前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇關(guān)于企業(yè)信息安全措施范文，相信會(huì)為您的寫作帶來幫助，發(fā)現(xiàn)更多的寫作思路和靈感。

關(guān)于企業(yè)信息安全措施范文第1篇

隨著油田信息化高速發(fā)展，大批業(yè)務(wù)系統(tǒng)集中部署在數(shù)據(jù)中心，信息資產(chǎn)呈現(xiàn)高度集中趨勢(shì)，給企業(yè)信息安全保障工作提出了新的要求。信息安全態(tài)勢(shì)日益嚴(yán)峻，黑客攻擊手段不斷翻新，利用“火焰”病毒、“紅色十月”病毒等實(shí)施的高級(jí)可持續(xù)攻擊活動(dòng)頻現(xiàn)，對(duì)國(guó)家和企業(yè)的數(shù)據(jù)安全造成嚴(yán)重威脅。因此，及時(shí)掌握信息系統(tǒng)保護(hù)狀況，持續(xù)完善系統(tǒng)安全防護(hù)體系，對(duì)于保證信息資產(chǎn)的安全性和油田業(yè)務(wù)系統(tǒng)的連續(xù)性具有重要的現(xiàn)實(shí)意義。在信息安全領(lǐng)域中，安全評(píng)估是及時(shí)掌握信息系統(tǒng)安全狀況的有效手段。而其中的信息安全風(fēng)險(xiǎn)評(píng)估是是一種通用方法，是風(fēng)險(xiǎn)管理和控制的核心組成部分，是建立信息系統(tǒng)安全體系的基礎(chǔ)和前提，也是信息系統(tǒng)等級(jí)測(cè)評(píng)的有效補(bǔ)充和完善。因此，研究建立具有油田公司特色的信息安全風(fēng)險(xiǎn)評(píng)估模型和方法，可以為企業(yè)科學(xué)高效地開展信息安全風(fēng)險(xiǎn)評(píng)估工作提供方法指導(dǎo)與技術(shù)保障，從而提高油田勘探開發(fā)、油氣生產(chǎn)和經(jīng)營(yíng)管理等數(shù)據(jù)資產(chǎn)的安全性，為油田公司信息業(yè)務(wù)支撐平臺(tái)的正常平穩(wěn)運(yùn)行保駕護(hù)航。

1風(fēng)險(xiǎn)評(píng)估研究現(xiàn)狀

從當(dāng)前的研究現(xiàn)狀來看，安全風(fēng)險(xiǎn)評(píng)估領(lǐng)域的相關(guān)研究成果主要集中在標(biāo)準(zhǔn)制定上。不同的安全評(píng)估標(biāo)準(zhǔn)包含不同的評(píng)估方法。迄今為止，業(yè)界比較認(rèn)可的風(fēng)險(xiǎn)評(píng)估相關(guān)標(biāo)準(zhǔn)主要有國(guó)際標(biāo)準(zhǔn)ISO/IECTR13335IT安全管理、美國(guó)NIST標(biāo)準(zhǔn)SP800－30IT系統(tǒng)風(fēng)險(xiǎn)管理指南(2012年做了最新修訂)、澳大利亞－新西蘭標(biāo)準(zhǔn)風(fēng)險(xiǎn)管理AS/NZS4360等。我國(guó)也根據(jù)國(guó)際上這些標(biāo)準(zhǔn)制定了我國(guó)的風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)GB/T20984－2007信息安全技術(shù)風(fēng)險(xiǎn)評(píng)估規(guī)范以及GB/Z24364－2009信息安全技術(shù)信息安全風(fēng)險(xiǎn)管理指南。

1．1IT安全管理ISO/IECTR13335

IT安全管理ISO/IECTR13335系列標(biāo)準(zhǔn)是最早的清晰描述安全風(fēng)險(xiǎn)評(píng)估理論及方法的國(guó)際標(biāo)準(zhǔn)，其主要目的是給出如何有效地實(shí)施IT安全管理的建議和指導(dǎo)，是當(dāng)前安全風(fēng)險(xiǎn)評(píng)估與風(fēng)險(xiǎn)管理方面最權(quán)威的標(biāo)準(zhǔn)之一。ISO/IECTR13335(以下簡(jiǎn)稱為IS013335)包括了五個(gè)部分:第一部分IT安全概念和模型(1996)主要描述了IT安全管理所用的基本概念和模型。IS013335介紹了IT安全管理中的安全要素，重點(diǎn)描述了:資產(chǎn)、威脅、脆弱性、影響、風(fēng)險(xiǎn)、防護(hù)措施、殘留風(fēng)險(xiǎn)等與安全風(fēng)險(xiǎn)評(píng)估相關(guān)的要素。它強(qiáng)調(diào)風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)管理是IT安全管理過程的一部分，也是必不可少的一個(gè)關(guān)鍵過程。圖1表示資產(chǎn)怎樣潛在經(jīng)受若干威脅。［2］如圖1所示，某些安全防護(hù)措施在降低與多種威脅和/或多種脆弱性有關(guān)的風(fēng)險(xiǎn)方面可以是有效的。有時(shí)，需要幾種安全防護(hù)措施使殘留風(fēng)險(xiǎn)降低到可接受的級(jí)別。某些情況中，當(dāng)認(rèn)為風(fēng)險(xiǎn)是可接受時(shí)，即使存在威脅也不實(shí)施安全防護(hù)措施。在其他一些情況下，要是沒有已知的威脅利用脆弱性，可以存在這種脆弱性。圖2表示與風(fēng)險(xiǎn)管理有關(guān)的安全要素之間的關(guān)系。為清晰起見，僅表示了主要的關(guān)系。任何二個(gè)方塊之間箭頭上的標(biāo)記描述了這些方塊之間的關(guān)系。第二部分管理和規(guī)劃IT安全(1997)主要提出了與IT安全管理和規(guī)劃有關(guān)的各種活動(dòng)，以及組織中有關(guān)的角色和職責(zé)。［2］第三部分IT安全管理技術(shù)(1998)本部分介紹并推薦用于成功實(shí)施IT安全管理的技術(shù)，重點(diǎn)介紹了風(fēng)險(xiǎn)分析的四種方法:基線方法、非正式方法、詳細(xì)風(fēng)險(xiǎn)分析和綜合方法。［2］第四部分安全防護(hù)措施的選擇(2000)為在考慮商業(yè)需求和安全要素的情況下選擇安全防護(hù)措施的指南。它描述了根據(jù)安全風(fēng)險(xiǎn)和要素及部門的典型環(huán)境，選擇安全防護(hù)措施的過程，并表明如何獲得合適的保護(hù)，如何能被最基礎(chǔ)的安全應(yīng)用支持。［2］第五部分網(wǎng)絡(luò)的安全防護(hù)措施(2001)為關(guān)于網(wǎng)絡(luò)和通信方面的IT安全管理指南，這一指南提供了根據(jù)建立網(wǎng)絡(luò)安全需求來考慮的通信相關(guān)因素的識(shí)別和分析。［2］

1．2風(fēng)險(xiǎn)評(píng)估實(shí)施指南

SP800－30SP800－30(風(fēng)險(xiǎn)評(píng)估實(shí)施指南，2012年9月)是由NIST制定的與風(fēng)險(xiǎn)評(píng)估相關(guān)的標(biāo)準(zhǔn)之一，它對(duì)安全風(fēng)險(xiǎn)評(píng)估的流程及方法進(jìn)行了詳細(xì)的描述，提供了一套與三層風(fēng)險(xiǎn)管理框架結(jié)合的風(fēng)險(xiǎn)評(píng)估辦法，用于幫助企業(yè)更好地評(píng)價(jià)、管理與IT相關(guān)的業(yè)務(wù)面臨的風(fēng)險(xiǎn)。它包括對(duì)IT系統(tǒng)中風(fēng)險(xiǎn)評(píng)估模型的定義和實(shí)踐指南，提供用于選擇合適安全控制措施的信息。SP800－30:2012中的風(fēng)險(xiǎn)要素包括威脅、脆弱性、影響、可能性和先決條件。(1)威脅分析威脅源從利用脆弱性的動(dòng)機(jī)和方法、意外利用脆弱性的位置和方法等方面進(jìn)行分析。(2)脆弱性和先決條件考慮脆弱性時(shí)應(yīng)注意脆弱性不僅僅存在于信息系統(tǒng)中，也可能存在于組織管理架構(gòu)，可能存在于外部關(guān)系、任務(wù)/業(yè)務(wù)過程、企業(yè)/信息安全體系架構(gòu)中。在分析影響或后果時(shí)，應(yīng)描述威脅場(chǎng)景，即威脅源引起安全事件導(dǎo)致或帶來的損害。先決條件是組織、任務(wù)/業(yè)務(wù)過程、企業(yè)體系架構(gòu)、信息系統(tǒng)或運(yùn)行環(huán)境內(nèi)存在的狀況，威脅事件一旦發(fā)起，這種狀況會(huì)影響威脅事件導(dǎo)致負(fù)面影響的可能性。(3)可能性風(fēng)險(xiǎn)可能性是威脅事件發(fā)起可能性評(píng)價(jià)與威脅事件導(dǎo)致負(fù)面影響可能性評(píng)價(jià)的組合。(4)影響分析應(yīng)明確定義如何建立優(yōu)先級(jí)和價(jià)值，指導(dǎo)識(shí)別高價(jià)值資產(chǎn)和給單位利益相關(guān)者帶來的潛在負(fù)面影響。(5)風(fēng)險(xiǎn)模型標(biāo)準(zhǔn)給出了風(fēng)險(xiǎn)評(píng)估各要素之間的關(guān)系的通用模型。［3］

1．3風(fēng)險(xiǎn)評(píng)估規(guī)范

GB/T20984－2007GB/T20984－2007是我國(guó)的第一個(gè)重要的風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)定義了風(fēng)險(xiǎn)評(píng)估要素關(guān)系模型，并給出了風(fēng)險(xiǎn)分析過程，具體如圖3所示：風(fēng)險(xiǎn)分析中涉及資產(chǎn)、威脅、脆弱性三個(gè)基本要素。首先識(shí)別出威脅、脆弱性和資產(chǎn)，然后根據(jù)威脅出現(xiàn)的頻率和脆弱性的嚴(yán)重程度分析得到安全事件發(fā)生的可能性，再根據(jù)脆弱性嚴(yán)重程度和資產(chǎn)價(jià)值分析得到安全事件造成的損失，最后根據(jù)安全事件發(fā)生的可能性及造成的損失分析確定風(fēng)險(xiǎn)值。

2信息安全風(fēng)險(xiǎn)評(píng)估模型構(gòu)建

結(jié)合某油田企業(yè)實(shí)際情況，在參考上述標(biāo)準(zhǔn)及風(fēng)險(xiǎn)分析方法風(fēng)險(xiǎn)分析的主要內(nèi)容為:a)識(shí)別資產(chǎn)并對(duì)資產(chǎn)的價(jià)值進(jìn)行賦值;b)識(shí)別威脅，并根據(jù)威脅出現(xiàn)的頻率給威脅賦值;c)識(shí)別脆弱性，并將具體資產(chǎn)的脆弱性賦為2個(gè)值，一個(gè)是脆弱性嚴(yán)重程度，一個(gè)是脆弱性暴露程度;d)分析脆弱性被威脅利用可能導(dǎo)致的安全事件;e)分析確定出安全事件發(fā)生后帶來的影響不能被單位所接受的那些安全事件;可以接受的安全事件對(duì)應(yīng)的風(fēng)險(xiǎn)等級(jí)確定為低;f)針對(duì)不可接受安全事件，分析相應(yīng)的威脅和脆弱性，并根據(jù)威脅以及脆弱性暴露程度，以及相關(guān)安全預(yù)防措施的效果計(jì)算安全事件發(fā)生的可能性;g)針對(duì)不可接受安全事件，根據(jù)相應(yīng)脆弱性嚴(yán)重程度及資產(chǎn)的價(jià)值，以及相應(yīng)預(yù)防措施的有效性計(jì)算安全事件造成的損失：的基礎(chǔ)上，總結(jié)形成油田企業(yè)風(fēng)險(xiǎn)要素關(guān)系模型如圖4所示，風(fēng)險(xiǎn)計(jì)算模型如圖5所示:h)根據(jù)不可接受安全事件發(fā)生的可能性以及安全事件發(fā)生后的損失，計(jì)算安全事件發(fā)生會(huì)對(duì)企業(yè)造成的影響，即風(fēng)險(xiǎn)值，并確定風(fēng)險(xiǎn)等級(jí)。

3模型創(chuàng)新點(diǎn)及優(yōu)勢(shì)分析

信息安全風(fēng)險(xiǎn)評(píng)估方式和方法很多，如何建立適合油田企業(yè)當(dāng)前安全需求的風(fēng)險(xiǎn)評(píng)估模型、評(píng)估要素賦值方法以及風(fēng)險(xiǎn)計(jì)算方法是本文要解決的技術(shù)難點(diǎn)和創(chuàng)新點(diǎn)。1)對(duì)于資產(chǎn)的賦值，從資產(chǎn)所支撐的業(yè)務(wù)出發(fā)，結(jié)合信息系統(tǒng)安全保護(hù)等級(jí)及其構(gòu)成情況，提出了根據(jù)業(yè)務(wù)數(shù)據(jù)重要性等級(jí)和業(yè)務(wù)服務(wù)重要性等級(jí)確定資產(chǎn)的重要性，使得風(fēng)險(xiǎn)評(píng)估與業(yè)務(wù)及等級(jí)保護(hù)結(jié)合更加緊密。2)對(duì)于脆弱性賦值，將脆弱性細(xì)分為暴露程度及嚴(yán)重程度兩個(gè)權(quán)重。其中暴露程度與威脅賦值確定安全事件發(fā)生可能性，嚴(yán)重程度與資產(chǎn)價(jià)值確定安全事件造成的影響。3)將現(xiàn)有安全措施進(jìn)一步細(xì)化，分解為預(yù)防措施和恢復(fù)措施，并研究得到預(yù)防措施有效性會(huì)影響到安全事件發(fā)生可能性，而恢復(fù)措施有效性會(huì)影響到安全事件造成的損失。4)結(jié)合被評(píng)估單位的實(shí)際業(yè)務(wù)需求，提出了僅針對(duì)被評(píng)估單位的不可接受安全事件進(jìn)行數(shù)值計(jì)算，減少了計(jì)算工作量，有助于提升風(fēng)險(xiǎn)評(píng)估工作效率。5)根據(jù)油田企業(yè)實(shí)際需求，將安全事件發(fā)生可能性和安全事件造成的損失賦予不同的權(quán)重，從而使得風(fēng)險(xiǎn)計(jì)算結(jié)果中安全事件損失所占比重更大，更重視后果;并通過實(shí)例驗(yàn)證等方式歸納總結(jié)出二者權(quán)重比例分配。

險(xiǎn)評(píng)估模型應(yīng)用分析

4．1資產(chǎn)識(shí)別

資產(chǎn)識(shí)別主要通過現(xiàn)場(chǎng)訪談的方式了解風(fēng)險(xiǎn)評(píng)估范圍涉及到的數(shù)據(jù)、軟件、硬件、服務(wù)、人員和其他六類資產(chǎn)相關(guān)的業(yè)務(wù)處理的數(shù)據(jù)及提供的服務(wù)和支撐業(yè)務(wù)處理的硬件設(shè)備和軟件情況。4．1．1資產(chǎn)重要性分析資產(chǎn)重要性分析以信息系統(tǒng)的業(yè)務(wù)為出發(fā)點(diǎn)，通過對(duì)業(yè)務(wù)處理的數(shù)據(jù)以及提供的服務(wù)重要性賦值的方法確定信息系統(tǒng)資產(chǎn)價(jià)值。業(yè)務(wù)處理的數(shù)據(jù)以及業(yè)務(wù)提供的服務(wù)的重要性分析及賦值方法具體如下。4．1．1．1業(yè)務(wù)數(shù)據(jù)重要性分析業(yè)務(wù)數(shù)據(jù)資產(chǎn)的重要性主要根據(jù)業(yè)務(wù)數(shù)據(jù)的安全屬性(即三性:保密性、完整性和可用性)被破壞對(duì)本單位造成的損失程度確定。油田企業(yè)各業(yè)務(wù)系統(tǒng)所處理的數(shù)據(jù)信息根據(jù)數(shù)據(jù)安全屬性被破壞后可能對(duì)油田企業(yè)造成的損失嚴(yán)重程度進(jìn)行賦值。一般賦值為1—5。4．1．1．2業(yè)務(wù)服務(wù)重要性分析服務(wù)資產(chǎn)的重要性根據(jù)其完整性和可用性被破壞對(duì)本單位造成的損失程度確定。通過與相關(guān)人員進(jìn)行訪談，調(diào)查了解每種業(yè)務(wù)提供的服務(wù)和支撐業(yè)務(wù)處理的硬件設(shè)備和軟件情況，根據(jù)服務(wù)安全屬性被破壞后可能對(duì)油田企業(yè)造成損失的嚴(yán)重程度，為各種業(yè)務(wù)服務(wù)重要性賦值。一般賦值為1—5。4．1．2資產(chǎn)賦值通過分析可以看出，六類資產(chǎn)中數(shù)據(jù)資產(chǎn)和業(yè)務(wù)服務(wù)資產(chǎn)的重要性是決定其他資產(chǎn)重要性的關(guān)鍵要素，因此，六類資產(chǎn)的賦值原則如下:1)數(shù)據(jù)資產(chǎn)重要性根據(jù)業(yè)務(wù)數(shù)據(jù)重要性賦值結(jié)果確定。2)服務(wù)資產(chǎn)重要性根據(jù)業(yè)務(wù)服務(wù)重要性賦值結(jié)果確定。3)軟件和硬件資產(chǎn)的重要性由其所處理的各類數(shù)據(jù)或所支撐的各種業(yè)務(wù)服務(wù)的重要性賦值結(jié)果中的較高者決定。4)人員的重要性根據(jù)其在信息系統(tǒng)中所承擔(dān)角色的可信度、能力等被破壞對(duì)本單位造成的損失程度確定。5)其他資產(chǎn)重要性根據(jù)其對(duì)油田企業(yè)的影響程度確定。

4．2威脅識(shí)別

4．2．1威脅分類對(duì)威脅進(jìn)行分類的方式有多種，針對(duì)環(huán)境因素和人為因素兩類威脅來源，可以根據(jù)其表現(xiàn)形式將威脅進(jìn)行分類［4］。本論文采用GB/Z24364－2009信息安全技術(shù)信息安全風(fēng)險(xiǎn)管理指南中基于表現(xiàn)形式的威脅分類方法。4．2．2威脅賦值根據(jù)威脅出現(xiàn)的頻率確定威脅賦值，威脅賦值一般為1～5。對(duì)威脅出現(xiàn)頻率的判斷根據(jù)風(fēng)險(xiǎn)評(píng)估常規(guī)做法獲得，比如安全事件報(bào)告、IDS、IPS報(bào)告以及其他機(jī)構(gòu)的威脅頻率報(bào)告等。

4．3脆弱性識(shí)別

4．2．1脆弱性分類脆弱性識(shí)別所采用的方法主要有:問卷調(diào)查、配置核查、文檔查閱、漏洞掃描、滲透性測(cè)試等。油田企業(yè)脆弱性識(shí)別依據(jù)包括:GB/T22239信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求的三級(jí)要求以及石油行業(yè)相關(guān)要求。4．2．2脆弱性賦值原則脆弱性賦值時(shí)分為脆弱性暴露程度和脆弱性嚴(yán)重程度。暴露程度根據(jù)其被利用的技術(shù)實(shí)現(xiàn)難易程度、流行程度進(jìn)行賦值。對(duì)脆弱性的暴露程度給出如下5個(gè)等級(jí)的賦值原則:脆弱性的嚴(yán)重程度根據(jù)脆弱性被利用可能對(duì)資產(chǎn)造成的損害程度進(jìn)行賦值。脆弱性的嚴(yán)重程度分為5個(gè)等級(jí)，賦值為1～5。

4．4現(xiàn)有安全措施識(shí)別

4．4．1現(xiàn)有安全措施識(shí)別方法信息系統(tǒng)環(huán)境中的現(xiàn)有安全措施根據(jù)其所起的安全作用分為預(yù)防措施和恢復(fù)措施。預(yù)防措施用于預(yù)防安全事件的發(fā)生(例如入侵檢測(cè)、網(wǎng)絡(luò)訪問控制、網(wǎng)絡(luò)防病毒等)，可以降低安全事件發(fā)生的概率。因此針對(duì)每一個(gè)安全事件，分析現(xiàn)有預(yù)防措施是否能夠降低事件發(fā)生的概率，其降低發(fā)生概率的效果有多大?；謴?fù)措施可以在安全事件發(fā)生之后幫助盡快恢復(fù)系統(tǒng)正常運(yùn)行，可能降低安全事件的損失(例如應(yīng)急計(jì)劃、設(shè)備冗余、數(shù)據(jù)備份等)，因此針對(duì)每一個(gè)安全事件，分析現(xiàn)有恢復(fù)措施是否能夠降低事件損失，其降低事件損失的效果有多大。4．4．2現(xiàn)有安全預(yù)防措施有效性賦值原則通過識(shí)別信息系統(tǒng)現(xiàn)有安全措施及其有效性驗(yàn)證，針對(duì)每一個(gè)安全事件，分析現(xiàn)有預(yù)防措施中可能降低事件發(fā)生概率的情況，并對(duì)預(yù)防措施的有效性分別給出賦值結(jié)果。評(píng)估者通過分析安全預(yù)防措施的效果，對(duì)預(yù)防措施賦予有效性因子，有效性因子可以賦值為0．1～1。4．4．3現(xiàn)有安全恢復(fù)措施有效性賦值原則通過識(shí)別信息系統(tǒng)現(xiàn)有安全措施及其有效性驗(yàn)證，針對(duì)每一個(gè)安全事件，分析現(xiàn)有恢復(fù)性安全措施中可能降低事件損失的情況。評(píng)估者通過分析安全恢復(fù)措施的有效性作用，對(duì)安全恢復(fù)措施賦予有效性因子，有效性因子可以賦值為0．1～1。

4．5安全事件分析

4．5．1安全事件關(guān)聯(lián)綜合識(shí)別出的脆弱性及現(xiàn)有安全措施識(shí)別出的缺陷，結(jié)合油田企業(yè)信息系統(tǒng)面臨的各種威脅，將各資產(chǎn)的脆弱性與威脅相對(duì)應(yīng)形成安全事件。分析這些安全事件一旦發(fā)生會(huì)對(duì)國(guó)家、單位、部門及評(píng)估對(duì)象自身造成的影響，分析發(fā)生這些安全事件可能造成影響的嚴(yán)重程度，從中找出部門(或單位)對(duì)發(fā)生安全事件造成影響無法容忍的那些安全事件，即確定不可接受安全事件。4．5．2安全事件發(fā)生可能性分析(1)計(jì)算威脅利用脆弱性的可能性針對(duì)4．5．1中分析得出的不可接受安全事件，綜合威脅賦值結(jié)果及脆弱性的暴露程度賦值結(jié)果，計(jì)算威脅利用脆弱性導(dǎo)致不可接受安全事件的可能性，采用乘積形式表明其關(guān)系，即安全事件發(fā)生的可能性的初始結(jié)果計(jì)算公式如下:L1(T，V)1=T×V1其中，L1(T，V1)代表不可接受事件發(fā)生的可能性的初始結(jié)果;T代表威脅賦值結(jié)果;V1代表脆弱性的暴露程度賦值結(jié)果。(2)分析現(xiàn)有預(yù)防措施的效果通過對(duì)企業(yè)信息系統(tǒng)的現(xiàn)有安全措施的識(shí)別和有效性驗(yàn)證，針對(duì)4．5．1分析得到的不可接受安全事件，分析描述現(xiàn)有預(yù)防措施中可能降低事件發(fā)生概率的情況，并給出有效性因子賦值結(jié)果。(3)計(jì)算安全事件發(fā)生的可能性考慮到現(xiàn)有安全措施可能降低安全事件發(fā)生的可能性，因此安全事件發(fā)生的可能性的最終計(jì)算公式為:L2(T，V)1=L1(T，V1)×P1其中，L2(T，V1)為最終安全事件發(fā)生的可能性結(jié)果;L1(T，V1)為安全事件發(fā)生的可能性初始結(jié)果;P1代表安全預(yù)防措施有效性賦值結(jié)果。然后，形成調(diào)節(jié)后的安全事件可能性列表。4．5．3安全事件影響分析(1)計(jì)算脆弱性導(dǎo)致資產(chǎn)的損失將各資產(chǎn)的脆弱性(管理類脆弱性除外，管理類脆弱性采用定性方式進(jìn)行主觀分析)與威脅相對(duì)應(yīng)形成安全事件(4．5．1不可接受安全事件列表)，根據(jù)資產(chǎn)的重要性及脆弱性的嚴(yán)重程度，計(jì)算脆弱性可能導(dǎo)致資產(chǎn)的損失，即:F1(A，V2)=A×V2其中，F(xiàn)1(A，V2)代表安全事件可能導(dǎo)致資產(chǎn)的損失的初始計(jì)算結(jié)果;A代表資產(chǎn)價(jià)值，即資產(chǎn)賦值結(jié)果;V2代表脆弱性嚴(yán)重程度，即脆弱性嚴(yán)重程度賦值結(jié)果。(2)分析現(xiàn)有安全恢復(fù)措施的有效性通過對(duì)油田企業(yè)信息系統(tǒng)的現(xiàn)有安全措施的識(shí)別和有效性驗(yàn)證，針對(duì)4．5．1分析得到的不可接受安全事件，分析描述現(xiàn)有恢復(fù)措施中可能降低事件發(fā)生的概率的情況，并根據(jù)表9的賦值原則分別給出安全恢復(fù)措施的有效性賦值結(jié)果。(3)計(jì)算安全事件的損失考慮到恢復(fù)措施可能降低安全事件帶來的損失，因此安全事件損失可以根據(jù)安全恢復(fù)措施的有效性予以調(diào)整。采用乘積形式表明關(guān)系，即:F2(A，V2)=F1(A，V2)×P2其中，F(xiàn)2(A，V2)為安全事件可能造成的損失的最終計(jì)算結(jié)果;F1(A，V2)為安全事件可能造成損失的初始計(jì)算結(jié)果;P2代表安全恢復(fù)措施有效性賦值結(jié)果。然后，形成調(diào)節(jié)后的安全事件損失計(jì)算結(jié)果列表。

4．6綜合風(fēng)險(xiǎn)計(jì)算及分析

4．6．1計(jì)算風(fēng)險(xiǎn)值結(jié)合油田企業(yè)關(guān)注低可能性重性的安全事件的需求，參照美國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施風(fēng)險(xiǎn)評(píng)估計(jì)算方法，采用安全事件發(fā)生的可能性以及安全事件可能帶來的損失的加權(quán)之和方式計(jì)算風(fēng)險(xiǎn)值。這種方法更加重視安全事件帶來的損失，使得損失在對(duì)風(fēng)險(xiǎn)值的貢獻(xiàn)中權(quán)重更大。在使用油田企業(yè)以往測(cè)評(píng)結(jié)果試用的基礎(chǔ)上，將安全事件可能帶來的損失的權(quán)重定為80%。具體計(jì)算公式為:R(L2，F(xiàn))2=L2(T，V)1×20%+F2(A，V)2×80%其中，R(L2，F(xiàn)2)代表風(fēng)險(xiǎn)值，L2(T，V1)為安全事件發(fā)生可能性的最終結(jié)果，F(xiàn)2(A，V2)為安全事件可能造成的損失的最終計(jì)算結(jié)果。4．6．2風(fēng)險(xiǎn)結(jié)果判斷計(jì)算出風(fēng)險(xiǎn)值后，應(yīng)對(duì)風(fēng)險(xiǎn)值進(jìn)行分級(jí)處理，將風(fēng)險(xiǎn)級(jí)別劃分為五級(jí)。4．6．3綜合分析根據(jù)風(fēng)險(xiǎn)計(jì)算結(jié)果，從多個(gè)不同方面綜合匯總分析被評(píng)估信息系統(tǒng)存在的安全風(fēng)險(xiǎn)情況。例如可從以下幾方面匯總分析:1)風(fēng)險(xiǎn)較高的資產(chǎn)統(tǒng)計(jì):匯總存在多個(gè)脆弱性可能導(dǎo)致多個(gè)中等以上風(fēng)險(xiǎn)等級(jí)安全事件發(fā)生的資產(chǎn)，從資產(chǎn)角度綜合分析被評(píng)估信息系統(tǒng)存在的安全風(fēng)險(xiǎn)情況;2)引起較高風(fēng)險(xiǎn)的脆弱性統(tǒng)計(jì):匯總會(huì)給被評(píng)估信息系統(tǒng)帶來中等以上安全風(fēng)險(xiǎn)的脆弱性及其影響的資產(chǎn)及嚴(yán)重程度，分析可能帶來的危害后果;3)出現(xiàn)頻率較高的脆弱性統(tǒng)計(jì):匯總中等以上脆弱性在資產(chǎn)中的出現(xiàn)頻率，從而反映脆弱性在被評(píng)估系統(tǒng)中的普遍程度，出現(xiàn)頻率越高，整改獲取的收益越好。4)按層面劃分的風(fēng)險(xiǎn)點(diǎn)分布情況匯總:匯總網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)、物理、管理等各層面存在的脆弱性及其嚴(yán)重程度，對(duì)比分析風(fēng)險(xiǎn)在不同層面的分布情況。

5結(jié)語(yǔ)

關(guān)于企業(yè)信息安全措施范文第2篇

【關(guān)鍵詞】煤礦企業(yè)；計(jì)算機(jī)網(wǎng)絡(luò)；管理；安全措施

企業(yè)計(jì)算機(jī)系統(tǒng)是一個(gè)分級(jí)分散的大型城域性網(wǎng)絡(luò)，網(wǎng)絡(luò)管理不是局部性的工作，僅僅依賴于集中式的網(wǎng)管系統(tǒng)也難以對(duì)整個(gè)網(wǎng)絡(luò)實(shí)施有效管理的。為確保整個(gè)網(wǎng)絡(luò)的通暢，及時(shí)定位、快速修復(fù)網(wǎng)絡(luò)故障，一定要對(duì)整個(gè)網(wǎng)絡(luò)實(shí)行全面管理，掌握整個(gè)網(wǎng)絡(luò)的運(yùn)行狀況。煤礦企業(yè)這樣的地域?qū)拸V、用戶量較大的大型計(jì)算機(jī)網(wǎng)絡(luò)，進(jìn)行分布式管理是較好的解決方案，分布式管理系統(tǒng)不但能提高管理效率，保障管理的安全可靠性，也有利于邏輯集中，關(guān)于協(xié)作關(guān)系的分布系統(tǒng)，使全局性的管理工作更明確、簡(jiǎn)單、實(shí)用。

1、網(wǎng)絡(luò)管理

1.1網(wǎng)管中心的總體建設(shè)目標(biāo)

（1）煤礦企業(yè)網(wǎng)管中心一般負(fù)責(zé)骨干網(wǎng)和核心服務(wù)器群的管理，并具備對(duì)下級(jí)網(wǎng)管中心進(jìn)行監(jiān)督指導(dǎo)的技術(shù)手段和工具。

（2）二級(jí)網(wǎng)管中心的主要職能是確保煤礦企業(yè)總部與工作單位的網(wǎng)絡(luò)暢通和數(shù)據(jù)的完整接收與上傳，并具備對(duì)三級(jí)網(wǎng)管中心進(jìn)行監(jiān)督指導(dǎo)的技術(shù)手段和工具，同時(shí)在網(wǎng)絡(luò)管理上發(fā)揮承上啟下的作用。

通過各級(jí)網(wǎng)管中心的分工協(xié)作，對(duì)整個(gè)企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)的配置、故障、性能、狀態(tài)實(shí)現(xiàn)集中指導(dǎo)下的分級(jí)分布式管理。

1.2網(wǎng)絡(luò)管理系統(tǒng)總體要求

（1）網(wǎng)絡(luò)管理功能。全網(wǎng)管理中心設(shè)在煤礦企業(yè)總部網(wǎng)絡(luò)中心，在二級(jí)下屬單位設(shè)立二級(jí)網(wǎng)管中心，進(jìn)行分布式管理。計(jì)算機(jī)網(wǎng)絡(luò)管理軟件可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的拓?fù)涔芾?、狀態(tài)監(jiān)控、性能管理、故障管理等；支持煤礦企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)跨地域的各分支機(jī)構(gòu)局域網(wǎng)內(nèi)部可能存在的IP地址重疊狀況，還具有分布式管理的能力。

（2）服務(wù)器監(jiān)控。在各級(jí)網(wǎng)管中心對(duì)計(jì)算機(jī)應(yīng)用系統(tǒng)的服務(wù)器進(jìn)行監(jiān)控，主要包括服務(wù)器狀態(tài)、重要的性能參數(shù)、進(jìn)程狀態(tài)、文件變化等內(nèi)容，確保服務(wù)器的正常運(yùn)行。在發(fā)生問題時(shí)，可以及時(shí)報(bào)警，并按其需要，對(duì)不同的管理員采用不同的報(bào)警方式，確保在最短時(shí)間內(nèi)查出問題出現(xiàn)的原因。

（3）故障管理。在各級(jí)網(wǎng)管中心建立故障管理系統(tǒng)，收集各種管理功能產(chǎn)生的故障事件，并按照事件類型、事件源對(duì)事件進(jìn)行分類顯示。

（4）軟件分發(fā)管理。在各級(jí)網(wǎng)管中心對(duì)煤礦企業(yè)計(jì)算機(jī)應(yīng)用系統(tǒng)的服務(wù)器進(jìn)行集中的軟件分發(fā)管理，管理員在中心完成軟件的打包、下發(fā)、確認(rèn)等軟件更新管理，以實(shí)現(xiàn)快速軟件部署。

（5）資源管理。在各級(jí)網(wǎng)管中心對(duì)計(jì)算機(jī)應(yīng)用系統(tǒng)的資源進(jìn)行統(tǒng)計(jì)，主要包括軟件、硬件配置信息。資源信息存放在關(guān)系數(shù)據(jù)庫(kù)中，人員能運(yùn)用資源管理系統(tǒng)進(jìn)行資源查詢。

（6）遠(yuǎn)程控制管理。在各級(jí)網(wǎng)管中心對(duì)各級(jí)應(yīng)用系統(tǒng)的服務(wù)器進(jìn)行遠(yuǎn)程控制，實(shí)現(xiàn)遠(yuǎn)程技術(shù)支持。通過遠(yuǎn)程控制，中心管理員能夠獲得遠(yuǎn)程機(jī)器的鍵盤、鼠標(biāo)和屏幕，監(jiān)視或控制其操作，并能與對(duì)方通信，遠(yuǎn)程下發(fā)給對(duì)方需要的文件，以實(shí)現(xiàn)對(duì)遠(yuǎn)程服務(wù)器的支持。遠(yuǎn)程控制管理要在廣域網(wǎng)上工作。

（7）存儲(chǔ)備份管理。在各級(jí)網(wǎng)管中心對(duì)主要應(yīng)用系統(tǒng)的服務(wù)器進(jìn)行數(shù)據(jù)備份，主要包括重要文件和應(yīng)用數(shù)據(jù)，如數(shù)據(jù)庫(kù)數(shù)據(jù)，以確保在發(fā)生故障時(shí)，能夠進(jìn)行數(shù)據(jù)恢復(fù)。

（8）決策分析管理。在各級(jí)網(wǎng)管中心對(duì)網(wǎng)絡(luò)系統(tǒng)的管理信息進(jìn)行匯總和相關(guān)的決策分析，以全面了解網(wǎng)絡(luò)系統(tǒng)運(yùn)行的狀況，發(fā)現(xiàn)隱患，為提高管理水平提供決策信息。

1.3網(wǎng)絡(luò)管理系統(tǒng)的功能

它主要包含網(wǎng)絡(luò)配置管理、網(wǎng)絡(luò)故障管理、網(wǎng)絡(luò)性能管理、網(wǎng)絡(luò)安全管理和網(wǎng)絡(luò)自動(dòng)化管理等功能。

2、網(wǎng)絡(luò)安全措施

煤礦企業(yè)的信息網(wǎng)絡(luò)系統(tǒng)在規(guī)劃、設(shè)計(jì)和建設(shè)開發(fā)應(yīng)用初期，一定要重視網(wǎng)絡(luò)安全和信息安全，通常需要網(wǎng)絡(luò)信息安全方面的技術(shù)人員及專業(yè)公司進(jìn)行規(guī)劃設(shè)計(jì)。煤礦企業(yè)網(wǎng)絡(luò)與信息系統(tǒng)的安全必須解決以下幾個(gè)問題：物理鏈路安全問題；網(wǎng)絡(luò)平臺(tái)安全問題；系統(tǒng)安全問題；應(yīng)用安全問題；管理安全問題。

（1）網(wǎng)絡(luò)和信息安全體系設(shè)計(jì)原則。即整體安全；有效管理；合理折中；責(zé)權(quán)分明；綜合治理。

（2）網(wǎng)絡(luò)和信息安全體系結(jié)構(gòu)。此模型由安全服務(wù)、協(xié)議層次和系統(tǒng)單元三個(gè)層面描述，在每個(gè)層面上，均包含安全管理的內(nèi)容。此模型在整體上表現(xiàn)為一個(gè)三線立體框架結(jié)構(gòu)。

3、實(shí)施措施方法

在煤礦企業(yè)信息系統(tǒng)的安全實(shí)施中，需要綜合使用備份技術(shù)（數(shù)據(jù)鏡像、備份線路、備份設(shè)備）、VLAN技術(shù)、lP地址綁定、ACL技術(shù)、負(fù)載均衡技術(shù)、防火墻技術(shù)、NAT技術(shù)等構(gòu)建企業(yè)網(wǎng)絡(luò)安全防范系統(tǒng)。使用VPN技術(shù)，實(shí)現(xiàn)企業(yè)駐外機(jī)構(gòu)和移動(dòng)用戶訪問企業(yè)Intent資源的數(shù)據(jù)保密通信，構(gòu)建企業(yè)內(nèi)部保密通信子網(wǎng)。

（1）網(wǎng)絡(luò)安全防范。①網(wǎng)絡(luò)優(yōu)化；②防火墻設(shè)備配置；③安全策略的實(shí)施。

（2）網(wǎng)絡(luò)數(shù)據(jù)保密。①互聯(lián)網(wǎng)、ADSL和撥號(hào)用戶的VPN解決方案。②構(gòu)建保密通信子網(wǎng)。

（3）入侵檢測(cè)系統(tǒng)。選用金諾網(wǎng)安入侵檢測(cè)系統(tǒng)，分別放置在SSN區(qū)域、中心交換機(jī)的監(jiān)控目上，重點(diǎn)保護(hù)子網(wǎng)所在的VLAN網(wǎng)段。

（4）安全評(píng)估系統(tǒng)。在煤礦企業(yè)網(wǎng)絡(luò)系統(tǒng)中，需要配備一套安全評(píng)估軟件，定期對(duì)局域網(wǎng)內(nèi)的服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備進(jìn)行掃描，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中存在的弱點(diǎn)和漏洞，并采取相應(yīng)的補(bǔ)救措施。掃描內(nèi)容主要包括服務(wù)器的設(shè)置合理與否、防火墻的規(guī)則配置狀況、路由器的路由表是否能被輕易修改等。此安全評(píng)估軟件能從不同角度對(duì)網(wǎng)絡(luò)進(jìn)行掃描，能安裝在管理網(wǎng)段的一臺(tái)機(jī)器上，也能安裝在筆記本電腦上，從外部網(wǎng)絡(luò)掃描內(nèi)部網(wǎng)絡(luò)。

4、煤礦企業(yè)數(shù)據(jù)中心系統(tǒng)

在煤礦企業(yè)信息化中，建立安全、可靠、高效的數(shù)據(jù)中心系統(tǒng)非常重要。

（1）主機(jī)系統(tǒng)。基于系統(tǒng)軟件和可靠性等多方面的具體情況，數(shù)據(jù)中心服務(wù)器：一是數(shù)據(jù)庫(kù)服務(wù)器，二是應(yīng)用服務(wù)器。其中，數(shù)據(jù)庫(kù)服務(wù)器由于要求高性能和高可靠性可由多臺(tái)小型機(jī)組成集群系統(tǒng)，提供24小時(shí)不間斷的數(shù)據(jù)存取服務(wù)；應(yīng)用服務(wù)器要按各個(gè)應(yīng)用系統(tǒng)需求不同，分別配置不同性能的PC服務(wù)器。

（2）操作系統(tǒng)平臺(tái)。煤礦企業(yè)中心機(jī)房小型機(jī)使用UNIX操作系統(tǒng)；其他PC服務(wù)器-般可采用MS，Windows或LINUX服務(wù)器版操作系統(tǒng)，工作站及個(gè)人微機(jī)可使用幾個(gè)桌面操作系統(tǒng)。

關(guān)于企業(yè)信息安全措施范文第3篇

關(guān)鍵詞 ERP系統(tǒng) 企業(yè) 電子系統(tǒng) 管理

一 、ERP在我國(guó)企業(yè)實(shí)施的現(xiàn)狀

ERP（Enterprise Resource Planning，企業(yè)資源規(guī)劃）是指建立在信息技術(shù)基礎(chǔ)上，通過對(duì)企業(yè)銷售、生產(chǎn)、采購(gòu)、物流等各個(gè)環(huán)節(jié)以及人力資源、生產(chǎn)設(shè)備、資金等企業(yè)內(nèi)部資源的有效控制和管理，實(shí)現(xiàn)企業(yè)內(nèi)部資源的優(yōu)化配置，提高企業(yè)生產(chǎn)效率和市場(chǎng)響應(yīng)能力的管理平臺(tái)。

在20世紀(jì)80年代，人們把生產(chǎn)、財(cái)務(wù)、銷售、采購(gòu)、人力資源等各個(gè)信息子系統(tǒng)集成為一個(gè)一體化的系統(tǒng)，并成為制造資源計(jì)劃，MRPⅡ的基本原理就是把企業(yè)作為一個(gè)有機(jī)整體，以生產(chǎn)計(jì)劃為主線，從整體最優(yōu)的角度出發(fā)，通過運(yùn)用科學(xué)方法對(duì)企業(yè)各種制造資源和產(chǎn)、供、銷、材各個(gè)環(huán)節(jié)進(jìn)行統(tǒng)一有效的計(jì)劃、組織和控制，使物流、信息流、資金流流動(dòng)暢通的動(dòng)態(tài)反饋系統(tǒng)，成為以生產(chǎn)制造為主線，即物流、信息流、資金流為一體的全面制造資源計(jì)劃。

在MRPⅡ管理模式下，可以有生產(chǎn)活動(dòng)與財(cái)務(wù)活動(dòng)有關(guān)的數(shù)據(jù)，把實(shí)物形態(tài)的物料流動(dòng)直接轉(zhuǎn)化為價(jià)值形態(tài)的資金流動(dòng)，從而保證了生產(chǎn)與財(cái)務(wù)數(shù)據(jù)的事實(shí)性和一致性，使財(cái)務(wù)部門得到及時(shí)、準(zhǔn)確的資金信息，用于控制成本，參與決策，指導(dǎo)和控制生產(chǎn)經(jīng)營(yíng)活動(dòng)。

由于國(guó)外MRPⅡ供應(yīng)商的熱情.媒體的宣傳和眾人的盲從，MRPⅡ在我國(guó)的應(yīng)用曾經(jīng)有一個(gè)，但終因不具備MRPⅡ生長(zhǎng)的環(huán)境而平息。

我國(guó)ERP真正的運(yùn)用是20世紀(jì)90年代，從90年代中后期開始，為了確立競(jìng)爭(zhēng)優(yōu)勢(shì)，各國(guó)企業(yè)更加關(guān)注進(jìn)入市場(chǎng)的時(shí)間，產(chǎn)品的質(zhì)量，服務(wù)的水平和運(yùn)營(yíng)成本的降低，并且為適應(yīng)市場(chǎng)全球化的要求，組織結(jié)構(gòu)和投資結(jié)構(gòu)也趨向于分布式和扁平化，ERP就是在這種時(shí)代背景下面市的，在ERP系統(tǒng)設(shè)計(jì)中，考慮到僅靠自己企業(yè)的資源不可能有效地參與市場(chǎng)競(jìng)爭(zhēng)，還必須把經(jīng)營(yíng)過程中的有關(guān)各方，如：供應(yīng)商、制造工廠、分銷網(wǎng)絡(luò)、客戶等納入一個(gè)緊密的供應(yīng)鏈中，才能有效的安排企業(yè)的產(chǎn)、供銷活動(dòng)。滿足企業(yè)利用一切市場(chǎng)資源，快速高效地進(jìn)行生產(chǎn)經(jīng)營(yíng)的需求，并準(zhǔn)確及時(shí)的反映各方的動(dòng)態(tài)信息，監(jiān)控經(jīng)營(yíng)成本和資金流向，以其進(jìn)一步企業(yè)對(duì)市場(chǎng)反映的靈活性和財(cái)務(wù)效率，并在市場(chǎng)上獲得競(jìng)爭(zhēng)優(yōu)勢(shì)。

ERP是一種面向企業(yè)供應(yīng)鏈的整體資源的管理和利用，可對(duì)供應(yīng)鏈上的所有環(huán)節(jié)進(jìn)行有效的管理。從90年代起，全球ERP/MRPⅡ軟件產(chǎn)品市場(chǎng)排名最前的一些公司紛紛進(jìn)入我國(guó)市場(chǎng)，國(guó)內(nèi)著名的幾家財(cái)務(wù)公司也聯(lián)名宣布進(jìn)軍ERP領(lǐng)域在企業(yè)中掀起一場(chǎng)ERP熱潮。2002年3月7日，國(guó)家經(jīng)貿(mào)委和信息產(chǎn)業(yè)部聯(lián)合發(fā)出《關(guān)于大力推進(jìn)企業(yè)管理信息化的指導(dǎo)意見》，對(duì)企業(yè)管理信息化提出具體要求“國(guó)家重點(diǎn)企業(yè)管理信息化的起點(diǎn)要求，步伐要快。到‘十五’末期，大多數(shù)國(guó)家重點(diǎn)企業(yè)要基本實(shí)現(xiàn)企業(yè)信息化，制造類企業(yè)可以應(yīng)用ERP為主”，“其他國(guó)有大中型企業(yè)要努力實(shí)現(xiàn)比較完善的財(cái)務(wù)、營(yíng)銷管理信息化”。這一指導(dǎo)意見對(duì)ERP的應(yīng)用起到了推動(dòng)作用，目前有一千多家企業(yè)在應(yīng)用ERP，客觀上達(dá)到了利用計(jì)算機(jī)輔助管理的目的，并在一定程度上促進(jìn)了企業(yè)管理的改進(jìn)、提高和創(chuàng)新。

但是，從應(yīng)用效果上看，無論我國(guó)政府還是企業(yè)，在這方面投入不少，其應(yīng)用效果令人擔(dān)憂。在我國(guó)ERP實(shí)施的成功率不足50%，同西方國(guó)家相比存在很大的差距。據(jù)美國(guó)生產(chǎn)與庫(kù)存控制協(xié)會(huì)統(tǒng)計(jì)，企業(yè)成功應(yīng)用ERP后，庫(kù)存下降30%～50%；延期交貨減少80%，采購(gòu)提前期縮短50%，停工待料減少50%，制造成本減少12%，管理水平提高，管理人員減少10%，生產(chǎn)能力提高10%～15%。從這些數(shù)據(jù)可以看出，ERP的成功應(yīng)用可以為企業(yè)帶來很樂觀的利益和前景，其在國(guó)外應(yīng)用的也相當(dāng)成功，已經(jīng)成為國(guó)外企業(yè)進(jìn)行日常工作流程管理和決策支持必不可少的工具。但在我國(guó)在應(yīng)用和實(shí)施ERP軟件中遇上很多問題。

二、ERP在我國(guó)企業(yè)實(shí)施中存在的問題

ERP在我國(guó)實(shí)施的成功率低下或者說ERP項(xiàng)目的實(shí)施不能達(dá)到我國(guó)企業(yè)期望的目標(biāo)，主要原因在于：

1.企業(yè)管理者和員工的管理思想落后。ERP系統(tǒng)本身蘊(yùn)涵著先進(jìn)的管理思想，實(shí)施ERP是一項(xiàng)管理系統(tǒng)工程，涉及企業(yè)運(yùn)營(yíng)的方方面面，且要求對(duì)企業(yè)的業(yè)務(wù)流程進(jìn)行重組，變革現(xiàn)行的管理模式。然而，我國(guó)企業(yè)由計(jì)劃經(jīng)濟(jì)的時(shí)間不長(zhǎng)，由于歷史的慣性，企業(yè)中的一些人員還習(xí)慣于計(jì)劃經(jīng)濟(jì)下的傳統(tǒng)的管理模式，包括管理方式、組織機(jī)構(gòu)、工作方式等，市場(chǎng)意識(shí)不強(qiáng)，難以接受新的管理思想和方式，更不愿意變革。雖然在某種程度上使用了IT，但是并沒有輔之以新的管理理念，只是“穿新鞋走老路”，ERP的應(yīng)用效果不能凸顯，甚至阻礙了ERP進(jìn)一步發(fā)展。

管理思想是ERP的靈魂，實(shí)施業(yè)務(wù)流程重組和管理信息化后，企業(yè)管理思想和管理模式將發(fā)生革命性的質(zhì)的變化，不能正確認(rèn)識(shí)的管理思想就不可能很好地去實(shí)施和應(yīng)用ERP系統(tǒng)，因此，管理者和員工的管理理念和工作方式必須進(jìn)行相應(yīng)調(diào)整。

2.ERP環(huán)境下信息系統(tǒng)內(nèi)部控制存在的問題。（1）信息系統(tǒng)非授權(quán)訪問的風(fēng)險(xiǎn)。對(duì)企業(yè)信息系統(tǒng)的使用必須經(jīng)過授權(quán)，非授權(quán)的訪問，將帶來對(duì)企業(yè)重要信息的泄漏或丟失的風(fēng)險(xiǎn)。企業(yè)信息系統(tǒng)非授權(quán)訪問的威脅主要來自于：系統(tǒng)內(nèi)部和系統(tǒng)外部，如：黑客入侵和病毒攻擊，尤其是有意圖的、有目的的攻擊行為。將給企業(yè)帶來巨大的傷害，嚴(yán)重威脅企業(yè)信息的機(jī)密性、完整性和可用性。（2）信息系統(tǒng)管理部門內(nèi)職責(zé)分離的控制風(fēng)險(xiǎn)。職責(zé)分離，是企業(yè)內(nèi)部控制的基礎(chǔ)控制手段，主要目標(biāo)是防范內(nèi)部人員的舞弊行為帶給企業(yè)的災(zāi)難。在ERP的環(huán)境下，信息系統(tǒng)不相容的職責(zé)分離主要有：系統(tǒng)設(shè)計(jì)人員和系統(tǒng)操作人員的職責(zé)分離，系統(tǒng)維護(hù)人員與系統(tǒng)操作人員的職責(zé)要分離，系統(tǒng)操作人員、系統(tǒng)設(shè)計(jì)人員與數(shù)據(jù)檔案管理人員職責(zé)要分離，數(shù)據(jù)庫(kù)管理員與信息系統(tǒng)管理部門的其他職責(zé)要分離。（3）不同信息系統(tǒng)之間信息傳遞的控制風(fēng)險(xiǎn)。ERP系統(tǒng)需要與原有的生產(chǎn)管理系統(tǒng)、網(wǎng)上電子采購(gòu)系統(tǒng)以及已停止使用但保留歷史數(shù)據(jù)的用友財(cái)務(wù)會(huì)計(jì)系統(tǒng)進(jìn)行溝通，雖然R/3軟件提供了系統(tǒng)外部接口，但是，企業(yè)很難直接將它們和ERP系統(tǒng)進(jìn)行接口連接，進(jìn)行集成管理。

3.ERP系統(tǒng)中的信息不對(duì)稱。我國(guó)大多數(shù)企業(yè)信息化基礎(chǔ)比較弱，各個(gè)信息系統(tǒng)之間相互不匹配、不融合，如銷售部門、財(cái)務(wù)部門、行政部門等部門之間信息系統(tǒng)數(shù)據(jù)不統(tǒng)一。這主要是由于：（1）基礎(chǔ)數(shù)據(jù)的準(zhǔn)確性差。如生產(chǎn)系統(tǒng)運(yùn)行不規(guī)范、生產(chǎn)過程不穩(wěn)定、企業(yè)管理機(jī)制和市場(chǎng)環(huán)境不完善等，破壞了基礎(chǔ)數(shù)據(jù)的統(tǒng)一性、完整性、和流暢性，最終導(dǎo)致基礎(chǔ)數(shù)據(jù)的準(zhǔn)確性下降。（2）物流、資金流和信息流不一致。物流、資金流和信息流不是緊密聯(lián)系的， 企業(yè)內(nèi)部的信息不一致，許多部門之間的數(shù)據(jù)不一致，對(duì)同一個(gè)問題得出的結(jié)論不同，甚至完全相反。這些造成企業(yè)管理資源的浪費(fèi)，給企業(yè)帶來?yè)p失。

三、我國(guó)ERP應(yīng)用率低下的解決對(duì)策

1.革新管理理念。ERP不僅僅對(duì)企業(yè)帶來的ERP軟件，更重要的是給企業(yè)帶來了先進(jìn)的管理理念，企業(yè)實(shí)施ERP過程，也是將ERP的管理理念引入企業(yè)的過程。那么ERP的實(shí)施必然涉及企業(yè)的業(yè)務(wù)流程、組織機(jī)構(gòu)設(shè)置、人員配置等方方面面的配套改革。也必然涉及各方面利益關(guān)系的調(diào)整，所有這些僅僅依靠企業(yè)的某個(gè)功能，都沒有辦法解決，都需要企業(yè)關(guān)鍵領(lǐng)導(dǎo)出面對(duì)企業(yè)業(yè)務(wù)流程重組和變革以適應(yīng)ERP的實(shí)施給企業(yè)帶來的先進(jìn)管理理念，可以說，企業(yè)的高層領(lǐng)導(dǎo)，革新理念、積極參與是成功實(shí)施ERP的關(guān)鍵。

2.改革ERP環(huán)境下信息系統(tǒng)的內(nèi)部控制。防范ERP信息系統(tǒng)的風(fēng)險(xiǎn)，保證系統(tǒng)的安全，必須采取全面有效的控制措施。（1）建立信息安全管理委員會(huì)，完善組織控制。企業(yè)可以設(shè)立獨(dú)立的信息安全管理委員會(huì)，主要用于指導(dǎo)、協(xié)調(diào)和評(píng)價(jià)企業(yè)信息系統(tǒng)。實(shí)施過程中的安全控制措施，該委員會(huì)應(yīng)該于信息系統(tǒng)的維護(hù)和使用部門相獨(dú)立，負(fù)責(zé)確認(rèn)企業(yè)管理層的信息安全方針，并在企業(yè)組織中指派安全角色。協(xié)調(diào)企業(yè)安全措施的實(shí)施。以達(dá)到對(duì)信息系統(tǒng)的監(jiān)管和有效的風(fēng)險(xiǎn)防范的作用。該委員會(huì)可以和企業(yè)審計(jì)部門合作，對(duì)企業(yè)信息系統(tǒng)的是使用和信息安全管理的效果，進(jìn)行綜合評(píng)價(jià)，促進(jìn)企業(yè)信息系統(tǒng)的改進(jìn)。（2）加強(qiáng)網(wǎng)絡(luò)安全管理。為抵制惡意軟件的入侵，企業(yè)應(yīng)該實(shí)施一系列控制措施來保證網(wǎng)絡(luò)安全，例如：運(yùn)行專用的網(wǎng)關(guān)軟件進(jìn)行網(wǎng)絡(luò)監(jiān)控，采用專用內(nèi)容過濾技術(shù)，組織各種惡意內(nèi)容的入侵等，并通過對(duì)防火墻掃描器入侵檢測(cè)等系統(tǒng)安全的支撐產(chǎn)品，信息的采集與信息系統(tǒng)的事故報(bào)告進(jìn)行關(guān)聯(lián)分析，以便于更準(zhǔn)確的了解信息系統(tǒng)，受到非授權(quán)訪問或攻擊的信息。以及控制措施和控制效果，有利于企業(yè)控制重點(diǎn)的調(diào)整，加強(qiáng)網(wǎng)絡(luò)風(fēng)險(xiǎn)的防范。（3）加強(qiáng)員工的信息安全意識(shí)。進(jìn)行信息安全的再交易，企業(yè)信息系統(tǒng)的安全管理，離不開人的作用，企業(yè)從上至下都建立起信息安全的概念，并由管理層從戰(zhàn)略高度出發(fā)，根據(jù)企業(yè)集團(tuán)的需要和特點(diǎn)，制定一套清晰的信息安全指導(dǎo)方針，并向企業(yè)內(nèi)部各組織，表明管理層對(duì)信息安全的支持和承諾。同時(shí)對(duì)員工信息安全的再教育，培養(yǎng)員工的信息安全意識(shí)。使員工在處理業(yè)務(wù)處理時(shí)，能夠依據(jù)企業(yè)的信息安全方針，進(jìn)行信息安全控制和風(fēng)險(xiǎn)防范。

3.進(jìn)行ERP與電子商務(wù)的整合。一個(gè)有效的企業(yè)管理信息系統(tǒng)應(yīng)該具有智能性，具備一定分析和提煉綜合分析能力，能提供準(zhǔn)確的、及時(shí)的、可供決策的信息。實(shí)現(xiàn)這一系統(tǒng)功能離不開電子商務(wù)。電子商務(wù)的實(shí)質(zhì)是企業(yè)經(jīng)營(yíng)管理的各個(gè)環(huán)節(jié)的信息化過程，電子商務(wù)的開展對(duì)ERP思想的實(shí)質(zhì)將起到一個(gè)橋梁作用。電子商務(wù)是建立在ERP的基礎(chǔ)之上的應(yīng)用，ERP是企業(yè)實(shí)施電子商務(wù)的支撐系統(tǒng)，具體關(guān)系體現(xiàn)為：基于供應(yīng)鏈的兼容性。企業(yè)中存在三種流，物流、資金流和信息流。其中信息流不是孤立的，它與物流和資金流緊密聯(lián)系。反映了物資和資金流動(dòng)前、中、后的狀況。對(duì)基于這三種流分別存在的物資供應(yīng)鏈，資金供應(yīng)鏈和信息供應(yīng)鏈。由于電子商務(wù)主要涉及采購(gòu)和銷售業(yè)務(wù)，因此網(wǎng)上采購(gòu)部和網(wǎng)上銷售部成為企業(yè)的物流和資金流的一部分。雖然ERP首先使用了供應(yīng)鏈管理思想，但供應(yīng)鏈并不依賴于ERP而存在。供應(yīng)鏈?zhǔn)瞧髽I(yè)一種客觀存在。任何企業(yè)應(yīng)用系統(tǒng)都可以使用供應(yīng)鏈管理的思想和方法。

基于客戶關(guān)系管理的關(guān)聯(lián)性。客戶關(guān)系管理（CRM）是ERP系統(tǒng)的一個(gè)發(fā)展方向。面向客戶的客戶關(guān)系管理。不僅僅是將銷售過程自動(dòng)化，而且?guī)椭髽I(yè)充分利用關(guān)鍵客戶和企業(yè)數(shù)據(jù)來優(yōu)化商業(yè)決策過程。CRM賦予客戶與企業(yè)進(jìn)行交流的能力。而這種交流是通過電子商務(wù)來實(shí)現(xiàn)的。電子商務(wù)系統(tǒng)的運(yùn)行為客戶和企業(yè)之間的交流提供中介。向ERP提高最直接的數(shù)據(jù)資料。

整合是根據(jù)企業(yè)發(fā)展戰(zhàn)略和業(yè)務(wù)流程合并、撤消或增加一些業(yè)務(wù)部門。包括水平整合和垂直整合。同時(shí)也要求應(yīng)用軟件各模塊的合理劃分和有機(jī)集成。而且還必須有數(shù)據(jù)庫(kù)層和操作層來支持。具體的實(shí)現(xiàn)途徑如下：

（1）功能整合?；贗nternet的ERP系統(tǒng)應(yīng)滿足企業(yè)及伙伴庫(kù)存管理與銷售管理的基本功能。庫(kù)存管理包括入庫(kù)盤點(diǎn)等。銷售管理包括發(fā)貨、發(fā)票管理等。

（2）觀念和人才整合。整合必須牽動(dòng)全局，會(huì)影響企業(yè)現(xiàn)行的管理思想、管理制度和管理方法。更為重要的是，將會(huì)引起許多人利益的再分配。因而必然會(huì)遇到許多阻力。這就要求最高決策層全力推動(dòng)轉(zhuǎn)變觀念，接受先進(jìn)的管理理念，要求企業(yè)的所有員工必須在思想上有正確的認(rèn)識(shí)，以便于在有機(jī)組織中，充分發(fā)揮每個(gè)員工的主觀能動(dòng)性與全能，提高企業(yè)對(duì)市場(chǎng)動(dòng)態(tài)變化的響應(yīng)速度。同時(shí)要求，商業(yè)管理人員要有計(jì)算機(jī)知識(shí)，IT技術(shù)人員要有管理理論和商務(wù)知識(shí)，這樣企業(yè)才能對(duì)電子商務(wù)下的ERP有哪些需求，技術(shù)上應(yīng)該怎么實(shí)現(xiàn)，有個(gè)清楚的認(rèn)識(shí)。企業(yè)如果缺乏復(fù)合型人才，便無法有效的實(shí)施ERP與電子商務(wù)的融合。

電子商務(wù)與ERP的無縫整合可以最大限度地提高企業(yè)對(duì)市場(chǎng)的快速反應(yīng)能力和滿足客戶的個(gè)性化服務(wù)，最終實(shí)現(xiàn)以供應(yīng)鏈管理為目標(biāo)，使企業(yè)能在激烈的市場(chǎng)競(jìng)爭(zhēng)中，立于不敗之地。

參考文獻(xiàn)

[1]諾伯特?韋爾蒂.成功的ERP項(xiàng)目實(shí)施.北京：機(jī)械工業(yè)出版社.2001.

[2]Alexis leon.企業(yè)資源規(guī)劃.北京：清華大學(xué)出版社.2001.

[3]楊雄勝.內(nèi)部控制面臨的困境及出路.會(huì)計(jì)研究，2006.02.

關(guān)于企業(yè)信息安全措施范文第4篇

 

1、企業(yè)網(wǎng)絡(luò)信息安全管理的現(xiàn)狀分析

 

1.1、鋼鐵企業(yè)信息化的必要性分析

 

隨著我國(guó)經(jīng)濟(jì)的發(fā)展和科技的進(jìn)步，信息化已在越來越多的企業(yè)中被得到應(yīng)用，而鋼鐵企業(yè)作為我國(guó)的經(jīng)濟(jì)支柱之一，在近年來也逐漸實(shí)現(xiàn)了鋼鐵企業(yè)的信息化建設(shè)。在鋼鐵企業(yè)中實(shí)施信息化建設(shè)，一方面是可以將鋼鐵企業(yè)的發(fā)展空間擴(kuò)大，提高企業(yè)本身的在市場(chǎng)的競(jìng)爭(zhēng)力，使其在如今競(jìng)爭(zhēng)激勵(lì)的市場(chǎng)中占有一席之地，對(duì)鋼鐵企業(yè)實(shí)施信息化建設(shè)是企業(yè)發(fā)展的需要;另一方面，由于鋼鐵企業(yè)的業(yè)務(wù)，其所涉及到數(shù)據(jù)、文檔和圖紙等的數(shù)量都是比較多的，想要將這些數(shù)據(jù)、文檔和圖紙儲(chǔ)存起來是一件不容易的事，操作起來比較復(fù)雜，而通過信息化技術(shù)的支持則可以大大的簡(jiǎn)化了這個(gè)儲(chǔ)存操作的過程，便于人員進(jìn)行操作，使鋼鐵企業(yè)的運(yùn)行效率得到大大的提高，對(duì)鋼鐵企業(yè)實(shí)施信息化建設(shè)是企業(yè)管理的需要。除此之外，隨著生產(chǎn)鏈全球化和供應(yīng)鏈全球化的日益緊密，鋼鐵企業(yè)作為我國(guó)的經(jīng)濟(jì)支柱之一，要求其利用信息化管理加強(qiáng)對(duì)鋼鐵生產(chǎn)建設(shè)的指導(dǎo)的迫切性已是越來越突出。因此，對(duì)鋼鐵企業(yè)實(shí)施信息化建設(shè)是非常有必要的，它不僅僅是鋼鐵企業(yè)本身發(fā)展的需要，也是鋼鐵企業(yè)管理的需要，同時(shí)也還是生產(chǎn)鏈全球化和供應(yīng)鏈全球化對(duì)鋼鐵企業(yè)生產(chǎn)的要求所在。

 

1.2、當(dāng)前存在的問題

 

上述信息化優(yōu)勢(shì)證明我國(guó)電力企業(yè)近年來關(guān)于網(wǎng)絡(luò)信息化建設(shè)取得了一些成果，給行業(yè)信息化建設(shè)打下了良好的基礎(chǔ)，但在網(wǎng)絡(luò)信息安全管理方面仍普遍存在較多問題。

 

(1)信息化機(jī)構(gòu)建設(shè)不健全

 

鋼鐵企業(yè)很少為信息管理部門專門設(shè)置機(jī)構(gòu)，因而缺乏應(yīng)有的規(guī)范的崗位及建制。大多信息部門附屬在技術(shù)部、科技部或總經(jīng)理工作部門下，甚至僅設(shè)置一個(gè)專責(zé)人員負(fù)責(zé)。信息化管理是一項(xiàng)系統(tǒng)性的工程，沒有專門的部門負(fù)責(zé)是不能滿足現(xiàn)代企業(yè)信息化安全的需求的。

 

(2)企業(yè)管理阻礙信息化發(fā)展

 

有些鋼鐵企業(yè)管理辦法革新緩慢，大多采用較落后的、非現(xiàn)代信息化企業(yè)的管理模式。這樣的企業(yè)即便引入最完善的信息管理系統(tǒng)、最先進(jìn)的信息化設(shè)備，也只能受落后的企業(yè)管理模式所制約，無法發(fā)揮其應(yīng)有的作用。

 

(3)內(nèi)部監(jiān)管不足，相關(guān)法規(guī)不夠完善

 

內(nèi)部網(wǎng)絡(luò)安全監(jiān)管對(duì)信息安全管理起著至關(guān)重要的作用。很多信息安全案件發(fā)生的根本原因都是缺乏有效的網(wǎng)絡(luò)安全監(jiān)管，即使許多信息安全管理者認(rèn)識(shí)到了加強(qiáng)內(nèi)部監(jiān)管的重要性，但實(shí)施起來依然阻力重重。很多具體的危害信息安全的行為并沒有在現(xiàn)行的信息安全法律、法規(guī)中做出明確的界定。

 

(4)身份認(rèn)證缺陷

 

電力企業(yè)一般只建立內(nèi)部使用的信息系統(tǒng)，而企業(yè)內(nèi)部不同管理部門、不同層次員工有不同等級(jí)的授權(quán)，根據(jù)授權(quán)等級(jí)不同決定各部門和員工訪問的數(shù)據(jù)和信息不同。這類授權(quán)是以身份認(rèn)證為基礎(chǔ)的信息訪問控制，但在當(dāng)前的企業(yè)身份認(rèn)證系統(tǒng)中大多存在缺陷和漏洞，給信息安全留下隱患。

 

(5)軟件系統(tǒng)安全風(fēng)險(xiǎn)較大

 

軟件系統(tǒng)安全風(fēng)險(xiǎn)指兩方面，一是編寫的各種應(yīng)用系統(tǒng)可能有漏洞造成安全風(fēng)險(xiǎn)，二是操作系統(tǒng)本身風(fēng)險(xiǎn)，隨著近期微軟停止對(duì)windowsXP系統(tǒng)的服務(wù)支持，大量使用windowsXP系統(tǒng)的信息管理軟件都將得不到系統(tǒng)漏洞的修補(bǔ)，這無疑會(huì)給信息安全帶來極大風(fēng)險(xiǎn)。

 

(6)管理人員意識(shí)不足

 

很多鋼鐵企業(yè)員工網(wǎng)絡(luò)安全意識(shí)參差不齊，一方面是時(shí)代的迅速發(fā)展導(dǎo)致較年輕的管理人員安全意識(shí)較高，而對(duì)網(wǎng)絡(luò)接觸較少的中老年員工網(wǎng)絡(luò)安全意識(shí)較為缺乏;另一方面也有電力企業(yè)管理制度不夠完善、忽視對(duì)員工進(jìn)行及時(shí)培訓(xùn)的原因。在這種人員背景下，如果管理人員配備不當(dāng)、信息管理系統(tǒng)設(shè)置不合理都會(huì)給企業(yè)信息埋下安全隱患。

 

2、完善企業(yè)網(wǎng)絡(luò)信息安全方案的具體實(shí)施

 

2.1、防火墻部署

 

防火墻是建立在內(nèi)部專有網(wǎng)絡(luò)和外部公有網(wǎng)絡(luò)之間的。所有來自公網(wǎng)的傳輸信息或從內(nèi)網(wǎng)發(fā)出的信息都必須穿過防火墻。網(wǎng)絡(luò)訪問的安全一方面我們要配置防火墻禁止對(duì)內(nèi)訪問，以防止互聯(lián)網(wǎng)上黑客的非法入侵;另一方面對(duì)允許對(duì)內(nèi)訪問的合法用戶設(shè)立安全訪問區(qū)域。防火墻是在系統(tǒng)內(nèi)部和外部之間的隔離層，可保護(hù)內(nèi)部系統(tǒng)不被外部系統(tǒng)攻擊。

 

通過配置安全訪問控制策略，可確保與外界可靠、安全連接。防火墻的功能是對(duì)訪問用戶進(jìn)行過濾，通過防火墻的設(shè)置，對(duì)內(nèi)網(wǎng)、公網(wǎng)、DMZ區(qū)進(jìn)行劃分，并實(shí)施安全策略，防止外部用戶或內(nèi)部用戶彼此之間的惡性攻擊。同時(shí)防火墻支持VPN功能，對(duì)經(jīng)常出差的領(lǐng)導(dǎo)、員工支持遠(yuǎn)程私有網(wǎng)絡(luò)，用戶通過公網(wǎng)可以象訪問本地內(nèi)部局域網(wǎng)一樣任意進(jìn)行訪問。此外，防火墻還可以收集和記錄關(guān)于系統(tǒng)和網(wǎng)絡(luò)使用的多種信息，為流量監(jiān)控和入侵檢測(cè)提供可靠的數(shù)據(jù)支持。

 

2.2、防病毒系統(tǒng)

 

計(jì)算機(jī)網(wǎng)絡(luò)安全建設(shè)中其中最為關(guān)鍵的一個(gè)部分即是加強(qiáng)對(duì)防病毒系統(tǒng)的建設(shè)，這就需要在實(shí)際工作中，通過科學(xué)合理對(duì)防病毒系統(tǒng)進(jìn)行裝置，從而實(shí)現(xiàn)對(duì)病毒的集中管理，利用中心控制室來對(duì)局域網(wǎng)的計(jì)算機(jī)和服務(wù)器進(jìn)行有效的監(jiān)視，從而加強(qiáng)病毒的防范。而對(duì)于進(jìn)入到計(jì)算機(jī)系統(tǒng)內(nèi)的病毒則需要做出及時(shí)的影響，預(yù)以及時(shí)清除。

 

2.3、流量監(jiān)控系統(tǒng)

 

什么是流量監(jiān)控?眾所周知，網(wǎng)絡(luò)通信是通過數(shù)據(jù)包來完成的，所有信息都包含在網(wǎng)絡(luò)通信數(shù)據(jù)包中。兩臺(tái)計(jì)算機(jī)通過網(wǎng)絡(luò)“溝通”，是借助發(fā)送與接收數(shù)據(jù)包來完成的。所謂流量監(jiān)控，實(shí)際上就是針對(duì)這些網(wǎng)絡(luò)通信數(shù)據(jù)包進(jìn)行管理與控制，同時(shí)進(jìn)行優(yōu)化與限制。流量監(jiān)控的目的是允許并保證有用數(shù)據(jù)包的高效傳輸，禁止或限制非法數(shù)據(jù)包傳輸，一保一限是流量監(jiān)控的本質(zhì)。在P2P技術(shù)廣泛應(yīng)用的今天，企業(yè)部署流量監(jiān)控是非常有必要的。

 

2.4、合理的配置策略

 

通過將企業(yè)網(wǎng)絡(luò)劃分為虛擬網(wǎng)絡(luò)VLAN網(wǎng)段，這樣不僅可以有效的增加網(wǎng)絡(luò)連接的靈活性，而且可以對(duì)網(wǎng)絡(luò)上的廣播進(jìn)行有效的控制，減少?zèng)]必要的廣播，從而有效的釋放帶寬，不信有效的提高網(wǎng)絡(luò)利用率，而且使網(wǎng)絡(luò)的安全性和保密性能得到有效的提升，確保了網(wǎng)絡(luò)安全管理的實(shí)現(xiàn)。

 

2.5、安全管理制度

 

目前我國(guó)還沒有制訂統(tǒng)一的網(wǎng)絡(luò)安全管理規(guī)范，所以在當(dāng)前網(wǎng)絡(luò)安全不斷受到威脅的情況下，需要我們首先在設(shè)計(jì)上對(duì)安全功能進(jìn)行完善，其次還要加強(qiáng)網(wǎng)絡(luò)安全管理制度的建立，并確保各種安全措施得以落實(shí)。對(duì)于企業(yè)中安全等級(jí)要求較高的系統(tǒng)，則需要由專人進(jìn)行管理，實(shí)行嚴(yán)格的出入管理，利用不同手段對(duì)出入人員進(jìn)行識(shí)別和登記管理，從而確保企業(yè)網(wǎng)絡(luò)信息的安全性。

 

總之，在計(jì)算機(jī)技術(shù)、信息技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展下，企業(yè)在生產(chǎn)活動(dòng)中都建立了屬于自己的局域網(wǎng)和企業(yè)辦公平臺(tái)，從而使企業(yè)在生產(chǎn)和經(jīng)營(yíng)過程中的數(shù)據(jù)傳輸速度加快，而且業(yè)務(wù)系統(tǒng)及管理系統(tǒng)以網(wǎng)絡(luò)分支的情況下分布開來，這對(duì)于企業(yè)管理效率的提升起到了積極的作用。網(wǎng)絡(luò)技術(shù)在企業(yè)中的應(yīng)用，有效的改變了企業(yè)的生產(chǎn)方式，推動(dòng)了企業(yè)的快速發(fā)展，但其也帶來了一定的隱患，如果不能及時(shí)對(duì)網(wǎng)絡(luò)的安全進(jìn)行有效的防范，則會(huì)給企業(yè)帶來嚴(yán)重的經(jīng)濟(jì)損失。

 

作者：施雅芳 來源：城市建設(shè)理論研究 2014年35期

關(guān)于企業(yè)信息安全措施范文第5篇

[關(guān)鍵詞] 網(wǎng)站 信息 安全管理

一、企業(yè)商務(wù)網(wǎng)站建設(shè)的總體情況

電子商務(wù)網(wǎng)站是企業(yè)開展電子商務(wù)的基礎(chǔ)設(shè)施和信息平臺(tái)，是實(shí)施電子商務(wù)的公司與服務(wù)對(duì)象之間的交互界面，是電子商務(wù)運(yùn)轉(zhuǎn)的承擔(dān)者和表現(xiàn)者。一些信息化水平高、經(jīng)濟(jì)實(shí)力雄厚、技術(shù)力量強(qiáng)的企業(yè)，往往采取自建網(wǎng)站的方式，即企業(yè)自己購(gòu)置硬件設(shè)備并構(gòu)架服務(wù)器平臺(tái)，自行開發(fā)網(wǎng)站系統(tǒng)，自行對(duì)網(wǎng)站進(jìn)行控制和管理。與主機(jī)托管、租用虛擬主機(jī)等網(wǎng)站構(gòu)建方式相比，這種方式完全自主研發(fā)，易于采用新技術(shù)，便于擴(kuò)充、升級(jí)，同時(shí)企業(yè)內(nèi)部管理數(shù)據(jù)和商務(wù)網(wǎng)站信息高度整合，能提升企業(yè)的形象和效益。電子商務(wù)網(wǎng)站不容忽視的是隨之帶來的網(wǎng)絡(luò)信息安全問題，比如：信息污染、病毒泛濫、黑客入侵等等。對(duì)于企業(yè)自主建設(shè)的網(wǎng)站而言，其安全性完全由企業(yè)自行控制，風(fēng)險(xiǎn)更大，要求更高。如何加強(qiáng)企業(yè)商務(wù)網(wǎng)站的安全管理，已成為當(dāng)務(wù)之急，本文試圖對(duì)此做些探討。

二、信息安全三維模型概述

1．信息安全的安全層次結(jié)構(gòu)（層次維L）。從信息安全的作用層面來看，信息安全可以分為物理安全、系統(tǒng)安全、數(shù)據(jù)安全和信息內(nèi)容安全四層。(1)物理安全：主要體現(xiàn)在通信線路的可靠性、防災(zāi)害能力、防干擾能力、設(shè)備的運(yùn)行環(huán)境(溫度、濕度、煙塵)、不間斷電源保障等等。(2)系統(tǒng)安全：指的是計(jì)算機(jī)與網(wǎng)絡(luò)設(shè)備運(yùn)行過程中的穩(wěn)定性運(yùn)行狀態(tài)，因而又可稱之為“運(yùn)行安全”，包括操作系統(tǒng)的安全、網(wǎng)絡(luò)方面的安全。(3)數(shù)據(jù)安全：是指對(duì)信息在數(shù)據(jù)處理、存儲(chǔ)、檢索、傳輸、顯示等過程中的保護(hù)，不被非法冒充、竊取、篡改、抵賴。(4)信息內(nèi)容安全：是指對(duì)信息在網(wǎng)絡(luò)內(nèi)流動(dòng)中的選擇性阻斷，以保證信息流動(dòng)的可控能力。在此，被阻斷的對(duì)象主要是各種不良的、有害的信息。

2.PPDRR模型（時(shí)間維T）。PPDRR模型是典型的、動(dòng)態(tài)的、自適應(yīng)的安全模型，包括策略（Policy）、防護(hù)（Protection）、檢測(cè)（Detection）、響應(yīng)（Response）和恢復(fù)（Recovery）5個(gè)主要部分。

信息安全策略是一個(gè)組織解決信息安全問題最重要的步驟，也是這個(gè)組織整個(gè)信息安全體系的基礎(chǔ)，反映出這個(gè)組織對(duì)現(xiàn)實(shí)安全威脅和未來安全風(fēng)險(xiǎn)的預(yù)期，反映出組織內(nèi)部業(yè)務(wù)人員和技術(shù)人員安全風(fēng)險(xiǎn)的認(rèn)識(shí)與應(yīng)對(duì)。防護(hù)是安全的第一步；但采取豐富的安全防護(hù)措施并不意味著安全性就得到了可靠保障，因此要采取有效的手段對(duì)網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)檢測(cè)，使安全防護(hù)從單純的被動(dòng)防護(hù)演進(jìn)到積極的主動(dòng)防御；響應(yīng)指在遭遇攻擊和緊急事件時(shí)及時(shí)采取措施；恢復(fù)指系統(tǒng)受到安全危害與損失后，能迅速恢復(fù)系統(tǒng)功能和數(shù)據(jù)。這個(gè)模型中，防護(hù)、檢測(cè)、響應(yīng)和恢復(fù)在安全策略的指導(dǎo)下構(gòu)成一個(gè)完整的、動(dòng)態(tài)的安全循環(huán)，是基于時(shí)間關(guān)系的。

3.三大保障（保障維S）。信息安全保障體系由人員保障、管理制度保障、技術(shù)手段保障三個(gè)要素組成。安全領(lǐng)導(dǎo)小組、安全工作小組和安全工作執(zhí)行人員分別從決策、監(jiān)督和具體執(zhí)行三個(gè)層面為網(wǎng)絡(luò)信息安全工作提供了完整的人員保障， 良好的網(wǎng)絡(luò)信息安全保障離不開規(guī)范嚴(yán)謹(jǐn)?shù)墓芾碇贫?，同時(shí)還需要使用一系列先進(jìn)的技術(shù)工具和手段。

4.信息安全三維模型。上述分別從作用層次L、時(shí)間關(guān)系T及保障體系S這三個(gè)層面構(gòu)成了信息安全的三維模型，這三維是相互關(guān)聯(lián)、互相作用、不可分割的。如果將商務(wù)網(wǎng)站信息安全的各項(xiàng)措施明確在這個(gè)三維模型中的位置，就能夠做到有的放矢，增強(qiáng)針對(duì)性和邏輯性。

三、基于三維模型的企業(yè)商務(wù)網(wǎng)站信息安全對(duì)策

1.物理層。從防護(hù)角度看，企業(yè)自建商務(wù)網(wǎng)站所在機(jī)房應(yīng)具備較好的物理環(huán)境，包括UPS、空凋、消防系統(tǒng)等，使設(shè)備免受安全威脅和環(huán)境危險(xiǎn)，如偷竊、火災(zāi)、水（或供水故障）、電磁輻射等。從恢復(fù)角度看，網(wǎng)站平臺(tái)要有容災(zāi)、冗余備份等措施。在人員方面的措施包括：機(jī)房配備管理人員（除了進(jìn)行崗位操作和技能培訓(xùn)外，還要進(jìn)行職業(yè)道德、法律規(guī)范的培訓(xùn)）；在管理制度方面的措施包括：機(jī)房管理制度（電源管理、環(huán)境管理等）、設(shè)備常規(guī)管理制度；在技術(shù)手段方面包括用于防護(hù)的視頻監(jiān)控、門禁系統(tǒng)、抗擾處理等技術(shù)和用于恢復(fù)的容錯(cuò)、容災(zāi)、冗余備份等技術(shù)。

2.系統(tǒng)層。隨著網(wǎng)絡(luò)環(huán)境越來越復(fù)雜，計(jì)算機(jī)病毒及黑客攻擊手段越來越智能，影響范圍越來越廣、破壞力也越來越大。商業(yè)網(wǎng)站服務(wù)器的操作系統(tǒng)、WEB服務(wù)器系統(tǒng)如果存在較大安全漏洞，就會(huì)被黑客利用，造成整個(gè)網(wǎng)站的癱瘓。我們的應(yīng)對(duì)措施涵蓋了防護(hù)、檢測(cè)、響應(yīng)、恢復(fù)。這里技術(shù)手段起到了非常重要的作用，當(dāng)然人員保障和管理制度也是必不可少的。

重要的技術(shù)手段包括：(1)訪問控制：訪問控制是網(wǎng)站安全防范和保護(hù)的主要策略，它的主要任務(wù)是保證網(wǎng)站資源不被非法使用和訪問。它是保證網(wǎng)站安全最重要的核心策略之一。通常的訪問控制包括通過Ip地址來控制、通過用戶名來控制和采用共用密鑰加密的方法來控制。(2)病毒防護(hù)：需要建立完整的病毒防護(hù)體系，對(duì)應(yīng)用服務(wù)器、企業(yè)網(wǎng)內(nèi)部所有的客戶機(jī)進(jìn)行全面的防毒掃描，保證建立及時(shí)、快速的病毒響應(yīng)機(jī)制，發(fā)現(xiàn)病毒即時(shí)進(jìn)行處理，迅速抑制病毒傳播。(3)操作系統(tǒng)要及時(shí)打上補(bǔ)丁程序，并進(jìn)行完善的安全配置。(4)系統(tǒng)容錯(cuò)、容災(zāi)、冗余備份等技術(shù)，使網(wǎng)站一旦發(fā)生問題能夠及時(shí)恢復(fù)。

人員保障方面要配備技術(shù)拔尖的人才專門從事網(wǎng)站安全管理工作，負(fù)責(zé)操作系統(tǒng)、web服務(wù)器的安全配置。同時(shí)，還有有以下管理制度作保障：(1)計(jì)算機(jī)病毒預(yù)報(bào)制度和安全漏洞預(yù)報(bào)制度；(2)操作人員權(quán)限管理規(guī)定；(3)病毒、安全應(yīng)急響應(yīng)及處置預(yù)案；(4)安全日志管理制度。

3.數(shù)據(jù)層。商務(wù)網(wǎng)站的數(shù)據(jù)層安全是最為重要的，主要是保障數(shù)據(jù)的機(jī)密性、真實(shí)性、完整性。要能夠查證用戶的真實(shí)身份，交易中的商務(wù)信息均有保密的要求。如信用卡的賬號(hào)和用戶名被人知悉，就可能被盜用，訂貨和付款的信息被競(jìng)爭(zhēng)對(duì)手獲悉，就可能喪失商機(jī)。另外要保證交易的全過程能夠被記錄并作為審計(jì)依據(jù)。

數(shù)據(jù)層的主要管理制度包括:(1)網(wǎng)站賬號(hào)管理規(guī)定。該規(guī)定應(yīng)包括注冊(cè)賬戶的資料提供、密碼規(guī)定、行為規(guī)范、操作系統(tǒng)及服務(wù)器的賬號(hào)管理等多個(gè)方面。這個(gè)規(guī)定用于數(shù)據(jù)層安全問題的防護(hù)。(2)關(guān)于網(wǎng)站突發(fā)事件和急處置工作預(yù)案。此預(yù)案旨在及時(shí)果斷處理網(wǎng)上突發(fā)事件，內(nèi)容可包括組織領(lǐng)導(dǎo)、工作網(wǎng)絡(luò)、宣傳教育、管理控制、案件查處等方面。這個(gè)規(guī)定用于數(shù)據(jù)層安全問題的響應(yīng)和恢復(fù)。(3)安全日志管理制度，這個(gè)規(guī)定用于數(shù)據(jù)層安全問題的檢測(cè)。

數(shù)據(jù)層的重要技術(shù)手段包括：(3)數(shù)據(jù)加密，即以加密格式存儲(chǔ)和傳輸敏感數(shù)據(jù)。(2)身份認(rèn)證：主要是利用用戶有關(guān)信息對(duì)用戶的身份進(jìn)行確認(rèn)，包括密碼、數(shù)字簽名、數(shù)字證書等方面來避免信息的非法獲取。(3)采用具有一定安全級(jí)別的SYBASE或ORACLE大型分布式數(shù)據(jù)庫(kù)，在此基礎(chǔ)上開發(fā)一些安全措施，增加相應(yīng)控件，對(duì)數(shù)據(jù)庫(kù)分級(jí)管理并提供可靠的故障恢復(fù)機(jī)制。

4.信息內(nèi)容層。商務(wù)網(wǎng)站會(huì)有留言板或論壇，便于與客戶交流并提供服務(wù)。但一些有害信息如垃圾信息、虛假信息、黃色信息等就有可能在網(wǎng)上出現(xiàn)。有些客戶會(huì)隨意發(fā)表一些帶有個(gè)人偏見的不良信息，造成不良影響。我們的目的是保證各種不良的有害信息不在網(wǎng)站內(nèi)出現(xiàn)、傳播。

信息內(nèi)容層主要有以下管理制度:(1)信息審查制度。(2)BBS及留言版的監(jiān)控與管理。這兩點(diǎn)必須有專人負(fù)責(zé)。

信息內(nèi)容層的技術(shù)手段主要是信息內(nèi)容過濾，包括URL或IP限制、文字?jǐn)r截、圖像審查、屏幕監(jiān)視等等。文字?jǐn)r截功能可以按關(guān)鍵字?jǐn)r截本機(jī)通過網(wǎng)絡(luò)傳輸?shù)男畔ⅲ粌H是流入的信息， 而且可以是從本地流出的信息，這樣可以防止一些本機(jī)的機(jī)密信息或者其它不良信息的外泄。

四、結(jié)束語(yǔ)

在信息安全方面,漏洞無非三種類型,即:技術(shù)上的漏洞,管理上的漏洞和人的思想認(rèn)識(shí)上的漏洞。加強(qiáng)領(lǐng)導(dǎo)是做好此項(xiàng)工作的關(guān)鍵，企業(yè)可以成立專門的商務(wù)網(wǎng)站信息安全領(lǐng)導(dǎo)小組，由有關(guān)領(lǐng)導(dǎo)和有關(guān)職能部門（如保衛(wèi)處、信息中心等）的負(fù)責(zé)人組成。另外，要建立一支網(wǎng)絡(luò)安全管理隊(duì)伍，除企業(yè)信息中心人員要求技術(shù)過硬、思想素質(zhì)高外，部門要指定一名思想政治覺悟高、工作責(zé)任心強(qiáng)、懂電腦的人員擔(dān)任網(wǎng)站信息安全協(xié)助管理員。除了高超的技術(shù), 嚴(yán)密的規(guī)章制度,還要從領(lǐng)導(dǎo)干部、技術(shù)人員、一般用戶三個(gè)層面加強(qiáng)宣傳教育和安全培訓(xùn)工作。

參考文獻(xiàn):

[1]顧國(guó)飛等:全方位的網(wǎng)絡(luò)信息監(jiān)控體系[J]. 計(jì)算機(jī)工程與應(yīng)用，2003，(10)

[2]王娜方濱興等:“5432戰(zhàn)略”:國(guó)家信息安全保障體系框架研究[J].通信學(xué)報(bào)，2004年07期