企业信息化安全建设汇总十篇
企业信息化安全建设篇(1)
【关键词】企业信息化;信息安全问题;原因;对策
新时期下,信息化技术在各行业中运用日渐深入,给企业现代化建设与快速发展带来了无限动力。企业信息化建设已成为我国经济信息化建设能否成功的关键所在,也是提升企业自身市场竞争力与企业升级进步的重要保证和标志[1]。但是,企业信息化建设过程中不可避免的出现信息安全问题,给企业正常生产经营带来诸多不利影响。因此,加强企业信息化建设中信息安全管理,已成为现代企业经营管理的一个至关重要的工作。
1企业信息化概述
所谓的企业信息化,指的是实现企业的资金流、物流、作业流、信息流的数字化、网络化管理,实行企业运行的自动化和企业制度的现代化[2]。企业信息化建设涉及了企业生产经营中的各个部门,其主要利用现代化信息技术,通过完善企业内外网络信息系统,实现对企业内外知识与信息资源的开发。可见,建设企业信息化体系,不但可以及时有效的提供各种数据信息给企业决策层,也为企业未来规划设计提供参考依据,而且还有利于企业满足瞬息万变的市场需求,为企业市场核心竞争力的提升带来动力。
2当前企业信息化建设中信息安全问题
企业信息化建设与发展为企业持续、健康、稳定发展发挥了显著作用,但同时也存在着诸多信息安全问题,具体分析主要有以下几方面[3]:
(1)当前,绝大多数企业缺乏完善的安全防御系统,导致企业内部使用的信息系统易遭受外部网络系统的攻击,引发企业信息资料被他人截获、篡改与伪造等问题,甚至企业信息系统中出现通信线路、硬盘设施以及其他文件系统遭恶意破坏现象,上述问题的发生不但致使企业信息系统无法正常运行,而且其内部机密信息易发生泄漏,造成企业严重的社会经济损失。
(2)针对邮件系统攻击防不甚防。在企业信息系统中电子邮件具有重要的作用,通过电子邮件接收与传送,极大的方便了企业内部间与外部间信息交流与沟通。然而,电子邮件安全问题也日益突出,典型的如电子邮件病毒、垃圾邮件、机密信息泄露以及电子邮件炸弹等,给企业信息传输带来了巨大安全隐患。因此,电子邮件安全问题不可忽视。
(3)漏洞攻击日益严重。按照漏洞问题发生原因可分为软件漏洞和协议漏洞两种,其中软件漏洞主要是受外部不法分子攻击软件自身存在的漏洞,造成企业信息泄露等问题;而协议漏洞则主要是由于TCP/IP协议自身在安全机制方面存在的诸多漏洞问题导致,外部不法人员通过攻击TCP/IP协议漏洞,致使企业信息系统遭受破坏。目前情况,很多企业对自身信息系统缺乏成熟的漏洞检测手段和能力,往往事发后才采取补救措施。
(4)是Web服务安全问题突出,根据Web服务流程,其发生安全问题的主要组成包括Web服务端安全问题、浏览器客户端安全问题两种。其中,Web服务端安全问题主要是企业Web主机遭受外部不法分子侵入,导致企业保密信息遭窃或者企业部分信息遭受非法篡改等;浏览器客户端安全问题则是企业浏览器客户端遭外部非法分子侵入,致使部分机密信息与数据遭窃等。
3导致企业信息化建设中信息安全问题因素
企业信息化建设中信息安全问题发生受诸多因素影响,具体分析主要有以下几方面[4]:
(1)目前,绝大多数企业在信息化建设过程中,对于信息安全问题重视度严重不足。一方面,受传统经营观念影响,企业管理层偏重于对企业生产经营中的有形资产给予关注与重视,而忽略了企业知识与信息资料等无形资源,导致在企业信息安全管理方面各项投入严重不足,进而造成信息安全问题日益凸显;另一方面,多数企业在面对信息安全问题时,存在着盲目乐观现象,认为信息安全问题不至于导致企业正常生产经营,使得信息安全管理无法上升至企业发展规划战略之中,进而造成信息安全问题得不到及时有效解决。
(2)由于企业信息化建设在我国尚处于起步阶段,各方面配套管理制度不够完善,特别是缺乏健全的企业信息安全管理体制。受此影响,企业信息化建设中信息安全问题一方面无法得到有效的预防措施,另一方面是一旦发生信息安全问题,无法采取及时有效的补救与解决对策。同时,由于缺乏科学、合理、有效的企业信息安全防护策略,使得企业信息管理人员缺乏必要的安全防护意识与业务素质能力,致使企业信息安全防护软硬件工作质量与效率明显不足。上述两个因素,导致企业无论是从人员配置,还是资金与技术投入方面都严重不足,受企业信息管理人员业务素质能力不足、信息安全技术方法落后以及配套的资金缺乏等影响,企业信息安全防护的措施、手段偏低,造成企业信息化建设存在着严重安全隐患。
4提升企业信息化建设中信息安全对策
针对当前企业信息化建设中存在的信息安全问题,为加强企业信息安全管理,提升企业信息安全保障,可通过采取以下几方面对策,具体有[5]:
(1)转变传统企业信息化建设观念,在企业内部管理层从上至下加强对企业信息安全的重视,并树立正确的安全意识。一方面,通过组织各种信息安全管理培训等,增强全体企业员工信息安全意识,确保企业保密信息不外漏;另一方面,逐步加大企业信息化建设中信息安全管理各项资金、技术、人力投入,并建立科学、合理、有效的企业信息安全防护策略,保障企业信息系统安全稳定。
(2)不断的推进网络信息技术的发展与运用,促进企业组织结构网络化的实现,同时引进先进的安全防护技术,确保企业信息化系统安全稳定运行。任何网络信息系统都存在着或大或小的安全漏洞问题,而保证其不受外部不法分子侵入的一个关键方法就是安全防护技术的运用。通过选用先进的安全防护技术,可以有效的提高企业信息系统抵抗外来攻击,避免企业信息遭受窃取、篡改甚至破坏等,对于保障企业持续、健康、稳定发展具有显著作用。
(3)结合企业信息化建设实际情况,建立健全企业内部信息系统管理体制。一方面,针对信息安全问题,应建立科学、合理、规范的信息安全管理体制,保证企业信息系统安全运行;另一方面,建立健全企业安全风险评估机制,针对不同系统找出影响其安全的因素和漏洞,并制定出最佳的对策,降低企业信息安全风险;此外,加强相应的网络管理,防止外来不法分子通过网络侵入企业信息系统。
(4)根据新时期企业信息化建设需要,加强企业信息技术人才、信息管理人才队伍建设,为企业信息安全管理奠定坚实的人才基础。一方面,在企业内部,加强信息技术人才培训,提高企业内部相关人才业务素质能力;另一方面,在企业外部,采取有效措施,积极招聘人才,引进具有先进信息技术型人才;此外,建立健全企业信息安全管理用人机制,激发员工工作积极性,提高工作质量与效率。
5小结
总而言之,企业信息安全事关企业信息化建设是否成功,对于企业持续、健康、稳定发展具有至关重要的作用。因此,应提高企业信息安全管理意识,增强企业信息安全管理机制,促进企业信息安全管理工作质量与效率,保障企业信息化建设顺利开展。
参考文献
[1]毛志勇.企业信息化建设的信息安全形势与对策研究[J].科技与产业,2008,8,(1):43~45.
[2]纂振法,徐福缘.浅析企业信息化建设的意义、问题与对策[J].吉林省经济管理干部学院学报,2001,3:24~28.
[3]谢志宏.企业信息化建设中的信息安全问题研究[J].企业导报,2014(06):132~133.
企业信息化安全建设篇(2)
【中图分类号】TU714 【文献标识码】A 【文章编号】1672—5158(2012)08—0255-02
0.引言
随着信息技术的不断发展以及市场竞争的不断激烈,企业信息安全建设已经成为提高企业竞争力的重要途径,杜绝信息泄露可以避免巨大的经济损失。虽然大多数企业在信息安全管理方面采取了较多的措施,但是信息安全问题仍然频发,对于企业的经营活动带来巨大的损失。加强企业内部的计算机管理,提高对于信息安全的认识程度,保证信息数据库的安全,避免信息泄露的发生已经成为现阶段企业信息化建设亟待解决的管理问题。
1.企业信息化建设信息安全影响因素分析
(1)信息系统实体安全。信息实体主要包括用于企业信息化建设的计算机、网络连接、服务器等媒介硬件设施,对于信息实体安全影响因素主要包括火灾、水灾、失窃或者是其他事故造成设备硬件的损坏,从而造成企业信息库数据安全出现问题。
(2)信息系统运行安全。信息系统的安全是指为了保证企业信息数据库的安全,采取各种措施对系统运行进行安全保护。由于信息数据库有可能受到非授权的访问、泄露、数据纂改或者是被其他非法程序控制的威胁,因此确保信息系统运行安全主要是保证信息数据库的完整、保密以及时时可用性。
(3)信息系统管理人员安全责任意识。管理人员在日常工作中的安全管理意识、专业操作水平以及法律意识等均会对企业信息数据的安全产生影响。信息安全管理人员的日常管理工作责任心以及工作方式方法,对于保证信息数据库的安全十分重要。
2.企业信息安全管理问题分析
目前由于管理制度以及软硬件设施等一系列的问题,企业数据库破坏以及重要数据信息泄漏的现象时有发生,严重影响了企业的正常生产经营活动,通过分析发现影响企业信息化建设信息安全的问题主要由以下几方面:
(1)企业内部移动存储设备管理疏松,缺乏安全保密管理制度。由于许多企业在日常管理过程中,移动存储设备使用较多,员工可以随意对企业内部的各种信息资料进行备份,企业用于经营活动的客户信息、产品设计、财务管理等各项信息极易造成泄漏,带来巨大的信息安全损失。部分企业由于对于信息安全管理认识程度不足,企业内部信息安全管理缺乏必要的规章制度,安全管理职责权限不清,信息安全漏洞较多。
(2)对于内部信息共享控制不严格,信息安全管理权限混乱。由于企业在生产经营过程中为了提高生产经营效率以及加强企业内部各部门之间的沟通联系,对于一些设计企业销售计划、客户信息以及生产计划等文件采取共享的措施,因此企业员工的流动或者其他管理不当均会造成企业信息的泄露。
(3)信息权限管理混乱,企业的中介服务体系稳定性较差。对于加密的授权访问,权限管理则成为保护企业信息安全的重要因素。但是由于企业在信息安全管理过程中体系混乱,操作权限不清晰导致经常出现影响信息安全的非授权访问。而且对于部分中小企业由于信息化建设采取对外委托的方式,而中介第三方由于稳定性难以保证,随时更换或者退出的第三方极易造成企业有价值信息的泄漏,影响企业信息安全建设。
(4)信息管理安全防范体系不健全,缺乏针对信息安全管理的专业技术人才。虽然部分企业已经认识到信息化管理的重要性,并在企业网络内设置了必要的安全设备。但是缺乏一系列的安全管理机制,在信息安全管理方面缺乏行之有效的整体规划与具体落实措施。此外,由于大部分企业在信息安全管理工作中将重点放在软硬件设施上,而忽略了对于信息安全技术人员的培养,而且为了减少人力资源支出成本,信息安全管理人员少工作任务重,管理权限集中化程度高,影响了信息化建设的安全管理。
3.企业信息建设信息安全管理措施
(1)加强对于信息库硬件设备的保护管理。首先应保证计算机等硬件设备具有安全的工作环境,做好计算机设备的防火、防潮、防盗措施,并避免强磁环境对信息数据可能造成的损坏。其次,在对各种硬件设备进行检修时,硬组织企业内部相关技术人员进行监督管理,对于需要外送检修的设备,则应提前进行数据加密处理。
(2)提高企业内部的信息安全管理意识。企业信息安全管理对于提高企业竞争力,避免企业经济损失具有重要的意义。在企业的正常管理过程中,加强信息安全宣传工作,使员工充分认识到企业信息安全管理的重要性,并熟悉企业相关信息数据保密的规则制度,提高企业的整体信息安全防范水平。
(3)加强信息安全操作管理人员的管理。在企业信息日常管理过程中,应加强对于业务操作以及数据存取控制代码的管理。系统管理操作代码的获得应经过企业管理者授权,系统管理人员在进行企业相关信息数据库的整理以及维护过程中,必须通过授权进行。系统管理人员离开工作岗位后,相关责任人应及时更换管理员操作代码。
(4)加强企业信息数据库的密码与权限管理。对于涉及到企业信息数据库安全的密码,应分别设置用户密码以及操作密码,并提高密码的安全程度,及时定期更换登陆操作密码。对于组成企业内部局域网络的服务器、路由器等设施的设置管理工作,应严格按照相关管理规定进行设置。
(5)明确企业信息数据库管理制度。对于企业重要的数据应存放备份数据,并采取异地存放的方式对备份数据库进行管理。对于废弃或者需要销毁的数据信息,应严格依照程序采取逐级审批的方式,避免数据信息的泄露。需要进行数据恢复工作时,应严格按照相关技术手册,并对恢复的数据进行验证确认数据的完整可用。
(6)加强企业信息数据机房的管理。相关人员出入信息数据库机房进行数据查阅以及提取工作时,应经由相关主管人员的授权,并登记进入。在日常管理过程中,定期对硬件设备进行保养,同时研究违章操作在信息数据机房安装外部其他软件。
参考文献
企业信息化安全建设篇(3)
伴随着我国社会经济的发展,各个企业间的竞争也是非常的激烈。各企业发展的过程中重要工作就是加强信息化建设,在企业信息化建设发展的过程当中,又显现出来了信息安全的问题,加上有的不法分子会采取各种手段盗取企业的内部信息以便达到自己的经济利益。所以说研究企业信息化当中的信息安全问题是具有非常重要意义。
一、企业信息化建设过程中信息安全的问题
一般情况下能造成企业内部信息安全问题的原因分为外部原因和内部原因,可是不管是内部原因还是外部原因都会对企业的信息系统的安全带来隐患。
1.1企业内部因素
第一个方面是企业的信息安全意识不强,虽然是现在有很多的企业加快企业内部信息化建设的进程,但是有些企业只是在表面上看到信息化建设所带来的优势,而信息化建设当中的安全问题并没能够引起企业的足够重视,所以在信息化建设的过程中比较容易出现安全隐患。第二个方面就是我国的安全软件还是比较落后,虽然国内计算机软件技术在快速的反战,可是与一些发达的国家相比还是存在一定距离,第三个方面在管理操作方面存在问题,现在有很多的企业对于自己企业内部的信息安全问题还存在不够重视的问题,在企业信息系统的管理上不够谨慎,这就会被不法分子和黑客进入的机会,造成了企业的主要信息被盗取。第四个方面缺少优秀的专业管理团队,企业信息的系统安全是前期的制定和日常系统安全的维护以及日后都是由专业的人员来进行操作,所以相关的技术人员都必须具有很好的素养和贤能的技术,第五个方面法律法规的不全面。现在我国与企业信息安全问题的法律法规不全面这就造成企业内部信息被盗取不能得到相关的赔偿。
1.2企业外部因素
现在企业信息安全系统的威胁主要来自于外部的因素,随着我国经济社会的飞速变化,在竞争激烈情况下信息是非常重要的,大昂仁会有很多的不法分子会利用各种手段来盗取企业的信息为自身得到利益。还有些企业在于对手的竞争过程中使用不正当的手段来击垮对手保证自己企业的利益。
二、企业信息化建设过程中的信息安全与对策
在我国社会经济快速发展的今天,企业信息安全对于一个企业的发展是非常具有意义的,企业的信息被盗取和泄露会给企业带来很大的损失,所以说企业对信息安全问题必须要有足够的重视。有的企业已经做好了信息安全的必要工作就应该更加注意安全软件并不是时时刻刻都能做好安全的保护,做好安全保护还要加强管理。
2.1确保正确的安全意识
一个企业在信息化发展的过程中,应该认识到企业信息的安全问题和企业发展相互的关联。如果企业的重要内部信息被盗取或者泄露那么对于企业所造成的打击是非常大的,而与此同时也是给了对手创造了很好机会。所以确保正确的安全信息意识对于一个企业来说是非常重要的,也是为了以后给企业的各项工作打下了很好基础。
2.2选择安全性能比较高的软件
其实任何软件都不是牢不可破的,可是对于安全性能比较高的软件,如果说破解的话难度还是相当高的,所以企业选择安全软件的时候要选择安全性能高的,不要为了节省一点企业的支出而选择使用安全性能差的保护软件,一旦出现问题所造成的企业损失价值会大于软件的价格。
2.3加强企业网路管理
很大一部分的企业信息被盗取都是不法分子通过网络进行的,所以说必须要对企业的网络管理进行加强,这样才能确保企业信息系统在安全的状态的情况下运行。对于信息安全的种类和等级的高低来进行制定合理的方案,并且提前做出如果发生特殊情况下怎么进行处理的方案。如果说企业的信息安全发生危机的时候,企业应该快速的组建处理小组,针对信息安全危机的步骤处理并且做好危机处理的工作,还要避免出现由于处理不当而产生的各种情况。
三、结语
以上所述是企业信息化建设过程中所必需要面对的问题,一个企业的信息安全建设应该先从管理开始,必须做到以防范为主要,必需制定有效的安全防护把安全的风险降至最低。在现在经济发展的快速时代,企业信息的安全问题决定着企业的安全运营。
参考文献
[1]原黎.探析企业信息安全问题的成因及对策[J].现代工业经济和信息化.2011(08)
[2]张耀辉.关于企业信息化建设中的信息安全探讨[J].电子技术与软件工程.2013(14)
[3]赵晓华,陈秀芹,周文艳,夏莉莉,李建忠.网络环境下河北中小企业信息安全问题研究[J].科技资讯.2013(31)
企业信息化安全建设篇(4)
1、企业信息化建设概述
企业信息化建设就是利用先进的科技手段把科学的管理思想融入到企业的日常经营管理之中,在管理的过程中实现对成本、业务、物流、财务和客户关系等各个环节的科学管理。目前,国内企业信息化建设取得了一定的成绩,积累了一定的经验,但是企业的信息集成优势建设还不完善,网络技术的效率和便利性还没有在企业信息化建设中体现出来。企业信息化是一个完善的、严密的信息系统,各个业务环节数据的完整性和准确性影响着数据处理的及时性和可靠性,因此,企业信息化建设建立在准确、完善的基础数据之上。信息化建设的安全是一个综合的系统工程,总体安全取决于系统中所有环节中最薄弱的环节,因此,信息化建设要全面考虑,不断完善,同时还要对系统进行安全评估,发现不安全的因素后及时调整安全策略。
2、企业信息化系统需求分析
2.1系统需求分析
企业信息化建设首先要分析企业原有的系统现状,找出存在的问题,例如分析企业邮箱系统、门户网站、人力资源管理系统、报表系统、财务管理系统、经营分析系统和业务运营支撑系统等各个系统的现状,找出网络设备、监控管理机制、认证方式和病毒防护等各方面存在的问题,针对未来企业发展的需要,对企业信息化系统做出全面、详细的需求分析。
2.2网络需求分析
网络需求分析要结合企业的IT现状和本省的IT总体规划需求,设计中心机房的位置和部署模式,一些大型的企业如果有分公司的话,还要考虑子公司到中心机房的网络建设。在网络需求分析中关键的点是IT基础设施的建设,例如要明确信息系统的网络带宽需求、各种主机设备等硬件资源;考虑企业信息化网络和Internet相连的方式和安全措施;机房的选址、设计和施工要点等;ADSL VPN线路、专线线路和楼内线路的综合布线和施工。特别是机房的空间要留有一定的余量,主机设备要留有一定的扩展空间,设备的选型要考虑到企业未来五年的性能需求增长。
2.3安全需求分析
安全需求分析包括以下三方面:
1、物理安全风险分析。物理安全是企业信息化建设中网络系统安全的前提,物理安全风险主要包括火灾、地震、电源故障、设备被盗、电磁辐射和报警系统设计缺陷等导致的事故发生。
2、链路传输风险分析。链路传输风险和各个局域网中采用的布线方式有关,例如当采用UTP非屏蔽布线时,就会存在网络信息通过电磁辐射泄露的风险。
3、网络结构安全风险分析。网络结构安全风险主要包括来自外部网络的安全威胁、内部局域网的安全威胁和网络设备的安全隐患三方面。
3、企业信息化建设安全解决方案
3.1网络边界安全防护
对于简单的安全控制,由路由器作网络层的初步安全保障,通过配置路由器的访问控制列表,过滤不要的信息流。对于复杂的信息网络,安全控制要通过防火墙来实现。通过制定相应的安全策略,防火墙控制用户的访问权限,通过开启服务器需要使用的端口,关闭非法使用的端口,控制网络安全。通过配置防火墙实现以下功能:
1、通过配置IP地址、端口、协议等参数,允许内网中的部分用户访问外部网络,其他用户则无权通过防火墙访问外网。
2、对一个端口、一组IP地址或应用协议设置最小带宽或最大带宽,通过对网络流量的控制实现网络资源的优化配置,从而提高网络效率。
3、通过URL地址、不良关键词和网页分类过滤不良内容。
3.2入侵检测与防御
入侵检测可以扩展管理人员的安全监视、审计、攻击识别等安全管理能力,帮助信息化系统应对网络攻击,从而提高系统安全基础结构的完整性。入侵检测是一种主动地安全防护技术,被认为是在防火墙后的第二道安全门,它通过记录事件、阻塞网络连接和报警功能等,在网络安全受到侵害前进行拦截。
对于完善的入侵检测系统而言,不仅能让系统管理人员了解网络系统的变化,还能为管理人员提供网络安全策略,从而实现网络的多层次、立体保护。通过实时检测服务器服务的用户信息、网络数据流量、网络负载容量等内容,警告信息给管理人员、通过各种规则配置阻止黑客入侵,跟踪并定位黑客的攻击位置。入侵检测与防御可以通过旁路IDS和在线IPS两种方式实现。旁路IDS的缺点是阻断效果差,线IPS会产生延迟,但是阻断能力强,为了充分发挥二者的优势,可以进行可以的配置,在安全和性能之间找到一个良好的平衡。
3.3安全漏洞扫描与评估
安全漏洞扫描最能全面和直接地找出企业范围防火墙、数据库服务器、网络服务和应用服务器等的安全现状,通过找出安全漏洞,然后根据不用的风险等级,制定出相应的修补办法。扫描器又分为漏洞扫描器、系统扫描器和数据库扫描器三种,漏洞扫描器扫描的对象主要是服务器、网络打印机、工作站、防火墙、路由交换机等网络设备,通过找出网络设备存在的弱点,及时制定安全策略;系统扫描器通过比较实际的主机配置,全面分析企业内部操作系统的安全风险,例如不适当的用户权限,缺少安全补丁,不正确的登录方式等;和数据库扫描器通过定期地扫描数据库,检查数据库中存在的安全漏洞,通过运行审核程序提供安全风险报告。
3.4防病毒系统
在企业信息化建设中防病毒系统应该采取预防为主、全面防护的对策,要采用多平台多方位的防病毒产品,满足安全系统全面防范的目的。防病毒系统主要采用的方式有:
1、单机病毒防火墙。该方式主要适用于没有联网的单个计算机。
2、服务器病毒防火墙。由于服务器为所有工作站提供数据共享,因而会成为病毒攻击的理想场所,因此服务器病毒防火墙为企业网络中最为常见的。
3、电子邮件服务器病毒防火墙。通过对邮件进行病毒扫描工作,防止服务器不受病毒侵害,同时也防止邮件交叉感染病毒。
企业信息化安全建设篇(5)
一、引言
纺织企业是我国经济快速发展的一个重要的组成部分。我国加入WTO 后,国家对安全生产要求在逐步提高,一方面要求纺织企业变革安全管理理念,另一方面要求提高安全管理的手段。信息化社会的发展必然会导致安全信息管理学在安全科学的领域中占有越来越重要的地位,也必然会导致安全管理信息系统在人类安全系统的管理中发挥越来越重要的作用。单从棉纺织企业拥有丰富的人力资源、资金、材料、设备、生产技术等,如何利用信息技术,有机地结合起来对企业的各种资源,建立一个有效的管理与现代企业管理模式,提高企业管理水平,形成企业的核心竞争力,值得探讨。
二、纺织行业信息化建设与安全管理的必要性
棉纺织业信息系统应该有良好的扩展性。从棉纺织企业特点来看,棉纺织企业为适应市场需要,其产品特征往往表现为棉纱为多种纤维混纺,棉布为多种纱线交织,因此物料属性就显得较为复杂。从棉纺织企业特点可以看出,棉纺织企业生产流程长,制造周期长,以棉纱生产为例,一个棉纱品种少则经过七道工序加工,多则经过九道工序加工,一个棉布品种生产则要经过更多的工序制造才能完成,上道工序的生产计划、半制品质量与下道工序紧密相连。棉纺织企业既有常年生产的大路货,又有市场急需的新品种,换言之,既有订单生产,又有预测生产,即使系统能自动生成,也需要进行人工调整,这就决定了系统应该具备比较好的灵活性,使用户在管理中能以不变应万变。
三、纺织企业安全信息化存在的问题
(一)劳动负荷过重
纺织企业大多是以多机台、多工序、长流程、流水作业及连续性大协作生产方式、轮班工作制进行生产的,一线挡车工大多随机运转,不停穿梭巡回,巡回路线长,且多为手工操作,劳动强度大、工作时间长。企业改制后,较国有体制下,企业用工减少,员工工作负荷进一步加大,特别在起步时期尤为突出。一方面不适当的工作负荷易造成员工反应低下,做事求快,忽视安全操作规程;另一方面,工作时间较前增长,加班加点现象较普遍,员工疲劳度增加,诱发安全事故。部分企业改制后,为了降低用工 (或因生产任务紧),则由四班三运转改为三班三运转,职工没有休息日,有些甚至改为二班硬倒,每班工作十二小时,工作时间延长,且没有休息日,造成员工过度疲劳,甚至带病上岗,引发安全事故。
(二)专业人才缺乏,缺乏系统设计。安全管理信息系统是个专业性管理信息系统,系统的开发、运行和维护都需要相应专业技术和专业人才来支持,企业一般不具备技术能力和人才储备。目前,单一的安全管理信息系统在应用时出现诸多不协调情况,缺乏系统性,如安全教育管理信息系统,危险源安全管理系统等,系统开发作了大量工作,花费了大量的资金,在某个方面取得一定效果,但没有产生系统效益,相反地构筑了一个个信息孤岛,未能实现信息的流通和共享,系统的高效和准确性未得到体现。
(三)安全资源有限,建设投入不足。安全管理信息系统开发和应用是一项涉及面广、周期长、风险大的系统工程,需要投入较大,动用的安全资源多,因此对企业有限的安全资源来说,开发和运行资金保障难以实现 企业基础薄弱,企业信息资源基础不统一,信息采集渠道单一,缺少灵活性,使得信息来源不系统,导致信息流通不畅,使得系统的高效性和准确性难以实现,而且安全信息的采集和录入是涉及到班组等一线员工的基础工作,一线员工对信息处理能力的差异,也影响系统正常运转和功能发挥。
三、纺织企业安全信息化对策建议
在尚未建立信息管理系统的棉纺织企业中,大多都存在着决策时缺乏准确、及时的数据分析依据,部门之间信息冗余、准确性差、不通畅且不能共享、历史数据不易查找等问题。棉纺织行业大都非常重视五项基础管理(俗称五基),即原料、工艺、设备、操作、空调管理。五项基础管理的实质是加强质量控制,降低原材料消耗成本。五项基础管理是棉纺织企业生产有序、高效运行的保证。因此质量控制和成本管理贯穿于整个生产制造的始末,是企业信息化系统的两条主线。
(一)改造设备技术
企业应加快技术改造的步伐,加大对设备的投入,陈旧老化设备应及时更新改造,该报废的必须立即停用;大力推广应用新技术、新工艺、新设备、新材料,改造设备、治理环境,有条件的企业可逐步更新设备或进行系统技术改造,采用自动化、连续化、本质安全程度高的机械设备及设施。对于粉尘浓度高、噪声大或温湿度不符合要求的场所,应重点整治。如通过改造除尘设备、空调设备,装设噪声控制设施,加强管理等措施,为员工提供一个良好的作业。
(二)提高企业安全管理水平
现代的安全管理是以系统论、信息论、控制论和行为科学理论为指导,树立以人为中心的管理思想,综合运用安全系统工程等现代科学的方法和手段,对企业实行全员、全面、全过程、全天候的全安全管理,其主要标志为以人为本的管理理念,系统安全的管理思想,风险控制的管理方法,持续改进的管理模式。企业改制后,实现了产权及职工身份的二个置换,企业在管理体制、人员配置等方面发生了很大变化,可能出现安全管理责任不明、人员不到位、制度不落实的情况,安全生产管理工作应及时调整工作思路和方法,及时建立完善企业安全生产管理体系,建立健全安全管理组织机构,构建新的安全生产责任网络,各项安全管理制度要根据企业的实际情况作相应的修改和完善。要充分调动广大职工的积极性,组织动员职工全员参与安全管理,形成齐抓共管的良好局面。根据安全信息反馈来推进对隐患的不断检查、整改和监控,形成闭环管理,使企业安全管理工作逐步走向科学化、系统化、规范化的道路,力求把纺织企业安全管理从传统的事后追踪转变为事前的预防控制,提高企业安全管理。
企业信息化安全建设篇(6)
前言
当前,信息化建设已经成为了各类企业建设和发展的重点内容,企业通过信息化建设的方式,让自身生产与流通工作可以更顺利地进行,并利用互联网,创造出现代企业新型发展模式。但是,就实际情况而言,企业的信息化建设并不是一直处于一个平稳的发展状态,在其发展的过程中也会受到诸多内部或外部因素的影响和束缚,在信息的安全方面也存在许多的问题,如黑客入侵或是病毒入侵。如果企业信息存在的安全问题比较严重,不仅会给企业信息化建设造成不利影响,还有可能会影响到企业的正常运营和发展。
一、造成企业信息化建设中的信息安全问题的原因
1.1内部原因
①企业内部的信息安全意识缺乏,目前,虽然很多的企业都提倡建设企业内部信息化,但是大部分企业过于注重信息化建设过程中得到的利益和优势,却忽略了信息化建设中信息的安全问题。
②软件安装的技术比较落后,黑客与病毒的发展速度比软件技术更新速度快。
③管理操作不得当,在对信息系统进行管理与操作的过程中过于粗心大意,给黑客与不法分子和黑客制造了入侵的机会,对企业的信息安全造成威胁。
④专业的管理人才缺乏,没有对企业的信息安全系统定制出合理的安全管理策略,且没有让专业的操作人员对统系统进行维护和升级,致使企业信息系存在信息安全隐患[1]。
1.2外部原因
对于大多数企业而言,信息系统中存在的安全威胁大部分来自于外部因素,随着社会的不断发展,信息建设在各类企业市场竞争中的地位和作用日益提高,许多的不法分子想尽办法对各类企业的信息进行窃取和破坏,以此来获得自身的利益。还有一部分企业为了得到竞争对手企业的各类商业信息,采用不正当的手段破坏或是入侵对手企业的信息系统,窃取对方企业的商业机密,以此来打倒对方。
二、企业信息化建设中存在的信息安全问题
2.1企业不够重视信息系统的安全问题
就目前而言,国内的大部分企业都没有给予信息系统安全问题足够的重视,没有意识到信息系统安全的重要性。近年来,虽然国内信息化建设得到了快速的发展,国内企业的信息安全程度也有所提高,但是大部分的企业还是没有意识到信息安全问题对企业的重要性,只看到了信息化建设给企业创造的短暂利益,而忽视了信息化建设信息安全的长远发展,未针对信息安全问题采取适当的防范措施,致使企业信息化的发展存在较多的安全隐患。
2.2企业信息化操作管理不到位
在企业进行信息化建设的过程中,大多数的企业没有认识到对企业信息进行科学管理和操作的重要性。相关的操作和管理人员在信息化建设的管理和操作中缺少合理性,导致黑客与入侵者有机可乘,造成企业信息外泄。企业的信息化建设是一个全新的的概念,其中的信息系统管理,信息安全系统的维护与升级都必须由专业的操作人员进行操作和管理,因此,专业技术人员专业技能的缺乏和个人的素质对企业的信息安全有着直接的影响。
2.3可用于信息化建设的软件较少
近年来,市场上各种类型的系统软件越来越多,但是能够真正用到企业信息化建设的系统软件却比较缺乏,特别是相较于国际市场,国内的软件无论是在适用范围,还是技术水平方面都比较落后,这也是给企业数据安全带来隐患的一大重要原因。
企业信息化建设使用的软件安全性能较低,很容易被病毒或是黑客入侵,从而对企业的信息安全造成威胁,虽然大部分的企业在商业机密信息方面设置了一定的操作权限,但是在企业的实际管理中,比较容易出现员工操作权限重复的情况,操作人员的责任不够明确,从而导致企业信息外泄或是数据丢失[2]。
三、企业提高信息化建设中的信息安全性的对策
3.1企业需树立正确安全意识
在企业信息化的发展进程中,企业应该充分了解企业信息安全问题和企业发展之间的关系。意识到一旦企业的重要机密发生外泄或者是被窃取,将会给企业造成不可估量的损失,并给竞争对手提供有利的机会。
因此,企业应该采取适当有效的措施,防止信息安全问题的产生,树立正确的信息安全意识,以便为企业未来的信息化发展打下更好的基础。
3.2加强企业内部信息系统管理
①正常来说,企业信息的系统使用任何的安全软件都有可能被攻击或被破解。在信息的安全防御过程中,最重要的并不只是信息技术,管理对于企业的信息安全系统来说也非常重要,只有对企业的信息进行合理、规范的管理,才能更有效提升企业信息系统的安全性。因此,合理的对信息安全管理体系进行规范化建设,对于企业的信息安全管理至关重要。
②完善企业安全的风险评估机制。企业信息系统的建设,并非是利用一种技术在短时间内能够完成,在平常的操作与管理中,所有的系统都有自己的优势与缺点,因此,企业应该针对本身信息系统的优势和缺点建立相关的安全风险评估机制,找到对信息系统安全造成影响的漏洞和原因,并及时地进行处理,以有效降低企业信息系统被攻击的可能性。
3.3运用安全性较高的防护软件
尽管所有的防护软件都有办法破解,但是安全性越高的防护软件,破解的难度就越大,企业信息被窃取或是泄露的可能性也就越低。因此,企业在对安全防护软件进行选择时,不应该为了节省企业的成本,而在信息系统中使用一些安全性较低的防护软件,应该选技安全系数较高的防护软件,防止信息系统出现安全问题,给企业带来更大的经济损失。
3.4加强企业的网络管理
大多数的不法分子都是通过网络对各个企业的信息进行窃取和破坏,因此,企业需要加强企业的网络管理,以确保企业信息系统的运行可以在安全的状态下进行。企业应该依据信息安全的等级、种类制定出相关的防护措施和方案,并提前制定好信息安全事故发生之后,企业应该采取的解决措施[3]。在企业的信息安全受到威胁时,企业应该及时成立起危机处理小组,让该小组依据信息安全危机处理的步骤与预案,进行危机处理,防止危机处理不当而出现更加严重的连锁危机。此外,企业应该对内部的员工进行信息安全培训与教育,提升员工信息安全管理意识和安全危机事件的处理能力,从而有效防止企业自身失误而造成的信息安全问题。
四、结束语
总之,在这个信息化的时代,企业进行信息化建设是其发展和生存的重要途径。但就目前而言,我国大部分的企业都只看到了信息化建设的优势,没有意识到信息系统安全问题的重要性,信息系统还处在一个长期不设防的状态当中,这一情况直接影响了企业信息系统的安全性。因此,为了提高现代企业信息系统的安全性,企业就应该重视信息系统的安全问题,树立正确的信息安全意识,采取有效的防范措施、不断完善企业的信息管理体系,在企业信息化建设过程中,对可能会影响信息系统安全的因素进行全面考虑,以确保企业信息系统建设的安全性。
参 考 文 献
企业信息化安全建设篇(7)
二、当前企业信息化建设中完善信息安全的对策
(一)树立正确安全意识企业在信息化发展的进程中,应意识到企业信息的安全问题与企业发展之间存在的关联性。一旦企业的重要信息被窃取或外泄,企业机密被泄漏,对企业所造成的打击是非常巨大的,同时也给竞争对手创造了有利的机会。因此树立正确的安全意识对于企业是非常重要的这样才能为后面的工作打下良好的基础。
(二)选择安全性能高的防护软件虽然任何软件都是有可以破解方法的,但是对于安全性能高的软件而言,其破解的困难性也随之增加,所以企业在选择安全软件时应尽量选择安全性能高的,不要为节省企业开支而选择性能差的防护软件,如果出现问题其造成的损失价值会远远的大于软件价格。
(三)加强企业内部信息系统管理首先,对于企业信息系统安全而言,无论是使用哪种安全软件都会遭到攻击和破解,所以在安全防御中信息技术并不能占据主体,而管理才是信息安全系统的主体。因此建立合理、规范的信息安全管理体质对于企业而言是非常重要的,只有合理、规范的管理信息,才能为系统安全打下良好的基础。其次,建立安全风险评价机制。企业的信息系统并不是在同一技术和时间下所建设的,在日常的操作和管理过程中,任何系统都是会存在不同的优势和劣势的因此企业应对自身的信息系统做安全风险评估,根据系统的不同找出影响系统安全的漏洞和因素,并制定出详细的应对策略。
(四)加强网络安全管理意识首先,网络安全管理部门应树立正确的网络安全观念,加强对网络安全的维护,在企业人员培训中加入对人员的网络安全培训,从而使企业工作人员自觉提升安全防范意识,摆脱传统的思维模式,突破网络认识误区。加强对对网络黑客尤其是未成年人黑客的网络道德和法律教育,提高他们的法律意识,从而使他们自觉遵守网络使用的法律法规。其次,应当利用合理有效的方式普及对全体员工有关于网络法律法规及网络知识的教育,以提高他们的网络安全意识。
(五)网络的开放性使得网络不存在绝对的安全,所以一劳永逸的安全保护策略也是不存在的由此可以看出,企业实施的网络安全策随着网络问题的升级而发展的,具有动态特征。因此企业制定的策略要在符合法律法规的基础上,通过网络信息技术的支持,并根据网络发展状况、策略执行情以及突发事件处理能力进行相应的调整与更新,这样才能确保安全策略的有效性。此外企业还应综合分析地方网络安全需求,进一步制定更加完善的网络安全防护体系,以减少网络安全存在的风险,保证信息化网络的安全性。绝大部分的企业信息被窃取都是不法分子通过网络进行的,因此必须加强企业的网络管理,才能确保企业信息系统在安全的状态下运行。针对信息安全的种类和等级制定出行之有效的方案,并提前制定出如果发生了特定的信息安全事故企业应采取哪种应对方案。当企业信息安全危机发生时,企业应快速成立处理小组,根据信息安全危机的处理步骤和管理预案,做好危机处理工作,避免出现由于不当处置而导致的连锁危机的发生。另外,还应在企业内部做好信息安全的培训和教育工作,提高信息安全的管理意识,提高工作人员对安全危机事件的处理能力。
企业信息化安全建设篇(8)
0 引言
现代企业信息化网络是基于内部传输网和Internet网络的互联网络,由于公众网络是一个相对开放的平台,网络接入比较复杂,挂接的相关点比较多,网络一旦接入公众网络,对于一些网络安全比较敏感的数据,传输的安全性就比较弱,比较危险。本文将重点分析企业网络系统安全性方面以及业务系统安全性方面存在的问题。
1 企业信息化网络存在的安全隐患
1.1 Windows系统的安全隐患
Windows的安全机制不是外加的,而是建立在操作系统内部的,可以通过一定的系统参数、权限等设置使文件和其他资源免受不良用户的威胁(破坏、非法的编辑等等)。例如设置系统时钟,对用户账号、用户权限及资源权限的合理分配等。
由于Windows系统的复杂性,以及系统的生存周期比较短,系统中存在大量已知和未知的漏洞。一些国际上的安全组织已经公示了大量的安全漏洞,其中一些漏洞可以导致入侵者获得管理员的权限,而另一些漏洞则可以被用来实施拒绝服务攻击。例如,Windows所采用的存储数据库和加密机制可导致一系列安全隐患:NT把用户信息和加密口令保存于NTRegistry的SAM文件即安全账户管理(securityAccounts Management)数据库中,由于采用的算法的原因,NT口令比较脆弱,容易被破译。能解码SAM数据库并能破解口令的工具有:PWDump和NTCrack。这些工具可以很容易在Internet上得到。黑客可以利用这些工具发现漏洞而破译―个或多个DomainAdministrator帐户的口令,并且对NT域中所有主机进行破坏活动。
1.2 路由和交换设备的安全隐患
路由器是企业网络的核心部件,它的安全将直接影响整个网络的安全。路由器在缺省情况下只使用简单的口令验证用户身份,并且在远程TELNET登录时以明文传输口令。一旦口令泄密,路由器将失去所有的保护能力。同时,路由器口令的弱点是没有计数器功能,所以每个人都可以不限次数地尝试登录口令,在口令字典等工具的帮助下很容易破解登录口令。每个管理员都可能使用相同的口令,路由器对于谁曾经作过什么修改没有跟踪审计的能力。此外,路由器实现的某些动态路由协议存在一定的安全漏洞,有可能被恶意攻击者利用来破坏网络的路由设置,达到破坏网络或为攻击作准备的目的。
1.3 数据库系统的安全隐患
一般的现代化企业信息系统包含着多套数据库系统。数据库系统是存储重要信息的场所并担负着管理这些数据信息的任务。数据库的安全问题,在数据库技术诞生之后就一直存在,并随着数据库技术的发展而不断深化。如何保证和加强数据库系统的安全性和保密性对于企业的正常、安全运行至关重要。
我们将企业数据库系统分成两个部分:一部分是数据库,按照一定的方式存取各业务数据。一部分是数据库管理系统(DBMS),它为用户及应用程序提供数据访问,同时对数据库进行管理,维护等多种功能。
数据库系统的安全隐患有如下特点:涉及到信息在不同程度上的安全,即客体具有层次性和多项性;在DBMS中受到保护的客体可能是复杂的逻辑结构,若干复杂的逻辑结构可能映射到同一物理数据客体上,即客体逻辑结构与物理结构的分离;客体之间的信息相关性较大,应该考虑对特殊推理攻击的防范。
2 企业信息化网络安全策略的体系
网络安全策略为网络安全提供管理指导和支持。企业应该制定一套清晰的指导方针,并通过在组织内对网络安全策略的和保持来证明对网络安全的支持与承诺。
2.1 安全策略系列文档结构
(1)最高方针
最高方针,属于纲领性的安全策略主文档,陈述本策略的目的、适用范围、网络安全的管理意图、支持目标以及指导原则,网络安全各个方面所应遵守的原则方法和指导性策略。安全策略的其他部分都从最高方针引申出来,并遵照最高方针,不与之发生违背和抵触。
(2)技术规范和标准
技术标准和规范,包括各个网络设备、主机操作系统和主要应用程序应遵守的安全配置和管理技术标准和规范。技术标准和规范将作为各个网络设备、主机操作系统和应用程序安装、配置、采购、项目评审、日常安全管理和维护时必须遵照的标准,不允许发生违背和冲突。它向上遵照最高方针,向下延伸到安全操作流程,作为安全操作流程的依据。
(3)管理制度和规定
管理制度和规定包括各类管理规定、管理办法和暂行规定。从安全策略主文档中规定的安全各个方面所应遵守的原则方法和指导性策略引出的具体管理规定、管理办法和实施办法,必须具有可操作性,而且必须得到有效推行和实施。它向上遵照最高方针,向下延伸到用户签署的文档和协议。用户协议必须遵照管理规定和管理办法,不与之发生违背。
(4)组织机构和人员职责
安全管理组织机构和人员的安全职责,包括安全管理机构组织形式和运作方式,机构和人员的一般责任和具体责任。作为机构和员工工作时的具体职责依照,此部分必须具有可操作性,而目必须得到有效推行和实施。
(5)用户协议
用户签署的文档和协议,包括安全管理人员、网络和系统管理员安全责任书、保密协议、安全使用承诺等等。作为员工或用户对日常工作中遵守安全规定的承诺,也作为违背安全时处罚的依据。
2.2 策略体系的建立
目前的企业普遍缺乏完整的安全策略体系,没有将政府高层对于网络安全的重视体现在正式的、成文的、可操作的策略和规定上。企业应当建立策略体系,制定安全策略系列文档。建议按照上面所描述的策略文档结构,建立起安全策略文档体系。
建议策略编制原则为建立一个统一的、体系完整的企业安全策略体系,内容覆盖企业中的所有网络、部门、人员、地点和分支机构。鉴于企业中的各个机构业务情况和网络现状差别很大,因此在整体的策略框架和体系下,允许各个机构根据各自情况,对策略体系中的管理制度、操作流程、用户协议、组织和人员职责进行细化。但细化后的策略文档必须依照企业统一制定的策略文档中的规定,不允许发生违背和矛盾,其要求的安全程度只能持平或提高,不允许下降。
2.3 策略的有效和执行
安全策略系列文档制定后,必须和有效执行。和执行过程中除了要得到企业高层领导的大力支持和推动外,还必须要有合适的、可行的和推动手段,同时在和执行前对每个本员要进行与其相关部分的充分培训,保证每个人员都了解与其相关部分的内容。必须要注意到这是一个长期、艰苦的工作,需要付出艰苦的努力,而且由于牵扯到企业许多部门和绝大多数人,可能需要改变工作方式和流程,所以推行起 来阻力会相当大;同时安全策略本身存在的缺陷,包括不切实际的、太过复杂和繁琐的、规定有缺欠的情况等,都会导致整体策略难以落实。
3 企业信息化网络安全技术总体解决方案
参考以上所论述的,结合现有网络安全核心技术,本文认为,企业信息化网络总体的安全技术解决方案将围绕着企业信息化网络的物理层、网络层、系统层、应用层和安全服务层搭建整体的解决方案,企业信息化网络建设将着重从边界防护、系统加固、认证授权、数据加密、集中管理五个方面进行,在企业信息化网络中重点部署防火墙、入侵检测、漏洞扫描、网络防病毒、VPN五大子系统,并通过统一的平台进行集中管理,从而实现企业信息化网络安全既定的目标。
3.1 防火墙系统的引入
通过防火墙系统的引入,利用防火墙“边界隔离+访问控制”的功能,实现对进出企业网的访问控制,特别是针对内网服务器资源的访问,进行重点监控,可以提高企业网的网络层面安全。防火墙子系统能够与入侵检测子系统进行联动,当入侵检测系统对网络中的数据包进行细粒度检测,发现异常,并通知防火墙时,防火墙会自动生成安全策略,将访问源阻断在防火墙之外。
3.2 入侵检测子系统的引入
入侵检测系统用于实时检测针对重要网络资源的网络攻击行为,它会对企业网内异常的访问及数据包发出报警,以便企业的网络管理人员及时采取有效的措施,防范重要的信息资产遭到破坏。同时,可在入侵检测探测器与防火墙之间建立互动响应体系,当探测器检测到攻击行为时,向防火墙发出指令,防火墙根据入侵检测系统上报的信息,自动生成动态规则,对发出异常访问及数据包的源地址给予阻断。入侵检测和防火墙相互配合,能够共同提高企业网整体网络层面的安全性,两个系统共同构成了企业网的边界防护体系。
3.3 网络防病毒子系统的引入
防病毒子系统用于实时查杀各种网络病毒,可防范企业网遭到病毒的侵害。企业应在内部部署网关级、服务器级、邮件级,以及个人主机级的病毒防护。从整体上提高系统的容灾能力,提升企业网整体网络层面的安全性。
3.4 漏洞扫描子系统的引入
漏洞扫描子系统能定期分析网络系统存在的安全隐患,把隐患消灭在萌牙状态。针对企业网络中存在众多类型的操作系统、数据库系统,运行着营销系统、财务系统、客户信息系统、人力资源系统等重要的应用,如何确保各类应用系统的稳定和众多信息资产的安全,是企业信息化网络中需要重点关注的问题。通过漏洞扫描子系统对操作系统、数据库、网络设备的扫描,定期提交漏洞及弱点报告,可大大提高企业网整体系统层面的安全性。该系统与病毒防范系统一起构成了企业网的系统加固平台。
3.5 数据加密子系统的引入
企业信息化安全建设篇(9)
[关键词]企业;信息化建设;网络安全管理
doi:10.3969/j.issn.1673 - 0194.2017.10.040
[中图分类号]F270.7 [文献标识码]A [文章编号]1673-0194(2017)10-00-01
0 引 言
在互联网时代,企业应用网络信息技术和计算机技术,逐步建立了网络信息化平台,以对海量信息数据进行有效收集,为企业的运行和发展提供有效依据。但是企业在信息化建设中还存在一些问题,其中一个严重的问题就是,企业信息数据容易遭受到网络攻击或窃取,即网络安全问题。这些问题的存在,非常不利于企业的信息化建设,不利于企业的进一步发展。因此,相关人员需要对企业在信息化建设中存在的网络安全管理问题以及解决方法进行研究和分析,以全面提高企业信息化建设的质量和水平,更好地推进企业的进步与发展。
1 企业在信息化建设中存在的网络安全管理问题
1.1 外部因素
时代的发展和社会的进步使网络信息安全问题日益严重。例如,企业在进行市场竞争时,需要获得大量准确的信息并保证其安全,但一些不法分子应用网络攻击和非法链接等方式@取企业内部大量信息,并将此类信息在市场中出售牟利,这种情况的出现加剧了企业网络信息安全问题的程度。
1.2 内部因素
企业在信息化的建设过程中,没有对自身的网络信息安全问题给予足够的重视,因此,没有采用高质量的信息安全管理模式,进行有效的网络信息防护,使网络黑客应用网络病毒和信息窃取手段,轻易获取企业内部的各种信息数据。同时,企业内部工作人员也没有受过良好的网络信息安全培训,在应用中存在操作不规范等问题,导致企业的信息安全受到严重威胁。
2 提高企业网络安全管理水平的方法
2.1 加强企业信息化系统的管理
企业需要在信息化建设中加强对信息化系统的管理质量和水平,提升企业网络安全管理的效率。具体来讲,首先,企业需要树立起网络安全管理的意识,对工作中存在的网络安全问题及时处理,建立完备的网络安全管理平台,对企业运行发展中的重要信息数据进行集中性保存。其次,定期对企业员工开展网络安全培训工作,提升员工信息化系统规范操作的能力,对重要信息进行加密处理,并做好多重备份工作。最后,企业员工应定期使用网络安全软件对操作环境进行检查,有效处理和抵御各类网络病毒的攻击和入侵。
2.2 应用有效的数据信息加密技术
企业需要应用有效的数据加密技术,提升网络信息管理质量和水平,保障网络信息的安全,更好的开展企业信息化建设工作,为企业的进步和发展打好基础。第一,企业需要有效的应用链路加密、节点加密、端对端加密等多种技术,提高企业网络信息加密的强度,为重要的业务数据和信息做好保护。第二,企业需要在应用网络信息数据加密技术的同时,对重要数据信息进行切实有效的存储,使其具有完整性,为提升企业数据信息安全水平打好基础。
2.3 部署高质量的安全防护软件
企业需要合理应用各类的防护软件,提升自身网络信息安全的强度。例如现在已经普遍应用的360安全卫士、腾讯电脑管家、金山毒霸等,合理应用可以提高企业整个网络信息安全管理的质量,同时对外部的非法链接进行有效抵制,对网络病毒攻击和入侵进行有效预防。
2.4 设置必要的安全管理权限
企业需要依据自身的需求,建立严密、分层的安全管理权限系统,对登录到系统中的用户进行严格的管理权限设定。通过这种方式,使操作系统或应用系统的用户,需要掌握不同的权限密码才能进行不同权限的操作、进行数据信息的获得,然后进行这些数据信息的应用。
2.5 配置防火墙和访问控制模式
企业在信息化建设中需建立高效的防火墙系统,设置专业化访问控制模式,提升网络信息安全能力,有效抵御各种网络风险,保障企业的内部网络安全。
2.6 信息隐藏模式的有效应用
企业可以有效应用信息隐藏技术,提高网络信息安全质量和水平,保障信息及数据安全。例如,采用高效的编码修改方法进行数据嵌入,如矩阵编码,其可减少修改幅度;扩频嵌入,其使编码更加专业化、高级化、复杂化,很难进行破译,降低密文信号的能量,使其不易被检测到,增强信息的安全性和保密性。这些模式有利于企业对各种网络攻击进行有效抵御,保障企业信息化建设的稳定性和安全性,实现企业应有的经济效益和社会价值。
3 结 语
对企业信息化建设中网络安全管理问题进行分析,有利于企业应用各种有效的方法,提高企业网络安全管理的质量和水平,保障企业网络和信息管理的安全性,最终为企业实现良好的信息化建设做出重要贡献。
主要参考文献
[1]程华.对企业信息化建设中的网络安全管理问题探讨[J].民营科技,2016(1).
企业信息化安全建设篇(10)
中图分类号:TP393.18 文献标识码:A 文章编号:1007-9416(2017)01-0209-02
企业信息化任务的建设与集成,其首要任务为网络构架与网络安全设计。建立一套安全的网络系统,不仅可以为企业的信息交流、信息与信息传输创造一个安全平台,确保企业的安全生产,还可优化调度管理,为企业决策提供参考数据,避免恶意篡改与非法盗取现象的发生。因此,加强企业信息化建设集成与网络安全的研究,确保企业生产环境安全可靠,已逐渐成为现代化企业发面所面临的重点研究课题。
1 企业实现信息化建设集成的意义
1.1 强化企业管理
随着企业管理模式的发展,企业业务经营逐渐多元化和区域不集中化,从而造成了管理任务的复杂与多变化。实行信息化集成管理的核心就是在企业内部,以业务整合、流程与资源配置优化的方式,建立起信息化的组织架构、管理服务和流程控制体系,而这一目标的实现则需通过信息集成化处理的手段,并将企业先进的管理理念与技术搭建在所构平台上,以此进行运行。
1.2 时展的必然性
实践证明,传统的管理模式还不足以使集成化效率最大化,甚至有时候会带来更加严重的风险和漏洞,如管理人员的压缩,引发的现场安全管理、资金管理和用工管理等风险,信息技术快速发展的当下,企业只有对管理系统进行重新综合集成,充分挖掘各方面潜能和整体效力,方可在集成化管理和市场竞争中把握先机,从而实现企业效益的最大化。
1.3 自身优势的使然
目前,大型企业集团均通过对在生产和管理方面的信息化建设,利用互联网技术把企业信息集成起来组成一个管理信息平台,达到数据共享,并借助专用软件,将企业管理向集成化、网络化改造,既能为企业的高层决策者提供决策支持,又能减少结构冗员,提高运营效率和服务质量。
2 加强企业信息化集成网络安全的措施
基于非法入侵、病毒传播与数据丢失等网络安全问题,本文针对性的从以下两点进行防护措施的论述。
2.1 加快信息化安全标准建设
在信息化方面,目前,无论是处于单项技术、单机、单线的应用状态,还是型号工程实现了CIMS(计算机集成制造系统)的企业,要实现数字化,构建高水平、高安全的企业信息化体系,信息安全标准及其标准化工作都是非常重要的。例如IS0/IEC JTC1/SC27正在制定的有关信息安全管理体系方面的标准:
・ISO/IEC 27001 信息安全管理体系要求(现在的标准 IS0/IEC FCD 24743)。
・ISO/IEC 27002 保留现在的标准ISO/IEC 17799 信息安全管理实用规则。
・ISO/IEC 27003 保留编号。
・ISO/IEC 27004 信息安全管理度量机制和测量措施(现在的标准IS0/IEC 24742)。
・ISO/IEC JTC1/SC27 NP 信息安全管理体系实施指南。
此类标准实施的目的在于帮助企业建立与健全信息安全管理体系,促使其管理水平与保证能力得到提高,做到日常生产安全顺利运行。因此,企业要想构建高水平、高质量的信息化安保体系,必须要加强信息化集成任务的标准化实施。
2.2 利用先进的网络安全技术
2.2.1 防火墙技术
以防护范围与防护能力划分,可将防火墙技术分为网络级与应用级两大类,其中,网络级防火墙是以整体网络的非法入侵为防护对象,实施全方位保护,而应用级防火墙是以具体的应用程序为防护对象,只是在程序接入时进行防护控制,功能比较单一但针对性强,因此,一套完整的防火墙技术,应是以网络级和应用级的共同结合使用。日常生活中,我们一般所用防火墙大多拥有基于、动态防护、包过滤和屏蔽路由等技术。
2.2.2 入侵检测技术
作为一种动态网络检测技术,入侵检测技术的实施可有效识别恶意使用网络系统,通过分析与辨别,将非法入侵行为及时发现,其检测范围包括内部未经授权的活动和外部用户的非法入侵,并能够对入侵行为作出相应的反映,该系统的组成由相应的软件与硬件共同完成,运行后能够做到数据分析并得到结果,大大降低了管理人员的工作量。除此之外,入侵检测技术对于网络攻击也有一定的反防护能力,但效果不及防火墙技术,因此不能做到代替。
2.2.3 信息加密技术
对称加密与非对称加密作为信息加密技术的两种表现形式,随着网络技术的快速发展,使其得到了不断优化与发展。该技术的应用是以防止数据受到非法盗取为目的,通过数据加密技术对某些重要数据与信息采取保密处理后,以此达到确保信息安全的效果,其主要包括数据传输、数据存储、数据完整性鉴别和密匙管理四种方式。
2.2.4 访问控制技术
访问控制技术简称AC,它的作用是能够确保网络资源不会被非法访问和非法使用,能够起到网络安全防范和保护的作用。访问控制是检测访问者的相关信息,限制或者禁止访问者使用资源的控制技术。访问控制技术能维护网络系统安全和保护网络资源,是确保网络安全的主要措施。访问控制分为高层访问控制和低层访问控制两种,高层访问控制检测对象是用户口令、用户权限、资源属性;低层访问控制对象是通信协议中的特征信息通过分析然后做出判断控制访问者能否访问信息。
3 结语
综上所述,作为现代企业的发展方向,信息化的建设与集成在给人们带来便利的同时又隐藏着许多网络安全隐患,相比于传统管理模式上的失误,这种安全隐患具有威胁更大,速度更快等特点,动辄就是成千万的经济损失。因此,作为现代企业的管理者,我们只有不断研究,不断实践,立足于企业信息化建设与集成任务的标准化与多元化发展方向,做到不断的自我完善与自我修正,方能促进现代企业的健康发展。
