企业信息论文范文

一、信息安全风险的评估

衡量安全管理体系的风险主要方法是进行信息安全风险的评估，以此保障信息资产清单和风险级别，进而确定相应的防控措施。在石化销售企业进行信息安全风险的评估过程中，主要通过资金、威胁、安全性等识别美容对风险进行安全检测，同时结合企业自身的实际情况，拟定风险控制相应的对策，把企业内的信息安全风险竟可能下降到最低水平。

（一）物理存在的风险机房环境和硬件设备是主要的的物理风险。当前，部分企业存在的风险有：1）企业机房使用年限过长，如早期的配电、布线等设计标准陈旧，无法满足现在的需求；2）机房使用的装备年限太长、例如中央空调老化，制冷效果不佳导致温度不达标，UPS电源续航能力下降严重，门禁系统损坏等，存在风险；3）机房安全防护设施不齐全，存在风险。

（二）网络和系统安全存在的风险石化访问系统的使用和操作大量存在安全风险，其中主要风险包括病毒入侵、黑客袭击、防火墙无效、端口受阻以及操作系统安全隐患等。即使大部分企业已安装统一的网络防病毒体系、硬件防火墙、按期更新网络系统软件、安装上网行为监控等，但因为系统漏洞数目不断增多网络结构和袭击逐渐减弱或者因为信息系统使用人员操作系统本身的安全机制不完善、也会产生安全隐患。

（三）系统安全风险没有经过许可进行访问、数据泄密和被删改等威胁着系统的安全性。提供各类应用服务是企业信息系统的首要任务，而数据正是应用信息系统的核心，因此，实际应用与系统安全风险密切联系。当前，信息应用系统存储了大量的客户、交易等重要信息，一旦泄露，造成客户对企业信任度影响的同时也会影响企业的市场竞争力。

（四）安全管理存在的风险安全管理存在的主要指没有同体的风险安全管理手段，管理制度不完善、管理标准没有统一，人员安全意识薄弱等等都存在管理风险，因此，需要设立完善的信息系统安全管理体系，从严管理，促使信息安全系统正常运作。一方面要规范健全信息安全管理手段，有效较强内控IT管理流程控制力度，狠抓落实管理体系的力度，杜绝局部管理不足点；另一方面，由于信息安全管理主要以动态发展的形式存在，要不断调整、完善制度，以符合信息安全的新环境需求[2]。

二、信息安全管理体系框架的主要构思

信息安全管理体系的框架主要由监管体系、组织体系和技术体系形成，特点是系统化、程序化和文件化，而主要思想以预防控制为主，以过程和动态控制为条件。完善安全管理体系，使石化销售企业信息系统和信息网络能够安全可靠的运作，从机密性、完整性、不可否认性和可用性等方面确保数据安全，提升系统的持续性，加强企业的竞争力。

一、农业企业信息化建设的含义及信息化建设项目特点

1.员工信息技术程度低，导致项目实施难度高。

如前所述，农业企业因受制于往前传统的种植和生产管理模式，具体的基层管理人员甚至子公司经理的信息化技能严重欠缺，且年龄偏大。知识转移的工作量困难较大，信息化技能培训的难度较高。

2.信息化建设项目员工参与度低。

农业产业由于多年来的传统生产方式导致企业中存在一定的保守、对新事物接受程度低、接受速度慢等文化习惯，也导致企业员工在信息化建设项目中的参与意愿较低。

二、农业企业信息化建设进度影响因素分析

1.信息化项目内在因素对进度的影响。

（1）因农业企业的生产特点，导致进度受影响。在实际操作中因需求分析受以下几方面的影响：①需求提出的局限性。由于负责人职位问题，很少能够熟知全局业务运作，所提出的需求的完整性因人而异。②需求描述的复杂性。需求的完整描述不仅面面俱到，内部的关联性很强，错综复杂。③需求审查的随意性。面对如此繁杂的需求分析与描述举行的需求评审，并不能对需求描述作深入细致的分析。（2）低估了信息系统开发项目实现的条件。低估信息系统开发项目实现的条件表现在低估技术难度‘低估协调复杂度、低估环境因素这样几个方面。

1系统日常运行维护管理

1.1权限管理与数据处理

用户变更应用系统权限、处理业务数据时，需用户所在部门审查和业务管理部门审批后交由系统管理员确认,进行增删改操作。用户权限分配须遵循最小权限原则，用户口令长度应满足密码复杂性要求，用户账号的命名规则应规范管理；进行业务数据的变更操作前需做好备份工作，并在有人监护的情况下严格按照作业指导书开展工作。

1.2系统缺陷与需求管理

为了改正软件的缺陷、扩充新的功能、满足用户需求，需进行系统缺陷与需求管理，优先改正那些影响系统正常运行的严重缺陷。对于已知的缺陷需进行全过程管理，如将级别设置为“紧急”和“一般”，将状态设置为“新建”、“待解决”、“已解决”、“已修复”等。对于新的需求，应与业务部门进行需求分析，编制需求说明书，确定可行性，再纳入开发计划，完善软件功能，提高软件质量。为了改进软件的可靠性和可维护性，适应未来环境和用户需求的变化，应主动增加预防性功能，减少维护工作量和延长软件生命周期。

2系统故障管理

信息系统发生故障后，信息系统管理员应组织相关人员对故障进行处理，需从网络、服务器、接口、数据库、应用等多方面定位问题。一般结合监控分析系统的实时告警信息，可以很快地分析出故障的影响范围和问题原因。无论大小的故障，都应该及时地记录故障的发生时间、故障的现象、故障发生时的工作环境、处理的方法、处理的结果、处理人员、善后措施、原因分析等，形成故障处理分析报告，这对于信息系统的运维具有重要的意义。企业级信息系统故障主要来源于数据库和应用服务器。

2.1数据库故障

一、理论基础及假设

1、企业信息安全管理要素构成对于企业信息安全管理要素的构成，国际上普遍遵循的是ISO17799:2005标准的分类方法。ISO17799将企业信息安全管理实施分为11个方面，分别是物理和环境安全、信息安全事件管理、人力资源安全、安全政策、组织信息安全、资产管理、通信与操作管理、访问控制、业务连续性管理、信息系统获取开发和维护、符合性。这其中，除了与技术关系较为紧密的访问控制、信息系统获取开发和维护、通信与操作管理这3个方面外，其他信息安全管理要素更侧重于组织整体的运营管理，在实施企业信息安全管理过程中有较高的参考意义。为了实证分析中数据测量方便，本文参考该标准，从企业的角度，按照各要素属性及控制措施的相似性，将ISO17799标准中的11个要素整合为6个要素，分别为组织环境（符合性、安全政策、组织信息安全）、人力资源安全、资产设备安全（资产管理、物理和环境安全）、操作管理（通信与操作管理、访问控制）、应急响应机制（信息安全事件管理、业务连续性管理）和信息系统开发与维护。

2、研究假设

（1）组织环境。

本文中的组织环境侧重于企业中的政策制度、人文环境等软环境，主要指所有潜在影响信息安全管理活动的因素或力量，在企业的信息安全管理中起导向性的作用，具体包括企业的安全政策方针、安全文化氛围和业务符合性等。企业信息安全管理成功的实现离不开组织环境的支持，良好的组织环境对企业的信息安全管理有重要的推动作用，它有助于企业各项安全政策、安全策略的实施。组织的安全政策是组织实施信息安全活动的战略导向。完备的安全政策、方针可以为企业的每一个员工提供基本的行为准则、指南，使得企业信息安全管理的各项活动都有章可循，促进信息安全管理进程的实施。齐晓云（2011）通过实证验证了企业信息系统的失败与缺乏相应的制度与机制保障之间存在强相关关系，制度与机制保障对信息系统成功有正向的影响作用。企业的安全文化氛围等人文环境是组织环境的一个重要组成部分，它是企业的一种无形的管理思想。相关研究表明，环境对人的安全行为习惯养成有着较大的影响。其中，人文环境的影响尤为明显。VanNiekerk（2010）指出，导致信息安全事故的主要因素是企业信息安全文化氛围的减少。良好的安全文化氛围可以提高员工的安全意识，不单能避免由员工的不安全行为所产生的风险，更能促进全体员工参与到保障组织信息安全的行动中来，最大程度消除事故隐患，有效预防和减少各类事故的发生。Herath（2009）通过问卷调研的实证研究验证了惩罚力度是企业员工的安全行为重要影响因素之一，说明企业的政策制度对人力资源安全有着正向的影响。

（2）人力资源安全。

人在企业信息安全管理活动中不仅是主体，也是客体。主体是指许多信息安全控制措施实施的实现是由“人”来完成的；客体是指“人”也是信息安全管理中所要管理的对象。据有关统计表明，在所有的信息安全事故中，约有52%是人为因素造成的，因此，人力资源安全管理显得十分重要。在企业中，高层领导轻视信息安全是导致企业信息安全文化欠缺和员工信息安全意识薄弱的主要因素。中层管理者是衔接企业高层与基层的桥梁，企业信息安全管理实施的效果直接取决于中层管理者对上级决策的执行力度。Ashenden（2008）通过实证研究发现中层管理者的执行力度不足会造成高层管理者和员工之间对信息安全管理存在理解上的差异，这种差异会对企业的信息安全管理产生不利影响。普通员工对信息安全管理的参与配合不够会导致各项安全政策、方针不能准确落实，继而影响到信息安全管理的其他方面。

二、研究过程

1.案例中的缺陷分析

在经过中国证监会调查后，光大证券此次乌龙事件的原委已经公布。从事件发生的原委来看，此次乌龙事件暴露的问题不仅仅是软件程序问题，更是对公司核心业务信息系统的风险控制问题，光大证券在其自营业务的策略交易系统的管理中存在较为严重的设计和运行缺陷。

1.1信息系统的程序开发存在设计缺陷调查结果显示，光大证券策略投资部自营业务使用的策略交易系统中，无论是订单生成系统还是订单执行系统，均存在严重的程序设计错误。其中，订单生成系统中套利模块的“重下”功能的买入函数将“个股”写成了“ETF一篮子股票”；而订单执行系统将市价委托订单的股票买入价格默认为“0”，导致无法对超出账户授信额度的交易进行校验并限制。目前，很多企业的信息系统在设计阶段都会存在程序上的问题。因为在程序开发中，业务人员为了提升操作的效率，往往将很多控制性的要求在程序中弱化，而程序法开人员也没有足够的风险意识，只是简单满足业务人员的需求，导致很多操作程序的后台逻辑存在严重漏洞。

1.2信息系统的操作执行没有制衡，存在严重不足从本次乌龙事件的发生原因来看，光大证券交易环节不仅存在程序的设计缺陷，其运行缺陷也显露无疑。一般来说，从订单生成到完成交易，在系统自动审查的基础上，至少还应存在交易员审查、部门审查和公司审查三个关口，而“乌龙指”的发生说明这三个关口都存在严重的缺陷。

1.2.1在交易员层面。公司应对交易员设定对于交易品种、开盘限额、止损限额的三种事项的风险控制机制。而实际操作中，由于系统设置的错误，导致后两种根本没发挥作用，而交易员也没有进行很好的价格自我检查，缺少必要的双人复核机制。另一方面，交易员在准备使用“重下”功能时，由于不了解该功能的操作，所以请教了程序员，而程序员直接在交易员的实盘操作中，演示了系统功能，这表明无论是业务人员还是程序人员风险意识极其淡薄。

1.2.2在部门层面。公司的要求是部门实盘限额2亿元，当日操作限额8000万元，但是从实际结果来看，这些控制要求都没发挥作用，公司对业务部门根本没有严格的金额上线控制。另一方面，公司的风险控制部门在本次事件中也形同虚设，没有起到必要的监督职能。证券业中风控部门的级别偏低，相较于贡献盈利的交易部门来说，风控部门较弱势。在很多情况下，交易部门会以“耽误交易时机”等借口，阻碍风控部门进行必要的审核，这也是此次导致此次意外发生的原因之一。

1.2.3在公司层面。一方面，公司监控系统没有发现234亿元巨额订单；另一方面，公司动用了其他部门的资金来补充所需头寸来完成订单生成和执行，或者根本没有头寸控制机制。

1.3存在问题的信息系统没有经过严格的验收和测试令人意外的是，此交易系统的开发和测试由一个人完成，缺少必要的不相容职务的分离，使得测试人员无法及时发现程序中存在缺陷。同时，公司的订单生成系统发生异常的“重下”功能和订单执行系统的额度控制功能，在很多人看来是非经常性功能，所以没有经过严格的测试就进行了实盘运行。另外，策略投资交易系统从开发完成到上线实盘操作，仅仅只有1个月的时间，导致了验收和测试流于形式，使事故在上线后的半个月不可避免地发生了。

1.项目管理

对双方来说，都有着需要保障各自项目建设团队人力资源的问题。实施单位在项目建设的各个阶段需要配备合适的人才；用户方也需要提供必要的人才支持，配合实施单位进行项目建设。向用户方提供优质的产品和服务是最终目标。质量管理是项目管理理论中非常重要的环节，它包含了一些特定的程序，保证项目能够兑现它的关于满足各种需求的承诺。

优良的质量管理体系一定是以客户需求为导向，并遵循业界以及国内外关于质量管理的标准，依靠现代项目管理方法论的实践而形成的质量管理体系。规范要求对每一个项目或软件制定开发及实施计划，通过成熟的技术和经验，为客户提供完善的服务并达到高标准的客户满意程度。项目的质量管理工作主要由软件公司承担，但很多质量管理工作需要用户方参与，如软件开发过程中的评审、软件运行记录等工作都需要用户方给予积极的配合。以质量方针为指导，构筑完善的质量管理组织结构，建立完整的质量体系文件，制订明确的质量管理目标，这些都是构筑质量管理体系的必备要素。质量管理计划（SQA）是质量管理活动的重要依据。SQA计划中必须明确定义在项目的各个阶段是如何进行质量保证活动的。它通常包含：质量目标；定义每个开发阶段的开始和结束边界；详细策划要进行的质量保证活动；明确质量活动的职责；SQA组的职责和权限；SQA组的资源需求，包括人员、工具和设施；定义由SQA组执行的评估；定义由SQA组负责组织的评审；SQA组进行评审和检查时所参见的项目标准和过程；需由SQA组产生的文档。项目整合管理就是为满足各方需求而进行协调以达到预期目的的过程。它是一项综合性、全局性的工作，主要内容是在相互冲突的目标或可选择的目标中权衡得失。整合管理主要包括：项目计划开发、项目计划实施、项目综合变更控制这三个过程。这些过程彼此相互影响，同时与其它领域中的过程也互相影响。

2.项目实施

企业信息系统建设项目的管理采用项目经理负责制。项目经理是受公司法定代表人委托对所承担工程项目的全过程全面负责的项目管理者，是公司法人代表在应用企业信息系统建设项目上的代表人。项目经理负责整个项目的管理，他对项目的成败负完全责任，他的工作就是掌管公司参与本项目的各部门和人员，确保实现项目所有的目标。项目经理是项目实施全过程所有工作的总负责人，是项目管理的总责任者，是项目动态管理的体现者，是项目生产要素合理投入和优化组合的组织者。项目经理是项目目标的全面体现者，既要对项目的成果性目标负责，又要对公司的效率性目标负责。

项目经理是协调公司与客户以及其它各方面关系，使之互相紧密协作与配合的桥梁和纽带。他对项目管理目标的实现承担着全部责任，即承担合同责任、履行合同义务、执行合同条款、处理合同纠纷，受法律的约束和保护。在企业信息系统建设项目的实施过程中，公司项目经理对项目的实施进行控制，是各种信息的集散中心。自下、自外而来的信息，通过各种渠道汇集到项目经理的手中；项目经理又通过指令、计划和办法，对下、对外信息，通过信息的集散达到控制的目的，使项目管理取得成功。目标控制是项目管理的核心内容。项目控制的目标就是项目管理规划的决策目标，在项目实施的全过程中，通过控制予以实现。项目管理控制的目标包括进度、质量、成本、安全和现场控制目标。

项目的目标控制是指在实现行为对象目标的过程中，行为主体按预定的计划实施，在实施过程会遇到许多干扰，行为主体通过检查，收集到实施状态的信息，将它与原计划（标准）比较，发现偏差，采取措施纠正这些偏差，从而保证计划的正常实施，达到预定目标的全部活动过程。对于本项目的总体设计与建设，正确、高效的项目组织和管理是成功的关键因素，至关重要。由于本项目规模大、时间紧，因此，项目的组织和管理是项目按期、保质完成的重要因素。

3.结语

1.信息安全防护的措施

信息安全防护要考虑不同层次的问题。例如网络平台就需要拥有网络节点之间的相互认证以及访问控制；应用平台则需要有针对各个用户的认证以及访问控制，这就需要保证每一个数据的传输的完整性和保密性，当然也需要保证应用系统的可靠性和可用性。一般电力企业主要采用的措施有：

1.1信息安全等级保护

信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作，工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段。要积极参与信息安全等级定级评定，及时在当地公安机关进行备案，然后根据对应等级要求，组织好评测，然后开展针对性的防护，从而提供全面的保障。

1.2网络分区和隔离

运用网络设备和网络安全设备将企业网络划分为若干个区域，通过在不同区域实施特定的安全策略实现对区域的防护，保证网络及基础设置稳定正常，保障业务信息安全。

1.3终端安全防护

需要部署（实施）防病毒系统、上网行为管理、主机补丁管理等终端安全防护措施。通过这些安全措施使网络内的终端可以防御各种恶意代码和病毒；可以对互联网访问行为监管，为网络的安全防护管理提供安全保障；可以自动下发操作系统补丁，提高终端的安全性。

1建立企业信息能力评价指标体系

评价指标体系的建立原则在实际对企业信息能力的评价当中，许多指标在概念上具有模糊性，可操作性不强，或者往往一些指标即使在概念上具有可操作性，但在实际的应用当中这样的数据往往难以收集。因此，依据“科学、客观、公正、合理”的原则，笔者认为在评价指标体系构建当中，应当依据如下原则：①评价指标的可操作性；②评价工作的目的性；③评价效果的全面性；④评价对象的差异性。企业信息能力评价指标体系是企业在一定时空条件下，企业信息建设能力、信息应用能力、信息绩效能力三维度在企业运营的各个环节、各个层面的属性特征的定性和定量的描述。采用专家调查法、层次分析法，并结合政策导向后评价指标体系初步构成方案如表1所示。

2BP网络简介

BP网络即误差回传神经网络（Back-Propaga⁃tionNeuralNetwork），由一个输入层、若干隐含层和一个输出层构成，是一种具有三层或者三层以上的多层神经元网络，网络中的神经元分层排列，它的左、右各层之间各个神经元实现全连接（见图1）。每个神经元均由它的输入、活化函数和阈值来决定它的活化程度【9】。在人工神经网络的实际应用中，80%-90%的模型是采用BP网络或它的变化形式。BP网络是人工神经网络中前向网络的核心内容，体现了人工神经网络最精华的部分。

3基于BP网络的企业信息能力评价

3.1用主成分分析法对模拟数据进行预处理评价指标体系包括信息人才、信息基础、信息获取及处理能力、信息决策、信息交流与共享五个要素，经筛选并模拟了8组数据（见表2），以建立基于BP网络的企业信息能力评价指标体系。对表2中的部分指标，如企业信息更新周期、信息获取的时效性等均与企业信息能力评价指标体系呈负相关，属极大值指标，故先对其指标取倒数，使它们同指标体系中的其它指标一致，都属于极小值指标，而后再利用SPSS统计分析软件进行主成分分析，所得结果见表3。本文共提取出六个公共因子，其特征值的方差贡献率累积达到了96.044%（通常情况下，累积贡献率达到85%即可）。本文选择参数0.65作为划分主要、次要指标的载荷系数临界值，以满足下一步研究的要求。最后得到由15项指标构成的企业信息能力评价指标体系，如表4所示。

3.2BP网络输入节点的选择进行输入节点的输入时，需要先对原始的模拟数据进行归一化处理，将它们转化为闭区间[0，1]上的无量纲性指标值。本着尽可能体现被评价对象之间的差异化原则，即使其离差平方和最大的原则，本文采取了极值处理法进行归一运算。

3.3BP网络隐层节点的选择隐层节点数的选择与问题的要求和输入输出单元的多少都有直接关系：如果隐节点数过少，网络不强壮，就不能识别以前没有看到的样本，容错性就差，或由于网络太小可能训练不出来；但隐节点太多又会使学习时间过长，误差也不一定最佳。因此，必定存在一个最佳的隐节点数，可用以下公式作为参考。