企业信息安全意识范文
发布时间:2023-10-09 17:42:01
导语:想要提升您的写作水平,创作出令人难忘的文章?我们精心为您整理的13篇企业信息安全意识范例,将为您的写作提供有力的支持和灵感!
篇1
世界上每分钟就有2家企业因为信息安全问题倒闭,而在所有的信息安全事故中,只有20%—30%是因为黑客入侵或其他外部原因造成的,70%—80%是由于内部员工的疏忽或有意泄露造成的,同时78%的企业数据泄露是来自内部员工的不规范操作。根据GooAnn的《2011年度中国企业员工信息安全意识调查报告》结果显示,对于目前有效保护企业和组织信息安全面临的最大障碍,受访者认为最大的障碍是普遍缺乏信息安全意识。因此,提高全员的信息安全意识应该摆到企业和组织信息安全建设的议事日程上来。
意识是人脑的机能对客观事物的现实反映,意识的存在会对事物发展进程起到巨大的促进或阻碍作用。所谓安全意识就是人多种意识当中的一种,是人所特有的对安全生产实现的心理反应,是人的大脑对安全的认识和理解而产生的各种思维,是公司领导到每一位员工对企业信息安全方面的认识和理解,它和安全认识紧密联系,其核心是安全知识,没有安全知识就谈不上安全意识。人的安全意识的实现既要通过思维来获得,也要通过感知来获得。安全意识对生产活动、进行安全操作有调节作用;反过来,生产活动也影响着人的安全意识的形成。
要解决公司存在的问题,仅仅靠技术手段和制度约束是不够的,必须发起一场声势浩大的思想上的变革,才能奠定公司长远发展的文化基础。公司的价值观要能够深入人心,使广大员工产生共鸣;注重个体成长,营造轻松、关爱、严谨的工作和生活环境,让员工从内心认可公司是自己的依靠。
实践证明,企业文化既是文化创新的重要内容,又是经济发展中最具活力的因素。加强企业文化建设,就一头抓住了发展先进社会生产力这个基础,另一头抓住了发展社会先进文化这个枢纽,有利于促进社会生产力的快速发展,有利于促进全社会思想道德水平和科学文化素质的提升,从根本上说,有利于服务社会、服务职工。一个企业如果没有灵魂,就不会有活力,更不会有竞争力和战斗力。
为了提高安全意识,我们就要从安全知识着手。这些知识可以表现为法律法规、规章制度、体系程序、安全图例图画和技能教育等。我们在日常生产活动中利用这些知识来指导和约束生产行为,并对生产活动中的偏差和事故案例产生感知,从而反过来增加了员工们的纠偏知识和预防知识。我们在工作中只有有了安全意识,才能决定我们的工作行为,长期严格地利用正确的安全知识来指导行为,并形成习惯,这就是我们常说的安全行为习惯。因为我们知道意识决定行为、行为决定习惯、习惯决定的素质、素质决定了我们的命运,用我们良好安全意识来掌控我们的命运。安全意识的培养是一个系统的工程,其中安全知识或安全信息贯穿着安全管理的始终。以下我们系统地分析一下如何提高员工安全意识:
一是继承传统文化的精髓,从思想层面上提升员工信息安全意识。认为:“人们自己创造自己的历史,但他们并不是随心所欲地创造,而是在直接碰到的从过去继承下来的条件下创造。”中国企业文化建设也是这样,它应该是在传统文化的基础上进行增值开发,否则企业文化就会失去存在的基础,也就没有生命力。增值开发就是对传统文化进行借鉴,弃其糟粕,取其精华。在增值开发的过程中,要使员工产生强烈的主人翁意识,促进其从思想上主动维护好企业的信息安全。
二是发展灵活多样的形式,从工作层面上提升员工信息安全意识。与国外企业相比,我国企业员工的信息安全意识相对薄弱,对企业员工的信息安全培训形式相对单一,更为严重的是部分管理者甚至认为这种培训一次就够了。仅仅是将枯燥的条条框框翻来覆去的宣传,采取单一而又枯燥的填鸭式的课堂培训,员工不但不会去理睬,还会觉得非常反感。针对现实中存在的问题,我们应该发展形式多样、内容丰富的培训方式。例如:信息安全意识Flash短片,信息安全手册,鼠标垫,海报,电子报等形式,寓教于乐、潜移默化地提高员工的信息安全意识。只有提高了员工的信息安全意识水平,才能真正地提升整个企业的信息安全水平。
三是构建全面立体的体系,从体制层面上提升员工信息安全意识。“无规矩不成方圆”。目前,中国企业中绝大多数缺少全面化、立体化、全过程的员工信息安全意识的体系建设,对员工信息安全意识方面的培训具有随意性,为此,亟需建立这方面的体系。提升企业员工信息安全意识这项工作不是一朝一夕,三分钟热度就能完成的,要有体系的规范,有制度的约束。企业要结合自身的发展特点,构建符合自身需求的员工信息安全意识的体系建设,从体制层面对提升员工信息安全意识提出客观要求。
篇2
随着电力企业信息化的不断发展,信息系统的安全管理问题变得越来越重要。电力系统的安全、稳定、经济、优质地运行取决于电力企业的信息安全。对电力系统信息化的实现进程产生了重大影响。因此,对电力企业安全管理信息系统的设计开发显得尤为重要。
一、系统设计的过程
安全管理信息系统设计的过程是非常具有逻辑性的,从以下几方面来介绍。
1.基础状况
系统设计的基础状况主要是对企业安全基础状况的动态管理的维护,从而使安全管理体系能够完整地形成。由安全管理机构、人员基础状况、安全委员会、安全管理子系统等这几部分构成。由于安全系统管理日趋复杂,但仅靠个人管理是不够的。通过会议讨论的形式来集合大多数的意见,进而设计出性能卓越的安全系统。
2.系统总体框架
由B/S结构组成了电力企业安全管理信息系统,电力企业总部都是由服务器布置的,此系统都是由安装维修中心、供电管理中心通过浏览器进行访问的。
3.安全检查
安全检查主要对组织的检查、对系统出现的问题进行改正以及对系统在验收阶段全面性的流程进行管理;从而使企业各类安全检查的实现。安全的隐患管理,如排查、分级、确认、跟踪、验收等,对企业都要实现流程化管理并经常性地进行动态监察。系统的障碍事故管理,如电力企业系统设备出现异常、障碍等,从而使企业的安全事故得以维护和管理。
4.系统预算方面的考虑
客户对安全系统的设计,都是事先预算好的,他们都是在自己所承受的资金范围内进行考虑,以便更好地控制一些不必要的花费,更多的用户觉得安全系统是一种奢侈的东西,可想而知,人们对它的重视程度还远远不够,所以,对安全系统设计的费用问题会特别的考虑。他们对资金的消耗在预期内能够准确地估计好,才能使安全人员可以妥善地安排好,但是要在客户规定的资金数额内,不能超出他们所承受的数额,一般来说,这几方面的因素来决定资金数额的多少。如生产设备的损失、盗窃设备、故意以及恶意的破坏的损失、发生火灾造成的损失、一些商业间谍、不法犯罪分子对系统的破坏的损失、未达到预期目标造成的损失等等。客户一旦准确地估计好预算,安全人员以及工程人员都要严格遵守。一般情况下,如果没有一些地方疏忽,基本上不会偏离这个数目。
5.可行性设计
电力企业的领导可以要求安全人员提供一份可行性设计的计划。此计划应该由以下几个部分构成,如实行安全系统地电力企业能否与安全公司、警察部门、消防部门友好沟通;提前预测好风险类型,并用合理的保护方法对每个风险区域进行保护。但对电力企业安全系统的安装、替换、维护以及安全操作所需的经费是否都列入预算中。
6.设计的进展
在设计过程中,设计人员要对电力企业安全管理信息系统的每一个细节都要了如指掌,并对它的安全实现得以保证。但与当地有关重要部门要多加沟通,这样才能使安全管理信息系统得以实现,这样也能够使安全系统更好地设计出来。 转贴于
二、系统实现
这些年,高危生产企业的涌入,如国内国有煤矿、化工等都需要应用安全管理系统。由于大多数企业的软件系统都是独立的,各个系统都得不到充分的利用以及数据信息都得不到共享。电力安全管理都是由其他管理系统来支撑的。所以,造成多个系统重复的运行以及重复地建设,都达不到硬件资源和管理资源整合地高度效果,从而使电力企业的安全管理系统存在一定的局限性,安全管理状况无法被掌控。目前,我国的工业正处在加速发展阶段,高危行业领域的基数非常大,发展不平衡的企业都存在一些安全生产的问题,都非常地薄弱。现代生产条件安全管理的建立,都是运用创新监督地管理方式来引导企业的安全管理工作,并快速、准确地获取信息用安全工程技术和现代信息技术来体现,从而使企业的工作效率和自动化监督管理水平能够进一步地提高;这样对安全管理信息系统的全面建立是具有一定地必要性。电力企业以及下属一些分公司全面监督安全和安全动态管理全方位地实现都是电力企业安全管理信息系统实现的重要目标,电力企业全面的安全管理和过程动态监控的实现都是由公司建设来覆盖的,它也是二级单位宽带网络承载系统进行安全管理的目标。这样使安全管理的实效和电力企业的管理效能能够进一步地提高。
系统都是采用面向编程的思想方法进行的,这些都是系统的核心部分。这些都对安全管理系统程序的通用性、扩展性等造成直接的影响。如基础类、基础聚类、基础条目类、基础条目聚类都是系统的基类;这些都是系统中最基本的元素。基础聚集类是一组基础类,它都是由保存和读取组成的。数据读取、特定对象读取、备份库读取等等这些都是读取的三个方法。保存通常由单个对象保存和数据库保存等。基础条目类都是由一些序号、类型、数量、对象等三个属性组成。其中,安全管理信息系统的序号都是用来对系统进行排序的,数量都是由所属的对象含盖了一些对象的个数构成的。基础条目类都是由增加条目、删除条目、查找条目等三个方法组成的。如某电力公司2005年用这个单机版系统,在使用过程中,使工作人员的工作任务能够极大地简化,又大大地减轻了工作人员的劳动强度。安全管理系统从网络版中逐步扩展起来了,这种安全信息系统从网络版逐步地改进为单机版,虽然一些安全管理信息系统的功能无法更好地完善,但基本上可以满足当前的需要,这样才能使安全管理的流程化能够更好地体现。
三、加强安全管理人员的培训
篇3
关键词:
医药产业现状;医药产业安全;维护对策
中图分类号:F2
文献标识码:A
文章编号:16723198(2013)02000702
当前世界经济按照经济全球化和区域经济一体化的趋势迅猛发展。经济全球化不仅通过商业贸易的全球化加剧了各行业的竞争,更重要的是从根本上改变了国际格局,使各个国家原有的国内国际产业环境发生了翻天覆地的变化。在经济全球化的挑战面前,如果不谨慎应对,将很可能丧失经济发展的良好环境,损失既有的产业链,更可能丧失有关国计民生的重要产业和核心技术的控制权。产业安全已成为我国经济发展的核心问题之一。
医药制造业是我国国民经济重要组成部分,关系到人民健康和国计民生,也是目前世界上发展迅速,竞争激烈,利润丰厚的高新产业之一。当前外资大量进入中国医药市场,对中国本土医药产业冲击较大,很有必要对其进行产业安全评估。对其他的高科技产业也有重要的借鉴作用。
1医药产业安全的基本界定
1.1 产业安全理论研究
亚当斯密是最早提出产业安全的人,他在《国民财富的性质和原因研究》一书中,大力主张进行自由的公平竞争,但提出要对涉及到国家安全的国防工业进行保护扶持。他认为,如果制造业是国防所需,那么靠邻国供给是不合适的。如果对这行业不进行奖励就无法维持,那么对于其他产业征税维护这一特定产业是合理的。他强调,对于涉及国计民生的产业,不能依赖国外。
18到19世纪,李斯特为代表的贸易保护主义者认为,工业化落后的国家在最初发展必须向幼稚产业提供例如关税等形式的贸易保护,以保护其在国外强大竞争下依然能够继续生存和发展。
20世纪70年代美国关注外资在美投资,美国前国务卿乔治鲍尔一次讨论国外直接投资的会议上提出,要多加注意外资的挑战,美国企业面对欧洲日本制造业要坚决维护自己的地位。
1966年弗农提出了产品生命周期理论,在此基础上国际产业转移理论发展了起来。随后日本学者小泽辉智提出了“增长阶段理论”,由于国外直接投资所引发的产业国际转移,既是发达国家调整产业结构,实现全球战略的重要手段,也是发展中国家改造和调整结构,实现产业进步和技术升级的重要途径。
我国学者何维达,李冬梅把产业安全的内涵界定为以下四类:一是产业控制说,强调相对于外国资本,本国资本要对相关产业有足够控制力;二是产业竞争说,强调本国产业要有较强的竞争力,各部门均衡协调发展,抵御开放竞争带来的各种不利因素;三是产业发展说,强调本国要控制关系到国家安全和国家战略的重要产业,并使这些产业在国际竞争中具有较大潜力;四是产业权益说,强调本国要保证国民的产业权益在开放竞争中不受损害。
曹秋菊把产业安全的内涵界定为动态和静态两个方面,从动态看,产业安全强调本国产业在开放竞争中具备较大的发展潜力,从静态看,产业安全强调本国控制关系到国家安全和国家战略的重要产业。
乔颖,彭纪生把产业安全内涵界定在以下五类:一是,强调外商利用资本和先进技术等优势,通过直接收购,合资等方式控制本国重要产业,威胁国家产业安全;二是能力论,强调本国产业对开放竞争带来的各种不利因素具有抵御能力,可以保持各部门协调均衡发展;三是状态论,强调要在开放竞争中抵御外来侵害,保护和发展本国产业;四是权力论,强调本国对重要产业的发展和调整拥有自;五是层次论,强调分不同层次界定产业安全的内涵。
王晓云,许芳把产业安全的内涵界定分为以下四个方面:一是强调将制造业安全作为国家产业安全主体;二是强调将民族产业安全范畴扩大至国民产业安全;三是强调从问题的根源界定外资对产业安全的威胁;四是强调在开放竞争环境下,本国对关系到国家安全和国家战略的重要产业的调整和控制。
1.2 医药产业安全的评价
评价产业安全,应包括两个部分,首先要对产业行业产品现状进行描述,主要反映产业的基础状况,即行业的实力,反映了对外依赖的程度和抵御入侵的能力;其次还有行业之外的许多因素如政策法规与大环境以及外资的影响等。
何维达提出,根据影响产业安全主要因素,将评价产业安全的指标主要划分为四种。这种指标体系在产业安全评价中得到了广泛应用,具体可分为:产业环境,产业国际竞争力,产业对外依存度,产业控制力。
我国医药产业安全可以从以下四个方面进行评价:我国医药产业环境; 我国医药产业国际竞争力;我国医药产业对外依存度;我国医药产业控制力。
2我国医药产业安全现状
2.1我国医药产业环境
医药产业环境是医药产业赖以生存的基础,受到市场环境和所投入的生产要素等影响,对医药产业的发展起到基础性作用。
我国医药企业融资渠道较少,常常发生产业发展资金不足的情况,但这些年随着金融市场的不断开放和改革深入,虽然问题不能立刻解决,但是医药产业资金得到了逐步改善。资产负债率反映了企业经营效益和风险,我国医药企业的资产负债率近年来逐年下降,说明产业良性发展。由于人口老龄化,经济发展,医保制度等原因,医药产业的市场需求逐年上升,这对医药产业的发展是个重要机遇。但是除了这些积极因素,我国医药企业的员工素质仍然有待提高,研发费用投入和新药数量仍然与发达国家有很大的差距。
2.2我国医药产业国际竞争力
产业竞争力能够显示产业的竞争优势,也是产业谋求生存和发展的基础。
我国医药产业的国际市场竞争力较弱,世界医药市场主要为发达国家的医药公司所垄断,我国出口商品在数量偏少,质量结构上也不合理,缺乏核心竞争力。在国内市场上,我国的本土企业占有大部分份额。在当前的形势下,很多外企在华设厂,药品贸易方面国内企业不够理想。我国医药企业的产业集中度较低。首先在我国医药产业发展的初期,由于医药产业的高回报率,和当时我国对医药产业发展的需求,导致众多资本进入医药产业。而当时有关医药产业的政策还不完善,更有某些政府自身的原因,没有对医药产业的发展予以正确引导和合理限制,而是盲目的发展,同时医药企业的进入壁垒过低也是一个重要原因。而我国医药企业的生产率和利润率还偏低,同质化竞争严重。
2.3我国医药产业对外依存度
对外依存度主要反映了医药产业受国际市场制约的程度。
我国医药企业的进口常年保持稳定的较低水平,较为安全。出口也较为稳定,主要是一些原料药。而对外资的利用则随着改革开放的深入大规模增加,我国医药企业对外商投资有所依赖,但目前还不明显严重。然而我国的技术非常依赖国外,一直以仿制药为主,很少有原创新药。我国医药产业实力正在不断增强,与国外交流日益频繁,但是缺乏自己的核心技术,必须要依靠创新形成属于自己的核心竞争力,这还需要很多努力。
2.4我国医药产业控制力
目前我国医药产业的投资仍然以国内企业为主,本土投资略多于外资以及港澳台投资,但是在利润上外资较高。而且外资正对国内企业进行大规模的并购,在股权和资本占有率上,预计数年内可能外资控制比例会进一步增加。而在品牌效应上,部分药品的领域外资占优势,拥有很强的品牌号召力,威胁到了国内品牌的发展。在技术上,外资占绝对优势,中国本土企业和国际医药公司的技术差距很大。不仅如此,我国企业的研发投入也远远不及外资企业。在对华投资的外资中,美国企业占大多数,也对我国市场有很大的控制能力。
3我国医药产业安全状况的主要问题
我国医药企业的产业环境和竞争力还不理想,产业集中度较低,我国医药企业有一些特点:企业数量众多,但是大企业少,小型企业多,资源和资本分散,普遍存在低效益,低技术含量,盲目运营等问题,缺乏有核心竞争力的大企业。
产品差异化可以扩大需求,满足不同需求层次消费者的需要,有利于培养品牌价值,扩大市场份额,同时也可以尽量避免不必要的同质化竞争,减少不必要的重复生产和浪费。然而,我国药品普遍存在技术含量低,附加值低的问题。导致我国医药产品技术重复率高,同质化竞争严重,造成了很多不必要的竞争和浪费。
我国目前的医药产业技术含量低,极度缺乏创新。生产的大部分产品都是同质化竞争严重,低技术低附加值的过剩药品,难以形成竞争力,而且直接导致恶性竞争,导致医药企业利润的下降。
随着外资的进入,我国医药产业对外资的依赖与日俱增,尤其是中国企业缺乏专利新药和核心竞争力,被外国医药企业控制市场的威胁也日益增长。我国医药产业对外资的依存度和外资的控制能力不容忽视,应引起足够的重视和警惕。
4改善我国医药产业安全的对策建议
4.1创造良好的法律和政策环境
我国的立法环境处在不断完善的阶段,医药产业的法律法规也应该完善。我们应加强知识产权意识,深入研究医药行业有关新技术的专利保护标准,制定并实施有利于国家创新技术的管理方法,在政策上鼓励企业研发创新。并对外资的入侵进行回应,制定能够有效保护国内医药产业的政策和措施,在有效利用外资的前提下,防止外资进入的负面影响。保护国内产业的健康正常发展。
4.2提高准入门槛,提高产业集中度和企业规模经济水平
应该提高企业的准入门槛,加强相关管理,提高医药产业的集中度,有效提升竞争力。医药产业的组织结构调整要以市场机制的调节作用为基础,并充分发挥政府的作用,推动企业的并购和联合,通过相应的产业政策,推动企业资产重组的进行,加快医药产业集中和规模化进程。
4.3加强管理和研发力度,培养创新能力
在保证增加政府经费对科研投入的同时,可以通过其他手段,例如经济手段,政策措施导向,以及约束机制等引导鼓励医药企业主动增加研发费用。对大型企业关键技术的研究开发要予以充分支持,尽早实现产业化投入。同时我们也要培养医药研发创新的专业人才,加强对医药企业技术人员的培训。
4.4合理利用国际贸易的法规,调整产业进出口结构
我们应加强对贸易规则经验和措施的研究学习,加强医药产业的自我保护能力。并合理利用规则,调整产品的进出口结构,使其朝着有利于国内企业发展壮大的方向发展,对国内的医药市场以至于中国的医药产业发展实施合理有效地保护。
参考文献
[1] 何维达,李冬梅.中国产业安全理论研究综述[J].经济纵横,2006,(8):7476.
[2]乔颖,彭纪生.国内产业安全问题的研究综述[J].济南大学学报,2007,(3):8689.
[3]王晓云,许芳.产业安全问题研究——基于生态学视角[J].郑州航空工业管理学院学报,2008,(3):510.
[4]刘学,陈文选,郑东连等.利用外资对中国医药业的影响[J].国际贸易,1994,(2):1927.
[5]顾丽萍.加入世界贸易组织后我国医药行业的外资利用问题探讨[J].上海医药,2000,21(10):910.
[6]祁添.新时期我国医药行业利用外资情况分析[J].黑龙江对外经贸,2003,(09):3031.
篇4
中图分类号:F273 文献标志码:A 文章编号:1673-291X(2012)32-0029-02
食品是人类生存不可或缺的基本物质,是保证人们身体健康和营养供给的必需品。然而,我国作为一个饮食大国,近几年来食品安全问题却频频出现,严重危害了我国人民群众的身体健康和生命安全,公众对食品企业的信任度一再降低,更加凸显了我们食品企业社会责任的严重缺失。而食品的特殊性决定了食品安全是食品企业社会责任最核心也是最基本的体现。企业是食品安全的第一责任人,企业作为社会公民应当承担起对消费者的社会责任,应在保证食品安全的前提下谋求企业自身发展。
一、食品企业社会责任的内涵
企业社会责任(Corporate social responsibility,简称CSR)是指企业在创造利润、对股东承担法律责任的同时,还要承担对员工、消费者、社区和环境的责任。企业的社会责任要求企业必须超越把利润作为唯一目标的传统理念,强调要在生产过程中对人的价值的关注,强调对消费者、对环境、对社会的贡献。
1979年,Carroll提出了社会责任分类思想,认为企业社会责任乃社会寄希望于企业履行之义务;社会不仅要求企业实现其经济上的使命,而且期望其能够尊法度、重伦理、行公益。因此,完整的企业社会责任,即企业的经济责任、法律责任、伦理责任和自由慈善责任之和。
二、我国食品企业社会责任缺失的原因分析
近年来,国内重大食品安全事件层出不穷,每年被披露出来的食品安全事件至少上千起。食品安全问题频频出现,凸显了我国食品企业在食品安全方面的社会责任严重缺失,其原因主要表现在以下几个方面。
(一)食品企业缺乏社会责任意识
传统的看法认为,企业作为一个盈利性组织,其唯一目标就是赚取利润,获得经济利益的最大化,这样的目标本是无可厚非的,但是如果仅仅以利润最大化为最终目标,很容易使企业只重视眼前利益而忽视长远利益,产生急功近利的短视行为,如在生产过程中以次充好、偷工减料,以牺牲消费者利益为代价换得短期的超额利润。因此,如何在追求经济利益的同时实现企业的社会价值成为热点。实现企业社会价值最大化,就必须将消费者的利益置于重要地位,遵守商业道德,承担起应尽的社会责任。
(二)消费者缺乏食品安全常识,维权成本高
首先,消费者缺乏购买安全食品的常识。中国众多的消费者由于收入水平不高,没有足够的消费能力,加上缺乏相应的常识,所以在购买食品时安全意识淡薄,往往制图便宜,不顾及食品的质量、卫生问题。
其次,消费者在自身权利受侵犯时,只有少数会努力争取自身权利,大多数消费者往往忍气吞声,不去做有力抗争,不知道用法律维护自身权利。原因是维权成本太高,大部分食品的价格都不高,而投诉成本远远大于消费者获得的赔偿,这让很多消费者放弃了维权。对消费者而言,如果索赔的成本高于索赔所获得的赔偿,那么从理性的角度看,很多消费者会放弃维权与索赔。
(三)相关法律制度建设不完善,政府部门监管执行力不够
制度建设不完善表现在食品企业社会责任缺乏系统的法律约束和保障。目前,我国有关企业社会责任的规定散见于消费者权益保护法、产品质量法等法律法规中,没有专门的法律对企业的社会责任作出系统规定。与此同时,我国的市场体系尚不健全,市场准入制度、竞争体制和市场交易秩序也不规范。在这种情况下,公众监督、行业协会以及整个市场机制的作用都是有限的。
三、保障食品安全,促进食品企业承担社会责任的措施
对于企业来说,在寻求自身利益的同时也要考虑到消费者的利益和充当正确的社会角色,即要在利益和道德之间寻找一个恰当的平衡点。这就需要我国的食品企业逐步承担起以食品安全为核心的社会责任,而对于食品企业的社会责任的承担需要企业、政府和消费者三者的共同参与和监督。
(一) 企业方面
作为食品企业,充分承担起社会责任,以食品安全为导向严于律己,寻求利润与道德的平衡点,才是其长久发展之计。食品作为一种特殊产品,直接关系消费者的身体健康和生命安全。保证食品安全是食品企业社会责任的最重要的体现,也是衡量食品企业是否负责任的第一标准。
1.树立正确的经营理念
企业的经营理念如同一个人的价值观,是指引企业发展方向和具体行为的明灯。能否树立正确的经营理念是企业能否履行社会责任的前提。社会是企业的生长环境和利润来源,在企业利用社会提供的经营环境和市场条件谋求利润时,不能忘记自身所肩负的企业责任和社会责任,尤其在企业壮大之后更有责任、有义务反哺、回报社会。
2.增强企业的社会责任意识
社会责任意识与企业成功与否有密不可分的联系,对食品企业更是如此。它在反映企业经营者道德水准的同时能够促进企业自身的可持续发展。因此,食品企业要树立“以人为本”观念,把保障消费者的健康和安全作为企业的基本职责。加强食品企业社会责任建设要培育和强化企业的社会责任意识。企业社会责任意识本质上是企业管理层和全体员工的行为、素质的综合体现,直接关系到食品企业社会责任水准的高低。因此,培育和强化企业的社会责任意识、树立良好的社会责任风气是企业社会责任全面实现与提升的关键环节。
(二) 政府方面
要加强政府的监管与服务,各级政府要转变职能,重新确立政府职能部门在食品安全监管中的责任,建立食品质量安全的有效监管机制,构建食品安全预警体系和食品安全追溯体系。
1.构建食品安全预警体系
建立食品安全预警数据库是一项庞大的系统工程,涉及食品种类多、范围广,各类数据信息繁杂,是一项长期的、难度很大的综合性工作。面对当前我国的食品安全数据库的建设现状,需要在原有零散的数据库建设的基础上,合理的进行调整并协调各级数据库的层次结构,才能建立全面、系统的食品安全预警数据库,减缓食品安全隐患,为食品安全状况评价和预警决策服务。参考欧美等发达国家风险分析原则,建立适合我国国情的风险评估模型和方法。为评价我国食品安全性,并为风险评估提供有效的数据,需要建立食品安全监测点进行主动监测,获得我国食品安全状况动态规律,建立我国主要食品中重要危害物监测基本数据库,对食品供应链从生产、加工、包装、储运到销售过程进行全程监控和溯源。
2.构建食品安全追溯体系
食品安全追溯体系是一种旨在加强食品安全信息传递、控制食源性疾病危害、保障消费者利益的食品安全信息管理体系。食品安全追溯体系主要通过对食品供应链的全过程的各节点进行有效标识,实现对食品原料、加工、包装、储藏、运输、销售等环节的全程质量控制和跟踪溯源,一旦发现有危害健康的问题,可根据生产和销售全过程中各环节所记载的信息追踪流向,以便采取食品召回或撤销上市等应急措施。
为促进食品企业承担以食品安全为核心的社会责任,实施从农田到餐桌的全程管理,增强消费者的食品安全消费信心,我国要构建起完善的食品安全追溯体系,还存在一些问题,是一个长期逐步实现的过程。
3.加强食品安全监管技术支持,加大食品安全惩罚力度
在食品安全标准体系中,要以食品质量标准和卫生安全标准为核心,完善国家食品质量安全检测检验体系,提升检测能力,以期建成覆盖全国的食品质量安全监测网。加快建立独立、权威、公正的食品安全实验室,提高食品污染检测水平,为食品安全监管提供有力的科技支撑。同时,加强快速检验设备的配置,使大范围、短时间的食品安全检测成为可能。
一些地方和部门监管缺失,对违法行为打击不力,也使得食品领域违法犯罪行为得不到有效遏制,致使有的食品生产经营企业有机可乘并铤而走险,肆意制售不安全食品并流向市场。要加大对食品安全监管部门及其责任人的责任追究力度,对监管执法人员的违法行为要加大惩处力度。
(三) 消费者方面
消费者是食品安全问题的承受者,应该加强食品安全意识,参与食品企业的社会责任监督工作。消费者是市场的主体,食品的直接受益者,他们在食品安全中应该发挥基础作用。重点加强消费者的食品安全教育,增强消费者对问题食品的识别和防范能力,增强利用食品安全信息的能力,树立安全至上的观念,让消费者接受 “食品不是绝对安全”的理念,纠正不良购买行为,选购有安全标识的食品。我国消费者群体目前还不太成熟,总是习惯于接受保护而不是主动保护,不善于运用法律武器来维护自己的利益,我们要加强法律常识教育,增强消费者的法律意识,提高自觉运用法律方式来保护自身的合法权益,鼓励消费者参与到监督食品安全的活动中来,充分发挥他们的监管作用。
对于我国的食品安全问题,主要还是应该促进食品企业承担以食品质量安全为核心的社会责任,作为一个盈利性组织,也要考虑国内环境和其须承担的社会角色,在利益和道德之间寻求一个最佳的平衡点。当然,这需要企业、政府和消费者三方共同努力和参与,逐步建立起完善的食品安全预警体系和追溯体系,才能够保证人们在今后的生活中享受到安全、无公害的食品,才能够保证我国安全食品的可持续发展。
参考文献:
[1] 郑功成.中国社会保障制度与评估[M].北京:人民大学出版社,2002.
[2] 罗晓雷.浅析我国食品安全问题[J].江苏调味副食品,2011,28(1).
[3] 慧希,季任天.我国食品安全预警系统的完善[J].食品工业科技,2008,(3) .
[4] 刘艳.论食品企业的社会责任[J].现代商贸工业,2010,(11).
篇5
首先,数据价值提升推高了数据保有成本。随着信息化程度的不断提升,数据价值也在大幅提升,企业的经营行为被越来越多地数字化,财务信息、人事信息、知识产权等这些企业最重要的信息都在被汇聚成为企业信息大数据,若这些数据被泄漏,再基于此类数据开展大数据分析,企业信息将毫无秘密可言。因此,数据价值的提升必然要推高信息安全方面的投入,来确保企业信息的安全。
其次,黑客破坏信息安全的能力在增强。数据的大量汇集,使得黑客成功攻击的收益在增加,“激励”了黑客的网络攻击行为。大数据技术本身也在成为黑客攻击的有力武器,黑客通过大数据分析,可以得到更多的有用信息,制定更加有效的攻击策略,改进传统攻击手段,提高了信息安全防护成本。尤其是进入“云时代”后,数据在云端,云安全就更加重要,而遗憾的是,近几年,一些大型云平台数据泄漏事件更加剧了人们对于信息安全的担心。
最后,信息安全意识尚需提高。外在信息安全并不是企业面临的唯一危险,企业内部安全意识不强同样威胁巨大。员工由于安全意识单薄,或者企业内部信息安全体系不够完善导致信息泄漏的情况也在不断增加。据一项有关企业信息安全的调查结果发现,有近四成的受访者认为造成企业信息安全风险加剧的很大部分原因在于缺乏信息安全保护意识。尽管外部攻击和内部数据泄露的安全事故数量在增加,但多数企业并未给予足够重视。
因此,大数据时代信息价值在增加,企业信息安全的形势在恶化,而由此带来的损失将成倍放大。
篇6
在烟草行业运营与生产管理活动中,信息化工具发挥着较为重要的作用,已初步搭建了较为完善的网络架构与内部信息系统环境,成为烟草行业提升核心竞争力的重要基础。与此同时,信息安全问题也日益突出,已成为导致烟草行业数据丢失等的关键因素。因而,深入分析烟草行业信息安全风险与防控策略至关重要。
1烟草行业信息安全风险
烟草行业在信息化建设中,主要具有如下几个方面的信息安全问题。
1.1缺乏信息安全整体规划
整体而言,相比于西方等经济发达国家,国内信息安全技术发展相对滞后于网络技术,这必然会造成烟草行业在应用新型网络技术产品时,信息安全技术显得稍落后,难以保障烟草行业的信息安全。比如,部分烟草企业可能会选择使用PS防御系统,但是在综合权衡经济预算、信息安全实际应用需求等后,最终并没有决定使用性能最佳的信息安全产品,最终导致硬件难以满足信息安全风险防控的要求,这些均与烟草企业未制订积极有效的信息安全整体规划有较为紧密的关系。
1.2面临外部信息安全威胁攻击
在烟草企业经营管理活动中,为了便于管理员工高效工作,允许企业员工在外网通过VPN的方式访问烟草企业内部的信息系统。另外,在烟草企业内部网络应用过程中会有信息设备供应商以及其他信息系统服务商等第三方的介入,这也会导致烟草企业在网络应用中会频繁进行内外网连接,这给木马、黑客等攻击烟草企业网络架构以可乘之机。当烟草企业网络遭受攻击后,很有可能会导致烟草行业信息系统无法正常应用,致使烟草企业面临来自外部的信息安全风险。
1.3内部信息安全控制不力
信息技术在持续发展,可供烟草企业选择的信息设备以及信息系统也越来越多,大多数烟草企业已搭建起相对较为完整的基础网络架构以及应用系统服务群,包括生产销售管理平台、OA办公平台、综合服务管理平台等,这对于烟草企业正常的经营管理以及决策管理起到关键的作用,大大提升了烟草企业的办公效率。然而,烟草企业在利用信息技术获得便利的同时,也面临着来自内部信息安全控制不力的风险,包括不良网络信息冲击员工正确价值观,以及烟草企业内部员工较大的流动性给信息安全风险防控所带来的负面影响。
1.4员工信息安全意识薄弱
较强的员工信息安全意识,是提升烟草行业信息安全等级的重要渠道。在信息技术应用持续深化的情况下,传统的管理人员已难以满足信息时代下企业发展的需求。另外,当前部分烟草企业信息安全管理团队不完善,以及管理人员自身的信息安全意识较为薄弱,领导对信息安全管理工作不重视,或者员工存在侥幸心理,都会致使烟草企业产生不同程度的信息安全事故。
2烟草行业信息安全防控策略
针对当前烟草企业所面临的信息安全风险,建议从如下几个方面制定防范策略。
2.1科学高效地开展信息安全规划
科学、合理地规划烟草企业信息安全架构,是烟草企业防范信息安全风险的重要基础。首先,应根据信息安全的未来发展方向制订烟草企业的信息安全发展规划,以确保烟草企业所采取的防范措施符合整体发展方向,避免走错方向、浪费资金投入。其次,应紧密结合烟草企业的信息化建设现状与存在的问题规划信息安全发展方向。烟草企业的不同发展规划,对信息安全的管理需求有所不同,这就要求烟草企业紧密结合自身的信息安全发展需求,制定更具针对性的信息安全风险防控策略,以更高效地规避内部隐患、外部攻击。
2.2完善加密手段,构建加密渠道
在制订了科学合理的信息安全防范规划后,就应采取加密信息的手段,构建更为合理的加密渠道。比如,烟草企业在信息化建设中应要求信息技术人员研发信息加密的多样化手段,构建更为丰富的加密渠道,从而提升烟草信息平台的安全性。同时,还应加强烟草企业内部应用系统以及数据库的备份工作。再如,在实际管理中,烟草企业可以要求信息技术人员通过访问控制、数字签名、身份认证多种方式,以达到烟草企业防范信息安全风险的要求,还可以要求各个信息系统使用方妥善保管各个信息系统的登录密码,不允许使用复杂度过低的密码,应根据信息安全规范要求制定密码复杂度规则,以提升信息系统访问安全性。同时,还应定期提醒或要求用户更改密码,以达到安全管控的目的。
2.3做好企业内部数据备份与恢复工作
内部数据丢失风险,是当前烟草企业信息安全风险之一。积极做好企业内部数据备份与恢复工作,是规避数据丢失风险的重要方式之一。首先,应做好内部数据备份工作。比如,积极搭建异地数据灾备中心,选择一个相对安全的地方进行数据备份。选择性能更为强大、安全等级更高的备份系统,以更高效地执行数据备份,并且不影响其他应用系统的正常使用。其次,定期执行数据模拟恢复操作。部分烟草企业认为,只要定期完成内部数据备份工作便可确保烟草企业数据安全,忽视了备份数据的有效性。而积极开展模拟恢复操作,是确保所备份数据有效性的重要方法。因而,烟草企业应定期开展积极有效的模拟恢复操作,以确保所备份的数据是可用的,切实保护烟草企业的信息安全。
2.4重视培训提升员工信息安全意识
员工较高的信息安全意识,是烟草企业防范各种信息安全风险的重要保障。首先,应重视员工信息安全意识培训工作。烟草企业信息主管部门,在实际信息管理活动中,应定期或者不定期组织员工参与安全培训,或者通过微课的方式向员工们宣传信息安全知识。其次,应重视网络使用规范或者应用系统应用规范,以在规范员工信息行为的同时提升所有员工的信息安全意识,从而更为有效地规避信息安全风险。对于员工使用基础网络或系统过程中所存在的信息安全隐患,信息主管部门应针对这些案例进行整理,形成宣传文案,以提高所有员工的警惕性。
3结语
烟草业在信息建设中将面临着各种信息安全隐患,这要求信息建设管理人员从制订信息安全建设规划、完善加密手段、做好内部数据备份工作以及提升员工安全意识等方面入手,切实提升信息安全等级,保护信息建设成果。
作者:毛纪辉 单位:辽宁省烟草公司丹东市公司
参考文献
篇7
[中图分类号] F208 [文献标识码] A [文章编号] 1673 - 0194(2013)04- 0084- 02
现代企业的信息安全是指在管理上和技术上对数据处理系统进行安全的保护,使计算机的软件、硬件、保密数据等不会遭到破坏、更改、泄露。通过对企业信息安全的管理,能够保护企业信息的机密性和完整性,保护企业的生产运营安全,是企业发展的必不可少的环节。
1 网络环境下现代企业信息安全存在的问题
1.1 人为因素造成的安全问题
现代企业之间的竞争十分激烈,企业管理者把精神都集中在企业的生产和经营上,对计算机的管理不够重视,加上网络属于新生事物的一种,人们会利用网络进行娱乐活动,却忽视了网络的安全性,缺乏网络安全意识,企业员工在工作时间利用网络进行娱乐活动的行为十分普遍,由于自身的安全意识匮乏,不但浪费了企业的网络资源,也加大了病毒侵害的可能性,威胁了企业的信息安全。企业信息安全的管理需要管理部门重视起来,现实中,企业对信息安全的管理投入很少,安全防范做得不好,管理者对信息安全管理的认识不足,下面的员工安全意识也淡薄,规章制度不完善,信息安全管理无据可依,管理者也没有对信息安全进行有效的监督,没有在第一时间发现网络存在的问题,甚至在网络不能正常运行了才去解决问题,给公司发展带来不利影响。
1.2 网络技术自身存在的安全问题
随着网络技术的发展,各种软件也不断更新换代,现在Windows 7正在大规模地进军国内市场,微软不断推出新的产品,各种操作系统的漏洞也一直存在,为病毒的滋生提供了机会,很多网络软件存在后门,这些后门原本是编程人员为了软件的扩展和维护设置的,如果被不法分子发现,对公司的信息安全有很大的威胁。计算机犯罪中最典型的就是黑客的攻击,黑客攻击也分为主动攻击和被动攻击两种,主动攻击直接为企业的信息完整性、机密性造成破坏,被动攻击虽然能够保证公司电脑的正常运行,但企业的重要信息可能会被截获、窃取,都严重影响了企业信息安全。
1.3 设备环境造成的安全问题
从网络环境来说,外部环境对企业信息安全也构成威胁,企业的计算机房的位置不能是随便设置的,需要有一定的安全技术要求。网络的线缆等通信设施容易被人为破坏,或者受到自然环境如地震、雷雨、电磁场等环境的影响发生破坏,并且自然环境的影响是不可预测的,一旦出现问题,会给企业的信息造成直接的破坏,影响信息的完整性。计算机的硬盘、内存的运行状况也应该得到管理人员的注意,计算机设备的防盗等都是问题,企业员工在工作过程中往往会拷数据回家,或者加班后在用U盘等移动设备把资料拷贝到公司电脑中,增加了企业计算机中毒的危险。
2 解决企业信息安全问题的对策研究
2.1 重视信息安全管理,加强制度建设
首先,企业管理者应该认识到企业信息安全的重要性,认识到网络保护的重要性,提高信息安全意识,这样才能加强制度建设,做好信息安全管理与监督工作。计算机房是重要场所,它的设置也需要一定的隐蔽性,一般不要设置在公司一楼。企业应该建立和完善信息安全管理制度,帮助员工树立信息安全意识,明确信息安全保护的对象和目标,保证各项管理制度的落实执行,制订明确科学的操作流程,规范员工的日常操作行为,制订应急预案和网络维护制度,计算机管理人员应该每天对计算机系统进行检查或者更新,及时发现网络运行中出现的问题,防止病毒的产生,在发生问题后把损失降到最低。
2.2 加强企业信息安全的网络技术控制
依靠网络技术来保护现代企业信息安全是十分有效的方式,网络技术手段主要有防火墙、信息加密与认证、病毒防控、数据备份等方式。防火墙是网络技术中保护信息安全最重要的技术之一,它通过设置屏障阻止黑客的访问,能够有效防止病毒的侵入,企业应该按照质量可靠的防火墙,并时刻关注防火墙的问题与升级情况。直接对企业信息进行加密也是有效的方法之一,企业可以设置专门的访问密码,仅供本公司员工使用,或者每个员工都有自己的上网编号,输入之后才能访问公司网络,公司也可以根据浏览记录查看哪些员工上网,能够有效防止企业人员泄密行为,对重要文件采取多种加密措施。企业应该注意对防病毒软件的更新换代,提高防毒、杀毒的效率,保证系统的安全。电脑一旦中毒,一些文件就可能丢失或者被更改,企业需要对重要文件进行备份,这样在发生中毒之后能够将损失降到最低。
2.3 加强法制建设,运用法律武器保护企业信息安全
现代企业的信息安全应该受到法律的保护,公司的机密文件关系到公司的生死存亡,关系到社会公平竞争,关系到个人隐私,应该受到法律的保护。国家应该完善企业信息安全的法律法规,为企业保护自己的权益提供法律武器,企业也应该具有法律意识,在公司的信息恶意遭到破坏和侵害时,不是采用同样的方法对待竞争企业,而是应该拿起法律武器保护自己,用国家法律来抵制侵犯,保护自己企业的信息安全与完整。
3 结 语
网络的发展是一把双刃剑,在给社会进步和发展带来巨大益处的同时,也带来了一些负面影响,企业应该辩证对待网络时代的发展,充分利用网络环境带来了优势,通过技术手段创新、管理加强、法律法规的完善等措施来保护企业信息安全,为企业的发展创造安全的环境。
主要参考文献
[1] 薛伟莲. 保证信息与网络安全的网络伦理规范体系的构建[J]. 网络与信息,2010(11).
[2] 费宏伟. 保证电算化时代会计信息安全的几点思考[J]. 东西南北·教育观察,2010(11).
篇8
中图分类号TP39 文献标识码A 文章编号 1674-6708(2012)73-0192-02
随着信息系统与网络的快速发展,电力企业作为关乎国计民生的基础行业,企业内部各业务数据已基本在网络流转,企业对信息系统产生了巨大的依赖性。但是,企业在享受着信息系统所带来巨大经济效益的同时,也面临着高风险。一旦出现信息泄密或篡改数据的情况,将为国家造成难以估量的损失。尤其是近几年,全球范围内的病毒泛滥、黑客入侵、计算机犯罪等问题,信息安全防范已成重中之重。因此,企业必须重新面对当前的安全问题,从中找到行之有效的防范措施。
1 电力企业网络安全现状分析
1.1 网络安全措施不到位
电力数据网络信息化在电力系统中的应用已经成为不可或缺的基础设施。电力数据网需要同时承载着实时、准实时控制业务及管理信息业务,电力生产、经营很多环节完全依赖电力信息网的正常运行与否,随着网络技术和信息技术的发展,网络犯罪不断增加,电力企业虽然已初步建立了网络安全措施,但企业网络信息安全仍存在很多的安全隐患,职工安全意识、数据传输加密、身份认证、访问控制、防病毒系统、人员的管理等方面需要进一步加强,在整个电力信息网络中,很多单位之间的网络安全是不平衡的,主要是虽然网络利用率较高,但信息的安全问题较多,主要是安全级别较低的业务与安全,没有对网络安全做长远、统一的规划,网络中还存在很多问题。
1.2 职工安全意识有待加强
目前国内电力企业职工的安全意识参差不齐,相较之下,年轻的职工和管理人员其安全意识较高,中年以上的职工和一线职工仍然缺乏必要的安全意识,主要是工作年龄、所受教育、工作后的信息安全培训程度,从事的工作性质的原因造成的,这就为网络安全留下了隐患,加强电力企业信息安全的培训,全方位提高职工网络信息安全意识,避免信息安全防护工作出现高低不均的情况。
1.3 内部的网络威胁仍然存在
在这个科技技术日益发展的时代,网络信息的安全工作越来越重要,由此电力企业根据目前的状况出台了相关的网络安全规章制度,以保证其信息安全,但内部的网络威胁仍然存在,而且对管理人员的有效管理依然缺乏。如:办公计算机仍存在内外网混用情况、内外网逻辑隔离强度不够、企业内网安全隔离相对薄弱等情况,如果其中的一些漏洞被非法分子所利用,那么,电力企业的信息安全会受到严重的威胁,并会对电力企业的生产以及经营带来很大的困难。
2 电力企业网络安全的风险
随着网络技术的发展,电力企业信息系统越来越复杂,信息资源越来越庞大,不管是操作系统还是应用软件,都存在系统漏洞等安全风险,保证电力企业信息安全最重要的是保证信息数据的安全,目前电力企业的网络信息系统的主要隐患主要存在于以下几个方面。
2.1 恶意入侵
计算机系统本身并不具有一定的防御性,其通信设备也较为脆弱,因此,计算机网络中的潜在威胁对计算机来说是十分危险的。尤其是现在的信息网络公开化、信息利用自由化,这也造成了一些秘密的信息资源被共享,而这些信息也容易被不法分子所利用。而有极少数人利用网络进行恶意入侵进行非法操作,危机网络系统的安全,恶意入侵其实是由四个步骤构成的:首先扫描IP地址,寻找存活主机;然后确定IP地址,扫描主机端口和漏洞;接着通过漏洞和开放端口放置后门程序;最后通过客户端程序实施远程控制。由于系统被入侵,电力企业信息泄露会造成不良后果,更严重的是系统被恶意控制,不但会给电力企业本身造成严重的后果,还会给社会和用户带来重大的损失。
2.2 网络病毒的传播
计算机病毒对计算机来说是最普遍的一种威胁,伴随着因特网的发展,各个企业开始创建或发展企业网络应用,这无形也增加了病毒感染的可能性,病毒的危害十分巨大,它是通过数据的传输来传播的,其能够对计算机的软硬件造成破坏,同时它还能够进行自我复制,因此,一旦感染了病毒,其危害性是十分巨大的。
2.3 恶意网页的破坏
网络共享性与开放性使得人人都可以在互联网上所取和存放信息,由于信息的传递和反馈快速灵敏,网络资源的社会性和共享性,电力企业职工都在不断地点击各种网页,并在网络中寻找他们所需要的资源,网页中的病毒是挂靠在网页上的一种木马病毒,它的实质是一些不法分子通过编程来编写的恶意代码并植入IE漏洞而形成了网页病毒。当用户浏览过含有病毒的网站时,病毒会在无形中被激活,并通过因特网进如用户的计算机系统,当病毒进入计算机后会迅速的自我复制并到处传播病毒,使得用户的计算机系统崩溃,严重的会将用户的系统彻底格式化。
2.4 信息传递的安全不容忽视
在电力企业的计算机网络系统中,信息传输基本上是明文方式或采用低安全级别的加密进行传输,当这些企业信息在网络上传输时,其安全性就不能得到足够的保障,不具备网络信息安全所要求的机密性、数据完整性和身份认证。
2.5 软件源代码不能独立控制的隐患
篇9
中图分类号:F270.7 文献标识码:A 文章编号:1671-7597(2012)0220165-01
随着市场经济的不断发展,企业竞争越来越激烈,国际化合作不断增多,随之而来的企业信息安全是目前我国企业普遍存在的问题。对企业来说,信息安全是一项艰巨的工作,关系到企业的发展。近年来,围绕企业信息安全问题的话题不断,企业信息安全事件也频频发生,如何保证企业信息的安全,保证信息系统的正常运转,已经成为信息安全领域研究的新热点。
1 企业信息安全的意义
信息安全是一个含义广泛的名词,是指防止信息财产被故意的或偶然的非授权泄露、更改、破坏,或防止信息被非法辨识、控制,即确保信息的保密性、可用性、完整性和可控性。企业的正常运转,离不开信息资源的支撑。企业信息安全建设对企业的发展意义重大。
首先,信息安全是时展的需要。计算机网络时代的发展,改变了传统的商务运作模式,改变了企业的生产方式和思想观念,极大推动了企业文化的发展。企业信息安全的建设将使得企业的管理水平与国际先进水平接轨,从而成长为企业向国际化发展与合作的有力支撑。
其次,信息安全是企业发展的需要。企业的信息化建设带来了生产效率提高、成本降低、业务拓展等诸多好处。当前越来越多的企业信息和数据,都是以电子文档的形式存在,对企业来说,信息安全是使企业信息不受威胁和侵害的保证,是企业发展的基本保障,所以,在积极防御,综合防范的方针指导下,有效地防范和规避风险,建立起一套切实可行的长效防范机制,逐步建立起信息安全保障体系,有利于企业的发展。
最后,信息安全是企业稳定的必要前提。信息安全成为保障和促进企业稳定和信息化发展的重点,要充分认识信息安全工作的紧迫感和长期性,从企业的安全、经济发展、企业稳定和保护企业利益的角度来思考问题,扎扎实实地做好基础性工作和基础设施建设,在建立信息安全保障体系的过程中,必须搞好链接信息安全保障体系建设安全、建设健康的网络环境,关注信息战略,保障和促进信息化的健康发展。
2 企业信息安全的现状
我国企业信息安全包括计算机系统的硬、软件及系统中的数据受到保护,不受偶然的或恶意的原因而遭到破坏、更改、泄露,使得系统连续、可靠、正常的运行,网络服务不中断。计算机和网络技术具有复杂性和多样性,使得企业信息安全成为一个需要持续更新和提高的领域。就目前来看,主要存在以下三个方面的隐患。
2.1 企业缺少信息安全管理制度
企业信息安全是一个比较新的领域,目前还缺少比较完善的法规,现有的法规,由于相关安全技术和手段还没有成熟和标准化,法规也不能很好地被执行,安全标准和规范的缺少,导致无从制定合理的安全策略并确保此策略能被有效执行。企业的信息系统安全问题是一个系统工程,涉及到计算机技术和网络技术以及管理等方方面面,同时,随着信息系统的延伸和新兴技术集成应用升级换代,它又是一个不断发展的动态过程。因此对企业信息系统运行风险和安全需求应进行同期化的管理,不断制定和调整安全策略,只有这样,才能在享受企业信息系统便利高效的同时,把握住信息系统安全的大门。
2.2 员工缺少安全管理的责任心
一个企业的信息系统是企业全体人员参与的,不考虑全员参与的信息安全方案,恰恰忽视信息安全中最关键的因素――人,因为他们才是企业信息系统的提供者和使用者,他们是影响信息安全系统能否达到预期要求的决定因素。在众多的攻击行为和事件中,发生最多的安全事件是信息泄露事件。攻击者主要来自企业内部,而不是来自企业外部的黑客等攻击者,安全事件造成最大的经济损失主要是内部人员有意或无意的信息泄露事件。针对内部员工的泄密行为,目前还没有成熟的、全面的解决,对于来自企业信息内部信息泄密的安全问题,一直是整个信息安全保障体系的难点和弱点所在。
2.3 信息系统缺乏信息安全技术
计算机信息安全技术是一门由密码应用技术、信息安全技术、数据灾难与数据恢复技术、操作系统维护技术、局域网组网与维护技术、数据库应用技术等组成的计算机综合应用学科。由于认识能力和技术发展的局限性,在硬件和软件设计过程中,难免留下技术缺陷,网络硬件、软件系统多数依靠进口,由此可造成企业信息安全的隐患,现在黑客的攻击并不是为了破坏底层系统,而是为了入侵应用,窃取数据,带有明显的商业目的,许多黑客就是通过计算机操作系统的漏洞和后门程序进入企业信息系统。随着网络应用要求的越来越多,针对应用的攻击也越来越多,除了在管理制度上确保信息安全外,还要在技术上确保信息安全。
3 企业信息安全中存在的问题
信息时代的到来,从根本上改变了企业经营形式,企业实施信息化为其带来便利的同时也产生了巨大的信息安全风险。由于我国企业信息安全工作还处于起步阶段,基础薄弱,导致信息安全存在一些亟待解决的问题。比较常见的问题有病毒危害、“黑客”攻击和网络攻击等,这些问题给企业造成直接的经济损失,成为企业信息安全的最大威胁,使企业信息安全存在着风险因素。
3.1 病毒危害
计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码,它是具有破坏作用的程序或指令集合。计算机病毒已经泛滥成灾,几乎无孔不入,据统计,计算机病毒的种类已经超过4万多种,而且还在以每年40%的速度在递增,随着Internet技术的发展,病毒在企业信息系统中传播的速度越来越快,其破坏性也越来越来越强。
3.2 “黑客”攻击
“黑客”是英文Hacker的谐音,黑客是利用技术手段进入其权限以外的计算机系统的人。黑客破解或破坏某个程序、系统及网络安全,或者破解某系统或网络以提醒该系统所有者的系统安全漏洞的过程。通常采用后门程序、信息炸弹、拒绝服务、网络监听、密码破解等手段侵入计算机系统,盗窃系统保密信息,进行信息破坏或占用系统资源,黑客攻击已经成为近年来经常出现的问题。
3.3 网络攻击
网络攻击就是对网络安全威胁的具体表现,利用网络存在的漏洞和安全缺陷对系统和资源进行的攻击。尤其是在最近几年里,网络攻击技术和攻击工具有了新的发展趋势,使借助Internet运行业务的企业面临着前所未有的风险。由此可知,企业的信息安全问题、以及对信息的安全管理都是至关重要的。要保证企业信息安全,就必须找出存在信息安全问题的根源,并具有良好的安全管理策略。
4 企业信息安全的解决方案
为确保企业信息安全,要坚持积极防御,综合防范的方针,全面提高信息安全防护能力。因此,面对企业信息安全的现状和企业信息安全发展中出现的问题,必须实施对企业的信息安全管理,建设信息安全管理体系,只有建立完善的安全管理制度,将信息安全管理自始至终贯彻落实于信息管理系统的方方面面,企业信息安全才能得以实现。企业信息安全的解决方案,具体表现在以下三个方面:
4.1 建立完善的安全管理体系
完整的企业信息系统安全管理体系首先要建立完善的组织体系,完成制定并信息安全管理规范和建立信息安全管理组织等工作,保障信息安全措施的落实以及信息安全体系自身的不断完善。并建立一套信息安全规范,详细说明各种信息安全策略。一个详细的信息安全规划可以减轻对于人的因素带来的信息安全问题。最基本的企业安全管理过程包括:采用科学的企业信息资产评估和风险分析模型法、设计完备的信息系统动态安全模型、建立科学的可实施的安全策略,采取规范的安全防范措施、选用可靠稳定的安全产品等。安全防范体系的建立不是一劳永逸的,企业网络信息自身的情况不断变化,新的安全问题不断涌现,必须根据暴露出的一些问题,进行更新,保证网络安全防范体系的良性发展,
4.2 提高企业员工的安全意识
科技以人为本,在信息安全方面也是靠人来维护企业的利益,我们在企业信息网络巩固正面防护的时候不能忽视对人的行为规范和绩效管理。企业员工信息安全意识的高低是一个企业信息安全体系是否能够最终成功实施的决定性因素。企业应当制定企业人员信息安全行为规范,必须有专门管理人才,才能有效地实现企业安全、可靠、稳定运行,保证企业信息安全。教育培训是培训信息安全人才的重要手段,企业可以对所有相关人员进行经常性的安全培训,强化技术人员对信息安全的重视,提升使用人员的安全观念,有针对性的开展安全意识宣传教育,逐步提高员工的安全意识,强调人的作用,使他们明确企业各级组织和人员的安全权限和责任,使他们的行为符合整个安全策略的要求。
4.3 不断优化企业信息安全技术
企业一旦制定了一套详细的安全规划来武装自己,保护其智力资产,它就开始投入到选择采用正确信息安全技术上。可供企业选择的防止信息安全漏洞的安全技术有很多。当企业选择采用何种技术时,首先了解信息安全的三个领域是十分有帮助的,这三个领域变得:验证与授权、预防和抵制、检测和响应。其中,用户验证是确认用户身份的一种方法,一旦系统确认了用户身份,那么它就可以决定该用户的访问权限,比如使用用户名和密码。预防和抵抗技术是指企业阻止入侵者访问。对于任何企业,必须对那些故障做好准备和预测,目前可以帮助预防和建设抵抗攻击的技术主要有内容过滤、加密和防火墙,在选用防火墙的时候,需要对所安装的防火墙做一些攻击测试。此外,企业信息安全的最后一道屏障是探测和反应技术,最常见的探测和反应技术是杀毒软件。
5 结语
总之,企业信息安全是一项复杂的系统工程,企业要适应现代化发展的需要,要提高自身信息安全意识,加强对信息安全风险防范意识的认识,重视安全策略的施行及安全教育,必须做到管理和技术并重,安全技术必须结合安全措施,并加强信息安全立法和执法的力度,建立备份和恢复机制, 为企业设计适合实际情况的安全解决方案,制定正确和采取适当的安全策略和安全机制,保证企业安全体系处于应有的健康状态。
参考文献:
[1]张帆,企业信息安全威胁分析与安全策略[J].网络安全技术与应用,2007(5).
[2]谌晓欢,企业信息安全问题及解决方案[J].企业技术开发,2008(8).
[3]付沙,企业信息安全策略的研究与探讨[J].商场现代化,2007(26).
篇10
2目前企业人员的信息安全管理主要存在的问题
(1)全体工作人员的信息安全意识不高;
(2)信息安全专业人员数量较少,工作流程不清晰;
(3)信息安全岗位职责划分模糊;
(4)管理层不重视;
(5)信息安全管理工作缺乏有效的考核和监管机制。上述几个问题看似不会影响正常的企业运作,但长期持续则会给企业的信息安全带来巨大的隐患,存在较高的风险。有调查显示,企业的信息泄漏事件70%-80%都由内部人员造成。对于一些关系国计民生的企业,如电力、通信等,企业的信息一旦泄漏,将会产生巨大的社会影响,同时也会给企业造成巨大的损失。但是我们仍然可以通过对知悉或掌握企业核心资产和数据的人员加强信息安全管理与监督,来提高信息安全整体水平。
3加强人员信息安全管理的具体措施
对于企业人员的安全管理措施有很多,国内外的相关标准中都有相应的描述,如《萨班斯法案》《信息安全技术信息系统安全管理要求》ISO27000系列等,不同的标准要求亦有不同,但总体来说不外乎以下几点。
(1)加强人员的信息安全保密意识与责任。任何企业的信息安全与保密都离不开人,信息安全每个步骤的操作与执行都是由人来完成与实现的。如果企业内相关人员的信息安全与保密意识薄弱,不小心造成某些敏感信息泄露,则比其他安全不足问题导致的损失更大。因此必须要不断对相关岗位人员的信息安全意识、责任和职业道德进行培训、指导与监督。
(2)管理层重视。企业人员的信息安全管理是管理层的职责,所有的措施和方法都需要得到管理层的支持才能实施,否则再完美的方法也是毫无意义的。随着各类信息安全事件的曝光,信息泄漏事件的频发,特别是国家推行信息系统的等级保护政策以后,越来越多的管理层开始重视信息安全问题。
(3)明确本单位的核心信息安全资产。我们要对企业的核心信息安全资产加强保护,即主要是对企业内部最核心的信息资产进行有效的保护,这对企业的信息安全尤为重要且非常有效。任何一个企业的资源都有限,信息安全工作相对于业务工作的投入来说一定较小一些,因此对核心的信息资产保护才是企业真正关心的内容和工作。核心信息资产主要指价值比较高,一旦泄露可能会对企业造成比较大损失的资产,如企业的重要或敏感数据、存有重要敏感数据的纸质和电子类的载体等企业的核心资产。明确核心资产信息安全也是对人员进行职责划分的基础。
(4)清楚划分人员职责,严格进行权限分离。人员职责和权限对应组织的信息资产,一定程度上也决定了该人员在组织中的安全地位,职责不明确往往导致人员的无作为或误操作,很多的信息安全隐患无法消除。如果明确了单位的核心资产,而人员的职责划分不清晰,那也等于是无用功。很多单位由于信息安全人员数量有限,存在一人多岗的情况,很多核心的敏感的信息或功能掌握在一个人的手中,这就使得某个人或某几个人的权限过大,导致内部舞弊的风险增加。因此,首先要明确本单位需要设置的信息技术类岗位,并设置相应的人员,确保人员的配备遵循三权分离的原则,敏感的功能或较高的权限不能放在一个人手上,关键性的操作甚至需要多人同时在场,只有这样才能最大限度地避免人员的内部舞弊。
(5)严格选拔新进人员,考核在岗人员,审查离岗人员。选拔人员是人员信息安全管理的第一步,对人员进行严格的背景审查和技能考核是保障企业信息安全人员执业技能和职业道德的重要措施。重要敏感岗位的人员应尽量从内部进行选拔,避免直接任用外聘的人员;对于在岗的信息安全人员应定期进行考核和检查,保证所有的工作都按正常的操作规程执行,避免简化流程的事情发生;对于离岗的人员应与之签订相关的协议说明,并立即更换其所掌握的关键认证信息,避免由于人员的流失导致信息的泄漏。
(6)建立信息安全管理工作的日常监管和考核机制。信息安全管理执行的主体是人,人的操作难免会有失误或不当的地方,这些都是信息安全的风险隐患。所以应对人员的日常工作需建立考核和监管机制,对人员的日常安全管理工作进行监督并提前发现潜在风险,及时消除隐患,降低由于人员操作不当或恶意操作带来的信息安全风险。
篇11
1 前言
电力企业信息技术的发展起始于20世纪90年代,最早的计算机应用开始于财务管理、营销管理等办公业务,随着信息技术的不断深入发展,信息技术在电力企业的应用范围也日益扩大和深化,目前已经渗透入电力企业运营管理的全过程,信息技术也渐渐从开始的“配角”提升为电力企业运营管理的“主角”。在电力企业信息化技术应用日趋成熟、重要程度日益上升的今天,企业对信息化的管理和关注重点也在不停的发生变化,一方面信息化成果已成为企业甚至社会的重要资源,在整个企业的生产运行、电网调度、办公管理等各个方面发挥着重要的作用;另一方面由于信息技术的迅猛发展而带来的信息安全事故、事件屡见不鲜,信息安全问题与矛盾日益显著。而信息安全工程是一个多层面、多因素的、综合的、动态的系统工程。企业要实现信息安全管理,就必须不断完善和建立一套行之有效的信息安全管理与技术有机结合的安全防范体系。
2 我国电力企业信息安全管理存在的问题
2.1 电力企业普遍存在重技术、轻管理的问题
信息安全是“三分技术、七分管理”,但是现在许多电力企业任普遍存在重技术、轻管理的问题,甚至很多电力企业根本没有完善的安全管理制度,并且管理人员信息安全意识普遍不高,这也就在一定程度上加深了企业信息安全风险。要知道再好的技术在其运行的过程中管理才是第一位的,比如在实际工作中,有最好的技术,但是如果管理不到位,系统的运行、维护和开发等岗位分配不清,职责划分不明,存在一人身兼多职的现象,再先进的技术也不可能发挥其应有的效力,一样不具备竞争力、防御力。又如,企业在管理过程中对网络工作人员的基本技能和素质要求把关不严格,极易造成因网络工作人员因操作不当而造成硬件或者软件出现漏洞,使恶意份子有机可乘,同样影响网络信息安全。
2.2 电力企业对员工的信息安全意识宣传不到位
随着信息安全地位的不断攀升,电力企业对信息安全也越来越重视,但是,企业对于信息安全的培训力度仍显不够,电力企业员工信息安全意识仍非常低。如,一些电力员工在离开办公场所时,没有意识主动关闭电脑或锁定屏幕,因此容易造成企业数据的丢失及客户信息的泄漏。又如,一些员工为了贪图方便省事,直接将系统账号交给第三方人员进行操作,容易造成系统数据的错失遗漏,或者出现未授权的审批等等。再如,还有一些员工对于未确定安全性的文件防范意识不够,一旦点击打开后,就容易造成木马的植入或者病毒的扩散,从而造成数据的泄漏或丢失破坏。
2.3 电力企业信息安全技术不够完善
首先,在计算机的使用方面,有很多的办公计算机还是内网与外网混合使用的状态。虽然公司已经做出了相应的规定,要求内网与外网进行分开使用。但是,内外网混用情况仍十分严重,这就会给安全问题带来极大的隐患。其次,一些电力企业对移动介质的使用管理比较松散。如:一些企业的移动介质不需授权就能直接接入办公电脑中,容易让别有用心的人加以利用,从而拷贝了公司的内部资料,造成企业损失。又如,一些员工在未确保外来移动介质正常的情况下就接入内部网络,容易造成病毒的传入,从而影响内部网络的正常以及数据的安全。最后,部分电力企业数据库数据和文件的明文存储保护不完善。供电行业应用系统基本上基于商业软硬件系统设计和开发,用户身份认证基本上采用口令的鉴别模式,而这种模式很容易被攻破。
3 完善电力企业信息安全管理的具体措施
3.1 完善电力企业安全风险的评估
电力企业要解决网络安全问题并不能够仅仅是从技术上进行考虑,技术是安全的主体,但是却不能成为安全的灵魂,而管理才是安全的灵魂。首先电力企业必须做好安全状况评估分析,评估应聘请专业权威的信息安全专家或者咨询机构,并组织企业内部信息人员和专业人员深度参与,全面进行信息安全风险评估,搞清楚信息系统现有以及潜在的风险,充分评估这些风险可能带来的危害和影响,针对评估出来的风险制定详细的解决预防方案并认真实施,实施完成后还要定期对其进行评估和不断改进完善。其次,网络安全离不开各种安全技术的具体实施以及各种安全产品的部署,但是现在市面上安全技术及产品种类繁多,让人眼花缭乱,难以进行抉择,我们信息安全系统建设中心内容是安全和稳定,所以我们企业应尽量采用成熟的技术和产品,不能过分求全求新。最后,培养信息安全专门人才和加强信息安全管理工作必须与信息安全防护系统建设同步进行,才能真正发挥信息安全防护系统和设备的作用。
3.2 不断完善电力企业信息安全管理制度
首先,构建良好的管理体制,在网络系统管理中,要做到管业务不管系统,管系统不管业务,如果二者混淆,就容易将所有权限落入一人之手,若该员工,同样造成网络信息安全的极大威胁。其次,数据安全管理制度,即确保数据存储介质(设备)的安全;定时进行数据备份,备份数据必须异地存放;对数据的操作需经主管部门的审批、同意方可进行;数据的清除、整理工作需两人或两人以上在场,并由相关部门进行监督、记录。最后,准入管理制度。准入管理又称密码、权限管理,通过准入系统可以判断请求登录的用户是否是合法的、值得信任的。
3.3 加强对电力企业全员信息安全的教育及培训,提升全员信息安全意识
对于企业信息安全工作的开展不是一个部门一个人的事,而是我们电力公司全体员工的事情,所以必须提高企业全体员工的信息安全意识。通过开展多种形式的信息安全知识培训,可以提高员工的警惕性以及养成良好的计算机使用习惯。在不定时开展信息安全教育和培训的时候应注意安全教育知识的层次性。主管信息安全工作的负责人和各级信息安全员,重点要了解和掌握信息安全的整体策略及目标、安全管理部门的建立和管理制度的制定等;负责信息安全运行管理及维护的技术人员,重点要充分理解信息安全管理策略,掌握安全管理的基本方法,精通信息系统的安全维护技术等;广大信息系统用户重点要学习各种安全操作流程和行为规范,了解和掌握与其相关的信息安全策略,包括自身应该承担的安全职责等。另外,我们企业还可以采取一些考核奖罚措施,去激励和约束全员认真进行信息安全培训,认真落实信息安全操作,从而有效提高我们电力企业整体信息安全水平,提高信息安全意识,最终有效避免信息安全问题或失泄密事件的发生。
3.4 不断完善和提升电力企业信息安全技术
第一,对电力企业内部和外部网络进行物理隔离。采用最高效的解决信息网络安全问题的办法:将局域网与外网物理隔离,使局域网内的用户只能访问内网资源,外网计算机无法与内网相连接。通过这种方法可以很大程度地防止互联网上的病毒、流氓软件等的入侵,避免企业及用户个人的重要信息与数据的失窃,进而可以控制可能由此造成的无法估计的损失。其次,对于移动介质,应加入认证管理,只有被预先授权的介质才能接入内网,对于数据的拷贝,只能通过加密形式处理。第三,数据与系统备份技术。供电企业的数据库必须定期进行备份,按其重要程度确定数据备份等级。配置数据备份策略,建立数据备份中心,采用先进灾难恢复技术,对关键业务的数据与应用系统进行备份,制定详尽的应用数据备份和数据库故障恢复预案,并进行定期预演。计算机病毒传播广,破坏力大,会严重影响电力企业网络系统的安全运行。因此,为了使电力企业免受病毒的侵害,作为网络管理人员应该建立从主机到服务器的完善的防病毒体系,建立健全的网络信息管理制定,以此来有效的提高电力企业网络信息的安全管理。最后,建立信息安全身份认证体系。供电企业面对来自内部和外部信息安全风险威胁,需建立有效的信息安全身份认证体系,实现网络危险过滤、终端准入、用户识别、上网授权等功能,最终实现企业内网用户终端安全性的提升,达成企业整网上网安全性的保障。
参考文献:
[1]尹鸿波.网络环境下企业信息安全管理对策研究[J].电脑与信息技术,2011(4).
[2]冯慧昌.信息安全管理现状与研究策略[J].科技风,2012(7).
[3]姚军.中科网威助力工业网络信息安全[J].企业研究,2O12(12).
[4]胡国胜,张迎春.信息安全基础[M].北京:电子工业出版社,2011.
篇12
关键词:
信息安全;信息系统;影响因素
一、信息安全现状
(一)政务信息安全现状,随着网络的普及以政务效率要求的提升,电子政务、政务信息化已在全国范围逐渐普及,越来越多的政务系统上线运营,方便了群众办事,提高了办事效率,受到了群众的普遍欢迎。然而政务信息系统普遍存在的漏洞也得到相当的关注。不法分子利用黑客技术、木马技术对政务信息系统进行攻击的案例呈逐年增加的趋势。我国政府部门计算机管理系统曾经遭受过黑客的攻击、篡改,系统遭到破坏,甚至计算机网络出现整体瘫痪,造成巨大的损失。政府部门的信息泄露事件对国家安全也造成了极为不利影响。
(二)企业信息安全现状,越来越多的企业建设了OA、ERP等信息系统,这些系统的建设大大降低了企业的运营成本,提高了企业运营效率,互联网的普及、信息系统的建设使企业信息交互变得更加流畅。但随着商业竞争的愈发激烈,企业信息系统安全隐患也逐渐暴露。企业云服务信息泄露、企业信息系统遭破坏、企业核心机密遭窃取等案件也层出不穷,企业信息安全遭到破坏极大地损害了企业利益,提高企业信息系统安迫在眉睫。
(三)个人信息安全现状,个人信息安全威胁主要来自互联网。目前绝大多数PC计算机系统、智能移动电话系统都已接入互联网,公民个人所持有的PC计算机系统、智能移动电话等信息系统中的个人信息、个人财产等也备受不法分子的“青睐”。木马程序编辑者将伪装后的木马程序通过网页、邮件、系统漏洞、QQ、远程控制植入木马等方式进行传播的,一旦时机成熟木马程序就会肆意的扰乱用户的计算机系统,控制、篡改、窃取计算机系统中重要的信息。据相关部门统计,在我国的网民中,百分之七十的人都遭受过信息泄露带来的影响,骚扰电话和短信以及大量的垃圾邮件使人们不胜其烦。
二、影响信息安全的因素
(一)信息系统漏洞普遍存在,各种信息系统从诞生之时起就存在各种漏洞,它们只是最初没有被发现和利用。在CVEDetails公布公布的2016年各种系统漏洞数量统计中,我们熟知的Android系统以523处漏洞高居榜首。第二名则是DebianLinux共319处漏洞,MacOSX发现215处漏洞,而Windows10则发现172处漏洞。不法分子时刻都在研究、发现这些漏洞,利用这些漏洞,不法分子对系统发起攻击,从而获取巨额利益。
(二)用户信息安全意识差,操作不规范,普通用户信息安全意识薄弱,对使用的各种系统没有深入了解,使用过程中操作不规范。目前普遍应用的网上支付和移动支付已经深入到千家万户,支付安全问题也屡屡出现,多数移动用户设置的支付密码较简单,而且没有定期更换密码,造成密码泄露隐患。腾讯安全的《2015年度互联网安全报告》显示80.21%的网民随意连接公共免费WiFi,38.96%的网民使用无密码WiFi进行网络支付。在各类企业、政务应用系统使用过程中,用户操作不规范,使用任意载体交换数据等行为也为信息系统安全增加了风险。
(三)信息安全相关法律法规不健全,不法分子有可乘之机,目前针对保护各类信息系统安全不受侵犯的法律法规还不健全,存在对恶意破坏行为难以追溯,对不法分子惩戒难以量刑等问题。利用法律漏洞及技术优势,不法分子肆无忌惮对各类信息系统进行破坏,对个人信息进行窃取、诈骗等以获取巨额利益。
(四)黑客、病毒等破坏技术层出不穷,信息技术的飞速发展使我们的生活更加便捷,黑客、病毒、木马等破坏信息安全的技术也在极速发展,越来越多的新技术给我们的信息系统带来更多挑战。国外也在加强破坏技术的投入,试图掌握我国各个领域的信息数据。360互联网安全中心的《2016年中国互联网安全报告》显示2016年截获PC端新增恶意程序样本1.9亿个,Android平台新增恶意程序样本1403.3万个。
三、应对策略
(一)加大立法保护力度。法律是正确引导公民行为、规范社会个体和群体活动的准则和要求,只有在法律规定之下进行的活动,才是安全有效的。当前我国关于计算机信息系统安全方面的法律规范并不多,扔缺少必要的法律作为支撑。2016年《中华人民共和国网络安全法》的出台,让网络信息安全有法可依,相信在相关部门及全社会的关心重视下,我国在信息安全方面的法律法规会逐步健全,为我国信息系统安全保驾护航。
(三)提高全社会信息安全意识,创造良好信息系统运行环境的政府、媒体等社会组织应加强信息安全法律法规宣传力度,科普信息安全防护规范,引导公众树立信息安全意识,使信息系统用户能够识别信息安全风险。广大信息系统用户也应自觉提高安全意识,规范管理操作方法,加强信息系统主动防御能力,不受网络虚假信息诱惑,保障信息系统安全。
(四)提升信息安全防御技术。相关信息安全科研、生产单位应加强防御技术的研发、升级,提升防病毒、木马能力,探索新的信息安全防御技术,主动发现各类信息系统漏洞并加以修正。国家相关部门应加大信息安全防御技术的支持和投入力度,鼓励科研、企业研发拥有自主知识产权的信息安全产品,提升我国整体信息安全防护能力,保障国家和公民的权益不受侵犯。
四、结论
信息安全与人们的生产生活息息相关,与国家利益密不可分,是关乎国计民生的大事,也是社会稳定运行的基石。维护信息安全,合法保障信息安全,不应仅仅是一两个组织、个人的事务,这需要全社会的共同努力、积极参与。相信在全社会参与下,我国信息安全前景一定愈发光明,助力我国早日实现“中国梦”。
作者:于子淳 单位:长春市政协机关服务中心(信息中心)
篇13
DOI:10.16640/ki.37-1222/t.2015.21.131
0 引言
在我国能源行业中,供电企业占有十分重要的地位。目前,供电企业体制改革正在逐步走向信息智能化,网络信息系统在供电企业中的构建也变得日益完善[1-3]。这也使得供电企业对信息化的依赖程度越来越强,随之而来的信息安全问题也日益突出[4-6]。因此,构建完善合理的信息安全管理系统已成为供电企业亟需解决的问题。本文以国家电网辽宁省辽阳县供电公司为例,分析了目前存在的信息安全问题,并提出了一些改进措施。
1 信息安全存在的问题
供电企业网络信息系统面临的安全问题越来越多,归结起来主要表现在:系统漏洞;病毒感染;企业信息安全维护人员不足;人员信息安全意识薄弱;信息安全制度管理不完善等几个方面。
(1)系统安全漏洞。任何软件和系统都会存在一定的安全漏洞,所以说绝对安全的系统实际上是不存在的,供电企业的网络系统也同样如此。由于漏洞的存在,病毒、木马和黑客等一些攻击者可以利用这些“缺陷”攻击供电企业的网络,甚至可以获得计算机的管理权限。显然,这对于供电企业来说是非常危险的,会导致严重的安全问题。
(2)病毒感染。计算机病毒(Computer Virus)是一种编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码,具有很强的寄生性、破坏性和传染性,被称为计算机系统的头号敌人。一旦侵入计算机,引发的危害相当严重,会破坏系统文件,偷盗计算机中有用信息,导致系统无法正常运行。在供电企业中使用信息网络技术时,由于大量的企业重要机密和客户信息储存在计算机系统中,计算机病毒一旦入侵并破坏计算机系统,系统中收集的重要资料将会丢失,损失是灾难性的。
(3)缺乏足够的系统维护人员。供电企业信息安全需要一定的专业技术技术人员来维护,但是在大部分供电企业中,以作者所在辽阳县供电公司为例,专门从事网络信息系统安全维护工作的专业技术人员仅有5位,这么少的专业技术人员承担不了繁重的电力网络信息安全工作,所以当企业的网络信息系统发生故障时,维护工作得不到有效的实施,进而影响供电企业的信息安全。
(4)人员信息安全意识薄弱。在供电企业中应用计算机信息网络技术时,由于相关电力工作人员安全意识薄弱而导致的企业信息安全问题时有发生,大大减弱了供电企业信息安全防御能力。例如相关技术人员的不认真导致误操作、未及时修复系统漏洞或者通过外接储存设备导致机密信息和重要文件的泄露等,这些由工作人员人为因素导致的安全问题将会在很大程度上影响供电企业的信息安全。
(5)信息安全管理制度不完善。多数供电企业的安全制度制定不够完善,没有高度重视和落实企业信息安全制度。经常会出现机密文件随处放、系统口令不设置、打印设备及网络共享等问题。这些问题的存在同样也会危害到供电企业的信息安全。
2 针对供电企业信息安全问题的相应措施
针对以上所述的信息安全问题,为了有效提高供电企业网络信息系统的安全性,我们提出了以下几个方面的改进措施。
(1)漏洞扫描和弥补漏洞缺陷。漏洞扫描包括基于主机的漏洞扫描和基于网络的漏洞扫描,是一项既经济又实用的安全策略,及时发现漏洞并修补,可以防止安全隐患向安全事件的转变。可针对我公司计算机中的数据库、操作系统及应用服务等进行漏洞扫描并修补,做到未雨绸缪,进一步保证网络信息系统的安全运行。
(2)防止病毒侵入计算机。随着全球智能电网的推进,供电公司的网络和办公也越来越智能信息化,这就给计算机病毒的传播提供了一个重要的传播途径。因此,供电企业各部门必须建设标准化的个人终端,对病毒软件做到不间断的更新,完善补丁。另外需要特别注意的是要严格控制盗版软件的使用,掌握更多的安全措施来防范木马病毒,严格控制用户访问权限。
(3)增强信息系统运行维护管理。针对作者所在供电公司,现在尚没有独立的部门进行信息系统运行维护,所以首先需要建立独立的运维部门,并增设足够的专业技术人员进行网络信息运行维护;并对技术人员进行部门内分工,制定相应的管理措施,完善整个网络信息维护流程;另外,需要对专业技术人员进行定期职业培训,提高他们的操作管理水平。
(4)提升员工信息安全防患意识。在适应网络信息技术潜在的快速发展要求的基础上,通过对全体员工采取信息安全培训与考核等有力措施,使得企业决策、管理、操作等各个层面的信息安全防范意识得到有效增强,企业信息安全管理经验也得到大量积累。如此,整个供电企业的信息安全水平会因为全体员工显著地信息安全防患意识而得到提升。
(5)改进信息安全管理制度体系。加快三级信息安全管理体系(信息安全管理部门、网络技术部门以及相关其他职能部门、基层单位)的建设步伐;具体落实针对主机设备、网络设备、机房其他设施设备(例如防静电地板、电源、空调、其他附属设施等)以及员工管理的相应管理制度的制定完善工作;明确管理人员、网络维护人员、外来人员的职责范围,确立身份认证制度,涉及机密文件的员工要签署保密协议,对外来人员的进出要登记等。
3 结束语
为保障供电企业的快速可持续发展,就要确保企业信息系统的安全稳定,就要在发现信息安全问题的基础上不断改进安全策略,促进合理完善的信息安全管理体系的构建。供电企业要完善信息安全管理制度,提高员工的信息安全防患意识,增强信息系统的运行维护管理,加强网络信息的安全监控,进而保证供电企业信息安全。
参考文献:
[1]吴金文,程丽琴.浅析供电企业信息安全管理[J].科技与创新,2015(11):50.
