小企業(yè)信息安全范文

時間:2023-06-30 17:57:50

導語:如何才能寫好一篇小企業(yè)信息安全,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。

篇1

關鍵詞:信息化信息安全網(wǎng)絡安全

根據(jù)國家統(tǒng)計局年初公布的數(shù)字顯示,國內企業(yè)總體的99%都是中小企業(yè),他們貢獻了超過一半的國內GDP。但截止到目前,這些中小企業(yè)的信息化水平仍然比較落后,其中針對信息安全的投人,更是鳳毛麟角。

對于國內占大多數(shù)的中小企業(yè)來說,如何在充分利用信息化優(yōu)勢的同時,更好地保護自身的信息資產,已經成為一個嚴峻的挑戰(zhàn)。特別是近兩年來,網(wǎng)絡上的病毒、攻擊事件頻發(fā),信息安全問題正在日益成為中小企業(yè)信息化進程中的難題。

一、什么是信息安全

信息是一種資產,與其它重要的資產一樣,它對一個組織而言具有一定的價值,因此需要適當?shù)募右员Wo,而信息又可以以多種形式存在。如可以打印或者寫在紙上,以數(shù)字化的方式存儲,通過郵局郵寄或電子手段發(fā)送,表現(xiàn)在膠片上或以談話的方式說出來??傊?,信息無論以什么形式存在,以什么方式存儲、傳輸或共享,都應得到恰當?shù)谋Wo。

所謂信息安全是指信息具有如下特征:

安全性:確保信息僅可讓授權獲取的人士訪問;完整性:保護信息和處理方法的準確和完善;可用性:確保授權人需要時可以獲取信息和相應的資產。

信息安全是指使信息避免一系列威脅,保障商務的連續(xù)性,最大限度地減少業(yè)務的損失,從而最大限度地獲取投資和商務的回報。它主要涉及到信息傳輸?shù)陌踩⑿畔⒋鎯Φ陌踩?、以及網(wǎng)絡傳輸信息內容的審計三個方面,它可以通過實施一整套恰當?shù)拇胧﹣慝@得。但目前我國的信息安全令人堪憂,隨著政府上網(wǎng)和企業(yè)信息化的推進,越來越多的企業(yè)的日常業(yè)務已經無法脫離網(wǎng)絡和信息技術的支持,那么我國中小企業(yè)的信息安全現(xiàn)狀如何呢?

二、我國企業(yè)信息安全的現(xiàn)狀

(一)企業(yè)的重視程度

隨著信息化的加快,企業(yè)信息安全越來越受到重視,而我國的中小企業(yè)信息安全現(xiàn)階段正處于初級階段。在推進企業(yè)信息化的進程中,有些中小企業(yè)對于信息化概念的認識遠遠不夠,它們認為購置幾臺電腦放到公司,日常用來打打字,將單個機器連結到網(wǎng)上企業(yè)就信息化了,遠遠沒有認識到信息技術給企業(yè)所能帶來的巨大的變化,對于網(wǎng)絡安全更是沒有意識。

據(jù)調查,目前國內90%的網(wǎng)站存在安全問題,其主要原因是企業(yè)管理者缺少或沒有安全意識。某些企業(yè)網(wǎng)絡管理員甚至認為其公司規(guī)模較小,不會成為黑客的攻擊目標。如此態(tài)度,網(wǎng)絡安全更是無從談起。

(二)資金、技術、人員方面情況

已建立了企業(yè)內部信息化平臺的企業(yè),由于資金、技術等方面的原因,還沒有把重點放到網(wǎng)絡安全管理上,尤其是中小企業(yè)的安全問題一直隱患重重。

據(jù)了解,許多中小企業(yè)沒有專門的網(wǎng)絡管理員,一般采用兼職管理方式,這使中小企業(yè)的網(wǎng)絡管理在安全性方面存在嚴重的漏洞,與大型企業(yè)相比,它們更容易受到網(wǎng)絡病毒的侵害,損失也比較嚴重。

根據(jù)IDC對年我國政府、企業(yè)用戶的信息安全狀況分析,約有34.8%的企業(yè)因內部雇員的行為(包括對內部資源的不合理使用和對內部數(shù)據(jù)缺乏有效保護)而造成企業(yè)出現(xiàn)安全問題。

(三)網(wǎng)絡維護、運行、升級方面的情況

在網(wǎng)絡的維護、運行、升級等事務性工作方面,由于工作繁重而且成本較高,一些善于精打細算的中小企業(yè)在防范黑客及病毒方面舍不得投入,據(jù)相關調查數(shù)據(jù)資料統(tǒng)計,國內七成以上的中小企業(yè),一是缺乏基本的企業(yè)防毒知識,購買一些單機版防毒產品來防護整個企業(yè)網(wǎng)絡的安全。二是采購了并不適合自身網(wǎng)絡系統(tǒng)的企業(yè)防毒產品,因此留下許多安全隱患。三是技術力量薄弱,雖然部署了企業(yè)防毒產品,但是這些產品操作難度大、使用復雜,最終導致很難全面發(fā)揮效用,甚至成了擺設,這樣一來企業(yè)內部網(wǎng)絡就根本沒有什么安全而言。

三、如何保證我國中小企業(yè)的信息安全

(一)從企業(yè)的自身情況考慮

要解決中小企業(yè)網(wǎng)絡信息安全問題,不能僅依靠企業(yè)的安全設施和網(wǎng)絡安全產品,而應該考慮如何提高企業(yè)自身的網(wǎng)絡安全意識,將信息安全問題提升到重視的高度,要重視“人”的因素。具體表現(xiàn)在以下兩個方面:

1.提高安全認識

定期對企業(yè)員工進行網(wǎng)絡安全教育培訓深化企業(yè)的全員信息安全意識,企業(yè)管理層要制定完整的信息安全策略并貫徹執(zhí)行,對安全問題要做到預先考慮和防備。

2.要求中小企業(yè)在上網(wǎng)的過程中要做到“一做三不要”

(1)將存有重要數(shù)據(jù)的電腦堅決同網(wǎng)絡隔離,同時設置開機密碼,并將軟驅、硬盤加密鎖定,進行三級保護。

(2)不要在自己的系統(tǒng)之內使用任何具有記憶命令的程序,因為這些程序不但能記錄用戶的擊鍵動作甚至能以快照的形式記錄到屏幕上發(fā)生的一切。

(3)不在網(wǎng)上的任何場合下隨意透露自己企業(yè)的任何安全信息。

(4)不要啟動系統(tǒng)資源共享功能,最后要盡量減少企業(yè)資源暴露在外部網(wǎng)上的機會和次數(shù),減少黑客進攻的機會。

(二)從網(wǎng)絡安全角度考慮

1.從網(wǎng)絡安全服務商的角度來說,服務商要重視中小企業(yè)對網(wǎng)絡安全解決方案的需要,充分考慮中小企業(yè)的現(xiàn)實狀況,仔細調查和分析中小企業(yè)的安全因素,開發(fā)出適合中小企業(yè)實際情況的網(wǎng)絡安全綜合解決方案。此外,還應該注意投入大量精力在安全策略的施行及安全教育的開展方面,這樣才能為中小企業(yè)信息安全工作的順利開展提供堅實的保證。

2.要用防火墻將企業(yè)的局域網(wǎng)(Intranet)與互聯(lián)網(wǎng)之間進行隔離。由于網(wǎng)絡攻擊不斷升級,對應的防火墻軟件也應該及時跟著升級,這樣就要求我們企業(yè)的網(wǎng)管人員要經常到有關網(wǎng)站上下載最新的補丁程序,以便進行網(wǎng)絡維護,同時經常掃描整個內部網(wǎng)絡,以發(fā)現(xiàn)任何安全隱患并及時更改,才能做到有備無患。

3.企業(yè)用戶最好自己學會如何調試和管理自己的局域網(wǎng)系統(tǒng),不要經常請別人來協(xié)助管理。中小企業(yè)要培養(yǎng)自己解決安全問題的能力,提高自己的信息安全技術。如果缺乏這方面的人才就應該去引進或者培養(yǎng)相關人才。

4.內部網(wǎng)絡系統(tǒng)的密碼要定期修改。

由于許多黑客利用窮舉法來破解密碼,像John這一類的密碼破解程序可從因特網(wǎng)上免費下載,只要加上一個足夠大的字典在足夠快的機器上沒日沒夜地運行,就可以獲得需要的賬號及密碼,因此,經常修改密碼對付這種盜用就顯得十分奏效。當然,設定密碼也有很深的學問,只有隨意性強、有足夠的長度并及時更新的密碼才能算是比較安全的密碼。

5.要經常使用殺毒軟件來維護局域網(wǎng)系統(tǒng)不受病毒攻擊?,F(xiàn)在國內的殺毒軟件都推出了清除某些特洛伊木馬的功能,可以不定期地在脫機的情況下進行檢查和清除。另外,有的殺毒軟件還提供網(wǎng)絡實時監(jiān)控功能,這一功能可以在黑客從遠端執(zhí)行用戶機器上的文件時,提供報警或讓執(zhí)行失敗,使黑客向用戶機器上載可執(zhí)行文件后無法正確執(zhí)行,從而避免了進一步的損失。

6.同其它企業(yè)進行聯(lián)合,共同抵制黑客的入侵,一旦被入侵要及時向有關部門匯報,并共同查找入侵來源,鎖定黑客IP地址。將網(wǎng)絡的TCP起時限制在15分鐘以內,減少黑客入侵的機會。并擴大連接表,增加黑客填寫整個連接表的難度。

四、結束語

篇2

    在企業(yè)的管理信息系統(tǒng)中有眾多的企業(yè)文件在流轉,其中肯定有重要性文件,有的甚至涉及到企業(yè)的發(fā)展前途,如果這些信息在通用過網(wǎng)絡傳送時被競爭對手或不法分子竊聽、泄密、篡改或偽造,將會嚴重威脅企業(yè)的發(fā)展,所以,中小企業(yè)電子信息安全技術的研究具有重要意義。

    一、中小企業(yè)的信息化建設意義

    在這個網(wǎng)絡信息時代,企業(yè)的信息化進程不斷發(fā)展,信息成了企業(yè)成敗的關鍵,也是管理水平提高的重要途徑。如今企業(yè)的商務活動,基本上都采用電子商務的形式進行,企業(yè)的生產運作、運輸和銷售各個方面都運用到了信息化技術。如通過網(wǎng)絡收集一些關于原材料的質量,價格,出產地等信息來建立一個原材料信息系統(tǒng),這個信息系統(tǒng)對原材料的采購有很大的作用。通過對數(shù)據(jù)的分析,可以得到跟多的采購建議和對策,實現(xiàn)企業(yè)電子信息化水準。有關調查顯示,百分之八十二的中小企業(yè)對網(wǎng)站的應還處于宣傳企業(yè)形象,產品和服務信息,收集客戶資料這一階段,而電子商務這樣關系到交易的應用還不到四分之一,這說明企業(yè)還未充分開發(fā)和利用商業(yè)渠道信息。中小企業(yè)信息化時代已經到來,企業(yè)應該加快信息化的建設。

    二、電子信息安全技術闡述

    1、電子信息中的加密技術

    加密技術能夠使數(shù)據(jù)的傳送更為安全和完整,加密技術分為對稱和非對稱加密兩種。其中對稱加密通常通過序列密碼或者分組機密來實現(xiàn),包括明文、密鑰、加密算法以及解密算法等五個基本組成成分。非對稱加密與對稱加密有所不同,非對稱加密需要公開密鑰和私有密鑰兩個密鑰,公開密鑰和私有密鑰必須配對使用,用公開密鑰進行的加密,只有其對應的私有密匙才能解密。用私有密鑰進行的加密,也只有用其相應的公開密鑰才能解密。

    加密技術對傳送的電子信息能夠起到保密的作用。在發(fā)送電子信息時,發(fā)送人用加密密鑰或算法對所發(fā)的信息加密后將其發(fā)出,如果在傳輸過程中有人竊取信息,他只能得到密文,密文是無法理解的。接受著可以利用解密密鑰將密文解密,恢復成明文。

    2、防火墻技術

    隨著網(wǎng)絡技術的發(fā)展,一些郵件炸彈,病毒木馬和網(wǎng)上黑客等對網(wǎng)絡的安全也造成了很大的威脅。企業(yè)的信息化使其網(wǎng)絡也遭到同樣的威脅,企業(yè)電子信息的安全也難以得到保證。針對網(wǎng)絡不安全這種狀況,最初采取的一種保護措施就是防火墻。在我們的個人電腦中防火墻也起到了很大的作用,它可以阻止非黑客的入侵,電腦信息的篡改等。

    3、認證技術

    消息認證和身份認證是認證技術的兩種形式,消息認證主要用于確保信息的完整性和抗否認性,用戶通過消息認證來確認信息的真假和是否被第三方修改或偽造。身份認證使用與鑒別用戶的身份的,包括識別和驗證兩個步驟。明確和區(qū)分訪問者身份是識別,確認訪問者身份叫驗證。用戶在訪問一些非公開的資源時必須通過身份認證。比如訪問高校的查分系統(tǒng)時,必須要經過學號和密碼的驗證才能訪問。高校圖書館的一些資源要校園網(wǎng)才能進行訪問,非校園網(wǎng)的不能進入,除非付費申請一個合格的訪問身份。

    三、中小企業(yè)中電子信息的主要安全要素

    1、信息的機密性

    在今天這個網(wǎng)絡時代,信息的機密性工作似乎變得不那么容易了,但信息直接代表著企業(yè)的商業(yè)機密,如何保護企業(yè)信息不被竊取,篡改,濫用以及破壞,如何利用互聯(lián)網(wǎng)進行信息傳遞又能確保信息安全性已成為各中小企業(yè)必須解決的重要問題。

    2、信息的有效性

    隨著電子信息技術的發(fā)展,各中小企業(yè)都利用電子形式進行信息傳遞,信息的有效性直接關系的企業(yè)的經濟利益,也是個企業(yè)貿易順利進行的前提條件。所以要排除各種網(wǎng)絡故障、硬件故障,對這些網(wǎng)絡故障帶來的潛在威脅加以控制和預防,從而確保傳遞信息的有效性。

    3、信息的完整性

    企業(yè)交易各方的經營策略嚴重受到交易方的信息的完整性影響,所以保持交易各方的信息的完整性是非常重要對交易各方都是非常重要的。在對信息的處理過程中要預防對信息的隨意生成、修改,在傳送過程中要防止信息的丟失,保持信息的完整性是企業(yè)之間進行交易的基礎。

    四、解決中小企業(yè)中電子信息安全問題的策略

    1、構建中小企業(yè)電子信息安全管理體制

    解決信息安全問題除了使用安全技術以外,還應該建立一套完善的電子信息安全管理制度,以確保信息安全管理的順利進行。在一般中小企業(yè)中,最初建立的相關信息管理制度在很大程度上制約著一個信息系統(tǒng)的安全。如果安全管理制度出了問題,那么圍繞著這一制度來選擇和使用安全管理技術及手段將無法正常進行,信息的安全性就得不到保證。完善,嚴格的電子信息安全管理制度對信息系統(tǒng)的安全影響很大。在企業(yè)信息系統(tǒng)中,如果沒有嚴格完善的信息安全管理制度,電子信息安全技術和相關的安全工具是不可能發(fā)揮應有的作用的。

    2、利用企業(yè)的網(wǎng)絡條件來提供信息安全服務

    很多企業(yè)的多個二級單位都在系統(tǒng)內通過廣域網(wǎng)被聯(lián)通, 局域網(wǎng)在各單位都全部建成,企業(yè)應該利用這種良好的網(wǎng)絡條件來為企業(yè)提供良好的信息安全服務。通過企業(yè)這一網(wǎng)絡平臺技術標準,安全公告和安全法規(guī),提供信息安全軟件下載,安全設備選型,提供在線信息安全教育和培訓,同時為企業(yè)員工提供一個交流經驗的場所。

    3、定期對安全防護軟件系統(tǒng)進行評估、改進

    隨著企業(yè)的發(fā)展,企業(yè)的信息化應用和信息技術也不斷發(fā)展,人們對信息安全問題的認識是隨著技術的發(fā)展而不斷提高的,在電子信息安全問題不斷被發(fā)現(xiàn)的同時,解決信息安全問題的安全防護軟件系統(tǒng)也應該不斷的改進,定期對系統(tǒng)進行評估。

    總之,各中小企業(yè)電子星系安全技術包含著技術和管理,以及制度等因素,隨著信息技術的不斷發(fā)展,不僅中小企業(yè)辦公室逐漸趨向辦公自動化,而且還確保了企業(yè)電子信息安全。

    參考文獻:

    [1]溫正衛(wèi);信息安全技術在電子政務系統(tǒng)中的應用[J];軟件導刊,2010

    [2]閆兵;企業(yè)信息安全概述及防范[J];科學咨訊,2010

篇3

關鍵詞:中小企業(yè);信息安全;防火墻;VPN

1背景目前

我國很多中小企業(yè)都開始廣泛使用信息化手段提升自身的競爭力,借助信息化,企業(yè)可以更有效地管理資源,優(yōu)化組合,提高企業(yè)運營效率,幫助企業(yè)更快的了解市場行情,促進企業(yè)發(fā)展。但與此同時信息安全問題也日益突出,每年企業(yè)因信息系統(tǒng)的安全問題而遭受經濟損失難以估量。本文針對太倉中小企業(yè)網(wǎng)絡信息安全現(xiàn)狀進行深入調研,走訪企業(yè)了解企業(yè)網(wǎng)絡信息安全的配置情況,可能存在的問題,然后根據(jù)現(xiàn)有的網(wǎng)絡安全技術和手段幫助企業(yè)解決問題,以滿足企業(yè)需求、投入資金少、專業(yè)技術管理人員投入少為需求給出解決策略,避免因信息安全問題造成的經濟損失。

2中小企業(yè)網(wǎng)絡信息安全現(xiàn)狀研究

經調研分析,目前中小企業(yè)大致可以分為兩類,一類是國內企業(yè),一類是外企也就是總部在國外,國內有分公司或者工廠。總的來說,所有的中小企業(yè)都有自己的計算機網(wǎng)絡、典型應用系統(tǒng)如辦公自動化系統(tǒng)、信息查詢系統(tǒng)、web應用、郵件服務、財務和人事系統(tǒng)等。根據(jù)中小企業(yè)計算機網(wǎng)絡應用特點,一般需要保證數(shù)據(jù)具有實時性、機密性、安全性、完整性、可用性和不可抵賴性。太倉中小企業(yè)眾多,光德資企業(yè)就有200多家。企業(yè)的產品信息、業(yè)務數(shù)據(jù)、銷售訂單都需要利用信息化系統(tǒng)進行處理,有的甚至需要大數(shù)據(jù)平臺分析處理,那么信息系統(tǒng)的安全性也是尤為突出的一個問題。對太倉中小企業(yè)而言,構建一個安全、可靠的IT系統(tǒng)是關系到企業(yè)能否適合時代新技術,健康良好快速發(fā)展的關鍵因素之一。太倉眾多外企總部都在國外,因此總公司和分公司之間需要經常傳輸大量的數(shù)據(jù),其中包括很多重要甚至機密的數(shù)據(jù),對于數(shù)據(jù)傳輸?shù)谋C苄?、完整性要求更高。針對這些特點目前中小型企業(yè)網(wǎng)絡存在的主要安全問題有:

1)弱口令造成信息泄露威脅目前中小企業(yè)使用的各類系統(tǒng)較多,包括郵件、ERP、內部OA系統(tǒng)、電子商務系統(tǒng)等。面對眾多的系統(tǒng),員工要設置各類密碼,非常麻煩,所以基本都會設置簡單的便于記憶的弱口令,而且很多系統(tǒng)都設置相同的密碼,長期不對密碼進行更改,這樣就很容易造成密碼泄露,一旦成功入侵企業(yè)內部網(wǎng)絡,就很容易竊取到密碼非法進入系統(tǒng)獲取資料。

2)網(wǎng)絡病毒威脅中小型企業(yè)員工一般都是單獨使用計算機,并且所有計算機都可以訪問互聯(lián)網(wǎng),員工根據(jù)自己的情況自行安裝防病毒系統(tǒng),由于員工對病毒預防知識和防病毒軟件的使用方法掌握情況不同,如果不能正確安裝使用防病毒軟件,一臺計算機感染病毒很快就傳播到企業(yè)內部的多臺計算機,甚至導致企業(yè)內部網(wǎng)絡癱瘓。

3)企業(yè)主干網(wǎng)絡沒有劃分VLAN中小型企業(yè)網(wǎng)絡系統(tǒng)中,由于網(wǎng)絡規(guī)模小,沒有專業(yè)網(wǎng)絡設計維護人員,為了省事和方便,很多企業(yè)的系統(tǒng)沒有劃分VLAN或者沒有按要求細化,造成同一廣播域中計算機數(shù)量過多,容易造成廣播風暴和網(wǎng)絡帶寬嚴重浪費。

4)無線網(wǎng)絡密碼泄露無線網(wǎng)絡的方便快捷使得它在企業(yè)中的應用快速發(fā)展起來,一般企業(yè)公司都在工作區(qū)域安裝無線路由器等無線設備,方便公司員工及外來人員進入公司內部網(wǎng)絡或者互聯(lián)網(wǎng)。但由于無線密碼設置簡單,很容易被破譯?;ヂ?lián)網(wǎng)上的攻擊者可以通過破譯無線密碼,輕松進入到公司內部網(wǎng)絡,從而造成公司信息泄露。

5)移動終端安全隱患隨著3G時代的到來,公司企業(yè)員工使用移動設備連接公司網(wǎng)絡,因此由移動終端設備帶來的安全隱患也不可避免。對于企業(yè)IT部門而言,移動設備已成為網(wǎng)絡安全的一個致命弱點,因為通過電子郵件、彩信、藍牙等方式傳播的病毒很容易對企業(yè)內網(wǎng)安全造成危害。

3中小企業(yè)網(wǎng)絡信息安全解決策略研究

中小企業(yè)對信息安全的需求主要是保障公司網(wǎng)站穩(wěn)定運行、避免商業(yè)機密被竊取、企業(yè)信息被惡意篡改,因此網(wǎng)絡安全解決方案的可用性是中小企業(yè)首要考慮的問題,只有網(wǎng)絡安全設備正??捎?,才能保護企業(yè)網(wǎng)絡安全。其次,中小企業(yè)規(guī)模小,資金不足,網(wǎng)絡安全管理人才缺乏,安全解決方案的易用性也是企業(yè)必須考慮的因素,使用簡單有效的方法提高企業(yè)網(wǎng)絡安全,減少企業(yè)在資金、專業(yè)管理人才的投入同時又能保障公司網(wǎng)絡信息安全。移動互聯(lián)、大數(shù)據(jù)、云計算環(huán)境下,針對企業(yè)各類服務和后臺系統(tǒng)建議找專業(yè)網(wǎng)絡公司托管,這類公司有專業(yè)的網(wǎng)關、防火墻、入侵檢測系統(tǒng),能夠為企業(yè)各類服務提供安全保障,這樣中小企業(yè)也無需在花大量的資金自己購買這類安全設備、專業(yè)人員培訓等,大大減輕了公司服務器管理和維護壓力。針對目前存在的安全問題,給出以下安全策略:

1)加強企業(yè)員工網(wǎng)絡安全管理中小企業(yè)所有的系統(tǒng)口令包括員工設置登陸口令必須按照操作系統(tǒng)密碼復雜性要求設置,至少8位字符,其中要包括字母大寫、小寫、數(shù)字、特殊符號中三種情況以上,由企業(yè)系統(tǒng)管理員或者網(wǎng)絡管理員設置密碼失效時間,規(guī)定在一定時間內必須更新密碼,用簡單切實可行的方法建立第一道安全大門。

2)加強企業(yè)網(wǎng)絡入侵防范中小企業(yè)可以利用防火墻加強企業(yè)網(wǎng)絡入侵防范,實現(xiàn)企業(yè)內外網(wǎng)隔離,主要設置網(wǎng)絡邊界出口鏈路帶寬要求、數(shù)量等情況,IP地址規(guī)劃對防火墻地址轉換的需求。通過防火墻的認證機制,過濾訪問網(wǎng)絡數(shù)據(jù)。通過防火墻權限設置,嚴格審核外網(wǎng)用戶的非法登錄,定期查看防火墻日志文件,對有攻擊性的網(wǎng)絡訪問行為進行警告。

3)VPN策略一般公司都需要連接互聯(lián)網(wǎng),特別是針對太倉德資外企來說與德國總部公司通信安全性是非常重要的,可以采用SSLVPN策略。SSLVPN使用瀏覽器內建的安全通道封包處理功能,用瀏覽器連回公司內部SSLVPN服務器,然后透過網(wǎng)絡封包轉向的方式,讓使用者可以在遠程計算機執(zhí)行應用程序,讀取公司內部服務器數(shù)據(jù)。中小企業(yè)的遠程訪問環(huán)境變化較大,SSLVPN不需要安裝客戶端軟件遠程用戶,遠程用戶只需借助標準的瀏覽器連接Internet,即可訪問企業(yè)的網(wǎng)絡資源。企業(yè)可在較短時間內部署完SSLVPN,因此其部署和實施成本較低,其次SSLVPN還提高了平臺的靈活性方便擴展應用和增強性能,對中小企業(yè)而言可以降低使用成本,最有效地保護投資。

4)無線網(wǎng)絡安全策略對于中小企業(yè),建議選擇比較有安全保證的產品來部署網(wǎng)絡和設置適合的網(wǎng)絡結構是確保網(wǎng)絡安全的前提條件,同時還要做到如下幾點:修改設備的默認值,指定專用于無線網(wǎng)絡的IP協(xié)議;在AP上使用速度最快的、能夠支持的安全功能。在網(wǎng)絡上,針對全部用戶使用一致的授權規(guī)則,在不會被輕易損壞的位置部署硬件。正確全面使用WEP機制來實現(xiàn)保密目標與共享密鑰認證功能,通過在每幀中加入一個校驗和的做法來保證數(shù)據(jù)的完整性,防止有的攻擊在數(shù)據(jù)流中插入已知文本來試圖破解密鑰流。其次必須在每個客戶端和每個AP上實現(xiàn)WEP才能起作用,不使用預先定義的WEP密鑰,避免使用缺省選項。密鑰由用戶來設定,并且能夠經常更改,最后要使用最堅固的WEP版本,并與標準的最新更新版本保持同步。

5)移動終端安全策略為了避免移動終端攜帶病毒連接到企業(yè)內網(wǎng)中,確保移動終端如智能手機、ipad、移動筆記本安裝殺毒軟件、防火墻并定期對移動設備進行系統(tǒng)漏洞補丁和更新,定期掃描殺毒,特別不要隨意打開、下載不確定的郵件、鏈接和彩信,以免中木馬病毒。如果一旦中毒,應該立刻斷網(wǎng),進行殺毒或者更新系統(tǒng),以免木馬病毒通過無線網(wǎng)絡傳播企業(yè)內部網(wǎng)絡。

4結束語

通過深入太倉中小企業(yè)調研,了解企業(yè)的網(wǎng)絡信息安全現(xiàn)狀及存在問題,結合網(wǎng)絡信息安全建設方案,從物理安全、計算機硬件軟件安全、網(wǎng)絡體系結構安全、病毒防范、入侵檢查、防火墻配置、信息系統(tǒng)運行維護等方面給出切實可行的網(wǎng)絡信息安全建設方案,有針對性對太倉中小企業(yè)網(wǎng)絡信息安全建設策略研究。參考文獻:[1]馮運仿.基于防水墻系統(tǒng)的中小企業(yè)信息安全策略[J].安防科技,2006(9):57-58.

[2]周偉.電子商務信息安全技術淺議[J].農業(yè)網(wǎng)絡信息,2007(4):95-96.

[3]項菲,林山.中小企業(yè)信息安全策略研究[J].電腦知識與技術,2009(5):325-326.

[4]趙向梅,杜曉春,侯亞玲.中小企業(yè)網(wǎng)絡安全問題和策略研究[J].電子測試,2014(6):134-135.

[5]邵琳,劉源.淺談企業(yè)網(wǎng)絡安全問題及其對策[J].科技傳播,2010(10):207-208.

[6]王鋒.關于企業(yè)網(wǎng)絡安全問題的探討[J].電腦知識與技術,2010(19):207-208.

[7]劉建偉.企業(yè)網(wǎng)絡安全問題探討[J].甘肅科技,2006(5):62-63.

篇4

[關鍵詞]信貸保證保險;逆向選擇;道德風險;信用機制

中小企業(yè)融資難問題是制約中小企業(yè)發(fā)展的瓶頸,我國為解決該問題已從多方面著手,在一定程度上擴展了中小企業(yè)融資途徑。但這些措施還不能完全滿足中小企業(yè)發(fā)展的資金需求,所以適時推出中小企業(yè)信貸保證保險制度是極為必要的。該制度的建立具有重大的經濟效益及社會效益。

一、中小企業(yè)信貸保證保險的涵義

信貸保證保險是指以信用風險為保險標的的保險。它包括兩類保險:一類是狹義的保證保險,另一類是信用保險。它們的保險標的都是被保證人的信用風險,當被保證人未按照基礎合同約定履行義務,使權利人遭受經濟損失時,保險人負代為履行付款義務(給付保險賠償金)責任。凡被保證人根據(jù)權利人的要求,由保險人承擔自己(被保險人)信用的保險,屬狹義的保證保險;凡權利人要求保險人擔保對方(被保證人)信用的保險,屬信用保險,權利人即被保險人。

狹義的中小企業(yè)信貸保證保險的被保證人指的是中小企業(yè),它在保證保險中作為投保人,通常是保費的繳納者;受益人是債權人,在中小企業(yè)信貸保證保險中指向中小企業(yè)貸款的金融機構。信用保險的權利人指的是向中小企業(yè)貸款的金融機構,它是信用保險的投保人,通常是保費的繳納者,同時也是保險合同的受益人;被保險人是債務人,即中小企業(yè);保險責任是被保險人到期不能履行還本付息的風險。

二、建立中小企業(yè)信貸保證保險制度的意義

(一)增強中小企業(yè)信用等級,緩解中小企業(yè)資金需求

中小企業(yè)貸款難的原因之一是由于大型商業(yè)銀行對中小企業(yè)的還款能力存有疑慮,而中小企業(yè)又無充足的資產作為抵押。中小企業(yè)信貸保證保險制度的建立可以使中小企業(yè)信用等級得到升級,將有效地消除大銀行對中小企業(yè)還款能力的顧慮,當中小企業(yè)不能如期還本付息時,保險公司要按照保險合同約定履行替中小企業(yè)還本付息的責任,銀行也不會因此而遭受損失。因此,在具有中小企業(yè)貸款保險制度的情況下,中小企業(yè)將可以和其他大企業(yè)一樣從銀行獲得更多的貸款,以滿足自身發(fā)展的需求。

(二)降低信貸金融機構的風險,提高銀行資金收益率

近年來,我國商業(yè)銀行的存款總額在逐年擴大,而貸款總額相對縮小,存貸比自1995年首次突破“廣后,逐步放大。由此可以看出,我國的商業(yè)銀行存在著大量的剩余資金,銀行的資金利用率較低,不利于銀行本身的發(fā)展。但銀行在提高收益率的同時必須考慮資金的安全性,如只注重收益而忽略資金安全則有可能對銀行更加不利,所以銀行在資金運用上常常處于矛盾的境地。若中小企業(yè)信貸保證保險制度得以建立,則商業(yè)銀行可以在保險公司的參與下,將資金貸給中小企業(yè),既可以提高資金的收益率又可以保證資金的安全。

(三)拓寬保險業(yè)務,提高保險公司整體競爭力

保險公司承辦中小企業(yè)貸款保險業(yè)務,可以擴大保險公司的業(yè)務量,增強保險公司的競爭實力。自1980年我國恢復辦理國內保險業(yè)務以來,我國的保險業(yè)得到了迅速發(fā)展,截至2006年底,保險業(yè)總資產達1.9萬億元,但我國的保險深度與保險密度仍然很低,總體上來說,仍處于發(fā)展階段,競爭能力與發(fā)達國家相比還比較弱。加之我國加人WTO后,國外的保險公司不斷涌人,國外保險公司具有技術與資產等方面的優(yōu)勢,將給我國的民族保險業(yè)造成巨大的威脅。發(fā)展中小企業(yè)貸款保險業(yè)務,可以使我國的保險公司增加資金實力,提高整體競爭能力。

(四)促進金融深化與宏觀經濟的迅速發(fā)展

開展中小企業(yè)貸款保險業(yè)務,一方面可以使銀行、保險公司等金融部門之間相互配合,擴大自身業(yè)務,增加其資金實力,促進金融深化進程,增加金融部門對宏觀經濟的貢獻率;另一方面,該業(yè)務還可以解決生產部門,尤其對中小企業(yè)的資金短缺問題,促進中小企業(yè)等生產部門發(fā)展;最后,金融部門與生產部門的發(fā)展是相互促進的,其任何一方的發(fā)展都離不開對方的支持,它們的發(fā)展是互為因果、輪番促進的。開展中小企業(yè)貸款保險業(yè)務,可以為之創(chuàng)造出一種相互促進、相得益彰、和諧發(fā)展的大好局面。

三、中小企業(yè)信貸保證保險制度建立的可行性

(一)建立中小企業(yè)信貸保證保險制度符合國家扶持中小企業(yè)發(fā)展的政策

我國政府一直在積極為中小企業(yè)解決資金短缺難題,如創(chuàng)建中小企業(yè)板、設立擔保機構、進行銀行制度改革等,雖然有較大的財力投入,但效果不佳。推出中小企業(yè)信貸保證保險業(yè)務,符合國家扶持中小企業(yè)發(fā)展的政策要求,客觀上會得到政府的大力支持。因為,該業(yè)務屬于一種純商業(yè)行為,保險公司是以盈利為最終目的,無須政府太多投入。在這種情況下,保險公司實際上是為政府分擔了部分職責,政府再通過諸如稅收等優(yōu)惠政策予以扶持,就可以在不增加財政支出的基礎上緩解中小企業(yè)資金短缺這一棘手問題。

(二)建立中小企業(yè)信貸保證保險制度會得到信貸機構的支持

信貸風險是銀行等信貸金融機構面臨的重大風險之一,如違約數(shù)額較大,則會對其穩(wěn)定經營造成威脅。信貸金融機構可以通過避免、自留、轉移等多種方式進行風險管理。進行風險管理時,風險主體應根據(jù)自身抵抗風險的能力以及風險的大小來選擇防范風險的最佳方式。對于這樣重大的風險,風險轉移是銀行等信貸機構處理風險的最好選擇,而保險又是風險轉移中最完善、最合理的方式。因此,信貸保證保險制度的建立必將得到信貸機構的支持。

(三)建立中小企業(yè)信貸保證保險制度可以拓展保險公司業(yè)務,提高經濟效益

我國的保險業(yè)經過二十多年的迅猛發(fā)展,正在逐漸走向成熟,已在各種傳統(tǒng)險種以及近年來推出的汽車信貸保證保險、住房信貸保證保險、出口信貸保證保險等險種的經營方面取得了豐富的經驗。無論對標的風險的評估,對風險的技術處理,還是對風險的承保能力都已達到了一定的水平。另外,近年來我國的保險人才不斷涌現(xiàn),保險精算師的數(shù)額在逐年增加,為信貸保證保險條款的設計及保險費率的計算提供了人員上的保障。最后,通過開辦中小企業(yè)信貸保證保險業(yè)務能給各保險公司帶來經濟效益。

四、建立中小企業(yè)信貸保證保險制度可能存在的問題

建立中小企業(yè)信貸保證保險制度在中小企業(yè)、金融機構、保險公司三方“共贏”的同時,還會產生不少問題,其中最嚴重的問題是“逆選擇”與“道德風險”。

“逆選擇”是由于信息不對稱引起的。中小企業(yè)對自己的經營水平、還款能力有著充分的了解,而保險公司對各中小企業(yè)的具體情況沒有深入了解,常常處于信息不對稱狀態(tài)。在這種情況下,那些經營狀況好,還款能力強的企業(yè)不愿意投保,而那些經營狀況差,還款能力弱的企業(yè)則非常愿意投保,這最終將危及保險業(yè)的穩(wěn)定經營,更不利于信貸保證保險制度的實施。

“道德風險”則主要主要來自中小企業(yè)和銀行等信貸機構兩方面。對于中小企業(yè)而言,如果投保了信貸保證保險,往往會將資金運用到高風險的項目,如果投資成功則會給企業(yè)本身帶來巨大的投資回報,倘若投資失敗也會有保險公司為其償還貸款;對銀行等信貸機構而言,有了信貸保證保險往往會忽視債務人的信用等級,對于本不應貸款的客戶,大量放款,以追逐利潤的最大化。道德風險的存在給信貸保證保險制度的建立帶來了難度,應為此籌劃相應的策略,以化解這些負面因素的影響,充分發(fā)揮其積極作用。

五、建立我國中小企業(yè)信貸保證保險制度的總體思路

(一)合理選擇中小企業(yè)信貸保證保險制度建立的方式

建立我國中小企業(yè)信貸保證保險制度的方式大體有兩種模式:一是籌建新型的專業(yè)保險公司來承辦中小企業(yè)的信貸保證保險業(yè)務,出資形式可以由政府承擔或由某些大機構牽頭組建股份公司;二是由現(xiàn)有的優(yōu)質保險公司在原有基礎上開辦該種業(yè)務,由專門的下屬部門從事中小企業(yè)的信貸保證保險業(yè)務??紤]到我國的現(xiàn)狀,后一種形式應該更為合適。因為這樣不僅可以為國家節(jié)省財政資金,避免重復建設的問題,還可以增強我國現(xiàn)有公司的實力,樹立國家民族保險晶牌。綜上所述,建立我國中小企業(yè)信貸保證保險制度的最佳方式是利用現(xiàn)有的優(yōu)質保險公司,先開展試點業(yè)務,待機會成熟再全面放開。

(二)實行強制保險,差別費率,防止逆向選擇

為了避免出現(xiàn)“逆選擇”問題,我國應該對中小企業(yè)貸款采取強制性政策。如果實行自愿投保,那么銀行對于實力較強的中小企業(yè)貸款則不愿投保,而對實力較差的中小企業(yè)貸款卻非常愿意投保,這將不利于保險公司的長遠經營。鑒于此種情況,對于中小企業(yè)貸款應采取強制性的貸款保險。但采取強制性保險,采取相同費率,會產生對各個投保主體有失公平的問題。因為,保險公司在制定保險費率時,是根據(jù)投保者的風險等級進行計算的,對于違約風險較小的績優(yōu)公司的貸款,應實行較低的保險費率;而對于違約風險較大的績差公司的貸款,應實行較高的保險費率。所以,在實行強制保險,防范逆選擇的同時,還應對于不同的信貸主體實行差別費率,以保證公平合理。

(三)實行比例賠付、免賠額等措施,防止道德風險

信貸保證保險過程中,無論是信貸機構還是中小企業(yè)都會出于利潤最大化的動機,人為的增加貸款風險以及資金運用風險,產生道德風險。實行比例賠付、免賠額等措施是防范道德風險的有效方法。比例賠付是指在貸款發(fā)生損失時,保險公司只對貸款進行部分賠償,其余部分由中小企業(yè)和銀行承擔。實施比例賠付可以使中小企業(yè)和銀行等貸款機構在發(fā)生貸款損失時,承擔部分損失。所以,貸款機構在貸款時會非常謹慎,中小企業(yè)在利用資金時也會再三珍重,從而有效地防止道德風險。免賠額是指被保險人根據(jù)保險合同,在賠付之前,先要自己承擔的損失額度。其實施的意義有兩個:第一,免賠額可以大大減少保險公司的工作量,減少賠付率,提高其償付能力。第二,免賠額的實施,可以使信貸機構貸款后保持對貸款人的監(jiān)督,督促中小企業(yè)合理運用資金。由此看來,免賠額同樣可以抑制道德風險。

(四)實行再保險、共同保險方式分散風險

大額的信貸保證保險如果一旦債務人違約失信則會給保險公司的穩(wěn)定經營帶來巨大的影響,直接損害其它投保人的利益。因此,保險公司對于數(shù)額較大的信貸保證保險應采取合理的風險分散機制,以避免風險集中。具體方法有再保險和共同保險。再保險是指原保險人在與投保人簽訂保險合同后,與再保險人簽訂再保險合同,當貸款發(fā)生損失時,原保險人和再保險人按合同約定進行賠償。再保險使原保險人在不損失保險業(yè)務的情況下,分散了巨額風險,防止了風險集中,是原保險人經常采取的一種化解巨額風險的方式。共同保險是指由多家保險公司對同一巨額風險共同承保。共同保險同樣也可以做到使保險公司擴大承保能力,分散巨額風險的作用。

(五)完善損失補償機制

加強代位追償原則的實施,完善損失補償機制是促進中小企業(yè)信貸保證保險制度健康發(fā)展的重要保障。代位追償是指當債務人違約失信,保險公司代之向債權人履行了賠償義務之后,所取得的向債務人追償?shù)暮戏嘁妗1kU公司為了能有效地對債務人進行追償,可以建立自己的追償隊伍,或者委托專業(yè)追賬中介機構履行代位追償?shù)臋嗬?。在權利人的積極配合下,代位追償可以使保險公司的損失得到部分補償,降低信貸保證保險的經營成本。

篇5

文獻標識碼:A

文章編號:16723198(2015)12011602

1 中小型企業(yè)現(xiàn)在的會計信息化建設

中小型企業(yè)是我國企業(yè)的重要組成部分,他們對社會的貢獻很大,在社會中也占據(jù)著很重要的位置,信息技術的發(fā)展給中小型企業(yè)也帶來了不小的沖擊,為了適應這種變化以及提高企業(yè)的信息化水平,這其中的關鍵部分就是會計信息化,隨著信息技術和會計核算的不斷融合,使得中小型企業(yè)資金流通和其他方面之間的溝通更上一層樓,它們之間的高度協(xié)同使得會計核算也發(fā)生了非常深刻的變化。在發(fā)展融合的過程中隨著不同的需求,就會出現(xiàn)相應的不同的解決方案或者是各種模式,這些模式在一定程度上也限制了會計信息化的發(fā)展。在這個狀態(tài)下中小型企業(yè)會計信息化建設也出現(xiàn)了一些問題。

1.1 在宏觀環(huán)境條件下還不夠完善

第一,我們國家內的市場經濟秩序還不夠規(guī)范,與其配套的一些基礎設施例如寬帶,網(wǎng)絡等都沒有完善,缺少對衡量中小型企業(yè)會計信息化建設的標準以及配套的規(guī)劃方案,這就使得中小型企業(yè)不夠積極的投入到信息化的建設當中;第二,我國在這方面的相關法律還是不夠完善,存在著很多的漏洞,沒有法律的支持和保護,中小型企業(yè)雖然重視信息化建設但是沒有對信息化建設的戰(zhàn)略規(guī)劃;第三,到目前為止國家還沒有一套完整的針對中小型企業(yè)會計信息化的標準體系。

1.2 缺少針對中小型企業(yè)會計信息化的產品

其實在市場上針對中小型企業(yè)的專有信息化產品有很多,但是他們都是從自身產品性質或者是自身行業(yè)的特性所生產出來的,而沒有很好的與企業(yè)業(yè)務結合起來設計產品,對于中小型企業(yè)來說,他們的運營方式也是多種多樣,這樣就出現(xiàn)了供需的矛盾。

1.3 滯后的信息化觀念

許多中小型企業(yè)它的所有者和經營者都是一體的,也就是說在以盈利為目的的理念下,企業(yè)管理者會把工作重點放在生產,銷售和業(yè)務拓展這些方面,而忽視了財務管理的信息化。有些企業(yè)經營者雖然認識到信息化這個重要的機遇,但是對此認識存在著偏差,認為只要進行企業(yè)門戶網(wǎng)站建立,然后購買相關的軟件和硬件就可以了,更有企業(yè)花費很大的人力、物力、財力來建設門戶網(wǎng)站。這樣盲目的追隨,忽略了對信息技術的管理和自身內部業(yè)務的變革,這樣反而是對信息化的浪費。

1.4 資源有限

對于一個企業(yè)來說,要想實現(xiàn)企業(yè)的良好可持續(xù)發(fā)展,就要擁有相應的人力,財力、物力、信息等方面的資源。對于中小型企業(yè),它們的規(guī)模有限,對于融資的渠道也很狹窄,這就導致了它們缺乏人力和財力。對于發(fā)展中的中小型企業(yè)來說這更是重中之重。

2 會計云計算及其優(yōu)勢

2.1 云計算

“從狹義的角度來說,狹義云計算是指IT基礎設施的交付和使用模式,指通過網(wǎng)絡以按需、易擴展的方式獲得所需資源。從廣義的角度來說,廣義云計算也是指通過網(wǎng)絡以按需、易擴展的方式獲得所需服務,但是這種服務不僅僅是IT基礎設施,還可以是其他的服務。它意味著計算能力也可以作為一種商品通過互聯(lián)網(wǎng)進行流通。云計算從開始出現(xiàn)到現(xiàn)在經歷了五個階段,這五個階段都是在慢慢的完善云計算,使它更加能適應社會發(fā)展需求。它的工作原理就是服務商在一個資源池里提供IT資源,然后用戶再通過互聯(lián)網(wǎng)來在資源池里找到自己所需要的服務。云計算服務系統(tǒng)主要靠三層架構,它們分別是IaaS、PaaS、SaaS,也就是基礎設施即服務、平臺即服務、軟件即服務。這三者之間相輔相成,緊密相連。

2.2 會計云計算的優(yōu)勢

(1)降低了中小型企業(yè)信息化的成本。

在中小型企業(yè)中有些企業(yè)的信息化程度不高,他們所采用的服務器規(guī)模也不是很大,但是運行卻很慢,整體的質量也不是很高。企業(yè)的信息化領域不是很大,它有一定的局限性,只是在財務、銷售等領域來運行,這樣來保障企業(yè)的信息化管理。隨著會計云計算的出現(xiàn),企業(yè)再也不用對服務器和信息處理進行較大的投資,可以通過向供應商租賃軟件和硬件來實現(xiàn)企業(yè)的信息化,這樣就會降低企業(yè)的經營成本。還有就是以前企業(yè)對于維護服務器和升級軟件也要投入一定的資金,但現(xiàn)在有了云計算之后,這一部分的開支就可以省下來了。整個下來就降低了企業(yè)對信息化處理的成本了。

(2)中小型企業(yè)會計信息化拓展得到了保障。

既然供應商為企業(yè)提供了最適應于企業(yè)的信息處理軟件,供應商就會不斷的更新這些軟件,使得軟件能夠提供更多、更優(yōu)質的服務。對于企業(yè)來說,通過軟件的更新獲得最先進的信息管理技術,最大程度上自身對信息的需求,并且也降低了會計信息化建設當中的風險。利用會計云計算技術還可以與其他相關的部門或者是企業(yè)共享財務信息,會計信息也得到了擴展。

3 云環(huán)境下的信息安全

3.1 設置訪問認證

供應商為企業(yè)提供的軟件服務基本上都是統(tǒng)一認證的,這對企業(yè)來說就是不安全的,所以服務商應該將中小型企業(yè)的部門人員進行信息和登錄信息的編組,并且存儲在服務商的內部資料當中,這樣就形成了該企業(yè)的訪客信息數(shù)據(jù)庫,當有用戶登陸的時候服務商就對訪客進行信息核對并進行認證,通過的訪客就可以查看對應于自己權限的財務情況。

3.2 數(shù)據(jù)安全傳送

現(xiàn)如今數(shù)據(jù)的傳輸過程不是不安全的,一些黑客通過網(wǎng)絡竊取所需要的企業(yè)財務信息或者是商業(yè)信息,有些還會篡改財務數(shù)據(jù)等等,中小型企業(yè)應該把云端的SQL數(shù)據(jù)庫進行加密,或者是開辟一條專用的網(wǎng)絡傳輸通道,前者可以使得被盜信息在讀取的時候不夠完整,后者可以使信息在傳輸?shù)倪^程中丟失的幾率降低。

3.3 保持網(wǎng)絡穩(wěn)定

會計的核算是連續(xù)性的,這樣就要保證網(wǎng)絡傳輸?shù)乃俣群唾|量。云服務器以及數(shù)據(jù)庫中的數(shù)據(jù)在傳輸當中不能出現(xiàn)擁堵或者是丟包的現(xiàn)象,丟包就會使得數(shù)據(jù)不完整,影響到企業(yè)的整個財務鏈。在此同時還要對斷電事故有應急預案。

3.4 保證商業(yè)秘密的安全

一個企業(yè)的商業(yè)秘密被泄漏,會對這個企業(yè)造成不同程度的損害。一旦云端數(shù)據(jù)中心存儲的核心財務數(shù)據(jù)被泄露或盜取,就會牽連到中小型企業(yè)的發(fā)展,有些甚至會對其生存產生巨大的影響。因此,中小型企業(yè)要有效的降低這種風險,保留一部分級別高的數(shù)據(jù)掌握在自身手里。與此同時還應該建立動態(tài)商業(yè)機密監(jiān)控機制,規(guī)范訪問流程,建立起應對泄密事件發(fā)生時的反應機制。

篇6

關鍵詞:全球眼技術 中小企業(yè) 安防信息化管理 應用

中圖分類號:C931.6

1全球眼技術在中小企業(yè)安防信息化管理中應用的局限性

中小企業(yè)安防信息化管理應用全球眼技術,主要包括有高中端的家庭住宅、寫字樓、商店以及病房等,它們通過利用全球眼技術,實現(xiàn)現(xiàn)場輔助、安防報警以及視頻監(jiān)控等功能。在使用中,主要存在著以下幾點局限性。

1.1全球眼的安防報警功能不夠完善

就目前來說,全球眼技術的安防報警功能還不夠完善。在其網(wǎng)絡視頻監(jiān)控系統(tǒng)中,報警終端接入方式主要采取以下兩種方法。

第一,利用電纜,實現(xiàn)對硬盤錄像機、視頻服務器(DVS)或者IP Camera的告警輸入接口與報警探測器的連接。當告警輸入接口電平出現(xiàn)高低變化時,前端的DVS或者IP Camera就會觸發(fā)告警,由于已有既定的通信協(xié)議,告警就可以上報至“全球眼”網(wǎng)絡監(jiān)控平臺。

第二,由安防報警主機管理報警探測器,通過利用無線或者有線,實現(xiàn)安防主機和報警探測器的連接,其中,對于接入的探測器,安防主機不僅可以進行防區(qū)設定,還可以布置或者撤銷安防管理,通過串口電纜,安防主機就能連接到IP Camera或者DVS。同時IP Camera或DVS對報警探測器的告警觸發(fā)進行甄別,并且通過既有協(xié)議,將告警信息上報平臺。

然而,這兩種報警方法均存在著局限性。當某一地點發(fā)生報警情況時,由于告警傳遞到平臺上的信息量不夠充足,因此系統(tǒng)對防區(qū)的信息、告警類型等無法正常識別,對前端安防設備的運行狀況也不能進行監(jiān)控,做不到精確監(jiān)控防區(qū)的位置,而只能確定發(fā)生報警的IP Camera或者DVS。由于存在著這樣的局限,當某一地點發(fā)生報警后,工作人員首先需要對監(jiān)控所在的位置資料進行查看,然后再結合位置的實際情況,做出對警情處理辦法的決策,這個過程使工作人員不能及時處理報警事件;同時,由于單向地傳輸報警信息,因此前端報警終端的監(jiān)控工作就無法順利進行,前端報警終端的布、撤防工作也實現(xiàn)不了客戶端遠程作業(yè)與遠程管理;除此之外,如果需要詳細了解用戶前端安防主機的報警信息,還需要電話的幫助,因此全球眼平臺無法實現(xiàn)聯(lián)網(wǎng)上報。而電話、視頻監(jiān)控等等多種安防系統(tǒng)的同時使用,給用戶造成了很多麻煩。

1.2全球眼現(xiàn)有的功能沒有密切結合中小企業(yè)的需要

從中小企業(yè)的角度來說,他們希望實現(xiàn)安防報警以及視頻監(jiān)控在同一界面上進行操作的可能,這樣,可以對生產情況以及營運情況實現(xiàn)動態(tài)化的了解,例如員工的出勤率、商鋪的客流量等等,遠程監(jiān)控為他們節(jié)省了大量的時間和精力。但是,從全球眼的目前技術上來看,其主要負責實現(xiàn)的是視頻監(jiān)控功能,而且用戶一定要保證IP Camera與DVS的捆綁使用,而不能私自進行安防系統(tǒng)功能組合。由于每個用戶的需求不同,這種強制性組合安裝大大降低了全球眼的吸引力,縮小了全球眼業(yè)務拓展的機會。其次,在發(fā)生報警時,告警通知的手段比較少,報警信息量不夠大,而且單一;當告警信號上報到網(wǎng)絡視頻服務器時,需要用戶在互聯(lián)網(wǎng)上,否則無法及時發(fā)現(xiàn)警情,客戶也只能了解些許報警信息,因為平臺只是記錄報警以及報警時間而已,其他更詳細的的信息則無法提供。

1.3全球眼軟件技術層面存在著不足

中小企業(yè)選擇使用全球眼監(jiān)控,首先,在客戶端上,需要用戶安裝全球眼技術專用的客戶端軟件,其操作系統(tǒng)也會有相應的限制。其次,在客戶端結構上,采取的是C/S(客戶機/服務器)結構。當全球眼系統(tǒng)的軟件要進行升級時,每一個用戶、每一臺機器都需要重新安裝新的升級軟件。然而,由于在實際的使用中,存在著用戶移動辦公或者分布式辦公的現(xiàn)象,因此C/S服務機制會讓監(jiān)控操作程序變得更加繁瑣。在監(jiān)控設備較少或監(jiān)控點較少的用戶上,例如家庭用戶、商店或者其他中小企業(yè),由于采用C/S模式,在安裝上,工作量非常大;在成本上,所需的維護成本以及升級成本都非常高,大大制約了全球眼業(yè)務在市場的擴展。

2如何推進全球眼技術在中小企業(yè)安防信息化管理中的應用

2.1改進全球眼技術的視頻前端

視頻前端由IP Camera或者模擬攝像機以及DVS組成,負責實現(xiàn)監(jiān)控的音頻、視頻信息數(shù)據(jù)的采集、編碼、存儲、傳送等一系列流程功能,同時,來自平臺的控制指令可以在視頻前端實現(xiàn)作用。從而通過全球眼這一平臺,實現(xiàn)對網(wǎng)絡視頻的監(jiān)控。

2.2完善安防報警主機

利用IP網(wǎng)絡,就可以實現(xiàn)安防報警主機與全球眼平臺的連接。網(wǎng)絡型安防報警主機下掛各種種類的探測器,以對監(jiān)控現(xiàn)場的周圍環(huán)境信息進行采集。要監(jiān)測現(xiàn)場是否存在著火災安全隱患時,可以通過煙感探測器;監(jiān)測現(xiàn)場是否有人員出現(xiàn)時,可以選擇紅外傳感器等等。網(wǎng)絡型安防報警系統(tǒng)通過各種類型傳感器的幫助,實現(xiàn)了對現(xiàn)場信息的探測、采集,并把采集而來的信息封裝成IP數(shù)據(jù)包,再傳輸?shù)街行钠脚_。

2.3加強對中心平臺的管理功能

利用全球眼現(xiàn)有的監(jiān)控平臺而開發(fā)的中心平臺,是整個系統(tǒng)的信息控制中心。這個中心平臺一方面對全球眼的告警聯(lián)動、使用者權限以及接入終端進行統(tǒng)一的監(jiān)控和管理,另一方面,在增設報警管理服務器的前提下,實現(xiàn)對告警聯(lián)動、聯(lián)動預案的管理功能,同時指令報警管理服務器,及時、正確地處理安防主機上報的告警信息。

2.4客戶端支持多種架構

傳統(tǒng)的全球眼客戶端只支持C/S結構,改造后還應該能支持B/S架構。這樣,客戶端的限制度下降,用戶就可以利用互聯(lián)網(wǎng),登錄全球眼平臺,遠程控制視頻前端,同時還可以實現(xiàn)查閱告警記錄、瀏覽實時視頻、回放監(jiān)控錄像以及設置報警聯(lián)動等等功能。

2.5拓寬安防報警的應用范圍

由于網(wǎng)絡型報警主機具有攜帶告警信息和全雙工通信等功能,因此,可以根據(jù)此優(yōu)勢,把安防報警的應用范圍擴大到生產管理、經營管理等方面。例如,中國電信可以根據(jù)全球眼用戶的需求,在安防報警功能的基礎上,增加統(tǒng)計客流量、管理人工考勤等功能,從而提高全球眼產品在中小企業(yè)安防信息化管理市場上的競爭力。

結束語

盡管全球眼技術在中小企業(yè)安防信息化管理的應用中,存在著一些技術上的局限,然而其工作仍然是具有一定的實效性、科學性以及高效性。相信隨著科學的進步以及計算機技術的發(fā)展,全球眼技術一定能結合用戶的需求,做出改變,完善自我,從而促進中小企業(yè)安防信息化管理的發(fā)展,使之躍上一個新臺階。

參考文獻:

[1]許冬琦.智能全球眼走向高清化、智能化,2015年有望全國聯(lián)網(wǎng)[J].通信世界,2012(47)

篇7

一、問題的提出及文獻綜述

隨著我國中小企業(yè)開始實現(xiàn)信息化管理,運用信息管理系統(tǒng)來對企業(yè)生產進行管理,一方面,提高了企業(yè)管理的效率和科學性,使企業(yè)的生產、存儲、財務、成本、控制都得到了大幅度的改善;而另一方面,在實際的運行中不可避免的引發(fā)各種問題,其中包括信息安全性的問題,即存儲在計算機或在傳輸中的文件和數(shù)據(jù)遭受到破壞和濫用,而且這種活動對企業(yè)的影響非常嚴重,例如:電子商務公司,如果網(wǎng)站出現(xiàn)故障,每天的損失會高達數(shù)額人民幣,所以如何保障信息系統(tǒng)的安全,使其得到安全的控制,對于企業(yè)來說已經變的非常重要。目前,在我國的中小企業(yè)信息管理系統(tǒng)內部構建中,經??梢园l(fā)現(xiàn)由于制度和管理中的疏忽、松懈以及信息系統(tǒng)的監(jiān)管不到位,所出現(xiàn)數(shù)據(jù)的丟失或者數(shù)據(jù)的信息反應遲鈍,不能使管理者及時得到有效的信息,使其信息系統(tǒng)的發(fā)揮起不到其最佳的效果,因此如何保障中小企業(yè)信息系統(tǒng)安全,加強中小企業(yè)信息的測控是非常必要的。

在目前關于中小企業(yè)的信息系統(tǒng)安全與效率方面的文章主要是集中在如何構建中小企業(yè)信息系統(tǒng)方面,涉及到中小企業(yè)信息管理制度這方面很少。如:楊斌、費同林(2002),趙宏中(2005),劉仁勇,王衛(wèi)平(2007),在企業(yè)管理信息系統(tǒng)建設方面提到了制度設計方面,但是沒有把其作為一個研究重點,其他一些相似的文獻基本是從技術角度探討。從中小企業(yè)實際的成本收益考慮,一般來說,由于運用的相應技術不是很高,基本都是基礎的軟件系統(tǒng),所以有必要對中小企業(yè)面臨的制度方面進行詳細的分析。

二、中小型企業(yè)信息系統(tǒng)制度方面分析

首先,根據(jù)Laudon對企業(yè)信息系統(tǒng)面臨威脅,按照來源分為六類:硬件故障、軟件故障、人為因素、數(shù)據(jù)、服務及設備被偷盜,這些都是中小企業(yè)面臨的問題,但Laudon從單個信息系統(tǒng)的角度進行分析,卻沒有把企業(yè)的信息管理系統(tǒng)管理制度考慮進去,在我國中小企業(yè)的信息系統(tǒng)建設上許多企業(yè)盡管設置了制度,但很大程度上都是形同虛設或者是制度管理存在缺失,容易導致中小企業(yè)信息系統(tǒng)實際操作上面臨效率和安全的問題,下面具體從制度方面進行分析:

在中小型企業(yè)中,存在著正式制度與非正式制度,正式制度是人們有意識建立起來的并以正式方式加以確定的各種制度安排,主要包括法律制度、企業(yè)制度安排等;非正式制度,是人們在長期的社會生活中逐步形成的習慣習俗、文化傳統(tǒng)、價值觀念,是形態(tài)等對人們行為產生非正式約束的規(guī)則,是那些對人們行為的不成文的限制。

(一)正式制度的分析

在中小企業(yè)中,正式的制度包括國家信息系統(tǒng)法律的規(guī)定和企業(yè)的信息管理制度方面,根據(jù)我國1994年通過的《中華人民共和國計算機信息系統(tǒng)安全保護條例》,也只是從信息交換角度來保護整個信息系統(tǒng)的安全,對于企業(yè)自身的信息系統(tǒng)安全只是規(guī)定各企業(yè)根據(jù)自身情況自行制定,并沒有對企業(yè)的實際業(yè)務中發(fā)生的關于信息系統(tǒng)自身安全進行風險標準規(guī)定,也沒有一套正確引導進行風險防范的標準規(guī)定,所以中小企業(yè)的法規(guī)建立基本都是從企業(yè)各自實際出發(fā),所以各企業(yè)的標準不一,導致安全隱患存在比較大。

從企業(yè)自己建立的信息管理制度來說,一般大型企業(yè)有明確的規(guī)定制度,包括維護、人員素質等方面都有明確的規(guī)定,在一定程度上能有效防范信息系統(tǒng)存在的安全隱患,并能夠及時有效的進行相應信息的反饋,對企業(yè)的信息安全與企業(yè)效率能起到積極的作用。但對于中小企業(yè)來說,由于企業(yè)自身比較小,相應的信息管理系統(tǒng)人員比較缺乏,其維護也是誰操作誰負責,這樣只能根據(jù)各企業(yè)自身人員的情況來確定其系統(tǒng)的安全程度,其次在效率方面,由于人員缺乏以及其計算機操作應用存在的不規(guī)范,信息交換、反饋也相對比較落后,或者根本起不到效率作用。

再次中小企業(yè)雖然有一定的信息管理制度規(guī)范,卻由于監(jiān)管不到位,主要是由于中小企業(yè)的機構比較小,維護人員、計算機使用都是由使用人員一人來完成,所以容易導致即使有制度,也難以執(zhí)行,這也是制約中小企業(yè)信息系統(tǒng)的數(shù)據(jù)安全的主要原因。

(二)非正式制度的分析

在非正式制度中,意識形態(tài)處于核心地位,它不僅蘊含價值關鍵、倫理規(guī)范、道德觀念和風俗習性,而且在形式上構成某種非正式制度的“先驗”模式。所以從這個角度上來說,公司員工的思想和過去的傳統(tǒng)操作方法在一定程度上影響企業(yè)的信息管理系統(tǒng)運行效果。

在中小企業(yè)的管理信息系統(tǒng)中,由于員工的意識不強,對于信息系統(tǒng)的維護、使用存在一定的松懈,信息操作員經常在值班時沒有定期維護計算機及信息管理系統(tǒng),只是在當其產生問題時才處理,這樣很容易導致企業(yè)數(shù)據(jù)損失,如果信息備份不完全的話,可能由于人為操作或者計算機病毒的侵入會造成整個系統(tǒng)數(shù)據(jù)損失。

在這里非正式制度方面主要是指員工以往的舊做法對中小企業(yè)的信息系統(tǒng)安全的影響,對信息反饋報告在效率方面也會產生一定的負面作用,主要原因是領導層的要求不嚴格,操作人員的報告提交不及時等因素所致,因此非正式制度因素對中小企業(yè)信息管理系統(tǒng)影響也是非常大的。

三、加強信息管理系統(tǒng)管理制度建設的對策

在加強制度建設中,主要從國家信息系統(tǒng)的法律制度建設、企業(yè)信息制度的設置與執(zhí)行,再次就是信息系統(tǒng)中操作人員與管理人員意識的改變三個層次來考慮。

(一)首先在我國信息管理系統(tǒng)的法律規(guī)范中,不僅應該對信息交換中安全問題進行規(guī)范,而且規(guī)定信息系統(tǒng)使用公司對其管理系統(tǒng)的安全達到安全的最低標準,這個標準是指從各因素方面來確定信息管理系統(tǒng)的一個安全性的最低標準值,不僅能夠使信息安全從法律依據(jù)上得到一個基本的系統(tǒng)安全標準,而且也能對公司信息管理系統(tǒng)起到強制規(guī)范性的作用。

(二)在制度設定層面,加強中小企業(yè)信息系統(tǒng)安全管理制度的健全及制度化,也是保障中小企業(yè)信息系統(tǒng)安全極為重要的一個方面。在信息系統(tǒng)運行過程中,信息系統(tǒng)管理部門應制定嚴格的服務器日常維護、巡視和記錄制度、客戶機維護、操作制度、用戶管理制度、人員培訓制度等等,并嚴格按照制度實施獎懲,從而從企業(yè)內部制度上認識到信息管理系統(tǒng)安全的重要性。

(三)培養(yǎng)與使用企業(yè)信息化是一項復雜的系統(tǒng)工程,除了領導層要高度重視外,設立一個既懂信息系統(tǒng)、又懂業(yè)務流程的復合型信息主管職位,也是非常關鍵的。在國外大學、大企業(yè)的CIO(首席信息主管),相當于企業(yè)級的領導,直接參與企業(yè)的重大問題決策。一個合格CIO,既能充分調動網(wǎng)絡技術人員的積極性,又能把握企業(yè)信息化發(fā)展全局,并能隨時為領導提供參考意見,起到了很好的監(jiān)督作用,并對公司信息管理信息系統(tǒng)制度改善、監(jiān)督、反饋上能起到重要的作用,中小企業(yè)中也設立這樣一個職位,從而使信息化系統(tǒng)成為企業(yè)運行中的一個非常重要的部分。

(四)加強信息系統(tǒng)人員的培訓,使其對計算機信息系統(tǒng)的操作、安全等方面了解能夠熟練的掌握。信息系統(tǒng)人員包括操作人員以及維護人員,定期對信息系統(tǒng)人員進行培訓,不僅有助于了解信息系統(tǒng)的最新發(fā)展,而且能夠使其從意識中不斷了解到信息系統(tǒng)安全的重要性,使其操作、維護的規(guī)范化不斷得到改善,從而減少由于非制度性因素所產生的信息系統(tǒng)安全問題。

四、結論

在中小企業(yè)信息管理系統(tǒng)中,很大問題是由于中小企業(yè)的制度方面造成的,所以在企業(yè)內部加強其監(jiān)管,使中小企業(yè)的信息管理制度得到很好執(zhí)行是非常必要的,其次就是加強員工的素質培養(yǎng),使其能夠具有很好的業(yè)務水平,使信息管理系統(tǒng)得到很好的運行,并能夠使管理層及時了解到企業(yè)的信息,保證企業(yè)的順利運行;最后完善國家信息管理系統(tǒng)法律,是保證企業(yè)信息制度建立的重要標準,使中小企業(yè)達到基本的信息系統(tǒng)風險管理水平,從而從制度上使其信息管理系統(tǒng)得到很好的保護。

參考文獻

[1]KennethC.LaudonJaneP.Laudon.管理信息系統(tǒng)-管理數(shù)字化公司(第8版)[M]北京:清華大學出版社,2005年:501-538

[2]王霞,張永,彭智才,如何保障中小企業(yè)信息系統(tǒng)安全[J],資源方法,2004(9):54-55

[3]劉仁勇,王衛(wèi)平,企業(yè)信息安全管理研究[J].學術研究,2007(6):113-115

篇8

馬良 哈爾濱電站集團

摘要:信息化建設是企業(yè)打造發(fā)展?jié)摿?,營造核心競爭力的重要手段,特別在知識和網(wǎng)絡時代更是要把握信息化建設的方向,在

加速企業(yè)信息化建設的同時,要注意信息安全的保障工作,形成企業(yè)信息化建設進程和建設成果的基礎。本研究立足于企業(yè)信息化建

設的實踐與理論研究工作實際,分析了建設和實現(xiàn)企業(yè)信息化的過程中來自于內部的因素和外部的制約,對企業(yè)信息化建設實現(xiàn)提供

了意識、管理、軟件等方面的措施,并展開了相關論述。

關鍵詞:企業(yè)信息化;信息安全;內部因素;外部制約;管理

前言

企業(yè)信息化建設是促進企業(yè)現(xiàn)代化和加速發(fā)展的必然途徑,

當前,企業(yè)信息化建設已經成為企業(yè)建設的重要組成和關鍵內

容,通過企業(yè)信息化建設,企業(yè)的生產和流通可以迅速地提升,

在互聯(lián)互通的基礎上,形成現(xiàn)代企業(yè)的模式和發(fā)展途徑。當前企

業(yè)信息化建設中受到了來自內部認知、操作、系統(tǒng)和管理方面等

因素的影響,以及來自于外部網(wǎng)絡、病毒、黑客的侵入,出現(xiàn)較

為嚴重的企業(yè)信息安全問題,不但不利于企業(yè)信息化建設的進

而,而且會給企業(yè)信息安全、管理活動和生產活動帶來負面影響。

應該從認知上對企業(yè)信息化建設工作加強重視,形成適于企業(yè)信

息化建設的管理體系和措施,加速企業(yè)信息安全軟件的發(fā)展和應

用,真正形成對企業(yè)信息化建設過程中安全問題的強化,更好地

服務于企業(yè)發(fā)展和穩(wěn)定。

1.企業(yè)信息化建設的價值

企業(yè)信息化建設具有經濟價值,通過信息化企業(yè)的生產效率

得到提高,特別在提升企業(yè)生產力水平的方面信息化有著特殊的

積極意義,形成了為企業(yè)擴大經濟優(yōu)勢和競爭有事的有力武器。

企業(yè)信息化建設具有管理價值,通過信息化企業(yè)的管理變得更加

具有針對性和效率,使管理工作更加適合企業(yè)發(fā)展和時代進步的

需要。企業(yè)信息化建設具有社會價值,通過信息化企業(yè)的建設,

整個社會的信息化水平和科技水平得以迅速提升,在實踐和諧社

會的創(chuàng)建中起到了核心的地位和價值。

2.企業(yè)信息化建設中安全問題的具體分析

建設企業(yè)信息化是當前社會和企業(yè)的綜合性目標,企業(yè)信息

化建設過程中會受到各方面影響,進而會產生安全方面的問題,

不但會降低企業(yè)信息化建設的質量和速度,更會形成企業(yè)信息化

的安全制約,導致企業(yè)和社會發(fā)展受到強烈的限制,因此,在企

業(yè)信息化建設中要高度重視安全方面的問題,應該從安全問題的

產生分析入手,實現(xiàn)對企業(yè)信息化安全的有效控制。

2.1 企業(yè)信息化建設安全問題的內部因素

一是,企業(yè)的整體上存在對安全問題的意識認識不足的問

題,特別對于企業(yè)信息化建設的價值沒有一個高度重視的態(tài)度,

由于沒有看清企業(yè)信息化的優(yōu)勢,導致企業(yè)信息化的安全方面存

在著忽視的問題。二是,信息化軟件建設存在問題,當前適于企

業(yè)信息化建設的軟件數(shù)量上和質量上都存在著不足,特別是距國

外先進軟件還有范圍和水平上的很大差距,這使得企業(yè)信息化軟

件容易受到病毒和黑客的侵擾,最終會出現(xiàn)軟件的種種問題,進

而影響企業(yè)信息化建設的安全[1]。三是,企業(yè)信息化操作出現(xiàn)問

題,由于企業(yè)信息化屬于一個嶄新的概念,因此,容易出現(xiàn)操作

人員數(shù)量不足或操作水平不高,這會影響企業(yè)信息化操作出現(xiàn)種

種問題,直接或間接地對企業(yè)信息化產生安全方面的影響。四是,

企業(yè)信息化管理存在的問題,安全管理是企業(yè)信息化的基本保

障,但是,由于企業(yè)信息化過程時間不長,出現(xiàn)企業(yè)信息化管理

人才上的不足和欠缺,對于企業(yè)信息化安全形成直接的重大影

響。五是,企業(yè)信息化建設的法律和規(guī)范尚不健全和完整,很多

規(guī)范屬于范圍性規(guī)范,導致其難于形成對細節(jié)的控制和約束,不

能發(fā)揮法律和規(guī)范對企業(yè)信息化建設實際的指導作用,特別對于

信息安全的相關規(guī)定更是少之又少,最終導致企業(yè)信息化建設不

能夠得到法律的保證,嚴重影響了企業(yè)進行信息化建設的積極

性。

2.2 企業(yè)信息化建設安全問題的外部制約因素

外部對于企業(yè)信息化建設安全的制約來足浴各方面,當前越

來越多的不法分子看到了企業(yè)信息資源的潛在價值,利用各種非

法措施和違法手段入侵企業(yè)信息系統(tǒng),竊取企業(yè)重要的信息和數(shù)

據(jù),進而達到非法獲取不當利益的目的,這對企業(yè)信息化建設帶

來嚴重的安全問題。此外,來自同行企業(yè)的非法入侵也會引起企

業(yè)信息化建設安全問題,這會形成對企業(yè)競爭上和策略上的傷

害,進而失去企業(yè)發(fā)展和壯大的基礎。

3.企業(yè)信息化建設中實現(xiàn)信息安全的措施

3.1 樹立企業(yè)正確的安全意識

新時期企業(yè)要認識到如果企業(yè)機密被泄漏,那么對企業(yè)所造

成的打擊是非常巨大的,同時也給競爭對手創(chuàng)造了有利的機會。

因此樹立正確的安全意識對于企業(yè)是非常重要的,這樣才能為后

面的工作打下良好的基礎。

3.2 選擇安全性能高的企業(yè)信息軟件

企業(yè)在選擇安全軟件時應盡量選擇安全性能高的,不要為節(jié)

省企業(yè)開支而選擇性能差的防護軟件,如果出現(xiàn)問題其造成的損

失價值會遠遠的大于軟件價格。

3.3 加強企業(yè)的管理工作

針對信息安全的種類和等級制定出行之有效的方案,并提前

制定出如果發(fā)生了特定的信息安全事故企業(yè)應采取哪種應對方

案。當企業(yè)信息安全危機發(fā)生時,企業(yè)應快速成立處理小組,根

據(jù)信息安全危機的處理步驟和管理預案,做好危機處理工作,避

免出現(xiàn)由于不當處置而導致的連鎖危機的發(fā)生。另外,還應在企

業(yè)內部做好信息安全的培訓和教育工作,提高工作人員對安全危

機事件的處理能力。

結語

總而言之,企業(yè)信息化建設是企業(yè)的重要基礎建設項目,與

其他建設工程具有較大差異的是,企業(yè)信息化建設更加注重安

全,只有堅持安全為中心,形成安全的保障體系,以行之有效的

預防性措施和管理手段達到對企業(yè)信息化建設的安全。本文在最

后要重點強調,當前的企業(yè)應該在戰(zhàn)略制定、方案選擇、安全行

為控制的方面入手,實現(xiàn)企業(yè)信息化建設的系統(tǒng)化和整體性,這

樣才能實現(xiàn)企業(yè)信息化的價值,為穩(wěn)定、健康、高效、安全的企

業(yè)運行打好基礎。

參考文獻:

[1]張耀輝.關于企業(yè)信息化建設中的信息安全探討[J].電子技

術與軟件工程,2013(14):128.

[2]秦海峰.企業(yè)信息化建設中信息安全問題的分析研究[J].中

國信息界,2012(05):46-47.

[3]成楊,金敏力.中小企業(yè)信息化建設存在的問題及對策研究

[J].辦公自動化,2007(10):69-70.

[4]朱澤民,陳琛.中小企業(yè)信息化建設模式的分析與比較[J].企

業(yè)技術開發(fā),2008(01):58-60.

作者簡介:

馬良,男,1982年5月1日,漢,籍貫:哈爾濱,本科,畢業(yè)

篇9

關鍵詞 信息安全事故;安全管理;事故致因理論

中圖分類號 F49

文獻標識碼 A

文章編號 1006-5024(2013)01-0055-04

一、引言

在信息化浪潮席卷全球的今天,信息的重要性不言而喻。我國國民經濟和社會信息化建設進程全面加快,網(wǎng)絡與信息系統(tǒng)的基礎性、全局性作用日益增強,信息技術在提高企業(yè)服務水平、促進業(yè)務創(chuàng)新、提升核心競爭力等方面發(fā)揮了重要作用。但是,在進行信息化建設的同時,各種信息安全事故卻頻繁發(fā)生。據(jù)普華永道2010年度全球信息安全調查報告顯示,中國企業(yè)信息安全事故發(fā)生率遠遠高于世界平均水平。網(wǎng)絡事故、數(shù)據(jù)事故及系統(tǒng)事故是中國企業(yè)常見的三大信息安全事故,發(fā)生率分別為51%、45%和40%,而相同事故在全球范圍內的發(fā)生率則為25%、27%與23%。

大量文獻和事實表明,信息的特殊性決定了信息安全事故的高發(fā)性。信息具有易傳播、易擴散、易毀損的特點,信息資產比傳統(tǒng)的實物資產更加脆弱,而其運作的風險、收益和機會卻比實物資產大得多。企業(yè)對信息系統(tǒng)不斷增強的依賴性也增大了重要信息受到嚴重侵擾和破壞的風險,而這些風險常導致企業(yè)資產受損或業(yè)務中斷。

目前,對于信息安全的研究大多集中于技術層面,從早期的加密技術、數(shù)據(jù)備份、防病毒到近期網(wǎng)絡環(huán)境下的防火墻、入侵檢測、身份認證等,而從管理方面和流程優(yōu)化方面研究的較少。Ross Anderson(2001)認為,信息安全的經濟管理研究在某種程度上比技術研究更為重要。傅毓敏(2010)認為,中國企業(yè)對信息安全管理人員和流程的重視不足是導致相關安全事故率居高不下的主要原因。因此,有必要系統(tǒng)分析企業(yè)信息安全事故發(fā)生的機理,以管理因素研究為核心,找出事故發(fā)生的根本原因。通過控制事故致因因素預防企業(yè)信息安全事故的發(fā)生,將對企業(yè)的信息安全管理有一定的指導意義。

本文將生產領域的事故致因理論應用到信息安全事故分析中,系統(tǒng)分析企業(yè)信息安全事故的形成機理,將信息安全事故致因因素分為四部分,即環(huán)境因素、人員因素、技術因素和設備因素,分析各因素對信息安全事故的影響,構建信息安全事故致因因素魚刺圖,并提出針對性的防范措施。

二、理論基礎

(一)國內外從管理角度對信息安全事故的研究

國內外的學者從不同角度對信息安全事故原因進行了研究。Van Niekerk(2010)認為企業(yè)信息安全文化氛圍是減少人為因素所導致的信息安全事故的關鍵;Knapp(2009)等先后對信息安全政策和信息安全事故之間的關系進行了研究;Herath(2009)通過問卷調研的實證研究驗證了懲罰力度、壓力和員工的效果認知會對其安全行為產生影響;Albrechtsen(2010)發(fā)現(xiàn)員工參與、集體反思和群體作用可以提高員工的信息安全意識,并改善其安全行為;Stanton(2005)研究發(fā)現(xiàn)終端用戶的安全行為會對企業(yè)信息安全管理產生影響;Ashenden(2008)通過實證研究發(fā)現(xiàn)信息安全管理人員、高層管理者和終端用戶之間存在信息鴻溝,雙方在理解上的差異會對企業(yè)的信息安全管理產生不利影響,增加了信息安全事故發(fā)生的幾率。此外,Vroom(2004)、Flowerday(2005)等學者也先后對此進行了研究。

與國外相比,國內對于信息安全的研究多集中于技術層面,涉及管理層面的研究較少。沈昌祥、張煥國、馮登國(2007)系統(tǒng)地闡述了信息安全理論及相關技術的發(fā)展;官巍、胡若(2007)從社會環(huán)境、商業(yè)、組織和個人的角度分析了電子商務的信息安全問題;劉福來(2010)對中小企業(yè)信息化管理中存在的安全隱患和原因進行了分析。

通過閱讀文獻發(fā)現(xiàn),國外學者大多通過實證研究驗證了一個或幾個因素對信息安全事故的影響,但是缺乏對信息安全事故的系統(tǒng)分析。國內的研究多用于構建信息安全管理體系,對信息安全事故的分析則鮮有研究。

(二)事故致因理論

在信息安全事故分析方法的選擇上,本文選擇了在生產領域廣泛應用的事故致因理論。事故致因理論是研究分析導致事故發(fā)生原因因素的科學理論。它是描述事故成因、經過和后果的理論,是研究人、物、環(huán)境、管理及事故處置等基本因素如何起作用而形成事故并造成損失的理論。

在早期的事故致因理論中,海因里希(W.H.Heinrich)的事故因果連鎖論最具代表性,它最先提出了物的不安全狀態(tài)和人的不安全行為是導致傷亡事故發(fā)生的兩個直接因素。在海因里希事故因果連鎖論的基礎上,博德(F.Bird)等又進一步提出了把安全管理作為背后深層次的間接事故致因因素的現(xiàn)代安全科學觀點,認為任何安全事故發(fā)生的深層次原因,都可以歸結為管理的失誤,人的不安全行為或物的不安全狀態(tài)不過是其背后的深層原因的征兆和管理失誤的反映。

本文依據(jù)博德(F.Bird)的現(xiàn)代安全科學觀點,提出如圖1所示的信息安全事故模型。信息安全事故的發(fā)生是由于人的不安全行為和物的不安全狀態(tài)作用在能量物質/載體上的結果,而企業(yè)的管理因素是導致物的不安全狀態(tài)和人的不安全行為發(fā)生作用的直接因素。

三、信息安全事故分析

通過對各類型信息安全事故致因因素的分析,企業(yè)信息安全事故的致因因素大體可分為兩類,即人的因素和物的因素。其中,物的因素可進一步分為環(huán)境因素、技術因素、設備因素等。根據(jù)實地調研和文獻梳理可以得出,企業(yè)文化的缺失、安全規(guī)章制度的不完善等環(huán)境因素是造成事故的深層原因。因此,本文將企業(yè)信息安全事故的可控致因因素整理歸納后分為四類,即環(huán)境因素、人員因素、技術因素和設備因素,并構建了信息安全事故魚刺圖(見圖2)。

(一)環(huán)境因素分析

在信息化建設過程中,很多企業(yè)由于急需開展業(yè)務,往往出現(xiàn)“先業(yè)務,后安全”的現(xiàn)象,安全管理嚴重滯后于業(yè)務的發(fā)展。在企業(yè)的內部環(huán)境中,企業(yè)業(yè)務的符合性直接決定了信息系統(tǒng)的設計、運行、試用和管理是否超出法律規(guī)定和合同規(guī)定的安全要求的約束范圍。另外,很多企業(yè)安裝了一定的安全設備,但缺乏統(tǒng)一的安全體系規(guī)劃和安全防范機制,企業(yè)安全責任不明確,這些都大大增加了信息安全事故發(fā)生的風險。由于缺乏業(yè)務連續(xù)性計劃和事故處理機制,發(fā)生信息安全事故之后,企業(yè)的業(yè)務往往會出現(xiàn)中斷,此時,信息管理人員又變成“救火員”恢復業(yè)務,最終信息安全建設變成一種“頭痛醫(yī)頭,腳痛醫(yī)腳”的亡羊補牢式的行為。此外,企業(yè)懲戒措施和審計機制的缺乏也是導致信息安全事故頻繁發(fā)生或重復發(fā)生的重要因素。

在信息安全管理的外部環(huán)境中,與企業(yè)密切相關的是第三方服務機構或個人。企業(yè)選擇第三方服務機構為企業(yè)提供服務,就意味著將企業(yè)的部分信息轉移至第三方。企業(yè)與第三方的外包合約不完善、第三方的服務質量不高以及對第三方數(shù)據(jù)訪問權限的不明確易導致企業(yè)關鍵數(shù)據(jù)的泄露,容易引發(fā)外部攻擊。

(二)人員因素分析

人員是信息安全管理中最為活躍的因素,不同類別的人員對信息安全事故的影響不盡相同。(1)管理人員。高層管理者是企業(yè)資源投入的決策者,也是企業(yè)信息安全管理的核心,高層對信息安全的支持和重視不夠是導致企業(yè)信息安全文化欠缺和員工信息安全意識淡漠的關鍵因素。中層管理者作為銜接企業(yè)高層和基層的橋梁,其對上級決策的執(zhí)行力度直接決定了企業(yè)信息安全管理實施的效果。(2)技術人員。在企業(yè)中,技術人員可以保證企業(yè)信息系統(tǒng)的日常運營和維護。但大多數(shù)企業(yè),尤其是中小企業(yè)缺乏信息技術人才和安全監(jiān)察、審計人員。由于受人員及技術的限制,往往一個管理員既要負責系統(tǒng)的配置,又要負責系統(tǒng)的安全管理,安全設置和安全監(jiān)督都是“一肩挑”。這種情況使得管理權限過于集中,一旦管理員的權限失控,極易導致重要信息泄露。(3)基層人員。目前,我國企業(yè)的基層員工普遍缺乏信息安全的教育、培訓,對信息安全意識淡漠,每天都在以不安全的方式處理著企業(yè)的大量重要信息,如隨意使用移動設備、上網(wǎng)不限制等,這些不安全的行為都對企業(yè)的信息系統(tǒng)構成了潛在的威脅。

(三)技術因素分析

信息安全技術是企業(yè)防范信息安全事故的基本因素,也是我國企業(yè)在信息安全管理中投入較多的一部分。具體而言,導致信息安全事故技術方面的因素可以分為兩大類:(1)軟件因素,包括軟件設計缺陷或存在技術漏洞、殺毒軟件不及時更新以及突發(fā)的軟件故障等。(2)信息系統(tǒng)設計因素,包括信息系統(tǒng)設計時沒有以風險評估為基礎、業(yè)務流程描述錯誤或遺漏、前期測試不充分、數(shù)據(jù)訪問權限設置不清晰、關鍵數(shù)據(jù)沒有備份、信息資產安全等級不明確以及信息資產沒有保護措施等因素。這些不安全的技術因素導致了信息安全漏洞存在的必然性和普遍性。在目前互聯(lián)網(wǎng)普及的開放網(wǎng)絡環(huán)境中,這些漏洞無疑會給外部攻擊者留下可乘之機,導致信息安全事故的發(fā)生。

(四)設備因素分析

企業(yè)信息安全管理的設備主要包括中心機房、服務器、網(wǎng)絡設備、線路等方面,這些是企業(yè)信息安全保障系統(tǒng)的基礎。由于設備因素引起的信息安全事故包括硬件自身故障、保障設施故障、人為破壞事故、其他設備設施故障等四種,其致因因素可以歸納為三類:(1)物理安全方面,包括物理安全邊界不明確、非授權的物理訪問、設備或存儲介質缺乏安全措施、設施設備的非授權使用或移動、硬件失效等。(2)保障設施方面,包括供電或空調中斷、電氣故障、電纜損壞等。(3)外界不可抗力,包括水災、臺風、地震等自然災害和恐怖襲擊、戰(zhàn)爭等外界不可抗力因素。這些因素往往會造成設施設備硬件的損壞,導致存儲于設備上的數(shù)據(jù)受到干擾和破壞,容易引發(fā)企業(yè)業(yè)務的中斷。

四、防范措施

針對上述造成信息安全事故的因素分析,可以從人員培訓、制度完善以及硬件改進三個方面進行防范。具體而言:

(一)建立有效的“人力防火墻”,減少人為因素導致的信息安全事故

信息安全是企業(yè)每個員工都要面對的問題,通過建立“人力防火墻”能真正調動企業(yè)實現(xiàn)長治久安的內在動力。因此,必須加強信息安全宣傳工作,增強所有員工對信息安全重要性的認識。通過增強管理人員對信息安全的重視,營造企業(yè)的安全文化氛圍,提高企業(yè)員工的信息安全意識;通過對員工進行安全教育與培訓,增強員工的安全技能;通過法律法規(guī)、安全政策、訪問權限與懲戒措施來約束員工的行為,減少不安全行為的發(fā)生。最終在企業(yè)內部形成一種“信息安全,人人有責”的企業(yè)文化氛圍,減少人為因素導致的信息安全事故。

(二)完善企業(yè)信息安全管理體系,減少由于環(huán)境、技術因素導致的信息安全事故

信息安全管理體系是依據(jù)企業(yè)信息安全需求、業(yè)務流程分析和風險評估的結果,綜合利用各種信息安全技術與產品,在統(tǒng)一的綜合管理平臺上建立的信息安全管理機制和防范體系。建立并完善信息安全管理體系,可以為企業(yè)的信息管理提供來自策略、設計以及運行等各個層面和階段的安全保障,有效減少由于環(huán)境因素和技術因素引起的信息安全事故。建立災難恢復與業(yè)務持續(xù)性計劃,強化重要信息數(shù)據(jù)備份,在信息安全事故發(fā)生時能確保業(yè)務持續(xù)開展,將損失降到最低程度;建立集中化的管理控制機制,將數(shù)據(jù)安全控制進行集中化管理,建立一個具有全局性的網(wǎng)絡管理平臺,以確保安全防范策略能夠由上至下全面貫徹執(zhí)行,減少數(shù)據(jù)安全風險;以“適度防范”為原則,選擇合適的安全技術與產品,制定相應的訪問控制策略,在考慮成本和投資回報的基礎上滿足企業(yè)業(yè)務安全的需求。

篇10

關 鍵 詞:信息安全安全技術安全要素

中圖分類號:F470.6 文獻標識碼:A 文章編號:

在企業(yè)的管理信息系統(tǒng)中有眾多的企業(yè)文件在流轉,其中肯定有重要性文件,有的甚至涉及到企業(yè)的發(fā)展前途,如果這些信息在通用過網(wǎng)絡傳送時被競爭對手或不法分子竊聽、泄密、篡改或偽造,將會嚴重威脅企業(yè)的發(fā)展,所以,中小企業(yè)電子信息安全技術的研究具有重要意義。

一、企業(yè)的信息化建設意義在這個網(wǎng)絡信息時代,企業(yè)的信息化進程不斷發(fā)展,信息成了企業(yè)成敗的關鍵,也是管理水平提高的重要途徑。如今企業(yè)的商務活動,基本上都采用電子商務的形式進行,企業(yè)的生產運作、運輸和銷售各個方面都運用到了信息化技術。如通過網(wǎng)絡收集一些關于原材料的質量,價格,出產地等信息來建立一個原材料信息系統(tǒng),這個信息系統(tǒng)對原材料的采購有很大的作用。通過對數(shù)據(jù)的分析,可以得到跟多的采購建議和對策,實現(xiàn)企業(yè)電子信息化水準。有關調查顯示,企業(yè)對網(wǎng)站的應還處于宣傳企業(yè)形象,產品和服務信息,收集客戶資料這一階段,而電子商務這樣關系到交易的應用還不到四分之一,這說明企業(yè)還未充分開發(fā)和利用商業(yè)渠道信息。企業(yè)信息化時代已經到來,企業(yè)應該加快信息化的建設。

二、電子信息安全技術闡述

1、電子信息中的加密技術加密技術能夠使數(shù)據(jù)的傳送更為安全和完整,加密技術分為對稱和非對稱加密兩種。其中對稱加密通常通過序列密碼或者分組機密來實現(xiàn),包括明文、密鑰、加密算法以及解密算法等五個基本組成成分。非對稱加密與對稱加密有所不同,非對稱加密需要公開密鑰和私有密鑰兩個密鑰,公開密鑰和私有密鑰必須配對使用,用公開密鑰進行的加密,只有其對應的私有密匙才能解密。用私有密鑰進行的加密,也只有用其相應的公開密鑰才能解密。加密技術對傳送的電子信息能夠起到保密的作用。在發(fā)送電子信息時,發(fā)送人用加密密鑰或算法對所發(fā)的信息加密后將其發(fā)出,如果在傳輸過程中有人竊取信息,他只能得到密文,密文是無法理解的。接受著可以利用解密密鑰將密文解密,恢復成明文。

2、防火墻技術隨著網(wǎng)絡技術的發(fā)展,一些郵件炸彈,病毒木馬和網(wǎng)上黑客等對網(wǎng)絡的安全也造成了很大的威脅。企業(yè)的信息化使其網(wǎng)絡也遭到同樣的威脅,企業(yè)電子信息的安全也難以得到保證。針對網(wǎng)絡不安全這種狀況,最初采取的一種保護措施就是防火墻。在我們的個人電腦中防火墻也起到了很大的作用,它可以阻止非黑客的入侵,電腦信息的篡改等。

3、認證技術消息認證和身份認證是認證技術的兩種形式,消息認證主要用于確保信息的完整性和抗否認性,用戶通過消息認證來確認信息的真假和是否被第三方修改或偽造。身份認證使用與鑒別用戶的身份的,包括識別和驗證兩個步驟。明確和區(qū)分訪問者身份是識別,確認訪問者身份叫驗證。用戶在訪問一些非公開的資源時必須通過身份認證。比如訪問高校的查分系統(tǒng)時,必須要經過學號和密碼的驗證才能訪問。高校圖書館的一些資源要校園網(wǎng)才能進行訪問,非校園網(wǎng)的不能進入,除非付費申請一個合格的訪問身份。

三、企業(yè)中電子信息的主要安全要素

1、信息的機密性在今天這個網(wǎng)絡時代,信息的機密性工作似乎變得不那么容易了,但信息直接代表著企業(yè)的商業(yè)機密,如何保護企業(yè)信息不被竊取,篡改,濫用以及破壞,如何利用互聯(lián)網(wǎng)進行信息傳遞又能確保信息安全性已成為各企業(yè)必須解決的重要問題。

2、信息的有效性隨著電子信息技術的發(fā)展,各中小企業(yè)都利用電子形式進行信息傳遞,信息的有效性直接關系的企業(yè)的經濟利益,也是個企業(yè)貿易順利進行的前提條件。所以要排除各種網(wǎng)絡故障、硬件故障,對這些網(wǎng)絡故障帶來的潛在威脅加以控制和預防,從而確保傳遞信息的有效性。

3、信息的完整性企業(yè)交易各方的經營策略嚴重受到交易方的信息的完整性影響,所以保持交易各方的信息的完整性是非常重要對交易各方都是非常重要的。在對信息的處理過程中要預防對信息的隨意生成、修改,在傳送過程中要防止信息的丟失,保持信息的完整性是企業(yè)之間進行交易的基礎。四、解決企業(yè)中電子信息安全問題的策略

1、構建企業(yè)電子信息安全管理體制解決信息安全問題除了使用安全技術以外,還應該建立一套完善的電子信息安全管理制度,以確保信息安全管理的順利進行。在一般企業(yè)中,最初建立的相關信息管理制度在很大程度上制約著一個信息系統(tǒng)的安全。如果安全管理制度出了問題,那么圍繞著這一制度來選擇和使用安全管理技術及手段將無法正常進行,信息的安全性就得不到保證。完善,嚴格的電子信息安全管理制度對信息系統(tǒng)的安全影響很大。在企業(yè)信息系統(tǒng)中,如果沒有嚴格完善的信息安全管理制度,電子信息安全技術和相關的安全工具是不可能發(fā)揮應有的作用的。