前言:中文期刊网精心挑选了企业信息安全的问题范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
企业信息安全的问题范文1
关键词:信息安全管理对策
信息安全随着信息技术的发展而产生,并且其重要性日益凸现出来,信息安全的内涵也随着计算机技术的发展而不断变化,进入二十一世纪以来,信息安全的重点放在了保护信息,确保信息在存储,处理,传输过程中及信息系统不被破坏,确保对合法用户的服务和限制非授权用户的服务,以及必要的防御攻击的措施。即强调信息的保密性、完整性、可用性、可控性。
一、电力企业信息安全风险分析
随着企业的生产指挥,经营管理等经营活动越来越依赖于计算机信息系统,如果这些系统遭到破坏,造成数据损坏,信息泄漏,不能提供服务等问题,则将对电网的安全运行,电力企业的生产管理以及经济效益等造成不可估量的损失,高技术在带来便利与效率的同时,也带来了新的安全风险和问题。
1、电力公司信息安全的主要风险分析
信息安全风险和信息化应用情况密切相关,和采用的信息技术也密切相关,电力公司信息系统面临的主要风险存在于如下几个方面:
(1)计算机病毒的威胁最为广泛:计算机病毒自产生以来,一直就是计算机系统的头号敌人,在电力企业信息安全问题中,计算机病毒发生的频度大,影响的面宽,并且造成的破坏和损失也列在所有安全威胁之首。病毒感染造成网络通信阻塞,系统数据和文件系统破坏,系统无法提供服务甚至破坏后无法恢复,特别是系统中多年积累的重要数据的丢失,损失是灾难性的。
在目前的局域网建成,广域网联通的条件下,计算机病毒的传播更加迅速,一台计算机感染病毒,在两三天内可以感染到区域内所有单位的计算机系统。病毒传播速度,感染和破坏规模与网络尚未联通之时相比,高出几个数量级。
(2)网络安全问题日益突出:企业网络的联通为信息传递提供了方便的途径。企业有许多应用系统如:办公自动化系统,用电营销系统,远程教育培训系统等,通过广域网传递数据。企业开通了互联网专线宽带上网,企业内部职工可以通过互联网方便地收集获取信息,发送电子邮件等。
网络联通也带来了网络安全问题。企业内部广域网上的用户数量多且难于进行管理,互联网更是连接到国际上的各个地方,什么样的用户都有。内部网,互联网上的一些用户出于好奇的心理,或者蓄意破坏的动机,对电力公司网络上的连接的计算机系统和设备进行入侵,攻击等,影响网络上信息的传输,破坏软件系统和数据,盗取企业商业秘密和机密信息,非法使用网络资源等,给企业造成巨大的损失。更有极少数人利用网络进行非法的,影响国家安定团结的活动,造成很坏的影响。
如何加强网络的安全防护,保护企业内部网上的信息系统和信息资源的安全,保证对信息网络的合法使用,是目前一个热门的安全课题,也是电力企业面临的一个非常突出的安全问题。
(3)信息传递的安全不容忽视:随着办公自动化,财务管理系统,用电营销系统等生产,经营方面的重要系统投入在线运行,越来越多的重要数据和机密信息都通过企业的内部广域网来传输。同时电力公司和外部的政府,研究院所,以及国外有关公司都有着许多的工作联系,日常许多信息,数据都需要通过互联网来传输。
网络中传输的这些信息面临着各种安全风险,例如被非法用户截取从而泄露企业机密;被非法篡改,造成数据混乱,信息错误从而造成工作失误。非法用户还有可能假冒合法身份,发送虚假信息,给正常的生产经营秩序带来混乱,造成破坏和损失。因此,信息传递的安全性日益成为企业信息安全中重要的一环。
(4)用户身份认证和信息系统的访问控制急需加强:企业中的信息系统一般为特定范围的用户使用,信息系统中包含的信息和数据,也只对一定范围的用户开放,没有得到授权的用户不能访问。为此各个信息系统中都设计了用户管理功能,在系统中建立用户,设置权限,管理和控制用户对信息系统的访问。这些措施在一定能够程度上加强系统的安全性。但在实际应用中仍然存在一些问题。
一是部分应用系统的用户权限管理功能过于简单,不能灵活实现更细的权限控制,甚至简单到要么都能看,要么都不能看。二是各应用系统没有一个统一的用户管理,企业的一个员工要使用到好几个系统时,在每个应用系统中都要建立用户账号,口令和设置权限,用户自己都记不住众多的账号和口令,使用起来非常不方便,更不用说账号的有效管理和安全了。
如何为各应用系统提供统一的用户管理和身份认证服务,是我们开发建设应用系统时必须考虑的一个共性的安全问题。
(5)实时控制系统和数据网络的安全至关重要:电网的调度指挥,自动控制,微机保护等领域的计算机应用在电力企业中起步早,应用水平高,不但实现了对电网运行状况的实时监视,还实现了对电网一次设备的遥控,遥调以及保护设备的远方管理。随着数据网的建设和应用,这些电网监视和控制方面的系统逐步从采用专线通道传输数据转移到通过数据网络来传送数据和下发控制指控令。由于这些计算机系统可以直接管理和操作控制电网一次设备,系统的安全可靠,数据网的安全可靠,信息指令传输的实时性等直接关系着电网的安全,其安全等级要求高于一般的广域网系统。
同时,这些电网控制和监视系统中的许多信息又是生产指挥,管理决策必不可少的,需要通过和生产管理局域网互联,将数据传送生产管理信息系统中,供各级领导和各专业管理人员察看,使用。数据网和生产管理局域网的互联带来了不同安全等级的网络互连的安全问题。
(6)电子商务的安全逐步提上议事日程:随着计算机信息系统在电力市场,用电营销,财务管理等业务中的深入应用,电子商务在电力企业的应用开始起步。例如:电力市场系统中发电厂和电网公司之间的报价,电力交易,电费结算等都将通过计算机信息系统来实现和完成,这可以视为电子商务中常提到的B2B模式。用电营销系统中的电费计费结算,用户买电交费,银电联网代收电费等,是典型的电力公司和用户之间的电子交易,可以视为电子商务中的B2C模式;以后还有物资采购等方面的电子商务系统。
随着电子商务在电力企业中的应用逐步推广和深入,如何保障电子交易的安全,可靠,即电子商务安全问题也会越来越突出。
二、解决信息安全问题的基本原则
统筹规划,分步实施。要建立完整的信息安全防护体系,绝不能一哄而上,必须分清需求的轻重缓急,根据信息化建设的发展,结合信息系统建设和应用的步伐,统一规划,分步建设,逐步投资。
转贴于 1、做好安全风险的评估。进行安全系统的建设,首先必须做好安全状况评估分析,评估应聘请专业信息安全咨询公司,并组织企业内部信息人员和专业人员深度参与,全面进行信息安全风险评估,找出问题,确定需求,制定策略,再来实施,实施完成后还要定期评估和改进。
信息安全系统建设着重点在安全和稳定,应尽量采用成熟的技术和产品,不能过分求全求新。
培养信息安全专门人才和加强信息安全管理工作必须与信息安全防护系统建设同步进行,才能真正发挥信息安全防护系统和设备的作用。
2、采用信息安全新技术,建立信息安全防护体系
企业信息安全面临的问题很多,我们可以根据安全需求的轻重缓急,解决相关安全问题的信息安全技术的成熟度综合考虑,分步实施。技术成熟的,能快速见效的安全系统先实施
3、计算机防病毒系统
计算机防病毒系统是发展时间最长的信息安全技术,从硬件防病毒卡,单机版防病毒软件到网络版防病毒软件,到企业版防病毒软件,技术成熟且应用效果非常明显。防病毒软件系统的应用基本上可以防治绝大多数计算机病毒,保障信息系统的安全。
在目前的网络环境下,能够提供集中管理,服务器自动升级,客户端病毒定义码自动更新,支持多种操作系统平台,多种应用平台杀毒的企业版杀毒软件,是电网公司这样的大型企业的首选。个人版本的杀毒软件适合家庭,小规模用户。
4、网络安全防护系统
信息资源访问的安全是信息安全的一个重要内容,在信息系统建设的设计阶段,就必须仔细分析,设计出合理的,灵活的用户管理和权限控制机制,明确信息资源的访问范围,制定信息资源访问策略。
对于已经投入使用的信息系统,可以通过采用增加安全访问网关的方法,来增强原有系统的用户管理和对信息资源访问的控制,以及实现单点登陆访问任意系统等功能。这种方式基本上不需要改动原来的系统,实施的技术难度相对小一些。对于新建系统,则最好采用统一身份认证平台技术,来实现不同系统通过同一个用户管理平台实现用户管理和访问控制。
5、开展信息安全专题研究,为将来的应用做好准备
电网实时监视与控制系统的安全问题要求更高,技术难度更大,应开展专题研究。
国家有关部门和电力企业对电网实时监视与控制系统的安全问题高度重视,专门发文要求确保电网二次系统的计算机和网络系统的安全,要实现调度控制系统,数据网与其他生产管理系统和网络的有效隔离,甚至是物理隔离。
6、电子商务安全需要深入研究和逐步应用
电子商务的安全牵涉很多方面,包括严格,安全的身份的认证技术,对涉及商业机密的信息实现加密传输,采取数字签名技术保证合同和交易的完整性及不可否认性等。这些方面又与信息安全基础技术平台密切相关,因此安全基础平台的建设对于电子商务的安全应用是至关重要的。目前已经有电子商务的应用系统投入在线使用,我们必须加快对电子商务的安全的研究和应用,否则将来会出现因电子在线交易不安全,不可靠的而导致电子商务系统无人敢用的局面。
7、依据法规,遵循标准,提高安全管理水平
信息安全的管理包括了法律法规的规定,责任的分化,策略的规划,政策的制订,流程的制作,操作的审议等等。虽然信息安全"七分管理,三分技术"的说法不是很精确,但管理的作用可见一斑。
三、解决信息安全问题的思路与对策
电力企业的信息安全管理相对来说还是一个较新的话题,国内其他电力企业也在积极研究和探讨,以下是一些粗浅的看法。
1、依据国家法律,法规,建立企业信息安全管理制度
国家在信息安全方面了一系列的法律法规和技术标准,对信息网络安全进行了明确的规定,并有专门的部门负责信息安全的管理和执法。企业首先必须遵守国家的这些法律法规和技术标准,企业也必须依据这些法律法规,来建立自己的管理标准,技术体系,指导信息安全工作。学习信息安全管理国际标准,提升企业信息安全管理水平
国际上的信息技术发展和应用比我们先进,在信息安全领域的研究起步比我们更早,取得了很多的成果和经验,我们可以充分利用国际标准来指导我们的工作,提高水平,少走弯路。
信息安全是企业信息化工作中一项重要而且长期的工作,为此必须各单位建立一个信息安全工作的组织体系和常设机构,明确领导,设立专责人长期负责信息安全的管理工作和技术工作,长能保证信息安全工作长期的,有效的开展,才能取得好的成绩。
2、开展全员信息安全教育和培训活动
安全意识和相关技能的教育是企业安全管理中重要的内容,信息安全不仅仅是信息部门的事,它牵涉到企业所有的员工,为了保证安全的成功和有效,应当对企业各级管理人员,用户,技术人员进行安全培训,减少人为差错,失误造成的安全风险。
开展安全教育和培训还应该注意安全知识的层次性,主管信息安全工作的负责人或各级管理人员,重点是了解,掌握企业信息安全的整体策略及目标,信息安全体系的构成,安全管理部门的建立和管理制度的制定等;负责信息安全运行管理及维护的技术人员,重点是充分理解信息安全管理策略,掌握安全评估的基本方法,对安全操作和维护技术的合理运用等;用户,重点是学习各种安全操作流程,了解和掌握与其相关的安全策略,包括自身应该承担的安全职责等。
3、充分利用企业网络条件,提供全面,及时和快捷的信息安全服务
山东省电力公司广域网联通了系统内的各个二级单位,各单位的局域网全部建成,在这种良好的网络条件下,作为省公司一级的信息安全技术管理部门应建立计算机网络应急处理的信息与技术支持平台,安全公告,安全法规和技术标准,提供安全软件下载,搜集安全问题,解答用户疑问,提供在线的信息安全教育培训,并为用户提供一个相互交流经验的场所。网络方式的信息服务突破了时间,空间和地域的限制,是信息安全管理和服务的重要方式。
4、在发展中求安全
没有百分之百安全的技术和防护系统黑客技术,计算机病毒等信息安全攻击技术在不断发展的,人们对它们的认识,掌握也不是完全的,安全防护软件系统由于技术复杂,在研制开发过程中不可避免的会出现这样或者那样的问题,这势必决定了安全防护系统和设备不可能百分百的防御各种已知的,未知的信息安全威胁。
不是所有的信息安全问题可以一次解决
人们对信息安全问题的认识是随着技术和应用的发展而逐步提高的,不可能一次就发现所有的安全问题。信息安全生产厂家所生产的系统和设备,也仅仅是满足某一些方面的安全需求,不是企业有某一方面的信息安全需求,市场上就有对应的成熟产品,因此不是所有的安全问题都可以找到有效的解决方案。
企业信息安全的问题范文2
关键词:供电企业;信息安全;电力;网络信息化
DOI:10.16640/ki.37-1222/t.2015.21.131
0 引言
在我国能源行业中,供电企业占有十分重要的地位。目前,供电企业体制改革正在逐步走向信息智能化,网络信息系统在供电企业中的构建也变得日益完善[1-3]。这也使得供电企业对信息化的依赖程度越来越强,随之而来的信息安全问题也日益突出[4-6]。因此,构建完善合理的信息安全管理系统已成为供电企业亟需解决的问题。本文以国家电网辽宁省辽阳县供电公司为例,分析了目前存在的信息安全问题,并提出了一些改进措施。
1 信息安全存在的问题
供电企业网络信息系统面临的安全问题越来越多,归结起来主要表现在:系统漏洞;病毒感染;企业信息安全维护人员不足;人员信息安全意识薄弱;信息安全制度管理不完善等几个方面。
(1)系统安全漏洞。任何软件和系统都会存在一定的安全漏洞,所以说绝对安全的系统实际上是不存在的,供电企业的网络系统也同样如此。由于漏洞的存在,病毒、木马和黑客等一些攻击者可以利用这些“缺陷”攻击供电企业的网络,甚至可以获得计算机的管理权限。显然,这对于供电企业来说是非常危险的,会导致严重的安全问题。
(2)病毒感染。计算机病毒(Computer Virus)是一种编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码,具有很强的寄生性、破坏性和传染性,被称为计算机系统的头号敌人。一旦侵入计算机,引发的危害相当严重,会破坏系统文件,偷盗计算机中有用信息,导致系统无法正常运行。在供电企业中使用信息网络技术时,由于大量的企业重要机密和客户信息储存在计算机系统中,计算机病毒一旦入侵并破坏计算机系统,系统中收集的重要资料将会丢失,损失是灾难性的。
(3)缺乏足够的系统维护人员。供电企业信息安全需要一定的专业技术技术人员来维护,但是在大部分供电企业中,以作者所在辽阳县供电公司为例,专门从事网络信息系统安全维护工作的专业技术人员仅有5位,这么少的专业技术人员承担不了繁重的电力网络信息安全工作,所以当企业的网络信息系统发生故障时,维护工作得不到有效的实施,进而影响供电企业的信息安全。
(4)人员信息安全意识薄弱。在供电企业中应用计算机信息网络技术时,由于相关电力工作人员安全意识薄弱而导致的企业信息安全问题时有发生,大大减弱了供电企业信息安全防御能力。例如相关技术人员的不认真导致误操作、未及时修复系统漏洞或者通过外接储存设备导致机密信息和重要文件的泄露等,这些由工作人员人为因素导致的安全问题将会在很大程度上影响供电企业的信息安全。
(5)信息安全管理制度不完善。多数供电企业的安全制度制定不够完善,没有高度重视和落实企业信息安全制度。经常会出现机密文件随处放、系统口令不设置、打印设备及网络共享等问题。这些问题的存在同样也会危害到供电企业的信息安全。
2 针对供电企业信息安全问题的相应措施
针对以上所述的信息安全问题,为了有效提高供电企业网络信息系统的安全性,我们提出了以下几个方面的改进措施。
(1)漏洞扫描和弥补漏洞缺陷。漏洞扫描包括基于主机的漏洞扫描和基于网络的漏洞扫描,是一项既经济又实用的安全策略,及时发现漏洞并修补,可以防止安全隐患向安全事件的转变。可针对我公司计算机中的数据库、操作系统及应用服务等进行漏洞扫描并修补,做到未雨绸缪,进一步保证网络信息系统的安全运行。
(2)防止病毒侵入计算机。随着全球智能电网的推进,供电公司的网络和办公也越来越智能信息化,这就给计算机病毒的传播提供了一个重要的传播途径。因此,供电企业各部门必须建设标准化的个人终端,对病毒软件做到不间断的更新,完善补丁。另外需要特别注意的是要严格控制盗版软件的使用,掌握更多的安全措施来防范木马病毒,严格控制用户访问权限。
(3)增强信息系统运行维护管理。针对作者所在供电公司,现在尚没有独立的部门进行信息系统运行维护,所以首先需要建立独立的运维部门,并增设足够的专业技术人员进行网络信息运行维护;并对技术人员进行部门内分工,制定相应的管理措施,完善整个网络信息维护流程;另外,需要对专业技术人员进行定期职业培训,提高他们的操作管理水平。
(4)提升员工信息安全防患意识。在适应网络信息技术潜在的快速发展要求的基础上,通过对全体员工采取信息安全培训与考核等有力措施,使得企业决策、管理、操作等各个层面的信息安全防范意识得到有效增强,企业信息安全管理经验也得到大量积累。如此,整个供电企业的信息安全水平会因为全体员工显著地信息安全防患意识而得到提升。
(5)改进信息安全管理制度体系。加快三级信息安全管理体系(信息安全管理部门、网络技术部门以及相关其他职能部门、基层单位)的建设步伐;具体落实针对主机设备、网络设备、机房其他设施设备(例如防静电地板、电源、空调、其他附属设施等)以及员工管理的相应管理制度的制定完善工作;明确管理人员、网络维护人员、外来人员的职责范围,确立身份认证制度,涉及机密文件的员工要签署保密协议,对外来人员的进出要登记等。
3 结束语
为保障供电企业的快速可持续发展,就要确保企业信息系统的安全稳定,就要在发现信息安全问题的基础上不断改进安全策略,促进合理完善的信息安全管理体系的构建。供电企业要完善信息安全管理制度,提高员工的信息安全防患意识,增强信息系统的运行维护管理,加强网络信息的安全监控,进而保证供电企业信息安全。
参考文献:
[1]吴金文,程丽琴.浅析供电企业信息安全管理[J].科技与创新,2015(11):50.
[2]洪杰,段成铎.电力企业信息系统风险与安全管理研究[J].科技与创新,2015,18(13):89-90.
企业信息安全的问题范文3
[关键词] 网络环境;中小企业;会计信息系统;安全问题
[中图分类号] F230 [文献标识码] B
[文章编号] 1009-6043(2017)02-0125-03
引言
随着现代经济的不断发展,越来越多的企业应用了网络会计信息系统,但由于使用该系统的水平并没有达到一定的要求,无论是会计人员还是系统本身都存在一定的风险和安全隐患,造成了企业财务信息的失真和丢失甚至是泄露。一些中小企业认识到了问题的重要性,开始研究解决安全患的方法与措施,学术界的学者也纷纷发表了各自的看法,提供了大量的理论观点和现实依据,加强了会计信息系统的管理与应用,提高了使用的安全性。本文针对会计信息系统尚存在的安全问题进一步做了研究,为企业今后的发展提供新的参考和依据。
一、网络环境下会计信息系统的特点
(一)经济性与高效性
网络环境下会计信息系统具有经济性和高效性。从经济性角度来看,网络环境最大的特征就是成本低,范围广,通过网络平台将自己的产品,价格以及功能向大家展示出来。而会计信息系统的建立主要也是通过网络进行的,只有在此环境下才更有利于信息的收集和数据的分析,同时也是成本最低的采集信息的方式。对于会计信息的监督行为也可以通过网络远程操控来实现,对于企业会计管理更具有经济性;从高效性的角度来看,现如今的社会发展没有比网络更快捷高效的方式,尤其对于信息传播和收集方面,网络平台掌握着所有可公开的信息,只需要简单的搜索就可以实现,尤其是信息的广泛性,想要针对任何对象都可以进行快速搜索来全面了解,会计信息系统以最快的速度进行反应和决策,所以网络对于会计信息系统的使用是具有高效性的。
(二)及时性与实效性
传统的会计信息处理需要登记账簿,审核凭证等程序,一系列复杂的步骤常常耽误大量的时间和精力,而网络环境下会计信息系统的建立避免这些繁琐的程序,财务部门对于所有相关的企业信息分门别类进行网络系统存储,同时对信息进行及时的处理和反馈,使企业最快的做出市场反应。针对一些不断变化和更新的数据,更需要在网络中进行及时搜索,会计根据信息的用处抓住有效的信息资源,最快速地将信息整合成整体资料,提供给相关部门,促进企业内部工作效率的提高,所以网络环境下会计信息系统具有及时性和时效性等特点。
二、网络环境下中小企业会计信息系统存在的安全问题
(一)财务资料保管不严密,易丢失
财务资料反应的是整个企业内部资金状况和经营现象,关乎企业的发展,是企业最核心的资料,所以财务资料具有保密性的要求。但是目前仍然存在较多的丢失资料和泄露数据的现象,一般来说主要是会计管理人员的工作责任。一方面,针对资料丢失现象,基本是因为会计人员操作错误,误删或者没有存储造成资料丢失;另一方面,如有数据泄露,有可能是由于网络安全性设置不完善或者内部人员外泄两个方面,即使设置了安全密保,也有可能被专业人员破解,所以对于起到保密性的软件开发对企业的信息安全管理更为重要。
(二)会计信息系统存在漏洞,易遭黑客攻击
现代互联网环境中,黑客攻击现象越来越严重,尤其对于企业内部数据的侵袭和盗取造成极大的危害。究其根源,会计信息如果遭到网络黑客的攻击,一般是由于系统内部存在一定的漏洞,让黑客钻了空子,而且目前黑客使用的技术和软件都比较先进,针对系统存在的漏洞容易发起攻击,并能够瞬间盗走数据,同时也可以通过病毒或者木马进行数据破坏,导致整个会计信息系统的安全指数降低,为企业引入了新的风险。
(三)存在会计信息失真问题
会计信息失真是指所获得的会计信息和数据不能真实的反应相关的经济活动,从而对企业的决策造成干扰。一般会计信息失真现象来源于两个方面,一方面是来源渠道出现问题,造成会计人员无意采用了不真实的数据,大部分原因是因为现代网络数据确实有不实的现象,会计人员专业水平不够,会难以分辨数据的真伪;另一方面是由于会计工作人员素质低下,收到外部环境的诱惑或者收买,有意伪造信息,从事了扭曲真实信息的非正常经济活动。会计信息失真现象最根本的原因在于企业内部管理的缺失,才会引起大量数据不真实和员工的违规行为,企业必须引起重视,有效的控制企业会计信息失真现象。
(四)网络会计人员缺乏,系统应用不深入
现代中小型企业员工的知识和技能水平较低,尤其是计算机水平,大多数人都达不到要求。目前网络会计专业人员较少,一部分表现为计算机知识和使用技能缺乏,对软件和系统的应用不熟练和不专业,造成网络会计系统存在较大的安全性问题。现代网络环境十分复杂,功能也较多,常常会有恶意程序进入电脑,因为会计人员安全意识薄弱,而且专业度不够,很难发展潜在的危险,盲目的进行操作和处理,无疑会对信息系统造成巨大的破坏。即使是经验丰富的会计人员,不能合理和科学的操控计算机也无法胜任网络会计一职,否则出现操作不严密和不规范的现象,会严重损坏系统的正常运作,甚至造成大量数据遗失,这会给企业带来更多的安全隐患。
三、网络环境下中小企业会计信息系统问题存在的原因
(一)会计人员操作不规范
现代网络会计信息系统的建立是为了更好的适应信息化时代的要求,但是对于计算机使用水平要求较高,会计人员常常会因为操作不规范影响系统的正常运行。会计操作不规范一方面是指对电脑软件使用不熟悉甚至是不了解,数据收集以及分析处理都不能有效的使用软件进行,很难发挥财务软件的多方面功能和作用,尤其进行不懂装懂的错误操作,使软件完全失去了功能,也失去了效应;另一方是指面对问题处理操作使用的不规范也是造成安全隐患的重要原因。每个系统都会阶段性的出现问题,如果不能及时有效的处理就会对系统造成更严重的损害,还需要花费大量的时间进行修复。而会计人员如果在面对故障时不但不会因为不了解而放弃处理,反而进行了不合理的操作,将会造成无法弥补的损失,对企业整体的内部财务环境具有严重的破坏性。
(二)网络安全控制制度不健全
许多企业都是因为管理制度缺失造成大量的安全危机。会计信息系统存在安全隐患的额一部分原因是由于网络安全控制制度不健全。对于安全性能、操作规范程度、策略方法等都尚未建立一整套安全控制制度,同时对于网络安全的监督体制也不完善,对于某些小型企业甚至没有相关制度。管理人员因为没有意识到管理体制,尤其是安全管理体制的重要性,那么出现安全问题也很难及时高效的处理。国家需要有法可依,那么企业需要有制度作为依据才能有序的经营,安全是所有企业最重视的最核心的问题。尤其面对网络环境,安全性是第一位,所以会计信息系统的安全制度如果不健全,必会对企业信息安全造成一定影响和破坏,阻碍企业经济的发展和进步。
(三)网络系统本身的权限开放
会计信息系统并非独立的系统,集成化信息模式使系统不在单独针对会计或者财务部门开放,整个企业的物流、资金流、顾客订单等都将在互联网平台共享,而会计信息的安全性能只属于企业安全管理的一部分。会计信息的管理权限如果没有得到有效的控制,那么必然会造成信息或者数据被无意或者有意的泄露。如果是过于复杂的权限设置,由于约束条件比较多,例如用户的身份、不同时间等,限制相关人员数据收集和信息处理,而且还存在大量临时设立的权限,存在更多的不安全成分。因此权限的设置和控制会对网络会计信息系统的安全性造成一定的影响。
(四)会计人员职业道德和信息化水平低
网络会计信息系统主要依靠会计来进行管理和控制,主动权基本掌握在会计工作人员的手上,所以会计人员的职业道德和信息化水平影响着网络信息安全。大量的数据丢失和泄露有60%的原因是由于会计人员的职业道德低下,禁不住诱惑会出现一些虚假记账或者泄露信息等行为,而且企业关注会计人员管理的制度如果不完善,缺乏惩罚制度,更加使会计工作人员不会坚持原则和严格遵守职业道德,这样会计人员会不断出现造假泄密的问题,导致企业财务受损。然而,会计人员的信息水平低也是造成信息系统存在安全隐患的原因,错误的操作会使数据误删等现象出现,所以,对于网络会计信息系统的安全性受会计人员的控制,也取决于会计人员的道德素质和信息化技能水平。
四、网络环境下中小企业会计信息系统问题的解决对策
(一)规范操作步骤,明确工作流程
对于网络会计信息系统的安全管理,中小企业应该规范操作步骤,明确工作流程。对于规范操作步骤方面,主要针对的是会计人员对系统的操作,对于数据的收集、处理、分析、整合等各个过程都需要制定操作步骤,确保每个人严格执行,避免错误性操作带来的危害,同时对相关会计人员进行定期培训,对于所制定的操作步骤存在的问题进行完善。针对工作流程,企业应该建立一整套基本流程,明确各人员的责任分工,确保每一项任务都有具体人员负责,然后要求大家对整体工作流程有所了解,在完成自己负责的任务的基础上协助他人,将整个会计信息系统进行规范化和程序化管理。
(二)建立健全网络安全控制制度
网络会计信息系统应该建立以及不断完善网络安全控制制度。第一,建立网络风险控制制度,对于会计信息系统可能发生的风险进行预警和控制,做出处理预案,针对不同的风险进行分类以及提出不同处理方法,根据建立的风险管理体制应对不同种类的风险;第二,建立会计人员管理体制,信息系统的安全大部分取决于会计人员的素质和技术水平,企业应该建立有效的员工管理体制,对其保密性和负责的态度都需要不断加强,根据体制进行对员工工作的规范化管理以及奖惩手段实施;第三,建立信息应用管理制度,主要是针对信息的输入,处理以及输出的控制,方便会计人员进行分析、检测和预防等;第四,建立网络信息访问权限控制,对于比较隐秘性和重要性的信息和数据的访问应该设置访问权限,确保是专业人员进行高技术设置,尽量避免被黑客盗取和破坏,同时对于内部公开性信息可以建立简单的员工内部访问权限,主要是为了提醒大家这属于企业内部可公开的资源,如果有外泄现象仍然会严重处理。
(三)加强会计信息系统硬件管理和软件升级
针对会计信息系统的软硬件都需要强化和进一步管理。硬件方面应该负责专门会计人员进行监督管理,未经授权的其他人不能直接使用计算机,使用独立的服务器,拒绝其他存储设备外接到计算机设备上造成干扰,在电源、防火、防水等方面严格把关,必须要求有专门人员进行机房的管理;针对软件方面,应该适应现代信息技术水平,勇于开发新的功能技术软件,同时对原有软件针对其漏洞不断升级,保证最先进的软件技术。
(四)提升会计人员职业道德素质和信息化技能
会计人员的职业道德素质与信息化技能是影响网络会计信息系统安全的重要因素。企业针对会计人员道德素质方面,需要对会计人员进行日常行为的角度和评价,对员工心理变化及时发现,同时应该建立合理的激励机制,对于突出表现的员工给予物质或者精神奖励,反过来对于泄密造假等行为必须给予惩罚,实行制度的同时确保公平公开性原则,这样员工整体的职业道德素质会被有效的控制;对于员工的信息化水平的提高,应该为员工创造多次培训学习以及深造的机会,充分掌握市场上最流行先进的技术手段,保证员工信息化水平与市场同步,这样网络会计信息系统的安全运行才会有所保障。
(五)持续评估控制会计信息风险
企业面对会计信息风险,应该保证持续评估和控制。每次对于数据的处理和信息的反馈都包含多方面内容的整合,会计人员应该学会整个过程的评估和控制,可以首先建立科学评估指标,依据指标进行对现有信息系统进行评估,预测潜在的风险,然后采用针对性的战略措施进行有效的控制。对于风险的评估不能间断,需要专业人员实时检测和监督,及时发现问题和故障,针对预测的风险做出预案,这样才会有效的规避风险,促进企业信息管理正常运作和持续的发展。
结语
目前网络会计信息系统应用较为广泛,现代企业随着市场的变化和要求不断地提高,逐渐加强了企业内部环境的技术水平。网络会计信息系统是一个比较复杂的现代系统,在数据的输入与输出过程中存在较多的安全隐患,一部分来源于会计人员的自身问题,一部分来源于网络本身的不安全性,这都会对系统有一定的破坏性,从而对企业的财务信息管理造成危害。所以企业管理层已经引起了注意,开始关注针对系统的风险和安全管理与控制问题,现有的理论基础和体制尚不完善,从会计人员来看仍然存在道德素质低下与技术水平不合格的现象,从网络技术来看还存在一定的漏洞和不足,需要进一步的改进和加强。本文的研究主要针对网络会计信息系统现存的问题进行针对性的提出建议,为现代中小企业提供了参考依据,也为企业的管理发展奠定了现实基础。
[参 考 文 献]
[1]王艳.网络环境下会计信息系统的内部控制[J].财务与会计,2015(3):57-59
企业信息安全的问题范文4
【关键词】信息化建设 信息安全 对策分析
在科技飞速发展的大环境下,信息化已经成为当今时代的发展趋势,企业信息化建设已经成为企业发展的必经之路,企业通过对信息化建设过程中的信息安全的探索,保证企业信息化建设过程中的信息安全与系统稳定,从而使企业在竞争中处于不败之地,让企业在工业化与信息化深度融合下,快速发展,与时俱进。
1 当前企业信息化建设中的信息安全问题
1.1 信息安全管理问题
目前企业的信息安全管理上存在的问题,首先,信息管理人员缺乏或者人员经验不足:计算机信息安全很大程度上取决于管理人才,调查显示,我国七成IT企业信息安全系统保障不足,主要原因是管理人员没有及时更新系统补丁程序、没有及时维护系统。企业信息安全是上不断完善的动态过程,需要不断对现有系统进行安全检查、评估,及时发现新的问题,跟踪最新安全技术,及时调整安全策略,增强企业信息安全性。其次,在企业的信息化建设中信息安全管理系统不完善,信息安全管理系统,如果没有一个很好的保障体系,会使得信息的管理错乱,无秩序,重复管理、漏管等现象发生,使得信息系统出现漏洞,安全性降低。最后,安全以人为本,如果管理不善,人为原因,造成的操作失误,误用或滥用关键、敏感数据或资源等导致信息丢失泄露,外部人员和硬件的商家等对于企业的系统有一定的了解,有权限合法访问,这也会造成信息的安全问题。
1.2 信息化建设中的硬件问题
近年来,由于信息化发展较快,企业信息化建设的成本也在不断提高,由于信息化建设投资大、回报慢,一些企业虽然有信息化建设的意愿,但是在实际投入上比较小,这就使得企业信息化建设过程中,企业的硬件设施跟不上时代的不发,导致企业信息化建设止步不前,计算机硬件设施的老化,对企业信息化建设过程中的安全问题存在这一定的隐患,而且,计算机的硬件决定着信息化建设的稳定性。另外在链路传输、网络设备(路由器、交换机、防火墙、通讯线路故障)等以及物量的一些不可抗力造成的地震、水灾、火灾等环境事故使系统毁灰。
1.3 信息化建设中的软件问题
(1)国内的软件水平与世界先进水平还存在较大的差距,更容易受到黑客和病毒的攻击。这样就会造成使用这些软件的企业信息化建设中存在信息安全问题。
(2)配置中存在的问题,很多的系统和应用软件在初装后会使用默认的用户名和口令以及开放的端口,而这些都容易造成信息的泄露。
(3)Web服务中的安全问题,www体系的主要特点是开放、共享、交互,这使得信息安全问题增加,安全漏洞多样,如果服务器的保密信息被窃取,信息系统就会受到攻击,获取Web主机信息,使机器暂时不能使用,使机器暂时不能使用,服务器和客户端之间的信息被监听等。
(4)路由器信息的不安全行为,路由器简单的密码或共享密码、安全功能没有设置会导致信息的泄露。
2 企业信息化建设中信息安全的对策
信息安全是企业信息化建设中的重要问题,只有保证信息的安全才能使企业在信息化建设中走得更远。企业在信息化建设进行信息安全的建设,主要可以从强化信息安全观念、加强硬件建设安全防护、提升软件建设安全措施三个方面进行。
2.1 强化信息安全观念
在企业信息化建设中,一旦企业信息被盗取或丢失,对企业肯定会造成损失甚至是致命的打击。要从企业的基层员工到管理者都要正确认识信息安全的重要性,强化信息安全的观念,提高信息安全意识,从思想上认识提高信息安全的必要性。
2.2 加强硬件建设安全防护
加强企业信息化建设过程中的硬件建设安全,首先要保证计算机的安全。企业的信息化建设离不开计算机,要保证计算机的安全就要对计算机进行定期的维护与保养,避免计算机在运行过程中出现突发性故障而导致企业信息的丢失。
另外,企业的信息化建设中,要加强网络硬件的建设。目前,市场上应用比较广泛的企业网络协议就是TCP/IP协议,硬件组成有服务器、通信设备、网络安全设备,主要应用技术是网络交换、网络管理、WEB数据库技术、防火墙等技术,同时还有支持网络运行的支撑系统,整个硬件建设安全、稳定、可靠。
2.3 提升软件建设安全措施
要解决企业信息化建设过程中的信息安全问题还需要加强企业信息系统的软件安全防御措施,要采用高性能的安全软件对系统进行防护,使用防护软件要使其发挥其价值所在,不要因小失大。目前,大多数企业的软件防护措施不到位,主要原因就在于软件防护措施不到位,例如企业在公共区域设置无密码的无线路由器,等于是向所有人公开企业的信息,安全无法保证。因此,企业在信息化建设过程中有必要采取高性能的安全防护软件来保证信息的安全。
3 小结
企业在信息化建O过程中的信息安全问题,有着很广泛的内容,企业信息化建设中信息安全的监控、维护等涉及的面比较广。在信息安全问题上主要应该以防护为主,从良好的管理开始,将信息安全风险扼杀在摇篮中,形成安全保障体系。信息时代,企业的信息化建设是企业发展和提高竞争力的基础,我国的企业信息系统长期处于不安全状态,没有足够认识到企业信息安全的重要性,希望通过本文的探索和论述,能够引起企业的关注,加强信息安全的防护。
参考文献
[1]艾戬.企业信息化建设中的信息安全探究[J].网络安全技术与应用,2015(03).
[2]辛玉红.企业信息化建设中的信息安全问题[J].现代情报,2004(11).
[3]马良.企业信息化建设中的信息安全问题[J].才智,2014(01).
[4]张耀辉.关于企业信息化建设中的信息安全探讨[J].电子技术与软件工程,2013(14).
[5]刘生堂.试论企业信息化建设中的信息安全问题[J].中国新通信,2015(22).
企业信息安全的问题范文5
关键词:企业信息安全;信息安全技术;内部管理;信息技术;企业管理 文献标识码:A
中图分类号:F270 文章编号:1009-2374(2015)03-0162-02 DOI:10.13535/ki.11-4406/n.2015.0270
信息技术的应用为企业管理和运营带来了极大的便利,而且随着信息技术在企业中的应用程度越来越高,信息系统在企业管理中发挥的作用也越来越大。但是,企业在享受信息技术带来便利的同时,企业也面临着信息安全的问题。在网络环境下,企业信息系统存在来自物理环境、网络环境和人文环境等多个方面对信息安全产生的威胁。根据有关统计,我国半数以上的企业遭受信息攻击而出现信息泄漏,给企业带来经济损失。尤其是中小企业,它们面临的信息安全问题更加严重。因此,加强企业信息安全管理、保障信息安全,是企业必须重视且亟需解决的问题。
1 加强信息安全管理对企业的重要性
1.1 维持企业核心竞争力的需求
每个企业或多或少都存在机密的商业信息数据,如核心产品、设计文档、用户信用卡信息、订单信息、联系方式等。在市场化程度不断提高的环境下,这些信息是企业发展的命脉,关系到企业生死存亡。一旦企业的核心机密信息被泄漏,企业不仅会面临巨大的经济损失,企业可能因失去核心竞争力而失去市场。
1.2 企业制定科学决策的需求
企业制定决策严重依赖企业的各项数据,如果数据出现错误,会导致企业制定错误的决策,影响企业发展方向。而加强信息安全管理可以保障企业信息数据的真实性和完整性,为企业制定决策提供科学的参考和分析材料。
1.3 保证信息可用性的需要
企业的数据信息不仅是企业决策层制定决策的科学依据,也是企业其他职工开展工作的依据。加强企业信息安全管理工作可以防止因数据丢失引起的人员、流程、
技术服务中断,确保企业的关键系统得以正常运行。
2 企业信息安全出现问题的原因分析
2.1 重视程度和认识不足
当前许多企业的管理人员对信息管理没有形成正确的认识,对信息安全的认识普遍不够重视。具体表现在:企业管理人员关于信息安全管理的模式为事后管理,只有信息安全出现事故后才会采取措施解决问题,并没有主动采取预防措施。部分企业的管理人员对信息安全存在侥幸心理,认为企业可能不会遭受病毒攻击。重视程度不够造成企业不重视加强信息安全管理措施,导致信息安全面临威胁。
另外,企业员工也存在认识不足的问题。由于企业绝大多数员工是信息系统及信息的使用者和提供者,因而企业员工对企业信息安全与否有巨大的影响,企业信息安全管理也需要企业所有员工的参与。但是,从许多企业的信息安全事故可以看到,多数企业出现信息安全的主要原因不是来自网络黑客的恶意攻击,而在于企业内部员工在有意或无意识状态下造成的信息泄漏。这一原因也反映出企业员工对企业信息安全的认识和意识都存在不足,这也是企业信息安全保障系统问题的主要
方面。
2.2 缺少有效的信息管理制度
信息管理属于比较新的领域,当前政府在信息安全管理方面的法律法规并不完善,现有法律法规的安全技术和手段不成熟,缺少标准规范,政府无法根据现有法律法规制定合理的安全策略,保障法律法规可以得到有效的落实。在企业方面,尤其信息安全管理属于系统性统称,它涉及计算机技术、网络技术、信息管理等多个方面。然而计算机和网络技术处于不断发展状态,信息系统也需要不断升级换代。因此,企业信息系统运行风险和安全需求应采取同期化管理方式,不断调整现有安全策略。而企业制定管理措施后以为可以一劳永逸,并没有在随后不断调整安全管理策略。
2.3 缺少信息安全技术
计算机信息技术包括信息安全技术、数据恢复技术、系统维护技术、数据库应用技术等多项技术组成的计算机综合应用学科。由于技术发展的局限,在设计硬件和软件过程中难免存在技术缺陷,导致软硬件存在漏洞。从企业信息遭受的外界攻击来看,外界攻击的目的并不在于破坏软硬件的底层系统,而是通过软硬件的漏洞侵入系统,窃取企业的核心数据。企业自身对信息安全投入不足,企业的网络结构简单,为他人提供了可乘之机;企业也没有强大的计算人才队伍维护企业信息系统,部分企业甚至缺少专业的管理人员,致使信息安全频发。
3 加强企业信息安全的对策
3.1 提高企业领导和员工的重视程度
首先,企业领导要转变观念,深入对信息安全的认识。其次,对企业员工而言,企业可以聘请专业计算机信息技术人才对企业员工进行安全教育培训,提高企业员工对信息安全的认识,转变职工的观念,加强自身安全规范,避免出现泄漏企业信息的行为。另外,企业要制定企业人员信息安全行为规范,如奖励和惩罚制度、信息安全责任制度,明确信息安全管理责任人及其承担的责任,强化员工的安全意识。加大企业对信息安全的投入,一方面加大信息安全软硬件的投入,信息系统的技术水平;另一方面加大信息安全技术人才队伍建设,企业可通过培养或招聘方式提升信息安全管理队伍的业务水平。
3.2 建立完善的信息安全管理体系
企业信息安全管理体系包括完善的组织体系、信息安全规范、信息安全管理流程。组织体系包括制定和信息安全管理规范、信息安全管理组织工作两项内容,可以有效保障各项信息安全管理措施能够得到有效的落实,促进企业不断改进信息安全体系。信息安全规范的主要内容为对各种信息安全策略加以详细说明和介绍,它的存在最大限度地减少人为因素对企业信息安全造成的威胁。企业信息安全管理流程需要企业根据科学的信息资产评估和分先分析模型法设计系统安全模型,再以此为根据制定和实施科学的安全策略。企业选择可靠的信息安全产品,在安全策略要求下采取安全防范措施。由于技术和设备处于不断的变化和更新状态,企业的发展情况也不同,这要求企业建立安全防范体系后还需要重视信息安全管理,并根据网络信息和网络安全特点及时更新安全防范体系,实现安全防范体系动态
发展。
3.3 提高企业信息安全技术
制定完善的信息安全管理体系后,还需依靠高水平信息技术发挥管理体系的作用。由于当前对企业信息安全产生威胁的技术较多,防止信息安全漏洞的技术也较多。但是,企业必须做好验证与授权、预防和抵制、检测和响应三个技术领域,再选择有效的安全防御技术。验证与授权分别是验证用户身份和决定用户访问权的方法,当系统确定用户身份后可以明确用户的访问权限,用户才能使用自己的账号和密码访问权限范围内的信息。预防和抵抗是通过过滤、加密和防火墙等措施防止非法入侵系统并访问企业信息,它是企业必须加强的安全防御环节。监测和相应是企业信息安全的最后防线,杀毒软件是常用的探测和反应技术。
4 结语
总而言之,企业信息安全必须立足于企业信息安全内部管理和信息安全技术两个方面,二者缺一不可。企业要以信息安全技术为支撑,完善内部管理体系和制度建设,加强监督和管理。同时做好企业职工的信息安全教育,提高职工的意识。从企业领导到企业职工、从技术到管理,全方面做好信息安全管理,保障信息安全。
参考文献
[1] 耿家观.企业信息安全问题与对策分析[J].网络与信息,2012,(7).
[2] 李国强.网络环境下企业信息安全隐患与防范策略
[J].网络财富,2010,(15).
[3] 杨福生.网络环境下企业信息安全管理对策[J].中外企业家,2013,(20).
企业信息安全的问题范文6
1.1电子信息的加密技术所谓电子信息的加密技术也就是对于所传送的电子信息能够起到一定的保密作用,也能够使信息、数据的传递变得更加安全和完整。电子信息的加密技术是保障电子科技企业信息安全的重要保证。加密技术也主要分为对称以及非对称两类,对称的加密技术一般都是通过序列密码或是分组机密的方式来实现的。这其中还包括了明文、密钥、加密算法以及解密算法五个基本的组成部分。而非对称加密与对称加密也存在一定的差异,非对称加密必须要具备公开密钥和私有密钥两个密钥,同时,这两种密钥只有配对使用,这样才能解密。因此加密技术对于电子信息的安全具有很大的保障。如果在发送电子信息的时候,发送人是使用加密技术来发送邮件的,那么有人窃取信息的时候,也只能够得到密文,不能得到具体的信息。这样就大大加强了信息传送的安全性。加快推进国内关键行业领域信息系统的安全评估测试。在安全评估方面,主要针对主机安全保密检查与信息监管,采取文件内容检索、恶意代码检查、数据恢复技术、网络漏洞扫描、互联网网站检测、语意分析等技术,评估分析重要信息是否发生泄漏,并找出泄漏的原因和渠道。
1.2防火墙技术随着网络技术的不断发展,虽然对于信息安全问题已经不断的得到加强,但是一些信息的不安全因素也在逐级的提高。有一些黑客或者是病毒木马也在不断的入侵,而这些不安全的因素会极大的威胁到电子科技企业信息的安全。而针对这种情况,一种比较有效的防护措施就是防火墙技术的使用。这种技术可以有效的防止黑客的入侵以及电脑中的信息被篡改等情况的发生。这样就能够有效的保障电子科技企业信息的安全。加强企业信息基础设施和重要信息系统建设,建设面向企业的信息安全专业服务平台。重点开展等级保护设计咨询、风险评估、安全咨询、安全测评、快速预警响应、第三方资源共享的容灾备份、标准验证等服务;建设企业信息安全数据库,为广大企业提供快速、高效的信息安全咨询、预警、应急处理等服务,实现企业信息安全公共资源的共享共用,提高信息安全保障能力。
2解决电子科技企业信息安全问题的方法
2.1构建电子科技企业信息安全的管理体系如果要想有效的保障电子科技企业的信息安全,除了要不断的提高安全技术水平,还要建立起一套比较完善的信息安全管理体系。这样才能使整个信息安全工作更加有条不紊的进行。在很多电子科技企业当中,最初所建立的相关信息制度在很大程度上都制约着信息系统的安全性。如果一旦安全管理制度出现了问题,那么一系列的安全技术都无法发挥出来。很多信息安全工作也无法正常进行下去。因此,严格的信息安全管理体系对于信息安全的保障具有十分重要的作用。只有当信息安全管理形成了一个完善的体系,那么信息安全工作才能够更加顺利的进行,同时也能够大大的提升信息安全的系数。
2.2利用电子科技企业自身的网络条件来提供信息安全服务一般来说,电子科技企业都拥有自己的局域网,很多企业也可以通过局域网来相互连通。因此,电子科技企业应该充分的利用这一特点为自身的企业提供良好地信息安全服务。通过局域网的连通,不仅能够在这个平台上及时的公布一些安全公告以及安全法规,同时还可以进行一些安全软件的下载,为员工提供一些关于信息安全的培训。这样不仅能够为企业之间的员工提供一个安全的互相交流的平台,同时还能够很好的保障企业信息安全。针对企业主机安全保密检查与信息监管,采取文件内容检索、恶意代码检查、数据恢复技术、网络漏洞扫描、互联网网站检测、语意分析等技术,评估分析重要信息是否发生泄漏,并找出泄漏的原因和渠道。
