緒論:在尋找寫作靈感嗎?愛發(fā)表網(wǎng)為您精選了8篇關(guān)于企業(yè)信息安全措施,愿這些內(nèi)容能夠啟迪您的思維�����,激發(fā)您的創(chuàng)作熱情�,歡迎您的閱讀與分享��!
篇1
隨著油田信息化高速發(fā)展����,大批業(yè)務(wù)系統(tǒng)集中部署在數(shù)據(jù)中心���,信息資產(chǎn)呈現(xiàn)高度集中趨勢��,給企業(yè)信息安全保障工作提出了新的要求��。信息安全態(tài)勢日益嚴(yán)峻�����,黑客攻擊手段不斷翻新���,利用“火焰”病毒����、“紅色十月”病毒等實施的高級可持續(xù)攻擊活動頻現(xiàn)���,對國家和企業(yè)的數(shù)據(jù)安全造成嚴(yán)重威脅���。因此,及時掌握信息系統(tǒng)保護(hù)狀況�,持續(xù)完善系統(tǒng)安全防護(hù)體系,對于保證信息資產(chǎn)的安全性和油田業(yè)務(wù)系統(tǒng)的連續(xù)性具有重要的現(xiàn)實意義��。在信息安全領(lǐng)域中����,安全評估是及時掌握信息系統(tǒng)安全狀況的有效手段。而其中的信息安全風(fēng)險評估是是一種通用方法�����,是風(fēng)險管理和控制的核心組成部分�����,是建立信息系統(tǒng)安全體系的基礎(chǔ)和前提,也是信息系統(tǒng)等級測評的有效補(bǔ)充和完善��。因此��,研究建立具有油田公司特色的信息安全風(fēng)險評估模型和方法,可以為企業(yè)科學(xué)高效地開展信息安全風(fēng)險評估工作提供方法指導(dǎo)與技術(shù)保障,從而提高油田勘探開發(fā)、油氣生產(chǎn)和經(jīng)營管理等數(shù)據(jù)資產(chǎn)的安全性,為油田公司信息業(yè)務(wù)支撐平臺的正常平穩(wěn)運(yùn)行保駕護(hù)航�����。
1風(fēng)險評估研究現(xiàn)狀
從當(dāng)前的研究現(xiàn)狀來看,安全風(fēng)險評估領(lǐng)域的相關(guān)研究成果主要集中在標(biāo)準(zhǔn)制定上。不同的安全評估標(biāo)準(zhǔn)包含不同的評估方法�����。迄今為止�,業(yè)界比較認(rèn)可的風(fēng)險評估相關(guān)標(biāo)準(zhǔn)主要有國際標(biāo)準(zhǔn)ISO/IECTR13335IT安全管理、美國NIST標(biāo)準(zhǔn)SP800-30IT系統(tǒng)風(fēng)險管理指南(2012年做了最新修訂)����、澳大利亞-新西蘭標(biāo)準(zhǔn)風(fēng)險管理AS/NZS4360等。我國也根據(jù)國際上這些標(biāo)準(zhǔn)制定了我國的風(fēng)險評估標(biāo)準(zhǔn)GB/T20984-2007信息安全技術(shù)風(fēng)險評估規(guī)范以及GB/Z24364-2009信息安全技術(shù)信息安全風(fēng)險管理指南���。
1.1IT安全管理ISO/IECTR13335
IT安全管理ISO/IECTR13335系列標(biāo)準(zhǔn)是最早的清晰描述安全風(fēng)險評估理論及方法的國際標(biāo)準(zhǔn)���,其主要目的是給出如何有效地實施IT安全管理的建議和指導(dǎo)��,是當(dāng)前安全風(fēng)險評估與風(fēng)險管理方面最權(quán)威的標(biāo)準(zhǔn)之一��。ISO/IECTR13335(以下簡稱為IS013335)包括了五個部分:第一部分IT安全概念和模型(1996)主要描述了IT安全管理所用的基本概念和模型����。IS013335介紹了IT安全管理中的安全要素,重點描述了:資產(chǎn)�、威脅����、脆弱性、影響�����、風(fēng)險�����、防護(hù)措施�����、殘留風(fēng)險等與安全風(fēng)險評估相關(guān)的要素�。它強(qiáng)調(diào)風(fēng)險分析和風(fēng)險管理是IT安全管理過程的一部分�,也是必不可少的一個關(guān)鍵過程���。圖1表示資產(chǎn)怎樣潛在經(jīng)受若干威脅。[2]如圖1所示����,某些安全防護(hù)措施在降低與多種威脅和/或多種脆弱性有關(guān)的風(fēng)險方面可以是有效的�����。有時,需要幾種安全防護(hù)措施使殘留風(fēng)險降低到可接受的級別����。某些情況中,當(dāng)認(rèn)為風(fēng)險是可接受時����,即使存在威脅也不實施安全防護(hù)措施���。在其他一些情況下�,要是沒有已知的威脅利用脆弱性�,可以存在這種脆弱性���。圖2表示與風(fēng)險管理有關(guān)的安全要素之間的關(guān)系���。為清晰起見,僅表示了主要的關(guān)系��。任何二個方塊之間箭頭上的標(biāo)記描述了這些方塊之間的關(guān)系��。第二部分管理和規(guī)劃IT安全(1997)主要提出了與IT安全管理和規(guī)劃有關(guān)的各種活動�����,以及組織中有關(guān)的角色和職責(zé)�。[2]第三部分IT安全管理技術(shù)(1998)本部分介紹并推薦用于成功實施IT安全管理的技術(shù),重點介紹了風(fēng)險分析的四種方法:基線方法��、非正式方法���、詳細(xì)風(fēng)險分析和綜合方法��。[2]第四部分安全防護(hù)措施的選擇(2000)為在考慮商業(yè)需求和安全要素的情況下選擇安全防護(hù)措施的指南���。它描述了根據(jù)安全風(fēng)險和要素及部門的典型環(huán)境�,選擇安全防護(hù)措施的過程�,并表明如何獲得合適的保護(hù),如何能被最基礎(chǔ)的安全應(yīng)用支持��。[2]第五部分網(wǎng)絡(luò)的安全防護(hù)措施(2001)為關(guān)于網(wǎng)絡(luò)和通信方面的IT安全管理指南����,這一指南提供了根據(jù)建立網(wǎng)絡(luò)安全需求來考慮的通信相關(guān)因素的識別和分析。[2]
1.2風(fēng)險評估實施指南
SP800-30SP800-30(風(fēng)險評估實施指南����,2012年9月)是由NIST制定的與風(fēng)險評估相關(guān)的標(biāo)準(zhǔn)之一,它對安全風(fēng)險評估的流程及方法進(jìn)行了詳細(xì)的描述���,提供了一套與三層風(fēng)險管理框架結(jié)合的風(fēng)險評估辦法����,用于幫助企業(yè)更好地評價��、管理與IT相關(guān)的業(yè)務(wù)面臨的風(fēng)險。它包括對IT系統(tǒng)中風(fēng)險評估模型的定義和實踐指南�,提供用于選擇合適安全控制措施的信息。SP800-30:2012中的風(fēng)險要素包括威脅���、脆弱性�����、影響、可能性和先決條件��。(1)威脅分析威脅源從利用脆弱性的動機(jī)和方法���、意外利用脆弱性的位置和方法等方面進(jìn)行分析��。(2)脆弱性和先決條件考慮脆弱性時應(yīng)注意脆弱性不僅僅存在于信息系統(tǒng)中����,也可能存在于組織管理架構(gòu)��,可能存在于外部關(guān)系����、任務(wù)/業(yè)務(wù)過程����、企業(yè)/信息安全體系架構(gòu)中��。在分析影響或后果時����,應(yīng)描述威脅場景,即威脅源引起安全事件導(dǎo)致或帶來的損害��。先決條件是組織�����、任務(wù)/業(yè)務(wù)過程���、企業(yè)體系架構(gòu)�����、信息系統(tǒng)或運(yùn)行環(huán)境內(nèi)存在的狀況��,威脅事件一旦發(fā)起��,這種狀況會影響威脅事件導(dǎo)致負(fù)面影響的可能性����。(3)可能性風(fēng)險可能性是威脅事件發(fā)起可能性評價與威脅事件導(dǎo)致負(fù)面影響可能性評價的組合。(4)影響分析應(yīng)明確定義如何建立優(yōu)先級和價值�����,指導(dǎo)識別高價值資產(chǎn)和給單位利益相關(guān)者帶來的潛在負(fù)面影響��。(5)風(fēng)險模型標(biāo)準(zhǔn)給出了風(fēng)險評估各要素之間的關(guān)系的通用模型����。[3]
1.3風(fēng)險評估規(guī)范
GB/T20984-2007GB/T20984-2007是我國的第一個重要的風(fēng)險評估標(biāo)準(zhǔn)�。該標(biāo)準(zhǔn)定義了風(fēng)險評估要素關(guān)系模型,并給出了風(fēng)險分析過程�,具體如圖3所示:風(fēng)險分析中涉及資產(chǎn)、威脅���、脆弱性三個基本要素��。首先識別出威脅���、脆弱性和資產(chǎn),然后根據(jù)威脅出現(xiàn)的頻率和脆弱性的嚴(yán)重程度分析得到安全事件發(fā)生的可能性����,再根據(jù)脆弱性嚴(yán)重程度和資產(chǎn)價值分析得到安全事件造成的損失,最后根據(jù)安全事件發(fā)生的可能性及造成的損失分析確定風(fēng)險值��。
2信息安全風(fēng)險評估模型構(gòu)建
結(jié)合某油田企業(yè)實際情況��,在參考上述標(biāo)準(zhǔn)及風(fēng)險分析方法風(fēng)險分析的主要內(nèi)容為:a)識別資產(chǎn)并對資產(chǎn)的價值進(jìn)行賦值;b)識別威脅,并根據(jù)威脅出現(xiàn)的頻率給威脅賦值;c)識別脆弱性���,并將具體資產(chǎn)的脆弱性賦為2個值,一個是脆弱性嚴(yán)重程度��,一個是脆弱性暴露程度;d)分析脆弱性被威脅利用可能導(dǎo)致的安全事件;e)分析確定出安全事件發(fā)生后帶來的影響不能被單位所接受的那些安全事件;可以接受的安全事件對應(yīng)的風(fēng)險等級確定為低;f)針對不可接受安全事件����,分析相應(yīng)的威脅和脆弱性�,并根據(jù)威脅以及脆弱性暴露程度�,以及相關(guān)安全預(yù)防措施的效果計算安全事件發(fā)生的可能性;g)針對不可接受安全事件���,根據(jù)相應(yīng)脆弱性嚴(yán)重程度及資產(chǎn)的價值,以及相應(yīng)預(yù)防措施的有效性計算安全事件造成的損失:的基礎(chǔ)上�����,總結(jié)形成油田企業(yè)風(fēng)險要素關(guān)系模型如圖4所示,風(fēng)險計算模型如圖5所示:h)根據(jù)不可接受安全事件發(fā)生的可能性以及安全事件發(fā)生后的損失,計算安全事件發(fā)生會對企業(yè)造成的影響,即風(fēng)險值���,并確定風(fēng)險等級����。
3模型創(chuàng)新點及優(yōu)勢分析
信息安全風(fēng)險評估方式和方法很多,如何建立適合油田企業(yè)當(dāng)前安全需求的風(fēng)險評估模型、評估要素賦值方法以及風(fēng)險計算方法是本文要解決的技術(shù)難點和創(chuàng)新點�。1)對于資產(chǎn)的賦值,從資產(chǎn)所支撐的業(yè)務(wù)出發(fā)����,結(jié)合信息系統(tǒng)安全保護(hù)等級及其構(gòu)成情況,提出了根據(jù)業(yè)務(wù)數(shù)據(jù)重要性等級和業(yè)務(wù)服務(wù)重要性等級確定資產(chǎn)的重要性,使得風(fēng)險評估與業(yè)務(wù)及等級保護(hù)結(jié)合更加緊密�。2)對于脆弱性賦值,將脆弱性細(xì)分為暴露程度及嚴(yán)重程度兩個權(quán)重。其中暴露程度與威脅賦值確定安全事件發(fā)生可能性,嚴(yán)重程度與資產(chǎn)價值確定安全事件造成的影響���。3)將現(xiàn)有安全措施進(jìn)一步細(xì)化,分解為預(yù)防措施和恢復(fù)措施���,并研究得到預(yù)防措施有效性會影響到安全事件發(fā)生可能性,而恢復(fù)措施有效性會影響到安全事件造成的損失。4)結(jié)合被評估單位的實際業(yè)務(wù)需求����,提出了僅針對被評估單位的不可接受安全事件進(jìn)行數(shù)值計算,減少了計算工作量�,有助于提升風(fēng)險評估工作效率。5)根據(jù)油田企業(yè)實際需求���,將安全事件發(fā)生可能性和安全事件造成的損失賦予不同的權(quán)重�����,從而使得風(fēng)險計算結(jié)果中安全事件損失所占比重更大�����,更重視后果;并通過實例驗證等方式歸納總結(jié)出二者權(quán)重比例分配�����。
險評估模型應(yīng)用分析
4.1資產(chǎn)識別
資產(chǎn)識別主要通過現(xiàn)場訪談的方式了解風(fēng)險評估范圍涉及到的數(shù)據(jù)����、軟件���、硬件�����、服務(wù)�����、人員和其他六類資產(chǎn)相關(guān)的業(yè)務(wù)處理的數(shù)據(jù)及提供的服務(wù)和支撐業(yè)務(wù)處理的硬件設(shè)備和軟件情況����。4.1.1資產(chǎn)重要性分析資產(chǎn)重要性分析以信息系統(tǒng)的業(yè)務(wù)為出發(fā)點,通過對業(yè)務(wù)處理的數(shù)據(jù)以及提供的服務(wù)重要性賦值的方法確定信息系統(tǒng)資產(chǎn)價值���。業(yè)務(wù)處理的數(shù)據(jù)以及業(yè)務(wù)提供的服務(wù)的重要性分析及賦值方法具體如下���。4.1.1.1業(yè)務(wù)數(shù)據(jù)重要性分析業(yè)務(wù)數(shù)據(jù)資產(chǎn)的重要性主要根據(jù)業(yè)務(wù)數(shù)據(jù)的安全屬性(即三性:保密性、完整性和可用性)被破壞對本單位造成的損失程度確定����。油田企業(yè)各業(yè)務(wù)系統(tǒng)所處理的數(shù)據(jù)信息根據(jù)數(shù)據(jù)安全屬性被破壞后可能對油田企業(yè)造成的損失嚴(yán)重程度進(jìn)行賦值。一般賦值為1—5�。4.1.1.2業(yè)務(wù)服務(wù)重要性分析服務(wù)資產(chǎn)的重要性根據(jù)其完整性和可用性被破壞對本單位造成的損失程度確定��。通過與相關(guān)人員進(jìn)行訪談,調(diào)查了解每種業(yè)務(wù)提供的服務(wù)和支撐業(yè)務(wù)處理的硬件設(shè)備和軟件情況�,根據(jù)服務(wù)安全屬性被破壞后可能對油田企業(yè)造成損失的嚴(yán)重程度��,為各種業(yè)務(wù)服務(wù)重要性賦值。一般賦值為1—5��。4.1.2資產(chǎn)賦值通過分析可以看出�,六類資產(chǎn)中數(shù)據(jù)資產(chǎn)和業(yè)務(wù)服務(wù)資產(chǎn)的重要性是決定其他資產(chǎn)重要性的關(guān)鍵要素���,因此�,六類資產(chǎn)的賦值原則如下:1)數(shù)據(jù)資產(chǎn)重要性根據(jù)業(yè)務(wù)數(shù)據(jù)重要性賦值結(jié)果確定���。2)服務(wù)資產(chǎn)重要性根據(jù)業(yè)務(wù)服務(wù)重要性賦值結(jié)果確定�。3)軟件和硬件資產(chǎn)的重要性由其所處理的各類數(shù)據(jù)或所支撐的各種業(yè)務(wù)服務(wù)的重要性賦值結(jié)果中的較高者決定。4)人員的重要性根據(jù)其在信息系統(tǒng)中所承擔(dān)角色的可信度���、能力等被破壞對本單位造成的損失程度確定。5)其他資產(chǎn)重要性根據(jù)其對油田企業(yè)的影響程度確定���。
4.2威脅識別
4.2.1威脅分類對威脅進(jìn)行分類的方式有多種��,針對環(huán)境因素和人為因素兩類威脅來源,可以根據(jù)其表現(xiàn)形式將威脅進(jìn)行分類[4]���。本論文采用GB/Z24364-2009信息安全技術(shù)信息安全風(fēng)險管理指南中基于表現(xiàn)形式的威脅分類方法�。4.2.2威脅賦值根據(jù)威脅出現(xiàn)的頻率確定威脅賦值���,威脅賦值一般為1~5��。對威脅出現(xiàn)頻率的判斷根據(jù)風(fēng)險評估常規(guī)做法獲得,比如安全事件報告���、IDS、IPS報告以及其他機(jī)構(gòu)的威脅頻率報告等��。
4.3脆弱性識別
4.2.1脆弱性分類脆弱性識別所采用的方法主要有:問卷調(diào)查�、配置核查�、文檔查閱、漏洞掃描�����、滲透性測試等。油田企業(yè)脆弱性識別依據(jù)包括:GB/T22239信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求的三級要求以及石油行業(yè)相關(guān)要求。4.2.2脆弱性賦值原則脆弱性賦值時分為脆弱性暴露程度和脆弱性嚴(yán)重程度��。暴露程度根據(jù)其被利用的技術(shù)實現(xiàn)難易程度�、流行程度進(jìn)行賦值�����。對脆弱性的暴露程度給出如下5個等級的賦值原則:脆弱性的嚴(yán)重程度根據(jù)脆弱性被利用可能對資產(chǎn)造成的損害程度進(jìn)行賦值�。脆弱性的嚴(yán)重程度分為5個等級,賦值為1~5���。
4.4現(xiàn)有安全措施識別
4.4.1現(xiàn)有安全措施識別方法信息系統(tǒng)環(huán)境中的現(xiàn)有安全措施根據(jù)其所起的安全作用分為預(yù)防措施和恢復(fù)措施����。預(yù)防措施用于預(yù)防安全事件的發(fā)生(例如入侵檢測�、網(wǎng)絡(luò)訪問控制、網(wǎng)絡(luò)防病毒等)�,可以降低安全事件發(fā)生的概率。因此針對每一個安全事件�����,分析現(xiàn)有預(yù)防措施是否能夠降低事件發(fā)生的概率�����,其降低發(fā)生概率的效果有多大����?����;謴?fù)措施可以在安全事件發(fā)生之后幫助盡快恢復(fù)系統(tǒng)正常運(yùn)行���,可能降低安全事件的損失(例如應(yīng)急計劃���、設(shè)備冗余�、數(shù)據(jù)備份等)��,因此針對每一個安全事件���,分析現(xiàn)有恢復(fù)措施是否能夠降低事件損失���,其降低事件損失的效果有多大�����。4.4.2現(xiàn)有安全預(yù)防措施有效性賦值原則通過識別信息系統(tǒng)現(xiàn)有安全措施及其有效性驗證,針對每一個安全事件�,分析現(xiàn)有預(yù)防措施中可能降低事件發(fā)生概率的情況,并對預(yù)防措施的有效性分別給出賦值結(jié)果�。評估者通過分析安全預(yù)防措施的效果�,對預(yù)防措施賦予有效性因子,有效性因子可以賦值為0.1~1�����。4.4.3現(xiàn)有安全恢復(fù)措施有效性賦值原則通過識別信息系統(tǒng)現(xiàn)有安全措施及其有效性驗證��,針對每一個安全事件,分析現(xiàn)有恢復(fù)性安全措施中可能降低事件損失的情況��。評估者通過分析安全恢復(fù)措施的有效性作用����,對安全恢復(fù)措施賦予有效性因子,有效性因子可以賦值為0.1~1���。
4.5安全事件分析
4.5.1安全事件關(guān)聯(lián)綜合識別出的脆弱性及現(xiàn)有安全措施識別出的缺陷����,結(jié)合油田企業(yè)信息系統(tǒng)面臨的各種威脅,將各資產(chǎn)的脆弱性與威脅相對應(yīng)形成安全事件����。分析這些安全事件一旦發(fā)生會對國家、單位����、部門及評估對象自身造成的影響��,分析發(fā)生這些安全事件可能造成影響的嚴(yán)重程度,從中找出部門(或單位)對發(fā)生安全事件造成影響無法容忍的那些安全事件����,即確定不可接受安全事件�。4.5.2安全事件發(fā)生可能性分析(1)計算威脅利用脆弱性的可能性針對4.5.1中分析得出的不可接受安全事件,綜合威脅賦值結(jié)果及脆弱性的暴露程度賦值結(jié)果���,計算威脅利用脆弱性導(dǎo)致不可接受安全事件的可能性,采用乘積形式表明其關(guān)系�����,即安全事件發(fā)生的可能性的初始結(jié)果計算公式如下:L1(T���,V)1=T×V1其中����,L1(T���,V1)代表不可接受事件發(fā)生的可能性的初始結(jié)果;T代表威脅賦值結(jié)果;V1代表脆弱性的暴露程度賦值結(jié)果��。(2)分析現(xiàn)有預(yù)防措施的效果通過對企業(yè)信息系統(tǒng)的現(xiàn)有安全措施的識別和有效性驗證����,針對4.5.1分析得到的不可接受安全事件��,分析描述現(xiàn)有預(yù)防措施中可能降低事件發(fā)生概率的情況�,并給出有效性因子賦值結(jié)果���。(3)計算安全事件發(fā)生的可能性考慮到現(xiàn)有安全措施可能降低安全事件發(fā)生的可能性,因此安全事件發(fā)生的可能性的最終計算公式為:L2(T�,V)1=L1(T,V1)×P1其中���,L2(T����,V1)為最終安全事件發(fā)生的可能性結(jié)果;L1(T�����,V1)為安全事件發(fā)生的可能性初始結(jié)果;P1代表安全預(yù)防措施有效性賦值結(jié)果。然后,形成調(diào)節(jié)后的安全事件可能性列表��。4.5.3安全事件影響分析(1)計算脆弱性導(dǎo)致資產(chǎn)的損失將各資產(chǎn)的脆弱性(管理類脆弱性除外���,管理類脆弱性采用定性方式進(jìn)行主觀分析)與威脅相對應(yīng)形成安全事件(4.5.1不可接受安全事件列表)����,根據(jù)資產(chǎn)的重要性及脆弱性的嚴(yán)重程度,計算脆弱性可能導(dǎo)致資產(chǎn)的損失���,即:F1(A����,V2)=A×V2其中����,F(xiàn)1(A����,V2)代表安全事件可能導(dǎo)致資產(chǎn)的損失的初始計算結(jié)果;A代表資產(chǎn)價值��,即資產(chǎn)賦值結(jié)果;V2代表脆弱性嚴(yán)重程度��,即脆弱性嚴(yán)重程度賦值結(jié)果��。(2)分析現(xiàn)有安全恢復(fù)措施的有效性通過對油田企業(yè)信息系統(tǒng)的現(xiàn)有安全措施的識別和有效性驗證���,針對4.5.1分析得到的不可接受安全事件,分析描述現(xiàn)有恢復(fù)措施中可能降低事件發(fā)生的概率的情況��,并根據(jù)表9的賦值原則分別給出安全恢復(fù)措施的有效性賦值結(jié)果。(3)計算安全事件的損失考慮到恢復(fù)措施可能降低安全事件帶來的損失,因此安全事件損失可以根據(jù)安全恢復(fù)措施的有效性予以調(diào)整���。采用乘積形式表明關(guān)系��,即:F2(A��,V2)=F1(A,V2)×P2其中�,F(xiàn)2(A,V2)為安全事件可能造成的損失的最終計算結(jié)果;F1(A���,V2)為安全事件可能造成損失的初始計算結(jié)果;P2代表安全恢復(fù)措施有效性賦值結(jié)果�。然后��,形成調(diào)節(jié)后的安全事件損失計算結(jié)果列表��。
4.6綜合風(fēng)險計算及分析
4.6.1計算風(fēng)險值結(jié)合油田企業(yè)關(guān)注低可能性重性的安全事件的需求�����,參照美國關(guān)鍵信息基礎(chǔ)設(shè)施風(fēng)險評估計算方法����,采用安全事件發(fā)生的可能性以及安全事件可能帶來的損失的加權(quán)之和方式計算風(fēng)險值�����。這種方法更加重視安全事件帶來的損失����,使得損失在對風(fēng)險值的貢獻(xiàn)中權(quán)重更大�����。在使用油田企業(yè)以往測評結(jié)果試用的基礎(chǔ)上,將安全事件可能帶來的損失的權(quán)重定為80%�。具體計算公式為:R(L2����,F(xiàn))2=L2(T,V)1×20%+F2(A����,V)2×80%其中�����,R(L2����,F(xiàn)2)代表風(fēng)險值���,L2(T,V1)為安全事件發(fā)生可能性的最終結(jié)果��,F(xiàn)2(A��,V2)為安全事件可能造成的損失的最終計算結(jié)果�。4.6.2風(fēng)險結(jié)果判斷計算出風(fēng)險值后����,應(yīng)對風(fēng)險值進(jìn)行分級處理,將風(fēng)險級別劃分為五級�����。4.6.3綜合分析根據(jù)風(fēng)險計算結(jié)果�����,從多個不同方面綜合匯總分析被評估信息系統(tǒng)存在的安全風(fēng)險情況��。例如可從以下幾方面匯總分析:1)風(fēng)險較高的資產(chǎn)統(tǒng)計:匯總存在多個脆弱性可能導(dǎo)致多個中等以上風(fēng)險等級安全事件發(fā)生的資產(chǎn)�,從資產(chǎn)角度綜合分析被評估信息系統(tǒng)存在的安全風(fēng)險情況;2)引起較高風(fēng)險的脆弱性統(tǒng)計:匯總會給被評估信息系統(tǒng)帶來中等以上安全風(fēng)險的脆弱性及其影響的資產(chǎn)及嚴(yán)重程度,分析可能帶來的危害后果;3)出現(xiàn)頻率較高的脆弱性統(tǒng)計:匯總中等以上脆弱性在資產(chǎn)中的出現(xiàn)頻率,從而反映脆弱性在被評估系統(tǒng)中的普遍程度�,出現(xiàn)頻率越高���,整改獲取的收益越好���。4)按層面劃分的風(fēng)險點分布情況匯總:匯總網(wǎng)絡(luò)�、主機(jī)�����、應(yīng)用�、數(shù)據(jù)�、物理���、管理等各層面存在的脆弱性及其嚴(yán)重程度���,對比分析風(fēng)險在不同層面的分布情況����。
5結(jié)語
篇2
關(guān)鍵詞:信息安全;需求��;分析
中圖分類號:TP309.2文獻(xiàn)標(biāo)識碼:A 文章編號:1009-3044(2008)36-2844-02
The Requirement of Information Security the Analysis for An Enterprise of Fujian
CHEN Rong-sheng, GUO Yong, ZHAN Gui-bao, ZENG Zhong-cheng, LU Teng-zu, LI Zhuang-xiang
(Fujian Xindong Network Technology Co., Ltd. Fuzhou 350003,China)
Abstract: For information on the degree of rising-to-business information security threats are increasing, according to the standards of information security framework for an enterprise's information security status of the analysis, come to conclusions, and the enterprise in the information security requirement.
Key words: information security; requirement; analysis
1 引言
隨著信息化程度的不斷提高和互聯(lián)網(wǎng)應(yīng)用的不斷發(fā)展���,新的信息安全風(fēng)險也隨之不斷暴露出來。原先由單個計算機(jī)安全事故引起的損害可能傳播到其他系統(tǒng)和主機(jī)���,引起大范圍的癱瘓和損失�。根據(jù)CNCERT 統(tǒng)計報告指出��,2007年接受網(wǎng)絡(luò)安全事件報告同比2006年增長近3倍�����,目前我國大陸地區(qū)約1500多萬個IP 地址被植入木馬程序,位居全球第二位(其中福建省占10%���,居全國第三位)���;有28477個網(wǎng)站被篡改(其中政府網(wǎng)站占16%);網(wǎng)站仿冒事件占居全球第二位�;拒絕服務(wù)攻擊事件頻繁發(fā)生。
針對于次�����,為福建企業(yè)制定一個統(tǒng)一�����、規(guī)范的信息安全體系結(jié)構(gòu)是迫在眉睫的�����。本文根據(jù)福建企業(yè)特點����,參照國內(nèi)外有的規(guī)范和理論體系,制定了企業(yè)信息安全需求調(diào)研計劃���,并對調(diào)研結(jié)果進(jìn)行分析����,為進(jìn)一步制定信息安全體系結(jié)構(gòu)和具體實施建議奠定堅實基礎(chǔ)�。整個分析報告按照圖1的步驟形成。
2 分析報告指導(dǎo)理論模型框架
2.1 總體指導(dǎo)模型
一個完整的信息安全體系由組織體系����、技術(shù)體系和管理體系組成,如圖2所示��。
其中�����,組織體系是有關(guān)信息安全工作部門集合��,這些部門負(fù)責(zé)信息安全技術(shù)和管理資源的整合和使用���;技術(shù)體系則是從技術(shù)的角度考察安全�����,通過綜合集成方式而形成的技術(shù)集合���,技術(shù)體系包含內(nèi)容有安全防護(hù)���、安全檢測、安全審計����、應(yīng)急響應(yīng)恢復(fù)、密碼�����、物理安全�、安全機(jī)制與安全服務(wù)等;管理體系則是根據(jù)具體信息系統(tǒng)的環(huán)境���,而采取管理方法和管理措施的集合����,管理體系涉及到的主要內(nèi)容管理制度����、管理規(guī)范、教育培訓(xùn)��、管理流程等��。
2.2 ISO/IEC 15408 標(biāo)準(zhǔn)
圖1 分析報告形成流程
圖2 信息安全體系結(jié)構(gòu)
圖3 GB/T18336 標(biāo)準(zhǔn)要素關(guān)系
信息技術(shù)安全性評估通用準(zhǔn)則ISO15408已被頒布為國家標(biāo)準(zhǔn)GB/T18336����,簡稱通用準(zhǔn)則(CC),它是評估信息技術(shù)產(chǎn)品和系統(tǒng)安全性的基礎(chǔ)準(zhǔn)則�。該標(biāo)準(zhǔn)提供關(guān)于信息資產(chǎn)的安全分析框架,其中安全分析涉及到資產(chǎn)����、威脅、脆弱性����、安全措施、風(fēng)險等各個要素����,各要素之間相互作用,如圖3所示����。資產(chǎn)因為其價值而受到威脅�����,威脅者利用資產(chǎn)的脆弱性構(gòu)成威脅��。安全措施則是對資產(chǎn)進(jìn)行保護(hù)��,修補(bǔ)資產(chǎn)的脆弱性��,從而可降低資產(chǎn)的風(fēng)險��。
3 分析報告素材獲取
作為分析報告�,必須要有真實的分析素材才能得出可靠的分析結(jié)論�。我們在素材獲取方法、獲取內(nèi)容���、獲取對象和最后素材整理上都有具體規(guī)范�。
3.1 獲取方法
在素材獲取方法上��,采取安全訪談����、調(diào)查問卷、文檔資料收集等3種工作方法來獲取信息安全需求�����。
3.2 獲取對象與內(nèi)容
素材獲取對象為兩種類型�����,分別為部門領(lǐng)導(dǎo)和普通員工����。其中:部門領(lǐng)導(dǎo)主要側(cè)重于信息安全管理、崗位���、流程����、資產(chǎn)和培訓(xùn)方面的信息獲?����?��;普通員工主要側(cè)重于信息安全崗位責(zé)任、操作習(xí)慣和安全配置與管理方面的信息獲取�����。
素材獲取內(nèi)容分三個方面:一是管理調(diào)研��;二是業(yè)務(wù)���;三是的IT技術(shù)調(diào)研��。素材獲取內(nèi)容安排有五種類型,其中:管理類2種�,分別為高層管理訪談和中層部門領(lǐng)導(dǎo)訪談���;技術(shù)類2種�,分別為網(wǎng)絡(luò)安全訪談和主機(jī)及數(shù)據(jù)庫信息安全訪談;業(yè)務(wù)類1種����,為業(yè)務(wù)及應(yīng)用系統(tǒng)安全訪談。
最后的素材資料整理分為管理和技術(shù)兩大類資料��。
4 目前信息安全現(xiàn)狀的分析
4.1 組織現(xiàn)狀分析
通過對最后資料的分析看出�,目前有一些企業(yè)對信息安全的管理還是十分重視的����,很多成立了自己的安全小組�,安全小組也定義了各個崗位�����,并明確了職責(zé)�����。安全小組目前的還存在著幾點不足的地方:
1)安全小組的人員大部分是兼職工作��,安全工作往往和本職工作之間存在的工作上時間沖突問題;2)安全小組的側(cè)重于生產(chǎn)安全,信息安全的工作內(nèi)容不夠突出,信息安全的專業(yè)性不夠強(qiáng)��;3)信息的安全的監(jiān)督機(jī)制有�����,并有一些安全考核的指標(biāo)����,較難執(zhí)行,執(zhí)行力不夠;4)信息安全的人事培訓(xùn)管理已經(jīng)作得比較好��,可以增加信息安全方面專家的培訓(xùn)內(nèi)容����,更好的提高每個員工的信息安全意識�。
4.2 信息安全管理現(xiàn)狀
目前,許多已經(jīng)有IT支持能力的企業(yè)在信息安全管理方面還有以下地方可以完善:對信息安全策略定義可以進(jìn)一步完善��;控制方式比較分散,不夠統(tǒng)一;制度上可進(jìn)一步細(xì)化�����,增強(qiáng)可操作性�����;在項目的安全管理上還有很多可以完善的地方��;增加人力投入,加強(qiáng)安全管控�����。
4.3 信息安全技術(shù)現(xiàn)狀
通過對最后技術(shù)資料的分析�����,得知以下信息安全基本情況:
1)主機(jī)的安全運(yùn)行有專門的技術(shù)人員支持和維護(hù)��,建立了比較全面的安全操作規(guī)范��,具備應(yīng)對突發(fā)事件的能力���,能夠比較好的保障主機(jī)系統(tǒng)工作的連續(xù)性和完整性;2)主機(jī)系統(tǒng)的安全管理主要涉及到服務(wù)器硬件����、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)�、應(yīng)用服務(wù)系統(tǒng)等內(nèi)容�����,密鑰管理手段不科學(xué),主機(jī)系統(tǒng)的日志缺乏定期的安全分析��,主機(jī)的安全風(fēng)險依賴于管理者的安全配置,缺少安全管理工具和安全監(jiān)測措施���;3)主機(jī)安全人員配備上沒有專職的系統(tǒng)安全管理員��,一個人需要管理多臺主機(jī)設(shè)備��,主要靠人工監(jiān)視主機(jī)系統(tǒng)的運(yùn)作管理��;4)用戶安全管理方面����,口令管理手段不科學(xué)���;5)主機(jī)漏洞修補(bǔ)方面不及時����,已知漏洞不能完全堵上�;6)主機(jī)系統(tǒng)的安全管理手段主要依賴系統(tǒng)自身提供的安全措施;7)主機(jī)系統(tǒng)的日志沒有無遠(yuǎn)程備份日志服務(wù)器�;8)主機(jī)設(shè)備類型多,監(jiān)測和管理手段依靠人工方式����,沒有自動工具����;9)系統(tǒng)人員管理一般從遠(yuǎn)程管理主機(jī)���,沒有全部采取遠(yuǎn)程安全措施;10)部門分工按職能劃分�����,未按系統(tǒng)劃分���。
5 分析結(jié)論:信息安全需求
基于以上分析���,得出了以下結(jié)論,主要分為信息安全整體需求和集體歸納�。
5.1 信息安全整體需求
大部分的企業(yè)沒有建立起完善的信息安全組織、管理團(tuán)隊�,技術(shù)方面欠缺。從總體上考慮�,信息安全管理需要解決以下問題:
1)企業(yè)內(nèi)部的信息安全組織結(jié)構(gòu)的協(xié)調(diào)一致性;2)技術(shù)和管理方法的發(fā)展均衡性���;3)公司內(nèi)部的業(yè)務(wù)發(fā)展急迫性與信息安全建設(shè)周期性之間的矛盾���;4)員工之間對信息安全認(rèn)知的差異性���;5)與第三方機(jī)構(gòu)(供應(yīng)商、服務(wù)商���、應(yīng)用開發(fā)商)之間的信息安全管理關(guān)系�����。
5.2 信息安全需求的集體歸納
5.2.1 信息安全組織與管理
根據(jù)上述對信息安全組織和管理現(xiàn)狀的分析����,安全組織與管理總體需求可以歸納為:在組織方面�,建立打造一支具有專業(yè)水準(zhǔn)和過硬本領(lǐng)的信息安全隊伍;在管理方面建立相應(yīng)的信息安全管理措施�。
5.2.2 網(wǎng)絡(luò)安全需求
網(wǎng)絡(luò)安全,其目標(biāo)是網(wǎng)絡(luò)的機(jī)密性����、可用性、完整性和可控制性��,不致因網(wǎng)絡(luò)設(shè)備�����、網(wǎng)絡(luò)通信協(xié)議、網(wǎng)絡(luò)管理受到人為和自然因素的危害�,而導(dǎo)致網(wǎng)絡(luò)傳輸信息丟失、泄露或破壞�。集體為:
1)集中統(tǒng)一的網(wǎng)絡(luò)接入認(rèn)證�����、授權(quán)��、審計安全技術(shù)���;2)集中統(tǒng)一的網(wǎng)絡(luò)安全狀態(tài)監(jiān)測技術(shù)�����;3)針對通訊網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)開發(fā)安全檢查工具集��,包括網(wǎng)絡(luò)安全策略執(zhí)行檢查���、網(wǎng)絡(luò)漏洞掃描、網(wǎng)絡(luò)滲透測試等��;4)能夠支持網(wǎng)絡(luò)的安全綜合管理平臺,能夠支持網(wǎng)絡(luò)用戶安全管理���。
5.2.3 主機(jī)系統(tǒng)安全需求
主機(jī)系統(tǒng)的安全需求歸納如下:
1)諸多主機(jī)的集中認(rèn)證���、授權(quán)、審計安全管理技術(shù)�;2)針對主機(jī)系統(tǒng)的安全狀態(tài)監(jiān)測技術(shù);3)針對主機(jī)系統(tǒng)的安全檢查工具包����;4)能夠支持主機(jī)的安全綜合管理平臺。
5.2.4 數(shù)據(jù)安全需求
數(shù)據(jù)安全�����,是指包括數(shù)據(jù)生成��、數(shù)據(jù)處理����、數(shù)據(jù)傳輸、數(shù)據(jù)存儲�����、數(shù)據(jù)利用、數(shù)據(jù)銷毀等過程的安全��。其目標(biāo)是保證數(shù)據(jù)的保密性�����、可用性��、完整性����、可控制性�����,確保不因數(shù)據(jù)操作����、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)����、網(wǎng)絡(luò)傳輸、管理等因素受到人為的或自然因素的危害而引起數(shù)據(jù)丟失�、泄露或破壞����。具體需求要求如下:
1)需要建立一個支持認(rèn)證�、授權(quán)、審計����、安全等功能的數(shù)據(jù)生命周期管理機(jī)制;2)需要建立一套數(shù)據(jù)攻擊防范系統(tǒng)�,包括非法行為監(jiān)控、威脅報警��、數(shù)據(jù)垃圾過濾等�����;3)需要建立一套數(shù)據(jù)容災(zāi)系統(tǒng)����,能夠提供數(shù)據(jù)應(yīng)急響應(yīng)�、防止失竊、損毀和發(fā)霉變質(zhì)����。
5.2.5 應(yīng)用系統(tǒng)安全需求
應(yīng)用系統(tǒng)安全��,是指包括需求調(diào)查����、系統(tǒng)設(shè)計��、開發(fā)���、測試��、維護(hù)中所涉及到的安全問題��。其目標(biāo)是應(yīng)用信息系統(tǒng)的保密性、可用性�����、完整性����、可控制性,不致因需求調(diào)查��、系統(tǒng)設(shè)計、開發(fā)����、測試、維護(hù)過程受到人為和自然因素的危害��,從而導(dǎo)致應(yīng)用信息系統(tǒng)數(shù)據(jù)丟失�、泄露或破壞。應(yīng)用方面的安全需求歸納如下:
1)需要建立一套關(guān)于應(yīng)用系統(tǒng)分類����、應(yīng)用系統(tǒng)安全接口、應(yīng)用系統(tǒng)操作流程等方面的應(yīng)用系統(tǒng)管理規(guī)范���;2)需要建立一套獨立的應(yīng)用系統(tǒng)安全測試環(huán)境�,滿足應(yīng)用系統(tǒng)上線前能夠得到充分的安全測試�;3)需要建立一個基于角色認(rèn)證、授權(quán)����、審計的授權(quán)管理系統(tǒng),能夠支持按員工的工作崗位授權(quán)管理��,能夠支持事后責(zé)任追查的法律依據(jù)���;4)需要建立一個統(tǒng)一集中的應(yīng)用系統(tǒng)監(jiān)控管理平臺���,能夠支持檢測到異常的操作��。
6 結(jié)束語
文章通過對福建某企業(yè)的信息安全現(xiàn)狀進(jìn)行相關(guān)素材獲取�,依照信息安全體系相關(guān)標(biāo)準(zhǔn)對整理后資料進(jìn)行分析���,得出了該企業(yè)的信息安全現(xiàn)狀的評估結(jié)論�����,并提出了此類企業(yè)在信息安全體系建設(shè)上的需求分析��。本文的結(jié)論�����,對此類企業(yè)的信息安全體系建設(shè)有一定的參考意義。
參考文獻(xiàn):
[1] 張世永.網(wǎng)絡(luò)安全原理與應(yīng)用[M].北京:科學(xué)出版社,2003.
[2] Christopher Alberts, Audrey Dorofee. Managing Information Security Risks. Pearson Education, Inc. 2003:10,80~82.
[3] 董良喜,王嘉禎,康廣.計算機(jī)網(wǎng)絡(luò)威脅發(fā)生可能性評價指標(biāo)研究[J]. 計算機(jī)工程與應(yīng)用�,2004,40(26):143~148.
篇3
電力企業(yè)信息系統(tǒng)是基于電腦和網(wǎng)絡(luò)�����,實現(xiàn)電力制造���、管理等信息的收集���、存儲、分析及傳輸?shù)木C合性的有機(jī)系統(tǒng)�����。[1]信息作為一種重要的企業(yè)資源必須要對其進(jìn)行全面的安全管理����,企業(yè)信息安全管理是引導(dǎo)和協(xié)調(diào)組織的關(guān)于信息化安全風(fēng)險的互相協(xié)調(diào)的活動,即企業(yè)管理層對企業(yè)相關(guān)信息和活動安排進(jìn)行合理的規(guī)劃和協(xié)調(diào)�。一直以來,很多人特別是對于信息行業(yè)出身的工作人員�����,都受環(huán)境影響而陷入“技術(shù)就是一切”的誤區(qū)中���,即人們把企業(yè)信息安全的全部希望都寄托在加密技術(shù)上����,他們認(rèn)為只要通過加密技術(shù),任何信息安全問題都能夠解決�。隨著網(wǎng)絡(luò)防火墻技術(shù)的誕生,我們又常聽到“防火墻是網(wǎng)絡(luò)安全的有力保障”的論調(diào)��。經(jīng)此之后�,入侵檢測、VPN等更多新的概念及技術(shù)紛至沓來��,但無論技術(shù)怎樣變化�����,終究還是突破不了技術(shù)統(tǒng)領(lǐng)信息安全的枷鎖��。實際上����,對企業(yè)信息安全技術(shù)的選擇及應(yīng)用只是企業(yè)信息系統(tǒng)安全化的一部分,它只是實現(xiàn)企業(yè)安全運(yùn)營的一個方法而己�����。大家之所以產(chǎn)生這樣的誤區(qū)�,其原因是多方面的,站在企業(yè)安全技術(shù)提供商的角度來說��,其側(cè)重點在于銷售�����,因此向相關(guān)客戶輸送的大多都是以技術(shù)為核心的理念和信息�。站在客戶角度來說,只有企業(yè)的產(chǎn)品才是真實的����、有形的,對投資方來說�,這是十分重要的。因此���,正是對于企業(yè)信息系統(tǒng)的錯誤認(rèn)識����,導(dǎo)致一些極端現(xiàn)象的產(chǎn)生����,比如:許多企業(yè)的信息化設(shè)備使用了防火墻、網(wǎng)絡(luò)云掃描等技術(shù)��,但卻沒有設(shè)定出一套以安全策略為核心的合理的安全管理方案,從而造成安全技術(shù)及企業(yè)的產(chǎn)品生產(chǎn)十分混亂��,不能做到技術(shù)及相關(guān)產(chǎn)品的及時����、有效的更新。還有一些電力企業(yè)即使設(shè)定了一些安全管理措施����,卻沒有使用有效的實施、監(jiān)督機(jī)制來執(zhí)行�����,這讓安全管理措施徒有其表�,名存實亡。經(jīng)過研究及調(diào)查����,現(xiàn)階段我國電力企業(yè)信息系統(tǒng)面臨的風(fēng)險主要有:(1)信息系統(tǒng)缺陷。隨著信息化的不斷發(fā)展�,電力企業(yè)信息系統(tǒng)也一直在不斷完善中,目前�,我國的電力企業(yè)在設(shè)計、制造及產(chǎn)品裝配中仍存在著許多安全隱患與風(fēng)險�����,比如來自軟硬件組件的安全隱患等�����,這些信息系統(tǒng)固有的缺陷對電力企業(yè)信息系統(tǒng)的安全造成了嚴(yán)重的威脅���。(2)信息系統(tǒng)安全管理不規(guī)范?����,F(xiàn)階段���,我國電力企業(yè)對電力信息系統(tǒng)的安全愈來愈重視,很多電力企業(yè)都采取了各種風(fēng)險管理及預(yù)防措施��,但是由于系統(tǒng)數(shù)據(jù)備份設(shè)備的不完善���、數(shù)據(jù)丟失等信息系統(tǒng)安全管理不規(guī)范現(xiàn)象的出現(xiàn)���,建立一套完善、合理的電力企業(yè)信息系統(tǒng)安全管理體系尤為重要�����。(3)網(wǎng)絡(luò)安全意識薄弱。由于電力企業(yè)的安全宣傳力度不夠��,相關(guān)技術(shù)人員的安全意識薄弱而導(dǎo)致的信息系統(tǒng)安全問題時有發(fā)生���,比如不能及時修補(bǔ)信息系統(tǒng)漏洞及補(bǔ)丁���,相關(guān)人員不正確的操作、或通過U盤導(dǎo)致重要信息泄露等����,處理不好都很有可能造成整個電力系統(tǒng)的不穩(wěn)定甚至系統(tǒng)癱瘓。(4)惡意人為破壞�����。隨著網(wǎng)絡(luò)共享度的提高�,我國的電力企業(yè)信息系統(tǒng)逐漸向開放型及共享型發(fā)展,這使得一些不法分子有機(jī)可乘�,他們?yōu)榱俗约旱睦妫ㄟ^各種手段非法入侵電力企業(yè)的信息系統(tǒng)��,如植入病毒、竊聽�����、干擾阻斷等����,這對我國電力企業(yè)信息系統(tǒng)的安全構(gòu)成了極大的威脅���。
2電力企業(yè)信息系統(tǒng)安全管理研究
信息安全是一個復(fù)雜的�、不斷變化的動態(tài)過程�����,如果電力企業(yè)只根據(jù)一時需要而忽略了信息安全的動態(tài)性�,只是主觀的來制定一些風(fēng)險管理措施,就會造成在企業(yè)信息管理中顧此失彼��,進(jìn)而導(dǎo)致企業(yè)的安全管理水平止步不前甚至有失偏頗���。[2]其正確的做法是�,電力企業(yè)要遵守相關(guān)信息安全標(biāo)準(zhǔn)及實踐總結(jié)��,結(jié)合企業(yè)自身對信息系統(tǒng)安全的實際需求,在進(jìn)行完善的風(fēng)險分析及風(fēng)險管理的基礎(chǔ)上�����,通過一些合理的�����、可行的安全風(fēng)險管理措施來使電力企業(yè)信息系統(tǒng)一直處于安全狀態(tài)�����。除此之外��,不斷更新的過程是電力企業(yè)進(jìn)行信息安全管理的最基本出發(fā)點���,該過程還應(yīng)該是動態(tài)的��、變化的�����,即安全措施要隨著環(huán)境的變化及信息技術(shù)的提高而不斷改進(jìn)和完善�,堅決拒絕一成不變�����,這可以將信息系統(tǒng)的風(fēng)險降到最低。[3]所以說����,基于風(fēng)險的評估及控制角度來說,電力企業(yè)信息系統(tǒng)的安全風(fēng)險與其他領(lǐng)域的風(fēng)險具有相似性��,與此同時�,電力系統(tǒng)信息系統(tǒng)安全風(fēng)險又具有其獨特性。將其他領(lǐng)域內(nèi)的風(fēng)險控制過程引入電力企業(yè)的信息風(fēng)險管理領(lǐng)域�����,需要同時考慮到其共性和個性�����。安全管理主要分為網(wǎng)絡(luò)級���、系統(tǒng)級和應(yīng)用級3個部分:(1)網(wǎng)絡(luò)級安全管理。電力企業(yè)信息系統(tǒng)的網(wǎng)絡(luò)級安全管理主要是指解決企業(yè)信息系統(tǒng)與網(wǎng)絡(luò)互聯(lián)而產(chǎn)生的安全風(fēng)險問題��,其主要從網(wǎng)絡(luò)防火墻及網(wǎng)絡(luò)結(jié)構(gòu)兩個方面采取安全管理措施����。網(wǎng)絡(luò)防火墻對企業(yè)內(nèi)部網(wǎng)絡(luò)及外部網(wǎng)絡(luò)起到安全隔離作用����,它可以有效預(yù)防潛在的破壞性入侵�,同時可以對即將進(jìn)入企業(yè)內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行嚴(yán)格的檢測,并對非法��、錯誤的網(wǎng)絡(luò)信息進(jìn)行隔離�����,從而保護(hù)電力企業(yè)內(nèi)部網(wǎng)絡(luò)的安全�。對于網(wǎng)絡(luò)結(jié)構(gòu),根據(jù)電力企業(yè)信息系統(tǒng)的實際情況�,相關(guān)技術(shù)人員結(jié)合網(wǎng)絡(luò)結(jié)構(gòu),設(shè)計出一種介于混合型和網(wǎng)狀型結(jié)構(gòu)之間的分布式網(wǎng)絡(luò)結(jié)構(gòu)����,該分布式網(wǎng)絡(luò)系統(tǒng)具有較高的可靠性及容錯能力,從而對已有的網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行了優(yōu)化��。(2)系統(tǒng)級安全管理����。在企業(yè)信息系統(tǒng)風(fēng)險管理中���,系統(tǒng)級安全設(shè)計與用戶的具體應(yīng)用具有密切的聯(lián)系,具體而言��,其分為操作系統(tǒng)與數(shù)據(jù)處理兩個方面��。在操作系統(tǒng)方面�����,利用有效的網(wǎng)絡(luò)安全掃描對信息系統(tǒng)的安全風(fēng)險進(jìn)行合理評估���,及時分析操作系統(tǒng)已有的漏洞�,同時結(jié)合信息系統(tǒng)的漏洞自動修補(bǔ)技術(shù)����,實現(xiàn)定期為相關(guān)用戶消除網(wǎng)絡(luò)中的安全隱患����。在數(shù)據(jù)處理方面,企業(yè)要善于利用信息系統(tǒng)平臺再次對數(shù)據(jù)庫進(jìn)行數(shù)據(jù)安全加密��,從而將信息系統(tǒng)的數(shù)據(jù)庫風(fēng)險降到最低�����。(3)應(yīng)用級安全管理�。應(yīng)用級安全設(shè)計具有直觀、具體的特點���,它是在設(shè)計電力企業(yè)的信息系統(tǒng)時�,通過技術(shù)手段將相應(yīng)的安全技術(shù)加入到信息系統(tǒng)中,從而有效保證系統(tǒng)的安全穩(wěn)定運(yùn)行�����。具體來說�����,電力企業(yè)信息系統(tǒng)的應(yīng)用系統(tǒng)訪問控制是根據(jù)訪問信息性質(zhì)的不同���,分別進(jìn)行公開信息和私密信息的傳送�����、存儲及管理����,從而實現(xiàn)在應(yīng)用層次上的訪問控制;而數(shù)字簽名技術(shù)可以通過對文件簽發(fā)者���、日期等提供準(zhǔn)確的不可更改的歷史記錄���,來保證系統(tǒng)所有文件的完整性。因此��,我們得知��,為了確保電力企業(yè)信息系統(tǒng)的安全���,要采取合理����、有效的管理手段來最大程度地降低風(fēng)險����,即相關(guān)人員不僅要從技術(shù)層面來進(jìn)行安全管理的設(shè)計���,還要從管理層面進(jìn)行安全管理設(shè)置�。[4]具體來說可以從以下方面著手:(1)定期對企業(yè)系統(tǒng)的技術(shù)人員進(jìn)行安全教育���,增強(qiáng)其信息系統(tǒng)的安全意識���;(2)保持相關(guān)人員特別是管理層的人員穩(wěn)定�,若有人員調(diào)離�,需及時更換系統(tǒng)密碼,避免企業(yè)機(jī)密泄露����;(3)設(shè)置合理的電力企業(yè)信息系統(tǒng)安全標(biāo)準(zhǔn)及企業(yè)制度等。
3結(jié)語
篇4
【關(guān)鍵詞】煤礦企業(yè)��;計算機(jī)網(wǎng)絡(luò)��;管理���;安全措施
企業(yè)計算機(jī)系統(tǒng)是一個分級分散的大型城域性網(wǎng)絡(luò)�,網(wǎng)絡(luò)管理不是局部性的工作���,僅僅依賴于集中式的網(wǎng)管系統(tǒng)也難以對整個網(wǎng)絡(luò)實施有效管理的�。為確保整個網(wǎng)絡(luò)的通暢���,及時定位����、快速修復(fù)網(wǎng)絡(luò)故障,一定要對整個網(wǎng)絡(luò)實行全面管理��,掌握整個網(wǎng)絡(luò)的運(yùn)行狀況��。煤礦企業(yè)這樣的地域?qū)拸V�����、用戶量較大的大型計算機(jī)網(wǎng)絡(luò)�,進(jìn)行分布式管理是較好的解決方案,分布式管理系統(tǒng)不但能提高管理效率�����,保障管理的安全可靠性�,也有利于邏輯集中,關(guān)于協(xié)作關(guān)系的分布系統(tǒng)��,使全局性的管理工作更明確�、簡單、實用����。
1、網(wǎng)絡(luò)管理
1.1網(wǎng)管中心的總體建設(shè)目標(biāo)
(1)煤礦企業(yè)網(wǎng)管中心一般負(fù)責(zé)骨干網(wǎng)和核心服務(wù)器群的管理����,并具備對下級網(wǎng)管中心進(jìn)行監(jiān)督指導(dǎo)的技術(shù)手段和工具。
(2)二級網(wǎng)管中心的主要職能是確保煤礦企業(yè)總部與工作單位的網(wǎng)絡(luò)暢通和數(shù)據(jù)的完整接收與上傳����,并具備對三級網(wǎng)管中心進(jìn)行監(jiān)督指導(dǎo)的技術(shù)手段和工具,同時在網(wǎng)絡(luò)管理上發(fā)揮承上啟下的作用�。
通過各級網(wǎng)管中心的分工協(xié)作,對整個企業(yè)計算機(jī)網(wǎng)絡(luò)的配置��、故障����、性能、狀態(tài)實現(xiàn)集中指導(dǎo)下的分級分布式管理�����。
1.2網(wǎng)絡(luò)管理系統(tǒng)總體要求
(1)網(wǎng)絡(luò)管理功能��。全網(wǎng)管理中心設(shè)在煤礦企業(yè)總部網(wǎng)絡(luò)中心���,在二級下屬單位設(shè)立二級網(wǎng)管中心��,進(jìn)行分布式管理�。計算機(jī)網(wǎng)絡(luò)管理軟件可以實現(xiàn)對網(wǎng)絡(luò)的拓?fù)涔芾?���、狀態(tài)監(jiān)控、性能管理��、故障管理等�����;支持煤礦企業(yè)計算機(jī)網(wǎng)絡(luò)信息系統(tǒng)跨地域的各分支機(jī)構(gòu)局域網(wǎng)內(nèi)部可能存在的IP地址重疊狀況�����,還具有分布式管理的能力。
(2)服務(wù)器監(jiān)控��。在各級網(wǎng)管中心對計算機(jī)應(yīng)用系統(tǒng)的服務(wù)器進(jìn)行監(jiān)控��,主要包括服務(wù)器狀態(tài)�����、重要的性能參數(shù)、進(jìn)程狀態(tài)��、文件變化等內(nèi)容�����,確保服務(wù)器的正常運(yùn)行。在發(fā)生問題時���,可以及時報警�,并按其需要����,對不同的管理員采用不同的報警方式�����,確保在最短時間內(nèi)查出問題出現(xiàn)的原因��。
(3)故障管理�����。在各級網(wǎng)管中心建立故障管理系統(tǒng)��,收集各種管理功能產(chǎn)生的故障事件����,并按照事件類型���、事件源對事件進(jìn)行分類顯示�。
(4)軟件分發(fā)管理�。在各級網(wǎng)管中心對煤礦企業(yè)計算機(jī)應(yīng)用系統(tǒng)的服務(wù)器進(jìn)行集中的軟件分發(fā)管理��,管理員在中心完成軟件的打包���、下發(fā)��、確認(rèn)等軟件更新管理,以實現(xiàn)快速軟件部署���。
(5)資源管理�。在各級網(wǎng)管中心對計算機(jī)應(yīng)用系統(tǒng)的資源進(jìn)行統(tǒng)計��,主要包括軟件、硬件配置信息。資源信息存放在關(guān)系數(shù)據(jù)庫中�����,人員能運(yùn)用資源管理系統(tǒng)進(jìn)行資源查詢��。
(6)遠(yuǎn)程控制管理��。在各級網(wǎng)管中心對各級應(yīng)用系統(tǒng)的服務(wù)器進(jìn)行遠(yuǎn)程控制,實現(xiàn)遠(yuǎn)程技術(shù)支持����。通過遠(yuǎn)程控制���,中心管理員能夠獲得遠(yuǎn)程機(jī)器的鍵盤、鼠標(biāo)和屏幕,監(jiān)視或控制其操作����,并能與對方通信���,遠(yuǎn)程下發(fā)給對方需要的文件��,以實現(xiàn)對遠(yuǎn)程服務(wù)器的支持�����。遠(yuǎn)程控制管理要在廣域網(wǎng)上工作����。
(7)存儲備份管理。在各級網(wǎng)管中心對主要應(yīng)用系統(tǒng)的服務(wù)器進(jìn)行數(shù)據(jù)備份��,主要包括重要文件和應(yīng)用數(shù)據(jù)�,如數(shù)據(jù)庫數(shù)據(jù)���,以確保在發(fā)生故障時,能夠進(jìn)行數(shù)據(jù)恢復(fù)���。
(8)決策分析管理��。在各級網(wǎng)管中心對網(wǎng)絡(luò)系統(tǒng)的管理信息進(jìn)行匯總和相關(guān)的決策分析�,以全面了解網(wǎng)絡(luò)系統(tǒng)運(yùn)行的狀況�����,發(fā)現(xiàn)隱患���,為提高管理水平提供決策信息�。
1.3網(wǎng)絡(luò)管理系統(tǒng)的功能
它主要包含網(wǎng)絡(luò)配置管理、網(wǎng)絡(luò)故障管理�����、網(wǎng)絡(luò)性能管理、網(wǎng)絡(luò)安全管理和網(wǎng)絡(luò)自動化管理等功能���。
2�、網(wǎng)絡(luò)安全措施
煤礦企業(yè)的信息網(wǎng)絡(luò)系統(tǒng)在規(guī)劃���、設(shè)計和建設(shè)開發(fā)應(yīng)用初期����,一定要重視網(wǎng)絡(luò)安全和信息安全���,通常需要網(wǎng)絡(luò)信息安全方面的技術(shù)人員及專業(yè)公司進(jìn)行規(guī)劃設(shè)計��。煤礦企業(yè)網(wǎng)絡(luò)與信息系統(tǒng)的安全必須解決以下幾個問題:物理鏈路安全問題�;網(wǎng)絡(luò)平臺安全問題��;系統(tǒng)安全問題�;應(yīng)用安全問題�;管理安全問題。
(1)網(wǎng)絡(luò)和信息安全體系設(shè)計原則。即整體安全���;有效管理;合理折中����;責(zé)權(quán)分明��;綜合治理。
(2)網(wǎng)絡(luò)和信息安全體系結(jié)構(gòu)����。此模型由安全服務(wù)�、協(xié)議層次和系統(tǒng)單元三個層面描述����,在每個層面上�,均包含安全管理的內(nèi)容。此模型在整體上表現(xiàn)為一個三線立體框架結(jié)構(gòu)�����。
3��、實施措施方法
在煤礦企業(yè)信息系統(tǒng)的安全實施中�����,需要綜合使用備份技術(shù)(數(shù)據(jù)鏡像、備份線路�����、備份設(shè)備)��、VLAN技術(shù)、lP地址綁定����、ACL技術(shù)、負(fù)載均衡技術(shù)、防火墻技術(shù)�����、NAT技術(shù)等構(gòu)建企業(yè)網(wǎng)絡(luò)安全防范系統(tǒng)�。使用VPN技術(shù)����,實現(xiàn)企業(yè)駐外機(jī)構(gòu)和移動用戶訪問企業(yè)Intent資源的數(shù)據(jù)保密通信,構(gòu)建企業(yè)內(nèi)部保密通信子網(wǎng)。
(1)網(wǎng)絡(luò)安全防范����。①網(wǎng)絡(luò)優(yōu)化���;②防火墻設(shè)備配置��;③安全策略的實施�。
(2)網(wǎng)絡(luò)數(shù)據(jù)保密���。①互聯(lián)網(wǎng)�����、ADSL和撥號用戶的VPN解決方案����。②構(gòu)建保密通信子網(wǎng)�。
(3)入侵檢測系統(tǒng)����。選用金諾網(wǎng)安入侵檢測系統(tǒng),分別放置在SSN區(qū)域�、中心交換機(jī)的監(jiān)控目上,重點保護(hù)子網(wǎng)所在的VLAN網(wǎng)段���。
(4)安全評估系統(tǒng)��。在煤礦企業(yè)網(wǎng)絡(luò)系統(tǒng)中�,需要配備一套安全評估軟件����,定期對局域網(wǎng)內(nèi)的服務(wù)器�����、網(wǎng)絡(luò)設(shè)備、安全設(shè)備進(jìn)行掃描���,及時發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中存在的弱點和漏洞�����,并采取相應(yīng)的補(bǔ)救措施�����。掃描內(nèi)容主要包括服務(wù)器的設(shè)置合理與否�、防火墻的規(guī)則配置狀況���、路由器的路由表是否能被輕易修改等�����。此安全評估軟件能從不同角度對網(wǎng)絡(luò)進(jìn)行掃描,能安裝在管理網(wǎng)段的一臺機(jī)器上��,也能安裝在筆記本電腦上����,從外部網(wǎng)絡(luò)掃描內(nèi)部網(wǎng)絡(luò)。
4、煤礦企業(yè)數(shù)據(jù)中心系統(tǒng)
在煤礦企業(yè)信息化中��,建立安全��、可靠�����、高效的數(shù)據(jù)中心系統(tǒng)非常重要�。
(1)主機(jī)系統(tǒng)��?��;谙到y(tǒng)軟件和可靠性等多方面的具體情況����,數(shù)據(jù)中心服務(wù)器:一是數(shù)據(jù)庫服務(wù)器���,二是應(yīng)用服務(wù)器��。其中�,數(shù)據(jù)庫服務(wù)器由于要求高性能和高可靠性可由多臺小型機(jī)組成集群系統(tǒng)�,提供24小時不間斷的數(shù)據(jù)存取服務(wù)�;應(yīng)用服務(wù)器要按各個應(yīng)用系統(tǒng)需求不同����,分別配置不同性能的PC服務(wù)器��。
(2)操作系統(tǒng)平臺��。煤礦企業(yè)中心機(jī)房小型機(jī)使用UNIX操作系統(tǒng)��;其他PC服務(wù)器-般可采用MS��,Windows或LINUX服務(wù)器版操作系統(tǒng)����,工作站及個人微機(jī)可使用幾個桌面操作系統(tǒng)�����。
篇5
關(guān)鍵詞:信息安全��;計算機(jī)�����;安全
我國信息安全發(fā)展的大環(huán)境目前已日臻完善,成立了全國信息技術(shù)標(biāo)準(zhǔn)化技術(shù)委員會����、國家計算機(jī)病毒應(yīng)急處理協(xié)調(diào)中心等機(jī)構(gòu)�。另外,我國信息安全政策法規(guī)�����、標(biāo)準(zhǔn)制定也已經(jīng)走入規(guī)范化進(jìn)程����。但信息安全是一個征途而不是一個目的地。新的技術(shù)���,新的業(yè)務(wù)需求和新的安全威脅不斷地改變環(huán)境�。
由于計算機(jī)和國際互聯(lián)網(wǎng)的飛速普及�����,中國目前已經(jīng)成為炙手可熱的黑客攻擊目標(biāo)���。全球每天約有200萬臺PC機(jī)處于隨時可能被攻擊的失控狀態(tài)����,而其中有20%的PC機(jī)來自中國。據(jù)公安部對全國信息網(wǎng)絡(luò)安全狀況和計算機(jī)病毒疫情調(diào)查顯示�,我國信息網(wǎng)絡(luò)安全事件發(fā)生比例為62.7%���,計算機(jī)病毒感染率為85.5%,多次發(fā)生網(wǎng)絡(luò)安全事件的比例為50%�,多次感染病毒的比例為66.8%��,可見�,我國信息安全體系安全性何等脆弱����。筆者通過對目前信息安全體系安全現(xiàn)狀進(jìn)行分析并初探解決對策�,希望能對信息安全體系的發(fā)展有所作用����。
一�����、信息安全存在的幾大安全現(xiàn)狀和威脅
第一,前期,微軟對中國Winxp����、office用戶反盜版黑屏事件已炒得沸沸揚(yáng)揚(yáng),但反思后可得知:計算機(jī)網(wǎng)絡(luò)系統(tǒng)使用的軟�����、硬件很大一部分是國外產(chǎn)品��,我國電腦制造業(yè)對許多硬件核心部件的研發(fā)��、生產(chǎn)能力很弱�����,關(guān)鍵部件完全處于受制于人的地位�����。并且對引進(jìn)的信息技術(shù)和設(shè)備缺乏保護(hù)信息安全所必不可少的有效管理和技術(shù)改造。一旦發(fā)生重大情況,那些隱藏在電腦芯片和操作軟件中的后門就有可能在某種秘密指令下激活��,造成國內(nèi)電腦網(wǎng)絡(luò)、電信系統(tǒng)癱瘓����。
第二����,全社會的信息安全意識雖然有所提高,但將其提到實際日程中來的依然很少����。國家計算機(jī)病毒應(yīng)急處理協(xié)調(diào)中心進(jìn)行的多次安全普查和評估中發(fā)現(xiàn)許多公司和企業(yè)����,甚至敏感單位的計算機(jī)網(wǎng)絡(luò)系統(tǒng)基本處于不設(shè)防狀態(tài)�����。有的即使其網(wǎng)絡(luò)系統(tǒng)已由專業(yè)的安全服務(wù)商為其制定了安全策略�����,但在一定時間后,由于在網(wǎng)絡(luò)的使用中發(fā)現(xiàn)沒有以前的方便,便私自更改安全策略�,等一旦遭到攻擊已是悔之晚矣���。
第三�����,目前關(guān)于網(wǎng)絡(luò)犯罪的法律還不健全����。比如盜竊�����、刪改他人系統(tǒng)信息屬于犯罪行為���,但僅僅是觀看����,既不進(jìn)行破壞�,也不謀取私利算不算犯罪�?還比如網(wǎng)上有很多BBS�,黑客在上邊討論軟件漏洞����、攻擊手段等,這既可以說是技術(shù)研究�����,也可以說是提供攻擊工具�,這又算不算犯罪呢����?國內(nèi)很多網(wǎng)站在遭到攻擊后損失慘重�,為保證客戶對其的信任��,為名譽(yù)起見往往并不積極追究黑客的法律責(zé)任,這種“姑息養(yǎng)奸”的做法就進(jìn)一步助長了黑客的囂張氣焰。
第四�����,信息安全人才培養(yǎng)體系雖已初步形成�����,但隨著信息化進(jìn)程加快和計算機(jī)的廣泛應(yīng)用���,電子商務(wù)�����、電子政務(wù)和電子金融的發(fā)展�����,對信息安全專門人才的培養(yǎng)提出了更高要求,目前我國信息安全人才培養(yǎng)還遠(yuǎn)遠(yuǎn)不能滿足需要�����。
第五,我國信息安全產(chǎn)業(yè)水平有待提高���。一是安全應(yīng)用需求不明��,產(chǎn)業(yè)技術(shù)推動性、應(yīng)用針對性不夠��,國內(nèi)安全需求得不到很好滿足�;二是產(chǎn)品過度集中�����,低水平重復(fù)嚴(yán)重。三是核心技術(shù)仍然受到制約��,產(chǎn)業(yè)化水平較低�,產(chǎn)品安全質(zhì)量令人擔(dān)憂��。
二����、解決方案初探:
象火災(zāi)防范工作的防消結(jié)合一樣��,合理的信息安全系統(tǒng)需要滿足兩方面的要求���,首先是要把計算機(jī)網(wǎng)絡(luò)安全事件的發(fā)生率和損失可能性控制在可以接受的較低范圍內(nèi)�����,其次是要使信息安全事故可以得到及時處理���。
1����、信息安全基礎(chǔ)設(shè)施的必要性
盡管安全產(chǎn)品不是萬能的,配置各種安全產(chǎn)品并不能解決安全問題���,但計算機(jī)網(wǎng)絡(luò)系統(tǒng)需要一些基礎(chǔ)的保護(hù)設(shè)施���。任何安全措施都建立在一定軟硬件環(huán)境基礎(chǔ)下,有很多安全機(jī)制是操作系統(tǒng)和網(wǎng)絡(luò)軟件產(chǎn)品本身已經(jīng)具備的�����,而也有很多安全功能是需要專門安全產(chǎn)品才能實現(xiàn)的。因此需要根據(jù)用戶的實際網(wǎng)絡(luò)環(huán)境和應(yīng)用情況,決定配置那些安全產(chǎn)品����。
2����、信息安全專業(yè)服務(wù)的必要性
任何一種安全產(chǎn)品所能提供的服務(wù)都是有限的�����,也是不全面的��,要有效發(fā)揮操作系統(tǒng)����、應(yīng)用軟件和安全產(chǎn)品的安全功能���,必須進(jìn)行全面的檢測、合理的配置和適當(dāng)?shù)膬?yōu)化�����,才能使整個安全系統(tǒng)良好地運(yùn)轉(zhuǎn)起來���。而實現(xiàn)這些嚴(yán)密的安全措施需要第三方的專業(yè)信息安全人員的參與并發(fā)揮主要作用��。鑒于未來網(wǎng)絡(luò)威脅的嚴(yán)重性和信息戰(zhàn)的可能性,建立主動性的信息安全防御體系已經(jīng)成為先進(jìn)國家的研究重點之一,而主動性安全防御體系中最重要的環(huán)節(jié)是一支專業(yè)化的信息安全服務(wù)力量��。
三����、結(jié)論:信息安全問題具有動態(tài)性����,必須統(tǒng)籌兼顧,常抓不懈����。
計算機(jī)網(wǎng)絡(luò)系統(tǒng)軟硬件和應(yīng)用情況在不斷更新。引入新設(shè)備����、新軟件和新的應(yīng)用,都會帶來新的安全問題��。攻擊技術(shù)每天都在發(fā)展,新的攻擊機(jī)制不斷出現(xiàn)����,新的攻擊機(jī)制決定了新病毒和新的黑客攻擊手段會對原本已經(jīng)比較安全的系統(tǒng)造成新的威脅。只有堅持對計算機(jī)網(wǎng)絡(luò)系統(tǒng)進(jìn)行有計劃的,長期進(jìn)行的評估和審計工作�,才能保證最新的技術(shù)隱患會被及時識別和解決。如果不結(jié)合這些新的技術(shù)動態(tài)�����、人員動態(tài)和管理動態(tài)進(jìn)行定期的安全性評估�,原本搭建好的安全體系將處于不可控的狀態(tài)�。
參考文獻(xiàn):
[1] 徐國芹. 淺議如何建立企業(yè)信息安全體系架構(gòu)[J]. 中國高新技術(shù)企業(yè), 2009, (05) .
[2] 陳偉,向麗,劉爽,郭偉,謝明政. 企業(yè)信息安全體系架構(gòu)[J]. 石油地球物理勘探, 2008, (S1) .
篇6
關(guān)鍵詞:煙草行業(yè);信息安全;安全管理
隨著網(wǎng)絡(luò)技術(shù)的日趨成熟,煙草行業(yè)的信息安全問題日益凸顯,網(wǎng)絡(luò)非法攻擊對煙草行業(yè)的發(fā)展造成了重大威脅�����,因此維護(hù)煙草行業(yè)信息安全管理工作具有重大意義。本文從煙草行業(yè)信息安全管理的現(xiàn)狀入手�,對加強(qiáng)煙草行業(yè)信息安全管理,推進(jìn)信息安全體系建設(shè)提出一些可行性建議���。
一、煙草行業(yè)信息安全管理概述
信息安全是指對網(wǎng)絡(luò)的硬件�����、軟件以及系統(tǒng)中儲存的數(shù)據(jù)進(jìn)行一定的保護(hù)�。避免它們受到惡意的攻擊、惡意篡改或者泄露。對于一個網(wǎng)絡(luò)系統(tǒng)而言����,其安全維護(hù)系統(tǒng)是非常重要的����,信息安全管理是信息安全的關(guān)鍵�����。隨著煙草行業(yè)并入經(jīng)濟(jì)全球化的格局��,我國的煙草行業(yè)競爭日益增大。為了使其發(fā)展更好�,煙草行業(yè)開始在制造環(huán)節(jié)及銷售環(huán)節(jié)引入信息化建設(shè)管理。而隨著對信息化管理的依賴程度的日益增加�����,信息安全對整個煙草行業(yè)具有決定性的影響。信息安全管理主要包括信息的私密性���、保密性�、真實性以及完整性�����。任何一個信息方面的安全漏洞都有可能對煙草行業(yè)安全造成滅頂之災(zāi)��。然而煙草行業(yè)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)復(fù)雜�,其信息化結(jié)構(gòu)也不完善,因此難以實現(xiàn)對整個行業(yè)的集成管理,這為煙草行業(yè)的安全造成了巨大威脅�。在當(dāng)前的煙草行業(yè)網(wǎng)絡(luò)系統(tǒng)中,本身存在許多設(shè)計的薄弱環(huán)節(jié)�,這將造成一些不法分子通過信息系統(tǒng)的漏洞攻入信息安全系統(tǒng),從而使得重要的信息數(shù)據(jù)丟失�����,并造成整個管理系統(tǒng)癱瘓等問題��。這些都對煙草行業(yè)的發(fā)展埋下了重大隱患�����。
二、當(dāng)前煙草行業(yè)信息安全管理現(xiàn)狀與問題
(一)網(wǎng)絡(luò)技術(shù)設(shè)施不完善��。近年來,盡管煙草行業(yè)已經(jīng)意識到安全管理的重要性��,但是煙草行業(yè)的內(nèi)部網(wǎng)絡(luò)是極其不完善的,因此信息網(wǎng)絡(luò)容易遭受攻擊���。這是由于信息網(wǎng)絡(luò)過于脆弱時會產(chǎn)生大量的安全漏洞。而且,信息網(wǎng)絡(luò)管理人員對企業(yè)的信息網(wǎng)絡(luò)安全防范意識過于薄弱�,當(dāng)內(nèi)部網(wǎng)絡(luò)的應(yīng)用程序越來越多時�����,系統(tǒng)的終端將存在大量安全問題�����。除此之外���,信息網(wǎng)絡(luò)的操作系統(tǒng)安全問題也值得重視�����。而且操作系統(tǒng)可以通過建立遠(yuǎn)程鏈接進(jìn)行控制�,這也給外部入侵提供了一個缺口,許多黑客就通過建立遠(yuǎn)程服務(wù)終端來竊取企業(yè)信息��。
(二)缺乏整體防護(hù)措施�����。由于對于信息網(wǎng)絡(luò)的不夠重視以及建立信息網(wǎng)絡(luò)時間過短,因此缺乏相應(yīng)的信息網(wǎng)絡(luò)安全管理意識�,管理松散。同時由于過于注重對網(wǎng)絡(luò)相應(yīng)硬件設(shè)備的維護(hù)����,缺乏對軟件資源的管理意識。甚至沒有意識到信息網(wǎng)絡(luò)安全的重要性����,因此造成管理規(guī)章制度不夠完善,管理力度不夠��,這些都不利于維護(hù)信息網(wǎng)絡(luò)安全����。而且由于不同用戶擁有不同的信息網(wǎng)絡(luò)使用權(quán)限,難以實現(xiàn)對整體進(jìn)行統(tǒng)一管理�����。除此之外�����,由于使用人員的不同��,造成數(shù)據(jù)存儲較為分散���,從而無法將其統(tǒng)一存儲在同一服務(wù)器內(nèi)��。因此無法對其進(jìn)行統(tǒng)一的管理�����,使得信息的泄露風(fēng)險大大增加���。一些人員在工作時,對于傳遞的數(shù)據(jù)往往沒有加密意識�,這也給竊取機(jī)密的不法分子提供了攻擊的機(jī)會。
(三)信息安全管理難以貫徹落實�����。當(dāng)前,為了維護(hù)煙草行業(yè)的健康穩(wěn)定發(fā)展���,我國的煙草管理部門頒布了一系列的關(guān)于建設(shè)煙草行業(yè)信息安全管理的制度以及企業(yè)的信息安全管理制度���。這些制度規(guī)劃了煙草行業(yè)的最佳實踐效果藍(lán)圖,然而煙草行業(yè)現(xiàn)狀還遠(yuǎn)不能達(dá)到這些要求�����。我國當(dāng)前的行業(yè)現(xiàn)狀與最佳實踐對比圖如圖1所示���。這些制度對于維護(hù)煙草行業(yè)信息安全是十分有效的���。然而從當(dāng)前的執(zhí)行力度來看,其效果不容樂觀��。一些煙草行業(yè)的規(guī)模較小��,缺乏對信息安全的了解����,因此往往這些信息安全管理制度流于形式��,對于安全信息的存儲也極其隨意。另外�����,煙草行業(yè)的信息具有一定的流動性�����。因此對于維護(hù)信息安全的管理人員的技術(shù)要求較高����。但是在大多數(shù)的煙草企業(yè)中,這一點并沒有得到重視�,因此操作人員的技術(shù)和素質(zhì)都難以使信息安全得到保證。同時企業(yè)管理系統(tǒng)的落后也導(dǎo)致煙草企業(yè)的信息化發(fā)展難以適應(yīng)企業(yè)發(fā)展���,因此難以進(jìn)行信息安全維護(hù)��。
三���、新形勢下煙草行業(yè)信息安全管理的要點與措施
(一)管理層面。對于信息安全而言����,黑客及病毒對其產(chǎn)生的不良后果是巨大的����,因此煙草企業(yè)必須使用最為安全可靠的防火墻技術(shù)����,使信息網(wǎng)絡(luò)隔離開來,減少外來攻擊����。同時,企業(yè)應(yīng)當(dāng)根據(jù)國家制定的相應(yīng)規(guī)范來制定適用于企業(yè)本身的網(wǎng)絡(luò)安全制度規(guī)范�����,使得信息網(wǎng)絡(luò)的安全程度和保密程度都大大增強(qiáng)�����。
(二)重視安全防范的日志功能和審查制度��。在大多數(shù)煙草企業(yè)中���,由于缺乏對于信息網(wǎng)絡(luò)使用的日志記錄��,對信息網(wǎng)絡(luò)使用監(jiān)測不到位��,這一方面導(dǎo)致信息網(wǎng)絡(luò)出現(xiàn)安全事故時����,企業(yè)難以找到事故發(fā)生的原因���,從而不能快速解決問題�����,也難以追回?fù)p失的資料;另一方面也造成企業(yè)難以找到事故的責(zé)任人�����。因此�����,在信息網(wǎng)絡(luò)中�����,必須做好信息使用的安全記錄�,同時要對企業(yè)中使用網(wǎng)絡(luò)的人員進(jìn)行詳細(xì)的數(shù)據(jù)庫登記,對于每一用戶登錄或退出網(wǎng)絡(luò)都進(jìn)行詳細(xì)的記載����,當(dāng)發(fā)現(xiàn)可疑的登錄人員時,應(yīng)立即采取相應(yīng)的安全防控措施��,以減少企業(yè)的損失����。
(三)確保終端用戶合法操作。在企業(yè)中�,不同人員對于信息網(wǎng)絡(luò)的使用權(quán)限不同。因此為了統(tǒng)一管理信息網(wǎng)絡(luò)用戶��,需要對一些擁有極大權(quán)限的賬號進(jìn)行相應(yīng)的權(quán)限分割以及監(jiān)測����。這些用戶在登錄時必須設(shè)置相應(yīng)的安全措施,例如安全卡和電子證書等���。這些用戶在登錄時�����,如果發(fā)生密碼多次輸入錯誤等情況���,應(yīng)立即啟動相應(yīng)安全措施����,如限制登錄等,從而杜絕超級權(quán)限用戶泄密����。必要時啟動相應(yīng)的審計功能���,使網(wǎng)絡(luò)監(jiān)控人員了解跟蹤所有對系統(tǒng)進(jìn)行的操作��。網(wǎng)絡(luò)設(shè)備系統(tǒng)���、服務(wù)器系統(tǒng)、數(shù)據(jù)輸入�、輸出系統(tǒng)、機(jī)密數(shù)據(jù)系統(tǒng)、網(wǎng)絡(luò)設(shè)備間等重要房間都配備有磁卡門��,磁卡門上配多個磁卡閱讀器�,這樣必須多個人同時進(jìn)入房間才可允許進(jìn)入,進(jìn)行正常操作�。
四、結(jié)語
對于煙草行業(yè)而言�����,充分利用網(wǎng)絡(luò)的優(yōu)勢����,同時避免網(wǎng)絡(luò)帶來的威脅是非常必要的。網(wǎng)絡(luò)安全與煙草行業(yè)發(fā)展息息相關(guān)����,因此煙草行業(yè)信息的安全防控不可忽視,隨著科學(xué)技術(shù)的發(fā)展�,煙草行業(yè)的安全防控措施也會逐漸增強(qiáng),這將極大促進(jìn)煙草行業(yè)的穩(wěn)定發(fā)展�。
作者:宋朋飛 單位:安徽省煙草公司宿州市公司
參考文獻(xiàn):
[1]楊欣.煙草行業(yè)信息安全應(yīng)對策略探討[J].中小企業(yè)管理與科技,2013�����,5
[2]陳宇明.煙草行業(yè)信息安全管理的研究與探索[J].計算機(jī)安全,2011�,9
篇7
關(guān)鍵詞 ERP系統(tǒng) 企業(yè) 電子系統(tǒng) 管理
一 、ERP在我國企業(yè)實施的現(xiàn)狀
ERP(Enterprise Resource Planning�����,企業(yè)資源規(guī)劃)是指建立在信息技術(shù)基礎(chǔ)上����,通過對企業(yè)銷售、生產(chǎn)�、采購、物流等各個環(huán)節(jié)以及人力資源��、生產(chǎn)設(shè)備�����、資金等企業(yè)內(nèi)部資源的有效控制和管理��,實現(xiàn)企業(yè)內(nèi)部資源的優(yōu)化配置���,提高企業(yè)生產(chǎn)效率和市場響應(yīng)能力的管理平臺。
在20世紀(jì)80年代���,人們把生產(chǎn)����、財務(wù)、銷售�����、采購��、人力資源等各個信息子系統(tǒng)集成為一個一體化的系統(tǒng)�����,并成為制造資源計劃��,MRPⅡ的基本原理就是把企業(yè)作為一個有機(jī)整體��,以生產(chǎn)計劃為主線���,從整體最優(yōu)的角度出發(fā)���,通過運(yùn)用科學(xué)方法對企業(yè)各種制造資源和產(chǎn)、供����、銷��、材各個環(huán)節(jié)進(jìn)行統(tǒng)一有效的計劃����、組織和控制��,使物流�、信息流、資金流流動暢通的動態(tài)反饋系統(tǒng)��,成為以生產(chǎn)制造為主線�,即物流、信息流���、資金流為一體的全面制造資源計劃���。
在MRPⅡ管理模式下���,可以有生產(chǎn)活動與財務(wù)活動有關(guān)的數(shù)據(jù)�����,把實物形態(tài)的物料流動直接轉(zhuǎn)化為價值形態(tài)的資金流動���,從而保證了生產(chǎn)與財務(wù)數(shù)據(jù)的事實性和一致性���,使財務(wù)部門得到及時、準(zhǔn)確的資金信息�,用于控制成本,參與決策��,指導(dǎo)和控制生產(chǎn)經(jīng)營活動���。
由于國外MRPⅡ供應(yīng)商的熱情.媒體的宣傳和眾人的盲從�,MRPⅡ在我國的應(yīng)用曾經(jīng)有一個���,但終因不具備MRPⅡ生長的環(huán)境而平息�����。
我國ERP真正的運(yùn)用是20世紀(jì)90年代��,從90年代中后期開始��,為了確立競爭優(yōu)勢���,各國企業(yè)更加關(guān)注進(jìn)入市場的時間��,產(chǎn)品的質(zhì)量��,服務(wù)的水平和運(yùn)營成本的降低��,并且為適應(yīng)市場全球化的要求���,組織結(jié)構(gòu)和投資結(jié)構(gòu)也趨向于分布式和扁平化,ERP就是在這種時代背景下面市的�,在ERP系統(tǒng)設(shè)計中,考慮到僅靠自己企業(yè)的資源不可能有效地參與市場競爭�,還必須把經(jīng)營過程中的有關(guān)各方,如:供應(yīng)商�、制造工廠、分銷網(wǎng)絡(luò)��、客戶等納入一個緊密的供應(yīng)鏈中����,才能有效的安排企業(yè)的產(chǎn)、供銷活動��。滿足企業(yè)利用一切市場資源���,快速高效地進(jìn)行生產(chǎn)經(jīng)營的需求�����,并準(zhǔn)確及時的反映各方的動態(tài)信息��,監(jiān)控經(jīng)營成本和資金流向���,以其進(jìn)一步企業(yè)對市場反映的靈活性和財務(wù)效率,并在市場上獲得競爭優(yōu)勢���。
ERP是一種面向企業(yè)供應(yīng)鏈的整體資源的管理和利用����,可對供應(yīng)鏈上的所有環(huán)節(jié)進(jìn)行有效的管理��。從90年代起����,全球ERP/MRPⅡ軟件產(chǎn)品市場排名最前的一些公司紛紛進(jìn)入我國市場,國內(nèi)著名的幾家財務(wù)公司也聯(lián)名宣布進(jìn)軍ERP領(lǐng)域在企業(yè)中掀起一場ERP熱潮��。2002年3月7日,國家經(jīng)貿(mào)委和信息產(chǎn)業(yè)部聯(lián)合發(fā)出《關(guān)于大力推進(jìn)企業(yè)管理信息化的指導(dǎo)意見》�,對企業(yè)管理信息化提出具體要求“國家重點企業(yè)管理信息化的起點要求,步伐要快����。到‘十五’末期,大多數(shù)國家重點企業(yè)要基本實現(xiàn)企業(yè)信息化����,制造類企業(yè)可以應(yīng)用ERP為主”,“其他國有大中型企業(yè)要努力實現(xiàn)比較完善的財務(wù)�����、營銷管理信息化”�。這一指導(dǎo)意見對ERP的應(yīng)用起到了推動作用,目前有一千多家企業(yè)在應(yīng)用ERP�,客觀上達(dá)到了利用計算機(jī)輔助管理的目的,并在一定程度上促進(jìn)了企業(yè)管理的改進(jìn)��、提高和創(chuàng)新����。
但是,從應(yīng)用效果上看����,無論我國政府還是企業(yè)�,在這方面投入不少�����,其應(yīng)用效果令人擔(dān)憂��。在我國ERP實施的成功率不足50%���,同西方國家相比存在很大的差距。據(jù)美國生產(chǎn)與庫存控制協(xié)會統(tǒng)計����,企業(yè)成功應(yīng)用ERP后,庫存下降30%~50%�;延期交貨減少80%,采購提前期縮短50%�,停工待料減少50%,制造成本減少12%�,管理水平提高,管理人員減少10%�����,生產(chǎn)能力提高10%~15%。從這些數(shù)據(jù)可以看出����,ERP的成功應(yīng)用可以為企業(yè)帶來很樂觀的利益和前景,其在國外應(yīng)用的也相當(dāng)成功��,已經(jīng)成為國外企業(yè)進(jìn)行日常工作流程管理和決策支持必不可少的工具�����。但在我國在應(yīng)用和實施ERP軟件中遇上很多問題�。
二、ERP在我國企業(yè)實施中存在的問題
ERP在我國實施的成功率低下或者說ERP項目的實施不能達(dá)到我國企業(yè)期望的目標(biāo)�����,主要原因在于:
1.企業(yè)管理者和員工的管理思想落后�����。ERP系統(tǒng)本身蘊(yùn)涵著先進(jìn)的管理思想��,實施ERP是一項管理系統(tǒng)工程���,涉及企業(yè)運(yùn)營的方方面面���,且要求對企業(yè)的業(yè)務(wù)流程進(jìn)行重組�,變革現(xiàn)行的管理模式����。然而,我國企業(yè)由計劃經(jīng)濟(jì)的時間不長��,由于歷史的慣性�����,企業(yè)中的一些人員還習(xí)慣于計劃經(jīng)濟(jì)下的傳統(tǒng)的管理模式����,包括管理方式����、組織機(jī)構(gòu)、工作方式等��,市場意識不強(qiáng)����,難以接受新的管理思想和方式��,更不愿意變革��。雖然在某種程度上使用了IT��,但是并沒有輔之以新的管理理念����,只是“穿新鞋走老路”���,ERP的應(yīng)用效果不能凸顯�,甚至阻礙了ERP進(jìn)一步發(fā)展����。
管理思想是ERP的靈魂,實施業(yè)務(wù)流程重組和管理信息化后����,企業(yè)管理思想和管理模式將發(fā)生革命性的質(zhì)的變化,不能正確認(rèn)識的管理思想就不可能很好地去實施和應(yīng)用ERP系統(tǒng)�,因此,管理者和員工的管理理念和工作方式必須進(jìn)行相應(yīng)調(diào)整�。
2.ERP環(huán)境下信息系統(tǒng)內(nèi)部控制存在的問題。(1)信息系統(tǒng)非授權(quán)訪問的風(fēng)險�����。對企業(yè)信息系統(tǒng)的使用必須經(jīng)過授權(quán),非授權(quán)的訪問����,將帶來對企業(yè)重要信息的泄漏或丟失的風(fēng)險。企業(yè)信息系統(tǒng)非授權(quán)訪問的威脅主要來自于:系統(tǒng)內(nèi)部和系統(tǒng)外部��,如:黑客入侵和病毒攻擊��,尤其是有意圖的��、有目的的攻擊行為�����。將給企業(yè)帶來巨大的傷害���,嚴(yán)重威脅企業(yè)信息的機(jī)密性、完整性和可用性����。(2)信息系統(tǒng)管理部門內(nèi)職責(zé)分離的控制風(fēng)險。職責(zé)分離����,是企業(yè)內(nèi)部控制的基礎(chǔ)控制手段��,主要目標(biāo)是防范內(nèi)部人員的舞弊行為帶給企業(yè)的災(zāi)難��。在ERP的環(huán)境下��,信息系統(tǒng)不相容的職責(zé)分離主要有:系統(tǒng)設(shè)計人員和系統(tǒng)操作人員的職責(zé)分離����,系統(tǒng)維護(hù)人員與系統(tǒng)操作人員的職責(zé)要分離�����,系統(tǒng)操作人員�����、系統(tǒng)設(shè)計人員與數(shù)據(jù)檔案管理人員職責(zé)要分離��,數(shù)據(jù)庫管理員與信息系統(tǒng)管理部門的其他職責(zé)要分離�。(3)不同信息系統(tǒng)之間信息傳遞的控制風(fēng)險。ERP系統(tǒng)需要與原有的生產(chǎn)管理系統(tǒng)��、網(wǎng)上電子采購系統(tǒng)以及已停止使用但保留歷史數(shù)據(jù)的用友財務(wù)會計系統(tǒng)進(jìn)行溝通,雖然R/3軟件提供了系統(tǒng)外部接口�,但是,企業(yè)很難直接將它們和ERP系統(tǒng)進(jìn)行接口連接��,進(jìn)行集成管理����。
3.ERP系統(tǒng)中的信息不對稱。我國大多數(shù)企業(yè)信息化基礎(chǔ)比較弱�����,各個信息系統(tǒng)之間相互不匹配�、不融合,如銷售部門�、財務(wù)部門、行政部門等部門之間信息系統(tǒng)數(shù)據(jù)不統(tǒng)一����。這主要是由于:(1)基礎(chǔ)數(shù)據(jù)的準(zhǔn)確性差��。如生產(chǎn)系統(tǒng)運(yùn)行不規(guī)范�����、生產(chǎn)過程不穩(wěn)定��、企業(yè)管理機(jī)制和市場環(huán)境不完善等,破壞了基礎(chǔ)數(shù)據(jù)的統(tǒng)一性��、完整性�����、和流暢性��,最終導(dǎo)致基礎(chǔ)數(shù)據(jù)的準(zhǔn)確性下降��。(2)物流���、資金流和信息流不一致��。物流����、資金流和信息流不是緊密聯(lián)系的�, 企業(yè)內(nèi)部的信息不一致,許多部門之間的數(shù)據(jù)不一致����,對同一個問題得出的結(jié)論不同,甚至完全相反。這些造成企業(yè)管理資源的浪費��,給企業(yè)帶來損失��。
三����、我國ERP應(yīng)用率低下的解決對策
1.革新管理理念。ERP不僅僅對企業(yè)帶來的ERP軟件����,更重要的是給企業(yè)帶來了先進(jìn)的管理理念,企業(yè)實施ERP過程�,也是將ERP的管理理念引入企業(yè)的過程。那么ERP的實施必然涉及企業(yè)的業(yè)務(wù)流程�����、組織機(jī)構(gòu)設(shè)置�、人員配置等方方面面的配套改革。也必然涉及各方面利益關(guān)系的調(diào)整�,所有這些僅僅依靠企業(yè)的某個功能����,都沒有辦法解決,都需要企業(yè)關(guān)鍵領(lǐng)導(dǎo)出面對企業(yè)業(yè)務(wù)流程重組和變革以適應(yīng)ERP的實施給企業(yè)帶來的先進(jìn)管理理念,可以說����,企業(yè)的高層領(lǐng)導(dǎo),革新理念����、積極參與是成功實施ERP的關(guān)鍵。
2.改革ERP環(huán)境下信息系統(tǒng)的內(nèi)部控制�。防范ERP信息系統(tǒng)的風(fēng)險,保證系統(tǒng)的安全���,必須采取全面有效的控制措施����。(1)建立信息安全管理委員會���,完善組織控制��。企業(yè)可以設(shè)立獨立的信息安全管理委員會�����,主要用于指導(dǎo)��、協(xié)調(diào)和評價企業(yè)信息系統(tǒng)����。實施過程中的安全控制措施,該委員會應(yīng)該于信息系統(tǒng)的維護(hù)和使用部門相獨立���,負(fù)責(zé)確認(rèn)企業(yè)管理層的信息安全方針�����,并在企業(yè)組織中指派安全角色��。協(xié)調(diào)企業(yè)安全措施的實施�。以達(dá)到對信息系統(tǒng)的監(jiān)管和有效的風(fēng)險防范的作用�����。該委員會可以和企業(yè)審計部門合作����,對企業(yè)信息系統(tǒng)的是使用和信息安全管理的效果,進(jìn)行綜合評價�����,促進(jìn)企業(yè)信息系統(tǒng)的改進(jìn)����。(2)加強(qiáng)網(wǎng)絡(luò)安全管理。為抵制惡意軟件的入侵����,企業(yè)應(yīng)該實施一系列控制措施來保證網(wǎng)絡(luò)安全,例如:運(yùn)行專用的網(wǎng)關(guān)軟件進(jìn)行網(wǎng)絡(luò)監(jiān)控�����,采用專用內(nèi)容過濾技術(shù)�����,組織各種惡意內(nèi)容的入侵等�����,并通過對防火墻掃描器入侵檢測等系統(tǒng)安全的支撐產(chǎn)品����,信息的采集與信息系統(tǒng)的事故報告進(jìn)行關(guān)聯(lián)分析,以便于更準(zhǔn)確的了解信息系統(tǒng)��,受到非授權(quán)訪問或攻擊的信息。以及控制措施和控制效果���,有利于企業(yè)控制重點的調(diào)整�����,加強(qiáng)網(wǎng)絡(luò)風(fēng)險的防范�����。(3)加強(qiáng)員工的信息安全意識��。進(jìn)行信息安全的再交易���,企業(yè)信息系統(tǒng)的安全管理,離不開人的作用����,企業(yè)從上至下都建立起信息安全的概念,并由管理層從戰(zhàn)略高度出發(fā)�����,根據(jù)企業(yè)集團(tuán)的需要和特點��,制定一套清晰的信息安全指導(dǎo)方針,并向企業(yè)內(nèi)部各組織��,表明管理層對信息安全的支持和承諾���。同時對員工信息安全的再教育,培養(yǎng)員工的信息安全意識����。使員工在處理業(yè)務(wù)處理時,能夠依據(jù)企業(yè)的信息安全方針���,進(jìn)行信息安全控制和風(fēng)險防范�。
3.進(jìn)行ERP與電子商務(wù)的整合�。一個有效的企業(yè)管理信息系統(tǒng)應(yīng)該具有智能性,具備一定分析和提煉綜合分析能力����,能提供準(zhǔn)確的、及時的�����、可供決策的信息�����。實現(xiàn)這一系統(tǒng)功能離不開電子商務(wù)。電子商務(wù)的實質(zhì)是企業(yè)經(jīng)營管理的各個環(huán)節(jié)的信息化過程���,電子商務(wù)的開展對ERP思想的實質(zhì)將起到一個橋梁作用����。電子商務(wù)是建立在ERP的基礎(chǔ)之上的應(yīng)用����,ERP是企業(yè)實施電子商務(wù)的支撐系統(tǒng),具體關(guān)系體現(xiàn)為:基于供應(yīng)鏈的兼容性�����。企業(yè)中存在三種流���,物流�����、資金流和信息流�。其中信息流不是孤立的,它與物流和資金流緊密聯(lián)系�。反映了物資和資金流動前、中�、后的狀況。對基于這三種流分別存在的物資供應(yīng)鏈���,資金供應(yīng)鏈和信息供應(yīng)鏈�����。由于電子商務(wù)主要涉及采購和銷售業(yè)務(wù),因此網(wǎng)上采購部和網(wǎng)上銷售部成為企業(yè)的物流和資金流的一部分�。雖然ERP首先使用了供應(yīng)鏈管理思想,但供應(yīng)鏈并不依賴于ERP而存在���。供應(yīng)鏈?zhǔn)瞧髽I(yè)一種客觀存在�。任何企業(yè)應(yīng)用系統(tǒng)都可以使用供應(yīng)鏈管理的思想和方法�����。
基于客戶關(guān)系管理的關(guān)聯(lián)性����。客戶關(guān)系管理(CRM)是ERP系統(tǒng)的一個發(fā)展方向。面向客戶的客戶關(guān)系管理���。不僅僅是將銷售過程自動化����,而且?guī)椭髽I(yè)充分利用關(guān)鍵客戶和企業(yè)數(shù)據(jù)來優(yōu)化商業(yè)決策過程���。CRM賦予客戶與企業(yè)進(jìn)行交流的能力�����。而這種交流是通過電子商務(wù)來實現(xiàn)的����。電子商務(wù)系統(tǒng)的運(yùn)行為客戶和企業(yè)之間的交流提供中介��。向ERP提高最直接的數(shù)據(jù)資料�。
整合是根據(jù)企業(yè)發(fā)展戰(zhàn)略和業(yè)務(wù)流程合并、撤消或增加一些業(yè)務(wù)部門�。包括水平整合和垂直整合。同時也要求應(yīng)用軟件各模塊的合理劃分和有機(jī)集成���。而且還必須有數(shù)據(jù)庫層和操作層來支持����。具體的實現(xiàn)途徑如下:
(1)功能整合?����;贗nternet的ERP系統(tǒng)應(yīng)滿足企業(yè)及伙伴庫存管理與銷售管理的基本功能���。庫存管理包括入庫盤點等���。銷售管理包括發(fā)貨、發(fā)票管理等�。
(2)觀念和人才整合��。整合必須牽動全局����,會影響企業(yè)現(xiàn)行的管理思想、管理制度和管理方法���。更為重要的是��,將會引起許多人利益的再分配��。因而必然會遇到許多阻力��。這就要求最高決策層全力推動轉(zhuǎn)變觀念,接受先進(jìn)的管理理念�,要求企業(yè)的所有員工必須在思想上有正確的認(rèn)識�����,以便于在有機(jī)組織中����,充分發(fā)揮每個員工的主觀能動性與全能,提高企業(yè)對市場動態(tài)變化的響應(yīng)速度��。同時要求�,商業(yè)管理人員要有計算機(jī)知識,IT技術(shù)人員要有管理理論和商務(wù)知識�����,這樣企業(yè)才能對電子商務(wù)下的ERP有哪些需求���,技術(shù)上應(yīng)該怎么實現(xiàn)���,有個清楚的認(rèn)識����。企業(yè)如果缺乏復(fù)合型人才�,便無法有效的實施ERP與電子商務(wù)的融合。
電子商務(wù)與ERP的無縫整合可以最大限度地提高企業(yè)對市場的快速反應(yīng)能力和滿足客戶的個性化服務(wù)�,最終實現(xiàn)以供應(yīng)鏈管理為目標(biāo),使企業(yè)能在激烈的市場競爭中���,立于不敗之地�。
參考文獻(xiàn)
[1]諾伯特?韋爾蒂.成功的ERP項目實施.北京:機(jī)械工業(yè)出版社.2001.
[2]Alexis leon.企業(yè)資源規(guī)劃.北京:清華大學(xué)出版社.2001.
[3]楊雄勝.內(nèi)部控制面臨的困境及出路.會計研究�,2006.02.
篇8
關(guān)鍵詞:企業(yè);網(wǎng)絡(luò)安全����;對策
一、企業(yè)網(wǎng)絡(luò)安全的內(nèi)涵
企業(yè)網(wǎng)絡(luò)安全是指企業(yè)網(wǎng)絡(luò)系統(tǒng)的硬件����、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)��,不因偶然的或者惡意的原因而遭受到破壞�����、更改、泄露�,系統(tǒng)連續(xù)可靠正常地運(yùn)行,網(wǎng)絡(luò)服務(wù)不中斷����。企業(yè)網(wǎng)絡(luò)安全從其本質(zhì)上來講就是企業(yè)網(wǎng)絡(luò)上的信息安全。從廣義來說���,凡是涉及到企業(yè)網(wǎng)絡(luò)上信息的保密性�、完整性��、可用性�����、真實性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域�。
二、企業(yè)網(wǎng)絡(luò)安全存在的問題
(一)安全意識淡薄
在企業(yè)網(wǎng)絡(luò)系統(tǒng)中�,每一臺計算機(jī)的安全性都會影響整個系統(tǒng)的安全性能,網(wǎng)絡(luò)安全與每個用戶息息相關(guān)�����。內(nèi)部員工了解公司的網(wǎng)絡(luò)結(jié)構(gòu)���、數(shù)據(jù)存放方式和地點甚至掌握業(yè)務(wù)系統(tǒng)的密碼�����。在具有嚴(yán)格訪問權(quán)限的系統(tǒng)中�����,使用弱密碼的用戶有可能成為安全系統(tǒng)中的缺陷��,甚至有些人隨意改動系統(tǒng)注冊表���,使得整個網(wǎng)絡(luò)安全系統(tǒng)失效�����。
(二)網(wǎng)絡(luò)安全體系不健全
當(dāng)前很多企業(yè)盡管采取了一些安全措施�,但安全保護(hù)措施較為零散���,缺乏整體性與系統(tǒng)性���,對于企業(yè)網(wǎng)絡(luò)信息安全保護(hù)缺乏統(tǒng)一的��、明確的指導(dǎo)思想����,沒有建立一個完善的安全體系,這是引發(fā)安全問題的主要源頭�����。
(三)網(wǎng)絡(luò)黑客攻擊
黑客肆意妄為�,破壞的手段也越來越多樣化。企業(yè)的內(nèi)部資料對于整個企業(yè)經(jīng)營來說相當(dāng)重要��,因為它關(guān)系到整個企業(yè)的生死存亡���。企業(yè)存放信息會因網(wǎng)絡(luò)黑客攻擊而造成資料的泄密。
(四)來自企業(yè)外部的感染
來自企業(yè)外部的計算機(jī)病毒具有傳播性����、破壞性、隱蔽性�����、潛伏性和可觸發(fā)性等特點�����,通過入侵網(wǎng)絡(luò)系統(tǒng)和設(shè)備,對數(shù)據(jù)進(jìn)行破壞�����,使網(wǎng)絡(luò)癱瘓��,不能正常運(yùn)作��。網(wǎng)絡(luò)蠕蟲由于不需要用戶干預(yù)就能觸發(fā)����,因而其傳播速度要遠(yuǎn)遠(yuǎn)大于計算機(jī)病毒����,其對網(wǎng)絡(luò)性能產(chǎn)生的影響也更為顯著和嚴(yán)重���。木馬是指附著在應(yīng)用程序中或者單獨存在的一些惡意程序����,它可以利用網(wǎng)絡(luò)遠(yuǎn)程控制安裝有服務(wù)端程序的主機(jī)�,實現(xiàn)對主機(jī)的控制或者竊取主機(jī)上的機(jī)密信息。
(五)來自企業(yè)網(wǎng)絡(luò)內(nèi)部的攻擊
企業(yè)防護(hù)重點是對外�����,往往忽視對內(nèi)部防護(hù)的重視�����。利用企業(yè)內(nèi)部計算機(jī)對企業(yè)局域網(wǎng)絡(luò)進(jìn)行攻擊�,企業(yè)局域網(wǎng)絡(luò)也會受到嚴(yán)重攻擊�����,當(dāng)前企業(yè)內(nèi)部攻擊行為大大加強(qiáng)了企業(yè)網(wǎng)絡(luò)安全的風(fēng)險�。
三、企業(yè)網(wǎng)絡(luò)安全對策的思考
(一)強(qiáng)化信息安全意識
網(wǎng)絡(luò)安全必須要靠企業(yè)全體人員的意識提高才能形成一種好的氛圍����。每個人在主觀上有一種“我要安全”的意識才能不斷提高網(wǎng)絡(luò)的安全水平。要有專職部門負(fù)責(zé)管理企業(yè)網(wǎng)絡(luò)安全��,其它各部門服從專職部門的統(tǒng)一規(guī)劃,統(tǒng)一部署����。樹立“網(wǎng)絡(luò)安全無小事”的理念,落實建立健全各項各項規(guī)章制度��。要把職責(zé)�����、標(biāo)準(zhǔn)����、流程落實到實處���,實現(xiàn)網(wǎng)絡(luò)安全管理精細(xì)化。
(二)構(gòu)建健全的網(wǎng)絡(luò)安全體系
網(wǎng)絡(luò)安全體系不是一勞永逸地能夠防范任何攻擊的完美系統(tǒng)�����。企業(yè)力圖建立的是一個網(wǎng)絡(luò)安全的動態(tài)防護(hù)體系��,是動態(tài)加靜態(tài)的防御�,是被動加主動的防御甚至抗擊����,是管理加技術(shù)的完整安全觀念���,是一個科學(xué)、系統(tǒng)���、全面的網(wǎng)絡(luò)安全結(jié)構(gòu)體系�。該網(wǎng)絡(luò)安全體系的設(shè)計必須采用多層次�、多維度的設(shè)計思路,才能有效地保障企業(yè)網(wǎng)絡(luò)的安全�����。企業(yè)網(wǎng)絡(luò)安全體系的構(gòu)建目標(biāo)是使在企業(yè)網(wǎng)絡(luò)中���,信息的自由性�����、秘密性��、完整性���、共享性等都能得到良好保護(hù)的一種狀態(tài),在網(wǎng)絡(luò)傳遞的信息沒有被故意的或偶然的非法授權(quán)泄露����、更改���、破壞或使信息被非法系統(tǒng)辨識����、控制��,網(wǎng)絡(luò)信息的保密性�、完整性、可用性�、可控性得到良好保護(hù)的狀態(tài)。
(三)強(qiáng)化企業(yè)辦公電腦的安全管理
經(jīng)常刪除垃圾文件���,把木馬和病毒消滅�����,以防止黑客攻擊���。防御黑客失敗��,可能會導(dǎo)致硬盤上的所有重要數(shù)據(jù)被破壞甚至刪除�����。用恢復(fù)技術(shù)對硬盤數(shù)據(jù)進(jìn)行恢復(fù)����,如要恢復(fù)的數(shù)據(jù)涉及一些商業(yè)機(jī)密�,準(zhǔn)備新的空白硬盤作為數(shù)據(jù)恢復(fù)后的載體�����,千萬不能將數(shù)據(jù)恢復(fù)到別人的機(jī)器上��,因為他們既然能恢復(fù)您硬盤上的數(shù)據(jù)�,也一定也能恢復(fù)暫存在他們的硬盤上的相關(guān)數(shù)據(jù),恢復(fù)數(shù)據(jù)的過程最好有人全程監(jiān)控�,以避免泄密。及時進(jìn)行入侵檢測��,如發(fā)現(xiàn)有被攻擊的跡象,要迅速根據(jù)用戶事先定義的動作做出相關(guān)反應(yīng)����,檢查系統(tǒng)上存在的可能拒絕服務(wù)攻擊檢測系統(tǒng)中是不是被安裝了某些竊聽的程序,防火墻系統(tǒng)有沒有存在配置錯誤和安全漏洞問題��。
(四)加強(qiáng)企業(yè)外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)的管理
對企業(yè)的外部和內(nèi)部網(wǎng)絡(luò)進(jìn)行相關(guān)的控制是必要的���,尤其是訪問控制���,可以根據(jù)企業(yè)的實際情況和需要設(shè)置防火墻,加強(qiáng)必要的防護(hù)設(shè)施�,把安全漏洞控制好。做好防護(hù)工作���,關(guān)掉一些敏感端口和一些不必要的服務(wù)���,那么一些想要入侵的人就會受到一定的限制,以阻擋外部網(wǎng)絡(luò)不法分子的侵入���,防止偷竊或起著破壞性作用的惡意攻擊�。同時企業(yè)還應(yīng)在基礎(chǔ)的防火墻體系上建立入侵檢測系統(tǒng)��,利用交換機(jī)處所布置的入侵檢測系統(tǒng)實時監(jiān)控企業(yè)內(nèi)網(wǎng)的安全事件����,以此為網(wǎng)絡(luò)管理員的管理工作奠定基礎(chǔ),便于管理員及時針對情況做出反應(yīng)����。針對企業(yè)移動辦公人員的移動需求,企業(yè)還應(yīng)建立VPN加密系統(tǒng)���。為移動辦公人員通過互聯(lián)網(wǎng)絡(luò)訪問企業(yè)內(nèi)網(wǎng)奠定基礎(chǔ)����。通過科學(xué)的網(wǎng)絡(luò)安全設(shè)置以及相應(yīng)體系的建立提高企業(yè)網(wǎng)絡(luò)安全防護(hù)性能��。
四�、結(jié)語
現(xiàn)代企業(yè)網(wǎng)絡(luò)安全建設(shè)是現(xiàn)代企業(yè)經(jīng)營與管理中的重要工作之一����。網(wǎng)絡(luò)安全建設(shè)關(guān)系到企業(yè)信息的安全,關(guān)系到企業(yè)信息化管理工作的開展�,關(guān)系到企業(yè)管理工作的有效傳達(dá)。通過網(wǎng)絡(luò)安全建設(shè)能夠保障企業(yè)信息流暢以及企業(yè)經(jīng)營����、財務(wù)等信息的安全����。
參考文獻(xiàn):
[1]陳靜.關(guān)于企業(yè)網(wǎng)絡(luò)系統(tǒng)安全防護(hù)的探討[J].企業(yè)信息化�,2009,6
[2]柳葉�,魏立國.企業(yè)信息化建設(shè)中網(wǎng)絡(luò)安全建設(shè)的分析[J].計算機(jī)網(wǎng)絡(luò)資訊,2010���,07
