摘 要:本文主要闡述信息安全在家具企業(yè)管理中的作用,并論述了有關(guān)信息安全的常見問題以及安全保障措施,有一定的技術(shù)參考價值。
關(guān)鍵詞:信息安全;家具企業(yè)管理;作用;問題;保障措施
1.前言
信息安全是指防止信息財產(chǎn)被故意的或偶然的非授權(quán)泄露、更改、破壞,或防止信息被非法辨識、控制,即確保信息的保密性、可用性、完整性和可控性[1]。信息安全學(xué)起源于上世紀(jì)60年代的通信保密行業(yè),60-70年代開始逐步在計算機(jī)行業(yè)推行,在80-90年代才真正被計算機(jī)行業(yè)廣泛應(yīng)用,90年代以后計算機(jī)行業(yè)開始倡導(dǎo)信息保障[2]。本文主要闡述信息安全在家具企業(yè)管理中的作用,并論述了有關(guān)信息安全的常見問題以及安全保障措施。
2.家具企業(yè)管理的信息安全的常見問題
保護(hù)家具企業(yè)內(nèi)部信息不被泄露、不被篡改、不被竊取是刻不容緩的。家具企業(yè)遇到的信息安全問題主要包括以下方面:
2.1網(wǎng)絡(luò)安全防范意識薄弱
隨著數(shù)字化信息的發(fā)展,網(wǎng)絡(luò)化的辦公室方式越來越受到重用,但過度的依賴于自動化的辦公,使得家具企業(yè)內(nèi)部的安全防護(hù)問題沒有得到足夠的重視,陳舊的網(wǎng)絡(luò)防御系統(tǒng),不健全的安全機(jī)制,偏弱的網(wǎng)絡(luò)恢復(fù)和抵抗能力,都會使家具企業(yè)的信息資源受到嚴(yán)重的威脅。
2.2網(wǎng)絡(luò)非法入侵家具企業(yè)信息資源
非法入侵家具企業(yè)內(nèi)部、對網(wǎng)絡(luò)信息進(jìn)行非法盜竊、冒充家具企業(yè)內(nèi)部人員進(jìn)行網(wǎng)上欺騙、任意篡改信息造成數(shù)據(jù)的泄露,這些都是威脅家具企業(yè)信息系統(tǒng)的不安全因素。
2.3網(wǎng)絡(luò)病毒的攻擊
網(wǎng)絡(luò)病毒感染的途徑很多,電子郵件的接收、軟件的下載,文件打開等行為,都有可能感染病毒,并且病毒高速的傳染性以及網(wǎng)絡(luò)的及時傳送,都會造成很大的危害。
3.管理家具企業(yè)管理中的信息安全策略
實現(xiàn)網(wǎng)絡(luò)安全,不但要靠先進(jìn)的技術(shù),也要靠嚴(yán)格的管理、法律約束和安全教育,主要包括以下內(nèi)容:
3.1物理安全策略
物理安全策略的目的是保護(hù)計算機(jī)系統(tǒng)、網(wǎng)絡(luò)服務(wù)器、打印機(jī)等硬件實體和通信鏈路免受自然災(zāi)害、人為破壞和搭線攻擊;驗證用戶的身份和使用權(quán)限、防止用戶越權(quán)操作:確保計算機(jī)系統(tǒng)有一個良好的電磁兼容工作環(huán)境;建立完備的安全管理制度,防止非法進(jìn)入計算機(jī)控制室和各種偷竊、破壞活動的發(fā)生。
3.2訪問控制策略
它是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略,它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問,也是維護(hù)網(wǎng)絡(luò)體系安全、保護(hù)網(wǎng)絡(luò)資源的重要手段。主要由入網(wǎng)訪問控制、網(wǎng)絡(luò)的權(quán)限控制、目錄級別安全控制、網(wǎng)絡(luò)服務(wù)器安全控制、網(wǎng)絡(luò)檢測和鎖定控制及網(wǎng)絡(luò)端口和結(jié)點(diǎn)的安全控制組成。
3.3防火墻控制
防火墻是近年來發(fā)展起來的一種保護(hù)計算機(jī)網(wǎng)絡(luò)安全的技術(shù)性措施,它是一個用于阻止網(wǎng)絡(luò)中的黑客訪問某個機(jī)構(gòu)網(wǎng)絡(luò)的屏障,也可稱之為控制進(jìn)/出兩個方而通信的門檻。在網(wǎng)絡(luò)邊界上通過建立起來的相應(yīng)網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)來隔離內(nèi)部和外部網(wǎng)絡(luò),以阻擋外部網(wǎng)絡(luò)的侵入。當(dāng)前主流的防火墻主要分為三類:包過濾防火墻、代理防火墻、雙穴主機(jī)防火墻。
4.信息安全在家具企業(yè)管理中的作用體現(xiàn)
4.1保障技術(shù)的安全性
家具公司通過技術(shù)手段對業(yè)務(wù)系統(tǒng)和數(shù)據(jù)庫服務(wù)器等設(shè)定了信息的訪問權(quán)限,提高對惡意代碼和未授權(quán)移動代碼的防范和檢測,遵循信息安全管理體系中的權(quán)限最小化原則,即受保護(hù)的家具公司信息只能在限定范圍內(nèi)共享。員工僅被授予為順利履行工作職責(zé)而能訪問敏感信息的適當(dāng)權(quán)限。另外,為保證信息在傳輸過程中的安全,家具公司對于核心數(shù)據(jù)實行加密傳輸,對需保密的信息進(jìn)行加密處理,使只有擁有密鑰的授權(quán)人才能解密獲取信息。無密鑰的惡意者即使截獲傳遞中的信息也是無法窺視內(nèi)容,只能獲得零散無用的信息。
4.2加強(qiáng)家具企業(yè)管理的安全性
在制定了信息安全管理體系方針目標(biāo)后,通過建立健全信息安全管理體系管理組織機(jī)構(gòu),確立各部門各崗位人員在體系運(yùn)行中的職責(zé),以確保信息安全控制措施的實施和協(xié)調(diào),以及外部人員訪問信息和信息處理設(shè)施的安全。
根據(jù)以往管理工作中的薄弱點(diǎn),家具公司可著重加強(qiáng)軟件開發(fā)過程的管理。在軟件研發(fā)業(yè)務(wù)發(fā)展初期,開發(fā)的軟件由于開發(fā)功能簡單,缺乏開發(fā)流程,也沒有制作系統(tǒng)的文件化的操作程序,軟件產(chǎn)品的交接完全依靠個人經(jīng)驗。開發(fā)需求缺乏完整的信息安全需求,特別是外購的軟件,由于沒有得到外購系統(tǒng)的源代碼,不了解其數(shù)據(jù)庫結(jié)構(gòu)和編碼實現(xiàn)方式,當(dāng)系統(tǒng)發(fā)生問題時,無法確定系統(tǒng)問題的原因,因而成為影響整個家具公司辦公系統(tǒng)穩(wěn)定的最大風(fēng)險來源。為避免這一系統(tǒng)風(fēng)險,家具公司可考慮自行對系統(tǒng)進(jìn)行開發(fā),在開發(fā)項目初期的需求分析中較多考慮安全控制方面的要求。對于硬件、軟件的大型變更管理,制定系統(tǒng)變更的操作與測試流程,避免系統(tǒng)上線前由于測試不充分,導(dǎo)致上線后出現(xiàn)故障、影響業(yè)務(wù)的正常開展的情況發(fā)生。同時也要加強(qiáng)外包軟件的管理,包括外包商的選擇、評價、外包人員管理、外包過程管控、產(chǎn)品質(zhì)量控制、外包商考核指標(biāo)/懲處措施/賠付條款等問題,加大了對于外包開發(fā)的軟件的內(nèi)置木馬和后門的防范和檢測力度。
4.3提高資源保護(hù)的安全性
(1)提高人力資源的安全管理。家具公司信息的安全離不開人,信息安全各環(huán)節(jié)的執(zhí)行最終都需要由人這個主體來完成。如果相關(guān)人員的安全意識薄弱,不小心泄密,則比其他安全不足帶來的損失會更大。沒有信息安全意識的員工常常會成為信息安全中最薄弱的一環(huán)。信息安全管理體系的實施彌補(bǔ)了家具公司人力資源安全方面的空白,家具公司人力資源管理主要分為兩部分,家具公司內(nèi)部人員管理和第三方人員管理。對于內(nèi)部人員,人事部在人員入職前進(jìn)行人員資料核對,要求員工簽字承諾對自己資料的真實性負(fù)責(zé),對于重要崗位人員進(jìn)行背景調(diào)查;入職后簽訂保密協(xié)議,員工離職時,由人事部通知辦公室信息安全專責(zé)關(guān)閉其OA帳戶、郵件服務(wù)器帳戶、VPN帳戶等賬戶。個人工作電腦移交辦公室,由信息安全專責(zé)對電腦帳戶及存儲內(nèi)容進(jìn)行處理后交倉庫備用。離職后要進(jìn)行工作交接,并簽定離職保密協(xié)議。在員工培訓(xùn)方面,無論是新員工的入職培訓(xùn)還是老員工的在職培訓(xùn),增加信息管理方面內(nèi)容,使員工了解信息安全知識和家具公司可利用的IT資源,遵守信息安全管理制度。
(2)加強(qiáng)信息安全防范力度。在機(jī)房安全管理方面,可通過辦公區(qū)的門禁系統(tǒng),監(jiān)控裝置、機(jī)房消防設(shè)施,機(jī)房部署UPS和發(fā)電機(jī),提供必要的空調(diào)、通風(fēng)系統(tǒng),機(jī)房內(nèi)部實行分區(qū)管理等措施加強(qiáng)管理。對于已過期的保密信息,采取集中銷毀;對于報廢設(shè)備處理時銷毀遺存在設(shè)備上涉及安全的信息。
(3)保護(hù)數(shù)據(jù)的安全。在數(shù)據(jù)的安全方面,各部門對信息資產(chǎn)的歸屬管理方面一直存在著所有權(quán)和管理權(quán)不清的問題,特別是跨部門流程中涉及到的信息資產(chǎn),經(jīng)常存在著找不到所屬部門的情況,出了問題,部門間則存在扯皮現(xiàn)象。因此要通過制定資產(chǎn)管理和識別辦法,加大資產(chǎn)管理覆蓋范圍,明確各部門、人員在資產(chǎn)管理中的職責(zé),識別資產(chǎn)所面臨的威脅和可能被威脅利用的脆弱點(diǎn)、資產(chǎn)在喪失保密性、完整性和可用性時可能造成的后果,同時針對風(fēng)險采取了有效的風(fēng)險控制措施。
5.結(jié)束語
家具企業(yè)的信息管理安全性的作用主要是實現(xiàn)自動化經(jīng)營、網(wǎng)絡(luò)化管理、智能化決策;降低了家具企業(yè)庫存和生產(chǎn)成本;實現(xiàn)按需生產(chǎn)分配,提高生產(chǎn)效率;實現(xiàn)信息的快速更新,加快信息流在家具企業(yè)內(nèi)部和家具企業(yè)之間的流動。人們只有重視信息安全的相關(guān)漏洞問題,創(chuàng)造更有保障的信息安全系統(tǒng),才能真正在家具企業(yè)管理中起到應(yīng)有的作用。
參考文獻(xiàn)
[1] 沈昌祥、張煥國、馮登國等. 信息安全綜述[J]. 中國科學(xué)(信息科學(xué)),2007,(02):347-352.
[2] 劉雪、董文娜. 信息安全技術(shù)在家具企業(yè)管理中的應(yīng)用[J]. 電子世界,2013,(14):193.
關(guān)鍵詞:信息安全;家具企業(yè)管理;作用;問題;保障措施
1.前言
信息安全是指防止信息財產(chǎn)被故意的或偶然的非授權(quán)泄露、更改、破壞,或防止信息被非法辨識、控制,即確保信息的保密性、可用性、完整性和可控性[1]。信息安全學(xué)起源于上世紀(jì)60年代的通信保密行業(yè),60-70年代開始逐步在計算機(jī)行業(yè)推行,在80-90年代才真正被計算機(jī)行業(yè)廣泛應(yīng)用,90年代以后計算機(jī)行業(yè)開始倡導(dǎo)信息保障[2]。本文主要闡述信息安全在家具企業(yè)管理中的作用,并論述了有關(guān)信息安全的常見問題以及安全保障措施。
2.家具企業(yè)管理的信息安全的常見問題
保護(hù)家具企業(yè)內(nèi)部信息不被泄露、不被篡改、不被竊取是刻不容緩的。家具企業(yè)遇到的信息安全問題主要包括以下方面:
2.1網(wǎng)絡(luò)安全防范意識薄弱
隨著數(shù)字化信息的發(fā)展,網(wǎng)絡(luò)化的辦公室方式越來越受到重用,但過度的依賴于自動化的辦公,使得家具企業(yè)內(nèi)部的安全防護(hù)問題沒有得到足夠的重視,陳舊的網(wǎng)絡(luò)防御系統(tǒng),不健全的安全機(jī)制,偏弱的網(wǎng)絡(luò)恢復(fù)和抵抗能力,都會使家具企業(yè)的信息資源受到嚴(yán)重的威脅。
2.2網(wǎng)絡(luò)非法入侵家具企業(yè)信息資源
非法入侵家具企業(yè)內(nèi)部、對網(wǎng)絡(luò)信息進(jìn)行非法盜竊、冒充家具企業(yè)內(nèi)部人員進(jìn)行網(wǎng)上欺騙、任意篡改信息造成數(shù)據(jù)的泄露,這些都是威脅家具企業(yè)信息系統(tǒng)的不安全因素。
2.3網(wǎng)絡(luò)病毒的攻擊
網(wǎng)絡(luò)病毒感染的途徑很多,電子郵件的接收、軟件的下載,文件打開等行為,都有可能感染病毒,并且病毒高速的傳染性以及網(wǎng)絡(luò)的及時傳送,都會造成很大的危害。
3.管理家具企業(yè)管理中的信息安全策略
實現(xiàn)網(wǎng)絡(luò)安全,不但要靠先進(jìn)的技術(shù),也要靠嚴(yán)格的管理、法律約束和安全教育,主要包括以下內(nèi)容:
3.1物理安全策略
物理安全策略的目的是保護(hù)計算機(jī)系統(tǒng)、網(wǎng)絡(luò)服務(wù)器、打印機(jī)等硬件實體和通信鏈路免受自然災(zāi)害、人為破壞和搭線攻擊;驗證用戶的身份和使用權(quán)限、防止用戶越權(quán)操作:確保計算機(jī)系統(tǒng)有一個良好的電磁兼容工作環(huán)境;建立完備的安全管理制度,防止非法進(jìn)入計算機(jī)控制室和各種偷竊、破壞活動的發(fā)生。
3.2訪問控制策略
它是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略,它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問,也是維護(hù)網(wǎng)絡(luò)體系安全、保護(hù)網(wǎng)絡(luò)資源的重要手段。主要由入網(wǎng)訪問控制、網(wǎng)絡(luò)的權(quán)限控制、目錄級別安全控制、網(wǎng)絡(luò)服務(wù)器安全控制、網(wǎng)絡(luò)檢測和鎖定控制及網(wǎng)絡(luò)端口和結(jié)點(diǎn)的安全控制組成。
3.3防火墻控制
防火墻是近年來發(fā)展起來的一種保護(hù)計算機(jī)網(wǎng)絡(luò)安全的技術(shù)性措施,它是一個用于阻止網(wǎng)絡(luò)中的黑客訪問某個機(jī)構(gòu)網(wǎng)絡(luò)的屏障,也可稱之為控制進(jìn)/出兩個方而通信的門檻。在網(wǎng)絡(luò)邊界上通過建立起來的相應(yīng)網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)來隔離內(nèi)部和外部網(wǎng)絡(luò),以阻擋外部網(wǎng)絡(luò)的侵入。當(dāng)前主流的防火墻主要分為三類:包過濾防火墻、代理防火墻、雙穴主機(jī)防火墻。
4.信息安全在家具企業(yè)管理中的作用體現(xiàn)
4.1保障技術(shù)的安全性
家具公司通過技術(shù)手段對業(yè)務(wù)系統(tǒng)和數(shù)據(jù)庫服務(wù)器等設(shè)定了信息的訪問權(quán)限,提高對惡意代碼和未授權(quán)移動代碼的防范和檢測,遵循信息安全管理體系中的權(quán)限最小化原則,即受保護(hù)的家具公司信息只能在限定范圍內(nèi)共享。員工僅被授予為順利履行工作職責(zé)而能訪問敏感信息的適當(dāng)權(quán)限。另外,為保證信息在傳輸過程中的安全,家具公司對于核心數(shù)據(jù)實行加密傳輸,對需保密的信息進(jìn)行加密處理,使只有擁有密鑰的授權(quán)人才能解密獲取信息。無密鑰的惡意者即使截獲傳遞中的信息也是無法窺視內(nèi)容,只能獲得零散無用的信息。
4.2加強(qiáng)家具企業(yè)管理的安全性
在制定了信息安全管理體系方針目標(biāo)后,通過建立健全信息安全管理體系管理組織機(jī)構(gòu),確立各部門各崗位人員在體系運(yùn)行中的職責(zé),以確保信息安全控制措施的實施和協(xié)調(diào),以及外部人員訪問信息和信息處理設(shè)施的安全。
根據(jù)以往管理工作中的薄弱點(diǎn),家具公司可著重加強(qiáng)軟件開發(fā)過程的管理。在軟件研發(fā)業(yè)務(wù)發(fā)展初期,開發(fā)的軟件由于開發(fā)功能簡單,缺乏開發(fā)流程,也沒有制作系統(tǒng)的文件化的操作程序,軟件產(chǎn)品的交接完全依靠個人經(jīng)驗。開發(fā)需求缺乏完整的信息安全需求,特別是外購的軟件,由于沒有得到外購系統(tǒng)的源代碼,不了解其數(shù)據(jù)庫結(jié)構(gòu)和編碼實現(xiàn)方式,當(dāng)系統(tǒng)發(fā)生問題時,無法確定系統(tǒng)問題的原因,因而成為影響整個家具公司辦公系統(tǒng)穩(wěn)定的最大風(fēng)險來源。為避免這一系統(tǒng)風(fēng)險,家具公司可考慮自行對系統(tǒng)進(jìn)行開發(fā),在開發(fā)項目初期的需求分析中較多考慮安全控制方面的要求。對于硬件、軟件的大型變更管理,制定系統(tǒng)變更的操作與測試流程,避免系統(tǒng)上線前由于測試不充分,導(dǎo)致上線后出現(xiàn)故障、影響業(yè)務(wù)的正常開展的情況發(fā)生。同時也要加強(qiáng)外包軟件的管理,包括外包商的選擇、評價、外包人員管理、外包過程管控、產(chǎn)品質(zhì)量控制、外包商考核指標(biāo)/懲處措施/賠付條款等問題,加大了對于外包開發(fā)的軟件的內(nèi)置木馬和后門的防范和檢測力度。
4.3提高資源保護(hù)的安全性
(1)提高人力資源的安全管理。家具公司信息的安全離不開人,信息安全各環(huán)節(jié)的執(zhí)行最終都需要由人這個主體來完成。如果相關(guān)人員的安全意識薄弱,不小心泄密,則比其他安全不足帶來的損失會更大。沒有信息安全意識的員工常常會成為信息安全中最薄弱的一環(huán)。信息安全管理體系的實施彌補(bǔ)了家具公司人力資源安全方面的空白,家具公司人力資源管理主要分為兩部分,家具公司內(nèi)部人員管理和第三方人員管理。對于內(nèi)部人員,人事部在人員入職前進(jìn)行人員資料核對,要求員工簽字承諾對自己資料的真實性負(fù)責(zé),對于重要崗位人員進(jìn)行背景調(diào)查;入職后簽訂保密協(xié)議,員工離職時,由人事部通知辦公室信息安全專責(zé)關(guān)閉其OA帳戶、郵件服務(wù)器帳戶、VPN帳戶等賬戶。個人工作電腦移交辦公室,由信息安全專責(zé)對電腦帳戶及存儲內(nèi)容進(jìn)行處理后交倉庫備用。離職后要進(jìn)行工作交接,并簽定離職保密協(xié)議。在員工培訓(xùn)方面,無論是新員工的入職培訓(xùn)還是老員工的在職培訓(xùn),增加信息管理方面內(nèi)容,使員工了解信息安全知識和家具公司可利用的IT資源,遵守信息安全管理制度。
(2)加強(qiáng)信息安全防范力度。在機(jī)房安全管理方面,可通過辦公區(qū)的門禁系統(tǒng),監(jiān)控裝置、機(jī)房消防設(shè)施,機(jī)房部署UPS和發(fā)電機(jī),提供必要的空調(diào)、通風(fēng)系統(tǒng),機(jī)房內(nèi)部實行分區(qū)管理等措施加強(qiáng)管理。對于已過期的保密信息,采取集中銷毀;對于報廢設(shè)備處理時銷毀遺存在設(shè)備上涉及安全的信息。
(3)保護(hù)數(shù)據(jù)的安全。在數(shù)據(jù)的安全方面,各部門對信息資產(chǎn)的歸屬管理方面一直存在著所有權(quán)和管理權(quán)不清的問題,特別是跨部門流程中涉及到的信息資產(chǎn),經(jīng)常存在著找不到所屬部門的情況,出了問題,部門間則存在扯皮現(xiàn)象。因此要通過制定資產(chǎn)管理和識別辦法,加大資產(chǎn)管理覆蓋范圍,明確各部門、人員在資產(chǎn)管理中的職責(zé),識別資產(chǎn)所面臨的威脅和可能被威脅利用的脆弱點(diǎn)、資產(chǎn)在喪失保密性、完整性和可用性時可能造成的后果,同時針對風(fēng)險采取了有效的風(fēng)險控制措施。
5.結(jié)束語
家具企業(yè)的信息管理安全性的作用主要是實現(xiàn)自動化經(jīng)營、網(wǎng)絡(luò)化管理、智能化決策;降低了家具企業(yè)庫存和生產(chǎn)成本;實現(xiàn)按需生產(chǎn)分配,提高生產(chǎn)效率;實現(xiàn)信息的快速更新,加快信息流在家具企業(yè)內(nèi)部和家具企業(yè)之間的流動。人們只有重視信息安全的相關(guān)漏洞問題,創(chuàng)造更有保障的信息安全系統(tǒng),才能真正在家具企業(yè)管理中起到應(yīng)有的作用。
參考文獻(xiàn)
[1] 沈昌祥、張煥國、馮登國等. 信息安全綜述[J]. 中國科學(xué)(信息科學(xué)),2007,(02):347-352.
[2] 劉雪、董文娜. 信息安全技術(shù)在家具企業(yè)管理中的應(yīng)用[J]. 電子世界,2013,(14):193.