前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇關(guān)于企業(yè)信息安全措施范文，相信會為您的寫作帶來幫助，發(fā)現(xiàn)更多的寫作思路和靈感。

關(guān)于企業(yè)信息安全措施范文第1篇

隨著油田信息化高速發(fā)展，大批業(yè)務(wù)系統(tǒng)集中部署在數(shù)據(jù)中心，信息資產(chǎn)呈現(xiàn)高度集中趨勢，給企業(yè)信息安全保障工作提出了新的要求。信息安全態(tài)勢日益嚴峻，黑客攻擊手段不斷翻新，利用“火焰”病毒、“紅色十月”病毒等實施的高級可持續(xù)攻擊活動頻現(xiàn)，對國家和企業(yè)的數(shù)據(jù)安全造成嚴重威脅。因此，及時掌握信息系統(tǒng)保護狀況，持續(xù)完善系統(tǒng)安全防護體系，對于保證信息資產(chǎn)的安全性和油田業(yè)務(wù)系統(tǒng)的連續(xù)性具有重要的現(xiàn)實意義。在信息安全領(lǐng)域中，安全評估是及時掌握信息系統(tǒng)安全狀況的有效手段。而其中的信息安全風險評估是是一種通用方法，是風險管理和控制的核心組成部分，是建立信息系統(tǒng)安全體系的基礎(chǔ)和前提，也是信息系統(tǒng)等級測評的有效補充和完善。因此，研究建立具有油田公司特色的信息安全風險評估模型和方法，可以為企業(yè)科學高效地開展信息安全風險評估工作提供方法指導與技術(shù)保障，從而提高油田勘探開發(fā)、油氣生產(chǎn)和經(jīng)營管理等數(shù)據(jù)資產(chǎn)的安全性，為油田公司信息業(yè)務(wù)支撐平臺的正常平穩(wěn)運行保駕護航。

1風險評估研究現(xiàn)狀

從當前的研究現(xiàn)狀來看，安全風險評估領(lǐng)域的相關(guān)研究成果主要集中在標準制定上。不同的安全評估標準包含不同的評估方法。迄今為止，業(yè)界比較認可的風險評估相關(guān)標準主要有國際標準ISO/IECTR13335IT安全管理、美國NIST標準SP800－30IT系統(tǒng)風險管理指南(2012年做了最新修訂)、澳大利亞－新西蘭標準風險管理AS/NZS4360等。我國也根據(jù)國際上這些標準制定了我國的風險評估標準GB/T20984－2007信息安全技術(shù)風險評估規(guī)范以及GB/Z24364－2009信息安全技術(shù)信息安全風險管理指南。

1．1IT安全管理ISO/IECTR13335

IT安全管理ISO/IECTR13335系列標準是最早的清晰描述安全風險評估理論及方法的國際標準，其主要目的是給出如何有效地實施IT安全管理的建議和指導，是當前安全風險評估與風險管理方面最權(quán)威的標準之一。ISO/IECTR13335(以下簡稱為IS013335)包括了五個部分:第一部分IT安全概念和模型(1996)主要描述了IT安全管理所用的基本概念和模型。IS013335介紹了IT安全管理中的安全要素，重點描述了:資產(chǎn)、威脅、脆弱性、影響、風險、防護措施、殘留風險等與安全風險評估相關(guān)的要素。它強調(diào)風險分析和風險管理是IT安全管理過程的一部分，也是必不可少的一個關(guān)鍵過程。圖1表示資產(chǎn)怎樣潛在經(jīng)受若干威脅。［2］如圖1所示，某些安全防護措施在降低與多種威脅和/或多種脆弱性有關(guān)的風險方面可以是有效的。有時，需要幾種安全防護措施使殘留風險降低到可接受的級別。某些情況中，當認為風險是可接受時，即使存在威脅也不實施安全防護措施。在其他一些情況下，要是沒有已知的威脅利用脆弱性，可以存在這種脆弱性。圖2表示與風險管理有關(guān)的安全要素之間的關(guān)系。為清晰起見，僅表示了主要的關(guān)系。任何二個方塊之間箭頭上的標記描述了這些方塊之間的關(guān)系。第二部分管理和規(guī)劃IT安全(1997)主要提出了與IT安全管理和規(guī)劃有關(guān)的各種活動，以及組織中有關(guān)的角色和職責。［2］第三部分IT安全管理技術(shù)(1998)本部分介紹并推薦用于成功實施IT安全管理的技術(shù)，重點介紹了風險分析的四種方法:基線方法、非正式方法、詳細風險分析和綜合方法。［2］第四部分安全防護措施的選擇(2000)為在考慮商業(yè)需求和安全要素的情況下選擇安全防護措施的指南。它描述了根據(jù)安全風險和要素及部門的典型環(huán)境，選擇安全防護措施的過程，并表明如何獲得合適的保護，如何能被最基礎(chǔ)的安全應用支持。［2］第五部分網(wǎng)絡(luò)的安全防護措施(2001)為關(guān)于網(wǎng)絡(luò)和通信方面的IT安全管理指南，這一指南提供了根據(jù)建立網(wǎng)絡(luò)安全需求來考慮的通信相關(guān)因素的識別和分析。［2］

1．2風險評估實施指南

SP800－30SP800－30(風險評估實施指南，2012年9月)是由NIST制定的與風險評估相關(guān)的標準之一，它對安全風險評估的流程及方法進行了詳細的描述，提供了一套與三層風險管理框架結(jié)合的風險評估辦法，用于幫助企業(yè)更好地評價、管理與IT相關(guān)的業(yè)務(wù)面臨的風險。它包括對IT系統(tǒng)中風險評估模型的定義和實踐指南，提供用于選擇合適安全控制措施的信息。SP800－30:2012中的風險要素包括威脅、脆弱性、影響、可能性和先決條件。(1)威脅分析威脅源從利用脆弱性的動機和方法、意外利用脆弱性的位置和方法等方面進行分析。(2)脆弱性和先決條件考慮脆弱性時應注意脆弱性不僅僅存在于信息系統(tǒng)中，也可能存在于組織管理架構(gòu)，可能存在于外部關(guān)系、任務(wù)/業(yè)務(wù)過程、企業(yè)/信息安全體系架構(gòu)中。在分析影響或后果時，應描述威脅場景，即威脅源引起安全事件導致或帶來的損害。先決條件是組織、任務(wù)/業(yè)務(wù)過程、企業(yè)體系架構(gòu)、信息系統(tǒng)或運行環(huán)境內(nèi)存在的狀況，威脅事件一旦發(fā)起，這種狀況會影響威脅事件導致負面影響的可能性。(3)可能性風險可能性是威脅事件發(fā)起可能性評價與威脅事件導致負面影響可能性評價的組合。(4)影響分析應明確定義如何建立優(yōu)先級和價值，指導識別高價值資產(chǎn)和給單位利益相關(guān)者帶來的潛在負面影響。(5)風險模型標準給出了風險評估各要素之間的關(guān)系的通用模型。［3］

1．3風險評估規(guī)范

GB/T20984－2007GB/T20984－2007是我國的第一個重要的風險評估標準。該標準定義了風險評估要素關(guān)系模型，并給出了風險分析過程，具體如圖3所示：風險分析中涉及資產(chǎn)、威脅、脆弱性三個基本要素。首先識別出威脅、脆弱性和資產(chǎn)，然后根據(jù)威脅出現(xiàn)的頻率和脆弱性的嚴重程度分析得到安全事件發(fā)生的可能性，再根據(jù)脆弱性嚴重程度和資產(chǎn)價值分析得到安全事件造成的損失，最后根據(jù)安全事件發(fā)生的可能性及造成的損失分析確定風險值。

2信息安全風險評估模型構(gòu)建

結(jié)合某油田企業(yè)實際情況，在參考上述標準及風險分析方法風險分析的主要內(nèi)容為:a)識別資產(chǎn)并對資產(chǎn)的價值進行賦值;b)識別威脅，并根據(jù)威脅出現(xiàn)的頻率給威脅賦值;c)識別脆弱性，并將具體資產(chǎn)的脆弱性賦為2個值，一個是脆弱性嚴重程度，一個是脆弱性暴露程度;d)分析脆弱性被威脅利用可能導致的安全事件;e)分析確定出安全事件發(fā)生后帶來的影響不能被單位所接受的那些安全事件;可以接受的安全事件對應的風險等級確定為低;f)針對不可接受安全事件，分析相應的威脅和脆弱性，并根據(jù)威脅以及脆弱性暴露程度，以及相關(guān)安全預防措施的效果計算安全事件發(fā)生的可能性;g)針對不可接受安全事件，根據(jù)相應脆弱性嚴重程度及資產(chǎn)的價值，以及相應預防措施的有效性計算安全事件造成的損失：的基礎(chǔ)上，總結(jié)形成油田企業(yè)風險要素關(guān)系模型如圖4所示，風險計算模型如圖5所示:h)根據(jù)不可接受安全事件發(fā)生的可能性以及安全事件發(fā)生后的損失，計算安全事件發(fā)生會對企業(yè)造成的影響，即風險值，并確定風險等級。

3模型創(chuàng)新點及優(yōu)勢分析

信息安全風險評估方式和方法很多，如何建立適合油田企業(yè)當前安全需求的風險評估模型、評估要素賦值方法以及風險計算方法是本文要解決的技術(shù)難點和創(chuàng)新點。1)對于資產(chǎn)的賦值，從資產(chǎn)所支撐的業(yè)務(wù)出發(fā)，結(jié)合信息系統(tǒng)安全保護等級及其構(gòu)成情況，提出了根據(jù)業(yè)務(wù)數(shù)據(jù)重要性等級和業(yè)務(wù)服務(wù)重要性等級確定資產(chǎn)的重要性，使得風險評估與業(yè)務(wù)及等級保護結(jié)合更加緊密。2)對于脆弱性賦值，將脆弱性細分為暴露程度及嚴重程度兩個權(quán)重。其中暴露程度與威脅賦值確定安全事件發(fā)生可能性，嚴重程度與資產(chǎn)價值確定安全事件造成的影響。3)將現(xiàn)有安全措施進一步細化，分解為預防措施和恢復措施，并研究得到預防措施有效性會影響到安全事件發(fā)生可能性，而恢復措施有效性會影響到安全事件造成的損失。4)結(jié)合被評估單位的實際業(yè)務(wù)需求，提出了僅針對被評估單位的不可接受安全事件進行數(shù)值計算，減少了計算工作量，有助于提升風險評估工作效率。5)根據(jù)油田企業(yè)實際需求，將安全事件發(fā)生可能性和安全事件造成的損失賦予不同的權(quán)重，從而使得風險計算結(jié)果中安全事件損失所占比重更大，更重視后果;并通過實例驗證等方式歸納總結(jié)出二者權(quán)重比例分配。

險評估模型應用分析

4．1資產(chǎn)識別

資產(chǎn)識別主要通過現(xiàn)場訪談的方式了解風險評估范圍涉及到的數(shù)據(jù)、軟件、硬件、服務(wù)、人員和其他六類資產(chǎn)相關(guān)的業(yè)務(wù)處理的數(shù)據(jù)及提供的服務(wù)和支撐業(yè)務(wù)處理的硬件設(shè)備和軟件情況。4．1．1資產(chǎn)重要性分析資產(chǎn)重要性分析以信息系統(tǒng)的業(yè)務(wù)為出發(fā)點，通過對業(yè)務(wù)處理的數(shù)據(jù)以及提供的服務(wù)重要性賦值的方法確定信息系統(tǒng)資產(chǎn)價值。業(yè)務(wù)處理的數(shù)據(jù)以及業(yè)務(wù)提供的服務(wù)的重要性分析及賦值方法具體如下。4．1．1．1業(yè)務(wù)數(shù)據(jù)重要性分析業(yè)務(wù)數(shù)據(jù)資產(chǎn)的重要性主要根據(jù)業(yè)務(wù)數(shù)據(jù)的安全屬性(即三性:保密性、完整性和可用性)被破壞對本單位造成的損失程度確定。油田企業(yè)各業(yè)務(wù)系統(tǒng)所處理的數(shù)據(jù)信息根據(jù)數(shù)據(jù)安全屬性被破壞后可能對油田企業(yè)造成的損失嚴重程度進行賦值。一般賦值為1—5。4．1．1．2業(yè)務(wù)服務(wù)重要性分析服務(wù)資產(chǎn)的重要性根據(jù)其完整性和可用性被破壞對本單位造成的損失程度確定。通過與相關(guān)人員進行訪談，調(diào)查了解每種業(yè)務(wù)提供的服務(wù)和支撐業(yè)務(wù)處理的硬件設(shè)備和軟件情況，根據(jù)服務(wù)安全屬性被破壞后可能對油田企業(yè)造成損失的嚴重程度，為各種業(yè)務(wù)服務(wù)重要性賦值。一般賦值為1—5。4．1．2資產(chǎn)賦值通過分析可以看出，六類資產(chǎn)中數(shù)據(jù)資產(chǎn)和業(yè)務(wù)服務(wù)資產(chǎn)的重要性是決定其他資產(chǎn)重要性的關(guān)鍵要素，因此，六類資產(chǎn)的賦值原則如下:1)數(shù)據(jù)資產(chǎn)重要性根據(jù)業(yè)務(wù)數(shù)據(jù)重要性賦值結(jié)果確定。2)服務(wù)資產(chǎn)重要性根據(jù)業(yè)務(wù)服務(wù)重要性賦值結(jié)果確定。3)軟件和硬件資產(chǎn)的重要性由其所處理的各類數(shù)據(jù)或所支撐的各種業(yè)務(wù)服務(wù)的重要性賦值結(jié)果中的較高者決定。4)人員的重要性根據(jù)其在信息系統(tǒng)中所承擔角色的可信度、能力等被破壞對本單位造成的損失程度確定。5)其他資產(chǎn)重要性根據(jù)其對油田企業(yè)的影響程度確定。

4．2威脅識別

4．2．1威脅分類對威脅進行分類的方式有多種，針對環(huán)境因素和人為因素兩類威脅來源，可以根據(jù)其表現(xiàn)形式將威脅進行分類［4］。本論文采用GB/Z24364－2009信息安全技術(shù)信息安全風險管理指南中基于表現(xiàn)形式的威脅分類方法。4．2．2威脅賦值根據(jù)威脅出現(xiàn)的頻率確定威脅賦值，威脅賦值一般為1～5。對威脅出現(xiàn)頻率的判斷根據(jù)風險評估常規(guī)做法獲得，比如安全事件報告、IDS、IPS報告以及其他機構(gòu)的威脅頻率報告等。

4．3脆弱性識別

4．2．1脆弱性分類脆弱性識別所采用的方法主要有:問卷調(diào)查、配置核查、文檔查閱、漏洞掃描、滲透性測試等。油田企業(yè)脆弱性識別依據(jù)包括:GB/T22239信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求的三級要求以及石油行業(yè)相關(guān)要求。4．2．2脆弱性賦值原則脆弱性賦值時分為脆弱性暴露程度和脆弱性嚴重程度。暴露程度根據(jù)其被利用的技術(shù)實現(xiàn)難易程度、流行程度進行賦值。對脆弱性的暴露程度給出如下5個等級的賦值原則:脆弱性的嚴重程度根據(jù)脆弱性被利用可能對資產(chǎn)造成的損害程度進行賦值。脆弱性的嚴重程度分為5個等級，賦值為1～5。

4．4現(xiàn)有安全措施識別

4．4．1現(xiàn)有安全措施識別方法信息系統(tǒng)環(huán)境中的現(xiàn)有安全措施根據(jù)其所起的安全作用分為預防措施和恢復措施。預防措施用于預防安全事件的發(fā)生(例如入侵檢測、網(wǎng)絡(luò)訪問控制、網(wǎng)絡(luò)防病毒等)，可以降低安全事件發(fā)生的概率。因此針對每一個安全事件，分析現(xiàn)有預防措施是否能夠降低事件發(fā)生的概率，其降低發(fā)生概率的效果有多大?；謴痛胧┛梢栽诎踩录l(fā)生之后幫助盡快恢復系統(tǒng)正常運行，可能降低安全事件的損失(例如應急計劃、設(shè)備冗余、數(shù)據(jù)備份等)，因此針對每一個安全事件，分析現(xiàn)有恢復措施是否能夠降低事件損失，其降低事件損失的效果有多大。4．4．2現(xiàn)有安全預防措施有效性賦值原則通過識別信息系統(tǒng)現(xiàn)有安全措施及其有效性驗證，針對每一個安全事件，分析現(xiàn)有預防措施中可能降低事件發(fā)生概率的情況，并對預防措施的有效性分別給出賦值結(jié)果。評估者通過分析安全預防措施的效果，對預防措施賦予有效性因子，有效性因子可以賦值為0．1～1。4．4．3現(xiàn)有安全恢復措施有效性賦值原則通過識別信息系統(tǒng)現(xiàn)有安全措施及其有效性驗證，針對每一個安全事件，分析現(xiàn)有恢復性安全措施中可能降低事件損失的情況。評估者通過分析安全恢復措施的有效性作用，對安全恢復措施賦予有效性因子，有效性因子可以賦值為0．1～1。

4．5安全事件分析

4．5．1安全事件關(guān)聯(lián)綜合識別出的脆弱性及現(xiàn)有安全措施識別出的缺陷，結(jié)合油田企業(yè)信息系統(tǒng)面臨的各種威脅，將各資產(chǎn)的脆弱性與威脅相對應形成安全事件。分析這些安全事件一旦發(fā)生會對國家、單位、部門及評估對象自身造成的影響，分析發(fā)生這些安全事件可能造成影響的嚴重程度，從中找出部門(或單位)對發(fā)生安全事件造成影響無法容忍的那些安全事件，即確定不可接受安全事件。4．5．2安全事件發(fā)生可能性分析(1)計算威脅利用脆弱性的可能性針對4．5．1中分析得出的不可接受安全事件，綜合威脅賦值結(jié)果及脆弱性的暴露程度賦值結(jié)果，計算威脅利用脆弱性導致不可接受安全事件的可能性，采用乘積形式表明其關(guān)系，即安全事件發(fā)生的可能性的初始結(jié)果計算公式如下:L1(T，V)1=T×V1其中，L1(T，V1)代表不可接受事件發(fā)生的可能性的初始結(jié)果;T代表威脅賦值結(jié)果;V1代表脆弱性的暴露程度賦值結(jié)果。(2)分析現(xiàn)有預防措施的效果通過對企業(yè)信息系統(tǒng)的現(xiàn)有安全措施的識別和有效性驗證，針對4．5．1分析得到的不可接受安全事件，分析描述現(xiàn)有預防措施中可能降低事件發(fā)生概率的情況，并給出有效性因子賦值結(jié)果。(3)計算安全事件發(fā)生的可能性考慮到現(xiàn)有安全措施可能降低安全事件發(fā)生的可能性，因此安全事件發(fā)生的可能性的最終計算公式為:L2(T，V)1=L1(T，V1)×P1其中，L2(T，V1)為最終安全事件發(fā)生的可能性結(jié)果;L1(T，V1)為安全事件發(fā)生的可能性初始結(jié)果;P1代表安全預防措施有效性賦值結(jié)果。然后，形成調(diào)節(jié)后的安全事件可能性列表。4．5．3安全事件影響分析(1)計算脆弱性導致資產(chǎn)的損失將各資產(chǎn)的脆弱性(管理類脆弱性除外，管理類脆弱性采用定性方式進行主觀分析)與威脅相對應形成安全事件(4．5．1不可接受安全事件列表)，根據(jù)資產(chǎn)的重要性及脆弱性的嚴重程度，計算脆弱性可能導致資產(chǎn)的損失，即:F1(A，V2)=A×V2其中，F(xiàn)1(A，V2)代表安全事件可能導致資產(chǎn)的損失的初始計算結(jié)果;A代表資產(chǎn)價值，即資產(chǎn)賦值結(jié)果;V2代表脆弱性嚴重程度，即脆弱性嚴重程度賦值結(jié)果。(2)分析現(xiàn)有安全恢復措施的有效性通過對油田企業(yè)信息系統(tǒng)的現(xiàn)有安全措施的識別和有效性驗證，針對4．5．1分析得到的不可接受安全事件，分析描述現(xiàn)有恢復措施中可能降低事件發(fā)生的概率的情況，并根據(jù)表9的賦值原則分別給出安全恢復措施的有效性賦值結(jié)果。(3)計算安全事件的損失考慮到恢復措施可能降低安全事件帶來的損失，因此安全事件損失可以根據(jù)安全恢復措施的有效性予以調(diào)整。采用乘積形式表明關(guān)系，即:F2(A，V2)=F1(A，V2)×P2其中，F(xiàn)2(A，V2)為安全事件可能造成的損失的最終計算結(jié)果;F1(A，V2)為安全事件可能造成損失的初始計算結(jié)果;P2代表安全恢復措施有效性賦值結(jié)果。然后，形成調(diào)節(jié)后的安全事件損失計算結(jié)果列表。

4．6綜合風險計算及分析

4．6．1計算風險值結(jié)合油田企業(yè)關(guān)注低可能性重性的安全事件的需求，參照美國關(guān)鍵信息基礎(chǔ)設(shè)施風險評估計算方法，采用安全事件發(fā)生的可能性以及安全事件可能帶來的損失的加權(quán)之和方式計算風險值。這種方法更加重視安全事件帶來的損失，使得損失在對風險值的貢獻中權(quán)重更大。在使用油田企業(yè)以往測評結(jié)果試用的基礎(chǔ)上，將安全事件可能帶來的損失的權(quán)重定為80%。具體計算公式為:R(L2，F(xiàn))2=L2(T，V)1×20%+F2(A，V)2×80%其中，R(L2，F(xiàn)2)代表風險值，L2(T，V1)為安全事件發(fā)生可能性的最終結(jié)果，F(xiàn)2(A，V2)為安全事件可能造成的損失的最終計算結(jié)果。4．6．2風險結(jié)果判斷計算出風險值后，應對風險值進行分級處理，將風險級別劃分為五級。4．6．3綜合分析根據(jù)風險計算結(jié)果，從多個不同方面綜合匯總分析被評估信息系統(tǒng)存在的安全風險情況。例如可從以下幾方面匯總分析:1)風險較高的資產(chǎn)統(tǒng)計:匯總存在多個脆弱性可能導致多個中等以上風險等級安全事件發(fā)生的資產(chǎn)，從資產(chǎn)角度綜合分析被評估信息系統(tǒng)存在的安全風險情況;2)引起較高風險的脆弱性統(tǒng)計:匯總會給被評估信息系統(tǒng)帶來中等以上安全風險的脆弱性及其影響的資產(chǎn)及嚴重程度，分析可能帶來的危害后果;3)出現(xiàn)頻率較高的脆弱性統(tǒng)計:匯總中等以上脆弱性在資產(chǎn)中的出現(xiàn)頻率，從而反映脆弱性在被評估系統(tǒng)中的普遍程度，出現(xiàn)頻率越高，整改獲取的收益越好。4)按層面劃分的風險點分布情況匯總:匯總網(wǎng)絡(luò)、主機、應用、數(shù)據(jù)、物理、管理等各層面存在的脆弱性及其嚴重程度，對比分析風險在不同層面的分布情況。

5結(jié)語

關(guān)于企業(yè)信息安全措施范文第2篇

【關(guān)鍵詞】煤礦企業(yè)；計算機網(wǎng)絡(luò)；管理；安全措施

企業(yè)計算機系統(tǒng)是一個分級分散的大型城域性網(wǎng)絡(luò)，網(wǎng)絡(luò)管理不是局部性的工作，僅僅依賴于集中式的網(wǎng)管系統(tǒng)也難以對整個網(wǎng)絡(luò)實施有效管理的。為確保整個網(wǎng)絡(luò)的通暢，及時定位、快速修復網(wǎng)絡(luò)故障，一定要對整個網(wǎng)絡(luò)實行全面管理，掌握整個網(wǎng)絡(luò)的運行狀況。煤礦企業(yè)這樣的地域?qū)拸V、用戶量較大的大型計算機網(wǎng)絡(luò)，進行分布式管理是較好的解決方案，分布式管理系統(tǒng)不但能提高管理效率，保障管理的安全可靠性，也有利于邏輯集中，關(guān)于協(xié)作關(guān)系的分布系統(tǒng)，使全局性的管理工作更明確、簡單、實用。

1、網(wǎng)絡(luò)管理

1.1網(wǎng)管中心的總體建設(shè)目標

（1）煤礦企業(yè)網(wǎng)管中心一般負責骨干網(wǎng)和核心服務(wù)器群的管理，并具備對下級網(wǎng)管中心進行監(jiān)督指導的技術(shù)手段和工具。

（2）二級網(wǎng)管中心的主要職能是確保煤礦企業(yè)總部與工作單位的網(wǎng)絡(luò)暢通和數(shù)據(jù)的完整接收與上傳，并具備對三級網(wǎng)管中心進行監(jiān)督指導的技術(shù)手段和工具，同時在網(wǎng)絡(luò)管理上發(fā)揮承上啟下的作用。

通過各級網(wǎng)管中心的分工協(xié)作，對整個企業(yè)計算機網(wǎng)絡(luò)的配置、故障、性能、狀態(tài)實現(xiàn)集中指導下的分級分布式管理。

1.2網(wǎng)絡(luò)管理系統(tǒng)總體要求

（1）網(wǎng)絡(luò)管理功能。全網(wǎng)管理中心設(shè)在煤礦企業(yè)總部網(wǎng)絡(luò)中心，在二級下屬單位設(shè)立二級網(wǎng)管中心，進行分布式管理。計算機網(wǎng)絡(luò)管理軟件可以實現(xiàn)對網(wǎng)絡(luò)的拓撲管理、狀態(tài)監(jiān)控、性能管理、故障管理等；支持煤礦企業(yè)計算機網(wǎng)絡(luò)信息系統(tǒng)跨地域的各分支機構(gòu)局域網(wǎng)內(nèi)部可能存在的IP地址重疊狀況，還具有分布式管理的能力。

（2）服務(wù)器監(jiān)控。在各級網(wǎng)管中心對計算機應用系統(tǒng)的服務(wù)器進行監(jiān)控，主要包括服務(wù)器狀態(tài)、重要的性能參數(shù)、進程狀態(tài)、文件變化等內(nèi)容，確保服務(wù)器的正常運行。在發(fā)生問題時，可以及時報警，并按其需要，對不同的管理員采用不同的報警方式，確保在最短時間內(nèi)查出問題出現(xiàn)的原因。

（3）故障管理。在各級網(wǎng)管中心建立故障管理系統(tǒng)，收集各種管理功能產(chǎn)生的故障事件，并按照事件類型、事件源對事件進行分類顯示。

（4）軟件分發(fā)管理。在各級網(wǎng)管中心對煤礦企業(yè)計算機應用系統(tǒng)的服務(wù)器進行集中的軟件分發(fā)管理，管理員在中心完成軟件的打包、下發(fā)、確認等軟件更新管理，以實現(xiàn)快速軟件部署。

（5）資源管理。在各級網(wǎng)管中心對計算機應用系統(tǒng)的資源進行統(tǒng)計，主要包括軟件、硬件配置信息。資源信息存放在關(guān)系數(shù)據(jù)庫中，人員能運用資源管理系統(tǒng)進行資源查詢。

（6）遠程控制管理。在各級網(wǎng)管中心對各級應用系統(tǒng)的服務(wù)器進行遠程控制，實現(xiàn)遠程技術(shù)支持。通過遠程控制，中心管理員能夠獲得遠程機器的鍵盤、鼠標和屏幕，監(jiān)視或控制其操作，并能與對方通信，遠程下發(fā)給對方需要的文件，以實現(xiàn)對遠程服務(wù)器的支持。遠程控制管理要在廣域網(wǎng)上工作。

（7）存儲備份管理。在各級網(wǎng)管中心對主要應用系統(tǒng)的服務(wù)器進行數(shù)據(jù)備份，主要包括重要文件和應用數(shù)據(jù)，如數(shù)據(jù)庫數(shù)據(jù)，以確保在發(fā)生故障時，能夠進行數(shù)據(jù)恢復。

（8）決策分析管理。在各級網(wǎng)管中心對網(wǎng)絡(luò)系統(tǒng)的管理信息進行匯總和相關(guān)的決策分析，以全面了解網(wǎng)絡(luò)系統(tǒng)運行的狀況，發(fā)現(xiàn)隱患，為提高管理水平提供決策信息。

1.3網(wǎng)絡(luò)管理系統(tǒng)的功能

它主要包含網(wǎng)絡(luò)配置管理、網(wǎng)絡(luò)故障管理、網(wǎng)絡(luò)性能管理、網(wǎng)絡(luò)安全管理和網(wǎng)絡(luò)自動化管理等功能。

2、網(wǎng)絡(luò)安全措施

煤礦企業(yè)的信息網(wǎng)絡(luò)系統(tǒng)在規(guī)劃、設(shè)計和建設(shè)開發(fā)應用初期，一定要重視網(wǎng)絡(luò)安全和信息安全，通常需要網(wǎng)絡(luò)信息安全方面的技術(shù)人員及專業(yè)公司進行規(guī)劃設(shè)計。煤礦企業(yè)網(wǎng)絡(luò)與信息系統(tǒng)的安全必須解決以下幾個問題：物理鏈路安全問題；網(wǎng)絡(luò)平臺安全問題；系統(tǒng)安全問題；應用安全問題；管理安全問題。

（1）網(wǎng)絡(luò)和信息安全體系設(shè)計原則。即整體安全；有效管理；合理折中；責權(quán)分明；綜合治理。

（2）網(wǎng)絡(luò)和信息安全體系結(jié)構(gòu)。此模型由安全服務(wù)、協(xié)議層次和系統(tǒng)單元三個層面描述，在每個層面上，均包含安全管理的內(nèi)容。此模型在整體上表現(xiàn)為一個三線立體框架結(jié)構(gòu)。

3、實施措施方法

在煤礦企業(yè)信息系統(tǒng)的安全實施中，需要綜合使用備份技術(shù)（數(shù)據(jù)鏡像、備份線路、備份設(shè)備）、VLAN技術(shù)、lP地址綁定、ACL技術(shù)、負載均衡技術(shù)、防火墻技術(shù)、NAT技術(shù)等構(gòu)建企業(yè)網(wǎng)絡(luò)安全防范系統(tǒng)。使用VPN技術(shù)，實現(xiàn)企業(yè)駐外機構(gòu)和移動用戶訪問企業(yè)Intent資源的數(shù)據(jù)保密通信，構(gòu)建企業(yè)內(nèi)部保密通信子網(wǎng)。

（1）網(wǎng)絡(luò)安全防范。①網(wǎng)絡(luò)優(yōu)化；②防火墻設(shè)備配置；③安全策略的實施。

（2）網(wǎng)絡(luò)數(shù)據(jù)保密。①互聯(lián)網(wǎng)、ADSL和撥號用戶的VPN解決方案。②構(gòu)建保密通信子網(wǎng)。

（3）入侵檢測系統(tǒng)。選用金諾網(wǎng)安入侵檢測系統(tǒng)，分別放置在SSN區(qū)域、中心交換機的監(jiān)控目上，重點保護子網(wǎng)所在的VLAN網(wǎng)段。

（4）安全評估系統(tǒng)。在煤礦企業(yè)網(wǎng)絡(luò)系統(tǒng)中，需要配備一套安全評估軟件，定期對局域網(wǎng)內(nèi)的服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備進行掃描，及時發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中存在的弱點和漏洞，并采取相應的補救措施。掃描內(nèi)容主要包括服務(wù)器的設(shè)置合理與否、防火墻的規(guī)則配置狀況、路由器的路由表是否能被輕易修改等。此安全評估軟件能從不同角度對網(wǎng)絡(luò)進行掃描，能安裝在管理網(wǎng)段的一臺機器上，也能安裝在筆記本電腦上，從外部網(wǎng)絡(luò)掃描內(nèi)部網(wǎng)絡(luò)。

4、煤礦企業(yè)數(shù)據(jù)中心系統(tǒng)

在煤礦企業(yè)信息化中，建立安全、可靠、高效的數(shù)據(jù)中心系統(tǒng)非常重要。

（1）主機系統(tǒng)?；谙到y(tǒng)軟件和可靠性等多方面的具體情況，數(shù)據(jù)中心服務(wù)器：一是數(shù)據(jù)庫服務(wù)器，二是應用服務(wù)器。其中，數(shù)據(jù)庫服務(wù)器由于要求高性能和高可靠性可由多臺小型機組成集群系統(tǒng)，提供24小時不間斷的數(shù)據(jù)存取服務(wù)；應用服務(wù)器要按各個應用系統(tǒng)需求不同，分別配置不同性能的PC服務(wù)器。

（2）操作系統(tǒng)平臺。煤礦企業(yè)中心機房小型機使用UNIX操作系統(tǒng)；其他PC服務(wù)器-般可采用MS，Windows或LINUX服務(wù)器版操作系統(tǒng)，工作站及個人微機可使用幾個桌面操作系統(tǒng)。

關(guān)于企業(yè)信息安全措施范文第3篇

關(guān)鍵詞 ERP系統(tǒng) 企業(yè) 電子系統(tǒng) 管理

一 、ERP在我國企業(yè)實施的現(xiàn)狀

ERP（Enterprise Resource Planning，企業(yè)資源規(guī)劃）是指建立在信息技術(shù)基礎(chǔ)上，通過對企業(yè)銷售、生產(chǎn)、采購、物流等各個環(huán)節(jié)以及人力資源、生產(chǎn)設(shè)備、資金等企業(yè)內(nèi)部資源的有效控制和管理，實現(xiàn)企業(yè)內(nèi)部資源的優(yōu)化配置，提高企業(yè)生產(chǎn)效率和市場響應能力的管理平臺。

在20世紀80年代，人們把生產(chǎn)、財務(wù)、銷售、采購、人力資源等各個信息子系統(tǒng)集成為一個一體化的系統(tǒng)，并成為制造資源計劃，MRPⅡ的基本原理就是把企業(yè)作為一個有機整體，以生產(chǎn)計劃為主線，從整體最優(yōu)的角度出發(fā)，通過運用科學方法對企業(yè)各種制造資源和產(chǎn)、供、銷、材各個環(huán)節(jié)進行統(tǒng)一有效的計劃、組織和控制，使物流、信息流、資金流流動暢通的動態(tài)反饋系統(tǒng)，成為以生產(chǎn)制造為主線，即物流、信息流、資金流為一體的全面制造資源計劃。

在MRPⅡ管理模式下，可以有生產(chǎn)活動與財務(wù)活動有關(guān)的數(shù)據(jù)，把實物形態(tài)的物料流動直接轉(zhuǎn)化為價值形態(tài)的資金流動，從而保證了生產(chǎn)與財務(wù)數(shù)據(jù)的事實性和一致性，使財務(wù)部門得到及時、準確的資金信息，用于控制成本，參與決策，指導和控制生產(chǎn)經(jīng)營活動。

由于國外MRPⅡ供應商的熱情.媒體的宣傳和眾人的盲從，MRPⅡ在我國的應用曾經(jīng)有一個，但終因不具備MRPⅡ生長的環(huán)境而平息。

我國ERP真正的運用是20世紀90年代，從90年代中后期開始，為了確立競爭優(yōu)勢，各國企業(yè)更加關(guān)注進入市場的時間，產(chǎn)品的質(zhì)量，服務(wù)的水平和運營成本的降低，并且為適應市場全球化的要求，組織結(jié)構(gòu)和投資結(jié)構(gòu)也趨向于分布式和扁平化，ERP就是在這種時代背景下面市的，在ERP系統(tǒng)設(shè)計中，考慮到僅靠自己企業(yè)的資源不可能有效地參與市場競爭，還必須把經(jīng)營過程中的有關(guān)各方，如：供應商、制造工廠、分銷網(wǎng)絡(luò)、客戶等納入一個緊密的供應鏈中，才能有效的安排企業(yè)的產(chǎn)、供銷活動。滿足企業(yè)利用一切市場資源，快速高效地進行生產(chǎn)經(jīng)營的需求，并準確及時的反映各方的動態(tài)信息，監(jiān)控經(jīng)營成本和資金流向，以其進一步企業(yè)對市場反映的靈活性和財務(wù)效率，并在市場上獲得競爭優(yōu)勢。

ERP是一種面向企業(yè)供應鏈的整體資源的管理和利用，可對供應鏈上的所有環(huán)節(jié)進行有效的管理。從90年代起，全球ERP/MRPⅡ軟件產(chǎn)品市場排名最前的一些公司紛紛進入我國市場，國內(nèi)著名的幾家財務(wù)公司也聯(lián)名宣布進軍ERP領(lǐng)域在企業(yè)中掀起一場ERP熱潮。2002年3月7日，國家經(jīng)貿(mào)委和信息產(chǎn)業(yè)部聯(lián)合發(fā)出《關(guān)于大力推進企業(yè)管理信息化的指導意見》，對企業(yè)管理信息化提出具體要求“國家重點企業(yè)管理信息化的起點要求，步伐要快。到‘十五’末期，大多數(shù)國家重點企業(yè)要基本實現(xiàn)企業(yè)信息化，制造類企業(yè)可以應用ERP為主”，“其他國有大中型企業(yè)要努力實現(xiàn)比較完善的財務(wù)、營銷管理信息化”。這一指導意見對ERP的應用起到了推動作用，目前有一千多家企業(yè)在應用ERP，客觀上達到了利用計算機輔助管理的目的，并在一定程度上促進了企業(yè)管理的改進、提高和創(chuàng)新。

但是，從應用效果上看，無論我國政府還是企業(yè)，在這方面投入不少，其應用效果令人擔憂。在我國ERP實施的成功率不足50%，同西方國家相比存在很大的差距。據(jù)美國生產(chǎn)與庫存控制協(xié)會統(tǒng)計，企業(yè)成功應用ERP后，庫存下降30%～50%；延期交貨減少80%，采購提前期縮短50%，停工待料減少50%，制造成本減少12%，管理水平提高，管理人員減少10%，生產(chǎn)能力提高10%～15%。從這些數(shù)據(jù)可以看出，ERP的成功應用可以為企業(yè)帶來很樂觀的利益和前景，其在國外應用的也相當成功，已經(jīng)成為國外企業(yè)進行日常工作流程管理和決策支持必不可少的工具。但在我國在應用和實施ERP軟件中遇上很多問題。

二、ERP在我國企業(yè)實施中存在的問題

ERP在我國實施的成功率低下或者說ERP項目的實施不能達到我國企業(yè)期望的目標，主要原因在于：

1.企業(yè)管理者和員工的管理思想落后。ERP系統(tǒng)本身蘊涵著先進的管理思想，實施ERP是一項管理系統(tǒng)工程，涉及企業(yè)運營的方方面面，且要求對企業(yè)的業(yè)務(wù)流程進行重組，變革現(xiàn)行的管理模式。然而，我國企業(yè)由計劃經(jīng)濟的時間不長，由于歷史的慣性，企業(yè)中的一些人員還習慣于計劃經(jīng)濟下的傳統(tǒng)的管理模式，包括管理方式、組織機構(gòu)、工作方式等，市場意識不強，難以接受新的管理思想和方式，更不愿意變革。雖然在某種程度上使用了IT，但是并沒有輔之以新的管理理念，只是“穿新鞋走老路”，ERP的應用效果不能凸顯，甚至阻礙了ERP進一步發(fā)展。

管理思想是ERP的靈魂，實施業(yè)務(wù)流程重組和管理信息化后，企業(yè)管理思想和管理模式將發(fā)生革命性的質(zhì)的變化，不能正確認識的管理思想就不可能很好地去實施和應用ERP系統(tǒng)，因此，管理者和員工的管理理念和工作方式必須進行相應調(diào)整。

2.ERP環(huán)境下信息系統(tǒng)內(nèi)部控制存在的問題。（1）信息系統(tǒng)非授權(quán)訪問的風險。對企業(yè)信息系統(tǒng)的使用必須經(jīng)過授權(quán)，非授權(quán)的訪問，將帶來對企業(yè)重要信息的泄漏或丟失的風險。企業(yè)信息系統(tǒng)非授權(quán)訪問的威脅主要來自于：系統(tǒng)內(nèi)部和系統(tǒng)外部，如：黑客入侵和病毒攻擊，尤其是有意圖的、有目的的攻擊行為。將給企業(yè)帶來巨大的傷害，嚴重威脅企業(yè)信息的機密性、完整性和可用性。（2）信息系統(tǒng)管理部門內(nèi)職責分離的控制風險。職責分離，是企業(yè)內(nèi)部控制的基礎(chǔ)控制手段，主要目標是防范內(nèi)部人員的舞弊行為帶給企業(yè)的災難。在ERP的環(huán)境下，信息系統(tǒng)不相容的職責分離主要有：系統(tǒng)設(shè)計人員和系統(tǒng)操作人員的職責分離，系統(tǒng)維護人員與系統(tǒng)操作人員的職責要分離，系統(tǒng)操作人員、系統(tǒng)設(shè)計人員與數(shù)據(jù)檔案管理人員職責要分離，數(shù)據(jù)庫管理員與信息系統(tǒng)管理部門的其他職責要分離。（3）不同信息系統(tǒng)之間信息傳遞的控制風險。ERP系統(tǒng)需要與原有的生產(chǎn)管理系統(tǒng)、網(wǎng)上電子采購系統(tǒng)以及已停止使用但保留歷史數(shù)據(jù)的用友財務(wù)會計系統(tǒng)進行溝通，雖然R/3軟件提供了系統(tǒng)外部接口，但是，企業(yè)很難直接將它們和ERP系統(tǒng)進行接口連接，進行集成管理。

3.ERP系統(tǒng)中的信息不對稱。我國大多數(shù)企業(yè)信息化基礎(chǔ)比較弱，各個信息系統(tǒng)之間相互不匹配、不融合，如銷售部門、財務(wù)部門、行政部門等部門之間信息系統(tǒng)數(shù)據(jù)不統(tǒng)一。這主要是由于：（1）基礎(chǔ)數(shù)據(jù)的準確性差。如生產(chǎn)系統(tǒng)運行不規(guī)范、生產(chǎn)過程不穩(wěn)定、企業(yè)管理機制和市場環(huán)境不完善等，破壞了基礎(chǔ)數(shù)據(jù)的統(tǒng)一性、完整性、和流暢性，最終導致基礎(chǔ)數(shù)據(jù)的準確性下降。（2）物流、資金流和信息流不一致。物流、資金流和信息流不是緊密聯(lián)系的， 企業(yè)內(nèi)部的信息不一致，許多部門之間的數(shù)據(jù)不一致，對同一個問題得出的結(jié)論不同，甚至完全相反。這些造成企業(yè)管理資源的浪費，給企業(yè)帶來損失。

三、我國ERP應用率低下的解決對策

1.革新管理理念。ERP不僅僅對企業(yè)帶來的ERP軟件，更重要的是給企業(yè)帶來了先進的管理理念，企業(yè)實施ERP過程，也是將ERP的管理理念引入企業(yè)的過程。那么ERP的實施必然涉及企業(yè)的業(yè)務(wù)流程、組織機構(gòu)設(shè)置、人員配置等方方面面的配套改革。也必然涉及各方面利益關(guān)系的調(diào)整，所有這些僅僅依靠企業(yè)的某個功能，都沒有辦法解決，都需要企業(yè)關(guān)鍵領(lǐng)導出面對企業(yè)業(yè)務(wù)流程重組和變革以適應ERP的實施給企業(yè)帶來的先進管理理念，可以說，企業(yè)的高層領(lǐng)導，革新理念、積極參與是成功實施ERP的關(guān)鍵。

2.改革ERP環(huán)境下信息系統(tǒng)的內(nèi)部控制。防范ERP信息系統(tǒng)的風險，保證系統(tǒng)的安全，必須采取全面有效的控制措施。（1）建立信息安全管理委員會，完善組織控制。企業(yè)可以設(shè)立獨立的信息安全管理委員會，主要用于指導、協(xié)調(diào)和評價企業(yè)信息系統(tǒng)。實施過程中的安全控制措施，該委員會應該于信息系統(tǒng)的維護和使用部門相獨立，負責確認企業(yè)管理層的信息安全方針，并在企業(yè)組織中指派安全角色。協(xié)調(diào)企業(yè)安全措施的實施。以達到對信息系統(tǒng)的監(jiān)管和有效的風險防范的作用。該委員會可以和企業(yè)審計部門合作，對企業(yè)信息系統(tǒng)的是使用和信息安全管理的效果，進行綜合評價，促進企業(yè)信息系統(tǒng)的改進。（2）加強網(wǎng)絡(luò)安全管理。為抵制惡意軟件的入侵，企業(yè)應該實施一系列控制措施來保證網(wǎng)絡(luò)安全，例如：運行專用的網(wǎng)關(guān)軟件進行網(wǎng)絡(luò)監(jiān)控，采用專用內(nèi)容過濾技術(shù)，組織各種惡意內(nèi)容的入侵等，并通過對防火墻掃描器入侵檢測等系統(tǒng)安全的支撐產(chǎn)品，信息的采集與信息系統(tǒng)的事故報告進行關(guān)聯(lián)分析，以便于更準確的了解信息系統(tǒng)，受到非授權(quán)訪問或攻擊的信息。以及控制措施和控制效果，有利于企業(yè)控制重點的調(diào)整，加強網(wǎng)絡(luò)風險的防范。（3）加強員工的信息安全意識。進行信息安全的再交易，企業(yè)信息系統(tǒng)的安全管理，離不開人的作用，企業(yè)從上至下都建立起信息安全的概念，并由管理層從戰(zhàn)略高度出發(fā)，根據(jù)企業(yè)集團的需要和特點，制定一套清晰的信息安全指導方針，并向企業(yè)內(nèi)部各組織，表明管理層對信息安全的支持和承諾。同時對員工信息安全的再教育，培養(yǎng)員工的信息安全意識。使員工在處理業(yè)務(wù)處理時，能夠依據(jù)企業(yè)的信息安全方針，進行信息安全控制和風險防范。

3.進行ERP與電子商務(wù)的整合。一個有效的企業(yè)管理信息系統(tǒng)應該具有智能性，具備一定分析和提煉綜合分析能力，能提供準確的、及時的、可供決策的信息。實現(xiàn)這一系統(tǒng)功能離不開電子商務(wù)。電子商務(wù)的實質(zhì)是企業(yè)經(jīng)營管理的各個環(huán)節(jié)的信息化過程，電子商務(wù)的開展對ERP思想的實質(zhì)將起到一個橋梁作用。電子商務(wù)是建立在ERP的基礎(chǔ)之上的應用，ERP是企業(yè)實施電子商務(wù)的支撐系統(tǒng)，具體關(guān)系體現(xiàn)為：基于供應鏈的兼容性。企業(yè)中存在三種流，物流、資金流和信息流。其中信息流不是孤立的，它與物流和資金流緊密聯(lián)系。反映了物資和資金流動前、中、后的狀況。對基于這三種流分別存在的物資供應鏈，資金供應鏈和信息供應鏈。由于電子商務(wù)主要涉及采購和銷售業(yè)務(wù)，因此網(wǎng)上采購部和網(wǎng)上銷售部成為企業(yè)的物流和資金流的一部分。雖然ERP首先使用了供應鏈管理思想，但供應鏈并不依賴于ERP而存在。供應鏈是企業(yè)一種客觀存在。任何企業(yè)應用系統(tǒng)都可以使用供應鏈管理的思想和方法。

基于客戶關(guān)系管理的關(guān)聯(lián)性?？蛻絷P(guān)系管理（CRM）是ERP系統(tǒng)的一個發(fā)展方向。面向客戶的客戶關(guān)系管理。不僅僅是將銷售過程自動化，而且?guī)椭髽I(yè)充分利用關(guān)鍵客戶和企業(yè)數(shù)據(jù)來優(yōu)化商業(yè)決策過程。CRM賦予客戶與企業(yè)進行交流的能力。而這種交流是通過電子商務(wù)來實現(xiàn)的。電子商務(wù)系統(tǒng)的運行為客戶和企業(yè)之間的交流提供中介。向ERP提高最直接的數(shù)據(jù)資料。

整合是根據(jù)企業(yè)發(fā)展戰(zhàn)略和業(yè)務(wù)流程合并、撤消或增加一些業(yè)務(wù)部門。包括水平整合和垂直整合。同時也要求應用軟件各模塊的合理劃分和有機集成。而且還必須有數(shù)據(jù)庫層和操作層來支持。具體的實現(xiàn)途徑如下：

（1）功能整合?；贗nternet的ERP系統(tǒng)應滿足企業(yè)及伙伴庫存管理與銷售管理的基本功能。庫存管理包括入庫盤點等。銷售管理包括發(fā)貨、發(fā)票管理等。

（2）觀念和人才整合。整合必須牽動全局，會影響企業(yè)現(xiàn)行的管理思想、管理制度和管理方法。更為重要的是，將會引起許多人利益的再分配。因而必然會遇到許多阻力。這就要求最高決策層全力推動轉(zhuǎn)變觀念，接受先進的管理理念，要求企業(yè)的所有員工必須在思想上有正確的認識，以便于在有機組織中，充分發(fā)揮每個員工的主觀能動性與全能，提高企業(yè)對市場動態(tài)變化的響應速度。同時要求，商業(yè)管理人員要有計算機知識，IT技術(shù)人員要有管理理論和商務(wù)知識，這樣企業(yè)才能對電子商務(wù)下的ERP有哪些需求，技術(shù)上應該怎么實現(xiàn)，有個清楚的認識。企業(yè)如果缺乏復合型人才，便無法有效的實施ERP與電子商務(wù)的融合。

電子商務(wù)與ERP的無縫整合可以最大限度地提高企業(yè)對市場的快速反應能力和滿足客戶的個性化服務(wù)，最終實現(xiàn)以供應鏈管理為目標，使企業(yè)能在激烈的市場競爭中，立于不敗之地。

參考文獻

[1]諾伯特?韋爾蒂.成功的ERP項目實施.北京：機械工業(yè)出版社.2001.

[2]Alexis leon.企業(yè)資源規(guī)劃.北京：清華大學出版社.2001.

[3]楊雄勝.內(nèi)部控制面臨的困境及出路.會計研究，2006.02.

關(guān)于企業(yè)信息安全措施范文第4篇

 

1、企業(yè)網(wǎng)絡(luò)信息安全管理的現(xiàn)狀分析

 

1.1、鋼鐵企業(yè)信息化的必要性分析

 

隨著我國經(jīng)濟的發(fā)展和科技的進步，信息化已在越來越多的企業(yè)中被得到應用，而鋼鐵企業(yè)作為我國的經(jīng)濟支柱之一，在近年來也逐漸實現(xiàn)了鋼鐵企業(yè)的信息化建設(shè)。在鋼鐵企業(yè)中實施信息化建設(shè)，一方面是可以將鋼鐵企業(yè)的發(fā)展空間擴大，提高企業(yè)本身的在市場的競爭力，使其在如今競爭激勵的市場中占有一席之地，對鋼鐵企業(yè)實施信息化建設(shè)是企業(yè)發(fā)展的需要;另一方面，由于鋼鐵企業(yè)的業(yè)務(wù)，其所涉及到數(shù)據(jù)、文檔和圖紙等的數(shù)量都是比較多的，想要將這些數(shù)據(jù)、文檔和圖紙儲存起來是一件不容易的事，操作起來比較復雜，而通過信息化技術(shù)的支持則可以大大的簡化了這個儲存操作的過程，便于人員進行操作，使鋼鐵企業(yè)的運行效率得到大大的提高，對鋼鐵企業(yè)實施信息化建設(shè)是企業(yè)管理的需要。除此之外，隨著生產(chǎn)鏈全球化和供應鏈全球化的日益緊密，鋼鐵企業(yè)作為我國的經(jīng)濟支柱之一，要求其利用信息化管理加強對鋼鐵生產(chǎn)建設(shè)的指導的迫切性已是越來越突出。因此，對鋼鐵企業(yè)實施信息化建設(shè)是非常有必要的，它不僅僅是鋼鐵企業(yè)本身發(fā)展的需要，也是鋼鐵企業(yè)管理的需要，同時也還是生產(chǎn)鏈全球化和供應鏈全球化對鋼鐵企業(yè)生產(chǎn)的要求所在。

 

1.2、當前存在的問題

 

上述信息化優(yōu)勢證明我國電力企業(yè)近年來關(guān)于網(wǎng)絡(luò)信息化建設(shè)取得了一些成果，給行業(yè)信息化建設(shè)打下了良好的基礎(chǔ)，但在網(wǎng)絡(luò)信息安全管理方面仍普遍存在較多問題。

 

(1)信息化機構(gòu)建設(shè)不健全

 

鋼鐵企業(yè)很少為信息管理部門專門設(shè)置機構(gòu)，因而缺乏應有的規(guī)范的崗位及建制。大多信息部門附屬在技術(shù)部、科技部或總經(jīng)理工作部門下，甚至僅設(shè)置一個專責人員負責。信息化管理是一項系統(tǒng)性的工程，沒有專門的部門負責是不能滿足現(xiàn)代企業(yè)信息化安全的需求的。

 

(2)企業(yè)管理阻礙信息化發(fā)展

 

有些鋼鐵企業(yè)管理辦法革新緩慢，大多采用較落后的、非現(xiàn)代信息化企業(yè)的管理模式。這樣的企業(yè)即便引入最完善的信息管理系統(tǒng)、最先進的信息化設(shè)備，也只能受落后的企業(yè)管理模式所制約，無法發(fā)揮其應有的作用。

 

(3)內(nèi)部監(jiān)管不足，相關(guān)法規(guī)不夠完善

 

內(nèi)部網(wǎng)絡(luò)安全監(jiān)管對信息安全管理起著至關(guān)重要的作用。很多信息安全案件發(fā)生的根本原因都是缺乏有效的網(wǎng)絡(luò)安全監(jiān)管，即使許多信息安全管理者認識到了加強內(nèi)部監(jiān)管的重要性，但實施起來依然阻力重重。很多具體的危害信息安全的行為并沒有在現(xiàn)行的信息安全法律、法規(guī)中做出明確的界定。

 

(4)身份認證缺陷

 

電力企業(yè)一般只建立內(nèi)部使用的信息系統(tǒng)，而企業(yè)內(nèi)部不同管理部門、不同層次員工有不同等級的授權(quán)，根據(jù)授權(quán)等級不同決定各部門和員工訪問的數(shù)據(jù)和信息不同。這類授權(quán)是以身份認證為基礎(chǔ)的信息訪問控制，但在當前的企業(yè)身份認證系統(tǒng)中大多存在缺陷和漏洞，給信息安全留下隱患。

 

(5)軟件系統(tǒng)安全風險較大

 

軟件系統(tǒng)安全風險指兩方面，一是編寫的各種應用系統(tǒng)可能有漏洞造成安全風險，二是操作系統(tǒng)本身風險，隨著近期微軟停止對windowsXP系統(tǒng)的服務(wù)支持，大量使用windowsXP系統(tǒng)的信息管理軟件都將得不到系統(tǒng)漏洞的修補，這無疑會給信息安全帶來極大風險。

 

(6)管理人員意識不足

 

很多鋼鐵企業(yè)員工網(wǎng)絡(luò)安全意識參差不齊，一方面是時代的迅速發(fā)展導致較年輕的管理人員安全意識較高，而對網(wǎng)絡(luò)接觸較少的中老年員工網(wǎng)絡(luò)安全意識較為缺乏;另一方面也有電力企業(yè)管理制度不夠完善、忽視對員工進行及時培訓的原因。在這種人員背景下，如果管理人員配備不當、信息管理系統(tǒng)設(shè)置不合理都會給企業(yè)信息埋下安全隱患。

 

2、完善企業(yè)網(wǎng)絡(luò)信息安全方案的具體實施

 

2.1、防火墻部署

 

防火墻是建立在內(nèi)部專有網(wǎng)絡(luò)和外部公有網(wǎng)絡(luò)之間的。所有來自公網(wǎng)的傳輸信息或從內(nèi)網(wǎng)發(fā)出的信息都必須穿過防火墻。網(wǎng)絡(luò)訪問的安全一方面我們要配置防火墻禁止對內(nèi)訪問，以防止互聯(lián)網(wǎng)上黑客的非法入侵;另一方面對允許對內(nèi)訪問的合法用戶設(shè)立安全訪問區(qū)域。防火墻是在系統(tǒng)內(nèi)部和外部之間的隔離層，可保護內(nèi)部系統(tǒng)不被外部系統(tǒng)攻擊。

 

通過配置安全訪問控制策略，可確保與外界可靠、安全連接。防火墻的功能是對訪問用戶進行過濾，通過防火墻的設(shè)置，對內(nèi)網(wǎng)、公網(wǎng)、DMZ區(qū)進行劃分，并實施安全策略，防止外部用戶或內(nèi)部用戶彼此之間的惡性攻擊。同時防火墻支持VPN功能，對經(jīng)常出差的領(lǐng)導、員工支持遠程私有網(wǎng)絡(luò)，用戶通過公網(wǎng)可以象訪問本地內(nèi)部局域網(wǎng)一樣任意進行訪問。此外，防火墻還可以收集和記錄關(guān)于系統(tǒng)和網(wǎng)絡(luò)使用的多種信息，為流量監(jiān)控和入侵檢測提供可靠的數(shù)據(jù)支持。

 

2.2、防病毒系統(tǒng)

 

計算機網(wǎng)絡(luò)安全建設(shè)中其中最為關(guān)鍵的一個部分即是加強對防病毒系統(tǒng)的建設(shè)，這就需要在實際工作中，通過科學合理對防病毒系統(tǒng)進行裝置，從而實現(xiàn)對病毒的集中管理，利用中心控制室來對局域網(wǎng)的計算機和服務(wù)器進行有效的監(jiān)視，從而加強病毒的防范。而對于進入到計算機系統(tǒng)內(nèi)的病毒則需要做出及時的影響，預以及時清除。

 

2.3、流量監(jiān)控系統(tǒng)

 

什么是流量監(jiān)控?眾所周知，網(wǎng)絡(luò)通信是通過數(shù)據(jù)包來完成的，所有信息都包含在網(wǎng)絡(luò)通信數(shù)據(jù)包中。兩臺計算機通過網(wǎng)絡(luò)“溝通”，是借助發(fā)送與接收數(shù)據(jù)包來完成的。所謂流量監(jiān)控，實際上就是針對這些網(wǎng)絡(luò)通信數(shù)據(jù)包進行管理與控制，同時進行優(yōu)化與限制。流量監(jiān)控的目的是允許并保證有用數(shù)據(jù)包的高效傳輸，禁止或限制非法數(shù)據(jù)包傳輸，一保一限是流量監(jiān)控的本質(zhì)。在P2P技術(shù)廣泛應用的今天，企業(yè)部署流量監(jiān)控是非常有必要的。

 

2.4、合理的配置策略

 

通過將企業(yè)網(wǎng)絡(luò)劃分為虛擬網(wǎng)絡(luò)VLAN網(wǎng)段，這樣不僅可以有效的增加網(wǎng)絡(luò)連接的靈活性，而且可以對網(wǎng)絡(luò)上的廣播進行有效的控制，減少沒必要的廣播，從而有效的釋放帶寬，不信有效的提高網(wǎng)絡(luò)利用率，而且使網(wǎng)絡(luò)的安全性和保密性能得到有效的提升，確保了網(wǎng)絡(luò)安全管理的實現(xiàn)。

 

2.5、安全管理制度

 

目前我國還沒有制訂統(tǒng)一的網(wǎng)絡(luò)安全管理規(guī)范，所以在當前網(wǎng)絡(luò)安全不斷受到威脅的情況下，需要我們首先在設(shè)計上對安全功能進行完善，其次還要加強網(wǎng)絡(luò)安全管理制度的建立，并確保各種安全措施得以落實。對于企業(yè)中安全等級要求較高的系統(tǒng)，則需要由專人進行管理，實行嚴格的出入管理，利用不同手段對出入人員進行識別和登記管理，從而確保企業(yè)網(wǎng)絡(luò)信息的安全性。

 

總之，在計算機技術(shù)、信息技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展下，企業(yè)在生產(chǎn)活動中都建立了屬于自己的局域網(wǎng)和企業(yè)辦公平臺，從而使企業(yè)在生產(chǎn)和經(jīng)營過程中的數(shù)據(jù)傳輸速度加快，而且業(yè)務(wù)系統(tǒng)及管理系統(tǒng)以網(wǎng)絡(luò)分支的情況下分布開來，這對于企業(yè)管理效率的提升起到了積極的作用。網(wǎng)絡(luò)技術(shù)在企業(yè)中的應用，有效的改變了企業(yè)的生產(chǎn)方式，推動了企業(yè)的快速發(fā)展，但其也帶來了一定的隱患，如果不能及時對網(wǎng)絡(luò)的安全進行有效的防范，則會給企業(yè)帶來嚴重的經(jīng)濟損失。

 

作者：施雅芳 來源：城市建設(shè)理論研究 2014年35期

關(guān)于企業(yè)信息安全措施范文第5篇

[關(guān)鍵詞] 網(wǎng)站 信息 安全管理

一、企業(yè)商務(wù)網(wǎng)站建設(shè)的總體情況

電子商務(wù)網(wǎng)站是企業(yè)開展電子商務(wù)的基礎(chǔ)設(shè)施和信息平臺，是實施電子商務(wù)的公司與服務(wù)對象之間的交互界面，是電子商務(wù)運轉(zhuǎn)的承擔者和表現(xiàn)者。一些信息化水平高、經(jīng)濟實力雄厚、技術(shù)力量強的企業(yè)，往往采取自建網(wǎng)站的方式，即企業(yè)自己購置硬件設(shè)備并構(gòu)架服務(wù)器平臺，自行開發(fā)網(wǎng)站系統(tǒng)，自行對網(wǎng)站進行控制和管理。與主機托管、租用虛擬主機等網(wǎng)站構(gòu)建方式相比，這種方式完全自主研發(fā)，易于采用新技術(shù)，便于擴充、升級，同時企業(yè)內(nèi)部管理數(shù)據(jù)和商務(wù)網(wǎng)站信息高度整合，能提升企業(yè)的形象和效益。電子商務(wù)網(wǎng)站不容忽視的是隨之帶來的網(wǎng)絡(luò)信息安全問題，比如：信息污染、病毒泛濫、黑客入侵等等。對于企業(yè)自主建設(shè)的網(wǎng)站而言，其安全性完全由企業(yè)自行控制，風險更大，要求更高。如何加強企業(yè)商務(wù)網(wǎng)站的安全管理，已成為當務(wù)之急，本文試圖對此做些探討。

二、信息安全三維模型概述

1．信息安全的安全層次結(jié)構(gòu)（層次維L）。從信息安全的作用層面來看，信息安全可以分為物理安全、系統(tǒng)安全、數(shù)據(jù)安全和信息內(nèi)容安全四層。(1)物理安全：主要體現(xiàn)在通信線路的可靠性、防災害能力、防干擾能力、設(shè)備的運行環(huán)境(溫度、濕度、煙塵)、不間斷電源保障等等。(2)系統(tǒng)安全：指的是計算機與網(wǎng)絡(luò)設(shè)備運行過程中的穩(wěn)定性運行狀態(tài)，因而又可稱之為“運行安全”，包括操作系統(tǒng)的安全、網(wǎng)絡(luò)方面的安全。(3)數(shù)據(jù)安全：是指對信息在數(shù)據(jù)處理、存儲、檢索、傳輸、顯示等過程中的保護，不被非法冒充、竊取、篡改、抵賴。(4)信息內(nèi)容安全：是指對信息在網(wǎng)絡(luò)內(nèi)流動中的選擇性阻斷，以保證信息流動的可控能力。在此，被阻斷的對象主要是各種不良的、有害的信息。

2.PPDRR模型（時間維T）。PPDRR模型是典型的、動態(tài)的、自適應的安全模型，包括策略（Policy）、防護（Protection）、檢測（Detection）、響應（Response）和恢復（Recovery）5個主要部分。

信息安全策略是一個組織解決信息安全問題最重要的步驟，也是這個組織整個信息安全體系的基礎(chǔ)，反映出這個組織對現(xiàn)實安全威脅和未來安全風險的預期，反映出組織內(nèi)部業(yè)務(wù)人員和技術(shù)人員安全風險的認識與應對。防護是安全的第一步；但采取豐富的安全防護措施并不意味著安全性就得到了可靠保障，因此要采取有效的手段對網(wǎng)絡(luò)進行實時檢測，使安全防護從單純的被動防護演進到積極的主動防御；響應指在遭遇攻擊和緊急事件時及時采取措施；恢復指系統(tǒng)受到安全危害與損失后，能迅速恢復系統(tǒng)功能和數(shù)據(jù)。這個模型中，防護、檢測、響應和恢復在安全策略的指導下構(gòu)成一個完整的、動態(tài)的安全循環(huán)，是基于時間關(guān)系的。

3.三大保障（保障維S）。信息安全保障體系由人員保障、管理制度保障、技術(shù)手段保障三個要素組成。安全領(lǐng)導小組、安全工作小組和安全工作執(zhí)行人員分別從決策、監(jiān)督和具體執(zhí)行三個層面為網(wǎng)絡(luò)信息安全工作提供了完整的人員保障， 良好的網(wǎng)絡(luò)信息安全保障離不開規(guī)范嚴謹?shù)墓芾碇贫?，同時還需要使用一系列先進的技術(shù)工具和手段。

4.信息安全三維模型。上述分別從作用層次L、時間關(guān)系T及保障體系S這三個層面構(gòu)成了信息安全的三維模型，這三維是相互關(guān)聯(lián)、互相作用、不可分割的。如果將商務(wù)網(wǎng)站信息安全的各項措施明確在這個三維模型中的位置，就能夠做到有的放矢，增強針對性和邏輯性。

三、基于三維模型的企業(yè)商務(wù)網(wǎng)站信息安全對策

1.物理層。從防護角度看，企業(yè)自建商務(wù)網(wǎng)站所在機房應具備較好的物理環(huán)境，包括UPS、空凋、消防系統(tǒng)等，使設(shè)備免受安全威脅和環(huán)境危險，如偷竊、火災、水（或供水故障）、電磁輻射等。從恢復角度看，網(wǎng)站平臺要有容災、冗余備份等措施。在人員方面的措施包括：機房配備管理人員（除了進行崗位操作和技能培訓外，還要進行職業(yè)道德、法律規(guī)范的培訓）；在管理制度方面的措施包括：機房管理制度（電源管理、環(huán)境管理等）、設(shè)備常規(guī)管理制度；在技術(shù)手段方面包括用于防護的視頻監(jiān)控、門禁系統(tǒng)、抗擾處理等技術(shù)和用于恢復的容錯、容災、冗余備份等技術(shù)。

2.系統(tǒng)層。隨著網(wǎng)絡(luò)環(huán)境越來越復雜，計算機病毒及黑客攻擊手段越來越智能，影響范圍越來越廣、破壞力也越來越大。商業(yè)網(wǎng)站服務(wù)器的操作系統(tǒng)、WEB服務(wù)器系統(tǒng)如果存在較大安全漏洞，就會被黑客利用，造成整個網(wǎng)站的癱瘓。我們的應對措施涵蓋了防護、檢測、響應、恢復。這里技術(shù)手段起到了非常重要的作用，當然人員保障和管理制度也是必不可少的。

重要的技術(shù)手段包括：(1)訪問控制：訪問控制是網(wǎng)站安全防范和保護的主要策略，它的主要任務(wù)是保證網(wǎng)站資源不被非法使用和訪問。它是保證網(wǎng)站安全最重要的核心策略之一。通常的訪問控制包括通過Ip地址來控制、通過用戶名來控制和采用共用密鑰加密的方法來控制。(2)病毒防護：需要建立完整的病毒防護體系，對應用服務(wù)器、企業(yè)網(wǎng)內(nèi)部所有的客戶機進行全面的防毒掃描，保證建立及時、快速的病毒響應機制，發(fā)現(xiàn)病毒即時進行處理，迅速抑制病毒傳播。(3)操作系統(tǒng)要及時打上補丁程序，并進行完善的安全配置。(4)系統(tǒng)容錯、容災、冗余備份等技術(shù)，使網(wǎng)站一旦發(fā)生問題能夠及時恢復。

人員保障方面要配備技術(shù)拔尖的人才專門從事網(wǎng)站安全管理工作，負責操作系統(tǒng)、web服務(wù)器的安全配置。同時，還有有以下管理制度作保障：(1)計算機病毒預報制度和安全漏洞預報制度；(2)操作人員權(quán)限管理規(guī)定；(3)病毒、安全應急響應及處置預案；(4)安全日志管理制度。

3.數(shù)據(jù)層。商務(wù)網(wǎng)站的數(shù)據(jù)層安全是最為重要的，主要是保障數(shù)據(jù)的機密性、真實性、完整性。要能夠查證用戶的真實身份，交易中的商務(wù)信息均有保密的要求。如信用卡的賬號和用戶名被人知悉，就可能被盜用，訂貨和付款的信息被競爭對手獲悉，就可能喪失商機。另外要保證交易的全過程能夠被記錄并作為審計依據(jù)。

數(shù)據(jù)層的主要管理制度包括:(1)網(wǎng)站賬號管理規(guī)定。該規(guī)定應包括注冊賬戶的資料提供、密碼規(guī)定、行為規(guī)范、操作系統(tǒng)及服務(wù)器的賬號管理等多個方面。這個規(guī)定用于數(shù)據(jù)層安全問題的防護。(2)關(guān)于網(wǎng)站突發(fā)事件和急處置工作預案。此預案旨在及時果斷處理網(wǎng)上突發(fā)事件，內(nèi)容可包括組織領(lǐng)導、工作網(wǎng)絡(luò)、宣傳教育、管理控制、案件查處等方面。這個規(guī)定用于數(shù)據(jù)層安全問題的響應和恢復。(3)安全日志管理制度，這個規(guī)定用于數(shù)據(jù)層安全問題的檢測。

數(shù)據(jù)層的重要技術(shù)手段包括：(3)數(shù)據(jù)加密，即以加密格式存儲和傳輸敏感數(shù)據(jù)。(2)身份認證：主要是利用用戶有關(guān)信息對用戶的身份進行確認，包括密碼、數(shù)字簽名、數(shù)字證書等方面來避免信息的非法獲取。(3)采用具有一定安全級別的SYBASE或ORACLE大型分布式數(shù)據(jù)庫，在此基礎(chǔ)上開發(fā)一些安全措施，增加相應控件，對數(shù)據(jù)庫分級管理并提供可靠的故障恢復機制。

4.信息內(nèi)容層。商務(wù)網(wǎng)站會有留言板或論壇，便于與客戶交流并提供服務(wù)。但一些有害信息如垃圾信息、虛假信息、黃色信息等就有可能在網(wǎng)上出現(xiàn)。有些客戶會隨意發(fā)表一些帶有個人偏見的不良信息，造成不良影響。我們的目的是保證各種不良的有害信息不在網(wǎng)站內(nèi)出現(xiàn)、傳播。

信息內(nèi)容層主要有以下管理制度:(1)信息審查制度。(2)BBS及留言版的監(jiān)控與管理。這兩點必須有專人負責。

信息內(nèi)容層的技術(shù)手段主要是信息內(nèi)容過濾，包括URL或IP限制、文字攔截、圖像審查、屏幕監(jiān)視等等。文字攔截功能可以按關(guān)鍵字攔截本機通過網(wǎng)絡(luò)傳輸?shù)男畔ⅲ粌H是流入的信息， 而且可以是從本地流出的信息，這樣可以防止一些本機的機密信息或者其它不良信息的外泄。

四、結(jié)束語

在信息安全方面,漏洞無非三種類型,即:技術(shù)上的漏洞,管理上的漏洞和人的思想認識上的漏洞。加強領(lǐng)導是做好此項工作的關(guān)鍵，企業(yè)可以成立專門的商務(wù)網(wǎng)站信息安全領(lǐng)導小組，由有關(guān)領(lǐng)導和有關(guān)職能部門（如保衛(wèi)處、信息中心等）的負責人組成。另外，要建立一支網(wǎng)絡(luò)安全管理隊伍，除企業(yè)信息中心人員要求技術(shù)過硬、思想素質(zhì)高外，部門要指定一名思想政治覺悟高、工作責任心強、懂電腦的人員擔任網(wǎng)站信息安全協(xié)助管理員。除了高超的技術(shù), 嚴密的規(guī)章制度,還要從領(lǐng)導干部、技術(shù)人員、一般用戶三個層面加強宣傳教育和安全培訓工作。

參考文獻:

[1]顧國飛等:全方位的網(wǎng)絡(luò)信息監(jiān)控體系[J]. 計算機工程與應用，2003，(10)

[2]王娜方濱興等:“5432戰(zhàn)略”:國家信息安全保障體系框架研究[J].通信學報，2004年07期