前言：想要寫(xiě)出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇企業(yè)信息安全現(xiàn)狀范文，相信會(huì)為您的寫(xiě)作帶來(lái)幫助，發(fā)現(xiàn)更多的寫(xiě)作思路和靈感。

企業(yè)信息安全現(xiàn)狀范文第1篇

一、企業(yè)信息安全存在的問(wèn)題

 

(一)技術(shù)方面。企業(yè)在信息資源管理過(guò)程中，對(duì)技術(shù)非常依賴(lài)。但是現(xiàn)實(shí)中，企業(yè)相關(guān)管理人員對(duì)技術(shù)的重視程度遠(yuǎn)遠(yuǎn)不夠。導(dǎo)致經(jīng)常出現(xiàn)各種各樣的技術(shù)問(wèn)題，如企業(yè)網(wǎng)站被黑;企業(yè)主機(jī)或服務(wù)器被外部人員入侵，企業(yè)重要信息泄露;技術(shù)問(wèn)題還有軟件開(kāi)發(fā)過(guò)程不規(guī)范，管理軟件設(shè)計(jì)有漏洞;企業(yè)管理軟件沒(méi)有定期更新、升級(jí)等。

 

(二)管理方面。(1)物理設(shè)備的管理。企業(yè)信息安全管理的設(shè)備主要包括中心機(jī)房、服務(wù)器、網(wǎng)絡(luò)設(shè)備、線路等方面，此外還有門(mén)卡、消防器材等。這些是企業(yè)信息安全保障系統(tǒng)的基礎(chǔ)。這些設(shè)備受到的威脅主要表現(xiàn)在自然災(zāi)害、電磁輻射與惡劣工作環(huán)境方面。自然災(zāi)害無(wú)法避免。但是大多數(shù)企業(yè)對(duì)這些設(shè)備的管理的力度不夠。此外企業(yè)對(duì)這些設(shè)備的防火、防盜意識(shí)還較欠缺。(2)人員的管理。1)企業(yè)人員安全意識(shí)較弱，多數(shù)員工使用默認(rèn)密碼和弱密碼，增加了潛在的風(fēng)險(xiǎn)。也有員工無(wú)意泄露企業(yè)重要信息的情況發(fā)生。對(duì)于員工和管理員的操作缺少日志審計(jì)。2)企業(yè)對(duì)于網(wǎng)絡(luò)安全隊(duì)伍的建設(shè)工作積極性不高，認(rèn)識(shí)不到網(wǎng)絡(luò)安全所存在的隱患。未明確設(shè)置安全管理員、機(jī)房管理員、數(shù)據(jù)庫(kù)管理員、網(wǎng)絡(luò)管理員、存儲(chǔ)管理員等崗位，崗位職責(zé)存在兼任情況。3)許多企業(yè)，網(wǎng)絡(luò)系統(tǒng)管理人員技術(shù)水平達(dá)不到所需要求，會(huì)直接導(dǎo)致系列操作產(chǎn)生問(wèn)題，進(jìn)而使安全漏洞問(wèn)題愈加嚴(yán)重。“入侵者”通常情況下會(huì)利用網(wǎng)絡(luò)管理的不足，從而攻擊，破壞網(wǎng)絡(luò)安全并且獲取有用的信息。他們也會(huì)通過(guò)改變頁(yè)面的數(shù)據(jù)，進(jìn)一步使系繁忙或改變重要信息，嚴(yán)重的更會(huì)導(dǎo)致系統(tǒng)崩潰，造成重大的經(jīng)濟(jì)損失。(3)信息及應(yīng)用系統(tǒng)的管理。大多數(shù)企業(yè)沒(méi)有對(duì)企業(yè)信息進(jìn)行設(shè)置保密等級(jí);應(yīng)用系統(tǒng)業(yè)務(wù)運(yùn)行情況方面的數(shù)據(jù)也沒(méi)有及時(shí)保存;和應(yīng)用系統(tǒng)相連的數(shù)據(jù)庫(kù)中的重要表未進(jìn)行加密處理;主機(jī)和數(shù)據(jù)庫(kù)沒(méi)有密碼復(fù)雜度限制，也沒(méi)有定期進(jìn)行密碼更改，存在弱口令;缺乏對(duì)應(yīng)用系統(tǒng)和數(shù)據(jù)庫(kù)的操作日志的收集和審計(jì)。

 

(三)信息安全文件及制度。通過(guò)調(diào)查發(fā)現(xiàn)，大多數(shù)企業(yè)沒(méi)有完整的信息安全政策性文件。信息安全制度的制定也不規(guī)范，沒(méi)有建立有效的、修訂以及落實(shí)情況的管理辦法。

 

二、企業(yè)信息安全的對(duì)策

 

(一)技術(shù)方面。(1)安裝正版防護(hù)軟件。企業(yè)放有重要信息的主機(jī)和服務(wù)器必須安裝安全防護(hù)軟件，如360安全衛(wèi)士。必須是正版的，因?yàn)楸I版的服務(wù)質(zhì)量根本得不到有效保障。安裝后定期對(duì)計(jì)算機(jī)進(jìn)行檢測(cè)保護(hù)。(2)信息備份。企業(yè)應(yīng)用系統(tǒng)軟件不能確保不出問(wèn)題，有時(shí)也會(huì)癱瘓;還有存在被外部人員攻擊的危險(xiǎn)，為確保信息的不丟失， 有必要采取技術(shù)備份手段， 對(duì)重要信息進(jìn)行定期備份。(3)訪問(wèn)權(quán)限。企業(yè)信息種類(lèi)很多，它們的保密級(jí)別也是不一樣的。同時(shí)企業(yè)的不同人員對(duì)信息訪問(wèn)的權(quán)利也是不一樣的，為了使不用用戶訪問(wèn)不同的信息，可通過(guò)技術(shù)手段，給不同的信息、應(yīng)用系統(tǒng)，及不同的人員設(shè)置不同的權(quán)限。這樣在一定程度上也可保障信息的安全。(4)網(wǎng)絡(luò)訪問(wèn)。在互聯(lián)網(wǎng)快速發(fā)展的今天，任何一個(gè)企業(yè)都離不開(kāi)網(wǎng)絡(luò)， 員工需要從網(wǎng)絡(luò)中獲取各種信息。然而， 暢通的網(wǎng)絡(luò)也給非法分子提供了訪問(wèn)企業(yè)內(nèi)部信息的通道。為此，有必要采用網(wǎng)絡(luò)防火墻技術(shù)， 控制內(nèi)網(wǎng)和外網(wǎng)的訪問(wèn)。同時(shí)應(yīng)加強(qiáng)對(duì)惡意代碼的防范，還要注意數(shù)據(jù)傳輸過(guò)程中的保密。(5)加解密。對(duì)企業(yè)重要信息進(jìn)行加密。加密之后的信息，只有擁有密鑰的人才能解密，看到信息的內(nèi)容。這樣對(duì)于沒(méi)有訪問(wèn)權(quán)限的人或某些通過(guò)網(wǎng)絡(luò)截獲傳遞中的密文的非法分子來(lái)說(shuō)，他們是無(wú)法看到真正的信息明文，只能得到零散的無(wú)用的信息。要注意的是應(yīng)該對(duì)密碼的復(fù)雜度進(jìn)行要求，不能太簡(jiǎn)單。

 

(二)管理方面。(1)人員。企業(yè)的信息資產(chǎn)都是通過(guò)人來(lái)管理和控制的。對(duì)人的管理實(shí)際是信息安全工作中難度最大的工作，業(yè)界有一句話：“在企業(yè)中信息安全最大的風(fēng)險(xiǎn)是心懷不測(cè)的一些員工可能帶來(lái)的風(fēng)險(xiǎn)”。所以我們要加強(qiáng)對(duì)員工尤其是掌握企業(yè)核心機(jī)密的高管進(jìn)行安全管理。在他們調(diào)動(dòng)離職時(shí)進(jìn)行信息安全審計(jì)，以有效減少信息資產(chǎn)非授權(quán)的傳遞。此外企業(yè)在和客戶、供應(yīng)商、合作伙伴合作中會(huì)涉及信息傳遞，并會(huì)產(chǎn)生新的信息。這些信息也需要很好的管理。(2)設(shè)備。應(yīng)該針對(duì)機(jī)房精密調(diào)控、以及對(duì)網(wǎng)絡(luò)線路制定保養(yǎng)和檢查計(jì)劃。對(duì)關(guān)鍵服務(wù)器進(jìn)行續(xù)保。目前有部分弱電線路存在端口號(hào)和配線架編號(hào)以及到桌面的點(diǎn)位不符的情況，應(yīng)進(jìn)行梳理。

 

(三)安全管理制度的制定及實(shí)施。當(dāng)前企業(yè)一要進(jìn)行日常管理制度，安全管理制度的制定和實(shí)施;二是要加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)工作者的規(guī)范管理，培養(yǎng)安全意識(shí)，建立針對(duì)黑客攻擊的“快速反應(yīng)隊(duì)”。同時(shí)必須進(jìn)一步加快對(duì)高層次的網(wǎng)絡(luò)管理人員的相關(guān)技能和經(jīng)驗(yàn)培訓(xùn)，以盡早達(dá)到網(wǎng)絡(luò)安全的目的。

 

加強(qiáng)法制教育，建立人事檔案管理制度，并進(jìn)行定期檢查。為了更好的安全性管理，IP地址資源應(yīng)統(tǒng)一管理和分配。對(duì)于IP資源的盜用行為，相關(guān)職能管理部門(mén)必須予以嚴(yán)肅處理。

企業(yè)信息安全現(xiàn)狀范文第2篇

關(guān)鍵詞： 企業(yè)信息系統(tǒng)；信息安全；安全策略

中圖分類(lèi)號(hào)：F270.7 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1671－7597（2012）0220165－01

隨著市場(chǎng)經(jīng)濟(jì)的不斷發(fā)展，企業(yè)競(jìng)爭(zhēng)越來(lái)越激烈，國(guó)際化合作不斷增多，隨之而來(lái)的企業(yè)信息安全是目前我國(guó)企業(yè)普遍存在的問(wèn)題。對(duì)企業(yè)來(lái)說(shuō)，信息安全是一項(xiàng)艱巨的工作，關(guān)系到企業(yè)的發(fā)展。近年來(lái)，圍繞企業(yè)信息安全問(wèn)題的話題不斷，企業(yè)信息安全事件也頻頻發(fā)生，如何保證企業(yè)信息的安全，保證信息系統(tǒng)的正常運(yùn)轉(zhuǎn)，已經(jīng)成為信息安全領(lǐng)域研究的新熱點(diǎn)。

1 企業(yè)信息安全的意義

信息安全是一個(gè)含義廣泛的名詞，是指防止信息財(cái)產(chǎn)被故意的或偶然的非授權(quán)泄露、更改、破壞，或防止信息被非法辨識(shí)、控制，即確保信息的保密性、可用性、完整性和可控性。企業(yè)的正常運(yùn)轉(zhuǎn)，離不開(kāi)信息資源的支撐。企業(yè)信息安全建設(shè)對(duì)企業(yè)的發(fā)展意義重大。

首先，信息安全是時(shí)展的需要。計(jì)算機(jī)網(wǎng)絡(luò)時(shí)代的發(fā)展，改變了傳統(tǒng)的商務(wù)運(yùn)作模式，改變了企業(yè)的生產(chǎn)方式和思想觀念，極大推動(dòng)了企業(yè)文化的發(fā)展。企業(yè)信息安全的建設(shè)將使得企業(yè)的管理水平與國(guó)際先進(jìn)水平接軌，從而成長(zhǎng)為企業(yè)向國(guó)際化發(fā)展與合作的有力支撐。

其次，信息安全是企業(yè)發(fā)展的需要。企業(yè)的信息化建設(shè)帶來(lái)了生產(chǎn)效率提高、成本降低、業(yè)務(wù)拓展等諸多好處。當(dāng)前越來(lái)越多的企業(yè)信息和數(shù)據(jù)，都是以電子文檔的形式存在，對(duì)企業(yè)來(lái)說(shuō)，信息安全是使企業(yè)信息不受威脅和侵害的保證，是企業(yè)發(fā)展的基本保障，所以，在積極防御，綜合防范的方針指導(dǎo)下，有效地防范和規(guī)避風(fēng)險(xiǎn)，建立起一套切實(shí)可行的長(zhǎng)效防范機(jī)制，逐步建立起信息安全保障體系，有利于企業(yè)的發(fā)展。

最后，信息安全是企業(yè)穩(wěn)定的必要前提。信息安全成為保障和促進(jìn)企業(yè)穩(wěn)定和信息化發(fā)展的重點(diǎn)，要充分認(rèn)識(shí)信息安全工作的緊迫感和長(zhǎng)期性，從企業(yè)的安全、經(jīng)濟(jì)發(fā)展、企業(yè)穩(wěn)定和保護(hù)企業(yè)利益的角度來(lái)思考問(wèn)題，扎扎實(shí)實(shí)地做好基礎(chǔ)性工作和基礎(chǔ)設(shè)施建設(shè)，在建立信息安全保障體系的過(guò)程中，必須搞好鏈接信息安全保障體系建設(shè)安全、建設(shè)健康的網(wǎng)絡(luò)環(huán)境，關(guān)注信息戰(zhàn)略，保障和促進(jìn)信息化的健康發(fā)展。

2 企業(yè)信息安全的現(xiàn)狀

我國(guó)企業(yè)信息安全包括計(jì)算機(jī)系統(tǒng)的硬、軟件及系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或惡意的原因而遭到破壞、更改、泄露，使得系統(tǒng)連續(xù)、可靠、正常的運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)具有復(fù)雜性和多樣性，使得企業(yè)信息安全成為一個(gè)需要持續(xù)更新和提高的領(lǐng)域。就目前來(lái)看，主要存在以下三個(gè)方面的隱患。

2.1 企業(yè)缺少信息安全管理制度

企業(yè)信息安全是一個(gè)比較新的領(lǐng)域，目前還缺少比較完善的法規(guī)，現(xiàn)有的法規(guī)，由于相關(guān)安全技術(shù)和手段還沒(méi)有成熟和標(biāo)準(zhǔn)化，法規(guī)也不能很好地被執(zhí)行，安全標(biāo)準(zhǔn)和規(guī)范的缺少，導(dǎo)致無(wú)從制定合理的安全策略并確保此策略能被有效執(zhí)行。企業(yè)的信息系統(tǒng)安全問(wèn)題是一個(gè)系統(tǒng)工程，涉及到計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)以及管理等方方面面，同時(shí)，隨著信息系統(tǒng)的延伸和新興技術(shù)集成應(yīng)用升級(jí)換代，它又是一個(gè)不斷發(fā)展的動(dòng)態(tài)過(guò)程。因此對(duì)企業(yè)信息系統(tǒng)運(yùn)行風(fēng)險(xiǎn)和安全需求應(yīng)進(jìn)行同期化的管理，不斷制定和調(diào)整安全策略，只有這樣，才能在享受企業(yè)信息系統(tǒng)便利高效的同時(shí)，把握住信息系統(tǒng)安全的大門(mén)。

2.2 員工缺少安全管理的責(zé)任心

一個(gè)企業(yè)的信息系統(tǒng)是企業(yè)全體人員參與的，不考慮全員參與的信息安全方案，恰恰忽視信息安全中最關(guān)鍵的因素――人，因?yàn)樗麄儾攀瞧髽I(yè)信息系統(tǒng)的提供者和使用者，他們是影響信息安全系統(tǒng)能否達(dá)到預(yù)期要求的決定因素。在眾多的攻擊行為和事件中，發(fā)生最多的安全事件是信息泄露事件。攻擊者主要來(lái)自企業(yè)內(nèi)部，而不是來(lái)自企業(yè)外部的黑客等攻擊者，安全事件造成最大的經(jīng)濟(jì)損失主要是內(nèi)部人員有意或無(wú)意的信息泄露事件。針對(duì)內(nèi)部員工的泄密行為，目前還沒(méi)有成熟的、全面的解決，對(duì)于來(lái)自企業(yè)信息內(nèi)部信息泄密的安全問(wèn)題，一直是整個(gè)信息安全保障體系的難點(diǎn)和弱點(diǎn)所在。

2.3 信息系統(tǒng)缺乏信息安全技術(shù)

計(jì)算機(jī)信息安全技術(shù)是一門(mén)由密碼應(yīng)用技術(shù)、信息安全技術(shù)、數(shù)據(jù)災(zāi)難與數(shù)據(jù)恢復(fù)技術(shù)、操作系統(tǒng)維護(hù)技術(shù)、局域網(wǎng)組網(wǎng)與維護(hù)技術(shù)、數(shù)據(jù)庫(kù)應(yīng)用技術(shù)等組成的計(jì)算機(jī)綜合應(yīng)用學(xué)科。由于認(rèn)識(shí)能力和技術(shù)發(fā)展的局限性，在硬件和軟件設(shè)計(jì)過(guò)程中，難免留下技術(shù)缺陷，網(wǎng)絡(luò)硬件、軟件系統(tǒng)多數(shù)依靠進(jìn)口，由此可造成企業(yè)信息安全的隱患，現(xiàn)在黑客的攻擊并不是為了破壞底層系統(tǒng)，而是為了入侵應(yīng)用，竊取數(shù)據(jù)，帶有明顯的商業(yè)目的，許多黑客就是通過(guò)計(jì)算機(jī)操作系統(tǒng)的漏洞和后門(mén)程序進(jìn)入企業(yè)信息系統(tǒng)。隨著網(wǎng)絡(luò)應(yīng)用要求的越來(lái)越多，針對(duì)應(yīng)用的攻擊也越來(lái)越多，除了在管理制度上確保信息安全外，還要在技術(shù)上確保信息安全。

3 企業(yè)信息安全中存在的問(wèn)題

信息時(shí)代的到來(lái)，從根本上改變了企業(yè)經(jīng)營(yíng)形式，企業(yè)實(shí)施信息化為其帶來(lái)便利的同時(shí)也產(chǎn)生了巨大的信息安全風(fēng)險(xiǎn)。由于我國(guó)企業(yè)信息安全工作還處于起步階段，基礎(chǔ)薄弱，導(dǎo)致信息安全存在一些亟待解決的問(wèn)題。比較常見(jiàn)的問(wèn)題有病毒危害、“黑客”攻擊和網(wǎng)絡(luò)攻擊等，這些問(wèn)題給企業(yè)造成直接的經(jīng)濟(jì)損失，成為企業(yè)信息安全的最大威脅，使企業(yè)信息安全存在著風(fēng)險(xiǎn)因素。

3.1 病毒危害

計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼，它是具有破壞作用的程序或指令集合。計(jì)算機(jī)病毒已經(jīng)泛濫成災(zāi)，幾乎無(wú)孔不入，據(jù)統(tǒng)計(jì)，計(jì)算機(jī)病毒的種類(lèi)已經(jīng)超過(guò)4萬(wàn)多種，而且還在以每年40%的速度在遞增，隨著Internet技術(shù)的發(fā)展，病毒在企業(yè)信息系統(tǒng)中傳播的速度越來(lái)越快，其破壞性也越來(lái)越來(lái)越強(qiáng)。

3.2 “黑客”攻擊

“黑客”是英文Hacker的諧音，黑客是利用技術(shù)手段進(jìn)入其權(quán)限以外的計(jì)算機(jī)系統(tǒng)的人。黑客破解或破壞某個(gè)程序、系統(tǒng)及網(wǎng)絡(luò)安全，或者破解某系統(tǒng)或網(wǎng)絡(luò)以提醒該系統(tǒng)所有者的系統(tǒng)安全漏洞的過(guò)程。通常采用后門(mén)程序、信息炸彈、拒絕服務(wù)、網(wǎng)絡(luò)監(jiān)聽(tīng)、密碼破解等手段侵入計(jì)算機(jī)系統(tǒng)，盜竊系統(tǒng)保密信息，進(jìn)行信息破壞或占用系統(tǒng)資源，黑客攻擊已經(jīng)成為近年來(lái)經(jīng)常出現(xiàn)的問(wèn)題。

3.3 網(wǎng)絡(luò)攻擊

網(wǎng)絡(luò)攻擊就是對(duì)網(wǎng)絡(luò)安全威脅的具體表現(xiàn)，利用網(wǎng)絡(luò)存在的漏洞和安全缺陷對(duì)系統(tǒng)和資源進(jìn)行的攻擊。尤其是在最近幾年里，網(wǎng)絡(luò)攻擊技術(shù)和攻擊工具有了新的發(fā)展趨勢(shì)，使借助Internet運(yùn)行業(yè)務(wù)的企業(yè)面臨著前所未有的風(fēng)險(xiǎn)。由此可知，企業(yè)的信息安全問(wèn)題、以及對(duì)信息的安全管理都是至關(guān)重要的。要保證企業(yè)信息安全，就必須找出存在信息安全問(wèn)題的根源，并具有良好的安全管理策略。

4 企業(yè)信息安全的解決方案

為確保企業(yè)信息安全，要堅(jiān)持積極防御，綜合防范的方針，全面提高信息安全防護(hù)能力。因此，面對(duì)企業(yè)信息安全的現(xiàn)狀和企業(yè)信息安全發(fā)展中出現(xiàn)的問(wèn)題，必須實(shí)施對(duì)企業(yè)的信息安全管理，建設(shè)信息安全管理體系，只有建立完善的安全管理制度，將信息安全管理自始至終貫徹落實(shí)于信息管理系統(tǒng)的方方面面，企業(yè)信息安全才能得以實(shí)現(xiàn)。企業(yè)信息安全的解決方案，具體表現(xiàn)在以下三個(gè)方面：

4.1 建立完善的安全管理體系

完整的企業(yè)信息系統(tǒng)安全管理體系首先要建立完善的組織體系，完成制定并信息安全管理規(guī)范和建立信息安全管理組織等工作，保障信息安全措施的落實(shí)以及信息安全體系自身的不斷完善。并建立一套信息安全規(guī)范，詳細(xì)說(shuō)明各種信息安全策略。一個(gè)詳細(xì)的信息安全規(guī)劃可以減輕對(duì)于人的因素帶來(lái)的信息安全問(wèn)題。最基本的企業(yè)安全管理過(guò)程包括：采用科學(xué)的企業(yè)信息資產(chǎn)評(píng)估和風(fēng)險(xiǎn)分析模型法、設(shè)計(jì)完備的信息系統(tǒng)動(dòng)態(tài)安全模型、建立科學(xué)的可實(shí)施的安全策略，采取規(guī)范的安全防范措施、選用可靠穩(wěn)定的安全產(chǎn)品等。安全防范體系的建立不是一勞永逸的，企業(yè)網(wǎng)絡(luò)信息自身的情況不斷變化，新的安全問(wèn)題不斷涌現(xiàn)，必須根據(jù)暴露出的一些問(wèn)題，進(jìn)行更新，保證網(wǎng)絡(luò)安全防范體系的良性發(fā)展，

4.2 提高企業(yè)員工的安全意識(shí)

科技以人為本，在信息安全方面也是靠人來(lái)維護(hù)企業(yè)的利益，我們?cè)谄髽I(yè)信息網(wǎng)絡(luò)鞏固正面防護(hù)的時(shí)候不能忽視對(duì)人的行為規(guī)范和績(jī)效管理。企業(yè)員工信息安全意識(shí)的高低是一個(gè)企業(yè)信息安全體系是否能夠最終成功實(shí)施的決定性因素。企業(yè)應(yīng)當(dāng)制定企業(yè)人員信息安全行為規(guī)范，必須有專(zhuān)門(mén)管理人才，才能有效地實(shí)現(xiàn)企業(yè)安全、可靠、穩(wěn)定運(yùn)行，保證企業(yè)信息安全。教育培訓(xùn)是培訓(xùn)信息安全人才的重要手段，企業(yè)可以對(duì)所有相關(guān)人員進(jìn)行經(jīng)常性的安全培訓(xùn)，強(qiáng)化技術(shù)人員對(duì)信息安全的重視，提升使用人員的安全觀念，有針對(duì)性的開(kāi)展安全意識(shí)宣傳教育，逐步提高員工的安全意識(shí)，強(qiáng)調(diào)人的作用，使他們明確企業(yè)各級(jí)組織和人員的安全權(quán)限和責(zé)任，使他們的行為符合整個(gè)安全策略的要求。

4.3 不斷優(yōu)化企業(yè)信息安全技術(shù)

企業(yè)一旦制定了一套詳細(xì)的安全規(guī)劃來(lái)武裝自己，保護(hù)其智力資產(chǎn)，它就開(kāi)始投入到選擇采用正確信息安全技術(shù)上?？晒┢髽I(yè)選擇的防止信息安全漏洞的安全技術(shù)有很多。當(dāng)企業(yè)選擇采用何種技術(shù)時(shí)，首先了解信息安全的三個(gè)領(lǐng)域是十分有幫助的，這三個(gè)領(lǐng)域變得：驗(yàn)證與授權(quán)、預(yù)防和抵制、檢測(cè)和響應(yīng)。其中，用戶驗(yàn)證是確認(rèn)用戶身份的一種方法，一旦系統(tǒng)確認(rèn)了用戶身份，那么它就可以決定該用戶的訪問(wèn)權(quán)限，比如使用用戶名和密碼。預(yù)防和抵抗技術(shù)是指企業(yè)阻止入侵者訪問(wèn)。對(duì)于任何企業(yè)，必須對(duì)那些故障做好準(zhǔn)備和預(yù)測(cè)，目前可以幫助預(yù)防和建設(shè)抵抗攻擊的技術(shù)主要有內(nèi)容過(guò)濾、加密和防火墻，在選用防火墻的時(shí)候，需要對(duì)所安裝的防火墻做一些攻擊測(cè)試。此外，企業(yè)信息安全的最后一道屏障是探測(cè)和反應(yīng)技術(shù)，最常見(jiàn)的探測(cè)和反應(yīng)技術(shù)是殺毒軟件。

5 結(jié)語(yǔ)

總之，企業(yè)信息安全是一項(xiàng)復(fù)雜的系統(tǒng)工程，企業(yè)要適應(yīng)現(xiàn)代化發(fā)展的需要，要提高自身信息安全意識(shí)，加強(qiáng)對(duì)信息安全風(fēng)險(xiǎn)防范意識(shí)的認(rèn)識(shí)，重視安全策略的施行及安全教育，必須做到管理和技術(shù)并重，安全技術(shù)必須結(jié)合安全措施，并加強(qiáng)信息安全立法和執(zhí)法的力度，建立備份和恢復(fù)機(jī)制， 為企業(yè)設(shè)計(jì)適合實(shí)際情況的安全解決方案，制定正確和采取適當(dāng)?shù)陌踩呗院桶踩珯C(jī)制，保證企業(yè)安全體系處于應(yīng)有的健康狀態(tài)。

參考文獻(xiàn)：

[1]張帆，企業(yè)信息安全威脅分析與安全策略[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2007（5）.

[2]諶曉歡，企業(yè)信息安全問(wèn)題及解決方案[J].企業(yè)技術(shù)開(kāi)發(fā)，2008（8）.

[3]付沙，企業(yè)信息安全策略的研究與探討[J].商場(chǎng)現(xiàn)代化，2007（26）.

[4]姜樺、郭永利，企業(yè)信息安全策略研究[J].焦作大學(xué)學(xué)報(bào)，2009（1）.

企業(yè)信息安全現(xiàn)狀范文第3篇

關(guān)鍵詞：信息化；信息安全；安全管理

1企業(yè)信息安全現(xiàn)狀

近幾年，隨著行業(yè)信息化建設(shè)逐步深入，伴隨著OA辦公自動(dòng)化、ERP、卷煙生產(chǎn)經(jīng)營(yíng)決策管理和MES生產(chǎn)制造執(zhí)行等系統(tǒng)相繼投入使用，與生產(chǎn)經(jīng)營(yíng)息息相關(guān)的關(guān)鍵業(yè)務(wù)對(duì)信息系統(tǒng)的依賴(lài)程度越來(lái)越高，企業(yè)也逐步認(rèn)識(shí)到信息安全的重要性，企業(yè)員工的安全意識(shí)也都得到逐步提高。行業(yè)也相繼出臺(tái)了煙草行業(yè)信息安全保障體系建設(shè)指南和各類(lèi)信息安全制度，并通過(guò)這幾年信息安全檢查工作，促進(jìn)企業(yè)的信息安全水平得到了進(jìn)一步提高。由于企業(yè)信息安全意識(shí)不斷提高，企業(yè)不斷加大信息安全方面的投入，如建立標(biāo)準(zhǔn)化的機(jī)房、購(gòu)買(mǎi)與部署各類(lèi)信息安全軟件和設(shè)備等。但是木馬、病毒、垃圾郵件、間諜軟件、惡意軟件、僵尸網(wǎng)絡(luò)等也隨著計(jì)算機(jī)技術(shù)的發(fā)展不斷更新，攻擊手段也越發(fā)隱蔽和多樣化。企業(yè)不僅要應(yīng)對(duì)外部的攻擊，也要應(yīng)對(duì)來(lái)自于企業(yè)內(nèi)部的信息安全威脅，安全形勢(shì)不容樂(lè)觀。企業(yè)的信息安全已不僅僅是技術(shù)問(wèn)題，還需要借助管理手段來(lái)保障。企業(yè)如果不能正確樹(shù)立信息風(fēng)險(xiǎn)導(dǎo)向意識(shí)，一味注重“技術(shù)”的作用，忽略“管理”的重要性，就很難發(fā)揮信息安全技術(shù)的作用，無(wú)法把企業(yè)的各項(xiàng)信息安全措施落到實(shí)處，企業(yè)的信息安全也就無(wú)從談起。只有切實(shí)發(fā)揮管理作用，企業(yè)的信息安全才能得到有效保障。

2企業(yè)信息安全體系架構(gòu)

在談到信息安全時(shí)，大多數(shù)剛接觸的人都比較疑惑，都說(shuō)保障信息安全十分重要，那到底什么是信息安全呢？下面就簡(jiǎn)單介紹一下信息安全的概念以及企業(yè)的信息安全體系架構(gòu)。2.1信息。對(duì)企業(yè)來(lái)說(shuō)，信息是一種無(wú)形資產(chǎn)，具有一定商業(yè)價(jià)值，以電子、影像、話語(yǔ)等多種形式存在，必須進(jìn)行保護(hù)。2.2信息安全。主要是指防止信息泄露、被篡改、被損壞或被非法辨識(shí)與控制，避免造成不良影響或者資產(chǎn)損失。2.3企業(yè)信息安全體系架構(gòu)。在保障企業(yè)信息安全過(guò)程中，信息安全技術(shù)是保障信息安全的重要手段。通過(guò)上文對(duì)企業(yè)信息安全現(xiàn)狀的分析，不難看出企業(yè)信息安全體系主要分為技術(shù)、管理兩個(gè)重要體系，進(jìn)一步細(xì)分則涉及安全運(yùn)維方面。2.3.1信息安全技術(shù)體系作用。主要是指通過(guò)部署信息安全產(chǎn)品，合理制定安全策略，實(shí)現(xiàn)防止信息泄露、被篡改、被損壞等安全目標(biāo)。信息安全產(chǎn)品主要是指實(shí)現(xiàn)信息安全的工具平臺(tái)，如防火墻類(lèi)產(chǎn)品、防攻擊類(lèi)產(chǎn)品、殺毒軟件類(lèi)產(chǎn)品和密碼類(lèi)產(chǎn)品等，而信息安全技術(shù)則是指實(shí)現(xiàn)信息安全產(chǎn)品的技術(shù)基礎(chǔ)。2.3.2信息安全管理體系作用。完善信息安全組織機(jī)構(gòu)、制度，細(xì)化職責(zé)分工，制定執(zhí)行標(biāo)準(zhǔn)，確保日常管理、檢查等制度有效執(zhí)行，最大程度發(fā)揮信息安全技術(shù)體系作用，確保信息安全相關(guān)保護(hù)措施有效執(zhí)行。通過(guò)上文簡(jiǎn)單介紹，對(duì)信息安全以及信息安全系統(tǒng)有了大概了解?？梢钥闯鰡渭兘柚夹g(shù)或管理無(wú)法保障企業(yè)信息安全，因此，建立企業(yè)信息安全管理體系的重要性也就不言而喻。

3信息安全管理體系概念

3.1信息安全管理。運(yùn)用技術(shù)、管理手段，做好信息安全工作整體規(guī)劃、組織、協(xié)調(diào)與控制，確保實(shí)現(xiàn)信息安全目標(biāo)。3.2管理體系。體系是指相互關(guān)聯(lián)和相互作用的一組要素，而管理體系則是建立方針和目標(biāo)并實(shí)現(xiàn)這些目標(biāo)的體系。3.3信息安全管理體系（ISMS）。在一定組織范圍內(nèi)建立、完成信息安全方針和目標(biāo)，采取或運(yùn)用方法的體系。作為管理活動(dòng)最終結(jié)果，包含方針、原則、目標(biāo)、方法、過(guò)程、核查表等眾多要素。3.4建立信息安全管理體系的目的。作為企業(yè)總管理體系的一個(gè)子體系，目的是建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全。3.5信息安全管理體系涉及的要素。3.5.1信息安全組織機(jī)構(gòu)。明確職責(zé)分工，確保信息安全工作組織與落實(shí)。3.5.2信息安全管理體系文件。編制信息安全管理體系的方針、過(guò)程、程序和其他必需的文件等。3.5.3資源。提供體系運(yùn)轉(zhuǎn)所需的資金、設(shè)備與人員等。

4信息安全管理體系機(jī)構(gòu)設(shè)置以及作用

在建立企業(yè)的信息安全管理體系之前，如果沒(méi)有設(shè)置相應(yīng)的信息安全組織機(jī)構(gòu)，那么建立體系所需要的資源（資金、人員等）就無(wú)法得到保障，企業(yè)的信息安全制度和策略也就無(wú)法貫徹落實(shí)，企業(yè)的信息安全管理體系就形同虛設(shè)起不到任何作用。因此，企業(yè)在建立信息安全管理體系前必須建立健全信息安全組織機(jī)構(gòu)，機(jī)構(gòu)設(shè)置可以根據(jù)職責(zé)分為三個(gè)層次。4.1信息安全決策機(jī)構(gòu)。信息安全決策機(jī)構(gòu)處于安全組織機(jī)構(gòu)的第一個(gè)層次，是本單位信息安全工作的最高管理機(jī)構(gòu)。應(yīng)以單位主要領(lǐng)導(dǎo)負(fù)責(zé)，對(duì)信息安全規(guī)劃、信息安全策略和信息安全建設(shè)方案等進(jìn)行審批，并為企業(yè)信息安全工作提供各類(lèi)必要資源。4.2管理機(jī)構(gòu)。處于安全組織機(jī)構(gòu)的第二個(gè)層次，在決策機(jī)構(gòu)的領(lǐng)導(dǎo)下，主要負(fù)責(zé)企業(yè)日常信息安全的管理、監(jiān)督以及安全教育與培訓(xùn)等工作，此類(lèi)工作大部分都由企業(yè)的信息化部門(mén)承擔(dān)。4.3執(zhí)行機(jī)構(gòu)。處于信息安全組織機(jī)構(gòu)的第三個(gè)層次，在管理機(jī)構(gòu)的領(lǐng)導(dǎo)下，負(fù)責(zé)保證信息安全技術(shù)體系的有效運(yùn)行及日常維護(hù)，通過(guò)具體技術(shù)手段落實(shí)安全策略，消除安全風(fēng)險(xiǎn)，以及發(fā)生安全事件后的具體響應(yīng)和處理，執(zhí)行機(jī)構(gòu)人員可以由信息中心技術(shù)人員與各部門(mén)專(zhuān)職或兼職信息安全員組成。

5信息安全管理體系的建立

ISO/IEC27001:2005標(biāo)準(zhǔn)的“建立ISMS”章節(jié)中，已明確了信息安全管理體系建立的10項(xiàng)強(qiáng)制性要求和步驟。企業(yè)應(yīng)結(jié)合自身實(shí)際情況，遵照這些內(nèi)容和步驟，建立自己的信息安全管理體系，并形成相應(yīng)的體系文件。5.1建立的步驟。（1）結(jié)合企業(yè)實(shí)際，明確體系邊界與范圍，并編制體系范圍文件。（2）明確體系策略，構(gòu)建目標(biāo)框架、風(fēng)險(xiǎn)評(píng)價(jià)的準(zhǔn)則等，形成方針文件。（3）確定風(fēng)險(xiǎn)評(píng)估方法。（4）識(shí)別信息安全風(fēng)險(xiǎn)，主要包括信息安全資產(chǎn)、責(zé)任、威脅以及造成的后果等。（5）進(jìn)行安全風(fēng)險(xiǎn)分析評(píng)價(jià)，編制評(píng)估報(bào)告，確定信息安全資產(chǎn)保護(hù)清單。（6）明確安全保護(hù)措施，編制風(fēng)險(xiǎn)處理計(jì)劃。（7）制定工作目標(biāo)、措施。（8）管理者審核、批準(zhǔn)所有殘余風(fēng)險(xiǎn)。（9）經(jīng)管理層授權(quán)實(shí)施和運(yùn)行安全體系。（10）準(zhǔn)備適用性聲明。以上步驟解釋不詳盡之處，參看ISO/IEC27001:20054.2.1章節(jié)中A-J部分。5.2信息安全管理體系涉及的文件。文件作為體系的主要元素，必須與ISO/IEC27001:2005標(biāo)準(zhǔn)保持一致，同時(shí)也要結(jié)合企業(yè)實(shí)際，確保員工遵照要求嚴(yán)格執(zhí)行。而且也要符合企業(yè)的實(shí)際情況和信息安全需要。在實(shí)際工作中，企業(yè)員工應(yīng)按照文件要求嚴(yán)格執(zhí)行。5.2.1體系文件類(lèi)型主要涉及方針、程序與記錄三類(lèi)。方針類(lèi)主要是指管理體系方針與信息安全方針，涵蓋硬件、網(wǎng)絡(luò)、軟件、訪問(wèn)控制等；程序類(lèi)主要是指“過(guò)程文件”，涉及輸入、處理與輸出三個(gè)環(huán)節(jié)，結(jié)果常以“記錄”形式出現(xiàn)；記錄類(lèi)主要是記錄程序文件結(jié)果，常以是表格形式出現(xiàn)。至于適用性聲明文件，企業(yè)應(yīng)結(jié)合自身情況，參照ISO/IEC27001:2005標(biāo)準(zhǔn)的附錄A，有選擇性地作出聲明，并形成聲明文件。5.2.2體系必須具備的文件。主要包括方針、風(fēng)險(xiǎn)評(píng)估、處理、文件控制、記錄控制、內(nèi)部審核、糾正與預(yù)防、控制措施有效性測(cè)量、管理評(píng)審與適用性聲明等。5.2.3任意性文件。企業(yè)可以針對(duì)自身業(yè)務(wù)、管理與信息系統(tǒng)等情況，制定自己獨(dú)有的信息方針、程序類(lèi)文件。5.2.4文件的符合性。文件必須符合相關(guān)法律法規(guī)、ISO/IEC27001:2005標(biāo)準(zhǔn)以及企業(yè)實(shí)際要求，保證與企業(yè)其他體系文件協(xié)調(diào)一致，避免沖突，同時(shí)在文字描述準(zhǔn)確且無(wú)二義。

6體系實(shí)施與運(yùn)行

主要包括策略控制措施、過(guò)程和程序，涉及制定和實(shí)施風(fēng)險(xiǎn)處理計(jì)劃、選擇控制措施與驗(yàn)證有效性、安全教育培訓(xùn)、運(yùn)行管理、資源管理以及安全事件應(yīng)急處理等。

7體系的監(jiān)視與評(píng)審

主要指對(duì)照策略、目標(biāo)與實(shí)際運(yùn)行情況，監(jiān)控與評(píng)審運(yùn)行狀態(tài)，主要涉及有效性評(píng)審、控制措施測(cè)試驗(yàn)證、風(fēng)險(xiǎn)評(píng)估、內(nèi)部審核、管理評(píng)審等環(huán)節(jié)，并根據(jù)評(píng)審結(jié)果編制與完善安全計(jì)劃。

8體系的保持和改進(jìn)

主要是依據(jù)監(jiān)視與評(píng)審結(jié)果，有針對(duì)性地持續(xù)改進(jìn)。主要包括改進(jìn)措施、制定完善措施、整改總結(jié)等，同時(shí)需相關(guān)方進(jìn)行溝通，確保達(dá)到預(yù)計(jì)改進(jìn)標(biāo)準(zhǔn)。

9結(jié)語(yǔ)

企業(yè)信息安全現(xiàn)狀范文第4篇

 

關(guān)鍵詞：信息化　信息安全　網(wǎng)絡(luò)安全

根據(jù)國(guó)家統(tǒng)計(jì)局年初公布的數(shù)字顯示，國(guó)內(nèi)企業(yè)總體的99％都是中小企業(yè)，他們貢獻(xiàn)了超過(guò)一半的國(guó)內(nèi)GDP。但截止到目前，這些中小企業(yè)的信息化水平仍然比較落后，其中針對(duì)信息安全的投人，更是鳳毛麟角。

對(duì)于國(guó)內(nèi)占大多數(shù)的中小企業(yè)來(lái)說(shuō)，如何在充分利用信息化優(yōu)勢(shì)的同時(shí)，更好地保護(hù)自身的信息資產(chǎn)，已經(jīng)成為一個(gè)嚴(yán)峻的挑戰(zhàn)。特別是近兩年來(lái)，網(wǎng)絡(luò)上的病毒、攻擊事件頻發(fā)，信息安全問(wèn)題正在日益成為中小企業(yè)信息化進(jìn)程中的難題。

一、什么是信息安全

信息是一種資產(chǎn)，與其它重要的資產(chǎn)一樣，它對(duì)一個(gè)組織而言具有一定的價(jià)值，因此需要適當(dāng)?shù)募右员Ｗo(hù)，而信息又可以以多種形式存在。如可以打印或者寫(xiě)在紙上，以數(shù)字化的方式存儲(chǔ)，通過(guò)郵局郵寄或電子手段發(fā)送，表現(xiàn)在膠片上或以談話的方式說(shuō)出來(lái)?？傊?，信息無(wú)論以什么形式存在，以什么方式存儲(chǔ)、傳輸或共享，都應(yīng)得到恰當(dāng)?shù)谋Ｗo(hù)。

所謂信息安全是指信息具有如下特征：

安全性：確保信息僅可讓授權(quán)獲取的人士訪問(wèn)；完整性：保護(hù)信息和處理方法的準(zhǔn)確和完善；可用性：確保授權(quán)人需要時(shí)可以獲取信息和相應(yīng)的資產(chǎn)。

信息安全是指使信息避免一系列威脅，保障商務(wù)的連續(xù)性，最大限度地減少業(yè)務(wù)的損失，從而最大限度地獲取投資和商務(wù)的回報(bào)。它主要涉及到信息傳輸?shù)陌踩⑿畔⒋鎯?chǔ)的安全、以及網(wǎng)絡(luò)傳輸信息內(nèi)容的審計(jì)三個(gè)方面，它可以通過(guò)實(shí)施一整套恰當(dāng)?shù)拇胧﹣?lái)獲得。但目前我國(guó)的信息安全令人堪憂，隨著政府上網(wǎng)和企業(yè)信息化的推進(jìn)，越來(lái)越多的企業(yè)的日常業(yè)務(wù)已經(jīng)無(wú)法脫離網(wǎng)絡(luò)和信息技術(shù)的支持，那么我國(guó)中小企業(yè)的信息安全現(xiàn)狀如何呢?

二、我國(guó)企業(yè)信息安全的現(xiàn)狀

(一)企業(yè)的重視程度

隨著信息化的加快，企業(yè)信息安全越來(lái)越受到重視，而我國(guó)的中小企業(yè)信息安全現(xiàn)階段正處于初級(jí)階段。在推進(jìn)企業(yè)信息化的進(jìn)程中，有些中小企業(yè)對(duì)于信息化概念的認(rèn)識(shí)遠(yuǎn)遠(yuǎn)不夠，它們認(rèn)為購(gòu)置幾臺(tái)電腦放到公司，日常用來(lái)打打字，將單個(gè)機(jī)器連結(jié)到網(wǎng)上企業(yè)就信息化了，遠(yuǎn)遠(yuǎn)沒(méi)有認(rèn)識(shí)到信息技術(shù)給企業(yè)所能帶來(lái)的巨大的變化，對(duì)于網(wǎng)絡(luò)安全更是沒(méi)有意識(shí)。

據(jù)調(diào)查，目前國(guó)內(nèi)90％的網(wǎng)站存在安全問(wèn)題，其主要原因是企業(yè)管理者缺少或沒(méi)有安全意識(shí)。某些企業(yè)網(wǎng)絡(luò)管理員甚至認(rèn)為其公司規(guī)模較小，不會(huì)成為黑客的攻擊目標(biāo)。如此態(tài)度，網(wǎng)絡(luò)安全更是無(wú)從談起。

(二)資金、技術(shù)、人員方面情況

已建立了企業(yè)內(nèi)部信息化平臺(tái)的企業(yè)，由于資金、技術(shù)等方面的原因，還沒(méi)有把重點(diǎn)放到網(wǎng)絡(luò)安全管理上，尤其是中小企業(yè)的安全問(wèn)題一直隱患重重。

據(jù)了解，許多中小企業(yè)沒(méi)有專(zhuān)門(mén)的網(wǎng)絡(luò)管理員，一般采用兼職管理方式，這使中小企業(yè)的網(wǎng)絡(luò)管理在安全性方面存在嚴(yán)重的漏洞，與大型企業(yè)相比，它們更容易受到網(wǎng)絡(luò)病毒的侵害，損失也比較嚴(yán)重。

根據(jù)IDC對(duì)2005年我國(guó)政府、企業(yè)用戶的信息安全狀況分析，約有34．8％的企業(yè)因內(nèi)部雇員的行為(包括對(duì)內(nèi)部資源的不合理使用和對(duì)內(nèi)部數(shù)據(jù)缺乏有效保護(hù))而造成企業(yè)出現(xiàn)安全問(wèn)題。

(三)網(wǎng)絡(luò)維護(hù)、運(yùn)行、升級(jí)方面的情況

在網(wǎng)絡(luò)的維護(hù)、運(yùn)行、升級(jí)等事務(wù)性工作方面，由于工作繁重而且成本較高，一些善于精打細(xì)算的中小企業(yè)在防范黑客及病毒方面舍不得投入，據(jù)相關(guān)調(diào)查數(shù)據(jù)資料統(tǒng)計(jì)，國(guó)內(nèi)七成以上的中小企業(yè)，一是缺乏基本的企業(yè)防毒知識(shí)，購(gòu)買(mǎi)一些單機(jī)版防毒產(chǎn)品來(lái)防護(hù)整個(gè)企業(yè)網(wǎng)絡(luò)的安全。二是采購(gòu)了并不適合自身網(wǎng)絡(luò)系統(tǒng)的企業(yè)防毒產(chǎn)品，因此留下許多安全隱患。三是技術(shù)力量薄弱，雖然部署了企業(yè)防毒產(chǎn)品，但是這些產(chǎn)品操作難度大、使用復(fù)雜，最終導(dǎo)致很難全面發(fā)揮效用，甚至成了擺設(shè)，這樣一來(lái)企業(yè)內(nèi)部網(wǎng)絡(luò)就根本沒(méi)有什么安全而言。

三、如何保證我國(guó)中小企業(yè)的信息安全

(一)從企業(yè)的自身情況考慮

要解決中小企業(yè)網(wǎng)絡(luò)信息安全問(wèn)題，不能僅依靠企業(yè)的安全設(shè)施和網(wǎng)絡(luò)安全產(chǎn)品，而應(yīng)該考慮如何提高企業(yè)自身的網(wǎng)絡(luò)安全意識(shí)，將信息安全問(wèn)題提升到重視的高度，要重視“人”的因素。具體表現(xiàn)在以下兩個(gè)方面：

1．提高安全認(rèn)識(shí)

定期對(duì)企業(yè)員工進(jìn)行網(wǎng)絡(luò)安全教育培訓(xùn)深化企業(yè)的全員信息安全意識(shí)，企業(yè)管理層要制定完整的信息安全策略并貫徹執(zhí)行，對(duì)安全問(wèn)題要做到預(yù)先考慮和防備。

2．要求中小企業(yè)在上網(wǎng)的過(guò)程中要做到“一做三不要”

(1)將存有重要數(shù)據(jù)的電腦堅(jiān)決同網(wǎng)絡(luò)隔離，同時(shí)設(shè)置開(kāi)機(jī)密碼，并將軟驅(qū)、硬盤(pán)加密鎖定，進(jìn)行三級(jí)保護(hù)。

(2)不要在自己的系統(tǒng)之內(nèi)使用任何具有記憶命令的程序，因?yàn)檫@些程序不但能記錄用戶的擊鍵動(dòng)作甚至能以快照的形式記錄到屏幕上發(fā)生的一切。

(3)不在網(wǎng)上的任何場(chǎng)合下隨意透露自己企業(yè)的任何安全信息。

(4)不要啟動(dòng)系統(tǒng)資源共享功能，最后要盡量減少企業(yè)資源暴露在外部網(wǎng)上的機(jī)會(huì)和次數(shù)，減少黑客進(jìn)攻的機(jī)會(huì)。

(二)從網(wǎng)絡(luò)安全角度考慮

1．從網(wǎng)絡(luò)安全服務(wù)商的角度來(lái)說(shuō)，服務(wù)商要重視中小企業(yè)對(duì)網(wǎng)絡(luò)安全解決方案的需要，充分考慮中小企業(yè)的現(xiàn)實(shí)狀況，仔細(xì)調(diào)查和分析中小企業(yè)的安全因素，開(kāi)發(fā)出適合中小企業(yè)實(shí)際情況的網(wǎng)絡(luò)安全綜合解決方案。此外，還應(yīng)該注意投入大量精力在安全策略的施行及安全教育的開(kāi)展方面，這樣才能為中小企業(yè)信息安全工作的順利開(kāi)展提供堅(jiān)實(shí)的保證。

2．要用防火墻將企業(yè)的局域網(wǎng)(Intranet)與互聯(lián)網(wǎng)之間進(jìn)行隔離。由于網(wǎng)絡(luò)攻擊不斷升級(jí)，對(duì)應(yīng)的防火墻軟件也應(yīng)該及時(shí)跟著升級(jí)，這樣就要求我們企業(yè)的網(wǎng)管人員要經(jīng)常到有關(guān)網(wǎng)站上下載最新的補(bǔ)丁程序，以便進(jìn)行網(wǎng)絡(luò)維護(hù)，同時(shí)經(jīng)常掃描整個(gè)內(nèi)部網(wǎng)絡(luò)，以發(fā)現(xiàn)任何安全隱患并及時(shí)更改，才能做到有備無(wú)患。

3．企業(yè)用戶最好自己學(xué)會(huì)如何調(diào)試和管理自己的局域網(wǎng)系統(tǒng)，不要經(jīng)常請(qǐng)別人來(lái)協(xié)助管理。中小企業(yè)要培養(yǎng)自己解決安全問(wèn)題的能力，提高自己的信息安全技術(shù)。如果缺乏這方面的人才就應(yīng)該去引進(jìn)或者培養(yǎng)相關(guān)人才。

4．內(nèi)部網(wǎng)絡(luò)系統(tǒng)的密碼要定期修改。

企業(yè)信息安全現(xiàn)狀范文第5篇

摘 要 企業(yè)信息化程度發(fā)展到一定水平，從防火墻、入侵檢測(cè)等安全硬件到文檔防泄密、行為管理等安全軟件，技術(shù)上都比較成熟且大部分企業(yè)都已實(shí)施部分安全項(xiàng)目。但實(shí)施安全項(xiàng)目之后并不是高枕無(wú)憂，管理是否到位及企業(yè)員工安全意識(shí)成為企業(yè)信息安全的短板，如何從管理角度提高企業(yè)的信息安全水平，已成為一個(gè)重要的課題。

關(guān)鍵詞 信息安全；管理；意識(shí)

中圖分類(lèi)號(hào)TP39 文獻(xiàn)標(biāo)識(shí)碼A 文章編號(hào) 1674-6708（2012）70-0171-02

從安全軟硬件出發(fā)，大多安全實(shí)施廠家已有較成熟的方案，一旦項(xiàng)目實(shí)施完成后，企業(yè)往往容易忽略人員意識(shí)、IT審計(jì)、后續(xù)管理等因素對(duì)信息安全的影響。本文就如何解決企業(yè)信息安全短板，從管理角度進(jìn)行探討。

1 管理安全的含義和IT審計(jì)的特點(diǎn)

從大的方面來(lái)說(shuō)，信息安全是指信息網(wǎng)絡(luò)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，信息服務(wù)不中斷。直接反映到企業(yè)來(lái)說(shuō)，就是要通過(guò)實(shí)施一整套適當(dāng)?shù)目刂拼胧?shí)現(xiàn)企業(yè)各業(yè)務(wù)系統(tǒng)正常運(yùn)行，確保安全目標(biāo)的實(shí)現(xiàn)。本文從管理角度探討企業(yè)的信息安全，可以簡(jiǎn)稱(chēng)為管理安全，它是指建立并有效落實(shí)企業(yè)規(guī)章制度、安全管理規(guī)定等，來(lái)保證系統(tǒng)安全生存與運(yùn)行。

企業(yè)安全管理的規(guī)章制度是否運(yùn)行有效直接關(guān)系到企業(yè)安全目標(biāo)能否保障，在此管理過(guò)程中需要引入IT審計(jì)。IT審計(jì)重點(diǎn)內(nèi)容之一就是發(fā)現(xiàn)信息系統(tǒng)的潛在風(fēng)險(xiǎn)，可以說(shuō)企業(yè)信息中心對(duì)潛在的IT風(fēng)險(xiǎn)是比較重視的。IT審計(jì)相對(duì)技術(shù)而言，更多側(cè)重于管理，比如在安全策略方面更側(cè)重于訪問(wèn)授權(quán)的控制，以及定期核查是否按相關(guān)信息化制度辦事，還有就是有無(wú)進(jìn)行過(guò)適當(dāng)?shù)臐B透去檢驗(yàn)系統(tǒng)的可靠性等。實(shí)施IT審計(jì)能夠提高企業(yè)信息系統(tǒng)的安全性，能夠客觀評(píng)價(jià)信息系統(tǒng)安全現(xiàn)狀。

2 從管理角度看企業(yè)中存在的主要信息安全威脅

1）企業(yè)日常信息化管理中，會(huì)碰到以下一些現(xiàn)象，如：明知計(jì)算機(jī)病毒無(wú)孔不入，卻不安裝殺毒軟件；個(gè)人認(rèn)證的物品（如員工門(mén)禁卡）隨意借用他人；進(jìn)入門(mén)禁系統(tǒng)之后，對(duì)他人尾隨不理不問(wèn)；移動(dòng)存儲(chǔ)介質(zhì)外借他人，卻不知可能造成感染病毒或泄密；打印服務(wù)器、掃描服務(wù)器等公用電腦臨時(shí)存放許多信息卻不刪除。

從上述現(xiàn)象中可以得知，企業(yè)員工信息安全意識(shí)淡薄會(huì)產(chǎn)生較多安全漏洞。據(jù)《2011年度中國(guó)企業(yè)員工信息安全意識(shí)調(diào)查報(bào)告》顯示，30%的受訪者從來(lái)沒(méi)有接受過(guò)信息安全培訓(xùn)，只有30%的企業(yè)會(huì)進(jìn)行定期的信息安全培訓(xùn)[1]；

2）企業(yè)信息安全項(xiàng)目做的深度是與企業(yè)信息化發(fā)展水平相關(guān)的，一般企業(yè)會(huì)根據(jù)本身的信息化水平發(fā)展程度分步驟進(jìn)行。企業(yè)初始階段會(huì)通過(guò)封USB端口，不配置光驅(qū)等形式防止電子文檔傳播至外界。現(xiàn)階段已有部分企業(yè)關(guān)注電子文檔防泄密的軟件，同時(shí)配以相應(yīng)的制度，從一定程度上能達(dá)到預(yù)期的效果。項(xiàng)目實(shí)施后往往會(huì)發(fā)現(xiàn)效果難以保持，因?yàn)槠髽I(yè)缺少相關(guān)的信息安全審計(jì)人員，在審計(jì)工作不到位的情況下，安全軟件的審計(jì)功能無(wú)法體現(xiàn)其價(jià)值；

3）企業(yè)通過(guò)安全軟件對(duì)電子文檔進(jìn)行管理，在實(shí)物管理方面缺乏措施。辦公室文印區(qū)域是企業(yè)信息泄密的源頭之一，外單位人員進(jìn)入企業(yè)進(jìn)行交流時(shí)，通常會(huì)經(jīng)過(guò)辦公室文印區(qū)域，員工打印文件后如不及時(shí)拿取，容易將技術(shù)資料留在在打印機(jī)上，給有心之人獲取，容易造成泄密。計(jì)算機(jī)、筆記本等辦公設(shè)備故障外移送修，送修前未經(jīng)過(guò)審核批準(zhǔn)，不對(duì)硬盤(pán)做處理，上述這些日常辦公現(xiàn)象存在著信息安全漏洞[2]。

3 信息安全短板的對(duì)策措施——強(qiáng)管理

盡管企業(yè)防火墻、防毒墻等安全硬件設(shè)施或安全軟件都較齊全，但是采取恰當(dāng)?shù)墓芾泶胧┮材苡行У奶岣咝畔踩剑罱K有效地保護(hù)企業(yè)信息資產(chǎn)。本文總結(jié)了以下幾種管理方法并加以說(shuō)明。

1）提高員工安全意識(shí)，關(guān)鍵是做好培訓(xùn)。一方面企業(yè)信息中心要組織好講師及培訓(xùn)素材。培訓(xùn)素材可結(jié)合生活中的信息安全案例或者通過(guò)動(dòng)畫(huà)情景介紹等較生動(dòng)的方式，寓教于樂(lè)，讓每個(gè)企業(yè)員工明白數(shù)據(jù)等無(wú)形資產(chǎn)的重要性，理解數(shù)據(jù)信息安全是企業(yè)的生存發(fā)展壯大的法寶。在培訓(xùn)方式上，可采用循序漸進(jìn)的培訓(xùn)方式，不急于求全，可從最基本的啟用標(biāo)準(zhǔn)的計(jì)算機(jī)密碼（如大小寫(xiě)字母+數(shù)字）、離開(kāi)座位時(shí)使用屏保等開(kāi)始培養(yǎng)。后續(xù)可陸續(xù)完善公司規(guī)章制度，同時(shí)認(rèn)真落實(shí)，要讓員工真正懂得防止泄密的辦法；

2）通過(guò)IT審計(jì)嚴(yán)把信息安全管理關(guān)。企業(yè)做好IT審計(jì)，從以下幾方面入手：一方面是人才培養(yǎng)，企業(yè)審計(jì)部門(mén)需要引入類(lèi)似IT審計(jì)師的角色，盡管現(xiàn)階段大部分中小企業(yè)未能做到這一點(diǎn)，但可參照國(guó)際上通用的認(rèn)證培訓(xùn)——國(guó)際信息系統(tǒng)審計(jì)師，把企業(yè)信息管理人員送出外培，提高兼職型IT審計(jì)人員的技術(shù)水平及能力；另一方面是IT審計(jì)人員職責(zé)要明確，從實(shí)踐上看，IT審計(jì)人員工作內(nèi)容包括查看企業(yè)人員是否按照已有的規(guī)章制度進(jìn)行審批手續(xù)、定期將審計(jì)報(bào)表反饋給高層，監(jiān)督整改落實(shí)的情況及效果驗(yàn)證，使企業(yè)自上而下重視信息安全管理；

3）讓安全軟件的審計(jì)功能發(fā)揮作用。市場(chǎng)上的電子文檔防泄密系統(tǒng)提供日志審計(jì)功能。日志系統(tǒng)主要用來(lái)跟蹤和記錄用戶對(duì)受控文件的操作、記錄管理員設(shè)定的策略和操作。企業(yè)系統(tǒng)管理員要對(duì)文件日志、部門(mén)日志、計(jì)算機(jī)日志、申請(qǐng)審批日志等進(jìn)行定期檢查，同時(shí)發(fā)揮IT審計(jì)人員的監(jiān)督作用，才可讓安全軟件的審計(jì)記錄發(fā)揮作用；

4）利用刷卡認(rèn)證方式管理文檔輸出。辦公類(lèi)信息安全管理方面，涉及到各類(lèi)業(yè)務(wù)系統(tǒng)的賬戶管理、文檔輸出管理、存儲(chǔ)設(shè)備管理等?，F(xiàn)有企業(yè)一般是通過(guò)制度約束，但效果不明顯，這里結(jié)合新的管理方式對(duì)文檔輸出管理進(jìn)行說(shuō)明。一般我們不會(huì)一直等在打印機(jī)旁，沒(méi)有把打印好的資料及時(shí)拿走。而所打印的資料大多是技術(shù)圖紙、商務(wù)合同、計(jì)劃等資料，讓人不經(jīng)意地看到相關(guān)內(nèi)容及敏感信息。要減少因遺忘而將已輸出的文檔滯留在文印設(shè)備上，可結(jié)合IC刷卡認(rèn)證的方式，企業(yè)通過(guò)為文印設(shè)備配備一些讀卡器，只有當(dāng)刷員工卡時(shí)，文檔才從文印設(shè)備輸出，員工可即刻拿走。

總之，企業(yè)信息安全是一個(gè)多點(diǎn)因素的難題，涉及技術(shù)、管理、應(yīng)用等方面，隨著企業(yè)信息化的發(fā)展，各類(lèi)信息系統(tǒng)及軟件資產(chǎn)不斷增多，從管理角度保障信息安全，增強(qiáng)企業(yè)員工安全意識(shí)，成為企業(yè)成長(zhǎng)的重中之重。

參考文獻(xiàn)