導(dǎo)語：如何才能寫好一篇企業(yè)信息安全意識，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

當(dāng)前，網(wǎng)絡(luò)和計算機(jī)技術(shù)已經(jīng)推動各行各業(yè)進(jìn)入了數(shù)字化時代。數(shù)字化的企業(yè)承載著業(yè)務(wù)流和信息流，信息流引導(dǎo)業(yè)務(wù)流，業(yè)務(wù)流依附信息流，從而使企業(yè)的運行更加安全、可靠、優(yōu)質(zhì)、經(jīng)濟(jì)。

信息系統(tǒng)承載著企業(yè)幾乎所有的運營管理信息，其安全性已經(jīng)直接關(guān)系到整個企業(yè)的安全可靠運行。信息是企業(yè)的重要戰(zhàn)略資源，確保其安全是現(xiàn)代信息化企業(yè)必須面臨的重要任務(wù)。

隨著企業(yè)信息化建設(shè)的不斷深入，信息安全保障工作的重要性、迫切性日益凸現(xiàn)。如果網(wǎng)絡(luò)和信息系統(tǒng)的安全隱患得不到有效地防范，企業(yè)就極有可能遭受到惡意攻擊或破壞。信息安全事故不但會對公司業(yè)務(wù)、資產(chǎn)、形象造成影響，在某些行業(yè)，嚴(yán)重的還會引發(fā)區(qū)域性，乃至全國性的重大安全事故，其社會危害性無法估量。

據(jù)相關(guān)信息安全調(diào)查報告顯示，中國內(nèi)地企業(yè)在信息安全管理方面存在滯后，信息安全與隱私保障方面遠(yuǎn)遠(yuǎn)落后于印度。數(shù)據(jù)顯示，內(nèi)地企業(yè)44%的信息安全事件與數(shù)據(jù)泄露、員工不當(dāng)操作等管理問題有關(guān)，而全球的平均水平只有16%。

調(diào)查顯示，中國內(nèi)地企業(yè)在改善信息安全機(jī)制上仍有待努力，從近年安全事件結(jié)果看，中國每年大約98萬美元的財務(wù)損失，而亞洲國家平均約為75萬美元，印度大約為30.8萬美元。此外，42%的中國內(nèi)地受訪企業(yè)經(jīng)歷了應(yīng)用軟件、系統(tǒng)和網(wǎng)絡(luò)的信息安全事件。

目前，國內(nèi)的計算機(jī)信息安全從技術(shù)角度來看并不十分落后，但發(fā)展過程中暴露出很多管理方面的問題，例如信息安全管理人員意識、知識等方面的缺乏，急需大量補(bǔ)充。而且，授人與魚不如授人與漁，產(chǎn)品不是最重要的，重要的是要培養(yǎng)出安全的意識，否則企業(yè)的信息安全人員只是把產(chǎn)品買回去，并不能很好的發(fā)揮這些產(chǎn)品的作用，要從根本上解決安全的問題，必須提高員工的安全意識。

二、誤區(qū)多多，困難重重

面對瞬息萬變的安全形勢，企業(yè)并不是總能對癥下藥。尋找安全良方，避免種種安全的誤區(qū)，才是長遠(yuǎn)的安全和發(fā)展之道。

誤區(qū)1：外部威脅大于內(nèi)部隱患

要防范威脅，首先要了解威脅來自于哪里。通常，人們都會認(rèn)為來自于計算機(jī)黑客、惡意代碼編寫者等外部的安全威脅遠(yuǎn)遠(yuǎn)大于內(nèi)部的安全隱患，所以一般企業(yè)安全范圍的重點是在防范外部黑客攻擊，但是超過一半的威脅恰恰來自企業(yè)內(nèi)部，外部攻擊僅占46%。

在內(nèi)部安全威脅中，96%的是源于非蓄意的動機(jī)和錯誤;只有1%才是真正的惡意行為。由此看來，內(nèi)部威脅之所以危害巨大，歸根結(jié)底，還是員工安全意識薄弱。

盡管在防范內(nèi)部威脅方面，大多數(shù)企業(yè)還沒有拿出切實有效的方案。但是從安全調(diào)查來看，57.6%的企業(yè)已經(jīng)表示，培養(yǎng)并提高員工的信息安全意識，將是自己所在企業(yè)未來一年里，打算采取的最關(guān)鍵的安全策略。企業(yè)在未來之所以越來越重視員工信息安全管理，要歸結(jié)于多個因素：近幾年對安全意識的討論越來越多，為安全意識從“概念”到“落地”做好了準(zhǔn)備；安全廠商也在推出越來越多成熟、有效的產(chǎn)品和方案；不少企業(yè)的成功應(yīng)用案例，也提供了很多借鑒性的經(jīng)驗。當(dāng)然，最關(guān)鍵的是，企業(yè)自身的確實存在這樣的安全需求，認(rèn)識到了提高信息安全意識的重要性以及必要性。

誤區(qū)2：信息安全是IT部門的事，與其他部門無關(guān)

在某些企業(yè)中，IT部門員工就像是救火隊員，哪里出了問題就到哪里，東奔西走，十分辛苦。但是，就是這么一群任務(wù)繁重、任勞任怨的員工，卻得不到其他同事的理解和認(rèn)同。當(dāng)IT人員為其他部門進(jìn)行安全控制時（如進(jìn)行安全檢查、安裝防病毒軟件等），其他部門會反感，認(rèn)為增加了他們的工作量，降低了工作效率。但當(dāng)真正出現(xiàn)了信息安全事故時，其他部門又會責(zé)怪IT部門，認(rèn)為其平時的安全防范工作沒有做好。所以，IT部門往往是出力不討好。

怎樣徹底改變其他部門對IT部門的看法，怎樣使公司全體員工主動、積極地配合IT部門的工作，甚至可以做到自查自糾？信息安全意識的提高無疑是關(guān)鍵。員工接受了安全意識宣貫之后，就會認(rèn)識到保護(hù)信息的安全不僅僅是IT部門的職責(zé)，更是全體員工的責(zé)任；就會理解平時的安全措施不是綁著他們的繩索，而是護(hù)著他們的盾牌；就會在主動、自覺地規(guī)范自己的行為，防止信息安全事故的發(fā)生。

誤區(qū)3：重視技術(shù)產(chǎn)品的引進(jìn)，忽略安全意識的培養(yǎng)

如今，便攜式的移動設(shè)備，比如U盤、PDA等，已經(jīng)相當(dāng)普及，移動辦公已經(jīng)成為不可逆轉(zhuǎn)的趨勢。但同時，U盤中毒、失竊所導(dǎo)致機(jī)密信息泄露的事件也屢見不鮮。所以，大多數(shù)企業(yè)越來越重視對移動設(shè)備的保護(hù)。許多公司統(tǒng)一采購了具有加密、殺毒功能，甚至可以指紋識別的高科技安全U盤，分發(fā)給員工，旨在杜絕U盤泄密事件的再次發(fā)生，但往往未能達(dá)到預(yù)期效果。

嚴(yán)謹(jǐn)?shù)募用芗夹g(shù)，配合訪問控制技術(shù)，雖然可以在一定程度上防止移動設(shè)備上的數(shù)據(jù)被泄露，但依然無法防止員工不規(guī)范的使用，和移動設(shè)備的丟失或被盜。若員工把加密U盤插入自己的家庭電腦進(jìn)行辦公，那么病毒依舊有可能入侵到U盤中，這樣再強(qiáng)的加密技術(shù)也無濟(jì)于事。

和歐美等國家相比，中國U盤傳毒的問題越來越嚴(yán)重，并且一直沒辦法根絕，這和員工缺乏安全意識緊密相關(guān)。通常，員工插取U盤時，很少會考慮到是否和公司的安全策略相違背，或者有可能引發(fā)公司的安全事故。

三、立體宣貫，提升實力

篇2

關(guān)鍵詞：移動終端模式；港口企業(yè)；安全管理；信息系統(tǒng)；設(shè)計

隨著現(xiàn)代信息技術(shù)的不斷發(fā)展，信息化技術(shù)在現(xiàn)代港口企業(yè)安全管理中的應(yīng)用大大提高管理的效率。但目前一些港口企業(yè)的安全管理還存在著較大的問題，管理狀態(tài)還停留在原始的狀態(tài)上，給港口企業(yè)的安全管理帶來一定的困擾。因此本文通過建立港口安全管理的信息化平臺，改變港口安全管理的原始狀態(tài)，提高港口管理的效率。

一、港口安全管理模塊的功能性需求

港口安全管理是港口生產(chǎn)經(jīng)營的重要保障，其主要的功能是確保港口的安全生產(chǎn)，保證港口的設(shè)施安保管理功能，建立應(yīng)急管理備案和隱患排查制度，幫助港口企業(yè)提升對港口的安全監(jiān)督，提高工作的效率，因此在設(shè)計港口安全管理信息系統(tǒng)時，該模塊的安全管理要滿足以下需求。

（一）安全文件備案：港口安全文件是上級部門的一些具有權(quán)威性的文件以及制定的一些制度性的文件，因此該模塊的設(shè)計要求顯示文件備案并允許上傳附件供用戶進(jìn)行下載和瀏覽。

（二）隱患排查管理：隱患排查管理是保障港口安全生產(chǎn)的重要手段之一。港口企業(yè)要對自身的生產(chǎn)經(jīng)營活動負(fù)主要的責(zé)任，需定期在港口生產(chǎn)經(jīng)營的各個環(huán)節(jié)進(jìn)行安全隱患排查工作，并保存在系統(tǒng)中進(jìn)行公布。

（三）港口應(yīng)急管理：港口應(yīng)急管理包括多個方面的內(nèi)容，需要建立相關(guān)的應(yīng)急小組，設(shè)置應(yīng)急的預(yù)案，準(zhǔn)備各種應(yīng)急的資源，定期進(jìn)行應(yīng)急演練等。應(yīng)急預(yù)案的準(zhǔn)備也就是對港口的安全管理實施安全文件，上級部門能夠?qū)Υ嬖诘陌踩[患迅速的做出應(yīng)急措施。

二、港口安全管理信息移動終端的設(shè)計

港口安全管理信息移動終端是以計算機(jī)網(wǎng)絡(luò)和地理信息系統(tǒng)（GIS）為基礎(chǔ)建立的一個安全可靠、高效職能、可擴(kuò)展的安全生產(chǎn)監(jiān)督、監(jiān)察業(yè)務(wù)管理信息系統(tǒng)，它能為安全生產(chǎn)監(jiān)督部門實現(xiàn)網(wǎng)絡(luò)化、數(shù)字化的協(xié)同辦公，進(jìn)一步實現(xiàn)業(yè)務(wù)管理規(guī)范化、種學(xué)化、信息化。

三、港口企業(yè)安全管理信息系統(tǒng)結(jié)構(gòu)和功能設(shè)計

（一）安全文件備案管理模塊：在安全文件備案管理模塊中，行政部門的用戶可以通過系統(tǒng)上傳安全的文件提供給港口企業(yè)進(jìn)行下載和瀏覽。用戶使用對應(yīng)的賬號登錄以后，對相應(yīng)的模塊進(jìn)行判斷，港口企業(yè)可直接查看信息，行政單位用戶可以進(jìn)入到安全文件備案中進(jìn)行直接的操作，可以添加和刪除安全文件的信息。在添加安全文件時用戶可以直接使用賬號登錄系統(tǒng)，進(jìn)入到安全文件備案管理模塊，如果具有查看安全文件的權(quán)限，那么進(jìn)入系統(tǒng)可以直接查看上級部門的一些行政性的文件或者制度性的文件。

（二）安全隱患排查模塊：安全隱患排查主要是檢查人員可以通過移動終端進(jìn)行安全隱患的排查工作，并進(jìn)入到相關(guān)的模塊中，檢查相關(guān)的隱患類型，如常規(guī)檢查、交接班檢查等，選擇一項后系統(tǒng)會自動的加載該項的所有項目提供給檢查人員檢查。如果想要重新進(jìn)行檢查時可以選擇相應(yīng)的類型，系統(tǒng)將會自動加載該類型的相關(guān)項目，檢查人員可以根據(jù)檢查的實際情況選擇自己所要檢查的內(nèi)容。

（三）港口應(yīng)急管理模塊：在應(yīng)急管理模塊中，管理人員可以通過移動終端進(jìn)入到系統(tǒng)中建立相應(yīng)的應(yīng)急預(yù)案和應(yīng)急小組，對應(yīng)急資源和信息進(jìn)行管理和維護(hù)。應(yīng)急管理人員進(jìn)入到系統(tǒng)中可以對各自負(fù)責(zé)的應(yīng)急資源和信息進(jìn)行管理和操作，可以添加應(yīng)急的資源和信息，更新應(yīng)急的信息和資源。

（四）移動終端的管理：在港口安全管理中，對管理人員的績效考核往往是在事后進(jìn)行核算，因此對于管理人員的業(yè)務(wù)水平很難形成動態(tài)的追蹤，在人員的管理中出現(xiàn)了較大的阻礙。為完善管理人員的考核工作，且能夠較準(zhǔn)確的反應(yīng)出人員對安全隱患的應(yīng)急措施的有效性。

四、系統(tǒng)的試運行

系統(tǒng)試運行過程中，結(jié)合企業(yè)原有局域網(wǎng)系統(tǒng)，將軟件安裝在已有的服務(wù)器上，組織使用人員進(jìn)行專題培訓(xùn)。系統(tǒng)試運行正式開始，技術(shù)人員與軟件使用人員組織了多次溝通協(xié)調(diào)會，對系統(tǒng)功能進(jìn)行了一系列補(bǔ)充和修改，系統(tǒng)的運行基本達(dá)到預(yù)期效果。從系統(tǒng)開始運行至今，安全管理信息系統(tǒng)在日照港的運行效果非常明顯，在系統(tǒng)運行之前，以1名普通安全管理人員為例，每月花費在文件整理歸檔上的工作大約占到其工作總量的46%以上，每月的工作時間大約在84工作時左右；在管理系統(tǒng)運行后這部分的時間被縮減至17個工作時，累計節(jié)約時間達(dá)到80%以上。

篇3

關(guān)鍵詞：網(wǎng)絡(luò)環(huán)境 企業(yè)信息 安全管理

引言

隨著社會的發(fā)展，企業(yè)對信息資源的依賴程度來越大，由此帶來的信息安全問題也日益突出。生產(chǎn)中的業(yè)務(wù)數(shù)據(jù)、管理中的重要信息，如果企業(yè)自身的信息安全管理有重大疏漏，也無法保證數(shù)據(jù)的安全可靠。當(dāng)前，企業(yè)在黑客病毒日益猖撅的網(wǎng)絡(luò)環(huán)境下不僅要保護(hù)自身信息的安全，還要保護(hù)業(yè)務(wù)數(shù)據(jù)的信息安全，因此有必要從體系管理的高度構(gòu)建企業(yè)信息安全。

一、企業(yè)信息安全的二維性

當(dāng)前，企業(yè)信息安全已涉及到與信息相關(guān)的各方面。企業(yè)信息安全不僅要考慮信息本身，還需要考慮信息依附的信息載體（包括物理平臺、系統(tǒng)平臺、通信平臺、網(wǎng)絡(luò)平臺和應(yīng)用平臺，例如PC機(jī)、服務(wù)器等）的安全以及信息運轉(zhuǎn)所處環(huán)境（包括硬環(huán)境和軟環(huán)境，例如員工素質(zhì)、室內(nèi)溫度等）的安全。資產(chǎn)如果不對影響信息安全的各個角度進(jìn)行全面的綜合分析，則難以實現(xiàn)企業(yè)信息安全。因此，需要從企業(yè)信息安全的總體大局出發(fā)，樹立企業(yè)信息安全的多維性，綜合考慮企業(yè)信息安全的各個環(huán)節(jié)，揚長避短，采取多種措施共同維護(hù)企業(yè)信息安全。

1、技術(shù)維：技術(shù)發(fā)展是推動信息社會化的主要動力，企業(yè)通常需要借助于一項或多項技術(shù)才能充分利用信息，使信息收益最大化。然而，信息技術(shù)的使用具有雙面性，人們既可以利用技術(shù)手段如電子郵件等迅速把信息發(fā)送出去，惡意者也可由此截獲信息內(nèi)容。為確保企業(yè)信息安全，必須合理的使用信息技術(shù)，因此，技術(shù)安全是實現(xiàn)企業(yè)信息安全的核心。

1）惡意代碼和未授權(quán)移動代碼的防范和檢測。網(wǎng)絡(luò)世界上存在著成千上萬的惡意代碼（如計算機(jī)病毒、網(wǎng)絡(luò)蠕蟲、特洛伊木馬和邏輯炸彈等）和未授權(quán)的移動代碼（如Javaseript腳本、Java小程序等）。這些代碼會給計算機(jī)等信息基礎(chǔ)設(shè)施及信息本身造成損害，需要加以防范和檢測。

2）信息備份。內(nèi)在的軟硬件產(chǎn)品目前還不能確保完全可靠，還存在著各種各樣的問題。外在的惡意代碼和未授權(quán)移動代碼的攻擊，也會造成應(yīng)用信息系統(tǒng)的癱瘓。為確保信息的不丟失，有必要采取技術(shù)備份手段，定期備份。

3）訪問權(quán)限。不同的信息及其應(yīng)用信息系統(tǒng)應(yīng)有不同的訪問權(quán)限，低級別角色不應(yīng)能訪問高級別的信息及應(yīng)用信息系統(tǒng)。為此，可通過技術(shù)手段設(shè)定信息的訪問權(quán)限，限制用戶的訪問范圍。

4）網(wǎng)絡(luò)訪問。當(dāng)今，一個離開網(wǎng)絡(luò)的企業(yè)難以成功運轉(zhuǎn)，員工通常需要從網(wǎng)絡(luò)中獲取各種信息。然而，網(wǎng)絡(luò)的暢通也給惡意者提供了訪問企業(yè)內(nèi)部信息的渠道。為此，有必要采用網(wǎng)絡(luò)防火墻技術(shù)，控制內(nèi)部和外部網(wǎng)絡(luò)的訪問。

2、管理維：企業(yè)信息安全不但需要依靠技術(shù)安全，而且與管理安全也息息相關(guān)。沒有管理安全，技術(shù)安全是難以在企業(yè)中真正貫徹落實的。管理安全在企業(yè)中的實施是企業(yè)信息得以安全的關(guān)鍵。企業(yè)應(yīng)建立健全相應(yīng)的信息安全管理辦法，加強(qiáng)內(nèi)部和外部的安全管理、安全審計和信息跟蹤體系，提高整體信息安全意識，把管理安全落到實處。

l）信息安全方針和信息安全政策的制定。信息安全方針和信息安全政策體現(xiàn)了管理者的信息安全意圖，管理者應(yīng)適時對信息安全方針評審，以確保信息安全方針政策的適宜性、充分性和有效性。

2）構(gòu)建信息安全組織架構(gòu)。為在企業(yè)內(nèi)貫徹既定的信息安全方針和政策，確保整個企業(yè)信息安全控制措施的實施和協(xié)調(diào)，以及外部人員訪問企業(yè)信息和信息處理設(shè)施的安全，需要構(gòu)建有效的信息安全組織架構(gòu)。

二、企業(yè)信息安全構(gòu)建原則

企業(yè)信息安全構(gòu)建原則為確保企業(yè)信息的可用性、完整性和機(jī)密性，企業(yè)在日常運作時須遵守以下原則。

l）權(quán)限最小化。受保護(hù)的企業(yè)信息只能在限定范圍內(nèi)共享。員工僅被授予為順利履行工作職責(zé)而能訪問敏感信息的適當(dāng)權(quán)限。對企業(yè)敏感信息的獲知人員應(yīng)加以限制，僅對有工作需要的人員采取限制性開放。最小化原則又可細(xì)分為知所必須和用所必須的原則，即給予員工的讀權(quán)限只限于員工為順利完成工作必須獲的信息內(nèi)容，給予員工的寫權(quán)限只限于員工所能夠表述的內(nèi)容。

2）分權(quán)制衡。對涉及到企業(yè)信息安全各維度的使用權(quán)限適當(dāng)?shù)貏澐?，使每個授權(quán)主體只能擁有其中的部分權(quán)限，共同保證信息系統(tǒng)的安全。如果授權(quán)主體分配的權(quán)限過大，則難以對其進(jìn)行監(jiān)督和制約，會存在較大的信息安全風(fēng)險。因此，在授權(quán)時要采取三權(quán)分立的原則，使各授權(quán)主體間相互制約、相互監(jiān)督，通過分權(quán)制衡確保企業(yè)信息安全。例如網(wǎng)絡(luò)管理員、系統(tǒng)管理員和日志審核員就不應(yīng)被授予同一員工。

三、企業(yè)信息安全管理體系的構(gòu)建

信息安全管理體系模型企業(yè)信息安全管理體系的構(gòu)建要統(tǒng)籌考慮多方面因素，勿留短板。安全技術(shù)是構(gòu)建信息安全的基礎(chǔ)，員工的安全意識和企業(yè)資源的充分提供是有效保證安全體系正常運作的關(guān)鍵，安全管理則是安全技術(shù)和安全意識恒久長效的保障，三者缺一不可。因此，在構(gòu)建企業(yè)信息安全管理體系時，要全面考慮各個維度的安全，做好各方面的平衡，各部門互相配合，共同打造企業(yè)信息安全管理平臺?？茖W(xué)的安全管理體系應(yīng)該包括以下主要環(huán)節(jié)：制定反映企業(yè)特色的安全方針、構(gòu)建強(qiáng)健有力的信息安全組織機(jī)構(gòu)、依法行事、選擇穩(wěn)定可靠的安全技術(shù)和安全產(chǎn)品、設(shè)計完善的安全評估標(biāo)準(zhǔn)、樹立.員工的安全意識和營造良好的信息安全文化氛圍等。因此，為了使企業(yè)構(gòu)建的信息安全管理體系能適應(yīng)不斷變化的風(fēng)險，必須要以構(gòu)建、執(zhí)行、評估、改進(jìn)、再構(gòu)建的方式持續(xù)地進(jìn)行，構(gòu)成一個P（計劃）、D（執(zhí)行）、C（檢查）、A（改進(jìn)）反饋循環(huán)鏈以使構(gòu)建的企業(yè)信息安全管理體系不斷地根據(jù)新的風(fēng)險做出合理調(diào)整。

四、結(jié)論

信息安全管理體系的構(gòu)建對企業(yè)高效運行具有重要意義。只有全面分析影響企業(yè)信息安全的各種來源后才能構(gòu)建良好的企業(yè)信息安全管理體系。從大量的企業(yè)案例來看，技術(shù)、管理和資源是影響企業(yè)信息安全的3個角度。為此，應(yīng)從技術(shù)、管理和資源出發(fā)考慮信息安全管理體系的構(gòu)建原則和企業(yè)信息安全管理體系應(yīng)滿足的基本要求。同時，也應(yīng)注意到，信息安全管理體系的構(gòu)建不是一勞永逸而是不斷改進(jìn)的，企業(yè)的信息安全管理體系應(yīng)遵從PDCA的過程方法論持續(xù)改進(jìn)，才能確保企業(yè)信息的安全長效。

參考文獻(xiàn)：

篇4

（一）信息化安全認(rèn)知匱乏

在我國，大多數(shù)中小企業(yè)信息建設(shè)管理中存在著明顯的認(rèn)知不足，全球聯(lián)系的增強(qiáng)和市場的激烈競爭促使中小企業(yè)認(rèn)識到了信息化建設(shè)的重要性，但是缺少足夠的信息安全管理認(rèn)知，日常安全管理工作過于疏忽，沒有形成科學(xué)有效地安全管理體制，作為重要保護(hù)對象。中小企業(yè)內(nèi)部不同的信息需要不同的方式進(jìn)行安全管理，由于企業(yè)對于信息安全管理的重視程度不夠，針對安全管理投入力度難以形成有效的安全體系，無法保證信息安全。

（二）信息化安全管理制度不夠完善

由于我國信息化建設(shè)起步較晚，我國中小企業(yè)相較于西方發(fā)達(dá)國家信息建設(shè)程度還有所欠缺。企業(yè)內(nèi)部對于信息安全管理缺乏科學(xué)的規(guī)章制度，難以做到信息合理有效的安全防護(hù)。安全管理制度的不完善導(dǎo)致了各項制度之間出現(xiàn)混淆，安全職責(zé)定位不夠明確，安全問題出現(xiàn)無從追求，這種現(xiàn)象在中小企業(yè)信息泄露中時有發(fā)生。

（三）缺乏相關(guān)技術(shù)人才

大部分中小企業(yè)由于對信息安全管理重視程度不夠，投入力度較輕，導(dǎo)致安全管理出現(xiàn)盲區(qū)。信息安全建設(shè)過程中對于相關(guān)人才的培養(yǎng)力度不夠，企業(yè)內(nèi)部缺少專門的技術(shù)人才對安全管理盲區(qū)予以修復(fù)，進(jìn)而導(dǎo)致信息泄露。

二、中小企業(yè)信息化安全管理完善措施

（一）強(qiáng)化信息安全意識

企業(yè)信息安全是企業(yè)健康平穩(wěn)發(fā)展的基礎(chǔ)，由此中小企業(yè)內(nèi)部每個員工都應(yīng)該予以承擔(dān)相應(yīng)的義務(wù)和責(zé)任。強(qiáng)化員工對于信息安全的意識，相比于技術(shù)安全更值得重視。所以，企業(yè)內(nèi)部必須強(qiáng)化員工信息安全意識，營造內(nèi)部良好的安全意識氛圍，提升員工信息安全防護(hù)能力。

（二）完善安全管理制度

有效地安全措施離不開科學(xué)的安全管理制度，企業(yè)需要強(qiáng)化制度建設(shè)力度，做到安全管理有章可循，對于企業(yè)內(nèi)部用戶相關(guān)信息權(quán)限予以限制，明確，減少個人操作可能引發(fā)的信息泄露風(fēng)險。在企業(yè)不斷發(fā)展的過程中，制度應(yīng)隨著企業(yè)發(fā)展而創(chuàng)新升級，以滿足企業(yè)發(fā)展的需要。

（三）重點培養(yǎng)信息安全管理人才

任何一個企業(yè)發(fā)展的根本動力都是人才的支持，優(yōu)秀的人才能夠促進(jìn)企業(yè)內(nèi)部穩(wěn)定，工作效率提升，企業(yè)發(fā)展收益增強(qiáng)。在企業(yè)發(fā)展過程中，安全管理盲區(qū)需要相應(yīng)的技術(shù)人員進(jìn)行定期檢查，維護(hù)，針對存在的安全隱患及時有效地解決，規(guī)避風(fēng)險的發(fā)生。

三、結(jié)論

篇5

1.企業(yè)信息安全事件發(fā)生狀況

調(diào)查顯示在過去的1年內(nèi)(2012年1月~2012年12月)，超過93.2%的被調(diào)查企業(yè)發(fā)生過信息安全事件，其中發(fā)生信息安全事件次數(shù)超過5次的占被調(diào)查企業(yè)的13.1%。這一調(diào)查結(jié)果表明，河北中小企業(yè)信息安全形勢非常嚴(yán)峻，如何保護(hù)信息系統(tǒng)安全已經(jīng)成為中小企業(yè)信息化建設(shè)首要面臨的問題。

2.目前中小企業(yè)信息安全面臨的主要威脅

調(diào)查發(fā)現(xiàn)，近1年內(nèi)，82.1%的被調(diào)查企業(yè)遭受過病毒、蠕蟲或木馬程序破壞；47.3%的企業(yè)遭受過黑客攻擊或網(wǎng)絡(luò)詐騙；33%的企業(yè)遭受過垃圾郵件和網(wǎng)頁篡改的干擾，還有28%的企業(yè)遭受的破壞竟然來自企業(yè)內(nèi)部員工的操作。這一調(diào)查結(jié)果表明，病毒泛濫、網(wǎng)絡(luò)詐騙、黑客攻擊、垃圾郵件和來自企業(yè)內(nèi)部員工破壞是河北中小企業(yè)面臨的最主要信息安全威脅。其中，病毒和木馬程序的破壞尤為嚴(yán)重，直接造成企業(yè)數(shù)據(jù)丟失、信息泄漏甚至系統(tǒng)癱瘓等后果，嚴(yán)重威脅著企業(yè)的信息安全。

3.企業(yè)信息安全保護(hù)措施現(xiàn)狀

調(diào)查發(fā)現(xiàn)，93.7%的被訪企業(yè)采用了殺毒軟件進(jìn)行病毒防護(hù)和監(jiān)控，25.1%的被訪企業(yè)裝有入侵檢測系統(tǒng)和硬件防火墻，54.8%的被訪企業(yè)采用了身份認(rèn)證技術(shù)和設(shè)置訪問權(quán)限進(jìn)行信息保護(hù)。同時，通過調(diào)查也發(fā)現(xiàn)，只有不到29.5%的企業(yè)有定期的數(shù)據(jù)備份，僅有6.9%的企業(yè)為重要信息進(jìn)行了數(shù)據(jù)加密。這一調(diào)查結(jié)果表明：在信息安全技術(shù)防護(hù)方面，幾乎被訪企業(yè)都采取了信息安全保護(hù)措施，但是大部分企業(yè)卻只停留在病毒防護(hù)和身份認(rèn)證的水平上，而缺少數(shù)據(jù)完整性和數(shù)據(jù)加密等保護(hù)技術(shù)。

4.信息安全管理保障措施情況

調(diào)查發(fā)現(xiàn)，在信息安全管理保障措施方面，25.7%的被訪企業(yè)設(shè)立了專門的信息安全部門及相應(yīng)的專職管理人員，44.6%的企業(yè)制定了企業(yè)信息安全管理制度，只有8.5%的企業(yè)能夠?qū)π畔踩珷顩r進(jìn)行定期的風(fēng)險評估，而制定信息安全事件應(yīng)急處置措施的企業(yè)卻只有5.3%。這一調(diào)查結(jié)果表明：河北中小企業(yè)信息安全保障組織構(gòu)架設(shè)立不完善、缺乏信息安全管理制度，定期的信息安全風(fēng)險評估以及信息安全應(yīng)急處置預(yù)案措施嚴(yán)重缺失。

5.信息安全經(jīng)費投入狀況

調(diào)查發(fā)現(xiàn)，23.5%的被訪企業(yè)信息安全方面的經(jīng)費投入占整個企業(yè)信息化總投資的比例低于5%，39.6%被訪企業(yè)同樣投資比例在5%~10%之間，只有38.5%的企業(yè)信息安全方面的經(jīng)費投入已經(jīng)超過企業(yè)信息化總投資的10%。這一調(diào)查結(jié)果表明：河北中小企業(yè)安全意識淡薄，信息安全經(jīng)費投入嚴(yán)重不足，低于國外20%~30%的投資比例。

二、對策與建議

通過課題組調(diào)查發(fā)現(xiàn)，網(wǎng)絡(luò)環(huán)境下河北中小企業(yè)的信息安全問題突出，主要表現(xiàn)在認(rèn)識誤區(qū)、資金不足、技術(shù)薄弱和信息管理制度缺失等方面，要全面解決，必須從法律、技術(shù)和管理等幾個方面全盤考慮綜合治理。法律、技術(shù)和管理三者相輔相成，缺一不可，才能共同保證中小企業(yè)信息系統(tǒng)可靠安全運行。

1．法律法規(guī)層面加強(qiáng)政府支持力度和引導(dǎo)力度

僅僅靠中小企業(yè)自身搞信息安全防護(hù)是遠(yuǎn)遠(yuǎn)不夠的，在此過程中，政府的支持、鼓勵與引導(dǎo)是至關(guān)重要的。因此，政府應(yīng)不斷完善信息安全相關(guān)法律法規(guī)的建設(shè)，加快網(wǎng)絡(luò)安全的基礎(chǔ)設(shè)施建設(shè)，加大打擊網(wǎng)絡(luò)犯罪的力度。同時，針對河北中小企業(yè)特點，當(dāng)?shù)卣畱?yīng)加大企業(yè)信息安全重要性的引導(dǎo)和宣傳，讓中小企業(yè)特別是企業(yè)的領(lǐng)導(dǎo)者，充分認(rèn)識到企業(yè)信息安全的重大意義與作用，從而在日常企業(yè)決策中對企業(yè)信息安全建設(shè)投資有一定的傾斜，完善企業(yè)信息安全體系建設(shè)。從長遠(yuǎn)發(fā)展角度和戰(zhàn)略高度來重視企業(yè)信息安全。

2．技術(shù)層面

設(shè)計實施多層次、多方位的網(wǎng)絡(luò)系統(tǒng)安全保護(hù)技術(shù)，以提高企業(yè)風(fēng)險防范的技術(shù)水平。風(fēng)險防范是一個復(fù)雜的系統(tǒng)工程，從技術(shù)角度，建議從以下幾個方面來實現(xiàn)：

（1）建立網(wǎng)絡(luò)身份認(rèn)證體系。網(wǎng)絡(luò)環(huán)境下河北中小企業(yè)的各種商務(wù)活動，都需要對參與商務(wù)活動的各方進(jìn)行身份的鑒別、認(rèn)證，這就需要在企業(yè)內(nèi)部建立網(wǎng)絡(luò)身份認(rèn)證體系來證實各方的身份，以保證網(wǎng)絡(luò)環(huán)境下各交易方的經(jīng)濟(jì)利益。

（2）配置高效的防火墻。在企業(yè)內(nèi)部網(wǎng)與外聯(lián)網(wǎng)之間設(shè)置防火墻，從而實現(xiàn)內(nèi)、外網(wǎng)的隔離與訪問控制，在他們之間形成一道有效的屏障，是保護(hù)企業(yè)內(nèi)部網(wǎng)安全的最主要、最有效、最經(jīng)濟(jì)的措施之一。

（3）定期實施重要信息的備份和恢復(fù)。企業(yè)要對核心的數(shù)據(jù)和應(yīng)用程序進(jìn)行實時和定期的備份工作。并把備份數(shù)據(jù)的副本存儲在光盤上，這樣就可以避免一旦發(fā)生安全事故關(guān)鍵的應(yīng)用程序和數(shù)據(jù)丟失給中小企業(yè)帶來的巨大損失。

（4）對關(guān)鍵數(shù)據(jù)進(jìn)行加密。企業(yè)的各類數(shù)據(jù)和應(yīng)用程序，是企業(yè)多年發(fā)展中積累下來的寶貴數(shù)據(jù)資源，也是企業(yè)決策的重要依據(jù)。因此，要對這些關(guān)鍵數(shù)據(jù)進(jìn)行加密處理，以提高數(shù)據(jù)的安全性，防止企業(yè)私密數(shù)據(jù)信息被泄露和竊取。

篇6

1.企業(yè)信息化建設(shè)的重要性

信息化發(fā)展對于企業(yè)人員日常的管理，相比較原來舊的方法而言更方便快捷、更高效；對于企業(yè)的整體發(fā)展的影響，相比較原來用人來發(fā)現(xiàn)風(fēng)險，信息化大數(shù)據(jù)管控更能提前預(yù)知風(fēng)險并幫助企業(yè)更好地解決問題；對于企業(yè)組織結(jié)構(gòu)和流程的影響，集成化的網(wǎng)絡(luò)信息系統(tǒng)是提高質(zhì)效的一把利器。但現(xiàn)實使用中，企業(yè)的信息化進(jìn)程存在安全度低、信息泄露嚴(yán)重和安全意識低等現(xiàn)象，導(dǎo)致企業(yè)和用戶損失大量人力物力，甚至受到巨大損失。由此可見，信息化建設(shè)對企業(yè)發(fā)展有著不可小覷的作用，能比原來的模式更有效處理問題、促進(jìn)企業(yè)發(fā)展，是所有企業(yè)在發(fā)展過程中不可或缺的一個環(huán)節(jié)。

2.企業(yè)信息化建設(shè)中的網(wǎng)絡(luò)安全問題

2.1網(wǎng)絡(luò)安全意識不強(qiáng)

科學(xué)技術(shù)的不斷發(fā)展進(jìn)步，對于企業(yè)發(fā)展的影響作用不言而喻，但是，相當(dāng)一部分企業(yè)卻只看到益處卻忽略了“信息安全”的重要性。

近年來，在技術(shù)、社會和政府等多方面的努力下，企業(yè)的信息化建設(shè)發(fā)展速度加快，取得很大的進(jìn)展，其重要作用毋庸置疑，各個企業(yè)都越來越重視信息化的進(jìn)步。但在新聞報道中，經(jīng)常見到有信息非法獲取、信息交易導(dǎo)致用戶信息泄露，這也是每個企業(yè)需要反思的問題。數(shù)據(jù)泄露、信息是否安全等問題并沒有引起所有企業(yè)的重視，嚴(yán)重的不僅會導(dǎo)致用戶信息泄露，如果發(fā)生企業(yè)數(shù)據(jù)庫被篡改、網(wǎng)絡(luò)系統(tǒng)崩潰等事件，給企業(yè)帶來的名譽(yù)和財產(chǎn)損失不可估量。

2.2技術(shù)水平不高

世界范圍內(nèi)都存在一個不好處理的網(wǎng)絡(luò)難題———黑客。企業(yè)在信息化發(fā)展的過程中，免不了遇到技術(shù)問題，由于有關(guān)人員或團(tuán)隊自身的水平不夠和相關(guān)方面的經(jīng)驗的缺失，不可避免會存在某些漏洞和問題，這些漏洞和問題恰恰給了黑客絕佳的機(jī)會，讓他們有機(jī)會盜取信息。即使是市面上使用的各個“管家”與殺毒軟件也完全檢測不到，對企業(yè)的安全構(gòu)成非常大的威脅。

2.3可使用的高水平軟件少

一方面是供研發(fā)企業(yè)使用的高水平軟件較少；另一方面是軟件安全度低，很多公司雖然看到信息化發(fā)展的好處，但卻貪圖低成本的小利益，花費小成本購買使用安全保護(hù)性低的工作軟件，結(jié)局只會帶來難以挽回的后果。

3.企業(yè)信息化建設(shè)提高網(wǎng)絡(luò)信息安全性的措施

3.1切實提高企業(yè)安全意識

科學(xué)技術(shù)的進(jìn)步，促進(jìn)企業(yè)重視信息安全，思考信息安全問題和公司發(fā)展之間不可分割的關(guān)系，因為信息泄露帶來損失還是小事，如果因此減少了企業(yè)競爭力，甚至阻礙了企業(yè)發(fā)展才是最可怕的結(jié)果。因此，企業(yè)應(yīng)當(dāng)提高安全意識，提前準(zhǔn)備對策、制定應(yīng)對突況的策略，防止信息泄露等潛在威脅，將威脅扼殺在搖籃之中。通過建立高技術(shù)水平的團(tuán)隊，運用專業(yè)知識和工作經(jīng)驗切實增強(qiáng)防火墻安全度，定期維護(hù)信息系統(tǒng)，從源頭的技術(shù)傳輸階段維護(hù)信息安全，建立完善的信息保護(hù)制度，以此來保護(hù)信息安全、促進(jìn)企業(yè)發(fā)展。

3.2提高信息系統(tǒng)的管理水平

雖然現(xiàn)在大家都在普遍使用《金山毒霸》《騰訊管家》等安全防護(hù)軟件，但是這些軟件也不能保證絕對的安全。改革舊的風(fēng)險評估模式，健全信息篩選管理安全體系，在一定程度上可以提高安全系統(tǒng)等級、減小信息被盜的風(fēng)險，在信息系統(tǒng)建立過程中，及早發(fā)現(xiàn)風(fēng)險并妥善處理對企業(yè)發(fā)展尤其重要。

3.3使用安全性高的軟件

歸根結(jié)底，所有的安全問題都是安全性低所導(dǎo)致的。雖然說沒有絕對安全的東西，但是相比于安全性低的軟件，安全性越高的軟件，保護(hù)能力也越強(qiáng)，能更好地保護(hù)信息安全。因此，企業(yè)千萬不能貪圖小利益使用低防護(hù)級軟件，保護(hù)信息安全，維護(hù)自身發(fā)展利益才是最重要的。

篇7

一、制造型企業(yè)信息安全的必要性

隨著我國市場信息化水平加深，網(wǎng)絡(luò)技術(shù)已經(jīng)成為了推動社會發(fā)展重要因素之一。網(wǎng)絡(luò)的便捷性，使得任何人都可以利用網(wǎng)絡(luò)接受、傳送大量的網(wǎng)絡(luò)信息，或者是存在網(wǎng)絡(luò)云盤之中。而網(wǎng)絡(luò)的公開性，也導(dǎo)致網(wǎng)絡(luò)對于任何人來說都沒有門檻，這也是竊取信息的問題不斷發(fā)生的主要原因。對于企業(yè)來說，尤其是制造型企業(yè)，一旦企業(yè)賴以生存的核心技術(shù)被盜取，幾十年的勞動成果皆拱手送人，企業(yè)將承受巨大的、甚至是毀滅性的損失。

企業(yè)信息泄露還有一種就是人才流動，現(xiàn)如今企業(yè)人員流動較大，企業(yè)信息可能被直接帶到其他企業(yè)之中，這也是個比較棘手的問題。

另外一種情況是隨著企業(yè)之間的合作不斷增加，企業(yè)外派員工成為常見的現(xiàn)象，這樣就加大了企業(yè)間的交流和接觸時間，對于本企業(yè)的信息泄露也許就是在不經(jīng)意間。

無論是網(wǎng)絡(luò)問題還是人為問題，如果造成企業(yè)信息泄露，其對自身企業(yè)的損害是非常大的。以技術(shù)為核心的制造型企業(yè)加強(qiáng)信息安全管理勢在必行。

二、制造型企業(yè)信息安全管理的現(xiàn)狀及問題

1.企業(yè)信息安全管理的被動性

制造型企業(yè)的工作重點在產(chǎn)品制造與生產(chǎn)，對于網(wǎng)絡(luò)信息管理意識薄弱，很多時候企業(yè)只有發(fā)現(xiàn)企業(yè)信息泄露或者遭受病毒的攻擊等安全事件，才會關(guān)注企業(yè)信息安全問題，進(jìn)而調(diào)動技術(shù)部門前來解決問題。這很大程度上反映制造型企業(yè)對網(wǎng)絡(luò)信息安全不夠重視，只有出現(xiàn)信息安全問題時，才組建臨時小組來解決企業(yè)信息問題，待到問題解決后小組便被解散，沒有對企業(yè)信息后序的監(jiān)督和管理，企業(yè)信息安全管理缺乏系統(tǒng)策劃和制度化要求，管理活動臨時性強(qiáng)，缺少日常的維護(hù)和預(yù)防，導(dǎo)致更多的是重蹈覆轍，這樣不僅沒有為企業(yè)省下對安全管理的資金，相反的恰恰是增加了企業(yè)的資金投入，直接增加了企業(yè)安全管理的成本。同時因為臨時小組的組建，使得人員調(diào)動頻繁，大大降低了工作效率，進(jìn)而對企業(yè)的經(jīng)濟(jì)效益造成影響。

2.員工使用內(nèi)部系統(tǒng)連接外網(wǎng)

雖然大部分制造型企業(yè)對企業(yè)自身的內(nèi)網(wǎng)進(jìn)行了防護(hù)監(jiān)測，而且對員工上網(wǎng)和網(wǎng)頁瀏覽采取了一定的限制措施，但是實際上，企業(yè)對員工上網(wǎng)的控制落實程度不夠，員工依舊可以在工作時間使用企業(yè)網(wǎng)絡(luò)進(jìn)行外部網(wǎng)絡(luò)連接，而且對于一些網(wǎng)站毫無防備。而網(wǎng)絡(luò)病毒是時刻都在通過網(wǎng)絡(luò)攻擊使用者的，特別對于企業(yè)內(nèi)部網(wǎng)絡(luò)，黑客更是隨時隨地緊盯著企業(yè)內(nèi)網(wǎng)出現(xiàn)漏洞，進(jìn)而竊取企業(yè)內(nèi)部信息。由于企業(yè)員工的疏忽，會有很大幾率使得企業(yè)信息出現(xiàn)安全隱患，輕則影響企業(yè)正常的生產(chǎn)工作，重則企業(yè)商業(yè)、技術(shù)信息被盜取或者企業(yè)內(nèi)網(wǎng)癱瘓甚至縱，為企業(yè)帶來非常嚴(yán)重的后果及損失。

3.移動設(shè)備限制力度不夠

制造型企業(yè)在信息安全管理方面通常采取的措施是限制流水線工人的移動設(shè)備使用，但是對于辦公部門卻沒有嚴(yán)格要求，辦公人員可以自由攜帶智能手機(jī)、筆記本電腦、pad、硬盤等移動設(shè)備。因辦公人員要對數(shù)據(jù)進(jìn)行處理，會導(dǎo)致企業(yè)內(nèi)部信息被無限制地拷貝。而且現(xiàn)如今的移動智能設(shè)備都能直接通過企業(yè)的無線網(wǎng)絡(luò)，連接企業(yè)內(nèi)網(wǎng)以獲得權(quán)限，這樣的確提高了企業(yè)內(nèi)部的辦公效率，同時也給黑客病毒提供了通過無線網(wǎng)絡(luò)進(jìn)行傳播的機(jī)會，提高了企業(yè)內(nèi)部信息安全的風(fēng)險。

4.信息安全防護(hù)技術(shù)水平低

在我國，普遍存在信息安全研發(fā)技術(shù)水平較低的情況，這也是制造型企業(yè)安全技術(shù)不高的原因之一。制造型企業(yè)的工作重心偏重于生產(chǎn)、制造及商務(wù)活動中，而對于網(wǎng)絡(luò)安全的防護(hù)意識不高。

作為企業(yè)，都會有一些信息安全意識。在企業(yè)成立初期，信息安全防護(hù)措施通常會被考慮并采納，尤其是一些進(jìn)口設(shè)備，但僅僅依賴進(jìn)口設(shè)備是遠(yuǎn)遠(yuǎn)不夠的。第一，進(jìn)口設(shè)備雖然技術(shù)先進(jìn)，但是出現(xiàn)問題是在所難免的，往往出問題的是一些關(guān)鍵的零部件，這些零部件不僅難以拆卸且是整臺設(shè)備的技術(shù)核心，設(shè)備廠商必然會控制其銷售渠道。第二，很多企業(yè)過于相信進(jìn)口設(shè)備的技術(shù)，力爭做到一步到位，使得企業(yè)發(fā)展中前期安全防護(hù)的確不錯，但是卻忽略了系統(tǒng)的更新和維護(hù)，網(wǎng)絡(luò)病毒每天新出幾萬種，就算設(shè)備再先進(jìn)，如果不進(jìn)行更新，遲早會被病毒攻破。第三，很多企業(yè)都采用家用式免費殺毒軟件，這些殺毒軟件更新頻率快，一些簡單病毒、木馬都能有效查殺，對家用來說但是對企業(yè)來講遠(yuǎn)遠(yuǎn)不夠，企業(yè)一般是黑客重點關(guān)注的對象，黑客往往會研制更先進(jìn)的病毒來攻克企業(yè)的防火墻，一些免費殺毒軟件很容易被攻破，增加制造企業(yè)內(nèi)部信息安全問題。

5.企業(yè)出現(xiàn)安全問題處理方法不當(dāng)

現(xiàn)如今研發(fā)病毒的技術(shù)快速而先進(jìn)，病毒出現(xiàn)時的及時處理是非常重要的，我國制造型企業(yè)在出現(xiàn)信息安全問題的時候，雖然有相關(guān)的殺毒軟件，但因為大部分都是免費的，其更新速度雖然頻率高，相對滯后性比較強(qiáng)，對于新病毒無法第一時間發(fā)現(xiàn)、處理。而且許多病毒都是潛在性的，企業(yè)內(nèi)部系統(tǒng)中毒之后沒有任何異樣，這就導(dǎo)致企業(yè)內(nèi)部人員無法及時發(fā)現(xiàn)企業(yè)內(nèi)網(wǎng)是否被越權(quán)或遭到攻擊。同時，由于很多企業(yè)缺少專門管理信息安全的部門，并且對于病毒侵入缺乏有針對性的安全對策和應(yīng)急措施，這就導(dǎo)致就算病毒被發(fā)現(xiàn)，企業(yè)在第一時間也無從下手。

三、制造型企業(yè)容易出現(xiàn)安全問題的原因

1.企業(yè)內(nèi)部信息安全意識低

制造型企業(yè)的本質(zhì)是通過生產(chǎn)經(jīng)營活動而獲得盈利，因此制造型企業(yè)的工作重點主要是企業(yè)生產(chǎn)、制造以及流通和服務(wù)。在此情況下，企業(yè)更關(guān)注盈利情況，而缺乏對信息安全的管理意識，對信息安全管理的重視度不足。導(dǎo)致這一現(xiàn)象的重要原因是安全防護(hù)不能為企業(yè)帶來直接的經(jīng)濟(jì)效益，反而要投入大量的人力、物力、財力。另一方面，從安全管理角度來說，沒有事故發(fā)生才是管理績效的體現(xiàn)。相對于質(zhì)量管理、生產(chǎn)安全管理來說，信息安全管理的管理性質(zhì)是類似的，但因為其管理對象的不可見性，往往容易被企業(yè)高層忽視。同時，一般也會存在僥幸心理，感覺企業(yè)內(nèi)部網(wǎng)絡(luò)不會受到黑客攻擊，或是認(rèn)為就算受到病毒攻擊也不會對生產(chǎn)經(jīng)營造成什么大影響，對企業(yè)整體利益影響不大。基層員工更是不明白什么是安全防護(hù)，對企業(yè)安全防護(hù)的重要性一無所知，這就導(dǎo)致許多企業(yè)內(nèi)部信息技術(shù)會從員工口中泄露。

2.信息安全管理模式不夠完善

制造型企業(yè)信息安全問題頻發(fā)的原因，究其根本就是因為企業(yè)信息安全管理模式不夠完善，具體原因是制造型企業(yè)不重視信息安全管理、缺少系統(tǒng)規(guī)范的信息安全管理制度、缺乏專業(yè)的信息安全管理技術(shù)和安全管理人員，企業(yè)信息系統(tǒng)設(shè)計沒有風(fēng)險評估、沒有完善的業(yè)務(wù)流程，信息安全管理存在頭痛醫(yī)頭腳痛醫(yī)腳的現(xiàn)象。

3.信息安全系統(tǒng)沒有應(yīng)急措施

制造型企業(yè)信息安全系統(tǒng)缺少應(yīng)急措施，也可以說沒有自我保護(hù)系統(tǒng)。自我保護(hù)系統(tǒng)是一種比較先進(jìn)的技術(shù)，一旦有病毒侵入系統(tǒng)，系統(tǒng)會自動對重要信息進(jìn)行加密、封鎖，待系統(tǒng)安全后自動解鎖。然而由于對信息管理的意識不足，使得很多制造型企業(yè)沒有建立信息安全自我保護(hù)系統(tǒng)。在我國，諸多制造型企業(yè)在信息管理方面更多的是依靠員工的經(jīng)驗，對于網(wǎng)絡(luò)自身的保護(hù)信任度不足，也缺少對信息安全管理技術(shù)發(fā)展的關(guān)注和引用。

四、制造型企業(yè)信息安全管理存在問題的對策

綜上所述，制造型企業(yè)信息安全問題是由很多因素造成的，包括管理層的重視方面、技術(shù)方面、人員管理方面等。首要的，企業(yè)應(yīng)提升對信息安全管理的重視程度，只有加強(qiáng)意識，并建立有效的信息安全防范措施，才能有效保護(hù)企業(yè)自身的核心競爭力，以獲得在市場經(jīng)濟(jì)中更好的發(fā)展。

1.提高企業(yè)內(nèi)部員工的信息安全意識

很多制造型企業(yè)信息泄露都是內(nèi)部員工無意間透露出去的，這也是最常見的企業(yè)內(nèi)部信息泄露渠道，企業(yè)應(yīng)充分重視員工的信息安全教育，定期對企業(yè)內(nèi)部員工進(jìn)行信息安全培訓(xùn)及考核，通過教育向員工灌輸信息安全的基本知識和常識、企業(yè)內(nèi)部信息的重要性、一旦發(fā)生企業(yè)核心技術(shù)泄露將產(chǎn)生的嚴(yán)重后果等信息。加強(qiáng)企業(yè)內(nèi)部員工信息安全意識，也就是從根本上降低了企業(yè)信息安全隱患，企業(yè)中如果基層員工都非常了解并重視信息安全問題，那么這個企業(yè)在信息安全管理方面必然非常完善有效。

2.建立健全企業(yè)信息安全管理機(jī)制

由于很多制造型企業(yè)缺少健全的信息安全管理機(jī)制，這就給了很多黑客病毒更多的侵入機(jī)會。一套完善的信息安全管理機(jī)制能夠有效的保護(hù)企業(yè)信息安全，降低安全隱患。制造型企業(yè)應(yīng)該建立健全企業(yè)信息安全管理機(jī)制，設(shè)立專門的企業(yè)信息安全管理部門，這樣能最大程度保證信息的日常安全防范，也保證了一旦出現(xiàn)安全問題，企業(yè)能更好、更快地解決問題，健全的管理機(jī)制能夠?qū)︼L(fēng)險有一定的預(yù)見性，把風(fēng)險降到最低。

3.加大對信息安全管理的資金投入

任何新型技術(shù)都離不開資金的投入，信息安全管理同樣也是，而且信息安全管理更多的屬于技術(shù)型投入，對資金依賴性更高。制造型企業(yè)想要獲得可持續(xù)發(fā)展，就必須要把目標(biāo)放得更加長遠(yuǎn)。企業(yè)內(nèi)部信息往往是一個企業(yè)的核心，因此企業(yè)應(yīng)提高對信息管理的重視程度，加大對信息安全系統(tǒng)的投資，把信息安全管理作為企業(yè)管理重要的一部分，信息安全管理資金劃作專項資金?？顚Ｓ谩Ｆ髽I(yè)對信息安全管理的投資要有計劃性，確保突況的資金投入、技術(shù)更新的資金投入、管理人員的資金投入、安全教育的資金投入等。把信息安全管理納入企業(yè)整體的發(fā)展規(guī)劃中，這樣才能保證企業(yè)信息更加安全，企業(yè)才能獲得長足的發(fā)展。

4.加大對信息安全管理人才的認(rèn)識

因為信息對企業(yè)生存至關(guān)重要，信息安全甚至?xí)绊懙狡髽I(yè)的發(fā)展戰(zhàn)略的制定和落實，制造型企業(yè)應(yīng)當(dāng)把信息安全管理與生產(chǎn)經(jīng)營提高到同一個層次。企業(yè)內(nèi)網(wǎng)是網(wǎng)絡(luò)技術(shù)領(lǐng)域，既然是技術(shù)，就離不開專業(yè)人才的支持，企業(yè)應(yīng)該加強(qiáng)信息安全管理的人才培養(yǎng)，提高企業(yè)信息安全管理的質(zhì)量。如果企業(yè)內(nèi)部沒有專業(yè)的信息安全管理人才，企業(yè)可以通過對外招聘的形式，在社會中尋求人才?，F(xiàn)如今互聯(lián)網(wǎng)技術(shù)已經(jīng)逐步走向成熟，計算機(jī)人才更是越來越多，所以，制造型企業(yè)在社會中尋找信息安全管理的人才不會很難，同時還能促進(jìn)計算機(jī)技術(shù)人才就業(yè)，對于企業(yè)自身以及社會都有很大意義。

5.加強(qiáng)企業(yè)內(nèi)網(wǎng)管理

一般來說，企業(yè)內(nèi)網(wǎng)系統(tǒng)中的信息很多都屬于商業(yè)機(jī)密，基層員工是無權(quán)了解的。制造型企業(yè)應(yīng)該把各個層級的員工賬號及內(nèi)網(wǎng)系統(tǒng)中的信息進(jìn)行分類管理，按信息等級設(shè)置不同的訪問權(quán)限和防范措施，以免企業(yè)員工在使用內(nèi)網(wǎng)時網(wǎng)絡(luò)病毒通過權(quán)限竊取過多的企業(yè)信息。另外，很多企業(yè)信息泄露都是由于某些員工通過企業(yè)無線網(wǎng)連接外網(wǎng)導(dǎo)致企業(yè)系統(tǒng)中毒，針對此類情況企業(yè)要制定相應(yīng)的政策和管理制度，通過對硬件的管理和網(wǎng)頁訪問權(quán)限設(shè)置，嚴(yán)禁員工上班時間通過移動設(shè)備隨意連接外網(wǎng)。

五、結(jié)束語

篇8

【關(guān)鍵詞】企業(yè)信息 現(xiàn)狀 措施

隨著信息技術(shù)和網(wǎng)絡(luò)技術(shù)的快速發(fā)展，信息安全問題引起了社會各界的廣泛關(guān)注，并且已經(jīng)成為當(dāng)今時代十分重要的研究話題。影響企業(yè)信息安全的因素諸多，除了網(wǎng)絡(luò)本身的開放性之外，內(nèi)部用戶訪問控制以及用戶身份識別等系統(tǒng)還不夠完善，會給企業(yè)信息安全帶來巨大的威脅。信息安全技術(shù)主要就是控制數(shù)據(jù)，保障數(shù)據(jù)傳輸?shù)陌踩院涂煽啃浴?/p>

1 企業(yè)信息安全的意義

1.1 信息安全是時展的需要

隨著計算機(jī)網(wǎng)絡(luò)的快速發(fā)展，不僅改變了人們生活和工作方式，也給企業(yè)的商務(wù)運行帶來了全新的模式，改變了傳統(tǒng)企業(yè)生產(chǎn)和管理模式，進(jìn)一步推動了我國社會的發(fā)展。企業(yè)信息安全技術(shù)得到了進(jìn)一步的重視和發(fā)展，并且逐漸的與國際先進(jìn)水平接軌，為企業(yè)國際化發(fā)展提供了強(qiáng)有力的支持。

1.2 信息安全是企業(yè)發(fā)展的需要

我國大部分企業(yè)積極的引用了信息技術(shù)和安全技術(shù)，信息技術(shù)和網(wǎng)絡(luò)技術(shù)給企業(yè)帶來了諸多優(yōu)勢，比如生產(chǎn)效率的提高、成本的降低以及業(yè)務(wù)拓展等優(yōu)勢。目前企業(yè)的信息和數(shù)據(jù)主要都是以電子文檔的形式保存，對于企業(yè)來講，信息安全技術(shù)是保障企業(yè)信息和數(shù)據(jù)不收侵害和威脅的基礎(chǔ)保障之一，更是企業(yè)生存的保障，所以，必須要提高信息安全技術(shù)，避免網(wǎng)絡(luò)和信息系統(tǒng)中可能存在的風(fēng)險，逐步的建立信息安全保障體系，有利于企業(yè)的可持續(xù)性發(fā)展。

1.3 信息安全是企業(yè)穩(wěn)定的必要前提

信息安全是保障企業(yè)穩(wěn)定發(fā)展的重要措施，必須要充分的認(rèn)識到信息安全工作的重要性和長期性，無論是從企業(yè)的經(jīng)濟(jì)效益還是企業(yè)的穩(wěn)定發(fā)展等角度來考慮，必須要做好信息安全工作，做好基礎(chǔ)性工作，在建立信息安全保障體系的時候，必須要建設(shè)良好的網(wǎng)絡(luò)環(huán)境，重視信息戰(zhàn)略，保障企業(yè)的信息化能夠健康發(fā)展。

2 企業(yè)信息安全的現(xiàn)狀

2.1 企業(yè)缺少信息安全管理制度

企業(yè)信息安全功過還是一個比較嶄新的領(lǐng)域，相關(guān)的法律法規(guī)還不夠完善，并且信息安全技術(shù)和手段還沒有成熟，進(jìn)而導(dǎo)致相關(guān)規(guī)定和標(biāo)準(zhǔn)并不能貫徹執(zhí)行，安全標(biāo)準(zhǔn)和規(guī)范也是比較缺少的，從而并沒有制定科學(xué)、合理的信息安全管理制度。企業(yè)信息系統(tǒng)安全問題是一項非?？茖W(xué)的系統(tǒng)工程，所涉及的范圍比較廣，隨著科學(xué)技術(shù)的快速發(fā)展，信息技術(shù)和網(wǎng)絡(luò)技術(shù)不斷的更新和升級，是不斷發(fā)展的動態(tài)過程，所以，企業(yè)信息系統(tǒng)運行風(fēng)險和安全必須要定期的進(jìn)行調(diào)整和規(guī)劃，才能夠從根本上保障企業(yè)信息的安全性和可靠性。

2.2 員工缺少安全管理的責(zé)任心

企業(yè)信息系統(tǒng)的安全性需要全體人員的參與，信息安全系統(tǒng)中最為重要的因素就是員工，其主要原因就是因為員工們才是企業(yè)信息系統(tǒng)的提供者和使用者，員工們能夠直接影響到信息安全系統(tǒng)是否能夠達(dá)到預(yù)期的要求。在諸多的信息安全問題中，最多的安全事件就是信息泄露時間。其主要泄露原因來源于內(nèi)部員工，并不是外部黑客的攻擊，給企業(yè)帶來巨大經(jīng)濟(jì)損失的主要原因就是因為內(nèi)部員工有意或者無意的泄露企業(yè)的相關(guān)信息，但是，目前我國還沒有完善、成熟的系統(tǒng)預(yù)防內(nèi)部員工泄密事件的發(fā)生，也是整個信息安全體系中的難點和弱點。

2.3 信息系統(tǒng)缺乏信息安全技術(shù)

計算機(jī)信息安全技術(shù)的本質(zhì)就是由密碼應(yīng)用技術(shù)、操作系統(tǒng)維護(hù)技術(shù)、信息安全技術(shù)以及數(shù)據(jù)庫應(yīng)用技術(shù)等各個學(xué)科組成的計算機(jī)綜合應(yīng)用學(xué)科。但是由于我國計算機(jī)技術(shù)還有待進(jìn)一步完善，導(dǎo)致我國技術(shù)的發(fā)展還存在一定的局限性，在硬件和軟件設(shè)計的過程中難免會存在著一些弊端，網(wǎng)絡(luò)硬件和軟件系統(tǒng)大多數(shù)都需要依靠進(jìn)口，為企業(yè)信息安全帶來了一定的隱患，隨著科學(xué)技術(shù)的快速發(fā)展，黑客已經(jīng)不在是傳統(tǒng)的破壞底層系統(tǒng)，目前黑客主要是入侵應(yīng)用，竊取相應(yīng)的數(shù)據(jù)，帶著非常顯著的商業(yè)性質(zhì)。隨著網(wǎng)絡(luò)技術(shù)的普及，針對應(yīng)用的攻擊越來越多，不僅需要從管理方面來保障企業(yè)信息的安全性，還必須要從技術(shù)方面給予強(qiáng)力的支持。

2.4 病毒危害

計算機(jī)病毒主要就是指編制對計算機(jī)程序有破壞性的程序，進(jìn)而影響計算機(jī)的使用并且能夠通過自我不斷的復(fù)制來代替計算機(jī)指令或者程序代碼，其具有很強(qiáng)的破壞性。隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展，當(dāng)今時代的計算機(jī)病毒已經(jīng)泛濫成災(zāi)，根據(jù)相關(guān)統(tǒng)計，計算機(jī)病毒的種類已經(jīng)高達(dá)4萬多種，并且每年還在快速的增長，病毒隨著計算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展而傳播速度越來越快，破壞性也就越來越高，給計算機(jī)用戶和企業(yè)的信息安全帶來了巨大的安全隱患。

2.5 “黑客”攻擊

黑客主要就是指通過技術(shù)手段侵入到他人計算機(jī)系統(tǒng)的人，黑客破解或者破壞計算機(jī)以及網(wǎng)絡(luò)系統(tǒng)，導(dǎo)致計算機(jī)用戶信息數(shù)據(jù)的泄露。目前比較常見的黑客手段有后門程序、信息炸彈、網(wǎng)絡(luò)監(jiān)聽以及密碼破解等手段來侵入他人的計算機(jī)系統(tǒng)來竊取數(shù)據(jù)信息，隨著網(wǎng)絡(luò)技術(shù)和信息技術(shù)的快速發(fā)展，黑客攻擊已經(jīng)成為當(dāng)今時代十分常見的安全問題。

3 企業(yè)信息安全改進(jìn)建議

3.1 技術(shù)安全

3.1.1 數(shù)字簽名和加密技術(shù)

為了能夠預(yù)防黑客的入侵，可以在傳統(tǒng)的數(shù)字簽名和加密技術(shù)的基礎(chǔ)上不斷的完善和創(chuàng)新，進(jìn)而提高信息安全技術(shù)。比如數(shù)字簽名技術(shù)，可以通過設(shè)定數(shù)字簽名，用戶在進(jìn)行操作的時候能夠打上自身獨有的印記，其主要目的就是為了能夠避免其他人擅自修改計算機(jī)數(shù)據(jù)，從而能夠提高計算機(jī)的安全系數(shù)，預(yù)防黑客的攻擊。在設(shè)定數(shù)字簽名的時候，必須要重視數(shù)字證書的獲取渠道，一般主要就是從以下三個渠道來獲取數(shù)字證書，即軟件自身所帶的數(shù)字證書；商業(yè)認(rèn)證授權(quán)機(jī)構(gòu)獲?。粌?nèi)部專門負(fù)責(zé)認(rèn)證的安全管理機(jī)構(gòu)處獲取。

3.1.2 入侵防護(hù)系統(tǒng)（IPS）

傳統(tǒng)的防火墻主要功能就是拒絕明顯可疑的網(wǎng)絡(luò)流量，但是依然能夠允許一些流量通過，所以，傳統(tǒng)的防火墻防護(hù)功能并不到位，面對一些入侵攻擊的時候依然無可奈何。大部分IDS系統(tǒng)都是被動的，然而IPS更加傾向于提供主動的防護(hù)功能，其主要目的就是預(yù)先攔截入侵活動和攻擊性網(wǎng)絡(luò)流量，避免給用戶帶來不必要的損失，相比于傳統(tǒng)的防火墻具有更多的防護(hù)優(yōu)勢。IPS主要就是通過網(wǎng)絡(luò)流量實現(xiàn)這個功能的，也就是指通過網(wǎng)絡(luò)端口接收外部系統(tǒng)的流量來檢測其內(nèi)是否還有可疑的內(nèi)容，然后在通過另外一個端口將其送到內(nèi)容系統(tǒng)中，進(jìn)而一旦發(fā)現(xiàn)可以的數(shù)據(jù)包就能夠自動的清除掉，避免病毒的入侵，從根本上提高了信息的安全性和保密性。

3.1.3 統(tǒng)一威脅管理（UTM）

根據(jù)美國權(quán)威企業(yè)對統(tǒng)一威脅管理做出了嚴(yán)格的定義，即由硬件、軟件以及網(wǎng)絡(luò)技術(shù)組成的具有專門用途的設(shè)備，其主要可以提供一項或者多項的安全功能。它能夠?qū)⒅T多安全特性集成到一個硬設(shè)備里，然后建立一個統(tǒng)一標(biāo)準(zhǔn)的平臺。統(tǒng)一威脅管理的主要功能有網(wǎng)絡(luò)防火墻、網(wǎng)絡(luò)入侵檢測以及網(wǎng)關(guān)防病毒功能。這些功能都是統(tǒng)一威脅管理本身所自帶的功能。另外，統(tǒng)一威脅管理安全設(shè)備本身也具有諸多特性，比如安全管理、日志以及服務(wù)質(zhì)量等特點，這些特性主要就是為安全功能服務(wù)的。

3.2 錄級安全控制

為了能夠保障企業(yè)信息的安全，網(wǎng)絡(luò)必須要允許控制用戶對目錄、文件以及設(shè)備的訪問。用戶在目錄一級指定的權(quán)限對所有文件以及子目錄都是有效的，還應(yīng)該可以進(jìn)一步對目錄下的子目錄和文件的權(quán)限進(jìn)行指定。目前比較常見的訪問權(quán)限有系統(tǒng)管理員權(quán)限、讀權(quán)限、創(chuàng)建權(quán)限、刪除權(quán)限以及存取控制權(quán)限等。網(wǎng)絡(luò)系統(tǒng)管理人員應(yīng)該為用戶指定合適的訪問權(quán)限，因為這些權(quán)限的作用非常大，主要控制了用戶對服務(wù)器的訪問。

3.3 網(wǎng)絡(luò)監(jiān)測和鎖定控制

網(wǎng)絡(luò)管理人員必須要對網(wǎng)絡(luò)進(jìn)行實時的監(jiān)控，服務(wù)器應(yīng)該及時的記錄用戶對網(wǎng)絡(luò)資源的訪問，尤其是對非法網(wǎng)站訪問的時候，服務(wù)器應(yīng)該以各種方式加以報警，從而引起網(wǎng)絡(luò)管理人員的注意。如果黑客試圖侵入網(wǎng)絡(luò)的時候，網(wǎng)絡(luò)服務(wù)器必須要自動記錄企圖進(jìn)入網(wǎng)絡(luò)的次數(shù)，如果訪問達(dá)到一定數(shù)值之后，帳戶將會被自動鎖定。

3.4 提高企業(yè)員工的安全意識

無論哪個領(lǐng)域，主體都是人，信息安全方面的主體也是人員，通過人來維護(hù)企業(yè)的根本利益，所以在建立信息網(wǎng)絡(luò)安全體系的時候必須要重視人的因素，做出相應(yīng)的規(guī)范和績效管理。企業(yè)員工信息安全意識普遍比較薄弱，企業(yè)必須要定期的開展相應(yīng)的培訓(xùn)工作，從根本上提高企業(yè)員工整體的信息安全意識，并且要有專業(yè)的信息安全體系管理人才，才能夠從根本上提高企業(yè)信息數(shù)據(jù)的安全性、可靠性。

隨著信息時代和網(wǎng)絡(luò)時代的來臨，企業(yè)紛紛引進(jìn)先進(jìn)的信息技術(shù)和網(wǎng)絡(luò)技術(shù)，并且成立自身的信息系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)來服務(wù)于企業(yè)運營管理和生產(chǎn)管理工作，信息技術(shù)和網(wǎng)絡(luò)技術(shù)在我國得到了廣泛的普及。但是，隨之而來的信息安全問題日益凸顯，為了能夠保障企業(yè)信息數(shù)據(jù)的安全性和可靠性，必須要不斷的提高信息安全防護(hù)技術(shù)，做好相應(yīng)的預(yù)防工作，避免各種入侵、盜取信息數(shù)據(jù)的事件發(fā)生，才能夠保障企業(yè)的可持續(xù)性發(fā)展。

參考文獻(xiàn)

[1]袁浩，張金榮.INTERNET接入、網(wǎng)絡(luò)安全[M].北京：電子工業(yè)出版社，2011.

[2]徐國芹.淺議如何建立企業(yè)信息安全體系架構(gòu)[J].中國高新技術(shù)企業(yè)，2009（5）.

[3]付沙，企業(yè)信息安全策略的研究與探討[J].商場現(xiàn)代化，2007（26）.

[4]姜樺、郭永利，企業(yè)信息安全策略研究[J].焦作大學(xué)學(xué)報，2009（1）.

[5]徐新件，朱健華.關(guān)于企業(yè)網(wǎng)絡(luò)信息安全管理問題研究[J].供電企業(yè)管理，2008（2）.

篇9

關(guān)鍵詞信息安全 技術(shù)體系 管理體系

中圖分類號：TB497文獻(xiàn)標(biāo)識碼： A 文章編號：

前言

企業(yè)的正常運作離不開信息資源的支持，企業(yè)信息化系統(tǒng)作為管理企業(yè)信息資源的電子化工具和企業(yè)實力的重要組成部分，在促進(jìn)企業(yè)規(guī)范管理流程、提高生產(chǎn)效率的同時，在運行中累積的包括企業(yè)的經(jīng)營計劃、知識產(chǎn)權(quán)、生產(chǎn)工藝、流程配方、方案圖紙、客戶資源等各種重要數(shù)據(jù)成為部門、企業(yè)的寶貴資產(chǎn)，關(guān)乎著企業(yè)的生存與發(fā)展。這些數(shù)據(jù)一旦損壞、丟失、泄漏或篡改，則會給企業(yè)帶來重大安全影響。

企業(yè)要保持健康可持續(xù)性發(fā)展，信息安全是基本的保證之一。為確保信息資產(chǎn)安全，很多企業(yè)都制定了“硬件備份、分權(quán)分域、多層防御、等級防護(hù)”等等信息安全技術(shù)目標(biāo)，并且逐步落實。與此同時，還應(yīng)該清醒地認(rèn)識到，技術(shù)體系達(dá)到先進(jìn)水平，并不意味著企業(yè)的信息安全整體水平也是同步發(fā)展的；而必須建設(shè)和落實與之相適配的信息安全管理體系，并將其逐步納入到企業(yè)的各級安全生產(chǎn)管理當(dāng)中。

信息安全風(fēng)險和措施概述

企業(yè)信息化系統(tǒng)在為企業(yè)帶來提高工作效率和管理水平、增強(qiáng)競爭能力等益處的同時，也為企業(yè)帶來了信息安全風(fēng)險；而且信息安全風(fēng)險與信息化水平和應(yīng)用范圍的提高與擴(kuò)大同步增長。

（1）接入和訪問方式多樣化帶來全網(wǎng)性風(fēng)險

U盤、便攜電腦、無線網(wǎng)卡、智能手機(jī)的普及加劇了病毒、蠕蟲和間諜軟件等普遍存在的信息安全威脅，而且對網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、信息的破壞程度和范圍持續(xù)擴(kuò)大。

（2）來自外網(wǎng)的攻擊始終存在，攻擊方式向更高階段演化

和其他企業(yè)網(wǎng)一樣，企業(yè)的信息化系統(tǒng)也一直面臨著來自Internet和其他第三方對接網(wǎng)絡(luò)的外在威脅，并且很容易跨域突現(xiàn)。在攻擊手段上，攻擊者已經(jīng)從以往直接針對網(wǎng)絡(luò)和系統(tǒng)的普遍攻擊，轉(zhuǎn)向了對更高層次的Web應(yīng)用、信息數(shù)據(jù)的重點攻擊。

（3）安全意識和相關(guān)培訓(xùn)不到位

職工信息安全培訓(xùn)普及和素質(zhì)培養(yǎng)方面卻沒有形成一個長效機(jī)制，信息安全意識不均衡情況也普遍存在。

（4）信息安全管理體系尚未成熟

在信息安全保障體系中，企業(yè)普遍存在過于依賴于技術(shù)保障，而管理保障和制度執(zhí)行相對薄弱等問題。大多數(shù)企業(yè)的信息安全管理體制還是沿襲傳統(tǒng)組織架構(gòu)，并沒有咨詢過專業(yè)安全公司在信息安全管理體系建設(shè)上的意見，仍由檔案部門、調(diào)度部門兼職負(fù)責(zé)，而沒有設(shè)置專門的信息安全部門，從而造成管理體系不健全，責(zé)任不清晰等問題。

信息安全管理體系的主要環(huán)節(jié)

從業(yè)內(nèi)最佳安全實踐來看，要想建立完善可行的信息安全管理體系，就要使之貫穿于整個企業(yè)信息安全建設(shè)和保障過程。一般說來，信息安全管理體系包括以下6個主要環(huán)節(jié)：

（1）信息風(fēng)險評估程序：其目的是為了在企業(yè)、組織內(nèi)部建立一套適合自身具體情況的信息風(fēng)險評估機(jī)制，明確信息風(fēng)險評估由誰來做、怎么做、做什么、重點解決什么等問題。這一環(huán)節(jié)有助于相關(guān)部門了解有哪些威脅會對企業(yè)信息真正造成影響、風(fēng)險水平該如何確定。

（2）信息安全計劃：它是在信息風(fēng)險評估的基礎(chǔ)上，結(jié)合企業(yè)的宏觀安全戰(zhàn)略與現(xiàn)實情況得出的，明確了信息安全工作應(yīng)該“做什么”和“什么時候做”。

（3）項目管理：無論安全工作是內(nèi)部人員來完成還是與專業(yè)安全公司協(xié)作來完成，每一項信息安全工作都可以視為一個安全項目。所以，還應(yīng)充分考慮項目管理的各個階段（發(fā)起、啟動、計劃、執(zhí)行、控制、收尾）需要關(guān)注的問題和存在的風(fēng)險。

（4）運行維護(hù)和培訓(xùn)：對企業(yè)信息的運行維護(hù)監(jiān)控過程大部分是程序化和其他一些較為細(xì)碎的工作。同是，除了執(zhí)行命令、填寫表單以外，還需要通過各類培訓(xùn)教育讓各級職工，尤其是掌握核心業(yè)務(wù)數(shù)據(jù)的崗位人員時刻保持風(fēng)險預(yù)警意識。

（5）信息安全審計：其主要目的就是建立一個長效機(jī)制，明確對信息系統(tǒng)及其數(shù)據(jù)和信息的檢查周期、審計方式、評審制度等內(nèi)容，確保能夠及時發(fā)現(xiàn)和彌補(bǔ)信息安全管理漏洞和缺陷。

（6）持續(xù)改進(jìn)計劃：為了應(yīng)對不斷變化的信息安全威脅和不斷嚴(yán)格的合規(guī)性要求，從根本上解決信息安全問題，企業(yè)、組織需要對信息安全過程、方法、程序、操作指南持續(xù)改進(jìn)。

圖1 信息安全管理體系環(huán)節(jié)構(gòu)成示意圖

信息安全管理體系的實施內(nèi)容

從當(dāng)前來看，信息安全管理體系的實施內(nèi)容主要包括信息安全管理制度和信息安全操作流程組成，二者各司其職，又互為補(bǔ)充。

首先，信息安全管理制度主要是公司的相關(guān)部門根據(jù)自身的管理職能，針對各種與信息安全管理有關(guān)的資源制定的相關(guān)要求、政策。管理制度通常由相應(yīng)的部門進(jìn)行歸口管理和解釋，是職能化、專業(yè)化的直接體現(xiàn)。

其次，信息安全管理流程是根據(jù)一定的管理目標(biāo)，對系列相關(guān)活動順序和操作規(guī)則的規(guī)定。通常管理流程會貫穿若干部門，使用相關(guān)資源，是流程化、規(guī)范化管理的體現(xiàn)。與管理制度相比，管理流程更注重過程管理，通常會使用一些流程測量指標(biāo)，作為衡量效率和判斷是否合理的依據(jù)。

最后，在信息安全管理體系的實施中，如果關(guān)注結(jié)果，不注重或者難于監(jiān)控過程，就傾向于使用制度去約束，如近幾年在企業(yè)中大力推廣的口令加密存儲制度等。另一方面，如果在一個安全控制點上更關(guān)注過程，即關(guān)注是否具有完備的輸入，是否有合理可操作的處理過程，是否產(chǎn)生了預(yù)期的結(jié)果，那么就傾向使用操作流程進(jìn)行記錄，如系統(tǒng)補(bǔ)丁加載等。

篇10

關(guān)鍵詞：信息化信息安全網(wǎng)絡(luò)安全

根據(jù)國家統(tǒng)計局年初公布的數(shù)字顯示，國內(nèi)企業(yè)總體的99％都是中小企業(yè)，他們貢獻(xiàn)了超過一半的國內(nèi)GDP。但截止到目前，這些中小企業(yè)的信息化水平仍然比較落后，其中針對信息安全的投人，更是鳳毛麟角。

對于國內(nèi)占大多數(shù)的中小企業(yè)來說，如何在充分利用信息化優(yōu)勢的同時，更好地保護(hù)自身的信息資產(chǎn)，已經(jīng)成為一個嚴(yán)峻的挑戰(zhàn)。特別是近兩年來，網(wǎng)絡(luò)上的病毒、攻擊事件頻發(fā)，信息安全問題正在日益成為中小企業(yè)信息化進(jìn)程中的難題。

一、什么是信息安全

信息是一種資產(chǎn)，與其它重要的資產(chǎn)一樣，它對一個組織而言具有一定的價值，因此需要適當(dāng)?shù)募右员Ｗo(hù)，而信息又可以以多種形式存在。如可以打印或者寫在紙上，以數(shù)字化的方式存儲，通過郵局郵寄或電子手段發(fā)送，表現(xiàn)在膠片上或以談話的方式說出來?？傊?，信息無論以什么形式存在，以什么方式存儲、傳輸或共享，都應(yīng)得到恰當(dāng)?shù)谋Ｗo(hù)。

所謂信息安全是指信息具有如下特征：

安全性：確保信息僅可讓授權(quán)獲取的人士訪問；完整性：保護(hù)信息和處理方法的準(zhǔn)確和完善；可用性：確保授權(quán)人需要時可以獲取信息和相應(yīng)的資產(chǎn)。

信息安全是指使信息避免一系列威脅，保障商務(wù)的連續(xù)性，最大限度地減少業(yè)務(wù)的損失，從而最大限度地獲取投資和商務(wù)的回報。它主要涉及到信息傳輸?shù)陌踩?、信息存儲的安全、以及網(wǎng)絡(luò)傳輸信息內(nèi)容的審計三個方面，它可以通過實施一整套恰當(dāng)?shù)拇胧﹣慝@得。但目前我國的信息安全令人堪憂，隨著政府上網(wǎng)和企業(yè)信息化的推進(jìn)，越來越多的企業(yè)的日常業(yè)務(wù)已經(jīng)無法脫離網(wǎng)絡(luò)和信息技術(shù)的支持，那么我國中小企業(yè)的信息安全現(xiàn)狀如何呢?

二、我國企業(yè)信息安全的現(xiàn)狀

（一）企業(yè)的重視程度

隨著信息化的加快，企業(yè)信息安全越來越受到重視，而我國的中小企業(yè)信息安全現(xiàn)階段正處于初級階段。在推進(jìn)企業(yè)信息化的進(jìn)程中，有些中小企業(yè)對于信息化概念的認(rèn)識遠(yuǎn)遠(yuǎn)不夠，它們認(rèn)為購置幾臺電腦放到公司，日常用來打打字，將單個機(jī)器連結(jié)到網(wǎng)上企業(yè)就信息化了，遠(yuǎn)遠(yuǎn)沒有認(rèn)識到信息技術(shù)給企業(yè)所能帶來的巨大的變化，對于網(wǎng)絡(luò)安全更是沒有意識。

據(jù)調(diào)查，目前國內(nèi)90％的網(wǎng)站存在安全問題，其主要原因是企業(yè)管理者缺少或沒有安全意識。某些企業(yè)網(wǎng)絡(luò)管理員甚至認(rèn)為其公司規(guī)模較小，不會成為黑客的攻擊目標(biāo)。如此態(tài)度，網(wǎng)絡(luò)安全更是無從談起。

（二）資金、技術(shù)、人員方面情況

已建立了企業(yè)內(nèi)部信息化平臺的企業(yè)，由于資金、技術(shù)等方面的原因，還沒有把重點放到網(wǎng)絡(luò)安全管理上，尤其是中小企業(yè)的安全問題一直隱患重重。

據(jù)了解，許多中小企業(yè)沒有專門的網(wǎng)絡(luò)管理員，一般采用兼職管理方式，這使中小企業(yè)的網(wǎng)絡(luò)管理在安全性方面存在嚴(yán)重的漏洞，與大型企業(yè)相比，它們更容易受到網(wǎng)絡(luò)病毒的侵害，損失也比較嚴(yán)重。

根據(jù)IDC對年我國政府、企業(yè)用戶的信息安全狀況分析，約有34．8％的企業(yè)因內(nèi)部雇員的行為(包括對內(nèi)部資源的不合理使用和對內(nèi)部數(shù)據(jù)缺乏有效保護(hù))而造成企業(yè)出現(xiàn)安全問題。

（三）網(wǎng)絡(luò)維護(hù)、運行、升級方面的情況

在網(wǎng)絡(luò)的維護(hù)、運行、升級等事務(wù)性工作方面，由于工作繁重而且成本較高，一些善于精打細(xì)算的中小企業(yè)在防范黑客及病毒方面舍不得投入，據(jù)相關(guān)調(diào)查數(shù)據(jù)資料統(tǒng)計，國內(nèi)七成以上的中小企業(yè)，一是缺乏基本的企業(yè)防毒知識，購買一些單機(jī)版防毒產(chǎn)品來防護(hù)整個企業(yè)網(wǎng)絡(luò)的安全。二是采購了并不適合自身網(wǎng)絡(luò)系統(tǒng)的企業(yè)防毒產(chǎn)品，因此留下許多安全隱患。三是技術(shù)力量薄弱，雖然部署了企業(yè)防毒產(chǎn)品，但是這些產(chǎn)品操作難度大、使用復(fù)雜，最終導(dǎo)致很難全面發(fā)揮效用，甚至成了擺設(shè)，這樣一來企業(yè)內(nèi)部網(wǎng)絡(luò)就根本沒有什么安全而言。

三、如何保證我國中小企業(yè)的信息安全

（一）從企業(yè)的自身情況考慮

要解決中小企業(yè)網(wǎng)絡(luò)信息安全問題，不能僅依靠企業(yè)的安全設(shè)施和網(wǎng)絡(luò)安全產(chǎn)品，而應(yīng)該考慮如何提高企業(yè)自身的網(wǎng)絡(luò)安全意識，將信息安全問題提升到重視的高度，要重視“人”的因素。具體表現(xiàn)在以下兩個方面：

1．提高安全認(rèn)識

定期對企業(yè)員工進(jìn)行網(wǎng)絡(luò)安全教育培訓(xùn)深化企業(yè)的全員信息安全意識，企業(yè)管理層要制定完整的信息安全策略并貫徹執(zhí)行，對安全問題要做到預(yù)先考慮和防備。

2．要求中小企業(yè)在上網(wǎng)的過程中要做到“一做三不要”

（1）將存有重要數(shù)據(jù)的電腦堅決同網(wǎng)絡(luò)隔離，同時設(shè)置開機(jī)密碼，并將軟驅(qū)、硬盤加密鎖定，進(jìn)行三級保護(hù)。

（2）不要在自己的系統(tǒng)之內(nèi)使用任何具有記憶命令的程序，因為這些程序不但能記錄用戶的擊鍵動作甚至能以快照的形式記錄到屏幕上發(fā)生的一切。

（3）不在網(wǎng)上的任何場合下隨意透露自己企業(yè)的任何安全信息。

（4）不要啟動系統(tǒng)資源共享功能，最后要盡量減少企業(yè)資源暴露在外部網(wǎng)上的機(jī)會和次數(shù)，減少黑客進(jìn)攻的機(jī)會。

（二）從網(wǎng)絡(luò)安全角度考慮

1．從網(wǎng)絡(luò)安全服務(wù)商的角度來說，服務(wù)商要重視中小企業(yè)對網(wǎng)絡(luò)安全解決方案的需要，充分考慮中小企業(yè)的現(xiàn)實狀況，仔細(xì)調(diào)查和分析中小企業(yè)的安全因素，開發(fā)出適合中小企業(yè)實際情況的網(wǎng)絡(luò)安全綜合解決方案。此外，還應(yīng)該注意投入大量精力在安全策略的施行及安全教育的開展方面，這樣才能為中小企業(yè)信息安全工作的順利開展提供堅實的保證。

2．要用防火墻將企業(yè)的局域網(wǎng)(Intranet)與互聯(lián)網(wǎng)之間進(jìn)行隔離。由于網(wǎng)絡(luò)攻擊不斷升級，對應(yīng)的防火墻軟件也應(yīng)該及時跟著升級，這樣就要求我們企業(yè)的網(wǎng)管人員要經(jīng)常到有關(guān)網(wǎng)站上下載最新的補(bǔ)丁程序，以便進(jìn)行網(wǎng)絡(luò)維護(hù)，同時經(jīng)常掃描整個內(nèi)部網(wǎng)絡(luò)，以發(fā)現(xiàn)任何安全隱患并及時更改，才能做到有備無患。

3．企業(yè)用戶最好自己學(xué)會如何調(diào)試和管理自己的局域網(wǎng)系統(tǒng)，不要經(jīng)常請別人來協(xié)助管理。中小企業(yè)要培養(yǎng)自己解決安全問題的能力，提高自己的信息安全技術(shù)。如果缺乏這方面的人才就應(yīng)該去引進(jìn)或者培養(yǎng)相關(guān)人才。

4．內(nèi)部網(wǎng)絡(luò)系統(tǒng)的密碼要定期修改。

由于許多黑客利用窮舉法來破解密碼，像John這一類的密碼破解程序可從因特網(wǎng)上免費下載，只要加上一個足夠大的字典在足夠快的機(jī)器上沒日沒夜地運行，就可以獲得需要的賬號及密碼，因此，經(jīng)常修改密碼對付這種盜用就顯得十分奏效。當(dāng)然，設(shè)定密碼也有很深的學(xué)問，只有隨意性強(qiáng)、有足夠的長度并及時更新的密碼才能算是比較安全的密碼。

5．要經(jīng)常使用殺毒軟件來維護(hù)局域網(wǎng)系統(tǒng)不受病毒攻擊。現(xiàn)在國內(nèi)的殺毒軟件都推出了清除某些特洛伊木馬的功能，可以不定期地在脫機(jī)的情況下進(jìn)行檢查和清除。另外，有的殺毒軟件還提供網(wǎng)絡(luò)實時監(jiān)控功能，這一功能可以在黑客從遠(yuǎn)端執(zhí)行用戶機(jī)器上的文件時，提供報警或讓執(zhí)行失敗，使黑客向用戶機(jī)器上載可執(zhí)行文件后無法正確執(zhí)行，從而避免了進(jìn)一步的損失。

6．同其它企業(yè)進(jìn)行聯(lián)合，共同抵制黑客的入侵，一旦被入侵要及時向有關(guān)部門匯報，并共同查找入侵來源，鎖定黑客IP地址。將網(wǎng)絡(luò)的TCP起時限制在15分鐘以內(nèi)，減少黑客入侵的機(jī)會。并擴(kuò)大連接表，增加黑客填寫整個連接表的難度。

四、結(jié)束語