企业信息安全管理篇1
一、前言
国网公司现已建成覆盖至基层生产班站及营业站所的信息内网。随着SG186工程的全面投入运行,从职能部室到一线班组,电力企业所有的业务数据都依赖网络进行流转,电网企业生产和经营对信息网络和信息系统的依赖程度越来越高信息安全的重要性日益凸显。国网公司已将网络与信息安全纳入公司安全管理体系。
一直以来,信息安全防御理念常局限于常规的网关级别(防火墙等)、网络边界(漏洞扫描、安全审计)等方面的防御,重要的安全设施大多集中于核心机房、网络入口处,在这些设备的严密监控下,来自网络外部的安全威胁已大大减少,尤其实行内外网隔离、双网双机后,来自于互联网的威胁微乎其微。而内网办公终端由于分布地点广泛,管控难度大,加之现在无线上网卡、无线wifi和智能手机的兴起,内网计算机接入互联网的事件时有发生,一旦使用人员将内网计算机通过以上方式接入互联网,即造成违规外联事件。由于违规外联开通了一条无任何保护措施进出内外网的通道,一旦遭遇黑客袭击,就可能造成信息泄露、重要数据丢失、病毒入侵、网络瘫痪等信息安全事故,给企业信息安全带来重大的安全隐患和风险。
二、强化管理、落实责任,监培并进
1、将违规外联明确写入公司各项规章制度,并纳入经济责任考核。在《公司信息系统安全管理办法》中,对杜绝违规外联事件进行了明确的要求:所有内网计算机必须粘贴防止违规外联提示卡,严禁将接入过互联网未经处理的计算机接入内网,严禁在普通计算机上安装双网卡,严禁将智能设备(3G手机、无线网卡等)插入内网计算机USB端口,严禁在办公区通过路由器连接外网,杜绝违规外联行为。一旦发生违规外联事件,依据《企业信息化工作评级实施细则》,按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则对事件责任人进行严肃处理和经济考核,并在全公司通报批评。将信息安全责任落实到人。
2、加大违规外联宣贯和培训力度。信息安全工作,重在预防,将一切安全事件消灭在萌芽状态,才能确保信息系统安全稳定运行。分层次组织开展公司在岗员工,尤其是新员工的信息安全教育培训工作,即重点培训各部门信息化管理人员,各级管理人员培训本部门技术人员,本部门技术人员培训一线员工。通过分层式培训,提高了培训效果,同时各级管理人员、技术人员作为下级培训对象讲师提高了自身素质,强化了信息安全关键点的作用。确保违规外联事件的严重性、危害性和工作机理已宣贯至公司每一位员工,实现全员重视、全员掌握,做到内网计算机“离座就锁屏,下班就关机”的工作习惯。
3、加强外来工作人员管控。加强外来工作人员信息安全教育,并签订《第三方人员现场安全合同书》,严禁外来工作人员计算机接入公司内外网。对第三方人员工作过程全程监控,防止因外来工作人员擅自操作造成违规外联事件。
三、加强技术管控,从源头杜绝安全事件的发生
2.1严格执行“双网双机”
严禁在信息内网和外网交叉使用计算机。对要求接入信息内、外网的计算机,需向本人核实该计算机之前网络接入情况,对内外网络接入方式有变化、或者是不清楚的情况,需对计算机进行硬盘格式化并重装系统后方可接入网络。
2.2安装桌面终端,设置强口令,防止违规外联
实时监控全公司内网终端桌面终端系统安装率,确保所有内网计算机桌面终端安装率达100%。设置桌面终端策略,一旦发生违规外联,系统立即采取断网措施,并对终端用户进行警示。要求全部内网计算机设置开机强口令(数字+字母+特殊符号,且大于8位),防止非本人操作的违规外联行为。通过桌面终端系统对内网计算机开机强口令进行实时监控。
2.3做好温馨提示,明确内外网设备,防止违规外联
做到每一台内网计算机均粘贴信息安全提示标签提示员工切勿内网计算机接入外网网络,无线网卡及智能手机切勿接入内网。内外网网络端口模块、网线端口都要有明显标识,防止员工误接网络。
2.4实行内网计算机ip、maC绑定和外网计算机ip、认证账号绑定
加强ip地址绑定,从交换机端口对接入内网的计算机进行ip、maC地址绑定,确保除本计算机外,其余计算机无法通过该端口接入内网。
通过外网审计(网康科技)对外网ip和用户认证账户进行绑定,完善外网用户和计算机基础资料,做到全局外网终端和用户可控。
四、信息安全前景:
在信息安全领域没有绝对的安全防护技术和手段。随着信息技术日新月异的发展,电力企业内网计算机违规外联风险也在增加。在已有的管控手段的基础上,还要及时关注新技术,不断完善和调整制度管理和技术策略。信息安全是伴随企业信息化应用发展而发展的永恒课题。
企业信息安全管理篇2
【关键词】信息化建设;安全管理;授权
【中图分类号】tU714【文献标识码】a【文章编号】1672—5158(2012)08—0255-02
0.引言
随着信息技术的不断发展以及市场竞争的不断激烈,企业信息安全建设已经成为提高企业竞争力的重要途径,杜绝信息泄露可以避免巨大的经济损失。虽然大多数企业在信息安全管理方面采取了较多的措施,但是信息安全问题仍然频发,对于企业的经营活动带来巨大的损失。加强企业内部的计算机管理,提高对于信息安全的认识程度,保证信息数据库的安全,避免信息泄露的发生已经成为现阶段企业信息化建设亟待解决的管理问题。
1.企业信息化建设信息安全影响因素分析
(1)信息系统实体安全。信息实体主要包括用于企业信息化建设的计算机、网络连接、服务器等媒介硬件设施,对于信息实体安全影响因素主要包括火灾、水灾、失窃或者是其他事故造成设备硬件的损坏,从而造成企业信息库数据安全出现问题。
(2)信息系统运行安全。信息系统的安全是指为了保证企业信息数据库的安全,采取各种措施对系统运行进行安全保护。由于信息数据库有可能受到非授权的访问、泄露、数据纂改或者是被其他非法程序控制的威胁,因此确保信息系统运行安全主要是保证信息数据库的完整、保密以及时时可用性。
(3)信息系统管理人员安全责任意识。管理人员在日常工作中的安全管理意识、专业操作水平以及法律意识等均会对企业信息数据的安全产生影响。信息安全管理人员的日常管理工作责任心以及工作方式方法,对于保证信息数据库的安全十分重要。
2.企业信息安全管理问题分析
目前由于管理制度以及软硬件设施等一系列的问题,企业数据库破坏以及重要数据信息泄漏的现象时有发生,严重影响了企业的正常生产经营活动,通过分析发现影响企业信息化建设信息安全的问题主要由以下几方面:
(1)企业内部移动存储设备管理疏松,缺乏安全保密管理制度。由于许多企业在日常管理过程中,移动存储设备使用较多,员工可以随意对企业内部的各种信息资料进行备份,企业用于经营活动的客户信息、产品设计、财务管理等各项信息极易造成泄漏,带来巨大的信息安全损失。部分企业由于对于信息安全管理认识程度不足,企业内部信息安全管理缺乏必要的规章制度,安全管理职责权限不清,信息安全漏洞较多。
(2)对于内部信息共享控制不严格,信息安全管理权限混乱。由于企业在生产经营过程中为了提高生产经营效率以及加强企业内部各部门之间的沟通联系,对于一些设计企业销售计划、客户信息以及生产计划等文件采取共享的措施,因此企业员工的流动或者其他管理不当均会造成企业信息的泄露。
(3)信息权限管理混乱,企业的中介服务体系稳定性较差。对于加密的授权访问,权限管理则成为保护企业信息安全的重要因素。但是由于企业在信息安全管理过程中体系混乱,操作权限不清晰导致经常出现影响信息安全的非授权访问。而且对于部分中小企业由于信息化建设采取对外委托的方式,而中介第三方由于稳定性难以保证,随时更换或者退出的第三方极易造成企业有价值信息的泄漏,影响企业信息安全建设。
(4)信息管理安全防范体系不健全,缺乏针对信息安全管理的专业技术人才。虽然部分企业已经认识到信息化管理的重要性,并在企业网络内设置了必要的安全设备。但是缺乏一系列的安全管理机制,在信息安全管理方面缺乏行之有效的整体规划与具体落实措施。此外,由于大部分企业在信息安全管理工作中将重点放在软硬件设施上,而忽略了对于信息安全技术人员的培养,而且为了减少人力资源支出成本,信息安全管理人员少工作任务重,管理权限集中化程度高,影响了信息化建设的安全管理。
3.企业信息建设信息安全管理措施
(1)加强对于信息库硬件设备的保护管理。首先应保证计算机等硬件设备具有安全的工作环境,做好计算机设备的防火、防潮、防盗措施,并避免强磁环境对信息数据可能造成的损坏。其次,在对各种硬件设备进行检修时,硬组织企业内部相关技术人员进行监督管理,对于需要外送检修的设备,则应提前进行数据加密处理。
(2)提高企业内部的信息安全管理意识。企业信息安全管理对于提高企业竞争力,避免企业经济损失具有重要的意义。在企业的正常管理过程中,加强信息安全宣传工作,使员工充分认识到企业信息安全管理的重要性,并熟悉企业相关信息数据保密的规则制度,提高企业的整体信息安全防范水平。
(3)加强信息安全操作管理人员的管理。在企业信息日常管理过程中,应加强对于业务操作以及数据存取控制代码的管理。系统管理操作代码的获得应经过企业管理者授权,系统管理人员在进行企业相关信息数据库的整理以及维护过程中,必须通过授权进行。系统管理人员离开工作岗位后,相关责任人应及时更换管理员操作代码。
(4)加强企业信息数据库的密码与权限管理。对于涉及到企业信息数据库安全的密码,应分别设置用户密码以及操作密码,并提高密码的安全程度,及时定期更换登陆操作密码。对于组成企业内部局域网络的服务器、路由器等设施的设置管理工作,应严格按照相关管理规定进行设置。
(5)明确企业信息数据库管理制度。对于企业重要的数据应存放备份数据,并采取异地存放的方式对备份数据库进行管理。对于废弃或者需要销毁的数据信息,应严格依照程序采取逐级审批的方式,避免数据信息的泄露。需要进行数据恢复工作时,应严格按照相关技术手册,并对恢复的数据进行验证确认数据的完整可用。
(6)加强企业信息数据机房的管理。相关人员出入信息数据库机房进行数据查阅以及提取工作时,应经由相关主管人员的授权,并登记进入。在日常管理过程中,定期对硬件设备进行保养,同时研究违章操作在信息数据机房安装外部其他软件。
参考文献
[1]沈路铁路信息系统安全风险评估研究[J]-铁路计算机应用2011(6)
企业信息安全管理篇3
企业经营信息对于企业来说是一种资源,对于企业自身来说具有重要意义,企业需要妥善管理自身企业的信息。近年来,企业的各项经营活动都逐渐开始通过计算机,网络开展,因此,企业的信息安全管理对于企业越来越重要。许多企业开始通过各种技术手段以及制度改革,把更多的注意力放在企业内部的信息安全管理工作,同时将企业信息安全管理与风险控制结合起来,这是一个正确的选择,能够帮助企业实现稳定经营。在介绍企业信息安全管理以及风险控制前必须厘清企业信息安全管理的概念与企业风险控制定义,因此,本节将着重介绍企业信息安全管理的概念以及企业风险控制的定义。企业的信息安全管理包含十分丰富的内容,简单来说是指企业通过各种手段来保护企业硬件和软件,保护网络存储中的各种数据不受偶然因素的破坏或者恶意的原因被攻击。对于信息安全的认定通过包括4个指标,即保证信息数据的完整,保证信息数据不被泄露,保证信息数据能够正常使用,保证信息数据能够控制管理。要想做好企业的信息安全管理,首先需要了解的是关于信息的传输方式。随着信息技术的不断普及,信息传递的方式越来越多,常见的信息传递方式主要有互联网传播,局域网传播,硬件传播等等。要想实现企业的信息安全管理,其中很重要的一项工作在于保护信源、信号以及信息。信息安全管理是一项需要综合学科知识基础的工作,从事企业信息安全管理工作的人员通过需要具有网络安全技术、计算机技术、密码技术、通信技术。从企业的信息安全管理来讲,最为关键的一项工作时保护企业内部经营信息数据的完整。经过近十年来的企业信息安全管理工作经验总结,企业信息安全不仅仅需要信息技术的支持,更需要通过建立完善的企业风险控制体系来帮助企业实现更好地保护企业信息安全的目标。所以,怎样把企业信息安全管理与风险控制融合起来就是摆在企业经营管理者面前的一道难题。企业的信息安全风险控制必须通过企业建立完善的企业信息安全风险体系实现。企业的信息安全风险控制是指企业在企业信息安全遭遇威胁之前,提前对企业的信息进行风险预估,并采取一系列的有针对性的活动降低企业面临的信息安全风险,从而尽可能减少因为企业本身信息安全管理中存在漏洞给企业带来不必要的损失。常见的企业信息安全风险体系建立主要包含以下几个方面的内容。第一,建立企业信息安全风险管理制度,明确企业信息安全管理的责任分配机制,明确企业各个部门对各自信息安全所应承担的责任,并建立相应的问责机制。第二,设置规范的企业信息安全风险管理指标,对企业存在的可能威胁企业信息安全管理的漏洞予以风险定级,方便企业管理者对不同的信息安全管理漏洞采取有区别的对策。第三,企业要加强对信息安全管理人员的培训,提高企业信息安全管理工作人员的风险意识,让企业内部从事信息安全管理工作人员认识到自身工作的重要性,让企业内部从事信息安全管理工作人员了解到规范自身行为,正确履行职责的重要性。第四,将企业信息安全管理与风险控制有效融合,重视企业信息安全管理工作,通过风险控制对企业内部信息安全的管理方式进行正确评估,找出现行的企业内部信息安全管理手段中存在容易忽视的地方。
二、企业信息安全管理与风险控制存在的不足
1.企业信息安全管理工作人员素质不高
对于企业来说,企业信息安全管理工作是一项极为重要而隐秘的工作,因此,必须增强对企业信息安全管理工作人员的素质要求。但是根据调查统计,目前很多企业对信息安全工作的管理仅仅停留在对企业信息安全管理工作人员的技术要求上,对企业信息安全管理工作人员的道德素养,职业素养,风险意识并没有严格要求。此外,绝大多数企业并没有意识开展对企业信息安全管理工作的道德素质的教育培训,并没有通过建立相关管理制度以及问责机制对企业信息安全管理工作人员实行监督,这无疑给别有用心或者立场不坚定的企业信息安全管理工作人员留下了危害企业信息安全的可乘之机。
2.企业信息安全管理技术不过关
企业信息安全管理工作涉及多许多技术,包括信息技术,计算机技术,密码技术,网络应用技术等等,应当说成熟的计算机应用技术是做好企业信息安全管理的基础,但是,现实是许多企业的信息安全管理技术并不过关,一方面企业的信息安全管理硬件并不过关,在物理层面对企业信息缺乏保护,另一方面,企业信息安全管理工作的专业技术没有及时更新,一些企业信息安全管理工作人员缺乏企业信息安全管理的实践经验,企业信息安全管理的知识也并没有及时更新,从而导致企业的信息安全管理理论严重滞后,这种技术的落后很容易让企业成为不法分子的攻击对象。近年来网络病毒的传播越来越猖狂,很多服务器、系统提示安全补丁的下载更新以及客户端的时常更新成为一个恼人的问题。作为一个行业中的大中型企业,企业内部设备数量比较多,尤其是客户端数量占了较大比重,仅仅靠少数几个管理员进行管理是难以承担如此大量的工作量。另外,企业信息安全管理系统不成熟也是一个重大的隐患。
3.企业信息安全管理制度不健全
企业信息安全管理制度不仅仅需要理论制度的完善,更加需要一系列配套监督机制保障企业信息安全管理的有效执行。通过调查分析,许多企业虽然建立了企业信息安全管理制度,但是通常情况下,这些制度只能流于形式,企业信息安全管理工作缺少有效的制约和监督,企业信息安全管理工作人员缺乏执行力。企业信息安全管理制度不健全,企业信息安全管理工作缺乏执行力常常体现在以下几个方面。第一,企业员工对于信息安全管理的认识严重不足,对企业信息安全管理工作不重视。企业内部计算机系统安全的计算机防病毒软件并没有及时更新,使用,甚至企业内部计算机的防病毒软件还被企业员工卸载了。部分企业员工认为自己的工作与企业信息安全管理不相关,认为做好企业信息安全管理工作仅仅是企业信息安全部门的事。第二,企业内部信息安全管理制度并没有形成联动机制,企业信息安全管理工作仅仅由企业信息安全部门“一人包干”,企业信息安全反映的问题并没有得到积极的反馈,一些企业领导对企业信息安全现状所了解的少之又少。
三、企业信息安全管理常见的技术手段
1.oSi安全体系结构
oSi概念化的安全体系结构是一个多层次的结构,它的设计初衷是面向客户的,提供给客户各种安全应用,安全应用必须依靠安全服务来实现,而安全服务又是由各种安全机制来保障的。所以,安全服务标志着一个安全系统的抗风险的能力,安全服务数量越多,系统就越安全。
2.p2DR模型
p2DR模型包含四个部分:响应、安全策略、检测、防护。安全策略是信息安全的重点,为安全管理提供管理途径和保障手段。因此,要想实施动态网络安全循环过程,必须制定一个企业的安全模式。在安全策略的指导下实施所有的检测、防护、响应,防护通常是通过采用一些传统的静态安全技术或者方法来突破的,比如有防火墙、访问控制、加密、认证等方法,检测是动态响应的判断依据,同时也是有力落实安全策略的实施工具,通过监视来自网络的入侵行为,可以检测出骚扰行为或错误程序导致的网络不安全因素;经过不断地监测网络和系统来发现新的隐患和弱点。在安全系统中,应急响应占有重要的地位,它是解决危险潜在性的最有效的办法。
3.Htp模型
Htp最为强调企业信息安全管理工作人员在整个系统中的价值。企业信息安全工作人员企业信息安全最为关键的参与者,企业信息安全工作人员直接主导企业信息安全管理工作,企业信息安全工作人员不仅仅是企业信息安全的保障者,也是企业信息安全管理的威胁者。因此,Htp模型最为强调对企业信息安全管理工作人员的管理与监督。另外,Htp模式同样是建立在企业信心安全体系,信息安全技术防范的基础上,Htp模式采取了丰富的安全技术手段确保企业的信息安全。最后,Htp强调动态管理,动态监督,对于企业信息安全管理工作始终保持高强度的监督与管理,在实际工作中,通过Htp模型的应用,找出Htp模型中的漏洞并不断完善。
四、完善企业信息安全管理与降低风险的建议
1.建设企业信息安全管理系统
(1)充分调查和分析企业的安全系统,建立一个全面合理的系统模型,安全系统被划分成各个子系统,明确实施步骤和功能摸块,将企业常规管理工作和安全管理联动协议相融合,实现信息安全监控的有效性和高效性。
(2)成立一个中央数据库,整合分布式数据库里的数据,把企业的所有数据上传到中央数据库,实现企业数据信息的集中管理与有效运用。
(3)设计优良的人机界面,通过对企业数据信息进行有效的运用,为企业管理阶层人员、各级领导及时提供各种信息,为企业领导的正确决策提供数据支持,根本上提高信息数据的管理水平。
(4)简化企业内部的信息传输通道,对应用程序和数据库进行程序化设计,加强对提高企业内部信息处理的规范性和准确性。
2.设计企业信息安全管理风险体系
(1)确定信息安全风险评估的目标
在企业信息安全管理风险体系的设计过程中,首要工作是设计企业信息安全风险评估的目标,只有明确了企业信息安全管理的目标,明确了企业信息安全管理的要求和工作能容,才能建立相关围绕信息安全风险控制为目标的信息安全管理工作制度,才能顺利通过对风险控制的结果的定量考核,检测企业信息安全管理的风险,定性定量地企业信息安全管理工作进行分析,找准企业信息安全管理的工作办法。
(2)确定信息安全风险评估的范围
不同企业对于风险的承受能力是有区别的,因此,对于不同的企业的特殊性应该采取不同的风险控制办法,其中,不同企业对于能够承受的信息安全风范围有所不同,企业的信息安全风险承受范围需要根据企业的实际能力来制定。不仅如此,企业的信息安全风险评估范围也应当根据企业的实际经营情况变化采取有针对性的办法。
(3)组建适当的评估管理与实施团队
企业信息安全管理篇4
[关键词]信息安全;管理;控制;构建
中图分类号:X922;F272文献标识码:a文章编号:1009-914X(2015)42-0081-01
1企业信息安全的现状
随着企业信息化水平的提升,大多数企业在信息安全建设上逐步添加了上网行为管理、内网安全管理等新的安全设备,但信息安全防护理念还停留在防的阶段,信息安全策略都是在安全事件发生后再补救,导致了企业信息防范的主动性和意识不高,信息安全防护水平已经越来越不适应当今企业it运维环境和企业发展的需求。
2企业信息系统安全防护的构建原则
企业信息化安全建设的目标是在保障企业数字化成果的安全性和可靠性。在构建企业信息安全体系时应该遵循以下几个原则:
2.1建立企业完善的信息化安全管理体系
企业信息安全管理体系首先要建立完善的组织架构、制定信息安全管理规范,来保障信息安全制度的落实以及企业信息化安全体系的不断完善。基本企业信息安全管理过程包括:分析企业数字化资产评估和风险分析、规划信息系统动态安全模型、建立可靠严谨的执行策略、选用安全可靠的的防护产品等。
2.2提高企业员工自身的信息安全防范意识
在企业信息化系统安全管理中,防护设备和防护策略只是其中的一部分,企业员工的行为也是维护企业数字化成果不可忽略的组成。所以企业在实施信息化安全管理时,绝对不能忽视对人的行为规范和绩效管理。在企业实施企业信息安全前,应制定企业员工信息安全行为规范,有效地实现企业信息系统和数字化成果的安全、可靠、稳定运行,保证企业信息安全。其次阶段递进的培训信息安全人才也是保障企业数字化成果的重要措施。企业对员工进行逐次的安全培训,强化企业员工对信息安全的概念,提升员工的安全意识。使员工的行为符合整个企业信息安全的防范要求。
2.3及时优化更新企业信息安全防护技术
当企业对自身信息安全做出了一套整体完善的防护规划时,就应当考虑采用何种安全防护技术来支撑整个信息安全防护体系。对于安全防护技术来说可以分为身份识别、网络隔离、网络安全扫描、实时监控与入侵发现、安全备份恢复等。比如身份识别的目的在于防止非企业人员访问企业资源,并且可以根据员工级别分配人员访问权限,达到企业敏感信息的安全保障。
3企业信息安全体系部署的建议
根据企业信息安全建设架构,在满足终端安全、网络安全、应用安全、数据安全等安全防护体系时,我们需要重点关注以下几个方面:
3.1实施终端安全,规范终端用户行为
在企业信息安全事件中,数字化成果泄漏是属于危害最为严重的一种行为。企业信息安全体系建立前,企业员工对自己的个人行为不规范,造成了员工可以通过很多方式实现信息外漏。比如通过U盘等存储介质拷贝或者通过聊天软件传递企业的核心数字化成果。对于这类高危的行为,我们在建设安全防护体系时,仅仅靠上网行为管理控制是不能完全杜绝的。应该当用户接入企业信息化平台前,就对用户的终端系统进行安全规范检查,符合企业制定的终端安全要求后再接入企业内网。同时配合上网行为管理的策略对员工的上网行为进行审计,使得企业员工的操作行为符合企业制定的上网行为规范,从终端用户提升企业的防护水平。
3.2建设安全完善的Vpn接入平台
企业在信息化建设中,考虑总部和分支机构的信息化需要,必然会采用Vpn方式来解决企业的需求。不论是采用SSLVpn还是ipSecVpn,Vpn加密传输都是通用的选择。对于分支机构可以考虑专用的Vpn设备和总部进行ipSec连接,这种方式更安全可靠稳定。对于移动终端的接入可以考虑SSLVpn方式。在这种情况下,就必须做好对于移动终端的身份认证识别。其实我们在设备采购时,可以要求设备商做好多种接入方式的需求,并且帮助企业搭建认证方式。这将有利于企业日常维护,提升企业信息系统的Vpn接入水平。
3.3优化企业网络的隔离性和控制性
在规划企业网络安全边际时,要面对多个部门和分支结构,合理的规划安全网络边际将是关键。企业的网络体系可以分为:物理层;数据链路层;网络层;传输层;会话层;表示层;应用层。各体系之间的相互隔离和访问策略是防止企业信息安全风险的重要环节。在企业多样化网络环境的背景下,根据企业安全优先级及面临的风险程度,做出适合企业信息安全的防护策略和访问控制策略。根据相应防护设备进行深层次的安全防护,真正实现oSi的L2~L7层的安全防护。
3.4实现企业信息安全防护体系的统一管理
为企业信息安全构建统一的安全防护体系,重要的优势就是能实现对全网安全设备及安全事件的统一管理,做到对整个网络安全事件的“可视、可控和可管”。企业采购的各种安全设备工作时会产生大量的安全日志,如果单靠相关人员的识别日志既费时效率又低。而且不同安全厂商的日志报表还存在很大差异。所以当安全事件发生时,企业管理员很难实现对信息安全的统一分析和管理。所以在企业在构建信息安全体系时,就必须要考虑安全设备日志之间的统一化,设定相应的访问控制和安全策略实现日志的归类分析。这样才能做到对全网安全事件的“可视、可控和可管”。
4结束语
信息安全的主要内容就是保护企业的数字化成果的安全和完整。企业在实施信息安全防护过程中是一个长期的持续的工作。我们需要在前期做好详尽的安全防护规划,实施过程中根据不断出现的情况及时调整安全策略和访问控制,保证备份数据的安全性可靠性。同时全体企业员工一起遵守企业制定的信息安全防护管理规定,这样才能为企业的信息安全提供生命力和主动性,真正为企业的核心业务提供安全保障。
参考文献
[1]段永红.如何构建企业信息安全体系[J].科技视界,2012,16:179-180.
[2]于雷.企业信息安全体系构建[J].科技与企业,2011,08:69.
[3]彭佩,张婕,李红梅.企业信息安全立体防护体系构建及运行[J].现代电子技术,2014,12:42-45+48.
[4]刘小发,李良,严海涛.基于企业网络的信息安全体系构建策略探讨[J].邮电设计技术,2013,12:25-28.
[5]白雪祺,张锐锋.浅析企业信息系统安全体系建设[J].管理观察,2014,27:81-83.
企业信息安全管理篇5
【关键词】企业信息安全管理对策
信息安全管理是指通过保证信息资产的机密性、完整性和可用性来保护和维护企业所有信息资产的一系列管理活动,是完整的企业组织管理体系的重要组成部分。其主要包括制定信息安全政策、风险评估、控制目标与方式选择、制定规范的操作流程、对人员进行安全意识培训等一系列工作。
知识经济时代,企业内部各部门之间以及企业与外部之间的交流与合作日益频繁,且对计算机信息技术的依赖也日益明显,使得信息安全问题成为众多企业的关注焦点。
企业的许多信息,包括一些战略规划的重要信息,均以电子文件形式存储,而这些信息在存储、处理以及传输过程中都有可能被非法截取、恶意破坏以及篡改,损失难以想象。保障信息系统的安全在企业的建设和发展当中具有重要的作用。信息安全管理是确保信息系统顺利运行的有力武器。通过建立信息安全体系及相应的规范机制,如加强对人员的管理、提升人员安全意识、促进软件和操作系统的操作及建设相关网络等,就可以建立起完善的信息安全系统,促进企业在知识经济时代平稳、快速和健康的发展。
一 目前信息安全管理中存在的隐患
1.信息管理的安全意识方面
在传统的企业生产中,企业所应具有的基本生产要素主要有设备、原材料、人员和制度几个方面。但随着信息技术的发展,信息的重要性也日益突显,从而也成为企业发展的基本要素之一。根据以往经验来看,企业对信息安全的重视程度还远远不够,表现在对企业信息的安全保护很不到位,这无疑给企业带来了很大的损失。所以,企业必须要加强对信息安全的保护,建立起一套完善的信息安全体系来保证企业的信息安全。
2.缺乏统一的安全体系规划和安全防范机制
目前,“头痛医头、脚痛医脚”的现象十分普遍,原因在于眼于局部而忽视整体。企业只是在网络中安装了一些安全设备,却未形成统一的安全策略及相关规划方案。企业在建设信息化的过程中通常采取先开展业务,后关注安全的策略,使得安全的管理远远落后于开展业务发展。而由于缺少整体性的规划,使得企业在问题已经出现时才去弥补,对于安全建设只能用“亡羊补牢”来形容。
3.信息安全产品本身存在的问题
大多数企业通常在建设信息安全系统的过程中就采用了一些保证信息安全的产品。但并不是说使用了相关安全产品信息系统就安全了,因为计算机系统所存在的一些安全隐患除了是由信息安全产品本身所具有的漏洞引起的之外,人员在使用信息安全产品的过程中所造成的操作失误及用户配置的错误也会对其产生影响。所以企业不仅要重视安全产品自身的问题,也要重视系统的操作与应用过程。
4.资金投入不够,缺乏安全技术人才
要想建构起完善的信息安全体系,企业不仅要投入大量的资金,而且同时要引进一批高端的it人才,组建一支专业建设信息安全的团队。但遗憾的是,很多企业并未意识到信息安全的重要性,所以在资金投入方面很是不足,比如说,使用的电子邮箱和杀毒软件等往往都是免费的,也没有构建防火墙,这使得企业的信息安全得不到充分地保障。此外,虽然一些企业投资引进了一些硬件设施,但对软件的重视不足,表现为投入的滞后性,从而阻碍了硬件设施发挥应有的功能。
还有一个问题,大部分企业在加强信息安全建设的过程中,通常都把注意力集中在搭建网络平台及硬件的选择上了,却忽视了对人才的引入和培养。具体表现在许多企业缺乏信息技术人才,而相关专业人才更是不足。按照要求,一个信息系统的运作应该由几个技术人才相互配合、共同操作,但实际上却恰恰相反,企业中的一个信息管理人员往往负责大量的操作,不仅要负责配置系统,还要负责管理系统的安全,导致对安全的设置和监督由一个人负责,任务繁重。
二 加强企业信息安全管理的途径
1.注重人员安全管理,提升信息安全意识
具体的操作人员在信息系统的建设和运行过程中必不可少,人既是管理者又是被管理者,因为他们不仅要建设和应用计算机系统,而且也信息管理的对象。所以在信息安全系统的管理中,最重要的就是对人员的安全管理,做到这一点要从以下几个方面来进行:要建立一个安全的组织结构,对安全职能加以确认,审查人员的安全状况,和安全人员签订相关的保密合同,加强离职人员的安全管理等。
企业要对员工加强有关信息安全的教育,增强他们的安全意识。保障企业的信息安全是每个职工应尽的义务。信息安全不是一种技术而是一种意识,所以仅从技术层面是无法保证企业的信息安全的。加强安全教育要企业要做到以下几个方面,首先,加强员工的教育培训、普及互联网和信息安全的相关知识、提升员工的安全意识并增强其防范能力,使整体员工都有一种为企业信息安全负责的意识。其次通过定期举行有关信息安全的报告和讲座等,使企业自上而下都形成安全意识并铭记于心。通过上述两种途径可以使企业的信息安全工作顺利的开展。
2.建立、健全信息安全防范体系
对于企业中信息安全的管理机制及防护规范的发展和完善,可以使企业中的那些至关重要的信息得到很好的保护。即使信息系统遭到入侵也能够保证企业业务的顺利进行,可以极大地降低企业的损失。
第一,提高安全系统的应急能力,这就要求建立和完善相应的应急管理机制,并制定应急预案。
第二,企业要建立起一个网络和信息安全管理的平台,在网络内外部署相关的信息安全设施,比如要加强网络的安全性管理,在网络中设置一些控制访问的策略,并对网络的安全使用加以规范,具体来说就是要安装避免病毒入侵的软件,对网络经常进行检测,提高防火墙的性能等。
第三,建立机制对信息安全进行集中化管理。如数据安全控制和加密密钥的集中化管理,前者可以做到自上而下的全面执行企业的安全防范策略,后者可以降低人为原因导致的数据安全的风险,并可以保证不与其他的加密策略发生冲突,实现兼容。
第四,企业还要重视对于异地数据的备份工作及当遇到意外情况时可以实现信息恢复的机制设计,因为这可以保障信息系统的安全运行。
第五,重视风险评估工作。这要求企业在平时要对信息系统的安全性进行定期的评估,以提高企业抵御风险的能力。
3.健全用户权限和上网管理制度
企业信息安全管理工作的一个重点就是要建立并完善用户浏览的权限及网上管理的制度设计,并使之得到严格地执行。同时随着企业的发展和业务系统的完善要不断对其补充和修正。
首先,对用户权限的管理加以完善。这就要求企业改变以往把每个员工都当成管理员可以随意浏览信息的状况,要将每个员工的权限加以明确并保证最小,减少他们对信息系统的操作从而在最大程度上保证系统的安全。
其次,要限制员工的上网行为。在信息化时代,要想控制众多员工上网的行为,就必须要从管理和技术两个方面来实现。此外,要严格检测和控制那些从外部传来的文件,防止它们给企业内部的网络带来病毒。
4.进一步健全、监管第三方服务体系
由于对信息安全的担忧和对服务质量的怀疑,大部分企业都不愿意采取第三方提供的服务体系。在企业中,信息安全工作至关重要,如果不小心泄露了企业的重要资料,就会给企业带来致命的打击。
政府应发挥作用加强有关第三方的法律法规建设并制定行业标准,排除企业对第三方的疑虑。企业应加强与第三方的合作,双方共同努力建设起符合企业特点的信息安全体系,使得企业的信息安全能够获得最有力的保证。企业应设立专门的监察职位,主要负责监督、检查企业管理信息系统的运行情况并直接向企业总经理负责。因其“第三者”的角色,可更加客观、公正对企业信息安全以及业务流程进行监察,及时发现信息安全隐患。
5.加大建设资金投入,完善软件硬件建设
要想顺利建成企业的信息安全体系,大量的资金投入是必不可少的。企业应投入足够的资金来购买相应的设备,如相关软件和服务器等,同时企业也可以采取外包的形式。
首先,在加强硬件设施方面,企业可以应用加密系统来保护有关的口令、文档及网内的重要数据。这样我们就可以更有针对性的在网上传输数据。加密管理有三种类型,即端点、节点和链路加密,企业可以根据自己的实际情况从其中进行选择。特别是在控制信息系统开发的过程中就应渗透信息安全保护机制,从根本上预防信息安全隐患。
其次,加强软件建设,最主要的就是采取积极有效的措施使操作系统的安全性得到最大程度的保护。具体来说就是要对有关信息管理的各种软件定期加以更新,保证数据库和终端的操作系统的版本保持一致,这不仅有利于加强管理,而且可以提高系统的防御功能
此外,要做到经常性的数据备份,选用高强度口令保护账号安全,针对不同账号设定不同密令,经常更新杀毒软件及补丁以及在局域网与互联网之间安装防火墙,并周期性的对文件进行排查,及时发现已感染病毒的文件以及信息丢失的现象。
企业的信息安全管理是一个动态的过程,要随时代的发展而不断加以创新。因此,我们必须不断探索加强信息安全管理的思路和方法,并对逐步构建起相对完善、高效、可靠的信息安全管理体系,定期对企业的信息安全风险和信息安全管理水平进行评估。
参考文献
企业信息安全管理篇6
【关键词】电力企业信息安全管理策略
电力是国民经济的命脉,电力系统的安全稳定,不但直接关系到国家经济的发展,还对民众的日常生活有着巨大的影响。当前随着电力企业市场业务的不断开展,其与互联网的联系也越来越密切,但互联网存在着很大的自由性和不确定性,可能会给电力企业带来潜在的不安全因素。而当前电力企业的信息安全建设仅仅停留在封堵现有安全漏洞的阶段,对于系统整体的信息安全意识还不够。因此有必要对电力企业信息系统整体安全管理进行分析研究,有针对性的采取应对策略,确保电力企业网络信息可以实现安全稳定运行。
1做好安全规划
做好电力企业的网络安全信息规划需要做到以下两点:
(1)要对电力企业的网络管理进行科学合理的规划,要结合实际情况对电力企业的网络信息安全管理进行综合考量,从整体上对网络信息安全进行考虑和布置。网络安全信息管理的具体开展主要依靠于安全管理体系,这一点上可以参照一些国外经验;
(2)电力企业因自身的独特性质,需要使用物理隔离的方法将内外网隔离开来,内网方面要合理规划安全区域,要结合实际情况,将安全区域划分成重点防范区域与普通防范区域。电力企业信息安全的内部核心是重点防范区域,在此区域应当设置访问权限,权限不足的普通用户无法查看网页。重要的数据运行如oa系统和应用系统等应该在安全区域内进行,这样可以保证其信息安全。
2加强制度建设
安全制度是保障電力企业网络信息安全的关键部分,安全制度可以提升企业员工和企业领导对网络信息安全的意识,电力企业需要将安全制度作为企业的工作核心,要结合当前的实际情况,建立起符合电力企业网络信息安全的管理制度,具体操作如下:
(1)做好安全审计,很多入侵检测系统都有审计日志的功能,加强安全制度建设就需要利用好检测系统的审计功能,做好对网络日常工作的管理工作,对审计的数据必须要进行严格的管理,不经过允许任何人不得擅自修改删除审计记录。
(2)电力企业网络系统需要安装防病毒软件来保障网络信息的安全,安装的防病毒软件需要具备远程安装、报警及集中管理等功能。此外,电力企业要建立好网络使用管理制度,不要随便将网络上下载的数据复制在内网主机上,不要让来历不清的存储设备在企业的计算机中随意使用。
(3)电力企业的管理者要高度重视其企业的网络安全制度建设,不要把网络信息安全管理仅仅看作是技术部门的工作,企业中应建立起一支专门负责网络信息安全的工作领导小组,要做好对企业内所有职工的培训,最好能让每一名职工都拥有熟练掌握网络信息安全管理的能力。企业管理者要明确相关负责人的工作职责,定期对网络安全工作开展督导检查,管理制度需要具备严肃性、强制性和权威性,安全制度一旦形成,就必须要求职工严格执行。
3设置漏洞防护
随着当前计算机网络技术的迅速发展,很多已经投入运行性的网络信息系统和设备的技术漏洞也随着网络技术的不断发展而日益增加,这在很大程度上给了不法分子窃取电力企业网络信息系统数据的机会,对此电力企业需要做好以下两项工作:
(1)电力企业需要利用一些漏洞扫描技术来维护企业的网络安全,要对企业的网络信息系统经常开展扫描工作,从而及时发现系统漏洞并完成修复。这样可以提升企业网络信息安全系数,不但能阻断不法分子入侵企业信息系统的途径,还可以使企业避免需要经常性更换网络信息系统设备可能增加的经济负担,从而促进企业实现长远发展;
(2)电力企业需要提升对网络信息安全的风险防范意识,增强企业应对突发事件的应急处理能力,针对不同的信息安全风险需要设置好不同的预警机制。要定期检查企业的网络信息安全技术,防止网络安全漏洞的出现。还要及时做好对网络信息防护新手段的更新工作,从而提升企业网络信息系统的保护强度。
4提高管理手段
科学合理的企业网络信息安全管理手段不仅可以维持电力企业的工作进度,还能有效规避企业网络信息中所存在的安全隐患。提高企业网络信息安全管理手段需要做到以下两点:
(1)建立入侵保护系统ipS,提升企业网络信息安全管理指标。在电力企业网络管理系统中建立网络入侵保护系统ipS,可以为网络信息提供一种快速主动的防御体系,ipS的设计理念是对常规网络流量中携带的恶意数据包进行数据安全检测,若发现可疑数据ipS将发挥网络安全防御功能,来阻止可疑数据侵入电力系统的网络信息系统。与常规的网络防火墙相比,ipS具备更加完善的安全防御功能,其不仅能对网络恶意数据流量进行检测还能够及时消除隐患。此外,ipS还能为电力企业的网络提供虚拟补丁,从而预先对黑客攻击和网络病毒做出拦截,保证企业的网络不受损害;
(2)电力企业要加大对新型网络信息安全技术的研发投入,在组建企业网络信息安全系统时,要对系统各组成部分做严格检查,确保设备符合安全标准。对于组建网络信息系统所需要的设备和部件则必须要求供应商提供相应的安检报告,严防设备和部件的安全隐患。对于企业已投入使用的系统和设备,必须定期做好检查,以确保安全系统能够顺利有效的开展防护工作。
5总结
综上所述,本文通过维护电力企业网络信息安全管理的相关策略进行研究发现,运用做好安全规划、加强制度建设、设置漏洞防护和提高管理手段四项措施可以起到提升企业网络信息系统的保护强度、建立起符合电力企业网络信息安全的管理制度从而确保安全系统能够顺利有效的开展防护工作的良好效果,希望本文的研究可以更好的提升我国电力企业的网络信息系统的安全管理水平,为维护我国电力系统的安全运行做出贡献。
参考文献
[1]郑玉山.电力企业网络和信息安全管理策略思考[J].网络安全技术与应用,2017(06):121+123.
企业信息安全管理篇7
关键词:纺织企业企业信息化安全管理
一、引言
纺织企业是我国经济快速发展的一个重要的组成部分。我国加入wto后,国家对安全生产要求在逐步提高,一方面要求纺织企业变革安全管理理念,另一方面要求提高安全管理的手段。信息化社会的发展必然会导致安全信息管理学在安全科学的领域中占有越来越重要的地位,也必然会导致安全管理信息系统在人类安全系统的管理中发挥越来越重要的作用。单从棉纺织企业拥有丰富的人力资源、资金、材料、设备、生产技术等,如何利用信息技术,有机地结合起来对企业的各种资源,建立一个有效的管理与现代企业管理模式,提高企业管理水平,形成企业的核心竞争力,值得探讨。
二、纺织行业信息化建设与安全管理的必要性
棉纺织业信息系统应该有良好的扩展性。从棉纺织企业特点来看,棉纺织企业为适应市场需要,其产品特征往往表现为棉纱为多种纤维混纺,棉布为多种纱线交织,因此物料属性就显得较为复杂。从棉纺织企业特点可以看出,棉纺织企业生产流程长,制造周期长,以棉纱生产为例,一个棉纱品种少则经过七道工序加工,多则经过九道工序加工,一个棉布品种生产则要经过更多的工序制造才能完成,上道工序的生产计划、半制品质量与下道工序紧密相连。棉纺织企业既有常年生产的大路货,又有市场急需的新品种,换言之,既有订单生产,又有预测生产,即使系统能自动生成,也需要进行人工调整,这就决定了系统应该具备比较好的灵活性,使用户在管理中能以不变应万变。
三、纺织企业安全信息化存在的问题
(一)劳动负荷过重
纺织企业大多是以多机台、多工序、长流程、流水作业及连续性大协作生产方式、轮班工作制进行生产的,一线挡车工大多随机运转,不停穿梭巡回,巡回路线长,且多为手工操作,劳动强度大、工作时间长。企业改制后,较国有体制下,企业用工减少,员工工作负荷进一步加大,特别在起步时期尤为突出。一方面不适当的工作负荷易造成员工反应低下,做事求快,忽视安全操作规程;另一方面,工作时间较前增长,加班加点现象较普遍,员工疲劳度增加,诱发安全事故。部分企业改制后,为了降低用工(或因生产任务紧),则由四班三运转改为三班三运转,职工没有休息日,有些甚至改为二班硬倒,每班工作十二小时,工作时间延长,且没有休息日,造成员工过度疲劳,甚至带病上岗,引发安全事故。
(二)专业人才缺乏,缺乏系统设计。安全管理信息系统是个专业性管理信息系统,系统的开发、运行和维护都需要相应专业技术和专业人才来支持,企业一般不具备技术能力和人才储备。目前,单一的安全管理信息系统在应用时出现诸多不协调情况,缺乏系统性,如安全教育管理信息系统,危险源安全管理系统等,系统开发作了大量工作,花费了大量的资金,在某个方面取得一定效果,但没有产生系统效益,相反地构筑了一个个信息孤岛,未能实现信息的流通和共享,系统的高效和准确性未得到体现。
(三)安全资源有限,建设投入不足。安全管理信息系统开发和应用是一项涉及面广、周期长、风险大的系统工程,需要投入较大,动用的安全资源多,因此对企业有限的安全资源来说,开发和运行资金保障难以实现企业基础薄弱,企业信息资源基础不统一,信息采集渠道单一,缺少灵活性,使得信息来源不系统,导致信息流通不畅,使得系统的高效性和准确性难以实现,而且安全信息的采集和录入是涉及到班组等一线员工的基础工作,一线员工对信息处理能力的差异,也影响系统正常运转和功能发挥。
三、纺织企业安全信息化对策建议
在尚未建立信息管理系统的棉纺织企业中,大多都存在着决策时缺乏准确、及时的数据分析依据,部门之间信息冗余、准确性差、不通畅且不能共享、历史数据不易查找等问题。棉纺织行业大都非常重视五项基础管理(俗称五基),即原料、工艺、设备、操作、空调管理。五项基础管理的实质是加强质量控制,降低原材料消耗成本。五项基础管理是棉纺织企业生产有序、高效运行的保证。因此质量控制和成本管理贯穿于整个生产制造的始末,是企业信息化系统的两条主线。
(一)改造设备技术
企业应加快技术改造的步伐,加大对设备的投入,陈旧老化设备应及时更新改造,该报废的必须立即停用;大力推广应用新技术、新工艺、新设备、新材料,改造设备、治理环境,有条件的企业可逐步更新设备或进行系统技术改造,采用自动化、连续化、本质安全程度高的机械设备及设施。对于粉尘浓度高、噪声大或温湿度不符合要求的场所,应重点整治。如通过改造除尘设备、空调设备,装设噪声控制设施,加强管理等措施,为员工提供一个良好的作业。
(二)提高企业安全管理水平
现代的安全管理是以系统论、信息论、控制论和行为科学理论为指导,树立以人为中心的管理思想,综合运用安全系统工程等现代科学的方法和手段,对企业实行全员、全面、全过程、全天候的全安全管理,其主要标志为以人为本的管理理念,系统安全的管理思想,风险控制的管理方法,持续改进的管理模式。企业改制后,实现了产权及职工身份的二个置换,企业在管理体制、人员配置等方面发生了很大变化,可能出现安全管理责任不明、人员不到位、制度不落实的情况,安全生产管理工作应及时调整工作思路和方法,及时建立完善企业安全生产管理体系,建立健全安全管理组织机构,构建新的安全生产责任网络,各项安全管理制度要根据企业的实际情况作相应的修改和完善。要充分调动广大职工的积极性,组织动员职工全员参与安全管理,形成齐抓共管的良好局面。根据安全信息反馈来推进对隐患的不断检查、整改和监控,形成闭环管理,使企业安全管理工作逐步走向科学化、系统化、规范化的道路,力求把纺织企业安全管理从传统的事后追踪转变为事前的预防控制,提高企业安全管理。
参考文献:
企业信息安全管理篇8
关键词:油田企业微时代信息化安全管理
一、微信息覆盖的人群范围更加广泛
随着“微时代”的到来,微信息覆盖的人群范围更加广泛,粘性不断增强,一段文字、一张图片、一段视频都能无孔不入地迅速扩散到全世界,微信息已成为人们获取信息的重要手段和交往工具,正在不断地改变着人们的工作、生活和思维方式。我们应该意识到,微信息不仅仅是科技、是媒体,是军事、政治、管理和服务,微信息无孔不入渗透到社会各个方面,也在相当程度上侵蚀着油田企业信息化管理的传统领地,冲击着油田企业信息化管理的传统组织结构和运作方式,“微时代”下的微信息已深刻地改变了管理的所有领域。
二、推进“微时代”油田企业信息化管理的基本构想
1、“微时代”油田企业管理的内涵理解。所谓“微时代”下的油田企业信息化管理,是新时期油田企业信息化实践领域技术创新的一项重要内容,其实质就是利用现代网络通信技术对传统信息化管理在信息沟通领域所进行的一种创新、拓展和衍生,目的是将人类目前最有效的即时通信手段引入油田企业信息管理的各个领域,这是一种以网络、手机等通信工具为载体,以现代微通信技术为支撑,传统与现代结合,虚拟与现实结合,具有开放性、平等性、交互性、超时空性和立体交叉性等特征的油田企业信息化管理新机制。“微时代”下的油田企业信息化管理具有变革油田企业管理和服务模式,打破地域、时空界限和建制间的壁垒,整合资源,构建互联互通、覆盖广泛、注重服务的信息化管理新体系的功能,能够提高油田企业信息化管理的工作效率。
2、推进微信息信息化的总体思路。油田企业是国家的能源企业,既具备其它企业的特征,又具有油气服务管理的职能,应该本着着眼长远、统筹规划、整合资源、立足实际、分步实施、保障安全、服务为本和注重实效的总体要求,推进微信息信息化应用。
从宏观层面来说,微信息信息化应用应该是通过应用以即时通信技术为代表的现代信息技术手段,全面整合油田企业现有信息网络资源,以局域网为基础平台,建设以油田企业干部职工个体为中心的教育、管理和服务新模式,整体推进油田企业基层管理工作信息化,实现管理工作理念、工作载体和组织设置形式的创新突破,全面提升油田企业信息化管理科学化的水平。
围绕这个大目标,在油田企业微信息信息化管理推进实践中应该实现三个具有突破性的具体目标:一是创新工作理念,使信息化格局从封闭向开放转变,信息管理工作从宏观指导向微观管理转变,干部职工个体管理从静态向动态转变,干部职工从被动接受管理向主动参与转变,组织活动从现实世界向网络虚拟空间发展转变。二是创新“微时代”信息化管理工作载体,从单机独立应用向基于互联网的联网应用转变,从固定的电脑终端向移动办公、移动手机等多形式终端拓展,通过电脑+手机、网络+微博+微信+短信等载体搭建有利干部职工发挥主体作用的平台,增进组织与干部职工、干部职工与干部职工之间的联系,使广大干部职工活动不受时间、地点、隶属关系的限制。三是创新组织设置形式,油田企业的组织设置形式从实体建制向虚拟建制拓展,做到实体建制信息化、虚拟建制网络化。
三、“微时代”信息化管理的基本功能
1、合理布局微信息
微信息应该围绕油田企业中心工作和业务实际,涵盖从理论到实际、从政策到务实、从历史到现实、从教育到管理等诸方面,这是加强油田企业信息化管理的必然要求。同时,加强资源建设,针对目前传统网站信息量不丰富、不生动、不贴近干部职工实际的问题,微信息信息化管理应加大微资源建设,这是微信息信息化建设重要的物质基础。
2、研发微信息理论研究数据库
结合油田企业管理、信息通信、检查、业务、政治、行政工作等各方面的业务理论,用微信息突出油田企业管理和业务理论性、权威性、现实性和安全性的要求,以达到快、短、准的特点。同时,学习借鉴国际国内网络及微信息管理的成功经验,开设微信息教育网络系统。
3、建立科学合理的“微时代”信息化管理运行机制
当前,传统的行政运行模式造成的后果,就是信息量少、呆板、冗长,缺乏互动,因此要达到吸引干部职工的目的,就需要有科学合理的运行机制做保障。
4、培养信息人才队伍
建设一支思想过硬、技术精湛、能与时代前沿科技应用接轨的信息人才队伍,是“微时代”信息化建设的重要保证。要使油田企业的技术干部职工既精通网络技术,又掌握油田企业业务理论,还要熟悉当前“微时代”下干部职工的所需所想。
四、“微时代”油田企业信息化管理的安全体系
1、风险评估。采用风险管理理论识别安全风险、定期进行安全评估、了解掌握安全状态,是保证系统安全的动态措施。要从技术和管理两个层面综合判断信息系统面临的风险。
2、安全保障制度。安全保障应包括组织管理、应急管理、内容审查管理、网络安全管理等。要建立健全网络安全组织管理制度并强化规章制度的执行;要设立应急管理处置方案,当出现较严重的网络违规行为、油田企业干部职工利用微信息传播非法信息等紧急情况时,需要采取组织管理措施、应急处置预案等;要严格内容审查管理制度,建立内容安全等级划分标记,坚持谁上网谁负责、谁维护谁负责、谁管理谁负责;要制定微信息安全管理制度,按照安全管理规范,制定相应的安全策略,保障微信息的安全运行和传播,包括用户授权管理、服务器安全管理、设备安全管理、信息安全管理。
3、安全服务标准。安全服务是通过各种技术手段来实现技术层面的安全保障。技术主管部门在整个运行维护服务过程中,应当根据各项安全管理制度制定相应的安全服务标准,严格监督网络服务商的安全服务过程,对运营维护服务进行审计。
参考文献:
[1]王新帅.新媒体环境下国企新闻宣传策略分析[J].科技信息,2013(18).
企业信息安全管理篇9
1信息环境下的企业管理路径
1.1完善管理信息化建设体制
企业要加快管理信息系统建设,规范信息化标准体系,提高管理的信息化水平。首先,企业要成立信息化管理部门,负责企业信息化建设项目的全面推进,并且结合企业信息环境和管理需求制定信息化工作管理制度、专项经费管理制度、信息化工作考核制度等,保障信息系统建设制度化开展。其次,明确管理信息系统建设重点,如生产指挥调度管理系统、资金管理系统、会计核算系统、移动办公系统、物资采购管理系统等,提高企业对各项经营活动的管控能力。最后,建立信息化标准体系,包括技术支撑、基础建设、安全保障、业务应用等方面的标准,从而确保企业管理信息系统建设项目的质量。
1.2建设企业eRp系统
企业要结合经营管理实际情况,引入eRp系统,从供应链管理层面推动物流、资金流与信息流的有机整合,提高企业集成化、信息化管理水平,提升企业供应链运作效率。在eRp系统的支持下,企业要实现财务业务一体化管理,完善财务管理系统功能,促使业务产生的信息实时传递到财务部门进行处理,同时也将财务信息、财务报告及时提供给企业管理层进行查阅,并将其作为企业经营决策的可靠依据。
1.3优化人力资源信息化管理
在信息环境下,为进一步提升企业的管理水平,应当在现有的基础上,对人力资源信息化管理进行优化。首先,企业应当建立起一个相对完善的且包含绩效考核、员工培训、人才能力管理的信息化系统,并通过对相关流程的梳理,促进企业管理规范化和标准化,从而全面提升企业的人力资源管理效率。其次,企业可将一些重要的项目作为契机,实现人力资源与企业管理要求的对接,遵循现代企业管理的思维方式,开展相关的人力资源信息化管理工作,如员工绩效考核、领导干部测评等,借助项目成果,提升企业人力资源的整体管理水平,由此能够推动企业在信息环境下的稳定、持续发展。
1.4加强信息化建设中的风险管理
企业在建设信息化的过程中不可避免地会面临各种风险,为此,企业应当采取有效的方法和措施加强风险管理。企业应当建立相对完善的风险防范机制,在该机制建立的过程中,要对管理信息系统开发中的所有风险予以充分考虑,针对风险因素进行有效的管理。实践证明,大多数风险都可以通过相应的方法进行防控,其前提是需要对风险进行准确的识别,但必须指出的是,风险本身具有不确定性和随机性的特点,并且有些风险是很难进行预防和控制的,因此,企业在开发管理信息系统时,必须制订出一套能够应对突发意外事件的方案,从而在意外发生时,能够进行解决,避免造成损失。
2保障企业信息安全的体系构建
在信息环境下,信息安全是企业开展管理信息化建设面临的重大问题之一,直接关系到企业管理信息化水平的提升。为此,企业要结合管理实际需求,构建起信息安全保障体系,具体实施措施如下。
2.1加强网络安全管理
企业在加强网络安全管理的过程中,可采取如下技术措施。
2.1.1对远程接入进行严格控制近年来,虚拟专用网络技术(Vpn)获得了快速发展,由此大幅度降低了远程接入给企业带来的风险,与此同时,移动办公的出现,在一定程度上促进了远程接入的发展,为确保远程接入的安全性,企业可以应用USBKeY身份认证或是动态口令等方式,对远程接入进行安全控制。
2.1.2ipSec企业内网中存在一些非受控终端,这些终端的存在给黑客提供了访问企业网络的路径,为确保网络信息的安全性,企业可以应用ipSec,由此能够对内部终端进行管理和控制。
2.1.3入侵检测这是防火墙的一项补充技术,能够对网络传输进行实时监控,当检测到可疑的数据信息传输后,会自行发出报警。通过入侵检测,可以使企业对来自外部的恶意攻击进行有效的防范。
2.1.4确保无线网络安全大部分企业的办公区域内都有无线网络覆盖,其在给企业和用户带来便利的同时,也给信息安全带来了一定的隐患。为确保无线网络安全,企业应当采用比较安全的协议,如wpa或wpa2等,也可借助eap协议对无线网络进行访问控制。
2.2加强访问控制
在信息环境下,企业可以通过加强访问控制,来确保网络信息安全,具体可采取如下技术措施。
2.2.1密码策略相关研究结果表明,密码的强度等级越高,破解所需的时间越长,正因如此,使得提高企业用户的密码强度等级成为访问控制最为有效的手段之一,为此,企业应当制定合理可行的密码策略,并借助相关的技术措施确保策略的执行。
2.2.2权限管理企业应当对身份管理平台进行完善,以此为依托对员工的权限进行管理,并实行企业内部网络应用单点登录的策略。
2.2.3构建公匙系统该系统是访问控制的核心,通过它能够有效提高无线网络访问授权、Vpn接入的安全水平。
2.3加强信息安全监控与审计
企业在加强信息安全的监控与审计方面,可以采取如下技术措施。
2.3.1扫描病毒这是一种较为有效的网络信息安全监控手段,通过防病毒软件系统,可以对病毒进行自动扫描,并针对操作系统存在的漏洞,自动进行相关“补丁”的更新,由此大幅度提升了桌面终端的安全性。这种技术措施需要将客户端安装在企业用户的终端设备上,当终端与企业内网进行连接时,病毒扫描软件便会启动,并对将要接入的终端设备进行评估,通过之后,才能与企业内网连接。
2.3.2防控体系针对网络黑客的恶意攻击,企业应当构建相应的防控体系,该体系可由以下几个部分组成:能够实时更新的防病毒软件、可以过滤掉不安全信息、邮件及非法网页的网关、入侵检测系统等。
2.3.3记录与审计企业应当配置日志审计系统,借助该系统对信息安全事件进行收集,进而生成审计记录,据此对安全事件进行分析,并采取有效的措施加以解决处理。
2.4加强员工信息安全培训
在信息环境下,企业网络信息安全需要凭借全体员工来维护,为此,企业应当加强对员工信息安全方面的培训,借此来增强他们的信息安全意识。为使培训效果最大化,必须保证培训工作的实效性,首先,要做好网络管理人员的技术技能培训工作,可将培训的重点放在网络设备的安装与调试以及软件的配置上。其次,应加大对企业领导层的培训,通过培训使领导层认识到提高网络信息安全的重要性和安全管理体系建设的必要性,以便获得他们的支持,使信息安全管理工作的开展更加顺利。最后,应当加大对网络客户端上用户的培训,培训的重点为实际操作,并在培训完毕后,制定相关的管理制度,要求用户严格执行,从而确保网络信息的安全。
3结论
在信息环境下,企业要积极推动管理信息化建设,将其渗透到物流管理、人力资源管理、财务管理等多个管理领域,从而不断提高企业管理效率。与此同时,企业也要认清管理信息化建设带来的信息安全问题,针对信息安全管理的薄弱环节制定有效的管理措施,做好员工信息安全培训工作,保障企业管理信息系统建设的顺利实施,不断提高企业信息化管理水平。
企业信息安全管理篇10
一、企业安全管理三大问题
自“棱镜门”、iCloud照片泄露、携程及支付宝等企业接连宕机等事件发生之后,信息安全已被国内外政府、行业和企业推到了前所未有的高度。国务院《关于积极推进“互联网+”行动的指导意见》中也明确提出,要提升互联网安全管理、态势感知和风险防范能力,加强信息网络基础设施安全防护,加强“互联网+”关键领域重要信息系统的安全保障。信息安全危害事件频频爆发。2015年5月,网易、支付宝、携程、艺龙、知乎、Uber等多家知名企业出现接连宕机,互联网安全问题频繁出现并集中爆发,这为我国企业安全管理敲响了警钟。企业处理突发事件能力较弱。网易、支付宝、携程等互联网企业宕机后,很长时间才得以解决,表明企业在应对安全威胁突况时的力不从心,也反映出企业对信息安全中的外部威胁难以进行有效防范和及时应对。目前,我国互联网企业总体停留在安全保障、被动防御阶段,并未形成明确推进信息安全的管理措施。企业对信息安全重视程度不够。与发达国家相比,我国企业用于信息安全方面的投资还很低,尚未占到企业信息系统建设总成本的2%,而国外企业用于安全系统的投资占整个网络建设投资的15%~20%。例如,2014年我国信息安全投资总额为22亿美元,不及美国的3.2%,且企业投资重点集中在安全基础设施建设、产品更新换代等,对安全服务投入明显不足。许多企业口头上重视信息安全,但未付诸实践。
二、构筑企业安全三重防线
建设合理先进的信息安全管理系统。企业应重点加大对安全评估测评工具及技术、数据防泄露及敏感信息防护技术、大规模网络安全态势感知技术和统一身份管理与认证技术的研发投入,重点建设一个集风险评估、安全策略、防御体系、实时检测、数据恢复、安全跟踪和动态调整为一体的信息安全管理系统,加大信息安全管理的重视力度,从产品、技术、管理和制度多个维度来解决信息安全问题。建立信息安全风险防范和灾难应对体系。建议企业参照金融行业的管理模式,主动建立风险防范和灾难应对体系,出台具备面对突发状况的应急方案和数据备份双重机制,并重点开展以下工作:完善、优化企业内部网络架构,构建全方位的数据泄露防护系统,建立一体化的本地/异地备份与容灾体系,建立防火墙、防入侵及一体化安全网关解决方案,提高漏洞发现及应急解决能力、减少高危漏洞带来的危害。联手产业链上下游共筑安全防线。信息安全已不只是企业本身所能掌控的,比如支付宝服务器故障的主因是杭州市萧山区某地光纤被挖断导致,这就需要电信运营商等加大对光纤光缆安全监督。因此,互联网企业应与产业链上下游企业携手,做到信息数据、用户隐私、软硬件产品等不同类型的安全问题与行业相对应,有效防范安全管理脱节、错位等问题发生。随着互联网与各行各业的深度融合,信息安全威胁事件出现常态化趋势。企业应紧密围绕内部和外部环境,加大信息安全管理工作力度,有效减免信息安全危机事件。
作者:宋德王单位:赛迪智库电子信息产业研究所