企业信息安全重要性篇1
1企业管理中信息化安全的基本概述
所谓企业管理信息化指的是企业将计算机和互联网作为管理平台,在此基础上进行开发、生产等控制性的活动,旨在提升企业的运作效率和生产进度,从而提高企业内部的核心竞争力。虽然信息化在企业的管理上占有一定的优势,但是随着计算机病毒和互联网黑客的大肆盛行,在信息化大环境下的企业管理难免会出现一定的数据安全问题。信息化企业管理平台的安全与否直接关系到企业机密数据的安全问题。对于部分与外界互联网有链接的企业信息化管理平台,甚至可能会造成企业核心机密文件的丢失,从而给企业自身带来不可估量的损失。
2企业管理中信息化安全的重要方面
完善和健全企业管理的信息化平台是确保企业运行顺畅非常重要的一个关键性因素。相关企业信息化的管理层领导要切实从企业信息化的核心层面保障企业管理的信息化安全,这是非常重要和必要的。而在企业管理中信息化安全的重要方面主要分为三个方面。分别是运行管理小组、服务管理小组和用户管理小组。第一个是运行管理小组,所谓的运行管理小组,指得是要得以保证网络的顺畅运行,因此就要对企业网络上出现的以及即将出现的安全隐患要做到及时解决,从而保证企业网不间断的运行。面对十分严苛的企业信息化环境,运行小组要及时的对企业管理的网络平台进行监督和保护,并实时保证企业管理网络平台的运行顺畅,从而切实保障企业管理的顺利进行。第二个是服务管理小组,所谓的服务管理小组,指的是对企业管理网络平台服务层面上的管理,即对信息化服务中相关服务的运行、服务器硬件系统的运行以及安全事件进行统计分析。第三个是用户管理小组,负责企业管理网络平台的用户监控和管理,对网络平台上的用户行为进行合理的统计和分析,并对外来访客的身份进行识别和确认,从而进一步保证企业管理网络平台的信息化安全。企业管理网络平台作为企业信息化管理的基础性工具,是企业内部所建立的计算机互联网络。如果企业自身遍布世界各地,那么企业管理网络平台也会根据企业实际所在的地点形成不同的局域网。这些不同地区的局域网相互连接从而形成真正完整的企业管理网络平台。但这些连接也在无形之中给企业管理的信息化安全造成了一定的威胁。如果未经企业允许,私自接入企业网络的终端,便会对对企业网构成安全威胁。同时,网络平台的稳定性也会对企业数据的安全传输构成潜在威胁。
3企业管理中信息化安全的重要性
企业管理中信息化安全是企业网络安全稳定运行的重要基础,在企业管理的网络运行当中,无论是网络连接线路还是网络传输设备出现问题都会有备用的线路或者设备马上投入运行,从而确保企业管理核心数据的安全。再者,企业管理中的信息化安全能够对实时接入企业网络的用户进行实时的监督和控制,并且采用相关的网络技术手段防止不明身份访客的非法链接,对于未经允许进入的用户要能及时发现,并对其行为进行监测和控制,这也在一定程度上保证了企业管理中的信息化安全。总之,企业管理的信息化平台是企业的门户,因此要切实保证企业管理的信息化安全是十分重要和必要的。为此要做到以下几个方面:(1)对企业内部用户进行实时的监督和管理,对企业外网用户的进入行为进行实时监控和分析,一旦发现存有异常的非法违法行为要及时和制止和处理;(2)对病毒和非法内容要及时的进行过滤;(3)对异常的网络破坏行为,如黑客非法入侵、异常发送或接收相关数据等等,要及时进行相关的检测和控制。
4结束语
企业信息安全重要性篇2
一、企业网络信息安全的基本目标
企业网络信息安全技术的研究与开发最终目的是实现企业信息的保密性、完整性、可用性以及可控性。具体来讲市场化的发展背景,企业之间存在激烈的竞争,为增强市场竞争力,出现盗取商业机密与核心信息的不良网络现象。企业加强网络信息安全技术开发,一个重要的目的是防止企业关键信息的泄露或者被非授权用户盗取。其次,保障信息的完整性,是指防止企业信息在未经授权的情况下被偶然或恶意篡改的现象发生。再次,实现数据的可用性,具体是指当企业信息受到破坏或者攻击时,攻击者不能破坏全部资源,授权者在这种情况下仍然可以按照需求使用的特性。最后,确保企业网络信息的可控性,例如对企业信息的访问、传播以及内容具有控制的能力。
二、企业网络信息安全面临的主要威胁
根据相关调查显示,病毒入侵、蠕虫以及木马程序破坏是对企业网络信息安全造成威胁的主要原因。黑客攻击或者网络诈骗也是影响企业网络信息安全的重要因素。当然部分企业网络信息安全受到破坏是由于企业内部工作人员的操作失误造成。总之威胁企业网络信息安全的因素来自方方面面,无论是什么原因造成的企业网络信息安全的破坏,结果都会对企业的生产发展造成恶劣的影响,导致企业重大的损失。在信息化发展背景下,企业只有不断提高网络信息的安全性,才是实现企业持续发展的有力保证。
三、企业网络信息安全保护措施现状
当前企业在进行网络信息安全保护方面的意识逐渐增强,他们为确保企业网络信息安全时大都应用了杀毒软件来防止病毒的入侵。在对企业网络信息安全进行保护时,方式比较单一,技术比较落后。对于入侵检测系统以及硬件防护墙的认识不足,尚未在企业中普及。因此推进企业网络信息安全技术的开发,前提是提高企业对网络信息安全保护的意识,增强企业应用网络信息安全技术的能力,才能有效推动企业网络信息安全技术的开发。
四、促进企业网络信息安全技术开发的对策与建议
(一)定期实施重要信息的备份与恢复
加大对企业网络信息安全技术的研发投入,一个重要的体现是对企业网络信息的管理。企业对于重要的、机密的信息和数据应该定期进行备份或者是恢复工作。这是保障企业网络信息安全简单、基础的工作内容。当企业网络受到破坏甚至企业网络系统出现瘫痪,企业能够通过备份的信息保障生产工作的运行,把企业的损失降到最低。实现企业网络信息安全技术开发的实效性的基础工作是做好企业重要网络信息的定期备份与恢复工作。
(二)构建和实施虚拟专用网络(Vpn)技术
以隧道技术为核心的虚拟专用网络技术,是一项复杂的、专业的工程技术。该项技术对于保护企业网络信息安全具有重要意义,并且效果显著。它把企业专用的、重要的信息进行封装,然后采取一定的方法利用公共网络隧道传输企业专用网络中的信息,如此一来可以实现对企业网络信息的保护,避免出现对企业信息的窃取与恶意修改。当然提升虚拟专用网络的兼容性、简化应用程序是企业网络信息安全技术研发重要课题。
(三)完善高效的防火墙技术
在企业内部网与外联网之间设置一道保护企业网络信息安全的屏障,即设置防火墙。这一技术是目前最有效、最经济的保障企业网络信息安全的技术。但由于当前大多数的远程监控程序应用的是反向链接的方式,这就限制了防火墙作用的发挥。在进行企业网络信息安全技术开发过程中,应进一步优化防火墙的工作原理或者研发与之相匹配的远程监控程序,来实现防火墙对企业网络信息安全的保护。
(四)对关键信息和数据进行加密
增强企业对关键信息和数据的加密技术水平也是企业网络信息安全技术研发的主要方面。更新加密技术,是保障企业网络信息安全的重要环节。企业在对重要信息和数据进行加密时可以同时采取一些例如CD检测或者KeyFile等保护措施,来增强企业重要信息的保密效果。
五、结束语
企业信息安全重要性篇3
企业经营信息对于企业来说是一种资源,对于企业自身来说具有重要意义,企业需要妥善管理自身企业的信息。近年来,企业的各项经营活动都逐渐开始通过计算机,网络开展,因此,企业的信息安全管理对于企业越来越重要。许多企业开始通过各种技术手段以及制度改革,把更多的注意力放在企业内部的信息安全管理工作,同时将企业信息安全管理与风险控制结合起来,这是一个正确的选择,能够帮助企业实现稳定经营。在介绍企业信息安全管理以及风险控制前必须厘清企业信息安全管理的概念与企业风险控制定义,因此,本节将着重介绍企业信息安全管理的概念以及企业风险控制的定义。
企业的信息安全管理包含十分丰富的内容,简单来说是指企业通过各种手段来保护企业硬件和软件,保护网络存储中的各种数据不受偶然因素的破坏或者恶意的原因被攻击。对于信息安全的认定通过包括4个指标,即保证信息数据的完整,保证信息数据不被泄露,保证信息数据能够正常使用,保证信息数据能够控制管理。要想做好企业的信息安全管理,首先需要了解的是关于信息的传输方式。随着信息技术的不断普及,信息传递的方式越来越多,常见的信息传递方式主要有互联网传播,局域网传播,硬件传播等等。要想实现企业的信息安全管理,其中很重要的一项工作在于保护信源、信号以及信息。信息安全管理是一项需要综合学科知识基础的工作,从事企业信息安全管理工作的人员通过需要具有网络安全技术、计算机技术、密码技术、通信技术。从企业的信息安全管理来讲,最为关键的一项工作时保护企业内部经营信息数据的完整。经过近十年来的企业信息安全管理工作经验总结,企业信息安全不仅仅需要信息技术的支持,更需要通过建立完善的企业风险控制体系来帮助企业实现更好地保护企业信息安全的目标。
所以,怎样把企业信息安全管理与风险控制融合起来就是摆在企业经营管理者面前的一道难题。企业的信息安全风险控制必须通过企业建立完善的企业信息安全风险体系实现。企业的信息安全风险控制是指企业在企业信息安全遭遇威胁之前,提前对企业的信息进行风险预估,并采取一系列的有针对性的活动降低企业面临的信息安全风险,从而尽可能减少因为企业本身信息安全管理中存在漏洞给企业带来不必要的损失。常见的企业信息安全风险体系建立主要包含以下几个方面的内容。第一,建立企业信息安全风险管理制度,明确企业信息安全管理的责任分配机制,明确企业各个部门对各自信息安全所应承担的责任,并建立相应的问责机制。第二,设置规范的企业信息安全风险管理指标,对企业存在的可能威胁企业信息安全管理的漏洞予以风险定级,方便企业管理者对不同的信息安全管理漏洞采取有区别的对策。第三,企业要加强对信息安全管理人员的培训,提高企业信息安全管理工作人员的风险意识,让企业内部从事信息安全管理工作人员认识到自身工作的重要性,让企业内部从事信息安全管理工作人员了解到规范自身行为,正确履行职责的重要性。第四,将企业信息安全管理与风险控制有效融合,重视企业信息安全管理工作,通过风险控制对企业内部信息安全的管理方式进行正确评估,找出现行的企业内部信息安全管理手段中存在容易忽视的地方。
二、企业信息安全管理与风险控制存在的不足
1.企业信息安全管理工作人员素质不高
对于企业来说,企业信息安全管理工作是一项极为重要而隐秘的工作,因此,必须增强对企业信息安全管理工作人员的素质要求。但是根据调查统计,目前很多企业对信息安全工作的管理仅仅停留在对企业信息安全管理工作人员的技术要求上,对企业信息安全管理工作人员的道德素养,职业素养,风险意识并没有严格要求。此外,绝大多数企业并没有意识开展对企业信息安全管理工作的道德素质的教育培训,并没有通过建立相关管理制度以及问责机制对企业信息安全管理工作人员实行监督,这无疑给别有用心或者立场不坚定的企业信息安全管理工作人员留下了危害企业信息安全的可乘之机。
2.企业信息安全管理技术不过关
企业信息安全管理工作涉及多许多技术,包括信息技术,计算机技术,密码技术,网络应用技术等等,应当说成熟的计算机应用技术是做好企业信息安全管理的基础,但是,现实是许多企业的信息安全管理技术并不过关,一方面企业的信息安全管理硬件并不过关,在物理层面对企业信息缺乏保护,另一方面,企业信息安全管理工作的专业技术没有及时更新,一些企业信息安全管理工作人员缺乏企业信息安全管理的实践经验,企业信息安全管理的知识也并没有及时更新,从而导致企业的信息安全管理理论严重滞后,这种技术的落后很容易让企业成为不法分子的攻击对象。近年来网络病毒的传播越来越猖狂,很多服务器、系统提示安全补丁的下载更新以及客户端的时常更新成为一个恼人的问题。作为一个行业中的大中型企业,企业内部设备数量比较多,尤其是客户端数量占了较大比重,仅仅靠少数几个管理员进行管理是难以承担如此大量的工作量。另外,企业信息安全管理系统不成熟也是一个重大的隐患。
3.企业信息安全管理制度不健全
企业信息安全管理制度不仅仅需要理论制度的完善,更加需要一系列配套监督机制保障企业信息安全管理的有效执行。通过调查分析,许多企业虽然建立了企业信息安全管理制度,但是通常情况下,这些制度只能流于形式,企业信息安全管理工作缺少有效的制约和监督,企业信息安全管理工作人员缺乏执行力。企业信息安全管理制度不健全,企业信息安全管理工作缺乏执行力常常体现在以下几个方面。第一,企业员工对于信息安全管理的认识严重不足,对企业信息安全管理工作不重视。企业内部计算机系统安全的计算机防病毒软件并没有及时更新,使用,甚至企业内部计算机的防病毒软件还被企业员工卸载了。部分企业员工认为自己的工作与企业信息安全管理不相关,认为做好企业信息安全管理工作仅仅是企业信息安全部门的事。第二,企业内部信息安全管理制度并没有形成联动机制,企业信息安全管理工作仅仅由企业信息安全部门“一人包干”,企业信息安全反映的问题并没有得到积极的反馈,一些企业领导对企业信息安全现状所了解的少之又少。
三、企业信息安全管理常见的技术手段
1.oSi安全体系结构
oSi概念化的安全体系结构是一个多层次的结构,它的设计初衷是面向客户的,提供给客户各种安全应用,安全应用必须依靠安全服务来实现,而安全服务又是由各种安全机制来保障的。所以,安全服务标志着一个安全系统的抗风险的能力,安全服务数量越多,系统就越安全。
2.p2DR模型
p2DR模型包含四个部分:响应、安全策略、检测、防护。安全策略是信息安全的重点,为安全管理提供管理途径和保障手段。因此,要想实施动态网络安全循环过程,必须制定一个企业的安全模式。在安全策略的指导下实施所有的检测、防护、响应,防护通常是通过采用一些传统的静态安全技术或者方法来突破的,比如有防火墙、访问控制、加密、认证等方法,检测是动态响应的判断依据,同时也是有力落实安全策略的实施工具,通过监视来自网络的入侵行为,可以检测出骚扰行为或错误程序导致的网络不安全因素;经过不断地监测网络和系统来发现新的隐患和弱点。在安全系统中,应急响应占有重要的地位,它是解决危险潜在性的最有效的办法。
3.Htp模型
Htp最为强调企业信息安全管理工作人员在整个系统中的价值。企业信息安全工作人员企业信息安全最为关键的参与者,企业信息安全工作人员直接主导企业信息安全管理工作,企业信息安全工作人员不仅仅是企业信息安全的保障者,也是企业信息安全管理的威胁者。因此,Htp模型最为强调对企业信息安全管理工作人员的管理与监督。另外,Htp模式同样是建立在企业信心安全体系,信息安全技术防范的基础上,Htp模式采取了丰富的安全技术手段确保企业的信息安全。最后,Htp强调动态管理,动态监督,对于企业信息安全管理工作始终保持高强度的监督与管理,在实际工作中,通过Htp模型的应用,找出Htp模型中的漏洞并不断完善。
四、完善企业信息安全管理与降低风险的建议
1.建设企业信息安全管理系统
(1)充分调查和分析企业的安全系统,建立一个全面合理的系统模型,安全系统被划分成各个子系统,明确实施步骤和功能摸块,将企业常规管理工作和安全管理联动协议相融合,实现信息安全监控的有效性和高效性。
(2)成立一个中央数据库,整合分布式数据库里的数据,把企业的所有数据上传到中央数据库,实现企业数据信息的集中管理与有效运用。
(3)设计优良的人机界面,通过对企业数据信息进行有效的运用,为企业管理阶层人员、各级领导及时提供各种信息,为企业领导的正确决策提供数据支持,根本上提高信息数据的管理水平。
(4)简化企业内部的信息传输通道,对应用程序和数据库进行程序化设计,加强对提高企业内部信息处理的规范性和准确性。
2.设计企业信息安全管理风险体系
(1)确定信息安全风险评估的目标
在企业信息安全管理风险体系的设计过程中,首要工作是设计企业信息安全风险评估的目标,只有明确了企业信息安全管理的目标,明确了企业信息安全管理的要求和工作能容,才能建立相关围绕信息安全风险控制为目标的信息安全管理工作制度,才能顺利通过对风险控制的结果的定量考核,检测企业信息安全管理的风险,定性定量地企业信息安全管理工作进行分析,找准企业信息安全管理的工作办法。
(2)确定信息安全风险评估的范围
不同企业对于风险的承受能力是有区别的,因此,对于不同的企业的特殊性应该采取不同的风险控制办法,其中,不同企业对于能够承受的信息安全风范围有所不同,企业的信息安全风险承受范围需要根据企业的实际能力来制定。不仅如此,企业的信息安全风险评估范围也应当根据企业的实际经营情况变化采取有针对性的办法。
企业信息安全重要性篇4
关键词:烟草行业;信息安全;数据备份
在烟草行业运营与生产管理活动中,信息化工具发挥着较为重要的作用,已初步搭建了较为完善的网络架构与内部信息系统环境,成为烟草行业提升核心竞争力的重要基础。与此同时,信息安全问题也日益突出,已成为导致烟草行业数据丢失等的关键因素。因而,深入分析烟草行业信息安全风险与防控策略至关重要。
1烟草行业信息安全风险
烟草行业在信息化建设中,主要具有如下几个方面的信息安全问题。
1.1缺乏信息安全整体规划
整体而言,相比于西方等经济发达国家,国内信息安全技术发展相对滞后于网络技术,这必然会造成烟草行业在应用新型网络技术产品时,信息安全技术显得稍落后,难以保障烟草行业的信息安全。比如,部分烟草企业可能会选择使用pS防御系统,但是在综合权衡经济预算、信息安全实际应用需求等后,最终并没有决定使用性能最佳的信息安全产品,最终导致硬件难以满足信息安全风险防控的要求,这些均与烟草企业未制订积极有效的信息安全整体规划有较为紧密的关系。
1.2面临外部信息安全威胁攻击
在烟草企业经营管理活动中,为了便于管理员工高效工作,允许企业员工在外网通过Vpn的方式访问烟草企业内部的信息系统。另外,在烟草企业内部网络应用过程中会有信息设备供应商以及其他信息系统服务商等第三方的介入,这也会导致烟草企业在网络应用中会频繁进行内外网连接,这给木马、黑客等攻击烟草企业网络架构以可乘之机。当烟草企业网络遭受攻击后,很有可能会导致烟草行业信息系统无法正常应用,致使烟草企业面临来自外部的信息安全风险。
1.3内部信息安全控制不力
信息技术在持续发展,可供烟草企业选择的信息设备以及信息系统也越来越多,大多数烟草企业已搭建起相对较为完整的基础网络架构以及应用系统服务群,包括生产销售管理平台、oa办公平台、综合服务管理平台等,这对于烟草企业正常的经营管理以及决策管理起到关键的作用,大大提升了烟草企业的办公效率。然而,烟草企业在利用信息技术获得便利的同时,也面临着来自内部信息安全控制不力的风险,包括不良网络信息冲击员工正确价值观,以及烟草企业内部员工较大的流动性给信息安全风险防控所带来的负面影响。
1.4员工信息安全意识薄弱
较强的员工信息安全意识,是提升烟草行业信息安全等级的重要渠道。在信息技术应用持续深化的情况下,传统的管理人员已难以满足信息时代下企业发展的需求。另外,当前部分烟草企业信息安全管理团队不完善,以及管理人员自身的信息安全意识较为薄弱,领导对信息安全管理工作不重视,或者员工存在侥幸心理,都会致使烟草企业产生不同程度的信息安全事故。
2烟草行业信息安全防控策略
针对当前烟草企业所面临的信息安全风险,建议从如下几个方面制定防范策略。
2.1科学高效地开展信息安全规划
科学、合理地规划烟草企业信息安全架构,是烟草企业防范信息安全风险的重要基础。首先,应根据信息安全的未来发展方向制订烟草企业的信息安全发展规划,以确保烟草企业所采取的防范措施符合整体发展方向,避免走错方向、浪费资金投入。其次,应紧密结合烟草企业的信息化建设现状与存在的问题规划信息安全发展方向。烟草企业的不同发展规划,对信息安全的管理需求有所不同,这就要求烟草企业紧密结合自身的信息安全发展需求,制定更具针对性的信息安全风险防控策略,以更高效地规避内部隐患、外部攻击。
2.2完善加密手段,构建加密渠道
在制订了科学合理的信息安全防范规划后,就应采取加密信息的手段,构建更为合理的加密渠道。比如,烟草企业在信息化建设中应要求信息技术人员研发信息加密的多样化手段,构建更为丰富的加密渠道,从而提升烟草信息平台的安全性。同时,还应加强烟草企业内部应用系统以及数据库的备份工作。再如,在实际管理中,烟草企业可以要求信息技术人员通过访问控制、数字签名、身份认证多种方式,以达到烟草企业防范信息安全风险的要求,还可以要求各个信息系统使用方妥善保管各个信息系统的登录密码,不允许使用复杂度过低的密码,应根据信息安全规范要求制定密码复杂度规则,以提升信息系统访问安全性。同时,还应定期提醒或要求用户更改密码,以达到安全管控的目的。
2.3做好企业内部数据备份与恢复工作
内部数据丢失风险,是当前烟草企业信息安全风险之一。积极做好企业内部数据备份与恢复工作,是规避数据丢失风险的重要方式之一。首先,应做好内部数据备份工作。比如,积极搭建异地数据灾备中心,选择一个相对安全的地方进行数据备份。选择性能更为强大、安全等级更高的备份系统,以更高效地执行数据备份,并且不影响其他应用系统的正常使用。其次,定期执行数据模拟恢复操作。部分烟草企业认为,只要定期完成内部数据备份工作便可确保烟草企业数据安全,忽视了备份数据的有效性。而积极开展模拟恢复操作,是确保所备份数据有效性的重要方法。因而,烟草企业应定期开展积极有效的模拟恢复操作,以确保所备份的数据是可用的,切实保护烟草企业的信息安全。
2.4重视培训提升员工信息安全意识
员工较高的信息安全意识,是烟草企业防范各种信息安全风险的重要保障。首先,应重视员工信息安全意识培训工作。烟草企业信息主管部门,在实际信息管理活动中,应定期或者不定期组织员工参与安全培训,或者通过微课的方式向员工们宣传信息安全知识。其次,应重视网络使用规范或者应用系统应用规范,以在规范员工信息行为的同时提升所有员工的信息安全意识,从而更为有效地规避信息安全风险。对于员工使用基础网络或系统过程中所存在的信息安全隐患,信息主管部门应针对这些案例进行整理,形成宣传文案,以提高所有员工的警惕性。
3结语
烟草业在信息建设中将面临着各种信息安全隐患,这要求信息建设管理人员从制订信息安全建设规划、完善加密手段、做好内部数据备份工作以及提升员工安全意识等方面入手,切实提升信息安全等级,保护信息建设成果。
作者:毛纪辉单位:辽宁省烟草公司丹东市公司
参考文献
[1]刘轲.论烟草行业信息安全风险及防控[J].重庆与世界:学术版,2014(11):97-100.
企业信息安全重要性篇5
【关键词】企业信息化建设;信息安全问题;防范措施
当今是信息爆炸时代,信息化时代的到来给企业带来了更为广阔的发展空间。企业通过互联网渠道搜集海量信息,为企业产品推广和联系客户提供了平台。当前,尤其是伴随着“两化融合”的推进,许多的企业都意识到加强信息化建设对自身发展的重要性,加大了对信息化建设的资金、人力投入,以促进企业走向信息化发展道路。但伴随着企业信息化建设过程中也出现了一些信息安全问题,例如:不法分子采取技术手段窃取企业重要信息进行不正当交易。企业重要信息一旦泄露,很可能会给企业带来严重的经济损失,严重者可能会造成企业倒闭。因此,作为企业而言在加快信息化建设的同时绝对不能忽视信息安全问题。深入性地分析信息安全问题产生的原因,积极采取有效措施,减少或者避免信息安全问题的发生。
1企业信息安全问题分析
就当前企业信息化建设中存在安全问题的原因来讲,只要主要有内因和外因两种。具体分析如下:
1.1内部原因
1.1.1企业信息系统安全意识薄弱
当前,多数企业都意识到信息化建设对自身发展的重要性,加大了信息化建设的投入力度。但因缺乏实践指导,管理层信息化意识缺乏,发展盲目,对信息安全问题往往忽视,使得信息化系统运行过程中出现不同程度的安全问题。
1.1.2信息安全软件技术不高
当前国内的信息安全软件技术虽然发展较快,但同国外发达国家的信息安全软件技术水平相比,差距仍旧比较大。并且信息安全软件是“盾”,黑客病毒是“矛”,防范措施总是很难赶上病毒以及黑客的发展。
1.1.3管理缺乏规范
部分企业由于没有从思想上认识到信息安全问题的危害性,重投入,轻管理,空有信息系统却管理混乱,没有建立有效的安全问题防范机制,这就给恶意人员侵入企业信息系统提供了机会,造成企业的重要信息被窃取或丢失。
1.1.4专业技术人员缺乏
一般而言,企业信息安全系统的维护和升级都要有专业的技术人员操作。但由于企业的高层对于信息化的认识程度、企业的发展程度差异,导致部分企业没有配置专门的管理技术人员,设备与系统缺乏专业的维护管理。
1.1.5信息安全问题的相关法律不够健全
针对当前国内危及企业信息安全的违法犯罪行为,我国还没有相关的法律法规体系,导致这种类型犯罪较难管理,企业因信息被窃取而造成的经济损失,也很难获得合理赔偿。
1.2外部原因
现阶段,企业信息系统受到的威胁主要来源于外部。随着现代信息技术的高速发展,信息逐渐在市场中突显出其重要作用。一些不法分子看准信息对企业发展重要性的这一点采用不同手段来窃取企业的一些重要信息来谋取利益。此外,还有一些企业为了能够在市场中取得竞争优势,也会采取一些不法手段来获取其他竞争对手的信息,借以打压竞争对手。
2企业信息化建设中安全问题的应对措施
2.1企业应提高信息安全问题防范意识
企业应提高信息安全问题防范意识,将信息安全问题防范工作上升到企业战略层面,将其放在企业信息化建设工作的重要位置,立足长远,合理规划,重视信息化建设中信息安全问题的防范,加强对信息安全问题的研究,积极采取有效措施防范可能会发生的信息安全问题,建立长效机制。
2.2正确选择信息安全防护软件
目前,企业在信息化建设中对于信息安全问题往往会采用信息安全防护软件方式来防范安全问题。但有些企业在选择信息安全防护软件时没有注重信息安全防护软件的质量,有时候选择一些防护性能弱,价格低廉的软件。使得信息安全防护软件起不到防护功能。即浪费了企业资金,由起不到应有的效果。
2.3加强企业信息系统管理
我们知道,不管是任何安全防护硬件或者软件都不是完美的,都存在一定的漏洞,都有可能遭到破坏和攻击,使其失去防护功能。所以,其只是辅助措施,对于信息安全防护工作不能完全依赖技术手段,以为只要采购好软硬设备旧高枕无忧了,而是要在拥有技术手段的同时,加强日常管理,建立长效管理机制。通过健全的信息安全管理制度,并且管理人员切实贯彻落实才能防患于未然。建立信息安全风险评估体制。基于企业的信息系统不是在同一时间和同一技术支持下所建立的,所以在信息系统运行管理中各个系统可能存在的运行安全隐患是不同的。这就需要企业根据系统的不同找出各自的不安全因素和漏洞。建立完善的信息安全风险评估体制,通过量化分析,制定切实可行的信息系统运行风险防范措施。加强网络管理。企业的信息系统遭到破坏,信息泄露都是企业外的一些不法分子通过网络来窃取的。因此,企业内部应建立完善的网络管理专业人才队伍,加强对网络安全管理,给企业信息系统的运行提供安全可靠环境。
3结语
总之,加强信息化建设已经成为当前企业必须要重视的课题。在企业信息化建设快速发展的同时,信息系统安全问题也越来越突出,给企业信息系统的可靠性运行造成了不同程度的影响,所以,企业应重视信息系统安全问题的分析和研究,采取有效的信息安全防范对策,确保企业信息系统的安全、稳定、可靠运行。
参考文献
企业信息安全重要性篇6
随着我国通信业和信息化的发展,通信网络作为传递信息的一种重要载体为大家所熟知。在全球信息化进程中,通信网络的普及和演进也潜移默化地改变着企业的信息沟通方式。因此,通信网络在企业发展中起到至关重要的作用,而电力企业作为我国经济发展的领跑者,通信网络技术的发展也势在必行。但是,电力企业在发展的过程中也面临着巨大的潜在危险—企业信息安全问题。通信网络安全是指最大限度地减少数据和资源被攻击的可能性。对于电力企业来说,这些数据和资源是企业的命脉,通信网络一旦发生中断、瘫痪或拥塞,或者数据信息丢失、泄露或被非法篡改,将对企业和社会的经济生活造成严重影响。因此,通信网络的信息安全是电力企业发展的重中之重,如何做到通信网络与信息安全有效的结合、共同发展是我们需要考虑的问题。
二、通信网络与信息安全息息相关
电力企业信息安全与通信网路的安全息息相关,也是国家信息安全的重要组成部分。在电力工业信息化进程中,通信网络承担着三种角色:
1.信息通信网络公共平台提供者,对不同性质的计算机应用系统可以提供不同的网络服务质量和优先等级。
2.与业务管理有关的计算机应用系统的建设、管理和使用者,其中的计算机应用系统包括通信监控与网管系统、网络规划与企业管理系统和客户服务系统等。
3.与通信技术相关的信息资源的开发、维护和使用者。
因此,通信网络承载着电力企业生产、运行、管理、经营业务系统,内联着电力调度数据网络,对外与internet连接,它的安全是电力企业信息安全的第一道技术防线,电力企业信息安全直接关系着电力企业的运行与管理,也直接或间接地影响着电力生产控制系统的安全。电网企业应全面开展绿色通信网络安全防护体系建设,统筹部署等级保护、风险评估和灾难备份工作;着力提升通信网络安全保障水平和应对突发事件的能力;要通过通信网络与信息安全管理能力的增强,更好地为电网企业的发展提供有力的技术支撑,为促进社会和谐与稳定做出积极的贡献。
三、新形势下的绿色电力通信网络
目前,大部分企业部门间依靠普通的网络来完成信息传输,虽然也具有一定的防护措施和技术,但还是容易被窃取信息。这是由以下三个方面原因共同决定的:
1.计算机系统及网络固有的开放性、共享性等特点;
2.通信系统大量使用商用软件,其源代码、源程序完全或部分公开化,使企业存在安全问题;
3.计算机病毒的层出不穷及其大范围的恶意传播。
这三方面原因都对当今企业和社会网络通信安全产生不可估量的威胁。由于当今通信网络功能越来越强大,我们采取何种有效措施,最大限度地化解这种潜在危险,把网络风险降到最低限度是电力企业需要面对的重大问题。
在电力企业发展的新形势下,构建绿色通信网络成为解决电力企业信息安全的重要手段。绿色通信网络构建主要包括,一方面要建立健全企业的安全机制,强化安全管理;另一方面,技术创新也是当务之急。
在技术层方面,首先是建立一个层次化的安全管控体系。为了从技术上提高通信网络的安全性,电力企业应整合现有资源,提高企业通信网络的预防水平、网络的修复能力和备份能力。具体内容包括:网络安全漏洞的自动发现与治愈、全网联动的事件监控和分析、网络安全配置的集中化和管控、安全态势的综合分析以及高效运作网络安全管理等方面。这是一个涉及体系架构设计、资源配置和局部解决方案在内的系统解决方案,需要建立相应的安全技术体系;其次是对电力企业的ip承载网进行安全的设计和优化,然后通过安全管理中心的建设来完善绿色通信网络的安全能力。
在管理层方面,针对计算机系统及网络固有的开放性、易损性等特点,我们应加强网络管理人员的安全观念和技术水平,将固有条件下存在的安全隐患降到最低。在通信网络管理和使用中,要大力加强管理人员的安全保密意识。在管理层面上主要包括安全组织的建设和人员的保障,各种安全策略制度和流程的配套建设,以及完善安全评估、应急响应等安全保障机制。其中在应急响应方面,需要建立健全信息安全应急处理的协调机制,进一步完善各类突发事件的应急预案,健全应急指挥体系,落实应急队伍和保障条件。尤其是高度重视基础信息网络,包括电信网络和重要信息系统的应急处理工作和备份建设,充分做到了事件有预案、处置有流程、应急有措施,最大限度地化解信息安全风险。
四、绿色通信网络规划助力电力企业信息化安全
规划绿色通信网络是电力企业通信建设的基础和安全保障,具有十分重要的作用。绿色电力通信网络的规划除了要遵从电力系统的有关规定之外,还必须遵循通信专业规划的技术方法。因此,绿色通信网络应该包括传送网络层和业务网络层等,而电力企业中绿色通信网络的规划和构建大致包括以下三个步骤:
第一步:业务网络规划。业务网络规划主要是对提供不同信息服务的,包括数据网、计算机网和移动通信网等类型丰富的网络进行规划,它与具体的业务有关。在电力企业中,业务网络规划尤为重要,而如何构建绿色移动通信网络也是企业发展的重中之重。电力企业在原有业务系统的基础上,构建网络安全体系,通过宣传和培训等手段,对网络管理人员进行安全操作和管理知识的培训,提高各业务系统的安全意识,使各业务系统能够正常稳定的运行。
第二步:传送网络规划。传送网络规划是为业务网络提供支撑的涵盖交换机、服务器、数据传输的无线和移动网络等进行规划。在“十二五”规划中强调了电力企业信息系统的安全管理和网络安全传输问题,其中电力企业信息系统的网络安全更是被提上日程,如何更好的规范和规划传输网络层是我们研究的重点问题之一。按照信息系统网络数据传输过程中安全性和保密性的要求,完善监控设施做到实时监控,并确保管理人员不将保密文件传到外网,不能利用内网机器上外网进行查资料等操作,确保信息系统在数据传输过程中的安全性。
第三步:基础设施规划。基础设施规划主要是对信息系统中计算机、服务器等硬件基础设施进行规划管理,而这部分是保障信息系统正常运行的基础。在电力企业中,服务器的承载量是相当大的,在信息传输的过程中数据的提取和录入也是呈倍增长的,只有实时监控路由器的异常情况,定期更新路由器设备,完善基础设施,才能保证整个系统和网络的稳定性。
绿色通信网络规划中还需要考虑网络综合化与安全防护、灾难预防等问题,在满足通信网络规划中多需求的前提下,采取灾难预防措施,做好企业信息安全防护,保障电力企业绿色通信网络的顺利构建,实现绿色电网企业的发展要求。
企业信息安全重要性篇7
论文摘要:随着我国信息技术的不断发展,对中小企业电子信息安全的保护问题也成为人们关注的焦点。本文以电子信息安全为主体,介绍中小企业信息化建设,对电子信息安全技术进行概述,提出主要的安全要素,找出解决中小企业中电子信息安全问题的策略。
在企业的管理信息系统中有众多的企业文件在流转,其中肯定有重要性文件,有的甚至涉及到企业的发展前途,如果这些信息在通用过网络传送时被竞争对手或不法分子窃听、泄密、篡改或伪造,将会严重威胁企业的发展,所以,中小企业电子信息安全技术的研究具有重要意义。
一、中小企业的信息化建设意义
在这个网络信息时代,企业的信息化进程不断发展,信息成了企业成败的关键,也是管理水平提高的重要途径。如今企业的商务活动,基本上都采用电子商务的形式进行,企业的生产运作、运输和销售各个方面都运用到了信息化技术。如通过网络收集一些关于原材料的质量,价格,出产地等信息来建立一个原材料信息系统,这个信息系统对原材料的采购有很大的作用。通过对数据的分析,可以得到跟多的采购建议和对策,实现企业电子信息化水准。有关调查显示,百分之八十二的中小企业对网站的应还处于宣传企业形象,产品和服务信息,收集客户资料这一阶段,而电子商务这样关系到交易的应用还不到四分之一,这说明企业还未充分开发和利用商业渠道信息。中小企业信息化时代已经到来,企业应该加快信息化的建设。
二、电子信息安全技术阐述
1、电子信息中的加密技术
加密技术能够使数据的传送更为安全和完整,加密技术分为对称和非对称加密两种。其中对称加密通常通过序列密码或者分组机密来实现,包括明文、密钥、加密算法以及解密算法等五个基本组成成分。非对称加密与对称加密有所不同,非对称加密需要公开密钥和私有密钥两个密钥,公开密钥和私有密钥必须配对使用,用公开密钥进行的加密,只有其对应的私有密匙才能解密。用私有密钥进行的加密,也只有用其相应的公开密钥才能解密。
加密技术对传送的电子信息能够起到保密的作用。在发送电子信息时,发送人用加密密钥或算法对所发的信息加密后将其发出,如果在传输过程中有人窃取信息,他只能得到密文,密文是无法理解的。接受着可以利用解密密钥将密文解密,恢复成明文。
2、防火墙技术
随着网络技术的发展,一些邮件炸弹,病毒木马和网上黑客等对网络的安全也造成了很大的威胁。企业的信息化使其网络也遭到同样的威胁,企业电子信息的安全也难以得到保证。针对网络不安全这种状况,最初采取的一种保护措施就是防火墙。在我们的个人电脑中防火墙也起到了很大的作用,它可以阻止非黑客的入侵,电脑信息的篡改等。
3、认证技术
消息认证和身份认证是认证技术的两种形式,消息认证主要用于确保信息的完整性和抗否认性,用户通过消息认证来确认信息的真假和是否被第三方修改或伪造。身份认证使用与鉴别用户的身份的,包括识别和验证两个步骤。明确和区分访问者身份是识别,确认访问者身份叫验证。用户在访问一些非公开的资源时必须通过身份认证。比如访问高校的查分系统时,必须要经过学号和密码的验证才能访问。高校图书馆的一些资源要校园网才能进行访问,非校园网的不能进入,除非付费申请一个合格的访问身份。
三、中小企业中电子信息的主要安全要素
1、信息的机密性
在今天这个网络时代,信息的机密性工作似乎变得不那么容易了,但信息直接代表着企业的商业机密,如何保护企业信息不被窃取,篡改,滥用以及破坏,如何利用互联网进行信息传递又能确保信息安全性已成为各中小企业必须解决的重要问题。
2、信息的有效性
随着电子信息技术的发展,各中小企业都利用电子形式进行信息传递,信息的有效性直接关系的企业的经济利益,也是个企业贸易顺利进行的前提条件。所以要排除各种网络故障、硬件故障,对这些网络故障带来的潜在威胁加以控制和预防,从而确保传递信息的有效性。
3、信息的完整性
企业交易各方的经营策略严重受到交易方的信息的完整性影响,所以保持交易各方的信息的完整性是非常重要对交易各方都是非常重要的。在对信息的处理过程中要预防对信息的随意生成、修改,在传送过程中要防止信息的丢失,保持信息的完整性是企业之间进行交易的基础。
四、解决中小企业中电子信息安全问题的策略
1、构建中小企业电子信息安全管理体制
解决信息安全问题除了使用安全技术以外,还应该建立一套完善的电子信息安全管理制度,以确保信息安全管理的顺利进行。在一般中小企业中,最初建立的相关信息管理制度在很大程度上制约着一个信息系统的安全。如果安全管理制度出了问题,那么围绕着这一制度来选择和使用安全管理技术及手段将无法正常进行,信息的安全性就得不到保证。完善,严格的电子信息安全管理制度对信息系统的安全影响很大。在企业信息系统中,如果没有严格完善的信息安全管理制度,电子信息安全技术和相关的安全工具是不可能发挥应有的作用的。
2、利用企业的网络条件来提供信息安全服务
很多企业的多个二级单位都在系统内通过广域网被联通,局域网在各单位都全部建成,企业应该利用这种良好的网络条件来为企业提供良好的信息安全服务。通过企业这一网络平台技术标准,安全公告和安全法规,提供信息安全软件下载,安全设备选型,提供在线信息安全教育和培训,同时为企业员工提供一个交流经验的场所。
3、定期对安全防护软件系统进行评估、改进
随着企业的发展,企业的信息化应用和信息技术也不断发展,人们对信息安全问题的认识是随着技术的发展而不断提高的,在电子信息安全问题不断被发现的同时,解决信息安全问题的安全防护软件系统也应该不断的改进,定期对系统进行评估。
总之,各中小企业电子星系安全技术包含着技术和管理,以及制度等因素,随着信息技术的不断发展,不仅中小企业办公室逐渐趋向办公自动化,而且还确保了企业电子信息安全。
参考文献:
[1]温正卫;信息安全技术在电子政务系统中的应用[J];软件导刊,2010
[2]闫兵;企业信息安全概述及防范[J];科学咨讯,2010
企业信息安全重要性篇8
论文摘要:随着我国信息技术的不断发展,对中小企业电子信息安全的保护问题也成为人们关注的焦点。本文以电子信息安全为主体,介绍中小企业信息化建设,对电子信息安全技术进行概述,提出主要的安全要素,找出解决中小企业中电子信息安全问题的策略。
在企业的管理信息系统中有众多的企业文件在流转,其中肯定有重要性文件,有的甚至涉及到企业的发展前途,如果这些信息在通用过网络传送时被竞争对手或不法分子窃听、泄密、篡改或伪造,将会严重威胁企业的发展,所以,中小企业电子信息安全技术的研究具有重要意义。
一、中小企业的信息化建设意义
在这个网络信息时代,企业的信息化进程不断发展,信息成了企业成败的关键,也是管理水平提高的重要途径。如今企业的商务活动,基本上都采用电子商务的形式进行,企业的生产运作、运输和销售各个方面都运用到了信息化技术。如通过网络收集一些关于原材料的质量,价格,出产地等信息来建立一个原材料信息系统,这个信息系统对原材料的采购有很大的作用。通过对数据的分析,可以得到跟多的采购建议和对策,实现企业电子信息化水准。有关调查显示,百分之八十二的中小企业对网站的应还处于宣传企业形象,产品和服务信息,收集客户资料这一阶段,而电子商务这样关系到交易的应用还不到四分之一,这说明企业还未充分开发和利用商业渠道信息。中小企业信息化时代已经到来,企业应该加快信息化的建设。
二、电子信息安全技术阐述
1、电子信息中的加密技术
加密技术能够使数据的传送更为安全和完整,加密技术分为对称和非对称加密两种。其中对称加密通常通过序列密码或者分组机密来实现,包括明文、密钥、加密算法以及解密算法等五个基本组成成分。非对称加密与对称加密有所不同,非对称加密需要公开密钥和私有密钥两个密钥,公开密钥和私有密钥必须配对使用,用公开密钥进行的加密,只有其对应的私有密匙才能解密。用私有密钥进行的加密,也只有用其相应的公开密钥才能解密。
加密技术对传送的电子信息能够起到保密的作用。在发送电子信息时,发送人用加密密钥或算法对所发的信息加密后将其发出,如果在传输过程中有人窃取信息,他只能得到密文,密文是无法理解的。接受着可以利用解密密钥将密文解密,恢复成明文。
2、防火墙技术
随着网络技术的发展,一些邮件炸弹,病毒木马和网上黑客等对网络的安全也造成了很大的威胁。企业的信息化使其网络也遭到同样的威胁,企业电子信息的安全也难以得到保证。针对网络不安全这种状况,最初采取的一种保护措施就是防火墙。在我们的个人电脑中防火墙也起到了很大的作用,它可以阻止非黑客的入侵,电脑信息的篡改等。
3、认证技术
消息认证和身份认证是认证技术的两种形式,消息认证主要用于确保信息的完整性和抗否认性,用户通过消息认证来确认信息的真假和是否被第三方修改或伪造。身份认证使用与鉴别用户的身份的,包括识别和验证两个步骤。明确和区分访问者身份是识别,确认访问者身份叫验证。用户在访问一些非公开的资源时必须通过身份认证。比如访问高校的查分系统时,必须要经过学号和密码的验证才能访问。高校图书馆的一些资源要校园网才能进行访问,非校园网的不能进入,除非付费申请一个合格的访问身份。
三、中小企业中电子信息的主要安全要素
1、信息的机密性
在今天这个网络时代,信息的机密性工作似乎变得不那么容易了,但信息直接代表着企业的商业机密,如何保护企业信息不被窃取,篡改,滥用以及破坏,如何利用互联网进行信息传递又能确保信息安全性已成为各中小企业必须解决的重要问题。
2、信息的有效性
随着电子信息技术的发展,各中小企业都利用电子形式进行信息传递,信息的有效性直接关系的企业的经济利益,也是个企业贸易顺利进行的前提条件。所以要排除各种网络故障、硬件故障,对这些网络故障带来的潜在威胁加以控制和预防,从而确保传递信息的有效性。
3、信息的完整性
企业交易各方的经营策略严重受到交易方的信息的完整性影响,所以保持交易各方的信息的完整性是非常重要对交易各方都是非常重要的。在对信息的处理过程中要预防对信息的随意生成、修改,在传送过程中要防止信息的丢失,保持信息的完整性是企业之间进行交易的基础。
四、解决中小企业中电子信息安全问题的策略
1、构建中小企业电子信息安全管理体制
解决信息安全问题除了使用安全技术以外,还应该建立一套完善的电子信息安全管理制度,以确保信息安全管理的顺利进行。在一般中小企业中,最初建立的相关信息管理制度在很大程度上制约着一个信息系统的安全。如果安全管理制度出了问题,那么围绕着这一制度来选择和使用安全管理技术及手段将无法正常进行,信息的安全性就得不到保证。完善,严格的电子信息安全管理制度对信息系统的安全影响很大。在企业信息系统中,如果没有严格完善的信息安全管理制度,电子信息安全技术和相关的安全工具是不可能发挥应有的作用的。
2、利用企业的网络条件来提供信息安全服务
很多企业的多个二级单位都在系统内通过广域网被联通,局域网在各单位都全部建成,企业应该利用这种良好的网络条件来为企业提供良好的信息安全服务。通过企业这一网络平台技术标准,安全公告和安全法规,提供信息安全软件下载,安全设备选型,提供在线信息安全教育和培训,同时为企业员工提供一个交流经验的场所。
3、定期对安全防护软件系统进行评估、改进
随着企业的发展,企业的信息化应用和信息技术也不断发展,人们对信息安全问题的认识是随着技术的发展而不断提高的,在电子信息安全问题不断被发现的同时,解决信息安全问题的安全防护软件系统也应该不断的改进,定期对系统进行评估。
总之,各中小企业电子星系安全技术包含着技术和管理,以及制度等因素,随着信息技术的不断发展,不仅中小企业办公室逐渐趋向办公自动化,而且还确保了企业电子信息安全。
参考文献:
[1]温正卫;信息安全技术在电子政务系统中的应用[J];软件导刊,2010
[2]闫兵;企业信息安全概述及防范[J];科学咨讯,2010
企业信息安全重要性篇9
【关键词】企业信息现状措施
随着信息技术和网络技术的快速发展,信息安全问题引起了社会各界的广泛关注,并且已经成为当今时代十分重要的研究话题。影响企业信息安全的因素诸多,除了网络本身的开放性之外,内部用户访问控制以及用户身份识别等系统还不够完善,会给企业信息安全带来巨大的威胁。信息安全技术主要就是控制数据,保障数据传输的安全性和可靠性。
1企业信息安全的意义
1.1信息安全是时展的需要
随着计算机网络的快速发展,不仅改变了人们生活和工作方式,也给企业的商务运行带来了全新的模式,改变了传统企业生产和管理模式,进一步推动了我国社会的发展。企业信息安全技术得到了进一步的重视和发展,并且逐渐的与国际先进水平接轨,为企业国际化发展提供了强有力的支持。
1.2信息安全是企业发展的需要
我国大部分企业积极的引用了信息技术和安全技术,信息技术和网络技术给企业带来了诸多优势,比如生产效率的提高、成本的降低以及业务拓展等优势。目前企业的信息和数据主要都是以电子文档的形式保存,对于企业来讲,信息安全技术是保障企业信息和数据不收侵害和威胁的基础保障之一,更是企业生存的保障,所以,必须要提高信息安全技术,避免网络和信息系统中可能存在的风险,逐步的建立信息安全保障体系,有利于企业的可持续性发展。
1.3信息安全是企业稳定的必要前提
信息安全是保障企业稳定发展的重要措施,必须要充分的认识到信息安全工作的重要性和长期性,无论是从企业的经济效益还是企业的稳定发展等角度来考虑,必须要做好信息安全工作,做好基础性工作,在建立信息安全保障体系的时候,必须要建设良好的网络环境,重视信息战略,保障企业的信息化能够健康发展。
2企业信息安全的现状
2.1企业缺少信息安全管理制度
企业信息安全功过还是一个比较崭新的领域,相关的法律法规还不够完善,并且信息安全技术和手段还没有成熟,进而导致相关规定和标准并不能贯彻执行,安全标准和规范也是比较缺少的,从而并没有制定科学、合理的信息安全管理制度。企业信息系统安全问题是一项非常科学的系统工程,所涉及的范围比较广,随着科学技术的快速发展,信息技术和网络技术不断的更新和升级,是不断发展的动态过程,所以,企业信息系统运行风险和安全必须要定期的进行调整和规划,才能够从根本上保障企业信息的安全性和可靠性。
2.2员工缺少安全管理的责任心
企业信息系统的安全性需要全体人员的参与,信息安全系统中最为重要的因素就是员工,其主要原因就是因为员工们才是企业信息系统的提供者和使用者,员工们能够直接影响到信息安全系统是否能够达到预期的要求。在诸多的信息安全问题中,最多的安全事件就是信息泄露时间。其主要泄露原因来源于内部员工,并不是外部黑客的攻击,给企业带来巨大经济损失的主要原因就是因为内部员工有意或者无意的泄露企业的相关信息,但是,目前我国还没有完善、成熟的系统预防内部员工泄密事件的发生,也是整个信息安全体系中的难点和弱点。
2.3信息系统缺乏信息安全技术
计算机信息安全技术的本质就是由密码应用技术、操作系统维护技术、信息安全技术以及数据库应用技术等各个学科组成的计算机综合应用学科。但是由于我国计算机技术还有待进一步完善,导致我国技术的发展还存在一定的局限性,在硬件和软件设计的过程中难免会存在着一些弊端,网络硬件和软件系统大多数都需要依靠进口,为企业信息安全带来了一定的隐患,随着科学技术的快速发展,黑客已经不在是传统的破坏底层系统,目前黑客主要是入侵应用,窃取相应的数据,带着非常显著的商业性质。随着网络技术的普及,针对应用的攻击越来越多,不仅需要从管理方面来保障企业信息的安全性,还必须要从技术方面给予强力的支持。
2.4病毒危害
计算机病毒主要就是指编制对计算机程序有破坏性的程序,进而影响计算机的使用并且能够通过自我不断的复制来代替计算机指令或者程序代码,其具有很强的破坏性。随着网络技术的快速发展,当今时代的计算机病毒已经泛滥成灾,根据相关统计,计算机病毒的种类已经高达4万多种,并且每年还在快速的增长,病毒随着计算机网络技术的发展而传播速度越来越快,破坏性也就越来越高,给计算机用户和企业的信息安全带来了巨大的安全隐患。
2.5“黑客”攻击
黑客主要就是指通过技术手段侵入到他人计算机系统的人,黑客破解或者破坏计算机以及网络系统,导致计算机用户信息数据的泄露。目前比较常见的黑客手段有后门程序、信息炸弹、网络监听以及密码破解等手段来侵入他人的计算机系统来窃取数据信息,随着网络技术和信息技术的快速发展,黑客攻击已经成为当今时代十分常见的安全问题。
3企业信息安全改进建议
3.1技术安全
3.1.1数字签名和加密技术
为了能够预防黑客的入侵,可以在传统的数字签名和加密技术的基础上不断的完善和创新,进而提高信息安全技术。比如数字签名技术,可以通过设定数字签名,用户在进行操作的时候能够打上自身独有的印记,其主要目的就是为了能够避免其他人擅自修改计算机数据,从而能够提高计算机的安全系数,预防黑客的攻击。在设定数字签名的时候,必须要重视数字证书的获取渠道,一般主要就是从以下三个渠道来获取数字证书,即软件自身所带的数字证书;商业认证授权机构获取;内部专门负责认证的安全管理机构处获取。
3.1.2入侵防护系统(ipS)
传统的防火墙主要功能就是拒绝明显可疑的网络流量,但是依然能够允许一些流量通过,所以,传统的防火墙防护功能并不到位,面对一些入侵攻击的时候依然无可奈何。大部分iDS系统都是被动的,然而ipS更加倾向于提供主动的防护功能,其主要目的就是预先拦截入侵活动和攻击性网络流量,避免给用户带来不必要的损失,相比于传统的防火墙具有更多的防护优势。ipS主要就是通过网络流量实现这个功能的,也就是指通过网络端口接收外部系统的流量来检测其内是否还有可疑的内容,然后在通过另外一个端口将其送到内容系统中,进而一旦发现可以的数据包就能够自动的清除掉,避免病毒的入侵,从根本上提高了信息的安全性和保密性。
3.1.3统一威胁管理(Utm)
根据美国权威企业对统一威胁管理做出了严格的定义,即由硬件、软件以及网络技术组成的具有专门用途的设备,其主要可以提供一项或者多项的安全功能。它能够将诸多安全特性集成到一个硬设备里,然后建立一个统一标准的平台。统一威胁管理的主要功能有网络防火墙、网络入侵检测以及网关防病毒功能。这些功能都是统一威胁管理本身所自带的功能。另外,统一威胁管理安全设备本身也具有诸多特性,比如安全管理、日志以及服务质量等特点,这些特性主要就是为安全功能服务的。
3.2录级安全控制
为了能够保障企业信息的安全,网络必须要允许控制用户对目录、文件以及设备的访问。用户在目录一级指定的权限对所有文件以及子目录都是有效的,还应该可以进一步对目录下的子目录和文件的权限进行指定。目前比较常见的访问权限有系统管理员权限、读权限、创建权限、删除权限以及存取控制权限等。网络系统管理人员应该为用户指定合适的访问权限,因为这些权限的作用非常大,主要控制了用户对服务器的访问。
3.3网络监测和锁定控制
网络管理人员必须要对网络进行实时的监控,服务器应该及时的记录用户对网络资源的访问,尤其是对非法网站访问的时候,服务器应该以各种方式加以报警,从而引起网络管理人员的注意。如果黑客试图侵入网络的时候,网络服务器必须要自动记录企图进入网络的次数,如果访问达到一定数值之后,帐户将会被自动锁定。
3.4提高企业员工的安全意识
无论哪个领域,主体都是人,信息安全方面的主体也是人员,通过人来维护企业的根本利益,所以在建立信息网络安全体系的时候必须要重视人的因素,做出相应的规范和绩效管理。企业员工信息安全意识普遍比较薄弱,企业必须要定期的开展相应的培训工作,从根本上提高企业员工整体的信息安全意识,并且要有专业的信息安全体系管理人才,才能够从根本上提高企业信息数据的安全性、可靠性。
随着信息时代和网络时代的来临,企业纷纷引进先进的信息技术和网络技术,并且成立自身的信息系统和网络系统来服务于企业运营管理和生产管理工作,信息技术和网络技术在我国得到了广泛的普及。但是,随之而来的信息安全问题日益凸显,为了能够保障企业信息数据的安全性和可靠性,必须要不断的提高信息安全防护技术,做好相应的预防工作,避免各种入侵、盗取信息数据的事件发生,才能够保障企业的可持续性发展。
参考文献
[1]袁浩,张金荣.inteRnet接入、网络安全[m].北京:电子工业出版社,2011.
[2]徐国芹.浅议如何建立企业信息安全体系架构[J].中国高新技术企业,2009(5).
[3]付沙,企业信息安全策略的研究与探讨[J].商场现代化,2007(26).
[4]姜桦、郭永利,企业信息安全策略研究[J].焦作大学学报,2009(1).
[5]徐新件,朱健华.关于企业网络信息安全管理问题研究[J].供电企业管理,2008(2).
企业信息安全重要性篇10
1、新时期油田企业信息化网络安全的相关策略
首先部署高安全性防护系统。对于高安全性防护系统的布置工作重点做好两个方面,一个是保证操作系统的安全使用,另一个是布置好安全防护软件,这两个方面是实现信息化网络安全和信息安全关键步骤。油田企业不同于其它企业主要是因为它对于网络建设资金上可以有保证,所以相对于其他企业而言对于信息化网络设备和信息化系统的性能也相对较高。要做好安全性防护系统的全面部署工作,还需要从以下几个方面入手,比如防病毒系统、防火墙、认证加密以及操作系统安全使用,笔者对此进行了分别的论述。第一是防病毒系统。在所有操作系统中除了微软的操作系统易被病毒感染,其他的操作系统都是较为安全的但是也不要忽视。油田企业用户网络节点多所以通过单机使用防病毒软件显然是不行的,为此需要进行防病毒系统的建立,这样才能保证做好油田企业的网络安全防范工作。现在已经有企业防病毒系统的出现,为了更好地对于计算机病毒,一般需要建立防病毒系统,除此以外还要通过其他手段来进行系统安全的维护工作;第二是防火墙。防火墙可以为企业计算机提供实质上的网络安全,它是现在信息安全产品之一。它一方面可以有效地抵制来自互联网的攻击,另一方面还可以辅助企业安全策略。硬件防火墙和软件防火墙虽然各有优势,但是相对而言,硬件防火墙功能表现单一,升级相对困难,而软件防火墙的使用自身安全性则会受限于操作系统。防火墙承担的作是多方面的,一方面可以禁止外部网络对于企业内部网络的访问,实施对企业的网络安全保护工作;另一方面可以对员工访问互联网有所限制。防火墙表现出来的优势是显而易见的,但是数据包要通过防火墙的过滤,降低了网络性还增加了在网延迟时间,所以要真正实现防火墙作用的重要发挥,还需要配合其他的安全产品;再次认证加密。认证加密是保证应用安全的有效手段,它主要是通过数字证书来实现的。数字证书是一个标志着通讯双方身份信息的数据数字证书。所以对于油田企业而言可以通过数字认证加密的方式来实现对油田企业办公自动化的保障,同时控制对敏感信息的访问,尤其是油田企业涉及到电子商务工作。有了认证加密这个重要的环节可以有效地对各交易方的身份以及后序工作中对交易信息的保密工作实施保护;最后对操作系统安全使用。对于油田企业信息化网络中网络安全的保证最为重要的一个工作环节就是保证油田企业操作系统的安全使用。对于油田企业操作系统的安全使用工作笔者认为不外乎以下几个方面,其一保证操作系统的安全使用实施用户密码管理有备无患;其二保证操作系统的安全使用进行系统漏洞检测增加二道保障;其三保证操作系统的安全使用要进行信息加密;其四保证操作系统的安全使用要进行用户安装工作实施。其次是对高可用性网络系统的构建,高可用性网络系统也是信息化网络安全维护的重要方法之一。高可用性网络系统的主要内容包括以下几个方面,一方面是关于信息化硬件,另一方面是关于信息化软件,除此之外还包括灾难恢复。信息化硬件涵盖的范围较为广泛,比如网络设备、机房设备以及服务器等等。高可用性对信息化硬件也提出了更高的要求,所以在对系统进行设计时要考虑到网络和设备的冗余备份,对于网络系统的关键设备也要给予高度的关注和重视;第二是关于信息化软件,信息化软件的主要内容包括应用程序、操作系统和数据库等等。对于操作系统类的信息化软件在选择时要选择安全性高以及性能好的操作系统。对于应用程序在进行选择时可以选择用商品化的软件或者选择与其他公司合作,在进行合作时一定要保证选用有丰富经验的知名公司;对于操作系统的选择,个人操作系统和服务器操作系统要有不同的选择,对于个人操作系统要windows2000及以上的版本,而对于服务器操作系统的选择则选用UniX系统;第三是关于灾难恢复,它主要指的是指当信息网络设备系统发生灾难时对数据和服务的恢复。完整的灾难恢复策略不但包括备份硬件、备份软件、备份制度,而且包括灾难恢复计划。对于油田企业而言最重要的并不是信息化系统和信息化设备,而是信息化系统和信息化设备中储存的重要数据和重要信息。油田企业中对于灾难恢复的保护工作主要还是企业内部的文件服务器和关键数据库。文件服务器主要指的是办公自动化所依赖的服务器,它主要存储企业中所需要的关键文档和重要信息;关键数据库一般指的是存储企业生产管理数据的基础数据库。综上所述,对于各个环节的备份工作对于油田企业数据的完整性有着重要的作用,所以一事实上要重视对灾难恢复策略工作的实施。最后建立安全保障体系。实现油田企业信息化网络安全工作建立安全保障体系也是非常重要和关键一步。安全保障体系的建立是一个系统的工作任务,它会涉及到很多方面,比如管理组织、管理制度、应急方案以及网络管理等等方面。笔者依次对这几个方面进行相关论述。第一是安全管理组织的建立。安全管理组织的建立是安全保障体系的重要组成部分。安全管理组织的主要成员构成包括以主管为领导、以安全操作员、网络管理员以及其他安全专家等等企业人员。这部分人员在安全管理组织中承担不同的任务,主管领导主要是来负责安全体系的建设和实施;安全操作员主要用来负责安全措施的具体实施;其他安全专家主要负责对重大安全问题的处理工作;网络管理员主要负责安全策略和组织技术实施;第二是安全管理制度的建立。把安全管理工作进行制度化确立,可以更加方便对于石油企业的管理实施工作。安全管理制度涉及到的几个方面主要包括信息化设备和信息化系统的使用、以及运行、管理和相关维护工作,这样工作以及相关安全策略方面的工作都可以最终以安全管理制度的形式最终确立下来,这样将有助于推动油田企业的安全管理工作实施;第三制定安全应急方案。油田企业中出现的安全问题是大小不一,对于不同程度的安全问题要有必要的应急方案。因为一旦发生较为严重的安全问题都会给油田企业的生产造成很大的影响,而这种影响造成的经济损失也是不可估量的。所以针对诸如系统设备故障可能产生的重大安全问题,油田企业相关人员要对这些特定的安全问题制定出应急预案;第四加强网络管理。网络安全也是信息管理工作的重要环节,对于信息化安全至关重要。油田企业要实施网络管理工作重点内容不外乎以下几个方面,比如网络操作系统安全策略的维护和检查、防火墙路由器的安全检查以及系统和数据的备份等等。网络管理的内容来源于网络实施中的各个细节,要做网络安全运行的工作这些细节都不能松懈。
2、结束语
油田企业的信息化建设固然重要,但是离开了信息化网络安全也就无法达到信息化建设的真正目的。所以对于油田企业具有复杂性和系统性的特点,作为油田企业网络安全维护工作者要做好对于信息化的安全防护,以达到信息化建设的真正目的。
作者:刘文冬单位:中国石油新疆油田公司数据公司乌鲁木齐分公司