民營企業信息安全精選(五篇)

序言：作為思想的載體和知識的探索者，寫作是一種獨特的藝術，我們為您準備了不同風格的5篇民營企業信息安全，期待它們能激發您的靈感。

篇1

關鍵詞：民營企業；信息化；規劃；資金；人才；外部環境

中圖分類號：F27文獻標志碼：A文章編號：1673-291X（2011）12-0186-02

對于中國眾多中小民營企業來說，信息化建設具有重要的戰略價值。從宏觀方面說，信息化有利于民營企業融入全球經濟，充分利用國內、國外兩個市場，促進經濟增長；有利于實現新型工業化道路的跨越式發展；有利于加快技術創新、體制創新；有利于促進產業結構進一步優化升級；有利于完善社會主義市場經濟。從微觀方面說，民營企業實現信息化有利于提高企業的管理水平，實現高效有序的管理；有利于節約生產材料，降低庫存和生產成本，提高生產效率，縮短生產周期，提高產品質量；有利于縮短企業的服務時間，提高客戶滿意度，及時掌握客戶需求，實現按訂單生產；有利于加速資金流在企業內部和企業間的流動速率，實現資金的快速重復有效利用；有利于加速信息流在企業內部和企業間的流動速率，實現信息的有效整合、共享和利用[1]。

一、民營企業信息化存在的問題和障礙

近年來，中國民營企業的信息化意識有了相當大的提高，許多民營企業已經應用局域網，有些行業應用互聯網和電子商務的企業已經超過30%，但局域網的應用主要停留在信息共享層面上，生產控制方面的應用很少；電子商務的應用也主要在于網上查詢、網上信息，而在供應鏈集成、網上支付、分銷渠道等方面的應用還不普遍。資料表明，目前真正實現信息化較高級應用的民營企業在中國民營企業中所占的比例還不足5%。也就是說，國內民營企業信息化建設的主要特征是只有5%左右實施了ERP（企業資源計劃）、CRM（客戶關系管理）和SCM（供應鏈管理）方案，進入了信息化的高級階段，而絕大多數企業的信息化水平僅停留在文字處理、財務管理等辦公自動化及勞動人事管理階段，其存在的突出問題和障礙表現在：

1.民營企業的信息化存在觀念誤區。中國相當大比例的民營中小企業都是以訂單（銷售）為生存基礎的，有單子才能活命，沒單子就倒閉，平均壽命也就三至五年。在生產規模未達到一定層次基礎上，信息化手段往往無法顯示出其在大量煩瑣的生產過程中準確高效的優勢。企業的擁有者、管理者認為客戶、渠道才是企業生存的源泉，對于企業的信息化建設的積極性不高。即便是信息化程度較高的民營中小企業，他們對信息化的認識方面仍然比較狹窄，認為信息化就是購置幾臺計算機硬件，運用一些基本的應用軟件，用電腦打字、玩游戲、聊天、看新聞；認為網絡聯通后就等于實現了信息化。把信息化簡單理解為“上網”，或者偶爾瀏覽一下網頁也就完成了信息化的進程。

2.民營企業信息化存在資金短缺問題。首先，民營企業收款難，資金拖欠問題嚴重，自有資金周轉較慢，有限的資金大多用在擴大生產、建設中。面對生存的壓力、資金的短缺，讓他們拿出精力和金錢來完成企業的信息化建設其難度可想而知。其次，企業融資困難，企業與銀行之間的信息不對稱造成企業融資的交易成本高。銀行內部缺少向民營企業貸款的激勵機制，在提供貸款方面缺少積極性。而企業外部也缺乏風險投資、上市融資等籌集資金的渠道。因此，大多數民營企業大多將信息化放在第二步考慮。

3.民營企業信息化人才缺乏。中國民營企業的信息化常常缺乏高水平的系統管理與網絡管理人才，企業也常常面臨人才外流問題的困擾。這主要是因為缺乏高效的人才引進、培養和保持機制。民營企業很難找到一批IT業的高級人才，專職的IT人員薪水又較高，且往往需要更大的空間學習、交流、應用，而民營企業由于對人才的激勵和約束機制不完善，績效評估不合理，因此本身提供的環境往往留不住這些人才。據統計，民營中小企業員工的文化水平、受教育程度、信息化素質較國有企業、外企低。調查結果顯示，企業每百名員工中，信息技術人員還不到一人。

4.信息化解決方案提供商方面存在問題。民營中小企業由于所處的行業及歷史背景各不相同，其運作模式雖有雷同，但在信息化建設過程中的需求是互異的，就需要“量身定制”，以工具化、成組的設計來實現不同的需求。但目前國內的一些IT方案提供商只是把自己的產品的優勢和功能擺在企業面前，單純地去推薦自己的產品，以產品賣出為目的，他們看重的只是自身產品的市場占有率及同行業之間的競爭，而不是實實在在從企業利益的角度出發，真正幫助企業改進生產管理上的缺陷，使自己的產品能與企業的生產特點相符合，起到幫助企業提高生產效率的目的，這也給企業信息化埋下了失敗的伏筆。

5.民營企業信息化面臨的外部環境不完善。一方面，政府對民營企業信息化的支持和保障力度不夠，主要表現在：缺乏完善的針對民營企業信息化建設相關的法律法規政策和技術標準與規范；缺乏鼓勵民營企業信息化建設的財政、金融、稅收等方面的優惠政策；信息化基礎設施建設投入不足等；另一方面，整個針對企業信息化社會服務體系也不夠完善，主要表現在：支付手段和配送體系滯后；缺乏為企業信息化服務的中介結構和高質量的咨詢機構等。外部環境的制約使民營企業認為現在還不是投入信息化的最佳時機，限制了民營企業信息化的發展。

二、解決民營企業信息化問題的相關對策

1.做好企業信息化系統的整體規劃。民營企業在規劃信息系統時要注意以下幾個方面：一是要實用，避免追求華而不實。二是要可靠，一旦實現了信息化，那么企業的生產、管理都不可能再倒退到原有的模式上去。如果信息化系統不可靠，時不時的老出問題，那么對企業來說，將是無法承受的。三是易升級擴展，企業要發展，技術也在更新，對信息系統的要求是在變化的，因此在規劃時，一定要做到既滿足眼前的需要，又能兼顧將來的升級發展。最好是采用模塊化的結構，各模塊既可以獨立運行，發揮一定的效益，又可以相互搭接，組成一個完整的企業信息化系統。四是要安全，必須確保信息的安全。信息安全是指在信息的生產、傳輸、處理、存儲過程中，不被丟失、破壞、盜用和非法修改等。

2.按照信息化的要求對企業流程進行調整與重組。民營企業的業務流程隱蔽在企業的各個部門之中，企業自身難以了解各個流程之間的關系，這就需要通過信息模型來分析和重組企業業務流程，從而發現流程中的瓶頸，進而優化之。對于由于流程引起的權利再分配問題，要在實施過程中加以妥善解決。對于企業業務流程的動態變化，系統設計時應盡量考慮采用模式與軟件系統相分離的方式來實現。IT廠商能夠根據企業自身需要開發出量體裁衣的內部企業應用軟件，讓企業決策者能夠真正了解到信息化的作用，要拿出貨真價實的解決方案讓民營企業決策者們看到實際效果，才會引起他們對企業信息化的重視。

3.民營企業信息化要量力而行，分階段實施。民營企業由于在人才、資金、技術等諸多方面都存在一定的困難，因此，企業在規劃確定后，應根據具體情況加以實施。如果條件具備的企業，當然可以一次到位，但很多民營中小企業可能不具備這樣的條件，因此在具體的實施過程中，可以分階段、一步步地落實規劃。在實施過程中可以先選擇一些占用資金少、技術含量不是特別高的模塊實施。比如，可以先實現互聯網的接入，在互聯網上本企業的主頁，宣傳企業的形象，介紹自己的產品，擴大企業的知名度，同時可通過互聯網及時了解與企業的生存和發展有關的外部信息，這對民營企業是很重要的。這在目前來說，都花費不了多少資金，技術上也不復雜，如果自己沒有主頁的制作和維護人才，也可以暫時委托別人來完成。采用成熟一個條件，就落實一步的方法，不斷地創造條件，循序漸進，在不太長的時期內，實現規劃確定的信息化建設目標。

4.加強民營企業信息化隊伍建設。對民營企業而言，吸引人才、穩定人才，防止和抵御人才流失越來越成為企業信息化必須解決的突出問題。首先，企業應廣開門路，招賢納士。如加強與高校結盟，為學生設立專項獎學金，吸引人才。其次，對人力資源管理機制進行改革。對有特殊貢獻的關鍵人才，采用智力入股或技術入股以增強持股的技術人才對企業的凝聚力，穩定人才。還要逐步在職工技術晉級、干部考核時將使用計算機與網絡的基本技能放到考評內容中去。再次，加強對廣大員工的IT技能培訓。提倡個人自學為主，同時企業內部也進行一些簡單實用、面向廣大工人的計算機與網絡培訓，將廣大員工的IT技能培訓當做重要項目來建設。最后，加強企業文化建設，培養學習型組織，激發起群眾性的學習熱情，大大刺激群眾尤其是青年人學習信息技術的熱情，培養企業自己的信息化建設梯隊。

5.完善民營企業信息化的良好外部環境。首先，應加強政策導向，健全信息化法律法規。政府應盡快頒布與完善相關的信息化法規和政策，明確信息化建設的統一目標、相關技術標準與信息規范，不斷增強政府政策的引導與扶持力度，使民營中小企業在信息化建設過程中做到有章可循、有法可依。其次，要積極投入資金，完善網絡基礎設施建設。網絡基礎設施是民營中小企業進行信息化建設的前提，目前中國網絡基礎設施很不完善，網絡傳輸速度慢、費用高，資源壟斷和體制弊端逐漸顯現。政府應不斷加大資金投入，引入競爭機制，消除壟斷，營造公平競爭環境。最后，應建立完善民營中小企業信息化建設管理機構。政府應不斷強化信息服務平臺建設，為企業提供信息化建設和發展的管理咨詢和人員培訓，同時提供必要的技術支持和相關服務，將政策、法律、金融、戰略咨詢等都納入信息服務體系的范圍之內，為現代民營中小企業信息化建設提供信息資源保障[2]。

參考文獻：

篇2

關鍵詞:信息技術服務外包;評價指標;評價模型

一、課題的提出

隨著信息技術外包服務在企業信息化建設以及電子政務建設中所處的地位日益加強,信息技術外包吸引了大批學者和實踐者的廣泛關注。改革開放30年來,我國民營由企業不斷發展,其在自身企業運營管理方面的問題也日益凸顯。

隨著改革放開的不斷深入,民營企業發展的日益壯大,企業之間的競爭也愈演愈烈。隨著信息技術的不斷發展壯大,民營企業如果想在不斷升級的競爭中站穩腳步,越來越依賴于企業的信息化程度。對于國內大多數民營企業來說,他們的信息部門大都屬于非核心部門,民營企業自身發展到一定程度,信息技術就會成為制約其發展的瓶頸。而隨著信息外包服務的不斷發展,我國政府部門企業外包服務的政策支持越來越多。信息技術外包服務便成了企業信息化發展的有力方法。同時,隨著民營企業規模的不斷擴大,對服務外包的認識也不斷增強,民營企業正同通過各種方式,積極進行外包的探索。而且,從我國經濟發展來看,我國民營企業一直是中國企業變革中的先驅。尋找到民營企業信息技術外包的有力方式,對于我國整個企業的發展都有很好的借鑒意義。

在我國,由于信息技術服務外包在企業中還處于發展的最初階段,現在企業在制定信息技術服務外包決策的過程中,大部分都是借鑒跨國公司的經驗來選擇外包服務供應商,在此基礎上采用的大部分是定性分析的方法,也就是企業大都憑借以往的供應商選擇過程中的一些經驗來權衡各個方面的影響因素。這種情況下,信息技術服務外包的后果可能導致企業信息技術項目的質量不高、外包項目不能起到降低成本的作用、甚至可能對民營企業的管理產生負面的影響,阻礙企業的正常運行發展。顯然,從長遠角度來看,這樣的方式是無法適應企業需要的。本文試圖建立一種適應民營企業信息技術外包供應商的評價體系,對影響民營企業信息技術服務外包決策的因素進行量化,力求能夠幫助民營企業做出的正確的信息技術服務外包決策,使民營企業可以在激烈的市場競爭和有限的資源條件下做出對企業發展最為有利的決策,進而提升民營企業自身的競爭力。

二、信息技術服務外包研究現狀和不足

國外的信息技術服務外包決策研究,主此后的學者主要從企業角度出發,結合相關的經濟學理論對信息技術服務外包的動因進行分析。Huff(1991)從企業發展的戰略高度來分析信息技術服務外包的動因,他認為外包可以使企業的管理者把精力和資源集中于解決企業“真正的商業問題”而不是信息技術管理的問題;HenriL.F.deGroot(1998)認為企業實施外包是為了達到降低交易成本等目標。通過構建相關的模型,作者企業尋求外包的主要動因是為了降低相關的交易成本、實現企業自身的規模經濟、節省員工工資以及利潤的支出,同時也可以滿足企業的戰略需求,其中企業進行外包的關鍵動因是為了降低相關的成本;Pinnington和Wooleock(1995)對多家企業信息技術服務外包項目負責人進行調查,發現通過外包能控制和減少企業信息技術部門和整個企業的成本,精簡信息技術部門的人員,這些企業通過信息技術服務外包更能滿足自身對信息系統的需求,同時也可以使企業積累相關的經驗并令企業集中資源于自已的核心業務。

國內學者張芬霞、劉景江(2005)指出,經濟、政策以及技術三個方面的因素共同作用產生了離岸外包;陳菲(2005)認為信息技術服務外包的動因可以分為外部環境動因和內部推動力量兩個方面;另外張園林,匡興華等(2008)對信息技術服務外包的動因進行了總結,認為信息技術服務外包的動因包括以下方面:供應商具備規模經濟,能夠降低信息技術服務的成本;將企業非核心業務外包,能夠使企業集中精力發展核心競爭力;企業可以獲得內部無法實現的信息技術服務;現金需求,環境因素等其他因素。

通過分析可以發現,以往對于信息技術服務外包的相關研究,存在這樣一些問題:以往的研究主要是從資源角度出發,把信息技術當成一種資源來考慮,忽略了在信息技術服務外包供應商選擇過程中影響外包決策的一些相關因素,比如供應商提供信息技術的服務質量、與客戶企業文化的契合度、對相關業務的經驗等方面;以往國際的研究大都針對一些大型的跨國公司,國內的研究也都是針對跨國公司的角度出發考慮問題,而沒有專門針對我國民營企業信息技術服務外包的相關研究。以往研究大部分是通過定性的分析來決定企業是否應該將信息技術的項目外包,從定量角度進行研究的比較少。所以本文研究將在充分借鑒前人優秀研究成果的基礎上,結合我國民營企業信息化的特點,通過研究和調研,分析總結出一套適合我國民營企業的信息技術服務外包供應商的評價體系。

三、我國民營企業信息技術外包供應商選擇指標體系建立

信技術供應商評價指標體系涉及的因素眾多,評價指標多種多樣,既有定性的,又有定量的,而且指標權重各不相同,因此,在設計指標體系時,評價指標體系應具有足夠的靈活性,以使企業能夠根據自身的特點及實際情況,對指標靈活運用。擁有一套完整、科學、全面的綜合評價指標體系是對信息技術供應商做出全面系統評價的基礎。

民營企業在對各個信息技術服務外包供應商進行篩選的時候,需要一個完整而且有效的信息技術服務外包供應商評價指標體系,進而通過對不同的供應商進行評價,選擇出滿足民營企業要求的信息技術服務外包供應商。信息技術服務外包供應商評價指標體系建立的優劣直接影響到民營企業信息技術服務外包供應商選取工作的成敗。因而,我們所建立的評價指標體系一定要能夠準確地反映出每一個信息技術服務外包供應商的實力,又要對每一個供應商的差異進行區分。這樣的評價指標體系才能為民營企業獲得優秀的信息技術服務外包供應商提供指導。綜合以上的分析以及指標體系的構建思路,在進行充分的市場調研以及向專家、民營企業相關工作人員調研咨詢之后,在充分借鑒前人優秀研究成果的基礎上,本文構建了下面的評價指標體系(見表1)。

成本指標(C1-C3),是指企業所支付在獲得信息技術產品和服務上的所有成本的綜合。隨著信息化的不斷發展,成本不再是企業選擇信息技術服務外包供應商的首要因素,但仍然非常重要。信息技術服務外包成本包括顯性成本和隱性成本。對于企業來說軟件、硬件、研發和人力資源等等都屬于顯性成本,也就是可以明顯計算觀察的成本。關心管理成本屬于隱性成本,比如溝通成本、外包項目管理成本等等,這寫在外包規劃階段比較容易忽略的成本往往會在實際中顯現出來,提高信息技術服務外包的最初成本預算。從以往的經驗來看,隱性成本大約可以占到信息技術服務外包項目總成本的15%左右。

服務質量指標(C4-C7),主要包括信息技術服務外包供應商所獲得的質量認證情況,以及其所提供服務的質量情況。其中,所獲質量認證情況主要依據供應商所獲相關認證等級進行評價。其所提供的服務質量情況,主要根據其所提供的信息安全性,客戶對服務質量滿意的程度以及供應商的質量管理能力來判斷。

技術指標(C8-C10),供應商所擁有的技術水平也是影響外包服務質量和效率的重要因素。如果供應商的軟件和開發工具以及開發人員不能滿足信息技術項目的需要,信息技術服務外包項目就很難按照應有的進度完成。此外,供應商主要技術的熟練程度、以及供應商在整個信息技術服務產業內所處的地位和可靠程度以及技術的兼容性都將影響供應商所提供的產品和服務水平。這里,技術指標主要表現在主要用供應商核心技術能力的適應性,開發工具和方法,員工技能和技術創新等方面。

供應商特征(C11-C15),供應商的特征主要靠市場實力和財務狀況等等來反映。市場競爭力是指在某一個特定時段內供應商提供的信息技術外包服務的銷售額占市場中同類服務銷售總額的百分比。如果設某一特定時間內一個供應商提供的信息技術服務D的銷售額為SalesD,市場中同類服務的銷售額為SalesTD,則該供應商提供的產品D的市場占有率為:

財務狀況中,技術費用的支付能力是衡量供應商的主要標準,如供應商在財務上是否有能力投資和支持信息技術服務外包業務所需的技術等,并且從長期看,還要評價供應商的盈利能力、償債能力和發展狀況。

四、民營企業信息技術外包評價方法及模型

選擇信息技術服務商需要從多角度、多因素對各個服務商進行評價。從不同的角度評價可以相應設置不同的指標,如價格、實力、發展潛力、服務等,分解出的指標可以構成一整套評價指標體系,各個指標體系中的重要程度是不同的,而不同服務商相對于不同的指標,相互之間的優劣勢也不同,從而可以構成一個具有不同層次的體系,為層次分析法提供了結構基礎。因此民營企業信息技術服務商的選擇適合于使用層次分析法進行決策。由于供應商選擇中中常常會有一些模糊和不精確因素,將以上一些傳統方法直接用于信息技術供應商的評價選擇存在明顯的不足和局限性。因此,在模型建立過程中,應用層次分析法和模糊綜合評價法相結合,采用定性和定量相結合的模糊層次分析模型對民營企業信息技術供應商進行評價選擇。

層次分析法(AHP)是由美國運籌學家匹茨堡大學教授薩蒂在20世紀70年代初提出的。它是一種將元素分解為目標、準則、方案等層次并在這基礎之上進行定量和定性分析的方法。層次分析法的特點是在對復雜決策問題的本質、影響因素及其內在關系等進行深入分析之后,構建一個層次結構模型,然后利用較少的定量信息,把決策的思維過程數學化,從而為求解多準則或無結構特性的復雜決策問題提供一種簡便的決策方法。

模糊綜合評價是對受多種因素影響的事物做出全面評價的一種十分有效的多因素決策方法,是1965年美國著名控制論專家L.A.扎德創立的模糊數學的一個分支。它的特點是評價結果不是絕對地肯定或否定,而是以一個模糊集合來表示。這種方法在技術經濟方案的選擇、地區經濟發展的比較分析、人力資源管理部門的招聘等方面有著廣泛的應用,是處理模糊現象的一種很有效的工具。

五、結束語

隨著經濟全球化和信息化的不斷發展,目前國內越來越多的民營企業已開始認識到信息技術服務外包的重要性及價值,并逐步開始將自己的信息技術業務外包出去。然而,在信息技術服務外包供應商選擇等過程中,也需要一個正確的理論和方法的指導。本文所建立的我國民營企業信息技術服務外包供應商選擇評價指標體系,旨在為我國民營企業選擇信息技術外包供應商過程中提供一種行之有效的方法,并通過層次分析法對所建立的各指標進行賦值,進而利用該指標體系進行供應商選擇的決策。對企業信息技術外包決策及承包商選擇進行研究具有重要的現實意義。

參考文獻:

1、李圓.IT外包的三個層次[J].IT經理世界,2005(18).

2、塞迪顧問.IT外包服務:企業未來信息化之路[J].軟件世界,2003(3).

篇3

企業信息化是在企業范圍內利用信息技術和信息系統建設規范輔助企業經營管理流程和業務流程，通過計算機、網絡和數據庫等手段，實現對企業生產經營中各種信息的控制和管理，使企業經營過程對有價值信息感知、篩選和使用，提高企業的經營水平，降低管理、運營等成本。

1.1 信息化水平

運用評價體系分析企業信息化發展，將企業信息化水平分為三個層次：①使用計算機輔助設計、輔助管理等軟件工具，對企業經營活動中的生產、研制和行政管理等過程進行輔助，提高原有的工作效率；②實施一些計算機系統軟件，進一步提高企業經營管理的系統化水平；③使用互聯網作為基本工具，通過統一門戶網站等方式實現電子商務（在特定類型的企業中，不適合通過互聯網進行企業經營管理工作）。

1.2 信息標準化

在企業信息化建設歷程中，信息化標準體系參與信息產品的研制、信息技術開發、信息系統建設以及企業信息系統運行與管理的全過程。

1.3 信息化體系

企業信息化標準體系對企業信息化重要組成的形成過程有指導和手冊性的作用，其中主要包括信息系統建設、信息技術開發、信息產品研制、信息系統運維管理等，在企業信息化建設過程中起到綱領性作用，并且是技術依據和標準的提供來源，至關重要。

1.4 信息化系統

信息化系統組成要素較多，企業信息系統規模和需求是較為典型的基礎信息系統，涵蓋了一般信息系統根本的六個要素：物理平臺、網絡平臺、應用支撐平臺、應用平臺、系統安全體系和標準體系。

1.5 信息化體系組成

根據企業信息化系統組成分析，信息化標準體系中涵蓋的標準既為企業信息化建設過程、運維管理過程和企業信息化發展過程中使用和遵循的標準匯總，主要包括：信息技術基礎標準體系；信息資源標準體系；網絡基礎設施標準體系；信息安全標準體系；應用標準體系；管理標準體系。

2 軍工企業信息化

我國的軍工企業與國外的同類企業不同，有其一定的特殊性，國外的軍事裝備制造公司，比較著名的美國波音公司、洛克希德馬丁公司，他們的軍品生產研制比重較大，但他們更多的還是民用產品，而國內的軍工企業以大的軍工集團的形式存在，近年來較少部分非核心軍事裝備、保障裝備開始在民營企業和私人企業中研制生產。

2.1 信息技術基礎標準體系

信息技術包括感測與識別技術、信息傳遞技術、信息處理與再生技術信息處理、信息施用技術又包括控制技術、顯示技術等。信息技術基礎標準體系主要包括：術語標準；識別卡標準；存儲媒體標準又包括光盤、磁帶、磁盤等介質標準；軟件與軟件工程標準；設備標準；字符編碼標準。

2.2 信息資源標準體系

信息資源標準體系從信息資源的采集、分類、目錄、存儲和服務等環節入手，適用于信息資源開發與利用工作的規劃、設計、建設、驗收、測評、運行與維護。其標準主要包括：數據元標準；元數據標準；信息分類及編碼標準；業務文檔/媒體格式標準；數據庫標準；描述技術標準；目錄服務標準；Web服務標準。

2.3 網絡基礎設施標準體系

網絡基礎設施標準體系是信息系統基礎建設的依據，在基礎建設的全過程中適用，這個標準體系是一個年輕的，快速發展的標準分類，國際上有主流的美國標準TIA/EIA和國際標準ISO/IEC標準兩大體系，國內也有相應標準制定組織。網絡基礎設施標準體系按公用標準和實際使用特性劃分如下：

①共用標準：線纜標準、網絡結構標準、配套設施標準。②IP網標準：TCP/IP標準，總體標準、協議標準以及MPLS、VPN、IPv6等。協議標準涉及接入層的Ethernet、FR、ATM、PPP/SDH、WDM，包括網絡層的ARP、RARP、IP、ICMP、IGMP、IGP、EGP、PIM、IPsec等標準，傳輸層的TCP、UDP標準，應用層的FTP、SMTP、MIME、HTTP、SNMP、DNS、TELNET、RTP、RSVP、HTML、XML標準等，IPv6標準體系包括IPv6規范、地址尋址、逐跳選項、組播、MTU路徑發現、報頭壓縮、建隧道傳送數據包、域名系統、路由、鄰居發現、自動配置、程序接口、映射、移動性、基于不同介質的IPv6、管理信息庫、演進機制以及設備與測試標準等。③以太網標準：以太網技術是目前局域網和城域網的主流技術，萬兆以太網技術可能把該技術擴展到廣域網應用領域。④移動網標準：移動通信標準體系包括GSM/GPRS、CDMA、WCDMA、CAMA2000、TD-SCDMA、EDGE、TD-SCDMA、TD-LTE、LTE FDD、數字集群標準等。⑤其他實際使用還包括ATM網標準、FR網標準、電話網標準、傳輸網標準、接入網標準、衛星網標準、業務網標準和支撐網標準。

2.4 信息安全標準體系

信息安全標準是軍工企業在信息化建設過程中最為重點考慮的方面，作為與國家安全相關的行業單位，在進行信息化建設，特別是涉及國家秘密的信息系統的時候，都會以國家相關機關的標準為依據進行建設。

根據企業信息系統組成模型，分析企業信息安全標準體系構成應在以下幾個方面考慮：①物理平臺安全方面： 信息系統的綜合布線標準、設備間及中心機房建設標準、電磁泄露發射防護建設標準，介質存放環境和介質銷毀條件建設標準等；②網絡平臺安全方面：網絡數據交換標準，遠程數據傳輸防護標準，數據完整性要求等；③應用支撐平臺安全方面：數據安全保障標準，包括存儲設備、磁帶、光盤標準等，安全數據庫標準、病毒及惡意代碼入侵防護標準、訪問控制、身份鑒別和接入控制等標準；應用平臺安全方面：應用平臺既是企業經營活動所使用的各類應用系統，應用平臺安全是指在網絡模型應用層的安全問題，包括網頁應用安全、郵件安全、信息傳輸安全等，這些問題的防護以系統集成和應用系統建設為根本，通過在建設中遵循和制定協議使用標準、信息加密技術標準、抗抵賴和電子簽名、電子標簽標準等，實現應用平臺的安全防護；④安全支撐環境方面：與網絡平臺安全方面相類似，同時它是為物理層到應用層全局安全進行支撐的，應該包含信息系統建設相關安全內容的設計、運維管理方面的制度制定標準，這些一般以國家標準、國家保密標準的形式出現；⑤系統安全管理方面：系統安全管理這里指對系統運行維護工作的標準要求，《涉及國家秘密的信息系統分級保護管理規范》BMB20-2007為主要依據，同時單位應建立相應的具體制度，囊括運維管理的全過程。

2.5 應用標準體系

應用標準體系包括“電子政務標準體系”、“電子商務標準體系”和“空間信息應用標準體系”三部分。

①電子政務方面：應用業務標準、應用支撐標準、網絡基礎設施標準、管理標準等。②電子商務方面：術語、EDI參考模型等總體標準、業務操作標準、功能服務標準等。③空間信息應用：最為常見的是導航、地圖服務、GPS衛星服務、北斗等這些內容，因為服務的主題不僅是企業，更多的是人，主題數量巨大，服務渠道眾多，對標準的依賴程度較高，而隨著空間技術，太空技術、海洋資源等未來重要領域的到來，對企業對這類標準的掌握、應用提出很高的要求。

2.6 管理標準體系

管理標準體系包括系統管理、網絡管理、工程標準、驗收與監理標準、測試與評估標準以及質量控制與認證標準等。

篇4

安全威脅變局

2007年，垃圾郵件、電腦病毒等傳統的安全問題依然是CIO需要防范的重點。不久前，Gartner了年度安全軟件市場增長評估報告，預測2007年的銷售額將在2006年全年82億美元的基礎上增長10.7%，其中將有53.8%，約為49億美元的銷售額來自反病毒市場。

與此同時，安全威脅的性質正在發生實質性的轉變。現在的黑客和病毒編寫者已經不再傾向于使網絡癱瘓，他們更關注的是如何通過網絡獲取經濟利益。不同來源的行業報告均顯示，通過木馬程序等方式竊取商業和個人機密信息的行為，以及被遠程黑客控制的計算機數量均呈上升勢頭。隨著信息的海量增長，包括各種數據和應用的信息資產對于企業運營正發揮日益重要的作用，對企業應用和數據的進攻正在取代對企業網絡環境的進攻成為主要的威脅。

一份IBM專門針對中國企業安全性的調查顯示，有38%的中國企業已經意識到，信息安全比實際犯罪對他們的業務更具威脅，企業的品牌和聲譽很容易因此造成嚴重的損失。面臨變化了的安全環境和不斷加劇的威脅，企業需要加強信息安全意識，從信息資產管理的宏觀角度建立安全防御體系。

樹立風險導向意識

目前中國的安全市場仍然以安全產品的銷售為主。廠家和用戶從購置產品的角度看待威脅，在應對病毒破壞、黑客攻擊等問題時，基本停留在“兵來將擋”的階段。總體而言，企業在安全項目方面的回報并不很好，花了很多錢卻沒有用在企業需要用的地方。其中一個原因是企業難以認識到自己的風險所在，也就難以從投資回報的角度衡量安全投資。同時，安全又是一個涵蓋很廣的領域，不同的廠家、集成商和用戶對安全的理解各有千秋，但有限范圍內最好的選擇未必在全局上發揮最好的效果。

內部的安全漏洞和來自外部的威脅在數量和范圍上都呈現愈演愈烈之勢，也給企業用戶提出了嚴重的挑戰。針對企業在信息安全領域的管理、項目規劃及信息技術的投資比例，筆者認為企業在信息安全管理方面可劃分為四種模型，分別為事件導向、工具導向、流程導向和風險導向。

事件導向型企業或者對信息安全的認識較為薄弱，或者缺乏足夠的技能和資源來應對安全問題，對安全攻擊基本處于遇到問題再解決的被動響應狀態。面對每年數量呈直線上升的各類病毒在網絡上流行并不斷生成新的變種，購置一些基本的防毒設備不可能做到萬事大吉。同時，攻擊者正在不斷改進攻擊方法和逃避檢測，并更快地利用已知漏洞發起“零日攻擊”。這都對事件導向型企業的信息安全管理提出挑戰，由于缺乏業務連續性規劃，一旦遭受攻擊就會導致業務中斷，給這類企業帶來損失。

工具導向型企業擁有較多的安全預算，能夠主動意識到安全問題，遇到問題習慣于通過安全技術或工具來解決，安全管理呈分布式。這類企業通常都在業務運營中大量應用IT技術，對于業務連續性、時效性具有很高的要求，不能承受業務中斷帶來的損失。由于業務擴展和防范未知風險的需要，他們不可能等待一個安全問題暴露出來才去應對，因此有較完善的安全規劃，并主動投資、積極部署最新的安全技術。電信、金融等行業是這一類別的典型。他們需要關注的是需要加強安全管理方面的工作，以配合相關安全技術與工具真正發揮作用。

流程導向型企業受預算等限制，在安全方面的投入不會很多，而側重于從管理的角度減少安全威脅，加強對人員和流程的控制力度。通常企業會建立較為完善的安全制度和組織。這類企業包括在中國市場的一些外資企業和信息安全觀念較強的民營企業。需要關注的是如何將安全的管理制度落地。

以上三種類型的企業在信息安全上都存在不足，沒有從企業風險控制的全局出發來看待安全威脅。IBM提倡風險導向型的信息安全管理，這是一種采用工具與流程相結合的方式，也是最為成熟的風險管理模式。風險導向型的企業能夠識別風險和確定風險的優先級，根據識別出來的不同類別的風險，決定是加強管理、改善流程，還是進行技術投資，從而做到有的放矢，集中有限的資源應對企業面臨的主要威脅。

如何掌控風險

安全項目最大的回報在于降低風險對企業運營帶來的損失，但如何才能真正從風險管理的角度進行信息安全建設呢？筆者建議，企業首先需要了解有哪些風險存在，預測、評估其發生的可能性以及對企業的影響程度，盡可能量化風險，然后根據優先順序，采取適當的預防措施。

僅僅通過預防只能在一定程度上降低風險，而無法解決所有的問題，這時還需要通過制定周密的安全策略以保護企業的關鍵信息。在防范信息安全風險的同時，用戶也應該認識到，任何企業都不會有足夠多的人力、物力和財力完全消除風險，要達到100%的信息安全其實是一種不符合客觀實際的期望。筆者認為信息安全管理的目標是通過控制方法，把信息風險降到最低，使成本支出達到一個非常合理的狀態。總有一些風險是不能避免的，把這些風險分類記錄下來，并最終接受它，才是一個理智的風險管理者應有的態度。

信息安全的基本原則要求我們了解風險，并在了解情況的前提下進行決策，以根據消除風險所需要的成本，決定對風險做出反應或者接受。樹立風險導向的信息安全管理意識，最終目的在于提高信息安全項目的投資回報，將IT風險作為企業運營風險中的一部分加以管理。

建立完整安全架構

當前信息安全的發展趨勢已經不僅僅是升級傳統的安全產品，而是從業務策略和整體系統上來考慮安全問題，幫助企業建立安全、完善的IT環境，以應對來自內外部的攻擊，降低風險和損失。因此，全方位的安全策略及解決方案對保護企業信息系統的安全不可或缺。

對于多數企業而言，目前都已制定了相關的制度和流程，但還沒有企業級整體的信息安全規劃和建設，信息安全還沒有或很少從整體上進行考慮。IBM企業IT安全服務是一套針對企業信息安全管理的完善解決方案，能夠協助企業更加全面地認識信息技術、評估企業的信息安全隱患及薄弱環節，進一步完善企業安全架構，為企業的應用構建高度信息安全的運行環境，共同規劃、設計、實施、運作，從而保護企業信息系統的安全。

隨著中國信息化進程的發展，信息資產在企業中的重要性不斷提升。企業管理者不應該再將信息安全看作一個孤立的或是純技術的問題，而要從企業運營的全局角度整體看待，制定與企業特點和成長潛力相適應的安全管理架構。

關注市場變化

完善的安全架構必須能夠因應市場的變化進行調整，IT部門的決策者必須密切關注市場的變化。2007年安全用戶在三類需求上將有突出的增長。CIO需要更好地應對日益增長的法規遵從性要求，更多地關注應用層面，與此同時，積極利用外包的機遇實現更好的投資回報。

在中國，隨著信息安全和上市公司相關立法的完善，法規遵從性和相關審計在行業中的要求也正在不斷普及，越來越多的公司和行業正努力去滿足法律所規定的安全要求。企業在信息管理方面需要做到三點:信息的完整性、信息的保密性和要求信息能夠在適當的時間以適當的格式被訪問，這都與信息安全密不可分。保護企業數據安全，達到法規遵從性的要求將是CIO們2007年的一大職責。

篇5

這次中國在漢諾威博覽會上的強勢亮相讓許多人很感興趣。德國機器設備制造業的最高代表，德國機械設備制造業聯合會主席黑塞（Hannes Hesse）興奮地表示：“中國在這樣一個頂尖展會上展示其尖端技術產品，還是很激動人心的。”

《世界報》也專門撰文報道稱，中國第一次作為世界上最大的工業展覽會的伙伴國，不再僅僅是作為產品購買者，而是已經成為競爭者以及解決未來大問題的技術提供者。

信息化

成就制造大國夢想

2010年，中國制造業就已經超過美國，成為全球最大制造國。但是當前，歐洲債務危機仍在持續，美國經濟數據不容樂觀，全球經濟增速放緩，中國制造業出口面臨巨大的壓力。

如何幫助中國制造產業走過冬天，搶占全球制造業競爭的制高點，實現中國制造業由大變強的轉變，成為當前社會關注的焦點。

“工欲善其事，必先利其器。”若想實現“十二五”規劃綱要中“改造提升制造業，促進制造業由大變強”的目標，就要求制造業企業加強信息化水平。制造業信息化使制造業發生了革命性的變化，這對于像中國這樣剛開始工業化不久的國家是一個極大的挑戰。但是也給中國的制造業提供了趕超的機遇。

信息化的建設離不開軟硬件的支持，軟硬件也是技術創新的載體。企業信息化要發展，軟硬件需先行。然而由于相當一部分企業知識產權意識淡薄，只注重有形資產的購買，而忽視作為企業無形資產的軟件，不僅無法提升企業的核心競爭力，還給企業帶來不必要的法律風險。因此，加速中國制造業軟件合規，成為提升企業全球競爭力的先決條件和重要引擎。

制造業在國家經濟發展中發揮著舉足輕重的作用，理應成為積極應用正版軟件的楷模，這也是促進民族軟件產業健康發展的積極舉措。

消除盜版噩夢

IDC最新的《中國企業推進軟件正版化進程，消除盜版軟件安全風險》白皮書表明，84%的受訪企業表示盜版軟件可能缺少正版軟件的某些關鍵功能；76%的受訪企業表示盜版軟件中植入的病毒或木馬，可致使企業數據或信息泄露；當系統出現漏洞導致數據丟失或系統崩潰時，數名IT員工需要至少1到2天的工作才能還原數據，由此所導致的經濟損失可能高達65萬元。企業會經常低估因違反版權法所導致的法律風險，這會給企業帶來經濟損失，造成客戶流失、公司蒙羞，以及對公司的品牌和聲譽造成損害。這些潛在的安全風險以及成本損失，遠遠大于購買盜版軟件所節省的費用。

此前，有部分國內知名制造企業就因無視知識產權，使用未經授權軟件，導致企業受到法律的嚴懲，經濟和聲譽均受到嚴重損害。

2008年5月，西門子PLM軟件公司對廣東深圳市明興模具廠和明興模具工程有限公司提訟，要求對方停止侵犯其享有著作權的軟件。2010年7月，廣東省高級人民法院做出終審判決，判令明興模具廠立即停止侵權行為，兩家企業共同賠償西門子PLM軟件公司經濟損失共計55萬元。2010年，曾獲得廣東省深圳市“光彩之星”、“優秀民營企業”等榮譽稱號的深圳市旺鑫精密工業有限公司，涉嫌大規模使用微軟等軟件公司的盜版軟件。2011年2月，雙方達成和解，旺鑫公司承諾不再從事任何侵犯原告版權的行為，購買原告正版軟件產品并支付賠償金80萬元。這些案件給仍在使用盜版軟件的中國制造商們敲響了警鐘。

與此同時，國內不少軟件企業也在通過不同的渠道積極維權。歸根結底，軟件廠商研發的動力來源于市場，而盜版會明顯的侵蝕企業利潤，降低其推出新產品、新應用的積極性，最終阻礙用戶及全社會共享創新成果。因此，金山、浩辰、CAXA等知名的民族軟件企業也開始大力打擊盜版，并廣泛參與“綠書簽”等政府及其它社會單位主導的反盜版活動，積極倡導改善知識產權保護環境。