时间:2023-08-16 17:11:36
引言:易发表网凭借丰富的文秘实践,为您精心挑选了九篇企业信息化安全建设范例。如需获取更多原创内容,可随时联系我们的客服老师。
【关键词】企业;信息化建设;信息安全
伴随着我国社会经济的发展,各个企业间的竞争也是非常的激烈。各企业发展的过程中重要工作就是加强信息化建设,在企业信息化建设发展的过程当中,又显现出来了信息安全的问题,加上有的不法分子会采取各种手段盗取企业的内部信息以便达到自己的经济利益。所以说研究企业信息化当中的信息安全问题是具有非常重要意义。
一、企业信息化建设过程中信息安全的问题
一般情况下能造成企业内部信息安全问题的原因分为外部原因和内部原因,可是不管是内部原因还是外部原因都会对企业的信息系统的安全带来隐患。
1.1企业内部因素
第一个方面是企业的信息安全意识不强,虽然是现在有很多的企业加快企业内部信息化建设的进程,但是有些企业只是在表面上看到信息化建设所带来的优势,而信息化建设当中的安全问题并没能够引起企业的足够重视,所以在信息化建设的过程中比较容易出现安全隐患。第二个方面就是我国的安全软件还是比较落后,虽然国内计算机软件技术在快速的反战,可是与一些发达的国家相比还是存在一定距离,第三个方面在管理操作方面存在问题,现在有很多的企业对于自己企业内部的信息安全问题还存在不够重视的问题,在企业信息系统的管理上不够谨慎,这就会被不法分子和黑客进入的机会,造成了企业的主要信息被盗取。第四个方面缺少优秀的专业管理团队,企业信息的系统安全是前期的制定和日常系统安全的维护以及日后都是由专业的人员来进行操作,所以相关的技术人员都必须具有很好的素养和贤能的技术,第五个方面法律法规的不全面。现在我国与企业信息安全问题的法律法规不全面这就造成企业内部信息被盗取不能得到相关的赔偿。
1.2企业外部因素
现在企业信息安全系统的威胁主要来自于外部的因素,随着我国经济社会的飞速变化,在竞争激烈情况下信息是非常重要的,大昂仁会有很多的不法分子会利用各种手段来盗取企业的信息为自身得到利益。还有些企业在于对手的竞争过程中使用不正当的手段来击垮对手保证自己企业的利益。
二、企业信息化建设过程中的信息安全与对策
在我国社会经济快速发展的今天,企业信息安全对于一个企业的发展是非常具有意义的,企业的信息被盗取和泄露会给企业带来很大的损失,所以说企业对信息安全问题必须要有足够的重视。有的企业已经做好了信息安全的必要工作就应该更加注意安全软件并不是时时刻刻都能做好安全的保护,做好安全保护还要加强管理。
2.1确保正确的安全意识
一个企业在信息化发展的过程中,应该认识到企业信息的安全问题和企业发展相互的关联。如果企业的重要内部信息被盗取或者泄露那么对于企业所造成的打击是非常大的,而与此同时也是给了对手创造了很好机会。所以确保正确的安全信息意识对于一个企业来说是非常重要的,也是为了以后给企业的各项工作打下了很好基础。
2.2选择安全性能比较高的软件
其实任何软件都不是牢不可破的,可是对于安全性能比较高的软件,如果说破解的话难度还是相当高的,所以企业选择安全软件的时候要选择安全性能高的,不要为了节省一点企业的支出而选择使用安全性能差的保护软件,一旦出现问题所造成的企业损失价值会大于软件的价格。
2.3加强企业网路管理
很大一部分的企业信息被盗取都是不法分子通过网络进行的,所以说必须要对企业的网络管理进行加强,这样才能确保企业信息系统在安全的状态的情况下运行。对于信息安全的种类和等级的高低来进行制定合理的方案,并且提前做出如果发生特殊情况下怎么进行处理的方案。如果说企业的信息安全发生危机的时候,企业应该快速的组建处理小组,针对信息安全危机的步骤处理并且做好危机处理的工作,还要避免出现由于处理不当而产生的各种情况。
三、结语
以上所述是企业信息化建设过程中所必需要面对的问题,一个企业的信息安全建设应该先从管理开始,必须做到以防范为主要,必需制定有效的安全防护把安全的风险降至最低。在现在经济发展的快速时代,企业信息的安全问题决定着企业的安全运营。
参考文献
[1]原黎.探析企业信息安全问题的成因及对策[J].现代工业经济和信息化.2011(08)
[2]张耀辉.关于企业信息化建设中的信息安全探讨[J].电子技术与软件工程.2013(14)
[3]赵晓华,陈秀芹,周文艳,夏莉莉,李建忠.网络环境下河北中小企业信息安全问题研究[J].科技资讯.2013(31)
[4]叶瑞强.企业网络信息安全存在的问题及对策[J].信息与电脑(理论版).2012(03)
关键词:供电企业;信息化建设;安全
中图分类号: C29 文献标识码: A
前言
企业生产销售、经营管理和技术的开发等领域是不断的达到社会经济效益和全面提高管理水平的整个过程。目前,供电企业已经建立了一套完成的包括文件处理、财务、人力资源、生产管理等各个专业的应用信息系统,全面促进企业发展,提高企业在社会市场的竞争。随着电力行业的高速发展,社会民众对供电企业的服务需求逐渐增多,这对企业信息化建设水平提出了更高的要求。面对社会发展的新形势,供电企业必须在先进信息技术基础之上,抓住信息化建设这一机遇,实现跨越式发展,争取早日建设成为一个优秀的现代公司。
1. 供电企业信息化建设安全常见问题及原因
1.1、重应用,轻管理的思想意识
供电企业信息化建设开展和实施以来,许多工作人员并没有在思想上转变传统的工作模式,依然只是将信息化建设和管理作为一项应用型工具,以为就是简单的计算机应用工作,缺乏必备的网络和信息数据安全管理知识。即便有些人了解到信息化建设安全的重要性,但是对于如何防范的措施却一知半解。还有大部分人存在侥幸心理,认为一切从简,密码简单、不开启防火墙、不备份数据文件、对于共享和可见性以及远程操作等关键环节更是随心所欲,造成供电企业信息化建设安全危机重重。
1.2、供电企业信息化人才短缺
在人才培养方面,供电企业更重视安全生产、营销服务等专业人才培养,对计算机、网络、通信方面人才不够重视,这让信息人才对企业归属感不强,感觉缺少发展空间。在人才管理机制方面,由于人才激励效果不明显,绩效考评制度不健全,导致供电企业的人才培养机制有效性不强。供电企业内管理专业工作人员对信息技术知识知之甚少,而信息技术管理人员又不懂安全生产、营销管理等业务,复合型人才严重短缺,也使企业务与信息技术相互不能有效的整合。在人员配置上,基层供电企业的计算机、网络、通信管理人员数量较少,信息化专业班组成立刚刚几年,如遇计算机、网络突发状况,无法及时处理。
1.3、缺乏有效的病毒防治管理
网络病毒是信息化建设安全的最大威胁之一,对于供电企业信息化建设安全来讲,重点就在于对网络病毒的防治和管理。网络病毒的防治和管理是一项长期且艰巨的任务,目前没有任何系统可以对所有病毒都具有防护的功能。而供电企业的基层单位对于病毒的防治大多数也只是安装单一的网络杀毒软件,再无其他的病毒防治预案。管理工作也通常比较简单和疏松,当杀毒软件无法识别或者根除一些病毒或者木马时,相应的技术人员也只是自己通过其他途径寻找解决方案,一旦实在无法解决就要面临重装系统,丢失所有当前数据文件信息的风险;更为严重的甚至会造成业务系统的崩溃,导致正常的工作难以进行。
1.4、供电企业信息化建设安全性不高
供电企业信息化建设是以局域网为基础的,网络通畅和安全问题是企业开展信息化建设必须考虑的重要问题。局域网络每一次发生故障,都会导致企业业务运行陷入瘫痪状态,其带来的损失难以估计。目前,造成供电企业信息化建设安全问题的原因主要有四个方面:一是杀毒软件没有真正发挥作用,目前全省供电企业已经安装了统一的杀毒软件,但在及时更新和升级方面还存在一些问题;二、计算机配置硬件水平参差不齐,一些基层单位仍在使用的计算机老旧,甚至不能安装较大的杀毒软件,否则无法启动,更谈不上安全性了。三是,计算机的管理人员与应用人的安全意识薄弱,殊不知竟有75%以上的安全问题是由于组织内部人员的不正常使用引起来的。四、局域网络运行可靠性低。在县供电企业局域网络基本为十年前建成,局域网络为单一通道,没有备用线路,一旦发生光缆损坏,涉及的单位通信终端,各项工作基本处于瘫痪状态,特别一些供电所位于偏远山区,一旦出现通信故障,维修耗时较长,影响正常工作。另外,机房等局域网重要节点缺少备用电源,一遇故障停电,全部网络中断。
2. 提高供电企业信息化建设安全的措施
2.1、建立健全信息化建设安全管理和考核机制
供电企业信息化建设安全管理是一项动态的、灵活的工作,不仅仅是引进了新的技术或者新的安全体系就能马上见效的,还要靠平时的管理和监测。技术所能起到的作用就是预防更多的已知的安全隐患;而管理则是灵活的,实施的主体以人为主,可以通过建立各种安全管理制度,用技术来对人进行约束和管理,真正发挥人的灵活性和主动性,在安全威胁来临之前就发挥防控作用,不给安全威胁发生的机会。同时,还要针对供电企业信息建设安全的特点建立一套涵盖引进标准、风险性评估和技术应用规范的安全管理体系。落实安全岗位职责,推行责任制,严格按着相关法律法规的标准结合企业实际的安全等级要求进行信息安全管理系统的建设和管理。将安全管理融入到信息系统的各个环节当中,实现每个环节的自管、自查和自评,再通过不定期的岗位临检,来考核信息化建设安全的各个环节是否达到规定的标准,提高信息化建设安全的重视程度,强化信息化建设安全意识。
2.2、培养信息化人才
供电企业应通过平等待遇、增强激励等方式培养一批高效的、专业的信息化建设人才。把信息化建设和业务管理放在同等的地位对待,在日常工作中,积极开展信息化专业人员培训、岗位练兵、专业竞赛等活动,为从事信息岗位员工提供发展空间和施展才能的平台,加强信息化人才储备,提高信息化人才在供电企业中的地位。加强企业其他员工信息化知识培训学习,营造良好的学习氛围,提高企业整体信息化应用水平。进一步培养复合型的人才,特别是在管理层要培养一批既懂业务管理又懂信息技术的管理人员,这样在管理上才能进一步提高水平。建立和完善供电企业信息化方面的人才管理和评价机制,采取合理有效的激励和绩效考核手段,调动员工积极性,不断完善用人制度,通过竞争、择优上岗,优化人力资源配置。
2.3、加强移动存储介质的控制和管理
鉴于移动存储介质的广泛应用和其实际应用中的便携性、灵活性,供电企业信息化建设安全部门应该根据行业的实际情况制定一些有效的移动存储介质使用标准和规范,并进行全员的教育和培训。其内容可以从移动存储设备的插拔使用、读写开关应用、加密设置和定期杀毒要领等基础知识展开。使企业内部的人员熟练掌握移动存储介质的基础知识和安全使用方法,逐步提高安全防范意识,养成良好的移动存储介质使用习惯。移动存储介质使用的具体安全管理工作可以从以下几个方面做起:一是妥善保管防止遗失;二是专职专用,严禁外借;三是定期杀毒;四是采取“双备份”原则;五是杜绝任何形式的非法外联操作。
结束语
综上所述中可以看出,供电企业信息化建设安全保障是一项综合技术和管理为主要内容的工作。供电企业信息系统的安全管理是一项综合性较强的课题,不仅仅涉及到了应用、技术和管理,还包括信息系统自身的安全性能以及物理和逻辑上面的计算的相关措施,技术仅仅只是解决某个问题的技术。因此,供电企业信息化安全建设是一项长期的、灵活的,需要供电企业全体人员共同参与的工作,还需要我们不断的努力学习和创新。
参考文献
[1]赵若楠,李瑞娇.供电企业信息化建设相关问题探讨[J].网络安全技术与应用,2013,11.
【关键词】企业信息化;信息安全问题;原因;对策
新时期下,信息化技术在各行业中运用日渐深入,给企业现代化建设与快速发展带来了无限动力。企业信息化建设已成为我国经济信息化建设能否成功的关键所在,也是提升企业自身市场竞争力与企业升级进步的重要保证和标志[1]。但是,企业信息化建设过程中不可避免的出现信息安全问题,给企业正常生产经营带来诸多不利影响。因此,加强企业信息化建设中信息安全管理,已成为现代企业经营管理的一个至关重要的工作。
1企业信息化概述
所谓的企业信息化,指的是实现企业的资金流、物流、作业流、信息流的数字化、网络化管理,实行企业运行的自动化和企业制度的现代化[2]。企业信息化建设涉及了企业生产经营中的各个部门,其主要利用现代化信息技术,通过完善企业内外网络信息系统,实现对企业内外知识与信息资源的开发。可见,建设企业信息化体系,不但可以及时有效的提供各种数据信息给企业决策层,也为企业未来规划设计提供参考依据,而且还有利于企业满足瞬息万变的市场需求,为企业市场核心竞争力的提升带来动力。
2当前企业信息化建设中信息安全问题
企业信息化建设与发展为企业持续、健康、稳定发展发挥了显著作用,但同时也存在着诸多信息安全问题,具体分析主要有以下几方面[3]:(1)当前,绝大多数企业缺乏完善的安全防御系统,导致企业内部使用的信息系统易遭受外部网络系统的攻击,引发企业信息资料被他人截获、篡改与伪造等问题,甚至企业信息系统中出现通信线路、硬盘设施以及其他文件系统遭恶意破坏现象,上述问题的发生不但致使企业信息系统无法正常运行,而且其内部机密信息易发生泄漏,造成企业严重的社会经济损失。(2)针对邮件系统攻击防不甚防。在企业信息系统中电子邮件具有重要的作用,通过电子邮件接收与传送,极大的方便了企业内部间与外部间信息交流与沟通。然而,电子邮件安全问题也日益突出,典型的如电子邮件病毒、垃圾邮件、机密信息泄露以及电子邮件炸弹等,给企业信息传输带来了巨大安全隐患。因此,电子邮件安全问题不可忽视。(3)漏洞攻击日益严重。按照漏洞问题发生原因可分为软件漏洞和协议漏洞两种,其中软件漏洞主要是受外部不法分子攻击软件自身存在的漏洞,造成企业信息泄露等问题;而协议漏洞则主要是由于TCP/IP协议自身在安全机制方面存在的诸多漏洞问题导致,外部不法人员通过攻击TCP/IP协议漏洞,致使企业信息系统遭受破坏。目前情况,很多企业对自身信息系统缺乏成熟的漏洞检测手段和能力,往往事发后才采取补救措施。(4)是Web服务安全问题突出,根据Web服务流程,其发生安全问题的主要组成包括Web服务端安全问题、浏览器客户端安全问题两种。其中,Web服务端安全问题主要是企业Web主机遭受外部不法分子侵入,导致企业保密信息遭窃或者企业部分信息遭受非法篡改等;浏览器客户端安全问题则是企业浏览器客户端遭外部非法分子侵入,致使部分机密信息与数据遭窃等。
3导致企业信息化建设中信息安全问题因素
企业信息化建设中信息安全问题发生受诸多因素影响,具体分析主要有以下几方面[4]:(1)目前,绝大多数企业在信息化建设过程中,对于信息安全问题重视度严重不足。一方面,受传统经营观念影响,企业管理层偏重于对企业生产经营中的有形资产给予关注与重视,而忽略了企业知识与信息资料等无形资源,导致在企业信息安全管理方面各项投入严重不足,进而造成信息安全问题日益凸显;另一方面,多数企业在面对信息安全问题时,存在着盲目乐观现象,认为信息安全问题不至于导致企业正常生产经营,使得信息安全管理无法上升至企业发展规划战略之中,进而造成信息安全问题得不到及时有效解决。(2)由于企业信息化建设在我国尚处于起步阶段,各方面配套管理制度不够完善,特别是缺乏健全的企业信息安全管理体制。受此影响,企业信息化建设中信息安全问题一方面无法得到有效的预防措施,另一方面是一旦发生信息安全问题,无法采取及时有效的补救与解决对策。同时,由于缺乏科学、合理、有效的企业信息安全防护策略,使得企业信息管理人员缺乏必要的安全防护意识与业务素质能力,致使企业信息安全防护软硬件工作质量与效率明显不足。上述两个因素,导致企业无论是从人员配置,还是资金与技术投入方面都严重不足,受企业信息管理人员业务素质能力不足、信息安全技术方法落后以及配套的资金缺乏等影响,企业信息安全防护的措施、手段偏低,造成企业信息化建设存在着严重安全隐患。
4提升企业信息化建设中信息安全对策
针对当前企业信息化建设中存在的信息安全问题,为加强企业信息安全管理,提升企业信息安全保障,可通过采取以下几方面对策,具体有[5]:(1)转变传统企业信息化建设观念,在企业内部管理层从上至下加强对企业信息安全的重视,并树立正确的安全意识。一方面,通过组织各种信息安全管理培训等,增强全体企业员工信息安全意识,确保企业保密信息不外漏;另一方面,逐步加大企业信息化建设中信息安全管理各项资金、技术、人力投入,并建立科学、合理、有效的企业信息安全防护策略,保障企业信息系统安全稳定。(2)不断的推进网络信息技术的发展与运用,促进企业组织结构网络化的实现,同时引进先进的安全防护技术,确保企业信息化系统安全稳定运行。任何网络信息系统都存在着或大或小的安全漏洞问题,而保证其不受外部不法分子侵入的一个关键方法就是安全防护技术的运用。通过选用先进的安全防护技术,可以有效的提高企业信息系统抵抗外来攻击,避免企业信息遭受窃取、篡改甚至破坏等,对于保障企业持续、健康、稳定发展具有显著作用。(3)结合企业信息化建设实际情况,建立健全企业内部信息系统管理体制。一方面,针对信息安全问题,应建立科学、合理、规范的信息安全管理体制,保证企业信息系统安全运行;另一方面,建立健全企业安全风险评估机制,针对不同系统找出影响其安全的因素和漏洞,并制定出最佳的对策,降低企业信息安全风险;此外,加强相应的网络管理,防止外来不法分子通过网络侵入企业信息系统。(4)根据新时期企业信息化建设需要,加强企业信息技术人才、信息管理人才队伍建设,为企业信息安全管理奠定坚实的人才基础。一方面,在企业内部,加强信息技术人才培训,提高企业内部相关人才业务素质能力;另一方面,在企业外部,采取有效措施,积极招聘人才,引进具有先进信息技术型人才;此外,建立健全企业信息安全管理用人机制,激发员工工作积极性,提高工作质量与效率。
5小结
总而言之,企业信息安全事关企业信息化建设是否成功,对于企业持续、健康、稳定发展具有至关重要的作用。因此,应提高企业信息安全管理意识,增强企业信息安全管理机制,促进企业信息安全管理工作质量与效率,保障企业信息化建设顺利开展。
作者:吴捷 单位:中海石油气电集团有限责任公司
参考文献
[1]毛志勇.企业信息化建设的信息安全形势与对策研究[J].科技与产业,2008,8,(1):43~45.
[2]纂振法,徐福缘.浅析企业信息化建设的意义、问题与对策[J].吉林省经济管理干部学院学报,2001,3:24~28.
[3]谢志宏.企业信息化建设中的信息安全问题研究[J].企业导报,2014(06):132~133.
【关键词】企业信息化建设;信息安全问题;防范措施
当今是信息爆炸时代,信息化时代的到来给企业带来了更为广阔的发展空间。企业通过互联网渠道搜集海量信息,为企业产品推广和联系客户提供了平台。当前,尤其是伴随着“两化融合”的推进,许多的企业都意识到加强信息化建设对自身发展的重要性,加大了对信息化建设的资金、人力投入,以促进企业走向信息化发展道路。但伴随着企业信息化建设过程中也出现了一些信息安全问题,例如:不法分子采取技术手段窃取企业重要信息进行不正当交易。企业重要信息一旦泄露,很可能会给企业带来严重的经济损失,严重者可能会造成企业倒闭。因此,作为企业而言在加快信息化建设的同时绝对不能忽视信息安全问题。深入性地分析信息安全问题产生的原因,积极采取有效措施,减少或者避免信息安全问题的发生。
1企业信息安全问题分析
就当前企业信息化建设中存在安全问题的原因来讲,只要主要有内因和外因两种。具体分析如下:
1.1内部原因
1.1.1企业信息系统安全意识薄弱
当前,多数企业都意识到信息化建设对自身发展的重要性,加大了信息化建设的投入力度。但因缺乏实践指导,管理层信息化意识缺乏,发展盲目,对信息安全问题往往忽视,使得信息化系统运行过程中出现不同程度的安全问题。
1.1.2信息安全软件技术不高
当前国内的信息安全软件技术虽然发展较快,但同国外发达国家的信息安全软件技术水平相比,差距仍旧比较大。并且信息安全软件是“盾”,黑客病毒是“矛”,防范措施总是很难赶上病毒以及黑客的发展。
1.1.3管理缺乏规范
部分企业由于没有从思想上认识到信息安全问题的危害性,重投入,轻管理,空有信息系统却管理混乱,没有建立有效的安全问题防范机制,这就给恶意人员侵入企业信息系统提供了机会,造成企业的重要信息被窃取或丢失。
1.1.4专业技术人员缺乏
一般而言,企业信息安全系统的维护和升级都要有专业的技术人员操作。但由于企业的高层对于信息化的认识程度、企业的发展程度差异,导致部分企业没有配置专门的管理技术人员,设备与系统缺乏专业的维护管理。
1.1.5信息安全问题的相关法律不够健全
针对当前国内危及企业信息安全的违法犯罪行为,我国还没有相关的法律法规体系,导致这种类型犯罪较难管理,企业因信息被窃取而造成的经济损失,也很难获得合理赔偿。
1.2外部原因
现阶段,企业信息系统受到的威胁主要来源于外部。随着现代信息技术的高速发展,信息逐渐在市场中突显出其重要作用。一些不法分子看准信息对企业发展重要性的这一点采用不同手段来窃取企业的一些重要信息来谋取利益。此外,还有一些企业为了能够在市场中取得竞争优势,也会采取一些不法手段来获取其他竞争对手的信息,借以打压竞争对手。
2企业信息化建设中安全问题的应对措施
2.1企业应提高信息安全问题防范意识
企业应提高信息安全问题防范意识,将信息安全问题防范工作上升到企业战略层面,将其放在企业信息化建设工作的重要位置,立足长远,合理规划,重视信息化建设中信息安全问题的防范,加强对信息安全问题的研究,积极采取有效措施防范可能会发生的信息安全问题,建立长效机制。
2.2正确选择信息安全防护软件
目前,企业在信息化建设中对于信息安全问题往往会采用信息安全防护软件方式来防范安全问题。但有些企业在选择信息安全防护软件时没有注重信息安全防护软件的质量,有时候选择一些防护性能弱,价格低廉的软件。使得信息安全防护软件起不到防护功能。即浪费了企业资金,由起不到应有的效果。
2.3加强企业信息系统管理
我们知道,不管是任何安全防护硬件或者软件都不是完美的,都存在一定的漏洞,都有可能遭到破坏和攻击,使其失去防护功能。所以,其只是辅助措施,对于信息安全防护工作不能完全依赖技术手段,以为只要采购好软硬设备旧高枕无忧了,而是要在拥有技术手段的同时,加强日常管理,建立长效管理机制。通过健全的信息安全管理制度,并且管理人员切实贯彻落实才能防患于未然。建立信息安全风险评估体制。基于企业的信息系统不是在同一时间和同一技术支持下所建立的,所以在信息系统运行管理中各个系统可能存在的运行安全隐患是不同的。这就需要企业根据系统的不同找出各自的不安全因素和漏洞。建立完善的信息安全风险评估体制,通过量化分析,制定切实可行的信息系统运行风险防范措施。加强网络管理。企业的信息系统遭到破坏,信息泄露都是企业外的一些不法分子通过网络来窃取的。因此,企业内部应建立完善的网络管理专业人才队伍,加强对网络安全管理,给企业信息系统的运行提供安全可靠环境。
3结语
总之,加强信息化建设已经成为当前企业必须要重视的课题。在企业信息化建设快速发展的同时,信息系统安全问题也越来越突出,给企业信息系统的可靠性运行造成了不同程度的影响,所以,企业应重视信息系统安全问题的分析和研究,采取有效的信息安全防范对策,确保企业信息系统的安全、稳定、可靠运行。
参考文献
关键词:信息化;网络安全;企业;解决方案
0 引言
现代企业信息化网络是基于内部传输网和Internet网络的互联网络,由于公众网络是一个相对开放的平台,网络接入比较复杂,挂接的相关点比较多,网络一旦接入公众网络,对于一些网络安全比较敏感的数据,传输的安全性就比较弱,比较危险。本文将重点分析企业网络系统安全性方面以及业务系统安全性方面存在的问题。
1 企业信息化网络存在的安全隐患
1.1 Windows系统的安全隐患
Windows的安全机制不是外加的,而是建立在操作系统内部的,可以通过一定的系统参数、权限等设置使文件和其他资源免受不良用户的威胁(破坏、非法的编辑等等)。例如设置系统时钟,对用户账号、用户权限及资源权限的合理分配等。
由于Windows系统的复杂性,以及系统的生存周期比较短,系统中存在大量已知和未知的漏洞。一些国际上的安全组织已经公示了大量的安全漏洞,其中一些漏洞可以导致入侵者获得管理员的权限,而另一些漏洞则可以被用来实施拒绝服务攻击。例如,Windows所采用的存储数据库和加密机制可导致一系列安全隐患:NT把用户信息和加密口令保存于NTRegistry的SAM文件即安全账户管理(securityAccounts Management)数据库中,由于采用的算法的原因,NT口令比较脆弱,容易被破译。能解码SAM数据库并能破解口令的工具有:PWDump和NTCrack。这些工具可以很容易在Internet上得到。黑客可以利用这些工具发现漏洞而破译―个或多个DomainAdministrator帐户的口令,并且对NT域中所有主机进行破坏活动。
1.2 路由和交换设备的安全隐患
路由器是企业网络的核心部件,它的安全将直接影响整个网络的安全。路由器在缺省情况下只使用简单的口令验证用户身份,并且在远程TELNET登录时以明文传输口令。一旦口令泄密,路由器将失去所有的保护能力。同时,路由器口令的弱点是没有计数器功能,所以每个人都可以不限次数地尝试登录口令,在口令字典等工具的帮助下很容易破解登录口令。每个管理员都可能使用相同的口令,路由器对于谁曾经作过什么修改没有跟踪审计的能力。此外,路由器实现的某些动态路由协议存在一定的安全漏洞,有可能被恶意攻击者利用来破坏网络的路由设置,达到破坏网络或为攻击作准备的目的。
1.3 数据库系统的安全隐患
一般的现代化企业信息系统包含着多套数据库系统。数据库系统是存储重要信息的场所并担负着管理这些数据信息的任务。数据库的安全问题,在数据库技术诞生之后就一直存在,并随着数据库技术的发展而不断深化。如何保证和加强数据库系统的安全性和保密性对于企业的正常、安全运行至关重要。
我们将企业数据库系统分成两个部分:一部分是数据库,按照一定的方式存取各业务数据。一部分是数据库管理系统(DBMS),它为用户及应用程序提供数据访问,同时对数据库进行管理,维护等多种功能。
数据库系统的安全隐患有如下特点:涉及到信息在不同程度上的安全,即客体具有层次性和多项性;在DBMS中受到保护的客体可能是复杂的逻辑结构,若干复杂的逻辑结构可能映射到同一物理数据客体上,即客体逻辑结构与物理结构的分离;客体之间的信息相关性较大,应该考虑对特殊推理攻击的防范。
2 企业信息化网络安全策略的体系
网络安全策略为网络安全提供管理指导和支持。企业应该制定一套清晰的指导方针,并通过在组织内对网络安全策略的和保持来证明对网络安全的支持与承诺。
2.1 安全策略系列文档结构
(1)最高方针
最高方针,属于纲领性的安全策略主文档,陈述本策略的目的、适用范围、网络安全的管理意图、支持目标以及指导原则,网络安全各个方面所应遵守的原则方法和指导性策略。安全策略的其他部分都从最高方针引申出来,并遵照最高方针,不与之发生违背和抵触。
(2)技术规范和标准
技术标准和规范,包括各个网络设备、主机操作系统和主要应用程序应遵守的安全配置和管理技术标准和规范。技术标准和规范将作为各个网络设备、主机操作系统和应用程序安装、配置、采购、项目评审、日常安全管理和维护时必须遵照的标准,不允许发生违背和冲突。它向上遵照最高方针,向下延伸到安全操作流程,作为安全操作流程的依据。
(3)管理制度和规定
管理制度和规定包括各类管理规定、管理办法和暂行规定。从安全策略主文档中规定的安全各个方面所应遵守的原则方法和指导性策略引出的具体管理规定、管理办法和实施办法,必须具有可操作性,而且必须得到有效推行和实施。它向上遵照最高方针,向下延伸到用户签署的文档和协议。用户协议必须遵照管理规定和管理办法,不与之发生违背。
(4)组织机构和人员职责
安全管理组织机构和人员的安全职责,包括安全管理机构组织形式和运作方式,机构和人员的一般责任和具体责任。作为机构和员工工作时的具体职责依照,此部分必须具有可操作性,而目必须得到有效推行和实施。
(5)用户协议
用户签署的文档和协议,包括安全管理人员、网络和系统管理员安全责任书、保密协议、安全使用承诺等等。作为员工或用户对日常工作中遵守安全规定的承诺,也作为违背安全时处罚的依据。
2.2 策略体系的建立
目前的企业普遍缺乏完整的安全策略体系,没有将政府高层对于网络安全的重视体现在正式的、成文的、可操作的策略和规定上。企业应当建立策略体系,制定安全策略系列文档。建议按照上面所描述的策略文档结构,建立起安全策略文档体系。
建议策略编制原则为建立一个统一的、体系完整的企业安全策略体系,内容覆盖企业中的所有网络、部门、人员、地点和分支机构。鉴于企业中的各个机构业务情况和网络现状差别很大,因此在整体的策略框架和体系下,允许各个机构根据各自情况,对策略体系中的管理制度、操作流程、用户协议、组织和人员职责进行细化。但细化后的策略文档必须依照企业统一制定的策略文档中的规定,不允许发生违背和矛盾,其要求的安全程度只能持平或提高,不允许下降。
2.3 策略的有效和执行
安全策略系列文档制定后,必须和有效执行。和执行过程中除了要得到企业高层领导的大力支持和推动外,还必须要有合适的、可行的和推动手段,同时在和执行前对每个本员要进行与其相关部分的充分培训,保证每个人员都了解与其相关部分的内容。必须要注意到这是一个长期、艰苦的工作,需要付出艰苦的努力,而且由于牵扯到企业许多部门和绝大多数人,可能需要改变工作方式和流程,所以推行起 来阻力会相当大;同时安全策略本身存在的缺陷,包括不切实际的、太过复杂和繁琐的、规定有缺欠的情况等,都会导致整体策略难以落实。
3 企业信息化网络安全技术总体解决方案
参考以上所论述的,结合现有网络安全核心技术,本文认为,企业信息化网络总体的安全技术解决方案将围绕着企业信息化网络的物理层、网络层、系统层、应用层和安全服务层搭建整体的解决方案,企业信息化网络建设将着重从边界防护、系统加固、认证授权、数据加密、集中管理五个方面进行,在企业信息化网络中重点部署防火墙、入侵检测、漏洞扫描、网络防病毒、VPN五大子系统,并通过统一的平台进行集中管理,从而实现企业信息化网络安全既定的目标。
3.1 防火墙系统的引入
通过防火墙系统的引入,利用防火墙“边界隔离+访问控制”的功能,实现对进出企业网的访问控制,特别是针对内网服务器资源的访问,进行重点监控,可以提高企业网的网络层面安全。防火墙子系统能够与入侵检测子系统进行联动,当入侵检测系统对网络中的数据包进行细粒度检测,发现异常,并通知防火墙时,防火墙会自动生成安全策略,将访问源阻断在防火墙之外。
3.2 入侵检测子系统的引入
入侵检测系统用于实时检测针对重要网络资源的网络攻击行为,它会对企业网内异常的访问及数据包发出报警,以便企业的网络管理人员及时采取有效的措施,防范重要的信息资产遭到破坏。同时,可在入侵检测探测器与防火墙之间建立互动响应体系,当探测器检测到攻击行为时,向防火墙发出指令,防火墙根据入侵检测系统上报的信息,自动生成动态规则,对发出异常访问及数据包的源地址给予阻断。入侵检测和防火墙相互配合,能够共同提高企业网整体网络层面的安全性,两个系统共同构成了企业网的边界防护体系。
3.3 网络防病毒子系统的引入
防病毒子系统用于实时查杀各种网络病毒,可防范企业网遭到病毒的侵害。企业应在内部部署网关级、服务器级、邮件级,以及个人主机级的病毒防护。从整体上提高系统的容灾能力,提升企业网整体网络层面的安全性。
3.4 漏洞扫描子系统的引入
漏洞扫描子系统能定期分析网络系统存在的安全隐患,把隐患消灭在萌牙状态。针对企业网络中存在众多类型的操作系统、数据库系统,运行着营销系统、财务系统、客户信息系统、人力资源系统等重要的应用,如何确保各类应用系统的稳定和众多信息资产的安全,是企业信息化网络中需要重点关注的问题。通过漏洞扫描子系统对操作系统、数据库、网络设备的扫描,定期提交漏洞及弱点报告,可大大提高企业网整体系统层面的安全性。该系统与病毒防范系统一起构成了企业网的系统加固平台。
3.5 数据加密子系统的引入
通过对企业网重要数据的加密,确保数据在网络中以密文的方式被传递,可以有效防范攻击者通过侦听网络上传输的数据,窃取企业的重要数据,或以此为基础实施进一步的攻击,从而提高了企业网整体应用层面的安全性。
关键词:电力;通信企业;安全文化;建设
现阶段,企业安全文化由于其本身具备有优良的安全管理手段的特点,已经受到众多企业广泛的关注。因此,怎样有效地构建安全文化是当前电力行业及通信企业共同探讨的话题。电力通信企业生产的主要目的在于如何有效地利用通信为电力企业搭建一个基础平台,能够准确地控制各项生产、营销、办公自动化的消息的全面传送,能够给电网的安全生产及经营管理提供安全、可靠的通信保障及优质的服务。它不仅具备维护量大、点多面广线长的特点,而且其技术更新过程很快,需要不断学习才能够具备驾驭能力。另外,其安全责任性相对较大,特别是针对电网安全运行,需要更新传统的通信安全观念,树立与电网安全生产要求相适应的安全管理理念。因此,电力通信企业的安全文化管理是一个繁杂的系统性工程,由于其涉及众多因素,必须长期坚持开展工作,而领导班子齐心协力是建设企业安全文化的重要基础。
1 安全文化建设的内涵及意义
电力通信企业的安全文化指的是在从事电力通信生产的实际过程中,为了能够保证生产能够正常进行,保护职工不受到伤害,通过长时间不断地积淀和总结,并结合当前形式下的市场积极制度所形成的一种思想及理论。其不仅是全体职工对安全工作形成阶段的一种共识,而且还是电力通信企业安全工作的基础与平台,更是实现电力通信企业安全生产长治久安的坚强后盾。因此,安全文化在电力通信安全管理阶段中具备非常重要的意义。
1.1 企业安全文化建设的步骤
1.1.1 建立机构
企业安全文化组织的保证来源于建立领导机构。委员会负责对领导的组织工作,日常工作开展主要依靠下设办公室完善,各项二级单位需要成立专门的领导小组。安全文化建设领导机构能够有效建立及正常运转都少不了高层领导的高度重视。各级领导需要充分意识到建设企业文化对企业发展的重要性,积极组织好安全文化小组,完成各项任务,要保证其在任务阶段能够获取有效成绩,推进企业安全文化建设步伐,以此带动企业安全生产管理水平的提升。
1.1.2 制订规划
在进行电力通信企业安全文化的建设过程中,需要有总体规划方案,即行动有计划,并且要定时定期地检查计划与规划的执行状况。在制定规划的过程中,需要调查分析安全文化所涉及的内容,并且要根据电力企业安全生产及经营管理对通信专业的基本要求,对企业的安全文化理念做定格的设定。要及时地制定科学的时间表,在实施计划过程需要讲究效率及效果,而且要定期检查实施情况。值得特别注意的是,企业必须与时俱进,要按照电力企业对通信企业提出的各项要求,进行创新文化的理念革新,及时修订安全文化的建设规划,使其能够适应时展。
1.1.3 训练骨干
在安全文化建设的过程中,只有训练出一批对安全文化建设有正确认识及深刻体验的骨干人才,才能够在一定基础上有效地带动群众队伍,从而齐心地建设和完善企业安全文化。这一过程的训练内容基本包括理论分析、实例分析及经验详谈和单位的实施方法等。企业骨干培训越多,企业安全文化建设的推动就越有利。所以,对于企业领导、班级领导,首先要让自己成为企业中的骨干,只有这样才能起到带头作用,才能更好地影响群众。
1.1.4 宣传教育
安全文化建设的手段主要通过宣传、激励、教育、感化的形式进行。通过采取各种文化模式,例如宣传激励、科技创新、文学艺术、教育培训等协助安全文化建设的推进工作。在此有几方面的内容需要强调,具体如下;
(1)要传递上级主管部门在各个环节的重要指示精神,特别是针对通信专业的具体要求,需要领悟其深刻思想,要在一定程度上加强安全生产的责任感。
(2)要积极、有效地运用“安全月”“安全隐患排查”的活动,及时做好安全文化建设的宣传工作,营造文化气氛。
(3)要抓住重大事故的案例进行对比,按照四不放过的原则进行严格管控,通过举一反三的形式对员工进行安全意识培养。
1.1.5 努力实践
在建设企业安全文化的阶段中,不仅需要做到雷厉风行,而且还要完善实际效果。安全建设文化实践的要点主要包括以下方面:
(1)高层领导需要起到表率的作用,要不断深入群众体系,聆听大众建议。
(2)管理人员在管理过程必须有创新精神,而且这个阶段需要培养新的工作作风。
(3)需要建立完善的机制,需要表彰奖励先进,对正确的行为方式给予鼓励。
2 企业安全文化建设的内容及方法
当前,在电网的安全管理及经营管理都依赖于通信的形势下,电力通信安全生产的重要性,在很大程度上决定了企业安全文化建设的必然性。其中,通信企业安全文化建设的内容主要包括以下方面:
(1)有效地完善安全机制,提升安全意识。
(2)通过对事故心理的研究,塑造优良的心理状态。
(3)加大教育力度,增强教育效果。
(4)不断完善安全立法,规范行为作业。
3 电力企业安全文化建设的途径
只有将“以人为本”的概念放在文化建设的首位,才能够有效地将企业文化塑造成具有可操作性的企业安全文化,并且以此为基础,形成相对的安全意识及安全价值观。当前,在电力体系不断改革的基础下,电力企业安全文化建设也在不断向人性化、统一化转变,由面向设备慢慢向面向人转变,由面向技术逐渐转变为面向规范化。
3.1 科学地树立安全价值观
在安全生产的实际阶段中,电力企业需要根据自身特点,培训员工普遍认同的科学的安全价值观及安全生产理念,运用简练的语言进行表述,以此激发员工的积极性以及提高员工的工作热情,从而提升安全生产责任感。采用正确的价值观去面对事故发生的瞬间,积极地调整和约束自己的行为,做出保护生命财产及减少损失的正确选择。以上这些行为措施,都对提高全体员工的安全素质有一定的意义,对其实现安全生产目标有推动性作用。
3.2 建立以人为本的文化概念
国外杜邦公司经过研究认为,96%的安全因素来源于人体行为。几年来,通过多起事故的实际调查分析,也充分证明了这一点。所以要想做好安全生产就需要对“人”进行有效管控,要从“人”这个管理要素入手,培养适合本企业的安全生产文化,并且这个阶段如何被广大职工接受,让其在内心深处留下积极印象,从而在安全生产中发挥重要作用,这应该是当前电力通信企业安全文化建设的首要任务。
3.3 建立分成负责的安全管理网络
在这一过程中需要建立一个以行政领导为中心、面向管理部门与基层部门班组辐射的安全管理网络。各层需要有专人负责,各层都需要做到人员、制度、措施的3个落实制度,每层都需要重视安全文明建设,各个层面都需要能够运行系统管理的原理方法及分析评价系统的安全状态,要及时发现通报系统中存在的危险信号,通过采取综合措施,让系统中发生的事故率有所降低,使其安全状态保持稳定。
3.4 建立统一的职业规范
根据电力系统的各项系统特征,需要制定一个有效的职业规范。安全生产技术的培训,在一定阶段中促成了职业规范的形成。严格的培训能够在一定基础上员工的行为形成一种准则及思维方式,能够让员工各就其位,各负其责,能够提高其工作效率及安全监管水平。企业需要定时对员工进行组织培训,培训内容应该以国家方针、政策、法律及企业安全生产技术为基础,特别要针对刚上岗的新员工进行严格的岗位培训。
目前,企业信息系统中的威胁主要来源于外部因素,随着社会的快速发展,在激烈的市场竞争中信息占有非常重要的位置,有很多不法分子会想方设法的利用各种手段窃取企业信息,最终获得经济效益。还存在部分企业在与对手竞争中为占取有利位置会采取不正当手段获取对方企业信息,最终达到击败对方的目的。目前在国内黑客人侵企业网络的主要手段有直接进攻企业信息系统和传播病毒两种。
二、当前企业信息化建设中完善信息安全的对策
(一)树立正确安全意识企业在信息化发展的进程中,应意识到企业信息的安全问题与企业发展之间存在的关联性。一旦企业的重要信息被窃取或外泄,企业机密被泄漏,对企业所造成的打击是非常巨大的,同时也给竞争对手创造了有利的机会。因此树立正确的安全意识对于企业是非常重要的这样才能为后面的工作打下良好的基础。
(二)选择安全性能高的防护软件虽然任何软件都是有可以破解方法的,但是对于安全性能高的软件而言,其破解的困难性也随之增加,所以企业在选择安全软件时应尽量选择安全性能高的,不要为节省企业开支而选择性能差的防护软件,如果出现问题其造成的损失价值会远远的大于软件价格。
(三)加强企业内部信息系统管理首先,对于企业信息系统安全而言,无论是使用哪种安全软件都会遭到攻击和破解,所以在安全防御中信息技术并不能占据主体,而管理才是信息安全系统的主体。因此建立合理、规范的信息安全管理体质对于企业而言是非常重要的,只有合理、规范的管理信息,才能为系统安全打下良好的基础。其次,建立安全风险评价机制。企业的信息系统并不是在同一技术和时间下所建设的,在日常的操作和管理过程中,任何系统都是会存在不同的优势和劣势的因此企业应对自身的信息系统做安全风险评估,根据系统的不同找出影响系统安全的漏洞和因素,并制定出详细的应对策略。
(四)加强网络安全管理意识首先,网络安全管理部门应树立正确的网络安全观念,加强对网络安全的维护,在企业人员培训中加入对人员的网络安全培训,从而使企业工作人员自觉提升安全防范意识,摆脱传统的思维模式,突破网络认识误区。加强对对网络黑客尤其是未成年人黑客的网络道德和法律教育,提高他们的法律意识,从而使他们自觉遵守网络使用的法律法规。其次,应当利用合理有效的方式普及对全体员工有关于网络法律法规及网络知识的教育,以提高他们的网络安全意识。
(五)网络的开放性使得网络不存在绝对的安全,所以一劳永逸的安全保护策略也是不存在的由此可以看出,企业实施的网络安全策随着网络问题的升级而发展的,具有动态特征。因此企业制定的策略要在符合法律法规的基础上,通过网络信息技术的支持,并根据网络发展状况、策略执行情以及突发事件处理能力进行相应的调整与更新,这样才能确保安全策略的有效性。此外企业还应综合分析地方网络安全需求,进一步制定更加完善的网络安全防护体系,以减少网络安全存在的风险,保证信息化网络的安全性。绝大部分的企业信息被窃取都是不法分子通过网络进行的,因此必须加强企业的网络管理,才能确保企业信息系统在安全的状态下运行。针对信息安全的种类和等级制定出行之有效的方案,并提前制定出如果发生了特定的信息安全事故企业应采取哪种应对方案。当企业信息安全危机发生时,企业应快速成立处理小组,根据信息安全危机的处理步骤和管理预案,做好危机处理工作,避免出现由于不当处置而导致的连锁危机的发生。另外,还应在企业内部做好信息安全的培训和教育工作,提高信息安全的管理意识,提高工作人员对安全危机事件的处理能力。
三、结语
【关键词】 企业 信息化建设 信息安全
前言
当前,信息化建设已经成为了各类企业建设和发展的重点内容,企业通过信息化建设的方式,让自身生产与流通工作可以更顺利地进行,并利用互联网,创造出现代企业新型发展模式。但是,就实际情况而言,企业的信息化建设并不是一直处于一个平稳的发展状态,在其发展的过程中也会受到诸多内部或外部因素的影响和束缚,在信息的安全方面也存在许多的问题,如黑客入侵或是病毒入侵。如果企业信息存在的安全问题比较严重,不仅会给企业信息化建设造成不利影响,还有可能会影响到企业的正常运营和发展。
一、造成企业信息化建设中的信息安全问题的原因
1.1内部原因
①企业内部的信息安全意识缺乏,目前,虽然很多的企业都提倡建设企业内部信息化,但是大部分企业过于注重信息化建设过程中得到的利益和优势,却忽略了信息化建设中信息的安全问题。
②软件安装的技术比较落后,黑客与病毒的发展速度比软件技术更新速度快。
③管理操作不得当,在对信息系统进行管理与操作的过程中过于粗心大意,给黑客与不法分子和黑客制造了入侵的机会,对企业的信息安全造成威胁。
④专业的管理人才缺乏,没有对企业的信息安全系统定制出合理的安全管理策略,且没有让专业的操作人员对统系统进行维护和升级,致使企业信息系存在信息安全隐患[1]。
1.2外部原因
对于大多数企业而言,信息系统中存在的安全威胁大部分来自于外部因素,随着社会的不断发展,信息建设在各类企业市场竞争中的地位和作用日益提高,许多的不法分子想尽办法对各类企业的信息进行窃取和破坏,以此来获得自身的利益。还有一部分企业为了得到竞争对手企业的各类商业信息,采用不正当的手段破坏或是入侵对手企业的信息系统,窃取对方企业的商业机密,以此来打倒对方。
二、企业信息化建设中存在的信息安全问题
2.1企业不够重视信息系统的安全问题
就目前而言,国内的大部分企业都没有给予信息系统安全问题足够的重视,没有意识到信息系统安全的重要性。近年来,虽然国内信息化建设得到了快速的发展,国内企业的信息安全程度也有所提高,但是大部分的企业还是没有意识到信息安全问题对企业的重要性,只看到了信息化建设给企业创造的短暂利益,而忽视了信息化建设信息安全的长远发展,未针对信息安全问题采取适当的防范措施,致使企业信息化的发展存在较多的安全隐患。
2.2企业信息化操作管理不到位
在企业进行信息化建设的过程中,大多数的企业没有认识到对企业信息进行科学管理和操作的重要性。相关的操作和管理人员在信息化建设的管理和操作中缺少合理性,导致黑客与入侵者有机可乘,造成企业信息外泄。企业的信息化建设是一个全新的的概念,其中的信息系统管理,信息安全系统的维护与升级都必须由专业的操作人员进行操作和管理,因此,专业技术人员专业技能的缺乏和个人的素质对企业的信息安全有着直接的影响。
2.3可用于信息化建设的软件较少
近年来,市场上各种类型的系统软件越来越多,但是能够真正用到企业信息化建设的系统软件却比较缺乏,特别是相较于国际市场,国内的软件无论是在适用范围,还是技术水平方面都比较落后,这也是给企业数据安全带来隐患的一大重要原因。
企业信息化建设使用的软件安全性能较低,很容易被病毒或是黑客入侵,从而对企业的信息安全造成威胁,虽然大部分的企业在商业机密信息方面设置了一定的操作权限,但是在企业的实际管理中,比较容易出现员工操作权限重复的情况,操作人员的责任不够明确,从而导致企业信息外泄或是数据丢失[2]。
三、企业提高信息化建设中的信息安全性的对策
3.1企业需树立正确安全意识
在企业信息化的发展进程中,企业应该充分了解企业信息安全问题和企业发展之间的关系。意识到一旦企业的重要机密发生外泄或者是被窃取,将会给企业造成不可估量的损失,并给竞争对手提供有利的机会。
因此,企业应该采取适当有效的措施,防止信息安全问题的产生,树立正确的信息安全意识,以便为企业未来的信息化发展打下更好的基础。
3.2加强企业内部信息系统管理
①正常来说,企业信息的系统使用任何的安全软件都有可能被攻击或被破解。在信息的安全防御过程中,最重要的并不只是信息技术,管理对于企业的信息安全系统来说也非常重要,只有对企业的信息进行合理、规范的管理,才能更有效提升企业信息系统的安全性。因此,合理的对信息安全管理体系进行规范化建设,对于企业的信息安全管理至关重要。
②完善企业安全的风险评估机制。企业信息系统的建设,并非是利用一种技术在短时间内能够完成,在平常的操作与管理中,所有的系统都有自己的优势与缺点,因此,企业应该针对本身信息系统的优势和缺点建立相关的安全风险评估机制,找到对信息系统安全造成影响的漏洞和原因,并及时地进行处理,以有效降低企业信息系统被攻击的可能性。
3.3运用安全性较高的防护软件
尽管所有的防护软件都有办法破解,但是安全性越高的防护软件,破解的难度就越大,企业信息被窃取或是泄露的可能性也就越低。因此,企业在对安全防护软件进行选择时,不应该为了节省企业的成本,而在信息系统中使用一些安全性较低的防护软件,应该选技安全系数较高的防护软件,防止信息系统出现安全问题,给企业带来更大的经济损失。
3.4加强企业的网络管理
大多数的不法分子都是通过网络对各个企业的信息进行窃取和破坏,因此,企业需要加强企业的网络管理,以确保企业信息系统的运行可以在安全的状态下进行。企业应该依据信息安全的等级、种类制定出相关的防护措施和方案,并提前制定好信息安全事故发生之后,企业应该采取的解决措施[3]。在企业的信息安全受到威胁时,企业应该及时成立起危机处理小组,让该小组依据信息安全危机处理的步骤与预案,进行危机处理,防止危机处理不当而出现更加严重的连锁危机。此外,企业应该对内部的员工进行信息安全培训与教育,提升员工信息安全管理意识和安全危机事件的处理能力,从而有效防止企业自身失误而造成的信息安全问题。
四、结束语
总之,在这个信息化的时代,企业进行信息化建设是其发展和生存的重要途径。但就目前而言,我国大部分的企业都只看到了信息化建设的优势,没有意识到信息系统安全问题的重要性,信息系统还处在一个长期不设防的状态当中,这一情况直接影响了企业信息系统的安全性。因此,为了提高现代企业信息系统的安全性,企业就应该重视信息系统的安全问题,树立正确的信息安全意识,采取有效的防范措施、不断完善企业的信息管理体系,在企业信息化建设过程中,对可能会影响信息系统安全的因素进行全面考虑,以确保企业信息系统建设的安全性。
参 考 文 献
[1]艾戬.企业信息化建设中的信息安全探究[J].网络安全技术与应用,2015,9(3):101-102.
一、新时期煤矿企业安全文化建设的内涵解析
(一)安全文化的产生与发展。安全文化是在社会生产以及人类生存过程中的客观存在与主观存在,所以,安全文化随着人类社会的产生而产生,随着人类社会的发展而发展。然而,在最近十年间,人类才有意识地发展安全文化,建设安全文化。随着我国技术水平的不断提高以及工业进程的不断加快,人类对于安全文化逐步有了系统、科学的理解和认识。根据安全文化的演变以及发展过程,本文将安全文化归纳为几个阶段,时代的安全文化、近代安全文化、现代安全文化以及发展的安全文化。
(二)安全文化的内涵。安全文化既是文化的一个分支,更是社会文化的重要组成部分。在工业领域的安全文化就被称为企业安全文化,倘若与管理工作或者行政工作相结合,就成为安全管理文化。总之,安全文化可以应用到各个行业和各个领域,安全文化的核心就是保障和维护人们的身心健康及生命安全。无论是哪个领域的安全文化,都包含两个层次的结构。
安全文化的第一个层次就是表层结构,由安全使用标准和安全使用规范组成。表层结构还可以细分为非立约和立约两类:非立约类的表层安全文化就是没有用法规的形式表现出来,但是在人们内心约定俗成的一些内容,比如安全礼让、安全崇尚、安全习惯、安全风俗等;立约类的表层安全文化就是指用一定的形式明确规定出来的一些内容,比如技术标准、规章、制度、条例、法律等。
安全文化的第二个层次就是里层结构,这是安全文化的理性部分,包括“安全第一”的生产及经营原则、“安全第一”的道德思想、“安全第一”的科学思想等。总之,这些内容集中体现为“安全第一”的价值观,具体表现为以下安全要素:誓言;环境;发展战略;道德;民主;价值;管理哲学;道路;信条;追求;风格;精神;宗旨;目标。
二、新时期煤矿企业安全文化建设中的一些问题
(一)安全文化建设程度不够深入。随着我国社会经济的不断发展以及改革开放的不断深入,我国大部分的煤矿企业相继开始了安全文化的建设工作,全国各地兴起了“文化热”。然而,在实际的实施过程中,煤矿企业大多重视安全技术改造方面的工作,忽视企业的安全文化建设。此外,有些煤矿企业的中层文化建设和表层文化建设都比较到位,但是,企业的安全文化规章制度还是停留在表面上和纸面上,没有内化为全体员工的行为准则和安全习惯,即深层企业安全文化建设还比较薄弱。
(二)安全文化建设缺乏整体规划。虽然国内很多学者对企业安全文化进行了研究,但是,这种分析和研究大多停留在理论层面和口头层面上,安全文化的理论研究成果可操作性不强,不能适应生产实践和社会发展的需要。煤矿企业安全文化的研究人员大多是煤矿企业的一线工作者,经验大多为经验式的,不太注重研究结论和研究过程的检验性和试验性。此外,安全文化建设缺乏整体规划,大多数煤矿企业没有制定科学完善的安全规划以及安全方案,安全文化建设过程沦为一般的安全教育过程。
(三)安全文化建设存在认识误区。简而言之,企业安全文化就是人们自觉形成、自觉遵守、自觉坚持的一种约定俗成的安全习惯和行为准则。但是,对于安全文化的理念以及内涵,一些人还存在认识上的误区,具体表现如下:有的人认为安全文化建设就是搞一些文艺演出和安全活动,这种认识是浅层次的、表面性的,没有深刻领会安全文化建设的真谛;有的人认为安全文化建设就是单纯营造一种安全文化氛围,写一些安全警句,悬挂一些安全标示等;还有些人认为安全文化建设就是一般性的安全培训和安全教育。
(四)安全文化建设缺乏科学评估。由于文化的“软”特点,难以进行有效测量和有效评估。安全文化评价指标体系的建立是一项复杂、艰巨的任务和工作,它需要一套系统、完善、科学、合理的建设方案和建设计划,包括评价结果的测量、评价方法的确定、评价指标的收集等。当前,我国在安全文化的评价指标体系方面的工作还不够完善,虽然有学者进行了这方面的研究,但是没有建立一套能够进行综合评价和系统分析的定量方法,其操作性和可行性更需要进一步的研究和探讨。
三、新时期煤矿企业安全文化建设中的具体策略
在实际的建设中,煤矿企业应该高度重视安全文化建设,立足本企业的实际生产状况以及本行业的实际建设现状,转变安全文化建设观念,创新安全文化建设思路,改进安全文化建设方法,培训企业独有的安全文化,进而充分发挥安全文化对于企业发展的巨大作用。
(一)增强企业安全文化建设意识。在煤矿企业安全文化的建设过程中,必须提高认识,转变观念,增强企业安全文化建设意识。我们要开展各种形式的安全教育活动,组织各种类型的安全培训学习,建立起一套行之有效的安全文化规章制度。首先,煤矿企业的各个管理层人员以及 (下转第65页)
(上接第50页)领导层必须高度重视企业安全文化的建设工作,转变安全文化建设观念,创新安全文化建设思路,树立人性化、精细化、科学化的安全文化建设理念。其次,直接参与到煤矿企业安全生产的工作人员要自觉接受安全宣传教育,努力学习安全生产知识。最后,要充分发挥黑板报、报纸、电视、广播等宣传阵地和宣传媒体的作用,加强企业安全文化建设的必要性、重要性方面的宣传。
(二)注重安全文化建设实践。首先,我们要突出重点,注重实效,努力把对企业安全文化建设的理论研究转变为企业的实际建设。第一,要不断宣传和灌输安全文化建设理念。第二,要不断创新安全文化教育活动。第三,要深入开展和举办各种类型的安全文化活动。通过这些安全文化教育活动,让员工加强对安全文化建设的理论认识和理解,包括安全建设规程、安全标语、安全警句、企业精神、安全理念等制作成图文并茂的各种宣传板,进而营造一种良好的企业安全文化建设氛围,使安全生产工作人员随时随地接受安全文化的熏陶。
(三)建立安全文化建设评价体系。针对当前的企业安全文化建设评价方面的问题,比如评价主观性过强,评价方法较为简单等问题,要建立科学有效的安全文化建设评价体系。依据我国目前的煤矿企业的安全建设的实际状况,本文提出了以下9个安全文化评价指标,以供参考:员工素质、一线员工的安全事务影响力、安全行为激励、安全信息传播、安全培训、安全管理、安全环境、安全承诺、资金投入。
(四)提高安全工作人员的素质。与其他行业相比,煤矿企业的工作人员的整体素质偏低,尤其是在井下采掘的一线员工。对于煤矿企业来讲,员工的安全技能培训非常重要,煤矿企业的管理人员必须高度重视。其一,建立健全员工培训机制,将员工培训放在煤矿企业管理工作的首要位置。其二,掌握实情,摸清底子,根据员工的业务技能、文化程度、知识结构的实际情况,有针对性地开展员工培训。其三,要根据施工安全技术和施工场地,分期、分批、分岗位、分工种地进行有针对性的、有重点的培训。其四,不断创新培训观念和培训形式,注重培训的实际效果。
