前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的企業(yè)信息安全的概念主題范文,僅供參考,歡迎閱讀并收藏。
隨著企業(yè)信息化水平的提升,大多數(shù)企業(yè)在信息安全建設(shè)上逐步添加了上網(wǎng)行為管理、內(nèi)網(wǎng)安全管理等新的安全設(shè)備,但信息安全防護(hù)理念還停留在防的階段,信息安全策略都是在安全事件發(fā)生后再補(bǔ)救,導(dǎo)致了企業(yè)信息防范的主動性和意識不高,信息安全防護(hù)水平已經(jīng)越來越不適應(yīng)當(dāng)今企業(yè)IT運(yùn)維環(huán)境和企業(yè)發(fā)展的需求。
2企業(yè)信息系統(tǒng)安全防護(hù)的構(gòu)建原則
企業(yè)信息化安全建設(shè)的目標(biāo)是在保障企業(yè)數(shù)字化成果的安全性和可靠性。在構(gòu)建企業(yè)信息安全體系時應(yīng)該遵循以下幾個原則:
2.1建立企業(yè)完善的信息化安全管理體系
企業(yè)信息安全管理體系首先要建立完善的組織架構(gòu)、制定信息安全管理規(guī)范,來保障信息安全制度的落實(shí)以及企業(yè)信息化安全體系的不斷完善?;酒髽I(yè)信息安全管理過程包括:分析企業(yè)數(shù)字化資產(chǎn)評估和風(fēng)險分析、規(guī)劃信息系統(tǒng)動態(tài)安全模型、建立可靠嚴(yán)謹(jǐn)?shù)膱?zhí)行策略、選用安全可靠的的防護(hù)產(chǎn)品等。
2.2提高企業(yè)員工自身的信息安全防范意識
在企業(yè)信息化系統(tǒng)安全管理中,防護(hù)設(shè)備和防護(hù)策略只是其中的一部分,企業(yè)員工的行為也是維護(hù)企業(yè)數(shù)字化成果不可忽略的組成。所以企業(yè)在實(shí)施信息化安全管理時,絕對不能忽視對人的行為規(guī)范和績效管理。在企業(yè)實(shí)施企業(yè)信息安全前,應(yīng)制定企業(yè)員工信息安全行為規(guī)范,有效地實(shí)現(xiàn)企業(yè)信息系統(tǒng)和數(shù)字化成果的安全、可靠、穩(wěn)定運(yùn)行,保證企業(yè)信息安全。其次階段遞進(jìn)的培訓(xùn)信息安全人才也是保障企業(yè)數(shù)字化成果的重要措施。企業(yè)對員工進(jìn)行逐次的安全培訓(xùn),強(qiáng)化企業(yè)員工對信息安全的概念,提升員工的安全意識。使員工的行為符合整個企業(yè)信息安全的防范要求。
2.3及時優(yōu)化更新企業(yè)信息安全防護(hù)技術(shù)
當(dāng)企業(yè)對自身信息安全做出了一套整體完善的防護(hù)規(guī)劃時,就應(yīng)當(dāng)考慮采用何種安全防護(hù)技術(shù)來支撐整個信息安全防護(hù)體系。對于安全防護(hù)技術(shù)來說可以分為身份識別、網(wǎng)絡(luò)隔離、網(wǎng)絡(luò)安全掃描、實(shí)時監(jiān)控與入侵發(fā)現(xiàn)、安全備份恢復(fù)等。比如身份識別的目的在于防止非企業(yè)人員訪問企業(yè)資源,并且可以根據(jù)員工級別分配人員訪問權(quán)限,達(dá)到企業(yè)敏感信息的安全保障。
3企業(yè)信息安全體系部署的建議
根據(jù)企業(yè)信息安全建設(shè)架構(gòu),在滿足終端安全、網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全等安全防護(hù)體系時,我們需要重點(diǎn)關(guān)注以下幾個方面:
3.1實(shí)施終端安全,規(guī)范終端用戶行為
在企業(yè)信息安全事件中,數(shù)字化成果泄漏是屬于危害最為嚴(yán)重的一種行為。企業(yè)信息安全體系建立前,企業(yè)員工對自己的個人行為不規(guī)范,造成了員工可以通過很多方式實(shí)現(xiàn)信息外漏。比如通過U盤等存儲介質(zhì)拷貝或者通過聊天軟件傳遞企業(yè)的核心數(shù)字化成果。對于這類高危的行為,我們在建設(shè)安全防護(hù)體系時,僅僅靠上網(wǎng)行為管理控制是不能完全杜絕的。應(yīng)該當(dāng)用戶接入企業(yè)信息化平臺前,就對用戶的終端系統(tǒng)進(jìn)行安全規(guī)范檢查,符合企業(yè)制定的終端安全要求后再接入企業(yè)內(nèi)網(wǎng)。同時配合上網(wǎng)行為管理的策略對員工的上網(wǎng)行為進(jìn)行審計(jì),使得企業(yè)員工的操作行為符合企業(yè)制定的上網(wǎng)行為規(guī)范,從終端用戶提升企業(yè)的防護(hù)水平。
3.2建設(shè)安全完善的VPN接入平臺
企業(yè)在信息化建設(shè)中,考慮總部和分支機(jī)構(gòu)的信息化需要,必然會采用VPN方式來解決企業(yè)的需求。不論是采用SSLVPN還是IPSecVPN,VPN加密傳輸都是通用的選擇。對于分支機(jī)構(gòu)可以考慮專用的VPN設(shè)備和總部進(jìn)行IPSec連接,這種方式更安全可靠穩(wěn)定。對于移動終端的接入可以考慮SSLVPN方式。在這種情況下,就必須做好對于移動終端的身份認(rèn)證識別。其實(shí)我們在設(shè)備采購時,可以要求設(shè)備商做好多種接入方式的需求,并且?guī)椭髽I(yè)搭建認(rèn)證方式。這將有利于企業(yè)日常維護(hù),提升企業(yè)信息系統(tǒng)的VPN接入水平。
3.3優(yōu)化企業(yè)網(wǎng)絡(luò)的隔離性和控制性
在規(guī)劃企業(yè)網(wǎng)絡(luò)安全邊際時,要面對多個部門和分支結(jié)構(gòu),合理的規(guī)劃安全網(wǎng)絡(luò)邊際將是關(guān)鍵。企業(yè)的網(wǎng)絡(luò)體系可以分為:物理層;數(shù)據(jù)鏈路層;網(wǎng)絡(luò)層;傳輸層;會話層;表示層;應(yīng)用層。各體系之間的相互隔離和訪問策略是防止企業(yè)信息安全風(fēng)險的重要環(huán)節(jié)。在企業(yè)多樣化網(wǎng)絡(luò)環(huán)境的背景下,根據(jù)企業(yè)安全優(yōu)先級及面臨的風(fēng)險程度,做出適合企業(yè)信息安全的防護(hù)策略和訪問控制策略。根據(jù)相應(yīng)防護(hù)設(shè)備進(jìn)行深層次的安全防護(hù),真正實(shí)現(xiàn)OSI的L2~L7層的安全防護(hù)。
3.4實(shí)現(xiàn)企業(yè)信息安全防護(hù)體系的統(tǒng)一管理
為企業(yè)信息安全構(gòu)建統(tǒng)一的安全防護(hù)體系,重要的優(yōu)勢就是能實(shí)現(xiàn)對全網(wǎng)安全設(shè)備及安全事件的統(tǒng)一管理,做到對整個網(wǎng)絡(luò)安全事件的“可視、可控和可管”。企業(yè)采購的各種安全設(shè)備工作時會產(chǎn)生大量的安全日志,如果單靠相關(guān)人員的識別日志既費(fèi)時效率又低。而且不同安全廠商的日志報表還存在很大差異。所以當(dāng)安全事件發(fā)生時,企業(yè)管理員很難實(shí)現(xiàn)對信息安全的統(tǒng)一分析和管理。所以在企業(yè)在構(gòu)建信息安全體系時,就必須要考慮安全設(shè)備日志之間的統(tǒng)一化,設(shè)定相應(yīng)的訪問控制和安全策略實(shí)現(xiàn)日志的歸類分析。這樣才能做到對全網(wǎng)安全事件的“可視、可控和可管”。
4結(jié)束語
【關(guān)鍵詞】 企業(yè) 信息化建設(shè) 信息安全
前言
當(dāng)前,信息化建設(shè)已經(jīng)成為了各類企業(yè)建設(shè)和發(fā)展的重點(diǎn)內(nèi)容,企業(yè)通過信息化建設(shè)的方式,讓自身生產(chǎn)與流通工作可以更順利地進(jìn)行,并利用互聯(lián)網(wǎng),創(chuàng)造出現(xiàn)代企業(yè)新型發(fā)展模式。但是,就實(shí)際情況而言,企業(yè)的信息化建設(shè)并不是一直處于一個平穩(wěn)的發(fā)展?fàn)顟B(tài),在其發(fā)展的過程中也會受到諸多內(nèi)部或外部因素的影響和束縛,在信息的安全方面也存在許多的問題,如黑客入侵或是病毒入侵。如果企業(yè)信息存在的安全問題比較嚴(yán)重,不僅會給企業(yè)信息化建設(shè)造成不利影響,還有可能會影響到企業(yè)的正常運(yùn)營和發(fā)展。
一、造成企業(yè)信息化建設(shè)中的信息安全問題的原因
1.1內(nèi)部原因
①企業(yè)內(nèi)部的信息安全意識缺乏,目前,雖然很多的企業(yè)都提倡建設(shè)企業(yè)內(nèi)部信息化,但是大部分企業(yè)過于注重信息化建設(shè)過程中得到的利益和優(yōu)勢,卻忽略了信息化建設(shè)中信息的安全問題。
②軟件安裝的技術(shù)比較落后,黑客與病毒的發(fā)展速度比軟件技術(shù)更新速度快。
③管理操作不得當(dāng),在對信息系統(tǒng)進(jìn)行管理與操作的過程中過于粗心大意,給黑客與不法分子和黑客制造了入侵的機(jī)會,對企業(yè)的信息安全造成威脅。
④專業(yè)的管理人才缺乏,沒有對企業(yè)的信息安全系統(tǒng)定制出合理的安全管理策略,且沒有讓專業(yè)的操作人員對統(tǒng)系統(tǒng)進(jìn)行維護(hù)和升級,致使企業(yè)信息系存在信息安全隱患[1]。
1.2外部原因
對于大多數(shù)企業(yè)而言,信息系統(tǒng)中存在的安全威脅大部分來自于外部因素,隨著社會的不斷發(fā)展,信息建設(shè)在各類企業(yè)市場競爭中的地位和作用日益提高,許多的不法分子想盡辦法對各類企業(yè)的信息進(jìn)行竊取和破壞,以此來獲得自身的利益。還有一部分企業(yè)為了得到競爭對手企業(yè)的各類商業(yè)信息,采用不正當(dāng)?shù)氖侄纹茐幕蚴侨肭謱κ制髽I(yè)的信息系統(tǒng),竊取對方企業(yè)的商業(yè)機(jī)密,以此來打倒對方。
二、企業(yè)信息化建設(shè)中存在的信息安全問題
2.1企業(yè)不夠重視信息系統(tǒng)的安全問題
就目前而言,國內(nèi)的大部分企業(yè)都沒有給予信息系統(tǒng)安全問題足夠的重視,沒有意識到信息系統(tǒng)安全的重要性。近年來,雖然國內(nèi)信息化建設(shè)得到了快速的發(fā)展,國內(nèi)企業(yè)的信息安全程度也有所提高,但是大部分的企業(yè)還是沒有意識到信息安全問題對企業(yè)的重要性,只看到了信息化建設(shè)給企業(yè)創(chuàng)造的短暫利益,而忽視了信息化建設(shè)信息安全的長遠(yuǎn)發(fā)展,未針對信息安全問題采取適當(dāng)?shù)姆婪洞胧?,致使企業(yè)信息化的發(fā)展存在較多的安全隱患。
2.2企業(yè)信息化操作管理不到位
在企業(yè)進(jìn)行信息化建設(shè)的過程中,大多數(shù)的企業(yè)沒有認(rèn)識到對企業(yè)信息進(jìn)行科學(xué)管理和操作的重要性。相關(guān)的操作和管理人員在信息化建設(shè)的管理和操作中缺少合理性,導(dǎo)致黑客與入侵者有機(jī)可乘,造成企業(yè)信息外泄。企業(yè)的信息化建設(shè)是一個全新的的概念,其中的信息系統(tǒng)管理,信息安全系統(tǒng)的維護(hù)與升級都必須由專業(yè)的操作人員進(jìn)行操作和管理,因此,專業(yè)技術(shù)人員專業(yè)技能的缺乏和個人的素質(zhì)對企業(yè)的信息安全有著直接的影響。
2.3可用于信息化建設(shè)的軟件較少
近年來,市場上各種類型的系統(tǒng)軟件越來越多,但是能夠真正用到企業(yè)信息化建設(shè)的系統(tǒng)軟件卻比較缺乏,特別是相較于國際市場,國內(nèi)的軟件無論是在適用范圍,還是技術(shù)水平方面都比較落后,這也是給企業(yè)數(shù)據(jù)安全帶來隱患的一大重要原因。
企業(yè)信息化建設(shè)使用的軟件安全性能較低,很容易被病毒或是黑客入侵,從而對企業(yè)的信息安全造成威脅,雖然大部分的企業(yè)在商業(yè)機(jī)密信息方面設(shè)置了一定的操作權(quán)限,但是在企業(yè)的實(shí)際管理中,比較容易出現(xiàn)員工操作權(quán)限重復(fù)的情況,操作人員的責(zé)任不夠明確,從而導(dǎo)致企業(yè)信息外泄或是數(shù)據(jù)丟失[2]。
三、企業(yè)提高信息化建設(shè)中的信息安全性的對策
3.1企業(yè)需樹立正確安全意識
在企業(yè)信息化的發(fā)展進(jìn)程中,企業(yè)應(yīng)該充分了解企業(yè)信息安全問題和企業(yè)發(fā)展之間的關(guān)系。意識到一旦企業(yè)的重要機(jī)密發(fā)生外泄或者是被竊取,將會給企業(yè)造成不可估量的損失,并給競爭對手提供有利的機(jī)會。
因此,企業(yè)應(yīng)該采取適當(dāng)有效的措施,防止信息安全問題的產(chǎn)生,樹立正確的信息安全意識,以便為企業(yè)未來的信息化發(fā)展打下更好的基礎(chǔ)。
3.2加強(qiáng)企業(yè)內(nèi)部信息系統(tǒng)管理
①正常來說,企業(yè)信息的系統(tǒng)使用任何的安全軟件都有可能被攻擊或被破解。在信息的安全防御過程中,最重要的并不只是信息技術(shù),管理對于企業(yè)的信息安全系統(tǒng)來說也非常重要,只有對企業(yè)的信息進(jìn)行合理、規(guī)范的管理,才能更有效提升企業(yè)信息系統(tǒng)的安全性。因此,合理的對信息安全管理體系進(jìn)行規(guī)范化建設(shè),對于企業(yè)的信息安全管理至關(guān)重要。
②完善企業(yè)安全的風(fēng)險評估機(jī)制。企業(yè)信息系統(tǒng)的建設(shè),并非是利用一種技術(shù)在短時間內(nèi)能夠完成,在平常的操作與管理中,所有的系統(tǒng)都有自己的優(yōu)勢與缺點(diǎn),因此,企業(yè)應(yīng)該針對本身信息系統(tǒng)的優(yōu)勢和缺點(diǎn)建立相關(guān)的安全風(fēng)險評估機(jī)制,找到對信息系統(tǒng)安全造成影響的漏洞和原因,并及時地進(jìn)行處理,以有效降低企業(yè)信息系統(tǒng)被攻擊的可能性。
3.3運(yùn)用安全性較高的防護(hù)軟件
盡管所有的防護(hù)軟件都有辦法破解,但是安全性越高的防護(hù)軟件,破解的難度就越大,企業(yè)信息被竊取或是泄露的可能性也就越低。因此,企業(yè)在對安全防護(hù)軟件進(jìn)行選擇時,不應(yīng)該為了節(jié)省企業(yè)的成本,而在信息系統(tǒng)中使用一些安全性較低的防護(hù)軟件,應(yīng)該選技安全系數(shù)較高的防護(hù)軟件,防止信息系統(tǒng)出現(xiàn)安全問題,給企業(yè)帶來更大的經(jīng)濟(jì)損失。
3.4加強(qiáng)企業(yè)的網(wǎng)絡(luò)管理
大多數(shù)的不法分子都是通過網(wǎng)絡(luò)對各個企業(yè)的信息進(jìn)行竊取和破壞,因此,企業(yè)需要加強(qiáng)企業(yè)的網(wǎng)絡(luò)管理,以確保企業(yè)信息系統(tǒng)的運(yùn)行可以在安全的狀態(tài)下進(jìn)行。企業(yè)應(yīng)該依據(jù)信息安全的等級、種類制定出相關(guān)的防護(hù)措施和方案,并提前制定好信息安全事故發(fā)生之后,企業(yè)應(yīng)該采取的解決措施[3]。在企業(yè)的信息安全受到威脅時,企業(yè)應(yīng)該及時成立起危機(jī)處理小組,讓該小組依據(jù)信息安全危機(jī)處理的步驟與預(yù)案,進(jìn)行危機(jī)處理,防止危機(jī)處理不當(dāng)而出現(xiàn)更加嚴(yán)重的連鎖危機(jī)。此外,企業(yè)應(yīng)該對內(nèi)部的員工進(jìn)行信息安全培訓(xùn)與教育,提升員工信息安全管理意識和安全危機(jī)事件的處理能力,從而有效防止企業(yè)自身失誤而造成的信息安全問題。
四、結(jié)束語
總之,在這個信息化的時代,企業(yè)進(jìn)行信息化建設(shè)是其發(fā)展和生存的重要途徑。但就目前而言,我國大部分的企業(yè)都只看到了信息化建設(shè)的優(yōu)勢,沒有意識到信息系統(tǒng)安全問題的重要性,信息系統(tǒng)還處在一個長期不設(shè)防的狀態(tài)當(dāng)中,這一情況直接影響了企業(yè)信息系統(tǒng)的安全性。因此,為了提高現(xiàn)代企業(yè)信息系統(tǒng)的安全性,企業(yè)就應(yīng)該重視信息系統(tǒng)的安全問題,樹立正確的信息安全意識,采取有效的防范措施、不斷完善企業(yè)的信息管理體系,在企業(yè)信息化建設(shè)過程中,對可能會影響信息系統(tǒng)安全的因素進(jìn)行全面考慮,以確保企業(yè)信息系統(tǒng)建設(shè)的安全性。
參 考 文 獻(xiàn)
[1]艾戩.企業(yè)信息化建設(shè)中的信息安全探究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2015,9(3):101-102.
關(guān)鍵詞:電力企業(yè);信息安全;管理;探討
中圖分類號:TP393 文獻(xiàn)標(biāo)識碼:A文章編號:1007-9599 (2011) 19-0000-01
Electric Power Enterprise Information Security Risk Analysis and Prevention Measures
Cai Wenjian
(Fujian Shishi Electric Power Co.,Ltd.,Shishi362700,China)
Abstract:Power Information Network and application security is the safe operation of power systems and reliable power supply to ensure the community is directly related to the development of China's industries,social stability and people's points of improvement of living standards.This paper introduces the basic concepts of the power of information security,information security risks in the analysis of power based on the power of information technology for the characteristics of the power proposed to protect the basic information system security policy.
Keywords:Electric Power;Information security;Management;Study
電力企業(yè)的信息化建設(shè)在生產(chǎn)自動化、管理信息化、營銷現(xiàn)代化等方面發(fā)揮了重要作用。然而,隨著網(wǎng)絡(luò)的延伸、應(yīng)用的普及和不斷深化,特別是隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展,信息安全問題日益突出。研究電力系統(tǒng)信息安全問題、制定和實(shí)施電力系統(tǒng)信息安全戰(zhàn)略、建立全方位、動態(tài)的電力信息系統(tǒng)安全保障體系,己成為當(dāng)前電力系統(tǒng)信息化工作的重要內(nèi)容。
一、電力信息安全的含義
電力信息安全是指電力主營業(yè)務(wù)系統(tǒng)及企業(yè)信息安全,保障不被未經(jīng)授權(quán)者訪問、利用和修改,為合法用戶提供安全、可信的信息服務(wù),保證信息和信息系統(tǒng)的機(jī)密性、完整性、可用性、真實(shí)性和不可否認(rèn)性。
二、電力企業(yè)信息安全風(fēng)險分析
(一)電力信息安全管理風(fēng)險分析。管理是網(wǎng)絡(luò)中安全得到保證的重要組成部分,是防止來自內(nèi)部網(wǎng)絡(luò)入侵必須的部分。由于近年計(jì)算機(jī)信息技術(shù)高速發(fā)展,計(jì)算機(jī)信息安全策略和技術(shù)也取得了非常大的進(jìn)展,但在電力系統(tǒng)各種計(jì)算機(jī)應(yīng)用中,對信息安全的認(rèn)識跟實(shí)際需要差距較大安全意識薄弱、責(zé)權(quán)不明、安全管理制度不健全及缺乏可操作性等都可能引起安全管理的風(fēng)險。
(二)網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全風(fēng)險分析。網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全是整個網(wǎng)絡(luò)系統(tǒng)安全的前提。目前電力企業(yè)在機(jī)房建設(shè)(包括水源、消防、門禁等)、重要設(shè)備的訪問管理方面都存在缺陷,亟待解決。如在網(wǎng)絡(luò)介質(zhì)的安全方面由于大都采用內(nèi)部專用網(wǎng)絡(luò),但樓層交換機(jī)的機(jī)柜位置不安全,非管理人員可以隨時接觸到,這給內(nèi)部的攻擊或竊密行為提供方便之門。
(三)電力企業(yè)信息網(wǎng)絡(luò)連接安全風(fēng)險分析。電力企業(yè)的部分用戶由于工作需要連接了因特網(wǎng),同時沒有服務(wù)器供外部訪問,用戶連接因特網(wǎng)時沒有做到與內(nèi)網(wǎng)的物理隔離,這給網(wǎng)絡(luò)帶來危害;局域網(wǎng)內(nèi)部用戶有意或無意對系統(tǒng)進(jìn)行了攻擊和竊密行為;內(nèi)部其它單位用戶對本網(wǎng)絡(luò)的攻擊行為,類似因特網(wǎng)外部連接風(fēng)險等眾多因素也都對網(wǎng)絡(luò)安全構(gòu)成了威脅。此外,受人員水平、設(shè)備性能等方面因素制約,使整個電力信息網(wǎng)的外部邊界保護(hù)能力存在一定差異,必然降低整體邊界安全防護(hù)能力。
(四)支撐基礎(chǔ)設(shè)施的安全風(fēng)險分析。許多電力企業(yè)沒有完整的備份策略,備份工作沒有計(jì)劃,備份不及時,沒有備份恢復(fù)預(yù)案;介質(zhì)管理不規(guī)范,沒有對備份介質(zhì)做庫存、領(lǐng)取、使用、借用、存放等方面的跟蹤記錄。需要特別指出的是災(zāi)難恢復(fù)計(jì)劃要素的所處的水平較低,應(yīng)重點(diǎn)加快制定有關(guān)災(zāi)難恢復(fù)的管理制度,以及備份設(shè)備的更新。
三、電力企業(yè)信息安全防范措施
(一)電力信息安全管理措施。1.健全信息安全組織保證體系。成立信息安全管理部門,至少應(yīng)配備2名安全專職管理人員,明確權(quán)利與責(zé)任,分別負(fù)責(zé)各系統(tǒng)的安全審計(jì),并相互制約。2.完善信息安全管理制度。參照國際最佳實(shí)踐,建立一套完整的制度體系,形成省、地兩級安全管理體系。3.加強(qiáng)信息安全教育培訓(xùn)。安全意識和相關(guān)技能的教育是企業(yè)安全管理中的重要內(nèi)容。高級管理部門應(yīng)當(dāng)對全體員工,特別是中高級管理人員進(jìn)行信息安全管理制度培訓(xùn),強(qiáng)化信息安全意識。
(二)電力信息安全技術(shù)措施。1.加強(qiáng)網(wǎng)絡(luò)信息安全基礎(chǔ)設(shè)施建設(shè)。建立電力企業(yè)信息系統(tǒng)物理各環(huán)境的安全目標(biāo)防止對企業(yè)工作場所和信息的非法訪問、破壞和干擾或避免造成資產(chǎn)的流失、受損。建立省電網(wǎng)級認(rèn)證授權(quán)中心,提供目錄服務(wù)、身份管理、認(rèn)證管理、訪問管理等功能,實(shí)現(xiàn)主機(jī)系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)等的統(tǒng)一身份認(rèn)證管理。對電力企業(yè)重要網(wǎng)絡(luò)設(shè)備配置文件進(jìn)行完整性檢查保護(hù),防止主機(jī)系統(tǒng)及網(wǎng)絡(luò)設(shè)備配置文件的篡改,對系統(tǒng)文件遭到修改及破壞可以及時發(fā)現(xiàn)修復(fù)。2.網(wǎng)絡(luò)控制技術(shù)。網(wǎng)絡(luò)控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略,主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非法訪問。主要包括:(1)防火墻技術(shù)。(2)審計(jì)技術(shù)。(3)訪問控制技術(shù)。(4)安全協(xié)議。3.備份恢復(fù)技術(shù)。備份恢復(fù)技術(shù)主要包括備份技術(shù)、冗余技術(shù)、容錯技術(shù)和不間斷電源保護(hù)4個方面的內(nèi)容。備份恢復(fù)與容災(zāi)中心具有關(guān)聯(lián)性,建立容災(zāi)中心的單位應(yīng)每年至少進(jìn)行一次災(zāi)備恢復(fù)的演練,沒有容災(zāi)中心的單位應(yīng)將營銷、生產(chǎn)、財(cái)務(wù)等核心數(shù)據(jù)定期進(jìn)行異地備份,并定期進(jìn)行備份恢復(fù)演練,提升應(yīng)對自然災(zāi)害的能力。
四、結(jié)束語
a)IT技術(shù)應(yīng)用程度的評價。通過IT技術(shù)的評價,可以得知信息技術(shù)在多大程度上支持管理系統(tǒng)的功能,更多得熟悉系統(tǒng)采用的技術(shù)先進(jìn)性和可靠性,在用戶體檢界面和系統(tǒng)運(yùn)維等方面也可以有更多了解。b)數(shù)據(jù)應(yīng)用程度的評價。信息系統(tǒng)的運(yùn)行要靠數(shù)據(jù)的開發(fā)和利用來支持,數(shù)據(jù)是信息系統(tǒng)的血液,對數(shù)據(jù)應(yīng)用程度的評價,主要包括評估數(shù)據(jù)應(yīng)用水平以及企業(yè)知識管理水平,主要通過數(shù)據(jù)的收集、加工、報表展示等方面進(jìn)行評價。c)信息安全的評價。當(dāng)前,利用相應(yīng)的信息系統(tǒng)竊取、擾亂信息系統(tǒng)中的信息內(nèi)容的惡意事件逐漸增多。2014年,國家成立網(wǎng)絡(luò)語信息安全工作領(lǐng)導(dǎo)小組,從國家層面高度功重視信息安全問題,企業(yè)也同樣面臨著嚴(yán)峻的信息安全形勢,因此,企業(yè)信息化安全的評價應(yīng)當(dāng)作為信息化建設(shè)評價的重要組成部分,引起足夠的重視。d)人力資源的評價。系統(tǒng)需求方、系統(tǒng)開發(fā)商、系統(tǒng)運(yùn)維團(tuán)隊(duì)、系統(tǒng)用戶等都是信息化建設(shè)過程的重要參與者,是信息化建設(shè)和應(yīng)用的主體。人力資源評價,應(yīng)重點(diǎn)考察系統(tǒng)開發(fā)和運(yùn)維人員的計(jì)算機(jī)軟件設(shè)計(jì)開發(fā)能力,以及軟件技術(shù)與應(yīng)用需求的結(jié)合能力;其他人員應(yīng)側(cè)重于員工執(zhí)行力的提高和員工參與信息化程度的評價。e)信息化組織和控制的評價。企業(yè)比如利用完善的制度體系、通過制定嚴(yán)格的信息化相關(guān)標(biāo)準(zhǔn),頒布企業(yè)內(nèi)部控制制度,保障信息建設(shè)過程管控以及信息系統(tǒng)的正常運(yùn)行。該項(xiàng)工作主要評價信息化規(guī)劃、組織與控制機(jī)制與企業(yè)日常管理的融合程度。f)效益的評價。信息化的本質(zhì)是投資,投資必須要有產(chǎn)出。信息化的效益評價包括管理效益和經(jīng)濟(jì)效益兩種。常見的如減少人工時、加速資金周轉(zhuǎn)、降低庫存等。通過效益評價,可以讓管理層對信息化的資本投入有清晰的概念,也是通常信息化項(xiàng)目立項(xiàng)時的重點(diǎn)考慮因素。
2某企業(yè)信息化評價整改措施及效果
筆者所在企業(yè),在近年開展以ERP為建設(shè)重點(diǎn),覆蓋全產(chǎn)業(yè)鏈的大規(guī)模信息化建設(shè)后,采取專項(xiàng)工作,對企業(yè)信息化水平進(jìn)行全面的評價,內(nèi)容涵蓋信息技術(shù)水平、信息\數(shù)據(jù)資源利用、信息安全、信息化隊(duì)伍建設(shè)、信息化組織和管控、信息化效益等主要方面。通過該項(xiàng)工作,筆者所在企業(yè)找到了制約其信息化建設(shè)發(fā)展和管理水平提升的嚴(yán)重問題,針對這些問題制定了如下具體改進(jìn)措施:a)針對發(fā)現(xiàn)信息技術(shù)的問題,以公司發(fā)展戰(zhàn)略為基礎(chǔ),一是統(tǒng)一規(guī)劃了信息化建設(shè)藍(lán)圖,實(shí)施一個基礎(chǔ)網(wǎng)絡(luò)平臺的網(wǎng)絡(luò)拓?fù)涓脑?、?yīng)用系統(tǒng)分層以及和一致的信息化管控體系,二是統(tǒng)一基礎(chǔ)設(shè)施標(biāo)準(zhǔn)和規(guī)范,三是拓寬網(wǎng)絡(luò)主鏈路、建設(shè)備份鏈路、保障通訊暢通。b)針對發(fā)現(xiàn)的信息資源問題,公司首先確立信息化愿景:一是建立健全信息共享平臺,確保公司信息安全,支持公司戰(zhàn)略目標(biāo)的實(shí)現(xiàn);二是確立“統(tǒng)一規(guī)劃、統(tǒng)一管理、統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一建設(shè)”的四統(tǒng)一原則;三是確立“IT是技術(shù)的提供者、業(yè)務(wù)的支持者”的定位;四是加強(qiáng)信息化建設(shè)項(xiàng)目的立項(xiàng)論證和建設(shè)過程管控。c)針對發(fā)現(xiàn)的信息安全問題,公司首先建立信息安全管理制度和規(guī)范;其次,快速實(shí)施統(tǒng)一身份認(rèn)證的準(zhǔn)入控制系統(tǒng),實(shí)施強(qiáng)制密碼策略;第三,每年定期開展計(jì)網(wǎng)絡(luò)安全大檢查和培訓(xùn);第四,每年對網(wǎng)絡(luò)和信息系統(tǒng)進(jìn)行安全測評和整改;第五,建設(shè)災(zāi)備中心。d)針對發(fā)現(xiàn)的人力資源問題,公司一是建立IT崗位序列,明確人員晉升標(biāo)準(zhǔn);二是引進(jìn)社會成品人才;三是組織技術(shù)交流、培訓(xùn)和認(rèn)證;四是加強(qiáng)信息化專、兼職機(jī)構(gòu)建設(shè)。e)針對發(fā)現(xiàn)的組織和控制問題,公司首先編制、頒布信息化規(guī)劃;其次,理順管理流程,明確以CIO制度為核心的信息化管理組織架構(gòu);第三,全面建立健全信息化內(nèi)控制度體系。f)針對發(fā)現(xiàn)的經(jīng)濟(jì)效益評價問題,公司建立了信息化立項(xiàng)論證和評價體系,頒布信息化后評價辦法和指標(biāo)。對重點(diǎn)項(xiàng)目進(jìn)行立項(xiàng)時的定量或定性效益評價,完工驗(yàn)收滿一年后開展后評價。
【關(guān)鍵詞】 供電 網(wǎng)絡(luò)終端 計(jì)算機(jī) 信息安全
1 信息網(wǎng)絡(luò)安全面臨形勢
所謂信息安全是一個廣泛而抽象的概念,建立在網(wǎng)絡(luò)基礎(chǔ)之上的現(xiàn)代信息系統(tǒng),其安全定義較為明確,那就是:保護(hù)信息系統(tǒng)的硬件、軟件及相關(guān)數(shù)據(jù),使之不因?yàn)榕既换蛘邜阂馇址付馐芷茐?、更改及泄露,保證信息系統(tǒng)能夠連續(xù)、可靠、正常地運(yùn)行。
在電力企業(yè),信息安全主要強(qiáng)調(diào)的是消減并控制風(fēng)險,保持電力生產(chǎn)經(jīng)營業(yè)務(wù)操作的連續(xù)性,并將風(fēng)險造成的損失和影響降低到最低程度。
供電企業(yè)信息化的快速發(fā)展特別SG-ERP系統(tǒng)的實(shí)施,為工作帶來便利的同時也帶來了極大的安全風(fēng)險,統(tǒng)一堅(jiān)強(qiáng)智能電網(wǎng)的建設(shè)和“三集五大”體系的建設(shè)對信息安全提出了更高的要求。
2 信息網(wǎng)絡(luò)桌面終端存在的安全隱患和風(fēng)險分析
供電企業(yè)經(jīng)過多年的信息安全建設(shè),已建成了“雙網(wǎng)雙機(jī)、分區(qū)分域、等級防護(hù)、多層防御”的信息安全防護(hù)總體架構(gòu),網(wǎng)絡(luò)隔離及網(wǎng)絡(luò)橫縱向邊界的信息安全防護(hù)措施已日趨完善。由于網(wǎng)絡(luò)用戶人員數(shù)量龐大、情況復(fù)雜、分布廣泛等問題的存在,信息安全的防護(hù)重點(diǎn)逐漸從網(wǎng)絡(luò)層面向終端用戶計(jì)算機(jī)層面轉(zhuǎn)移。
涉及信息網(wǎng)絡(luò)終端計(jì)算機(jī)的常見威脅、隱患和風(fēng)險主要包括:惡意訪問、信息泄露、破壞信息的完整性、非法使用、竊聽、業(yè)務(wù)流分析、內(nèi)部攻擊、特洛伊木馬、陷阱門、抵賴、電腦病毒、業(yè)務(wù)欺騙等。
上述風(fēng)險對于供電企業(yè)信息安全產(chǎn)生巨大威脅,任何一臺網(wǎng)絡(luò)終端計(jì)算機(jī)出現(xiàn)信息風(fēng)險漏洞,將直接波及到整個網(wǎng)絡(luò)的信息安全,已經(jīng)采取的網(wǎng)絡(luò)邊界、數(shù)據(jù)審計(jì)等防護(hù)措施將形同虛設(shè),黑客或惡意破壞者就能輕而易舉繞過所有安全防護(hù)、長驅(qū)直入、大肆破壞,對供電企業(yè)內(nèi)部應(yīng)用系統(tǒng)安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全和生產(chǎn)經(jīng)營業(yè)務(wù)造成不可估量的損失。
3 網(wǎng)絡(luò)桌面終端信息安全防范措施
3.1 信息安全防范重在管理
由于網(wǎng)絡(luò)終端計(jì)算機(jī)分布的復(fù)雜性可知,在當(dāng)前的新形勢下,信息安全并不僅僅是信息專業(yè)管理部門和運(yùn)行維護(hù)單位要面對的問題,因此,全面加強(qiáng)信息安全管理是確保信息安全的首要解決措施。
(1)建章立制,規(guī)范信息安全全過程管理。針對信息網(wǎng)絡(luò)和終端安全風(fēng)險,針對性地制定《信息安全管理規(guī)定》等規(guī)章制度,固化信息安全管理工作流程,建立網(wǎng)絡(luò)終端接入-調(diào)整-拆除-報廢的全過程控制體系,遵循“誰主管誰負(fù)責(zé)、誰運(yùn)行誰負(fù)責(zé)、誰使用誰負(fù)責(zé)”原則,將信息安全責(zé)任和壓力層層下放,可以有效促進(jìn)信息安全標(biāo)準(zhǔn)要求的貫徹落實(shí)。
(2)強(qiáng)化信息網(wǎng)絡(luò)運(yùn)行維護(hù)。采取對信息內(nèi)外網(wǎng)終端計(jì)算機(jī)的人工抽檢和技術(shù)巡檢方式,定期開展對網(wǎng)絡(luò)的全面核查,以及時發(fā)現(xiàn)安全隱患。高密度檢查路由器、交換機(jī)等信息網(wǎng)絡(luò)設(shè)備和防火墻、IPS等安全設(shè)備的策略配置,確保與業(yè)務(wù)需求相匹配。
(3)開展信息安全風(fēng)險評估。作為信息安全保障基礎(chǔ)性工作,針對信息系統(tǒng)的潛在威脅、薄弱環(huán)節(jié)、等級化防護(hù)措施、信息內(nèi)外網(wǎng)隔離措施等進(jìn)行綜合評估分析,有效指導(dǎo)各單位系統(tǒng)地開展信息安全防護(hù)體系建設(shè)和安全整改加固工作。
(4)嚴(yán)防網(wǎng)絡(luò)終端計(jì)算機(jī)違規(guī)外聯(lián)。違規(guī)外聯(lián)是指信息網(wǎng)絡(luò)及終端計(jì)算機(jī)設(shè)備違反相關(guān)規(guī)定連接了包括互聯(lián)網(wǎng)在內(nèi)的其他網(wǎng)絡(luò)。具體措施包括:計(jì)算機(jī)不得使用雙網(wǎng)卡、嚴(yán)禁“一機(jī)雙網(wǎng)”、內(nèi)網(wǎng)計(jì)算機(jī)嚴(yán)禁外借、內(nèi)部計(jì)算機(jī)統(tǒng)一外修出口、內(nèi)部網(wǎng)絡(luò)嚴(yán)禁私設(shè)路由器、嚴(yán)禁使用無線上網(wǎng)卡、手機(jī)、無線路由器等方式私自接入互聯(lián)網(wǎng)、嚴(yán)禁任何單位和個人私設(shè)任何形式的互聯(lián)網(wǎng)出口、嚴(yán)禁外來人員使用內(nèi)部計(jì)算機(jī)等。
(5)加強(qiáng)宣傳培訓(xùn),將信息安全要求傳達(dá)到每位終端用戶。信息安全并不僅是信息專業(yè)部門要面對的問題,如果大家不嚴(yán)格遵守相關(guān)的信息安全要求,信息安全事件就可能發(fā)生在每個人身上。考慮到網(wǎng)絡(luò)用戶的參培時間不可控的因素,可以采取分層級、多批次培訓(xùn)的方式,將信息安全知識和相關(guān)要求層層傳達(dá)到每位用戶。
3.2 充分利用信息安全技術(shù)手段
(1)部署桌面終端安全管理軟件。桌面終端管理系統(tǒng)是確保桌面終端計(jì)算機(jī)安全的最有效的技術(shù)手段之一,基本功能應(yīng)包括:內(nèi)網(wǎng)計(jì)算機(jī)資產(chǎn)管理、運(yùn)維管理、非法外聯(lián)監(jiān)控、注冊基本管理、安全管理、安全監(jiān)控強(qiáng)審計(jì)、網(wǎng)絡(luò)接入控制、補(bǔ)丁管理、文件分發(fā)管理等。通過桌面終端管理系統(tǒng)的部署,可以全面掌控網(wǎng)絡(luò)終端計(jì)算機(jī)的安全運(yùn)行狀況,有效提升信息安全管理效率。
(2)實(shí)行網(wǎng)絡(luò)安全準(zhǔn)入。綜合采用設(shè)備監(jiān)控、隔離檢查、網(wǎng)絡(luò)協(xié)議檢測等多種技術(shù),通過入網(wǎng)安全審核、賬號弱口令檢測、桌面管理系統(tǒng)客戶端和防病毒軟件安裝更新檢查等,及時保證終端達(dá)到安全入網(wǎng)要求。
(3)架設(shè)網(wǎng)絡(luò)版殺毒軟件和補(bǔ)丁更新。為了確保殺毒軟件安裝率100%,確保病毒庫和操作系統(tǒng)補(bǔ)丁隨時更新,在網(wǎng)絡(luò)內(nèi)部架設(shè)網(wǎng)絡(luò)版殺毒軟件和補(bǔ)丁更新服務(wù)器,以服務(wù)器-客戶端的方式主動推送病毒庫和操作系統(tǒng)、應(yīng)用系統(tǒng)補(bǔ)丁,及時封堵終端計(jì)算機(jī)安全漏洞。
(4)利用安全移動存儲介質(zhì)交換數(shù)據(jù)。應(yīng)用實(shí)施范圍界定為接入信息網(wǎng)絡(luò)的所有計(jì)算機(jī)設(shè)備,在終端計(jì)算機(jī)上安裝安全移動介質(zhì)系統(tǒng)客戶端,通過服務(wù)器端平臺進(jìn)行安全策略配置,使終端計(jì)算機(jī)上的移動介質(zhì)使用符合相關(guān)安全要求,最大程度地封堵通過移動介質(zhì)非法外傳或?qū)胄畔⒌穆┒础?/p>
(5)加強(qiáng)網(wǎng)絡(luò)邊界處防火墻、IPS、上網(wǎng)行為審計(jì)等系統(tǒng)防護(hù)。一方面防范外部網(wǎng)絡(luò)對于信息內(nèi)網(wǎng)的安全攻擊和惡意入侵,另一方面可以全面核查內(nèi)網(wǎng)計(jì)算機(jī)的上網(wǎng)行為,對于敏感信息、發(fā)送敏感郵件等違規(guī)行為予以自動阻斷。
4 結(jié)語
隨著信息技術(shù)的飛速發(fā)展,影響網(wǎng)絡(luò)安全的各種因素也會不斷變化,網(wǎng)絡(luò)安全不僅僅是技術(shù)問題,同時也是一個安全管理問題,是一個動態(tài)發(fā)展變化的過程,不是一勞永逸的,也不可能一蹴而就,這就要求每位終端計(jì)算機(jī)設(shè)備使用人員要在日常工作中時刻牢記信息安全,杜絕安全隱患,嚴(yán)格遵守信息安全規(guī)定,共同維護(hù)信息網(wǎng)絡(luò)和終端計(jì)算機(jī)的安全穩(wěn)定運(yùn)行。
參考文獻(xiàn):
[1]邵波,王其和.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)及應(yīng)用[M].北京:電子工業(yè)出版社,2005.
網(wǎng)絡(luò)安全是一個較為系統(tǒng)的概念,網(wǎng)絡(luò)安全解決方案的可靠性是建立在集成網(wǎng)絡(luò)安全技術(shù)的基礎(chǔ)之上,由于受到各種各樣因素的影響而對眾多供電企業(yè)的網(wǎng)絡(luò)安全構(gòu)成威脅。隨著現(xiàn)代科學(xué)技術(shù)水平的不斷提高,電網(wǎng)安全生產(chǎn)系統(tǒng)、電力調(diào)度監(jiān)控系統(tǒng)以及用電營銷系統(tǒng)等已廣泛應(yīng)用于供電企業(yè)中。應(yīng)用信息網(wǎng)絡(luò)安全技術(shù)可確保各應(yīng)用系統(tǒng)穩(wěn)定可靠運(yùn)行,有效提高各系統(tǒng)數(shù)據(jù)傳輸?shù)男?,?shí)現(xiàn)數(shù)據(jù)集中和數(shù)據(jù)資源共享[1]。但是,網(wǎng)絡(luò)信息中仍然存在較多安全問題,需要對其給予重視,提高計(jì)算機(jī)網(wǎng)絡(luò)信息的安全性并加強(qiáng)防護(hù)對供電企業(yè)的正常運(yùn)行以及發(fā)展均具有非常重要的意義。
1地級市供電企業(yè)信息網(wǎng)絡(luò)存在的安全問題
1.1內(nèi)網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)不健全
現(xiàn)今,地級市供電企業(yè)的內(nèi)網(wǎng)結(jié)構(gòu)未能達(dá)到企業(yè)內(nèi)網(wǎng)網(wǎng)絡(luò)信息化的良好狀態(tài),其結(jié)構(gòu)還不夠健全。地級市供電企業(yè)由于條件有限,對信息安全工作的投入并不多,使其存在較大的安全隱患,加上各項(xiàng)安全保障措施不到位,使得內(nèi)網(wǎng)網(wǎng)絡(luò)缺乏健全性。但是,隨著營銷、生產(chǎn)、財(cái)務(wù)等各個專業(yè)的信息系統(tǒng)的上線投運(yùn),使得整個信息管理模式中較為薄弱的網(wǎng)絡(luò)安全系統(tǒng)成為最短板。
1.2職工安全防范意識不夠
要使網(wǎng)絡(luò)信息安全得到保障,就要提高地級市供電企業(yè)的工作人員的綜合素質(zhì)。目前,地級市供電企業(yè)的工作人員具有技術(shù)水平參差不齊、缺乏安全防范意識的特點(diǎn)。年輕職員的操作能力不夠高,對突發(fā)事件的應(yīng)對措施等相關(guān)知識沒有足夠的積累;而老齡職工又難以完全掌握網(wǎng)絡(luò)信息安全,跟不上信息化的更新腳步,對新型網(wǎng)絡(luò)技術(shù)的了解不全面等[2]。這也是地級市供電企業(yè)信息網(wǎng)絡(luò)安全中存在的問題,應(yīng)當(dāng)給予重視。
1.3網(wǎng)絡(luò)信息化機(jī)構(gòu)漏洞較多
當(dāng)前地級市供電企業(yè)的網(wǎng)絡(luò)信息化管理還不是一個完整的體系,其中各類系統(tǒng)的數(shù)據(jù)存儲、關(guān)鍵流程流轉(zhuǎn)等都是非常重要的環(huán)節(jié),不能出現(xiàn)任何問題,但由于安全管理的漏洞較多,所承載的網(wǎng)絡(luò)平臺的安全性也較低,使信息管理的發(fā)展不具平衡性。針對現(xiàn)狀來看,計(jì)算機(jī)病毒、黑客攻擊等所導(dǎo)致的關(guān)鍵保密數(shù)據(jù)外泄是對地級市供電企業(yè)最具威脅性的安全隱患。雖然應(yīng)用各種計(jì)算機(jī)準(zhǔn)入技術(shù)和可移動存儲介質(zhì)的加密技術(shù)可保障企業(yè)信息網(wǎng)絡(luò)安全,但是還存在操作系統(tǒng)正版化程度嚴(yán)重不足的情況[3]。由于被廣泛使用的XP操作系統(tǒng)在企業(yè)內(nèi)已停止更新,導(dǎo)致操作系統(tǒng)的針對性攻擊越來越頻繁。一旦出現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)病毒,就會在企業(yè)內(nèi)部的計(jì)算機(jī)中進(jìn)行大規(guī)模傳播,從而為相對公開化的網(wǎng)絡(luò)提供了機(jī)會,導(dǎo)致計(jì)算機(jī)系統(tǒng)遭到惡意破壞,甚至系統(tǒng)崩潰。不法分子就會趁機(jī)盜取企業(yè)的機(jī)密文件,對供電系統(tǒng)的相關(guān)數(shù)據(jù)進(jìn)行篡改,毀滅性地攻擊供電系統(tǒng),嚴(yán)重時還會導(dǎo)致整個供電系統(tǒng)的大面積癱瘓。
2對地級市供電企業(yè)信息網(wǎng)絡(luò)安全的防范措施
2.1加強(qiáng)對網(wǎng)絡(luò)設(shè)備的管理
采用內(nèi)外網(wǎng)物理隔離,在內(nèi)網(wǎng)邊界設(shè)置入侵監(jiān)測系統(tǒng);在內(nèi)外網(wǎng)邊界同時設(shè)置千兆硬件防火墻。對VLAN裝置進(jìn)行優(yōu)化,對局域網(wǎng)合理分割安全區(qū)域;對于VLAN之間的信息交換進(jìn)行嚴(yán)格規(guī)劃,訪問控制列表須詳細(xì)規(guī)劃,對VLAN的合法訪問給予授權(quán),對非法訪問則進(jìn)行隔離,同時還要運(yùn)用VACL優(yōu)化訪問控制列表,使其安全性得到保障。入侵監(jiān)測系統(tǒng)的配置可對利用常用端口的漏洞所實(shí)施的攻擊以及病毒進(jìn)行防范。
2.2加強(qiáng)對服務(wù)器的管理
專用業(yè)務(wù)服務(wù)器的訪問權(quán)限較嚴(yán)格,其訪問精度須達(dá)到“終端級別”;采用VACL隔離無需相互訪問的服務(wù)器。仔細(xì)認(rèn)真地整理和統(tǒng)計(jì)服務(wù)器中應(yīng)用系統(tǒng)的使用對象及需開放的服務(wù)端口,并根據(jù)實(shí)際情況進(jìn)行調(diào)整。逐一匹配IDS到開通的服務(wù)端口中,并對同一源地址、目的地址的連接次數(shù)進(jìn)行限制,控制數(shù)據(jù)包的大小,監(jiān)控對主機(jī)提供服務(wù)的端口,如果發(fā)現(xiàn)有攻擊行為就會自動連接到防火墻模塊。
2.3加強(qiáng)對終端設(shè)備的管理
設(shè)置北信源內(nèi)網(wǎng)安全管理系統(tǒng)可對終端設(shè)備管理進(jìn)行強(qiáng)化,從而保護(hù)內(nèi)部資源與網(wǎng)絡(luò)的安全。這個系統(tǒng)是由移動存儲管理、文件保密管理、補(bǔ)丁管理和終端管理構(gòu)成,終端管理系統(tǒng)可使桌面行為監(jiān)管、準(zhǔn)入控制、外設(shè)與接口管理、終端資產(chǎn)管理等功能得以實(shí)現(xiàn)。補(bǔ)丁管理系統(tǒng)是分析系統(tǒng)漏洞以及對流量進(jìn)行控制,而文件保密管理和移動存儲管理是對文件、目錄、U盤、磁盤盒等進(jìn)行保密管理。
2.4防火墻的攔截
防火墻被稱為控制逾出兩個方向通信的門檻,是對計(jì)算機(jī)網(wǎng)絡(luò)安全進(jìn)行保護(hù)的一種技術(shù)措施,也是對網(wǎng)絡(luò)中的黑客入侵進(jìn)行阻止的有力屏障。在電力系統(tǒng)殺毒軟件的基礎(chǔ)上再對防火墻軟件系統(tǒng)進(jìn)行配置是安全性較高的措施,并且可以預(yù)防黑客或不法分子的入侵,對計(jì)算機(jī)網(wǎng)絡(luò)信息和系統(tǒng)的備份都具有重要意義,另外還可定期檢查備份,使其有效性得到保證[4]。防火墻系統(tǒng)由過濾防火墻、防火墻和雙穴防火墻組成。過濾防火墻是設(shè)置于網(wǎng)絡(luò)層的,它能夠?qū)崿F(xiàn)路由器上的過濾。防火墻又稱應(yīng)用層網(wǎng)管級防火墻,由服務(wù)器和過濾路由器組成,是目前最流行的防火墻。雙穴防火墻主要是對一個網(wǎng)路的數(shù)據(jù)進(jìn)行搜集,并選擇性地將數(shù)據(jù)發(fā)送至另一個網(wǎng)絡(luò)中。在電力系統(tǒng)中合理、科學(xué)地配置防火墻可保障計(jì)算機(jī)信息網(wǎng)絡(luò)的安全性,同時對網(wǎng)絡(luò)之間連接的可靠性和安全性也具有重要意義。
2.5使用正版化的操作系統(tǒng)和應(yīng)用軟件,并及時升級
使用正版化的操作系統(tǒng)和應(yīng)用軟件具有專業(yè)有效的售后服務(wù)支持,可隨時請專業(yè)人員對電腦所出現(xiàn)的問題進(jìn)行解決。另外,隨著人們對軟件功能要求和硬件升級的不斷提高,使用正版化的操作系統(tǒng)和應(yīng)用軟件可隨時獲得安全升級,避免盜版軟件所帶來的安全隱患,有效防范企業(yè)隱私信息外泄。因此,地級市供電企業(yè)應(yīng)使用正版化的操作系統(tǒng)和應(yīng)用軟件,并及時進(jìn)行升級,以使信息網(wǎng)絡(luò)的安全性得到提高。
2.6提高員工的綜合素質(zhì)
地級市供電企業(yè)應(yīng)提高全體工作人員的計(jì)算機(jī)網(wǎng)絡(luò)信息安全知識水平和技術(shù)水平,提高其計(jì)算機(jī)網(wǎng)絡(luò)信息竊密泄密的防護(hù)水平以及綜合能力。嚴(yán)禁將泄密的計(jì)算機(jī)和互聯(lián)網(wǎng)或其他公共信息網(wǎng)進(jìn)行連接,在非泄密計(jì)算機(jī)或者互聯(lián)網(wǎng)中對機(jī)密文件進(jìn)行處理,落實(shí)計(jì)算機(jī)網(wǎng)絡(luò)信息安全保密責(zé)任制,提高員工對網(wǎng)絡(luò)安全的認(rèn)識[5]。還可設(shè)立安全保密管理系統(tǒng),簽署保密協(xié)議,對供電企業(yè)的計(jì)算機(jī)網(wǎng)絡(luò)安全的管理與監(jiān)督進(jìn)行加強(qiáng),定期對其安全性進(jìn)行檢查。做好文件的登記、存檔和銷毀工作,對系統(tǒng)中的網(wǎng)絡(luò)信息安全隱患能夠及時發(fā)現(xiàn)并處理,從而保證地級市供電企業(yè)網(wǎng)絡(luò)信息的安全。另外,企業(yè)也應(yīng)嚴(yán)格遵循相關(guān)的信息保密工作文件要求,防止外部侵害和網(wǎng)絡(luò)化所造成的機(jī)密泄露。
3結(jié)束語
關(guān)鍵詞:云會計(jì);會計(jì)信息;安全
1云會計(jì)的基本概念及其優(yōu)勢介紹
1.1云會計(jì)的概念
云會計(jì)的概念主要來源于“云計(jì)算”,2006年云計(jì)算概念被Schmidt首次提出。所謂云計(jì)算,是一種用戶按使用量付費(fèi)的模式,在這種模式下,網(wǎng)絡(luò)訪問變得便捷,同時也逐漸符合每個人的需要,網(wǎng)絡(luò)資源能夠得到迅速充分的應(yīng)用。云會計(jì)概念是基于云計(jì)算演變而來的,云會計(jì)是基于互聯(lián)網(wǎng)網(wǎng)絡(luò)的前提下,運(yùn)用云計(jì)算技術(shù)構(gòu)建出一個會計(jì)核算管理決策于一體的網(wǎng)絡(luò)會計(jì)信息服務(wù)系統(tǒng)。
1.2云會計(jì)的優(yōu)勢介紹
云會計(jì)在某種程度上而言,是一種企業(yè)的私人訂制手段。他能夠根據(jù)企業(yè)的實(shí)際發(fā)展需要,以及企業(yè)未來的發(fā)展走向,為企業(yè)提供有針對性的會計(jì)軟件功能和會計(jì)模板。這樣的方式首先滿足了不同的企業(yè)、不同的操作員對會計(jì)信息的不同需求;其次這樣的方式在很大程度上節(jié)約了企業(yè)的成本,讓企業(yè)有更多的資金可以進(jìn)行日常運(yùn)營;最后云會計(jì)的效率相比人工有一定的優(yōu)勢,為企業(yè)的發(fā)展提供了更多有用的信息,從而提高了企業(yè)的經(jīng)濟(jì)效益。換句話說,就是企業(yè)用最低的成本獲取了最大的價值。
2當(dāng)前我國云會計(jì)背景下面臨的信息安全隱患
2.1宏觀層面
云會計(jì)在我國的推廣和運(yùn)用正在逐步進(jìn)行,但由于我國在云計(jì)算技術(shù)方面相較于發(fā)達(dá)國家起步較低,發(fā)展水平還未完全達(dá)到社會與實(shí)踐的要求,很多技術(shù)和產(chǎn)品還處于研發(fā)階段,不管是在云會計(jì)的平臺中還是對企業(yè)的服務(wù)水平上都還有待完善。因此,從宏觀層面上來講,我國相對于云會計(jì)安全的法律法規(guī)還未成形,對云會計(jì)技術(shù)下的一些潛在的信息安全隱患也沒有一個科學(xué)合理的衡量指標(biāo),國家和政府相關(guān)部門也缺乏對云會計(jì)的監(jiān)督管理,會計(jì)協(xié)會對云計(jì)算會計(jì)人員的進(jìn)入和退出機(jī)制不健全,從業(yè)的門檻偏低,企業(yè)和相關(guān)部門也不明白對云會計(jì)人員的培訓(xùn)應(yīng)當(dāng)如何進(jìn)行,從而導(dǎo)致市場中云會計(jì)服務(wù)的人員水平參差不齊,市場中漏洞擴(kuò)大,很多不法分子趁此機(jī)會偷取公司機(jī)密,為企業(yè)帶來巨大的損失,同時也破壞了市場經(jīng)濟(jì)秩序。
2.2微觀層面
由于云會計(jì)技術(shù)尚在研發(fā)階段,加之網(wǎng)絡(luò)信息技術(shù)難以對用戶隱私進(jìn)行保密,導(dǎo)致云會計(jì)的使用具有一定的局限性。根據(jù)實(shí)踐我們可以看出,云會計(jì)是指會計(jì)信息在云計(jì)算網(wǎng)絡(luò)服務(wù)平臺中實(shí)現(xiàn)數(shù)據(jù)傳輸、分析、存貯以及信息數(shù)據(jù)的備份,每一個環(huán)節(jié)都是非常重要的,一旦泄露相關(guān)信息,對企業(yè)的危害是難以估計(jì)的。同時,當(dāng)前很多云會計(jì)服務(wù)供應(yīng)商都是采取一個平臺對應(yīng)多個用戶的模式,這樣加大了平臺的使用彈性,節(jié)約了成本,但是也將企業(yè)信息安全暴露在其他企業(yè)面前。
3提高我國云會計(jì)環(huán)境下企業(yè)會計(jì)信息安全的策略和措施
3.1基于國家監(jiān)管的角度
(1)不斷完善和健全云會計(jì)相關(guān)法律法規(guī)。上文中提到,缺乏法律法規(guī)和政府部門監(jiān)管的云會計(jì)平臺會影響經(jīng)濟(jì)市場的平穩(wěn),打破市場秩序。因此,我國應(yīng)當(dāng)不斷完善和健全與云會計(jì)相關(guān)的法律法規(guī),眾所周知,法律具有強(qiáng)制性和約束性,也是維護(hù)市場和用戶權(quán)益的根本保障。如果將與云會計(jì)相關(guān)的行為和信息安全以法律條文的形式公布,不管是對用戶還是平臺供應(yīng)商而言,都是極為有利的,市場環(huán)境也會逐漸趨于良好,將云會計(jì)行為進(jìn)行硬性規(guī)范,才能杜絕不法分子的骯臟手段,維護(hù)市場平穩(wěn),保護(hù)企業(yè)利益。(2)對平臺供應(yīng)商進(jìn)行合理科學(xué)的評估。平臺供應(yīng)商的信用直接影響著云會計(jì)的信息安全。因此,相關(guān)部門和會計(jì)協(xié)會應(yīng)當(dāng)提高會計(jì)準(zhǔn)入的壁壘,對平臺供應(yīng)商進(jìn)行全面的安全檢查,并且公開于企業(yè)用戶手中,用戶可以根據(jù)相關(guān)信息自由選擇平臺供應(yīng)商,同時,用戶也能夠行使監(jiān)督管理的職責(zé),對于安全系數(shù)不達(dá)標(biāo)的供應(yīng)商及時向相關(guān)部門舉報,從而保證會計(jì)市場的正常競爭。
3.2基于平臺供應(yīng)商的角度
平臺供應(yīng)商應(yīng)當(dāng)不斷提高自身專業(yè)能力和綜合素質(zhì),完善云會計(jì)的使用需求和相關(guān)技術(shù),提高服務(wù)的質(zhì)量和水平。首先,供應(yīng)商應(yīng)當(dāng)定期對平臺進(jìn)行檢查,發(fā)現(xiàn)安全漏洞要及時打上補(bǔ)丁,確保用戶的信息安全;其次,供應(yīng)商的想關(guān)人員要簽訂保密協(xié)議,保證相關(guān)機(jī)密和用戶信息不從中流出,積極關(guān)注當(dāng)前國際中先進(jìn)的云會計(jì)技術(shù),立足我國的實(shí)際需要,不斷完善和改進(jìn)相關(guān)技術(shù);再次,供應(yīng)商要提高服務(wù)水平和服務(wù)質(zhì)量,與客戶進(jìn)行有效的溝通,樹立自身形象,打造自身價值品牌;最后,供應(yīng)商應(yīng)當(dāng)制定應(yīng)急預(yù)案,面對突發(fā)事件才能保持鎮(zhèn)定,最大限度地保護(hù)用戶的利益。
3.3基于企業(yè)管理層的角度
雖然云會計(jì)的技術(shù)很大程度上取決于平臺供應(yīng)商,但是企業(yè)管理層也應(yīng)當(dāng)引起足夠的重視,加強(qiáng)企業(yè)內(nèi)部的信息化建設(shè)。首先,企業(yè)管理層應(yīng)當(dāng)建立完善的責(zé)任制度,每一個模塊的會計(jì)人員應(yīng)當(dāng)將自己的操作信息進(jìn)行記錄,確保責(zé)任落實(shí)到個人頭上;其次,在內(nèi)部設(shè)立監(jiān)管崗位,對相關(guān)人員的行為進(jìn)行規(guī)范和監(jiān)管,從而確保流程的規(guī)范性;最后,加強(qiáng)對相關(guān)人員的培訓(xùn),不斷提高其專業(yè)能力和綜合素養(yǎng)。
4結(jié)語
綜上所述,雖然云會計(jì)為企業(yè)提供了便利,但是企業(yè)會計(jì)信息安全仍面臨著諸多問題,只有不斷完善會計(jì)相關(guān)法律法規(guī),嚴(yán)格審查供應(yīng)商資質(zhì)和信用,不斷提高企業(yè)內(nèi)部信息化管理建設(shè)水平,才能確保會計(jì)信息的安全性,保證企業(yè)效益。
參考文獻(xiàn)
[1]高碧蕓,趙旭.淺談云會計(jì)背景下中小企業(yè)會計(jì)信息安全的提升[J].現(xiàn)代營銷,2017(4).
關(guān)鍵詞:企業(yè)信息化水平;體系和方法
中圖分類號:TP391
評價指標(biāo)體系設(shè)計(jì)應(yīng)遵循完備性、科學(xué)性、可行性、重點(diǎn)性、動態(tài)性等原則。指標(biāo)內(nèi)容應(yīng)該覆蓋企業(yè)信息化體系的所有要素,反映企業(yè)信息化過程的各個環(huán)節(jié),并且重點(diǎn)突出,適應(yīng)變化,易懂、易用。指標(biāo)數(shù)據(jù)應(yīng)該便于采集、分析和比較,從而有利于企業(yè)改進(jìn)自身信息化建設(shè)。
作為專門從事信息化評價的機(jī)構(gòu),國家信息化測評中心經(jīng)過多年的研究與實(shí)踐,提出并了企業(yè)信息化評價的指標(biāo)體系及其計(jì)算方法,并被廣泛應(yīng)用于企業(yè)信息化評價,影響很大,幾乎成為我國企業(yè)信息化水平評價的基礎(chǔ)。它包括3大類指標(biāo):基本指標(biāo)、補(bǔ)充(效能)指標(biāo)和評議指標(biāo)。所謂基本指標(biāo)是指能體現(xiàn)企業(yè)信息化基本狀況的統(tǒng)計(jì)指標(biāo),其反應(yīng)的是企業(yè)基本發(fā)展情況,實(shí)踐中多用來社會統(tǒng)計(jì)調(diào)查和政府監(jiān)測。所謂補(bǔ)充指標(biāo)是指以企業(yè)在基本指標(biāo)的基礎(chǔ)上,從企業(yè)自身特征出發(fā),結(jié)合整個行業(yè)特點(diǎn),參考相關(guān)的標(biāo)準(zhǔn),對企業(yè)信息化的實(shí)效性客觀評價的指標(biāo)。它具有定量分析的特點(diǎn)。其主要通過適宜度和靈敏度兩大指標(biāo)構(gòu)成,適宜度指標(biāo)主要包括:戰(zhàn)略適宜度、投資適宜度、應(yīng)用適宜度、資源匹配適宜度和組織與文化適宜度。靈敏度指標(biāo)主要包括:信息靈敏度、對外反應(yīng)靈敏度和管理效率靈敏度。適宜度和靈敏度兩項(xiàng)指標(biāo)的得分總和即為效能指標(biāo)的得分。多用來對企業(yè)信息化水平評價進(jìn)行定級。所謂評議指標(biāo)是由第三方的專業(yè)評價機(jī)構(gòu),組成專家組對影響企業(yè)信息化實(shí)效的特殊因素展開判斷的評價指標(biāo),從而形成對企業(yè)信息化評價的定性分析結(jié)論。
企業(yè)信息化基本指標(biāo)對所有企業(yè)都具有指導(dǎo)評價效用,從企業(yè)化信息化戰(zhàn)略規(guī)劃、企業(yè)基礎(chǔ)設(shè)施建設(shè)、應(yīng)用狀況、人力資源管理、信息安全、企業(yè)效益等6個方面(準(zhǔn)則或一級指標(biāo)),用21個指標(biāo)定量而客觀地描述了企業(yè)信息化狀況,便于認(rèn)識企業(yè)信息化基本狀況和進(jìn)行初步的橫向行為對比分析。
企業(yè)信息化基本指標(biāo)值(總指數(shù))I反映了企業(yè)信息化的基本狀況(水平),其計(jì)算如下所示:
I表示指標(biāo)體系的總得分,表示第i類準(zhǔn)則(―級指標(biāo))的得分。表示第i個準(zhǔn)則的權(quán)重,所有指標(biāo)權(quán)重的和為l00%。權(quán)重表將基本指標(biāo)劃分成6個大類,每―類的權(quán)重設(shè)計(jì)如下:戰(zhàn)略地位:10%:基礎(chǔ)建設(shè):20%;應(yīng)用狀況:20%;人力資源:15%;安全:5%;效益指數(shù):30%。而如果評價指標(biāo)體系是多層次的,即準(zhǔn)則下面還有子準(zhǔn)則,則可以通過下式計(jì)算得到:
其中,是第i個準(zhǔn)則下屬的個子準(zhǔn)則的指標(biāo)值;是相應(yīng)指標(biāo)的權(quán)重系數(shù),具體可根據(jù)層次分析法等,結(jié)合政策導(dǎo)向確定。j=1,2,…,,i=1,2,…,n。,各基本指標(biāo)簡述如下:
(1)信息化重視度(分)。從三方面評價:主抓信息化工作領(lǐng)導(dǎo)者的地位;CIO職位的級別設(shè)置;企業(yè)信息化的規(guī)劃和預(yù)算。
(2)信息化投入總額占固定資產(chǎn)投資比重(%)。企業(yè)進(jìn)行信息化建設(shè)的投入包括:軟件、硬件、培訓(xùn)、專業(yè)IT人員的聘用費(fèi)用、維護(hù)費(fèi)用。其在企業(yè)固定資產(chǎn)投資中所占的比例。
(3)每百人計(jì)算機(jī)擁有量(臺)。
(4)網(wǎng)絡(luò)性能水平(分)。
(5)計(jì)算機(jī)連網(wǎng)率(%)。
(6)信息采集的信息化手段覆蓋率(%)。信息化手段在企業(yè)進(jìn)行日常生產(chǎn)管理、市場調(diào)查、銷售數(shù)據(jù)分析、企業(yè)人力資源管理、企業(yè)員工培訓(xùn)等領(lǐng)域的運(yùn)用覆蓋率。
(7)辦公自動化系統(tǒng)應(yīng)用程度(分)。主要包括:信息流程的監(jiān)控、電子公文交換、文檔共享、收發(fā)文管理、會議管理、信息、信息集成、業(yè)務(wù)學(xué)習(xí)、企業(yè)員工個人數(shù)據(jù)管理、企業(yè)檔案管理、企業(yè)人力資源管理、企業(yè)日程安排等全方位的企業(yè)辦公自動化應(yīng)用。
(8)決策信息化水平(分)。根據(jù)初級水平、中級水平和高級水平3個級別定性評價。其中級別劃分標(biāo)準(zhǔn)如下:
初級水平:依據(jù)廣泛的信息資源,經(jīng)過采集、初步分析處理后為企業(yè)決策提供初步參考。
中級水平:對采集的數(shù)據(jù)資源進(jìn)行較為詳細(xì)的處理,然后優(yōu)先出可靠的決策執(zhí)行方案,從而更進(jìn)一步地支持政策的制訂和執(zhí)行。
高級水平:開發(fā)出人工智能分析系統(tǒng),依據(jù)系統(tǒng)分析,來智能化進(jìn)行決策。
(9)核心、業(yè)務(wù)流程信息化水平。根據(jù)初級水平、中級水平和高級水平3個級別定性評價。其中級別劃分標(biāo)準(zhǔn)如下:
初級水平:企業(yè)主要業(yè)務(wù)流程信進(jìn)行息化管理,缺點(diǎn)是容易造成部分主要業(yè)務(wù)流程出現(xiàn)信息孤立現(xiàn)象。
中級水平:企業(yè)絕大部分(80%)的主要業(yè)務(wù)流程進(jìn)行信息化管理,并且可以各流程間可以充分共享數(shù)據(jù)信息。
高級水平:信息化水平涵蓋企業(yè)全部主要業(yè)務(wù)流程,實(shí)現(xiàn)管理最優(yōu)化控制。
(10)企業(yè)門戶網(wǎng)站建設(shè)水平(分)。這部分通過以下兩大類進(jìn)行評價:服務(wù)對象列表和服務(wù)功能列表情況。其中:服務(wù)對象列表包括企業(yè)員工管理、管理決策者、企業(yè)終端客戶、供應(yīng)商、其他合作伙伴。服務(wù)功能列表包括信息、網(wǎng)上采購、網(wǎng)上銷售、客戶網(wǎng)上自助服務(wù)、員工入口、移動商務(wù)、消息自動傳送、業(yè)務(wù)報警功能等。
(11)網(wǎng)絡(luò)營銷應(yīng)用率(%)。企業(yè)整個營銷收入中,通過電子商務(wù)成交的部分所占的比例。
(12)管理信息化的應(yīng)用水平(分)。企業(yè)管理中信息化技術(shù)的覆蓋率以及信息化數(shù)據(jù)的整合效能和水平。其應(yīng)用領(lǐng)域包括:電子商務(wù)、人力資源管理、商業(yè)智能、購銷存管理、生產(chǎn)制造管理、分銷管理、財(cái)務(wù)管理、客戶關(guān)系管理等。
(13)人力資源指數(shù)(分)企業(yè)員工大專(含)以上學(xué)歷的人數(shù)占員工總數(shù)的百分比。
(14)信息化技能普及率(分)。包括:企業(yè)員工掌握IT技術(shù)的人數(shù)占總員工的比例;管理層非專業(yè)IT技術(shù)員對信息化技術(shù)學(xué)習(xí)掌握的水平。
(15)用于信息安全的費(fèi)用占全部信息化投入的比例(%)。為維護(hù)企業(yè)信息安全所投入的費(fèi)用:軟件、硬件、安全培訓(xùn)、信息安全人力資源支出等。
(16)信息化安全措施應(yīng)用率(%)。為強(qiáng)化企業(yè)信息安全,企業(yè)對員工信息安全意識的培養(yǎng),企業(yè)信息安全制度的制定,保護(hù)企業(yè)高層信息安全的措施,其它一些有關(guān)信息化防范安全措施,如,企業(yè)信息實(shí)時和定時備份;企業(yè)要具備2個以上的ISP;企業(yè)級殺毒軟件安裝,并及時升級程序;單機(jī)版殺毒軟件安裝,并保證及時升級;郵件加密保護(hù);建立企業(yè)內(nèi)部局域網(wǎng),并有專業(yè)IT人員維護(hù);企業(yè)檔案、員工信息服務(wù)器、網(wǎng)絡(luò)服務(wù)器等網(wǎng)絡(luò)流量相關(guān)設(shè)備要有備份。
(17)庫存資金占用率(%)。庫存資金占用率=庫存平均占用的資金/全部流動資金
(18)資金運(yùn)轉(zhuǎn)效率(次/年)。企業(yè)流動資金每年的周轉(zhuǎn)次數(shù)增長幅度的計(jì)算方法:
(19)增長指數(shù)。通過企業(yè)自身的調(diào)查報表,計(jì)算出企業(yè)某一時期的銷售收入和營利利潤的增長比率,并與同行業(yè)平均銷售收入和營利利潤增長比率,進(jìn)行縱向和橫向?qū)Ρ?、分析,?zhǔn)確分析企業(yè)自身的發(fā)展,確定企業(yè)在整個行業(yè)中所處的層次,判斷企業(yè)信息化在相關(guān)方面帶來的影響。
總之,20世紀(jì)90年代隨著信息化的概念在國內(nèi)普及,特別是互聯(lián)網(wǎng)帶動了國家信息化全面建設(shè),人們開始從國家、地區(qū)和企業(yè)等多個層面開展信息化水平或績效方面評估。信息化評價是伴隨著信息化的發(fā)展而出現(xiàn)的新生事物,我國信息化評價的發(fā)展歷程比較短暫,涉足研究、開發(fā)和應(yīng)用的單位尚不多,還需大家共同努力。
參考文獻(xiàn):
[1]孫素華.論企業(yè)信息資源管理[J].商業(yè)時代,2007,22.
[2]蔡荃.企業(yè)信息系統(tǒng)資源與績效關(guān)系研究[D].浙江大學(xué),2006.
關(guān)鍵詞:電力;信息安全;解決方案;技術(shù)手段
一、電力信息化應(yīng)用和發(fā)展
目前,電力企業(yè)信息化建設(shè)硬件環(huán)境已經(jīng)基本構(gòu)建完成,硬件設(shè)備數(shù)量和網(wǎng)絡(luò)建設(shè)狀況良好,無論是在生產(chǎn)、調(diào)度還是營業(yè)等部門都已實(shí)現(xiàn)了信息化,企業(yè)信息化已經(jīng)成為新世紀(jì)開局階段的潮流。在網(wǎng)絡(luò)硬件方面,基本上已經(jīng)實(shí)現(xiàn)千兆骨干網(wǎng);百兆到桌面,三層交換;VLAN,MPLS等技術(shù)也普及使用。在軟件方面,各應(yīng)用十要包括調(diào)度自動化系統(tǒng)、生產(chǎn)管理信息系統(tǒng)、營銷信息系統(tǒng)、負(fù)荷監(jiān)控系統(tǒng)及各專業(yè)相關(guān)的應(yīng)用子系統(tǒng)等。計(jì)算機(jī)及信息網(wǎng)絡(luò)系統(tǒng)在電力生產(chǎn)、建設(shè)、經(jīng)營、管理、科研、設(shè)計(jì)等各個領(lǐng)域有著十分廣泛的應(yīng)用,安全生產(chǎn)、節(jié)能消耗、降低成本、縮短工期、提高勞動生產(chǎn)率等方面取得了明顯的社會效益和經(jīng)濟(jì)效益,同時也逐步健全和完善了信息化管理機(jī)制,培養(yǎng)和建立了一支強(qiáng)有力的技術(shù)隊(duì)伍,有利促進(jìn)了電力工業(yè)的發(fā)展。
二、電力信息網(wǎng)安全現(xiàn)狀分析
結(jié)合電力生產(chǎn)特點(diǎn),從電力信息系統(tǒng)和電力運(yùn)行實(shí)時控制系統(tǒng)2個方面,分析電力系統(tǒng)信息安全存在的問題。電力信息系統(tǒng)已經(jīng)初步建立其安全體系,將電力信息網(wǎng)絡(luò)和電力運(yùn)行實(shí)時控制網(wǎng)絡(luò)進(jìn)行隔離,網(wǎng)絡(luò)間設(shè)置了防火墻,購買了網(wǎng)絡(luò)防病毒軟件,有了數(shù)據(jù)備份設(shè)備。但電力信息網(wǎng)絡(luò)的安全是不平衡的,很多單位沒有網(wǎng)絡(luò)防火墻,沒有數(shù)據(jù)備份的概念,更沒有對網(wǎng)絡(luò)安全做統(tǒng)一,長遠(yuǎn)的規(guī)劃,網(wǎng)絡(luò)中有許多的安全隱患。**供電公司嚴(yán)格按照省公司的要求,對網(wǎng)絡(luò)安全進(jìn)行了全方位的保護(hù),防火墻、防病毒、入侵檢測、網(wǎng)管軟件的安裝、VerJtas備份系統(tǒng)的使用,確保了信息的安全,為生產(chǎn)、營業(yè)提供了有效的技術(shù)支持。但有些方面還不是很完善,管理起來還是很吃力,給網(wǎng)絡(luò)的安全埋伏了很多的不利因素。這些都是將在以后急需解決的問題。
三、電力信息網(wǎng)安全風(fēng)險分析
計(jì)算機(jī)及信息網(wǎng)絡(luò)安全意識亟待提高。電力系統(tǒng)各種計(jì)算機(jī)應(yīng)用對信息安全的認(rèn)識距離實(shí)際需要差距較大,對新出現(xiàn)的信息安全問題認(rèn)識不足。
缺乏統(tǒng)一的信息安全管理規(guī)范。電力系統(tǒng)雖然對計(jì)算機(jī)安全一+直非常重視,但由于各種原因,目前還沒有一套統(tǒng)一、完善的能夠指導(dǎo)整個電力系統(tǒng)計(jì)算機(jī)及信息網(wǎng)絡(luò)系統(tǒng)安全運(yùn)行的管理規(guī)范。
急需建立同電力行業(yè)特點(diǎn)相適應(yīng)的計(jì)算機(jī)信息安全體系。相對來說,在計(jì)算機(jī)安全策略、安全技術(shù)和安全措施投入較少。為保證電力系統(tǒng)安全、穩(wěn)定、高效運(yùn)行,應(yīng)建立一套結(jié)合電力計(jì)算機(jī)應(yīng)用特點(diǎn)的計(jì)算機(jī)信息安全體系。
計(jì)算機(jī)網(wǎng)絡(luò)化使過去孤立的局域網(wǎng)在聯(lián)成廣域網(wǎng)后,面臨巨大的外部安全攻擊。電力系統(tǒng)較早的計(jì)算機(jī)系統(tǒng)一般都是內(nèi)部的局域網(wǎng),并沒有同外界連接。所以,早期的計(jì)算機(jī)安全只是防止外部破壞或者對內(nèi)部人員的安全控制就可以了,但現(xiàn)在就必須要面對國際互聯(lián)網(wǎng)上各種安全攻擊,如網(wǎng)絡(luò)病毒、木馬和電腦黑客等。
數(shù)據(jù)庫數(shù)據(jù)和文件的明文存儲。電力系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)中的信息一般存儲在由數(shù)據(jù)庫管理系統(tǒng)維護(hù)的數(shù)據(jù)庫中或操作系統(tǒng)文件中。以明文形式存儲的信息存在泄漏的可能,拿到存儲介質(zhì)的人可以讀出這些信息;黑客可以饒過操作系統(tǒng),數(shù)據(jù)庫管理系統(tǒng)的控制獲取這些信息;系統(tǒng)后門使軟硬件系統(tǒng)制造商很容易得到這些信息。弱身份認(rèn)證。電力行業(yè)應(yīng)用系統(tǒng)基本上基于商業(yè)軟硬件系統(tǒng)設(shè)計(jì)和開發(fā),用戶身份認(rèn)證基本上采用口令的鑒別模式,而這種模式很容易被攻破。有的應(yīng)用系統(tǒng)還使用白己的用戶鑒別方法,將用戶名、口令以及一些安全控制信息以明文的形式記錄在數(shù)據(jù)庫或文件中,這種脆弱的安全控制措施在操作人員計(jì)算機(jī)應(yīng)用水平不斷提高、信息敏感性不斷增強(qiáng)的今天不能再使用了。沒有完善的數(shù)據(jù)備份措施。很多單位只是選擇一臺工作站備份一下數(shù)據(jù)就了事,沒有完善的數(shù)據(jù)備份設(shè)備、沒有數(shù)據(jù)備份策略、沒有備份的管理制度,沒有對數(shù)據(jù)備份的介質(zhì)進(jìn)行妥善保管。
四、電力信息網(wǎng)安全防護(hù)方案
4.1加強(qiáng)電力信息網(wǎng)安全教育
安全意識和相關(guān)技能的教育是企業(yè)安全管理中重要的內(nèi)容,其實(shí)施力度將直接關(guān)系到企業(yè)安全策略被理解的程度和被執(zhí)行的效果。為了保證安全的成功和有效,高級管理部門應(yīng)當(dāng)對企業(yè)各級管理人員、用戶、技術(shù)人員進(jìn)行安全培訓(xùn)。所有的企業(yè)人員必須了解并嚴(yán)格執(zhí)行企業(yè)安全策略。在安全教育具體實(shí)施過程中應(yīng)該有一定的層次性和普遍性。
主管信息安全工作的高級負(fù)責(zé)人或各級管理人員,重點(diǎn)是了解、掌握企業(yè)信息安全的整體策略及目標(biāo)、信息安全體系的構(gòu)成、安全管理部¨的建立和管理制度的制定等。負(fù)責(zé)信息安全運(yùn)行管理及維護(hù)的技術(shù)人員,重點(diǎn)是充分理解信息安全管理策略,掌握安全評估的基本方法,對安全操作和維護(hù)技術(shù)的合理運(yùn)用等。
信息用戶,重點(diǎn)是學(xué)習(xí)各種安全操作流程,了解和掌握與其相關(guān)的安全策略,包括自身應(yīng)該承擔(dān)的安全職責(zé)等。當(dāng)然,對于特定的人員要進(jìn)行特定的安全培訓(xùn)。安全教育應(yīng)當(dāng)定期的、持續(xù)的進(jìn)行。在企業(yè)中建立安全文化并納入整個企業(yè)文化體系中才是最根本的解決辦法。
4.2電力信息髓安全防護(hù)技術(shù)措旌
(1)網(wǎng)絡(luò)防火墻:防火墻是企業(yè)局域網(wǎng)到外網(wǎng)的唯一出口,所有的訪問都將通過防火墻進(jìn)行,不允許任何饒過防火墻的連接。DMZ區(qū)放置了企業(yè)對外提供各項(xiàng)服務(wù)的服務(wù)器,既能夠保證提供正常的服務(wù),又能夠有效地保護(hù)服務(wù)器不受攻擊。設(shè)置防火墻的訪問策略,遵循“缺省全部關(guān)閉,按需求開通的原則”,拒絕除明確許可證外的任何服務(wù)。
(2)物理隔離裝置:主要用于電力信息網(wǎng)的不同區(qū)之間的隔離,物理隔離裝置實(shí)際上是專用的防火墻,由于其不公開性,使得更難被黑客攻擊。
(3)入侵檢測系統(tǒng):部署先進(jìn)的分布式入侵檢測構(gòu)架,最大限度地、全天候地實(shí)施監(jiān)控,提供企業(yè)級的安全檢測手段。在事后分析的時候,可以清楚地界定責(zé)任人和責(zé)任時間,為網(wǎng)絡(luò)管理人員提供強(qiáng)有力的保障。入侵檢測系統(tǒng)采用攻擊防衛(wèi)技術(shù),具有高可靠性、高識別率、規(guī)則更新迅速等特點(diǎn)。
(4)網(wǎng)絡(luò)隱患掃描系統(tǒng):網(wǎng)絡(luò)隱患掃描系統(tǒng)能夠掃描網(wǎng)絡(luò)范圍內(nèi)的所有支持TCP/IP協(xié)議的設(shè)備,掃描的對象包括掃描多種操作系統(tǒng),掃描網(wǎng)絡(luò)設(shè)備包括:服務(wù)器、工作站、防火墻、路由器、路由交換機(jī)等。在進(jìn)行掃描時,可以從網(wǎng)絡(luò)中不同的位置對網(wǎng)絡(luò)設(shè)備進(jìn)行掃描。
掃描結(jié)束后生成詳細(xì)的安全評估報告,采用報表和圖形的形式對掃描結(jié)果進(jìn)行分析,可以方便直觀地對用戶進(jìn)行安全性能評估和檢查。
(5)網(wǎng)絡(luò)防病毒:為保護(hù)電力信息網(wǎng)絡(luò)受病毒侵害,保證網(wǎng)絡(luò)系統(tǒng)中信息的可用性,應(yīng)構(gòu)建從主機(jī)到服務(wù)器的完善的防病毒體系。以服務(wù)器作為網(wǎng)絡(luò)的核心,對整個網(wǎng)絡(luò)部署查、殺毒,服務(wù)器通Internet從免疫中心實(shí)時獲取最新的病毒碼信息,及時更新病毒代碼庫。同時,選擇的網(wǎng)絡(luò)防病毒軟件應(yīng)能夠適應(yīng)各種系統(tǒng)平臺、各種數(shù)據(jù)庫平臺、各種應(yīng)用軟件。
(6)數(shù)據(jù)加密及傳輸安全:通過文件加密、信息摘要和訪問控制等安全措施,來實(shí)現(xiàn)文件存儲和傳輸?shù)谋C芎屯暾砸螅瑢?shí)現(xiàn)對文件訪問的控制。對通信安全,采用數(shù)據(jù)加密,信息摘要和數(shù)字簽名等安全措施對通信過程中的信息進(jìn)行保護(hù),實(shí)現(xiàn)數(shù)據(jù)在通信中的保密、完整和不可抵賴性安全要求。對遠(yuǎn)程接入安全,通過VPN技術(shù),提高實(shí)時的信息傳播中的保密性和安全性。
(7)數(shù)據(jù)備份:對于企業(yè)來說,最珍貴的是存儲在存儲介質(zhì)中的數(shù)據(jù)信息。數(shù)據(jù)備份和容錯方案是必不可少的,必須建立集中和分散相結(jié)合的數(shù)據(jù)備份設(shè)施及切合實(shí)際的數(shù)據(jù)備份策略。
(8)數(shù)據(jù)庫安全:通過數(shù)據(jù)存儲加密、完整性檢驗(yàn)和訪問控制來保證數(shù)據(jù)庫數(shù)據(jù)的機(jī)密和完整性,并實(shí)現(xiàn)數(shù)據(jù)庫數(shù)據(jù)的訪問安全。
4.3電力信息網(wǎng)安全防護(hù)管理措施
技術(shù)是安全的主體,管理是安全的靈魂。只有將有效的安全管理實(shí)踐自始至終貫徹落實(shí)于信息安全當(dāng)中,網(wǎng)絡(luò)安全的長期性和穩(wěn)定性才能有所保證。
(1)要加強(qiáng)信息人員的安全教育,保持信息人員特別是網(wǎng)絡(luò)管理人員和安全管理人員的相對穩(wěn)定,防止網(wǎng)路機(jī)密泄露,特別是注意人員調(diào)離時的網(wǎng)絡(luò)機(jī)密的泄露。
(2)對各類密碼要妥善管理,杜絕默認(rèn)密碼,出廠密碼,無密碼,不要使用容易猜測的密碼。密碼要及時更新,特別是有人員調(diào)離時密碼一定要更新。
(3)技術(shù)管理,主要是指各種網(wǎng)絡(luò)設(shè)備,網(wǎng)絡(luò)安全設(shè)備的安全策略,如防火墻、物理隔離設(shè)備、入侵檢測設(shè)備、路由器的安全策略要切合實(shí)際。
(4)數(shù)據(jù)的備份策略要合理,備份要及時,備份介質(zhì)保管要安全,要注意備份介質(zhì)的異地保存。
(5)加強(qiáng)信息設(shè)備的物理安全,注意服務(wù)器、計(jì)算機(jī)、交換機(jī)、路由器、存儲介質(zhì)等設(shè)備的防火、防盜、防水、防潮、防塵、防靜電等。
(6)注意信息介質(zhì)的安全管理,備份的介質(zhì)要防止丟失和被盜。報廢的介質(zhì)要及時清除和銷毀,特別要注意送出修理的設(shè)備上存儲的信息的安全。
五、電力信息網(wǎng)絡(luò)安全工作應(yīng)注意的問題
(1)理順技術(shù)與管理的關(guān)系。
解決信息安全問題不能僅僅只從技術(shù)上考慮,要防止重技術(shù)輕管理的傾向,加強(qiáng)對人員的管理和培訓(xùn)。
(2)解決安全和經(jīng)濟(jì)合理的關(guān)系。安全方案要能適應(yīng)長遠(yuǎn)的發(fā)展和今后的局部調(diào)整,防止不斷改造,不斷投入。
(3)要進(jìn)行有效的安全管理,必須建立起一套系統(tǒng)全面的信息安全管理體系,可以參照國際上通行的一些標(biāo)準(zhǔn)來實(shí)現(xiàn)。
(4)網(wǎng)絡(luò)安全是一個系統(tǒng)的、全局的管理問題,網(wǎng)絡(luò)上的任何一個漏洞,都會導(dǎo)致全網(wǎng)的安全問題,應(yīng)該用系統(tǒng)工程的觀點(diǎn)、方法,分析網(wǎng)絡(luò)的安全及具體措施。