企业安全信息化精选(九篇)
前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的企业安全信息化主题范文,仅供参考,欢迎阅读并收藏。
第1篇:企业安全信息化范文
在一个企业中,安全管理是支撑企业的核心,特别是对于生产企业而言,安全责任重于泰山。随着信息化的不断发展,企业的信息化建设和应用水平的不断提高,类似办公OA系统、ERP和EMS等办公系统的建设在不断完善,被广泛采用。信息化是企业提高管理效率、提高核心竞争力的有力手段,但在卷烟行业中,部分企业在信息化和安全管理的融合过程中做得不够完善,对信息化的重要性和信息化带来的高效率等方面认识不足,因此,加快卷烟生产企业信息化的建设工作势在必行。
1.2原因分析
造成卷烟生产企业管理现状的原因是多方面的:①意识淡薄。没有充分认识到信息化给卷烟生产安全管理带来的革命性变化,忽视了信息化建设。②资金缺乏。卷烟企业没有足够的资金支持信息化建设,造成信息化建设滞后。③技术匮乏。这是制约卷烟生产企业信息化建设的主要原因,缺乏必要的技术支持必然会造成信息化建设滞后。具体而言,还有以下几个方面的原因。
1.2.1安全管理人员队伍素质偏低
在进行信息化建设过程中,必然需要具备专业知识的人才。在大多数卷烟生产企业中,相关专业的人员素质较低,在信息化的应用和建设方面存在一定的障碍和劣势,进一步制约了卷烟企业的发展。
1.2.2安全信息系统投入风险较大
信息安全系统的建设是一项复杂、长期的工作,需要长时间的设计和调试。在企业中进行大量的资金投入是建成信息系统的必要基础,但由于其具有的不确定性和回报周期较长等特点,在资金投入时,必然会影响到管理层的决策。
1.2.3安全信息系统建成模式单一
在我国当前的信息安全信息化建设中,模式单一是其弊端,原因是可借鉴的经验和先例较少,且在现行的信息建设平台中,大部分采用了相同的工作方式和运行原理,缺乏新意,创新程度较低,进一步制约了信息安全的发展。
2卷烟企业安全管理信息化建设的意义
加强卷烟生产企业安全管理信息化建设有重要的意义和作用,是实现卷烟企业长久发展、提高效率的重要保证。在信息化高速发展的今天,信息化对于任何一个企业而言都具有重要的意义,是实现现代化的重要手段。卷烟企业实现信息化后将大大提高企业的生产效率。
2.1是现代烟草农业发展的客观要求
在当今社会中,信息已成为一种重要资源,成为推动社会发展和进步的重要支柱。信息化的发展必然会推动现代烟草业的发展,使卷烟生产更具系统化和专业化,从而提高卷烟的生产效率。在现代卷烟生产中,卷烟行业具有的分散性、时变性和经验性等都是制约卷烟行业进一步发展的因素,而信息化是解决卷烟行业中存在问题的有力武器,信息化会渗透到卷烟生产行业的各个环节和领域,改造传统的卷烟生产,从而带动现代烟草行业的进一步发展。
2.2是现代烟草物流发展的必然选择
我国烟民人群庞大,但因其分散程度较高,因此,必须有效发展烟草物流。烟草行业要想打造现代烟草农业,必然要进一步推动烟草物流业的发展。信息化提高了烟草物流的时效性和连续性,降低了烟草物流的成本,使物流的可操作性得到了进一步提高。信息化可在物流的分拣、配送和综合管理等方面发挥重要的作用,使烟草产业的供应链更加优化,进一步提高供应链的准确性、时效性。
2.3可有效加强烟草行业安全生产管理
信息化可对卷烟生产的各个环节进行监督管理,使卷烟行业监管更具效率,提高了卷烟的生产效率。卷烟质量是卷烟生产企业的重中之重,信息化安全信息管理的建设可有效提高检测水平和质量,及时发现并整改生产环节中存在的问题和缺陷,提高了卷烟行业的安全性,从而确保了卷烟生产的质量。
3卷烟企业信息化建设的措施和建议
3.1提高思想认识
信息化的首要前提是提高思想认识,只有更多的人认识到信息化的重要性和必要性,才会促使更多的资源流入这方面。要提高单位领导的意识,在现代企业的竞争中,谁能掌握第一手资料,便能掌握先机,从而获得更多机会,信息的充足程度决定了企业的发展程度;要提高单位职工的认识,企业的发展与每一个员工息息相关,因此,身为企业的一份子,要将企业的利益放在首位,理解信息化对企业的重要性。
3.2开展人才培训
信息化建设是一个复杂的专业领域,需要有大量的专业人才参与其中,才可有效建立和完善。因此,加大人才的培养力度是加快企业信息化的重要步骤之一。要建立完整的信息处理平台,就要要求各部门协同配合、共同工作。只有各部门团结一致,才能更快地建立完整的信息处理平台。
4结束语
第2篇:企业安全信息化范文
关键词:分布式;信息安全;规划;方案
中图分类号:TP309.2文献标识码:A 文章编号:1009-3044(2008)36-2848-03
An Information Security Program for a Distributed Enterprise
GUO Yong, CHEN Rong-sheng, ZHAN Gui-bao, ZENG Zhong-cheng, LU Teng-zu, LI Zhuang-xiang
(Fujian Xindong Network Technology Co., Ltd. Fuzhou 350003,China)
Abstract: Based on the specific conditions of the distributed enterprise, information security architecture in accordance with the relevant standards, a distributed enterprise information security planning principles and objectives. And based on the principles and objectives of the meeting, according to the organization, management and technical aspects of three specific design specifications with the principle. Finally, based on the objective of planning services, a category of information distributed enterprise information security services, planning and design examples.
Key words: distributed; information security; planning; program
1 引言
据来自eWeek 的消息,市场研究机构Gartner 研究报告称,很对企业目前仍缺乏完整的信息安全规划和规范。尽管目前很多企业在信息安全方面的投入每年都在缓慢增长,但由于推动力以外部法律法规的约束和商业业务的压力为主,因此他们对安全技术和服务的选择和使用仍停留在一个相对较低的水平。尤其对于机构构成方式为分布式的企业而言,因为信息安全需求和部署相对更加复杂,投入更多,因此这类企业的信息安全规划就更加缺乏。
本文根据这类分布式企业的特点提出了一种符合该类企业实际的信息安全规划方案。
2 总体规划原则和目标
2.1 总体规划原则
对于分布式企业的信息安全规划,要遵守如下原则:适度集中,控制风险;突出重点,分级保护;统筹安排,分步实施;分级管理,责任到岗;资源优化,注重效益。
这个原则的制定主要是根据分布式企业的实际机构构成情况、人员素质情况以及资源配置情况来制定的。
2.2 总体规划目标
信息系统安全规划的方法可以不同、侧重点可以不同,但是需要围绕组织安全、管理安全、技术安全进行全面的考虑。信息系统安全规划的最终效果应该体现在对信息系统与信息资源的安全保护上,下面将分别对组织规划、管理规划和技术规划分别进行阐述。信息安全规划依托企业信息化战略规划,对信息化战略的实施起到保驾护航的作用。信息系统安全规划的目标应该与企业信息化的目标是一致的,而且应该比企业信息化的目标更具体明确、更贴近安全。信息系统安全规划的一切论述都要围绕着这个目标展开和部署。
3 信息安全组织规划
3.1 组织规划目标
组织建设是信息安全建设的基本保证,信息安全组织的目标是:
1)完善和形成一个独立的、完整的、动态的、开放的信息安全组织架构,达到国际国内标准的要求;
2)打造一支具有专业水准的、过硬本领的信息安全队伍。对内可以保障企业内部网安全,对外可以向社会提供高品质的安全服务;
3)建设一个 “信息安全运维中心(SOC)”,能够满足当前和未来的业务发展及信息安全组织运转的支撑系统,能够对外提供安全服务平台。
3.2 组织规划实施
对于组织规划这个方面,是属于一个企业信息安全规划的上层建筑,需要用一种由上而下的方法来实现,其主要是在具体人事机制、管理机制和培训机制上做工作。对于分布式企业而言,需要主导部门从上层着手,建章立制,强化安全教育,加大基础人力、财力和物力的投入。
4 信息安全管理规划
4.1 管理规划目标
信息安全管理规划的目标是,完善和形成“七套信息安全软措施”,具体包括:一套等级划分指标,一套信息安全策略,一套信息安全制度,一套信息安全流程规范,一套信息安全教育培训体系,一套信息安全风险监管机制,一套信息安全绩效考核指标。“七套信息安全软措施”关系如图1所示。
4.2 信息安全管理设计
基于对管理目标的分析,信息安全管理的原则以风险管理为主,集中安全控制。管理要素由管理对象、安全威胁、脆弱性、风险、保护措施组成。
4.2.1 信息安全等级划分指标
信息安全等级保护是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化健康发展的基本策略。
4.2.2 信息安全策略
信息安全安全策略是关于保护对象说明、保护必要性描述、保护责任人、保护对策以及意外处理方法的总和。
4.2.3 信息安全制度
信息安全制度是指为信息资产的安全而制定的行为约束规则。
4.2.4 信息安全规范
信息安全规范是关于信息安全工作应达到的要求,在信息安全规范方面,根据调查,建立信息安全管理规范、信息安全技术规范。其中,安全管理规范主要针对人员、团队、制度和资源管理提供参照性准则;信息安全技术规范主要针对安全设计、施工、维护和操作提供技术性指导建议。
4.2.5 信息安全管理流程
信息安全流程是指工作中应遵循的信息安全程序,其目的是减少安全隐患,降低风险。
4.2.6 信息安全绩效考核指标
信息安全绩效考核指标是指针对信息安全工作的质量和态度而给出的评价依据,其目的是增强信息安全责任意识,提高信息安全工作质量。
4.2.7 信息安全监管机制
信息安全监管机制是指有关信息安全风险的识别、分析和控制的措施总和。其主要目的加强信息安全风险的控制,做到“安全第一,预防为主”。
4.2.8 信息安全教育培训体系
其主要目的加强的信息安全人才队伍的建设,提高企业人员的信息安全意识和技能,增强企业信息安全能力。
5 信息安全技术规划
5.1 技术规划目标
信息安全技术规划目标简言之是:给业务运营提供信息安全环境,为企业转型提供契机,构建信息安全服务支撑系统。具体目标如下:
1)打造信息安全基础环境,调整和优化IT基础设施,建立安全专网,设置两个中心(信息安全运维中心、灾备中心);
2)建立一体化信息安全平台,综合集成安全决策调度、安全巡检、认证授权、安全防护、安全监控、安全审计、应急响应、安全服务、安全测试、安全培训等功能,实现的集中安全管理控制,快速安全事件响应,高可信的安全防护,拓展企业业务,开辟信息安全服务新领域。
5.2 信息安全运维中心(SOC)
SOC 是信息安全体系建设的基础性工作,SOC 承载用于监控第一生产网的安全专网核心基础设施,提供信息安全中心技术人员的办公场所,提供“7×24”小时连续不断的安全应用服务,提供实时监控、远程入侵发现、事件响应、安全更新与升级等业务,SOC 要求具有充分保障自身的安全措施。除了SOC 的组织建设、基础工程外,SOC 的技术性工作还要做以下几个方面:
1)硬件基础建设,主要内容是SOC 的选址、布局、布线、系统集成,实现SOC 自身的防火、防潮、防电、防尘、安全监控功能;
2)软件基础建设,包括SSS 系统、机房监控子系统、功能小组及中心组划分。
图1 信息安全软措施关系
图2 信息安全总体框架
图3 资产、组织、管理和安全措施的关系
5.3 信息安全综合测试环境
随着分布式企业信息化程度的日也加深,需要部署到大量IT 产品和应用系统,为了保障安全,必须对这些IT 系统和产品做入网前安全检查,消除安全隐患。基于此,综合测试环境建设的内容包括:安全测试网络;测试系统设备;安全测试工具;安全测试分析系统;安全测试知识库。
其中,安全测试网络要求能够模拟企业网络真实的带宽;测试系统设备能够提供典型的网络服务流量模拟、典型的应用系统流量模拟;安全测试工具覆盖防范类、检测类、评估类、应急恢复类、管理类等,并提供使用说明、漏洞扫描、应用安全分析;安全测试分析系统能够提供统计分析、图表展现功能;安全知识库包含以下内容:漏洞知识库,补丁信息库,安全标准知识库,威胁场景视频库,攻击特征知识库,信息安全解决案例库,安全产品知识库,安全概念和术语知识库。
5.4 安全平台建设规划
参照国际上PDRR 模型和国家信息安全方面规范,建议信息安全总体框架设计如图2所示。
主要目的,以资产为核心,通过安全组织实现资产保护,以安全管理来约束组织的行为,以技术手段辅助安全管理。其中,资产、组织、管理、安全措施的关系如图3所示,核心为资产,围绕资产是组织,组织是管理,最外层是安全措施。
在平台中集成十个安全机制,它们分别是:信息安全集中管理;信息安全巡检;信息安全认证授权;信息安全防护;信息安全监控;信息安全测试;信息安全审核;信息安全应急响应;信息安全教育培训;信息安全服务。
6 信息安全服务业务规划
6.1 服务业务规划目标
信息安全服务业务规划目标简言之是:以信息安全服务为切入点,充分发挥企业优势资源,引领信息安全市场,为企业转型创造时机。具体目标如下:
1)推出面向客户安全(检查、教育、配置)产品;2)推出面向大型企业的信息安全咨询产品;3)推出面向家庭安全上网产品;4)推出面向企业安全运维产品;5)推出面向企业灾害恢复产品。
6.2 服务业务规划设计
服务业务规划主要针对具体业务而言,在此列举信息类分布式企业业务作为示例:
1)信息安全咨询类产品,其服务功能主要有:信息安全风险评估;信息安全规划设计;信息安全产品顾问。
2)信息安全教育培训类产品,其服务功能主要有:提供信息安全操作环境;提供信息安全知识教育;提供信息安全运维教育。
3)家庭类安全服务产品,其服务功能主要有:推出“家庭绿色上网”安全服务;家庭上网防病毒服务;家庭上网机器安全检查服务;家庭上网机数据备份服务。
4)企业类安全服务产品,其服务功能主要有:企业安全上网控制服务;企业安全专网服务;安全信息通告;企业运维服务。
5)容灾类安全服务产品,其服务功能主要有:面向政府数据灾备服务;面向政府信息系统灾备服务;面向企业数据灾备服务;面向企业信息系统灾备服务。
7 结束语
通过结合分布式企业的具体实际,按照信息安全体系结构相关标准,提出了分布式企业的信息安全规划原则和目标。并依据次原则与目标,按照组织、管理和技术三个方面提出了具体的实现与设计规范原则。最后,依据服务规划目标,提出了信息类分布式企业的信息安全服务规划设计实例。
参考文献:
[1] 周晓梅. 论企业信息安全体系的建立[J]. 网络安全技术与应用,2006,3:62~64,57.
[2] Harold F. Tipton,Micki Krause. Information Security Management Handbook[M]. Fifth Edition.US:Auerbach Publications,2004.
[3] 魏永红,李天智,张志. 网络信息安全防御体系探讨[J].河北省科学院学报,2006,23,(1):25~28.
[4] 张庆华. 信息网络动态安全体系模型综述[J].计算机应用研究,2002,10:5~7.
[5] ISO/IEC 15408,13335,15004,14598,信息技术安全评估的系列标准[S].
[6] BS7799-1,7799-2,ISO/IEC 17799,信息安全管理系列标准[S].
[7] BS7799-2,Information Security Management Systems-Specification With Guidance for use[S].
[8] 李玮. 运营商IT系统网络架构的安全域划分[J]. 通信世界,2005,30:41~41,45~45.
第3篇:企业安全信息化范文
【关键词】信息系统;安全建设;防护体系
1.企业信息系统安全防护的价值
随着企业信息化水平的提高,企业对于IT系统的依赖性也越来越高。一方面,“业务系统流程化”正在成为IT安全建设的驱动力。企业的新业务应用正在逐渐标准化和流程化,各种应用系统如ERP、MES为企业的生产效率的提高起到了关键的作用。有效的管控IT环境,确保IT业务系统的持续稳定运行作为企业竞争力的一部分,已成为IT系统安全防护的主要目标和关键驱动力。另一方面,企业IT安全的建设也是“法规遵从”的需要。IT系统作为企业财务应用系统的重要支撑,必须提供可靠的运行保障和数据正确性保证。
2.企业信息系统安全建设的现状分析
在企业信息化建设的过程中,业务系统的建设一直是关注的重点,但是IT业务系统的安全保障方面,往往成为整个信息化最薄弱的环节,尤其是在信息化水平还较低的情况下,IT系统的安全建设缺乏统一的策略作为指导。归结起来,企业在IT系统安全建设的过程中,存在以下几方面的不足:
2.1 安全危机意识不足,制度和规范不健全
尽管知道IT安全事故后果比较严重,但是企业的高层领导心中仍然存在着侥幸心理,更多的时候把IT安全建设的预算挪用到其他的领域。企业在信息安全制度及信息安全紧急事件响应流程等方面缺乏完整的制度和规范保证,由此带来的后果是诸如对网络的任意使用,导致公司的机密文档被扩散。同时在发生网络安全问题的时候,也因为缺乏预先设置的各种应急防护措施,导致安全风险得不到有效控制。
2.2 应用系统和安全建设相分离,忽视数据安全存储建设
在企业IT应用系统的建设时期,由于所属的建设职能部门的不同,或者是因为投资预算的限制,导致在应用系统建设阶段并没有充分考虑到安全防护的需要,为后续的应用系统受到攻击瘫痪埋下了隐患。数据安全的威胁表现在核心数据的丢失;各种自然灾难、IT系统故障,也对数据安全带来了巨大冲击。遗憾的是很多企业在数据的安全存储方面,并没有意识到同城异地灾难备份或远程灾难备份的重要性。
2.3 缺乏整体的安全防护体系,“简单叠加、七国八制”
对于信息安全系统的建设,“头痛医头、脚痛医脚”的现象比较普遍。大多数企业仍然停留在出现一个安全事故后再去解决一个安全隐患的阶段,缺乏对信息安全的全盘考虑和统一规划,这样的后果就是网络上的设备五花八门,设备方案之间各自为战,缺乏相互关联,从而导致了多种问题。
3.企业信息系统安全建设规划的原则
企业的信息化安全建设的目标是要保证业务系统的正常运转从而为企业带来价值,在设计高水平的安全防护体系时应该遵循以下几个原则:
(1)统一规划设计。信息安全建设,需要遵循“统一规划、统一标准、统一设计、统一建设”的原则;应用系统的建设要和信息安全的防护要求统一考虑。
(2)架构先进,突出防护重点。要采用先进的架构,选择成熟的主流产品和符合技术发展趋势的产品;明确信息安全建设的重点,重点保护基础网络安全及关键应用系统的安全,对不同的安全威胁进行有针对性的方案建设。
(3)技术和管理并重,注重系统间的协同防护。“三分技术,七分管理”,合理划分技术和管理的界面,从组织与流程、制度与人员、场地与环境、网络与系统、数据与应用等多方面着手,在系统设计、建设和运维的多环节进行综合协同防范。
(4)统一安全管理,考虑合规性要求。建设集中的安全管理平台,统一处理各种安全事件,实现安全预警和及时响应;基于安全管理平台,输出各种合规性要求的报告,为企业的信息安全策略制定提供参考。
(5)高可靠、可扩展的建设原则。这是任何网络安全建设的必备要求,是业务连续性的需要,是满足企业发展扩容的需要。
4.企业信息系统安全建设的部署建议
以ISO27001等企业信息安全法规[1]遵从的原则为基础,通过分析企业信息安全面临的风险和前期的部署实践,建立企业信息安全建设模型,如图1所示。
图1 企业信息系统安全建设模型
基于上述企业信息安全建设模型,在建设终端安全、网络安全、应用安全、数据安全、统一安全管理和满足法规遵从的全面安全防护体系时,需要重点关注以下几个方面的部署建议:
4.1 实施终端安全,关注完整的用户行为关联分析
在企业关注的安全事件中,信息泄漏是属于危害比较严重的行为。现阶段由于企业对网络的管控不严,员工可以通过很多方式实现信息外泄,常见的方式有通过桌面终端的存储介质进行拷贝或是通过QQ/MSN等聊天工具将文件进行上传等。针对这些高危的行为,企业在建设信息安全防护体系的时候,单纯的进行桌面安全控制或者internet上网行为控制都不能完全杜绝这种行为。而在统一规划实施的安全防护体系中,系统从用户接入的那一时刻开始,就对用户的桌面行为进行监控,同时配合internet上网行为审计设备,对该员工的上网行为进行监控和审计,真正做到从员工接入网络开始的各种操作行为及上网行为都在严密的监控之中,提升企业的防护水平。
4.2 建设综合的VPN接入平台
无论是IPSec、L2TP,还是SSL VPN,都是企业在VPN建设过程中必然会遇到的需求。当前阶段,总部与分支节点的接入方式有广域网专线接入和通过internet接入两种。使用VPN进行加密数据传输是通用的选择。对于部分移动用户接入,也可以考虑部署SSL VPN的接入方式[2],在这种情况下,如何做好将多种VPN类型客户的认证方式统一是需要重点考虑的问题。而统一接入认证的方式,如采用USBKEY等,甚至在设备采购时就可以预先要求设备商使用一台设备同时支持这些需求。这将给管理员的日常维护带来极大的方便,从而提升企业整体的VPN接入水平。
4.3 优化安全域的隔离和控制,实现L2~L7层的安全防护
在建设安全边界防护控制过程中,面对企业的多个业务部门和分支机构,合理的安全域划分将是关键。按照安全域的划分原则,企业网络包括内部园区网络、Internet边界、DMZ、数据中心、广域网分支、网管中心等组成部分,各安全域之间的相互隔离和访问策略是防止安全风险的重要环节。在多样化安全域划分的基础上,深入分析各安全域内的业务单元,根据企业持续性运行的高低优先级以及面临风险的严重程度,设定合适的域内安全防护策略及安全域之间的访问控制策略,实现有针对性的安全防护。例如,选择FW+IPS等设备进行深层次的安全防护,或者提供防垃圾邮件、Web访问控制等解决方案进行应对,真正实现L2~L7层的安全防护。
4.4 强调网络和安全方案之间的耦合联动,实现网络安全由被动防御到主动防御的转变
统一规划的技术方案,可以做到方案之间的有效关联,实现设备之间的安全联动。在实际部署过程中,在接入用户侧部署端点准入解决方案,实现客户端点安全接入网络。同时启动安全联动的特性,一旦安全设备检测到内部网用户正在对网络的服务器进行攻击,可以实现对攻击者接入位置的有效定位,并采取类似关闭接入交换机端口的动作响应,真正实现从被动防御向主动防御的转变。
4.5 实现统一的安全管理,体现对整个网安全事件的“可视、可控和可管”
统一建设的安全防护系统,还有一个最为重要的优势,就是能实现对全网安全设备及安全事件的统一管理。面对各种安全设备发出来的大量的安全日志,单纯靠管理员的人工操作是无能为力的,而不同厂商之间的安全日志可能还存在较大的差异,难以实现对全网安全事件的统一分析和报警管理。因此在规划之初,就需要考虑到各种安全设备之间的日志格式的统一化,需要考虑设定相关安全策略以实现对日志的归并分析并最终输出各种合规性的报表,只有这样才能做到对全网安全事件的统一可视、安全设备的统一批量配置下发,以及整网安全设备的防控策略的统一管理,最终实现安全运行中心管控平台的建设。[3]
4.6 关注数据存储安全,强调本地数据保护和远程灾难备份相结合
在整体数据安全防护策略中,可以采用本地数据保护和远程灾备相结合的方式。基于CDP的数据连续保护技术可以很好地解决数据本地安全防护的问题,与磁带库相比,它具有很多的技术优势。在数据库的配合下,通过连续数据快照功能实现了对重要数据的连续数据保护,用户可以选择在出现灾难后恢复到前面保存过的任何时间点的状态,同时支持对“渐变式灾难”的保护和恢复。在建设异地的灾备中心时,可以考虑从数据级灾备和应用级灾备两个层面进行。生产中心和异地灾备中心的网络连接方式可以灵活选择,即可采用光纤直连,也可采用足够带宽的IP网络连接。在数据同步方式选择上,生产中心和灾备中心采用基于磁盘阵列的异步复制技术,实现数据的异地灾备。异地灾备中心还可以有选择地部署部分关键应用服务器,以提供对关键业务的应用级接管能力,从而实现对数据安全的有效防护。
5.结束语
企业信息安全防护体系的建设是一个长期的持续的工作,不是一蹴而就的,就像现阶段的信息安全威胁也在不断的发展和更新,针对这些信息安全威胁的防护手段也需要逐步的更新并应用到企业的信息安全建设之中,这种动态的过程将使得企业的信息安全防护更有生命力和主动性,真正为企业的业务永续运行提供保障。
参考文献
[1]李纳.计算机系统安全与计算机网络安全浅析[J].科技与企业,2013.
[2]李群,周相广,陈刚.中国石油上游信息系统灾难备份技术与实践[J].信息技术与信息化,2010,06.
第4篇:企业安全信息化范文
为了增强国家经济的可持续性快速发展,增强国家的综合实力,党的十六大报告中明确提出“坚持以信息化带动工业化,以工业化促进信息化”的发展战略,十七大报告提出“大力推进信息化与工业化融合”。可以看出,对信息化在国民经济和社会发展全局中地位和作用的认识随着我国经济发展在逐步深化。
随着企业信息化建设的不断推进,信息在整个企业经营过程中起着至关重要的作用,信息安全是信息化可持续发展的保障,信息是社会发展的重要战略资源。网络信息安全已成为急待解决,影响企业发展极为关键的问题。
一、信息安全至关重要
信息安全是指信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。
国际信息系统安全核准联盟(ISC2)公布其全球信息安全专业人员调查,并指出近四分之三的信息安全从业人士认为,避免企业信誉受损是安全项目的首要任务。《2008 全球信息安全从业员研究》(“GISWS”) 由 Frost & Sullivan 代表ISC2进行。共有来自100多个国家的企业和公共部门机构的7,548名信息安全从业人员接受了调查。数据丢失和审核所带来的压力已经使信息安全的可靠性受到企业管理层的关注。
由国家计算机网络应急技术处理协调中心的《2007年网络安全工作报告》称,网络信息系统存在的安全漏洞和隐患层出不穷,利益驱使下的地下黑客产业继续发展,网络攻击的种类和数量成倍增长,终端用户和互联网企业是主要的受害者,基础网络和重要信息系统面临着严峻的安全威胁。2007年各种网络安全事件与2006年相比都有显著增加。企业在面对外忧的同时,还要承受内患的威胁。企业或许通过构建数据隔离系统能有效防御外部攻击,但对内部的主动泄密却毫无招架之力,有数据显示,目前,泄密事件78.9%的损失都是由内部主动泄密导致。除了防御外部攻击外,内网的管理也至关重要。
二、信息安全的基本目标
信息安全通常强调所谓CIA三元组的目标,即:保密性(Confidentiality)、完整性(Integrity)和可用性(Availability)。CIA 概念的阐述源自信息技术安全评估标准(Information Technology Security Evaluation Criteria,ITSEC),它也是信息安全的基本要素和安全建设所应遵循的基本原则。1.保密性:确保信息在存储、使用、传输过程中不会泄漏给非授权用户或实体。2.完整性:确保信息在存储、使用、传输过程中不会被非授权用户篡改,同时还要防止授权用户对系统及信息进行不恰当的篡改,保持信息内、外部表示的一致性。3.可用性:确保授权用户或实体对信息及资源的正常使用不会被异常拒绝,允许其可靠而及时地访问信息及资源。
除了CIA,信息安全还有一些其他原则,包括可追溯性(Accountability)、抗抵赖性(Non-repudiation)、真实性(Authenticity)、可控性(Controllable)等,这些都是对CIA 原则的细化、补充或加强。
三、信息安全漏洞
企业信息化建设,既能使企业获得发展的先机,提高和巩固企业竞争优势,也能给企业带来新的风险。信息安全就是其中的核心问题。信息安全问题控制不当,企业信息化不但无法提高企业活力,还可能给企业带来灾难性的后果,威胁企业的生存。企业信息安全的威胁大致有以下几方面。
1.外部威胁。⑴软件系统漏洞:wndows系统的脆弱被大家公认。在2007年中,这种情况有了新的改变,百度搜霸、暴风影音、Qvod(Q播)、realplayer等流行软件取代了windows的“漏洞王”地位。⑵网络攻击:①“黑客”侵入:窃取企业信息、篡改企业数据库、干扰用户之间的通讯信息、攻击服务系统造成系统瘫痪。②计算机病毒:浏览器配置被修改、数据受损或丢失、系统使用受限、网络无法使用、密码被盗是计算机病毒造成的主要破坏后果。2007年我国计算机病毒感染率为91.4%,为历年来最高;多次感染病毒的比率为54%,仍然维持在较高水平。③邮件灾难:企业管理人员随时可能发送涉及高度敏感话题的未加密电子邮件(股票发行、新产品计划、合并、收购等等),而它极易被人截获并加以利用。批量发送的未经收信人许可垃圾邮件已严重影响正常网络通信,企业带来时间和金钱上的损失。同时,垃圾邮件已成为黑客助纣为虐的工具。而通过电子邮件携带及传播恶意代码、病毒等更是对系统造成严重后果;④自然灾害、意外事故:地震、水灾、火灾等自然灾害将对系统造成毁灭性的伤害;意外事故(断电、水浸、虫咬)同样不可忽视。
2.内部威胁。⑴系统风险:硬件选配不合适,环境不合要求,设备安装不规范等;信息技术方案选择失误,信息技术的快速增长并没有反映到你的系统中,使得系统安全性减弱;⑵非授权访问:未经系统授权而使用网络或计算机资源;⑶人为错误,比如:使用不当,安全意识差等;⑷计算机犯罪:恶意窃取、或出售企业机密;⑸管理漏洞:没有严格的信息安全方针和规程;管理层不重视,不能保证足够的安全预算;用户权限设置混乱;过多的文件读/写权限,休眠的用户账户也是一个常见的安全风险。
四、信息安全控制
1.及时修补软件漏洞。在日常的安全防护中,不但要重视Windows系统漏洞的弥补,还要注意防范应用软件的漏洞。某些IE浏览器的插件、输入法、影音播放等应用软件,都可能成为“黑客”病毒攻击的对象。用户使用这些软件时不要仅仅关注他们的功能,还要注意其安全性能,并使用最新版本的软件。
2.快速事故响应。及时制定事故相应方针和规程,告诉用户当发生事故或入侵时应该做什么、如何做、采取行动的时间以及向谁报告,这将决定企业机密信息的命运。
3.启用防火墙。制定防火墙方针和规程,指定专人负责、定期升级、应用最新补丁、及时培训,阅读审核日志,使用检测软件,快速响应,要求安全证据。
4.跟踪外部连接。随着电子商务的开展,越来越多的企业使用Internet来交换重要的商业信息,从而引起外部连接数目的激增,包括资金和财务数据。有必要专人负责跟踪外部连接,记录并定期提交详细的连接状态报告。
5.加密/过滤电子邮件。电子邮件加密套件十分容易安装,并且对用户来说近乎透明,能对用户的隐私进行有效地加密保护;更为重要的是你必须使用垃圾邮件过滤软件,阻止各种兜售信息(垃圾邮件)、病毒恐慌、真正的病毒、蠕虫、特洛伊木马等的攻击。
6.贯彻冗余方案。建立冷备份、热备份和冗余备份。冷备份指除一个在用网络外,还有一备份网络。备份网络在日常处理时不开机,一旦发现网络出现故障,立即启动备份网络,代替生产网络进行工作。热备份指备份网络也开机运行,但并不服务。一旦网络失效,备份网络即自动代替生产网络进入服务。冗余备份则是多个网络同时进行服务,一个网络的失效不影响整个系统的运行。
7.加强内部管理。企业应建立相应的网络安全管理办法,加强内部管理,建立合适的网络安全管理系统,加强用户管理和授权管理,建立安全审计和跟踪体系,及时进行用户培训,提高整体网络安全和法律意识;
五、结语
国民经济的发展,综合国力的提升,提高企业的市场竞争力,企业信息化是必经之路。实现信息安全是企业信息化成败的关键,它不但靠先进的技术,而且也得靠严格的安全管理,法律约束和安全教育
参考文献:
[1]Linda McCarthy:《信息安全-企业抵御风险之道》,清华大学出版社,2003。
[2]飘摇:《信息安全成为当前全球企业信息化首要任务》,赛迪网,2008.4。
[3]国家计算机网络应急技术处理协调中心 :《2007年网络安全工作报告》,2008。
第5篇:企业安全信息化范文
关键词:化工企业;信息化;安全技术
中图分类号:C29文献标识码: A
一、电子信息安全关键技术的应用
1、基于windows文件系统过滤技术(File System Filter Drivers)的数据读写重定向技术
Windows平台支持文件系统的过滤驱动技术,这种技术工作在内核驱动层,用于在实际操作前拦截文件操作请求。过滤驱动能扩展或者替换原有操作功能,常应用于防病毒软件、备份系统以及磁盘加密等。相应的架构如上图所示:为了保证文件不能被保存在本地磁盘中,采用文件系统过滤技术,将所有对本地磁盘的写操作全部重新定向为写入到内存中,这样,当系统断电后,所以文件更新的内容会全部丢失,在本地磁盘中不会留下任何痕迹。或者和虚拟网络磁盘技术结合将对本地磁盘的写操作重新定向到远程服务器空间(云空间),实现本方案的目标:在本地硬盘不留任何数据写入痕迹。
2、虚拟网络磁盘技术(Virtual Network Disk System)
针对文件的访问,从驱动层面入手,提供虚拟磁盘接口,将远程服务器目录映射成本地磁盘驱动器,与Windows文件管理器高度集成,提供极佳的用户操作体验。可以确保在网络环境中的各种应用程序的顺畅运行。
3、基于硬件手段的硬盘物理锁技术
基于硬件写保护的硬盘写保护卡,实实在在地给硬盘加上了物理性的写保护。其思路是,不论高层如何访问硬盘,最终都归结为对端口1F0~1F7的读写。可以通过硬件过滤对这些端口的读写,当发现有写磁盘命令时,拦截该信号,从而实现对硬盘的控制,这样,无论是人为的的或是病毒的破坏,都无法攻破这种基于物理层面的硬盘锁。
4、基于硬盘锁ID、CPU ID和用户密码的定人、定机、定硬盘三位一体认证保障技术。同时集成数据加密、安全通信、密钥和权限管理,保证数据的安全访问。
二、化工企业的信息化建设意义
在人类已走进以信息技术为核心的知识经济时代,信息资源已成为与材料和能源同等重要的战略资源时;信息技术正以其广泛的渗透性、无形值价和无与伦比的先进性与传统产业结合。企业的信息化进程也在不断发展,信息已成为企业成败的关键,也是管理水平提高的重要途径。如今企业的商务活动,基本上都采用电子商务的形式进行,企业的生产运作、运输和销售各个方面都运用了信息化技术。如通过网络收集有关原材料的质量,价格,出产地等信息来建立一个原材料信息系统,这个信息系统对原材料的采购有很大的作用。通过对数据的对比分析,可以得到更准确的采购建议和对策,并能够为企业节约资金和时间,从而促进企业经济增长。有关调查显示,相当比例的化工企业对网站的认识还处于宣传企业形象,产品和服务信息,收集客户资料这一阶段,而电子商务这样关系到交易的应用则比例较少。所以对利用信息资源创造生产总值的认知还要一段时间。
三、电子信息安全技术阐述
1、电子信息中的加密技术
加密技术能够使数据的传送更为安全和完整,加密技术分为对称和非对称加密两种。其中对称加密通常通过序列密码或者分组机密来实现,包括明文、密钥、加密算法以及解密算法等五个基本组成成分。非对称加密与对称加密有所不同,非对称加密需要公开密钥和私有密钥两个密钥,公开密钥和私有密钥必须配对使用,用公开密钥进行的加密,只有其对应的私有密匙才能解密。用私有密钥进行的加密,也只有用其相应的公开密钥才能解密。
加密技术对传送的电子信息能够起到保密的作用。在发送电子信息时,发送人用加密密钥或算法对所发的信息加密后将其发出,如果在传输过程中有人窃取信息,他只能得到密文,密文是无法理解的。接受着可以利用解密密钥将密文解密,恢复成明文。
2、防火墙技术
随着网络技术的发展,一些邮件炸弹,病毒木马和网上黑客等对网络的安全也造成了很大的威胁。企业的信息化使其网络也遭到同样的威胁,企业电子信息的安全也难以得到保证。针对网络不安全这种状况,最初采取的一种保护措施就是防火墙。在我们的个人计算机中防火墙也起到了很大的作用,它可以阻止非黑客的入侵,计算机信息的篡改等。
3、认证技术
消息认证和身份认证是认证技术的两种形式,消息认证主要用于确保信息的完整性和抗否认性,用户通过消息认证来确认信息的真假和是否被第三方修改或伪造。身份认证使用与鉴别用户的身份的,包括识别和验证两个步骤。明确和区分访问者身份是识别,确认访问者身份叫验证。用户在访问一些非公开的资源时必须通过身份认证。比如访问高校的查分系统时,必须要经过学号和密码的验证才能访问。高校图书馆的一些资源要校园网才能进行访问,非校园网的不能进入,除非付费申请一个合格的访问身份。
四、化工企业中电子信息的主要安全要素
1、信息的机密性
在今天这个网络时代,信息的机密性工作似乎变得不那么容易了,但信息直接代表着企业的商业机密,如何保护企业信息不被窃取,篡改,滥用以及破坏,如何利用互联网进行信息传递又能确保信息安全性已成为化工企业必须解决的重要问题。
2、信息的有效性
随着电子信息技术的发展,化工企业都利用电子形式进行信息传递,信息的有效性直接关系的企业的经济利益,也是企业贸易顺利进行的前提条件。所以要排除各种网络故障、硬件故障,对这些网络故障带来的潜在威胁加以控制和预防,从而确保传递信息的有效性。
3、信息的完整性
企业交易各方的经营策略严重受到交易方的信息的完整性影响,所以保持交易各方的信息的完整性是非常重要对交易各方都是非常重要的。在对信息的处理过程中要预防对信息的随意生成、修改,在传送过程中要防止信息的丢失,保持信息的完整性是企业之间进行交易的基础。
五、解决中小企业中电子信息安全问题的策略
1、构建化工企业电子信息安全管理体制
解决信息安全问题除了使用安全技术以外,还应该建立一套完善的电子信息安全管理制度,以确保信息安全管理的顺利进行。在一般化工企业中,最初建立的相关信息管理制度在很大程度上制约着一个信息系统的安全。如果安全管理制度出了问题,那么围绕着这一制度来选择和使用安全管理技术及手段将无法正常进行,信息的安全性就得不到保证。完善,严格的电子信息安全管理制度对信息系统的安全影响很大。在企业信息系统中,如果没有严格完善的信息安全管理制度,电子信息安全技术和相关的安全工具是不可能发挥应有的作用的。
2、利用企业的网络条件来提供信息安全服务
很多化工企业的多个二级单位都在系统内通过广域网被联通,局域网在各单位都全部建成,企业应该利用这种良好的网络条件来为企业提供良好的信息安全服务。通过企业这一网络平台技术标准,安全公告和安全法规,提供信息安全软件下载,安全设备选型,提供在线信息安全教育和培训,同时为企业员工提供一个交流经验的场所。
3、定期对安全防护软件系统进行评估、改进
随着化工企业的发展,化工企业的信息化应用和信息技术也不断发展,人们对信息安全问题的认识是随着技术的发展而不断提高的,在电子信息安全问题不断被发现的同时,解决信息安全问题的安全防护软件系统也应该不断的改进,定期对系统进行评估。
结束语
总之,各中小企业电子信息安全技术包含着技术和管理以及制度等因素,随着信息技术的不断发展,不仅中小企业办公逐渐趋向办公自动化,而且还确保了企业电子信息安全。
参考文献:
第6篇:企业安全信息化范文
关键词:电力;通信企业;安全文化;建设
现阶段,企业安全文化由于其本身具备有优良的安全管理手段的特点,已经受到众多企业广泛的关注。因此,怎样有效地构建安全文化是当前电力行业及通信企业共同探讨的话题。电力通信企业生产的主要目的在于如何有效地利用通信为电力企业搭建一个基础平台,能够准确地控制各项生产、营销、办公自动化的消息的全面传送,能够给电网的安全生产及经营管理提供安全、可靠的通信保障及优质的服务。它不仅具备维护量大、点多面广线长的特点,而且其技术更新过程很快,需要不断学习才能够具备驾驭能力。另外,其安全责任性相对较大,特别是针对电网安全运行,需要更新传统的通信安全观念,树立与电网安全生产要求相适应的安全管理理念。因此,电力通信企业的安全文化管理是一个繁杂的系统性工程,由于其涉及众多因素,必须长期坚持开展工作,而领导班子齐心协力是建设企业安全文化的重要基础。
1 安全文化建设的内涵及意义
电力通信企业的安全文化指的是在从事电力通信生产的实际过程中,为了能够保证生产能够正常进行,保护职工不受到伤害,通过长时间不断地积淀和总结,并结合当前形式下的市场积极制度所形成的一种思想及理论。其不仅是全体职工对安全工作形成阶段的一种共识,而且还是电力通信企业安全工作的基础与平台,更是实现电力通信企业安全生产长治久安的坚强后盾。因此,安全文化在电力通信安全管理阶段中具备非常重要的意义。
1.1 企业安全文化建设的步骤
1.1.1 建立机构
企业安全文化组织的保证来源于建立领导机构。委员会负责对领导的组织工作,日常工作开展主要依靠下设办公室完善,各项二级单位需要成立专门的领导小组。安全文化建设领导机构能够有效建立及正常运转都少不了高层领导的高度重视。各级领导需要充分意识到建设企业文化对企业发展的重要性,积极组织好安全文化小组,完成各项任务,要保证其在任务阶段能够获取有效成绩,推进企业安全文化建设步伐,以此带动企业安全生产管理水平的提升。
1.1.2 制订规划
在进行电力通信企业安全文化的建设过程中,需要有总体规划方案,即行动有计划,并且要定时定期地检查计划与规划的执行状况。在制定规划的过程中,需要调查分析安全文化所涉及的内容,并且要根据电力企业安全生产及经营管理对通信专业的基本要求,对企业的安全文化理念做定格的设定。要及时地制定科学的时间表,在实施计划过程需要讲究效率及效果,而且要定期检查实施情况。值得特别注意的是,企业必须与时俱进,要按照电力企业对通信企业提出的各项要求,进行创新文化的理念革新,及时修订安全文化的建设规划,使其能够适应时展。
1.1.3 训练骨干
在安全文化建设的过程中,只有训练出一批对安全文化建设有正确认识及深刻体验的骨干人才,才能够在一定基础上有效地带动群众队伍,从而齐心地建设和完善企业安全文化。这一过程的训练内容基本包括理论分析、实例分析及经验详谈和单位的实施方法等。企业骨干培训越多,企业安全文化建设的推动就越有利。所以,对于企业领导、班级领导,首先要让自己成为企业中的骨干,只有这样才能起到带头作用,才能更好地影响群众。
1.1.4 宣传教育
安全文化建设的手段主要通过宣传、激励、教育、感化的形式进行。通过采取各种文化模式,例如宣传激励、科技创新、文学艺术、教育培训等协助安全文化建设的推进工作。在此有几方面的内容需要强调,具体如下;
(1)要传递上级主管部门在各个环节的重要指示精神,特别是针对通信专业的具体要求,需要领悟其深刻思想,要在一定程度上加强安全生产的责任感。
(2)要积极、有效地运用“安全月”“安全隐患排查”的活动,及时做好安全文化建设的宣传工作,营造文化气氛。
(3)要抓住重大事故的案例进行对比,按照四不放过的原则进行严格管控,通过举一反三的形式对员工进行安全意识培养。
1.1.5 努力实践
在建设企业安全文化的阶段中,不仅需要做到雷厉风行,而且还要完善实际效果。安全建设文化实践的要点主要包括以下方面:
(1)高层领导需要起到表率的作用,要不断深入群众体系,聆听大众建议。
(2)管理人员在管理过程必须有创新精神,而且这个阶段需要培养新的工作作风。
(3)需要建立完善的机制,需要表彰奖励先进,对正确的行为方式给予鼓励。
2 企业安全文化建设的内容及方法
当前,在电网的安全管理及经营管理都依赖于通信的形势下,电力通信安全生产的重要性,在很大程度上决定了企业安全文化建设的必然性。其中,通信企业安全文化建设的内容主要包括以下方面:
(1)有效地完善安全机制,提升安全意识。
(2)通过对事故心理的研究,塑造优良的心理状态。
(3)加大教育力度,增强教育效果。
(4)不断完善安全立法,规范行为作业。
3 电力企业安全文化建设的途径
只有将“以人为本”的概念放在文化建设的首位,才能够有效地将企业文化塑造成具有可操作性的企业安全文化,并且以此为基础,形成相对的安全意识及安全价值观。当前,在电力体系不断改革的基础下,电力企业安全文化建设也在不断向人性化、统一化转变,由面向设备慢慢向面向人转变,由面向技术逐渐转变为面向规范化。
3.1 科学地树立安全价值观
在安全生产的实际阶段中,电力企业需要根据自身特点,培训员工普遍认同的科学的安全价值观及安全生产理念,运用简练的语言进行表述,以此激发员工的积极性以及提高员工的工作热情,从而提升安全生产责任感。采用正确的价值观去面对事故发生的瞬间,积极地调整和约束自己的行为,做出保护生命财产及减少损失的正确选择。以上这些行为措施,都对提高全体员工的安全素质有一定的意义,对其实现安全生产目标有推动性作用。
3.2 建立以人为本的文化概念
国外杜邦公司经过研究认为,96%的安全因素来源于人体行为。几年来,通过多起事故的实际调查分析,也充分证明了这一点。所以要想做好安全生产就需要对“人”进行有效管控,要从“人”这个管理要素入手,培养适合本企业的安全生产文化,并且这个阶段如何被广大职工接受,让其在内心深处留下积极印象,从而在安全生产中发挥重要作用,这应该是当前电力通信企业安全文化建设的首要任务。
3.3 建立分成负责的安全管理网络
在这一过程中需要建立一个以行政领导为中心、面向管理部门与基层部门班组辐射的安全管理网络。各层需要有专人负责,各层都需要做到人员、制度、措施的3个落实制度,每层都需要重视安全文明建设,各个层面都需要能够运行系统管理的原理方法及分析评价系统的安全状态,要及时发现通报系统中存在的危险信号,通过采取综合措施,让系统中发生的事故率有所降低,使其安全状态保持稳定。
3.4 建立统一的职业规范
根据电力系统的各项系统特征,需要制定一个有效的职业规范。安全生产技术的培训,在一定阶段中促成了职业规范的形成。严格的培训能够在一定基础上员工的行为形成一种准则及思维方式,能够让员工各就其位,各负其责,能够提高其工作效率及安全监管水平。企业需要定时对员工进行组织培训,培训内容应该以国家方针、政策、法律及企业安全生产技术为基础,特别要针对刚上岗的新员工进行严格的岗位培训。
第7篇:企业安全信息化范文
关键词:油田企业 微时代 信息化安全 管理
一、微信息覆盖的人群范围更加广泛
随着“微时代”的到来,微信息覆盖的人群范围更加广泛,粘性不断增强,一段文字、一张图片、一段视频都能无孔不入地迅速扩散到全世界,微信息已成为人们获取信息的重要手段和交往工具,正在不断地改变着人们的工作、生活和思维方式。我们应该意识到,微信息不仅仅是科技、是媒体,是军事、政治、管理和服务,微信息无孔不入渗透到社会各个方面,也在相当程度上侵蚀着油田企业信息化管理的传统领地,冲击着油田企业信息化管理的传统组织结构和运作方式,“微时代”下的微信息已深刻地改变了管理的所有领域。
二、推进“微时代”油田企业信息化管理的基本构想
1、“微时代”油田企业管理的内涵理解。所谓“微时代”下的油田企业信息化管理,是新时期油田企业信息化实践领域技术创新的一项重要内容,其实质就是利用现代网络通信技术对传统信息化管理在信息沟通领域所进行的一种创新、拓展和衍生,目的是将人类目前最有效的即时通信手段引入油田企业信息管理的各个领域,这是一种以网络、手机等通信工具为载体,以现代微通信技术为支撑,传统与现代结合,虚拟与现实结合,具有开放性、平等性、交互性、超时空性和立体交叉性等特征的油田企业信息化管理新机制。“微时代”下的油田企业信息化管理具有变革油田企业管理和服务模式,打破地域、时空界限和建制间的壁垒,整合资源,构建互联互通、覆盖广泛、注重服务的信息化管理新体系的功能,能够提高油田企业信息化管理的工作效率。
2、推进微信息信息化的总体思路。油田企业是国家的能源企业,既具备其它企业的特征,又具有油气服务管理的职能,应该本着着眼长远、统筹规划、整合资源、立足实际、分步实施、保障安全、服务为本和注重实效的总体要求,推进微信息信息化应用。
从宏观层面来说,微信息信息化应用应该是通过应用以即时通信技术为代表的现代信息技术手段,全面整合油田企业现有信息网络资源,以局域网为基础平台,建设以油田企业干部职工个体为中心的教育、管理和服务新模式,整体推进油田企业基层管理工作信息化,实现管理工作理念、工作载体和组织设置形式的创新突破,全面提升油田企业信息化管理科学化的水平。
围绕这个大目标,在油田企业微信息信息化管理推进实践中应该实现三个具有突破性的具体目标:一是创新工作理念,使信息化格局从封闭向开放转变,信息管理工作从宏观指导向微观管理转变,干部职工个体管理从静态向动态转变,干部职工从被动接受管理向主动参与转变,组织活动从现实世界向网络虚拟空间发展转变。二是创新“微时代”信息化管理工作载体,从单机独立应用向基于互联网的联网应用转变,从固定的电脑终端向移动办公、移动手机等多形式终端拓展,通过电脑+手机、网络+微博+微信+短信等载体搭建有利干部职工发挥主体作用的平台,增进组织与干部职工、干部职工与干部职工之间的联系,使广大干部职工活动不受时间、地点、隶属关系的限制。三是创新组织设置形式,油田企业的组织设置形式从实体建制向虚拟建制拓展,做到实体建制信息化、虚拟建制网络化。
三、“微时代”信息化管理的基本功能
1、合理布局微信息
微信息应该围绕油田企业中心工作和业务实际,涵盖从理论到实际、从政策到务实、从历史到现实、从教育到管理等诸方面,这是加强油田企业信息化管理的必然要求。同时,加强资源建设,针对目前传统网站信息量不丰富、不生动、不贴近干部职工实际的问题,微信息信息化管理应加大微资源建设,这是微信息信息化建设重要的物质基础。
2、研发微信息理论研究数据库
结合油田企业管理、信息通信、检查、业务、政治、行政工作等各方面的业务理论,用微信息突出油田企业管理和业务理论性、权威性、现实性和安全性的要求,以达到快、短、准的特点。同时,学习借鉴国际国内网络及微信息管理的成功经验,开设微信息教育网络系统。
3、建立科学合理的“微时代”信息化管理运行机制
当前,传统的行政运行模式造成的后果,就是信息量少、呆板、冗长,缺乏互动,因此要达到吸引干部职工的目的,就需要有科学合理的运行机制做保障。
4、培养信息人才队伍
建设一支思想过硬、技术精湛、能与时代前沿科技应用接轨的信息人才队伍,是“微时代”信息化建设的重要保证。要使油田企业的技术干部职工既精通网络技术,又掌握油田企业业务理论,还要熟悉当前“微时代”下干部职工的所需所想。
四、“微时代”油田企业信息化管理的安全体系
1、风险评估。采用风险管理理论识别安全风险、定期进行安全评估、了解掌握安全状态,是保证系统安全的动态措施。要从技术和管理两个层面综合判断信息系统面临的风险。
2、安全保障制度。安全保障应包括组织管理、应急管理、内容审查管理、网络安全管理等。要建立健全网络安全组织管理制度并强化规章制度的执行;要设立应急管理处置方案,当出现较严重的网络违规行为、油田企业干部职工利用微信息传播非法信息等紧急情况时,需要采取组织管理措施、应急处置预案等;要严格内容审查管理制度,建立内容安全等级划分标记,坚持谁上网谁负责、谁维护谁负责、谁管理谁负责;要制定微信息安全管理制度,按照安全管理规范,制定相应的安全策略,保障微信息的安全运行和传播,包括用户授权管理、服务器安全管理、设备安全管理、信息安全管理。
3、安全服务标准。安全服务是通过各种技术手段来实现技术层面的安全保障。技术主管部门在整个运行维护服务过程中,应当根据各项安全管理制度制定相应的安全服务标准,严格监督网络服务商的安全服务过程,对运营维护服务进行审计。
参考文献:
[1]王新帅.新媒体环境下国企新闻宣传策略分析[J].科技信息,2013(18).
第8篇:企业安全信息化范文
近年来,许多企业内网数据信息泄露事件频繁出现,这预示企业内容数据信息泄露防御工作存在严重的缺陷。并且随着各种新型技术、热门应用的应用,增加了对企业内网的攻击频率和针对性,造成大量的数据信息泄露,这对于企业的健康、稳定以及长足发展是非常不利的。十之后,信息安全作为重大战略,上升到国家高度,加强并构筑企业信息防御能力显得更为重要和迫切。因此,文章针对信息泄露防御模型在企业内网安全中应用的研究具有一定的现实意义。
2企业内网安全现状分析
目前,黑客间谍、木马等在不停的给企业内网制造安全麻烦,并且利用各种新型技术、热门应用等,增加了对企业内网的攻击频率,并且攻击目标越来越具有针对性,盗取了企业内网中的众多重要数据信息,给企业内网安全埋下严重的隐患。同时,对企业内网数据信息泄露事件进行分析,影响企业内网信息安全的因素,不仅仅是黑客间谍、木马的攻击,还有一部分是由于企业并没有创建科学、有效的信息防御模型,再加上企业内网安全维护人员自身疏忽、操作不当或者其他原因可能引发内网数据信息的泄露。正是由于上述众多原因,并且企业在运行的过程中的业务流程以及数据信息量的不断的增多,加上泄露防御系统、员工失误等导致的信息泄露事件逐渐的增多,因此亟待采取有效的措施进行安全控制和处理。目前,企业针对内网信息泄露的防御措施包括以下几个方面:禁止使用打印机、光驱、软驱等;禁止使用可移动储存器;禁止使用网络连接等,上述“人治”的方式虽然组织了敏感信息进入到企业内网,但是却降低了系统的可用性,实用性不强。
3信息泄露防御模型在企业内网安全中的应用分析
3.1信息泄漏防御模型原理
本文提出了基于密码隔离的信息泄露防御模型,利用密码以及访问控制的方式,在企业内网中创建一个虚拟网,以此解决企业内网敏感信息泄露的问题。文章给出一个科学的秘钥管理协议,结合对称加密算法,赋予了该信息泄露防御模型一人加密指定多人解密的功能,即企业中的任何用户对敏感信息进行加密后,能够指定一个或者多个解密者,以此控制敏感信息的传播途径与范围。该信息泄露防御模型在企业内网安全中应用的最大特点在于拥有者与使用者不分离,例如,企业内部人员在不改变终端的前提下,同时不影响其任何权限,具有访问终端上的所有客体的权限,这样很容易导致企业内网的敏感信息外泄,但是这样必须控制用户的行为,因此,文章提出的基于密码隔离的信息泄露防御模型,将系统的主体、客体进行分级,即低安全级与高安全级,其中高安全级储存以及传递的信息需要受到保护,不能泄露到企业外部。因此,该模型的核心思想表现为:当模型判断信息为敏感信息时,将信息的安全等级提升为高安全级,如果高安全级的信息被传递至外部网络或者设备时,会对信息进行加密,然后将敏感信息相对应的数据文件标记成高安全级,在应用环境中形成一个密码隔离的虚拟网络,在该虚拟网络中敏感信息以密文的形式存在,即使黑客或者恶意用户将信息通过移动储存器、网络等传递到企业外部,但是得不到相应的解密密钥,也不会导致企业信息被泄露。
3.2CIBSM模型的应用
近年来,企业内网信息系统规模不断的扩大,覆盖范围越来越广,因此信息系统的组成也逐渐的向复杂化方向发展,威胁信息系统安全的因素不断的增多,如果仅仅提出保证企业内网信息安全的理论,并不能够保证企业内网信息安全,还需要给出科学、合理、可行的实施方法,基于此创建了OM/AM框架,即O-objective(目标)、M-model(模型)、A-architecture(架构)、M-mechanism(机制),该架构实现了“做什么”到“怎样做”的转变,即将CIBSM模型从理论到实践,从工程上给出可行的实施方法,有效的解决了企业内网信息外泄的隐患。CIBSM模型的工程实现采用安全内核方式,通过控制文件读写以及进程的方式防止信息泄露,在实际应用的过程中应该注意以下两个方面:3.2.1密钥管理协议方面密钥管理机制在一定程度上决定了CIBSM模型的实用性以及安全性,因此密钥管理机制应该保证企业内网的所有合法终端都能够对敏感信息进行加密,并且在企业的应用环境中对加密的敏感信息进行解密,并且保证非法终端部能够解密加密的敏感信息。同时,还应该保证解密秘钥的透明性,防止用户将密钥带到企业外部环境。基于此,CIBSM模型采用基于身份的密钥管理机制,便于实现企业内网信息的安全传递与储存。3.2.2可信终端引入方面通过引入可信终端,能够实现对敏感信息的降级处理,实现对企业内部敏感信息的正确管理,并且所有的敏感信息都需要经过可信终端的降级处理,即用户需要将敏感信息通过外部储存装置或者打印带至企业应用环境以外时,可信终端会对所有的敏感信息进行降级处理,以此保证企业内网敏感信息的安全性。可信终端的引入,在不降低系统可用性的基础上,提高了企业内网敏感信息的安全性。
4结束语
第9篇:企业安全信息化范文
论文关键词:档案;信息化;保密;原则
随着信息网络技术在电力企业规划、建设、生产、经营、科研等方面的应用,企业大量档案信息通过网络传输、应用和存储,对电力企业党政综合管理部门的信息安全保密工作提出了新的挑战。因此,在充分发挥档案信息网络在企业管理中快速、高效、方便等优势的同时,深入研究信息化条件下电力企业党政综合管理部门保密工作的措施和方法,是电力企业党政综合部门必须高度重视、认真解决的一个新课题。企业管理实践证明,只有加强档案信息安全保密工作,才能保障电力企业实现科学发展、安全发展、和谐发展的目标。
一、新形势下,企业档案信息管理仍不失其保密原则
1.信息化是档案管理呈现出来的新特征
档案是直接形成的历史记录,是再现历史真实面貌的原始文献。其实,档案管理绝不是今日才有,它在我国已有悠久的历史,过去档案管理是政府部门即所谓“官家”的职责,近代工业革命以来,档案管理才逐渐走进企业。在现代化工业建设中,档案管理的重要地位越发突显,成为整个企业管理链中不可或缺的一环。以往,档案通常是纸质的文件形式,而随着技术的发展与进步,档案管理步入了信息化管理状态,即将文字(图表、图纸、照片等)档案转化为数字化状态,经过发达的信息传播媒体,直接用以查阅、利用和存储。毫无疑义,这种档案管理信息化的新特征是时代的巨大进步,自然是一种不可阻挡的潮流。
2.走出档案管理的神秘化并不是完全的公开化
在一个很长的时期,档案管理被罩上一层神秘化的色彩,成为一般人不可逾越的禁区,保守档案的机密更成为档案管理人员天经地义的职责。改革开放后,尤其是随着各项新兴技术的飞跃发展,档案管理也经历了开拓性的转变,其宗旨是为了更好地利用档案,让档案活起来用起来,为企业的中心工作服务,为企业的发展服务,为广大职工服务,这就使得档案信息诀别神秘化,而在一定程度上公开化。从现实看来,档案信息的公开范围越来越广泛,以往只可让少数人知道的档案信息,现在可以挂在网上,一点键盘,尽可知晓。如政府下发的文件,通过网站一般都可以查阅到。过去中央的涉农“1号文件”也被定为“秘密”,只发到县团级,致使意在给农民实惠的文件,农民却看不到,现在则是做到家喻户晓人人皆知。但是,档案管理工作毕竟是一项政策性、机密性、专业性较强的工作,任何企业的档案信息管理,都不会达到完全公开的程度,起码在一定程度上要做到内外有别。在档案信息的公开和保密两者的关系上,应当从传统上保密主导下的公开,迈向公开主导下的保密。特别是涉及到敏感性的商业机密的档案信息,更是有着严格的保密规定,泄密不仅是工作的失职,严重状态的还要根据具体情节追究其法律责任。
3.党政综合管理部门做好档案信息保密工作是义不容辞的职责
电力企业从机构设置上划分,档案管理一般归口于党政综合管理部门。基于此,电力企业党政综合管理部门是企业的神经中枢,是企业经营管理的各类信息的集散地,是保证企业各个系统正常运行的指挥部,是开展各项接待服务工作的窗口,也是做好档案信息安全保密工作的前哨阵地。每一名工作人员在完成正常工作业务的同时,也肩负着重要的档案信息安全保密工作责任。当然,做好档案信息保密工作同样是“党政工团齐抓共管”的系统工程,需要在企业党政领导的具体安排下,以党政综合管理部门为主导,做到各部门相互协调、相互配合,如此才能取得行之有效的结果。
二、深刻认识电力企业党政综合管理部门信息安全工作的重要意义
1.电力企业在国民经济发展中具有极其重要的地位
当今时代下,电力是社会和经济运行的总开关,没有电,一切就会迅速陷入全面瘫痪。2008年初,南方数省所发生的雨雪冰冻灾害,把中国“煤电运”这种资源依赖性的弱点暴露无遗,充分体现出缺了电就没有正常的社会生活。在现代化战争中摧毁电网就是克敌制胜的法宝,这绝非危言耸听。因此,电力行业始终是国内外敌对势力窥视的重点,近年来,针对电力企业的档案信息安全攻击的案例越来越多,这就要求我们切实增强档案信息安全保密的自觉性,时刻保持警惕性。
2.电力企业在市场经济条件下必须保守商业秘密
多年以来,电力行业始终不渝地进行体制改革,电力企业作为竞争的主体逐步走向市场,以此来焕发企业的生命力。在全球经济一体化的形势下,市场经济的主要特征之一就是优胜劣汰,而竞争的手段是五花八门眼花缭乱的,其中千方百计地获取竞争对手的信息则是其中的主要手段之一。近年来,电力企业的国内外竞争对手出于各方面的考虑,特别是在经济利益的驱使下,利用档案信息管理工作的漏洞及失误,窃取电力企业的一些商业信息。事实证明,保护档案信息安全就是保护自己企业的利益。
3.保护知识产权及技术创新成果需要保护档案信息安全
众所周知,电力企业是技术资金密集型企业,拥有较强的专业技术人才队伍和先进的科研设施。结合电力安全运行和规划建设,每年都要开发研制一批原始创新、集成创新和引进吸收消化再创新的科研成果,并形成一定数量的知识产权。通过信息网络,某些竞争对手可以获得电力企业的知识产权和技术创新方面的信息,使电力企业的某些核心技术泄密或为对手掌握。保护档案信息安全,坚持档案信息的保密原则,就是保护企业的技术领先地位与核心竞争力。
4.维护企业和谐稳定局面必须坚持档案信息的保密原则
当我们进入了经济社会发展的宝贵机遇期时,同样也进入了各类矛盾的凸显期,电力企业日益成为社会关注的重点。电力企业经营中一些不宜公开的档案信息,如果通过网络外泄,很容易被外界误读,更容易被别有用心的人添枝加叶,乃至加以歪曲妖化,给电力企业造成不良的甚至是恶劣的影响。如电力行业具有自然垄断的属性,近来来社会对垄断企业的攻击越发强烈,如果不加强档案信息管理,势必为攻击者制造事端而推波助澜。实际上,这样的例子绝非鲜见。电力企业也需要维护其和谐稳定的局面,为此必须在档案信息前严格把关,防止某些档案信息可能产生的负面作用。
三、党政综合管理部门如何加强档案信息的保密工作
1.增强对档案信息安全工作的忧患意识和责任意识
作为电力企业党政综合管理部门工作人员,要加强对国家保密政策法规和上级有关档案信息安全工作的部署,学习时事政治,把握国际和国内形势,把握行业改革发展趋势和市场竞争的规律,增强忧患意识,对国内外敌对势力利用信息网络窃取电力信息保持高度警惕。增强责任意识,把做好电力企业党政综合部门档案信息安全工作,与提升企业核心竞争力、维护企业形象结合起来,积极探索研究档案信息化条件下做好保密工作的规律,通过管理创新和技术创新,不断应对和解决电力企业档案信息安全工作遇到的新课题,推动档案信息安全工作与时俱进,不断适应建设“三集五大”体系和“一强三优”目标的新要求。
2.逐步建立健全档案信息安全工作的规章制度
电力企业要根据党政综合部门档案信息管理工作新形势新任务,建立健全各类保密制度,对原有的保密制度进行必要的修订,保留其合理合法的部分,淘汰其落后于形势发展的部分,总之要消除档案信息安全管理工作的制度空白地带。要进一步建立健全档案信息安全的责任体系,把档案信息安全工作列入企业经营者(集团)经营责任制的考核目标,根据履行责任情况进行奖惩,加强对涉外人员的档案信息安全的教育与管理工作的力度,做好对外接待工作中的档案信息安全工作。加强对档案信息安全制度执行情况的日常监督检查,加大对违反制度造成后果的当事人的问责。
3.采取技术手段防止企业档案信息泄密事件的发生
落实“积极防范、突出重点、技管并重、保障发展”的方针,规范和加强电力企业党政综合管理部门档案信息和信息设备的保密管理。重点做好涉密档案信息系统、涉密计算机、涉密移动存储介质、涉密电子文档及涉密载体销毁等环节上的保密管理。真正做到“涉密不上网,上网不涉密”。作为企业党政综合管理部门,要加强企业档案信息网站信息的管理。对的信息事先严格把关,防止包含企业商业机密、知识产权的信息上网,防止对本企业和用户造成不良影响的信息上网。
- 上一篇:对劳动教育的建议与意见范文
- 下一篇:企业管理经营策略范文
