序論:在您撰寫金融企業(yè)信息安全時(shí)��,參考他人的優(yōu)秀作品可以開闊視野��,小編為您整理的7篇范文�,希望這些建議能夠激發(fā)您的創(chuàng)作熱情,引導(dǎo)您走向新的創(chuàng)作高度。
第1篇
關(guān)鍵詞:金融行業(yè) 計(jì)算機(jī) 信息安全 保障體系
隨著社會(huì)的不斷進(jìn)步和發(fā)展�����,信息系統(tǒng)改變?nèi)藗兊纳罘绞?��,推?dòng)了整個(gè)社會(huì)的發(fā)展����,金融行業(yè)也不例外�����。信息化雖然給人們帶來(lái)了極大的便利�����,然而計(jì)算機(jī)信息技術(shù)的發(fā)展也存在潛在的信息安全問(wèn)題�����。在這一背景下�,計(jì)算機(jī)網(wǎng)絡(luò)的開放性與金融信息的私密性又具有直接的矛盾,金融行業(yè)信息安全形勢(shì)也不容樂觀�,加強(qiáng)金融行業(yè)計(jì)算機(jī)信息保護(hù)��,構(gòu)建更加安全可靠的金融信息安全保障體系顯得尤為重要�。
一�����、金融行業(yè)計(jì)算機(jī)信息存在的風(fēng)險(xiǎn)
(一)計(jì)算機(jī)數(shù)據(jù)被攻擊竊取
計(jì)算機(jī)病毒和木馬依然是目前金融行業(yè)信息風(fēng)險(xiǎn)的主要因素�。計(jì)算機(jī)病毒和木馬在計(jì)算機(jī)程序中潛伏,被激活后會(huì)對(duì)其他程序進(jìn)行感染和破壞���,輕者造成數(shù)據(jù)毀壞�����、丟失���,嚴(yán)重者甚至可能使整個(gè)信息系統(tǒng)癱瘓,是破壞計(jì)算機(jī)數(shù)據(jù)的一個(gè)主要因素����,也是計(jì)算機(jī)面臨的一個(gè)主要安全問(wèn)題。一旦金融計(jì)算機(jī)數(shù)據(jù)傳輸系統(tǒng)被破壞����,就可能會(huì)導(dǎo)致數(shù)據(jù)被竊或者客戶資料泄露�����,甚至導(dǎo)致客戶資金或證券交易價(jià)值損失。
(二)系統(tǒng)設(shè)計(jì)維護(hù)的缺陷
金融行業(yè)的各項(xiàng)信息系統(tǒng)設(shè)計(jì)不可能做到完美無(wú)缺����,任何一個(gè)系統(tǒng)都具有固有的缺陷,這就為不法分子留下攻擊的漏洞�,并且無(wú)效的安全管理也是造成安全隱患的重要因素,將直接影響客戶和銀行的資金安全��。通常情況下��,金融計(jì)算機(jī)系統(tǒng)都有管理人員對(duì)其進(jìn)行監(jiān)視���,若發(fā)現(xiàn)漏洞則應(yīng)對(duì)其危險(xiǎn)程度進(jìn)行分析����,并應(yīng)積極采取相應(yīng)措施進(jìn)行補(bǔ)救��。然而即使是維護(hù)過(guò)的系統(tǒng)���,在軟件更新或者升級(jí)后又可能會(huì)產(chǎn)生新的漏洞����,依然會(huì)危及金融系統(tǒng)的安全。
二����、金融行業(yè)計(jì)算機(jī)信息安全保障體系的構(gòu)建
為了確保金融行業(yè)計(jì)算機(jī)信息安全體系的有效運(yùn)行,就必須要構(gòu)建一個(gè)安全�����、有效的信息安全體系對(duì)其進(jìn)行保護(hù)���,從而在計(jì)算機(jī)技術(shù)內(nèi)部形成有效的防火墻����,并加強(qiáng)系統(tǒng)的維護(hù)和管理����,以預(yù)防和阻止由于非法入侵、攻擊����、盜用等造成的信息遺失安全問(wèn)題。
(一)推進(jìn)金融科技標(biāo)準(zhǔn)化體系
近幾年�����,標(biāo)準(zhǔn)化體系建設(shè)已經(jīng)成為人民銀行科技主管部門的一項(xiàng)重要工作,為金融行業(yè)信息技術(shù)發(fā)展的做出了行業(yè)規(guī)范���。在實(shí)際發(fā)展中,金融行業(yè)在計(jì)算機(jī)信息管理�,專業(yè)研發(fā)、維護(hù)和管理部門和人才等方面做了大量的工作��。金融機(jī)構(gòu)既建立計(jì)算機(jī)信息系統(tǒng)規(guī)劃��、開發(fā)����、建設(shè)、維護(hù)等相關(guān)技術(shù)部門����,也設(shè)立風(fēng)險(xiǎn)管理部門和安全管理部門。為了更好地推進(jìn)金融科技標(biāo)準(zhǔn)化工作�����,各金融行業(yè)風(fēng)險(xiǎn)管理部門要加強(qiáng)對(duì)安全風(fēng)險(xiǎn)進(jìn)行監(jiān)視��,從組織監(jiān)督檢查的角度,由金融系統(tǒng)內(nèi)部審計(jì)部門�����,對(duì)其業(yè)務(wù)流程及系統(tǒng)運(yùn)作情況進(jìn)行安全監(jiān)督檢查�����,及時(shí)將監(jiān)視結(jié)果提供給其他相關(guān)部門��;安全管理部門要加強(qiáng)對(duì)管理制度�、法規(guī)、安全細(xì)則等進(jìn)行規(guī)定���,并通過(guò)監(jiān)督����、指導(dǎo)��、管理等使制度得到落實(shí)���,從信息安全管理層面使金融信息安全體系的防范級(jí)別得到切實(shí)提高�。
(二)加強(qiáng)計(jì)算機(jī)信息數(shù)據(jù)的保護(hù)
金融行業(yè)服務(wù)業(yè)已進(jìn)入大數(shù)據(jù)時(shí)代,要求數(shù)據(jù)存儲(chǔ)系統(tǒng)具有較高的可靠性��,只有完善的數(shù)據(jù)存儲(chǔ)才能更好的保障其訪問(wèn)和交易過(guò)程的順利進(jìn)行�。若系統(tǒng)出現(xiàn)故障,可能會(huì)出現(xiàn)業(yè)務(wù)中斷��、客戶流失�����,甚至資金鏈斷裂等等諸多問(wèn)題��,會(huì)很多大程度影響客戶體驗(yàn)和企業(yè)信譽(yù)度�。金融行業(yè)不僅要開發(fā)適合本機(jī)構(gòu)的金融產(chǎn)品和完整有效的信息系統(tǒng)���,更應(yīng)該加強(qiáng)備用數(shù)據(jù)中心的建設(shè)�,強(qiáng)化減災(zāi)容災(zāi)能力�。這樣,在數(shù)據(jù)中心無(wú)法繼續(xù)正常運(yùn)行時(shí)�����,可以通過(guò)使用備用數(shù)據(jù)中心通道來(lái)維持系統(tǒng)的正常工作�,從而更好的防范數(shù)據(jù)問(wèn)題引起的服務(wù)事故,為網(wǎng)絡(luò)信息安全保障體系建立強(qiáng)大的服務(wù)后盾。
(三)積極跟進(jìn)新型信息安全技術(shù)
計(jì)算機(jī)信息安全技術(shù)是維持信息安全體系的關(guān)鍵����,合理運(yùn)用安全機(jī)制,積極探索和采用新型信息安全技術(shù)��,可以保障系統(tǒng)的順利運(yùn)行和廣大人民的資金財(cái)產(chǎn)安全�����。一是要加強(qiáng)網(wǎng)絡(luò)訪問(wèn)者身份認(rèn)證���。金融行業(yè)要采用靜態(tài)密碼認(rèn)證���、動(dòng)態(tài)密碼認(rèn)證、指紋識(shí)別�、數(shù)字證書以及其它新型認(rèn)證方式,做好客戶身份認(rèn)證工作���,同時(shí)也要避免客戶相關(guān)隱私信息被盜用�����。二是加強(qiáng)網(wǎng)絡(luò)病毒木馬的實(shí)時(shí)監(jiān)測(cè)��。堅(jiān)持金融行業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全以防護(hù)為主的原則����,做好病毒防護(hù)系統(tǒng)升級(jí)工作,主動(dòng)強(qiáng)化對(duì)病毒木馬進(jìn)行實(shí)時(shí)監(jiān)測(cè)�,分析病毒木馬最新動(dòng)態(tài),制定合理的防護(hù)機(jī)制和預(yù)警機(jī)制����,從而更好的 對(duì)其進(jìn)行防范;三是加強(qiáng)計(jì)算機(jī)信息系統(tǒng)軟硬件管理�����、維護(hù)和升級(jí)工作�。計(jì)算機(jī)信息系統(tǒng)的正常運(yùn)行是以軟硬件設(shè)備為基礎(chǔ)的�����,其安全性設(shè)計(jì)和優(yōu)化配置對(duì)于保障系統(tǒng)信息安全都尤為重要��。在實(shí)際工作中既要積極解決信息系統(tǒng)安全設(shè)計(jì)�����、生產(chǎn)、測(cè)試��、運(yùn)營(yíng)���、維護(hù)等方面的問(wèn)題���,提高系統(tǒng)設(shè)備安全性,從而更好的保障計(jì)算機(jī)網(wǎng)絡(luò)安全策略的順利執(zhí)行��,也要做好系統(tǒng)的更新和升級(jí)工作����,要把用戶體驗(yàn)好,安全防護(hù)好各類新型金融信息產(chǎn)品投入運(yùn)行��。
三���、結(jié)束語(yǔ)
在信息化愈加普及的今天����,金融機(jī)構(gòu)更應(yīng)重視計(jì)算機(jī)信息安全系統(tǒng)的構(gòu)建�����,不僅要加強(qiáng)對(duì)信息資源的保護(hù),同時(shí)還要建立完善����、可靠的金融信息安全體系,以安全技術(shù)以及防護(hù)手段作為安全體系構(gòu)建的支撐�,確保信息體系的安全運(yùn)行和實(shí)施,保障監(jiān)視�、評(píng)審信息安全,從而切實(shí)保障客戶的個(gè)人信息安全���,最終才能不斷推動(dòng)推動(dòng)金融業(yè)的快速發(fā)展��。
參考文獻(xiàn):
[1]韋雪江.我國(guó)金融行業(yè)計(jì)算機(jī)信息安全形勢(shì)分析和研究[J].計(jì)算機(jī)光盤軟件與應(yīng)用��,2013
第2篇
【 關(guān)鍵詞 】 信息安全�����;安全治理;框架��;風(fēng)險(xiǎn)管理
1 引言
隨著企業(yè)的信息化建設(shè)�����,企業(yè)信息系統(tǒng)在縱、橫向的耦合程度日益加深���,系統(tǒng)間的聯(lián)系也日益緊密�����,因此企業(yè)的信息安全影響著企業(yè)信息系統(tǒng)的安全��、持續(xù)����、可靠和穩(wěn)定運(yùn)行�。此外,美國(guó)明尼蘇達(dá)大學(xué)Bush-Kugel的研究報(bào)告指出企業(yè)在沒有信息資料可用的情況下�����,金融業(yè)至多只能運(yùn)作2天�,商業(yè)則為3天,工業(yè)則為5天��。而從經(jīng)濟(jì)情況來(lái)看�����,25%的企業(yè)由于數(shù)據(jù)損毀可能隨即破產(chǎn),40%會(huì)在兩年內(nèi)破產(chǎn)��,而僅有7%不到的企業(yè)在5年后繼續(xù)存活�����。伴隨著監(jiān)管機(jī)構(gòu)對(duì)信息安全日趨嚴(yán)格的要求�,企業(yè)對(duì)信息安全的關(guān)注逐漸提高,并對(duì)信息安全投入的資源不斷增加�,從而使得信息安全越來(lái)越為公司高級(jí)管理層所關(guān)注。
2 信息安全問(wèn)題
目前企業(yè)信息安全問(wèn)題主要包括幾個(gè)方面��。
(1)信息質(zhì)量底下:無(wú)用信息�、有害信息或劣質(zhì)信息滲透到企業(yè)信息資源中, 對(duì)信息資源的收集��、開發(fā)和利用造成干擾���。
(2)信息泄漏:網(wǎng)絡(luò)信息泄漏和操作泄漏是目前企業(yè)普遍存在的信息安全困擾�����。網(wǎng)絡(luò)信息泄漏是信息在獲取、存儲(chǔ)�����、使用或傳播的時(shí)候被其他人非法取得的過(guò)程。而操作泄漏則是由于不正當(dāng)操作或者未經(jīng)授權(quán)的訪問(wèn)���、蓄意攻擊等行為����,從而使企業(yè)信息泄漏����。
(3)信息破壞:指內(nèi)部員工或者外部人員制造和傳播惡意程序, 破壞計(jì)算機(jī)內(nèi)所存儲(chǔ)的信息和程序���, 甚至破壞計(jì)算機(jī)硬件����。
(4)信息侵權(quán):指對(duì)信息產(chǎn)權(quán)的侵犯?�,F(xiàn)代信息技術(shù)的發(fā)展和應(yīng)用����, 導(dǎo)致了信息載體的變化、信息內(nèi)容的擴(kuò)展�、信息傳遞方式的增加����, 一方面實(shí)現(xiàn)了信息的全球共享��, 但同時(shí)也帶來(lái)了知識(shí)產(chǎn)權(quán)難以解決的糾紛���。
3 信息安全治理的困惑
基于信息安全的重要性��,企業(yè)在信息安全治理方面投入了諸多資源�����,但是在信息安全治理成效方面仍不盡如人意��,主要問(wèn)題在于幾個(gè)方面�。
(1)信息安全治理的范圍不明確:目前企業(yè)都在盡力實(shí)現(xiàn)良好的信息安全治理�����,但是由于無(wú)法正確理解信息安全治理和信息安全管理的區(qū)別����,導(dǎo)致了信息安全治理無(wú)法與企業(yè)的安全規(guī)劃和企業(yè)戰(zhàn)略形成一致性。表1從工作內(nèi)容、執(zhí)行主體和技術(shù)深度三個(gè)層面分析了兩者的區(qū)別��。
從表1中可以明確:信息安全治理是為組織機(jī)構(gòu)的信息安全定義一個(gè)戰(zhàn)略性的框架���,指明了具體安全管理工作的目標(biāo)和權(quán)責(zé)范圍,使信息系統(tǒng)安全專業(yè)人員能夠準(zhǔn)確地按照企業(yè)高層管理人員的要求開展工作�����。
(2)企業(yè)信息安全治理路徑的錯(cuò)誤理解:企業(yè)在信息安全治理的過(guò)程中��,最常用的手法是采用信息安全的技術(shù)措施���,如使用加密和防偽技術(shù)��、認(rèn)證技術(shù)�����、防病毒技術(shù)�����、防火墻技術(shù)等方式來(lái)進(jìn)行�����,但是往往企業(yè)投入很多�����,卻沒有達(dá)到預(yù)想的效果�,問(wèn)題在于,信息安全治理并不單單是技術(shù)問(wèn)題��,信息安全治理也包含了安全戰(zhàn)略��、風(fēng)險(xiǎn)管理�、績(jī)效評(píng)估、層級(jí)報(bào)告以及職責(zé)明確等方面����。
4 信息安全治理關(guān)注的領(lǐng)域
(1)戰(zhàn)略一致性:信息安全治理需與企業(yè)的發(fā)展戰(zhàn)略和業(yè)務(wù)戰(zhàn)略相一致,建立相互協(xié)作的解決方案��。
(2)價(jià)值交付:衡量信息安全治理價(jià)值交付的基準(zhǔn)是信息安全戰(zhàn)略能否按時(shí)�、按質(zhì)并在預(yù)算內(nèi)實(shí)現(xiàn)預(yù)期的價(jià)值目標(biāo)。因此需要設(shè)計(jì)明確的價(jià)值目標(biāo)�����,對(duì)信息安全治理的交付價(jià)值進(jìn)行評(píng)估。
(3)資源管理:實(shí)現(xiàn)對(duì)支持信息運(yùn)行的關(guān)鍵資源進(jìn)行最優(yōu)化投資和最佳管理���。
(4)風(fēng)險(xiǎn)管理:企業(yè)管理層應(yīng)具備足夠的風(fēng)險(xiǎn)意識(shí)���,明確企業(yè)風(fēng)險(xiǎn)容忍度,制定風(fēng)險(xiǎn)管理策略�����,將風(fēng)險(xiǎn)管理融入到企業(yè)的日常運(yùn)營(yíng)中����。
(5)績(jī)效度量:利用科學(xué)的管理方法��,將信息安全治理轉(zhuǎn)換為可評(píng)價(jià)的目標(biāo)的行動(dòng)���,便于對(duì)信息安全各項(xiàng)工作的績(jī)效進(jìn)行有效管理�。
5 信息安全治理框架
通過(guò)良好的信息安全治理��, 可以保護(hù)企業(yè)的信息資產(chǎn)��,避免遭受各種威脅����,降低對(duì)企業(yè)之傷害����,確保企業(yè)的永續(xù)經(jīng)營(yíng)�,以及提升企業(yè)投資回報(bào)率及競(jìng)爭(zhēng)優(yōu)勢(shì)。
通過(guò)長(zhǎng)期的實(shí)踐經(jīng)驗(yàn)以及結(jié)合COBIT標(biāo)準(zhǔn)和GB/T 22080-2008��,總結(jié)出信息安全治理的框架主要由四部分組成�����,如圖1所示��。
(1)信息安全戰(zhàn)略:結(jié)合企業(yè)的整體信息技術(shù)戰(zhàn)略規(guī)劃和信息安全治理現(xiàn)狀�,制定信息安全戰(zhàn)略。
(2)信息安全組織架構(gòu):根據(jù)企業(yè)層面在決策�����、管理和執(zhí)行機(jī)制對(duì)組織結(jié)構(gòu)的要求��,建立信息安全治理框架和決策溝通機(jī)制�,明確公司各級(jí)管理層及相關(guān)部門在信息安全組織架構(gòu)中的工作職責(zé)與角色定位。
(3)信息安全職責(zé):根據(jù)公司信息安全組織架構(gòu)�����,進(jìn)一步明確信息安全相關(guān)崗位的工作職責(zé)、分工界面和匯報(bào)路徑等����。
(4)信息安全管理制度:信息安全管理制度通過(guò)建立一個(gè)層次化的制度體系,針對(duì)不同的需求方(管理者���、執(zhí)行者��、檢查者等)從政策、制度�、流程、規(guī)范和記錄等方面進(jìn)行信息安全活動(dòng)相關(guān)的規(guī)定��,實(shí)現(xiàn)信息安全的功能和管理目標(biāo)�����。
6 信息安全治理評(píng)估
企業(yè)信息安全治理評(píng)估有助于提高信息安全治理投資的效益和效果����。企業(yè)的最高管理層和管理執(zhí)行層可以使用信息安全治理成熟度模型建立企業(yè)的安全治理級(jí)別。該模型�,如表2所示����,被應(yīng)用為幾個(gè)方面��。
(1)在市場(chǎng)環(huán)境中�����,相對(duì)于國(guó)際信息安全治理標(biāo)準(zhǔn)���、行業(yè)最佳實(shí)踐����,以及直接競(jìng)爭(zhēng)對(duì)手��,了解企業(yè)在信息安全治理上的級(jí)別����。
(2)進(jìn)行差距分析,為改進(jìn)措施提供明確的路徑���。
(3)了解企業(yè)的競(jìng)爭(zhēng)優(yōu)勢(shì)和劣勢(shì)����。
(4)有利于對(duì)信息安全治理進(jìn)行績(jī)效評(píng)估。
7 結(jié)束語(yǔ)
本文從企業(yè)信息安全治理的實(shí)踐出發(fā)����,概述了目前企業(yè)信息安全治理存在的問(wèn)題和困惑,總結(jié)了企業(yè)實(shí)現(xiàn)有效的信息治理的關(guān)注領(lǐng)域和實(shí)施內(nèi)容����,為企業(yè)建立良好的信息安全治理提供了基本框架。
參考文獻(xiàn)
[1] 馬峰輝��,劉壽強(qiáng).企業(yè)信息安全治理的經(jīng)濟(jì)性探析.計(jì)算機(jī)安全��,2003:70-71.
[2] 婁策群�����,范昊�����,王菲.現(xiàn)代信息技術(shù)環(huán)境中的信息安全問(wèn)題及其對(duì)策.中國(guó)圖書館學(xué)報(bào)��,2000(11):33-37.
[3] 劉金鎖���,李筱煒��,楊維永.企業(yè)實(shí)現(xiàn)有效的信息安全治理之路.中國(guó)管理信息化��,2012(11):37-39.
[4] 黃華軍�����,錢亮�����,王耀鈞.基于異常特征的釣魚網(wǎng)站URL檢測(cè)技術(shù)[J].信息網(wǎng)絡(luò)安全���,2012,(01):23-25.
[5] 黃世中.GF(2m)域SM2算法的實(shí)現(xiàn)與優(yōu)化[J].信息網(wǎng)絡(luò)安全�����,2012���,(01):36-39.
第3篇
[摘要] 隨著經(jīng)濟(jì)全球化進(jìn)程的加快����,企業(yè)信息安全將成為企業(yè)面臨到的一個(gè)主要問(wèn)題,加強(qiáng)信息安全管理也已成為時(shí)代的召喚�����。本文介紹了企業(yè)信息安全����,以及石油石化企業(yè)信息化建設(shè),分析了信息安全對(duì)石油石化企業(yè)的意義以及應(yīng)對(duì)策略����。
[關(guān)鍵詞] 信息安全;信息化建設(shè)����;安全策略
在經(jīng)濟(jì)全球化的今天,企業(yè)相關(guān)人員對(duì)信息安全越來(lái)越關(guān)注�。雖然企業(yè)采取了很多與員工簽訂保密協(xié)議,建立防火墻��,以及安全管理中心等措施��,但還是發(fā)生了像天涯社區(qū)�����、新浪等泄露用戶密碼����、個(gè)人信息的安全事件。企業(yè)提高計(jì)算機(jī)與信息管理的水平可以防范由信息安全所造成的各項(xiàng)損失��,完善企業(yè)信息安全管理體系是很多企業(yè)都會(huì)面臨到的一個(gè)主要問(wèn)題�,而作為我國(guó)國(guó)民經(jīng)濟(jì)支柱產(chǎn)業(yè)的石油石化企業(yè)更應(yīng)該加強(qiáng)信息安全的管理。
一��、企業(yè)信息安全定義
近年來(lái)�,經(jīng)濟(jì)全球化呈現(xiàn)加速發(fā)展的趨勢(shì),越來(lái)越多的發(fā)展中國(guó)家融入到經(jīng)濟(jì)全球化的大潮之中����。世界政治、經(jīng)濟(jì)形勢(shì)的深刻變化使國(guó)家安全的內(nèi)涵出現(xiàn)了新的變化��,國(guó)家經(jīng)濟(jì)利益和國(guó)家經(jīng)濟(jì)競(jìng)爭(zhēng)力隨即上升至國(guó)家安全的優(yōu)先位置�����,國(guó)家經(jīng)濟(jì)安全開始成為國(guó)家安全的核心�����。跨國(guó)并購(gòu)是經(jīng)濟(jì)全球化時(shí)代的重要特����,尤其是近幾年來(lái),經(jīng)濟(jì)全球化的日益發(fā)展使資本的全球擴(kuò)張進(jìn)一步加強(qiáng)�,企業(yè)兼并活動(dòng)達(dá)到有史以來(lái)的最高峰。在各跨國(guó)企業(yè)擴(kuò)大占有其他國(guó)家市場(chǎng)��、資源和技術(shù)時(shí)�,往往使被收購(gòu)企業(yè)所在國(guó)受到很大沖擊,甚至威脅到他國(guó)的經(jīng)濟(jì)安全����。
企業(yè)信息安全是一個(gè)復(fù)雜的、多維的動(dòng)態(tài)體系�,受到諸多外界因素的影響,因而需要從系統(tǒng)的高度進(jìn)行綜合性的概括����。企業(yè)信息安全有兩種解釋:一種是從具體的信息安全技術(shù)系統(tǒng)的角度著手,來(lái)管理企業(yè)信息�,提高安全性;另一種是建立某些被指定的安全信息體系���,例如:銀行指揮系統(tǒng)等,從而加強(qiáng)企業(yè)信息的安全。企業(yè)信息安全的基礎(chǔ)內(nèi)容主要有:實(shí)體和運(yùn)行���,以及信息資產(chǎn)與人員安全��。實(shí)體安全也是指硬件安全�����,既保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)硬件和存儲(chǔ)媒體的安全���,又防止計(jì)算機(jī)硬件、設(shè)備等因濕度過(guò)大���、溫度過(guò)高�����、摩擦等因素而出現(xiàn)的物理?yè)p壞����。同時(shí)�����,維護(hù)硬件運(yùn)行環(huán)境的穩(wěn)定也是實(shí)體安全的范疇。運(yùn)行安全是保障信息處理過(guò)程的安全運(yùn)行��,避免出現(xiàn)程序性故障����、死機(jī)等現(xiàn)象,保障系統(tǒng)功能的安全���。信息資產(chǎn)安全則是確保信息的控制權(quán)在企業(yè)本身手里�����,不被惡意篡改或破壞��,不被非法操作���、誤操作、復(fù)制���,功能穩(wěn)定等��。人員安全主要是指信息系統(tǒng)使用人員能夠有明確保護(hù)信息安全的意識(shí)���,遵紀(jì)守法���,擁有保障企業(yè)相關(guān)信息安全的技能和能力。
二����、石油石化企業(yè)的信息化建設(shè)
在國(guó)際金融危機(jī)的沖擊下����,我國(guó)石油石化企業(yè)受到種種壓力,但同時(shí)也遇到不少發(fā)展的機(jī)遇��。金融危機(jī)背景下�����,提升企業(yè)競(jìng)爭(zhēng)能力和抗風(fēng)險(xiǎn)能力更顯得重要���,石化企業(yè)需堅(jiān)持并加強(qiáng)信息化應(yīng)用���,不斷地深化和優(yōu)化應(yīng)用。
石油石化企業(yè)是我國(guó)最早開展信息化建設(shè)的行業(yè)之一����。經(jīng)過(guò)多年的建設(shè)����,加之逐年增加投入�����,石化行業(yè)整體信息化應(yīng)用水平在不斷提高����,并取得了較高的成績(jī)。據(jù)中國(guó)石油和化學(xué)工業(yè)協(xié)會(huì)調(diào)研顯示�,勘探與生產(chǎn)技術(shù)數(shù)據(jù)管理系統(tǒng)、管道生產(chǎn)管理系統(tǒng)��、ERP系統(tǒng)等目前在大部分石油石化企業(yè)中得到應(yīng)用并發(fā)揮了重要作用���,集成與深化應(yīng)用已經(jīng)成為石油石化企業(yè)信息化建設(shè)的主流����。在當(dāng)前國(guó)際金融危機(jī)沖擊之下�,信息化在優(yōu)化資源配置、強(qiáng)化過(guò)程管控����、支持管理創(chuàng)新����、提高經(jīng)營(yíng)管理水平和勞動(dòng)生產(chǎn)率等方面的支撐作用越來(lái)越顯著���。
三����、石油石化企業(yè)信息安全的意義
石油石化企業(yè)在國(guó)民經(jīng)濟(jì)中扮演者重要的角色�����,是其重要的支柱產(chǎn)業(yè)��,擔(dān)負(fù)著保障國(guó)家油氣供應(yīng)安全的重要責(zé)任�����。國(guó)家形象����、安全及國(guó)民經(jīng)濟(jì)也可能要受石油石化企業(yè)安全的影響�。近幾十年石油石化企業(yè)的發(fā)展主要得益于信息技術(shù)的發(fā)展。石油石化企業(yè)運(yùn)營(yíng)絕大多數(shù)工序�����,從地震、鉆井到化工作業(yè)����、生產(chǎn)工藝,甚至是管理手段��、戰(zhàn)略決策等都是依靠信息系統(tǒng)來(lái)實(shí)現(xiàn)的���。信息系統(tǒng)一旦癱瘓�����,企業(yè)的運(yùn)營(yíng)就要中斷�����。
前不久���,互聯(lián)網(wǎng)一度讓人望而卻步,CSDN����、天涯���、新浪、京東商城�����、網(wǎng)易公司�、支付寶等互聯(lián)網(wǎng)公司以及多家銀行深陷“泄密門”。這使得本來(lái)就對(duì)互聯(lián)網(wǎng)不放心的廣大消費(fèi)者更加遠(yuǎn)離了網(wǎng)絡(luò)購(gòu)物��,一些網(wǎng)絡(luò)消費(fèi)者也紛紛降低了購(gòu)物頻率��。
四�����、中海油的企業(yè)信息安全策略
信息化是中海油科學(xué)管理的重要手段�����,也是企業(yè)的核心競(jìng)爭(zhēng)力之一���。多年來(lái)中海油一直堅(jiān)持業(yè)務(wù)驅(qū)動(dòng)應(yīng)用,技術(shù)引領(lǐng)創(chuàng)新,著力打造數(shù)字海油����,加強(qiáng)工業(yè)化與信息化的融合,提升中海油信息化水平���。多年來(lái)建設(shè)了MPLS云網(wǎng)絡(luò)����,實(shí)現(xiàn)了物理統(tǒng)一����、邏輯共享的網(wǎng)絡(luò)鏈路;構(gòu)建了以LotusNotes為基礎(chǔ)的OA辦公平臺(tái)���;打造了以SAP為核心的ERP系統(tǒng)平臺(tái)���;建設(shè)了勘探、開發(fā)����、生產(chǎn)、鉆完井等生產(chǎn)管理信息系統(tǒng)和Scada���、DCS����、MES生產(chǎn)信息管理系統(tǒng)。這些系統(tǒng)的建立為提高石油的產(chǎn)量�,加速企業(yè)的運(yùn)行效率奠定了基礎(chǔ),使得中海油各生產(chǎn)運(yùn)行業(yè)務(wù)系統(tǒng)建設(shè)穩(wěn)步推進(jìn)��,實(shí)現(xiàn)了整體項(xiàng)目生產(chǎn)數(shù)據(jù)的完整��、有序化管理����,便于生產(chǎn)經(jīng)營(yíng)決策。
隨著國(guó)際化的進(jìn)程���,中海油和國(guó)外公司的合作聯(lián)系越來(lái)越密切��,如果不加強(qiáng)信息安全,輕則出現(xiàn)宕機(jī)���、數(shù)據(jù)缺失�、系統(tǒng)停止服務(wù)等信息服務(wù)事件�,重則會(huì)影響我國(guó)的石油產(chǎn)業(yè)和我國(guó)的國(guó)民經(jīng)濟(jì)。目前在對(duì)網(wǎng)絡(luò)安全方面主要從以下幾點(diǎn)展開的:
(1)物理安全風(fēng)險(xiǎn)
在物理安全方面,企業(yè)建立合格的機(jī)房環(huán)境��,設(shè)置合理的網(wǎng)絡(luò)構(gòu)架���,購(gòu)置高性能的硬件設(shè)施�,同時(shí)安裝高效的��、實(shí)時(shí)的預(yù)警系統(tǒng)等����。在這些系統(tǒng)的和人員管理的情況下,防止設(shè)備因水災(zāi)��、火災(zāi)���、系統(tǒng)故障等導(dǎo)致的計(jì)算機(jī)硬件方面的安全問(wèn)題����。
(2)網(wǎng)絡(luò)管理體系方面的安全
加強(qiáng)網(wǎng)絡(luò)管理體系��,可以減少企業(yè)中責(zé)權(quán)不明�����、管理混亂等方面的安全隱患,提高員工的安全意識(shí)��。同時(shí)�����,還可以及時(shí)發(fā)現(xiàn)一些外來(lái)的網(wǎng)絡(luò)攻擊和惡意的破壞���。對(duì)內(nèi)部終端進(jìn)行管理���,通過(guò)流量限制計(jì)算機(jī)上傳下載速度也是有效的網(wǎng)絡(luò)管理體系的一部分。
(3)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的風(fēng)險(xiǎn)
拓?fù)浣Y(jié)構(gòu)形象的描述了企業(yè)網(wǎng)絡(luò)的組織結(jié)構(gòu)以及各個(gè)元件之間的相互關(guān)系��,對(duì)企業(yè)的網(wǎng)絡(luò)安全系統(tǒng)有著重要的影響力��。假如外部和內(nèi)部進(jìn)行聯(lián)系�����,內(nèi)部網(wǎng)絡(luò)系統(tǒng)受到威脅���,就會(huì)通過(guò)這個(gè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)一層一層的影響其他的系統(tǒng),進(jìn)而可能使整個(gè)網(wǎng)路拓?fù)浣Y(jié)構(gòu)癱瘓�,影響企業(yè)的正常運(yùn)行�����。
同時(shí)���,面對(duì)日益高速化發(fā)展的今天,工作人員容易受到外界的蠱惑���,因此企業(yè)應(yīng)該加強(qiáng)對(duì)企業(yè)人員網(wǎng)絡(luò)安全維護(hù)的教育���,提高人員安全性。
五����、技術(shù)展望
云計(jì)算的發(fā)展為未來(lái)企業(yè)網(wǎng)絡(luò)安全提供了又一個(gè)技術(shù)平臺(tái)。云計(jì)算是通過(guò)網(wǎng)絡(luò)把成千上萬(wàn)的計(jì)算機(jī)硬件資源和軟件資源聚合成一個(gè)具有強(qiáng)大計(jì)算能力的系統(tǒng)�,并借助各種服務(wù)模式把強(qiáng)大的計(jì)算能力提供給終端用戶,使人們能夠像使用電��、水那樣使用信息資源��。
在經(jīng)濟(jì)全球化的今天����,企業(yè)相關(guān)人員對(duì)信息安全越來(lái)越關(guān)注�。雖然企業(yè)采取了很多與員工簽訂保密協(xié)議�,建立防火墻,以及安全管理中心等措施���,但還是發(fā)生了像天涯社區(qū)�、新浪等泄露用戶密碼��、個(gè)人信息的安全事件���。云技術(shù)網(wǎng)頁(yè)威脅管理部署和操作簡(jiǎn)單�����,不僅有效且高效的防護(hù)��,而且支持遠(yuǎn)程辦公室和移動(dòng)工作����,“網(wǎng)絡(luò)效應(yīng)”和“眾包”的作用更是提高了信息的安全性��,因此特別適合分布式企業(yè)�����。而大型企業(yè)則需要一種集中化的管理和分布式��、以云端為中心的智能��、緊密集成等于一體的網(wǎng)絡(luò)威脅管理構(gòu)架��,才能滿足其龐大的網(wǎng)絡(luò)拓?fù)浼軜?gòu)的安全需要�����,改善遠(yuǎn)程工作者的安全性����,提供全局可見性和控制能力,創(chuàng)建一個(gè)云遷移路徑��。
綜上所述��,中海油信息化的建設(shè)大幅提升了生產(chǎn)運(yùn)行效率和精細(xì)化管理水平����,達(dá)到了國(guó)際化先進(jìn)水平,為中海油在國(guó)際的長(zhǎng)遠(yuǎn)發(fā)展提供了堅(jiān)實(shí)的基礎(chǔ)���。面對(duì)經(jīng)濟(jì)的全球化�����,各行各業(yè)���,每一個(gè)企業(yè)都要建立健全��、不斷完善信息安全管理工作�����,提升企業(yè)信息安全管理水平�。
參考文獻(xiàn)
[1] 張帆;企業(yè)信息安全威脅分析與安全策略[J];網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2007,(05)
第4篇
【 關(guān)鍵詞 】 企業(yè)信息�;信息安全;風(fēng)險(xiǎn)管理�����;框架探究
1 引言
人類社會(huì)在不斷發(fā)展�,信息化逐漸融入人們生活。信息資源對(duì)于現(xiàn)代企業(yè)來(lái)講�����,是每時(shí)每刻都存在的運(yùn)轉(zhuǎn)載體,各種重要數(shù)據(jù)����、企業(yè)的知識(shí)產(chǎn)權(quán)等這些都是企業(yè)的內(nèi)部信息,除這些信息外�,其他相關(guān)方面的數(shù)據(jù)也被企業(yè)所利用��,例如合作伙伴�、客戶、員工等資料�,尤其是一些服務(wù)性企業(yè),比如網(wǎng)商�����、快遞公司���、金融公司����、通信公司�����、航空公司等,這些企業(yè)更需要以信息系統(tǒng)作為支撐��,信息資源成為企業(yè)不可或缺的重要組成部分�。
2 新形勢(shì)下我國(guó)信息安全面臨的問(wèn)題
2.1 風(fēng)險(xiǎn)意識(shí)在主觀上的淡薄
在我國(guó)信息安全上面,思想認(rèn)識(shí)面臨高風(fēng)險(xiǎn)的形勢(shì)��,大部分企業(yè)的管理高層對(duì)信息資產(chǎn)的認(rèn)識(shí)嚴(yán)重不足�。或者局限在IT的安全方面�,沒有合理的安全觀念引導(dǎo)企業(yè)在信息安全管理方面的工作。信息安全管理制度的完整性缺乏��,規(guī)范安全風(fēng)險(xiǎn)和安全法律法規(guī)對(duì)員工的培訓(xùn)缺乏��,很多信息安全事故的發(fā)生都是因?yàn)榘踩庾R(shí)的薄弱造成的����。
2.2 缺乏信息安全管理系統(tǒng)的思想
大部分企業(yè)仍是將傳統(tǒng)的管理方法用在安全管理模式中,這種出現(xiàn)問(wèn)題再去想彌補(bǔ)的方法是靜態(tài)的管理���,不能在提前進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估上做更有效的信息系統(tǒng)管理����。
2.3 信息安全不僅僅是技術(shù)部門的事
多數(shù)企業(yè)認(rèn)為信息安全的責(zé)任和義務(wù)都是IT部門的�,造成信息技術(shù)部門無(wú)法和企業(yè)內(nèi)部其他部門互動(dòng)��,進(jìn)而形成孤立的局面���。但是,信息安全的實(shí)現(xiàn)需要各個(gè)部門的全員行動(dòng)�,特別是規(guī)范標(biāo)準(zhǔn)以及規(guī)章制度的貫徹落實(shí),更牽涉到企業(yè)的每一名員工�����,全員行動(dòng)的要求更是不能缺少�����。
2.4 存在重視安全技術(shù)而輕視安全管理的情況
現(xiàn)今為止���,仍有很多企業(yè)僅僅依賴產(chǎn)品安全,認(rèn)為信息安全就是信息產(chǎn)品安全����。一般企業(yè)現(xiàn)在都會(huì)采用計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)來(lái)構(gòu)建企業(yè)的信息系統(tǒng),但是沒有把相應(yīng)的管理措施開展到位����。信息安全問(wèn)題應(yīng)該加強(qiáng)做好管理工作,不能單從技術(shù)方面著手。
2.5 現(xiàn)代管理手段與理論欠缺
日益龐大的現(xiàn)代化信息規(guī)模與越來(lái)越復(fù)雜的網(wǎng)絡(luò)結(jié)構(gòu)�����,讓現(xiàn)有的風(fēng)險(xiǎn)管理手段和理論都不足以讓企業(yè)信息安全得到完全的滿足����,企業(yè)應(yīng)該結(jié)合實(shí)際情況和需要,把國(guó)際上優(yōu)異的信息安全風(fēng)險(xiǎn)管理理論以及先進(jìn)的最佳實(shí)踐用作指導(dǎo)���,以此達(dá)到信息安全的目的����。
3 企業(yè)信息安全風(fēng)險(xiǎn)管理的框架探究
企業(yè)信息安全風(fēng)險(xiǎn)管理的框架包括兩個(gè)部分��,一是企業(yè)信息安全風(fēng)險(xiǎn)管理的過(guò)程�����,二是企業(yè)信息安全風(fēng)險(xiǎn)管理的實(shí)施���。其中��,實(shí)施是過(guò)程的保障��,整合各種資源要通過(guò)實(shí)施才能達(dá)到�;過(guò)程是實(shí)施的前提,對(duì)過(guò)程的清楚有利于建立企業(yè)信息安全風(fēng)險(xiǎn)管理的統(tǒng)一理解�,以此逐漸實(shí)現(xiàn)信息安全風(fēng)險(xiǎn)管理。企業(yè)信息安全風(fēng)險(xiǎn)管理包括風(fēng)險(xiǎn)分析���、風(fēng)險(xiǎn)計(jì)劃���、風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)監(jiān)督����、計(jì)劃實(shí)施��、風(fēng)險(xiǎn)改進(jìn)六個(gè)動(dòng)態(tài)過(guò)程�����。
信息安全風(fēng)險(xiǎn)管理是動(dòng)態(tài)�、持續(xù)性過(guò)程,信息安全通過(guò)潛在的風(fēng)險(xiǎn)識(shí)別�����、分析,同時(shí)進(jìn)行計(jì)劃����、實(shí)施、監(jiān)督����、改善,然后再進(jìn)入到下一個(gè)循環(huán)里�,通過(guò)持續(xù)不斷的循環(huán)活動(dòng)進(jìn)行有計(jì)劃、持續(xù)的控制���,不斷改進(jìn)�。
參照戴明的PDCA質(zhì)量管理模式����,把安全項(xiàng)目實(shí)施劃分為四個(gè)階段,分別是準(zhǔn)備和策劃���、執(zhí)行和部署��、監(jiān)控和檢查�、評(píng)價(jià)和改進(jìn)�����,實(shí)施階段有幾個(gè)工作步驟:(1)準(zhǔn)備和策劃工作階段,首先調(diào)研信息安全風(fēng)險(xiǎn)管理現(xiàn)狀��,接著進(jìn)行風(fēng)險(xiǎn)評(píng)估�,然后編制信息安全風(fēng)險(xiǎn)管理方案;(2)執(zhí)行和部署工作階段���,進(jìn)行部署安排��,按計(jì)劃執(zhí)行�,接著進(jìn)行安全培訓(xùn)����;(3)監(jiān)控和檢查工作階段,做好企業(yè)安全現(xiàn)狀檢查��,預(yù)測(cè)未來(lái)的變化����;(4)評(píng)價(jià)和改進(jìn)工作階段��,制定改善措施����,響應(yīng)緊急事件���。
4 企業(yè)信息安全風(fēng)險(xiǎn)管理的實(shí)施
在風(fēng)險(xiǎn)管理中人、過(guò)程�、基礎(chǔ)結(jié)構(gòu)和實(shí)施是四大影響風(fēng)險(xiǎn)管理能力的關(guān)鍵因素,企業(yè)的信息安全風(fēng)險(xiǎn)管理能力同時(shí)也受著這四個(gè)因素制約�,所以企業(yè)信息安全管理中十分重要的就是人通過(guò)各類資源和企業(yè)基礎(chǔ)結(jié)構(gòu)達(dá)到信息安全風(fēng)險(xiǎn)管理過(guò)程的實(shí)施活動(dòng)。
企業(yè)在開始嘗試安全風(fēng)險(xiǎn)管理實(shí)施之前���,很重要的一點(diǎn)是應(yīng)該檢驗(yàn)現(xiàn)有安全風(fēng)險(xiǎn)管理的完善度�����。假如企業(yè)在安全風(fēng)險(xiǎn)管理上沒有規(guī)范的流程和正式的策略�����,就會(huì)出現(xiàn)框架的實(shí)施非常艱難�。換句話說(shuō)讓企業(yè)有一些正式的策略和明確的指導(dǎo)���,將避免大多數(shù)員工都在工作中不知所措�����。假如在安全風(fēng)險(xiǎn)管理上發(fā)現(xiàn)企業(yè)相對(duì)不夠成熟���,則可以采取試點(diǎn)的形式��,把安全風(fēng)險(xiǎn)管理實(shí)施到單個(gè)業(yè)務(wù)單元中��,直到通過(guò)試運(yùn)行在框架中顯示有效以后�����,再考慮將其他業(yè)務(wù)單元導(dǎo)入至整個(gè)企業(yè)框架中�。
框架實(shí)踐需要以最優(yōu)實(shí)踐的經(jīng)驗(yàn)為基準(zhǔn)��,必須有利于企業(yè)確定安全現(xiàn)狀��,同時(shí)按照需要的安全方向進(jìn)行改進(jìn)����,企業(yè)的安全風(fēng)險(xiǎn)管理能力通過(guò)不斷的提高,就能逐漸努力向著安全的目標(biāo)前進(jìn)��。
5 結(jié)束語(yǔ)
進(jìn)入信息化時(shí)代����,企業(yè)已經(jīng)把信息系統(tǒng)的高效、互聯(lián)��、精確的特征當(dāng)作賴以生存和發(fā)展的必要條件��。因此所伴隨產(chǎn)生的信息安全風(fēng)險(xiǎn)就成了企業(yè)關(guān)注的重點(diǎn)問(wèn)題��。在此情況之下����,企業(yè)建立信息安全風(fēng)險(xiǎn)管理機(jī)制,利用科學(xué)的方法和手段控制各種風(fēng)險(xiǎn)的發(fā)生顯得尤為重要����。動(dòng)態(tài)循環(huán)是企業(yè)信息安全風(fēng)險(xiǎn)管理的一個(gè)過(guò)程,在風(fēng)險(xiǎn)評(píng)估的前提下���,要落實(shí)對(duì)風(fēng)險(xiǎn)控制措施����。同時(shí)對(duì)過(guò)程的實(shí)施要進(jìn)行有效的控制和監(jiān)督����,這就需要一個(gè)明確清晰并且具有可操作性的信息安全風(fēng)險(xiǎn)框架來(lái)指導(dǎo)。還有需要探究的工作在信息安全風(fēng)險(xiǎn)管理領(lǐng)域里,但愿本文能引來(lái)更多這一領(lǐng)域探究��,從而做出保障企業(yè)信息安全的貢獻(xiàn)�����。
參考文獻(xiàn)
[1] 陳慧勤.企業(yè)信息安全風(fēng)險(xiǎn)管理的框架研究[J].2011���,21(40):42-46.
[2] 惠志斌.企業(yè)IT風(fēng)險(xiǎn)管理的體系構(gòu)建與實(shí)現(xiàn)路徑[J].科技管理研究�,2014���,34(2):36-55.
[3] 葉銘.企業(yè)動(dòng)態(tài)信息安全風(fēng)險(xiǎn)控制系統(tǒng)的研究[J].2012�,08(11):81-85.
第5篇
[關(guān)鍵詞] 網(wǎng)絡(luò)環(huán)境����; 現(xiàn)代企業(yè); 信息安全����; 問(wèn)題; 對(duì)策
[中圖分類號(hào)] F208 [文獻(xiàn)標(biāo)識(shí)碼] A [文章編號(hào)] 1673 - 0194(2013)04- 0084- 02
現(xiàn)代企業(yè)的信息安全是指在管理上和技術(shù)上對(duì)數(shù)據(jù)處理系統(tǒng)進(jìn)行安全的保護(hù)����,使計(jì)算機(jī)的軟件�、硬件����、保密數(shù)據(jù)等不會(huì)遭到破壞���、更改���、泄露。通過(guò)對(duì)企業(yè)信息安全的管理����,能夠保護(hù)企業(yè)信息的機(jī)密性和完整性,保護(hù)企業(yè)的生產(chǎn)運(yùn)營(yíng)安全����,是企業(yè)發(fā)展的必不可少的環(huán)節(jié)。
1 網(wǎng)絡(luò)環(huán)境下現(xiàn)代企業(yè)信息安全存在的問(wèn)題
1.1 人為因素造成的安全問(wèn)題
現(xiàn)代企業(yè)之間的競(jìng)爭(zhēng)十分激烈�����,企業(yè)管理者把精神都集中在企業(yè)的生產(chǎn)和經(jīng)營(yíng)上�����,對(duì)計(jì)算機(jī)的管理不夠重視,加上網(wǎng)絡(luò)屬于新生事物的一種���,人們會(huì)利用網(wǎng)絡(luò)進(jìn)行娛樂活動(dòng)�����,卻忽視了網(wǎng)絡(luò)的安全性��,缺乏網(wǎng)絡(luò)安全意識(shí)�����,企業(yè)員工在工作時(shí)間利用網(wǎng)絡(luò)進(jìn)行娛樂活動(dòng)的行為十分普遍��,由于自身的安全意識(shí)匱乏�,不但浪費(fèi)了企業(yè)的網(wǎng)絡(luò)資源��,也加大了病毒侵害的可能性���,威脅了企業(yè)的信息安全��。企業(yè)信息安全的管理需要管理部門重視起來(lái)����,現(xiàn)實(shí)中,企業(yè)對(duì)信息安全的管理投入很少���,安全防范做得不好��,管理者對(duì)信息安全管理的認(rèn)識(shí)不足���,下面的員工安全意識(shí)也淡薄�,規(guī)章制度不完善,信息安全管理無(wú)據(jù)可依����,管理者也沒有對(duì)信息安全進(jìn)行有效的監(jiān)督,沒有在第一時(shí)間發(fā)現(xiàn)網(wǎng)絡(luò)存在的問(wèn)題�,甚至在網(wǎng)絡(luò)不能正常運(yùn)行了才去解決問(wèn)題,給公司發(fā)展帶來(lái)不利影響�����。
1.2 網(wǎng)絡(luò)技術(shù)自身存在的安全問(wèn)題
隨著網(wǎng)絡(luò)技術(shù)的發(fā)展��,各種軟件也不斷更新?lián)Q代���,現(xiàn)在Windows 7正在大規(guī)模地進(jìn)軍國(guó)內(nèi)市場(chǎng)�����,微軟不斷推出新的產(chǎn)品�,各種操作系統(tǒng)的漏洞也一直存在,為病毒的滋生提供了機(jī)會(huì)���,很多網(wǎng)絡(luò)軟件存在后門��,這些后門原本是編程人員為了軟件的擴(kuò)展和維護(hù)設(shè)置的�,如果被不法分子發(fā)現(xiàn)�����,對(duì)公司的信息安全有很大的威脅�。計(jì)算機(jī)犯罪中最典型的就是黑客的攻擊,黑客攻擊也分為主動(dòng)攻擊和被動(dòng)攻擊兩種��,主動(dòng)攻擊直接為企業(yè)的信息完整性��、機(jī)密性造成破壞���,被動(dòng)攻擊雖然能夠保證公司電腦的正常運(yùn)行���,但企業(yè)的重要信息可能會(huì)被截獲�、竊取�,都嚴(yán)重影響了企業(yè)信息安全。
1.3 設(shè)備環(huán)境造成的安全問(wèn)題
從網(wǎng)絡(luò)環(huán)境來(lái)說(shuō)�,外部環(huán)境對(duì)企業(yè)信息安全也構(gòu)成威脅,企業(yè)的計(jì)算機(jī)房的位置不能是隨便設(shè)置的���,需要有一定的安全技術(shù)要求�����。網(wǎng)絡(luò)的線纜等通信設(shè)施容易被人為破壞,或者受到自然環(huán)境如地震����、雷雨、電磁場(chǎng)等環(huán)境的影響發(fā)生破壞����,并且自然環(huán)境的影響是不可預(yù)測(cè)的,一旦出現(xiàn)問(wèn)題��,會(huì)給企業(yè)的信息造成直接的破壞���,影響信息的完整性��。計(jì)算機(jī)的硬盤���、內(nèi)存的運(yùn)行狀況也應(yīng)該得到管理人員的注意����,計(jì)算機(jī)設(shè)備的防盜等都是問(wèn)題��,企業(yè)員工在工作過(guò)程中往往會(huì)拷數(shù)據(jù)回家����,或者加班后在用U盤等移動(dòng)設(shè)備把資料拷貝到公司電腦中,增加了企業(yè)計(jì)算機(jī)中毒的危險(xiǎn)��。
2 解決企業(yè)信息安全問(wèn)題的對(duì)策研究
2.1 重視信息安全管理�����,加強(qiáng)制度建設(shè)
首先���,企業(yè)管理者應(yīng)該認(rèn)識(shí)到企業(yè)信息安全的重要性�����,認(rèn)識(shí)到網(wǎng)絡(luò)保護(hù)的重要性����,提高信息安全意識(shí),這樣才能加強(qiáng)制度建設(shè)����,做好信息安全管理與監(jiān)督工作。計(jì)算機(jī)房是重要場(chǎng)所�,它的設(shè)置也需要一定的隱蔽性,一般不要設(shè)置在公司一樓���。企業(yè)應(yīng)該建立和完善信息安全管理制度�,幫助員工樹立信息安全意識(shí)��,明確信息安全保護(hù)的對(duì)象和目標(biāo)�,保證各項(xiàng)管理制度的落實(shí)執(zhí)行���,制訂明確科學(xué)的操作流程�,規(guī)范員工的日常操作行為�,制訂應(yīng)急預(yù)案和網(wǎng)絡(luò)維護(hù)制度,計(jì)算機(jī)管理人員應(yīng)該每天對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行檢查或者更新�����,及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)運(yùn)行中出現(xiàn)的問(wèn)題,防止病毒的產(chǎn)生����,在發(fā)生問(wèn)題后把損失降到最低。
2.2 加強(qiáng)企業(yè)信息安全的網(wǎng)絡(luò)技術(shù)控制
依靠網(wǎng)絡(luò)技術(shù)來(lái)保護(hù)現(xiàn)代企業(yè)信息安全是十分有效的方式��,網(wǎng)絡(luò)技術(shù)手段主要有防火墻���、信息加密與認(rèn)證�、病毒防控�、數(shù)據(jù)備份等方式。防火墻是網(wǎng)絡(luò)技術(shù)中保護(hù)信息安全最重要的技術(shù)之一���,它通過(guò)設(shè)置屏障阻止黑客的訪問(wèn)����,能夠有效防止病毒的侵入��,企業(yè)應(yīng)該按照質(zhì)量可靠的防火墻�,并時(shí)刻關(guān)注防火墻的問(wèn)題與升級(jí)情況。直接對(duì)企業(yè)信息進(jìn)行加密也是有效的方法之一�,企業(yè)可以設(shè)置專門的訪問(wèn)密碼,僅供本公司員工使用,或者每個(gè)員工都有自己的上網(wǎng)編號(hào)�����,輸入之后才能訪問(wèn)公司網(wǎng)絡(luò)���,公司也可以根據(jù)瀏覽記錄查看哪些員工上網(wǎng)�,能夠有效防止企業(yè)人員泄密行為��,對(duì)重要文件采取多種加密措施����。企業(yè)應(yīng)該注意對(duì)防病毒軟件的更新?lián)Q代,提高防毒����、殺毒的效率,保證系統(tǒng)的安全�。電腦一旦中毒,一些文件就可能丟失或者被更改���,企業(yè)需要對(duì)重要文件進(jìn)行備份,這樣在發(fā)生中毒之后能夠?qū)p失降到最低�����。
2.3 加強(qiáng)法制建設(shè),運(yùn)用法律武器保護(hù)企業(yè)信息安全
現(xiàn)代企業(yè)的信息安全應(yīng)該受到法律的保護(hù)�����,公司的機(jī)密文件關(guān)系到公司的生死存亡��,關(guān)系到社會(huì)公平競(jìng)爭(zhēng)�����,關(guān)系到個(gè)人隱私����,應(yīng)該受到法律的保護(hù)。國(guó)家應(yīng)該完善企業(yè)信息安全的法律法規(guī)���,為企業(yè)保護(hù)自己的權(quán)益提供法律武器�����,企業(yè)也應(yīng)該具有法律意識(shí)���,在公司的信息惡意遭到破壞和侵害時(shí)�,不是采用同樣的方法對(duì)待競(jìng)爭(zhēng)企業(yè)�����,而是應(yīng)該拿起法律武器保護(hù)自己�����,用國(guó)家法律來(lái)抵制侵犯���,保護(hù)自己企業(yè)的信息安全與完整�����。
3 結(jié) 語(yǔ)
網(wǎng)絡(luò)的發(fā)展是一把雙刃劍����,在給社會(huì)進(jìn)步和發(fā)展帶來(lái)巨大益處的同時(shí)�,也帶來(lái)了一些負(fù)面影響,企業(yè)應(yīng)該辯證對(duì)待網(wǎng)絡(luò)時(shí)代的發(fā)展����,充分利用網(wǎng)絡(luò)環(huán)境帶來(lái)了優(yōu)勢(shì),通過(guò)技術(shù)手段創(chuàng)新����、管理加強(qiáng)、法律法規(guī)的完善等措施來(lái)保護(hù)企業(yè)信息安全����,為企業(yè)的發(fā)展創(chuàng)造安全的環(huán)境。
主要參考文獻(xiàn)
[1] 薛偉蓮. 保證信息與網(wǎng)絡(luò)安全的網(wǎng)絡(luò)倫理規(guī)范體系的構(gòu)建[J]. 網(wǎng)絡(luò)與信息�,2010(11).
[2] 費(fèi)宏偉. 保證電算化時(shí)代會(huì)計(jì)信息安全的幾點(diǎn)思考[J]. 東西南北·教育觀察,2010(11).
[3] 張紅����,金永利,邱大成. 網(wǎng)絡(luò)環(huán)境下會(huì)計(jì)信息安全的技術(shù)控制措施[J]. 中國(guó)高新技術(shù)企業(yè)��,2009(10).
第6篇
建立金融信息安防體系刻不容緩
“互聯(lián)網(wǎng)+金融”成為傳統(tǒng)金融行業(yè)轉(zhuǎn)型“觸電”的新模式����,新形式下的數(shù)據(jù)安全狀況變得越發(fā)嚴(yán)重,金融行業(yè)已經(jīng)淪為數(shù)據(jù)泄密的重災(zāi)區(qū)�����,再次給人們敲響數(shù)據(jù)安全的警鐘��,其中直接由于純粹是信息安全技術(shù)缺失所導(dǎo)致的風(fēng)險(xiǎn)案例不勝枚舉���。麥肯錫公司在其的《中國(guó)銀行業(yè)創(chuàng)新系列報(bào)告》中指出�,2015年年底,中國(guó)互聯(lián)網(wǎng)金融的市場(chǎng)規(guī)模達(dá)到12萬(wàn)-15萬(wàn)億元��,占GDP的近20%���?�;ヂ?lián)網(wǎng)金融用戶人數(shù)已經(jīng)超過(guò)5億����,這樣龐大的用戶群和涉及面��,如果信息安全事件愈演愈烈甚至失控�����,將會(huì)對(duì)國(guó)家和社會(huì)造成不可估量的損失��,互聯(lián)網(wǎng)金融信息安全已經(jīng)刻不容緩����。
目前,金融企業(yè)內(nèi)部IT系統(tǒng)更為復(fù)雜化���,外包合作使內(nèi)部風(fēng)險(xiǎn)管理更加復(fù)雜��,BYOD(攜帶自己的設(shè)備辦公)使企業(yè)信息資產(chǎn)無(wú)處不在��,大數(shù)據(jù)使核心資產(chǎn)淹沒在之中難以識(shí)別����,云計(jì)算打破了傳統(tǒng)的網(wǎng)絡(luò)邊界防護(hù)�。李晨指出,企業(yè)安全威脅也在逐漸升級(jí)�����,正在從以蠕蟲病毒�����、拒絕服務(wù)攻擊�、溢出類漏洞攻擊、注入等Web攻擊為主的傳統(tǒng)威脅升級(jí)到以0Day攻擊����、多態(tài)及變形等逃避技術(shù)、多階段組合攻擊��、有組織的定向攻擊為主要手段的新一代威脅,企業(yè)安全運(yùn)維面臨更多的新的挑戰(zhàn)���。與會(huì)專家再次呼吁�,建立金融信息安全防御體系刻不容緩�。
綠盟科技智慧安全2.0戰(zhàn)略應(yīng)運(yùn)而生
信息安全行業(yè)專家綠盟科技積極應(yīng)對(duì),幫助銀行����、保險(xiǎn)等各類企業(yè)實(shí)現(xiàn)變革,助力金融智能安全運(yùn)營(yíng)防線的構(gòu)建�,綠盟科技智慧安全2.0戰(zhàn)略應(yīng)運(yùn)而生。
綠盟科技智慧安全2.0戰(zhàn)略是一個(gè)企業(yè)整體運(yùn)營(yíng)的升級(jí)換代過(guò)程�����,它幫助企業(yè)安全防護(hù)真正做到智能���、敏捷和可運(yùn)營(yíng)��。該方案包含綠盟云���、安全態(tài)勢(shì)感知解決方案、云計(jì)算安全解決方案以及下一代威脅防御解決方案。李晨表示�,態(tài)勢(shì)感知使安全耳聰目明、軟件定位給安全運(yùn)維帶來(lái)敏捷應(yīng)變�����、縱深防御帶來(lái)彈性和生存能力�����。它緊緊圍繞用戶需求�,大力提升線上也就是云中的安全能力��,打通技術(shù)�、產(chǎn)品和服務(wù)、解決方案���、交付運(yùn)營(yíng)等各個(gè)環(huán)節(jié)����,構(gòu)建真正的智能安全防御系統(tǒng)�����。
同時(shí),綠盟科技可協(xié)助客戶建立企業(yè)安全應(yīng)急響應(yīng)中心(SRC)�,幫助企業(yè)建立和維護(hù)自主可控的自有業(yè)務(wù)漏洞收集平臺(tái),從而避免漏洞在第三方平臺(tái)上暴露���。通過(guò)SRC的運(yùn)維數(shù)據(jù)積累�,企業(yè)建立貼合自有業(yè)務(wù)的漏洞知識(shí)庫(kù)來(lái)提升安全團(tuán)隊(duì)技術(shù)能力����,并且通過(guò)SRC可與白帽子直接建立長(zhǎng)期的信任互贏關(guān)系,幫助企業(yè)更從容地面對(duì)安全威脅�����。
數(shù)據(jù)安全歷來(lái)是企業(yè)信息安全工作的“最高使命”�。綠盟科技適時(shí)推出了數(shù)據(jù)泄露防護(hù)系統(tǒng),基于數(shù)據(jù)存在的三種形態(tài)(存儲(chǔ)����、使用、傳輸)�����,對(duì)數(shù)據(jù)生命周期中的各種泄密途徑進(jìn)行全方位的監(jiān)查和防護(hù)��,保證了敏感數(shù)據(jù)泄露行為事前能被發(fā)現(xiàn),事中能被攔截和監(jiān)查�����,事后能被追溯�。
第7篇
關(guān)鍵詞:中小企業(yè);信息安全;問(wèn)題;措施
信息安全主要指的是在網(wǎng)絡(luò)中承擔(dān)信息存儲(chǔ)的硬件或者軟件能夠在受到外界認(rèn)為破壞、修改的情況下長(zhǎng)期穩(wěn)定地運(yùn)行��,保證整個(gè)系統(tǒng)的信息服務(wù)不中斷�。在當(dāng)前網(wǎng)絡(luò)高度發(fā)達(dá)的今天,良好穩(wěn)定的信息安全體系是保障我國(guó)企業(yè)信息安全的重要保障���,企業(yè)中的信息安全包含了計(jì)算機(jī)操作系統(tǒng)、網(wǎng)絡(luò)傳輸協(xié)議�、安全防護(hù)等級(jí)以及各類認(rèn)證和簽名等安全保障組件,如下圖所示:
圖1 中小企業(yè)信息安全結(jié)構(gòu)
在整個(gè)安全體系中����,一旦有某一個(gè)組件發(fā)生了信息安全問(wèn)題,那么整個(gè)信息安全系統(tǒng)乃至整個(gè)企業(yè)的信息安全都有可能受到安全威脅�����。
一��、我國(guó)中小企業(yè)信息安全存在的問(wèn)題
1.信息安全風(fēng)險(xiǎn)大
當(dāng)前我國(guó)的中小企業(yè)普遍已經(jīng)開始認(rèn)識(shí)到信息安全的重要性,但是在思想上還沒有對(duì)企業(yè)的信息安全管理形成足夠重要的認(rèn)識(shí)���,當(dāng)前我國(guó)的多數(shù)中小企業(yè)管理人員在日常的工作中仍然沿襲傳統(tǒng)的管理方式��,并沒有進(jìn)行變革和創(chuàng)新���,因此在信息化普遍應(yīng)用的今天,仍然是一種信息化的表面現(xiàn)象�,在信息安全意識(shí)沒有深入根植的今天,多數(shù)的中小企業(yè)信息安全工作只是停留在表面�����。
2.專業(yè)人才缺乏
我國(guó)的中小企業(yè)在信息安全方面的人才一般都比較缺乏�����,信息安全工作的不重視使得企業(yè)管理人員不愿意花過(guò)多的資金在安全保障上��,畢竟安全不能夠直接產(chǎn)生經(jīng)濟(jì)效益�,因此在這樣的情況下,企業(yè)的信息化工作很難得到發(fā)展����,主要體現(xiàn)在沒有專業(yè)化的信息安全保障團(tuán)隊(duì)���,即使有了專門的工作人員,也不能夠在技術(shù)上達(dá)到足夠?qū)I(yè)的程度�����,管理人員和技術(shù)人員互相都不能夠溝通和兼顧����,
3.安全資金不足
在信息安全方面,由于我國(guó)的中小企業(yè)管理者普遍不夠重視���,因此也就很難投入大量的資金�,信息化工作是一項(xiàng)注重系統(tǒng)化的工作���,無(wú)論是硬件系統(tǒng)還是軟件系統(tǒng)的建設(shè)維護(hù)都需要大量的資金投入,因此離開了足夠的資金支持信息安全工作也就無(wú)法保證���。加上我國(guó)中小企業(yè)普遍競(jìng)爭(zhēng)激烈���,用于安全的資金十分有限,依靠外部融資的話又沒有足夠的信用進(jìn)行借貸�,加上借貸的風(fēng)險(xiǎn)也十分龐大����,大多數(shù)的銀行或金融機(jī)構(gòu)都不愿意將資金用在信息安全上�。
二、我國(guó)中小企業(yè)信息安全問(wèn)題的解決對(duì)策
1.強(qiáng)化安全風(fēng)險(xiǎn)意識(shí)
我國(guó)的中小企業(yè)����,首先就需要從思想上認(rèn)識(shí)到安全也是重要工作這樣一種思想,只有了解以后才能夠根據(jù)當(dāng)前的問(wèn)題進(jìn)行針對(duì)性解決�����。信息安全系統(tǒng)的建設(shè)并不是所有的安全工作都到位����,還需要根據(jù)企業(yè)的實(shí)際情況建立合適的安全策略,并在意識(shí)上強(qiáng)化工作人員的安全防范思想�,將安全擺在重要的位置上,也就是說(shuō)企業(yè)的信息安全工作需要企業(yè)管理人員的大力支持�����,還需要適合企業(yè)自身的安全防范方案����,只有在管理層思想上和執(zhí)行層的行動(dòng)上同時(shí)做到位��,企業(yè)的整體信息安全工作才能夠真正有效保障企業(yè)的安全����。
2.建設(shè)合理安全策略
在安全策略的選擇上����,無(wú)論企業(yè)選擇了哪一種方案,企業(yè)的用戶都要了解安全解決方案只能夠是企業(yè)信息安全工作的一部分���,甚至只是基礎(chǔ)性的工作�,企業(yè)不能夠過(guò)度依賴安全工具的使用�����,而疏于防范人的因素����,這是由于當(dāng)前的安全事件統(tǒng)計(jì)來(lái)看,我國(guó)的中小企業(yè)在信息安全問(wèn)題上出現(xiàn)最多的就是人為的安全事件��,因此企業(yè)的管理者必須要針對(duì)內(nèi)部控制建立有效的內(nèi)部安全策略��,保證企業(yè)的每一個(gè)員工都能夠準(zhǔn)確執(zhí)行自身的工作任務(wù)����。
值得注意的是,近些年來(lái)企業(yè)的網(wǎng)絡(luò)信息交流工具越來(lái)越多例如Skype����、BT等等,怎樣對(duì)這些數(shù)據(jù)傳輸工具進(jìn)行管理對(duì)于信息安全工作來(lái)說(shuō)是十分重要的����,雖然這些信息安全管理會(huì)在一定程度上影響到企業(yè)的網(wǎng)絡(luò)質(zhì)量,但是這些都是目前中小企業(yè)無(wú)法擺脫的應(yīng)用工具����,因此針對(duì)這樣的現(xiàn)象我國(guó)的中小企業(yè)需要進(jìn)行細(xì)分化的處理方式,例如讓企業(yè)用戶使用帶有IPS的協(xié)議分析過(guò)濾功能的交換機(jī)�����,在一定安全限制的條件下進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)傳輸應(yīng)用���。
3.信息安全外包建設(shè)
許多中小企業(yè)在自身信息安全建設(shè)的過(guò)程中�,由于經(jīng)驗(yàn)不足或者專業(yè)知識(shí)的缺乏無(wú)法獨(dú)立完成建設(shè)�,因此會(huì)在建設(shè)過(guò)程中帶來(lái)大量資金的浪費(fèi),還有軟硬件的升級(jí)上也需要后期的大量資金投入����,加上建設(shè)工作需要消耗大量的人力資源��,信息中心的網(wǎng)絡(luò)維護(hù)工作和安全管理人員��,這些都是不可避免地投入�。
三�����、總結(jié)
總的來(lái)說(shuō)�����,當(dāng)前我國(guó)中小企業(yè)的信息安全建設(shè)工作主要集中在自身安全策略以及解決方案上��,目前隨著時(shí)間的發(fā)展���,中小企業(yè)的信息安全漏洞會(huì)越來(lái)越多��,問(wèn)題也會(huì)越來(lái)越加劇�����,但是我國(guó)的中小企業(yè)已經(jīng)正在開始意識(shí)到該問(wèn)題���,將越來(lái)越多的資金投入在信息安全建設(shè)上,并通過(guò)外包的方式使用性價(jià)比較高的解決方案�,只有用專業(yè)的信息安全建設(shè)在自身的管理運(yùn)營(yíng)中,中小企業(yè)才能夠真正在市場(chǎng)競(jìng)爭(zhēng)中處于優(yōu)勢(shì)地位�。
參考文獻(xiàn):
[1]林山.中小企業(yè)信息安全問(wèn)題及解決方案[D].重慶大學(xué),2007.
[2]佚名.中小企業(yè)您的信息安全嗎����?[J].網(wǎng)絡(luò)與信息,2002�����,(1).
[3]陳俊豪.淺析中小企業(yè)電子商務(wù)中的信息安全問(wèn)題[J].中國(guó)商貿(mào)��,2010��,(25).
