企業信息安全的問題模板(10篇)
時間:2023-11-06 09:51:50
導言:作為寫作愛好者,不可錯過為您精心挑選的10篇企業信息安全的問題,它們將為您的寫作提供全新的視角,我們衷心期待您的閱讀,并希望這些內容能為您提供靈感和參考。
篇1
新時期下,信息化技術在各行業中運用日漸深入,給企業現代化建設與快速發展帶來了無限動力。企業信息化建設已成為我國經濟信息化建設能否成功的關鍵所在,也是提升企業自身市場競爭力與企業升級進步的重要保證和標志[1]。但是,企業信息化建設過程中不可避免的出現信息安全問題,給企業正常生產經營帶來諸多不利影響。因此,加強企業信息化建設中信息安全管理,已成為現代企業經營管理的一個至關重要的工作。
1企業信息化概述
所謂的企業信息化,指的是實現企業的資金流、物流、作業流、信息流的數字化、網絡化管理,實行企業運行的自動化和企業制度的現代化[2]。企業信息化建設涉及了企業生產經營中的各個部門,其主要利用現代化信息技術,通過完善企業內外網絡信息系統,實現對企業內外知識與信息資源的開發。可見,建設企業信息化體系,不但可以及時有效的提供各種數據信息給企業決策層,也為企業未來規劃設計提供參考依據,而且還有利于企業滿足瞬息萬變的市場需求,為企業市場核心競爭力的提升帶來動力。
2當前企業信息化建設中信息安全問題
企業信息化建設與發展為企業持續、健康、穩定發展發揮了顯著作用,但同時也存在著諸多信息安全問題,具體分析主要有以下幾方面[3]:(1)當前,絕大多數企業缺乏完善的安全防御系統,導致企業內部使用的信息系統易遭受外部網絡系統的攻擊,引發企業信息資料被他人截獲、篡改與偽造等問題,甚至企業信息系統中出現通信線路、硬盤設施以及其他文件系統遭惡意破壞現象,上述問題的發生不但致使企業信息系統無法正常運行,而且其內部機密信息易發生泄漏,造成企業嚴重的社會經濟損失。(2)針對郵件系統攻擊防不甚防。在企業信息系統中電子郵件具有重要的作用,通過電子郵件接收與傳送,極大的方便了企業內部間與外部間信息交流與溝通。然而,電子郵件安全問題也日益突出,典型的如電子郵件病毒、垃圾郵件、機密信息泄露以及電子郵件炸彈等,給企業信息傳輸帶來了巨大安全隱患。因此,電子郵件安全問題不可忽視。(3)漏洞攻擊日益嚴重。按照漏洞問題發生原因可分為軟件漏洞和協議漏洞兩種,其中軟件漏洞主要是受外部不法分子攻擊軟件自身存在的漏洞,造成企業信息泄露等問題;而協議漏洞則主要是由于TCP/IP協議自身在安全機制方面存在的諸多漏洞問題導致,外部不法人員通過攻擊TCP/IP協議漏洞,致使企業信息系統遭受破壞。目前情況,很多企業對自身信息系統缺乏成熟的漏洞檢測手段和能力,往往事發后才采取補救措施。(4)是Web服務安全問題突出,根據Web服務流程,其發生安全問題的主要組成包括Web服務端安全問題、瀏覽器客戶端安全問題兩種。其中,Web服務端安全問題主要是企業Web主機遭受外部不法分子侵入,導致企業保密信息遭竊或者企業部分信息遭受非法篡改等;瀏覽器客戶端安全問題則是企業瀏覽器客戶端遭外部非法分子侵入,致使部分機密信息與數據遭竊等。
3導致企業信息化建設中信息安全問題因素
企業信息化建設中信息安全問題發生受諸多因素影響,具體分析主要有以下幾方面[4]:(1)目前,絕大多數企業在信息化建設過程中,對于信息安全問題重視度嚴重不足。一方面,受傳統經營觀念影響,企業管理層偏重于對企業生產經營中的有形資產給予關注與重視,而忽略了企業知識與信息資料等無形資源,導致在企業信息安全管理方面各項投入嚴重不足,進而造成信息安全問題日益凸顯;另一方面,多數企業在面對信息安全問題時,存在著盲目樂觀現象,認為信息安全問題不至于導致企業正常生產經營,使得信息安全管理無法上升至企業發展規劃戰略之中,進而造成信息安全問題得不到及時有效解決。(2)由于企業信息化建設在我國尚處于起步階段,各方面配套管理制度不夠完善,特別是缺乏健全的企業信息安全管理體制。受此影響,企業信息化建設中信息安全問題一方面無法得到有效的預防措施,另一方面是一旦發生信息安全問題,無法采取及時有效的補救與解決對策。同時,由于缺乏科學、合理、有效的企業信息安全防護策略,使得企業信息管理人員缺乏必要的安全防護意識與業務素質能力,致使企業信息安全防護軟硬件工作質量與效率明顯不足。上述兩個因素,導致企業無論是從人員配置,還是資金與技術投入方面都嚴重不足,受企業信息管理人員業務素質能力不足、信息安全技術方法落后以及配套的資金缺乏等影響,企業信息安全防護的措施、手段偏低,造成企業信息化建設存在著嚴重安全隱患。
4提升企業信息化建設中信息安全對策
針對當前企業信息化建設中存在的信息安全問題,為加強企業信息安全管理,提升企業信息安全保障,可通過采取以下幾方面對策,具體有[5]:(1)轉變傳統企業信息化建設觀念,在企業內部管理層從上至下加強對企業信息安全的重視,并樹立正確的安全意識。一方面,通過組織各種信息安全管理培訓等,增強全體企業員工信息安全意識,確保企業保密信息不外漏;另一方面,逐步加大企業信息化建設中信息安全管理各項資金、技術、人力投入,并建立科學、合理、有效的企業信息安全防護策略,保障企業信息系統安全穩定。(2)不斷的推進網絡信息技術的發展與運用,促進企業組織結構網絡化的實現,同時引進先進的安全防護技術,確保企業信息化系統安全穩定運行。任何網絡信息系統都存在著或大或小的安全漏洞問題,而保證其不受外部不法分子侵入的一個關鍵方法就是安全防護技術的運用。通過選用先進的安全防護技術,可以有效的提高企業信息系統抵抗外來攻擊,避免企業信息遭受竊取、篡改甚至破壞等,對于保障企業持續、健康、穩定發展具有顯著作用。(3)結合企業信息化建設實際情況,建立健全企業內部信息系統管理體制。一方面,針對信息安全問題,應建立科學、合理、規范的信息安全管理體制,保證企業信息系統安全運行;另一方面,建立健全企業安全風險評估機制,針對不同系統找出影響其安全的因素和漏洞,并制定出最佳的對策,降低企業信息安全風險;此外,加強相應的網絡管理,防止外來不法分子通過網絡侵入企業信息系統。(4)根據新時期企業信息化建設需要,加強企業信息技術人才、信息管理人才隊伍建設,為企業信息安全管理奠定堅實的人才基礎。一方面,在企業內部,加強信息技術人才培訓,提高企業內部相關人才業務素質能力;另一方面,在企業外部,采取有效措施,積極招聘人才,引進具有先進信息技術型人才;此外,建立健全企業信息安全管理用人機制,激發員工工作積極性,提高工作質量與效率。
5小結
總而言之,企業信息安全事關企業信息化建設是否成功,對于企業持續、健康、穩定發展具有至關重要的作用。因此,應提高企業信息安全管理意識,增強企業信息安全管理機制,促進企業信息安全管理工作質量與效率,保障企業信息化建設順利開展。
作者:吳捷 單位:中海石油氣電集團有限責任公司
參考文獻
[1]毛志勇.企業信息化建設的信息安全形勢與對策研究[J].科技與產業,2008,8,(1):43~45.
[2]纂振法,徐福緣.淺析企業信息化建設的意義、問題與對策[J].吉林省經濟管理干部學院學報,2001,3:24~28.
篇2
中圖分類號:TP3 文獻標識碼:A 文章編號:1671-7597(2013)12-0129-02
1 網絡信息安全現狀
現代企業的發展離不開信息網絡,隨著Web2.0時代的到來,越來越多的應用開始在互聯網上流行起來,信息網絡對提高企業生產效率、節約人員成本、獲得產品信息等方面做出了巨大貢獻,企業開始更為重視自身信息化的建設。然而,企業信息化速度的加快為企業信息安全工作提出了挑戰,在網絡發展的背后卻存在著一個永恒的話題――信息安全。隨著企業的安全生產、經營管理等工作越來越依賴信息網絡,網絡上的病毒、黑客以及其他不可預見的因素都對企業信息安全帶來巨大威脅,在日趨多樣化、專業化的攻擊面前使得企業信息安全正面臨嚴峻的形式和挑戰。
近年來,網絡安全問題頻發,世界上每年遭受網絡攻擊的政府或者企業越來越多,2011年卡巴斯基實驗室針對全球企業進行的IT風險調查顯示,全球至少61%的企業遭遇過惡意軟件的攻擊。在互聯網發源地―美國每年就有大約5萬多起黑客攻擊的事件,甚至信息安全工作防護嚴密的美國政府網站也不能幸免,更普通的企業。互聯網具有開放性和無國界的特點,這就使得對網絡攻擊事件具有全球普遍性,我國也不能幸免,據國家計算機病毒應急處理中心的統計報告顯示,我國每年有80%的企業、政府機關的網絡系統曾經遭受過病毒或黑客的攻擊。瑞星公司在2012年的《中國信息安全報告》中指出,我國共有超過7億網民被病毒感染過,2009年上半年國內被掛馬的網頁數量突破2億。例如2011年6月28日,新浪微博出現了一次比較大的XSS攻擊事件,20:14,開始有大量帶V的認證用戶中招轉發蠕蟲;20:30,中的病毒頁面無法訪問;20:32,新浪微博中hellosamy用戶無法訪問。據統計,中國互聯網用戶每年因為網絡安全損失被“黑掉”的錢財高達76億。
上述網絡信息安全問題的出現為國企業敲響了警鐘,需要下大力氣加強網絡信息安全的防范和設計。
2 企業信息安全策略設計
2.1 病毒防護和查殺策略
病毒是信息安全的殺手,從病毒發作的情況來看,病毒的攻擊目標沒有特定性,而且越來越隱蔽。從個人網站到企業網絡,無不受其所害,曾經有網絡公司的防火墻被不明身份的黑客攻破了,牽扯到大量的用戶信息,用戶在該支付平臺注冊的電子郵箱以及登錄密碼面臨極大風險。面對各式各樣且不斷發展演變中的病毒,企業對信息系統的日常維護和管理就顯得尤為
重要。
企業網絡部門工作人員要定期給辦公司電腦操作系統存在的安全漏洞打補丁,還要給每個客戶端都設置可靠的防毒軟件、防火墻、漏洞掃描系統、日志系統,加強入侵檢測和補丁管理,對企業遭受到的病毒攻擊進行集中分析,掌握企業計算機系統中存在的安全隱患,采取有效的措施和方法防范由于病毒感染導致企業重要信息出現泄漏或者破壞。同時網絡技術人員也要對公司所有電腦進行防病毒軟件升級工作,確保網絡內所有服務器和終端計算機都安裝防病毒軟件,將殺病毒軟件設置成為自動升級狀態,及時更新病毒特征碼和系統補丁,防止由于個人疏忽造成沒有及時升級帶來病毒庫的安全威脅,保證企業信息系統的正常運行。
另外對于企業而言,無論是服務器還是終端計算機都要加強防火墻設置,對外部入侵行為或者其他不安全的行為進行攔截,實際運行時,可以根據企業信息系統的需要,將一些服務器中不使用的端口關閉,盡量避免進行一些具有安全隱患的服務,防止利用這些端口或者服務進行外部攻擊的行為發生。當然,網絡技術人員要對不同端口的作用十分清楚,避免將企業信息系統正常運行的關閉,造成企業信息系統不能正常運行。
2.2 保證企業信息系統的平穩運行
保護企業信息系統的平穩運行,維護主要業務系統的安全,是現代企業網絡信息安全的基本要求。企業信息系統的平穩運行包括多個方面,有操作登記的分配、用戶賬戶與口令的保護、個人訪問權限、用戶身份驗證等多個方面。我們需要做好以下工作。
1)做好重要資料備份工作。當服務器或者硬盤發生故障時,重要的企業數據會受到嚴重威脅,但往往公司簡單的數據安全、信息安全體系對企業數據恢復、服務器數據恢復束手無策。為了保證信息系統的正常運行和業務的正常開展,專業的企業數據恢復、服務器數據恢復格外重要。大多數企業采用備份手段來解決日常的數據安全問題,企業在購買安裝和配置服務器時,通常采用常見的兩臺服務器“一用一備”。企業網絡技術人員將重要信息備份在一些光盤、U盤或者移動硬盤上,然后將其放置在不同的地方,避免同時受損害或者丟失,最大限度的保障企業信息安全和數據的完整性。
2)加強對關鍵業務系統的管理。關鍵業務系統應該具有最高的網絡安全措施,其安全需求主要包括:訪問控制,確保業務系統不被非法訪問,保證數據不被網絡內部破壞,安全預警,對于破壞關鍵業務系統的惡意行為能夠及時發現、記錄和跟蹤等。2011年,韓國現代資本、韓國農協銀行都遭受電腦黑客襲擊,電腦網絡癱瘓了三天,數以萬計的客戶受影響。這次攻擊事件就是以IT運維部門的用戶機位跳板實施的,背后原因是因為這些銀行對最高級別權限管理不足,也沒有基本的隔離安全機制,筆記本都可以直接連入外網,黑客通過竊取內部合法用戶的權限進行非法活動。可見,企業應該加強對用戶權限的管理;另外,在必要時進行網絡隔離甚至物理隔離是必然的要求。同時,也要加強平時對于合法用戶的行為審計,防范合法權限被濫用或被利用等情況的發生。
3)加強企業網絡安全平臺建設。目前很多公司推出的安全平臺,就是依靠安全芯片為載體,通過軟硬件的結合,可以為用戶提供更加私密的加密存儲空間,這樣就可以將客戶信息、賬戶信息等高度機密的信息安全存放起來。根據不同的場景需求,還可以通過安全平臺搭建內部機密信息共享平臺或工作組,比如某公司在進行專項會議時或者涉及商業機密文件共享時,可以建立起相對封閉的局域工作網絡,讓各部門的總監或管理層在同一局域網內共享機密信息,其他員工則沒有查看服務器或者重要信息的權限。同時,還能夠避免通過郵件、病毒、木馬等非法手段盜取數據,造成不必要的損失。
2.3 健全有效的信息安全管理制度
沒有安全管理,就沒有信息安全。真正的網絡安全實際上靠的不是這個或那個安全產品,而是自身固有的安全意識。尋求解決安全問題的根本方法在于不僅要具備安全可信的辦公電腦,也要建立更加完善的數據安全管理制度。真正實現企業的信息安全管理僅僅依靠技術手段是不夠的,必須對規章制度上加強企業人員的信息安全防范意識。
1)做好員工的培訓的管理。信息只是一種編碼形式,人才是信息的操作者,每個環節中安全隱患的最終來源都是人。為了能夠加強企業工作人員的信息安全防范意識,企業要加強對公司員工的系統培訓,從計算機基本知識到信息安全防范的具體方法都要進行細致講解,針對一些員工在日常使用計算機過程中不規范行為進行及時矯正,針對一些年紀較大的、對計算機不是十分熟悉的老員工,企業網絡技術人員要現場演示操作,讓員工養成良好的使用習慣。同時要甄選出有豐富計算機操作經驗的人員負責每個部分電腦的日常清潔、維護和管理,負責對部門電腦病毒庫的升級、電腦的內部清理等工作,確保企業信息安全。
2)加強系統運行環境和維護管理,要加強對機房電源、空調系統、消防系統、監控系統、門禁裝置等基礎設施的維護和管理,確保其可靠、正常的運行。嚴禁非系統管理人員隨意進入機房,嚴禁在機房內抽煙。嚴格落實機房巡視、系統巡檢、運行測試、操作審批、機房出入登記、信息安全故障上報等工作制度。嚴禁在機房的服務器上瀏覽網頁、隨意下載軟件、打游戲等。
3 結束語
總之,對于現代企業而言,信息技術的發展給企業信息安全帶來巨大隱患,企業的信息安全也越來越受到信息安全部門和企業管理者的重視。信息安全工作是一個全方位的系統工程,每個企業面臨的信息安全環境不同,企業應該結合自己實際情況,從思想上、技術上、管理上多管齊下,采取有針對性的信息安全策略,才能最大限度的降低信息安全威脅、保證企業信息安全,為企業健康長遠發展保駕護航。
參考文獻
[1]陳澤徐.淺析企業網絡安全策略[J].電腦知識與技術,2009(09).
[2]沈傳案,王吉偉.企業網絡安全解決方案[J].計算機與信息技術,2008(06).
[3]冼沛勇.企業網絡安全解決方案[J].石油工業計算機應用,2004(02).
[4]牛金才.企業網絡安全解決方案淺析[J].煤,2003(02).
[5]石亦歌.企業網絡安全解決方案[J].安防科技,2003(03).
篇3
前言
當前,信息化建設已經成為了各類企業建設和發展的重點內容,企業通過信息化建設的方式,讓自身生產與流通工作可以更順利地進行,并利用互聯網,創造出現代企業新型發展模式。但是,就實際情況而言,企業的信息化建設并不是一直處于一個平穩的發展狀態,在其發展的過程中也會受到諸多內部或外部因素的影響和束縛,在信息的安全方面也存在許多的問題,如黑客入侵或是病毒入侵。如果企業信息存在的安全問題比較嚴重,不僅會給企業信息化建設造成不利影響,還有可能會影響到企業的正常運營和發展。
一、造成企業信息化建設中的信息安全問題的原因
1.1內部原因
①企業內部的信息安全意識缺乏,目前,雖然很多的企業都提倡建設企業內部信息化,但是大部分企業過于注重信息化建設過程中得到的利益和優勢,卻忽略了信息化建設中信息的安全問題。
②軟件安裝的技術比較落后,黑客與病毒的發展速度比軟件技術更新速度快。
③管理操作不得當,在對信息系統進行管理與操作的過程中過于粗心大意,給黑客與不法分子和黑客制造了入侵的機會,對企業的信息安全造成威脅。
④專業的管理人才缺乏,沒有對企業的信息安全系統定制出合理的安全管理策略,且沒有讓專業的操作人員對統系統進行維護和升級,致使企業信息系存在信息安全隱患[1]。
1.2外部原因
對于大多數企業而言,信息系統中存在的安全威脅大部分來自于外部因素,隨著社會的不斷發展,信息建設在各類企業市場競爭中的地位和作用日益提高,許多的不法分子想盡辦法對各類企業的信息進行竊取和破壞,以此來獲得自身的利益。還有一部分企業為了得到競爭對手企業的各類商業信息,采用不正當的手段破壞或是入侵對手企業的信息系統,竊取對方企業的商業機密,以此來打倒對方。
二、企業信息化建設中存在的信息安全問題
2.1企業不夠重視信息系統的安全問題
就目前而言,國內的大部分企業都沒有給予信息系統安全問題足夠的重視,沒有意識到信息系統安全的重要性。近年來,雖然國內信息化建設得到了快速的發展,國內企業的信息安全程度也有所提高,但是大部分的企業還是沒有意識到信息安全問題對企業的重要性,只看到了信息化建設給企業創造的短暫利益,而忽視了信息化建設信息安全的長遠發展,未針對信息安全問題采取適當的防范措施,致使企業信息化的發展存在較多的安全隱患。
2.2企業信息化操作管理不到位
在企業進行信息化建設的過程中,大多數的企業沒有認識到對企業信息進行科學管理和操作的重要性。相關的操作和管理人員在信息化建設的管理和操作中缺少合理性,導致黑客與入侵者有機可乘,造成企業信息外泄。企業的信息化建設是一個全新的的概念,其中的信息系統管理,信息安全系統的維護與升級都必須由專業的操作人員進行操作和管理,因此,專業技術人員專業技能的缺乏和個人的素質對企業的信息安全有著直接的影響。
2.3可用于信息化建設的軟件較少
近年來,市場上各種類型的系統軟件越來越多,但是能夠真正用到企業信息化建設的系統軟件卻比較缺乏,特別是相較于國際市場,國內的軟件無論是在適用范圍,還是技術水平方面都比較落后,這也是給企業數據安全帶來隱患的一大重要原因。
企業信息化建設使用的軟件安全性能較低,很容易被病毒或是黑客入侵,從而對企業的信息安全造成威脅,雖然大部分的企業在商業機密信息方面設置了一定的操作權限,但是在企業的實際管理中,比較容易出現員工操作權限重復的情況,操作人員的責任不夠明確,從而導致企業信息外泄或是數據丟失[2]。
三、企業提高信息化建設中的信息安全性的對策
3.1企業需樹立正確安全意識
在企業信息化的發展進程中,企業應該充分了解企業信息安全問題和企業發展之間的關系。意識到一旦企業的重要機密發生外泄或者是被竊取,將會給企業造成不可估量的損失,并給競爭對手提供有利的機會。
因此,企業應該采取適當有效的措施,防止信息安全問題的產生,樹立正確的信息安全意識,以便為企業未來的信息化發展打下更好的基礎。
3.2加強企業內部信息系統管理
①正常來說,企業信息的系統使用任何的安全軟件都有可能被攻擊或被破解。在信息的安全防御過程中,最重要的并不只是信息技術,管理對于企業的信息安全系統來說也非常重要,只有對企業的信息進行合理、規范的管理,才能更有效提升企業信息系統的安全性。因此,合理的對信息安全管理體系進行規范化建設,對于企業的信息安全管理至關重要。
②完善企業安全的風險評估機制。企業信息系統的建設,并非是利用一種技術在短時間內能夠完成,在平常的操作與管理中,所有的系統都有自己的優勢與缺點,因此,企業應該針對本身信息系統的優勢和缺點建立相關的安全風險評估機制,找到對信息系統安全造成影響的漏洞和原因,并及時地進行處理,以有效降低企業信息系統被攻擊的可能性。
3.3運用安全性較高的防護軟件
盡管所有的防護軟件都有辦法破解,但是安全性越高的防護軟件,破解的難度就越大,企業信息被竊取或是泄露的可能性也就越低。因此,企業在對安全防護軟件進行選擇時,不應該為了節省企業的成本,而在信息系統中使用一些安全性較低的防護軟件,應該選技安全系數較高的防護軟件,防止信息系統出現安全問題,給企業帶來更大的經濟損失。
3.4加強企業的網絡管理
大多數的不法分子都是通過網絡對各個企業的信息進行竊取和破壞,因此,企業需要加強企業的網絡管理,以確保企業信息系統的運行可以在安全的狀態下進行。企業應該依據信息安全的等級、種類制定出相關的防護措施和方案,并提前制定好信息安全事故發生之后,企業應該采取的解決措施[3]。在企業的信息安全受到威脅時,企業應該及時成立起危機處理小組,讓該小組依據信息安全危機處理的步驟與預案,進行危機處理,防止危機處理不當而出現更加嚴重的連鎖危機。此外,企業應該對內部的員工進行信息安全培訓與教育,提升員工信息安全管理意識和安全危機事件的處理能力,從而有效防止企業自身失誤而造成的信息安全問題。
四、結束語
總之,在這個信息化的時代,企業進行信息化建設是其發展和生存的重要途徑。但就目前而言,我國大部分的企業都只看到了信息化建設的優勢,沒有意識到信息系統安全問題的重要性,信息系統還處在一個長期不設防的狀態當中,這一情況直接影響了企業信息系統的安全性。因此,為了提高現代企業信息系統的安全性,企業就應該重視信息系統的安全問題,樹立正確的信息安全意識,采取有效的防范措施、不斷完善企業的信息管理體系,在企業信息化建設過程中,對可能會影響信息系統安全的因素進行全面考慮,以確保企業信息系統建設的安全性。
參 考 文 獻
篇4
[關鍵詞] 安全;信息系統;審計;虛擬化
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2017. 07. 028
[中圖分類號] F239.1 [文獻標識碼] A [文章編號] 1673 - 0194(2017)07- 0058- 04
1 引 言
隨著信息技術的高速發展,企業業務對于IT系統的依賴性不斷增強,信息和業務交付的靈活性與信息安全保護、防止泄露成為實際工作中的矛盾,企業IT運營既要滿足業務發展對業務交付靈活性的要求,又要防止信息泄露,因為信息安全問題關系到企業的聲譽,同時關系到企業的經營風險,更關系到國家的機密信息安全。
2 目前化工行業信息安全風險分析
2.1 化工行業信息化發展趨勢
石油化學工業是基礎性產業,在國民經濟中占有舉足輕重的地位,是我國的支柱產業部門之一,化工行業之所以重視信息化工作,首先與2015年總理提出的“互聯網+”的大發展背景密不可分,工藝流程的制定、化工裝置的運行、化工產品的銷售都高度依賴于信息化、互聯網技術;其次是從化工行業的自身特點衍生出來的,其產品數量多、種類多,產品各個環節的各個控制點特別多,這就要求用信息化技術能夠對化工生產中的各個環節產生積極和促進作用。
2.2 化工行業信息安全管理的現狀和挑戰
因為信息安全管理的要求,在網絡管理層面,石油系統內的企業已經建立了完善的內、外網隔離的管理平臺,兩個網絡完全物理隔離,不能互相訪問;石油系統內還部署了病毒防御、主動攻擊防御系統(Symantec Endpoint Protection),保密安全,漏洞防護等一系列安全防護系統,看似已經建立了一個信息非常安全、固若金湯的基礎架構。但在實際業務發展中,仍然存在一些隱患,不容忽視,面臨挑戰。
一方面企業的業務已經非常依賴信息系統,因為業務發展需要急需把內網系統交付到外網去,即人員在出差過程中能處理內網的業務。現有的內外網隔離架構,只有特權用戶能夠進行辦公,為新的用戶授權又需要經過一系列嚴格的程序,交付周期相對較長,因此不具備實現業務交付的靈活性。
另一方面,即使建立了內外網隔離的架構,也不能從根本阻止信息泄露,而且對于信息泄露事件也不能做到追本溯源,以避免類似事件發生。據全球權威的調查機構報告顯示客戶發生的信息泄露75%來自系統內部網絡,而且超過50%的信息泄露沒有找到信息泄露的源頭。外網通過入侵,只能獲得企業非關鍵信息;而對內網進行的各種違規操作,才是最致命的,給企業帶來巨大的經營風險。所以即使進行了完全隔離,也不能杜絕信息泄露,內部網絡的信息泄露主要來自于以下三個方面(見圖1):
(1)由外包服務公司員工引起信息泄露。伴隨著IT系統越來越復雜,客戶本身很難成為各種應用系統、各種管理系統的專家,往往采用服務外包方式進行管理,現實的問題在于,由于沒有一套完善的監控、審計機制,外包服務公司人員究竟在管理平臺上修改了什么,平臺上的數據被是否被保存到了IT服務外包人員本地電腦上并被泄漏出去,是否有危及系統安全和數據保密的操作都不得而知,出現人為操作故障后,追溯問題根源存在爭執,追究責任困難,這就成為了信息泄露的最大漏洞。
(2)由內部IT人員引起信息泄露。在IT系統管理過程中,IT管理人員通常有非常大的權限,如何管理和評估這些人員在日常工作中是否有超過權限的操作,怎么清晰地知道哪個IT人員什么時間做過什么操作,都是擺在企業面前的現實問題。
(3)由內部業務人員引起信息泄露。業務人員因為直接掌握了企業財務、設備、銷售、物料、物流等各個方面的數據,也是信息泄露的關鍵因素之一。
3 建設審計系統的意義
由于企業信息安全管理存在外包服務公司員工引起信息泄露、炔IT人員引起信息泄露、內部業務人員引起信息泄露的情況,因此圍繞業務系統需要建立可控的、有序的安全架構,以防止和杜絕任何企業數據泄漏的隱患,通過使用信息內容審計系統能夠在已建立起的網絡安全平臺上再增加一道安全防護屏障,從而實現真正完善的信息安全防護體系,這對企業的信息化發展具有重要意義,使用信息內容審計系統的具體價值體現在以下幾點:
(1)審計敏感信息接觸者,如IT管理員、業務人員、外包公司員工,他們都需要通過審計管控平臺,才能獲得信息系統的訪問、管理權限,獲得其需要的應用和數據,如此便可實現從源頭上防范信息數據的泄露。
(2)IT管理員、業務人員、外包公司員工的所有操作行為可以通過回放錄像的方式進行檢索,從而捕捉到關鍵行為、操作,對于出現的信息泄露等重大問題,責任范圍可追溯,做到有依可循、有據可查。
(3)對于系統故障,誤刪除等操作造成的數據丟失可以通過操作行為錄像回放,找出故障原因,找回丟失的重要數據,從而保證企業的財產不受損失,保證企業的名譽不受損失。
4 審計的方法、特點
審計系統綜合了核心系統運維和安全審計管控兩大主干功能,從技術實現上講,通過切斷終端計算機對網絡和服務器資源的直接訪問,而采用協議的方式,接管了終端計算機對網絡和服務器的訪問。目前普遍采用的審計方式有兩種,一種采用一體堡壘機的方法,一種采用服務器、審計軟件兩層架構的方法。
4.1 一體堡壘機功能
(1)單點登錄功能:支持對Windows、LINUX、UNIX、數據庫、網絡設備、安全設備等一系列授權賬號進行密碼的自動化周期更改,簡化密碼管理,讓使用者無需記憶眾多系統密碼,即可實現自動登錄目標設備,便捷安全。
(2)統一的賬號管理:能夠對所有服務器、網絡設備、安全設備等賬號進行集中管理,化繁為簡,實現對維護管理員的統一審核。
(3)資源授權:設備提供基于用戶、目標設備、時間、協議類型IP、行為等要素實現細粒度的操作授權,最大限度保護用戶資源的安全。
(4)訪問控制:設備支持對不同用戶進行不同策略的制定,細粒度的訪問控制能夠最大限度的保護用戶資源的安全,嚴防非法、越權訪問事件的發生。
(5)操作審計:能夠對字符、圖形、文件傳輸、數據庫等全程操作行為審計;通過設備錄像方式實時監控運維人員對操作系統、安全設備、網絡設備、數據庫等進行的各種操作,對違規行為進行事中控制。對終端指令信息能夠進行精確搜索,進行錄像精確定位。
4.2 審計軟件功能
新一代的審計軟件克服了傳統堡壘機的很多不足,如專用硬件不易維修、升級困難、不能實現應用和數據管控、不能對圖像操作進行檢索等,在繼承了傳統堡壘機的基礎上又具備以下優點:
(1)應用管控。實現獨立管控,不同人員獲得使用不同應用程序的權限。
(2)數據管控。無論局域網操作者還是廣域網遠程操作者,在審計環境下可以看到數據,使用數據,但無法下載數據。
(3)高安全性。以客戶端/服務器方式運行,將用戶行為變為可視、可跟蹤、可鑒定,保護重要數據的安全。
(4)集中審計,審計無盲點。實現集中審計、集中訪問控制,對于企業重要系統和數據的管理,有非常重要的價值;
(5)準確追溯歷史。在服務器上部署審計軟件的科學方式能夠將來訪人員的行為完整的記錄,并保存在服務器上,審計人員能夠按照其想調查的時間點、調查的操作人、調查的內容進行選擇,通過清晰的視頻回放準確的定位操作行為。
(6)行為分析報表。能夠提供準確、詳細的審計報表,直觀的展現歷史過程。
此外,新一代的審計軟件還具備更為可靠、先進的核心業務非法訪問監測、惡意程序篡改進程、關鍵數據的訪問監測、多維度的行為分析和查詢、云終端用戶操作等行為審計等功能。
5 審計系統的建設
鑒于石油化工系統的信息安全、數據保密的重要性,在設計企業信息安全防護系統時要充分考慮到架構是否能夠有效的起到安全防護作用、規范作用,是否能夠為企業運營節省成本、提升企業運營效率等因素,因此在設計架構時要打破傳統安全防護的壁壘,在創新發展與嚴密管控之間找到平衡點,充分發揮出架構的優勢。
5.1 架構組成
架構由三個部分組成,分別是客戶部分、集中訪問控制部分、信息系統部分(見圖2)。
(1)客戶部分,包括IT管理人員、IT運維人員、IT外包人員、審計人員等。
(2)集中訪問控制部分,這里是審計系統的核心控制區,包括行為審計應用產品、審計數據存儲產品、訪問控制程序區(SSH、Putty、SecureCRT、遠程桌面等)。
(3)信息系統部分,包含企業的各個生產、銷售、物料等信息系統。
5.2 架構設計
方案采用應用虛擬化技術+智能審計解決方案,采用行業中技術領先的CitrixXenapp+AuditSys審計產品,構建一個安全的集中訪問平臺,將用戶與信息系統分隔開。
首先建立XenApp平臺,將遠程服務器和客戶機上的應用程序部署到XenApp平臺上,客戶端設備只需通過IE就可以運行應用系統,多用戶同時訪問時,由XenApp管理應用客戶端軟件的多進程訪問,并控制向不同用戶的權限,服務器與客戶端之間的數據傳輸只是屏幕變化和鼠標鍵盤的指令信息,而不傳輸任何實際操作數據,真實的數據傳輸發生在XenApp平臺與信息系統部分之間,從安全性角度分析,這種安全性接近于物理環境隔離。
然后在XenApp平臺上部署AuditSys產品,實現審計任何通過Xenapp平臺訪問的用戶會話,也可以審計任何通過遠程桌面、終端服務、PCANYWHERE等遠程協議訪問過來的會話,也可以審計通過KVM或者通過本地登的用戶會話,通過與Citrix XenApp的無縫集成,不僅可以構建一個安全的遠程集中訪問平臺,還可以對所有的用戶會話,管理員維護操作等用戶行為進行審計。
所有的行為審計過程需要完整的記錄并保存,這里部署了Auditsys App Server,保存了Auditsys記錄的完整的行為過程,為檢查人員、審核人員的安全檢查提供可靠依據。
5.3 架構優勢
XenApp集中化方法將所有應用程序和數據存儲都集中在數據中心服務器上,并把數據的管理嚴格控制在數據中心。
該方法從安全角度和先進角度出發,在安全防護方面做到了數據的不可復制,在該架構下,只有用戶界面、鍵盤敲擊和鼠標操作等小量交互信息通過網絡傳輸,且都是經過加密處理的。
XenApp上的應用程序需要上層管理者授權才能使用,保證了應用的管控和規范使用。
客戶部分使用計算機在完成數據操作時,只能夠看到所使用的數據,真正的數據依然存放在集中訪問控制部分和信息系統中,充分做到了數據的安全防護。
AuditSys具備功能強大的數據搜索引擎,支持細化的組合查詢、多條件選擇查詢,幫助用戶快速完成記錄搜索。
6 總 結
信息化是企業工業生產的重要驅動力,是企業可持續發展的重要因素,互聯網+工業是未來工業發展的方向,且工業信息化發展的前提又是信息安全,因此,企業信息安全防護系統做的好不好,企業信息安全管理規范,直接作用于企業的工業信息化發展,進而影響企業的發展動力、產品創新、技術產品等多個方面。而信息安全體系中,人員的管控的是最復雜、最困難的,信息工作中,能否通過有效的安全系統及時有效的發現、制止信息泄密事件,做到未雨綢繆;能否在發生泄密事件后,準確的查出泄密原因,找出泄密人員,亡羊補牢,這尤其需要企業在信息安全工作中重點考慮,以保證企業的信息安全防護系統堅固、夯實,以保證企業的信息化發展健康、穩步。
主要參考文獻
[1]鄧小榕,陳龍.安全審計數據的綜合審計分析方法[J].重慶郵電學院學報:自然科學版,2005(5).
[2]許霆,袁萌,史美林.網絡監控審計系統的設計與實現[J].計算機工程與應用,2002(18).
[3]鄧瑛,常國岑.網絡安全監控與審計系統的設計與實現[J],計算機工程,2002(12).
[4]張俊良.基于信息過濾的網絡安全審計系統的研究與實現[D].西安:西北大學,2009.
[5]曹暉,王青青.新型數據庫安全審計系統[J].計算機工程與應用,2007,43(5):163-165.
[6]王淵,馬駿.一種基于入侵檢測的數據庫安全審計[J].計算機仿真,2007,24(2):33-36.
[7]高彩容.基于數據挖掘的網絡安全審計技術研究[D].西安:西安電子科技大學,2008.
[8]韋猛,程克非.基于主機信息內容審計系統的設計與實現[J].重慶郵電大學學報,2008,20(6):725-728.
篇5
[關鍵詞]企業;信息化建設;網絡安全管理
doi:10.3969/j.issn.1673 - 0194.2017.10.040
[中圖分類號]F270.7 [文獻標識碼]A [文章編號]1673-0194(2017)10-00-01
0 引 言
在互聯網時代,企業應用網絡信息技術和計算機技術,逐步建立了網絡信息化平臺,以對海量信息數據進行有效收集,為企業的運行和發展提供有效依據。但是企業在信息化建設中還存在一些問題,其中一個嚴重的問題就是,企業信息數據容易遭受到網絡攻擊或竊取,即網絡安全問題。這些問題的存在,非常不利于企業的信息化建設,不利于企業的進一步發展。因此,相關人員需要對企業在信息化建設中存在的網絡安全管理問題以及解決方法進行研究和分析,以全面提高企業信息化建設的質量和水平,更好地推進企業的進步與發展。
1 企業在信息化建設中存在的網絡安全管理問題
1.1 外部因素
時代的發展和社會的進步使網絡信息安全問題日益嚴重。例如,企業在進行市場競爭時,需要獲得大量準確的信息并保證其安全,但一些不法分子應用網絡攻擊和非法鏈接等方式@取企業內部大量信息,并將此類信息在市場中出售牟利,這種情況的出現加劇了企業網絡信息安全問題的程度。
1.2 內部因素
企業在信息化的建設過程中,沒有對自身的網絡信息安全問題給予足夠的重視,因此,沒有采用高質量的信息安全管理模式,進行有效的網絡信息防護,使網絡黑客應用網絡病毒和信息竊取手段,輕易獲取企業內部的各種信息數據。同時,企業內部工作人員也沒有受過良好的網絡信息安全培訓,在應用中存在操作不規范等問題,導致企業的信息安全受到嚴重威脅。
2 提高企業網絡安全管理水平的方法
2.1 加強企業信息化系統的管理
企業需要在信息化建設中加強對信息化系統的管理質量和水平,提升企業網絡安全管理的效率。具體來講,首先,企業需要樹立起網絡安全管理的意識,對工作中存在的網絡安全問題及時處理,建立完備的網絡安全管理平臺,對企業運行發展中的重要信息數據進行集中性保存。其次,定期對企業員工開展網絡安全培訓工作,提升員工信息化系統規范操作的能力,對重要信息進行加密處理,并做好多重備份工作。最后,企業員工應定期使用網絡安全軟件對操作環境進行檢查,有效處理和抵御各類網絡病毒的攻擊和入侵。
2.2 應用有效的數據信息加密技術
企業需要應用有效的數據加密技術,提升網絡信息管理質量和水平,保障網絡信息的安全,更好的開展企業信息化建設工作,為企業的進步和發展打好基礎。第一,企業需要有效的應用鏈路加密、節點加密、端對端加密等多種技術,提高企業網絡信息加密的強度,為重要的業務數據和信息做好保護。第二,企業需要在應用網絡信息數據加密技術的同時,對重要數據信息進行切實有效的存儲,使其具有完整性,為提升企業數據信息安全水平打好基礎。
2.3 部署高質量的安全防護軟件
企業需要合理應用各類的防護軟件,提升自身網絡信息安全的強度。例如現在已經普遍應用的360安全衛士、騰訊電腦管家、金山毒霸等,合理應用可以提高企業整個網絡信息安全管理的質量,同時對外部的非法鏈接進行有效抵制,對網絡病毒攻擊和入侵進行有效預防。
2.4 設置必要的安全管理權限
企業需要依據自身的需求,建立嚴密、分層的安全管理權限系統,對登錄到系統中的用戶進行嚴格的管理權限設定。通過這種方式,使操作系統或應用系統的用戶,需要掌握不同的權限密碼才能進行不同權限的操作、進行數據信息的獲得,然后進行這些數據信息的應用。
2.5 配置防火墻和訪問控制模式
企業在信息化建設中需建立高效的防火墻系統,設置專業化訪問控制模式,提升網絡信息安全能力,有效抵御各種網絡風險,保障企業的內部網絡安全。
2.6 信息隱藏模式的有效應用
企業可以有效應用信息隱藏技術,提高網絡信息安全質量和水平,保障信息及數據安全。例如,采用高效的編碼修改方法進行數據嵌入,如矩陣編碼,其可減少修改幅度;擴頻嵌入,其使編碼更加專業化、高級化、復雜化,很難進行破譯,降低密文信號的能量,使其不易被檢測到,增強信息的安全性和保密性。這些模式有利于企業對各種網絡攻擊進行有效抵御,保障企業信息化建設的穩定性和安全性,實現企業應有的經濟效益和社會價值。
3 結 語
對企業信息化建設中網絡安全管理問題進行分析,有利于企業應用各種有效的方法,提高企業網絡安全管理的質量和水平,保障企業網絡和信息管理的安全性,最終為企業實現良好的信息化建設做出重要貢獻。
主要參考文獻
[1]程華.對企業信息化建設中的網絡安全管理問題探討[J].民營科技,2016(1).
篇6
一、網絡系統信息安全存在問題分析
(一)計算機及信息網絡安全意識不強
由于計算機信息技術高速發展,計算機信息安全策略和技術也有大的進展。設計院各種計算機應用對信息安全的認識離實際需要差距較大,對新出現的信息安全問題認識不足。
(二)缺乏統一的信息安全管理規范
設計院雖然對計算機安全一直非常重視,但由于各種原因目前還沒有一套統一、完善的能夠指導整個院計算機及信息網絡系統安全運行的管理規范。
(三)缺乏適應電力行業特點的計算機信息安全體系
近幾年來計算機在整個電力行業的生產、經營、管理等方面應用越來越廣,但在計算機安全策略、安全技術和安全措施上投入較少。為保證網絡系統安全、穩定、高效運行,應建立一套結合電力行業計算機應用特點的計算機信息安全體系。
(四)缺乏預防各種外部安全攻擊的措施
計算機網絡化使過去孤立的個人電腦在聯成局域網后,面臨巨大的外部安全攻擊。局域網較早的計算機系統是NOVELL網.并沒有同外界連接。計算機安全只是防止意外破壞或者內部人員的安全控制就可以了,但現在要面對國際互聯網上各種安全攻擊,如網絡病毒和電腦“黑客”等。
二、保證網絡系統信息安全的對策
(一)建立信息安全體系結構框架
實現網絡系統信息安全.首要的問題是時時跟蹤分析國內外相關領域信息安全技術的發展和應用情況,及時掌握國際電力工業信息安全技術應用發展動向。結合我國電力工業的特點和企業計算機及信息網絡技術應用的實際,建立網絡系統信息安全體系一的總體結構框架和基本結構。完善網絡系統信息安全體系標準以指導規范網絡系統信息安全體系建設工作。
按信息安全對網絡系統安全穩定運行、生產經營和管理及企業發展所造成的危害程度,確定計算機應用系統的安全等級,制定網絡系統信息安全控制策略.建立適應電力企業發展的網絡系統信息安全體系,利用現代網絡及信息安全最新技術,研究故障診斷、處理及系統優化管理措施。在不同條件下提供信息安全防范措施。
(二)建立網絡系統信息安全身份認證體系
CA即證書授權。一個完整、安全的電子商務系統必須建立起一個完整、合理的CA體系。CA體系由證書審批部門和證書操作部門組成。為保證網絡系統信息一和安全.應建立企業的CA機構對企業員工上網用戶統一身份認證和數字簽名等安全認證,對系統中關鍵業務進行安全審計,并開展與銀行之間,上下級CA機構之間與其他需要CA機構之間的交叉認證的技術研究工作。
(三)建立數據備份中心
數據備份及災難恢復是信息安全的重要組成部分。理想的備份系統應該是全方位、多層次的。硬件系統備份是用來防止硬件系統故障,使用網絡存儲備份系統和硬件容錯相結合的方式。可用來防止軟件故障或人為誤操作造成的數據邏輯損壞。這種對系統的多重保護措施不僅能防止物理損壞還能有效地防止邏輯損壞。結合電力行業計算機應用的特點,選擇合理的備份設備和備份系統.在企業建立數據備份中心,根據其應用的特點,制定相應的備份策略。
(四)建立網絡級計算機病毒防范體系
計算機病毒是一種進行自我復制、廣泛傳染,對計算機程序及其數據進行嚴重破壞的病毒,具有隱蔽性與隨機性,使用戶防不勝防。設計院信息網絡系統采取在現有網絡防病毒體系基礎上.加強對各個可能被計算機病毒侵入的環節進行病毒防火墻的控制,在計算中心建立計算機病毒管理中心,按其信息網絡管轄范圍,分級進行防范計算機病毒的統一管理。在計算機病毒預防、檢測和病毒定義碼的分發等環節建立較完善的技術等級和管理制度。
(五)建立網絡系統信息安全監測中心
計算機信息系統出現故障或遭受外來攻擊造成的損失.絕大多數是由于系統運行管理和維護、系統配置等方面存在缺陷和漏洞,使系統抗干擾能力較差所致。信息安全監測系統可模仿各種黑客的攻擊方法不斷測試信息網絡安全漏洞并可將測出的安全漏洞按照危害程度列表。根據列表完善系統配置,消除漏洞并可實現實時網絡違規、入侵識別和響應。它在敏感數據的網絡上.實時截獲網絡數據流,當發現網絡違規模式和未授權網絡訪問時,自動根據制定的安全策略作出相應的反映.如實時報警、事件登錄、自動截斷數據通訊等。利用網絡掃描器在網絡層掃描各種設備來發現安全漏洞.消除網絡層可能存在的各類隱患。
篇7
中圖分類號:F270.7 文獻標識碼:A 文章編號:1672-3791(2016)03(b)-0024-02
隨著網絡信息化時代的到來,互聯網的快速發展,如今網絡化已經成為企業信息化發展過程中的重要推動力量,網絡信息化使得全球兩百多個國家的信息資源可以得到最大程度上的共享。對于中小企業而言,企業信息化的發展是必經之路。但是凡事都有兩面性,都不可能一直順風順水,這一進程必將遭受大大小小的挫折和考驗;隨著企業信息化的高速發展,企業信息化網絡安全問題也漸漸變得突出,網絡安全問題已經成為阻礙企業發展難以逾越的一條鴻溝。
1 企業信息化與網絡安全
1.1 企業信息化概述
企業信息化即企業建設一個良好的資源平臺,收集各種各樣的信息,建立一個網絡數據庫。在一定程度上利用計算機互聯網技術,控制企業的經濟發展,將企業收集到的信息高度集成化,以此達到企業實現資源共享的目的。其種種行為,都是為了提高企業的經濟效益,提高企業市場競爭力。為了達到之一目的,這就意味著要對企業的管理流程進行變革和優化、管理理念的創新和改善、管理團隊的重組以及管理手段進行創新。
1.2 網絡安全概述
網絡安全的通用定義:就是在網絡運行過程中,網絡系統的硬件和軟件系統都可以得到很好的保護,不會因為偶然間的原因而遭到惡意的破壞和泄漏,系統的連續十分可靠,在正常情況下都可以穩定運行,網絡服務器不會因為其他原因而中途中斷。在如今的信息時代下,網絡安全問題層出不窮,在目前的公共通信網絡存在著千奇百種的安全漏洞和威脅。
從企業和單位個人的角度來看,這一群體希望自己的個人隱私和商戶利益在進行網絡傳輸時受到保護。要求這種保護真實完整,保密系數高,可以做到避免不法分子的竊取和侵犯。保證用戶的利益和隱私不受到損害和侵犯。同時這一群體也希望主機上的個人信息不受到其他用戶的干擾和破壞。從網絡運行管理者的角度來看,這一群體希望對本地網絡信息的安全做出有力的保證。保證用戶的個人信息、商業機密、生活隱私不受到侵犯和威脅。避免出現病毒的傳染、網絡資源的非法占用、非法存取、拒絕服務,對黑客的網絡攻擊進行制止和防御。
1.3 網絡安全的基本特征
保密性:保密性指的是不將用戶的個人隱私、商業機密、生活隱私等信息向外界透露,不泄密給非授權的個人,法律規定的除外。
可控制性:簡言之,可控制性就是指對企業信息的傳播方式,傳播途徑都可以很好的掌握,必要時,可以及時控制企業信息的發出。可以在授權范圍內對文件的流向以及方式進行控制。
可用性:可用性是指保證用戶在合法的情況下,可以及時訪問到所需要的信息資源。具體是指:可用性合法用戶訪問信息并能夠按要求順序使用信息的特性。
2 網絡安全問題分析
2.1 內部因素
企業在安全意識方面注意度不夠。即使目前已經有了相當大一部分企業加快了企業內部信息化建設的步伐,但是企業管理者往往看到的只是企業信息化帶來的經濟效益和社會效益。卻忽略了信息化建設發展中存在的一些問題,對信息化的建設發展沒有引起高度重視。
管理者在管理制度上存在一定的缺陷,存在著管理制度不夠完善的情況。由于管理制度的整體缺失,加上管理者可能出現操作上的疏忽,這在一定程度上就給了黑客和不法分子趁虛而入的機會,從而造成企業信息被竊取,導致企業蒙受不必要的損失。
國內軟件制作技術相對落后,軟件安全得不到高度保障。自信息化時代以來,尤其是近幾年軟件技術發展十分迅速。即便如此,但是我國在軟件制作技術發面和發達國家在軟件制作技術方面還是存在著一定差距。
在企業信息化管理人員方面,尤其是具備這方面的高素質管理人才,我國還很缺乏。在企業信息化安全策略制定的前期,日常安全系統的維護及日后安全系統的升級,都需要這方面的高素質人才進行操作。由此可見,企業高素質管理人才的缺乏將直接影響到企業的信息化建設。其次,我國的相關法律法規及制度還不夠完善。法規的不夠具體和空白現象,必然直接影響到信息化的建設,阻礙企業未來的發展效益。
2.2 外部因素
企業在信息化建設過程中受到的影響有很大一部分來自外部因素。隨著社會經濟的發展,加上市場經濟的推動,在市場競爭中,信息的準確性已經顯得十分重要。有很大一部分不法分子靠竊取商業機密來牟利,想盡一切辦法和手段來竊取企業信息達到目的。與此同時,還存在著競爭對手用不良手段竊取其他企業商業秘密,獲得經濟利益。目前黑客可以通過傳播病毒和攻擊用戶防護系統等手段入侵企業的信息化網絡,攻擊企業信息系統。
3 信息化網絡安全問題的研究對策
加強對網絡安全的保護,在對建設企業信息化的問題上,起到了至關重要的作用。不僅為企業提供了一個良好的網絡安全環境,還為企業信息化工作提供了一個很好的網絡信息傳輸平臺。下面是一些加強對網絡安全的保護對策。
3.1 數據加密技術
數據加密可以用來提高信息系統的安全性,對用戶數據的保密性也有著十分明顯的作用。數據加密手段對保護數據外泄有著非常好的效果。數據加密具體通過對數據的傳輸、數據的存儲、數據的完整性這幾個方面來加強對企業數據的防護,以此來提高企業整體上的安全系數,達到保障企業信息化建設順利進行目的。
3.2 主機安全技術
主機安全技術主要控制系統用戶能否進入系統和進入系統后可以訪問哪些資源。這對保護用戶的安全可以起到一定的防范作用。同時他還具備操作系統安全,數據庫安全,應用軟件程序安全等方面的應用。
3.3 樹立安全意識
企業在信息化發展進程中,必須要意識到企業發展環境的重要性,如果企業的發展過程中沒有一個良好的網絡環境。那么在企業的發展過程中,企業的商業機密和部分信息資源就很有可能被泄露。那么對于企業而言,這種打擊無疑是毀滅性的,很可能導致企業經濟效益下降。因此樹立良好的安全意識不僅可以讓競爭對手找不到下手的機會,打消其作案念頭和使得其不具備作案條件。與此同時,還可以為企業的后續發展打下良好的基礎。
3.4 選擇安全性能高的防護軟件
世界上的任何一款軟件都可以被破解,沒有絕對破解不了的信息化軟件。但是要明白的是,一些好的信息化軟件比起那些次的信息化軟件,其性能方面是不可比擬的。無論是在操作性能上還是在破解難度上,高性能的防護軟件,都有著其獨特的性能優勢。
3.5 要時刻加強對企業內部信息化的系統管理
為了加強企業的信息化管理,可以采用一些必要的技術手段。例如:采取數據加密技術、防火墻技術和訪問控制技術。當然,加強對企業的安全意識,對企業信息化管理也有著一定程度上的幫助。只有加強對企業的信息化管理,才能為企業的系統安全打下良好的基礎。
4 結語
企業在信息化建設過程中,遇到的網絡問題涉及面非常廣,我國企業信息網絡安全技術的研究仍處于起步階段,對一些網絡安全方面遇到的問題,需要人們去深入研究和進一步的探索,實時保障企業信息化網絡的安全,對企業經濟的快速發展起著重要作用。
參考文獻
篇8
安全管理的重點關注內容為安全生產,這也是當前煤礦企業發展探究的熱門、重點話題。對于煤礦企業而言,安全生產不僅關系著企業的正常運行,還關系著群眾的生命,關系著煤礦工人家屬一家團圓的期待。由此可見,做好煤礦企業的安全生產管理能夠讓企業沿著良性模式發展,并實現科學化、標準化管理,最終來達到提升企業經濟效益的目的,促進社會和諧發展。
一、煤礦企業安全管理方面的弊端
(一)安全管理意識淡薄
在新時期,隨著煤礦企業的發展,煤礦企業越來越重視企業之間的競爭力與收入狀況,
卻忽視了發展過程中的安全生產,在安全生產上面的宣傳和重視力度不足,未正確認識到經濟收入與安全生產、企業發展三者之間的關系,當安全與生產二者處于矛盾對立狀態時,企業內通常是將生產放在首位,他們認為只有多出煤才能提升企業的經濟收入,才能推動企業發展,員工才能有錢可賺,而安全管理意識卻較淡薄。
(二)安全管理制度體系欠完善
部分煤礦企業內部的安全生產責任制還未完善,在履行安全管理上面的條款落實度不夠,
可操作性差,可考核性不高。部門與部門之間在安全管理方面的協調性不足,缺乏交流、溝通,煤礦企業在生產時,由于缺乏健全的管理制度,以及先進的管理手段企業安全管理則存在弊端。
(三)煤礦企業技術人員不足
新時期,煤礦企業之間的競爭力相當大,企業之間的管理人員、技術性人才的流動性很嚴重,剛從學校畢業的大學生根本不愿到一線地區實踐、工作,不了解這個煤礦開采的程序,無法委以重任,企業內高技術、高能力人才不足。就一線煤礦工人而言,絕大部分為農民,人員之間存在著較嚴重的流動性、松散型,他們的文化知識較低,安全知識認識掌握不足,致使煤礦企業的安全工作很難落實到位[1]。
(四)安全培訓工作不到位
大部分煤礦企業內都未對內部煤礦工人定期開展安全生產的安全知識宣傳與培訓工作,使得一線開采工人安全意識淡薄,不懂得如何來保護自己,讓自己遠離危險,即便是安全培訓,更多的也只是口頭傳授,教育與培訓形式單調,培訓的內容未付諸實踐,實踐性不強,很多企業就是為培訓而培訓,應付工作,走過場。
(五)缺乏一整套完善的有效的獎懲制度
很多煤礦企業內在安全管理方面缺乏一整套完善的有效的獎懲制度。因為獎懲工作做的不到位,或是獎懲制度不平衡,從企業的獎懲制度來看,在獎勵方面的條款較少,懲罰方面的則較多,對于管理者來講,懲罰制度的制定與落實是約束人們行為的一種方法,但是對于部分人群來講,則會激起他們與企業管理人的叛逆、對抗心理。與此同時,部分企業內在獎懲上面時效性不強,獎懲不及時也就降低了安全生產管理工作的實踐性。
二、新時期應如何做好煤礦企業的安全管理工作
(一)提升煤礦企業管理各部門的安全管理意識
安全管理理念屬于煤礦企業展開安全生產管理的基本指導思想,也是提升也經濟效益的關鍵點。在實踐過程中提升企業內各部門之間之間的溝通,聯系,讓企業各部門工作人員都具備較強的安全生產意識,不斷完善企業內的安全質量量化目標體系[2]。與此同時,企業內還可實行安全監督體系,在崗的所有人員可自行監督或相互監督,以防止安全事故的發生。對于企業內已有的安全管理法,還需不斷創新、不斷完善,使其更加滿足新時期提出的新條件、新要求。
(二)組建科學的安全管理系統
煤礦企業必須在“以人為本”的基礎上,組建科學的安全管理系統,并與現代化計算機技術結合起來,將現代化的計算機主動技術與網絡技術均應用到安全管理系統中,創建一整套科學、安全、可行的動態信息監測系統,來對煤礦一線工作人員進行監測和管理,能夠詳細的、全面的了解工作人員的情況,并分析事故致因,消除和預防各類安全事故。
(三)定期組織和開展安全培訓工作
煤礦企業在安全培訓上面應始終堅持“投資少、收獲多、回報高”的原則,對企業內所有員工定期組織和開展安全培訓工作,提升企業工作人員的安全管理意識,進一步強化企業內工作人員的教育、培訓工作,培訓之后還需將培訓內容付諸實踐,工作人員應根據培訓中要求的安全操作規程操作,做到遵章守紀、不違規,確保企業正常運營。
(四)健全、完善煤礦企業的安全檢查制
安全生產是煤礦企業發展的核心。所以,煤礦企業需制定出更加符合自己企業發展需要的安全管理措施,地方煤礦局負責人與地方政府需強化對煤礦的安全監督檢查工作。在企業內部實行責任制,將責任落實到人頭,并成立相應的安全監管小組,定期對小組安全管理工作進行考核、評價,推動煤礦企業的全面發展。
(五)健全、完善煤礦企業的獎懲制度
煤礦企業內還需不斷完善內部獎懲制度,確保獎懲制度的平衡性,并提升獎懲制度的時效性,對于應該獎勵的行為還應及時給予獎勵,但是對于一些違規違紀事件,就應及時作出批評和懲罰,確保煤礦企業獎懲工作落實到位。
(六)加大安全管理資金投入,在煤礦企業內營造良好安全文化氛圍
企業還應加大在安全管理方面的資金投入,并合理運用所投入資金來進行系統安全建設、設備維修工作,定期組織人員檢查煤礦企業內所有生產設備,看其設備零件有無松動、脫落現象,有無設備老化現象,一旦發現問題,應立即維修,對于部分老化設備應及時更換,確保工作人員能安全生產,減少因設備問題而帶來嚴重安全事故,在煤礦企業內營造良好安全文化氛圍[3]。
總之,近年來,煤礦安全事故發生率不斷提升,各大煤礦企業都應在安全生產上面引起高度重視,總結各起煤礦安全事故發生原因,不斷完善企業內的煤礦安全管理相關制度體系,全面做好煤礦企業的安全管理工作,促進煤礦企業的全面發展。
參考文獻
篇9
doi:10.3969/j.issn.1673 - 0194.2016.16.000
[中圖分類號]TP393.08 [文獻標識碼]A [文章編號]1673-0194(2016)16-00-01
信息化已經成為企業發展過程中的必然選擇。在企業信息化體系之下,數據的流動,除了物聯網帶動的各種數據采集外,工作人員之間的溝通仍然是企業信息流動的重點驅動力量。隨著數據實時性特征領域相關需求的不斷突出,企業環境內部各種即時通信工具也開始日漸盛行。
1 企業即時通信系統安全特征分析
企業即時通信系統(Enterprise Instant Messenger,EIM)是即時通信系統在企業環境中的深入應用,通常以基礎腳本作為起點展開面向企業環境的功能開發,能夠支持文本、語音、視頻以及其他標準數據的傳輸支持。從應用的角度看,在企業環境內部中,EIM的出現對當前社會上正在使用的其他IM通信工具有一定的替代作用,尤其是對于油田組織而言,這種替代作用尤其明顯。因為在這樣的大型工業環境中,工作時涉及的信息溝通方,通常也是日常生活中的朋友,因此EIM對于這樣的群體而言,完全能夠取代社會化IM的地位。
當前EIM系統的工作框架,如圖1所示。
從圖1中可以看出,C/S模式仍然是當前EIM中最為常用的架構。客戶端通過網絡環境實現數據的傳輸與交換,保持對服務器的使用狀態,而同時服務器通過公共數據網實現對于客戶端身份認證,以及消息的過濾與轉發。
從安全的角度看,EIM主要面臨的問題包括病毒的傳播和用戶身份授權管理不善。由于EIM的文件傳輸采取了P2P模式,它可以將文件作為附件通過點對點方式傳送,而繞過網絡周邊安全防御設備。這種工作方式本質上無法對病毒實現有效地防范,造成病毒威脅。除此以外,緩沖區溢出、拒絕服務等攻擊方式也屢見不鮮。而在用戶身份管理方面,用戶賬號授權管理不善,移動端丟失默認登錄以及密碼被盜是主要存在的安全問題。當前IM開發商對于系統的擴展性傾注了過多關注,但對于認證機制考慮不足,也會給攻擊者可乘之機。
文件交換過程中的弱加密甚至于不加密的狀態,同樣可能會導致信息截取問題的發生。以及考慮到當前主流的EIM 軟件都提供了腳本編寫功能,雖然方便了企業用戶實現EIM二次開發,但是卻會進一步加劇蠕蟲病毒等威脅。
2 加強EIM安全建設
考慮到當前EIM對于企業工作正常展開的重要價值,加強對其安全建設就顯得格外重要。結合目前該領域的發展,可以發現有如下幾個方面,可以作為提升EIM安全水平的工作重點。
2.1 加強用戶身份管理
用戶登錄過程中可靠和嚴謹的身份驗證,對提升EIM的整體安全有著毋庸置疑的積極價值。如果用戶在進行注冊的時候,已經將密碼摘要存入服務器,則可以考慮在SHA-1報文摘要算法的基礎上展開對于登錄驗證的優化。首先在客戶端發起登錄請求的時候,服務器端生成一個隨機值,聯通登錄界面一同反饋給客戶端,而后在客戶端完成密碼輸入之后,采用SHA-1算法來生成報文摘要1,再和隨機值散列生成報文摘要2,并進行提交。最后,服務器在接到相關數據之后,將兩個方面的報文摘要進行對比,進一步來確定是否授權登錄。
2.2 加強信息交換安全建設
在EIM環境中,信息的傳輸和交換是主要的職能,同時也是安全隱患最為嚴重的環節。信息傳輸和交換的過程中,必須要保證信息內容不被竊取或篡改,同時要考慮信息傳輸的效率問題,尤其是在工業環境之下,很多數據都要求強實時性的情況下,實現安全和效率的平衡至關重要。實際工作中需要合理安排加密機制,例如:利用對稱密鑰算法IDEA加密明文,同時采用RSA機制對秘鑰進行加密傳輸,確保信息機密。隨后用MD5生成信息摘要,并且用RSA為摘要簽名,提升簽名速度的基礎之上保證信息不可抵賴特征。諸如此類相關機制,共同構建起完善的EIM安全環境。
2.3 文件傳輸模塊設計安全
對于這一方面,主要是考慮在原有文件傳輸功能的基礎上,附加兩層安全防護技術來進一步保證傳輸的安全性,即病毒掃描技術和文件加密技術。其中前者能夠有效防止已經受到病毒感染文件的進一步傳輸,并且對其進行隔離,保證系統安全。而后者則用于實現面向文件內容的安全保證,使文件處于密文狀態發送,用來防止攻擊者竊取文件成功后直接得到文件的真實內容。
3 結 語
篇10
一、會計信息化系統與會計電算化系統的比較
會計信息化系統與會計電算化系統相比,無論從技術上還是內容上來講都是一次質的飛躍,其意義不亞于從手工會計系統到會計電算化系統的飛躍。二者在基本特征上是有很大區別的。
從基本的技術支撐以及行為特征上看,會計電算化系統是財會部門邊界范圍內的獨立信息系統;是基于局域網的信息系統;是模擬人工業務內容和流程的系統;是事后核算型系統;是與業務處理分割的系統;是與管理控制分割的系統;它無法實現與企業內其他系統的數據共享。而相應地,會計信息化系統是企業邊界范圍內的非獨立信息系統;是基于互聯網的信息系統;是業務流程重組以后的系統;是實時數據處理的系統;是與業務協同處理的系統;是實時管理控制的系統;是信息高度集成和共享的系統。以上的差異導致在具體操作手段上對會計信息化系統出現了不同于會計電算化系統的要求,而安全問題是網絡財務發展的瓶頸,關系到財務網絡化的建立與發展,是應優先提出并解決的問題。
二.會計信息化系統面臨的安全隱患與對策
1.安全隱患
在電子商務這種新的經濟模式下,財務系統的安全受到了以前所沒有碰到過的挑戰,產生了不同于以往的安全隱患,比如各種數據與財務報表是以電子的形式存在,并且這些本已脆弱的電子數據還要在私有的甚至是公共網絡上傳遞,這樣使得在整個財務流程中產生出了很多新的漏洞。這些有別于傳統會計電算化系統的安全隱患歸根結底是由網絡的不安全所導致的。
Internet的無限性和技術的開放性,為實現工作場地虛擬化,資料記錄無紙化,數據傳遞遠程化,信息交流數字化提供了廣闊的空間,在當今時代已經顯現出無比的優越性,但也使一些不法分子常常有機可乘,從而使用戶有價值的企業信息、關鍵性的商業應用以及公司客戶的各類私人保密信息暴露。惡意的襲擊會侵入網絡財務站點,進行各種可能的破壞,如制造和傳播破壞性病毒或讓服務器拒絕服務等。這些攻擊可導致公眾信心的喪失,網絡財務實施的瓦解。目前網絡上已經存在的釣魚攻擊以及經過特別編制的木馬病毒,都可以使用戶的信用卡帳號與密碼泄露。當前我國擁有網上銀行用戶以千萬計,每年在網上流通的資金數以千億計,如若各種攻擊可輕易得手,后果將不堪設想。美國有關機構曾做過測試,沒有任何安全保護措施的計算機在Internet上的“存活時間”已經從2003年平均近1小時下降到了2005年的不足20分鐘。如此脆弱的網絡確實讓人擔憂,而以這樣的互聯網為平臺的網絡財務更讓人擔憂。
2.解決對策
