企业信息安全规划精选(五篇)

序言：作为思想的载体和知识的探索者，写作是一种独特的艺术，我们为您准备了不同风格的5篇企业信息安全规划，期待它们能激发您的灵感。

篇1

【关键词】信息系统；安全建设；防护体系

1.企业信息系统安全防护的价值

随着企业信息化水平的提高，企业对于IT系统的依赖性也越来越高。一方面，“业务系统流程化”正在成为IT安全建设的驱动力。企业的新业务应用正在逐渐标准化和流程化，各种应用系统如ERP、MES为企业的生产效率的提高起到了关键的作用。有效的管控IT环境，确保IT业务系统的持续稳定运行作为企业竞争力的一部分，已成为IT系统安全防护的主要目标和关键驱动力。另一方面，企业IT安全的建设也是“法规遵从”的需要。IT系统作为企业财务应用系统的重要支撑，必须提供可靠的运行保障和数据正确性保证。

2.企业信息系统安全建设的现状分析

在企业信息化建设的过程中，业务系统的建设一直是关注的重点，但是IT业务系统的安全保障方面，往往成为整个信息化最薄弱的环节，尤其是在信息化水平还较低的情况下，IT系统的安全建设缺乏统一的策略作为指导。归结起来，企业在IT系统安全建设的过程中，存在以下几方面的不足：

2.1 安全危机意识不足，制度和规范不健全

尽管知道IT安全事故后果比较严重，但是企业的高层领导心中仍然存在着侥幸心理，更多的时候把IT安全建设的预算挪用到其他的领域。企业在信息安全制度及信息安全紧急事件响应流程等方面缺乏完整的制度和规范保证，由此带来的后果是诸如对网络的任意使用，导致公司的机密文档被扩散。同时在发生网络安全问题的时候，也因为缺乏预先设置的各种应急防护措施，导致安全风险得不到有效控制。

2.2 应用系统和安全建设相分离，忽视数据安全存储建设

在企业IT应用系统的建设时期，由于所属的建设职能部门的不同，或者是因为投资预算的限制，导致在应用系统建设阶段并没有充分考虑到安全防护的需要，为后续的应用系统受到攻击瘫痪埋下了隐患。数据安全的威胁表现在核心数据的丢失；各种自然灾难、IT系统故障，也对数据安全带来了巨大冲击。遗憾的是很多企业在数据的安全存储方面，并没有意识到同城异地灾难备份或远程灾难备份的重要性。

2.3 缺乏整体的安全防护体系，“简单叠加、七国八制”

对于信息安全系统的建设，“头痛医头、脚痛医脚”的现象比较普遍。大多数企业仍然停留在出现一个安全事故后再去解决一个安全隐患的阶段，缺乏对信息安全的全盘考虑和统一规划，这样的后果就是网络上的设备五花八门，设备方案之间各自为战，缺乏相互关联，从而导致了多种问题。

3.企业信息系统安全建设规划的原则

企业的信息化安全建设的目标是要保证业务系统的正常运转从而为企业带来价值，在设计高水平的安全防护体系时应该遵循以下几个原则：

（1）统一规划设计。信息安全建设，需要遵循“统一规划、统一标准、统一设计、统一建设”的原则；应用系统的建设要和信息安全的防护要求统一考虑。

（2）架构先进，突出防护重点。要采用先进的架构，选择成熟的主流产品和符合技术发展趋势的产品；明确信息安全建设的重点，重点保护基础网络安全及关键应用系统的安全，对不同的安全威胁进行有针对性的方案建设。

（3）技术和管理并重，注重系统间的协同防护。“三分技术，七分管理”，合理划分技术和管理的界面，从组织与流程、制度与人员、场地与环境、网络与系统、数据与应用等多方面着手，在系统设计、建设和运维的多环节进行综合协同防范。

（4）统一安全管理，考虑合规性要求。建设集中的安全管理平台，统一处理各种安全事件，实现安全预警和及时响应；基于安全管理平台，输出各种合规性要求的报告，为企业的信息安全策略制定提供参考。

（5）高可靠、可扩展的建设原则。这是任何网络安全建设的必备要求，是业务连续性的需要，是满足企业发展扩容的需要。

4.企业信息系统安全建设的部署建议

以ISO27001等企业信息安全法规[1]遵从的原则为基础，通过分析企业信息安全面临的风险和前期的部署实践，建立企业信息安全建设模型，如图1所示。

图1 企业信息系统安全建设模型

基于上述企业信息安全建设模型，在建设终端安全、网络安全、应用安全、数据安全、统一安全管理和满足法规遵从的全面安全防护体系时，需要重点关注以下几个方面的部署建议：

4.1 实施终端安全，关注完整的用户行为关联分析

在企业关注的安全事件中，信息泄漏是属于危害比较严重的行为。现阶段由于企业对网络的管控不严，员工可以通过很多方式实现信息外泄，常见的方式有通过桌面终端的存储介质进行拷贝或是通过QQ/MSN等聊天工具将文件进行上传等。针对这些高危的行为，企业在建设信息安全防护体系的时候，单纯的进行桌面安全控制或者internet上网行为控制都不能完全杜绝这种行为。而在统一规划实施的安全防护体系中，系统从用户接入的那一时刻开始，就对用户的桌面行为进行监控，同时配合internet上网行为审计设备，对该员工的上网行为进行监控和审计，真正做到从员工接入网络开始的各种操作行为及上网行为都在严密的监控之中，提升企业的防护水平。

4.2 建设综合的VPN接入平台

无论是IPSec、L2TP，还是SSL VPN，都是企业在VPN建设过程中必然会遇到的需求。当前阶段，总部与分支节点的接入方式有广域网专线接入和通过internet接入两种。使用VPN进行加密数据传输是通用的选择。对于部分移动用户接入，也可以考虑部署SSL VPN的接入方式[2]，在这种情况下，如何做好将多种VPN类型客户的认证方式统一是需要重点考虑的问题。而统一接入认证的方式，如采用USBKEY等，甚至在设备采购时就可以预先要求设备商使用一台设备同时支持这些需求。这将给管理员的日常维护带来极大的方便，从而提升企业整体的VPN接入水平。

4.3 优化安全域的隔离和控制，实现L2～L7层的安全防护

在建设安全边界防护控制过程中，面对企业的多个业务部门和分支机构，合理的安全域划分将是关键。按照安全域的划分原则，企业网络包括内部园区网络、Internet边界、DMZ、数据中心、广域网分支、网管中心等组成部分，各安全域之间的相互隔离和访问策略是防止安全风险的重要环节。在多样化安全域划分的基础上，深入分析各安全域内的业务单元，根据企业持续性运行的高低优先级以及面临风险的严重程度，设定合适的域内安全防护策略及安全域之间的访问控制策略，实现有针对性的安全防护。例如，选择FW+IPS等设备进行深层次的安全防护，或者提供防垃圾邮件、Web访问控制等解决方案进行应对，真正实现L2～L7层的安全防护。

4.4 强调网络和安全方案之间的耦合联动，实现网络安全由被动防御到主动防御的转变

统一规划的技术方案，可以做到方案之间的有效关联，实现设备之间的安全联动。在实际部署过程中，在接入用户侧部署端点准入解决方案，实现客户端点安全接入网络。同时启动安全联动的特性，一旦安全设备检测到内部网用户正在对网络的服务器进行攻击，可以实现对攻击者接入位置的有效定位，并采取类似关闭接入交换机端口的动作响应，真正实现从被动防御向主动防御的转变。

4.5 实现统一的安全管理，体现对整个网安全事件的“可视、可控和可管”

统一建设的安全防护系统，还有一个最为重要的优势，就是能实现对全网安全设备及安全事件的统一管理。面对各种安全设备发出来的大量的安全日志，单纯靠管理员的人工操作是无能为力的，而不同厂商之间的安全日志可能还存在较大的差异，难以实现对全网安全事件的统一分析和报警管理。因此在规划之初，就需要考虑到各种安全设备之间的日志格式的统一化，需要考虑设定相关安全策略以实现对日志的归并分析并最终输出各种合规性的报表，只有这样才能做到对全网安全事件的统一可视、安全设备的统一批量配置下发，以及整网安全设备的防控策略的统一管理，最终实现安全运行中心管控平台的建设。[3]

4.6 关注数据存储安全，强调本地数据保护和远程灾难备份相结合

在整体数据安全防护策略中，可以采用本地数据保护和远程灾备相结合的方式。基于CDP的数据连续保护技术可以很好地解决数据本地安全防护的问题，与磁带库相比，它具有很多的技术优势。在数据库的配合下，通过连续数据快照功能实现了对重要数据的连续数据保护，用户可以选择在出现灾难后恢复到前面保存过的任何时间点的状态，同时支持对“渐变式灾难”的保护和恢复。在建设异地的灾备中心时，可以考虑从数据级灾备和应用级灾备两个层面进行。生产中心和异地灾备中心的网络连接方式可以灵活选择，即可采用光纤直连，也可采用足够带宽的IP网络连接。在数据同步方式选择上，生产中心和灾备中心采用基于磁盘阵列的异步复制技术，实现数据的异地灾备。异地灾备中心还可以有选择地部署部分关键应用服务器，以提供对关键业务的应用级接管能力，从而实现对数据安全的有效防护。

5.结束语

企业信息安全防护体系的建设是一个长期的持续的工作，不是一蹴而就的，就像现阶段的信息安全威胁也在不断的发展和更新，针对这些信息安全威胁的防护手段也需要逐步的更新并应用到企业的信息安全建设之中，这种动态的过程将使得企业的信息安全防护更有生命力和主动性，真正为企业的业务永续运行提供保障。

参考文献

[1]李纳.计算机系统安全与计算机网络安全浅析[J].科技与企业，2013.

[2]李群，周相广，陈刚.中国石油上游信息系统灾难备份技术与实践[J].信息技术与信息化，2010，06.

篇2

在进行信息安全总体架构规划时，企业容易陷入两个误区: 一是罗列一堆产品和技术，把能够看到的安全产品和安全技术（防火墙、防病毒、入侵监测、加密技术、VPN、终端准入控制）都堆砌起来，以为这样就构成了全面的安全屏障; 二是把企业信息安全等同于网络安全，给出的规划也只能是局部的、残缺不全的。

要做企业信息安全总体架构规划，首先要了解企业的信息安全需求。抛开需求做规划，难免会掉进前面所讲的两种误区中。因此，做规划要从需求入手。

企业信息安全总体架构规划模型（图1）以企业信息安全的需求（保密性、完整性、可用性）为出发点，以应用安全、数据安全、主机安全、网络安全、桌面安全、物理安全为关注重点，层层剖析、全面挖掘企业的信息安全需求，是一种将管理、技术和人员三者有机结合的企业信息安全保障体系。该模型均衡考虑了企业在保密性（C）、完整性（I）和可用性（A）三方面的安全需求。

企业信息安全总体架构规划模型虽然清晰地指出了规划的要点、重点和思路，但是按照此模型还是不知道如何去做，具体实施应参照一定的方法论进行。企业信息安全总体架构规划方法论（图2）融合了以管理和技术为核心的全面分析方法，以安全需求为焦点，从管理现状、技术现状和人员状况三个维度，综合采用调查问卷、人员访谈、现场察看、资料分析、技术检测等多种手段，全面深入地挖掘需求。在明确需求的前提下，借鉴同类企业成功经验并均衡考虑CIA（保密性、完整性、可用性），规划符合企业实情的信息安全保障体系。

在企业信息安全总体架构规划方法论中，重点工作的描述如下:

调查问卷

针对企业情况，信息主管应参照ISO27001/ISO13335等标准，制定相应的调查问卷，通过它全面了解企业的安全要求、安全状况、IT环境，以及企业信息系统的应用情况和已经采取的安全控制手段。

人员访谈

应选定关键领导和关键岗位，进行人员访谈，全面了解信息系统的安全需求，层层剖析、深入了解企业信息系统各层面的安全现状，包括应用状况、数据存储及数据库、主机及操作系统、网络拓扑及网络管理、数据中心及桌面管理等。

现场查看

为了确保获取信息的全面性和准确性，实地考察是非常必要的。现场查看主要有两方面。一方面是了解现有技术措施的情况，例如设备使用状况、技术应用状况等; 另一方面是物理环境察看，例如机房、办公室、其他重要区域、门禁、监控等。

资料分析

收集企业的相关资料进行分析，重点包括信息系统的部署架构、网络架构、安全制度、运维管理、IT运行报告和IT审计报告。

技术检测

采取技术手段进行漏洞检测和分析，包括渗透测试、漏洞扫描、本地检查和手工检查等。充分发掘网络方面的漏洞、主机及操作系统漏洞、数据库方面的漏洞、应用方面的漏洞等。

CIA均衡考虑

通过前面5种方法完成需求分析之后，CIO对信息安全的具体详细的需求就了解了。然后针对企业的信息安全需求，均衡考虑CIA三个方面设计技术、管理和人员控制措施，并将这些措施有机结合构建信息安全保障体系。

篇3

关键词：信息完全；技术；体系

一、前言

随着金川集团公司跨国经营战略的实施，企业信息化进程不断深入，企业信息安全己经引起公司领导的的高度重视，但依然存在不少问题。调查结果表明，造成网络安全事件发生的原因有很多，一是安全技术保障体系尚不完善，企业花了大量的金钱购买了信息安全设备，但是技术保障不成体系，达不到预想的目标;二是应急反应体系没有经常化、制度化;三是企业信息安全的标准、制度建设滞后。其中，由于未修补或防范软件漏洞导致发生安全事件的占安全事件总数的80%，登录密码过于简单或未修改密码导致发生安全事件的占19%。近年来，虽然使用单位对信息网络安全管理工作的重视程度普遍提高，80%的被调查单位有专职或兼职的安全管理人员，但是，很多企业存在安全观念薄弱、安全管理员缺乏培训、安全经费投入不足和安全产品不能满足要求等问题，也说明目前安全管理水平还比较低。因此现代企业迫切需要建立信息资源安全管理体系。

二、企业信息资源安全管理体系构建

1、企业信息安全组织管理

企业信息安全组织体系定义为一个三层的组织，组织架构如图所示:

企业信息安全组织

l)总经理通过总经办负责企业信息、安全的决策事项。2)总经理任命一名信息安全主管负责企业信息安全的风险管理，该主管领导一个有各个部门主要负责人参加的信息安全管理小组维护企业信息安全管理体系、管理企业信息安全风险。3)总经理任命一名信息安全审计师，负责企业信息安全活动的审计。4)行政部门、业务部门和分支机构执行信息安全管理体系中的相应安全政策，并在信息安全管理主管的领导下，实施风险管理计划。各个部门负责人有义务向信息安全主管报告所管辖部门的信息安全状况，信息安全主管应定期在组织范围内和向上级机关报告企业信息安全状况。

2、企业信息安全政策管理

根据企业信息安全风险分析的结果和信息安全政策制定的原则，设计信息安全政策体系包括以下几点：（1）企业信息安全风险管理政策：a)信息安全风险定义，包括风险等级定义和安全类别定义;b)信息安全风险评估执行要求，包括时问周期要求、范围要求、基于事件的风险评估要求:c)信息安全风险评估责任，包括信息安全管理人员责任和业务部门责任。（2）企业信息安全体系管理政策：a)管理体系的规划，包括规划的时机、规划的内容、规划的依据、规划的责任人:b)管理体系的实施，包括、培训、执行奖惩。c)管理体系的验证，包括周期管理评审、安全审计、事件评审、残留风险评估。d)管理体系的改进，包括分析和变更控制。（3）病毒抵御安全政策：a)操作程序一运行网络管理人员日常工作的程序。这部分安全政策主要控制的风险是不规范的管理活动造成无效或低效的管理。b)关键资源监控一识别出关键设备并对关键设备的运行状态进行监控。这部分安全政策主要控制的风险是关键资源异常情况不能被及时发现和处理。c)软件系统维护一对软件系统及时地升级和打补丁。这部分安全政策主要控制的风险是软件系统未及时升级和/或打补丁而造成的信息故障或者安全事故。d)敏感资料存储一对在业务进行过程中产生的敏感信息的存放管理。这部分安全政策主要控制的风险是由于对敏感资料存储不当导致资料的丢失或泄漏。

3、企业信息安全事件管理

目前，没有任何一种具有代表性的信息安全策略或防护措施可对信息、信息系统、服务或网络提供绝对的保护。即使采取了防护措施，仍可能存在残留的弱点，使得信息安全防护变得无效，从而导致信息安全事件发生，并对企业的业务运行直接或间接地产生负面影响。此外，以前未被认识到的威胁也将会不可避免地发生。企业如果对如何应对这些事件没有作好充分准备，其任何实际响应的效率都会大打折扣，甚至还可能增加潜在的业务负面影响。因此，企业应着重做好信息安全事件管理工作。信息安全事件管理方案的必企业应着重做好信息安全事件管理工作。信息安全事件管理方案的必要过程包括：（1）发现和报告发生的信息安全事态，无论是由企业人员／顾客引起的还是自动发生的（如防火墙警报）。（2）收集有关信息安全事态的信息，由企业的运行支持组人员进行评估，确定该事态属于信息安全事件还是发生了误报。确认该事态是否属于信息安全事件，如果是，则立即作出响应，同时启动必要的法律取证分析、沟通活动。（3）进行评审以确定该信息安全事件是否处于控制下。（4）如果处于控制下，则启动任何所需要的进一步的后续响应，以确保所有相关信息准备完毕，供事件解决后评审所用。（5）如果不在控制下，则采取“危机求助”活动并召集相关人员，如企业中负责业务连续性的管理者和工作组。（6）在整个阶段按要求进行上报，以便进一步评估和决策。（7）确保所有相关人员，正确记录所有活动以备后面分析所用。（8）确保对电子证据进行收集和安全保存，同时确保电子证据的安全保存得到持续监视，以备法律起诉或内部处罚所需。（9）确保包括信息安全事件追踪和事件报告更新的变更控制制度得到维护，从而使得信息安全事态／事件数据库保持最新。

4、企业信息安全技术管理

我们所构建的信息安全管理体系中，不能忽视技术的作用，虽然只使用技术控制不能保证一个信息安全环境，但是在通常情况下，它是信息安全项目的基础部分。（1）密码服务技术。密码服务技术为密码的有效应用提供技术支持。通常密码服务系统由密码芯片、密码模块、密码机或软件，以及密码服务接口构成。通常，企业会涉及以下几个方面的密码应用：数字证书运算、密钥加密运算、数据传输、数据储存、数字签名、数字信封。（2）故障恢复技术。故障恢复的主要措施有：群集配置，由多台计算机组成群集结构，尽可能消除整个系统可能存在的单点故障；双机热备份，在任何一台设备失效的情况下，按照预先定义的规则快速切换至相应的备份设备，维持业务的正常运行；故障恢复管理，由专门的集群软件进行管理和监控，使应用系统在任何软硬件组成单元发生故障时，能够根据 故障情况重新分配任务。（3）恶意代码防范技术：恶意代码防范技术包括四大系统：病毒查杀系统、网关防毒系统、群件防毒系统、集中管理系统。（4）入侵检测技术。入侵检测系统是实现入侵检测功能的一系列的软件、硬件的组合。入侵检测系统以实时方式监测网络通信，对其进行分析并实时安全预警，从而使企业能够有效管理内部人员和资源，并对外部攻击进行早期预警和跟踪，有效保障系统安全。基于主机的入侵检测系统通常以系统日志、应用程序日志等审计记录文件作为数据源。通过比较这些审计记录文件与攻击签名是否匹配，如果匹配立即报警采取行动.基于网络的入侵检测系统把原始的网络数据包作为数据源。它是利用网络适配器来实时监视并分析通过网络进行传输的所有通信业务。（5）扫描与分析技术。端口扫描工具能识别网络上活动的计算机，同样也可以识别这些计算机上的活动端口和服务。可以扫描特定类型的计算机、协议和资源，也可进行普遍扫描。漏洞扫描可以扫描网络并得到非常详细的信息。可以识别暴露的用户名和组，显示开放的网络共享，并暴露配置问题和其他服务器漏洞。内容过滤器也能有效地保护机构系统，使其不受误用和无意的拒绝服务。

5、企业信息安全培训的必要性

公司目前很多岗位和部门的员工都从事涉密数据相关工作，有很多数据和信息涉及到公司的机密和知识产权，但是大多数员工信息安全意识差，在平时的工作中在意识上和实际工作中存在很多问题，导致涉密数据的外漏，给公司的生产经营造成不可挽回的损失。在有管理组织、政策制度和技术保障的情况下，通过对涉密数据相关工作人员的信息安全意识和信息安全操作培训是非常必要的。

三、结语

总之，企业信息安全管理体系是一个企业日常经营和持续发展的基本保证，也是企业战略和管理的重要环节。建立信息安全管理体系的目的就是降低信息风险对企业的危害。并将企业信息系统投资和商业利益最大化。信息安全不只是个技术问题，而更多的是商业、管理和法律问题。实现信息安全不仅仅需要采用技术措施，还需要更多地借助于技术以外的其他手段。

参考文献：

篇4

关键词： 企业信息系统；信息安全；安全策略

中图分类号：F270.7 文献标识码：A 文章编号：1671－7597（2012）0220165－01

随着市场经济的不断发展，企业竞争越来越激烈，国际化合作不断增多，随之而来的企业信息安全是目前我国企业普遍存在的问题。对企业来说，信息安全是一项艰巨的工作，关系到企业的发展。近年来，围绕企业信息安全问题的话题不断，企业信息安全事件也频频发生，如何保证企业信息的安全，保证信息系统的正常运转，已经成为信息安全领域研究的新热点。

1 企业信息安全的意义

信息安全是一个含义广泛的名词，是指防止信息财产被故意的或偶然的非授权泄露、更改、破坏，或防止信息被非法辨识、控制，即确保信息的保密性、可用性、完整性和可控性。企业的正常运转，离不开信息资源的支撑。企业信息安全建设对企业的发展意义重大。

首先，信息安全是时展的需要。计算机网络时代的发展，改变了传统的商务运作模式，改变了企业的生产方式和思想观念，极大推动了企业文化的发展。企业信息安全的建设将使得企业的管理水平与国际先进水平接轨，从而成长为企业向国际化发展与合作的有力支撑。

其次，信息安全是企业发展的需要。企业的信息化建设带来了生产效率提高、成本降低、业务拓展等诸多好处。当前越来越多的企业信息和数据，都是以电子文档的形式存在，对企业来说，信息安全是使企业信息不受威胁和侵害的保证，是企业发展的基本保障，所以，在积极防御，综合防范的方针指导下，有效地防范和规避风险，建立起一套切实可行的长效防范机制，逐步建立起信息安全保障体系，有利于企业的发展。

最后，信息安全是企业稳定的必要前提。信息安全成为保障和促进企业稳定和信息化发展的重点，要充分认识信息安全工作的紧迫感和长期性，从企业的安全、经济发展、企业稳定和保护企业利益的角度来思考问题，扎扎实实地做好基础性工作和基础设施建设，在建立信息安全保障体系的过程中，必须搞好链接信息安全保障体系建设安全、建设健康的网络环境，关注信息战略，保障和促进信息化的健康发展。

2 企业信息安全的现状

我国企业信息安全包括计算机系统的硬、软件及系统中的数据受到保护，不受偶然的或恶意的原因而遭到破坏、更改、泄露，使得系统连续、可靠、正常的运行，网络服务不中断。计算机和网络技术具有复杂性和多样性，使得企业信息安全成为一个需要持续更新和提高的领域。就目前来看，主要存在以下三个方面的隐患。

2.1 企业缺少信息安全管理制度

企业信息安全是一个比较新的领域，目前还缺少比较完善的法规，现有的法规，由于相关安全技术和手段还没有成熟和标准化，法规也不能很好地被执行，安全标准和规范的缺少，导致无从制定合理的安全策略并确保此策略能被有效执行。企业的信息系统安全问题是一个系统工程，涉及到计算机技术和网络技术以及管理等方方面面，同时，随着信息系统的延伸和新兴技术集成应用升级换代，它又是一个不断发展的动态过程。因此对企业信息系统运行风险和安全需求应进行同期化的管理，不断制定和调整安全策略，只有这样，才能在享受企业信息系统便利高效的同时，把握住信息系统安全的大门。

2.2 员工缺少安全管理的责任心

一个企业的信息系统是企业全体人员参与的，不考虑全员参与的信息安全方案，恰恰忽视信息安全中最关键的因素――人，因为他们才是企业信息系统的提供者和使用者，他们是影响信息安全系统能否达到预期要求的决定因素。在众多的攻击行为和事件中，发生最多的安全事件是信息泄露事件。攻击者主要来自企业内部，而不是来自企业外部的黑客等攻击者，安全事件造成最大的经济损失主要是内部人员有意或无意的信息泄露事件。针对内部员工的泄密行为，目前还没有成熟的、全面的解决，对于来自企业信息内部信息泄密的安全问题，一直是整个信息安全保障体系的难点和弱点所在。

2.3 信息系统缺乏信息安全技术

计算机信息安全技术是一门由密码应用技术、信息安全技术、数据灾难与数据恢复技术、操作系统维护技术、局域网组网与维护技术、数据库应用技术等组成的计算机综合应用学科。由于认识能力和技术发展的局限性，在硬件和软件设计过程中，难免留下技术缺陷，网络硬件、软件系统多数依靠进口，由此可造成企业信息安全的隐患，现在黑客的攻击并不是为了破坏底层系统，而是为了入侵应用，窃取数据，带有明显的商业目的，许多黑客就是通过计算机操作系统的漏洞和后门程序进入企业信息系统。随着网络应用要求的越来越多，针对应用的攻击也越来越多，除了在管理制度上确保信息安全外，还要在技术上确保信息安全。

3 企业信息安全中存在的问题

信息时代的到来，从根本上改变了企业经营形式，企业实施信息化为其带来便利的同时也产生了巨大的信息安全风险。由于我国企业信息安全工作还处于起步阶段，基础薄弱，导致信息安全存在一些亟待解决的问题。比较常见的问题有病毒危害、“黑客”攻击和网络攻击等，这些问题给企业造成直接的经济损失，成为企业信息安全的最大威胁，使企业信息安全存在着风险因素。

3.1 病毒危害

计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码，它是具有破坏作用的程序或指令集合。计算机病毒已经泛滥成灾，几乎无孔不入，据统计，计算机病毒的种类已经超过4万多种，而且还在以每年40%的速度在递增，随着Internet技术的发展，病毒在企业信息系统中传播的速度越来越快，其破坏性也越来越来越强。

3.2 “黑客”攻击

“黑客”是英文Hacker的谐音，黑客是利用技术手段进入其权限以外的计算机系统的人。黑客破解或破坏某个程序、系统及网络安全，或者破解某系统或网络以提醒该系统所有者的系统安全漏洞的过程。通常采用后门程序、信息炸弹、拒绝服务、网络监听、密码破解等手段侵入计算机系统，盗窃系统保密信息，进行信息破坏或占用系统资源，黑客攻击已经成为近年来经常出现的问题。

3.3 网络攻击

网络攻击就是对网络安全威胁的具体表现，利用网络存在的漏洞和安全缺陷对系统和资源进行的攻击。尤其是在最近几年里，网络攻击技术和攻击工具有了新的发展趋势，使借助Internet运行业务的企业面临着前所未有的风险。由此可知，企业的信息安全问题、以及对信息的安全管理都是至关重要的。要保证企业信息安全，就必须找出存在信息安全问题的根源，并具有良好的安全管理策略。

4 企业信息安全的解决方案

为确保企业信息安全，要坚持积极防御，综合防范的方针，全面提高信息安全防护能力。因此，面对企业信息安全的现状和企业信息安全发展中出现的问题，必须实施对企业的信息安全管理，建设信息安全管理体系，只有建立完善的安全管理制度，将信息安全管理自始至终贯彻落实于信息管理系统的方方面面，企业信息安全才能得以实现。企业信息安全的解决方案，具体表现在以下三个方面：

4.1 建立完善的安全管理体系

完整的企业信息系统安全管理体系首先要建立完善的组织体系，完成制定并信息安全管理规范和建立信息安全管理组织等工作，保障信息安全措施的落实以及信息安全体系自身的不断完善。并建立一套信息安全规范，详细说明各种信息安全策略。一个详细的信息安全规划可以减轻对于人的因素带来的信息安全问题。最基本的企业安全管理过程包括：采用科学的企业信息资产评估和风险分析模型法、设计完备的信息系统动态安全模型、建立科学的可实施的安全策略，采取规范的安全防范措施、选用可靠稳定的安全产品等。安全防范体系的建立不是一劳永逸的，企业网络信息自身的情况不断变化，新的安全问题不断涌现，必须根据暴露出的一些问题，进行更新，保证网络安全防范体系的良性发展，

4.2 提高企业员工的安全意识

科技以人为本，在信息安全方面也是靠人来维护企业的利益，我们在企业信息网络巩固正面防护的时候不能忽视对人的行为规范和绩效管理。企业员工信息安全意识的高低是一个企业信息安全体系是否能够最终成功实施的决定性因素。企业应当制定企业人员信息安全行为规范，必须有专门管理人才，才能有效地实现企业安全、可靠、稳定运行，保证企业信息安全。教育培训是培训信息安全人才的重要手段，企业可以对所有相关人员进行经常性的安全培训，强化技术人员对信息安全的重视，提升使用人员的安全观念，有针对性的开展安全意识宣传教育，逐步提高员工的安全意识，强调人的作用，使他们明确企业各级组织和人员的安全权限和责任，使他们的行为符合整个安全策略的要求。

4.3 不断优化企业信息安全技术

企业一旦制定了一套详细的安全规划来武装自己，保护其智力资产，它就开始投入到选择采用正确信息安全技术上。可供企业选择的防止信息安全漏洞的安全技术有很多。当企业选择采用何种技术时，首先了解信息安全的三个领域是十分有帮助的，这三个领域变得：验证与授权、预防和抵制、检测和响应。其中，用户验证是确认用户身份的一种方法，一旦系统确认了用户身份，那么它就可以决定该用户的访问权限，比如使用用户名和密码。预防和抵抗技术是指企业阻止入侵者访问。对于任何企业，必须对那些故障做好准备和预测，目前可以帮助预防和建设抵抗攻击的技术主要有内容过滤、加密和防火墙，在选用防火墙的时候，需要对所安装的防火墙做一些攻击测试。此外，企业信息安全的最后一道屏障是探测和反应技术，最常见的探测和反应技术是杀毒软件。

5 结语

总之，企业信息安全是一项复杂的系统工程，企业要适应现代化发展的需要，要提高自身信息安全意识，加强对信息安全风险防范意识的认识，重视安全策略的施行及安全教育，必须做到管理和技术并重，安全技术必须结合安全措施，并加强信息安全立法和执法的力度，建立备份和恢复机制， 为企业设计适合实际情况的安全解决方案，制定正确和采取适当的安全策略和安全机制，保证企业安全体系处于应有的健康状态。

参考文献：

[1]张帆，企业信息安全威胁分析与安全策略[J].网络安全技术与应用，2007（5）.

[2]谌晓欢，企业信息安全问题及解决方案[J].企业技术开发，2008（8）.

[3]付沙，企业信息安全策略的研究与探讨[J].商场现代化，2007（26）.

[4]姜桦、郭永利，企业信息安全策略研究[J].焦作大学学报，2009（1）.

篇5

【关键词】企业信息化；信息安全问题；原因；对策

新时期下，信息化技术在各行业中运用日渐深入，给企业现代化建设与快速发展带来了无限动力。企业信息化建设已成为我国经济信息化建设能否成功的关键所在，也是提升企业自身市场竞争力与企业升级进步的重要保证和标志[1]。但是，企业信息化建设过程中不可避免的出现信息安全问题，给企业正常生产经营带来诸多不利影响。因此，加强企业信息化建设中信息安全管理，已成为现代企业经营管理的一个至关重要的工作。

1企业信息化概述

所谓的企业信息化，指的是实现企业的资金流、物流、作业流、信息流的数字化、网络化管理，实行企业运行的自动化和企业制度的现代化[2]。企业信息化建设涉及了企业生产经营中的各个部门，其主要利用现代化信息技术，通过完善企业内外网络信息系统，实现对企业内外知识与信息资源的开发。可见，建设企业信息化体系，不但可以及时有效的提供各种数据信息给企业决策层，也为企业未来规划设计提供参考依据，而且还有利于企业满足瞬息万变的市场需求，为企业市场核心竞争力的提升带来动力。

2当前企业信息化建设中信息安全问题

企业信息化建设与发展为企业持续、健康、稳定发展发挥了显著作用，但同时也存在着诸多信息安全问题，具体分析主要有以下几方面[3]：（1）当前，绝大多数企业缺乏完善的安全防御系统，导致企业内部使用的信息系统易遭受外部网络系统的攻击，引发企业信息资料被他人截获、篡改与伪造等问题，甚至企业信息系统中出现通信线路、硬盘设施以及其他文件系统遭恶意破坏现象，上述问题的发生不但致使企业信息系统无法正常运行，而且其内部机密信息易发生泄漏，造成企业严重的社会经济损失。（2）针对邮件系统攻击防不甚防。在企业信息系统中电子邮件具有重要的作用，通过电子邮件接收与传送，极大的方便了企业内部间与外部间信息交流与沟通。然而，电子邮件安全问题也日益突出，典型的如电子邮件病毒、垃圾邮件、机密信息泄露以及电子邮件炸弹等，给企业信息传输带来了巨大安全隐患。因此，电子邮件安全问题不可忽视。（3）漏洞攻击日益严重。按照漏洞问题发生原因可分为软件漏洞和协议漏洞两种，其中软件漏洞主要是受外部不法分子攻击软件自身存在的漏洞，造成企业信息泄露等问题；而协议漏洞则主要是由于TCP/IP协议自身在安全机制方面存在的诸多漏洞问题导致，外部不法人员通过攻击TCP/IP协议漏洞，致使企业信息系统遭受破坏。目前情况，很多企业对自身信息系统缺乏成熟的漏洞检测手段和能力，往往事发后才采取补救措施。（4）是Web服务安全问题突出，根据Web服务流程，其发生安全问题的主要组成包括Web服务端安全问题、浏览器客户端安全问题两种。其中，Web服务端安全问题主要是企业Web主机遭受外部不法分子侵入，导致企业保密信息遭窃或者企业部分信息遭受非法篡改等；浏览器客户端安全问题则是企业浏览器客户端遭外部非法分子侵入，致使部分机密信息与数据遭窃等。

3导致企业信息化建设中信息安全问题因素

企业信息化建设中信息安全问题发生受诸多因素影响，具体分析主要有以下几方面[4]：（1）目前，绝大多数企业在信息化建设过程中，对于信息安全问题重视度严重不足。一方面，受传统经营观念影响，企业管理层偏重于对企业生产经营中的有形资产给予关注与重视，而忽略了企业知识与信息资料等无形资源，导致在企业信息安全管理方面各项投入严重不足，进而造成信息安全问题日益凸显；另一方面，多数企业在面对信息安全问题时，存在着盲目乐观现象，认为信息安全问题不至于导致企业正常生产经营，使得信息安全管理无法上升至企业发展规划战略之中，进而造成信息安全问题得不到及时有效解决。（2）由于企业信息化建设在我国尚处于起步阶段，各方面配套管理制度不够完善，特别是缺乏健全的企业信息安全管理体制。受此影响，企业信息化建设中信息安全问题一方面无法得到有效的预防措施，另一方面是一旦发生信息安全问题，无法采取及时有效的补救与解决对策。同时，由于缺乏科学、合理、有效的企业信息安全防护策略，使得企业信息管理人员缺乏必要的安全防护意识与业务素质能力，致使企业信息安全防护软硬件工作质量与效率明显不足。上述两个因素，导致企业无论是从人员配置，还是资金与技术投入方面都严重不足，受企业信息管理人员业务素质能力不足、信息安全技术方法落后以及配套的资金缺乏等影响，企业信息安全防护的措施、手段偏低，造成企业信息化建设存在着严重安全隐患。

4提升企业信息化建设中信息安全对策

针对当前企业信息化建设中存在的信息安全问题，为加强企业信息安全管理，提升企业信息安全保障，可通过采取以下几方面对策，具体有[5]：（1）转变传统企业信息化建设观念，在企业内部管理层从上至下加强对企业信息安全的重视，并树立正确的安全意识。一方面，通过组织各种信息安全管理培训等，增强全体企业员工信息安全意识，确保企业保密信息不外漏；另一方面，逐步加大企业信息化建设中信息安全管理各项资金、技术、人力投入，并建立科学、合理、有效的企业信息安全防护策略，保障企业信息系统安全稳定。（2）不断的推进网络信息技术的发展与运用，促进企业组织结构网络化的实现，同时引进先进的安全防护技术，确保企业信息化系统安全稳定运行。任何网络信息系统都存在着或大或小的安全漏洞问题，而保证其不受外部不法分子侵入的一个关键方法就是安全防护技术的运用。通过选用先进的安全防护技术，可以有效的提高企业信息系统抵抗外来攻击，避免企业信息遭受窃取、篡改甚至破坏等，对于保障企业持续、健康、稳定发展具有显著作用。（3）结合企业信息化建设实际情况，建立健全企业内部信息系统管理体制。一方面，针对信息安全问题，应建立科学、合理、规范的信息安全管理体制，保证企业信息系统安全运行；另一方面，建立健全企业安全风险评估机制，针对不同系统找出影响其安全的因素和漏洞，并制定出最佳的对策，降低企业信息安全风险；此外，加强相应的网络管理，防止外来不法分子通过网络侵入企业信息系统。（4）根据新时期企业信息化建设需要，加强企业信息技术人才、信息管理人才队伍建设，为企业信息安全管理奠定坚实的人才基础。一方面，在企业内部，加强信息技术人才培训，提高企业内部相关人才业务素质能力；另一方面，在企业外部，采取有效措施，积极招聘人才，引进具有先进信息技术型人才；此外，建立健全企业信息安全管理用人机制，激发员工工作积极性，提高工作质量与效率。

5小结

总而言之，企业信息安全事关企业信息化建设是否成功，对于企业持续、健康、稳定发展具有至关重要的作用。因此，应提高企业信息安全管理意识，增强企业信息安全管理机制，促进企业信息安全管理工作质量与效率，保障企业信息化建设顺利开展。

作者:吴捷 单位:中海石油气电集团有限责任公司

参考文献

[1]毛志勇.企业信息化建设的信息安全形势与对策研究[J].科技与产业，2008，8，（1）：43~45.

[2]纂振法，徐福缘.浅析企业信息化建设的意义、问题与对策[J].吉林省经济管理干部学院学报，2001，3：24~28.

[3]谢志宏.企业信息化建设中的信息安全问题研究[J].企业导报，2014（06）：132~133.