加强信息安全管理精选(十四篇)

序言：作为思想的载体和知识的探索者，写作是一种独特的艺术，我们为您准备了不同风格的14篇加强信息安全管理，期待它们能激发您的灵感。

篇1

【关键词】 信息安全 违规外联 电力企业

一、前言

国网公司现已建成覆盖至基层生产班站及营业站所的信息内网。随着SG186工程的全面投入运行，从职能部室到一线班组，电力企业所有的业务数据都依赖网络进行流转，电网企业生产和经营对信息网络和信息系统的依赖程度越来越高信息安全的重要性日益凸显。国网公司已将网络与信息安全纳入公司安全管理体系。

一直以来，信息安全防御理念常局限于常规的网关级别（防火墙等）、网络边界（漏洞扫描、安全审计）等方面的防御，重要的安全设施大多集中于核心机房、网络入口处，在这些设备的严密监控下，来自网络外部的安全威胁已大大减少，尤其实行内外网隔离、双网双机后，来自于互联网的威胁微乎其微。而内网办公终端由于分布地点广泛，管控难度大，加之现在无线上网卡、无线wifi和智能手机的兴起，内网计算机接入互联网的事件时有发生，一旦使用人员将内网计算机通过以上方式接入互联网，即造成违规外联事件。由于违规外联开通了一条无任何保护措施进出内外网的通道，一旦遭遇黑客袭击，就可能造成信息泄露、重要数据丢失、病毒入侵、网络瘫痪等信息安全事故，给企业信息安全带来重大的安全隐患和风险。

二、强化管理、落实责任，监培并进

1、将违规外联明确写入公司各项规章制度，并纳入经济责任考核。在《公司信息系统安全管理办法》中，对杜绝违规外联事件进行了明确的要求：所有内网计算机必须粘贴防止违规外联提示卡，严禁将接入过互联网未经处理的计算机接入内网，严禁在普通计算机上安装双网卡，严禁将智能设备（3G手机、无线网卡等）插入内网计算机USB端口，严禁在办公区通过路由器连接外网，杜绝违规外联行为。 一旦发生违规外联事件，依据《企业信息化工作评级实施细则》，按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则对事件责任人进行严肃处理和经济考核，并在全公司通报批评。将信息安全责任落实到人。

2、加大违规外联宣贯和培训力度。信息安全工作，重在预防，将一切安全事件消灭在萌芽状态，才能确保信息系统安全稳定运行。分层次组织开展公司在岗员工，尤其是新员工的信息安全教育培训工作，即重点培训各部门信息化管理人员，各级管理人员培训本部门技术人员，本部门技术人员培训一线员工。通过分层式培训，提高了培训效果，同时各级管理人员、技术人员作为下级培训对象讲师提高了自身素质，强化了信息安全关键点的作用。确保违规外联事件的严重性、危害性和工作机理已宣贯至公司每一位员工，实现全员重视、全员掌握，做到内网计算机“离座就锁屏，下班就关机”的工作习惯。

3、加强外来工作人员管控。加强外来工作人员信息安全教育，并签订《第三方人员现场安全合同书》，严禁外来工作人员计算机接入公司内外网。对第三方人员工作过程全程监控，防止因外来工作人员擅自操作造成违规外联事件。

二、加强技术管控，从源头杜绝安全事件的发生

2.1严格执行“双网双机”

严禁在信息内网和外网交叉使用计算机。对要求接入信息内、外网的计算机，需向本人核实该计算机之前网络接入情况，对内外网络接入方式有变化、或者是不清楚的情况，需对计算机进行硬盘格式化并重装系统后方可接入网络。

2.2安装桌面终端，设置强口令，防止违规外联

实时监控全公司内网终端桌面终端系统安装率，确保所有内网计算机桌面终端安装率达100%。设置桌面终端策略，一旦发生违规外联，系统立即采取断网措施，并对终端用户进行警示。要求全部内网计算机设置开机强口令（数字+字母+特殊符号，且大于8位），防止非本人操作的违规外联行为。通过桌面终端系统对内网计算机开机强口令进行实时监控。

2.3做好温馨提示，明确内外网设备，防止违规外联

做到每一台内网计算机均粘贴信息安全提示标签提示员工切勿内网计算机接入外网网络，无线网卡及智能手机切勿接入内网。内外网网络端口模块、网线端口都要有明显标识，防止员工误接网络。

2.4实行内网计算机IP、MAC绑定和外网计算机IP、认证账号绑定

加强IP地址绑定，从交换机端口对接入内网的计算机进行IP、MAC地址绑定，确保除本计算机外，其余计算机无法通过该端口接入内网。

通过外网审计（网康科技）对外网IP和用户认证账户进行绑定，完善外网用户和计算机基础资料，做到全局外网终端和用户可控。

篇2

关键词：校园网；校园网信息；安全管理

中图分类号：G647 文献标识码：A文章编号：1007-9599 (2011) 11-0000-02

To Strengthen the Campus Network Information Security Management

Liu Yong

(Guangdong Maoming Shi Gaoji Jigong Xuexiao,Maoming525000,China)

Abstract:Rapid development in information technology today,the campus network has penetrated into the campus life of each person,but the corresponding situation is a campus network information security has become increasingly prominent,which threaten the normal operation of the campus network,the consequences of the campus network breakdown,school work can not be carried out,serious influence the school is in normal operation,therefore,to strengthen the campus network security management is very important.

Keywords:Campus network;Campus network information;Security management

一、引言

前年茂名市政府免费为我校提供了一条10M的政府网光纤，我校由此组建了校园网。校园网的组建后，学校办公自动化得以实现，校内的教师与互联网世界的联系也越来越紧密，极大的提高了学校的教学水平和办公效率。但是随着校园网逐渐深入到我们每一教师的教学和工作当中，网络所常见的问题也一并出现在我们每一位教师的面前，例如有些教师经常使用U盘在校内的电脑上进行交换数据的操作；或者在上网时随意下载文件等原因，经常就导致了校内某些电脑中病毒，而中毒后的电脑自然就会对正在正常运行的校园网系统造成威胁，出现大量无效数据堵塞校园网网络，使网络出现突然变得缓慢等现象，甚至在蠕虫泛滥的局域网中，使校园网瘫痪的事件屡有发生，所以我们必须加强校园网信息安全管理，从而确保校园网安全、稳定、高效地运行。

二、校园网信息安全的解决思路

校园网通过信息接入点与外部互联网相连，校园范围内部所有计算机所组成的局域网我们将其称为内网；信息接入点外部的网络我们将它称为外网。基于资金、设备和技术所限，我们校园网信息安全最主要的工作是保证内网的安全、稳定、高效地运行。这要求我们从两方面入手：分别是校园网主干网络设备的安全和校园网的安全使用

（一）校园网内网的安全

由于资金、设备和技术所限，校园网外部的网络信息安全我们不用考虑，也轮不到我们去考虑，我们要充分考虑的是校园网内部的信息安全，采取确实有效的防范措施来防止校园网内部各电脑主机对网络主干设备进行攻击而导致系统崩溃，保证校园网正常运行。

（二）校园网内各用户主机的安全

校园网的网络运行环境是一个十分复杂的环境，各用户主机安装不同的操作系统，各用户的的电脑使用水平差异较大等原因，使得各用户的主机难以避免存在各种系统安全漏洞，不及时修补这些漏洞，就会给电脑病毒以可乘之机，而中毒后的校园网用户主机会对校园网主干设备造成影响。

（三）控制校园网计算机病毒

计算机病毒是校园网信息安全的头号杀手，必须做到有效控制。在校园网主干网络设备和各用户主机都要求安装有效的杀毒软件，并且及时对病毒库进行更新，定期进行杀毒操作，坚持将计算机病毒扼杀在萌芽状态，使其对校园网信息安全的危害降到最低。

三、加强校园网信息安全管理的具体措施

（一）构建网络防范措施

如果单位经济条件允许建议在网络信息接入点使用硬件防火墙，防火墙可在校园网内部“编织”好一张安全的大网，保证校园网正常运行，是目前非常有效的网络安全防范手段，它提供一整套的安全控制策略，包括访问控制（例如ACL策略）、数据包过滤和攻击防范等网络必需功能，能有效地检测和防范校园网各种病毒的攻击、入侵，监控网络异常通信，并对攻击的主机进行隔离等，是我们校园网信息安全最值得信赖的好助手。

由于每间学校的内部地理结构有差异，我们很难从物理方面划分VLAN，但我们可使用具有网管功能的交换机中的VLAN的技术优化校园网内部网络结构，增强网络的灵活性，并根据不同的区域划分不同的网段来限制相互间的访问，达到限制用户非法访问的目的。

使用静态IP，在校园内一定要将各用户主机的MAC地址与我们事先分配给他IP进行绑定，并详细登记各用户的资料，如使用人姓名、职务、办公室、IP、MAC、联系电话等资料，方便对中毒的电脑主机快速定位提供依据。

在校园网服务器端使用网络行为管理软件，例如IP-GUARD（威盾）、聚生网管等，实时扫描客户端的主机的使用情况、流量信息，分析网络带宽流量，防止大量的长时间的占用网络带宽、防止使用BT、电驴等独占带宽的下载方式，造成网络拥挤、繁忙，做到遇故障能及时准确地定位和排查。

通过上述措施，我们基本上能保证校园网内网的信息安全，将网络病毒对校园主干设备的攻击降到最低的程度，使校园网的主干网络设备正常运行。

（二）加强校园网信息安全教育，养成良好的电脑使用习惯

校园网信息安全涉及到校内每一位教师，因此对于校园网用户来说，要进一步提高网络信息安全意识，加强关于计算机信息安法律知识的学习，自觉规范操作行为，同时掌握一些有关信息安全技术和技能，养成良好的电脑使用习惯，把可能的危险排除在发生之前。对于个人而言，可从以下几个方面入手：

现在多数用户在电脑中病毒或者因为其他原因导致电脑系统崩溃后，首要的选择是重新安装电脑系统，而安装系统时普遍采用GHOST覆盖安装方法。这种方法的缺陷是虽然电脑暂时可以使用，但病毒依然有可能保留在电脑的C盘内，建议在系统安装时先格式化电脑的C盘，然后再采用GHOST覆盖进行覆盖安装，磁盘文件格式要采用NTFS格式，系统安装好后立刻进行全硬盘病毒扫描，可减少安全隐患。

及时对系统进行漏洞扫描、修补个人电脑的系统漏洞。现在网络上比较流行的一款软件360安全卫士就具有这方面的功能，它能及时扫描你的电脑系统是否还有容易被电脑黑客攻击的漏洞，并及时通知你修补这方面的漏洞。这里要注明一下的就是：有很多电脑用户为图方便不喜欢花时间做这方面的工作，理由就是我的电脑一旦中毒，我就重新安装系统。这种习惯在自己家里没什么大问题，但现在我们同处在一个校园网的大环境下，一台电脑中病毒就有可能会对整个校园网系统造成攻击，使大家都无法正常上网。因此我们应定期使用类似360安全卫士这类软件漏洞扫描、修补个人电脑的系统漏洞。

操作系统安装完成后，要对系统的安全策略进行必要的设置。如登录用户名和密码。用户权限的分配，共享目录的开放与否、磁盘空间的限制、注册表的安全配置、浏览器的安全等级等，使用系统默认的配置安全性较差。

使用个人防火墙和反病毒软件，目前互联网上的病毒非常猖獗，达几万种之多，传播途径也相当广泛。可通过u盘、光盘、电子邮件和利用系统漏洞进行主动病毒传播等，这就需要在用户计算机上安装防病毒软件来控制病毒的传播。在单机版的防病毒软件使用中，必须要定期或及时升级防病毒软件和病毒码特征库。现在互联网上很多杀毒软件功能强大而且都是免费的，例如360安全卫士、360杀毒等，如果我们能安装这类杀毒软件和防火墙，一般都足以抵御各类网络攻击，它能够在一定程度上保护操作系统信息不对外泄漏，也能监控个人电脑正在进行的网络连接，把有害的数据拒绝于门外。

四、结束语

校园网信息安全牵涉到校园内的每一个用户，想享用安全、稳定、高效的校园网络，我们必须加强校园网信息安全管理，确保校园网正常运行，让校园网络为我们的教学和办公的好助手。

参考文献：

[1]谢希仁.计算机网络(第4版)[M].电子工业出版社

篇3

根据__、__和__、__有关要求，为进一步加强网络和信息安全管理工作，经__领导同意，现就有关事项通知如下。

一、建立健全网络和信息安全管理制度

各单位要按照网络与信息安全的有关法律、法规规定和工作要求，制定并组织实施本单位网络与信息安全管理规章制度。要明确网络与信息安全工作中的各种责任，规范计算机信息网络系统内部控制及管理制度，切实做好本单位网络与信息安全保障工作。

二、切实加强网络和信息安全管理

各单位要设立计算机信息网络系统应用管理领导小组，负责对计算机信息网络系统建设及应用、管理、维护等工作进行指导、协调、检查、监督。要建立本单位计算机信息网络系统应用管理岗位责任制，明确主管领导，落实责任部门，各尽其职，常抓不懈，并按照“谁主管谁负责，谁运行谁负责，谁使用谁负责”的原则，切实履行好信息安全保障职责。

三、严格执行计算机网络使用管理规定

各单位要提高计算机网络使用安全意识，严禁计算机连接互联网及其他公共信息网络，严禁在非计算机上存储、处理信息，严禁在与非计算机之间交叉使用移动存储介质。办公内网必须与互联网及其他公共信息网络实行物理隔离，并强化身份鉴别、访问控制、安全审计等技术防护措施，有效监控违规操作，严防违规下载和敏感信息。严禁通过互联网电子邮箱、即时通信工具等处理、传递、转发和敏感信息。

四、加强网站信息审查监管

各单位通过门户网站在互联网上公开信息，要遵循不公开、公开不的原则，按照信息公开条例和有关规定，建立严格的审查制度。要对网站上的信息进行审核把关，审核内容包括：上网信息有无问题；上网信息目前对外是否适宜；信息中的文字、数据、图表、图像是否准确等。未经本单位领导许可严禁以单位的名义在网上信息，严禁交流传播信息。坚持先审查、后公开，一事一审、全面审查。各单位网络信息审查工作要有领导分管、部门负责、专人实施。

五、组织开展网络和信息安全清理检查

篇4

（一）系统安全问题

现今，企业信息系统安全管理主要使用的网络操作系统多半是Unix、Windows以及Linux等系统。虽然这些被企业所用的操作系统足够全面，性能也较完备，但是随着计算机信息产业技术的不断提高与发展，还是会存在着诸多的系统漏洞及时更新。而这时，就会使不法分子进行人为性质的恶意攻击、或者窃取企业重要的商业机密信息等，也就是说，如果趁着这一空挡，它们的恶意行为会给企业带来不可弥补的重要损失，还会带来病毒反复侵扰与感染的麻烦，即使是计算机系统中安装了防毒软件科技产品。

（二）病毒的破坏

计算机病毒的攻击行为，主要是针对于计算机系统，对系统文件或重要信息进行攻击、篡改系统数据信息、破坏网络共享资源等实施的网络攻击侵入行为，它严重影响了企业网络系统间的信息安全，甚至会导致网络系统的全体瘫痪，因此，它是影响企业网络信息安全的主要因素。

（三）网络环境堪忧

企业内部网是一个比较特殊的网络环境。随着企业内部网络规模的扩大，目前，大多数企业基本实现了科室办公上网。由于上网地点的扩大，使得网络监管更是难上加难。由于企业中部分员工对网络知识很感兴趣，而且具有相当高的专业知识水平，有的员工上学时所学的专业甚至就是网络安全，攻击企业内部网就成了他们表现才华，甚至是泄私愤的首选。其次，许多领导和员工的计算机网络安全意识薄弱、安全知识缺乏。企业的规章制度还不够完善，还不能够有效的规范和约束领导和员工的上网行为。

二、企业局域网络安全管理策略

安全策略的实施需要一个良好的管理氛围，而为了塑造这种氛围，就需要在一个特定氛围内，提供一个特定级别的安全保障行为遵守规则。也就是说，这种企业内部网络信息安全管理策略的构建实施基础，就是要求其能够达到严格管理、利用现今较为先进管理水准的相应技术、以及以相关法律作为约束等的实施基础去进行，从而才能营造出良好的安全信息管理氛围，制定出合适、适中的需求方案。

（一）物理安全策略

确保计算机网络系统的安全前提首要予以重视的问题就是，对设备的安全考虑。也就是说，设备从正常使用到损坏这一过程中，物理安全的意义在其中可以理解为，就是约束这种受损过程所采取的安全防护措施。从而避免由于意外引起的受损过程，如地震、火灾、水灾等的灾害事故引发的设备受损；或者人为性质引起的损害过程，诸如操作失误、计算机偷盗犯罪行为引发的受损等导致的受损。总之，物理安全策略的实质是为了确保计算系统、Web服务器、系统内硬件实体、以及通信信道链路层的安全性，从而免受自然灾害导致的设备受损或人为主观意识操作的搭线攻击等。

物理安全策略主要包含两方面：一是环境安全，即对设备所在环境的安全防护，保障系统哟一个良性的工作兼容条件。二是设备安全，主要指防范于犯罪与不法行为、防销毁、防电磁干扰与核辐射泄漏、以及对电源进行保护等。

（二）访问控制策略

1、访问授权设置

今天，大多数企业级WLAN产品和许多SMB产品都提供内置来宾管理功能。从简单的强制网络门户和防火墙过滤到流量整形和唯一的来宾登录，这类产品都可以不用IT协助自动生成。举例说明，我们看下Meraki的企业级WLAN云控制器提供的来宾管理功能。为了创建一个Meraki来宾无线局域网，我们需要开始指令配置一个SSID，比如一次点击或者登入开始页面。如果选择了开始页面，用户会被重定向到一个定制的入口，通过输入用户名和密码登录。

来宾开始创建有三种选择。第一，管理员配置来宾账号。第二，来宾代表可以增加和删除来宾账号但是不能做其他改动，第三，允许来宾在入口提示页使用他们自己的账户，以管理员批准为准。

下一步便是控制登录用户的活动。考虑强制网络门户是否要求用户运行防毒软件。然后设置允许的目的地，端口和URL，选择性的添加带宽限制和有线/无线属性。最后，考虑在允许或不允许本地局域网访问时，来宾流量是否需要桥接到一个VLAN或路由到Internet。云控制器可以分析流量来查看无线来宾网络的使用情况。这些功能通常适用于未加密的来宾无线网络，但是也可以结合WPA2-PSK实现加密。设置PSK可以降低拒绝服务攻击和防止外部探测。然而传统的PSK是共享给每个用户的，他们没法跟踪或对单独的来宾取消跟踪。不过一些产品提供动态PSK给每个用户，如Ruckus

DPSK和Aerohive

PPSK可以解决这类问题。例如，Ruckus无线局域网可以设置给每个来宾一个唯一的DPSK。任何有企业网络访问权的用户都可以通过一个Web表格来申请Ruckus来宾权限，每个的来宾权限都提供了他们可打印的说明，包括来宾姓名，来宾SSID，来宾唯一的DPSK和有效期限。这些设置甚至可以自动安装到Windows系统、OS

X和iPhone客户端上，有效避免手工设置和可能出现的错误。一旦生效，DPSK会自动过期或被废除，不用中断其他的使用。

2、相应产品应用

对一些企业，针对使用windows的来宾进行完整性检查已经足够了，毕竟，病毒在Windows下比较普通。但是其他企业可能倾向于阻止那些不能检查的来宾或者对他们进行限制（如，只能HTTP，不能访问内网）。第三种可能是使用NAC或者IDS产品，比如ForeScout，CounterACT或Bradford

Network

Sentry，他们可以运行基于网络的检查。NAC设备可以整合到现有的无线网络设施中给来宾管理者提供访问控制策略，如果检测到客户端有病毒威胁或者策略违反就立即切断。

（三）防火墙控制策略

防火墙技术在当前网络信息安全的维护角度来看，其已经逐渐普及运用开来。其作为当前一个常用的系统内部网络安全屏障，可以有效约束、限制外来的非法、未经授权

的陌生访问。这是由于，它以系统间的网络通信监控系统去实现自身系统与外部网络之间的隔离，从而能够把外部未经授权的陌生访问隔离在外，防止其恶意入侵，进而有效起到了防护信息安全的效用。

（四）信息加密策略

信息加密技术的发展以及运用的最本质目的是为了能够去报网间数据、文件、以及口令与重要信息、数据等的有效保护。通常较为常用的加密方法有链路加密、端点接口加密、以及节点加密等。而为了达到这种加密的隐私安全可靠性质，目前已经推出了多种加密算法对重要机密性文件进行了有效保护。一般情况下，信息加密是保障当前网络信息、数据的机密性的关键方法。

（五）备份与景象技术

备份与景象技术能偶提高信息安全的结构完整性，确保信息的真实可靠性。也就是说，备份能够实现数据、文件、重要信息等的丢失事后处理的完善程度，一旦丢失还能重新用备份的文件去进行的下一步工作的开展。而镜像技术，简要去说，则是指两个同样的设备在进行工作，当一个设备出现了内部系统故障或是其他方面的技术故障等，另一个设备仍然能够胜任其工作，从而不影响工作的效率与质量。

三、结语

总之，对于企业内部局域网络间的信息安全问题，要做好三方面的协调与控制。其一是设备维护，其二是技术防护控制，其三是针对于网络安全信息防护下所开展措施的监督与管理。而与此同时，企业还要加强员工以及领导自身的网络安全业务技能的相关知识，进行相关的科学培训，从而在相应设立的防范管理制度下去约束不规范行为，自身做好相应的周密准备，加强企业网络安全信息的完整性与真实性，绝不给不法人员一丝可趁之机。

参考文献：

[1]贺瑞凰.浅谈单位局域网的信息安全[J].科技情报开发与经济，2011，（06）.

[2]劳俊，钟培俊.局域网信息安全问题的分析与解决[J].四川兵工学报，

2009，（07）.

[3]方刚，江宝钏.局域网信息安全面临的威胁分析和防范措施探讨[J].网络安全技术与应用，2007，（07）.

[4]黄凯涛.企事业单位局域网信息安全管理策略[J].信息通信，2011，（02）.

[5]窦胜林.局域网的信息安全与病毒防治策略分析[J].黑龙江科技信息，

2010，（24）.

[6]赵文娟.信息技术在局域网中的应用研究[J].科技情报开发与经济，

2010，（01）.

篇5

关键词：网络信息；安全技术；管理现状；有效对策

0引言

进入21世纪以来，我国的计算机信息技术发展非常迅速，互联网开始进入每家每户。随着互联网的广泛应用，互联网安全问题开始受到社会的重视。无论是个人还是企业都有自己的隐私和秘密，如果网络出现安全问题，那么这些隐私和秘密将会被盗窃，给个人和企业造成巨大的损失。因此，加强信息技术安全的管理非常重要。目前，我国的网络信息安全技术管理存在很多问题，这些问题时刻影响着我国计算机网络信息技术的安全，曾经也造成过巨大的损失。只有要解决网络安全问题，才能保障人们的权益不受侵犯。通过采取相关措施，从本质上提升计算机网络信息技术的安全，构建一个安全和谐的网络环境，避免个人或企业的隐私、机密被窃取。

1网络信息安全技术发展存在的一些问题

1.1个入信息被随意窃取

个人信息是每个人的隐私，计算机运行过程中，个人信息时常会被恶意访问，从而造成个人信息的泄露。一些不法分子会通过网络获取个人或者企业的机密信息，他们往往会侵入用户的局域网，窃取用户的相关资源，导致用户的机密信息被泄露，给用户造成巨大损失。

1.2网络信息的墓改

实际生活中，一些不法分子窃取信息后会篡改用户信息，并且把篡改后的信息发送到另外一个区域，导致用户信息被泄露，用户在不知不觉中遭受损失。

2加强网络信息安全技术管理的重要作用和意义

2.1有效防止各种安全隐患

计算机使用过程中，常常会遇到系统损坏或者计算机硬件损坏的问题，进而造成数据丢失，这种现状可以通过管理计算机安全技术避免，且其还可以处理一些突发事故，避免造成更大的损失。采取的主要措施为备份数据，可以通过备份信息，有效避免数据丢失造成的严重的后果，还可以在一定程度上防范各种安全隐患[1]。

2.2进一步修复漏洞

计算机网络发展初期，为了保障网络安全制定了计算机网络相关协议，这些协议不但能提高计算机网络的安全性和可靠性，还能在计算机网络受到攻击后尽快修复漏洞，从而加大网络的安全性[2]。

2.3抵御黑客袭击

黑客是计算机网络中经常听到的一个名字，其主要通过网络攻击个人计算机，目前已经成为了影响计算机网络安全的一个重要因素；因此，必须要采取相关措施避免黑客攻击，避免一些不法分子窃取他人隐私或者企业机密，保证计算机网络的安全性。

2.4有效防止病毒感染

计算机病毒时刻影响着计算机运行，计算机网络一旦遭到病毒感染，就会导致整个计算机系统受到破坏，造成系统崩溃，无法正常工作。因此，必须采取一些安全措施避免病毒侵害。如果对病毒采取防御措施，相当于给计算机加上了一层防御保护层，避免病毒感染计算机系统，从而提高计算机网络的安全性。

3加强网络信息安全技术管理的有效对策

计算机网络安全影响了千家万户和很多企业，必须采取相关措施保证计算机网络的安全，避免病毒和黑客入侵，进而避免个人隐私或者企业机密受到侵害，以下是具体的防御措施[3]。

3.1进一步健全网络信息安全的相关法律法规

完善计算机网络安全法律法规，能够为计算机网络安全提供保障。没有规矩不成方圆，为了保证计算机网络安全，必须制定相关的规章制度。目前，我国计算机网络安全法律法规还存在很多问题，很多法律体系都不完善。因此，需要不断完善相关法律法规。我国可以参考西方一些发达国家的经验，结合实际情况，完善计算机网络的法律法规，不断推动我国计算机网络信息的进步。

3.2进一步研发网络安全技术

除制定相关法律法规以外，还要根据相关法律法规开发一些新的防御软件，通过这些新的防御软件保障计算机网络安全。科学技术在不断创新，计算机网络安全维护也要不断创新，尤其针对计算机病毒日趋猖獗的现状，必须要深入研究和探讨，通过网络监测、信息加密等技术防止黑客攻击。此外，要加强研究计算机网络安全技术，不断提高网络信息安全。通过提高相关技术的水平，建立良好的计算机网络信息安全保护系统，为计算机的安全运行提供可靠保障。

3.3进一步加强网络加密技术

面临网络信息被随意窃取、更改的现象，为了保护用户的隐私及上网安全，必须进一步研究网络加密技术，采取有效的加密手段保证用户信息的安全性和隐蔽性。一般情况下，可以通过设置加密锁或者对称加密等方式，避免黑客随意窃取用户信息。

3.4进一步提高网络信息安全的重视程度，培养更多的计算机专业入才

目前，计算机日益普及，网络信息安全工作日益重要。因此，需要提高每个人的网络安全维护意识。通过提高每个人的安全防范技术，能够有效应对网络信息安全存在的隐患，并及时解决一些网络信息系统中存在的故障。此外，培养专业性的计算机人才至关重要，通过普及计算机基础知识，提高每个人的网络信息安全意识，构建良好的网络信息加密平台，确保个人数据的安全[4]。

4结语

随着计算机技术的发展，我国各行各业都在使用计算机信息技术进行工作，计算机网络安全成为人们关注的主要问题之一。实际生活中，必须采取相关措施保障计算机网络安全，避免一些隐私和机密被不法分子窃取。目前，我国在计算机网络安全管理方面还存在很多问题，主要包括网络信息安全、个人信息泄露等。通过加强计算机安全技术的管理，防御黑客和病毒攻击网络，采用先进的技术保障计算机网络信息技术的安全。

参考文献

[1]孔晓昀,张明熙,郑星航,等.加强网络信息安全技术管理的有效对策[J].电与软件工程,2018(21):179.

[2]赵杰.探讨网络安全技术与网络信息资源管理的有效策略[J].网络安全技术与应用,2016(1):61-62.

篇6

信息系统的安全性、可靠性和有效性不仅是商业银行赖以生存和发展的重要基础，还关系到整个银行业的安全和国家金融体系的稳定，因此国家金融监管部门对银行信息科技风险管理日益重视，对银行信息科技风险管理提出了明确要求，各商业银行也普遍提髙了对信息科技风险管理的关注程度。

1.加强信息科技风险管理是金融监管部门高度重视的重要问题

中国银监会主席刘明康在信息科技风险管理与评价审计工作会议上指出，根据近几年国际上出现的信息系统故障事件分析，如果银行信息系统中断1小时，将直接影响该行的基本支付业务；中断1天，将对其声誉造成极大伤害；中断2〜3天以上不能恢复，将直接危及银行乃至整个金融系统的稳定。这在一定程度上反映了国家金融监管部门对信息科技风险的深刻认识和日益重视。2008年7月，银监会颁发了《银行业金融机构信息系统安全保障问责方案》，明确各银行的法定代表人为本单位信息系统安全保障的第一责任人，并要求逐级签订信息系统安全保障责任书。同时，中国人民银行、银监会组织全国金融机构开展了奥运信息科技风险全面自查工作，并相继对各主要商业银行进行了现场专项检查；国家审计署也在对6家大型商业银行的2008年度全面审计工作中首次引入了信息科技审计的内容，着重从信息安全的角度出发，站在维护国家金融稳定和国家安全的髙度，分析当前我国银行业信息科技工作面临的主要风险，并提出了有针对性的改进建议。国家有关监管和审计部门推出的这些卓有成效的管理措施，对银行不断改进和完善信息科技风险管理工作具有十分重要的指导意义，充分体现出了我国政府对银行业信息科技风险管理的尚度重视。

2.加强信息科技风险管理是新《巴塞尔资本协议》的基本要求

在2004年正式公布的新《巴塞尔资本协议》中，重新修订了银行风险的分类和定义，强调银行在进行风险管理的时候，不仅要重视传统的信用风险、市场风险、流动性风险，而且要将防范操作风险放在一个重要的地位，并将信息科技风险明确划归操作风险的范畴，从而使得信息科技风险管理成为了银行全面风险管理体系中的重要组成部分。

3.加强信息科技风险管理是银行提高IT治理水平的需要

根据IT治理模型，IT风险管理与战略一致性、资源管理、绩效评估等构成IT治理总体架构，而且是其中的一个重要方面。随着各家银行信息化建设的深入，对信息科技风险的认识也在逐步加深，从单一的信息安全转变为涵盖生产运行、应用研发、信息安全等方面的全面IT风险管理，信息科技风险管理水平体现了银行的信息化程度和整体的风险管理水平。在商业银行完成股份制改造和上市之后，商业银行已普遍认识到信息科技方面一旦发生风险事件，不仅会影响业务的正常办理，还可能会对银行的声誉和市值产生负面影响，因此更加重视信息科技风险管理，对加强信息科技风险管理提出了更髙的要求。

二、加强信息科技风险管理的相应举措

根据国际权威机构信息系统审计与控制委员会(ISACA)的信息系统风险控制和IT审计工作的最佳实践指南，信息科技风险管理应关注IT治理、软件生命周期管理（即项目开发与变更）、IT服务交付与支持(即系统运行维护）、信息安全、业务连续性管理等五大领域。在上述领域，各家商业银行纷纷采取了各种风险管理措施。下面以中国工商银行股份有限公司（以下简称“工商银行”）为例进行介绍。

多年来，工商银行坚持“科技兴行'“科技引领”发展战略，建立了集约化的科技组织体系，并逐步建立了与国际大银行相适应的先进的科技体系和技术平台。自2006年起，工商银行正式将信息科技风险纳入了全行风险管理体系，作为操作风险管理的重要内容，并在信息科技风险管理方面开展了大量工作。

1.信息科技风险管理组织体系工商银行成立了信息系统应急领导小组，由行长担任组长，主管副行长任副组长，信息科技部、办公室、个人金融部、运行管理部等相关部门负责人为成员，负责领导和组织信息系统重大事件的应急处理、灾难备份和恢复、计算机信息系统的安全防护等工作。科技部门定期向董事会、行长办公会、技术审查委员会、风险管理委员会汇报信息科技风险管理工作。同时，工商银行总行以及分行的科技部门均设有负责信息科技风险管理的部门，建立了一支专业的风险防护队伍，为加强信息科技风险管理提供了组织保障。

2008年，国家有关监管、审计部门对工商银行目前的信息科技风险管理情况都给予了较髙的评价，认为工商银行构建了较完整的信息科技治理结构，构成了信息科技管理、信息科技风险管理和信息科技审计三道防线。

2.项目开发管理

针对由于版本质量造成的应用研发风险，工商银行采取了一系列措施，严格保障应用系统研发质量。一是不断改进研发和测试管理流程，加强需求管理、项目方案审查、研发过程管理和项目质量控制；二是及时优化调整应用版本、测试和投产策略，针对版本投产比较频繁等情况，明确了“版本集中投产”的原则，切实降低因版本投产和生产变更带来的风险隐患；三是与业务部门密切配合，力卩强沟通和协调，实现风险共担。

3.运行维护和操作管理

生产运行风险是信息科技风险的突出表现，并且根据实际情况统计，大约有50%的生产运行风险是由管理操作原因引起的。为此，工商银行始终坚持“将确保信息系统安全稳定运行放在信息科技工作首位”的指导思想，并持续强化运行管理操作的各项措施，降低系统运行风险。一是建立了全行统一集中的监控管理平台(ECC)，对主机和开放平台等各类应用系统进行实时监控，实现生产操作、监控的自动化；二是通过部署帮助台系统、网络管理系统、性能容量管理系统、资源管理系统等工具和系统，逐步提髙生产运行管理的自动化程度；三是建立了完备的应急管理体系，明确了应急预案和流程，确保出现紧急事件情况下能够进行妥善处理，将事件影响降至最低。

4.信息安全管理

信息安全管理的核心是要建立健全信息安全的内部控制体系，通过技术和管理手段，确保银行信息系统和数据的机密性、完整性和可用性。为此，工商银行建立了一支专门的信息安全防护队伍，及时分析和解决存在的各类信息安全隐患。同时，积极落实信息安全体系规范和信息安全等级保护措施，部署了入侵检测、漏洞扫描等一系列信息安全防护工具，实施了客户端安全管理。由于采取了及时有效的防御措施，假冒网站、网络攻击等事件虽然时有发生，伹没有对信息系统的稳定运行造成不良影响。特别是在北京奥运会期间，工商银行成功抵御了针对网上银行系统的恶意攻击，保障了电子银行业务正常开展，维护了企业声誉。

5.业务连续性管理

多年来，工商银行始终坚持“数据集中处理、主机灾难备份、平台多点接入、业务跨区受理”的原则开展信息系统技术体系建设，自行建立了国内同业领先的完善的技术灾备体系。2003年以后，工商银行建立了核心业务异地灾难备份系统，实施了同城磁盘镜像，成为国内同业第一家同时具备同城和异地灾备系统的银行，为保障信息系统的连续性运行奠定了技术基础。与此同时，工商银行依靠自身力量制定了《信息系统连续性运作计划（ITCP)》，并从2005年开始，每年都进行一次全行业务级灾难恢复应急演练，模拟在上海的生产中心发生灾难或信息系统长时间无法得到恢复的情况下，将全行核心业务切换到北京的灾备中心的技术和业务处理，有效保障了灾备系统的有效性。

三、加强信息科技风险管理需要思考的若干问题

目前，商业银行在实施信息科技风险管理过程中主要面对以下几方面的问题。

1.要关注信息科技风险计量和相关标准规范体系建设

对于银行来说，操作风险本身就是一种比较难以控制的风险，目前世界银行业也没有一种公认的成熟方法来计量。新《巴塞尔资本协议》要求2007年所有的银行都要开始按照协议规定的三种方法中的一种来计算经济资本，进而控制操作风险。伹据调查，60%以上的银行未从2007年开始对操作风险实行量化管理，大多数银行的预期实施时间是2010年〜2012年。可见，银行业在对于整个操作风险的管理体系、流程、计量方法和工具等方面的探索还远远落后于传统的信用风险和市场风险管理等领域。而银行信息科技风险除了人为误操作因素以外，还与日趋复杂的信息系统软硬件环境直接相关，因此要对其进行科学、准确的度量和评估，存在更大难度。从全球范围来看，尽管国际上一些大银行在信息科技风险管理方面已经积累了一定的经验，伹迄今为止真正构建出有效的、完善的、可量化的信息科技风险管理体系的银行却为数寥寥。因此，国内银行业需要首先考虑建立一套量化的指标体系，科学衡量银行的信息科技风险。同时，建议相关主管部门牵头在信息科技管理领域建立相应的标准规范，以指导和促进国内商业银行提髙信息科技风险管理的规范化、标准化水平。

2.正确认识灾难备份体系建设的内涵

建立完备的灾备体系对银行的重要意义毋庸置疑，伹灾备体系建设应遵循什么样的标准和原则，是否所有银行系统都遵循同样的标准建设灾备系统，是商业银行在灾备体系规划和建设过程中需要认真考虑的问题。通常情况下，银行可以根据业务系统的重要性、灾难恢复的时效性要求和银行自身的风险承受能力等因素，参考相关国际标准n，综合评定划分灾备等级，确定业务恢复时间（RTO)、业务丢失时间（RPO)等关键指标，在此基础上，遵循成本效益的原则，按照相应的标准开展灾备建设。目前，国外现代化商业银行普遍采用此种做法，首先确定系统的灾备等级，并相应实施不同的灾备策略，重点对关键设施和系统实施髙等级的灾备保护措施。

因此，建议国内相关行业主管部门积极引导各商业银行根据实际情况，采取分级实施、逐步推进的原则，借鉴国外银行的先进经验，优先确保关键设施和重要业务系统的连续性运作，在实现灾备体系建设目标的同时，也相应降低建设和维护的成本。

3.信息科技风险管理需要业务部门的关注和共同参与

与应用产品创新工作需要科技部门和业务部门共同完成类似，虽然信息科技风险管理更多关注的是IT领域，伹其中相当一部分内容与业务部门息息相关。

在业务连续性管理方面，在科技部门建成了灾备系统的基础上，需要业务部门制定业务层面的应急计划，指导业务人员在信息系统中断和恢复时进行业务的应急处理，从而与科技部门协同开展应急恢复工作。

篇7

每一个人从出生到死亡，都会有各项档案伴随着，随着时间的推进，人口的激增，大量的档案文件，管理起来难度越来越大。加之我国传统的档案文件都是纸质形式的，如果进行档案的调用和检查则有诸多不便，一些档案数据在使用查看的过程中出现了不同程度的残损和缺失。同时，一些档案的管理没有形成完善的体系，导致一些重要的档案数据出现了泄密现象，从小处着手，不能够保证人民群众的个人隐私，从大处着手分析，不利于国家的安全和社会的稳定。因此，必须在现有的基础提高档案管理的重视，加强档案管理工作的调整，全面进行信息化档案信息建设，逐步提高档案的保密性。对此问题，笔者进行了深入的探索和分析，下面进行简单的介绍和分析。

二、全面提高档案管理需要落实的工作

档案资料便于领导对下属进行政治审查和身份考核，同时，它也是目前社会考察人民阶级立场和阶级关系的一个重要途径，因此，我们首先需要肯定，档案的管理、档案的存在具有一定的政治因素。这样，档案管理工作更应该得到相关政府部门的重视。同时，档案的安全关系到一个国家的稳定与否，重要的档案信息的泄漏可能导致一场战争，使得百姓生灵涂炭，因此，加强档案的管理，安全性的保证又是前提。随着国际形势的日益紧张，国家与国家之间矛盾的频发，各个国家都提高了档案管理工作的重视，并结合本国的实际情况，对于档案管理工作提出了具体的要求。就我们国家而言，全面提高档案管理工作，需要从以下几个方面来推进：首先，坚持集中统一的原则，档案的管理工作要由专门负责档案管理的有关部门集中管理，档案局的工作人员必须进行层层的审查和考核，政治立场坚定具有管理档案工作能力的工作人员，考察合格后才能正式上岗工作，同时，要根据不同档案的性质，进行重要等级的分类，将同一级别的档案统一管理；其次，对于一些确实需要手写的部分资料，档案管理人员要一丝不苟、严格谨慎的完成，并进行二次审核，审核无误之后存档；最后，定期进行档案管理人员的业务培训，重点培训档案管理人员的阶级立场和职业操守，提高他们的保密意识，坚决不做任何危害国家安全和人民利益的事情。并要结合实际情况，定期的进行电子计算机操作的业务培训，以便于适应信息化的档案管理趋势。

三、全面档案管理的安全保密及信息收集能力的方法

作为一种关系重大的社会资源，档案信息在具有社会性的同时，又具有一定专业性，也正因如此，它才能满足各行各业的信息需求。我国社会主义市场经济日趋成熟，对信息量的需求也是与日俱增。档案管理工作只有紧跟时展步伐，不断更新与完善才能确保档案信息的全面性与完整性。就目前情况来看，档案管理人员的服务意识、业务水平以及道德素养还有很大的上升空间，进一步加强培训，提高管理人员综合能力刻不容缓。笔者建议，管理人员还可以新增定位服务，化被动为主动，向领导部门征求意见，向科技工作者进行档案法制的宣教，认真落实领导决策，满足受众对各类数据资料的需求。充分利用信息网络等先进技术，提高信息收集效率，实现资源共享。

四、进行信息化档案管理的有效方式

随着档案信息化的深入发展，高新技术逐渐渗透进档案信息的管理工作中，资源信息安全问题面临着严峻考验。如何在信息化日益成熟的时代背景下，安全开展档案信息活动已成为每一位档案管理从业者都必须思考的一个问题。对于档案管理工作者而言，积极引进先进技术，通过合理运用，提高档案管理工作质量，规范档案信息管理操作是很有必要的。在管理档案资料的过程中，工作人员务必秉承良好的工作态度，严格遵循国家相关规定，科学执行档案管理的相关操作，正确处理好档案保密与利用的关系，才能为档案的完整度与安全性提供良好保障，充分发挥档案功能，提高档案资料的有效利用率，为各行各业提供优质的信息服务。做好档案信息的保密工作，利用先进技术加强网络环境的安全性，这需要进行定期的软件管理，以及相关漏洞检查，需要运用科学技术手段来不断的完善，同时，也要求工作人员严格按照相应的计算机操作说明进行规范操作，避免出人为的工作失误。对于这一问题的处理，可以进行档案管理的二次审查处理，这样能够更加提高档案信息的安全性。毕竟保障档案的安全是档案管理工作的核心和关键。

篇8

[关键词]SQL数据库 信息管理 安全性 措施

中图分类号：DF223 文献标识码：B 文章编号：1009-914X（2016）30-0367-01

引言

SQL Server数据库的稳定、可靠、易操作及反应速度快已经被广大用户所周知，但是SQL Server数据库的安全性一直是各大用户所面临的一个棘手的问题，SQL Server数据库的安全性较之其可靠性、稳定及其他特征的重要性有过之而无不及，如果学校的学生信息管理忽视数据库的安全性则易造成数据库内学生信息的丢失、被盗取、被破坏或隐私的泄露，这将给学校和学生造成极严重的影响，因此学校的学生信息管理系统中SQL Server数据库的安全性研究则具有重大的意义。

1、SQL数据库在学生信息管理中存在的安全性问题

1.1 外部网络环境存在安全隐患

学生信息管理系统的主要功能之一是存储学生信息并对学生信息进行管理以及给予有用户登录权限的学生在系统中查询、存取等权限，这势必会要求学生信息管理系统与外部网络环境相联通，因此学生信息管理系统的第一道安全屏障则是网络系统的安全，学生信息管理系统遭外部入侵首先是从入侵网络系统开始。目前，入侵网络系统的主要手段有：网络欺诈、病毒、木马程序以及拒绝服务入侵与攻击等，且这些安全隐患是时刻存在的，网络系统的安全问题会造成学生信息的丢失或被篡改，对学生信息及隐私安全造成巨大的困扰。

1.2 操作系统存在安全隐患

数据库安全的前提条件是操作系统的安全，只有安全的操作系统才能保障数据库系统不被外部网络环境中的病毒等攻击破坏。操作系统的安全主要表现在三个方面：一是操作系统本身存在的安全隐患；二是对操作系统的安全配置存在着缺陷；三是新型病毒攻破操作系统，造成安全威胁。第一道防护墙存在着安全隐患，极易让数据库内部所存信息遭到恶意破坏或窃取。

1.3 从业人员及管理T素质存在安全隐患

数据库的使用者一般分为普通用户、管理员和程序员，不同的使用者分不同的数据库入口。首先，普通用户即学生或老师，这些用户是从系统的前端主页对数据库进行访问、存取，该入口的用户名和密码的鉴别是数据库提供的最表层安全保护措施，这个入口的安全隐患相对较低，即使用户的密码丢失或被窃取也不会给数据库造成致命的破坏。其次，管理员（这里所述管理员为区别于一般管理员的超级管理员，一般管理员与普通用户对数据库的安全威胁类似），他可以从系统后台的任意层进入数据库，对数据库存储信息进行篡改及破坏，权限相对较大，易对数据库形成安全威胁。最后，程序员是直接开发应用系统的成员之一，在系统开发过程中，程序员所拥有的权限较大，可以随意获取数据库内存储信息及其他，而在系统开发完成后，程序员又相当于普通用户，甚至没有操作权限。在这个过程中程序员的素质高低则给数据库的正确、安全运行带来一定的影响。

1.4 存取控制存在安全隐患

数据库安全性应用最重要的一点是确保只授权给有资格的用户访问数据库权限，同时让所有未被授权的用户无法接近数据。目前，最新版本的数据库系统从技术的角度已经达到了系统所要求的安全性标准，但是在数据库系统的管理方面，却存在滥分配和使用用户权限，导致存取控制形同虚设，流于形式，如：给每一位普通用户赋予权限过大，只要有权限访问的用户均赋予超级用户权限；对重要的数据库管理员没有设置密码或设置类似于123456 的弱密码等。这均在不同程度上给数据库的安全带来了隐患。

2、加强SQL数据库在学生信息管理中应用的安全性措施研究

2.1 安装防火墙及杀毒软件，改变SQL Server端口

针对系统可能受外部网络环境中网络欺诈、木马等病毒的威胁，用户端及服务器端可以在系统中设置防火墙及杀毒软件，用以阻止网络中的黑客访问或病毒入侵，防止系统因黑客或病毒入侵造成的学生信息管理系统中数据及隐私的泄露。同时，如果SQL Server需要远程访问，则一定会开放相应的端口，而设法攻击SQL Server的程序主要扫描的是其默认端口，此时应该改变SQL Server的默认端口，用以解决一般的扫描问题。

2.2 选择安全性较高的操作系统，及时堵住技术漏洞

操作系统安全问题的解决措施，主要是针对引起操作系统安全隐患的主要因素来对症下药。对于由操作系统本身的缺陷所带来的安全隐患，用户应该尽量选择安全性较高的操作系统并对其设置必要的安全配置。而对于操作系统安全配置存在缺陷问题，用户应该选择适合该操作系统且更安全的文件系统，如：NTFS。最后，对于病毒、黑客等对操作系统的入侵问题，用户应及时安装防护性较强的杀毒软件以及时堵住Windows和SQLServer自身存在的技术漏洞，防止系统信息遭到破坏或泄露。

2.3 强化从业者及管理员责权意识

针对程序员泄漏数据库系统信息及管理员随意篡改破坏或窃取数据库系统数据问题，用户应该与其签订信息保密协议，同时强化程序员及管理员的责任意识，在系统开发中及使用后出现学生信息泄漏事件应该追究相关人员的责任及管理者的连带责任，同时学生信息管理系统应该不定时修改各使用权限的密码以防止密码泄漏。另外，针对目前出现的较多的SQL注入攻击现象，用户应该安排相关程序员更新系统并重新修改代码且在新代码中加入各种校验码以提高程序代码的安全性与稳定性。

2.4 设置Windows认证模式，合理分配权限

用户访问SQL Server数据库分为两个阶段，一是安全账户认证，二是访问许可认证。在用户登录Windows操作系统或SQL Server数据库进行账户密码安全认证通过后，系统会根据数据库中保存的信息与服务器登录标识是否对应来判断用户能否对数据库进行访问。而SQL Server服务器安全认证有两种模式，分别为Windows认证模式和Windows与SQL Server混合认证模式。由于Windows操作系统具有较高的安全性，SQL Server认证模式较为简单，所以Windows认证模式更安全。为加强SQL数据库的安全性可将安全账户认证设置为 Windows认证模式。同时，应合理分配使用权限，数据库的管理员应具有较强的责任心，应充分意识到数据库使用权限随意分配会给数据库系统的安全造成各种隐患，用户和权限要相对应，且对重要数据库管理员设置安全性较强的密码，切不可不设置密码或设置较弱密码。

3、结语

综上所述，要加强SQL Server数据库在学生信息管理中应用的安全性，需从多个方面着手，由于篇幅有限，本文着重从四个方面分析了加强 SQL Server数据库的安全性措施，主要从外部网络环境、操作系统、管理人员从业人员使用责任、权限分配情况等方面分析了SQL Server数据库存在的安全性漏洞及其解决措施，以期改善并加强SQL Server数据库在学生信息管理中应用的安全性。

参考文献

篇9

[关键词]企业安全；信息管理；设计；实现

doi：10.3969/j.issn.1673-0194.2015.08.057

[中图分类号]TP311.52 [文献标识码]A [文章编号]1673-0194（2015）08-0075-02

近年来，企业安全事故层出不穷，信息安全引起了越来越多企业管理者的重视，成为各个企业不容忽视的关键问题。为了加强企业信息安全，不少企业开始设立独立部门对企业的信息安全进行专业管理，并开始培养专业的信息安全管理人才。

1 企业安全信息管理平台的问题

1.1 安全意识不强

企业要重视信息安全并实施管控，信息安全管理的成败取决于员工的安全意识。人员安全意识欠缺，导致政令不通，监督不力，执行不畅，往往导致信息外泄、系统故障等安全事故。只有树立直接执行人员牢固的信息安全意识，形成企业安全文化，企业信息安全才能真正长治久安。员工信息安全意识的提升并非一日之功，也不是通过简单的一两次培训就能奏效，而是一项持续的、长期的、有计划的、多种方式并用的综合性工作。信息安全意识提升面向企业广泛的受众，其内容涵盖信息安全相关各个领域，重点针对员工日常工作和个人行为，关注各种可能因个人行为不当或警惕性不强而引发的信息安全隐患和事故。由于目标对象的不同，信息安全意识提升内容会呈现出不同的形式、程度，从简洁明了的宣传语，到浅显易懂的安全提示，再到全面具体的安全手册，建立企业专门的信息安全知识库，满足不同方面和不同层次的需要。

1.2 缺乏专业人才

随着经济社会的不断发展，企业对于信息安全管理人才的需求也越来越大。任何组织都是由人组成的，没有人才，组织就不能取得长远发展，更谈不上不断进步和自我完善。企业的发展需要不断补充新的人才。对于多数企业来说，信息安全管理人员的素质决定了单位能否长远发展。信息安全管理是最近几年才兴起的，很多企业还没有配备相关人才，不少高校也尚未开展相关专业，培养信息安全管理方面的人才，国家对于信息安全管理专业的投入也不够。社会整体尚未形成重视信息安全管理的氛围。目前，不少企业的信息安全管理人员十分匮乏，很多企业没有专门的信息安全管理机构，因此也没有配备相应的信息安全管理人员。只有少数企业认识到信息安全管理的重要性，设立了相应的信息安全管理机构。但在这些企业当中，多数企业的信息安全管理机构十分简陋，相关设备也不够健全，专业人员的配备也存在缺失，有的企业虽然配备有信息安全管理人员，但这些人员多数没有接受过系统的知识培训，经验不够丰富，责任心不强，不能履行信息安全管理人员的基本职责。信息安全管理人员素质不高和专业人才的缺失，是企业的发展的阻碍，严重影响了企业的长远发展。

1.3 监管制度缺失

完善、科学的信息安全监管制度对于企业的发展具有十分重要的意义和作用。行为规范制度是指导工作人员进行相关操作的准则和办法，只有建立一套系统的信息安全监管制度，才能规范信息安全管理人员的行为，使操作有据可依，信息安全管理人员对自身行为负起责任。目前我国信息安全管理制度仍不健全，不少企业没有建立起一套完善的内部控制制度，使得很多行为没有操作依据，信息安全管理人员的行为无法有效约束，出现了许多不负责任的行为。这些行为不仅阻碍了企业的发展，也影响了企业的声誉，不利于后续工作的开展。因此，必须建立健全企业信息安全监管制度，为企业后续活动的开展提供保障。

1.4 管理技术落后

信息安全管理需要先进的管理技术和安全技术，为信息安全管理提供有力的技术支持。企业在发展过程中，开发了一系列信息安全管理技术和管理技巧，发挥了一定的作用。但随着经济社会的发展和科技的日新月异，不少技术已经无法跟上时代步伐，很多技术面临淘汰。这些管理技巧不但不能给企业带来益处，反而有可能影响企业的信息安全。因此必须紧跟时代步伐，了解最新的信息安全管理技巧，结合企业实际情况，开发符合时代要求的管理技巧。同时，积极了解最新科技动态，将适合于本企业的技术运用到企业的信息安全管理过程中。

2 如何完善企业安全信息管理平台设计

2.1 增强信息安全管理意识

提高信息安全管理意识是完善企业信息安全管理的重要前提和关键因素。只要具备良好的内部安全控制意识，才能顺利开展后续工作。企业管理者必须深切意识到信息安全管理对于企业发展的重要性和必要性，加大投资力度，及时发现企业信息安全管理中存在的问题和不足。必须加强对企业信息安全管理的重视，切实意识到信息安全管理对于企业发展的重要性，加大资金投入，确保企业信息安全管理良好运作。

2.2 加强人员的素质培训

人才对于企事业单位的发展具有不容忽视的作用。单位的竞争归根结底是人才的竞争。信息安全管理人员的素质对于企业的发展具有重要作用，具有良好素质的信息安全管理人员可以促进企业的快速发展。企业必须重视对信息安全管理人员的培训和投资。信息安全管理人员的投资包括设备的更新，资金的投入和专业教育的提升。同时，要鼓励信息安全管理人员学习最新的信息安全知识，不断更新已有知识，紧跟时代的步伐。企业不仅要注重提高信息安全管理人员的专业素养，也要重视对企业信息安全管理人员的道德培养。只有专业知识而缺乏道德素养的工作人员，不仅不能给企业带来效益，反而会危害企业发展，因此必须重视企业信息安全管理人员的道德素养。信息安全必须不断加强对信息安全管理人员的培训，切实全面提高信息安全管理人员素质，增强信息安全管理人员灵活处理各项事务的能力，不断巩固自身基础知识，培养信息安全管理人员的责任心和创新精神，真正做到与时俱进。只有不断提升企业的信息安全管理人员素质，才能从整体上提升企事业单位的安全管理工作效率，促进企业的长远发展。

2.3 强化信息安全监督管理

监督工作对于企业的发展具有重要作用和意义。良好的监督是企事业单位正常活动的前提。没有完善的监督体系，企事业单位很难确保业务的正常开展。企事业单位应强化信息安全监督工作，建立相应的监督管理机构，对企业内部各项经济活动进行有计划地控制，及时发现企事业单位存在的问题，同时应加强信息安全管理工作，不断提升工作效率。凡事预则立，不预则废。除了做好信息安全管理的内部监督工作外，不断加强信息安全管理的外部监督工作也是十分重要的环节。外部监督主要包括新闻媒体监督和社会大众监督。企事业单位管理者要认识到内部管理的不足之处，认真改正有缺陷的地方，不断完善内部控制建设。同时，也要不断加强新闻媒体的监督作用，发挥舆论的监督作用。内部控制是一项巨大的完整的工程，具有完善的体系和结构，必须保证每个环节落实到位，才能确保整个体系的良性运行，从而发挥出最大的效益。

2.4 提高信息安全管理技巧

除此之外，信息安全管理技巧对于企事业单位的发展具有重要意义。不同的控制技巧适用于不同的企事业单位，也会产生不同的效果。企事业单位采取适合本单位的内部控制技巧，可以提高企事业单位的行政效率。随着时代的发展和进步，传统的信息安全管理技巧已经不适用于现代企业。因此，企业必须根据时代的发展，提升自身信息安全管理技巧，摒弃旧有落后工作模式。另外，在实施信息安全管理技巧时，必须考虑到事业单位的实际运作情况，切忌生搬硬套。应根据企事业单位的具体情况，有针对性地提高信息安全管理的技巧，逐步解决企事业单位在实施信息安全管理时遇到的难题。

主要参考文献

[1]侯卫超.企业信息安全现状分析与管理对策[J].科技信息：科学教研，2007（28）.

[2]王超，林峰.高校校园网络安全管理策略[J].科技资讯，2007（20）.

篇10

1.1计算机信息安全技术问题

出现计算机信息安全问题，证明计算机信息安全技术的防护还存在漏洞，对计算机的信息安全构成威胁。黑客、病毒、恶意软件的入侵，会导致原有的计算机系统瘫痪，安全技术不到位，计算机的安全防线会被攻破，进而感染计算机病毒或信息被泄露，可出现一系列的信息安全问题。另外，在进行数据传输时，隐私、信息会存在泄密的危险，若系统不够严密，随时会受到病毒的侵扰，用户的信息安全受到威胁。以上信息安全问题，归咎于信息安全技术不够严密，数据安全仍受到严重威胁。

1.2计算机信息安全管理问题

在计算机信息安全管理中，用户对信息管理的重视程度不够，缺乏足够的信息安全管理意识，往往忘记备份，一旦数据丢失，会造成不可估量的损失。另外，缺乏严格的计算机信息安全管理制度，没有对账号、密码等重要信息加强管理，都是计算机信息安全管理中存在的重要问题。现代企业的发展离不开计算机信息网络技术，随之带来一系列的安全问题，而计算机信息管理者们没有做好信息安全的应对措施，出现问题时，缺少应急方案，最终导致数据遭窃或丢失。

2加强计算机信息安全管理的有效策略

2.1优化计算机信息安全技术

2.1.1采用数字加密技术

为了加强计算机信息安全管理，优化计算机信息安全技术，采用数字加密技术，为保护计算机信息安全增添屏障。数字加密技术是利用数字来锁定信息、数据，保证数据在传输过程中不会被窃取或泄露，整个传输过程都处于加密状态，只有破解数字才能得到信息，这是保障信息安全的一种有效方式。采用数字加密技术，可以隐藏重要信息，利用数据水印、指纹等方式隐藏数据，以提升数据的安全性，是计算机信息安全技术中实用性最强的安全技术。

2.1.2采用防火墙技术

防火墙技术是利用防火墙这个屏障来阻挡病毒、木马、黑客、恶性软件，等等，以达到保护计算机信息的目的。防火墙通过对数据、信息的过滤，对信息的安全性予以分析和鉴别，将可疑性对象阻隔在外，控制和管理非法入侵者，防止外部用户对内部网络的访问，以避免出现信息窥探或丢失。防火墙具有很强的阻隔性，将网络分成内部网络和外部网络，注重对恶意信息的过滤，将携带非法身份的对象遏制在外。同时，要绑定计算及网络的IP地址和MAC地址，避免他人利用假IP地址侵入计算机系统。

2.1.3采用入侵检测技术

在计算机网络运行过程中，应安装入侵检测系统，一旦有黑客、木马、恶意软件闯入，就会被检测出来，将其阻隔在外，避免对有效信息的窥探和窃取。入侵检测技术具有很强的防御能力，能对非法对象的侵入做出积极反应，达到保护计算机信息安全的目的。

2.2提升计算机信息安全管理水平

2.2.1提升用户信息安全管理意识

计算机信息安全问题的不断出现，与用户的信息安全管理意识薄弱有关。为了加强对计算机信息安全的管理，应从用户本身着手，提升用户对计算机信息安全重要性的认识，在利用网络平台时，应增强个人警惕性，加强对自己重要信息的加密保护，尤其是对账号、密码、身份证号等信息的保护，以避免造成信息泄露或被盗窃现象。

2.2.2提高网络人员的专业素质

为了实现对网络信息的安全管理，应注重对网络安全人员的专业培养，加强对相关人员的技术培训，提升网络管理人员的专业素质。对网络信息安全中可能出现的各种安全问题进行预测，正确使用网络信息安全技术，维护好计算机信息网络。出现问题时，能做出专业性的判断和反应。2.2.3做好信息、数据的备份工作为了实现计算机信息安全管理，应时刻做好信息备份工作，一旦出现信息丢失，可以立即恢复。对信息、数据进行备份，将不再修改的信息刻录在光盘中保存起来；对不确定的信息，可以放在移动硬盘里；对于其他不重要的数据，可直接保存在计算机中。

3结语

篇11

关键词：大数据时代；信息安全；新特点；新要求

1研究背景

在信息技术快速发展的背景下，特别是随着“互联网+”战略的深入实施，大数据技术在各行各业都得到了广泛应用，对于推动“互联网+”战略向纵深发展、促进发展模式转型升级具有十分重要的支撑作用。从总体上来看，大数据技术已经步入了快速发展的轨道，但由于大数据具有开放性的特点，如何确保信息安全显得越来越重要，如果信息安全出现问题，就会导致大数据系统受到影响，甚至出现重大安全隐患，因此一定要高度重视大数据时代的信息安全管理工作。这就需要在应用大数据的过程中，要对大数据时代的信息安全的新特点和新要求有清醒的认识，运用系统思维和创新理念，积极探索更加科学的信息安全管理理念和管理模式，推动大数据时代信息安全管理取得良好成效，为更安全、更稳定、更有效地应用大数据技术奠定基础[1]。

2大数据时代信息安全的新特点

大数据是指数据的大小已超出了典型数据库软件工具的捕捉、存储、管理和分析能力。数据的处理、沟通、汇总、储存和分析已深入社会管理的每个环节并成为其重要组成部分，无所不在的传感器和微处理器以及互联网、社会媒体产生了大数据。由于大数据的诸多特点，而且大数据也已经应用在各行各业，从而使大数据时代的信息安全具有了自身的新特点，突出表现在以下3个方面。

2.1系统性

由于大数据系统的应用，也使大数据时代的信息安全面临较多的系统性风险，其中重要的原因就是系统漏洞风险相对比较突出。由于大数据系统体系不够完善，极易给信息带来安全隐患，甚至由于出现系统性风险，导致大数据系统出现漏洞，进而容易遭到攻击，因而如何有效防范系统性风险，应当成为信息时代信息安全管理的重中之重。

2.2多元性

由于大数据系统具有开放的特点，从而直接导致大数据系统的信息和数据可以进行共建、共用、共享，因而信息安全具有多元性的特点，但由于数据信息共享过程中需要进行科学管理，如果操作不当，也会导致信息安全受到威胁。特别是由于大数据技术与云技术已经步入融合发展的轨道，因而也增加了数据和信息安全隐患，篡改、破坏、盗取等信息安全问题层出不穷，需要引起重视。

2.3防控性

在大数据时代，尽管各类数据和信息安全隐患具有一定的客观性，但仍然具有可防、可控的特点。随着信息技术的快速发展，通过采取成效的防范措施可以有效防范和控制信息安全风险[2]。

3大数据时代信息安全的新要求

由于大数据时代具有开放性、系统性、共享性等诸多特点，特别是由于大数据具有数据规模大、应用范围广的特点，而信息安全又具有一定的新特点，因而对大数据时代的信息安全提出了新要求，具体表现在以下3个方面。

3.1加强系统安全

在大数据时代，由于大数据系统对使用单位和使用者提出了更高的要求，最重要的就是要进一步加强大数据系统的安全性，从而才能保障信息安全。例如，一些企业在应用大数据技术的过程中，高度重视系统安全设计，不仅重视硬件设施安全，而且也高度重视软件系统安全，通过运用正版软件以及设置防火墙确保大数据系统更加安全。此外，也有很多企业采用物理隔离方式，同样可以保证系统安全。

3.2加强数据安全

数据安全是信息安全的重中之重。由于数据是大数据技术应用的基础，如果数据出现问题，必然会对整个大数据系统造成严重的不良影响。因而，在应用大数据技术的过程中，必须进一步加强数据安全。比如，一些企业在应用大数据技术的过程中，高度重视数据的安全管理，不仅建立了比较完善的管理制度，而且还高度重视数据的备份与恢复工作，即使出现数据被篡改、盗取以及破坏的情况，也能够将损失降到最低。

3.3加强应用安全

由于大数据技术具有开放性的特点，大数据技术在应用的过程中极易出现安全隐患，因而一定要高度重视大数据系统的应用安全。在这方面，一些企业为了能够有效防范和控制风险，在应用的过程中制定了比较完善的应用机制和应用制度，切实加强数据管理和信息管理，比如采取“专机专人专用”的方式，避免出现操作风险。再比如，通过加强应用人员的教育和培训，也同样能够保障信息安全[3]。

4大数据时代加强信息安全管理的措施

在大数据时代，信息安全具有一些新特点，而且对信息安全也提出了新要求。即使如此，由于大数据技术与云技术的融合应用，信息和数据具有一定的开放性，而且信息技术也会被一些不法分子利用，从而会对大数据时代的信息安全造成不利影响。在这种情况下，一定要高度重视大数据时代的信息安全管理工作，努力通过自身的主观努力，确保大数据时代的信息安全。

4.1重视信息安全管理工作

要想做好大数据时代的信息安全管理工作，最重要的就是要适应大数据时代，从自身的实际情况以及未来发展需要入手，着眼于大数据技术的科学和有效应用，进一步提高对信息安全管理工作的重视程度。第一，加大信息安全管理工作的投入力度，特别要在人力、物力、财力方面给予保障，强化硬件系统和软件系统的安全性、稳定性以及防范性，为应用大数据技术以及开展安全管理工作创造条件。第二，牢固树立风险管理理念。由于信息安全隐患始终存在，因而一定要增强防范意识，既要重视大数据系统的“清洁性”，同时也要引起管理层面的重视，通过加强刚性管理提升信息安全管理的规范化和效能性，并且要建立严格的激励和约束制度，避免出现任何信息安全风险。

4.2完善信息安全管理体系

完善信息安全管理体系，对于确保信息安全管理工作取得实实在在的成效具有十分重要的支撑作用。首先，在构建和应用大数据系统的过程中，一定要完善信息安全管理体系，努力提升信息安全管理工作的组织化水平和科学化能力。其次，建立专门的组织机构，具体负责信息安全管理方面的相关工作，重点要在组织、落实、监督、检查等诸多方面开展工作，确保有条不紊地开展信息安全管理工作。再次，高度重视信息安全“风险点”管理工作，建立“风险点”排查和处置机制。对于可能出现的信息安全“风险点”，都要纳入风险管理体系，通过有效排查找出重点防范和控制领域，加强信息安全管理投入，努力在防范方面取得突破。最后，要将“管”与“理”紧密结合起来，切实做到管得住、理得清，因而一定要建立相应的信息安全管理责任体系，各负其责，各司其职，通过明确安全管理责任提升管理效能。

4.3优化信息安全管理制度

对于开展信息安全风险管理来说，一定要高度重视信息安全管理制度建设。这就要求在开展信息安全管理的过程中，要从大数据时代信息安全的新特点和新要求入手，制定和完善更加科学和完善的信息安全管理制度。同时，要建立大数据信息录入、存储、使用、保护等诸多制度，并且要进一步提高制度的执行力，对于严格执行制度的给予奖励，对于不严格执行甚至出现问题的要给予惩处[4]。

篇12

安全管理在任何领域都是不可忽视的重要问题，高校作为国家孕育和培养高素质人才的基地，主要面对的人群是尚未步入社会、毫无实践经验的青年人，安全管理显示着对国家未来人才的负责任态度。计算机作为一种基本的学习和交流工具，在高校内已全面覆盖应用，对庞大的计算机数据和设备进行信息化安全管理同样是对使用人群的负责任表现。通过以下几点对信息化安全在高校计算机管理中的应用进行阐述。

1加强硬件设备安全管理

1.1设置保密度高的登录密码

在计算机安全管理过程中，若网络终端的登录口令太过简单，使用重复率较高或是较简单的口令，如“123456”、“888888”等，极容易造成信息泄露的情况。高校要想加强网络终端设备的安全管理，首要将原本简单的登录口令更换为保密度较高、较复杂的口令，如可以在密码中加入字母、数字、特殊符号等，或者还可以使用专业的动态密码登录设备，在每次登录时会随机生成新密码，可防止固定密码被破解。另外，还应加强教师和学生使用计算机的安全意识，要注意使用计算机时无意弹出的网络连接、下载程序和电子邮件等。

1.2加强控制外部接入设备

在计算机安全管理过程中，还应加强控制外部设备端口的安全管理，如串口、USB以及红外等；同时还应加强控制移动设备的安全管理，如无线、光驱、打印机等。对计算机外部接入设备的安全管理可分为只读、禁止与安全三个层次，管理人员可通过授权认证制度在发现违规操作或违规接入行为时，立即给予警告和制止。此外，还应设置安全管理系统，对外接设备的文件传输进行监控和跟踪，如文件复制、增加或删除等，以避免发生信息泄露的情况。

1.3加强控制计算机网络终端

以往传统的计算机网络终端使用分散式管理，没有系统性的安全策略，且无整体防御措施。因此，计算机安全管理人员应从网络终端安全管理开始监管。通过网络终端接口认证、安全策略服务器和全网络客户端等设备，对所以不符合安全管理要求的终端均控制在隔离区外。在必要时，可实施拒接入网，或是可以将通过安全监测的网络终端直接接入内部网络，从而实现从源头上对计算机网络终端进行安全控制和监管的目标。

2加强信息存储安全管理

高校的计算机信息化安全管理应建立一个统一的管理体系，由网络安全管理软件、检测系统、防火墙、杀毒软件等组成，对信息安全性、完整性、合规性进行管理。其中信息安全性管理包括程序安全管理、物理安全管理、数据安全管理；信息完整性管理主要对应用程序安全与软件质量进行安全管理；信息合规性管理是指保证信息和信息的使用符合法律法规的要求。

2.1建立检测系统

大多数的高校计算机信息方面的泄露事件或攻击事件均发生于高校内部网络，其中内部人员的使用和操作是防火墙的盲区。因此，计算机信息安全管理人员应加强对计算机信息安全的管理，建立信息安全管理检测系统，不仅可以弥补防火墙的不足，还可为信息安全提供全程检测，在发现异常情况时可以立即采取相应措施进行防护和修复。

2.2病毒的过滤及防护

计算机信息安全会受到多方面、多领域的病毒威胁，其中主要包括移动硬盘、光碟、U盘和互联网等，为减少病毒的入侵和损害，大多数情况下会使用多层病毒防护体系来进行全网统一杀毒措施。其中全网分布式病毒防护的重要措施之一是在互联网的网关上设置病毒过滤网关硬件，优化的杀毒软件可避免错失防毒杀毒的最佳时机。

2.3防火墙设置

防火墙是设置不同网络之间所有部件的组合，是通过网关来对信息交流进行控制。防火墙主要作用是防御外来网络的攻击，解决外来者是否被允许访问内部服务、内部服务是否允许外部访问等问题。高校计算机信息安全管理应加强对防火墙的设置，以实现信息安全管理的目标。

3结语

篇13

【关键词】银行;信息安全;管理体系

从上世纪八十年代至今，信息技术因其独特的优势在银行业的地位发生了巨大的变化。在银行业应用信息技术之初，只是被作为提高银行工作效率的手段，随着信息技术的不断发展与进步，当前其已经成为银行系统中不可或缺的工具。可以说信息技术的发展促进了银行管理模式的变化，并且直接影响到银行的业务流程[1]。由于银行对信息技术的依赖程度越来越高，银行信息系统的运行安全与银行业的安全以及国家金融稳定密切相关，因此做好银行信息安全管理是保障国家金融稳定运行的重要措施。目前我国银行的信息技术水平与规模得到了不断提高，但在信息安全管理方面存在一些不足，这就需要构建银行信息安全管理体系，对银行的各项信息进行全面的管理，有效避免风险的发生。

1.银行信息安全管理中出现的问题

各种信息技术设备在银行业的广泛应用，虽然有效提升了银行的工作效率与服务质量，但是也逐渐暴露出各种信息安全管理问题，主要表现在以下几个方面。

1.1 信息安全管理体系不健全

我国很多银行在安全管理方面存在各种问题，其中最为普遍的就是信息安全管理体系不健全。这些银行的起步较晚，信息技术的应用范围相对狭窄，在风险评估与等级保护等方面有待完善，并且信息安全的实施策略、标准以及质量控制等还没有达到国际标准。同时部分银行制定的信息安全策略不够完善，尤其表现在信息资产的管理以及业务管理等方面，极大增加了信息系统的安全隐患，而一些银行的信息安全管理工作流于形式，根本没有建立全面而长效的信息安全管理机制。

1.2 运维监控与预警系统存在问题

我国的一些银行还没有建立有效的运维监控与预警系统，或者在银行的硬件设施与业务系统方面存在一些缺陷，无法对银行的重要设备以及周围的环境进行实时监测。部分银行在风险预警监控方面的自动化程度有待提高，而在对突发事件、意外事件等进行预警与监测时人工检测占据了大部分比例，这样就很难保障银行风险预警监控的可靠性与及时性。

1.3 银行工作人员导致的风险

当前很多银行的管理人员并没有加强对员工安全意识的定期强制性培训，员工普遍缺乏安全意识，在工作过程中不能很好地保障银行的信息安全，在出现问题后也无法及时发现，这就导致银行潜在的风险增加。一些银行员工由于缺乏安全意识，可能会将私人的优盘等设备接入银行的信息系统中，导致病毒入侵，直接威胁到银行的信息安全。同时目前银行还普遍缺乏风险管理专业人才，无法做到对风险的专业化管理[2]。

1.4 信息技术的监控与审计不完善

当前部分银行在信息技术的监控与设计方面有待加强。首先审计问题的整改落实不到位，银行在通过审计发现问题后没有及时查处，或者查处的力度不够，缺乏长效的监督;大多采用经济处罚，遇到侵犯领导利益的事件就大事化了或隐瞒事实。其次，银行审计的广度、深度还不够，并且审核的周期与间隔较长，部分基层银行甚至完全不开展信息技术审计工作。一些银行虽然开展了审计工作，但审计缺乏深度，很难识别深层次的安全隐患[3]。

2.加强银行信息安全管理的重要性

银行加强信息安全的主要目的就是为了保障信息化的持续稳定发展，信息安全不仅属于技术问题，也属于管理问题。从信息技术层面来看，当前我们使用的很多操作系统存在一定的安全漏洞，开发商会针对发现的漏洞设计相应的补丁程序，这就需要定期更新系统。例如，运用主机热备份以及灾难备份的方式，可以有效保障信息的安全运行。同时一些软件开放人员在编程设计过程中留有“后门”，如果这些“后门”被不法分子知道，就会将该部分作为攻击目标，进而影响到信息系统的安全。当前大部分的黑客攻击等都是由于系统“漏洞”引起的，因此银行在应用软件过程中应该尽量避免留有“漏洞”。

此外，随着我国信息化技术的不断发展，信息系统的安全管理也被纳入国家的重点项目中。与世界上的部分发达国家相比，我国的信息安全管理工作起步较晚，但是发展较快，并且对系统风险认识的不断深化促进了信息安全管理的发展。对于银行而言，信息安全是至关重要的问题，这是因为任何一个环节出现问题，都会对整个系统的发展带来影响，甚至导致全局性的失误。例如，银行传统的信贷、柜台等业务已经有多年的信息安全管理经验，而信用卡作为一种新型的业务，它连接了多个方面的利益关系，其中涉及到发卡行、特约商户以及持卡人之间的关系，因此信息安全就成为重中之重。在银行开展各项业务过程中，信息和数据是基础[4]。此外，从客户的角度来看，银行在给客户提供服务时，必须保障提供信息的准确性、可靠性与安全性。由此可见，银行加强信息安全管理是十分必要的。

3.构建银行信息安全管理体系的思考

二十一世纪属于信息网络时代，我们生活中的大部分工作与事物都会用到信息技术，而在应用信息技术过程中也伴随着一些信息安全问题。根据银行安全管理中出现的问题，并结合银行业的未来发展规划，我们应该构建一个健全、高效的银行信息安全管理体系。

3.1 建设信息安全管理技术体系

在整个银行信息安全管理体系建设中，先进的技术是其中最为重要的部分，运用先进的信息技术能够有效避免出现安全事件。我们使用较多的信息技术有身份识别、系统防火墙、防病毒技术等，同时也可以使用漏洞扫描、边界防护等技术，通过多种安全防护技术来加强信息安全管理。

在使用防火墙技术时通常是将其设置在网络的边界上，以此对外界进行隔离，对信息安全管理系统进行安全强化[5]。病毒是信息网络中最为常见的安全问题，如果出现网络病毒将给银行带来巨大的经济损失，这个时候我们就需要对重要文件进行实时备份，并且及时更新病毒数据库。此外，在信息安全管理系统中充分应用身份识别技术，即用户在登陆系统提交信息后，系统将严格识别操作者的身份，必要时会控制操作者的操作活动。

3.2 建设信息安全管理体系

所谓“三分技术七分管理”，银行信息安全管理体系中的管理体系起到控制各种活动的作用。首先设置文档化的管理体系，它包括制度建设与人员管理两个部分。从银行的制度、政策、操作流程等多个方面进行监督，对各个角色在信息系统中的活动进行监控。在信息安全管理系统中制定科学完备的管理制度，可以为信息安全提供基本保障，各大银行都应该积极制定并完善自身的信息安全管理制度，如制定并按时更新《信息安全管理办法》等，切实保障信息系统的安全运行。

信息安全管理系统的重要职责就是对操作人员进行管理，在人才选拔过程中应该严格按照银行的聘用制度操作，不能单靠关系。在用人方面应该对员工的行为进行严格监督，加强员工的安全意识培训，避免由于员工的疏忽、私欲等导致银行信息系统被破坏。同时建立科学合理的银行人事任用制度，保证内部员工能够按照相关规范完成信息系统的管理工作，并及时让技术人员掌握最新的技术。通过建设信息安全管理体系，让银行运行过程中的各项程序、日常维护、监控等操作符合规范，以此保障信息系统的稳定可靠运行。

为了提高银行信息系统的安全性，管理人员也需要对已经识别的安全信息进行正确应用，定期检测系统中的安全事件并及时解决，实时监视信息安全管理系统的运行情况，查看技术以及管理方面的控制措施是否合理。对信息系统的监控是一个长期的过程，监控的过程应该密切联系信息系统的周期，监控程序应该能够对与安全相关的结果进行改进，以提高信息系统的安全性。通过信息安全管理系统的构建，让银行业务数据的完整性、准确性与真实性得以保障;让信息系统、网络系统以及其它应用系统的安全性得以保障;让与信息系统相关的设备、环境与存储介质的安全性得以保障。

4.结语

银行在应用先进信息技术提高银行工作效率并方便大众的同时，也应该加强对信息安全的管理，从技术和管理层面构建完善、高效的信息安全管理体系，避免重要信息的泄露，以此有效降低安全事故的发生率，营造良好安全的银行服务环境。

参考文献

[1]赵小东.数据集中模式下银行业信息系统灾备体系的研究与应用[D].山西财经大学，2011.

[2]王阳.基于IS027001的风险评估系统的设计与实现[D].大连理工大学，2010.

[3]王令朝.创建铁路信息安全管理及其标准体系的探讨[J].铁道技术监督，2010，38（07）.

[4]石磊.金融业信息安全风险评估存在的问题及对策[J].中国金融电脑，2011，10（02）.

篇14

关键词：企业信息安全；信息安全技术；内部管理；信息技术；企业管理 文献标识码：A

中图分类号：F270 文章编号：1009-2374（2015）03-0162-02 DOI：10.13535/ki.11-4406/n.2015.0270

信息技术的应用为企业管理和运营带来了极大的便利，而且随着信息技术在企业中的应用程度越来越高，信息系统在企业管理中发挥的作用也越来越大。但是，企业在享受信息技术带来便利的同时，企业也面临着信息安全的问题。在网络环境下，企业信息系统存在来自物理环境、网络环境和人文环境等多个方面对信息安全产生的威胁。根据有关统计，我国半数以上的企业遭受信息攻击而出现信息泄漏，给企业带来经济损失。尤其是中小企业，它们面临的信息安全问题更加严重。因此，加强企业信息安全管理、保障信息安全，是企业必须重视且亟需解决的问题。

1 加强信息安全管理对企业的重要性

1.1 维持企业核心竞争力的需求

每个企业或多或少都存在机密的商业信息数据，如核心产品、设计文档、用户信用卡信息、订单信息、联系方式等。在市场化程度不断提高的环境下，这些信息是企业发展的命脉，关系到企业生死存亡。一旦企业的核心机密信息被泄漏，企业不仅会面临巨大的经济损失，企业可能因失去核心竞争力而失去市场。

1.2 企业制定科学决策的需求

企业制定决策严重依赖企业的各项数据，如果数据出现错误，会导致企业制定错误的决策，影响企业发展方向。而加强信息安全管理可以保障企业信息数据的真实性和完整性，为企业制定决策提供科学的参考和分析材料。

1.3 保证信息可用性的需要

企业的数据信息不仅是企业决策层制定决策的科学依据，也是企业其他职工开展工作的依据。加强企业信息安全管理工作可以防止因数据丢失引起的人员、流程、

技术服务中断，确保企业的关键系统得以正常运行。

2 企业信息安全出现问题的原因分析

2.1 重视程度和认识不足

当前许多企业的管理人员对信息管理没有形成正确的认识，对信息安全的认识普遍不够重视。具体表现在：企业管理人员关于信息安全管理的模式为事后管理，只有信息安全出现事故后才会采取措施解决问题，并没有主动采取预防措施。部分企业的管理人员对信息安全存在侥幸心理，认为企业可能不会遭受病毒攻击。重视程度不够造成企业不重视加强信息安全管理措施，导致信息安全面临威胁。

另外，企业员工也存在认识不足的问题。由于企业绝大多数员工是信息系统及信息的使用者和提供者，因而企业员工对企业信息安全与否有巨大的影响，企业信息安全管理也需要企业所有员工的参与。但是，从许多企业的信息安全事故可以看到，多数企业出现信息安全的主要原因不是来自网络黑客的恶意攻击，而在于企业内部员工在有意或无意识状态下造成的信息泄漏。这一原因也反映出企业员工对企业信息安全的认识和意识都存在不足，这也是企业信息安全保障系统问题的主要

方面。

2.2 缺少有效的信息管理制度

信息管理属于比较新的领域，当前政府在信息安全管理方面的法律法规并不完善，现有法律法规的安全技术和手段不成熟，缺少标准规范，政府无法根据现有法律法规制定合理的安全策略，保障法律法规可以得到有效的落实。在企业方面，尤其信息安全管理属于系统性统称，它涉及计算机技术、网络技术、信息管理等多个方面。然而计算机和网络技术处于不断发展状态，信息系统也需要不断升级换代。因此，企业信息系统运行风险和安全需求应采取同期化管理方式，不断调整现有安全策略。而企业制定管理措施后以为可以一劳永逸，并没有在随后不断调整安全管理策略。

2.3 缺少信息安全技术

计算机信息技术包括信息安全技术、数据恢复技术、系统维护技术、数据库应用技术等多项技术组成的计算机综合应用学科。由于技术发展的局限，在设计硬件和软件过程中难免存在技术缺陷，导致软硬件存在漏洞。从企业信息遭受的外界攻击来看，外界攻击的目的并不在于破坏软硬件的底层系统，而是通过软硬件的漏洞侵入系统，窃取企业的核心数据。企业自身对信息安全投入不足，企业的网络结构简单，为他人提供了可乘之机；企业也没有强大的计算人才队伍维护企业信息系统，部分企业甚至缺少专业的管理人员，致使信息安全频发。

3 加强企业信息安全的对策

3.1 提高企业领导和员工的重视程度

首先，企业领导要转变观念，深入对信息安全的认识。其次，对企业员工而言，企业可以聘请专业计算机信息技术人才对企业员工进行安全教育培训，提高企业员工对信息安全的认识，转变职工的观念，加强自身安全规范，避免出现泄漏企业信息的行为。另外，企业要制定企业人员信息安全行为规范，如奖励和惩罚制度、信息安全责任制度，明确信息安全管理责任人及其承担的责任，强化员工的安全意识。加大企业对信息安全的投入，一方面加大信息安全软硬件的投入，信息系统的技术水平；另一方面加大信息安全技术人才队伍建设，企业可通过培养或招聘方式提升信息安全管理队伍的业务水平。

3.2 建立完善的信息安全管理体系

企业信息安全管理体系包括完善的组织体系、信息安全规范、信息安全管理流程。组织体系包括制定和信息安全管理规范、信息安全管理组织工作两项内容，可以有效保障各项信息安全管理措施能够得到有效的落实，促进企业不断改进信息安全体系。信息安全规范的主要内容为对各种信息安全策略加以详细说明和介绍，它的存在最大限度地减少人为因素对企业信息安全造成的威胁。企业信息安全管理流程需要企业根据科学的信息资产评估和分先分析模型法设计系统安全模型，再以此为根据制定和实施科学的安全策略。企业选择可靠的信息安全产品，在安全策略要求下采取安全防范措施。由于技术和设备处于不断的变化和更新状态，企业的发展情况也不同，这要求企业建立安全防范体系后还需要重视信息安全管理，并根据网络信息和网络安全特点及时更新安全防范体系，实现安全防范体系动态

发展。

3.3 提高企业信息安全技术

制定完善的信息安全管理体系后，还需依靠高水平信息技术发挥管理体系的作用。由于当前对企业信息安全产生威胁的技术较多，防止信息安全漏洞的技术也较多。但是，企业必须做好验证与授权、预防和抵制、检测和响应三个技术领域，再选择有效的安全防御技术。验证与授权分别是验证用户身份和决定用户访问权的方法，当系统确定用户身份后可以明确用户的访问权限，用户才能使用自己的账号和密码访问权限范围内的信息。预防和抵抗是通过过滤、加密和防火墙等措施防止非法入侵系统并访问企业信息，它是企业必须加强的安全防御环节。监测和相应是企业信息安全的最后防线，杀毒软件是常用的探测和反应技术。

4 结语

总而言之，企业信息安全必须立足于企业信息安全内部管理和信息安全技术两个方面，二者缺一不可。企业要以信息安全技术为支撑，完善内部管理体系和制度建设，加强监督和管理。同时做好企业职工的信息安全教育，提高职工的意识。从企业领导到企业职工、从技术到管理，全方面做好信息安全管理，保障信息安全。

参考文献

[1] 耿家观.企业信息安全问题与对策分析[J].网络与信息，2012，（7）.

[2] 李国强.网络环境下企业信息安全隐患与防范策略

[J].网络财富，2010，（15）.

[3] 杨福生.网络环境下企业信息安全管理对策[J].中外企业家，2013，（20）.