前言:中文期刊网精心挑选了企业信息安全形势范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
企业信息安全形势范文1
HTTPS(HypertextTransferProtocoloversecuresocketlayer)是加入了SSL层的HTTP协议。HTTPS协议需要使用经SSL加密传输的数据信息,所以HTTPS协议的安全基础是SSL。HTTPS协议在使用过程中需要向CA申请证书,在数据传输过程中需要身份认证。使用HTTPS协议进行身份认证时,有单向认证和双向认证两种方式。单向认证是指客户端在通过HTTPS协议连接服务器时,只需要用到服务器的CA证书,只能保证数据传输过程的安全;而双向认证是指客户端除了需要用到服务器的CA证书外,还需要客户端的CA证书,这样在通过HTTPS协议进行网络数据传输时,既保证了数据传输过程的安全,同时也对客户端的身份进行了验证,从而比较适合于企业信息化的应用。
1.1CA证书简介
CA(certificateauthority)是负责签发证书、认证证书、管理已颁发证书的第三方电子认证中心。CA具有合法性、中立性、权威性和公正性。它通过制定相应政策和具体步骤来验证、识别用户身份,并对用户证书进行签名,以此检验证书持有者的身份和公钥的拥有权,并且通过加解密的方法来实现网络数据交换的安全性。目前CA证书可以由付费的CA证书认证中心获得,也可以利用免费的OpenSSL软件包自行生成获得,这是一种不错的选择。OpenSSL支持Linux、Windows、BSD、Mac、VMS等平台,主要由密码算法库、SSL协议库和应用程序3部分组成。OpenSSL提供的功能囊括了主要的密码算法、SSL协议和常用的密钥与证书封装管理功能。OpenSSL提供的CA应用程序就是一个小型的证书管理中心,实现证书签发的整个流程和证书管理的大部分机制。
2系统设计
2.1系统总体设计
目前基于移动终端的企业移动办公平台主要应用在广域网中。移动终端利用无线网络,结合服务器证书和用户证书,使用HTTPS协议安全地对服务器进行访问。应用场景如图1所示:基于移动终端的企业信息安全架构主要由服务器和客户端组成(如图2所示),其中服务器和客户端之间的通讯采用HTTPS协议。服务器端包括CA证书模块和权限控制模块,客户端包括证书申请模块和系统登录模块。
2.2CA证书模块和证书申请
模块CA证书模块和证书申请模块提供如下功能:
1)生成系统的CA证书和所有合法用户的CA证书。在系统的服务器端,服务器预先为系统生成包含服务器公钥的唯一证书(该证书可供所有用户下载使用),同时服务器将生成的唯一私钥进行留存,配合服务器的证书将通过HTTPS协议访问的数据进行加密。用户CA证书则根据移动办公平台上所有合法用户列表生成。生成所有的用户CA证书后,系统将用户和其对应的证书信息保存在服务器数据库中,供日后用户申请使用。
2)将系统的CA证书分发给所有用户,将合法用户的CA证书根据用户信息分配给对应的合法用户。在移动终端上,当用户安装移动办公平台后,可以通过平台提供的服务器CA证书下载功能,直接获取服务器的CA证书,并按照系统提示,将证书安装在移动终端上。
当安装完毕服务器CA证书后,用户就可以申请其指定的证书了。用户将其账号信息发送给系统服务器,服务器端对账号信息进行验证,如果存在该账号,则会向绑定该账号的用户公司邮箱发送一封邮件,内含移动终端下载用户CA证书所需的验证码信息。验证码在指定时间内有效,使用一次后即失效。用户在移动终端处将验证信息发送给服务器后,如果通过服务器的验证,服务器则会将该合法用户的指定CA证书发送到移动终端上,至此完成了服务器和用户证书的分发功能。用户可以使用移动终端在身份验证成功后登录移动办公平台。
2.3权限控制模块和系统登录模块
权限控制模块和系统登录模块提供如下功能:
1)根据用户CA证书检验用户是否有权登录系统。当移动终端通过HTTPS协议连接服务器时,服务器会强制验证用户证书是否有效,如果通过验证,才会进一步处理移动终端发送来的数据信息。
2)根据用户CA证书检验登录系统的用户名是否为证书对应的合法用户。当用户证书通过服务器验证后,服务器会根据用户证书中的信息,确定使用该移动终端的用户账号信息。通过对比发送来的用户名信息,就可以确定用户登录账号是否合法。这样就保证了移动终端上,用户只能使用自己的账号信息登录移动办公平台。
3)对于连续登录系统3次而无法通过用户名和密码验证的用户,禁止该用户在一段时间内访问系统。当服务器连续3次验证用户账号信息失败时,服务器会禁止该用户在一定时间内访问系统。这样就保证了如果用户证书不慎丢失,非法用户也无法通过暴力破解的方式登录移动办公平台。
4)当用户移动终端发生丢失时,禁止该用户访问系统。移动终端使用过程中,经常可能发生丢失现象。当用户发现自己的移动终端丢失时,需要在第一时间通知公司的信息技术部门,将该用户账号冻结,这样即便别人得到移动终端,也无法继续访问系统,从而保障了移动办公平台的安全性。
3系统展现和运行效果
目前某大型国有航运企业的信息技术中心已经成功完成其移动办公平台的研发工作。下面以iPhone移动终端为例,展示如何使用移动终端申请证书,从而实现移动终端通过HTTPS协议双向认证机制访问服务器:
1)用户进入移动办公平台,如果已经设置过证书,则直接输入用户名和密码即可登录平台;否则点击“重设证书”进入设置页面。
2)点击“安装CA证书”按钮,则自动下载服务器CA证书,下载完毕后用户根据提示完成证书安装。如果点击“下一步”,则会下载指定用户的CA证书。
3)用户向服务器提供其账号信息,服务器根据该信息向他发送一封邮件。
4)用户提供的账号信息被验证是合法有效的,服务器发送邮件完毕。
5)用户从邮件中获取验证码,向服务器提交该验证码。
6)系统提示下载用户证书成功。通过以上6步,移动终端完成了证书配置过程,移动终端可以使用HTTPS协议双向认证机制连接服务器。合法用户输入其正确的用户名和密码后,即可登录移动办公平台,进行其工作。系统实际运行过程中,服务器和客户端运行状态稳定。
在客户端,如果用户不下载服务器CA证书或用户CA证书,则无法访问服务器。用户在下载自己的用户证书后如果使用别人的账号登录系统,则会提示无法登录系统。本系统通过采用HTTPS协议双向认证机制,防止非法用户对网络传输的系统信息进行监听,并且在客户端有效避免了非法用户采用暴力破解方法对系统服务器进行攻击;通过采用用户CA证书,识别了登录系统的用户信息,有效解决了合法用户通过其他用户身份登录系统的问题。
4结束语
企业信息安全形势范文2
论文关键词:安全文化;电力企业;安全生产
2011年3月11日日本发生了里氏9.0地震,造成核泄漏。这到底是天灾还是人祸?笔者认为,这不仅仅是“天灾”,而更多的是“人祸”。福岛核电站自1987年至今曾多次发生事故,并多次篡改数据,曾有过安全检查作弊和伪造安全记录等行为,这就相当于埋下了事故隐患。如此看来,核泄漏的发生并不偶然,归根结底是由于缺乏安全意识,安全文化建设不完善造成的。
1986年发生的切尔诺贝利核电站事故,堪称人类的灾难。经专家分析发现所有问题都出自“没有树立安全高于一切的文化理念”,正是由于安全文化的缺位,才导致上上下下安全意识的不足,才导致从管理者到生产者安全行为的失误,最终导致事故的发生。
25年过去了,同样是在核电站,同样由于安全文化的不完善导致了同样的人类灾难。日本是一个科技高度发达的资本主义国家,福岛核泄漏竟然也能造成如此惊人的灾难,如果发生在生产和安全管理相对落后的发展中国家,同样的核泄漏造成的灾难更是不敢想象的。因此企业安全文化建设和完善显得更为必要,对我国电力企业来说也是如此。
一、电力企业安全生产发展的过程
社会的进步,国民经济的发展,人民生活水平的提高都与电力的安全可靠供应息息相关。电力是一个资金、技术密集型产业,具有很强的整体性、关联性和规模性。由于电力产品不能储存的特点,电力的发、供、用连接在一起,又同时完成,电力企业采用大量的自动化控制技术和设备,以实现发、输、售、用各环节的相互紧密配合,比例协调统一地进行。而电力行业的实时性、同时性、整体性、快速性、连续性和社会性等属性决定了电力系统必须安全稳定可靠运行,这就要求在整个电力生产过程中必须确保安全,才能确保整个电网的安全。建国以来,电力企业一直重视安全生产,也取得了不少成绩:
20世纪50年代到80年代成立安全监察机构,建章建制,使管理开始规范化;20世纪80年代至今,提出安全生产的第一责任者,健全安全保证和安全监察两个体系,明确安全管理目标并且重视安全设备的现代化;开展了安全文明生产双达标、创一流等活动,进行了设备、环境综合整治;开展了安全性评价,危险点(危险源)分析、预控,职业安全健康管理体系贯标认证等工作。这些对提高电力企业安全生产管理水平,确保电网安全稳定运行起到了积极作用。但事故还是照样发生,这对传统的安全生产管理工作提出了挑战。
为了进一步做好安全生产工作,近几年来,电力企业安全文化建设作为一种新的管理模式正逐步地在电力企业开展起来,电力企业安全文化建设已初具规模,并形成了独具特色的安全文化建设理论。但是目前仍然存在着大量可控的、不可控的、人为的、不可抗拒的因素,时时刻刻威胁着电力企业的安全生产,特别是人员责任的误操作事故还时有发生,直接威胁电力企业生产安全。这都说明安全文化建设还做得远远不够。
二、电力企业安全文化面临的新形势
近年来,我国电力工业体制在发生积极变化的同时,电力企业安全文化也得到了迅速发展,新老观念发生碰撞,新的问题在发展中油然而生,主要表现在以下几方面:
1.厂网关系的变化对电力安全提出了新课题
电力体制改革前,发输配售集于一体,多数电厂与电网属于利益共同体,电力系统安全主要靠行政命令。厂网分开后,则要依靠法律法规和经济等综合手段,强调合同的履行,要求安全体系与市场体系同步建设,旧体制已被打破,新体制尚在探索完善之中,更需要各市场主体之间加强协调、互相配合,意识相同、文化相近,这样才能共同确保安全。
2.电力企业安全文化主体多样性造成安全文化发展不平衡
厂网分开后,原国家电力公司分成两大电网、五大发电集团,形成国有和集体、个体、三资企业并存的多元化态势,因此出现了电力安全文化主体的多样性并存在差异。很多新进入电力行业的企业在安全文化上带来了原行业的特点,这有积极的一面,但由于对电力系统的特性和安全性认识不足,存在对电力安全文化建设的重要性认识不到位、电力安全文化建设相对薄弱的现象,电力安全文化发展的不平衡,使不同的主体处于安全文化建设不同的阶段,对电网安全运行造成一定的威胁。所以如何把传统的安全文化好的方面发扬光大,把消极方面抑制掉、克服掉是目前面临的又一新课题。
3.员工价值观的变化
在社会主义计划经济向市场经济转变时期,电力企业除了体制改革带来的新问题没有得到很好的解决外,还遇到员工价值观的变化:人们的思想活跃,价值观念在发生变化,传统的电力企业安全管理面临着新形势的挑战。电力企业必须重新审视自己的安全生产管理制度所依据的价值理念是否还能适应今天的形势,过去有效的制度与分配方式是否还能继续激励电力企业员工主动发挥出安全生产工作积极性。只有建设电力企业安全文化,依靠文化力的巨大作用,不断提高安全生产管理水平,才能适应新形势的发展,适应科学技术的发展,适应安全生产管理方法与手段的不断进步,将过去的安全生产管理技术转变成安全生产管理艺术。
三、电力企业安全文化建设的必要性
安全文化建设,是通过创造良好的安全人文氛围和人际关系,对人的理念、意识、态度和行为等形成从无形到有形的影响,从而对人的不安全行为产生控制作用,达到减少人为事故的目的。电力生产特点决定了其安全文化在企业文化中的核心地位。要想真正做到预防事故,实现持久安全生产,提高电力企业的核心竞争力,就必须建设电力企业安全文化。电力企业安全文化的建设是电力企业安全生产的重要基础和保证。 转贴于
1.电力企业的安全生产需要安全文化建设
(1)建设电力企业安全文化是时展的需要。当今电力企业单机容量大,单台设备容量大,电网负荷大,电压等级高,自动化程度高,安全生产依赖计算机技术与系统网络技术,许多电力企业员工的工作已由过去的体力劳动转变成脑力劳动。员工脑力劳动的成果完全取决于员工的工作积极性、责任感、敬业精神与创造力。科学技术无法计算出电力企业众多工作岗位脑力劳动者的工作量,也就无法制定考核标准。因此,电力企业必须借助安全文化来指导安全生产管理,激发员工的自觉性,才能确保电力安全生产。
(2)电力企业安全文化建设存在亟待解决的问题。
1)电力员工的安全意识较弱。一些基层单位对安全生产的重要性和紧迫性认识不足,没有真正做到“安全第一”,安全生产“说起来重要,做起来次要,忙起来不要”的现象依然存在。
2)安全生产管理有漏洞。在一些电力企业中,安全生产管理存在较大漏洞:安全责任制不健全;安全责任不落实;安全措施不完备;缺乏对安全生产的控制和监督,存在严重的侥幸心理;管理部门沿用老方法对待新问题。
3)员工法规意识不强,“三违”现象严重。部分员工对制度熟视无睹,违章作业屡见不鲜,有法不依,有章不循,特别是违反“两票三制”管理规定的问题比较突出。
4)安全生产责任心不强。个别单位的干部和员工安全生产责任心不强,警觉性不高,不能深刻理解安全生产如“逆水行舟,不进则退”的道理,在已有的成绩面前沾沾自喜,产生麻痹思想,存在浮躁心理,管理疏忽,导致安全生产出现滑坡,有的甚至出现安全检查造假,导致事故发生。
综上所述,主要还是主观上的原因,思想上的问题。由此可以看出部分企业安全工作基础还不扎实,管理人员的监察还不到位,一线员工的安全素质还不够高。这种被动的局面只有通过加快安全文化建设的步伐才能尽快扭转。
2.安全文化建设有利于电力企业构建安全生产长效机制
虽然电力企业安全规章制度相对比较健全,然而在人与制度的结合方面还存在一些差距。随着社会的发展,在管理学上“人”并不再是一个被动因素,人的思想、行为在很大程度上影响和决定着事件的最终结果。在生产中发生了违章作业事故,人们在分析违章原因时常说:“违章者缺乏遵守安全规章的自觉性”。这自觉性是指人能意识到自己行为目的和意义程度的大小,就是人的意志品质。由于这一区别,人们即使面临同一个环境却会采取不同的行为方式。这种支配行为能力的形成,主要取决于人的安全文化素质,而这种素质要靠安全文化建设来造就。在电力生产中,只有通过培育电力企业安全文化,使电力员工养成良好的安全文化素质,运用文化管理的方法来解决以前制度无法解决的问题,才能解决好人与制度的结合问题,构建安全生产长效机制,最终达到安全稳定运行的目的。
(1)建设电力安全文化能提高电力安全管理水平。长期以来电力企业不断加强安全管理力度,完善安全措施,增强员工安全意识,不断提高安全管理水平,安全形势向好的方向发展。但电力企业的习惯性违章还有屡禁不止的现象,生产和人身事故时有发生。说明存在两方面的问题:一是安全管理制度不健全,二是有章不循。落实制度说到底就是一种责任感,而责任感取决于观念。安全文化建设的目的就是要解决观念问题,观念变了责任感也就会增强,安全生产责任制就会得到很好的落实。管理专家认为:柔的也是刚的,规章制度那些刚性的东西固然必要,但安全文化这种柔的东西往往能起到制度和纪律起不到的作用。如果说安全制度的约束对安全工作的影响是外在的、冰冷的、立竿见影的、被动意义上的,那么安全文化建设则是内在的、温和的、潜移默化的、主动意义上的,具有其他约束无法比拟的优越性。电力企业安全文化是安全管理中高层次的工作,能发挥员工提高安全素质的主动性,更好地促进企业安全管理水平的提高,最终实现生产安全的目标。
(2)建设电力安全文化能指导电力安全生产。任何文化都有价值取向,它规定着人们所追求的目标,具有导向功能。企业实际上是人的组合,而人又是有思想的,任何人的行为都会受到自身思想的指导和约束,电力企业安全文化作为企业内部全体员工认同的价值观念和行为准则,必然会对电力企业安全生产的决策、管理起到指导作用。积极向上的电力企业安全文化会通过文化的潜移默化,使员工的注意力逐步向企业所提倡、崇尚的安全理念转变,从而将个人的目标引导到企业目标上来。为企业提供正确的安全生产指导思想和健康的精神气氛,规范和约束企业员工的行为,引导领导做出正确的决策来指导企业安全生产。
(3)建设电力安全文化能激励安全生产。心理学研究表明,人们越能认识安全生产行为的意义,就越能产生安全生产行为的推动力。在未获得激励时,人发挥的只是物质力量,获得激励后,人的精神力量就得到开发。电力企业安全文化强调员工对企业安全管理责任目的的认同与共识。当企业安全管理目标与员工的个人目标是一致时,企业安全管理目标的实现也就意味着个人目标的实现和个人需要的满足,这对广大干部员工有很大的激励作用,可以产生改进工作的驱动力,使员工自觉行动,主动做好安全生产工作,使企业的安全工作面貌发生根本性的变化,促进企业和谐发展。
(4)建设电力安全文化能凝聚电力企业人心。企业共同的价值观能起到凝聚人心的作用。建设电力企业安全文化,能使电力企业员工的安全生产价值观趋于一致,使企业、员工之间形成“企业靠员工发展,员工靠企业生存”的利益共同体,而安全生产无疑是维护和确保企业与员工实现共同目标的平台。作为企业内部的一种粘合剂,积极向上的电力企业安全文化会形成巨大的向心力和凝聚力,把员工的积极性、主动性调动到安全生产上来,促进企业安全管理和生产水平的整体提高。
企业信息安全形势范文3
四大因素驱动管理水平提升
经过十多年的建设与发展,中国移动已建成一个覆盖范围广、通信质量高、业务品种丰富、服务水平一流的移动通信网络。目前,中国移动的网络规模和客户规模列全球第一。但近几年来,中国移动的信息安全管理压力不断加大,这是由于以下四个因素:
首先,适应信息安全形势发展的基本需要。随着社会环境、产业环境的变化,通信网的重要性日益凸显,民众对通信网的依赖程度日益提高,网络与我们的生产、生活密不可分。与此同时,网络安全攻击事件日益增多,网络攻击技术越来越多样化,攻击的自动化程度也越来越高,信息安全形势日益严峻。作为国有重要骨干企业,中国移动加强信息安全管理,既是实现企业发展战略目标的需要,也是履行企业社会责任的基本需要。
其次,Y本的市场监管要求。2002年,美国安然、世通等财务欺诈事件之后,美国立法机构出台了《萨班斯―奥克斯利法案》(以下简称《萨班斯法案》)。《萨班斯法案》不仅适用于美国上市公司,也适用于在美国证监会注册的外国公司。中国移动作为在美国证券交易市场上市的海外公司,也必须遵循《萨班斯法案》相关要求。为了遵从《萨班斯法案》,中国移动制定的内部控制矩阵中,有313个项与信息安全有关。
再次,满足国内监管部门的监管要求。随着信息安全形势的发展,国内监管部门对信息安全管理提出了明确要求。公安部、工业和信息化部、国家保密局和证监会等部委陆续了相关文件对企业信息安全管理提出了要求,如公安部、国家保密局、国家密码管理局和国务院信息工作办公室的《信息安全等级保护管理办法》,公安部的《互联网安全保护技术措施规定》,工业和信息化部的《通信网络安全防护管理办法》,财政部、 证监会、审计署、银监会和保监会印发的《企业内部控制基本规范》等。
最后,满足企业自身管理提升的要求。中国移动从提升自身管理的角度出发,建立了较为完整的信息安全管理体系,覆盖系统建设和运维、业务经营、客户信息保护等环节。
然而,由于信息安全管理涉及多个业务部门和管理部门,管理复杂度高,工作繁杂,过去难以进行体系化管理、执行难度高成为中国移动信息安全管理工作的突出问题。
五大管理措施保证信息安全
中国移动信息安全管理的总体目标是借鉴国际的先进GRC管理理念,按照PDCA(Plan―Do―Check―Action,计划―实施―检查―处理)模式,建立涵盖合规要求、合规执行、合规检查、合规评价、合规整改的闭环管理机制;采取相应的技术手段、通过有效的管理措施,保证信息资产免遭威胁,或将威胁带来的不良后果降到最低;持续改进,实现信息安全管理水平的螺旋式提升,最终维护组织的正常运作和健康发展。具体来说,中国移动主要采取了以下五项措施保证目标的实现。
第一,建立信息安全合规闭环管理机制。中国移动在信息安全管理方面借鉴了GRC管理理念,参考了ISO27001信息安全闭环管理体系的PDCA模型,形成了特有的信息安全合规闭环管理机制。中国移动结合自身的实际情况,将信息安全合规管理工作划分为合规要求、合规执行、合规检查、合规评价、合规整改等五个环节。其中,合规要求对应的是计划(Plan),合规执行对应是实施(Do),合规检查和合规评价对应的是检查(Check),合规整改对应的是处理(Action)。这五个环节形成了信息安全合规的闭环管理,借助流程全面贯彻。
第二,进行集中、制度化管理,全面满足内外部监管需求。中国移动根据外部的《萨班斯法案》、ISO27011信息安全管理最佳实践、国家信息安全等级保护、通信网安全防护等相关的合规要求,制定了多达200余个安全管理制度和标准,覆盖系统建设与运维、业务经营、客户信息保护等环节,涉及多个业务部门和管理部门,涵盖了安全方针、风险管理、第三方管理、安全事件处理、安全基线等数十个领域。
值得一提的是,由于需要遵从的合规要求较多,部分“规”之间存在内容交叉和要求不一致的情况。如果缺少集中化的管理,会导致日常的制度和标准查询、获取和执行都比较困难。为此,中国移动对需要遵从的国际、国内、行业和企业内部的信息安全管理制度、标准进行了梳理,参照国内外标准和最佳实践,形成了《中国移动信息安全管理制度体系框架》。通过制度体系框架,相关人员可以掌握公司整体的信息安全管理全貌,方便、快速地查找对应的要求,高效地分析出哪些领域可能存在制度缺失,为进一步完善信息安全管理体系提供有力的支持,为合规管理体系的建设提供有用的支撑。
第三,完善合规管理矩阵,将安全合规管理工作具体化。信息安全合规管理的核心是建立信息安全合规管理矩阵。该矩阵是基于对各种信息安全管理制度、规范建立的,是对各种信息安全管理要求的条目化、具体化。中国移动在梳理合规制度和建立合规控制框架的基础上,首先建立信息安全责任制、客户信息安全、业务安全和基础安全等子矩阵,然后逐步丰富、完善子矩阵,最终形成全面的信息安全合规矩阵。合规矩阵包括控制矩阵、检查矩阵、对应矩阵和资产矩阵。
第四,建立合规检查规范,实现制度化、规范化管理。为了做好合规检查,中国移动制定《信息安全监督检查工作规范》,实现合规检查制度化、规范化管理。合规检查分为普查模式和专项检查两种模式。
第五,建立评价体系,实现整改工作的闭环管理。中国移动通过实施多维度的合规评价,针对不符合合规要求的检查点和评价相对较差的环节,开展及时的问题整改工作,通过工单等工作流,以下发、整改、反馈和验证四步闭环的管理模式,保证在问题发现后,有要求、有人改、有反馈、有验证,有效落实整改工作。
信息化平台是不可或缺的支撑
为了有效应对当前在信息安全合规管理方面所面临的挑战,中国移动在慧点科技协助下建立了全网集中的信息安全合规管理平台。中国移动的各省公司都可以登录该平台开展合规管理工作。该平台针对中国信息安全合规管理需求,固化了制度管理、控制落实、安全检查、合规评价和整改等信息安全管理流程,为合规工作提供了流程化、平台化的高效工具。
中国移动信息安全合规管理平台包括制度管理、矩阵管理、执行管理、合规检查、合规风险评价和整改管理等核心功能模块,可以有效支撑信息安全合规的全生命周期流程管理。
通过建立以信息安全合规管理矩阵为核心的合规管理体系,全面部署信息安全合规管理平台,中国移动实现了如下的效果:
第一,提升了信息安全业务管理的统一性、完整性;
第二,提升了集中化自主运营能力,有效提升业务连续性;
企业信息安全形势范文4
“中国未来的比较优势仍然在制造业。在发展思路上,国家提出了新的战略思路,即将‘自主创新’战略升格为国家核心战略。要实现‘自主创新’的核心战略,十七大报告中所提出的‘信息化与工业化融合’是必由之路。国家组建工业和信息化部的目的就是要将‘融合’战略得以更好地实施。”这是中国工程院院士、华中科技大学校长李培根教授在e-works举办的“第二届中国制造业CIO年会”上所说的。
李培根认为,2007中国制造业信息化主要呈现以下十大热点。
1. 企业需求驱动ERP厂商产品拓展
随着企业业务的迅速拓展,企业提出了深化、全面应用信息系统的要求,而仅仅局限在生产系统范围内的ERP系统已经力不从心。此时ERP厂商适时而动,通过并购、自主开发等方式,将业务触角伸向越来越多的领域,如CRM、SCM、HR、BI、EAM、PLM等,谋求为企业提供一体化的解决方案。
2. 全球PLM市场加快整合
并购、整合是市场化进程中不变的话题,2007年的PLM市场表现得格外乍眼。西门子收购UGS、Agile嫁入Oracle豪门、达索系统收购ICEM、PTC公司收购CoCreate,等等。整合的魅力在于,受益的不仅仅是供应商,用户也是最终的受益者。
3. SOA概念落地,有待生根发芽
SOA在Gartner提出了十多年之后,一直是“厂商热、企业冷”。2007年,部分供应商推出了基于SOA架构的产品,SOA概念正逐渐得以落地。
4. “精”、“益”研发――挖掘企业研发潜力
在“加快自主创新”这一国家战略的推动下,几乎所有企业都意识到自主创新的重要性。但是在真正进行自主创新时,很多企业的研发力量又显得有些捉襟见肘,如何有效地进行自主创新,已经成为众多企业关心的一个重要话题。
5. 安全形势严峻,终端备受关注
2007年安全形势严峻,随着各种攻击手段的升级,企业信息安全防护理念也逐渐从网络核心延伸到网络边缘――桌面终端。虽然目前终端安全领域相关产品已涵盖了设置管理、防病毒、防入侵、防火墙、主动防御、法规遵从等多种功能,但尚未有机结合,部分产品功能重复。
6. 协同仿真平台、仿真数据管理成为CAE热点
随着仿真应用领域的逐步扩大,涉及到的各种软件平台、接口、数据也越来越繁杂,各CAE厂商纷纷开始推出包含协同仿真平台、仿真数据管理功能的新产品。
7. 需求推动,CRM迎来第二春
随着市场竞争压力的增大、客户个性需求的增多、相关法规的出台,使得不少企业开始重新审视CRM系统,并结合自身的业务特点深入研究CRM,使2007年迎来了CRM发展的第二个春天。
8. 我国产品创新数字化厂商开始受资本市场青睐
由于产品创新数字化领域市场竞争激烈、技术门槛偏高,本土产品创新数字化厂商向来不被资本市场所看好。然而,随着中国自主创新战略的出台、供应商技术的积累、服务能力的加强、客户基础雄厚,在2007年,中国产品创新数字化厂商开始受资本市场青睐。
9. BI厂商成为管理创新信息化市场上的“香饽饽”
2007年,管理创新信息化市场中并购与资本运作仍然是不变的热点,而BI市场在这场并购中则显得尤为突出。Oracle收购海波龙、SAP收购Business Objects、IBM收购Cognos,领先的BI厂商几乎被瓜分殆尽。
10. 图形工作站从容应对PC挑战
企业信息安全形势范文5
【关键词】企业信息化;信息安全问题;原因;对策
新时期下,信息化技术在各行业中运用日渐深入,给企业现代化建设与快速发展带来了无限动力。企业信息化建设已成为我国经济信息化建设能否成功的关键所在,也是提升企业自身市场竞争力与企业升级进步的重要保证和标志[1]。但是,企业信息化建设过程中不可避免的出现信息安全问题,给企业正常生产经营带来诸多不利影响。因此,加强企业信息化建设中信息安全管理,已成为现代企业经营管理的一个至关重要的工作。
1企业信息化概述
所谓的企业信息化,指的是实现企业的资金流、物流、作业流、信息流的数字化、网络化管理,实行企业运行的自动化和企业制度的现代化[2]。企业信息化建设涉及了企业生产经营中的各个部门,其主要利用现代化信息技术,通过完善企业内外网络信息系统,实现对企业内外知识与信息资源的开发。可见,建设企业信息化体系,不但可以及时有效的提供各种数据信息给企业决策层,也为企业未来规划设计提供参考依据,而且还有利于企业满足瞬息万变的市场需求,为企业市场核心竞争力的提升带来动力。
2当前企业信息化建设中信息安全问题
企业信息化建设与发展为企业持续、健康、稳定发展发挥了显著作用,但同时也存在着诸多信息安全问题,具体分析主要有以下几方面[3]:(1)当前,绝大多数企业缺乏完善的安全防御系统,导致企业内部使用的信息系统易遭受外部网络系统的攻击,引发企业信息资料被他人截获、篡改与伪造等问题,甚至企业信息系统中出现通信线路、硬盘设施以及其他文件系统遭恶意破坏现象,上述问题的发生不但致使企业信息系统无法正常运行,而且其内部机密信息易发生泄漏,造成企业严重的社会经济损失。(2)针对邮件系统攻击防不甚防。在企业信息系统中电子邮件具有重要的作用,通过电子邮件接收与传送,极大的方便了企业内部间与外部间信息交流与沟通。然而,电子邮件安全问题也日益突出,典型的如电子邮件病毒、垃圾邮件、机密信息泄露以及电子邮件炸弹等,给企业信息传输带来了巨大安全隐患。因此,电子邮件安全问题不可忽视。(3)漏洞攻击日益严重。按照漏洞问题发生原因可分为软件漏洞和协议漏洞两种,其中软件漏洞主要是受外部不法分子攻击软件自身存在的漏洞,造成企业信息泄露等问题;而协议漏洞则主要是由于TCP/IP协议自身在安全机制方面存在的诸多漏洞问题导致,外部不法人员通过攻击TCP/IP协议漏洞,致使企业信息系统遭受破坏。目前情况,很多企业对自身信息系统缺乏成熟的漏洞检测手段和能力,往往事发后才采取补救措施。(4)是Web服务安全问题突出,根据Web服务流程,其发生安全问题的主要组成包括Web服务端安全问题、浏览器客户端安全问题两种。其中,Web服务端安全问题主要是企业Web主机遭受外部不法分子侵入,导致企业保密信息遭窃或者企业部分信息遭受非法篡改等;浏览器客户端安全问题则是企业浏览器客户端遭外部非法分子侵入,致使部分机密信息与数据遭窃等。
3导致企业信息化建设中信息安全问题因素
企业信息化建设中信息安全问题发生受诸多因素影响,具体分析主要有以下几方面[4]:(1)目前,绝大多数企业在信息化建设过程中,对于信息安全问题重视度严重不足。一方面,受传统经营观念影响,企业管理层偏重于对企业生产经营中的有形资产给予关注与重视,而忽略了企业知识与信息资料等无形资源,导致在企业信息安全管理方面各项投入严重不足,进而造成信息安全问题日益凸显;另一方面,多数企业在面对信息安全问题时,存在着盲目乐观现象,认为信息安全问题不至于导致企业正常生产经营,使得信息安全管理无法上升至企业发展规划战略之中,进而造成信息安全问题得不到及时有效解决。(2)由于企业信息化建设在我国尚处于起步阶段,各方面配套管理制度不够完善,特别是缺乏健全的企业信息安全管理体制。受此影响,企业信息化建设中信息安全问题一方面无法得到有效的预防措施,另一方面是一旦发生信息安全问题,无法采取及时有效的补救与解决对策。同时,由于缺乏科学、合理、有效的企业信息安全防护策略,使得企业信息管理人员缺乏必要的安全防护意识与业务素质能力,致使企业信息安全防护软硬件工作质量与效率明显不足。上述两个因素,导致企业无论是从人员配置,还是资金与技术投入方面都严重不足,受企业信息管理人员业务素质能力不足、信息安全技术方法落后以及配套的资金缺乏等影响,企业信息安全防护的措施、手段偏低,造成企业信息化建设存在着严重安全隐患。
4提升企业信息化建设中信息安全对策
针对当前企业信息化建设中存在的信息安全问题,为加强企业信息安全管理,提升企业信息安全保障,可通过采取以下几方面对策,具体有[5]:(1)转变传统企业信息化建设观念,在企业内部管理层从上至下加强对企业信息安全的重视,并树立正确的安全意识。一方面,通过组织各种信息安全管理培训等,增强全体企业员工信息安全意识,确保企业保密信息不外漏;另一方面,逐步加大企业信息化建设中信息安全管理各项资金、技术、人力投入,并建立科学、合理、有效的企业信息安全防护策略,保障企业信息系统安全稳定。(2)不断的推进网络信息技术的发展与运用,促进企业组织结构网络化的实现,同时引进先进的安全防护技术,确保企业信息化系统安全稳定运行。任何网络信息系统都存在着或大或小的安全漏洞问题,而保证其不受外部不法分子侵入的一个关键方法就是安全防护技术的运用。通过选用先进的安全防护技术,可以有效的提高企业信息系统抵抗外来攻击,避免企业信息遭受窃取、篡改甚至破坏等,对于保障企业持续、健康、稳定发展具有显著作用。(3)结合企业信息化建设实际情况,建立健全企业内部信息系统管理体制。一方面,针对信息安全问题,应建立科学、合理、规范的信息安全管理体制,保证企业信息系统安全运行;另一方面,建立健全企业安全风险评估机制,针对不同系统找出影响其安全的因素和漏洞,并制定出最佳的对策,降低企业信息安全风险;此外,加强相应的网络管理,防止外来不法分子通过网络侵入企业信息系统。(4)根据新时期企业信息化建设需要,加强企业信息技术人才、信息管理人才队伍建设,为企业信息安全管理奠定坚实的人才基础。一方面,在企业内部,加强信息技术人才培训,提高企业内部相关人才业务素质能力;另一方面,在企业外部,采取有效措施,积极招聘人才,引进具有先进信息技术型人才;此外,建立健全企业信息安全管理用人机制,激发员工工作积极性,提高工作质量与效率。
5小结
总而言之,企业信息安全事关企业信息化建设是否成功,对于企业持续、健康、稳定发展具有至关重要的作用。因此,应提高企业信息安全管理意识,增强企业信息安全管理机制,促进企业信息安全管理工作质量与效率,保障企业信息化建设顺利开展。
作者:吴捷 单位:中海石油气电集团有限责任公司
参考文献
[1]毛志勇.企业信息化建设的信息安全形势与对策研究[J].科技与产业,2008,8,(1):43~45.
[2]纂振法,徐福缘.浅析企业信息化建设的意义、问题与对策[J].吉林省经济管理干部学院学报,2001,3:24~28.
[3]谢志宏.企业信息化建设中的信息安全问题研究[J].企业导报,2014(06):132~133.
企业信息安全形势范文6
关键词:企业;信息;安全管理
中图分类号:U283.4 文献标识码:A
企业信息安全管理是运用科学的方法和手段,系统地分析网络与信息系统所面临的威胁及其存在的薄弱点,提出有针对性的抵御威胁的防护对策和控制措施,这是企业推进信息化进程和促进生产经营管理的重要内容,是保障企业信息系统正常运行、高效应用和健康发展的前提条件。
1我国企业信息安全管理存在的问题
1.1缺少企业信息安全的法规和规范。企业信息安全是一个比较新的领域,目前还缺少比较完善的法规,即便现有的法规,由于相关安全技术和手段还没有成熟和标准化,法规也不能很好地被执行,安全标准和规范的缺少,导致无从制定合理的安全策略并确保此策略能被有效执行。
1.2存在物理安全风险。物理安全是指各种服务器、路由器、交换机、工作站等硬件设备和通信链路的安全。风险的来源有:水灾、火灾、雷击等自然灾害,人为的破坏或误操作外界的电磁干扰,设备固有的弱点或缺陷等。物理安全的威胁可以直接造成设备的损坏、系统和网络的不可用、数据的直接损坏或丢失等。
1.3信息外泄现象时有发生。进入信息化时代后,企业的诸多资料都由原先的纸介质变成了电子文档。电子文档的特点就是复制十分容易,许多跳槽的员工和竞争对手都会将这些资料通过各种手段带离企业。而且,在企业信息管理系统中,大量购、销、存等业务、财务数据、文档及客户资料,以存储介质形式存在于计算机中,由于电磁辐射或数据可访问性等弱点,受到人为和非人为因素的破坏。数据一旦遭到破坏,将会严重影响企业日常业务的正常运作。因此,保证数据的安全,就是保证企业的安全。
1.4缺少安全管理制度和责任性。目前企业的安全解决方案,基本上只是一个安全产品方案,这使人们误以为企业的信息安全只是信息技术部门的工作和责任,与其他人员不直接相关.但是一个企业的信息系统是企业全体人员参与的,因为他们才是企业信息系统的提供者和使用者,他们是影响信息安全系统能否达到预期要求的决定因素.
2加强我国企业信息安全管理的几点建议
2.1全面提高职工的信息安全知识素质,加强安全文化建设,提升防患水平,防微杜渐。对于信息安全工作的开展,不是系统管理部门的事,也不是系统使用部门的事,而是全体员工的事,必须要提高全体员工的信息安全意识。通过培训和考核等措施,提高员工对公司信息安全的认识,让信息安全成为业务开展的一部分,才能有效提高公司整体信息安全水平,也是信息安全工作得到有效的支持和推进。在此基础上,要建立适应21世纪知识经济时代的企业信息安全文化,只有加强安全文化建设,才能适应知识经济时代的发展。
2.2完善企业信息安全管理制度。首先,数据安全管理制度,即确保数据存储介质(设备)的安全;定时进行数据备份,备份数据必须异地存放;对数据的操作需经主管部门的审批、同意方可进行;数据的清除、整理工作需两人或两人以上在场,并由相关部门进行监督、记录。第二,准入管理制度。准入管理又称密码、权限管理,通过准入系统可以判断请求登录的用户是否是合法的、值得信任的。一个安全的准入系统则需要收集请求登录者的以下信息:一是请求方式。当同一网段在单位时间内多次请求登录或多次登录用户、密码错误者,就应在一定时间内封闭其所在网段的请求,并发出报警信号。二是系统安全验证,即对登录用户的操作系统进行安全证,并提示登录用户进行一系列的修复操作。三是检测设备自身数据是否被修改或篡改,并对登录户相应的操作进行记录备案。
2.3采取传统的信息安全防范策略。物理安全策略:包括环境安全、设备安全、媒体安全、信息资产的物理分布、人员的访问控制、审计记录、异常情况的追查等;网络安全策略:包括网络拓扑结构、网络设备的管理、网络安全访问措施、安全扫描、远程访问、不同级别网络的访问控制方式、识别/认证机制等;数据加密策略:包括加密算法、适用范围、密钥交换和管理等;数据备份策略:包括适用范围、备份方式、备份数据的安全存储、备份周期、负责人等;身份认证及授权策略:包括认证及授权机制、方式、审计记录等;灾难恢复策略:包括负责人员、恢复机制、方式、归档管理、硬件、软件等;事故处理、紧急响应策略:包括响应小组、联系方式、事故处理计划、控制过程等。
2.4实施、检查和改进信息安全管理体制。企业应按照规划阶段编制安全管理体系文件的控制要求来实施活动,主要实施和运行ISMS方针、控制措施、过程和程序,包括安全策略、所选择的安全措施或控制、安全意识和培训程序等。在实施期间,企业应及时检查发现规划中存在的问题,找出问题根源,采取纠正措施,并按照更改控制程序要求对体系予以更改,以达到进一步完善信息安全管理体系的目的。信息安全实施过程的效果如何,需要通过监视、审计、复查、评估等手段来进行检查,检查的依据就是计划阶段建立的安全策略、目标、程序,以及标准、法律法规和实践经验,检查的结果是进一步采取措施的依据。
2.5加强信息安全监控,保障信息系统安全运行。在信息安全监控、信息安全配置和系统访问控制方面,信息管理部门借助先进成熟的信息技术,充分挖掘和利用现有资源功能潜力,进一步提升企业信息系统的安全防范能力。例如,加强信息系统监控管理和风险评估,优化信息系统安全架构,开展入侵检测分析防范、核心网络冗余和服务器架构调整等工作,确保公司信息系统安全稳定运行。统一企业桌面安全管理体系,建立网络运维管理系统,加强接入层管理、桌面安全管理和安全监控管理,有效保障联网计算机的安全运行。优化企业内外网连接架构和访问控制策略,增加网络出口流量监控环节,使有限的网络带宽资源得到合理分配和充分利用。针对因特网浏览用户违规现象较多,造成非授权用户占用大量网络资源的问题,加强用户访问监控,严肃处理违规用户,加强保密教育,促进用户规范使用信息系统。
2.6构建信息安全管理团队。信息安全管理团队是由决策者、管理者以及计算机、信息、通讯、安全和网络技术等方面的专家为提升企业信息安全管理水平而组建的团队。信息安全管理团队是企业信息安全管理的直接管理者,其管理能力、技术能力的高低会直接影响到企业信息安全管理的效率。因此必须增加对企业内部信息安全管理人员、技术人员的定期培训,同时与外部专业技术企业建立长期有效的外部技术支持网络,才能对企业信息安全事件做出及时、快速、准确的响应,确定并及时排除突发事件,使企业的风险和损失最小化,最终形成一套有效的一体化管理体系,给企业带来更大的管理效益与管理效率的提升。
综上所述,随着网络普及和企业信息化业务的不断拓展,信息成为一种重要的战略资源,信息安全保障能力成为一个企业综合能力的重要组成部分。因此,要提高企业信息安全管理的效率,为企业决策提供信息支持,确保企业信息数据安全、可靠、真实,为企业发展和经营管理提供有力保障。
参考文献
