企业信息安全管控精选(五篇)

序言：作为思想的载体和知识的探索者，写作是一种独特的艺术，我们为您准备了不同风格的5篇企业信息安全管控，期待它们能激发您的灵感。

篇1

信息安全准则是风险评估和制定最优解决方案的关键，优秀的信息安全准则包括：根据企业业务目标执行风险管理；有组织的确定员工角色和责任；对用户和数据实行最小化权限管理；在应用和系统的计划和开发过程中就考虑安全防护的问题；在应用中实施逐层防护；建立高度集成的安全防护框架；将监控、审计和快速反应结合为一体。良好信息安全准则可以让企业内外部用户了解企业信息安全理念，从而让企业信息管理部门更好地对风险进行管控。

2企业信息安全管理的主要手段

2.1网络安全

（1）保证安全的外部人员连接。在日常工作中，外部合作伙伴经常会提出联入企业内网的需求，由于这些联入内网的外部人员及其终端并不符合企业的信息安全标准，因此存在信息安全隐患。控制此类风险的手段主要有：对用户账户使用硬件KEY等强验证手段；全面管控外部单位的网络接入等。

（2）远程接入控制。随着VPN技术的不断发展，远程接入的风险已降低到企业的可控范围，而近年来移动办公的兴起更是推动了远程接入技术的发展。企业采用USBKEY，动态口令牌等硬件认证方式的远程接入要更加的安全。

（3）网络划分。在过去，企业内部以开放式的网络为主。随着网络和互联网信息技术的成熟，非受控终端给企业内网带来的安全压力越来越大。这些不受信任的终端为攻击者提供了访问企业网络的路径。信息管理部门可以利用IPSec技术有效提高企业网络安全，实现对位于公司防火墙内部终端的完全管控。

（4）网络入侵检测系统。网络入侵检测系统作为防火墙的补充，主要用于监控网络传输，在检测到可疑传输行为时报警。作为企业信息安全架构的必备设备，入侵检测系统能有效防控企业外部的恶意攻击行为，随着信息技术的发展，各大安全厂商如赛门铁克，思科等均研发出来成熟的入侵检测系统产品。

（5）无线网络安全。无线网络现在已遍布企业的办公区域，给企业和用户带来便利的同时也存在信息安全的隐患。要保证企业内部无线网络的安全，信息管理部门需要使用更新更安全的协议（如无线保护接入WPA或WPA2）；使用VLAN划分和域提供互相隔离的无线网络；利用802.1x和EAP技术加强对无线网络的访问控制。

2.2访问控制

（1）密码策略。高强度的密码需要几年时间来破解，而脆弱的密码在一分钟内就可以被破解。提高企业用户的密码强度是访问控制的必要手段。为避免弱密码可能对公司造成的危害，企业必须制定密码策略并利用技术手段保证执行。

（2）用户权限管理。企业的员工从进入公司到离职是一个完整的生命周期，要便捷有效地在这个生命周期中对员工的权限进行管理，需要企业具有完善的身份管理平台，从而实现授权流程的自动化，并实现企业内应用的单点登陆。

（3）公钥系统。公钥系统是访问控制乃至信息安全架构的核心模块，无线网络访问授权，VPN接入，文件加密系统等均可以通过公钥系统提升安全水平，因此企业应当部署PKI/CA系统。

2.3监控与审计

（1）病毒扫描与补丁管理。企业需要统一的防病毒系统和终端管理系统，在终端定期更新病毒定义，进行病毒自扫描，自动更新操作系统补丁，以减少桌面终端的安全风险。此类管控手段通常需要在用户的终端上安装客户端，或对终端进行定制，在终端接入企业内网时，终端管理系统会在隔离区域对该终端进行综合评估打分，通过评估后方能接入内网。才能保证系统的安全策略被有效执行。

（2）恶意软件防控。主流的恶意软件防控体系主要由五部分构成：防病毒系统；内容过滤网关；邮件过滤网关；恶意网页过滤网关和入侵检测软件。

（3）安全事件记录和审计。企业应当配置日志审计系统，收集信息安全事件，产生审计记录，根据记录进行安全事件分析，并采取相应的处理措施。

2.4培训与宣传提高企业管理层和员工的信息安全意识，是信息安全管理工作的基础。了解信息安全的必要性，管理层才会支持信息安全管理建设，用户才会配合信息管理部门工作。利用定期培训，宣传海报，邮件等方式定期反复对企业用户进行信息安全培训和宣传，能有效提高企业信息安全管理水平。

3总结

篇2

【关键词】电力企业；信息安全；桌面管控技术

引言

随着信息技术的发展，信息系统的深入应用，信息安全成为国家电力企业信息化的重要工作内容。由于桌面终端和用户的数量多，从而容易带来信息安全隐患，致使信息管理部门难以开展工作。近几年，多数电力企业制定了对桌面的管理制度，统一了桌面终端管理系统。但是，如何将管理制度落实到实际工作中并将现有的技术应用到桌面信息安全管理，还需要不断的深入研究与实践。

1桌面终端信息安全管理现状

近几年，我国电力企业提出了信息安全的八不准和五禁止，由于电力企业提出上述措施，有利于各企业桌面终端系统信息安全工作的顺利开展，大力推广了桌面终端管理系统的应用，对非法接入外网实施了有效的监控，提升了对移动储存介质的管理。但根据桌面终端管理系统的相关数据显示，还没有达到对信息安全的要求，仍然存在很多问题，致使信息管理部门的工作难以开展[1]。因此必须要立足于桌面管控技术全面的提升电力企业信息安全水平，从而有效的保障电力企业的信息安全。

2桌面终端存在的问题

目前，桌面终端主要存在以下几个方面的问题：①接入外网时计算机感染病毒，特别是由于移动储存介质最容易感染，而且传播的速度极快；②部分员工利用电子邮件办公时，电子邮件里会出现一些敏感字体；③非法接入外网现象始终存在，桌面终端的口令设置较弱；④桌面终端补丁更新率、桌面终端注册率和杀毒软件安装率较低，没有达到企业的标准。致使以上问题出现的原因有：①对信息安全的管理力度不够，没有将其归入对信息管理部门工作人员的考核中，没有将现有的桌面管控技术手段深入应用；②对信息安全管理的要求较为分散，没有统一的管理标准，虽然通过各种方式开展宣传，但是仅对信息管理部门的工作人员有用，其他部门员工对信息安全的认知度不够[2]；③部分员工信息安全意识淡薄，没有将信息安全管理的要求落实到实际工作中，认为信息安全可有可无，存在无所谓的心理。

3桌面管理及提升技术的措施

3.1桌面管理措施

3.1.1计算机安装流程标准化电力企业中，所有新购买的计算机统一由信息管理部门安装杀毒软件和操作系统。修补系统中存在的漏洞，注册桌面系统的新端口，初始开机口令的设置要符合国家统一的标准。只有完成以上流程，才能下发给网络用户并接入网络，严格把控好信息设备的安全性，从根源上消除桌面信息安全隐患。3.1.2完善管理制度企业应制定统一的管理制度，落实好信息管理部门的工作内容，其工作内容包括：信息设备的损坏修理、安装、领用、验收及信息的来源。由于笔记本计算机容易感染其他网络端口的病毒，出现重装系统的问题，致使管理人员不易管理，对此不允许接入其他网络，从制度的根本上确保企业内所有的联网端口都是由信息管理部门负责。除此之外，统一订购带有企业标志的移动储存介质，工作人员在领用时必须签字，待离职时交还信息管理部门。3.1.3提高工作人员信息安全意识由于工作人员的信息安全意识淡薄，不了解企业对信息安全的要求，还没有掌握信息安全的技术，这些都成为信息潜在的安全隐患，对此，加大对员工信息安全意识的培训力度显得至关重要。工作人员的信息安全意识应从第一天入职的时候就加以重视，培训人员要全方面的开展对新入职员工的培训，包括：技术手段、管理制度、信息安全意识、对信息保密等。培训之后，可以实施对信息安全有关知识和技术手段的考核[3]。除此之外，给员工配备计算机时，要给员工讲解使用的要求及注意事项，且让其签字。通过信息安全培训，使工作人员掌握桌面管控的相关知识和信息安全知识，提高了工作人员的信息安全技术水平和职业素养及其安全意识，给信息安全提供了强有力的技术支撑。3.1.4强化外网终端接入流程管理各地区电力企业的外网桌面终端接入要严格遵守内网终端接入的标准流程，电力企业外网终端接入需要由企业管理人员向协同办公系统签报流程提报申请，经外网管理部门领导审批后转发信通分公司，再由企业的网控室调整终端准入账号、分配IP地址，并根据各企业的具体情况派发终端，由运维人员将符合入网条件的外网终端入网并进行安装调试，再由网控室进行检查，确定是否达到入网的标准，如果没有达到标准要及时修改，值班人员需进行回访，将工作单及时归档[4]。具体的申请流程详见图1。

3.2提升桌面管理技术的措施

3.2.1定期检查、维护信息安全使用扫描设备对企业整个网络系统进行扫描，对出现的问题及漏洞及时解决，一旦发现有桌面终端不符合基线要求，可以通过北信源程序下发符合基线要求的方法，保证桌面终端达到基线的要求。信息管理部门的工作人员要定期检查桌面终端及控制系统的各项数据，出现异常要及时解决，逐步提升信息安全水平。3.2.2加固桌面终端由信息管理部门统一分配终端，完成对使用软件和操作系统的安装，并对桌面终端进行加固。接入网络时，严格按照企业制定的桌面管理系统和准入要求执行，安装必要的杀毒软件及办公软件。对于没有注册和没有安装杀毒软件的设备采取强制下线措施，对带有敏感字的文档给予提醒，以此保证杀毒软件的安装率和桌面终端的注册率。内、外网的桌面终端在接入后，需由信息管理部门工作人员绑定接入交换机，将没有使用到的端口关闭，预防其他用户非法侵入[5]。3.2.3使用桌面终端系统的监控功能除了可以使用桌面终端管理系统的非法接入外网、警告口令设置低、杀毒软件的安装率和桌面终端的注册率之外，该系统中还有控制的功能，可以通过控制功能，杜绝桌面终端用户的不安全行为。例如通过硬件资源管理中的控制系统，在特定的区域内禁止使用蓝牙设备与红外线设备。有利于防范终端用户使用信息内网接连计算机，有效解决了违规接入外网。3.2.4使用北信源系统在北信源系统（见图2）中可以采用硬件设备控制，通过设备控制禁止使用蓝牙设备和红外线设备；采用进程监控功能，防止无线网卡设备的侵入；设置防火墙，只允许桌面终端访问企业内部网址；将IP与MAC绑定，严禁使用用冗余网卡，防止修改IP与网关，以防发生违规外联事件；实施文件动态监控、文件内容检查和终端检查，确保敏感信息检查执行率及保密检测系统安装率指标水平。

4结语

21世纪以来，传统的桌面终端管理模式已经无法适应社会的需求，不能安全有效地管控桌面终端。通过企业制定的桌面管理制度和桌面终端管理系统，提升了桌面管控技术，使桌面终端的工作流程规范化，在提升信息安全的同时，也提高了工作人员的桌面安全管理意识。在电力企业中采用桌面管控技术来提升信息安全，还需要不断地实践与探索，只有坚持不懈，才能使企业保持信息安全，走可持续发展道路。

参考文献:

[1]姚玮.电力企业信息安全全生命周期管控[J].电力信息与通信技术，2015（08）.

[2]马之力，张驯，崔阿军，袁晖.电网企业网络准入体系设计与应用[J].电力信息与通信技术，2015（05）.

[3]陶明峰，刘志刚，徐胜朋，邢艺欣，袭建学.市县级电力公司网络一体化管理设计与研究[J].电力信息与通信技术，2015（05）.

[4]吴石松，刘晔.电力企业桌面终端安全管理应用研究[J].现代计算机（专业版），2013（36）.

篇3

关键词：企业内部控制；信息化；安全管理

随着信息化技术的发展，企业信息化工具扩展度越来越高，扩展面越来越广，大大提升了企业运营及管理的便捷性，企业依赖系统大数据的信息处理和分析来提升效率，信息化技术应用为企业创造了不可替代的价值。企业财务系统、资源管理系统、办公系统等形成企业信息化综合平台，随着信息数据的大量输入、输出、交换、应用，信息处理的便捷使企业信息化安全工作越来越重要。任何信息安全方面缺失或弱化都可能造成工作的中止、信息的丢失或泄露，使企业产生影响或经济损失，以信息化平台为重要工作工具的单位，影响更加重大。4G时代的到来，为企业信息走向移动化铺好了平台，也为企业信息安全管理提出了新一步要求。

我国的《企业内部控制基本规范》中提到信息化安全管理问题，该规范第四十一条指出：“企业应当利用信息技术促进信息的集成与共享，充分发挥信息技术在信息沟通中的作用。企业应当加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制，保证信息系统安全稳定运行。”所以信息化安全管理应为现代企业内部控制管理重要内容，如何优化信息化管理，提升信息化安全，成为需要思考的问题。

一、信息化安全管理分析

企业信息化安全管理包括物理安全管理、网络安全管理、系统安全管理、应用安全管理等，内部控制的实施有助于预防信息化管理下企业信息数据尤其是财务数据丢失的风险，降低借助信息系统舞弊的可能性，保证企业各项经营活动有效运行。企业应通过企业信息化安全工作分析，定期进行信息化安全工作检查，落实信息化安全内部控制管理。

（一）物理安全内部控制管理

1.硬件安全

信息化处理以电脑、服务器、存储设备、网络设备、安全设备作为硬件设备，电脑等信息终端设备不完善或故障会影响办公；服务设备如服务器、存储设备的损坏，会直接造成数据的丢失和数据处理的中断；网络设备如路由器、交换机的损坏，会让系统停止。没有安全设备或安全设备不工作会让系统受外界所攻击或盗取重要信息。企业信息化安全管理应对硬件安全有应急预案，增加必要的备用设备，如服务器、路由器、交换机等，设备一旦损坏，备用设备马上进入工作状态，使业务不中止或恢复时间短。设备应支持双路电源供电，对于有可能的停电，企业应准备和启用备用电源。

2.信息设备环境安全

环境安全包含防火、防盗、温度、湿度、洁净度等环境安全，只有安全的信息设备环境才能保障信息设备正常、高效工作，防范设备灭失或信息损失。对于一个大型或中型企业应专门建设符合上述环境要素的机房，服务器等设备应放在机房，因机器不间断运转造成温度较高，应配备精密空调等制冷设备，确保温湿度得到精确控制，服务器的放置空间要合理，保持空气的流通并符合设备散热需求。机房配置消防报警装置、气体灭火装置，以应对突发火灾事件。机房重地应有门禁管理，确保防盗和人为破坏的发生，信息化管理人员应就机房建设及日常管理进行检查。

另外移动办公设备（笔记本电脑、平板电脑、手机）的广泛使用使设备不安全性增加，云技术、云方案不断推新应用，使移动办公增加，企业应对于移动办公设备丢失制订预案，对重要移动设备做防盗防丢失部署，以使设备被盗或丢失时由信息管理员实施远程锁定，阻止非法入侵或直接销毁设备中的数据。

3.数据安全

数据的安全分为数据保护、数据保密和数据恢复。存储设备是数据的载体，也是实施信息化企业的生命，数据丢失可以是致命的，一个安全稳定的存储设备对数据保护至关重要。重要数据应以加密存储，存储介质废弃时的完全抹除是数据保密应注意事项，可使用硬件自加密硬盘简化数据保密过程。而存储备份和恢复方案的实施是数据安全的最后一道防线，可以在事件发生后数据得以恢复。企业应及时做好数据备份、异地备份，防范火灾、地震等不可预知事项带来的数据灭失。企业应做出数据恢复预案并进行演习以应对可能的数据安全事故。

（二）网络安全与信息传输安全内部控制管理

网络提供了便捷的信息传递、快速的信息查询，实现多人多组织的便捷工作，但也带来网络风险。企业首先应做好网络访问控制，最主要的措施是建立有效的防火墙，应检查企业网络设备是否安装了有效的防火墙，防火墙的版本是否能及时最新，是否安排专门人员定期通过收集分析网络行为、安全日志等进行入侵检测，检查访问控制权限审批授予是否得当，是否对不适当的人做访问权限的撤销管理。

终端用户操作不当，如违规安装软件或互联网资讯点击可能使病毒侵入网络，故企业防止内部局域网风险，需规范终端用户操作，对网上下载文件有必要要求及管理。针对承载保密信息的电脑，企业应专机专用并禁止与外网进行连接。对于有特殊安全需求的部门可部署桌面云方案，将数据和操作安全策略放置到服务器上统一管理。企业可通过部署网络防病毒软件并实时更新保证各终端使用相同的安全策略，避免个体不正确的安全习惯，保证定期进行病毒和恶意软件的查杀和清除，保障系统不因病毒侵入而崩溃，是信息化安全内控管理的有效手段。

运营商的线路故障，可能造成整个网络信息沟通中断，虽然几率较少，但对于以信息化工具为重要手段的单位影响会很大；为防止外部网络中断，检查评估是否需要选择两家运营商，保证信息传输的正常。

（三）系统安全内部控制管理

软件是信息化实现的载体，所有信息都是基于软件进行输入、输出、运算、分析和应用的。

软件安全成为一个越来越不容忽视的问题，软件漏洞会造成信息丢失、信息泄露。软件病毒会造成系统崩溃、信息错误。提升软件安全性，是企业信息化建设的重要环节。

企业的软件安全管理应检查是否使用可靠的系统操作平台软件，比如：Windows、Linux；是否安装有效的防病毒软件并及时更新，比如：卡巴斯基、诺顿等；是否选择安全保障高的信息化应用系统软件，比如：SAP、Oracle、金蝶、用友软件等；信息化软件是否有稳定后期保障服务。完善的软件是信息化数据安全和信息化功能应用的保证。

（四）应用安全内部控制管理

1.系统平台应用内部控制管理

企业信息化最主要应用是使用系统平成会计信息自动化处理与分析、实现业务流程记录与信息传递。企业应做到信息化平台统筹规划，使财务信息化和业务流程信息化充分结合，提高信息处理效率及信息管控力度，将企业的管理思想有效置入信息化流程使信息化平台成为企业内部控制管理的有效工具和手段。

企业信息化系统平台应用工作包括系统上线实施建设和系统日常运维管理，都有内部控制风险点管理。系统上线实施建设为系统平台应用的基础，对企业信息化应用起到关键作用。对于信息化应用程度深的企业，若实施不成功会给企业带来经济损失乃至巨大风险，为内部控制管理重大风险点，应予以高度重视。企业应制定详细的工作计划及实施方案，优化系统流程，制定编码规则，项目经理应实施有效的进度管理以保证系统上线成功，系统上线后应对项目进行验收，对应用中发现问题予以改善。系统日常运维管理（包括变更管理）是信息化有效稳定运行的保证，企业应制定管理制度进行规范化管理，信息化管理人员做好工作表单记录，通过检查表单记录评估信息化工作开展是否得当。

系统平台应用离不开系统流程与系统授权管理，只有信息化系统操作流程及权限设置合适，内部控制管理工作才能有效开展，风险得到即时控制。系统流程管理要求系统流程与企业管理流程文件相符；系统流程设置应合理有效，以企业增值及反应速度为原则，在实现内部控制基础上尽量做到流程简化，体现内部控制管理的全面性、重要性、制衡性、适应性和成本效益性。授权管理为企业内部控制管理关键点，如何做好系统授权？首先，授权人适岗，要求系统授权人或批准人对公司流程掌握，对内部控制管理有清醒的认识，对不相容岗位分离有清楚的把握，保证授权批准人与执行人分离，业务执行人与审核人分离，执行人和记录人分离，物资保管人与记录人分离，执行业务人与物资保管人分离；其次，配备必要的授权审核人员，授权审核人员可以是企业内控管理人员也可以是企业制度制订及管理人员，在系统流程制订时对授权设置进行审核，定期开展授权审计，以发现授权中问题，及时更正；再次，授权管理包括授权工作也包括撤销授权工作，需及时做好离职离岗人员系统权限调整，以保证系统操作人权限适合。

鉴于系统平台将企业信息做了大规模的集中，信息泄露的风险加大，所以对于系统数据、信息引出（下载）的权限管理应高度重视，尤其是关键数据及信息引出，避免信息批量式流出或关键信息被不适合人使用，给企业带来灾难性损失或技术成果和管理成果被他人窃取。

2.密码内部控制管理

服务器、电脑、平台系统进入都需要密码管理，企业应要求操作人员有效设置密码，不得将密码告知他人，定期更换密码，企业应检查企业员工外出离岗时有无告知他人密码协助处理流程的行为。随着技术进步，企业可通过技术手段实施密码管理。

3.电子邮件和即时交流工具安全管理

信息传输的便捷性使信息化风险加大，信息传输风险包括重要信息流出后不受控制及内部数据信息通过电子邮件、QQ等即时通讯工具方式泄露，企业应评估重要岗位、重要文档信息流出的风险度，必要时使用信息安全软件管理，进行重要文档加密或对特定区域信息加密管理；通过网络行为管理软件跟踪敏感文件和信息的泄露，使企业信息安全得到控制。对于即时通讯系统如QQ等可能带来的病毒和入侵风险，企业可根据信息化管理的重要程度确定是否部署内部专用即时通讯系统予以防范。

（五）随着信息技术的不断发展与进步，各种云平台服务推出，服务提供商可以提供专业的机房、服务器、存储、网络、信息化平台等供企业租用，企业只需付一定的服务费，为企业解决大部分信息化安全问题。使用云平台服务要做好服务商的选择，对于关键信息和数据采用做好方案选择。

二、结语

篇4

关键词 网络安全;互联网;风险

中图分类号：TP3 文献标识码：A 文章编号：1671-7597（2014）21-0241-01

计算机技术和网络技术在带给人们方便的同时，也使网络信息安全风险也大大增加。网络信息安全已成为当今社会互联网技术研究的重要难题。针对网络攻击行为，采用多种网络信息安全技术进行防护，可以有效的减少攻击行为所带来的损失。

1 网络安全隐患

网络安全，不仅指网络的信息系统安全，还包括网络系统中的硬件、软件及数据资源不遭受破坏、泄漏和更改，保证网络系统的安全可靠运行，防止各种有害信息和非法信息的传播。

企业网络的安全隐患主要表现在以下几个方面。

1）物理安全风险。物理安全包括网络系统中的各种网络硬件设备，如路由器、交换机、工作站和服务器等的通信链路的运行安全。物理安全风险主要有：火灾、雷击、水灾等自然灾害，外界电磁干扰，人为误操作或者破坏，设备自身的缺陷或者弱点等。

2）网络安全风险。网络是一个开放性的平台，企业的信息网络安全受到各种威胁和攻击。网络入侵者能够通过系统漏洞及各种扫描工具，以攻击程序对网络进行恶意的攻击，导致企业网络瘫痪，甚至是网络信息被篡改、窃取。

3）系统安全风险。企业网络设备主要为服务器系统、路由器交换机系统。在企业服务器系统中，设有数据库系统、操作系统、其他应用系统等。这些系统必然或多或少地存在着一些漏洞，一旦攻击者通过这些漏洞，可能会对系统造成很大的损失。

4）用户安全风险。这种风险主要是针对企业的内部人员，防止内部人员对系统和网络的误用、攻击等情况。如内部人员计算机感染了恶意软件或木马程序时，可能会造成内网的ARP攻击。

2 提高企业信息网络安全措施

2.1 网络安全解决办法

提高网络安全，是为了保证网络系统不受外来攻击和内在的故障，安全稳定的运行。而防火墙是网络系统安全的第一道门槛，通过硬件和软件来实现网络的安全。防火墙的主要性能包括：

1）对内外部网络数据流进行控制。网络防火墙是链接内部网络和外部网络的通道，防火墙的特殊网络位置特征，决定了可以有效的保护内部网络不被破坏和攻击。

2）防火墙可以有效的过滤网络数据流量。通过防火墙的数据流量必须是经过防火墙认定，符合一定安全策略的才能通过，只有在该前提下，在适当的协议层才能进行访问规则和通过安全审查，对于那些不符合通过条件的报文予以阻断。

3）应用层防火墙具备更细致的防护能力。传统防火墙由于不具备区分端口和应用的能力，以至于传统防火墙仅仅只能防御传统的攻击，基于应用层的攻击则毫无办法。而新一代的防火墙解决了这个问题，它具备应用层分析的能力，能够基于不同的应用特征，实现应用层的攻击过滤，更好的针对应用层攻击进行防护。

2.2 系统安全解决办法

1）操作系统安全措施。操作系统的安全措施主要包括以下内容：①在局域网内建立WSUS补丁服务器，为整个局域网提供微软全系列软件的补丁。②操作系统及其各种应用软件及时更新补丁，有效防止黑客的攻击和病毒的感染。

2）系统漏洞扫描。目前的网络和系统配置往往存在部分漏洞，这些漏洞容易被黑客利用，使系统的安全存在隐患。因此，提前发现漏洞并进行处理，可以减少系统安全威胁，避免不必要的损失。漏洞扫描和检测工具可以对网络设备和操作系统进行扫描，对系统中存在的漏洞生成检查报告，并提示用户及时安装相应的漏洞补丁，以提高系统安全性。

3）网络入侵检测及预警。为了提高信息安全基础结构完整性，使用入侵检测及预警系统是防火墙的有益补充，进一步提高了系统面对网络攻击的安全性，使系统管理员更方便的对系统安全进行管理。

4）病毒防护。计算机病毒对系统和网络安全的威胁越来越引起人们的重视，而针对计算机病毒的防护和扫描是系统安全必不可少的。计算机病毒的防治在于完善操作系统和应用软件的安全机制和防范措施。使用高性能网络杀毒软件不仅能针对流行病毒进行查杀，阻断病毒的蔓延，而且还能实现实时监控和预防，避免计算机染上病毒。

5）网络审计与监控。网络审计和监控不仅依靠网管软件和系统管理软件来实现，还应采用目前较成熟的网络监测设备和实时入侵监测，对系统中的网络行为进行监控、预警和阻断，及时预防网络入侵行为和采取相应的措施。

6）数据备份与恢复。对于数据的备份和恢复应采用高速、大容量、自动的数据备份恢复。对于部分系统的备份，可以采取增量备份，只针对系统发生过更改的部分文件进行备份。

2.3 应用级安全解决办法

1）用户授权管理。实现了多级分权的权限划分机制，不同的部门只能在允许的范围内对数据进行操作，而对于管理部门，则可以跨部门或者全部操作。其次是功能权限，可以自定义的方式确定用户的增加、删除、修改、查询权限。

2）数据安全备份。数据安全是整个系统安全的核心，是系统可靠性的体现和关键环节。为此，系统中可自定义备份策略，实现定期自动备份，也可手动备份手动恢复。

3）数据加密。应对关键数据采用了完善的数据加密措施，如登录帐号和密码。作为最重要的身份识别依据和权限开关，其安全性的重要程度在应属于最高级。软件的关键配置文档，里面有关键的参数设置，也应进行了相应的加密处理，保证的系统的稳定性。

4）操作日志。对于系统的登陆和操作情况应进行自动记录，并形成报告和日志，进行痕迹保留，对操作方式，操作内容，操作时间等都可以进行记录。

3 结论

在计算机网络技术的发展过程中，企业的信息网络安全技术水平也不断提高。随着企业的发展和业务的拓展，网络安全受到极大的挑战，黑客攻击、病毒入侵、非法访问等不断发生。因此，从企业网络信息安全需求及等级情况出发，选择适合企业自身需求的企业网络信息安全措施，可以有效的保障企业信息网络的健康运行。

参考文献

[1]王能辉.我国计算机网络及信息安全存在的问题和对策[J].科技信息，2010（7）.

篇5

企业经营信息对于企业来说是一种资源，对于企业自身来说具有重要意义，企业需要妥善管理自身企业的信息。近年来，企业的各项经营活动都逐渐开始通过计算机，网络开展，因此，企业的信息安全管理对于企业越来越重要。许多企业开始通过各种技术手段以及制度改革，把更多的注意力放在企业内部的信息安全管理工作，同时将企业信息安全管理与风险控制结合起来，这是一个正确的选择，能够帮助企业实现稳定经营。在介绍企业信息安全管理以及风险控制前必须厘清企业信息安全管理的概念与企业风险控制定义，因此，本节将着重介绍企业信息安全管理的概念以及企业风险控制的定义。

企业的信息安全管理包含十分丰富的内容，简单来说是指企业通过各种手段来保护企业硬件和软件，保护网络存储中的各种数据不受偶然因素的破坏或者恶意的原因被攻击。对于信息安全的认定通过包括4个指标，即保证信息数据的完整，保证信息数据不被泄露，保证信息数据能够正常使用，保证信息数据能够控制管理。要想做好企业的信息安全管理，首先需要了解的是关于信息的传输方式。随着信息技术的不断普及，信息传递的方式越来越多，常见的信息传递方式主要有互联网传播，局域网传播，硬件传播等等。要想实现企业的信息安全管理，其中很重要的一项工作在于保护信源、信号以及信息。信息安全管理是一项需要综合学科知识基础的工作，从事企业信息安全管理工作的人员通过需要具有网络安全技术、计算机技术、密码技术、通信技术。从企业的信息安全管理来讲，最为关键的一项工作时保护企业内部经营信息数据的完整。经过近十年来的企业信息安全管理工作经验总结，企业信息安全不仅仅需要信息技术的支持，更需要通过建立完善的企业风险控制体系来帮助企业实现更好地保护企业信息安全的目标。

所以，怎样把企业信息安全管理与风险控制融合起来就是摆在企业经营管理者面前的一道难题。企业的信息安全风险控制必须通过企业建立完善的企业信息安全风险体系实现。企业的信息安全风险控制是指企业在企业信息安全遭遇威胁之前，提前对企业的信息进行风险预估，并采取一系列的有针对性的活动降低企业面临的信息安全风险，从而尽可能减少因为企业本身信息安全管理中存在漏洞给企业带来不必要的损失。常见的企业信息安全风险体系建立主要包含以下几个方面的内容。第一，建立企业信息安全风险管理制度，明确企业信息安全管理的责任分配机制，明确企业各个部门对各自信息安全所应承担的责任，并建立相应的问责机制。第二，设置规范的企业信息安全风险管理指标，对企业存在的可能威胁企业信息安全管理的漏洞予以风险定级，方便企业管理者对不同的信息安全管理漏洞采取有区别的对策。第三，企业要加强对信息安全管理人员的培训，提高企业信息安全管理工作人员的风险意识，让企业内部从事信息安全管理工作人员认识到自身工作的重要性，让企业内部从事信息安全管理工作人员了解到规范自身行为，正确履行职责的重要性。第四，将企业信息安全管理与风险控制有效融合，重视企业信息安全管理工作，通过风险控制对企业内部信息安全的管理方式进行正确评估，找出现行的企业内部信息安全管理手段中存在容易忽视的地方。

二、企业信息安全管理与风险控制存在的不足

1.企业信息安全管理工作人员素质不高

对于企业来说，企业信息安全管理工作是一项极为重要而隐秘的工作，因此，必须增强对企业信息安全管理工作人员的素质要求。但是根据调查统计，目前很多企业对信息安全工作的管理仅仅停留在对企业信息安全管理工作人员的技术要求上，对企业信息安全管理工作人员的道德素养，职业素养，风险意识并没有严格要求。此外，绝大多数企业并没有意识开展对企业信息安全管理工作的道德素质的教育培训，并没有通过建立相关管理制度以及问责机制对企业信息安全管理工作人员实行监督，这无疑给别有用心或者立场不坚定的企业信息安全管理工作人员留下了危害企业信息安全的可乘之机。

2.企业信息安全管理技术不过关

企业信息安全管理工作涉及多许多技术，包括信息技术，计算机技术，密码技术，网络应用技术等等，应当说成熟的计算机应用技术是做好企业信息安全管理的基础，但是，现实是许多企业的信息安全管理技术并不过关，一方面企业的信息安全管理硬件并不过关，在物理层面对企业信息缺乏保护，另一方面，企业信息安全管理工作的专业技术没有及时更新，一些企业信息安全管理工作人员缺乏企业信息安全管理的实践经验，企业信息安全管理的知识也并没有及时更新，从而导致企业的信息安全管理理论严重滞后，这种技术的落后很容易让企业成为不法分子的攻击对象。近年来网络病毒的传播越来越猖狂，很多服务器、系统提示安全补丁的下载更新以及客户端的时常更新成为一个恼人的问题。作为一个行业中的大中型企业，企业内部设备数量比较多，尤其是客户端数量占了较大比重，仅仅靠少数几个管理员进行管理是难以承担如此大量的工作量。另外，企业信息安全管理系统不成熟也是一个重大的隐患。

3.企业信息安全管理制度不健全

企业信息安全管理制度不仅仅需要理论制度的完善，更加需要一系列配套监督机制保障企业信息安全管理的有效执行。通过调查分析，许多企业虽然建立了企业信息安全管理制度，但是通常情况下，这些制度只能流于形式，企业信息安全管理工作缺少有效的制约和监督，企业信息安全管理工作人员缺乏执行力。企业信息安全管理制度不健全，企业信息安全管理工作缺乏执行力常常体现在以下几个方面。第一，企业员工对于信息安全管理的认识严重不足，对企业信息安全管理工作不重视。企业内部计算机系统安全的计算机防病毒软件并没有及时更新，使用，甚至企业内部计算机的防病毒软件还被企业员工卸载了。部分企业员工认为自己的工作与企业信息安全管理不相关，认为做好企业信息安全管理工作仅仅是企业信息安全部门的事。第二，企业内部信息安全管理制度并没有形成联动机制，企业信息安全管理工作仅仅由企业信息安全部门“一人包干”，企业信息安全反映的问题并没有得到积极的反馈，一些企业领导对企业信息安全现状所了解的少之又少。

三、企业信息安全管理常见的技术手段

1.OSI安全体系结构

OSI概念化的安全体系结构是一个多层次的结构，它的设计初衷是面向客户的，提供给客户各种安全应用，安全应用必须依靠安全服务来实现，而安全服务又是由各种安全机制来保障的。所以，安全服务标志着一个安全系统的抗风险的能力，安全服务数量越多，系统就越安全。

2.P2DR模型

P2DR模型包含四个部分：响应、安全策略、检测、防护。安全策略是信息安全的重点，为安全管理提供管理途径和保障手段。因此，要想实施动态网络安全循环过程，必须制定一个企业的安全模式。在安全策略的指导下实施所有的检测、防护、响应，防护通常是通过采用一些传统的静态安全技术或者方法来突破的，比如有防火墙、访问控制、加密、认证等方法，检测是动态响应的判断依据，同时也是有力落实安全策略的实施工具，通过监视来自网络的入侵行为，可以检测出骚扰行为或错误程序导致的网络不安全因素；经过不断地监测网络和系统来发现新的隐患和弱点。在安全系统中，应急响应占有重要的地位，它是解决危险潜在性的最有效的办法。

3.HTP模型

HTP最为强调企业信息安全管理工作人员在整个系统中的价值。企业信息安全工作人员企业信息安全最为关键的参与者，企业信息安全工作人员直接主导企业信息安全管理工作，企业信息安全工作人员不仅仅是企业信息安全的保障者，也是企业信息安全管理的威胁者。因此，HTP模型最为强调对企业信息安全管理工作人员的管理与监督。另外，HTP模式同样是建立在企业信心安全体系，信息安全技术防范的基础上，HTP模式采取了丰富的安全技术手段确保企业的信息安全。最后，HTP强调动态管理，动态监督，对于企业信息安全管理工作始终保持高强度的监督与管理，在实际工作中，通过HTP模型的应用，找出HTP模型中的漏洞并不断完善。

四、完善企业信息安全管理与降低风险的建议

1.建设企业信息安全管理系统

（1）充分调查和分析企业的安全系统，建立一个全面合理的系统模型，安全系统被划分成各个子系统，明确实施步骤和功能摸块，将企业常规管理工作和安全管理联动协议相融合，实现信息安全监控的有效性和高效性。

（2）成立一个中央数据库，整合分布式数据库里的数据，把企业的所有数据上传到中央数据库，实现企业数据信息的集中管理与有效运用。

（3）设计优良的人机界面，通过对企业数据信息进行有效的运用，为企业管理阶层人员、各级领导及时提供各种信息，为企业领导的正确决策提供数据支持，根本上提高信息数据的管理水平。

（4）简化企业内部的信息传输通道，对应用程序和数据库进行程序化设计，加强对提高企业内部信息处理的规范性和准确性。

2.设计企业信息安全管理风险体系

（1）确定信息安全风险评估的目标

在企业信息安全管理风险体系的设计过程中，首要工作是设计企业信息安全风险评估的目标，只有明确了企业信息安全管理的目标，明确了企业信息安全管理的要求和工作能容，才能建立相关围绕信息安全风险控制为目标的信息安全管理工作制度，才能顺利通过对风险控制的结果的定量考核，检测企业信息安全管理的风险，定性定量地企业信息安全管理工作进行分析，找准企业信息安全管理的工作办法。

（2）确定信息安全风险评估的范围

不同企业对于风险的承受能力是有区别的，因此，对于不同的企业的特殊性应该采取不同的风险控制办法，其中，不同企业对于能够承受的信息安全风范围有所不同，企业的信息安全风险承受范围需要根据企业的实际能力来制定。不仅如此，企业的信息安全风险评估范围也应当根据企业的实际经营情况变化采取有针对性的办法。