首页 > 文章中心 > 关于企业信息安全措施

关于企业信息安全措施

前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇关于企业信息安全措施范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。

关于企业信息安全措施

关于企业信息安全措施范文第1篇

随着油田信息化高速发展,大批业务系统集中部署在数据中心,信息资产呈现高度集中趋势,给企业信息安全保障工作提出了新的要求。信息安全态势日益严峻,黑客攻击手段不断翻新,利用“火焰”病毒、“红色十月”病毒等实施的高级可持续攻击活动频现,对国家和企业的数据安全造成严重威胁。因此,及时掌握信息系统保护状况,持续完善系统安全防护体系,对于保证信息资产的安全性和油田业务系统的连续性具有重要的现实意义。在信息安全领域中,安全评估是及时掌握信息系统安全状况的有效手段。而其中的信息安全风险评估是是一种通用方法,是风险管理和控制的核心组成部分,是建立信息系统安全体系的基础和前提,也是信息系统等级测评的有效补充和完善。因此,研究建立具有油田公司特色的信息安全风险评估模型和方法,可以为企业科学高效地开展信息安全风险评估工作提供方法指导与技术保障,从而提高油田勘探开发、油气生产和经营管理等数据资产的安全性,为油田公司信息业务支撑平台的正常平稳运行保驾护航。

1风险评估研究现状

从当前的研究现状来看,安全风险评估领域的相关研究成果主要集中在标准制定上。不同的安全评估标准包含不同的评估方法。迄今为止,业界比较认可的风险评估相关标准主要有国际标准ISO/IECTR13335IT安全管理、美国NIST标准SP800-30IT系统风险管理指南(2012年做了最新修订)、澳大利亚-新西兰标准风险管理AS/NZS4360等。我国也根据国际上这些标准制定了我国的风险评估标准GB/T20984-2007信息安全技术风险评估规范以及GB/Z24364-2009信息安全技术信息安全风险管理指南。

1.1IT安全管理ISO/IECTR13335

IT安全管理ISO/IECTR13335系列标准是最早的清晰描述安全风险评估理论及方法的国际标准,其主要目的是给出如何有效地实施IT安全管理的建议和指导,是当前安全风险评估与风险管理方面最权威的标准之一。ISO/IECTR13335(以下简称为IS013335)包括了五个部分:第一部分IT安全概念和模型(1996)主要描述了IT安全管理所用的基本概念和模型。IS013335介绍了IT安全管理中的安全要素,重点描述了:资产、威胁、脆弱性、影响、风险、防护措施、残留风险等与安全风险评估相关的要素。它强调风险分析和风险管理是IT安全管理过程的一部分,也是必不可少的一个关键过程。图1表示资产怎样潜在经受若干威胁。[2]如图1所示,某些安全防护措施在降低与多种威胁和/或多种脆弱性有关的风险方面可以是有效的。有时,需要几种安全防护措施使残留风险降低到可接受的级别。某些情况中,当认为风险是可接受时,即使存在威胁也不实施安全防护措施。在其他一些情况下,要是没有已知的威胁利用脆弱性,可以存在这种脆弱性。图2表示与风险管理有关的安全要素之间的关系。为清晰起见,仅表示了主要的关系。任何二个方块之间箭头上的标记描述了这些方块之间的关系。第二部分管理和规划IT安全(1997)主要提出了与IT安全管理和规划有关的各种活动,以及组织中有关的角色和职责。[2]第三部分IT安全管理技术(1998)本部分介绍并推荐用于成功实施IT安全管理的技术,重点介绍了风险分析的四种方法:基线方法、非正式方法、详细风险分析和综合方法。[2]第四部分安全防护措施的选择(2000)为在考虑商业需求和安全要素的情况下选择安全防护措施的指南。它描述了根据安全风险和要素及部门的典型环境,选择安全防护措施的过程,并表明如何获得合适的保护,如何能被最基础的安全应用支持。[2]第五部分网络的安全防护措施(2001)为关于网络和通信方面的IT安全管理指南,这一指南提供了根据建立网络安全需求来考虑的通信相关因素的识别和分析。[2]

1.2风险评估实施指南

SP800-30SP800-30(风险评估实施指南,2012年9月)是由NIST制定的与风险评估相关的标准之一,它对安全风险评估的流程及方法进行了详细的描述,提供了一套与三层风险管理框架结合的风险评估办法,用于帮助企业更好地评价、管理与IT相关的业务面临的风险。它包括对IT系统中风险评估模型的定义和实践指南,提供用于选择合适安全控制措施的信息。SP800-30:2012中的风险要素包括威胁、脆弱性、影响、可能性和先决条件。(1)威胁分析威胁源从利用脆弱性的动机和方法、意外利用脆弱性的位置和方法等方面进行分析。(2)脆弱性和先决条件考虑脆弱性时应注意脆弱性不仅仅存在于信息系统中,也可能存在于组织管理架构,可能存在于外部关系、任务/业务过程、企业/信息安全体系架构中。在分析影响或后果时,应描述威胁场景,即威胁源引起安全事件导致或带来的损害。先决条件是组织、任务/业务过程、企业体系架构、信息系统或运行环境内存在的状况,威胁事件一旦发起,这种状况会影响威胁事件导致负面影响的可能性。(3)可能性风险可能性是威胁事件发起可能性评价与威胁事件导致负面影响可能性评价的组合。(4)影响分析应明确定义如何建立优先级和价值,指导识别高价值资产和给单位利益相关者带来的潜在负面影响。(5)风险模型标准给出了风险评估各要素之间的关系的通用模型。[3]

1.3风险评估规范

GB/T20984-2007GB/T20984-2007是我国的第一个重要的风险评估标准。该标准定义了风险评估要素关系模型,并给出了风险分析过程,具体如图3所示:风险分析中涉及资产、威胁、脆弱性三个基本要素。首先识别出威胁、脆弱性和资产,然后根据威胁出现的频率和脆弱性的严重程度分析得到安全事件发生的可能性,再根据脆弱性严重程度和资产价值分析得到安全事件造成的损失,最后根据安全事件发生的可能性及造成的损失分析确定风险值。

2信息安全风险评估模型构建

结合某油田企业实际情况,在参考上述标准及风险分析方法风险分析的主要内容为:a)识别资产并对资产的价值进行赋值;b)识别威胁,并根据威胁出现的频率给威胁赋值;c)识别脆弱性,并将具体资产的脆弱性赋为2个值,一个是脆弱性严重程度,一个是脆弱性暴露程度;d)分析脆弱性被威胁利用可能导致的安全事件;e)分析确定出安全事件发生后带来的影响不能被单位所接受的那些安全事件;可以接受的安全事件对应的风险等级确定为低;f)针对不可接受安全事件,分析相应的威胁和脆弱性,并根据威胁以及脆弱性暴露程度,以及相关安全预防措施的效果计算安全事件发生的可能性;g)针对不可接受安全事件,根据相应脆弱性严重程度及资产的价值,以及相应预防措施的有效性计算安全事件造成的损失:的基础上,总结形成油田企业风险要素关系模型如图4所示,风险计算模型如图5所示:h)根据不可接受安全事件发生的可能性以及安全事件发生后的损失,计算安全事件发生会对企业造成的影响,即风险值,并确定风险等级。

3模型创新点及优势分析

信息安全风险评估方式和方法很多,如何建立适合油田企业当前安全需求的风险评估模型、评估要素赋值方法以及风险计算方法是本文要解决的技术难点和创新点。1)对于资产的赋值,从资产所支撑的业务出发,结合信息系统安全保护等级及其构成情况,提出了根据业务数据重要性等级和业务服务重要性等级确定资产的重要性,使得风险评估与业务及等级保护结合更加紧密。2)对于脆弱性赋值,将脆弱性细分为暴露程度及严重程度两个权重。其中暴露程度与威胁赋值确定安全事件发生可能性,严重程度与资产价值确定安全事件造成的影响。3)将现有安全措施进一步细化,分解为预防措施和恢复措施,并研究得到预防措施有效性会影响到安全事件发生可能性,而恢复措施有效性会影响到安全事件造成的损失。4)结合被评估单位的实际业务需求,提出了仅针对被评估单位的不可接受安全事件进行数值计算,减少了计算工作量,有助于提升风险评估工作效率。5)根据油田企业实际需求,将安全事件发生可能性和安全事件造成的损失赋予不同的权重,从而使得风险计算结果中安全事件损失所占比重更大,更重视后果;并通过实例验证等方式归纳总结出二者权重比例分配。

险评估模型应用分析

4.1资产识别

资产识别主要通过现场访谈的方式了解风险评估范围涉及到的数据、软件、硬件、服务、人员和其他六类资产相关的业务处理的数据及提供的服务和支撑业务处理的硬件设备和软件情况。4.1.1资产重要性分析资产重要性分析以信息系统的业务为出发点,通过对业务处理的数据以及提供的服务重要性赋值的方法确定信息系统资产价值。业务处理的数据以及业务提供的服务的重要性分析及赋值方法具体如下。4.1.1.1业务数据重要性分析业务数据资产的重要性主要根据业务数据的安全属性(即三性:保密性、完整性和可用性)被破坏对本单位造成的损失程度确定。油田企业各业务系统所处理的数据信息根据数据安全属性被破坏后可能对油田企业造成的损失严重程度进行赋值。一般赋值为1—5。4.1.1.2业务服务重要性分析服务资产的重要性根据其完整性和可用性被破坏对本单位造成的损失程度确定。通过与相关人员进行访谈,调查了解每种业务提供的服务和支撑业务处理的硬件设备和软件情况,根据服务安全属性被破坏后可能对油田企业造成损失的严重程度,为各种业务服务重要性赋值。一般赋值为1—5。4.1.2资产赋值通过分析可以看出,六类资产中数据资产和业务服务资产的重要性是决定其他资产重要性的关键要素,因此,六类资产的赋值原则如下:1)数据资产重要性根据业务数据重要性赋值结果确定。2)服务资产重要性根据业务服务重要性赋值结果确定。3)软件和硬件资产的重要性由其所处理的各类数据或所支撑的各种业务服务的重要性赋值结果中的较高者决定。4)人员的重要性根据其在信息系统中所承担角色的可信度、能力等被破坏对本单位造成的损失程度确定。5)其他资产重要性根据其对油田企业的影响程度确定。

4.2威胁识别

4.2.1威胁分类对威胁进行分类的方式有多种,针对环境因素和人为因素两类威胁来源,可以根据其表现形式将威胁进行分类[4]。本论文采用GB/Z24364-2009信息安全技术信息安全风险管理指南中基于表现形式的威胁分类方法。4.2.2威胁赋值根据威胁出现的频率确定威胁赋值,威胁赋值一般为1~5。对威胁出现频率的判断根据风险评估常规做法获得,比如安全事件报告、IDS、IPS报告以及其他机构的威胁频率报告等。

4.3脆弱性识别

4.2.1脆弱性分类脆弱性识别所采用的方法主要有:问卷调查、配置核查、文档查阅、漏洞扫描、渗透性测试等。油田企业脆弱性识别依据包括:GB/T22239信息安全技术信息系统安全等级保护基本要求的三级要求以及石油行业相关要求。4.2.2脆弱性赋值原则脆弱性赋值时分为脆弱性暴露程度和脆弱性严重程度。暴露程度根据其被利用的技术实现难易程度、流行程度进行赋值。对脆弱性的暴露程度给出如下5个等级的赋值原则:脆弱性的严重程度根据脆弱性被利用可能对资产造成的损害程度进行赋值。脆弱性的严重程度分为5个等级,赋值为1~5。

4.4现有安全措施识别

4.4.1现有安全措施识别方法信息系统环境中的现有安全措施根据其所起的安全作用分为预防措施和恢复措施。预防措施用于预防安全事件的发生(例如入侵检测、网络访问控制、网络防病毒等),可以降低安全事件发生的概率。因此针对每一个安全事件,分析现有预防措施是否能够降低事件发生的概率,其降低发生概率的效果有多大。恢复措施可以在安全事件发生之后帮助尽快恢复系统正常运行,可能降低安全事件的损失(例如应急计划、设备冗余、数据备份等),因此针对每一个安全事件,分析现有恢复措施是否能够降低事件损失,其降低事件损失的效果有多大。4.4.2现有安全预防措施有效性赋值原则通过识别信息系统现有安全措施及其有效性验证,针对每一个安全事件,分析现有预防措施中可能降低事件发生概率的情况,并对预防措施的有效性分别给出赋值结果。评估者通过分析安全预防措施的效果,对预防措施赋予有效性因子,有效性因子可以赋值为0.1~1。4.4.3现有安全恢复措施有效性赋值原则通过识别信息系统现有安全措施及其有效性验证,针对每一个安全事件,分析现有恢复性安全措施中可能降低事件损失的情况。评估者通过分析安全恢复措施的有效性作用,对安全恢复措施赋予有效性因子,有效性因子可以赋值为0.1~1。

4.5安全事件分析

4.5.1安全事件关联综合识别出的脆弱性及现有安全措施识别出的缺陷,结合油田企业信息系统面临的各种威胁,将各资产的脆弱性与威胁相对应形成安全事件。分析这些安全事件一旦发生会对国家、单位、部门及评估对象自身造成的影响,分析发生这些安全事件可能造成影响的严重程度,从中找出部门(或单位)对发生安全事件造成影响无法容忍的那些安全事件,即确定不可接受安全事件。4.5.2安全事件发生可能性分析(1)计算威胁利用脆弱性的可能性针对4.5.1中分析得出的不可接受安全事件,综合威胁赋值结果及脆弱性的暴露程度赋值结果,计算威胁利用脆弱性导致不可接受安全事件的可能性,采用乘积形式表明其关系,即安全事件发生的可能性的初始结果计算公式如下:L1(T,V)1=T×V1其中,L1(T,V1)代表不可接受事件发生的可能性的初始结果;T代表威胁赋值结果;V1代表脆弱性的暴露程度赋值结果。(2)分析现有预防措施的效果通过对企业信息系统的现有安全措施的识别和有效性验证,针对4.5.1分析得到的不可接受安全事件,分析描述现有预防措施中可能降低事件发生概率的情况,并给出有效性因子赋值结果。(3)计算安全事件发生的可能性考虑到现有安全措施可能降低安全事件发生的可能性,因此安全事件发生的可能性的最终计算公式为:L2(T,V)1=L1(T,V1)×P1其中,L2(T,V1)为最终安全事件发生的可能性结果;L1(T,V1)为安全事件发生的可能性初始结果;P1代表安全预防措施有效性赋值结果。然后,形成调节后的安全事件可能性列表。4.5.3安全事件影响分析(1)计算脆弱性导致资产的损失将各资产的脆弱性(管理类脆弱性除外,管理类脆弱性采用定性方式进行主观分析)与威胁相对应形成安全事件(4.5.1不可接受安全事件列表),根据资产的重要性及脆弱性的严重程度,计算脆弱性可能导致资产的损失,即:F1(A,V2)=A×V2其中,F1(A,V2)代表安全事件可能导致资产的损失的初始计算结果;A代表资产价值,即资产赋值结果;V2代表脆弱性严重程度,即脆弱性严重程度赋值结果。(2)分析现有安全恢复措施的有效性通过对油田企业信息系统的现有安全措施的识别和有效性验证,针对4.5.1分析得到的不可接受安全事件,分析描述现有恢复措施中可能降低事件发生的概率的情况,并根据表9的赋值原则分别给出安全恢复措施的有效性赋值结果。(3)计算安全事件的损失考虑到恢复措施可能降低安全事件带来的损失,因此安全事件损失可以根据安全恢复措施的有效性予以调整。采用乘积形式表明关系,即:F2(A,V2)=F1(A,V2)×P2其中,F2(A,V2)为安全事件可能造成的损失的最终计算结果;F1(A,V2)为安全事件可能造成损失的初始计算结果;P2代表安全恢复措施有效性赋值结果。然后,形成调节后的安全事件损失计算结果列表。

4.6综合风险计算及分析

4.6.1计算风险值结合油田企业关注低可能性重性的安全事件的需求,参照美国关键信息基础设施风险评估计算方法,采用安全事件发生的可能性以及安全事件可能带来的损失的加权之和方式计算风险值。这种方法更加重视安全事件带来的损失,使得损失在对风险值的贡献中权重更大。在使用油田企业以往测评结果试用的基础上,将安全事件可能带来的损失的权重定为80%。具体计算公式为:R(L2,F)2=L2(T,V)1×20%+F2(A,V)2×80%其中,R(L2,F2)代表风险值,L2(T,V1)为安全事件发生可能性的最终结果,F2(A,V2)为安全事件可能造成的损失的最终计算结果。4.6.2风险结果判断计算出风险值后,应对风险值进行分级处理,将风险级别划分为五级。4.6.3综合分析根据风险计算结果,从多个不同方面综合汇总分析被评估信息系统存在的安全风险情况。例如可从以下几方面汇总分析:1)风险较高的资产统计:汇总存在多个脆弱性可能导致多个中等以上风险等级安全事件发生的资产,从资产角度综合分析被评估信息系统存在的安全风险情况;2)引起较高风险的脆弱性统计:汇总会给被评估信息系统带来中等以上安全风险的脆弱性及其影响的资产及严重程度,分析可能带来的危害后果;3)出现频率较高的脆弱性统计:汇总中等以上脆弱性在资产中的出现频率,从而反映脆弱性在被评估系统中的普遍程度,出现频率越高,整改获取的收益越好。4)按层面划分的风险点分布情况汇总:汇总网络、主机、应用、数据、物理、管理等各层面存在的脆弱性及其严重程度,对比分析风险在不同层面的分布情况。

5结语

关于企业信息安全措施范文第2篇

【关键词】煤矿企业;计算机网络;管理;安全措施

企业计算机系统是一个分级分散的大型城域性网络,网络管理不是局部性的工作,仅仅依赖于集中式的网管系统也难以对整个网络实施有效管理的。为确保整个网络的通畅,及时定位、快速修复网络故障,一定要对整个网络实行全面管理,掌握整个网络的运行状况。煤矿企业这样的地域宽广、用户量较大的大型计算机网络,进行分布式管理是较好的解决方案,分布式管理系统不但能提高管理效率,保障管理的安全可靠性,也有利于逻辑集中,关于协作关系的分布系统,使全局性的管理工作更明确、简单、实用。

1、网络管理

1.1网管中心的总体建设目标

(1)煤矿企业网管中心一般负责骨干网和核心服务器群的管理,并具备对下级网管中心进行监督指导的技术手段和工具。

(2)二级网管中心的主要职能是确保煤矿企业总部与工作单位的网络畅通和数据的完整接收与上传,并具备对三级网管中心进行监督指导的技术手段和工具,同时在网络管理上发挥承上启下的作用。

通过各级网管中心的分工协作,对整个企业计算机网络的配置、故障、性能、状态实现集中指导下的分级分布式管理。

1.2网络管理系统总体要求

(1)网络管理功能。全网管理中心设在煤矿企业总部网络中心,在二级下属单位设立二级网管中心,进行分布式管理。计算机网络管理软件可以实现对网络的拓扑管理、状态监控、性能管理、故障管理等;支持煤矿企业计算机网络信息系统跨地域的各分支机构局域网内部可能存在的IP地址重叠状况,还具有分布式管理的能力。

(2)服务器监控。在各级网管中心对计算机应用系统的服务器进行监控,主要包括服务器状态、重要的性能参数、进程状态、文件变化等内容,确保服务器的正常运行。在发生问题时,可以及时报警,并按其需要,对不同的管理员采用不同的报警方式,确保在最短时间内查出问题出现的原因。

(3)故障管理。在各级网管中心建立故障管理系统,收集各种管理功能产生的故障事件,并按照事件类型、事件源对事件进行分类显示。

(4)软件分发管理。在各级网管中心对煤矿企业计算机应用系统的服务器进行集中的软件分发管理,管理员在中心完成软件的打包、下发、确认等软件更新管理,以实现快速软件部署。

(5)资源管理。在各级网管中心对计算机应用系统的资源进行统计,主要包括软件、硬件配置信息。资源信息存放在关系数据库中,人员能运用资源管理系统进行资源查询。

(6)远程控制管理。在各级网管中心对各级应用系统的服务器进行远程控制,实现远程技术支持。通过远程控制,中心管理员能够获得远程机器的键盘、鼠标和屏幕,监视或控制其操作,并能与对方通信,远程下发给对方需要的文件,以实现对远程服务器的支持。远程控制管理要在广域网上工作。

(7)存储备份管理。在各级网管中心对主要应用系统的服务器进行数据备份,主要包括重要文件和应用数据,如数据库数据,以确保在发生故障时,能够进行数据恢复。

(8)决策分析管理。在各级网管中心对网络系统的管理信息进行汇总和相关的决策分析,以全面了解网络系统运行的状况,发现隐患,为提高管理水平提供决策信息。

1.3网络管理系统的功能

它主要包含网络配置管理、网络故障管理、网络性能管理、网络安全管理和网络自动化管理等功能。

2、网络安全措施

煤矿企业的信息网络系统在规划、设计和建设开发应用初期,一定要重视网络安全和信息安全,通常需要网络信息安全方面的技术人员及专业公司进行规划设计。煤矿企业网络与信息系统的安全必须解决以下几个问题:物理链路安全问题;网络平台安全问题;系统安全问题;应用安全问题;管理安全问题。

(1)网络和信息安全体系设计原则。即整体安全;有效管理;合理折中;责权分明;综合治理。

(2)网络和信息安全体系结构。此模型由安全服务、协议层次和系统单元三个层面描述,在每个层面上,均包含安全管理的内容。此模型在整体上表现为一个三线立体框架结构。

3、实施措施方法

在煤矿企业信息系统的安全实施中,需要综合使用备份技术(数据镜像、备份线路、备份设备)、VLAN技术、lP地址绑定、ACL技术、负载均衡技术、防火墙技术、NAT技术等构建企业网络安全防范系统。使用VPN技术,实现企业驻外机构和移动用户访问企业Intent资源的数据保密通信,构建企业内部保密通信子网。

(1)网络安全防范。①网络优化;②防火墙设备配置;③安全策略的实施。

(2)网络数据保密。①互联网、ADSL和拨号用户的VPN解决方案。②构建保密通信子网。

(3)入侵检测系统。选用金诺网安入侵检测系统,分别放置在SSN区域、中心交换机的监控目上,重点保护子网所在的VLAN网段。

(4)安全评估系统。在煤矿企业网络系统中,需要配备一套安全评估软件,定期对局域网内的服务器、网络设备、安全设备进行扫描,及时发现网络系统中存在的弱点和漏洞,并采取相应的补救措施。扫描内容主要包括服务器的设置合理与否、防火墙的规则配置状况、路由器的路由表是否能被轻易修改等。此安全评估软件能从不同角度对网络进行扫描,能安装在管理网段的一台机器上,也能安装在笔记本电脑上,从外部网络扫描内部网络。

4、煤矿企业数据中心系统

在煤矿企业信息化中,建立安全、可靠、高效的数据中心系统非常重要。

(1)主机系统。基于系统软件和可靠性等多方面的具体情况,数据中心服务器:一是数据库服务器,二是应用服务器。其中,数据库服务器由于要求高性能和高可靠性可由多台小型机组成集群系统,提供24小时不间断的数据存取服务;应用服务器要按各个应用系统需求不同,分别配置不同性能的PC服务器。

(2)操作系统平台。煤矿企业中心机房小型机使用UNIX操作系统;其他PC服务器-般可采用MS,Windows或LINUX服务器版操作系统,工作站及个人微机可使用几个桌面操作系统。

关于企业信息安全措施范文第3篇

关键词 ERP系统 企业 电子系统 管理

一 、ERP在我国企业实施的现状

ERP(Enterprise Resource Planning,企业资源规划)是指建立在信息技术基础上,通过对企业销售、生产、采购、物流等各个环节以及人力资源、生产设备、资金等企业内部资源的有效控制和管理,实现企业内部资源的优化配置,提高企业生产效率和市场响应能力的管理平台。

在20世纪80年代,人们把生产、财务、销售、采购、人力资源等各个信息子系统集成为一个一体化的系统,并成为制造资源计划,MRPⅡ的基本原理就是把企业作为一个有机整体,以生产计划为主线,从整体最优的角度出发,通过运用科学方法对企业各种制造资源和产、供、销、材各个环节进行统一有效的计划、组织和控制,使物流、信息流、资金流流动畅通的动态反馈系统,成为以生产制造为主线,即物流、信息流、资金流为一体的全面制造资源计划。

在MRPⅡ管理模式下,可以有生产活动与财务活动有关的数据,把实物形态的物料流动直接转化为价值形态的资金流动,从而保证了生产与财务数据的事实性和一致性,使财务部门得到及时、准确的资金信息,用于控制成本,参与决策,指导和控制生产经营活动。

由于国外MRPⅡ供应商的热情.媒体的宣传和众人的盲从,MRPⅡ在我国的应用曾经有一个,但终因不具备MRPⅡ生长的环境而平息。

我国ERP真正的运用是20世纪90年代,从90年代中后期开始,为了确立竞争优势,各国企业更加关注进入市场的时间,产品的质量,服务的水平和运营成本的降低,并且为适应市场全球化的要求,组织结构和投资结构也趋向于分布式和扁平化,ERP就是在这种时代背景下面市的,在ERP系统设计中,考虑到仅靠自己企业的资源不可能有效地参与市场竞争,还必须把经营过程中的有关各方,如:供应商、制造工厂、分销网络、客户等纳入一个紧密的供应链中,才能有效的安排企业的产、供销活动。满足企业利用一切市场资源,快速高效地进行生产经营的需求,并准确及时的反映各方的动态信息,监控经营成本和资金流向,以其进一步企业对市场反映的灵活性和财务效率,并在市场上获得竞争优势。

ERP是一种面向企业供应链的整体资源的管理和利用,可对供应链上的所有环节进行有效的管理。从90年代起,全球ERP/MRPⅡ软件产品市场排名最前的一些公司纷纷进入我国市场,国内著名的几家财务公司也联名宣布进军ERP领域在企业中掀起一场ERP热潮。2002年3月7日,国家经贸委和信息产业部联合发出《关于大力推进企业管理信息化的指导意见》,对企业管理信息化提出具体要求“国家重点企业管理信息化的起点要求,步伐要快。到‘十五’末期,大多数国家重点企业要基本实现企业信息化,制造类企业可以应用ERP为主”,“其他国有大中型企业要努力实现比较完善的财务、营销管理信息化”。这一指导意见对ERP的应用起到了推动作用,目前有一千多家企业在应用ERP,客观上达到了利用计算机辅助管理的目的,并在一定程度上促进了企业管理的改进、提高和创新。

但是,从应用效果上看,无论我国政府还是企业,在这方面投入不少,其应用效果令人担忧。在我国ERP实施的成功率不足50%,同西方国家相比存在很大的差距。据美国生产与库存控制协会统计,企业成功应用ERP后,库存下降30%~50%;延期交货减少80%,采购提前期缩短50%,停工待料减少50%,制造成本减少12%,管理水平提高,管理人员减少10%,生产能力提高10%~15%。从这些数据可以看出,ERP的成功应用可以为企业带来很乐观的利益和前景,其在国外应用的也相当成功,已经成为国外企业进行日常工作流程管理和决策支持必不可少的工具。但在我国在应用和实施ERP软件中遇上很多问题。

二、ERP在我国企业实施中存在的问题

ERP在我国实施的成功率低下或者说ERP项目的实施不能达到我国企业期望的目标,主要原因在于:

1.企业管理者和员工的管理思想落后。ERP系统本身蕴涵着先进的管理思想,实施ERP是一项管理系统工程,涉及企业运营的方方面面,且要求对企业的业务流程进行重组,变革现行的管理模式。然而,我国企业由计划经济的时间不长,由于历史的惯性,企业中的一些人员还习惯于计划经济下的传统的管理模式,包括管理方式、组织机构、工作方式等,市场意识不强,难以接受新的管理思想和方式,更不愿意变革。虽然在某种程度上使用了IT,但是并没有辅之以新的管理理念,只是“穿新鞋走老路”,ERP的应用效果不能凸显,甚至阻碍了ERP进一步发展。

管理思想是ERP的灵魂,实施业务流程重组和管理信息化后,企业管理思想和管理模式将发生革命性的质的变化,不能正确认识的管理思想就不可能很好地去实施和应用ERP系统,因此,管理者和员工的管理理念和工作方式必须进行相应调整。

2.ERP环境下信息系统内部控制存在的问题。(1)信息系统非授权访问的风险。对企业信息系统的使用必须经过授权,非授权的访问,将带来对企业重要信息的泄漏或丢失的风险。企业信息系统非授权访问的威胁主要来自于:系统内部和系统外部,如:黑客入侵和病毒攻击,尤其是有意图的、有目的的攻击行为。将给企业带来巨大的伤害,严重威胁企业信息的机密性、完整性和可用性。(2)信息系统管理部门内职责分离的控制风险。职责分离,是企业内部控制的基础控制手段,主要目标是防范内部人员的舞弊行为带给企业的灾难。在ERP的环境下,信息系统不相容的职责分离主要有:系统设计人员和系统操作人员的职责分离,系统维护人员与系统操作人员的职责要分离,系统操作人员、系统设计人员与数据档案管理人员职责要分离,数据库管理员与信息系统管理部门的其他职责要分离。(3)不同信息系统之间信息传递的控制风险。ERP系统需要与原有的生产管理系统、网上电子采购系统以及已停止使用但保留历史数据的用友财务会计系统进行沟通,虽然R/3软件提供了系统外部接口,但是,企业很难直接将它们和ERP系统进行接口连接,进行集成管理。

3.ERP系统中的信息不对称。我国大多数企业信息化基础比较弱,各个信息系统之间相互不匹配、不融合,如销售部门、财务部门、行政部门等部门之间信息系统数据不统一。这主要是由于:(1)基础数据的准确性差。如生产系统运行不规范、生产过程不稳定、企业管理机制和市场环境不完善等,破坏了基础数据的统一性、完整性、和流畅性,最终导致基础数据的准确性下降。(2)物流、资金流和信息流不一致。物流、资金流和信息流不是紧密联系的, 企业内部的信息不一致,许多部门之间的数据不一致,对同一个问题得出的结论不同,甚至完全相反。这些造成企业管理资源的浪费,给企业带来损失。

三、我国ERP应用率低下的解决对策

1.革新管理理念。ERP不仅仅对企业带来的ERP软件,更重要的是给企业带来了先进的管理理念,企业实施ERP过程,也是将ERP的管理理念引入企业的过程。那么ERP的实施必然涉及企业的业务流程、组织机构设置、人员配置等方方面面的配套改革。也必然涉及各方面利益关系的调整,所有这些仅仅依靠企业的某个功能,都没有办法解决,都需要企业关键领导出面对企业业务流程重组和变革以适应ERP的实施给企业带来的先进管理理念,可以说,企业的高层领导,革新理念、积极参与是成功实施ERP的关键。

2.改革ERP环境下信息系统的内部控制。防范ERP信息系统的风险,保证系统的安全,必须采取全面有效的控制措施。(1)建立信息安全管理委员会,完善组织控制。企业可以设立独立的信息安全管理委员会,主要用于指导、协调和评价企业信息系统。实施过程中的安全控制措施,该委员会应该于信息系统的维护和使用部门相独立,负责确认企业管理层的信息安全方针,并在企业组织中指派安全角色。协调企业安全措施的实施。以达到对信息系统的监管和有效的风险防范的作用。该委员会可以和企业审计部门合作,对企业信息系统的是使用和信息安全管理的效果,进行综合评价,促进企业信息系统的改进。(2)加强网络安全管理。为抵制恶意软件的入侵,企业应该实施一系列控制措施来保证网络安全,例如:运行专用的网关软件进行网络监控,采用专用内容过滤技术,组织各种恶意内容的入侵等,并通过对防火墙扫描器入侵检测等系统安全的支撑产品,信息的采集与信息系统的事故报告进行关联分析,以便于更准确的了解信息系统,受到非授权访问或攻击的信息。以及控制措施和控制效果,有利于企业控制重点的调整,加强网络风险的防范。(3)加强员工的信息安全意识。进行信息安全的再交易,企业信息系统的安全管理,离不开人的作用,企业从上至下都建立起信息安全的概念,并由管理层从战略高度出发,根据企业集团的需要和特点,制定一套清晰的信息安全指导方针,并向企业内部各组织,表明管理层对信息安全的支持和承诺。同时对员工信息安全的再教育,培养员工的信息安全意识。使员工在处理业务处理时,能够依据企业的信息安全方针,进行信息安全控制和风险防范。

3.进行ERP与电子商务的整合。一个有效的企业管理信息系统应该具有智能性,具备一定分析和提炼综合分析能力,能提供准确的、及时的、可供决策的信息。实现这一系统功能离不开电子商务。电子商务的实质是企业经营管理的各个环节的信息化过程,电子商务的开展对ERP思想的实质将起到一个桥梁作用。电子商务是建立在ERP的基础之上的应用,ERP是企业实施电子商务的支撑系统,具体关系体现为:基于供应链的兼容性。企业中存在三种流,物流、资金流和信息流。其中信息流不是孤立的,它与物流和资金流紧密联系。反映了物资和资金流动前、中、后的状况。对基于这三种流分别存在的物资供应链,资金供应链和信息供应链。由于电子商务主要涉及采购和销售业务,因此网上采购部和网上销售部成为企业的物流和资金流的一部分。虽然ERP首先使用了供应链管理思想,但供应链并不依赖于ERP而存在。供应链是企业一种客观存在。任何企业应用系统都可以使用供应链管理的思想和方法。

基于客户关系管理的关联性。客户关系管理(CRM)是ERP系统的一个发展方向。面向客户的客户关系管理。不仅仅是将销售过程自动化,而且帮助企业充分利用关键客户和企业数据来优化商业决策过程。CRM赋予客户与企业进行交流的能力。而这种交流是通过电子商务来实现的。电子商务系统的运行为客户和企业之间的交流提供中介。向ERP提高最直接的数据资料。

整合是根据企业发展战略和业务流程合并、撤消或增加一些业务部门。包括水平整合和垂直整合。同时也要求应用软件各模块的合理划分和有机集成。而且还必须有数据库层和操作层来支持。具体的实现途径如下:

(1)功能整合。基于Internet的ERP系统应满足企业及伙伴库存管理与销售管理的基本功能。库存管理包括入库盘点等。销售管理包括发货、发票管理等。

(2)观念和人才整合。整合必须牵动全局,会影响企业现行的管理思想、管理制度和管理方法。更为重要的是,将会引起许多人利益的再分配。因而必然会遇到许多阻力。这就要求最高决策层全力推动转变观念,接受先进的管理理念,要求企业的所有员工必须在思想上有正确的认识,以便于在有机组织中,充分发挥每个员工的主观能动性与全能,提高企业对市场动态变化的响应速度。同时要求,商业管理人员要有计算机知识,IT技术人员要有管理理论和商务知识,这样企业才能对电子商务下的ERP有哪些需求,技术上应该怎么实现,有个清楚的认识。企业如果缺乏复合型人才,便无法有效的实施ERP与电子商务的融合。

电子商务与ERP的无缝整合可以最大限度地提高企业对市场的快速反应能力和满足客户的个性化服务,最终实现以供应链管理为目标,使企业能在激烈的市场竞争中,立于不败之地。

参考文献

[1]诺伯特・韦尔蒂.成功的ERP项目实施.北京:机械工业出版社.2001.

[2]Alexis leon.企业资源规划.北京:清华大学出版社.2001.

[3]杨雄胜.内部控制面临的困境及出路.会计研究,2006.02.

关于企业信息安全措施范文第4篇

 

1、企业网络信息安全管理的现状分析

 

1.1、钢铁企业信息化的必要性分析

 

随着我国经济的发展和科技的进步,信息化已在越来越多的企业中被得到应用,而钢铁企业作为我国的经济支柱之一,在近年来也逐渐实现了钢铁企业的信息化建设。在钢铁企业中实施信息化建设,一方面是可以将钢铁企业的发展空间扩大,提高企业本身的在市场的竞争力,使其在如今竞争激励的市场中占有一席之地,对钢铁企业实施信息化建设是企业发展的需要;另一方面,由于钢铁企业的业务,其所涉及到数据、文档和图纸等的数量都是比较多的,想要将这些数据、文档和图纸储存起来是一件不容易的事,操作起来比较复杂,而通过信息化技术的支持则可以大大的简化了这个储存操作的过程,便于人员进行操作,使钢铁企业的运行效率得到大大的提高,对钢铁企业实施信息化建设是企业管理的需要。除此之外,随着生产链全球化和供应链全球化的日益紧密,钢铁企业作为我国的经济支柱之一,要求其利用信息化管理加强对钢铁生产建设的指导的迫切性已是越来越突出。因此,对钢铁企业实施信息化建设是非常有必要的,它不仅仅是钢铁企业本身发展的需要,也是钢铁企业管理的需要,同时也还是生产链全球化和供应链全球化对钢铁企业生产的要求所在。

 

1.2、当前存在的问题

 

上述信息化优势证明我国电力企业近年来关于网络信息化建设取得了一些成果,给行业信息化建设打下了良好的基础,但在网络信息安全管理方面仍普遍存在较多问题。

 

(1)信息化机构建设不健全

 

钢铁企业很少为信息管理部门专门设置机构,因而缺乏应有的规范的岗位及建制。大多信息部门附属在技术部、科技部或总经理工作部门下,甚至仅设置一个专责人员负责。信息化管理是一项系统性的工程,没有专门的部门负责是不能满足现代企业信息化安全的需求的。

 

(2)企业管理阻碍信息化发展

 

有些钢铁企业管理办法革新缓慢,大多采用较落后的、非现代信息化企业的管理模式。这样的企业即便引入最完善的信息管理系统、最先进的信息化设备,也只能受落后的企业管理模式所制约,无法发挥其应有的作用。

 

(3)内部监管不足,相关法规不够完善

 

内部网络安全监管对信息安全管理起着至关重要的作用。很多信息安全案件发生的根本原因都是缺乏有效的网络安全监管,即使许多信息安全管理者认识到了加强内部监管的重要性,但实施起来依然阻力重重。很多具体的危害信息安全的行为并没有在现行的信息安全法律、法规中做出明确的界定。

 

(4)身份认证缺陷

 

电力企业一般只建立内部使用的信息系统,而企业内部不同管理部门、不同层次员工有不同等级的授权,根据授权等级不同决定各部门和员工访问的数据和信息不同。这类授权是以身份认证为基础的信息访问控制,但在当前的企业身份认证系统中大多存在缺陷和漏洞,给信息安全留下隐患。

 

(5)软件系统安全风险较大

 

软件系统安全风险指两方面,一是编写的各种应用系统可能有漏洞造成安全风险,二是操作系统本身风险,随着近期微软停止对windowsXP系统的服务支持,大量使用windowsXP系统的信息管理软件都将得不到系统漏洞的修补,这无疑会给信息安全带来极大风险。

 

(6)管理人员意识不足

 

很多钢铁企业员工网络安全意识参差不齐,一方面是时代的迅速发展导致较年轻的管理人员安全意识较高,而对网络接触较少的中老年员工网络安全意识较为缺乏;另一方面也有电力企业管理制度不够完善、忽视对员工进行及时培训的原因。在这种人员背景下,如果管理人员配备不当、信息管理系统设置不合理都会给企业信息埋下安全隐患。

 

2、完善企业网络信息安全方案的具体实施

 

2.1、防火墙部署

 

防火墙是建立在内部专有网络和外部公有网络之间的。所有来自公网的传输信息或从内网发出的信息都必须穿过防火墙。网络访问的安全一方面我们要配置防火墙禁止对内访问,以防止互联网上黑客的非法入侵;另一方面对允许对内访问的合法用户设立安全访问区域。防火墙是在系统内部和外部之间的隔离层,可保护内部系统不被外部系统攻击。

 

通过配置安全访问控制策略,可确保与外界可靠、安全连接。防火墙的功能是对访问用户进行过滤,通过防火墙的设置,对内网、公网、DMZ区进行划分,并实施安全策略,防止外部用户或内部用户彼此之间的恶性攻击。同时防火墙支持VPN功能,对经常出差的领导、员工支持远程私有网络,用户通过公网可以象访问本地内部局域网一样任意进行访问。此外,防火墙还可以收集和记录关于系统和网络使用的多种信息,为流量监控和入侵检测提供可靠的数据支持。

 

2.2、防病毒系统

 

计算机网络安全建设中其中最为关键的一个部分即是加强对防病毒系统的建设,这就需要在实际工作中,通过科学合理对防病毒系统进行装置,从而实现对病毒的集中管理,利用中心控制室来对局域网的计算机和服务器进行有效的监视,从而加强病毒的防范。而对于进入到计算机系统内的病毒则需要做出及时的影响,预以及时清除。

 

2.3、流量监控系统

 

什么是流量监控?众所周知,网络通信是通过数据包来完成的,所有信息都包含在网络通信数据包中。两台计算机通过网络“沟通”,是借助发送与接收数据包来完成的。所谓流量监控,实际上就是针对这些网络通信数据包进行管理与控制,同时进行优化与限制。流量监控的目的是允许并保证有用数据包的高效传输,禁止或限制非法数据包传输,一保一限是流量监控的本质。在P2P技术广泛应用的今天,企业部署流量监控是非常有必要的。

 

2.4、合理的配置策略

 

通过将企业网络划分为虚拟网络VLAN网段,这样不仅可以有效的增加网络连接的灵活性,而且可以对网络上的广播进行有效的控制,减少没必要的广播,从而有效的释放带宽,不信有效的提高网络利用率,而且使网络的安全性和保密性能得到有效的提升,确保了网络安全管理的实现。

 

2.5、安全管理制度

 

目前我国还没有制订统一的网络安全管理规范,所以在当前网络安全不断受到威胁的情况下,需要我们首先在设计上对安全功能进行完善,其次还要加强网络安全管理制度的建立,并确保各种安全措施得以落实。对于企业中安全等级要求较高的系统,则需要由专人进行管理,实行严格的出入管理,利用不同手段对出入人员进行识别和登记管理,从而确保企业网络信息的安全性。

 

总之,在计算机技术、信息技术和网络技术的发展下,企业在生产活动中都建立了属于自己的局域网和企业办公平台,从而使企业在生产和经营过程中的数据传输速度加快,而且业务系统及管理系统以网络分支的情况下分布开来,这对于企业管理效率的提升起到了积极的作用。网络技术在企业中的应用,有效的改变了企业的生产方式,推动了企业的快速发展,但其也带来了一定的隐患,如果不能及时对网络的安全进行有效的防范,则会给企业带来严重的经济损失。

 

作者:施雅芳 来源:城市建设理论研究 2014年35期

关于企业信息安全措施范文第5篇

[关键词] 网站 信息 安全管理

一、企业商务网站建设的总体情况

电子商务网站是企业开展电子商务的基础设施和信息平台,是实施电子商务的公司与服务对象之间的交互界面,是电子商务运转的承担者和表现者。一些信息化水平高、经济实力雄厚、技术力量强的企业,往往采取自建网站的方式,即企业自己购置硬件设备并构架服务器平台,自行开发网站系统,自行对网站进行控制和管理。与主机托管、租用虚拟主机等网站构建方式相比,这种方式完全自主研发,易于采用新技术,便于扩充、升级,同时企业内部管理数据和商务网站信息高度整合,能提升企业的形象和效益。电子商务网站不容忽视的是随之带来的网络信息安全问题,比如:信息污染、病毒泛滥、黑客入侵等等。对于企业自主建设的网站而言,其安全性完全由企业自行控制,风险更大,要求更高。如何加强企业商务网站的安全管理,已成为当务之急,本文试图对此做些探讨。

二、信息安全三维模型概述

1.信息安全的安全层次结构(层次维L)。从信息安全的作用层面来看,信息安全可以分为物理安全、系统安全、数据安全和信息内容安全四层。(1)物理安全:主要体现在通信线路的可靠性、防灾害能力、防干扰能力、设备的运行环境(温度、湿度、烟尘)、不间断电源保障等等。(2)系统安全:指的是计算机与网络设备运行过程中的稳定性运行状态,因而又可称之为“运行安全”,包括操作系统的安全、网络方面的安全。(3)数据安全:是指对信息在数据处理、存储、检索、传输、显示等过程中的保护,不被非法冒充、窃取、篡改、抵赖。(4)信息内容安全:是指对信息在网络内流动中的选择性阻断,以保证信息流动的可控能力。在此,被阻断的对象主要是各种不良的、有害的信息。

2.PPDRR模型(时间维T)。PPDRR模型是典型的、动态的、自适应的安全模型,包括策略(Policy)、防护(Protection)、检测(Detection)、响应(Response)和恢复(Recovery)5个主要部分。

信息安全策略是一个组织解决信息安全问题最重要的步骤,也是这个组织整个信息安全体系的基础,反映出这个组织对现实安全威胁和未来安全风险的预期,反映出组织内部业务人员和技术人员安全风险的认识与应对。防护是安全的第一步;但采取丰富的安全防护措施并不意味着安全性就得到了可靠保障,因此要采取有效的手段对网络进行实时检测,使安全防护从单纯的被动防护演进到积极的主动防御;响应指在遭遇攻击和紧急事件时及时采取措施;恢复指系统受到安全危害与损失后,能迅速恢复系统功能和数据。这个模型中,防护、检测、响应和恢复在安全策略的指导下构成一个完整的、动态的安全循环,是基于时间关系的。

3.三大保障(保障维S)。信息安全保障体系由人员保障、管理制度保障、技术手段保障三个要素组成。安全领导小组、安全工作小组和安全工作执行人员分别从决策、监督和具体执行三个层面为网络信息安全工作提供了完整的人员保障, 良好的网络信息安全保障离不开规范严谨的管理制度,同时还需要使用一系列先进的技术工具和手段。

4.信息安全三维模型。上述分别从作用层次L、时间关系T及保障体系S这三个层面构成了信息安全的三维模型,这三维是相互关联、互相作用、不可分割的。如果将商务网站信息安全的各项措施明确在这个三维模型中的位置,就能够做到有的放矢,增强针对性和逻辑性。

三、基于三维模型的企业商务网站信息安全对策

1.物理层。从防护角度看,企业自建商务网站所在机房应具备较好的物理环境,包括UPS、空凋、消防系统等,使设备免受安全威胁和环境危险,如偷窃、火灾、水(或供水故障)、电磁辐射等。从恢复角度看,网站平台要有容灾、冗余备份等措施。在人员方面的措施包括:机房配备管理人员(除了进行岗位操作和技能培训外,还要进行职业道德、法律规范的培训);在管理制度方面的措施包括:机房管理制度(电源管理、环境管理等)、设备常规管理制度;在技术手段方面包括用于防护的视频监控、门禁系统、抗扰处理等技术和用于恢复的容错、容灾、冗余备份等技术。

2.系统层。随着网络环境越来越复杂,计算机病毒及黑客攻击手段越来越智能,影响范围越来越广、破坏力也越来越大。商业网站服务器的操作系统、WEB服务器系统如果存在较大安全漏洞,就会被黑客利用,造成整个网站的瘫痪。我们的应对措施涵盖了防护、检测、响应、恢复。这里技术手段起到了非常重要的作用,当然人员保障和管理制度也是必不可少的。

重要的技术手段包括:(1)访问控制:访问控制是网站安全防范和保护的主要策略,它的主要任务是保证网站资源不被非法使用和访问。它是保证网站安全最重要的核心策略之一。通常的访问控制包括通过Ip地址来控制、通过用户名来控制和采用共用密钥加密的方法来控制。(2)病毒防护:需要建立完整的病毒防护体系,对应用服务器、企业网内部所有的客户机进行全面的防毒扫描,保证建立及时、快速的病毒响应机制,发现病毒即时进行处理,迅速抑制病毒传播。(3)操作系统要及时打上补丁程序,并进行完善的安全配置。(4)系统容错、容灾、冗余备份等技术,使网站一旦发生问题能够及时恢复。

人员保障方面要配备技术拔尖的人才专门从事网站安全管理工作,负责操作系统、web服务器的安全配置。同时,还有有以下管理制度作保障:(1)计算机病毒预报制度和安全漏洞预报制度;(2)操作人员权限管理规定;(3)病毒、安全应急响应及处置预案;(4)安全日志管理制度。

3.数据层。商务网站的数据层安全是最为重要的,主要是保障数据的机密性、真实性、完整性。要能够查证用户的真实身份,交易中的商务信息均有保密的要求。如信用卡的账号和用户名被人知悉,就可能被盗用,订货和付款的信息被竞争对手获悉,就可能丧失商机。另外要保证交易的全过程能够被记录并作为审计依据。

数据层的主要管理制度包括:(1)网站账号管理规定。该规定应包括注册账户的资料提供、密码规定、行为规范、操作系统及服务器的账号管理等多个方面。这个规定用于数据层安全问题的防护。(2)关于网站突发事件和急处置工作预案。此预案旨在及时果断处理网上突发事件,内容可包括组织领导、工作网络、宣传教育、管理控制、案件查处等方面。这个规定用于数据层安全问题的响应和恢复。(3)安全日志管理制度,这个规定用于数据层安全问题的检测。

数据层的重要技术手段包括:(3)数据加密,即以加密格式存储和传输敏感数据。(2)身份认证:主要是利用用户有关信息对用户的身份进行确认,包括密码、数字签名、数字证书等方面来避免信息的非法获取。(3)采用具有一定安全级别的SYBASE或ORACLE大型分布式数据库,在此基础上开发一些安全措施,增加相应控件,对数据库分级管理并提供可靠的故障恢复机制。

4.信息内容层。商务网站会有留言板或论坛,便于与客户交流并提供服务。但一些有害信息如垃圾信息、虚假信息、黄色信息等就有可能在网上出现。有些客户会随意发表一些带有个人偏见的不良信息,造成不良影响。我们的目的是保证各种不良的有害信息不在网站内出现、传播。

信息内容层主要有以下管理制度:(1)信息审查制度。(2)BBS及留言版的监控与管理。这两点必须有专人负责。

信息内容层的技术手段主要是信息内容过滤,包括URL或IP限制、文字拦截、图像审查、屏幕监视等等。文字拦截功能可以按关键字拦截本机通过网络传输的信息,不仅是流入的信息, 而且可以是从本地流出的信息,这样可以防止一些本机的机密信息或者其它不良信息的外泄。

四、结束语

在信息安全方面,漏洞无非三种类型,即:技术上的漏洞,管理上的漏洞和人的思想认识上的漏洞。加强领导是做好此项工作的关键,企业可以成立专门的商务网站信息安全领导小组,由有关领导和有关职能部门(如保卫处、信息中心等)的负责人组成。另外,要建立一支网络安全管理队伍,除企业信息中心人员要求技术过硬、思想素质高外,部门要指定一名思想政治觉悟高、工作责任心强、懂电脑的人员担任网站信息安全协助管理员。除了高超的技术, 严密的规章制度,还要从领导干部、技术人员、一般用户三个层面加强宣传教育和安全培训工作。

参考文献:

[1]顾国飞等:全方位的网络信息监控体系[J]. 计算机工程与应用,2003,(10)

[2]王娜方滨兴等:“5432战略”:国家信息安全保障体系框架研究[J].通信学报,2004年07期