發布時間:2024-02-06 14:45:00
序言:寫作是分享個人見解和探索未知領域的橋梁,我們為您精選了8篇的企業信息化安全建設樣本,期待這些樣本能夠為您提供豐富的參考和啟發,請盡情閱讀。
【關鍵詞】企業信息化;信息安全問題;原因;對策
新時期下,信息化技術在各行業中運用日漸深入,給企業現代化建設與快速發展帶來了無限動力。企業信息化建設已成為我國經濟信息化建設能否成功的關鍵所在,也是提升企業自身市場競爭力與企業升級進步的重要保證和標志[1]。但是,企業信息化建設過程中不可避免的出現信息安全問題,給企業正常生產經營帶來諸多不利影響。因此,加強企業信息化建設中信息安全管理,已成為現代企業經營管理的一個至關重要的工作。
1企業信息化概述
所謂的企業信息化,指的是實現企業的資金流、物流、作業流、信息流的數字化、網絡化管理,實行企業運行的自動化和企業制度的現代化[2]。企業信息化建設涉及了企業生產經營中的各個部門,其主要利用現代化信息技術,通過完善企業內外網絡信息系統,實現對企業內外知識與信息資源的開發。可見,建設企業信息化體系,不但可以及時有效的提供各種數據信息給企業決策層,也為企業未來規劃設計提供參考依據,而且還有利于企業滿足瞬息萬變的市場需求,為企業市場核心競爭力的提升帶來動力。
2當前企業信息化建設中信息安全問題
企業信息化建設與發展為企業持續、健康、穩定發展發揮了顯著作用,但同時也存在著諸多信息安全問題,具體分析主要有以下幾方面[3]:(1)當前,絕大多數企業缺乏完善的安全防御系統,導致企業內部使用的信息系統易遭受外部網絡系統的攻擊,引發企業信息資料被他人截獲、篡改與偽造等問題,甚至企業信息系統中出現通信線路、硬盤設施以及其他文件系統遭惡意破壞現象,上述問題的發生不但致使企業信息系統無法正常運行,而且其內部機密信息易發生泄漏,造成企業嚴重的社會經濟損失。(2)針對郵件系統攻擊防不甚防。在企業信息系統中電子郵件具有重要的作用,通過電子郵件接收與傳送,極大的方便了企業內部間與外部間信息交流與溝通。然而,電子郵件安全問題也日益突出,典型的如電子郵件病毒、垃圾郵件、機密信息泄露以及電子郵件炸彈等,給企業信息傳輸帶來了巨大安全隱患。因此,電子郵件安全問題不可忽視。(3)漏洞攻擊日益嚴重。按照漏洞問題發生原因可分為軟件漏洞和協議漏洞兩種,其中軟件漏洞主要是受外部不法分子攻擊軟件自身存在的漏洞,造成企業信息泄露等問題;而協議漏洞則主要是由于TCP/IP協議自身在安全機制方面存在的諸多漏洞問題導致,外部不法人員通過攻擊TCP/IP協議漏洞,致使企業信息系統遭受破壞。目前情況,很多企業對自身信息系統缺乏成熟的漏洞檢測手段和能力,往往事發后才采取補救措施。(4)是Web服務安全問題突出,根據Web服務流程,其發生安全問題的主要組成包括Web服務端安全問題、瀏覽器客戶端安全問題兩種。其中,Web服務端安全問題主要是企業Web主機遭受外部不法分子侵入,導致企業保密信息遭竊或者企業部分信息遭受非法篡改等;瀏覽器客戶端安全問題則是企業瀏覽器客戶端遭外部非法分子侵入,致使部分機密信息與數據遭竊等。
3導致企業信息化建設中信息安全問題因素
企業信息化建設中信息安全問題發生受諸多因素影響,具體分析主要有以下幾方面[4]:(1)目前,絕大多數企業在信息化建設過程中,對于信息安全問題重視度嚴重不足。一方面,受傳統經營觀念影響,企業管理層偏重于對企業生產經營中的有形資產給予關注與重視,而忽略了企業知識與信息資料等無形資源,導致在企業信息安全管理方面各項投入嚴重不足,進而造成信息安全問題日益凸顯;另一方面,多數企業在面對信息安全問題時,存在著盲目樂觀現象,認為信息安全問題不至于導致企業正常生產經營,使得信息安全管理無法上升至企業發展規劃戰略之中,進而造成信息安全問題得不到及時有效解決。(2)由于企業信息化建設在我國尚處于起步階段,各方面配套管理制度不夠完善,特別是缺乏健全的企業信息安全管理體制。受此影響,企業信息化建設中信息安全問題一方面無法得到有效的預防措施,另一方面是一旦發生信息安全問題,無法采取及時有效的補救與解決對策。同時,由于缺乏科學、合理、有效的企業信息安全防護策略,使得企業信息管理人員缺乏必要的安全防護意識與業務素質能力,致使企業信息安全防護軟硬件工作質量與效率明顯不足。上述兩個因素,導致企業無論是從人員配置,還是資金與技術投入方面都嚴重不足,受企業信息管理人員業務素質能力不足、信息安全技術方法落后以及配套的資金缺乏等影響,企業信息安全防護的措施、手段偏低,造成企業信息化建設存在著嚴重安全隱患。
4提升企業信息化建設中信息安全對策
針對當前企業信息化建設中存在的信息安全問題,為加強企業信息安全管理,提升企業信息安全保障,可通過采取以下幾方面對策,具體有[5]:(1)轉變傳統企業信息化建設觀念,在企業內部管理層從上至下加強對企業信息安全的重視,并樹立正確的安全意識。一方面,通過組織各種信息安全管理培訓等,增強全體企業員工信息安全意識,確保企業保密信息不外漏;另一方面,逐步加大企業信息化建設中信息安全管理各項資金、技術、人力投入,并建立科學、合理、有效的企業信息安全防護策略,保障企業信息系統安全穩定。(2)不斷的推進網絡信息技術的發展與運用,促進企業組織結構網絡化的實現,同時引進先進的安全防護技術,確保企業信息化系統安全穩定運行。任何網絡信息系統都存在著或大或小的安全漏洞問題,而保證其不受外部不法分子侵入的一個關鍵方法就是安全防護技術的運用。通過選用先進的安全防護技術,可以有效的提高企業信息系統抵抗外來攻擊,避免企業信息遭受竊取、篡改甚至破壞等,對于保障企業持續、健康、穩定發展具有顯著作用。(3)結合企業信息化建設實際情況,建立健全企業內部信息系統管理體制。一方面,針對信息安全問題,應建立科學、合理、規范的信息安全管理體制,保證企業信息系統安全運行;另一方面,建立健全企業安全風險評估機制,針對不同系統找出影響其安全的因素和漏洞,并制定出最佳的對策,降低企業信息安全風險;此外,加強相應的網絡管理,防止外來不法分子通過網絡侵入企業信息系統。(4)根據新時期企業信息化建設需要,加強企業信息技術人才、信息管理人才隊伍建設,為企業信息安全管理奠定堅實的人才基礎。一方面,在企業內部,加強信息技術人才培訓,提高企業內部相關人才業務素質能力;另一方面,在企業外部,采取有效措施,積極招聘人才,引進具有先進信息技術型人才;此外,建立健全企業信息安全管理用人機制,激發員工工作積極性,提高工作質量與效率。
5小結
總而言之,企業信息安全事關企業信息化建設是否成功,對于企業持續、健康、穩定發展具有至關重要的作用。因此,應提高企業信息安全管理意識,增強企業信息安全管理機制,促進企業信息安全管理工作質量與效率,保障企業信息化建設順利開展。
作者:吳捷 單位:中海石油氣電集團有限責任公司
參考文獻
[1]毛志勇.企業信息化建設的信息安全形勢與對策研究[J].科技與產業,2008,8,(1):43~45.
[2]纂振法,徐福緣.淺析企業信息化建設的意義、問題與對策[J].吉林省經濟管理干部學院學報,2001,3:24~28.
[3]謝志宏.企業信息化建設中的信息安全問題研究[J].企業導報,2014(06):132~133.
關鍵詞:電力;通信企業;安全文化;建設
現階段,企業安全文化由于其本身具備有優良的安全管理手段的特點,已經受到眾多企業廣泛的關注。因此,怎樣有效地構建安全文化是當前電力行業及通信企業共同探討的話題。電力通信企業生產的主要目的在于如何有效地利用通信為電力企業搭建一個基礎平臺,能夠準確地控制各項生產、營銷、辦公自動化的消息的全面傳送,能夠給電網的安全生產及經營管理提供安全、可靠的通信保障及優質的服務。它不僅具備維護量大、點多面廣線長的特點,而且其技術更新過程很快,需要不斷學習才能夠具備駕馭能力。另外,其安全責任性相對較大,特別是針對電網安全運行,需要更新傳統的通信安全觀念,樹立與電網安全生產要求相適應的安全管理理念。因此,電力通信企業的安全文化管理是一個繁雜的系統性工程,由于其涉及眾多因素,必須長期堅持開展工作,而領導班子齊心協力是建設企業安全文化的重要基礎。
1 安全文化建設的內涵及意義
電力通信企業的安全文化指的是在從事電力通信生產的實際過程中,為了能夠保證生產能夠正常進行,保護職工不受到傷害,通過長時間不斷地積淀和總結,并結合當前形式下的市場積極制度所形成的一種思想及理論。其不僅是全體職工對安全工作形成階段的一種共識,而且還是電力通信企業安全工作的基礎與平臺,更是實現電力通信企業安全生產長治久安的堅強后盾。因此,安全文化在電力通信安全管理階段中具備非常重要的意義。
1.1 企業安全文化建設的步驟
1.1.1 建立機構
企業安全文化組織的保證來源于建立領導機構。委員會負責對領導的組織工作,日常工作開展主要依靠下設辦公室完善,各項二級單位需要成立專門的領導小組。安全文化建設領導機構能夠有效建立及正常運轉都少不了高層領導的高度重視。各級領導需要充分意識到建設企業文化對企業發展的重要性,積極組織好安全文化小組,完成各項任務,要保證其在任務階段能夠獲取有效成績,推進企業安全文化建設步伐,以此帶動企業安全生產管理水平的提升。
1.1.2 制訂規劃
在進行電力通信企業安全文化的建設過程中,需要有總體規劃方案,即行動有計劃,并且要定時定期地檢查計劃與規劃的執行狀況。在制定規劃的過程中,需要調查分析安全文化所涉及的內容,并且要根據電力企業安全生產及經營管理對通信專業的基本要求,對企業的安全文化理念做定格的設定。要及時地制定科學的時間表,在實施計劃過程需要講究效率及效果,而且要定期檢查實施情況。值得特別注意的是,企業必須與時俱進,要按照電力企業對通信企業提出的各項要求,進行創新文化的理念革新,及時修訂安全文化的建設規劃,使其能夠適應時展。
1.1.3 訓練骨干
在安全文化建設的過程中,只有訓練出一批對安全文化建設有正確認識及深刻體驗的骨干人才,才能夠在一定基礎上有效地帶動群眾隊伍,從而齊心地建設和完善企業安全文化。這一過程的訓練內容基本包括理論分析、實例分析及經驗詳談和單位的實施方法等。企業骨干培訓越多,企業安全文化建設的推動就越有利。所以,對于企業領導、班級領導,首先要讓自己成為企業中的骨干,只有這樣才能起到帶頭作用,才能更好地影響群眾。
1.1.4 宣傳教育
安全文化建設的手段主要通過宣傳、激勵、教育、感化的形式進行。通過采取各種文化模式,例如宣傳激勵、科技創新、文學藝術、教育培訓等協助安全文化建設的推進工作。在此有幾方面的內容需要強調,具體如下;
(1)要傳遞上級主管部門在各個環節的重要指示精神,特別是針對通信專業的具體要求,需要領悟其深刻思想,要在一定程度上加強安全生產的責任感。
(2)要積極、有效地運用“安全月”“安全隱患排查”的活動,及時做好安全文化建設的宣傳工作,營造文化氣氛。
(3)要抓住重大事故的案例進行對比,按照四不放過的原則進行嚴格管控,通過舉一反三的形式對員工進行安全意識培養。
1.1.5 努力實踐
在建設企業安全文化的階段中,不僅需要做到雷厲風行,而且還要完善實際效果。安全建設文化實踐的要點主要包括以下方面:
(1)高層領導需要起到表率的作用,要不斷深入群眾體系,聆聽大眾建議。
(2)管理人員在管理過程必須有創新精神,而且這個階段需要培養新的工作作風。
(3)需要建立完善的機制,需要表彰獎勵先進,對正確的行為方式給予鼓勵。
2 企業安全文化建設的內容及方法
當前,在電網的安全管理及經營管理都依賴于通信的形勢下,電力通信安全生產的重要性,在很大程度上決定了企業安全文化建設的必然性。其中,通信企業安全文化建設的內容主要包括以下方面:
(1)有效地完善安全機制,提升安全意識。
(2)通過對事故心理的研究,塑造優良的心理狀態。
(3)加大教育力度,增強教育效果。
(4)不斷完善安全立法,規范行為作業。
3 電力企業安全文化建設的途徑
只有將“以人為本”的概念放在文化建設的首位,才能夠有效地將企業文化塑造成具有可操作性的企業安全文化,并且以此為基礎,形成相對的安全意識及安全價值觀。當前,在電力體系不斷改革的基礎下,電力企業安全文化建設也在不斷向人性化、統一化轉變,由面向設備慢慢向面向人轉變,由面向技術逐漸轉變為面向規范化。
3.1 科學地樹立安全價值觀
在安全生產的實際階段中,電力企業需要根據自身特點,培訓員工普遍認同的科學的安全價值觀及安全生產理念,運用簡練的語言進行表述,以此激發員工的積極性以及提高員工的工作熱情,從而提升安全生產責任感。采用正確的價值觀去面對事故發生的瞬間,積極地調整和約束自己的行為,做出保護生命財產及減少損失的正確選擇。以上這些行為措施,都對提高全體員工的安全素質有一定的意義,對其實現安全生產目標有推動性作用。
3.2 建立以人為本的文化概念
國外杜邦公司經過研究認為,96%的安全因素來源于人體行為。幾年來,通過多起事故的實際調查分析,也充分證明了這一點。所以要想做好安全生產就需要對“人”進行有效管控,要從“人”這個管理要素入手,培養適合本企業的安全生產文化,并且這個階段如何被廣大職工接受,讓其在內心深處留下積極印象,從而在安全生產中發揮重要作用,這應該是當前電力通信企業安全文化建設的首要任務。
3.3 建立分成負責的安全管理網絡
在這一過程中需要建立一個以行政領導為中心、面向管理部門與基層部門班組輻射的安全管理網絡。各層需要有專人負責,各層都需要做到人員、制度、措施的3個落實制度,每層都需要重視安全文明建設,各個層面都需要能夠運行系統管理的原理方法及分析評價系統的安全狀態,要及時發現通報系統中存在的危險信號,通過采取綜合措施,讓系統中發生的事故率有所降低,使其安全狀態保持穩定。
3.4 建立統一的職業規范
根據電力系統的各項系統特征,需要制定一個有效的職業規范。安全生產技術的培訓,在一定階段中促成了職業規范的形成。嚴格的培訓能夠在一定基礎上員工的行為形成一種準則及思維方式,能夠讓員工各就其位,各負其責,能夠提高其工作效率及安全監管水平。企業需要定時對員工進行組織培訓,培訓內容應該以國家方針、政策、法律及企業安全生產技術為基礎,特別要針對剛上崗的新員工進行嚴格的崗位培訓。
一、新時期煤礦企業安全文化建設的內涵解析
(一)安全文化的產生與發展。安全文化是在社會生產以及人類生存過程中的客觀存在與主觀存在,所以,安全文化隨著人類社會的產生而產生,隨著人類社會的發展而發展。然而,在最近十年間,人類才有意識地發展安全文化,建設安全文化。隨著我國技術水平的不斷提高以及工業進程的不斷加快,人類對于安全文化逐步有了系統、科學的理解和認識。根據安全文化的演變以及發展過程,本文將安全文化歸納為幾個階段,時代的安全文化、近代安全文化、現代安全文化以及發展的安全文化。
(二)安全文化的內涵。安全文化既是文化的一個分支,更是社會文化的重要組成部分。在工業領域的安全文化就被稱為企業安全文化,倘若與管理工作或者行政工作相結合,就成為安全管理文化。總之,安全文化可以應用到各個行業和各個領域,安全文化的核心就是保障和維護人們的身心健康及生命安全。無論是哪個領域的安全文化,都包含兩個層次的結構。
安全文化的第一個層次就是表層結構,由安全使用標準和安全使用規范組成。表層結構還可以細分為非立約和立約兩類:非立約類的表層安全文化就是沒有用法規的形式表現出來,但是在人們內心約定俗成的一些內容,比如安全禮讓、安全崇尚、安全習慣、安全風俗等;立約類的表層安全文化就是指用一定的形式明確規定出來的一些內容,比如技術標準、規章、制度、條例、法律等。
安全文化的第二個層次就是里層結構,這是安全文化的理性部分,包括“安全第一”的生產及經營原則、“安全第一”的道德思想、“安全第一”的科學思想等。總之,這些內容集中體現為“安全第一”的價值觀,具體表現為以下安全要素:誓言;環境;發展戰略;道德;民主;價值;管理哲學;道路;信條;追求;風格;精神;宗旨;目標。
二、新時期煤礦企業安全文化建設中的一些問題
(一)安全文化建設程度不夠深入。隨著我國社會經濟的不斷發展以及改革開放的不斷深入,我國大部分的煤礦企業相繼開始了安全文化的建設工作,全國各地興起了“文化熱”。然而,在實際的實施過程中,煤礦企業大多重視安全技術改造方面的工作,忽視企業的安全文化建設。此外,有些煤礦企業的中層文化建設和表層文化建設都比較到位,但是,企業的安全文化規章制度還是停留在表面上和紙面上,沒有內化為全體員工的行為準則和安全習慣,即深層企業安全文化建設還比較薄弱。
(二)安全文化建設缺乏整體規劃。雖然國內很多學者對企業安全文化進行了研究,但是,這種分析和研究大多停留在理論層面和口頭層面上,安全文化的理論研究成果可操作性不強,不能適應生產實踐和社會發展的需要。煤礦企業安全文化的研究人員大多是煤礦企業的一線工作者,經驗大多為經驗式的,不太注重研究結論和研究過程的檢驗性和試驗性。此外,安全文化建設缺乏整體規劃,大多數煤礦企業沒有制定科學完善的安全規劃以及安全方案,安全文化建設過程淪為一般的安全教育過程。
(三)安全文化建設存在認識誤區。簡而言之,企業安全文化就是人們自覺形成、自覺遵守、自覺堅持的一種約定俗成的安全習慣和行為準則。但是,對于安全文化的理念以及內涵,一些人還存在認識上的誤區,具體表現如下:有的人認為安全文化建設就是搞一些文藝演出和安全活動,這種認識是淺層次的、表面性的,沒有深刻領會安全文化建設的真諦;有的人認為安全文化建設就是單純營造一種安全文化氛圍,寫一些安全警句,懸掛一些安全標示等;還有些人認為安全文化建設就是一般性的安全培訓和安全教育。
(四)安全文化建設缺乏科學評估。由于文化的“軟”特點,難以進行有效測量和有效評估。安全文化評價指標體系的建立是一項復雜、艱巨的任務和工作,它需要一套系統、完善、科學、合理的建設方案和建設計劃,包括評價結果的測量、評價方法的確定、評價指標的收集等。當前,我國在安全文化的評價指標體系方面的工作還不夠完善,雖然有學者進行了這方面的研究,但是沒有建立一套能夠進行綜合評價和系統分析的定量方法,其操作性和可行性更需要進一步的研究和探討。
三、新時期煤礦企業安全文化建設中的具體策略
在實際的建設中,煤礦企業應該高度重視安全文化建設,立足本企業的實際生產狀況以及本行業的實際建設現狀,轉變安全文化建設觀念,創新安全文化建設思路,改進安全文化建設方法,培訓企業獨有的安全文化,進而充分發揮安全文化對于企業發展的巨大作用。
(一)增強企業安全文化建設意識。在煤礦企業安全文化的建設過程中,必須提高認識,轉變觀念,增強企業安全文化建設意識。我們要開展各種形式的安全教育活動,組織各種類型的安全培訓學習,建立起一套行之有效的安全文化規章制度。首先,煤礦企業的各個管理層人員以及 (下轉第65頁)
(上接第50頁)領導層必須高度重視企業安全文化的建設工作,轉變安全文化建設觀念,創新安全文化建設思路,樹立人性化、精細化、科學化的安全文化建設理念。其次,直接參與到煤礦企業安全生產的工作人員要自覺接受安全宣傳教育,努力學習安全生產知識。最后,要充分發揮黑板報、報紙、電視、廣播等宣傳陣地和宣傳媒體的作用,加強企業安全文化建設的必要性、重要性方面的宣傳。
(二)注重安全文化建設實踐。首先,我們要突出重點,注重實效,努力把對企業安全文化建設的理論研究轉變為企業的實際建設。第一,要不斷宣傳和灌輸安全文化建設理念。第二,要不斷創新安全文化教育活動。第三,要深入開展和舉辦各種類型的安全文化活動。通過這些安全文化教育活動,讓員工加強對安全文化建設的理論認識和理解,包括安全建設規程、安全標語、安全警句、企業精神、安全理念等制作成圖文并茂的各種宣傳板,進而營造一種良好的企業安全文化建設氛圍,使安全生產工作人員隨時隨地接受安全文化的熏陶。
(三)建立安全文化建設評價體系。針對當前的企業安全文化建設評價方面的問題,比如評價主觀性過強,評價方法較為簡單等問題,要建立科學有效的安全文化建設評價體系。依據我國目前的煤礦企業的安全建設的實際狀況,本文提出了以下9個安全文化評價指標,以供參考:員工素質、一線員工的安全事務影響力、安全行為激勵、安全信息傳播、安全培訓、安全管理、安全環境、安全承諾、資金投入。
(四)提高安全工作人員的素質。與其他行業相比,煤礦企業的工作人員的整體素質偏低,尤其是在井下采掘的一線員工。對于煤礦企業來講,員工的安全技能培訓非常重要,煤礦企業的管理人員必須高度重視。其一,建立健全員工培訓機制,將員工培訓放在煤礦企業管理工作的首要位置。其二,掌握實情,摸清底子,根據員工的業務技能、文化程度、知識結構的實際情況,有針對性地開展員工培訓。其三,要根據施工安全技術和施工場地,分期、分批、分崗位、分工種地進行有針對性的、有重點的培訓。其四,不斷創新培訓觀念和培訓形式,注重培訓的實際效果。
論文關鍵詞:安全文化;電力企業;安全生產
2011年3月11日日本發生了里氏9.0地震,造成核泄漏。這到底是天災還是人禍?筆者認為,這不僅僅是“天災”,而更多的是“人禍”。福島核電站自1987年至今曾多次發生事故,并多次篡改數據,曾有過安全檢查作弊和偽造安全記錄等行為,這就相當于埋下了事故隱患。如此看來,核泄漏的發生并不偶然,歸根結底是由于缺乏安全意識,安全文化建設不完善造成的。
1986年發生的切爾諾貝利核電站事故,堪稱人類的災難。經專家分析發現所有問題都出自“沒有樹立安全高于一切的文化理念”,正是由于安全文化的缺位,才導致上上下下安全意識的不足,才導致從管理者到生產者安全行為的失誤,最終導致事故的發生。
25年過去了,同樣是在核電站,同樣由于安全文化的不完善導致了同樣的人類災難。日本是一個科技高度發達的資本主義國家,福島核泄漏竟然也能造成如此驚人的災難,如果發生在生產和安全管理相對落后的發展中國家,同樣的核泄漏造成的災難更是不敢想象的。因此企業安全文化建設和完善顯得更為必要,對我國電力企業來說也是如此。
一、電力企業安全生產發展的過程
社會的進步,國民經濟的發展,人民生活水平的提高都與電力的安全可靠供應息息相關。電力是一個資金、技術密集型產業,具有很強的整體性、關聯性和規模性。由于電力產品不能儲存的特點,電力的發、供、用連接在一起,又同時完成,電力企業采用大量的自動化控制技術和設備,以實現發、輸、售、用各環節的相互緊密配合,比例協調統一地進行。而電力行業的實時性、同時性、整體性、快速性、連續性和社會性等屬性決定了電力系統必須安全穩定可靠運行,這就要求在整個電力生產過程中必須確保安全,才能確保整個電網的安全。建國以來,電力企業一直重視安全生產,也取得了不少成績:
20世紀50年代到80年代成立安全監察機構,建章建制,使管理開始規范化;20世紀80年代至今,提出安全生產的第一責任者,健全安全保證和安全監察兩個體系,明確安全管理目標并且重視安全設備的現代化;開展了安全文明生產雙達標、創一流等活動,進行了設備、環境綜合整治;開展了安全性評價,危險點(危險源)分析、預控,職業安全健康管理體系貫標認證等工作。這些對提高電力企業安全生產管理水平,確保電網安全穩定運行起到了積極作用。但事故還是照樣發生,這對傳統的安全生產管理工作提出了挑戰。
為了進一步做好安全生產工作,近幾年來,電力企業安全文化建設作為一種新的管理模式正逐步地在電力企業開展起來,電力企業安全文化建設已初具規模,并形成了獨具特色的安全文化建設理論。但是目前仍然存在著大量可控的、不可控的、人為的、不可抗拒的因素,時時刻刻威脅著電力企業的安全生產,特別是人員責任的誤操作事故還時有發生,直接威脅電力企業生產安全。這都說明安全文化建設還做得遠遠不夠。
二、電力企業安全文化面臨的新形勢
近年來,我國電力工業體制在發生積極變化的同時,電力企業安全文化也得到了迅速發展,新老觀念發生碰撞,新的問題在發展中油然而生,主要表現在以下幾方面:
1.廠網關系的變化對電力安全提出了新課題
電力體制改革前,發輸配售集于一體,多數電廠與電網屬于利益共同體,電力系統安全主要靠行政命令。廠網分開后,則要依靠法律法規和經濟等綜合手段,強調合同的履行,要求安全體系與市場體系同步建設,舊體制已被打破,新體制尚在探索完善之中,更需要各市場主體之間加強協調、互相配合,意識相同、文化相近,這樣才能共同確保安全。
2.電力企業安全文化主體多樣性造成安全文化發展不平衡
廠網分開后,原國家電力公司分成兩大電網、五大發電集團,形成國有和集體、個體、三資企業并存的多元化態勢,因此出現了電力安全文化主體的多樣性并存在差異。很多新進入電力行業的企業在安全文化上帶來了原行業的特點,這有積極的一面,但由于對電力系統的特性和安全性認識不足,存在對電力安全文化建設的重要性認識不到位、電力安全文化建設相對薄弱的現象,電力安全文化發展的不平衡,使不同的主體處于安全文化建設不同的階段,對電網安全運行造成一定的威脅。所以如何把傳統的安全文化好的方面發揚光大,把消極方面抑制掉、克服掉是目前面臨的又一新課題。
3.員工價值觀的變化
在社會主義計劃經濟向市場經濟轉變時期,電力企業除了體制改革帶來的新問題沒有得到很好的解決外,還遇到員工價值觀的變化:人們的思想活躍,價值觀念在發生變化,傳統的電力企業安全管理面臨著新形勢的挑戰。電力企業必須重新審視自己的安全生產管理制度所依據的價值理念是否還能適應今天的形勢,過去有效的制度與分配方式是否還能繼續激勵電力企業員工主動發揮出安全生產工作積極性。只有建設電力企業安全文化,依靠文化力的巨大作用,不斷提高安全生產管理水平,才能適應新形勢的發展,適應科學技術的發展,適應安全生產管理方法與手段的不斷進步,將過去的安全生產管理技術轉變成安全生產管理藝術。
三、電力企業安全文化建設的必要性
安全文化建設,是通過創造良好的安全人文氛圍和人際關系,對人的理念、意識、態度和行為等形成從無形到有形的影響,從而對人的不安全行為產生控制作用,達到減少人為事故的目的。電力生產特點決定了其安全文化在企業文化中的核心地位。要想真正做到預防事故,實現持久安全生產,提高電力企業的核心競爭力,就必須建設電力企業安全文化。電力企業安全文化的建設是電力企業安全生產的重要基礎和保證。 轉貼于
1.電力企業的安全生產需要安全文化建設
(1)建設電力企業安全文化是時展的需要。當今電力企業單機容量大,單臺設備容量大,電網負荷大,電壓等級高,自動化程度高,安全生產依賴計算機技術與系統網絡技術,許多電力企業員工的工作已由過去的體力勞動轉變成腦力勞動。員工腦力勞動的成果完全取決于員工的工作積極性、責任感、敬業精神與創造力。科學技術無法計算出電力企業眾多工作崗位腦力勞動者的工作量,也就無法制定考核標準。因此,電力企業必須借助安全文化來指導安全生產管理,激發員工的自覺性,才能確保電力安全生產。
(2)電力企業安全文化建設存在亟待解決的問題。
1)電力員工的安全意識較弱。一些基層單位對安全生產的重要性和緊迫性認識不足,沒有真正做到“安全第一”,安全生產“說起來重要,做起來次要,忙起來不要”的現象依然存在。
2)安全生產管理有漏洞。在一些電力企業中,安全生產管理存在較大漏洞:安全責任制不健全;安全責任不落實;安全措施不完備;缺乏對安全生產的控制和監督,存在嚴重的僥幸心理;管理部門沿用老方法對待新問題。
3)員工法規意識不強,“三違”現象嚴重。部分員工對制度熟視無睹,違章作業屢見不鮮,有法不依,有章不循,特別是違反“兩票三制”管理規定的問題比較突出。
4)安全生產責任心不強。個別單位的干部和員工安全生產責任心不強,警覺性不高,不能深刻理解安全生產如“逆水行舟,不進則退”的道理,在已有的成績面前沾沾自喜,產生麻痹思想,存在浮躁心理,管理疏忽,導致安全生產出現滑坡,有的甚至出現安全檢查造假,導致事故發生。
綜上所述,主要還是主觀上的原因,思想上的問題。由此可以看出部分企業安全工作基礎還不扎實,管理人員的監察還不到位,一線員工的安全素質還不夠高。這種被動的局面只有通過加快安全文化建設的步伐才能盡快扭轉。
2.安全文化建設有利于電力企業構建安全生產長效機制
雖然電力企業安全規章制度相對比較健全,然而在人與制度的結合方面還存在一些差距。隨著社會的發展,在管理學上“人”并不再是一個被動因素,人的思想、行為在很大程度上影響和決定著事件的最終結果。在生產中發生了違章作業事故,人們在分析違章原因時常說:“違章者缺乏遵守安全規章的自覺性”。這自覺性是指人能意識到自己行為目的和意義程度的大小,就是人的意志品質。由于這一區別,人們即使面臨同一個環境卻會采取不同的行為方式。這種支配行為能力的形成,主要取決于人的安全文化素質,而這種素質要靠安全文化建設來造就。在電力生產中,只有通過培育電力企業安全文化,使電力員工養成良好的安全文化素質,運用文化管理的方法來解決以前制度無法解決的問題,才能解決好人與制度的結合問題,構建安全生產長效機制,最終達到安全穩定運行的目的。
(1)建設電力安全文化能提高電力安全管理水平。長期以來電力企業不斷加強安全管理力度,完善安全措施,增強員工安全意識,不斷提高安全管理水平,安全形勢向好的方向發展。但電力企業的習慣性違章還有屢禁不止的現象,生產和人身事故時有發生。說明存在兩方面的問題:一是安全管理制度不健全,二是有章不循。落實制度說到底就是一種責任感,而責任感取決于觀念。安全文化建設的目的就是要解決觀念問題,觀念變了責任感也就會增強,安全生產責任制就會得到很好的落實。管理專家認為:柔的也是剛的,規章制度那些剛性的東西固然必要,但安全文化這種柔的東西往往能起到制度和紀律起不到的作用。如果說安全制度的約束對安全工作的影響是外在的、冰冷的、立竿見影的、被動意義上的,那么安全文化建設則是內在的、溫和的、潛移默化的、主動意義上的,具有其他約束無法比擬的優越性。電力企業安全文化是安全管理中高層次的工作,能發揮員工提高安全素質的主動性,更好地促進企業安全管理水平的提高,最終實現生產安全的目標。
(2)建設電力安全文化能指導電力安全生產。任何文化都有價值取向,它規定著人們所追求的目標,具有導向功能。企業實際上是人的組合,而人又是有思想的,任何人的行為都會受到自身思想的指導和約束,電力企業安全文化作為企業內部全體員工認同的價值觀念和行為準則,必然會對電力企業安全生產的決策、管理起到指導作用。積極向上的電力企業安全文化會通過文化的潛移默化,使員工的注意力逐步向企業所提倡、崇尚的安全理念轉變,從而將個人的目標引導到企業目標上來。為企業提供正確的安全生產指導思想和健康的精神氣氛,規范和約束企業員工的行為,引導領導做出正確的決策來指導企業安全生產。
(3)建設電力安全文化能激勵安全生產。心理學研究表明,人們越能認識安全生產行為的意義,就越能產生安全生產行為的推動力。在未獲得激勵時,人發揮的只是物質力量,獲得激勵后,人的精神力量就得到開發。電力企業安全文化強調員工對企業安全管理責任目的的認同與共識。當企業安全管理目標與員工的個人目標是一致時,企業安全管理目標的實現也就意味著個人目標的實現和個人需要的滿足,這對廣大干部員工有很大的激勵作用,可以產生改進工作的驅動力,使員工自覺行動,主動做好安全生產工作,使企業的安全工作面貌發生根本性的變化,促進企業和諧發展。
(4)建設電力安全文化能凝聚電力企業人心。企業共同的價值觀能起到凝聚人心的作用。建設電力企業安全文化,能使電力企業員工的安全生產價值觀趨于一致,使企業、員工之間形成“企業靠員工發展,員工靠企業生存”的利益共同體,而安全生產無疑是維護和確保企業與員工實現共同目標的平臺。作為企業內部的一種粘合劑,積極向上的電力企業安全文化會形成巨大的向心力和凝聚力,把員工的積極性、主動性調動到安全生產上來,促進企業安全管理和生產水平的整體提高。
[關鍵詞]信息安全;管理;控制;構建
中圖分類號:X922;F272 文獻標識碼:A 文章編號:1009-914X(2015)42-0081-01
1 企業信息安全的現狀
隨著企業信息化水平的提升,大多數企業在信息安全建設上逐步添加了上網行為管理、內網安全管理等新的安全設備,但信息安全防護理念還停留在防的階段,信息安全策略都是在安全事件發生后再補救,導致了企業信息防范的主動性和意識不高,信息安全防護水平已經越來越不適應當今企業IT運維環境和企業發展的需求。
2 企業信息系統安全防護的構建原則
企業信息化安全建設的目標是在保障企業數字化成果的安全性和可靠性。在構建企業信息安全體系時應該遵循以下幾個原則:
2.1 建立企業完善的信息化安全管理體系
企業信息安全管理體系首先要建立完善的組織架構、制定信息安全管理規范,來保障信息安全制度的落實以及企業信息化安全體系的不斷完善。基本企業信息安全管理過程包括:分析企業數字化資產評估和風險分析、規劃信息系統動態安全模型、建立可靠嚴謹的執行策略、選用安全可靠的的防護產品等。
2.2 提高企業員工自身的信息安全防范意識
在企業信息化系統安全管理中,防護設備和防護策略只是其中的一部分,企業員工的行為也是維護企業數字化成果不可忽略的組成。所以企業在實施信息化安全管理時,絕對不能忽視對人的行為規范和績效管理。在企業實施企業信息安全前,應制定企業員工信息安全行為規范,有效地實現企業信息系統和數字化成果的安全、可靠、穩定運行,保證企業信息安全。其次階段遞進的培訓信息安全人才也是保障企業數字化成果的重要措施。企業對員工進行逐次的安全培訓,強化企業員工對信息安全的概念,提升員工的安全意識。使員工的行為符合整個企業信息安全的防范要求。
2.3 及時優化更新企業信息安全防護技術
當企業對自身信息安全做出了一套整體完善的防護規劃時,就應當考慮采用何種安全防護技術來支撐整個信息安全防護體系。對于安全防護技術來說可以分為身份識別、網絡隔離、網絡安全掃描、實時監控與入侵發現、安全備份恢復等。比如身份識別的目的在于防止非企業人員訪問企業資源,并且可以根據員工級別分配人員訪問權限,達到企業敏感信息的安全保障。
3 企業信息安全體系部署的建議
根據企業信息安全建設架構,在滿足終端安全、網絡安全、應用安全、數據安全等安全防護體系時,我們需要重點關注以下幾個方面:
3.1 實施終端安全,規范終端用戶行為
在企業信息安全事件中,數字化成果泄漏是屬于危害最為嚴重的一種行為。企業信息安全體系建立前,企業員工對自己的個人行為不規范,造成了員工可以通過很多方式實現信息外漏。比如通過U盤等存儲介質拷貝或者通過聊天軟件傳遞企業的核心數字化成果。對于這類高危的行為,我們在建設安全防護體系時,僅僅靠上網行為管理控制是不能完全杜絕的。應該當用戶接入企業信息化平臺前,就對用戶的終端系統進行安全規范檢查,符合企業制定的終端安全要求后再接入企業內網。同時配合上網行為管理的策略對員工的上網行為進行審計,使得企業員工的操作行為符合企業制定的上網行為規范,從終端用戶提升企業的防護水平。
3.2 建設安全完善的VPN接入平臺
企業在信息化建設中,考慮總部和分支機構的信息化需要,必然會采用VPN方式來解決企業的需求。不論是采用SSL VPN還是IPSecVPN,VPN加密傳輸都是通用的選擇。對于分支機構可以考慮專用的VPN設備和總部進行IPSec連接,這種方式更安全可靠穩定。對于移動終端的接入可以考慮SSL VPN方式。在這種情況下,就必須做好對于移動終端的身份認證識別。其實我們在設備采購時,可以要求設備商做好多種接入方式的需求,并且幫助企業搭建認證方式。這將有利于企業日常維護,提升企業信息系統的VPN接入水平。
3.3 優化企業網絡的隔離性和控制性
在規劃企業網絡安全邊際時,要面對多個部門和分支結構,合理的規劃安全網絡邊際將是關鍵。企業的網絡體系可以分為:物理層;數據鏈路層;網絡層;傳輸層;會話層;表示層;應用層。各體系之間的相互隔離和訪問策略是防止企業信息安全風險的重要環節。在企業多樣化網絡環境的背景下,根據企業安全優先級及面臨的風險程度,做出適合企業信息安全的防護策略和訪問控制策略。根據相應防護設備進行深層次的安全防護,真正實現OSI的L2~L7層的安全防護。
3.4 實現企業信息安全防護體系的統一管理
為企業信息安全構建統一的安全防護體系,重要的優勢就是能實現對全網安全設備及安全事件的統一管理,做到對整個網絡安全事件的“可視、可控和可管”。企業采購的各種安全設備工作時會產生大量的安全日志,如果單靠相關人員的識別日志既費時效率又低。而且不同安全廠商的日志報表還存在很大差異。所以當安全事件發生時,企業管理員很難實現對信息安全的統一分析和管理。所以在企業在構建信息安全體系時,就必須要考慮安全設備日志之間的統一化,設定相應的訪問控制和安全策略實現日志的歸類分析。這樣才能做到對全網安全事件的“可視、可控和可管”。
4 結束語
信息安全的主要內容就是保護企業的數字化成果的安全和完整。企業在實施信息安全防護過程中是一個長期的持續的工作。我們需要在前期做好詳盡的安全防護規劃,實施過程中根據不斷出現的情況及時調整安全策略和訪問控制,保證備份數據的安全性可靠性。同時全體企業員工一起遵守企業制定的信息安全防護管理規定,這樣才能為企業的信息安全提供生命力和主動性,真正為企業的核心業務提供安全保障。
參考文獻
[1] 段永紅.如何構建企業信息安全體系[J]. 科技視界,2012,16:179-180.
[2] 于雷.企業信息安全體系構建[J].科技與企業,2011,08:69.
[3] 彭佩,張婕,李紅梅. 企業信息安全立體防護體系構建及運行[J].現代電子技術,2014,12:42-45+48.
[4] 劉小發,李良,嚴海濤.基于企業網絡的信息安全體系構建策略探討[J]. 郵電設計技術,2013,12:25-28.
[5] 白雪祺,張銳鋒. 淺析企業信息系統安全體系建設[J].管理觀察,2014,27:81-83.
1信息安全總體設計及實踐
1.1網絡安全要求及問題
1.1.1信息安全的最終實現目標為應對市場競爭,提高企業生產經營效率,滿足企業信息化建設的需要,汽車制造業應借鑒國內先進的信息技術和安全管理經驗,建立一套企業信息化辦公網絡,并逐步加強網絡傳輸的安全建設,和網絡安全管理手段。以保障企業信息化的穩定運行。2.1.2系統和應用的脆弱性企業信息化辦公網絡建成后為企業經營和管理帶來了極大的便利,生產經營效率明顯提高。但同時引發了很多的技術問題:跨省專線費用太高,且鏈路發生故障之后的報修、排故、恢復程序極其繁雜,嚴重影響效率;無法滿足移動辦公的需求,無法滿足上下游供應商的使用需求;與互聯網連接時常受到攻擊導致業務中斷;內部人員未經授權許可訪問互聯網導致病毒攻擊內部辦公網等等。
1.1.3常見網絡風險通過系統的網絡安全技術學習,汽車制造業信息化人員應掌握企業網絡信息化建設過程中大量常見的網絡風險和防范手段:Backdo(各種后門和遠程控制軟件,例如BO、Netbus等)、BruteFce(各種瀏覽器相關的弱點,例如自動執行移動代碼等)、CGI-BIN(各種CGI-BIN相關的弱點,例如PHF、wwwboard等)、Daemons(服務器中各種監守程序產生弱點,例如amd,nntp等)、DCOM(微軟公司DCOM控件產生的相關弱點)、DNS(DNS服務相關弱點,例如BIND8.2遠程溢出弱點)、E-mail(各種郵件服務器、客戶端相關的安全弱點,例如Qpopper的遠程溢出弱點)、Firewalls(各種防火墻及其產生的安全弱點,例如GauntletFirewallCyberPatrol內容檢查弱點)、FTP(各種FTP服務器和客戶端相關程序或配置弱點,例如WuFTPDsiteexec弱點)、InfmationGathering(各種由于協議或配置不當造成信息泄露弱點,例如finger或rstat的輸出)、InstantMessaging(當前各種即時消息傳遞工具相關弱點,例如OICQ、IRC、Yahoomessager等相關弱點)、LDAP(LDAP服務相關的安全弱點)、Netwk(網絡層協議處理不當引發的安全弱點,例如LAND攻擊弱點)、NetwkSniffers(各種竊聽器相關的安全弱點,例如NetXRay訪問控制弱點)、NFS(NFS服務相關的安全弱點,例如NFS信任關系弱點)、NIS(NIS服務相關的安全弱點,例如知道NIS域名后可以猜測口令弱點)、NTRelated(微軟公司NT操作系統相關安全弱點)、ProtocolSpoofing(協議中存在的安全弱點,例如TCP序列號猜測弱點)、Router/Switch(各種路由器、交換機等網絡設備中存在的安全弱點,例如CiscoIOS10.3存在拒絕服務攻擊弱點)、RPC(RPC(SUN公司遠程過程調用)服務相關的弱點,例如rpc.ttdbserver遠程緩沖區溢出弱點)、Shares(文件共享服務相關的安全弱點,BIOS/Samba等相關弱點,例如Samba緩沖區溢出弱點)、SNMP(SNMP協議相關的安全弱點,例如利用“public”進行SNMP_SET操作)、UDP(UDP協議相關弱點,例如允許端口掃描等)、WebScan(Web服務器相關安全弱點,例如IISASPdot弱點)、XWindows(X服務相關安全弱點)、Management(安全管理類漏洞)等。
1.2網絡安全加固及應用拓展改造
針對上述網絡風險,汽車制造業應加強自身的網絡安全建設,強化網絡安全管理。重點進行了四個方面的技術改造:防火墻(VPN)、上網行為管理、入侵防御及桌面管理系統。
1.2.1訪問控制——防火墻部署防火墻之后,內部辦公網絡的IP地址與MAC地址捆綁,授權上網用戶實名制管理,根據工作需要申請和審批上網時間和訪問權限。內部VLAN劃分,把不同部門用VLAN劃分為不同的域以區分管理。重要數據庫服務器和存儲設備與辦公網隔離。嚴格管理和控制內外網對數據庫的訪問。
1.2.2遠程用戶加密訪問——VPN為保障企業運營效率,根據不同的工作人員分配不同的權限,可以在出差途中或家中處理緊急公務。并細化配置其VPN功能對企業內網的訪問權限,可以實現工作需要,保障企業內部流程效率
1.2.3內網用戶網絡行為監控——上網行為管理系統通過對進程的審計可以了解到當前服務器的運行情況以及客戶端的使用情況,對非法的行為可以限制非法進程(包括病毒進程、聊天軟件進程等)的運行,非法軟件的安全,隨意的修改IP地址而導致的IP沖突等;內網用戶的網絡行為監控,可以極大程度地避免企業內網的安全風險。
1.2.4外網攻擊的防護措施——入侵防御與防病毒采用入侵防御系統,具備7層檢索比對入侵防御設備需要的高速芯片,同時具備硬件BYPASS功能和自動報警功能,當設備自身出現故障時不能中斷網絡運行,最大限度地避免單點故障對網絡穩定運行的風險。
1.2.5桌面端管理通過桌面端管理套件核心服務器管理全網所有客戶端。所有的管理數據統一保存在核心服務器后臺的數據庫中。通過角色管理可以使用管理套件控制臺直接查看AD架構,而無需在管理套件中復制AD角色。同時可以分配管理套件權限給AD組或OU(ganizationunits),在分配權限時支持繼承的概念。
2結論
關鍵詞:中小企業;信息安全;問題;措施
信息安全主要指的是在網絡中承擔信息存儲的硬件或者軟件能夠在受到外界認為破壞、修改的情況下長期穩定地運行,保證整個系統的信息服務不中斷。在當前網絡高度發達的今天,良好穩定的信息安全體系是保障我國企業信息安全的重要保障,企業中的信息安全包含了計算機操作系統、網絡傳輸協議、安全防護等級以及各類認證和簽名等安全保障組件,如下圖所示:
圖1 中小企業信息安全結構
在整個安全體系中,一旦有某一個組件發生了信息安全問題,那么整個信息安全系統乃至整個企業的信息安全都有可能受到安全威脅。
一、我國中小企業信息安全存在的問題
1.信息安全風險大
當前我國的中小企業普遍已經開始認識到信息安全的重要性,但是在思想上還沒有對企業的信息安全管理形成足夠重要的認識,當前我國的多數中小企業管理人員在日常的工作中仍然沿襲傳統的管理方式,并沒有進行變革和創新,因此在信息化普遍應用的今天,仍然是一種信息化的表面現象,在信息安全意識沒有深入根植的今天,多數的中小企業信息安全工作只是停留在表面。
2.專業人才缺乏
我國的中小企業在信息安全方面的人才一般都比較缺乏,信息安全工作的不重視使得企業管理人員不愿意花過多的資金在安全保障上,畢竟安全不能夠直接產生經濟效益,因此在這樣的情況下,企業的信息化工作很難得到發展,主要體現在沒有專業化的信息安全保障團隊,即使有了專門的工作人員,也不能夠在技術上達到足夠專業的程度,管理人員和技術人員互相都不能夠溝通和兼顧,
3.安全資金不足
在信息安全方面,由于我國的中小企業管理者普遍不夠重視,因此也就很難投入大量的資金,信息化工作是一項注重系統化的工作,無論是硬件系統還是軟件系統的建設維護都需要大量的資金投入,因此離開了足夠的資金支持信息安全工作也就無法保證。加上我國中小企業普遍競爭激烈,用于安全的資金十分有限,依靠外部融資的話又沒有足夠的信用進行借貸,加上借貸的風險也十分龐大,大多數的銀行或金融機構都不愿意將資金用在信息安全上。
二、我國中小企業信息安全問題的解決對策
1.強化安全風險意識
我國的中小企業,首先就需要從思想上認識到安全也是重要工作這樣一種思想,只有了解以后才能夠根據當前的問題進行針對性解決。信息安全系統的建設并不是所有的安全工作都到位,還需要根據企業的實際情況建立合適的安全策略,并在意識上強化工作人員的安全防范思想,將安全擺在重要的位置上,也就是說企業的信息安全工作需要企業管理人員的大力支持,還需要適合企業自身的安全防范方案,只有在管理層思想上和執行層的行動上同時做到位,企業的整體信息安全工作才能夠真正有效保障企業的安全。
2.建設合理安全策略
在安全策略的選擇上,無論企業選擇了哪一種方案,企業的用戶都要了解安全解決方案只能夠是企業信息安全工作的一部分,甚至只是基礎性的工作,企業不能夠過度依賴安全工具的使用,而疏于防范人的因素,這是由于當前的安全事件統計來看,我國的中小企業在信息安全問題上出現最多的就是人為的安全事件,因此企業的管理者必須要針對內部控制建立有效的內部安全策略,保證企業的每一個員工都能夠準確執行自身的工作任務。
值得注意的是,近些年來企業的網絡信息交流工具越來越多例如Skype、BT等等,怎樣對這些數據傳輸工具進行管理對于信息安全工作來說是十分重要的,雖然這些信息安全管理會在一定程度上影響到企業的網絡質量,但是這些都是目前中小企業無法擺脫的應用工具,因此針對這樣的現象我國的中小企業需要進行細分化的處理方式,例如讓企業用戶使用帶有IPS的協議分析過濾功能的交換機,在一定安全限制的條件下進行網絡數據傳輸應用。
3.信息安全外包建設
許多中小企業在自身信息安全建設的過程中,由于經驗不足或者專業知識的缺乏無法獨立完成建設,因此會在建設過程中帶來大量資金的浪費,還有軟硬件的升級上也需要后期的大量資金投入,加上建設工作需要消耗大量的人力資源,信息中心的網絡維護工作和安全管理人員,這些都是不可避免地投入。
三、總結
總的來說,當前我國中小企業的信息安全建設工作主要集中在自身安全策略以及解決方案上,目前隨著時間的發展,中小企業的信息安全漏洞會越來越多,問題也會越來越加劇,但是我國的中小企業已經正在開始意識到該問題,將越來越多的資金投入在信息安全建設上,并通過外包的方式使用性價比較高的解決方案,只有用專業的信息安全建設在自身的管理運營中,中小企業才能夠真正在市場競爭中處于優勢地位。
參考文獻:
[1]林山.中小企業信息安全問題及解決方案[D].重慶大學,2007.
[2]佚名.中小企業您的信息安全嗎?[J].網絡與信息,2002,(1).
[3]陳俊豪.淺析中小企業電子商務中的信息安全問題[J].中國商貿,2010,(25).
1.1地理信息系統及數據采集與監控系統
在燃氣企業中應用GIS系統,既能對燃氣管線進行電子化圖檔管理,也能實時監控天然氣管網規劃、搶修等情況。GIS通過將現有的管網及周邊地理狀況、管線、設備等信息,集成為管線集輸的綜合信息,然后,實時傳輸和展現給燃氣企業相關管理人員,從而為燃氣管線運行、設備維護和安全管理,提供全面、準確的參考依據。
1.1.1.數據采集與監控系統(SCADA)
SCADA系統是燃氣管道應急系統的重要組成部分,是一項集實時工控與調度信息管理為一體的大型的計算機應用系統。可以遠程監控與管理各門站、調壓站等站點,確保燃氣系統運行高效、安全、經濟運行。
1.2事故處理方案決策優化與管網風險評價
1.2.1事故處理方案優化決策
在燃氣行業的日常工作中,如遇管網故障,發生危險,必須快速、有效的進行應急處置和救援。其具體流程一般如下:接獲任務并了解現場情況,相關人員迅速召開會議或電話、電視會議,制定搶修、救援方案,然后進行搶修和救援。但是,搶修時間緊迫,這種處置流程不僅浪費寶貴的時間和資源,也會受到人為主觀因素的影響,例如,意見不統一或決策失誤等,不僅延誤搶修和救援,甚至可能會導致二次事故。采用模糊評價法對燃氣管網事故的解決方案進行對比和遴選,通過定性和定量分析選擇最優方案。首先利用模糊關鍵詞,采用定性和定量方法分析事故,然后以技術打分分配各因素權重,最后通過決策軟件實現方案的最優選擇。可以實現在事故發生時,提供關鍵詞,即可獲得最佳的搶修方案,以排除人為主觀因素的干擾,更科學、更理性。
1.2.2管網風險評價
不少燃氣企業對管網安全評價重視不足,尤其缺乏對現役管線的風險評價。對燃氣管線的管理,僅僅做到定期運行和巡檢是不夠的,還要更多的考慮到未來規劃的問題。例如,分幾期對管線進行改造,改造又分為幾步,如何開展等等。通過建立管網仿真及安全評價系統,結合各管線屬性信息,例如腐蝕程度、第三方破壞程度、維檢修情況、壓力檢測等等,建立一個龐大的數據信息庫,全面考察管線危險性,得到危險等級排序,預測管線使用壽命,對未來管線更新及改造規劃提供理論指導。
2城市燃氣企業信息安全探索
2.1信息安全的概念
根據GB/T22081-2008,所謂的信息安全就是通過采取有效策略,確保信息免受各種威脅、損害,從而保證業務連續性,并達到風險最小、投資回報最優。燃氣企業信息安全,就是指燃氣企業信息資產安全可靠,業務穩定開展,不會受到系統自身和外來網絡病毒、黑客等的攻擊,如果出現安全事故,其損失可以降到最低。
2.2燃氣企業管理存在的信息安全問題
2.2.1信息安全意識淡薄
當代社會,信息載體多樣化,辦公電腦、存儲設備以及系統軟件使用不規范都容易導致信息泄露,在常見的搜索引擎上可以輕易的查詢到某燃氣企業或大型公司企業的內部文件,這些情況的發生,正是由于企業信息安全意識淡薄,對信息的傳播安全管理重視不夠導致的。
2.2.2信息安全管理機制不健全
在網絡信息安全管理中,一般都強調“三分技術,七分管理”。由此可見,信息安全最重要的是管理的安全。安全與管理是密不可分的,信息防護技術只是信息安全的一部分,僅僅將投入放在這一方面是遠遠不夠的,缺乏完整、規范以及系統化的信息安全管理制度,將無法從根本上實現信息安全。
2.2.3信息安全技術人才缺乏
在燃氣企業中,受傳統管理理念的影響,不少企業管理人員對于信息安全認識及其重要性認識不足,不注重企業信息安全管理人員和技術配備,導致企業信息安全管理水平不高。雖然最近幾年來,燃氣企業信息化建設水平不斷提高,吸納了許多信息化技術人才,但是專業從事綜合性的信息安全管理工作人員比例仍然較低。
2.3信息安全建設中的關鍵問題分析
2.3.1準確評估風險大小,正確處置安全風險
風險評估的方法很多,燃氣企業進行信息安全風險評估時,需要立足企業實際,根據GB/T20984-2007《信息安全技術信息安全風險評估規范》,制定科學、合理的風險評估流程,辨識完畢企業的信息安全風險之后,要采取科學、合理的處置辦法:風險接受、風險規避、風險減緩以及風險轉移。
2.3.2重視人在燃氣企業信息安全管理中的作用
企業管理中,最重要的因素就是人,人是信息安全的管理者,也是信息安全危險事件的誘發者,由于人為因素導致的信息安全事件不在少數。若要對企業職工進行約束,首先要明確職工的信息安全管理職責,加強人員思想教育,通過教育和培訓,在企業內建立起良好的信息安全文化氛圍。
2.3.3細化信息資產分類,提高資產管理水平
在當今,信息無疑是燃氣企業寶貴的資源和資產,信息資產的管理應當做到:建立信息資產清單并規范管理;設定信息分類、等級并區分保存;信息標記,并明確標記內容。尤其大量存儲數據信息的移動硬盤、廢舊電腦,簡單的格式化處理后,數據信息極易被還原,必須要通過物理銷毀、數據覆蓋或者不可逆專門處理工具進行銷毀。
2.3.4加強信息安全事件管理,預防信息安全事件發生
通過有效的技術防范措施,比如在系統中安裝防火墻軟件、反病毒產品、定期備份數據等,對設備、網絡進行定期檢查,及時處理過期、失效產品。同時,燃氣企業還要建立完善的信息安全應急處置預案,明確處置程序及各部門的職責,定期開展應急演練,以提高信息安全應急處置水平。
2.4燃氣企業做好信息安全工作的幾點探索
2.4.1加強新型技術的應用
如今,無線技術、互聯網技術、云技術等先進的科學技術,已經日益廣泛地融入企業日常工作,通過技術更新,企業信息技術應用,也需要隨之而變。企業推進新技術應用的同時,應當加強入侵檢測、加密認證、災難備份技術等信息安全防護技術,確保企業在新的信息技術環境中實現信息安全建設。
2.4.2大力發揮人才的優勢
