導語：如何才能寫好一篇企業(yè)安全信息，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

[關鍵詞]企業(yè)安全；信息管理；設計；實現(xiàn)

doi：10.3969/j.issn.1673-0194.2015.08.057

[中圖分類號]TP311.52 [文獻標識碼]A [文章編號]1673-0194（2015）08-0075-02

近年來，企業(yè)安全事故層出不窮，信息安全引起了越來越多企業(yè)管理者的重視，成為各個企業(yè)不容忽視的關鍵問題。為了加強企業(yè)信息安全，不少企業(yè)開始設立獨立部門對企業(yè)的信息安全進行專業(yè)管理，并開始培養(yǎng)專業(yè)的信息安全管理人才。

1 企業(yè)安全信息管理平臺的問題

1.1 安全意識不強

企業(yè)要重視信息安全并實施管控，信息安全管理的成敗取決于員工的安全意識。人員安全意識欠缺，導致政令不通，監(jiān)督不力，執(zhí)行不暢，往往導致信息外泄、系統(tǒng)故障等安全事故。只有樹立直接執(zhí)行人員牢固的信息安全意識，形成企業(yè)安全文化，企業(yè)信息安全才能真正長治久安。員工信息安全意識的提升并非一日之功，也不是通過簡單的一兩次培訓就能奏效，而是一項持續(xù)的、長期的、有計劃的、多種方式并用的綜合性工作。信息安全意識提升面向企業(yè)廣泛的受眾，其內容涵蓋信息安全相關各個領域，重點針對員工日常工作和個人行為，關注各種可能因個人行為不當或警惕性不強而引發(fā)的信息安全隱患和事故。由于目標對象的不同，信息安全意識提升內容會呈現(xiàn)出不同的形式、程度，從簡潔明了的宣傳語，到淺顯易懂的安全提示，再到全面具體的安全手冊，建立企業(yè)專門的信息安全知識庫，滿足不同方面和不同層次的需要。

1.2 缺乏專業(yè)人才

隨著經(jīng)濟社會的不斷發(fā)展，企業(yè)對于信息安全管理人才的需求也越來越大。任何組織都是由人組成的，沒有人才，組織就不能取得長遠發(fā)展，更談不上不斷進步和自我完善。企業(yè)的發(fā)展需要不斷補充新的人才。對于多數(shù)企業(yè)來說，信息安全管理人員的素質決定了單位能否長遠發(fā)展。信息安全管理是最近幾年才興起的，很多企業(yè)還沒有配備相關人才，不少高校也尚未開展相關專業(yè)，培養(yǎng)信息安全管理方面的人才，國家對于信息安全管理專業(yè)的投入也不夠。社會整體尚未形成重視信息安全管理的氛圍。目前，不少企業(yè)的信息安全管理人員十分匱乏，很多企業(yè)沒有專門的信息安全管理機構，因此也沒有配備相應的信息安全管理人員。只有少數(shù)企業(yè)認識到信息安全管理的重要性，設立了相應的信息安全管理機構。但在這些企業(yè)當中，多數(shù)企業(yè)的信息安全管理機構十分簡陋，相關設備也不夠健全，專業(yè)人員的配備也存在缺失，有的企業(yè)雖然配備有信息安全管理人員，但這些人員多數(shù)沒有接受過系統(tǒng)的知識培訓，經(jīng)驗不夠豐富，責任心不強，不能履行信息安全管理人員的基本職責。信息安全管理人員素質不高和專業(yè)人才的缺失，是企業(yè)的發(fā)展的阻礙，嚴重影響了企業(yè)的長遠發(fā)展。

1.3 監(jiān)管制度缺失

完善、科學的信息安全監(jiān)管制度對于企業(yè)的發(fā)展具有十分重要的意義和作用。行為規(guī)范制度是指導工作人員進行相關操作的準則和辦法，只有建立一套系統(tǒng)的信息安全監(jiān)管制度，才能規(guī)范信息安全管理人員的行為，使操作有據(jù)可依，信息安全管理人員對自身行為負起責任。目前我國信息安全管理制度仍不健全，不少企業(yè)沒有建立起一套完善的內部控制制度，使得很多行為沒有操作依據(jù)，信息安全管理人員的行為無法有效約束，出現(xiàn)了許多不負責任的行為。這些行為不僅阻礙了企業(yè)的發(fā)展，也影響了企業(yè)的聲譽，不利于后續(xù)工作的開展。因此，必須建立健全企業(yè)信息安全監(jiān)管制度，為企業(yè)后續(xù)活動的開展提供保障。

1.4 管理技術落后

信息安全管理需要先進的管理技術和安全技術，為信息安全管理提供有力的技術支持。企業(yè)在發(fā)展過程中，開發(fā)了一系列信息安全管理技術和管理技巧，發(fā)揮了一定的作用。但隨著經(jīng)濟社會的發(fā)展和科技的日新月異，不少技術已經(jīng)無法跟上時代步伐，很多技術面臨淘汰。這些管理技巧不但不能給企業(yè)帶來益處，反而有可能影響企業(yè)的信息安全。因此必須緊跟時代步伐，了解最新的信息安全管理技巧，結合企業(yè)實際情況，開發(fā)符合時代要求的管理技巧。同時，積極了解最新科技動態(tài)，將適合于本企業(yè)的技術運用到企業(yè)的信息安全管理過程中。

2 如何完善企業(yè)安全信息管理平臺設計

2.1 增強信息安全管理意識

提高信息安全管理意識是完善企業(yè)信息安全管理的重要前提和關鍵因素。只要具備良好的內部安全控制意識，才能順利開展后續(xù)工作。企業(yè)管理者必須深切意識到信息安全管理對于企業(yè)發(fā)展的重要性和必要性，加大投資力度，及時發(fā)現(xiàn)企業(yè)信息安全管理中存在的問題和不足。必須加強對企業(yè)信息安全管理的重視，切實意識到信息安全管理對于企業(yè)發(fā)展的重要性，加大資金投入，確保企業(yè)信息安全管理良好運作。

2.2 加強人員的素質培訓

人才對于企事業(yè)單位的發(fā)展具有不容忽視的作用。單位的競爭歸根結底是人才的競爭。信息安全管理人員的素質對于企業(yè)的發(fā)展具有重要作用，具有良好素質的信息安全管理人員可以促進企業(yè)的快速發(fā)展。企業(yè)必須重視對信息安全管理人員的培訓和投資。信息安全管理人員的投資包括設備的更新，資金的投入和專業(yè)教育的提升。同時，要鼓勵信息安全管理人員學習最新的信息安全知識，不斷更新已有知識，緊跟時代的步伐。企業(yè)不僅要注重提高信息安全管理人員的專業(yè)素養(yǎng)，也要重視對企業(yè)信息安全管理人員的道德培養(yǎng)。只有專業(yè)知識而缺乏道德素養(yǎng)的工作人員，不僅不能給企業(yè)帶來效益，反而會危害企業(yè)發(fā)展，因此必須重視企業(yè)信息安全管理人員的道德素養(yǎng)。信息安全必須不斷加強對信息安全管理人員的培訓，切實全面提高信息安全管理人員素質，增強信息安全管理人員靈活處理各項事務的能力，不斷鞏固自身基礎知識，培養(yǎng)信息安全管理人員的責任心和創(chuàng)新精神，真正做到與時俱進。只有不斷提升企業(yè)的信息安全管理人員素質，才能從整體上提升企事業(yè)單位的安全管理工作效率，促進企業(yè)的長遠發(fā)展。

2.3 強化信息安全監(jiān)督管理

監(jiān)督工作對于企業(yè)的發(fā)展具有重要作用和意義。良好的監(jiān)督是企事業(yè)單位正?；顒拥那疤?。沒有完善的監(jiān)督體系，企事業(yè)單位很難確保業(yè)務的正常開展。企事業(yè)單位應強化信息安全監(jiān)督工作，建立相應的監(jiān)督管理機構，對企業(yè)內部各項經(jīng)濟活動進行有計劃地控制，及時發(fā)現(xiàn)企事業(yè)單位存在的問題，同時應加強信息安全管理工作，不斷提升工作效率。凡事預則立，不預則廢。除了做好信息安全管理的內部監(jiān)督工作外，不斷加強信息安全管理的外部監(jiān)督工作也是十分重要的環(huán)節(jié)。外部監(jiān)督主要包括新聞媒體監(jiān)督和社會大眾監(jiān)督。企事業(yè)單位管理者要認識到內部管理的不足之處，認真改正有缺陷的地方，不斷完善內部控制建設。同時，也要不斷加強新聞媒體的監(jiān)督作用，發(fā)揮輿論的監(jiān)督作用。內部控制是一項巨大的完整的工程，具有完善的體系和結構，必須保證每個環(huán)節(jié)落實到位，才能確保整個體系的良性運行，從而發(fā)揮出最大的效益。

2.4 提高信息安全管理技巧

除此之外，信息安全管理技巧對于企事業(yè)單位的發(fā)展具有重要意義。不同的控制技巧適用于不同的企事業(yè)單位，也會產(chǎn)生不同的效果。企事業(yè)單位采取適合本單位的內部控制技巧，可以提高企事業(yè)單位的行政效率。隨著時代的發(fā)展和進步，傳統(tǒng)的信息安全管理技巧已經(jīng)不適用于現(xiàn)代企業(yè)。因此，企業(yè)必須根據(jù)時代的發(fā)展，提升自身信息安全管理技巧，摒棄舊有落后工作模式。另外，在實施信息安全管理技巧時，必須考慮到事業(yè)單位的實際運作情況，切忌生搬硬套。應根據(jù)企事業(yè)單位的具體情況，有針對性地提高信息安全管理的技巧，逐步解決企事業(yè)單位在實施信息安全管理時遇到的難題。

主要參考文獻

[1]侯衛(wèi)超.企業(yè)信息安全現(xiàn)狀分析與管理對策[J].科技信息：科學教研，2007（28）.

[2]王超，林峰.高校校園網(wǎng)絡安全管理策略[J].科技資訊，2007（20）.

篇2

關鍵詞　信息安全；安全防護；信息保密

中圖分類號TP39　文獻標識碼A　文章編號　1674-6708（2013）83-0024-02

1電力企業(yè)的信息安全

1.1什么是信息安全

信息安全是指信息網(wǎng)絡的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，信息服務不中斷。

通常來說，信息安全就是要做到五個方面內容：一是進不來，通過設置系統(tǒng)口令、屏保口令等使惡意人員無法進入；二是拿不走，對系統(tǒng)用戶有權限區(qū)分，低權限用戶無法越權獲取高權限用戶資料；三是看不懂，對重要文件進行加密處理，保證信息不曝露給非法用戶；四是改不了，確保只有得到允許的人才能修改數(shù)據(jù)，其它人無法改動；五是走不脫，使用審計、監(jiān)控等手段，使得攻擊者、破壞者無法走脫。

1.2信息安全總體要求

公司信息安全堅持“雙網(wǎng)雙機、分區(qū)分域、安全接入、動態(tài)感知、精益管理、全面防護”總體防護策略，執(zhí)行信息安全等級保護制度，防止因信息系統(tǒng)本身故障導致信息系統(tǒng)不能正常使用和系統(tǒng)崩潰，抵御黑客、病毒、惡意代碼等對信息系統(tǒng)發(fā)起的各類攻擊和破壞，防止信息內容及數(shù)據(jù)丟失和失密，防止有害信息在網(wǎng)上傳播，防止公司對外服務中斷和由此造成的電力系統(tǒng)運行事故。

2地市公司信息安全管理

2.1信息安全面臨的威脅

隨著信息技術的發(fā)展以及公司信息化建設的推進，地市公司面臨的信息安全威脅越來越多樣化。目前，信息安全面臨的威脅主要有：一是人為無意失誤，如管理漏洞、安全意識不強，操作不當?shù)?；二是人為惡意攻擊，如計算機病毒等惡意代碼；三是軟硬件的漏洞和“后門”，如操作系統(tǒng)、數(shù)據(jù)庫及應用系統(tǒng)本身存在的缺陷和漏洞；四是設備故障；五是自然災害。

2.2信息安全管理

2.2.1安全制度建設

地市公司要根據(jù)上級公司的相關要求，結合本公司所面臨的信息安全威脅，從網(wǎng)絡、終端、應用、管理等各方面建立完善一整套信息安全管理制度。管理制度主要包括：《計算機機房安全管理制度》、《安全責任制度》、《網(wǎng)絡安全制度》、《系統(tǒng)安全風險管理和應急處置制度》、《操作權限管理制度》、《用戶登記制度》、《重要設備、介質管理制度》、《信息審查、登記、保存、清除和備份制度》等等。這些信息安全制度在公司信息安全工作中起著根本性、指導性和全局性的作用。

地市公司要根據(jù)實際情況制定信息安全通報制度，加大全體員工對信息安全的重視程度，提高信息安全的管理效率。通報分為例行通報、緊急通報兩類，通報內容包括：一是圍繞信息安全考核指標的日常工作；二是信息安全的專項工作；三是信息安全事件的預警、響應、研判和處置情況。

地市公司要建立信息安全監(jiān)督制度，要求各單位、部門對危害信息安全的各類危險源點進行自查整改。信通公司作為信息安全主管部門進行現(xiàn)場檢查和遠程檢查。

地市公司要建立信息安全應急處置制度。為了正確、有效和快速地處理信息安全突發(fā)事件，最大限度地減少突發(fā)事件對公司生產(chǎn)、經(jīng)營、管理造成的損失和對社會的不良影響，需要定期修訂完善應急預案和開展應急演練。同時，地市公司還要定期組織全體信息運維人員學習應急預案，做到熟悉預案，了解如何應對突發(fā)事件，明確各自職責和處理程序，真正確保突發(fā)事件下的信息安全。

2.2.2人才隊伍建設

信息安全工作需要必須的人力資源來支撐。地市公司要按照“誰主管誰負責，誰運營誰負責，誰使用誰負責”　的原則，落實專門機構和人員負責信息安全工作。目前，地市公司的信息安全運維管理由信通公司負責，主要工作包括有系統(tǒng)的安全運維、信息安全的技術保障、信息安全事故應急處理及員工信息安全教育等。地市公司還應根據(jù)工作地點及人員分散的特點建立一只信息兼職隊伍。通過信息兼職隊伍的壯大及能力的提升，使信息安全邁上新的臺階。

2.2.3防護系統(tǒng)建設

安全技術是信息安全的主體，信息安全離不開安全技術的實施和安全產(chǎn)品的部署。地市公司必須要部署防火墻、入侵檢測系統(tǒng)、防病毒系統(tǒng)、桌面終端標準化管理系統(tǒng)等各種安全防護系統(tǒng)。這些系統(tǒng)的部署給信息安全提供了多層次、全方位的安全防護。

部署防病毒系統(tǒng)。Symantec　endpoint　Protection提供端點安全解決方案，它實現(xiàn)防病毒、防間諜軟件、防火墻、入侵防御和網(wǎng)絡威脅防護等多種功能，并且通過策略的設置，可以防范安全違規(guī)事件的發(fā)生。它具有系統(tǒng)性和主動性的特點，能夠實現(xiàn)全方位多級安全防護。

部署桌面終端管理系統(tǒng)。桌面終端系統(tǒng)應實現(xiàn)對公司內部終端的軟硬件、數(shù)據(jù)保密的集中化和標準化管理，提高公司內部終端的安全性及維護管理的效率。

地市公司還應利用在網(wǎng)絡設備上采取IP地址與MAC地址綁定的技術手段限制不明非法的設備接入到信息內網(wǎng)中。同時，還應制定網(wǎng)絡接入設備審批制度，嚴格控制和管理接入信息內網(wǎng)的設備。

2.2.4系統(tǒng)安全建設

系統(tǒng)安全分為物理安全和運行安全兩個部分。

物理安全主要是指主機存儲設備、網(wǎng)絡設備、安全設備及機房輔助設備安全。設備放置在專門的信息機房內，通過門禁系統(tǒng)及機房監(jiān)控系統(tǒng)保證這些設備自身的安全。地市公司應制定機房管理、機房出入人員管理等制度，對設備安全管理、機房環(huán)境管理、人員出入訪問控制管理等做出詳細的規(guī)定。同時，地市公司還應指定專人負責各類設備的管理工作，定期聯(lián)系專業(yè)廠家對設備進行巡檢，做到問題早發(fā)現(xiàn)，早解決。

運行安全主要是指業(yè)務應用系統(tǒng)、網(wǎng)絡系統(tǒng)及數(shù)據(jù)庫系統(tǒng)等運行安全。主要系統(tǒng)應采用雙機的方式來建設。所有的系統(tǒng)都有專人負責，地市公司定期對系統(tǒng)的運行狀態(tài)進行巡視、備份等工作。同時，地市公司還要對設備的賬戶安全、網(wǎng)絡安全、服務安全、日志安全等方面開展加固工作，保障系統(tǒng)的安全穩(wěn)定運行。

2.2.5個人安全建設

地市公司應從管控與培訓兩個方面開展個人信息安全建設。

所有終端設備應統(tǒng)一安裝桌面終端管理系統(tǒng)、防病毒系統(tǒng)和補丁升級系統(tǒng)等安全防護系統(tǒng)。地市公司要每日安排專人監(jiān)控終端設備，發(fā)現(xiàn)問題及時整改，保證桌面終端注冊率、防病毒安裝率，補丁安裝率是100%。

教育培訓是提升員工個人信息安全意識和技術水平的重要手段。通過開展安全講座、建設專題網(wǎng)站、印發(fā)宣傳手冊和巡展宣傳展板等多種形式加強信息安全知識的宣傳，使每個員工懂得信息安全違規(guī)行為的防范知識。

2.2.6信息保密建設

地市公司要嚴格執(zhí)行“信息不上網(wǎng)，上網(wǎng)信息不”的保密要求，對發(fā)現(xiàn)的違規(guī)失密、泄密事件嚴肅處理。信息保密工作主要有：一是強化信息保密教育培訓，使員工明確信息保密安全防護要求；二是加強對終端和網(wǎng)絡的保密管理，防止敏感、信息的丟失以及有害信息在網(wǎng)上傳播。

篇3

關鍵詞:企業(yè)信息化；網(wǎng)絡管理；安全問題

前言

自中國加入世貿(mào)組織后，全球實行經(jīng)濟一體化，信息資源對于企業(yè)的發(fā)展經(jīng)營顯得十分重要，企業(yè)只有盡快實施信息化戰(zhàn)略與國際接軌，才能融入到經(jīng)濟全球化的大潮中去。對于企業(yè)進行信息化改革需要進行一些規(guī)劃性安排。其中包含有信息資源規(guī)劃，這主要是指企業(yè)生產(chǎn)經(jīng)營過程中所需要掌握到的所有信息，從開始采集、處理一直到傳輸、使用全過程的一個整體規(guī)劃。企業(yè)在生產(chǎn)經(jīng)營活動過程中，無時不刻都充斥著信息，信息資源與企業(yè)人、財、物資源同等重要，都是企業(yè)在經(jīng)營環(huán)節(jié)中不可缺少的重要資源。而經(jīng)過長期的發(fā)展，很多企業(yè)已經(jīng)開始意識到企業(yè)信息資源規(guī)劃的重要性，認識到它是企業(yè)信息化建設的基礎工程。而對企業(yè)信息化安全的解決應該建立在人員管理的基礎之上，致力于整個企業(yè)網(wǎng)絡管理。

1企業(yè)信息化安全與網(wǎng)絡管理

1.1網(wǎng)絡集成應用系統(tǒng)安全

網(wǎng)絡集成應用系統(tǒng)根據(jù)不同企業(yè)的需求呈現(xiàn)不同的情況，一些企業(yè)中的網(wǎng)絡集成應用系統(tǒng)比較復雜。不能夠很精準的估計防御對象的規(guī)模以及價值，也不能簡單的對其加以標定界限，針對這種情況，就只能夠將網(wǎng)絡管理安全保障的工作分解開來。落實到具體的個人，采取一系列有效的措施如主動防御方式去進行。而網(wǎng)絡安全信息的防御是一個保障整體網(wǎng)絡信息安全的手段，其可預見性以及靈敏性等都為工作帶來便利，在面臨網(wǎng)絡空間可能帶來的威脅的同時,站在網(wǎng)絡管理者的角度上去思考，為企業(yè)網(wǎng)絡安全提供一定的保障。因此對于現(xiàn)代社會企業(yè)發(fā)展中提出的有關信息化安全問題其范圍也十分廣泛。計算機系統(tǒng)結構安全的信息防御，注重的是以信息參與者的人為主角的主動型安全防御。

1.2企業(yè)人員信息技術安全

企業(yè)信息化歸根到底也是人的參與，因此對于企業(yè)在信息化過程中會遇到的信息安全問題也需要人員引起足夠的重視。人才是企業(yè)在發(fā)展中的關鍵競爭力，企業(yè)對于人才的重視程度也在日益增加，而同時也要注重企業(yè)的管理。隨著時代的發(fā)展，信息化已經(jīng)成為企業(yè)不可忽視的發(fā)展趨勢，當企業(yè)投入大量的資金和精力去培養(yǎng)人才進行信息化管理以及掌握信息化技術之后，更需要加強信息安全管理。目前是信息化時代，“信息”對于企業(yè)而言是十分重要的財富，企業(yè)信息系統(tǒng)中掌握著企業(yè)運行經(jīng)營的大量資源和信息，而信息系統(tǒng)的一些安全隱患大部分來源于外界的侵擾，信息工作和管理人員個人的疏忽也容易導致信息的外泄，這將是對企業(yè)造成嚴重的損失。目前對于企業(yè)在信息化方面的標準有多種爭議，面對爭議我們首先要弄清楚企業(yè)目前處于什么樣的狀況，這些標準都是隨著技術水平的改進以及管理要求的變化而變化的，因此針對這些變化，企業(yè)需要針對自身的實際情況以及實際需求進行安全管理。

1.3網(wǎng)絡管理人員信息技術安全

企業(yè)信息化系統(tǒng)管理中最重要的一項安全指標就是信息技術方面的安全，面對高要求的安全管理，對于網(wǎng)絡安全管理人員的職業(yè)素養(yǎng)以及業(yè)務能力也相應提出了更高的要求。而企業(yè)信息化系統(tǒng)的網(wǎng)絡管理在實際的運行過程中必定會涉及到眾多的功能模塊，面臨企業(yè)信息化系統(tǒng)中的網(wǎng)絡安全管理一般包含有四大功能模塊:配置管理、性能管理、故障管理以及安全管理。而這四大功能構成了網(wǎng)絡安全管理的基本功能，除此基本功能之外，網(wǎng)絡管理還包括有網(wǎng)絡規(guī)劃、網(wǎng)絡操作規(guī)范等，以下就來簡單分析介紹這些功能:(1)配置管理:網(wǎng)絡的配置管理要做到的是自動發(fā)現(xiàn)網(wǎng)絡拓補結構，構造和維護網(wǎng)絡系統(tǒng)的配置。時時的注意網(wǎng)絡中被管理監(jiān)測的對象狀態(tài)，對網(wǎng)絡設置中的一些設備配置的語法進行檢測，對于配置進行嚴格的檢驗。(2)故障管理:在網(wǎng)絡運行過程中時刻的進行網(wǎng)絡有關事件的過濾和歸并，通過不間斷的檢測及時的發(fā)現(xiàn)在網(wǎng)絡管理以及操作過程中出現(xiàn)的一系列網(wǎng)絡故障問題，并根據(jù)實際問題情況尋找出有效的應對措施和建議，提供一定的排錯手段以及工具，逐漸形成一套完善的網(wǎng)絡故障預警和解決機制，從而減少故障給企業(yè)信息化系統(tǒng)帶來的危害和損失。(3)性能管理:性能管理是對網(wǎng)絡對象的性能方面數(shù)據(jù)進行收集、分析以及處理功能，通過分析和收集了解網(wǎng)絡在運行過程中的質量安全問題，同時掌握整個網(wǎng)絡運行體制中的運行狀態(tài)信息，為整個網(wǎng)絡的使用情況以及未來發(fā)展趨勢、狀況進行一個評估，為進一步的網(wǎng)絡規(guī)劃提供一定的參考價值。(4)安全管理:網(wǎng)絡信息的安全主要在于存儲在系統(tǒng)中的一些用戶信息資料以及企業(yè)內部的資料的泄露，加強安全管理無疑是要加強用戶的認證、訪問控制、數(shù)據(jù)傳輸以及存儲保密性和完整性，保障網(wǎng)絡系統(tǒng)本身的安全。維護系統(tǒng)日志，使系統(tǒng)的使用情況以及網(wǎng)絡對象的修改都有記錄和有數(shù)據(jù)可循。加強對網(wǎng)絡資源的訪問量的控制。例如有些企業(yè)在加強網(wǎng)絡安全管理方面為了盡量的減少不必要的漏洞，在配置管理中采用了VLAN的方式，這種方式就是將企業(yè)內部的不同部門都劃分為各個不同的虛擬網(wǎng)段，而針對不同部門的職員設置相應的權限，只有具有權限的職員才能進入某一個虛擬網(wǎng)段，沒有權限的用戶無法訪問其他網(wǎng)段。VLAN其實就相當于是一個計算機網(wǎng)絡，里面所有內容都由同一個網(wǎng)線連接著，但是其中的網(wǎng)絡又可以分為不同的部分和區(qū)域。由于該方式多是通過軟件來操作實施的，因此使其具備了更多的靈活性，而該手段的最大優(yōu)勢在于提供了更多的管理控制，這相應的減少了很大一部分的管理費用，同時也提供了更多的配置靈活性。另外，在網(wǎng)絡管理中可以通過邊界的路由器來控制外來的用戶對網(wǎng)絡信息的訪問，從而可以有效的防止外來用戶對本企業(yè)網(wǎng)絡的侵入和攻擊。加之前文中有提到可以加強網(wǎng)絡安全的預警機制。通過對告警中的危險事件和信息進行有效的分析和處理，及時發(fā)現(xiàn)可能存在的攻擊行為，及時發(fā)現(xiàn)網(wǎng)絡管理中存在的安全漏洞和安全隱患，從而更好的防患于未然。當然，在進行這些網(wǎng)絡安全管理手段操作中可以充分借助有關的管理網(wǎng)絡的軟件，為網(wǎng)絡管理人員提供有效的技術信息和保障，而且單一的軟件絕對滿足不了網(wǎng)絡安全管理的需求，需要根據(jù)實際情況綜合運用多種軟件形式，從而滿足不同方面和層次的需求，無論是加強網(wǎng)絡管理安全還是利用各種管理軟件首先必須要提高網(wǎng)絡管理人員的綜合素質，提升其職業(yè)素養(yǎng)和計算機應用水平，人員素質的提升以及相關管理硬件、軟件的配套，才能從根本上解決企業(yè)信息化管理以及網(wǎng)絡安全管理中的問題，提高其管理機制和管理水平。

2結束語

從本文中所闡述的眾多問題中可以總結出，無論是網(wǎng)絡集成應用系統(tǒng)的框架還是人員信息化和網(wǎng)絡管理者角度而言，企業(yè)信息化的安全問題主要集中在網(wǎng)絡管理方面。而對網(wǎng)絡進行管理的主體部分就是人員。因此加強網(wǎng)絡管理的安全問題要從人員自身方面的水平以及素質和網(wǎng)絡安全管理相關技術兩個方面著手，讓所有的網(wǎng)絡管理者在思想上意識到網(wǎng)絡安全管理的重要性。管理人員的重視才會促進有關技術的改進和革新，這也是我們進行網(wǎng)絡管理的最終目的和有效保障。

參考文獻:

[1]林鵬，葉盛元.互聯(lián)網(wǎng)與信息化安全（三）[J].華南金融電腦，2006.

[2]曲璐.信息化安全在計算機管理中的運用探討[J].信息與電腦（理論版），2013.

篇4

首先，鑒于中小企業(yè)的特點，在信息安全意識培訓過程中需要考慮兩個基本點。第一點，對全公司盡量培訓一致的安全信息，并且這項計劃要由信息技術部門負責管理。中小型企業(yè)規(guī)模往往比較小，不足以實行具有不同傾向性的多種培訓計劃。第二點，要清楚中小企業(yè)的大部分電腦使用者并不是專業(yè)人員，相關的培訓應該簡單且接近企業(yè)用戶的水平。

其次，需要考慮的是中小企業(yè)信息安全方面需要培訓哪些內容。一般而言，需要考慮的培訓內容包括：用戶管理、網(wǎng)絡與電子郵件、移動設備與便攜設備使用、對外保密、突發(fā)事件、系統(tǒng)操作安全等。

再次，需要根據(jù)自身特點選取適合中小企業(yè)信息安全意識的培訓方法。一般來說，至少有三種途徑可以用于企業(yè)進行安全意識培訓：一是在公司內部尋找培訓人員和培訓部門，進行內部培訓；二是聘請外部專業(yè)的培訓公司進行培訓；三是考慮依托于網(wǎng)絡與電腦進行培訓。但以上任何一種方案都有可能會超出中小型企業(yè)的能力，這時候還要根據(jù)企業(yè)自身特點來安排適當?shù)耐緩竭M行培訓。

那么，能滿足規(guī)模較小的中小企業(yè)提高員工信息安全意識培訓的合理途徑是什么呢?有分析認為，可以在以上提到的三種途徑的基礎上加以改動，形成兩種可用的途徑：一是中小企業(yè)仍然可以使用內部資源進行范圍性培訓或者購買網(wǎng)絡、電腦的培訓程序。二是中小企業(yè)可以創(chuàng)造性地在辦公室張貼些成本低的彩色安全意識海報，對員工潛移默化地培訓。

從企業(yè)內部來看，如果企業(yè)的信息技術部門能提供一個內部特制的培訓計劃是可行的。按照美國國家標準與技術研究院(NIST)的指導方針或其他材料，策劃一天或半天的課程就足以使員工認識到有關電腦安全的一些重要問題。從企業(yè)外部來看，目前市場上也有不少專門面向中小型企業(yè)、價格合理的基于網(wǎng)絡和電腦安全相關的培訓。無論如何，需要考慮企業(yè)自身承受能力與受培訓者的接受能力，根據(jù)實際情況來進行選擇。

篇5

 

隨著社會經(jīng)濟的不斷發(fā)展，網(wǎng)絡時代逐漸進入人們的生活，計算機被運用在了各個領域中，成為促進社會發(fā)展的重要媒介。而與此同時，企業(yè)信息安全問題也逐漸凸顯出來，嚴重阻礙了企業(yè)的可持續(xù)發(fā)展，因此，在網(wǎng)絡時代背景下研究企業(yè)安全風險和控制具有重要意義。

 

1 企業(yè)信息安全相關概述

 

1.1 信息安全的含義

 

迄今為止，對信息安全依然沒有一個統(tǒng)一和公認的定義。但是從國內外研究來看，對其主要存在2種說法：一種指的是具體信息安全技術系統(tǒng)的安全;而另一種則指的是某些特定的信息體系的安全。上述2種定義主要站在靜態(tài)的角度上闡述了信息安全的基本層面，但是信息系統(tǒng)和網(wǎng)絡的影響決定了信息安全是一個動態(tài)的改變，其主要是防止企業(yè)信息遭到惡意泄露、破壞、更改[1]。信息安全的最終目的是向合法的對象提供安全、可靠的信息。

 

1.2 信息安全在企業(yè)中發(fā)揮的重要作用

 

企業(yè)信息作為企業(yè)的寶貴資源，保證企業(yè)信息的安全性對企業(yè)的生存和發(fā)展具有重要作用，主要體現(xiàn)在以下3個方面：一是企業(yè)信息安全是保障企業(yè)正常運行的基本前提。在網(wǎng)絡時代背景下，企業(yè)信息安全的內容更廣泛，再加上現(xiàn)代企業(yè)制度的不斷建立和完善，越來越多的企業(yè)依靠信息數(shù)據(jù)庫開展各項工作，例如：對于市場情況的分析、做出重大決策等等。二是保障企業(yè)信息安全是提高企業(yè)市場競爭力的必備條件。隨著市場經(jīng)濟的不斷完善，企業(yè)面臨的競爭也越來越激烈，在這種形勢下，企業(yè)要想獲取市場競爭優(yōu)勢就需要依靠信息安全來實現(xiàn)。三是企業(yè)信息安全作為企業(yè)發(fā)展戰(zhàn)略中重要的組成部分，而企業(yè)實施各項戰(zhàn)略主要是通過自身的經(jīng)營活動、財務信息等開展的，這些數(shù)據(jù)也能夠將企業(yè)的戰(zhàn)略實施方法以及下一步計劃詳細地反應出來，因此，如果企業(yè)的信息安全無法得到保障，那么企業(yè)要實施各項戰(zhàn)略難度也很大。

 

2 網(wǎng)絡時代下企業(yè)信息安全風險分析

 

2.1 缺乏高度的信息安全風險意識

 

在網(wǎng)絡時代的浪潮下，很多企業(yè)都在逐步加強自身信息安全的建設，通過加大資金投入、創(chuàng)新技術等措施來保障自身的信息安全，然而，對信息風險的控制并非僅僅依靠技術就可以實現(xiàn)，更重要的是人們要樹立起信息安全的風險意識。但是從當前來看，還有很大一部分企業(yè)的領導者、管理者、員工缺乏對信息安全風險的高度重視，主要表現(xiàn)在：個別人甚至片面地認為信息安全僅僅是網(wǎng)絡部門的責任，跟自身沒有多大關系;二是有個別企業(yè)領導者認為對信息安全的宣傳過度夸張，遭受網(wǎng)絡攻擊的概率小，一般不會發(fā)生在自己身上;三是個別企業(yè)沒有建立信息安全風險管理體系，再加上企業(yè)缺乏具體的故障系統(tǒng)，導致企業(yè)信息安全遭到風險時，員工往往手足無措，雖說有些企業(yè)針對自身的信息安全制定了一系列規(guī)章和制度，但是由于缺乏針對性和操作性，導致這些制度無法得到真正落實。

 

2.2 應用系統(tǒng)的安全性不高

 

企業(yè)要實現(xiàn)信息化建設的目的，少不了各種應用系統(tǒng)作支撐，但是從實際情況來看，很多企業(yè)還存在著應用系統(tǒng)的安全性不高等問題，進而導致企業(yè)在數(shù)據(jù)傳輸和存儲等方面存在漏洞。如此容易被一些病毒、惡意軟件竊取，實現(xiàn)非法訪問，進而引發(fā)企業(yè)信息丟失或者泄露等安全風險。另外，很多企業(yè)應用系統(tǒng)的安全方模式也較為單一，絕大部分主要是采用“口令”的方式進行認證，無法實現(xiàn)對信息安全全方位的防范。另外，企業(yè)設置的密碼過于簡單、操作不規(guī)范等等都會增加應用系統(tǒng)安全的風險。

 

2.3 技術設備和設施的作用發(fā)揮不足

 

個別企業(yè)為了防范信息安全風險，針對一些重要信息設置了安全設備，但是由于操作條件和參數(shù)設施不夠合理，無法將這些設備的作用充分發(fā)揮出來。還有很多企業(yè)沒有通過建立工作日志來對安全設備、設施的運行情況進行監(jiān)控，進而不能根據(jù)企業(yè)的經(jīng)營情況對信息安全進行風險控制，更無法采取有效措施保障企業(yè)風險管理。

 

3 網(wǎng)絡時代下控制企業(yè)信息安全風險途徑分析

 

3.1 加強信息安全教育，提高信息安全風險意識

 

由于在企業(yè)信息安全控制中，提高員工的信息安全意識是保證企業(yè)信息安全的決定性因素，因此，企業(yè)應該加強對員工的信息安全教育，幫助員工樹立起信息安全風險意識，例如：企業(yè)可以利用一些重大節(jié)日開展關于信息安全的演講比賽、征文比賽，也可以通過建立適當?shù)募钪贫纫约伴_展培訓活動等途徑來加強員工對信息安全重要性的認識，進而提高自身的信息安全風險防范意識和觀念。

 

3.2 加強信息化建設，設置信息安全管理部門

 

在企業(yè)信息化建設中，信息安全作為重要的基礎，企業(yè)要強化自身的內部控制，就應該落實信息安全的建設工作。加強信息化建設首先需要企業(yè)將信息安全納入安全管理范圍內，進而突出信息安全建設管理的重要地位;然后不斷健全信息安全的責任制度，爭取形成信息安全聯(lián)動管理機制，確保信息安全管理的有效性;最后，在企業(yè)中設置信息安全管理機構，該部分的主要職能為企業(yè)信息安全建設、管理以及員工的信息安全教育培訓工作等，從而為企業(yè)的信息安全風險控制創(chuàng)建一個良好的內部環(huán)境[2]。

 

3.3 運用新技術，加強信息安全風險防范

 

當前控制信息安全風險常見的主要有VPN技術和防火墻技術：(1)VPN技術。VPN主要指的是在公共網(wǎng)絡的虛擬專用網(wǎng)絡中建立一個臨時的安全鏈接，在通常情況下，對VPN內部進行擴展可以實現(xiàn)遠程操作，建立一條分公司、商業(yè)合作商和供應商跟公司內部網(wǎng)絡安全聯(lián)系，從而確保信息交換的安全性，保證數(shù)據(jù)傳輸?shù)陌踩浴?2)防火墻技術。防火墻也被稱為訪問控制系統(tǒng)，主要是通過對網(wǎng)絡做拓撲結構和服務類型上的隔離來保障網(wǎng)絡安全。運用防火墻技術可以保證企業(yè)的內部網(wǎng)絡免受外部網(wǎng)絡的侵占，并阻斷非法訪問的外部網(wǎng)絡進入企業(yè)內部網(wǎng)絡，保證企業(yè)信息和資源的安全。

 

4 結 語

 

總之，網(wǎng)絡時代的產(chǎn)生為企業(yè)發(fā)展創(chuàng)造了新的模式和發(fā)展契機，但與此同時，企業(yè)的信息安全也面臨著很大的威脅，在很大程度上制約了企業(yè)的可持續(xù)發(fā)展。要實現(xiàn)對企業(yè)信息安全風險的控制，首先應該找準企業(yè)信息安全的風險點，然后采取對應措施，如：加強信息安全教育、加強信息化建設、運用新技術等幾個方面來控制信息安全風險。

 

作者：袁亮 來源：中國管理信息化 2015年17期

篇6

如何建立一套針對企業(yè)自身特點的信息系統(tǒng)安全體系，最大程度地保證其正常運營，這不是一個單純的技術問題，而是一個把管理、安全技術、審計等多種因素集成于于一體的系統(tǒng)工程。因此，企業(yè)管理層需要在企業(yè)發(fā)展策略中，高度重視信息安全技術、信息安全管理和審計工作，不僅要在信息系統(tǒng)的軟硬件上下功夫，而且不能忽略相關審計工作，加強風險排查，這樣才能對企業(yè)的業(yè)務發(fā)展做到同步支持。

1.信息系統(tǒng)安全技術

信息系統(tǒng)安全技術作為信息系統(tǒng)安全體系的基礎，在其中起到支撐的作用。在實際工作中，針對企業(yè)各自特點制定相關策略。當前企業(yè)信息系統(tǒng)安全的現(xiàn)狀和面臨的主要問題如下：

1.1硬件運維

硬件設備的運維和管理是企業(yè)信息系統(tǒng)安全體系的基礎保障，但是管理人員容易忽視這一環(huán)節(jié)。企業(yè)信息系統(tǒng)往往會因為硬件設備故障、斷電或網(wǎng)絡問題造成信息丟失或服務中斷。如果針對硬件設備的運維和管理沒有相關保障機制，一次發(fā)生意外，就會給企業(yè)造成不可估量的損失。

當前常見的硬件設備運維保障管理機制有以下幾個環(huán)節(jié)：一是通過設置UPS不間斷電源保障系統(tǒng)硬件的持續(xù)性運行；二是要對企業(yè)信息系統(tǒng)中的網(wǎng)絡設備進行定期巡檢，在前期的網(wǎng)絡環(huán)境部署過程中首先考慮網(wǎng)絡的連接穩(wěn)定性；最后是加強信息系統(tǒng)安全管理，嚴防企業(yè)信息丟失和竊取，可以通過對數(shù)據(jù)信息存儲服務器設置物理鎖的方式避免非法操作。為了保證系統(tǒng)服務器的安全，管理人員可以采用遠程登錄的方式訪問系統(tǒng)。

1.2入侵防御

病毒入侵一般都擁有固定代碼，而入侵威脅是由非法人員需要得知信息系統(tǒng)的漏洞，從而進行人為操縱的信息竊取或系統(tǒng)攻擊。特定的防范方法包括：嚴格制定防火墻訪問控制策略，阻止外界對內部資源的非法訪問；關閉系統(tǒng)硬件不用的端口；定期對系統(tǒng)進行漏洞掃描和補丁包更新；在信息系統(tǒng)中部署入侵檢測系統(tǒng)（IDS）和入侵防御系統(tǒng)（IPS），從而抵御非法入侵。

1.3病毒防范

信息系統(tǒng)的安全配置和管理人員的正規(guī)操作對于信息系統(tǒng)病毒的防范非常重要。操作系統(tǒng)是企業(yè)信息平臺安全的基礎，錯誤的安裝配置會使病毒滲入到信息系統(tǒng)當中。針對信息系統(tǒng)安裝殺毒軟件并進行定期更新是病毒防范的基本措施，這樣可以保證系統(tǒng)基本的安全性與穩(wěn)定性。企業(yè)還需要定期對系統(tǒng)進行數(shù)據(jù)備份。

1.4數(shù)據(jù)加密

在公共網(wǎng)絡進行數(shù)據(jù)傳輸?shù)倪^程中，利用虛擬專用網(wǎng)（VPN）技術設置訪問控制策略，實現(xiàn)兩個或多個可信網(wǎng)絡之間的數(shù)據(jù)加密與傳輸。搭建VPN通常使用加密防火墻和路由器，保證數(shù)據(jù)安全傳輸[1]。

在企業(yè)的局域網(wǎng)中針對內部信息存儲、傳輸?shù)陌踩珕栴}，可以通過部署安全服務器來實現(xiàn)包括對局域網(wǎng)內資源的管理控制、用戶的管理和所有安全相關事件的跟蹤和審計。

2.信息系統(tǒng)安全管理

企業(yè)信息系統(tǒng)安全體系的建設三分靠技術，七分靠管理。因此，建立和完善管理制度是保障企業(yè)信息系統(tǒng)安全的關鍵和重點。

2.1制定企業(yè)信息系統(tǒng)安全管理制度

企業(yè)信息系統(tǒng)安全體系的建立和實施對其正常運營非常重要，所有一切的信息系統(tǒng)安全工作都要以公司制定的企業(yè)信息系統(tǒng)安全管理制度為基準。

2.2提高企業(yè)員工信息系統(tǒng)安全意識

現(xiàn)實中企業(yè)管理者的關注焦點大多是生產(chǎn)上的安全，信息安全沒有得到足夠的重視。實際上，企業(yè)員工信息安全意識的高低，在企業(yè)的信息系統(tǒng)安全體系建設中起很大作用，企業(yè)能夠加強員工的信息安全意識，將很大地提高信息系統(tǒng)安全體系實施的成效。

2.3嚴格執(zhí)行標準，強化制度落實

在企業(yè)信息系統(tǒng)安全體系的建設過程中，必須嚴格按照信息系統(tǒng)安全操作規(guī)程和管理措施執(zhí)行，最大程度消除信息系統(tǒng)安全隱患。若發(fā)現(xiàn)信息系統(tǒng)安全隱患，及時按照相關操作規(guī)程處置[2]。

2.4積極學習和應對各種信息系統(tǒng)安全事件

信息技術不斷發(fā)展，保障信息系統(tǒng)安全的難度也在與日俱增。因此，信息系統(tǒng)安全管理必須要求企業(yè)管理人員不斷學習，不僅要制定一套完整嚴密的信息系統(tǒng)安全管理方案，還要有步驟清晰、操作性強的應急預案，這樣才能增強信息系統(tǒng)安全管理的危機抵御能力和處理能力。

2.5構建信息系統(tǒng)安全環(huán)境平臺

面對日漸嚴峻的信息安全形勢，在加強企業(yè)信息系統(tǒng)基礎安全設施建設的同時，要有機結合員工信息安全意識、技術能力、企業(yè)運維管理三者，建立一套綜合性強的信息系統(tǒng)安全保障體系，在所有的業(yè)務系統(tǒng)中貫徹執(zhí)行當前的安全管理思路，通過可量化的技術手段，達到信息系統(tǒng)安全管理的最終目的。

3.信息系統(tǒng)安全審計

企業(yè)信息系統(tǒng)安全體系的建設是一個長期的、需要不斷持續(xù)更新、完善的系統(tǒng)工程，通過對信息系統(tǒng)的安全審計，及時發(fā)現(xiàn)和解決企業(yè)信息系統(tǒng)安全體系的漏洞，才能不斷提高企業(yè)安全水平和質量。如何建立和執(zhí)行企業(yè)信息系統(tǒng)安全審計，有效加強企業(yè)內部的信息系統(tǒng)安全管理和風險控制，滿足相關政策法規(guī)，成為各行業(yè)面臨的普遍問題[3]。

信息系統(tǒng)安全審計是指一群擁有相關信息安全專業(yè)技能和商業(yè)知識的審計人員對企業(yè)安全風險以及如何應對風險措施進行評估的一個過程。信息系統(tǒng)安全審計人員通過收集、分析、評估信息系統(tǒng)安全信息，掌握其安全狀態(tài)，制定安全策略，將系統(tǒng)調整到“最安全”和“最小風險”的狀態(tài)，確保信息系統(tǒng)安全體系完整、合理、適用[4]。

由于目前信息系統(tǒng)應用已經(jīng)涉及到企業(yè)的各個業(yè)務和辦公領域，對于信息系統(tǒng)帶來的安全管理已經(jīng)是企業(yè)運營不可切割的一部分。所以，企業(yè)的信息系統(tǒng)安全審計應該是一個從業(yè)務部門到技術部門都必須參與控制的過程。

從信息系統(tǒng)本身來說，安全審計的要點主要是以下兩個方面：

3.1數(shù)據(jù)及數(shù)據(jù)傳輸審計

數(shù)據(jù)是信息系統(tǒng)的重要資產(chǎn)，保護數(shù)據(jù)的安全、完整，避免其被惡意破壞、盜竊。對用戶身份進行控制，避免非授權訪問數(shù)據(jù)，是數(shù)據(jù)訪問環(huán)節(jié)的安全控制措施。除此之外，對數(shù)據(jù)的操作和保存也是數(shù)據(jù)安全控制的重要環(huán)節(jié)。首先，應雇傭具備任職資格或經(jīng)過適當培訓的人員，避免誤操作；其次，所有操作都應該經(jīng)過授權且有記錄，數(shù)據(jù)文件被正確保存且經(jīng)過充分備份，以備正確的恢復。

在信息系統(tǒng)中，有些數(shù)據(jù)需要在兩個子系統(tǒng)或多個子系統(tǒng)中相互傳輸，在這個過程中很可能會出現(xiàn)問題，尤其是在需要手工錄入或同步傳輸?shù)那闆r，因此在進行信息系統(tǒng)安全審計的過程中要重點關注以下方面：數(shù)據(jù)在傳輸?shù)倪^程中可能會發(fā)生變化，如何進行校驗；核心數(shù)據(jù)庫可能會被物理分散的服務器取代；當一個信息系統(tǒng)取代原有的信息系統(tǒng)時，會進行數(shù)據(jù)的傳輸。要保證傳輸?shù)臄?shù)據(jù)是完整、可靠并且經(jīng)過批準的，數(shù)據(jù)的全部傳輸過程要準確，并且在約定時間內完成。

3.2內部控制審計

內部控制審計是企業(yè)為實現(xiàn)管理目標而形成的自律系統(tǒng)。在審計過程中要對審計對象的系統(tǒng)環(huán)境是否符合要求、規(guī)程制度是否完善、執(zhí)行情況是否到位進行審查。在信息系統(tǒng)中，可以通過檢查以下幾個方面來驗證企業(yè)內控制度和執(zhí)行的效果：（1）控制信息系統(tǒng)的資源存儲，包括物理存儲資源存儲（終端、連接盒、服務器、相關文檔等）和邏輯資源存儲（軟件、系統(tǒng)文件、表和數(shù)據(jù)等）。（2）把控信息系統(tǒng)資源的使用。用戶的新增、變化、刪除必須經(jīng)過授權，用戶只能對其授權范圍內的資源進行操作。（3）按一定標準劃分信息系統(tǒng)資源?？梢韵到y(tǒng)資源的濫用、數(shù)據(jù)的非法修改以及減少人為誤操作。（4）身份和訪問控制審計。按照時間順序建立一個檔案簿，包含信息的創(chuàng)建、修改和刪除的詳細過程及其操作人員。它采用的是授權證明，控制什么人什么時候訪問了什么數(shù)據(jù)。（5）確認處理過程的準確性。（6）管理人員對信息系統(tǒng)的所有修改都應該保證是經(jīng)過授權、評估和審核，并且有記錄文檔，保證風險最低且有效控制。（7）入侵防御審計。入侵防御涵蓋的范圍遠廣于傳統(tǒng)的入侵檢測。入侵防御策略的合理設置會把風險縮小到最小范圍。（8）漏洞和病毒管理審計。定期檢查系統(tǒng)漏洞和防病毒措施，根據(jù)具體問題原因進行分析處置，及時采取相關措施。

篇7

【關鍵詞】企業(yè) 信息安全管理 對策

信息安全管理是指通過保證信息資產(chǎn)的機密性、完整性和可用性來保護和維護企業(yè)所有信息資產(chǎn)的一系列管理活動，是完整的企業(yè)組織管理體系的重要組成部分。其主要包括制定信息安全政策、風險評估、控制目標與方式選擇、制定規(guī)范的操作流程、對人員進行安全意識培訓等一系列工作。

知識經(jīng)濟時代，企業(yè)內部各部門之間以及企業(yè)與外部之間的交流與合作日益頻繁，且對計算機信息技術的依賴也日益明顯，使得信息安全問題成為眾多企業(yè)的關注焦點。

企業(yè)的許多信息，包括一些戰(zhàn)略規(guī)劃的重要信息，均以電子文件形式存儲，而這些信息在存儲、處理以及傳輸過程中都有可能被非法截取、惡意破壞以及篡改，損失難以想象。保障信息系統(tǒng)的安全在企業(yè)的建設和發(fā)展當中具有重要的作用。信息安全管理是確保信息系統(tǒng)順利運行的有力武器。通過建立信息安全體系及相應的規(guī)范機制，如加強對人員的管理、提升人員安全意識、促進軟件和操作系統(tǒng)的操作及建設相關網(wǎng)絡等，就可以建立起完善的信息安全系統(tǒng)，促進企業(yè)在知識經(jīng)濟時代平穩(wěn)、快速和健康的發(fā)展。

一　目前信息安全管理中存在的隱患

1．信息管理的安全意識方面

在傳統(tǒng)的企業(yè)生產(chǎn)中，企業(yè)所應具有的基本生產(chǎn)要素主要有設備、原材料、人員和制度幾個方面。但隨著信息技術的發(fā)展，信息的重要性也日益突顯，從而也成為企業(yè)發(fā)展的基本要素之一。根據(jù)以往經(jīng)驗來看，企業(yè)對信息安全的重視程度還遠遠不夠，表現(xiàn)在對企業(yè)信息的安全保護很不到位，這無疑給企業(yè)帶來了很大的損失。所以，企業(yè)必須要加強對信息安全的保護，建立起一套完善的信息安全體系來保證企業(yè)的信息安全。

2．缺乏統(tǒng)一的安全體系規(guī)劃和安全防范機制

目前，“頭痛醫(yī)頭、腳痛醫(yī)腳”的現(xiàn)象十分普遍，原因在于眼于局部而忽視整體。企業(yè)只是在網(wǎng)絡中安裝了一些安全設備，卻未形成統(tǒng)一的安全策略及相關規(guī)劃方案。企業(yè)在建設信息化的過程中通常采取先開展業(yè)務，后關注安全的策略，使得安全的管理遠遠落后于開展業(yè)務發(fā)展。而由于缺少整體性的規(guī)劃，使得企業(yè)在問題已經(jīng)出現(xiàn)時才去彌補，對于安全建設只能用“亡羊補牢”來形容。

3．信息安全產(chǎn)品本身存在的問題

大多數(shù)企業(yè)通常在建設信息安全系統(tǒng)的過程中就采用了一些保證信息安全的產(chǎn)品。但并不是說使用了相關安全產(chǎn)品信息系統(tǒng)就安全了，因為計算機系統(tǒng)所存在的一些安全隱患除了是由信息安全產(chǎn)品本身所具有的漏洞引起的之外，人員在使用信息安全產(chǎn)品的過程中所造成的操作失誤及用戶配置的錯誤也會對其產(chǎn)生影響。所以企業(yè)不僅要重視安全產(chǎn)品自身的問題，也要重視系統(tǒng)的操作與應用過程。

4．資金投入不夠，缺乏安全技術人才

要想建構起完善的信息安全體系，企業(yè)不僅要投入大量的資金，而且同時要引進一批高端的IT人才，組建一支專業(yè)建設信息安全的團隊。但遺憾的是，很多企業(yè)并未意識到信息安全的重要性，所以在資金投入方面很是不足，比如說，使用的電子郵箱和殺毒軟件等往往都是免費的，也沒有構建防火墻，這使得企業(yè)的信息安全得不到充分地保障。此外，雖然一些企業(yè)投資引進了一些硬件設施，但對軟件的重視不足，表現(xiàn)為投入的滯后性，從而阻礙了硬件設施發(fā)揮應有的功能。

還有一個問題，大部分企業(yè)在加強信息安全建設的過程中，通常都把注意力集中在搭建網(wǎng)絡平臺及硬件的選擇上了，卻忽視了對人才的引入和培養(yǎng)。具體表現(xiàn)在許多企業(yè)缺乏信息技術人才，而相關專業(yè)人才更是不足。按照要求，一個信息系統(tǒng)的運作應該由幾個技術人才相互配合、共同操作，但實際上卻恰恰相反，企業(yè)中的一個信息管理人員往往負責大量的操作，不僅要負責配置系統(tǒng)，還要負責管理系統(tǒng)的安全，導致對安全的設置和監(jiān)督由一個人負責，任務繁重。

二　加強企業(yè)信息安全管理的途徑

1．注重人員安全管理，提升信息安全意識

具體的操作人員在信息系統(tǒng)的建設和運行過程中必不可少，人既是管理者又是被管理者，因為他們不僅要建設和應用計算機系統(tǒng)，而且也信息管理的對象。所以在信息安全系統(tǒng)的管理中，最重要的就是對人員的安全管理，做到這一點要從以下幾個方面來進行：要建立一個安全的組織結構，對安全職能加以確認，審查人員的安全狀況，和安全人員簽訂相關的保密合同，加強離職人員的安全管理等。

企業(yè)要對員工加強有關信息安全的教育，增強他們的安全意識。保障企業(yè)的信息安全是每個職工應盡的義務。信息安全不是一種技術而是一種意識，所以僅從技術層面是無法保證企業(yè)的信息安全的。加強安全教育要企業(yè)要做到以下幾個方面，首先，加強員工的教育培訓、普及互聯(lián)網(wǎng)和信息安全的相關知識、提升員工的安全意識并增強其防范能力，使整體員工都有一種為企業(yè)信息安全負責的意識。其次通過定期舉行有關信息安全的報告和講座等，使企業(yè)自上而下都形成安全意識并銘記于心。通過上述兩種途徑可以使企業(yè)的信息安全工作順利的開展。

2．建立、健全信息安全防范體系

對于企業(yè)中信息安全的管理機制及防護規(guī)范的發(fā)展和完善，可以使企業(yè)中的那些至關重要的信息得到很好的保護。即使信息系統(tǒng)遭到入侵也能夠保證企業(yè)業(yè)務的順利進行，可以極大地降低企業(yè)的損失。

第一，提高安全系統(tǒng)的應急能力，這就要求建立和完善相應的應急管理機制，并制定應急預案。

第二，企業(yè)要建立起一個網(wǎng)絡和信息安全管理的平臺，在網(wǎng)絡內外部署相關的信息安全設施，比如要加強網(wǎng)絡的安全性管理，在網(wǎng)絡中設置一些控制訪問的策略，并對網(wǎng)絡的安全使用加以規(guī)范，具體來說就是要安裝避免病毒入侵的軟件，對網(wǎng)絡經(jīng)常進行檢測，提高防火墻的性能等。

第三，建立機制對信息安全進行集中化管理。如數(shù)據(jù)安全控制和加密密鑰的集中化管理，前者可以做到自上而下的全面執(zhí)行企業(yè)的安全防范策略，后者可以降低人為原因導致的數(shù)據(jù)安全的風險，并可以保證不與其他的加密策略發(fā)生沖突，實現(xiàn)兼容。

第四，企業(yè)還要重視對于異地數(shù)據(jù)的備份工作及當遇到意外情況時可以實現(xiàn)信息恢復的機制設計，因為這可以保障信息系統(tǒng)的安全運行。

第五，重視風險評估工作。這要求企業(yè)在平時要對信息系統(tǒng)的安全性進行定期的評估，以提高企業(yè)抵御風險的能力。

3．健全用戶權限和上網(wǎng)管理制度

企業(yè)信息安全管理工作的一個重點就是要建立并完善用戶瀏覽的權限及網(wǎng)上管理的制度設計，并使之得到嚴格地執(zhí)行。同時隨著企業(yè)的發(fā)展和業(yè)務系統(tǒng)的完善要不斷對其補充和修正。

首先，對用戶權限的管理加以完善。這就要求企業(yè)改變以往把每個員工都當成管理員可以隨意瀏覽信息的狀況，要將每個員工的權限加以明確并保證最小，減少他們對信息系統(tǒng)的操作從而在最大程度上保證系統(tǒng)的安全。

其次，要限制員工的上網(wǎng)行為。在信息化時代，要想控制眾多員工上網(wǎng)的行為，就必須要從管理和技術兩個方面來實現(xiàn)。此外，要嚴格檢測和控制那些從外部傳來的文件，防止它們給企業(yè)內部的網(wǎng)絡帶來病毒。

4．進一步健全、監(jiān)管第三方服務體系

由于對信息安全的擔憂和對服務質量的懷疑，大部分企業(yè)都不愿意采取第三方提供的服務體系。在企業(yè)中，信息安全工作至關重要，如果不小心泄露了企業(yè)的重要資料，就會給企業(yè)帶來致命的打擊。

政府應發(fā)揮作用加強有關第三方的法律法規(guī)建設并制定行業(yè)標準，排除企業(yè)對第三方的疑慮。企業(yè)應加強與第三方的合作，雙方共同努力建設起符合企業(yè)特點的信息安全體系，使得企業(yè)的信息安全能夠獲得最有力的保證。企業(yè)應設立專門的監(jiān)察職位，主要負責監(jiān)督、檢查企業(yè)管理信息系統(tǒng)的運行情況并直接向企業(yè)總經(jīng)理負責。因其“第三者”的角色，可更加客觀、公正對企業(yè)信息安全以及業(yè)務流程進行監(jiān)察，及時發(fā)現(xiàn)信息安全隱患。

5．加大建設資金投入，完善軟件硬件建設

要想順利建成企業(yè)的信息安全體系，大量的資金投入是必不可少的。企業(yè)應投入足夠的資金來購買相應的設備，如相關軟件和服務器等，同時企業(yè)也可以采取外包的形式。

首先，在加強硬件設施方面，企業(yè)可以應用加密系統(tǒng)來保護有關的口令、文檔及網(wǎng)內的重要數(shù)據(jù)。這樣我們就可以更有針對性的在網(wǎng)上傳輸數(shù)據(jù)。加密管理有三種類型，即端點、節(jié)點和鏈路加密，企業(yè)可以根據(jù)自己的實際情況從其中進行選擇。特別是在控制信息系統(tǒng)開發(fā)的過程中就應滲透信息安全保護機制，從根本上預防信息安全隱患。

其次，加強軟件建設，最主要的就是采取積極有效的措施使操作系統(tǒng)的安全性得到最大程度的保護。具體來說就是要對有關信息管理的各種軟件定期加以更新，保證數(shù)據(jù)庫和終端的操作系統(tǒng)的版本保持一致，這不僅有利于加強管理，而且可以提高系統(tǒng)的防御功能

此外，要做到經(jīng)常性的數(shù)據(jù)備份，選用高強度口令保護賬號安全，針對不同賬號設定不同密令，經(jīng)常更新殺毒軟件及補丁以及在局域網(wǎng)與互聯(lián)網(wǎng)之間安裝防火墻，并周期性的對文件進行排查，及時發(fā)現(xiàn)已感染病毒的文件以及信息丟失的現(xiàn)象。

企業(yè)的信息安全管理是一個動態(tài)的過程，要隨時代的發(fā)展而不斷加以創(chuàng)新。因此，我們必須不斷探索加強信息安全管理的思路和方法，并對逐步構建起相對完善、高效、可靠的信息安全管理體系，定期對企業(yè)的信息安全風險和信息安全管理水平進行評估。

參考文獻

篇8

關鍵詞：化工企業(yè)　安全管理　問題　創(chuàng)新

一、前言

近幾年，由于化工企業(yè)科學技術的快速發(fā)展，為其下游產(chǎn)品提供了多種類型的原材料，這樣一來，生產(chǎn)規(guī)模與強度得到了快速提高，與此同時，生產(chǎn)過程中含有易燃、易爆、毒性較強的有機物的比例越來越大?；馂?、爆炸等安全事故發(fā)生的概率也逐漸增大，并且事故原因越來越復雜。近年來，我國化工企業(yè)頻繁出現(xiàn)安全事故，不僅使企業(yè)蒙受了巨大的經(jīng)濟損失，而且也給國家?guī)硪欢ǖ慕?jīng)濟損失，由此看來，加強化工企業(yè)的安全管理是非常有必要的。本文主要對當前我國化工企業(yè)安全管理存在的問題進行了深入的探討和分析，同時對化工企業(yè)安全管理的創(chuàng)新進行了詳細闡述，以便提高化工企業(yè)安全管理工作的質量。

二、當前我國化工企業(yè)安全管理存在的諸多問題

1.人為因素是導致安全事故發(fā)生的主要原因之一

根據(jù)安全事故管理部分的統(tǒng)計分析得出，因人的不安全行為導致安全事故發(fā)生的比例占大多數(shù)。其主要表現(xiàn)在以下幾點：沒有嚴格按照操作規(guī)程進行操作；沒有及時發(fā)現(xiàn)異常情況，或者沒有及時采取有效的措施加以處理；操作過程不能集中精力；隨意放置易燃、易爆產(chǎn)品；管理人員缺少必要的管理方面的知識等。上述這些都將會導致化工企業(yè)出現(xiàn)不同程度的安全事故，給國家與企業(yè)造成巨大的經(jīng)濟損失。

2.沒有落實安全管理制度

大多數(shù)化工企業(yè)都是生產(chǎn)易燃、易爆的產(chǎn)品，因此，化工企業(yè)必須要認真貫徹相關的安全生產(chǎn)法律法規(guī)、安全管理制度等。然而，在實際生產(chǎn)過程中，雖然化工企業(yè)對上述法律法規(guī)、安全管理制度等都會會議或者培訓期間對員工加以教育，其形式有多種多樣，例如：電視、廣播等，加大了對安全事故的宣傳力度，同時各個分公司、班組等都制定了相應的安全管理制度，然而，卻不能阻礙安全事故的出現(xiàn)，這主要是因為生產(chǎn)重于安全，人情大于制度，這樣便使，在生產(chǎn)過程中法律法規(guī)、安全制度等的作用都大打折扣，導致各種安全事故的發(fā)生。

3.生產(chǎn)設備過于落后

近年來，產(chǎn)品結構的不斷更新，使得原有的設備不能再滿足當前社會生產(chǎn)的需求。再加上，因資金、供需矛盾等因素的影響，導致很多化工企業(yè)沒有能力購買更為先進的生產(chǎn)設備，沒有將危險品的生產(chǎn)轉向現(xiàn)代化的機械設備生產(chǎn)，這在一定程度上直接制約了我國化工企業(yè)的發(fā)展，而且也給安全事故的發(fā)生帶來了可能。

三、對化工企業(yè)安全管理的創(chuàng)新分析

1.安全管理觀念的創(chuàng)新

1.1避免安全管理的形式化

現(xiàn)如今，大多數(shù)的化工企業(yè)的安全管理思想都只停留在思想意識的教育階段，一直都是講安全，然而卻沒有付諸于實際行動。自每次會議上都要談到安全問題，因此，安全在各職工頭腦中出現(xiàn)的概率較高。此做法主要是為了提高員工的安全意識方面，發(fā)揮了巨大作用；當已經(jīng)完全發(fā)揮出此作用后，仍然將安全工作作為生產(chǎn)的重點工作來抓，那么就會使現(xiàn)狀與實際相互脫離，此時的安全工作也只是流于形式。由此看來，化工企業(yè)要避免安全管理的形式化，在大多數(shù)的私營化工企業(yè)中，存在嚴重的形式管理思想，只講不做。過多的形式會使我們耗費更多的精力，對工作帶來一些負面影響。

1.2要有科學的管理態(tài)度

事實上，安全管理和其它管理工作有很大的不同，可以說，安全管理是風險管理，重點在于概率出現(xiàn)的大小，可以就是說，不存在絕對的安全。我們要杜絕兩種錯誤的思想：第一，將安全工作看成是一種風險，因此，只是靠運氣，沒有及時尋找控制方法，在企業(yè)發(fā)生安全事故后便自認倒霉；第二，想達到絕對安全，不能有小概率安全事故出現(xiàn)，其控制能力完全和實際不相符合。所以，這兩種極端思想是錯誤的，必須要樹立正確的安全管理思想。在當今社會，只有科學的安全管理措施，才能降低安全事故出現(xiàn)的頻率。

2.安全管理方法的創(chuàng)新

2.1防范為主，重視結果

由于安全管理創(chuàng)新是受企業(yè)的發(fā)展特點的限制，化工生產(chǎn)安全管理必須實施全方面、全過程的管理，將軟件和硬件實行共同管理。所以，化工企業(yè)安全管理創(chuàng)新始終堅持防范為主，重視結果的原則。不管是從完善設備、措施等條件下，還是推行新技術都要堅持預防為主要目標，提高安全系數(shù)，盡管在出現(xiàn)錯誤操作的情況下，也能有效避免安全事故的出現(xiàn)。

2.2建立并完善安全管理機制

要建立以法人為首的安全生產(chǎn)責任制，將安全生產(chǎn)的責任具體到個人，從而建立一套完善的安全管理體系。同時，建立安全生產(chǎn)管理部門，明確員工的職責，使安全生產(chǎn)管理機制長期、有效的運行下去。

2.3抓好安全管理的基本工作

在建立完善的安全管理制度的同時還要進一步加強安全信息管理，認真做好記錄、整理和加工的工作，同時還要熟練掌握安全工作中違反規(guī)定的情況，分析出現(xiàn)異常情況的各種參數(shù)資料，掌握安全事故發(fā)生的規(guī)律，在加強安全生產(chǎn)的同時，必須要將制度落實到位。

四、結束語

總體來說，近年來，我國化工企業(yè)頻繁出現(xiàn)安全事故，不僅使企業(yè)蒙受了巨大的經(jīng)濟損失，而且也給國家?guī)硪欢ǖ慕?jīng)濟損失，由此看來，加強化工企業(yè)的安全管理是非常有必要的。化工生產(chǎn)過程中的安全事故的發(fā)生是由多種因素引起的，但是，這些影響因素不能很快都解決掉，盡管采用非常高效的管理方法，也需要一定的時間，逐漸改善各種復雜因素的影響，這樣才能顯現(xiàn)出一定的效果，將安全事故消除在萌芽狀態(tài)。

參考文獻

[1]黃德亨.化工企業(yè)安全網(wǎng)格化管理的思考與實踐[J].化學世界,2008(8).

篇9

信息安全是指在信息傳導和應用過程中必須保障信息的秘密性和可靠性，其實質就是要保障信息系統(tǒng)和信息網(wǎng)絡中的信息資源免遭各種類型的破壞。國際標準化組織(ISO)把信息安全定義為“信息的完整性、可用性、保密性和可靠性”。

信息技術在企業(yè)管理、生產(chǎn)管理和過程管理中的應用，提高了企業(yè)的生產(chǎn)運行和經(jīng)營管理水平。但在信息網(wǎng)絡安全體系層面，不少企業(yè)卻面臨著風險：

1.網(wǎng)絡邊界安全風險。不同安全域之間的網(wǎng)絡連接沒有有效訪問控制措施，來自互聯(lián)網(wǎng)的訪問存在潛在的掃描攻擊、DOS攻擊、非法侵入等。

2.業(yè)務安全風險。缺乏嚴格的驗證機制，導致非法用戶使用關鍵業(yè)務系統(tǒng)，不同業(yè)務系統(tǒng)之間缺少較細粒度的訪問控制。

3.數(shù)據(jù)傳輸?shù)陌踩L險。企業(yè)的數(shù)據(jù)通過互聯(lián)網(wǎng)傳輸時被竊聽。

4.系統(tǒng)基礎平臺安全風險。全網(wǎng)所有終端和服務器的平臺安全、系統(tǒng)或設備的安全漏洞所帶來的風險。

5.病毒安全風險。全網(wǎng)任何一點感染病毒都將帶來巨大的破壞，網(wǎng)絡化的環(huán)境需要網(wǎng)絡化的防病毒方案及多層次的防護體系。

信息安全不僅僅是技術上的問題，更多地涉及到安全管理層面。加強信息安全的管理是企業(yè)建立信息安全體系的一個重要部分。

全面的安全防護體系是保證企業(yè)信息網(wǎng)絡安全運行的根本，是對現(xiàn)有的網(wǎng)絡、系統(tǒng)和數(shù)據(jù)進行有效的保護和加固。安全防護體系的建設需要使用當前的各種安全技術和安全產(chǎn)品，要有重點地布置安全產(chǎn)品。

1.劃分安全區(qū)域并制定明確的邊界訪問制度，根據(jù)數(shù)據(jù)敏感程度，在關鍵業(yè)務網(wǎng)段處部署網(wǎng)閘系統(tǒng)，在管理和辦公網(wǎng)段以及其他出口處部署防火墻系統(tǒng)，實現(xiàn)嚴格的訪問控制機制。

2.建立網(wǎng)絡入侵檢測系統(tǒng)，增強審計響應手段，提高對異常行為的深度檢測以及對安全事件的集中分析、定位和追查能力。

3.建立網(wǎng)絡入侵保護系統(tǒng)，在出口處對網(wǎng)絡流量進行檢測，并實時阻斷來自外部或內部的各種攻擊，同時凈化網(wǎng)絡流量。

4.構建節(jié)點間的VPN體系，保護在節(jié)日間數(shù)據(jù)傳輸?shù)臋C密性、完整性和可認證性。

5.部署漏洞掃描系統(tǒng)，檢查網(wǎng)絡，系統(tǒng)以及終端存在的弱點和漏洞。

6.建立網(wǎng)絡防病毒體系，以增強全網(wǎng)抗病毒和防蠕蟲攻擊的能力。

7.在對外信息系統(tǒng)前部署抗拒絕服務系統(tǒng)，抵御來自外部的各種拒絕服務攻擊。

8.建立數(shù)據(jù)備份系統(tǒng)，提高關鍵業(yè)務數(shù)據(jù)的可用性。

9.部署集中的認證系統(tǒng)，實現(xiàn)認證信息的集中存儲與鑒權控制。

完善的安全管理策略是對企業(yè)信息網(wǎng)絡安全進行可控管理的關鍵，安全管理策略的建設包括以下內容：

1.制定完善的信息安全規(guī)章制度，規(guī)范整個企業(yè)對網(wǎng)絡以及信息系統(tǒng)的使用。

2.定期對全網(wǎng)進行安全評估和加固，通過安全評估，實時了解和掌握整個網(wǎng)絡的安全現(xiàn)狀，通過安全加固使網(wǎng)絡和系統(tǒng)更加健壯。

3.建立內網(wǎng)安全管理系統(tǒng)，從終端安全、桌面管理、行為監(jiān)控、網(wǎng)絡準人控制等方面對內部網(wǎng)絡進行保護，加強對內部網(wǎng)絡和系統(tǒng)的管理。

4.建立一套完備的應急響應機制，以便在遇到突發(fā)事件時可以及時響應并解決問題。

篇10

摘要：本文從企業(yè)信息化建設中遇到的各種安全狀況著手，分析產(chǎn)生這些現(xiàn)象的原因，最后給出解決方案。

關鍵詞：信息安全；網(wǎng)絡安全；信息化

遵循著摩爾定律，IT技術的發(fā)展飛速千里，硬件、軟件、網(wǎng)絡、安全等技術日新月異。正所謂任何事物都具有兩面性。它造福著人類的同時，也給人們留下了許多隱患。

隨著信息技術的發(fā)展，我國大中型企業(yè)基本上都實現(xiàn)了信息化，各企業(yè)對信息化都非常重視。但是，很多企業(yè)在信息化建設中存在很多誤區(qū)，信息化建設的任務主要集中在了財務系統(tǒng)、公司網(wǎng)站、企業(yè)郵箱、辦公自動化、ERP等初級階段，信息安全沒有得到足夠重視。

1企業(yè)信息安全中常遇到的幾類問題

下面概要談一下企業(yè)信息安全中常遇到的幾類問題：

(1)移動存儲：最近兩年的u盤容量呈爆炸性增長，幾G、幾十G的U盤已經(jīng)比較常見。按照現(xiàn)在U盤讀寫速率，一分鐘拷貝走幾百Mb的東西不成問題。在辦公時間里很多工作人員沒有養(yǎng)成人走鎖機的習慣，這就造成了一個潛在的安全威脅。其他的移動存儲器，比如：移動砸盤、存儲卡、MP3播放器等，同樣具有拷貝文件的功能。

移動存儲連接上電腦以后，還有另外一個威脅，就是把存儲在自身的病毒、木馬等自動復制到電腦上，為信息安全埋下隱患。

(2)網(wǎng)絡：現(xiàn)在基本上已是互聯(lián)網(wǎng)絡時代?；ヂ?lián)網(wǎng)的發(fā)展為病毒、木馬、黑客等的發(fā)展提供了最好的溫床。通過電子郵件，或者即時通訊軟件，幾個G的文件很容易被轉移到外部。同時網(wǎng)絡中也存在著木馬威脅，頑強的木馬可使整個公司網(wǎng)絡癱瘓，造成的經(jīng)濟損失數(shù)額巨大，成為一段時間以來危害網(wǎng)絡安全的罪魁禍首。作為企業(yè)用戶，不應隨意打開來歷不明的郵件；不要隨意下載和運行來歷不明的軟件；及時修補漏洞和關閉可疑端口；及時升級病毒庫；設置復雜型密碼等。

(3)內部因素：內部人員的不保密性，商業(yè)間諜的出現(xiàn)，為企業(yè)信息外傳提供可能。職員辭職后帶走部分企業(yè)機密信息的不在少數(shù)。很多有價值的資料，在不經(jīng)意間已經(jīng)流出公司。

(4)外部因素：比如說。A公司有零件需要B公司加工，A公司會把加工圖紙發(fā)送給B公司，而B公司有可能把加工圖紙泄漏給A公司的競爭對手C公司。C公司對這份圖紙得來全不費功夫。

(5)不可測因素：例如最近的地震。有可能造成公司數(shù)據(jù)資料的丟失；服務器的癱瘓，對企業(yè)的正常運轉，信息的傳遞，都造成了不可估計的影響。

2產(chǎn)生這些問題的原因

一方面，沒有信息安全方面的觀念。在現(xiàn)在的企業(yè)信息化建設過程中，財務軟件、人力資源管理軟件、ERP軟件等比較受歡迎，因為這些軟件直接參與企業(yè)的生產(chǎn)經(jīng)營活動，而對信息安全方面關注的人比較少。

另一方面，因為管理、技術、人員、制度的不健全。

(1)管理：沒有完善的管理方法，管理人員專注于企業(yè)的生產(chǎn)經(jīng)營。對企業(yè)的信息安全無暇顧及。

(2)技術：信息技術的發(fā)展，帶來了很多新技術，這些新技術沒有經(jīng)過時間的檢驗，很可能在以后的發(fā)展過程中成為一個隱患。另外，信息安全的技術很多種，不是少數(shù)幾個人能掌握得了的。所以，搞信息化建設的專業(yè)人才，要不斷學習。不斷提高自身水平。

(3)人員：由于企業(yè)對信息安全重視程度不高，對信息安全人員的需求度不高，基本上沒有設置專業(yè)的信息安全崗位。企業(yè)中其他職員。是計算機普通使用者，沒有形成良好的安全習慣。給有企圖的人留下了可乘之機。

(4)制度：關于信息安全的制度不健全。即使有，信息安全方面的行為準則也是一紙空文，無法嚴格執(zhí)行。

這些原因構成了信息安全隱患的主要部分。針對這些原因下手?？梢蕴岣咂髽I(yè)的信息安全度。

3解決這些問題的方法

我們可以從以下幾個方面進行解決：

我們要對企業(yè)信息安全建立整體架構規(guī)劃，首先要了解企業(yè)的信息安全需求。企業(yè)的信息安全需求，以可用性、完整性、保密性為基礎。實施信息安全要注意一個度的問題，比方說，產(chǎn)品圖紙的信息價值一百萬元，而我們花費兩百萬元對它進行保護。這就顛倒了主次，混淆了本末。我們如何才能知道我們的信息價值，可以借助于價值評估來完成。

企業(yè)信息安全架構規(guī)劃可以從信息安全的不同領域：物理安全、系統(tǒng)安全、數(shù)據(jù)安全、網(wǎng)絡安全、應用安全等各個領域分別解決。

3.1物理安全

企業(yè)信息安全的物理安全的風險是多種多樣的。主要是指地震、水災、火災等環(huán)境事故；電源故障；人為操作失誤或錯誤：設備被盜、被毀；電磁干擾；線路截獲。我們要有針對性的解決：服務器要有專門的專業(yè)機房，能防雷、防靜電、防灰塵、防盜；客戶機要確保計算機主機的安全，防止丟失電腦配件或者整機。

3.2系統(tǒng)安全

包含計算機操作系統(tǒng)安全及在系統(tǒng)架構上的軟件安全。沒有絕對安全的操作系統(tǒng)，只有相對安全的操作系統(tǒng)。計算機上最好能安裝正版操作系統(tǒng)，并及時下載補丁升級。對操作系統(tǒng)平臺進行安全配置，對操作和訪問權限進行嚴格控制，以確保把系統(tǒng)的危險降低到最低。應用軟件方面。盡量安裝大型軟件公司出品的產(chǎn)品。免費軟件、共享軟件、破解軟件等有安全隱患沒有通過安全驗證的軟件，盡量不要安裝。安裝的軟件要盡量避免與計算機內已有的軟件發(fā)生沖突，以免引起系統(tǒng)不能穩(wěn)定運行，頻繁死機重啟，造成數(shù)據(jù)丟失。

3.3數(shù)據(jù)安全

重要的文檔要加密。密碼在方便記憶的情況下，越復雜越好。重要數(shù)據(jù)要“狡兔三窟”，除了在本機有，還要做好備份工作。定期做好數(shù)據(jù)的備份工作，當計算機發(fā)生故障時，可以將損失減少到最低。

3.4網(wǎng)絡安全

網(wǎng)絡安全是一個熱門的話題。下面我們就幾種網(wǎng)絡安全基礎防護設施作一下介紹，它主要包含防火墻、入侵檢測、漏洞掃描、病毒防治等。

(1)防火墻

防火墻指的是一個由軟件和硬件設備組合而成、在內部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構造的保護屏障。

防火墻是網(wǎng)絡安全的屏障，它可以強化網(wǎng)絡安全策略，可以對網(wǎng)絡存取和訪問進行監(jiān)控審計，同時可以防止內部信息的外泄。

(2)入侵檢測系統(tǒng)

入侵檢測系統(tǒng)(Intrusion-detection system，下稱“l(fā)DS'’)是一種對網(wǎng)絡傳輸進行即時監(jiān)視。在發(fā)現(xiàn)可疑傳輸時發(fā)出警報或者采取主動反應措施的網(wǎng)絡安全設備。它與其他網(wǎng)絡安全設備的不同之處在于，IDS是一種積極主動的安全防護技術。

(3)漏洞掃描系統(tǒng)

漏洞掃描系統(tǒng)是一種系統(tǒng)安全評估技術，它包括網(wǎng)絡模擬攻擊、漏洞測試、報告服務進程以及評測風險，提供安全建議和改進措施等功能。

(4)防病毒系統(tǒng)

對付病毒最理想的辦法是預防，就是不讓病毒進入系統(tǒng)。但這個目標不可能實現(xiàn)，只能通過加強預防措施來減少病毒攻擊的成功次數(shù)。

世界上沒有完美的防病毒系統(tǒng)，國內和國外的都有其特點。一般來說，國外的技術先進，國內的有本地化優(yōu)勢。具體選擇哪款，要綜合考慮。但沒有能通殺所有病毒的殺毒軟件，并且，殺毒軟件要經(jīng)常更新病毒庫，這樣才能發(fā)揮它的最大效力。

3.5安全審計系統(tǒng)

上面介紹的幾種安全防護措施，它們對防止外部入侵有一定的效果，但并不能完全阻止入侵者的攻擊，特別對于內部安全問題的防范比較薄弱。在這種情況下，就需要網(wǎng)絡安全審計系統(tǒng)進行補充。網(wǎng)絡安全審計系統(tǒng)是一種基于信息流的數(shù)據(jù)采集、分析、識別和資源審計封鎖軟件。通過實時審計網(wǎng)絡數(shù)據(jù)流，根據(jù)用戶設定的安全控制策略，對受控對象的活動進行審計。

3.6應用安全