关键词:国有企业;信息安全;数据挖掘
在信息化时代,基于网络侵入技术的不断提升,黑客与病毒对计算机系统攻击事件不断发生,据此而言,信息化技术在给国企生产经营活动带来便捷的同时,也成为最为脆弱的地方,此时的数据挖掘技术的运用就显得十分必要,依靠数据挖掘技术就可以使得来往流量处于实时监控的状态,并及时会对入侵产生自动检测的工具,从而大大维护了国有企业信息化系统正常运行。
一、国有企业信息化建设中的信息安全概念及意义
(一)国有企业信息化建设中的信息安全概念
所谓的信息安全是指为保护国有企业计算机数据处理系统不受侵犯,在技术层面对计算机数据处理系统所采取保护的方式方法与手段,以达到维护计算机软硬件,以及数据安全,使机密信息可以在完整的状态下与既定对象实现信息共享的目的,从而确保了数据信息得到可用性保护,从技术的层面分析,主要分为下面三种主要形式。
一是物理隔离形式的信息安全技术。就是将计算机网络系统的硬件实体与公共网络线路链接在技术层面予以有条件隔离,即防火墙技术,这一技术起到了对来往信息数据筛查的作用,从而使国有企业计算机系统在不受外界非法侵入的前提下创设一个电磁兼容的内部网络环境。
二是访问可控形式的信息安全技术。访问可控安全是防火墙技术的协作部分,在这一技术手段的支持下,国有企业信息系统能够对外来信息数据进行甄别、预警,如果黑客和病毒等恶意流量得不到有效验证,则会使得网络侵袭问题飙升;
三是数据加密形式的信息安全技术。为切实保护网上与传输过程中数据的可用性,国有企业信息系统需要在网络节点间、源节点与目的节点间、原端用户与目的端用户间的数据传输实施密钥管理。
(二)国有企业信息化建设中信息安全的意义
在社会经济信息化的今天,国有企业生产经营与市场营销等各领域都离不开信息化建设,以计算机网络技术为支撑的信息化建设基于此而成为国有企业日常运作的有机组成部分,但是,在信息化系统开放的过程中,却由于其安全漏洞问题存在而为一些不法行为提供可乘之机,信息安全据此成为人们关注焦点。
1、保障了个人信息不被泄露
以计算机网络为技术支撑信息系统为国有企业日常运作带来了极大便利,基于此成为国有企业进行生产经营、市场营销,以及日常管理的主要工具。在国有企业人力资源管理中,个人信息资料往往成为信息化建设的一个领域,这些资料在法律上归属于个人隐私范畴,有关部门无权将资料予以公开,但是,一些黑客在对国有企业内部信息系统攻击过程中,往往会窃取国有企业人力资源隐私资料,并将此作为谋取非法利益的筹码,如果国有企业对自身的信息管理系统的安全等级予以升级,则就使得黑客攻击处于无效状态,从而使得国有企业人力资源隐私信息得到最大限度保障。
2、保障了国有企业科技信息共享的实现
当前的国有企业通过搭建信息共享平台方式实现数据信息的共享,以国有企业与高校的科技信息共享平台搭建为例,高校通过自己在人力资源、馆藏资源、科技研究等方面的固有优势搭建了校企联合的科技信息平台,国有企业可以随时登陆这一平台搜索到自己所需要的科技信息,高校也可以通过这一平台将自己的科研成果及时转化为生产力,但是,这一平台的运作需要强大数据库的支持,在其运作过程中,黑客的攻击是必不可少,黑客可以通过截取网络信息传输、窃取用户口令、盗取数据库信息、篡改数据库内容等一系列非法手段,达到破坏科技信息共享平台正常运作的目的,因此,采取切实有效的措施,加强计算机网络系统的安全性能,就能够保障国有企业的合法利益。
二、国有企业信息化建设中信息安全问题
以计算机网络为技术支撑的信息系统是影响信息安全的最为主要的问题,这是因为计算机网络技术是支撑起其正常运作的最为主要的力量,从安全的角度出发,影响到以国有企业信息系统运作安全的问题主要可以细化为以下几点。
(一)网络信息资源共享使得黑客攻击频现
以计算机网络为技术支撑的信息系统运作的一个重要目的就是要实现资源共享,国有企业与高校领域所搭建的信息共享平台即是此例,在搭建信息共享平台实践中,国有企业即可通过相关计算机网络技术应用得到信息的共享,但是这一开放性的功能却存在一定的安全隐患,只要是有共享,就会有开放,共享的技术环境为黑客的攻击提供了便利。
(二)国有企业信息操作系统漏洞凸显
基于以计算机网络为技术支撑的国有企业信息系统快速进步,其系统升级也在同步进行,但是,国有企业信息操作系统的漏洞也在不断显现,这是因为国有企业对计算机网络技术的应用要求在不断提高,技术的发展相对滞后的问题始终存在,一些黑客就会对国有企业目标计算机网络操作系统进行深究,寻找其漏洞,然后通过不同的方式予以攻击,从而达到窃取国有企业信息资源、破坏国有企业信息系统等非法的目的。攻击的手段是多样式的,例如可以利用计算机网络系统的开放性的特点,制造出大流量的无效数据,并将这一些数据流形成系统阻隔,从而导致主机处于被隔离的实际发展状态;还可以阻隔其他服务请求,主机往往会存在提供服务或传输协议上处理重复连接的痼疾,黑客就会据此而重复性、高频度发出攻击性的请求,一旦请求发出,自然就会影响到其他正常的服务请求;再者黑客还根据目标主机的特点,向其发出带有病毒的错数数据信息,从而直接导致主机死机。
(三)人为因素导致信息系统安全保障效能低下
从根本上来说,以计算机网络为技术支撑的国有企业信息系统的运作离不开人的操作,因此,国有企业信息系统可持续发展就需要对其实施卓有成效的管理才能够达到既定的目标,在这其中,人力资源的因素必不可少。举例来说,如果在实施计算机网络管理的实践中,其人员基于自己的防范意识、认知水平、技术程度等方面的原因,就将会直接导致信息系统管理的安全保障效率趋于低下。
三、国有企业信息化建设中的信息安全保障策略
(一)制定与落实国有企业信息安全制度规范
为了提高以计算机网络为技术支撑的国有企业信息系统安全防范性能的提高,制度规范的制定与落实是基础,具体来说,则是要制定出信息系统安全管理、计算机网络硬件管理、数据信息保密等诸多制度规范,并进一步强化信息安全制度的落实;
(二)提升国有企业信息化技术人员操作水平
为促进国有企业信息安全规制的落实,人力资源的培养是关键环节,基于此而言,就应该对以计算机网络为技术支撑的国有企业信息系统操作技术人员进行安全法规的培训,从而使之既能够熟知这些法规,又能够认知自己的行为,促使自己的操作行为具有规范性,提高安全保障的能力。
(三)应用数据挖掘的信息安全技术
数据挖掘技术是一个新兴研究领域,涵盖了大型数据库、人工智能、统计学等诸多的方面,数据挖掘技术就是指在大型数据库中寻找并获取对自己“有价值”的、存在形式多用的数据信息。在其应用的过程中,静态和动态流量数据分析会对最终的检查结果作出及时的反映,将储存在数据库当中的既有模式与所确定的特征与规则进行比对,以此构建正确的模式来保障信息系统运作的安全。
1、静态流量数据分析算法
(1)建立模型的分类算法
模型的建立适合于通过分类算法来对静态流量数据予以分析,一般而言,就是根据数据挖掘的目标予以分类,需要从两个阶段进行。
第一个阶段模型的建立。这一阶段首先就是根据训练属性的分类的原则对目标数据库构建模型;第二个阶段模型的分类。模型的首要功能就是要对预测提供参考数据,基于此而言,模型就要通过在测试样本比较的基础上,对测试样本的准确率予以评估,如果准确率达到所要求的标准,则就可以以此为依据对该样本的类预测标号中不明数据元分类,这一模型的建立主要是在于将用户或程序中大量存在的数据予以吸纳,然后再通过模型来产生具有一定标准的分类算法,这一算法主要是测试这些未知数据的性质,为后继措施的实施奠定基础。
(2)数据关联性算法
挖掘数据之间的关联性是静态流量数据分析算法的一个较为主要的方式之一。这是因为各数据之间并非是互相间隔的而是存在必然的联系。具体而言,就需要深入挖掘数据之间潜藏的各种关系,并将其运用到检测威胁网络安全的各种现实情况中去,以此来探查各种入侵行为所存在的必然关系,从而寻求可解决的策略。
数据关联性算法主要是挖掘各数据之问隐藏的相互关系,具体应用到入侵检测系统中可以利用关联分析检测出入侵者的各种入侵行为之问的相关性,此种分析方法主要侧重于事件的因果关系。
(3)事务关联分析算法
所谓的事务关联分析就是在事务中寻找具有相似性的之间的联系,具体而言,就是在事务记录中打入某一关键字词,与之相关联的记录就会呈现出来,再在其中找出重复率较高的原始数据,从此而形成具有一定指向性的数据的集合,用于指导检查网络安全相关的诸如网络攻击与时间变量之间的关系,从而为分析相应的数据结构打下坚实的基础。
2、动态流量数据分析算法
动态流量数据分析的主要目标就是要在大量的数据中甄别并择取有效信息,同时要将无效,甚至于有害信息予以阻遏,为达到动态流量数据分析的有效性,建立一个动态流量数据分析系统是十分必要的,该系统承担了对动态流量数据分析、计算的任务。
一是数据的择取。数据择取的主要范围是在互联网上,其内容涉及安装使用对数据包的截获程序、提取网络数据包中的需要检测的信息等。
二是数据的处理。在互联网上截获的原始网络信息需要采取信息化处理的过程,这也就是说,可以将这一些信息进行诸如压缩等方式的处理,使之能够实现信息分类的储存,然后再将这些信息转换成具有持续时问、源IP地址、目的IP地址等连接特征的网络连接记录,这就完成了数据挖掘的前期准备工作,继而则在数据信息准备的基础上,再一次对这些数据信息予以“清洁”,即删除掉无效或无用的信息,而保存有效或有用的信息,最后环节则是数据信息的挖掘。
三是数据信息的分类。在所截取的数据信息库中存放大量的数据信息源,这些信息源处于无序与混乱的状态,应该按照一定的规则进行区别。一方面,就要在对所储存数据信息源特征与规则明晰的基础上,确立非正常与正常模式的基本状态,并将其储存在数据库当中,另一方面则要将储存在数据库当中的既有模式与所确定的特征与规则进行比对。当然,就业数据处于不断有新的数据信息充实的状态,原有的数据信息也会不断被淘汰,因此数据酷中非正常与正常模式、数据信息源特征与规则等都应该处在不断变化的过程中,只有如此,才能够使数据挖掘方法的使用更加有效。
四是应用模式评估。动态流量数据分析系统要根据最终的检查结果作出及时的反映,如果归属于恶意侵犯的性质(如窃取机密信息数据等黑客的行为性质)则不但要发出警报,而且还应该采取防火墙等技术手段及时切断内外网之间的关联,并查找入侵的路径,保留犯罪的证据;如果经过身份的甄别属于正常的进入,系统则要依照正常的程序继续对该用户进行检测。
在基于数据挖掘的动态流量数据分析过程之中的模式应用后,都应该对正常模式与非正常模式的应用予以全面的评估,简而言之,如果模式的应用起到了及时报警、阻遏非法侵犯的行为的作用,从而保障了数据信息的安全,就说明这一模式是成功的,起到了应有的效果,反之,则应该在多次试验中予以验证,直至建立起科学的模式。
四、结语:
在信息化的时代,基于网络侵入技术的不断提升,黑客与病毒对国有企业信息系统攻击事件不断发生,从而使得信息系统在为人们带来便捷的同时,也成为最为脆弱的地方,此时信息系统安全防范技术的运用就显得十分必要,依靠信息系统安全防范技术可以使得国有企业往来的数据信息都处于实时监控的状态,并及时会对入侵产生监测与防御,这就会在一定程度上维护了国有企业往来数据信息的安全。为达此目的,就应该从制定与落实国有企业信息安全制度规范、提升国有企业信息化技术人员操作水平、应用数据挖掘的信息安全技术这三方面着手,以此促进国有企业信息化建设的信息安全实践健康发展。
参考文献:
[1] 秦海峰、企业信息化建设中信息安全问题的分析研究[J]、中国信息界、2012(05)
[2] 杜凡、新形式下加强财务信息安全的途径[J]、当代经济、2011(21)
[3] 张兆安、信息安全是信息化建设的重要基础[J]、上海企业、2013(11)
【摘要】本文首先讲述了信息化管理对企业发展的作用和意义,然后介绍了提升安全管理的必要性,最后介绍了入户安检管理信息化管理。【关键词】城市燃气企业,入户安全检查,信息化管理中图分类号: C29
文献标识码: A一、前言安全用电用气是家庭用户必须了解的知识,用户在使用燃气时有很多不正确的行为,这些行为都会存在很多的安全隐患。城市燃气企业入户安全检查就是排除隐患,确保用户能够安全用气。二、信息化管理对企业发展的作用和意义众所周知,企业的发展必须要与时俱进,只有跟上时代进步的步伐,与时展的脚步保持一致,并满足当前社会的需要,满足市场经济的需求,企业才能得到健康、长足的发展。因此,在当前这个普遍推广和应用计算机网络技术的信息时代下,企业想要更好的发展,就必须符合当前时展,充分运用信息技术来调整企业结构,加快企业的产业升级,逐步实现企业信息化管理。企业实行信息化管理的实际意义是,利用信息化来带动企业生产,进而推动工业化经济增长。在竞争如此激烈的信息化时代下,企业只有通过信息化,加快企业自身发展,强大企业资本,在不断拓宽市场和提高市场竞争力的前提之下,才能从容而有效的应对市场竞争的挑战。对于国内燃气企业来说,燃气企业信息化不仅是贯彻中央所提出的“以信息化带动工业化”战略的核心,还是满足现代城市发展需要以及促进企业自身快速发展的重要手段。三、我国燃气企业发展所遇到的难题就国内多数燃气企业而言,其在实际发展所遇到的最大挑战应该是外部环境变化的不确定性。这里的外部环境包括经济环境、法律环境、市场环境以及社会需求等。燃气企业想要发展,就必须要根据外部环境的变化以及企业发展战略的需要,来不断调整和改变企业的资源组织方式,以确保企业内部资源能够在企业活动中得到充分的发挥,利于企业核心能力的积累,这就是我们常说的企业管理目标。燃气企业为了实现其管理目标,就必须要对自身管理工作提出高要求,更加科学、有效的进行企业经营管理。而企业经营管理的实质内容是对经营信息的管理,企业通过对经营活动中所产生的信息进行搜集、整理、保存和利用,使经营信息与企业实体的生产工作有机的结合起来,并在必要时候作为参考依据,及时提供利用。事实上,企业对经营信息的管理全过程就是档案管理中的一部分,如果采用手工操作来对经营信息进行管理,其管理难度是非常大的,只有借助于信息化技术,借助计算机网络系统,推行信息化管理,才有可能更快更好的实现企业经营信息的管理,从而实现企业的管理目标。四、提升安全管理的必要性城市燃气具有使用风险大、服务对象组成复杂、点多面广、管理难度大、隐患较多等特点,提升安全管理势在必行。1、燃气使用风险大天然气具有易燃、易爆的特点,不完全燃烧的产物一氧化碳有剧毒。燃气客户分布面广,点多线长,一户存在隐患,将危及众多住户的安全,容易造成人员伤亡和财产损失,影响社会稳定与和谐。2、服务对象组成复杂燃气客户分为:社区居民、出租户、公商客户等,中老年人、儿童、外来人员较多,整体安全意识和安全行为能力较低。3、安全管理难度大小区燃气管线点多面广,相对分散,风险源较多。4、隐患存在率高由于设计不规范、客户擅自改动、燃气设备使用超年限、设备质量瑕疵、软管老化等原因造成安全隐患无处不在。以XX燃气公司某片区统计数据(截止2013年7月)为例,无隐患客户仅占36%,严重隐患客户占12%,在71923户客户中有45727户客户存在隐患,其中严重隐患11071处,一般隐患73745处,平均每户存在1、85处隐患。隐患中软管及热水器烟道、管道问题尤为突出,及时发现隐患、消除隐患是保证客户安全的重要途径。五、入户安检管理信息化管理1、建立燃气入户安检信息平台全面使用安检管理系统信息平台,首先为入户安检人员配备了平板电脑、检漏仪、安检包、维修工具等设备,安检员在入户安检时,利用移动平板电脑摄像功能将用户燃气安全信息并分门别类上传到安检系统中,通过信息共享,数据库分析,形成详细计划和执行系统,如安检计划分配和执行实施、隐患用户情况、隐患处理情况、到访不遇用户情况、拒绝安检用户情况等诸多情况,可直观系统的为后续管理决策服务,减少了大量的人力物力,提高了管理效率。构建入户安检管理信息系统(一)、需求分析需求分析是信息系统建设的基础,也是重点。目前公司依据《入户安检规程》对所有入户的安检工作进行了细致的需求分析,形成了一个系统的安检PDCA工作环(又称戴明环):事前有安检总量下达,安检计划编制,安检计划派工;事中有安检计划下载,安检计划执行,安检结果回传;事后有安全隐患处理、稽查(注重对工作质量的检查)、回访(注重对服务态度的检查)。最终形成统计分析表,便于绩效考核,并实现全程临控,掌握入户安检工作的实施进度和工作状况,以便及时调整工作安排。(二)、信息系统的设计在需求分析的基础上,公司结合已有的运营管理信息平台,进行了入户安检管理信息系统设计。采用J2EE三级架构,使用JAVA JDKl、5开发,在WEBSPERE7、0上应用程序。在设计时应注意与运营管理信息平台硬件、网络的共享和无线接入点的新增。与运营管理信息平台共用2台数据库服务器及3台应用服务器,根据该项工作的推进考虑逐步部署在其他应用服务器上。与运营管理信息平台共享网络资源,并新增无线接入点便于移动终端的数据传输。(三)、功能入户安检管理信息系统共有一级功能模块3个:模板制定,安检,稽查;二级功能模块8个:安检项管理,后台管理,移动安检管理等;三级功能35个:安检项定义,安检计划编制,安检结果处理等。移动终端具备坐标定位、数据备份、安检计划下载、安检计划执行、安检记录上传等功能。2、完善入户安检和抄表计量功能为避免燃气使用量抄表二次入户,利用安检管理系统信息平台实现安检、抄表一体化,将研发安检和抄表开发在一个系统界面上,利用平板电脑记录上次的安检和抄表时间,安检员根据平板电脑通报实施安检、抄表的操作,解决了二次入户的问题。 3、实现安全隐患信息化管理为切实消除户内安全隐患,完善了安检管理系统信息平台与隐患整改联动机制,将安检系统和收费系统关联起来,实现数据交换和信息共享。即收费人员可直接查询缴费用户最近一次安检时间、隐患处理等情况,对于到访不遇的用户,客服人员立即联系相关的安检员及时的为用户安检;对于存在隐患且未整改到位的用户,客服人员采取限购气的措施,用户必须在充值气量使用时间内按照要求完成整改,复检合格后恢复购气,通过安检管理系统信息平台与隐患整改联动机制有力的促进用户限时完成隐患整改。六、结束语燃气安全工作是和谐社会建设的重要组成部分,是社会安全稳定的基础。入户安全检查是对用户的负责,也是一种责任的表现,参考文献[1]王志峰,刘亚平,于英莲、户内燃气设施安全检查工作管理和实施[J]、煤气与热力,2011,31(7):B35-B36、[2]董宏理、建立燃气安全检查标准实行科学监管[J]、煤气与热力,2010,29(6):B33-B35、
为了增强国家经济的可持续性快速发展,增强国家的综合实力,党的十六大报告中明确提出“坚持以信息化带动工业化,以工业化促进信息化”的发展战略,十七大报告提出“大力推进信息化与工业化融合”。可以看出,对信息化在国民经济和社会发展全局中地位和作用的认识随着我国经济发展在逐步深化。
随着企业信息化建设的不断推进,信息在整个企业经营过程中起着至关重要的作用,信息安全是信息化可持续发展的保障,信息是社会发展的重要战略资源。网络信息安全已成为急待解决,影响企业发展极为关键的问题。
一、信息安全至关重要
信息安全是指信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。
国际信息系统安全核准联盟(ISC2)公布其全球信息安全专业人员调查,并指出近四分之三的信息安全从业人士认为,避免企业信誉受损是安全项目的首要任务。《2008 全球信息安全从业员研究》(“GISWS”) 由 Frost & Sullivan 代表ISC2进行。共有来自100多个国家的企业和公共部门机构的7,548名信息安全从业人员接受了调查。数据丢失和审核所带来的压力已经使信息安全的可靠性受到企业管理层的关注。
由国家计算机网络应急技术处理协调中心的《2007年网络安全工作报告》称,网络信息系统存在的安全漏洞和隐患层出不穷,利益驱使下的地下黑客产业继续发展,网络攻击的种类和数量成倍增长,终端用户和互联网企业是主要的受害者,基础网络和重要信息系统面临着严峻的安全威胁。2007年各种网络安全事件与2006年相比都有显著增加。企业在面对外忧的同时,还要承受内患的威胁。企业或许通过构建数据隔离系统能有效防御外部攻击,但对内部的主动泄密却毫无招架之力,有数据显示,目前,泄密事件78、9%的损失都是由内部主动泄密导致。除了防御外部攻击外,内网的管理也至关重要。
二、信息安全的基本目标
信息安全通常强调所谓CIA三元组的目标,即:保密性(Confidentiality)、完整性(Integrity)和可用性(Availability)。CIA 概念的阐述源自信息技术安全评估标准(Information Technology Security Evaluation Criteria,ITSEC),它也是信息安全的基本要素和安全建设所应遵循的基本原则。1、保密性:确保信息在存储、使用、传输过程中不会泄漏给非授权用户或实体。2、完整性:确保信息在存储、使用、传输过程中不会被非授权用户篡改,同时还要防止授权用户对系统及信息进行不恰当的篡改,保持信息内、外部表示的一致性。3、可用性:确保授权用户或实体对信息及资源的正常使用不会被异常拒绝,允许其可靠而及时地访问信息及资源。
除了CIA,信息安全还有一些其他原则,包括可追溯性(Accountability)、抗抵赖性(Non-repudiation)、真实性(Authenticity)、可控性(Controllable)等,这些都是对CIA 原则的细化、补充或加强。
三、信息安全漏洞
企业信息化建设,既能使企业获得发展的先机,提高和巩固企业竞争优势,也能给企业带来新的风险。信息安全就是其中的核心问题。信息安全问题控制不当,企业信息化不但无法提高企业活力,还可能给企业带来灾难性的后果,威胁企业的生存。企业信息安全的威胁大致有以下几方面。
1、外部威胁。⑴软件系统漏洞:wndows系统的脆弱被大家公认。在2007年中,这种情况有了新的改变,百度搜霸、暴风影音、Qvod(Q播)、realplayer等流行软件取代了windows的“漏洞王”地位。⑵网络攻击:①“黑客”侵入:窃取企业信息、篡改企业数据库、干扰用户之间的通讯信息、攻击服务系统造成系统瘫痪。②计算机病毒:浏览器配置被修改、数据受损或丢失、系统使用受限、网络无法使用、密码被盗是计算机病毒造成的主要破坏后果。2007年我国计算机病毒感染率为91、4%,为历年来最高;多次感染病毒的比率为54%,仍然维持在较高水平。③邮件灾难:企业管理人员随时可能发送涉及高度敏感话题的未加密电子邮件(股票发行、新产品计划、合并、收购等等),而它极易被人截获并加以利用。批量发送的未经收信人许可垃圾邮件已严重影响正常网络通信,企业带来时间和金钱上的损失。同时,垃圾邮件已成为黑客助纣为虐的工具。而通过电子邮件携带及传播恶意代码、病毒等更是对系统造成严重后果;④自然灾害、意外事故:地震、水灾、火灾等自然灾害将对系统造成毁灭性的伤害;意外事故(断电、水浸、虫咬)同样不可忽视。
2、内部威胁。⑴系统风险:硬件选配不合适,环境不合要求,设备安装不规范等;信息技术方案选择失误,信息技术的快速增长并没有反映到你的系统中,使得系统安全性减弱;⑵非授权访问:未经系统授权而使用网络或计算机资源;⑶人为错误,比如:使用不当,安全意识差等;⑷计算机犯罪:恶意窃取、或出售企业机密;⑸管理漏洞:没有严格的信息安全方针和规程;管理层不重视,不能保证足够的安全预算;用户权限设置混乱;过多的文件读/写权限,休眠的用户账户也是一个常见的安全风险。
四、信息安全控制
1、及时修补软件漏洞。在日常的安全防护中,不但要重视Windows系统漏洞的弥补,还要注意防范应用软件的漏洞。某些IE浏览器的插件、输入法、影音播放等应用软件,都可能成为“黑客”病毒攻击的对象。用户使用这些软件时不要仅仅关注他们的功能,还要注意其安全性能,并使用最新版本的软件。
2、快速事故响应。及时制定事故相应方针和规程,告诉用户当发生事故或入侵时应该做什么、如何做、采取行动的时间以及向谁报告,这将决定企业机密信息的命运。
3、启用防火墙。制定防火墙方针和规程,指定专人负责、定期升级、应用最新补丁、及时培训,阅读审核日志,使用检测软件,快速响应,要求安全证据。
4、跟踪外部连接。随着电子商务的开展,越来越多的企业使用Internet来交换重要的商业信息,从而引起外部连接数目的激增,包括资金和财务数据。有必要专人负责跟踪外部连接,记录并定期提交详细的连接状态报告。
5、加密/过滤电子邮件。电子邮件加密套件十分容易安装,并且对用户来说近乎透明,能对用户的隐私进行有效地加密保护;更为重要的是你必须使用垃圾邮件过滤软件,阻止各种兜售信息(垃圾邮件)、病毒恐慌、真正的病毒、蠕虫、特洛伊木马等的攻击。
6、贯彻冗余方案。建立冷备份、热备份和冗余备份。冷备份指除一个在用网络外,还有一备份网络。备份网络在日常处理时不开机,一旦发现网络出现故障,立即启动备份网络,代替生产网络进行工作。热备份指备份网络也开机运行,但并不服务。一旦网络失效,备份网络即自动代替生产网络进入服务。冗余备份则是多个网络同时进行服务,一个网络的失效不影响整个系统的运行。
7、加强内部管理。企业应建立相应的网络安全管理办法,加强内部管理,建立合适的网络安全管理系统,加强用户管理和授权管理,建立安全审计和跟踪体系,及时进行用户培训,提高整体网络安全和法律意识;
五、结语
国民经济的发展,综合国力的提升,提高企业的市场竞争力,企业信息化是必经之路。实现信息安全是企业信息化成败的关键,它不但靠先进的技术,而且也得靠严格的安全管理,法律约束和安全教育
参考文献:
[1]Linda McCarthy:《信息安全-企业抵御风险之道》,清华大学出版社,2003。
[2]飘摇:《信息安全成为当前全球企业信息化首要任务》,赛迪网,2008、4。
[3]国家计算机网络应急技术处理协调中心 :《2007年网络安全工作报告》,2008。
(一)信息化安全认知匮乏
在我国,大多数中小企业信息建设管理中存在着明显的认知不足,全球联系的增强和市场的激烈竞争促使中小企业认识到了信息化建设的重要性,但是缺少足够的信息安全管理认知,日常安全管理工作过于疏忽,没有形成科学有效地安全管理体制,作为重要保护对象。中小企业内部不同的信息需要不同的方式进行安全管理,由于企业对于信息安全管理的重视程度不够,针对安全管理投入力度难以形成有效的安全体系,无法保证信息安全。
(二)信息化安全管理制度不够完善
由于我国信息化建设起步较晚,我国中小企业相较于西方发达国家信息建设程度还有所欠缺。企业内部对于信息安全管理缺乏科学的规章制度,难以做到信息合理有效的安全防护。安全管理制度的不完善导致了各项制度之间出现混淆,安全职责定位不够明确,安全问题出现无从追求,这种现象在中小企业信息泄露中时有发生。
(三)缺乏相关技术人才
大部分中小企业由于对信息安全管理重视程度不够,投入力度较轻,导致安全管理出现盲区。信息安全建设过程中对于相关人才的培养力度不够,企业内部缺少专门的技术人才对安全管理盲区予以修复,进而导致信息泄露。
二、中小企业信息化安全管理完善措施
(一)强化信息安全意识
企业信息安全是企业健康平稳发展的基础,由此中小企业内部每个员工都应该予以承担相应的义务和责任。强化员工对于信息安全的意识,相比于技术安全更值得重视。所以,企业内部必须强化员工信息安全意识,营造内部良好的安全意识氛围,提升员工信息安全防护能力。
(二)完善安全管理制度
有效地安全措施离不开科学的安全管理制度,企业需要强化制度建设力度,做到安全管理有章可循,对于企业内部用户相关信息权限予以限制,明确,减少个人操作可能引发的信息泄露风险。在企业不断发展的过程中,制度应随着企业发展而创新升级,以满足企业发展的需要。
(三)重点培养信息安全管理人才
任何一个企业发展的根本动力都是人才的支持,优秀的人才能够促进企业内部稳定,工作效率提升,企业发展收益增强。在企业发展过程中,安全管理盲区需要相应的技术人员进行定期检查,维护,针对存在的安全隐患及时有效地解决,规避风险的发生。
三、结论
关键词 企业信息安全;安全管理策略
中图分类号 TP309;F270、7 文献标识码 A 文章编号 1673-9671-(2013)012-0209-01
企业信息化的构建可以实现企业生产过程的自动化、管理方式的网络化、决策支持的智能化和商务运营的电子化,从而提高企业的经济效益和企业的竞争力。
1 企业信息安全体系构建的重要意义
企业信息安全对企业的安全管理和企业的发展意义重大,同时,信息安全问题也直接关系到企业的信息化建设。在企业信息化的构建过程中,要充分考虑企业在保密性(C)、完整性(I)、可用性(A)三方面的安全需求,并且从应用安全、数据安全、主机安全、网络安全、桌面安全、物理安全等方面系统地实现企业的安全需求。
2 影响企业内部信息安全的因素及应对策略
外来存储设备的影响
对计算机信息安全最主要的威胁来自可移动存储设备。利用可移动存储设备,通过软驱、光驱、打印机、USB和网络接口等外设进行信息窃取。对于目前常用的Windows操作系统而言,应注意以下几点:
1)利用Windows操作系统中的设备管理器对外设进行必要的限制。通过对可移动存储设备及接口的限制,防止窃取信息。同时,也需禁用共享设置,防止通过共享的方式盗取信息。
2)使用插件对外设的使用权限进行设置。禁用USB接口,可能导致鼠标、键盘等必要设备无法使用;就USB接口而言,插件可以对不同的连接设备设置使用权限,既可以使用外部设备,又可以防止本机信息被非法修改或窃取。
3)设备老化换新的过程中,应注意硬盘的处理,防止信息泄露带来的安全风险。
3 计算机网络安全的影响
计算机网络的发展给企业的发展带来了极大的方便,但是由于网络安全性造成的威胁也是有目共睹的。
3、1 加强网络的病毒防护
随着网络的不断发展,信息共享、信息交换越来越多,因此感染病毒的机会更大,在企业内部,一旦有主机感染病毒,病毒将会传播到整个网络,给企业造成巨大的经济损失。除了对防火墙进行安全部署,尽量关闭系统不使用的端口,以防止入侵者对系统攻击外,还要对操作系统及所使用的杀毒软件进行更新与升级,减少因漏洞造成的安全隐患。
3、2 加强对访问控制的监管。
访问控制是保证内、外用户对系统资源的访问,防止非授权用户进入系统,实现对授权用户的存取权限控制。对于只对企业内部或合作单位开放的信息,应该设置访问控制,只有得到用户名和密码的用户才能访问,可以通过配置路由器来实现这些内容。
1)对操作系统设置访问权限。对企业内部用户进行操作系统的权限设置,以防止账户信息被随意更改,如果账户信息被随意更改,则有可能是企业内部人员伪装合法用户身份信息盗取企业内部账户信息。
2)对各类信息系统软件中的账户信息进行加密。软件的登录过程中,输入的用户名和密码,均采用明文的方式在服务器上进行身份验证,在传输的过程中易被盗取和利用,所以,应在实现用户管理功能上采用加密传输方式,防止由此带来的安全隐患。
3)不同部门对网络权限的限制。在构建网络时应用VLAN技术和第三层交换技术,可在同一个基础物理网络上实现员工网络、财务网络、领导网络、部门网络的逻辑分隔,从而提高整个系统的安全性。
4)对密码复杂程度进行限制。无论操作系统还是管理系统,都应设置密码的最少位数和复杂程度,并且设定更新时间和错误次数的限定。当密码出错次数超过限次,系统自动锁死,该用户再次进入系统需管理人员开启,以防止非法用户猜码进入系统。
5)限定特定计算机登录。对于企业的重要信息资料,要限定在特定的计算机上登录,防止非法用户盗取账户的信息和物理地址后,利用其他计算机登录后盗取企业重要信息。
6)加强对企业数据库系统的访问管理。在系统开发时,应采用多层体系架构,防止客户端程序破解程序后进入数据库系统。第一层是注册和用户许可,保护对服务器的基本存取;第二层是存取控制,对不同用户设定不同的权限,使数据库得到最大限度的保护;第三层是增加限制数据存取的视图和存储过程,在数据库和用户之间建立一道屏障。
4 系统稳定性的影响
计算机系统的良好运转,直接影响到数据信息的安全。随着企业信息化的发展,信息系统的连续而稳定运行越来越重要。
1)系统的连续性。一旦系统中断,将会给企业的工作带来不便,而数据一旦丢失,后果将是灾难性的。为保证系统的连续稳定运行,目前,多采用双机热备份的方式来解决,以保证当出现信息丢失或错误时能及时恢复,并找出问题的原因。这种系统由两个服务器组成:主服务器和从服务器,两台服务器,互相备份,共同执行同一服务。当一台服务器出现故障时,可以由另一台服务器承担服务任务,从而在不需要人工干预的情况下,自动保证系统能持续提供服务。双机热备由备用的服务器解决了在主服务器故障时服务不中断的问题。但在实际应用中,可能会出现多台服务器的情况,即服务器集群, 双机热备一般情况下需要有共享的存储设备。但某些情况下也可以使用两立的服务器实现双机热备,需要通过专业的集群软件或双机软件
2)通信故障引起的稳定性。对于可能出现的通信故障,采用备用线路的方式,以确保通信畅通。对于安全级别要求高的企业,可采用专用线路。
3)信息系统设计的缺陷影响系统的稳定性。在设计初期,应有良好的架构,以利于日后的管理和运维。信息系统长期运行后,应有专业人员定期对操作系统和数据库进行维护。
5 网络管理人员的影响
1)网络管理人员的权限设置不宜过大,并且要有严格的行政管理制度进行约束。
2)加强网络技术的培训。企业网络管理人员必须不断学习新的网络知识,掌握新的网络产品的功能,了解网络病毒、密码攻击、分组窃听、IP欺骗、拒绝服务、端口攻击等多样化的攻击手段,才能更好地管理好网络。
3)要了解黑客攻击的一般规律和新手段,要有时刻应对黑客攻击的高度警觉。
关键词:公钥基础设施(PKI);数字认证(CA);矿区管理;信息安全;密码服务器
0引言
当前我国矿山企业安全生产形势依然严峻,安全生产基础相对薄弱,事故总量还是很大,煤矿、金矿等高危行业结构不合理,应急处置以及救援抢险能力相对不足,部分企业违规违章现象依然存在,给安全生产带来一定的安全隐患[1]。随着计算机通信和网络技术的快速发展,矿山企业安全生产的信息化管理成为衡量企业现代化建设的重要指标,也是促进企业安全生产、提升效益的重要方式。矿区安全生产管理平台在部署时,采用开放式架构,兼容主流信息技术,在、NET平台的基础上,为了满足多种信息源服务终端的需求,平台采用了多种基础数据库模型技术,保证安全管理平台的系统整合能力。平台采用面向服务的架构(SOA)设计,并基于分层和分类结合的混合模式,数据交换模式采用标准的XML等技术,应用统一规范的数据交换接口及应用程序接口,安全机制相对可靠[2]。平台基于J2EE技术架构,支持HTML和DHTML等Web浏览器标准,设计原则遵循高内聚、低耦合的原则,降低系统各个功能模块间的耦合度,降低操作难度,提高系统的通用性。根据矿山企业矿区分散、不聚集的特点,为保证矿山生产网和办公信息网之间以及与外网之间的信息交换畅通,确保信息在产生、存储、传输和处理过程中的安全性,需要建立全网统一的认证与授权机制、时间服务和密码服务。目前,在各种技术,基于PKI/CA的信息安全技术能合理的作用于矿区安全生产信息化管理平台,从而保证安全策略得以完整准确的实现,该技术是解决数据加密、保护信息安全最有效的方案[3]。
1基于PKI技术的安全生产管理平台体系研究
1、1安全生产管理平台的需求分析
矿区安全生产管理平台为解决矿山企业安全统一管理应运而生,以安全生产风险管控为核心的风险管理平台是目前各个矿山企业信息化建设的新趋势。以安全生产管理为核心的平台建设可以实现对危险隐患的合理分析,形成事前管理、事中风险预控、事后应急救援在内贯穿安全生产管理全过程的监督管理,从而达到提升安全管理水平的目的。
1、2安全生产管理平台的系统功能设计
以矿区实际情况为前提,以信息资源规划和开发利用为主线,以安全法律法规为支撑,根据功能需求,在成熟的软件开发方法论的指导下,矿山企业安全生产信息化管理系统的主要功能框架如图1所示,其子系统设计如下:包括风险管理子系统、事故管理子系统、安全隐患管理子系统、应急救援子系统、安全培训子系统、监督检查子系统、质量标准化子系统等7大部分。其中风险管理子系统主要负责矿区风险评估,衡量事故发生的可能性并对其可能造成的相关损失进行评估,根据风险评估结果,制定相应的管理标准及措施;事故管理子系统主要负责对已发生的事故进行统计,形成事故报告、事故月报、事故数据库等,方便查询,根据需求进行事故通报和责任追究;安全隐患管理子系统主要进行安全隐患追踪、及时对隐患信息进行登记、上报、汇总等,形成隐患整改通知单,及时开展追踪和销号管理等;应急救援子系统主要针对突发紧急事件进行预防、救援、恢复等管理,以应急救援案例库为依托,类比实际案例,推送相关匹配度最高的案例辅助应急救援决策,此外该模块涵盖救援队伍、救援机构等详细信息;安全培训子系统主要负责相关人员安全的培训信息统计,及时对持证人员进行过期预警提示,服务于公司的安全培训管理等制度;监督检查子系统主要进行安全活动制定、、总结等,下设安全检查、整改落实、经验总结等三个子模块,为安全监督管理机构安全检查发现的问题、形成原因、改进措施、整改建议等;质量标准化子系统主要为管理人员提供标准库查询、检查数据汇总等服务,方便现场检查及质量便准化考核等。
1、3安全生产管理平台的PKI/CA技术分析
1、3、1PKI技术体系简介
随着当前信息系统建设的快速发展和数字网络化的应用的普及,不同部门之间、跨部门的信息共享和综合分析的需求也在日益增加,与此同时当前信息网络应用中也面临着信息量大、数据种类繁多,不同数据访问要求不同等现状,因此包括信息保密性、身份认证、访问权限管理等在内的信息安全问题急需解决。公钥基础设施(publickeyinfrastructure)简称PKI,为解决大型信息网络面临的安全问题应运而生。PKI是当前信息化安全建设的基础和重要保证。PKI是一种具有安全性和透明性的密钥管理系统,通过为用户提供密钥和证书管理服务,提供安全策略,从而建立安全有效的网络环境,保证数据信息在安全传输的过程中不被非法偷看以及非授权者篡改等,从而达到保护用户信息机密、完整的目的[4-6]。通常来说,一个完整的PKI系统包含认证中心数CA(certificateauthority)、证书库、密钥备份及恢复系统,证书作废处理系统,客户端证书处理系统等五大部分,其中CA是PKI的核心执行机构,证书库是存放公钥和用户证书的信息库[5-7]。
1、3、2基于PKI体系的矿山安全生产信息化管理体系结构
PKI作为一种安全技术,已经深入到常规网络的各个层面,使用户可以在多种应用环境中使用加密及数据签名技术,是当前网络信息安全问题的综合解决方案,为企业的信息安全保驾护航。对于本文分析的矿山企业安全生产管理平台,PKI技术将重点解决用户访问权限、信息传输、数据共享等问题,如准确验证登录用户身份、保证跨部门之间的信息保密与共享、防止信息窃取保证信息安全传输等等。矿山安全生产信息化管理平台的PKI安全服务体系主要包括证书签发管理和PKI安全服务两部分,如图2的方框所示。其中PKI的主体是证书机构CA、注册机构RA(registrationauthority)、密钥管理KM(keymanagement),其中核心组成CA是数字证书的颁发机构,数字证书就是网络用户的身份证,CA审核用户身份等信息并与公钥结合形成数字证书,从而确保其真实有效性,使得PKI能够为网络用户提供较好的安全服务[7]。RA在整个体系中起承上启下的衔接作用,是连接用户和CA之间的桥梁,既向CA转发证书请求,也向安全服务器转发CA签发的证书等。KM主要负责密钥的备份、恢复、保存等管理服务,三个系统完成了证书签发、管理等功能。公共安全接口具有一套通用、抽象的系统函数,实现语言较多,具体的密码算法不会影响到该接口,设计者可以根据自己对于系统的需求对安全接口进行开发,该接口根据工作环节及性能分为初始化部分、安全操作部分、解编部分、通信部分等。
管理调度单元衔接公共安全接口与密码服务单元,公共安全初始化部分通过管理调度单元选择密码服务单元,而管理调度单元向负载最小的密码服务单元进行申请密码服务,从而使得服务器负载均衡。当系统调度单元出现故障时,系统会随机分配一个密码服务单元,保证应用系统的正常运行,在保证系统负载均衡的同时,也保证数据的冗余备份,从而为应用系统提供及时安全的密码服务。密码服务单元是PKI密码服务的核心部分,负责提供相关密码算法及密钥管理功能。密码服务器根据配置需求及应用情况包含多个密码服务单元,当一个单元出现故障时,可以通过管理调度单元进行分配,从而保证应用系统的正常运行。密码算法根据功能特性主要分为三类:非对称密码算法(公钥密码)、对称密码算法(传统密码)和安全Hash算法[9-10]。非对称密码算法计算速度相对较慢,但其电子签名和密钥交换功能有更广阔的应用范围;对称密码算法运算速度较快,适用于大数据高流速的数据加密/解密功能,但是难以实现用户身份识别等功能;安全Hash算法可以用来实现数据完整性验证和辅助电子签名等功能。密钥管理主要包括密钥的产生、更新、泄露处理、有效期管理、存储、销毁等功能,从而保证密钥的安全有效运行。实时监控单元对密码服务器中的单元状态进行实时监控,及时找到密码服务的相关故障,此外实时监控单元的日志功能可以记载密码服务器出现问题的详细信息。以PKI技术为核心的信息安全架构体系可以有效的作用于矿山安全生产信息化管理平台的正常设计和应用中,尤其是多层次的网络系统中,从而保证安全策略顺利实施,从而保证整个平台系统的信息安全和应用安全。
2PKI/CA相关技术在矿山企业安全生产管理建设中的应用效果
以密码技术为核心的PKI/CA技术,提高了网络的安全性与可靠性,较好地解决了信息共享开放与信息保密隐私的关系、网络互联性与局部网络隔离的关系,保证矿山企业安全生产管理建设的信息安全性,为企业内部用户提供了安全信赖的网络环境,保证了企业不受信息安全威胁,为矿山的安全生产、信息管理提供了技术保障,在数据安全管理、业务协调以及实时智能指挥等领域取得了一定的应用效果。
2、1在数据安全管理领域的应用效果
2、1、1身份认证和访问控制方面
安全生产管理平台用户角色众多,有企业监管人员,公众访问人员,平台内部测试管理人员等,一人多账户多角色多权限,容易带来极大的安全隐患问题,因此具有支持多种认证方式同时具有统一认证访问控制的安全机制及用户权限管理方案变的非常重要。安全生产管理平台基于PKI技术将证书策略应用于用户的访问控制中,不同级别的登录人员可以设置不同的访问权限,通过网上进行信息传递的身份证明,为用户和数据之间建立起可信任的桥梁,有效的保证了平台信息的安全服务。
2、1、2安全传输方面
矿山安全生产信息化管理会产生大量的数据,数据规模大、种类繁多,随之而来的是数据安全管理和通讯安全的问题,安全的信息通讯是解决信息安全威胁的重要手段之一。安全生产管理平台采用的PKI相关技术,可以使用不同系统间的跨域共享和灵活授权,可以提供不同系统访问的授权管理、密钥管理、身份认证、责任认定,使得系统传输的数据信息具有较高的安全性、完整性、并在消息传递过程中完成信息的加密和数字签名,大大提高了平台通讯的安全性。
2、2在业务协调、实时智能指挥领域的应用效果
安全生产管理平台以安全生产风险管控为核心,在成熟的软件开发方法论的指导下,将风险管理、事故管理、安全隐患排查、应急救援、安全培训、监督检查等内容整合到统一平台。PKI相关技术保证了各个系统之间的数据共享和安全通信,通过登陆人员访问权限和各模块之间协调管理,为公司的安全生产提供了技术保证,从而对生产过程中的风险进行有效管理,提升安全管理效率,降低安全生产事故。PKI技术保证了系统通讯的正常安全运转,实现各个系统之间的资源共享,消除各个系统之间的信息孤岛,实现各个子系统的协调调度,使得各类用户可以方便快捷的访问、管理平台,将各类信息安全的联系起来,同时借助系统对监控数据进行智能分析和决策支持,使得事故实时智能指挥成为可能,并逐步实现了事故管理由事后应急响应到事前预警提示,对于提高矿区防灾能力,实现矿区安全高效生产、提高安全管理水平具有重要的引领作用。
3结语
PKI技术体系通过管理数字证书和密钥的方式,为用户搭建安全可靠的网络平台,使得用户可以在多种用户环境中方便的进行加密和数字签名,保证了矿区安全生产管理平台身份识别、信息传递、访问权限等的安全实施,依托数字证书、密钥管理等技术,可以有效的生成、保存、更新管理密钥,解决了网络身份认证、信息完整性和抗依赖性等安全难题,为解决矿山安全生产信息化管理中存在的信息安全等因素提供了强大的技术支撑。考虑到PKI技术本身缺点以及矿山企业的行业特性,该技术仍有一定的缺陷。在实际中,PKI技术构建和运行成本高昂,此外用户认识水平、相关法律政策等因素的制约,都不利于PKI技术应用发展。因此,需要解决多个独立PKI系统之间的交叉认证与互操作性等,以及证书过期、撤销、丢失带来的密钥托管和证书安全等问题[11]。尽管如此,PKI技术的前景仍然是广阔的,随着相关技术的快速发展,PKI相关技术仍然是矿山安全管理信息化建设中解决通讯安全问题的必然选择。
参考文献
[1]刘星魁,谢金亮,LIUXing-kui,等、煤矿安全生产现状及对策探讨[J]、煤炭技术,2008,27(1):139-141、
[2]史科蕾,石秋发、基于PKI/CA技术在矿区服务平台中安全管理的设计与实现[J]、煤炭技术,2013(6):280-281、
[3]熊万安,龚耀寰、基于公开密钥基础结构(PKI)的信息安全技术[J]、电子科技大学学报:社会科学版,2001,3(1):4-6、
[4]张慧、PKI技术研究[J]、湖北第二师范学院学报,2007,24(8):42-44、
[5]李彦,王柯柯、基于PKI技术的认证中心研究[J]、计算机科学,2006,33(2):110-112、
[6]谢冬青,冷健、PKI原理与技术[M]、北京:清华大学出版社,2004、
[7]黄兰英、PKI技术和网络安全模型研究[J]、孝感学院学报,2007,27(6):62-64、
[8]陈雨婕、基于PKI的矿山企业网络信息安全研究[J]、矿山测量,2011(3):46-47、
[9]秦志光、密码算法的现状和发展研究[J]、计算机应用,2004,24(2):1-4、
[10]张晓丰,樊启华,程红斌、密码算法研究[J]、计算机技术与发展,2006,16(2):179-180、
[关键词]电力企业;档案管理;信息化;安全
电力企业在国民经济中发挥着举足轻重的作用,对社会经济的正常运行和人们生活的正常进行都有着不可忽视的意义。计算机技术的发展,使得电力企业的档案管理也呈现出信息化管理的趋势。随着档案信息化管理的普遍应用,企业档案信息化管理的安全问题面临着巨大的挑战,保证电力企业中档案信息化管理的安全性,成为了电力企业发展的重要内容。
一、电力企业档案信息化管理
1、电力企业档案信息化管理的现状
档案的存储、档案的管理和档案的查询是档案管理的三种基本模式[1]。在电力企业的日常工作中,很好的利用档案存档信息,对于工作的顺利进展有很大的帮助,所以档案资料的及时接收、整理分类、保管体系也在逐步走向正规化。在以往的传统档案管理中,呈现的都是纸质文件,伴随手工操作进行管理,而随着科学技术的进步,信息化的技术也在档案的管理中应用,对纸质文件进行数字化的信息处理,使档案资料保管更便捷,查询起来更方便。可以对档案信息可以进行备份处理,使得档案信息更安全。但目前这种档案信息化的管理工作方式还没有在电力企业中全方位、多角度的进行普及,而应用了档案信息化管理方式的电力企业还存在一些问题,所以档案信息化管理的技术和应用还有很大的提升空间。
2、实现电力企业档案信息化安全工作管理的必要性
首先,电力企业在国民经济汇总扮演着重要角色,它是一项基础性的支柱企业。如果失去了电力行业的支持,全社会就可能出现经济瘫痪的现象。在2008年伊始,我国南方多数省市都遭受了雨雪冰冻的袭击,电力行业在此次自然灾害中受到了极大的影响,使得多地区都出现了电力中断的现象,对国民的正常生活带来严重的影响,这充分的表明了电力资源对市民生活的重要性,没有电力资源人们就无法进行正常的生活。在现代数字化的战争中,攻破电网就是战争取得胜利的关键点,这种说法毫不夸张[2]。近些年来,电力企业的档案信息经常被攻击,导致档案信息泄露,为了提高电力企业档案的保密性和警惕性,对档案信息化安全管理工作一定要加强。
其次,因为电力企业的发展经历了一个漫长的历史时期,企业中的各项管理与经营方式都逐步在完善,都形成了各自的特征与优势。随着市场经济的发展,电力企业也得到了大幅度的发展,企业的数量与电力经营项目也日益增多。在经济全球化的今天,优胜劣汰的竞争淘汰法则一直在各大企业间上演,为了在激烈的市场竞争中,拥有自己的一席之地,竞争手段则是五花八门,其中也不缺少使用不正当手段窃取其他竞争对手的商业机密,而经常因为利益等原因的驱使,企业的档案信息管理难免会出现失误和泄露。多种实例证明,保护好档案信息就是保护好本企业的利益,所以电力企业对自己的商业机密加强保护,显得尤为重要。
再次,电力企业是资金和技术密集型的企业,拥有着较高的专业技能人才,掌握先着进的核心技术。在科学技术飞速发展的今天,各大电力企业都在努力创新自己的技术成果,对高性能和高质量的电力产品研发力度不断加大,为了加强电力企业的竞争实力,每一年各个企业都有新的研发目标,同时还要进行科技的引进和创新,并逐渐形成自己的知识产权,所以一定要加强档案信息化安全管理,对本企业的知识产权和技术成果进行保护。档案信息的安全保护,就是对企业的技术领先和核心竞争力进行保护。
二、电力企业档案信息化管理中存在的问题
1、滞后的档案信息化管理体系
因为电力企业的档案信息化管理是随着科学技术的发展而产生的,在使用初期,难免会在相关的管理和技术层面上存在缺陷。在电子档案的存档、保管、查阅等方面还没有建立健全明确的规章制度,出现问题时不能及时很好的解决,进而引起一系列的不良连锁反应[3]。因为档案管理信息化是最近几年才发展起来的,在大量的纸质档案向电子版本转换时,在速度和质量上还难以保证。
2、对档案的信息化管理还没有足够的重视
在电力企业中,一些元老级的领导还没有对档案信息化管理有充足的认识,把主要精力放在了产品研发和市场占有率上,档案信息化管理在企业的发展中的隐性作用总是被忽视,简单的认为档案管理是一种文职类的日常琐事,对重要档案科室和部门更是没有建立,没有把档案信息化管理融入企业的发展战略中,因此使得档案信息化管理出现人员短缺、管理落后等问题。
3、档案管理人员素质不够
因为在多数电力企业中,没有对档案信息化管理的重要性有足够的认识,因此对档案管理人员的要求不高,很多档案管理人员对档案管理工作却不了解,只是对档案进行简单的整理和归类,没有管理重点,往往忽略了对包含重要经济信息的档案进行存档和保护,因为不具有档案管理的专业知识,在技术和管理观念上还有很多漏洞,很容易造成重要档案信息的流失和机密的泄露。
三、加强电力企业档案信息化安全工作管理的途径
1、完善电力企业档案信息化安全工作的制度体系
规章制度对人的行为具有一定的约束和提醒作用,对于人的行动意识具有强化的功能。因为规章制度的约束性、权威性和稳定性的特点,使得规章制度的制定在档案信息化管理中有章法可遵循,有标准可参照。所以一定要在国家法律法规范围内,制定符合电力企业实际情况的规章制度,建立健全档案信息化安全管理相关工作的流程、体系。并要大力倡导监督检查行为和责任问责制,使档案管理工作真正落实,填补档案信息化安全管理的空白,同时可适当的使用一些奖惩制度,促使档案信息化管理工作安全、有效进行。
2、提高电力企业决策层对档案管理信息化安全的重视度
电力企业的决策层作为企业的家长,是企业发展战略的制定者和前进方向的指挥者,所以一定要在企业成长发展中,对档案信息化管理安全要有足够的重视并加强其建设,至上而下的把档案信息化安全管理工作落实到企业发展的各个角落。同时要认真分析国内外电力企业的发展形势和先进理念,认清企业档案信息化管理的安全性在企业未来发展道路上的重要意义。
3、加强对电力企业档案信息化管理人员的职业素质和专业技能培养
电力企业的档案管理人员每天要面对众多的档案信息,其个人素质的高低对于档案信息化安全管理具有重要的影响作用。基于电力企业在国民经济发展中的重要地位,所以要重视对电力企业档案管理人员的选拔和培养。提高电力企业档案信息化管理人员对档案管理工作和信息保密的认识,培养其形成坚定的立场和明锐的洞察力,要对档案管理人员的专业技能进行不定期的培训,使其具备更加专业和规范的技能,使其能够对信息化管理中不安全因素的进行分析、判断和解决,提高在档案信息化安全管理中的实践能力。努力打造出一支专业技能高、安全意识强、纪律严明、业务精通的新时代电力企业档案信息化管理团队。
4、采取技术手段防止企业档案信息泄密
科学技术是第一生产力。在电力企业的档案信息化管理中,当然也少不了科学技术的大力支持。电力企业的档案管理是一项复杂而艰巨的工作,需要在平时的工作中不断进行经验和教训的总结,从而为科技人员的新技术研究与开发提供理论依据。将计算机技术更好的融入到档案的管理当中,借鉴与吸取先进的技术成果。在广泛运用计算机技术的同时,也要加强计算机网络安全技术的研究与实践。设立档案信息安全系统,加强对档案信息和文件销毁环节的技术运用和保密管理,对于计算机网络上的有关安全的信息严格把关。在电力企业管理中,大力宣扬“积极防范、技管并重”的思想[4],加强与规范企业档案信息安全的管理工作。
结束语
电力企业在我国国民经济中占据着重要的地位,所以电力企业的档案信息化管理安全工作也意义重大。电力企业档案信息管理对国家的安全保障、企业在市场中的竞争地位、企业的知识产权等方面都有重要的作用,所以要加强电力企业档案信息化安全管理工作,采用新技术加强档案管理的安全性建设,培养专业素质高的管理人才,加大对企业档案管理信息化安全建设的资金投入,加强风险防范和责任意识等等。总之,对于加强电力企业档案信息化安全工作要从科技、人力、物力、财力等多方面进行,从而更好的保障电力企业档案信息化管理安全有序的进行,为电力企业和国家经济的安全发展做出贡献。
参考文献:
[1]丁艳娟、基于信息化环境的电力企业档案管理[J]、北京:科技大学出版社,2012(10)、
[2]寇杨、电力设计档案管理存在的问题及对策研究[J]、上海:信息工程研究出版社,2011(1)、
【 关键词 】 信息;信息管理;信息安全;身份识别
Enterprise Information Management in the Research of Data Security
Zhang Ying-shi
(Northeast China Railway Survey and Design Institute Group Co、, Ltd、 5 Branch HeilongjiangHarbin 150080)
【 Abstract 】 To realize information management is the inevitable requirement of the current enterprise development, while the implementation of the information management depends on the degree of the development of the enterprise information safety construction、 Starting from the actual demand of design institute data application, this paper puts forward the basic principles of information security management system construction, and puts forward the related technical means to protect the safety of information、 Scientific and perfect management system and related technology of bining the management mode of solve the enterprise security problems of information security、
【 Keywords 】 information;information management; information security; identification
1 前言
随着信息技术时代的到来,特别是微电子技术的高速发展和计算机应用的普及,各个企业需要处理的数据以爆炸式的方式增长。企业面对浩如烟海的信息,仅仅依靠孤岛式的管理方式是无法对其实现科学而高效的管理的。当前,信息化管理水平的高低已然成为衡量一个企业综合实力的标志,各企业都结合本企业实际生产状况建立了适合本企业的信息管理模式。这些信息化管理手段在提高企业信息化管理水平的同时,也带来一个令诸多企业管理者头疼的问题: 信息化管理模式下的信息安全。因此,如何确保日常工作中的信息安全,就成为信息管理者首先必须解决的问题。
2 信息安全现状
2、1 信息数据的类型
从信息管理的角度来看,日常生产包含了多种类型的数据。首先也是最主要的,是院内设计和生产部门形成的各种文件,主要由设计形成的图纸、保密的合同、以及未公开的各项试验数据等组成。其次就是财务部门日常工作处理的数据和形成的各种报表文件,这类数据和文件对安全性要求极高,未经授权任何人不得访问。最后一类数据是由院内各种网络应用程序产生的日志文件,其中包含了员工对数据访问的历史记录,以及在各种应用软件上的网络访问活动等。
上述数据的生成、存储、传输都严重依赖于计算机和网络系统。可见,确保院内数据的安全,首要问题就是解决院内计算机应用和网络系统的安全。目前,影响院内计算机和网络系统安全的因素主要有几个方面。
2、2 计算机病毒的威胁
计算机病毒作为一种有害的软件程序,其短小、隐蔽,但能给计算机系统带来较大的破坏,因而成为当前计算机系统面临的主要威胁。一台感染了病毒的计算机,轻则出现应用软件运行变慢,甚至无法正常运行的情况;严重时将导致操作系统崩溃、重要数据丢失;最为极端的情况是,计算机的硬件系统可能被一些类似CIH的病毒破坏,造成不可挽回的损失。看似小小的病毒,瘫痪的却是整个计算机系统。
2、3 软件漏洞的威胁
随着操作系统与应用软件变得越来越大,日益复杂的软件开发框架在满足了终端用户项目需求的同时,也带来了更多的安全隐患。目前,操作系统软件补丁层出不穷,隐藏在各种应用软件中的后门更是比比皆是。软件本身在使用过程中出现的安全漏洞给用户数据安全造成极大的威胁,非法用户利用漏洞获取合法授权用户的数据访问权限,从而导致数据的篡改和丢失。
2、4 网络攻击的威胁
与计算机病毒相比,网络攻击的最大特点就是发动者带有明确的目的。也就是说,网络攻击从开始就设定了攻击对象,而被攻击者只有在意识到自己遭受了攻击后才开始实施补救措施。除此以外,网络攻击的范围更广,其攻击对象不仅是单台计算机,而且包括了整个网络传输系统设备。对网络设备攻击行为不但会导致网络传输的拥塞,拒绝服务攻击还可导致正常的Web服务请求无法完成,最终导致网络瘫痪。
3 信息安全的实现
3、1 管理制度与技术手段的结合
对于利用网络进行分布式数据处理以及远程数据传输的用户来说,确保信息安全首先需要建立科学完善的管理制度,没有相应管理制度保障的信息安全是无法实现的。其次,管理制度的具体实施依赖于先进的计算机和网络管理技术,脱离技术支持的管理是无法有效进行的,二者相辅相成,共同守护信息的安全。
信息安全管理的对象包括了信息数据的创建者和使用者,信息数据本身以及完成信息数据存放、处理、传输的设备。建立科学完善的管理体系,应从上述三个方面入手,解决信息的访问控制机制和监测机制两大问题。前者指对用户数据以及相关访问用户进行的有效的管理与控制。后者则是为了保障网络系统正常运行而采取的相关技术手段。
3、2 建立管理制度的基本原则
信息安全管理的核心是数据,建立科学管理制度的前提是对院内不同部门的业务数据进行安全等级划分,同时对相关人员的数据访问限定不同级别的权限,杜绝非法授权访问,从而避免重要数据被篡改甚至丢失。
管理制度中另一个问题是对联网设备进行审核。依据接入网络中计算机处理数据的不同密级,管理员采取相应的联网方式及保密措施。特别是对涉及财务数据的计算机,严禁一网两用,一定做到专网专用,实现物理层的隔离。
定义了数据的安全级别以及访问权限,管理制度需要解决的又一个重要问题是信息安全的监测。为了保障网络的正常使用以及发生安全事件后的行为追踪,管理人员除了日常的实时巡查外,还需配置相关软硬件来记录数据以及网络访问的历史记录,做到数据访问有据可查。
3、3 管理制度实施的技术手段
目前,比较流行的计算机操作系统都对数据安全提供了很好的支持。在基于Windows域构建的数据共享网络中,文件系统和域访问机制实现数据的安全性。数据作为软件系统的文件,管理人员通过对文件设置完全、可执行、只读、无任何权限来设定文件的安全级;域上的用户通过分配不同的权限来实现对数据的安全访问。这一安全访问机制较好地解决数据能不能被访问,以及可由谁来访问的问题。
对接入网络的计算机,用户通过交换和路由设备实现对网络数据的访问。管理人员一方面利用MAC地址的唯一性,在绑定PC的MAC地址与交换机物理端口的基础上,实现接入用户身份确定。另一方面通过防火墙配置的IP地址访问列表来限定不同用户数据交互的访问权限。特别是对和外网有数据交互的网络应用,利用加密的口令认证技术和VLAN技术实现内外网交互的身份识别,确保数据使用安全。
在互联网中,各种网络攻击事件时有发生。院内每台计算机安装的防火墙和网络中心的入侵检测设备可有效降低这类危害,二者分别从计算机用户和网络管理员方面为数据提供安全屏障。特别是位于网络中心的入侵检测系统,实时监测并记录网络设备运行状态,如发现异常访问,可及时向管理人员报警。对已发生的网络攻击事件,入侵检测系统的日志文件提供外网用户对内网的访问记录,管理人员据此分析攻击来源以及攻击类型,了解网络存在的隐患,进而通过制定相关措施增强既有网络的安全性。
4 结束语
如何确保开放网络环境下的信息安全,是企业信息化过程中面临的重大问题。企业信息安全的实现,不仅依赖于本企业信息安全管理制度的健全与完善,还与管理人员的技术水平、企业内部相关软硬件设备的配置密切相关,只有将科学管理方法与先进的管理技术进行科学整合,才能真正实现企业的信息安全。
参考文献
[1] 张宝奇、企业信息管理技术探索与实践[J]、科技向导,2013(17):282、
[2] 杨丽、计算机信息管理与现实管理结合[J]、科技信息,2013(17):105、
[3] 徐岩、网络信息安全技术防范措施研究与探讨[J]、科技传播、2012(02):151、
[4] 张兰兰、计算机网络信息技术安全及对策探讨[J]、计算机光盘软件与应用,2012[18]:43-44、