導語：企業(yè)信息安全論文(共4篇)一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

第一篇：企業(yè)信息安全現(xiàn)狀分析

一、企業(yè)信息安全現(xiàn)狀

（一）企業(yè)自身方面

1.企業(yè)對信息安全重視程度不夠

我國雖然大力發(fā)展企業(yè)信息化建設已有一段時間，但是國內(nèi)很多企業(yè)的信息化整體水平不高，大多數(shù)企業(yè)的信息化基礎還很薄弱。很多員工認為企業(yè)信息化的實質(zhì)就是計算機，對企業(yè)信息安全來講只要能使計算機正常運行，日常工作可以正常的運轉(zhuǎn)這就可以了，在頭腦里對企業(yè)信息安全沒有一個清楚和正確的認識。信息安全是保證企業(yè)信息的保密性、真實性、完整性、未授權(quán)拷貝和所寄生系統(tǒng)的安全。其主要目的就是保護企業(yè)信息不受內(nèi)部、外部、自然等因素的威脅。

2.企業(yè)對信息安全資金投入少

企業(yè)是一個以生產(chǎn)經(jīng)營為主的經(jīng)濟組織，資金的投放重點主要投向生產(chǎn)經(jīng)營方面，所有的日常工作圍繞生產(chǎn)轉(zhuǎn)，重心向生產(chǎn)傾斜，大部分的資金流向生產(chǎn)部門。企業(yè)信息化建設資金投入巨大，很多情況下需要長期投入，形成整體合力的周期長。這導致了每年撥給信息化建設的資金不足，甚至被擠占、挪用，從而使企業(yè)信息化整體建設資金不足，這更導致了對企業(yè)信息安全方面資金投入量更少，使之長期營養(yǎng)不良。

3.國內(nèi)信息安全整體應用水平低

一些企業(yè)已經(jīng)認識到了在信息安全方面的漏洞是給企業(yè)造成重大損失的隱患，但是目前我國國內(nèi)信息安全行業(yè)的整體技術水平低。雖然推出了很多信息安全產(chǎn)品，可是安全系統(tǒng)整體集成與應用水平不高，甚至個別不同品牌的安全產(chǎn)品運行使用上還會互有沖突，不能對企業(yè)信息進行有效防護。

4.人員素質(zhì)不高

企業(yè)信息安全技術人員匱乏。其中既懂信息安全技術又懂企業(yè)生產(chǎn)運行流程和管理的高素質(zhì)人才更加稀缺。同時使用人員的素質(zhì)也普遍不高，大部分企業(yè)多半員工停留在一般使用計算機的水平。一些新上信息安全系統(tǒng)給計算機使用上增加了諸多使用限制，例如身份識別系統(tǒng)在若干次密碼輸入錯誤后系統(tǒng)自動鎖定無法正常登陸，使初用者感到諸多不便容易產(chǎn)生抵觸情緒，無形中增加了信息安全推廣使用方面的難度。

5.沒有健全的信息管理制度

企業(yè)信息化管理改變了企業(yè)許多原有的生產(chǎn)經(jīng)營管理模式，很多使用制度和使用規(guī)范沒有建立健全，在各方面都需要一個規(guī)范化的操作管理，而很多員工對此認識不深對信息化設備不愛護使用，導致故障頻出連一些基本的信息安全都不能保證。

（二）人為因素方面

1.人為無意識的因素

由于在設計建設初期對信息安全防護方面考慮不周，或者信息技術人員安全觀念淡薄、技術不熟練、責任心不強等原因，不執(zhí)行安全操作制度，造成軟件或硬件設備的損壞、運行故障、數(shù)據(jù)丟失或誤刪除等責任事故。信息終端用戶的誤操作，也會造成一些不必要的損失。

2.人為惡意破壞因素

網(wǎng)絡攻擊已經(jīng)成為威脅企業(yè)信息安全的主要因素。攻擊者利用計算機系統(tǒng)等方面的漏洞和缺陷，采用惡意攻擊、網(wǎng)絡監(jiān)聽、密碼暴力破解等手段侵入計算機系統(tǒng)，盜竊企業(yè)核心機密信息。

3.計算機病毒

當前計算機病毒的破壞對象已經(jīng)不僅僅只是對存儲數(shù)據(jù)和硬件設備造成破壞，新型病毒對網(wǎng)絡設備、數(shù)據(jù)存儲設備甚至一些信息安全設備進行攻擊和破壞。利用病毒自動傳播和黑客緩沖溢出技術相結(jié)合的特點使病毒產(chǎn)生連鎖反應，造成信息系統(tǒng)大面積的癱瘓。例如前幾年的熊貓燒香病毒，許多企業(yè)和政府機構(gòu)受到病毒襲擾，其中不乏一些關系到與人民日常生活息息相關的要害單位，造成的損失不可估量。

4.內(nèi)部人員的破壞

堡壘都是由內(nèi)部攻破的。很多企業(yè)對自身的信息安全將會遭到外部攻擊有一定的考慮，安裝殺毒軟件、硬件防火墻等一些安全設備，可是卻忽略了內(nèi)部的安全防護。企業(yè)信息系統(tǒng)中的資源并不是對所有人共享。對這種要求企業(yè)一般都會做出訪問權(quán)限、身份驗證、禁止非法拷貝等相應的安全設置。但是在實際的應用過程中出現(xiàn)了用戶權(quán)限設置不科學，對一些數(shù)據(jù)的訪問控制權(quán)限劃分過于粗糙，不能確保使用上的安全。并且企業(yè)內(nèi)部也有一些人員，惡意攻擊、非法盜取企業(yè)核心機密，由于沒有有效可控手段，這種情況防不勝防。

二、對于企業(yè)信息安全的相應解決策略

（一）信息安全管理方面

1.開展企業(yè)信息安全教育。

信息安全實質(zhì)上是為企業(yè)日常安全生產(chǎn)保駕護航，建議多組織召開包含企業(yè)各級部門“一把手”在內(nèi)的企業(yè)信息安全宣教會，詳細介紹企業(yè)信息安全的基本理論、常識、發(fā)展主流以及一旦發(fā)生信息安全事故對企業(yè)科研、生產(chǎn)經(jīng)營所造成的嚴重影響，在思想上提高對企業(yè)信息安全的認識，進而提高企業(yè)全體員工的重視程度。

2.增加企業(yè)信息安全建設的資金投入。

建立年度的信息安全建設投資預算計劃，將預計資金使用量匯總到企業(yè)年度技改計劃中，把信息安全建設納入企業(yè)信息化整體建設規(guī)劃中，以確保信息安全資金穩(wěn)定的可持續(xù)性投入。

3.加大對信息安全人才的重視。

人才是企業(yè)信息安全建設中的重點，如果只偏重于軟硬件、基礎設施上的資金投入而在信息安全上得不到有效的管理和使用，那就是本末倒置了。成立由公司高管直接負責的信息化部門，負責整個企業(yè)的信息安全人才培養(yǎng)和相關信息安全建設的事務。

4.建立完善的信息安全制度并加大監(jiān)督執(zhí)行力度。

良好的管理制度可以為信息安全創(chuàng)造有力的執(zhí)行環(huán)境和條件，信息安全技術又促進了管理更有效更優(yōu)良的發(fā)展。同時強有力的監(jiān)督執(zhí)行，使之在使用和操作上也加強了使用規(guī)范和效率，避免了一些人為失誤造成的損失。

（二）信息安全技術方面

為了切實保障企業(yè)信息的機密性、完整性、可控性和安全性，必須采用一系列相應的技術手段，這是信息安全技術中最直接有效的部分。

1.硬件防火墻和入侵檢測、漏洞掃描系統(tǒng)

硬件防火墻是內(nèi)部網(wǎng)絡與外部互聯(lián)網(wǎng)之間的一道安全關口。它在企業(yè)內(nèi)部網(wǎng)絡和外部互聯(lián)網(wǎng)絡之間設置了一道安全壁壘，有效防止外部對內(nèi)網(wǎng)進行非法訪問。入侵檢測系統(tǒng)對網(wǎng)絡傳輸進行實時監(jiān)控，在發(fā)現(xiàn)可疑傳輸時發(fā)出報警或者采取主動反應措施，漏洞掃描系統(tǒng)對指定的遠程或者本地計算機系統(tǒng)的安全脆弱性進行檢測，及早發(fā)現(xiàn)可被利用的安全漏洞。它們可以相互配套，增強系統(tǒng)管理員的安全防范能力。

2.網(wǎng)絡安全審計

網(wǎng)絡安全審計是指按照一定的安全策略，審查和檢驗操作事件的活動，從而發(fā)現(xiàn)系統(tǒng)漏洞、入侵行為。實際是記錄與審查用戶操作和使用活動的過程，如用戶所調(diào)用的信息、使用時間、執(zhí)行的操作等。安全審計對系統(tǒng)記錄和行為進行獨立的審查和估計，可以有效監(jiān)控用戶的使用情況，對內(nèi)部潛在的非法攻擊者起到威懾作用。

3.虛擬局域網(wǎng)技術

按照公司的實際生產(chǎn)管理需要劃分，使用虛擬局域網(wǎng)絡技術將持有敏感信息的用戶組與網(wǎng)絡的其他部分隔離，從而降低泄露機密信息的可能性，增強局域網(wǎng)的安全性。

4.網(wǎng)絡殺毒軟件的使用

使用網(wǎng)絡版殺毒軟件，網(wǎng)絡管理員能夠利用其實現(xiàn)對全網(wǎng)電腦進行遠程統(tǒng)、有效清除計算機病毒，徹底解決局域網(wǎng)病毒殺而不絕、四處流竄的夢魘。

5.定時備份重要數(shù)據(jù)

企業(yè)應使用統(tǒng)一的數(shù)據(jù)備份系統(tǒng)，由專人對數(shù)據(jù)進行定時備份定時檢查，確保數(shù)據(jù)的完整性可靠性。并且保證備份介質(zhì)異地存放，專人管理。信息安全已經(jīng)成為促進企業(yè)自身發(fā)展壯大的條件之一，誰能抓住時代的脈搏在新的技術條件下將信息安全與企業(yè)管理高效融合，為企業(yè)走可持續(xù)化發(fā)展道路保駕護航，誰就抓住了企業(yè)生存與發(fā)展的主動權(quán)，從而在知識經(jīng)濟和信息化高速發(fā)展的當前，長遠生存發(fā)展壯大。

作者：于強工作單位：陜西興化集團有限責任公司

第二篇：企業(yè)網(wǎng)信息安全保衛(wèi)思路

1引言

為順應經(jīng)濟全球化大環(huán)境和國家信息化發(fā)展戰(zhàn)略需要，現(xiàn)在大多企業(yè)推動企業(yè)信息化建設進程，生產(chǎn)作業(yè)層信息化可以顯著提高生產(chǎn)效率和產(chǎn)品質(zhì)量；管理辦公層的信息化實現(xiàn)企業(yè)信息共享、加強業(yè)務控制和利用信息加強企業(yè)管理；戰(zhàn)略決策層的信息化通過國家和地方政策法規(guī)、國內(nèi)外相關行業(yè)的市場行情走向等進行合理分析，為企業(yè)高層提供產(chǎn)品、銷售、財務決策和企業(yè)戰(zhàn)略規(guī)劃提供可靠支持；協(xié)作商務層的信息化促進企業(yè)與外部供應商、分銷商和客戶間的實時溝通和協(xié)同商務，信息化是未來社會企業(yè)的必然趨勢，而企業(yè)網(wǎng)的信息安全正是其發(fā)展軟脅[3]。本文在最新企業(yè)網(wǎng)調(diào)查數(shù)據(jù)上挖掘企業(yè)網(wǎng)信息安全真相，提出相應的安全保衛(wèi)技術。

2企業(yè)網(wǎng)的現(xiàn)狀

我們從幾家權(quán)威機構(gòu)關的最新調(diào)查報告中以不同角度觀察了解我國企業(yè)網(wǎng)的現(xiàn)狀。據(jù)CNNIC中國互聯(lián)網(wǎng)絡信息中心最新公布的《第33次中國互聯(lián)網(wǎng)絡發(fā)展狀況統(tǒng)計報告》：截至到2013年12月，我國有93.1%的企業(yè)使用計算機辦公，83.2%的企業(yè)利用互聯(lián)網(wǎng)辦公，40%以上的企業(yè)建立了獨立的企業(yè)網(wǎng)站；而在2013年上半年隨機受訪的3000家企業(yè)的獨立網(wǎng)站中，86.4%具備產(chǎn)品或服務的展示、77.4%樹立品牌形象、63%提供客戶服務、此外還有在線銷售功能、原料采購功能、內(nèi)部辦公、在線支付功能等[4]?？ò退够鶎嶒炇遗cB2BInternational聯(lián)合調(diào)查結(jié)果文件《2013年企業(yè)威脅回顧》顯示：企業(yè)越來越容易受到網(wǎng)絡攻擊，在2013年，約有91%的被訪企業(yè)曾遭受過至少一次網(wǎng)絡攻擊，9%遭受過針對性攻擊，網(wǎng)絡攻擊的目的主要是為了竊取信息，或破壞———通過惡意軟件清除數(shù)據(jù)或者阻止基礎設施操作[5]。在《2013年全球公司IT安全威脅調(diào)查》中指出：員工在工作中經(jīng)常使用的軟件的漏洞成為企業(yè)內(nèi)部網(wǎng)絡安全事故的主要原因，軟件漏洞給39%的公司造成內(nèi)部數(shù)據(jù)安全問題[6]。奇虎360在《Gartner：互聯(lián)網(wǎng)時代的企業(yè)安全發(fā)展趨勢》中指出：企業(yè)安全屬于一種集體安全問題，安全性最差的一臺電腦往往決定了企業(yè)內(nèi)網(wǎng)系統(tǒng)的整體安全級別。另有數(shù)據(jù)顯示：企業(yè)官網(wǎng)是“后門”檢出率最高的網(wǎng)站類型，比例達到38.5%，且企業(yè)網(wǎng)站是流量攻擊的首要目標[7]。2013年中國國家計算機病毒應急處理中心的統(tǒng)計報告顯示，近年來我國每年企業(yè)網(wǎng)、政府政府機關的網(wǎng)絡系統(tǒng)遭受黑客攻擊和病毒侵害的比例高達80%[8]。瑞星安全專家在《瑞星2013年中國信息安全報告》中指出：“棱鏡門”曝光表明地理界限、空間阻礙已不能阻止信息的流通，信息安全保衛(wèi)是個人、企業(yè)、國家三者的必修課；信息虛擬化發(fā)展迅速，使企業(yè)處于信息安全風暴，完善企業(yè)信息安全機制任重道遠[9]。

3企業(yè)網(wǎng)存在的信息安全隱患

在互聯(lián)網(wǎng)社會，信息安全問題已成為企業(yè)信息化進程中普遍存在的問題。不同于傳統(tǒng)的威脅，信息安全威脅無處不在，如影隨形，無論企業(yè)采用了何種信息化的管理手段，只要打開設備，哪怕只是打開文件或收發(fā)電子郵件，都有可能引發(fā)信息安全問題。企業(yè)網(wǎng)沒有暴露信息安全問題，并不是防護措施完善，而是其信息的價值不夠高，或者入侵者低調(diào)悄然無息[10]。從威脅來源來看，數(shù)字化的企業(yè)網(wǎng)信息安全面臨“內(nèi)憂外患”，從威脅的種類來看，企來網(wǎng)信息安全威脅主要有軟件和硬件的先天缺陷、企業(yè)管理制度的制定不當和執(zhí)行不到位、企業(yè)員工操作不當和有意泄密、黑客惡意攻擊、病毒感染等。

1．企業(yè)網(wǎng)中的硬件本身存在缺陷。硬件為軟件的載體，構(gòu)成企業(yè)網(wǎng)網(wǎng)絡的服務器、工作站、路由器等硬件設備在設計或制造過程中可能存在缺陷，且硬件會老化、過時，易受外界溫度、濕度等環(huán)境因素和自然災害等不可抗力影響。此外，硬件運行時產(chǎn)生的電磁輻射、信息傳道信道也有可能被竊聽[1]。如：“911”事件使得多家企業(yè)和機構(gòu)的辦公場所含硬件設備在廢墟中深埋，但同樣遭災的德意志銀行和紐約銀行由于企業(yè)信息災備準備不同后果迥異，前者很快恢復業(yè)務處理，而后者數(shù)月后被迫破產(chǎn)。

2．企業(yè)網(wǎng)中的軟件存在先天缺陷：企業(yè)網(wǎng)為方便辦公所安裝的軟件（如操作系統(tǒng)、辦公軟件等系統(tǒng)軟件、各類企業(yè)管理控制軟件等）在開發(fā)時受軟件的抽象性、所解決問題的復雜性、軟件開發(fā)時的開發(fā)方法、軟件安裝環(huán)境和開發(fā)人員水平等因素影響軟件本身存在先天設計或編碼上的缺陷，使用時企業(yè)環(huán)境、軟件所處軟硬件環(huán)境又在不斷變化也要求軟件相應調(diào)整，若這些軟件問題沒有及時解決就有可能給企業(yè)網(wǎng)帶來巨大的信息安全隱患。如：微軟官方宣布2014年4月8日起對WindowsXP停止更新、漏洞修復等服務，缺少了系統(tǒng)支持服務，不能及時更換WindowsXP企業(yè)用戶（據(jù)2012年相關抽樣調(diào)查，XP在某些企業(yè)應用比例超70%）將面臨操作系統(tǒng)與各類軟硬件間的兼容性、設備驅(qū)動及黑客對系統(tǒng)漏洞的攻擊風險等問題[9]。

3．企業(yè)管理不當。企業(yè)的信息安全問題部分是由信息系統(tǒng)開發(fā)技術引起的，更多時候出在管理制度不嚴密、執(zhí)行不到位上，科學合理的信息安全管理制度和嚴格的執(zhí)行是企業(yè)信息安全的必要保證[1]。很多企業(yè)內(nèi)網(wǎng)遭遇病毒、木馬、被入侵等信息安全威脅就是因為企業(yè)員工大意的運用不安全的移動存儲器拷貝文件，不加保護地網(wǎng)絡共享文件、傳送文件，或者私自用內(nèi)網(wǎng)計算機上外網(wǎng)引起的。例：2011年韓國多家媒體及金融機構(gòu)業(yè)務網(wǎng)絡受攻擊癱瘓的根源就在其內(nèi)外網(wǎng)安全隔離機制和權(quán)限管理機制存在缺陷。

4．企業(yè)員工存在不當操作：若企業(yè)員工不按規(guī)范操作，再高級的軟硬件系統(tǒng)也無安全性可言。根據(jù)Verizon2013年關于數(shù)據(jù)泄露調(diào)查報告顯示：由內(nèi)部因素導致的數(shù)據(jù)泄露達到了2009年以來的最高值，其中，有7/10是由內(nèi)部人員不小心導致。常見的不當操作有：采用軟件提供廠家默認配置如系統(tǒng)初始用戶名及密碼等，密碼選用不慎重（如：使用簡單密碼或從不變更密碼），不注意保密工作（如：將自己的帳號隨意轉(zhuǎn)借他人或與別人共享，用戶登錄操作結(jié)束后不退出），不及時給軟件打補丁等。

5．內(nèi)部威脅將成企業(yè)信息安全攻擊主流：內(nèi)部或本系統(tǒng)的人員通過網(wǎng)絡竊取機密、泄露或更改信息以及信息系統(tǒng)，此種內(nèi)部泄密主要原因是有意識的利益驅(qū)動。據(jù)360相關調(diào)查：中國商業(yè)秘密刑事案件中有60%與人才離職有關。2012年北京某公司辦公管理程序及相關數(shù)據(jù)文件被離職員工遠程進入公司內(nèi)網(wǎng)刪除，損失巨大。2013年HTC手機研發(fā)高層出內(nèi)鬼，核心機密失竊延誤上市良機；某寶被曝鬧內(nèi)鬼20G用戶信息被盜賣；某快遞公司內(nèi)鬼勾結(jié)網(wǎng)站20萬條用戶快遞信息遭兜售。

6．黑客惡意攻擊。近年來，黑客攻擊網(wǎng)絡犯罪逐漸產(chǎn)業(yè)化，黑客通過釣魚、掛馬、傳播病毒、破解口令等方式攻入企業(yè)服務器或客戶機，偷取和破壞企業(yè)數(shù)據(jù)及文件；或者通過遠程攻擊的方式，癱瘓企業(yè)服務器乃至整個企業(yè)網(wǎng)絡，干擾企業(yè)的正常運營，損害企業(yè)利益。這種行為破壞性最強，可能給企業(yè)造成巨大危害，甚至給社會帶來震蕩。有關調(diào)查顯示，亞太區(qū)約75%的受訪企業(yè)曾遭黑客入侵，被盜取知識產(chǎn)權(quán)、客戶信用卡數(shù)據(jù)及客戶個人身份。Verizon2013年關于數(shù)據(jù)泄露調(diào)查報告顯示超過55%的泄露事故由專業(yè)的受利益驅(qū)使的犯罪團伙實施。例如：2013年10月前后由國外入侵的“密鎖”病毒高針對企業(yè)，永久深度加密企業(yè)文檔限時敲詐。2014年1月人人貨、好貸網(wǎng)、拍拍貸等多家互聯(lián)網(wǎng)金融企業(yè)遭受惡意攻擊致使暫停服務，據(jù)受害企業(yè)表示可能是競爭者幕后指使。繼頻頻傳出的個人比特幣帳戶被盜事件后，2014年2月底全球最大比特幣交易平臺Mt.Gox公司帳號及超百萬的用戶帳號中所有比特幣幾乎全部被盜，折合損失約4.67億美元，導致公司破產(chǎn)，投資者利益嚴重受損。

7．病毒感染。病毒是企業(yè)網(wǎng)中最常見的信息安全威脅，不同種類的病毒為企業(yè)網(wǎng)造成不同程度的危害，如：影響電腦和網(wǎng)絡的速度，經(jīng)查殺后即可恢復；有的病毒會迅速感染整個網(wǎng)絡，造成網(wǎng)絡癱瘓，對付這種病毒需要斷網(wǎng)后系統(tǒng)性地對整個網(wǎng)絡進行病毒查殺；有的病毒會修改、刪除企業(yè)的數(shù)據(jù)，企業(yè)可以通過備份的數(shù)據(jù)恢復；而有的病毒會對硬件造成不可逆的損壞[1]。從病毒發(fā)展演變和發(fā)作趨勢來看，計算機病毒感染方式已從單機的被動傳播變成了利用網(wǎng)絡的主動傳播，不僅帶來網(wǎng)絡的破壞，而且造成網(wǎng)上信息的泄露，特別是在專用網(wǎng)絡上，病毒感染已成為網(wǎng)絡安全的嚴重威脅[11]。

4信息安全保衛(wèi)技術

當今，“信息”已成為企業(yè)四大資源之一，我國企業(yè)大多利用互聯(lián)網(wǎng)辦公，虛擬化后的企業(yè)網(wǎng)信息使得企業(yè)辦公和運營更高效穩(wěn)定，維護更簡單，成本更低廉，與此同時，一旦承載企業(yè)信息平臺的電腦系統(tǒng)出現(xiàn)問題，企業(yè)辦公將受到牽連，嚴重時還可能使整個系統(tǒng)癱瘓，甚至造成企業(yè)倒閉或社會動蕩。我們可以通過以下途徑來加強企業(yè)網(wǎng)的信息安全保衛(wèi)。

1、國家須健全與網(wǎng)絡信息安全相關的法律法規(guī)，以震懾網(wǎng)上不法分子，減少網(wǎng)絡威脅。目前我國對互聯(lián)網(wǎng)上行為的規(guī)范相對滯后，大多沿用國際標準，沒有很好地體現(xiàn)中國特色?，F(xiàn)有法律法規(guī)制定對網(wǎng)絡上許多行為概念不清、內(nèi)容不完善或處罰較輕，在具體實施時，國家政策管理、監(jiān)督及執(zhí)行力度不夠，致使執(zhí)行過程中出現(xiàn)問題得不到及時、妥善解決，對網(wǎng)絡信息安全方面的不法分子震懾力度相對不夠。

2、企業(yè)須建立科學合理的信息安全管理體系。任何系統(tǒng)，無論外部堡壘如何堅固，其系統(tǒng)內(nèi)部都較脆弱，內(nèi)部員工無意的疏忽或有意泄漏最易造成企業(yè)信息安全事件，因此，加強企業(yè)網(wǎng)信息安全防范最重要的是加強企業(yè)管理。企業(yè)必須將信息安全融入企業(yè)管理，制定科學合理、嚴密詳細的管理規(guī)章制度，在企業(yè)業(yè)務有效運轉(zhuǎn)的同時保障企業(yè)信息安全可靠。首先，對企業(yè)網(wǎng)中的各類資源和操作（如：各種設備、文檔、網(wǎng)絡共享、移動存儲、打印、文件傳輸?shù)龋┻M行全面、專業(yè)、詳細的信息安全風險評估，列出潛在風險所在，確定安全管理范圍和安全管理等級，嚴格分級分塊，使不同級別，不同業(yè)務的人員權(quán)限不同，杜絕權(quán)限濫用隱患；制定明確的網(wǎng)絡信息操作使用規(guī)程、不同角色對應的權(quán)限和責任；制定網(wǎng)絡系統(tǒng)的維護制度和風險應急處理流程等，設立嚴格的獎懲機制，將信息安全效果與物質(zhì)精神獎懲掛鉤，并建立安全審核與跟蹤體系，整體提高員工的網(wǎng)絡安全意識。

3、加強企業(yè)員工信息安全意識教育。再好的制度也須執(zhí)行到位再能管用，所以，企業(yè)必須加強員工的信息安全教育。首先，企業(yè)應向員工普及國家相關的法律法規(guī)和企業(yè)相關的信息安全規(guī)章制度；其次，企業(yè)在職位崗前培訓時側(cè)重信息安全技術培訓，使員工明確信息安全的重要性和潛在風險，讓員工掌握正確的企業(yè)網(wǎng)信息系統(tǒng)操作方法和一定的信息安全防范技巧；再次，嚴格執(zhí)行企業(yè)關于信息安全保護獎懲機制，使大家實時體會到信息泄露防護的重要性；最后，加強軟件公司維修人員、離職員工的帳號管理。

4、加強企業(yè)內(nèi)網(wǎng)信息安全管理。企業(yè)內(nèi)網(wǎng)集中存儲著企業(yè)核心機密資料（如企業(yè)生產(chǎn)工藝、經(jīng)營計劃、銷售數(shù)據(jù)、客戶信息等），運行著企業(yè)的核心業(yè)務，是企業(yè)賴以生存和發(fā)展的基石，也是企業(yè)網(wǎng)信息安全保障工作的重點，企業(yè)內(nèi)網(wǎng)一旦出問題，輕則影響企業(yè)正常運轉(zhuǎn)、重則危及企業(yè)生存。為檢測和抵御來自外部網(wǎng)絡的攻擊，企業(yè)應部署高性能、有全面安全防護功能、適應本企業(yè)的防火墻及其他防護系統(tǒng)，加強入網(wǎng)口網(wǎng)絡通信的監(jiān)控。對于企業(yè)內(nèi)網(wǎng)，為免禍起蕭墻，首先要安裝防火墻和殺毒軟件，并合理地設置安全規(guī)則，定期和不定期地查殺病毒和木馬；及時給內(nèi)網(wǎng)中的服務器、公司電腦中所有軟件升級和打“補丁”，及時“補”上系統(tǒng)潛在的安全漏洞；企業(yè)服務器須關閉不必要的端口，并加強日志分析和入侵檢測；做好信息系統(tǒng)異地災備工作，以備出現(xiàn)問題時可及時恢復；此外，還要加強內(nèi)網(wǎng)物理設施和環(huán)境中基礎設施的維護和管理[1]。

5、加強企業(yè)網(wǎng)絡宣傳平臺的信息安全管理據(jù)中國互聯(lián)網(wǎng)絡中心調(diào)查，截至2013年底，中國網(wǎng)民規(guī)模達6.18億[4]。很多企業(yè)為了推廣企業(yè)形象，提高競爭力，采用多種網(wǎng)絡宣傳和營銷平臺，如企業(yè)官網(wǎng)、即時聊天工具、搜索引擎、電子商務平臺、企業(yè)微博等，除企業(yè)所建官網(wǎng)外多數(shù)平臺并不受企業(yè)控制，若相關帳號密碼被破解和濫用，將會對企業(yè)帶來極大負面影響[1]。企業(yè)應配合全國組織機構(gòu)代碼中心做好企業(yè)實名認證，并妥善管理各平臺的帳號。

5結(jié)語

移動技術、虛擬化、云計算等計算機技術將大部分的企業(yè)管理和商業(yè)運作被搬上網(wǎng)絡，使事務管理、商務流程等數(shù)字化為網(wǎng)絡中流淌的01比特流，極大地提高和完善了企業(yè)生產(chǎn)管理效率[1]；與此同時，在經(jīng)濟全球化的大環(huán)境下，資金、資源、技術、信息、人才等不再受地域限制，企業(yè)網(wǎng)信息安全威脅也同突破空間和地域限制。信息化是信息驅(qū)動時代企業(yè)必然的發(fā)展趨勢，任何操作和管理上的小疏忽有可能讓企業(yè)面臨生死存亡，信息安全保衛(wèi)是企業(yè)必須重視的戰(zhàn)略層面的問題。企業(yè)須采用較為先進完善的技術架構(gòu)和安全手段，對各類電子設備、不同層次的員工進行權(quán)限設置，建立嚴格的信息安全管理制度和業(yè)務操作流程，建立較為完善的信息安全應對措施，并將信息安全規(guī)范執(zhí)行到位，并將信息安全作為一項系統(tǒng)性的、持續(xù)性的工作來做，方能真正保障企業(yè)的信息安全[11]

作者：李小榮12疏志年2工作單位：1合肥工業(yè)大學計算機與信息學院2巢湖學院計算機與信息工程學院

第三篇：企業(yè)計算機信息安全管理的重要性

1概述

當今社會計算機信息網(wǎng)絡發(fā)展迅速，我國必須意識到計算機網(wǎng)絡信息安全管理的重要性，做好計算機網(wǎng)絡信息安全管理的各項工作。首先，應該建立健全相關的各項規(guī)章制度，從法律的角度來保證計算機信息網(wǎng)絡的安全。其次，公安機關應該加強對計算機信息網(wǎng)絡的安全管理工作，形成安全管理的堅固基礎。再次，應該發(fā)動社會民間組織和社團積極的參與到維護計算機信息網(wǎng)絡安全工作中來，為保障計算機信息網(wǎng)絡安全創(chuàng)造一個良好的環(huán)境。最后，應該堅持自主創(chuàng)新，建立和完善我國自己的計算機信息網(wǎng)絡安全技術保障標準體系，從而促進我國計算機信息網(wǎng)絡安全、健康地發(fā)展。

2網(wǎng)絡安全管理保障工作

2.1建立和完善網(wǎng)絡管理制度。要嚴格的按照有關單位和部門的規(guī)定，建立和完善網(wǎng)絡管理制度，并且真正的把這項網(wǎng)絡管理制度落實到實處。

2.2加強計算機網(wǎng)絡系統(tǒng)的日常維護工作。要想真正的保證網(wǎng)絡安全，對計算機網(wǎng)絡系統(tǒng)加強日常維護工作是必不可少的。在維護的過程中，如果發(fā)現(xiàn)異常情況，應該及時的解決掉。最好定期的對計算機網(wǎng)絡設備進行檢查，并安排網(wǎng)絡維護值班人員，以便發(fā)現(xiàn)故障及時的處理。

2.3重視網(wǎng)絡病毒的檢查和防范。如果發(fā)現(xiàn)了病毒應該及時的進行查殺，并更新殺毒軟件的病毒庫。情節(jié)嚴重的應該馬上跟有關部門報告。

2.4制訂應急預案。對于一些很重要的網(wǎng)絡設備和電源，最好留一個備份，并且制定應急預案，以便發(fā)生意外，把損失減到最小。除此之外，還有其它的管理措施，比如：一是對本單位信息系統(tǒng)的帳戶、口令等定時進行專門的清理檢查，并及時將軟件更新和升級，消除安全隱患。二是強化網(wǎng)絡安全管理工作，對所有接入企業(yè)網(wǎng)絡的計算機設備進行了全面安全檢查，對發(fā)現(xiàn)有操作系統(tǒng)存在漏洞、防毒軟件配置不到位的計算機進行全面升級，確保網(wǎng)絡安全。三是規(guī)范信息的采集、審核和流程，嚴格信息審核，確保所信息內(nèi)容的準確性和真實性。四是嚴格禁止涉密計算機和涉密存儲介質(zhì)與互聯(lián)網(wǎng)相連，涉密計算機的信息由涉密存儲介質(zhì)備份，并配置專用打印機。

3企業(yè)網(wǎng)絡安全管理措施

3.1加強安全防范意識，提高人員素質(zhì)。首先，在思想上要十分注重網(wǎng)絡安全。一是無論在什么崗位，企業(yè)的每一個員工都應該深刻的意識到計算機信息網(wǎng)絡安全的重要性。二是加強對企業(yè)員工信息安全的防范教育，通過開展一些培訓活動，使企業(yè)員工真正的加強安全防范意識。其次，要不斷提高員工素質(zhì)。除了從主觀上提高安全防范意識，也要從客觀上提高員工的素質(zhì)，因為網(wǎng)絡信息安全管理在實際的操作中需要很多的專業(yè)的人才，所以，企業(yè)應該定期的對相關員工進行安全技能的培訓，從而提高企業(yè)員工的安全防護能力。

3.2要加大對計算機網(wǎng)絡與信息安全工作的投入。信息技術進步神速，我國在這一領域同發(fā)達國家比，并沒有優(yōu)勢。因此我國更應加大投入，刻苦攻關，掌握一些關鍵的信息技術，以確保我國在信息安全方面的自主能力?？梢院敛豢鋸埖卣f，今年安全方面的自主能力，將制約我國的綜合國力和國防實力，因此，我國應當像五六十年展“兩彈一星”一樣，集中力量，加大投入，迎接信息技術革命的挑戰(zhàn)，保衛(wèi)國家安全。這一點，我們不能幻想通過進口來解決問題。在信息安全技術方面，發(fā)達國家一方面極為重視研究開發(fā)，美國政府曾為了改進美國政府的計算機安全系統(tǒng)，投入巨大的資金；另一方面，又嚴格控制信息安全技術的出口。以美國為代表的發(fā)達國家，對信息安全產(chǎn)品出口，已作出許多嚴格限制，以維護其在信息技術領域的絕對優(yōu)勢。

3.3關鍵數(shù)據(jù)采用加密手段。在企業(yè)計算機網(wǎng)絡中關于數(shù)據(jù)安全的隱患無處不在。尤其是一些機密數(shù)據(jù)庫、商業(yè)數(shù)據(jù)等一定要保證它的安全性，這時一般會采取對數(shù)據(jù)加密的手段，它是一種保護數(shù)據(jù)在存儲和傳遞過程中不被竊取或修改的一種手段，該數(shù)據(jù)加密系統(tǒng)在使用的過程中需要綜合考慮執(zhí)行效率與安全性之間的平衡。

3.4加強安全管理力度健全管理制度。首先，加強信息安全管理力度應積極采取宏觀管理與重點監(jiān)控相結(jié)合的方式，保證信息化項目的安全性。系統(tǒng)的實施及管理部門應該全面掌握各單位的計算機網(wǎng)絡系統(tǒng)的相關情況，為企業(yè)統(tǒng)一管理提供可靠依據(jù)。同時，對重點工程實地考察，對信息安全進行檢查，發(fā)現(xiàn)問題及時解決。其次，建立相應的安全管理制度。正所謂“沒有規(guī)矩不能成方圓”，企業(yè)應該制定相應的管理制度和條例，在每個環(huán)節(jié)都設置一個負責人，把責任明確到個人。同時，建立一支網(wǎng)絡聯(lián)絡員隊伍，專門負責企業(yè)計算機的網(wǎng)絡信息安全管理工作，真正的保障企業(yè)計算機網(wǎng)絡的信息安全。

3.5事務管理和故障恢復。事務管理和故障恢復主要是對付系統(tǒng)內(nèi)發(fā)生的自然因素故障，保證數(shù)據(jù)和事務的一致性和完整性。故障恢復的主要措施是進行日志記錄和數(shù)據(jù)復制。計算機同其他設備一樣，都可能發(fā)生各種各樣的故障，比如電源故障、軟件故障、災害故障以及人為破壞等，這些故障可能會造成數(shù)據(jù)庫的數(shù)據(jù)丟失，因此為了保證計算機的安全運行，必須在發(fā)生故障時采取必要的措施恢復數(shù)據(jù)庫，事務管理和故障恢復就是這個作用，它能夠保障數(shù)據(jù)庫在出現(xiàn)故障時，仍可以把數(shù)據(jù)庫系統(tǒng)還原到正常狀態(tài)。

4企業(yè)計算機數(shù)據(jù)安全發(fā)展趨勢

信息安全一直是人們關注的話題，到2014年，移動安全、巨量計算、云端計算、社交網(wǎng)絡、大數(shù)據(jù)、物聯(lián)網(wǎng)等這些話題會依然火熱。IDC相關報告顯示，2020年全球新建立和復制的信息量已經(jīng)超過40ZB，是2012年的12倍，許多公司也預計他們的資料將在一年內(nèi)以60%到70%的增幅進行增長。信息量的飛速增長帶來了巨量數(shù)據(jù)技術和服務市場的繁榮發(fā)展，也加速推動了資安技術朝向智慧化、工具化發(fā)展的趨勢。通過對龐大信息的快速處理和分析，能夠更好的識別和發(fā)現(xiàn)那些復雜的資安威脅，以及他們的攻擊目標，為企業(yè)提供安全預警、抵御這些資安威脅。未來的數(shù)據(jù)中心將與今天大不相同：異構(gòu)和分布式數(shù)據(jù)中心、無處不在的訊息和工作負載、共享資源、硬件與軟件的抽象、混合云端交付等等。此外，數(shù)據(jù)中心架構(gòu)上的變化也可能會帶來新的資安漏洞和隱憂。因此，2014年將會看到更多企業(yè)提出新的需求并主動部署新的安全解決方案以保證其整體系統(tǒng)的穩(wěn)定性、靈活性和可靠性，以及獲得更全面的管理能力。從而使IT能真正幫助企業(yè)保證核心業(yè)務持續(xù)穩(wěn)定運行，甚至推動新的業(yè)務模式發(fā)展。

5結(jié)束語

社會的發(fā)展和經(jīng)濟的飛躍都離不開計算機網(wǎng)絡的迅速發(fā)展。現(xiàn)在的社會和企業(yè)都已經(jīng)網(wǎng)絡化了，那一個正常的網(wǎng)絡運行和信息服務是必不可少的，但是隨處可見的網(wǎng)絡中的一些不安全因素，對計算機的安全性造成了很大的威脅，所以如何保證企業(yè)計算機網(wǎng)絡信息安全是全社會面臨的一個共同話題。信息安全是一個綜合性課題，涉及立法、技術、管理、使用等許多方面，這些對網(wǎng)絡信息安全保護提出了更高的要求，也使網(wǎng)絡信息安全學科的地位越顯得重要，網(wǎng)絡信息安全必然隨著網(wǎng)絡應用的發(fā)展而不斷發(fā)展。

作者：楊子強工作單位：同濟大學

第四篇：企業(yè)信息安全管理問題

1.企業(yè)信息安全現(xiàn)狀

1.1企業(yè)自身方面

我國雖然大力發(fā)展企業(yè)信息化建設已有一段時間，但是國內(nèi)很多企業(yè)的信息化整體水平不高，大多數(shù)企業(yè)的信息化基礎還很薄弱。很多員工認為企業(yè)信息化的實質(zhì)就是計算機，對企業(yè)信息安全來講只要能使計算機正常運行，日常工作可以正常的運轉(zhuǎn)這就可以了，在頭腦里對企業(yè)信息安全沒有一個清楚和正確的認識。信息安全是保證企業(yè)信息的保密性、真實性、完整性、未授權(quán)拷貝和所寄生系統(tǒng)的安全。其主要目的就是保護企業(yè)信息不受內(nèi)部、外部、自然等因素的威脅。目前我國國內(nèi)信息安全行業(yè)的整體技術水平低。雖然推出了很多信息安全產(chǎn)品，可是安全系統(tǒng)整體集成與應用水平不高，甚至個別不同品牌的安全產(chǎn)品運行使用上還會互有沖突，不能對企業(yè)信息進行有效防護。

1.2人為因素方面

1.2.1人為無意識的因素

由于在設計建設初期對信息安全防護方面考慮不周，或者信息技術人員安全觀念淡薄、技術不熟練、責任心不強等原因，不執(zhí)行安全操作制度，造成軟件或硬件設備的損壞、運行故障、數(shù)據(jù)丟失或誤刪除等責任事故。信息終端用戶的誤操作，也會造成一些不必要的損失。

1.2.2人為惡意破壞因素

網(wǎng)絡攻擊已經(jīng)成為威脅企業(yè)信息安全的主要因素。攻擊者利用計算機系統(tǒng)等方面的漏洞和缺陷，采用惡意攻擊、網(wǎng)絡監(jiān)聽、密碼暴力破解等手段侵入計算機系統(tǒng)，盜竊企業(yè)核心機密信息。

1.2.3計算機病毒

當前計算機病毒的破壞對象已經(jīng)不僅僅只是對存儲數(shù)據(jù)和硬件設備造成破壞，新型病毒對網(wǎng)絡設備、數(shù)據(jù)存儲設備甚至一些信息安全設備進行攻擊和破壞。利用病毒自動傳播和黑客緩沖溢出技術相結(jié)合的特點使病毒產(chǎn)生連鎖反應，造成信息系統(tǒng)大面積的癱瘓。例如前幾年的熊貓燒香病毒，許多企業(yè)和政府機構(gòu)受到病毒襲擾，其中不乏一些關系到與人民日常生活息息相關的要害單位，造成的損失不可估量。

1.2.4內(nèi)部人員的破壞

堡壘都是由內(nèi)部攻破的。很多企業(yè)對自身的信息安全將會遭到外部攻擊有一定的考慮，安裝殺毒軟件、硬件防火墻等一些安全設備，可是卻忽略了內(nèi)部的安全防護。企業(yè)信息系統(tǒng)中的資源并不是對所有人共享。對這種要求企業(yè)一般都會做出訪問權(quán)限、身份驗證、禁止非法拷貝等相應的安全設置。但是在實際的應用過程中出現(xiàn)了用戶權(quán)限設置不科學，對一些數(shù)據(jù)的訪問控制權(quán)限劃分過于粗糙，不能確保使用上的安全。并且企業(yè)內(nèi)部也有一些人員，惡意攻擊、非法盜取企業(yè)核心機密，由于沒有有效可控手段，這種情況防不勝防。

2.對于企業(yè)信息安全的相應解決策略

2.1信息安全管理方面

2.1.1開展企業(yè)信息安全教育

信息安全實質(zhì)上是為企業(yè)日常安全生產(chǎn)保駕護航，建議多組織召開包含企業(yè)各級部門“一把手”在內(nèi)的企業(yè)信息安全宣教會，詳細介紹企業(yè)信息安全的基本理論、常識、發(fā)展主流以及一旦發(fā)生信息安全事故對企業(yè)科研、生產(chǎn)經(jīng)營所造成的嚴重影響，在思想上提高對企業(yè)信息安全的認識，進而提高企業(yè)全體員工的重視程度。

2.1.2增加企業(yè)信息安全建設的資金投入

建立年度的信息安全建設投資預算計劃，將預計資金使用量匯總到企業(yè)年度技改計劃中，把信息安全建設納入企業(yè)信息化整體建設規(guī)劃中，以確保信息安全資金穩(wěn)定的可持續(xù)性投入。

2.1.3加大對信息安全人才的重視

人才是企業(yè)信息安全建設中的重點，如果只偏重于軟硬件、基礎設施上的資金投入而在信息安全上得不到有效的管理和使用，那就是本末倒置了。成立由公司高管直接負責的信息化部門，負責整個企業(yè)的信息安全人才培養(yǎng)和相關信息安全建設的事務。

2.1.4建立完善的信息安全制度并加大監(jiān)督執(zhí)行力度

良好的管理制度可以為信息安全創(chuàng)造有力的執(zhí)行環(huán)境和條件，信息安全技術又促進了管理更有效更優(yōu)良的發(fā)展。同時強有力的監(jiān)督執(zhí)行，使之在使用和操作上也加強了使用規(guī)范和效率，避免了一些人為失誤造成的損失。

2.2信息安全技術方面

為了切實保障企業(yè)信息的機密性、完整性、可控性和安全性，必須采用一系列相應的技術手段，這是信息安全技術中最直接有效的部分。

2.2.1硬件防火墻和入侵檢測、漏洞掃描系統(tǒng)

硬件防火墻是內(nèi)部網(wǎng)絡與外部互聯(lián)網(wǎng)之間的一道安全關口。它在企業(yè)內(nèi)部網(wǎng)絡和外部互聯(lián)網(wǎng)絡之間設置了一道安全壁壘，有效防止外部對內(nèi)網(wǎng)進行非法訪問。入侵檢測系統(tǒng)對網(wǎng)絡傳輸進行實時監(jiān)控，在發(fā)現(xiàn)可疑傳輸時發(fā)出報警或者采取主動反應措施，漏洞掃描系統(tǒng)對指定的遠程或者本地計算機系統(tǒng)的安全脆弱性進行檢測，及早發(fā)現(xiàn)可被利用的安全漏洞。它們可以相互配套，增強系統(tǒng)管理員的安全防范能力。

2.2.2網(wǎng)絡安全審計

網(wǎng)絡安全審計是指按照一定的安全策略，審查和檢驗操作事件的活動，從而發(fā)現(xiàn)系統(tǒng)漏洞、入侵行為。實際是記錄與審查用戶操作和使用活動的過程，如用戶所調(diào)用的信息、使用時間、執(zhí)行的操作等。安全審計對系統(tǒng)記錄和行為進行獨立的審查和估計，可以有效監(jiān)控用戶的使用情況，對內(nèi)部潛在的非法攻擊者起到威懾作用。

2.2.3虛擬局域網(wǎng)技術

按照公司的實際生產(chǎn)管理需要劃分，使用虛擬局域網(wǎng)絡技術將持有敏感信息的用戶組與網(wǎng)絡的其他部分隔離，從而降低泄露機密信息的可能性，增強局域網(wǎng)的安全性。

2.2.4網(wǎng)絡殺毒軟件的使用

使用網(wǎng)絡版殺毒軟件，網(wǎng)絡管理員能夠利用其實現(xiàn)對全網(wǎng)電腦進行遠程統(tǒng)、有效清除計算機病毒，徹底解決局域網(wǎng)病毒殺而不絕、四處流竄的夢魘。

2.2.5定時備份重要數(shù)據(jù)

企業(yè)應使用統(tǒng)一的數(shù)據(jù)備份系統(tǒng)，由專人對數(shù)據(jù)進行定時備份定時檢查，確保數(shù)據(jù)的完整性可靠性。并且保證備份介質(zhì)異地存放，專人管理。

3.結(jié)論

信息安全工作是一項系統(tǒng)工程，“攻擊”與“防范”、“威脅”與“脆弱性”之間經(jīng)常此消彼長，不斷發(fā)展。健全企業(yè)信息安全防護基礎體系，必須從管理和技術兩方面入手，夯實物理安全、網(wǎng)絡安全、系統(tǒng)安全、應用安全、數(shù)據(jù)安全和用戶安全。以安全區(qū)域劃分、系統(tǒng)等級保護、安全邊界防護、訪問控制技術、主動監(jiān)控措施、安全通報機制和應急響應體系為手段，多方面構(gòu)筑全方位、多層次的安全防護體系，初步實現(xiàn)網(wǎng)絡與信息系統(tǒng)全方位、細粒度的安全管理，做到“安全風險可控制，內(nèi)部操作可審計，措施執(zhí)行可度量，安全管理精細化，運行維護主業(yè)化”。實現(xiàn)企業(yè)信息安全防御的重點從“以網(wǎng)絡層防護為主”轉(zhuǎn)向為“網(wǎng)絡和應用防護并舉”，從“以防外為主”轉(zhuǎn)向為“防內(nèi)防外并舉”的二個轉(zhuǎn)變。其中，信息外網(wǎng)以“防攻擊、防泄露”為主，信息內(nèi)網(wǎng)以“強內(nèi)控，防外聯(lián)”為主，實現(xiàn)信息內(nèi)外網(wǎng)的深度安全防護，確保應用系統(tǒng)的安全穩(wěn)定運行，保障企業(yè)信息安全。

作者：鄒夢婕工作單位：陜西黃河集團有限公司