導(dǎo)語(yǔ)：如何才能寫好一篇企業(yè)安全信息，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

[關(guān)鍵詞]企業(yè)安全；信息管理；設(shè)計(jì)；實(shí)現(xiàn)

doi：10.3969/j.issn.1673-0194.2015.08.057

[中圖分類號(hào)]TP311.52 [文獻(xiàn)標(biāo)識(shí)碼]A [文章編號(hào)]1673-0194（2015）08-0075-02

近年來(lái)，企業(yè)安全事故層出不窮，信息安全引起了越來(lái)越多企業(yè)管理者的重視，成為各個(gè)企業(yè)不容忽視的關(guān)鍵問(wèn)題。為了加強(qiáng)企業(yè)信息安全，不少企業(yè)開始設(shè)立獨(dú)立部門對(duì)企業(yè)的信息安全進(jìn)行專業(yè)管理，并開始培養(yǎng)專業(yè)的信息安全管理人才。

1 企業(yè)安全信息管理平臺(tái)的問(wèn)題

1.1 安全意識(shí)不強(qiáng)

企業(yè)要重視信息安全并實(shí)施管控，信息安全管理的成敗取決于員工的安全意識(shí)。人員安全意識(shí)欠缺，導(dǎo)致政令不通，監(jiān)督不力，執(zhí)行不暢，往往導(dǎo)致信息外泄、系統(tǒng)故障等安全事故。只有樹立直接執(zhí)行人員牢固的信息安全意識(shí)，形成企業(yè)安全文化，企業(yè)信息安全才能真正長(zhǎng)治久安。員工信息安全意識(shí)的提升并非一日之功，也不是通過(guò)簡(jiǎn)單的一兩次培訓(xùn)就能奏效，而是一項(xiàng)持續(xù)的、長(zhǎng)期的、有計(jì)劃的、多種方式并用的綜合性工作。信息安全意識(shí)提升面向企業(yè)廣泛的受眾，其內(nèi)容涵蓋信息安全相關(guān)各個(gè)領(lǐng)域，重點(diǎn)針對(duì)員工日常工作和個(gè)人行為，關(guān)注各種可能因個(gè)人行為不當(dāng)或警惕性不強(qiáng)而引發(fā)的信息安全隱患和事故。由于目標(biāo)對(duì)象的不同，信息安全意識(shí)提升內(nèi)容會(huì)呈現(xiàn)出不同的形式、程度，從簡(jiǎn)潔明了的宣傳語(yǔ)，到淺顯易懂的安全提示，再到全面具體的安全手冊(cè)，建立企業(yè)專門的信息安全知識(shí)庫(kù)，滿足不同方面和不同層次的需要。

1.2 缺乏專業(yè)人才

隨著經(jīng)濟(jì)社會(huì)的不斷發(fā)展，企業(yè)對(duì)于信息安全管理人才的需求也越來(lái)越大。任何組織都是由人組成的，沒(méi)有人才，組織就不能取得長(zhǎng)遠(yuǎn)發(fā)展，更談不上不斷進(jìn)步和自我完善。企業(yè)的發(fā)展需要不斷補(bǔ)充新的人才。對(duì)于多數(shù)企業(yè)來(lái)說(shuō)，信息安全管理人員的素質(zhì)決定了單位能否長(zhǎng)遠(yuǎn)發(fā)展。信息安全管理是最近幾年才興起的，很多企業(yè)還沒(méi)有配備相關(guān)人才，不少高校也尚未開展相關(guān)專業(yè)，培養(yǎng)信息安全管理方面的人才，國(guó)家對(duì)于信息安全管理專業(yè)的投入也不夠。社會(huì)整體尚未形成重視信息安全管理的氛圍。目前，不少企業(yè)的信息安全管理人員十分匱乏，很多企業(yè)沒(méi)有專門的信息安全管理機(jī)構(gòu)，因此也沒(méi)有配備相應(yīng)的信息安全管理人員。只有少數(shù)企業(yè)認(rèn)識(shí)到信息安全管理的重要性，設(shè)立了相應(yīng)的信息安全管理機(jī)構(gòu)。但在這些企業(yè)當(dāng)中，多數(shù)企業(yè)的信息安全管理機(jī)構(gòu)十分簡(jiǎn)陋，相關(guān)設(shè)備也不夠健全，專業(yè)人員的配備也存在缺失，有的企業(yè)雖然配備有信息安全管理人員，但這些人員多數(shù)沒(méi)有接受過(guò)系統(tǒng)的知識(shí)培訓(xùn)，經(jīng)驗(yàn)不夠豐富，責(zé)任心不強(qiáng)，不能履行信息安全管理人員的基本職責(zé)。信息安全管理人員素質(zhì)不高和專業(yè)人才的缺失，是企業(yè)的發(fā)展的阻礙，嚴(yán)重影響了企業(yè)的長(zhǎng)遠(yuǎn)發(fā)展。

1.3 監(jiān)管制度缺失

完善、科學(xué)的信息安全監(jiān)管制度對(duì)于企業(yè)的發(fā)展具有十分重要的意義和作用。行為規(guī)范制度是指導(dǎo)工作人員進(jìn)行相關(guān)操作的準(zhǔn)則和辦法，只有建立一套系統(tǒng)的信息安全監(jiān)管制度，才能規(guī)范信息安全管理人員的行為，使操作有據(jù)可依，信息安全管理人員對(duì)自身行為負(fù)起責(zé)任。目前我國(guó)信息安全管理制度仍不健全，不少企業(yè)沒(méi)有建立起一套完善的內(nèi)部控制制度，使得很多行為沒(méi)有操作依據(jù)，信息安全管理人員的行為無(wú)法有效約束，出現(xiàn)了許多不負(fù)責(zé)任的行為。這些行為不僅阻礙了企業(yè)的發(fā)展，也影響了企業(yè)的聲譽(yù)，不利于后續(xù)工作的開展。因此，必須建立健全企業(yè)信息安全監(jiān)管制度，為企業(yè)后續(xù)活動(dòng)的開展提供保障。

1.4 管理技術(shù)落后

信息安全管理需要先進(jìn)的管理技術(shù)和安全技術(shù)，為信息安全管理提供有力的技術(shù)支持。企業(yè)在發(fā)展過(guò)程中，開發(fā)了一系列信息安全管理技術(shù)和管理技巧，發(fā)揮了一定的作用。但隨著經(jīng)濟(jì)社會(huì)的發(fā)展和科技的日新月異，不少技術(shù)已經(jīng)無(wú)法跟上時(shí)代步伐，很多技術(shù)面臨淘汰。這些管理技巧不但不能給企業(yè)帶來(lái)益處，反而有可能影響企業(yè)的信息安全。因此必須緊跟時(shí)代步伐，了解最新的信息安全管理技巧，結(jié)合企業(yè)實(shí)際情況，開發(fā)符合時(shí)代要求的管理技巧。同時(shí)，積極了解最新科技動(dòng)態(tài)，將適合于本企業(yè)的技術(shù)運(yùn)用到企業(yè)的信息安全管理過(guò)程中。

2 如何完善企業(yè)安全信息管理平臺(tái)設(shè)計(jì)

2.1 增強(qiáng)信息安全管理意識(shí)

提高信息安全管理意識(shí)是完善企業(yè)信息安全管理的重要前提和關(guān)鍵因素。只要具備良好的內(nèi)部安全控制意識(shí)，才能順利開展后續(xù)工作。企業(yè)管理者必須深切意識(shí)到信息安全管理對(duì)于企業(yè)發(fā)展的重要性和必要性，加大投資力度，及時(shí)發(fā)現(xiàn)企業(yè)信息安全管理中存在的問(wèn)題和不足。必須加強(qiáng)對(duì)企業(yè)信息安全管理的重視，切實(shí)意識(shí)到信息安全管理對(duì)于企業(yè)發(fā)展的重要性，加大資金投入，確保企業(yè)信息安全管理良好運(yùn)作。

2.2 加強(qiáng)人員的素質(zhì)培訓(xùn)

人才對(duì)于企事業(yè)單位的發(fā)展具有不容忽視的作用。單位的競(jìng)爭(zhēng)歸根結(jié)底是人才的競(jìng)爭(zhēng)。信息安全管理人員的素質(zhì)對(duì)于企業(yè)的發(fā)展具有重要作用，具有良好素質(zhì)的信息安全管理人員可以促進(jìn)企業(yè)的快速發(fā)展。企業(yè)必須重視對(duì)信息安全管理人員的培訓(xùn)和投資。信息安全管理人員的投資包括設(shè)備的更新，資金的投入和專業(yè)教育的提升。同時(shí)，要鼓勵(lì)信息安全管理人員學(xué)習(xí)最新的信息安全知識(shí)，不斷更新已有知識(shí)，緊跟時(shí)代的步伐。企業(yè)不僅要注重提高信息安全管理人員的專業(yè)素養(yǎng)，也要重視對(duì)企業(yè)信息安全管理人員的道德培養(yǎng)。只有專業(yè)知識(shí)而缺乏道德素養(yǎng)的工作人員，不僅不能給企業(yè)帶來(lái)效益，反而會(huì)危害企業(yè)發(fā)展，因此必須重視企業(yè)信息安全管理人員的道德素養(yǎng)。信息安全必須不斷加強(qiáng)對(duì)信息安全管理人員的培訓(xùn)，切實(shí)全面提高信息安全管理人員素質(zhì)，增強(qiáng)信息安全管理人員靈活處理各項(xiàng)事務(wù)的能力，不斷鞏固自身基礎(chǔ)知識(shí)，培養(yǎng)信息安全管理人員的責(zé)任心和創(chuàng)新精神，真正做到與時(shí)俱進(jìn)。只有不斷提升企業(yè)的信息安全管理人員素質(zhì)，才能從整體上提升企事業(yè)單位的安全管理工作效率，促進(jìn)企業(yè)的長(zhǎng)遠(yuǎn)發(fā)展。

2.3 強(qiáng)化信息安全監(jiān)督管理

監(jiān)督工作對(duì)于企業(yè)的發(fā)展具有重要作用和意義。良好的監(jiān)督是企事業(yè)單位正?；顒?dòng)的前提。沒(méi)有完善的監(jiān)督體系，企事業(yè)單位很難確保業(yè)務(wù)的正常開展。企事業(yè)單位應(yīng)強(qiáng)化信息安全監(jiān)督工作，建立相應(yīng)的監(jiān)督管理機(jī)構(gòu)，對(duì)企業(yè)內(nèi)部各項(xiàng)經(jīng)濟(jì)活動(dòng)進(jìn)行有計(jì)劃地控制，及時(shí)發(fā)現(xiàn)企事業(yè)單位存在的問(wèn)題，同時(shí)應(yīng)加強(qiáng)信息安全管理工作，不斷提升工作效率。凡事預(yù)則立，不預(yù)則廢。除了做好信息安全管理的內(nèi)部監(jiān)督工作外，不斷加強(qiáng)信息安全管理的外部監(jiān)督工作也是十分重要的環(huán)節(jié)。外部監(jiān)督主要包括新聞媒體監(jiān)督和社會(huì)大眾監(jiān)督。企事業(yè)單位管理者要認(rèn)識(shí)到內(nèi)部管理的不足之處，認(rèn)真改正有缺陷的地方，不斷完善內(nèi)部控制建設(shè)。同時(shí)，也要不斷加強(qiáng)新聞媒體的監(jiān)督作用，發(fā)揮輿論的監(jiān)督作用。內(nèi)部控制是一項(xiàng)巨大的完整的工程，具有完善的體系和結(jié)構(gòu)，必須保證每個(gè)環(huán)節(jié)落實(shí)到位，才能確保整個(gè)體系的良性運(yùn)行，從而發(fā)揮出最大的效益。

2.4 提高信息安全管理技巧

除此之外，信息安全管理技巧對(duì)于企事業(yè)單位的發(fā)展具有重要意義。不同的控制技巧適用于不同的企事業(yè)單位，也會(huì)產(chǎn)生不同的效果。企事業(yè)單位采取適合本單位的內(nèi)部控制技巧，可以提高企事業(yè)單位的行政效率。隨著時(shí)代的發(fā)展和進(jìn)步，傳統(tǒng)的信息安全管理技巧已經(jīng)不適用于現(xiàn)代企業(yè)。因此，企業(yè)必須根據(jù)時(shí)代的發(fā)展，提升自身信息安全管理技巧，摒棄舊有落后工作模式。另外，在實(shí)施信息安全管理技巧時(shí)，必須考慮到事業(yè)單位的實(shí)際運(yùn)作情況，切忌生搬硬套。應(yīng)根據(jù)企事業(yè)單位的具體情況，有針對(duì)性地提高信息安全管理的技巧，逐步解決企事業(yè)單位在實(shí)施信息安全管理時(shí)遇到的難題。

主要參考文獻(xiàn)

[1]侯衛(wèi)超.企業(yè)信息安全現(xiàn)狀分析與管理對(duì)策[J].科技信息：科學(xué)教研，2007（28）.

[2]王超，林峰.高校校園網(wǎng)絡(luò)安全管理策略[J].科技資訊，2007（20）.

篇2

關(guān)鍵詞　信息安全；安全防護(hù)；信息保密

中圖分類號(hào)TP39　文獻(xiàn)標(biāo)識(shí)碼A　文章編號(hào)　1674-6708（2013）83-0024-02

1電力企業(yè)的信息安全

1.1什么是信息安全

信息安全是指信息網(wǎng)絡(luò)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，信息服務(wù)不中斷。

通常來(lái)說(shuō)，信息安全就是要做到五個(gè)方面內(nèi)容：一是進(jìn)不來(lái)，通過(guò)設(shè)置系統(tǒng)口令、屏?？诹畹仁箰阂馊藛T無(wú)法進(jìn)入；二是拿不走，對(duì)系統(tǒng)用戶有權(quán)限區(qū)分，低權(quán)限用戶無(wú)法越權(quán)獲取高權(quán)限用戶資料；三是看不懂，對(duì)重要文件進(jìn)行加密處理，保證信息不曝露給非法用戶；四是改不了，確保只有得到允許的人才能修改數(shù)據(jù)，其它人無(wú)法改動(dòng)；五是走不脫，使用審計(jì)、監(jiān)控等手段，使得攻擊者、破壞者無(wú)法走脫。

1.2信息安全總體要求

公司信息安全堅(jiān)持“雙網(wǎng)雙機(jī)、分區(qū)分域、安全接入、動(dòng)態(tài)感知、精益管理、全面防護(hù)”總體防護(hù)策略，執(zhí)行信息安全等級(jí)保護(hù)制度，防止因信息系統(tǒng)本身故障導(dǎo)致信息系統(tǒng)不能正常使用和系統(tǒng)崩潰，抵御黑客、病毒、惡意代碼等對(duì)信息系統(tǒng)發(fā)起的各類攻擊和破壞，防止信息內(nèi)容及數(shù)據(jù)丟失和失密，防止有害信息在網(wǎng)上傳播，防止公司對(duì)外服務(wù)中斷和由此造成的電力系統(tǒng)運(yùn)行事故。

2地市公司信息安全管理

2.1信息安全面臨的威脅

隨著信息技術(shù)的發(fā)展以及公司信息化建設(shè)的推進(jìn)，地市公司面臨的信息安全威脅越來(lái)越多樣化。目前，信息安全面臨的威脅主要有：一是人為無(wú)意失誤，如管理漏洞、安全意識(shí)不強(qiáng)，操作不當(dāng)?shù)?；二是人為惡意攻擊，如?jì)算機(jī)病毒等惡意代碼；三是軟硬件的漏洞和“后門”，如操作系統(tǒng)、數(shù)據(jù)庫(kù)及應(yīng)用系統(tǒng)本身存在的缺陷和漏洞；四是設(shè)備故障；五是自然災(zāi)害。

2.2信息安全管理

2.2.1安全制度建設(shè)

地市公司要根據(jù)上級(jí)公司的相關(guān)要求，結(jié)合本公司所面臨的信息安全威脅，從網(wǎng)絡(luò)、終端、應(yīng)用、管理等各方面建立完善一整套信息安全管理制度。管理制度主要包括：《計(jì)算機(jī)機(jī)房安全管理制度》、《安全責(zé)任制度》、《網(wǎng)絡(luò)安全制度》、《系統(tǒng)安全風(fēng)險(xiǎn)管理和應(yīng)急處置制度》、《操作權(quán)限管理制度》、《用戶登記制度》、《重要設(shè)備、介質(zhì)管理制度》、《信息審查、登記、保存、清除和備份制度》等等。這些信息安全制度在公司信息安全工作中起著根本性、指導(dǎo)性和全局性的作用。

地市公司要根據(jù)實(shí)際情況制定信息安全通報(bào)制度，加大全體員工對(duì)信息安全的重視程度，提高信息安全的管理效率。通報(bào)分為例行通報(bào)、緊急通報(bào)兩類，通報(bào)內(nèi)容包括：一是圍繞信息安全考核指標(biāo)的日常工作；二是信息安全的專項(xiàng)工作；三是信息安全事件的預(yù)警、響應(yīng)、研判和處置情況。

地市公司要建立信息安全監(jiān)督制度，要求各單位、部門對(duì)危害信息安全的各類危險(xiǎn)源點(diǎn)進(jìn)行自查整改。信通公司作為信息安全主管部門進(jìn)行現(xiàn)場(chǎng)檢查和遠(yuǎn)程檢查。

地市公司要建立信息安全應(yīng)急處置制度。為了正確、有效和快速地處理信息安全突發(fā)事件，最大限度地減少突發(fā)事件對(duì)公司生產(chǎn)、經(jīng)營(yíng)、管理造成的損失和對(duì)社會(huì)的不良影響，需要定期修訂完善應(yīng)急預(yù)案和開展應(yīng)急演練。同時(shí)，地市公司還要定期組織全體信息運(yùn)維人員學(xué)習(xí)應(yīng)急預(yù)案，做到熟悉預(yù)案，了解如何應(yīng)對(duì)突發(fā)事件，明確各自職責(zé)和處理程序，真正確保突發(fā)事件下的信息安全。

2.2.2人才隊(duì)伍建設(shè)

信息安全工作需要必須的人力資源來(lái)支撐。地市公司要按照“誰(shuí)主管誰(shuí)負(fù)責(zé)，誰(shuí)運(yùn)營(yíng)誰(shuí)負(fù)責(zé)，誰(shuí)使用誰(shuí)負(fù)責(zé)”　的原則，落實(shí)專門機(jī)構(gòu)和人員負(fù)責(zé)信息安全工作。目前，地市公司的信息安全運(yùn)維管理由信通公司負(fù)責(zé)，主要工作包括有系統(tǒng)的安全運(yùn)維、信息安全的技術(shù)保障、信息安全事故應(yīng)急處理及員工信息安全教育等。地市公司還應(yīng)根據(jù)工作地點(diǎn)及人員分散的特點(diǎn)建立一只信息兼職隊(duì)伍。通過(guò)信息兼職隊(duì)伍的壯大及能力的提升，使信息安全邁上新的臺(tái)階。

2.2.3防護(hù)系統(tǒng)建設(shè)

安全技術(shù)是信息安全的主體，信息安全離不開安全技術(shù)的實(shí)施和安全產(chǎn)品的部署。地市公司必須要部署防火墻、入侵檢測(cè)系統(tǒng)、防病毒系統(tǒng)、桌面終端標(biāo)準(zhǔn)化管理系統(tǒng)等各種安全防護(hù)系統(tǒng)。這些系統(tǒng)的部署給信息安全提供了多層次、全方位的安全防護(hù)。

部署防病毒系統(tǒng)。Symantec　endpoint　Protection提供端點(diǎn)安全解決方案，它實(shí)現(xiàn)防病毒、防間諜軟件、防火墻、入侵防御和網(wǎng)絡(luò)威脅防護(hù)等多種功能，并且通過(guò)策略的設(shè)置，可以防范安全違規(guī)事件的發(fā)生。它具有系統(tǒng)性和主動(dòng)性的特點(diǎn)，能夠?qū)崿F(xiàn)全方位多級(jí)安全防護(hù)。

部署桌面終端管理系統(tǒng)。桌面終端系統(tǒng)應(yīng)實(shí)現(xiàn)對(duì)公司內(nèi)部終端的軟硬件、數(shù)據(jù)保密的集中化和標(biāo)準(zhǔn)化管理，提高公司內(nèi)部終端的安全性及維護(hù)管理的效率。

地市公司還應(yīng)利用在網(wǎng)絡(luò)設(shè)備上采取IP地址與MAC地址綁定的技術(shù)手段限制不明非法的設(shè)備接入到信息內(nèi)網(wǎng)中。同時(shí)，還應(yīng)制定網(wǎng)絡(luò)接入設(shè)備審批制度，嚴(yán)格控制和管理接入信息內(nèi)網(wǎng)的設(shè)備。

2.2.4系統(tǒng)安全建設(shè)

系統(tǒng)安全分為物理安全和運(yùn)行安全兩個(gè)部分。

物理安全主要是指主機(jī)存儲(chǔ)設(shè)備、網(wǎng)絡(luò)設(shè)備、安全設(shè)備及機(jī)房輔助設(shè)備安全。設(shè)備放置在專門的信息機(jī)房?jī)?nèi)，通過(guò)門禁系統(tǒng)及機(jī)房監(jiān)控系統(tǒng)保證這些設(shè)備自身的安全。地市公司應(yīng)制定機(jī)房管理、機(jī)房出入人員管理等制度，對(duì)設(shè)備安全管理、機(jī)房環(huán)境管理、人員出入訪問(wèn)控制管理等做出詳細(xì)的規(guī)定。同時(shí)，地市公司還應(yīng)指定專人負(fù)責(zé)各類設(shè)備的管理工作，定期聯(lián)系專業(yè)廠家對(duì)設(shè)備進(jìn)行巡檢，做到問(wèn)題早發(fā)現(xiàn)，早解決。

運(yùn)行安全主要是指業(yè)務(wù)應(yīng)用系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)及數(shù)據(jù)庫(kù)系統(tǒng)等運(yùn)行安全。主要系統(tǒng)應(yīng)采用雙機(jī)的方式來(lái)建設(shè)。所有的系統(tǒng)都有專人負(fù)責(zé)，地市公司定期對(duì)系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行巡視、備份等工作。同時(shí)，地市公司還要對(duì)設(shè)備的賬戶安全、網(wǎng)絡(luò)安全、服務(wù)安全、日志安全等方面開展加固工作，保障系統(tǒng)的安全穩(wěn)定運(yùn)行。

2.2.5個(gè)人安全建設(shè)

地市公司應(yīng)從管控與培訓(xùn)兩個(gè)方面開展個(gè)人信息安全建設(shè)。

所有終端設(shè)備應(yīng)統(tǒng)一安裝桌面終端管理系統(tǒng)、防病毒系統(tǒng)和補(bǔ)丁升級(jí)系統(tǒng)等安全防護(hù)系統(tǒng)。地市公司要每日安排專人監(jiān)控終端設(shè)備，發(fā)現(xiàn)問(wèn)題及時(shí)整改，保證桌面終端注冊(cè)率、防病毒安裝率，補(bǔ)丁安裝率是100%。

教育培訓(xùn)是提升員工個(gè)人信息安全意識(shí)和技術(shù)水平的重要手段。通過(guò)開展安全講座、建設(shè)專題網(wǎng)站、印發(fā)宣傳手冊(cè)和巡展宣傳展板等多種形式加強(qiáng)信息安全知識(shí)的宣傳，使每個(gè)員工懂得信息安全違規(guī)行為的防范知識(shí)。

2.2.6信息保密建設(shè)

地市公司要嚴(yán)格執(zhí)行“信息不上網(wǎng)，上網(wǎng)信息不”的保密要求，對(duì)發(fā)現(xiàn)的違規(guī)失密、泄密事件嚴(yán)肅處理。信息保密工作主要有：一是強(qiáng)化信息保密教育培訓(xùn)，使員工明確信息保密安全防護(hù)要求；二是加強(qiáng)對(duì)終端和網(wǎng)絡(luò)的保密管理，防止敏感、信息的丟失以及有害信息在網(wǎng)上傳播。

篇3

關(guān)鍵詞:企業(yè)信息化；網(wǎng)絡(luò)管理；安全問(wèn)題

前言

自中國(guó)加入世貿(mào)組織后，全球?qū)嵭薪?jīng)濟(jì)一體化，信息資源對(duì)于企業(yè)的發(fā)展經(jīng)營(yíng)顯得十分重要，企業(yè)只有盡快實(shí)施信息化戰(zhàn)略與國(guó)際接軌，才能融入到經(jīng)濟(jì)全球化的大潮中去。對(duì)于企業(yè)進(jìn)行信息化改革需要進(jìn)行一些規(guī)劃性安排。其中包含有信息資源規(guī)劃，這主要是指企業(yè)生產(chǎn)經(jīng)營(yíng)過(guò)程中所需要掌握到的所有信息，從開始采集、處理一直到傳輸、使用全過(guò)程的一個(gè)整體規(guī)劃。企業(yè)在生產(chǎn)經(jīng)營(yíng)活動(dòng)過(guò)程中，無(wú)時(shí)不刻都充斥著信息，信息資源與企業(yè)人、財(cái)、物資源同等重要，都是企業(yè)在經(jīng)營(yíng)環(huán)節(jié)中不可缺少的重要資源。而經(jīng)過(guò)長(zhǎng)期的發(fā)展，很多企業(yè)已經(jīng)開始意識(shí)到企業(yè)信息資源規(guī)劃的重要性，認(rèn)識(shí)到它是企業(yè)信息化建設(shè)的基礎(chǔ)工程。而對(duì)企業(yè)信息化安全的解決應(yīng)該建立在人員管理的基礎(chǔ)之上，致力于整個(gè)企業(yè)網(wǎng)絡(luò)管理。

1企業(yè)信息化安全與網(wǎng)絡(luò)管理

1.1網(wǎng)絡(luò)集成應(yīng)用系統(tǒng)安全

網(wǎng)絡(luò)集成應(yīng)用系統(tǒng)根據(jù)不同企業(yè)的需求呈現(xiàn)不同的情況，一些企業(yè)中的網(wǎng)絡(luò)集成應(yīng)用系統(tǒng)比較復(fù)雜。不能夠很精準(zhǔn)的估計(jì)防御對(duì)象的規(guī)模以及價(jià)值，也不能簡(jiǎn)單的對(duì)其加以標(biāo)定界限，針對(duì)這種情況，就只能夠?qū)⒕W(wǎng)絡(luò)管理安全保障的工作分解開來(lái)。落實(shí)到具體的個(gè)人，采取一系列有效的措施如主動(dòng)防御方式去進(jìn)行。而網(wǎng)絡(luò)安全信息的防御是一個(gè)保障整體網(wǎng)絡(luò)信息安全的手段，其可預(yù)見性以及靈敏性等都為工作帶來(lái)便利，在面臨網(wǎng)絡(luò)空間可能帶來(lái)的威脅的同時(shí),站在網(wǎng)絡(luò)管理者的角度上去思考，為企業(yè)網(wǎng)絡(luò)安全提供一定的保障。因此對(duì)于現(xiàn)代社會(huì)企業(yè)發(fā)展中提出的有關(guān)信息化安全問(wèn)題其范圍也十分廣泛。計(jì)算機(jī)系統(tǒng)結(jié)構(gòu)安全的信息防御，注重的是以信息參與者的人為主角的主動(dòng)型安全防御。

1.2企業(yè)人員信息技術(shù)安全

企業(yè)信息化歸根到底也是人的參與，因此對(duì)于企業(yè)在信息化過(guò)程中會(huì)遇到的信息安全問(wèn)題也需要人員引起足夠的重視。人才是企業(yè)在發(fā)展中的關(guān)鍵競(jìng)爭(zhēng)力，企業(yè)對(duì)于人才的重視程度也在日益增加，而同時(shí)也要注重企業(yè)的管理。隨著時(shí)代的發(fā)展，信息化已經(jīng)成為企業(yè)不可忽視的發(fā)展趨勢(shì)，當(dāng)企業(yè)投入大量的資金和精力去培養(yǎng)人才進(jìn)行信息化管理以及掌握信息化技術(shù)之后，更需要加強(qiáng)信息安全管理。目前是信息化時(shí)代，“信息”對(duì)于企業(yè)而言是十分重要的財(cái)富，企業(yè)信息系統(tǒng)中掌握著企業(yè)運(yùn)行經(jīng)營(yíng)的大量資源和信息，而信息系統(tǒng)的一些安全隱患大部分來(lái)源于外界的侵?jǐn)_，信息工作和管理人員個(gè)人的疏忽也容易導(dǎo)致信息的外泄，這將是對(duì)企業(yè)造成嚴(yán)重的損失。目前對(duì)于企業(yè)在信息化方面的標(biāo)準(zhǔn)有多種爭(zhēng)議，面對(duì)爭(zhēng)議我們首先要弄清楚企業(yè)目前處于什么樣的狀況，這些標(biāo)準(zhǔn)都是隨著技術(shù)水平的改進(jìn)以及管理要求的變化而變化的，因此針對(duì)這些變化，企業(yè)需要針對(duì)自身的實(shí)際情況以及實(shí)際需求進(jìn)行安全管理。

1.3網(wǎng)絡(luò)管理人員信息技術(shù)安全

企業(yè)信息化系統(tǒng)管理中最重要的一項(xiàng)安全指標(biāo)就是信息技術(shù)方面的安全，面對(duì)高要求的安全管理，對(duì)于網(wǎng)絡(luò)安全管理人員的職業(yè)素養(yǎng)以及業(yè)務(wù)能力也相應(yīng)提出了更高的要求。而企業(yè)信息化系統(tǒng)的網(wǎng)絡(luò)管理在實(shí)際的運(yùn)行過(guò)程中必定會(huì)涉及到眾多的功能模塊，面臨企業(yè)信息化系統(tǒng)中的網(wǎng)絡(luò)安全管理一般包含有四大功能模塊:配置管理、性能管理、故障管理以及安全管理。而這四大功能構(gòu)成了網(wǎng)絡(luò)安全管理的基本功能，除此基本功能之外，網(wǎng)絡(luò)管理還包括有網(wǎng)絡(luò)規(guī)劃、網(wǎng)絡(luò)操作規(guī)范等，以下就來(lái)簡(jiǎn)單分析介紹這些功能:(1)配置管理:網(wǎng)絡(luò)的配置管理要做到的是自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)拓補(bǔ)結(jié)構(gòu)，構(gòu)造和維護(hù)網(wǎng)絡(luò)系統(tǒng)的配置。時(shí)時(shí)的注意網(wǎng)絡(luò)中被管理監(jiān)測(cè)的對(duì)象狀態(tài)，對(duì)網(wǎng)絡(luò)設(shè)置中的一些設(shè)備配置的語(yǔ)法進(jìn)行檢測(cè)，對(duì)于配置進(jìn)行嚴(yán)格的檢驗(yàn)。(2)故障管理:在網(wǎng)絡(luò)運(yùn)行過(guò)程中時(shí)刻的進(jìn)行網(wǎng)絡(luò)有關(guān)事件的過(guò)濾和歸并，通過(guò)不間斷的檢測(cè)及時(shí)的發(fā)現(xiàn)在網(wǎng)絡(luò)管理以及操作過(guò)程中出現(xiàn)的一系列網(wǎng)絡(luò)故障問(wèn)題，并根據(jù)實(shí)際問(wèn)題情況尋找出有效的應(yīng)對(duì)措施和建議，提供一定的排錯(cuò)手段以及工具，逐漸形成一套完善的網(wǎng)絡(luò)故障預(yù)警和解決機(jī)制，從而減少故障給企業(yè)信息化系統(tǒng)帶來(lái)的危害和損失。(3)性能管理:性能管理是對(duì)網(wǎng)絡(luò)對(duì)象的性能方面數(shù)據(jù)進(jìn)行收集、分析以及處理功能，通過(guò)分析和收集了解網(wǎng)絡(luò)在運(yùn)行過(guò)程中的質(zhì)量安全問(wèn)題，同時(shí)掌握整個(gè)網(wǎng)絡(luò)運(yùn)行體制中的運(yùn)行狀態(tài)信息，為整個(gè)網(wǎng)絡(luò)的使用情況以及未來(lái)發(fā)展趨勢(shì)、狀況進(jìn)行一個(gè)評(píng)估，為進(jìn)一步的網(wǎng)絡(luò)規(guī)劃提供一定的參考價(jià)值。(4)安全管理:網(wǎng)絡(luò)信息的安全主要在于存儲(chǔ)在系統(tǒng)中的一些用戶信息資料以及企業(yè)內(nèi)部的資料的泄露，加強(qiáng)安全管理無(wú)疑是要加強(qiáng)用戶的認(rèn)證、訪問(wèn)控制、數(shù)據(jù)傳輸以及存儲(chǔ)保密性和完整性，保障網(wǎng)絡(luò)系統(tǒng)本身的安全。維護(hù)系統(tǒng)日志，使系統(tǒng)的使用情況以及網(wǎng)絡(luò)對(duì)象的修改都有記錄和有數(shù)據(jù)可循。加強(qiáng)對(duì)網(wǎng)絡(luò)資源的訪問(wèn)量的控制。例如有些企業(yè)在加強(qiáng)網(wǎng)絡(luò)安全管理方面為了盡量的減少不必要的漏洞，在配置管理中采用了VLAN的方式，這種方式就是將企業(yè)內(nèi)部的不同部門都劃分為各個(gè)不同的虛擬網(wǎng)段，而針對(duì)不同部門的職員設(shè)置相應(yīng)的權(quán)限，只有具有權(quán)限的職員才能進(jìn)入某一個(gè)虛擬網(wǎng)段，沒(méi)有權(quán)限的用戶無(wú)法訪問(wèn)其他網(wǎng)段。VLAN其實(shí)就相當(dāng)于是一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)，里面所有內(nèi)容都由同一個(gè)網(wǎng)線連接著，但是其中的網(wǎng)絡(luò)又可以分為不同的部分和區(qū)域。由于該方式多是通過(guò)軟件來(lái)操作實(shí)施的，因此使其具備了更多的靈活性，而該手段的最大優(yōu)勢(shì)在于提供了更多的管理控制，這相應(yīng)的減少了很大一部分的管理費(fèi)用，同時(shí)也提供了更多的配置靈活性。另外，在網(wǎng)絡(luò)管理中可以通過(guò)邊界的路由器來(lái)控制外來(lái)的用戶對(duì)網(wǎng)絡(luò)信息的訪問(wèn)，從而可以有效的防止外來(lái)用戶對(duì)本企業(yè)網(wǎng)絡(luò)的侵入和攻擊。加之前文中有提到可以加強(qiáng)網(wǎng)絡(luò)安全的預(yù)警機(jī)制。通過(guò)對(duì)告警中的危險(xiǎn)事件和信息進(jìn)行有效的分析和處理，及時(shí)發(fā)現(xiàn)可能存在的攻擊行為，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)管理中存在的安全漏洞和安全隱患，從而更好的防患于未然。當(dāng)然，在進(jìn)行這些網(wǎng)絡(luò)安全管理手段操作中可以充分借助有關(guān)的管理網(wǎng)絡(luò)的軟件，為網(wǎng)絡(luò)管理人員提供有效的技術(shù)信息和保障，而且單一的軟件絕對(duì)滿足不了網(wǎng)絡(luò)安全管理的需求，需要根據(jù)實(shí)際情況綜合運(yùn)用多種軟件形式，從而滿足不同方面和層次的需求，無(wú)論是加強(qiáng)網(wǎng)絡(luò)管理安全還是利用各種管理軟件首先必須要提高網(wǎng)絡(luò)管理人員的綜合素質(zhì)，提升其職業(yè)素養(yǎng)和計(jì)算機(jī)應(yīng)用水平，人員素質(zhì)的提升以及相關(guān)管理硬件、軟件的配套，才能從根本上解決企業(yè)信息化管理以及網(wǎng)絡(luò)安全管理中的問(wèn)題，提高其管理機(jī)制和管理水平。

2結(jié)束語(yǔ)

從本文中所闡述的眾多問(wèn)題中可以總結(jié)出，無(wú)論是網(wǎng)絡(luò)集成應(yīng)用系統(tǒng)的框架還是人員信息化和網(wǎng)絡(luò)管理者角度而言，企業(yè)信息化的安全問(wèn)題主要集中在網(wǎng)絡(luò)管理方面。而對(duì)網(wǎng)絡(luò)進(jìn)行管理的主體部分就是人員。因此加強(qiáng)網(wǎng)絡(luò)管理的安全問(wèn)題要從人員自身方面的水平以及素質(zhì)和網(wǎng)絡(luò)安全管理相關(guān)技術(shù)兩個(gè)方面著手，讓所有的網(wǎng)絡(luò)管理者在思想上意識(shí)到網(wǎng)絡(luò)安全管理的重要性。管理人員的重視才會(huì)促進(jìn)有關(guān)技術(shù)的改進(jìn)和革新，這也是我們進(jìn)行網(wǎng)絡(luò)管理的最終目的和有效保障。

參考文獻(xiàn):

[1]林鵬，葉盛元.互聯(lián)網(wǎng)與信息化安全（三）[J].華南金融電腦，2006.

[2]曲璐.信息化安全在計(jì)算機(jī)管理中的運(yùn)用探討[J].信息與電腦（理論版），2013.

篇4

首先，鑒于中小企業(yè)的特點(diǎn)，在信息安全意識(shí)培訓(xùn)過(guò)程中需要考慮兩個(gè)基本點(diǎn)。第一點(diǎn)，對(duì)全公司盡量培訓(xùn)一致的安全信息，并且這項(xiàng)計(jì)劃要由信息技術(shù)部門負(fù)責(zé)管理。中小型企業(yè)規(guī)模往往比較小，不足以實(shí)行具有不同傾向性的多種培訓(xùn)計(jì)劃。第二點(diǎn)，要清楚中小企業(yè)的大部分電腦使用者并不是專業(yè)人員，相關(guān)的培訓(xùn)應(yīng)該簡(jiǎn)單且接近企業(yè)用戶的水平。

其次，需要考慮的是中小企業(yè)信息安全方面需要培訓(xùn)哪些內(nèi)容。一般而言，需要考慮的培訓(xùn)內(nèi)容包括：用戶管理、網(wǎng)絡(luò)與電子郵件、移動(dòng)設(shè)備與便攜設(shè)備使用、對(duì)外保密、突發(fā)事件、系統(tǒng)操作安全等。

再次，需要根據(jù)自身特點(diǎn)選取適合中小企業(yè)信息安全意識(shí)的培訓(xùn)方法。一般來(lái)說(shuō)，至少有三種途徑可以用于企業(yè)進(jìn)行安全意識(shí)培訓(xùn)：一是在公司內(nèi)部尋找培訓(xùn)人員和培訓(xùn)部門，進(jìn)行內(nèi)部培訓(xùn)；二是聘請(qǐng)外部專業(yè)的培訓(xùn)公司進(jìn)行培訓(xùn)；三是考慮依托于網(wǎng)絡(luò)與電腦進(jìn)行培訓(xùn)。但以上任何一種方案都有可能會(huì)超出中小型企業(yè)的能力，這時(shí)候還要根據(jù)企業(yè)自身特點(diǎn)來(lái)安排適當(dāng)?shù)耐緩竭M(jìn)行培訓(xùn)。

那么，能滿足規(guī)模較小的中小企業(yè)提高員工信息安全意識(shí)培訓(xùn)的合理途徑是什么呢?有分析認(rèn)為，可以在以上提到的三種途徑的基礎(chǔ)上加以改動(dòng)，形成兩種可用的途徑：一是中小企業(yè)仍然可以使用內(nèi)部資源進(jìn)行范圍性培訓(xùn)或者購(gòu)買網(wǎng)絡(luò)、電腦的培訓(xùn)程序。二是中小企業(yè)可以創(chuàng)造性地在辦公室張貼些成本低的彩色安全意識(shí)海報(bào)，對(duì)員工潛移默化地培訓(xùn)。

從企業(yè)內(nèi)部來(lái)看，如果企業(yè)的信息技術(shù)部門能提供一個(gè)內(nèi)部特制的培訓(xùn)計(jì)劃是可行的。按照美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)的指導(dǎo)方針或其他材料，策劃一天或半天的課程就足以使員工認(rèn)識(shí)到有關(guān)電腦安全的一些重要問(wèn)題。從企業(yè)外部來(lái)看，目前市場(chǎng)上也有不少專門面向中小型企業(yè)、價(jià)格合理的基于網(wǎng)絡(luò)和電腦安全相關(guān)的培訓(xùn)。無(wú)論如何，需要考慮企業(yè)自身承受能力與受培訓(xùn)者的接受能力，根據(jù)實(shí)際情況來(lái)進(jìn)行選擇。

篇5

 

隨著社會(huì)經(jīng)濟(jì)的不斷發(fā)展，網(wǎng)絡(luò)時(shí)代逐漸進(jìn)入人們的生活，計(jì)算機(jī)被運(yùn)用在了各個(gè)領(lǐng)域中，成為促進(jìn)社會(huì)發(fā)展的重要媒介。而與此同時(shí)，企業(yè)信息安全問(wèn)題也逐漸凸顯出來(lái)，嚴(yán)重阻礙了企業(yè)的可持續(xù)發(fā)展，因此，在網(wǎng)絡(luò)時(shí)代背景下研究企業(yè)安全風(fēng)險(xiǎn)和控制具有重要意義。

 

1 企業(yè)信息安全相關(guān)概述

 

1.1 信息安全的含義

 

迄今為止，對(duì)信息安全依然沒(méi)有一個(gè)統(tǒng)一和公認(rèn)的定義。但是從國(guó)內(nèi)外研究來(lái)看，對(duì)其主要存在2種說(shuō)法：一種指的是具體信息安全技術(shù)系統(tǒng)的安全;而另一種則指的是某些特定的信息體系的安全。上述2種定義主要站在靜態(tài)的角度上闡述了信息安全的基本層面，但是信息系統(tǒng)和網(wǎng)絡(luò)的影響決定了信息安全是一個(gè)動(dòng)態(tài)的改變，其主要是防止企業(yè)信息遭到惡意泄露、破壞、更改[1]。信息安全的最終目的是向合法的對(duì)象提供安全、可靠的信息。

 

1.2 信息安全在企業(yè)中發(fā)揮的重要作用

 

企業(yè)信息作為企業(yè)的寶貴資源，保證企業(yè)信息的安全性對(duì)企業(yè)的生存和發(fā)展具有重要作用，主要體現(xiàn)在以下3個(gè)方面：一是企業(yè)信息安全是保障企業(yè)正常運(yùn)行的基本前提。在網(wǎng)絡(luò)時(shí)代背景下，企業(yè)信息安全的內(nèi)容更廣泛，再加上現(xiàn)代企業(yè)制度的不斷建立和完善，越來(lái)越多的企業(yè)依靠信息數(shù)據(jù)庫(kù)開展各項(xiàng)工作，例如：對(duì)于市場(chǎng)情況的分析、做出重大決策等等。二是保障企業(yè)信息安全是提高企業(yè)市場(chǎng)競(jìng)爭(zhēng)力的必備條件。隨著市場(chǎng)經(jīng)濟(jì)的不斷完善，企業(yè)面臨的競(jìng)爭(zhēng)也越來(lái)越激烈，在這種形勢(shì)下，企業(yè)要想獲取市場(chǎng)競(jìng)爭(zhēng)優(yōu)勢(shì)就需要依靠信息安全來(lái)實(shí)現(xiàn)。三是企業(yè)信息安全作為企業(yè)發(fā)展戰(zhàn)略中重要的組成部分，而企業(yè)實(shí)施各項(xiàng)戰(zhàn)略主要是通過(guò)自身的經(jīng)營(yíng)活動(dòng)、財(cái)務(wù)信息等開展的，這些數(shù)據(jù)也能夠?qū)⑵髽I(yè)的戰(zhàn)略實(shí)施方法以及下一步計(jì)劃詳細(xì)地反應(yīng)出來(lái)，因此，如果企業(yè)的信息安全無(wú)法得到保障，那么企業(yè)要實(shí)施各項(xiàng)戰(zhàn)略難度也很大。

 

2 網(wǎng)絡(luò)時(shí)代下企業(yè)信息安全風(fēng)險(xiǎn)分析

 

2.1 缺乏高度的信息安全風(fēng)險(xiǎn)意識(shí)

 

在網(wǎng)絡(luò)時(shí)代的浪潮下，很多企業(yè)都在逐步加強(qiáng)自身信息安全的建設(shè)，通過(guò)加大資金投入、創(chuàng)新技術(shù)等措施來(lái)保障自身的信息安全，然而，對(duì)信息風(fēng)險(xiǎn)的控制并非僅僅依靠技術(shù)就可以實(shí)現(xiàn)，更重要的是人們要樹立起信息安全的風(fēng)險(xiǎn)意識(shí)。但是從當(dāng)前來(lái)看，還有很大一部分企業(yè)的領(lǐng)導(dǎo)者、管理者、員工缺乏對(duì)信息安全風(fēng)險(xiǎn)的高度重視，主要表現(xiàn)在：個(gè)別人甚至片面地認(rèn)為信息安全僅僅是網(wǎng)絡(luò)部門的責(zé)任，跟自身沒(méi)有多大關(guān)系;二是有個(gè)別企業(yè)領(lǐng)導(dǎo)者認(rèn)為對(duì)信息安全的宣傳過(guò)度夸張，遭受網(wǎng)絡(luò)攻擊的概率小，一般不會(huì)發(fā)生在自己身上;三是個(gè)別企業(yè)沒(méi)有建立信息安全風(fēng)險(xiǎn)管理體系，再加上企業(yè)缺乏具體的故障系統(tǒng)，導(dǎo)致企業(yè)信息安全遭到風(fēng)險(xiǎn)時(shí)，員工往往手足無(wú)措，雖說(shuō)有些企業(yè)針對(duì)自身的信息安全制定了一系列規(guī)章和制度，但是由于缺乏針對(duì)性和操作性，導(dǎo)致這些制度無(wú)法得到真正落實(shí)。

 

2.2 應(yīng)用系統(tǒng)的安全性不高

 

企業(yè)要實(shí)現(xiàn)信息化建設(shè)的目的，少不了各種應(yīng)用系統(tǒng)作支撐，但是從實(shí)際情況來(lái)看，很多企業(yè)還存在著應(yīng)用系統(tǒng)的安全性不高等問(wèn)題，進(jìn)而導(dǎo)致企業(yè)在數(shù)據(jù)傳輸和存儲(chǔ)等方面存在漏洞。如此容易被一些病毒、惡意軟件竊取，實(shí)現(xiàn)非法訪問(wèn)，進(jìn)而引發(fā)企業(yè)信息丟失或者泄露等安全風(fēng)險(xiǎn)。另外，很多企業(yè)應(yīng)用系統(tǒng)的安全方模式也較為單一，絕大部分主要是采用“口令”的方式進(jìn)行認(rèn)證，無(wú)法實(shí)現(xiàn)對(duì)信息安全全方位的防范。另外，企業(yè)設(shè)置的密碼過(guò)于簡(jiǎn)單、操作不規(guī)范等等都會(huì)增加應(yīng)用系統(tǒng)安全的風(fēng)險(xiǎn)。

 

2.3 技術(shù)設(shè)備和設(shè)施的作用發(fā)揮不足

 

個(gè)別企業(yè)為了防范信息安全風(fēng)險(xiǎn)，針對(duì)一些重要信息設(shè)置了安全設(shè)備，但是由于操作條件和參數(shù)設(shè)施不夠合理，無(wú)法將這些設(shè)備的作用充分發(fā)揮出來(lái)。還有很多企業(yè)沒(méi)有通過(guò)建立工作日志來(lái)對(duì)安全設(shè)備、設(shè)施的運(yùn)行情況進(jìn)行監(jiān)控，進(jìn)而不能根據(jù)企業(yè)的經(jīng)營(yíng)情況對(duì)信息安全進(jìn)行風(fēng)險(xiǎn)控制，更無(wú)法采取有效措施保障企業(yè)風(fēng)險(xiǎn)管理。

 

3 網(wǎng)絡(luò)時(shí)代下控制企業(yè)信息安全風(fēng)險(xiǎn)途徑分析

 

3.1 加強(qiáng)信息安全教育，提高信息安全風(fēng)險(xiǎn)意識(shí)

 

由于在企業(yè)信息安全控制中，提高員工的信息安全意識(shí)是保證企業(yè)信息安全的決定性因素，因此，企業(yè)應(yīng)該加強(qiáng)對(duì)員工的信息安全教育，幫助員工樹立起信息安全風(fēng)險(xiǎn)意識(shí)，例如：企業(yè)可以利用一些重大節(jié)日開展關(guān)于信息安全的演講比賽、征文比賽，也可以通過(guò)建立適當(dāng)?shù)募?lì)制度以及開展培訓(xùn)活動(dòng)等途徑來(lái)加強(qiáng)員工對(duì)信息安全重要性的認(rèn)識(shí)，進(jìn)而提高自身的信息安全風(fēng)險(xiǎn)防范意識(shí)和觀念。

 

3.2 加強(qiáng)信息化建設(shè)，設(shè)置信息安全管理部門

 

在企業(yè)信息化建設(shè)中，信息安全作為重要的基礎(chǔ)，企業(yè)要強(qiáng)化自身的內(nèi)部控制，就應(yīng)該落實(shí)信息安全的建設(shè)工作。加強(qiáng)信息化建設(shè)首先需要企業(yè)將信息安全納入安全管理范圍內(nèi)，進(jìn)而突出信息安全建設(shè)管理的重要地位;然后不斷健全信息安全的責(zé)任制度，爭(zhēng)取形成信息安全聯(lián)動(dòng)管理機(jī)制，確保信息安全管理的有效性;最后，在企業(yè)中設(shè)置信息安全管理機(jī)構(gòu)，該部分的主要職能為企業(yè)信息安全建設(shè)、管理以及員工的信息安全教育培訓(xùn)工作等，從而為企業(yè)的信息安全風(fēng)險(xiǎn)控制創(chuàng)建一個(gè)良好的內(nèi)部環(huán)境[2]。

 

3.3 運(yùn)用新技術(shù)，加強(qiáng)信息安全風(fēng)險(xiǎn)防范

 

當(dāng)前控制信息安全風(fēng)險(xiǎn)常見的主要有VPN技術(shù)和防火墻技術(shù)：(1)VPN技術(shù)。VPN主要指的是在公共網(wǎng)絡(luò)的虛擬專用網(wǎng)絡(luò)中建立一個(gè)臨時(shí)的安全鏈接，在通常情況下，對(duì)VPN內(nèi)部進(jìn)行擴(kuò)展可以實(shí)現(xiàn)遠(yuǎn)程操作，建立一條分公司、商業(yè)合作商和供應(yīng)商跟公司內(nèi)部網(wǎng)絡(luò)安全聯(lián)系，從而確保信息交換的安全性，保證數(shù)據(jù)傳輸?shù)陌踩浴?2)防火墻技術(shù)。防火墻也被稱為訪問(wèn)控制系統(tǒng)，主要是通過(guò)對(duì)網(wǎng)絡(luò)做拓?fù)浣Y(jié)構(gòu)和服務(wù)類型上的隔離來(lái)保障網(wǎng)絡(luò)安全。運(yùn)用防火墻技術(shù)可以保證企業(yè)的內(nèi)部網(wǎng)絡(luò)免受外部網(wǎng)絡(luò)的侵占，并阻斷非法訪問(wèn)的外部網(wǎng)絡(luò)進(jìn)入企業(yè)內(nèi)部網(wǎng)絡(luò)，保證企業(yè)信息和資源的安全。

 

4 結(jié) 語(yǔ)

 

總之，網(wǎng)絡(luò)時(shí)代的產(chǎn)生為企業(yè)發(fā)展創(chuàng)造了新的模式和發(fā)展契機(jī)，但與此同時(shí)，企業(yè)的信息安全也面臨著很大的威脅，在很大程度上制約了企業(yè)的可持續(xù)發(fā)展。要實(shí)現(xiàn)對(duì)企業(yè)信息安全風(fēng)險(xiǎn)的控制，首先應(yīng)該找準(zhǔn)企業(yè)信息安全的風(fēng)險(xiǎn)點(diǎn)，然后采取對(duì)應(yīng)措施，如：加強(qiáng)信息安全教育、加強(qiáng)信息化建設(shè)、運(yùn)用新技術(shù)等幾個(gè)方面來(lái)控制信息安全風(fēng)險(xiǎn)。

 

作者：袁亮 來(lái)源：中國(guó)管理信息化 2015年17期

篇6

如何建立一套針對(duì)企業(yè)自身特點(diǎn)的信息系統(tǒng)安全體系，最大程度地保證其正常運(yùn)營(yíng)，這不是一個(gè)單純的技術(shù)問(wèn)題，而是一個(gè)把管理、安全技術(shù)、審計(jì)等多種因素集成于于一體的系統(tǒng)工程。因此，企業(yè)管理層需要在企業(yè)發(fā)展策略中，高度重視信息安全技術(shù)、信息安全管理和審計(jì)工作，不僅要在信息系統(tǒng)的軟硬件上下功夫，而且不能忽略相關(guān)審計(jì)工作，加強(qiáng)風(fēng)險(xiǎn)排查，這樣才能對(duì)企業(yè)的業(yè)務(wù)發(fā)展做到同步支持。

1.信息系統(tǒng)安全技術(shù)

信息系統(tǒng)安全技術(shù)作為信息系統(tǒng)安全體系的基礎(chǔ)，在其中起到支撐的作用。在實(shí)際工作中，針對(duì)企業(yè)各自特點(diǎn)制定相關(guān)策略。當(dāng)前企業(yè)信息系統(tǒng)安全的現(xiàn)狀和面臨的主要問(wèn)題如下：

1.1硬件運(yùn)維

硬件設(shè)備的運(yùn)維和管理是企業(yè)信息系統(tǒng)安全體系的基礎(chǔ)保障，但是管理人員容易忽視這一環(huán)節(jié)。企業(yè)信息系統(tǒng)往往會(huì)因?yàn)橛布O(shè)備故障、斷電或網(wǎng)絡(luò)問(wèn)題造成信息丟失或服務(wù)中斷。如果針對(duì)硬件設(shè)備的運(yùn)維和管理沒(méi)有相關(guān)保障機(jī)制，一次發(fā)生意外，就會(huì)給企業(yè)造成不可估量的損失。

當(dāng)前常見的硬件設(shè)備運(yùn)維保障管理機(jī)制有以下幾個(gè)環(huán)節(jié)：一是通過(guò)設(shè)置UPS不間斷電源保障系統(tǒng)硬件的持續(xù)性運(yùn)行；二是要對(duì)企業(yè)信息系統(tǒng)中的網(wǎng)絡(luò)設(shè)備進(jìn)行定期巡檢，在前期的網(wǎng)絡(luò)環(huán)境部署過(guò)程中首先考慮網(wǎng)絡(luò)的連接穩(wěn)定性；最后是加強(qiáng)信息系統(tǒng)安全管理，嚴(yán)防企業(yè)信息丟失和竊取，可以通過(guò)對(duì)數(shù)據(jù)信息存儲(chǔ)服務(wù)器設(shè)置物理鎖的方式避免非法操作。為了保證系統(tǒng)服務(wù)器的安全，管理人員可以采用遠(yuǎn)程登錄的方式訪問(wèn)系統(tǒng)。

1.2入侵防御

病毒入侵一般都擁有固定代碼，而入侵威脅是由非法人員需要得知信息系統(tǒng)的漏洞，從而進(jìn)行人為操縱的信息竊取或系統(tǒng)攻擊。特定的防范方法包括：嚴(yán)格制定防火墻訪問(wèn)控制策略，阻止外界對(duì)內(nèi)部資源的非法訪問(wèn)；關(guān)閉系統(tǒng)硬件不用的端口；定期對(duì)系統(tǒng)進(jìn)行漏洞掃描和補(bǔ)丁包更新；在信息系統(tǒng)中部署入侵檢測(cè)系統(tǒng)（IDS）和入侵防御系統(tǒng)（IPS），從而抵御非法入侵。

1.3病毒防范

信息系統(tǒng)的安全配置和管理人員的正規(guī)操作對(duì)于信息系統(tǒng)病毒的防范非常重要。操作系統(tǒng)是企業(yè)信息平臺(tái)安全的基礎(chǔ)，錯(cuò)誤的安裝配置會(huì)使病毒滲入到信息系統(tǒng)當(dāng)中。針對(duì)信息系統(tǒng)安裝殺毒軟件并進(jìn)行定期更新是病毒防范的基本措施，這樣可以保證系統(tǒng)基本的安全性與穩(wěn)定性。企業(yè)還需要定期對(duì)系統(tǒng)進(jìn)行數(shù)據(jù)備份。

1.4數(shù)據(jù)加密

在公共網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)傳輸?shù)倪^(guò)程中，利用虛擬專用網(wǎng)（VPN）技術(shù)設(shè)置訪問(wèn)控制策略，實(shí)現(xiàn)兩個(gè)或多個(gè)可信網(wǎng)絡(luò)之間的數(shù)據(jù)加密與傳輸。搭建VPN通常使用加密防火墻和路由器，保證數(shù)據(jù)安全傳輸[1]。

在企業(yè)的局域網(wǎng)中針對(duì)內(nèi)部信息存儲(chǔ)、傳輸?shù)陌踩珕?wèn)題，可以通過(guò)部署安全服務(wù)器來(lái)實(shí)現(xiàn)包括對(duì)局域網(wǎng)內(nèi)資源的管理控制、用戶的管理和所有安全相關(guān)事件的跟蹤和審計(jì)。

2.信息系統(tǒng)安全管理

企業(yè)信息系統(tǒng)安全體系的建設(shè)三分靠技術(shù)，七分靠管理。因此，建立和完善管理制度是保障企業(yè)信息系統(tǒng)安全的關(guān)鍵和重點(diǎn)。

2.1制定企業(yè)信息系統(tǒng)安全管理制度

企業(yè)信息系統(tǒng)安全體系的建立和實(shí)施對(duì)其正常運(yùn)營(yíng)非常重要，所有一切的信息系統(tǒng)安全工作都要以公司制定的企業(yè)信息系統(tǒng)安全管理制度為基準(zhǔn)。

2.2提高企業(yè)員工信息系統(tǒng)安全意識(shí)

現(xiàn)實(shí)中企業(yè)管理者的關(guān)注焦點(diǎn)大多是生產(chǎn)上的安全，信息安全沒(méi)有得到足夠的重視。實(shí)際上，企業(yè)員工信息安全意識(shí)的高低，在企業(yè)的信息系統(tǒng)安全體系建設(shè)中起很大作用，企業(yè)能夠加強(qiáng)員工的信息安全意識(shí)，將很大地提高信息系統(tǒng)安全體系實(shí)施的成效。

2.3嚴(yán)格執(zhí)行標(biāo)準(zhǔn)，強(qiáng)化制度落實(shí)

在企業(yè)信息系統(tǒng)安全體系的建設(shè)過(guò)程中，必須嚴(yán)格按照信息系統(tǒng)安全操作規(guī)程和管理措施執(zhí)行，最大程度消除信息系統(tǒng)安全隱患。若發(fā)現(xiàn)信息系統(tǒng)安全隱患，及時(shí)按照相關(guān)操作規(guī)程處置[2]。

2.4積極學(xué)習(xí)和應(yīng)對(duì)各種信息系統(tǒng)安全事件

信息技術(shù)不斷發(fā)展，保障信息系統(tǒng)安全的難度也在與日俱增。因此，信息系統(tǒng)安全管理必須要求企業(yè)管理人員不斷學(xué)習(xí)，不僅要制定一套完整嚴(yán)密的信息系統(tǒng)安全管理方案，還要有步驟清晰、操作性強(qiáng)的應(yīng)急預(yù)案，這樣才能增強(qiáng)信息系統(tǒng)安全管理的危機(jī)抵御能力和處理能力。

2.5構(gòu)建信息系統(tǒng)安全環(huán)境平臺(tái)

面對(duì)日漸嚴(yán)峻的信息安全形勢(shì)，在加強(qiáng)企業(yè)信息系統(tǒng)基礎(chǔ)安全設(shè)施建設(shè)的同時(shí)，要有機(jī)結(jié)合員工信息安全意識(shí)、技術(shù)能力、企業(yè)運(yùn)維管理三者，建立一套綜合性強(qiáng)的信息系統(tǒng)安全保障體系，在所有的業(yè)務(wù)系統(tǒng)中貫徹執(zhí)行當(dāng)前的安全管理思路，通過(guò)可量化的技術(shù)手段，達(dá)到信息系統(tǒng)安全管理的最終目的。

3.信息系統(tǒng)安全審計(jì)

企業(yè)信息系統(tǒng)安全體系的建設(shè)是一個(gè)長(zhǎng)期的、需要不斷持續(xù)更新、完善的系統(tǒng)工程，通過(guò)對(duì)信息系統(tǒng)的安全審計(jì)，及時(shí)發(fā)現(xiàn)和解決企業(yè)信息系統(tǒng)安全體系的漏洞，才能不斷提高企業(yè)安全水平和質(zhì)量。如何建立和執(zhí)行企業(yè)信息系統(tǒng)安全審計(jì)，有效加強(qiáng)企業(yè)內(nèi)部的信息系統(tǒng)安全管理和風(fēng)險(xiǎn)控制，滿足相關(guān)政策法規(guī)，成為各行業(yè)面臨的普遍問(wèn)題[3]。

信息系統(tǒng)安全審計(jì)是指一群擁有相關(guān)信息安全專業(yè)技能和商業(yè)知識(shí)的審計(jì)人員對(duì)企業(yè)安全風(fēng)險(xiǎn)以及如何應(yīng)對(duì)風(fēng)險(xiǎn)措施進(jìn)行評(píng)估的一個(gè)過(guò)程。信息系統(tǒng)安全審計(jì)人員通過(guò)收集、分析、評(píng)估信息系統(tǒng)安全信息，掌握其安全狀態(tài)，制定安全策略，將系統(tǒng)調(diào)整到“最安全”和“最小風(fēng)險(xiǎn)”的狀態(tài)，確保信息系統(tǒng)安全體系完整、合理、適用[4]。

由于目前信息系統(tǒng)應(yīng)用已經(jīng)涉及到企業(yè)的各個(gè)業(yè)務(wù)和辦公領(lǐng)域，對(duì)于信息系統(tǒng)帶來(lái)的安全管理已經(jīng)是企業(yè)運(yùn)營(yíng)不可切割的一部分。所以，企業(yè)的信息系統(tǒng)安全審計(jì)應(yīng)該是一個(gè)從業(yè)務(wù)部門到技術(shù)部門都必須參與控制的過(guò)程。

從信息系統(tǒng)本身來(lái)說(shuō)，安全審計(jì)的要點(diǎn)主要是以下兩個(gè)方面：

3.1數(shù)據(jù)及數(shù)據(jù)傳輸審計(jì)

數(shù)據(jù)是信息系統(tǒng)的重要資產(chǎn)，保護(hù)數(shù)據(jù)的安全、完整，避免其被惡意破壞、盜竊。對(duì)用戶身份進(jìn)行控制，避免非授權(quán)訪問(wèn)數(shù)據(jù)，是數(shù)據(jù)訪問(wèn)環(huán)節(jié)的安全控制措施。除此之外，對(duì)數(shù)據(jù)的操作和保存也是數(shù)據(jù)安全控制的重要環(huán)節(jié)。首先，應(yīng)雇傭具備任職資格或經(jīng)過(guò)適當(dāng)培訓(xùn)的人員，避免誤操作；其次，所有操作都應(yīng)該經(jīng)過(guò)授權(quán)且有記錄，數(shù)據(jù)文件被正確保存且經(jīng)過(guò)充分備份，以備正確的恢復(fù)。

在信息系統(tǒng)中，有些數(shù)據(jù)需要在兩個(gè)子系統(tǒng)或多個(gè)子系統(tǒng)中相互傳輸，在這個(gè)過(guò)程中很可能會(huì)出現(xiàn)問(wèn)題，尤其是在需要手工錄入或同步傳輸?shù)那闆r，因此在進(jìn)行信息系統(tǒng)安全審計(jì)的過(guò)程中要重點(diǎn)關(guān)注以下方面：數(shù)據(jù)在傳輸?shù)倪^(guò)程中可能會(huì)發(fā)生變化，如何進(jìn)行校驗(yàn)；核心數(shù)據(jù)庫(kù)可能會(huì)被物理分散的服務(wù)器取代；當(dāng)一個(gè)信息系統(tǒng)取代原有的信息系統(tǒng)時(shí)，會(huì)進(jìn)行數(shù)據(jù)的傳輸。要保證傳輸?shù)臄?shù)據(jù)是完整、可靠并且經(jīng)過(guò)批準(zhǔn)的，數(shù)據(jù)的全部傳輸過(guò)程要準(zhǔn)確，并且在約定時(shí)間內(nèi)完成。

3.2內(nèi)部控制審計(jì)

內(nèi)部控制審計(jì)是企業(yè)為實(shí)現(xiàn)管理目標(biāo)而形成的自律系統(tǒng)。在審計(jì)過(guò)程中要對(duì)審計(jì)對(duì)象的系統(tǒng)環(huán)境是否符合要求、規(guī)程制度是否完善、執(zhí)行情況是否到位進(jìn)行審查。在信息系統(tǒng)中，可以通過(guò)檢查以下幾個(gè)方面來(lái)驗(yàn)證企業(yè)內(nèi)控制度和執(zhí)行的效果：（1）控制信息系統(tǒng)的資源存儲(chǔ)，包括物理存儲(chǔ)資源存儲(chǔ)（終端、連接盒、服務(wù)器、相關(guān)文檔等）和邏輯資源存儲(chǔ)（軟件、系統(tǒng)文件、表和數(shù)據(jù)等）。（2）把控信息系統(tǒng)資源的使用。用戶的新增、變化、刪除必須經(jīng)過(guò)授權(quán)，用戶只能對(duì)其授權(quán)范圍內(nèi)的資源進(jìn)行操作。（3）按一定標(biāo)準(zhǔn)劃分信息系統(tǒng)資源?？梢韵到y(tǒng)資源的濫用、數(shù)據(jù)的非法修改以及減少人為誤操作。（4）身份和訪問(wèn)控制審計(jì)。按照時(shí)間順序建立一個(gè)檔案簿，包含信息的創(chuàng)建、修改和刪除的詳細(xì)過(guò)程及其操作人員。它采用的是授權(quán)證明，控制什么人什么時(shí)候訪問(wèn)了什么數(shù)據(jù)。（5）確認(rèn)處理過(guò)程的準(zhǔn)確性。（6）管理人員對(duì)信息系統(tǒng)的所有修改都應(yīng)該保證是經(jīng)過(guò)授權(quán)、評(píng)估和審核，并且有記錄文檔，保證風(fēng)險(xiǎn)最低且有效控制。（7）入侵防御審計(jì)。入侵防御涵蓋的范圍遠(yuǎn)廣于傳統(tǒng)的入侵檢測(cè)。入侵防御策略的合理設(shè)置會(huì)把風(fēng)險(xiǎn)縮小到最小范圍。（8）漏洞和病毒管理審計(jì)。定期檢查系統(tǒng)漏洞和防病毒措施，根據(jù)具體問(wèn)題原因進(jìn)行分析處置，及時(shí)采取相關(guān)措施。

篇7

【關(guān)鍵詞】企業(yè) 信息安全管理 對(duì)策

信息安全管理是指通過(guò)保證信息資產(chǎn)的機(jī)密性、完整性和可用性來(lái)保護(hù)和維護(hù)企業(yè)所有信息資產(chǎn)的一系列管理活動(dòng)，是完整的企業(yè)組織管理體系的重要組成部分。其主要包括制定信息安全政策、風(fēng)險(xiǎn)評(píng)估、控制目標(biāo)與方式選擇、制定規(guī)范的操作流程、對(duì)人員進(jìn)行安全意識(shí)培訓(xùn)等一系列工作。

知識(shí)經(jīng)濟(jì)時(shí)代，企業(yè)內(nèi)部各部門之間以及企業(yè)與外部之間的交流與合作日益頻繁，且對(duì)計(jì)算機(jī)信息技術(shù)的依賴也日益明顯，使得信息安全問(wèn)題成為眾多企業(yè)的關(guān)注焦點(diǎn)。

企業(yè)的許多信息，包括一些戰(zhàn)略規(guī)劃的重要信息，均以電子文件形式存儲(chǔ)，而這些信息在存儲(chǔ)、處理以及傳輸過(guò)程中都有可能被非法截取、惡意破壞以及篡改，損失難以想象。保障信息系統(tǒng)的安全在企業(yè)的建設(shè)和發(fā)展當(dāng)中具有重要的作用。信息安全管理是確保信息系統(tǒng)順利運(yùn)行的有力武器。通過(guò)建立信息安全體系及相應(yīng)的規(guī)范機(jī)制，如加強(qiáng)對(duì)人員的管理、提升人員安全意識(shí)、促進(jìn)軟件和操作系統(tǒng)的操作及建設(shè)相關(guān)網(wǎng)絡(luò)等，就可以建立起完善的信息安全系統(tǒng)，促進(jìn)企業(yè)在知識(shí)經(jīng)濟(jì)時(shí)代平穩(wěn)、快速和健康的發(fā)展。

一　目前信息安全管理中存在的隱患

1．信息管理的安全意識(shí)方面

在傳統(tǒng)的企業(yè)生產(chǎn)中，企業(yè)所應(yīng)具有的基本生產(chǎn)要素主要有設(shè)備、原材料、人員和制度幾個(gè)方面。但隨著信息技術(shù)的發(fā)展，信息的重要性也日益突顯，從而也成為企業(yè)發(fā)展的基本要素之一。根據(jù)以往經(jīng)驗(yàn)來(lái)看，企業(yè)對(duì)信息安全的重視程度還遠(yuǎn)遠(yuǎn)不夠，表現(xiàn)在對(duì)企業(yè)信息的安全保護(hù)很不到位，這無(wú)疑給企業(yè)帶來(lái)了很大的損失。所以，企業(yè)必須要加強(qiáng)對(duì)信息安全的保護(hù)，建立起一套完善的信息安全體系來(lái)保證企業(yè)的信息安全。

2．缺乏統(tǒng)一的安全體系規(guī)劃和安全防范機(jī)制

目前，“頭痛醫(yī)頭、腳痛醫(yī)腳”的現(xiàn)象十分普遍，原因在于眼于局部而忽視整體。企業(yè)只是在網(wǎng)絡(luò)中安裝了一些安全設(shè)備，卻未形成統(tǒng)一的安全策略及相關(guān)規(guī)劃方案。企業(yè)在建設(shè)信息化的過(guò)程中通常采取先開展業(yè)務(wù)，后關(guān)注安全的策略，使得安全的管理遠(yuǎn)遠(yuǎn)落后于開展業(yè)務(wù)發(fā)展。而由于缺少整體性的規(guī)劃，使得企業(yè)在問(wèn)題已經(jīng)出現(xiàn)時(shí)才去彌補(bǔ)，對(duì)于安全建設(shè)只能用“亡羊補(bǔ)牢”來(lái)形容。

3．信息安全產(chǎn)品本身存在的問(wèn)題

大多數(shù)企業(yè)通常在建設(shè)信息安全系統(tǒng)的過(guò)程中就采用了一些保證信息安全的產(chǎn)品。但并不是說(shuō)使用了相關(guān)安全產(chǎn)品信息系統(tǒng)就安全了，因?yàn)橛?jì)算機(jī)系統(tǒng)所存在的一些安全隱患除了是由信息安全產(chǎn)品本身所具有的漏洞引起的之外，人員在使用信息安全產(chǎn)品的過(guò)程中所造成的操作失誤及用戶配置的錯(cuò)誤也會(huì)對(duì)其產(chǎn)生影響。所以企業(yè)不僅要重視安全產(chǎn)品自身的問(wèn)題，也要重視系統(tǒng)的操作與應(yīng)用過(guò)程。

4．資金投入不夠，缺乏安全技術(shù)人才

要想建構(gòu)起完善的信息安全體系，企業(yè)不僅要投入大量的資金，而且同時(shí)要引進(jìn)一批高端的IT人才，組建一支專業(yè)建設(shè)信息安全的團(tuán)隊(duì)。但遺憾的是，很多企業(yè)并未意識(shí)到信息安全的重要性，所以在資金投入方面很是不足，比如說(shuō)，使用的電子郵箱和殺毒軟件等往往都是免費(fèi)的，也沒(méi)有構(gòu)建防火墻，這使得企業(yè)的信息安全得不到充分地保障。此外，雖然一些企業(yè)投資引進(jìn)了一些硬件設(shè)施，但對(duì)軟件的重視不足，表現(xiàn)為投入的滯后性，從而阻礙了硬件設(shè)施發(fā)揮應(yīng)有的功能。

還有一個(gè)問(wèn)題，大部分企業(yè)在加強(qiáng)信息安全建設(shè)的過(guò)程中，通常都把注意力集中在搭建網(wǎng)絡(luò)平臺(tái)及硬件的選擇上了，卻忽視了對(duì)人才的引入和培養(yǎng)。具體表現(xiàn)在許多企業(yè)缺乏信息技術(shù)人才，而相關(guān)專業(yè)人才更是不足。按照要求，一個(gè)信息系統(tǒng)的運(yùn)作應(yīng)該由幾個(gè)技術(shù)人才相互配合、共同操作，但實(shí)際上卻恰恰相反，企業(yè)中的一個(gè)信息管理人員往往負(fù)責(zé)大量的操作，不僅要負(fù)責(zé)配置系統(tǒng)，還要負(fù)責(zé)管理系統(tǒng)的安全，導(dǎo)致對(duì)安全的設(shè)置和監(jiān)督由一個(gè)人負(fù)責(zé)，任務(wù)繁重。

二　加強(qiáng)企業(yè)信息安全管理的途徑

1．注重人員安全管理，提升信息安全意識(shí)

具體的操作人員在信息系統(tǒng)的建設(shè)和運(yùn)行過(guò)程中必不可少，人既是管理者又是被管理者，因?yàn)樗麄儾粌H要建設(shè)和應(yīng)用計(jì)算機(jī)系統(tǒng)，而且也信息管理的對(duì)象。所以在信息安全系統(tǒng)的管理中，最重要的就是對(duì)人員的安全管理，做到這一點(diǎn)要從以下幾個(gè)方面來(lái)進(jìn)行：要建立一個(gè)安全的組織結(jié)構(gòu)，對(duì)安全職能加以確認(rèn)，審查人員的安全狀況，和安全人員簽訂相關(guān)的保密合同，加強(qiáng)離職人員的安全管理等。

企業(yè)要對(duì)員工加強(qiáng)有關(guān)信息安全的教育，增強(qiáng)他們的安全意識(shí)。保障企業(yè)的信息安全是每個(gè)職工應(yīng)盡的義務(wù)。信息安全不是一種技術(shù)而是一種意識(shí)，所以僅從技術(shù)層面是無(wú)法保證企業(yè)的信息安全的。加強(qiáng)安全教育要企業(yè)要做到以下幾個(gè)方面，首先，加強(qiáng)員工的教育培訓(xùn)、普及互聯(lián)網(wǎng)和信息安全的相關(guān)知識(shí)、提升員工的安全意識(shí)并增強(qiáng)其防范能力，使整體員工都有一種為企業(yè)信息安全負(fù)責(zé)的意識(shí)。其次通過(guò)定期舉行有關(guān)信息安全的報(bào)告和講座等，使企業(yè)自上而下都形成安全意識(shí)并銘記于心。通過(guò)上述兩種途徑可以使企業(yè)的信息安全工作順利的開展。

2．建立、健全信息安全防范體系

對(duì)于企業(yè)中信息安全的管理機(jī)制及防護(hù)規(guī)范的發(fā)展和完善，可以使企業(yè)中的那些至關(guān)重要的信息得到很好的保護(hù)。即使信息系統(tǒng)遭到入侵也能夠保證企業(yè)業(yè)務(wù)的順利進(jìn)行，可以極大地降低企業(yè)的損失。

第一，提高安全系統(tǒng)的應(yīng)急能力，這就要求建立和完善相應(yīng)的應(yīng)急管理機(jī)制，并制定應(yīng)急預(yù)案。

第二，企業(yè)要建立起一個(gè)網(wǎng)絡(luò)和信息安全管理的平臺(tái)，在網(wǎng)絡(luò)內(nèi)外部署相關(guān)的信息安全設(shè)施，比如要加強(qiáng)網(wǎng)絡(luò)的安全性管理，在網(wǎng)絡(luò)中設(shè)置一些控制訪問(wèn)的策略，并對(duì)網(wǎng)絡(luò)的安全使用加以規(guī)范，具體來(lái)說(shuō)就是要安裝避免病毒入侵的軟件，對(duì)網(wǎng)絡(luò)經(jīng)常進(jìn)行檢測(cè)，提高防火墻的性能等。

第三，建立機(jī)制對(duì)信息安全進(jìn)行集中化管理。如數(shù)據(jù)安全控制和加密密鑰的集中化管理，前者可以做到自上而下的全面執(zhí)行企業(yè)的安全防范策略，后者可以降低人為原因?qū)е碌臄?shù)據(jù)安全的風(fēng)險(xiǎn)，并可以保證不與其他的加密策略發(fā)生沖突，實(shí)現(xiàn)兼容。

第四，企業(yè)還要重視對(duì)于異地?cái)?shù)據(jù)的備份工作及當(dāng)遇到意外情況時(shí)可以實(shí)現(xiàn)信息恢復(fù)的機(jī)制設(shè)計(jì)，因?yàn)檫@可以保障信息系統(tǒng)的安全運(yùn)行。

第五，重視風(fēng)險(xiǎn)評(píng)估工作。這要求企業(yè)在平時(shí)要對(duì)信息系統(tǒng)的安全性進(jìn)行定期的評(píng)估，以提高企業(yè)抵御風(fēng)險(xiǎn)的能力。

3．健全用戶權(quán)限和上網(wǎng)管理制度

企業(yè)信息安全管理工作的一個(gè)重點(diǎn)就是要建立并完善用戶瀏覽的權(quán)限及網(wǎng)上管理的制度設(shè)計(jì)，并使之得到嚴(yán)格地執(zhí)行。同時(shí)隨著企業(yè)的發(fā)展和業(yè)務(wù)系統(tǒng)的完善要不斷對(duì)其補(bǔ)充和修正。

首先，對(duì)用戶權(quán)限的管理加以完善。這就要求企業(yè)改變以往把每個(gè)員工都當(dāng)成管理員可以隨意瀏覽信息的狀況，要將每個(gè)員工的權(quán)限加以明確并保證最小，減少他們對(duì)信息系統(tǒng)的操作從而在最大程度上保證系統(tǒng)的安全。

其次，要限制員工的上網(wǎng)行為。在信息化時(shí)代，要想控制眾多員工上網(wǎng)的行為，就必須要從管理和技術(shù)兩個(gè)方面來(lái)實(shí)現(xiàn)。此外，要嚴(yán)格檢測(cè)和控制那些從外部傳來(lái)的文件，防止它們給企業(yè)內(nèi)部的網(wǎng)絡(luò)帶來(lái)病毒。

4．進(jìn)一步健全、監(jiān)管第三方服務(wù)體系

由于對(duì)信息安全的擔(dān)憂和對(duì)服務(wù)質(zhì)量的懷疑，大部分企業(yè)都不愿意采取第三方提供的服務(wù)體系。在企業(yè)中，信息安全工作至關(guān)重要，如果不小心泄露了企業(yè)的重要資料，就會(huì)給企業(yè)帶來(lái)致命的打擊。

政府應(yīng)發(fā)揮作用加強(qiáng)有關(guān)第三方的法律法規(guī)建設(shè)并制定行業(yè)標(biāo)準(zhǔn)，排除企業(yè)對(duì)第三方的疑慮。企業(yè)應(yīng)加強(qiáng)與第三方的合作，雙方共同努力建設(shè)起符合企業(yè)特點(diǎn)的信息安全體系，使得企業(yè)的信息安全能夠獲得最有力的保證。企業(yè)應(yīng)設(shè)立專門的監(jiān)察職位，主要負(fù)責(zé)監(jiān)督、檢查企業(yè)管理信息系統(tǒng)的運(yùn)行情況并直接向企業(yè)總經(jīng)理負(fù)責(zé)。因其“第三者”的角色，可更加客觀、公正對(duì)企業(yè)信息安全以及業(yè)務(wù)流程進(jìn)行監(jiān)察，及時(shí)發(fā)現(xiàn)信息安全隱患。

5．加大建設(shè)資金投入，完善軟件硬件建設(shè)

要想順利建成企業(yè)的信息安全體系，大量的資金投入是必不可少的。企業(yè)應(yīng)投入足夠的資金來(lái)購(gòu)買相應(yīng)的設(shè)備，如相關(guān)軟件和服務(wù)器等，同時(shí)企業(yè)也可以采取外包的形式。

首先，在加強(qiáng)硬件設(shè)施方面，企業(yè)可以應(yīng)用加密系統(tǒng)來(lái)保護(hù)有關(guān)的口令、文檔及網(wǎng)內(nèi)的重要數(shù)據(jù)。這樣我們就可以更有針對(duì)性的在網(wǎng)上傳輸數(shù)據(jù)。加密管理有三種類型，即端點(diǎn)、節(jié)點(diǎn)和鏈路加密，企業(yè)可以根據(jù)自己的實(shí)際情況從其中進(jìn)行選擇。特別是在控制信息系統(tǒng)開發(fā)的過(guò)程中就應(yīng)滲透信息安全保護(hù)機(jī)制，從根本上預(yù)防信息安全隱患。

其次，加強(qiáng)軟件建設(shè)，最主要的就是采取積極有效的措施使操作系統(tǒng)的安全性得到最大程度的保護(hù)。具體來(lái)說(shuō)就是要對(duì)有關(guān)信息管理的各種軟件定期加以更新，保證數(shù)據(jù)庫(kù)和終端的操作系統(tǒng)的版本保持一致，這不僅有利于加強(qiáng)管理，而且可以提高系統(tǒng)的防御功能

此外，要做到經(jīng)常性的數(shù)據(jù)備份，選用高強(qiáng)度口令保護(hù)賬號(hào)安全，針對(duì)不同賬號(hào)設(shè)定不同密令，經(jīng)常更新殺毒軟件及補(bǔ)丁以及在局域網(wǎng)與互聯(lián)網(wǎng)之間安裝防火墻，并周期性的對(duì)文件進(jìn)行排查，及時(shí)發(fā)現(xiàn)已感染病毒的文件以及信息丟失的現(xiàn)象。

企業(yè)的信息安全管理是一個(gè)動(dòng)態(tài)的過(guò)程，要隨時(shí)代的發(fā)展而不斷加以創(chuàng)新。因此，我們必須不斷探索加強(qiáng)信息安全管理的思路和方法，并對(duì)逐步構(gòu)建起相對(duì)完善、高效、可靠的信息安全管理體系，定期對(duì)企業(yè)的信息安全風(fēng)險(xiǎn)和信息安全管理水平進(jìn)行評(píng)估。

參考文獻(xiàn)

篇8

關(guān)鍵詞：化工企業(yè)　安全管理　問(wèn)題　創(chuàng)新

一、前言

近幾年，由于化工企業(yè)科學(xué)技術(shù)的快速發(fā)展，為其下游產(chǎn)品提供了多種類型的原材料，這樣一來(lái)，生產(chǎn)規(guī)模與強(qiáng)度得到了快速提高，與此同時(shí)，生產(chǎn)過(guò)程中含有易燃、易爆、毒性較強(qiáng)的有機(jī)物的比例越來(lái)越大?；馂?zāi)、爆炸等安全事故發(fā)生的概率也逐漸增大，并且事故原因越來(lái)越復(fù)雜。近年來(lái)，我國(guó)化工企業(yè)頻繁出現(xiàn)安全事故，不僅使企業(yè)蒙受了巨大的經(jīng)濟(jì)損失，而且也給國(guó)家?guī)?lái)一定的經(jīng)濟(jì)損失，由此看來(lái)，加強(qiáng)化工企業(yè)的安全管理是非常有必要的。本文主要對(duì)當(dāng)前我國(guó)化工企業(yè)安全管理存在的問(wèn)題進(jìn)行了深入的探討和分析，同時(shí)對(duì)化工企業(yè)安全管理的創(chuàng)新進(jìn)行了詳細(xì)闡述，以便提高化工企業(yè)安全管理工作的質(zhì)量。

二、當(dāng)前我國(guó)化工企業(yè)安全管理存在的諸多問(wèn)題

1.人為因素是導(dǎo)致安全事故發(fā)生的主要原因之一

根據(jù)安全事故管理部分的統(tǒng)計(jì)分析得出，因人的不安全行為導(dǎo)致安全事故發(fā)生的比例占大多數(shù)。其主要表現(xiàn)在以下幾點(diǎn)：沒(méi)有嚴(yán)格按照操作規(guī)程進(jìn)行操作；沒(méi)有及時(shí)發(fā)現(xiàn)異常情況，或者沒(méi)有及時(shí)采取有效的措施加以處理；操作過(guò)程不能集中精力；隨意放置易燃、易爆產(chǎn)品；管理人員缺少必要的管理方面的知識(shí)等。上述這些都將會(huì)導(dǎo)致化工企業(yè)出現(xiàn)不同程度的安全事故，給國(guó)家與企業(yè)造成巨大的經(jīng)濟(jì)損失。

2.沒(méi)有落實(shí)安全管理制度

大多數(shù)化工企業(yè)都是生產(chǎn)易燃、易爆的產(chǎn)品，因此，化工企業(yè)必須要認(rèn)真貫徹相關(guān)的安全生產(chǎn)法律法規(guī)、安全管理制度等。然而，在實(shí)際生產(chǎn)過(guò)程中，雖然化工企業(yè)對(duì)上述法律法規(guī)、安全管理制度等都會(huì)會(huì)議或者培訓(xùn)期間對(duì)員工加以教育，其形式有多種多樣，例如：電視、廣播等，加大了對(duì)安全事故的宣傳力度，同時(shí)各個(gè)分公司、班組等都制定了相應(yīng)的安全管理制度，然而，卻不能阻礙安全事故的出現(xiàn)，這主要是因?yàn)樯a(chǎn)重于安全，人情大于制度，這樣便使，在生產(chǎn)過(guò)程中法律法規(guī)、安全制度等的作用都大打折扣，導(dǎo)致各種安全事故的發(fā)生。

3.生產(chǎn)設(shè)備過(guò)于落后

近年來(lái)，產(chǎn)品結(jié)構(gòu)的不斷更新，使得原有的設(shè)備不能再滿足當(dāng)前社會(huì)生產(chǎn)的需求。再加上，因資金、供需矛盾等因素的影響，導(dǎo)致很多化工企業(yè)沒(méi)有能力購(gòu)買更為先進(jìn)的生產(chǎn)設(shè)備，沒(méi)有將危險(xiǎn)品的生產(chǎn)轉(zhuǎn)向現(xiàn)代化的機(jī)械設(shè)備生產(chǎn)，這在一定程度上直接制約了我國(guó)化工企業(yè)的發(fā)展，而且也給安全事故的發(fā)生帶來(lái)了可能。

三、對(duì)化工企業(yè)安全管理的創(chuàng)新分析

1.安全管理觀念的創(chuàng)新

1.1避免安全管理的形式化

現(xiàn)如今，大多數(shù)的化工企業(yè)的安全管理思想都只停留在思想意識(shí)的教育階段，一直都是講安全，然而卻沒(méi)有付諸于實(shí)際行動(dòng)。自每次會(huì)議上都要談到安全問(wèn)題，因此，安全在各職工頭腦中出現(xiàn)的概率較高。此做法主要是為了提高員工的安全意識(shí)方面，發(fā)揮了巨大作用；當(dāng)已經(jīng)完全發(fā)揮出此作用后，仍然將安全工作作為生產(chǎn)的重點(diǎn)工作來(lái)抓，那么就會(huì)使現(xiàn)狀與實(shí)際相互脫離，此時(shí)的安全工作也只是流于形式。由此看來(lái)，化工企業(yè)要避免安全管理的形式化，在大多數(shù)的私營(yíng)化工企業(yè)中，存在嚴(yán)重的形式管理思想，只講不做。過(guò)多的形式會(huì)使我們耗費(fèi)更多的精力，對(duì)工作帶來(lái)一些負(fù)面影響。

1.2要有科學(xué)的管理態(tài)度

事實(shí)上，安全管理和其它管理工作有很大的不同，可以說(shuō)，安全管理是風(fēng)險(xiǎn)管理，重點(diǎn)在于概率出現(xiàn)的大小，可以就是說(shuō)，不存在絕對(duì)的安全。我們要杜絕兩種錯(cuò)誤的思想：第一，將安全工作看成是一種風(fēng)險(xiǎn)，因此，只是靠運(yùn)氣，沒(méi)有及時(shí)尋找控制方法，在企業(yè)發(fā)生安全事故后便自認(rèn)倒霉；第二，想達(dá)到絕對(duì)安全，不能有小概率安全事故出現(xiàn)，其控制能力完全和實(shí)際不相符合。所以，這兩種極端思想是錯(cuò)誤的，必須要樹立正確的安全管理思想。在當(dāng)今社會(huì)，只有科學(xué)的安全管理措施，才能降低安全事故出現(xiàn)的頻率。

2.安全管理方法的創(chuàng)新

2.1防范為主，重視結(jié)果

由于安全管理創(chuàng)新是受企業(yè)的發(fā)展特點(diǎn)的限制，化工生產(chǎn)安全管理必須實(shí)施全方面、全過(guò)程的管理，將軟件和硬件實(shí)行共同管理。所以，化工企業(yè)安全管理創(chuàng)新始終堅(jiān)持防范為主，重視結(jié)果的原則。不管是從完善設(shè)備、措施等條件下，還是推行新技術(shù)都要堅(jiān)持預(yù)防為主要目標(biāo)，提高安全系數(shù)，盡管在出現(xiàn)錯(cuò)誤操作的情況下，也能有效避免安全事故的出現(xiàn)。

2.2建立并完善安全管理機(jī)制

要建立以法人為首的安全生產(chǎn)責(zé)任制，將安全生產(chǎn)的責(zé)任具體到個(gè)人，從而建立一套完善的安全管理體系。同時(shí)，建立安全生產(chǎn)管理部門，明確員工的職責(zé)，使安全生產(chǎn)管理機(jī)制長(zhǎng)期、有效的運(yùn)行下去。

2.3抓好安全管理的基本工作

在建立完善的安全管理制度的同時(shí)還要進(jìn)一步加強(qiáng)安全信息管理，認(rèn)真做好記錄、整理和加工的工作，同時(shí)還要熟練掌握安全工作中違反規(guī)定的情況，分析出現(xiàn)異常情況的各種參數(shù)資料，掌握安全事故發(fā)生的規(guī)律，在加強(qiáng)安全生產(chǎn)的同時(shí)，必須要將制度落實(shí)到位。

四、結(jié)束語(yǔ)

總體來(lái)說(shuō)，近年來(lái)，我國(guó)化工企業(yè)頻繁出現(xiàn)安全事故，不僅使企業(yè)蒙受了巨大的經(jīng)濟(jì)損失，而且也給國(guó)家?guī)?lái)一定的經(jīng)濟(jì)損失，由此看來(lái)，加強(qiáng)化工企業(yè)的安全管理是非常有必要的。化工生產(chǎn)過(guò)程中的安全事故的發(fā)生是由多種因素引起的，但是，這些影響因素不能很快都解決掉，盡管采用非常高效的管理方法，也需要一定的時(shí)間，逐漸改善各種復(fù)雜因素的影響，這樣才能顯現(xiàn)出一定的效果，將安全事故消除在萌芽狀態(tài)。

參考文獻(xiàn)

[1]黃德亨.化工企業(yè)安全網(wǎng)格化管理的思考與實(shí)踐[J].化學(xué)世界,2008(8).

篇9

信息安全是指在信息傳導(dǎo)和應(yīng)用過(guò)程中必須保障信息的秘密性和可靠性，其實(shí)質(zhì)就是要保障信息系統(tǒng)和信息網(wǎng)絡(luò)中的信息資源免遭各種類型的破壞。國(guó)際標(biāo)準(zhǔn)化組織(ISO)把信息安全定義為“信息的完整性、可用性、保密性和可靠性”。

信息技術(shù)在企業(yè)管理、生產(chǎn)管理和過(guò)程管理中的應(yīng)用，提高了企業(yè)的生產(chǎn)運(yùn)行和經(jīng)營(yíng)管理水平。但在信息網(wǎng)絡(luò)安全體系層面，不少企業(yè)卻面臨著風(fēng)險(xiǎn)：

1.網(wǎng)絡(luò)邊界安全風(fēng)險(xiǎn)。不同安全域之間的網(wǎng)絡(luò)連接沒(méi)有有效訪問(wèn)控制措施，來(lái)自互聯(lián)網(wǎng)的訪問(wèn)存在潛在的掃描攻擊、DOS攻擊、非法侵入等。

2.業(yè)務(wù)安全風(fēng)險(xiǎn)。缺乏嚴(yán)格的驗(yàn)證機(jī)制，導(dǎo)致非法用戶使用關(guān)鍵業(yè)務(wù)系統(tǒng)，不同業(yè)務(wù)系統(tǒng)之間缺少較細(xì)粒度的訪問(wèn)控制。

3.數(shù)據(jù)傳輸?shù)陌踩L(fēng)險(xiǎn)。企業(yè)的數(shù)據(jù)通過(guò)互聯(lián)網(wǎng)傳輸時(shí)被竊聽。

4.系統(tǒng)基礎(chǔ)平臺(tái)安全風(fēng)險(xiǎn)。全網(wǎng)所有終端和服務(wù)器的平臺(tái)安全、系統(tǒng)或設(shè)備的安全漏洞所帶來(lái)的風(fēng)險(xiǎn)。

5.病毒安全風(fēng)險(xiǎn)。全網(wǎng)任何一點(diǎn)感染病毒都將帶來(lái)巨大的破壞，網(wǎng)絡(luò)化的環(huán)境需要網(wǎng)絡(luò)化的防病毒方案及多層次的防護(hù)體系。

信息安全不僅僅是技術(shù)上的問(wèn)題，更多地涉及到安全管理層面。加強(qiáng)信息安全的管理是企業(yè)建立信息安全體系的一個(gè)重要部分。

全面的安全防護(hù)體系是保證企業(yè)信息網(wǎng)絡(luò)安全運(yùn)行的根本，是對(duì)現(xiàn)有的網(wǎng)絡(luò)、系統(tǒng)和數(shù)據(jù)進(jìn)行有效的保護(hù)和加固。安全防護(hù)體系的建設(shè)需要使用當(dāng)前的各種安全技術(shù)和安全產(chǎn)品，要有重點(diǎn)地布置安全產(chǎn)品。

1.劃分安全區(qū)域并制定明確的邊界訪問(wèn)制度，根據(jù)數(shù)據(jù)敏感程度，在關(guān)鍵業(yè)務(wù)網(wǎng)段處部署網(wǎng)閘系統(tǒng)，在管理和辦公網(wǎng)段以及其他出口處部署防火墻系統(tǒng)，實(shí)現(xiàn)嚴(yán)格的訪問(wèn)控制機(jī)制。

2.建立網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，增強(qiáng)審計(jì)響應(yīng)手段，提高對(duì)異常行為的深度檢測(cè)以及對(duì)安全事件的集中分析、定位和追查能力。

3.建立網(wǎng)絡(luò)入侵保護(hù)系統(tǒng)，在出口處對(duì)網(wǎng)絡(luò)流量進(jìn)行檢測(cè)，并實(shí)時(shí)阻斷來(lái)自外部或內(nèi)部的各種攻擊，同時(shí)凈化網(wǎng)絡(luò)流量。

4.構(gòu)建節(jié)點(diǎn)間的VPN體系，保護(hù)在節(jié)日間數(shù)據(jù)傳輸?shù)臋C(jī)密性、完整性和可認(rèn)證性。

5.部署漏洞掃描系統(tǒng)，檢查網(wǎng)絡(luò)，系統(tǒng)以及終端存在的弱點(diǎn)和漏洞。

6.建立網(wǎng)絡(luò)防病毒體系，以增強(qiáng)全網(wǎng)抗病毒和防蠕蟲攻擊的能力。

7.在對(duì)外信息系統(tǒng)前部署抗拒絕服務(wù)系統(tǒng)，抵御來(lái)自外部的各種拒絕服務(wù)攻擊。

8.建立數(shù)據(jù)備份系統(tǒng)，提高關(guān)鍵業(yè)務(wù)數(shù)據(jù)的可用性。

9.部署集中的認(rèn)證系統(tǒng)，實(shí)現(xiàn)認(rèn)證信息的集中存儲(chǔ)與鑒權(quán)控制。

完善的安全管理策略是對(duì)企業(yè)信息網(wǎng)絡(luò)安全進(jìn)行可控管理的關(guān)鍵，安全管理策略的建設(shè)包括以下內(nèi)容：

1.制定完善的信息安全規(guī)章制度，規(guī)范整個(gè)企業(yè)對(duì)網(wǎng)絡(luò)以及信息系統(tǒng)的使用。

2.定期對(duì)全網(wǎng)進(jìn)行安全評(píng)估和加固，通過(guò)安全評(píng)估，實(shí)時(shí)了解和掌握整個(gè)網(wǎng)絡(luò)的安全現(xiàn)狀，通過(guò)安全加固使網(wǎng)絡(luò)和系統(tǒng)更加健壯。

3.建立內(nèi)網(wǎng)安全管理系統(tǒng)，從終端安全、桌面管理、行為監(jiān)控、網(wǎng)絡(luò)準(zhǔn)人控制等方面對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行保護(hù)，加強(qiáng)對(duì)內(nèi)部網(wǎng)絡(luò)和系統(tǒng)的管理。

4.建立一套完備的應(yīng)急響應(yīng)機(jī)制，以便在遇到突發(fā)事件時(shí)可以及時(shí)響應(yīng)并解決問(wèn)題。

篇10

摘要：本文從企業(yè)信息化建設(shè)中遇到的各種安全狀況著手，分析產(chǎn)生這些現(xiàn)象的原因，最后給出解決方案。

關(guān)鍵詞：信息安全；網(wǎng)絡(luò)安全；信息化

遵循著摩爾定律，IT技術(shù)的發(fā)展飛速千里，硬件、軟件、網(wǎng)絡(luò)、安全等技術(shù)日新月異。正所謂任何事物都具有兩面性。它造福著人類的同時(shí)，也給人們留下了許多隱患。

隨著信息技術(shù)的發(fā)展，我國(guó)大中型企業(yè)基本上都實(shí)現(xiàn)了信息化，各企業(yè)對(duì)信息化都非常重視。但是，很多企業(yè)在信息化建設(shè)中存在很多誤區(qū)，信息化建設(shè)的任務(wù)主要集中在了財(cái)務(wù)系統(tǒng)、公司網(wǎng)站、企業(yè)郵箱、辦公自動(dòng)化、ERP等初級(jí)階段，信息安全沒(méi)有得到足夠重視。

1企業(yè)信息安全中常遇到的幾類問(wèn)題

下面概要談一下企業(yè)信息安全中常遇到的幾類問(wèn)題：

(1)移動(dòng)存儲(chǔ)：最近兩年的u盤容量呈爆炸性增長(zhǎng)，幾G、幾十G的U盤已經(jīng)比較常見。按照現(xiàn)在U盤讀寫速率，一分鐘拷貝走幾百M(fèi)b的東西不成問(wèn)題。在辦公時(shí)間里很多工作人員沒(méi)有養(yǎng)成人走鎖機(jī)的習(xí)慣，這就造成了一個(gè)潛在的安全威脅。其他的移動(dòng)存儲(chǔ)器，比如：移動(dòng)砸盤、存儲(chǔ)卡、MP3播放器等，同樣具有拷貝文件的功能。

移動(dòng)存儲(chǔ)連接上電腦以后，還有另外一個(gè)威脅，就是把存儲(chǔ)在自身的病毒、木馬等自動(dòng)復(fù)制到電腦上，為信息安全埋下隱患。

(2)網(wǎng)絡(luò)：現(xiàn)在基本上已是互聯(lián)網(wǎng)絡(luò)時(shí)代。互聯(lián)網(wǎng)的發(fā)展為病毒、木馬、黑客等的發(fā)展提供了最好的溫床。通過(guò)電子郵件，或者即時(shí)通訊軟件，幾個(gè)G的文件很容易被轉(zhuǎn)移到外部。同時(shí)網(wǎng)絡(luò)中也存在著木馬威脅，頑強(qiáng)的木馬可使整個(gè)公司網(wǎng)絡(luò)癱瘓，造成的經(jīng)濟(jì)損失數(shù)額巨大，成為一段時(shí)間以來(lái)危害網(wǎng)絡(luò)安全的罪魁禍?zhǔn)?。作為企業(yè)用戶，不應(yīng)隨意打開來(lái)歷不明的郵件；不要隨意下載和運(yùn)行來(lái)歷不明的軟件；及時(shí)修補(bǔ)漏洞和關(guān)閉可疑端口；及時(shí)升級(jí)病毒庫(kù)；設(shè)置復(fù)雜型密碼等。

(3)內(nèi)部因素：內(nèi)部人員的不保密性，商業(yè)間諜的出現(xiàn)，為企業(yè)信息外傳提供可能。職員辭職后帶走部分企業(yè)機(jī)密信息的不在少數(shù)。很多有價(jià)值的資料，在不經(jīng)意間已經(jīng)流出公司。

(4)外部因素：比如說(shuō)。A公司有零件需要B公司加工，A公司會(huì)把加工圖紙發(fā)送給B公司，而B公司有可能把加工圖紙泄漏給A公司的競(jìng)爭(zhēng)對(duì)手C公司。C公司對(duì)這份圖紙得來(lái)全不費(fèi)功夫。

(5)不可測(cè)因素：例如最近的地震。有可能造成公司數(shù)據(jù)資料的丟失；服務(wù)器的癱瘓，對(duì)企業(yè)的正常運(yùn)轉(zhuǎn)，信息的傳遞，都造成了不可估計(jì)的影響。

2產(chǎn)生這些問(wèn)題的原因

一方面，沒(méi)有信息安全方面的觀念。在現(xiàn)在的企業(yè)信息化建設(shè)過(guò)程中，財(cái)務(wù)軟件、人力資源管理軟件、ERP軟件等比較受歡迎，因?yàn)檫@些軟件直接參與企業(yè)的生產(chǎn)經(jīng)營(yíng)活動(dòng)，而對(duì)信息安全方面關(guān)注的人比較少。

另一方面，因?yàn)楣芾?、技術(shù)、人員、制度的不健全。

(1)管理：沒(méi)有完善的管理方法，管理人員專注于企業(yè)的生產(chǎn)經(jīng)營(yíng)。對(duì)企業(yè)的信息安全無(wú)暇顧及。

(2)技術(shù)：信息技術(shù)的發(fā)展，帶來(lái)了很多新技術(shù)，這些新技術(shù)沒(méi)有經(jīng)過(guò)時(shí)間的檢驗(yàn)，很可能在以后的發(fā)展過(guò)程中成為一個(gè)隱患。另外，信息安全的技術(shù)很多種，不是少數(shù)幾個(gè)人能掌握得了的。所以，搞信息化建設(shè)的專業(yè)人才，要不斷學(xué)習(xí)。不斷提高自身水平。

(3)人員：由于企業(yè)對(duì)信息安全重視程度不高，對(duì)信息安全人員的需求度不高，基本上沒(méi)有設(shè)置專業(yè)的信息安全崗位。企業(yè)中其他職員。是計(jì)算機(jī)普通使用者，沒(méi)有形成良好的安全習(xí)慣。給有企圖的人留下了可乘之機(jī)。

(4)制度：關(guān)于信息安全的制度不健全。即使有，信息安全方面的行為準(zhǔn)則也是一紙空文，無(wú)法嚴(yán)格執(zhí)行。

這些原因構(gòu)成了信息安全隱患的主要部分。針對(duì)這些原因下手?？梢蕴岣咂髽I(yè)的信息安全度。

3解決這些問(wèn)題的方法

我們可以從以下幾個(gè)方面進(jìn)行解決：

我們要對(duì)企業(yè)信息安全建立整體架構(gòu)規(guī)劃，首先要了解企業(yè)的信息安全需求。企業(yè)的信息安全需求，以可用性、完整性、保密性為基礎(chǔ)。實(shí)施信息安全要注意一個(gè)度的問(wèn)題，比方說(shuō)，產(chǎn)品圖紙的信息價(jià)值一百萬(wàn)元，而我們花費(fèi)兩百萬(wàn)元對(duì)它進(jìn)行保護(hù)。這就顛倒了主次，混淆了本末。我們?nèi)绾尾拍苤牢覀兊男畔r(jià)值，可以借助于價(jià)值評(píng)估來(lái)完成。

企業(yè)信息安全架構(gòu)規(guī)劃可以從信息安全的不同領(lǐng)域：物理安全、系統(tǒng)安全、數(shù)據(jù)安全、網(wǎng)絡(luò)安全、應(yīng)用安全等各個(gè)領(lǐng)域分別解決。

3.1物理安全

企業(yè)信息安全的物理安全的風(fēng)險(xiǎn)是多種多樣的。主要是指地震、水災(zāi)、火災(zāi)等環(huán)境事故；電源故障；人為操作失誤或錯(cuò)誤：設(shè)備被盜、被毀；電磁干擾；線路截獲。我們要有針對(duì)性的解決：服務(wù)器要有專門的專業(yè)機(jī)房，能防雷、防靜電、防灰塵、防盜；客戶機(jī)要確保計(jì)算機(jī)主機(jī)的安全，防止丟失電腦配件或者整機(jī)。

3.2系統(tǒng)安全

包含計(jì)算機(jī)操作系統(tǒng)安全及在系統(tǒng)架構(gòu)上的軟件安全。沒(méi)有絕對(duì)安全的操作系統(tǒng)，只有相對(duì)安全的操作系統(tǒng)。計(jì)算機(jī)上最好能安裝正版操作系統(tǒng)，并及時(shí)下載補(bǔ)丁升級(jí)。對(duì)操作系統(tǒng)平臺(tái)進(jìn)行安全配置，對(duì)操作和訪問(wèn)權(quán)限進(jìn)行嚴(yán)格控制，以確保把系統(tǒng)的危險(xiǎn)降低到最低。應(yīng)用軟件方面。盡量安裝大型軟件公司出品的產(chǎn)品。免費(fèi)軟件、共享軟件、破解軟件等有安全隱患沒(méi)有通過(guò)安全驗(yàn)證的軟件，盡量不要安裝。安裝的軟件要盡量避免與計(jì)算機(jī)內(nèi)已有的軟件發(fā)生沖突，以免引起系統(tǒng)不能穩(wěn)定運(yùn)行，頻繁死機(jī)重啟，造成數(shù)據(jù)丟失。

3.3數(shù)據(jù)安全

重要的文檔要加密。密碼在方便記憶的情況下，越復(fù)雜越好。重要數(shù)據(jù)要“狡兔三窟”，除了在本機(jī)有，還要做好備份工作。定期做好數(shù)據(jù)的備份工作，當(dāng)計(jì)算機(jī)發(fā)生故障時(shí)，可以將損失減少到最低。

3.4網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全是一個(gè)熱門的話題。下面我們就幾種網(wǎng)絡(luò)安全基礎(chǔ)防護(hù)設(shè)施作一下介紹，它主要包含防火墻、入侵檢測(cè)、漏洞掃描、病毒防治等。

(1)防火墻

防火墻指的是一個(gè)由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障。

防火墻是網(wǎng)絡(luò)安全的屏障，它可以強(qiáng)化網(wǎng)絡(luò)安全策略，可以對(duì)網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行監(jiān)控審計(jì)，同時(shí)可以防止內(nèi)部信息的外泄。

(2)入侵檢測(cè)系統(tǒng)

入侵檢測(cè)系統(tǒng)(Intrusion-detection system，下稱“l(fā)DS'’)是一種對(duì)網(wǎng)絡(luò)傳輸進(jìn)行即時(shí)監(jiān)視。在發(fā)現(xiàn)可疑傳輸時(shí)發(fā)出警報(bào)或者采取主動(dòng)反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。它與其他網(wǎng)絡(luò)安全設(shè)備的不同之處在于，IDS是一種積極主動(dòng)的安全防護(hù)技術(shù)。

(3)漏洞掃描系統(tǒng)

漏洞掃描系統(tǒng)是一種系統(tǒng)安全評(píng)估技術(shù)，它包括網(wǎng)絡(luò)模擬攻擊、漏洞測(cè)試、報(bào)告服務(wù)進(jìn)程以及評(píng)測(cè)風(fēng)險(xiǎn)，提供安全建議和改進(jìn)措施等功能。

(4)防病毒系統(tǒng)

對(duì)付病毒最理想的辦法是預(yù)防，就是不讓病毒進(jìn)入系統(tǒng)。但這個(gè)目標(biāo)不可能實(shí)現(xiàn)，只能通過(guò)加強(qiáng)預(yù)防措施來(lái)減少病毒攻擊的成功次數(shù)。

世界上沒(méi)有完美的防病毒系統(tǒng)，國(guó)內(nèi)和國(guó)外的都有其特點(diǎn)。一般來(lái)說(shuō)，國(guó)外的技術(shù)先進(jìn)，國(guó)內(nèi)的有本地化優(yōu)勢(shì)。具體選擇哪款，要綜合考慮。但沒(méi)有能通殺所有病毒的殺毒軟件，并且，殺毒軟件要經(jīng)常更新病毒庫(kù)，這樣才能發(fā)揮它的最大效力。

3.5安全審計(jì)系統(tǒng)

上面介紹的幾種安全防護(hù)措施，它們對(duì)防止外部入侵有一定的效果，但并不能完全阻止入侵者的攻擊，特別對(duì)于內(nèi)部安全問(wèn)題的防范比較薄弱。在這種情況下，就需要網(wǎng)絡(luò)安全審計(jì)系統(tǒng)進(jìn)行補(bǔ)充。網(wǎng)絡(luò)安全審計(jì)系統(tǒng)是一種基于信息流的數(shù)據(jù)采集、分析、識(shí)別和資源審計(jì)封鎖軟件。通過(guò)實(shí)時(shí)審計(jì)網(wǎng)絡(luò)數(shù)據(jù)流，根據(jù)用戶設(shè)定的安全控制策略，對(duì)受控對(duì)象的活動(dòng)進(jìn)行審計(jì)。

3.6應(yīng)用安全