你好,欢迎访问云杂志! 关于我们 企业资质 权益保障 投稿策略
当前位置: 首页 精选范文 企业信息安全管控

企业信息安全管控范文

发布时间:2023-10-11 17:33:01

导语:想要提升您的写作水平,创作出令人难忘的文章?我们精心为您整理的13篇企业信息安全管控范例,将为您的写作提供有力的支持和灵感!

企业信息安全管控

篇1

引言

随着信息技术的发展,信息系统的深入应用,信息安全成为国家电力企业信息化的重要工作内容。由于桌面终端和用户的数量多,从而容易带来信息安全隐患,致使信息管理部门难以开展工作。近几年,多数电力企业制定了对桌面的管理制度,统一了桌面终端管理系统。但是,如何将管理制度落实到实际工作中并将现有的技术应用到桌面信息安全管理,还需要不断的深入研究与实践。

1桌面终端信息安全管理现状

近几年,我国电力企业提出了信息安全的八不准和五禁止,由于电力企业提出上述措施,有利于各企业桌面终端系统信息安全工作的顺利开展,大力推广了桌面终端管理系统的应用,对非法接入外网实施了有效的监控,提升了对移动储存介质的管理。但根据桌面终端管理系统的相关数据显示,还没有达到对信息安全的要求,仍然存在很多问题,致使信息管理部门的工作难以开展[1]。因此必须要立足于桌面管控技术全面的提升电力企业信息安全水平,从而有效的保障电力企业的信息安全。

2桌面终端存在的问题

目前,桌面终端主要存在以下几个方面的问题:①接入外网时计算机感染病毒,特别是由于移动储存介质最容易感染,而且传播的速度极快;②部分员工利用电子邮件办公时,电子邮件里会出现一些敏感字体;③非法接入外网现象始终存在,桌面终端的口令设置较弱;④桌面终端补丁更新率、桌面终端注册率和杀毒软件安装率较低,没有达到企业的标准。致使以上问题出现的原因有:①对信息安全的管理力度不够,没有将其归入对信息管理部门工作人员的考核中,没有将现有的桌面管控技术手段深入应用;②对信息安全管理的要求较为分散,没有统一的管理标准,虽然通过各种方式开展宣传,但是仅对信息管理部门的工作人员有用,其他部门员工对信息安全的认知度不够[2];③部分员工信息安全意识淡薄,没有将信息安全管理的要求落实到实际工作中,认为信息安全可有可无,存在无所谓的心理。

3桌面管理及提升技术的措施

3.1桌面管理措施

3.1.1计算机安装流程标准化电力企业中,所有新购买的计算机统一由信息管理部门安装杀毒软件和操作系统。修补系统中存在的漏洞,注册桌面系统的新端口,初始开机口令的设置要符合国家统一的标准。只有完成以上流程,才能下发给网络用户并接入网络,严格把控好信息设备的安全性,从根源上消除桌面信息安全隐患。3.1.2完善管理制度企业应制定统一的管理制度,落实好信息管理部门的工作内容,其工作内容包括:信息设备的损坏修理、安装、领用、验收及信息的来源。由于笔记本计算机容易感染其他网络端口的病毒,出现重装系统的问题,致使管理人员不易管理,对此不允许接入其他网络,从制度的根本上确保企业内所有的联网端口都是由信息管理部门负责。除此之外,统一订购带有企业标志的移动储存介质,工作人员在领用时必须签字,待离职时交还信息管理部门。3.1.3提高工作人员信息安全意识由于工作人员的信息安全意识淡薄,不了解企业对信息安全的要求,还没有掌握信息安全的技术,这些都成为信息潜在的安全隐患,对此,加大对员工信息安全意识的培训力度显得至关重要。工作人员的信息安全意识应从第一天入职的时候就加以重视,培训人员要全方面的开展对新入职员工的培训,包括:技术手段、管理制度、信息安全意识、对信息保密等。培训之后,可以实施对信息安全有关知识和技术手段的考核[3]。除此之外,给员工配备计算机时,要给员工讲解使用的要求及注意事项,且让其签字。通过信息安全培训,使工作人员掌握桌面管控的相关知识和信息安全知识,提高了工作人员的信息安全技术水平和职业素养及其安全意识,给信息安全提供了强有力的技术支撑。3.1.4强化外网终端接入流程管理各地区电力企业的外网桌面终端接入要严格遵守内网终端接入的标准流程,电力企业外网终端接入需要由企业管理人员向协同办公系统签报流程提报申请,经外网管理部门领导审批后转发信通分公司,再由企业的网控室调整终端准入账号、分配IP地址,并根据各企业的具体情况派发终端,由运维人员将符合入网条件的外网终端入网并进行安装调试,再由网控室进行检查,确定是否达到入网的标准,如果没有达到标准要及时修改,值班人员需进行回访,将工作单及时归档[4]。具体的申请流程详见图1。

3.2提升桌面管理技术的措施

3.2.1定期检查、维护信息安全使用扫描设备对企业整个网络系统进行扫描,对出现的问题及漏洞及时解决,一旦发现有桌面终端不符合基线要求,可以通过北信源程序下发符合基线要求的方法,保证桌面终端达到基线的要求。信息管理部门的工作人员要定期检查桌面终端及控制系统的各项数据,出现异常要及时解决,逐步提升信息安全水平。3.2.2加固桌面终端由信息管理部门统一分配终端,完成对使用软件和操作系统的安装,并对桌面终端进行加固。接入网络时,严格按照企业制定的桌面管理系统和准入要求执行,安装必要的杀毒软件及办公软件。对于没有注册和没有安装杀毒软件的设备采取强制下线措施,对带有敏感字的文档给予提醒,以此保证杀毒软件的安装率和桌面终端的注册率。内、外网的桌面终端在接入后,需由信息管理部门工作人员绑定接入交换机,将没有使用到的端口关闭,预防其他用户非法侵入[5]。3.2.3使用桌面终端系统的监控功能除了可以使用桌面终端管理系统的非法接入外网、警告口令设置低、杀毒软件的安装率和桌面终端的注册率之外,该系统中还有控制的功能,可以通过控制功能,杜绝桌面终端用户的不安全行为。例如通过硬件资源管理中的控制系统,在特定的区域内禁止使用蓝牙设备与红外线设备。有利于防范终端用户使用信息内网接连计算机,有效解决了违规接入外网。3.2.4使用北信源系统在北信源系统(见图2)中可以采用硬件设备控制,通过设备控制禁止使用蓝牙设备和红外线设备;采用进程监控功能,防止无线网卡设备的侵入;设置防火墙,只允许桌面终端访问企业内部网址;将IP与MAC绑定,严禁使用用冗余网卡,防止修改IP与网关,以防发生违规外联事件;实施文件动态监控、文件内容检查和终端检查,确保敏感信息检查执行率及保密检测系统安装率指标水平。

4结语

21世纪以来,传统的桌面终端管理模式已经无法适应社会的需求,不能安全有效地管控桌面终端。通过企业制定的桌面管理制度和桌面终端管理系统,提升了桌面管控技术,使桌面终端的工作流程规范化,在提升信息安全的同时,也提高了工作人员的桌面安全管理意识。在电力企业中采用桌面管控技术来提升信息安全,还需要不断地实践与探索,只有坚持不懈,才能使企业保持信息安全,走可持续发展道路。

参考文献:

[1]姚玮.电力企业信息安全全生命周期管控[J].电力信息与通信技术,2015(08).

[2]马之力,张驯,崔阿军,袁晖.电网企业网络准入体系设计与应用[J].电力信息与通信技术,2015(05).

[3]陶明峰,刘志刚,徐胜朋,邢艺欣,袭建学.市县级电力公司网络一体化管理设计与研究[J].电力信息与通信技术,2015(05).

篇2

中图分类号:F270.7 文献标志码:A 文章编号:1674-9324(2014)21-0018-02

做好企业信息安全管控工作,首先要结合所在企业的实际情况,了解来自内部和外部环境的主要威胁,抓住工作重点,发现解决难点问题。下面就信息安全管控的一些重点和难点问题,谈一点看法。

一、信息安全管控的重点

我们常说,“信息安全控制三分靠技术、七分靠管理”,尤其是对非IT行业来说,它首先是信息系统的使用者,其次才是运行和维护者。它的内部信息网络运行人员,可能仅占到总人数的1%甚至更低。所以技术措施主要是作为管理人员的手段来发挥作用,维持信息网络安全稳定运行,最重要的还是明确管理制度、细化安全职责、加强监督考核。大部分企业的内部网络出口,都装有防火墙和入侵检测系统,理论上说一个外界的入侵者想绕过防火墙和入侵检测系统进入到企业内部网络进行非法操作,难度很大。

二、信息安全管控的难点

随着企业各项业务的信息化,其信息资产的价值也在迅速提升,这势必会吸引一些有目的性的内部或外部威胁,从而带来信息安全性的下降。信息系统可用性已经不再是信息安全管控的唯一目标,系统数据的保密性和完整性也已经成为了信息安全工作的重要内容。在信息网络运行工作中,这就需要我们关注更广的范围,监控更多的节点,进入更多的层面。

同时我们必须认识到,在某些方面,信息安全性的提高是以降低应用的便利性为代价的。例如:一些员工为了避免一系列限制,不使用企业统一的外网出口,而是自己利用3G上网,虽然有很强的自由性,也能提高访问速度,但是这样就打开了一个不经过防火墙和入侵检测系统的外网接口,一旦外部有影响恶劣的新型病毒爆发,病毒就可以在信息管理人员做好准备之前入侵内部网络,造成较大的安全事故。安全性和便利性的这种冲突,需要我们针对网络和信息系统重要程度,划分级别,寻找一个两者之间的平衡,在达到安全标准的前提下,提高应用的便利性。

三、安全管控的实施原则

基于以上理解,在企业内部信息网络中进行安全管控措施规划、实施时,可以遵循以下原则。

1.整体性原则。从应用系统的视角,分析信息网络的安全的具体措施。安全措施主要包括各种管理制度以及专业技术措施等。一个较好的安全措施往往是多种方法适当综合的应用结果,只有从系统综合整体的角度去看待、分析,才能选取有效可行的措施,着重加以落实。

2.平衡性原则。对于一个计算机网络,绝对的安全很难达到,也不一定非要达到不可。应结合企业实际,对其内部网络的性能结构进行研究,并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后选取急需落实执行的规范和措施,确定当前一个时间段的重点安全策略。

3.一致性原则。一致性原则主要是指网络安全措施应与整个网络的生命周期同时存在,制定的安全体系结构必须与网络的安全需求相一致。实际上,在网络建设的开始就有前瞻性的考虑到网络安全问题,比在网络建设好后再考虑安全措施,不但容易,且花费也小得多。

4.容易性原则。安全制度需要人去遵守,安全措施需要人去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性。

5.动态性原则。企业信息系统的应用范围将越来越广阔,随着网络规模的扩大及应用的增加,网络脆弱性也会不断增加。一劳永逸地解决网络安全问题是不现实的。应该随着企业信息化的发展,不断完善现有网络安全体系结构,适时增加或减少应该重点落实的安全措施。

6.多重性原则。任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,采取多项安全措施进行多层防护,各层防护相互补充,当一层保护出现漏洞时,其他层仍可保护信息网络的安全。

四、安全管控的重点措施

信息安全的保障,还要靠制度细则的执行,具体措施的落实。近几年来,在电力行业内部,各级单位制定了一系列的安全管理措施,来保障内部信息网络的安全可靠。

1.“不上网、上网不”,切实避免将的计算机、存储设备与信息网络连接,避免在接入外部网络或互联网的计算机设备上存储、处理、传递信息或内部办公信息。

2.计算机接入信息内网必须严格执行审批登记制度,使用规范的计算机名称,实现IP和MAC绑定。必须纳入企业统一的域安全管理,接受统一的监管。

3.执行统一的互联网出口策略,禁止单位和个人私自设置互联网出口。

4.接入企业信息内网的计算机设备,应严禁配置、使用无线上网卡等无线设备,严禁通过电话拨号、无线技术等各种方式与互联网互联。信息内网应避免使用无线网络组网方式。

5.在计算机的运行使用中,所涉及到的用户帐户应执行口令强度的要求与定期更换的规定,采取有效措施监控、发现、并及时修改弱口令,防止被他人利用。应禁止内部员工未经授权侵犯他人通信秘密,擅自利用他人业务系统权限获取企业电子商密信息。

6.应使用企业集中统一的内外网邮件系统,接受统一的内容审计管理。对于在外部网络和互联网上传输的内容,也要采用加密压缩方式进行传输。

篇3

中图分类号:F23 文献标识码:A 文章编号:1002-5812(2016)03-0026-04

随着我国企业信息化的推进,会计信息化逐步由简单的单用户电算化应用向复杂的深层次网络化运用过渡,会计信息化系统也在一定程度上实现了由核算型向管理型的过渡。在企业会计信息化水平不断提高的同时,作为企业重要资产的会计信息,其完整性、可用性、保密性等方面却受到不同程度的挑战和冲击。如若企业会计信息安全不能得到有效保障,可能会引发相关商业机密的泄漏,严重的会导致企业失去客户、市场,乃至核心竞争力;即便是信息系统的故障也会造成企业的相关业务中断,给企业带来资产与声誉的损失。因此,为了使企业能持续不断的发展,会计信息安全成为了企业管理越来越关注的内容之一。

一、企业会计信息安全的影响因素

企业会计信息安全是指会计信息化环境下,会计信息处于完整性、可用性、保密性和可靠性的状态,它来自于会计数据的完整和会计数据的安全。参照国际标准化组织和美国NSTISSC委员会对信息安全的阐述,本文认为企业会计信息安全就是为了使会计信息具有完整性、可用性、保密性和可靠性,而让企业的会计信息和会计信息系统处于必要的保护之下免于未经授权的访问、使用、泄漏、修改和破坏,并适当采取相应政策、培训和教育以及技术等必要手段,其实质就是扎根于企业经营实践活动并与企业战略密切联系的业务保障和管理问题。显然,影响企业会计信息安全的因素必然来源于企业的生产经营实践活动,并与企业的经营管理过程结合在一起。鉴于此,本文认为影响企业会计信息安全的因素不外乎组织环境、信息处理、风险评估、监控反馈、制度安排五个方面内容。

(一)组织环境。企业组织环境是指能对企业生产经营活动和决策产生直接影响并与企业战略目标实现密切相关的因素。企业会计信息安全及相关会计信息系统的运行都必须基于既有的企业组织环境。一般来说,企业组织环境包括企业愿景、企业战略、企业文化、组织结构、员工胜任能力以及管理者素质、管理风格、管理哲学等。企业组织环境对企业会计信息安全的影响作用在很大程度上取决于企业高层管理者。其原因在于,根据企业高层管理者的管理哲学与管理风格以及由其演绎而成的组织结构和企业文化形成了企业会计信息安全环境,并以此构建相应的会计信息安全管控框架,进而形成相应的会计信息安全策略。此外,相关的企业会计信息安全管控策略若要能在企业内部得到有效的持续的实施,也需要企业内所有管理者和员工的共同参与,更是与管理者和员工的安全意识和职业素养密切相关。高层管理者负责制订与企业组织发展方向相关以及影响整个企业战略的会计信息安全管控决策;中层管理者负责将高层管理者所制订的会计信息安全管控决策目标转换成为基层管理者可执行的会计信息安全管控具体目标;基层管理者则负责直接指挥从事具体业务的相关员工进行日常业务作业。

(二)信息处理。企业会计信息处理是一个比较复杂的系统,在这个系统中应该能完整、可靠、安全地采集与企业经营管理相关的各种会计信息,并使这些会计信息以适当的方式在企业有关层级及经过适当授权的客户之间进行有效传递和正确使用。因此,在会计信息化环境下为达到上述要求,企业需要为会计信息处理系统配置适当的软硬件资源。在这种情况下,企业会计信息安全问题就集中于物理硬件的可靠性和支持软件的有效性。物理硬件通常由系统主机、网络线路、终端电脑、附设周边、物化防护等组成,譬如给数据加密的专用设备,添加专用防火墙的服务器,具有加密算法和多数位加密的路由等。支持软件则主要由能实现会计信息采集、整理、加工、传送、使用等功能的会计信息管理软件构成,当然还包括操作系统、网络协议、压缩、加密算法、防病毒等相关软件。

(三)风险评估。风险评估就是分析、识别和控制相关影响会计信息安全目标实现的各种风险的过程,它主要由会计信息安全的目标设定、风险分析、风险识别和风险控制等方面构成。企业要确保其会计信息安全,则必须清楚且能应对各种可能对其会计信息安全产生影响的风险,在不断变化的企业经营环境中进行认真分析,识别并把握其变化规律,制订相关的应对措施,依据会计信息安全面临的问题适时调整企业会计信息安全管控策略和方法。这就要求企业的会计信息安全管控策略要有更长远的时间和更广阔的视野来关注风险,将风险意识贯穿于企业会计信息安全管控的始终,不断完善包括企业经营理念、管理方式、管理风格在内的控制风险环境。为此,企业还需要制订相关的会计信息安全目标,并将这一目标与企业的供应、生产、销售等经营活动进行整合。唯有如此,才能实现整个企业经营管理的协调一致。

(四)监控反馈。企业必须制定监控反馈的政策与程序,才能确保既定会计信息安全目标和必要改进措施的有效实施。一方面,企业经营环境是不断发生变化的,企业经营活动也随之不断变化。在这种情况下,唯有对企业会计信息安全管控系统进行必要的监控,并在必要时加以修订与调整,管控系统及相关的政策与程序才能反应自如。另一方面,企业会计信息处理系统自身也会由于物理硬件或支持软件方面的不确定因素而导致会计信息处理的延误或失效。这样,企业也需适时地对企业会计信息处理系统进行监控,排除不确定因素,维护会计信息处理系统的有效和安全。此外,还应考虑制定怎样的监控反馈政策与程序。通常,过于集权的监控政策会导致因信息缺乏而引起的成本,过于分权的监控政策则会出现因目标不一致而引起的成本。鉴于此,企业对会计信息安全的监控反馈政策与程序的选择应该是权衡这两类成本,使成本之和最小。

(五)制度安排。企业会计信息安全还与企业制度安排密切相关。好的政策制度,能有效协调和激励合意的行为,约束和惩罚不合意的行为,从而带来良好的经济绩效;差的政策制度,则会产生相反的结果。因此,企业在进行会计信息安全方面的制度安排时,需要依据会计信息安全的目标,设计出良好的管控制度,做到能有效地协调和激励符合企业会计信息安全的行为,并能够约束和惩罚不符合企业会计信息安全的行为,进而为企业带来良好的会计信息安全管控效果。需要关注的是,制度安排的效果,还要与其实施的环境密切关联。因为制度实施的环境发生了变化,就有可能使得原先实施效果很好的制度不再那么有效,甚至失效。

二、企业会计信息安全的主要风险问题

通过上文的分析可知,企业会计信息安全受到冲击和挑战的原因很多,具体表现出来的风险问题也是多样的。但是,具体到企业管理实践中,会计信息安全的风险问题基本上集中于员工的会计信息安全认知、会计信息处理系统、风险评估与监控反馈的认识以及对会计信息安全管控制度的执行等几个方面。

(一)员工的会计信息安全认知不足。基于组织环境方面的会计信息安全风险问题多源于企业的员工对会计信息安全认知的不足。其原因在于,与安全有关的问题都离不开“人”这个主体因素。一方面,许多企业管理者的会计信息安全意识、安全知识和安全管理等方面存在不足。譬如,在确定企业会计信息安全管控方案时没有对企业进行全面的自我诊断,仅是对企业的基本状况做了一个大概了解,就直接在企业内部实施现有的标准或者其他企业或组织的成功方案。由于企业既没有充分挖掘会计信息安全现状和对会计信息安全的内在需求,也没有全面考虑利益相关者的利益安全需求,必然会导致企业对会计信息安全的实际需求与其能提供的安全管控之间存在差距。更有甚者,企业管理者对会计信息安全的支持和重视不足,导致企业内部会计信息安全文化缺失和普通员工会计信息安全意识淡薄。另一方面,企业信息化的发展,使得越来越多的非财会相关岗位的普通员工也被包含到企业会计信息安全体系之中。这些员工,甚至一些财会岗位的员工,要么不完全理解会计信息安全的重要性,要么过度信赖企业会计信息安全管控方案,而不愿意把自己的精力和资源放在会计信息安全防护上,或者从根本上就认为即便对会计信息不采取安全防护措施也不一定会造成损失。当然,也存在一些员工由于缺少必要的会计信息安全教育和培训,根本不知道自己不遵守和执行相关的会计信息安全管控方案会对企业带来怎样的不利影响。

(二)会计信息处理系统安全技术滞后。企业会计信息安全需求是随着企业的生产经营活动和企业所处的内外部环境的变化而变化的。但是,很多企业并没有意识到企业会计信息安全需求的动态变化规律,对会计信息安全管控方案依然秉承“投资一次,受用终身”的观念,抱陈守旧。这种投资观直接导致企业会计信息处理系统安全技术跟不上企业生产经营活动和企业所处的内外部环境的变化。具体体现在企业使用的会计信息处理软件本身设计存在缺陷或技术漏洞得不到及时的完善以及杀毒软件、防火墙等相关支持软件不能得到及时更新;没有随着企业业务和环境的变化更新会计信息处理系统导致业务流程描述错误或漏洞、数据访问权限设置不当、关键数据备份不足等问题;以及系统主机、网络线路、终端电脑、附设周边、物化防护等老化损毁等。

(三)会计信息安全风险意识薄弱与风险评估体系缺失。当前,不少企业员工,包括部分企业管理者,其会计信息安全风险意识淡薄,认识不到企业会计信息安全风险的客观性。实际上,企业生产经营活动中,风险是客观存在的,它是无处不在的,也是无时不在的。通常状况下,企业所面临的会计信息安全风险,也与威胁企业实现其战略目标的相关事件密切相关。因此,企业会计信息安全风险的评估,要求企业所有员工能对贯穿于企业方方面面的会计信息安全风险有一个清晰的认知。尤为突出的是,很多企业并没有形成一套有效的会计信息安全风险评估体系来对会计信息处理系统进行风险评估。会计信息安全风险评估体系可以确定各种会计信息采集、整理、处置、披露和使用等行为的边界,明确什么行为是可以做的,什么行为是不可以做的。如果发现有越界的行为,能够及时发现并对其进行控制,进而使得这些越界行为造成的损失降至最低。

(四)会计信息安全监控反馈欠佳。一般来说,企业会计信息安全监控反馈机制可以分为三个步骤。一是对实际会计信息安全的衡量与评估;二是将实际衡量与评估的结果与企业设定的或标准的安全目标进行比较;三是采取必要的管控行动来纠正比较后得出的偏差与不足。显然,会计信息安全监控反馈过程是一个连续行动的过程,其有效性归根结蒂取决于以上的衡量、比较与纠偏三个步骤,其中任何一个步骤或者几个步骤低效率或不作为就会影响企业会计信息安全监控反馈机制的有效性。但是,在现实的企业经营管理实际中,由于企业员工认识不到会计信息安全监控反馈机制是一个衡量、比较与纠偏的连续行动过程,而是过度强调这个监控反馈机制中的某一个步骤或某几个步骤,没有从整个会计信息安全监控反馈机制的全局上考虑,导致企业会计信息安全监控反馈机制运行不畅,监控反馈效果大打折扣,最终使该机制的有效性受到质疑,动摇该机制在企业会计信息安全管控体系中的地位。

(五)会计信息安全管控制度低效。会计信息化依然是个新生事物,企业对会计信息安全管控的认知还处于初级阶段,相关的制度建设尚不完善,有的还处于草创阶段,导致企业日常会计事务的工作制度依然处于缺失状态,会计信息处理系统的使用和维护行为缺乏合理的引导,会计信息处理设备的滥用和误用、会计信息的不当使用等现象时有发生,严重危害企业的会计信息安全。即便企业有相对健全的会计信息安全管控制度,若不能对相关执行人进行必要的激励,也难以使相关制度得到有效执行。其原因在于任何制度都是由人来执行的,要保证制度的执行效果,就必须对执行人进行激励。激励的目的就是当个人的行为能促进企业目标的实现时,能得到企业提供给其相应的价值回报,把企业员工的个人行为动机与企业目标的实现密切关联起来。事实上,很多企业在信息安全管控制度的执行过程中,并没有设立相应的激励指标来推动企业员工为企业信息安全目标的实现而工作。

三、企业会计信息安全的管控建议

针对以上风险问题,企业应该在影响会计信息安全因素的组织环境、信息处理、风险评估、监控反馈、制度安排等方面强化作为。

(一)加强会计信息安全管控组织环境建设。一方面,要强化企业会计信息安全文化建设,在企业内部形成全体员工共同遵循的会计信息安全的信念、价值、意识以及经营哲学等,以此为基础设计相应的企业会计信息安全管控制度,并提供理念支持。还可以在企业文化建设过程中,不断强化企业会计信息安全的重要性和相关会计信息安全管制制度设计的员工参与度,以实现更加公平透明和执行有效的企业会计信息安全管控文化。另一方面,要充分重视人的因素,加强企业员工的职业道德教育和业务素质培养,提高全体员工的职业胜任能力,充分发挥每个员工在完善企业会计信息安全管控制度方面的主观能动性。企业还可以依据员工的工作性质和职位安排,适宜安排企业会计信息安全教育与培训。对企业管理者,强化会计信息安全核心知识、技术手段、风险管理等方面的教育与培训;对企业普通员工,则结合其所在部门的业务特点加强会计信息安全技术手段、风险意识等方面的教育与培训。这样,就可以在企业内部营造企业会计信息安全文化氛围,最大程度地减少人为因素对企业会计信息安全的危害。

(二)适时更新会计信息处理系统安全技术。企业要遵循会计信息安全需求的动态变化规律,对会计信息安全管控方案放弃“投资一次,受用终身”的观念,适时更新会计信息系统处理安全技术,按照“适度防御”的原则,选择合适的安全技术与产品,形成企业适用的安全技术防线。首先,适时更新会计信息处理的安全技术。在企业会计信息处理系统中提供包括用户名、口令等在内的多种身份验证机制,必要时还需嵌入支持双因素认证和具备登录控制模块,同时在会计信息处理的日常作业不受影响的情况下,控制相应员工的访问权限,减少可能的越权操作,保障会计信息处理系统的安全。其次,适时更新会计数据的安全技术。企业应通过适时更新加密等技术手段保护会计信息处理系统中数据的保密性和完整性,提高会计信息数据访问的抗依赖性。此外,还需加强相关会计信息数据的异地崩溃或者灾难恢复机制,通过实现本地会计信息数据能够异地备份和复制,避免本地会计信息处理系统由于崩溃或者灾难等而导致会计信息数据遗失。再次,适时更新网络安全技术。不但要适时更新系统扫描技术并对会计信息处理系统和操作系统层设备进行智能化检测,帮助企业网络管理人员高效完成定期检测和操作系统的漏洞修复,还要适时更新系统实时入侵探测技术来监控主机系统事件,检测可疑特征并给予响应和处置。此外,还要适时更新在企业内外部部署的网络和信息安全设施,强化会计信息处理系统的物理实体管理,同时加强对漏洞扫描系统和入侵检测系统的更新,以实现会计信息处理系统受到内外部误操作或各种攻击时的实时保护。最后,适时完善物理设备的安全防护技术。不但要采取全面可靠的防火墙技术和防病毒系统,还要针对环境的物理灾害、人为蓄意破坏甚至自然灾害采取有效的物化防护技术,保障相关物理设备的安全。

(三)形成会计信息安全风险评估体系。任何企业管理机制的构建都是一个系统工程,能否构建成功且在以后的运行中有效,关键是相关风险的评估。正如管理大师德鲁克所说,没有评估就没有管理。同样的道理,没有评估就不可能实现管理机制的构建与施行。对会计信息安全管制机制的构建亦是如此。为此,企业为了构建有效的会计信息安全管理机制,就需对可能的损害企业会计信息安全的风险进行归集与分类,形成会计信息安全风险评估体系。具体做法,可以采用以下三步。第一步,构建适应企业经营实践和企业会计信息安全要求的会计信息安全风险评估目标体系。既要根据会计信息的完整性、可用性、保密性和可靠性设置会计信息安全的一般目标,又要根据会计信息安全管控环节设置具体目标,譬如会计信息安全管控业务执行的有效性、及时性、正确性等。第二步,按照会计信息处理的授权管理、岗位牵制、资源接触等安全管控类型,分析并得出会计信息处理业务流程和各部门的关键风险控制点和一般风险控制点。最后,根据上述风险控制点设置相应的会计信息安全管控评估指标,并对每个指标进行具体说明,且给出这些指标的评估方法和评分标准。

(四)推行企业全面信息安全监控反馈机制。会计信息安全管控不应该仅仅是涉及到会计信息这样一个狭小的范畴,而应该是一个综合的概念,要把企业的经营环境、愿景理念、组织领导、战略计划等综合起来考虑。既要认识到现代企业中会计信息安全管控的重要性,也要能从会计信息安全的管控上升到企业信息安全管控,推行企业全面信息安全监控反馈机制,实现企业全面信息安全管控,并使之成为企业的管理哲学。首先,要做到内容方式的全面性。不仅要着眼于会计信息安全的管控,还要能从企业战略的高度审视和评估会计信息安全管控,更要注重各种安全技术和方法的综合使用,确保能实现从单纯的会计信息安全管控向企业全面信息安全管控转变。其次,要做到管控过程的全面性。要把会计信息安全管控作为核心贯穿到整个企业经营过程中,即从市场调查、产品开发、生产销售等环节延续到产品售后都要实行相应的会计信息安全管控,确保会计信息从静态安全管控向动态安全管控转变,进而实现会计信息的保护、检测、反应和恢复协调一致。最后,要做到管控人员的全面性。即要求包括企业高管、其他管理人员、工程技术人员和普通员工在内的全体员工都要参与到全面信息安全管控中,各司其职,对会计信息安全负责。

(五)强化会计信息安全管控制度安排。强化企业会计信息安全管控制度建设,不外乎制度本身的完善和既有制度的有效执行。会计信息安全管控制度的完善,就是建立一套完善的会计信息安全管控制度。这既是会计信息本身安全的基础,也是会计信息安全管控的前提。完善的会计信息安全管控制度至少应该包括会计信息处理系统的开发或选购、使用、维护和应急制度,以及机房和终端等会计信息处理系统物理实体管理制度、会计信息数据的使用制度、会计信息数据备份制度、会计信息安全风险评估制度、会计信息安全审计制度等,实现从会计信息数据采集整理到会计信息数据使用备份的会计信息处理全程制度无缝构建,并随着企业经营环境的变化适时更新和完善。而既有会计信息安全管控制度的有效执行,则需充分重视企业员工绩效考核制度。恰当在企业员工的绩效考核中纳入企业会计信息安全评估的内容,使其获得报酬的变量和风险密切关联于企业会计信息安全。这样就可以保证企业员工在会计信息安全管控制度的执行方面上,能够基于企业的长期利益,而不是其个人利益,进而实现既有会计信息安全制度的有效执行。

四、结束语

企业会计信息安全对企业生产经营活动的可持续发展以及对市场经济的建立健全等方面的作用是不容置疑的。但是,也要看到我国关于企业会计信息安全乃至整个企业信息安全管控实践和研究的起步较晚,与发达市场经济国家在初始条件和实践能力方面还存在一定程度的差距。这是我国企业在进行会计信息安全管控时所必须要考虑到的一个基本现实。因此,本文认为企业会计信息化安全管控,既是一个不断发现问题和解决问题的过程,也是一个不断迎接挑战和接受冲击的过程。

参考文献:

[1]张红旗,王新昌,杨英杰等.信息安全管理[M].北京:人民邮电出版社,2007.

[2]胡英松.信息化会计信息安全问题研究[J].哈尔滨商业大学学报(社会科学版),2009,(4):83-85.

[3]ISO.ISO/IEC27002:2005[EB/OL].[2015-08-17].https:///obp/ui/#iso:std:iso-iec:27002:ed-1:v1:en.

[4]NSTISSC.Trusted Computer System Evaluation Criteria[EB/OL].[2015-08-17].Available online,http://csrc.nist.ov/publications/history/dod85.pdf

[5]梅雨.企业财务监控问题解析[J].中国管理信息化,2009,(9):48-50.

篇4

企业的信息安全管理包含十分丰富的内容,简单来说是指企业通过各种手段来保护企业硬件和软件,保护网络存储中的各种数据不受偶然因素的破坏或者恶意的原因被攻击。对于信息安全的认定通过包括4个指标,即保证信息数据的完整,保证信息数据不被泄露,保证信息数据能够正常使用,保证信息数据能够控制管理。要想做好企业的信息安全管理,首先需要了解的是关于信息的传输方式。随着信息技术的不断普及,信息传递的方式越来越多,常见的信息传递方式主要有互联网传播,局域网传播,硬件传播等等。要想实现企业的信息安全管理,其中很重要的一项工作在于保护信源、信号以及信息。信息安全管理是一项需要综合学科知识基础的工作,从事企业信息安全管理工作的人员通过需要具有网络安全技术、计算机技术、密码技术、通信技术。从企业的信息安全管理来讲,最为关键的一项工作时保护企业内部经营信息数据的完整。经过近十年来的企业信息安全管理工作经验总结,企业信息安全不仅仅需要信息技术的支持,更需要通过建立完善的企业风险控制体系来帮助企业实现更好地保护企业信息安全的目标。

所以,怎样把企业信息安全管理与风险控制融合起来就是摆在企业经营管理者面前的一道难题。企业的信息安全风险控制必须通过企业建立完善的企业信息安全风险体系实现。企业的信息安全风险控制是指企业在企业信息安全遭遇威胁之前,提前对企业的信息进行风险预估,并采取一系列的有针对性的活动降低企业面临的信息安全风险,从而尽可能减少因为企业本身信息安全管理中存在漏洞给企业带来不必要的损失。常见的企业信息安全风险体系建立主要包含以下几个方面的内容。第一,建立企业信息安全风险管理制度,明确企业信息安全管理的责任分配机制,明确企业各个部门对各自信息安全所应承担的责任,并建立相应的问责机制。第二,设置规范的企业信息安全风险管理指标,对企业存在的可能威胁企业信息安全管理的漏洞予以风险定级,方便企业管理者对不同的信息安全管理漏洞采取有区别的对策。第三,企业要加强对信息安全管理人员的培训,提高企业信息安全管理工作人员的风险意识,让企业内部从事信息安全管理工作人员认识到自身工作的重要性,让企业内部从事信息安全管理工作人员了解到规范自身行为,正确履行职责的重要性。第四,将企业信息安全管理与风险控制有效融合,重视企业信息安全管理工作,通过风险控制对企业内部信息安全的管理方式进行正确评估,找出现行的企业内部信息安全管理手段中存在容易忽视的地方。

二、企业信息安全管理与风险控制存在的不足

1.企业信息安全管理工作人员素质不高

对于企业来说,企业信息安全管理工作是一项极为重要而隐秘的工作,因此,必须增强对企业信息安全管理工作人员的素质要求。但是根据调查统计,目前很多企业对信息安全工作的管理仅仅停留在对企业信息安全管理工作人员的技术要求上,对企业信息安全管理工作人员的道德素养,职业素养,风险意识并没有严格要求。此外,绝大多数企业并没有意识开展对企业信息安全管理工作的道德素质的教育培训,并没有通过建立相关管理制度以及问责机制对企业信息安全管理工作人员实行监督,这无疑给别有用心或者立场不坚定的企业信息安全管理工作人员留下了危害企业信息安全的可乘之机。

2.企业信息安全管理技术不过关

企业信息安全管理工作涉及多许多技术,包括信息技术,计算机技术,密码技术,网络应用技术等等,应当说成熟的计算机应用技术是做好企业信息安全管理的基础,但是,现实是许多企业的信息安全管理技术并不过关,一方面企业的信息安全管理硬件并不过关,在物理层面对企业信息缺乏保护,另一方面,企业信息安全管理工作的专业技术没有及时更新,一些企业信息安全管理工作人员缺乏企业信息安全管理的实践经验,企业信息安全管理的知识也并没有及时更新,从而导致企业的信息安全管理理论严重滞后,这种技术的落后很容易让企业成为不法分子的攻击对象。近年来网络病毒的传播越来越猖狂,很多服务器、系统提示安全补丁的下载更新以及客户端的时常更新成为一个恼人的问题。作为一个行业中的大中型企业,企业内部设备数量比较多,尤其是客户端数量占了较大比重,仅仅靠少数几个管理员进行管理是难以承担如此大量的工作量。另外,企业信息安全管理系统不成熟也是一个重大的隐患。

3.企业信息安全管理制度不健全

企业信息安全管理制度不仅仅需要理论制度的完善,更加需要一系列配套监督机制保障企业信息安全管理的有效执行。通过调查分析,许多企业虽然建立了企业信息安全管理制度,但是通常情况下,这些制度只能流于形式,企业信息安全管理工作缺少有效的制约和监督,企业信息安全管理工作人员缺乏执行力。企业信息安全管理制度不健全,企业信息安全管理工作缺乏执行力常常体现在以下几个方面。第一,企业员工对于信息安全管理的认识严重不足,对企业信息安全管理工作不重视。企业内部计算机系统安全的计算机防病毒软件并没有及时更新,使用,甚至企业内部计算机的防病毒软件还被企业员工卸载了。部分企业员工认为自己的工作与企业信息安全管理不相关,认为做好企业信息安全管理工作仅仅是企业信息安全部门的事。第二,企业内部信息安全管理制度并没有形成联动机制,企业信息安全管理工作仅仅由企业信息安全部门“一人包干”,企业信息安全反映的问题并没有得到积极的反馈,一些企业领导对企业信息安全现状所了解的少之又少。

三、企业信息安全管理常见的技术手段

1.OSI安全体系结构

OSI概念化的安全体系结构是一个多层次的结构,它的设计初衷是面向客户的,提供给客户各种安全应用,安全应用必须依靠安全服务来实现,而安全服务又是由各种安全机制来保障的。所以,安全服务标志着一个安全系统的抗风险的能力,安全服务数量越多,系统就越安全。

2.P2DR模型

P2DR模型包含四个部分:响应、安全策略、检测、防护。安全策略是信息安全的重点,为安全管理提供管理途径和保障手段。因此,要想实施动态网络安全循环过程,必须制定一个企业的安全模式。在安全策略的指导下实施所有的检测、防护、响应,防护通常是通过采用一些传统的静态安全技术或者方法来突破的,比如有防火墙、访问控制、加密、认证等方法,检测是动态响应的判断依据,同时也是有力落实安全策略的实施工具,通过监视来自网络的入侵行为,可以检测出骚扰行为或错误程序导致的网络不安全因素;经过不断地监测网络和系统来发现新的隐患和弱点。在安全系统中,应急响应占有重要的地位,它是解决危险潜在性的最有效的办法。

3.HTP模型

HTP最为强调企业信息安全管理工作人员在整个系统中的价值。企业信息安全工作人员企业信息安全最为关键的参与者,企业信息安全工作人员直接主导企业信息安全管理工作,企业信息安全工作人员不仅仅是企业信息安全的保障者,也是企业信息安全管理的威胁者。因此,HTP模型最为强调对企业信息安全管理工作人员的管理与监督。另外,HTP模式同样是建立在企业信心安全体系,信息安全技术防范的基础上,HTP模式采取了丰富的安全技术手段确保企业的信息安全。最后,HTP强调动态管理,动态监督,对于企业信息安全管理工作始终保持高强度的监督与管理,在实际工作中,通过HTP模型的应用,找出HTP模型中的漏洞并不断完善。

四、完善企业信息安全管理与降低风险的建议

1.建设企业信息安全管理系统

(1)充分调查和分析企业的安全系统,建立一个全面合理的系统模型,安全系统被划分成各个子系统,明确实施步骤和功能摸块,将企业常规管理工作和安全管理联动协议相融合,实现信息安全监控的有效性和高效性。

(2)成立一个中央数据库,整合分布式数据库里的数据,把企业的所有数据上传到中央数据库,实现企业数据信息的集中管理与有效运用。

(3)设计优良的人机界面,通过对企业数据信息进行有效的运用,为企业管理阶层人员、各级领导及时提供各种信息,为企业领导的正确决策提供数据支持,根本上提高信息数据的管理水平。

(4)简化企业内部的信息传输通道,对应用程序和数据库进行程序化设计,加强对提高企业内部信息处理的规范性和准确性。

2.设计企业信息安全管理风险体系

(1)确定信息安全风险评估的目标

在企业信息安全管理风险体系的设计过程中,首要工作是设计企业信息安全风险评估的目标,只有明确了企业信息安全管理的目标,明确了企业信息安全管理的要求和工作能容,才能建立相关围绕信息安全风险控制为目标的信息安全管理工作制度,才能顺利通过对风险控制的结果的定量考核,检测企业信息安全管理的风险,定性定量地企业信息安全管理工作进行分析,找准企业信息安全管理的工作办法。

(2)确定信息安全风险评估的范围

篇5

引言

自从改革开放以来,电力能源一直是我国经济发展的重要力量,并逐渐成为国民经济重要的领导性产业,并始终致力于电力供应、节能高效、技术创新等方面的责任。计算机通信技术的飞速发展有效提高了电力行业的新技术研发,增强了风险管控能力,并且使电力企业朝着综合化及集约化方向发展,同时对电力企业提出了更高的要求。所以,加强对电力企业安全生产管理信息化管控的措施,提高电力生产的有效管控,并增强企业安全生产管理的能力,不断研发新技术及新设备,努力适应市场化变革,是电力企业未来发展的重要方向。

1水电信息化管控与安全生产管理

随着科技的进步,我国电力系统也在与时俱进。现如今,整个电力系统以信息化手段为中心,围绕该中心开展一系列的信息收集和资源共享工作,从而加快高质量电网供电、科学化电网供电、智能化电网供电的建设,最终降低整个电力系统的功耗,推动我国电网的跨越式发展。大数据时代,电力系统信息化的搭建,可以将所有电力参数进行实时采集,在线分析。这对于我国电力的部署问题会有很大的帮助。一般来说,信息化是一个企业欣欣向荣、积极进取的标志,尤其在促进水电厂企业的发展方面有着不可估量作用。通过信息化的注入,水电厂企业将更加灵动运作,从而更好地为人民服务。对水电厂进行信息化建设可以加速我国电网从量变到质变的步伐,然而管控工作则可以起到事半功倍的效果。管控,顾名思义就是监管控制。通过对整套电力系统的全面监控从而达到提高工作效率,促进电网工作的进步。如对电力系统的工作人员的管控,可以提高生产效率;对电网一线的管控,可以减低工作危险;对电网基础设施的管控,可以降低故障发生的概率。因此,管控工作不容忽视。为了有效管理电能,必须实施信息化管控,通过大数据的实时采集与分析,使得准确有效的数据信息实时传递给电网系统的高层管理,为进行战略布局而起到良好的辅助作用,增强电力企业在市场竞争中的核心竞争力。对电站设备实现自动监视与记录:计算机监控系统自动完成电站设备数据的采集、处理以及设备运行状况的自动监视与记录,包括开关量信息监视,模拟量信息监视,故障/事故报警、记录与显示,SOE点记录与显示[1]。

2信息化现状和安全信息管控的问题

由于电力系统是一直技术密集及设备繁多的有机整体,系统自动化程度非常高,电力设备之间耦合程度也紧密,需要设备具有很高的可靠性及可利用率。电力行业信息化系统建设是非常重要的一个部分,从目前电力行业发展来看,每个系统之间普遍建立了高水平的信息化水平,但是这些系统之间大多数没有直接联系,并且耦合度也比较低,这使得电力系统的整体性及连续性受到很大限制,不能有效发挥电力系统最大的功能。自从改革开放以来。我国电力企业有了很大的发展,逐渐发展成了规范化检修管理、安全隐患管理、运行经济性评估、技术管理、两票三制等为主要操作及管理手段的安全生产管理体系。同时,安全生产管理也逐渐发展成为专业的信息化应用系统。虽然我国电力企业在开展安全生产管理信息化发展方面有了很大提高,但依然存在下面几个问题。1)通常电力企业安全生产管理系统存在很大的孤岛问题。电力系统运行与企业内部各部门之间耦合不完善,并缺乏与外部信息系统的沟通联系手段,严重与电力企业要求的强耦合、密切协同关系不相符,并与电力企业想要达到的精细化运行、集团化管理及集约化发展的目标相差很大,不能完全实现对安全生产的管控效果。2)经常出现重复建设及投资的问题。因为没有完善的信息管理体系,导致整体规划及构架缺乏合理性,使得信息系统不能及时共享,从而出现重叠建设及投资的现象。3)安全生产管理信息系统自身的安全性能与实际需要相差甚远。因此,缺乏对系统的全面规划及构架,甚至具有一定的漏洞,如果出现不安全事件问题,将会造成不可以快速地做出全局性判断,导致事态进一步严重。

3水电安全生产管理信息化管控的措施

科学技术水平的提升为现代公司的快速发展创造了诸多条件,信息技术的运用就是其中的代表,其不仅能够为电力公司奠定技术基础,还能够进行有效地内控。这具体体现在:第一,公司的成长与内部信息的沟通密切相关,公司精神的战略传输,企业文化的推广指引,均需迅速加以传播,信息技术就有效地满足了该要求,增快了公司内部信息的传输速率,提升了工作成效。第二,信息技术的运用为公司管理提供了新的方式,不仅能够科学安排员工工作任务,还能够促进文化的建设。信息技术在提高企业关键竞争优势的同时,也需要公司持续改革、革新知识储备、更新系统设施,一味遵守老的规矩,便会无法适应市场的发展,无法追随市场的步伐。要结合企业现实状况和将来发展的现实需求,全面利用其在互联网、资源、信息等方面的便利条件,增强公司内部信息安全管控平台的构建,深化所有职工互联网安全管控的认知,在技术方面也应当持续增大信息安全管控力度,确保信息储存与传播的安全,健全网络系统。虽然国内电力公司的网络化建设工作在持续开展,然而依旧有诸多电力公司对该项工作的注重水平低下,对于有关从业者也未提出较高的技术要求,致使信息管控工作无法将自身的功能有效发挥出来。为了防止此种现象的产生,电力公司应当依据现实状况,整体考量自身的现实需要,明晰信息管控工作者的责任,且定期组织有关技术培训,提高人员专业水准,并对工作人员的专业技能加以考评,对于技术不达标的员工,将其辞退。另外,应当利用思想教育培训,深化信息化建设工作者的思想认知,明晰权利和责任,引导其在工作过程中进行实践经验的归纳剖析,持续提高自身水平,且逐渐健全信息化管理平台。

4实际案例分析

川内某水电厂的安全生产管理系统采用面向对象开发语言JAVA来进行开发,该系统与用户的交互形式使用B/S模式。移动安全管理应用模块基于智能手机Android系统平台进行APP开发。移动安全管理客户端应用硬件以手机为主,在Web(外网)上通过4G网络(或WiFi)以APP的形式进行访问和操作,通过4G网络与后台服务端进行实时通讯、数据交互,并实现后台服务端对移动端数据的接收和存储。该水电厂遵循“先进、整体、统一、个性、开放、可扩展和一体化”的原则,进行了安全生产管理系统建设,解决系统中对安全监管业务覆盖不全和薄弱环节问题,实现小湾水电厂安全管理的信息化、智能化。以下笔者主要是列举几个关键点:第一,监控系统异常监视:对机组现地控制单元硬件、软件故障自动监视,报警并上送数据信息给电站控制层。实时监视监控系统本身的工作状况,通信状态等。第二,事件报警:故障报警记录:计算机监控系统周期性扫描故障信号,故障发生时,立即响应并处理,同时记录故障发生时间(时、分、秒)、动作设备器件名称、事故内容等信息,并显示、打印故障报警语句,发出声光报警信号,按故障发生的先后次序排列,形成故障记录并存入数据库。故障记录表格为故障汇总记录表,可供值班人员查寻,并定时打印,也可召唤打印或显示。第三,事故追忆及相关量记录:电站发生事故时,需对事故发生前后的某些重要参数进行追忆记录,以供运行人员事故分析。事故发生时,计算机将按顺序将事故报警信息、事故的名称及这些追忆数据保存于磁盘中,形成历史数据。并自动显示、打印这些数据。事故追忆的重要参数有:线路三相电流和电压(正常值和故障值);主变的电流和温度(正常值和故障值);发电机定子三相电流和电压(正常值和故障值)、机组推力轴瓦最高温度等。第四,控制、操作与调节功能:依据水电厂机械运行的状况与相关调研结果,依照预定流程远距离和现场的管控命令对该厂机械的运行加以管理和调控。运行机械管理方式设定,自动或者手动管控、远距离或者现场操作,都能够在操作页面中点击达成,无功和有功功率调控和机组开机、停机的操控也能够在操作页面中点击达成。控制优先权为:电站控制层模块、现场控制层模块。可达成机械运行模式设定和调换:闸门开启或者闭合操作;机组无功和有功的调控;报警信号复位;隔离开关、断路器操作;机组压油设施与公共设施电动机启动和切断操作,此便是有代表性的水电公司安全生产网络化所取得的成效[2-3]。

5结语

随着计算机通信技术的飞速发展,我国信息化水平不断进步,电力企业的安全生产管理水平也有了提高。电力企业应该将行业安全管理自身的特点作为根本,采用计算机网络技术,构件完善的企业安全生产管理信息化系统。通过高效的数据整合,为电力企业提供科学有效的数据信息,使得信息化在电力企业实际生产中发挥有效作用。通过不断提高电力企业安全生产管理的技术水平,可以减小事故发生几率,提高电力企业电能生产的效率,从而增强电力企业的核心竞争力。

参考文献

[1]孟碧波,万诗新.水电厂计算机监控系统AGC安全问题对策[J].电网技术,2004,28(14):49-52;56.

篇6

中图分类号:TP393.08

随着信息化技术的高速发展和深入应用,企业对信息系统的依赖性越来越强,绝大部分的业务从纸面迁移到信息系统当中,如何建立稳固的信息安全管理体系已经成为各企业信息管理部门甚至管理层的重要课题。本文将通过对目前国际信息安全行业发展的分析,提出企业构建稳固的信息安全管理架构,提高信息安全水平的初步构想。

1企业信息安全政策

信息安全政策作为信息安全工作的重中之重,直接展现了企业的信息安全工作的思路。其应当由企业信息安全工作的使命和远景,实施准则等几部分组成。

1.1信息安全工作的使命

信息安全工作的核心意义是将企业所面临的风险管理至一个可接受的水平。

当前主流的风险控制包含以下四个步骤:通过风险评估方法来评估风险;制定安全策略来降低风险;通过监控控制恶意未授权行为;有效地审计。

1.2信息安全工作的愿景

安全的企业信息化环境可以为任何企业用户提供安全便捷的信息化服务,应用,基础设施,并保护用户的隐私。让用户有安全的身份验证;能安全便捷的使用需要的数据和应用资源;保证通讯和数据的保密性;明确自身的角色,了解角色在企业中的信息安全责任;身边出现的信息安全风险和威胁能得到迅速响应。

要达到上述目的,企业需要进行有效的风险管理。风险管理是一个识别风险、评估风险、降低风险的过程。在这个过程中,需要权衡降低风险的成本和业务的需求,确定风险的优先级别,为管理层的决策提供有效的支持。

1.3信息安全准则

信息安全准则是风险评估和制定最优解决方案的关键,优秀的信息安全准则包括:根据企业业务目标执行风险管理;有组织的确定员工角色和责任;对用户和数据实行最小化权限管理;在应用和系统的计划和开发过程中就考虑安全防护的问题;在应用中实施逐层防护;建立高度集成的安全防护框架;将监控、审计和快速反应结合为一体。

良好信息安全准则可以让企业内外部用户了解企业信息安全理念,从而让企业信息管理部门更好地对风险进行管控。

2企业信息安全管理的主要手段

2.1网络安全

(1)保证安全的外部人员连接。在日常工作中,外部合作伙伴经常会提出联入企业内网的需求,由于这些联入内网的外部人员及其终端并不符合企业的信息安全标准,因此存在信息安全隐患。控制此类风险的手段主要有:对用户账户使用硬件KEY等强验证手段;全面管控外部单位的网络接入等。

(2)远程接入控制。随着VPN[2-3]技术的不断发展,远程接入的风险已降低到企业的可控范围,而近年来移动办公的兴起更是推动了远程接入技术的发展。企业采用USB KEY,动态口令牌等硬件认证方式的远程接入要更加的安全。

(3)网络划分。在过去,企业内部以开放式的网络为主。随着网络和互联网信息技术的成熟,非受控终端给企业内网带来的安全压力越来越大。这些不受信任的终端为攻击者提供了访问企业网络的路径。信息管理部门可以利用IPSec[4]技术有效提高企业网络安全,实现对位于公司防火墙内部终端的完全管控。

(4)网络入侵检测系统。网络入侵检测系统作为防火墙的补充,主要用于监控网络传输,在检测到可疑传输行为时报警。作为企业信息安全架构的必备设备,入侵检测系统能有效防控企业外部的恶意攻击行为,随着信息技术的发展,各大安全厂商如赛门铁克,思科等均研发出来成熟的入侵检测系统产品。

(5)无线网络安全。无线网络现在已遍布企业的办公区域,给企业和用户带来便利的同时也存在信息安全的隐患。要保证企业内部无线网络的安全,信息管理部门需要使用更新更安全的协议(如无线保护接入WPA或WPA2);使用VLAN划分和域提供互相隔离的无线网络;利用802.1x和EAP技术加强对无线网络的访问控制。

2.2访问控制

(1)密码策略。高强度的密码需要几年时间来破解,而脆弱的密码在一分钟内就可以被破解。提高企业用户的密码强度是访问控制的必要手段。为避免弱密码可能对公司造成的危害,企业必须制定密码策略并利用技术手段保证执行。

(2)用户权限管理。企业的员工从进入公司到离职是一个完整的生命周期,要便捷有效地在这个生命周期中对员工的权限进行管理,需要企业具有完善的身份管理平台,从而实现授权流程的自动化,并实现企业内应用的单点登陆。

(3)公钥系统[5]。公钥系统是访问控制乃至信息安全架构的核心模块,无线网络访问授权,VPN接入,文件加密系统等均可以通过公钥系统提升安全水平,因此企业应当部署PKI/CA系统。

2.3监控与审计

(1)病毒扫描与补丁管理。企业需要统一的防病毒系统和终端管理系统,在终端定期更新病毒定义,进行病毒自扫描,自动更新操作系统补丁,以减少桌面终端的安全风险。此类管控手段通常需要在用户的终端上安装客户端,或对终端进行定制,在终端接入企业内网时,终端管理系统会在隔离区域对该终端进行综合评估打分,通过评估后方能接入内网。才能保证系统的安全策略被有效执行。

(2)恶意软件防控。主流的恶意软件防控体系主要由五部分构成:防病毒系统;内容过滤网关;邮件过滤网关;恶意网页过滤网关和入侵检测软件。

(3)安全事件记录和审计。企业应当配置日志审计系统,收集信息安全事件,产生审计记录,根据记录进行安全事件分析,并采取相应的处理措施。

2.4培训与宣传

提高企业管理层和员工的信息安全意识,是信息安全管理工作的基础。了解信息安全的必要性,管理层才会支持信息安全管理建设,用户才会配合信息管理部门工作。利用定期培训,宣传海报,邮件等方式定期反复对企业用户进行信息安全培训和宣传,能有效提高企业信息安全管理水平。

3总结

当前,越来越多的企业已经把信息安全看做影响业务发展的核心因素之一,信息安全管理已经成为企业管理的重点。本文对信息安全政策,安全管理手段等方面进行了剖析,结合当前国际主流的信息安全解决办法,为企业做好,做强信息安全管理体系给出了一些通用性的标准,对企业构建信息安全管理体系,消除信息安全隐患,避免信息安全事件造成的损失,确保信息系统安全、稳定运行具有探索意义。

参考文献:

[1]何剑虹,白晓颖,李润玲,崔智社.基于SLA的面向服务的基础设施[J].电讯技术,2011,51(9):100-105.

[2]胡道元,阂京华.网络安全[M].北京:清华大学出版社,2004.

篇7

在强调企业核心竞争力的今天,越来越多的公司将IT服务外包作为企业长期战略成本管理的新兴工具。服务外包的实质是企业和服务商之间的“委托―”关系。企业需要对自己重新进行定位,截取价值链中较短的部分,缩小经营范围,在此基础上重新配置企业的各种资源,将资源集中到最能反映企业优势的领域,从而更好地构筑竞争优势,以此获得可持续发展的能力。

随着企业业务发展过程中信息系统所涉及的内容越来越多、结构越来越庞大,企业信息化再也不仅仅是IT部门自己的事情。企业市场竞争压力越来越大,在信息化建设和管理期间迎来了严峻的考验。一方面是IT部门人员少、系统多、任务重,另一方面是公司要求IT部门削减成本、并消除由于缺乏内部控制和运作准则导致的混乱状态,以更高效地服务业务部门。

在多重压力之下,许多企业认为IT部门最重要的工作是确保信息和流程的顺畅,而服务器、存储系统、网络或者交换机等设备并不是最重要。因此,许多企业倾向于将某些应用系统、基础设施和部分非核心系统外包给服务商负责维护。

IT服务外包的风险

企业借外部力量提供专业化服务、将部分非核心业务进行离岸资源外包的过程中,面临着管控、运营等一系列风险,其中最重要的是信息安全风险的威胁。

从表面上看,采用IT外包策略不但可以节约成本,还能提高效率。但事实上,许多企业对IT外包都有许多道不尽的爱恨情仇。外包是一柄双刃剑,其好处是可以向企业灌输技术与人才,帮助企业摆脱繁琐的IT业务――有效的外包能让公司更好的专注于核心业务。

但是进行IT外包并不是一件轻松的事情,如果处理不好,不仅不会带来预期的效益,反而会变成一场噩梦和致命的灾难。所以对于企业IT主管部门而言,必须具有很强的经验和管理技能,才能谈“外包” 二字。

IT外包服务要成为一种商品,就必须形成一套规范和标准,以约束买卖双方。但目前国内IT外包服务领域既无统一规范也无公认标准。概念模糊的用户,面对同样概念模糊的IT厂商,如何评估、签合同、质量控制和定价等都是潜在的“风险”。

此外,IT外包还面临着 IT管理的复杂性、软件缺失、知识产权以及IT外包服务提供商自身能否健康成长等风险。因此企业需要在风险、成本与效果、效率之间找到平衡点。

同时,由于委托方和方之间可能存在信息不对称和信息扭曲等问题,加之市场及宏观环境的不确定性,导致委托方在实施外包过程中承担着种种风险。

外包服务关键词:信息安全

企业在IT服务外包过程中面临的最大挑战,就是如何确保企业信息和数据的安全,如何建立起有效的信息安全管控框架,以符合企业信息安全要求。

首先,确认企业内部信息安全管控过程是否可持续监管和优化。在信息防泄漏的“战争”中,相比于躲在暗处的泄密者和安全威胁,站在明处的企业显然略失先机。但如果企业能够做到预先防御,在对手出招之前采取针对性的保护措施,就能从根本上“转被动为主动”,做好内部数据安全防护。

因此,良好的信息防泄体系的前提就是要时刻掌握企业动态,做到要有的放矢。很重要的一点是要实现内部操作的“可视化”,以随时监测整个信息系统的安全状况,做到迅速反应,甚至还能预测到潜在的风险,化被动防御为积极防御。

其次,企业信息安全体系设计需进行全局评估和建设,规避疏漏和风险。安全领域中的木桶理论和马其顿防线的故事相信大家都了解――无论怎么豪华的防线,一个漏洞就可以毁灭所有一切。在企业中,有时候可能是一个小小的系统漏洞就可能毁灭了几百万投资的努力,或者一个无意的非法补丁行为就让企业蒙受损失。

因此,在解决安全问题之时,不能仅仅依赖透明加密等技术手段,“头痛医头,脚痛医脚”地堆砌不同安全产品及封堵安全漏洞,而是需要站在一个更高的战略角度来通盘考虑。如果缺乏整体的分析视角,企业可能会忽视或者低估某个安全攻击的真正威胁,采取的安全措施也可能无法解决真正的问题。

所以,在实际的防泄漏建设中,必须从整体上来评估企业的信息安全状况,运用统一平台来进行风险和安全管理,检测出内部问题,从而描绘出整个企业当前安全情况的更清晰和更准确的图景,采取针对性的防护措施,最大限度降低企业的安全风险。

另外,要有安全和防护等级措施。企业在构建立体化、全方位的整体信息防泄体系时并不是一刀切,不分轻重地在全公司范围内采取相同的策略,这样虽然看似达到了最为安全的效果,但对业务造成的巨大影响,以及因此产生的高额成本,对企业来说,都是巨大的负担。

对信息安全来说,威胁和风险往往和高价值的信息资产联系在一起,安全保护工作也就应该轻重有别,将重点放在高价值的信息资产上。在安全建设过程中,对程度高的部门或岗位进行力度大的防御,对程度低的部门采取相应的安全防御。同时衡量提升安全性可能带来的业务操作上的麻烦、企业安全成本等问题,是企业必须要做的事情。

在企业实施安全防护等级风险评估过程中,往往需要结合企业的实际情况,对三种技术手段整合运用:首先,在全公司范围内进行安全审计,掌握企业操作,发现安全隐患;其次,对特殊岗位和部门,进行严格管控,限制信息的带出;最后,在核心部门内部,对机密信息进行透明加密。这样既可保证公司的正常业务运作,又能有的放矢地实现最优化的信息防泄漏管理,还大大节约了投资成本。

此外,利用科学可行的安全策略和必要的技术手段实现动态性防护。动态性的信息泄露防护,对于目前泄密方式日益增多的企业来说,非常重要。某些企业往往在安全事件发生之后才对现在的策略进行被动的调整。这种“吃一堑、长一智”的防护模式,对于企业而言,有可能是致命的。一旦出了安全事故,恐怕亡羊补牢,为时已晚。

企业需要建立一个动态性的安全防护,前瞻性地发现安全威胁,并通过对技术或管理上的策略进行及时调整更新,防范潜在的安全风险。

最后要强调的是,信息安全体系必须便于使用和维护。如今,市场上五花八门的信息防泄漏产品让企业眼花缭乱,企业期望这种“强强组合”能给企业套上万无一失的金钟罩。殊不知这种做法往往意味着企业必须付出较高的成本,并增加了技术的复杂性,还容易导致产品软件冲突等问题,企业虽然“装”了安全产品,但根本“用”不了。

目前,能够提供整体解决方案的单一安全产品可谓不错的选择,它能够帮助企业建立统一的安全管理平台,无论企业安全边界防护、还是内部使用,都做了整体全面的考虑,同时简化了日常的操作与管理、降低了系统的资源占用、避免了软件冲突等多种问题,使用维护亦非常方便,大大节约了IT人员的时间和精力。

综上所述,如企业信息防泄漏建设符合以上检测标准,说明该企业已经建立了一个完善的整体信息防泄漏体系,机密信息也得到了最大化的保护,实现了“成本、效率、安全”三者的最佳平衡,这也是近年来被大家认可的“整体信息防泄漏”理念的核心。

实际上,信息防泄本身就是一种博弈,是企业和人的博弈。它是一场思维的交锋,企业只有掌握了内部的行为操作,同时针对内部安全威胁建立全面、立体化的安全防护,信息防泄才会立于不败之地。

天玑外包信息安全管控体系

天玑科技提供的IT外包(IT Outsourcing)服务,即“承接企业IT系统维护与管理,按双方服务协议内容完成相关服务”的业务模式。

随着客户对信息安全管理的要求越来越高,天玑科技把IT外包的信息安全管理放在首位,积极贯彻基于风险的管理方法,针对IT服务外包中的安全管理进行了系统思考和有益的尝试。

外包基础和简单重复的服务:考虑到信息安全管理问题,天玑科技初期外包服务范围主要以基础服务外包为主,即将IT系统日常的硬件与软件维护、Helpdesk呼叫中心、信息系统的编码等活动外包,而对于IT系统的规划与管理、核心应用系统(如ERP、CRM)的设计与维护仍然由企业IT部门承担。这样避免了IT服务人员接触组织的核心系统信息,降低了IT服务外包对IT系统敏感部分带来的安全风险。

具备信息安全管理资质:由于IT外包服务过程中,IT服务人员必然会接触到企业的系统设备甚至是内容,如何成为一家可靠安全的IT服务外包供应商也是在进行IT服务外包前必须考虑的重要方面。天玑科技是一家已经建立起完善的信息安全管理体系,并通过了BSI安全认证审核的IT服务外包供应商,专门从事IT服务外,拥有很多有影响的大客户。天玑科技会根据服务内容签订责任明确的服务合同,在服务合同中详细阐明双方在服务提供过程中对信息安全的责任十分关键。

强化日常服务的安全管理:信息安全管理的要求应该体现在IT服务日常管理的各个方面,主要包括:日常活动规范的建立;服务变更控制;服务人员管理;安全事件处理;业务持续管理;知识产权保护和监控与审核等内容。

日常活动规范的建立:针对服务协议中明确的服务内容,建立规范的服务流程是开展IT服务活动的基础。企业信息化主管部门根据双方签订的服务协议,与供应商IT服务主管人员一起建立一套完整的服务规范。服务规范中对服务过程中的安全风险均采取了适当的控制措施,确保了服务活动满足企业信息安全管理策略的要求。

服务变更控制:天玑科技遵从在调整其服务流程和变更服务技术前必须事前进行沟通,在企业评估变更的影响并确认采取了响应控制措施后才能进行服务过程的变更。

服务人员管理:服务人员是IT服务活动的直接执行者。为确保服务人员能够满足要求,天玑科技明确规定了IT服务人员的能力要求和标准,确保只有技术能力强、认真负责的服务人员才能进入服务项目组。同时,对服务人员筛选、培训和变动也提出了具体要求。

安全事件管理:发生安全事件后,双方人员的协调和互动将直接影响对事件处理的结果。在服务过程中发生和发现的信息安全事件必须第一时间上报企业主管部门,在企业主管部门的组织下完成对安全事件的处理。

业务持续管理:由于企业将核心网络和系统硬件均托管给了IT服务供应商进行日常维护。IT服务供应商是否具备满足组织业务需求的业务持续管理能力,成为保证企业信息系统业务持续的关键。在企业整个业务持续管理的框架下,对IT服务供应商的业务持续管理能力提出了明确的要求,在服务协议中进行了明确的定义。同时,针对具体服务系统双方共同制定了相应的灾难恢复计划。

篇8

随着企业各个业务系统的深化应用,企业的日常运作管理越来越倚重信息化,越来越多的数据都存储在计算机上。信息安全防护变得日益重要,信息安全就是要保证信息系统安全、可靠、持续运行,防范企业机密泄露。信息安全包括的内容很多,包括主机系统安全、网络安全、防病毒、安全加密、应用软件安全等方面。其中任何一个安全漏洞便可以威胁全局。随着信息化建设地不断深入和发展,数据通信网改造后,市县信息网络一体化相互融合,安全防护工作尤显重要。如何保障县公司信息网络安全成为重要课题。信息安全健康率主要由两方面体现,一是提升安全防护技术手段,二是完善安全管理体系。安全防护技术手段主要侧重于安全设备的应用、防病毒软件的部署、安全策略的制定、桌面终端的监管、安全移动介质、主机加固和双网双机等方面,安全管理则侧重于信息安全目标的建立、制度的建设、人员及岗位的规范、标准流程的制定、安全工作记录、信息安全宣传等方面[1]。因此,企业要提升信息安全,必须从管理机制、技术防护、监督检查、风险管控等方面入手,并行采取多种措施,严密部署县公司信息安全防护体系,确保企业信息系统及网络的安全稳定运行,主要体现在以下几方面:

1机制建立是关键

企业信息安全防护“七分靠管理,三分靠技术”,没有严谨的管理机制,安全工作是一纸空谈,因此,做好防护工作必须先建立管理体系。一是完善组织机制。在企业信息安全工作领导小组之下,设立县公司数据通信网安全防护工作组,由信通管理部门归口负责日常工作,落实信息安全各级责任。将信息安全纳入县公司安全生产体系,进而明确信息安全保障管理和监督部门的职责。建立健全信息安全管理等规章制度,加强信息安全规范化管理。二是强化培训机制。根据近年来信息安全的研究,企业最大信息安全的威胁来自于内部,因此,企业应以“时时讲信息安全,人人重信息安全,人人懂信息安全”为目标,开展“教育培训常态化、形式内容多样化、培训范围全员化、内容难度层次化”培训工作,为信息安全工作开展提供充分的智力保障。企业应充分利用网络大学、企业门户、即时通讯等媒介,充实信息安全内容,营造信息安全氛围,进而强化全员信息安全意识。三是建立应急机制。完善反应灵敏、协调有力的信息安全应急协调机制,修订完善县公司数据网现场应急处置预案,加强演练。严格执行特殊时期领导带班和骨干技术人员值班制度,进一步畅通安全事件通报渠道,规范信息安全事件通报程序,做好应急抢修人员、物资和车辆准备工作,及时响应和处理县公司信息安全事件。重点落实应对光缆中断、电源失去、设备故障应急保障措施,确保应急处置及时有效。杜绝应急预案编制后束之高阁和敷衍应付的行为。

2技术防护是基础

技术防护要从基础管理、边界防护、安全加固等方面入手[2]。(1)基础管理方面。一是技术资料由专人负责组织归类、整理,设备或接线如有变化,其图纸、模拟图板、设备台帐和技术档案等均应及时进行修正。二是将设备或主要部件进行固定,并设置明显的不易除去的标识,屏(柜)前后屏眉有信息专业统一规范的名称。三是设备自安装运行之日起建立单独的设备档案,有月度及年度检修计划并按计划进行检修,检修记录完整。所有设备的调试、修复、移动及任一信息线或网络线的拔插和所有设备的开关动作,都按有关程序严格执行,并在相应的设备档案中做好记录。四是加强运行值班监视和即时报告,确保系统缺陷和异常及时发现,及时消除。(2)安全隔离方面。安全隔离与信息交换系统(网闸)由内、外网处理单元和安全数据交换单元组成。安全数据交换单元在内外网主机间按照指定的周期进行安全数据的摆渡,从而在保证内外网隔离的情况下,实现可靠、高效的安全数据交换,而所有这些复杂的操作均由隔离系统自动完成,用户只需依据自身业务特点定制合适的安全策略,既可以实现内外网络进行安全数据通信,在保障用户信息系统安全性的同时,最大限度保证客户应用的方便性。(3)边界防护方面。一是部署防火墙,做好网络隔离。在路由器与核心交换机之间配置防火墙,并设置详细的安全防护策略。防火墙总体策略应是白名单防护策略(即整体禁止,根据需要开放白名单中地址)。将内部区域(下联口)权限设置为禁止、外部区域(上联口)权限设置为允许。定义防火墙管理地址范围,针对PING、Webui、Gui三种服务进行设置:只允许特定管理员地址远程管理。二是严格执行防火墙策略调整审批程序,需要进行策略调整的相关单位,必须填写申请单,且必须符合相关安全要求,经审批后进行策略调整。三是严禁无线设备接入。(4)安全加固方面。一是应以最小权限原则为每个帐号分配其必须的角色、系统权限、对象权限和语句权限,删除系统多余用户,避免使用弱口令。二是安装系统安全补丁,对扫描或手工检查发现的系统漏洞进行修补。三是关闭网络设备中不安全的服务,确保网络设备只开启承载业务所必需的网络服务。四是配置网络设备的安全审计功能和访问控制策略。五是开展风险评估工作中,认真分析网络与信息系统安全潜在威胁、薄弱环节,综合运用评估工具,在常规评估内容基础上,加强渗透性验证测试和密码脆弱性测试,重视对系统结构与配置的安全评估。根据评估结果,及时提出并落实整改方案,实施安全加固措施。

3监督检查是保障

全面落实“按制度办事,让标准说话”的信息安全管理准则,在企业指导下,由县公司信通专业牵头,业务部门主导,分工协作建立督查机制,加强过程安全管控与全方位安全监测,推进安全督查队伍一体化管理,完善督查流程和标准,开展好安全督查工作,以监督促进安全提升。一是全面提升责任部门安全人员专业技术水平,加强督查队伍建设。二是完善督查机制,对督查中发现的问题督促落实整改,并开展分析总结,通报相关情况。三是开展常态督查,通过软件扫描、终端监测等手段,确保监测全方位。四是加强考核,开展指标评价。保障督查管理水平和工作质量。

险管控是对策

为确保公司信息化网络安全,公司要将被动的事件驱动型管理模式转变为主动的风险管控模式,主动地对威胁和风险进行评估,主动地采取风险处置措施。通过资源的调控实现对信息安全工作的调控。公司应在信息安全治理过程中大量借鉴管理学方法,进行动态的控制和治理,通过治理的流程控制措施进行资源的调配,实现对关键项目、关键技术、关键措施的扶持,对非关键活动的控制,确保公司信息化网络安全。数据通信网升级改造为企业信息化发展扩展了领域,同时,对信息安全工作提出了新的课题和更高的要求。本文通过分析企业信息化安全管理过程中的一些薄弱环节,提出了安全防护经验的措施,从管理机制、技术防护、监督检查、风险管控等方面入手,提高了县公司全体人员信息化安全意识,极大地保障了企业系统(含县公司)信息网络系统的安全、稳定运行,完善了县公司信息安全策略及总体防护体系,密织信息安全防护网,保障数据网不失密、不泄密,不发生信息安全事件。公司下一步将加强信息化常态安全巡检,加强信息化相关资料的管理,加强单位干部员工的信息化安全培训力度,进一步完善信息安全策略及总体防护体系。提高全体人员信息化安全意识,保障信息化网络安全。企业信息安全建设是一项复杂的综合系统工程,涵盖了公司员工、技术、管理等多方面因素。企业要实现信息安全,必须加强安全意识培训,制定明确的规章制度,综合各项信息安全技术,建立完善的信息安全管理体系,并将信息安全管理始终贯彻落实于企业各项活动的方方面面,做到管理和技术并重,形成一套完善的信息安全防护体系。

参考文献:

篇9

本报讯5月15日,华硕在京推出了九款服务器和主板新品。在这其中,RS920-E7、RS700-E7/RS8、RS720Q-E7、ESC4000 G2等四款采用了英特尔Romley新平台的服务器产品,搭载了华硕最新的管理、节能解决方案,在能效、可扩展性、易用性和易管理性等方面有较大提升。

又讯 5月7日,华硕了ZENBOOK Prime笔记本电脑产品,在全球率先导入FullHD/IPS面板、独家多指触控方案、超级美声大师音效解决方案等内容。除此之外,华硕还了影音旗舰N系列、重装玩家G系列、活泼多漾K/A系列与简练极致X系列。

工作站电源

也可以“免工具拆卸”

本报讯 戴尔近日正式对外了其新一代Precision系列台式工作站。这一系列新的工作站产品共分为T1650、T3600、T5600以及T7600四个不同型号,分别面向从入门级到高端应用的不同用户需求。

新的T3600、T5600和T7600工作站产品均可使用戴尔智能纠错内存技术(RMT)。作为戴尔的专利代码编程,RMT能够在BIOS级别消除几乎所有的高端工作站内存错误。据悉,新一代Precision系列是目前业界唯一具有免工具可拆卸电源的主流台式工作站,其电源拆卸方便,减少了花费在检测和维护停机时间方面的成本。

私有云技术“联姻”

杀毒软件

本报讯 瑞星日前正式对外推出了基于最新“私有云”技术的瑞星杀毒软件网络版2012和5S专业级企业信息安全服务。此次的全新瑞星杀毒软件网络版2012中,增加了“私有云”技术、动态资源分配技术、企业自定义白名单系统、第二代身份标识和客户端密码防护系统。

在瑞星新一代企业级整体解决方案中,用户还能够享受到国内首家5S专业级企业信息安全服务的保障,即信息安全评估服务、信息安全预警服务、信息安全专家服务、信息安全应急响应服务和信息安全培训服务。

篇10

1信息安全面临的形势与挑战

(1)国际上围绕网络空间主导权与控制权的争夺日趋激烈,信息基础设施和社会基础数据面临新时期严峻的网络攻击风险;云计算、物联网、移动互联和大数据等新技术的快速发展使网络安全边界更加模糊,给信息安全带来了新的更大的风险和挑战。

(2)国家层面在不断加强信息安全监管力度,专门成立了中央网络安全与信息化领导小组。“网络强国战略”在十八届五中全会上被纳入国家十三五规划的战略体系,网络信息安全逐渐被提升至国家安全战略的新高度。国内先进企业也在体系化的全面推进信息安全风险管控工作,传统的“被动静态防护”逐渐被“主动动态防御”所取代。

(3)管道公司在信息安全管理、技术保障和合规性建设方面取得了一定的进展,但仍然存在以下不足:信息安全组织机构不健全,缺乏专业技术人才;部分员工缺乏信息安全意识,信息安全责任落实不到位;信息系统建设没有完全落实信息安全防护同步规划、同步建设、同步运行的“三同步”原则,信息系统等级保护没有全面开展;互联网出口尚未统一,信息安全整体防御能力相对薄弱;无线网络应用、终端入网审计及系统用户权限管控还有待进一步规范。

2信息安全管理体系与技术保障体系建设[1]

2.1健全信息安全管理体系

成立公司网络安全和信息化领导小组,建立公司、二级单位两级的信息安全管理与应急处置组织体系,建立安全方针政策、安全管理制度、技术标准规范、流程控制表单四个层级的信息安全标准与制度体系框架;以信息安全等级保护为主线,抓好信息化项目立项、验收等关键节点,建立信息系统安全风险管控体系;按年度开展信息安全评估检查,以问题为导向提升信息安全防护水平;建立信息安全通报机制,强化信息安全意识宣教与信息安全技术培训、技能竞赛,形成良好的信息安全氛围。

2.2完善信息安全技术保障体系

在终端安全方面,部署网络准入控制系统、桌面安全管理系统、防病毒系统;在应用系统安全方面,对关键服务器主机设备进行冗余部署,建立主机弱点分析机制、主机系统软件备份和恢复机制、主机入侵检测机制和主机系统操作规范。同时,通过实施现有网络优化改造、网关部署等措施,实现公司生产网和办公网的业务安全隔离,提升网络边界安全防护能力。

3信息安全管理提升

3.1建立信息安全责任制

分解落实信息化归口管理部门、业务主管部门、建设运维单位、应用部门在信息系统全生命周期中的安全责任。明确各单位、部门的主要领导为信息安全第一责任人,明确各级信息安全管理员及各专业人员的信息安全岗位职责,强调像对待生产安全一样对待信息安全,营造人人有责、人人尽责、齐抓共管的信息安全管控环境。

3.2加强信息系统安全等级

保护与信息化项目全生命周期的信息安全闭环管理,抓好过程管控,切实落实“三同步”要求。在立项阶段确定安全等级,编制安全方案;在建设实施阶段实施安全方案;在上线验收阶段严格安全检查,杜绝系统“带病”上线运行。同时,梳理检查已投入运行维护的系统,确保全部纳入信息系统安全等级保护管理。

3.3建立健全信息安全应急响应机制

丰富信息安全应急资源,完善信息安全应急预案并加强演练,提升信息安全事件的响应速度和处置水平。通过技术培训和人才引进,加强信息安全技术团队建设,提升信息安全态势感知能力和动态主动防御水平,促使信息安全管理由“救火型”向“预防型”转变。

3.4建立健全信息安全分析和通报制度

结合国内外及石化行业信息安全形势,开展信息安全分析,查摆问题,研究制定解决方案。扩大《信息安全通报》影响面,充实通报内容,充分发挥通报信息安全信息、传播信息安全知识、安排信息安全工作、通报信息安全考核结果的综合作用。

3.5统一公司互联网出口

按业务需要严格管控,互联网访问实行实名制管理,互联网访问资源实行白名单管理。对外应用统一至公司云平台的对外区,建立统一远程接入区。建立公司统一的无线网络认证系统,取缔私自接入的无线路由器,规范无线网络应用,为移动应用提供安全通道。

3.6加强用户弱口令管理

全面启用强密码策略,提升用户登录认证的安全强度;将统一身份管理系统与HR系统集成,实时同步人员信息,强化用户账号的实名制管理。加强终端安全管理,实施用户终端准入实名制管理,全面提高统一防病毒软件和桌面管理软件的安装率,并积极推进虚拟桌面的普及应用。

3.7建立完善公司信息安全基线

以基线为基础实现信息安全的全面管控,降低局部信息安全事件对整体信息安全形势的影响,采取主动的防御思想,建设信息安全防护体系,并适时对基线进行调整,实现对信息安全事件的有效防御,切实提升信息安全管理和防护水平。

4结束语

信息安全管理要坚持技术与管理并重[1],在提高信息安全技术防护能力、做好适度防护的同时,注重信息安全组织体系、风险控制和运行服务等方面的管理,形成信息安全动态长效管理机制以及预防为主的主动式信息安全保护模式;既要作为一个单项重要工作来抓,更要融入各项日常信息化工作,特别是信息系统全生命周期管理中去,才能保障企业信息化的健康有序发展。

参考文献

篇11

电子企业作为高科技企业,在电子科技企业发展的过程中,信息安全直接关系到电子企业的存亡。在电子科技企业文件流转和文件管理当中,会涉及到一些十分重要的文件和信息,对企业的发展有着直接的影响。如果电子科技企业内部缺乏科学的信息安全管理技术,导致了信息泄露,会对电子科技企业的发展造成重大的影响。因此,在电子科技企业快速发展的今天,如何采取合理的措施,保证电子科技企业的信息安全是电子科技企业在发展中所面临的一个十分重要的课题。

1.信息安全在电子科技企业发展中的意义

在信息时代,科学技术获得快速发展,在现代技术的推动下,我国电子科技企业获得了巨大发展,并在我国经济建设和经济结构调整中发挥着重要的角色。电子科技企业在发展中,信息和资源成为关乎电子科技企业生存和发展的关键因素。为了确保电子科技企业在日益激烈的市场竞争当中获得更好的发展空间,电子科技企业需要对涉及自身发展的重要信息进行保护,确保企业信息安全。从现代企业的发展来看,企业信息不仅能够决定一个企业的命运,同时在企业发展的过程中,通过对企业信息的合理管控能够迅速提高一个企业的管理水平,服务于企业发展战略。随着我国电子商务产业的快速发展,当前越来越多企业的商务活动都是通过电子商务的方式进行的,同时在电子科技企业发展过程当中,企业生产、运输以及管理工作都离不开信息。在现代社会中,信息化建设在电子科技企业发展中发挥着巨大的作用,这就要求电子科技企业在其发展当中,需要紧跟时代步伐,加强信息安全保护和利用,促进电子科技的可持续发展。

2.电子科技企业信息安全技术分析

2.1电子科技企业信息加密技术

信息在电子科技企业发展和管理工作当中发挥着重要的作用,对电子科技企业信息进行加密能够保证企业的信息安全。信息加密技术主要指的是对企业要进行传递的信息加强保护,并且能够确保电子科技企业信息在传递中变得更加完整和安全。从整体上看,在电子科技企业信息保护中,加密技术是保证企业信息安全的重要措施。从加密技术本身来看,加密技术可以具体被划分为对称和不对称两种。加密技术主要是通过序列密码或者分组机密来完成。其中包括了密钥、加密算法等五个有机组成部分构成。非加密技术主要要具备密钥和私有密钥,可并且在这两种密钥配对使用时才能够对加密信息完成解密工作。加密技术在电子科技企业信息管理工作中的应用在很大程度上保证电子科技企业信息的安全。例如在电子科技企业进行邮件传输时,通过加密职后进行传播,即使文件被窃取也只是得到相关密文,难以获取重要的具体信息。这样在进行信息传递时增强了信息的安全等级。因此,加密技术在我国众多行业中得到广泛应用而不是仅限于电子科技企业。

2.2防火墙技术

在信息环境下,随着现代网络技术的不断发展进步,信息安全防护技术也取得了快速发展,虽然在很大程度上保证了信息安全,但是,窃取信息的技术也在进步,并且对企业信息安全造成了很大威胁。在电子科技企业发展当中,仍然有一些病毒和黑客仍旧能够渗透进企业网络,窃取企业信息,这对电子科技企业的健康发展带来了很大影响。为了防止商业间谍活动、病毒对企业信息安全带来的威胁,保护信息安全一种常用的方法就是防火墙。这种技术能够有效防止黑客入侵,并且能够保证企业的信息安全。在电子科技企业快速发展的过程中,加强相关基础设施建设,保证企业信息系统安全,能够保证电子科技企业的快速发展。在电子科技企业快速发展的过程当中,通过开展一些活动以及服务,构建一个强大的信息安全数据库,能够为保证企业信息安全提供重要的服务。同时通过建立信息安全数据库,能够使企业加强对数据信息的开发和利用,从而能够为企业制定发展决策提供重要的依据与指导。

3.提高电子科技企业信息安全的策略分析

3.1建立系统的信息管理体系

通过对文章的分析可以指出,在现代企业发展当中企业信息对于电子企业的发展具有重要的意义。在电子科技企业发展当中为了保障企业信息安全,除了要采用相关的技术之外,还有必要建立起系统的信息工作管理体系,这样一方面能够保证企业信息安全,另一方面能够加强对企业信息的利用。现代电子科技企业在其发展当中,企业最初建立的相关信息制度在一定程度上制约着企业信息系统的安全。一旦安全管理制度出现问题,那么企业采用的安全工作也无法正常进行。因此,在电子科技企业发展中建立严格的信息安全管理体系对于保障企业信息安全发挥着重要的作用。在企业发展中只有当信息安全工作能够形成一个完整的体系,才能保证信息安全工作能够顺利进行。

3.2加强网络管理

现代电子科技企业在发展当中,很多企业都建立局域网,加强各个部门之间联系与合作。因此,在电子科技企业信息安全管理工作当中,能够利用局域网加强企业信息安全管理工作。电子科技企业通过局域网联接,不仅可以在这一平台上即使安全公告和相关规则,还能够进行安全软件下载,提高员工的企业信息安全培训工作。这样局域网不仅能够为企业员工提供了一个重要的相互交互的平台,同时还能够有效保护企业信息的安全。

篇12

一、前言

国网公司现已建成覆盖至基层生产班站及营业站所的信息内网。随着SG186工程的全面投入运行,从职能部室到一线班组,电力企业所有的业务数据都依赖网络进行流转,电网企业生产和经营对信息网络和信息系统的依赖程度越来越高信息安全的重要性日益凸显。国网公司已将网络与信息安全纳入公司安全管理体系。

一直以来,信息安全防御理念常局限于常规的网关级别(防火墙等)、网络边界(漏洞扫描、安全审计)等方面的防御,重要的安全设施大多集中于核心机房、网络入口处,在这些设备的严密监控下,来自网络外部的安全威胁已大大减少,尤其实行内外网隔离、双网双机后,来自于互联网的威胁微乎其微。而内网办公终端由于分布地点广泛,管控难度大,加之现在无线上网卡、无线wifi和智能手机的兴起,内网计算机接入互联网的事件时有发生,一旦使用人员将内网计算机通过以上方式接入互联网,即造成违规外联事件。由于违规外联开通了一条无任何保护措施进出内外网的通道,一旦遭遇黑客袭击,就可能造成信息泄露、重要数据丢失、病毒入侵、网络瘫痪等信息安全事故,给企业信息安全带来重大的安全隐患和风险。

二、强化管理、落实责任,监培并进

1、将违规外联明确写入公司各项规章制度,并纳入经济责任考核。在《公司信息系统安全管理办法》中,对杜绝违规外联事件进行了明确的要求:所有内网计算机必须粘贴防止违规外联提示卡,严禁将接入过互联网未经处理的计算机接入内网,严禁在普通计算机上安装双网卡,严禁将智能设备(3G手机、无线网卡等)插入内网计算机USB端口,严禁在办公区通过路由器连接外网,杜绝违规外联行为。 一旦发生违规外联事件,依据《企业信息化工作评级实施细则》,按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则对事件责任人进行严肃处理和经济考核,并在全公司通报批评。将信息安全责任落实到人。

2、加大违规外联宣贯和培训力度。信息安全工作,重在预防,将一切安全事件消灭在萌芽状态,才能确保信息系统安全稳定运行。分层次组织开展公司在岗员工,尤其是新员工的信息安全教育培训工作,即重点培训各部门信息化管理人员,各级管理人员培训本部门技术人员,本部门技术人员培训一线员工。通过分层式培训,提高了培训效果,同时各级管理人员、技术人员作为下级培训对象讲师提高了自身素质,强化了信息安全关键点的作用。确保违规外联事件的严重性、危害性和工作机理已宣贯至公司每一位员工,实现全员重视、全员掌握,做到内网计算机“离座就锁屏,下班就关机”的工作习惯。

3、加强外来工作人员管控。加强外来工作人员信息安全教育,并签订《第三方人员现场安全合同书》,严禁外来工作人员计算机接入公司内外网。对第三方人员工作过程全程监控,防止因外来工作人员擅自操作造成违规外联事件。

二、加强技术管控,从源头杜绝安全事件的发生

2.1严格执行“双网双机”

严禁在信息内网和外网交叉使用计算机。对要求接入信息内、外网的计算机,需向本人核实该计算机之前网络接入情况,对内外网络接入方式有变化、或者是不清楚的情况,需对计算机进行硬盘格式化并重装系统后方可接入网络。

2.2安装桌面终端,设置强口令,防止违规外联

实时监控全公司内网终端桌面终端系统安装率,确保所有内网计算机桌面终端安装率达100%。设置桌面终端策略,一旦发生违规外联,系统立即采取断网措施,并对终端用户进行警示。要求全部内网计算机设置开机强口令(数字+字母+特殊符号,且大于8位),防止非本人操作的违规外联行为。通过桌面终端系统对内网计算机开机强口令进行实时监控。

2.3做好温馨提示,明确内外网设备,防止违规外联

做到每一台内网计算机均粘贴信息安全提示标签提示员工切勿内网计算机接入外网网络,无线网卡及智能手机切勿接入内网。内外网网络端口模块、网线端口都要有明显标识,防止员工误接网络。

2.4实行内网计算机IP、MAC绑定和外网计算机IP、认证账号绑定

加强IP地址绑定,从交换机端口对接入内网的计算机进行IP、MAC地址绑定,确保除本计算机外,其余计算机无法通过该端口接入内网。

篇13

关键词:移动终端设备;安全隐患;管控解决方案

0引言

随着企业信息化水平的不断提高,移动终端设备的广泛使用,极大地方便了数据的信息交换,但是如何管理移动设备和其使用之间的问题,由此涉及到的是信息安全、服务整合、互操作性和组织成本控制等一系列问题。一般来说,移动终端设备除了笔记本电脑外,包括掌上电脑、智能手机、USB设备和GPS设备等,因为其移动方便的特性,对数据的安全性提出了更高的要求。

1移动终端设备面临的安全隐患

现在笔记本电脑、智能手机、iPad、U盘等正在被越来越多地使用,尤其是企业高层、出差的业务人员或到基层检查指导工作的管理人员、需要下班后在家加班的人员等,他们几乎已经离不开这类移动终端。与此同时,一些合作伙伴或客户出于某种需要,也可能需要使用移动终端接入到企业网络或者计算机。移动终端设备可能给企业带来以下几大隐患:

隐患一,保管不当,导致设备丢失或被盗,损失的不只是硬件成本,更关键的是里面的数据。

隐患二,使用不当,在数据传输过程中没有采取应有的保护措施,导致发送信息时被非法攻击者侦听截获。

隐患三,没有对设备里的数据采取足够的保护措施,数据很可能在使用者一无所知的情况下被窃取。

隐患四,感染病毒的移动设备一旦接入内网,病毒可能很快蔓延至网络内的每一个终端,影响整个网络的正常运转,严重时还会让企业的关键业务无法开展。

隐患五,不安全的移动终端一旦接入企业内网,很可能变成黑客们攻击内网的跳板。

2针对存在的安全隐患制定对策

通过分析移动终端设备管控的难点主要集中在以下几个方面:①外来移动终端设备随意接入企业内部网络或者计算机,很难做到有效控制,无形中为病毒、木马感染企业网络开辟了一条捷径;②内部移动存储设备很难做到逐个、逐次使用时登记备案,无法对遗失的移动存储设备以及存储其中的数据进行监控;③内部移动存储设备很难区分安全等级、区分场所、区分使用人,保存数据的移动存储设备随意拿到外部使用,很容易造成企业敏感数据外泄;④对移动存储设备的使用缺乏全面的记录信息,安全事故发生以后缺乏足够的协助管理员跟踪、定位和追溯责任人的依据和手段。

要想管控好移动终端设备,就必须做好以下四个方面:①移动终端设备使用的边界控制:外来的笔记本电脑、智能手机等设备连入网络,必须通过网络准入、应用准入、客户端准入等准入手段来解决,确保未安装客户端的无法连入内部网络,其安全性得到保障。外来移动存储设备不得随意接人企业内部计算机,以防止恶意代码通过移动存储设备感染企业内部网络。②移动存储设备分等级使用:对移动存储介质进行注册认证,只有注册认证过的才可以在内网使用。内部移动存储介质分不同的安全等级,受控使用,做到专人专用、专盘专用,从而保证企业关键信息和数据不会通过移动存储设备泄露。③强化移动存储设备的管理,将移动存储设备专人管理,规范操作使用,每次使用前要进行严格的查毒、杀毒。禁止使用个人U盘、数码相机、数码摄像机等存储卡。④移动存储设备的全生命周期管理:对内部存储关键数据和信息的移动存储设备,要有全生命周期的使用跟踪和管理,对内部移动存储设备的使用要有详尽的审计,以便事后能够进行准确的跟踪和定位,追溯到责任人。

3移动终端设备的管控解决方案

对移动终端设备的信息安全管理,应坚持“预防为主”的方针。“三分技术,七分管理”,要充分利用技术和管理两种手段,达到有效防范的目的。具体来说,企业可从如下三个方面着手:

3.1 加强人员培训,构筑人员安全关通过加强保密知识培训、网络安全知识培训、职业道德教育和对网络事故案例讲解,使员工充分了解计算机网络存在的安全隐患,提高工作人员的安全保密意识和自我防范能力。

3.2 部署管控平台,把好技术安全关通过部署绿盟终端安全管理系统,该系统涵盖接入控制、数据防泄密、安全防护、桌面管理四大领域,在终端安全方面提供系统级安全保护,提供网络层与应用层的准入控制,强制隔离不符合安全要求的终端主机。实现了对移动存储设备的全面管理,移动介质被分为外来介质、内部普通介质和内部专用介质三种不同的安全等级,针对每种安全级别均可设置具体的使用权限,如只读、可写,实现了对移动介质的细粒度管理。

3.3 完善制度建设,健全信息管理关

3.3.1 加强内部管理,完善计算机保密制度。细化信息安全的管理规范和责任追究,明确界定信息范围,切实落实各项具体措施。使计算机安全保密工作有章可循,逐步实现计算机信息安全保密工作的规范化管理。

3.3.2 加强对移动办公设备管理的检查。通过对单位的移动终端设备集中登记、授权和安全认证,全面掌握企业移动终端的使用管理情况,定期进行信息安全检查,发现违规情况及时进行通报。对终端设备列入重点信息安全监控部位,专人专用、专人管理,不定期进行检查防护。

3.3.3 加强对外来人员的管理。为了防范信息泄密,确保信息与网络的安全。

4结束语

信息安全是信息发展的基础,要建立一个安全可靠的网络安全管控体系,既要有专业的安全产品,更要有规范和强有力的安全管理制度。移动终端设备所带来的安全隐患必须引起各企业的高度关注,充分利用技术和管理两种手段,提高安全保障能力,为企业各项工作顺利开展提供信息保障和技术支撑。

参考文献:

友情链接