導(dǎo)言：作為寫作愛好者，不可錯(cuò)過為您精心挑選的10篇企業(yè)信息安全的問題，它們將為您的寫作提供全新的視角，我們衷心期待您的閱讀，并希望這些內(nèi)容能為您提供靈感和參考。

篇1

新時(shí)期下，信息化技術(shù)在各行業(yè)中運(yùn)用日漸深入，給企業(yè)現(xiàn)代化建設(shè)與快速發(fā)展帶來了無限動(dòng)力。企業(yè)信息化建設(shè)已成為我國(guó)經(jīng)濟(jì)信息化建設(shè)能否成功的關(guān)鍵所在，也是提升企業(yè)自身市場(chǎng)競(jìng)爭(zhēng)力與企業(yè)升級(jí)進(jìn)步的重要保證和標(biāo)志[1]。但是，企業(yè)信息化建設(shè)過程中不可避免的出現(xiàn)信息安全問題，給企業(yè)正常生產(chǎn)經(jīng)營(yíng)帶來諸多不利影響。因此，加強(qiáng)企業(yè)信息化建設(shè)中信息安全管理，已成為現(xiàn)代企業(yè)經(jīng)營(yíng)管理的一個(gè)至關(guān)重要的工作。

1企業(yè)信息化概述

所謂的企業(yè)信息化，指的是實(shí)現(xiàn)企業(yè)的資金流、物流、作業(yè)流、信息流的數(shù)字化、網(wǎng)絡(luò)化管理，實(shí)行企業(yè)運(yùn)行的自動(dòng)化和企業(yè)制度的現(xiàn)代化[2]。企業(yè)信息化建設(shè)涉及了企業(yè)生產(chǎn)經(jīng)營(yíng)中的各個(gè)部門，其主要利用現(xiàn)代化信息技術(shù)，通過完善企業(yè)內(nèi)外網(wǎng)絡(luò)信息系統(tǒng)，實(shí)現(xiàn)對(duì)企業(yè)內(nèi)外知識(shí)與信息資源的開發(fā)?？梢?，建設(shè)企業(yè)信息化體系，不但可以及時(shí)有效的提供各種數(shù)據(jù)信息給企業(yè)決策層，也為企業(yè)未來規(guī)劃設(shè)計(jì)提供參考依據(jù)，而且還有利于企業(yè)滿足瞬息萬變的市場(chǎng)需求，為企業(yè)市場(chǎng)核心競(jìng)爭(zhēng)力的提升帶來動(dòng)力。

2當(dāng)前企業(yè)信息化建設(shè)中信息安全問題

企業(yè)信息化建設(shè)與發(fā)展為企業(yè)持續(xù)、健康、穩(wěn)定發(fā)展發(fā)揮了顯著作用，但同時(shí)也存在著諸多信息安全問題，具體分析主要有以下幾方面[3]：（1）當(dāng)前，絕大多數(shù)企業(yè)缺乏完善的安全防御系統(tǒng)，導(dǎo)致企業(yè)內(nèi)部使用的信息系統(tǒng)易遭受外部網(wǎng)絡(luò)系統(tǒng)的攻擊，引發(fā)企業(yè)信息資料被他人截獲、篡改與偽造等問題，甚至企業(yè)信息系統(tǒng)中出現(xiàn)通信線路、硬盤設(shè)施以及其他文件系統(tǒng)遭惡意破壞現(xiàn)象，上述問題的發(fā)生不但致使企業(yè)信息系統(tǒng)無法正常運(yùn)行，而且其內(nèi)部機(jī)密信息易發(fā)生泄漏，造成企業(yè)嚴(yán)重的社會(huì)經(jīng)濟(jì)損失。（2）針對(duì)郵件系統(tǒng)攻擊防不甚防。在企業(yè)信息系統(tǒng)中電子郵件具有重要的作用，通過電子郵件接收與傳送，極大的方便了企業(yè)內(nèi)部間與外部間信息交流與溝通。然而，電子郵件安全問題也日益突出，典型的如電子郵件病毒、垃圾郵件、機(jī)密信息泄露以及電子郵件炸彈等，給企業(yè)信息傳輸帶來了巨大安全隱患。因此，電子郵件安全問題不可忽視。（3）漏洞攻擊日益嚴(yán)重。按照漏洞問題發(fā)生原因可分為軟件漏洞和協(xié)議漏洞兩種，其中軟件漏洞主要是受外部不法分子攻擊軟件自身存在的漏洞，造成企業(yè)信息泄露等問題；而協(xié)議漏洞則主要是由于TCP/IP協(xié)議自身在安全機(jī)制方面存在的諸多漏洞問題導(dǎo)致，外部不法人員通過攻擊TCP/IP協(xié)議漏洞，致使企業(yè)信息系統(tǒng)遭受破壞。目前情況，很多企業(yè)對(duì)自身信息系統(tǒng)缺乏成熟的漏洞檢測(cè)手段和能力，往往事發(fā)后才采取補(bǔ)救措施。（4）是Web服務(wù)安全問題突出，根據(jù)Web服務(wù)流程，其發(fā)生安全問題的主要組成包括Web服務(wù)端安全問題、瀏覽器客戶端安全問題兩種。其中，Web服務(wù)端安全問題主要是企業(yè)Web主機(jī)遭受外部不法分子侵入，導(dǎo)致企業(yè)保密信息遭竊或者企業(yè)部分信息遭受非法篡改等；瀏覽器客戶端安全問題則是企業(yè)瀏覽器客戶端遭外部非法分子侵入，致使部分機(jī)密信息與數(shù)據(jù)遭竊等。

3導(dǎo)致企業(yè)信息化建設(shè)中信息安全問題因素

企業(yè)信息化建設(shè)中信息安全問題發(fā)生受諸多因素影響，具體分析主要有以下幾方面[4]：（1）目前，絕大多數(shù)企業(yè)在信息化建設(shè)過程中，對(duì)于信息安全問題重視度嚴(yán)重不足。一方面，受傳統(tǒng)經(jīng)營(yíng)觀念影響，企業(yè)管理層偏重于對(duì)企業(yè)生產(chǎn)經(jīng)營(yíng)中的有形資產(chǎn)給予關(guān)注與重視，而忽略了企業(yè)知識(shí)與信息資料等無形資源，導(dǎo)致在企業(yè)信息安全管理方面各項(xiàng)投入嚴(yán)重不足，進(jìn)而造成信息安全問題日益凸顯；另一方面，多數(shù)企業(yè)在面對(duì)信息安全問題時(shí)，存在著盲目樂觀現(xiàn)象，認(rèn)為信息安全問題不至于導(dǎo)致企業(yè)正常生產(chǎn)經(jīng)營(yíng)，使得信息安全管理無法上升至企業(yè)發(fā)展規(guī)劃戰(zhàn)略之中，進(jìn)而造成信息安全問題得不到及時(shí)有效解決。（2）由于企業(yè)信息化建設(shè)在我國(guó)尚處于起步階段，各方面配套管理制度不夠完善，特別是缺乏健全的企業(yè)信息安全管理體制。受此影響，企業(yè)信息化建設(shè)中信息安全問題一方面無法得到有效的預(yù)防措施，另一方面是一旦發(fā)生信息安全問題，無法采取及時(shí)有效的補(bǔ)救與解決對(duì)策。同時(shí)，由于缺乏科學(xué)、合理、有效的企業(yè)信息安全防護(hù)策略，使得企業(yè)信息管理人員缺乏必要的安全防護(hù)意識(shí)與業(yè)務(wù)素質(zhì)能力，致使企業(yè)信息安全防護(hù)軟硬件工作質(zhì)量與效率明顯不足。上述兩個(gè)因素，導(dǎo)致企業(yè)無論是從人員配置，還是資金與技術(shù)投入方面都嚴(yán)重不足，受企業(yè)信息管理人員業(yè)務(wù)素質(zhì)能力不足、信息安全技術(shù)方法落后以及配套的資金缺乏等影響，企業(yè)信息安全防護(hù)的措施、手段偏低，造成企業(yè)信息化建設(shè)存在著嚴(yán)重安全隱患。

4提升企業(yè)信息化建設(shè)中信息安全對(duì)策

針對(duì)當(dāng)前企業(yè)信息化建設(shè)中存在的信息安全問題，為加強(qiáng)企業(yè)信息安全管理，提升企業(yè)信息安全保障，可通過采取以下幾方面對(duì)策，具體有[5]：（1）轉(zhuǎn)變傳統(tǒng)企業(yè)信息化建設(shè)觀念，在企業(yè)內(nèi)部管理層從上至下加強(qiáng)對(duì)企業(yè)信息安全的重視，并樹立正確的安全意識(shí)。一方面，通過組織各種信息安全管理培訓(xùn)等，增強(qiáng)全體企業(yè)員工信息安全意識(shí)，確保企業(yè)保密信息不外漏；另一方面，逐步加大企業(yè)信息化建設(shè)中信息安全管理各項(xiàng)資金、技術(shù)、人力投入，并建立科學(xué)、合理、有效的企業(yè)信息安全防護(hù)策略，保障企業(yè)信息系統(tǒng)安全穩(wěn)定。（2）不斷的推進(jìn)網(wǎng)絡(luò)信息技術(shù)的發(fā)展與運(yùn)用，促進(jìn)企業(yè)組織結(jié)構(gòu)網(wǎng)絡(luò)化的實(shí)現(xiàn)，同時(shí)引進(jìn)先進(jìn)的安全防護(hù)技術(shù)，確保企業(yè)信息化系統(tǒng)安全穩(wěn)定運(yùn)行。任何網(wǎng)絡(luò)信息系統(tǒng)都存在著或大或小的安全漏洞問題，而保證其不受外部不法分子侵入的一個(gè)關(guān)鍵方法就是安全防護(hù)技術(shù)的運(yùn)用。通過選用先進(jìn)的安全防護(hù)技術(shù)，可以有效的提高企業(yè)信息系統(tǒng)抵抗外來攻擊，避免企業(yè)信息遭受竊取、篡改甚至破壞等，對(duì)于保障企業(yè)持續(xù)、健康、穩(wěn)定發(fā)展具有顯著作用。（3）結(jié)合企業(yè)信息化建設(shè)實(shí)際情況，建立健全企業(yè)內(nèi)部信息系統(tǒng)管理體制。一方面，針對(duì)信息安全問題，應(yīng)建立科學(xué)、合理、規(guī)范的信息安全管理體制，保證企業(yè)信息系統(tǒng)安全運(yùn)行；另一方面，建立健全企業(yè)安全風(fēng)險(xiǎn)評(píng)估機(jī)制，針對(duì)不同系統(tǒng)找出影響其安全的因素和漏洞，并制定出最佳的對(duì)策，降低企業(yè)信息安全風(fēng)險(xiǎn)；此外，加強(qiáng)相應(yīng)的網(wǎng)絡(luò)管理，防止外來不法分子通過網(wǎng)絡(luò)侵入企業(yè)信息系統(tǒng)。（4）根據(jù)新時(shí)期企業(yè)信息化建設(shè)需要，加強(qiáng)企業(yè)信息技術(shù)人才、信息管理人才隊(duì)伍建設(shè)，為企業(yè)信息安全管理奠定堅(jiān)實(shí)的人才基礎(chǔ)。一方面，在企業(yè)內(nèi)部，加強(qiáng)信息技術(shù)人才培訓(xùn)，提高企業(yè)內(nèi)部相關(guān)人才業(yè)務(wù)素質(zhì)能力；另一方面，在企業(yè)外部，采取有效措施，積極招聘人才，引進(jìn)具有先進(jìn)信息技術(shù)型人才；此外，建立健全企業(yè)信息安全管理用人機(jī)制，激發(fā)員工工作積極性，提高工作質(zhì)量與效率。

5小結(jié)

總而言之，企業(yè)信息安全事關(guān)企業(yè)信息化建設(shè)是否成功，對(duì)于企業(yè)持續(xù)、健康、穩(wěn)定發(fā)展具有至關(guān)重要的作用。因此，應(yīng)提高企業(yè)信息安全管理意識(shí)，增強(qiáng)企業(yè)信息安全管理機(jī)制，促進(jìn)企業(yè)信息安全管理工作質(zhì)量與效率，保障企業(yè)信息化建設(shè)順利開展。

作者:吳捷 單位:中海石油氣電集團(tuán)有限責(zé)任公司

參考文獻(xiàn)

[1]毛志勇.企業(yè)信息化建設(shè)的信息安全形勢(shì)與對(duì)策研究[J].科技與產(chǎn)業(yè)，2008，8，（1）：43~45.

[2]纂振法，徐福緣.淺析企業(yè)信息化建設(shè)的意義、問題與對(duì)策[J].吉林省經(jīng)濟(jì)管理干部學(xué)院學(xué)報(bào)，2001，3：24~28.

篇2

中圖分類號(hào)：TP3 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1671-7597（2013）12-0129-02

1 網(wǎng)絡(luò)信息安全現(xiàn)狀

現(xiàn)代企業(yè)的發(fā)展離不開信息網(wǎng)絡(luò)，隨著Web2.0時(shí)代的到來，越來越多的應(yīng)用開始在互聯(lián)網(wǎng)上流行起來，信息網(wǎng)絡(luò)對(duì)提高企業(yè)生產(chǎn)效率、節(jié)約人員成本、獲得產(chǎn)品信息等方面做出了巨大貢獻(xiàn)，企業(yè)開始更為重視自身信息化的建設(shè)。然而，企業(yè)信息化速度的加快為企業(yè)信息安全工作提出了挑戰(zhàn)，在網(wǎng)絡(luò)發(fā)展的背后卻存在著一個(gè)永恒的話題――信息安全。隨著企業(yè)的安全生產(chǎn)、經(jīng)營(yíng)管理等工作越來越依賴信息網(wǎng)絡(luò)，網(wǎng)絡(luò)上的病毒、黑客以及其他不可預(yù)見的因素都對(duì)企業(yè)信息安全帶來巨大威脅，在日趨多樣化、專業(yè)化的攻擊面前使得企業(yè)信息安全正面臨嚴(yán)峻的形式和挑戰(zhàn)。

近年來，網(wǎng)絡(luò)安全問題頻發(fā)，世界上每年遭受網(wǎng)絡(luò)攻擊的政府或者企業(yè)越來越多，2011年卡巴斯基實(shí)驗(yàn)室針對(duì)全球企業(yè)進(jìn)行的IT風(fēng)險(xiǎn)調(diào)查顯示，全球至少61%的企業(yè)遭遇過惡意軟件的攻擊。在互聯(lián)網(wǎng)發(fā)源地―美國(guó)每年就有大約5萬多起黑客攻擊的事件，甚至信息安全工作防護(hù)嚴(yán)密的美國(guó)政府網(wǎng)站也不能幸免，更普通的企業(yè)。互聯(lián)網(wǎng)具有開放性和無國(guó)界的特點(diǎn)，這就使得對(duì)網(wǎng)絡(luò)攻擊事件具有全球普遍性，我國(guó)也不能幸免，據(jù)國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心的統(tǒng)計(jì)報(bào)告顯示，我國(guó)每年有80%的企業(yè)、政府機(jī)關(guān)的網(wǎng)絡(luò)系統(tǒng)曾經(jīng)遭受過病毒或黑客的攻擊。瑞星公司在2012年的《中國(guó)信息安全報(bào)告》中指出，我國(guó)共有超過7億網(wǎng)民被病毒感染過，2009年上半年國(guó)內(nèi)被掛馬的網(wǎng)頁數(shù)量突破2億。例如2011年6月28日，新浪微博出現(xiàn)了一次比較大的XSS攻擊事件，20：14，開始有大量帶V的認(rèn)證用戶中招轉(zhuǎn)發(fā)蠕蟲；20：30，中的病毒頁面無法訪問；20：32，新浪微博中hellosamy用戶無法訪問。據(jù)統(tǒng)計(jì)，中國(guó)互聯(lián)網(wǎng)用戶每年因?yàn)榫W(wǎng)絡(luò)安全損失被“黑掉”的錢財(cái)高達(dá)76億。

上述網(wǎng)絡(luò)信息安全問題的出現(xiàn)為國(guó)企業(yè)敲響了警鐘，需要下大力氣加強(qiáng)網(wǎng)絡(luò)信息安全的防范和設(shè)計(jì)。

2 企業(yè)信息安全策略設(shè)計(jì)

2.1 病毒防護(hù)和查殺策略

病毒是信息安全的殺手，從病毒發(fā)作的情況來看，病毒的攻擊目標(biāo)沒有特定性，而且越來越隱蔽。從個(gè)人網(wǎng)站到企業(yè)網(wǎng)絡(luò)，無不受其所害，曾經(jīng)有網(wǎng)絡(luò)公司的防火墻被不明身份的黑客攻破了，牽扯到大量的用戶信息，用戶在該支付平臺(tái)注冊(cè)的電子郵箱以及登錄密碼面臨極大風(fēng)險(xiǎn)。面對(duì)各式各樣且不斷發(fā)展演變中的病毒，企業(yè)對(duì)信息系統(tǒng)的日常維護(hù)和管理就顯得尤為

重要。

企業(yè)網(wǎng)絡(luò)部門工作人員要定期給辦公司電腦操作系統(tǒng)存在的安全漏洞打補(bǔ)丁，還要給每個(gè)客戶端都設(shè)置可靠的防毒軟件、防火墻、漏洞掃描系統(tǒng)、日志系統(tǒng)，加強(qiáng)入侵檢測(cè)和補(bǔ)丁管理，對(duì)企業(yè)遭受到的病毒攻擊進(jìn)行集中分析，掌握企業(yè)計(jì)算機(jī)系統(tǒng)中存在的安全隱患，采取有效的措施和方法防范由于病毒感染導(dǎo)致企業(yè)重要信息出現(xiàn)泄漏或者破壞。同時(shí)網(wǎng)絡(luò)技術(shù)人員也要對(duì)公司所有電腦進(jìn)行防病毒軟件升級(jí)工作，確保網(wǎng)絡(luò)內(nèi)所有服務(wù)器和終端計(jì)算機(jī)都安裝防病毒軟件，將殺病毒軟件設(shè)置成為自動(dòng)升級(jí)狀態(tài)，及時(shí)更新病毒特征碼和系統(tǒng)補(bǔ)丁，防止由于個(gè)人疏忽造成沒有及時(shí)升級(jí)帶來病毒庫(kù)的安全威脅，保證企業(yè)信息系統(tǒng)的正常運(yùn)行。

另外對(duì)于企業(yè)而言，無論是服務(wù)器還是終端計(jì)算機(jī)都要加強(qiáng)防火墻設(shè)置，對(duì)外部入侵行為或者其他不安全的行為進(jìn)行攔截，實(shí)際運(yùn)行時(shí)，可以根據(jù)企業(yè)信息系統(tǒng)的需要，將一些服務(wù)器中不使用的端口關(guān)閉，盡量避免進(jìn)行一些具有安全隱患的服務(wù)，防止利用這些端口或者服務(wù)進(jìn)行外部攻擊的行為發(fā)生。當(dāng)然，網(wǎng)絡(luò)技術(shù)人員要對(duì)不同端口的作用十分清楚，避免將企業(yè)信息系統(tǒng)正常運(yùn)行的關(guān)閉，造成企業(yè)信息系統(tǒng)不能正常運(yùn)行。

2.2 保證企業(yè)信息系統(tǒng)的平穩(wěn)運(yùn)行

保護(hù)企業(yè)信息系統(tǒng)的平穩(wěn)運(yùn)行，維護(hù)主要業(yè)務(wù)系統(tǒng)的安全，是現(xiàn)代企業(yè)網(wǎng)絡(luò)信息安全的基本要求。企業(yè)信息系統(tǒng)的平穩(wěn)運(yùn)行包括多個(gè)方面，有操作登記的分配、用戶賬戶與口令的保護(hù)、個(gè)人訪問權(quán)限、用戶身份驗(yàn)證等多個(gè)方面。我們需要做好以下工作。

1）做好重要資料備份工作。當(dāng)服務(wù)器或者硬盤發(fā)生故障時(shí)，重要的企業(yè)數(shù)據(jù)會(huì)受到嚴(yán)重威脅，但往往公司簡(jiǎn)單的數(shù)據(jù)安全、信息安全體系對(duì)企業(yè)數(shù)據(jù)恢復(fù)、服務(wù)器數(shù)據(jù)恢復(fù)束手無策。為了保證信息系統(tǒng)的正常運(yùn)行和業(yè)務(wù)的正常開展，專業(yè)的企業(yè)數(shù)據(jù)恢復(fù)、服務(wù)器數(shù)據(jù)恢復(fù)格外重要。大多數(shù)企業(yè)采用備份手段來解決日常的數(shù)據(jù)安全問題，企業(yè)在購(gòu)買安裝和配置服務(wù)器時(shí)，通常采用常見的兩臺(tái)服務(wù)器“一用一備”。企業(yè)網(wǎng)絡(luò)技術(shù)人員將重要信息備份在一些光盤、U盤或者移動(dòng)硬盤上，然后將其放置在不同的地方，避免同時(shí)受損害或者丟失，最大限度的保障企業(yè)信息安全和數(shù)據(jù)的完整性。

2）加強(qiáng)對(duì)關(guān)鍵業(yè)務(wù)系統(tǒng)的管理。關(guān)鍵業(yè)務(wù)系統(tǒng)應(yīng)該具有最高的網(wǎng)絡(luò)安全措施，其安全需求主要包括：訪問控制，確保業(yè)務(wù)系統(tǒng)不被非法訪問，保證數(shù)據(jù)不被網(wǎng)絡(luò)內(nèi)部破壞，安全預(yù)警，對(duì)于破壞關(guān)鍵業(yè)務(wù)系統(tǒng)的惡意行為能夠及時(shí)發(fā)現(xiàn)、記錄和跟蹤等。2011年，韓國(guó)現(xiàn)代資本、韓國(guó)農(nóng)協(xié)銀行都遭受電腦黑客襲擊，電腦網(wǎng)絡(luò)癱瘓了三天，數(shù)以萬計(jì)的客戶受影響。這次攻擊事件就是以IT運(yùn)維部門的用戶機(jī)位跳板實(shí)施的，背后原因是因?yàn)檫@些銀行對(duì)最高級(jí)別權(quán)限管理不足，也沒有基本的隔離安全機(jī)制，筆記本都可以直接連入外網(wǎng)，黑客通過竊取內(nèi)部合法用戶的權(quán)限進(jìn)行非法活動(dòng)?？梢?，企業(yè)應(yīng)該加強(qiáng)對(duì)用戶權(quán)限的管理；另外，在必要時(shí)進(jìn)行網(wǎng)絡(luò)隔離甚至物理隔離是必然的要求。同時(shí)，也要加強(qiáng)平時(shí)對(duì)于合法用戶的行為審計(jì)，防范合法權(quán)限被濫用或被利用等情況的發(fā)生。

3）加強(qiáng)企業(yè)網(wǎng)絡(luò)安全平臺(tái)建設(shè)。目前很多公司推出的安全平臺(tái)，就是依靠安全芯片為載體，通過軟硬件的結(jié)合，可以為用戶提供更加私密的加密存儲(chǔ)空間，這樣就可以將客戶信息、賬戶信息等高度機(jī)密的信息安全存放起來。根據(jù)不同的場(chǎng)景需求，還可以通過安全平臺(tái)搭建內(nèi)部機(jī)密信息共享平臺(tái)或工作組，比如某公司在進(jìn)行專項(xiàng)會(huì)議時(shí)或者涉及商業(yè)機(jī)密文件共享時(shí)，可以建立起相對(duì)封閉的局域工作網(wǎng)絡(luò)，讓各部門的總監(jiān)或管理層在同一局域網(wǎng)內(nèi)共享機(jī)密信息，其他員工則沒有查看服務(wù)器或者重要信息的權(quán)限。同時(shí)，還能夠避免通過郵件、病毒、木馬等非法手段盜取數(shù)據(jù)，造成不必要的損失。

2.3 健全有效的信息安全管理制度

沒有安全管理，就沒有信息安全。真正的網(wǎng)絡(luò)安全實(shí)際上靠的不是這個(gè)或那個(gè)安全產(chǎn)品，而是自身固有的安全意識(shí)。尋求解決安全問題的根本方法在于不僅要具備安全可信的辦公電腦，也要建立更加完善的數(shù)據(jù)安全管理制度。真正實(shí)現(xiàn)企業(yè)的信息安全管理僅僅依靠技術(shù)手段是不夠的，必須對(duì)規(guī)章制度上加強(qiáng)企業(yè)人員的信息安全防范意識(shí)。

1）做好員工的培訓(xùn)的管理。信息只是一種編碼形式，人才是信息的操作者，每個(gè)環(huán)節(jié)中安全隱患的最終來源都是人。為了能夠加強(qiáng)企業(yè)工作人員的信息安全防范意識(shí)，企業(yè)要加強(qiáng)對(duì)公司員工的系統(tǒng)培訓(xùn)，從計(jì)算機(jī)基本知識(shí)到信息安全防范的具體方法都要進(jìn)行細(xì)致講解，針對(duì)一些員工在日常使用計(jì)算機(jī)過程中不規(guī)范行為進(jìn)行及時(shí)矯正，針對(duì)一些年紀(jì)較大的、對(duì)計(jì)算機(jī)不是十分熟悉的老員工，企業(yè)網(wǎng)絡(luò)技術(shù)人員要現(xiàn)場(chǎng)演示操作，讓員工養(yǎng)成良好的使用習(xí)慣。同時(shí)要甄選出有豐富計(jì)算機(jī)操作經(jīng)驗(yàn)的人員負(fù)責(zé)每個(gè)部分電腦的日常清潔、維護(hù)和管理，負(fù)責(zé)對(duì)部門電腦病毒庫(kù)的升級(jí)、電腦的內(nèi)部清理等工作，確保企業(yè)信息安全。

2）加強(qiáng)系統(tǒng)運(yùn)行環(huán)境和維護(hù)管理，要加強(qiáng)對(duì)機(jī)房電源、空調(diào)系統(tǒng)、消防系統(tǒng)、監(jiān)控系統(tǒng)、門禁裝置等基礎(chǔ)設(shè)施的維護(hù)和管理，確保其可靠、正常的運(yùn)行。嚴(yán)禁非系統(tǒng)管理人員隨意進(jìn)入機(jī)房，嚴(yán)禁在機(jī)房?jī)?nèi)抽煙。嚴(yán)格落實(shí)機(jī)房巡視、系統(tǒng)巡檢、運(yùn)行測(cè)試、操作審批、機(jī)房出入登記、信息安全故障上報(bào)等工作制度。嚴(yán)禁在機(jī)房的服務(wù)器上瀏覽網(wǎng)頁、隨意下載軟件、打游戲等。

3 結(jié)束語

總之，對(duì)于現(xiàn)代企業(yè)而言，信息技術(shù)的發(fā)展給企業(yè)信息安全帶來巨大隱患，企業(yè)的信息安全也越來越受到信息安全部門和企業(yè)管理者的重視。信息安全工作是一個(gè)全方位的系統(tǒng)工程，每個(gè)企業(yè)面臨的信息安全環(huán)境不同，企業(yè)應(yīng)該結(jié)合自己實(shí)際情況，從思想上、技術(shù)上、管理上多管齊下，采取有針對(duì)性的信息安全策略，才能最大限度的降低信息安全威脅、保證企業(yè)信息安全，為企業(yè)健康長(zhǎng)遠(yuǎn)發(fā)展保駕護(hù)航。

參考文獻(xiàn)

[1]陳澤徐.淺析企業(yè)網(wǎng)絡(luò)安全策略[J].電腦知識(shí)與技術(shù)，2009（09）.

[2]沈傳案，王吉偉.企業(yè)網(wǎng)絡(luò)安全解決方案[J].計(jì)算機(jī)與信息技術(shù)，2008（06）.

[3]冼沛勇.企業(yè)網(wǎng)絡(luò)安全解決方案[J].石油工業(yè)計(jì)算機(jī)應(yīng)用，2004（02）.

[4]牛金才.企業(yè)網(wǎng)絡(luò)安全解決方案淺析[J].煤，2003（02）.

[5]石亦歌.企業(yè)網(wǎng)絡(luò)安全解決方案[J].安防科技，2003（03）.

篇3

前言

當(dāng)前，信息化建設(shè)已經(jīng)成為了各類企業(yè)建設(shè)和發(fā)展的重點(diǎn)內(nèi)容，企業(yè)通過信息化建設(shè)的方式，讓自身生產(chǎn)與流通工作可以更順利地進(jìn)行，并利用互聯(lián)網(wǎng)，創(chuàng)造出現(xiàn)代企業(yè)新型發(fā)展模式。但是，就實(shí)際情況而言，企業(yè)的信息化建設(shè)并不是一直處于一個(gè)平穩(wěn)的發(fā)展?fàn)顟B(tài)，在其發(fā)展的過程中也會(huì)受到諸多內(nèi)部或外部因素的影響和束縛，在信息的安全方面也存在許多的問題，如黑客入侵或是病毒入侵。如果企業(yè)信息存在的安全問題比較嚴(yán)重，不僅會(huì)給企業(yè)信息化建設(shè)造成不利影響，還有可能會(huì)影響到企業(yè)的正常運(yùn)營(yíng)和發(fā)展。

一、造成企業(yè)信息化建設(shè)中的信息安全問題的原因

1.1內(nèi)部原因

①企業(yè)內(nèi)部的信息安全意識(shí)缺乏，目前，雖然很多的企業(yè)都提倡建設(shè)企業(yè)內(nèi)部信息化，但是大部分企業(yè)過于注重信息化建設(shè)過程中得到的利益和優(yōu)勢(shì)，卻忽略了信息化建設(shè)中信息的安全問題。

②軟件安裝的技術(shù)比較落后，黑客與病毒的發(fā)展速度比軟件技術(shù)更新速度快。

③管理操作不得當(dāng)，在對(duì)信息系統(tǒng)進(jìn)行管理與操作的過程中過于粗心大意，給黑客與不法分子和黑客制造了入侵的機(jī)會(huì)，對(duì)企業(yè)的信息安全造成威脅。

④專業(yè)的管理人才缺乏，沒有對(duì)企業(yè)的信息安全系統(tǒng)定制出合理的安全管理策略，且沒有讓專業(yè)的操作人員對(duì)統(tǒng)系統(tǒng)進(jìn)行維護(hù)和升級(jí)，致使企業(yè)信息系存在信息安全隱患[1]。

1.2外部原因

對(duì)于大多數(shù)企業(yè)而言，信息系統(tǒng)中存在的安全威脅大部分來自于外部因素，隨著社會(huì)的不斷發(fā)展，信息建設(shè)在各類企業(yè)市場(chǎng)競(jìng)爭(zhēng)中的地位和作用日益提高，許多的不法分子想盡辦法對(duì)各類企業(yè)的信息進(jìn)行竊取和破壞，以此來獲得自身的利益。還有一部分企業(yè)為了得到競(jìng)爭(zhēng)對(duì)手企業(yè)的各類商業(yè)信息，采用不正當(dāng)?shù)氖侄纹茐幕蚴侨肭謱?duì)手企業(yè)的信息系統(tǒng)，竊取對(duì)方企業(yè)的商業(yè)機(jī)密，以此來打倒對(duì)方。

二、企業(yè)信息化建設(shè)中存在的信息安全問題

2.1企業(yè)不夠重視信息系統(tǒng)的安全問題

就目前而言，國(guó)內(nèi)的大部分企業(yè)都沒有給予信息系統(tǒng)安全問題足夠的重視，沒有意識(shí)到信息系統(tǒng)安全的重要性。近年來，雖然國(guó)內(nèi)信息化建設(shè)得到了快速的發(fā)展，國(guó)內(nèi)企業(yè)的信息安全程度也有所提高，但是大部分的企業(yè)還是沒有意識(shí)到信息安全問題對(duì)企業(yè)的重要性，只看到了信息化建設(shè)給企業(yè)創(chuàng)造的短暫利益，而忽視了信息化建設(shè)信息安全的長(zhǎng)遠(yuǎn)發(fā)展，未針對(duì)信息安全問題采取適當(dāng)?shù)姆婪洞胧?，致使企業(yè)信息化的發(fā)展存在較多的安全隱患。

2.2企業(yè)信息化操作管理不到位

在企業(yè)進(jìn)行信息化建設(shè)的過程中，大多數(shù)的企業(yè)沒有認(rèn)識(shí)到對(duì)企業(yè)信息進(jìn)行科學(xué)管理和操作的重要性。相關(guān)的操作和管理人員在信息化建設(shè)的管理和操作中缺少合理性，導(dǎo)致黑客與入侵者有機(jī)可乘，造成企業(yè)信息外泄。企業(yè)的信息化建設(shè)是一個(gè)全新的的概念，其中的信息系統(tǒng)管理，信息安全系統(tǒng)的維護(hù)與升級(jí)都必須由專業(yè)的操作人員進(jìn)行操作和管理，因此，專業(yè)技術(shù)人員專業(yè)技能的缺乏和個(gè)人的素質(zhì)對(duì)企業(yè)的信息安全有著直接的影響。

2.3可用于信息化建設(shè)的軟件較少

近年來，市場(chǎng)上各種類型的系統(tǒng)軟件越來越多，但是能夠真正用到企業(yè)信息化建設(shè)的系統(tǒng)軟件卻比較缺乏，特別是相較于國(guó)際市場(chǎng)，國(guó)內(nèi)的軟件無論是在適用范圍，還是技術(shù)水平方面都比較落后，這也是給企業(yè)數(shù)據(jù)安全帶來隱患的一大重要原因。

企業(yè)信息化建設(shè)使用的軟件安全性能較低，很容易被病毒或是黑客入侵，從而對(duì)企業(yè)的信息安全造成威脅，雖然大部分的企業(yè)在商業(yè)機(jī)密信息方面設(shè)置了一定的操作權(quán)限，但是在企業(yè)的實(shí)際管理中，比較容易出現(xiàn)員工操作權(quán)限重復(fù)的情況，操作人員的責(zé)任不夠明確，從而導(dǎo)致企業(yè)信息外泄或是數(shù)據(jù)丟失[2]。

三、企業(yè)提高信息化建設(shè)中的信息安全性的對(duì)策

3.1企業(yè)需樹立正確安全意識(shí)

在企業(yè)信息化的發(fā)展進(jìn)程中，企業(yè)應(yīng)該充分了解企業(yè)信息安全問題和企業(yè)發(fā)展之間的關(guān)系。意識(shí)到一旦企業(yè)的重要機(jī)密發(fā)生外泄或者是被竊取，將會(huì)給企業(yè)造成不可估量的損失，并給競(jìng)爭(zhēng)對(duì)手提供有利的機(jī)會(huì)。

因此，企業(yè)應(yīng)該采取適當(dāng)有效的措施，防止信息安全問題的產(chǎn)生，樹立正確的信息安全意識(shí)，以便為企業(yè)未來的信息化發(fā)展打下更好的基礎(chǔ)。

3.2加強(qiáng)企業(yè)內(nèi)部信息系統(tǒng)管理

①正常來說，企業(yè)信息的系統(tǒng)使用任何的安全軟件都有可能被攻擊或被破解。在信息的安全防御過程中，最重要的并不只是信息技術(shù)，管理對(duì)于企業(yè)的信息安全系統(tǒng)來說也非常重要，只有對(duì)企業(yè)的信息進(jìn)行合理、規(guī)范的管理，才能更有效提升企業(yè)信息系統(tǒng)的安全性。因此，合理的對(duì)信息安全管理體系進(jìn)行規(guī)范化建設(shè)，對(duì)于企業(yè)的信息安全管理至關(guān)重要。

②完善企業(yè)安全的風(fēng)險(xiǎn)評(píng)估機(jī)制。企業(yè)信息系統(tǒng)的建設(shè)，并非是利用一種技術(shù)在短時(shí)間內(nèi)能夠完成，在平常的操作與管理中，所有的系統(tǒng)都有自己的優(yōu)勢(shì)與缺點(diǎn)，因此，企業(yè)應(yīng)該針對(duì)本身信息系統(tǒng)的優(yōu)勢(shì)和缺點(diǎn)建立相關(guān)的安全風(fēng)險(xiǎn)評(píng)估機(jī)制，找到對(duì)信息系統(tǒng)安全造成影響的漏洞和原因，并及時(shí)地進(jìn)行處理，以有效降低企業(yè)信息系統(tǒng)被攻擊的可能性。

3.3運(yùn)用安全性較高的防護(hù)軟件

盡管所有的防護(hù)軟件都有辦法破解，但是安全性越高的防護(hù)軟件，破解的難度就越大，企業(yè)信息被竊取或是泄露的可能性也就越低。因此，企業(yè)在對(duì)安全防護(hù)軟件進(jìn)行選擇時(shí)，不應(yīng)該為了節(jié)省企業(yè)的成本，而在信息系統(tǒng)中使用一些安全性較低的防護(hù)軟件，應(yīng)該選技安全系數(shù)較高的防護(hù)軟件，防止信息系統(tǒng)出現(xiàn)安全問題，給企業(yè)帶來更大的經(jīng)濟(jì)損失。

3.4加強(qiáng)企業(yè)的網(wǎng)絡(luò)管理

大多數(shù)的不法分子都是通過網(wǎng)絡(luò)對(duì)各個(gè)企業(yè)的信息進(jìn)行竊取和破壞，因此，企業(yè)需要加強(qiáng)企業(yè)的網(wǎng)絡(luò)管理，以確保企業(yè)信息系統(tǒng)的運(yùn)行可以在安全的狀態(tài)下進(jìn)行。企業(yè)應(yīng)該依據(jù)信息安全的等級(jí)、種類制定出相關(guān)的防護(hù)措施和方案，并提前制定好信息安全事故發(fā)生之后，企業(yè)應(yīng)該采取的解決措施[3]。在企業(yè)的信息安全受到威脅時(shí)，企業(yè)應(yīng)該及時(shí)成立起危機(jī)處理小組，讓該小組依據(jù)信息安全危機(jī)處理的步驟與預(yù)案，進(jìn)行危機(jī)處理，防止危機(jī)處理不當(dāng)而出現(xiàn)更加嚴(yán)重的連鎖危機(jī)。此外，企業(yè)應(yīng)該對(duì)內(nèi)部的員工進(jìn)行信息安全培訓(xùn)與教育，提升員工信息安全管理意識(shí)和安全危機(jī)事件的處理能力，從而有效防止企業(yè)自身失誤而造成的信息安全問題。

四、結(jié)束語

總之，在這個(gè)信息化的時(shí)代，企業(yè)進(jìn)行信息化建設(shè)是其發(fā)展和生存的重要途徑。但就目前而言，我國(guó)大部分的企業(yè)都只看到了信息化建設(shè)的優(yōu)勢(shì)，沒有意識(shí)到信息系統(tǒng)安全問題的重要性，信息系統(tǒng)還處在一個(gè)長(zhǎng)期不設(shè)防的狀態(tài)當(dāng)中，這一情況直接影響了企業(yè)信息系統(tǒng)的安全性。因此，為了提高現(xiàn)代企業(yè)信息系統(tǒng)的安全性，企業(yè)就應(yīng)該重視信息系統(tǒng)的安全問題，樹立正確的信息安全意識(shí)，采取有效的防范措施、不斷完善企業(yè)的信息管理體系，在企業(yè)信息化建設(shè)過程中，對(duì)可能會(huì)影響信息系統(tǒng)安全的因素進(jìn)行全面考慮，以確保企業(yè)信息系統(tǒng)建設(shè)的安全性。

參 考 文 獻(xiàn)

篇4

[關(guān)鍵詞] 安全；信息系統(tǒng)；審計(jì)；虛擬化

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2017. 07. 028

[中圖分類號(hào)] F239.1 [文獻(xiàn)標(biāo)識(shí)碼] A [文章編號(hào)] 1673 - 0194（2017）07- 0058- 04

1 引 言

隨著信息技術(shù)的高速發(fā)展，企業(yè)業(yè)務(wù)對(duì)于IT系統(tǒng)的依賴性不斷增強(qiáng)，信息和業(yè)務(wù)交付的靈活性與信息安全保護(hù)、防止泄露成為實(shí)際工作中的矛盾，企業(yè)IT運(yùn)營(yíng)既要滿足業(yè)務(wù)發(fā)展對(duì)業(yè)務(wù)交付靈活性的要求，又要防止信息泄露，因?yàn)樾畔踩珕栴}關(guān)系到企業(yè)的聲譽(yù)，同時(shí)關(guān)系到企業(yè)的經(jīng)營(yíng)風(fēng)險(xiǎn)，更關(guān)系到國(guó)家的機(jī)密信息安全。

2 目前化工行業(yè)信息安全風(fēng)險(xiǎn)分析

2.1 化工行業(yè)信息化發(fā)展趨勢(shì)

石油化學(xué)工業(yè)是基礎(chǔ)性產(chǎn)業(yè)，在國(guó)民經(jīng)濟(jì)中占有舉足輕重的地位，是我國(guó)的支柱產(chǎn)業(yè)部門之一，化工行業(yè)之所以重視信息化工作，首先與2015年總理提出的“互聯(lián)網(wǎng)+”的大發(fā)展背景密不可分，工藝流程的制定、化工裝置的運(yùn)行、化工產(chǎn)品的銷售都高度依賴于信息化、互聯(lián)網(wǎng)技術(shù)；其次是從化工行業(yè)的自身特點(diǎn)衍生出來的，其產(chǎn)品數(shù)量多、種類多，產(chǎn)品各個(gè)環(huán)節(jié)的各個(gè)控制點(diǎn)特別多，這就要求用信息化技術(shù)能夠?qū)どa(chǎn)中的各個(gè)環(huán)節(jié)產(chǎn)生積極和促進(jìn)作用。

2.2 化工行業(yè)信息安全管理的現(xiàn)狀和挑戰(zhàn)

因?yàn)樾畔踩芾淼囊螅诰W(wǎng)絡(luò)管理層面，石油系統(tǒng)內(nèi)的企業(yè)已經(jīng)建立了完善的內(nèi)、外網(wǎng)隔離的管理平臺(tái)，兩個(gè)網(wǎng)絡(luò)完全物理隔離，不能互相訪問；石油系統(tǒng)內(nèi)還部署了病毒防御、主動(dòng)攻擊防御系統(tǒng)（Symantec Endpoint Protection），保密安全，漏洞防護(hù)等一系列安全防護(hù)系統(tǒng)，看似已經(jīng)建立了一個(gè)信息非常安全、固若金湯的基礎(chǔ)架構(gòu)。但在實(shí)際業(yè)務(wù)發(fā)展中，仍然存在一些隱患，不容忽視，面臨挑戰(zhàn)。

一方面企業(yè)的業(yè)務(wù)已經(jīng)非常依賴信息系統(tǒng)，因?yàn)闃I(yè)務(wù)發(fā)展需要急需把內(nèi)網(wǎng)系統(tǒng)交付到外網(wǎng)去，即人員在出差過程中能處理內(nèi)網(wǎng)的業(yè)務(wù)。現(xiàn)有的內(nèi)外網(wǎng)隔離架構(gòu)，只有特權(quán)用戶能夠進(jìn)行辦公，為新的用戶授權(quán)又需要經(jīng)過一系列嚴(yán)格的程序，交付周期相對(duì)較長(zhǎng)，因此不具備實(shí)現(xiàn)業(yè)務(wù)交付的靈活性。

另一方面，即使建立了內(nèi)外網(wǎng)隔離的架構(gòu)，也不能從根本阻止信息泄露，而且對(duì)于信息泄露事件也不能做到追本溯源，以避免類似事件發(fā)生。據(jù)全球權(quán)威的調(diào)查機(jī)構(gòu)報(bào)告顯示客戶發(fā)生的信息泄露75%來自系統(tǒng)內(nèi)部網(wǎng)絡(luò)，而且超過50%的信息泄露沒有找到信息泄露的源頭。外網(wǎng)通過入侵，只能獲得企業(yè)非關(guān)鍵信息；而對(duì)內(nèi)網(wǎng)進(jìn)行的各種違規(guī)操作，才是最致命的，給企業(yè)帶來巨大的經(jīng)營(yíng)風(fēng)險(xiǎn)。所以即使進(jìn)行了完全隔離，也不能杜絕信息泄露，內(nèi)部網(wǎng)絡(luò)的信息泄露主要來自于以下三個(gè)方面（見圖1）：

（1）由外包服務(wù)公司員工引起信息泄露。伴隨著IT系統(tǒng)越來越復(fù)雜，客戶本身很難成為各種應(yīng)用系統(tǒng)、各種管理系統(tǒng)的專家，往往采用服務(wù)外包方式進(jìn)行管理，現(xiàn)實(shí)的問題在于，由于沒有一套完善的監(jiān)控、審計(jì)機(jī)制，外包服務(wù)公司人員究竟在管理平臺(tái)上修改了什么，平臺(tái)上的數(shù)據(jù)被是否被保存到了IT服務(wù)外包人員本地電腦上并被泄漏出去，是否有危及系統(tǒng)安全和數(shù)據(jù)保密的操作都不得而知，出現(xiàn)人為操作故障后，追溯問題根源存在爭(zhēng)執(zhí)，追究責(zé)任困難，這就成為了信息泄露的最大漏洞。

（2）由內(nèi)部IT人員引起信息泄露。在IT系統(tǒng)管理過程中，IT管理人員通常有非常大的權(quán)限，如何管理和評(píng)估這些人員在日常工作中是否有超過權(quán)限的操作，怎么清晰地知道哪個(gè)IT人員什么時(shí)間做過什么操作，都是擺在企業(yè)面前的現(xiàn)實(shí)問題。

（3）由內(nèi)部業(yè)務(wù)人員引起信息泄露。業(yè)務(wù)人員因?yàn)橹苯诱莆樟似髽I(yè)財(cái)務(wù)、設(shè)備、銷售、物料、物流等各個(gè)方面的數(shù)據(jù)，也是信息泄露的關(guān)鍵因素之一。

3 建設(shè)審計(jì)系統(tǒng)的意義

由于企業(yè)信息安全管理存在外包服務(wù)公司員工引起信息泄露、炔IT人員引起信息泄露、內(nèi)部業(yè)務(wù)人員引起信息泄露的情況，因此圍繞業(yè)務(wù)系統(tǒng)需要建立可控的、有序的安全架構(gòu)，以防止和杜絕任何企業(yè)數(shù)據(jù)泄漏的隱患，通過使用信息內(nèi)容審計(jì)系統(tǒng)能夠在已建立起的網(wǎng)絡(luò)安全平臺(tái)上再增加一道安全防護(hù)屏障，從而實(shí)現(xiàn)真正完善的信息安全防護(hù)體系，這對(duì)企業(yè)的信息化發(fā)展具有重要意義，使用信息內(nèi)容審計(jì)系統(tǒng)的具體價(jià)值體現(xiàn)在以下幾點(diǎn)：

（1）審計(jì)敏感信息接觸者，如IT管理員、業(yè)務(wù)人員、外包公司員工，他們都需要通過審計(jì)管控平臺(tái)，才能獲得信息系統(tǒng)的訪問、管理權(quán)限，獲得其需要的應(yīng)用和數(shù)據(jù)，如此便可實(shí)現(xiàn)從源頭上防范信息數(shù)據(jù)的泄露。

（2）IT管理員、業(yè)務(wù)人員、外包公司員工的所有操作行為可以通過回放錄像的方式進(jìn)行檢索，從而捕捉到關(guān)鍵行為、操作，對(duì)于出現(xiàn)的信息泄露等重大問題，責(zé)任范圍可追溯，做到有依可循、有據(jù)可查。

（3）對(duì)于系統(tǒng)故障，誤刪除等操作造成的數(shù)據(jù)丟失可以通過操作行為錄像回放，找出故障原因，找回丟失的重要數(shù)據(jù)，從而保證企業(yè)的財(cái)產(chǎn)不受損失，保證企業(yè)的名譽(yù)不受損失。

4 審計(jì)的方法、特點(diǎn)

審計(jì)系統(tǒng)綜合了核心系統(tǒng)運(yùn)維和安全審計(jì)管控兩大主干功能，從技術(shù)實(shí)現(xiàn)上講，通過切斷終端計(jì)算機(jī)對(duì)網(wǎng)絡(luò)和服務(wù)器資源的直接訪問，而采用協(xié)議的方式，接管了終端計(jì)算機(jī)對(duì)網(wǎng)絡(luò)和服務(wù)器的訪問。目前普遍采用的審計(jì)方式有兩種，一種采用一體堡壘機(jī)的方法，一種采用服務(wù)器、審計(jì)軟件兩層架構(gòu)的方法。

4.1 一體堡壘機(jī)功能

（1）單點(diǎn)登錄功能：支持對(duì)Windows、LINUX、UNIX、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等一系列授權(quán)賬號(hào)進(jìn)行密碼的自動(dòng)化周期更改，簡(jiǎn)化密碼管理，讓使用者無需記憶眾多系統(tǒng)密碼，即可實(shí)現(xiàn)自動(dòng)登錄目標(biāo)設(shè)備，便捷安全。

（2）統(tǒng)一的賬號(hào)管理：能夠?qū)λ蟹?wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等賬號(hào)進(jìn)行集中管理，化繁為簡(jiǎn)，實(shí)現(xiàn)對(duì)維護(hù)管理員的統(tǒng)一審核。

（3）資源授權(quán)：設(shè)備提供基于用戶、目標(biāo)設(shè)備、時(shí)間、協(xié)議類型IP、行為等要素實(shí)現(xiàn)細(xì)粒度的操作授權(quán)，最大限度保護(hù)用戶資源的安全。

（4）訪問控制：設(shè)備支持對(duì)不同用戶進(jìn)行不同策略的制定，細(xì)粒度的訪問控制能夠最大限度的保護(hù)用戶資源的安全，嚴(yán)防非法、越權(quán)訪問事件的發(fā)生。

（5）操作審計(jì)：能夠?qū)ψ址?、圖形、文件傳輸、數(shù)據(jù)庫(kù)等全程操作行為審計(jì)；通過設(shè)備錄像方式實(shí)時(shí)監(jiān)控運(yùn)維人員對(duì)操作系統(tǒng)、安全設(shè)備、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫(kù)等進(jìn)行的各種操作，對(duì)違規(guī)行為進(jìn)行事中控制。對(duì)終端指令信息能夠進(jìn)行精確搜索，進(jìn)行錄像精確定位。

4.2 審計(jì)軟件功能

新一代的審計(jì)軟件克服了傳統(tǒng)堡壘機(jī)的很多不足，如專用硬件不易維修、升級(jí)困難、不能實(shí)現(xiàn)應(yīng)用和數(shù)據(jù)管控、不能對(duì)圖像操作進(jìn)行檢索等，在繼承了傳統(tǒng)堡壘機(jī)的基礎(chǔ)上又具備以下優(yōu)點(diǎn)：

（1）應(yīng)用管控。實(shí)現(xiàn)獨(dú)立管控，不同人員獲得使用不同應(yīng)用程序的權(quán)限。

（2）數(shù)據(jù)管控。無論局域網(wǎng)操作者還是廣域網(wǎng)遠(yuǎn)程操作者，在審計(jì)環(huán)境下可以看到數(shù)據(jù)，使用數(shù)據(jù)，但無法下載數(shù)據(jù)。

（3）高安全性。以客戶端/服務(wù)器方式運(yùn)行，將用戶行為變?yōu)榭梢?、可跟蹤、可鑒定，保護(hù)重要數(shù)據(jù)的安全。

（4）集中審計(jì)，審計(jì)無盲點(diǎn)。實(shí)現(xiàn)集中審計(jì)、集中訪問控制，對(duì)于企業(yè)重要系統(tǒng)和數(shù)據(jù)的管理，有非常重要的價(jià)值；

（5）準(zhǔn)確追溯歷史。在服務(wù)器上部署審計(jì)軟件的科學(xué)方式能夠?qū)碓L人員的行為完整的記錄，并保存在服務(wù)器上，審計(jì)人員能夠按照其想調(diào)查的時(shí)間點(diǎn)、調(diào)查的操作人、調(diào)查的內(nèi)容進(jìn)行選擇，通過清晰的視頻回放準(zhǔn)確的定位操作行為。

（6）行為分析報(bào)表。能夠提供準(zhǔn)確、詳細(xì)的審計(jì)報(bào)表，直觀的展現(xiàn)歷史過程。

此外，新一代的審計(jì)軟件還具備更為可靠、先進(jìn)的核心業(yè)務(wù)非法訪問監(jiān)測(cè)、惡意程序篡改進(jìn)程、關(guān)鍵數(shù)據(jù)的訪問監(jiān)測(cè)、多維度的行為分析和查詢、云終端用戶操作等行為審計(jì)等功能。

5 審計(jì)系統(tǒng)的建設(shè)

鑒于石油化工系統(tǒng)的信息安全、數(shù)據(jù)保密的重要性，在設(shè)計(jì)企業(yè)信息安全防護(hù)系統(tǒng)時(shí)要充分考慮到架構(gòu)是否能夠有效的起到安全防護(hù)作用、規(guī)范作用，是否能夠?yàn)槠髽I(yè)運(yùn)營(yíng)節(jié)省成本、提升企業(yè)運(yùn)營(yíng)效率等因素，因此在設(shè)計(jì)架構(gòu)時(shí)要打破傳統(tǒng)安全防護(hù)的壁壘，在創(chuàng)新發(fā)展與嚴(yán)密管控之間找到平衡點(diǎn)，充分發(fā)揮出架構(gòu)的優(yōu)勢(shì)。

5.1 架構(gòu)組成

架構(gòu)由三個(gè)部分組成，分別是客戶部分、集中訪問控制部分、信息系統(tǒng)部分（見圖2）。

（1）客戶部分，包括IT管理人員、IT運(yùn)維人員、IT外包人員、審計(jì)人員等。

（2）集中訪問控制部分，這里是審計(jì)系統(tǒng)的核心控制區(qū)，包括行為審計(jì)應(yīng)用產(chǎn)品、審計(jì)數(shù)據(jù)存儲(chǔ)產(chǎn)品、訪問控制程序區(qū)（SSH、Putty、SecureCRT、遠(yuǎn)程桌面等）。

（3）信息系統(tǒng)部分，包含企業(yè)的各個(gè)生產(chǎn)、銷售、物料等信息系統(tǒng)。

5.2 架構(gòu)設(shè)計(jì)

方案采用應(yīng)用虛擬化技術(shù)+智能審計(jì)解決方案，采用行業(yè)中技術(shù)領(lǐng)先的CitrixXenapp+AuditSys審計(jì)產(chǎn)品，構(gòu)建一個(gè)安全的集中訪問平臺(tái)，將用戶與信息系統(tǒng)分隔開。

首先建立XenApp平臺(tái)，將遠(yuǎn)程服務(wù)器和客戶機(jī)上的應(yīng)用程序部署到XenApp平臺(tái)上，客戶端設(shè)備只需通過IE就可以運(yùn)行應(yīng)用系統(tǒng)，多用戶同時(shí)訪問時(shí)，由XenApp管理應(yīng)用客戶端軟件的多進(jìn)程訪問，并控制向不同用戶的權(quán)限，服務(wù)器與客戶端之間的數(shù)據(jù)傳輸只是屏幕變化和鼠標(biāo)鍵盤的指令信息，而不傳輸任何實(shí)際操作數(shù)據(jù)，真實(shí)的數(shù)據(jù)傳輸發(fā)生在XenApp平臺(tái)與信息系統(tǒng)部分之間，從安全性角度分析，這種安全性接近于物理環(huán)境隔離。

然后在XenApp平臺(tái)上部署AuditSys產(chǎn)品，實(shí)現(xiàn)審計(jì)任何通過Xenapp平臺(tái)訪問的用戶會(huì)話，也可以審計(jì)任何通過遠(yuǎn)程桌面、終端服務(wù)、PCANYWHERE等遠(yuǎn)程協(xié)議訪問過來的會(huì)話，也可以審計(jì)通過KVM或者通過本地登的用戶會(huì)話，通過與Citrix XenApp的無縫集成，不僅可以構(gòu)建一個(gè)安全的遠(yuǎn)程集中訪問平臺(tái)，還可以對(duì)所有的用戶會(huì)話，管理員維護(hù)操作等用戶行為進(jìn)行審計(jì)。

所有的行為審計(jì)過程需要完整的記錄并保存，這里部署了Auditsys App Server，保存了Auditsys記錄的完整的行為過程，為檢查人員、審核人員的安全檢查提供可靠依據(jù)。

5.3 架構(gòu)優(yōu)勢(shì)

XenApp集中化方法將所有應(yīng)用程序和數(shù)據(jù)存儲(chǔ)都集中在數(shù)據(jù)中心服務(wù)器上，并把數(shù)據(jù)的管理嚴(yán)格控制在數(shù)據(jù)中心。

該方法從安全角度和先進(jìn)角度出發(fā)，在安全防護(hù)方面做到了數(shù)據(jù)的不可復(fù)制，在該架構(gòu)下，只有用戶界面、鍵盤敲擊和鼠標(biāo)操作等小量交互信息通過網(wǎng)絡(luò)傳輸，且都是經(jīng)過加密處理的。

XenApp上的應(yīng)用程序需要上層管理者授權(quán)才能使用，保證了應(yīng)用的管控和規(guī)范使用。

客戶部分使用計(jì)算機(jī)在完成數(shù)據(jù)操作時(shí)，只能夠看到所使用的數(shù)據(jù)，真正的數(shù)據(jù)依然存放在集中訪問控制部分和信息系統(tǒng)中，充分做到了數(shù)據(jù)的安全防護(hù)。

AuditSys具備功能強(qiáng)大的數(shù)據(jù)搜索引擎，支持細(xì)化的組合查詢、多條件選擇查詢，幫助用戶快速完成記錄搜索。

6 總 結(jié)

信息化是企業(yè)工業(yè)生產(chǎn)的重要驅(qū)動(dòng)力，是企業(yè)可持續(xù)發(fā)展的重要因素，互聯(lián)網(wǎng)+工業(yè)是未來工業(yè)發(fā)展的方向，且工業(yè)信息化發(fā)展的前提又是信息安全，因此，企業(yè)信息安全防護(hù)系統(tǒng)做的好不好，企業(yè)信息安全管理規(guī)范，直接作用于企業(yè)的工業(yè)信息化發(fā)展，進(jìn)而影響企業(yè)的發(fā)展動(dòng)力、產(chǎn)品創(chuàng)新、技術(shù)產(chǎn)品等多個(gè)方面。而信息安全體系中，人員的管控的是最復(fù)雜、最困難的，信息工作中，能否通過有效的安全系統(tǒng)及時(shí)有效的發(fā)現(xiàn)、制止信息泄密事件，做到未雨綢繆；能否在發(fā)生泄密事件后，準(zhǔn)確的查出泄密原因，找出泄密人員，亡羊補(bǔ)牢，這尤其需要企業(yè)在信息安全工作中重點(diǎn)考慮，以保證企業(yè)的信息安全防護(hù)系統(tǒng)堅(jiān)固、夯實(shí)，以保證企業(yè)的信息化發(fā)展健康、穩(wěn)步。

主要參考文獻(xiàn)

[1]鄧小榕，陳龍.安全審計(jì)數(shù)據(jù)的綜合審計(jì)分析方法[J].重慶郵電學(xué)院學(xué)報(bào)：自然科學(xué)版，2005（5）.

[2]許霆，袁萌，史美林.網(wǎng)絡(luò)監(jiān)控審計(jì)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)工程與應(yīng)用，2002（18）.

[3]鄧瑛，常國(guó)岑.網(wǎng)絡(luò)安全監(jiān)控與審計(jì)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J]，計(jì)算機(jī)工程，2002（12）.

[4]張俊良.基于信息過濾的網(wǎng)絡(luò)安全審計(jì)系統(tǒng)的研究與實(shí)現(xiàn)[D].西安：西北大學(xué)，2009.

[5]曹暉，王青青.新型數(shù)據(jù)庫(kù)安全審計(jì)系統(tǒng)[J].計(jì)算機(jī)工程與應(yīng)用，2007，43（5）：163-165.

[6]王淵，馬駿.一種基于入侵檢測(cè)的數(shù)據(jù)庫(kù)安全審計(jì)[J].計(jì)算機(jī)仿真，2007，24（2）：33-36.

[7]高彩容.基于數(shù)據(jù)挖掘的網(wǎng)絡(luò)安全審計(jì)技術(shù)研究[D].西安：西安電子科技大學(xué)，2008.

[8]韋猛，程克非.基于主機(jī)信息內(nèi)容審計(jì)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].重慶郵電大學(xué)學(xué)報(bào)，2008，20（6）：725-728.

篇5

[關(guān)鍵詞]企業(yè)；信息化建設(shè)；網(wǎng)絡(luò)安全管理

doi：10.3969/j.issn.1673 - 0194.2017.10.040

[中圖分類號(hào)]F270.7 [文獻(xiàn)標(biāo)識(shí)碼]A [文章編號(hào)]1673-0194（2017）10-00-01

0 引 言

在互聯(lián)網(wǎng)時(shí)代，企業(yè)應(yīng)用網(wǎng)絡(luò)信息技術(shù)和計(jì)算機(jī)技術(shù)，逐步建立了網(wǎng)絡(luò)信息化平臺(tái)，以對(duì)海量信息數(shù)據(jù)進(jìn)行有效收集，為企業(yè)的運(yùn)行和發(fā)展提供有效依據(jù)。但是企業(yè)在信息化建設(shè)中還存在一些問題，其中一個(gè)嚴(yán)重的問題就是，企業(yè)信息數(shù)據(jù)容易遭受到網(wǎng)絡(luò)攻擊或竊取，即網(wǎng)絡(luò)安全問題。這些問題的存在，非常不利于企業(yè)的信息化建設(shè)，不利于企業(yè)的進(jìn)一步發(fā)展。因此，相關(guān)人員需要對(duì)企業(yè)在信息化建設(shè)中存在的網(wǎng)絡(luò)安全管理問題以及解決方法進(jìn)行研究和分析，以全面提高企業(yè)信息化建設(shè)的質(zhì)量和水平，更好地推進(jìn)企業(yè)的進(jìn)步與發(fā)展。

1 企業(yè)在信息化建設(shè)中存在的網(wǎng)絡(luò)安全管理問題

1.1 外部因素

時(shí)代的發(fā)展和社會(huì)的進(jìn)步使網(wǎng)絡(luò)信息安全問題日益嚴(yán)重。例如，企業(yè)在進(jìn)行市場(chǎng)競(jìng)爭(zhēng)時(shí)，需要獲得大量準(zhǔn)確的信息并保證其安全，但一些不法分子應(yīng)用網(wǎng)絡(luò)攻擊和非法鏈接等方式@取企業(yè)內(nèi)部大量信息，并將此類信息在市場(chǎng)中出售牟利，這種情況的出現(xiàn)加劇了企業(yè)網(wǎng)絡(luò)信息安全問題的程度。

1.2 內(nèi)部因素

企業(yè)在信息化的建設(shè)過程中，沒有對(duì)自身的網(wǎng)絡(luò)信息安全問題給予足夠的重視，因此，沒有采用高質(zhì)量的信息安全管理模式，進(jìn)行有效的網(wǎng)絡(luò)信息防護(hù)，使網(wǎng)絡(luò)黑客應(yīng)用網(wǎng)絡(luò)病毒和信息竊取手段，輕易獲取企業(yè)內(nèi)部的各種信息數(shù)據(jù)。同時(shí)，企業(yè)內(nèi)部工作人員也沒有受過良好的網(wǎng)絡(luò)信息安全培訓(xùn)，在應(yīng)用中存在操作不規(guī)范等問題，導(dǎo)致企業(yè)的信息安全受到嚴(yán)重威脅。

2 提高企業(yè)網(wǎng)絡(luò)安全管理水平的方法

2.1 加強(qiáng)企業(yè)信息化系統(tǒng)的管理

企業(yè)需要在信息化建設(shè)中加強(qiáng)對(duì)信息化系統(tǒng)的管理質(zhì)量和水平，提升企業(yè)網(wǎng)絡(luò)安全管理的效率。具體來講，首先，企業(yè)需要樹立起網(wǎng)絡(luò)安全管理的意識(shí)，對(duì)工作中存在的網(wǎng)絡(luò)安全問題及時(shí)處理，建立完備的網(wǎng)絡(luò)安全管理平臺(tái)，對(duì)企業(yè)運(yùn)行發(fā)展中的重要信息數(shù)據(jù)進(jìn)行集中性保存。其次，定期對(duì)企業(yè)員工開展網(wǎng)絡(luò)安全培訓(xùn)工作，提升員工信息化系統(tǒng)規(guī)范操作的能力，對(duì)重要信息進(jìn)行加密處理，并做好多重備份工作。最后，企業(yè)員工應(yīng)定期使用網(wǎng)絡(luò)安全軟件對(duì)操作環(huán)境進(jìn)行檢查，有效處理和抵御各類網(wǎng)絡(luò)病毒的攻擊和入侵。

2.2 應(yīng)用有效的數(shù)據(jù)信息加密技術(shù)

企業(yè)需要應(yīng)用有效的數(shù)據(jù)加密技術(shù)，提升網(wǎng)絡(luò)信息管理質(zhì)量和水平，保障網(wǎng)絡(luò)信息的安全，更好的開展企業(yè)信息化建設(shè)工作，為企業(yè)的進(jìn)步和發(fā)展打好基礎(chǔ)。第一，企業(yè)需要有效的應(yīng)用鏈路加密、節(jié)點(diǎn)加密、端對(duì)端加密等多種技術(shù)，提高企業(yè)網(wǎng)絡(luò)信息加密的強(qiáng)度，為重要的業(yè)務(wù)數(shù)據(jù)和信息做好保護(hù)。第二，企業(yè)需要在應(yīng)用網(wǎng)絡(luò)信息數(shù)據(jù)加密技術(shù)的同時(shí)，對(duì)重要數(shù)據(jù)信息進(jìn)行切實(shí)有效的存儲(chǔ)，使其具有完整性，為提升企業(yè)數(shù)據(jù)信息安全水平打好基礎(chǔ)。

2.3 部署高質(zhì)量的安全防護(hù)軟件

企業(yè)需要合理應(yīng)用各類的防護(hù)軟件，提升自身網(wǎng)絡(luò)信息安全的強(qiáng)度。例如現(xiàn)在已經(jīng)普遍應(yīng)用的360安全衛(wèi)士、騰訊電腦管家、金山毒霸等，合理應(yīng)用可以提高企業(yè)整個(gè)網(wǎng)絡(luò)信息安全管理的質(zhì)量，同時(shí)對(duì)外部的非法鏈接進(jìn)行有效抵制，對(duì)網(wǎng)絡(luò)病毒攻擊和入侵進(jìn)行有效預(yù)防。

2.4 設(shè)置必要的安全管理權(quán)限

企業(yè)需要依據(jù)自身的需求，建立嚴(yán)密、分層的安全管理權(quán)限系統(tǒng)，對(duì)登錄到系統(tǒng)中的用戶進(jìn)行嚴(yán)格的管理權(quán)限設(shè)定。通過這種方式，使操作系統(tǒng)或應(yīng)用系統(tǒng)的用戶，需要掌握不同的權(quán)限密碼才能進(jìn)行不同權(quán)限的操作、進(jìn)行數(shù)據(jù)信息的獲得，然后進(jìn)行這些數(shù)據(jù)信息的應(yīng)用。

2.5 配置防火墻和訪問控制模式

企業(yè)在信息化建設(shè)中需建立高效的防火墻系統(tǒng)，設(shè)置專業(yè)化訪問控制模式，提升網(wǎng)絡(luò)信息安全能力，有效抵御各種網(wǎng)絡(luò)風(fēng)險(xiǎn)，保障企業(yè)的內(nèi)部網(wǎng)絡(luò)安全。

2.6 信息隱藏模式的有效應(yīng)用

企業(yè)可以有效應(yīng)用信息隱藏技術(shù)，提高網(wǎng)絡(luò)信息安全質(zhì)量和水平，保障信息及數(shù)據(jù)安全。例如，采用高效的編碼修改方法進(jìn)行數(shù)據(jù)嵌入，如矩陣編碼，其可減少修改幅度；擴(kuò)頻嵌入，其使編碼更加專業(yè)化、高級(jí)化、復(fù)雜化，很難進(jìn)行破譯，降低密文信號(hào)的能量，使其不易被檢測(cè)到，增強(qiáng)信息的安全性和保密性。這些模式有利于企業(yè)對(duì)各種網(wǎng)絡(luò)攻擊進(jìn)行有效抵御，保障企業(yè)信息化建設(shè)的穩(wěn)定性和安全性，實(shí)現(xiàn)企業(yè)應(yīng)有的經(jīng)濟(jì)效益和社會(huì)價(jià)值。

3 結(jié) 語

對(duì)企業(yè)信息化建設(shè)中網(wǎng)絡(luò)安全管理問題進(jìn)行分析，有利于企業(yè)應(yīng)用各種有效的方法，提高企業(yè)網(wǎng)絡(luò)安全管理的質(zhì)量和水平，保障企業(yè)網(wǎng)絡(luò)和信息管理的安全性，最終為企業(yè)實(shí)現(xiàn)良好的信息化建設(shè)做出重要貢獻(xiàn)。

主要參考文獻(xiàn)

[1]程華.對(duì)企業(yè)信息化建設(shè)中的網(wǎng)絡(luò)安全管理問題探討[J].民營(yíng)科技，2016（1）.

篇6

一、網(wǎng)絡(luò)系統(tǒng)信息安全存在問題分析

（一）計(jì)算機(jī)及信息網(wǎng)絡(luò)安全意識(shí)不強(qiáng)

由于計(jì)算機(jī)信息技術(shù)高速發(fā)展，計(jì)算機(jī)信息安全策略和技術(shù)也有大的進(jìn)展。設(shè)計(jì)院各種計(jì)算機(jī)應(yīng)用對(duì)信息安全的認(rèn)識(shí)離實(shí)際需要差距較大，對(duì)新出現(xiàn)的信息安全問題認(rèn)識(shí)不足。

（二）缺乏統(tǒng)一的信息安全管理規(guī)范

設(shè)計(jì)院雖然對(duì)計(jì)算機(jī)安全一直非常重視，但由于各種原因目前還沒有一套統(tǒng)一、完善的能夠指導(dǎo)整個(gè)院計(jì)算機(jī)及信息網(wǎng)絡(luò)系統(tǒng)安全運(yùn)行的管理規(guī)范。

（三）缺乏適應(yīng)電力行業(yè)特點(diǎn)的計(jì)算機(jī)信息安全體系

近幾年來計(jì)算機(jī)在整個(gè)電力行業(yè)的生產(chǎn)、經(jīng)營(yíng)、管理等方面應(yīng)用越來越廣，但在計(jì)算機(jī)安全策略、安全技術(shù)和安全措施上投入較少。為保證網(wǎng)絡(luò)系統(tǒng)安全、穩(wěn)定、高效運(yùn)行，應(yīng)建立一套結(jié)合電力行業(yè)計(jì)算機(jī)應(yīng)用特點(diǎn)的計(jì)算機(jī)信息安全體系。

（四）缺乏預(yù)防各種外部安全攻擊的措施

計(jì)算機(jī)網(wǎng)絡(luò)化使過去孤立的個(gè)人電腦在聯(lián)成局域網(wǎng)后，面臨巨大的外部安全攻擊。局域網(wǎng)較早的計(jì)算機(jī)系統(tǒng)是NOVELL網(wǎng).并沒有同外界連接。計(jì)算機(jī)安全只是防止意外破壞或者內(nèi)部人員的安全控制就可以了，但現(xiàn)在要面對(duì)國(guó)際互聯(lián)網(wǎng)上各種安全攻擊，如網(wǎng)絡(luò)病毒和電腦“黑客”等。

二、保證網(wǎng)絡(luò)系統(tǒng)信息安全的對(duì)策

（一）建立信息安全體系結(jié)構(gòu)框架

實(shí)現(xiàn)網(wǎng)絡(luò)系統(tǒng)信息安全.首要的問題是時(shí)時(shí)跟蹤分析國(guó)內(nèi)外相關(guān)領(lǐng)域信息安全技術(shù)的發(fā)展和應(yīng)用情況，及時(shí)掌握國(guó)際電力工業(yè)信息安全技術(shù)應(yīng)用發(fā)展動(dòng)向。結(jié)合我國(guó)電力工業(yè)的特點(diǎn)和企業(yè)計(jì)算機(jī)及信息網(wǎng)絡(luò)技術(shù)應(yīng)用的實(shí)際，建立網(wǎng)絡(luò)系統(tǒng)信息安全體系一的總體結(jié)構(gòu)框架和基本結(jié)構(gòu)。完善網(wǎng)絡(luò)系統(tǒng)信息安全體系標(biāo)準(zhǔn)以指導(dǎo)規(guī)范網(wǎng)絡(luò)系統(tǒng)信息安全體系建設(shè)工作。

按信息安全對(duì)網(wǎng)絡(luò)系統(tǒng)安全穩(wěn)定運(yùn)行、生產(chǎn)經(jīng)營(yíng)和管理及企業(yè)發(fā)展所造成的危害程度，確定計(jì)算機(jī)應(yīng)用系統(tǒng)的安全等級(jí)，制定網(wǎng)絡(luò)系統(tǒng)信息安全控制策略.建立適應(yīng)電力企業(yè)發(fā)展的網(wǎng)絡(luò)系統(tǒng)信息安全體系，利用現(xiàn)代網(wǎng)絡(luò)及信息安全最新技術(shù)，研究故障診斷、處理及系統(tǒng)優(yōu)化管理措施。在不同條件下提供信息安全防范措施。

（二）建立網(wǎng)絡(luò)系統(tǒng)信息安全身份認(rèn)證體系

CA即證書授權(quán)。一個(gè)完整、安全的電子商務(wù)系統(tǒng)必須建立起一個(gè)完整、合理的CA體系。CA體系由證書審批部門和證書操作部門組成。為保證網(wǎng)絡(luò)系統(tǒng)信息一和安全.應(yīng)建立企業(yè)的CA機(jī)構(gòu)對(duì)企業(yè)員工上網(wǎng)用戶統(tǒng)一身份認(rèn)證和數(shù)字簽名等安全認(rèn)證，對(duì)系統(tǒng)中關(guān)鍵業(yè)務(wù)進(jìn)行安全審計(jì)，并開展與銀行之間，上下級(jí)CA機(jī)構(gòu)之間與其他需要CA機(jī)構(gòu)之間的交叉認(rèn)證的技術(shù)研究工作。

（三）建立數(shù)據(jù)備份中心

數(shù)據(jù)備份及災(zāi)難恢復(fù)是信息安全的重要組成部分。理想的備份系統(tǒng)應(yīng)該是全方位、多層次的。硬件系統(tǒng)備份是用來防止硬件系統(tǒng)故障，使用網(wǎng)絡(luò)存儲(chǔ)備份系統(tǒng)和硬件容錯(cuò)相結(jié)合的方式?？捎脕矸乐管浖收匣蛉藶檎`操作造成的數(shù)據(jù)邏輯損壞。這種對(duì)系統(tǒng)的多重保護(hù)措施不僅能防止物理損壞還能有效地防止邏輯損壞。結(jié)合電力行業(yè)計(jì)算機(jī)應(yīng)用的特點(diǎn)，選擇合理的備份設(shè)備和備份系統(tǒng).在企業(yè)建立數(shù)據(jù)備份中心，根據(jù)其應(yīng)用的特點(diǎn)，制定相應(yīng)的備份策略。

（四）建立網(wǎng)絡(luò)級(jí)計(jì)算機(jī)病毒防范體系

計(jì)算機(jī)病毒是一種進(jìn)行自我復(fù)制、廣泛傳染，對(duì)計(jì)算機(jī)程序及其數(shù)據(jù)進(jìn)行嚴(yán)重破壞的病毒，具有隱蔽性與隨機(jī)性，使用戶防不勝防。設(shè)計(jì)院信息網(wǎng)絡(luò)系統(tǒng)采取在現(xiàn)有網(wǎng)絡(luò)防病毒體系基礎(chǔ)上.加強(qiáng)對(duì)各個(gè)可能被計(jì)算機(jī)病毒侵入的環(huán)節(jié)進(jìn)行病毒防火墻的控制，在計(jì)算中心建立計(jì)算機(jī)病毒管理中心，按其信息網(wǎng)絡(luò)管轄范圍，分級(jí)進(jìn)行防范計(jì)算機(jī)病毒的統(tǒng)一管理。在計(jì)算機(jī)病毒預(yù)防、檢測(cè)和病毒定義碼的分發(fā)等環(huán)節(jié)建立較完善的技術(shù)等級(jí)和管理制度。

（五）建立網(wǎng)絡(luò)系統(tǒng)信息安全監(jiān)測(cè)中心

計(jì)算機(jī)信息系統(tǒng)出現(xiàn)故障或遭受外來攻擊造成的損失.絕大多數(shù)是由于系統(tǒng)運(yùn)行管理和維護(hù)、系統(tǒng)配置等方面存在缺陷和漏洞，使系統(tǒng)抗干擾能力較差所致。信息安全監(jiān)測(cè)系統(tǒng)可模仿各種黑客的攻擊方法不斷測(cè)試信息網(wǎng)絡(luò)安全漏洞并可將測(cè)出的安全漏洞按照危害程度列表。根據(jù)列表完善系統(tǒng)配置，消除漏洞并可實(shí)現(xiàn)實(shí)時(shí)網(wǎng)絡(luò)違規(guī)、入侵識(shí)別和響應(yīng)。它在敏感數(shù)據(jù)的網(wǎng)絡(luò)上.實(shí)時(shí)截獲網(wǎng)絡(luò)數(shù)據(jù)流，當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)違規(guī)模式和未授權(quán)網(wǎng)絡(luò)訪問時(shí)，自動(dòng)根據(jù)制定的安全策略作出相應(yīng)的反映.如實(shí)時(shí)報(bào)警、事件登錄、自動(dòng)截?cái)鄶?shù)據(jù)通訊等。利用網(wǎng)絡(luò)掃描器在網(wǎng)絡(luò)層掃描各種設(shè)備來發(fā)現(xiàn)安全漏洞.消除網(wǎng)絡(luò)層可能存在的各類隱患。

篇7

中圖分類號(hào)：F270.7 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1672-3791（2016）03（b）-0024-02

隨著網(wǎng)絡(luò)信息化時(shí)代的到來，互聯(lián)網(wǎng)的快速發(fā)展，如今網(wǎng)絡(luò)化已經(jīng)成為企業(yè)信息化發(fā)展過程中的重要推動(dòng)力量，網(wǎng)絡(luò)信息化使得全球兩百多個(gè)國(guó)家的信息資源可以得到最大程度上的共享。對(duì)于中小企業(yè)而言，企業(yè)信息化的發(fā)展是必經(jīng)之路。但是凡事都有兩面性，都不可能一直順風(fēng)順?biāo)?，這一進(jìn)程必將遭受大大小小的挫折和考驗(yàn)；隨著企業(yè)信息化的高速發(fā)展，企業(yè)信息化網(wǎng)絡(luò)安全問題也漸漸變得突出，網(wǎng)絡(luò)安全問題已經(jīng)成為阻礙企業(yè)發(fā)展難以逾越的一條鴻溝。

1 企業(yè)信息化與網(wǎng)絡(luò)安全

1.1 企業(yè)信息化概述

企業(yè)信息化即企業(yè)建設(shè)一個(gè)良好的資源平臺(tái)，收集各種各樣的信息，建立一個(gè)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)。在一定程度上利用計(jì)算機(jī)互聯(lián)網(wǎng)技術(shù)，控制企業(yè)的經(jīng)濟(jì)發(fā)展，將企業(yè)收集到的信息高度集成化，以此達(dá)到企業(yè)實(shí)現(xiàn)資源共享的目的。其種種行為，都是為了提高企業(yè)的經(jīng)濟(jì)效益，提高企業(yè)市場(chǎng)競(jìng)爭(zhēng)力。為了達(dá)到之一目的，這就意味著要對(duì)企業(yè)的管理流程進(jìn)行變革和優(yōu)化、管理理念的創(chuàng)新和改善、管理團(tuán)隊(duì)的重組以及管理手段進(jìn)行創(chuàng)新。

1.2 網(wǎng)絡(luò)安全概述

網(wǎng)絡(luò)安全的通用定義：就是在網(wǎng)絡(luò)運(yùn)行過程中，網(wǎng)絡(luò)系統(tǒng)的硬件和軟件系統(tǒng)都可以得到很好的保護(hù)，不會(huì)因?yàn)榕既婚g的原因而遭到惡意的破壞和泄漏，系統(tǒng)的連續(xù)十分可靠，在正常情況下都可以穩(wěn)定運(yùn)行，網(wǎng)絡(luò)服務(wù)器不會(huì)因?yàn)槠渌蚨型局袛唷Ｔ谌缃竦男畔r(shí)代下，網(wǎng)絡(luò)安全問題層出不窮，在目前的公共通信網(wǎng)絡(luò)存在著千奇百種的安全漏洞和威脅。

從企業(yè)和單位個(gè)人的角度來看，這一群體希望自己的個(gè)人隱私和商戶利益在進(jìn)行網(wǎng)絡(luò)傳輸時(shí)受到保護(hù)。要求這種保護(hù)真實(shí)完整，保密系數(shù)高，可以做到避免不法分子的竊取和侵犯。保證用戶的利益和隱私不受到損害和侵犯。同時(shí)這一群體也希望主機(jī)上的個(gè)人信息不受到其他用戶的干擾和破壞。從網(wǎng)絡(luò)運(yùn)行管理者的角度來看，這一群體希望對(duì)本地網(wǎng)絡(luò)信息的安全做出有力的保證。保證用戶的個(gè)人信息、商業(yè)機(jī)密、生活隱私不受到侵犯和威脅。避免出現(xiàn)病毒的傳染、網(wǎng)絡(luò)資源的非法占用、非法存取、拒絕服務(wù)，對(duì)黑客的網(wǎng)絡(luò)攻擊進(jìn)行制止和防御。

1.3 網(wǎng)絡(luò)安全的基本特征

保密性：保密性指的是不將用戶的個(gè)人隱私、商業(yè)機(jī)密、生活隱私等信息向外界透露，不泄密給非授權(quán)的個(gè)人，法律規(guī)定的除外。

可控制性：簡(jiǎn)言之，可控制性就是指對(duì)企業(yè)信息的傳播方式，傳播途徑都可以很好的掌握，必要時(shí)，可以及時(shí)控制企業(yè)信息的發(fā)出?？梢栽谑跈?quán)范圍內(nèi)對(duì)文件的流向以及方式進(jìn)行控制。

可用性：可用性是指保證用戶在合法的情況下，可以及時(shí)訪問到所需要的信息資源。具體是指：可用性合法用戶訪問信息并能夠按要求順序使用信息的特性。

2 網(wǎng)絡(luò)安全問題分析

2.1 內(nèi)部因素

企業(yè)在安全意識(shí)方面注意度不夠。即使目前已經(jīng)有了相當(dāng)大一部分企業(yè)加快了企業(yè)內(nèi)部信息化建設(shè)的步伐，但是企業(yè)管理者往往看到的只是企業(yè)信息化帶來的經(jīng)濟(jì)效益和社會(huì)效益。卻忽略了信息化建設(shè)發(fā)展中存在的一些問題，對(duì)信息化的建設(shè)發(fā)展沒有引起高度重視。

管理者在管理制度上存在一定的缺陷，存在著管理制度不夠完善的情況。由于管理制度的整體缺失，加上管理者可能出現(xiàn)操作上的疏忽，這在一定程度上就給了黑客和不法分子趁虛而入的機(jī)會(huì)，從而造成企業(yè)信息被竊取，導(dǎo)致企業(yè)蒙受不必要的損失。

國(guó)內(nèi)軟件制作技術(shù)相對(duì)落后，軟件安全得不到高度保障。自信息化時(shí)代以來，尤其是近幾年軟件技術(shù)發(fā)展十分迅速。即便如此，但是我國(guó)在軟件制作技術(shù)發(fā)面和發(fā)達(dá)國(guó)家在軟件制作技術(shù)方面還是存在著一定差距。

在企業(yè)信息化管理人員方面，尤其是具備這方面的高素質(zhì)管理人才，我國(guó)還很缺乏。在企業(yè)信息化安全策略制定的前期，日常安全系統(tǒng)的維護(hù)及日后安全系統(tǒng)的升級(jí)，都需要這方面的高素質(zhì)人才進(jìn)行操作。由此可見，企業(yè)高素質(zhì)管理人才的缺乏將直接影響到企業(yè)的信息化建設(shè)。其次，我國(guó)的相關(guān)法律法規(guī)及制度還不夠完善。法規(guī)的不夠具體和空白現(xiàn)象，必然直接影響到信息化的建設(shè)，阻礙企業(yè)未來的發(fā)展效益。

2.2 外部因素

企業(yè)在信息化建設(shè)過程中受到的影響有很大一部分來自外部因素。隨著社會(huì)經(jīng)濟(jì)的發(fā)展，加上市場(chǎng)經(jīng)濟(jì)的推動(dòng)，在市場(chǎng)競(jìng)爭(zhēng)中，信息的準(zhǔn)確性已經(jīng)顯得十分重要。有很大一部分不法分子靠竊取商業(yè)機(jī)密來牟利，想盡一切辦法和手段來竊取企業(yè)信息達(dá)到目的。與此同時(shí)，還存在著競(jìng)爭(zhēng)對(duì)手用不良手段竊取其他企業(yè)商業(yè)秘密，獲得經(jīng)濟(jì)利益。目前黑客可以通過傳播病毒和攻擊用戶防護(hù)系統(tǒng)等手段入侵企業(yè)的信息化網(wǎng)絡(luò)，攻擊企業(yè)信息系統(tǒng)。

3 信息化網(wǎng)絡(luò)安全問題的研究對(duì)策

加強(qiáng)對(duì)網(wǎng)絡(luò)安全的保護(hù)，在對(duì)建設(shè)企業(yè)信息化的問題上，起到了至關(guān)重要的作用。不僅為企業(yè)提供了一個(gè)良好的網(wǎng)絡(luò)安全環(huán)境，還為企業(yè)信息化工作提供了一個(gè)很好的網(wǎng)絡(luò)信息傳輸平臺(tái)。下面是一些加強(qiáng)對(duì)網(wǎng)絡(luò)安全的保護(hù)對(duì)策。

3.1 數(shù)據(jù)加密技術(shù)

數(shù)據(jù)加密可以用來提高信息系統(tǒng)的安全性，對(duì)用戶數(shù)據(jù)的保密性也有著十分明顯的作用。數(shù)據(jù)加密手段對(duì)保護(hù)數(shù)據(jù)外泄有著非常好的效果。數(shù)據(jù)加密具體通過對(duì)數(shù)據(jù)的傳輸、數(shù)據(jù)的存儲(chǔ)、數(shù)據(jù)的完整性這幾個(gè)方面來加強(qiáng)對(duì)企業(yè)數(shù)據(jù)的防護(hù)，以此來提高企業(yè)整體上的安全系數(shù)，達(dá)到保障企業(yè)信息化建設(shè)順利進(jìn)行目的。

3.2 主機(jī)安全技術(shù)

主機(jī)安全技術(shù)主要控制系統(tǒng)用戶能否進(jìn)入系統(tǒng)和進(jìn)入系統(tǒng)后可以訪問哪些資源。這對(duì)保護(hù)用戶的安全可以起到一定的防范作用。同時(shí)他還具備操作系統(tǒng)安全，數(shù)據(jù)庫(kù)安全，應(yīng)用軟件程序安全等方面的應(yīng)用。

3.3 樹立安全意識(shí)

企業(yè)在信息化發(fā)展進(jìn)程中，必須要意識(shí)到企業(yè)發(fā)展環(huán)境的重要性，如果企業(yè)的發(fā)展過程中沒有一個(gè)良好的網(wǎng)絡(luò)環(huán)境。那么在企業(yè)的發(fā)展過程中，企業(yè)的商業(yè)機(jī)密和部分信息資源就很有可能被泄露。那么對(duì)于企業(yè)而言，這種打擊無疑是毀滅性的，很可能導(dǎo)致企業(yè)經(jīng)濟(jì)效益下降。因此樹立良好的安全意識(shí)不僅可以讓競(jìng)爭(zhēng)對(duì)手找不到下手的機(jī)會(huì)，打消其作案念頭和使得其不具備作案條件。與此同時(shí)，還可以為企業(yè)的后續(xù)發(fā)展打下良好的基礎(chǔ)。

3.4 選擇安全性能高的防護(hù)軟件

世界上的任何一款軟件都可以被破解，沒有絕對(duì)破解不了的信息化軟件。但是要明白的是，一些好的信息化軟件比起那些次的信息化軟件，其性能方面是不可比擬的。無論是在操作性能上還是在破解難度上，高性能的防護(hù)軟件，都有著其獨(dú)特的性能優(yōu)勢(shì)。

3.5 要時(shí)刻加強(qiáng)對(duì)企業(yè)內(nèi)部信息化的系統(tǒng)管理

為了加強(qiáng)企業(yè)的信息化管理，可以采用一些必要的技術(shù)手段。例如：采取數(shù)據(jù)加密技術(shù)、防火墻技術(shù)和訪問控制技術(shù)。當(dāng)然，加強(qiáng)對(duì)企業(yè)的安全意識(shí)，對(duì)企業(yè)信息化管理也有著一定程度上的幫助。只有加強(qiáng)對(duì)企業(yè)的信息化管理，才能為企業(yè)的系統(tǒng)安全打下良好的基礎(chǔ)。

4 結(jié)語

企業(yè)在信息化建設(shè)過程中，遇到的網(wǎng)絡(luò)問題涉及面非常廣，我國(guó)企業(yè)信息網(wǎng)絡(luò)安全技術(shù)的研究仍處于起步階段，對(duì)一些網(wǎng)絡(luò)安全方面遇到的問題，需要人們?nèi)ド钊胙芯亢瓦M(jìn)一步的探索，實(shí)時(shí)保障企業(yè)信息化網(wǎng)絡(luò)的安全，對(duì)企業(yè)經(jīng)濟(jì)的快速發(fā)展起著重要作用。

參考文獻(xiàn)

篇8

安全管理的重點(diǎn)關(guān)注內(nèi)容為安全生產(chǎn)，這也是當(dāng)前煤礦企業(yè)發(fā)展探究的熱門、重點(diǎn)話題。對(duì)于煤礦企業(yè)而言，安全生產(chǎn)不僅關(guān)系著企業(yè)的正常運(yùn)行，還關(guān)系著群眾的生命，關(guān)系著煤礦工人家屬一家團(tuán)圓的期待。由此可見，做好煤礦企業(yè)的安全生產(chǎn)管理能夠讓企業(yè)沿著良性模式發(fā)展，并實(shí)現(xiàn)科學(xué)化、標(biāo)準(zhǔn)化管理，最終來達(dá)到提升企業(yè)經(jīng)濟(jì)效益的目的，促進(jìn)社會(huì)和諧發(fā)展。

一、煤礦企業(yè)安全管理方面的弊端

（一）安全管理意識(shí)淡薄

在新時(shí)期，隨著煤礦企業(yè)的發(fā)展，煤礦企業(yè)越來越重視企業(yè)之間的競(jìng)爭(zhēng)力與收入狀況，

卻忽視了發(fā)展過程中的安全生產(chǎn)，在安全生產(chǎn)上面的宣傳和重視力度不足，未正確認(rèn)識(shí)到經(jīng)濟(jì)收入與安全生產(chǎn)、企業(yè)發(fā)展三者之間的關(guān)系，當(dāng)安全與生產(chǎn)二者處于矛盾對(duì)立狀態(tài)時(shí)，企業(yè)內(nèi)通常是將生產(chǎn)放在首位，他們認(rèn)為只有多出煤才能提升企業(yè)的經(jīng)濟(jì)收入，才能推動(dòng)企業(yè)發(fā)展，員工才能有錢可賺，而安全管理意識(shí)卻較淡薄。

（二）安全管理制度體系欠完善

部分煤礦企業(yè)內(nèi)部的安全生產(chǎn)責(zé)任制還未完善，在履行安全管理上面的條款落實(shí)度不夠，

可操作性差，可考核性不高。部門與部門之間在安全管理方面的協(xié)調(diào)性不足，缺乏交流、溝通，煤礦企業(yè)在生產(chǎn)時(shí)，由于缺乏健全的管理制度，以及先進(jìn)的管理手段企業(yè)安全管理則存在弊端。

（三）煤礦企業(yè)技術(shù)人員不足

新時(shí)期，煤礦企業(yè)之間的競(jìng)爭(zhēng)力相當(dāng)大，企業(yè)之間的管理人員、技術(shù)性人才的流動(dòng)性很嚴(yán)重，剛從學(xué)校畢業(yè)的大學(xué)生根本不愿到一線地區(qū)實(shí)踐、工作，不了解這個(gè)煤礦開采的程序，無法委以重任，企業(yè)內(nèi)高技術(shù)、高能力人才不足。就一線煤礦工人而言，絕大部分為農(nóng)民，人員之間存在著較嚴(yán)重的流動(dòng)性、松散型，他們的文化知識(shí)較低，安全知識(shí)認(rèn)識(shí)掌握不足，致使煤礦企業(yè)的安全工作很難落實(shí)到位[1]。

（四）安全培訓(xùn)工作不到位

大部分煤礦企業(yè)內(nèi)都未對(duì)內(nèi)部煤礦工人定期開展安全生產(chǎn)的安全知識(shí)宣傳與培訓(xùn)工作，使得一線開采工人安全意識(shí)淡薄，不懂得如何來保護(hù)自己，讓自己遠(yuǎn)離危險(xiǎn)，即便是安全培訓(xùn)，更多的也只是口頭傳授，教育與培訓(xùn)形式單調(diào)，培訓(xùn)的內(nèi)容未付諸實(shí)踐，實(shí)踐性不強(qiáng)，很多企業(yè)就是為培訓(xùn)而培訓(xùn)，應(yīng)付工作，走過場(chǎng)。

（五）缺乏一整套完善的有效的獎(jiǎng)懲制度

很多煤礦企業(yè)內(nèi)在安全管理方面缺乏一整套完善的有效的獎(jiǎng)懲制度。因?yàn)楠?jiǎng)懲工作做的不到位，或是獎(jiǎng)懲制度不平衡，從企業(yè)的獎(jiǎng)懲制度來看，在獎(jiǎng)勵(lì)方面的條款較少，懲罰方面的則較多，對(duì)于管理者來講，懲罰制度的制定與落實(shí)是約束人們行為的一種方法，但是對(duì)于部分人群來講，則會(huì)激起他們與企業(yè)管理人的叛逆、對(duì)抗心理。與此同時(shí)，部分企業(yè)內(nèi)在獎(jiǎng)懲上面時(shí)效性不強(qiáng)，獎(jiǎng)懲不及時(shí)也就降低了安全生產(chǎn)管理工作的實(shí)踐性。

二、新時(shí)期應(yīng)如何做好煤礦企業(yè)的安全管理工作

（一）提升煤礦企業(yè)管理各部門的安全管理意識(shí)

安全管理理念屬于煤礦企業(yè)展開安全生產(chǎn)管理的基本指導(dǎo)思想，也是提升也經(jīng)濟(jì)效益的關(guān)鍵點(diǎn)。在實(shí)踐過程中提升企業(yè)內(nèi)各部門之間之間的溝通，聯(lián)系，讓企業(yè)各部門工作人員都具備較強(qiáng)的安全生產(chǎn)意識(shí)，不斷完善企業(yè)內(nèi)的安全質(zhì)量量化目標(biāo)體系[2]。與此同時(shí)，企業(yè)內(nèi)還可實(shí)行安全監(jiān)督體系，在崗的所有人員可自行監(jiān)督或相互監(jiān)督，以防止安全事故的發(fā)生。對(duì)于企業(yè)內(nèi)已有的安全管理法，還需不斷創(chuàng)新、不斷完善，使其更加滿足新時(shí)期提出的新條件、新要求。

（二）組建科學(xué)的安全管理系統(tǒng)

煤礦企業(yè)必須在“以人為本”的基礎(chǔ)上，組建科學(xué)的安全管理系統(tǒng)，并與現(xiàn)代化計(jì)算機(jī)技術(shù)結(jié)合起來，將現(xiàn)代化的計(jì)算機(jī)主動(dòng)技術(shù)與網(wǎng)絡(luò)技術(shù)均應(yīng)用到安全管理系統(tǒng)中，創(chuàng)建一整套科學(xué)、安全、可行的動(dòng)態(tài)信息監(jiān)測(cè)系統(tǒng)，來對(duì)煤礦一線工作人員進(jìn)行監(jiān)測(cè)和管理，能夠詳細(xì)的、全面的了解工作人員的情況，并分析事故致因，消除和預(yù)防各類安全事故。

（三）定期組織和開展安全培訓(xùn)工作

煤礦企業(yè)在安全培訓(xùn)上面應(yīng)始終堅(jiān)持“投資少、收獲多、回報(bào)高”的原則，對(duì)企業(yè)內(nèi)所有員工定期組織和開展安全培訓(xùn)工作，提升企業(yè)工作人員的安全管理意識(shí)，進(jìn)一步強(qiáng)化企業(yè)內(nèi)工作人員的教育、培訓(xùn)工作，培訓(xùn)之后還需將培訓(xùn)內(nèi)容付諸實(shí)踐，工作人員應(yīng)根據(jù)培訓(xùn)中要求的安全操作規(guī)程操作，做到遵章守紀(jì)、不違規(guī)，確保企業(yè)正常運(yùn)營(yíng)。

（四）健全、完善煤礦企業(yè)的安全檢查制

安全生產(chǎn)是煤礦企業(yè)發(fā)展的核心。所以，煤礦企業(yè)需制定出更加符合自己企業(yè)發(fā)展需要的安全管理措施，地方煤礦局負(fù)責(zé)人與地方政府需強(qiáng)化對(duì)煤礦的安全監(jiān)督檢查工作。在企業(yè)內(nèi)部實(shí)行責(zé)任制，將責(zé)任落實(shí)到人頭，并成立相應(yīng)的安全監(jiān)管小組，定期對(duì)小組安全管理工作進(jìn)行考核、評(píng)價(jià)，推動(dòng)煤礦企業(yè)的全面發(fā)展。

（五）健全、完善煤礦企業(yè)的獎(jiǎng)懲制度

煤礦企業(yè)內(nèi)還需不斷完善內(nèi)部獎(jiǎng)懲制度，確保獎(jiǎng)懲制度的平衡性，并提升獎(jiǎng)懲制度的時(shí)效性，對(duì)于應(yīng)該獎(jiǎng)勵(lì)的行為還應(yīng)及時(shí)給予獎(jiǎng)勵(lì)，但是對(duì)于一些違規(guī)違紀(jì)事件，就應(yīng)及時(shí)作出批評(píng)和懲罰，確保煤礦企業(yè)獎(jiǎng)懲工作落實(shí)到位。

（六）加大安全管理資金投入，在煤礦企業(yè)內(nèi)營(yíng)造良好安全文化氛圍

企業(yè)還應(yīng)加大在安全管理方面的資金投入，并合理運(yùn)用所投入資金來進(jìn)行系統(tǒng)安全建設(shè)、設(shè)備維修工作，定期組織人員檢查煤礦企業(yè)內(nèi)所有生產(chǎn)設(shè)備，看其設(shè)備零件有無松動(dòng)、脫落現(xiàn)象，有無設(shè)備老化現(xiàn)象，一旦發(fā)現(xiàn)問題，應(yīng)立即維修，對(duì)于部分老化設(shè)備應(yīng)及時(shí)更換，確保工作人員能安全生產(chǎn)，減少因設(shè)備問題而帶來嚴(yán)重安全事故，在煤礦企業(yè)內(nèi)營(yíng)造良好安全文化氛圍[3]。

總之，近年來，煤礦安全事故發(fā)生率不斷提升，各大煤礦企業(yè)都應(yīng)在安全生產(chǎn)上面引起高度重視，總結(jié)各起煤礦安全事故發(fā)生原因，不斷完善企業(yè)內(nèi)的煤礦安全管理相關(guān)制度體系，全面做好煤礦企業(yè)的安全管理工作，促進(jìn)煤礦企業(yè)的全面發(fā)展。

參考文獻(xiàn)

篇9

doi：10.3969/j.issn.1673 - 0194.2016.16.000

[中圖分類號(hào)]TP393.08 [文獻(xiàn)標(biāo)識(shí)碼]A [文章編號(hào)]1673-0194（2016）16-00-01

信息化已經(jīng)成為企業(yè)發(fā)展過程中的必然選擇。在企業(yè)信息化體系之下，數(shù)據(jù)的流動(dòng)，除了物聯(lián)網(wǎng)帶動(dòng)的各種數(shù)據(jù)采集外，工作人員之間的溝通仍然是企業(yè)信息流動(dòng)的重點(diǎn)驅(qū)動(dòng)力量。隨著數(shù)據(jù)實(shí)時(shí)性特征領(lǐng)域相關(guān)需求的不斷突出，企業(yè)環(huán)境內(nèi)部各種即時(shí)通信工具也開始日漸盛行。

1 企業(yè)即時(shí)通信系統(tǒng)安全特征分析

企業(yè)即時(shí)通信系統(tǒng)（Enterprise Instant Messenger，EIM）是即時(shí)通信系統(tǒng)在企業(yè)環(huán)境中的深入應(yīng)用，通常以基礎(chǔ)腳本作為起點(diǎn)展開面向企業(yè)環(huán)境的功能開發(fā)，能夠支持文本、語音、視頻以及其他標(biāo)準(zhǔn)數(shù)據(jù)的傳輸支持。從應(yīng)用的角度看，在企業(yè)環(huán)境內(nèi)部中，EIM的出現(xiàn)對(duì)當(dāng)前社會(huì)上正在使用的其他IM通信工具有一定的替代作用，尤其是對(duì)于油田組織而言，這種替代作用尤其明顯。因?yàn)樵谶@樣的大型工業(yè)環(huán)境中，工作時(shí)涉及的信息溝通方，通常也是日常生活中的朋友，因此EIM對(duì)于這樣的群體而言，完全能夠取代社會(huì)化IM的地位。

當(dāng)前EIM系統(tǒng)的工作框架，如圖1所示。

從圖1中可以看出，C/S模式仍然是當(dāng)前EIM中最為常用的架構(gòu)?？蛻舳送ㄟ^網(wǎng)絡(luò)環(huán)境實(shí)現(xiàn)數(shù)據(jù)的傳輸與交換，保持對(duì)服務(wù)器的使用狀態(tài)，而同時(shí)服務(wù)器通過公共數(shù)據(jù)網(wǎng)實(shí)現(xiàn)對(duì)于客戶端身份認(rèn)證，以及消息的過濾與轉(zhuǎn)發(fā)。

從安全的角度看，EIM主要面臨的問題包括病毒的傳播和用戶身份授權(quán)管理不善。由于EIM的文件傳輸采取了P2P模式，它可以將文件作為附件通過點(diǎn)對(duì)點(diǎn)方式傳送，而繞過網(wǎng)絡(luò)周邊安全防御設(shè)備。這種工作方式本質(zhì)上無法對(duì)病毒實(shí)現(xiàn)有效地防范，造成病毒威脅。除此以外，緩沖區(qū)溢出、拒絕服務(wù)等攻擊方式也屢見不鮮。而在用戶身份管理方面，用戶賬號(hào)授權(quán)管理不善，移動(dòng)端丟失默認(rèn)登錄以及密碼被盜是主要存在的安全問題。當(dāng)前IM開發(fā)商對(duì)于系統(tǒng)的擴(kuò)展性傾注了過多關(guān)注，但對(duì)于認(rèn)證機(jī)制考慮不足，也會(huì)給攻擊者可乘之機(jī)。

文件交換過程中的弱加密甚至于不加密的狀態(tài)，同樣可能會(huì)導(dǎo)致信息截取問題的發(fā)生。以及考慮到當(dāng)前主流的EIM 軟件都提供了腳本編寫功能，雖然方便了企業(yè)用戶實(shí)現(xiàn)EIM二次開發(fā)，但是卻會(huì)進(jìn)一步加劇蠕蟲病毒等威脅。

2 加強(qiáng)EIM安全建設(shè)

考慮到當(dāng)前EIM對(duì)于企業(yè)工作正常展開的重要價(jià)值，加強(qiáng)對(duì)其安全建設(shè)就顯得格外重要。結(jié)合目前該領(lǐng)域的發(fā)展，可以發(fā)現(xiàn)有如下幾個(gè)方面，可以作為提升EIM安全水平的工作重點(diǎn)。

2.1 加強(qiáng)用戶身份管理

用戶登錄過程中可靠和嚴(yán)謹(jǐn)?shù)纳矸蒡?yàn)證，對(duì)提升EIM的整體安全有著毋庸置疑的積極價(jià)值。如果用戶在進(jìn)行注冊(cè)的時(shí)候，已經(jīng)將密碼摘要存入服務(wù)器，則可以考慮在SHA-1報(bào)文摘要算法的基礎(chǔ)上展開對(duì)于登錄驗(yàn)證的優(yōu)化。首先在客戶端發(fā)起登錄請(qǐng)求的時(shí)候，服務(wù)器端生成一個(gè)隨機(jī)值，聯(lián)通登錄界面一同反饋給客戶端，而后在客戶端完成密碼輸入之后，采用SHA-1算法來生成報(bào)文摘要1，再和隨機(jī)值散列生成報(bào)文摘要2，并進(jìn)行提交。最后，服務(wù)器在接到相關(guān)數(shù)據(jù)之后，將兩個(gè)方面的報(bào)文摘要進(jìn)行對(duì)比，進(jìn)一步來確定是否授權(quán)登錄。

2.2 加強(qiáng)信息交換安全建設(shè)

在EIM環(huán)境中，信息的傳輸和交換是主要的職能，同時(shí)也是安全隱患最為嚴(yán)重的環(huán)節(jié)。信息傳輸和交換的過程中，必須要保證信息內(nèi)容不被竊取或篡改，同時(shí)要考慮信息傳輸?shù)男蕟栴}，尤其是在工業(yè)環(huán)境之下，很多數(shù)據(jù)都要求強(qiáng)實(shí)時(shí)性的情況下，實(shí)現(xiàn)安全和效率的平衡至關(guān)重要。實(shí)際工作中需要合理安排加密機(jī)制，例如：利用對(duì)稱密鑰算法IDEA加密明文，同時(shí)采用RSA機(jī)制對(duì)秘鑰進(jìn)行加密傳輸，確保信息機(jī)密。隨后用MD5生成信息摘要，并且用RSA為摘要簽名，提升簽名速度的基礎(chǔ)之上保證信息不可抵賴特征。諸如此類相關(guān)機(jī)制，共同構(gòu)建起完善的EIM安全環(huán)境。

2.3 文件傳輸模塊設(shè)計(jì)安全

對(duì)于這一方面，主要是考慮在原有文件傳輸功能的基礎(chǔ)上，附加兩層安全防護(hù)技術(shù)來進(jìn)一步保證傳輸?shù)陌踩?，即病毒掃描技術(shù)和文件加密技術(shù)。其中前者能夠有效防止已經(jīng)受到病毒感染文件的進(jìn)一步傳輸，并且對(duì)其進(jìn)行隔離，保證系統(tǒng)安全。而后者則用于實(shí)現(xiàn)面向文件內(nèi)容的安全保證，使文件處于密文狀態(tài)發(fā)送，用來防止攻擊者竊取文件成功后直接得到文件的真實(shí)內(nèi)容。

3 結(jié) 語

篇10

一、會(huì)計(jì)信息化系統(tǒng)與會(huì)計(jì)電算化系統(tǒng)的比較

會(huì)計(jì)信息化系統(tǒng)與會(huì)計(jì)電算化系統(tǒng)相比，無論從技術(shù)上還是內(nèi)容上來講都是一次質(zhì)的飛躍，其意義不亞于從手工會(huì)計(jì)系統(tǒng)到會(huì)計(jì)電算化系統(tǒng)的飛躍。二者在基本特征上是有很大區(qū)別的。

從基本的技術(shù)支撐以及行為特征上看，會(huì)計(jì)電算化系統(tǒng)是財(cái)會(huì)部門邊界范圍內(nèi)的獨(dú)立信息系統(tǒng)；是基于局域網(wǎng)的信息系統(tǒng)；是模擬人工業(yè)務(wù)內(nèi)容和流程的系統(tǒng)；是事后核算型系統(tǒng)；是與業(yè)務(wù)處理分割的系統(tǒng)；是與管理控制分割的系統(tǒng)；它無法實(shí)現(xiàn)與企業(yè)內(nèi)其他系統(tǒng)的數(shù)據(jù)共享。而相應(yīng)地，會(huì)計(jì)信息化系統(tǒng)是企業(yè)邊界范圍內(nèi)的非獨(dú)立信息系統(tǒng)；是基于互聯(lián)網(wǎng)的信息系統(tǒng)；是業(yè)務(wù)流程重組以后的系統(tǒng)；是實(shí)時(shí)數(shù)據(jù)處理的系統(tǒng)；是與業(yè)務(wù)協(xié)同處理的系統(tǒng)；是實(shí)時(shí)管理控制的系統(tǒng)；是信息高度集成和共享的系統(tǒng)。以上的差異導(dǎo)致在具體操作手段上對(duì)會(huì)計(jì)信息化系統(tǒng)出現(xiàn)了不同于會(huì)計(jì)電算化系統(tǒng)的要求，而安全問題是網(wǎng)絡(luò)財(cái)務(wù)發(fā)展的瓶頸，關(guān)系到財(cái)務(wù)網(wǎng)絡(luò)化的建立與發(fā)展，是應(yīng)優(yōu)先提出并解決的問題。

二．會(huì)計(jì)信息化系統(tǒng)面臨的安全隱患與對(duì)策

1.安全隱患

在電子商務(wù)這種新的經(jīng)濟(jì)模式下，財(cái)務(wù)系統(tǒng)的安全受到了以前所沒有碰到過的挑戰(zhàn)，產(chǎn)生了不同于以往的安全隱患，比如各種數(shù)據(jù)與財(cái)務(wù)報(bào)表是以電子的形式存在，并且這些本已脆弱的電子數(shù)據(jù)還要在私有的甚至是公共網(wǎng)絡(luò)上傳遞，這樣使得在整個(gè)財(cái)務(wù)流程中產(chǎn)生出了很多新的漏洞。這些有別于傳統(tǒng)會(huì)計(jì)電算化系統(tǒng)的安全隱患?xì)w根結(jié)底是由網(wǎng)絡(luò)的不安全所導(dǎo)致的。

Internet的無限性和技術(shù)的開放性，為實(shí)現(xiàn)工作場(chǎng)地虛擬化，資料記錄無紙化，數(shù)據(jù)傳遞遠(yuǎn)程化，信息交流數(shù)字化提供了廣闊的空間，在當(dāng)今時(shí)代已經(jīng)顯現(xiàn)出無比的優(yōu)越性，但也使一些不法分子常常有機(jī)可乘，從而使用戶有價(jià)值的企業(yè)信息、關(guān)鍵性的商業(yè)應(yīng)用以及公司客戶的各類私人保密信息暴露。惡意的襲擊會(huì)侵入網(wǎng)絡(luò)財(cái)務(wù)站點(diǎn)，進(jìn)行各種可能的破壞，如制造和傳播破壞性病毒或讓服務(wù)器拒絕服務(wù)等。這些攻擊可導(dǎo)致公眾信心的喪失，網(wǎng)絡(luò)財(cái)務(wù)實(shí)施的瓦解。目前網(wǎng)絡(luò)上已經(jīng)存在的釣魚攻擊以及經(jīng)過特別編制的木馬病毒，都可以使用戶的信用卡帳號(hào)與密碼泄露。當(dāng)前我國(guó)擁有網(wǎng)上銀行用戶以千萬計(jì)，每年在網(wǎng)上流通的資金數(shù)以千億計(jì)，如若各種攻擊可輕易得手，后果將不堪設(shè)想。美國(guó)有關(guān)機(jī)構(gòu)曾做過測(cè)試，沒有任何安全保護(hù)措施的計(jì)算機(jī)在Internet上的“存活時(shí)間”已經(jīng)從2003年平均近1小時(shí)下降到了2005年的不足20分鐘。如此脆弱的網(wǎng)絡(luò)確實(shí)讓人擔(dān)憂，而以這樣的互聯(lián)網(wǎng)為平臺(tái)的網(wǎng)絡(luò)財(cái)務(wù)更讓人擔(dān)憂。

2.解決對(duì)策