前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的企业实习方案主题范文,仅供参考,欢迎阅读并收藏。
关键词:信息系统安全;防火墙技术;防范
随着计算机技术与通信技术的飞速发展,信息安全已成为制约企业发展的瓶颈技术,进而使得企业对信息系统安全的依赖性达到了空前的程度,但是企业在享受着信息系统给公司带来巨大经济效益的同时,也面临着非常大的安全风险。一旦企业信息系统受到攻击而遭遇瘫痪,整个企业就会陷入危机的境地。特别是近几年来全球范围内的计算机犯罪,病毒泛滥,黑客入侵等几大问题, 使得企业信息系统安全技术受到了严重的威胁。因此,这就使得企业必须重新审视当前信息系统所面临的安全问题, 并从中找到针对企业的行之有效的安全防范技术。为此,笔者首先分析了现代企业所面临的信息系统安全问题,然后提出了企业应当采取的相应防范措施。
1企业信息系统所面临的安全威胁
企业在信息系统的实际操作过程中,威胁是普遍存在且不可避免的。一般来说威胁就是企业所面临的潜在的安全隐患。个人电脑只通过一个简易的应用便可以满足普通用户的要求,但是企业的信息系统一般都要充当多个角色,基本上都得为多个部门提供服务,其中任何一个局部的隐患都可能给整体的安全性带来致命的打击。正是由于企业信息安全系统本身所固有的这些缺陷,必然会导致病毒与黑客的容易盛行。目前,影响企业系统安全的因素各种各样,但是其主要的威胁可以归结为以下几个方面:
①黑客的蓄意攻击:随着信息技术的普及,企业一般都会利用互联网接入来加速提高本公司业务与工作绩效,黑客的恶意攻击行为无疑会成为阻碍这一进程发展最大也最严重的威胁。其中,有来自竞争公司的幕后黑手,或者来自对本企业有怨恨情绪的员工,以及对该企业持不满态度的顾客等,出于不同目的或报复情绪都可能对企业网络进行破坏与盗窃。另外,一个更严重的问题——网络敲诈,正有逐步提升的趋势。许多不法分子利用木马、病毒、间谍软件,或者dos 攻击等非法方式对企业网络进行破坏或盗用企业数据,并以此作为向企业敲诈勒索的交换条件,由于大部分企业普遍存在着信息安全环等薄弱问题,因此很多企业都成为这种违法行为最大的受害者。
②病毒木马的破坏:现今的互联网已基本成为了一个病毒肆虐生长繁殖的土壤,几乎每一天都会有上百种新的病毒或者木马产生,而在很大部分企业中,安全技术不足,管理设备松散、员工安全意识淡薄等问题的存在进一步滋长了病毒、蠕虫、木马等的危害,严重时甚至有可能造成整个企业网络的瘫痪,导致企业业务无法正常进行。
③员工对信息网的误用:如企业技术员工由于安全配置不当引起的安全漏洞,员工安全意识薄弱,用户密码选择不恰当,将自己的账户名与口令随意告诉他人或与别人共享都会对信息系统安全带来威胁。
④技术缺陷:由于当前人类认知能力和技术发展的有限性,要想使硬件和软件设计都达到完美没有缺陷,基本上不可能。其次,网络硬件、软件产品多数依靠进口等这些隐患都可能可造成网络的安全问题。
2企业信息系统安全运行的防范措施
企业信息系统安全运行的防范措施是企业信息系统高效运行的方针,其能在很大程度上确保信息系统安全有效的运行。相应的企业安全运行的措施一般可以分为以下几类:
①安全认证机制:安全认证机制是确保企业信息系统安全的一种常用技术,主要用来防范对系统进行主动攻击的恶意行为。安全认证,一方面需要验证信息发送者的真实性,防止出现不真实;另一方面可以防止信息在传送或存储过程中被篡改、重放或延迟的可能。一般来说,安全认证的实用技术主要由身份识别技术和数字签名技术组成。
②数据的加密以及解密:数据的加密与解密主要是用来防止存储介质的非法被窃或拷贝,以及信息传输线路因遭窃听而造成一些重要数据的泄漏,故在系统中应对重要数据进行加密存储与传输等安全保密措施。加密是把企业数据转换成不能直接辨识与理解的形式;而解密是加密的逆行式即把经过加密以后的信息、数据还原为原来的易读形式。
③入侵检测系统的配备:入侵检测系统是最近几年来才出现的网络安全技术,它通过提供实时的入侵检测,监视网络行为并进而来识别网络的入侵行为,从而对此采取相应的防护措施。
④采用防火墙技术:防火墙技术是为了确保网络的安全性而在内部和外部之间构建的一个保护层。其不但能够限制外部网对内部网的访问,同时也能阻止内部网络对外部网中一些不健康或非法信息的访问。
⑤加强信息管理:在企业信息系统的运行过程中,需要要对全部的信息进行管理,对经营活动中的物理格式和电子格式的信息进行分类并予以控制,将所有抽象的信息记录下来并存档。
3结语
总之,企业信息系统的安全问题将会越来越得到人们的重视,其不但是一个技术难,同时更是一个管理安全的问题。企业信息系统安全建设是一个非常复杂的系统工程。因此,企业必须综合考虑各种相关因素,制定合理的目标、规划相应的技术方案等。笔者相信,信息安全技术必将随着网络技术与通信技术的发展而不断得到完善。
参考文献:
[1]肖雪.计算机网络安全的研究[J].科技创新导报,2008,(20):27.
[2]张宗府.电子政务建设的安全对策研究[J].科技创新导报,2008,(9).
ERP(Enterprise Resourse Planning)即企业资源计划系统,是将企业内部所有资源整合在一起,以求最大限度地利用企业现有资源,实现企业经济效益的最大化。同时,在合理地配置企业资源、优化业务流程、提高企业的经营管理水平等方面起着积极作用。随着近些年企业ERP系统建设的深入和运行时间的延长,系统软硬件到了新旧更替阶段,系统功能应用随着业务的发展也有了一定程度的制约,面临着原有ERP系统整体升级改造的现状。
一、ERP系统升级前面临的问题(以A公司为例)
A公司目前采用的是德国SAP公司的MYSAP ERP 2004软件包,该平台自2005年上线至2012年已经有6年多的历史,目前SAP对该版本的技术支持已经进入扩展维护期,即2011年公司每年需多支付2%-4%的维护费,到2012年起,SAP公司将不对该版本进行后续的技术支持;同时,自2010年起ORACLE厂商已经不再对ORACLE 9i版本进行支持。另外,在硬件方面,A公司ERP系统配备主服务器2台,型号为IBM P570,为双机热备份集群;ERP系统配备核心存储设备1台,承载着ERP系统的所有数据。以上软硬件设备均为2005年8月开始上线运行,到2012年连续运行了6年时间,已超出系统规划使用年限,进入设备老化期及故障高发期。综上,为了保证数据安全、业务过渡平滑,有必要将ERP系统软硬件进行全面更新。
二、ERP系统的升级优势
通过ERP系统升级,可以深化系统的使用功能,新版本提供新的业务功能,提供更强大和灵活的支持;升级使业务功能得到创新,并提供业务流程再次改造机会;升级后,新版本的SAP-ERP、ORACLE软件可以给系统带来一个稳定的运行环境,更好的支持新业务功能的推广和开发;升级还能够有效减少系统故障率,提升系统响应时间和保障级别,减轻系统运维压力,增强系统运行性能。
三、升级方案制定
A公司在2012年进行了SAP ERP系统ECC5.0至ECC6.0的升级项目,并确定了“技术升级”的实施策略。项目组根据A公司特点制定了ERP系统升级方案,方案包括:ERP系统架构改造,ERP升级路线,系统接口处理,升级调整和测试,系统备份等。
ERP系统架构改造:根据A公司ERP系统设备的实际情况,将ERP系统运行的三台设备调整为其中一台为中心实例服务器,运行ORACLE数据库,另外两台为消息服务器。由于SAP ERP新版本相比于原版本对存贮空间、内存和CPU处理能力的需求一般会有5%到10%的提升,系统从旧版本升级到新版本对硬件的技术指标也会有较大的提升需求,因此A公司申请购置了两台高配置服务器硬件P750,更换了EMC存储设备,以满足系统升级的需要。
ERP系统的升级路线:SAP ERP系统升级是经过了沙箱测试升级(生产系统拷贝到沙箱系统中进行测试升级),开发系统升级,质检系统升级,生产系统模拟升级,生产系统正式切换升级,复制预生产系统等一系列操作过程完成的。按着该实施路线进行系统升级,确保了系统升级前后业务生产数据的最高一致性,也是实现SAP ERP系统升级无故障平稳切换,对业务影响降到最低的保证。
系统接口处理:项目组通过对公司各系统与ERP系统的业务关联、接口协议的分析,确定出了一些关键接口,在系统升级时,需要对这些接口从信息收集、接口梳理、接口保护、接口测试等各个层面进行充分的调研、分析和评估,严格按评估方案完成接口SAP ERP端的改造工作,保证相关业务的连续性,以减少ERP升级对系统的正常运作造成的干扰。
升级调整和测试:在ERP升级过程中,SAP标准功能会经历系统版本升级和代码转换的标准过程,这个过程是自动的,不需要人为干预。另外就是对于系统中自定义对象,则需要经历多种功能代码调整、配置调整等一系列人为动作,由于调整工作量大、情况也可能比较复杂,故在这个过程中,可能会出现各种各样的问题,给升级工作带来了很大的挑战和困难。
系统备份原则:SAP系统联机备份是每天将系统的数据文件和数据库控制文件保存到联机日志文件中。联机归档是定期保存联机日志文件。从数据一致性角度出发SAP系统备份需要联机备份和联机归档两种备份相结合;从风险可控角度出发,联机备份恢复由于需要结合日志回滚一起完成,具有一定的风险,而离线备份是在数据库和SAP关闭的状态下进行,它是使用磁带在操作系统层面备份整个文件系统,可以很好的规避风险。对于操作系统升级、SAP升级等重大的操作,进行系统级全备份是非常有必要的。
四、方案实施成果
A公司针对该升级方案进行了SAP-ERP系统升级项目实施,并取得了很好的升级成果。
通过ERP系统升级,提高了公司ERP系统运行效率。系统备份时间从升级前的8小时备份减少到升级后的4小时,有效降低了50%的系统高负荷运行时间;系统备份恢复时间从升级前5小时减少到现在4小时左右,减少了20%的系统故障恢复时间;升级后用户的后台作业时间也得到了不同程度的减少,节约了用户的月结时间。
系统升级提高了用户满意度。ERP升级后,新版本的ERP系统界面更加友好,目录菜单也更加清晰,更加贴近用户的日常操作习惯;同时在升级过程中,将原有系统与外部接口都做了梳理,丰富了接口功能,提高了接口稳定性;公司内部运维团队技术水平得到了提升,能够独立支撑升级后系统运维的日常工作。
ERP系统升级的实施,有效提升了公司的经营管理能力,使公司ERP系统的应用更加集成化。A公司在系统升级中对业务流程进行了再次梳理、重组和优化,系统接口也进行了优化,系统操作时间均有不同程度的下降,加强了公司整体业务的集成性,从而使公司的生产效率获得了长足的进步。
随着公司ERP系统的升级应用和业务流程的进一步合理化,公司的管理水平有了明显提高,并呈现持续化发展状态。ERP系统升级的完成必将为公司和部门信息化建设提供更加广阔的平台,以信息技术的更新推动业务流程的持续健康改善,将是ERP升级项目产生的长远而深刻的影响。
企业精细化管理实施方案
进入20xx年以来,欧债危机持续发酵,蝴蝶效应显现,拖累国内经济持续低迷,使投资、消费、出口增速放缓,保增长任务艰巨。医药行业,中药材价格上涨、人工成本上升、药品降价频频、产品同质化严重、行业竞争白热化、医改政策尚不明朗等,医药企业面临前所未有的挑战。为了实现集团的年度目标任务,保障公司战略目标的顺利实现,公司必须实施精细化管理,以实现管理增效及公司又好又快发展。
一、工作原则
(一)全面覆盖,突出重点
公司的精细化管理以人、财、物为对象。公司的人、财、物分布在那里,精细化管理就延伸到那里,力求管理全覆盖、不留死角;部门工作的薄弱点、关键点在那里,精细化工作的重点就跟到那里,攻坚克难。
(二)循序渐进,实现突破
精心布署精细化工作,循序渐进推进精细化工作上台阶、见效益、成习惯。逐步形成制度、流程,职责、目标、监督、考核、奖惩、激励的有机结合。
(三)动态管理,力求创新
在精细化工作推进过程中,只有注重工作事前规划、事中监控和信息反馈,才能促进工作达到预期目标。即在工作中加强管理,寓管理于日常行为,在管理中实现目标任务。
(四)机制护航,持久开展
公司成立精细化工作领导小组,为精细化工作持续推进提供组织保障。通过对国内外形势的剖析、判断,认清实施精细化管理的紧迫性和必要性,为精细化工作持久开展统一认识。
二、工作目标
中型企业发展靠制度,所以公司必须首先健全各项管理制度。以公司制度规范工作流程、工作流程规范职工行为、职工行为保障决策落实、绩效考核激发工作热情,使精细化管理成为公司主流文化,形成良性互动。使公司各部门精确、高效、协同和持续运行,公司获得更高效率、更多利益、更强竞争力和凝聚力。逐步实现制度标准化、流程规范化、组织体系系统化、目标任务精细化、监控常态化、信息反馈及时化、重大决策科学化、绩效考核全面化、部门协调机制化、日常工作条理化、风险预防可控化,在产品质量上精益求精,创造产品质量领先的差异化竞争优势,在技术创新上占据行业制高点。对工作中的薄弱环节和管理短板,通过精细化管理,实现瓶颈突破,提高管理水平、实现管理增效。
三、管理内容
以公司的人力资源、材料供应、产品生产、技术研发、经营销售、财务管理、文化建设、安全生产等为内容,以全方位的视角,通过单项和共同发力,实现公司整体能力提升。
四、主要工作
(一)查遗补缺,健全制度
首先评估公司现有制度在公司现阶段的适应性。通过各部门自查及协作过程中的意见,发现目前存在的制度空白,组织人员会诊。根据公司战略目标、集团战略定位和现代企业运行要求,健全、完善公司管理制度。形成制度健全,工作有章可依;战略目标明确,制度保驾护航;监督考核到位,制度保障落实。
(二)健全机构,加强监督
根据会计基础规范化要求及可能存在内控漏洞,在条件允许的情况下,建议成立公司的内部审计机构。实现审计从事后审计向过程审计转变。避免有的部门在工作中的侥幸、自弹自唱或工作推进缓慢等现象。
该部门重点工作:
1、监督公司制度、政策的遵守情况。
2、监督公司合同、决议、协议、方案、工作流程的执行情况。
3、对公司预算及解决方案的可执行性和激励性提出建议。
4、跟踪部门预算、进行项目监督和后评估,阶段性反馈工作成果。
5、及时形成书面工作报告,重点反馈工作过程中存在的和亟待解决的问题。
(三)建立科学的预算体系,全面推进预算管理
预算管理是企业实现目标的重要手段,是通过经验测算、客观形势分析、在谋划中描绘企业的蓝图。所以建立科学的预算体系,全面推进预算管理,不仅能提高公司的管理水平,还可以使公司更好更强的发展。但必须注意以下几点:
1、预算管理不是简单的控制费用,而是科学的配置有限资源,实现资产效益最大化,股东财富最大化。预算必须考量企业的长期利益,必须长短结合,切忌急功近利、杀鸡取卵。
2、提高预算的可操作性。预算
4、对费用进行类别管理,加强意外损失预防。公司对变动费用比率控制,固定费用定额控制、混合费用加强临界点管理。通过提高公司安全生产意识,预防意外损失发生,避免损失抵消公司经营成果的风险。
5、加快形成精细化管理体系,落实精细化工作要求。精细化管理应势而生,是“以退为进”的强化内部管理的方法。是以相对的小支出获得相对多的利益,或以相对劣势通过强化内部管理转劣为胜。所以公司必须加快形成精细化管理体系,明确工作原则、工作目标、工作重点、工作程序、工作方法,制定工作布署、步步落实、重视监督检查,就会收到预期效果。
(六)建立风险预防机制,提高公司抗风险能力
在公司内部,主要做好以下工作:
1、重大投资及融资项目,集体决策,降低复合风险。
2、把融资的还款计划落到实处,降低财务风险。
3、加大存货及应收款周转速度,实现资金放大效应。
公司在加强风险预防、控制的同时,可以聘请外部中介机构进行必要的方案设计、业务咨询和专项审计,可进一步提高公司的抗风险能力。
(七)加强人才队伍建设,提高公司整体素质
1、制定公司中长期人才发展规划。实现“走出去,引进来“的人才发展战略,形成竞争机制,逐步把竞争引向公司的不同方面。
2、有计划推进人员的技能、专业知识、团队意识培训。通过不同层级培训,提高公司整体素质。努力把公司建成职工发展的平台,体现人生价值、实现理想的精神家园。
(八)实现管理对标工作常态化,吸收先进管理经验
公司各部门,首先通过自查来发现自身的薄弱环节。根据部门工作目标、要求,确定对标单位。结合公司的精细化工作部署,申请管理对标活动的时间和形式,开展管理对标工作,总结管理对标工作成果,和其它部门分享管理对标经验。
(九)加强部门工作的计划性,实现各项工作规范化,条理化
根据部门工作,围绕公司预算、集团考核及外部单位要求,做好以下工作:
1、对以前的工作进行梳理,凡是集团、公司及外部单位要求公司每年必须做的工作,部门就在年度形成工作计划,未雨绸缪,落实到人,按时、按要求认真完成。实现公司要什么,我们马上能拿出什么;集团考核什么,我们就及时跟踪什么、反馈什么,及时提供执行结果。
2、根据公司预算,有针对性的制定周、月、季工作计划,及时总结、及时反馈工作成果。对重大事项,力求一事一结,进行后评估。
3、组织人员对部门、公司的规章制度、办事流程进行学习,熟烂于胸。整理外联单位办事流程及资料要求,办事尽量不跑空趟。以此提高工作的规范化和条理化。
4、根据部门工作内容,制定目标要求。带着目标去工作,用目标激励自己、要求自己,提高工作的计划性。
(十)加强部门协作,提高公司运营效率
公司的目标任务,只有各部门形成合力、协同攻坚,就一定能实现。
1、形成公司各部门月度或季度沟通机制。凡部门在工作中出现的问题一经达成共识,必须落实部门督办,在下次会议反馈办理结果。
2、部门之间适当交流和业务知识学习,可以提高公司运营效率。公司应为部门间互动创造条件,以加强部门了解,减少条块分割,增进部门互信。通过部门间相互学习,如财务必须懂业务,业务必须了解财务,行政必须了解各部门的需求,各部门可以根据工作实际提出自己的资源支持请求等。这样拉近了部门间的距离,里通外合,使权力在阳光下运行,保证政令畅通,提高运营效率。
3、建立部门之间服务承诺制。服务承诺内容主要是各部门在往来工作中的相互要求。通过部门对服务要求的提出,相关部门对服务要求的承诺及细化落实,公司对兑现结果的评比打分和奖励,就可以达到部门之间的无缝对接。公司通过奖惩先进、鞭策后进,根据情况对症下药解决部门间反映的问题,可以减少部门摩擦,提高运营效率。
五、工作部署
联系集团精细化管理工作的安排,精心设计、周密部署公司精细化管理工作。
(一)全面启动阶段
1、成立精细化管理领导小组,设置精细化管理办公室,明确工作职责。
2、制定公司精细化管理实施方案。
3、各部门根据精细化工作要求首先开展自查自纠。根据自查自纠结果,结合公司实施方案、整改时间要求和部门工作重点,拟定部门整改方案,并把整改方案报公司精细化管理办公室,经精细化管理办公室完善方案后下发部门执行。
(二)整改提升阶段
坚持循序渐进、由易到难的原则。
1、精细化管理办公室监督各部门整改方案的落实情况,协调各部门解决工作中反映的问题。形成阶段性总结报告。
2、在精细化领导小组的配合下,解决精细化工作中的重点问题、难点问题。最后形成阶段性总结报告。
(三)总结固化阶段
1、公司各部门,首先总结自身的精细化管理经验。对本次精细化工作中未解决或短期解决不了的问题,由部门分析原因、制定计划。公司各部门编写精细化管理工作报告,报公司精细化管理小组审核、批复。
2、公司精细化管理小组对公司未能解决或短期解决不了的问题,根据客观分析给与必要的支持,并重点督办。
3、公司精细化管理小组全面总结公司精细化工作经验。把新思路、新做法、新成果通过制度化,形成习惯、形成文化。巩固、深化工作成果。
4、公司精细化管理小组通过评比,奖励公司精细化工作优秀部门和个人。
【关键词】 石油化工 消防安全 管理
1 引言
石油化工企业通常是以石油或者天然气作为生产原料,生产制造石油化工产品、化学药物制品、有机合成纤维、有机合成树脂以及有机化工生产原料的大型工业企业。石油化工的生产制造过程一般是通过一系列的物理变化与化学变化进行的,生产制造原料与产品大部分都有一定的易燃性、易爆性、剧毒性与腐蚀性,生产制造工艺的操作过程复杂、连续性较强,存在着生产制造危险大、火灾爆炸概率高等问题。石油化工企业因为其本身存在生产、使用、储存物品的易燃性与易爆性问题形成石油化工企业的消防安全危险性。在生产、储存、经营等各个环节中,假如操作管理过程出现意外,遇火或者受到摩擦、碰撞、震动、高温或者其它方面因素的实际影响,也可以引发火灾或者爆炸事故,容易导致工作人员的伤亡与经济损失,直接影响到社会的稳定发展。近些年以来,石油化工企业出现的火灾意外事故频繁发生,应该引起国家、政府以及公安消防安全部门机构的高度重视[1]。
2 石油化工企业的消防安全问题
(1)石油化工企业本身的消防安全防患意识有所欠缺,消防安全的管理机制不完善。石油化工企业的火灾爆炸事故不断频繁发生,其中大部分都是责任事故,这充分表明消防安全管理机制与消防安全工作执行规范没有得到充分落实,只是形同虚设。(2)石油化工企业主要以经济利益为工作中心,通常会忽视消防安全的防范工作。一些石油化工企业投资建设完成之后,只是单方面地追求经济利益的最大化目标,注重生产而忽视消防安全,消防安全的防患管理工作处于十分的薄弱环节。在日常工作中缺乏对生产制造设备以及消防安全防患设施的检测、维修与维护等处理。有部分石油化工企业不投入经费到消防安全中,对一些消防安全防患设施不进行及时地维修、维护与更换,容易导致小火酿成大灾事故,泄漏促成爆炸事故。(3)缺乏内部的消防安全管理机制或者内部监督工作不到位。大多数中小型石油化工企业的内部缺乏相应的消防安全监督管理部门,一般除了政府机关部门进行外部检查工作以外,大部分国有形式的大型石油化工企业都有上级消防安全管理部门经常性的监督检查工作,一般都可以将火灾隐患清除在萌芽阶段。(4)对于消防安全管理技术性人才缺乏培养,导致消防安全管理的技术性人才十分缺失。一部分石油化工企业进行员工的入厂教育,一般只简单地实行常规的生产技术培训,缺乏消防安全机制的培训,没有组织灭火预案的消防演练活动,企业员工无法深入地认识到岗位存在的火灾隐患性,没有学会基本形式的防火与灭火等消防安全知识,缺乏火灾的扑救与疏散逃离现场的知识[2]。(5)石油化工企业缺乏消防安全的许可标准。一些石油化工企业的建设项目没有认真执行消防安全机制审核、消防安全设施监管与消防安全设施验收,导致部分企业在没有获得有关审批流程的状况下开工建设或者投入生产,导致成先天性火灾事故的安全隐患。(6)我国总体的化学工业生产制造基础相对较差、技术水平标准不高,大部分石油化工企业的生产规模相对较小,生产制造工艺落后、设施设备简陋、自动化控制程度较低,安全生产制造的先天性条件缺乏,容易导致火灾事故的形成。
3 石油化工企业的消防安全管理对策
(1)公安机关部门的消防安全管理机构应当充分增强对石油化工企业的消防安全监督管理工作。在目前的发展态势下,公安机关部门的消防安全管理机构需要加大对石油化工企业消防安全的关注,加强相应的消防安全监督检查,同时适当地组织开展专项整治活动,提升石油化工企业的消防安全防患意识,能够及时地发现消防安全隐患,不断消灭存在的火灾安全隐患。(2)公安消防安全管理机构应当加大石油化工企业消防安全监督管理工作队伍的建设力度,专门地培养具有专业水平的技术人才,在石油化工企业的新建、改建与扩建过程中提高消防安全的审核与验收,避免遗留先天性的火灾安全隐患。(3)公安消防安全机构应当充分借助安全监督部门相应的管理优势条件,实行部门联合行动,杜绝石油化工企业的失控漏管现象,同时公安消防安全部分机构应当及时将石油化工企业的消防安全监督管理状况通报到相应的安全监督部门,从而可以作为安全监督部门对石油化工企业经营许可证照年审的重要参考根据[3]。(4)我国需要从法律法规体系上进行责任的细化,对于评价机构进行严格管理,从而可以促进评价机构的业务素质与法律制度、道德素质的建设进程。(5)我国有关部门应当出台相应的法律标准规范性文件,要求石油化工企业需要加大消防安全的管理费用投入,运用先进形式的科学手段,增强企业本身的安全改造力度,在工艺产生环节上完善消防安全管理条件,全面系统地提高石油化工企业的消防安全管理水平。(6)石油化工企业需要严格遵守《中华人民共和国消防法》、《机关、团体、企业、事业单位消防安全管理规定》等相关规范条例,建立企业的消防安全防患意识,认真贯彻落实消防安全的各方面安全管理机制。
4 结语
石油化工企业火灾事故的引发,存在着一定的偶然性,同时也存在着一定的必然性,石油化工企业的消防安全防患工作有所欠缺,没有建立石油化工企业本身的消防安全防患意识,单方面地追求经济利益,忽视生产安全的重要性,加上内部的监督管理机制不完善,这些都是引发石油化工企业火灾事故的重要原因,因此企业、社会与国家有关部门应当着手于石油化工企业的存在问题,提出合理有效的管理对策,有利于促进石油化工企业消防安全管理工作的有效提升。
参考文献:
[1]宋建池,范秀山.化工厂安全系统工程[M].北京:化学工业出版社,2004.
(一)国民经济建设秩序混乱
对国家来说,一是造成国有资产的大量流失;二是造成国民收入超分配,进而引起消费基金膨胀,导致国民经济建设秩序混乱,使国民经济的宏观调控达不到应有的效果。
(二)信息不对称
对现有的和潜在的投资者和债权人来说,由于“信息的不对称”,各种投资主体在信息掌握上的不平等,带来了信息风险,而会计信息失真则直接影响他们的投资收益和债权利益,使信息风险增大,信息成本提高,常出现投资得不到回报,或回报率很低,债权人不能按时收回本息的情形。信息失真致使社会公众对证券投资做出错误的抉择。
(三)上市公司规范发展受到影响
对企业本身来说,一是影响企业经营者管理和科学决策。错误的、不真实的会计信息,使决策依据缺乏可靠性、科学性,这种情况下的企业,长期下去,必将削弱其市场竞争力:二是使投资者和融资者丧失向企业融资的信心。这种不信任,导致了财务状况恶化加剧:三是给政治、社会方面带来了不良影响,为腐败行为提供了温床。四是导致公司利润虚增,财政虚收,企业资产流失。
二、上市公司会计报告信息失真的成因
(一)会计法律法规体系的局限性
会计准则和会计制度作为会计核算和报告的基本规范,其本身固有的局限性是导致上市公司会计信息失真的制度原因。一是会计准则定义存在不确定性。如一项会计准则的含义可能有多种理解,甚至有歧义,必然产生实务操作的不确定性。二是会计准则应用的不完全性。如果在会计计量中只遵循谨慎性原则,就会只强调预计可能损失而完全不确认利润,特别是当这种利润有较大可能实现时,将会充分违背披露和可靠性原则。三是会计估计和专业判断引起会计信息失真。会计估计与判断事项越多,主观成分越大,会计信息的准确性就越难保证。四是会计核算方法的可选择性引起会计信息失真。可选择的方法越多,会计主体就越倾向于选择对反映其财务状况和经营成果有利的方法。
(二)上市公司产权主体的利益冲突
在现代企业制度下,企业所有权与经营权分离,投资者与经营者之间形成委托关系,其基本思路是让企业的业绩与生产经营者个人的收入挂钩,以求得最大限度调动经营者的积极性。投资者追求的是股东财富最大化、投入资本的安全性和收益性,注重企业的长期发展,而经营者更看重企业的当前经济利益,这种利益冲突是造成上市公司会计信息失真的根本诱因。因为企业经济效益的好坏与经营者的业绩、收入有着密切联系,而经济效益必然通过数据表现出来。会计数据越“漂亮”,就越能证明经营者的业绩,其收入也相当可观,因此就不可避免地出现了受经营者主观意志左右的不真实的会计数据。
(三)企业为达到上市目的粉饰会计信息
一些企业在改制为上市公司的过程中,在未能达到上市发行资格的情况下,首先是为获得上市资格进行粉饰,其次是为获得配股资格进行粉饰,企业上市最直接的动机就是进行融资。新的配股条件,要求公司最近3年会计年度加权平均净资产收益率不低于6%,是以单一的财务指标即净资产收益率是否符合要求作为配股的主要依据。因此,利润操纵的动机依然存在。最后是为避免退市进行粉饰,中国证监会规定:一上市公司如果最近3年连续亏损,将由证监会决定暂停其股票上市,如在期限内未消除亏损状况,则终止其股票上市,上市公司退出证券市场。
(四)侧重总结,忽略分析,缺乏预见性
正如我们所知道,现行财务会计报告侧重于历史数据的总结。大多只是各种报表,数字的罗列。虽然经过会计信息的处理和分析,但是这种基于历史成本的会计报告无法具有对未来企业发展决策状况的分析。缺乏预见性,无法预见可能出现的经营风险,尤其是对价格波动性强的金融工具,无法呈现及时的预警,致使监督管理部门或者企业造成决策失误等严重后果。
(五)过分强调利润分析,忽略其他信息
因为企业自身对盈利的渴求,现行的上市公司会计报告过分强调收入与费用的配比,也就是最终利润的分析,忽略了其他重要信息的披露。这些信息一方面包括资产负债的分析,企业实际现金流量状况等财务信息,一方面也包括企业的社会声誉、社会责任以及货源、销售等渠道的相关信息。也就是说从现行会计报告上看,使用者无法通过这些方面的信息展示了解该企业的财务状况。这也是上市公司会计报告的局限。
(六)会计人员的素质不高
会计人员是会计信息这种“产品”的“生产者”,他们的素质高低直接影响会计信息的质量。然而,我国会计人员的整体素质不高。一方面,会计人员的业务素质不高,在一线从事财会工作的具有大专以上学历的人员为数甚少。会计后续教育缺乏力度,许多会计师并不熟悉新的会计制度。一些年轻的会计人员缺乏丰富的专业知识和熟练的业务操作技能,对较复杂的会计业务很难较好地处理;另一方面,会计人员的职业道德素质不高,坚持原则,严格执法,敢于同违规违纪作斗争的少。
三、防范上市公司会计报告信息失真的措施、对策
(一)强化企业负责人法律意识﹑建立诚信﹑处罚制度
要强化企业负责人的法律意识,加强单位负责人对会计工作的领导。单位负责人的法律意识增强了,才能有效避免会计违纪、违法行为的发生,才能督促会计人员依法提供真实、完整的会计信息。在对会计工作的建设上,不能只把目标局限在财会部门和财会人员上,应把这项工作提升到整个企业管理上来,标本兼治,从根本上消除会计信息失真的现象。
逐渐形成对经理阶层进行诚信评价制度和加大对经理造假的处罚力度,由相关机构对经理阶层建立诚信等级,由相关机构定期对其业绩、行为进行考核并记录在案,对于制造虚假会计信息的经理进行及时公布,并依法对其进行相应的处罚。
(二)完善公司内部治理结构
解决内部控制问题,必须采取以下措施:①完善股东代表诉讼制度,保护中小股东利益。②减少内部董事的比例,防止董事会被内部董事控制。提高非执行董事的比例,并将董事会的监控工作交由非执行董事处理。③发挥监事会的作用,通过组织设置和制度赋予监事会调控经营者行为的职能和手段。④由公司的非执行董事和监事组成审计委员会,委员会要帮助董事会履行企业的财务报告、会计政策和内部控制三方面职责。具体包括:选择外部审计人员,商讨审计事项,监察审计结果。检查公司所有重要的会计政策,对重大变动和其他有疑问的地方加以报告;财务报告和董事会报告对外报出之前都要经审计委员会的检查。
(三)缩短信息披露的时限
证监会目前规定,股份有限公司应当在每个年度中不少于两次向公众提供定期报告,中期报告应于每个会计年度的前6个月结束后60日内编制完成,年度报告应在每个会计年度结束后120日内完成。试想,在经营环境瞬息万变的今天,二个月或四个月对会计信息及时性会造成一定的影响。中国注册会计师协会网站上的审计快报显示,年报对外披露得越晚,上市公司存在的问题往往也越多。可能是因为:上市公司编制虚假的会计报告需要的时间较长,他们要考虑如何尽力掩饰问题,还要考虑问题被注册会计师查出后的对策。因此,证监会规定的信息披露时限越长,给上市公司留出的造假时间就越长,对治理会计信息失真的问题越不利,必须适当缩短会计报告披露时限,如年报披露时限缩短为两个月,只留出上市公司编制报告的必要时间。
一、三公司企业介绍
三公司总部位于四川华阳,是主要从事大中小型水利水电工程与各类土木工程的总承包以及水利水电、高层建筑、铁路、交通、地铁、石化、核电、码头、火电、机场、矿山、环保等领域各类地基与基础工程施工。目前,三公司施工项目遍布国内外,国内包括雅砻水电站、结巴水电站、加查水电站,四川大渡河流域黄金坪、长河坝、东谷河水电站,广安市滨江路改造项目,广东阳江核电站项目,以及上海金泽水库、浦东机场第五跑道等项目。国外项目包括马拉西亚、文莱等项目。根据近年发展战略部署,三公司提出“三固三强”的市场规划,即巩固四川、、核电市场,强化华东区域市场部、华南区域市场部和重庆区域市场部。此外,积极拓展参与国际项目施工也是三公司市场开拓的主要方向。随着施工项目的不断增多,市场区域的不断拓展,从四川到东南沿海,再到、到海外,随着空间距离的不断拉大,三公司管理战线越来越长,管理难度越来越大。互联网技术的日臻成熟,广泛应用,加强信息化建设,以信息化来提升管理,解决施工企业管理空间跨度大,人员分散等问题,为三公司发展提供了一个有效途径。
二、三公司信息化建设方案
1.项目管理与咨询服务系统平台的启用。
2014年初,经过多方比较协商,三公司与上海硅谷科技公司合作,引进并启用了项目管理与咨询服务系统平台。平台包括项目策划、合同管理、科技创新、施工进度、质量安全控制等相关信息板块。项目管理与咨询服务系统由三公司机关总部统一管理,借助社会咨询机构的资源对项目各板块工作进行指导帮助,各职能部门具体负责实施。通过信息管理平台将各项目工作制作成标准化模块,便于指导帮助项目部开展各项工作。三公司所属各项目部借助信息管理平台,做好管理经验交流、施工技术交流等工作,实现集中管控、指导,项目信息资源共享。由于三公司个人办公电脑多采用租赁制度,出现个别电脑损坏、遗失,造成工作资料丢失现象。三公司在平台上特别要求增设有“资料储备”板块,对重点资料进行加密后在平台上备份,通过身份认证后方可查阅下载。
2.远程视频会议及监控系统。
以机关总部为中心,三公司逐步建立起远程视频系统。该系统以互联网为基础,在机关总部会议室、经理办公室、各项目会议室安装电脑、监控、摄像头、话筒等,实现机关总部与各项目部、主要管理者之间、各项目部之间面对面交流。通过远程视频的方式来组织召开重要会议,包括三公司月例会,技术交流会,专家咨询会等,便捷高效的开展管理工作,及时有效的解决各个分散项目施工中遇到的难题。以加查项目为试点,部分项目安装了IP数字网络监控摄像头和网络硬盘录像机,机关通过PC客户端的方式远程进行随时随地的浏览查看,可远程管理工地的监控图像,进行实时浏览和控制。
3.微信公众平台等新媒体建设。
随着智能手机的普及化,微信,作为目前最及时高效、拥有最多客户群的移动互联工具,更加适应企业文化建设的需要。它可以为公司内部信息共享,文化宣传,以及社会各界了解公司提供新的窗口。三公司于2015年初开通微信订阅号,及时公司消息、工程施工效果、施工视频、重点工艺等内容。为了吸引粉丝关注,发送微邀请,开展微信有奖答题等活动。
三、采用信息化手段前传统的管理模式
1.低效率高成本。
施工企业传统的项目管理较为粗放。一个项目开工筹备,总部需要集中大量人财物资源开展筹建工作,待工程步入正轨,则需要将富裕的资源调离。在施工中也一样,由于公司没有建立起可供项目自由选择的专家资源库,项目遇到施工难题,总部必须集中组织工作组、专家组前去解决。前去的人员有限,难以总览各个领域的专家,问题解决的效果往往并不理想,需要多次组织,召开咨询会,造成的结果是工作效率不理想,成本增加。
2.机关总部管控力薄弱。
由于施工项目众多,分散地广,机关总部与各项目部的互通较少,对于项目的实际情况,机关总部不能及时直观的了解,项目部也不能第一时间了解到总部的工作部署、精神指导,造成很多工作滞后,甚至误读。这样,消弱了机关总部对项目的管控力度,很多项目各自为政,不利公司的长远发展。
3.企业文化建设步伐缓慢:
施工企业流动性强,工作生活条件简陋,人员分散,企业文化建设一直依靠会议、文件、培训等形式来宣贯,效果不明显,很多员工只知项目,对公司愿景、蓝图、战略等了解很少,企业文化建设步伐缓慢。在依靠互联网,大力开展信息化建设之前,施工企业管理粗放,人财物成本投入高,公司信息阻塞,凝聚力不强,公司发展缓慢。在互联网时代,对于施工企业,信息化建设工作的开展和效果关系着企业的存亡。
四、信息化建设对施工企业的作用
1.强化公司机关总部管控效果。
通过完备的信息化平台,实现了对项目管理过程的全程跟踪,机关总部总控平台作用得到发挥。项目管理信息系统、远程视频系统、远程监控等途径很大程度上解决了空间距离及项目分散等问题,机关总部管理者可以统一部署项目生产经营工作,召开各项交流研讨会,做出科学指挥。
2.及时有效解决施工项目难题。
各项目部施工中,会遇到各种难题,如技术难题。项目信息系统收录了公司内外部大量的技术专家,可通过平台第一时间了解项目难点,及时做出反应。也可通过远程视频与项目一线技术人员召开研讨会,及时解决难题。
3.节约企业管理成本,提高工作效率。
由于项目部分散地广,机关总部要实现对各个项目部的全面管控,经常要委派人员,甚至组织专家组前往施工项目进行管理,而对于稀缺的人才,又难以长期驻守一个项目,这样来回往返发生了差率费、住宿费、伙食费等一些列费用,增加了管理成本,也拉长了解决问题的周期。各项网络信息平台的使用则解决了这个问题,一些问题可以通过远程监控、视频的方式了解情况,解决问题。这对于拥有几十个甚至上百个分布在国内外项目的企业来说节约了很大的成本,也提高了工作效率。
4.规范企业管理流程,建立现代企业标准化管理模式。
信息化管理系统的建立,从项目策划、合同管理、技术、质量、安全、进度等方面建立了完备的管理模板及管理流程,配备了相关的专家人才,资料储备平台保证了员工个人办公资料的保密及安全性,这些都提高了企业管理水平,促进了施工企业的良性发展。
5.企业文化建设效果突出。
新媒体平台的启用,是施工企业融入时代,适应互联网社会的表现。通过微信等新媒体平台,企业文化宣传途径拓展,员工沟通交流便捷,速度加快,企业文化建设效果明显,企业知名度及影响力得到大大提高,对企业生产经营起到促进作用。
五、结语
一、前言
随着时代不断加快的步伐,更多更新的企业都如雨后春笋般迎着科技时代的潮流迅速发展起来。在这之中,企业电子信息无疑是电子科技技术下的领军人物,近年来伴随着我国科技信息行业的发展取得了显著的成就。对于正蓬勃发展的我国经济来说,电子信息企业的崛起很大程度上促进了经济发展与经济结构的良好调整,这也为我国电子信息科技行业的发展取得了长远的进步。
然而,在一片欣欣向荣的繁荣发展景象下我们也不可避免地能看到企业发展中存在的许多问题,在此其中,对于信息企业来说安全防范工作无疑是影响企业发展成功的一重大必须解决处理好的问题。企业的信息安全问题往往能影响到企业发展的各个方面,例如企业未来发展方向的重要决策等。因而在我国电子信息企业快速发展的同时,必须采取合理有效的措施来解决企业的安全防范问题,从而在一定程度上有效规避企业信息安全上的隐患从而促进电子信息企业的进一步发展。
二、企业电子信息安全的简单论述
1.企业电子信息安全防范的意义
近年来,随着计算机等科技技术应用逐渐融入人们的生活,与之相关的科技信息行业也不断发展壮大起来。然而实际上,电子信息技术的发展并不仅?H于此。纵观当今,随着我国电子商务平台等产业的迅速发展,越来越多的传统商务形式都逐渐被当下处于新潮流的电子商务的各种模式所替代。因而可见,在如今信息技术的高效利用与高速发展下,任何企业的生产发展、管理等工作都必然与信息相关。于是,对企业各方面发展都极具重要作用的信息发展的安全防范引起了人们强烈的关注与重视。
对于专营信息技术方面的电子信息企业来说,信息化建设是企业发展的核心。所以,为了确保电子信息企业能在当下日新月异科技企业中长久健康发展下去,电子信息企业在不断创新改进向前推进发展进程的同时,对企业自身信息的安全防范工作也应有着合理高效的计划措施。信息安全的目的本就是保障企业的现有发展的信息不会受到任何不良因素的威胁,使得企业能够朝着更好的方向发展下去。
而对于电子信息企业,信息获取的时效性以及各方面必须具备的高度保密性都是决定企业成败的关键所在。拥有优质信息技术并优先领军开发出高效能的优质应用,无疑是任何电子信息企业正努力追求发展的目标。因而,在此形势下,电子信息产业必须在增强自身科技技术发展的同时更要注重自我信息安全防范的问题。
2.企业电子信息目前存在的安全问题
随着信息时代的悄然到来,信息科技为人们生活带了翻天覆地的变化和生活便利的同时,也在不知不觉中改变了大部分企业的商业架构,更有许多符合发展潮流的新兴企业适时崛起。因而,在一片欣欣向荣的繁荣之景下便随处可见企业间的激烈竞争。企业的安全防范问题引起了人们的充分重视。
当谈及信息安全问题,信息的保密性、完整性、可用性、实用性、真实性以及占有性这六点都是做到有效信息保障的基本要求。然而,不具备高强的安全防范工作措施的企业一旦涉及到以下的几方面情况都极容易遭受到信息泄漏等不良问题。
(1)网民法律意识淡薄
由于网络具备极强的开放性、虚拟性、隐蔽性等特征,人人都能成为网络信息的制造者与传播者。此外,更有不少人借此在虚拟世界里利用自身手段为己牟利。黑客入侵企业系统的事件事件时有发生,不管是商业竞争,抑或是不经意犯错,都体现出了网民对计算机网络犯罪相关法律知识的疏忽与淡薄。
此外,网络资源共享近年来无疑是一个极为火热的行为。动一动手指,即可与世界分享。然而,由于部分网民存在科技保护等法律知识欠缺的问题,分享过程就极容易发生危害相关电子信息企业经济发展等的问题,更造成企业信息安全管理出现大量漏洞的隐患问题,从而在一定程度上阻碍了企业的进一步发展。
此外,网络上广泛出现的虚假信息等不良信息也极容易混淆网民视听,从而误导网民而引发许多对企业不利的群体性攻击事件,更为蠢蠢欲动的犯罪分子入侵盗取企业信息提供给了可窃之机。
(2)信息安全管理技术落后
众所周知,计算机网络里处处充满着未知的不确定性。就拿计算机病毒来说,计算机用户不经意打开恶意网站或是被植入的木马病毒入侵等是计算机操作中常有的事。在此形势下,对此而生的便有许多病毒查杀软件,软件的特意针对性得到了包括大多企业在内的大多用户的认可并广泛加以使用。
然而,正是病毒软件拥有极强的针对性,是专门应对已发生问题而开发,并不能做到完全的即时高效,有着严重的滞后性。对于电子信息企业来说,合理高效的信息安全防护软件能为很好辅助企业的信息安全防护,而不合理不适合的软件却很可能在安全防护过程中起着反效作用。不仅不能带应有的安全防范效用,更让企业的信息安全管理中出现严重的漏洞,严重情况下甚至能引起企业管理系统的瘫痪从而严重阻碍了企业的健康发展。
此外,软件开发者由于考虑到软件常有的更新与维护问题,会有意为更新维护人员留下进入软件内部的小门,因而便为企业的信息安全留下了许多安全隐患。正是网络协议实现的过程充满复杂性,这就容易使得企业的操作管理系统难免不即时而出现许多缺陷漏洞,给网络犯罪分子可乘之机。例如黑客入侵便是基于网络操作系统漏洞对企业操作管理系统的一种恶意攻击,这便是无意间将企业的生命交给恶意分子,从而造成企业的巨大损失。
(3)企业安全管理意识不足
在如今信息技术的蓬勃发展下,电子信息工程发展迅速但因而诞生的行业竞争也尤为激烈。为了充分实现企业利益的最大化,许多企业都存在着只重视企业的生产经营而忽略了与此同样重要的企业信息安全管理问题。在这种情况下,企业没有建立完善高效的信息管理机制便从自身认知上为企业信息安全带来了许多隐患,更体现出企业对此的防范意识极为不足。
此外,正由于企业更重视能充分得利的生产经营,在企业信息安全管理上预警和问题处理方便措施不完善,也容易出现相关人员分配不足,问题解决滞后的情形。而相关人员对安全防范意识的欠缺,也容易导致在安全管理工作上操作敷衍,只做表面功夫。这不仅浪费了企业为此投入的资金和人力,更为企业发展埋下了许多未知的安全隐患。
三、企业电子信息的安全防范方式
从企业信息安全防范层面上看来,信息安全防范的相关工作可归结于两个大的方面,一是能从计算机技术上保证计算机与网络软、硬件信息安全的基于为企业信息管理奠定良好基础的技术方面,二是从企业人员工作管理约束上出发的对信息安全管理机制进行设计完善的管理方面。
1.信息安全技术概述
(1)网络隧道技术
网络隧道技术,顾名思义即通过隧道协议构建出信息隧道从而用来传送信息数据流量包,达到隔绝外来入侵盗取等威胁。主要来说,网络隧道技术是通过计算机等多样网络设备产生的网络数据的流通进行链条式安全管理,也即是隧道数据包安全管理。
在隧道传送过程中,隧道协议会对信息数据流量包进行检测,只有符合协议的流量包才能进入隧道并传输通过。因而便于在出现计算机网络信息安全问题时,操作者能利用这一特性对流量包进行预警和拦截从而实现信息安全的控制与有效管理。
(2)信息加密技?g
信息加密技术即是对客户信息进行安全加密管理,是许多企业在信息数据传输过程中常会采取使用的技术方式。电子信息在加密之后往往能得到很好的安全性与完整性的保护,从而在一定程度上避免了企业信息数据的泄漏。
信息加密技术来源于数字电视信号的加密管理技术,通过加密使得计算机内信息不同于一般代码从而让盗取者难以识别,从而提高了信息安全的隐蔽性和完整性。现今常用的加密技术分为对称型和非对称型两类。对称型加密技术由明文、密钥、加密算法以及解密算法组成,而非对称型加密技术则是与对称型相对应,并包含公开密钥和私有密钥两个组成部分。因而很容易理解的是,就如同钥匙和锁一般,只有配对合适的密钥才能成功解开密码。常常可见的便是企业商务常使用的加密电子邮件,经过加密后的电子邮件在传输过程中遭到了恶意拦截没有合适的密钥也是无法解开密码,从而窃取邮件内容。
(3)防火墙技术
防火墙技术是与加密技术遥相呼应的一门常用技术。防火墙,墙的顾名思义便是从一开始杜绝外来危险攻击,并在最大程度上降低木马病毒等入侵计算机的概率。在计算机网络信息的窃取中最常见的便是黑客攻击计算机系统漏洞从而导致系统瘫痪来充分窃取其信息。可想而知,在此情况下企业信息的泄漏对企业发展必然是严重性的影响,更为企业带来了不可估计的损失。
防火墙技术为此应运而生。用户往往可以根据自身工作种类的不同从而对防火墙设置不同的权限,并时常更新和优化防火墙技术以来不断提高防火墙性能,最后达到维护企业信息安全防范的目的。此外,防火墙还能在发生信息泄漏的情况下隔开一个网络与另一个网络,做到了“网络火灾”下真正意义上的防火墙效用。
(4)身份验证技术
由于虚拟网络将人物信息数据化等,在企业进行商务过程中充满了未知的不确定性,因而人物身份信息的验证对企业商务交易等过程来说也极为重要。
而为此研发出的身份验证技术就是在计算机等网络设备中针对网络使用、信息接收等过程进行身份验证的管理技术方法。身份验证技术基于网络信息来对用户身份进行特殊编码表示,使得计算机与用户进行指令交换时是秘密的身份信息安全交换,成为了企业信息管理的一道重要防火墙。
2.企业电子信息企业安全管理措施
(1)企业应用系统的安全风险评估
保险行业从始至终都是一个兴盛不衰的行业,它所具有的经济安全保障对客户来说无疑是一颗强有力的定心丸,让其心甘情愿吞咽入肚。而对于企业发展来说,对目前应用系统实时进行安全风险的预判、分析与评估也是一份企业保险,作为企业健康良好发展强有力的安全后盾保障。
因此,在信息安全管理过程中也可以利用相似的理论来根据安全风险评估来对可能存在的风险漏洞进行预判分析,时刻关注需要重点保护的企业信息。在详细精确的风险分析后凭借最后结果来选择规避或降低风险的措施与方法,尽可能地拥有高效有力地准备来应对可能出现的信息安全风险。
(2)信息安全技术创新
信息时代日新月异,技术发展的变化常常便有翻天覆地的变化。而对于传播信息最为迅速广泛的虚拟网络来说,攻击窃取企业信息的技术方式也很可能随着时代潮流的变换不断改进而更加多样而充满极具不确定性的变化性。对此企业应不断更新改进原有的信息安全技术,发展创造新的信息安全技术,从多个层面上来对企业信息安全进行立体高效保护。
在技术发展中,资金财力的支持与研发人员资源同样重要。企业对此不仅要优化提高相关技术人员的理论知识和技术操作能力,还要加大技术创新技术上的资金投入来充分实现技术的改进与创新。实际上,在电子信息企业对信息安全防范不断加强下,越来越多的企业也会同样意识到企业信息安全管理的重要性,从而带动出企业发展的远程商机。
简单说来,时代的发展往往建立在创新的基础之上,要想更全方面保证企业信息的安全,就要抓住机会努力创新更新技术时时防患于未然,有效预防可能存在的信息安全隐患从而促进电子信息企业健康长远的发展。
(3)充分应用防火墙技术
在企业的信息安全管理中,防火墙技术无疑是一种极为常见的高效安全技术。防火墙技术能被广泛使用,主要是因为其往往能按照特定的规则来允许限制信息数据的通过。防火墙技术在面对大量信息数据泄漏时能真正做到一面“防火墙”,来隔绝其他一面又一面墙从而来有效阻碍企业信息数据的大范围泄漏。
此外,防火墙还能有效阻止黑客恶意访问用户的行为,从而防止其篡改企业内部信息来保障企业的信息安全。而且防火墙还拥有极强的抗攻击性,这使得它不容易被病毒控制从而导致入侵瘫痪等严重事件的发生。同时防火墙还能将重点保护网段进行隔离保护,更进一步加强了对企业内部信息安全的安全保障。
(4)建立合适的系统信息管理体系
尽管随着科技水平的提高,企业采用的对于信息安全防范的技术软件也多种多样。然而,对于企业信息安全的整体保障来说,构建具有针对性的信息安全管理体系来完成高效的信息数据整理和安全保障也是科学高效发展的良好体现。
企业信息安全管理体系信息安全管理体系的建立,一方面不仅对可能存在的信息安全隐患起到了多方面的安全防范,另一方面还能加强对企业信息的利用,充分实现企业的效益最大化。
然而目前许多电子信息企业却存在着忽略企业信息安全管理体系完善化的问题,这常常就会导致当企业内部信息出现问题时,信息安全防范工作就会因此无法正常运转起不到应有的作用。因此,企业应该结合自身发展与市场的变化发展,构建合适的信息安全管理体系,从而提高信息安全管理的效率。
(5)加强网络管理
在企业内部建立局域网加强企业各部门间联系与工作,是企业在发展管理中常常见到的采取模式。因而在电子信息企业安全管理防范工作中,就可以从利用局域网切入加强信息安全防范工作。
局域网作为企业员工的一个有效交互平台,就可以也用来企业内部信息安全公告和企业相关规则指令等,并使员工都在局域网内进行安全软件的下载,从而有效解决了在外网下载可能出现的安全隐患问题。
就我们所知,局域网具有很强的区域性和安全性,电子信息企业便可以借此加强企业内部的信息安全建设。通过局域网来进行交流,避免了互联网交流可能出现的安全隐患,从源头上有效防止了信息的泄漏。对此,企业也应定期对使用的局域网进行维护与检测,分析数据流动情况来判断是否有遭受恶意入侵窃取等,从而提高企业的信息安全指数。
(6)增强企业信息安全防范意识
在曾有的多次黑客案例可知,有时企业操作系统遭受攻击从而导致的巨大损失往往很可能是安全管理人员甚至是上级领导的大意疏忽加速造成的。此外,企业信息安全防范意?R的不足更体现在遇到安全威胁时,相关人员更容易处于被动应付的局面,而不是从一开始便有的主动防御。
显而易见,企业在注重生产发展与一时的安全技术投资的同时,更要实时完善企业信息安全的管理体系,包括安全技术的管理应用和对员工的安全意识的增强与管理安排。做好做足前期预防措施,而不是问题出现才准备着手亡羊补牢,应拥有一套完整的建立在充分科学有效的风险评估基础上的动态的持续改进的管理方法。
关键词:信息安全;体系架构;授权访问;安全控制;异常监控
1概述
随着信息化建设的快速发展,信息技术创新影响着人们的工作方式和生活习惯,网络已成为信息传播和知识共享的载体,提高了工作效率,促进了社会的发展和进步,但由于网络环境的复杂性、多变性以及信息系统的脆弱性,决定了信息安全威胁的客观存在。近年来,国内国外信息安全的事件层出不穷,计算机病毒和木马仍然是最大的安全威胁,假冒用户和主机身份进行不法活动或实施攻击的现象逐渐增多,SQL注入、数据监听、缓冲区溢出攻击依然盛行,网络钓鱼和网络欺诈日益严重,敏感数据外泄和盗取事件频频发生,信息安全形势日趋严峻。因此,如何建立多层次的信息安全防护体系,如何保证企业信息安全,已成为各企业必须面对的重要问题。
2体系架构总体设计
针对企业中桌面计算机数量庞大、应用系统平台多样化、互联网业务应用急剧增长,不合规计算机接入内网、互联网违规访问、系统账户盗用等行为无法管控,网络黑客人侵、病毒木马感染、信息数据窃取等问题,通过大量的分析调研,确定企业级的信息安全防护体系应采用C/S和B/S相结合的多层架构设计,同时选择成熟主流的安全产品,统一规划设计桌面安全管理、身份管理与认证、网络安全域戈0分等功能系统,规范信息系统安全防护和审计标准,最大程度保证信息资源的可用性和安全性。
2.1桌面安全管理系统设计
桌面计算机是产生和存放重要信息的源头,但桌面计算机往往是信息安全事件中最薄弱的环节,因此,为切实保证企业信息业务正常开展,保障个人信息数据安全,建立先进实用的桌面安全管理系统十分必要。该系统主要包括安全防范和后台安全管理两个模块。
2.1.1安全防范功能模块
安全防范功能模块可对特洛伊木马、蠕虫等制定主动检查和清除的策略,查杀策略应定义为“隔离”;对于恶意商业应用程序,由于这类软件只是一些广告类的恶意重新,终止进程就可以解决问题的,安全风险程度不是很高,所以将查杀策略定义为“终止”。该模块提供入侵防护功能、启用拒绝服务检测功能、启用端口扫描检测功能,以及自动禁止攻击者的IP时间限定为600秒,避免出现由于大量攻击行为而消耗计算机性能和网络带宽的情况发生,提高桌面计算机抵御恶意攻击的能力。
2.1.2后台管理模块
区域管理器是后台管理功能模块重要组件,通过配置计算机IP范围、区域管理器参数、设备扫描器参数,可对安装探头程序的桌面计算机进行管理。实现桌面计算机配置管理、安全审计及报警管理、电子文档保护等功能。
2.2身份管理与认证系统设计
当前应用系统已成为企业开展各项日常业务的重要平台,但由于这些应用系统登录方式不统一、安全认证模式多样、部分系统密码强度不足等情况,严重影响企业信息数据的安全性和保密性,因此建立身份管理与认证系统,可以从根本上实现用户身份认证,保证系统访问的安全性。身份管理与认证系统由集中身份管理、统一认证和公共密钥基础设施三个模块组成。
2.2.1集中身份管理模块
集中身份管理模块通过对用户身份信息的获取、映射、同步、核对等方式,对应用系统中的用户身份信息进行汇总与清理,建立统一的用户身份视图,实现用户实体与用户身份信息的唯一对应。集中身份管理模块固化对用户身份的集中管理流程,包括与用户身份管理相关的审批与操作流程。在对集中身份管理模块的功能细化并进行归类,从而设计出集中身份管理的功能模型,如图1所示。
2.2.2统一认证模块
统一认证模块支持用户身份的强认证,可对获取权威的身份鉴别信息进行身份认证,包括用户口令、用户数字证书、数字证书撤销列表等。通过对信息系统一般的身份认证流程进行分析,可以得到统一认证采用的身份信息和鉴别信息都来自于信息系统本身(或分散的目录服务)。
2.2.3公共密钥基础设施模块
公共密钥基础设施系统(PKI)由认证中心(CA)、密钥管理中心(KMC)和证书注册中心(RA)等三部分组成。认证中心采用商密SRQ-14数字证书认证产品和商密SJY-63密钥管理产品,并可提供可信的第三方担保功能,认证中心支持颁发证书、更新证书、撤销证书等操作。密钥管理中心存储着所有用户的证书密钥信息,利用PMI技术保证密钥信息数据的安全。证书注册中心可为用户提供数字证书申请的注册受理,用户身份信息的审核,用户数字证书的申请与下载,用户数字证书的撤销与更新等服务。
2.3网络安全域系统设计
前大部分企业的内部网络中均包含有非业务性质网络,且网络行为不受限,对内部应用系统的安全构成严重威胁。为构建安全可靠网络架构,通过划分网络安全域,提高整体网络的安全性。网络安全域设计应包括互联网与企业网之间、企业办公网与生产网之间、关键应用系统与普通应用系统之间等三个层次的安全防护。本着“先边界安全加固,后深入内部防护”的指导思想,本文仅对互联网与企业网之间的安全域进行研究和探索,如图2所示。
2.3.1安全防护模块
安全防护设备包括边界防火墙、核心防火墙和入侵检测设备,主要是通过检测过滤网络上的数据包,保证内部网络的安全。防火墙可以位于两个或者多个网络之间,是实施网络之间访问控制的一组组件的集合,通过制定安全策略后防火墙能够限制被保护的内部网络与外部网络之间的信息访问与交换。入侵检测设备是防火墙的合理补充,一般该设备部署在内部网络边界。
2.3.2行为审计模块
行为审计模块可以提供网页过滤技术、应用控制技术、外发信息审计技术等,可有效防止机密信息的外泄,避免不良信息的扩散,提高员工的工作效率,保障网络资源合理使用,提高网络可管理性。
2.3.3日志分析模块
日志分析模块基于Syslog标准协议,可以对不同设备、主机、应用系统进行日志综合分析和集中展现;实现对报警信息的灵活配置和管理,同时提供灵活的报警规则配置、实时报警和历史报警信息的综合管理;基于设备、报警类别、日期等因素进行组合统计和报表,为管理人员提供直观的统计信息和报表信息。
3关键技术
3.1准入控制技术
建立具有结构化、层次化的准入控制体系,针对计算机违规行为下发阻断策略,确保接入内网的计算机符合企业信息安全方面的规定。主要方法共有两种,一种是在互联网出口处部署端点准人设备,强制所有接人互联网桌面计算机安装桌面安全软件,另一种是使用虚拟隔离技术,制定访问控制策略,针对不合规的桌面计算机下发阻断策略,保证内部网络安全。
3.2主动安全防范技术
主动安全防范技术包括病毒木马探测和数字证书认证等,病毒木马探测技术能够强化桌面计算机实时防护功能,主动拦截病毒木马,防范日常攻击和未知安全威胁;数字证书认证技术能够实现USBkey证书和Pin口令的双因素认证方式,可以解决账号权限安全管理问题。
4应用效果
在某企业部署的信息安全防御体系应用效果良好。累计查杀新型网络病毒木马560多万个;强认证登录100多万次;抵御外部攻击600多万次,阻止访问木马钓鱼网站5万余次。
[关键词]多体系;整合;实施方案
doi:10.3969/j.issn.1673 - 0194.2015.16.094
[中图分类号]F279.23 [文献标识码]A [文章编号]1673-0194(2015)16-0-01
1 多体系独立运行存在的问题
公司内通常有多个体系同时并存,如质量管理体系ISO 9001、职业健康体系ISO 18000、环境管理体系ISO 140000、信息安全管理体系ISO 27001、IT服务管理体系ISO 20000以及信息安全资质等,让这些体系“和平共处”非常重要。如不能很好地解决这些体系的共存问题,各个体系将出现“打架”现象,轻则体系运行出现障碍,重则会让整个公司管理体系运行陷入瘫痪状态。
在一些公司中,由于历史原因,多个体系分别独立运行,或者仅有少量体系简单整合,这给体系的良好运转带来极大挑战。
1.1 过程文件 “打架”
同样的事情,可能有多个不同的文件约定,如“培训管理制度”在多个“体系”中同时存在,不同的“体系”中“培训管理制度”因特定体系的要求不同,其内容亦存在差异,如在ISO 20000体系中的“培训管理制度”规定每年年底收集培训需求并制订来年培训计划,而ISO 27001体系中规定每年年初收集培训需求并制订培训计划。这会引起培训专员在实施培训时的困惑,不确定究竟要按照哪个“培训管理制度”执行。
1.2 过程难以实施
各个标准体系,其视角不同,对应的约定不同,但这些约定可能是针对公司同一个业务的不同方面,如在体系中不加以整合,则其实施会遇到很大挑战。如基于ISO 9001,公司制订了项目管理过程,针对项目从立项到结项的一列过程,而公司可能在ISO 27001中的“信息安全管理制度”中,根据ISO 27001附录A6.1.5中有关对项目管理中信息安全要求,做出在项目实施过程中的信息安全要求“在项目实施计划中,采用风险分析方法,分析项目信息安全风险,并根据分析结果,制订信息安全实施措施”。这导致在业务过程中没有规定其实施要求,这些要求反而分散在体系中各个不起眼的过程中,过程实施者在实施时很难联想到这些规定,也无法很好地实施这些规定。
2 多体系整合实施思路
多体系整合基本上分4步进行。
2.1 合并同类项
这一步相对简单,将相同的过程合并成同一个过程,如多个体系均有“培训管理制度”,则保留其中一个就可以。
如果在多个体系中,有相同的管理制度,则保留一个即可,如这些约定有少量不同,则检查不同点在哪里。不同点一般有两种情况:一种是各个体系分别增加的,互不影响的约定,如ISO 20000“培训管理制度”中有关培训内容部分约定需要做IT服务意识培训,而在ISO 27001中相应内容则约定需要做信息安全培训,则只需要将这些约定整合在一起即可。另外一种情况是有冲突的约定,此时需要仔细分析甄别,取其中的合理成分。
如果在多个体系中,针对不同的业务,有类似的管理制度,则需将相同的内容加以整合,如公司系统集成有“系统集成项目实施制度”,软件开发有“软件开发项目实施制度”,运维服务有“运维服务项目实施管理制度”,这些项目实施管理制度,表面上看有诸多不同,但实际上,除部分细节差异外,其管理过程基本上完全一致,对其进行分析、整合,形成统一的、满足公司所有项目实施的“项目管理制度”,有利于公司的过程规范和执行。
2.2 交叉融合
在该步骤中,将同一个过程中的不同约定,整合在一起,方便过程的执行。
如ISO 27001附录A6.1.5中有关对项目管理中信息安全要求,不再独立形成文件另行规定,而是整合在公司的“项目管理制度”中。
在该步骤中,实施的重点在于如何将不同文件的不同规定整合在一起。
2.3 过程验证
对每个过程,针对公司的实际情况进行演练和验证,确保各个过程符合公司现状,过程定义规范、完整、可行。
2.4 过程对标
将整合好的管理体系,按照各ISO体系资质要求,找出每个标准、每个条款对应的过程文件,形成《标准条款对应一览表》,以确认体系符合各个标准。
如该步骤不能通过,则返回第三步。