企业信息化安全管理篇1
关键词:企业安全生产;信息化管理;系统
随着现代企业管理体系的逐渐复杂,企业管理已经称得上是一种系统性工程,为了在这种发展背景下实现企业的相关发展,对企业安全生产信息化管理体系的相关研究就显得很有必要。
1企业安全生产管理模式的发展过程
1.1发达国家企业安全生产管理模式
企业的安全生产管理经历了传统安全生产管理模式、对象性安全生产管理模式、过程安全生产管理模式以及系统安全生产管理模式四个阶段的发展。随着计算机网络技术的不断发展和相关理论体系的完善,现阶段发达国家企业中普遍采用的是系统安全生产管理模式。
1.2我国企业安全生产管理模式
虽然现阶段发达国家的企业中大多采用系统安全生产管理模式,但由于我国企业相对发展落后,现阶段大部分企业中还是采用过程管理模式进行自身企业的安全生产管理。当然,随着我国近年来科技与经济的飞速发展,很多企业已经开始认识到过程安全生产管理模式的弊端,一些大型企业也开始进行系统安全生产管理模式的相关尝试,这些都直接促进着我国企业安全生产管理的相关发展。
2企业安全生产信息化管理体系的运行模式
企业安全生产信息化管理体系的运行模式由管理组织决策、风险评估、隐患排查、安全信息分类、生产H标制定、相关考核、方案传输等内容组成。在完成企业安全生产信息化管理体系运行模式的规划与决策后,我们就需要对其生产管理组织机构与责任制进行相关研究,以此构建企业安全生产信息化管理体系中的具体功能模块,最终完成企业安全生产信息化管理体系的相关建设。在企业安全生产信息化管理体系的运行中,相关设计人员需要对其绩效进行测量与监视,对具体运行效果进行优化,并根据相关优化中得到的信息对管理体系的外部进行评审,实现企业安全生产信息化管理体系的安全、健康、高效运行。
3企业安全生产信息化管理体系的具体架构
为了实现企业安全生产信息化管理体系的相关功能,笔者结合自身工作经验提出了一种较为符合我国企业发展实际、组织结构也较为完善的企业安全生产信息化管理体系,其具体架构如下:
3.1理论基础层
在企业安全生产信息化管理体系的构建中,理论基础层是极为重要的一个组成部分,也是其最底层。在企业的日常生产经营中,安全生产理论是随着相关技术不断发展而来的一套完备的理论体系,这也使得相关理论体系的存在为企业安全生产信息化管理体系的建立提供了坚实的基础。在企业安全生产信息化管理体系中,理论基础层由基本管理理论与综合管理理论两部分组成。基本管理理论指的是企业安全生产中通用的方法与规则,综合管理理论则是由安全教育学原理、安全法原理、事故学理论等多种理论综合而成,这些理论都在企业安全生产信息化管理体系的建设中发挥着重要的作用|31。
3.2技术实现层
在企业安全生产信息化管理体系中,安全生产信息化管理技术的实现层是第二层,其发展于第一层的理论基础之上,通过多种技术对企业安全生产信息化管理体系进行支撑。企业安全生产信息化管理的实现层具有数据实时采集、实时共享、多种数据分析等功能,并能够以此确保企业安全生产信息化管理体系功能的正常运转|41。
3.3功能模块与业务层
在企业安全生产信息化管理体系中,功能模块与业务层是第三层。第三层主要由安全信息中心、企业安全生产基础管理功能模块、企业安全生产监控管理模块、企业安全检査管理功能模块、安全生产风险评估以及应急管理功能模块、企业安全生产环境控制管理功能模块这六大功能模块构成。这些模块的存在为企业安全生产信息化管理体系提供具体服务的支持,是管理体系不可或缺的重要组成部分。
4结语
随着我国经济与社会的不断发展,企业安全生产信息化是必然的历史发展趋势。在未来的企业竞争中,一家企业是否拥有完善的安全生产信息化管理体系,将是其自身竞争力的重点体现之一为了提高企业的生产管理效率,企业安全生产信息化管理体系的建立也是不可忽视的一个重要环节。本文为安全生产信息化管理体系提供了一个可行性架构模型,希望能够为相关企业的安全生产信息化管理体系发展带来一定帮助。
作者:吕鹏单位:神华煤制油鄂尔多斯分公司
参考文献
[1]杨宇,王坚.企业安全生产信息化管理体系的探讨m.机电产品开发与创新,20丨4(6>:29-31.
[2]栩勇,刘继元.浅谈建筑施工企业安全生产信息化管理的实际应用[J].建筑安全>2015(8>:63-66.
企业信息化安全管理篇2
关键词:纺织企业企业信息化安全管理
一、引言
纺织企业是我国经济快速发展的一个重要的组成部分。我国加入wto后,国家对安全生产要求在逐步提高,一方面要求纺织企业变革安全管理理念,另一方面要求提高安全管理的手段。信息化社会的发展必然会导致安全信息管理学在安全科学的领域中占有越来越重要的地位,也必然会导致安全管理信息系统在人类安全系统的管理中发挥越来越重要的作用。单从棉纺织企业拥有丰富的人力资源、资金、材料、设备、生产技术等,如何利用信息技术,有机地结合起来对企业的各种资源,建立一个有效的管理与现代企业管理模式,提高企业管理水平,形成企业的核心竞争力,值得探讨。
二、纺织行业信息化建设与安全管理的必要性
棉纺织业信息系统应该有良好的扩展性。从棉纺织企业特点来看,棉纺织企业为适应市场需要,其产品特征往往表现为棉纱为多种纤维混纺,棉布为多种纱线交织,因此物料属性就显得较为复杂。从棉纺织企业特点可以看出,棉纺织企业生产流程长,制造周期长,以棉纱生产为例,一个棉纱品种少则经过七道工序加工,多则经过九道工序加工,一个棉布品种生产则要经过更多的工序制造才能完成,上道工序的生产计划、半制品质量与下道工序紧密相连。棉纺织企业既有常年生产的大路货,又有市场急需的新品种,换言之,既有订单生产,又有预测生产,即使系统能自动生成,也需要进行人工调整,这就决定了系统应该具备比较好的灵活性,使用户在管理中能以不变应万变。
三、纺织企业安全信息化存在的问题
(一)劳动负荷过重
纺织企业大多是以多机台、多工序、长流程、流水作业及连续性大协作生产方式、轮班工作制进行生产的,一线挡车工大多随机运转,不停穿梭巡回,巡回路线长,且多为手工操作,劳动强度大、工作时间长。企业改制后,较国有体制下,企业用工减少,员工工作负荷进一步加大,特别在起步时期尤为突出。一方面不适当的工作负荷易造成员工反应低下,做事求快,忽视安全操作规程;另一方面,工作时间较前增长,加班加点现象较普遍,员工疲劳度增加,诱发安全事故。部分企业改制后,为了降低用工(或因生产任务紧),则由四班三运转改为三班三运转,职工没有休息日,有些甚至改为二班硬倒,每班工作十二小时,工作时间延长,且没有休息日,造成员工过度疲劳,甚至带病上岗,引发安全事故。
(二)专业人才缺乏,缺乏系统设计。安全管理信息系统是个专业性管理信息系统,系统的开发、运行和维护都需要相应专业技术和专业人才来支持,企业一般不具备技术能力和人才储备。目前,单一的安全管理信息系统在应用时出现诸多不协调情况,缺乏系统性,如安全教育管理信息系统,危险源安全管理系统等,系统开发作了大量工作,花费了大量的资金,在某个方面取得一定效果,但没有产生系统效益,相反地构筑了一个个信息孤岛,未能实现信息的流通和共享,系统的高效和准确性未得到体现。
(三)安全资源有限,建设投入不足。安全管理信息系统开发和应用是一项涉及面广、周期长、风险大的系统工程,需要投入较大,动用的安全资源多,因此对企业有限的安全资源来说,开发和运行资金保障难以实现企业基础薄弱,企业信息资源基础不统一,信息采集渠道单一,缺少灵活性,使得信息来源不系统,导致信息流通不畅,使得系统的高效性和准确性难以实现,而且安全信息的采集和录入是涉及到班组等一线员工的基础工作,一线员工对信息处理能力的差异,也影响系统正常运转和功能发挥。
三、纺织企业安全信息化对策建议
在尚未建立信息管理系统的棉纺织企业中,大多都存在着决策时缺乏准确、及时的数据分析依据,部门之间信息冗余、准确性差、不通畅且不能共享、历史数据不易查找等问题。棉纺织行业大都非常重视五项基础管理(俗称五基),即原料、工艺、设备、操作、空调管理。五项基础管理的实质是加强质量控制,降低原材料消耗成本。五项基础管理是棉纺织企业生产有序、高效运行的保证。因此质量控制和成本管理贯穿于整个生产制造的始末,是企业信息化系统的两条主线。
(一)改造设备技术
企业应加快技术改造的步伐,加大对设备的投入,陈旧老化设备应及时更新改造,该报废的必须立即停用;大力推广应用新技术、新工艺、新设备、新材料,改造设备、治理环境,有条件的企业可逐步更新设备或进行系统技术改造,采用自动化、连续化、本质安全程度高的机械设备及设施。对于粉尘浓度高、噪声大或温湿度不符合要求的场所,应重点整治。如通过改造除尘设备、空调设备,装设噪声控制设施,加强管理等措施,为员工提供一个良好的作业。
(二)提高企业安全管理水平
现代的安全管理是以系统论、信息论、控制论和行为科学理论为指导,树立以人为中心的管理思想,综合运用安全系统工程等现代科学的方法和手段,对企业实行全员、全面、全过程、全天候的全安全管理,其主要标志为以人为本的管理理念,系统安全的管理思想,风险控制的管理方法,持续改进的管理模式。企业改制后,实现了产权及职工身份的二个置换,企业在管理体制、人员配置等方面发生了很大变化,可能出现安全管理责任不明、人员不到位、制度不落实的情况,安全生产管理工作应及时调整工作思路和方法,及时建立完善企业安全生产管理体系,建立健全安全管理组织机构,构建新的安全生产责任网络,各项安全管理制度要根据企业的实际情况作相应的修改和完善。要充分调动广大职工的积极性,组织动员职工全员参与安全管理,形成齐抓共管的良好局面。根据安全信息反馈来推进对隐患的不断检查、整改和监控,形成闭环管理,使企业安全管理工作逐步走向科学化、系统化、规范化的道路,力求把纺织企业安全管理从传统的事后追踪转变为事前的预防控制,提高企业安全管理。
参考文献:
企业信息化安全管理篇3
关键词:公钥基础设施(pKi);数字认证(Ca);矿区管理;信息安全;密码服务器
0引言
当前我国矿山企业安全生产形势依然严峻,安全生产基础相对薄弱,事故总量还是很大,煤矿、金矿等高危行业结构不合理,应急处置以及救援抢险能力相对不足,部分企业违规违章现象依然存在,给安全生产带来一定的安全隐患[1]。随着计算机通信和网络技术的快速发展,矿山企业安全生产的信息化管理成为衡量企业现代化建设的重要指标,也是促进企业安全生产、提升效益的重要方式。矿区安全生产管理平台在部署时,采用开放式架构,兼容主流信息技术,在.net平台的基础上,为了满足多种信息源服务终端的需求,平台采用了多种基础数据库模型技术,保证安全管理平台的系统整合能力。平台采用面向服务的架构(Soa)设计,并基于分层和分类结合的混合模式,数据交换模式采用标准的XmL等技术,应用统一规范的数据交换接口及应用程序接口,安全机制相对可靠[2]。平台基于J2ee技术架构,支持HtmL和DHtmL等web浏览器标准,设计原则遵循高内聚、低耦合的原则,降低系统各个功能模块间的耦合度,降低操作难度,提高系统的通用性。根据矿山企业矿区分散、不聚集的特点,为保证矿山生产网和办公信息网之间以及与外网之间的信息交换畅通,确保信息在产生、存储、传输和处理过程中的安全性,需要建立全网统一的认证与授权机制、时间服务和密码服务。目前,在各种技术,基于pKi/Ca的信息安全技术能合理的作用于矿区安全生产信息化管理平台,从而保证安全策略得以完整准确的实现,该技术是解决数据加密、保护信息安全最有效的方案[3]。
1基于pKi技术的安全生产管理平台体系研究
1.1安全生产管理平台的需求分析
矿区安全生产管理平台为解决矿山企业安全统一管理应运而生,以安全生产风险管控为核心的风险管理平台是目前各个矿山企业信息化建设的新趋势。以安全生产管理为核心的平台建设可以实现对危险隐患的合理分析,形成事前管理、事中风险预控、事后应急救援在内贯穿安全生产管理全过程的监督管理,从而达到提升安全管理水平的目的。
1.2安全生产管理平台的系统功能设计
以矿区实际情况为前提,以信息资源规划和开发利用为主线,以安全法律法规为支撑,根据功能需求,在成熟的软件开发方法论的指导下,矿山企业安全生产信息化管理系统的主要功能框架如图1所示,其子系统设计如下:包括风险管理子系统、事故管理子系统、安全隐患管理子系统、应急救援子系统、安全培训子系统、监督检查子系统、质量标准化子系统等7大部分。其中风险管理子系统主要负责矿区风险评估,衡量事故发生的可能性并对其可能造成的相关损失进行评估,根据风险评估结果,制定相应的管理标准及措施;事故管理子系统主要负责对已发生的事故进行统计,形成事故报告、事故月报、事故数据库等,方便查询,根据需求进行事故通报和责任追究;安全隐患管理子系统主要进行安全隐患追踪、及时对隐患信息进行登记、上报、汇总等,形成隐患整改通知单,及时开展追踪和销号管理等;应急救援子系统主要针对突发紧急事件进行预防、救援、恢复等管理,以应急救援案例库为依托,类比实际案例,推送相关匹配度最高的案例辅助应急救援决策,此外该模块涵盖救援队伍、救援机构等详细信息;安全培训子系统主要负责相关人员安全的培训信息统计,及时对持证人员进行过期预警提示,服务于公司的安全培训管理等制度;监督检查子系统主要进行安全活动制定、、总结等,下设安全检查、整改落实、经验总结等三个子模块,为安全监督管理机构安全检查发现的问题、形成原因、改进措施、整改建议等;质量标准化子系统主要为管理人员提供标准库查询、检查数据汇总等服务,方便现场检查及质量便准化考核等。
1.3安全生产管理平台的pKi/Ca技术分析
1.3.1pKi技术体系简介
随着当前信息系统建设的快速发展和数字网络化的应用的普及,不同部门之间、跨部门的信息共享和综合分析的需求也在日益增加,与此同时当前信息网络应用中也面临着信息量大、数据种类繁多,不同数据访问要求不同等现状,因此包括信息保密性、身份认证、访问权限管理等在内的信息安全问题急需解决。公钥基础设施(publickeyinfrastructure)简称pKi,为解决大型信息网络面临的安全问题应运而生。pKi是当前信息化安全建设的基础和重要保证。pKi是一种具有安全性和透明性的密钥管理系统,通过为用户提供密钥和证书管理服务,提供安全策略,从而建立安全有效的网络环境,保证数据信息在安全传输的过程中不被非法偷看以及非授权者篡改等,从而达到保护用户信息机密、完整的目的[4-6]。通常来说,一个完整的pKi系统包含认证中心数Ca(certificateauthority)、证书库、密钥备份及恢复系统,证书作废处理系统,客户端证书处理系统等五大部分,其中Ca是pKi的核心执行机构,证书库是存放公钥和用户证书的信息库[5-7]。
1.3.2基于pKi体系的矿山安全生产信息化管理体系结构
pKi作为一种安全技术,已经深入到常规网络的各个层面,使用户可以在多种应用环境中使用加密及数据签名技术,是当前网络信息安全问题的综合解决方案,为企业的信息安全保驾护航。对于本文分析的矿山企业安全生产管理平台,pKi技术将重点解决用户访问权限、信息传输、数据共享等问题,如准确验证登录用户身份、保证跨部门之间的信息保密与共享、防止信息窃取保证信息安全传输等等。矿山安全生产信息化管理平台的pKi安全服务体系主要包括证书签发管理和pKi安全服务两部分,如图2的方框所示。其中pKi的主体是证书机构Ca、注册机构Ra(registrationauthority)、密钥管理Km(keymanagement),其中核心组成Ca是数字证书的颁发机构,数字证书就是网络用户的身份证,Ca审核用户身份等信息并与公钥结合形成数字证书,从而确保其真实有效性,使得pKi能够为网络用户提供较好的安全服务[7]。Ra在整个体系中起承上启下的衔接作用,是连接用户和Ca之间的桥梁,既向Ca转发证书请求,也向安全服务器转发Ca签发的证书等。Km主要负责密钥的备份、恢复、保存等管理服务,三个系统完成了证书签发、管理等功能。公共安全接口具有一套通用、抽象的系统函数,实现语言较多,具体的密码算法不会影响到该接口,设计者可以根据自己对于系统的需求对安全接口进行开发,该接口根据工作环节及性能分为初始化部分、安全操作部分、解编部分、通信部分等。
管理调度单元衔接公共安全接口与密码服务单元,公共安全初始化部分通过管理调度单元选择密码服务单元,而管理调度单元向负载最小的密码服务单元进行申请密码服务,从而使得服务器负载均衡。当系统调度单元出现故障时,系统会随机分配一个密码服务单元,保证应用系统的正常运行,在保证系统负载均衡的同时,也保证数据的冗余备份,从而为应用系统提供及时安全的密码服务。密码服务单元是pKi密码服务的核心部分,负责提供相关密码算法及密钥管理功能。密码服务器根据配置需求及应用情况包含多个密码服务单元,当一个单元出现故障时,可以通过管理调度单元进行分配,从而保证应用系统的正常运行。密码算法根据功能特性主要分为三类:非对称密码算法(公钥密码)、对称密码算法(传统密码)和安全Hash算法[9-10]。非对称密码算法计算速度相对较慢,但其电子签名和密钥交换功能有更广阔的应用范围;对称密码算法运算速度较快,适用于大数据高流速的数据加密/解密功能,但是难以实现用户身份识别等功能;安全Hash算法可以用来实现数据完整性验证和辅助电子签名等功能。密钥管理主要包括密钥的产生、更新、泄露处理、有效期管理、存储、销毁等功能,从而保证密钥的安全有效运行。实时监控单元对密码服务器中的单元状态进行实时监控,及时找到密码服务的相关故障,此外实时监控单元的日志功能可以记载密码服务器出现问题的详细信息。以pKi技术为核心的信息安全架构体系可以有效的作用于矿山安全生产信息化管理平台的正常设计和应用中,尤其是多层次的网络系统中,从而保证安全策略顺利实施,从而保证整个平台系统的信息安全和应用安全。
2pKi/Ca相关技术在矿山企业安全生产管理建设中的应用效果
以密码技术为核心的pKi/Ca技术,提高了网络的安全性与可靠性,较好地解决了信息共享开放与信息保密隐私的关系、网络互联性与局部网络隔离的关系,保证矿山企业安全生产管理建设的信息安全性,为企业内部用户提供了安全信赖的网络环境,保证了企业不受信息安全威胁,为矿山的安全生产、信息管理提供了技术保障,在数据安全管理、业务协调以及实时智能指挥等领域取得了一定的应用效果。
2.1在数据安全管理领域的应用效果
2.1.1身份认证和访问控制方面
安全生产管理平台用户角色众多,有企业监管人员,公众访问人员,平台内部测试管理人员等,一人多账户多角色多权限,容易带来极大的安全隐患问题,因此具有支持多种认证方式同时具有统一认证访问控制的安全机制及用户权限管理方案变的非常重要。安全生产管理平台基于pKi技术将证书策略应用于用户的访问控制中,不同级别的登录人员可以设置不同的访问权限,通过网上进行信息传递的身份证明,为用户和数据之间建立起可信任的桥梁,有效的保证了平台信息的安全服务。
2.1.2安全传输方面
矿山安全生产信息化管理会产生大量的数据,数据规模大、种类繁多,随之而来的是数据安全管理和通讯安全的问题,安全的信息通讯是解决信息安全威胁的重要手段之一。安全生产管理平台采用的pKi相关技术,可以使用不同系统间的跨域共享和灵活授权,可以提供不同系统访问的授权管理、密钥管理、身份认证、责任认定,使得系统传输的数据信息具有较高的安全性、完整性、并在消息传递过程中完成信息的加密和数字签名,大大提高了平台通讯的安全性。
2.2在业务协调、实时智能指挥领域的应用效果
安全生产管理平台以安全生产风险管控为核心,在成熟的软件开发方法论的指导下,将风险管理、事故管理、安全隐患排查、应急救援、安全培训、监督检查等内容整合到统一平台。pKi相关技术保证了各个系统之间的数据共享和安全通信,通过登陆人员访问权限和各模块之间协调管理,为公司的安全生产提供了技术保证,从而对生产过程中的风险进行有效管理,提升安全管理效率,降低安全生产事故。pKi技术保证了系统通讯的正常安全运转,实现各个系统之间的资源共享,消除各个系统之间的信息孤岛,实现各个子系统的协调调度,使得各类用户可以方便快捷的访问、管理平台,将各类信息安全的联系起来,同时借助系统对监控数据进行智能分析和决策支持,使得事故实时智能指挥成为可能,并逐步实现了事故管理由事后应急响应到事前预警提示,对于提高矿区防灾能力,实现矿区安全高效生产、提高安全管理水平具有重要的引领作用。
3结语
pKi技术体系通过管理数字证书和密钥的方式,为用户搭建安全可靠的网络平台,使得用户可以在多种用户环境中方便的进行加密和数字签名,保证了矿区安全生产管理平台身份识别、信息传递、访问权限等的安全实施,依托数字证书、密钥管理等技术,可以有效的生成、保存、更新管理密钥,解决了网络身份认证、信息完整性和抗依赖性等安全难题,为解决矿山安全生产信息化管理中存在的信息安全等因素提供了强大的技术支撑。考虑到pKi技术本身缺点以及矿山企业的行业特性,该技术仍有一定的缺陷。在实际中,pKi技术构建和运行成本高昂,此外用户认识水平、相关法律政策等因素的制约,都不利于pKi技术应用发展。因此,需要解决多个独立pKi系统之间的交叉认证与互操作性等,以及证书过期、撤销、丢失带来的密钥托管和证书安全等问题[11]。尽管如此,pKi技术的前景仍然是广阔的,随着相关技术的快速发展,pKi相关技术仍然是矿山安全管理信息化建设中解决通讯安全问题的必然选择。
参考文献
[1]刘星魁,谢金亮,LiUXing-kui,等.煤矿安全生产现状及对策探讨[J].煤炭技术,2008,27(1):139-141.
[2]史科蕾,石秋发.基于pKi/Ca技术在矿区服务平台中安全管理的设计与实现[J].煤炭技术,2013(6):280-281.
[3]熊万安,龚耀寰.基于公开密钥基础结构(pKi)的信息安全技术[J].电子科技大学学报:社会科学版,2001,3(1):4-6.
[4]张慧.pKi技术研究[J].湖北第二师范学院学报,2007,24(8):42-44.
[5]李彦,王柯柯.基于pKi技术的认证中心研究[J].计算机科学,2006,33(2):110-112.
[6]谢冬青,冷健.pKi原理与技术[m].北京:清华大学出版社,2004.
[7]黄兰英.pKi技术和网络安全模型研究[J].孝感学院学报,2007,27(6):62-64.
[8]陈雨婕.基于pKi的矿山企业网络信息安全研究[J].矿山测量,2011(3):46-47.
[9]秦志光.密码算法的现状和发展研究[J].计算机应用,2004,24(2):1-4.
[10]张晓丰,樊启华,程红斌.密码算法研究[J].计算机技术与发展,2006,16(2):179-180.
企业信息化安全管理篇4
关键词:烟草工业;安全管理;企业信息化
thetobaccoindustryintheconstructionofenterprisesecuritymanagementstrategy
HeXujiang
abstract:thisarticlethroughtheanalysisofthetobaccoindustryinformatizationconstructionsafetymanagementdeficiencies,combinedwiththecurrentdevelopmenttrendofmoderninformationtechnology,summarizessomecommonbecausethetobaccoindustryinformationsecuritymanagementimproperinfluenceenterprisedatasecurityreasons,andthetobaccoindustryinformationsecuritymanagementsysteminnovationisdiscussed.inordertokeepupwiththepaceofdevelopmentofenterprisesinformatization.
Keywords:tobaccoindustry;safetymanagement;enterpriseinformatization
一、引言
目前烟草工业企业信息化建设中安全管理的成绩和不足
21世纪是以信息技能为核心的高科技、高智能的时代。烟草行业在全球经济一体化之后,面临严峻的考验,尤其是在加入wto后,更是面临国内国际化的严峻桃战。另外伴随着行业内部重组整合、兼并等一系列的因素。因此对烟草工业企业信息化建设的安全策略进行研究与探索,已是迫在眉睫之事。
目前部分烟草企业信息化建设的安全策略与措施等机制各有差异,但都取得了长足的进展,信息化在行业范围已得到了广泛运用,企业信息化已经成为一个衡量各工业的一项有分量的指标。下面就举几例说明:
一是烟草行业企业信息化建设安全通信骨干网已竣工并已经投入使用,且效果颇佳,实现了安全管理策略最初的指标。二是建成了业务主题数据库,完成了以办公自动化为主要内容的行业电子政务体系建设,建成有“公文传输、公文流转、档案管理、门户站点”基本功能的办公自动化系统;三是完成了“行业卷烟生产经营决策管理系统”(以下简称“决策管理系统”)的重点工程,初步实现了全行业卷烟生产经营数据的实时自动生成,有效保证了行业生产经营决策和宏观调控的科学性、及时性;四是国家局开发运用的专卖证件管理系统、统计和财务报表系统、卷烟工业基础软件、卷烟销售基础软件、烟叶基础软件等以及行业各单位自行开发建设的各种管理信息系统(miS)等,为行业数据中心的建立积累了大量的信息资源,奠定了一定的基础。以上这些信息系统都建立了相应的安全管理体系。伴随着科技的不断发展,烟草工业企业信息化安全建设工作取得了一定的工作成绩,但与此同时,发展过程中也存在着或多或少的不足:
第一、目前烟草行业的员工们对企业信息化建设中安全策略认识度不是很高,或多或少的存在不足。每个人了解各有差异,还有在企业内部存在员工职责不明晰、缺乏专业技术人才等制约因素,烟草工业企业建设的安全措施宣传不到位,有很多人不是很熟悉它的重要性。
第二、在制定规章制度上欠实际。目前我国烟草企业大多都制定了企业信息安全管理方面的制度,但有些制度是为了应付一时的检查而定,没有结合本单位、本部门、本应用系统实际而制定,导致在执行时较难,制度与管理相脱节。
第三、企业在管理上存在滞后现象。经过多年各个方面的努力,我国烟草行业信息化应用取得了重大进展,但少数企业在一定程度上只着重于信息应用、轻信息安全的现象,因此导致企业缺乏较先进的安全技术和安全设备,致使信息安全管理滞后。
第四、企业相关人员日常操作不够规范。首先是在划分职责、岗位范围上不是很明确,以及业务操作权限规定较混乱,代岗、串岗现象较突出;其次是信息操作人员未经许可擅自修改计算机各种软、硬件设置;再是各种业务系统的密码未按规定的时间修改或密码设置得过于简单,使得无关人员进入应用系统,造成企业信息系统数据的丢失。此外,由于信息化人员人数有限,加之各种反病毒的软件不及时更新,对出现的问题未及时处理,从而发生一些网络安全事故。
第五,目前有好多企业也注重发展安全管理机制,但只是阶段性的发展,只是注重局部的发展。即所谓的“偏科”,只强调发挥专业安全管理人员作用,全体员工的共同发展却有待于进一步的完善,企业信息化安全的全面管理还处于初级阶段。
二、烟草工业企业信息化安全管理建设方案
1、明确烟草行业企业信息化建设中的安全建设目标
一是完善烟草行业企业信息化建设中安全管理体制;二是通过统一烟草行业企业信息化建设中安全管理的数据来服务于烟草行业的建设,逐步做到网上实现买与卖相结合的最终目标,实现供应链环节上的企业和客户真正意义上的信息协同,做到真实反映市场需求,支持烟草行业企业信息化建设中安全管理的改革。
2、烟草行业信息化安全管理策略
烟草行业通过多年的努力取得了较好的发展,那么烟草行业的企业信息化建设中的安全管理策略究竟该如何发展?笔者认为,应该进行以下安全策略的管理:
第一、增强全体企业员工信息安全意识。只有提高每位员工信息安全意识,才能更好的做好信息安全管理工作,上下一心,群策群力,才能构筑一道更加坚实的安全屏障。一是在企业内部成立一支敢于奉献、爱岗敬业的网络管理员队伍,加强平时的网络管理;其次是通过举办计算机知识培训等形式,加强对企业各个岗位人员的教育和培训;再是信息网络管理员和各岗位操作人员应密切关注最新的病毒及漏洞和木马黑客入侵等最新信息,并安装相应的补丁软件,养成随时更新系统补丁的习惯;最后就是要设立兼职信息安全管理人员,在企业各部门中选择有一定网络系统知识和责任心的人员担当信息兼职安全员,明确他们相应的职责和权限,这样在企业上下形成一个以信息部门专职网络管理员为主体的、以各业务科室兼职信息安全员为辅助的专兼职信息安全管理模式,从而确保企业网络应用安全良好运行。
第二、提高企业内部计算机系统的本身的安全管理。目前,烟草工业企业信息化建设都已实现内部局域网,从省级中烟公司到各个卷烟分厂都实现了对联,假若在某一个子节点上出现安全隐患,就会导致整个网络的正常运行,甚至会影响到全国,导致系统不能正常运行和业务数据丢失。因此为了保障网络系统的安全,首先是要充分认识系统安全的重要性,普及计算机安全知识;其次是可以聘请行业外的安全技术顾问,对企业信息安全进行总体规划,对相关人员进行系统化的安全理论培训和定期指导;三是完善企业信息安全监控措施,做到早发现、早解决;最后就是要对本单位企业数据库做好定期备份,包括本地备份和异地备份,还有对建立好的备份计划、任务备份要时时进行检查,确保正常运行。
第三、要有高度的责任感和使命感来推进信息化安全管理。要坚持“预防为主”的原则,做到防犯于未然,使网络应用风险防范工作落到实处。从总公司到分公司到卷烟分厂都要建立完整的信息安全管理工作责任制,做到严格奖惩,责任明确。同时,实行各级企业一把手负责制,充分发挥企业信息安全管理领导小组的作用。企业要定期召开信息安全工作会议,听取相关部门的工作汇报,认真做好信息安全防范工作。
第四、企业内部要做好网络安全保障。在企业内部应开展信息网络安全防护措施体系建设,统筹规划风险评估和灾难备份、等级保护等工作,努力提高网络安全保障水平和应对突发事件的能力。加强信息安全技术攻关,大力推进技术设施建设,从而通过网络与信息安全管理能力的增强,较好地为烟草企业提供有力的技术支撑,为促进烟草企业健康发展提供保障。
第五、在行业内部建立一个数据中心,这样可以为安全管理策略进行一个整体的规范。安全管理数据的集中是一个不可或缺的安全管理体制中的成员部分,它更是企业信息化发展的必经之路。统一的烟草企业信息化建设中安全管理体制的数据中心,这样做既可以改变传统的烟草企业信息化建设中的安全管理体制,又可以推动运营模式的发展,是烟草企业信息化建设中的大幅度的提升,可有效提升烟草工业企业信息化建设中的安全管理策略。
第六、在企业内部制定并落实全面完善的操作标准和管理规范。目前,由于在企业内部信息管理涉及很多环节,诸如,企业各种信息数据的收集、整理、录入以及信息仓库平台的管理、企业各种软件的开发、各种数据的信息传输等等。数据的及时性、准确性、合理性直接影响到企业的信息化建设,而数据的安全又是直接关系到行业的整体安全,要是在企业内部无一套合理的操作和使用标准,就会导致各个人的使用方法、效率差异很大,甚至在操作过程中出现严重的漏洞误差,造成企业数据信息错误或者企业商业秘密泄漏等严重问题的出现,因此规范流程完善体制是保障企业信息安全的关键。
三、总论
烟草企业信息化安全管理的策略
加强烟草行业企业信息化建设中安全管理建设是加快烟草行业快速健康发展的通道,它更是一个需要持之以恒的宏大工程。作为烟草行业企业信息化建设者和爱护者,每个人都应自觉积极参与到烟草行业信息化安全管理中来,为促进烟草企业和谐发展创造良好的条件。
参考文献
1、斌远,中小型物流企业管理信息系统的开发与探讨[期刊论文]-2005(08)
企业信息化安全管理篇5
近年来,国家烟草局持续深入推进YC/t384-2011《烟草企业安全生产标准化规范》达标工作,通过建立安全生产责任制,制定安全管理制度和操作规程,排查治理隐患和监控重大危险源,建立预防机制,规范生产行为,使各生产环节符合有关安全生产法律法规和标准规范的要求,人、机、物、环处于良好的生产状态,企业安全生产规范化建设水平持续提升。但是,在推进企业安全管理工作中,常常对于潜在安全因素的发现与管控、危险源的排除以及安全档案、隐患数据的应用与分析还有差距与不足,没有形成有效的自动保存与检索、分析与判断运行机制,不能用信息化的手段来有效支撑企业安全管理工作上水平。鉴于此,要在持续强化工业化与信息化的“两化融合”基础上,如何实现安全管理信息系统在企业安全管理工作的应用与实践,将是企业面临的新的挑战与机遇,通过信息系统的大数据积累与判断分析功能,能够大力提升企业的预防型安全管理效力。
1卷烟企业安全管理现状分析
安全管理作为支撑企业管理的关键核心,始终得到企业各级领导及员工的高度重视;与此同时,随着近年来的企业信息化建设与应用水平提升,办公oa系统、eRp、meS以及eam装备信息化等系统的广泛应用,信息化支撑企业各项管理现代化已经成为一种趋势,更是企业有效提升管理效率、增强核心竞争力的一条捷径。但是,在具体实践中部分卷烟企业还未能够将信息化与安全管理有效融合,对于有效利用信息化提供的高效、及时性方面还不能够达成共识,这一情况除存在一定的意识淡薄、资金缺少、技术匮乏之外,还应该从以下三个方面进行剖析:
1.1安全管理人员队伍素质偏低
根据大多数卷烟企业的安全管理队伍整体素质水平,相对处于企业知识结构与能力水平较弱的层级,对于信息化的应用能力与水平存在一定的障碍,而作为安全管理信息系统具有系统性、先进性、前瞻性的技术特点,在系统的建设、运行与维护方面都需要一定的专业知识与技术,造成系统建设的技术壁垒。
1.2安全信息系统投入风险较大
信息系统的建设是一种系统工程,需要系统设计、统筹实施与有效实现,在企业涉及安全建设方面的投入需要多方面的审核与把关,相对投入资金较大、周期较长、风险共存,在与企业相关系统集成中存在不确定性、融合度低等风险,影响到系统的建成效果,以及企业领导层的决策。
1.3安全信息系统建成模式单一
安全管理信息系统的建成模式还比较单一,可借鉴与实践的经验相对较少,在建设中以信息化建设为主导推进,以信息化工作梳理流程、建成模块、系统实现,在投入运行中以安全管理为主导理论,如果不能够有效实现工作流、业务流、信息流的前期整合,不能够有效分清“主导”要素,必然会造成信息系统运行的冲突与障碍。
2安全管理信息系统内涵
借助于现代高效的信息技术应用平台,用系统性、流程化、模块化的建设理论为基础,强化安全管理的pDCa过程管理方法,推进安全管理工作的流程化、信息化、系统化,持续提升企业安全管理与应急响应等级水平。信息化的安全管理从安全基础管理、过程控制及效果监督等形成有效的执行系统,有效改善了安全管理从“结果导向型”向“过程控制型”转变;系统化的安全管理从影响安全的各项因素入手,深入统计与分析、决策与判断,逐步形成科学性、有效化的决策体系,用系统化的全过程预防控制方法,将传统的“被动事故处理”向“超前隐患预防”转变;体系化的安全管理借助于安全工作组织架构、资源实现、过程方法、监督考核、持续改进等,夯实安全基础,筑牢安全防线,实现安全管理从“简单粗放”向“精益标准”转变,有效促进企业一体化管理水平持续提升。
3安全管理信息系统构建内容
卷烟生产企业安全管理信息系统的建成理论基础来源于YC/t384-2011《烟草企业安全生产标准化规范》,严格依据行业安全标准体系建设理论,依托烟草工业企业独有的目标体系、治理结构、管理流程、现场监控、应急处理等安全管理特点,运用先进的虚拟化、网络化、电子化及信息化手段,将安全管理全过程中的工作指令、指挥调度、预警处理、信息反馈等实现数字信息化、网络化,集中存储与应用,并且运用自身的关键命令参数设置,及时有效地做出综合评价及分析判断,快速处理各种信息源的数据与差异,实现企业安全管理信息化、动态化和高效化,为企业安全管理提供先进性、系统性、快捷性的技术支撑。
安全管理信息系统包含安全管理体系、信息系统硬件、信息系统软件三个基本框架,涉及信息收集、数据分析、评价判断、信息反馈、决策执行、应急处置等六个系统模块。
3.1安全管理体系
以烟草行业安全标准化理论为基础,以“人、机、料、法、环、测”关键要素为核心,运用系统论工作方法,对安全管理工作进行流程化、标准化、体系化、系统化管理。安全管理体系是安全管理信息系统形成的基础框架,对于信息系统的组成范围、人员分工、工作流程、应急处理、预案演练、信息反馈机制等方面进行了规定与要求,确保安全信息系统的有效建成与组织落实。核心要素包括安全方针,危险源的辨识、评价与控制,法规和其他要求,安全目标,安全管理方案,结构和职责,运
行控制,测量和监视,审核,管理评审等10个方面。
3.2信息系统硬件
安全信息系统的有效运行依托于企业信息化的基础平台,运行效率的高低完全取决于企业信息化的建设水平。信息系统的核心组件包括数据服务器、核心网络、应用终端三个系统平台,配套组件包括安全与备份设备、应用服务设施、集中监控与管理设施等,共同形成信息系统有效运行的硬件平台。
3.3信息系统软件
安全信息系统的核心组成是业务流、工作流,关键点在于安全信息的有效集成和全面共享,即实现将关键的准确的安全信息、安全数据及时地传输到相应的影响决策人的手中,从而为企业的安全运作决策提供强力支撑。依据烟草行业安全管理体系建设的系统理论与实践应用,结合卷烟企业的安全生产管理特点,运用pDCa过程控制方法中,将安全信息管理系统大致分为六个核心功能模块。
3.3.1信息收集模块。信息收集的来源在于人、机、设备方面的基本信息、潜在危险源、异常报告及事故处理等,包括数据的分类标签、获取系统和存贮系统、传输系统。对于相关数据的获取范围、数据大小及响应时间应做出规定要求,每种数据获取系统中都应有检验数据完整性、及时性、有效性的数据质量系统。
3.3.2数据分析模块。根据数据范围与应用,结合不同数据在各个体系功能中的作用模式,建立符合不同要素标准的数据统计与分析算法,利用电子自动运算与合成,对所有有效数据进行统计分析。要持续关注数据的整体性、关联性分析,建立有效数字分析模型。
3.3.3评价判断模块。应建立对应于企业实践的安全指标体系模型,运用信息化的逻辑算法比对数据分析结果的符合性、异常性及突变程度,以做出相应的反馈与动作。
3.3.4信息反馈模块。在应用层与决策层搭建有效信息通道,保障所有数据流、信息流始终畅通。建立信息优化系统,对反馈信息进行有效甄别与筛选,合理辨识信息的完整性、可用性。
3.3.5决策执行模块。决策模块响应底层数据收集、分析与评价机制,实现信息双向互传,具备自我完善的运行机制与策略,用正确的数据传达正确的指令,通过方案决策系统决定控制策略,形成共同协商、高度集中的执行决策,从而形成闭环的信息体系。
3.3.6应急处置模块。积极响应应急管理要求,对异常、突发数据与对象采取应急与处理措施,以消除潜在隐患及降低损失最小化为原则,避免事故发生或再发生。
企业信息化安全管理篇6
关键词:安全生产;管理信息化;功能模块
中图分类号:tp39文献标识码:a文章编号:1007-9599(2011)07-0000-01
ConstructionofSecurityproductionmanagementinformatizationSystemShouldConsidertheFunctionmodules
CuiHong
(innermongoliaUnicom,CustomerService,Hohhot010020,China)
abstract:theSecurityproductionmanagementinformatizationSystemforthedailymanagementofenterprisesafetyandaccidentprevention,rescue,dealingwithanintegralsystem.thecompanieswanttoimplementthesafetymanagementofproductioninformationtobeconsideredtheconstructionofmanyfunctionalmodules.
Keywords:Securityproduction;managementinformatization;Functionmodule
大多数企业希望将安全生产管理信息系统运用在安全生产日常管理和事故的预防、救援、处理中,将企业安全生产传统管理模式向信息管理模式转变,实现提高安全生产管理水平和效率,控制管理风险,减少安全生产事故发生概率的目标。那么,企业实施安全生产信息化管理,应考虑建设的功能模块应包括:
一、设立一个标准的安全工作信息中心
安全工作信息中心是一个导向性模块,通过自建的短信发送和邮件系统,可以安全生产公告,实现安全生产业务的通知提醒,以及用户之间的信息传递。通过该模块可以有效加快安全生产信息的传递效率,促进安全工作的有序进行。
二、安全工作计划和报告实时动态信息展现
安全工作计划和报告通过标准的安全生产年度计划的制定,并要求基层按照月度、季度汇报安全生产情况,从而实现安全生产情况的实时动态信息掌握,为决策者提供年度安全生产计划的指标完成情况。
三、安全生产责任事故报告及处理管理
用于建立企业安全生产管理责任体系,指导管理人员根据各级单位、部门和人员的安全生产职责和标准格式要求制定安全生产责任书,生成安全管理网络图,输出安全生产工作通讯录,并保存电子版的安全生产责任书;使安全生产责任体系清晰完整,有据可依。功能包括安全生产组织结构图建立和更新功能,各组织机构及人员职责编订查看功能,安全生产责任制的编写和改版功能,安全生产责任管理网络的展示功能等。
四、随时可获取的法律法规
建立随时可获取的安全生产专业法律法规文库,确保可以随时随地查阅到国家和行业最新的法律法规和标准,帮助企业做到安全生产的有据可依和有章可循,建立符合体系要求的法律法规文档管理体制。用于法律、法规、规章的下载、专业维护、定期更新等。
五、安全管理制度的分类归集
对行业及本企业的安全管理制度进行收集分类保存,便于使用者随时查询,内容包括安全生产职责,安全生产投入,文件和档案管理,隐患管理、危险源管理等内部安全管理规章制度。可制定相关岗位的安全操作规程,并提交于各岗位,设置定期管理制度评审提醒功能。功能包括企业内部安全生产制度的管理,内部资料的共享,文件控制清单生成、文件等。
六、安全教育培训和档案管理(可选)
帮助企业实现安全生产培训控制和档案管理。按照安全生产培训的要求通过计划、实施、总结对培训情况进行控制,并建立以人为单位的安全生产培训档案,保存特种作业、管理人员等相关资质证书,形成分门别类的安全教育档案卡。对将要年审或再培训的人员提供证件有效期提醒功能。协助企业实现标准、规范的安全教育培训管理流程和档案。
七、危险作业许可管理
用于对企业内部的危险作业实现网上备案和网上审批,例如动火作业、动土作业、临时用电作业、高空作业等,建立完整的危险作业实施档案,实现对临时危险作业的有效控制,降低作业风险。
八、现场重点部位管理
对企业内风险较高的、安全生产重点关注的作业场所进行管理,它由重点部位的审批流程、人员安排管理流程,定期检查、危险源输出等相关的子节点组成,可以与先进的通讯技术和现代化监管设施相结合,安全管理人员在工作现场可通过手持pDa或平板电脑记录现场检查记录,将现场图片与相关信息传输至管理平台实时汇报安全工作,多方位保障安全生产重点部位,确保不出重、特大事故。
九、生产设备管理
注重特种设备,大型设备的安全生产管理,建立设备档案卡,详细记录型号、购买时间、产地、维修记录、定检时间、报废日期等内容。设计安排设备安全检查表,记录检查明细并保存便于查询;根据设备相关属性提醒定期设备保养、维护、检测。促进企业的设备管理符合国家和行业的安全管理要求。
十、隐患排查治理
提供对隐患按照上报、整改与复查的闭环管理,在流程中对“整改措施、责任、资金、时限、和预案”五到位进行严格控制管理,管理人员可以在平台中即时查询隐患的发现和治理情况,组织人员对发现的问题进行复查;系统可以输出符合国家安监系统要求的隐患报告单和统计报表,帮助企业实现23号文件对隐患排查治理的相关要求。
十一、危险源管理
旨在建立一套符合体系标准要求的危险源辨识评价流程,主要包括树形的危险源辨识评价、表单审批,专家组评审,按月风险评价等主要功能,可以输出符合体系要求的危险源清单,建立统一危险源档案,管理人员和现场作业人员对危险源管理情况可随时了解查看。该系统还能够与其它模块建立联系,将危险源作为企业安全生产管理的基础档案。
十二、职业健康管理
旨在实现有职业危害点和有毒有害人员管理,包含职业危害点(岗位)新设、修改、撤销的审批流程,有毒有害人员界定管理流程,职业健康体检档案管理流程。实现职业危害点的台账建立,定期监测提醒和数据保存,人员岗位界定,有害岗位津贴的发放,职业健康体检提醒和数据保存的功能。帮助企业建立规范的有毒有害作业点和有毒有害人员管理。
十三、劳动防护用品管理
能清晰的记录每一件劳动防护用品的有效期、检测期、价格、附件购置方式等相关记录,在人员领用时,会在劳动防护用品上粘贴条纹码,形成领用清单,形成规范的合法的领用记录。
十四、应急预案和演练管理
通过应急预案的指导编制,应急资源的管理和应急演练的计划安排,建立企业应急预案数据库,形成应急资源台账,记录并控制演练区间,通过短信实现应急信息的快速传递。从而帮助企业建立完善的应急预案管理体系,巩固安全生产应急防线。
企业信息化安全管理篇7
【关键词】电力企业;网络信息安全;管理
新时代是网络信息时代,全世界信息网络系统都在迅猛发展中。电力企业作为各行业中重中之重的国家基础行业,整个行业都对网络信息系统有着极大的依赖性,网络信息系统也以它快速、全面、及时的优点给电力企业带来了极大的经济效益。但是网络信息系统所带来的不仅是经济效益,同样还有信息泄露的巨大风险,一旦发生信息泄露或信息数据遭篡改,将为国家造成不可估计的经济损失。
近年来全球范围内计算机犯罪活动猖獗,不断发生黑客入侵、电脑病毒肆虐事件,给电力企业敲响了警钟,网络安全防范刻不容缓。很多受害者的网络硬件及软件技术都处于时展的主流,然而依然发生信息安全受损事件,这充分证明,仅仅依靠软硬件的更新是不能很好的提升网络信息安全水平的,除了安装网络安全产品,同样重要的还有网络信息的安全管理措施。所以,各电力企业都必须认真面对和研究当前网络信息安全问题,及时采取合理有效的防范措施。
1、我国电力企业网络信息安全现状
1.1电力企业信息化的优势
进入二十一世纪以来,随着网络技术的迅速发展,我国电力企业的信息化也有着很大的进步:电力行业信息化设施较其他行业更完善,各电力企业主要岗位使用计算机工作的比率已经基本达到100%,而且90%以上都建立起了覆盖本部机关工作的局域网;电力生产、调度自动化系统广泛应用,已经形成了较成熟的管理模式。其中发电生产自动化监控系统、电力调度SCaDa系统等,大大提高了生产过程和电力调度的自动化水平;电力营销管理系统在全国各大电力企业广泛应用,各地(市)级电力企业都已实现业务受理计算机化。同时各地也在大力建设客户服务中心,已经有一批服务中心先行初步建立起来;国家电网公司及其下各级子公司开发应用了电力生产、设备安检、电力负荷及营销管理的企业管理信息系统,各大电力企业也在积极规划企业信息化发展蓝图,大力进行企业信息化建设,推动实现电力工业现代化进程。
1.2当前存在的问题
上述信息化优势证明我国电力企业近年来关于网络信息化建设取得了一些成果,给行业信息化建设打下了良好的基础,但在网络信息安全管理方面仍普遍存在较多问题。
1.2.1信息化机构建设不健全。电力企业很少为信息管理部门专门设置机构,因而缺乏应有的规范的岗位及建制。大多信息部门附属在技术部、科技部或总经理工作部门下,甚至仅设置一个专责人员负责。信息化管理是一项系统性的工程,没有专门的部门负责是不能满足现代企业信息化安全的需求的。
1.2.2企业管理阻碍信息化发展。有些电力企业管理办法革新缓慢,大多采用较落后的、非现代信息化企业的管理模式。这样的企业即便引入最完善的信息管理系统、最先进的信息化设备,也只能受落后的企业管理模式所制约,无法发挥其应有的作用。
1.2.3网络结构不合理。电力企业大多将公司网络分为外网和内网,两种网络之间实行物理隔离措施,但很多企业的网络交换机是一台二层交换机,决定了内网和外网用户在网络中地位是平等的,导致安全问题只能靠完善管理系统去解决,给系统编写带来很多不必要的困难。
1.2.4身份认证缺陷。电力企业一般只建立内部使用的信息系统,而企业内部不同管理部门、不同层次员工有不同等级的授权,根据授权等级不同决定各部门和员工访问的数据和信息不同。这类授权是以身份认证为基础的信息访问控制,但在当前的企业身份认证系统中大多存在缺陷和漏洞,给信息安全留下隐患。
1.2.5软件系统安全风险较大。软件系统安全风险指两方面,一是编写的各种应用系统可能有漏洞造成安全风险,二是操作系统本身风险,随着近期微软停止对windowsXp系统的服务支持,大量使用windowsXp系统的信息管理软件都将得不到系统漏洞的修补,这无疑会给信息安全带来极大风险。
1.2.6管理人员意识不足。很多电力企业员工网络安全意识参差不齐,一方面是时代的迅速发展导致较年轻的管理人员安全意识较高,而对网络接触较少的中老年员工网络安全意识较为缺乏;另一方面也有电力企业管理制度不够完善、忽视对员工进行及时培训的原因。在这种人员背景下,如果管理人员配备不当、信息管理系统设置不合理都会给企业信息埋下安全隐患。
2、电力企业网络信息安全管理措施
要建立完善合理的网络信息安全管理体系,需要各企业认清企业现状,根据实际进行统一规划,分部建设,保证建设内容能科学有效的运行。
2.1加强信息安全教育培训
不论计算机程序有多么先进多么完善,如果操作管理人员素质和意识不足,那也不能保证企业信息化的安全。因此,实现企业网络信息安全管理的根本在人,可以根据员工职责分层次进行培训,一方面提高安全管理员工的专业知识水平及安全管理意识,另一方面加强对一线工作人员的安全意识教育,将网络信息安全变为企业文化和精神支柱的一部分。
2.2完善管理制度建设
电力企业要把网络信息安全管理视为一个系统工程来考虑,必须在企业内部建立起合理而完善的管理制度,比如:加强网络日志管理;对安全审计数据严格管理;在企业网络上安装病毒防护软件;规定不能随意在内网主机上下载互联网数据、不能在内网计算机上随意使用来历不明的移动存储设备等。
2.3不断更新完善信息安全管理系统
大力推进信息安全新技术的探索和应用,建立信息安全防护体系,可以围绕数据库安全、数据备份和恢复、网络服务完全、病毒防护系统的应用、数据加密技术及数据传输安全等方面建立一个多方面多层次联合的技术安全体系,从而提高信息系统安全防护能力,确保企业信息安全可靠。
3、总结
电力企业信息化是不可避免的发展趋势,因此要实现企业的可持续发展就必须做好企业信息网络安全的管理,电力企业要在不断的探索实践中,摸索新时期网络信息安全管理措施,不断完善和健全网络信息安全建设。
参考文献
[1]王隽.电力企业网络信息安全防护体系的建立[J].信息与电脑(理论版),2012,07:22-23.
企业信息化安全管理篇8
随着信息时代的到来,互联网技术在各行各业备受推崇,尤其在现代企业的信息化建设和发展过程中,信息网络的应用和推广力度不断加大。同时,不可避免也会衍生信息网络安全问题,对企业信息安全以及现代企业信息系统的正常运行造成负面影响。本文立足于现代企业信息网络中存在的问题,提出加强信息网络安全优化的重要性,制定针对性的优化策略。
【关键词】
现代企业;信息网络;安全优化
21世纪是网络化、信息化的时代,互联网技术的飞速发展为我国各行业的发展创造了机遇。与此同时,现代企业的信息网络业发展也面临着巨大挑战,信息网络安全问题的产生为企业发展埋下了安全隐患。例如,同行业之间的恶性竞争、网络犯罪等不正当的市场竞争,均可以网络形式展开。针对此种情况,企业要认识到加强信息网络安全优化的重要性,并针对具体的安全问题,提出针对性的优化策略,切实解决现代企业存在的信息网络安全隐患。
一、加强企业信息网络安全优化的重要性
1.1提升现代企业的管理质量
在现代企业的发展过程中,信息安全具有不可或缺的重要作用。因此,加强现代企业信息网络安全优化管理,可保障企业信息的安全性和真实性,同时也可保障现代企业信息系统的可用性和机密性。企业信息网络的安全性得以保障,可为信息系统工作质量提供重要的参考数据。此外,信息网络管理人员要对信息网络优化和管理中体现出的实际问题进行总结,并针对信息系统管理中反馈出的实际问题,在企业内部制定针对性的应对方案和措施。最终,接提升现代企业的管理质量,提升整体管理水平。
1.2为现代企业获得更大的经济利益
任何一个企业发展的最终目的均为获得经济利益,利润是企业发展的主要动力。作为现代企业而言,保障企业的信息安全,并保障信息系统的正常运行,方可在有效安全技术的支持,为企业后期发展创造更大的利润空间。通过对企业近年来的发展情况进行分析和总结,利用数据和统计分析的方法,为企业的发展制定全面的发展方案[1]。同时,在进行数据分析和总结的过程中,可及时发现企业发展中存在的问题,并针对具体存在的问题,提出针对性的解决对策,保障现代企业获得更大的经济利益,获得更大的利润空间。
二、现代企业信息网络中存在的安全问题
2.1企业信息网络安全管理制度不健全
纵观目前我国现代企业的信息网络安全管理现状,仍存在较多的安全问题,其中,最为显著的安全问题就是企业内部尚未建立健全的网络安全管理制度。管理制度的不健全势必造成企业信息网络安全出现问题,例如,企业的网络管理工作中频繁出现违规操作的现象,造成信息网络的正常运行受到影响。
2.2企业信息网络安全管理人员的综合素质相对较低
从现代企业的网络安全人员配置上看,大部分现代企业在发展过程中仍存在技术人员缺乏的现象。企业在缺乏专业的技术人员和管理人员,导致企业在发展的过程中难以及时发现信息网络中存在的问题和漏洞。在网络信息技术不断发展的当今社会,企业信息网络安全面临着新的发展机遇[2]。当一些先进的技术、管理方式和操作方式引入到企业中,而企业内缺乏相关的专业人才,将造成企业信息系统的安全性和操作规范化受到影响。因此,现代企业的发展过程中,需要解决信息网络安全管理人员专业技能差、综合素质相对较低的问题,保障网络管理人员可及时解决信息系统在安全维护方面的问题,方可促进现代企业的全面发展。但就目前我国大部分企业的信息网络安全管理人员配置情况上看,解决此问题仍需要经历较长的一段时间,也需要企业付出更多的精力和财力。
2.3尚未制定完善的网络安全事故应急处理预案
在现代企业的发展过程中,加强对企业信息和信息系统安全运行的管理至关重要。企业出现网络信息安全是不可避免的,但企业可通过分析总结出现信息网络安全问题的原因,制定针对性的解决对策,预防信息网络安全事故的发生。但纵观现阶段我国大多数企业的发展现状,大多数企业仅仅意识到了加强网络信息安全管理的重要性,但并未在实际行动上体现出来。通过对现代企业的调查,发现大部分企业尚未制定完善的网络安全事故应急处理预案,当信息网络安全事故发生后,企业在面对安全问题上显得手足失措,难以有效应对。而这样的问题,对于信息网络的安全维护和安全管理而言,将造成较大的负面影响,不利于现代企业的长足发展。
三、实现现代企业信息网络安全优化的策略
3.1加强现代企业信息网络系统的规范化管理
在现代企业信息网络安全管理中,要实现企业信息网络的规范化和系统化,首先需要在企业内部制定严格的责任管理制度,加强安全管理。在网络管理中,通过建构多层防御和等级保护体系,加强对信息网络安全的控制和规范化管理。与此同时,企业要在现代化的发展过程中,要保障自身信息网络系统的安全性,要加强对网络性能的检测力度,并将外网和内网进行有效隔离[3],为信息网络系统提供安全管理,并在企业的各部门实现信息系统安全管理。
3.2提升现代企业信息网络管理人员的综合素质
在现代企业的发展过程中,信息网络安全优化和管理是一项相对较为复杂且系统的工作。因此,在信息网络安全优化中,网络管理人员的专业能力和综合素质对安全优化管理的工作质量均可产生决定性作用。这则要求企业要对信息网络管理人员进行定期培训,通过在企业内部开展培训项目可使管理人员的管理能力提升,同时也可培养网络安全管理人员严谨的工作态度,让其意识到信息网络安全优化工作的重要性和必要性。与此同时,现代企业还可组织相关技术人员和专家,对企业信息网络安全优化的相关措施进行专题分析。通过系列的专题分析,可了解企业信息网络运行的实际情况,从而激发现代企业网络管理人员的工作热情和工作积极性。最终,可提升网络管理人员的综合能力,提升现代企业信息网络安全管理质量,提升整体管理水平。
3.3制定企业信息网络安全事故的应急方案
现代企业在发展的过程中,难免会遇到各种各样的信息网络安全问题。鉴于此种情况,不仅要提升网络管理人员的综合素质,加强对信息网络的规范化管理。还需要针对企业自身的信息网络安全管理现状,制定完善的现代企业信息网络安全事故应急预案。在制定应急预案的过程中,企业要将目标性、针对性、合理性以及全面化、规范化等特征融入其中。同时,在信息网络的运行过程中,要针对具体的运行情况,适当增加安全事故模拟演习和模拟训练等,提升信息网络管理人员的警惕性,保持认真的工作态度。只有在日常工作中,加强管理和训练,方可在事故发生时从容应对,最大限度降低信息网络安全事故对现代企业信息安全和自身发展造成的负面影响。
四、总结
综上所述,时代在发展,社会在进步,现代企业对信息网络安全优化提出了更多的要求和建议。信息网络是一项复杂的任务,具有涵盖范围广、涉及信息资源多等特征。在信息技术飞速发展的当今社会,信息网络安全优化是保障现代企业信息安全的重要途径,可有效解决企业中面临的网络信息安全问题。因此,现代企业要不断强化并规范企业内部信息网络建设,提升管理人员的职业素养和综合素质,为现代企业的发展提供更加安全、稳定的网络环境。
作者:赖连春单位:云南华电鲁地拉水电有限公司
参考文献
[1]王国强.现代企业信息网络安全改善措施[J].信息技术与信息化,2014(9):64-65.
企业信息化安全管理篇9
关键词:信息安全管理;信息资产;模型;推广方案
中图分类号:tp309文献标识码:a文章编号:1674-7712(2013)02-0175-01
所谓的信息安全就是指信息的可用性、完整性、安全性以及保密性。信息安全管理主要是指组织为了确保信息的安全而进行的控制、领导、组织、计划的相关过程。随着企业的飞速发展以及信息技术的不断完善,各类企业的信息化程度也在不断地提高,信息安全已经成为了企业发展过程中的核心内容之一。
一、企业信息安全管理的现状
目前,绝大部分企业在发展的过程中已经开始对企业的信息安全工作制定出了一系列的管理措施,不过,企业在对那些信息进行安全管理的过程中,基本上是部署或购买信息安全产品。而这些产品基本上是为了达到某项安全功能而研发生产的、针对性较强的硬件或软件产品。当前市场上所出售的信息安全产品主要有四个层次:系统安全设备、网络安全设备、终端安全设备、基础安全设备。
企业通过这些信息安全产品虽然在某些方面具有一定的安全效果,不过企业自身的信息安全度仍没有得到提高。所谓的企业信息安全管理就是指针对当前企业所面临的信息失控、恶意软件、人为因素等复杂环境给予相应的防护,确保企业的信息系统以及相关信息不会被非授权使用、访问、中断或修改。这样做的目的主要是对企业的信息安全进行适当的保护,并确保其具有可用性、真实性、完整性以及保密性。就目前的情况而言,绝大部分企业的信息安全管理存在下列问题:(1)缺乏足够的安全防护意识,员工的信息安全教育力度较为薄弱;(2)管理过程中对于人为因素的管理较为缺乏;(3)只重视技术而忽略了管理;(4)缺乏系统性的管理方案;(5)缺乏专业的信息安全管理人员。
二、企业信息资产的安全管理方式
一般情况下,企业的信息资产具有以下三个重要属性:即可用性、完整性以及保密性。在对企业的信息进行管理的过程中,这三者缺一不可。在企业发展的不同时期以及不同阶段,这三者的属性以及地位也大不相同。对于绝大部分企业而言,对企业信息进行安全管理的主要目的就是确保企业的信息资产具有较好的保密性,因此,信息的可用性以及完整性在信息安全管理过程中基本上就成为了附属品。由此可见,对于绝大多数企业来说,信息的保密性更为重要。
由于企业的信息安全管理活动通常会涉及到企业的所有员工以及各个管理阶层,因此,企业在开展此项活动的过程中,一定要注重全员参与的重要性,让企业的各项工作以及每个员工都对企业的信息安全引起高度重视,并将企业的信息安全管理与企业文化融为一体,以便于从根本上实现企业的信息安全管理目标。不过对于绝大部分企业而言,经济指标才是员工以及管理层关注的重点内容,而信息安全管理需要投入大量的人力、物力以及财力方能实现,因此,这对于大部分企业来说其操作性相对较低。由此可见,在对企业的信息安全进行管理的过程中,一定要尽最大可能确保信息安全管理的简洁性。
三、企业在进行信息安全管理时所涵盖的具体内容
目前,信息安全管理过程中的内容经简化和提炼后主要有“执行力”、“堵”、“护”,在不同企业或同一企业发展过程中的不同阶段,信息安全管理的计划实施先后顺序以及侧重点也会有所不同。对于企业的普通员工以及管理人员而言,通过简单地宣传教育就很容易让他们牢记“执行力”、“堵”、“护”,而对于专业的信息安全管理人员则必须从以下几个方面着手。
(一)构建与企业文化相符合的安全体系
企业在构建信息安全管理体系的过程中,它与企业文化的适应程度有着十分密切的联系,不同的企业有着不同的企业文化,因此,在进行信息安全管理的过程中,其管理思路以及管理方法也会大不相同。一些执行力较强的单位,通常会采用强制手段来进行管理,且管理的效果相对较好,而对于执行力相对较差的单位,通过制定出科学合理的管理方法,并加以相应的监控管理、审计以及技术支持也会取得相对较好的效果。
(二)对信息传递渠道进行严格的管理
企业在对信息资产进行安全管理时,一定要强化对信息传递渠道的管理,对信息资产的各个传输渠道进行严格的分析,严禁出现非授权或授权范围外的传递或访问。在此过程中,“堵”的核心内容就是人员的安全管理,这主要是因为企业的信息资产都是通过人来进行控制、管理的。在所有的信息安全管理过程中,对人的管理难度最大,因此,在开展信息安全管理活动时,一定要对员工的调动以及离职情况进行严格的审计,以此来防止信息资产的不合理传递。
(三)核心信息资产的保护
所谓的核心信息资产的保护主要是指对企业的核心信息资产进行科学有效的保护,这对于企业的发展有着至关重要的作用,同时它还是企业进行信息资产安全管理的有效手段。由于企业的资源具有一定的有限性,因此,企业的信息安全也具有一定的相对性,基于此,在对企业的信息资产进行安全管理的过程中,对核心信息资产进行保护就显得尤为重要了。所谓的核心信息资产就是指一旦泄露就有可能对企业造成严重的损失,或者是价值相对较高的信息。
四、结束语
随着市场经济的不断发展以及信息技术的日渐完善,企业在发展过程中的信息资产保护所面临的形式也变得越来越严峻。为此,企业在发展的过程中,一定要根据自身的实际情况,建立相应的管理体系,并将其纳入企业的风险管理中,尽量降低信息泄露对企业发展所造成的影响。
参考文献:
[1]齐峰.CoBit在企业信息安全管理中的应用实践[J].计算机应用与软件,2009,26(10):282-285.
[2]伏原.网络信息安全管理在电力企业中的应用[J].中华民居,2011,(8):385-386.
[3]孟洁.国有企业中的信息安全管理和应用[J].科技信息,2012,(2):252.
企业信息化安全管理篇10
1工作思路
1.1现状分析
县级供电企业在原有的局域网络,由于没有外网进行隔离,管理制度不健全,且管理比较混乱,在局域网内的计算机终端可以随意联网,缺乏桌面管理的相关软件,个人私自换机与路由器的情况也时有发生,这已经严重的威胁县级供电企业内部网络信息安全并且影响企业的经济效益。
1.2工作思路
为了加强县级信息安全的管理,强化企业日常信息安全的监督与应急处理能力,防范信息安全问题的发生,提高县级供电企业整体信息安全建设水平,企业应该重新制定与规划信息安全的监管制度,以及企业内部计算机使用规范,与一定的惩罚措施等。指定企业内部信息安全的负责人,对造成企业信息安全问题的人员给予严重的处罚。在企业内部的局域网增加防火墙,企业局域网内的所有终端设备统一安装由省供电企业统一部署的桌面管理系统与趋势杀毒软件,再配备高质量的移动存储介质用来备份重要的信息资源,最大限度的降低信息安全所带来的隐患,确保企业的信息安全。
2主要做法
2.1加快组织机构和制度的建设
县级供电企业应该成立主管信息安全工作的组织,以企业中层信息管理者为组长,建立一整套企业信息安全管理体系,实行统一领导,分级管理,各个部门主要负责本单位内部信息安全的管理工作。企业信息安全管理小组主要负责本企业信息安全的重大事项的决策与企业内部的协调工作。企业领导者与各部门签订信息安全责任书,且企业全体员工签订安全保密工作承诺书,并对企业的全体员工进行“八不准、三个不发生”信息安全宣传,明确谁使用,谁负责的信息安全原则。将信息安全管理纳入企业的战略管理层面上来,实行专业化管理与监督,企业的信息部门负责管理企业信息安全保障工作,并负责指导、检查与协调企业各部门的信息安全工作,组织落实企业信息安全工作的制度,对企业的信息系统的安全性进行评估。组织企业信息系统安全的宣传与对企业员工进行信息安全基本常识的培训。
2.2全企业信息系统的管理体系
完善信息安全管理的制度,主要包括:企业各级信息安全岗位职责与巡视制度。建立健全信息流程控制,员工进行数据录用之前,首先要保证信息系统数据的合理性与合法性以及安全性,更为重要的是进行信息系统的安全管理,于此时同时,引进与强化计算机自动控制系统,以确保计算机系统与数据的安全性和数据处理的可靠性。
2.3建立信息系统的管理模型
信息主要体现三个方面的属性:信息的可行性、信息的保密性以及信息的完整性。在信息安全管理工作中者三个属性都是非常重要,对于县级供电企业而言,保障信息安全的直接原因是确保企业信息的保密性。县级供电企业信息的完整性与信息的可用性在从一方面来讲是信息安全属性中的附属属性,因此信息的保密性对于县级供电企业来讲显得尤为重要。由此,而提出了有针对性的管理方法与管理模型。管理模型具体内容“执行力”、“堵”、“护”是信息安全管理简化的总结。
2.3.1执行力:县级供电企业建设企业文化与信息安全相互适应的体系县级供电企业的信息安全系统必须能够适应县级供电企业文化。信息安全的管理方法不能与企业文化相互冲突,信息安全要有与之相适应的技术支持、监督管理方法等都会有效的提高县级供电企业的信息安全水平。如果信息安全系统不能适应企业文化,企业的信息安全工作就不能有效的进行。
2.3.2堵:信息传播途径的管理“堵”针对的是信息传递的途径管理,研究分析信息传输的各个途径,禁止非法信息的访问及传递。“堵”的工作在信息安全管理中是一个长期的工作,并且会随着技术水平的进步,信息传播的途径也会越来越多,传播的方法也会不断的更新。“堵”的方法主要是由技术人员在信息的安全管理和计算机系统以及通信管理等方面进行。人员的安全管理是“堵”的核心内容,电力企业的信息资料都是由人来控制与管理的。对于人的管理也就是信息资料的管理,对于人的管理也是信息安全管理体系中最难的一部分。其中有这样一句话“在企业中信息安全最大的风险在于一些心怀不测的员工可能带来的风险”。即使这样我们依旧可以使用一些有效的措施,对供电企业核心人员的管理,进而提升信息安全管理的水平。物力安全管理也是信息安全管理的重要一部分,对于县级供电企业的机房等核心区域,要加强其管理力度,可以建立门禁系统,在此方面来减少信息安全的一些漏洞。网络安全和计算机系统如今是发展最快的内容。市面上已经有非常多的安全产品用来解决一些安全方面的问题。对于安全产品的选择应结合县级供电企业现有系统,选择的产品要能与现有系统相互兼容,有效的提高信息安全管理的水平。
2.3.3护:信息资源的保护信息安全的保护工作的根本目的是针对县级供电企业重要且价值巨大的信息资料进行保护,这样县级供电公司信息安全工作可以有效的提高工作效率。一个县级供电企业来说企业的投入的资源总是有限的,对于信息安全投入也是同样的道理,怎样才能在有限的投入为企业来取得最大的经济效益,才是最明智的选择。对于县级供电企业来讲重要的、价值巨大的信息资料的保护才是企业领导最应该关心的问题。核心信息资产的保护主要是通过核心流程梳理、容灾和备份、文档安全管理、数据保密、资产分级管理等一系列方法与手段对企业的核心信息进行管理保护。核心流程梳理:主要是由企业核心的业务流程,对其进行有效梳理,对于企业核心流程产生的信息进行分权与分级管理,这种管理是对企业核心信息在企业的整个生命周期进行管理。主要是由一些专业人员来主导进行的。容灾和备份:对一些重要的信息,应该定期的进行备份,这样可以在发生信息资源丢失或者损坏的情况下可以避免企业的损失。文档安全管理:主要是对于企业比较重要的纸质文档通过人工手段采取保护的手段,确保企业核心文档资料的保密性。可以借助于文档安全类的产品来实现。数据保密:数据的保密工作可以采用多种形式进行,以防止第三方盗取数据。县级供电企业的大多数信息是存放在应用系统和数据库中,对于数据库的安全保护线的尤为重要。可以采取数据加密,数据备份等形式加以保护。
3结束语
执行力、堵、护在县级供电企业的信息安全管理特别是在县级供电企业信息安全管理的起步阶段,会起到非常不错的指导效果。随着县级供电企业信息安全管理的不断完善,信息安安管理体系的建设可以这对企业所处不同的环境做进一步具体内容。信息安全管理水平的提高可以有效地提升县级供电企业的市场竞争力,提高企业的经济效益。
作者:马远李恒单位:国网河南省电力公司荥阳市供电公司
参考文献:
[1]王凯丽.加强县级供电企业信息安全建设和管理[J].科技与企业,2013(10):77~79.
[2]王卫平.企业信息安全管理研究[J].学术研究,2007(6):113~116.