石化銷售企業(yè)信息論文范文
本站小編為你精心準備了石化銷售企業(yè)信息論文參考范文,愿這些范文能點燃您思維的火花,激發(fā)您的寫作靈感。歡迎深入閱讀并收藏。
一、信息安全風險的評估
衡量安全管理體系的風險主要方法是進行信息安全風險的評估,以此保障信息資產(chǎn)清單和風險級別,進而確定相應的防控措施。在石化銷售企業(yè)進行信息安全風險的評估過程中,主要通過資金、威脅、安全性等識別美容對風險進行安全檢測,同時結合企業(yè)自身的實際情況,擬定風險控制相應的對策,把企業(yè)內(nèi)的信息安全風險竟可能下降到最低水平。
(一)物理存在的風險機房環(huán)境和硬件設備是主要的的物理風險。當前,部分企業(yè)存在的風險有:1)企業(yè)機房使用年限過長,如早期的配電、布線等設計標準陳舊,無法滿足現(xiàn)在的需求;2)機房使用的裝備年限太長、例如中央空調(diào)老化,制冷效果不佳導致溫度不達標,UPS電源續(xù)航能力下降嚴重,門禁系統(tǒng)損壞等,存在風險;3)機房安全防護設施不齊全,存在風險。
(二)網(wǎng)絡和系統(tǒng)安全存在的風險石化訪問系統(tǒng)的使用和操作大量存在安全風險,其中主要風險包括病毒入侵、黑客襲擊、防火墻無效、端口受阻以及操作系統(tǒng)安全隱患等。即使大部分企業(yè)已安裝統(tǒng)一的網(wǎng)絡防病毒體系、硬件防火墻、按期更新網(wǎng)絡系統(tǒng)軟件、安裝上網(wǎng)行為監(jiān)控等,但因為系統(tǒng)漏洞數(shù)目不斷增多網(wǎng)絡結構和襲擊逐漸減弱或者因為信息系統(tǒng)使用人員操作系統(tǒng)本身的安全機制不完善、也會產(chǎn)生安全隱患。
(三)系統(tǒng)安全風險沒有經(jīng)過許可進行訪問、數(shù)據(jù)泄密和被刪改等威脅著系統(tǒng)的安全性。提供各類應用服務是企業(yè)信息系統(tǒng)的首要任務,而數(shù)據(jù)正是應用信息系統(tǒng)的核心,因此,實際應用與系統(tǒng)安全風險密切聯(lián)系。當前,信息應用系統(tǒng)存儲了大量的客戶、交易等重要信息,一旦泄露,造成客戶對企業(yè)信任度影響的同時也會影響企業(yè)的市場競爭力。
(四)安全管理存在的風險安全管理存在的主要指沒有同體的風險安全管理手段,管理制度不完善、管理標準沒有統(tǒng)一,人員安全意識薄弱等等都存在管理風險,因此,需要設立完善的信息系統(tǒng)安全管理體系,從嚴管理,促使信息安全系統(tǒng)正常運作。一方面要規(guī)范健全信息安全管理手段,有效較強內(nèi)控IT管理流程控制力度,狠抓落實管理體系的力度,杜絕局部管理不足點;另一方面,由于信息安全管理主要以動態(tài)發(fā)展的形式存在,要不斷調(diào)整、完善制度,以符合信息安全的新環(huán)境需求[2]。
二、信息安全管理體系框架的主要構思
信息安全管理體系的框架主要由監(jiān)管體系、組織體系和技術體系形成,特點是系統(tǒng)化、程序化和文件化,而主要思想以預防控制為主,以過程和動態(tài)控制為條件。完善安全管理體系,使石化銷售企業(yè)信息系統(tǒng)和信息網(wǎng)絡能夠安全可靠的運作,從機密性、完整性、不可否認性和可用性等方面確保數(shù)據(jù)安全,提升系統(tǒng)的持續(xù)性,加強企業(yè)的競爭力。
(一)組織體系企業(yè)在完善管理體系過程中應設立信息安全委員會和相關管理部門,設置相應的信息安全崗位,明確各級負責的信息安全和人員配置等內(nèi)容。在全面提升企業(yè)人員對信息安全了解的過程中必須進行信息安全知識的相關培訓,使工作人員提高信息安全管理意識,實現(xiàn)信息安全管理工作人人有責。
(二)制度體系操作規(guī)范、安全策略、應急預案等各項管理制度經(jīng)過計劃和下發(fā),讓信息安全管理有據(jù)可依。企業(yè)參照合理完善的各項制度進一步優(yōu)化業(yè)務流程,規(guī)范操作行為,降低事故風險,提升應急能力,以此加強信息安全的管理體系。
(三)技術體系管理技術、防護技術、控制技術是信息安全管理體系的主要技術基礎。安全技術包括物理安全技術、網(wǎng)絡安全技術、主機安全技術、終端安全技術、數(shù)據(jù)安全、應用安全技術等。一旦出現(xiàn)信息安全事件,技術體系會在最短的時間內(nèi)降低事件的不良影響,依靠相關的信息安全管理技術平臺,以實現(xiàn)信息安全技術的有效控制[3]。管理體系的核心是技術手段,先進的加密算法和強化密鑰管理構成的數(shù)據(jù)加密方式全程控制數(shù)據(jù)傳輸和數(shù)據(jù)存儲,可以保證數(shù)據(jù)的安全性。采用堡壘機、防火墻等安全系統(tǒng)可以過濾掉不安全的服務和非法用戶,防止入侵者接近防御設備。IDS作為防火墻的重要功能之一,能夠幫助網(wǎng)絡系統(tǒng)快速檢測出攻擊的對象,加強了管理員的安全管理技術(包括審計工作、監(jiān)視、進攻識別等技術),提高了信息安全體系的防范性。企業(yè)數(shù)據(jù)備份這一塊可以采用雙機熱本地集群網(wǎng)、異地集群網(wǎng)等各種形式進行網(wǎng)絡備份,利用體統(tǒng)的可用性和容災性加強安全管理能力。近年來各個企業(yè)的惡意軟件、攻擊行為手法變化多端很難防御,在各種壓力下,傳統(tǒng)的的安全防預技術受到了嚴峻的考驗,這時“云安全”技術當之無愧成為當今最熱的安全技術。“云安全”技術主要使用分部式運算功能進行防御,而“云安全”技術對于企業(yè)用戶而言確實明顯的保障了信息的安全性以及降低客戶端維護量。“云安全”技術是未來安全防護技術發(fā)展的必由之路,且今后“云安全”作為企業(yè)安全管理的核心內(nèi)容為企業(yè)的數(shù)據(jù)、服務器群組以及端點提供強制的安全防御能力。”
三、信息安全管理體系相關步驟
由于管理體系具有靈活性,企業(yè)可依據(jù)自身的特點和實際情況,使用最優(yōu)方案,結合石化銷售的特征,提出以下步驟:1)管理體系的重要目標;2)管理體系的主要范疇;3)管理體系現(xiàn)狀考察與風險估量;4)完善管理體系的制度;5)整理管理體系的文檔;6)管理體系的運行方式;7)信息安全管理體系考核。
四、結論
現(xiàn)代企業(yè)管理與信息安全技術的發(fā)展要求我們對信息安全技術和產(chǎn)品本身不能完全的依賴,因為即使企業(yè)投入了巨大的人力、物理、財力,現(xiàn)實中也很難做到百分百的安全。信息安全標準越高,企業(yè)投放就越大,所以需要在信息安全標準與企業(yè)效益之間尋求一個平衡點。另外,企業(yè)要保持信息安全管理體系長久有效運行,最主要的是設立信息安全獎懲機制、連續(xù)改進機制和內(nèi)部信息安全審計機制。在信息安全管理體系建設全過程中,更要注重專業(yè)人才的建設和培養(yǎng)。要廣泛的開展信息安全宣傳、教育不斷提升全體員工的安全意識,使“要我安全”向“我要安全”的意識轉(zhuǎn)變。
作者:馮剛單位:中石化山西忻州石油分公司
