引論：我們為您整理了13篇企業信息安全重要性范文，供您借鑒以豐富您的創作。它們是您寫作時的寶貴資源，期望它們能夠激發您的創作靈感，讓您的文章更具深度。

篇1

1 現狀分析

我國中、大型煤礦企業建設和應用了大量的信息系統和工業控制系統，并且這些信息系統已經深入到生產經營的方方面面，促使煤礦企業從傳統的密集型、重體力生產模式向“采掘機械化、生產自動化、管理信息化”模式轉變，有力地提升了煤礦企業管理效率，加速了煤礦的企業轉型升級。但是煤礦企業在信息網絡安全管理方面還存在諸多問題：

1.1 企業管理人員對信息網絡安全的重要性認識不足

主要表現在四點，一是沒有建立完善的信息網絡組織體系，相關的制度建立和落實不到位。二是企業大都沒有編制詳實可行的信息網絡安全預案，也沒有進行相關的應急演練；三是信息網絡安全方面的投入比較少，企業安全防護設施不全；四是企業管理人員對于信息網絡安全的知識非常欠缺，只注重信息系統具體應用和預設功能，對于操作可能帶來的網絡威脅沒有防范意識。

1.2 信息孤島與信息網絡安全之間的矛盾日益沖突

早期煤礦企業建設的信息系統和工業控制系統都是一個單一的個體，相互獨立，之間沒有任何聯系，隨著信息技術的發展和企業管控一體化進程的不斷推進?！靶畔⒐聧u”的問題得到了很大程度的解決，但同時產生的信息網絡安全問題也日益突出。“信息孤島”的消除依賴網絡的廣泛應用，而網絡正是信息安全的薄弱環節。消除“信息孤島”勢必使工業控制系統增加大量的對外聯系通道，這使得信息網絡安全面臨更加復雜的環境，安全保障的難度大大增加。

1.3 信息安全管理人員信息安全知識和技能不足，主要依靠外部安全服務公司的力量

主要原因有三點：

（1）煤礦企業地處偏遠山區、工作環境和生活環境相對都比較差，很難招聘到高科技人才，即是招到人也很難留下來。

（2）企業以煤炭生產、加工、銷售為主業，信息技術人才發展空間小、大多數人員都只是從事信息維修工和桌面支持之類的工作。

（3）信息安全管理人員長期得不到培訓和學習的機會，信息技術知識的儲備量有限、業務水平處在較低的一個水平，所以只能依靠外部安全服務公司。

1.4 信息網絡安全防護設備利用率低，很難發揮應有的功能

煤礦企業在信息網絡建設初期都會做網絡安全方面的布置，比如在網絡邊界架設防火墻、入侵檢測設備，在內部部署殺毒軟件，形成了軟硬件相結合的防御模式，可是很多企業的防火墻和入侵檢測設備從安裝到被替換可能從來都沒有做過配置更新，和漏洞修復、打補丁之類的操作，大多數的員工電腦也從不安裝殺毒軟件，這就做法無形中弱化了我們防御的盾牌和進攻的長矛，使網絡安全防護設備長期處于半“休眠”狀態。

2 重要性

“沒有網絡安全就沒有國家安全”，在浙江烏鎮世界互聯網大會上提出的網絡安全觀，足以證明網絡安全對于國家的重要性。那么同樣對于現今充分利用信息網絡和工業控制系統的現代化煤礦企業來說，如果沒有足夠的信息網絡安全也就沒有企業的安全生產。信息技術是一把“雙刃劍”，它改變了企業的生產方式，優化了企業的管理流程，提高了企業管理效率，可是同樣卻又不得不將企業置身于互聯網之中。互聯網是一個“超領土”存在的虛擬空間，存在各種潛在的威脅，比如利用木馬、病毒、遠程攻擊、控制等方式，泄露企業的商業機密、修改控制系統指令、攻陷服務器、盜取個人信息等，這些都有可能對企業造成嚴重安全事故和經濟損失。這些還只是企業內部的損失，很多大、中型煤礦企業為了提升企業管理效率都開通與集團公司之間的專線VPN，承載了很多應用服務包括協同OA、生產調度、銷售等等的數據都要進行通信，如果信息網絡安全受到攻擊癱瘓，都會對企業的生產經營造成影響，更有甚者可能通過煤礦企業本地發起攻擊，致使整個集團的信息網絡受到嚴重威脅，所以煤礦企業管理人員一定要樹立正確的信息網絡安全觀，充分認知信息網絡安全的重要性，加快構建關鍵信息基礎設施安全保障體系，增強企業信息網絡安全的防御能力。

3 總結

總之，信息網絡技術發展的今天，信息網絡安全已經是每一個煤礦企業必須面對和正視的問題，也是每一個企業管理者應該積極參與和考慮的問題。古人云“知己知彼 百戰不殆”，煤礦企業應該立即行動起來，通過開展關鍵信息基礎設施網絡安全檢查，準確掌握企業關鍵基礎設施的網絡安全狀況，詳細評估企業所面R的網絡安全威脅，制定對應的防范措施，構建企業信息網絡安全的“防火墻”，為企業安全生產經營、職工娛樂生活營造一個安全、穩定、健康的網絡環境。

參考文獻

[1]陳龍.煤炭企業網絡安全建設與管理探究[J].煤炭技術，2013.

篇2

前言

文章對企業計算機網絡安全存在的問題進行了介紹，對影響企業計算機網絡系統安全的因素進行了闡述，通過分析，并結合自身實踐經驗和相關理論知識，對加強企業網絡安全管理措施進行了探討。

二、企業計算機網絡安全存在的問題

1.安全意識淡薄

在企業網絡系統中，每一臺計算機的安全性都會影響整個系統的安全性能，網絡安全與每個用戶息息相關。內部員工了解公司的網絡結構、數據存放方式和地點甚至掌握業務系統的密碼。在具有嚴格訪問權限的系統中，使用弱密碼的用戶有可能成為安全系統中的缺陷，甚至有些人隨意改動系統注冊表，使得整個網絡安全系統失效。

2.網絡安全體系不健全

當前很多企業盡管采取了一些安全措施，但安全保護措施較為零散，缺乏整體性與系統性，對于企業網絡信息安全保護缺乏統一的、明確的指導思想，沒有建立一個完善的安全體系，這是引發安全問題的主要源頭。

3.網絡黑客攻擊

黑客肆意妄為，破壞的手段也越來越多樣化。企業的內部資料對于整個企業經營來說相當重要，因為它關系到整個企業的生死存亡。企業存放信息會因網絡黑客攻擊而造成資料的泄密。

4.來自企業外部的感染

來自企業外部的計算機病毒具有傳播性、破壞性、隱蔽性、潛伏性和可觸發性等特點，通過入侵網絡系統和設備，對數據進行破壞，使網絡癱瘓，不能正常運作。網絡蠕蟲由于不需要用戶干預就能觸發，因而其傳播速度要遠遠大于計算機病毒，其對網絡性能產生的影響也更為顯著和嚴重。木馬是指附著在應用程序中或者單獨存在的一些惡意程序，它可以利用網絡遠程控制安裝有服務端程序的主機，實現對主機的控制或者竊取主機上的機密信息。

5.來自企業網絡內部的攻擊

企業防護重點是對外，往往忽視對內部防護的重視。利用企業內部計算機對企業局域網絡進行攻擊，企業局域網絡也會受到嚴重攻擊，當前企業內部攻擊行為大大加強了企業網絡安全的風險。

三、影響企業計算機網絡系統安全的因素

1.病毒攻擊

目前，計算機病毒的制造者大多利用Internet網絡進行傳播，因中小企業防范薄弱管理規范性有待提高，所以他們很大可能要遭到病毒的攻擊。病毒可能會感染大量的機器系統，也可能會大量占用網絡帶寬，阻塞正常流量，如：發送垃圾郵件的病毒，從而影響企業計算機網絡的正常運行。

2.軟件漏洞

任何軟件都有漏洞，這是客觀事實。而同時中小企業在軟件采用上大都以節約為本，不注重也不舍得花銷來進行軟件更新的后期升級服務，以至于非法用戶正好通過這些需要升級的漏洞竊取用戶信息和破壞信息，針對固有的安全漏洞進行攻擊。

3.職員不當操作

中小企業計算機管理人員配置少，監督管理都難以細致，其它職工在信息化系統操作中容易出現工作馬虎，不細心，不按成型的規范操作，不遵守制定的相應規章制度。中小企業中很多職工信息安全意識不強，將自己的生日或工號作為系統口令，或將單位的賬號隨意轉借他人使用，從而造成信息的丟失或篡改。

四、加強企業網絡安全管理措施

1.要加大對計算機網絡與信息安全工作的投入。信息技術進步神速，我國在這一領域同發達國家比，并沒有優勢。因此我國更應加大投入，刻苦攻關，掌握一些關鍵的信息技術，以確保我國在信息安全方面的自主能力。可以毫不夸張地說，今年安全方面的自主能力，將制約我國的綜合國力和國防實力，因此，我國應當像五六十年展“兩彈一星”一樣，集中力量，加大投入，迎接信息技術革命的挑戰，保衛國家安全。這一點，我們不能幻想通過進口來解決問題。在信息安全技術方面，發達國家一方面極為重視研究開發，美國政府曾為了改進美國政府的計算機安全系統，投入巨大的資金；另一方面，又嚴格控制信息安全技術的出口。以美國為代表的發達國家，對信息安全產品出口，已作出許多嚴格限制，以維護其在信息技術領域的絕對優勢。

2.關鍵數據采用加密手段。在企業計算機網絡中關于數據安全的隱患無處不在。尤其是一些機密數據庫、商業數據等一定要保證它的安全性，這時一般會采取對數據加密的手段，它是一種保護數據在存儲和傳遞過程中不被竊取或修改的一種手段，該數據加密系統在使用的過程中需要綜合考慮執行效率與安全性之間的平衡。

3.加強安全管理力度健全管理制度。首先，加強信息安全管理力度應積極采取宏觀管理與重點監控相結合的方式，保證信息化項目的安全性。系統的實施及管理部門應該全面掌握各單位的計算機網絡系統的相關情況，為企業統一管理提供可靠依據。同時，對重點工程實地考察，對信息安全進行檢查，發現問題及時解決。

4.事務管理和故障恢復。事務管理和故障恢復主要是對付系統內發生的自然因素故障，保證數據和事務的一致性和完整性。故障恢復的主要措施是進行日志記錄和數據復制。計算機同其他設備一樣，都可能發生各種各樣的故障，比如電源故障、軟件故障、災害故障以及人為破壞等，這些故障可能會造成數據庫的數據丟失，因此為了保證計算機的安全運行，必須在發生故障時采取必要的措施恢復數據庫，事務管理和故障恢復就是這個作用，它能夠保障數據庫在出現故障時，仍可以把數據庫系統還原到正常狀態。

五、企業信息安全新形勢

網絡信息安全工作始終是通信行業最為關鍵的工作之一，具有長期性、復雜性和艱巨性的特點。2010年3G及寬帶網絡蓬勃發展，三網融合開始實施操作，云計算和物聯網產業方興未艾，需求的個性化、數字的海量化、業務的復雜化給通信行業網絡信息安全帶來了新的更大的挑戰，行業中企業要進一步提高對網絡信息安全重要性的認識，發展與管理并重，加強部門協調配合，加強網絡基礎管理工作，加強網絡信息安全保障能力建設，特別是要加快網絡信息安全關鍵基礎產業的研發應用和產業化，通過核心技術掌握自主知識產權，加快發展自主可控的信息安全產業，建設新時期通信行業網絡安全、信息安全長城。

從國際國內出現的安全現象出發，應對多種復雜的安全新問題，應該借助于RFID等物聯網新技術，并通過極主動地建立網絡與信息安全的保障體系，技術和管理并重，加強立法建設、政策制訂、技術研究、標準制訂、隊伍建設、人才培養、市場服務、宣傳教育等多方面的工作，通過產業鏈各方的緊密合作共同構造一個全方位多層次的網絡與信息安全環境，來共同改善全球的網絡與信息安全問題。

結束語

隨著科技的發展，一些不法份子和黑客通過計算機網絡竊取企業商業機密的現象越來越多，因此，對于計算機網絡信息安全管理應該予以高度重視，否則可能對企業造成不可預估的損失。

參考文獻

[1]林延君.局域網企業信息安全系統的設計與實現[D].大連理工大學，2006年.

篇3

近日，有媒體報道每年有數萬個境外IP地址作為木馬，參與控制了我國境內近千萬臺主機，如此龐大的數據讓我們觸目驚心。而最近眾多“泄密門”“后門”事件的發生，更讓我們看到企業的信息安全狀況不容樂觀。很多企業都意識到解決企業信息安全問題迫在眉睫，有的企業在大力加強企業信息安全體系的建設，針對信息安全設備進行全面檢查，并且做出了相應的措施。2005年中國昆侖工程公司信息管理部為保障數據安全曾對某重點專業部門的臺式電腦進行改造，全部升級為無盤工作站，拆除了所有個人用戶電腦中的硬盤，電腦系統以及所有數據都在數據中心的服務器中運行和存儲，從而保證數據的安全性，獲得較好效果，并且獲得省部級獎項。

無盤工作站的工作方式就是在數據中心部署一臺服務器，這臺服務器作為系統搭建的平臺，個人終端通過網絡連接到服務器上。個人終端只有如主板、內存、電源等必備硬件卻沒有硬盤，網卡必須帶有可引導芯片。在無盤工作站啟動時網卡上的可引導芯片從系統服務器中取回所需數據供用戶使用。所以，無盤工作站其實就是把硬盤和主機分離，無盤工作站只執行操作不執行存儲，故不會對文件造成竊取或者遺失。由于無盤工作站不需要硬盤等存儲設備，減少了硬件的投入與維護，啟動和運行速度快，系統不被破壞、能自動還原、無需重裝系統。但是無盤工作站則完全依賴網絡和服務器的支持，一旦網絡或服務器中毒或因為某些原因無法運行，將會導致全網癱瘓。并且存在個人隱私得不到保障、服務器成本投入過高、對網絡質量要求高、占用過多網絡帶寬等缺點。

3文件加密技術在企業中的應用

為了避免企業局域網出現信息泄密，造成嚴重的損失。很多企業都對文件做出了嚴格的管理制度以及多種監控手段，其中對數據傳輸與載體的管控成為最廣泛最簡單的措施。近年來一直使用的包括無盤工作站，封鎖USB口，封鎖光驅，網絡控制等等方式都是以切斷數據傳輸以及管控數據載體為手段的技術辦法，但是這種物理隔絕的信息保護機制非常落后，“一刀切”的方式不僅改變了用戶操作習慣，還嚴重影響了非機密數據的傳輸，導致工作流程繁瑣。在這種情況下我們決定嘗試采取特定文件全自動加密技術，這種加密方式不會改變用戶的操作習慣，并且能夠做到強制性加密。當用戶打開或編輯指定文件時，系統將自動對未加密的文件進行加密，對已加密的文件自動解密。不需要對文件的傳輸做任何限制，也不用擔心文件通過任何方式被復制到別的地方。因為文件在任何載體上都是以密文的形式存在，只有在加密系統的硬件內存中是明文形式，所以一旦離開終端用戶的電腦系統，加密文件無法得到自動解密的服務而無法打開，起到保護文件的效果。

全自動文件加密系統主要分為服務器端和客戶端，服務器端主要是記錄用戶資料、給用戶分配權限以及管理用戶文件的密鑰信息等?？蛻舳酥饕撠熍c服務器進行交互，對登錄系統的用戶進行身份認證、獲取文件加/解密密鑰及生成控制文件等，同時將客戶端處理的信息交給服務器。全自動文件加密系統能夠自動識別每一個登錄到局域網內部的用戶并進行身份驗證，只有具有權限的用戶才能操作文件。因為機密文件在電腦的硬盤上是以密文形式存在的，只有用戶擁有操作文件的權限才可以看到明文信息，否則將會是亂碼。該系統具有加密制定程序生成的文件、泄密控制、審批管理、離線文檔管理、外發文檔管理、用戶/鑒權管理、審計管理、自我保護等功能。2013年10月已在某專業設計部小網中部署了該文件加密系統并已使用，今年計劃在全網部署該系統。目前的加密策略為自動加密+全盤掃描，加密的文件類型為CAD，Word，PDF，Excel。即后臺掃描該電腦部署文檔機密系統前的所有歷史相關類型文件并進行強制自動加密，對于新文件，打開相關類型的文件也會自動加密，有效實現了公司數據的保密，增強了信息系統的數據安全性。

4結語

信息安全和知識產權專利技術保密對企業發展具有重要的激勵作用，有助于減少經營風險，增強企業競爭力。而企業也需認識到信息安全在當今社會發展中的重要作用，在謀求企業全面發展的同時重視知識產權保護，運用新技術保護企業的數據，減少信息系統的安全漏洞和隱患，加大對知識產權專利的保護力度，推動技術進步和企業的又好又快發展。

主要參考文獻

篇4

所以，怎樣把企業信息安全管理與風險控制融合起來就是擺在企業經營管理者面前的一道難題。企業的信息安全風險控制必須通過企業建立完善的企業信息安全風險體系實現。企業的信息安全風險控制是指企業在企業信息安全遭遇威脅之前，提前對企業的信息進行風險預估，并采取一系列的有針對性的活動降低企業面臨的信息安全風險，從而盡可能減少因為企業本身信息安全管理中存在漏洞給企業帶來不必要的損失。常見的企業信息安全風險體系建立主要包含以下幾個方面的內容。第一，建立企業信息安全風險管理制度，明確企業信息安全管理的責任分配機制，明確企業各個部門對各自信息安全所應承擔的責任，并建立相應的問責機制。第二，設置規范的企業信息安全風險管理指標，對企業存在的可能威脅企業信息安全管理的漏洞予以風險定級，方便企業管理者對不同的信息安全管理漏洞采取有區別的對策。第三，企業要加強對信息安全管理人員的培訓，提高企業信息安全管理工作人員的風險意識，讓企業內部從事信息安全管理工作人員認識到自身工作的重要性，讓企業內部從事信息安全管理工作人員了解到規范自身行為，正確履行職責的重要性。第四，將企業信息安全管理與風險控制有效融合，重視企業信息安全管理工作，通過風險控制對企業內部信息安全的管理方式進行正確評估，找出現行的企業內部信息安全管理手段中存在容易忽視的地方。

二、企業信息安全管理與風險控制存在的不足

1.企業信息安全管理工作人員素質不高

對于企業來說，企業信息安全管理工作是一項極為重要而隱秘的工作，因此，必須增強對企業信息安全管理工作人員的素質要求。但是根據調查統計，目前很多企業對信息安全工作的管理僅僅停留在對企業信息安全管理工作人員的技術要求上，對企業信息安全管理工作人員的道德素養，職業素養，風險意識并沒有嚴格要求。此外，絕大多數企業并沒有意識開展對企業信息安全管理工作的道德素質的教育培訓，并沒有通過建立相關管理制度以及問責機制對企業信息安全管理工作人員實行監督，這無疑給別有用心或者立場不堅定的企業信息安全管理工作人員留下了危害企業信息安全的可乘之機。

2.企業信息安全管理技術不過關

企業信息安全管理工作涉及多許多技術，包括信息技術，計算機技術，密碼技術，網絡應用技術等等，應當說成熟的計算機應用技術是做好企業信息安全管理的基礎，但是，現實是許多企業的信息安全管理技術并不過關，一方面企業的信息安全管理硬件并不過關，在物理層面對企業信息缺乏保護，另一方面，企業信息安全管理工作的專業技術沒有及時更新，一些企業信息安全管理工作人員缺乏企業信息安全管理的實踐經驗，企業信息安全管理的知識也并沒有及時更新，從而導致企業的信息安全管理理論嚴重滯后，這種技術的落后很容易讓企業成為不法分子的攻擊對象。近年來網絡病毒的傳播越來越猖狂，很多服務器、系統提示安全補丁的下載更新以及客戶端的時常更新成為一個惱人的問題。作為一個行業中的大中型企業，企業內部設備數量比較多，尤其是客戶端數量占了較大比重，僅僅靠少數幾個管理員進行管理是難以承擔如此大量的工作量。另外，企業信息安全管理系統不成熟也是一個重大的隱患。

3.企業信息安全管理制度不健全

企業信息安全管理制度不僅僅需要理論制度的完善，更加需要一系列配套監督機制保障企業信息安全管理的有效執行。通過調查分析，許多企業雖然建立了企業信息安全管理制度，但是通常情況下，這些制度只能流于形式，企業信息安全管理工作缺少有效的制約和監督，企業信息安全管理工作人員缺乏執行力。企業信息安全管理制度不健全，企業信息安全管理工作缺乏執行力常常體現在以下幾個方面。第一，企業員工對于信息安全管理的認識嚴重不足，對企業信息安全管理工作不重視。企業內部計算機系統安全的計算機防病毒軟件并沒有及時更新，使用，甚至企業內部計算機的防病毒軟件還被企業員工卸載了。部分企業員工認為自己的工作與企業信息安全管理不相關，認為做好企業信息安全管理工作僅僅是企業信息安全部門的事。第二，企業內部信息安全管理制度并沒有形成聯動機制，企業信息安全管理工作僅僅由企業信息安全部門“一人包干”，企業信息安全反映的問題并沒有得到積極的反饋，一些企業領導對企業信息安全現狀所了解的少之又少。

三、企業信息安全管理常見的技術手段

1.OSI安全體系結構

OSI概念化的安全體系結構是一個多層次的結構，它的設計初衷是面向客戶的，提供給客戶各種安全應用，安全應用必須依靠安全服務來實現，而安全服務又是由各種安全機制來保障的。所以，安全服務標志著一個安全系統的抗風險的能力，安全服務數量越多，系統就越安全。

2.P2DR模型

P2DR模型包含四個部分：響應、安全策略、檢測、防護。安全策略是信息安全的重點，為安全管理提供管理途徑和保障手段。因此，要想實施動態網絡安全循環過程，必須制定一個企業的安全模式。在安全策略的指導下實施所有的檢測、防護、響應，防護通常是通過采用一些傳統的靜態安全技術或者方法來突破的，比如有防火墻、訪問控制、加密、認證等方法，檢測是動態響應的判斷依據，同時也是有力落實安全策略的實施工具，通過監視來自網絡的入侵行為，可以檢測出騷擾行為或錯誤程序導致的網絡不安全因素；經過不斷地監測網絡和系統來發現新的隱患和弱點。在安全系統中，應急響應占有重要的地位，它是解決危險潛在性的最有效的辦法。

3.HTP模型

HTP最為強調企業信息安全管理工作人員在整個系統中的價值。企業信息安全工作人員企業信息安全最為關鍵的參與者，企業信息安全工作人員直接主導企業信息安全管理工作，企業信息安全工作人員不僅僅是企業信息安全的保障者，也是企業信息安全管理的威脅者。因此，HTP模型最為強調對企業信息安全管理工作人員的管理與監督。另外，HTP模式同樣是建立在企業信心安全體系，信息安全技術防范的基礎上，HTP模式采取了豐富的安全技術手段確保企業的信息安全。最后，HTP強調動態管理，動態監督，對于企業信息安全管理工作始終保持高強度的監督與管理，在實際工作中，通過HTP模型的應用，找出HTP模型中的漏洞并不斷完善。

四、完善企業信息安全管理與降低風險的建議

1.建設企業信息安全管理系統

（1）充分調查和分析企業的安全系統，建立一個全面合理的系統模型，安全系統被劃分成各個子系統，明確實施步驟和功能摸塊，將企業常規管理工作和安全管理聯動協議相融合，實現信息安全監控的有效性和高效性。

（2）成立一個中央數據庫，整合分布式數據庫里的數據，把企業的所有數據上傳到中央數據庫，實現企業數據信息的集中管理與有效運用。

（3）設計優良的人機界面，通過對企業數據信息進行有效的運用，為企業管理階層人員、各級領導及時提供各種信息，為企業領導的正確決策提供數據支持，根本上提高信息數據的管理水平。

（4）簡化企業內部的信息傳輸通道，對應用程序和數據庫進行程序化設計，加強對提高企業內部信息處理的規范性和準確性。

2.設計企業信息安全管理風險體系

（1）確定信息安全風險評估的目標

在企業信息安全管理風險體系的設計過程中，首要工作是設計企業信息安全風險評估的目標，只有明確了企業信息安全管理的目標，明確了企業信息安全管理的要求和工作能容，才能建立相關圍繞信息安全風險控制為目標的信息安全管理工作制度，才能順利通過對風險控制的結果的定量考核，檢測企業信息安全管理的風險，定性定量地企業信息安全管理工作進行分析，找準企業信息安全管理的工作辦法。

（2）確定信息安全風險評估的范圍

篇5

0.引言

隨著信息技術的不斷發展以及市場競爭的不斷激烈，企業信息安全建設已經成為提高企業競爭力的重要途徑，杜絕信息泄露可以避免巨大的經濟損失。雖然大多數企業在信息安全管理方面采取了較多的措施，但是信息安全問題仍然頻發，對于企業的經營活動帶來巨大的損失。加強企業內部的計算機管理，提高對于信息安全的認識程度，保證信息數據庫的安全，避免信息泄露的發生已經成為現階段企業信息化建設亟待解決的管理問題。

1.企業信息化建設信息安全影響因素分析

（1）信息系統實體安全。信息實體主要包括用于企業信息化建設的計算機、網絡連接、服務器等媒介硬件設施，對于信息實體安全影響因素主要包括火災、水災、失竊或者是其他事故造成設備硬件的損壞，從而造成企業信息庫數據安全出現問題。

（2）信息系統運行安全。信息系統的安全是指為了保證企業信息數據庫的安全，采取各種措施對系統運行進行安全保護。由于信息數據庫有可能受到非授權的訪問、泄露、數據纂改或者是被其他非法程序控制的威脅，因此確保信息系統運行安全主要是保證信息數據庫的完整、保密以及時時可用性。

（3）信息系統管理人員安全責任意識。管理人員在日常工作中的安全管理意識、專業操作水平以及法律意識等均會對企業信息數據的安全產生影響。信息安全管理人員的日常管理工作責任心以及工作方式方法，對于保證信息數據庫的安全十分重要。

2.企業信息安全管理問題分析

目前由于管理制度以及軟硬件設施等一系列的問題，企業數據庫破壞以及重要數據信息泄漏的現象時有發生，嚴重影響了企業的正常生產經營活動，通過分析發現影響企業信息化建設信息安全的問題主要由以下幾方面：

（1）企業內部移動存儲設備管理疏松，缺乏安全保密管理制度。由于許多企業在日常管理過程中，移動存儲設備使用較多，員工可以隨意對企業內部的各種信息資料進行備份，企業用于經營活動的客戶信息、產品設計、財務管理等各項信息極易造成泄漏，帶來巨大的信息安全損失。部分企業由于對于信息安全管理認識程度不足，企業內部信息安全管理缺乏必要的規章制度，安全管理職責權限不清，信息安全漏洞較多。

（2）對于內部信息共享控制不嚴格，信息安全管理權限混亂。由于企業在生產經營過程中為了提高生產經營效率以及加強企業內部各部門之間的溝通聯系，對于一些設計企業銷售計劃、客戶信息以及生產計劃等文件采取共享的措施，因此企業員工的流動或者其他管理不當均會造成企業信息的泄露。

（3）信息權限管理混亂，企業的中介服務體系穩定性較差。對于加密的授權訪問，權限管理則成為保護企業信息安全的重要因素。但是由于企業在信息安全管理過程中體系混亂，操作權限不清晰導致經常出現影響信息安全的非授權訪問。而且對于部分中小企業由于信息化建設采取對外委托的方式，而中介第三方由于穩定性難以保證，隨時更換或者退出的第三方極易造成企業有價值信息的泄漏，影響企業信息安全建設。

（4）信息管理安全防范體系不健全，缺乏針對信息安全管理的專業技術人才。雖然部分企業已經認識到信息化管理的重要性，并在企業網絡內設置了必要的安全設備。但是缺乏一系列的安全管理機制，在信息安全管理方面缺乏行之有效的整體規劃與具體落實措施。此外，由于大部分企業在信息安全管理工作中將重點放在軟硬件設施上，而忽略了對于信息安全技術人員的培養，而且為了減少人力資源支出成本，信息安全管理人員少工作任務重，管理權限集中化程度高，影響了信息化建設的安全管理。

3.企業信息建設信息安全管理措施

（1）加強對于信息庫硬件設備的保護管理。首先應保證計算機等硬件設備具有安全的工作環境，做好計算機設備的防火、防潮、防盜措施，并避免強磁環境對信息數據可能造成的損壞。其次，在對各種硬件設備進行檢修時，硬組織企業內部相關技術人員進行監督管理，對于需要外送檢修的設備，則應提前進行數據加密處理。

（2）提高企業內部的信息安全管理意識。企業信息安全管理對于提高企業競爭力，避免企業經濟損失具有重要的意義。在企業的正常管理過程中，加強信息安全宣傳工作，使員工充分認識到企業信息安全管理的重要性，并熟悉企業相關信息數據保密的規則制度，提高企業的整體信息安全防范水平。

（3）加強信息安全操作管理人員的管理。在企業信息日常管理過程中，應加強對于業務操作以及數據存取控制代碼的管理。系統管理操作代碼的獲得應經過企業管理者授權，系統管理人員在進行企業相關信息數據庫的整理以及維護過程中，必須通過授權進行。系統管理人員離開工作崗位后，相關責任人應及時更換管理員操作代碼。

（4）加強企業信息數據庫的密碼與權限管理。對于涉及到企業信息數據庫安全的密碼，應分別設置用戶密碼以及操作密碼，并提高密碼的安全程度，及時定期更換登陸操作密碼。對于組成企業內部局域網絡的服務器、路由器等設施的設置管理工作，應嚴格按照相關管理規定進行設置。

（5）明確企業信息數據庫管理制度。對于企業重要的數據應存放備份數據，并采取異地存放的方式對備份數據庫進行管理。對于廢棄或者需要銷毀的數據信息，應嚴格依照程序采取逐級審批的方式，避免數據信息的泄露。需要進行數據恢復工作時，應嚴格按照相關技術手冊，并對恢復的數據進行驗證確認數據的完整可用。

（6）加強企業信息數據機房的管理。相關人員出入信息數據庫機房進行數據查閱以及提取工作時，應經由相關主管人員的授權，并登記進入。在日常管理過程中，定期對硬件設備進行保養，同時研究違章操作在信息數據機房安裝外部其他軟件。

參考文獻

篇6

現代企業的信息安全是指在管理上和技術上對數據處理系統進行安全的保護，使計算機的軟件、硬件、保密數據等不會遭到破壞、更改、泄露。通過對企業信息安全的管理，能夠保護企業信息的機密性和完整性，保護企業的生產運營安全，是企業發展的必不可少的環節。

1 網絡環境下現代企業信息安全存在的問題

1.1 人為因素造成的安全問題

現代企業之間的競爭十分激烈，企業管理者把精神都集中在企業的生產和經營上，對計算機的管理不夠重視，加上網絡屬于新生事物的一種，人們會利用網絡進行娛樂活動，卻忽視了網絡的安全性，缺乏網絡安全意識，企業員工在工作時間利用網絡進行娛樂活動的行為十分普遍，由于自身的安全意識匱乏，不但浪費了企業的網絡資源，也加大了病毒侵害的可能性，威脅了企業的信息安全。企業信息安全的管理需要管理部門重視起來，現實中，企業對信息安全的管理投入很少，安全防范做得不好，管理者對信息安全管理的認識不足，下面的員工安全意識也淡薄，規章制度不完善，信息安全管理無據可依，管理者也沒有對信息安全進行有效的監督，沒有在第一時間發現網絡存在的問題，甚至在網絡不能正常運行了才去解決問題，給公司發展帶來不利影響。

1.2 網絡技術自身存在的安全問題

隨著網絡技術的發展，各種軟件也不斷更新換代，現在Windows 7正在大規模地進軍國內市場，微軟不斷推出新的產品，各種操作系統的漏洞也一直存在，為病毒的滋生提供了機會，很多網絡軟件存在后門，這些后門原本是編程人員為了軟件的擴展和維護設置的，如果被不法分子發現，對公司的信息安全有很大的威脅。計算機犯罪中最典型的就是黑客的攻擊，黑客攻擊也分為主動攻擊和被動攻擊兩種，主動攻擊直接為企業的信息完整性、機密性造成破壞，被動攻擊雖然能夠保證公司電腦的正常運行，但企業的重要信息可能會被截獲、竊取，都嚴重影響了企業信息安全。

1.3 設備環境造成的安全問題

從網絡環境來說，外部環境對企業信息安全也構成威脅，企業的計算機房的位置不能是隨便設置的，需要有一定的安全技術要求。網絡的線纜等通信設施容易被人為破壞，或者受到自然環境如地震、雷雨、電磁場等環境的影響發生破壞，并且自然環境的影響是不可預測的，一旦出現問題，會給企業的信息造成直接的破壞，影響信息的完整性。計算機的硬盤、內存的運行狀況也應該得到管理人員的注意，計算機設備的防盜等都是問題，企業員工在工作過程中往往會拷數據回家，或者加班后在用U盤等移動設備把資料拷貝到公司電腦中，增加了企業計算機中毒的危險。

2 解決企業信息安全問題的對策研究

2.1 重視信息安全管理，加強制度建設

首先，企業管理者應該認識到企業信息安全的重要性，認識到網絡保護的重要性，提高信息安全意識，這樣才能加強制度建設，做好信息安全管理與監督工作。計算機房是重要場所，它的設置也需要一定的隱蔽性，一般不要設置在公司一樓。企業應該建立和完善信息安全管理制度，幫助員工樹立信息安全意識，明確信息安全保護的對象和目標，保證各項管理制度的落實執行，制訂明確科學的操作流程，規范員工的日常操作行為，制訂應急預案和網絡維護制度，計算機管理人員應該每天對計算機系統進行檢查或者更新，及時發現網絡運行中出現的問題，防止病毒的產生，在發生問題后把損失降到最低。

2.2 加強企業信息安全的網絡技術控制

依靠網絡技術來保護現代企業信息安全是十分有效的方式，網絡技術手段主要有防火墻、信息加密與認證、病毒防控、數據備份等方式。防火墻是網絡技術中保護信息安全最重要的技術之一，它通過設置屏障阻止黑客的訪問，能夠有效防止病毒的侵入，企業應該按照質量可靠的防火墻，并時刻關注防火墻的問題與升級情況。直接對企業信息進行加密也是有效的方法之一，企業可以設置專門的訪問密碼，僅供本公司員工使用，或者每個員工都有自己的上網編號，輸入之后才能訪問公司網絡，公司也可以根據瀏覽記錄查看哪些員工上網，能夠有效防止企業人員泄密行為，對重要文件采取多種加密措施。企業應該注意對防病毒軟件的更新換代，提高防毒、殺毒的效率，保證系統的安全。電腦一旦中毒，一些文件就可能丟失或者被更改，企業需要對重要文件進行備份，這樣在發生中毒之后能夠將損失降到最低。

2.3 加強法制建設，運用法律武器保護企業信息安全

現代企業的信息安全應該受到法律的保護，公司的機密文件關系到公司的生死存亡，關系到社會公平競爭，關系到個人隱私，應該受到法律的保護。國家應該完善企業信息安全的法律法規，為企業保護自己的權益提供法律武器，企業也應該具有法律意識，在公司的信息惡意遭到破壞和侵害時，不是采用同樣的方法對待競爭企業，而是應該拿起法律武器保護自己，用國家法律來抵制侵犯，保護自己企業的信息安全與完整。

3 結 語

網絡的發展是一把雙刃劍，在給社會進步和發展帶來巨大益處的同時，也帶來了一些負面影響，企業應該辯證對待網絡時代的發展，充分利用網絡環境帶來了優勢，通過技術手段創新、管理加強、法律法規的完善等措施來保護企業信息安全，為企業的發展創造安全的環境。

主要參考文獻

[1] 薛偉蓮. 保證信息與網絡安全的網絡倫理規范體系的構建[J]. 網絡與信息，2010（11）.

[2] 費宏偉. 保證電算化時代會計信息安全的幾點思考[J]. 東西南北·教育觀察，2010（11）.

篇7

企業信息泄露還有一種就是人才流動，現如今企業人員流動較大，企業信息可能被直接帶到其他企業之中，這也是個比較棘手的問題。

另外一種情況是隨著企業之間的合作不斷增加，企業外派員工成為常見的現象，這樣就加大了企業間的交流和接觸時間，對于本企業的信息泄露也許就是在不經意間。

無論是網絡問題還是人為問題，如果造成企業信息泄露，其對自身企業的損害是非常大的。以技術為核心的制造型企業加強信息安全管理勢在必行。

二、制造型企業信息安全管理的現狀及問題

1.企業信息安全管理的被動性

制造型企業的工作重點在產品制造與生產，對于網絡信息管理意識薄弱，很多時候企業只有發現企業信息泄露或者遭受病毒的攻擊等安全事件，才會關注企業信息安全問題，進而調動技術部門前來解決問題。這很大程度上反映制造型企業對網絡信息安全不夠重視，只有出現信息安全問題時，才組建臨時小組來解決企業信息問題，待到問題解決后小組便被解散，沒有對企業信息后序的監督和管理，企業信息安全管理缺乏系統策劃和制度化要求，管理活動臨時性強，缺少日常的維護和預防，導致更多的是重蹈覆轍，這樣不僅沒有為企業省下對安全管理的資金，相反的恰恰是增加了企業的資金投入，直接增加了企業安全管理的成本。同時因為臨時小組的組建，使得人員調動頻繁，大大降低了工作效率，進而對企業的經濟效益造成影響。

2.員工使用內部系統連接外網

雖然大部分制造型企業對企業自身的內網進行了防護監測，而且對員工上網和網頁瀏覽采取了一定的限制措施，但是實際上，企業對員工上網的控制落實程度不夠，員工依舊可以在工作時間使用企業網絡進行外部網絡連接，而且對于一些網站毫無防備。而網絡病毒是時刻都在通過網絡攻擊使用者的，特別對于企業內部網絡，黑客更是隨時隨地緊盯著企業內網出現漏洞，進而竊取企業內部信息。由于企業員工的疏忽，會有很大幾率使得企業信息出現安全隱患，輕則影響企業正常的生產工作，重則企業商業、技術信息被盜取或者企業內網癱瘓甚至縱，為企業帶來非常嚴重的后果及損失。

3.移動設備限制力度不夠

制造型企業在信息安全管理方面通常采取的措施是限制流水線工人的移動設備使用，但是對于辦公部門卻沒有嚴格要求，辦公人員可以自由攜帶智能手機、筆記本電腦、pad、硬盤等移動設備。因辦公人員要對數據進行處理，會導致企業內部信息被無限制地拷貝。而且現如今的移動智能設備都能直接通過企業的無線網絡，連接企業內網以獲得權限，這樣的確提高了企業內部的辦公效率，同時也給黑客病毒提供了通過無線網絡進行傳播的機會，提高了企業內部信息安全的風險。

4.信息安全防護技術水平低

在我國，普遍存在信息安全研發技術水平較低的情況，這也是制造型企業安全技術不高的原因之一。制造型企業的工作重心偏重于生產、制造及商務活動中，而對于網絡安全的防護意識不高。

作為企業，都會有一些信息安全意識。在企業成立初期，信息安全防護措施通常會被考慮并采納，尤其是一些進口設備，但僅僅依賴進口設備是遠遠不夠的。第一，進口設備雖然技術先進，但是出現問題是在所難免的，往往出問題的是一些關鍵的零部件，這些零部件不僅難以拆卸且是整臺設備的技術核心，設備廠商必然會控制其銷售渠道。第二，很多企業過于相信進口設備的技術，力爭做到一步到位，使得企業發展中前期安全防護的確不錯，但是卻忽略了系統的更新和維護，網絡病毒每天新出幾萬種，就算設備再先進，如果不進行更新，遲早會被病毒攻破。第三，很多企業都采用家用式免費殺毒軟件，這些殺毒軟件更新頻率快，一些簡單病毒、木馬都能有效查殺，對家用來說但是對企業來講遠遠不夠，企業一般是黑客重點關注的對象，黑客往往會研制更先進的病毒來攻克企業的防火墻，一些免費殺毒軟件很容易被攻破，增加制造企業內部信息安全問題。

5.企業出現安全問題處理方法不當

現如今研發病毒的技術快速而先進，病毒出現時的及時處理是非常重要的，我國制造型企業在出現信息安全問題的時候，雖然有相關的殺毒軟件，但因為大部分都是免費的，其更新速度雖然頻率高，相對滯后性比較強，對于新病毒無法第一時間發現、處理。而且許多病毒都是潛在性的，企業內部系統中毒之后沒有任何異樣，這就導致企業內部人員無法及時發現企業內網是否被越權或遭到攻擊。同時，由于很多企業缺少專門管理信息安全的部門，并且對于病毒侵入缺乏有針對性的安全對策和應急措施，這就導致就算病毒被發現，企業在第一時間也無從下手。

三、制造型企業容易出現安全問題的原因

1.企業內部信息安全意識低

制造型企業的本質是通過生產經營活動而獲得盈利，因此制造型企業的工作重點主要是企業生產、制造以及流通和服務。在此情況下，企業更關注盈利情況，而缺乏對信息安全的管理意識，對信息安全管理的重視度不足。導致這一現象的重要原因是安全防護不能為企業帶來直接的經濟效益，反而要投入大量的人力、物力、財力。另一方面，從安全管理角度來說，沒有事故發生才是管理績效的體現。相對于質量管理、生產安全管理來說，信息安全管理的管理性質是類似的，但因為其管理對象的不可見性，往往容易被企業高層忽視。同時，一般也會存在僥幸心理，感覺企業內部網絡不會受到黑客攻擊，或是認為就算受到病毒攻擊也不會對生產經營造成什么大影響，對企業整體利益影響不大。基層員工更是不明白什么是安全防護，對企業安全防護的重要性一無所知，這就導致許多企業內部信息技術會從員工口中泄露。

2.信息安全管理模式不夠完善

制造型企業信息安全問題頻發的原因，究其根本就是因為企業信息安全管理模式不夠完善，具體原因是制造型企業不重視信息安全管理、缺少系統規范的信息安全管理制度、缺乏專業的信息安全管理技術和安全管理人員，企業信息系統設計沒有風險評估、沒有完善的業務流程，信息安全管理存在頭痛醫頭腳痛醫腳的現象。

3.信息安全系統沒有應急措施

制造型企業信息安全系統缺少應急措施，也可以說沒有自我保護系統。自我保護系統是一種比較先進的技術，一旦有病毒侵入系統，系統會自動對重要信息進行加密、封鎖，待系統安全后自動解鎖。然而由于對信息管理的意識不足，使得很多制造型企業沒有建立信息安全自我保護系統。在我國，諸多制造型企業在信息管理方面更多的是依靠員工的經驗，對于網絡自身的保護信任度不足，也缺少對信息安全管理技術發展的關注和引用。

四、制造型企業信息安全管理存在問題的對策

綜上所述，制造型企業信息安全問題是由很多因素造成的，包括管理層的重視方面、技術方面、人員管理方面等。首要的，企業應提升對信息安全管理的重視程度，只有加強意識，并建立有效的信息安全防范措施，才能有效保護企業自身的核心競爭力，以獲得在市場經濟中更好的發展。

1.提高企業內部員工的信息安全意識

很多制造型企業信息泄露都是內部員工無意間透露出去的，這也是最常見的企業內部信息泄露渠道，企業應充分重視員工的信息安全教育，定期對企業內部員工進行信息安全培訓及考核，通過教育向員工灌輸信息安全的基本知識和常識、企業內部信息的重要性、一旦發生企業核心技術泄露將產生的嚴重后果等信息。加強企業內部員工信息安全意識，也就是從根本上降低了企業信息安全隱患，企業中如果基層員工都非常了解并重視信息安全問題，那么這個企業在信息安全管理方面必然非常完善有效。

2.建立健全企業信息安全管理機制

由于很多制造型企業缺少健全的信息安全管理機制，這就給了很多黑客病毒更多的侵入機會。一套完善的信息安全管理機制能夠有效的保護企業信息安全，降低安全隱患。制造型企業應該建立健全企業信息安全管理機制，設立專門的企業信息安全管理部門，這樣能最大程度保證信息的日常安全防范，也保證了一旦出現安全問題，企業能更好、更快地解決問題，健全的管理機制能夠對風險有一定的預見性，把風險降到最低。

3.加大對信息安全管理的資金投入

任何新型技術都離不開資金的投入，信息安全管理同樣也是，而且信息安全管理更多的屬于技術型投入，對資金依賴性更高。制造型企業想要獲得可持續發展，就必須要把目標放得更加長遠。企業內部信息往往是一個企業的核心，因此企業應提高對信息管理的重視程度，加大對信息安全系統的投資，把信息安全管理作為企業管理重要的一部分，信息安全管理資金劃作專項資金專款專用。企業對信息安全管理的投資要有計劃性，確保突況的資金投入、技術更新的資金投入、管理人員的資金投入、安全教育的資金投入等。把信息安全管理納入企業整體的發展規劃中，這樣才能保證企業信息更加安全，企業才能獲得長足的發展。

4.加大對信息安全管理人才的認識

因為信息對企業生存至關重要，信息安全甚至會影響到企業的發展戰略的制定和落實，制造型企業應當把信息安全管理與生產經營提高到同一個層次。企業內網是網絡技術領域，既然是技術，就離不開專業人才的支持，企業應該加強信息安全管理的人才培養，提高企業信息安全管理的質量。如果企業內部沒有專業的信息安全管理人才，企業可以通過對外招聘的形式，在社會中尋求人才?，F如今互聯網技術已經逐步走向成熟，計算機人才更是越來越多，所以，制造型企業在社會中尋找信息安全管理的人才不會很難，同時還能促進計算機技術人才就業，對于企業自身以及社會都有很大意義。

5.加強企業內網管理

一般來說，企業內網系統中的信息很多都屬于商業機密，基層員工是無權了解的。制造型企業應該把各個層級的員工賬號及內網系統中的信息進行分類管理，按信息等級設置不同的訪問權限和防范措施，以免企業員工在使用內網時網絡病毒通過權限竊取過多的企業信息。另外，很多企業信息泄露都是由于某些員工通過企業無線網連接外網導致企業系統中毒，針對此類情況企業要制定相應的政策和管理制度，通過對硬件的管理和網頁訪問權限設置，嚴禁員工上班時間通過移動設備隨意連接外網。

篇8

近幾年，隨著行業信息化建設逐步深入，伴隨著OA辦公自動化、ERP、卷煙生產經營決策管理和MES生產制造執行等系統相繼投入使用，與生產經營息息相關的關鍵業務對信息系統的依賴程度越來越高，企業也逐步認識到信息安全的重要性，企業員工的安全意識也都得到逐步提高。行業也相繼出臺了煙草行業信息安全保障體系建設指南和各類信息安全制度，并通過這幾年信息安全檢查工作，促進企業的信息安全水平得到了進一步提高。由于企業信息安全意識不斷提高，企業不斷加大信息安全方面的投入，如建立標準化的機房、購買與部署各類信息安全軟件和設備等。但是木馬、病毒、垃圾郵件、間諜軟件、惡意軟件、僵尸網絡等也隨著計算機技術的發展不斷更新，攻擊手段也越發隱蔽和多樣化。企業不僅要應對外部的攻擊，也要應對來自于企業內部的信息安全威脅，安全形勢不容樂觀。企業的信息安全已不僅僅是技術問題，還需要借助管理手段來保障。企業如果不能正確樹立信息風險導向意識，一味注重“技術”的作用，忽略“管理”的重要性，就很難發揮信息安全技術的作用，無法把企業的各項信息安全措施落到實處，企業的信息安全也就無從談起。只有切實發揮管理作用，企業的信息安全才能得到有效保障。

2企業信息安全體系架構

在談到信息安全時，大多數剛接觸的人都比較疑惑，都說保障信息安全十分重要，那到底什么是信息安全呢？下面就簡單介紹一下信息安全的概念以及企業的信息安全體系架構。2.1信息。對企業來說，信息是一種無形資產，具有一定商業價值，以電子、影像、話語等多種形式存在，必須進行保護。2.2信息安全。主要是指防止信息泄露、被篡改、被損壞或被非法辨識與控制，避免造成不良影響或者資產損失。2.3企業信息安全體系架構。在保障企業信息安全過程中，信息安全技術是保障信息安全的重要手段。通過上文對企業信息安全現狀的分析，不難看出企業信息安全體系主要分為技術、管理兩個重要體系，進一步細分則涉及安全運維方面。2.3.1信息安全技術體系作用。主要是指通過部署信息安全產品，合理制定安全策略，實現防止信息泄露、被篡改、被損壞等安全目標。信息安全產品主要是指實現信息安全的工具平臺，如防火墻類產品、防攻擊類產品、殺毒軟件類產品和密碼類產品等，而信息安全技術則是指實現信息安全產品的技術基礎。2.3.2信息安全管理體系作用。完善信息安全組織機構、制度，細化職責分工，制定執行標準，確保日常管理、檢查等制度有效執行，最大程度發揮信息安全技術體系作用，確保信息安全相關保護措施有效執行。通過上文簡單介紹，對信息安全以及信息安全系統有了大概了解。可以看出單純借助技術或管理無法保障企業信息安全，因此，建立企業信息安全管理體系的重要性也就不言而喻。

3信息安全管理體系概念

3.1信息安全管理。運用技術、管理手段，做好信息安全工作整體規劃、組織、協調與控制，確保實現信息安全目標。3.2管理體系。體系是指相互關聯和相互作用的一組要素，而管理體系則是建立方針和目標并實現這些目標的體系。3.3信息安全管理體系（ISMS）。在一定組織范圍內建立、完成信息安全方針和目標，采取或運用方法的體系。作為管理活動最終結果，包含方針、原則、目標、方法、過程、核查表等眾多要素。3.4建立信息安全管理體系的目的。作為企業總管理體系的一個子體系，目的是建立、實施、運行、監視、評審、保持和改進信息安全。3.5信息安全管理體系涉及的要素。3.5.1信息安全組織機構。明確職責分工，確保信息安全工作組織與落實。3.5.2信息安全管理體系文件。編制信息安全管理體系的方針、過程、程序和其他必需的文件等。3.5.3資源。提供體系運轉所需的資金、設備與人員等。

4信息安全管理體系機構設置以及作用

在建立企業的信息安全管理體系之前，如果沒有設置相應的信息安全組織機構，那么建立體系所需要的資源（資金、人員等）就無法得到保障，企業的信息安全制度和策略也就無法貫徹落實，企業的信息安全管理體系就形同虛設起不到任何作用。因此，企業在建立信息安全管理體系前必須建立健全信息安全組織機構，機構設置可以根據職責分為三個層次。4.1信息安全決策機構。信息安全決策機構處于安全組織機構的第一個層次，是本單位信息安全工作的最高管理機構。應以單位主要領導負責，對信息安全規劃、信息安全策略和信息安全建設方案等進行審批，并為企業信息安全工作提供各類必要資源。4.2管理機構。處于安全組織機構的第二個層次，在決策機構的領導下，主要負責企業日常信息安全的管理、監督以及安全教育與培訓等工作，此類工作大部分都由企業的信息化部門承擔。4.3執行機構。處于信息安全組織機構的第三個層次，在管理機構的領導下，負責保證信息安全技術體系的有效運行及日常維護，通過具體技術手段落實安全策略，消除安全風險，以及發生安全事件后的具體響應和處理，執行機構人員可以由信息中心技術人員與各部門專職或兼職信息安全員組成。

5信息安全管理體系的建立

ISO/IEC27001:2005標準的“建立ISMS”章節中，已明確了信息安全管理體系建立的10項強制性要求和步驟。企業應結合自身實際情況，遵照這些內容和步驟，建立自己的信息安全管理體系，并形成相應的體系文件。5.1建立的步驟。（1）結合企業實際，明確體系邊界與范圍，并編制體系范圍文件。（2）明確體系策略，構建目標框架、風險評價的準則等，形成方針文件。（3）確定風險評估方法。（4）識別信息安全風險，主要包括信息安全資產、責任、威脅以及造成的后果等。（5）進行安全風險分析評價，編制評估報告，確定信息安全資產保護清單。（6）明確安全保護措施，編制風險處理計劃。（7）制定工作目標、措施。（8）管理者審核、批準所有殘余風險。（9）經管理層授權實施和運行安全體系。（10）準備適用性聲明。以上步驟解釋不詳盡之處，參看ISO/IEC27001:20054.2.1章節中A-J部分。5.2信息安全管理體系涉及的文件。文件作為體系的主要元素，必須與ISO/IEC27001:2005標準保持一致，同時也要結合企業實際，確保員工遵照要求嚴格執行。而且也要符合企業的實際情況和信息安全需要。在實際工作中，企業員工應按照文件要求嚴格執行。5.2.1體系文件類型主要涉及方針、程序與記錄三類。方針類主要是指管理體系方針與信息安全方針，涵蓋硬件、網絡、軟件、訪問控制等；程序類主要是指“過程文件”，涉及輸入、處理與輸出三個環節，結果常以“記錄”形式出現；記錄類主要是記錄程序文件結果，常以是表格形式出現。至于適用性聲明文件，企業應結合自身情況，參照ISO/IEC27001:2005標準的附錄A，有選擇性地作出聲明，并形成聲明文件。5.2.2體系必須具備的文件。主要包括方針、風險評估、處理、文件控制、記錄控制、內部審核、糾正與預防、控制措施有效性測量、管理評審與適用性聲明等。5.2.3任意性文件。企業可以針對自身業務、管理與信息系統等情況，制定自己獨有的信息方針、程序類文件。5.2.4文件的符合性。文件必須符合相關法律法規、ISO/IEC27001:2005標準以及企業實際要求，保證與企業其他體系文件協調一致，避免沖突，同時在文字描述準確且無二義。

6體系實施與運行

主要包括策略控制措施、過程和程序，涉及制定和實施風險處理計劃、選擇控制措施與驗證有效性、安全教育培訓、運行管理、資源管理以及安全事件應急處理等。

7體系的監視與評審

主要指對照策略、目標與實際運行情況，監控與評審運行狀態，主要涉及有效性評審、控制措施測試驗證、風險評估、內部審核、管理評審等環節，并根據評審結果編制與完善安全計劃。

8體系的保持和改進

主要是依據監視與評審結果，有針對性地持續改進。主要包括改進措施、制定完善措施、整改總結等，同時需相關方進行溝通，確保達到預計改進標準。

篇9

2.目前中小企業信息安全面臨的主要威脅

調查發現，近1年內，82.1%的被調查企業遭受過病毒、蠕蟲或木馬程序破壞；47.3%的企業遭受過黑客攻擊或網絡詐騙；33%的企業遭受過垃圾郵件和網頁篡改的干擾，還有28%的企業遭受的破壞竟然來自企業內部員工的操作。這一調查結果表明，病毒泛濫、網絡詐騙、黑客攻擊、垃圾郵件和來自企業內部員工破壞是河北中小企業面臨的最主要信息安全威脅。其中，病毒和木馬程序的破壞尤為嚴重，直接造成企業數據丟失、信息泄漏甚至系統癱瘓等后果，嚴重威脅著企業的信息安全。

3.企業信息安全保護措施現狀

調查發現，93.7%的被訪企業采用了殺毒軟件進行病毒防護和監控，25.1%的被訪企業裝有入侵檢測系統和硬件防火墻，54.8%的被訪企業采用了身份認證技術和設置訪問權限進行信息保護。同時，通過調查也發現，只有不到29.5%的企業有定期的數據備份，僅有6.9%的企業為重要信息進行了數據加密。這一調查結果表明：在信息安全技術防護方面，幾乎被訪企業都采取了信息安全保護措施，但是大部分企業卻只停留在病毒防護和身份認證的水平上，而缺少數據完整性和數據加密等保護技術。

4.信息安全管理保障措施情況

調查發現，在信息安全管理保障措施方面，25.7%的被訪企業設立了專門的信息安全部門及相應的專職管理人員，44.6%的企業制定了企業信息安全管理制度，只有8.5%的企業能夠對信息安全狀況進行定期的風險評估，而制定信息安全事件應急處置措施的企業卻只有5.3%。這一調查結果表明：河北中小企業信息安全保障組織構架設立不完善、缺乏信息安全管理制度，定期的信息安全風險評估以及信息安全應急處置預案措施嚴重缺失。

5.信息安全經費投入狀況

調查發現，23.5%的被訪企業信息安全方面的經費投入占整個企業信息化總投資的比例低于5%，39.6%被訪企業同樣投資比例在5%~10%之間，只有38.5%的企業信息安全方面的經費投入已經超過企業信息化總投資的10%。這一調查結果表明：河北中小企業安全意識淡薄，信息安全經費投入嚴重不足，低于國外20%~30%的投資比例。

二、對策與建議

通過課題組調查發現，網絡環境下河北中小企業的信息安全問題突出，主要表現在認識誤區、資金不足、技術薄弱和信息管理制度缺失等方面，要全面解決，必須從法律、技術和管理等幾個方面全盤考慮綜合治理。法律、技術和管理三者相輔相成，缺一不可，才能共同保證中小企業信息系統可靠安全運行。

1．法律法規層面加強政府支持力度和引導力度

僅僅靠中小企業自身搞信息安全防護是遠遠不夠的，在此過程中，政府的支持、鼓勵與引導是至關重要的。因此，政府應不斷完善信息安全相關法律法規的建設，加快網絡安全的基礎設施建設，加大打擊網絡犯罪的力度。同時，針對河北中小企業特點，當地政府應加大企業信息安全重要性的引導和宣傳，讓中小企業特別是企業的領導者，充分認識到企業信息安全的重大意義與作用，從而在日常企業決策中對企業信息安全建設投資有一定的傾斜，完善企業信息安全體系建設。從長遠發展角度和戰略高度來重視企業信息安全。

2．技術層面

設計實施多層次、多方位的網絡系統安全保護技術，以提高企業風險防范的技術水平。風險防范是一個復雜的系統工程，從技術角度，建議從以下幾個方面來實現：

（1）建立網絡身份認證體系。網絡環境下河北中小企業的各種商務活動，都需要對參與商務活動的各方進行身份的鑒別、認證，這就需要在企業內部建立網絡身份認證體系來證實各方的身份，以保證網絡環境下各交易方的經濟利益。

（2）配置高效的防火墻。在企業內部網與外聯網之間設置防火墻，從而實現內、外網的隔離與訪問控制，在他們之間形成一道有效的屏障，是保護企業內部網安全的最主要、最有效、最經濟的措施之一。

（3）定期實施重要信息的備份和恢復。企業要對核心的數據和應用程序進行實時和定期的備份工作。并把備份數據的副本存儲在光盤上，這樣就可以避免一旦發生安全事故關鍵的應用程序和數據丟失給中小企業帶來的巨大損失。

篇10

計算機和網絡通信相結合的信息技術，是促進當代社會信息化發展的主要力量，為社會上各行各業的發展創造了良好的環境。許多企業在經營與管理中已經引用現代信息技術，從而使經營與管理更為科學，工作效率更高，獲得的經濟效益也越多。然而現代信息技術是一把雙刃劍，信息化的程度越高，由它帶來的風險也越大。當前，企業的信息安全風險評估工作存在著一些問題，這些問題對企業的發展造成很多不利的影響。

一、企業信息安全風險概述

對企業來說，信息是維持企業正常運作的必要資源。企業的信息包括重要的數據、企業的發展規劃、保密性文件、知識產權等。這些信息一旦被泄露，那么企業將面臨著或大或小的經濟損失，更嚴重的還會使企業面臨破產的危險。所謂的企業信息安全就是指信息在其生命周期中，它的完整性、保密性和可用性這三個特性的保留情況。如果這三個特性都得到了保障，那么信息的安全性就高；如果其中的某個特性被破壞，那么信息的安全性就低。而信息安全風險就是指信息在特定的環境與特定的時間里可能遭遇的安全威脅。

信息安全風險可以分為可控性風險與不可控風險、可接受風險與不可接受風險、自然風險與人為風險等[1]，這些風險給企業的信息安全管理工作帶來了更多的不確定因素，加深了工作難度。

二、企業信息安全風險評估的現狀與問題

當前，我國企業的信息安全風險評估工作存在著許多問題，給企業的日常經營與管理帶來了許多不利的影響。

首先，企業沒有樹立正確的信息安全觀。很多企業的管理者在信息安全問題上會走向兩個極端，一種是認為只要加大信息建設的投入，信息就存在絕對安全的可能；另一種是忽視信息安全建設，信息安全風險意識淡薄。很多企業的管理層對信息資產的重要性認識不夠，因而他們在保護信息安全方面幾乎是無作為。

其次，企業在具體的信息安全風險評估工作中，表現出重安全技術而輕安全管理的思想與行為方式。這些企業在工作過程當中，不論是在心理還是在行為上都過分依賴安全技術，甚至認為只要安全技術過硬，信息安全就一定能夠得到保證，為此，企業普遍采用現代通信技術、計算機和網絡技術來構建企業信息安全系統。而在安全管理上，出現了管理措施不到位，員工在信息保密上不夠嚴肅等問題，造成信息安全技術做無用功。

此外，企業信息安全風險評估工作還存在著管理制度不夠完善、責任劃分不夠明確等問題。信息安全風險的評估工作需要收集各方面的大量的信息，如此才能增強評估的有效性。而企業由于管理制度不完善、職責劃分不明確等問題，造成各部門的工作不配合、不協調。信息技術部門被孤立，信息安全的風險評估工作也就不能得到及時有效的完成。

最后，我國有些企業在信息安全風險評估的技術與方法上落后于時代。現代信息系統越往后發展，結構就越復雜。這要求企業要根據不斷變化的信息技術來改進自己的風險管理理念和手段，同時也要吸收國際上的先進信息安全風險評估技術，保障自身的信息安全。

三、企業信息安全風險的控制

企業信息安全問題對企業來說是不應該被忽視的部分，企業應該在經營與管理的每個環節做好信息安全風險的控制工作，使企業的重要信息能夠得到充分的保護。企業信息安全風險的控制可以從風險分析、管理控制、技術控制三個方面來進行。

（一）風險分析

在進行信息安全風險控制之前，先對風險進行分析可以使風險控制工作更加具有針對性，能夠提高風險控制工作的效率。對風險的分析可以從信息資產面臨的威脅、存在的弱點等方面來進行[2]。在風險分析工作中，要明確以下幾點：首先是信息安全風險控制工作中需要保護哪些信息，這些信息具有什么樣的價值；信息資產面臨著哪些潛在的威脅，導致這些威脅產生的根源是什么，威脅發生的幾率有多大；信息資產中是否具有漏洞，這些漏洞是否會被人威脅利用；信息資產發生威脅之后，企業會面臨多大的損失；企業該采取什么樣的措施來應對風險帶來的損失，等等。

（二）管理控制

企業信息安全風險控制工作主要從組織管理、人員管理、政策實施等幾個方面來進行。首先，企業應該建立信息安全組織機構，吸收組織成員，協調企業內部的各項資源，制定信息安全控制的目標并通過組織成員履行職責來達到目標。其次，企業要培養素質高、責任心強、原則性強，能夠遵守企業政策的人員。企業信息安全風險的控制不僅與強大的技術力量有關，而且還有賴于執行人員對信息安全工作的支持與參與。此外，在政策實施上，企業要嚴格執行相關的信息安全保護政策，比如目前國際通用的《信息技術―信息安全管理實施細則》[1]，為企業執行信息安全保護工作提供一個統一的標準，從而使工作能夠有序地展開。

（三）技術控制

技術對信息安全控制的影響力是比較大的，它在很大程度上決定了信息安全風險的大小、范圍，同時它也決定了修補信息安全漏洞的方式和方法。因此，在技術方面對信息安全風險進行控制是非常有必要的。首先，技術構架的設計應該遵循系統性原則、技術先進性原則、可控性原則、適度性原則等，使技術能夠更好地服務于風險控制；其次，要做好安全域的信息安全保障工作，根據不同的安全域所面臨的不同風險來進行信息安全保護工作；最后，要提高信息安全保障技術。目前而言，我國的信息安全保障技術與國際上的相比明顯處于落后狀態，因此，企業要引進先進的技術力量，加強信息安全風險的控制力度。

四、結語

在這個信息化高度發展的社會，任何企業與個人在享受信息化帶來的便利的同時，也要承擔信息化帶來的風險。我國企業在激烈的市場競爭中，不可避免會遇到信息安全上的威脅。因此每個企業都應該做好信息安全的管控工作，認真、嚴肅地對待當前網絡環境下的企業信息安全問題。

參考文獻：

篇11

[中圖分類號]TM73；TP309 [文獻標識碼]A [文章編號]1673-0194（2016）16-00-02

1 我國電力企業的信息系統存在的問題

1.1 電力企業的信息安全意識比較差

信息化給企業帶來的各方面積極作用已經被人們熟知和認可，然而，信息技術的作用在被人們關注的同時，信息化安全方面的問題層出不窮。安全問題出現的原因主要是由電力企業基層員工的安全意識較差造成的。近幾年來，隨著信息安全事件的不斷出現，電力企業的管理者加大了對安全問題的重視，其安全意識不斷提高，但是電力企業的基層員工對于信息安全的重要性認識還不足，造成了企業的信息安全問題依然不斷出現。一方面，電力企業信息安全問題直接影響企業的管理，對于基礎員工的直接影響較小，因此，對于信息安全問題電力企業的管理者比較敏感，電力企業的基層員工的安全意識比較差。另一方面，電力企業的管理層雖然提高了對信息安全問題的重視，但是卻很少有企業制定切實可行的規章制度或者解決措施，更沒有把相關的規章制度有效的執行下去，落實到企業每個員工的身上，因此，電力企業的基層員工對于信息安全的認識不足，安全意識相對較差。

1.2 電力企業信息系統的技術性較差

信息技術隨著社會的進步在不斷的革新。因此電力企業的信息系統必須要隨著信息技術的進步不斷的變化，由此可知，電力企業的信息系統是動態的發展過程，因此，電力企業在應用全新的信息系統的過程中難免存在技術缺陷，這就為電力企業日常的經營與管理埋下了安全隱患，一旦出現安全問題，企業的重要信息資源可能被盜取，直接影響企業的經濟利益以及長期穩定的發展。例如：TCP/IP協議設計如果不夠全面、科學就會直接導致信息系統的軟件和硬件存在安全隱患，嚴重時會導致企業的軟件崩潰，企業的重要信息資源也將瞬間化為烏有，影響企業的日常管理，對于企業長期穩定的發展非常不利。

1.3 信息系統的管理水平相對較低

信息系統安全問題給電力企業帶來的危害是巨大的，這一點已經引起了電力企業管理層的高度重視，然而，目前電力企業的信息系統管理水平不是很高，企業管理中的漏洞給信息系統帶來了很多問題；部分管理人員在管理信息系統的過程中疏忽大意，增加了企業信息系統安全問題發生率；信息操作人員的操作程序不規范，一旦信息系統出現問題，企業的管理者不能第一時間知道是哪個程序出現了問題，從而不能及時解決信息安全問題，最終可能影響到企業的信息安全，給企業帶來巨大的損失。

1.4 電力企業信息系統集成性低

電力企業的業務部門相對較多，各個部門之間缺乏必要的溝通和有效的滲透，因此，企業信息系統的集成性較低。企業的信息系統中，各個部門的相關業務相互獨立，相互之間缺乏聯系，使得企業的信息系統中各個部門之間的數據信息存在很大的差距，各種信息的相關性不高，數據信息之間的聯系非常小，信息數據不能有效地銜接在一起。最終使企業信息化缺乏整體性，信息化應用的最終目的不能實現，電力企業及時信息化程度非常高，難以實現信息化給企業帶來的優勢。

2 加強電力信息安全運行維護與管理的措施

2.1 提高企業信息安全意識，不斷完善企業的安全管理制度

電力企業必須認識到應用信息技術的前提就是要保證企業信息的安全性，如果不能有效地保證企業信息的安全，那么電力企業應用信息技術的初衷將不能很好的實現。為了有效提高企業的安全意識，首先，電力企業的管理者人員應該加強對企業員工信息安全知識的教育，讓每個工作人員都能意識到信息安全的重要性，積極地為企業提高信息安全出謀劃策。其次，電力企業應該積極地學習西方先進的安全防范措施，根據自身的實際情況制定有效的措施。最后，電力企業應該制定完善的安全管理制度，合理保證企業信息的安全性。在制定安全管理制度的過程中一定要保證責任到人，一旦出現信息安全問題，電力企業能夠第一時間找到問題的所在，及時解決相關問題，同時還能追究直接責任人的相關責任，保證企業安全制度落實到實處。

2.2 提高信息系統技術水平

面對技術缺陷，電力企業應該積極的提高信息系統的技術水平，采取有效措施避免系統缺陷導致的安全問題。首先，電力企業應該設置有效的應急措施，一旦信息系統出現技術上的問題，必須要保證信息的完整性，防止不法分子利用技術缺陷來危害企業的信息系統。例如：企業可以安裝自動報警系統，一旦發現有人利用技術缺陷盜取企業的數據信息，第一時間報警，讓相關人員采取應急措施防止企業信息泄露。其次，電力企業應該不斷提升信息系統的技術水平，加強對信息技術的研究與探索，利用高級、精密、尖端的技術來規避企業信息系統中的技術缺陷，保證企業信息的安全。再次，電力企業要加強網絡防護技術在信息系統中的應用，安裝IDS以及IPS技術系統加強企業信息系統的網絡防護能力。最后，電力企業應該啟動安全審計系統，對企業信息系統進行嚴格的審計，一方面，企業能夠第一時間發現信息系統的問題，及時解決相關問題；另一方面，通過審計系統的分析，企業能夠全面了解信息系統的運行情況，幫助企業更好地查看信息系統的運行狀況。

2.3 提高信息管理的水平

電力企業的管理者在重視信息安全問題的同時，必須加強對信息的管理，提升企業的信息管理水平。制定嚴格的工作責任制，一旦發現信息安全問題，做到責任到人，防止管理人員由于麻痹大意而導致的信息安全問題。作為信息管理人員，如果自身的管理范圍內出現了信息安全問題，企業一定會追究其管理責任，這對于提高管理人員的警惕性，減少其麻痹大意的作用非常有效。電力企業對于信息系統的操作人員要進行定期培訓，強調信息操作標準的重要性，對于不嚴格按照信息操作標準操作的工作人員進行嚴厲處罰，情節嚴重的給予開除。另外，電力企業要加強對信息系統的維護，及時修復信息系統的漏洞，提高企業的信息管理水平。

2.4 提升電力企業信息系統的集成水平

信息系統的集成性是指企業在一定的技術指導下，能夠實現對企業各個部門的有效調配，從整體上掌握企業日常運行情況以及企業在日常管理中存在的問題，滿足客戶對于企業的不同需求，在提高企業管理水平的同時，實現企業的高速發展。電力企業針對目前集成水平低的問題，必須要引起高度重視，采取有效措施提高企業集成水平。首先，電力企業應該加強各個部門之間的溝通與聯系，保證企業各個部門數據信息的銜接度。其次，電力企業應該加強企業信息系統的一體化建設，站在企業的高度對企業中的財務系統、生產系統以及辦公系統進行統一的管理與應用，提升企業信息系統的集成水平。

3 結 語

電力是我國經濟發展的基礎。電力企業必須擁有足夠的安全意識，保證企業長期穩定的發展。我國電力企業采用信息技術來幫助企業更好的運營和管理是很有必要的，其出發點與落腳點都非常符合我國市場經濟發展的要求。然而，如果電力企業的安全防范不能及時地跟上企業信息技術的應用步伐，那么電力企業應用信息技術的目的不但不能實現，很可能會適得其反，使電力企業降低經濟效益。

篇12

1信息安全與信息安全管理

（1）信息安全的根本目的是保障企業內部信息不受任何因素的威脅，確保系統能夠連續可靠正常地運行，現代企業的信息安全是指企業為確保信息的保密性、真實性、完整性、未授權拷貝和所寄生系統的安全性不因偶然或惡意原因遭受破壞、更改和泄露而在計算機管理和技術上對數據處理系統進行的安全保護，保護企業的生產運營安全。（2）一般來說，存儲設備配置和信息安全管理中的漏洞、網絡環境和企業內部局域網潛在的危險是企業信息安全的主要隱患。結合企業實際特點和需要，構建企業信息安全管理體系，避免企業機密資料外泄，保護企業的生產運營安全是企業信息安全管理研究的重要課題。企業信息安全管理是企業為實現安全目標進行的信息安全風險相互協調活動，其目的在于通過制定信息安全政策、風險評估等系列工作盡量做到在有限的成本下保證資產的安全，維護信息的機密性、完整性和可用性。（3）隨著科學技術的不斷發展，云計算、大數據以及互聯網等將引領著未來IT的發展。企業想要實現發展，就要做好基礎性的工作，完善基礎設施建設，建立出完善的信息安全保障系統，在健康的網絡環境下來實現長遠的發展。企業想要實現長遠的發展，就要保證自身信息上的安全，同時還要認識到信息安全的重要性，從長遠的角度上出發來保護好信息。

2網絡環境下企業信息安全管理存在的問題

2.1計算機自身的不確定性

網絡時代，人人都可以成為信息的制造者、傳播者和接受者，但由于網絡的開放性、匿名性以及網民素質的良莠不齊，不僅導致網絡產生許多虛假信息、表述不明確信息，來混淆視聽。甚至誤導網民，引發，而且還為不法分子盜取企業信息提供了便利條件。加之，網絡資源的共享性為網絡系統安全的攻擊者提供了破壞企業信息安全的機會，給企業信息資源帶來大量的安全漏洞，給企業發展帶來不利的影響。

2.2安全軟件設計滯后

進入信息化時代，計算機在企業發展過程中扮演著極為重要的角色，而隨著計算機與互聯網技術的融合，網絡不僅為企業提供了極為豐富的信息資源，拓寬了企業獲取信息的渠道，而且還極大地提高了工作效率，提升了企業經濟效益和社會效益。但拓撲結構的設計和各種網絡設備的選擇容易感染病毒或被黑客侵略的問題，給企業信息安全帶來直接的安全隱患。而相關病毒查殺軟件都是為應對問題而設計的，也就是說，病毒查殺軟件是針對病毒研發的一種“見招拆招”的軟件，具有嚴重的滯后性。合理的安全軟件設計能夠為企業信息安全提供較好的保護，不合理的安全軟件設計則會成為企業信息安全的隱患。此外，由于安全軟件設計不合理或維護工作不完備，也極易造成病毒入侵、系統癱瘓等狀況，影響企業正常運轉。

2.3網絡操作系統的漏洞

隨著網絡技術的發展，作為網絡服務得以實現的載體，網絡操作系統不可避免地會存在一些漏洞，這些漏洞作為一種伴生性漏洞不僅一直存在，而且還為病毒的滋生和入侵提供了機會。不斷更新換代的網絡軟件在設計時考慮到便于軟件的擴展和維護，常會為編程人員設置后門，但網絡協議實現的復雜性使得操作系統的缺陷和漏洞成為網絡安全的硬傷，這些后門一旦被不法分子發現，會對企業信息安全造成很大的威脅。如黑客攻擊就是基于網絡操作系統漏洞而產生的一種難以防范的、人為惡意攻擊，對企業造成無法彌補的損失。

2.4人為因素造成的安全問題

隨著市場經濟體制的不斷完善，企業之間的競爭日趨激烈，很多企業只重視利益的發展，將全部精力集中于企業生產經營，并沒有認識到企業信息保護的重要性，造成企業信息在存儲過程中沒有適當的制約機制，造成企業信息安全保障系統存在漏洞和隱患。加之網絡作為一種新生事物，企業對信息安全管理投入不足，員工普遍安全意識缺乏，信息安全管理規章制度不完善，這不僅浪費了企業的網絡資源，而且還極易出現安全隱患和漏洞。

3網絡環境下企業信息安全管理建設的措施

3.1通過對目前的應用系統進行分析與評估等工作是實際

可行的辦法安全風險評估。因此,在實際中企業中的信息系統根據風險管理的方法來對可能存在的風險以及需要進行保護的信息進行分析，以風險評估為最終結果來選擇出適當的措施,應對好可能出現的風險。企業只有對安全風險進行有效的評估,才能夠結合實際問題進行科學合理的分析，采取有效的措施避免風險出現。

3.2要做好技術上的創新。對于網絡的正常運行來說，安全是最基礎的，想要保證網絡的安全，就要從多個層面上出發來進行立體保護。將監督檢查機制落實到實際中去。時代的發展是建立在創新基礎之上的，只有實現不斷的創新，才能實現更好的發展。因此，在技術不斷創新的影響下，就要提高其質量，保證效益，建立出以市場發展為基礎的創新機制。同時還要保證財力上的支持，實現技術的改進與創新。通過對各項制度的實際情況進行檢查，可以保證企業中信息的安全。想要保證信息的安全，就要制定出信息的搶救措施，如進行數據恢復、備份以及銷毀等安全預防措施。

3.3充分運用防火墻技術

在網絡信息安全的管理中，防火墻技術屬于一項較為有效的安全技術，能夠按照特定的規則，從而來允許以及限制數據的通過。防火墻能夠有效防止黑客訪問用戶的及其，以此來組織黑客拷貝篡改用戶的信息，以此來保證信息的安全。現今很多企業都廣泛應用防火墻技術，以此來保證自身企業的信息安全。并且防火墻自身具有很強的抗攻擊性，不會被病毒所控制。同時防火墻技術能夠將內部的網絡進行劃分，從而來將重點的網段進行隔離，以此來對其進行保護。

4結語

總之，想要保證企業中的信息安全，就要堅持從信息安全技術與做好內部管理工作上出發，企業網絡辦公不僅可以將各個部門緊密聯系在一起，工作溝通起來還可以更方便，極大地提高了工作效率，創造了更多的經濟效益。這是新時代、網絡時期給企業帶來的難得一遇的機會和福音。通過安全技術的支撐來提高內部管理工作的效果，同時還要落實管理與監控工作，加強信息安全教育，建立出完善的管理制度，提高安全管理的水平。還竭盡全力做好企業內部網絡的安全管理和防范對策，兩者結合、相輔相成，這樣一來企業的發展會更美好，更有希望。

作者:于倩 單位:淄博信息工程學校 淄博建筑工程學校

篇13

一、企業信息化建設過程中信息安全的問題

一般情況下能造成企業內部信息安全問題的原因分為外部原因和內部原因，可是不管是內部原因還是外部原因都會對企業的信息系統的安全帶來隱患。

1.1企業內部因素

第一個方面是企業的信息安全意識不強，雖然是現在有很多的企業加快企業內部信息化建設的進程，但是有些企業只是在表面上看到信息化建設所帶來的優勢，而信息化建設當中的安全問題并沒能夠引起企業的足夠重視，所以在信息化建設的過程中比較容易出現安全隱患。第二個方面就是我國的安全軟件還是比較落后，雖然國內計算機軟件技術在快速的反戰，可是與一些發達的國家相比還是存在一定距離，第三個方面在管理操作方面存在問題，現在有很多的企業對于自己企業內部的信息安全問題還存在不夠重視的問題，在企業信息系統的管理上不夠謹慎，這就會被不法分子和黑客進入的機會，造成了企業的主要信息被盜取。第四個方面缺少優秀的專業管理團隊，企業信息的系統安全是前期的制定和日常系統安全的維護以及日后都是由專業的人員來進行操作，所以相關的技術人員都必須具有很好的素養和賢能的技術，第五個方面法律法規的不全面?，F在我國與企業信息安全問題的法律法規不全面這就造成企業內部信息被盜取不能得到相關的賠償。

1.2企業外部因素

現在企業信息安全系統的威脅主要來自于外部的因素，隨著我國經濟社會的飛速變化，在競爭激烈情況下信息是非常重要的，大昂仁會有很多的不法分子會利用各種手段來盜取企業的信息為自身得到利益。還有些企業在于對手的競爭過程中使用不正當的手段來擊垮對手保證自己企業的利益。

二、企業信息化建設過程中的信息安全與對策

在我國社會經濟快速發展的今天，企業信息安全對于一個企業的發展是非常具有意義的，企業的信息被盜取和泄露會給企業帶來很大的損失，所以說企業對信息安全問題必須要有足夠的重視。有的企業已經做好了信息安全的必要工作就應該更加注意安全軟件并不是時時刻刻都能做好安全的保護，做好安全保護還要加強管理。

2.1確保正確的安全意識

一個企業在信息化發展的過程中，應該認識到企業信息的安全問題和企業發展相互的關聯。如果企業的重要內部信息被盜取或者泄露那么對于企業所造成的打擊是非常大的，而與此同時也是給了對手創造了很好機會。所以確保正確的安全信息意識對于一個企業來說是非常重要的，也是為了以后給企業的各項工作打下了很好基礎。

2.2選擇安全性能比較高的軟件

其實任何軟件都不是牢不可破的，可是對于安全性能比較高的軟件，如果說破解的話難度還是相當高的，所以企業選擇安全軟件的時候要選擇安全性能高的，不要為了節省一點企業的支出而選擇使用安全性能差的保護軟件，一旦出現問題所造成的企業損失價值會大于軟件的價格。

2.3加強企業網路管理

很大一部分的企業信息被盜取都是不法分子通過網絡進行的，所以說必須要對企業的網絡管理進行加強，這樣才能確保企業信息系統在安全的狀態的情況下運行。對于信息安全的種類和等級的高低來進行制定合理的方案，并且提前做出如果發生特殊情況下怎么進行處理的方案。如果說企業的信息安全發生危機的時候，企業應該快速的組建處理小組，針對信息安全危機的步驟處理并且做好危機處理的工作，還要避免出現由于處理不當而產生的各種情況。

三、結語

以上所述是企業信息化建設過程中所必需要面對的問題，一個企業的信息安全建設應該先從管理開始，必須做到以防范為主要，必需制定有效的安全防護把安全的風險降至最低。在現在經濟發展的快速時代，企業信息的安全問題決定著企業的安全運營。

參考文獻

[1]原黎.探析企業信息安全問題的成因及對策[J].現代工業經濟和信息化.2011(08)

[2]張耀輝.關于企業信息化建設中的信息安全探討[J].電子技術與軟件工程.2013(14)

[3]趙曉華,陳秀芹,周文艷,夏莉莉,李建忠.網絡環境下河北中小企業信息安全問題研究[J].科技資訊.2013(31)