前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的企业信息安全管理体系主题范文,仅供参考,欢迎阅读并收藏。
【关键词】信息安全 管理 控制 构建
1 企业信息安全的现状
随着企业信息化水平的提升,大多数企业在信息安全建设上逐步添加了上网行为管理、内网安全管理等新的安全设备,但信息安全防护理念还停留在防的阶段,信息安全策略都是在安全事件发生后再补救,导致了企业信息防范的主动性和意识不高,信息安全防护水平已经越来越不适应当今企业IT运维环境和企业发展的需求。
2 企业信息系统安全防护的构建原则
企业信息化安全建设的目标是在保障企业数字化成果的安全性和可靠性。在构建企业信息安全体系时应该遵循以下几个原则:
2.1 建立企业完善的信息化安全管理体系
企业信息安全管理体系首先要建立完善的组织架构、制定信息安全管理规范,来保障信息安全制度的落实以及企业信息化安全体系的不断完善。基本企业信息安全管理过程包括:分析企业数字化资产评估和风险分析、规划信息系统动态安全模型、建立可靠严谨的执行策略、选用安全可靠的的防护产品等。
2.2 提高企业员工自身的信息安全防范意识
在企业信息化系统安全管理中,防护设备和防护策略只是其中的一部分,企业员工的行为也是维护企业数字化成果不可忽略的组成。所以企业在实施信息化安全管理时,绝对不能忽视对人的行为规范和绩效管理。在企业实施企业信息安全前,应制定企业员工信息安全行为规范,有效地实现企业信息系统和数字化成果的安全、可靠、稳定运行,保证企业信息安全。其次阶段递进的培训信息安全人才也是保障企业数字化成果的重要措施。企业对员工进行逐次的安全培训,强化企业员工对信息安全的概念,提升员工的安全意识。使员工的行为符合整个企业信息安全的防范要求。
2.3 及时优化更新企业信息安全防护技术
当企业对自身信息安全做出了一套整体完善的防护规划时,就应当考虑采用何种安全防护技术来支撑整个信息安全防护体系。对于安全防护技术来说可以分为身份识别、网络隔离、网络安全扫描、实时监控与入侵发现、安全备份恢复等。比如身份识别的目的在于防止非企业人员访问企业资源,并且可以根据员工级别分配人员访问权限,达到企业敏感信息的安全保障。
3 企业信息安全体系部署的建议
根据企业信息安全建设架构,在满足终端安全、网络安全、应用安全、数据安全等安全防护体系时,我们需要重点关注以下几个方面:
3.1 实施终端安全,规范终端用户行为
在企业信息安全事件中,数字化成果泄漏是属于危害最为严重的一种行为。企业信息安全体系建立前,企业员工对自己的个人行为不规范,造成了员工可以通过很多方式实现信息外漏。比如通过U盘等存储介质拷贝或者通过聊天软件传递企业的核心数字化成果。对于这类高危的行为,我们在建设安全防护体系时,仅仅靠上网行为管理控制是不能完全杜绝的。应该当用户接入企业信息化平台前,就对用户的终端系统进行安全规范检查,符合企业制定的终端安全要求后再接入企业内网。同时配合上网行为管理的策略对员工的上网行为进行审计,使得企业员工的操作行为符合企业制定的上网行为规范,从终端用户提升企业的防护水平。
3.2 建设安全完善的VPN接入平台
企业在信息化建设中,考虑总部和分支机构的信息化需要,必然会采用VPN方式来解决企业的需求。不论是采用SSL VPN还是IPSecVPN,VPN加密传输都是通用的选择。对于分支机构可以考虑专用的VPN设备和总部进行IPSec连接,这种方式更安全可靠稳定。对于移动终端的接入可以考虑SSL VPN方式。在这种情况下,就必须做好对于移动终端的身份认证识别。其实我们在设备采购时,可以要求设备商做好多种接入方式的需求,并且帮助企业搭建认证方式。这将有利于企业日常维护,提升企业信息系统的VPN接入水平。
3.3 优化企业网络的隔离性和控制性
在规划企业网络安全边际时,要面对多个部门和分支结构,合理的规划安全网络边际将是关键。企业的网络体系可以分为:物理层;数据链路层;网络层;传输层;会话层;表示层;应用层。各体系之间的相互隔离和访问策略是防止企业信息安全风险的重要环节。在企业多样化网络环境的背景下,根据企业安全优先级及面临的风险程度,做出适合企业信息安全的防护策略和访问控制策略。根据相应防护设备进行深层次的安全防护,真正实现OSI的L2~L7层的安全防护。
3.4 实现企业信息安全防护体系的统一管理
为企业信息安全构建统一的安全防护体系,重要的优势就是能实现对全网安全设备及安全事件的统一管理,做到对整个网络安全事件的“可视、可控和可管”。企业采购的各种安全设备工作时会产生大量的安全日志,如果单靠相关人员的识别日志既费时效率又低。而且不同安全厂商的日志报表还存在很大差异。所以当安全事件发生时,企业管理员很难实现对信息安全的统一分析和管理。所以在企业在构建信息安全体系时,就必须要考虑安全设备日志之间的统一化,设定相应的访问控制和安全策略实现日志的归类分析。这样才能做到对全网安全事件的“可视、可控和可管”。
4 结束语
信息安全的主要内容就是保护企业的数字化成果的安全和完整。企业在实施信息安全防护过程中是一个长期的持续的工作。我们需要在前期做好详尽的安全防护规划,实施过程中根据不断出现的情况及时调整安全策略和访问控制,保证备份数据的安全性可靠性。同时全体企业员工一起遵守企业制定的信息安全防护管理规定,这样才能为企业的信息安全提供生命力和主动性,真正为企业的核心业务提供安全保障。
参考文献
[1]郝宏志.企业信息管理师[M].北京:机械工业出版社,2005.
[2]蒋培静.欧美国家如何培养网络安全意识[J].中国教育网络,2008(7):48-49.
作者简介
常胜(1982-),男,回族,天津市人。现为中国市政工程华北设计研究总院有限公司工程师。研究方向为网络安全与服务器规划部署。
主题词:事故连安全管理控制
01发电企业传统安全管理上存在的不合理性版权所有!
发电企业的产品电能作为一种特殊的商品,产、供、销同时完成,在电力供不应求时期,电力生产中的任意故障引起少发电都会对电能质量:电压和频率产生影响,并可能引起对电力用户顾客的少供电而使顾客造成直接经济损失,因此强调电力生产中的安全始终是第一位的,只有电力生产的安全可靠,才能带来全社会安全与经济。
随着电力体制改革的不断深入,电力供需矛盾日趋缓和,电力供应已初步形成市场经济,电力法明确规定电网运营(调度)和发电企业是两个独立的经济实体,即厂、网不再是同一行业的经济共同体,而是两个经济实体之间的企业行为,作为发电企业在经济效益许可条件下,首先要确保自身安全许可,依靠发电企业信誉、产品质量、优质竞价争取多发电;而电网运营则应有足够备用容量,在电网经济与安全许可范围内允许某些发电企业在某一时段多发电或少发电,直至不发电(调停),这是市场机制下,合同约束的企业行为。
随着我国关贸体制改革,加入wto所带来的机遇与挑战,全球经济一体化加快,国际市场进一步开放,信息技术迅猛发展,市场竞争日趋激烈,发电企业如何走向世界,如何与国际先进的安全生产管理模式接轨,并能得到国际国内各类企业认可或认同,是关心安全生产的当代贤士探讨的课题。
电力供应不足时期,发电企业应尽可能多发无功来满足监控点电压,随着电网容量的不断壮和特高压、超长远距离输电线路的投运,电网在轻负荷时,发电企业必须吸收无功,进相运行来确保监控点电压质量;发电企业因设备可维修性(设备异常)随时可能引起10%的少发电数小时;电力设备的保护正确动作是确保安全(电网或设备本身)切除故障,发生上述情况传统意义上是不安全的,是事故。但市场经济下,电网运营随时能让这一发电企业的负荷突变3050%(agc投运),直至调停一台机组,后者是正常的市场行为,在合同约束范围内,则仍是安全的。前者无疑会出现目前的“一流发电企业”发出合格质量的电能(电压和频率仍能满足要求),恰是不安全的企业(调规规定),毫无疑问,传统安全管理不能确切地反映一个发电企业的安全管理水平,传统意义上的安全,很难获得国际国内企业及其它行业的安全管理认同,这不能不引起发电企业决策者的警觉,采用先进的安全生产管理模式,提高发电企业的安全管理水平是当务之急。
02企业安全与事故的致因分析
国际标准化组织(iso)把安全定义为:将伤害对人或损坏(对物)的风险限制在可接受的水平状态。显然,根据这一定义,表明发电企业不可接受的风险水平状态即是不安全的,反之是安全的,由此可知,不同的发电企业接受风险水平的能力不同,它与发电企业规模和在电网中位置有关。安全是相对的,不是绝对的,对于一个发电企业经过风险评价,分析风险源或事故危险源(点),确定了不可接受的风险,采取必要的安全技术措施,将不可接受的风险降低至可容许的程度,使得人和物避免遭受到不可接受风险的伤害,从而提高了安全管理水平。
iso定义事故为造成死亡、职业相关病症、伤害、财产损失或其它损失的意外事故,造成或可能造成事故的事件。事故是意外事件,它是出乎人们的意料之外,不希望看到的事情,导致事故发生的原因是事故的致因因素,事故致因的因果分析原理、方法有多种形式,最能反映现代安全原理、观点的事故因果连锁如博德的事故因果连锁(多米诺骨牌)如图(一)所示。
图中表明,发电企业发生事故的直接原因是人的不安全行为和物的不安全状态(俗称设备异常、设备缺陷),具体到每个人,则个人原因和工作条件对不安全行为的出现和处理设备缺陷、异常的能力不同,发生事故的机率不相同,图中,强调安全管理对每个员工的事故起因至关重要,管理失误,安全管理处于松懈状态,失去对人的安全管理控制,无疑将增加事故发生的概率。
许多工业企业,在现代安全系统(系统是指相互关联或相互作用的一组要素)工程中采用“人失误”这一术语,按照系统安全的观点,人在发电企业的整个生产过程中也是构成系统的一种元素,当人作为一种系统元素发挥功能时,会发生失误。人失误表明人的行为结果偏离了规定的目标或超出了可接受的阶限,并产生了不良的后果。安全管理就是要使人的不安全行为和物的不安全状态处于受控状态,从而减少多米诺骨牌倒牌的可能性,使事故连锁中断,减少事故的发生,避免伤亡和损失。
03发电企业的现代安全系统管理
iso对领导企业的成功运作指明了企业需要采用的一种系统透明的方式进行管理,针对所有相关方的需求,实施并保持持续改进其业绩的管理体系,最高管理者可以遵守管理八项原则(顾客为关注焦点、领导作用、全员参与、过程方法,管理的系统方法、持续改进、基于事实的决策方法、互利的供方关系)来指导工作,现代科学管理的重要特征是公开透明的,就是依法管理,管理有依据,有准则;在管理的执行、实施中能提供符合性的证据;并进行必要的监督检查;对查出的异常、不安全、不符合甚至出现的事故,有纠正、纠正措施、预防措施,避免出现已出现的不符合和故障,并防止出现潜在的不符合,从而达到持续改进的目的。iso定义满足规定的要求称为符合(或合格)。
传统的管理模式存在着有理就管,管就有理的人治倾向,人治管理的特征是“上一级”说了算,难以发挥企业全员作用,不能发挥集体智慧,容易造成违章指挥。而现代化的生产仅靠个人智慧是难以想象的,也是不现实的。
发电企业安全生产管理具有现代科学管理的特征,同时又是中国特色的社会主义性质所决定的,我国安全生产的法律法规,明确规定了“安全第一、预防为主”的方针政策,安全第一责任人明确了企业的最高管理者的作用和职能,从中国特色的传统管理中包含着管理生产必须首先管安全、管安全必须首先管人的这一点出发,发电企业主管生产者必须是最高管理者安全管理的当然(管理者)代表。
发电企业安全生产现代科学系统管理如图1所示。企业的安全生产委员会依据国家的法律、法规和主管行业的规定、导则、标准、细则等,进行依法管理,在“安全第一、预防为主”的方针、政策下制定安全管理目标,委托(安全生产)管理者代表组织、实施、落实和目标分解,分解到各生产、职能部门,则有各部门安全第一责任人进行(安全)目标分解,并制定各部门计划、措施,运用企业的各项管理标准,各岗位的工作标准和安全技术措施来规范、约束员工的行为(班组管理略)。
3.1控制人为失误
著名的安全学专家皮特森(petersen)在人失误致因分析中提出了决策失误、过负荷、人机学方面存在问题是发生事故的致因重要因素,并提出了企业领导高度评价企业的员工(具体工作的执行层),肯定员工的个人价值和存在价值,同事互相帮助、关心、督促,并有稳定的工作岗位,减轻同事间的互存压力,能使员工的逻辑决策正确率提高;员工个人的性情、精神得到轻松、释放,也能减少下意识发生失误的倾向,提高决策的正确性;对从事的岗位工作进行超前的事故预想,有事故前的思想准备,同样也减少决策失误。
人的过负荷失误具体反映在人的身体健康、精神状态;工作压力和疲劳、药物和酒的作用;作业的动机、态度、兴奋程度和生物节律;对完成任务的信息、担心和危险性的考虑等所产生的生理心理上的过负荷能力,人过负荷容易引起人的失误而造成事故。
人的才能应适应岗位职业的能力,但能力过强或过低都能引起人失误而造成事故,这是因为能力低于实际岗位要求,他没有能力正确处理岗位上可能出现的各种信息而不能胜任工作产生失误;而能力过高时,精神松滞紧张度过低,产生对岗位工作的厌倦情绪,粗心意、没有工作责任心,同样容易发生人的失误。这里强调了能力过低的人要加强培训和能力强的人必须有较高的责任心。
发电企业的人失误主要表现为决策失误和过负荷失误两类,控制人失误的具体措施为规范人的行为规范,制定各项工作的管理标准和各岗位的工作标准,对各岗位进行动态管理,择优上岗、持证上岗;管理职能部门加强安全点检、质量点检的工作力度,增强人的安全意识、责任意识,并创造一个和谐的工作环境和良好的干群、员工间的人际关系,使员工为树立企业形象保安全作贡献,有荣誉感、使命感、责任感,保持员工有最良好的精神状态,为所做工作作出正确的判断,减少工作中的失误,避免生产中不安全的事件发生,确保企业的整体利益不受损害。
3.2控制物的不安全状态
发电企业物的不安全状态具体表现为运行中的设备异常和设备缺陷,而加强运行管理、严格执行巡回检查制度和设备定期切换、试验、维护制度,及时发现设备异常动态,及时调整参数,把不安全状态消灭在萌芽状态,抑制物的不安全状态出现。设备异常和存在的缺陷要及时联系检修修复,质量点检要把好检修质量关,三级点检起重要作用,做到小缺陷不过班,缺陷不过日,重缺陷轮岗换班检修不离岗,紧急缺陷随叫随到,并利用机组节假日、调停进行设备的重点检查与治理,确保运行设备完好率达到100%。由此可知,控制物的不安全状态的发生,人是重要的影响因素。
3.3安全生产检查与安全点检
企业制定安全目标,分解落实到各部门和各班组,并制定相应的实施措施来保证,这些部门和班组在执行和实施中效果如何,是否真正落实到具体的安全生产日常工作中去,必须进行安全监督检查。
发电企业的安全检查应注意效果,传统的安全检查频次多,流于形式,走过场。安全检点应做好日常工作中的安全点检,根据各专业、季节特性、节假日前后进行不定期抽查,检查的重点对象是作业现场中物的不安全因素和人的不安全行为,其目的是及时发现不安全因素,以便采取纠正和纠正措施。
安全点检主要有安全监察网络成员负责进行,对于职能部门的专责安全点检员,日常检查应有计划、有重点、有周期进行,而针对具体项目必须是标准化、规范化的检查,有依据、有评判标准,检查必须设置安全检查表,它是规范化、程序化、标准化的重要标志,例如按周期对部门安全工作的符合性检查时,检查表中表明有哪些安全工作符合性的证据,检查表编制有安全点检人员、专业管理人员和实际作业人员共同进行,以使检查依据、评判标准得到共同认可。发电企业自身条件各不相同,但通常应规定检查项目(内容)、检查方法或评判标准、结果确认、评分(或是否来打分)以及其它关注的事件。
针对季节性的安全检查,应查明是否有具体措施以及员工对这些措施的认知熟悉程度,而不是停留在档案保存上,应敷检查上。
3.4安全评价
发电企业安全性评价是借助国外先进的安全管理“风险评估”模式进行的,是与国际先进的安全管理接轨的具体体现。贯彻“安全第一、预防为主”的方针,就是要在预防上下功夫,注重安全基础就是要对事故进行超前控制,安全基础是保证安全生产必须具备的人员、设备、环境、管理等方面的基本条件,即人、机、环境、管理四者安全品质的优化匹配。
发电企业安全评价是通过对生产设备、安全管理、劳动安全和作业环境三个方面进行查评诊断,对安全生产的危险性进行定性和定量评估,查出可能引发的危险因素,评估出发电企业安全基础的现状和水平,揭示预知和掌握客观存在的危险因素及其严重程度,采取相应纠正、预防措施,实现超前控制,寻求最低的事故率和最小的事故损失,达到最优的安全投资效益。版权所有!
发电企业安全评价的最佳方式应是结合安全检查的自查自评与外来专家相结合,自查自评的目的是发动群众,全员参与,提高企业员工的安全素质,同时又能看到安全生产现状存在的不足,为纠正、整改、预防工作打下基础,提高企业自身的安全管理水平。为防止“当局者迷,旁观者清”和本企业上下级存在情面以及老难问题的特点,引入外来和尚(外来专家)好念经的事实,比较公正、公平,而外来专家具有权威性,见多识广,检查认真,深入细致,不会影响实际评价的公平、公正性,这在许多发达国家企业引入第三方认证是相近的,目前许多先进的发达国家企业和我国的部分企业已开始实施ohsas18001职业安全卫生管理体系的认证,发电企业的安全评价年度不宜过多,一次为宜,在安全生产出现滑坡时可适当增加安评的次数。
3.5发电企业的危险源(点)评估
评估发电企业的事故危险源或危险点是客观存在的,避免这些危险源完全不发生事故的可能性也是不现实的,但对可能发生的事故必须制定相应的应急措施和事故预案,以便即使发生事故,能有组织有条不紊地进行事故处理,以防止事故扩,减少事故发生的损失。
应急措施和事故预案应包括企业的领导小组,工作小组,应急突击人员、通讯联系、医疗卫生保健、应急物资准备、交通运输等,发电企业的应急措施和事故预案主要有:防风、防冻、防滑、防汛、防小动物、防火、防震、防暴、防高低温、防全厂停电、防轴弯曲、防超速以及计算机防病毒、防干扰等,应急措施、预案是安全学习和活动的重要内容,也是安全检查工作的重点。
3.6安全业绩评审
安全业绩评审是由安全生产管理者代表领导下的工作小组,进行全面审核发电企业的安全质保体系、安全监察网络、质量点检网络、技术监督网络及危险点控制网络的安全工作业绩,审核依据为国家的法律法规,主管行业的规定、导则、标准以及本企业的管理标准、工作标准、规程、制度等,对全年安全工作管理、安全措施,各种预防措施、纠正措施、应急预案、安全评价和安全检查中查出问题的整改等作全面的审核评定,评审前从发电企业各职能管理中收集量的信息,信息企业的质量点检、安全监察、技术监督、可靠性管理等,对全年发电企业发生的重不安全情况进行分析、统计,找出发电企业安全工作中的不足和差距或未能实现安全目标管理的原因或提高安全目标管理水平的潜力所在,审核结论或审核发现汇总至发电企业的最高管理者,为一下年度安全生产目标制定提供可靠依据和正确决策,进入新的一轮pdca循环的起点,实现发电企业安全管理工作的持续改进,从而不断提高发电企业的安全生产管理水平。
安全业绩评审在多数发电企业实际安全管理工作中存在,但缺少这一管理程序并很难提供这一方面的符合性证据,这必须引起重视。
04现代安全生产系统管理综述
安全生产是人类进行生产活动的客观需要,是文明进步的必然趋势,是企业管理永恒的主题;安全是企业的生命线,是企业争取效益的前提,也是企业素质、形象的综合反映。
目前信息化网络以其开放性、交互性给人们带来方便的同时,也带来了诸如计算机病毒、木马等安全风险。企业档案不同于一般信息,具有特殊性,一方面是保密要求,必须保证档案信息不能泄露,另一方面必须保证特定范围人员拥有特定的调阅权限,具有排他属性。一旦企业档案被非法窃取、篡改或删除,将给企业带来难以估量的损失,这就要求企业档案信息化建设工作要格外重视信息安全问题。企业档案信息化安全的内涵包括以下三个要素:机密性,非授权人员不得使用;真实性,电子档案与纸质档案内容必须一致;稳定性,保证电子档案内容无法随意删改。
1.企业档案信息化建设面临的安全威胁
1.1计算机病毒、木马威胁
随着互联网的发展,诸如“蠕虫”、“熊猫烧香”等病毒木马程序也在网络中传播扩散,造成的破坏和损失在所有安全威胁中居首位。计算机病毒不仅可以通过短时间内重复发送大量无意义数据造成网络通信拥堵,还可以破坏服务器系统文件从而造成系统数据和文件系统破坏,如果造成重要档案数据的丢失那么损失将是灾难性的。
1.2企业信息化网络构建的物理安全威胁
物理网络安全是企业信息化网络安全的基础。档案信息网建设中,由于基础网络系统弱电性,在物理网络的搭建中,需要考虑对网络设备进行防护,避免漏电、火灾和雷击。
1.3操作系统及档案信息应用系统的安全风险
不论是微软公司的视窗操作系统还是其它任何商用UNIX操作系统,其开发公司均留有“后门”,均有被恶意访问的风险,不存在绝对安全的操作系统,因此在选择供应商时,不仅要尽可能保证操作系统和硬件平台稳定可靠,还必须根据本企业的需要对系统进行安全配置,加强登录服务器过程中的认证手续,确保访问用户的合法性,严格限制访问者的操作权限,将其能够进行的操作限制在必须的范围内。档案信息应用系统本身的稳定性、安全性能否得到保证不仅关系到企业档案能否顺利通过信息系统实现有效利用,还关系到档案信息机密不被泄露、篡改和删除。
1.4档案管理体系的安全漏洞
如果没有严格的管理体系,任何先进软硬件安全方案都不能发挥其应有的作用。管理混乱、制度不健全或缺乏可操作性都是发生档案信息化管理安全问题的潜在危险因素。因缺乏有效的网络安全管理制度或未按制度执行,使本企业档案信息化网络在受到黑客攻击时不能及时进行预警、监控及防御从而造成机密泄露、数据损毁。因企业档案信息化网络日常管理松懈,可能造成档案信息化录入错误而导致电子档案与原始档案不一致给档案利用制造困难,还可能因档案利用过程中异常操作而导致电子档案数据破坏。
2.档案信息化建设的安全对策
2.1档案管理人员及档案信息化利用人员安全意识的培养
即使档案信息安全系统安全设计再完善,如果管理员、信息使用者没有严格按规范执行,那么再先进的加密手段也只能沦为摆设。档案信息系统归根到底仍然需要管理人员建立和维护,需要企业相关人员加以利用,因此在档案信息化应用过程中发生的各种问题或多或少都与人有关。因此,在档案信息化建设过程中,必须认真通过培训教育有关人员,使之认识到信息安全的重要性、严肃性,提高认识防范蓄意或者疏忽造成危害信息网络安全事件发生的概率。根据不同的职位,给予相应的档案信息使用权或管理权限。同时对于档案信息网络管理者和使用者的权限实行动态管理,定期核实人员岗位变动、升职或离职等岗位变动情况,并进行相应的权限调整,避免无关人员接触相应机密内容。进行宣传教育,要求相关人员选用复杂密码,对密码长度及组合复杂度要有必要规定(如密码长度不少于8字符,且必须英文、数字混杂等),减少被黑客暴力破解的几率,要求在使用电脑或在自己办公电脑查阅相应档案时信息内容不会被无关人员偷窥等。
2.2建立切实可行的电子档案信息管理制度
明确信息化档案录入人员的责任,制定奖惩制度控制录入错误频率,同时企业还要建立完善的电子档案录入复查机制,在电子档案录入数据库时,要对其进行全面仔细的核查,确保电子档案内容与原始档案保持一致。建立完善的电子档案的存储制度,非档案管理员不得获得删改档案的权限,同时管理员的每次删改行为也必须有案可稽,保证可追溯性。加强电子档案信息使用管理,避免因误操作删改信息或将病毒、木马程序导入档案信息数据库。建立完善的电子、纸质介质双重保存制度,虽然信息化管理给档案存储、利用带来便利,但电子档案同其他数字信息一样易受到木马病毒等安全隐患影响,纸质档案以其特有的稳定性是电子版无法替代的,不易修改,保存期限长、档案信息可靠性较高等,同时纸质档案所具有的法律效力也是电子档案所不具备的,因此纸质档案还是必须保留的,纸质档案作为企业的原始信息,以保证档案的真实性,电子档案更倾向于档案日常管理、利用,两者结合共同为企业经营活动服务。
2.3电子信息安全技术在企业档案信息化管理中的应用
2.3.1物理防范措施
设置UPS不间断电源,以保证电子档案信息服务器及网络电力供应,针对信息化网络电器属性,设置防火报警系统等。
2.3.2杀毒软件及防火墙的应用
针对企业内部网络统一采购正版企业版杀毒软件,并实行由服务器统一更新病毒数据库。建立企业局域网络防火墙,从源头隔绝外部网络非正常访问,从而最大限度的减少黑客网络攻击。
2.3.3设置档案信息网络访问权限
对用户访问档案信息数据库的权限进行严格的认证和控制。使用动态验证系统,数字身份认证系统,控制访问目录和访问文件权限。
2.3.4使用数据加密系统
加密是保护网络传输数据安全的重要手段,首先对网络中传输的数据进行加密,到达目标电脑后再还原为原始数据,防止非法用户截获后盗用档案信息。
2.3.5物理断网
关键词:企业信息安全;信息安全体系;IT技术
中图分类号:F840文献标识码:A文章编号:1009-2374(2009)05-0072-02
当前IT已成为企业业务发展和管理不可或缺的组成部分,其作用和影响力已从单一的业务部门扩散到企业与组织的每一个领域。在IT系统给企业带来活力、利润和竞争力的同时,也给企业增加了风险。因此如何充分利用IT系统获得企业价值的最大化,并且最大限度地降低利用IT技术而带来的风险,成为每个企业都必须要真接面对的问题。本文从企业信息安全的需求为出发点,构建以管理、技术和人员三者有机结合的立体的企业信息安全管理体系,最终实现企业安全建设的最终目标。
一、信息安全管理体系
从企业的内部分析,搭建一套完整的安全架构首先要做的就是根据企业能够承受的风险水平编写企业安全规范。编写企业的安全规范首先要遵循BS 7799-2信息安全管理体系的标准,标准要求组织通过确定信息安全管理体系范围、制定信息安全方针、明确管理职责、以风险评估为基础选择控制目标与控制方式等活动建立信息安全管理体系;体系一旦建立组织应按体系规定的要求进行运作,保持体系运作的有效性;信息安全管理体系应形成一定的文件,即组织应建立并保持一个文件化的信息安全管理体系,其中应阐述被保护的资产、组织风险管理的方法、控制目标及控制方式和需要的保证程度。
BS 7799-2:2002所采用的过程模式如:“计划-实施-检查-措施”四个步骤,可简单描述如下:
计划:依照组织整个方针和目标,建立与控制风险、提高信息安全有关的安全方针、目标、指标、过程和程序。
实施:实施和运作方针(过程和程序)。
检查:依据方针、目标和实际经验测量,评估过程业绩,并向决策者报告结果。
措施:采取纠正和预防措施进一步提高过程业绩。
以上四个步骤成为一个闭环,通过这个环的不断运转,使信息安全管理体系得到持续改进,使信息安全绩效(Performance)螺旋上升。
二、企业信息安全体系架构
根据BS 7799-2信息安全管理体系的标准,不同的企业对信息的安全需求不同,因此每个企业都要制定切实可行的信息安全架构,不是照搬照抄其他企业的模式,或是把各种安全产品进行堆砌,说到底企业的信息安全问题不只是技术上的问题,它是一个极其复杂的系统工程。要实施一个完整信息安全管理体系,至少应包括三类措施:一是社会的法律政策、企业的规章制度以及信息安全教育等外部软环境;二是信息安全的技术措施,如防火墙技术、网络防毒、信息加密存储通信、身份认证、授权等;三是审计和管理措施,该方面措施同时包含了技术与社会措施。这些措施应该均衡考虑企业在保密性(C)、完整性(I)和可用性(A)三方面的安全需求,并且从应用安全、数据安全、主机安全、网络安全、桌面安全和物理安全等六大安全领域全面系统地实现企业的这些安全需求,从而构建安全技术、管理和人员三个方面有机结合的企业信息安全保障体系如图1所示:
该模型是一种从企业信息安全的需求(保密性、完整性、可用性)为出发点,以应用安全、数据安全、主机安全、网络安全、桌面安全、物理安全为关注重点,层层剖析全面深入地挖掘企业的信息安全需求,构建以管理、技术和人员三者有机结合的立体的企业信息安全保障体系。
这种企业信息安全管理架构的规划融合了管理和技术为核心的全面分析方法,以安全需求为焦点,从管理现状、技术现状和人员状况三个维度,综合采用调查问卷、人员访谈、现场察看、资料分析、技术检测等多种手段,全面深入地挖掘需求。在明确需求的前提下,还要借鉴同类企业成功经验,再规划出符合企业实情的信息安全保障体系。
当然该安全体系架构的具体实施还要综合考虑如下问题:成长型企业一方面要节约成本,一方面要把安全风险降到最低。从这两个出发点出发才能够建立适合成长型企业的信息安全体系;计划阶段要评估自己的信息资产,自己的信息资产的价值有多大,现有的安全手段是什么,根据评估结果确立安全战略;开始建立和实施自己的信息安全体系,拟定自己的战略流程;对员工和合作伙伴的培训,建立信息监测和安全的手段。
三、实施信息安全架构的常规操作
在保证物理安全、桌面安全、网络安全、主机安全的基础上,信息安全架构的常规操作包括数据层保护、应用程序层保护、事件应对检查和安全操作。
数据层保护包括用EFS对文件进行加密;用访问控制列表限制数据;从默认位置移动文件;创建数据备份和恢复;用Windows Rights Management Services保护文档和电子文件等等。
应用程序层保护包括只启动必需的服务和功能;配置应用程序安全设置;安装应用程序的安全更新程序;安装和更新防病毒软件;以最低权限运行应用程序等等。
事件应对检查包括确定正在遭受攻击;确定攻击类型;发出有关攻击通知;遏制攻击;采取预防性措施;将攻击情况记录存档等等。
安全最佳做法包括深层防御;设计时考虑安全;最低权限;从过去的错误中学习;维持安全级别;加强用户的安全意识;开发和测试事件应对计划和过程等等。
四、结论
综上所述,企业要做到以信息为中心的安全,必须做到管理层面、组织层面和操作层面的有机结合,这样才能建立有效的安全体系,从而实现企业安全建设的最终目标。
参考文献
[1]梁永生.电子商务安全技术[M].大连理工大学出版社,2008,(4).
[2]Mark Rhodes-Ousley,等.网络安全完全手册[M].北京:电子工业出版社,2005,(10).
[3]卿斯汉.密码学与计算机网络安全[M].北京:清华大学出版社,2001.
【关键词】电力企业信息安全管理;组织管理;失误因素
1 电力企业信息安全管理中组织管理失误的分析方法
电力企业信息安全管理中的组织管理失误分析法(英文:Cognitive Relia-bility andErrorAnalysisMethod,即CREAM),是可靠性分析法的典型代表,具有追溯分析功能。通过CREAM的应用,可以将失误事件的外在表现形式称为失效模式,并且将引起这些失误事件的直接原因定义为前因。实践中,前因可分为具体的前因、一般性前因,CREAM分析法是以失效模式作为出发点。首先,通过分析失效模式的一般前因、具体前因,得到失效模式前因表,在表中选定一个前因作为后果,然后分析引起这一后果的可能前因,最终得到包含这一后果、可能的前因追溯表;再以该可能前因为后果,分析可能的前因,通过连续不断的寻找,最终找到引起事件失误的根本原因。
2 在电力电力企业信息组织管理过程中,开展多项管控措施、分三步走
第一步,从思想上加强重视。实践中,应当认真学习贯彻违规外联、外网邮箱发送的要求,严格按照“业务工作谁主管,保密工作谁负责”以及“统一领导、分级负责”的原则,将信息安全保密职责有效地落实到人,让每个员工熟悉、掌握保密工作的基本要求和规范。
第二步,深入检查,全面整改。实践中,应当严格按照检查内容检查,一定不能留死角、搞形式。在检查中发现的问题,要立即纠正,认真整改,对存在严重问题的单位要监督整改,并组织复查;发生泄密、违规问题时,一定要严肃查处,必要时还要追究责任人的责任。
第三步,严格管理,务求实效。要进一步落实保密工作责任制,坚持标本兼治、系统治理,把检查活动与日常保密工作安排结合起来,边检查边整改,以查促管、以查促改、以查促教、以查促防,确保检查取得实效。
3 电力企业信息系统安全管理的必要性
电力企业信息系统安全管理,是企业在一定范围内建立起来的信息安全目标和方针,并通过努力完成目标。对于电力企业信息安全管理而言,可表示为方法、目的、基本原则和实施过程等要素集合,作为直接的信息安全管理结果。2014年8月,某技术质管部专责高某通过电子邮箱将创新成果--《电力设计企业基于桌面云技术的信息》以附件形式经压缩、更名后在没有经过加密的情况下,发送到某部门专家评审组;由于附件内容出现“保密”等敏感词,该邮件被公司外网邮件拦截系统拦截。经现场查实,邮件均不涉商业秘密,但违反了“工作邮件只限于公司内网邮箱发送”规定。由此可见,电力企业信息系统安全管理工作非常重要,也非常有必要。通常情况下,电力企业信息安全管理工作主要包括制定信息安全管理的策略,合理、科学的对电力企业信息安全工作进行组织管理,具有非常重要的作用。电力企业应当提高全体员工的信息安全意识,加强电力电力企业信息内外网安全管理。第一,内、外网电脑都必须安装三种软件,即北信源、天以及趋势杀毒。软件有内、外网版本之别,而且客户端也不同;第二,遵守专机、专网之规定,内网电脑不能与外网相连接,外网电脑不能连接内网,家用电脑不能接入内网使用,尤其是来历不明、使用背景不明的电脑,一律禁止接入内网系统。
4 电力企业信息安全管理中组织管理常见失误
近年来,随着市场经济体制改革的不断深化,虽然电力企业信息安全管理水平有了很大程度的提升,但电力企业信息安全管理过程中依然存在着一些问题与不足,总结之,主要表现在以下几个方面:
第一,信息安全措施和技术手段不成熟。对于大多数企业而言,在信息系统建设过程中欠缺完善的安全手段和措施,严重影响了安全措施的制定与执行。
第二,电力企业信息安全风险控制不到位。实践中可以看到,很多企业在信息化规划与建设过程中,对信息安全的前期分析比较欠缺,将分析对象主要集中在技术层面研究上,很难有效解决企业安全信息系统操作失误、缺陷与不足等安全问题。
第三,信息安全意识不强,缺乏有效的安全管理机制。对于部分企业领导层而言,对信息安全的重视不够,对潜在的各种风险和安全隐患问题分析不到位。
5 电力企业信息安全管理体现构建的有效策略
基于以上对当前企业安全管理中的问题分析,笔者认为要想减少和控制电力企业信息安全管理中组织管理失误现象, 应当根据企业实际生产运营状况,以IS027001信息安全管理体系标准为基础,从组织、技术、管理以及运行和监督这等方面入手,对现有的信息安全管理架构进行改进和完善,增加运行、监督环节。
5.1 提高对电力企业信息安全的认知度
针对企业员工对信息安全知识掌握不足的现状和问题,通过宣传、教育和培训等方法,提高企业全体员工对信息安全的认知度。首先,加强信息安全宣传教育。电力企业信息安全宣传的目的在于让全体员工清楚地认识到信息安全管理工作的重要性,了解信息安全管理目标,以此来提高企业员工的信息安全管理意识。
5.2 建立健全信息安全审计机制
内部审计是对电力企业信息安全管理体系建设与实施情况的评价,定期组织审计活动,以此来促进安全管理体系的改进与完善。企业的信息安全政策、规范制度是信息安全管理工作得以有效开展的重要依据,因此审计工作的主要内容是检验信息安全标准的符合性、执行情况。在审计过程中,主要包括如下内容,即检验是否按照要求制定规章制度、执行细则;检验员工对的规章制度执行状况,对审计结果的整改落实情况进行核查;同时,还要对信息安全控制措施的应用效果进行全面检查,确保评估的有效性。
5.3 建立和完善信息安全风险管理制度
信息安全风险,即威胁利用系统弱点对相关信息资产造成破坏、损失的可能性,信息系统安全与否,主要取决于其风险是否己在现有措施条件下实现了最小化,而非绝对没有风险。
1.1电子信息的加密技术所谓电子信息的加密技术也就是对于所传送的电子信息能够起到一定的保密作用,也能够使信息、数据的传递变得更加安全和完整。电子信息的加密技术是保障电子科技企业信息安全的重要保证。加密技术也主要分为对称以及非对称两类,对称的加密技术一般都是通过序列密码或是分组机密的方式来实现的。这其中还包括了明文、密钥、加密算法以及解密算法五个基本的组成部分。而非对称加密与对称加密也存在一定的差异,非对称加密必须要具备公开密钥和私有密钥两个密钥,同时,这两种密钥只有配对使用,这样才能解密。因此加密技术对于电子信息的安全具有很大的保障。如果在发送电子信息的时候,发送人是使用加密技术来发送邮件的,那么有人窃取信息的时候,也只能够得到密文,不能得到具体的信息。这样就大大加强了信息传送的安全性。加快推进国内关键行业领域信息系统的安全评估测试。在安全评估方面,主要针对主机安全保密检查与信息监管,采取文件内容检索、恶意代码检查、数据恢复技术、网络漏洞扫描、互联网网站检测、语意分析等技术,评估分析重要信息是否发生泄漏,并找出泄漏的原因和渠道。
1.2防火墙技术随着网络技术的不断发展,虽然对于信息安全问题已经不断的得到加强,但是一些信息的不安全因素也在逐级的提高。有一些黑客或者是病毒木马也在不断的入侵,而这些不安全的因素会极大的威胁到电子科技企业信息的安全。而针对这种情况,一种比较有效的防护措施就是防火墙技术的使用。这种技术可以有效的防止黑客的入侵以及电脑中的信息被篡改等情况的发生。这样就能够有效的保障电子科技企业信息的安全。加强企业信息基础设施和重要信息系统建设,建设面向企业的信息安全专业服务平台。重点开展等级保护设计咨询、风险评估、安全咨询、安全测评、快速预警响应、第三方资源共享的容灾备份、标准验证等服务;建设企业信息安全数据库,为广大企业提供快速、高效的信息安全咨询、预警、应急处理等服务,实现企业信息安全公共资源的共享共用,提高信息安全保障能力。
2解决电子科技企业信息安全问题的方法
2.1构建电子科技企业信息安全的管理体系如果要想有效的保障电子科技企业的信息安全,除了要不断的提高安全技术水平,还要建立起一套比较完善的信息安全管理体系。这样才能使整个信息安全工作更加有条不紊的进行。在很多电子科技企业当中,最初所建立的相关信息制度在很大程度上都制约着信息系统的安全性。如果一旦安全管理制度出现了问题,那么一系列的安全技术都无法发挥出来。很多信息安全工作也无法正常进行下去。因此,严格的信息安全管理体系对于信息安全的保障具有十分重要的作用。只有当信息安全管理形成了一个完善的体系,那么信息安全工作才能够更加顺利的进行,同时也能够大大的提升信息安全的系数。
2.2利用电子科技企业自身的网络条件来提供信息安全服务一般来说,电子科技企业都拥有自己的局域网,很多企业也可以通过局域网来相互连通。因此,电子科技企业应该充分的利用这一特点为自身的企业提供良好地信息安全服务。通过局域网的连通,不仅能够在这个平台上及时的公布一些安全公告以及安全法规,同时还可以进行一些安全软件的下载,为员工提供一些关于信息安全的培训。这样不仅能够为企业之间的员工提供一个安全的互相交流的平台,同时还能够很好的保障企业信息安全。针对企业主机安全保密检查与信息监管,采取文件内容检索、恶意代码检查、数据恢复技术、网络漏洞扫描、互联网网站检测、语意分析等技术,评估分析重要信息是否发生泄漏,并找出泄漏的原因和渠道。
关键词:信管专业 特色定位 教学体系
一、引言
教育部1998年颁布的专业目录中,将信管专业的培养目标确定为:“培养具备现代管理学理论基础、计算机科学技术知识及应用能力,掌握系统思想和信息系统分析与设计方法以及信息管理等方面的知识与能力,能在国家各级管理部门、工商企业、金融机构、科研单位等部门从事信息管理以及信息系统分析、设计、实施管理和评价等方面的高级专门人才。”从培养目标中不难看出一方面教育部进行专业整合的初衷是为了摒弃以前专业划得过细的做法,把目标转向培养既懂经济管理知识,又懂信息技术的高层次、跨学科的复合型人才上来。它不同于计算机科学与技术专业,也有别于工商管理专业。但另一方面,又由于新专业是由五个专业归并而成的,目录中确定的培养目标只能是具有宽泛性和普适性要求的基本目标,给各个高校的具体操作留下了很大的空间。
由于侧重点不同,信管专业课程体系设置在国内高校中出现了多种方案。2005年以前有主干学科结构、知识模块结构、功能模块结构等七种方案。133229.cOm2005年以后仍然是百家争鸣、百花齐放。对于专业方向,有三、四、两个之划分;对于能力组成,有五项、三项之划分;对于核心课程设置,有十一门、八门、十门之划分。有的认为应以“信息系统的开发与管理”为核心,有的则认为应围绕erp企业资源计划课程。对于知识体系,有五模块、三模块之划分。总之,目前我国信管专业的课程体系多是一种多学科课程的拼盘式组合,没有形成专业自身的专业基础理论体系。
中国计量学院在“十二五规划”中明确指出“要坚持走特色化办学、差异化竞争之路,把特色办学理念贯穿于创建特色鲜明、国内知名的教学研究型大学实践中”。为了进一步巩固发展我校信息管理与信息系统专业,优化该专业的结构,突出该专业建设的特色,需要从信息管理与信息系统专业背景分析入手,结合计量学院的办学特色,对信息管理与信息系统专业特色重新进行定位。
二、专业特色定位
中国计量学院经济与管理学院信管专业是2000年设置的,10多年来专业在学校和分院的指导下取得了一些成就和发展:国家自然科学基金两项、浙江省精品课程一门、浙江省重点教材两部;在学生实践教学中连续两年获得全国电子商务大赛一等奖。但是随着社会和学校的进一步发展,专业的发展面临着许多困难和问题:一是专业定位不明确,特色不明显;二是课程体系设置不合理,课程体系的设置主要是采用“拿来主义”;只注重单科课程设置,忽视课程之间的整合,不少课程内容严重重复,浪费教学时间和教学资源;三是实践环节薄弱,纯理论的课程占的比重过大,实践课程占的比重太小,实践教学明显不足,学生动手能力不强,分析问题和解决问题的能力差;四是专业定位与教学体系之间的吻合度难以考评。
专业建设是普通高等院校主要教学基本建设项目之一,处于教学建设的龙头地位。特色是普通高等院校办学水平的标志,也是学校办学优势的具体体现。办学特色,是一所学校或专业在长期办学过程中积淀形成的,反映在人才培养方面的独特个性和明显优势。它具体体现在学校或专业的办学定位、培养模式、课程体系、教学方法和实践环节等诸多方面,它是学校或专业办学水平和竞争能力的综合反映。
目前国内信管专业的人才培养模式主要有三种:一是以清华大学、同济大学为代表的经济管理模式(即m模式);二是以武汉大学、北京大学为代表的综合性大学的信息资源管理模式(即i模式);三是以中国人民大学和中山大学为代表的侧重于计算机系统导向模式(即s模式)。经过前期多次学科讨论,参照国内外著名高校的经验,我们拟将“信息管理”作为学科定位,以“信息安全管理”作为专业特色定位。这样的专业定位是依靠学校优势学科,以社会需求和学生能力为导向,借鉴国内外办学经验,发挥自身优势,办出特色与水平。中国计量学院是我国质量监督检验检疫行业唯一的本科院校,是一所具有鲜明的计量标准质量检验检疫特色的浙江省重点建设大学。学校坚持“立足浙江,面向全国,依托行业,服务地方”,积极开展科学研究。中国计量学院经济管理学院是中国唯一获得全球首届“iso标准化高等教育奖”的学院,是通过gbt/19001-2000idtiso9000:2000质量管
理体系认证的学院。学院紧紧围绕学校建设国内知名的教学研究型大学的奋斗目标,深入实施“先进的标准,精密的计量,卓越的质量”教学管理方针,坚持以贡献求支持,以特色争优势,以创新谋发展,立足浙江,面向全国,走向世界,使学院成为我国培养质量管理高层次专门人才的摇篮。
三、专业教学体系
培养目标的实现是靠课程体系的整合和设计来支撑的,课程体系直接反映了人才培养的方向,体现知识、能力、素质、市场(就业)和特色五个方面的导向作用。课程是教学之根本,其主要任务在于结合社会对人才的实际需求,依据专业培养的总体目标来设计一套最优的课程体系。信管专业也是一门应用性非常强的专业,其培养目标是应用型、高级的信管人才。纯理论课教学是解决不了动手能力问题的,也无法培养出应用型、高级的信管人才,必须加强实践教学。通过社会实践、认识实习、专业实习、课程设计、毕业设计等一系列环节来锻炼学生的动手能力。信管专业本着专业定位、特色定位从知识、能力、素质、市场(就业)和特色五个方面来设计专业的教学体系。
(一)信息管理
毕业生应具备以下几方面的知识和能力:一是掌握经济学、管理学、计算机和信息管理的基本理论和基本知识;二是具有信息获取、组织、分析、研究、传播与开发利用的基本能力;三是掌握运用现代化技术手段进行文献信息检索、资料查询收集的基本方法和能力,能利用计算机网络采集和信息,具有一定的科研和实际工作能力;四是具备文档管理的能力,包括文档、数据、信息分类管理等;五是具有运用现代的管理方法和手段对与企业或组织相关的信息资源和信息活动进行组织、规划、协调和控制,以实现对企业或组织信息资源的合理开发和有效利用的能力。
毕业生应具备以下几方面的素质:一是胜任力——学习能力和读写能力。不断地、有计划、有组织地学习,不断地追随管理专业的新发展,能用最少的时间,花最小的精力,获得最大量的新知识,并不断地优化自己的知识结构。追踪科技与社会发展的前沿,不断地更新和扩展自己的知识信息,以适应未来社会日新月异的发展变化。具备读写能力,信息管理人员才能实现对信息的收集、存储和传递。二是敏锐感知外部世界的能力——信息获取能力。三是熟练操纵因特网的能力。熟练掌握网络技术,把已获取的新信息通过一定的综合分析、计算、试验操作,最终找出问题,设计解决方案,得出科学结论。四是良好的沟通能力和团队合作精神。五是创新能力。
开设的主要课程:专业主要课程:信息资源管理学、信息存储与检索,信息分析与预测,信息组织学,信息计量学,专业实践课程:统计软件实习,管理软件实习。
就业方向:可以在政府部门或企事业单位的信息管理机构,从事文献和文档管理、信息收集、分析、处理、咨询服务和管理工作等。毕业生经过考试可以成为信息处理技术员、国家信息分析师。
(二)信息安全管理
信息安全管理在当前是全球的热门话题,而建立一个符合国际标准的体系,是大家普遍关注的焦点。建立健全信息安全管理体系(iso27001认证)对企业的安全管理工作和企业的发展意义重大。首先,此体系的建立将提高员工信息安全意识,提升企业信息安全管理的水平,增强组织抵御灾难性事件的能力,是企业信息化建设中的重要环节,必将大大提高信息管理工作的安全性和可靠性,使其更好地服务于企业的业务发展。其次,通过信息安全管理体系的建设,可有效提高对信息安全风险的管控能力,通过与等级保护、风险评估等工作接续起来,使得信息安全管理更加科学有效。最后,信息安全管理体系的建立将使得企业的管理水平与国际先进水平接轨,从而成长为企业向国际化发展与合作的有力支撑。
bs7799标准是全球第一份关于信息安全管理体系的标准,bs7799-1现在已经被采纳为iso/iec27002:2005;bs7799-2也于2005年被采纳为iso27001:2005。该标准当前已被诸多国家采纳为国家标准。截至2007年9月已经有超过4000家组织通过了iso27001:2005的审核,获得了信息安全管理体系认证的证书。
毕业生应具备以下几方面的知识和能力:一是信息安全管理技术能力;二是信息安全管理能力。此主要目的是要求学生了解信息安全及其重要性,认识什么是信息安全管理体系,建立一套信息安全管理体系为何需要iso27001,学会如何建立一套符合企业(组织)需要的信息安全管理制度。
开设的主要课程:计算机安全与技术、网络安全、信息安全管理体系、信息安全风险评估与管理、信息安全管理体系iso27001建立与实施。 
;
就业方向:毕业的学生经过考试获得信息安全管理体系认证证书,可以从事企事业单位信息安全管理。
四、结论
信管专业的特色培育和课程体系建设并非一蹴而就、一劳永逸的工作。为此,我们将建立一套完整的教学质量管理体系,囊括管理机构和人员、管理的规章制度、管理手段和评价指标体系等,其作用是对整个体系中进行信息反馈和控制,评价专业定位、特色定位与教学体系之间的吻合程度。
参考文献:
1、陶雷,莫赞,张立厚.应用型本科“信管”专业课程体系探究及建构实践[j].情报杂志,2010(2).
2、何永刚,黄丽华.信息管理与信息系统专业课程体系研究综述[j].情报杂志,2007(8).
3、cisc2005课题组.中国高等院校信息系统学科课程体系2005[m].清华大学出版社,2005.
4、邓晓红.基于职业能力分析的信息管理与信息系统专业核心课程体系研究[j].中国管理信息化,2009(6).
5、张劲松.信息管理与信息系统专业课程体系创新研究[j].情报杂志,2008(11).
6、张庆华,谭旭红.基于集成化模式开展信息管理与信息系统专业建设[j].中国管理信息化,2009(3).
一、前言
随着时代不断加快的步伐,更多更新的企业都如雨后春笋般迎着科技时代的潮流迅速发展起来。在这之中,企业电子信息无疑是电子科技技术下的领军人物,近年来伴随着我国科技信息行业的发展取得了显著的成就。对于正蓬勃发展的我国经济来说,电子信息企业的崛起很大程度上促进了经济发展与经济结构的良好调整,这也为我国电子信息科技行业的发展取得了长远的进步。
然而,在一片欣欣向荣的繁荣发展景象下我们也不可避免地能看到企业发展中存在的许多问题,在此其中,对于信息企业来说安全防范工作无疑是影响企业发展成功的一重大必须解决处理好的问题。企业的信息安全问题往往能影响到企业发展的各个方面,例如企业未来发展方向的重要决策等。因而在我国电子信息企业快速发展的同时,必须采取合理有效的措施来解决企业的安全防范问题,从而在一定程度上有效规避企业信息安全上的隐患从而促进电子信息企业的进一步发展。
二、企业电子信息安全的简单论述
1.企业电子信息安全防范的意义
近年来,随着计算机等科技技术应用逐渐融入人们的生活,与之相关的科技信息行业也不断发展壮大起来。然而实际上,电子信息技术的发展并不仅?H于此。纵观当今,随着我国电子商务平台等产业的迅速发展,越来越多的传统商务形式都逐渐被当下处于新潮流的电子商务的各种模式所替代。因而可见,在如今信息技术的高效利用与高速发展下,任何企业的生产发展、管理等工作都必然与信息相关。于是,对企业各方面发展都极具重要作用的信息发展的安全防范引起了人们强烈的关注与重视。
对于专营信息技术方面的电子信息企业来说,信息化建设是企业发展的核心。所以,为了确保电子信息企业能在当下日新月异科技企业中长久健康发展下去,电子信息企业在不断创新改进向前推进发展进程的同时,对企业自身信息的安全防范工作也应有着合理高效的计划措施。信息安全的目的本就是保障企业的现有发展的信息不会受到任何不良因素的威胁,使得企业能够朝着更好的方向发展下去。
而对于电子信息企业,信息获取的时效性以及各方面必须具备的高度保密性都是决定企业成败的关键所在。拥有优质信息技术并优先领军开发出高效能的优质应用,无疑是任何电子信息企业正努力追求发展的目标。因而,在此形势下,电子信息产业必须在增强自身科技技术发展的同时更要注重自我信息安全防范的问题。
2.企业电子信息目前存在的安全问题
随着信息时代的悄然到来,信息科技为人们生活带了翻天覆地的变化和生活便利的同时,也在不知不觉中改变了大部分企业的商业架构,更有许多符合发展潮流的新兴企业适时崛起。因而,在一片欣欣向荣的繁荣之景下便随处可见企业间的激烈竞争。企业的安全防范问题引起了人们的充分重视。
当谈及信息安全问题,信息的保密性、完整性、可用性、实用性、真实性以及占有性这六点都是做到有效信息保障的基本要求。然而,不具备高强的安全防范工作措施的企业一旦涉及到以下的几方面情况都极容易遭受到信息泄漏等不良问题。
(1)网民法律意识淡薄
由于网络具备极强的开放性、虚拟性、隐蔽性等特征,人人都能成为网络信息的制造者与传播者。此外,更有不少人借此在虚拟世界里利用自身手段为己牟利。黑客入侵企业系统的事件事件时有发生,不管是商业竞争,抑或是不经意犯错,都体现出了网民对计算机网络犯罪相关法律知识的疏忽与淡薄。
此外,网络资源共享近年来无疑是一个极为火热的行为。动一动手指,即可与世界分享。然而,由于部分网民存在科技保护等法律知识欠缺的问题,分享过程就极容易发生危害相关电子信息企业经济发展等的问题,更造成企业信息安全管理出现大量漏洞的隐患问题,从而在一定程度上阻碍了企业的进一步发展。
此外,网络上广泛出现的虚假信息等不良信息也极容易混淆网民视听,从而误导网民而引发许多对企业不利的群体性攻击事件,更为蠢蠢欲动的犯罪分子入侵盗取企业信息提供给了可窃之机。
(2)信息安全管理技术落后
众所周知,计算机网络里处处充满着未知的不确定性。就拿计算机病毒来说,计算机用户不经意打开恶意网站或是被植入的木马病毒入侵等是计算机操作中常有的事。在此形势下,对此而生的便有许多病毒查杀软件,软件的特意针对性得到了包括大多企业在内的大多用户的认可并广泛加以使用。
然而,正是病毒软件拥有极强的针对性,是专门应对已发生问题而开发,并不能做到完全的即时高效,有着严重的滞后性。对于电子信息企业来说,合理高效的信息安全防护软件能为很好辅助企业的信息安全防护,而不合理不适合的软件却很可能在安全防护过程中起着反效作用。不仅不能带应有的安全防范效用,更让企业的信息安全管理中出现严重的漏洞,严重情况下甚至能引起企业管理系统的瘫痪从而严重阻碍了企业的健康发展。
此外,软件开发者由于考虑到软件常有的更新与维护问题,会有意为更新维护人员留下进入软件内部的小门,因而便为企业的信息安全留下了许多安全隐患。正是网络协议实现的过程充满复杂性,这就容易使得企业的操作管理系统难免不即时而出现许多缺陷漏洞,给网络犯罪分子可乘之机。例如黑客入侵便是基于网络操作系统漏洞对企业操作管理系统的一种恶意攻击,这便是无意间将企业的生命交给恶意分子,从而造成企业的巨大损失。
(3)企业安全管理意识不足
在如今信息技术的蓬勃发展下,电子信息工程发展迅速但因而诞生的行业竞争也尤为激烈。为了充分实现企业利益的最大化,许多企业都存在着只重视企业的生产经营而忽略了与此同样重要的企业信息安全管理问题。在这种情况下,企业没有建立完善高效的信息管理机制便从自身认知上为企业信息安全带来了许多隐患,更体现出企业对此的防范意识极为不足。
此外,正由于企业更重视能充分得利的生产经营,在企业信息安全管理上预警和问题处理方便措施不完善,也容易出现相关人员分配不足,问题解决滞后的情形。而相关人员对安全防范意识的欠缺,也容易导致在安全管理工作上操作敷衍,只做表面功夫。这不仅浪费了企业为此投入的资金和人力,更为企业发展埋下了许多未知的安全隐患。
三、企业电子信息的安全防范方式
从企业信息安全防范层面上看来,信息安全防范的相关工作可归结于两个大的方面,一是能从计算机技术上保证计算机与网络软、硬件信息安全的基于为企业信息管理奠定良好基础的技术方面,二是从企业人员工作管理约束上出发的对信息安全管理机制进行设计完善的管理方面。
1.信息安全技术概述
(1)网络隧道技术
网络隧道技术,顾名思义即通过隧道协议构建出信息隧道从而用来传送信息数据流量包,达到隔绝外来入侵盗取等威胁。主要来说,网络隧道技术是通过计算机等多样网络设备产生的网络数据的流通进行链条式安全管理,也即是隧道数据包安全管理。
在隧道传送过程中,隧道协议会对信息数据流量包进行检测,只有符合协议的流量包才能进入隧道并传输通过。因而便于在出现计算机网络信息安全问题时,操作者能利用这一特性对流量包进行预警和拦截从而实现信息安全的控制与有效管理。
(2)信息加密技?g
信息加密技术即是对客户信息进行安全加密管理,是许多企业在信息数据传输过程中常会采取使用的技术方式。电子信息在加密之后往往能得到很好的安全性与完整性的保护,从而在一定程度上避免了企业信息数据的泄漏。
信息加密技术来源于数字电视信号的加密管理技术,通过加密使得计算机内信息不同于一般代码从而让盗取者难以识别,从而提高了信息安全的隐蔽性和完整性。现今常用的加密技术分为对称型和非对称型两类。对称型加密技术由明文、密钥、加密算法以及解密算法组成,而非对称型加密技术则是与对称型相对应,并包含公开密钥和私有密钥两个组成部分。因而很容易理解的是,就如同钥匙和锁一般,只有配对合适的密钥才能成功解开密码。常常可见的便是企业商务常使用的加密电子邮件,经过加密后的电子邮件在传输过程中遭到了恶意拦截没有合适的密钥也是无法解开密码,从而窃取邮件内容。
(3)防火墙技术
防火墙技术是与加密技术遥相呼应的一门常用技术。防火墙,墙的顾名思义便是从一开始杜绝外来危险攻击,并在最大程度上降低木马病毒等入侵计算机的概率。在计算机网络信息的窃取中最常见的便是黑客攻击计算机系统漏洞从而导致系统瘫痪来充分窃取其信息。可想而知,在此情况下企业信息的泄漏对企业发展必然是严重性的影响,更为企业带来了不可估计的损失。
防火墙技术为此应运而生。用户往往可以根据自身工作种类的不同从而对防火墙设置不同的权限,并时常更新和优化防火墙技术以来不断提高防火墙性能,最后达到维护企业信息安全防范的目的。此外,防火墙还能在发生信息泄漏的情况下隔开一个网络与另一个网络,做到了“网络火灾”下真正意义上的防火墙效用。
(4)身份验证技术
由于虚拟网络将人物信息数据化等,在企业进行商务过程中充满了未知的不确定性,因而人物身份信息的验证对企业商务交易等过程来说也极为重要。
而为此研发出的身份验证技术就是在计算机等网络设备中针对网络使用、信息接收等过程进行身份验证的管理技术方法。身份验证技术基于网络信息来对用户身份进行特殊编码表示,使得计算机与用户进行指令交换时是秘密的身份信息安全交换,成为了企业信息管理的一道重要防火墙。
2.企业电子信息企业安全管理措施
(1)企业应用系统的安全风险评估
保险行业从始至终都是一个兴盛不衰的行业,它所具有的经济安全保障对客户来说无疑是一颗强有力的定心丸,让其心甘情愿吞咽入肚。而对于企业发展来说,对目前应用系统实时进行安全风险的预判、分析与评估也是一份企业保险,作为企业健康良好发展强有力的安全后盾保障。
因此,在信息安全管理过程中也可以利用相似的理论来根据安全风险评估来对可能存在的风险漏洞进行预判分析,时刻关注需要重点保护的企业信息。在详细精确的风险分析后凭借最后结果来选择规避或降低风险的措施与方法,尽可能地拥有高效有力地准备来应对可能出现的信息安全风险。
(2)信息安全技术创新
信息时代日新月异,技术发展的变化常常便有翻天覆地的变化。而对于传播信息最为迅速广泛的虚拟网络来说,攻击窃取企业信息的技术方式也很可能随着时代潮流的变换不断改进而更加多样而充满极具不确定性的变化性。对此企业应不断更新改进原有的信息安全技术,发展创造新的信息安全技术,从多个层面上来对企业信息安全进行立体高效保护。
在技术发展中,资金财力的支持与研发人员资源同样重要。企业对此不仅要优化提高相关技术人员的理论知识和技术操作能力,还要加大技术创新技术上的资金投入来充分实现技术的改进与创新。实际上,在电子信息企业对信息安全防范不断加强下,越来越多的企业也会同样意识到企业信息安全管理的重要性,从而带动出企业发展的远程商机。
简单说来,时代的发展往往建立在创新的基础之上,要想更全方面保证企业信息的安全,就要抓住机会努力创新更新技术时时防患于未然,有效预防可能存在的信息安全隐患从而促进电子信息企业健康长远的发展。
(3)充分应用防火墙技术
在企业的信息安全管理中,防火墙技术无疑是一种极为常见的高效安全技术。防火墙技术能被广泛使用,主要是因为其往往能按照特定的规则来允许限制信息数据的通过。防火墙技术在面对大量信息数据泄漏时能真正做到一面“防火墙”,来隔绝其他一面又一面墙从而来有效阻碍企业信息数据的大范围泄漏。
此外,防火墙还能有效阻止黑客恶意访问用户的行为,从而防止其篡改企业内部信息来保障企业的信息安全。而且防火墙还拥有极强的抗攻击性,这使得它不容易被病毒控制从而导致入侵瘫痪等严重事件的发生。同时防火墙还能将重点保护网段进行隔离保护,更进一步加强了对企业内部信息安全的安全保障。
(4)建立合适的系统信息管理体系
尽管随着科技水平的提高,企业采用的对于信息安全防范的技术软件也多种多样。然而,对于企业信息安全的整体保障来说,构建具有针对性的信息安全管理体系来完成高效的信息数据整理和安全保障也是科学高效发展的良好体现。
企业信息安全管理体系信息安全管理体系的建立,一方面不仅对可能存在的信息安全隐患起到了多方面的安全防范,另一方面还能加强对企业信息的利用,充分实现企业的效益最大化。
然而目前许多电子信息企业却存在着忽略企业信息安全管理体系完善化的问题,这常常就会导致当企业内部信息出现问题时,信息安全防范工作就会因此无法正常运转起不到应有的作用。因此,企业应该结合自身发展与市场的变化发展,构建合适的信息安全管理体系,从而提高信息安全管理的效率。
(5)加强网络管理
在企业内部建立局域网加强企业各部门间联系与工作,是企业在发展管理中常常见到的采取模式。因而在电子信息企业安全管理防范工作中,就可以从利用局域网切入加强信息安全防范工作。
局域网作为企业员工的一个有效交互平台,就可以也用来企业内部信息安全公告和企业相关规则指令等,并使员工都在局域网内进行安全软件的下载,从而有效解决了在外网下载可能出现的安全隐患问题。
就我们所知,局域网具有很强的区域性和安全性,电子信息企业便可以借此加强企业内部的信息安全建设。通过局域网来进行交流,避免了互联网交流可能出现的安全隐患,从源头上有效防止了信息的泄漏。对此,企业也应定期对使用的局域网进行维护与检测,分析数据流动情况来判断是否有遭受恶意入侵窃取等,从而提高企业的信息安全指数。
(6)增强企业信息安全防范意识
在曾有的多次黑客案例可知,有时企业操作系统遭受攻击从而导致的巨大损失往往很可能是安全管理人员甚至是上级领导的大意疏忽加速造成的。此外,企业信息安全防范意?R的不足更体现在遇到安全威胁时,相关人员更容易处于被动应付的局面,而不是从一开始便有的主动防御。
显而易见,企业在注重生产发展与一时的安全技术投资的同时,更要实时完善企业信息安全的管理体系,包括安全技术的管理应用和对员工的安全意识的增强与管理安排。做好做足前期预防措施,而不是问题出现才准备着手亡羊补牢,应拥有一套完整的建立在充分科学有效的风险评估基础上的动态的持续改进的管理方法。
当今是一个网络时代,也是一个科技化快速高速发展的时代。特别是对于电子科技企业来说,信息就成为了一个企业成败的关键。只有通过有效信息的掌握,才能让企业未来的道路越走越好。随着这样的趋势,企业信息化的进程也在不断的发展,信息不仅是在一定程度上掌握了企业未来的命运,同时对于企业管理水平的提高也起到了非常重要的作用。有一些企业的商务活动基本上都是通过电子商务的形式来完成的,还有一些生产运作、运输以及管理都离不开信息化的建设。还有一些电子科技企业为了企业未来的发展,要进行企业形象的宣传,产品以及服务信息很大程度上都要依赖于信息化的建设。如今,信息化的时代已经到来,信息化的建设对于电子科技企业来说具有至关重要的作用,因此电子科技企业应该加快信息化建设的步伐,这样才能促进电子科技企业进一步的发展。
2电子科技企业安全技术的阐述
2.1电子信息的加密技术
所谓电子信息的加密技术也就是对于所传送的电子信息能够起到一定的保密作用,也能够使信息、数据的传递变得更加安全和完整。电子信息的加密技术是保障电子科技企业信息安全的重要保证。加密技术也主要分为对称以及非对称两类,对称的加密技术一般都是通过序列密码或是分组机密的方式来实现的。这其中还包括了明文、密钥、加密算法以及解密算法五个基本的组成部分。而非对称加密与对称加密也存在一定的差异,非对称加密必须要具备公开密钥和私有密钥两个密钥,同时,这两种密钥只有配对使用,这样才能解密。因此加密技术对于电子信息的安全具有很大的保障。如果在发送电子信息的时候,发送人是使用加密技术来发送邮件的,那么有人窃取信息的时候,也只能够得到密文,不能得到具体的信息。这样就大大加强了信息传送的安全性。加快推进国内关键行业领域信息系统的安全评估测试。在安全评估方面,主要针对主机安全保密检查与信息监管,采取文件内容检索、恶意代码检查、数据恢复技术、网络漏洞扫描、互联网网站检测、语意分析等技术,评估分析重要信息是否发生泄漏,并找出泄漏的原因和渠道。
2.2防火墙技术
随着网络技术的不断发展,虽然对于信息安全问题已经不断的得到加强,但是一些信息的不安全因素也在逐级的提高。有一些黑客或者是病毒木马也在不断的入侵,而这些不安全的因素会极大的威胁到电子科技企业信息的安全。而针对这种情况,一种比较有效的防护措施就是防火墙技术的使用。这种技术可以有效的防止黑客的入侵以及电脑中的信息被篡改等情况的发生。这样就能够有效的保障电子科技企业信息的安全。加强企业信息基础设施和重要信息系统建设,建设面向企业的信息安全专业服务平台。重点开展等级保护设计咨询、风险评估、安全咨询、安全测评、快速预警响应、第三方资源共享的容灾备份、标准验证等服务;建设企业信息安全数据库,为广大企业提供快速、高效的信息安全咨询、预警、应急处理等服务,实现企业信息安全公共资源的共享共用,提高信息安全保障能力。
3解决电子科技企业信息安全问题的方法
3.1构建电子科技企业信息安全的管理体系
如果要想有效的保障电子科技企业的信息安全,除了要不断的提高安全技术水平,还要建立起一套比较完善的信息安全管理体系。这样才能使整个信息安全工作更加有条不紊的进行。在很多电子科技企业当中,最初所建立的相关信息制度在很大程度上都制约着信息系统的安全性。如果一旦安全管理制度出现了问题,那么一系列的安全技术都无法发挥出来。很多信息安全工作也无法正常进行下去。因此,严格的信息安全管理体系对于信息安全的保障具有十分重要的作用。只有当信息安全管理形成了一个完善的体系,那么信息安全工作才能够更加顺利的进行,同时也能够大大的提升信息安全的系数。
3.2利用电子科技企业自身的网络条件来提供
信息安全服务一般来说,电子科技企业都拥有自己的局域网,很多企业也可以通过局域网来相互连通。因此,电子科技企业应该充分的利用这一特点为自身的企业提供良好地信息安全服务。通过局域网的连通,不仅能够在这个平台上及时的公布一些安全公告以及安全法规,同时还可以进行一些安全软件的下载,为员工提供一些关于信息安全的培训。这样不仅能够为企业之间的员工提供一个安全的互相交流的平台,同时还能够很好的保障企业信息安全。针对企业主机安全保密检查与信息监管,采取文件内容检索、恶意代码检查、数据恢复技术、网络漏洞扫描、互联网网站检测、语意分析等技术,评估分析重要信息是否发生泄漏,并找出泄漏的原因和渠道。
3.3定期对信息安全防护软件进行及时的更新