企业信息安全现状精选(十四篇)

序言：作为思想的载体和知识的探索者，写作是一种独特的艺术，我们为您准备了不同风格的14篇企业信息安全现状，期待它们能激发您的灵感。

篇1

问题困扰企业内部信息安全

报告指出，缺乏统一管理易形成“木桶效应”、安全软件误报、电脑设备独立升级占用企业带宽、漏洞补丁升级滞后、终端安全缺失、BYOD环境下WIFI上网缺乏管理、安全制度落后等问题困扰企业内网。

安全制度落后和缺乏统一管理是问题的关键。对此， Gartner副总裁彼得·福斯特布鲁克表示，企业安全属于一种集体安全问题。一般来说，联入内网系统的电脑中，只要有一台电脑被黑客攻破，那么就有可能造成内网安全体系的崩溃和商业机密的泄漏。也就是说，安全性最差的一台电脑实际上就决定了整个企业内网系统的安全级别，这就是企业安全问题中的“木桶效应”。而近年来随着APT高级持续性威胁形式日益严峻，这种“木桶效应”暴漏的更加明显。“完善的安全体系建设需要有产品做基础，有技术做保障、有服务做配合、有制度做管理。只有产品、技术、服务、制度协调配合，多管齐下，才能保障企业内网的安全。”同时他强调，安全问题不只是技术问题，究其根本是人与人，人与组织，组织与组织之间围绕利益的对抗行为。

脆弱的企业外网

随着电子商务的崛起，建立官网进行对外宣传和展示，以及进行相关产品的，已经成为企业的通用手段。因此，企业网站已经成为企业对外的一面镜子，反射出企业的自身形象。但是这面镜子在来自互联网的攻击面前却十分脆弱，很多企业由于各种问题被黑客攻击，造成用户流失，导致巨额损失，并严重影响了企业自身的形象。

《报告》显示，出现上述问题的原因，主要是由于企业网站存在漏洞，导致网站被拖库、篡改和流量攻击。同时，企业外网安全受到威胁的同时，也出现了一些新的趋势：一是，病毒木马的数量出现了明显的下滑，但是钓鱼网站呈现快速增长势头。来自中国互联网中心的数据显示，2012年新增钓鱼网站87.3万个，相比2011年增长73.9%。二是，网络存储和云共享成为木马新兴渠道。

解决方案分析

《报告》认为通过“边界防御+云端防护+终端防护”的解决方案，能够有效解决传统的安全防护检测手段单一、性能瓶颈、维护成本高、响应速度慢等问题。同时，鉴于云计算技术的普及，奇虎360总裁齐向东建议，在云端安全中使用分布式存储、分布式计算。把云端安全体系移植进企业内网，能最大程度保障企业业务系统和数据的安全，有效降低资源占用率和运营成本；在边界防护方案中可通过信息采集，进行协议还原对通信进行准入管理，阻断攻击。而在终端安全中需实现网络准入控制、程序准入控制和硬件准入控制。

此外，《报告》还指出到2020年，绝大多数企业都将无法独立的实现信息安全的保护。他们需要中央实体（如安全公司或政府）的统一管理和保护。而为了实现快速检测和快速响应，企业需要通过中央实体来实现情报共享。海量的黑白名单服务和漏洞预警服务是实现企业情报信息共享的必要手段。

链接———企业信息安全关键词

泛安全 未来五年或十年里网络安全会变得更加严峻，现在的互联网安全公司不能只把杀毒软件当成安全产品，应该更广泛地关注用户的网络安全需求。奇虎3 6 0总裁齐向东认为，除了电脑病毒外，用户的互联网安全还面临很多其他威胁，例如数据泄露、信息骚扰等。互联网安全公司不能只关注杀毒软件等传统安全产品，而应该更重视用户体验，把用户遇到与安全有关的问题都解决好，这才是新的产品思路。

篇2

关键词：信息化信息安全网络安全

根据国家统计局年初公布的数字显示，国内企业总体的99％都是中小企业，他们贡献了超过一半的国内GDP。但截止到目前，这些中小企业的信息化水平仍然比较落后，其中针对信息安全的投人，更是凤毛麟角。

对于国内占大多数的中小企业来说，如何在充分利用信息化优势的同时，更好地保护自身的信息资产，已经成为一个严峻的挑战。特别是近两年来，网络上的病毒、攻击事件频发，信息安全问题正在日益成为中小企业信息化进程中的难题。

一、什么是信息安全

信息是一种资产，与其它重要的资产一样，它对一个组织而言具有一定的价值，因此需要适当的加以保护，而信息又可以以多种形式存在。如可以打印或者写在纸上，以数字化的方式存储，通过邮局邮寄或电子手段发送，表现在胶片上或以谈话的方式说出来。总之，信息无论以什么形式存在，以什么方式存储、传输或共享，都应得到恰当的保护。

所谓信息安全是指信息具有如下特征：

安全性：确保信息仅可让授权获取的人士访问；完整性：保护信息和处理方法的准确和完善；可用性：确保授权人需要时可以获取信息和相应的资产。

信息安全是指使信息避免一系列威胁，保障商务的连续性，最大限度地减少业务的损失，从而最大限度地获取投资和商务的回报。它主要涉及到信息传输的安全、信息存储的安全、以及网络传输信息内容的审计三个方面，它可以通过实施一整套恰当的措施来获得。但目前我国的信息安全令人堪忧，随着政府上网和企业信息化的推进，越来越多的企业的日常业务已经无法脱离网络和信息技术的支持，那么我国中小企业的信息安全现状如何呢?

二、我国企业信息安全的现状

（一）企业的重视程度

随着信息化的加快，企业信息安全越来越受到重视，而我国的中小企业信息安全现阶段正处于初级阶段。在推进企业信息化的进程中，有些中小企业对于信息化概念的认识远远不够，它们认为购置几台电脑放到公司，日常用来打打字，将单个机器连结到网上企业就信息化了，远远没有认识到信息技术给企业所能带来的巨大的变化，对于网络安全更是没有意识。

据调查，目前国内90％的网站存在安全问题，其主要原因是企业管理者缺少或没有安全意识。某些企业网络管理员甚至认为其公司规模较小，不会成为黑客的攻击目标。如此态度，网络安全更是无从谈起。

（二）资金、技术、人员方面情况

已建立了企业内部信息化平台的企业，由于资金、技术等方面的原因，还没有把重点放到网络安全管理上，尤其是中小企业的安全问题一直隐患重重。

据了解，许多中小企业没有专门的网络管理员，一般采用兼职管理方式，这使中小企业的网络管理在安全性方面存在严重的漏洞，与大型企业相比，它们更容易受到网络病毒的侵害，损失也比较严重。

根据IDC对年我国政府、企业用户的信息安全状况分析，约有34．8％的企业因内部雇员的行为(包括对内部资源的不合理使用和对内部数据缺乏有效保护)而造成企业出现安全问题。

（三）网络维护、运行、升级方面的情况

在网络的维护、运行、升级等事务性工作方面，由于工作繁重而且成本较高，一些善于精打细算的中小企业在防范黑客及病毒方面舍不得投入，据相关调查数据资料统计，国内七成以上的中小企业，一是缺乏基本的企业防毒知识，购买一些单机版防毒产品来防护整个企业网络的安全。二是采购了并不适合自身网络系统的企业防毒产品，因此留下许多安全隐患。三是技术力量薄弱，虽然部署了企业防毒产品，但是这些产品操作难度大、使用复杂，最终导致很难全面发挥效用，甚至成了摆设，这样一来企业内部网络就根本没有什么安全而言。

三、如何保证我国中小企业的信息安全

（一）从企业的自身情况考虑

要解决中小企业网络信息安全问题，不能仅依靠企业的安全设施和网络安全产品，而应该考虑如何提高企业自身的网络安全意识，将信息安全问题提升到重视的高度，要重视“人”的因素。具体表现在以下两个方面：

1．提高安全认识

定期对企业员工进行网络安全教育培训深化企业的全员信息安全意识，企业管理层要制定完整的信息安全策略并贯彻执行，对安全问题要做到预先考虑和防备。

2．要求中小企业在上网的过程中要做到“一做三不要”

（1）将存有重要数据的电脑坚决同网络隔离，同时设置开机密码，并将软驱、硬盘加密锁定，进行三级保护。

（2）不要在自己的系统之内使用任何具有记忆命令的程序，因为这些程序不但能记录用户的击键动作甚至能以快照的形式记录到屏幕上发生的一切。

（3）不在网上的任何场合下随意透露自己企业的任何安全信息。

（4）不要启动系统资源共享功能，最后要尽量减少企业资源暴露在外部网上的机会和次数，减少黑客进攻的机会。

（二）从网络安全角度考虑

1．从网络安全服务商的角度来说，服务商要重视中小企业对网络安全解决方案的需要，充分考虑中小企业的现实状况，仔细调查和分析中小企业的安全因素，开发出适合中小企业实际情况的网络安全综合解决方案。此外，还应该注意投入大量精力在安全策略的施行及安全教育的开展方面，这样才能为中小企业信息安全工作的顺利开展提供坚实的保证。

2．要用防火墙将企业的局域网(Intranet)与互联网之间进行隔离。由于网络攻击不断升级，对应的防火墙软件也应该及时跟着升级，这样就要求我们企业的网管人员要经常到有关网站上下载最新的补丁程序，以便进行网络维护，同时经常扫描整个内部网络，以发现任何安全隐患并及时更改，才能做到有备无患。

3．企业用户最好自己学会如何调试和管理自己的局域网系统，不要经常请别人来协助管理。中小企业要培养自己解决安全问题的能力，提高自己的信息安全技术。如果缺乏这方面的人才就应该去引进或者培养相关人才。

4．内部网络系统的密码要定期修改。

由于许多黑客利用穷举法来破解密码，像John这一类的密码破解程序可从因特网上免费下载，只要加上一个足够大的字典在足够快的机器上没日没夜地运行，就可以获得需要的账号及密码，因此，经常修改密码对付这种盗用就显得十分奏效。当然，设定密码也有很深的学问，只有随意性强、有足够的长度并及时更新的密码才能算是比较安全的密码。

5．要经常使用杀毒软件来维护局域网系统不受病毒攻击。现在国内的杀毒软件都推出了清除某些特洛伊木马的功能，可以不定期地在脱机的情况下进行检查和清除。另外，有的杀毒软件还提供网络实时监控功能，这一功能可以在黑客从远端执行用户机器上的文件时，提供报警或让执行失败，使黑客向用户机器上载可执行文件后无法正确执行，从而避免了进一步的损失。

6．同其它企业进行联合，共同抵制黑客的入侵，一旦被入侵要及时向有关部门汇报，并共同查找入侵来源，锁定黑客IP地址。将网络的TCP起时限制在15分钟以内，减少黑客入侵的机会。并扩大连接表，增加黑客填写整个连接表的难度。

四、结束语

篇3

一、制造型企业信息安全的必要性

随着我国市场信息化水平加深，网络技术已经成为了推动社会发展重要因素之一。网络的便捷性，使得任何人都可以利用网络接受、传送大量的网络信息，或者是存在网络云盘之中。而网络的公开性，也导致网络对于任何人来说都没有门槛，这也是窃取信息的问题不断发生的主要原因。对于企业来说，尤其是制造型企业，一旦企业赖以生存的核心技术被盗取，几十年的劳动成果皆拱手送人，企业将承受巨大的、甚至是毁灭性的损失。

企业信息泄露还有一种就是人才流动，现如今企业人员流动较大，企业信息可能被直接带到其他企业之中，这也是个比较棘手的问题。

另外一种情况是随着企业之间的合作不断增加，企业外派员工成为常见的现象，这样就加大了企业间的交流和接触时间，对于本企业的信息泄露也许就是在不经意间。

无论是网络问题还是人为问题，如果造成企业信息泄露，其对自身企业的损害是非常大的。以技术为核心的制造型企业加强信息安全管理势在必行。

二、制造型企业信息安全管理的现状及问题

1.企业信息安全管理的被动性

制造型企业的工作重点在产品制造与生产，对于网络信息管理意识薄弱，很多时候企业只有发现企业信息泄露或者遭受病毒的攻击等安全事件，才会关注企业信息安全问题，进而调动技术部门前来解决问题。这很大程度上反映制造型企业对网络信息安全不够重视，只有出现信息安全问题时，才组建临时小组来解决企业信息问题，待到问题解决后小组便被解散，没有对企业信息后序的监督和管理，企业信息安全管理缺乏系统策划和制度化要求，管理活动临时性强，缺少日常的维护和预防，导致更多的是重蹈覆辙，这样不仅没有为企业省下对安全管理的资金，相反的恰恰是增加了企业的资金投入，直接增加了企业安全管理的成本。同时因为临时小组的组建，使得人员调动频繁，大大降低了工作效率，进而对企业的经济效益造成影响。

2.员工使用内部系统连接外网

虽然大部分制造型企业对企业自身的内网进行了防护监测，而且对员工上网和网页浏览采取了一定的限制措施，但是实际上，企业对员工上网的控制落实程度不够，员工依旧可以在工作时间使用企业网络进行外部网络连接，而且对于一些网站毫无防备。而网络病毒是时刻都在通过网络攻击使用者的，特别对于企业内部网络，黑客更是随时随地紧盯着企业内网出现漏洞，进而窃取企业内部信息。由于企业员工的疏忽，会有很大几率使得企业信息出现安全隐患，轻则影响企业正常的生产工作，重则企业商业、技术信息被盗取或者企业内网瘫痪甚至纵，为企业带来非常严重的后果及损失。

3.移动设备限制力度不够

制造型企业在信息安全管理方面通常采取的措施是限制流水线工人的移动设备使用，但是对于办公部门却没有严格要求，办公人员可以自由携带智能手机、笔记本电脑、pad、硬盘等移动设备。因办公人员要对数据进行处理，会导致企业内部信息被无限制地拷贝。而且现如今的移动智能设备都能直接通过企业的无线网络，连接企业内网以获得权限，这样的确提高了企业内部的办公效率，同时也给黑客病毒提供了通过无线网络进行传播的机会，提高了企业内部信息安全的风险。

4.信息安全防护技术水平低

在我国，普遍存在信息安全研发技术水平较低的情况，这也是制造型企业安全技术不高的原因之一。制造型企业的工作重心偏重于生产、制造及商务活动中，而对于网络安全的防护意识不高。

作为企业，都会有一些信息安全意识。在企业成立初期，信息安全防护措施通常会被考虑并采纳，尤其是一些进口设备，但仅仅依赖进口设备是远远不够的。第一，进口设备虽然技术先进，但是出现问题是在所难免的，往往出问题的是一些关键的零部件，这些零部件不仅难以拆卸且是整台设备的技术核心，设备厂商必然会控制其销售渠道。第二，很多企业过于相信进口设备的技术，力争做到一步到位，使得企业发展中前期安全防护的确不错，但是却忽略了系统的更新和维护，网络病毒每天新出几万种，就算设备再先进，如果不进行更新，迟早会被病毒攻破。第三，很多企业都采用家用式免费杀毒软件，这些杀毒软件更新频率快，一些简单病毒、木马都能有效查杀，对家用来说但是对企业来讲远远不够，企业一般是黑客重点关注的对象，黑客往往会研制更先进的病毒来攻克企业的防火墙，一些免费杀毒软件很容易被攻破，增加制造企业内部信息安全问题。

5.企业出现安全问题处理方法不当

现如今研发病毒的技术快速而先进，病毒出现时的及时处理是非常重要的，我国制造型企业在出现信息安全问题的时候，虽然有相关的杀毒软件，但因为大部分都是免费的，其更新速度虽然频率高，相对滞后性比较强，对于新病毒无法第一时间发现、处理。而且许多病毒都是潜在性的，企业内部系统中毒之后没有任何异样，这就导致企业内部人员无法及时发现企业内网是否被越权或遭到攻击。同时，由于很多企业缺少专门管理信息安全的部门，并且对于病毒侵入缺乏有针对性的安全对策和应急措施，这就导致就算病毒被发现，企业在第一时间也无从下手。

三、制造型企业容易出现安全问题的原因

1.企业内部信息安全意识低

制造型企业的本质是通过生产经营活动而获得盈利，因此制造型企业的工作重点主要是企业生产、制造以及流通和服务。在此情况下，企业更关注盈利情况，而缺乏对信息安全的管理意识，对信息安全管理的重视度不足。导致这一现象的重要原因是安全防护不能为企业带来直接的经济效益，反而要投入大量的人力、物力、财力。另一方面，从安全管理角度来说，没有事故发生才是管理绩效的体现。相对于质量管理、生产安全管理来说，信息安全管理的管理性质是类似的，但因为其管理对象的不可见性，往往容易被企业高层忽视。同时，一般也会存在侥幸心理，感觉企业内部网络不会受到黑客攻击，或是认为就算受到病毒攻击也不会对生产经营造成什么大影响，对企业整体利益影响不大。基层员工更是不明白什么是安全防护，对企业安全防护的重要性一无所知，这就导致许多企业内部信息技术会从员工口中泄露。

2.信息安全管理模式不够完善

制造型企业信息安全问题频发的原因，究其根本就是因为企业信息安全管理模式不够完善，具体原因是制造型企业不重视信息安全管理、缺少系统规范的信息安全管理制度、缺乏专业的信息安全管理技术和安全管理人员，企业信息系统设计没有风险评估、没有完善的业务流程，信息安全管理存在头痛医头脚痛医脚的现象。

3.信息安全系统没有应急措施

制造型企业信息安全系统缺少应急措施，也可以说没有自我保护系统。自我保护系统是一种比较先进的技术，一旦有病毒侵入系统，系统会自动对重要信息进行加密、封锁，待系统安全后自动解锁。然而由于对信息管理的意识不足，使得很多制造型企业没有建立信息安全自我保护系统。在我国，诸多制造型企业在信息管理方面更多的是依靠员工的经验，对于网络自身的保护信任度不足，也缺少对信息安全管理技术发展的关注和引用。

四、制造型企业信息安全管理存在问题的对策

综上所述，制造型企业信息安全问题是由很多因素造成的，包括管理层的重视方面、技术方面、人员管理方面等。首要的，企业应提升对信息安全管理的重视程度，只有加强意识，并建立有效的信息安全防范措施，才能有效保护企业自身的核心竞争力，以获得在市场经济中更好的发展。

1.提高企业内部员工的信息安全意识

很多制造型企业信息泄露都是内部员工无意间透露出去的，这也是最常见的企业内部信息泄露渠道，企业应充分重视员工的信息安全教育，定期对企业内部员工进行信息安全培训及考核，通过教育向员工灌输信息安全的基本知识和常识、企业内部信息的重要性、一旦发生企业核心技术泄露将产生的严重后果等信息。加强企业内部员工信息安全意识，也就是从根本上降低了企业信息安全隐患，企业中如果基层员工都非常了解并重视信息安全问题，那么这个企业在信息安全管理方面必然非常完善有效。

2.建立健全企业信息安全管理机制

由于很多制造型企业缺少健全的信息安全管理机制，这就给了很多黑客病毒更多的侵入机会。一套完善的信息安全管理机制能够有效的保护企业信息安全，降低安全隐患。制造型企业应该建立健全企业信息安全管理机制，设立专门的企业信息安全管理部门，这样能最大程度保证信息的日常安全防范，也保证了一旦出现安全问题，企业能更好、更快地解决问题，健全的管理机制能够对风险有一定的预见性，把风险降到最低。

3.加大对信息安全管理的资金投入

任何新型技术都离不开资金的投入，信息安全管理同样也是，而且信息安全管理更多的属于技术型投入，对资金依赖性更高。制造型企业想要获得可持续发展，就必须要把目标放得更加长远。企业内部信息往往是一个企业的核心，因此企业应提高对信息管理的重视程度，加大对信息安全系统的投资，把信息安全管理作为企业管理重要的一部分，信息安全管理资金划作专项资金专款专用。企业对信息安全管理的投资要有计划性，确保突况的资金投入、技术更新的资金投入、管理人员的资金投入、安全教育的资金投入等。把信息安全管理纳入企业整体的发展规划中，这样才能保证企业信息更加安全，企业才能获得长足的发展。

4.加大对信息安全管理人才的认识

因为信息对企业生存至关重要，信息安全甚至会影响到企业的发展战略的制定和落实，制造型企业应当把信息安全管理与生产经营提高到同一个层次。企业内网是网络技术领域，既然是技术，就离不开专业人才的支持，企业应该加强信息安全管理的人才培养，提高企业信息安全管理的质量。如果企业内部没有专业的信息安全管理人才，企业可以通过对外招聘的形式，在社会中寻求人才。现如今互联网技术已经逐步走向成熟，计算机人才更是越来越多，所以，制造型企业在社会中寻找信息安全管理的人才不会很难，同时还能促进计算机技术人才就业，对于企业自身以及社会都有很大意义。

5.加强企业内网管理

一般来说，企业内网系统中的信息很多都属于商业机密，基层员工是无权了解的。制造型企业应该把各个层级的员工账号及内网系统中的信息进行分类管理，按信息等级设置不同的访问权限和防范措施，以免企业员工在使用内网时网络病毒通过权限窃取过多的企业信息。另外，很多企业信息泄露都是由于某些员工通过企业无线网连接外网导致企业系统中毒，针对此类情况企业要制定相应的政策和管理制度，通过对硬件的管理和网页访问权限设置，严禁员工上班时间通过移动设备随意连接外网。

五、结束语

篇4

【关键词】煤矿;信息网络信息系统;网络安全

随着信息技术、网络技术、自动化技术、视频技术、传感器技术等一系列先进技术的快速发展和融合，煤矿企业信息网络建设也取得了丰硕成果。目前国内大、中型煤矿企业基本上都已经构建和装备了企业互联网、工业以太网、监测监控、人员定位、工业控制等信息系统，这些信息系统已经深入到煤矿安全生产的方方面面，而且很多工业系统自动化程度非常的高，比如提升系统、选煤系统等已经实现了无人操作，远程开停、故障闭锁等，操作人员只需要对运行的参数进行观测和记录，大大提高了人员工作效率、增强了企业的核心竞争力。所以今天煤矿企业信息网安全就显得尤为重要，本文将就煤矿企业信息网络安全现状及重要性进行分析和探究。

1现状分析

我国中、大型煤矿企业建设和应用了大量的信息系统和工业控制系统，并且这些信息系统已经深入到生产经营的方方面面，促使煤矿企业从传统的密集型、重体力生产模式向“采掘机械化、生产自动化、管理信息化”模式转变，有力地提升了煤矿企业管理效率，加速了煤矿的企业转型升级。但是煤矿企业在信息网络安全管理方面还存在诸多问题：

1.1企业管理人员对信息网络安全的重要性认识不足

主要表现在四点，一是没有建立完善的信息网络组织体系，相关的制度建立和落实不到位。二是企业大都没有编制详实可行的信息网络安全预案，也没有进行相关的应急演练；三是信息网络安全方面的投入比较少，企业安全防护设施不全；四是企业管理人员对于信息网络安全的知识非常欠缺，只注重信息系统具体应用和预设功能，对于操作可能带来的网络威胁没有防范意识。

1.2信息孤岛与信息网络安全之间的矛盾日益冲突

早期煤矿企业建设的信息系统和工业控制系统都是一个单一的个体，相互独立，之间没有任何联系，随着信息技术的发展和企业管控一体化进程的不断推进。“信息孤岛”的问题得到了很大程度的解决，但同时产生的信息网络安全问题也日益突出。“信息孤岛”的消除依赖网络的广泛应用，而网络正是信息安全的薄弱环节。消除“信息孤岛”势必使工业控制系统增加大量的对外联系通道，这使得信息网络安全面临更加复杂的环境，安全保障的难度大大增加。

1.3信息安全管理人员信息安全知识和技能不足，主要依靠外部安全服务公司的力量

主要原因有三点：（1）煤矿企业地处偏远山区、工作环境和生活环境相对都比较差，很难招聘到高科技人才，即是招到人也很难留下来。（2）企业以煤炭生产、加工、销售为主业，信息技术人才发展空间小、大多数人员都只是从事信息维修工和桌面支持之类的工作。（3）信息安全管理人员长期得不到培训和学习的机会，信息技术知识的储备量有限、业务水平处在较低的一个水平，所以只能依靠外部安全服务公司。

1.4信息网络安全防护设备利用率低，很难发挥应有的功能

煤矿企业在信息网络建设初期都会做网络安全方面的布置，比如在网络边界架设防火墙、入侵检测设备，在内部部署杀毒软件，形成了软硬件相结合的防御模式，可是很多企业的防火墙和入侵检测设备从安装到被替换可能从来都没有做过配置更新，和漏洞修复、打补丁之类的操作，大多数的员工电脑也从不安装杀毒软件，这就做法无形中弱化了我们防御的盾牌和进攻的长矛，使网络安全防护设备长期处于半“休眠”状态。

2重要性

“没有网络安全就没有国家安全”，在浙江乌镇世界互联网大会上提出的网络安全观，足以证明网络安全对于国家的重要性。那么同样对于现今充分利用信息网络和工业控制系统的现代化煤矿企业来说，如果没有足够的信息网络安全也就没有企业的安全生产。信息技术是一把“双刃剑”，它改变了企业的生产方式，优化了企业的管理流程，提高了企业管理效率，可是同样却又不得不将企业置身于互联网之中。互联网是一个“超领土”存在的虚拟空间，存在各种潜在的威胁，比如利用木马、病毒、远程攻击、控制等方式，泄露企业的商业机密、修改控制系统指令、攻陷服务器、盗取个人信息等，这些都有可能对企业造成严重安全事故和经济损失。这些还只是企业内部的损失，很多大、中型煤矿企业为了提升企业管理效率都开通与集团公司之间的专线VPN，承载了很多应用服务包括协同OA、生产调度、销售等等的数据都要进行通信，如果信息网络安全受到攻击瘫痪，都会对企业的生产经营造成影响，更有甚者可能通过煤矿企业本地发起攻击，致使整个集团的信息网络受到严重威胁，所以煤矿企业管理人员一定要树立正确的信息网络安全观，充分认知信息网络安全的重要性，加快构建关键信息基础设施安全保障体系，增强企业信息网络安全的防御能力。

3总结

总之，信息网络技术发展的今天，信息网络安全已经是每一个煤矿企业必须面对和正视的问题，也是每一个企业管理者应该积极参与和考虑的问题。古人云“知己知彼百战不殆”，煤矿企业应该立即行动起来，通过开展关键信息基础设施网络安全检查，准确掌握企业关键基础设施的网络安全状况，详细评估企业所面临的网络安全威胁，制定对应的防范措施，构建企业信息网络安全的“防火墙”，为企业安全生产经营、职工娱乐生活营造一个安全、稳定、健康的网络环境。

参考文献

[1]陈龙.煤炭企业网络安全建设与管理探究[J].煤炭技术,2013.

篇5

1 中小化工企业安全现状

当下，中小化工企业的安全问题得到了重视，安全事故率整体趋于下降趋势。据国家安全监督总局（现为中华人民共和国应急管理部）在危险化学品安全生产“十三五”规划中指出的，2015年生产安全事故起数比2010年下降了62%;在2017年典型的17件事故案例中，爆炸占了13件，中毒占了2件，垮塌1件，受限空间窒息占到1件，其中90%以上属于违规操作，但事故发生率进一步得到遏制;2018年全国共发生可统计的化工事故176起，虽然事故总数有所下降，但重点安全事故的发生频次有所上升。安全管理缺失是主要原由，但一线操作人员素养不高，安全意识淡薄而违规操作至事故发生是基本原因。

从历史发展来看，中小化工企业伴随着改革开发的步伐不断向前发展着，其主要特点是数量众多，占化工企业90%以上，生产工艺技术相对落后，以引进生产线和代加工产品为主流。虽然目前的发展有所改观，但化工的生产因综合性要求高，代加工的发展模式一直以比较高的占比存在着，这导致了因生产技术的相对落后而引起安全事故的大概率发生。近几年相对高的爆燃等重大化工安全事故的发生是代表性的信号，生产技术的落后也是安全事故否发生的根本原因。另外近年来化工事故的有效遏制是和各级管理部门的严格管理是分不开的，从国家对化工企业的安全政策制定、安全检查落实和考评以及化工行业对安全意识重视和实践，可以说管理层面的紧箍咒越念越紧，收效也很明显。据所知，现在国内化工园区对安全的要求极其严格，可以说和当前的环保监督极高要求不相上下。不管是上层的因政策导向的管理还是园区管委会的直接执行管理，表现出来的为行政管理的压倒性特点，某种程度上带有一刀切的强制性。可是其中的技术管理有些欠缺，这和危险化学品安全生产“十三五”规划中强调安全技术支撑精神有所差距。然而這毕竟是外因，一旦行政管理重心转移，势必会导致爆发性安全事故隐患出现，如同时下的化工环保管理，人员在岗一切正常，周末不在岗老百姓反映环保问题多多。这方面很多学者对当下的中小化工企业的安全现状提出了许多对策。然而，大体是基于当下中小化工企业生产技术的不先进，操作人员的专业素养欠缺而落实技术管理不到位等层面提出问题解决建议的。客观上，中小化工企业有其自身的发展规律和社会需求。因此，需要从企业自身的内因着手解决中小化工企业的安全现状问题，而包括技术（涵盖安全）创新在内的企业文化创新是解决中小化工企业各种问题的归宿和出发点。

2 创新文化理论和中小化工企业安全实践需求

中小化工企业尤其是民营中小化工企业大多是家族型企业，从某种程度上说还不是完全意义上的公司，因为往往不具有公司特有的文化内涵。它们的活动通常围绕生产追求利益展开，低成本高利润是行为的驱动力，表现为不注重生产线的现代化，不愿意花高薪聘用高技能人才，不怎么在意潜在的安全隐患和环境影响。因而也形成了当前绝大多数中小化工企业的文化缺失，更谈不上文化的创新、创新文化的引领和引领高端化发展。中小化工企业的安全事故频发不断是企业文化尤其是安全文化不充分发展的反映。因此，需要创新文化理论指导中小化工企业文化的建设，以内在要求规范企业的安全生产行为和对新生产技术的追求，从而能从根本上极大程度地将安全事故发生率降至最低。

创新文化会长效地给予包括中小化工企业在内的企业竞争优势的发挥和持续健康发展所需的精神动力。关于创新文化概念许多学者从不同的角度给予了诠释。但有一点是明确的，就是鼓励企业创新，当然也涵盖和安全紧密相关的生产技术创新，因为先进的生产工艺技术给安全带来了基本保障。如同轿车，生产工艺技术的不断改进使得其从最初的实现代步功能发展到当前的高安全的、智能化和舒适型集于一身的交通工具，创新是发展的灵魂，创新也带来了安全。创新文化的本质是勇于开拓求新求真，具有导向、激励、凝聚和辐射等功能，能够有效规范人的行为，极快融于体制中，灵活贯彻政策，如此这般的文化渗透会使中小化工企业从内在意识到外在生产实践都有了安全自觉，此也是当下中小化工企业的发展需求。从创新文化理论构成要素来看，它即包括环境和物质的动态构成，也涉及行为、制度和精神方面，重要的是后者的软文化，而恰恰中小化工企业缺少的是这些软文化。

在实践中，有很多中小化工企业也在积极树立自己的文化，包括厂标和宣传语等，当然这些文化是服务于生产需要的，离创新文化还有不小的差距，对其安全现状的改进作用有限，因为现实就是文化的体现，当前中小化工企业的安全未从根本上得到改观。也就是说中心化工企业缺少系统、核心的文化，创新文化的要素有待进一步有序构建。

3 中小化工企业创新安全文化的构建

中小化工企业创新安全文化的构建具有现实的紧迫需求，也有创新文化理论的指导和支撑，对中小化工企业的安全现状的认识和推动安全建设发展具有重要意义。基于中小化工企业的安全现状，对其创新安全文化的构建需要从以下几个方面展开：一是基于现有文化基础上的创新文化体系的构建。当前许多中小化工企业已经注意到了文化建设的作用和意义，但对创新文化要素如何嫁接到自己企业文化上的创举基本没有，现实中可以从创新安全文化构建這个子系统文化为起点，结合创新安全文化要素来构建，即是实践也是安全理论印证，提高企业的安全保障能力。二是在符合企业文化建设逻辑上构建中小化工企业的核心安全文化。文化建设有其自身的逻辑过程，而且每个中小化工企业的文化基础不同，生产的技术和产品不同而导致其文化的氛围不尽相同，因此，需要建立契合自己企业生产特点的核心安全文化，比如挥发性产品的生成就需要注重生产线的密闭性以及防火防静电等作为核心的建设点。三是要建立企业职工的创新文化培训，使之认同企业创新安全文化。中小化工企业运行中的每个操作岗位基本是人在起作用，对人的创新文化训练需要在常规安全规程要求基础上灵活应对可能会发生的安全隐患问题，因为很多发生的中小化工企业安全事故，如果现场工人能够及时创新处理问题，可能会有很多的安全事故不会发生，至少能够降低事故的损失。文化是有效连接中小化工企业中人和物质的精神纽带，创新安全文化的构建有助于中小化工企业在安全问题上的积极能动性发挥，有助于从根本上把安全问题解决，从而提升中小化工企业的发展水平。

篇6

【 关键词 】 企业信息；信息安全；风险管理；框架探究

1 引言

人类社会在不断发展，信息化逐渐融入人们生活。信息资源对于现代企业来讲，是每时每刻都存在的运转载体，各种重要数据、企业的知识产权等这些都是企业的内部信息，除这些信息外，其他相关方面的数据也被企业所利用，例如合作伙伴、客户、员工等资料，尤其是一些服务性企业，比如网商、快递公司、金融公司、通信公司、航空公司等，这些企业更需要以信息系统作为支撑，信息资源成为企业不可或缺的重要组成部分。

2 新形势下我国信息安全面临的问题

2.1 风险意识在主观上的淡薄

在我国信息安全上面，思想认识面临高风险的形势，大部分企业的管理高层对信息资产的认识严重不足。或者局限在IT的安全方面，没有合理的安全观念引导企业在信息安全管理方面的工作。信息安全管理制度的完整性缺乏，规范安全风险和安全法律法规对员工的培训缺乏，很多信息安全事故的发生都是因为安全意识的薄弱造成的。

2.2 缺乏信息安全管理系统的思想

大部分企业仍是将传统的管理方法用在安全管理模式中，这种出现问题再去想弥补的方法是静态的管理，不能在提前进行信息安全风险评估上做更有效的信息系统管理。

2.3 信息安全不仅仅是技术部门的事

多数企业认为信息安全的责任和义务都是IT部门的，造成信息技术部门无法和企业内部其他部门互动，进而形成孤立的局面。但是，信息安全的实现需要各个部门的全员行动，特别是规范标准以及规章制度的贯彻落实，更牵涉到企业的每一名员工，全员行动的要求更是不能缺少。

2.4 存在重视安全技术而轻视安全管理的情况

现今为止，仍有很多企业仅仅依赖产品安全，认为信息安全就是信息产品安全。一般企业现在都会采用计算机和网络技术来构建企业的信息系统，但是没有把相应的管理措施开展到位。信息安全问题应该加强做好管理工作，不能单从技术方面着手。

2.5 现代管理手段与理论欠缺

日益庞大的现代化信息规模与越来越复杂的网络结构，让现有的风险管理手段和理论都不足以让企业信息安全得到完全的满足，企业应该结合实际情况和需要，把国际上优异的信息安全风险管理理论以及先进的最佳实践用作指导，以此达到信息安全的目的。

3 企业信息安全风险管理的框架探究

企业信息安全风险管理的框架包括两个部分，一是企业信息安全风险管理的过程，二是企业信息安全风险管理的实施。其中，实施是过程的保障，整合各种资源要通过实施才能达到；过程是实施的前提，对过程的清楚有利于建立企业信息安全风险管理的统一理解，以此逐渐实现信息安全风险管理。企业信息安全风险管理包括风险分析、风险计划、风险识别、风险监督、计划实施、风险改进六个动态过程。

信息安全风险管理是动态、持续性过程，信息安全通过潜在的风险识别、分析，同时进行计划、实施、监督、改善，然后再进入到下一个循环里，通过持续不断的循环活动进行有计划、持续的控制，不断改进。

参照戴明的PDCA质量管理模式，把安全项目实施划分为四个阶段，分别是准备和策划、执行和部署、监控和检查、评价和改进，实施阶段有几个工作步骤：（1）准备和策划工作阶段，首先调研信息安全风险管理现状，接着进行风险评估，然后编制信息安全风险管理方案；（2）执行和部署工作阶段，进行部署安排，按计划执行，接着进行安全培训；（3）监控和检查工作阶段，做好企业安全现状检查，预测未来的变化；（4）评价和改进工作阶段，制定改善措施，响应紧急事件。

4 企业信息安全风险管理的实施

在风险管理中人、过程、基础结构和实施是四大影响风险管理能力的关键因素，企业的信息安全风险管理能力同时也受着这四个因素制约，所以企业信息安全管理中十分重要的就是人通过各类资源和企业基础结构达到信息安全风险管理过程的实施活动。

企业在开始尝试安全风险管理实施之前，很重要的一点是应该检验现有安全风险管理的完善度。假如企业在安全风险管理上没有规范的流程和正式的策略，就会出现框架的实施非常艰难。换句话说让企业有一些正式的策略和明确的指导，将避免大多数员工都在工作中不知所措。假如在安全风险管理上发现企业相对不够成熟，则可以采取试点的形式，把安全风险管理实施到单个业务单元中，直到通过试运行在框架中显示有效以后，再考虑将其他业务单元导入至整个企业框架中。

框架实践需要以最优实践的经验为基准，必须有利于企业确定安全现状，同时按照需要的安全方向进行改进，企业的安全风险管理能力通过不断的提高，就能逐渐努力向着安全的目标前进。

5 结束语

进入信息化时代，企业已经把信息系统的高效、互联、精确的特征当作赖以生存和发展的必要条件。因此所伴随产生的信息安全风险就成了企业关注的重点问题。在此情况之下，企业建立信息安全风险管理机制，利用科学的方法和手段控制各种风险的发生显得尤为重要。动态循环是企业信息安全风险管理的一个过程，在风险评估的前提下，要落实对风险控制措施。同时对过程的实施要进行有效的控制和监督，这就需要一个明确清晰并且具有可操作性的信息安全风险框架来指导。还有需要探究的工作在信息安全风险管理领域里，但愿本文能引来更多这一领域探究，从而做出保障企业信息安全的贡献。

参考文献

[1] 陈慧勤.企业信息安全风险管理的框架研究[J].2011，21（40）：42-46.

[2] 惠志斌.企业IT风险管理的体系构建与实现路径[J].科技管理研究，2014，34（2）：36-55.

[3] 叶铭.企业动态信息安全风险控制系统的研究[J].2012，08（11）：81-85.

篇7

【关键词】企业信息 现状 措施

随着信息技术和网络技术的快速发展，信息安全问题引起了社会各界的广泛关注，并且已经成为当今时代十分重要的研究话题。影响企业信息安全的因素诸多，除了网络本身的开放性之外，内部用户访问控制以及用户身份识别等系统还不够完善，会给企业信息安全带来巨大的威胁。信息安全技术主要就是控制数据，保障数据传输的安全性和可靠性。

1 企业信息安全的意义

1.1 信息安全是时展的需要

随着计算机网络的快速发展，不仅改变了人们生活和工作方式，也给企业的商务运行带来了全新的模式，改变了传统企业生产和管理模式，进一步推动了我国社会的发展。企业信息安全技术得到了进一步的重视和发展，并且逐渐的与国际先进水平接轨，为企业国际化发展提供了强有力的支持。

1.2 信息安全是企业发展的需要

我国大部分企业积极的引用了信息技术和安全技术，信息技术和网络技术给企业带来了诸多优势，比如生产效率的提高、成本的降低以及业务拓展等优势。目前企业的信息和数据主要都是以电子文档的形式保存，对于企业来讲，信息安全技术是保障企业信息和数据不收侵害和威胁的基础保障之一，更是企业生存的保障，所以，必须要提高信息安全技术，避免网络和信息系统中可能存在的风险，逐步的建立信息安全保障体系，有利于企业的可持续性发展。

1.3 信息安全是企业稳定的必要前提

信息安全是保障企业稳定发展的重要措施，必须要充分的认识到信息安全工作的重要性和长期性，无论是从企业的经济效益还是企业的稳定发展等角度来考虑，必须要做好信息安全工作，做好基础性工作，在建立信息安全保障体系的时候，必须要建设良好的网络环境，重视信息战略，保障企业的信息化能够健康发展。

2 企业信息安全的现状

2.1 企业缺少信息安全管理制度

企业信息安全功过还是一个比较崭新的领域，相关的法律法规还不够完善，并且信息安全技术和手段还没有成熟，进而导致相关规定和标准并不能贯彻执行，安全标准和规范也是比较缺少的，从而并没有制定科学、合理的信息安全管理制度。企业信息系统安全问题是一项非常科学的系统工程，所涉及的范围比较广，随着科学技术的快速发展，信息技术和网络技术不断的更新和升级，是不断发展的动态过程，所以，企业信息系统运行风险和安全必须要定期的进行调整和规划，才能够从根本上保障企业信息的安全性和可靠性。

2.2 员工缺少安全管理的责任心

企业信息系统的安全性需要全体人员的参与，信息安全系统中最为重要的因素就是员工，其主要原因就是因为员工们才是企业信息系统的提供者和使用者，员工们能够直接影响到信息安全系统是否能够达到预期的要求。在诸多的信息安全问题中，最多的安全事件就是信息泄露时间。其主要泄露原因来源于内部员工，并不是外部黑客的攻击，给企业带来巨大经济损失的主要原因就是因为内部员工有意或者无意的泄露企业的相关信息，但是，目前我国还没有完善、成熟的系统预防内部员工泄密事件的发生，也是整个信息安全体系中的难点和弱点。

2.3 信息系统缺乏信息安全技术

计算机信息安全技术的本质就是由密码应用技术、操作系统维护技术、信息安全技术以及数据库应用技术等各个学科组成的计算机综合应用学科。但是由于我国计算机技术还有待进一步完善，导致我国技术的发展还存在一定的局限性，在硬件和软件设计的过程中难免会存在着一些弊端，网络硬件和软件系统大多数都需要依靠进口，为企业信息安全带来了一定的隐患，随着科学技术的快速发展，黑客已经不在是传统的破坏底层系统，目前黑客主要是入侵应用，窃取相应的数据，带着非常显著的商业性质。随着网络技术的普及，针对应用的攻击越来越多，不仅需要从管理方面来保障企业信息的安全性，还必须要从技术方面给予强力的支持。

2.4 病毒危害

计算机病毒主要就是指编制对计算机程序有破坏性的程序，进而影响计算机的使用并且能够通过自我不断的复制来代替计算机指令或者程序代码，其具有很强的破坏性。随着网络技术的快速发展，当今时代的计算机病毒已经泛滥成灾，根据相关统计，计算机病毒的种类已经高达4万多种，并且每年还在快速的增长，病毒随着计算机网络技术的发展而传播速度越来越快，破坏性也就越来越高，给计算机用户和企业的信息安全带来了巨大的安全隐患。

2.5 “黑客”攻击

黑客主要就是指通过技术手段侵入到他人计算机系统的人，黑客破解或者破坏计算机以及网络系统，导致计算机用户信息数据的泄露。目前比较常见的黑客手段有后门程序、信息炸弹、网络监听以及密码破解等手段来侵入他人的计算机系统来窃取数据信息，随着网络技术和信息技术的快速发展，黑客攻击已经成为当今时代十分常见的安全问题。

3 企业信息安全改进建议

3.1 技术安全

3.1.1 数字签名和加密技术

为了能够预防黑客的入侵，可以在传统的数字签名和加密技术的基础上不断的完善和创新，进而提高信息安全技术。比如数字签名技术，可以通过设定数字签名，用户在进行操作的时候能够打上自身独有的印记，其主要目的就是为了能够避免其他人擅自修改计算机数据，从而能够提高计算机的安全系数，预防黑客的攻击。在设定数字签名的时候，必须要重视数字证书的获取渠道，一般主要就是从以下三个渠道来获取数字证书，即软件自身所带的数字证书；商业认证授权机构获取；内部专门负责认证的安全管理机构处获取。

3.1.2 入侵防护系统（IPS）

传统的防火墙主要功能就是拒绝明显可疑的网络流量，但是依然能够允许一些流量通过，所以，传统的防火墙防护功能并不到位，面对一些入侵攻击的时候依然无可奈何。大部分IDS系统都是被动的，然而IPS更加倾向于提供主动的防护功能，其主要目的就是预先拦截入侵活动和攻击性网络流量，避免给用户带来不必要的损失，相比于传统的防火墙具有更多的防护优势。IPS主要就是通过网络流量实现这个功能的，也就是指通过网络端口接收外部系统的流量来检测其内是否还有可疑的内容，然后在通过另外一个端口将其送到内容系统中，进而一旦发现可以的数据包就能够自动的清除掉，避免病毒的入侵，从根本上提高了信息的安全性和保密性。

3.1.3 统一威胁管理（UTM）

根据美国权威企业对统一威胁管理做出了严格的定义，即由硬件、软件以及网络技术组成的具有专门用途的设备，其主要可以提供一项或者多项的安全功能。它能够将诸多安全特性集成到一个硬设备里，然后建立一个统一标准的平台。统一威胁管理的主要功能有网络防火墙、网络入侵检测以及网关防病毒功能。这些功能都是统一威胁管理本身所自带的功能。另外，统一威胁管理安全设备本身也具有诸多特性，比如安全管理、日志以及服务质量等特点，这些特性主要就是为安全功能服务的。

3.2 录级安全控制

为了能够保障企业信息的安全，网络必须要允许控制用户对目录、文件以及设备的访问。用户在目录一级指定的权限对所有文件以及子目录都是有效的，还应该可以进一步对目录下的子目录和文件的权限进行指定。目前比较常见的访问权限有系统管理员权限、读权限、创建权限、删除权限以及存取控制权限等。网络系统管理人员应该为用户指定合适的访问权限，因为这些权限的作用非常大，主要控制了用户对服务器的访问。

3.3 网络监测和锁定控制

网络管理人员必须要对网络进行实时的监控，服务器应该及时的记录用户对网络资源的访问，尤其是对非法网站访问的时候，服务器应该以各种方式加以报警，从而引起网络管理人员的注意。如果黑客试图侵入网络的时候，网络服务器必须要自动记录企图进入网络的次数，如果访问达到一定数值之后，帐户将会被自动锁定。

3.4 提高企业员工的安全意识

无论哪个领域，主体都是人，信息安全方面的主体也是人员，通过人来维护企业的根本利益，所以在建立信息网络安全体系的时候必须要重视人的因素，做出相应的规范和绩效管理。企业员工信息安全意识普遍比较薄弱，企业必须要定期的开展相应的培训工作，从根本上提高企业员工整体的信息安全意识，并且要有专业的信息安全体系管理人才，才能够从根本上提高企业信息数据的安全性、可靠性。

随着信息时代和网络时代的来临，企业纷纷引进先进的信息技术和网络技术，并且成立自身的信息系统和网络系统来服务于企业运营管理和生产管理工作，信息技术和网络技术在我国得到了广泛的普及。但是，随之而来的信息安全问题日益凸显，为了能够保障企业信息数据的安全性和可靠性，必须要不断的提高信息安全防护技术，做好相应的预防工作，避免各种入侵、盗取信息数据的事件发生，才能够保障企业的可持续性发展。

参考文献

[1]袁浩，张金荣.INTERNET接入、网络安全[M].北京：电子工业出版社，2011.

[2]徐国芹.浅议如何建立企业信息安全体系架构[J].中国高新技术企业，2009（5）.

[3]付沙，企业信息安全策略的研究与探讨[J].商场现代化，2007（26）.

[4]姜桦、郭永利，企业信息安全策略研究[J].焦作大学学报，2009（1）.

[5]徐新件，朱健华.关于企业网络信息安全管理问题研究[J].供电企业管理，2008（2）.

篇8

企业经营信息对于企业来说是一种资源,对于企业自身来说具有重要意义,企业需要妥善管理自身企业的信息。近年来,企业的各项经营活动都逐渐开始通过计算机,网络开展,因此,企业的信息安全管理对于企业越来越重要。许多企业开始通过各种技术手段以及制度改革,把更多的注意力放在企业内部的信息安全管理工作,同时将企业信息安全管理与风险控制结合起来,这是一个正确的选择,能够帮助企业实现稳定经营。在介绍企业信息安全管理以及风险控制前必须厘清企业信息安全管理的概念与企业风险控制定义,因此,本节将着重介绍企业信息安全管理的概念以及企业风险控制的定义。企业的信息安全管理包含十分丰富的内容,简单来说是指企业通过各种手段来保护企业硬件和软件,保护网络存储中的各种数据不受偶然因素的破坏或者恶意的原因被攻击。对于信息安全的认定通过包括4个指标,即保证信息数据的完整,保证信息数据不被泄露,保证信息数据能够正常使用,保证信息数据能够控制管理。要想做好企业的信息安全管理,首先需要了解的是关于信息的传输方式。随着信息技术的不断普及,信息传递的方式越来越多,常见的信息传递方式主要有互联网传播,局域网传播,硬件传播等等。要想实现企业的信息安全管理,其中很重要的一项工作在于保护信源、信号以及信息。

信息安全管理是一项需要综合学科知识基础的工作,从事企业信息安全管理工作的人员通过需要具有网络安全技术、计算机技术、密码技术、通信技术。从企业的信息安全管理来讲,最为关键的一项工作时保护企业内部经营信息数据的完整。经过近十年来的企业信息安全管理工作经验总结,企业信息安全不仅仅需要信息技术的支持,更需要通过建立完善的企业风险控制体系来帮助企业实现更好地保护企业信息安全的目标。所以,怎样把企业信息安全管理与风险控制融合起来就是摆在企业经营管理者面前的一道难题。企业的信息安全风险控制必须通过企业建立完善的企业信息安全风险体系实现。

企业的信息安全风险控制是指企业在企业信息安全遭遇威胁之前,提前对企业的信息进行风险预估,并采取一系列的有针对性的活动降低企业面临的信息安全风险,从而尽可能减少因为企业本身信息安全管理中存在漏洞给企业带来不必要的损失。常见的企业信息安全风险体系建立主要包含以下几个方面的内容。第一,建立企业信息安全风险管理制度,明确企业信息安全管理的责任分配机制,明确企业各个部门对各自信息安全所应承担的责任,并建立相应的问责机制。第二,设置规范的企业信息安全风险管理指标,对企业存在的可能威胁企业信息安全管理的漏洞予以风险定级,方便企业管理者对不同的信息安全管理漏洞采取有区别的对策。第三,企业要加强对信息安全管理人员的培训,提高企业信息安全管理工作人员的风险意识,让企业内部从事信息安全管理工作人员认识到自身工作的重要性,让企业内部从事信息安全管理工作人员了解到规范自身行为,正确履行职责的重要性。第四,将企业信息安全管理与风险控制有效融合,重视企业信息安全管理工作,通过风险控制对企业内部信息安全的管理方式进行正确评估,找出现行的企业内部信息安全管理手段中存在容易忽视的地方。

二、企业信息安全管理与风险控制存在的不足

1.企业信息安全管理工作人员素质不高

对于企业来说,企业信息安全管理工作是一项极为重要而隐秘的工作,因此,必须增强对企业信息安全管理工作人员的素质要求。但是根据调查统计,目前很多企业对信息安全工作的管理仅仅停留在对企业信息安全管理工作人员的技术要求上,对企业信息安全管理工作人员的道德素养,职业素养,风险意识并没有严格要求。此外,绝大多数企业并没有意识开展对企业信息安全管理工作的道德素质的教育培训,并没有通过建立相关管理制度以及问责机制对企业信息安全管理工作人员实行监督,这无疑给别有用心或者立场不坚定的企业信息安全管理工作人员留下了危害企业信息安全的可乘之机。

2.企业信息安全管理技术不过关

企业信息安全管理工作涉及多许多技术,包括信息技术,计算机技术,密码技术,网络应用技术等等,应当说成熟的计算机应用技术是做好企业信息安全管理的基础,但是,现实是许多企业的信息安全管理技术并不过关,一方面企业的信息安全管理硬件并不过关,在物理层面对企业信息缺乏保护,另一方面,企业信息安全管理工作的专业技术没有及时更新,一些企业信息安全管理工作人员缺乏企业信息安全管理的实践经验,企业信息安全管理的知识也并没有及时更新,从而导致企业的信息安全管理理论严重滞后,这种技术的落后很容易让企业成为不法分子的攻击对象。近年来网络病毒的传播越来越猖狂,很多服务器、系统提示安全补丁的下载更新以及客户端的时常更新成为一个恼人的问题。作为一个行业中的大中型企业,企业内部设备数量比较多,尤其是客户端数量占了较大比重,仅仅靠少数几个管理员进行管理是难以承担如此大量的工作量。另外,企业信息安全管理系统不成熟也是一个重大的隐患。

3.企业信息安全管理制度不健全

企业信息安全管理制度不仅仅需要理论制度的完善,更加需要一系列配套监督机制保障企业信息安全管理的有效执行。通过调查分析,许多企业虽然建立了企业信息安全管理制度,但是通常情况下,这些制度只能流于形式,企业信息安全管理工作缺少有效的制约和监督,企业信息安全管理工作人员缺乏执行力。企业信息安全管理制度不健全,企业信息安全管理工作缺乏执行力常常体现在以下几个方面。第一,企业员工对于信息安全管理的认识严重不足,对企业信息安全管理工作不重视。企业内部计算机系统安全的计算机防病毒软件并没有及时更新,使用,甚至企业内部计算机的防病毒软件还被企业员工卸载了。部分企业员工认为自己的工作与企业信息安全管理不相关,认为做好企业信息安全管理工作仅仅是企业信息安全部门的事。第二,企业内部信息安全文秘站:管理制度并没有形成联动机制,企业信息安全管理工作仅仅由企业信息安全部门“一人包干”,企业信息安全反映的问题并没有得到积极的反馈,一些企业领导对企业信息安全现状所了解的少之又少。

三、企业信息安全管理常见的技术手段 1.OSI安全体系结构

OSI概念化的安全体系结构是一个多层次的结构,它的设计初衷是面向客户的,提供给客户各种安全应用,安全应用必须依靠安全服务来实现,而安全服务又是由各种安全机制来保障的。所以,安全服务标志着一个安全系统的抗风险的能力,安全服务数量越多,系统就越安全。

2.P2DR模型

P2DR模型包含四个部分:响应、安全策略、检测、防护。安全策略是信息安全的重点,为安全管理提供管理途径和保障手段。因此,要想实施动态网络安全循环过程,必须制定一个企业的安全模式。在安全策略的指导下实施所有的检测、防护、响应,防护通常是通过采用一些传统的静态安全技术或者方法来突破的,比如有防火墙、访问控制、加密、认证等方法,检测是动态响应的判断依据,同时也是有力落实安全策略的实施工具,通过监视来自网络的入侵行为,可以检测出骚扰行为或错误程序导致的网络不安全因素;经过不断地监测网络和系统来发现新的隐患和弱点。在安全系统中,应急响应占有重要的地位,它是解决危险潜在性的最有效的办法。

3.HTP模型

HTP最为强调企业信息安全管理工作人员在整个系统中的价值。企业信息安全工作人员企业信息安全最为关键的参与者,企业信息安全工作人员直接主导企业信息安全管理工作,企业信息安全工作人员不仅仅是企业信息安全的保障者,也是企业信息安全管理的威胁者。因此,HTP模型最为强调对企业信息安全管理工作人员的管理与监督。另外,HTP模式同样是建立在企业信心安全体系,信息安全技术防范的基础上,HTP模式采取了丰富的安全技术手段确保企业的信息安全。最后,HTP强调动态管理,动态监督,对于企业信息安全管理工作始终保持高强度的监督与管理,在实际工作中,通过HTP模型的应用,找出HTP模型中的漏洞并不断完善。

四、完善企业信息安全管理与降低风险的建议

1.建设企业信息安全管理系统

(1)充分调查和分析企业的安全系统,建立一个全面合理的系统模型,安全系统被划分成各个子系统,明确实施步骤和功能摸块,将企业常规管理工作和安全管理联动协议相融合,实现信息安全监控的有效性和高效性。

(2)成立一个中央数据库,整合分布式数据库里的数据,把企业的所有数据上传到中央数据库,实现企业数据信息的集中管理与有效运用。

(3)设计优良的人机界面,通过对企业数据信息进行有效的运用,为企业管理阶层人员、各级领导及时提供各种信息,为企业领导的正确决策提供数据支持,根本上提高信息数据的管理水平。

(4)简化企业内部的信息传输通道,对应用程序和数据库进行程序化设计,加强对提高企业内部信息处理的规范性和准确性。

2.设计企业信息安全管理风险体系

(1)确定信息安全风险评估的目标

在企业信息安全管理风险体系的设计过程中,首要工作是设计企业信息安全风险评估的目标,只有明确了企业信息安全管理的目标,明确了企业信息安全管理的要求和工作能容,才能建立相关围绕信息安全风险控制为目标的信息安全管理工作制度,才能顺利通过对风险控制的结果的定量考核,检测企业信息安全管理的风险,定性定量地企业信息安全管理工作进行分析,找准企业信息安全管理的工作办法。

(2)确定信息安全风险评估的范围

不同企业对于风险的承受能力是有区别的,因此,对于不同的企业的特殊性应该采取不同的风险控制办法,其中,不同企业对于能够承受的信息安全风范围有所不同,企业的信息安全风险承受范围需要根据企业的实际能力来制定。不仅如此,企业的信息安全风险评估范围也应当根据企业的实际经营情况变化采取有针对性的办法。

篇9

该文对供水企业信息集成系统安全进行分析，并探讨了可以针对性改进的安全防护措施。首先对当前供水信息系统安全现状做具体分析，然后研究了在“自主定级，自主保护”的原则下改进和提高供水企业集成信息系统安全具体的执行方案，最终实现供水企业信息集成系统的信息安全防护。

关键词：

供水企业信息集成系统；等级保护；信息安全

供水行业对国计民生很重要的一个行业，供水企业的业务性质要求以信息的整体化为基本立足点，集中管理所有涉及运营的相关数据，针对供水企业运行的特殊要求，进行集中的规划和架构，将不同专业的应用系统进行整合，最终形成完整的供水企业综合信息平台。[1]而集成系统中最重要的一个要求就是信息安全。

随着大数据时代的到来，网格、分布式计算、云计算、物联网等新技术相继推出，对供水企业信息集成与应用也提出了更高的要求。而随着应用的扩展，应用中存在着大量的安全隐患，网络黑客、木马、病毒和人为的破坏等将大量的安全威胁带给信息系统。根据美国Radicati公司于2015年3月的调查报告，截至2014年12月，网络攻击已经为全球计算机网络安全造成高达上万亿美元的损失。而且随着网络应用的规模进一步上升，计算机网络信息安全威胁造成的损失正在呈几何级数增长。根据2015年的中国网络安全分析报告，2014年报告的网络安全攻击事件比2013年增加了100多倍。2014年，搜狗由于网络黑客攻击导致搜索服务在全国各地都出现了长达25分钟无法使用。2014年7月，某域名服务商的域名解析服务器发生了网络黑客的集中式攻击，造成在其公司注册的13%的网站无法访问，时间长达17个小时，经济损失不可估量。因此，从信息安全的角度，要对供水企业信息集成系统进行防护，降低信息安全事故的发生的概率，降低其危害，是本文需要研究的内容。

1当前供水企业信息集成系统安全防护的现状和存在的问题

伴随着科技的不断发展，供水企业的信息化建设也得到了很大的发展，主要是从深度和广度两个层面做进一步拓展。典型的供水企业信息集成系统涵盖了生产调度系统、销售系统、管网信息系统、财务管理系统、人事管理系统、办公自动化系统等子系统。其中多个系统数据需要接受外部访问，存在大量的安全隐患。目前，威胁到供水企业信息安全的风险因素主要分为三个大类：1）人为原因，如恶意的黑客攻击、不怀好意的内部人员造成的信息外泄、操作中出现低级错误等。2）数据存储位置位置的风险。可能由自然灾害引发的问题，缺乏数据备份和恢复能力。3）不断增长的数据交互放大了数据丢失或泄漏的风险。包括未知的安全漏洞、软件版本、安全实践和代码更改等。

2有关分级防护的要求

尤其是供水企业信息集成系统中，存在大量涉及公民个人隐私的信息，也存在像生产调度这样涉及国计民生的信息。因此，需要按照国家有关信息安全的法律法规，明确企业的信息安全责任。提升供水企业信息管理区内的业务系统信息安全防护。依据《信息安全等级保护管理办法》（公通字[2007]43号）第十四条，信息系统建设完成后，运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构，依据《信息系统安全等级保护测评要求》等技术标准，定期对信息系统安全等级状况开展等级测评。定级标准按照国家标准《信息系统安全等级保护定级指南》（GB/T22240—2008）实施，根据等级保护相关管理文件，信息系统的安全保护等级分为以下五级：第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种：1）造成一般损害；2）造成严重损害；3）造成特别严重损害。

3分别防护实施步骤

根据有关法律法规，建设完成并投入使用的信息系统，其有关使用此系统的单位需要对其系统的等级状况做定期的测评。供水企业要遵照要求选择具有资质的测评机构来对管理信息区的业务系统做等级保护的测评工作。其所得到的结果如下表1所示：通常情况下，供水企业信息系统中不会出现第四级和第五级的系统。根据测评结果，有必要对供水企业内部的局域网进行系统化整改。具体的整改内容包括两项主要内容：细化各业务系统服务器的物理位置；按照需求设置信息安全区域。根据供水企业信息集成系统的具体实际，主要有等级包括三个业务区域，以及一个公共业务区和测评业务区。按照上述原则对供水企业信息集成系统服务器做物理划分如图1所示。不同等级的系统服务器针对不同级别的信息安全区进行设置。等级为一、二、三的业务区分别安装着对应的服务器，而公共业务区域的服务器主要是DNS服务器或者是域服务器。公共业务区服务器主要为基础服务提供非业务系统服务，不需要进行保护分级。测评业务区提供是投入正式使用前的测试服务器。

依据表1的测评结果，将安全区域进行细化表2所示的就是企业管理信息区，其主要业务系统对安全区域存放问题的展示。根据表2得到的结果，可以将信息安全设备存放在不同信息区域边界内，以此达到服务器分级防护目的。信息安全设备设置在信息安全区域边界，也就是局域网与信息安全区域之间的连接部。信息安全设备主要是防火墙、查杀病毒、攻击防护、服务防护禁止、授权等。对于不同区域边界的信息安全的部署建议，供水企业要遵照各自的实际情况做周密的设置。供水企业管理信息安全区域边界防护表见表3。将信息安全防护设备部署在所在的区域边界内，如此可以初步实现对供水企业管理信息区的信息安全防护。

4结束语

随着大数据的发展，对供水企业信息集成系统在数据的交互和应用方面会提出更高的要求，也大大加强了安全防护措施的重要性和迫切性。在安全防护措施基本到位的前提下，还需要加强信息审计，及时发现和补救系统缺陷，加强数据库安全防护，维护管理系统的隐患。

参考文献：

[1]孙锋.基于多agent技术的供水企业信息集成系统研究[J].供水技术,2015(10).

篇10

【关键词】电力企业信息安全管理；组织管理；失误因素

1 电力企业信息安全管理中组织管理失误的分析方法

电力企业信息安全管理中的组织管理失误分析法（英文：Cognitive Relia-bility andErrorAnalysisMethod，即CREAM），是可靠性分析法的典型代表，具有追溯分析功能。通过CREAM的应用，可以将失误事件的外在表现形式称为失效模式，并且将引起这些失误事件的直接原因定义为前因。实践中，前因可分为具体的前因、一般性前因，CREAM分析法是以失效模式作为出发点。首先，通过分析失效模式的一般前因、具体前因，得到失效模式前因表，在表中选定一个前因作为后果，然后分析引起这一后果的可能前因，最终得到包含这一后果、可能的前因追溯表；再以该可能前因为后果，分析可能的前因，通过连续不断的寻找，最终找到引起事件失误的根本原因。

2 在电力电力企业信息组织管理过程中，开展多项管控措施、分三步走

第一步，从思想上加强重视。实践中，应当认真学习贯彻违规外联、外网邮箱发送的要求，严格按照“业务工作谁主管，保密工作谁负责”以及“统一领导、分级负责”的原则，将信息安全保密职责有效地落实到人，让每个员工熟悉、掌握保密工作的基本要求和规范。

第二步，深入检查，全面整改。实践中，应当严格按照检查内容检查，一定不能留死角、搞形式。在检查中发现的问题，要立即纠正，认真整改，对存在严重问题的单位要监督整改，并组织复查；发生泄密、违规问题时，一定要严肃查处，必要时还要追究责任人的责任。

第三步，严格管理，务求实效。要进一步落实保密工作责任制，坚持标本兼治、系统治理，把检查活动与日常保密工作安排结合起来，边检查边整改，以查促管、以查促改、以查促教、以查促防，确保检查取得实效。

3 电力企业信息系统安全管理的必要性

电力企业信息系统安全管理，是企业在一定范围内建立起来的信息安全目标和方针，并通过努力完成目标。对于电力企业信息安全管理而言，可表示为方法、目的、基本原则和实施过程等要素集合，作为直接的信息安全管理结果。2014年8月，某技术质管部专责高某通过电子邮箱将创新成果--《电力设计企业基于桌面云技术的信息》以附件形式经压缩、更名后在没有经过加密的情况下，发送到某部门专家评审组；由于附件内容出现“保密”等敏感词，该邮件被公司外网邮件拦截系统拦截。经现场查实，邮件均不涉商业秘密，但违反了“工作邮件只限于公司内网邮箱发送”规定。由此可见，电力企业信息系统安全管理工作非常重要，也非常有必要。通常情况下，电力企业信息安全管理工作主要包括制定信息安全管理的策略，合理、科学的对电力企业信息安全工作进行组织管理，具有非常重要的作用。电力企业应当提高全体员工的信息安全意识，加强电力电力企业信息内外网安全管理。第一，内、外网电脑都必须安装三种软件，即北信源、天以及趋势杀毒。软件有内、外网版本之别，而且客户端也不同；第二，遵守专机、专网之规定，内网电脑不能与外网相连接，外网电脑不能连接内网，家用电脑不能接入内网使用，尤其是来历不明、使用背景不明的电脑，一律禁止接入内网系统。

4 电力企业信息安全管理中组织管理常见失误

近年来，随着市场经济体制改革的不断深化，虽然电力企业信息安全管理水平有了很大程度的提升，但电力企业信息安全管理过程中依然存在着一些问题与不足，总结之，主要表现在以下几个方面：

第一，信息安全措施和技术手段不成熟。对于大多数企业而言，在信息系统建设过程中欠缺完善的安全手段和措施，严重影响了安全措施的制定与执行。

第二，电力企业信息安全风险控制不到位。实践中可以看到，很多企业在信息化规划与建设过程中，对信息安全的前期分析比较欠缺，将分析对象主要集中在技术层面研究上，很难有效解决企业安全信息系统操作失误、缺陷与不足等安全问题。

第三，信息安全意识不强，缺乏有效的安全管理机制。对于部分企业领导层而言，对信息安全的重视不够，对潜在的各种风险和安全隐患问题分析不到位。

5 电力企业信息安全管理体现构建的有效策略

基于以上对当前企业安全管理中的问题分析，笔者认为要想减少和控制电力企业信息安全管理中组织管理失误现象， 应当根据企业实际生产运营状况，以IS027001信息安全管理体系标准为基础，从组织、技术、管理以及运行和监督这等方面入手，对现有的信息安全管理架构进行改进和完善，增加运行、监督环节。

5.1 提高对电力企业信息安全的认知度

针对企业员工对信息安全知识掌握不足的现状和问题，通过宣传、教育和培训等方法，提高企业全体员工对信息安全的认知度。首先，加强信息安全宣传教育。电力企业信息安全宣传的目的在于让全体员工清楚地认识到信息安全管理工作的重要性，了解信息安全管理目标，以此来提高企业员工的信息安全管理意识。

5.2 建立健全信息安全审计机制

内部审计是对电力企业信息安全管理体系建设与实施情况的评价，定期组织审计活动，以此来促进安全管理体系的改进与完善。企业的信息安全政策、规范制度是信息安全管理工作得以有效开展的重要依据，因此审计工作的主要内容是检验信息安全标准的符合性、执行情况。在审计过程中，主要包括如下内容，即检验是否按照要求制定规章制度、执行细则；检验员工对的规章制度执行状况，对审计结果的整改落实情况进行核查；同时，还要对信息安全控制措施的应用效果进行全面检查，确保评估的有效性。

5.3 建立和完善信息安全风险管理制度

信息安全风险，即威胁利用系统弱点对相关信息资产造成破坏、损失的可能性，信息系统安全与否，主要取决于其风险是否己在现有措施条件下实现了最小化，而非绝对没有风险。

篇11

关键词：企业信息建设；信息安全；法律法规

中图分类号：F270 文献标识码：A 文章编号：1671-2064（2017）07-0018-01

1 导致企业信息安全问题的内部因素

1.1 对信息安全问题缺乏正确认识

部分企业由于在管理方面存在漏洞，导致企业内部对信息安全问题重视程度不足，无法认识到企业信息化建设对企业未来发展的意义与作用。由于我国中小企业在发展过程中对于信息安全问题的管理存在态度上的问题，导致信息安全问题逐渐成为制约我国中小企业发展的重要问题。

1.2 在信息化技术与操作方面的差距明显

从市场情况看，无论在信息安全的质量还是信息安全相关软件的数量方面都无法满足国内企业发展需要，信息技术的发展虽然为我国企业的信息化建设提供了技术支持，然而，信息技术的不断发展也使得各类黑客软件以及新型电脑病毒不断出现，对企业的信息安全问题造成严重威胁。

在操作方面，由于我国企业信息化建设起步较晚，信息化建设程度尚未脱离初级阶段，企业在信息化建设的过程中缺乏技术熟练的操作人员以及专业技能水平较高的人才队伍，始终是我国企业信息安全方面存在的比较严峻的问题，我国企业信息化建设的初级阶段不仅缺乏高水平操作人员与技术人员，在相应的管理人才方面也十分欠缺。优秀的管理人才不仅可以有效提高企业信息安全管理的水平，还能够为企业未来的发展提供相应的管理策略，有助于企业信息安全系统的建立与升级，提高企业信息安全管理的整体水平。

1.3 缺乏完善的法律法规

企业的发展离不开完善的法律制度以及相关法律法规的建立，关于企业的相关法律法规中涉及到信息安全的法律条文较少，覆盖面积较小，部分不法分子可以充分利用其中存在的漏洞作案，从而获取非法利益。由于缺乏完善的法律法规，我国企业在发展过程中存在着缺乏法律指引的情况，是我国企业信息化建设发展缓慢的原因之一。

2 导致企业信息安全问题的外在因素

随着市场经济的发展，各大企业在获取市场竞争力方面展开激烈角逐，各类中小企业为了在激烈的市场竞争中获取一块立足之地而努力。为了增强自身企业的实力遏制其他企业发展，许多不法分子开始使用违法手段盗取其他企业的机密信息或重要数据。最常见的手段是黑客入侵或病毒侵蚀手段。黑客入侵是由于受到网络黑客的攻击，导致企业出现重要信息、数据丢失或者信息安全系统出现问题。病毒侵蚀则是通过将电脑病毒移植到目讼低持校利用病毒来盗取相关信息。在实际生活中除了企业之间还有一部分人专门依靠盗取知名企业的重要信息、资料来换取高额利益报酬，对企业未来发展造成严重损害。

3 企业信息安全问题产生的形式及解决方法

3.1 信息安全问题产生的形式

信息系统遭到攻击的形式有三种，具体如下：

信息的截断。通过对信息系统中相关硬件设备以及信息传输路线的破坏，从而使企业的信息系统瘫痪，失去正常的信息传递功能。

信息的截获。在截断信息以后，通常都会采用搭线或是磁盘复制等手段来获取相关企业的重要信息与资源，影响了相关企业未来的发展。

信息的伪造。部分计算机技术以及信息技术的高手，在窃取其他公司相关信息数据的过程中，会对其系统注入一系列经伪造处理后的信息与数据，使其他企业由于数据信息方面存在的错误而受损，从而影响了相关企业的发展速度。

3.2 信息安全问题的解决办法

在解决企业信息安全问题的办法主要包括以下几个方面：

增强企业信息安全防护意识。我国企业在开展信息化建设过程中要端正自身态度，提高企业员工安全防护意识。

提高企业信息技术水平。在企业开展信息化建设过程中，信息技术的强弱程度直接决定企业信息安全系统的防御水平。软件毕竟是由人类设计出来的，并不是完美无瑕的防护体系，存在着被破解的可能性，但破解软件需要很强的信息技术水平，因此，高性能安全防护软件的引用可以有效提高企业的信息安全水平，减少企业信息化建设中信息安全存在的问题。

强化企业的信息管理工作。加强企业内部的管理组织建设，在组织内部设置网络主管、系统安全专家、安全操作员等相关职位，在确保系统安全问题不受影响的情况下进行日常操作与维护。加强企业安全管理人才队伍建设，提高内部人员素质水平，从而实现企业信息化建设与发展。

4 结语

企业的信息安全问题关系到企业在未来发展中能否获得足够的市场竞争力，而加强企业信息化建设，有效提升企业的信息化技术水平，逐渐使企业在激烈的市场竞争中立于不败之地。

参考文献

篇12

关键词：企业信息安全；信息安全体系；IT技术

中图分类号：F840文献标识码：A文章编号：1009-2374（2009）05-0072-02

当前IT已成为企业业务发展和管理不可或缺的组成部分，其作用和影响力已从单一的业务部门扩散到企业与组织的每一个领域。在IT系统给企业带来活力、利润和竞争力的同时，也给企业增加了风险。因此如何充分利用IT系统获得企业价值的最大化，并且最大限度地降低利用IT技术而带来的风险，成为每个企业都必须要真接面对的问题。本文从企业信息安全的需求为出发点，构建以管理、技术和人员三者有机结合的立体的企业信息安全管理体系，最终实现企业安全建设的最终目标。

一、信息安全管理体系

从企业的内部分析，搭建一套完整的安全架构首先要做的就是根据企业能够承受的风险水平编写企业安全规范。编写企业的安全规范首先要遵循BS 7799-2信息安全管理体系的标准，标准要求组织通过确定信息安全管理体系范围、制定信息安全方针、明确管理职责、以风险评估为基础选择控制目标与控制方式等活动建立信息安全管理体系；体系一旦建立组织应按体系规定的要求进行运作，保持体系运作的有效性；信息安全管理体系应形成一定的文件，即组织应建立并保持一个文件化的信息安全管理体系，其中应阐述被保护的资产、组织风险管理的方法、控制目标及控制方式和需要的保证程度。

BS 7799-2：2002所采用的过程模式如：“计划－实施－检查－措施”四个步骤，可简单描述如下：

计划：依照组织整个方针和目标，建立与控制风险、提高信息安全有关的安全方针、目标、指标、过程和程序。

实施：实施和运作方针（过程和程序）。

检查：依据方针、目标和实际经验测量，评估过程业绩，并向决策者报告结果。

措施：采取纠正和预防措施进一步提高过程业绩。

以上四个步骤成为一个闭环，通过这个环的不断运转，使信息安全管理体系得到持续改进，使信息安全绩效（Performance）螺旋上升。

二、企业信息安全体系架构

根据BS 7799-2信息安全管理体系的标准，不同的企业对信息的安全需求不同，因此每个企业都要制定切实可行的信息安全架构，不是照搬照抄其他企业的模式，或是把各种安全产品进行堆砌，说到底企业的信息安全问题不只是技术上的问题，它是一个极其复杂的系统工程。要实施一个完整信息安全管理体系，至少应包括三类措施：一是社会的法律政策、企业的规章制度以及信息安全教育等外部软环境；二是信息安全的技术措施，如防火墙技术、网络防毒、信息加密存储通信、身份认证、授权等；三是审计和管理措施，该方面措施同时包含了技术与社会措施。这些措施应该均衡考虑企业在保密性（C）、完整性（I）和可用性（A）三方面的安全需求，并且从应用安全、数据安全、主机安全、网络安全、桌面安全和物理安全等六大安全领域全面系统地实现企业的这些安全需求，从而构建安全技术、管理和人员三个方面有机结合的企业信息安全保障体系如图1所示：

该模型是一种从企业信息安全的需求（保密性、完整性、可用性）为出发点，以应用安全、数据安全、主机安全、网络安全、桌面安全、物理安全为关注重点，层层剖析全面深入地挖掘企业的信息安全需求，构建以管理、技术和人员三者有机结合的立体的企业信息安全保障体系。

这种企业信息安全管理架构的规划融合了管理和技术为核心的全面分析方法，以安全需求为焦点，从管理现状、技术现状和人员状况三个维度，综合采用调查问卷、人员访谈、现场察看、资料分析、技术检测等多种手段，全面深入地挖掘需求。在明确需求的前提下，还要借鉴同类企业成功经验，再规划出符合企业实情的信息安全保障体系。

当然该安全体系架构的具体实施还要综合考虑如下问题：成长型企业一方面要节约成本，一方面要把安全风险降到最低。从这两个出发点出发才能够建立适合成长型企业的信息安全体系；计划阶段要评估自己的信息资产，自己的信息资产的价值有多大，现有的安全手段是什么，根据评估结果确立安全战略；开始建立和实施自己的信息安全体系，拟定自己的战略流程；对员工和合作伙伴的培训，建立信息监测和安全的手段。

三、实施信息安全架构的常规操作

在保证物理安全、桌面安全、网络安全、主机安全的基础上，信息安全架构的常规操作包括数据层保护、应用程序层保护、事件应对检查和安全操作。

数据层保护包括用EFS对文件进行加密；用访问控制列表限制数据；从默认位置移动文件；创建数据备份和恢复；用Windows Rights Management Services保护文档和电子文件等等。

应用程序层保护包括只启动必需的服务和功能；配置应用程序安全设置；安装应用程序的安全更新程序；安装和更新防病毒软件；以最低权限运行应用程序等等。

事件应对检查包括确定正在遭受攻击；确定攻击类型；发出有关攻击通知；遏制攻击；采取预防性措施；将攻击情况记录存档等等。

安全最佳做法包括深层防御；设计时考虑安全；最低权限；从过去的错误中学习；维持安全级别；加强用户的安全意识；开发和测试事件应对计划和过程等等。

四、结论

综上所述，企业要做到以信息为中心的安全，必须做到管理层面、组织层面和操作层面的有机结合，这样才能建立有效的安全体系，从而实现企业安全建设的最终目标。

参考文献

[1]梁永生．电子商务安全技术[M]．大连理工大学出版社，2008，（4）．

[2]Mark Rhodes-Ousley，等．网络安全完全手册[M]．北京：电子工业出版社，2005，（10）．

[3]卿斯汉．密码学与计算机网络安全[M]．北京：清华大学出版社，2001．

篇13

信息技术从上世纪开始在我国逐渐普及，从学校到企业，从国家机关到百姓家庭，各种信息系统随处可见。计算机以及各种信息系统已经遍布中国社会的各个行业、领域，为人们的生活和工作带来了巨大的便利，使社会活动、经济发展的节奏逐渐加快，百姓生活品质也逐步提升。但在这些繁荣景象的背后，也隐藏着各种弊端，个人信息被盗取、信息系统被攻击、甚至国家秘密的泄露等事件时有发生。信息安全逐渐引起全社会的关注。

关键词：

信息安全；信息系统；影响因素

一、信息安全现状

（一）政务信息安全现状，随着网络的普及以政务效率要求的提升，电子政务、政务信息化已在全国范围逐渐普及，越来越多的政务系统上线运营，方便了群众办事，提高了办事效率，受到了群众的普遍欢迎。然而政务信息系统普遍存在的漏洞也得到相当的关注。不法分子利用黑客技术、木马技术对政务信息系统进行攻击的案例呈逐年增加的趋势。我国政府部门计算机管理系统曾经遭受过黑客的攻击、篡改，系统遭到破坏，甚至计算机网络出现整体瘫痪，造成巨大的损失。政府部门的信息泄露事件对国家安全也造成了极为不利影响。

（二）企业信息安全现状，越来越多的企业建设了OA、ERP等信息系统，这些系统的建设大大降低了企业的运营成本，提高了企业运营效率，互联网的普及、信息系统的建设使企业信息交互变得更加流畅。但随着商业竞争的愈发激烈，企业信息系统安全隐患也逐渐暴露。企业云服务信息泄露、企业信息系统遭破坏、企业核心机密遭窃取等案件也层出不穷，企业信息安全遭到破坏极大地损害了企业利益，提高企业信息系统安迫在眉睫。

（三）个人信息安全现状，个人信息安全威胁主要来自互联网。目前绝大多数PC计算机系统、智能移动电话系统都已接入互联网，公民个人所持有的PC计算机系统、智能移动电话等信息系统中的个人信息、个人财产等也备受不法分子的“青睐”。木马程序编辑者将伪装后的木马程序通过网页、邮件、系统漏洞、QQ、远程控制植入木马等方式进行传播的，一旦时机成熟木马程序就会肆意的扰乱用户的计算机系统，控制、篡改、窃取计算机系统中重要的信息。据相关部门统计，在我国的网民中，百分之七十的人都遭受过信息泄露带来的影响，骚扰电话和短信以及大量的垃圾邮件使人们不胜其烦。

二、影响信息安全的因素

（一）信息系统漏洞普遍存在，各种信息系统从诞生之时起就存在各种漏洞，它们只是最初没有被发现和利用。在CVEDetails公布公布的2016年各种系统漏洞数量统计中，我们熟知的Android系统以523处漏洞高居榜首。第二名则是DebianLinux共319处漏洞，MacOSX发现215处漏洞，而Windows10则发现172处漏洞。不法分子时刻都在研究、发现这些漏洞，利用这些漏洞，不法分子对系统发起攻击，从而获取巨额利益。

（二）用户信息安全意识差，操作不规范，普通用户信息安全意识薄弱，对使用的各种系统没有深入了解，使用过程中操作不规范。目前普遍应用的网上支付和移动支付已经深入到千家万户，支付安全问题也屡屡出现，多数移动用户设置的支付密码较简单，而且没有定期更换密码，造成密码泄露隐患。腾讯安全的《2015年度互联网安全报告》显示80.21%的网民随意连接公共免费WiFi，38.96%的网民使用无密码WiFi进行网络支付。在各类企业、政务应用系统使用过程中，用户操作不规范，使用任意载体交换数据等行为也为信息系统安全增加了风险。

（三）信息安全相关法律法规不健全，不法分子有可乘之机，目前针对保护各类信息系统安全不受侵犯的法律法规还不健全，存在对恶意破坏行为难以追溯，对不法分子惩戒难以量刑等问题。利用法律漏洞及技术优势，不法分子肆无忌惮对各类信息系统进行破坏，对个人信息进行窃取、诈骗等以获取巨额利益。

（四）黑客、病毒等破坏技术层出不穷，信息技术的飞速发展使我们的生活更加便捷，黑客、病毒、木马等破坏信息安全的技术也在极速发展，越来越多的新技术给我们的信息系统带来更多挑战。国外也在加强破坏技术的投入，试图掌握我国各个领域的信息数据。360互联网安全中心的《2016年中国互联网安全报告》显示2016年截获PC端新增恶意程序样本1.9亿个，Android平台新增恶意程序样本1403.3万个。

三、应对策略

（一）加大立法保护力度。法律是正确引导公民行为、规范社会个体和群体活动的准则和要求，只有在法律规定之下进行的活动，才是安全有效的。当前我国关于计算机信息系统安全方面的法律规范并不多，扔缺少必要的法律作为支撑。2016年《中华人民共和国网络安全法》的出台，让网络信息安全有法可依，相信在相关部门及全社会的关心重视下，我国在信息安全方面的法律法规会逐步健全，为我国信息系统安全保驾护航。

（三）提高全社会信息安全意识，创造良好信息系统运行环境的政府、媒体等社会组织应加强信息安全法律法规宣传力度，科普信息安全防护规范，引导公众树立信息安全意识，使信息系统用户能够识别信息安全风险。广大信息系统用户也应自觉提高安全意识，规范管理操作方法，加强信息系统主动防御能力，不受网络虚假信息诱惑，保障信息系统安全。

（四）提升信息安全防御技术。相关信息安全科研、生产单位应加强防御技术的研发、升级，提升防病毒、木马能力，探索新的信息安全防御技术，主动发现各类信息系统漏洞并加以修正。国家相关部门应加大信息安全防御技术的支持和投入力度，鼓励科研、企业研发拥有自主知识产权的信息安全产品，提升我国整体信息安全防护能力，保障国家和公民的权益不受侵犯。

四、结论

信息安全与人们的生产生活息息相关，与国家利益密不可分，是关乎国计民生的大事，也是社会稳定运行的基石。维护信息安全，合法保障信息安全，不应仅仅是一两个组织、个人的事务，这需要全社会的共同努力、积极参与。相信在全社会参与下，我国信息安全前景一定愈发光明，助力我国早日实现“中国梦”。

作者：于子淳 单位：长春市政协机关服务中心（信息中心）

参考文献：

篇14

 

随着信息技术的飞速发展和广泛应用，信息化逐渐渗透到社会各个领域，国家的经营活动也完全处于信息化环境之下。然而信息化的普及也使得人们越来越依赖信息系统，意味着其面对安全威胁时更加脆弱。本文通过介绍信息安全管理软件，主要阐述了其在企业信息管理中的作用和地位，例举了信息安全管理软件在黑莓手机和交通管理中的实际应用，分析了其未来的发展趋势。

 

1信息安全管理软件在实际生活中的应用

 

1.1信息安全管理软件在企业管理中的应用

 

国外常见应用于企业的信息安全管理软件有ASSET、COBRA、Callio Secum 17799等。ASSET主要通过用户手动操作对信息系统安全性进行自我评估，生成安全性自我评估报告，从而达到保障信息系统安全性的目的;COBRA通过问卷的方式采集和分析资料，并对组织的风险进行定性分析，最终生成包含已识别风险和推荐措施的评估报告;Callio Sect～是一款帮助企业实施定性的风险评估和认证信息安全管理体系的基于Web的工具。它们有各自的优缺点，其中COBRA和CallioSecum的技术相对成熟，安全性更高，使用范围也更广。

 

国内开发的企业信息安全管理软件比较少，如今应用得比较广泛的是由厦门天锐科技有限公司自主研发的绿盾加密软件，是一套整合了文件自动加密、网络实时监控、网络行为管理及内网的软件系统，为企业信息一体化的安全管理提供解决方案，从源头保障了数据存储和使用安全。

 

信息安全管理软件在企业中主要起到了保护企业信息资源财产安全、防止企业信息泄露、规范企业员工行为准则、保障企业信息系统得以顺畅运行等重要作用，保证企业的价值最大化。

 

1.2黑莓手机中信息安全管理软件的设计和实现

 

在信息化逐渐普及的今天，智能手机也随之迅猛发展起来，但是人们在享受它带来的生活乐趣和生活便利的同时，也随时面临着个人信息泄露、重要数据丢失、通信不安全等威胁。因此，如何利用信息安全管理软件避免信息泄露是相关技术人员应该致力研究的方向。

 

在黑莓手机的安全管理软件设计中，技术人员采用了很多模块功能来控制信息的泄露、转移、传送等过程，保证了这些过程实施的安全性。例如：当操作模块受到客户端发送的销毁敏感数据的命令时，先在敏感信息模块对数据进行删除，再调用通信模块将执行结果提交到服务器;在加解密模块，使用RC4算法对所有交互数据进行加密，通过读取程序预设的通信解密密匙进行解密;短信收发模块通过调用加解密模块对短信内容进行加解密，防止短信等信息被不法分子窃听破解。

 

合理利用相关信息安全技术手段提高手机通信中的安全管理，能保护公民个人隐私、企业财产安全，但是现在信息安全管理技术发展的并不成熟，相关管理软件也存在一些漏洞，需要在未来不断地进步并修复这些可能存在的技术本身的风险和威胁。

 

1.3信息安全管理软件在交通管理中的应用实现

 

在国家公安机关进行交通管理信息化的进程中，有些非法分子使用安全攻击技术和手段对交通管理信息系统进行攻击，企图窃取相关业务软件，篡改程序代码谋取利益。这些行为使得交通管理信息安全系统承受着日益沉重的压力，严重危害了交通管理业务的办理和安全。

 

公安机关通过安装点标识、安装密钥管理、正式密钥管理和设置通信机制等技术手段来实现交通管理信息系统的安全管理。安装点标识通过采集足够多的信息以对服务器进行认证识别;密钥管理中，系统通过安装密钥、注册采集标识信息、验证注册信息生成正式的密钥，保证信息的安全性;在系统信息交互过程中使用双重对称加密法保证通信的保密性和完整性。通过使用这些信息安全技术和安装信息安全管理软件，加强了交通管理业务软件的安全性，保障了相关业务的顺利进行。

 

2信息安全管理软件的现状及发展趋势

 

2.1国内信息安全管理软件的发展现状

 

我国近几年来虽然大力引入信息化，注重信息化管理，但是由于自身信息化技术不完备、观念不清、试验尚不成熟等原因，加上信息化随之引起的信息安全问题，国内信息化产业发展得并不顺畅。很多企业在面临信息安全风险时，更倾向于使用国外的信息安全管理软件，因为它们的功能更强大、界面更友好、技术更成熟。这就导致了国内信息安全管理软件并没有得到一个很好的环境来开发或者发展，这是现阶段我们应该认识到并值得注意的问题。

 

2.2国内信息安全管理软件的发展趋势

 

IT新技术的高速发展和攻击手段的不断变化，使得信息安全软件快速崛起。传统的信息安全软件偏重于静态的封闭的自我保护，随着攻击者手段的不断变化和信息安全事故的损失之惨痛，未来的信息安全软件将朝着动态变化主动出击发展。预测未来应急相应技术、攻击取证、攻击陷阱、入侵容忍和自动恢复将成为信息安全发展的热门。信息安全软件也将避开基于特征的防御难题，转向基于行为的防护。另外，信息安全软件的保护环境也将覆盖到内网。人们往往认为黑客的攻击来源于外网用户，而忽略了内网用户对内网结构、防范部署了解更深，因此，内网用户的攻击和误操作也会给整个网络带来巨大的伤害，因此未来的信息安全软件将逐步消除这一安全盲区。

 

未来的信息安全软件可能仍然会侧重于基础软件的完善，如通信协议软件、操作系统、数据库、通用办公软件和中间件。基础软件一旦存在安全漏洞，将会造成毁灭性的伤害。因此软件安全工程、软件功能可信性验证、软件漏洞自动分析工具、软件完整性保护方法，都是未来软件的发展新动力。安全软件的应用重点领域也将仍然是：政府、军队、能源、银行、电信。其中证券、交通、教育、制造对于等新兴企业需求日趋强劲。信用卡的信息安全问题日趋严重，我国银行信用卡发行超过4亿张，但据调查，银行客户信用卡泄露情况非常严重，甚至在网络上形成公开贩卖之势。信用卡领域信息安全也会成为信息安全市场的新兴产业。

 

未来中国信息安全市场整体仍然保持20%的年平均增长率，网络信息安全行业的市场规模，有望达到300亿元。

 

3结论

 

目前信息安全管理软件发展还不是很完备，信息安全这条路还需要进行不断探索发展。国家需要信息技术和科学管理方面的人才，为指导和指挥我国信息安全产业发展提供坚实有力的基础。信息安全管理软件也势必会经历一系列的改革淘汰，最终形成成熟的技术体系。