企业安全信息范文

时间:2023-10-10 17:44:21

导语:如何才能写好一篇企业安全信息,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

企业安全信息

篇1

[关键词]企业安全信息管理;设计;实现

doi:10.3969/j.issn.1673-0194.2015.08.057

[中图分类号]TP311.52 [文献标识码]A [文章编号]1673-0194(2015)08-0075-02

近年来,企业安全事故层出不穷,信息安全引起了越来越多企业管理者的重视,成为各个企业不容忽视的关键问题。为了加强企业信息安全,不少企业开始设立独立部门对企业的信息安全进行专业管理,并开始培养专业的信息安全管理人才。

1 企业安全信息管理平台的问题

1.1 安全意识不强

企业要重视信息安全并实施管控,信息安全管理的成败取决于员工的安全意识。人员安全意识欠缺,导致政令不通,监督不力,执行不畅,往往导致信息外泄、系统故障等安全事故。只有树立直接执行人员牢固的信息安全意识,形成企业安全文化,企业信息安全才能真正长治久安。员工信息安全意识的提升并非一日之功,也不是通过简单的一两次培训就能奏效,而是一项持续的、长期的、有计划的、多种方式并用的综合性工作。信息安全意识提升面向企业广泛的受众,其内容涵盖信息安全相关各个领域,重点针对员工日常工作和个人行为,关注各种可能因个人行为不当或警惕性不强而引发的信息安全隐患和事故。由于目标对象的不同,信息安全意识提升内容会呈现出不同的形式、程度,从简洁明了的宣传语,到浅显易懂的安全提示,再到全面具体的安全手册,建立企业专门的信息安全知识库,满足不同方面和不同层次的需要。

1.2 缺乏专业人才

随着经济社会的不断发展,企业对于信息安全管理人才的需求也越来越大。任何组织都是由人组成的,没有人才,组织就不能取得长远发展,更谈不上不断进步和自我完善。企业的发展需要不断补充新的人才。对于多数企业来说,信息安全管理人员的素质决定了单位能否长远发展。信息安全管理是最近几年才兴起的,很多企业还没有配备相关人才,不少高校也尚未开展相关专业,培养信息安全管理方面的人才,国家对于信息安全管理专业的投入也不够。社会整体尚未形成重视信息安全管理的氛围。目前,不少企业的信息安全管理人员十分匮乏,很多企业没有专门的信息安全管理机构,因此也没有配备相应的信息安全管理人员。只有少数企业认识到信息安全管理的重要性,设立了相应的信息安全管理机构。但在这些企业当中,多数企业的信息安全管理机构十分简陋,相关设备也不够健全,专业人员的配备也存在缺失,有的企业虽然配备有信息安全管理人员,但这些人员多数没有接受过系统的知识培训,经验不够丰富,责任心不强,不能履行信息安全管理人员的基本职责。信息安全管理人员素质不高和专业人才的缺失,是企业的发展的阻碍,严重影响了企业的长远发展。

1.3 监管制度缺失

完善、科学的信息安全监管制度对于企业的发展具有十分重要的意义和作用。行为规范制度是指导工作人员进行相关操作的准则和办法,只有建立一套系统的信息安全监管制度,才能规范信息安全管理人员的行为,使操作有据可依,信息安全管理人员对自身行为负起责任。目前我国信息安全管理制度仍不健全,不少企业没有建立起一套完善的内部控制制度,使得很多行为没有操作依据,信息安全管理人员的行为无法有效约束,出现了许多不负责任的行为。这些行为不仅阻碍了企业的发展,也影响了企业的声誉,不利于后续工作的开展。因此,必须建立健全企业信息安全监管制度,为企业后续活动的开展提供保障。

1.4 管理技术落后

信息安全管理需要先进的管理技术和安全技术,为信息安全管理提供有力的技术支持。企业在发展过程中,开发了一系列信息安全管理技术和管理技巧,发挥了一定的作用。但随着经济社会的发展和科技的日新月异,不少技术已经无法跟上时代步伐,很多技术面临淘汰。这些管理技巧不但不能给企业带来益处,反而有可能影响企业的信息安全。因此必须紧跟时代步伐,了解最新的信息安全管理技巧,结合企业实际情况,开发符合时代要求的管理技巧。同时,积极了解最新科技动态,将适合于本企业的技术运用到企业的信息安全管理过程中。

2 如何完善企业安全信息管理平台设计

2.1 增强信息安全管理意识

提高信息安全管理意识是完善企业信息安全管理的重要前提和关键因素。只要具备良好的内部安全控制意识,才能顺利开展后续工作。企业管理者必须深切意识到信息安全管理对于企业发展的重要性和必要性,加大投资力度,及时发现企业信息安全管理中存在的问题和不足。必须加强对企业信息安全管理的重视,切实意识到信息安全管理对于企业发展的重要性,加大资金投入,确保企业信息安全管理良好运作。

2.2 加强人员的素质培训

人才对于企事业单位的发展具有不容忽视的作用。单位的竞争归根结底是人才的竞争。信息安全管理人员的素质对于企业的发展具有重要作用,具有良好素质的信息安全管理人员可以促进企业的快速发展。企业必须重视对信息安全管理人员的培训和投资。信息安全管理人员的投资包括设备的更新,资金的投入和专业教育的提升。同时,要鼓励信息安全管理人员学习最新的信息安全知识,不断更新已有知识,紧跟时代的步伐。企业不仅要注重提高信息安全管理人员的专业素养,也要重视对企业信息安全管理人员的道德培养。只有专业知识而缺乏道德素养的工作人员,不仅不能给企业带来效益,反而会危害企业发展,因此必须重视企业信息安全管理人员的道德素养。信息安全必须不断加强对信息安全管理人员的培训,切实全面提高信息安全管理人员素质,增强信息安全管理人员灵活处理各项事务的能力,不断巩固自身基础知识,培养信息安全管理人员的责任心和创新精神,真正做到与时俱进。只有不断提升企业的信息安全管理人员素质,才能从整体上提升企事业单位的安全管理工作效率,促进企业的长远发展。

2.3 强化信息安全监督管理

监督工作对于企业的发展具有重要作用和意义。良好的监督是企事业单位正常活动的前提。没有完善的监督体系,企事业单位很难确保业务的正常开展。企事业单位应强化信息安全监督工作,建立相应的监督管理机构,对企业内部各项经济活动进行有计划地控制,及时发现企事业单位存在的问题,同时应加强信息安全管理工作,不断提升工作效率。凡事预则立,不预则废。除了做好信息安全管理的内部监督工作外,不断加强信息安全管理的外部监督工作也是十分重要的环节。外部监督主要包括新闻媒体监督和社会大众监督。企事业单位管理者要认识到内部管理的不足之处,认真改正有缺陷的地方,不断完善内部控制建设。同时,也要不断加强新闻媒体的监督作用,发挥舆论的监督作用。内部控制是一项巨大的完整的工程,具有完善的体系和结构,必须保证每个环节落实到位,才能确保整个体系的良性运行,从而发挥出最大的效益。

2.4 提高信息安全管理技巧

除此之外,信息安全管理技巧对于企事业单位的发展具有重要意义。不同的控制技巧适用于不同的企事业单位,也会产生不同的效果。企事业单位采取适合本单位的内部控制技巧,可以提高企事业单位的行政效率。随着时代的发展和进步,传统的信息安全管理技巧已经不适用于现代企业。因此,企业必须根据时代的发展,提升自身信息安全管理技巧,摒弃旧有落后工作模式。另外,在实施信息安全管理技巧时,必须考虑到事业单位的实际运作情况,切忌生搬硬套。应根据企事业单位的具体情况,有针对性地提高信息安全管理的技巧,逐步解决企事业单位在实施信息安全管理时遇到的难题。

主要参考文献

[1]侯卫超.企业信息安全现状分析与管理对策[J].科技信息:科学教研,2007(28).

[2]王超,林峰.高校校园网络安全管理策略[J].科技资讯,2007(20).

篇2

关键词 信息安全;安全防护;信息保密

中图分类号TP39 文献标识码A 文章编号 1674-6708(2013)83-0024-02

1电力企业的信息安全

1.1什么是信息安全

信息安全是指信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。

通常来说,信息安全就是要做到五个方面内容:一是进不来,通过设置系统口令、屏保口令等使恶意人员无法进入;二是拿不走,对系统用户有权限区分,低权限用户无法越权获取高权限用户资料;三是看不懂,对重要文件进行加密处理,保证信息不曝露给非法用户;四是改不了,确保只有得到允许的人才能修改数据,其它人无法改动;五是走不脱,使用审计、监控等手段,使得攻击者、破坏者无法走脱。

1.2信息安全总体要求

公司信息安全坚持“双网双机、分区分域、安全接入、动态感知、精益管理、全面防护”总体防护策略,执行信息安全等级保护制度,防止因信息系统本身故障导致信息系统不能正常使用和系统崩溃,抵御黑客、病毒、恶意代码等对信息系统发起的各类攻击和破坏,防止信息内容及数据丢失和失密,防止有害信息在网上传播,防止公司对外服务中断和由此造成的电力系统运行事故。

2地市公司信息安全管理

2.1信息安全面临的威胁

随着信息技术的发展以及公司信息化建设的推进,地市公司面临的信息安全威胁越来越多样化。目前,信息安全面临的威胁主要有:一是人为无意失误,如管理漏洞、安全意识不强,操作不当等;二是人为恶意攻击,如计算机病毒等恶意代码;三是软硬件的漏洞和“后门”,如操作系统、数据库及应用系统本身存在的缺陷和漏洞;四是设备故障;五是自然灾害。

2.2信息安全管理

2.2.1安全制度建设

地市公司要根据上级公司的相关要求,结合本公司所面临的信息安全威胁,从网络、终端、应用、管理等各方面建立完善一整套信息安全管理制度。管理制度主要包括:《计算机机房安全管理制度》、《安全责任制度》、《网络安全制度》、《系统安全风险管理和应急处置制度》、《操作权限管理制度》、《用户登记制度》、《重要设备、介质管理制度》、《信息审查、登记、保存、清除和备份制度》等等。这些信息安全制度在公司信息安全工作中起着根本性、指导性和全局性的作用。

地市公司要根据实际情况制定信息安全通报制度,加大全体员工对信息安全的重视程度,提高信息安全的管理效率。通报分为例行通报、紧急通报两类,通报内容包括:一是围绕信息安全考核指标的日常工作;二是信息安全的专项工作;三是信息安全事件的预警、响应、研判和处置情况。

地市公司要建立信息安全监督制度,要求各单位、部门对危害信息安全的各类危险源点进行自查整改。信通公司作为信息安全主管部门进行现场检查和远程检查。

地市公司要建立信息安全应急处置制度。为了正确、有效和快速地处理信息安全突发事件,最大限度地减少突发事件对公司生产、经营、管理造成的损失和对社会的不良影响,需要定期修订完善应急预案和开展应急演练。同时,地市公司还要定期组织全体信息运维人员学习应急预案,做到熟悉预案,了解如何应对突发事件,明确各自职责和处理程序,真正确保突发事件下的信息安全。

2.2.2人才队伍建设

信息安全工作需要必须的人力资源来支撑。地市公司要按照“谁主管谁负责,谁运营谁负责,谁使用谁负责” 的原则,落实专门机构和人员负责信息安全工作。目前,地市公司的信息安全运维管理由信通公司负责,主要工作包括有系统的安全运维、信息安全的技术保障、信息安全事故应急处理及员工信息安全教育等。地市公司还应根据工作地点及人员分散的特点建立一只信息兼职队伍。通过信息兼职队伍的壮大及能力的提升,使信息安全迈上新的台阶。

2.2.3防护系统建设

安全技术是信息安全的主体,信息安全离不开安全技术的实施和安全产品的部署。地市公司必须要部署防火墙、入侵检测系统、防病毒系统、桌面终端标准化管理系统等各种安全防护系统。这些系统的部署给信息安全提供了多层次、全方位的安全防护。

部署防病毒系统。Symantec endpoint Protection提供端点安全解决方案,它实现防病毒、防间谍软件、防火墙、入侵防御和网络威胁防护等多种功能,并且通过策略的设置,可以防范安全违规事件的发生。它具有系统性和主动性的特点,能够实现全方位多级安全防护。

部署桌面终端管理系统。桌面终端系统应实现对公司内部终端的软硬件、数据保密的集中化和标准化管理,提高公司内部终端的安全性及维护管理的效率。

地市公司还应利用在网络设备上采取IP地址与MAC地址绑定的技术手段限制不明非法的设备接入到信息内网中。同时,还应制定网络接入设备审批制度,严格控制和管理接入信息内网的设备。

2.2.4系统安全建设

系统安全分为物理安全和运行安全两个部分。

物理安全主要是指主机存储设备、网络设备、安全设备及机房辅助设备安全。设备放置在专门的信息机房内,通过门禁系统及机房监控系统保证这些设备自身的安全。地市公司应制定机房管理、机房出入人员管理等制度,对设备安全管理、机房环境管理、人员出入访问控制管理等做出详细的规定。同时,地市公司还应指定专人负责各类设备的管理工作,定期联系专业厂家对设备进行巡检,做到问题早发现,早解决。

运行安全主要是指业务应用系统、网络系统及数据库系统等运行安全。主要系统应采用双机的方式来建设。所有的系统都有专人负责,地市公司定期对系统的运行状态进行巡视、备份等工作。同时,地市公司还要对设备的账户安全、网络安全、服务安全、日志安全等方面开展加固工作,保障系统的安全稳定运行。

2.2.5个人安全建设

地市公司应从管控与培训两个方面开展个人信息安全建设。

所有终端设备应统一安装桌面终端管理系统、防病毒系统和补丁升级系统等安全防护系统。地市公司要每日安排专人监控终端设备,发现问题及时整改,保证桌面终端注册率、防病毒安装率,补丁安装率是100%。

教育培训是提升员工个人信息安全意识和技术水平的重要手段。通过开展安全讲座、建设专题网站、印发宣传手册和巡展宣传展板等多种形式加强信息安全知识的宣传,使每个员工懂得信息安全违规行为的防范知识。

2.2.6信息保密建设

地市公司要严格执行“信息不上网,上网信息不”的保密要求,对发现的违规失密、泄密事件严肃处理。信息保密工作主要有:一是强化信息保密教育培训,使员工明确信息保密安全防护要求;二是加强对终端和网络的保密管理,防止敏感、信息的丢失以及有害信息在网上传播。

篇3

关键词:企业信息化;网络管理;安全问题

前言

自中国加入世贸组织后,全球实行经济一体化,信息资源对于企业的发展经营显得十分重要,企业只有尽快实施信息化战略与国际接轨,才能融入到经济全球化的大潮中去。对于企业进行信息化改革需要进行一些规划性安排。其中包含有信息资源规划,这主要是指企业生产经营过程中所需要掌握到的所有信息,从开始采集、处理一直到传输、使用全过程的一个整体规划。企业在生产经营活动过程中,无时不刻都充斥着信息,信息资源与企业人、财、物资源同等重要,都是企业在经营环节中不可缺少的重要资源。而经过长期的发展,很多企业已经开始意识到企业信息资源规划的重要性,认识到它是企业信息化建设的基础工程。而对企业信息化安全的解决应该建立在人员管理的基础之上,致力于整个企业网络管理。

1企业信息化安全与网络管理

1.1网络集成应用系统安全

网络集成应用系统根据不同企业的需求呈现不同的情况,一些企业中的网络集成应用系统比较复杂。不能够很精准的估计防御对象的规模以及价值,也不能简单的对其加以标定界限,针对这种情况,就只能够将网络管理安全保障的工作分解开来。落实到具体的个人,采取一系列有效的措施如主动防御方式去进行。而网络安全信息的防御是一个保障整体网络信息安全的手段,其可预见性以及灵敏性等都为工作带来便利,在面临网络空间可能带来的威胁的同时,站在网络管理者的角度上去思考,为企业网络安全提供一定的保障。因此对于现代社会企业发展中提出的有关信息化安全问题其范围也十分广泛。计算机系统结构安全的信息防御,注重的是以信息参与者的人为主角的主动型安全防御。

1.2企业人员信息技术安全

企业信息化归根到底也是人的参与,因此对于企业在信息化过程中会遇到的信息安全问题也需要人员引起足够的重视。人才是企业在发展中的关键竞争力,企业对于人才的重视程度也在日益增加,而同时也要注重企业的管理。随着时代的发展,信息化已经成为企业不可忽视的发展趋势,当企业投入大量的资金和精力去培养人才进行信息化管理以及掌握信息化技术之后,更需要加强信息安全管理。目前是信息化时代,“信息”对于企业而言是十分重要的财富,企业信息系统中掌握着企业运行经营的大量资源和信息,而信息系统的一些安全隐患大部分来源于外界的侵扰,信息工作和管理人员个人的疏忽也容易导致信息的外泄,这将是对企业造成严重的损失。目前对于企业在信息化方面的标准有多种争议,面对争议我们首先要弄清楚企业目前处于什么样的状况,这些标准都是随着技术水平的改进以及管理要求的变化而变化的,因此针对这些变化,企业需要针对自身的实际情况以及实际需求进行安全管理。

1.3网络管理人员信息技术安全

企业信息化系统管理中最重要的一项安全指标就是信息技术方面的安全,面对高要求的安全管理,对于网络安全管理人员的职业素养以及业务能力也相应提出了更高的要求。而企业信息化系统的网络管理在实际的运行过程中必定会涉及到众多的功能模块,面临企业信息化系统中的网络安全管理一般包含有四大功能模块:配置管理、性能管理、故障管理以及安全管理。而这四大功能构成了网络安全管理的基本功能,除此基本功能之外,网络管理还包括有网络规划、网络操作规范等,以下就来简单分析介绍这些功能:(1)配置管理:网络的配置管理要做到的是自动发现网络拓补结构,构造和维护网络系统的配置。时时的注意网络中被管理监测的对象状态,对网络设置中的一些设备配置的语法进行检测,对于配置进行严格的检验。(2)故障管理:在网络运行过程中时刻的进行网络有关事件的过滤和归并,通过不间断的检测及时的发现在网络管理以及操作过程中出现的一系列网络故障问题,并根据实际问题情况寻找出有效的应对措施和建议,提供一定的排错手段以及工具,逐渐形成一套完善的网络故障预警和解决机制,从而减少故障给企业信息化系统带来的危害和损失。(3)性能管理:性能管理是对网络对象的性能方面数据进行收集、分析以及处理功能,通过分析和收集了解网络在运行过程中的质量安全问题,同时掌握整个网络运行体制中的运行状态信息,为整个网络的使用情况以及未来发展趋势、状况进行一个评估,为进一步的网络规划提供一定的参考价值。(4)安全管理:网络信息的安全主要在于存储在系统中的一些用户信息资料以及企业内部的资料的泄露,加强安全管理无疑是要加强用户的认证、访问控制、数据传输以及存储保密性和完整性,保障网络系统本身的安全。维护系统日志,使系统的使用情况以及网络对象的修改都有记录和有数据可循。加强对网络资源的访问量的控制。例如有些企业在加强网络安全管理方面为了尽量的减少不必要的漏洞,在配置管理中采用了VLAN的方式,这种方式就是将企业内部的不同部门都划分为各个不同的虚拟网段,而针对不同部门的职员设置相应的权限,只有具有权限的职员才能进入某一个虚拟网段,没有权限的用户无法访问其他网段。VLAN其实就相当于是一个计算机网络,里面所有内容都由同一个网线连接着,但是其中的网络又可以分为不同的部分和区域。由于该方式多是通过软件来操作实施的,因此使其具备了更多的灵活性,而该手段的最大优势在于提供了更多的管理控制,这相应的减少了很大一部分的管理费用,同时也提供了更多的配置灵活性。另外,在网络管理中可以通过边界的路由器来控制外来的用户对网络信息的访问,从而可以有效的防止外来用户对本企业网络的侵入和攻击。加之前文中有提到可以加强网络安全的预警机制。通过对告警中的危险事件和信息进行有效的分析和处理,及时发现可能存在的攻击行为,及时发现网络管理中存在的安全漏洞和安全隐患,从而更好的防患于未然。当然,在进行这些网络安全管理手段操作中可以充分借助有关的管理网络的软件,为网络管理人员提供有效的技术信息和保障,而且单一的软件绝对满足不了网络安全管理的需求,需要根据实际情况综合运用多种软件形式,从而满足不同方面和层次的需求,无论是加强网络管理安全还是利用各种管理软件首先必须要提高网络管理人员的综合素质,提升其职业素养和计算机应用水平,人员素质的提升以及相关管理硬件、软件的配套,才能从根本上解决企业信息化管理以及网络安全管理中的问题,提高其管理机制和管理水平。

2结束语

从本文中所阐述的众多问题中可以总结出,无论是网络集成应用系统的框架还是人员信息化和网络管理者角度而言,企业信息化的安全问题主要集中在网络管理方面。而对网络进行管理的主体部分就是人员。因此加强网络管理的安全问题要从人员自身方面的水平以及素质和网络安全管理相关技术两个方面着手,让所有的网络管理者在思想上意识到网络安全管理的重要性。管理人员的重视才会促进有关技术的改进和革新,这也是我们进行网络管理的最终目的和有效保障。

参考文献:

[1]林鹏,叶盛元.互联网与信息化安全(三)[J].华南金融电脑,2006.

[2]曲璐.信息化安全在计算机管理中的运用探讨[J].信息与电脑(理论版),2013.

篇4

首先,鉴于中小企业的特点,在信息安全意识培训过程中需要考虑两个基本点。第一点,对全公司尽量培训一致的安全信息,并且这项计划要由信息技术部门负责管理。中小型企业规模往往比较小,不足以实行具有不同倾向性的多种培训计划。第二点,要清楚中小企业的大部分电脑使用者并不是专业人员,相关的培训应该简单且接近企业用户的水平。

其次,需要考虑的是中小企业信息安全方面需要培训哪些内容。一般而言,需要考虑的培训内容包括:用户管理、网络与电子邮件、移动设备与便携设备使用、对外保密、突发事件、系统操作安全等。

再次,需要根据自身特点选取适合中小企业信息安全意识的培训方法。一般来说,至少有三种途径可以用于企业进行安全意识培训:一是在公司内部寻找培训人员和培训部门,进行内部培训;二是聘请外部专业的培训公司进行培训;三是考虑依托于网络与电脑进行培训。但以上任何一种方案都有可能会超出中小型企业的能力,这时候还要根据企业自身特点来安排适当的途径进行培训。

那么,能满足规模较小的中小企业提高员工信息安全意识培训的合理途径是什么呢?有分析认为,可以在以上提到的三种途径的基础上加以改动,形成两种可用的途径:一是中小企业仍然可以使用内部资源进行范围性培训或者购买网络、电脑的培训程序。二是中小企业可以创造性地在办公室张贴些成本低的彩色安全意识海报,对员工潜移默化地培训。

从企业内部来看,如果企业的信息技术部门能提供一个内部特制的培训计划是可行的。按照美国国家标准与技术研究院(NIST)的指导方针或其他材料,策划一天或半天的课程就足以使员工认识到有关电脑安全的一些重要问题。从企业外部来看,目前市场上也有不少专门面向中小型企业、价格合理的基于网络和电脑安全相关的培训。无论如何,需要考虑企业自身承受能力与受培训者的接受能力,根据实际情况来进行选择。

篇5

 

随着社会经济的不断发展,网络时代逐渐进入人们的生活,计算机被运用在了各个领域中,成为促进社会发展的重要媒介。而与此同时,企业信息安全问题也逐渐凸显出来,严重阻碍了企业的可持续发展,因此,在网络时代背景下研究企业安全风险和控制具有重要意义。

 

1 企业信息安全相关概述

 

1.1 信息安全的含义

 

迄今为止,对信息安全依然没有一个统一和公认的定义。但是从国内外研究来看,对其主要存在2种说法:一种指的是具体信息安全技术系统的安全;而另一种则指的是某些特定的信息体系的安全。上述2种定义主要站在静态的角度上阐述了信息安全的基本层面,但是信息系统和网络的影响决定了信息安全是一个动态的改变,其主要是防止企业信息遭到恶意泄露、破坏、更改[1]。信息安全的最终目的是向合法的对象提供安全、可靠的信息。

 

1.2 信息安全在企业中发挥的重要作用

 

企业信息作为企业的宝贵资源,保证企业信息的安全性对企业的生存和发展具有重要作用,主要体现在以下3个方面:一是企业信息安全是保障企业正常运行的基本前提。在网络时代背景下,企业信息安全的内容更广泛,再加上现代企业制度的不断建立和完善,越来越多的企业依靠信息数据库开展各项工作,例如:对于市场情况的分析、做出重大决策等等。二是保障企业信息安全是提高企业市场竞争力的必备条件。随着市场经济的不断完善,企业面临的竞争也越来越激烈,在这种形势下,企业要想获取市场竞争优势就需要依靠信息安全来实现。三是企业信息安全作为企业发展战略中重要的组成部分,而企业实施各项战略主要是通过自身的经营活动、财务信息等开展的,这些数据也能够将企业的战略实施方法以及下一步计划详细地反应出来,因此,如果企业的信息安全无法得到保障,那么企业要实施各项战略难度也很大。

 

2 网络时代下企业信息安全风险分析

 

2.1 缺乏高度的信息安全风险意识

 

在网络时代的浪潮下,很多企业都在逐步加强自身信息安全的建设,通过加大资金投入、创新技术等措施来保障自身的信息安全,然而,对信息风险的控制并非仅仅依靠技术就可以实现,更重要的是人们要树立起信息安全的风险意识。但是从当前来看,还有很大一部分企业的领导者、管理者、员工缺乏对信息安全风险的高度重视,主要表现在:个别人甚至片面地认为信息安全仅仅是网络部门的责任,跟自身没有多大关系;二是有个别企业领导者认为对信息安全的宣传过度夸张,遭受网络攻击的概率小,一般不会发生在自己身上;三是个别企业没有建立信息安全风险管理体系,再加上企业缺乏具体的故障系统,导致企业信息安全遭到风险时,员工往往手足无措,虽说有些企业针对自身的信息安全制定了一系列规章和制度,但是由于缺乏针对性和操作性,导致这些制度无法得到真正落实。

 

2.2 应用系统的安全性不高

 

企业要实现信息化建设的目的,少不了各种应用系统作支撑,但是从实际情况来看,很多企业还存在着应用系统的安全性不高等问题,进而导致企业在数据传输和存储等方面存在漏洞。如此容易被一些病毒、恶意软件窃取,实现非法访问,进而引发企业信息丢失或者泄露等安全风险。另外,很多企业应用系统的安全方模式也较为单一,绝大部分主要是采用“口令”的方式进行认证,无法实现对信息安全全方位的防范。另外,企业设置的密码过于简单、操作不规范等等都会增加应用系统安全的风险。

 

2.3 技术设备和设施的作用发挥不足

 

个别企业为了防范信息安全风险,针对一些重要信息设置了安全设备,但是由于操作条件和参数设施不够合理,无法将这些设备的作用充分发挥出来。还有很多企业没有通过建立工作日志来对安全设备、设施的运行情况进行监控,进而不能根据企业的经营情况对信息安全进行风险控制,更无法采取有效措施保障企业风险管理。

 

3 网络时代下控制企业信息安全风险途径分析

 

3.1 加强信息安全教育,提高信息安全风险意识

 

由于在企业信息安全控制中,提高员工的信息安全意识是保证企业信息安全的决定性因素,因此,企业应该加强对员工的信息安全教育,帮助员工树立起信息安全风险意识,例如:企业可以利用一些重大节日开展关于信息安全的演讲比赛、征文比赛,也可以通过建立适当的激励制度以及开展培训活动等途径来加强员工对信息安全重要性的认识,进而提高自身的信息安全风险防范意识和观念。

 

3.2 加强信息化建设,设置信息安全管理部门

 

在企业信息化建设中,信息安全作为重要的基础,企业要强化自身的内部控制,就应该落实信息安全的建设工作。加强信息化建设首先需要企业将信息安全纳入安全管理范围内,进而突出信息安全建设管理的重要地位;然后不断健全信息安全的责任制度,争取形成信息安全联动管理机制,确保信息安全管理的有效性;最后,在企业中设置信息安全管理机构,该部分的主要职能为企业信息安全建设、管理以及员工的信息安全教育培训工作等,从而为企业的信息安全风险控制创建一个良好的内部环境[2]。

 

3.3 运用新技术,加强信息安全风险防范

 

当前控制信息安全风险常见的主要有VPN技术和防火墙技术:(1)VPN技术。VPN主要指的是在公共网络的虚拟专用网络中建立一个临时的安全链接,在通常情况下,对VPN内部进行扩展可以实现远程操作,建立一条分公司、商业合作商和供应商跟公司内部网络安全联系,从而确保信息交换的安全性,保证数据传输的安全性。(2)防火墙技术。防火墙也被称为访问控制系统,主要是通过对网络做拓扑结构和服务类型上的隔离来保障网络安全。运用防火墙技术可以保证企业的内部网络免受外部网络的侵占,并阻断非法访问的外部网络进入企业内部网络,保证企业信息和资源的安全。

 

4 结 语

 

总之,网络时代的产生为企业发展创造了新的模式和发展契机,但与此同时,企业的信息安全也面临着很大的威胁,在很大程度上制约了企业的可持续发展。要实现对企业信息安全风险的控制,首先应该找准企业信息安全的风险点,然后采取对应措施,如:加强信息安全教育、加强信息化建设、运用新技术等几个方面来控制信息安全风险。

 

作者:袁亮 来源:中国管理信息化 2015年17期

篇6

如何建立一套针对企业自身特点的信息系统安全体系,最大程度地保证其正常运营,这不是一个单纯的技术问题,而是一个把管理、安全技术、审计等多种因素集成于于一体的系统工程。因此,企业管理层需要在企业发展策略中,高度重视信息安全技术、信息安全管理和审计工作,不仅要在信息系统的软硬件上下功夫,而且不能忽略相关审计工作,加强风险排查,这样才能对企业的业务发展做到同步支持。

1.信息系统安全技术

信息系统安全技术作为信息系统安全体系的基础,在其中起到支撑的作用。在实际工作中,针对企业各自特点制定相关策略。当前企业信息系统安全的现状和面临的主要问题如下:

1.1硬件运维

硬件设备的运维和管理是企业信息系统安全体系的基础保障,但是管理人员容易忽视这一环节。企业信息系统往往会因为硬件设备故障、断电或网络问题造成信息丢失或服务中断。如果针对硬件设备的运维和管理没有相关保障机制,一次发生意外,就会给企业造成不可估量的损失。

当前常见的硬件设备运维保障管理机制有以下几个环节:一是通过设置UPS不间断电源保障系统硬件的持续性运行;二是要对企业信息系统中的网络设备进行定期巡检,在前期的网络环境部署过程中首先考虑网络的连接稳定性;最后是加强信息系统安全管理,严防企业信息丢失和窃取,可以通过对数据信息存储服务器设置物理锁的方式避免非法操作。为了保证系统服务器的安全,管理人员可以采用远程登录的方式访问系统。

1.2入侵防御

病毒入侵一般都拥有固定代码,而入侵威胁是由非法人员需要得知信息系统的漏洞,从而进行人为操纵的信息窃取或系统攻击。特定的防范方法包括:严格制定防火墙访问控制策略,阻止外界对内部资源的非法访问;关闭系统硬件不用的端口;定期对系统进行漏洞扫描和补丁包更新;在信息系统中部署入侵检测系统(IDS)和入侵防御系统(IPS),从而抵御非法入侵。

1.3病毒防范

信息系统的安全配置和管理人员的正规操作对于信息系统病毒的防范非常重要。操作系统是企业信息平台安全的基础,错误的安装配置会使病毒渗入到信息系统当中。针对信息系统安装杀毒软件并进行定期更新是病毒防范的基本措施,这样可以保证系统基本的安全性与稳定性。企业还需要定期对系统进行数据备份。

1.4数据加密

在公共网络进行数据传输的过程中,利用虚拟专用网(VPN)技术设置访问控制策略,实现两个或多个可信网络之间的数据加密与传输。搭建VPN通常使用加密防火墙和路由器,保证数据安全传输[1]。

在企业的局域网中针对内部信息存储、传输的安全问题,可以通过部署安全服务器来实现包括对局域网内资源的管理控制、用户的管理和所有安全相关事件的跟踪和审计。

2.信息系统安全管理

企业信息系统安全体系的建设三分靠技术,七分靠管理。因此,建立和完善管理制度是保障企业信息系统安全的关键和重点。

2.1制定企业信息系统安全管理制度

企业信息系统安全体系的建立和实施对其正常运营非常重要,所有一切的信息系统安全工作都要以公司制定的企业信息系统安全管理制度为基准。

2.2提高企业员工信息系统安全意识

现实中企业管理者的关注焦点大多是生产上的安全,信息安全没有得到足够的重视。实际上,企业员工信息安全意识的高低,在企业的信息系统安全体系建设中起很大作用,企业能够加强员工的信息安全意识,将很大地提高信息系统安全体系实施的成效。

2.3严格执行标准,强化制度落实

在企业信息系统安全体系的建设过程中,必须严格按照信息系统安全操作规程和管理措施执行,最大程度消除信息系统安全隐患。若发现信息系统安全隐患,及时按照相关操作规程处置[2]。

2.4积极学习和应对各种信息系统安全事件

信息技术不断发展,保障信息系统安全的难度也在与日俱增。因此,信息系统安全管理必须要求企业管理人员不断学习,不仅要制定一套完整严密的信息系统安全管理方案,还要有步骤清晰、操作性强的应急预案,这样才能增强信息系统安全管理的危机抵御能力和处理能力。

2.5构建信息系统安全环境平台

面对日渐严峻的信息安全形势,在加强企业信息系统基础安全设施建设的同时,要有机结合员工信息安全意识、技术能力、企业运维管理三者,建立一套综合性强的信息系统安全保障体系,在所有的业务系统中贯彻执行当前的安全管理思路,通过可量化的技术手段,达到信息系统安全管理的最终目的。

3.信息系统安全审计

企业信息系统安全体系的建设是一个长期的、需要不断持续更新、完善的系统工程,通过对信息系统的安全审计,及时发现和解决企业信息系统安全体系的漏洞,才能不断提高企业安全水平和质量。如何建立和执行企业信息系统安全审计,有效加强企业内部的信息系统安全管理和风险控制,满足相关政策法规,成为各行业面临的普遍问题[3]。

信息系统安全审计是指一群拥有相关信息安全专业技能和商业知识的审计人员对企业安全风险以及如何应对风险措施进行评估的一个过程。信息系统安全审计人员通过收集、分析、评估信息系统安全信息,掌握其安全状态,制定安全策略,将系统调整到“最安全”和“最小风险”的状态,确保信息系统安全体系完整、合理、适用[4]。

由于目前信息系统应用已经涉及到企业的各个业务和办公领域,对于信息系统带来的安全管理已经是企业运营不可切割的一部分。所以,企业的信息系统安全审计应该是一个从业务部门到技术部门都必须参与控制的过程。

从信息系统本身来说,安全审计的要点主要是以下两个方面:

3.1数据及数据传输审计

数据是信息系统的重要资产,保护数据的安全、完整,避免其被恶意破坏、盗窃。对用户身份进行控制,避免非授权访问数据,是数据访问环节的安全控制措施。除此之外,对数据的操作和保存也是数据安全控制的重要环节。首先,应雇佣具备任职资格或经过适当培训的人员,避免误操作;其次,所有操作都应该经过授权且有记录,数据文件被正确保存且经过充分备份,以备正确的恢复。

在信息系统中,有些数据需要在两个子系统或多个子系统中相互传输,在这个过程中很可能会出现问题,尤其是在需要手工录入或同步传输的情况,因此在进行信息系统安全审计的过程中要重点关注以下方面:数据在传输的过程中可能会发生变化,如何进行校验;核心数据库可能会被物理分散的服务器取代;当一个信息系统取代原有的信息系统时,会进行数据的传输。要保证传输的数据是完整、可靠并且经过批准的,数据的全部传输过程要准确,并且在约定时间内完成。

3.2内部控制审计

内部控制审计是企业为实现管理目标而形成的自律系统。在审计过程中要对审计对象的系统环境是否符合要求、规程制度是否完善、执行情况是否到位进行审查。在信息系统中,可以通过检查以下几个方面来验证企业内控制度和执行的效果:(1)控制信息系统的资源存储,包括物理存储资源存储(终端、连接盒、服务器、相关文档等)和逻辑资源存储(软件、系统文件、表和数据等)。(2)把控信息系统资源的使用。用户的新增、变化、删除必须经过授权,用户只能对其授权范围内的资源进行操作。(3)按一定标准划分信息系统资源。可以系统资源的滥用、数据的非法修改以及减少人为误操作。(4)身份和访问控制审计。按照时间顺序建立一个档案簿,包含信息的创建、修改和删除的详细过程及其操作人员。它采用的是授权证明,控制什么人什么时候访问了什么数据。(5)确认处理过程的准确性。(6)管理人员对信息系统的所有修改都应该保证是经过授权、评估和审核,并且有记录文档,保证风险最低且有效控制。(7)入侵防御审计。入侵防御涵盖的范围远广于传统的入侵检测。入侵防御策略的合理设置会把风险缩小到最小范围。(8)漏洞和病毒管理审计。定期检查系统漏洞和防病毒措施,根据具体问题原因进行分析处置,及时采取相关措施。

篇7

【关键词】企业 信息安全管理 对策

信息安全管理是指通过保证信息资产的机密性、完整性和可用性来保护和维护企业所有信息资产的一系列管理活动,是完整的企业组织管理体系的重要组成部分。其主要包括制定信息安全政策、风险评估、控制目标与方式选择、制定规范的操作流程、对人员进行安全意识培训等一系列工作。

知识经济时代,企业内部各部门之间以及企业与外部之间的交流与合作日益频繁,且对计算机信息技术的依赖也日益明显,使得信息安全问题成为众多企业的关注焦点。

企业的许多信息,包括一些战略规划的重要信息,均以电子文件形式存储,而这些信息在存储、处理以及传输过程中都有可能被非法截取、恶意破坏以及篡改,损失难以想象。保障信息系统的安全在企业的建设和发展当中具有重要的作用。信息安全管理是确保信息系统顺利运行的有力武器。通过建立信息安全体系及相应的规范机制,如加强对人员的管理、提升人员安全意识、促进软件和操作系统的操作及建设相关网络等,就可以建立起完善的信息安全系统,促进企业在知识经济时代平稳、快速和健康的发展。

一 目前信息安全管理中存在的隐患

1.信息管理的安全意识方面

在传统的企业生产中,企业所应具有的基本生产要素主要有设备、原材料、人员和制度几个方面。但随着信息技术的发展,信息的重要性也日益突显,从而也成为企业发展的基本要素之一。根据以往经验来看,企业对信息安全的重视程度还远远不够,表现在对企业信息的安全保护很不到位,这无疑给企业带来了很大的损失。所以,企业必须要加强对信息安全的保护,建立起一套完善的信息安全体系来保证企业的信息安全。

2.缺乏统一的安全体系规划和安全防范机制

目前,“头痛医头、脚痛医脚”的现象十分普遍,原因在于眼于局部而忽视整体。企业只是在网络中安装了一些安全设备,却未形成统一的安全策略及相关规划方案。企业在建设信息化的过程中通常采取先开展业务,后关注安全的策略,使得安全的管理远远落后于开展业务发展。而由于缺少整体性的规划,使得企业在问题已经出现时才去弥补,对于安全建设只能用“亡羊补牢”来形容。

3.信息安全产品本身存在的问题

大多数企业通常在建设信息安全系统的过程中就采用了一些保证信息安全的产品。但并不是说使用了相关安全产品信息系统就安全了,因为计算机系统所存在的一些安全隐患除了是由信息安全产品本身所具有的漏洞引起的之外,人员在使用信息安全产品的过程中所造成的操作失误及用户配置的错误也会对其产生影响。所以企业不仅要重视安全产品自身的问题,也要重视系统的操作与应用过程。

4.资金投入不够,缺乏安全技术人才

要想建构起完善的信息安全体系,企业不仅要投入大量的资金,而且同时要引进一批高端的IT人才,组建一支专业建设信息安全的团队。但遗憾的是,很多企业并未意识到信息安全的重要性,所以在资金投入方面很是不足,比如说,使用的电子邮箱和杀毒软件等往往都是免费的,也没有构建防火墙,这使得企业的信息安全得不到充分地保障。此外,虽然一些企业投资引进了一些硬件设施,但对软件的重视不足,表现为投入的滞后性,从而阻碍了硬件设施发挥应有的功能。

还有一个问题,大部分企业在加强信息安全建设的过程中,通常都把注意力集中在搭建网络平台及硬件的选择上了,却忽视了对人才的引入和培养。具体表现在许多企业缺乏信息技术人才,而相关专业人才更是不足。按照要求,一个信息系统的运作应该由几个技术人才相互配合、共同操作,但实际上却恰恰相反,企业中的一个信息管理人员往往负责大量的操作,不仅要负责配置系统,还要负责管理系统的安全,导致对安全的设置和监督由一个人负责,任务繁重。

二 加强企业信息安全管理的途径

1.注重人员安全管理,提升信息安全意识

具体的操作人员在信息系统的建设和运行过程中必不可少,人既是管理者又是被管理者,因为他们不仅要建设和应用计算机系统,而且也信息管理的对象。所以在信息安全系统的管理中,最重要的就是对人员的安全管理,做到这一点要从以下几个方面来进行:要建立一个安全的组织结构,对安全职能加以确认,审查人员的安全状况,和安全人员签订相关的保密合同,加强离职人员的安全管理等。

企业要对员工加强有关信息安全的教育,增强他们的安全意识。保障企业的信息安全是每个职工应尽的义务。信息安全不是一种技术而是一种意识,所以仅从技术层面是无法保证企业的信息安全的。加强安全教育要企业要做到以下几个方面,首先,加强员工的教育培训、普及互联网和信息安全的相关知识、提升员工的安全意识并增强其防范能力,使整体员工都有一种为企业信息安全负责的意识。其次通过定期举行有关信息安全的报告和讲座等,使企业自上而下都形成安全意识并铭记于心。通过上述两种途径可以使企业的信息安全工作顺利的开展。

2.建立、健全信息安全防范体系

对于企业中信息安全的管理机制及防护规范的发展和完善,可以使企业中的那些至关重要的信息得到很好的保护。即使信息系统遭到入侵也能够保证企业业务的顺利进行,可以极大地降低企业的损失。

第一,提高安全系统的应急能力,这就要求建立和完善相应的应急管理机制,并制定应急预案。

第二,企业要建立起一个网络和信息安全管理的平台,在网络内外部署相关的信息安全设施,比如要加强网络的安全性管理,在网络中设置一些控制访问的策略,并对网络的安全使用加以规范,具体来说就是要安装避免病毒入侵的软件,对网络经常进行检测,提高防火墙的性能等。

第三,建立机制对信息安全进行集中化管理。如数据安全控制和加密密钥的集中化管理,前者可以做到自上而下的全面执行企业的安全防范策略,后者可以降低人为原因导致的数据安全的风险,并可以保证不与其他的加密策略发生冲突,实现兼容。

第四,企业还要重视对于异地数据的备份工作及当遇到意外情况时可以实现信息恢复的机制设计,因为这可以保障信息系统的安全运行。

第五,重视风险评估工作。这要求企业在平时要对信息系统的安全性进行定期的评估,以提高企业抵御风险的能力。

3.健全用户权限和上网管理制度

企业信息安全管理工作的一个重点就是要建立并完善用户浏览的权限及网上管理的制度设计,并使之得到严格地执行。同时随着企业的发展和业务系统的完善要不断对其补充和修正。

首先,对用户权限的管理加以完善。这就要求企业改变以往把每个员工都当成管理员可以随意浏览信息的状况,要将每个员工的权限加以明确并保证最小,减少他们对信息系统的操作从而在最大程度上保证系统的安全。

其次,要限制员工的上网行为。在信息化时代,要想控制众多员工上网的行为,就必须要从管理和技术两个方面来实现。此外,要严格检测和控制那些从外部传来的文件,防止它们给企业内部的网络带来病毒。

4.进一步健全、监管第三方服务体系

由于对信息安全的担忧和对服务质量的怀疑,大部分企业都不愿意采取第三方提供的服务体系。在企业中,信息安全工作至关重要,如果不小心泄露了企业的重要资料,就会给企业带来致命的打击。

政府应发挥作用加强有关第三方的法律法规建设并制定行业标准,排除企业对第三方的疑虑。企业应加强与第三方的合作,双方共同努力建设起符合企业特点的信息安全体系,使得企业的信息安全能够获得最有力的保证。企业应设立专门的监察职位,主要负责监督、检查企业管理信息系统的运行情况并直接向企业总经理负责。因其“第三者”的角色,可更加客观、公正对企业信息安全以及业务流程进行监察,及时发现信息安全隐患。

5.加大建设资金投入,完善软件硬件建设

要想顺利建成企业的信息安全体系,大量的资金投入是必不可少的。企业应投入足够的资金来购买相应的设备,如相关软件和服务器等,同时企业也可以采取外包的形式。

首先,在加强硬件设施方面,企业可以应用加密系统来保护有关的口令、文档及网内的重要数据。这样我们就可以更有针对性的在网上传输数据。加密管理有三种类型,即端点、节点和链路加密,企业可以根据自己的实际情况从其中进行选择。特别是在控制信息系统开发的过程中就应渗透信息安全保护机制,从根本上预防信息安全隐患。

其次,加强软件建设,最主要的就是采取积极有效的措施使操作系统的安全性得到最大程度的保护。具体来说就是要对有关信息管理的各种软件定期加以更新,保证数据库和终端的操作系统的版本保持一致,这不仅有利于加强管理,而且可以提高系统的防御功能

此外,要做到经常性的数据备份,选用高强度口令保护账号安全,针对不同账号设定不同密令,经常更新杀毒软件及补丁以及在局域网与互联网之间安装防火墙,并周期性的对文件进行排查,及时发现已感染病毒的文件以及信息丢失的现象。

企业的信息安全管理是一个动态的过程,要随时代的发展而不断加以创新。因此,我们必须不断探索加强信息安全管理的思路和方法,并对逐步构建起相对完善、高效、可靠的信息安全管理体系,定期对企业的信息安全风险和信息安全管理水平进行评估。

参考文献

篇8

关键词:化工企业 安全管理 问题 创新

一、前言

近几年,由于化工企业科学技术的快速发展,为其下游产品提供了多种类型的原材料,这样一来,生产规模与强度得到了快速提高,与此同时,生产过程中含有易燃、易爆、毒性较强的有机物的比例越来越大。火灾、爆炸等安全事故发生的概率也逐渐增大,并且事故原因越来越复杂。近年来,我国化工企业频繁出现安全事故,不仅使企业蒙受了巨大的经济损失,而且也给国家带来一定的经济损失,由此看来,加强化工企业的安全管理是非常有必要的。本文主要对当前我国化工企业安全管理存在的问题进行了深入的探讨和分析,同时对化工企业安全管理的创新进行了详细阐述,以便提高化工企业安全管理工作的质量。

二、当前我国化工企业安全管理存在的诸多问题

1.人为因素是导致安全事故发生的主要原因之一

根据安全事故管理部分的统计分析得出,因人的不安全行为导致安全事故发生的比例占大多数。其主要表现在以下几点:没有严格按照操作规程进行操作;没有及时发现异常情况,或者没有及时采取有效的措施加以处理;操作过程不能集中精力;随意放置易燃、易爆产品;管理人员缺少必要的管理方面的知识等。上述这些都将会导致化工企业出现不同程度的安全事故,给国家与企业造成巨大的经济损失。

2.没有落实安全管理制度

大多数化工企业都是生产易燃、易爆的产品,因此,化工企业必须要认真贯彻相关的安全生产法律法规、安全管理制度等。然而,在实际生产过程中,虽然化工企业对上述法律法规、安全管理制度等都会会议或者培训期间对员工加以教育,其形式有多种多样,例如:电视、广播等,加大了对安全事故的宣传力度,同时各个分公司、班组等都制定了相应的安全管理制度,然而,却不能阻碍安全事故的出现,这主要是因为生产重于安全,人情大于制度,这样便使,在生产过程中法律法规、安全制度等的作用都大打折扣,导致各种安全事故的发生。

3.生产设备过于落后

近年来,产品结构的不断更新,使得原有的设备不能再满足当前社会生产的需求。再加上,因资金、供需矛盾等因素的影响,导致很多化工企业没有能力购买更为先进的生产设备,没有将危险品的生产转向现代化的机械设备生产,这在一定程度上直接制约了我国化工企业的发展,而且也给安全事故的发生带来了可能。

三、对化工企业安全管理的创新分析

1.安全管理观念的创新

1.1避免安全管理的形式化

现如今,大多数的化工企业的安全管理思想都只停留在思想意识的教育阶段,一直都是讲安全,然而却没有付诸于实际行动。自每次会议上都要谈到安全问题,因此,安全在各职工头脑中出现的概率较高。此做法主要是为了提高员工的安全意识方面,发挥了巨大作用;当已经完全发挥出此作用后,仍然将安全工作作为生产的重点工作来抓,那么就会使现状与实际相互脱离,此时的安全工作也只是流于形式。由此看来,化工企业要避免安全管理的形式化,在大多数的私营化工企业中,存在严重的形式管理思想,只讲不做。过多的形式会使我们耗费更多的精力,对工作带来一些负面影响。

1.2要有科学的管理态度

事实上,安全管理和其它管理工作有很大的不同,可以说,安全管理是风险管理,重点在于概率出现的大小,可以就是说,不存在绝对的安全。我们要杜绝两种错误的思想:第一,将安全工作看成是一种风险,因此,只是靠运气,没有及时寻找控制方法,在企业发生安全事故后便自认倒霉;第二,想达到绝对安全,不能有小概率安全事故出现,其控制能力完全和实际不相符合。所以,这两种极端思想是错误的,必须要树立正确的安全管理思想。在当今社会,只有科学的安全管理措施,才能降低安全事故出现的频率。

2.安全管理方法的创新

2.1防范为主,重视结果

由于安全管理创新是受企业的发展特点的限制,化工生产安全管理必须实施全方面、全过程的管理,将软件和硬件实行共同管理。所以,化工企业安全管理创新始终坚持防范为主,重视结果的原则。不管是从完善设备、措施等条件下,还是推行新技术都要坚持预防为主要目标,提高安全系数,尽管在出现错误操作的情况下,也能有效避免安全事故的出现。

2.2建立并完善安全管理机制

要建立以法人为首的安全生产责任制,将安全生产的责任具体到个人,从而建立一套完善的安全管理体系。同时,建立安全生产管理部门,明确员工的职责,使安全生产管理机制长期、有效的运行下去。

2.3抓好安全管理的基本工作

在建立完善的安全管理制度的同时还要进一步加强安全信息管理,认真做好记录、整理和加工的工作,同时还要熟练掌握安全工作中违反规定的情况,分析出现异常情况的各种参数资料,掌握安全事故发生的规律,在加强安全生产的同时,必须要将制度落实到位。

四、结束语

总体来说,近年来,我国化工企业频繁出现安全事故,不仅使企业蒙受了巨大的经济损失,而且也给国家带来一定的经济损失,由此看来,加强化工企业的安全管理是非常有必要的。化工生产过程中的安全事故的发生是由多种因素引起的,但是,这些影响因素不能很快都解决掉,尽管采用非常高效的管理方法,也需要一定的时间,逐渐改善各种复杂因素的影响,这样才能显现出一定的效果,将安全事故消除在萌芽状态。

参考文献

[1]黄德亨.化工企业安全网格化管理的思考与实践[J].化学世界,2008(8).

篇9

信息安全是指在信息传导和应用过程中必须保障信息的秘密性和可靠性,其实质就是要保障信息系统和信息网络中的信息资源免遭各种类型的破坏。国际标准化组织(ISO)把信息安全定义为“信息的完整性、可用性、保密性和可靠性”。

信息技术在企业管理、生产管理和过程管理中的应用,提高了企业的生产运行和经营管理水平。但在信息网络安全体系层面,不少企业却面临着风险:

1.网络边界安全风险。不同安全域之间的网络连接没有有效访问控制措施,来自互联网的访问存在潜在的扫描攻击、DOS攻击、非法侵入等。

2.业务安全风险。缺乏严格的验证机制,导致非法用户使用关键业务系统,不同业务系统之间缺少较细粒度的访问控制。

3.数据传输的安全风险。企业的数据通过互联网传输时被窃听。

4.系统基础平台安全风险。全网所有终端和服务器的平台安全、系统或设备的安全漏洞所带来的风险。

5.病毒安全风险。全网任何一点感染病毒都将带来巨大的破坏,网络化的环境需要网络化的防病毒方案及多层次的防护体系。

信息安全不仅仅是技术上的问题,更多地涉及到安全管理层面。加强信息安全的管理是企业建立信息安全体系的一个重要部分。

全面的安全防护体系是保证企业信息网络安全运行的根本,是对现有的网络、系统和数据进行有效的保护和加固。安全防护体系的建设需要使用当前的各种安全技术和安全产品,要有重点地布置安全产品。

1.划分安全区域并制定明确的边界访问制度,根据数据敏感程度,在关键业务网段处部署网闸系统,在管理和办公网段以及其他出口处部署防火墙系统,实现严格的访问控制机制。

2.建立网络入侵检测系统,增强审计响应手段,提高对异常行为的深度检测以及对安全事件的集中分析、定位和追查能力。

3.建立网络入侵保护系统,在出口处对网络流量进行检测,并实时阻断来自外部或内部的各种攻击,同时净化网络流量。

4.构建节点间的VPN体系,保护在节日间数据传输的机密性、完整性和可认证性。

5.部署漏洞扫描系统,检查网络,系统以及终端存在的弱点和漏洞。

6.建立网络防病毒体系,以增强全网抗病毒和防蠕虫攻击的能力。

7.在对外信息系统前部署抗拒绝服务系统,抵御来自外部的各种拒绝服务攻击。

8.建立数据备份系统,提高关键业务数据的可用性。

9.部署集中的认证系统,实现认证信息的集中存储与鉴权控制。

完善的安全管理策略是对企业信息网络安全进行可控管理的关键,安全管理策略的建设包括以下内容:

1.制定完善的信息安全规章制度,规范整个企业对网络以及信息系统的使用。

2.定期对全网进行安全评估和加固,通过安全评估,实时了解和掌握整个网络的安全现状,通过安全加固使网络和系统更加健壮。

3.建立内网安全管理系统,从终端安全、桌面管理、行为监控、网络准人控制等方面对内部网络进行保护,加强对内部网络和系统的管理。

4.建立一套完备的应急响应机制,以便在遇到突发事件时可以及时响应并解决问题。

篇10

关键词: 企业信息系统;信息安全;安全策略

中图分类号:F270.7 文献标识码:A 文章编号:1671-7597(2012)0220165-01

随着市场经济的不断发展,企业竞争越来越激烈,国际化合作不断增多,随之而来的企业信息安全是目前我国企业普遍存在的问题。对企业来说,信息安全是一项艰巨的工作,关系到企业的发展。近年来,围绕企业信息安全问题的话题不断,企业信息安全事件也频频发生,如何保证企业信息的安全,保证信息系统的正常运转,已经成为信息安全领域研究的新热点。

1 企业信息安全的意义

信息安全是一个含义广泛的名词,是指防止信息财产被故意的或偶然的非授权泄露、更改、破坏,或防止信息被非法辨识、控制,即确保信息的保密性、可用性、完整性和可控性。企业的正常运转,离不开信息资源的支撑。企业信息安全建设对企业的发展意义重大。

首先,信息安全是时展的需要。计算机网络时代的发展,改变了传统的商务运作模式,改变了企业的生产方式和思想观念,极大推动了企业文化的发展。企业信息安全的建设将使得企业的管理水平与国际先进水平接轨,从而成长为企业向国际化发展与合作的有力支撑。

其次,信息安全是企业发展的需要。企业的信息化建设带来了生产效率提高、成本降低、业务拓展等诸多好处。当前越来越多的企业信息和数据,都是以电子文档的形式存在,对企业来说,信息安全是使企业信息不受威胁和侵害的保证,是企业发展的基本保障,所以,在积极防御,综合防范的方针指导下,有效地防范和规避风险,建立起一套切实可行的长效防范机制,逐步建立起信息安全保障体系,有利于企业的发展。

最后,信息安全是企业稳定的必要前提。信息安全成为保障和促进企业稳定和信息化发展的重点,要充分认识信息安全工作的紧迫感和长期性,从企业的安全、经济发展、企业稳定和保护企业利益的角度来思考问题,扎扎实实地做好基础性工作和基础设施建设,在建立信息安全保障体系的过程中,必须搞好链接信息安全保障体系建设安全、建设健康的网络环境,关注信息战略,保障和促进信息化的健康发展。

2 企业信息安全的现状

我国企业信息安全包括计算机系统的硬、软件及系统中的数据受到保护,不受偶然的或恶意的原因而遭到破坏、更改、泄露,使得系统连续、可靠、正常的运行,网络服务不中断。计算机和网络技术具有复杂性和多样性,使得企业信息安全成为一个需要持续更新和提高的领域。就目前来看,主要存在以下三个方面的隐患。

2.1 企业缺少信息安全管理制度

企业信息安全是一个比较新的领域,目前还缺少比较完善的法规,现有的法规,由于相关安全技术和手段还没有成熟和标准化,法规也不能很好地被执行,安全标准和规范的缺少,导致无从制定合理的安全策略并确保此策略能被有效执行。企业的信息系统安全问题是一个系统工程,涉及到计算机技术和网络技术以及管理等方方面面,同时,随着信息系统的延伸和新兴技术集成应用升级换代,它又是一个不断发展的动态过程。因此对企业信息系统运行风险和安全需求应进行同期化的管理,不断制定和调整安全策略,只有这样,才能在享受企业信息系统便利高效的同时,把握住信息系统安全的大门。

2.2 员工缺少安全管理的责任心

一个企业的信息系统是企业全体人员参与的,不考虑全员参与的信息安全方案,恰恰忽视信息安全中最关键的因素――人,因为他们才是企业信息系统的提供者和使用者,他们是影响信息安全系统能否达到预期要求的决定因素。在众多的攻击行为和事件中,发生最多的安全事件是信息泄露事件。攻击者主要来自企业内部,而不是来自企业外部的黑客等攻击者,安全事件造成最大的经济损失主要是内部人员有意或无意的信息泄露事件。针对内部员工的泄密行为,目前还没有成熟的、全面的解决,对于来自企业信息内部信息泄密的安全问题,一直是整个信息安全保障体系的难点和弱点所在。

2.3 信息系统缺乏信息安全技术

计算机信息安全技术是一门由密码应用技术、信息安全技术、数据灾难与数据恢复技术、操作系统维护技术、局域网组网与维护技术、数据库应用技术等组成的计算机综合应用学科。由于认识能力和技术发展的局限性,在硬件和软件设计过程中,难免留下技术缺陷,网络硬件、软件系统多数依靠进口,由此可造成企业信息安全的隐患,现在黑客的攻击并不是为了破坏底层系统,而是为了入侵应用,窃取数据,带有明显的商业目的,许多黑客就是通过计算机操作系统的漏洞和后门程序进入企业信息系统。随着网络应用要求的越来越多,针对应用的攻击也越来越多,除了在管理制度上确保信息安全外,还要在技术上确保信息安全。

3 企业信息安全中存在的问题

信息时代的到来,从根本上改变了企业经营形式,企业实施信息化为其带来便利的同时也产生了巨大的信息安全风险。由于我国企业信息安全工作还处于起步阶段,基础薄弱,导致信息安全存在一些亟待解决的问题。比较常见的问题有病毒危害、“黑客”攻击和网络攻击等,这些问题给企业造成直接的经济损失,成为企业信息安全的最大威胁,使企业信息安全存在着风险因素。

3.1 病毒危害

计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码,它是具有破坏作用的程序或指令集合。计算机病毒已经泛滥成灾,几乎无孔不入,据统计,计算机病毒的种类已经超过4万多种,而且还在以每年40%的速度在递增,随着Internet技术的发展,病毒在企业信息系统中传播的速度越来越快,其破坏性也越来越来越强。

3.2 “黑客”攻击

“黑客”是英文Hacker的谐音,黑客是利用技术手段进入其权限以外的计算机系统的人。黑客破解或破坏某个程序、系统及网络安全,或者破解某系统或网络以提醒该系统所有者的系统安全漏洞的过程。通常采用后门程序、信息炸弹、拒绝服务、网络监听、密码破解等手段侵入计算机系统,盗窃系统保密信息,进行信息破坏或占用系统资源,黑客攻击已经成为近年来经常出现的问题。

3.3 网络攻击

网络攻击就是对网络安全威胁的具体表现,利用网络存在的漏洞和安全缺陷对系统和资源进行的攻击。尤其是在最近几年里,网络攻击技术和攻击工具有了新的发展趋势,使借助Internet运行业务的企业面临着前所未有的风险。由此可知,企业的信息安全问题、以及对信息的安全管理都是至关重要的。要保证企业信息安全,就必须找出存在信息安全问题的根源,并具有良好的安全管理策略。

4 企业信息安全的解决方案

为确保企业信息安全,要坚持积极防御,综合防范的方针,全面提高信息安全防护能力。因此,面对企业信息安全的现状和企业信息安全发展中出现的问题,必须实施对企业的信息安全管理,建设信息安全管理体系,只有建立完善的安全管理制度,将信息安全管理自始至终贯彻落实于信息管理系统的方方面面,企业信息安全才能得以实现。企业信息安全的解决方案,具体表现在以下三个方面:

4.1 建立完善的安全管理体系

完整的企业信息系统安全管理体系首先要建立完善的组织体系,完成制定并信息安全管理规范和建立信息安全管理组织等工作,保障信息安全措施的落实以及信息安全体系自身的不断完善。并建立一套信息安全规范,详细说明各种信息安全策略。一个详细的信息安全规划可以减轻对于人的因素带来的信息安全问题。最基本的企业安全管理过程包括:采用科学的企业信息资产评估和风险分析模型法、设计完备的信息系统动态安全模型、建立科学的可实施的安全策略,采取规范的安全防范措施、选用可靠稳定的安全产品等。安全防范体系的建立不是一劳永逸的,企业网络信息自身的情况不断变化,新的安全问题不断涌现,必须根据暴露出的一些问题,进行更新,保证网络安全防范体系的良性发展,

4.2 提高企业员工的安全意识

科技以人为本,在信息安全方面也是靠人来维护企业的利益,我们在企业信息网络巩固正面防护的时候不能忽视对人的行为规范和绩效管理。企业员工信息安全意识的高低是一个企业信息安全体系是否能够最终成功实施的决定性因素。企业应当制定企业人员信息安全行为规范,必须有专门管理人才,才能有效地实现企业安全、可靠、稳定运行,保证企业信息安全。教育培训是培训信息安全人才的重要手段,企业可以对所有相关人员进行经常性的安全培训,强化技术人员对信息安全的重视,提升使用人员的安全观念,有针对性的开展安全意识宣传教育,逐步提高员工的安全意识,强调人的作用,使他们明确企业各级组织和人员的安全权限和责任,使他们的行为符合整个安全策略的要求。

4.3 不断优化企业信息安全技术

企业一旦制定了一套详细的安全规划来武装自己,保护其智力资产,它就开始投入到选择采用正确信息安全技术上。可供企业选择的防止信息安全漏洞的安全技术有很多。当企业选择采用何种技术时,首先了解信息安全的三个领域是十分有帮助的,这三个领域变得:验证与授权、预防和抵制、检测和响应。其中,用户验证是确认用户身份的一种方法,一旦系统确认了用户身份,那么它就可以决定该用户的访问权限,比如使用用户名和密码。预防和抵抗技术是指企业阻止入侵者访问。对于任何企业,必须对那些故障做好准备和预测,目前可以帮助预防和建设抵抗攻击的技术主要有内容过滤、加密和防火墙,在选用防火墙的时候,需要对所安装的防火墙做一些攻击测试。此外,企业信息安全的最后一道屏障是探测和反应技术,最常见的探测和反应技术是杀毒软件。

5 结语

总之,企业信息安全是一项复杂的系统工程,企业要适应现代化发展的需要,要提高自身信息安全意识,加强对信息安全风险防范意识的认识,重视安全策略的施行及安全教育,必须做到管理和技术并重,安全技术必须结合安全措施,并加强信息安全立法和执法的力度,建立备份和恢复机制, 为企业设计适合实际情况的安全解决方案,制定正确和采取适当的安全策略和安全机制,保证企业安全体系处于应有的健康状态。

参考文献:

[1]张帆,企业信息安全威胁分析与安全策略[J].网络安全技术与应用,2007(5).

[2]谌晓欢,企业信息安全问题及解决方案[J].企业技术开发,2008(8).

[3]付沙,企业信息安全策略的研究与探讨[J].商场现代化,2007(26).

[4]姜桦、郭永利,企业信息安全策略研究[J].焦作大学学报,2009(1).