企业信息系统的安全论文(共12篇)
企业信息系统的安全论文 篇1
信息是现代社会发展的显著表现, 也是现代企业面向未来发展的重要推动元素。在企业深化信息化建设的大背景之下, 严峻的企业信息安全问题制约了信息化建设的步伐。如何深化企业信息化建设, 关键在于如何构建完备的信息安全系统, 夯实信息化建设的内外环境。一方面, 现代企业要认识到信息安全系统构建的重要性, 在良好的主观能动性之下, 推动工作的全面开展;另一方面, 企业信息安全系统的实现是一项复杂而细致的工作, 强调各方工作的有效落实。因此, 笔者就如何实现企业信息安全系统构建, 提出了若干建议。
1 信息安全管理概念
信息安全管理是企业信息化建设的重要基础, 旨在通过系统安全评估与分析, 对信息系统的安全需求进行细化, 进而基于有效的管理措施实现企业信息安全管理的目标。在有效管理措施的构建中, 常用的手段主要有:监控、检查、调整等, 强调信息安全管理的全面性与有效性。
随着网络信息技术的不断发展, 计算机信息安全问题日益严峻, 频繁出现的信息安全事故强调企业信息安全管理的重要性与紧迫性。在网络信息时代, 计算机网络信息安全系统的构建与管理, 成为企业依托信息技术发展的前提。从实际情况来看, 计算机信息系统安全日益频发, 且安全时间的方式呈现出多样化的特点, 这也给企业信息安全管理的全面开展带来了较大困难。
据不完全统计, 企业信息安全的攻击种类有20余种, 直接或间接地给企业信息安全建设带来影响。图1所示, 我们可以知道, 在已出现的信息攻击中, 有近60% 为不正确的计算机内部网络访问所致, 成为造成企业信息安全问题的首要危险源。而对于恶意攻击行为, 如黑客攻击、木马植入, 也对企业信息安全管理构成极大的威胁。因此, 面对日益复杂的信息安全攻击, 信息安全的构建不仅强调技术的完备性, 也注重跨领域发展的务实开展。
2 企业信息安全系统的实现
企业信息安全系统的实现, 关键在于满足计算机的安全需求, 确保安全系统的完备性。一方面, 企业要注重信息安全系统的建设工作, 为工作的全面开展与推进创造良好的条件;另一方面, 要聘请信息安全管理专家, 针对企业的信息安全现状, 有针对性的构建信息安全系统。因此, 企业在信息安全系统的实现过程中, 应切实做到以下几个方面。
立足企业实际情况, 进行全面的信息安全分析。信息安全系统的实现, 一是要有针对性, 强化安全系统与企业信息系统的有效融合, 进而发挥安全系统最佳的作用。若企业在信息安全系统的构建中, 疏于全面的安全分析, 缺乏应有的工作重视, 这就不利于构建全面而有效的信息系统。
强化与企业文化、制度的契合, 这是系统构建的重要基础, 也是确保企业制度与文化在安全体系中发挥应有的重要作用。一方面, 企业不宜追求过高的安全体系理论, 而应注重安全体系的实效性;另一方面, 构建策略要遵循“可行性”“简易性”和“针对性”三大原则, 强化系统构建在符合企业实际需求的同时, 最大程度保障安全系统发挥其重要作用。
落实系统综合评估, 强化系统构建的完备性。在信息安全系统的构建中, 企业应对现有的信息安全体系进行有效综合的评估。首先, 基于国际标准, 规范信息评估行为, 确保综合评估工作有效开展;其次, 综合评估强调全面性, 需要对企业现行信息安全系统的应用效能、安全性和效率等进行评估和检测。
3 企业信息安全技术的基础构架
在当前开放的、复杂的网络信息环境之下, 企业性安全系统的构建与实现, 不能仅仅依托于某种安全工具所实现, 而应强调良好的安全技术在安全体系构建中发挥支撑作用。从实际来看, 企业开始注重先进管理技术的引进与应用, 并逐步形成了具有自身企业特色的信息安全运营中心。这在很大程度上为企业信息安全的构建以及信息安全系统的实现, 创造了良好的内外基础。对于企业信息安全运营中心的信息安全构建, 见如图2。
3.1 安全设备的集中管理
在企业信息安全系统的实现中, 设备的有效管理是一项重要的工作内容。实现设备的集中管理, 应切实做到以下几点。第一, 实现对日志的统一管理。对于安全设备的安全日志要实现统一的监控, 并实现自动警告、通知, 确保日志管理的有效性。第二, 安全设备集中的管理方法多样化, 但关键在于:对安全设备及所配置的文件, 要实现统一的管理。并在严格的审核之后, 实现对数据的采集和有效处理;对于安全产品的安全策略要进行统一的存储, 并在需要的时候便于查询, 这不仅是提高安全系统安全效率的重要保障, 也是优化安全管理的重要基础;第三, 对系统进行统一的协同处理, 并实现设备的自动发现。在企业信息安全体系的实现策略中, 需要统一协同处理, 这不仅是信息安全系统的内部需求, 也是安全技术体系所需要的重要支撑。一方面, 在安全技术体系中, 依托多层次的控制体系, 实现安全技术的有效发挥;另一方面, 在安全技术体系中, 其包括的安全产品、操作系统等, 都需要进行统一协同处理;其次, 实现设备的自动发现, 是新时期下企业信息安全体系实现的重要突破之一, 也是强化信息安全的必然需求。
3.2 安全服务集中管理
对于企业安全服务集中管理而言, 其管理的有效性, 主要在于三点工作的落实:一是对应用软件进行实时有效的管理。尤其是对于软件的安装、漏洞修补等, 要及时做到位。并且建立相应的软件信息库, 为信息的查询、分析及统计提供相应的服务;二是建立安全预警平台, 优化当前的信息安全系统。并强化安全培训管理, 规范并引导企业信息安全工作的开展;三是实现对信息安全风险分析的自动化, 如:对病毒代码、补丁等, 进行及时更新, 确保企业信息系统的运行安全, 提高信息安全系统的完备性。这也是信息技术快速发展之下, 提高企业信息安全体系构建的重要技术支撑。
3.3 业务流程安全管理
现代企业的发展, 注重内部控制管理的狠抓落实。而实现业务流程安全管理, 是构建企业信息安全的重要内容之一。首先, 对企业资产进行有效的滋补管理, 如企业的人力、物力等, 进行统一的汇总和管理;其次, 实现网络管理系统与安全管理系统的联动性, 提高企业信息安全系统的整体防范水平;再次, 提高信息系统与安全管理系统的融合度, 发挥安全管理系统效力。
摘要:信息安全管理是现代企业推进信息化建设的必然需求, 也是一项复杂而细致的工作。笔者立足于对企业信息安全管理的认识, 就如何实现企业信息安全系统的构建、企业信息安全技术的基础构架的建设, 提出了相应的若干建议。笔者旨在强化对企业信息安全系统的认识, 并为深化企业信息安全系统的构建提供一定参考资料。
关键词:企业,信息安全系统,实现策略
参考文献
[1]符松.论信息安全保障体系在大型企业的实施[J].CDA/CAM与制造, 2009 (7) .
[2]韦超.信息系统数据安全防护策略浅析[J].大众科技, 2013 (10) .
[3]常建轩.企业信息安全策略成功实施的阴线因素研究[D].浙江大学, 2007.
[4]郑殿义.电力企业信息网络系统运行安全策略浅谈[J].商品与质量, 2013 (9) .
[5]汪英英.电力企业信息安全策略研究与实现[D].华中科技大学, 2011.
[6]陈学斌.基于企业网络的信息安全防护体系的设计与实现[J].计算机工程与应用, 2014 (5) .
企业信息系统的安全论文 篇2
关键词: 物流;管理信息系统;库存管理;决策系统
现代物流是社会化大生产和科技发展到一定阶段产生的新兴服务业,现代物流是将采购、生产、销售等传统物流中各环节予以综合考虑,追求包含采购、生产、销售等在内的货物流转的整体最佳状态,最大限度地优化从制造者到消费者之间的运输和运输流动信息的分配,并利用先进信息技术和专业能力尽可能地减少商品库存、英语论文开题报告降低运输费用,加快交货时间并提高客户服务水平。所谓企业物流,即企业中实物流动,是实现物料(包括全部原材料,半成品,成品)物理位置转移的经济活动。
企业物流中的供应链管理是把供应链上的各个企业作为一个不可分割的整体,使供应链上各企业分担的采购、生产、分销和销售的职能成为一个协调发展的有机体。它最关键的是采用集成的思想和方法,而不仅仅是节点企业、技术方法等资源简单的连接,而现代物流的重点仍然是放在管理库存上,把库存作为平衡有限的生产能力和适应用户变化的缓冲手段。供应链管理关心的并不仅仅是货物实体在供应链中的流动,除了企业内部与企业之间的运输和实物分销之外,供应链管理还包括:(1)战略性供应商和用户合作伙伴的关系管理;(2)供应链产品需求预测和计划;
(3)供应链的设计(全球节点企业、资源、设备等的评价、选择和定位);(4)企业内部与企业之间货物供应与需求管理;
(5)基于供应链管理的产品设计与制造管理、生产集成化计划、跟踪和控制;(6)企业间资金流管理(汇率、成本);
(7)基于供应链的用户服务与物流(运输、库存、包装等)管理;(8)基于Internet的供应链交互信息管理等。由此可见,供应链管理不但涵盖了现代物流管理的全部内容,而且从更高的层次上解决了物流管理问题。物流被广泛认为是当今影响企业竞争力的一个重要因素,因此对企业物流实施现代化的管理是企业一个强有力的发展空间。依托高新技术作为强有力的支撑,建设企业物流管理信息系统不仅有利于实现企业物流供应链的一体化和信息化,提高物流管理的系统性和集成性,也将为企业与供应商、销售商、客户间物流信息网络的建设和供应链一体化奠定良好的基础圈。
一般MIS系统采用Microsoft公司的SQL Server 7.0。其出入库管理模块设计主要包括采购入库管理主从明细表(HUOWRUKXINX,HUOWRUKMXB)、成品销售出库管理主从明细表(HUOWCHUKXINX,CAIGTUIKMXB)、采购退货管理主从明细表(CAIGTUIKXINX,CAIGTUIKMXB)、销售退库管理主从明细表(XIAOSTUIKXINX,XIAOST-UIKMXB)、仓库设置(CANGKSHEZ)等。数据库中的设计采用主从明细表,方便对表的修改。当用户录入、修改、删除主表数据时,从表中对应的数据也相应地被更新。例如,当用户删除采购入库管理中入库单号为“1234”所在行的数据时,采购入库管理从表中入库单号为“1234”所在行的数据也将被删除,那么在当前库存表中货物编号为C9654所在行的数据也将被删除。极大地方便了管理员对于数据的采集管理工作。
企业物流库存管理系统的安全性包括数据操作安全和数据存储安全。数据操作安全主要是为了防止人为因素对数据的破坏,防止非法用户进入系统,盗取数据;保证合法用户安全操作系统,所以在MIS系统中应考虑用户权限分配策略和安全日志策略。另外在选用操作平台时对系统安全性进行综合考虑,全面保证系统的数据操作安全。数据存储安全是为了防止系统故障(如软件病毒、机器物理损坏、误操作等因素造成的系统故障)引起的数据丢失在这方面主要采取数据备份策略。其中权限分配策略旨在使用户只能按给定的权限对指定的数据对象进行操作。权限分配策略可以在前端(应用程序)和后台(数据库管理系统)分别实现。后台的权限分配是通过数据库管理系统的功能来实现的。较大型的数据库管理系统(如:MS SQL Server)都设计了功能强大的数据安全体系。数据对象的增、删、改、查看、运行等操作权限都可以分配给相应的用户。通过后台的权限分配,用户只能对数据对象行使权限允许范围内的操作行为,而不能越权。前端的权限分配一般都是在客户端时通过设置一定的程序使用的。用户的操作行为通常是从用户界面开始的,各种操作行为往往又和各个界面对象是绑定在一起的,用户访问不到数据对象,也就执行不了数据对象所对应的操作行为。将用户的各种操作行为按需要进行详细的划分,并将这些操作行为绑定在对应的界面对象上,将界面对象的访问权力分配给用户,就可以有效地将数据对象的操作权限分配给用户。对于访问权限的设置有两种备选方案,两种方案各有特色。第一种方案从数据底层限制对数据的访问,数据操作更加安全,但它一般都只在网络数据库中采用,适用于较大型的数据库应用中,如ERP(企业资源规划)。第二种方案是从界面对象上来限制用户对数据的访问,高级用户往往都可以绕过界面对象而直接访问数据文件来访问数据,因此,为了保证其安全性,一般都和其它措施一起使用(如文件系统安全策略)。一般在中小型系统中采用。数据库中的安全日志记录了每一位用户对系统的每一步操作行为,它就象一双眼睛,时刻监视着用户对它的操作,如某用户多次试图登录系统而未能进入,某用户试图越权操作某些数据,包括用户的误操作等,都会记录到日志中。通过查看日志,就可以知道用户是否有非法操作行为,误操作行为和系统的异常情况。日志也记录下了用户对系统的操作端点,便于在系统异常的情况下及时恢复系统数据。
同时随着系统的运行,数据库中的数据是不断变动的,为防止意外,须定期备份数据。数据备份的方式有硬盘阵列,光盘刻录,专用数据备份机等,这些技术己经相当成熟。在企业物流库存管理系统中,采用的是硬盘阵列的方式。这种方式成本低,性能可靠,而且还可以方便地实现数据定期自动备份。标准是一种极限:零库存,即原材料和外购件库中库存为零。这是一个理想的状态,在实际企业经营活动中,这个极限是不可能达到的。因为供应链是一个整体,需要协调各方活动才能取得最佳的整体绩效。协调的目的是使满足一定服务质量要求的信息可以无缝地、流畅地在供应链中传递,从而使整个供应链能够根据用户的要求步调一致,形成更为合理的供需关系,适应复杂多变的市场环境。如果企业间缺乏协调与合作,就会导致交货期的延迟和服务水平的下降,同时库存水平也会因此而增加。为了应付不确定性,结合JTT管理模式,供应链上各个节点企业都设有一定的安全库存,可以很好的解决企业达不到“零库存”的问题。安全库存SS(Safe Stock)是一种统计数据,它包含了人们的实际作业经验和统计计算结果。它与物料采购周期、统计月份需求量,最大差异量标准差有直接关系。安全库存的数学模型与以下因素相关:(1)安全系数
由于供货概率服从正态分布,在系统设计中,考虑到企业因为货物供应不足而导致缺货的概率小于5%,企业不会因为缺货而导致订单消失,由正态分布表查得,当安全系数为1.65时,从经济及较安全得角度出发,企业可以在不考虑缺货损失的情况下,可以做到库存数量的合理设置和控制,而不是越多越好。当然,安全系数可以根据不同的企业、不同的外部环境选用不同的系数值。(2)订货周期 订货周期一般以月为单位,如果需要一周的,可以取T=0.25(月)。其中△M为差异量,它是在己知各月份需求量的条件下的需求量的最大差异量。修正系数C是企业历史数据的数学统计结果。在系统中,利用上述公式和数据对企业的安全库存进行了设置。同时,对企业库存实行监控。当货物出现积压或缺货情况时,英语论文开题报告系统会自动提示相应报警信息。
基于物流供应链的企业物流管理信息系统(MIS)正是应用于企业物流管理的一种先进的管理思想和方法。在企业物流MIS中,企业应充分重视供应物流管理、生产物流管理、销售物流管理三个环节。不仅以保证供应为目标,而且还是在以最低成本、最少消耗、以大保证来组织供应,缩短整个生产的物流时间和物流距离,选取适宜的送货方式、包装方式、包装水平、运输路线等并采取各种方法实现销售。基于远程操作平台的企业物流库存管理系统(MIS),运用面向对象技术,实行多层分布式结构,使系统便于网络化。界面采用多文档窗体MDI,运行可靠、界面友好、操作方便,将日益为企业物流管理过程信息化提供更加强有力的技术支持。
参考文献:
浅析企业信息安全系统总体设计 篇3
关键词:企业信息化;信息安全;系统技术框架
中图分类号:TP309 文献标识码:A文章编号:1007-9599 (2011) 08-0000-01
Enterprise Information Security System Design
Han Qing
(Yanzhou Second People's Hospital,Yanzhou272100,China)
Abstract:With the deepening of the informatization construction of enterprise,enterprise information security threats facing the had penetrated into the enterprise production,management,production material purchasing.Equipment assets,information management,and other aspects,need from the global height building enterprise information system security framework.Based on the theories of system engineering and methods,simply introduces construction enterprise information system security;the general steps And from the physical security.Network security,system security,application security and management security five aspects discusses the enterprise information security technology system framework and key technologies.
Keywords:Snterprise informatization;Information security;System technical framework
在信息社会中,信息技术的飞速发展正迅速改变着企业传统的生产、经营和管理方式,企业信息化已成为提高企业竞争力的一条根本途径,越来越多的业务依赖于计算机和网络来完成。对于企业来说,能否保障网络安全以及网络中信息的安全问题,已经被提到了直接影响企业发展的高度。急需按照风险分析的结果及安全策略的要求,以系统工程的思想和方法,从全局构筑企业信息安全保障体系框架,保证企业信息的机密性、完整性、可用性、真实性和可控性。
一、企业信息安全需求与策略的制定及组成
企业的安全需求是在对企业的威胁分析和安全风险进行评估后确认的,其出发点是确定企业需要保护的资源以及保护的级别。在制定信息系统的安全需求时,可以从网络的可用性需求、业务系统的可用性需求、数据的机密性需求、访问的可控性需求、事故响应需求和安全管理需求等多方面综合考虑。
安全需求确定后,应制定安全策略.以保证把风险控制在可接受的范围之内。在安全策略的制定上,一要考虑分等级策略,根据各个系统或资源的重要性和受威胁的程度不同,制定分等级策略。二要考虑全局部署的策略。在网络系统的物理层、网络层、系统层、应用层和管理层进行安全策略的全面部署,实施防护、检测、恢复的积极防御手段。三要考虑整体设计分步实施策略。信息安全保障系统涉及范嗣广,与网络结构、软硬件以及安全管理等密切相关,设计和实施过程不可能一不到位,必须整体设计分步实施。
二、企业信息安全保障技术体系框架及其关键技术
企业信息安全保障技术体系是整个信息安全保障体系的支撑,必须从完整的安全体系结构出发,综合考虑各个层面、各种实体的安全需求;在物理安全、网络安全、系统安全、应用安全、管理安全等多个层面建立安全策略。
(一)物理安全
物理安全主要是保护计算机信息系统设备、设施、介质和信息,避免自然灾害、环境事故以及人为因素造成的破坏、丢失。物理安全主要包括环境安全、设备安全、介质安全及电磁兼容和电磁泄漏等方面。涉及的主要安全技术包括屏蔽技术、干扰技术、电磁泄漏防护技术和物理识别技术等。
(二)网络安全
网络安全主要包括链路层安全、局域网和予网安全、网络运行安全等。主要采用安全交换机技术,加密机技术等实现链路层数据传输的保密与完整性;利用网络安全域划分与访问控制技术、防火墙,网关等实现对不同安全域的隔离,并对网络资源的访问进行控制;同时考虑远程接入的安全.域名系统的安全,路由系统的安全等。
(三)系统安全
系统安全问题表现在三个方面:一是操作系统自身的缺陷、操作系统的安全配置等带来的不安全因素,如系统漏洞等:二是主机和服务器安全,三是系统集成安全。
(四)应用安全
应用安全建设内容包括加密数据库(文件加密)、灾难恢复、网络安全监控系统、数据库安全、电子文件安全、应用系统安全等,同时建立一个统一的身份认证和访问控制对应用安全体系提供支持。应用层主要涉及身份识别和认证、信息的防泄漏和信息对抗技术等。
(五)管理安全
企业管理安全建设一般包括安全技术和设备的管理,安全管理制度。部门与人员的组织规则等。管理的制度化程度极大地影响着整个网络的安全。严格的安全管理制度,明确的部门安全职责划分,合理的人员角色定义。都可以在很大程度上降低其他层次的安全漏洞。
三、结束语
企业信息安全保障体系是企业信息化的基础,而信息安全保障技术体系又是其支撑。在全面分析企业信息安全风险的基础上,制定企业的安全需求和策略,从全局治理的高度,在物理、网络、系统、应用和管理等各个层面,结合企业具体的应用。全面构建企业的信息安全保障技术体系对企业的健康发展至关重要。
参考文献:
[1]徐国芹.浅议如何建立企业信息安全体系架构[J].中国高新技术企业,2009,5
浅谈企业信息系统的安全 篇4
关键词:企业,信息系统,安全
1 企业信息系统的安全需求
大的商业组织依赖企业信息系统处理他们每日的业务操作。事实上,一个同时代的企业信息系统通常是分布式的。它从不同的位置带来异构的和自治的应用,传送特定的业务功能给最终用户和其它业务应用。这些不同的系统以不同的语言编写,运行在各种不同的平台上,而且遵循不同的安全模型。一个典型的企业系统通常采用C/S模式,包含客户机和服务器。应用的表示层和业务逻辑层驻留在客户端,它的数据库管理系统驻留在服务器端;中间层添加在客户机层和服务器层中间件来封装业务逻辑,这叫做三层架构。在三层架构中,客户机层管理用户接口和数据表示,服务器层即为数据库层。有时,客户机层叫做前端,服务器层叫做后端。
为了在公司不同部门之间提供更强的互操作性,企业系统现在已被web技术支持。Web服务是建立在现有的技术如XML和HTTP的基础上的一种新的服务方式,而且被设计来支持商业组织中的业务集成。它可以在中间层或者一个分离的层中实现:驻留在客户机层和企业层之间的web层。相对于传统的通信方式,web服务有很多优点。它能帮助公司连接独立的计算机系统而且能够使分离的应用共享信息。通过web服务,异构系统之间能够方便有效的进行互相交互。Web服务容易部署,而且不要求现有的代码和软件的变化。Web服务也是独立于平台的和独立于编程语言的,所以能在多种操作系统和编程环境中实现。
然而,web服务也面对一些主要的问题。其中之一是与语义不一致性。由于各种各样的硬件平台、编程语言和网络协议,web环境中的不同数据信息用不同的方式描述。语义不一致使基于web的信息和应用难以被大量的代理和应用程序理解。语义web的最新发展提供了一个通用的语义框架,来描述web网页的内容和属性以及web服务的能力。语义web的设想是WWW的发明者Tim Berners-Lee提出的,并且已经被W3C发展为使web相关的技术和系统标准化的力量。作为语义web发展的一部分,语义web服务被本体和基于本体的语言OWL支持。这允许web资源和web服务被自动地查询和发现。同时,语义web服务的研究仍然处于早期阶段,而且安全方面仍然需要大量的研究。
2 企业信息系统的访问控制模型
为了防止非授权的访问,需要访问控制机制。访问控制可以用于企业系统的不同部分,比如数据库、操作系统、网络通信和服务以及企业系统提供的业务功能等等。保护整个企业系统的访问控制机制是在三层C/S系统的中间层实现的。这是因为它保护了不被企业层访问控制机制影响的服务层应用程序的自治。另外,实现在企业层的访问控制机制独立于前端用户接口应用程序和后端系统。访问控制包含几个重要的任务。第一个任务是识别出需要被保护的对象和被保护的方式。例如,需要知道系统需要保护的是一个数据库、文件、业务功能或者是通信渠道。第二个任务是识别出访问系统的人员。传统上,系统的一个用户就是一个人。然而,广义上讲,用户也可以是一个进程、一个应用程序或者是一个web服务。这使得用户管理非常复杂。第三,需要建立访问控制规则。这包含决定哪个用户访问特定的资源或者数据的规则,用户能或者不能处理的资源或者数据,例如用户可能被授予查看文件的权限而不能修改文件。
2.1 企业系统的访问控制要求
现代企业系统经常是分布式的并且利用Internet技术,这允许了储存在不同的物理和逻辑位置的信息在整个企业系统共享。然而,由于企业系统的异构性和分布性,尤其是基于web的企业系统,带来了许多安全挑战。为了处理这些挑战,企业系统中访问控制必须满足以下综合要求:
1)身份管理。集成现有的多认证机制,形成一个统一的身份管理机制。
2)策略管理。访问控制策略需要由策略规范语言和其它机制适当管理。
3)影响访问控制的实施的信任关系。域内和域间的通信依赖于服务提供者对服务请求者的信任。
4)要求灵活的访问控制决策来支持策略变化。访问控制决策的制定不应该限制于应用。
5)基于标准的实现。以广阔框架为目标的安全框架应该独立于技术和配置模型。一些标准比如安全断言标记语言(SAML),XML访问控制语言(XACML)和web服务安全(WS-security)的采用允许企业系统间不同域间的互操作。
6)应该维持独立的安全域。一个企业系统的每个域或者应用有它自己的访问控制机制,这些访问控制机制被许多访问控制策略支配。制作授权决策的一个域或者应用的能力叫做授权自治。
7)策略机制分离。访问控制策略需要和决策制定机制解耦。
8)现有访问控制决策的集成。组件应用的独立的访问控制策略需要集成在企业系统的访问控制策略中。
9)必须控制事件的顺序。企业用户能够调用多个web服务与不同的实体交流,一个web服务产生的结果能够影响其他web服务。
10)访问控制策略组合。企业系统的全局访问控制策略由局部访问控制策略组成。这个过程应该根据环境动态改变。
上述要求概况了企业系统的访问控制中的一些必要问题。企业系统的访问控制必须能够满足上述要求。
2.2 企业系统的访问控制模型的提出
访问控制覆盖了计算机技术的广阔范围。企业信息系统的安全研究的一个重要目标是简化安全管理和指派。提出一个适当的安全规范,具有一定的授权功能,适合于应用层的访问控制模型。同时,要通过开发应用层的访问控制模型来处理企业环境下的安全问题,这个模型需要支持许多安全策略,这是一个成功的访问控制模型的必须要求。访问控制策略可以以不同的粒度指出,来支持不同的访问控制场景。一些现有的访问控制技术,比如基于内容的访问控制和基于约束的访问控制将被应用和扩展,以便支持不同类型的安全策略。此外,因为许多企业系统是基于web的,提出的模型也需要考虑web环境下的访问控制要求。提出的模型需要提供动态的访问控制,包括多种多样的安全方面,比如用户能力(指明用户能做什么),外部因素(时间、地点、系统状态等),web环境中预定义的访问控制策略(谁能够访问什么资源)。另外,我们的研究也考虑语义web的发展。因为语义web是用本体描述的,所以这篇论文想要建立一个正式的访问控制框架,使用本体表示安全相关的概念。基于本体的访问控制框架允许安全服务和语义web的发展一致。和语义web安全本体的集成能够通过众多的本体提供复杂的推理能力。
提出的模型必须为集成的企业系统提供业务功能和服务。为了避免数据库安全中的单个数据项的复杂性,企业信息系统的访问控制模型主要是为应用层访问控制设计的。模型通过提供新形式的许可———授权功能,极大地简化了企业系统的安全管理。授权功能比应用层授权规范现有的技术更有效和更有表现力。另外,提出的模型能够为不同的访问控制场景提供多种安全策略。这种模型的扩展被应用在web服务应用中。这种扩展提供了动态访问控制,来解决web环境下用户、系统资源和环境条件的异构性和动态性。通过允许动态访问控制,访问控制决策能够和不断变化的安全条件同步。因此,这个模型适应于周围环境。而且,我们的研究为新发展的语义web服务提供了访问控制。提出的基于本体的访问控制框架为安全概念和安全策略提供了正式的语义。这样的一个框架容易与语义web服务集成,能够为服务相关的信息的查询和发现提供自动推理能力。
3 结束语
本文介绍了企业信息系统的安全策略和机制,总结了企业信息系统中访问控制要求,指出了企业信息系统中需要解决的问题。
参考文献
[1]刘琳.浅谈防火墙技术在网络安全中的应用[J].华南金融电脑,2009(12).
[2]袁小娟.谈政府网站的安全性管理[J].科技信息,2010(5).
[3]李秀君.互联网行为监测系统[J].信息安全与通信保密,2009(5).
企业信息系统的安全论文 篇5
企业安全生产标准化信息管理系统
(评审单位端)
用户操作手册
国家安全生产监督管理总局通信信息中心
2016年1月
企业安全生产标准化信息管理系统用户操作手册
目 录
1.登录系统........................................................3 2.办理证书申请....................................................4
2.1办理证书申请.................................................4 2.1.1签收证书申请............................................4 2.1.2处理证书申请............................................6 2.2查看已办理及其证书申请信息..................................11 3.查询统计.......................................................13
3.1本单位业绩统计..............................................13 3.2本单位评审人员业绩统计......................................13 4.系统维护.......................................................15
4.1修改本单位信息..............................................15 4.1.1操作方法...............................................15 4.1.2注意事项...............................................15 4.2评审人员维护................................................16 4.2.1新增评审人员信息.......................................16 4.2.2修改评审人员信息.......................................19 4.2.3删除评审人员信息.......................................20 4.2.4查看评审人员详细信息...................................20 4.3本单位用户管理..............................................21 4.3.1新增用户...............................................21 4.3.2角色授权...............................................22 4.3.3数据授权...............................................23 4.3.4将用户状态变更为停用...................................23 4.3.5将用户状态从“停用”变更为“启用”.....................23 4.3.6将用户状态解除冻结.....................................23 4.3.7重置密码...............................................24 4.4修改用户注册信息............................................24 4.4.1操作方法...............................................24 4.4.2注意事项...............................................24 4.5修改密码....................................................25 4.5.1操作方法...............................................25 4.5.2注意事项...............................................25 附件.............................................................26
1.一、二、三级初次申请、复评申请、重新评审申请办理流程图........26 2.一级、二级、三级直接换证申请办理流程图........................27 3.冶金等8大工贸行业小微企业申请办理流程图......................28
企业安全生产标准化信息管理系统用户操作手册
1.登录系统
打开非兼容模式的IE8.0及以上版本IE浏览器,输入http://aqbzh.chinasafety.gov.cn,进入系统登录页面,输入用户名、密码、验证码,点击“登录”按钮,验证通过后进入系统主页面。
备注:密码连续输入错误6次,用户将被冻结,2个小时后才能重新登录系统。
企业安全生产标准化信息管理系统用户操作手册
2.办理证书申请 2.1办理证书申请
点击“办理证书申请”菜单、“待办任务”子菜单,进入待办企业安全生产标准化证书申请信息列表页面。
2.1.1签收证书申请
点击左上角的“待签收”按钮,进入待签收企业安全生产标准化证书申请信息列表,信息超过一页的,通过上下翻页功能进行浏览。
2.1.1.1签收证书申请
选中确定由登录用户处理的证书申请信息,然后点击右上角的 “签收”并确认。
企业安全生产标准化信息管理系统用户操作手册
2.1.1.2查看证书申请的详细信息
点击需要查看的证书申请信息,点击右上角的 “查看”按钮,可以查看选中证书申请的详细信息。
企业安全生产标准化信息管理系统用户操作手册
2.1.1.3查看证书申请的办理过程信息
点击需要查看办理过程信息的证书申请,点击右上角的 “办理过程”按钮,可查看选中证书申请的详细办理过程。
2.1.2处理证书申请
点击左上角“待处理”按钮,进入待处理企业安全生产标准化证书申请信息列表,信息超过一页时,点击上下翻页按钮浏览。证书申请详细信息、证书办理过程信息查看参照2.1.1.2和2.1.1.3。
备注:只有成功签收的证书申请信息,才会出现在待处理企业安全生产标准化证书申请信息列表页面中,登录用户才能进行登记评审信息、退回评审组织单位重新通知评审等处理。
企业安全生产标准化信息管理系统用户操作手册
2.1.2.1暂存评审信息
(一)操作方法
点击需要登记评审信息的证书申请,点击左上角的“处理”按钮,进入登记评审信息页面,输入(修改)、选择(重新选择)各项信息后,如果暂时不想提交给通知评审的单位(评审组织单位、同时承担评审组织单位职责的安全监管部门),点击“暂存”按钮,将各项信息保存到数据库中,方便后续修改。
用户也可以点击“申请表”链接查看企业证书申请的详细信息。如果通知单位发送了通知文件,用户也可以点击“通知扫描件”链接查看通知文件的具体信息。
企业安全生产标准化信息管理系统用户操作手册
(二)注意事项
(1)评审得分:必填,大于等于0,小于等于100,小数点后最多一位。
(2)评审结果:必选。
(3)评审日期:两个日期必选,前面的日期小于等于后面的日期。
(4)评审建议:必填,最长不查过200个汉字或字符。(5)评审人员:组长一人,成员至少一人,最多9人,选择的评审人员不能重复。姓名必选。单位必填,最长不超过100个汉字或字符。职务必填,不能超过10个汉字或字符。职称必填,不能超过10个汉字或字符。电话必填,不能超过25个字符。备注(证书编号)必须填写,最长不超过50个汉字或字符,没有填“无”。当前申请行
企业安全生产标准化信息管理系统用户操作手册
业不是危险化学品、化工、医药,登录用户所在评审单位维护的、评审领域包括当前申请行业的评审人员,可以在姓名下拉框中选择。当前申请行业是危险化学品、化工或医药,登录用户所在评审单位维护的、评审领域包括当前申请行业、具有合法有效的危险化学品安全生产标准化培训合格证书的评审人员,可以在姓名下拉框中选择。
(6)评审报告:必须上传,文件格式必须是doc、docx、pdf、zip或rar,不能超过3M。
(7)评审扣分项及整改要求:必须上传,文件格式必须是xls或者xlsx,不能超过2M。
(8)在文本框输入信息时,两端不能出现空格。
(9)文本输入框被标红,表示填写的内容与系统要求不符合,应按照系统提示重新录入。2.1.2.2提交评审信息
(一)操作方法
点击需要登记评审信息的证书申请,点击左上角的“处理”按钮,进入登记评审信息页面,输入(修改)、选择(重新选择)各项信息并确认无误后,点击“提交”按钮,将评审信息提交给通知评审的单位(评审组织单位、同时承担评审组织单位职责的安全监管部门)审查。
用户也可以点击“申请表”链接查看企业证书申请的详细信息。如果通知单位发送了通知文件,用户也可以点击“通知扫描件”链接查看通知文件的具体信息。
企业安全生产标准化信息管理系统用户操作手册
(二)注意事项
(1)如果通知评审的单位不存在具有审查员角色、相应行业数据权限、处于启用状态的用户,无法提交。
(2)其他注意事项参照2.1.2.1的“
(二)注意事项”部分。2.1.2.3退回评审组织单位重新通知评审
点击不属于登录用户所在单位评审的证书申请,点击左上角的“处理”按钮,进入登记评审信息页面,直接点击“退回评审组织单位重新通知评审”按钮并进行确认,输入备注信息后点“提交”按钮,系
企业安全生产标准化信息管理系统用户操作手册
统提示成功后,该证书申请转移到通知评审的单位,由通知评审的单位向另外的评审单位通知评审。
备注:如果通知评审的单位不存在具有通知评审单位评审员角色、相应行业数据权限、处于启用状态的用户,无法退回。
2.2查看已办理及其证书申请信息
点击“办理证书申请”菜单、“已办任务”子菜单,进入登录用户的已办理及其证书申请信息列表页面,可以按照各种条件进行查询。信息超过一页时,可以通过上下翻页功能浏览。
企业安全生产标准化信息管理系统用户操作手册
查看证书申请的详细信息及其办理过程信息,参照2.1.1.2和2.1.1.3。
企业安全生产标准化信息管理系统用户操作手册
3.查询统计 3.1本单位业绩统计
点击“查询统计”菜单、“本单位业绩统计”菜单,进入本单位业绩统计页面,可以按照各种条件对本单位登录用户数据权限范围内的评审数量进行统计。点击“导出”按钮,可以将统计数据导出到excel表中,点击统计数据可以查看统计到的评审信息明细。
3.2本单位评审人员业绩统计
点击“查询统计”菜单、“本单位评审人员业绩统计”菜单,进入本单位评审人员业绩统计页面,可以按照各种条件对本单位评审人员登录用户数据权限范围内的评审数量进行统计。点击“导出”按钮,可以将统计数据导出到excel表中,点击统计数据可以查看统计到的评审信息明细。
企业安全生产标准化信息管理系统用户操作手册
企业安全生产标准化信息管理系统用户操作手册
4.系统维护 4.1修改本单位信息 4.1.1操作方法
点击“系统维护”菜单、“单位信息维护”子菜单,修改、重新选择各项信息并确认无误后,点击“保存”按钮。
4.1.2注意事项
(1)单位名称:必填,不超过100个汉字或字符。(2)单位地址:必须选择到县(区、市、自治县)、省管县、直辖市区县。
(3)详细地址:必填,100个汉字或者字符之内。
(4)工商注册号:非必填,如果填写了应在10位字符之上,但不能超过30位字符。
(5)组织机构代码:不能修改。
(6)法人代表: 必填,50个汉字或字符之内。(7)联系人:必填,50个汉字或字符之内。(8)联系人电话:必填,25个字符之内。
(9)电子邮箱:非必填。如果填了,应在30个字符之内,且必须包含@,“@”的两端必须有字符,“@”后面的字符中间必须有“.”。
(10)在文本框输入信息时,两端不能出现空格。
(11)文本输入框、下拉选择框被标红,表示填写或选择的内
企业安全生产标准化信息管理系统用户操作手册
容与系统要求不符合,应按照系统提示重新录入或重新选择。
(12)如果系统中已存在其他同单位名称的评审单位信息,无法保存。4.2评审人员维护
点击“系统维护”菜单、“评审人员维护”子菜单,进入本单位评审人员信息列表页面。信息超过一页时,可以通过上下翻页功能浏览。
4.2.1新增评审人员信息 4.2.1.1操作方法
点击右上角的“新增”按钮,进入新增本单位评审人员信息页面,各项信息填写、选择完毕后,点击“保存”按钮。
企业安全生产标准化信息管理系统用户操作手册
4.2.1.2注意事项
(1)姓名:必填,50个汉字或字符之内。(2)性别:必选。
(3)身份证号:必填,18位字符,必须是合法有效的身份证号。
(4)民族:必填,最多10个汉字或字符。
(5)通讯地址:行政区划必须选择到县(区、市、自治县)、省管县、直辖市区县,详细地址必填、且不能超过100个汉字或字符。
(6)邮政编码:必填,6位数字。(7)手机:必填,11位数字。
(8)电子邮箱:必填,30个字符之内,必须包含@,“@”的两端必须有字符,“@”后面的字符中间必须有“.”。
(9)评审人员类型:必选。
(10)工作单位:必填,最多100个汉字或字符。评审人员类型为本单位评审员,工作单位必须与登录用户所在评审单位名称相同;评审人员类型为外聘评审专家,工作单位指的是专家现在的工作单位,企业安全生产标准化信息管理系统用户操作手册
不能与登录用户所在评审单位名称相同。
(11)职务:必填,最多10个汉字或者字符。(12)职称:必填,最多10个汉字或字符。
(13)聘请证书编号:评审人员类型为“本单位评审员”,不能填写;评审人员类型为“外聘评审专家”,必填,最长不超过30个汉字或者字符。
(14)最高学历:必填,最多10个汉字或字符。(15)最高学位:必填,最多10个汉字或字符。(16)最高学位毕业院校:必填,最多20个汉字或字符。(17)最高学位专业:必填,最多20个汉字或字符。(18)现从事专业及年限:必填,最多30个汉字或字符。(19)工作简历及主要成就:必填,最多500个汉字或字符。(20)评审领域:至少选择一个。
(21)标准化评审人员培训合格证书:至少1条记录。证书编号:必填,最多30个汉字或字符;初次取证日期:必填,年份应该大于等于2000;有效期截止日期:必填,初次取证日期小于有效期截止日期;评审范围:至少选择一项;颁证单位:必填,最长不超过100个汉字或字符。
(22)培训、继续教育:至少1条记录。培训起始日期:必填,年份应该大于等于2000;培训截止日期:必填,培训起始日期应该小于等于培训截止日期;培训内容:必填,最长200个汉字或字符;培训机构:必填,最长100个汉字或字符;培训形式:必选。
企业安全生产标准化信息管理系统用户操作手册
(23)在文本框输入信息时,两端不能出现空格。
(24)文本输入框、下拉选择框被标红,表示填写或选择的内容与系统要求不符合,应按照系统提示重新录入或选择。
(25)如果当前新增的评审人员的类型为本单位评审员,且已是本单位或者其他评审单位的专职评审员,无法保存。
(26)系统中存在同身份证号、但不同姓名的评审人员,无法保存。
(27)本单位已录入同身份证号的评审人员信息,无法保存。4.2.2修改评审人员信息
点击需要修改的评审人员信息,点击右上角的“修改”按钮,进入修改本单位评审人员信息页面,各项信息修改、重新选择完毕后,点击“保存”按钮。
备注:注意事项参照4.2.1.2。
企业安全生产标准化信息管理系统用户操作手册
4.2.3删除评审人员信息
点击需要删除的评审人员信息,点击右上角的“删除”按钮并确认后,选中的评审人员信息将从系统删除。
备注:选中评审人员参加的评审尚未办结,无法删除。
4.2.4查看评审人员详细信息
点击需要查看的评审人员信息,点击右上角的“查看”按钮,可以查看选中评审人员的详细信息。
企业安全生产标准化信息管理系统用户操作手册
4.3本单位用户管理
点击“系统维护”菜单、“本单位用户管理”子菜单,进入本单位用户信息列表页面。信息超过一页时,可以通过上下翻页功能浏览。
4.3.1新增用户 4.3.1.1操作方法
点击右上角的“新增”按钮,进入新增本单位用户信息页面,各项信息填写、选择完成并确认无误后,点击“保存”按钮。
4.3.1.2注意事项
(1)用户名:必填,30位字符之内,一个用户名只能注册一 21
企业安全生产标准化信息管理系统用户操作手册
个用户,不能重复注册。
(2)使用者姓名:必填,最多50个汉字或字符。(3)手机号码:必填,11位数字。
(4)电子邮箱:必填,30位字符之内,包含“@”,“@”的两端必须有字符,“@”后面的字符中间必须有“.”。
(5)用户角色:至少选择一项。(6)数据权限:至少选择一项。
(7)密码:必填,必须是数字和英文字母的组合,最少6位,最长不能超过20位。
(8)确认密码:必须与密码完全相同。(9)在文本框输入信息时,两端不能出现空格。
(10)文本输入框、下拉选择框被标红,表示填写、选择的内容与系统要求不符合,应按照系统提示重新录入。4.3.2角色授权
点击需要重新进行角色授权的用户信息,点击右上角的“角色授权”按钮,重新选择用户的角色,点击“保存”按钮。
备注:至少应选中一个角色。
企业安全生产标准化信息管理系统用户操作手册
4.3.3数据授权
点击需要重新进行数据授权的用户信息,点击右上角的“数据授权”按钮,重新选择用户的数据权限,点击“保存”按钮。
备注:至少应选中一个数据权限。
4.3.4将用户状态变更为停用
点击处于启用状态、需要停用的用户信息,点击右上角的“停用”按钮,确认后,用户将处于停用状态,该用户将无法登录系统。
备注:选中用户如果已签收企业安全生产标准化证书申请信息、且未处理完,无法停用。
4.3.5将用户状态从“停用”变更为“启用”
点击处于“停用”状态、需要重新使用的用户信息,点击右上角的“启用”按钮,确认后,用户状态变更为“启用”,该用户可以登录并使用系统。
4.3.6将用户状态解除冻结
点击处于“冻结”状态、需要重新使用的用户信息,点击右上角 23
企业安全生产标准化信息管理系统用户操作手册
“解除冻结”按钮,确认后,用户状态变更为“启用”,该用户可以登录并使用系统。4.3.7重置密码
点击忘记密码的用户信息,点击右上角的“密码重置”按钮,确认后,选中用户的密码重置为“123abc”,该用户可以使用重置后的密码登录系统并重新修改密码。4.4修改用户注册信息 4.4.1操作方法
点击“系统维护”菜单、“用户注册信息管理”子菜单,进入用户注册信息管理页面,修改用户手机号、电子邮箱后,点击“保存”按钮即可。
4.4.2注意事项
(1)姓名:不能修改。
(2)手机号:必填,11位数字。
(3)电子邮箱:必填,30位字符之内,包含“@”,“@”的两端必须有字符,“@”后面的字符中间必须有“.”。
企业安全生产标准化信息管理系统用户操作手册
(4)在文本框输入信息时,两端不能出现空格。
(5)文本输入框被标红,表示填写的内容与系统要求不符合,应按照系统提示重新录入。4.5修改密码 4.5.1操作方法
点击“系统维护”菜单、“密码修改”子菜单,进入修改密码页面,输入原密码、新密码、确认新密码后,点击“保存”按钮即可。
4.5.2注意事项
(1)旧密码:必填。
(2)新密码:必填,必须是数字和英文字母的组合,最少6位,最长不能超过20位。
(3)确认密码:必须与新密码完全相同。(4)在文本框输入信息时,两端不能出现空格。
(5)文本输入框被标红,表示填写的内容与系统要求不符合,应按照系统提示重新录入。
企业安全生产标准化信息管理系统用户操作手册
附件
1.一、二、三级初次申请、复评申请、重新评审申请办理流程图
开始企业向评审组织单位提交申请不符合受理条件评审组织单位形式审查需要补正材料企业补正材料材料补正告知书符合受理条件评审组织单位受理企业申请不予受理通知书不符合达标条件评审组织单位确认审查直接终止可以移交评审单位评审通知评审单位评审不属于是否属于本评审单位评审属于退回评审单位重新评审评审信息登记不同意评审组织单位审查退回评审组织单位重新审查同意审核通过是不同意公告安监部门审核同意公告对原达标证书的状态进行相关处理,生成新达标证书信息结束
企业安全生产标准化信息管理系统用户操作手册
2.一级、二级、三级直接换证申请办理流程图
开始企业向评审组织单位提交申请不符合受理条件评审组织单位形式审查需要补正材料企业补正材料材料补正告知书符合受理条件评审组织单位受理企业申请不予受理通知书评审组织单位审查退回评审组织单位重新审查同意审核通过是不同意不同意公告安监部门审核同意公告对原达标证书的状态进行相关处理,生成新达标证书信息结束
企业安全生产标准化信息管理系统用户操作手册
3.冶金等8大工贸行业小微企业申请办理流程图
企业信息系统的安全论文 篇6
关键词:机房安全;服务器;数据库
中图分类号:TP393 文献标识码:A文章编号:1007-9599 (2011) 08-0000-01
The Safe Operation Management Strategies of Enterprise Information Software System
Wang Huifeng
(SANYHE International Holdings Co.,Ltd,Shenyang110027,China)
Abstract:With the construction of enterprise information technology,information system security is also increasingly become increasingly important.With the expansion of network applications,business process applications in the network security risks are increasing,the intruder can attack the enterprise intranet,theft or other damage,which are on the corporate use of the network posed a serious security threat.This paper describes the enterprise information system security software applications to run management,from hardware management,software,security,fault handling different aspects of the management described.
Keywords:Computer room safety;Server;Database
一、机房安全
企业应根据自身特点为企业信息软件应用系统集中建立一个或多个专用机房,在机房中存放信息软件应用系统的服务器设备、网络设备、存储设备等相关硬件。企业机房应当参照《国家标准电子计算机机房设计规范GB50174-93》进行设计与建设。
企业机房要进行24小时专人执班,保证机房的温度、湿度、供电、防静电、防雷、防火等环境符合要求。人员进出机房要进行登记,外来人员不得随意进入机房。机房工作人员不得利用服务器从事工作以外的事情。
二、硬件设备安全
硬件设备系统是指为保证企业信息软件应用系统安全运行所涉及到的系统硬件设备安全。
(一)硬件范围:主要包括系统数据库服务器、系统应用服务器、系统前置机服务器、磁盘阵列、磁带库、网络防火墙、网络交换机等。(二)对于设计有冗余电源的设备,应当在购置设备时配置N+1冗余电源,减少设备因单电源失效引起的宕机事故的几率。(三)企业信息软件应用系统中提供远程登录的设备如服务器、防火墙、交换机等,密码要由专人持有,密码设置要符合密码复杂性要求,密码要定期修改。(四)系统管理人员要定期对企业信息软件应用系统所有硬件设备进行运行巡检,检查并记录设备有无运行异常及告警信息,巡检过程中要由专人负责监督。
三、网络安全管理
网络安全管理是指企业信息软件应用系统中的服务器设备所处的独立网络环境或企业应用系统数据中心(IDC)网络环境的安全。
(一)网络风险范围:主要包括企业信息软件应用系统的网络安全设备运行情况及其策略管理。(二)在企业信息软件应用系统的独立运行网络或企业数据中心(IDC),各网络间开放最小量访问策略。(三)系统管理人员要定期与安全设备厂商保持联系,及时更新设备厂商发布的安全补丁和升级程序,使安全设备运行在最佳安全状态下。(四)系统管理人员要定期对网络设备进行安全检查(建议每周一次),并出具书面检查报告。
四、服务器系统安全管理
企业信息软件应用系统的软件实现都要依托服务器设备来实现。系统安全是指安装在服务器上的操作系统软件、防病毒软件和防火墙软件的安全。
(一)根据应用软件系统的需求和服务器硬件架构选择安装合适的操作系统,服务器操作系统软件应当定期更新操作系统的安全升级补丁。(二)服务器应当安装防病毒软件,系统管理人员要定期更新防病毒软件更新补丁和病毒特征库。系统管理人员要为防病毒软件定制自动病毒扫描策略,定期检查策略的执行情况。(三)服务器应当安装防火墙软件,系统管理人员要定期更新防火墙软件更新补丁。系统管理人员要为防火墙软件配置出入操作系统的防火墙安全防护策略,阻止可疑的不安全防问。
五、应用系统安全管理
(一)对数据库用户进行分类别管理,一类是数据库查询用户,一类是数据库更改用户。数据库更改用户权限应通过DBA管理员监时分配,每次操作后由DBA回收用户权限,下次需要修改数据,向DBA申请权限。(二)禁止任何操作人员手工直接调整数据库业务数据。(三)系统管理人员应该为数据库系统制定备份策略,选择在数据库负荷比较空闲的时间执行备份。(四)应用系统服务器安装了企业信息软件程序,是应用系统的业务处理平台,是用户读取和写入数据的桥梁。应用服务器密码要由专人负责持有,不得转让他人,密码要符合复杂性要求且定期修改。
六、系统数据备份管理
(一)系统管理人员要制定针对数据库、前置机服务平台、应用服务平台的详尽的备份策略。备份策略中应包含文件系统备份,数据库系统在线和离线数据备份、日志备份。应根据应用系统数据的重要程度和应用系统的工作负荷灵活制定数据备份的方式和执行频率。(二)系统管理员应定期检查备份策略执行日志,检查备份执行情况。(三)所有备份数据的介质集中保存在异地由专人保管。每次备份介质的交接要填写交接记录表。
七、故障处理流程
在企业信息软件应用系统运行过程中,有可能会出现各种故障,根据故障的严重程度可以进行分类。
一类为一般性故障,该类故障主要是指应用系统中部分设备出现故障不能提供服务、网络访问缓慢或暂时中断等,该类故障不会引起系统数据丢失,不会造成全部用户长时间不能访问应用系统,处理时间相对较短;另一类为灾难性故障,该类故障主要是指系统因极端原因造成了系统宕机、数据丢失、设备损坏等严重事故,该类故障会造成全部用户长时间不能访问应用系统、数据可能会丢失、处理时间相对较长。
参考文献:
电力企业信息安全系统的价值作用 篇7
构建电力信息系统安全体系的目标是完善电力信息安全管理机制, 强化电力信息的管理和控制手段, 加强电力信息的安全和保密工作, 提高工作人员的信息安全意识。根据电力信息管理系统的架构分析, 它包括管理制度、安全管理机构、技术体系和系统组织运行等。其中管理系统主要有安全管理制度、管理组织、人事管理、系统管理与运行等;技术系统包括网络的系统安全、OSI安全技术、审计、系统密钥、安全管理等;组织系统包括机构、岗位、人事组织等内容。电力信息安全系统的能够确保系统的完整性、机密性、安全性、兼容性等, 能够有效的的实现主体对电力信息的管理和控制。
2 系统技术方案
2.1 研究目标
建设一个全方位、集中式的电力企业信息安全监管平台, 集中采集各类分散安装的主机、网络设备、安全设备的安全信息和事件记录, 进行关联性分析、优先级判断和可视化展现, 对企业信息安全状况 (物理安全、边界安全、应用安全、终端安全等) 进行全局性、局部性的风险评估, 对安全策略和配置进行统一协调, 对安全信息和安全事件迅速、准确地做出响应、处理和统计。
2.2 系统技术要点
(1) 基于异构模式的监控信息采集平台。通过Agent、SNMP、WMI、Telnet等多种数据采集方式对各种防火墙、交换机、路由器、操作系统、应用系统等日志进行收集, 实现对IT基础架构日志的全面掌控, 同时对收集的日志进行标准化和格式化。
(2) 构建IT资源运行模型库, 智能分析资源运行状态。系统可以根据采集到的数据, 生成一个资源运行模型库, 并将实时采集的数据与模型库对比, 变化超过预订范围即产生报警。
(3) 通过对通信包数据的检索、智能分析, 准确定位运维问题设备。
(4) 通过对运维数据包的中转, 控制运维人员对服务器、网络设备等资源的访问, 并在访问过程中记录相应的操作, 以备日后审计, 实现对运维人员操作的控制、监控、审计。
(5) 使用Shark工作流引擎, 串联运维工作的各项环节, 实现IT运维规则联动。
3 主要功能
3.1 信息安全事件集中采集
(1) 信息采集:采集来自不同设备的事件记录 (如防火墙、入侵检测系统、防病毒软件、网络设备、操作系统、数据库及其它应用程序等) 后, 进行日志分析、事件优先重要性分析及可视化呈现, 是所有安全信息处理的中枢。
(2) 报表服务:基于不同设备类型日志定制实现不同展示方式的报表。特别是合规性的报表。
(3) 日志库管理:系统将采集来自不同设备 (如防火墙、入侵检测系统、防病毒软件、网络设备、操作系统、数据库及其它应用程序等) 的各种格式的事件记录, 通过统一的格式转换存储到日志库中。
(4) 日志文件下载:FTP日志下载功能, 可以方便的从FTP服务器上下载日志文件到系统所在服务器上的指定位置, 方便值班人员的查询、浏览、管理重要日志文件。
3.2 信息安全事件日志分析
作为通用事件日志存储库分析中心, 分析所有企业的事件数据, 这些数据进而又用于检测威胁、快速排除故障和简化合规性监控。安全事件日志分析系统可以分析所有企业日志数据, 同时提供压缩的、低耗高效和自管理的日志存储库。
(1) 全网日志的集中分析评估:通过综合日志审计系统实现了对网络中的不同类型安全设备 (如防火墙, IDS、AV等) 、网络设备 (如路由器、交换机) 、操作系统 (如Windows、Linux、Unix) 等多种产品及系统的日志数据的分析, 支持对不同格式日志的统一的格式转换和分析, 省去了管理人员以前的单一、逐类进行日志信息分析的模式。
(2) 全网业务合规管理:综合日志审计系统具有对网络内的非法攻击、病毒爆发、违规外联等事件进行综合汇总分析, 从而了解全网中的安全与业务合规状况。
(3) 统计图例管理:根据时间段、监控对象、统计单位 (分钟、小时、天) 等条件统计的统计结果, 将监控对象的性能数据以曲线图的方式展现出来。
(4) 深层次的数据挖掘分析:采用了先进的数据挖掘分析技术, 从收集到的大量数据当中进行深层的数据挖掘, 该技术融合了数据库、人工智能、机器学习、统计学等多个领域的理论和技术, 从而提取出一些隐含的、潜在的有用信息来为决策系统服务。
(5) 报表定制和发送功能:为用户提供自定义报表功能, 客户可通过简单灵活的定制方法定义日报、周报或者月报, 报表内容包括状态统计报表等, 展示形式包括饼图、柱状图等, 不同类型的报表可以定制不同的统计方法, 以邮件的形式按照设置的制表时间自动发送给定义的报表接收人。
(6) 存档和报告事件:日志分析系统能从分布式的Windows和UNIX主机, 路由器, 交换机收集事件日志或系统日志。日志将被自动存档, 并立即生成报表以显示网络重要的系统信息, 直观地呈现主机的重要事件和所有事件相关的进程等信息。
3.3 信息安全事件报警
本系统提供图形化报警提醒界面, 如果某个特定的区域发现符合报警条件的情况, 则产生告警。并且将报警信息相应的图形显示为红色扩散状的小球, 以提示管理人员问题点所在, 管理人员可通过网络平面图直观查看网络运行情况。当点击相应的红色小球, 则显示具体的报警信息, 同时可以进入详细页面查看原始日志和标准化后的报警日志。
3.4 运维流程管理
将传统工作模式中的工作流程固化到系统中, 通过电子化的审批模式, 将运维工作进行规范和优化、达到工作量化、电子自动化、流程可控、办事透明、降低成本的效果、帮助企业实现高效管理。
3.5 信息安全事件定位取证系统
从安全信息的来源入手, 对各种安全信息进行集中分析, 从而有效地发现安全问题, 包括攻击、故障和安全事件, 并通过事件和攻击痕迹, 向管理者阐明当前IT环境的安全状况;同时安全信息监管还包括对安全信息原始数据的保存, 为今后的取证准备了必要条件。
3.6 与信息安全设备联动
通过集成的远程管理接口, 实现与交换机、路由器、防火墙等设备的联动。
摘要:随着电力在企业与生活中的应用, 电力信息安全成为电力系统首要解决的问题之一, 信息安全的负面影响已渗透到电力企业生产的多个方面, 对电网的安全、稳定、优质的运行带来了重要的影响, 构建安全、稳定的电力信息管理系统是在必行。
关键词:电力企业,信息系统,安全,价值
参考文献
[1]刘永军.浅谈电力电子技术在电力系统中的应用[J].黑龙江科技信息, 2013 (16) .
[2]陈晨.电力电子技术发展动向与应用[J].电子技术与软件工程, 2013 (09) .
探讨提高企业信息系统的安全性 篇8
信息系统安全指的是信息系统包含的硬件、软件以及数据受到保护的状态,即不会因为突发的冲击或恶意的攻击而被破坏或者泄露,信息系统可以连续正常运行的状态。信息化技术飞速发展让许多企业认识到凭借先进的IT技术能够构建出更加优化的企业业务、运营平台,这能够极大提升企业的核心竞争力,使企业从残酷的市场竞争中实现层层突围,达到可持续发展的目的。近年来,随着企业信息化的逐步深入,企业建立的系统随时可能被病毒感染、被黑客入侵,这样将导致巨大的损失。因此信息系统的安全问题也日益受到人们的重视。
2 现状
从2005年在全国各行业对网络安全技术的采用情况看,各类网络安全技术使用中,“防火墙”以高达76.5%的比例位居使用率榜首,“防病毒软件”以53.1%的比率位居次席。2005年以来,网络安全技术投入已经大大提高,“物理隔离”和“路由器ACL”等技术已经被广泛应用。防火墙凭借其价格实惠、安装便捷以及易于在线升级的优势可以占据榜首,但是随着大量企事业单位网络安全意识和信息保护意识的逐步提高,生物识别技术、虚拟专用网络以及数字签名证书等技术的使用率都在逐渐提升。根据调查可知,我国投入到网络安全建设中的资金在网络建设总资金中所占的比例还比较小,远远低于欧美和日韩等国家。由于我国企业形态目前仍以中小企业为主,而中小企业的资金预算中对于网络安全建设这种短期看不到实在回馈的投入方式还不是很积极。更值得引起注意的是,中小企业的管理者通常在网络风险面前存有侥幸心理,加上缺乏专门人士进行细致的指导,导致目前国内企业的网络安全建设情况良莠不齐,业内不少人士认为这样的状态是无法跟上日益发展的网络技术的脚步的。2009年"力拓事件"使国内更多企事业单位注重信息系统的安全维护,这是一个积极趋势。作为中小企业,还是应该树立长远的眼光,为了拥有一个稳定的网络环境从而能够实现持续经营需要投入更多比重的资金。下文将从具体的措施来进行分析如何才能提高企业信息系统的安全性。
3 建议
(1)进行全面安全漏洞检测,建立立体安全防范体系
信息系统安防技术设计许多安全设备和技术手段,没有一个企业可以将所有的设备和技术都储备完善,而且任何防御总是被动的,从这个意义上说,信息系统的绝对的安全并不存在。企业要研究自身特点,根据自身的需求,对信息系统作全方位的漏洞检测,并依照检测分析结果进行防范体系的构建。
(2)合理配置防火墙和入侵检测系统,正确设置服务器安全选项
位于不同网络或者网络安全域之间的一套部件的组合称为防火墙。它构成了不同网络或网络安全域间交换信息的唯一路径,可以让出入网络的信息流符合企业制定的安全政策,而且防火墙本身具备一定的抗攻击能力。它是实现网络、信息安全,为客户提供信息安全服务的基础设施。按照逻辑,防火墙作为一个分离器或者限制器,对内网和因特网之间的所有活动进行监控,能够有效保护内网安全。由于经过特定选择的应用协议才可以通过防火墙,所以防火墙使网络环境更安全。除了安全作用,有些防火墙还可以支持有因特网服务特性的企业内VPN网技术体系。依靠VPN,企事业单位分布在世界各地的LAN可以联成一个整体。这不仅为信息共享提供了技术支持,更是节省了专用通信线路。不少企业认为安装一套防火墙信息系统就安全了,其实不然,防火墙功能是否能够充分发挥,除了其本身的特性外,还有赖于它的正确配置。实际应用中,常常可以发现有些企业由于防火墙配置错误导致一系列安全漏洞,使入侵者有机可乘。入侵检测作为防火墙的补充,能够对付网络攻击,可以扩展包括安全审计、进攻识别、监视等环节的安全管理能力,提升了信息安全基础结构的完整性。
(3)采用合适的防毒产品,配置安全实用的防病毒系统
计算机病毒近年来层出不穷,且出现很多变种,成为了信息系统安全最大的威胁。许多企业都被种类繁多的病毒所累,企业的信息系统有时甚至出现瘫痪的状态,有的企业因为病毒的出现而丢失数据。因此,根据具体情况和应用的方向选择合适的防毒产品来对企业的信息系统进行保护是很有必要的。结合笔者多年从业经验,可以根据应用系统的安全等级要求来采用多种有针对性的措施查杀病毒。服务器和重要的系统关系着数据安全和系统运行的稳定性,因此针对这两个部分采取的防病毒措施必须要以数据安全和系统稳定运行为前提。对于个人电脑等终端设备要按照不能因为它而影响整个系统安全的原则来制定病毒防护策略,与此相应的是工作站的连续运行能力并非权衡的重点,要禁止将不安全的工作站接入系统内,以便保证系统的安全。
(4)建立企业信息系统的自我安全评估机制
由于对系统风险的评估会检测出信息系统的安全需求,因此,风险评估应该作为信息系统安全建设的一个重要任务。信息安全建设是为了服务于信息化,直接目的是要达到对风险的控制、消除。只有准确深入了解安全风险,才能针对性地处理风险。长期坚持进行风险评估工作可以有力地推动拥有信息系统单位的绩效。企业信息的安全风险评估模式主要有二:自我评估和他人评估。前者是拥有信息系统的单位通过自身力量来评估信息系统风险,后者是企业委托具有专门评估资格的机构来对安全性进行评估。在考虑企业的信息安全问题时,应当考虑以下问题:1)网络是否面临威胁?安全问题有哪些?2)哪些部分构成了企业最关键的信息资产?3)网络设备安全与否?操作系统以及数据库系统是否安装调试正确?4)系统中运用了何种保障安全的措施?有效与否?5)本单位需要哪一类风险控制手段?需要什么安全技术作为保障?6)出现安全事故后,有无紧急响应的应对措施?如何区分信息系统内各部分的重要性?企业评估信息系统的安全性,内容上要涵盖整个企业的信息资产,具体涉及三个方面的内容:第一,物理层面。即企业的固定资产,其中包括通信线缆、供电系统、网络设备、主机系统、其他功能设备以及房产。第二,逻辑层面。即企业的信息资产。其中涉及软件、纸介质文件、数据、影音资料等等。第三,管理层面。即企业的无形资产。包括组织结构、人员配置、管理制度、系统运行保障措施以及其他管理规范。
4 结语
企业信息系统的安全问题是一个系统性的、动态的、相对的问题,信息安全问题是一个应该常抓不懈的工作要点,企业信息系统安全的评估离不开对系统所处的网络环境的风险评估及其应对策略,更不能缺失安全策略和防御体系的构建,只有不断运用实时监测的技术,对系统的安全问题进行跟踪分析,进而采取动态调整的理念对系统进行及时优化,才能够保证企业信息系统最大限度的安全性。
参考文献
[1]余凯.有关企业信息系统安全问题的研究[J].中小企业管理与科技,2009,(11).
[2]张杰.论企业信息系统的安全防范[J].科技风.2009,(5).
[3]王旭.企业信息系统的自我安全评估及流程[J].新疆电力,2006,(3).
企业信息系统的安全论文 篇9
随着信息时代的到来,企业的信息化程度呈现出加速度增长的态势,企业信息系统的核心子系统——会计信息系统应用范围日益扩大,应用程度日益加深。会计信息系统是一种基于会计管理活动,由人、信息处理设备和运行规程三方面组成的集成化人机交互系统,以计算机网络通信技术为手段,以Internet/Intranet为基础,以财务管理为核心,实现业务核算和财务核算的一体化。它支持电子商务,实现各种远程操作、动态会计核算和在线财务管理,支持电子单据处理和电子货币结算,其诞生及应用是企业管理手段的巨大进步。由于其自身的开放性、资源的共享性等特点,会计信息系统在给企业带来方便快捷的信息服务的同时,也给企业内部安全控制带来了新的问题和挑战,会计信息系统能否安全、可靠、有效和高效地运行,是避免出现会计信息滞后、失真和错误的关键所在,也是决策能否实现正确性、及时性和针对性的关键所在。
1 会计信息系统存在的安全问题
从目前企业会计信息系统的使用情况来看,会计信息系统的安全性方面存在着以下几方面的问题。
1.1 计算机硬件系统和软件系统的安全问题
硬件系统是指会计信息系统赖以生存的计算机硬件设备,如果硬件设备发生故障,轻则使工作无法进行,重则使整个设备瘫痪,造成巨大的经济损失。硬件方面特别要注意电源,电源的稳定性会直接影响到会计信息系统的运行和安全,硬盘、磁盘等高速旋转运行的设备突然停转,往往会导致磁头、盘面等元件的物理损伤,并导致某些数据的永久性丢失。此外,硬件的使用环境是一个容易被忽略的问题,如空气湿度过高易使电子元件失灵或存储设备丢失数据;水的长时间浸泡容易使得各种绝缘层腐烂、脱落而引发短路;进水易使主机设备烧毁;温度过高或过低都会使得系统异常。软件系统包括操作系统、会计软件、数据库系统、会计档案等,存在遭计算机病毒入侵、软件本身的漏洞、开发者有意留有的程序“后门”和“逻辑炸弹”等安全问题。计算机病毒极易破坏会计信息系统中软件系统的安全;由于程序人员疏忽所导致的软件漏洞会降低软件安全运行的等级和效率,使系统受到外来攻击破坏;程序“后门”是编程人员故意在软件系统中加入的在一定条件下能够运行并为自己获利的代码,“逻辑炸弹”是编程人员在设计软件程序时加入的一段破坏性代码,能够在一定条件下被激活,并可能会删除数据或破坏数据文件,或破坏整个系统,对软件系统的安全影响不容忽视。
1.2 网络系统的安全问题
网络系统的安全是会计信息系统安全性方面尤其值得关注的问题,主要有以下三方面。
1.2.1 窃取口令
窃取口令是指黑客们通过不正当的手段来获取他人的账号和密码,从而获得他人系统的访问权限,这会给系统带来巨大的安全隐患,企业财务信息的安全性会受到极大的威胁,企业的商业秘密也有可能泄露,从而造成不可弥补的损失。
1.2.2 网络监听
网络监听是一种监视网络状态、数据流程以及网络上信息传输的管理工具,它可以将网络界面设定成监听模式,且可以截获网络上所传输的信息。当黑客登录网络主机并取得超级用户权限后,若要登录其它主机,使用网络监听便可以有效地截获网络上的数据,这是黑客使用最好的方法。
1.2.3 拒绝服务攻击
拒绝服务攻击指攻击者利用拒绝服务攻击软件,对某一个资源发送垃圾信息,从而导致带宽或资源过载等情况的“瓶颈”问题,使得其他访问用户无法享用该资源。
1.3 数据交易的安全问题
保管企业的核心数据的问题就是数据交易的安全问题。随着会计信息系统的普遍应用,商业的交易大多都是借助于网络,一旦交易数据被窃取或者被损坏,导致这些数据的无法恢复,也会中断企业的业务,致使严重的损失。
1.4 企业会计信息系统安全管理体系缺失的问题
企业在使用会计信息系统时,常常存在内部缺乏信息安全监督机制的问题,各单位、各部门、各岗位的信息安全管理职责,以及相互间的协作和制约关系没有系统地建立起来,有的企业甚至没有安全管理机构和维护会计信息系统安全的专业人员。
1.5 高素质的会计人才缺乏的问题
随着会计信息系统的发展和应用,传统会计已向网络会计发展,这是企业管理手段的巨大进步,但如果没有高素质、高层次、高技术的复合型会计人才配套,网络财务、电子商务都难以获得实质性发展。会计信息系统的实施以后,要求财会人员能及时发现使用中出现的问题,以便于技术人员跟踪处理,这类综合性人才目前极为紧缺。
2 会计信息系统安全的防范措施
针对会计信息系统存在的安全问题,建议企业采用以下几方面的安全防范措施。
2.1 计算机硬件系统和软件系统的安全防范措施
在硬件方面,首先,采购时要多搜集计算机硬件的相关信息,购买时仔细检查硬件是否有异常问题,并在试运行一段时间后再投入到实际应用中。其次,要防范会计信息系统应用过程中硬件系统的安全隐患问题:使用不间断电源,并采取系统接地、下班后要切断所有硬件设备电源来保证电源安全;要定期检查、备份数据文件,可以通过建立数据备份中心来保证会计信息系统的数据安全和数据文件的可用性;建立相关制度,规定避免含磁的物品靠近计算机等。软件方面需要在计算机病毒、软件漏洞和一些“后门”、“逻辑炸弹”中寻求解决策略。择优选择杀毒软件,定期杀毒,并随时更新杀毒软件以达到有效保护计算机系统安全使用的目的;对于企业网、校园网等复杂网络环境,可以采用网络杀毒软件来防治网络病毒或利用服务器来进行全方位的病毒防治;定期备份数据文件,保证会计信息系统受到病毒破坏时可以及时恢复数据;制定严格的管理制度,装有会计信息系统的计算机应严格限制上网活动;谨慎使用网络共享和U盘、移动硬盘等;使用正版软件,尽量避免使用下载等途径得到的软件;谨慎浏览电子邮件;设置Office软件的宏安全级别等。会计信息系统使用人员在初始安装时要注意软件是否有异常问题,并要调试运行,观察是否存在由于访问验证错误、竞争条件错误、意外情况处置错误等导致的软件漏洞,平常使用时也要随时关注和记录软件运行的异常情况,并针对需要修改的地方及时安装补丁程序,并定期对软件系统进行扫描分析,以应对软件漏洞问题。针对编程人员故意设计的“后门”或“逻辑炸弹”等问题,应该在采购软件系统时就评价相关软件厂家的产品质量、厂家信誉、售后服务、软件使用企业所反映的情况等,在采购后运行时要加强对软件的使用情况尤其是异常情况的分析和管理。
2.2 网络系统的安全防范措施
对于窃取口令的问题,可以通过细心设计自己的账号口令、定期更换口令、运用动态口令设备类先进技术等一系列措施达到预防口令被获取的可能;对于网络监听,可以通过检查网络状态或者安装专门的软件来进行监测;对拒绝服务攻击的策略,可以通过与网络服务提供商加强合作,优化配置网络拓扑结构,并关闭不必要的端口和服务,以达到减少可能遭受拒绝服务攻击范围的目的。
2.3 数据交易的安全防范措施
需要建立完善的加密机制和管理措施。我们可以从以下几点来保护数据的安全:(1)采用加强物理访问控制措施。防范一些外部的人员和存储有重要数据的输出设备有所接触,例如主机、打印机等。同时要增强各种存储设备的管理。(2)采用加强逻辑访问控制。在访问设备系统时,可以设置一些权限,把访问权限分为不一样的等级,不同的等级再以不同的账号和口令方式配发给不同的用户。为了防止黑客的入侵,可以使用多种措施来保护系统,进而做到外部人员不能随意的侵入而且内部人员也不能逾越权限的有效控制。(3)企业要定期的更新和备份数据,建立完善的灾难恢复计划,最小程度的降低企业不可预见的灾难所造成的数据损失。(4)建立具体的安全审计日志,以此检测和跟踪入侵的攻击。
2.4 会计信息系统安全管理体系的建立
2.4.1 建立严格的信息管理和内部控制制度
我国涉及信息系统安全的法规有《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》等,这些法律法规制度严格规定了计算机网络系统信息安全受到法律的保护,任何人、任何单位不得侵犯系统的信息安全。因此,在建立企业内部控制制度时,可以借鉴以上法律法规,从法律、道德、纪律等方面约束企业内部工作人员,以防止职务犯罪。
2.4.2 要加强审计和监督
企业要基于审计委员会或高层决策机构设置单独的内部审计部门进行工作,以此来加强系统的运行和管理。内部审计有以下几方面的内容:(1)企业要依据《会计法》和相关的法律规定去定期的对会计资料进行审计,去审查系统的处理对与不对。(2)企业要查审电子数据和书面资料是否相同,要及时的处理不合适以及不正确的账表。(3)为了预防有漏洞,企业要针对系统在运行的每个环节都要审查。(4)为预防不合法的修改系统的历史数据的现象发生,企业要时时监督系统数据的保存方式的安全是否符合法律的相关规定。(5)企业要记录并且分析一些网络资源方面的问题,例如网络故障和系统的记账等等。
2.5 培养高素质的财会人员
企业要注意培养复合型人才,使其具备现代信息技术和管理理论与实务以及一些会计知识。企业可采取以下方法培养高素质的财会人员:(1)用教育提升其安全防范意识,在思想意识提升的同时提高其职业道德水准。(2)为预防某些会计信息以非法手段入侵本企业财务网站,要加强他们在财会专业方面知识的培训,使他们掌握有效过滤网络会计信息的能力。
总而言之,要适应网络会计的发展,人才是根本保证,企业必须注重人才的培养和与时俱进,以保证企业会计信息系统安全性、可靠性、有效性和高效性。
参考文献
[1]张孟,李洁.网络环境下会计信息系统的安全问题探讨[J].观点,2010,(4).
[2]熊绪进.网络会计信息系统安全控制探讨[J].会计电算化,2010(,3).
[3]何喜平,黄世钱.管理信息系统在企业现代化管理中的应用[J].阅读改变管理,2010(2).
[4]王茜.关于我国中小企业管理信息化的思考[J].财会月刊,2010(,1).
[5]王世波,王成.会计信息系统安全研究[J].中国管理信息化,2007(,7).
某矿山企业信息系统安全分析 篇10
互联网是一把可以推动经济倍增和社会文明跨越发展的双刃剑, 当前是其正面之刃互联网+的如火如荼, 而其负面之刃含计算机信息网络安全风险防范, 也因而尤显紧迫必要和形势的严峻。为推动企业积极应对当前经济的下行压力, 全力以赴打好提质增效攻坚战, 不断提高企业重大风险管理水平, 实现持续、健康、稳定发展, 依据国家机关的相关要求, 笔者公司开展了重大风险管理自查工作, 本文为其中之一信息系统安全风险年度研究简案, 现分享供参考。
2015年度信息系统安全风险管理
一般的信息系统 (Information System) 是由计算机硬件、网络和通讯设备、软件、信息资源、信息用户和规章制度组成的以处理信息流为目的的人机一体化系统。该系统主要包括:辅助决策系统 (DSS) 、工业控制系统 (CCS) 、办公自动化系统 (OA) 以及数据库、模型库、方法库、知识库和与上级机关及外界交换信息的接口。特别是办公自动化系统 (OA) 的应用, 与上级机关及外界交换信息等都离不开Intranet (企业内部网) 的应用。
信息系统安全包含了上述对应范围内容的安全管理, 主要有:物理安全, 包括环境安全、设备安全、媒体安全等方面。处理秘密信息系统的数据中心机房应采用有效的技术防范措施;运行安全, 包括备份与恢复、病毒的检测与消除、电磁兼容等。涉密系统的主要设备、软件、数据、电源等应有备份, 并具有在短时间内恢复系统运行的能力。应采用国家有关部门批准的杀毒软件适时查毒杀毒;信息安全, 确保信息的保密性、完整性、可用性和抗抵赖性是信息安全保密的中心任务;安全保密管理, 包括各级管理组织机构、管理制度和管理技术等。
信息系统安全风险产生过程, 主要是交付信息系统的安全保密合同条款的有无;信息系统的陷门;信息系统中发生用户标识截取、伪装、重放攻击;数据截取;非法使用;病毒;拒绝服务;恶意移动代码;数据库数据文件丢失、系统损坏、系统源文件泄露、系统管理员口令暴露等问题。
以上可看出, 信息系统安全风险管理是“三高”性的, 即高新技术、高智力劳动和高强度工作量。导致其安全维护也相对复杂。
笔者公司于2001年在集团公司内率先建成计算机网络信息系统并投入办公正常应用。领导在信息系统安全意识上较为重视, 在其建设期即同步考虑了相应安全内容, 并将信息系统安全风险管理工作纳入网络管理日常工作中, 前后出台了相应的安全运用制度。还根据工作需要配备了计算机信息网络安全监测系统, 开展了日常监测工作;配备了网络异地备份系统, 定期检查其运行状况;对引进的网络设备和系统基本设置了身份识别、操作权限和密码管理;逐步加强了调离人员使用IT设备和信息用户清理管理;按制度落实了网络和终端防杀毒措施;还逐年对部分办公人员和新进员工开展了计算机信息网络安全使用培训工作;每年按制度由办公室牵头并联合政工和监察部门不定期对网络安全使用情况例行检查, 并进行处罚公示;并作好风险分级管控效果探索等等。
2015年在信息系统安全风险管理方面, 除了坚持其常规安全管理工作外, 主要有:一是根据管理新常态修订了《矿业总公司网络安全运行管理办法》并严格执行;二是完成了总公司网络机房向绿色数据中心发展的技改, 部分达到了B级安全等级以上标准;三是更新和配置了具备防火墙功能的路由器网络出口设备;四是对运行多年的OA系统的服务器硬盘系统进行了成功在线扩容, 确保和延长了网上办公的运行容量和服务安全;五是对科技之家网站系统进行了变动的初步安全分析, 下步应加强改版工作;六是完成了25人次的部分办公人员和新进大中专毕业生的网络办公和计算机信息网络安全使用培训工作。
截止目前未发生一起重大的信息系统安全风险事件。总体上信息系统安全风险可识别和可控。
另外信息系统中的工业控制系统的安全风险也较多较大, 因职责关系, 此处略。
2016年度信息系统安全风险评估研究
在一定程度上逐步解决了原信息系统安全风险中的诸如信息系统防杀毒风险、信息系统使用人员安全应用教育风险、数据备份风险、OA系统服务器在线硬盘容量不足运行风险、网络出口设备老化风险、数据中心机房绿色标准化风险等等, 并将其纳入常规风险日常监控管理范围。按自身管理需要和本次文件要求, 经过逐项的专业分析和排查, 认为在2016年及之后, 公司在信息系统安全风险还有新增风险如下, 当然有的是我们一直申请在解决和监控中。
1.档案系统备份风险
风险源:数据备份 (技术部和办公室、科技档案系统研发项目、电子档案管理) 。
风险成因:现为本机备份操作风险;服务器硬盘损坏风险;共享误操作风险等。
风险发生后对本单位的影响:电子档案丢失;致使原档案员劳动无效, 其重来劳动已不能复原档案原况。
发生可能性:随机发生、难以预测。一旦发生时会产生较大直接经济损失。安全风险级别为一级 (特别重大) 。
风险预警指标:有无异地备份系统;备份策略合理性;备份完整性检查。
主要应对措施和控制策略:在现有备份系统上申请购买一至两个备份点, 或配置专门备份系统。
2.档案系统服务器风险
风险源:服务器运行 (办公室、科技档案系统研发项目、服务器运维管理) 。
风险成因:现与其他系统共用服务器, 各系统运维中会互相影响。
风险发生后对本单位的影响:各系统停止服务, 会对相应业务工作产生一定影响。
发生可能性:大。安全风险级别为二级 (重大) 。
风险预警指标:服务器是否专用;是否有容错策略。
主要应对措施和控制策略:服务器配置计划已列入2016年公司资本投资计划;软件商协作信息系统迁移;备份系统供应商协作备份点植入。
3.OA系统运行风险
风险源:宕机 (办公室、网上业务开展) 。
风险成因:信息系统自身运用规律造成。
风险发生后对本单位的影响:网上业务工作不能及时进行。
发生可能性:随发生、难以预测。安全风险级别为三级 (较大) 。
风险预警指标:是否有常态服务保障。
主要应对措施和控制策略:加强与股份公司办公室联系;与OA系统开发商和供应商服务部门技术人员沟通协调;做好日常监测工作, 搞好应急处理工作。
4.管控一体化系统运用风险
风险源:管理模式变化风险 (企管部和办公室、应用软件升级管理) 。
风险成因:信息系统自身开发运用规律造成。
风险发生后对本单位的影响:相应自动业务不能进行。
发生可能性:领导可控。若管理模式变化快, 将产生大的直接经济损失。安全风险级别为一级 (特别重大) 。
风险预警指标:管理模式上是否有重大调整。
主要应对措施和控制策略:领导在管理上有重大调整前, 应由相应部门对投入大的信息系统作好相应影响评估, 听取信息系统安全风险部门意见, 再综合决策。
5.管控一体化系统运维风险
风险源:技术支撑人员变化风险 (企管部、办公室和系统合作开发方、应用软件升级管理) 。
风险成因:正确认识应用系统运维阶段在软件生命周期中的重要性。
风险发生后对本单位的影响:系统不能正常使用或报废。
发生可能性:管理上可控。若发生可能产生大的直接经济损失。安全风险级别为一级 (特别重大) 。
风险预警指标:是否有2人以上人员消化吸收了系统关键技术;协作方有无保障应急服务的能力。
主要应对措施和控制策略:按本风险预警指标考核或约束内部人员和协作方。
6.其他信息系统等风险
风险源:相关专业管理人员未参加建设或意见未被项目吸取 (各单位部门和办公室、系统运维障碍和误会) 。
风险成因:部分对信息系统建设规律认识误区或机构职责不易厘清造成。
风险发生后对本单位的影响:系统堆集在运维阶段的问题多, 难以厘清和追责。
发生可能性:管理上可控。难以预测直接经济损失。安全风险级别为二级 (重大) 。
风险预警指标:有无专业管理人员参加并发挥作用和吸取相应意见。
主要应对措施和控制策略:逐步健全机构和厘清职责;确立关联系统上参加人员的合法地位和作用;具备相应系统的知情权, 达到一定制约和避免损失。
7.网络不稳定风险
风险源:网络老化风险 (各单位和办公室、到各单位的网络主干交换、设备间及主交换系统) 。
风险成因:各基层单位网络设备间环境混乱、设备老化、网络主交换损坏、网络接入随意性、网络负荷逐年加重、网络IP拓朴优化等。
风险发生后对本单位的影响:网络不能正常访问、信息系统不能正常使用等。
发生可能性:随机发生。难以预测直接经济损失。安全风险级别为二级 (重大) 。
风险预警指标:是否网络接入和新应用增加报备;IP规划是否合理;网络故障是否及时或4小时工作时内申报;网络故障申报后是否及时响应或8小时工作时响应;各级是否强化支持;网络操作是否按技术要求或标准执行;网络更新是否系统优化和及时等。
主要应对措施和控制策略:健全制度 (含数据中心机房管理制度) ;严格执行已有制度;根据管理新常态, 合理布局和拓展计算机信息网络;网络更改优化项目已列入2016年公司资本投资计划, 拟待资金情况实施。
2016年度信息系统安全风险同2015年度相比的变动情况及原因分析
2015年的信息系统安全风险中的OA系统服务器在线硬盘容量不足, 运行风险和网络出口设备老化风险, 在其可预期的生命周期内已算彻底解决。信息系统防杀毒风险、信息系统使用人员安全应用教育风险、数据备份风险、数据中心机房绿色标准化风险等要与时俱进, 常态化监控。
与2015年相比增加的风险有:档案系统备份风险、档案系统服务器风险、OA系统运行风险、管控一体化系统运用风险、管控一体化系统运维风险、网站升级风险、其他信息系统等风险、网络不稳定风险。并自觉尝试风险分级管控实操效果探索和积累研究 (各级标准指标增减 (含资源调用) 、调级机制等) 。
增加或变动主要原因:一是新建项目或信息系统产生;二是电子系统产品属精密用品, 更新换代快, 使用寿命相对不长;三是其从业性有前述“三高”性, 技术含量高;四是国家网络安全及信息化小组成立, 对相关要求从严落实等。
结语
信息系统安全风险中对信息的安全要求控制遵从信息安全风险指标控制。据信息和信息系统的前述特性, 从长远和发展趋势考虑, 要发挥高级信息专家作用, 宏观上把控好信息和信息系统的关键技术, 在相关信息和信息系统管理、合同洽谈、售后上进行条款约束及有效控制, 从而在一定程度上避免被乙方在技术经济上牵制和对其的被动依赖性。
电力信息系统的网络安全 篇11
【关键词】电力系统;信息网络安全;措施
【中图分类号】TN915.08 【文献标识码】A 【文章编号】1672-5158(2012)09-0380-02
前言
随着信息技术的飞速发展,电力信息网络的逐渐扩大,已经逐步渗透到各个领域,包括输变电、配电、调度、人资管理、生产和办公自动化等各个关键环节,电力信息网络已经初具规模。然而电力信息网络的安全隐患也逐步显现出来,直接影响到电力系统的安全、稳定和高效运行,影响到信息系统的集中集成和“智能电网”等的建设进程,电力信息网络的安全工作是电力企业信息工作的重中之重。
1、电力企业信息网络安全风险分析
1.1 管理安全风险
1.1.1 网络管理人员
管理是信息安全最重要的部分。好的安全管理是对人的约束,企业并不缺乏对人的管理办法,但是在网络安全方面管理人员常常忽视对网络使用者的控制。例如:对网络使用者的权限分配不合理,导致其越权使用账号和系统;使用者随意出入机房重地,了解网络结构;管理人员安全风险意识淡薄,有意无意泄露口令和网络配置等一些重要信息。这些问题在管理上没有相应的制度来约束,严重影响到网络的安全稳定运行。
1.1.2 网络使用者
企业员工安全意识不强,个人密码设置强度不够;将自己的账号随意转借他人或与别人共享信息资源;将内网计算机涉密信息放置在外网计算机;安装和使用盗版的应用软件;使用外部不安全移动存储介质等,都会带来网络安全问题。这些监管上的漏洞使得花费巨资建立起来的安全防护体系形同虚设。
1.2 恶意攻击
在信息網络安全技术中,恶意攻击是指有计划地窃听、偷窃、损坏信息,或拒绝其他授权用户的访问。恶意攻击在网络中无时无刻不在进行。利用系统和管理上的一切可能利用的漏洞,攻击者可以观察电力信息网络内全部可以访问的网络资源、列表,建立和中断网络连接,登陆全部共享资源并获得它们的口令,建立和删除共享资源。由此可见,恶意攻击可对电力企业网络造成直接的和极大的危害,并导致机密数据泄露和丢失。目前,恶意攻击主要有以下几种:
(1)漏洞攻击。利用程序、数据和软硬件上的安全漏洞,进行未授权访问或有针对性的攻击、破坏。
(2)拒绝服务攻击。攻击者强行占用网络信息系统资源,让系统超载而无法工作甚至崩溃。
(3)缓冲区溢出攻击。主要是利用软件自身的缺陷对网络信息系统进行攻击,攻击者利用软件漏洞向程序的缓冲区写入代码,使程序转而执行其他指令,达到攻击的目的。
(4)TCNIP欺骗攻击。IP欺骗是通过路由伪造假地址,以假冒身份对网络信息系统主机进行合法通信或发送假报文,让主机做出错误指令的行为。
1.3 计算机病毒
在网络环境下,病毒具有不可估量的威胁和破坏力,但它却是一段可执行的代码。计算机病毒传染方式较多,由以前软盘、光盘、u盘方式转为以网络为主的传播方式。目前,电力企业网络已实现“双网双机”,内网与互联网完全隔离,病毒传播的主要源头就转变为移动存储介质和资源共享。有病毒的移动存储介质在多台计算机上使用,就会使得病毒像感冒一样在网络信息系统中传染。在互联的网络中,计算机共享实在是简便、快捷的拷贝方法,但同时也共享了计算机病毒。病毒一旦侵入电力信息网络,就会在网络内按指数增长、再生和传染,如同瘟疫遍及网络各个节点,造成网络通信阻塞、系统数据和文件系统破坏,系统无法提供服务甚至破坏后无法恢复,特别是系统多年积累的重要数据的丢失,损失是灾难性的。计算机病毒的主要特点如下:
(1)传播快、扩散面积大。尤其在局域网模式下,一台计算机病毒爆发,几个小时内可以感染该区域内所有计算机。
(2)破坏性强。由于网络信息系统中资源信息较多,并且多为用户共享,因此一旦病毒爆发,不仅带来网络的破坏,而且造成网上信息的泄漏,造成信息泄密,病毒感染已成为网络安全的严重威胁。
(3)清除难度大。即使网络中绝大多数计算机进行了病毒清除工作,只要有一台计算机被感染,病毒也会波及到全网络。因此,网络环境中的病毒清除难度大。
1.4 人为操作失误
网络不安全除了技术的原因以外,还有用户和管理员的意识问题。信息管理员对服务器系统、应用软件和网络设备配置不当造成的安全漏洞;用户授权管理混乱造成用户越权访问;在自己无意识的操作下导致了网络或服务器系统服务中断,而在排除故障时又迟迟找不到故障点,这些都给网络信息系统正常运行带来极大的危害。
2、网络安全防范措施
网络安全,重在防范。在制定网络安全防范措施时,应该充分分析内部网络安全的威胁因素,要做到最大限度保证网络的安全和稳定。
2.1 加强安全管理
网络安全防范,管理为先。网络安全管理包括网络设备、信息和人的管理。
2.1.1 加强网络及设备安全管理
建立“双网双机,分区防御,等级防护,多层防御”的防护体系。
(1)对进出网络边界的数据流进行有效的检测和控制,包括网络访问控制、入侵防护、访问权限控制、虚拟专用网(Ⅵ,N)以及对于远程用户的标识与认证。
(2)对网络检测的同时,还需要净化网络运行环境:业务信息经网络跨安全域传输时应基于信息流保密性的要求,采取适当的加、解密措施,以保证敏感信息经由网络传输时不被非法侦听。
(3)运用内外网隔离、安装硬件防火墙、入侵检测系统、服务器核心防护、专用数字证书等技术与先进的网络监控手段集成与融合,以减少网络安全事故的发生。
2.1.2 强化网络安全制度
针对新的网络需求(如网络拓扑结构、网络应用以及网络安全技术的不断发展),调整网络的安全管理策略[3]。强化安全管理制度,严格按照安全管理制度进行规范操作。制订并完善电力企业网络建设方案、机房管理制度、检修管理规定、安全保密制度、口令管理制度、信息网络及系统应急预案、用户手册、系统操作规程、应急响应方案、安全防护记录等一系列的制度和措施,层层落实、动态管理,保证网络高安全、高可靠地运行。
2.1.3 建立健全企业网络安全管理机构
成立以电力企业一把手为组长的信息安全保障体系。保障体系应包括信息安全领导小组、信息安全工作小组、信息系统运维部门以及企业信息专职。信息安全领导小组应全面掌握企业信息安全状况,了解信息安全指标要求,指导信息安全工作。信息安全工作小组在信息安全领导小组的领导下执行有关规章制度,对员工宣贯信息和保密方面的法律法规。信息系统运维部门负责对企业系统和网络规范化运维,对网络信息系统运行和使用情况进行监管,建立完善的运维体系。
2.1.4 加强对员工使用网络的管理
加强企业内部的信息网络安全教育和培训,增强员工的安全防范意识。组织经常性的信息网络安全知识和相关法律、法规知识的培训。使员工养成良好的计算机使用习惯:不将与工作无关的存储介质在单位的计算机上使用;不在电脑上安装盗版软件、游戏或无关软件;设置安全的开机口令并定期更改;设置屏幕保护密码;定期杀毒及重要文件备份等,全员化提高信息安全意识。
2.2 严防外部恶意攻击
2.2.1 关闭不必要的端口和服务
发现系统出现漏洞时,应及时升级补丁,以防止系统遭受恶意攻击。关闭计算机和服务器上系统闲置和有潜在危险的端口及服务,预防黑客通过这些端口和服务入侵破坏。如发现流行病毒的后门端口以及远程服务访问端口,应立即关闭。
2.2.2 部署防火墙和入侵检测系统
(1)防火墙(Firewall)是阻止恶意攻击的一道屏障,是识别和抵抗非授权访问的网络安全技术。它可以决定哪些内部资源可以被外界访问,哪些外部服务可以被内部人员访问。防火墙处于网络边缘,自身具有非常强的抗恶意攻击免疫力。通过利用防火墙对企业内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。
(2)入侵检测系统(Intrusion Detection Systems,IDS)是防火墙的合理补充。它提供了主动的网络保护,能够自动探测网络流量中可能涉及潜在入侵、攻击和滥用的模式。入侵检测在很大程度上降低了管理和确保网络安全所需要的培训级别和时间,通过这些功能,解决了网络总体安全性与策略兼容的大部分难题。
图1为企业网络中典型的防火墙和入侵检测系统部署形式。
2.3 计算机病毒的防治
(1)安装防病毒软件。电力企业自上而下统一部署防病毒系统,海门市供电公司采用省公司和地、市局二级联动部署的形式,防病毒客户端利用服务器进行更新升级。所有进入到企业网络的计算机和服务器都要求安装防病毒客户端,实时监测本机数据,定期杀毒。
(2)员工的移动存储介质、光盘和网上下载的软件等都应该先查杀病毒,然后再使用。对重点保护的计算机系统应做到专机、专盘、专人、专用。桌面管理系统已在电力系统中部署应用,规范了移动存储介质的使用。重要涉密信息应放置在移动存储介质的保密区,并设定密码加以防护。
(3)信息运维人员可利用虚拟子网(VLAN)的划分来防治病毒扩散,提高网络性能。由于各虚拟子网不能直接互访,所以分得越好网络就越安全。当病毒爆发时,使它的威胁只限于本网段计算机,遏制计算机病毒的蔓延,而不影响整个网络。
2.4 建立网络运行检测日志
在电力企业网络安全防范策略中建立有效的网络监测和控制日志,一方面可以实时发现和解决网络安全事故,另一方面在网络安全事故发生后,查阅可信的、完整的网络事件日志,对发现网络安全事故的责任人及了解网络安全事故的原因是必不可少的。因此,在网络安全防范策略中,做好网络安全防范的日志记录很重要。
3、结论
(1)网络安全是技术和管理的综合,完善信息安全保障体系,实现网络信息系统安全的“能控、可控、在控”,是信息网络安全的根本目标。
(2)管理漏洞、恶意攻击、病毒以及误操作是影响企业网络安全的主要因素。
(3)加强人员培训、制定管理制度、完善防护软件和硬件是保障网络安全的有效措施。
企业信息系统的安全论文 篇12
随着大数据时代的到来,网格、分布式计算、云计算、物联网等新技术相继推出,对供水企业信息集成与应用也提出了更高的要求。而随着应用的扩展,应用中存在着大量的安全隐患,网络黑客、木马、病毒和人为的破坏等将大量的安全威胁带给信息系统。根据美国Radicati公司于2015 年3 月发布的调查报告,截至2014 年12 月,网络攻击已经为全球计算机网络安全造成高达上万亿美元的损失。而且随着网络应用的规模进一步上升,计算机网络信息安全威胁造成的损失正在呈几何级数增长。根据2015 年发布的中国网络安全分析报告,2014年报告的网络安全攻击事件比2013年增加了100 多倍。2014年,搜狗由于网络黑客攻击导致搜索服务在全国各地都出现了长达25 分钟无法使用。2014 年7 月,某域名服务商的域名解析服务器发生了网络黑客的集中式攻击,造成在其公司注册的13%的网站无法访问,时间长达17 个小时,经济损失不可估量。
因此,从信息安全的角度,要对供水企业信息集成系统进行防护,降低信息安全事故的发生的概率,降低其危害,是本文需要研究的内容。
1 当前供水企业信息集成系统安全防护的现状和存在的问题
伴随着科技的不断发展,供水企业的信息化建设也得到了很大的发展,主要是从深度和广度两个层面做进一步拓展。典型的供水企业信息集成系统涵盖了生产调度系统、销售系统、管网信息系统、财务管理系统、人事管理系统、办公自动化系统等子系统。其中多个系统数据需要接受外部访问,存在大量的安全隐患。
目前,威胁到供水企业信息安全的风险因素主要分为三个大类:
1)人为原因,如恶意的黑客攻击、不怀好意的内部人员造成的信息外泄、操作中出现低级错误等。
2)数据存储位置位置的风险。可能由自然灾害引发的问题,缺乏数据备份和恢复能力。
3)不断增长的数据交互放大了数据丢失或泄漏的风险。包括未知的安全漏洞、软件版本、安全实践和代码更改等。
2 有关分级防护的要求
尤其是供水企业信息集成系统中,存在大量涉及公民个人隐私的信息,也存在像生产调度这样涉及国计民生的信息。因此,需要按照国家有关信息安全的法律法规,明确企业的信息安全责任。提升供水企业信息管理区内的业务系统信息安全防护。
依据《信息安全等级保护管理办法》(公通字[2007]43号)第十四条,信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。
定级标准按照国家标准《信息系统安全等级保护定级指南》(GB/T 22240—2008)实施,根据等级保护相关管理文件,信息系统的安全保护等级分为以下五级:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种:
1)造成一般损害;
2)造成严重损害;
3)造成特别严重损害。
3 分别防护实施步骤
根据有关法律法规,建设完成并投入使用的信息系统,其有关使用此系统的单位需要对其系统的等级状况做定期的测评。供水企业要遵照要求选择具有资质的测评机构来对管理信息区的业务系统做等级保护的测评工作。其所得到的结果如下表1 所示:
通常情况下,供水企业信息系统中不会出现第四级和第五级的系统。
根据测评结果,有必要对供水企业内部的局域网进行系统化整改。具体的整改内容包括两项主要内容:细化各业务系统服务器的物理位置;按照需求设置信息安全区域。根据供水企业信息集成系统的具体实际,主要有等级包括三个业务区域,以及一个公共业务区和测评业务区。按照上述原则对供水企业信息集成系统服务器做物理划分如图1所示。
不同等级的系统服务器针对不同级别的信息安全区进行设置。等级为一、二、三的业务区分别安装着对应的服务器,而公共业务区域的服务器主要是DNS服务器或者是域服务器。公共业务区服务器主要为基础服务提供非业务系统服务,不需要进行保护分级。测评业务区提供是投入正式使用前的测试服务器。
依据表1的测评结果,将安全区域进行细化表2 所示的就是企业管理信息区,其主要业务系统对安全区域存放问题的展示。
根据表2得到的结果,可以将信息安全设备存放在不同信息区域边界内,以此达到服务器分级防护目的。信息安全设备设置在信息安全区域边界,也就是局域网与信息安全区域之间的连接部。信息安全设备主要是防火墙、查杀病毒、攻击防护、服务防护禁止、授权等。对于不同区域边界的信息安全的部署建议,供水企业要遵照各自的实际情况做周密的设置。
供水企业管理信息安全区域边界防护表见表3。
将信息安全防护设备部署在所在的区域边界内,如此可以初步实现对供水企业管理信息区的信息安全防护。
4 结束语
随着大数据的发展,对供水企业信息集成系统在数据的交互和应用方面会提出更高的要求,也大大加强了安全防护措施的重要性和迫切性。在安全防护措施基本到位的前提下,还需要加强信息审计,及时发现和补救系统缺陷,加强数据库安全防护,维护管理系统的隐患。
摘要:该文对供水企业信息集成系统安全进行分析,并探讨了可以针对性改进的安全防护措施。首先对当前供水信息系统安全现状做具体分析,然后研究了在“自主定级,自主保护”的原则下改进和提高供水企业集成信息系统安全具体的执行方案,最终实现供水企业信息集成系统的信息安全防护。
关键词:供水企业信息集成系统,等级保护,信息安全
参考文献
[1]孙锋.基于多agent技术的供水企业信息集成系统研究[J].供水技术,2015(10).
【企业信息系统的安全论文】推荐阅读:
企业信息系统的作用07-28
企业的信息安全05-24
企业信息安全的重要性05-14
企业信息安全的重要性08-27
企业信用信息系统06-19
企业信息系统评价07-05
关于企业信息系统审计的几点认识09-04
国家安全监管总局办公厅关于启用冶金等工贸企业安全生产标准化达标信息管理系统的通知08-01
企业信息系统整合方案08-23
企业信息管理系统维护07-22