严重,例如:电子商务公司,如果网站出现故障,每天的损失会高达数额人民币,所以如何保障信息系统的安全,使其得到安全的控制,对于企业来说已经变的非常重要。目前,在我国的中小企业信息管理系统内部构建中,经常可以发现由于制度和管理中的疏忽、松懈以及信息系统的监管不到位,所出现数据的丢失或者数据的信息反应迟钝,不能使管理者及时得到有效的信息,使其信息系统的发挥起不到其最佳的效果,因此如何保障中小企业信息系统安全,加强中小企业信息的测控是非常必要的。

在目前关于中小企业的信息系统安全与效率方面的文章主要是集中在如何构建中小企业信息系统方面,涉及到中小企业信息管理制度这方面很少。如:杨斌、费同林(2002),赵宏中(2005),刘仁勇,王卫平(2007),在企业管理信息系统建设方面提到了制度设计方面,但是没有把其作为一个研究重点,其他一些相似的文献基本是从技术角度探讨。从中小企业实际的成本收益考虑,一般来说,由于运用的相应技术不是很高,基本都是基础的软件系统,所以有必要对中小企业面临的制度方面进行详细的分析。

二、中小型企业信息系统制度方面分析

首先,根据Laudon对企业信息系统面临威胁,按照来源分为六类:硬件故障、软件故障、人为因素、数据、服务及设备被偷盗,这些都是中小企业面临的问题,但Laudon从单个信息系统的角度进行分析,却没有把企业的信息管理系统管理制度考虑进去,在我国中小企业的信息系统建设上许多企业尽管设置了制度,但很大程度上都是形同虚设或者是制度管理存在缺失,容易导致中小企业信息系统实际操作上面临效率和安全的问题,下面具体从制度方面进行分析:

在中小型企业中,存在着正式制度与非正式制度,正式制度是人们有意识建立起来的并以正式方式加以确定的各种制度安排,主要包括法律制度、企业制度安排等;非正式制度,是人们在长期的社会生活中逐步形成的习惯习俗、文化传统、价值观念,是形态等对人们行为产生非正式约束的规则,是那些对人们行为的不成文的限制。

(一)正式制度的分析

在中小企业中,正式的制度包括国家信息系统法律的规定和企业的信息管理制度方面,根据我国1994年通过的《中华人民共和国计算机信息系统安全保护条例》,也只是从信息交换角度来保护整个信息系统的安全,对于企业自身的信息系统安全只是规定各企业根据自身情况自行制定,并没有对企业的实际业务中发生的关于信息系统自身安全进行风险标准规定,也没有一套正确引导进行风险防范的标准规定,所以中小企业的法规建立基本都是从企业各自实际出发,所以各企业的标准不一,导致安全隐患存在比较大。

从企业自己建立的信息管理制度来说,一般大型企业有明确的规定制度,包括维护、人员素质等方面都有明确的规定,在一定程度上能有效防范信息系统存在的安全隐患,并能够及时有效的进行相应信息的反馈,对企业的信息安全与企业效率能起到积极的作用。但对于中小企业来说,由于企业自身比较小,相应的信息管理系统人员比较缺乏,其维护也是谁操作谁负责,这样只能根据各企业自身人员的情况来确定其系统的安全程度,其次在效率方面,由于人员缺乏以及其计算机操作应用存在的不规范,信息交换、反馈也相对比较落后,或者根本起不到效率作用。

再次中小企业虽然有一定的信息管理制度规范,却由于监管不到位,主要是由于中小企业的机构比较小,维护人员、计算机使用都是由使用人员一人来完成,所以容易导致即使有制度,也难以执行,这也是制约中小企业信息系统的数据安全的主要原因。

(二)非正式制度的分析

在非正式制度中,意识形态处于核心地位,它不仅蕴含价值关键、伦理规范、道德观念和风俗习性,而且在形式上构成某种非正式制度的“先验”模式。所以从这个角度上来说,公司员工的思想和过去的传统操作方法在一定程度上影响企业的信息管理系统运行效果。

在中小企业的管理信息系统中,由于员工的意识不强,对于信息系统的维护、使用存在一定的松懈,信息操作员经常在值班时没有定期维护计算机及信息管理系统,只是在当其产生问题时才处理,这样很容易导致企业数据损失,如果信息备份不完全的话,可能由于人为操作或者计算机病毒的侵入会造成整个系统数据损失。

在这里非正式制度方面主要是指员工以往的旧做法对中小企业的信息系统安全的影响,对信息反馈报告在效率方面也会产生一定的负面作用,主要原因是领导层的要求不严格,操作人员的报告提交不及时等因素所致,因此非正式制度因素对中小企业信息管理系统影响也是非常大的。

三、加强信息管理系统管理制度建设的对策

在加强制度建设中,主要从国家信息系统的法律制度建设、企业信息制度的设置与执行,再次就是信息系统中操作人员与管理人员意识的改变三个层次来考虑。

(一)首先在我国信息管理系统的法律规范中,不仅应该对信息交换中安全问题进行规范,而且规定信息系统使用公司对其管理系统的安全达到安全的最低标准,这个标准是指从各因素方面来确定信息管理系统的一个安全性的最低标准值,不仅能够使信息安全从法律依据上得到一个基本的系统安全标准,而且也能对公司信息管理系统起到强制规范性的作用。

(二)在制度设定层面,加强中小企业信息系统安全管理制度的健全及制度化,也是保障中小企业信息系统安全极为重要的一个方面。在信息系统运行过程中,信息系统管理部门应制定严格的服务器日常维护、巡视和记录制度、客户机维护、操作制度、用户管理制度、人员培训制度等等,并严格按照制度实施奖惩,从而从企业内部制度上认识到信息管理系统安全的重要性。

(三)培养与使用企业信息化是一项复杂的系统工程,除了领导层要高度重视外,设立一个既懂信息系统、又懂业务流程的复合型信息主管职位,也是非常关键的。在国外大学、大企业的CIO(首席信息主管),相当于企业级的领导,直接参与企业的重大问题决策。一个合格CIO,既能充分调动网络技术人员的积极性,又能把握企业信息化发展全局,并能随时为领导提供参考意见,起到了很好的监督作用,并对公司信息管理信息系统制度改善、监督、反馈上能起到重要的作用,中小企业中也设立这样一个职位,从而使信息化系统成为企业运行中的一个非常重要的部分。

(四)加强信息系统人员的培训,使其对计算机信息系统的操作、安全等方面了解能够熟练的掌握。信息系统人员包括操作人员以及维护人员,定期对信息系统人员进行培训,不仅有助于了解信息系统的最新发展,而且能够使其从意识中不断了解到信息系统安全的重要性,使其操作、维护的规范化不断得到改善,从而减少由于非制度性因素所产生的信息系统安全问题。

四、结论

在中小企业信息管理系统中,很大问题是由于中小企业的制度方面造成的,所以在企业内部加强其监管,使中小企业的信息管理制度得到很好执行是非常必要的,其次就是加强员工的素质培养,使其能够具有很好的业务水平,使信息管理系统得到很好的运行,并能够使管理层及时了解到企业的信息,保证企业的顺利运行;最后完善国家信息管理系统法律,是保证企业信息制度建立的重要标准,使中小企业达到基本的信息系统风险管理水平,从而从制度上使其信息管理系统得到很好的保护。

参考文献

[1]KennethC.LaudonJaneP.Laudon.管理信息系统-管理数字化公司(第8版)[M]北京:清华大学出版社,2005年:501-538

[2]王霞,张永,彭智才,如何保障中小企业信息系统安全[J],资源方法,2004(9):54-55

[3]刘仁勇,王卫平,企业信息安全管理研究[J].学术研究,2007(6):113-115

篇8

马良 哈尔滨电站集团

摘要:信息化建设是企业打造发展潜力,营造核心竞争力的重要手段,特别在知识和网络时代更是要把握信息化建设的方向,在

加速企业信息化建设的同时,要注意信息安全的保障工作,形成企业信息化建设进程和建设成果的基础。本研究立足于企业信息化建

设的实践与理论研究工作实际,分析了建设和实现企业信息化的过程中来自于内部的因素和外部的制约,对企业信息化建设实现提供

了意识、管理、软件等方面的措施,并展开了相关论述。

关键词:企业信息化;信息安全;内部因素;外部制约;管理

前言

企业信息化建设是促进企业现代化和加速发展的必然途径,

当前,企业信息化建设已经成为企业建设的重要组成和关键内

容,通过企业信息化建设,企业的生产和流通可以迅速地提升,

在互联互通的基础上,形成现代企业的模式和发展途径。当前企

业信息化建设中受到了来自内部认知、操作、系统和管理方面等

因素的影响,以及来自于外部网络、病毒、黑客的侵入,出现较

为严重的企业信息安全问题,不但不利于企业信息化建设的进

而,而且会给企业信息安全、管理活动和生产活动带来负面影响。

应该从认知上对企业信息化建设工作加强重视,形成适于企业信

息化建设的管理体系和措施,加速企业信息安全软件的发展和应

用,真正形成对企业信息化建设过程中安全问题的强化,更好地

服务于企业发展和稳定。

1.企业信息化建设的价值

企业信息化建设具有经济价值,通过信息化企业的生产效率

得到提高,特别在提升企业生产力水平的方面信息化有着特殊的

积极意义,形成了为企业扩大经济优势和竞争有事的有力武器。

企业信息化建设具有管理价值,通过信息化企业的管理变得更加

具有针对性和效率,使管理工作更加适合企业发展和时代进步的

需要。企业信息化建设具有社会价值,通过信息化企业的建设,

整个社会的信息化水平和科技水平得以迅速提升,在实践和谐社

会的创建中起到了核心的地位和价值。

2.企业信息化建设中安全问题的具体分析

建设企业信息化是当前社会和企业的综合性目标,企业信息

化建设过程中会受到各方面影响,进而会产生安全方面的问题,

不但会降低企业信息化建设的质量和速度,更会形成企业信息化

的安全制约,导致企业和社会发展受到强烈的限制,因此,在企

业信息化建设中要高度重视安全方面的问题,应该从安全问题的

产生分析入手,实现对企业信息化安全的有效控制。

2.1 企业信息化建设安全问题的内部因素

一是,企业的整体上存在对安全问题的意识认识不足的问

题,特别对于企业信息化建设的价值没有一个高度重视的态度,

由于没有看清企业信息化的优势,导致企业信息化的安全方面存

在着忽视的问题。二是,信息化软件建设存在问题,当前适于企

业信息化建设的软件数量上和质量上都存在着不足,特别是距国

外先进软件还有范围和水平上的很大差距,这使得企业信息化软

件容易受到病毒和黑客的侵扰,最终会出现软件的种种问题,进

而影响企业信息化建设的安全[1]。三是,企业信息化操作出现问

题,由于企业信息化属于一个崭新的概念,因此,容易出现操作

人员数量不足或操作水平不高,这会影响企业信息化操作出现种

种问题,直接或间接地对企业信息化产生安全方面的影响。四是,

企业信息化管理存在的问题,安全管理是企业信息化的基本保

障,但是,由于企业信息化过程时间不长,出现企业信息化管理

人才上的不足和欠缺,对于企业信息化安全形成直接的重大影

响。五是,企业信息化建设的法律和规范尚不健全和完整,很多

规范属于范围性规范,导致其难于形成对细节的控制和约束,不

能发挥法律和规范对企业信息化建设实际的指导作用,特别对于

信息安全的相关规定更是少之又少,最终导致企业信息化建设不

能够得到法律的保证,严重影响了企业进行信息化建设的积极

性。

2.2 企业信息化建设安全问题的外部制约因素

外部对于企业信息化建设安全的制约来足浴各方面,当前越

来越多的不法分子看到了企业信息资源的潜在价值,利用各种非

法措施和违法手段入侵企业信息系统,窃取企业重要的信息和数

据,进而达到非法获取不当利益的目的,这对企业信息化建设带

来严重的安全问题。此外,来自同行企业的非法入侵也会引起企

业信息化建设安全问题,这会形成对企业竞争上和策略上的伤

害,进而失去企业发展和壮大的基础。

3.企业信息化建设中实现信息安全的措施

3.1 树立企业正确的安全意识

新时期企业要认识到如果企业机密被泄漏,那么对企业所造

成的打击是非常巨大的,同时也给竞争对手创造了有利的机会。

因此树立正确的安全意识对于企业是非常重要的,这样才能为后

面的工作打下良好的基础。

3.2 选择安全性能高的企业信息软件

企业在选择安全软件时应尽量选择安全性能高的,不要为节

省企业开支而选择性能差的防护软件,如果出现问题其造成的损

失价值会远远的大于软件价格。

3.3 加强企业的管理工作

针对信息安全的种类和等级制定出行之有效的方案,并提前

制定出如果发生了特定的信息安全事故企业应采取哪种应对方

案。当企业信息安全危机发生时,企业应快速成立处理小组,根

据信息安全危机的处理步骤和管理预案,做好危机处理工作,避

免出现由于不当处置而导致的连锁危机的发生。另外,还应在企

业内部做好信息安全的培训和教育工作,提高工作人员对安全危

机事件的处理能力。

结语

总而言之,企业信息化建设是企业的重要基础建设项目,与

其他建设工程具有较大差异的是,企业信息化建设更加注重安

全,只有坚持安全为中心,形成安全的保障体系,以行之有效的

预防性措施和管理手段达到对企业信息化建设的安全。本文在最

后要重点强调,当前的企业应该在战略制定、方案选择、安全行

为控制的方面入手,实现企业信息化建设的系统化和整体性,这

样才能实现企业信息化的价值,为稳定、健康、高效、安全的企

业运行打好基础。

参考文献:

[1]张耀辉.关于企业信息化建设中的信息安全探讨[J].电子技

术与软件工程,2013(14):128.

[2]秦海峰.企业信息化建设中信息安全问题的分析研究[J].中

国信息界,2012(05):46-47.

[3]成杨,金敏力.中小企业信息化建设存在的问题及对策研究

[J].办公自动化,2007(10):69-70.

[4]朱泽民,陈琛.中小企业信息化建设模式的分析与比较[J].企

业技术开发,2008(01):58-60.

作者简介:

马良,男,1982年5月1日,汉,籍贯:哈尔滨,本科,毕业

篇9

关键词 信息安全事故;安全管理;事故致因理论

中图分类号 F49

文献标识码 A

文章编号 1006-5024(2013)01-0055-04

一、引言

在信息化浪潮席卷全球的今天,信息的重要性不言而喻。我国国民经济和社会信息化建设进程全面加快,网络与信息系统的基础性、全局性作用日益增强,信息技术在提高企业服务水平、促进业务创新、提升核心竞争力等方面发挥了重要作用。但是,在进行信息化建设的同时,各种信息安全事故却频繁发生。据普华永道2010年度全球信息安全调查报告显示,中国企业信息安全事故发生率远远高于世界平均水平。网络事故、数据事故及系统事故是中国企业常见的三大信息安全事故,发生率分别为51%、45%和40%,而相同事故在全球范围内的发生率则为25%、27%与23%。

大量文献和事实表明,信息的特殊性决定了信息安全事故的高发性。信息具有易传播、易扩散、易毁损的特点,信息资产比传统的实物资产更加脆弱,而其运作的风险、收益和机会却比实物资产大得多。企业对信息系统不断增强的依赖性也增大了重要信息受到严重侵扰和破坏的风险,而这些风险常导致企业资产受损或业务中断。

目前,对于信息安全的研究大多集中于技术层面,从早期的加密技术、数据备份、防病毒到近期网络环境下的防火墙、入侵检测、身份认证等,而从管理方面和流程优化方面研究的较少。Ross Anderson(2001)认为,信息安全的经济管理研究在某种程度上比技术研究更为重要。傅毓敏(2010)认为,中国企业对信息安全管理人员和流程的重视不足是导致相关安全事故率居高不下的主要原因。因此,有必要系统分析企业信息安全事故发生的机理,以管理因素研究为核心,找出事故发生的根本原因。通过控制事故致因因素预防企业信息安全事故的发生,将对企业的信息安全管理有一定的指导意义。

本文将生产领域的事故致因理论应用到信息安全事故分析中,系统分析企业信息安全事故的形成机理,将信息安全事故致因因素分为四部分,即环境因素、人员因素、技术因素和设备因素,分析各因素对信息安全事故的影响,构建信息安全事故致因因素鱼刺图,并提出针对性的防范措施。

二、理论基础

(一)国内外从管理角度对信息安全事故的研究

国内外的学者从不同角度对信息安全事故原因进行了研究。Van Niekerk(2010)认为企业信息安全文化氛围是减少人为因素所导致的信息安全事故的关键;Knapp(2009)等先后对信息安全政策和信息安全事故之间的关系进行了研究;Herath(2009)通过问卷调研的实证研究验证了惩罚力度、压力和员工的效果认知会对其安全行为产生影响;Albrechtsen(2010)发现员工参与、集体反思和群体作用可以提高员工的信息安全意识,并改善其安全行为;Stanton(2005)研究发现终端用户的安全行为会对企业信息安全管理产生影响;Ashenden(2008)通过实证研究发现信息安全管理人员、高层管理者和终端用户之间存在信息鸿沟,双方在理解上的差异会对企业的信息安全管理产生不利影响,增加了信息安全事故发生的几率。此外,Vroom(2004)、Flowerday(2005)等学者也先后对此进行了研究。

与国外相比,国内对于信息安全的研究多集中于技术层面,涉及管理层面的研究较少。沈昌祥、张焕国、冯登国(2007)系统地阐述了信息安全理论及相关技术的发展;官巍、胡若(2007)从社会环境、商业、组织和个人的角度分析了电子商务的信息安全问题;刘福来(2010)对中小企业信息化管理中存在的安全隐患和原因进行了分析。

通过阅读文献发现,国外学者大多通过实证研究验证了一个或几个因素对信息安全事故的影响,但是缺乏对信息安全事故的系统分析。国内的研究多用于构建信息安全管理体系,对信息安全事故的分析则鲜有研究。

(二)事故致因理论

在信息安全事故分析方法的选择上,本文选择了在生产领域广泛应用的事故致因理论。事故致因理论是研究分析导致事故发生原因因素的科学理论。它是描述事故成因、经过和后果的理论,是研究人、物、环境、管理及事故处置等基本因素如何起作用而形成事故并造成损失的理论。

在早期的事故致因理论中,海因里希(W.H.Heinrich)的事故因果连锁论最具代表性,它最先提出了物的不安全状态和人的不安全行为是导致伤亡事故发生的两个直接因素。在海因里希事故因果连锁论的基础上,博德(F.Bird)等又进一步提出了把安全管理作为背后深层次的间接事故致因因素的现代安全科学观点,认为任何安全事故发生的深层次原因,都可以归结为管理的失误,人的不安全行为或物的不安全状态不过是其背后的深层原因的征兆和管理失误的反映。

本文依据博德(F.Bird)的现代安全科学观点,提出如图1所示的信息安全事故模型。信息安全事故的发生是由于人的不安全行为和物的不安全状态作用在能量物质/载体上的结果,而企业的管理因素是导致物的不安全状态和人的不安全行为发生作用的直接因素。

三、信息安全事故分析

通过对各类型信息安全事故致因因素的分析,企业信息安全事故的致因因素大体可分为两类,即人的因素和物的因素。其中,物的因素可进一步分为环境因素、技术因素、设备因素等。根据实地调研和文献梳理可以得出,企业文化的缺失、安全规章制度的不完善等环境因素是造成事故的深层原因。因此,本文将企业信息安全事故的可控致因因素整理归纳后分为四类,即环境因素、人员因素、技术因素和设备因素,并构建了信息安全事故鱼刺图(见图2)。

(一)环境因素分析

在信息化建设过程中,很多企业由于急需开展业务,往往出现“先业务,后安全”的现象,安全管理严重滞后于业务的发展。在企业的内部环境中,企业业务的符合性直接决定了信息系统的设计、运行、试用和管理是否超出法律规定和合同规定的安全要求的约束范围。另外,很多企业安装了一定的安全设备,但缺乏统一的安全体系规划和安全防范机制,企业安全责任不明确,这些都大大增加了信息安全事故发生的风险。由于缺乏业务连续性计划和事故处理机制,发生信息安全事故之后,企业的业务往往会出现中断,此时,信息管理人员又变成“救火员”恢复业务,最终信息安全建设变成一种“头痛医头,脚痛医脚”的亡羊补牢式的行为。此外,企业惩戒措施和审计机制的缺乏也是导致信息安全事故频繁发生或重复发生的重要因素。

在信息安全管理的外部环境中,与企业密切相关的是第三方服务机构或个人。企业选择第三方服务机构为企业提供服务,就意味着将企业的部分信息转移至第三方。企业与第三方的外包合约不完善、第三方的服务质量不高以及对第三方数据访问权限的不明确易导致企业关键数据的泄露,容易引发外部攻击。

(二)人员因素分析

人员是信息安全管理中最为活跃的因素,不同类别的人员对信息安全事故的影响不尽相同。(1)管理人员。高层管理者是企业资源投入的决策者,也是企业信息安全管理的核心,高层对信息安全的支持和重视不够是导致企业信息安全文化欠缺和员工信息安全意识淡漠的关键因素。中层管理者作为衔接企业高层和基层的桥梁,其对上级决策的执行力度直接决定了企业信息安全管理实施的效果。(2)技术人员。在企业中,技术人员可以保证企业信息系统的日常运营和维护。但大多数企业,尤其是中小企业缺乏信息技术人才和安全监察、审计人员。由于受人员及技术的限制,往往一个管理员既要负责系统的配置,又要负责系统的安全管理,安全设置和安全监督都是“一肩挑”。这种情况使得管理权限过于集中,一旦管理员的权限失控,极易导致重要信息泄露。(3)基层人员。目前,我国企业的基层员工普遍缺乏信息安全的教育、培训,对信息安全意识淡漠,每天都在以不安全的方式处理着企业的大量重要信息,如随意使用移动设备、上网不限制等,这些不安全的行为都对企业的信息系统构成了潜在的威胁。

(三)技术因素分析

信息安全技术是企业防范信息安全事故的基本因素,也是我国企业在信息安全管理中投入较多的一部分。具体而言,导致信息安全事故技术方面的因素可以分为两大类:(1)软件因素,包括软件设计缺陷或存在技术漏洞、杀毒软件不及时更新以及突发的软件故障等。(2)信息系统设计因素,包括信息系统设计时没有以风险评估为基础、业务流程描述错误或遗漏、前期测试不充分、数据访问权限设置不清晰、关键数据没有备份、信息资产安全等级不明确以及信息资产没有保护措施等因素。这些不安全的技术因素导致了信息安全漏洞存在的必然性和普遍性。在目前互联网普及的开放网络环境中,这些漏洞无疑会给外部攻击者留下可乘之机,导致信息安全事故的发生。

(四)设备因素分析

企业信息安全管理的设备主要包括中心机房、服务器、网络设备、线路等方面,这些是企业信息安全保障系统的基础。由于设备因素引起的信息安全事故包括硬件自身故障、保障设施故障、人为破坏事故、其他设备设施故障等四种,其致因因素可以归纳为三类:(1)物理安全方面,包括物理安全边界不明确、非授权的物理访问、设备或存储介质缺乏安全措施、设施设备的非授权使用或移动、硬件失效等。(2)保障设施方面,包括供电或空调中断、电气故障、电缆损坏等。(3)外界不可抗力,包括水灾、台风、地震等自然灾害和恐怖袭击、战争等外界不可抗力因素。这些因素往往会造成设施设备硬件的损坏,导致存储于设备上的数据受到干扰和破坏,容易引发企业业务的中断。

四、防范措施

针对上述造成信息安全事故的因素分析,可以从人员培训、制度完善以及硬件改进三个方面进行防范。具体而言:

(一)建立有效的“人力防火墙”,减少人为因素导致的信息安全事故

信息安全是企业每个员工都要面对的问题,通过建立“人力防火墙”能真正调动企业实现长治久安的内在动力。因此,必须加强信息安全宣传工作,增强所有员工对信息安全重要性的认识。通过增强管理人员对信息安全的重视,营造企业的安全文化氛围,提高企业员工的信息安全意识;通过对员工进行安全教育与培训,增强员工的安全技能;通过法律法规、安全政策、访问权限与惩戒措施来约束员工的行为,减少不安全行为的发生。最终在企业内部形成一种“信息安全,人人有责”的企业文化氛围,减少人为因素导致的信息安全事故。

(二)完善企业信息安全管理体系,减少由于环境、技术因素导致的信息安全事故

信息安全管理体系是依据企业信息安全需求、业务流程分析和风险评估的结果,综合利用各种信息安全技术与产品,在统一的综合管理平台上建立的信息安全管理机制和防范体系。建立并完善信息安全管理体系,可以为企业的信息管理提供来自策略、设计以及运行等各个层面和阶段的安全保障,有效减少由于环境因素和技术因素引起的信息安全事故。建立灾难恢复与业务持续性计划,强化重要信息数据备份,在信息安全事故发生时能确保业务持续开展,将损失降到最低程度;建立集中化的管理控制机制,将数据安全控制进行集中化管理,建立一个具有全局性的网络管理平台,以确保安全防范策略能够由上至下全面贯彻执行,减少数据安全风险;以“适度防范”为原则,选择合适的安全技术与产品,制定相应的访问控制策略,在考虑成本和投资回报的基础上满足企业业务安全的需求。

篇10

关 键 词:信息安全安全技术安全要素

中图分类号:F470.6 文献标识码:A 文章编号:

在企业的管理信息系统中有众多的企业文件在流转,其中肯定有重要性文件,有的甚至涉及到企业的发展前途,如果这些信息在通用过网络传送时被竞争对手或不法分子窃听、泄密、篡改或伪造,将会严重威胁企业的发展,所以,中小企业电子信息安全技术的研究具有重要意义。

一、企业的信息化建设意义在这个网络信息时代,企业的信息化进程不断发展,信息成了企业成败的关键,也是管理水平提高的重要途径。如今企业的商务活动,基本上都采用电子商务的形式进行,企业的生产运作、运输和销售各个方面都运用到了信息化技术。如通过网络收集一些关于原材料的质量,价格,出产地等信息来建立一个原材料信息系统,这个信息系统对原材料的采购有很大的作用。通过对数据的分析,可以得到跟多的采购建议和对策,实现企业电子信息化水准。有关调查显示,企业对网站的应还处于宣传企业形象,产品和服务信息,收集客户资料这一阶段,而电子商务这样关系到交易的应用还不到四分之一,这说明企业还未充分开发和利用商业渠道信息。企业信息化时代已经到来,企业应该加快信息化的建设。

二、电子信息安全技术阐述

1、电子信息中的加密技术加密技术能够使数据的传送更为安全和完整,加密技术分为对称和非对称加密两种。其中对称加密通常通过序列密码或者分组机密来实现,包括明文、密钥、加密算法以及解密算法等五个基本组成成分。非对称加密与对称加密有所不同,非对称加密需要公开密钥和私有密钥两个密钥,公开密钥和私有密钥必须配对使用,用公开密钥进行的加密,只有其对应的私有密匙才能解密。用私有密钥进行的加密,也只有用其相应的公开密钥才能解密。加密技术对传送的电子信息能够起到保密的作用。在发送电子信息时,发送人用加密密钥或算法对所发的信息加密后将其发出,如果在传输过程中有人窃取信息,他只能得到密文,密文是无法理解的。接受着可以利用解密密钥将密文解密,恢复成明文。

2、防火墙技术随着网络技术的发展,一些邮件炸弹,病毒木马和网上黑客等对网络的安全也造成了很大的威胁。企业的信息化使其网络也遭到同样的威胁,企业电子信息的安全也难以得到保证。针对网络不安全这种状况,最初采取的一种保护措施就是防火墙。在我们的个人电脑中防火墙也起到了很大的作用,它可以阻止非黑客的入侵,电脑信息的篡改等。

3、认证技术消息认证和身份认证是认证技术的两种形式,消息认证主要用于确保信息的完整性和抗否认性,用户通过消息认证来确认信息的真假和是否被第三方修改或伪造。身份认证使用与鉴别用户的身份的,包括识别和验证两个步骤。明确和区分访问者身份是识别,确认访问者身份叫验证。用户在访问一些非公开的资源时必须通过身份认证。比如访问高校的查分系统时,必须要经过学号和密码的验证才能访问。高校图书馆的一些资源要校园网才能进行访问,非校园网的不能进入,除非付费申请一个合格的访问身份。

三、企业中电子信息的主要安全要素

1、信息的机密性在今天这个网络时代,信息的机密性工作似乎变得不那么容易了,但信息直接代表着企业的商业机密,如何保护企业信息不被窃取,篡改,滥用以及破坏,如何利用互联网进行信息传递又能确保信息安全性已成为各企业必须解决的重要问题。

2、信息的有效性随着电子信息技术的发展,各中小企业都利用电子形式进行信息传递,信息的有效性直接关系的企业的经济利益,也是个企业贸易顺利进行的前提条件。所以要排除各种网络故障、硬件故障,对这些网络故障带来的潜在威胁加以控制和预防,从而确保传递信息的有效性。

3、信息的完整性企业交易各方的经营策略严重受到交易方的信息的完整性影响,所以保持交易各方的信息的完整性是非常重要对交易各方都是非常重要的。在对信息的处理过程中要预防对信息的随意生成、修改,在传送过程中要防止信息的丢失,保持信息的完整性是企业之间进行交易的基础。四、解决企业中电子信息安全问题的策略

1、构建企业电子信息安全管理体制解决信息安全问题除了使用安全技术以外,还应该建立一套完善的电子信息安全管理制度,以确保信息安全管理的顺利进行。在一般企业中,最初建立的相关信息管理制度在很大程度上制约着一个信息系统的安全。如果安全管理制度出了问题,那么围绕着这一制度来选择和使用安全管理技术及手段将无法正常进行,信息的安全性就得不到保证。完善,严格的电子信息安全管理制度对信息系统的安全影响很大。在企业信息系统中,如果没有严格完善的信息安全管理制度,电子信息安全技术和相关的安全工具是不可能发挥应有的作用的。