企業信息安全重要性
前言:想要寫出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇企業信息安全重要性范文,相信會為您的寫作帶來幫助,發現更多的寫作思路和靈感。
企業信息安全重要性范文第1篇
【關鍵詞】企業;計算機網絡信息;安全管理
中圖分類號: F279 文獻標識碼: A
前言
文章對企業計算機網絡安全存在的問題進行了介紹,對影響企業計算機網絡系統安全的因素進行了闡述,通過分析,并結合自身實踐經驗和相關理論知識,對加強企業網絡安全管理措施進行了探討。
二、企業計算機網絡安全存在的問題
1.安全意識淡薄
在企業網絡系統中,每一臺計算機的安全性都會影響整個系統的安全性能,網絡安全與每個用戶息息相關。內部員工了解公司的網絡結構、數據存放方式和地點甚至掌握業務系統的密碼。在具有嚴格訪問權限的系統中,使用弱密碼的用戶有可能成為安全系統中的缺陷,甚至有些人隨意改動系統注冊表,使得整個網絡安全系統失效。
2.網絡安全體系不健全
當前很多企業盡管采取了一些安全措施,但安全保護措施較為零散,缺乏整體性與系統性,對于企業網絡信息安全保護缺乏統一的、明確的指導思想,沒有建立一個完善的安全體系,這是引發安全問題的主要源頭。
3.網絡黑客攻擊
黑客肆意妄為,破壞的手段也越來越多樣化。企業的內部資料對于整個企業經營來說相當重要,因為它關系到整個企業的生死存亡。企業存放信息會因網絡黑客攻擊而造成資料的泄密。
4.來自企業外部的感染
來自企業外部的計算機病毒具有傳播性、破壞性、隱蔽性、潛伏性和可觸發性等特點,通過入侵網絡系統和設備,對數據進行破壞,使網絡癱瘓,不能正常運作。網絡蠕蟲由于不需要用戶干預就能觸發,因而其傳播速度要遠遠大于計算機病毒,其對網絡性能產生的影響也更為顯著和嚴重。木馬是指附著在應用程序中或者單獨存在的一些惡意程序,它可以利用網絡遠程控制安裝有服務端程序的主機,實現對主機的控制或者竊取主機上的機密信息。
5.來自企業網絡內部的攻擊
企業防護重點是對外,往往忽視對內部防護的重視。利用企業內部計算機對企業局域網絡進行攻擊,企業局域網絡也會受到嚴重攻擊,當前企業內部攻擊行為大大加強了企業網絡安全的風險。
三、影響企業計算機網絡系統安全的因素
1.病毒攻擊
目前,計算機病毒的制造者大多利用Internet網絡進行傳播,因中小企業防范薄弱管理規范性有待提高,所以他們很大可能要遭到病毒的攻擊。病毒可能會感染大量的機器系統,也可能會大量占用網絡帶寬,阻塞正常流量,如:發送垃圾郵件的病毒,從而影響企業計算機網絡的正常運行。
2.軟件漏洞
任何軟件都有漏洞,這是客觀事實。而同時中小企業在軟件采用上大都以節約為本,不注重也不舍得花銷來進行軟件更新的后期升級服務,以至于非法用戶正好通過這些需要升級的漏洞竊取用戶信息和破壞信息,針對固有的安全漏洞進行攻擊。
3.職員不當操作
中小企業計算機管理人員配置少,監督管理都難以細致,其它職工在信息化系統操作中容易出現工作馬虎,不細心,不按成型的規范操作,不遵守制定的相應規章制度。中小企業中很多職工信息安全意識不強,將自己的生日或工號作為系統口令,或將單位的賬號隨意轉借他人使用,從而造成信息的丟失或篡改。
四、加強企業網絡安全管理措施
1.要加大對計算機網絡與信息安全工作的投入。信息技術進步神速,我國在這一領域同發達國家比,并沒有優勢。因此我國更應加大投入,刻苦攻關,掌握一些關鍵的信息技術,以確保我國在信息安全方面的自主能力。可以毫不夸張地說,今年安全方面的自主能力,將制約我國的綜合國力和國防實力,因此,我國應當像五六十年展“兩彈一星”一樣,集中力量,加大投入,迎接信息技術革命的挑戰,保衛國家安全。這一點,我們不能幻想通過進口來解決問題。在信息安全技術方面,發達國家一方面極為重視研究開發,美國政府曾為了改進美國政府的計算機安全系統,投入巨大的資金;另一方面,又嚴格控制信息安全技術的出口。以美國為代表的發達國家,對信息安全產品出口,已作出許多嚴格限制,以維護其在信息技術領域的絕對優勢。
2.關鍵數據采用加密手段。在企業計算機網絡中關于數據安全的隱患無處不在。尤其是一些機密數據庫、商業數據等一定要保證它的安全性,這時一般會采取對數據加密的手段,它是一種保護數據在存儲和傳遞過程中不被竊取或修改的一種手段,該數據加密系統在使用的過程中需要綜合考慮執行效率與安全性之間的平衡。
3.加強安全管理力度健全管理制度。首先,加強信息安全管理力度應積極采取宏觀管理與重點監控相結合的方式,保證信息化項目的安全性。系統的實施及管理部門應該全面掌握各單位的計算機網絡系統的相關情況,為企業統一管理提供可靠依據。同時,對重點工程實地考察,對信息安全進行檢查,發現問題及時解決。
4.事務管理和故障恢復。事務管理和故障恢復主要是對付系統內發生的自然因素故障,保證數據和事務的一致性和完整性。故障恢復的主要措施是進行日志記錄和數據復制。計算機同其他設備一樣,都可能發生各種各樣的故障,比如電源故障、軟件故障、災害故障以及人為破壞等,這些故障可能會造成數據庫的數據丟失,因此為了保證計算機的安全運行,必須在發生故障時采取必要的措施恢復數據庫,事務管理和故障恢復就是這個作用,它能夠保障數據庫在出現故障時,仍可以把數據庫系統還原到正常狀態。
五、企業信息安全新形勢
網絡信息安全工作始終是通信行業最為關鍵的工作之一,具有長期性、復雜性和艱巨性的特點。2010年3G及寬帶網絡蓬勃發展,三網融合開始實施操作,云計算和物聯網產業方興未艾,需求的個性化、數字的海量化、業務的復雜化給通信行業網絡信息安全帶來了新的更大的挑戰,行業中企業要進一步提高對網絡信息安全重要性的認識,發展與管理并重,加強部門協調配合,加強網絡基礎管理工作,加強網絡信息安全保障能力建設,特別是要加快網絡信息安全關鍵基礎產業的研發應用和產業化,通過核心技術掌握自主知識產權,加快發展自主可控的信息安全產業,建設新時期通信行業網絡安全、信息安全長城。
從國際國內出現的安全現象出發,應對多種復雜的安全新問題,應該借助于RFID等物聯網新技術,并通過極主動地建立網絡與信息安全的保障體系,技術和管理并重,加強立法建設、政策制訂、技術研究、標準制訂、隊伍建設、人才培養、市場服務、宣傳教育等多方面的工作,通過產業鏈各方的緊密合作共同構造一個全方位多層次的網絡與信息安全環境,來共同改善全球的網絡與信息安全問題。
結束語
隨著科技的發展,一些不法份子和黑客通過計算機網絡竊取企業商業機密的現象越來越多,因此,對于計算機網絡信息安全管理應該予以高度重視,否則可能對企業造成不可預估的損失。
參考文獻
[1]林延君.局域網企業信息安全系統的設計與實現[D].大連理工大學,2006年.
[2]陽威特.Web應用程序的安全維護[J].計算機應用,2000(05).
企業信息安全重要性范文第2篇
【關鍵詞】信息化建設;安全管理;授權
【中圖分類號】TU714 【文獻標識碼】A 【文章編號】1672—5158(2012)08—0255-02
0.引言
隨著信息技術的不斷發展以及市場競爭的不斷激烈,企業信息安全建設已經成為提高企業競爭力的重要途徑,杜絕信息泄露可以避免巨大的經濟損失。雖然大多數企業在信息安全管理方面采取了較多的措施,但是信息安全問題仍然頻發,對于企業的經營活動帶來巨大的損失。加強企業內部的計算機管理,提高對于信息安全的認識程度,保證信息數據庫的安全,避免信息泄露的發生已經成為現階段企業信息化建設亟待解決的管理問題。
1.企業信息化建設信息安全影響因素分析
(1)信息系統實體安全。信息實體主要包括用于企業信息化建設的計算機、網絡連接、服務器等媒介硬件設施,對于信息實體安全影響因素主要包括火災、水災、失竊或者是其他事故造成設備硬件的損壞,從而造成企業信息庫數據安全出現問題。
(2)信息系統運行安全。信息系統的安全是指為了保證企業信息數據庫的安全,采取各種措施對系統運行進行安全保護。由于信息數據庫有可能受到非授權的訪問、泄露、數據纂改或者是被其他非法程序控制的威脅,因此確保信息系統運行安全主要是保證信息數據庫的完整、保密以及時時可用性。
(3)信息系統管理人員安全責任意識。管理人員在日常工作中的安全管理意識、專業操作水平以及法律意識等均會對企業信息數據的安全產生影響。信息安全管理人員的日常管理工作責任心以及工作方式方法,對于保證信息數據庫的安全十分重要。
2.企業信息安全管理問題分析
目前由于管理制度以及軟硬件設施等一系列的問題,企業數據庫破壞以及重要數據信息泄漏的現象時有發生,嚴重影響了企業的正常生產經營活動,通過分析發現影響企業信息化建設信息安全的問題主要由以下幾方面:
(1)企業內部移動存儲設備管理疏松,缺乏安全保密管理制度。由于許多企業在日常管理過程中,移動存儲設備使用較多,員工可以隨意對企業內部的各種信息資料進行備份,企業用于經營活動的客戶信息、產品設計、財務管理等各項信息極易造成泄漏,帶來巨大的信息安全損失。部分企業由于對于信息安全管理認識程度不足,企業內部信息安全管理缺乏必要的規章制度,安全管理職責權限不清,信息安全漏洞較多。
(2)對于內部信息共享控制不嚴格,信息安全管理權限混亂。由于企業在生產經營過程中為了提高生產經營效率以及加強企業內部各部門之間的溝通聯系,對于一些設計企業銷售計劃、客戶信息以及生產計劃等文件采取共享的措施,因此企業員工的流動或者其他管理不當均會造成企業信息的泄露。
(3)信息權限管理混亂,企業的中介服務體系穩定性較差。對于加密的授權訪問,權限管理則成為保護企業信息安全的重要因素。但是由于企業在信息安全管理過程中體系混亂,操作權限不清晰導致經常出現影響信息安全的非授權訪問。而且對于部分中小企業由于信息化建設采取對外委托的方式,而中介第三方由于穩定性難以保證,隨時更換或者退出的第三方極易造成企業有價值信息的泄漏,影響企業信息安全建設。
(4)信息管理安全防范體系不健全,缺乏針對信息安全管理的專業技術人才。雖然部分企業已經認識到信息化管理的重要性,并在企業網絡內設置了必要的安全設備。但是缺乏一系列的安全管理機制,在信息安全管理方面缺乏行之有效的整體規劃與具體落實措施。此外,由于大部分企業在信息安全管理工作中將重點放在軟硬件設施上,而忽略了對于信息安全技術人員的培養,而且為了減少人力資源支出成本,信息安全管理人員少工作任務重,管理權限集中化程度高,影響了信息化建設的安全管理。
3.企業信息建設信息安全管理措施
(1)加強對于信息庫硬件設備的保護管理。首先應保證計算機等硬件設備具有安全的工作環境,做好計算機設備的防火、防潮、防盜措施,并避免強磁環境對信息數據可能造成的損壞。其次,在對各種硬件設備進行檢修時,硬組織企業內部相關技術人員進行監督管理,對于需要外送檢修的設備,則應提前進行數據加密處理。
(2)提高企業內部的信息安全管理意識。企業信息安全管理對于提高企業競爭力,避免企業經濟損失具有重要的意義。在企業的正常管理過程中,加強信息安全宣傳工作,使員工充分認識到企業信息安全管理的重要性,并熟悉企業相關信息數據保密的規則制度,提高企業的整體信息安全防范水平。
(3)加強信息安全操作管理人員的管理。在企業信息日常管理過程中,應加強對于業務操作以及數據存取控制代碼的管理。系統管理操作代碼的獲得應經過企業管理者授權,系統管理人員在進行企業相關信息數據庫的整理以及維護過程中,必須通過授權進行。系統管理人員離開工作崗位后,相關責任人應及時更換管理員操作代碼。
(4)加強企業信息數據庫的密碼與權限管理。對于涉及到企業信息數據庫安全的密碼,應分別設置用戶密碼以及操作密碼,并提高密碼的安全程度,及時定期更換登陸操作密碼。對于組成企業內部局域網絡的服務器、路由器等設施的設置管理工作,應嚴格按照相關管理規定進行設置。
(5)明確企業信息數據庫管理制度。對于企業重要的數據應存放備份數據,并采取異地存放的方式對備份數據庫進行管理。對于廢棄或者需要銷毀的數據信息,應嚴格依照程序采取逐級審批的方式,避免數據信息的泄露。需要進行數據恢復工作時,應嚴格按照相關技術手冊,并對恢復的數據進行驗證確認數據的完整可用。
(6)加強企業信息數據機房的管理。相關人員出入信息數據庫機房進行數據查閱以及提取工作時,應經由相關主管人員的授權,并登記進入。在日常管理過程中,定期對硬件設備進行保養,同時研究違章操作在信息數據機房安裝外部其他軟件。
參考文獻
[1]沈路鐵路信息系統安全風險評估研究[J]-鐵路計算機應用2011(6)
企業信息安全重要性范文第3篇
關鍵詞:信息化;信息安全;安全管理
1企業信息安全現狀
近幾年,隨著行業信息化建設逐步深入,伴隨著OA辦公自動化、ERP、卷煙生產經營決策管理和MES生產制造執行等系統相繼投入使用,與生產經營息息相關的關鍵業務對信息系統的依賴程度越來越高,企業也逐步認識到信息安全的重要性,企業員工的安全意識也都得到逐步提高。行業也相繼出臺了煙草行業信息安全保障體系建設指南和各類信息安全制度,并通過這幾年信息安全檢查工作,促進企業的信息安全水平得到了進一步提高。由于企業信息安全意識不斷提高,企業不斷加大信息安全方面的投入,如建立標準化的機房、購買與部署各類信息安全軟件和設備等。但是木馬、病毒、垃圾郵件、間諜軟件、惡意軟件、僵尸網絡等也隨著計算機技術的發展不斷更新,攻擊手段也越發隱蔽和多樣化。企業不僅要應對外部的攻擊,也要應對來自于企業內部的信息安全威脅,安全形勢不容樂觀。企業的信息安全已不僅僅是技術問題,還需要借助管理手段來保障。企業如果不能正確樹立信息風險導向意識,一味注重“技術”的作用,忽略“管理”的重要性,就很難發揮信息安全技術的作用,無法把企業的各項信息安全措施落到實處,企業的信息安全也就無從談起。只有切實發揮管理作用,企業的信息安全才能得到有效保障。
2企業信息安全體系架構
在談到信息安全時,大多數剛接觸的人都比較疑惑,都說保障信息安全十分重要,那到底什么是信息安全呢?下面就簡單介紹一下信息安全的概念以及企業的信息安全體系架構。2.1信息。對企業來說,信息是一種無形資產,具有一定商業價值,以電子、影像、話語等多種形式存在,必須進行保護。2.2信息安全。主要是指防止信息泄露、被篡改、被損壞或被非法辨識與控制,避免造成不良影響或者資產損失。2.3企業信息安全體系架構。在保障企業信息安全過程中,信息安全技術是保障信息安全的重要手段。通過上文對企業信息安全現狀的分析,不難看出企業信息安全體系主要分為技術、管理兩個重要體系,進一步細分則涉及安全運維方面。2.3.1信息安全技術體系作用。主要是指通過部署信息安全產品,合理制定安全策略,實現防止信息泄露、被篡改、被損壞等安全目標。信息安全產品主要是指實現信息安全的工具平臺,如防火墻類產品、防攻擊類產品、殺毒軟件類產品和密碼類產品等,而信息安全技術則是指實現信息安全產品的技術基礎。2.3.2信息安全管理體系作用。完善信息安全組織機構、制度,細化職責分工,制定執行標準,確保日常管理、檢查等制度有效執行,最大程度發揮信息安全技術體系作用,確保信息安全相關保護措施有效執行。通過上文簡單介紹,對信息安全以及信息安全系統有了大概了解。可以看出單純借助技術或管理無法保障企業信息安全,因此,建立企業信息安全管理體系的重要性也就不言而喻。
3信息安全管理體系概念
3.1信息安全管理。運用技術、管理手段,做好信息安全工作整體規劃、組織、協調與控制,確保實現信息安全目標。3.2管理體系。體系是指相互關聯和相互作用的一組要素,而管理體系則是建立方針和目標并實現這些目標的體系。3.3信息安全管理體系(ISMS)。在一定組織范圍內建立、完成信息安全方針和目標,采取或運用方法的體系。作為管理活動最終結果,包含方針、原則、目標、方法、過程、核查表等眾多要素。3.4建立信息安全管理體系的目的。作為企業總管理體系的一個子體系,目的是建立、實施、運行、監視、評審、保持和改進信息安全。3.5信息安全管理體系涉及的要素。3.5.1信息安全組織機構。明確職責分工,確保信息安全工作組織與落實。3.5.2信息安全管理體系文件。編制信息安全管理體系的方針、過程、程序和其他必需的文件等。3.5.3資源。提供體系運轉所需的資金、設備與人員等。
4信息安全管理體系機構設置以及作用
在建立企業的信息安全管理體系之前,如果沒有設置相應的信息安全組織機構,那么建立體系所需要的資源(資金、人員等)就無法得到保障,企業的信息安全制度和策略也就無法貫徹落實,企業的信息安全管理體系就形同虛設起不到任何作用。因此,企業在建立信息安全管理體系前必須建立健全信息安全組織機構,機構設置可以根據職責分為三個層次。4.1信息安全決策機構。信息安全決策機構處于安全組織機構的第一個層次,是本單位信息安全工作的最高管理機構。應以單位主要領導負責,對信息安全規劃、信息安全策略和信息安全建設方案等進行審批,并為企業信息安全工作提供各類必要資源。4.2管理機構。處于安全組織機構的第二個層次,在決策機構的領導下,主要負責企業日常信息安全的管理、監督以及安全教育與培訓等工作,此類工作大部分都由企業的信息化部門承擔。4.3執行機構。處于信息安全組織機構的第三個層次,在管理機構的領導下,負責保證信息安全技術體系的有效運行及日常維護,通過具體技術手段落實安全策略,消除安全風險,以及發生安全事件后的具體響應和處理,執行機構人員可以由信息中心技術人員與各部門專職或兼職信息安全員組成。
5信息安全管理體系的建立
ISO/IEC27001:2005標準的“建立ISMS”章節中,已明確了信息安全管理體系建立的10項強制性要求和步驟。企業應結合自身實際情況,遵照這些內容和步驟,建立自己的信息安全管理體系,并形成相應的體系文件。5.1建立的步驟。(1)結合企業實際,明確體系邊界與范圍,并編制體系范圍文件。(2)明確體系策略,構建目標框架、風險評價的準則等,形成方針文件。(3)確定風險評估方法。(4)識別信息安全風險,主要包括信息安全資產、責任、威脅以及造成的后果等。(5)進行安全風險分析評價,編制評估報告,確定信息安全資產保護清單。(6)明確安全保護措施,編制風險處理計劃。(7)制定工作目標、措施。(8)管理者審核、批準所有殘余風險。(9)經管理層授權實施和運行安全體系。(10)準備適用性聲明。以上步驟解釋不詳盡之處,參看ISO/IEC27001:20054.2.1章節中A-J部分。5.2信息安全管理體系涉及的文件。文件作為體系的主要元素,必須與ISO/IEC27001:2005標準保持一致,同時也要結合企業實際,確保員工遵照要求嚴格執行。而且也要符合企業的實際情況和信息安全需要。在實際工作中,企業員工應按照文件要求嚴格執行。5.2.1體系文件類型主要涉及方針、程序與記錄三類。方針類主要是指管理體系方針與信息安全方針,涵蓋硬件、網絡、軟件、訪問控制等;程序類主要是指“過程文件”,涉及輸入、處理與輸出三個環節,結果常以“記錄”形式出現;記錄類主要是記錄程序文件結果,常以是表格形式出現。至于適用性聲明文件,企業應結合自身情況,參照ISO/IEC27001:2005標準的附錄A,有選擇性地作出聲明,并形成聲明文件。5.2.2體系必須具備的文件。主要包括方針、風險評估、處理、文件控制、記錄控制、內部審核、糾正與預防、控制措施有效性測量、管理評審與適用性聲明等。5.2.3任意性文件。企業可以針對自身業務、管理與信息系統等情況,制定自己獨有的信息方針、程序類文件。5.2.4文件的符合性。文件必須符合相關法律法規、ISO/IEC27001:2005標準以及企業實際要求,保證與企業其他體系文件協調一致,避免沖突,同時在文字描述準確且無二義。
6體系實施與運行
主要包括策略控制措施、過程和程序,涉及制定和實施風險處理計劃、選擇控制措施與驗證有效性、安全教育培訓、運行管理、資源管理以及安全事件應急處理等。
7體系的監視與評審
主要指對照策略、目標與實際運行情況,監控與評審運行狀態,主要涉及有效性評審、控制措施測試驗證、風險評估、內部審核、管理評審等環節,并根據評審結果編制與完善安全計劃。
8體系的保持和改進
主要是依據監視與評審結果,有針對性地持續改進。主要包括改進措施、制定完善措施、整改總結等,同時需相關方進行溝通,確保達到預計改進標準。
9結語
企業信息安全重要性范文第4篇
[關鍵詞]電力企業;信息安全;運行維護
doi:10.3969/j.issn.1673 - 0194.2016.16.000
[中圖分類號]TM73;TP309 [文獻標識碼]A [文章編號]1673-0194(2016)16-00-02
1 我國電力企業的信息系統存在的問題
1.1 電力企業的信息安全意識比較差
信息化給企業帶來的各方面積極作用已經被人們熟知和認可,然而,信息技術的作用在被人們關注的同時,信息化安全方面的問題層出不窮。安全問題出現的原因主要是由電力企業基層員工的安全意識較差造成的。近幾年來,隨著信息安全事件的不斷出現,電力企業的管理者加大了對安全問題的重視,其安全意識不斷提高,但是電力企業的基層員工對于信息安全的重要性認識還不足,造成了企業的信息安全問題依然不斷出現。一方面,電力企業信息安全問題直接影響企業的管理,對于基礎員工的直接影響較小,因此,對于信息安全問題電力企業的管理者比較敏感,電力企業的基層員工的安全意識比較差。另一方面,電力企業的管理層雖然提高了對信息安全問題的重視,但是卻很少有企業制定切實可行的規章制度或者解決措施,更沒有把相關的規章制度有效的執行下去,落實到企業每個員工的身上,因此,電力企業的基層員工對于信息安全的認識不足,安全意識相對較差。
1.2 電力企業信息系統的技術性較差
信息技術隨著社會的進步在不斷的革新。因此電力企業的信息系統必須要隨著信息技術的進步不斷的變化,由此可知,電力企業的信息系統是動態的發展過程,因此,電力企業在應用全新的信息系統的過程中難免存在技術缺陷,這就為電力企業日常的經營與管理埋下了安全隱患,一旦出現安全問題,企業的重要信息資源可能被盜取,直接影響企業的經濟利益以及長期穩定的發展。例如:TCP/IP協議設計如果不夠全面、科學就會直接導致信息系統的軟件和硬件存在安全隱患,嚴重時會導致企業的軟件崩潰,企業的重要信息資源也將瞬間化為烏有,影響企業的日常管理,對于企業長期穩定的發展非常不利。
1.3 信息系統的管理水平相對較低
信息系統安全問題給電力企業帶來的危害是巨大的,這一點已經引起了電力企業管理層的高度重視,然而,目前電力企業的信息系統管理水平不是很高,企業管理中的漏洞給信息系統帶來了很多問題;部分管理人員在管理信息系統的過程中疏忽大意,增加了企業信息系統安全問題發生率;信息操作人員的操作程序不規范,一旦信息系統出現問題,企業的管理者不能第一時間知道是哪個程序出現了問題,從而不能及時解決信息安全問題,最終可能影響到企業的信息安全,給企業帶來巨大的損失。
1.4 電力企業信息系統集成性低
電力企業的業務部門相對較多,各個部門之間缺乏必要的溝通和有效的滲透,因此,企業信息系統的集成性較低。企業的信息系統中,各個部門的相關業務相互獨立,相互之間缺乏聯系,使得企業的信息系統中各個部門之間的數據信息存在很大的差距,各種信息的相關性不高,數據信息之間的聯系非常小,信息數據不能有效地銜接在一起。最終使企業信息化缺乏整體性,信息化應用的最終目的不能實現,電力企業及時信息化程度非常高,難以實現信息化給企業帶來的優勢。
2 加強電力信息安全運行維護與管理的措施
2.1 提高企業信息安全意識,不斷完善企業的安全管理制度
電力企業必須認識到應用信息技術的前提就是要保證企業信息的安全性,如果不能有效地保證企業信息的安全,那么電力企業應用信息技術的初衷將不能很好的實現。為了有效提高企業的安全意識,首先,電力企業的管理者人員應該加強對企業員工信息安全知識的教育,讓每個工作人員都能意識到信息安全的重要性,積極地為企業提高信息安全出謀劃策。其次,電力企業應該積極地學習西方先進的安全防范措施,根據自身的實際情況制定有效的措施。最后,電力企業應該制定完善的安全管理制度,合理保證企業信息的安全性。在制定安全管理制度的過程中一定要保證責任到人,一旦出現信息安全問題,電力企業能夠第一時間找到問題的所在,及時解決相關問題,同時還能追究直接責任人的相關責任,保證企業安全制度落實到實處。
2.2 提高信息系統技術水平
面對技術缺陷,電力企業應該積極的提高信息系統的技術水平,采取有效措施避免系統缺陷導致的安全問題。首先,電力企業應該設置有效的應急措施,一旦信息系統出現技術上的問題,必須要保證信息的完整性,防止不法分子利用技術缺陷來危害企業的信息系統。例如:企業可以安裝自動報警系統,一旦發現有人利用技術缺陷盜取企業的數據信息,第一時間報警,讓相關人員采取應急措施防止企業信息泄露。其次,電力企業應該不斷提升信息系統的技術水平,加強對信息技術的研究與探索,利用高級、精密、尖端的技術來規避企業信息系統中的技術缺陷,保證企業信息的安全。再次,電力企業要加強網絡防護技術在信息系統中的應用,安裝IDS以及IPS技術系統加強企業信息系統的網絡防護能力。最后,電力企業應該啟動安全審計系統,對企業信息系統進行嚴格的審計,一方面,企業能夠第一時間發現信息系統的問題,及時解決相關問題;另一方面,通過審計系統的分析,企業能夠全面了解信息系統的運行情況,幫助企業更好地查看信息系統的運行狀況。
2.3 提高信息管理的水平
電力企業的管理者在重視信息安全問題的同時,必須加強對信息的管理,提升企業的信息管理水平。制定嚴格的工作責任制,一旦發現信息安全問題,做到責任到人,防止管理人員由于麻痹大意而導致的信息安全問題。作為信息管理人員,如果自身的管理范圍內出現了信息安全問題,企業一定會追究其管理責任,這對于提高管理人員的警惕性,減少其麻痹大意的作用非常有效。電力企業對于信息系統的操作人員要進行定期培訓,強調信息操作標準的重要性,對于不嚴格按照信息操作標準操作的工作人員進行嚴厲處罰,情節嚴重的給予開除。另外,電力企業要加強對信息系統的維護,及時修復信息系統的漏洞,提高企業的信息管理水平。
2.4 提升電力企業信息系統的集成水平
信息系統的集成性是指企業在一定的技術指導下,能夠實現對企業各個部門的有效調配,從整體上掌握企業日常運行情況以及企業在日常管理中存在的問題,滿足客戶對于企業的不同需求,在提高企業管理水平的同時,實現企業的高速發展。電力企業針對目前集成水平低的問題,必須要引起高度重視,采取有效措施提高企業集成水平。首先,電力企業應該加強各個部門之間的溝通與聯系,保證企業各個部門數據信息的銜接度。其次,電力企業應該加強企業信息系統的一體化建設,站在企業的高度對企業中的財務系統、生產系統以及辦公系統進行統一的管理與應用,提升企業信息系統的集成水平。
3 結 語
電力是我國經濟發展的基礎。電力企業必須擁有足夠的安全意識,保證企業長期穩定的發展。我國電力企業采用信息技術來幫助企業更好的運營和管理是很有必要的,其出發點與落腳點都非常符合我國市場經濟發展的要求。然而,如果電力企業的安全防范不能及時地跟上企業信息技術的應用步伐,那么電力企業應用信息技術的目的不但不能實現,很可能會適得其反,使電力企業降低經濟效益。
主要參考文獻
企業信息安全重要性范文第5篇
關鍵詞 信息安全事故;安全管理;事故致因理論
中圖分類號 F49
文獻標識碼 A
文章編號 1006-5024(2013)01-0055-04
一、引言
在信息化浪潮席卷全球的今天,信息的重要性不言而喻。我國國民經濟和社會信息化建設進程全面加快,網絡與信息系統的基礎性、全局性作用日益增強,信息技術在提高企業服務水平、促進業務創新、提升核心競爭力等方面發揮了重要作用。但是,在進行信息化建設的同時,各種信息安全事故卻頻繁發生。據普華永道2010年度全球信息安全調查報告顯示,中國企業信息安全事故發生率遠遠高于世界平均水平。網絡事故、數據事故及系統事故是中國企業常見的三大信息安全事故,發生率分別為51%、45%和40%,而相同事故在全球范圍內的發生率則為25%、27%與23%。
大量文獻和事實表明,信息的特殊性決定了信息安全事故的高發性。信息具有易傳播、易擴散、易毀損的特點,信息資產比傳統的實物資產更加脆弱,而其運作的風險、收益和機會卻比實物資產大得多。企業對信息系統不斷增強的依賴性也增大了重要信息受到嚴重侵擾和破壞的風險,而這些風險常導致企業資產受損或業務中斷。
目前,對于信息安全的研究大多集中于技術層面,從早期的加密技術、數據備份、防病毒到近期網絡環境下的防火墻、入侵檢測、身份認證等,而從管理方面和流程優化方面研究的較少。Ross Anderson(2001)認為,信息安全的經濟管理研究在某種程度上比技術研究更為重要。傅毓敏(2010)認為,中國企業對信息安全管理人員和流程的重視不足是導致相關安全事故率居高不下的主要原因。因此,有必要系統分析企業信息安全事故發生的機理,以管理因素研究為核心,找出事故發生的根本原因。通過控制事故致因因素預防企業信息安全事故的發生,將對企業的信息安全管理有一定的指導意義。
本文將生產領域的事故致因理論應用到信息安全事故分析中,系統分析企業信息安全事故的形成機理,將信息安全事故致因因素分為四部分,即環境因素、人員因素、技術因素和設備因素,分析各因素對信息安全事故的影響,構建信息安全事故致因因素魚刺圖,并提出針對性的防范措施。
二、理論基礎
(一)國內外從管理角度對信息安全事故的研究
國內外的學者從不同角度對信息安全事故原因進行了研究。Van Niekerk(2010)認為企業信息安全文化氛圍是減少人為因素所導致的信息安全事故的關鍵;Knapp(2009)等先后對信息安全政策和信息安全事故之間的關系進行了研究;Herath(2009)通過問卷調研的實證研究驗證了懲罰力度、壓力和員工的效果認知會對其安全行為產生影響;Albrechtsen(2010)發現員工參與、集體反思和群體作用可以提高員工的信息安全意識,并改善其安全行為;Stanton(2005)研究發現終端用戶的安全行為會對企業信息安全管理產生影響;Ashenden(2008)通過實證研究發現信息安全管理人員、高層管理者和終端用戶之間存在信息鴻溝,雙方在理解上的差異會對企業的信息安全管理產生不利影響,增加了信息安全事故發生的幾率。此外,Vroom(2004)、Flowerday(2005)等學者也先后對此進行了研究。
與國外相比,國內對于信息安全的研究多集中于技術層面,涉及管理層面的研究較少。沈昌祥、張煥國、馮登國(2007)系統地闡述了信息安全理論及相關技術的發展;官巍、胡若(2007)從社會環境、商業、組織和個人的角度分析了電子商務的信息安全問題;劉福來(2010)對中小企業信息化管理中存在的安全隱患和原因進行了分析。
通過閱讀文獻發現,國外學者大多通過實證研究驗證了一個或幾個因素對信息安全事故的影響,但是缺乏對信息安全事故的系統分析。國內的研究多用于構建信息安全管理體系,對信息安全事故的分析則鮮有研究。
(二)事故致因理論
在信息安全事故分析方法的選擇上,本文選擇了在生產領域廣泛應用的事故致因理論。事故致因理論是研究分析導致事故發生原因因素的科學理論。它是描述事故成因、經過和后果的理論,是研究人、物、環境、管理及事故處置等基本因素如何起作用而形成事故并造成損失的理論。
在早期的事故致因理論中,海因里希(W.H.Heinrich)的事故因果連鎖論最具代表性,它最先提出了物的不安全狀態和人的不安全行為是導致傷亡事故發生的兩個直接因素。在海因里希事故因果連鎖論的基礎上,博德(F.Bird)等又進一步提出了把安全管理作為背后深層次的間接事故致因因素的現代安全科學觀點,認為任何安全事故發生的深層次原因,都可以歸結為管理的失誤,人的不安全行為或物的不安全狀態不過是其背后的深層原因的征兆和管理失誤的反映。
本文依據博德(F.Bird)的現代安全科學觀點,提出如圖1所示的信息安全事故模型。信息安全事故的發生是由于人的不安全行為和物的不安全狀態作用在能量物質/載體上的結果,而企業的管理因素是導致物的不安全狀態和人的不安全行為發生作用的直接因素。
三、信息安全事故分析
通過對各類型信息安全事故致因因素的分析,企業信息安全事故的致因因素大體可分為兩類,即人的因素和物的因素。其中,物的因素可進一步分為環境因素、技術因素、設備因素等。根據實地調研和文獻梳理可以得出,企業文化的缺失、安全規章制度的不完善等環境因素是造成事故的深層原因。因此,本文將企業信息安全事故的可控致因因素整理歸納后分為四類,即環境因素、人員因素、技術因素和設備因素,并構建了信息安全事故魚刺圖(見圖2)。
(一)環境因素分析
在信息化建設過程中,很多企業由于急需開展業務,往往出現“先業務,后安全”的現象,安全管理嚴重滯后于業務的發展。在企業的內部環境中,企業業務的符合性直接決定了信息系統的設計、運行、試用和管理是否超出法律規定和合同規定的安全要求的約束范圍。另外,很多企業安裝了一定的安全設備,但缺乏統一的安全體系規劃和安全防范機制,企業安全責任不明確,這些都大大增加了信息安全事故發生的風險。由于缺乏業務連續性計劃和事故處理機制,發生信息安全事故之后,企業的業務往往會出現中斷,此時,信息管理人員又變成“救火員”恢復業務,最終信息安全建設變成一種“頭痛醫頭,腳痛醫腳”的亡羊補牢式的行為。此外,企業懲戒措施和審計機制的缺乏也是導致信息安全事故頻繁發生或重復發生的重要因素。
在信息安全管理的外部環境中,與企業密切相關的是第三方服務機構或個人。企業選擇第三方服務機構為企業提供服務,就意味著將企業的部分信息轉移至第三方。企業與第三方的外包合約不完善、第三方的服務質量不高以及對第三方數據訪問權限的不明確易導致企業關鍵數據的泄露,容易引發外部攻擊。
(二)人員因素分析
人員是信息安全管理中最為活躍的因素,不同類別的人員對信息安全事故的影響不盡相同。(1)管理人員。高層管理者是企業資源投入的決策者,也是企業信息安全管理的核心,高層對信息安全的支持和重視不夠是導致企業信息安全文化欠缺和員工信息安全意識淡漠的關鍵因素。中層管理者作為銜接企業高層和基層的橋梁,其對上級決策的執行力度直接決定了企業信息安全管理實施的效果。(2)技術人員。在企業中,技術人員可以保證企業信息系統的日常運營和維護。但大多數企業,尤其是中小企業缺乏信息技術人才和安全監察、審計人員。由于受人員及技術的限制,往往一個管理員既要負責系統的配置,又要負責系統的安全管理,安全設置和安全監督都是“一肩挑”。這種情況使得管理權限過于集中,一旦管理員的權限失控,極易導致重要信息泄露。(3)基層人員。目前,我國企業的基層員工普遍缺乏信息安全的教育、培訓,對信息安全意識淡漠,每天都在以不安全的方式處理著企業的大量重要信息,如隨意使用移動設備、上網不限制等,這些不安全的行為都對企業的信息系統構成了潛在的威脅。
(三)技術因素分析
信息安全技術是企業防范信息安全事故的基本因素,也是我國企業在信息安全管理中投入較多的一部分。具體而言,導致信息安全事故技術方面的因素可以分為兩大類:(1)軟件因素,包括軟件設計缺陷或存在技術漏洞、殺毒軟件不及時更新以及突發的軟件故障等。(2)信息系統設計因素,包括信息系統設計時沒有以風險評估為基礎、業務流程描述錯誤或遺漏、前期測試不充分、數據訪問權限設置不清晰、關鍵數據沒有備份、信息資產安全等級不明確以及信息資產沒有保護措施等因素。這些不安全的技術因素導致了信息安全漏洞存在的必然性和普遍性。在目前互聯網普及的開放網絡環境中,這些漏洞無疑會給外部攻擊者留下可乘之機,導致信息安全事故的發生。
(四)設備因素分析
企業信息安全管理的設備主要包括中心機房、服務器、網絡設備、線路等方面,這些是企業信息安全保障系統的基礎。由于設備因素引起的信息安全事故包括硬件自身故障、保障設施故障、人為破壞事故、其他設備設施故障等四種,其致因因素可以歸納為三類:(1)物理安全方面,包括物理安全邊界不明確、非授權的物理訪問、設備或存儲介質缺乏安全措施、設施設備的非授權使用或移動、硬件失效等。(2)保障設施方面,包括供電或空調中斷、電氣故障、電纜損壞等。(3)外界不可抗力,包括水災、臺風、地震等自然災害和恐怖襲擊、戰爭等外界不可抗力因素。這些因素往往會造成設施設備硬件的損壞,導致存儲于設備上的數據受到干擾和破壞,容易引發企業業務的中斷。
四、防范措施
針對上述造成信息安全事故的因素分析,可以從人員培訓、制度完善以及硬件改進三個方面進行防范。具體而言:
(一)建立有效的“人力防火墻”,減少人為因素導致的信息安全事故
信息安全是企業每個員工都要面對的問題,通過建立“人力防火墻”能真正調動企業實現長治久安的內在動力。因此,必須加強信息安全宣傳工作,增強所有員工對信息安全重要性的認識。通過增強管理人員對信息安全的重視,營造企業的安全文化氛圍,提高企業員工的信息安全意識;通過對員工進行安全教育與培訓,增強員工的安全技能;通過法律法規、安全政策、訪問權限與懲戒措施來約束員工的行為,減少不安全行為的發生。最終在企業內部形成一種“信息安全,人人有責”的企業文化氛圍,減少人為因素導致的信息安全事故。
(二)完善企業信息安全管理體系,減少由于環境、技術因素導致的信息安全事故
信息安全管理體系是依據企業信息安全需求、業務流程分析和風險評估的結果,綜合利用各種信息安全技術與產品,在統一的綜合管理平臺上建立的信息安全管理機制和防范體系。建立并完善信息安全管理體系,可以為企業的信息管理提供來自策略、設計以及運行等各個層面和階段的安全保障,有效減少由于環境因素和技術因素引起的信息安全事故。建立災難恢復與業務持續性計劃,強化重要信息數據備份,在信息安全事故發生時能確保業務持續開展,將損失降到最低程度;建立集中化的管理控制機制,將數據安全控制進行集中化管理,建立一個具有全局性的網絡管理平臺,以確保安全防范策略能夠由上至下全面貫徹執行,減少數據安全風險;以“適度防范”為原則,選擇合適的安全技術與產品,制定相應的訪問控制策略,在考慮成本和投資回報的基礎上滿足企業業務安全的需求。
