企業信息安全規劃精選(五篇)

序言：作為思想的載體和知識的探索者，寫作是一種獨特的藝術，我們為您準備了不同風格的5篇企業信息安全規劃，期待它們能激發您的靈感。

篇1

【關鍵詞】信息系統；安全建設；防護體系

1.企業信息系統安全防護的價值

隨著企業信息化水平的提高，企業對于IT系統的依賴性也越來越高。一方面，“業務系統流程化”正在成為IT安全建設的驅動力。企業的新業務應用正在逐漸標準化和流程化，各種應用系統如ERP、MES為企業的生產效率的提高起到了關鍵的作用。有效的管控IT環境，確保IT業務系統的持續穩定運行作為企業競爭力的一部分，已成為IT系統安全防護的主要目標和關鍵驅動力。另一方面，企業IT安全的建設也是“法規遵從”的需要。IT系統作為企業財務應用系統的重要支撐，必須提供可靠的運行保障和數據正確性保證。

2.企業信息系統安全建設的現狀分析

在企業信息化建設的過程中，業務系統的建設一直是關注的重點，但是IT業務系統的安全保障方面，往往成為整個信息化最薄弱的環節，尤其是在信息化水平還較低的情況下，IT系統的安全建設缺乏統一的策略作為指導。歸結起來，企業在IT系統安全建設的過程中，存在以下幾方面的不足：

2.1 安全危機意識不足，制度和規范不健全

盡管知道IT安全事故后果比較嚴重，但是企業的高層領導心中仍然存在著僥幸心理，更多的時候把IT安全建設的預算挪用到其他的領域。企業在信息安全制度及信息安全緊急事件響應流程等方面缺乏完整的制度和規范保證，由此帶來的后果是諸如對網絡的任意使用，導致公司的機密文檔被擴散。同時在發生網絡安全問題的時候，也因為缺乏預先設置的各種應急防護措施，導致安全風險得不到有效控制。

2.2 應用系統和安全建設相分離，忽視數據安全存儲建設

在企業IT應用系統的建設時期，由于所屬的建設職能部門的不同，或者是因為投資預算的限制，導致在應用系統建設階段并沒有充分考慮到安全防護的需要，為后續的應用系統受到攻擊癱瘓埋下了隱患。數據安全的威脅表現在核心數據的丟失；各種自然災難、IT系統故障，也對數據安全帶來了巨大沖擊。遺憾的是很多企業在數據的安全存儲方面，并沒有意識到同城異地災難備份或遠程災難備份的重要性。

2.3 缺乏整體的安全防護體系，“簡單疊加、七國八制”

對于信息安全系統的建設，“頭痛醫頭、腳痛醫腳”的現象比較普遍。大多數企業仍然停留在出現一個安全事故后再去解決一個安全隱患的階段，缺乏對信息安全的全盤考慮和統一規劃，這樣的后果就是網絡上的設備五花八門，設備方案之間各自為戰，缺乏相互關聯，從而導致了多種問題。

3.企業信息系統安全建設規劃的原則

企業的信息化安全建設的目標是要保證業務系統的正常運轉從而為企業帶來價值，在設計高水平的安全防護體系時應該遵循以下幾個原則：

（1）統一規劃設計。信息安全建設，需要遵循“統一規劃、統一標準、統一設計、統一建設”的原則；應用系統的建設要和信息安全的防護要求統一考慮。

（2）架構先進，突出防護重點。要采用先進的架構，選擇成熟的主流產品和符合技術發展趨勢的產品；明確信息安全建設的重點，重點保護基礎網絡安全及關鍵應用系統的安全，對不同的安全威脅進行有針對性的方案建設。

（3）技術和管理并重，注重系統間的協同防護。“三分技術，七分管理”，合理劃分技術和管理的界面，從組織與流程、制度與人員、場地與環境、網絡與系統、數據與應用等多方面著手，在系統設計、建設和運維的多環節進行綜合協同防范。

（4）統一安全管理，考慮合規性要求。建設集中的安全管理平臺，統一處理各種安全事件，實現安全預警和及時響應；基于安全管理平臺，輸出各種合規性要求的報告，為企業的信息安全策略制定提供參考。

（5）高可靠、可擴展的建設原則。這是任何網絡安全建設的必備要求，是業務連續性的需要，是滿足企業發展擴容的需要。

4.企業信息系統安全建設的部署建議

以ISO27001等企業信息安全法規[1]遵從的原則為基礎，通過分析企業信息安全面臨的風險和前期的部署實踐，建立企業信息安全建設模型，如圖1所示。

圖1 企業信息系統安全建設模型

基于上述企業信息安全建設模型，在建設終端安全、網絡安全、應用安全、數據安全、統一安全管理和滿足法規遵從的全面安全防護體系時，需要重點關注以下幾個方面的部署建議：

4.1 實施終端安全，關注完整的用戶行為關聯分析

在企業關注的安全事件中，信息泄漏是屬于危害比較嚴重的行為。現階段由于企業對網絡的管控不嚴，員工可以通過很多方式實現信息外泄，常見的方式有通過桌面終端的存儲介質進行拷貝或是通過QQ/MSN等聊天工具將文件進行上傳等。針對這些高危的行為，企業在建設信息安全防護體系的時候，單純的進行桌面安全控制或者internet上網行為控制都不能完全杜絕這種行為。而在統一規劃實施的安全防護體系中，系統從用戶接入的那一時刻開始，就對用戶的桌面行為進行監控，同時配合internet上網行為審計設備，對該員工的上網行為進行監控和審計，真正做到從員工接入網絡開始的各種操作行為及上網行為都在嚴密的監控之中，提升企業的防護水平。

4.2 建設綜合的VPN接入平臺

無論是IPSec、L2TP，還是SSL VPN，都是企業在VPN建設過程中必然會遇到的需求。當前階段，總部與分支節點的接入方式有廣域網專線接入和通過internet接入兩種。使用VPN進行加密數據傳輸是通用的選擇。對于部分移動用戶接入，也可以考慮部署SSL VPN的接入方式[2]，在這種情況下，如何做好將多種VPN類型客戶的認證方式統一是需要重點考慮的問題。而統一接入認證的方式，如采用USBKEY等，甚至在設備采購時就可以預先要求設備商使用一臺設備同時支持這些需求。這將給管理員的日常維護帶來極大的方便，從而提升企業整體的VPN接入水平。

4.3 優化安全域的隔離和控制，實現L2～L7層的安全防護

在建設安全邊界防護控制過程中，面對企業的多個業務部門和分支機構，合理的安全域劃分將是關鍵。按照安全域的劃分原則，企業網絡包括內部園區網絡、Internet邊界、DMZ、數據中心、廣域網分支、網管中心等組成部分，各安全域之間的相互隔離和訪問策略是防止安全風險的重要環節。在多樣化安全域劃分的基礎上，深入分析各安全域內的業務單元，根據企業持續性運行的高低優先級以及面臨風險的嚴重程度，設定合適的域內安全防護策略及安全域之間的訪問控制策略，實現有針對性的安全防護。例如，選擇FW+IPS等設備進行深層次的安全防護，或者提供防垃圾郵件、Web訪問控制等解決方案進行應對，真正實現L2～L7層的安全防護。

4.4 強調網絡和安全方案之間的耦合聯動，實現網絡安全由被動防御到主動防御的轉變

統一規劃的技術方案，可以做到方案之間的有效關聯，實現設備之間的安全聯動。在實際部署過程中，在接入用戶側部署端點準入解決方案，實現客戶端點安全接入網絡。同時啟動安全聯動的特性，一旦安全設備檢測到內部網用戶正在對網絡的服務器進行攻擊，可以實現對攻擊者接入位置的有效定位，并采取類似關閉接入交換機端口的動作響應，真正實現從被動防御向主動防御的轉變。

4.5 實現統一的安全管理，體現對整個網安全事件的“可視、可控和可管”

統一建設的安全防護系統，還有一個最為重要的優勢，就是能實現對全網安全設備及安全事件的統一管理。面對各種安全設備發出來的大量的安全日志，單純靠管理員的人工操作是無能為力的，而不同廠商之間的安全日志可能還存在較大的差異，難以實現對全網安全事件的統一分析和報警管理。因此在規劃之初，就需要考慮到各種安全設備之間的日志格式的統一化，需要考慮設定相關安全策略以實現對日志的歸并分析并最終輸出各種合規性的報表，只有這樣才能做到對全網安全事件的統一可視、安全設備的統一批量配置下發，以及整網安全設備的防控策略的統一管理，最終實現安全運行中心管控平臺的建設。[3]

4.6 關注數據存儲安全，強調本地數據保護和遠程災難備份相結合

在整體數據安全防護策略中，可以采用本地數據保護和遠程災備相結合的方式。基于CDP的數據連續保護技術可以很好地解決數據本地安全防護的問題，與磁帶庫相比，它具有很多的技術優勢。在數據庫的配合下，通過連續數據快照功能實現了對重要數據的連續數據保護，用戶可以選擇在出現災難后恢復到前面保存過的任何時間點的狀態，同時支持對“漸變式災難”的保護和恢復。在建設異地的災備中心時，可以考慮從數據級災備和應用級災備兩個層面進行。生產中心和異地災備中心的網絡連接方式可以靈活選擇，即可采用光纖直連，也可采用足夠帶寬的IP網絡連接。在數據同步方式選擇上，生產中心和災備中心采用基于磁盤陣列的異步復制技術，實現數據的異地災備。異地災備中心還可以有選擇地部署部分關鍵應用服務器，以提供對關鍵業務的應用級接管能力，從而實現對數據安全的有效防護。

5.結束語

企業信息安全防護體系的建設是一個長期的持續的工作，不是一蹴而就的，就像現階段的信息安全威脅也在不斷的發展和更新，針對這些信息安全威脅的防護手段也需要逐步的更新并應用到企業的信息安全建設之中，這種動態的過程將使得企業的信息安全防護更有生命力和主動性，真正為企業的業務永續運行提供保障。

參考文獻

[1]李納.計算機系統安全與計算機網絡安全淺析[J].科技與企業，2013.

[2]李群，周相廣，陳剛.中國石油上游信息系統災難備份技術與實踐[J].信息技術與信息化，2010，06.

篇2

在進行信息安全總體架構規劃時，企業容易陷入兩個誤區: 一是羅列一堆產品和技術，把能夠看到的安全產品和安全技術（防火墻、防病毒、入侵監測、加密技術、VPN、終端準入控制）都堆砌起來，以為這樣就構成了全面的安全屏障; 二是把企業信息安全等同于網絡安全，給出的規劃也只能是局部的、殘缺不全的。

要做企業信息安全總體架構規劃，首先要了解企業的信息安全需求。拋開需求做規劃，難免會掉進前面所講的兩種誤區中。因此，做規劃要從需求入手。

企業信息安全總體架構規劃模型（圖1）以企業信息安全的需求（保密性、完整性、可用性）為出發點，以應用安全、數據安全、主機安全、網絡安全、桌面安全、物理安全為關注重點，層層剖析、全面挖掘企業的信息安全需求，是一種將管理、技術和人員三者有機結合的企業信息安全保障體系。該模型均衡考慮了企業在保密性（C）、完整性（I）和可用性（A）三方面的安全需求。

企業信息安全總體架構規劃模型雖然清晰地指出了規劃的要點、重點和思路，但是按照此模型還是不知道如何去做，具體實施應參照一定的方法論進行。企業信息安全總體架構規劃方法論（圖2）融合了以管理和技術為核心的全面分析方法，以安全需求為焦點，從管理現狀、技術現狀和人員狀況三個維度，綜合采用調查問卷、人員訪談、現場察看、資料分析、技術檢測等多種手段，全面深入地挖掘需求。在明確需求的前提下，借鑒同類企業成功經驗并均衡考慮CIA（保密性、完整性、可用性），規劃符合企業實情的信息安全保障體系。

在企業信息安全總體架構規劃方法論中，重點工作的描述如下:

調查問卷

針對企業情況，信息主管應參照ISO27001/ISO13335等標準，制定相應的調查問卷，通過它全面了解企業的安全要求、安全狀況、IT環境，以及企業信息系統的應用情況和已經采取的安全控制手段。

人員訪談

應選定關鍵領導和關鍵崗位，進行人員訪談，全面了解信息系統的安全需求，層層剖析、深入了解企業信息系統各層面的安全現狀，包括應用狀況、數據存儲及數據庫、主機及操作系統、網絡拓撲及網絡管理、數據中心及桌面管理等。

現場查看

為了確保獲取信息的全面性和準確性，實地考察是非常必要的。現場查看主要有兩方面。一方面是了解現有技術措施的情況，例如設備使用狀況、技術應用狀況等; 另一方面是物理環境察看，例如機房、辦公室、其他重要區域、門禁、監控等。

資料分析

收集企業的相關資料進行分析，重點包括信息系統的部署架構、網絡架構、安全制度、運維管理、IT運行報告和IT審計報告。

技術檢測

采取技術手段進行漏洞檢測和分析，包括滲透測試、漏洞掃描、本地檢查和手工檢查等。充分發掘網絡方面的漏洞、主機及操作系統漏洞、數據庫方面的漏洞、應用方面的漏洞等。

CIA均衡考慮

通過前面5種方法完成需求分析之后，CIO對信息安全的具體詳細的需求就了解了。然后針對企業的信息安全需求，均衡考慮CIA三個方面設計技術、管理和人員控制措施，并將這些措施有機結合構建信息安全保障體系。

篇3

關鍵詞：信息完全；技術；體系

一、前言

隨著金川集團公司跨國經營戰略的實施，企業信息化進程不斷深入，企業信息安全己經引起公司領導的的高度重視，但依然存在不少問題。調查結果表明，造成網絡安全事件發生的原因有很多，一是安全技術保障體系尚不完善，企業花了大量的金錢購買了信息安全設備，但是技術保障不成體系，達不到預想的目標;二是應急反應體系沒有經常化、制度化;三是企業信息安全的標準、制度建設滯后。其中，由于未修補或防范軟件漏洞導致發生安全事件的占安全事件總數的80%，登錄密碼過于簡單或未修改密碼導致發生安全事件的占19%。近年來，雖然使用單位對信息網絡安全管理工作的重視程度普遍提高，80%的被調查單位有專職或兼職的安全管理人員，但是，很多企業存在安全觀念薄弱、安全管理員缺乏培訓、安全經費投入不足和安全產品不能滿足要求等問題，也說明目前安全管理水平還比較低。因此現代企業迫切需要建立信息資源安全管理體系。

二、企業信息資源安全管理體系構建

1、企業信息安全組織管理

企業信息安全組織體系定義為一個三層的組織，組織架構如圖所示:

企業信息安全組織

l)總經理通過總經辦負責企業信息、安全的決策事項。2)總經理任命一名信息安全主管負責企業信息安全的風險管理，該主管領導一個有各個部門主要負責人參加的信息安全管理小組維護企業信息安全管理體系、管理企業信息安全風險。3)總經理任命一名信息安全審計師，負責企業信息安全活動的審計。4)行政部門、業務部門和分支機構執行信息安全管理體系中的相應安全政策，并在信息安全管理主管的領導下，實施風險管理計劃。各個部門負責人有義務向信息安全主管報告所管轄部門的信息安全狀況，信息安全主管應定期在組織范圍內和向上級機關報告企業信息安全狀況。

2、企業信息安全政策管理

根據企業信息安全風險分析的結果和信息安全政策制定的原則，設計信息安全政策體系包括以下幾點：（1）企業信息安全風險管理政策：a)信息安全風險定義，包括風險等級定義和安全類別定義;b)信息安全風險評估執行要求，包括時問周期要求、范圍要求、基于事件的風險評估要求:c)信息安全風險評估責任，包括信息安全管理人員責任和業務部門責任。（2）企業信息安全體系管理政策：a)管理體系的規劃，包括規劃的時機、規劃的內容、規劃的依據、規劃的責任人:b)管理體系的實施，包括、培訓、執行獎懲。c)管理體系的驗證，包括周期管理評審、安全審計、事件評審、殘留風險評估。d)管理體系的改進，包括分析和變更控制。（3）病毒抵御安全政策：a)操作程序一運行網絡管理人員日常工作的程序。這部分安全政策主要控制的風險是不規范的管理活動造成無效或低效的管理。b)關鍵資源監控一識別出關鍵設備并對關鍵設備的運行狀態進行監控。這部分安全政策主要控制的風險是關鍵資源異常情況不能被及時發現和處理。c)軟件系統維護一對軟件系統及時地升級和打補丁。這部分安全政策主要控制的風險是軟件系統未及時升級和/或打補丁而造成的信息故障或者安全事故。d)敏感資料存儲一對在業務進行過程中產生的敏感信息的存放管理。這部分安全政策主要控制的風險是由于對敏感資料存儲不當導致資料的丟失或泄漏。

3、企業信息安全事件管理

目前，沒有任何一種具有代表性的信息安全策略或防護措施可對信息、信息系統、服務或網絡提供絕對的保護。即使采取了防護措施，仍可能存在殘留的弱點，使得信息安全防護變得無效，從而導致信息安全事件發生，并對企業的業務運行直接或間接地產生負面影響。此外，以前未被認識到的威脅也將會不可避免地發生。企業如果對如何應對這些事件沒有作好充分準備，其任何實際響應的效率都會大打折扣，甚至還可能增加潛在的業務負面影響。因此，企業應著重做好信息安全事件管理工作。信息安全事件管理方案的必企業應著重做好信息安全事件管理工作。信息安全事件管理方案的必要過程包括：（1）發現和報告發生的信息安全事態，無論是由企業人員／顧客引起的還是自動發生的（如防火墻警報）。（2）收集有關信息安全事態的信息，由企業的運行支持組人員進行評估，確定該事態屬于信息安全事件還是發生了誤報。確認該事態是否屬于信息安全事件，如果是，則立即作出響應，同時啟動必要的法律取證分析、溝通活動。（3）進行評審以確定該信息安全事件是否處于控制下。（4）如果處于控制下，則啟動任何所需要的進一步的后續響應，以確保所有相關信息準備完畢，供事件解決后評審所用。（5）如果不在控制下，則采取“危機求助”活動并召集相關人員，如企業中負責業務連續性的管理者和工作組。（6）在整個階段按要求進行上報，以便進一步評估和決策。（7）確保所有相關人員，正確記錄所有活動以備后面分析所用。（8）確保對電子證據進行收集和安全保存，同時確保電子證據的安全保存得到持續監視，以備法律起訴或內部處罰所需。（9）確保包括信息安全事件追蹤和事件報告更新的變更控制制度得到維護，從而使得信息安全事態／事件數據庫保持最新。

4、企業信息安全技術管理

我們所構建的信息安全管理體系中，不能忽視技術的作用，雖然只使用技術控制不能保證一個信息安全環境，但是在通常情況下，它是信息安全項目的基礎部分。（1）密碼服務技術。密碼服務技術為密碼的有效應用提供技術支持。通常密碼服務系統由密碼芯片、密碼模塊、密碼機或軟件，以及密碼服務接口構成。通常，企業會涉及以下幾個方面的密碼應用：數字證書運算、密鑰加密運算、數據傳輸、數據儲存、數字簽名、數字信封。（2）故障恢復技術。故障恢復的主要措施有：群集配置，由多臺計算機組成群集結構，盡可能消除整個系統可能存在的單點故障；雙機熱備份，在任何一臺設備失效的情況下，按照預先定義的規則快速切換至相應的備份設備，維持業務的正常運行；故障恢復管理，由專門的集群軟件進行管理和監控，使應用系統在任何軟硬件組成單元發生故障時，能夠根據 故障情況重新分配任務。（3）惡意代碼防范技術：惡意代碼防范技術包括四大系統：病毒查殺系統、網關防毒系統、群件防毒系統、集中管理系統。（4）入侵檢測技術。入侵檢測系統是實現入侵檢測功能的一系列的軟件、硬件的組合。入侵檢測系統以實時方式監測網絡通信，對其進行分析并實時安全預警，從而使企業能夠有效管理內部人員和資源，并對外部攻擊進行早期預警和跟蹤，有效保障系統安全。基于主機的入侵檢測系統通常以系統日志、應用程序日志等審計記錄文件作為數據源。通過比較這些審計記錄文件與攻擊簽名是否匹配，如果匹配立即報警采取行動.基于網絡的入侵檢測系統把原始的網絡數據包作為數據源。它是利用網絡適配器來實時監視并分析通過網絡進行傳輸的所有通信業務。（5）掃描與分析技術。端口掃描工具能識別網絡上活動的計算機，同樣也可以識別這些計算機上的活動端口和服務。可以掃描特定類型的計算機、協議和資源，也可進行普遍掃描。漏洞掃描可以掃描網絡并得到非常詳細的信息。可以識別暴露的用戶名和組，顯示開放的網絡共享，并暴露配置問題和其他服務器漏洞。內容過濾器也能有效地保護機構系統，使其不受誤用和無意的拒絕服務。

5、企業信息安全培訓的必要性

公司目前很多崗位和部門的員工都從事涉密數據相關工作，有很多數據和信息涉及到公司的機密和知識產權，但是大多數員工信息安全意識差，在平時的工作中在意識上和實際工作中存在很多問題，導致涉密數據的外漏，給公司的生產經營造成不可挽回的損失。在有管理組織、政策制度和技術保障的情況下，通過對涉密數據相關工作人員的信息安全意識和信息安全操作培訓是非常必要的。

三、結語

總之，企業信息安全管理體系是一個企業日常經營和持續發展的基本保證，也是企業戰略和管理的重要環節。建立信息安全管理體系的目的就是降低信息風險對企業的危害。并將企業信息系統投資和商業利益最大化。信息安全不只是個技術問題，而更多的是商業、管理和法律問題。實現信息安全不僅僅需要采用技術措施，還需要更多地借助于技術以外的其他手段。

參考文獻：

篇4

關鍵詞： 企業信息系統；信息安全；安全策略

中圖分類號：F270.7 文獻標識碼：A 文章編號：1671－7597（2012）0220165－01

隨著市場經濟的不斷發展，企業競爭越來越激烈，國際化合作不斷增多，隨之而來的企業信息安全是目前我國企業普遍存在的問題。對企業來說，信息安全是一項艱巨的工作，關系到企業的發展。近年來，圍繞企業信息安全問題的話題不斷，企業信息安全事件也頻頻發生，如何保證企業信息的安全，保證信息系統的正常運轉，已經成為信息安全領域研究的新熱點。

1 企業信息安全的意義

信息安全是一個含義廣泛的名詞，是指防止信息財產被故意的或偶然的非授權泄露、更改、破壞，或防止信息被非法辨識、控制，即確保信息的保密性、可用性、完整性和可控性。企業的正常運轉，離不開信息資源的支撐。企業信息安全建設對企業的發展意義重大。

首先，信息安全是時展的需要。計算機網絡時代的發展，改變了傳統的商務運作模式，改變了企業的生產方式和思想觀念，極大推動了企業文化的發展。企業信息安全的建設將使得企業的管理水平與國際先進水平接軌，從而成長為企業向國際化發展與合作的有力支撐。

其次，信息安全是企業發展的需要。企業的信息化建設帶來了生產效率提高、成本降低、業務拓展等諸多好處。當前越來越多的企業信息和數據，都是以電子文檔的形式存在，對企業來說，信息安全是使企業信息不受威脅和侵害的保證，是企業發展的基本保障，所以，在積極防御，綜合防范的方針指導下，有效地防范和規避風險，建立起一套切實可行的長效防范機制，逐步建立起信息安全保障體系，有利于企業的發展。

最后，信息安全是企業穩定的必要前提。信息安全成為保障和促進企業穩定和信息化發展的重點，要充分認識信息安全工作的緊迫感和長期性，從企業的安全、經濟發展、企業穩定和保護企業利益的角度來思考問題，扎扎實實地做好基礎性工作和基礎設施建設，在建立信息安全保障體系的過程中，必須搞好鏈接信息安全保障體系建設安全、建設健康的網絡環境，關注信息戰略，保障和促進信息化的健康發展。

2 企業信息安全的現狀

我國企業信息安全包括計算機系統的硬、軟件及系統中的數據受到保護，不受偶然的或惡意的原因而遭到破壞、更改、泄露，使得系統連續、可靠、正常的運行，網絡服務不中斷。計算機和網絡技術具有復雜性和多樣性，使得企業信息安全成為一個需要持續更新和提高的領域。就目前來看，主要存在以下三個方面的隱患。

2.1 企業缺少信息安全管理制度

企業信息安全是一個比較新的領域，目前還缺少比較完善的法規，現有的法規，由于相關安全技術和手段還沒有成熟和標準化，法規也不能很好地被執行，安全標準和規范的缺少，導致無從制定合理的安全策略并確保此策略能被有效執行。企業的信息系統安全問題是一個系統工程，涉及到計算機技術和網絡技術以及管理等方方面面，同時，隨著信息系統的延伸和新興技術集成應用升級換代，它又是一個不斷發展的動態過程。因此對企業信息系統運行風險和安全需求應進行同期化的管理，不斷制定和調整安全策略，只有這樣，才能在享受企業信息系統便利高效的同時，把握住信息系統安全的大門。

2.2 員工缺少安全管理的責任心

一個企業的信息系統是企業全體人員參與的，不考慮全員參與的信息安全方案，恰恰忽視信息安全中最關鍵的因素――人，因為他們才是企業信息系統的提供者和使用者，他們是影響信息安全系統能否達到預期要求的決定因素。在眾多的攻擊行為和事件中，發生最多的安全事件是信息泄露事件。攻擊者主要來自企業內部，而不是來自企業外部的黑客等攻擊者，安全事件造成最大的經濟損失主要是內部人員有意或無意的信息泄露事件。針對內部員工的泄密行為，目前還沒有成熟的、全面的解決，對于來自企業信息內部信息泄密的安全問題，一直是整個信息安全保障體系的難點和弱點所在。

2.3 信息系統缺乏信息安全技術

計算機信息安全技術是一門由密碼應用技術、信息安全技術、數據災難與數據恢復技術、操作系統維護技術、局域網組網與維護技術、數據庫應用技術等組成的計算機綜合應用學科。由于認識能力和技術發展的局限性，在硬件和軟件設計過程中，難免留下技術缺陷，網絡硬件、軟件系統多數依靠進口，由此可造成企業信息安全的隱患，現在黑客的攻擊并不是為了破壞底層系統，而是為了入侵應用，竊取數據，帶有明顯的商業目的，許多黑客就是通過計算機操作系統的漏洞和后門程序進入企業信息系統。隨著網絡應用要求的越來越多，針對應用的攻擊也越來越多，除了在管理制度上確保信息安全外，還要在技術上確保信息安全。

3 企業信息安全中存在的問題

信息時代的到來，從根本上改變了企業經營形式，企業實施信息化為其帶來便利的同時也產生了巨大的信息安全風險。由于我國企業信息安全工作還處于起步階段，基礎薄弱，導致信息安全存在一些亟待解決的問題。比較常見的問題有病毒危害、“黑客”攻擊和網絡攻擊等，這些問題給企業造成直接的經濟損失，成為企業信息安全的最大威脅，使企業信息安全存在著風險因素。

3.1 病毒危害

計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者數據，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼，它是具有破壞作用的程序或指令集合。計算機病毒已經泛濫成災，幾乎無孔不入，據統計，計算機病毒的種類已經超過4萬多種，而且還在以每年40%的速度在遞增，隨著Internet技術的發展，病毒在企業信息系統中傳播的速度越來越快，其破壞性也越來越來越強。

3.2 “黑客”攻擊

“黑客”是英文Hacker的諧音，黑客是利用技術手段進入其權限以外的計算機系統的人。黑客破解或破壞某個程序、系統及網絡安全，或者破解某系統或網絡以提醒該系統所有者的系統安全漏洞的過程。通常采用后門程序、信息炸彈、拒絕服務、網絡監聽、密碼破解等手段侵入計算機系統，盜竊系統保密信息，進行信息破壞或占用系統資源，黑客攻擊已經成為近年來經常出現的問題。

3.3 網絡攻擊

網絡攻擊就是對網絡安全威脅的具體表現，利用網絡存在的漏洞和安全缺陷對系統和資源進行的攻擊。尤其是在最近幾年里，網絡攻擊技術和攻擊工具有了新的發展趨勢，使借助Internet運行業務的企業面臨著前所未有的風險。由此可知，企業的信息安全問題、以及對信息的安全管理都是至關重要的。要保證企業信息安全，就必須找出存在信息安全問題的根源，并具有良好的安全管理策略。

4 企業信息安全的解決方案

為確保企業信息安全，要堅持積極防御，綜合防范的方針，全面提高信息安全防護能力。因此，面對企業信息安全的現狀和企業信息安全發展中出現的問題，必須實施對企業的信息安全管理，建設信息安全管理體系，只有建立完善的安全管理制度，將信息安全管理自始至終貫徹落實于信息管理系統的方方面面，企業信息安全才能得以實現。企業信息安全的解決方案，具體表現在以下三個方面：

4.1 建立完善的安全管理體系

完整的企業信息系統安全管理體系首先要建立完善的組織體系，完成制定并信息安全管理規范和建立信息安全管理組織等工作，保障信息安全措施的落實以及信息安全體系自身的不斷完善。并建立一套信息安全規范，詳細說明各種信息安全策略。一個詳細的信息安全規劃可以減輕對于人的因素帶來的信息安全問題。最基本的企業安全管理過程包括：采用科學的企業信息資產評估和風險分析模型法、設計完備的信息系統動態安全模型、建立科學的可實施的安全策略，采取規范的安全防范措施、選用可靠穩定的安全產品等。安全防范體系的建立不是一勞永逸的，企業網絡信息自身的情況不斷變化，新的安全問題不斷涌現，必須根據暴露出的一些問題，進行更新，保證網絡安全防范體系的良性發展，

4.2 提高企業員工的安全意識

科技以人為本，在信息安全方面也是靠人來維護企業的利益，我們在企業信息網絡鞏固正面防護的時候不能忽視對人的行為規范和績效管理。企業員工信息安全意識的高低是一個企業信息安全體系是否能夠最終成功實施的決定性因素。企業應當制定企業人員信息安全行為規范，必須有專門管理人才，才能有效地實現企業安全、可靠、穩定運行，保證企業信息安全。教育培訓是培訓信息安全人才的重要手段，企業可以對所有相關人員進行經常性的安全培訓，強化技術人員對信息安全的重視，提升使用人員的安全觀念，有針對性的開展安全意識宣傳教育，逐步提高員工的安全意識，強調人的作用，使他們明確企業各級組織和人員的安全權限和責任，使他們的行為符合整個安全策略的要求。

4.3 不斷優化企業信息安全技術

企業一旦制定了一套詳細的安全規劃來武裝自己，保護其智力資產，它就開始投入到選擇采用正確信息安全技術上。可供企業選擇的防止信息安全漏洞的安全技術有很多。當企業選擇采用何種技術時，首先了解信息安全的三個領域是十分有幫助的，這三個領域變得：驗證與授權、預防和抵制、檢測和響應。其中，用戶驗證是確認用戶身份的一種方法，一旦系統確認了用戶身份，那么它就可以決定該用戶的訪問權限，比如使用用戶名和密碼。預防和抵抗技術是指企業阻止入侵者訪問。對于任何企業，必須對那些故障做好準備和預測，目前可以幫助預防和建設抵抗攻擊的技術主要有內容過濾、加密和防火墻，在選用防火墻的時候，需要對所安裝的防火墻做一些攻擊測試。此外，企業信息安全的最后一道屏障是探測和反應技術，最常見的探測和反應技術是殺毒軟件。

5 結語

總之，企業信息安全是一項復雜的系統工程，企業要適應現代化發展的需要，要提高自身信息安全意識，加強對信息安全風險防范意識的認識，重視安全策略的施行及安全教育，必須做到管理和技術并重，安全技術必須結合安全措施，并加強信息安全立法和執法的力度，建立備份和恢復機制， 為企業設計適合實際情況的安全解決方案，制定正確和采取適當的安全策略和安全機制，保證企業安全體系處于應有的健康狀態。

參考文獻：

[1]張帆，企業信息安全威脅分析與安全策略[J].網絡安全技術與應用，2007（5）.

[2]諶曉歡，企業信息安全問題及解決方案[J].企業技術開發，2008（8）.

[3]付沙，企業信息安全策略的研究與探討[J].商場現代化，2007（26）.

[4]姜樺、郭永利，企業信息安全策略研究[J].焦作大學學報，2009（1）.

篇5

【關鍵詞】企業信息化；信息安全問題；原因；對策

新時期下，信息化技術在各行業中運用日漸深入，給企業現代化建設與快速發展帶來了無限動力。企業信息化建設已成為我國經濟信息化建設能否成功的關鍵所在，也是提升企業自身市場競爭力與企業升級進步的重要保證和標志[1]。但是，企業信息化建設過程中不可避免的出現信息安全問題，給企業正常生產經營帶來諸多不利影響。因此，加強企業信息化建設中信息安全管理，已成為現代企業經營管理的一個至關重要的工作。

1企業信息化概述

所謂的企業信息化，指的是實現企業的資金流、物流、作業流、信息流的數字化、網絡化管理，實行企業運行的自動化和企業制度的現代化[2]。企業信息化建設涉及了企業生產經營中的各個部門，其主要利用現代化信息技術，通過完善企業內外網絡信息系統，實現對企業內外知識與信息資源的開發。可見，建設企業信息化體系，不但可以及時有效的提供各種數據信息給企業決策層，也為企業未來規劃設計提供參考依據，而且還有利于企業滿足瞬息萬變的市場需求，為企業市場核心競爭力的提升帶來動力。

2當前企業信息化建設中信息安全問題

企業信息化建設與發展為企業持續、健康、穩定發展發揮了顯著作用，但同時也存在著諸多信息安全問題，具體分析主要有以下幾方面[3]：（1）當前，絕大多數企業缺乏完善的安全防御系統，導致企業內部使用的信息系統易遭受外部網絡系統的攻擊，引發企業信息資料被他人截獲、篡改與偽造等問題，甚至企業信息系統中出現通信線路、硬盤設施以及其他文件系統遭惡意破壞現象，上述問題的發生不但致使企業信息系統無法正常運行，而且其內部機密信息易發生泄漏，造成企業嚴重的社會經濟損失。（2）針對郵件系統攻擊防不甚防。在企業信息系統中電子郵件具有重要的作用，通過電子郵件接收與傳送，極大的方便了企業內部間與外部間信息交流與溝通。然而，電子郵件安全問題也日益突出，典型的如電子郵件病毒、垃圾郵件、機密信息泄露以及電子郵件炸彈等，給企業信息傳輸帶來了巨大安全隱患。因此，電子郵件安全問題不可忽視。（3）漏洞攻擊日益嚴重。按照漏洞問題發生原因可分為軟件漏洞和協議漏洞兩種，其中軟件漏洞主要是受外部不法分子攻擊軟件自身存在的漏洞，造成企業信息泄露等問題；而協議漏洞則主要是由于TCP/IP協議自身在安全機制方面存在的諸多漏洞問題導致，外部不法人員通過攻擊TCP/IP協議漏洞，致使企業信息系統遭受破壞。目前情況，很多企業對自身信息系統缺乏成熟的漏洞檢測手段和能力，往往事發后才采取補救措施。（4）是Web服務安全問題突出，根據Web服務流程，其發生安全問題的主要組成包括Web服務端安全問題、瀏覽器客戶端安全問題兩種。其中，Web服務端安全問題主要是企業Web主機遭受外部不法分子侵入，導致企業保密信息遭竊或者企業部分信息遭受非法篡改等；瀏覽器客戶端安全問題則是企業瀏覽器客戶端遭外部非法分子侵入，致使部分機密信息與數據遭竊等。

3導致企業信息化建設中信息安全問題因素

企業信息化建設中信息安全問題發生受諸多因素影響，具體分析主要有以下幾方面[4]：（1）目前，絕大多數企業在信息化建設過程中，對于信息安全問題重視度嚴重不足。一方面，受傳統經營觀念影響，企業管理層偏重于對企業生產經營中的有形資產給予關注與重視，而忽略了企業知識與信息資料等無形資源，導致在企業信息安全管理方面各項投入嚴重不足，進而造成信息安全問題日益凸顯；另一方面，多數企業在面對信息安全問題時，存在著盲目樂觀現象，認為信息安全問題不至于導致企業正常生產經營，使得信息安全管理無法上升至企業發展規劃戰略之中，進而造成信息安全問題得不到及時有效解決。（2）由于企業信息化建設在我國尚處于起步階段，各方面配套管理制度不夠完善，特別是缺乏健全的企業信息安全管理體制。受此影響，企業信息化建設中信息安全問題一方面無法得到有效的預防措施，另一方面是一旦發生信息安全問題，無法采取及時有效的補救與解決對策。同時，由于缺乏科學、合理、有效的企業信息安全防護策略，使得企業信息管理人員缺乏必要的安全防護意識與業務素質能力，致使企業信息安全防護軟硬件工作質量與效率明顯不足。上述兩個因素，導致企業無論是從人員配置，還是資金與技術投入方面都嚴重不足，受企業信息管理人員業務素質能力不足、信息安全技術方法落后以及配套的資金缺乏等影響，企業信息安全防護的措施、手段偏低，造成企業信息化建設存在著嚴重安全隱患。

4提升企業信息化建設中信息安全對策

針對當前企業信息化建設中存在的信息安全問題，為加強企業信息安全管理，提升企業信息安全保障，可通過采取以下幾方面對策，具體有[5]：（1）轉變傳統企業信息化建設觀念，在企業內部管理層從上至下加強對企業信息安全的重視，并樹立正確的安全意識。一方面，通過組織各種信息安全管理培訓等，增強全體企業員工信息安全意識，確保企業保密信息不外漏；另一方面，逐步加大企業信息化建設中信息安全管理各項資金、技術、人力投入，并建立科學、合理、有效的企業信息安全防護策略，保障企業信息系統安全穩定。（2）不斷的推進網絡信息技術的發展與運用，促進企業組織結構網絡化的實現，同時引進先進的安全防護技術，確保企業信息化系統安全穩定運行。任何網絡信息系統都存在著或大或小的安全漏洞問題，而保證其不受外部不法分子侵入的一個關鍵方法就是安全防護技術的運用。通過選用先進的安全防護技術，可以有效的提高企業信息系統抵抗外來攻擊，避免企業信息遭受竊取、篡改甚至破壞等，對于保障企業持續、健康、穩定發展具有顯著作用。（3）結合企業信息化建設實際情況，建立健全企業內部信息系統管理體制。一方面，針對信息安全問題，應建立科學、合理、規范的信息安全管理體制，保證企業信息系統安全運行；另一方面，建立健全企業安全風險評估機制，針對不同系統找出影響其安全的因素和漏洞，并制定出最佳的對策，降低企業信息安全風險；此外，加強相應的網絡管理，防止外來不法分子通過網絡侵入企業信息系統。（4）根據新時期企業信息化建設需要，加強企業信息技術人才、信息管理人才隊伍建設，為企業信息安全管理奠定堅實的人才基礎。一方面，在企業內部，加強信息技術人才培訓，提高企業內部相關人才業務素質能力；另一方面，在企業外部，采取有效措施，積極招聘人才，引進具有先進信息技術型人才；此外，建立健全企業信息安全管理用人機制，激發員工工作積極性，提高工作質量與效率。

5小結

總而言之，企業信息安全事關企業信息化建設是否成功，對于企業持續、健康、穩定發展具有至關重要的作用。因此，應提高企業信息安全管理意識，增強企業信息安全管理機制，促進企業信息安全管理工作質量與效率，保障企業信息化建設順利開展。

作者:吳捷 單位:中海石油氣電集團有限責任公司

參考文獻

[1]毛志勇.企業信息化建設的信息安全形勢與對策研究[J].科技與產業，2008，8，（1）：43~45.

[2]纂振法，徐福緣.淺析企業信息化建設的意義、問題與對策[J].吉林省經濟管理干部學院學報，2001，3：24~28.

[3]謝志宏.企業信息化建設中的信息安全問題研究[J].企業導報，2014（06）：132~133.