羅立旻+仲雯君

[摘要]隨著信息時(shí)代的到來，信息技術(shù)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)以及計(jì)算機(jī)技術(shù)被廣泛應(yīng)用于企業(yè)經(jīng)營(yíng)管理中，對(duì)企業(yè)管理手段和管理方式帶來了重大變革，促使企業(yè)必須加快管理信息化建設(shè)以適應(yīng)新形勢(shì)的發(fā)展需要。與此同時(shí)，企業(yè)也要認(rèn)清信息環(huán)境下為企業(yè)帶來的信息安全問題，將信息安全管理作為管理信息化建設(shè)的重中之重。文章對(duì)信息環(huán)境下的企業(yè)管理路徑與信息安全保障體系構(gòu)建進(jìn)行探討。

[關(guān)鍵詞]信息環(huán)境；企業(yè)管理；信息安全

[DOI]10.13939/j.cnki.zgsc.2016.41.090

1 信息環(huán)境下的企業(yè)管理路徑

1.1 完善管理信息化建設(shè)體制

企業(yè)要加快管理信息系統(tǒng)建設(shè)，規(guī)范信息化標(biāo)準(zhǔn)體系，提高管理的信息化水平。首先，企業(yè)要成立信息化管理部門，負(fù)責(zé)企業(yè)信息化建設(shè)項(xiàng)目的全面推進(jìn)，并且結(jié)合企業(yè)信息環(huán)境和管理需求制定信息化工作管理制度、專項(xiàng)經(jīng)費(fèi)管理制度、信息化工作考核制度等，保障信息系統(tǒng)建設(shè)制度化開展。其次，明確管理信息系統(tǒng)建設(shè)重點(diǎn)，如生產(chǎn)指揮調(diào)度管理系統(tǒng)、資金管理系統(tǒng)、會(huì)計(jì)核算系統(tǒng)、移動(dòng)辦公系統(tǒng)、物資采購管理系統(tǒng)等，提高企業(yè)對(duì)各項(xiàng)經(jīng)營(yíng)活動(dòng)的管控能力。最后，建立信息化標(biāo)準(zhǔn)體系，包括技術(shù)支撐、基礎(chǔ)建設(shè)、安全保障、業(yè)務(wù)應(yīng)用等方面的標(biāo)準(zhǔn)，從而確保企業(yè)管理信息系統(tǒng)建設(shè)項(xiàng)目的質(zhì)量。

1.2 建設(shè)企業(yè)ERP系統(tǒng)

企業(yè)要結(jié)合經(jīng)營(yíng)管理實(shí)際情況，引入ERP系統(tǒng)，從供應(yīng)鏈管理層面推動(dòng)物流、資金流與信息流的有機(jī)整合，提高企業(yè)集成化、信息化管理水平，提升企業(yè)供應(yīng)鏈運(yùn)作效率。在ERP系統(tǒng)的支持下，企業(yè)要實(shí)現(xiàn)財(cái)務(wù)業(yè)務(wù)一體化管理，完善財(cái)務(wù)管理系統(tǒng)功能，促使業(yè)務(wù)產(chǎn)生的信息實(shí)時(shí)傳遞到財(cái)務(wù)部門進(jìn)行處理，同時(shí)也將財(cái)務(wù)信息、財(cái)務(wù)報(bào)告及時(shí)提供給企業(yè)管理層進(jìn)行查閱，并將其作為企業(yè)經(jīng)營(yíng)決策的可靠依據(jù)。

1.3 優(yōu)化人力資源信息化管理

在信息環(huán)境下，為進(jìn)一步提升企業(yè)的管理水平，應(yīng)當(dāng)在現(xiàn)有的基礎(chǔ)上，對(duì)人力資源信息化管理進(jìn)行優(yōu)化。首先，企業(yè)應(yīng)當(dāng)建立起一個(gè)相對(duì)完善的且包含績(jī)效考核、員工培訓(xùn)、人才能力管理的信息化系統(tǒng)，并通過對(duì)相關(guān)流程的梳理，促進(jìn)企業(yè)管理規(guī)范化和標(biāo)準(zhǔn)化，從而全面提升企業(yè)的人力資源管理效率。其次，企業(yè)可將一些重要的項(xiàng)目作為契機(jī)，實(shí)現(xiàn)人力資源與企業(yè)管理要求的對(duì)接，遵循現(xiàn)代企業(yè)管理的思維方式，開展相關(guān)的人力資源信息化管理工作，如員工績(jī)效考核、領(lǐng)導(dǎo)干部測(cè)評(píng)等，借助項(xiàng)目成果，提升企業(yè)人力資源的整體管理水平，由此能夠推動(dòng)企業(yè)在信息環(huán)境下的穩(wěn)定、持續(xù)發(fā)展。

1.4 加強(qiáng)信息化建設(shè)中的風(fēng)險(xiǎn)管理

企業(yè)在建設(shè)信息化的過程中不可避免地會(huì)面臨各種風(fēng)險(xiǎn)，為此，企業(yè)應(yīng)當(dāng)采取有效的方法和措施加強(qiáng)風(fēng)險(xiǎn)管理。企業(yè)應(yīng)當(dāng)建立相對(duì)完善的風(fēng)險(xiǎn)防范機(jī)制，在該機(jī)制建立的過程中，要對(duì)管理信息系統(tǒng)開發(fā)中的所有風(fēng)險(xiǎn)予以充分考慮，針對(duì)風(fēng)險(xiǎn)因素進(jìn)行有效的管理。實(shí)踐證明，大多數(shù)風(fēng)險(xiǎn)都可以通過相應(yīng)的方法進(jìn)行防控，其前提是需要對(duì)風(fēng)險(xiǎn)進(jìn)行準(zhǔn)確的識(shí)別，但必須指出的是，風(fēng)險(xiǎn)本身具有不確定性和隨機(jī)性的特點(diǎn)，并且有些風(fēng)險(xiǎn)是很難進(jìn)行預(yù)防和控制的，因此，企業(yè)在開發(fā)管理信息系統(tǒng)時(shí)，必須制訂出一套能夠應(yīng)對(duì)突發(fā)意外事件的方案，從而在意外發(fā)生時(shí)，能夠進(jìn)行解決，避免造成損失。

2 保障企業(yè)信息安全的體系構(gòu)建

在信息環(huán)境下，信息安全是企業(yè)開展管理信息化建設(shè)面臨的重大問題之一，直接關(guān)系到企業(yè)管理信息化水平的提升。為此，企業(yè)要結(jié)合管理實(shí)際需求，構(gòu)建起信息安全保障體系，具體實(shí)施措施如下。

2.1 加強(qiáng)網(wǎng)絡(luò)安全管理

企業(yè)在加強(qiáng)網(wǎng)絡(luò)安全管理的過程中，可采取如下技術(shù)措施。

2.1.1 對(duì)遠(yuǎn)程接入進(jìn)行嚴(yán)格控制近年來，虛擬專用網(wǎng)絡(luò)技術(shù)（VPN）獲得了快速發(fā)展，由此大幅度降低了遠(yuǎn)程接入給企業(yè)帶來的風(fēng)險(xiǎn)，與此同時(shí)，移動(dòng)辦公的出現(xiàn)，在一定程度上促進(jìn)了遠(yuǎn)程接入的發(fā)展，為確保遠(yuǎn)程接入的安全性，企業(yè)可以應(yīng)用USB KEY身份認(rèn)證或是動(dòng)態(tài)口令等方式，對(duì)遠(yuǎn)程接入進(jìn)行安全控制。

2.1.2 IPSec企業(yè)內(nèi)網(wǎng)中存在一些非受控終端，這些終端的存在給黑客提供了訪問企業(yè)網(wǎng)絡(luò)的路徑，為確保網(wǎng)絡(luò)信息的安全性，企業(yè)可以應(yīng)用IPSec，由此能夠?qū)?nèi)部終端進(jìn)行管理和控制。

2.1.3 入侵檢測(cè)這是防火墻的一項(xiàng)補(bǔ)充技術(shù)，能夠?qū)W(wǎng)絡(luò)傳輸進(jìn)行實(shí)時(shí)監(jiān)控，當(dāng)檢測(cè)到可疑的數(shù)據(jù)信息傳輸后，會(huì)自行發(fā)出報(bào)警。通過入侵檢測(cè)，可以使企業(yè)對(duì)來自外部的惡意攻擊進(jìn)行有效的防范。

2.1.4 確保無線網(wǎng)絡(luò)安全大部分企業(yè)的辦公區(qū)域內(nèi)都有無線網(wǎng)絡(luò)覆蓋，其在給企業(yè)和用戶帶來便利的同時(shí)，也給信息安全帶來了一定的隱患。為確保無線網(wǎng)絡(luò)安全，企業(yè)應(yīng)當(dāng)采用比較安全的協(xié)議，如WPA或WPA2等，也可借助EAP協(xié)議對(duì)無線網(wǎng)絡(luò)進(jìn)行訪問控制。

2.2 加強(qiáng)訪問控制

在信息環(huán)境下，企業(yè)可以通過加強(qiáng)訪問控制，來確保網(wǎng)絡(luò)信息安全，具體可采取如下技術(shù)措施。

2.2.1 密碼策略相關(guān)研究結(jié)果表明，密碼的強(qiáng)度等級(jí)越高，破解所需的時(shí)間越長(zhǎng)，正因如此，使得提高企業(yè)用戶的密碼強(qiáng)度等級(jí)成為訪問控制最為有效的手段之一，為此，企業(yè)應(yīng)當(dāng)制定合理可行的密碼策略，并借助相關(guān)的技術(shù)措施確保策略的執(zhí)行。

2.2.2 權(quán)限管理企業(yè)應(yīng)當(dāng)對(duì)身份管理平臺(tái)進(jìn)行完善，以此為依托對(duì)員工的權(quán)限進(jìn)行管理，并實(shí)行企業(yè)內(nèi)部網(wǎng)絡(luò)應(yīng)用單點(diǎn)登錄的策略。

2.2.3 構(gòu)建公匙系統(tǒng)該系統(tǒng)是訪問控制的核心，通過它能夠有效提高無線網(wǎng)絡(luò)訪問授權(quán)、VPN接入的安全水平。

2.3 加強(qiáng)信息安全監(jiān)控與審計(jì)

企業(yè)在加強(qiáng)信息安全的監(jiān)控與審計(jì)方面，可以采取如下技術(shù)措施。

2.3.1 掃描病毒這是一種較為有效的網(wǎng)絡(luò)信息安全監(jiān)控手段，通過防病毒軟件系統(tǒng)，可以對(duì)病毒進(jìn)行自動(dòng)掃描，并針對(duì)操作系統(tǒng)存在的漏洞，自動(dòng)進(jìn)行相關(guān)“補(bǔ)丁”的更新，由此大幅度提升了桌面終端的安全性。這種技術(shù)措施需要將客戶端安裝在企業(yè)用戶的終端設(shè)備上，當(dāng)終端與企業(yè)內(nèi)網(wǎng)進(jìn)行連接時(shí)，病毒掃描軟件便會(huì)啟動(dòng)，并對(duì)將要接入的終端設(shè)備進(jìn)行評(píng)估，通過之后，才能與企業(yè)內(nèi)網(wǎng)連接。

2.3.2 防控體系針對(duì)網(wǎng)絡(luò)黑客的惡意攻擊，企業(yè)應(yīng)當(dāng)構(gòu)建相應(yīng)的防控體系，該體系可由以下幾個(gè)部分組成：能夠?qū)崟r(shí)更新的防病毒軟件、可以過濾掉不安全信息、郵件及非法網(wǎng)頁的網(wǎng)關(guān)、入侵檢測(cè)系統(tǒng)等。

2.3.3 記錄與審計(jì)企業(yè)應(yīng)當(dāng)配置日志審計(jì)系統(tǒng)，借助該系統(tǒng)對(duì)信息安全事件進(jìn)行收集，進(jìn)而生成審計(jì)記錄，據(jù)此對(duì)安全事件進(jìn)行分析，并采取有效的措施加以解決處理。

2.4 加強(qiáng)員工信息安全培訓(xùn)

在信息環(huán)境下，企業(yè)網(wǎng)絡(luò)信息安全需要憑借全體員工來維護(hù)，為此，企業(yè)應(yīng)當(dāng)加強(qiáng)對(duì)員工信息安全方面的培訓(xùn)，借此來增強(qiáng)他們的信息安全意識(shí)。為使培訓(xùn)效果最大化，必須保證培訓(xùn)工作的實(shí)效性，首先，要做好網(wǎng)絡(luò)管理人員的技術(shù)技能培訓(xùn)工作，可將培訓(xùn)的重點(diǎn)放在網(wǎng)絡(luò)設(shè)備的安裝與調(diào)試以及軟件的配置上。其次，應(yīng)加大對(duì)企業(yè)領(lǐng)導(dǎo)層的培訓(xùn)，通過培訓(xùn)使領(lǐng)導(dǎo)層認(rèn)識(shí)到提高網(wǎng)絡(luò)信息安全的重要性和安全管理體系建設(shè)的必要性，以便獲得他們的支持，使信息安全管理工作的開展更加順利。最后，應(yīng)當(dāng)加大對(duì)網(wǎng)絡(luò)客戶端上用戶的培訓(xùn)，培訓(xùn)的重點(diǎn)為實(shí)際操作，并在培訓(xùn)完畢后，制定相關(guān)的管理制度，要求用戶嚴(yán)格執(zhí)行，從而確保網(wǎng)絡(luò)信息的安全。

3 結(jié) 論

在信息環(huán)境下，企業(yè)要積極推動(dòng)管理信息化建設(shè)，將其滲透到物流管理、人力資源管理、財(cái)務(wù)管理等多個(gè)管理領(lǐng)域，從而不斷提高企業(yè)管理效率。與此同時(shí)，企業(yè)也要認(rèn)清管理信息化建設(shè)帶來的信息安全問題，針對(duì)信息安全管理的薄弱環(huán)節(jié)制定有效的管理措施，做好員工信息安全培訓(xùn)工作，保障企業(yè)管理信息系統(tǒng)建設(shè)的順利實(shí)施，不斷提高企業(yè)信息化管理水平。

參考文獻(xiàn)：

[1]劉曉松，郭玲玲.基于管理因素的企業(yè)信息安全事故分析[J].企業(yè)經(jīng)濟(jì)，2013（1）：66-67.

[2]吳志杰.組織環(huán)境對(duì)企業(yè)信息安全管理的影響路徑研究[J].江蘇商論，2014（7）：88-89.

[3]董清.企業(yè)信息安全管理現(xiàn)狀與管理對(duì)策探討[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2014（6）：59-60.

[4]王靜，郭大亮.集團(tuán)型企業(yè)信息安全管理體系建設(shè)思路研究[J].信息安全與通信保密，2014（7）：99-100.

[5]谷田.網(wǎng)絡(luò)環(huán)境下的企業(yè)信息安全問題研究——三門峽市自來水公司信息安全管理實(shí)踐[D].鄭州：鄭州大學(xué)，2012.

[6]常照坤.探討企業(yè)信息安全管理現(xiàn)狀以及有效管理措施[J].經(jīng)營(yíng)管理者，2014（10）：64-65.