序論:好文章的創(chuàng)作是一個(gè)不斷探索和完善的過程��,我們?yōu)槟扑]十篇企業(yè)信息化安全建設(shè)范例�����,希望它們能助您一臂之力,提升您的閱讀品質(zhì)����,帶來更深刻的閱讀感受。
篇(1)
【中圖分類號(hào)】TU714 【文獻(xiàn)標(biāo)識(shí)碼】A 【文章編號(hào)】1672—5158(2012)08—0255-02
0.引言
隨著信息技術(shù)的不斷發(fā)展以及市場競爭的不斷激烈����,企業(yè)信息安全建設(shè)已經(jīng)成為提高企業(yè)競爭力的重要途徑,杜絕信息泄露可以避免巨大的經(jīng)濟(jì)損失���。雖然大多數(shù)企業(yè)在信息安全管理方面采取了較多的措施��,但是信息安全問題仍然頻發(fā)�,對(duì)于企業(yè)的經(jīng)營活動(dòng)帶來巨大的損失����。加強(qiáng)企業(yè)內(nèi)部的計(jì)算機(jī)管理,提高對(duì)于信息安全的認(rèn)識(shí)程度�,保證信息數(shù)據(jù)庫的安全,避免信息泄露的發(fā)生已經(jīng)成為現(xiàn)階段企業(yè)信息化建設(shè)亟待解決的管理問題�。
1.企業(yè)信息化建設(shè)信息安全影響因素分析
(1)信息系統(tǒng)實(shí)體安全�����。信息實(shí)體主要包括用于企業(yè)信息化建設(shè)的計(jì)算機(jī)���、網(wǎng)絡(luò)連接、服務(wù)器等媒介硬件設(shè)施�����,對(duì)于信息實(shí)體安全影響因素主要包括火災(zāi)�、水災(zāi)、失竊或者是其他事故造成設(shè)備硬件的損壞��,從而造成企業(yè)信息庫數(shù)據(jù)安全出現(xiàn)問題�����。
(2)信息系統(tǒng)運(yùn)行安全�����。信息系統(tǒng)的安全是指為了保證企業(yè)信息數(shù)據(jù)庫的安全���,采取各種措施對(duì)系統(tǒng)運(yùn)行進(jìn)行安全保護(hù)�。由于信息數(shù)據(jù)庫有可能受到非授權(quán)的訪問�����、泄露���、數(shù)據(jù)纂改或者是被其他非法程序控制的威脅�����,因此確保信息系統(tǒng)運(yùn)行安全主要是保證信息數(shù)據(jù)庫的完整�、保密以及時(shí)時(shí)可用性��。
(3)信息系統(tǒng)管理人員安全責(zé)任意識(shí)�。管理人員在日常工作中的安全管理意識(shí)、專業(yè)操作水平以及法律意識(shí)等均會(huì)對(duì)企業(yè)信息數(shù)據(jù)的安全產(chǎn)生影響���。信息安全管理人員的日常管理工作責(zé)任心以及工作方式方法�����,對(duì)于保證信息數(shù)據(jù)庫的安全十分重要����。
2.企業(yè)信息安全管理問題分析
目前由于管理制度以及軟硬件設(shè)施等一系列的問題,企業(yè)數(shù)據(jù)庫破壞以及重要數(shù)據(jù)信息泄漏的現(xiàn)象時(shí)有發(fā)生����,嚴(yán)重影響了企業(yè)的正常生產(chǎn)經(jīng)營活動(dòng),通過分析發(fā)現(xiàn)影響企業(yè)信息化建設(shè)信息安全的問題主要由以下幾方面:
(1)企業(yè)內(nèi)部移動(dòng)存儲(chǔ)設(shè)備管理疏松�,缺乏安全保密管理制度。由于許多企業(yè)在日常管理過程中�����,移動(dòng)存儲(chǔ)設(shè)備使用較多�,員工可以隨意對(duì)企業(yè)內(nèi)部的各種信息資料進(jìn)行備份,企業(yè)用于經(jīng)營活動(dòng)的客戶信息�����、產(chǎn)品設(shè)計(jì)�����、財(cái)務(wù)管理等各項(xiàng)信息極易造成泄漏��,帶來巨大的信息安全損失�。部分企業(yè)由于對(duì)于信息安全管理認(rèn)識(shí)程度不足,企業(yè)內(nèi)部信息安全管理缺乏必要的規(guī)章制度���,安全管理職責(zé)權(quán)限不清�,信息安全漏洞較多���。
(2)對(duì)于內(nèi)部信息共享控制不嚴(yán)格����,信息安全管理權(quán)限混亂��。由于企業(yè)在生產(chǎn)經(jīng)營過程中為了提高生產(chǎn)經(jīng)營效率以及加強(qiáng)企業(yè)內(nèi)部各部門之間的溝通聯(lián)系����,對(duì)于一些設(shè)計(jì)企業(yè)銷售計(jì)劃、客戶信息以及生產(chǎn)計(jì)劃等文件采取共享的措施�����,因此企業(yè)員工的流動(dòng)或者其他管理不當(dāng)均會(huì)造成企業(yè)信息的泄露�。
(3)信息權(quán)限管理混亂,企業(yè)的中介服務(wù)體系穩(wěn)定性較差�����。對(duì)于加密的授權(quán)訪問��,權(quán)限管理則成為保護(hù)企業(yè)信息安全的重要因素。但是由于企業(yè)在信息安全管理過程中體系混亂�,操作權(quán)限不清晰導(dǎo)致經(jīng)常出現(xiàn)影響信息安全的非授權(quán)訪問。而且對(duì)于部分中小企業(yè)由于信息化建設(shè)采取對(duì)外委托的方式���,而中介第三方由于穩(wěn)定性難以保證����,隨時(shí)更換或者退出的第三方極易造成企業(yè)有價(jià)值信息的泄漏�,影響企業(yè)信息安全建設(shè)。
(4)信息管理安全防范體系不健全����,缺乏針對(duì)信息安全管理的專業(yè)技術(shù)人才。雖然部分企業(yè)已經(jīng)認(rèn)識(shí)到信息化管理的重要性��,并在企業(yè)網(wǎng)絡(luò)內(nèi)設(shè)置了必要的安全設(shè)備�。但是缺乏一系列的安全管理機(jī)制,在信息安全管理方面缺乏行之有效的整體規(guī)劃與具體落實(shí)措施�。此外,由于大部分企業(yè)在信息安全管理工作中將重點(diǎn)放在軟硬件設(shè)施上��,而忽略了對(duì)于信息安全技術(shù)人員的培養(yǎng)�,而且為了減少人力資源支出成本,信息安全管理人員少工作任務(wù)重,管理權(quán)限集中化程度高�,影響了信息化建設(shè)的安全管理。
3.企業(yè)信息建設(shè)信息安全管理措施
(1)加強(qiáng)對(duì)于信息庫硬件設(shè)備的保護(hù)管理�。首先應(yīng)保證計(jì)算機(jī)等硬件設(shè)備具有安全的工作環(huán)境,做好計(jì)算機(jī)設(shè)備的防火�、防潮�、防盜措施,并避免強(qiáng)磁環(huán)境對(duì)信息數(shù)據(jù)可能造成的損壞�。其次,在對(duì)各種硬件設(shè)備進(jìn)行檢修時(shí)����,硬組織企業(yè)內(nèi)部相關(guān)技術(shù)人員進(jìn)行監(jiān)督管理,對(duì)于需要外送檢修的設(shè)備���,則應(yīng)提前進(jìn)行數(shù)據(jù)加密處理����。
(2)提高企業(yè)內(nèi)部的信息安全管理意識(shí)�。企業(yè)信息安全管理對(duì)于提高企業(yè)競爭力,避免企業(yè)經(jīng)濟(jì)損失具有重要的意義����。在企業(yè)的正常管理過程中,加強(qiáng)信息安全宣傳工作,使員工充分認(rèn)識(shí)到企業(yè)信息安全管理的重要性��,并熟悉企業(yè)相關(guān)信息數(shù)據(jù)保密的規(guī)則制度��,提高企業(yè)的整體信息安全防范水平����。
(3)加強(qiáng)信息安全操作管理人員的管理。在企業(yè)信息日常管理過程中��,應(yīng)加強(qiáng)對(duì)于業(yè)務(wù)操作以及數(shù)據(jù)存取控制代碼的管理��。系統(tǒng)管理操作代碼的獲得應(yīng)經(jīng)過企業(yè)管理者授權(quán)�����,系統(tǒng)管理人員在進(jìn)行企業(yè)相關(guān)信息數(shù)據(jù)庫的整理以及維護(hù)過程中�����,必須通過授權(quán)進(jìn)行���。系統(tǒng)管理人員離開工作崗位后�����,相關(guān)責(zé)任人應(yīng)及時(shí)更換管理員操作代碼�。
(4)加強(qiáng)企業(yè)信息數(shù)據(jù)庫的密碼與權(quán)限管理。對(duì)于涉及到企業(yè)信息數(shù)據(jù)庫安全的密碼����,應(yīng)分別設(shè)置用戶密碼以及操作密碼,并提高密碼的安全程度��,及時(shí)定期更換登陸操作密碼����。對(duì)于組成企業(yè)內(nèi)部局域網(wǎng)絡(luò)的服務(wù)器����、路由器等設(shè)施的設(shè)置管理工作,應(yīng)嚴(yán)格按照相關(guān)管理規(guī)定進(jìn)行設(shè)置�。
(5)明確企業(yè)信息數(shù)據(jù)庫管理制度。對(duì)于企業(yè)重要的數(shù)據(jù)應(yīng)存放備份數(shù)據(jù)�����,并采取異地存放的方式對(duì)備份數(shù)據(jù)庫進(jìn)行管理����。對(duì)于廢棄或者需要銷毀的數(shù)據(jù)信息,應(yīng)嚴(yán)格依照程序采取逐級(jí)審批的方式,避免數(shù)據(jù)信息的泄露�。需要進(jìn)行數(shù)據(jù)恢復(fù)工作時(shí),應(yīng)嚴(yán)格按照相關(guān)技術(shù)手冊(cè)�,并對(duì)恢復(fù)的數(shù)據(jù)進(jìn)行驗(yàn)證確認(rèn)數(shù)據(jù)的完整可用。
(6)加強(qiáng)企業(yè)信息數(shù)據(jù)機(jī)房的管理����。相關(guān)人員出入信息數(shù)據(jù)庫機(jī)房進(jìn)行數(shù)據(jù)查閱以及提取工作時(shí),應(yīng)經(jīng)由相關(guān)主管人員的授權(quán)��,并登記進(jìn)入�����。在日常管理過程中���,定期對(duì)硬件設(shè)備進(jìn)行保養(yǎng)����,同時(shí)研究違章操作在信息數(shù)據(jù)機(jī)房安裝外部其他軟件�。
參考文獻(xiàn)
篇(2)
中圖分類號(hào): C29 文獻(xiàn)標(biāo)識(shí)碼: A
前言
企業(yè)生產(chǎn)銷售、經(jīng)營管理和技術(shù)的開發(fā)等領(lǐng)域是不斷的達(dá)到社會(huì)經(jīng)濟(jì)效益和全面提高管理水平的整個(gè)過程�。目前,供電企業(yè)已經(jīng)建立了一套完成的包括文件處理��、財(cái)務(wù)、人力資源�����、生產(chǎn)管理等各個(gè)專業(yè)的應(yīng)用信息系統(tǒng)�����,全面促進(jìn)企業(yè)發(fā)展��,提高企業(yè)在社會(huì)市場的競爭����。隨著電力行業(yè)的高速發(fā)展��,社會(huì)民眾對(duì)供電企業(yè)的服務(wù)需求逐漸增多��,這對(duì)企業(yè)信息化建設(shè)水平提出了更高的要求�����。面對(duì)社會(huì)發(fā)展的新形勢���,供電企業(yè)必須在先進(jìn)信息技術(shù)基礎(chǔ)之上�,抓住信息化建設(shè)這一機(jī)遇,實(shí)現(xiàn)跨越式發(fā)展��,爭取早日建設(shè)成為一個(gè)優(yōu)秀的現(xiàn)代公司���。
1. 供電企業(yè)信息化建設(shè)安全常見問題及原因
1.1�、重應(yīng)用�����,輕管理的思想意識(shí)
供電企業(yè)信息化建設(shè)開展和實(shí)施以來���,許多工作人員并沒有在思想上轉(zhuǎn)變傳統(tǒng)的工作模式��,依然只是將信息化建設(shè)和管理作為一項(xiàng)應(yīng)用型工具�����,以為就是簡單的計(jì)算機(jī)應(yīng)用工作����,缺乏必備的網(wǎng)絡(luò)和信息數(shù)據(jù)安全管理知識(shí)�。即便有些人了解到信息化建設(shè)安全的重要性,但是對(duì)于如何防范的措施卻一知半解����。還有大部分人存在僥幸心理��,認(rèn)為一切從簡��,密碼簡單�����、不開啟防火墻���、不備份數(shù)據(jù)文件、對(duì)于共享和可見性以及遠(yuǎn)程操作等關(guān)鍵環(huán)節(jié)更是隨心所欲��,造成供電企業(yè)信息化建設(shè)安全危機(jī)重重����。
1.2�����、供電企業(yè)信息化人才短缺
在人才培養(yǎng)方面�,供電企業(yè)更重視安全生產(chǎn)、營銷服務(wù)等專業(yè)人才培養(yǎng)��,對(duì)計(jì)算機(jī)、網(wǎng)絡(luò)���、通信方面人才不夠重視�����,這讓信息人才對(duì)企業(yè)歸屬感不強(qiáng)���,感覺缺少發(fā)展空間。在人才管理機(jī)制方面�,由于人才激勵(lì)效果不明顯,績效考評(píng)制度不健全�����,導(dǎo)致供電企業(yè)的人才培養(yǎng)機(jī)制有效性不強(qiáng)���。供電企業(yè)內(nèi)管理專業(yè)工作人員對(duì)信息技術(shù)知識(shí)知之甚少����,而信息技術(shù)管理人員又不懂安全生產(chǎn)��、營銷管理等業(yè)務(wù)�,復(fù)合型人才嚴(yán)重短缺��,也使企業(yè)務(wù)與信息技術(shù)相互不能有效的整合���。在人員配置上,基層供電企業(yè)的計(jì)算機(jī)����、網(wǎng)絡(luò)、通信管理人員數(shù)量較少�����,信息化專業(yè)班組成立剛剛幾年�,如遇計(jì)算機(jī)、網(wǎng)絡(luò)突發(fā)狀況�����,無法及時(shí)處理�����。
1.3��、缺乏有效的病毒防治管理
網(wǎng)絡(luò)病毒是信息化建設(shè)安全的最大威脅之一��,對(duì)于供電企業(yè)信息化建設(shè)安全來講���,重點(diǎn)就在于對(duì)網(wǎng)絡(luò)病毒的防治和管理����。網(wǎng)絡(luò)病毒的防治和管理是一項(xiàng)長期且艱巨的任務(wù)��,目前沒有任何系統(tǒng)可以對(duì)所有病毒都具有防護(hù)的功能���。而供電企業(yè)的基層單位對(duì)于病毒的防治大多數(shù)也只是安裝單一的網(wǎng)絡(luò)殺毒軟件���,再無其他的病毒防治預(yù)案。管理工作也通常比較簡單和疏松�����,當(dāng)殺毒軟件無法識(shí)別或者根除一些病毒或者木馬時(shí)�����,相應(yīng)的技術(shù)人員也只是自己通過其他途徑尋找解決方案���,一旦實(shí)在無法解決就要面臨重裝系統(tǒng)����,丟失所有當(dāng)前數(shù)據(jù)文件信息的風(fēng)險(xiǎn);更為嚴(yán)重的甚至?xí)斐蓸I(yè)務(wù)系統(tǒng)的崩潰�����,導(dǎo)致正常的工作難以進(jìn)行����。
1.4、供電企業(yè)信息化建設(shè)安全性不高
供電企業(yè)信息化建設(shè)是以局域網(wǎng)為基礎(chǔ)的�,網(wǎng)絡(luò)通暢和安全問題是企業(yè)開展信息化建設(shè)必須考慮的重要問題。局域網(wǎng)絡(luò)每一次發(fā)生故障���,都會(huì)導(dǎo)致企業(yè)業(yè)務(wù)運(yùn)行陷入癱瘓狀態(tài)�����,其帶來的損失難以估計(jì)�����。目前�����,造成供電企業(yè)信息化建設(shè)安全問題的原因主要有四個(gè)方面:一是殺毒軟件沒有真正發(fā)揮作用���,目前全省供電企業(yè)已經(jīng)安裝了統(tǒng)一的殺毒軟件,但在及時(shí)更新和升級(jí)方面還存在一些問題�����;二���、計(jì)算機(jī)配置硬件水平參差不齊�,一些基層單位仍在使用的計(jì)算機(jī)老舊��,甚至不能安裝較大的殺毒軟件���,否則無法啟動(dòng)����,更談不上安全性了�。三是,計(jì)算機(jī)的管理人員與應(yīng)用人的安全意識(shí)薄弱����,殊不知竟有75%以上的安全問題是由于組織內(nèi)部人員的不正常使用引起來的��。四�、局域網(wǎng)絡(luò)運(yùn)行可靠性低�����。在縣供電企業(yè)局域網(wǎng)絡(luò)基本為十年前建成�����,局域網(wǎng)絡(luò)為單一通道����,沒有備用線路,一旦發(fā)生光纜損壞���,涉及的單位通信終端���,各項(xiàng)工作基本處于癱瘓狀態(tài),特別一些供電所位于偏遠(yuǎn)山區(qū)�,一旦出現(xiàn)通信故障,維修耗時(shí)較長�����,影響正常工作。另外���,機(jī)房等局域網(wǎng)重要節(jié)點(diǎn)缺少備用電源�����,一遇故障停電,全部網(wǎng)絡(luò)中斷��。
2. 提高供電企業(yè)信息化建設(shè)安全的措施
2.1�����、建立健全信息化建設(shè)安全管理和考核機(jī)制
供電企業(yè)信息化建設(shè)安全管理是一項(xiàng)動(dòng)態(tài)的�����、靈活的工作���,不僅僅是引進(jìn)了新的技術(shù)或者新的安全體系就能馬上見效的���,還要靠平時(shí)的管理和監(jiān)測�����。技術(shù)所能起到的作用就是預(yù)防更多的已知的安全隱患�����;而管理則是靈活的����,實(shí)施的主體以人為主�,可以通過建立各種安全管理制度,用技術(shù)來對(duì)人進(jìn)行約束和管理��,真正發(fā)揮人的靈活性和主動(dòng)性��,在安全威脅來臨之前就發(fā)揮防控作用�����,不給安全威脅發(fā)生的機(jī)會(huì)��。同時(shí)��,還要針對(duì)供電企業(yè)信息建設(shè)安全的特點(diǎn)建立一套涵蓋引進(jìn)標(biāo)準(zhǔn)��、風(fēng)險(xiǎn)性評(píng)估和技術(shù)應(yīng)用規(guī)范的安全管理體系。落實(shí)安全崗位職責(zé)�,推行責(zé)任制,嚴(yán)格按著相關(guān)法律法規(guī)的標(biāo)準(zhǔn)結(jié)合企業(yè)實(shí)際的安全等級(jí)要求進(jìn)行信息安全管理系統(tǒng)的建設(shè)和管理��。將安全管理融入到信息系統(tǒng)的各個(gè)環(huán)節(jié)當(dāng)中����,實(shí)現(xiàn)每個(gè)環(huán)節(jié)的自管、自查和自評(píng)�,再通過不定期的崗位臨檢�����,來考核信息化建設(shè)安全的各個(gè)環(huán)節(jié)是否達(dá)到規(guī)定的標(biāo)準(zhǔn)�����,提高信息化建設(shè)安全的重視程度�����,強(qiáng)化信息化建設(shè)安全意識(shí)���。
2.2�����、培養(yǎng)信息化人才
供電企業(yè)應(yīng)通過平等待遇��、增強(qiáng)激勵(lì)等方式培養(yǎng)一批高效的����、專業(yè)的信息化建設(shè)人才。把信息化建設(shè)和業(yè)務(wù)管理放在同等的地位對(duì)待�����,在日常工作中�,積極開展信息化專業(yè)人員培訓(xùn)、崗位練兵��、專業(yè)競賽等活動(dòng)����,為從事信息崗位員工提供發(fā)展空間和施展才能的平臺(tái),加強(qiáng)信息化人才儲(chǔ)備���,提高信息化人才在供電企業(yè)中的地位����。加強(qiáng)企業(yè)其他員工信息化知識(shí)培訓(xùn)學(xué)習(xí),營造良好的學(xué)習(xí)氛圍�,提高企業(yè)整體信息化應(yīng)用水平。進(jìn)一步培養(yǎng)復(fù)合型的人才�,特別是在管理層要培養(yǎng)一批既懂業(yè)務(wù)管理又懂信息技術(shù)的管理人員,這樣在管理上才能進(jìn)一步提高水平����。建立和完善供電企業(yè)信息化方面的人才管理和評(píng)價(jià)機(jī)制,采取合理有效的激勵(lì)和績效考核手段����,調(diào)動(dòng)員工積極性,不斷完善用人制度�,通過競爭��、擇優(yōu)上崗���,優(yōu)化人力資源配置���。
2.3、加強(qiáng)移動(dòng)存儲(chǔ)介質(zhì)的控制和管理
鑒于移動(dòng)存儲(chǔ)介質(zhì)的廣泛應(yīng)用和其實(shí)際應(yīng)用中的便攜性�����、靈活性,供電企業(yè)信息化建設(shè)安全部門應(yīng)該根據(jù)行業(yè)的實(shí)際情況制定一些有效的移動(dòng)存儲(chǔ)介質(zhì)使用標(biāo)準(zhǔn)和規(guī)范��,并進(jìn)行全員的教育和培訓(xùn)�����。其內(nèi)容可以從移動(dòng)存儲(chǔ)設(shè)備的插拔使用�、讀寫開關(guān)應(yīng)用、加密設(shè)置和定期殺毒要領(lǐng)等基礎(chǔ)知識(shí)展開�。使企業(yè)內(nèi)部的人員熟練掌握移動(dòng)存儲(chǔ)介質(zhì)的基礎(chǔ)知識(shí)和安全使用方法,逐步提高安全防范意識(shí)����,養(yǎng)成良好的移動(dòng)存儲(chǔ)介質(zhì)使用習(xí)慣。移動(dòng)存儲(chǔ)介質(zhì)使用的具體安全管理工作可以從以下幾個(gè)方面做起:一是妥善保管防止遺失�;二是專職專用,嚴(yán)禁外借�����;三是定期殺毒�;四是采取“雙備份”原則;五是杜絕任何形式的非法外聯(lián)操作�。
結(jié)束語
綜上所述中可以看出,供電企業(yè)信息化建設(shè)安全保障是一項(xiàng)綜合技術(shù)和管理為主要內(nèi)容的工作。供電企業(yè)信息系統(tǒng)的安全管理是一項(xiàng)綜合性較強(qiáng)的課題����,不僅僅涉及到了應(yīng)用、技術(shù)和管理�,還包括信息系統(tǒng)自身的安全性能以及物理和邏輯上面的計(jì)算的相關(guān)措施,技術(shù)僅僅只是解決某個(gè)問題的技術(shù)��。因此���,供電企業(yè)信息化安全建設(shè)是一項(xiàng)長期的�、靈活的�,需要供電企業(yè)全體人員共同參與的工作,還需要我們不斷的努力學(xué)習(xí)和創(chuàng)新���。
參考文獻(xiàn)
篇(3)
1 卷煙企業(yè)安全管理現(xiàn)狀分析
安全管理作為支撐企業(yè)管理的關(guān)鍵核心��,始終得到企業(yè)各級(jí)領(lǐng)導(dǎo)及員工的高度重視���;與此同時(shí)���,隨著近年來的企業(yè)信息化建設(shè)與應(yīng)用水平提升��,辦公OA系統(tǒng)����、ERP、MES以及EAM裝備信息化等系統(tǒng)的廣泛應(yīng)用���,信息化支撐企業(yè)各項(xiàng)管理現(xiàn)代化已經(jīng)成為一種趨勢���,更是企業(yè)有效提升管理效率、增強(qiáng)核心競爭力的一條捷徑����。但是,在具體實(shí)踐中部分卷煙企業(yè)還未能夠?qū)⑿畔⒒c安全管理有效融合�,對(duì)于有效利用信息化提供的高效、及時(shí)性方面還不能夠達(dá)成共識(shí)�����,這一情況除存在一定的意識(shí)淡薄�����、資金缺少��、技術(shù)匱乏之外,還應(yīng)該從以下三個(gè)方面進(jìn)行剖析:
1.1 安全管理人員隊(duì)伍素質(zhì)偏低
根據(jù)大多數(shù)卷煙企業(yè)的安全管理隊(duì)伍整體素質(zhì)水平�����,相對(duì)處于企業(yè)知識(shí)結(jié)構(gòu)與能力水平較弱的層級(jí)����,對(duì)于信息化的應(yīng)用能力與水平存在一定的障礙,而作為安全管理信息系統(tǒng)具有系統(tǒng)性�、先進(jìn)性、前瞻性的技術(shù)特點(diǎn)���,在系統(tǒng)的建設(shè)�、運(yùn)行與維護(hù)方面都需要一定的專業(yè)知識(shí)與技術(shù)�,造成系統(tǒng)建設(shè)的技術(shù)壁壘。
1.2 安全信息系統(tǒng)投入風(fēng)險(xiǎn)較大
信息系統(tǒng)的建設(shè)是一種系統(tǒng)工程�,需要系統(tǒng)設(shè)計(jì)、統(tǒng)籌實(shí)施與有效實(shí)現(xiàn)���,在企業(yè)涉及安全建設(shè)方面的投入需要多方面的審核與把關(guān)����,相對(duì)投入資金較大����、周期較長、風(fēng)險(xiǎn)共存����,在與企業(yè)相關(guān)系統(tǒng)集成中存在不確定性、融合度低等風(fēng)險(xiǎn)�����,影響到系統(tǒng)的建成效果�,以及企業(yè)領(lǐng)導(dǎo)層的決策。
1.3 安全信息系統(tǒng)建成模式單一
安全管理信息系統(tǒng)的建成模式還比較單一�,可借鑒與實(shí)踐的經(jīng)驗(yàn)相對(duì)較少,在建設(shè)中以信息化建設(shè)為主導(dǎo)推進(jìn)��,以信息化工作梳理流程��、建成模塊�����、系統(tǒng)實(shí)現(xiàn)�����,在投入運(yùn)行中以安全管理為主導(dǎo)理論,如果不能夠有效實(shí)現(xiàn)工作流����、業(yè)務(wù)流、信息流的前期整合����,不能夠有效分清“主導(dǎo)”要素,必然會(huì)造成信息系統(tǒng)運(yùn)行的沖突與障礙�����。
2 安全管理信息系統(tǒng)內(nèi)涵
借助于現(xiàn)代高效的信息技術(shù)應(yīng)用平臺(tái)����,用系統(tǒng)性、流程化��、模塊化的建設(shè)理論為基礎(chǔ)���,強(qiáng)化安全管理的PDCA過程管理方法��,推進(jìn)安全管理工作的流程化����、信息化、系統(tǒng)化�,持續(xù)提升企業(yè)安全管理與應(yīng)急響應(yīng)等級(jí)水平�。信息化的安全管理從安全基礎(chǔ)管理、過程控制及效果監(jiān)督等形成有效的執(zhí)行系統(tǒng)�����,有效改善了安全管理從“結(jié)果導(dǎo)向型”向“過程控制型”轉(zhuǎn)變��;系統(tǒng)化的安全管理從影響安全的各項(xiàng)因素入手�,深入統(tǒng)計(jì)與分析、決策與判斷��,逐步形成科學(xué)性���、有效化的決策體系�����,用系統(tǒng)化的全過程預(yù)防控制方法��,將傳統(tǒng)的“被動(dòng)事故處理”向“超前隱患預(yù)防”轉(zhuǎn)變���;體系化的安全管理借助于安全工作組織架構(gòu)��、資源實(shí)現(xiàn)�、過程方法���、監(jiān)督考核�、持續(xù)改進(jìn)等���,夯實(shí)安全基礎(chǔ)�,筑牢安全防線���,實(shí)現(xiàn)安全管理從“簡單粗放”向“精益標(biāo)準(zhǔn)”轉(zhuǎn)變�,有效促進(jìn)企業(yè)一體化管理水平持續(xù)提升�����。
3 安全管理信息系統(tǒng)構(gòu)建內(nèi)容
卷煙生產(chǎn)企業(yè)安全管理信息系統(tǒng)的建成理論基礎(chǔ)來源于YC/T384-2011《煙草企業(yè)安全生產(chǎn)標(biāo)準(zhǔn)化規(guī)范》��,嚴(yán)格依據(jù)行業(yè)安全標(biāo)準(zhǔn)體系建設(shè)理論���,依托煙草工業(yè)企業(yè)獨(dú)有的目標(biāo)體系���、治理結(jié)構(gòu)�����、管理流程�����、現(xiàn)場監(jiān)控、應(yīng)急處理等安全管理特點(diǎn)�,運(yùn)用先進(jìn)的虛擬化、網(wǎng)絡(luò)化�、電子化及信息化手段,將安全管理全過程中的工作指令��、指揮調(diào)度�����、預(yù)警處理��、信息反饋等實(shí)現(xiàn)數(shù)字信息化����、網(wǎng)絡(luò)化,集中存儲(chǔ)與應(yīng)用,并且運(yùn)用自身的關(guān)鍵命令參數(shù)設(shè)置���,及時(shí)有效地做出綜合評(píng)價(jià)及分析判斷�,快速處理各種信息源的數(shù)據(jù)與差異�,實(shí)現(xiàn)企業(yè)安全管理信息化、動(dòng)態(tài)化和高效化��,為企業(yè)安全管理提供先進(jìn)性�����、系統(tǒng)性����、快捷性的技術(shù)支撐。
安全管理信息系統(tǒng)包含安全管理體系�����、信息系統(tǒng)硬件��、信息系統(tǒng)軟件三個(gè)基本框架�,涉及信息收集、數(shù)據(jù)分析�、評(píng)價(jià)判斷�����、信息反饋���、決策執(zhí)行、應(yīng)急處置等六個(gè)系統(tǒng)模塊�。
3.1 安全管理體系
以煙草行業(yè)安全標(biāo)準(zhǔn)化理論為基礎(chǔ),以“人����、機(jī)、料��、法�、環(huán)��、測”關(guān)鍵要素為核心���,運(yùn)用系統(tǒng)論工作方法�,對(duì)安全管理工作進(jìn)行流程化�、標(biāo)準(zhǔn)化、體系化�����、系統(tǒng)化管理。安全管理體系是安全管理信息系統(tǒng)形成的基礎(chǔ)框架�,對(duì)于信息系統(tǒng)的組成范圍、人員分工�����、工作流程�、應(yīng)急處理、預(yù)案演練����、信息反饋機(jī)制等方面進(jìn)行了規(guī)定與要求,確保安全信息系統(tǒng)的有效建成與組織落實(shí)��。核心要素包括安全方針�,危險(xiǎn)源的辨識(shí)、評(píng)價(jià)與控制�����,法規(guī)和其他要求����,安全目標(biāo)���,安全管理方案,結(jié)構(gòu)和職責(zé)�����,運(yùn)
行控制�����,測量和監(jiān)視���,審核���,管理評(píng)審等10個(gè)方面。
3.2 信息系統(tǒng)硬件
安全信息系統(tǒng)的有效運(yùn)行依托于企業(yè)信息化的基礎(chǔ)平臺(tái)����,運(yùn)行效率的高低完全取決于企業(yè)信息化的建設(shè)水平��。信息系統(tǒng)的核心組件包括數(shù)據(jù)服務(wù)器����、核心網(wǎng)絡(luò)�����、應(yīng)用終端三個(gè)系統(tǒng)平臺(tái)����,配套組件包括安全與備份設(shè)備�、應(yīng)用服務(wù)設(shè)施、集中監(jiān)控與管理設(shè)施等��,共同形成信息系統(tǒng)有效運(yùn)行的硬件平臺(tái)����。
3.3 信息系統(tǒng)軟件
安全信息系統(tǒng)的核心組成是業(yè)務(wù)流、工作流���,關(guān)鍵點(diǎn)在于安全信息的有效集成和全面共享�����,即實(shí)現(xiàn)將關(guān)鍵的準(zhǔn)確的安全信息�、安全數(shù)據(jù)及時(shí)地傳輸?shù)较鄳?yīng)的影響決策人的手中�,從而為企業(yè)的安全運(yùn)作決策提供強(qiáng)力支撐。依據(jù)煙草行業(yè)安全管理體系建設(shè)的系統(tǒng)理論與實(shí)踐應(yīng)用�,結(jié)合卷煙企業(yè)的安全生產(chǎn)管理特點(diǎn)�,運(yùn)用PDCA過程控制方法中��,將安全信息管理系統(tǒng)大致分為六個(gè)核心功能模塊��。
3.3.1 信息收集模塊��。信息收集的來源在于人���、機(jī)�、設(shè)備方面的基本信息��、潛在危險(xiǎn)源���、異常報(bào)告及事故處理等�,包括數(shù)據(jù)的分類標(biāo)簽����、獲取系統(tǒng)和存貯系統(tǒng)、傳輸系統(tǒng)����。對(duì)于相關(guān)數(shù)據(jù)的獲取范圍����、數(shù)據(jù)大小及響應(yīng)時(shí)間應(yīng)做出規(guī)定要求�����,每種數(shù)據(jù)獲取系統(tǒng)中都應(yīng)有檢驗(yàn)數(shù)據(jù)完整性�、及時(shí)性�����、有效性的數(shù)據(jù)質(zhì)量系統(tǒng)���。
3.3.2 數(shù)據(jù)分析模塊�����。根據(jù)數(shù)據(jù)范圍與應(yīng)用����,結(jié)合不同數(shù)據(jù)在各個(gè)體系功能中的作用模式��,建立符合不同要素標(biāo)準(zhǔn)的數(shù)據(jù)統(tǒng)計(jì)與分析算法��,利用電子自動(dòng)運(yùn)算與合成�����,對(duì)所有有效數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析。要持續(xù)關(guān)注數(shù)據(jù)的整體性��、關(guān)聯(lián)性分析����,建立有效數(shù)字分析模型。
3.3.3 評(píng)價(jià)判斷模塊����。應(yīng)建立對(duì)應(yīng)于企業(yè)實(shí)踐的安全指標(biāo)體系模型,運(yùn)用信息化的邏輯算法比對(duì)數(shù)據(jù)分析結(jié)果的符合性�����、異常性及突變程度���,以做出相應(yīng)的反饋與動(dòng)作��。
3.3.4 信息反饋模塊�。在應(yīng)用層與決策層搭建有效信息通道���,保障所有數(shù)據(jù)流����、信息流始終暢通���。建立信息優(yōu)化系統(tǒng)���,對(duì)反饋信息進(jìn)行有效甄別與篩選,合理辨識(shí)信息的完整性����、可用性。
3.3.5 決策執(zhí)行模塊��。決策模塊響應(yīng)底層數(shù)據(jù)收集����、分析與評(píng)價(jià)機(jī)制,實(shí)現(xiàn)信息雙向互傳���,具備自我完善的運(yùn)行機(jī)制與策略�����,用正確的數(shù)據(jù)傳達(dá)正確的指令��,通過方案決策系統(tǒng)決定控制策略���,形成共同協(xié)商���、高度集中的執(zhí)行決策,從而形成閉環(huán)的信息體系�。
篇(4)
在科技飛速發(fā)展的大環(huán)境下,信息化已經(jīng)成為當(dāng)今時(shí)代的發(fā)展趨勢�����,企業(yè)信息化建設(shè)已經(jīng)成為企業(yè)發(fā)展的必經(jīng)之路���,企業(yè)通過對(duì)信息化建設(shè)過程中的信息安全的探索��,保證企業(yè)信息化建設(shè)過程中的信息安全與系統(tǒng)穩(wěn)定�����,從而使企業(yè)在競爭中處于不敗之地��,讓企業(yè)在工業(yè)化與信息化深度融合下���,快速發(fā)展���,與時(shí)俱進(jìn)。
1 當(dāng)前企業(yè)信息化建設(shè)中的信息安全問題
1.1 信息安全管理問題
目前企業(yè)的信息安全管理上存在的問題�����,首先��,信息管理人員缺乏或者人員經(jīng)驗(yàn)不足:計(jì)算機(jī)信息安全很大程度上取決于管理人才��,調(diào)查顯示��,我國七成IT企業(yè)信息安全系統(tǒng)保障不足�����,主要原因是管理人員沒有及時(shí)更新系統(tǒng)補(bǔ)丁程序�、沒有及時(shí)維護(hù)系統(tǒng)�。企業(yè)信息安全是上不斷完善的動(dòng)態(tài)過程,需要不斷對(duì)現(xiàn)有系統(tǒng)進(jìn)行安全檢查����、評(píng)估����,及時(shí)發(fā)現(xiàn)新的問題���,跟蹤最新安全技術(shù)�����,及時(shí)調(diào)整安全策略���,增強(qiáng)企業(yè)信息安全性。其次�,在企業(yè)的信息化建設(shè)中信息安全管理系統(tǒng)不完善,信息安全管理系統(tǒng)�,如果沒有一個(gè)很好的保障體系,會(huì)使得信息的管理錯(cuò)亂�,無秩序,重復(fù)管理�、漏管等現(xiàn)象發(fā)生,使得信息系統(tǒng)出現(xiàn)漏洞�����,安全性降低��。最后,安全以人為本�����,如果管理不善�����,人為原因����,造成的操作失誤�,誤用或?yàn)E用關(guān)鍵、敏感數(shù)據(jù)或資源等導(dǎo)致信息丟失泄露���,外部人員和硬件的商家等對(duì)于企業(yè)的系統(tǒng)有一定的了解���,有權(quán)限合法訪問,這也會(huì)造成信息的安全問題����。
1.2 信息化建設(shè)中的硬件問題
近年來,由于信息化發(fā)展較快��,企業(yè)信息化建設(shè)的成本也在不斷提高,由于信息化建設(shè)投資大�、回報(bào)慢,一些企業(yè)雖然有信息化建設(shè)的意愿��,但是在實(shí)際投入上比較小���,這就使得企業(yè)信息化建設(shè)過程中����,企業(yè)的硬件設(shè)施跟不上時(shí)代的不發(fā)�����,導(dǎo)致企業(yè)信息化建設(shè)止步不前�,計(jì)算機(jī)硬件設(shè)施的老化,對(duì)企業(yè)信息化建設(shè)過程中的安全問題存在這一定的隱患�����,而且�����,計(jì)算機(jī)的硬件決定著信息化建設(shè)的穩(wěn)定性�。另外在鏈路傳輸�、網(wǎng)絡(luò)設(shè)備(路由器�����、交換機(jī)���、防火墻��、通訊線路故障)等以及物量的一些不可抗力造成的地震��、水災(zāi)�����、火災(zāi)等環(huán)境事故使系統(tǒng)毀灰。
1.3 信息化建設(shè)中的軟件問題
(1)國內(nèi)的軟件水平與世界先進(jìn)水平還存在較大的差距�����,更容易受到黑客和病毒的攻擊���。這樣就會(huì)造成使用這些軟件的企業(yè)信息化建設(shè)中存在信息安全問題�。
(2)配置中存在的問題����,很多的系統(tǒng)和應(yīng)用軟件在初裝后會(huì)使用默認(rèn)的用戶名和口令以及開放的端口���,而這些都容易造成信息的泄露。
(3)Web服務(wù)中的安全問題���,www體系的主要特點(diǎn)是開放�����、共享����、交互�,這使得信息安全問題增加,安全漏洞多樣��,如果服務(wù)器的保密信息被竊取�����,信息系統(tǒng)就會(huì)受到攻擊���,獲取Web主機(jī)信息��,使機(jī)器暫時(shí)不能使用����,使機(jī)器暫時(shí)不能使用,服務(wù)器和客戶端之間的信息被監(jiān)聽等�����。
(4)路由器信息的不安全行為����,路由器簡單的密碼或共享密碼、安全功能沒有設(shè)置會(huì)導(dǎo)致信息的泄露����。
2 企業(yè)信息化建設(shè)中信息安全的對(duì)策
信息安全是企業(yè)信息化建設(shè)中的重要問題,只有保證信息的安全才能使企業(yè)在信息化建設(shè)中走得更遠(yuǎn)���。企業(yè)在信息化建設(shè)進(jìn)行信息安全的建設(shè),主要可以從強(qiáng)化信息安全觀念�����、加強(qiáng)硬件建設(shè)安全防護(hù)���、提升軟件建設(shè)安全措施三個(gè)方面進(jìn)行�。
2.1 強(qiáng)化信息安全觀念
在企業(yè)信息化建設(shè)中,一旦企業(yè)信息被盜取或丟失����,對(duì)企業(yè)肯定會(huì)造成損失甚至是致命的打擊。要從企業(yè)的基層員工到管理者都要正確認(rèn)識(shí)信息安全的重要性�,強(qiáng)化信息安全的觀念,提高信息安全意識(shí)�����,從思想上認(rèn)識(shí)提高信息安全的必要性�。
2.2 加強(qiáng)硬件建設(shè)安全防護(hù)
加強(qiáng)企業(yè)信息化建設(shè)過程中的硬件建設(shè)安全,首先要保證計(jì)算機(jī)的安全����。企業(yè)的信息化建設(shè)離不開計(jì)算機(jī),要保證計(jì)算機(jī)的安全就要對(duì)計(jì)算機(jī)進(jìn)行定期的維護(hù)與保養(yǎng)����,避免計(jì)算機(jī)在運(yùn)行過程中出現(xiàn)突發(fā)性故障而導(dǎo)致企業(yè)信息的丟失。
另外��,企業(yè)的信息化建設(shè)中,要加強(qiáng)網(wǎng)絡(luò)硬件的建設(shè)�����。目前���,市場上應(yīng)用比較廣泛的企業(yè)網(wǎng)絡(luò)協(xié)議就是TCP/IP協(xié)議����,硬件組成有服務(wù)器�����、通信設(shè)備����、網(wǎng)絡(luò)安全設(shè)備,主要應(yīng)用技術(shù)是網(wǎng)絡(luò)交換�、網(wǎng)絡(luò)管理、WEB數(shù)據(jù)庫技術(shù)��、防火墻等技術(shù)�����,同時(shí)還有支持網(wǎng)絡(luò)運(yùn)行的支撐系統(tǒng)��,整個(gè)硬件建設(shè)安全��、穩(wěn)定��、可靠�����。
2.3 提升軟件建設(shè)安全措施
要解決企業(yè)信息化建設(shè)過程中的信息安全問題還需要加強(qiáng)企業(yè)信息系統(tǒng)的軟件安全防御措施��,要采用高性能的安全軟件對(duì)系統(tǒng)進(jìn)行防護(hù)��,使用防護(hù)軟件要使其發(fā)揮其價(jià)值所在�����,不要因小失大�。目前,大多數(shù)企業(yè)的軟件防護(hù)措施不到位�,主要原因就在于軟件防護(hù)措施不到位,例如企業(yè)在公共區(qū)域設(shè)置無密碼的無線路由器��,等于是向所有人公開企業(yè)的信息�,安全無法保證��。因此��,企業(yè)在信息化建設(shè)過程中有必要采取高性能的安全防護(hù)軟件來保證信息的安全��。
3 小結(jié)
企業(yè)在信息化建O過程中的信息安全問題�,有著很廣泛的內(nèi)容���,企業(yè)信息化建設(shè)中信息安全的監(jiān)控��、維護(hù)等涉及的面比較廣����。在信息安全問題上主要應(yīng)該以防護(hù)為主�,從良好的管理開始,將信息安全風(fēng)險(xiǎn)扼殺在搖籃中�,形成安全保障體系。信息時(shí)代��,企業(yè)的信息化建設(shè)是企業(yè)發(fā)展和提高競爭力的基礎(chǔ)���,我國的企業(yè)信息系統(tǒng)長期處于不安全狀態(tài)���,沒有足夠認(rèn)識(shí)到企業(yè)信息安全的重要性�����,希望通過本文的探索和論述,能夠引起企業(yè)的關(guān)注�����,加強(qiáng)信息安全的防護(hù)��。
參考文獻(xiàn)
[1]艾戩.企業(yè)信息化建設(shè)中的信息安全探究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用�����,2015(03).
[2]辛玉紅.企業(yè)信息化建設(shè)中的信息安全問題[J].現(xiàn)代情報(bào)�����,2004(11).
[3]馬良.企業(yè)信息化建設(shè)中的信息安全問題[J].才智�����,2014(01).
[4]張耀輝.關(guān)于企業(yè)信息化建設(shè)中的信息安全探討[J].電子技術(shù)與軟件工程�����,2013(14).
篇(5)
0 引言
現(xiàn)代企業(yè)信息化網(wǎng)絡(luò)是基于內(nèi)部傳輸網(wǎng)和Internet網(wǎng)絡(luò)的互聯(lián)網(wǎng)絡(luò),由于公眾網(wǎng)絡(luò)是一個(gè)相對(duì)開放的平臺(tái)��,網(wǎng)絡(luò)接入比較復(fù)雜�����,掛接的相關(guān)點(diǎn)比較多���,網(wǎng)絡(luò)一旦接入公眾網(wǎng)絡(luò)�����,對(duì)于一些網(wǎng)絡(luò)安全比較敏感的數(shù)據(jù)�,傳輸?shù)陌踩跃捅容^弱����,比較危險(xiǎn)。本文將重點(diǎn)分析企業(yè)網(wǎng)絡(luò)系統(tǒng)安全性方面以及業(yè)務(wù)系統(tǒng)安全性方面存在的問題���。
1 企業(yè)信息化網(wǎng)絡(luò)存在的安全隱患
1.1 Windows系統(tǒng)的安全隱患
Windows的安全機(jī)制不是外加的�����,而是建立在操作系統(tǒng)內(nèi)部的���,可以通過一定的系統(tǒng)參數(shù)�、權(quán)限等設(shè)置使文件和其他資源免受不良用戶的威脅(破壞��、非法的編輯等等)�。例如設(shè)置系統(tǒng)時(shí)鐘��,對(duì)用戶賬號(hào)�����、用戶權(quán)限及資源權(quán)限的合理分配等���。
由于Windows系統(tǒng)的復(fù)雜性���,以及系統(tǒng)的生存周期比較短,系統(tǒng)中存在大量已知和未知的漏洞�。一些國際上的安全組織已經(jīng)公示了大量的安全漏洞,其中一些漏洞可以導(dǎo)致入侵者獲得管理員的權(quán)限��,而另一些漏洞則可以被用來實(shí)施拒絕服務(wù)攻擊���。例如��,Windows所采用的存儲(chǔ)數(shù)據(jù)庫和加密機(jī)制可導(dǎo)致一系列安全隱患:NT把用戶信息和加密口令保存于NTRegistry的SAM文件即安全賬戶管理(securityAccounts Management)數(shù)據(jù)庫中���,由于采用的算法的原因��,NT口令比較脆弱��,容易被破譯��。能解碼SAM數(shù)據(jù)庫并能破解口令的工具有:PWDump和NTCrack�。這些工具可以很容易在Internet上得到���。黑客可以利用這些工具發(fā)現(xiàn)漏洞而破譯―個(gè)或多個(gè)DomainAdministrator帳戶的口令����,并且對(duì)NT域中所有主機(jī)進(jìn)行破壞活動(dòng)��。
1.2 路由和交換設(shè)備的安全隱患
路由器是企業(yè)網(wǎng)絡(luò)的核心部件�,它的安全將直接影響整個(gè)網(wǎng)絡(luò)的安全。路由器在缺省情況下只使用簡單的口令驗(yàn)證用戶身份�����,并且在遠(yuǎn)程TELNET登錄時(shí)以明文傳輸口令。一旦口令泄密���,路由器將失去所有的保護(hù)能力���。同時(shí),路由器口令的弱點(diǎn)是沒有計(jì)數(shù)器功能����,所以每個(gè)人都可以不限次數(shù)地嘗試登錄口令,在口令字典等工具的幫助下很容易破解登錄口令��。每個(gè)管理員都可能使用相同的口令��,路由器對(duì)于誰曾經(jīng)作過什么修改沒有跟蹤審計(jì)的能力���。此外,路由器實(shí)現(xiàn)的某些動(dòng)態(tài)路由協(xié)議存在一定的安全漏洞���,有可能被惡意攻擊者利用來破壞網(wǎng)絡(luò)的路由設(shè)置��,達(dá)到破壞網(wǎng)絡(luò)或?yàn)楣糇鳒?zhǔn)備的目的���。
1.3 數(shù)據(jù)庫系統(tǒng)的安全隱患
一般的現(xiàn)代化企業(yè)信息系統(tǒng)包含著多套數(shù)據(jù)庫系統(tǒng)。數(shù)據(jù)庫系統(tǒng)是存儲(chǔ)重要信息的場所并擔(dān)負(fù)著管理這些數(shù)據(jù)信息的任務(wù)。數(shù)據(jù)庫的安全問題�����,在數(shù)據(jù)庫技術(shù)誕生之后就一直存在�����,并隨著數(shù)據(jù)庫技術(shù)的發(fā)展而不斷深化���。如何保證和加強(qiáng)數(shù)據(jù)庫系統(tǒng)的安全性和保密性對(duì)于企業(yè)的正常���、安全運(yùn)行至關(guān)重要。
我們將企業(yè)數(shù)據(jù)庫系統(tǒng)分成兩個(gè)部分:一部分是數(shù)據(jù)庫�����,按照一定的方式存取各業(yè)務(wù)數(shù)據(jù)����。一部分是數(shù)據(jù)庫管理系統(tǒng)(DBMS),它為用戶及應(yīng)用程序提供數(shù)據(jù)訪問����,同時(shí)對(duì)數(shù)據(jù)庫進(jìn)行管理,維護(hù)等多種功能。
數(shù)據(jù)庫系統(tǒng)的安全隱患有如下特點(diǎn):涉及到信息在不同程度上的安全���,即客體具有層次性和多項(xiàng)性��;在DBMS中受到保護(hù)的客體可能是復(fù)雜的邏輯結(jié)構(gòu)�����,若干復(fù)雜的邏輯結(jié)構(gòu)可能映射到同一物理數(shù)據(jù)客體上���,即客體邏輯結(jié)構(gòu)與物理結(jié)構(gòu)的分離;客體之間的信息相關(guān)性較大��,應(yīng)該考慮對(duì)特殊推理攻擊的防范�。
2 企業(yè)信息化網(wǎng)絡(luò)安全策略的體系
網(wǎng)絡(luò)安全策略為網(wǎng)絡(luò)安全提供管理指導(dǎo)和支持�。企業(yè)應(yīng)該制定一套清晰的指導(dǎo)方針,并通過在組織內(nèi)對(duì)網(wǎng)絡(luò)安全策略的和保持來證明對(duì)網(wǎng)絡(luò)安全的支持與承諾����。
2.1 安全策略系列文檔結(jié)構(gòu)
(1)最高方針
最高方針,屬于綱領(lǐng)性的安全策略主文檔�����,陳述本策略的目的、適用范圍�����、網(wǎng)絡(luò)安全的管理意圖����、支持目標(biāo)以及指導(dǎo)原則,網(wǎng)絡(luò)安全各個(gè)方面所應(yīng)遵守的原則方法和指導(dǎo)性策略�。安全策略的其他部分都從最高方針引申出來,并遵照最高方針�,不與之發(fā)生違背和抵觸。
(2)技術(shù)規(guī)范和標(biāo)準(zhǔn)
技術(shù)標(biāo)準(zhǔn)和規(guī)范����,包括各個(gè)網(wǎng)絡(luò)設(shè)備、主機(jī)操作系統(tǒng)和主要應(yīng)用程序應(yīng)遵守的安全配置和管理技術(shù)標(biāo)準(zhǔn)和規(guī)范��。技術(shù)標(biāo)準(zhǔn)和規(guī)范將作為各個(gè)網(wǎng)絡(luò)設(shè)備�����、主機(jī)操作系統(tǒng)和應(yīng)用程序安裝����、配置�����、采購���、項(xiàng)目評(píng)審、日常安全管理和維護(hù)時(shí)必須遵照的標(biāo)準(zhǔn)���,不允許發(fā)生違背和沖突��。它向上遵照最高方針����,向下延伸到安全操作流程��,作為安全操作流程的依據(jù)���。
(3)管理制度和規(guī)定
管理制度和規(guī)定包括各類管理規(guī)定�����、管理辦法和暫行規(guī)定。從安全策略主文檔中規(guī)定的安全各個(gè)方面所應(yīng)遵守的原則方法和指導(dǎo)性策略引出的具體管理規(guī)定���、管理辦法和實(shí)施辦法��,必須具有可操作性���,而且必須得到有效推行和實(shí)施�����。它向上遵照最高方針�����,向下延伸到用戶簽署的文檔和協(xié)議����。用戶協(xié)議必須遵照管理規(guī)定和管理辦法�,不與之發(fā)生違背。
(4)組織機(jī)構(gòu)和人員職責(zé)
安全管理組織機(jī)構(gòu)和人員的安全職責(zé)����,包括安全管理機(jī)構(gòu)組織形式和運(yùn)作方式,機(jī)構(gòu)和人員的一般責(zé)任和具體責(zé)任���。作為機(jī)構(gòu)和員工工作時(shí)的具體職責(zé)依照�����,此部分必須具有可操作性���,而目必須得到有效推行和實(shí)施�。
(5)用戶協(xié)議
用戶簽署的文檔和協(xié)議����,包括安全管理人員、網(wǎng)絡(luò)和系統(tǒng)管理員安全責(zé)任書�、保密協(xié)議、安全使用承諾等等����。作為員工或用戶對(duì)日常工作中遵守安全規(guī)定的承諾,也作為違背安全時(shí)處罰的依據(jù)���。
2.2 策略體系的建立
目前的企業(yè)普遍缺乏完整的安全策略體系����,沒有將政府高層對(duì)于網(wǎng)絡(luò)安全的重視體現(xiàn)在正式的���、成文的����、可操作的策略和規(guī)定上����。企業(yè)應(yīng)當(dāng)建立策略體系,制定安全策略系列文檔�����。建議按照上面所描述的策略文檔結(jié)構(gòu)��,建立起安全策略文檔體系����。
建議策略編制原則為建立一個(gè)統(tǒng)一的、體系完整的企業(yè)安全策略體系���,內(nèi)容覆蓋企業(yè)中的所有網(wǎng)絡(luò)�、部門�����、人員����、地點(diǎn)和分支機(jī)構(gòu)����。鑒于企業(yè)中的各個(gè)機(jī)構(gòu)業(yè)務(wù)情況和網(wǎng)絡(luò)現(xiàn)狀差別很大�,因此在整體的策略框架和體系下,允許各個(gè)機(jī)構(gòu)根據(jù)各自情況���,對(duì)策略體系中的管理制度�、操作流程�、用戶協(xié)議、組織和人員職責(zé)進(jìn)行細(xì)化�����。但細(xì)化后的策略文檔必須依照企業(yè)統(tǒng)一制定的策略文檔中的規(guī)定�,不允許發(fā)生違背和矛盾,其要求的安全程度只能持平或提高�����,不允許下降�。
2.3 策略的有效和執(zhí)行
安全策略系列文檔制定后,必須和有效執(zhí)行。和執(zhí)行過程中除了要得到企業(yè)高層領(lǐng)導(dǎo)的大力支持和推動(dòng)外���,還必須要有合適的����、可行的和推動(dòng)手段����,同時(shí)在和執(zhí)行前對(duì)每個(gè)本員要進(jìn)行與其相關(guān)部分的充分培訓(xùn)�����,保證每個(gè)人員都了解與其相關(guān)部分的內(nèi)容��。必須要注意到這是一個(gè)長期����、艱苦的工作,需要付出艱苦的努力�����,而且由于牽扯到企業(yè)許多部門和絕大多數(shù)人����,可能需要改變工作方式和流程�����,所以推行起 來阻力會(huì)相當(dāng)大����;同時(shí)安全策略本身存在的缺陷��,包括不切實(shí)際的�、太過復(fù)雜和繁瑣的、規(guī)定有缺欠的情況等�����,都會(huì)導(dǎo)致整體策略難以落實(shí)�。
3 企業(yè)信息化網(wǎng)絡(luò)安全技術(shù)總體解決方案
參考以上所論述的,結(jié)合現(xiàn)有網(wǎng)絡(luò)安全核心技術(shù)����,本文認(rèn)為,企業(yè)信息化網(wǎng)絡(luò)總體的安全技術(shù)解決方案將圍繞著企業(yè)信息化網(wǎng)絡(luò)的物理層���、網(wǎng)絡(luò)層���、系統(tǒng)層���、應(yīng)用層和安全服務(wù)層搭建整體的解決方案,企業(yè)信息化網(wǎng)絡(luò)建設(shè)將著重從邊界防護(hù)�����、系統(tǒng)加固����、認(rèn)證授權(quán)���、數(shù)據(jù)加密�、集中管理五個(gè)方面進(jìn)行�����,在企業(yè)信息化網(wǎng)絡(luò)中重點(diǎn)部署防火墻��、入侵檢測�、漏洞掃描、網(wǎng)絡(luò)防病毒����、VPN五大子系統(tǒng)���,并通過統(tǒng)一的平臺(tái)進(jìn)行集中管理,從而實(shí)現(xiàn)企業(yè)信息化網(wǎng)絡(luò)安全既定的目標(biāo)����。
3.1 防火墻系統(tǒng)的引入
通過防火墻系統(tǒng)的引入,利用防火墻“邊界隔離+訪問控制”的功能���,實(shí)現(xiàn)對(duì)進(jìn)出企業(yè)網(wǎng)的訪問控制�,特別是針對(duì)內(nèi)網(wǎng)服務(wù)器資源的訪問��,進(jìn)行重點(diǎn)監(jiān)控����,可以提高企業(yè)網(wǎng)的網(wǎng)絡(luò)層面安全。防火墻子系統(tǒng)能夠與入侵檢測子系統(tǒng)進(jìn)行聯(lián)動(dòng)�,當(dāng)入侵檢測系統(tǒng)對(duì)網(wǎng)絡(luò)中的數(shù)據(jù)包進(jìn)行細(xì)粒度檢測,發(fā)現(xiàn)異常�����,并通知防火墻時(shí)���,防火墻會(huì)自動(dòng)生成安全策略�����,將訪問源阻斷在防火墻之外����。
3.2 入侵檢測子系統(tǒng)的引入
入侵檢測系統(tǒng)用于實(shí)時(shí)檢測針對(duì)重要網(wǎng)絡(luò)資源的網(wǎng)絡(luò)攻擊行為,它會(huì)對(duì)企業(yè)網(wǎng)內(nèi)異常的訪問及數(shù)據(jù)包發(fā)出報(bào)警�����,以便企業(yè)的網(wǎng)絡(luò)管理人員及時(shí)采取有效的措施����,防范重要的信息資產(chǎn)遭到破壞�。同時(shí),可在入侵檢測探測器與防火墻之間建立互動(dòng)響應(yīng)體系��,當(dāng)探測器檢測到攻擊行為時(shí)���,向防火墻發(fā)出指令����,防火墻根據(jù)入侵檢測系統(tǒng)上報(bào)的信息,自動(dòng)生成動(dòng)態(tài)規(guī)則����,對(duì)發(fā)出異常訪問及數(shù)據(jù)包的源地址給予阻斷。入侵檢測和防火墻相互配合����,能夠共同提高企業(yè)網(wǎng)整體網(wǎng)絡(luò)層面的安全性,兩個(gè)系統(tǒng)共同構(gòu)成了企業(yè)網(wǎng)的邊界防護(hù)體系��。
3.3 網(wǎng)絡(luò)防病毒子系統(tǒng)的引入
防病毒子系統(tǒng)用于實(shí)時(shí)查殺各種網(wǎng)絡(luò)病毒����,可防范企業(yè)網(wǎng)遭到病毒的侵害。企業(yè)應(yīng)在內(nèi)部部署網(wǎng)關(guān)級(jí)����、服務(wù)器級(jí)、郵件級(jí)��,以及個(gè)人主機(jī)級(jí)的病毒防護(hù)�。從整體上提高系統(tǒng)的容災(zāi)能力,提升企業(yè)網(wǎng)整體網(wǎng)絡(luò)層面的安全性���。
3.4 漏洞掃描子系統(tǒng)的引入
漏洞掃描子系統(tǒng)能定期分析網(wǎng)絡(luò)系統(tǒng)存在的安全隱患���,把隱患消滅在萌牙狀態(tài)�����。針對(duì)企業(yè)網(wǎng)絡(luò)中存在眾多類型的操作系統(tǒng)���、數(shù)據(jù)庫系統(tǒng),運(yùn)行著營銷系統(tǒng)�、財(cái)務(wù)系統(tǒng)、客戶信息系統(tǒng)��、人力資源系統(tǒng)等重要的應(yīng)用����,如何確保各類應(yīng)用系統(tǒng)的穩(wěn)定和眾多信息資產(chǎn)的安全,是企業(yè)信息化網(wǎng)絡(luò)中需要重點(diǎn)關(guān)注的問題�。通過漏洞掃描子系統(tǒng)對(duì)操作系統(tǒng)��、數(shù)據(jù)庫���、網(wǎng)絡(luò)設(shè)備的掃描����,定期提交漏洞及弱點(diǎn)報(bào)告,可大大提高企業(yè)網(wǎng)整體系統(tǒng)層面的安全性����。該系統(tǒng)與病毒防范系統(tǒng)一起構(gòu)成了企業(yè)網(wǎng)的系統(tǒng)加固平臺(tái)。
3.5 數(shù)據(jù)加密子系統(tǒng)的引入
篇(6)
現(xiàn)階段����,企業(yè)安全文化由于其本身具備有優(yōu)良的安全管理手段的特點(diǎn),已經(jīng)受到眾多企業(yè)廣泛的關(guān)注�����。因此���,怎樣有效地構(gòu)建安全文化是當(dāng)前電力行業(yè)及通信企業(yè)共同探討的話題�。電力通信企業(yè)生產(chǎn)的主要目的在于如何有效地利用通信為電力企業(yè)搭建一個(gè)基礎(chǔ)平臺(tái)�,能夠準(zhǔn)確地控制各項(xiàng)生產(chǎn)、營銷��、辦公自動(dòng)化的消息的全面?zhèn)魉?��,能夠給電網(wǎng)的安全生產(chǎn)及經(jīng)營管理提供安全�、可靠的通信保障及優(yōu)質(zhì)的服務(wù)�。它不僅具備維護(hù)量大����、點(diǎn)多面廣線長的特點(diǎn)����,而且其技術(shù)更新過程很快,需要不斷學(xué)習(xí)才能夠具備駕馭能力���。另外�����,其安全責(zé)任性相對(duì)較大����,特別是針對(duì)電網(wǎng)安全運(yùn)行�����,需要更新傳統(tǒng)的通信安全觀念��,樹立與電網(wǎng)安全生產(chǎn)要求相適應(yīng)的安全管理理念���。因此���,電力通信企業(yè)的安全文化管理是一個(gè)繁雜的系統(tǒng)性工程,由于其涉及眾多因素�����,必須長期堅(jiān)持開展工作�����,而領(lǐng)導(dǎo)班子齊心協(xié)力是建設(shè)企業(yè)安全文化的重要基礎(chǔ)���。
1安全文化建設(shè)的內(nèi)涵及意義
電力通信企業(yè)的安全文化指的是在從事電力通信生產(chǎn)的實(shí)際過程中�����,為了能夠保證生產(chǎn)能夠正常進(jìn)行�,保護(hù)職工不受到傷害�����,通過長時(shí)間不斷地積淀和總結(jié)�,并結(jié)合當(dāng)前形式下的市場積極制度所形成的一種思想及理論。其不僅是全體職工對(duì)安全工作形成階段的一種共識(shí),而且還是電力通信企業(yè)安全工作的基礎(chǔ)與平臺(tái)��,更是實(shí)現(xiàn)電力通信企業(yè)安全生產(chǎn)長治久安的堅(jiān)強(qiáng)后盾��。因此��,安全文化在電力通信安全管理階段中具備非常重要的意義����。
1.1企業(yè)安全文化建設(shè)的步驟
1.1.1建立機(jī)構(gòu)
企業(yè)安全文化組織的保證來源于建立領(lǐng)導(dǎo)機(jī)構(gòu)。委員會(huì)負(fù)責(zé)對(duì)領(lǐng)導(dǎo)的組織工作����,日常工作開展主要依靠下設(shè)辦公室完善,各項(xiàng)二級(jí)單位需要成立專門的領(lǐng)導(dǎo)小組�。安全文化建設(shè)領(lǐng)導(dǎo)機(jī)構(gòu)能夠有效建立及正常運(yùn)轉(zhuǎn)都少不了高層領(lǐng)導(dǎo)的高度重視。各級(jí)領(lǐng)導(dǎo)需要充分意識(shí)到建設(shè)企業(yè)文化對(duì)企業(yè)發(fā)展的重要性�����,積極組織好安全文化小組�����,完成各項(xiàng)任務(wù)���,要保證其在任務(wù)階段能夠獲取有效成績���,推進(jìn)企業(yè)安全文化建設(shè)步伐,以此帶動(dòng)企業(yè)安全生產(chǎn)管理水平的提升�。
1.1.2制訂規(guī)劃
在進(jìn)行電力通信企業(yè)安全文化的建設(shè)過程中,需要有總體規(guī)劃方案�����,即行動(dòng)有計(jì)劃��,并且要定時(shí)定期地檢查計(jì)劃與規(guī)劃的執(zhí)行狀況����。在制定規(guī)劃的過程中,需要調(diào)查分析安全文化所涉及的內(nèi)容����,并且要根據(jù)電力企業(yè)安全生產(chǎn)及經(jīng)營管理對(duì)通信專業(yè)的基本要求,對(duì)企業(yè)的安全文化理念做定格的設(shè)定�。要及時(shí)地制定科學(xué)的時(shí)間表,在實(shí)施計(jì)劃過程需要講究效率及效果��,而且要定期檢查實(shí)施情況���。值得特別注意的是��,企業(yè)必須與時(shí)俱進(jìn)�,要按照電力企業(yè)對(duì)通信企業(yè)提出的各項(xiàng)要求,進(jìn)行創(chuàng)新文化的理念革新���,及時(shí)修訂安全文化的建設(shè)規(guī)劃���,使其能夠適應(yīng)時(shí)展。
1.1.3訓(xùn)練骨干
在安全文化建設(shè)的過程中�����,只有訓(xùn)練出一批對(duì)安全文化建設(shè)有正確認(rèn)識(shí)及深刻體驗(yàn)的骨干人才����,才能夠在一定基礎(chǔ)上有效地帶動(dòng)群眾隊(duì)伍,從而齊心地建設(shè)和完善企業(yè)安全文化���。這一過程的訓(xùn)練內(nèi)容基本包括理論分析�����、實(shí)例分析及經(jīng)驗(yàn)詳談和單位的實(shí)施方法等���。企業(yè)骨干培訓(xùn)越多����,企業(yè)安全文化建設(shè)的推動(dòng)就越有利��。所以��,對(duì)于企業(yè)領(lǐng)導(dǎo)��、班級(jí)領(lǐng)導(dǎo)����,首先要讓自己成為企業(yè)中的骨干����,只有這樣才能起到帶頭作用,才能更好地影響群眾�。
1.1.4宣傳教育
安全文化建設(shè)的手段主要通過宣傳、激勵(lì)����、教育、感化的形式進(jìn)行���。通過采取各種文化模式�,例如宣傳激勵(lì)、科技創(chuàng)新����、文學(xué)藝術(shù)、教育培訓(xùn)等協(xié)助安全文化建設(shè)的推進(jìn)工作�。在此有幾方面的內(nèi)容需要強(qiáng)調(diào),具體如下��;
(1)要傳遞上級(jí)主管部門在各個(gè)環(huán)節(jié)的重要指示精神���,特別是針對(duì)通信專業(yè)的具體要求����,需要領(lǐng)悟其深刻思想����,要在一定程度上加強(qiáng)安全生產(chǎn)的責(zé)任感。
(2)要積極���、有效地運(yùn)用“安全月”“安全隱患排查”的活動(dòng)���,及時(shí)做好安全文化建設(shè)的宣傳工作�,營造文化氣氛����。
(3)要抓住重大事故的案例進(jìn)行對(duì)比,按照四不放過的原則進(jìn)行嚴(yán)格管控��,通過舉一反三的形式對(duì)員工進(jìn)行安全意識(shí)培養(yǎng)���。
1.1.5努力實(shí)踐
在建設(shè)企業(yè)安全文化的階段中,不僅需要做到雷厲風(fēng)行�,而且還要完善實(shí)際效果。安全建設(shè)文化實(shí)踐的要點(diǎn)主要包括以下方面:
(1)高層領(lǐng)導(dǎo)需要起到表率的作用�����,要不斷深入群眾體系���,聆聽大眾建議���。
(2)管理人員在管理過程必須有創(chuàng)新精神,而且這個(gè)階段需要培養(yǎng)新的工作作風(fēng)��。
(3)需要建立完善的機(jī)制���,需要表彰獎(jiǎng)勵(lì)先進(jìn)���,對(duì)正確的行為方式給予鼓勵(lì)�。
2企業(yè)安全文化建設(shè)的內(nèi)容及方法
當(dāng)前����,在電網(wǎng)的安全管理及經(jīng)營管理都依賴于通信的形勢下,電力通信安全生產(chǎn)的重要性����,在很大程度上決定了企業(yè)安全文化建設(shè)的必然性。其中���,通信企業(yè)安全文化建設(shè)的內(nèi)容主要包括以下方面:
(1)有效地完善安全機(jī)制�,提升安全意識(shí)�����。
(2)通過對(duì)事故心理的研究���,塑造優(yōu)良的心理狀態(tài)���。
(3)加大教育力度����,增強(qiáng)教育效果�����。
(4)不斷完善安全立法����,規(guī)范行為作業(yè)。
3電力企業(yè)安全文化建設(shè)的途徑
只有將“以人為本”的概念放在文化建設(shè)的首位�,才能夠有效地將企業(yè)文化塑造成具有可操作性的企業(yè)安全文化,并且以此為基礎(chǔ)�,形成相對(duì)的安全意識(shí)及安全價(jià)值觀�。當(dāng)前,在電力體系不斷改革的基礎(chǔ)下���,電力企業(yè)安全文化建設(shè)也在不斷向人性化�����、統(tǒng)一化轉(zhuǎn)變��,由面向設(shè)備慢慢向面向人轉(zhuǎn)變�����,由面向技術(shù)逐漸轉(zhuǎn)變?yōu)槊嫦蛞?guī)范化���。
3.1科學(xué)地樹立安全價(jià)值觀
在安全生產(chǎn)的實(shí)際階段中���,電力企業(yè)需要根據(jù)自身特點(diǎn),培訓(xùn)員工普遍認(rèn)同的科學(xué)的安全價(jià)值觀及安全生產(chǎn)理念�,運(yùn)用簡練的語言進(jìn)行表述,以此激發(fā)員工的積極性以及提高員工的工作熱情����,從而提升安全生產(chǎn)責(zé)任感。采用正確的價(jià)值觀去面對(duì)事故發(fā)生的瞬間�����,積極地調(diào)整和約束自己的行為�����,做出保護(hù)生命財(cái)產(chǎn)及減少損失的正確選擇��。以上這些行為措施,都對(duì)提高全體員工的安全素質(zhì)有一定的意義�����,對(duì)其實(shí)現(xiàn)安全生產(chǎn)目標(biāo)有推動(dòng)性作用���。
3.2建立以人為本的文化概念
國外杜邦公司經(jīng)過研究認(rèn)為���,96%的安全因素來源于人體行為。幾年來����,通過多起事故的實(shí)際調(diào)查分析,也充分證明了這一點(diǎn)�。所以要想做好安全生產(chǎn)就需要對(duì)“人”進(jìn)行有效管控,要從“人”這個(gè)管理要素入手�����,培養(yǎng)適合本企業(yè)的安全生產(chǎn)文化�,并且這個(gè)階段如何被廣大職工接受���,讓其在內(nèi)心深處留下積極印象���,從而在安全生產(chǎn)中發(fā)揮重要作用�,這應(yīng)該是當(dāng)前電力通信企業(yè)安全文化建設(shè)的首要任務(wù)��。
3.3建立分成負(fù)責(zé)的安全管理網(wǎng)絡(luò)
在這一過程中需要建立一個(gè)以行政領(lǐng)導(dǎo)為中心���、面向管理部門與基層部門班組輻射的安全管理網(wǎng)絡(luò)�����。各層需要有專人負(fù)責(zé)�����,各層都需要做到人員���、制度、措施的3個(gè)落實(shí)制度����,每層都需要重視安全文明建設(shè),各個(gè)層面都需要能夠運(yùn)行系統(tǒng)管理的原理方法及分析評(píng)價(jià)系統(tǒng)的安全狀態(tài)���,要及時(shí)發(fā)現(xiàn)通報(bào)系統(tǒng)中存在的危險(xiǎn)信號(hào)�����,通過采取綜合措施�����,讓系統(tǒng)中發(fā)生的事故率有所降低����,使其安全狀態(tài)保持穩(wěn)定。
3.4建立統(tǒng)一的職業(yè)規(guī)范
根據(jù)電力系統(tǒng)的各項(xiàng)系統(tǒng)特征�����,需要制定一個(gè)有效的職業(yè)規(guī)范��。安全生產(chǎn)技術(shù)的培訓(xùn)�����,在一定階段中促成了職業(yè)規(guī)范的形成�。嚴(yán)格的培訓(xùn)能夠在一定基礎(chǔ)上員工的行為形成一種準(zhǔn)則及思維方式,能夠讓員工各就其位����,各負(fù)其責(zé),能夠提高其工作效率及安全監(jiān)管水平���。企業(yè)需要定時(shí)對(duì)員工進(jìn)行組織培訓(xùn)��,培訓(xùn)內(nèi)容應(yīng)該以國家方針���、政策、法律及企業(yè)安全生產(chǎn)技術(shù)為基礎(chǔ)�,特別要針對(duì)剛上崗的新員工進(jìn)行嚴(yán)格的崗位培訓(xùn)。
4結(jié)語
總而言之���,電力通信企業(yè)文化建設(shè)的主要目的在于能夠進(jìn)一步提升人們的安全意識(shí)����,更新人們的安全觀念����,在電力通信企業(yè)的安全文化建設(shè)階段中,要對(duì)普及性及實(shí)際操作性認(rèn)真探究��,做到不求高深理論�,只求科學(xué)合理使用。另外����,要以提高員工素質(zhì)為第一保障���,將滿足客戶需求作為第一要求,將保護(hù)員工生命財(cái)產(chǎn)作為第一管理目標(biāo)���,要檢查以人文本的基本理念��,要將企業(yè)立足于規(guī)范化及完整性和適用性逐步形成企業(yè)特有的安全文化特色����。
[參考文獻(xiàn)]
[1]任濤����,王保義.電力市場運(yùn)營系統(tǒng)數(shù)據(jù)通信安全研究[J].電力系統(tǒng)通信,2008(8):48-51.
篇(7)
1企業(yè)信息化建設(shè)集成的重要性
首先���,在企業(yè)管理上具有重要現(xiàn)實(shí)意義�����。在企業(yè)的經(jīng)營和發(fā)展過程中經(jīng)營的業(yè)務(wù)越來越多����,區(qū)域越來越廣泛,導(dǎo)致企業(yè)管理任務(wù)越來越復(fù)雜和多樣���,企業(yè)內(nèi)部的組織結(jié)構(gòu)和流程控制體系越來越完善,這都是因?yàn)樾畔⒒ㄔO(shè)集成發(fā)揮了重要作用�����,其還促進(jìn)管理服務(wù)和觀念朝著信息化的方向發(fā)展���。其次�,企業(yè)信息化建設(shè)符合時(shí)展的潮流�����。如果想讓集成化效率達(dá)到最高水平�,就需要對(duì)傳統(tǒng)的管理模式進(jìn)行創(chuàng)新和發(fā)展,避免在集成化效率提高的同時(shí)帶來一些嚴(yán)重的問題和風(fēng)險(xiǎn)���,例如:現(xiàn)場安全管理和對(duì)管理人員的裁減等�,企業(yè)必須在網(wǎng)絡(luò)信息技術(shù)和計(jì)算機(jī)技術(shù)發(fā)展飛速的今天����,對(duì)內(nèi)部管理體系進(jìn)行創(chuàng)新和改革���,挖掘各組織和員工內(nèi)在潛能和上升空間,在激烈的市場競爭中提升企業(yè)自身的活力與優(yōu)勢��,從而將企業(yè)的經(jīng)濟(jì)收益上升到最高峰����。第三,信息化建設(shè)集成具有自身獨(dú)特的優(yōu)勢��。大型公司集團(tuán)會(huì)運(yùn)用最新的互聯(lián)網(wǎng)數(shù)據(jù)和先進(jìn)的計(jì)算機(jī)技術(shù)創(chuàng)建一個(gè)管理信息平臺(tái)��,通過這個(gè)平臺(tái)將在生產(chǎn)和管理方面的數(shù)據(jù)信息進(jìn)行共享和聯(lián)動(dòng)��,利用相關(guān)軟件和系統(tǒng)將公司管理朝著集成化�、信息化方向發(fā)展,有效地為公司的管理層提供決策理論支持����,避免公司集團(tuán)內(nèi)部組織結(jié)構(gòu)和人員冗雜,有效提高運(yùn)營各環(huán)節(jié)的工作效率���,以提供高質(zhì)量����、高效的服務(wù)。
2企業(yè)信息化建設(shè)集成中存在的網(wǎng)絡(luò)安全問題
在利用現(xiàn)代網(wǎng)絡(luò)信息平臺(tái)對(duì)企業(yè)相關(guān)數(shù)據(jù)進(jìn)行優(yōu)化整合時(shí)�,網(wǎng)絡(luò)安全方面還存在一定的問題,企業(yè)相關(guān)信息和資料很容易受到網(wǎng)絡(luò)攻擊�,系統(tǒng)很容易被黑客入侵,導(dǎo)致數(shù)據(jù)和信息被竊取或者丟失���,這些問題都不利于企業(yè)的現(xiàn)代信息化建設(shè)集成和正常的運(yùn)營發(fā)展。從外部環(huán)境來看����,日益競爭的市場環(huán)境是造成網(wǎng)絡(luò)安全管理的大環(huán)境因素,隨著時(shí)代快速的發(fā)展和科學(xué)技術(shù)的進(jìn)步����,一些不法分子會(huì)利用黑客技術(shù)和網(wǎng)絡(luò)病毒竊取企業(yè)內(nèi)部的數(shù)據(jù)資料,并通過出售來牟取巨額利潤���,這種情況若得不到有效控制和整改�����,會(huì)導(dǎo)致企業(yè)網(wǎng)絡(luò)安全環(huán)境日益惡化�����。其次�,從企業(yè)的內(nèi)部因素出發(fā),企業(yè)信息化建設(shè)集成出現(xiàn)網(wǎng)絡(luò)安全問題是因?yàn)槠髽I(yè)自身沒具備成熟的網(wǎng)絡(luò)信息安全理念�����,沒有采取相關(guān)的措施保證自身的網(wǎng)絡(luò)信息安全����,所以企業(yè)相關(guān)意識(shí)的缺乏使黑客有機(jī)可乘,他們簡單操作就能獲得企業(yè)內(nèi)部的數(shù)據(jù)信息���?��?傊狈σ欢ǖ木W(wǎng)絡(luò)信息防護(hù)手段和對(duì)員工的網(wǎng)絡(luò)信息安全培訓(xùn)���,會(huì)導(dǎo)致企業(yè)在信息化建設(shè)集成中受到更大的網(wǎng)絡(luò)信息安全威脅�����。
3保障企業(yè)信息化建設(shè)集成中網(wǎng)絡(luò)安全的措施
3.1創(chuàng)建企業(yè)信息安全標(biāo)準(zhǔn)
針對(duì)企業(yè)信息化建設(shè)集成中可能會(huì)出現(xiàn)的病毒入侵��、非法訪問和信息竊取等問題���,筆者提出了一些加強(qiáng)網(wǎng)絡(luò)安全的措施����。首先���,要建設(shè)一個(gè)信息化安全相關(guān)標(biāo)準(zhǔn)����。當(dāng)企業(yè)應(yīng)用現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)��,尤其是計(jì)算機(jī)集成制造系統(tǒng)時(shí)��,要?jiǎng)?chuàng)建一個(gè)高效�����、高質(zhì)量的企業(yè)信息化機(jī)制和信息安全標(biāo)準(zhǔn)�����,保證所有信息工作都具備標(biāo)準(zhǔn)流程�,例如:我國現(xiàn)已存在的信息安全管理度量機(jī)制和測量措施,能夠促使企業(yè)在運(yùn)用網(wǎng)絡(luò)信息平臺(tái)時(shí)����,提高自身的信息管理水平,從而保證企業(yè)在日常運(yùn)用中能夠順利����、安全地開展相關(guān)信息交流和信息傳遞工作。
3.2運(yùn)用先進(jìn)的網(wǎng)絡(luò)安全技術(shù)
要引入現(xiàn)代網(wǎng)絡(luò)安全技術(shù)�,包括防火墻技術(shù)、入侵檢測技術(shù)信息加密技術(shù)�����、訪問控制技術(shù)等�����。防火墻技術(shù)是指將計(jì)算機(jī)與外部建立一道隔墻���,防火墻技術(shù)包括網(wǎng)絡(luò)級(jí)防火墻與應(yīng)用級(jí)防火墻兩種��,網(wǎng)絡(luò)級(jí)能夠有效防止網(wǎng)絡(luò)中的非法入侵�,應(yīng)用級(jí)防火墻技術(shù)是全方位地防護(hù)相關(guān)應(yīng)用程序�,使用起來比較簡單還能夠有效防止病毒入侵和非法訪問�。兩者的防護(hù)能力與防護(hù)范圍不同����,因此在使用過程中需要將兩者融合發(fā)揮作用,在動(dòng)態(tài)防護(hù)�、屏蔽路由和包過濾的基礎(chǔ)上,更好地發(fā)揮防火墻防護(hù)技術(shù)�����。入侵檢測技術(shù)是一種辨別網(wǎng)絡(luò)系統(tǒng)的使用是否是惡意行為的技術(shù)����,其在動(dòng)態(tài)中對(duì)網(wǎng)絡(luò)進(jìn)行相關(guān)檢測,及時(shí)發(fā)現(xiàn)非法訪問行為和未授權(quán)的活動(dòng)并反映給計(jì)算機(jī)用戶����,將軟件與硬件融合起來共同對(duì)數(shù)據(jù)進(jìn)行分析和作用����,在瑣碎和繁雜的數(shù)據(jù)處理方面不再需要人工操作,減少人力和資源的浪費(fèi)和管理成本����。但從整體來看�,效果不如防火墻技術(shù)�����,也不能夠完全代替防火墻技術(shù)���。信息加密技術(shù)包括對(duì)稱加密與非對(duì)成加密兩種�����,且隨著時(shí)代的發(fā)展不斷優(yōu)化升級(jí)�����。該技術(shù)主要是為了避免數(shù)據(jù)被非法竊取��,對(duì)相關(guān)重要的信息資料進(jìn)行加密處理�,降低數(shù)據(jù)資料丟失和泄露的概率�����,從而在數(shù)據(jù)傳遞和資料存儲(chǔ)中保證數(shù)據(jù)資料的完整性和安全性���。訪問控制技術(shù)是指通過檢測訪問者的信息在網(wǎng)絡(luò)中保證網(wǎng)絡(luò)資源的安全���,包括高層和底層訪問控制兩種訪問模式�����,前者是檢測資源種類��、用戶權(quán)限和用戶口令��,后者是指通過通信協(xié)議中的信息判斷訪問者是否合法�,并作出相關(guān)反應(yīng)�����。
3.3提高企業(yè)網(wǎng)絡(luò)安全管理水平
現(xiàn)代化企業(yè)集團(tuán)在發(fā)展信息化建設(shè)集成過程中還存在很多網(wǎng)絡(luò)安全隱患���,但是傳統(tǒng)管理模式已經(jīng)明顯不適用于目前的發(fā)展情況��,網(wǎng)絡(luò)安全受到了更大的威脅�,造成的經(jīng)濟(jì)損失也較多��,所以必須提高企業(yè)的網(wǎng)絡(luò)安全管理水平����。首先,要提高企業(yè)網(wǎng)絡(luò)信息化系統(tǒng)管理水平和管理效率�����,要讓企業(yè)內(nèi)部包括員工和管理層都建立起網(wǎng)絡(luò)安全管理的觀念����,創(chuàng)建一個(gè)成熟、完善的網(wǎng)絡(luò)安全管理平臺(tái)���,樹立現(xiàn)代化的網(wǎng)絡(luò)安全管理意識(shí)����,從而能夠及時(shí)解決企業(yè)運(yùn)營和發(fā)展過程中存在的問題����,將企業(yè)發(fā)展中重要的資料信息利用網(wǎng)絡(luò)技術(shù)實(shí)行集中性存儲(chǔ)。另外�,要對(duì)所有員工進(jìn)行網(wǎng)絡(luò)安全培訓(xùn)和再教育,提高員工的綜合素質(zhì)水平���,以規(guī)范員工對(duì)信息化系統(tǒng)的具體操作�����,將企業(yè)重要數(shù)據(jù)信息進(jìn)行加密處理和備份處理���,企業(yè)要營造一個(gè)安全�����、穩(wěn)定的網(wǎng)絡(luò)安全環(huán)境�,防止網(wǎng)絡(luò)病毒和黑客的入侵�。其次,企業(yè)要使用有效����、實(shí)用的安全防護(hù)軟件,例如����,目前市場上的金山毒霸、360殺毒軟件都得到了廣泛運(yùn)用���,企業(yè)要根據(jù)自身具體情況選擇一個(gè)有效的防護(hù)軟件抵制外部非法入侵�����,設(shè)置好相關(guān)的安全管理權(quán)限��,創(chuàng)建一個(gè)完善��、嚴(yán)密�、分層的安全管理權(quán)限體系�����,在用戶登錄和用戶訪問環(huán)節(jié)都要設(shè)置權(quán)限和密碼��,從而保證企業(yè)的信息安全�。最后,要對(duì)企業(yè)信息化建設(shè)集成中的防火墻系統(tǒng)和訪問控制模式進(jìn)行完善的配置����,安排一個(gè)較為專業(yè)的訪問控制模式,避免網(wǎng)絡(luò)環(huán)境中出現(xiàn)各種意外或者病毒入侵的情況����,保證企業(yè)內(nèi)部局域網(wǎng)絡(luò)信息的安全,選擇信息隱藏模式提高網(wǎng)絡(luò)信息安全性�。這種信息隱藏模式一般是運(yùn)用高效的編碼將數(shù)據(jù)修改方法嵌入,包括擴(kuò)頻嵌入和矩陣編碼��,將編碼過程變得更加專業(yè)和復(fù)雜,網(wǎng)絡(luò)黑客一般破譯不了����,有利于企業(yè)抵御網(wǎng)絡(luò)黑客入侵和系統(tǒng)漏洞,保證企業(yè)信息化建設(shè)集成的健康發(fā)展����,提高企業(yè)的經(jīng)濟(jì)收益。
4運(yùn)用虛擬化的云計(jì)算平臺(tái)創(chuàng)建相關(guān)安全機(jī)制
在運(yùn)用虛擬化的云計(jì)算平臺(tái)時(shí)�����,要具備更加安全和穩(wěn)定的機(jī)制和系統(tǒng)��,如行為約束機(jī)制�����、CHAOS系統(tǒng)和Shepherd系統(tǒng)�,及時(shí)監(jiān)控計(jì)算機(jī)中的相關(guān)進(jìn)程、避免用戶錯(cuò)誤操作�,防止非法進(jìn)程對(duì)云計(jì)算平臺(tái)的破壞,將異常進(jìn)程進(jìn)行數(shù)據(jù)安全隔離�,從而保證企業(yè)信息化建設(shè)集成中的網(wǎng)絡(luò)安全。
主要參考文獻(xiàn)
篇(8)
前言
當(dāng)前���,信息化建設(shè)已經(jīng)成為了各類企業(yè)建設(shè)和發(fā)展的重點(diǎn)內(nèi)容�,企業(yè)通過信息化建設(shè)的方式,讓自身生產(chǎn)與流通工作可以更順利地進(jìn)行�,并利用互聯(lián)網(wǎng)�����,創(chuàng)造出現(xiàn)代企業(yè)新型發(fā)展模式��。但是���,就實(shí)際情況而言����,企業(yè)的信息化建設(shè)并不是一直處于一個(gè)平穩(wěn)的發(fā)展?fàn)顟B(tài)�����,在其發(fā)展的過程中也會(huì)受到諸多內(nèi)部或外部因素的影響和束縛�����,在信息的安全方面也存在許多的問題��,如黑客入侵或是病毒入侵。如果企業(yè)信息存在的安全問題比較嚴(yán)重���,不僅會(huì)給企業(yè)信息化建設(shè)造成不利影響���,還有可能會(huì)影響到企業(yè)的正常運(yùn)營和發(fā)展。
一�、造成企業(yè)信息化建設(shè)中的信息安全問題的原因
1.1內(nèi)部原因
①企業(yè)內(nèi)部的信息安全意識(shí)缺乏,目前�,雖然很多的企業(yè)都提倡建設(shè)企業(yè)內(nèi)部信息化,但是大部分企業(yè)過于注重信息化建設(shè)過程中得到的利益和優(yōu)勢���,卻忽略了信息化建設(shè)中信息的安全問題�����。
②軟件安裝的技術(shù)比較落后�����,黑客與病毒的發(fā)展速度比軟件技術(shù)更新速度快�。
③管理操作不得當(dāng)���,在對(duì)信息系統(tǒng)進(jìn)行管理與操作的過程中過于粗心大意���,給黑客與不法分子和黑客制造了入侵的機(jī)會(huì)���,對(duì)企業(yè)的信息安全造成威脅。
④專業(yè)的管理人才缺乏��,沒有對(duì)企業(yè)的信息安全系統(tǒng)定制出合理的安全管理策略���,且沒有讓專業(yè)的操作人員對(duì)統(tǒng)系統(tǒng)進(jìn)行維護(hù)和升級(jí),致使企業(yè)信息系存在信息安全隱患[1]�����。
1.2外部原因
對(duì)于大多數(shù)企業(yè)而言��,信息系統(tǒng)中存在的安全威脅大部分來自于外部因素��,隨著社會(huì)的不斷發(fā)展�����,信息建設(shè)在各類企業(yè)市場競爭中的地位和作用日益提高�����,許多的不法分子想盡辦法對(duì)各類企業(yè)的信息進(jìn)行竊取和破壞,以此來獲得自身的利益���。還有一部分企業(yè)為了得到競爭對(duì)手企業(yè)的各類商業(yè)信息��,采用不正當(dāng)?shù)氖侄纹茐幕蚴侨肭謱?duì)手企業(yè)的信息系統(tǒng)�����,竊取對(duì)方企業(yè)的商業(yè)機(jī)密����,以此來打倒對(duì)方�。
二、企業(yè)信息化建設(shè)中存在的信息安全問題
2.1企業(yè)不夠重視信息系統(tǒng)的安全問題
就目前而言�,國內(nèi)的大部分企業(yè)都沒有給予信息系統(tǒng)安全問題足夠的重視,沒有意識(shí)到信息系統(tǒng)安全的重要性����。近年來,雖然國內(nèi)信息化建設(shè)得到了快速的發(fā)展�����,國內(nèi)企業(yè)的信息安全程度也有所提高���,但是大部分的企業(yè)還是沒有意識(shí)到信息安全問題對(duì)企業(yè)的重要性���,只看到了信息化建設(shè)給企業(yè)創(chuàng)造的短暫利益��,而忽視了信息化建設(shè)信息安全的長遠(yuǎn)發(fā)展����,未針對(duì)信息安全問題采取適當(dāng)?shù)姆婪洞胧?��,致使企業(yè)信息化的發(fā)展存在較多的安全隱患���。
2.2企業(yè)信息化操作管理不到位
在企業(yè)進(jìn)行信息化建設(shè)的過程中�,大多數(shù)的企業(yè)沒有認(rèn)識(shí)到對(duì)企業(yè)信息進(jìn)行科學(xué)管理和操作的重要性。相關(guān)的操作和管理人員在信息化建設(shè)的管理和操作中缺少合理性��,導(dǎo)致黑客與入侵者有機(jī)可乘�����,造成企業(yè)信息外泄��。企業(yè)的信息化建設(shè)是一個(gè)全新的的概念��,其中的信息系統(tǒng)管理,信息安全系統(tǒng)的維護(hù)與升級(jí)都必須由專業(yè)的操作人員進(jìn)行操作和管理���,因此�,專業(yè)技術(shù)人員專業(yè)技能的缺乏和個(gè)人的素質(zhì)對(duì)企業(yè)的信息安全有著直接的影響���。
2.3可用于信息化建設(shè)的軟件較少
近年來�����,市場上各種類型的系統(tǒng)軟件越來越多�,但是能夠真正用到企業(yè)信息化建設(shè)的系統(tǒng)軟件卻比較缺乏���,特別是相較于國際市場���,國內(nèi)的軟件無論是在適用范圍,還是技術(shù)水平方面都比較落后���,這也是給企業(yè)數(shù)據(jù)安全帶來隱患的一大重要原因���。
企業(yè)信息化建設(shè)使用的軟件安全性能較低,很容易被病毒或是黑客入侵,從而對(duì)企業(yè)的信息安全造成威脅�����,雖然大部分的企業(yè)在商業(yè)機(jī)密信息方面設(shè)置了一定的操作權(quán)限���,但是在企業(yè)的實(shí)際管理中��,比較容易出現(xiàn)員工操作權(quán)限重復(fù)的情況����,操作人員的責(zé)任不夠明確��,從而導(dǎo)致企業(yè)信息外泄或是數(shù)據(jù)丟失[2]����。
三、企業(yè)提高信息化建設(shè)中的信息安全性的對(duì)策
3.1企業(yè)需樹立正確安全意識(shí)
在企業(yè)信息化的發(fā)展進(jìn)程中���,企業(yè)應(yīng)該充分了解企業(yè)信息安全問題和企業(yè)發(fā)展之間的關(guān)系。意識(shí)到一旦企業(yè)的重要機(jī)密發(fā)生外泄或者是被竊取�,將會(huì)給企業(yè)造成不可估量的損失,并給競爭對(duì)手提供有利的機(jī)會(huì)���。
因此��,企業(yè)應(yīng)該采取適當(dāng)有效的措施����,防止信息安全問題的產(chǎn)生,樹立正確的信息安全意識(shí)�����,以便為企業(yè)未來的信息化發(fā)展打下更好的基礎(chǔ)�。
3.2加強(qiáng)企業(yè)內(nèi)部信息系統(tǒng)管理
①正常來說,企業(yè)信息的系統(tǒng)使用任何的安全軟件都有可能被攻擊或被破解�����。在信息的安全防御過程中���,最重要的并不只是信息技術(shù)���,管理對(duì)于企業(yè)的信息安全系統(tǒng)來說也非常重要,只有對(duì)企業(yè)的信息進(jìn)行合理����、規(guī)范的管理,才能更有效提升企業(yè)信息系統(tǒng)的安全性。因此���,合理的對(duì)信息安全管理體系進(jìn)行規(guī)范化建設(shè)��,對(duì)于企業(yè)的信息安全管理至關(guān)重要��。
②完善企業(yè)安全的風(fēng)險(xiǎn)評(píng)估機(jī)制�����。企業(yè)信息系統(tǒng)的建設(shè)����,并非是利用一種技術(shù)在短時(shí)間內(nèi)能夠完成��,在平常的操作與管理中��,所有的系統(tǒng)都有自己的優(yōu)勢與缺點(diǎn)���,因此����,企業(yè)應(yīng)該針對(duì)本身信息系統(tǒng)的優(yōu)勢和缺點(diǎn)建立相關(guān)的安全風(fēng)險(xiǎn)評(píng)估機(jī)制��,找到對(duì)信息系統(tǒng)安全造成影響的漏洞和原因�����,并及時(shí)地進(jìn)行處理�,以有效降低企業(yè)信息系統(tǒng)被攻擊的可能性。
3.3運(yùn)用安全性較高的防護(hù)軟件
盡管所有的防護(hù)軟件都有辦法破解����,但是安全性越高的防護(hù)軟件,破解的難度就越大��,企業(yè)信息被竊取或是泄露的可能性也就越低����。因此,企業(yè)在對(duì)安全防護(hù)軟件進(jìn)行選擇時(shí)��,不應(yīng)該為了節(jié)省企業(yè)的成本��,而在信息系統(tǒng)中使用一些安全性較低的防護(hù)軟件���,應(yīng)該選技安全系數(shù)較高的防護(hù)軟件��,防止信息系統(tǒng)出現(xiàn)安全問題���,給企業(yè)帶來更大的經(jīng)濟(jì)損失���。
3.4加強(qiáng)企業(yè)的網(wǎng)絡(luò)管理
大多數(shù)的不法分子都是通過網(wǎng)絡(luò)對(duì)各個(gè)企業(yè)的信息進(jìn)行竊取和破壞,因此��,企業(yè)需要加強(qiáng)企業(yè)的網(wǎng)絡(luò)管理�,以確保企業(yè)信息系統(tǒng)的運(yùn)行可以在安全的狀態(tài)下進(jìn)行。企業(yè)應(yīng)該依據(jù)信息安全的等級(jí)���、種類制定出相關(guān)的防護(hù)措施和方案��,并提前制定好信息安全事故發(fā)生之后��,企業(yè)應(yīng)該采取的解決措施[3]�����。在企業(yè)的信息安全受到威脅時(shí)����,企業(yè)應(yīng)該及時(shí)成立起危機(jī)處理小組����,讓該小組依據(jù)信息安全危機(jī)處理的步驟與預(yù)案���,進(jìn)行危機(jī)處理�����,防止危機(jī)處理不當(dāng)而出現(xiàn)更加嚴(yán)重的連鎖危機(jī)�。此外,企業(yè)應(yīng)該對(duì)內(nèi)部的員工進(jìn)行信息安全培訓(xùn)與教育�����,提升員工信息安全管理意識(shí)和安全危機(jī)事件的處理能力�,從而有效防止企業(yè)自身失誤而造成的信息安全問題。
四�����、結(jié)束語
總之�����,在這個(gè)信息化的時(shí)代�,企業(yè)進(jìn)行信息化建設(shè)是其發(fā)展和生存的重要途徑。但就目前而言���,我國大部分的企業(yè)都只看到了信息化建設(shè)的優(yōu)勢����,沒有意識(shí)到信息系統(tǒng)安全問題的重要性,信息系統(tǒng)還處在一個(gè)長期不設(shè)防的狀態(tài)當(dāng)中��,這一情況直接影響了企業(yè)信息系統(tǒng)的安全性�����。因此���,為了提高現(xiàn)代企業(yè)信息系統(tǒng)的安全性�����,企業(yè)就應(yīng)該重視信息系統(tǒng)的安全問題�����,樹立正確的信息安全意識(shí)���,采取有效的防范措施、不斷完善企業(yè)的信息管理體系����,在企業(yè)信息化建設(shè)過程中����,對(duì)可能會(huì)影響信息系統(tǒng)安全的因素進(jìn)行全面考慮�����,以確保企業(yè)信息系統(tǒng)建設(shè)的安全性���。
參 考 文 獻(xiàn)
篇(9)
中圖分類號(hào):TP393
1 項(xiàng)目來源
重鋼集團(tuán)公司按照國家“管住增量、調(diào)整存量�、上大壓小、扶優(yōu)汰劣”的原則�����,將重慶市淘汰落后產(chǎn)能��、節(jié)能減排與重鋼環(huán)保搬遷改造工程結(jié)合起來�����。隨著重慶市經(jīng)濟(jì)和城市化快速發(fā)展��,重慶鋼鐵(集團(tuán))有限責(zé)任公司擬退出主城區(qū),進(jìn)行環(huán)保搬遷���。重鋼環(huán)保搬遷新廠區(qū)位于長壽區(qū)江南鎮(zhèn)�����,主要生產(chǎn)設(shè)施包括碼頭��、原料場��、焦化�����、燒結(jié)��、高爐�、煉鋼�、連鑄、寬厚板軋機(jī)����、熱連軋機(jī)和各工藝配套設(shè)施以及全廠的公輔設(shè)施等,生產(chǎn)規(guī)模為630萬噸。
2 系統(tǒng)目標(biāo)
重鋼股份公司在搬遷的長壽區(qū)建立了全新的信息化機(jī)房�����,結(jié)合自身實(shí)際��,決定部署一套符合自身需要的信息化平臺(tái)�����。整個(gè)平臺(tái)包含:財(cái)務(wù)系統(tǒng)�����、人力資源管理系統(tǒng)�����、門戶.OA系統(tǒng)����、各產(chǎn)線的MES系統(tǒng)���、以及企業(yè)的原料�����,物流系統(tǒng)等��。
3 系統(tǒng)實(shí)現(xiàn)
重鋼信息系統(tǒng)全由公司自主研發(fā)�����,服務(wù)器端采用:中間服務(wù)器操作系統(tǒng)win2003server+Oracle Developer6i Runtimes���,數(shù)據(jù)庫服務(wù)器:Unix Ware+ORACLE 10g�。開發(fā)端:Windows 9x/2000/XP+ Oracle Developer 2000 Release���。根據(jù)業(yè)務(wù)需求���,公司統(tǒng)一按國家標(biāo)準(zhǔn)部署了裝修一個(gè)中心機(jī)房,選擇了核心數(shù)據(jù)庫服務(wù)器小型機(jī)�、其他小型機(jī)服務(wù)器、FC-SAN存儲(chǔ)柜����、SAN交換機(jī),磁帶庫�、PC服務(wù)器、網(wǎng)絡(luò)安全管理設(shè)備,機(jī)柜��、應(yīng)用服務(wù)器軟件����、數(shù)據(jù)備份管理軟件、UPS電源����。等硬件基礎(chǔ)設(shè)施對(duì)此系統(tǒng)項(xiàng)目進(jìn)行集成。在信息化建設(shè)實(shí)施過程中�,本人主要參與了整個(gè)系統(tǒng)項(xiàng)目集成方案設(shè)計(jì)和實(shí)施。
4 項(xiàng)目特點(diǎn)
4.1 網(wǎng)絡(luò)設(shè)計(jì)
中心機(jī)房通過防火墻等網(wǎng)絡(luò)設(shè)備提供網(wǎng)絡(luò)互聯(lián)�、網(wǎng)絡(luò)監(jiān)測、流量控制����、帶寬保證���、防入侵檢測等技術(shù)����,抗擊各種非法攻擊和干擾���,保證網(wǎng)絡(luò)安全可靠����。同時(shí)網(wǎng)絡(luò)建設(shè)選擇了骨干線路采用16芯單模光纖,接入層線路采用8芯單模光纖�����,桌面線路采用六類非屏蔽網(wǎng)絡(luò)線���;光纖骨干線部分采用萬兆+千兆光纖雙鏈路連接�,接入層光纖采用千兆鏈路接口至桌面�����。整個(gè)網(wǎng)絡(luò)體系滿足千兆以上數(shù)據(jù)傳輸及交換要求����。
4.2 系統(tǒng)設(shè)計(jì)
本系統(tǒng)采用業(yè)界流行的三層架構(gòu),客戶端���,應(yīng)用服務(wù)器層��,后臺(tái)數(shù)據(jù)庫層��。
4.2.1 應(yīng)用層設(shè)計(jì)特點(diǎn)
在應(yīng)用層選擇上�,重鋼選擇了citrix軟件來實(shí)現(xiàn)企業(yè)的虛擬化云平臺(tái),原先安裝在客戶端的應(yīng)用程序客戶端程序安裝在Citrix服務(wù)器上�,客戶端不再需要安裝原有的Client端軟件,Client端設(shè)備只需通過IE就可以進(jìn)行訪問���。這樣就把原先的C/S的應(yīng)用立刻轉(zhuǎn)化為B/S的訪問形式�,而且無需進(jìn)行任何的開發(fā)和修改源代碼的工作����。同時(shí)使用Citrix的“Data Collector”負(fù)載均衡調(diào)度服務(wù)器負(fù)責(zé)收集每一臺(tái)服務(wù)器里面的一些動(dòng)態(tài)信息,并與之進(jìn)行交流��;當(dāng)有應(yīng)用請(qǐng)求時(shí)�,自動(dòng)將請(qǐng)求轉(zhuǎn)到負(fù)載最輕的服務(wù)器上運(yùn)行。Citrix是通過自己的專利技術(shù)����,把軟件的計(jì)算邏輯和顯示邏輯分開����,這樣客戶端只需上傳一些鼠標(biāo)、鍵盤的命令����,服務(wù)器接到命令之后進(jìn)行計(jì)算�����,將計(jì)算完的結(jié)果傳送給客戶端�����,注意:Citrix所傳送的不是數(shù)據(jù)流����,而是將圖像的變化部分經(jīng)過壓縮傳給客戶端�����,只有在客戶端和服務(wù)器端才可以看到真實(shí)的數(shù)據(jù)���,而中間層傳輸?shù)闹皇谴a�����,并且Citrix還對(duì)這些代碼進(jìn)行了加密�����。對(duì)于網(wǎng)絡(luò)的需求��,只需要10K~20K的帶寬就可以滿足需要�����,尤其是在ERP中收發(fā)郵件��,經(jīng)常遇到較大郵件����,通常在窄帶、無線網(wǎng)絡(luò)條件下基本無法訪問�����,但通過Citrix就可以很快打開郵件�,進(jìn)行文件的及時(shí)處理。
4.2.2 數(shù)據(jù)庫層技術(shù)特點(diǎn)
在數(shù)據(jù)庫層的選擇上��,重鋼選擇了oracle軟件��。利用oracle軟件本身的技術(shù)特點(diǎn)��,我們?cè)O(shè)計(jì)系統(tǒng)采用ORACLE RAC+DATAGUARD的部署方式���。RAC技術(shù)是通過CPU共享和存儲(chǔ)設(shè)備共享來實(shí)現(xiàn)多節(jié)點(diǎn)之間的無縫集群�,用戶提交的每一項(xiàng)任務(wù)被自動(dòng)分配給集群中的多臺(tái)機(jī)器執(zhí)行�����,用戶不必通過冗余的硬件來滿足高可靠性要求���。
RAC的優(yōu)勢在于:在Cluster����、MPP體系結(jié)構(gòu)中���,實(shí)現(xiàn)一個(gè)共享數(shù)據(jù)庫�����,支持并行處理�,均分負(fù)載��,保證故障時(shí)數(shù)據(jù)庫的不間斷運(yùn)行����;支持Shared Disk和Shared Nothing類型的體系結(jié)構(gòu)��;多個(gè)節(jié)點(diǎn)同時(shí)工作�����;節(jié)點(diǎn)均分負(fù)載�����。當(dāng)RAC群組的一個(gè)A節(jié)點(diǎn)失效時(shí)�����,所有的用戶會(huì)被重新鏈接到B節(jié)點(diǎn)���,這一切對(duì)來說用戶是完全透明的,從而實(shí)現(xiàn)數(shù)據(jù)庫的高可用性�。
Data Guard是Oracle公司提出的數(shù)據(jù)庫容災(zāi)技術(shù),它提供了一種管理����、監(jiān)測和自動(dòng)運(yùn)行的體系結(jié)構(gòu),用于創(chuàng)建和維護(hù)一個(gè)或多個(gè)備份數(shù)據(jù)庫��。與遠(yuǎn)程磁盤鏡像技術(shù)的根本區(qū)別在于,Data Guard是在邏輯級(jí)����,通過傳輸和運(yùn)行數(shù)據(jù)庫日志文件�,來保持生產(chǎn)和備份數(shù)據(jù)庫的數(shù)據(jù)一致性。一旦數(shù)據(jù)庫因某種情況而不可用時(shí)�,備份數(shù)據(jù)庫將正常切換或故障切換為新的生產(chǎn)數(shù)據(jù)庫,以達(dá)到無數(shù)據(jù)損失或最小化數(shù)據(jù)損失的目的���,為業(yè)務(wù)系統(tǒng)提供持續(xù)的數(shù)據(jù)服務(wù)能力�����。
4.2.3 數(shù)據(jù)備份保護(hù)特點(diǎn)
備份軟件采用HP Data Protector軟件�。HP Data Protector軟件能夠?qū)崿F(xiàn)自動(dòng)化的高性能備份與恢復(fù)��,支持通過磁盤和磁帶進(jìn)行備份和恢復(fù)����,并且沒有距離限制,從而可實(shí)現(xiàn)24x7全天候業(yè)務(wù)連續(xù)性����,并提高IT資源利用率。Data Protector軟件的采購和部署成本比競爭對(duì)手低30-70%,能夠幫助客戶降低IT成本�����,提升運(yùn)營效率����。許可模式簡單易懂,有助于降低復(fù)雜性��。廣泛的可擴(kuò)展性和各種特性可以實(shí)現(xiàn)連續(xù)的備份和恢復(fù)�,使您憑借一款產(chǎn)品即可支持業(yè)務(wù)增長。此外�����,該軟件還能夠與領(lǐng)先的HP StorageWorks磁盤和磁帶產(chǎn)品系列以及其它異構(gòu)存儲(chǔ)基礎(chǔ)設(shè)施完美集成��。作為增長迅猛的惠普軟件產(chǎn)品組合(包括存儲(chǔ)資源管理���、歸檔��、復(fù)制和設(shè)備管理軟件)的重要組成部分��,Data Protector軟件還能與HP BTO管理解決方案全面集成�,使客戶能夠?qū)?shù)據(jù)保護(hù)作為整個(gè)IT服務(wù)的重要環(huán)節(jié)進(jìn)行管理。該解決方案將軟硬件和屢獲殊榮的支持服務(wù)集于一身����,借助快速安裝、日常任務(wù)自動(dòng)化以及易于使用等特性���,Data Protector軟件能夠大大簡化復(fù)雜的備份和恢復(fù)流程。借助集中的多站點(diǎn)管理�����,可以輕松實(shí)施多站點(diǎn)變更����,實(shí)時(shí)適應(yīng)不斷變化的業(yè)務(wù)需求。
5 結(jié)束語
企業(yè)信息化平臺(tái)系統(tǒng)集成不是簡單的機(jī)器設(shè)備堆疊�,需要根據(jù)企業(yè)自身使用軟件特點(diǎn),企業(yè)使用方式��,選擇合適的操作系統(tǒng)�����,應(yīng)用軟件作為企業(yè)生產(chǎn)軟件部署的基礎(chǔ)��,另外要合理利用各軟件提供的技術(shù)方式,對(duì)系統(tǒng)的穩(wěn)定性����,安全性,冗余性進(jìn)行部署�,從而達(dá)到高可用和可擴(kuò)展的整體系統(tǒng)平臺(tái)。
參考文獻(xiàn):
[1]肖建國.《信息化規(guī)劃方法論》.
[2]雷萬云.信息化與信息管理實(shí)踐之道[M].北京:清華大學(xué)出版社�,2012(04).
[3]《Pattern of Enterprise Application Architecture》.Martin Foeler
篇(10)
中圖分類號(hào):TP393.18 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1007-9416(2017)01-0209-02
企業(yè)信息化任務(wù)的建設(shè)與集成,其首要任務(wù)為網(wǎng)絡(luò)構(gòu)架與網(wǎng)絡(luò)安全設(shè)計(jì)��。建立一套安全的網(wǎng)絡(luò)系統(tǒng)�,不僅可以為企業(yè)的信息交流、信息與信息傳輸創(chuàng)造一個(gè)安全平臺(tái)�,確保企業(yè)的安全生產(chǎn),還可優(yōu)化調(diào)度管理�����,為企業(yè)決策提供參考數(shù)據(jù)�,避免惡意篡改與非法盜取現(xiàn)象的發(fā)生。因此�,加強(qiáng)企業(yè)信息化建設(shè)集成與網(wǎng)絡(luò)安全的研究,確保企業(yè)生產(chǎn)環(huán)境安全可靠�����,已逐漸成為現(xiàn)代化企業(yè)發(fā)面所面臨的重點(diǎn)研究課題。
1 企業(yè)實(shí)現(xiàn)信息化建設(shè)集成的意義
1.1 強(qiáng)化企業(yè)管理
隨著企業(yè)管理模式的發(fā)展�,企業(yè)業(yè)務(wù)經(jīng)營逐漸多元化和區(qū)域不集中化,從而造成了管理任務(wù)的復(fù)雜與多變化��。實(shí)行信息化集成管理的核心就是在企業(yè)內(nèi)部���,以業(yè)務(wù)整合���、流程與資源配置優(yōu)化的方式,建立起信息化的組織架構(gòu)���、管理服務(wù)和流程控制體系,而這一目標(biāo)的實(shí)現(xiàn)則需通過信息集成化處理的手段�,并將企業(yè)先進(jìn)的管理理念與技術(shù)搭建在所構(gòu)平臺(tái)上,以此進(jìn)行運(yùn)行�����。
1.2 時(shí)展的必然性
實(shí)踐證明�,傳統(tǒng)的管理模式還不足以使集成化效率最大化,甚至有時(shí)候會(huì)帶來更加嚴(yán)重的風(fēng)險(xiǎn)和漏洞��,如管理人員的壓縮���,引發(fā)的現(xiàn)場安全管理���、資金管理和用工管理等風(fēng)險(xiǎn)���,信息技術(shù)快速發(fā)展的當(dāng)下,企業(yè)只有對(duì)管理系統(tǒng)進(jìn)行重新綜合集成���,充分挖掘各方面潛能和整體效力�,方可在集成化管理和市場競爭中把握先機(jī)�����,從而實(shí)現(xiàn)企業(yè)效益的最大化����。
1.3 自身優(yōu)勢的使然
目前,大型企業(yè)集團(tuán)均通過對(duì)在生產(chǎn)和管理方面的信息化建設(shè)��,利用互聯(lián)網(wǎng)技術(shù)把企業(yè)信息集成起來組成一個(gè)管理信息平臺(tái)�����,達(dá)到數(shù)據(jù)共享��,并借助專用軟件,將企業(yè)管理向集成化���、網(wǎng)絡(luò)化改造��,既能為企業(yè)的高層決策者提供決策支持��,又能減少結(jié)構(gòu)冗員�,提高運(yùn)營效率和服務(wù)質(zhì)量����。
2 加強(qiáng)企業(yè)信息化集成網(wǎng)絡(luò)安全的措施
基于非法入侵、病毒傳播與數(shù)據(jù)丟失等網(wǎng)絡(luò)安全問題���,本文針對(duì)性的從以下兩點(diǎn)進(jìn)行防護(hù)措施的論述。
2.1 加快信息化安全標(biāo)準(zhǔn)建設(shè)
在信息化方面���,目前���,無論是處于單項(xiàng)技術(shù)、單機(jī)��、單線的應(yīng)用狀態(tài)����,還是型號(hào)工程實(shí)現(xiàn)了CIMS(計(jì)算機(jī)集成制造系統(tǒng))的企業(yè)����,要實(shí)現(xiàn)數(shù)字化���,構(gòu)建高水平�、高安全的企業(yè)信息化體系����,信息安全標(biāo)準(zhǔn)及其標(biāo)準(zhǔn)化工作都是非常重要的。例如IS0/IEC JTC1/SC27正在制定的有關(guān)信息安全管理體系方面的標(biāo)準(zhǔn):
?ISO/IEC 27001 信息安全管理體系要求(現(xiàn)在的標(biāo)準(zhǔn) IS0/IEC FCD 24743)�����。
?ISO/IEC 27002 保留現(xiàn)在的標(biāo)準(zhǔn)ISO/IEC 17799 信息安全管理實(shí)用規(guī)則�。
?ISO/IEC 27003 保留編號(hào)。
?ISO/IEC 27004 信息安全管理度量機(jī)制和測量措施(現(xiàn)在的標(biāo)準(zhǔn)IS0/IEC 24742)�。
?ISO/IEC JTC1/SC27 NP 信息安全管理體系實(shí)施指南。
此類標(biāo)準(zhǔn)實(shí)施的目的在于幫助企業(yè)建立與健全信息安全管理體系�,促使其管理水平與保證能力得到提高,做到日常生產(chǎn)安全順利運(yùn)行�����。因此,企業(yè)要想構(gòu)建高水平��、高質(zhì)量的信息化安保體系����,必須要加強(qiáng)信息化集成任務(wù)的標(biāo)準(zhǔn)化實(shí)施。
2.2 利用先進(jìn)的網(wǎng)絡(luò)安全技術(shù)
2.2.1 防火墻技術(shù)
以防護(hù)范圍與防護(hù)能力劃分����,可將防火墻技術(shù)分為網(wǎng)絡(luò)級(jí)與應(yīng)用級(jí)兩大類,其中�,網(wǎng)絡(luò)級(jí)防火墻是以整體網(wǎng)絡(luò)的非法入侵為防護(hù)對(duì)象,實(shí)施全方位保護(hù)�,而應(yīng)用級(jí)防火墻是以具體的應(yīng)用程序?yàn)榉雷o(hù)對(duì)象,只是在程序接入時(shí)進(jìn)行防護(hù)控制�,功能比較單一但針對(duì)性強(qiáng),因此�,一套完整的防火墻技術(shù),應(yīng)是以網(wǎng)絡(luò)級(jí)和應(yīng)用級(jí)的共同結(jié)合使用���。日常生活中,我們一般所用防火墻大多擁有基于�、動(dòng)態(tài)防護(hù)、包過濾和屏蔽路由等技術(shù)����。
2.2.2 入侵檢測技術(shù)
作為一種動(dòng)態(tài)網(wǎng)絡(luò)檢測技術(shù)���,入侵檢測技術(shù)的實(shí)施可有效識(shí)別惡意使用網(wǎng)絡(luò)系統(tǒng),通過分析與辨別��,將非法入侵行為及時(shí)發(fā)現(xiàn)�����,其檢測范圍包括內(nèi)部未經(jīng)授權(quán)的活動(dòng)和外部用戶的非法入侵��,并能夠?qū)θ肭中袨樽鞒鱿鄳?yīng)的反映���,該系統(tǒng)的組成由相應(yīng)的軟件與硬件共同完成�����,運(yùn)行后能夠做到數(shù)據(jù)分析并得到結(jié)果��,大大降低了管理人員的工作量�。除此之外�,入侵檢測技術(shù)對(duì)于網(wǎng)絡(luò)攻擊也有一定的反防護(hù)能力,但效果不及防火墻技術(shù),因此不能做到代替����。
2.2.3 信息加密技術(shù)
對(duì)稱加密與非對(duì)稱加密作為信息加密技術(shù)的兩種表現(xiàn)形式,隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展���,使其得到了不斷優(yōu)化與發(fā)展�。該技術(shù)的應(yīng)用是以防止數(shù)據(jù)受到非法盜取為目的�,通過數(shù)據(jù)加密技術(shù)對(duì)某些重要數(shù)據(jù)與信息采取保密處理后,以此達(dá)到確保信息安全的效果��,其主要包括數(shù)據(jù)傳輸�、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)完整性鑒別和密匙管理四種方式�����。
2.2.4 訪問控制技術(shù)
訪問控制技術(shù)簡稱AC���,它的作用是能夠確保網(wǎng)絡(luò)資源不會(huì)被非法訪問和非法使用�����,能夠起到網(wǎng)絡(luò)安全防范和保護(hù)的作用��。訪問控制是檢測訪問者的相關(guān)信息���,限制或者禁止訪問者使用資源的控制技術(shù)。訪問控制技術(shù)能維護(hù)網(wǎng)絡(luò)系統(tǒng)安全和保護(hù)網(wǎng)絡(luò)資源����,是確保網(wǎng)絡(luò)安全的主要措施。訪問控制分為高層訪問控制和低層訪問控制兩種����,高層訪問控制檢測對(duì)象是用戶口令、用戶權(quán)限����、資源屬性;低層訪問控制對(duì)象是通信協(xié)議中的特征信息通過分析然后做出判斷控制訪問者能否訪問信息���。
3 結(jié)語
綜上所述���,作為現(xiàn)代企業(yè)的發(fā)展方向,信息化的建設(shè)與集成在給人們帶來便利的同時(shí)又隱藏著許多網(wǎng)絡(luò)安全隱患�,相比于傳統(tǒng)管理模式上的失誤,這種安全隱患具有威脅更大����,速度更快等特點(diǎn)�,動(dòng)輒就是成千萬的經(jīng)濟(jì)損失�。因此,作為現(xiàn)代企業(yè)的管理者����,我們只有不斷研究,不斷實(shí)踐��,立足于企業(yè)信息化建設(shè)與集成任務(wù)的標(biāo)準(zhǔn)化與多元化發(fā)展方向���,做到不斷的自我完善與自我修正����,方能促進(jìn)現(xiàn)代企業(yè)的健康發(fā)展���。
