石化銷售企業(yè)信息論文范文
本站小編為你精心準(zhǔn)備了石化銷售企業(yè)信息論文參考范文,愿這些范文能點(diǎn)燃您思維的火花,激發(fā)您的寫作靈感。歡迎深入閱讀并收藏。
一、信息安全風(fēng)險(xiǎn)的評估
衡量安全管理體系的風(fēng)險(xiǎn)主要方法是進(jìn)行信息安全風(fēng)險(xiǎn)的評估,以此保障信息資產(chǎn)清單和風(fēng)險(xiǎn)級別,進(jìn)而確定相應(yīng)的防控措施。在石化銷售企業(yè)進(jìn)行信息安全風(fēng)險(xiǎn)的評估過程中,主要通過資金、威脅、安全性等識別美容對風(fēng)險(xiǎn)進(jìn)行安全檢測,同時(shí)結(jié)合企業(yè)自身的實(shí)際情況,擬定風(fēng)險(xiǎn)控制相應(yīng)的對策,把企業(yè)內(nèi)的信息安全風(fēng)險(xiǎn)竟可能下降到最低水平。
(一)物理存在的風(fēng)險(xiǎn)機(jī)房環(huán)境和硬件設(shè)備是主要的的物理風(fēng)險(xiǎn)。當(dāng)前,部分企業(yè)存在的風(fēng)險(xiǎn)有:1)企業(yè)機(jī)房使用年限過長,如早期的配電、布線等設(shè)計(jì)標(biāo)準(zhǔn)陳舊,無法滿足現(xiàn)在的需求;2)機(jī)房使用的裝備年限太長、例如中央空調(diào)老化,制冷效果不佳導(dǎo)致溫度不達(dá)標(biāo),UPS電源續(xù)航能力下降嚴(yán)重,門禁系統(tǒng)損壞等,存在風(fēng)險(xiǎn);3)機(jī)房安全防護(hù)設(shè)施不齊全,存在風(fēng)險(xiǎn)。
(二)網(wǎng)絡(luò)和系統(tǒng)安全存在的風(fēng)險(xiǎn)石化訪問系統(tǒng)的使用和操作大量存在安全風(fēng)險(xiǎn),其中主要風(fēng)險(xiǎn)包括病毒入侵、黑客襲擊、防火墻無效、端口受阻以及操作系統(tǒng)安全隱患等。即使大部分企業(yè)已安裝統(tǒng)一的網(wǎng)絡(luò)防病毒體系、硬件防火墻、按期更新網(wǎng)絡(luò)系統(tǒng)軟件、安裝上網(wǎng)行為監(jiān)控等,但因?yàn)橄到y(tǒng)漏洞數(shù)目不斷增多網(wǎng)絡(luò)結(jié)構(gòu)和襲擊逐漸減弱或者因?yàn)樾畔⑾到y(tǒng)使用人員操作系統(tǒng)本身的安全機(jī)制不完善、也會產(chǎn)生安全隱患。
(三)系統(tǒng)安全風(fēng)險(xiǎn)沒有經(jīng)過許可進(jìn)行訪問、數(shù)據(jù)泄密和被刪改等威脅著系統(tǒng)的安全性。提供各類應(yīng)用服務(wù)是企業(yè)信息系統(tǒng)的首要任務(wù),而數(shù)據(jù)正是應(yīng)用信息系統(tǒng)的核心,因此,實(shí)際應(yīng)用與系統(tǒng)安全風(fēng)險(xiǎn)密切聯(lián)系。當(dāng)前,信息應(yīng)用系統(tǒng)存儲了大量的客戶、交易等重要信息,一旦泄露,造成客戶對企業(yè)信任度影響的同時(shí)也會影響企業(yè)的市場競爭力。
(四)安全管理存在的風(fēng)險(xiǎn)安全管理存在的主要指沒有同體的風(fēng)險(xiǎn)安全管理手段,管理制度不完善、管理標(biāo)準(zhǔn)沒有統(tǒng)一,人員安全意識薄弱等等都存在管理風(fēng)險(xiǎn),因此,需要設(shè)立完善的信息系統(tǒng)安全管理體系,從嚴(yán)管理,促使信息安全系統(tǒng)正常運(yùn)作。一方面要規(guī)范健全信息安全管理手段,有效較強(qiáng)內(nèi)控IT管理流程控制力度,狠抓落實(shí)管理體系的力度,杜絕局部管理不足點(diǎn);另一方面,由于信息安全管理主要以動態(tài)發(fā)展的形式存在,要不斷調(diào)整、完善制度,以符合信息安全的新環(huán)境需求[2]。
二、信息安全管理體系框架的主要構(gòu)思
信息安全管理體系的框架主要由監(jiān)管體系、組織體系和技術(shù)體系形成,特點(diǎn)是系統(tǒng)化、程序化和文件化,而主要思想以預(yù)防控制為主,以過程和動態(tài)控制為條件。完善安全管理體系,使石化銷售企業(yè)信息系統(tǒng)和信息網(wǎng)絡(luò)能夠安全可靠的運(yùn)作,從機(jī)密性、完整性、不可否認(rèn)性和可用性等方面確保數(shù)據(jù)安全,提升系統(tǒng)的持續(xù)性,加強(qiáng)企業(yè)的競爭力。
(一)組織體系企業(yè)在完善管理體系過程中應(yīng)設(shè)立信息安全委員會和相關(guān)管理部門,設(shè)置相應(yīng)的信息安全崗位,明確各級負(fù)責(zé)的信息安全和人員配置等內(nèi)容。在全面提升企業(yè)人員對信息安全了解的過程中必須進(jìn)行信息安全知識的相關(guān)培訓(xùn),使工作人員提高信息安全管理意識,實(shí)現(xiàn)信息安全管理工作人人有責(zé)。
(二)制度體系操作規(guī)范、安全策略、應(yīng)急預(yù)案等各項(xiàng)管理制度經(jīng)過計(jì)劃和下發(fā),讓信息安全管理有據(jù)可依。企業(yè)參照合理完善的各項(xiàng)制度進(jìn)一步優(yōu)化業(yè)務(wù)流程,規(guī)范操作行為,降低事故風(fēng)險(xiǎn),提升應(yīng)急能力,以此加強(qiáng)信息安全的管理體系。
(三)技術(shù)體系管理技術(shù)、防護(hù)技術(shù)、控制技術(shù)是信息安全管理體系的主要技術(shù)基礎(chǔ)。安全技術(shù)包括物理安全技術(shù)、網(wǎng)絡(luò)安全技術(shù)、主機(jī)安全技術(shù)、終端安全技術(shù)、數(shù)據(jù)安全、應(yīng)用安全技術(shù)等。一旦出現(xiàn)信息安全事件,技術(shù)體系會在最短的時(shí)間內(nèi)降低事件的不良影響,依靠相關(guān)的信息安全管理技術(shù)平臺,以實(shí)現(xiàn)信息安全技術(shù)的有效控制[3]。管理體系的核心是技術(shù)手段,先進(jìn)的加密算法和強(qiáng)化密鑰管理構(gòu)成的數(shù)據(jù)加密方式全程控制數(shù)據(jù)傳輸和數(shù)據(jù)存儲,可以保證數(shù)據(jù)的安全性。采用堡壘機(jī)、防火墻等安全系統(tǒng)可以過濾掉不安全的服務(wù)和非法用戶,防止入侵者接近防御設(shè)備。IDS作為防火墻的重要功能之一,能夠幫助網(wǎng)絡(luò)系統(tǒng)快速檢測出攻擊的對象,加強(qiáng)了管理員的安全管理技術(shù)(包括審計(jì)工作、監(jiān)視、進(jìn)攻識別等技術(shù)),提高了信息安全體系的防范性。企業(yè)數(shù)據(jù)備份這一塊可以采用雙機(jī)熱本地集群網(wǎng)、異地集群網(wǎng)等各種形式進(jìn)行網(wǎng)絡(luò)備份,利用體統(tǒng)的可用性和容災(zāi)性加強(qiáng)安全管理能力。近年來各個(gè)企業(yè)的惡意軟件、攻擊行為手法變化多端很難防御,在各種壓力下,傳統(tǒng)的的安全防預(yù)技術(shù)受到了嚴(yán)峻的考驗(yàn),這時(shí)“云安全”技術(shù)當(dāng)之無愧成為當(dāng)今最熱的安全技術(shù)。“云安全”技術(shù)主要使用分部式運(yùn)算功能進(jìn)行防御,而“云安全”技術(shù)對于企業(yè)用戶而言確實(shí)明顯的保障了信息的安全性以及降低客戶端維護(hù)量。“云安全”技術(shù)是未來安全防護(hù)技術(shù)發(fā)展的必由之路,且今后“云安全”作為企業(yè)安全管理的核心內(nèi)容為企業(yè)的數(shù)據(jù)、服務(wù)器群組以及端點(diǎn)提供強(qiáng)制的安全防御能力。”
三、信息安全管理體系相關(guān)步驟
由于管理體系具有靈活性,企業(yè)可依據(jù)自身的特點(diǎn)和實(shí)際情況,使用最優(yōu)方案,結(jié)合石化銷售的特征,提出以下步驟:1)管理體系的重要目標(biāo);2)管理體系的主要范疇;3)管理體系現(xiàn)狀考察與風(fēng)險(xiǎn)估量;4)完善管理體系的制度;5)整理管理體系的文檔;6)管理體系的運(yùn)行方式;7)信息安全管理體系考核。
四、結(jié)論
現(xiàn)代企業(yè)管理與信息安全技術(shù)的發(fā)展要求我們對信息安全技術(shù)和產(chǎn)品本身不能完全的依賴,因?yàn)榧词蛊髽I(yè)投入了巨大的人力、物理、財(cái)力,現(xiàn)實(shí)中也很難做到百分百的安全。信息安全標(biāo)準(zhǔn)越高,企業(yè)投放就越大,所以需要在信息安全標(biāo)準(zhǔn)與企業(yè)效益之間尋求一個(gè)平衡點(diǎn)。另外,企業(yè)要保持信息安全管理體系長久有效運(yùn)行,最主要的是設(shè)立信息安全獎懲機(jī)制、連續(xù)改進(jìn)機(jī)制和內(nèi)部信息安全審計(jì)機(jī)制。在信息安全管理體系建設(shè)全過程中,更要注重專業(yè)人才的建設(shè)和培養(yǎng)。要廣泛的開展信息安全宣傳、教育不斷提升全體員工的安全意識,使“要我安全”向“我要安全”的意識轉(zhuǎn)變。
作者:馮剛單位:中石化山西忻州石油分公司
