企业信息安全治理框架论文
“aailsa”通过精心收集,向本站投稿了12篇企业信息安全治理框架论文,下面小编为大家整理后的企业信息安全治理框架论文,欢迎阅读与借鉴!
篇1:企业信息安全治理框架论文
通过良好的信息安全治理, 可以保护企业的信息资产,避免遭受各种威胁,降低对企业之伤害,确保企业的永续经营,以及提升企业投资回报率及竞争优势。
通过长期的.实践经验以及结合COBIT标准和GB/T 22080-<信息安全管理体系要求>,总结出信息安全治理的框架主要由四部分组成,如图1所示。
(1)信息安全战略:结合企业的整体信息技术战略规划和信息安全治理现状,制定信息安全战略。
(2)信息安全组织架构:根据企业层面在决策、管理和执行机制对组织结构的要求,建立信息安全治理框架和决策沟通机制,明确公司各级管理层及相关部门在信息安全组织架构中的工作职责与角色定位。
(3)信息安全职责:根据公司信息安全组织架构,进一步明确信息安全相关岗位的工作职责、分工界面和汇报路径等。
(4)信息安全管理制度:信息安全管理制度通过建立一个层次化的制度体系,针对不同的需求方(管理者、执行者、检查者等)从政策、制度、流程、规范和记录等方面进行信息安全活动相关的规定,实现信息安全的功能和管理目标。
6 信息安全治理评估
企业信息安全治理评估有助于提高信息安全治理投资的效益和效果。
企业的最高管理层和管理执行层可以使用信息安全治理成熟度模型建立企业的安全治理级别。
该模型,如表2所示,被应用为几个方面。
(1)在市场环境中,相对于国际信息安全治理标准、行业最佳实践,以及直接竞争对手,了解企业在信息安全治理上的级别。
(2)进行差距分析,为改进措施提供明确的路径。
(3)了解企业的竞争优势和劣势。
(4)有利于对信息安全治理进行绩效评估。
7 结束语
本文从企业信息安全治理的实践出发,概述了目前企业信息安全治理存在的问题和困惑,总结了企业实现有效的信息治理的关注领域和实施内容,为企业建立良好的信息安全治理提供了基本框架。
参考文献
[1] 马峰辉,刘寿强.企业信息安全治理的经济性探析.计算机安全,:70-71.
[2] 娄策群,范昊,王菲.现代信息技术环境中的信息安全问题及其对策.中国图书馆学报,(11):33-37.
[3] 刘金锁,李筱炜,杨维永.企业实现有效的信息安全治理之路.中国管理信息化,(11):37-39.
[4] 黄华军,钱亮,王耀钧.基于异常特征的钓鱼网站URL检测技术[J].信息网络安全,2012,(01):23-25.
[5] 黄世中.GF(2m)域SM2算法的实现与优化[J].信息网络安全,2012,(01):36-39.
篇2:企业信息安全治理框架论文
【 摘 要 】 随着企业的信息化建设,企业信息安全在持续、可靠和稳定运行中面临着巨大考验,因此企业急需开展信息安全治理。
论文从企业信息安全治理的实践出发,概述了目前企业信息安全治理存在的问题和困惑,总结了企业实现有效信息安全治理的关注领域和实施内容,为企业建立良好的信息安全治理提供了基本框架。
【 关键词 】 信息安全;安全治理;框架;风险管理
1 引言
随着企业的信息化建设,企业信息系统在纵、横向的耦合程度日益加深,系统间的联系也日益紧密,因此企业的信息安全影响着企业信息系统的安全、持续、可靠和稳定运行。
此外,美国明尼苏达大学Bush-Kugel的研究报告指出企业在没有信息资料可用的情况下,金融业至多只能运作2天,商业则为3天,工业则为5天。
而从经济情况来看,25%的企业由于数据损毁可能随即破产,40%会在两年内破产,而仅有7%不到的企业在5年后继续存活。
伴随着监管机构对信息安全日趋严格的要求,企业对信息安全的关注逐渐提高,并对信息安全投入的资源不断增加,从而使得信息安全越来越为公司高级管理层所关注。
2 信息安全问题
目前企业信息安全问题主要包括几个方面。
(1)信息质量底下:无用信息、有害信息或劣质信息渗透到企业信息资源中, 对信息资源的收集、开发和利用造成干扰。
(2)信息泄漏:网络信息泄漏和操作泄漏是目前企业普遍存在的信息安全困扰。
网络信息泄漏是信息在获取、存储、使用或传播的时候被其他人非法取得的过程。
而操作泄漏则是由于不正当操作或者未经授权的访问、蓄意攻击等行为,从而使企业信息泄漏。
(3)信息破坏:指内部员工或者外部人员制造和传播恶意程序, 破坏计算机内所存储的信息和程序, 甚至破坏计算机硬件。
(4)信息侵权:指对信息产权的侵犯。
现代信息技术的发展和应用, 导致了信息载体的变化、信息内容的扩展、信息传递方式的增加, 一方面实现了信息的全球共享, 但同时也带来了知识产权难以解决的纠纷。
3 信息安全治理的困惑
基于信息安全的重要性,企业在信息安全治理方面投入了诸多资源,但是在信息安全治理成效方面仍不尽如人意,主要问题在于几个方面。
(1)信息安全治理的范围不明确:目前企业都在尽力实现良好的信息安全治理,但是由于无法正确理解信息安全治理和信息安全管理的区别,导致了信息安全治理无法与企业的安全规划和企业战略形成一致性。
表1从工作内容、执行主体和技术深度三个层面分析了两者的区别。
从表1中可以明确:信息安全治理是为组织机构的信息安全定义一个战略性的框架,指明了具体安全管理工作的目标和权责范围,使信息系统安全专业人员能够准确地按照企业高层管理人员的要求开展工作。
(2)企业信息安全治理路径的错误理解:企业在信息安全治理的过程中,最常用的手法是采用信息安全的技术措施,如使用加密和防伪技术、认证技术、防病毒技术、防火墙技术等方式来进行,但是往往企业投入很多,却没有达到预想的效果,问题在于,信息安全治理并不单单是技术问题,信息安全治理也包含了安全战略、风险管理、绩效评估、层级报告以及职责明确等方面。
4 信息安全治理关注的领域
(1)战略一致性:信息安全治理需与企业的发展战略和业务战略相一致,建立相互协作的解决方案。
(2)价值交付:衡量信息安全治理价值交付的基准是信息安全战略能否按时、按质并在预算内实现预期的价值目标。
因此需要设计明确的价值目标,对信息安全治理的交付价值进行评估。
(3)资源管理:实现对支持信息运行的关键资源进行最优化投资和最佳管理。
(4)风险管理:企业管理层应具备足够的风险意识,明确企业风险容忍度,制定风险管理策略,将风险管理融入到企业的日常运营中。
(5)绩效度量:利用科学的管理方法,将信息安全治理转换为可评价的目标的行动,便于对信息安全各项工作的绩效进行有效管理。
篇3:石油企业信息安全管理论文
引言
随着信息化建设进程飞速发展,作为信息载体的计算机、互联网已在企业生产、经营管理各个层面得到广泛应用。计算机网络的开放性、灵活性和广泛性在全面数字化的今天给经营管理带来了便捷、高效、有序的工作环境,同时也带来了较大的安全管理隐患。安全漏洞的增多、管理的交叉混乱、恶意的网络攻击使网络安全管理遭受了较大的冲击,成为信息化健康发展的绊脚石。网络信息管理疏于安全的防范将危及到企业生产经济的有序发展。石油企业在国民经济中发挥着重要作用,任何风险都可能导致国家经济受到重大影响。因此,提高石油企业信息安全意识,加强信息管理应以保瘴服务和应用为目标,强化安全意识、制定周密的安全手段从而构建完善的信息安全管理体系。
1、加强企业信息管理的必要性
1.1企业信息管理概念
企业信息管理是通过现代化的信息技术和设备,以网络技术和网络设备实现企业管理的自动化,进而对企业进行全方位和多角度的管理,以此来促进企业生产、经营管理的优化配置,进而通过企业资源的开发和信息技术的有效利用来提高企业的管理水平,增强企业的核心竞争力。企业信息管理的主要内容,一般包括企业未来的经济形势分析、预测资料、资源的可获量、市场和竞争对手的发展动向,以及政府政策与政治情况的环境变化等等。企业信息管理与制订企业发展战略、制订规划、合理地分配资源是密切相关的。同时,企业的信息管理也应当包括企业内部的信息资源,如财务管理信息、物资库存、钻井施工、职工档案管理等多方面的内容,并且促进企业的全面发展。
篇4:石油企业信息安全管理论文
企业信息的存在方式有着多样性,而进行企业安全信息管理的主要目的,在于保护企业的信息安全,保证企业能够顺利的参与到市场经济活动中,进而提高企业的经济效益和社会效益,构筑起信息安全管理系统的保密性、完整性、可用性、可维护性、可验证性的目标,使企业安全信息管理能够通过有效的控制措施来实现。第一,企业管理的信息具有很强的保密性和完整性的特点,因此其对于企业的生产势力、科技含量、资金流动、企业的综合竞争力等多方面都有着重要的影响,同时对于企业的商业形象与合法经营也至关重要,因此加强企业信息安全管理是必要的。第二,由于网络自身所具有的开放性特性,决定了企业信息管理也面临着来自各方面的安全威胁,比如计算机病毒等,以及计算机诈骗、泄密等问题,也说明了加强企业信息安全管理势在必行。第三,企业对于信息系统产生的依赖也从另一方面暴露出了信息管理系统的脆弱,公共网络与私人网络的连接增强了信息的控制难度,使得信息在分散化的管理模式下,集中、专业控制的有效性大大减弱。另外,由于很多信息管理系统设计的缺陷,其自身就存在着不合理之处,这对于信息安全管理也带来了一定的难度。基于此,对于企业信息管理的安全性也成为了当前企业管理面临的一个重大课题。
2、加强企业信息管理安全的防范措施
2.1不断完善信息管理系统
随着企业信息化的发展,目前应用的管理系统有PKI、邮箱、AD域、普OA、合同系统、A6、ERP、网络、操作系统、A7、档案系统、物采系统、OSC、视频会议、企业微信、站、宝石花、数字营房、会议保障、E2、一体化、RTX、移动应用、短信平台。信息系统的连续稳定运行越来越重要,一旦系统中断,将会给企业的生产经营管理带来混乱,而数据一旦丢失,后果是不可估量的。为此,信息管理系统的投入和使用,是建立在充分的实践经验的基础上,通过一段时间的.运行和观察,才能够投入使用。在不同的部门进行信息系统的引入时,应当按照部门的实际情况,通过多方引进,使用统一的信息管理系统。对于信息安全来说,首先要解决的就是系统是否能够通过安全验证对用户进行有效的管理,并且赋予不同等级的用户不同的使用权限,这样则能够有效的防止无权访问信息的用户对核心区域的访问,保证信息不会被盗用。同时,为保证信息系统的连续稳定运行,应采用双机服务器和从服务器。一旦发生服务器故障,由从服务器自动接替主服务器工作。
2.2有效的设备管理
设备安全主要涉及到由于自然灾害、人为因素造成的数据丢失。信息安全应建设完善的容灾备份系统,容灾备份系统一般由两个数据中心构成,主中心和备份中心。通过异地数据备份,实时地将主中心数据拷贝至备份中心存储系统中,使主中心存储数据与备份中心数据完全保持一致。同时,对于管理系统中使用的设备品牌、机型、内部配置以及使用时间等信息都要进行专门的记录,通过这些记录,定期对设备进行维护,同时也能够通过这些信息判断出信息的使用效率以及运行情况,对于设备的损坏或者是丢失情况都能够及时地了解。
2.3加强对人员的监督与管理
企业信息安全不单纯是技术问题,而是一个综合性的问题。其中最重要的因素是人,人是设备的主要操作者,因此对于信息的安全管理,就需要加强对人的管理,需要操作人员具有足够的安全意识,对于每一位操作人员进行相关的培训,对于唯一的用户名和密码等信息要进行妥善保管,同时让操作人员认识到泄密会导致的严重后果,增强责任意识。只有通过不断地学习及意识的培养,管理人员才能养成定期维护、按时打补丁、及时更新的操作习惯,以不变应万变的态度应对各种网络攻击手段。通过不断的加强过程管理,通过对每个细节的严密审查,能够有效减少人为出错的现象,同时通过科学的评价机制和激励机制,刺激人员工作的积极性,加强自身的责任意识。
2.4网络传输安全
石油企业具有特殊性,企业的生产、管理等业务发生于不同部门、不同区域,不同地域、生产间数据传输通过网络实现。由于网维具有开放性、互联性和联结形式多样性等特征,使得信息传递存在自然和人为等诸多因素,如网络协议TCP/IP安全性的入侵等。网络带来了高效,但是网络的安全问题不容忽视。必须做好防火墙的应用、漏洞检测系统应用、网络防病毒产品应用、访问控制安全应用等。同时,制订网络安全管理守则、机房管理制度,做到权责分明、操作规范、流程清楚、保密严格的高安全、高可靠的动态管理。树立机敏的安全防范意识。在现代市场经济条件下,企业能够对信息实施有效的安全管理,对于企业的综合竞争力有着重要的影响。而企业信息管理的安全性,主要与企业的信息安全管理体制是否完善、是否具有与企业文化相符合的信息安全管理办法以及科学的评估方法等因素有着直接的关系,因此,企业应当不断加强信息的安全管理,不断提高企业的管理效率,以此促进企业实现持续、稳定的发展。
篇5:造型企业信息安全的论文
关于造型企业信息安全的论文
一、制造型企业信息安全的现状
(一)信息安全组织临时化
通常,制造型企业只有在发生了信息泄露、病毒攻击、系统破坏等信息安全事件时,才会临时从信息技术部和业务部门抽调人手处理和解决信息安全事件.出现新的信息安全要求时,才会临时组建项目小组,根据新的信息安全要求制定解决方案并实施计划,项目完成后,临时小组就会解散,没有人会继续跟进和执行解决方案.由于没有定期的信息安全评估,安全计划不断地重复开始和结束,带来大量的人财物重复投入,这将导致安全计划成本不断增加,企业的工作效率不断降低,信息安全防护也未得到有效提升.
(二)员工上网无限制
虽然制造型企业为员工上网提供了用户名及密码,并且对其登录的网站进行了监测,但是员工在工作时间还是可以无设防地利用外网进行网页游览、网络社交等行为,并且使用一些网站的免费邮箱随意地接收和发送电子邮件,这些给黑客、病毒、钓鱼软件等创造了对企业内部网络攻击的机会.于是,员工在不了解原因的情况下,使得企业的信息被泄露或者内部网络瘫痪,从而影响企业的正常工作,造成企业资产的损失.
(三)个人移动设备(BYOD)使用泛滥
在制造型企业的办公场合,员工会携带个人移动设备(BYOD)如笔记本电脑、平板电脑、智能手机、移动硬盘等进行办公.企业员工可以较为随意地使用这些移动存储设备对内部文件进行拷贝,并且可以使用移动设备接入企业内网的无线WiGFi,并拥有一定程度的内网数据读取权限,这样做虽然节约了企业的办公成本,提高了办公的效率,但是也增加了企业内网病毒感染及遭受黑客恶意入侵的风险.
(四)信息安全防护水平有限
出于性能、技术等因素的考虑,加之国内自主研发的信息安全产品较少,目前进口的信息安全产品受到许多制造型企业的广泛采用.尽管这些企业的信息安全需求以此得到了满足,但近几年来,进口产品设备故障的频繁发生也对制造型企业的业务带来了不同程度的影响.同时,进口信息安全产品已经占据了这些企业信息系统的关键节点,这使得企业的商业机密时刻处于高危状态.不仅如此,部分制造型企业仍旧停留在使用免费的个人版杀毒软件阶段,而这些软件不仅无法解决病毒交叉感染的问题,也没有统一的管理平台对企业内网的安全系统进行统一的升级与维护.另外,信息安全产品在企业内的无序堆叠不仅使得各安全产品存在兼容性问题,同时也使得各产品厂商只能提供与自己产品有关的技术支持,导致企业对问题很难进行跟踪和排查.最后,企业电脑终端上的防毒程序未开启或者未升级至最新版本,以及系统漏洞修补的不及时都造成了多病毒大面积入侵企业内网.
(五)信息安全事件处理不及时
制造型企业在发生信息安全事件时,即使有相关的信息安全管理产品,但无法迅速定位安全事件,更无法快速进行安全事件响应处理,常处于混乱、无序的运维管理状态.由于企业的安全管理人员无法全面了解整个企业网络中正在发生的内部越权访问和外部攻击,出现问题时,他们多表现得无从下手或者手忙脚乱.而且,企业各部门各自为政,对发生信息安全事件无法进行统一规范的快速处理.
二、制造型企业信息安全薄弱的原因
(一)员工信息安全意识淡薄
制造型企业员工信息安全意识比较淡薄,主要表现为企业管理层没有充分认识到信息安全的重要性,没有将信息安全管理工作与企业生产安全管理工作放在同等重要的高度来对待,更没有把它作为日常管理工作的一部分.管理层之所以没有信息安全意识主要是因为信息安全不会直接为企业带来经济效益,反而需要投入大量的时间和资源,尤其是对于受部门业绩压力和资源限制的业务部门来说,他们不愿意把时间和资源放在信息安全防护工作上,并且他们还认为不采取安全防护措施不一定会造成损失.普通员工则表现在他们不了解什么信息安全,不知道遵守和执行信息安全制度对自己及企业带来的影响,缺少必要的信息安全教育与培训,有意或无意地导致信息安全事件的发生.
(二)信息安全技术体系不完善
信息安全防护水平受到限制除了受上述因素影响外,还有就是没有完善的物理安全、运行安全和数据安全相统一的信息安全技术体系,具体体现在企业使用的软件设计存在缺陷或者技术漏洞、杀毒软件不及时更新;信息系统设计没有以风险评估为基础、业务流程描述错误或漏洞、数据访问权限设置不清晰、关键数据没有备份等因素;物理安全边界不明确、设备或存储介质缺乏安全措施、电缆损坏、不可抗力的自然灾害等.
(三)信息安全事件应急响应机制缺失
信息安全事件处理不及时很大程度上是因为没有建立信息安全事件应急响应机制.制造型企业没有对信息安全事件进行分级响应与处置,也没有结合企业的实际情况通过预测、评估和分析安全事件对企业造成的后果程度进行等级划分,并针对不同的安全事件制定相应的应急预案.同时,大部分制造型企业在处理信息安全事件时更多依靠的是人的经验和责任心,缺少标准化的信息安全事件处理流程,以及必要的审核和工具支撑.
三、改进制造型企业信息安全的对策
通过上述分析可知,信息安全问题不仅出现在技术方面,还更多地出现在管理方面.因此,为了保障企业的业务持续运行,加强企业的股东、客户以及服务提供商对企业信息安全的信任,增强企业的核心竞争能力,制造型企业可以将管理、技术和运维三方面有效地结合起来,促进企业的可持续发展.
(一)建立健全的信息安全组织层级结构
企业信息安全组织架构的建立是围绕企业信息安全管理的战略目标,对企业的信息资源、人力资源、安全技术产品等进行合理安排和配置,构成相互协作的有机整体,使企业的信息安全活动协调有效地运行.制造型企业通过建立多层次、跨部门的信息安全决策委员会、信息安全工作部、信息安全执行部的层级结构,不仅能在企业中形成一张网,覆盖企业的各个部门,有利于信息安全措施的实施和针对信息安全事件的快速响应,而且还能为后续建立信息安全管理体系提供组织上的保证.信息安全决策委员会主要负责制定信息安全制度和策略、明确各部门信息安全职责、协调各部门实施信息安全控制措施以及信息安全活动的实施等.信息安全工作部由各部门负责信息安全管理的工作人员构成,实施决策委员会制定的信息安全策略、制度和方针,并负责各部门的信息安全管理工作.信息安全执行部具体有三个部门,即信息安全规划部、信息安全监督审计部、信息安全运行保障部,并且由各部门进行业务支撑。
(二)加强人员教育培训和规范管理
信息安全最大的威胁不是来自于企业外部的攻击或是企业信息安全技术的.缺陷,而是企业人员缺乏信息安全意识.为了能够有效地提高企业员工的信息安全意识,企业需要对员工进行完善的信息安全教育培训,这不仅能提高员工的信息安全保护技能,还能更好地保护企业的信息安全.制造型企业在制定信息安全教育培训内容时,可以根据员工在企业中所处的职位高低和工作性质的不同有针对性地制定.对于企业管理者而言,教育培训以信息安全核心知识、风险管理、信息安全政策等为主;企业的信息技术人员,则是以信息安全技术教育培训为主;一般员工结合所在部门的业务特点以信息安全意识培训为主.除了对企业的人员进行教育培训,还需对其进行规范化管理.对掌握产品生产、原材料采购等核心信息的管理者实施更加严格的信息安全监督管理制度;对负责计算机系统及日常维护的人员界定其工作权限;规范化管理员工的上网行为,合理利用网络资源,避免人为的网络安全隐患.同时在规范管理中引入绩效考核机制,这样不仅使信息安全管理的指标量化,而且,通过信息安全监督审计工作组对员工信息安全工作进行考核,使员工更加重视企业信息安全.因此,加强企业员工的教育培训和规范化管理,不仅可以营造企业信息安全文化氛围,还可以约束员工的行为,减少人为因素导致的信息安全事件发生.
(三)完善信息安全技术体系
信息安全技术是企业信息安全的保障,完善的信息安全技术体系可以防止由于技术因素导致的信息安全漏洞,避免给外部攻击者留下可乘之机,从而减少技术因素导致的信息安全事件发生.制造型企业需从以下六个方面去建立完善的信息安全技术体系,并采用“适度防御”的原则,选择合适的安全技术与产品,形成企业适用的安全技术防线.一是保障并完善数据安全,制造型企业需通过加密的手段保护企业系统中数据的机密性和完整性,从而提高数据访问的抗抵赖性,同时加强数据的异地灾难恢复机制,实现本地数据的实时远程复制与备份,避免本地系统遭受灾难性破坏导致企业系统中数据的遗失.二是保障并完善终端安全,制造型企业除了要采用全面可靠的防病毒体系和防火墙技术外,还需制定严格的移动终端设备使用制度,一方面是为了避免内部员工利用移动终端设备随意拷贝企业内部文件,导致企业内部信息向外泄露,另一方面是为了防止移动终端设备携带的病毒漏过企业系统设置的防火墙而直接在系统内部传播.三是保障和完善应用安全,除了提供用户名和口令外其他身份验证机制,必要时还需支持双因素认证和具备登录控制模块,同时在日常工作不受影响的情况下,控制员工访问权限,减少越权操作的现象,最大限度地保障个人系统的安全.四是保障和完善网络安全,制造型企业还需通过内外部署相应的网络与信息安全设施使计算机设备的物理管理得到加强,并对入侵检测系统和漏洞扫描系统进行内外部攻击和误操作的实时保护的安全设计,使系统免于网络攻击的同时,也提升了系统管理人员的安全管理水平.五是保障主机安全,除了采用系统扫描技术对操作系统层设备和系统进行智能化检测来帮助网络管理人员高效地完成定期检测和操作系统安全漏洞修复的工作,还应采用系统实时入侵探测技术来监控主机系统事件,检测攻击的可疑特征,并给予响应和处理.六是保证物理安全,制造型企业需要保证机房与设施的安全,针对环境的物理灾害、自然灾害和人为的蓄意破坏采取安全措施,并通过防盗、防毁、防电磁干扰来保证设备的安全.
(四)建立信息安全事件应急响应机制
由于信息安全事件会给制造型企业造成巨大的损失,因此作为补救性质的信息安全事件应急响应机制的建立就是必不可少的.信息安全事件应急响应机制是指在信息安全事件的发生之前企业对各种可能情况所做的全部准备和在信息安全事件发生后所采取的相应措施的方法和过程,其目的是为了使企业尽可能地减少信息安全事件带来的损失.制造型企业应首先在信息安全运行保障部中创建信息安全事件应急响应中心,中心成员由企业内部的管理者、计算机和网络等方面的技术专家共同组成,并联合外部技术支持企业,针对企业的信息安全事件进行应急响应,及时地处理信息安全事件,使企业的风险和损失最小.其次是制定标准的信息安全事件应急响应的措施与流程,要求应急响应中心进行规范化的管理和运作,并且建立及时精确的信息安全事件上报体系.最后还需建立信息安全事件应急响应案件库,目的是为了实现对事件处理过程的备案和综合查询,帮助企业在处理事件时查找历史处理记录和流程,从而缩短应急响应的时间.制造型企业信息安全事件应急响应处理的具体流程是:首先,对信息安全事件进行封锁,为避免信息安全事件的扩散,应关闭其与网络的连接;其次,为缓解信息安全事件带来的影响,应采取相应措施,保障系统的正常运行;再次,根据安全记录日志或当前实时监控和审计的结果进行分析与判断,采取措施消除信息安全事件,然后对系统进行恢复,让受侵害的业务系统、应用、数据库等恢复到正常的运行状态;最后,对系统恢复后的安全状况进行追踪,对现有的一些处理流程进行重新评估,并修改不适宜的环节。
篇6:企业信息安全问题研究论文
企业信息安全问题研究论文
关键词:信息安全论文
【摘要】随着信息化技术的不断发展进步,我国企业信息化建设得到了广阔的发展空间,为提升企业在市场中核心竞争力带来了无限动力。然而,受企业传统经营理念以及信息化技术水平等影响,当前企业信息化建设中存在着诸多信息安全问题,例如信息风险与攻击、网络漏洞以及Web服务安全问题等,给企业持续、健康、稳定发展带来巨大安全隐患。因此,加强企业信息化建设中安全管理势在必行。本文在介绍企业信息化建设的基础上,就当前企业信息化建设中信息安全问题进行了分析,并阐述了其导致因素,着重就如何提升企业信息安全管理提出了相应的对策。
【关键词】企业信息化;信息安全问题;原因;对策
【中图分类号】F270.7【文献标识码】A【文章编号】1006-422201-0247-02
新时期下,信息化技术在各行业中运用日渐深入,给企业现代化建设与快速发展带来了无限动力。企业信息化建设已成为我国经济信息化建设能否成功的关键所在,也是提升企业自身市场竞争力与企业升级进步的重要保证和标志[1]。但是,企业信息化建设过程中不可避免的出现信息安全问题,给企业正常生产经营带来诸多不利影响。因此,加强企业信息化建设中信息安全管理,已成为现代企业经营管理的一个至关重要的工作。
1企业信息化概述
所谓的企业信息化,指的是实现企业的资金流、物流、作业流、信息流的数字化、网络化管理,实行企业运行的自动化和企业制度的现代化[2]。企业信息化建设涉及了企业生产经营中的各个部门,其主要利用现代化信息技术,通过完善企业内外网络信息系统,实现对企业内外知识与信息资源的开发。可见,建设企业信息化体系,不但可以及时有效的提供各种数据信息给企业决策层,也为企业未来规划设计提供参考依据,而且还有利于企业满足瞬息万变的市场需求,为企业市场核心竞争力的提升带来动力。
2当前企业信息化建设中信息安全问题
企业信息化建设与发展为企业持续、健康、稳定发展发挥了显著作用,但同时也存在着诸多信息安全问题,具体分析主要有以下几方面[3]:(1)当前,绝大多数企业缺乏完善的安全防御系统,导致企业内部使用的信息系统易遭受外部网络系统的攻击,引发企业信息资料被他人截获、篡改与伪造等问题,甚至企业信息系统中出现通信线路、硬盘设施以及其他文件系统遭恶意破坏现象,上述问题的发生不但致使企业信息系统无法正常运行,而且其内部机密信息易发生泄漏,造成企业严重的社会经济损失。(2)针对邮件系统攻击防不甚防。在企业信息系统中电子邮件具有重要的作用,通过电子邮件接收与传送,极大的方便了企业内部间与外部间信息交流与沟通。然而,电子邮件安全问题也日益突出,典型的如电子邮件病毒、垃圾邮件、机密信息泄露以及电子邮件炸弹等,给企业信息传输带来了巨大安全隐患。因此,电子邮件安全问题不可忽视。(3)漏洞攻击日益严重。按照漏洞问题发生原因可分为软件漏洞和协议漏洞两种,其中软件漏洞主要是受外部不法分子攻击软件自身存在的`漏洞,造成企业信息泄露等问题;而协议漏洞则主要是由于TCP/IP协议自身在安全机制方面存在的诸多漏洞问题导致,外部不法人员通过攻击TCP/IP协议漏洞,致使企业信息系统遭受破坏。目前情况,很多企业对自身信息系统缺乏成熟的漏洞检测手段和能力,往往事发后才采取补救措施。(4)是Web服务安全问题突出,根据Web服务流程,其发生安全问题的主要组成包括Web服务端安全问题、浏览器客户端安全问题两种。其中,Web服务端安全问题主要是企业Web主机遭受外部不法分子侵入,导致企业保密信息遭窃或者企业部分信息遭受非法篡改等;浏览器客户端安全问题则是企业浏览器客户端遭外部非法分子侵入,致使部分机密信息与数据遭窃等。
3导致企业信息化建设中信息安全问题因素
企业信息化建设中信息安全问题发生受诸多因素影响,具体分析主要有以下几方面[4]:(1)目前,绝大多数企业在信息化建设过程中,对于信息安全问题重视度严重不足。一方面,受传统经营观念影响,企业管理层偏重于对企业生产经营中的有形资产给予关注与重视,而忽略了企业知识与信息资料等无形资源,导致在企业信息安全管理方面各项投入严重不足,进而造成信息安全问题日益凸显;另一方面,多数企业在面对信息安全问题时,存在着盲目乐观现象,认为信息安全问题不至于导致企业正常生产经营,使得信息安全管理无法上升至企业发展规划战略之中,进而造成信息安全问题得不到及时有效解决。(2)由于企业信息化建设在我国尚处于起步阶段,各方面配套管理制度不够完善,特别是缺乏健全的企业信息安全管理体制。受此影响,企业信息化建设中信息安全问题一方面无法得到有效的预防措施,另一方面是一旦发生信息安全问题,无法采取及时有效的补救与解决对策。同时,由于缺乏科学、合理、有效的企业信息安全防护策略,使得企业信息管理人员缺乏必要的安全防护意识与业务素质能力,致使企业信息安全防护软硬件工作质量与效率明显不足。上述两个因素,导致企业无论是从人员配置,还是资金与技术投入方面都严重不足,受企业信息管理人员业务素质能力不足、信息安全技术方法落后以及配套的资金缺乏等影响,企业信息安全防护的措施、手段偏低,造成企业信息化建设存在着严重安全隐患。
4提升企业信息化建设中信息安全对策
针对当前企业信息化建设中存在的信息安全问题,为加强企业信息安全管理,提升企业信息安全保障,可通过采取以下几方面对策,具体有[5]:(1)转变传统企业信息化建设观念,在企业内部管理层从上至下加强对企业信息安全的重视,并树立正确的安全意识。一方面,通过组织各种信息安全管理培训等,增强全体企业员工信息安全意识,确保企业保密信息不外漏;另一方面,逐步加大企业信息化建设中信息安全管理各项资金、技术、人力投入,并建立科学、合理、有效的企业信息安全防护策略,保障企业信息系统安全稳定。
(2)不断的推进网络信息技术的发展与运用,促进企业组织结构网络化的实现,同时引进先进的安全防护技术,确保企业信息化系统安全稳定运行。任何网络信息系统都存在着或大或小的安全漏洞问题,而保证其不受外部不法分子侵入的一个关键方法就是安全防护技术的运用。通过选用先进的安全防护技术,可以有效的提高企业信息系统抵抗外来攻击,避免企业信息遭受窃取、篡改甚至破坏等,对于保障企业持续、健康、稳定发展具有显著作用。
(3)结合企业信息化建设实际情况,建立健全企业内部信息系统管理体制。一方面,针对信息安全问题,应建立科学、合理、规范的信息安全管理体制,保证企业信息系统安全运行;另一方面,建立健全企业安全风险评估机制,针对不同系统找出影响其安全的因素和漏洞,并制定出最佳的对策,降低企业信息安全风险;此外,加强相应的网络管理,防止外来不法分子通过网络侵入企业信息系统。
(4)根据新时期企业信息化建设需要,加强企业信息技术人才、信息管理人才队伍建设,为企业信息安全管理奠定坚实的人才基础。一方面,在企业内部,加强信息技术人才培训,提高企业内部相关人才业务素质能力;另一方面,在企业外部,采取有效措施,积极招聘人才,引进具有先进信息技术型人才;此外,建立健全企业信息安全管理用人机制,激发员工工作积极性,提高工作质量与效率。
5小结
总而言之,企业信息安全事关企业信息化建设是否成功,对于企业持续、健康、稳定发展具有至关重要的作用。因此,应提高企业信息安全管理意识,增强企业信息安全管理机制,促进企业信息安全管理工作质量与效率,保障企业信息化建设顺利开展。
参考文献
[1]毛志勇.企业信息化建设的信息安全形势与对策研究[J].科技与产业,,8,(1):43~45.
[2]纂振法,徐福缘.浅析企业信息化建设的意义、问题与对策[J].吉林省经济管理干部学院学报,,3:24~28.
[3]谢志宏.企业信息化建设中的信息安全问题研究[J].企业导报,(06):132~133.
[4]秦海峰.企业信息化建设中信息安全问题的分析研究[J].中国信息界,(05):61~62.
[5]葛中全,唐小我,李仕明.我国企业信息化发展的问题与对策研究[J].电子科技大学学报社科版,2001,12:24~26.
篇7:电力企业信息安全虚拟网络技术应用论文
摘要:
电力资源是我们日常生产生活中使用最普遍也最广泛的一种资源,经济社会的发展让电力企业成为了近些年来发展较迅速的一大行业,在电力企业现代化的发展过程中,虚拟网络技术等新兴的技术开始被越来越多的使用到电力企业当中,从而让电力企业的供电服务变得更加智能化,便捷化。
篇8:电力企业信息安全虚拟网络技术应用论文
前言:
随着互联网信息技术的不断发展,使得原本分散、孤立的电力行业开始逐渐朝着集约化、智能化、统一化的发现发展,大大的提高了电力企业的工作效率。各级省市地级县的电力企业开始先后在企业内部建立起了现代化的信息网络[1]。但是信息化网络的发展却远远不如预期,存在众多的问题。而虚拟网络技术的出现则为解决电力企业中的信息化网络建设问题带来了新的机遇和可能,成为了电力企业信息网络建设中新的趋势。
1、电力企业信息网络建设发展现状。
就目前我国的电力企业信息网络技术的建设发展现状来看,还存在着一些不足,信息网络建设技术落后是主要问题。这一问题的根源是电力企业的建设重点放在实体电网建设,这就直接导致了电力企业没有对信息网络建设投入足够的人力、物力、财力资源,建设资源不充足是导致信息网络建设跟不上现代化建设步伐的主要原因[2]。
此外,由于电力行业自身的特殊性,为了更好的满足人们对电力资源的需求,就不得不在一些偏远山区等地进行电网建设工作,这些地区受到自身经济条件以及技术条件等限制,信息网络建设工作也就迟迟得不到较大的推进。且信息网络的建设需要专业化的技术人员耗费较长的时间周期去进行,没有专业化的信息网络建设技术人员,缺乏足够的.资金支持,这些都是导致电力企业无法迅速建立起完善的网络信息技术的主要原因,电力企业信息网络技术建设工作任重而道远。
2、虚拟网络技术。
(1)基本含义。
电力企业中的虚拟网络是指在整个企业中的公共网络平台上搭建属于各部门、各单位的专属网络。虚拟网络技术(VirtualPrivateNetwork)是指在公共网络平台上,利用相关的技术手段,在这个公共平台上建立属于自己的专用网络的一种技术[3]。
(2)工作原理。
虚拟网络技术在信息网络平台中的基本工作原理为,企业借助相关的隧道等技术,以公共网络这一平台为基础,而不再需要企业自身去搭建其他的建设平台,就可以从中搭建出电力企业自身的专属平台。这样,不仅为企业节省了信息平台建设的成本,而且还大大提高了网络管理的便捷性,此外借助公共网络安全性能高的优势还能够极大的提高企业虚拟网络的安全性。正是由于虚拟网络技术的这些优势,因此被越来越多的电力企业所青睐,而将其运用到自身的信息网络建设工作中去。
(3)相关技术。
①身份认证和安保技术。
一般的公共网络平台为了满足公众的使用需求,因此都缺乏对使用人员身份认证的安保技术,这一技术漏洞容易让一些不法分子乘虚而入,用不正当的方式和手段来获取电力企业中的重要信息资源,使得电力企业中存在信息泄露的风险和漏洞。而虚拟网络技术是公网中的私网,它为了提升自身的安全性能,加大对内部信息的保护力度,而在系统内设置了身份认证等相关安保技术。用户在访问电力企业的网络时必须要进行相关的身份认证,只有具备访问权限的工作人员才能够通过认证,进入到虚拟网络中,获取到相关的信息。而不具备访问权限的外部人员则就无法进入到其中去,大大提高了数据的安全性。如拨号连接、IP分配等都是常见的用户身份认证方式[4]。
②加密解密技术。
加密解密技术是提高虚拟网络安全性的一个重要技术手段,可以使用隧道技术,在两个设备之间搭建一个专属的信息通道,两个信息端口也可以依据实际需求在自身的设备上添加加密解密选项,只有知道使用密码的相关工作人员才能够进入到信息网络中去,而将一些不法分子隔绝之外。如IPSec等就是常见的加密解密技术。
③隧道技术。
虚拟网络技术中的关键核心技术是隧道技术,它既可以帮助两个端口之间建立起专属的信息数据通道,同时还能够对建立好的通道进行拆除,所以在虚拟网络技术中发挥着重要的作用。隧道及时可以根据使用用途的不同而分为端口到端口和点到点这两种,端口到端口主要是对已有的两个局域网进行连接,实现两个局域网之间的信息沟通;而点到点主要是用于两个电脑主机之间,在两个设备之间搭建安全通道。
3、电力企业信息网络中虚拟网技术的应用。
(1)虚拟网络技术的应用需要以电力企业控制软件为基础。
虚拟网络技术在电力企业信息网络中的应用需要以企业原有的控制软件为基础,因此各电力企业在引进相关的虚拟网络技术的时候,应该要充分的从自身的信息网络建设实际出发,然后再结合虚拟网络的相关特性,引入合适的虚拟网络技术。如果不能够依照电力企业原有的控制软件基础,那么就很有可能会导致引入的虚拟网络不能够很好的实现与原有网络的相互融合,导致其不能够很好的发挥出自身的作用,同时还给企业增加了不必要的经济负担,造成电力企业成本的增加。
(2)虚拟网络技术的应用需要以电力企业当前的信息网络建设现状为依据。
不同电力企业的信息网络建设和发展进程是大不相同的,大中型的电力企业由于其自身的资金等各方面的势力较强大,因此其信息网络建设就优于许多中小型的电力企业。所以各个电力企业在进行虚拟网络技术在信息网络中的建设工作时必须要从自身的发展建设实际出发,尽可能选择适合自身发展的虚拟网络技术,而不能够为了图先进而引入不适合自身发展的技术。
此外,由于电力企业中部门较繁杂,有许多的分支机构,各部门、单位、机构的工作内容也各不相同,因此对信息的需求也就有所差异。鉴于此,在进行虚拟技术网络平台建设的时候,可以根据不同部门、机构和单位的工作特点,设置相互独立的信息虚拟网络平台,这样就可以极大的提高信息提供的针对性,为信息获取人员大大的节省了时间成本,同时还有效的提高了工作效率。
(3)虚拟网络技术的应用需要得到相关部门的认证。
为了进一步提升电力企业的安全性和虚拟网络技术使用的规范性,有必要在电力企业内部设置规范的安全认证策略,将虚拟网络技术的使用步骤以条款的形式确认下来,以提高工作人员使用时的规范性,同时在设置加密和秘钥功能时也要符合企业实际,不能太过简单或复杂而影响到电力企业的工作效率[5]。此外,各部门、机构应该加强对虚拟网络技术使用的监督,一旦发现违规使用虚拟技术的现象必须要严加惩治,以提高工作人员的使用规范性。
(4)其他注意事项。
由于不同的虚拟技术生产的虚拟网络技术性能各不相同,因此电力企业在使用的过程中会出现虚拟技术与企业的原有设备之前接触不良的问题出现,这就需要企业在购买的过程中提前对虚拟网络技术的特性进行了解,之后购买合适的产品,以提高产品的适用性。
4、结语。
虚拟网络技术因其便捷性等优势而被广泛的应用于各行各业中,而其在电力企业信息网络中的应用,为各实体电力企业之间相互联系提供了重要的连接纽带,推动了各电力企业之间的信息共享和流通。一方面,可以帮助电力企业更好的调配内部的资源,实现资源的合理优化配置,从而大大节省了企业成本;另一方面,虚拟网络技术有为电力企业规范化、集约化管理提供了技术支持,可以加快推动企业朝着现代化的发现发展。
参考文献:
[1]刘晓翠,王晨臣,闫娟,张晓宇。安全隔离技术在电力信息网络安全防护中的应用[J]。通讯世界,。
[2]关兆雄,刘胜强,庞维欣。虚拟化技术在电力企业的移动生产应用研究[J]。自动化与仪器仪表,2016。
[3]明星。电力信息通信中网络技术的应用剖析[J]。科技经济市场,。
[4]李海锋。基于EPON的虚拟局域网技术在电力信息网络中的应用[J]。通信电源技术,2015。
[5]张莹。计算机网络信息系统中虚拟专用网路技术的应用研究[J]。信息与电脑(理论版),。
篇9:云计算下电力企业信息安全论文
伴随着我国电力行业的迅速发展,特别是南网、国网、华电等大型的电力企业,它们的发展速度更是非常迅速的,目前,电力行业在我国经济的发展当中发挥着中流砥柱的作用,并且是确保整个社会稳定剂经济健康迅速发展的根本性要素,可是,最近几年随着先进科学技术的不断研发,电力企业信息开始面临着泄漏、不可掌控等一系列的安全性威胁,并且,自云计算出现,其依赖于自身优质的性能与全新的有效计算、存储模式受到了各行各业的喜爱,云计算电力与以往的电力企业信息储存系统及运行性能相比具备非常明显的优势。为此,云计算环境下电力企业信息安全是目前整个电力行业急需探究的重要问题。
1云计算的概念与基本原理
在分布式处理、并行式处理及先进网络计算科学技术不断发展的基本前提下形成的一种新型计算模式即云计算,其面对的是超大规模的分布式氛围,主要发挥着将供应数据储存及网络服务的作用,并且具体的实现平台、服务于应用程序都是在整个云计算环境下得以实现的。云计算能够把全部的计算资源融合在一起,通过具体软件促使自动化管理、无人为参与,并且能够提供各种各样的认为服务。云计算的基本原理是把相关的计算逐一分布在多个分布式计算机当中,在远程服务器的具体计算当中可以促使电力企业信息处于正常的运行状态,有利于企业将资源更改为具体的需求得以运用,并且能够按照实际需求对计算机进行访问。云计算基本原理为一场历史性的转变创举。
2目前我国电力企业信息安全结构状况
2.1电力企业信息网络结构
随着电力企业逐渐进入网络自动化及智能化阶段,为此,目前电力企业信息安全结构一般是以公共网络与专用网络有效综合的一种网络结构形式,其中,专用电力信息网络指的是在因特网进行连接的基础上形成的一种电力企业信息网络及调度信息网络相互综合的形式。
2.2电力信息安全系统结构
以信息中的信息性能及信息业务为出发点将电力企业信息划分为三种层面:自动化、生产管理、办公室自动化及电力企业信息管理。其中,办公室自动化及电力企业信息管理是与电力企业信息网络结构紧密联系在一起的,形成的是一个安全工作区域,在这个安全区域当中SPDnet支撑的一种自动化,可具备监控性能的实时监控,譬如,配电自动化、调度自动化、变电站自动化等,同时,安全生产管理区域同样也是SPDnet来作为基本支撑的。
篇10:云计算下电力企业信息安全论文
3.1数据传输-存储安全技术
在整个电力企业信息当中,涵盖了大量的有关电力企业发展的资料及所有数据信息,譬如:电力企业的财务信息、用户信息、经营管理信息等等,所以,对于整个电力企业而言,数据的传输-存储安全技术在其中发挥着极为重要的作用。一般情况下,云计算环境下,严格加密技术可促使电力企业信息数据在具体的传输过程中将会处于非常安全的一种状态下,主要是由于云计算能够利用加密技术将那些潜存的非法访客完全的拒之门外,预防数据传输过程中发生窃取的事件。从电力企业信息数据存储技术的'角度进行分析,其涵盖了数据恢复、数据分离、数据备份、数据存贮位置的选择等几方面内容,而云计算环境下,电力企业便能够利用私有云这一高度集中的存储技术把相关的数据信息以基本性能、重要系数为依据来选择不同的存贮方位,这样可以促使不同种类数据间隔离的实现,并且可起到预防数据信息泄露的作用。云计算的运用可促使电力企业信息能够实现实时备份,使得电力企业信息在有突发情况出现的时候能够在第一时间达到相关数据的及时恢复。
3.2权限认证及身份管理安全技术
云计算能够成功的预防非工作人员使用非法用户对电力企业信息系统进行访问,这主要是由于在私有云的内部全部的企业信息都能够实现禁止访问技术,电力企业信息管理工作者能够通过私有云进行身份管理、权限认证技术的相关设置,按照企业工作人员的级别及具体的规定对于相关数据及应用业务作出明确的规定及权限的划分,这样可成功的预防了非法访问的事件发生,同时实现合法用户根据个人权限来进行企业信息的具体操作。
3.3网络安全隔离技术
对于整个电力企业信息来讲,云计算实则是互联网当中的一种内部性系统,通常情况下,电力企业信息网络能够从网络安全的被动保护层面来促使入侵检验技术、防火墙设置等安全防火技术得以实现,可是,云计算环境下,电力企业信息安全采用的是防火墙技术、物理隔离技术、协议隔离技术等先进的科学技术,其中,防火墙技术是对于企业外部网络及电力企业信息网络而创建的一道安全性保护屏障,通过对个人信息的严格检测、审核,将具有破坏性入侵的访客实施的一种有效防护,能够最大限度上将那些越过防火墙对电力企业信息安全网络及正常运行造成破坏的数据流进行完全性的屏蔽;物理隔离技术指的是在云计算环境下对于电力企业内外部网络实施的一种分割,这样能够有效的将内外部网络系统的连接状态完全阻断;协议隔离技术指的是在云计算环境下利用网络配置隔离器对内外部网络进行的一种隔离,在协议隔离技术的支撑下,内外部网络是完全分离的一种状态,而唯有云计算环境下的电力企业信息进行相互交换的过程当中,内外部网络才能够通过协议由隔离的状态转变为正常连接状态。
4结语
通过上文针对云计算环境下电力企业信息安全的浅析,我们从当前电力企业信息安全的状况进行分析,云计算环境下用户信息安全依然是一个较为严峻的问题,一部分问题并未得到根本性的解决,在今后的工作当中,需要针对云计算环境下用户信息安全供应相应的帮助,这样才能够促使用户信息安全水平得到较为显著的提高。我们坚信,在未来的工作当中,云计算环境下的电力企业信息将会更加安全,用户信息的安全性能将会得到最大程度上的保障。
参考文献
[1]曹勇,王口品,牒亮等.试析电力企业信息安全保障体系建设原则及思路[J].信息通信,(04).
[2]陈宇丹.电力企业信息信息安全关键技术研究[J].中国科技信息,2013(23).
[3]程风刚.基于云计算的数据安全风险及防范策略[J].图书馆学研究,(02).
篇11:浅议商业秘密保护中的企业信息安全工作论文
浅议商业秘密保护中的企业信息安全工作论文
摘 要:大数据时代的资源共享精神与企业保护信息安全行为是一场持续博弈。企业为控制成本和保持活力,希望更多的信息可以分享。随着IT技术飞速发展、信息安全概念日趋成熟,可以预见企业的信息安全工作将进一步加强。
1 信息安全工作的本质是商业秘密保护
商业秘密保护一直是企业内部管理的薄弱环节,企业也是信息安全泄密事件的高发群体,受到商业秘密侵权的损害也最大。其原因在于企业的创始人基本没有商业秘密的意识,也没有在机构上设立保密部门,更没有建立有效的商业秘密保护管理机制,因此导致商业秘密容易被侵权。
按照我国《反不正当竞争法》的规定,属于商业秘密范畴的信息须具备以下三个条件:不为公众所知悉、能带来经济利益、采取保密措施。根据商业秘密的特点,可以发现商业秘密属于具有经济价值且被保护的企业信息资源,这种资源在企业内部有限范围内共享。
当下,有关商业秘密的法律诉讼已不是新鲜事。20xx年,安徽一橡塑制品公司员工辞职后入股竞争对手,不仅带走老东家的技术资料,还“抢了”老顾客生意。法院采取“实质性相同加接触”规则推定其与新东家构成侵权,判赔80万元。据德国《经济周刊》网站20xx年12日报道,荷兰警方日前逮捕了一名65岁男子,该男子为西门子员工,涉嫌将西门子商业机密泄露给中国企业,荷兰检察院目前正对此案展开调查。
以上两个案例中的企业商业秘密保护的一个侧面。大数据时代的核心是资源共享,任何企业都不是一个封闭的组织,任何组织和个人都可以有偿或者无偿获得他们所需要的信息。因此,要做好企业的信息安全工作,必须厘清商业秘密保护与信息安全之间的关系。商业秘密保护的对象是企业的技术或经营信息,因此商业秘密保护的本质也是保护信息安全。
泄密事件层出不穷,泄密手段越来越高科技。大部分企业在信息安全工作中,存在一些典型的误区:业务部门认为没有商业秘密可言,搞信息安全只是IT 部门的事情;业务部门不知道哪些信息属于商业秘密,信息安全工作推进没有依据;业务部门的海量信息都需要保护,保护范围无限扩大,见图1。
2 信息安全工作不能奔走救火
市场经济竞争越来越激烈,泄密风险越来越多,商业秘密的价值越来越高。泄密的途径和方式多种多样,要想做好信息安全工作,我们必须要了解主要的泄密途径。
(1)内部泄密。堡垒最容易从内部被攻破,在企业商业秘密泄密事件中,由于核心员工跳槽带走商业秘密而造成的泄密事件时有发生而且占有很大的比例。据统计,企业内部涉密人员侵犯商业秘密案件占全部案例的82.5%。人员流动是企业发展过程中所面臨的并且是无法回避的问题,在企业的商业秘密保护工作中,如何防止核心员工跳槽带走商业秘密,人员管理固然是很重要的一个环节,但还应伴随着一系列的管理措施。对于企业来说,证明商业秘密的存在本身就很困难,要证明企业员工是否利用了这种信息难度更大,尤其是难以区分一般信息与商业秘密信息的差别。所以,应通过竞业限制条款以尽可能地避免员工利用商业秘密。
(2)商业秘密信息管理不善。一些企业中存在着很多这样的情况,企业一边将一些技术文件、客户资料和信息不分级别随意管理,任何员工甚至未经任何手续就能随意使用和得到这些信息,另一边声称自己的商业秘密被泄露要加强管理甚至要进行索赔等,这种状况是很难寻求到法律支持和保护的。所以,我们强调确定企业的商业秘密范围,明确商业秘密保护的对象是商业秘密保护工作的关键环节。
(3)接待外来人员采访、参观、考察、实习中疏忽大意。这样的实例很多,我国一些具有“独特工艺”的传统产品企业就是在接待参观和考察中,被人窃取“机密”。改革开放之初,日本人借着我国地方官员和民众热情迎接外宾,毫无商业保密头脑的机会,来泾县“参观考察”中国宣纸制造,官员和工厂负责及技术人员陪同参观,每一道制作工艺详细讲解,从而日本人轻而易举获取了宣纸制造的整个流程,以及“纸药”的配方。如果企业能重视到商业秘密的保护,此种损失完全可以避免或降低。参观应避开敏感区域,勿作详细解释,勿对生产制造工艺进行演示,并要求来访者参观商业秘密设备时签订保密协议。
(4)对外发布信息。竞争对手通过公开的信息收集的合法途径同样能够获取企业商业秘密。还有一些企业甚至盯着对手公司经常使用的垃圾箱,从垃圾箱中翻阅废弃资料,从而检索有用信息。对此,企业一定要引起注意,最好建立严格的信息审批规章制度和办事程序。比如信息公布、报废产品、实验废品和产品的处理,展览、新闻和广告发布等,均需通过严密的信息处理和审批,以防无意中泄密。
为了解决一个个具体的问题而立即行动,效果不会很好,久而久之,信息安全保护措施会流于形式、奔走救火。企业要防止自己的商业秘密被竞争对手窃取,必要采取各种保护措施。保护措施越多,保护效果越好,但同时保护成本也会增大,消耗企业的财富。但如果企业对商业秘密投入不足,会使保护能力欠缺,导致重要的商业秘密资产被泄密,企业面临的损失可能会更大。因此,企业必须使投入的保护成本与需要保护的商业秘密资产价值相适应。
3 保护信息安全的目标是降低风险
就商业秘密而言,没有绝对的安全,只有相对的.安全。信息安全的目的是,保护信息免受各种威胁的损害,以确保业务连续性,业务风险最小化,投资回报和商业机遇最大化。泄密风险只能降低,不可能杜绝。商业秘密范围的确定是商业秘密保护最基础的工作,只有准确的定义、识别并确定自己企业需要保护的商业秘密范围,才有可能采取有效措施对范围之内的商业秘密进行保护,如果范围确定的不准确,就可能使商业秘密面临缺乏保护或保护过度的风险。在明确商业秘密的范围和定义的前提下,首先要做好“定密”工作,其次要做好“分级”工作,最后在采用各种手段去做“保密”工作。
参考文献
[1] 魏亮.云计算安全风险及对策研究[J].邮电设计技术,(10).
[2] 徐祖哲.企业信息化与商业秘密保护[J].中国科技投资,(2).
[3] 欧阳有慧.商业秘密的企业应对[J].商场现代化,2009(1).
[4] 王红一.免予公开的商业秘密的界定问题[J].暨南学报, (5).
[5] 冯晓青.试论商业秘密法的目的与利益平衡[J].天中学刊, (12).
[6] 李秋容.个体利益与公共利益的博弈与平衡[J].电子知识产权,2004(7).
篇12:网络环境下的企业信息安全管理策略论文
网络环境下的企业信息安全管理策略论文
摘要:随着信息技术的不断发展,信息化开始深入到了人们的日常工作与生活中,信息系统的安全也受到了人们的广泛关注。想要确保网络与信息系统的正常使用,就要求企业中的管理人员要不断提高对息信息安全的管理力度,提高控制的效果,运用好网络协议,保证企业中信息的安全与可靠。基于此本文针对网络环境下的企业信息安全管理进行了简要阐述,并提出几点个人看法,仅供参考。
关键词:企业信息安全;网络环境;安全管理
在信息全球化的影响下,网络已经对人们的生活产生出了极为深刻的影响。因此,人们对网络环境下的信息安全问题也开始更加关注。在长期的发展过程中,人们将网络比喻成了一把双刃剑,虽然存在着较大的优势,但是其问题也不容小觑。在企业中运用网络,在促进企业发展的同时,也很容易造成企业中的信息出现泄漏的现象,且一旦信息泄漏,就会造成严重的影响。
1、企业中信息安全的重要性
企业想要实现长远的发展,就要保证自身信息上的安全,同时还要认识到信息安全的重要性,从长远的角度上出发来保护好信息。企业想要实现发展,就要做好基础性的工作,完善基础设施建设,建立出完善的信息安全保障系统,在健康的网络环境下来实现长远的发展。随着科学技术的不断发展,云计算、大数据以及互联网等将引领着未来IT的发展。
2、做好企业信息安全建设的措施
对于企业信息安全来说,是一项系统性的工程,并需要在技术与管理上做好相关工作,这样才能保证信息的安全。因此,在实际中就要认识到技术在信息安全管理中的重要性,同时还要完善系统的管理工作,发挥出应有的作用与效果,同时还要做好风险评估与技术创新等工作,以此来保证企业中信息的安全。
2.1安全风险评估
随着网络的不断发展,信息的种类也开始逐渐增多,这样所产生的问题也在不断的增多,并呈现出了越来越厉害的趋势,所以也就使得人们开始思考筹划信息系统的过程中,为了保证系统的健康营运而建造出全面的安全保障系统。通过对目前的应用系统进行分析与评估等工作是实际可行的办法。因此,在实际中企业中的信息系统根据风险管理的方法来对可能存在的风险以及需要进行保护的信息进行分析,以风险评估为最终结果来选择出适当的措施,应对好可能出现的风险。企业只有对安全风险进行有效的评估,才能够结合实际问题进行科学合理的分析,采取有效的措施避免风险出现。
2.2实际技术上的创新与管理
时代的发展是建立在创新基础之上的,只有实现不断的创新,才能实现更好的发展。因此,在技术不断创新的影响下,就要提高其质量,保证效益,建立出以市场发展为基础的创新机制。对于企业来说,想要在行业市场竞争中占据一席之地,就要做好创新工作,全面实现创新理念,认识到制度创新是技术创新的基础,构建出完善的管理体系,提高程序以及方法上的科学性,同时还要保证财力上的支持,实现技术的改进与创新。
首先,要做好技术上的创新。想要保证信息的安全,就要制定出信息的抢救措施,如进行数据恢复、备份以及销毁等安全预防措施。普遍采用的恢复技术有HDDoctor等。对于网络的正常运行来说,安全是最基础的,想要保证网络的安全,就要从多个层面上出发来进行立体保护。同时还要明确怎样进行防护,掌握风险的来源。因此,在实际中就要对网络安全风险进行评估,并将重点放在安全测试评估技术上。其目标是要掌握好相关的技术,完善的测评流程,健全风险评估的体系。
其次,完善管理措施。在长期的发展过程中,企业中的信息化建设开始从战术地位向着战略地位的方向发展了。因此,就要从经营战略的层面上出发,将信息化建设与企业中的经营战略结合在一起,在环境分析的.基础上来制定出发展战略,及时对企业中的信息化纲领进行调整。同时还要明确的是要在满足企业发展战略的基础上来明确企业中的信息化愿景。第一,建立出完善的管理制度,明确管理的方案,以及安全服务等方面的内容,从企业自身的实际情况上出发没离开选择可以保证企业自身信息安全的产品。第二,建立出运维管理制度。在这一制度中要包含安全监控、设备设施的安全以及应急预案的处理等方面。第三,将监督检查机制落实到实际中去。通过对各项制度的实际情况进行检查,可以保证企业中信息的安全。
2.3充分运用防火墙技术
在网络信息安全的管理中,防火墙技术属于一项较为有效的安全技术,能够按照特定的规则,从而来允许以及限制数据的通过。现今很多企业都广泛应用防火墙技术,以此来保证自身企业的信息安全。并且防火墙自身具有很强的抗攻击性,不会被病毒所控制。防火墙能够有效防止黑*访问用户的及其,以此来组织黑*拷贝篡改用户的信息,以此来保证信息的安全。同时防火墙技术能够将内部的网络进行划分,从而来将重点的网段进行隔离,以此来对其进行保护。另外,一些防火墙技术也会支持互联网服务特性的企业内部构建网络技术体系,也即是所谓的VPN,VPN会将全球的LAN以及电子网进行整合,从而来专用通信线路,实现资源的共享。
3、结语
总的来说,想要保证企业中的信息安全,就要坚持从信息安全技术与做好内部管理工作上出发,通过安全技术的支撑来提高内部管理工作的效果,同时还要落实管理与监控工作,加强信息安全教育,建立出完善的管理制度,提高安全管理的水平。
【企业信息安全治理框架论文】相关文章:
8.安全论文
文档为doc格式
