购物车(0)
企业信息安全的问题模板(10篇)
时间:2023-11-06 09:51:50
导言:作为写作爱好者,不可错过为您精心挑选的10篇企业信息安全的问题,它们将为您的写作提供全新的视角,我们衷心期待您的阅读,并希望这些内容能为您提供灵感和参考。
篇1
新时期下,信息化技术在各行业中运用日渐深入,给企业现代化建设与快速发展带来了无限动力。企业信息化建设已成为我国经济信息化建设能否成功的关键所在,也是提升企业自身市场竞争力与企业升级进步的重要保证和标志[1]。但是,企业信息化建设过程中不可避免的出现信息安全问题,给企业正常生产经营带来诸多不利影响。因此,加强企业信息化建设中信息安全管理,已成为现代企业经营管理的一个至关重要的工作。
1企业信息化概述
所谓的企业信息化,指的是实现企业的资金流、物流、作业流、信息流的数字化、网络化管理,实行企业运行的自动化和企业制度的现代化[2]。企业信息化建设涉及了企业生产经营中的各个部门,其主要利用现代化信息技术,通过完善企业内外网络信息系统,实现对企业内外知识与信息资源的开发。可见,建设企业信息化体系,不但可以及时有效的提供各种数据信息给企业决策层,也为企业未来规划设计提供参考依据,而且还有利于企业满足瞬息万变的市场需求,为企业市场核心竞争力的提升带来动力。
2当前企业信息化建设中信息安全问题
企业信息化建设与发展为企业持续、健康、稳定发展发挥了显著作用,但同时也存在着诸多信息安全问题,具体分析主要有以下几方面[3]:(1)当前,绝大多数企业缺乏完善的安全防御系统,导致企业内部使用的信息系统易遭受外部网络系统的攻击,引发企业信息资料被他人截获、篡改与伪造等问题,甚至企业信息系统中出现通信线路、硬盘设施以及其他文件系统遭恶意破坏现象,上述问题的发生不但致使企业信息系统无法正常运行,而且其内部机密信息易发生泄漏,造成企业严重的社会经济损失。(2)针对邮件系统攻击防不甚防。在企业信息系统中电子邮件具有重要的作用,通过电子邮件接收与传送,极大的方便了企业内部间与外部间信息交流与沟通。然而,电子邮件安全问题也日益突出,典型的如电子邮件病毒、垃圾邮件、机密信息泄露以及电子邮件炸弹等,给企业信息传输带来了巨大安全隐患。因此,电子邮件安全问题不可忽视。(3)漏洞攻击日益严重。按照漏洞问题发生原因可分为软件漏洞和协议漏洞两种,其中软件漏洞主要是受外部不法分子攻击软件自身存在的漏洞,造成企业信息泄露等问题;而协议漏洞则主要是由于TCP/IP协议自身在安全机制方面存在的诸多漏洞问题导致,外部不法人员通过攻击TCP/IP协议漏洞,致使企业信息系统遭受破坏。目前情况,很多企业对自身信息系统缺乏成熟的漏洞检测手段和能力,往往事发后才采取补救措施。(4)是Web服务安全问题突出,根据Web服务流程,其发生安全问题的主要组成包括Web服务端安全问题、浏览器客户端安全问题两种。其中,Web服务端安全问题主要是企业Web主机遭受外部不法分子侵入,导致企业保密信息遭窃或者企业部分信息遭受非法篡改等;浏览器客户端安全问题则是企业浏览器客户端遭外部非法分子侵入,致使部分机密信息与数据遭窃等。
3导致企业信息化建设中信息安全问题因素
企业信息化建设中信息安全问题发生受诸多因素影响,具体分析主要有以下几方面[4]:(1)目前,绝大多数企业在信息化建设过程中,对于信息安全问题重视度严重不足。一方面,受传统经营观念影响,企业管理层偏重于对企业生产经营中的有形资产给予关注与重视,而忽略了企业知识与信息资料等无形资源,导致在企业信息安全管理方面各项投入严重不足,进而造成信息安全问题日益凸显;另一方面,多数企业在面对信息安全问题时,存在着盲目乐观现象,认为信息安全问题不至于导致企业正常生产经营,使得信息安全管理无法上升至企业发展规划战略之中,进而造成信息安全问题得不到及时有效解决。(2)由于企业信息化建设在我国尚处于起步阶段,各方面配套管理制度不够完善,特别是缺乏健全的企业信息安全管理体制。受此影响,企业信息化建设中信息安全问题一方面无法得到有效的预防措施,另一方面是一旦发生信息安全问题,无法采取及时有效的补救与解决对策。同时,由于缺乏科学、合理、有效的企业信息安全防护策略,使得企业信息管理人员缺乏必要的安全防护意识与业务素质能力,致使企业信息安全防护软硬件工作质量与效率明显不足。上述两个因素,导致企业无论是从人员配置,还是资金与技术投入方面都严重不足,受企业信息管理人员业务素质能力不足、信息安全技术方法落后以及配套的资金缺乏等影响,企业信息安全防护的措施、手段偏低,造成企业信息化建设存在着严重安全隐患。
4提升企业信息化建设中信息安全对策
针对当前企业信息化建设中存在的信息安全问题,为加强企业信息安全管理,提升企业信息安全保障,可通过采取以下几方面对策,具体有[5]:(1)转变传统企业信息化建设观念,在企业内部管理层从上至下加强对企业信息安全的重视,并树立正确的安全意识。一方面,通过组织各种信息安全管理培训等,增强全体企业员工信息安全意识,确保企业保密信息不外漏;另一方面,逐步加大企业信息化建设中信息安全管理各项资金、技术、人力投入,并建立科学、合理、有效的企业信息安全防护策略,保障企业信息系统安全稳定。(2)不断的推进网络信息技术的发展与运用,促进企业组织结构网络化的实现,同时引进先进的安全防护技术,确保企业信息化系统安全稳定运行。任何网络信息系统都存在着或大或小的安全漏洞问题,而保证其不受外部不法分子侵入的一个关键方法就是安全防护技术的运用。通过选用先进的安全防护技术,可以有效的提高企业信息系统抵抗外来攻击,避免企业信息遭受窃取、篡改甚至破坏等,对于保障企业持续、健康、稳定发展具有显著作用。(3)结合企业信息化建设实际情况,建立健全企业内部信息系统管理体制。一方面,针对信息安全问题,应建立科学、合理、规范的信息安全管理体制,保证企业信息系统安全运行;另一方面,建立健全企业安全风险评估机制,针对不同系统找出影响其安全的因素和漏洞,并制定出最佳的对策,降低企业信息安全风险;此外,加强相应的网络管理,防止外来不法分子通过网络侵入企业信息系统。(4)根据新时期企业信息化建设需要,加强企业信息技术人才、信息管理人才队伍建设,为企业信息安全管理奠定坚实的人才基础。一方面,在企业内部,加强信息技术人才培训,提高企业内部相关人才业务素质能力;另一方面,在企业外部,采取有效措施,积极招聘人才,引进具有先进信息技术型人才;此外,建立健全企业信息安全管理用人机制,激发员工工作积极性,提高工作质量与效率。
5小结
总而言之,企业信息安全事关企业信息化建设是否成功,对于企业持续、健康、稳定发展具有至关重要的作用。因此,应提高企业信息安全管理意识,增强企业信息安全管理机制,促进企业信息安全管理工作质量与效率,保障企业信息化建设顺利开展。
作者:吴捷 单位:中海石油气电集团有限责任公司
参考文献
[1]毛志勇.企业信息化建设的信息安全形势与对策研究[J].科技与产业,2008,8,(1):43~45.
[2]纂振法,徐福缘.浅析企业信息化建设的意义、问题与对策[J].吉林省经济管理干部学院学报,2001,3:24~28.
篇2
中图分类号:TP3 文献标识码:A 文章编号:1671-7597(2013)12-0129-02
1 网络信息安全现状
现代企业的发展离不开信息网络,随着Web2.0时代的到来,越来越多的应用开始在互联网上流行起来,信息网络对提高企业生产效率、节约人员成本、获得产品信息等方面做出了巨大贡献,企业开始更为重视自身信息化的建设。然而,企业信息化速度的加快为企业信息安全工作提出了挑战,在网络发展的背后却存在着一个永恒的话题――信息安全。随着企业的安全生产、经营管理等工作越来越依赖信息网络,网络上的病毒、黑客以及其他不可预见的因素都对企业信息安全带来巨大威胁,在日趋多样化、专业化的攻击面前使得企业信息安全正面临严峻的形式和挑战。
近年来,网络安全问题频发,世界上每年遭受网络攻击的政府或者企业越来越多,2011年卡巴斯基实验室针对全球企业进行的IT风险调查显示,全球至少61%的企业遭遇过恶意软件的攻击。在互联网发源地―美国每年就有大约5万多起黑客攻击的事件,甚至信息安全工作防护严密的美国政府网站也不能幸免,更普通的企业。互联网具有开放性和无国界的特点,这就使得对网络攻击事件具有全球普遍性,我国也不能幸免,据国家计算机病毒应急处理中心的统计报告显示,我国每年有80%的企业、政府机关的网络系统曾经遭受过病毒或黑客的攻击。瑞星公司在2012年的《中国信息安全报告》中指出,我国共有超过7亿网民被病毒感染过,2009年上半年国内被挂马的网页数量突破2亿。例如2011年6月28日,新浪微博出现了一次比较大的XSS攻击事件,20:14,开始有大量带V的认证用户中招转发蠕虫;20:30,中的病毒页面无法访问;20:32,新浪微博中hellosamy用户无法访问。据统计,中国互联网用户每年因为网络安全损失被“黑掉”的钱财高达76亿。
上述网络信息安全问题的出现为国企业敲响了警钟,需要下大力气加强网络信息安全的防范和设计。
2 企业信息安全策略设计
2.1 病毒防护和查杀策略
病毒是信息安全的杀手,从病毒发作的情况来看,病毒的攻击目标没有特定性,而且越来越隐蔽。从个人网站到企业网络,无不受其所害,曾经有网络公司的防火墙被不明身份的黑客攻破了,牵扯到大量的用户信息,用户在该支付平台注册的电子邮箱以及登录密码面临极大风险。面对各式各样且不断发展演变中的病毒,企业对信息系统的日常维护和管理就显得尤为
重要。
企业网络部门工作人员要定期给办公司电脑操作系统存在的安全漏洞打补丁,还要给每个客户端都设置可靠的防毒软件、防火墙、漏洞扫描系统、日志系统,加强入侵检测和补丁管理,对企业遭受到的病毒攻击进行集中分析,掌握企业计算机系统中存在的安全隐患,采取有效的措施和方法防范由于病毒感染导致企业重要信息出现泄漏或者破坏。同时网络技术人员也要对公司所有电脑进行防病毒软件升级工作,确保网络内所有服务器和终端计算机都安装防病毒软件,将杀病毒软件设置成为自动升级状态,及时更新病毒特征码和系统补丁,防止由于个人疏忽造成没有及时升级带来病毒库的安全威胁,保证企业信息系统的正常运行。
另外对于企业而言,无论是服务器还是终端计算机都要加强防火墙设置,对外部入侵行为或者其他不安全的行为进行拦截,实际运行时,可以根据企业信息系统的需要,将一些服务器中不使用的端口关闭,尽量避免进行一些具有安全隐患的服务,防止利用这些端口或者服务进行外部攻击的行为发生。当然,网络技术人员要对不同端口的作用十分清楚,避免将企业信息系统正常运行的关闭,造成企业信息系统不能正常运行。
2.2 保证企业信息系统的平稳运行
保护企业信息系统的平稳运行,维护主要业务系统的安全,是现代企业网络信息安全的基本要求。企业信息系统的平稳运行包括多个方面,有操作登记的分配、用户账户与口令的保护、个人访问权限、用户身份验证等多个方面。我们需要做好以下工作。
1)做好重要资料备份工作。当服务器或者硬盘发生故障时,重要的企业数据会受到严重威胁,但往往公司简单的数据安全、信息安全体系对企业数据恢复、服务器数据恢复束手无策。为了保证信息系统的正常运行和业务的正常开展,专业的企业数据恢复、服务器数据恢复格外重要。大多数企业采用备份手段来解决日常的数据安全问题,企业在购买安装和配置服务器时,通常采用常见的两台服务器“一用一备”。企业网络技术人员将重要信息备份在一些光盘、U盘或者移动硬盘上,然后将其放置在不同的地方,避免同时受损害或者丢失,最大限度的保障企业信息安全和数据的完整性。
2)加强对关键业务系统的管理。关键业务系统应该具有最高的网络安全措施,其安全需求主要包括:访问控制,确保业务系统不被非法访问,保证数据不被网络内部破坏,安全预警,对于破坏关键业务系统的恶意行为能够及时发现、记录和跟踪等。2011年,韩国现代资本、韩国农协银行都遭受电脑黑客袭击,电脑网络瘫痪了三天,数以万计的客户受影响。这次攻击事件就是以IT运维部门的用户机位跳板实施的,背后原因是因为这些银行对最高级别权限管理不足,也没有基本的隔离安全机制,笔记本都可以直接连入外网,黑客通过窃取内部合法用户的权限进行非法活动。可见,企业应该加强对用户权限的管理;另外,在必要时进行网络隔离甚至物理隔离是必然的要求。同时,也要加强平时对于合法用户的行为审计,防范合法权限被滥用或被利用等情况的发生。
3)加强企业网络安全平台建设。目前很多公司推出的安全平台,就是依靠安全芯片为载体,通过软硬件的结合,可以为用户提供更加私密的加密存储空间,这样就可以将客户信息、账户信息等高度机密的信息安全存放起来。根据不同的场景需求,还可以通过安全平台搭建内部机密信息共享平台或工作组,比如某公司在进行专项会议时或者涉及商业机密文件共享时,可以建立起相对封闭的局域工作网络,让各部门的总监或管理层在同一局域网内共享机密信息,其他员工则没有查看服务器或者重要信息的权限。同时,还能够避免通过邮件、病毒、木马等非法手段盗取数据,造成不必要的损失。
2.3 健全有效的信息安全管理制度
没有安全管理,就没有信息安全。真正的网络安全实际上靠的不是这个或那个安全产品,而是自身固有的安全意识。寻求解决安全问题的根本方法在于不仅要具备安全可信的办公电脑,也要建立更加完善的数据安全管理制度。真正实现企业的信息安全管理仅仅依靠技术手段是不够的,必须对规章制度上加强企业人员的信息安全防范意识。
1)做好员工的培训的管理。信息只是一种编码形式,人才是信息的操作者,每个环节中安全隐患的最终来源都是人。为了能够加强企业工作人员的信息安全防范意识,企业要加强对公司员工的系统培训,从计算机基本知识到信息安全防范的具体方法都要进行细致讲解,针对一些员工在日常使用计算机过程中不规范行为进行及时矫正,针对一些年纪较大的、对计算机不是十分熟悉的老员工,企业网络技术人员要现场演示操作,让员工养成良好的使用习惯。同时要甄选出有丰富计算机操作经验的人员负责每个部分电脑的日常清洁、维护和管理,负责对部门电脑病毒库的升级、电脑的内部清理等工作,确保企业信息安全。
2)加强系统运行环境和维护管理,要加强对机房电源、空调系统、消防系统、监控系统、门禁装置等基础设施的维护和管理,确保其可靠、正常的运行。严禁非系统管理人员随意进入机房,严禁在机房内抽烟。严格落实机房巡视、系统巡检、运行测试、操作审批、机房出入登记、信息安全故障上报等工作制度。严禁在机房的服务器上浏览网页、随意下载软件、打游戏等。
3 结束语
总之,对于现代企业而言,信息技术的发展给企业信息安全带来巨大隐患,企业的信息安全也越来越受到信息安全部门和企业管理者的重视。信息安全工作是一个全方位的系统工程,每个企业面临的信息安全环境不同,企业应该结合自己实际情况,从思想上、技术上、管理上多管齐下,采取有针对性的信息安全策略,才能最大限度的降低信息安全威胁、保证企业信息安全,为企业健康长远发展保驾护航。
参考文献
[1]陈泽徐.浅析企业网络安全策略[J].电脑知识与技术,2009(09).
[2]沈传案,王吉伟.企业网络安全解决方案[J].计算机与信息技术,2008(06).
[3]冼沛勇.企业网络安全解决方案[J].石油工业计算机应用,2004(02).
[4]牛金才.企业网络安全解决方案浅析[J].煤,2003(02).
[5]石亦歌.企业网络安全解决方案[J].安防科技,2003(03).
篇3
前言
当前,信息化建设已经成为了各类企业建设和发展的重点内容,企业通过信息化建设的方式,让自身生产与流通工作可以更顺利地进行,并利用互联网,创造出现代企业新型发展模式。但是,就实际情况而言,企业的信息化建设并不是一直处于一个平稳的发展状态,在其发展的过程中也会受到诸多内部或外部因素的影响和束缚,在信息的安全方面也存在许多的问题,如黑客入侵或是病毒入侵。如果企业信息存在的安全问题比较严重,不仅会给企业信息化建设造成不利影响,还有可能会影响到企业的正常运营和发展。
一、造成企业信息化建设中的信息安全问题的原因
1.1内部原因
①企业内部的信息安全意识缺乏,目前,虽然很多的企业都提倡建设企业内部信息化,但是大部分企业过于注重信息化建设过程中得到的利益和优势,却忽略了信息化建设中信息的安全问题。
②软件安装的技术比较落后,黑客与病毒的发展速度比软件技术更新速度快。
③管理操作不得当,在对信息系统进行管理与操作的过程中过于粗心大意,给黑客与不法分子和黑客制造了入侵的机会,对企业的信息安全造成威胁。
④专业的管理人才缺乏,没有对企业的信息安全系统定制出合理的安全管理策略,且没有让专业的操作人员对统系统进行维护和升级,致使企业信息系存在信息安全隐患[1]。
1.2外部原因
对于大多数企业而言,信息系统中存在的安全威胁大部分来自于外部因素,随着社会的不断发展,信息建设在各类企业市场竞争中的地位和作用日益提高,许多的不法分子想尽办法对各类企业的信息进行窃取和破坏,以此来获得自身的利益。还有一部分企业为了得到竞争对手企业的各类商业信息,采用不正当的手段破坏或是入侵对手企业的信息系统,窃取对方企业的商业机密,以此来打倒对方。
二、企业信息化建设中存在的信息安全问题
2.1企业不够重视信息系统的安全问题
就目前而言,国内的大部分企业都没有给予信息系统安全问题足够的重视,没有意识到信息系统安全的重要性。近年来,虽然国内信息化建设得到了快速的发展,国内企业的信息安全程度也有所提高,但是大部分的企业还是没有意识到信息安全问题对企业的重要性,只看到了信息化建设给企业创造的短暂利益,而忽视了信息化建设信息安全的长远发展,未针对信息安全问题采取适当的防范措施,致使企业信息化的发展存在较多的安全隐患。
2.2企业信息化操作管理不到位
在企业进行信息化建设的过程中,大多数的企业没有认识到对企业信息进行科学管理和操作的重要性。相关的操作和管理人员在信息化建设的管理和操作中缺少合理性,导致黑客与入侵者有机可乘,造成企业信息外泄。企业的信息化建设是一个全新的的概念,其中的信息系统管理,信息安全系统的维护与升级都必须由专业的操作人员进行操作和管理,因此,专业技术人员专业技能的缺乏和个人的素质对企业的信息安全有着直接的影响。
2.3可用于信息化建设的软件较少
近年来,市场上各种类型的系统软件越来越多,但是能够真正用到企业信息化建设的系统软件却比较缺乏,特别是相较于国际市场,国内的软件无论是在适用范围,还是技术水平方面都比较落后,这也是给企业数据安全带来隐患的一大重要原因。
企业信息化建设使用的软件安全性能较低,很容易被病毒或是黑客入侵,从而对企业的信息安全造成威胁,虽然大部分的企业在商业机密信息方面设置了一定的操作权限,但是在企业的实际管理中,比较容易出现员工操作权限重复的情况,操作人员的责任不够明确,从而导致企业信息外泄或是数据丢失[2]。
三、企业提高信息化建设中的信息安全性的对策
3.1企业需树立正确安全意识
在企业信息化的发展进程中,企业应该充分了解企业信息安全问题和企业发展之间的关系。意识到一旦企业的重要机密发生外泄或者是被窃取,将会给企业造成不可估量的损失,并给竞争对手提供有利的机会。
因此,企业应该采取适当有效的措施,防止信息安全问题的产生,树立正确的信息安全意识,以便为企业未来的信息化发展打下更好的基础。
3.2加强企业内部信息系统管理
①正常来说,企业信息的系统使用任何的安全软件都有可能被攻击或被破解。在信息的安全防御过程中,最重要的并不只是信息技术,管理对于企业的信息安全系统来说也非常重要,只有对企业的信息进行合理、规范的管理,才能更有效提升企业信息系统的安全性。因此,合理的对信息安全管理体系进行规范化建设,对于企业的信息安全管理至关重要。
②完善企业安全的风险评估机制。企业信息系统的建设,并非是利用一种技术在短时间内能够完成,在平常的操作与管理中,所有的系统都有自己的优势与缺点,因此,企业应该针对本身信息系统的优势和缺点建立相关的安全风险评估机制,找到对信息系统安全造成影响的漏洞和原因,并及时地进行处理,以有效降低企业信息系统被攻击的可能性。
3.3运用安全性较高的防护软件
尽管所有的防护软件都有办法破解,但是安全性越高的防护软件,破解的难度就越大,企业信息被窃取或是泄露的可能性也就越低。因此,企业在对安全防护软件进行选择时,不应该为了节省企业的成本,而在信息系统中使用一些安全性较低的防护软件,应该选技安全系数较高的防护软件,防止信息系统出现安全问题,给企业带来更大的经济损失。
3.4加强企业的网络管理
大多数的不法分子都是通过网络对各个企业的信息进行窃取和破坏,因此,企业需要加强企业的网络管理,以确保企业信息系统的运行可以在安全的状态下进行。企业应该依据信息安全的等级、种类制定出相关的防护措施和方案,并提前制定好信息安全事故发生之后,企业应该采取的解决措施[3]。在企业的信息安全受到威胁时,企业应该及时成立起危机处理小组,让该小组依据信息安全危机处理的步骤与预案,进行危机处理,防止危机处理不当而出现更加严重的连锁危机。此外,企业应该对内部的员工进行信息安全培训与教育,提升员工信息安全管理意识和安全危机事件的处理能力,从而有效防止企业自身失误而造成的信息安全问题。
四、结束语
总之,在这个信息化的时代,企业进行信息化建设是其发展和生存的重要途径。但就目前而言,我国大部分的企业都只看到了信息化建设的优势,没有意识到信息系统安全问题的重要性,信息系统还处在一个长期不设防的状态当中,这一情况直接影响了企业信息系统的安全性。因此,为了提高现代企业信息系统的安全性,企业就应该重视信息系统的安全问题,树立正确的信息安全意识,采取有效的防范措施、不断完善企业的信息管理体系,在企业信息化建设过程中,对可能会影响信息系统安全的因素进行全面考虑,以确保企业信息系统建设的安全性。
参 考 文 献
篇4
[关键词] 安全;信息系统;审计;虚拟化
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2017. 07. 028
[中图分类号] F239.1 [文献标识码] A [文章编号] 1673 - 0194(2017)07- 0058- 04
1 引 言
随着信息技术的高速发展,企业业务对于IT系统的依赖性不断增强,信息和业务交付的灵活性与信息安全保护、防止泄露成为实际工作中的矛盾,企业IT运营既要满足业务发展对业务交付灵活性的要求,又要防止信息泄露,因为信息安全问题关系到企业的声誉,同时关系到企业的经营风险,更关系到国家的机密信息安全。
2 目前化工行业信息安全风险分析
2.1 化工行业信息化发展趋势
石油化学工业是基础性产业,在国民经济中占有举足轻重的地位,是我国的支柱产业部门之一,化工行业之所以重视信息化工作,首先与2015年总理提出的“互联网+”的大发展背景密不可分,工艺流程的制定、化工装置的运行、化工产品的销售都高度依赖于信息化、互联网技术;其次是从化工行业的自身特点衍生出来的,其产品数量多、种类多,产品各个环节的各个控制点特别多,这就要求用信息化技术能够对化工生产中的各个环节产生积极和促进作用。
2.2 化工行业信息安全管理的现状和挑战
因为信息安全管理的要求,在网络管理层面,石油系统内的企业已经建立了完善的内、外网隔离的管理平台,两个网络完全物理隔离,不能互相访问;石油系统内还部署了病毒防御、主动攻击防御系统(Symantec Endpoint Protection),保密安全,漏洞防护等一系列安全防护系统,看似已经建立了一个信息非常安全、固若金汤的基础架构。但在实际业务发展中,仍然存在一些隐患,不容忽视,面临挑战。
一方面企业的业务已经非常依赖信息系统,因为业务发展需要急需把内网系统交付到外网去,即人员在出差过程中能处理内网的业务。现有的内外网隔离架构,只有特权用户能够进行办公,为新的用户授权又需要经过一系列严格的程序,交付周期相对较长,因此不具备实现业务交付的灵活性。
另一方面,即使建立了内外网隔离的架构,也不能从根本阻止信息泄露,而且对于信息泄露事件也不能做到追本溯源,以避免类似事件发生。据全球权威的调查机构报告显示客户发生的信息泄露75%来自系统内部网络,而且超过50%的信息泄露没有找到信息泄露的源头。外网通过入侵,只能获得企业非关键信息;而对内网进行的各种违规操作,才是最致命的,给企业带来巨大的经营风险。所以即使进行了完全隔离,也不能杜绝信息泄露,内部网络的信息泄露主要来自于以下三个方面(见图1):
(1)由外包服务公司员工引起信息泄露。伴随着IT系统越来越复杂,客户本身很难成为各种应用系统、各种管理系统的专家,往往采用服务外包方式进行管理,现实的问题在于,由于没有一套完善的监控、审计机制,外包服务公司人员究竟在管理平台上修改了什么,平台上的数据被是否被保存到了IT服务外包人员本地电脑上并被泄漏出去,是否有危及系统安全和数据保密的操作都不得而知,出现人为操作故障后,追溯问题根源存在争执,追究责任困难,这就成为了信息泄露的最大漏洞。
(2)由内部IT人员引起信息泄露。在IT系统管理过程中,IT管理人员通常有非常大的权限,如何管理和评估这些人员在日常工作中是否有超过权限的操作,怎么清晰地知道哪个IT人员什么时间做过什么操作,都是摆在企业面前的现实问题。
(3)由内部业务人员引起信息泄露。业务人员因为直接掌握了企业财务、设备、销售、物料、物流等各个方面的数据,也是信息泄露的关键因素之一。
3 建设审计系统的意义
由于企业信息安全管理存在外包服务公司员工引起信息泄露、炔IT人员引起信息泄露、内部业务人员引起信息泄露的情况,因此围绕业务系统需要建立可控的、有序的安全架构,以防止和杜绝任何企业数据泄漏的隐患,通过使用信息内容审计系统能够在已建立起的网络安全平台上再增加一道安全防护屏障,从而实现真正完善的信息安全防护体系,这对企业的信息化发展具有重要意义,使用信息内容审计系统的具体价值体现在以下几点:
(1)审计敏感信息接触者,如IT管理员、业务人员、外包公司员工,他们都需要通过审计管控平台,才能获得信息系统的访问、管理权限,获得其需要的应用和数据,如此便可实现从源头上防范信息数据的泄露。
(2)IT管理员、业务人员、外包公司员工的所有操作行为可以通过回放录像的方式进行检索,从而捕捉到关键行为、操作,对于出现的信息泄露等重大问题,责任范围可追溯,做到有依可循、有据可查。
(3)对于系统故障,误删除等操作造成的数据丢失可以通过操作行为录像回放,找出故障原因,找回丢失的重要数据,从而保证企业的财产不受损失,保证企业的名誉不受损失。
4 审计的方法、特点
审计系统综合了核心系统运维和安全审计管控两大主干功能,从技术实现上讲,通过切断终端计算机对网络和服务器资源的直接访问,而采用协议的方式,接管了终端计算机对网络和服务器的访问。目前普遍采用的审计方式有两种,一种采用一体堡垒机的方法,一种采用服务器、审计软件两层架构的方法。
4.1 一体堡垒机功能
(1)单点登录功能:支持对Windows、LINUX、UNIX、数据库、网络设备、安全设备等一系列授权账号进行密码的自动化周期更改,简化密码管理,让使用者无需记忆众多系统密码,即可实现自动登录目标设备,便捷安全。
(2)统一的账号管理:能够对所有服务器、网络设备、安全设备等账号进行集中管理,化繁为简,实现对维护管理员的统一审核。
(3)资源授权:设备提供基于用户、目标设备、时间、协议类型IP、行为等要素实现细粒度的操作授权,最大限度保护用户资源的安全。
(4)访问控制:设备支持对不同用户进行不同策略的制定,细粒度的访问控制能够最大限度的保护用户资源的安全,严防非法、越权访问事件的发生。
(5)操作审计:能够对字符、图形、文件传输、数据库等全程操作行为审计;通过设备录像方式实时监控运维人员对操作系统、安全设备、网络设备、数据库等进行的各种操作,对违规行为进行事中控制。对终端指令信息能够进行精确搜索,进行录像精确定位。
4.2 审计软件功能
新一代的审计软件克服了传统堡垒机的很多不足,如专用硬件不易维修、升级困难、不能实现应用和数据管控、不能对图像操作进行检索等,在继承了传统堡垒机的基础上又具备以下优点:
(1)应用管控。实现独立管控,不同人员获得使用不同应用程序的权限。
(2)数据管控。无论局域网操作者还是广域网远程操作者,在审计环境下可以看到数据,使用数据,但无法下载数据。
(3)高安全性。以客户端/服务器方式运行,将用户行为变为可视、可跟踪、可鉴定,保护重要数据的安全。
(4)集中审计,审计无盲点。实现集中审计、集中访问控制,对于企业重要系统和数据的管理,有非常重要的价值;
(5)准确追溯历史。在服务器上部署审计软件的科学方式能够将来访人员的行为完整的记录,并保存在服务器上,审计人员能够按照其想调查的时间点、调查的操作人、调查的内容进行选择,通过清晰的视频回放准确的定位操作行为。
(6)行为分析报表。能够提供准确、详细的审计报表,直观的展现历史过程。
此外,新一代的审计软件还具备更为可靠、先进的核心业务非法访问监测、恶意程序篡改进程、关键数据的访问监测、多维度的行为分析和查询、云终端用户操作等行为审计等功能。
5 审计系统的建设
鉴于石油化工系统的信息安全、数据保密的重要性,在设计企业信息安全防护系统时要充分考虑到架构是否能够有效的起到安全防护作用、规范作用,是否能够为企业运营节省成本、提升企业运营效率等因素,因此在设计架构时要打破传统安全防护的壁垒,在创新发展与严密管控之间找到平衡点,充分发挥出架构的优势。
5.1 架构组成
架构由三个部分组成,分别是客户部分、集中访问控制部分、信息系统部分(见图2)。
(1)客户部分,包括IT管理人员、IT运维人员、IT外包人员、审计人员等。
(2)集中访问控制部分,这里是审计系统的核心控制区,包括行为审计应用产品、审计数据存储产品、访问控制程序区(SSH、Putty、SecureCRT、远程桌面等)。
(3)信息系统部分,包含企业的各个生产、销售、物料等信息系统。
5.2 架构设计
方案采用应用虚拟化技术+智能审计解决方案,采用行业中技术领先的CitrixXenapp+AuditSys审计产品,构建一个安全的集中访问平台,将用户与信息系统分隔开。
首先建立XenApp平台,将远程服务器和客户机上的应用程序部署到XenApp平台上,客户端设备只需通过IE就可以运行应用系统,多用户同时访问时,由XenApp管理应用客户端软件的多进程访问,并控制向不同用户的权限,服务器与客户端之间的数据传输只是屏幕变化和鼠标键盘的指令信息,而不传输任何实际操作数据,真实的数据传输发生在XenApp平台与信息系统部分之间,从安全性角度分析,这种安全性接近于物理环境隔离。
然后在XenApp平台上部署AuditSys产品,实现审计任何通过Xenapp平台访问的用户会话,也可以审计任何通过远程桌面、终端服务、PCANYWHERE等远程协议访问过来的会话,也可以审计通过KVM或者通过本地登的用户会话,通过与Citrix XenApp的无缝集成,不仅可以构建一个安全的远程集中访问平台,还可以对所有的用户会话,管理员维护操作等用户行为进行审计。
所有的行为审计过程需要完整的记录并保存,这里部署了Auditsys App Server,保存了Auditsys记录的完整的行为过程,为检查人员、审核人员的安全检查提供可靠依据。
5.3 架构优势
XenApp集中化方法将所有应用程序和数据存储都集中在数据中心服务器上,并把数据的管理严格控制在数据中心。
该方法从安全角度和先进角度出发,在安全防护方面做到了数据的不可复制,在该架构下,只有用户界面、键盘敲击和鼠标操作等小量交互信息通过网络传输,且都是经过加密处理的。
XenApp上的应用程序需要上层管理者授权才能使用,保证了应用的管控和规范使用。
客户部分使用计算机在完成数据操作时,只能够看到所使用的数据,真正的数据依然存放在集中访问控制部分和信息系统中,充分做到了数据的安全防护。
AuditSys具备功能强大的数据搜索引擎,支持细化的组合查询、多条件选择查询,帮助用户快速完成记录搜索。
6 总 结
信息化是企业工业生产的重要驱动力,是企业可持续发展的重要因素,互联网+工业是未来工业发展的方向,且工业信息化发展的前提又是信息安全,因此,企业信息安全防护系统做的好不好,企业信息安全管理规范,直接作用于企业的工业信息化发展,进而影响企业的发展动力、产品创新、技术产品等多个方面。而信息安全体系中,人员的管控的是最复杂、最困难的,信息工作中,能否通过有效的安全系统及时有效的发现、制止信息泄密事件,做到未雨绸缪;能否在发生泄密事件后,准确的查出泄密原因,找出泄密人员,亡羊补牢,这尤其需要企业在信息安全工作中重点考虑,以保证企业的信息安全防护系统坚固、夯实,以保证企业的信息化发展健康、稳步。
主要参考文献
[1]邓小榕,陈龙.安全审计数据的综合审计分析方法[J].重庆邮电学院学报:自然科学版,2005(5).
[2]许霆,袁萌,史美林.网络监控审计系统的设计与实现[J].计算机工程与应用,2002(18).
[3]邓瑛,常国岑.网络安全监控与审计系统的设计与实现[J],计算机工程,2002(12).
[4]张俊良.基于信息过滤的网络安全审计系统的研究与实现[D].西安:西北大学,2009.
[5]曹晖,王青青.新型数据库安全审计系统[J].计算机工程与应用,2007,43(5):163-165.
[6]王渊,马骏.一种基于入侵检测的数据库安全审计[J].计算机仿真,2007,24(2):33-36.
[7]高彩容.基于数据挖掘的网络安全审计技术研究[D].西安:西安电子科技大学,2008.
[8]韦猛,程克非.基于主机信息内容审计系统的设计与实现[J].重庆邮电大学学报,2008,20(6):725-728.
篇5
[关键词]企业;信息化建设;网络安全管理
doi:10.3969/j.issn.1673 - 0194.2017.10.040
[中图分类号]F270.7 [文献标识码]A [文章编号]1673-0194(2017)10-00-01
0 引 言
在互联网时代,企业应用网络信息技术和计算机技术,逐步建立了网络信息化平台,以对海量信息数据进行有效收集,为企业的运行和发展提供有效依据。但是企业在信息化建设中还存在一些问题,其中一个严重的问题就是,企业信息数据容易遭受到网络攻击或窃取,即网络安全问题。这些问题的存在,非常不利于企业的信息化建设,不利于企业的进一步发展。因此,相关人员需要对企业在信息化建设中存在的网络安全管理问题以及解决方法进行研究和分析,以全面提高企业信息化建设的质量和水平,更好地推进企业的进步与发展。
1 企业在信息化建设中存在的网络安全管理问题
1.1 外部因素
时代的发展和社会的进步使网络信息安全问题日益严重。例如,企业在进行市场竞争时,需要获得大量准确的信息并保证其安全,但一些不法分子应用网络攻击和非法链接等方式@取企业内部大量信息,并将此类信息在市场中出售牟利,这种情况的出现加剧了企业网络信息安全问题的程度。
1.2 内部因素
企业在信息化的建设过程中,没有对自身的网络信息安全问题给予足够的重视,因此,没有采用高质量的信息安全管理模式,进行有效的网络信息防护,使网络黑客应用网络病毒和信息窃取手段,轻易获取企业内部的各种信息数据。同时,企业内部工作人员也没有受过良好的网络信息安全培训,在应用中存在操作不规范等问题,导致企业的信息安全受到严重威胁。
2 提高企业网络安全管理水平的方法
2.1 加强企业信息化系统的管理
企业需要在信息化建设中加强对信息化系统的管理质量和水平,提升企业网络安全管理的效率。具体来讲,首先,企业需要树立起网络安全管理的意识,对工作中存在的网络安全问题及时处理,建立完备的网络安全管理平台,对企业运行发展中的重要信息数据进行集中性保存。其次,定期对企业员工开展网络安全培训工作,提升员工信息化系统规范操作的能力,对重要信息进行加密处理,并做好多重备份工作。最后,企业员工应定期使用网络安全软件对操作环境进行检查,有效处理和抵御各类网络病毒的攻击和入侵。
2.2 应用有效的数据信息加密技术
企业需要应用有效的数据加密技术,提升网络信息管理质量和水平,保障网络信息的安全,更好的开展企业信息化建设工作,为企业的进步和发展打好基础。第一,企业需要有效的应用链路加密、节点加密、端对端加密等多种技术,提高企业网络信息加密的强度,为重要的业务数据和信息做好保护。第二,企业需要在应用网络信息数据加密技术的同时,对重要数据信息进行切实有效的存储,使其具有完整性,为提升企业数据信息安全水平打好基础。
2.3 部署高质量的安全防护软件
企业需要合理应用各类的防护软件,提升自身网络信息安全的强度。例如现在已经普遍应用的360安全卫士、腾讯电脑管家、金山毒霸等,合理应用可以提高企业整个网络信息安全管理的质量,同时对外部的非法链接进行有效抵制,对网络病毒攻击和入侵进行有效预防。
2.4 设置必要的安全管理权限
企业需要依据自身的需求,建立严密、分层的安全管理权限系统,对登录到系统中的用户进行严格的管理权限设定。通过这种方式,使操作系统或应用系统的用户,需要掌握不同的权限密码才能进行不同权限的操作、进行数据信息的获得,然后进行这些数据信息的应用。
2.5 配置防火墙和访问控制模式
企业在信息化建设中需建立高效的防火墙系统,设置专业化访问控制模式,提升网络信息安全能力,有效抵御各种网络风险,保障企业的内部网络安全。
2.6 信息隐藏模式的有效应用
企业可以有效应用信息隐藏技术,提高网络信息安全质量和水平,保障信息及数据安全。例如,采用高效的编码修改方法进行数据嵌入,如矩阵编码,其可减少修改幅度;扩频嵌入,其使编码更加专业化、高级化、复杂化,很难进行破译,降低密文信号的能量,使其不易被检测到,增强信息的安全性和保密性。这些模式有利于企业对各种网络攻击进行有效抵御,保障企业信息化建设的稳定性和安全性,实现企业应有的经济效益和社会价值。
3 结 语
对企业信息化建设中网络安全管理问题进行分析,有利于企业应用各种有效的方法,提高企业网络安全管理的质量和水平,保障企业网络和信息管理的安全性,最终为企业实现良好的信息化建设做出重要贡献。
主要参考文献
[1]程华.对企业信息化建设中的网络安全管理问题探讨[J].民营科技,2016(1).
篇6
一、网络系统信息安全存在问题分析
(一)计算机及信息网络安全意识不强
由于计算机信息技术高速发展,计算机信息安全策略和技术也有大的进展。设计院各种计算机应用对信息安全的认识离实际需要差距较大,对新出现的信息安全问题认识不足。
(二)缺乏统一的信息安全管理规范
设计院虽然对计算机安全一直非常重视,但由于各种原因目前还没有一套统一、完善的能够指导整个院计算机及信息网络系统安全运行的管理规范。
(三)缺乏适应电力行业特点的计算机信息安全体系
近几年来计算机在整个电力行业的生产、经营、管理等方面应用越来越广,但在计算机安全策略、安全技术和安全措施上投入较少。为保证网络系统安全、稳定、高效运行,应建立一套结合电力行业计算机应用特点的计算机信息安全体系。
(四)缺乏预防各种外部安全攻击的措施
计算机网络化使过去孤立的个人电脑在联成局域网后,面临巨大的外部安全攻击。局域网较早的计算机系统是NOVELL网.并没有同外界连接。计算机安全只是防止意外破坏或者内部人员的安全控制就可以了,但现在要面对国际互联网上各种安全攻击,如网络病毒和电脑“黑客”等。
二、保证网络系统信息安全的对策
(一)建立信息安全体系结构框架
实现网络系统信息安全.首要的问题是时时跟踪分析国内外相关领域信息安全技术的发展和应用情况,及时掌握国际电力工业信息安全技术应用发展动向。结合我国电力工业的特点和企业计算机及信息网络技术应用的实际,建立网络系统信息安全体系一的总体结构框架和基本结构。完善网络系统信息安全体系标准以指导规范网络系统信息安全体系建设工作。
按信息安全对网络系统安全稳定运行、生产经营和管理及企业发展所造成的危害程度,确定计算机应用系统的安全等级,制定网络系统信息安全控制策略.建立适应电力企业发展的网络系统信息安全体系,利用现代网络及信息安全最新技术,研究故障诊断、处理及系统优化管理措施。在不同条件下提供信息安全防范措施。
(二)建立网络系统信息安全身份认证体系
CA即证书授权。一个完整、安全的电子商务系统必须建立起一个完整、合理的CA体系。CA体系由证书审批部门和证书操作部门组成。为保证网络系统信息一和安全.应建立企业的CA机构对企业员工上网用户统一身份认证和数字签名等安全认证,对系统中关键业务进行安全审计,并开展与银行之间,上下级CA机构之间与其他需要CA机构之间的交叉认证的技术研究工作。
(三)建立数据备份中心
数据备份及灾难恢复是信息安全的重要组成部分。理想的备份系统应该是全方位、多层次的。硬件系统备份是用来防止硬件系统故障,使用网络存储备份系统和硬件容错相结合的方式。可用来防止软件故障或人为误操作造成的数据逻辑损坏。这种对系统的多重保护措施不仅能防止物理损坏还能有效地防止逻辑损坏。结合电力行业计算机应用的特点,选择合理的备份设备和备份系统.在企业建立数据备份中心,根据其应用的特点,制定相应的备份策略。
(四)建立网络级计算机病毒防范体系
计算机病毒是一种进行自我复制、广泛传染,对计算机程序及其数据进行严重破坏的病毒,具有隐蔽性与随机性,使用户防不胜防。设计院信息网络系统采取在现有网络防病毒体系基础上.加强对各个可能被计算机病毒侵入的环节进行病毒防火墙的控制,在计算中心建立计算机病毒管理中心,按其信息网络管辖范围,分级进行防范计算机病毒的统一管理。在计算机病毒预防、检测和病毒定义码的分发等环节建立较完善的技术等级和管理制度。
(五)建立网络系统信息安全监测中心
计算机信息系统出现故障或遭受外来攻击造成的损失.绝大多数是由于系统运行管理和维护、系统配置等方面存在缺陷和漏洞,使系统抗干扰能力较差所致。信息安全监测系统可模仿各种黑客的攻击方法不断测试信息网络安全漏洞并可将测出的安全漏洞按照危害程度列表。根据列表完善系统配置,消除漏洞并可实现实时网络违规、入侵识别和响应。它在敏感数据的网络上.实时截获网络数据流,当发现网络违规模式和未授权网络访问时,自动根据制定的安全策略作出相应的反映.如实时报警、事件登录、自动截断数据通讯等。利用网络扫描器在网络层扫描各种设备来发现安全漏洞.消除网络层可能存在的各类隐患。
篇7
中图分类号:F270.7 文献标识码:A 文章编号:1672-3791(2016)03(b)-0024-02
随着网络信息化时代的到来,互联网的快速发展,如今网络化已经成为企业信息化发展过程中的重要推动力量,网络信息化使得全球两百多个国家的信息资源可以得到最大程度上的共享。对于中小企业而言,企业信息化的发展是必经之路。但是凡事都有两面性,都不可能一直顺风顺水,这一进程必将遭受大大小小的挫折和考验;随着企业信息化的高速发展,企业信息化网络安全问题也渐渐变得突出,网络安全问题已经成为阻碍企业发展难以逾越的一条鸿沟。
1 企业信息化与网络安全
1.1 企业信息化概述
企业信息化即企业建设一个良好的资源平台,收集各种各样的信息,建立一个网络数据库。在一定程度上利用计算机互联网技术,控制企业的经济发展,将企业收集到的信息高度集成化,以此达到企业实现资源共享的目的。其种种行为,都是为了提高企业的经济效益,提高企业市场竞争力。为了达到之一目的,这就意味着要对企业的管理流程进行变革和优化、管理理念的创新和改善、管理团队的重组以及管理手段进行创新。
1.2 网络安全概述
网络安全的通用定义:就是在网络运行过程中,网络系统的硬件和软件系统都可以得到很好的保护,不会因为偶然间的原因而遭到恶意的破坏和泄漏,系统的连续十分可靠,在正常情况下都可以稳定运行,网络服务器不会因为其他原因而中途中断。在如今的信息时代下,网络安全问题层出不穷,在目前的公共通信网络存在着千奇百种的安全漏洞和威胁。
从企业和单位个人的角度来看,这一群体希望自己的个人隐私和商户利益在进行网络传输时受到保护。要求这种保护真实完整,保密系数高,可以做到避免不法分子的窃取和侵犯。保证用户的利益和隐私不受到损害和侵犯。同时这一群体也希望主机上的个人信息不受到其他用户的干扰和破坏。从网络运行管理者的角度来看,这一群体希望对本地网络信息的安全做出有力的保证。保证用户的个人信息、商业机密、生活隐私不受到侵犯和威胁。避免出现病毒的传染、网络资源的非法占用、非法存取、拒绝服务,对黑客的网络攻击进行制止和防御。
1.3 网络安全的基本特征
保密性:保密性指的是不将用户的个人隐私、商业机密、生活隐私等信息向外界透露,不泄密给非授权的个人,法律规定的除外。
可控制性:简言之,可控制性就是指对企业信息的传播方式,传播途径都可以很好的掌握,必要时,可以及时控制企业信息的发出。可以在授权范围内对文件的流向以及方式进行控制。
可用性:可用性是指保证用户在合法的情况下,可以及时访问到所需要的信息资源。具体是指:可用性合法用户访问信息并能够按要求顺序使用信息的特性。
2 网络安全问题分析
2.1 内部因素
企业在安全意识方面注意度不够。即使目前已经有了相当大一部分企业加快了企业内部信息化建设的步伐,但是企业管理者往往看到的只是企业信息化带来的经济效益和社会效益。却忽略了信息化建设发展中存在的一些问题,对信息化的建设发展没有引起高度重视。
管理者在管理制度上存在一定的缺陷,存在着管理制度不够完善的情况。由于管理制度的整体缺失,加上管理者可能出现操作上的疏忽,这在一定程度上就给了黑客和不法分子趁虚而入的机会,从而造成企业信息被窃取,导致企业蒙受不必要的损失。
国内软件制作技术相对落后,软件安全得不到高度保障。自信息化时代以来,尤其是近几年软件技术发展十分迅速。即便如此,但是我国在软件制作技术发面和发达国家在软件制作技术方面还是存在着一定差距。
在企业信息化管理人员方面,尤其是具备这方面的高素质管理人才,我国还很缺乏。在企业信息化安全策略制定的前期,日常安全系统的维护及日后安全系统的升级,都需要这方面的高素质人才进行操作。由此可见,企业高素质管理人才的缺乏将直接影响到企业的信息化建设。其次,我国的相关法律法规及制度还不够完善。法规的不够具体和空白现象,必然直接影响到信息化的建设,阻碍企业未来的发展效益。
2.2 外部因素
企业在信息化建设过程中受到的影响有很大一部分来自外部因素。随着社会经济的发展,加上市场经济的推动,在市场竞争中,信息的准确性已经显得十分重要。有很大一部分不法分子靠窃取商业机密来牟利,想尽一切办法和手段来窃取企业信息达到目的。与此同时,还存在着竞争对手用不良手段窃取其他企业商业秘密,获得经济利益。目前黑客可以通过传播病毒和攻击用户防护系统等手段入侵企业的信息化网络,攻击企业信息系统。
3 信息化网络安全问题的研究对策
加强对网络安全的保护,在对建设企业信息化的问题上,起到了至关重要的作用。不仅为企业提供了一个良好的网络安全环境,还为企业信息化工作提供了一个很好的网络信息传输平台。下面是一些加强对网络安全的保护对策。
3.1 数据加密技术
数据加密可以用来提高信息系统的安全性,对用户数据的保密性也有着十分明显的作用。数据加密手段对保护数据外泄有着非常好的效果。数据加密具体通过对数据的传输、数据的存储、数据的完整性这几个方面来加强对企业数据的防护,以此来提高企业整体上的安全系数,达到保障企业信息化建设顺利进行目的。
3.2 主机安全技术
主机安全技术主要控制系统用户能否进入系统和进入系统后可以访问哪些资源。这对保护用户的安全可以起到一定的防范作用。同时他还具备操作系统安全,数据库安全,应用软件程序安全等方面的应用。
3.3 树立安全意识
企业在信息化发展进程中,必须要意识到企业发展环境的重要性,如果企业的发展过程中没有一个良好的网络环境。那么在企业的发展过程中,企业的商业机密和部分信息资源就很有可能被泄露。那么对于企业而言,这种打击无疑是毁灭性的,很可能导致企业经济效益下降。因此树立良好的安全意识不仅可以让竞争对手找不到下手的机会,打消其作案念头和使得其不具备作案条件。与此同时,还可以为企业的后续发展打下良好的基础。
3.4 选择安全性能高的防护软件
世界上的任何一款软件都可以被破解,没有绝对破解不了的信息化软件。但是要明白的是,一些好的信息化软件比起那些次的信息化软件,其性能方面是不可比拟的。无论是在操作性能上还是在破解难度上,高性能的防护软件,都有着其独特的性能优势。
3.5 要时刻加强对企业内部信息化的系统管理
为了加强企业的信息化管理,可以采用一些必要的技术手段。例如:采取数据加密技术、防火墙技术和访问控制技术。当然,加强对企业的安全意识,对企业信息化管理也有着一定程度上的帮助。只有加强对企业的信息化管理,才能为企业的系统安全打下良好的基础。
4 结语
企业在信息化建设过程中,遇到的网络问题涉及面非常广,我国企业信息网络安全技术的研究仍处于起步阶段,对一些网络安全方面遇到的问题,需要人们去深入研究和进一步的探索,实时保障企业信息化网络的安全,对企业经济的快速发展起着重要作用。
参考文献
篇8
安全管理的重点关注内容为安全生产,这也是当前煤矿企业发展探究的热门、重点话题。对于煤矿企业而言,安全生产不仅关系着企业的正常运行,还关系着群众的生命,关系着煤矿工人家属一家团圆的期待。由此可见,做好煤矿企业的安全生产管理能够让企业沿着良性模式发展,并实现科学化、标准化管理,最终来达到提升企业经济效益的目的,促进社会和谐发展。
一、煤矿企业安全管理方面的弊端
(一)安全管理意识淡薄
在新时期,随着煤矿企业的发展,煤矿企业越来越重视企业之间的竞争力与收入状况,
却忽视了发展过程中的安全生产,在安全生产上面的宣传和重视力度不足,未正确认识到经济收入与安全生产、企业发展三者之间的关系,当安全与生产二者处于矛盾对立状态时,企业内通常是将生产放在首位,他们认为只有多出煤才能提升企业的经济收入,才能推动企业发展,员工才能有钱可赚,而安全管理意识却较淡薄。
(二)安全管理制度体系欠完善
部分煤矿企业内部的安全生产责任制还未完善,在履行安全管理上面的条款落实度不够,
可操作性差,可考核性不高。部门与部门之间在安全管理方面的协调性不足,缺乏交流、沟通,煤矿企业在生产时,由于缺乏健全的管理制度,以及先进的管理手段企业安全管理则存在弊端。
(三)煤矿企业技术人员不足
新时期,煤矿企业之间的竞争力相当大,企业之间的管理人员、技术性人才的流动性很严重,刚从学校毕业的大学生根本不愿到一线地区实践、工作,不了解这个煤矿开采的程序,无法委以重任,企业内高技术、高能力人才不足。就一线煤矿工人而言,绝大部分为农民,人员之间存在着较严重的流动性、松散型,他们的文化知识较低,安全知识认识掌握不足,致使煤矿企业的安全工作很难落实到位[1]。
(四)安全培训工作不到位
大部分煤矿企业内都未对内部煤矿工人定期开展安全生产的安全知识宣传与培训工作,使得一线开采工人安全意识淡薄,不懂得如何来保护自己,让自己远离危险,即便是安全培训,更多的也只是口头传授,教育与培训形式单调,培训的内容未付诸实践,实践性不强,很多企业就是为培训而培训,应付工作,走过场。
(五)缺乏一整套完善的有效的奖惩制度
很多煤矿企业内在安全管理方面缺乏一整套完善的有效的奖惩制度。因为奖惩工作做的不到位,或是奖惩制度不平衡,从企业的奖惩制度来看,在奖励方面的条款较少,惩罚方面的则较多,对于管理者来讲,惩罚制度的制定与落实是约束人们行为的一种方法,但是对于部分人群来讲,则会激起他们与企业管理人的叛逆、对抗心理。与此同时,部分企业内在奖惩上面时效性不强,奖惩不及时也就降低了安全生产管理工作的实践性。
二、新时期应如何做好煤矿企业的安全管理工作
(一)提升煤矿企业管理各部门的安全管理意识
安全管理理念属于煤矿企业展开安全生产管理的基本指导思想,也是提升也经济效益的关键点。在实践过程中提升企业内各部门之间之间的沟通,联系,让企业各部门工作人员都具备较强的安全生产意识,不断完善企业内的安全质量量化目标体系[2]。与此同时,企业内还可实行安全监督体系,在岗的所有人员可自行监督或相互监督,以防止安全事故的发生。对于企业内已有的安全管理法,还需不断创新、不断完善,使其更加满足新时期提出的新条件、新要求。
(二)组建科学的安全管理系统
煤矿企业必须在“以人为本”的基础上,组建科学的安全管理系统,并与现代化计算机技术结合起来,将现代化的计算机主动技术与网络技术均应用到安全管理系统中,创建一整套科学、安全、可行的动态信息监测系统,来对煤矿一线工作人员进行监测和管理,能够详细的、全面的了解工作人员的情况,并分析事故致因,消除和预防各类安全事故。
(三)定期组织和开展安全培训工作
煤矿企业在安全培训上面应始终坚持“投资少、收获多、回报高”的原则,对企业内所有员工定期组织和开展安全培训工作,提升企业工作人员的安全管理意识,进一步强化企业内工作人员的教育、培训工作,培训之后还需将培训内容付诸实践,工作人员应根据培训中要求的安全操作规程操作,做到遵章守纪、不违规,确保企业正常运营。
(四)健全、完善煤矿企业的安全检查制
安全生产是煤矿企业发展的核心。所以,煤矿企业需制定出更加符合自己企业发展需要的安全管理措施,地方煤矿局负责人与地方政府需强化对煤矿的安全监督检查工作。在企业内部实行责任制,将责任落实到人头,并成立相应的安全监管小组,定期对小组安全管理工作进行考核、评价,推动煤矿企业的全面发展。
(五)健全、完善煤矿企业的奖惩制度
煤矿企业内还需不断完善内部奖惩制度,确保奖惩制度的平衡性,并提升奖惩制度的时效性,对于应该奖励的行为还应及时给予奖励,但是对于一些违规违纪事件,就应及时作出批评和惩罚,确保煤矿企业奖惩工作落实到位。
(六)加大安全管理资金投入,在煤矿企业内营造良好安全文化氛围
企业还应加大在安全管理方面的资金投入,并合理运用所投入资金来进行系统安全建设、设备维修工作,定期组织人员检查煤矿企业内所有生产设备,看其设备零件有无松动、脱落现象,有无设备老化现象,一旦发现问题,应立即维修,对于部分老化设备应及时更换,确保工作人员能安全生产,减少因设备问题而带来严重安全事故,在煤矿企业内营造良好安全文化氛围[3]。
总之,近年来,煤矿安全事故发生率不断提升,各大煤矿企业都应在安全生产上面引起高度重视,总结各起煤矿安全事故发生原因,不断完善企业内的煤矿安全管理相关制度体系,全面做好煤矿企业的安全管理工作,促进煤矿企业的全面发展。
参考文献
篇9
doi:10.3969/j.issn.1673 - 0194.2016.16.000
[中图分类号]TP393.08 [文献标识码]A [文章编号]1673-0194(2016)16-00-01
信息化已经成为企业发展过程中的必然选择。在企业信息化体系之下,数据的流动,除了物联网带动的各种数据采集外,工作人员之间的沟通仍然是企业信息流动的重点驱动力量。随着数据实时性特征领域相关需求的不断突出,企业环境内部各种即时通信工具也开始日渐盛行。
1 企业即时通信系统安全特征分析
企业即时通信系统(Enterprise Instant Messenger,EIM)是即时通信系统在企业环境中的深入应用,通常以基础脚本作为起点展开面向企业环境的功能开发,能够支持文本、语音、视频以及其他标准数据的传输支持。从应用的角度看,在企业环境内部中,EIM的出现对当前社会上正在使用的其他IM通信工具有一定的替代作用,尤其是对于油田组织而言,这种替代作用尤其明显。因为在这样的大型工业环境中,工作时涉及的信息沟通方,通常也是日常生活中的朋友,因此EIM对于这样的群体而言,完全能够取代社会化IM的地位。
当前EIM系统的工作框架,如图1所示。
从图1中可以看出,C/S模式仍然是当前EIM中最为常用的架构。客户端通过网络环境实现数据的传输与交换,保持对服务器的使用状态,而同时服务器通过公共数据网实现对于客户端身份认证,以及消息的过滤与转发。
从安全的角度看,EIM主要面临的问题包括病毒的传播和用户身份授权管理不善。由于EIM的文件传输采取了P2P模式,它可以将文件作为附件通过点对点方式传送,而绕过网络周边安全防御设备。这种工作方式本质上无法对病毒实现有效地防范,造成病毒威胁。除此以外,缓冲区溢出、拒绝服务等攻击方式也屡见不鲜。而在用户身份管理方面,用户账号授权管理不善,移动端丢失默认登录以及密码被盗是主要存在的安全问题。当前IM开发商对于系统的扩展性倾注了过多关注,但对于认证机制考虑不足,也会给攻击者可乘之机。
文件交换过程中的弱加密甚至于不加密的状态,同样可能会导致信息截取问题的发生。以及考虑到当前主流的EIM 软件都提供了脚本编写功能,虽然方便了企业用户实现EIM二次开发,但是却会进一步加剧蠕虫病毒等威胁。
2 加强EIM安全建设
考虑到当前EIM对于企业工作正常展开的重要价值,加强对其安全建设就显得格外重要。结合目前该领域的发展,可以发现有如下几个方面,可以作为提升EIM安全水平的工作重点。
2.1 加强用户身份管理
用户登录过程中可靠和严谨的身份验证,对提升EIM的整体安全有着毋庸置疑的积极价值。如果用户在进行注册的时候,已经将密码摘要存入服务器,则可以考虑在SHA-1报文摘要算法的基础上展开对于登录验证的优化。首先在客户端发起登录请求的时候,服务器端生成一个随机值,联通登录界面一同反馈给客户端,而后在客户端完成密码输入之后,采用SHA-1算法来生成报文摘要1,再和随机值散列生成报文摘要2,并进行提交。最后,服务器在接到相关数据之后,将两个方面的报文摘要进行对比,进一步来确定是否授权登录。
2.2 加强信息交换安全建设
在EIM环境中,信息的传输和交换是主要的职能,同时也是安全隐患最为严重的环节。信息传输和交换的过程中,必须要保证信息内容不被窃取或篡改,同时要考虑信息传输的效率问题,尤其是在工业环境之下,很多数据都要求强实时性的情况下,实现安全和效率的平衡至关重要。实际工作中需要合理安排加密机制,例如:利用对称密钥算法IDEA加密明文,同时采用RSA机制对秘钥进行加密传输,确保信息机密。随后用MD5生成信息摘要,并且用RSA为摘要签名,提升签名速度的基础之上保证信息不可抵赖特征。诸如此类相关机制,共同构建起完善的EIM安全环境。
2.3 文件传输模块设计安全
对于这一方面,主要是考虑在原有文件传输功能的基础上,附加两层安全防护技术来进一步保证传输的安全性,即病毒扫描技术和文件加密技术。其中前者能够有效防止已经受到病毒感染文件的进一步传输,并且对其进行隔离,保证系统安全。而后者则用于实现面向文件内容的安全保证,使文件处于密文状态发送,用来防止攻击者窃取文件成功后直接得到文件的真实内容。
3 结 语
篇10
一、会计信息化系统与会计电算化系统的比较
会计信息化系统与会计电算化系统相比,无论从技术上还是内容上来讲都是一次质的飞跃,其意义不亚于从手工会计系统到会计电算化系统的飞跃。二者在基本特征上是有很大区别的。
从基本的技术支撑以及行为特征上看,会计电算化系统是财会部门边界范围内的独立信息系统;是基于局域网的信息系统;是模拟人工业务内容和流程的系统;是事后核算型系统;是与业务处理分割的系统;是与管理控制分割的系统;它无法实现与企业内其他系统的数据共享。而相应地,会计信息化系统是企业边界范围内的非独立信息系统;是基于互联网的信息系统;是业务流程重组以后的系统;是实时数据处理的系统;是与业务协同处理的系统;是实时管理控制的系统;是信息高度集成和共享的系统。以上的差异导致在具体操作手段上对会计信息化系统出现了不同于会计电算化系统的要求,而安全问题是网络财务发展的瓶颈,关系到财务网络化的建立与发展,是应优先提出并解决的问题。
二.会计信息化系统面临的安全隐患与对策
1.安全隐患
在电子商务这种新的经济模式下,财务系统的安全受到了以前所没有碰到过的挑战,产生了不同于以往的安全隐患,比如各种数据与财务报表是以电子的形式存在,并且这些本已脆弱的电子数据还要在私有的甚至是公共网络上传递,这样使得在整个财务流程中产生出了很多新的漏洞。这些有别于传统会计电算化系统的安全隐患归根结底是由网络的不安全所导致的。
Internet的无限性和技术的开放性,为实现工作场地虚拟化,资料记录无纸化,数据传递远程化,信息交流数字化提供了广阔的空间,在当今时代已经显现出无比的优越性,但也使一些不法分子常常有机可乘,从而使用户有价值的企业信息、关键性的商业应用以及公司客户的各类私人保密信息暴露。恶意的袭击会侵入网络财务站点,进行各种可能的破坏,如制造和传播破坏性病毒或让服务器拒绝服务等。这些攻击可导致公众信心的丧失,网络财务实施的瓦解。目前网络上已经存在的钓鱼攻击以及经过特别编制的木马病毒,都可以使用户的信用卡帐号与密码泄露。当前我国拥有网上银行用户以千万计,每年在网上流通的资金数以千亿计,如若各种攻击可轻易得手,后果将不堪设想。美国有关机构曾做过测试,没有任何安全保护措施的计算机在Internet上的“存活时间”已经从2003年平均近1小时下降到了2005年的不足20分钟。如此脆弱的网络确实让人担忧,而以这样的互联网为平台的网络财务更让人担忧。
2.解决对策
