企业信息安全建设精选(五篇)

序言：作为思想的载体和知识的探索者，写作是一种独特的艺术，我们为您准备了不同风格的5篇企业信息安全建设，期待它们能激发您的灵感。

篇1

关键词： 企业信息系统；信息安全；安全策略

中图分类号：F270.7 文献标识码：A 文章编号：1671－7597（2012）0220165－01

随着市场经济的不断发展，企业竞争越来越激烈，国际化合作不断增多，随之而来的企业信息安全是目前我国企业普遍存在的问题。对企业来说，信息安全是一项艰巨的工作，关系到企业的发展。近年来，围绕企业信息安全问题的话题不断，企业信息安全事件也频频发生，如何保证企业信息的安全，保证信息系统的正常运转，已经成为信息安全领域研究的新热点。

1 企业信息安全的意义

信息安全是一个含义广泛的名词，是指防止信息财产被故意的或偶然的非授权泄露、更改、破坏，或防止信息被非法辨识、控制，即确保信息的保密性、可用性、完整性和可控性。企业的正常运转，离不开信息资源的支撑。企业信息安全建设对企业的发展意义重大。

首先，信息安全是时展的需要。计算机网络时代的发展，改变了传统的商务运作模式，改变了企业的生产方式和思想观念，极大推动了企业文化的发展。企业信息安全的建设将使得企业的管理水平与国际先进水平接轨，从而成长为企业向国际化发展与合作的有力支撑。

其次，信息安全是企业发展的需要。企业的信息化建设带来了生产效率提高、成本降低、业务拓展等诸多好处。当前越来越多的企业信息和数据，都是以电子文档的形式存在，对企业来说，信息安全是使企业信息不受威胁和侵害的保证，是企业发展的基本保障，所以，在积极防御，综合防范的方针指导下，有效地防范和规避风险，建立起一套切实可行的长效防范机制，逐步建立起信息安全保障体系，有利于企业的发展。

最后，信息安全是企业稳定的必要前提。信息安全成为保障和促进企业稳定和信息化发展的重点，要充分认识信息安全工作的紧迫感和长期性，从企业的安全、经济发展、企业稳定和保护企业利益的角度来思考问题，扎扎实实地做好基础性工作和基础设施建设，在建立信息安全保障体系的过程中，必须搞好链接信息安全保障体系建设安全、建设健康的网络环境，关注信息战略，保障和促进信息化的健康发展。

2 企业信息安全的现状

我国企业信息安全包括计算机系统的硬、软件及系统中的数据受到保护，不受偶然的或恶意的原因而遭到破坏、更改、泄露，使得系统连续、可靠、正常的运行，网络服务不中断。计算机和网络技术具有复杂性和多样性，使得企业信息安全成为一个需要持续更新和提高的领域。就目前来看，主要存在以下三个方面的隐患。

2.1 企业缺少信息安全管理制度

企业信息安全是一个比较新的领域，目前还缺少比较完善的法规，现有的法规，由于相关安全技术和手段还没有成熟和标准化，法规也不能很好地被执行，安全标准和规范的缺少，导致无从制定合理的安全策略并确保此策略能被有效执行。企业的信息系统安全问题是一个系统工程，涉及到计算机技术和网络技术以及管理等方方面面，同时，随着信息系统的延伸和新兴技术集成应用升级换代，它又是一个不断发展的动态过程。因此对企业信息系统运行风险和安全需求应进行同期化的管理，不断制定和调整安全策略，只有这样，才能在享受企业信息系统便利高效的同时，把握住信息系统安全的大门。

2.2 员工缺少安全管理的责任心

一个企业的信息系统是企业全体人员参与的，不考虑全员参与的信息安全方案，恰恰忽视信息安全中最关键的因素――人，因为他们才是企业信息系统的提供者和使用者，他们是影响信息安全系统能否达到预期要求的决定因素。在众多的攻击行为和事件中，发生最多的安全事件是信息泄露事件。攻击者主要来自企业内部，而不是来自企业外部的黑客等攻击者，安全事件造成最大的经济损失主要是内部人员有意或无意的信息泄露事件。针对内部员工的泄密行为，目前还没有成熟的、全面的解决，对于来自企业信息内部信息泄密的安全问题，一直是整个信息安全保障体系的难点和弱点所在。

2.3 信息系统缺乏信息安全技术

计算机信息安全技术是一门由密码应用技术、信息安全技术、数据灾难与数据恢复技术、操作系统维护技术、局域网组网与维护技术、数据库应用技术等组成的计算机综合应用学科。由于认识能力和技术发展的局限性，在硬件和软件设计过程中，难免留下技术缺陷，网络硬件、软件系统多数依靠进口，由此可造成企业信息安全的隐患，现在黑客的攻击并不是为了破坏底层系统，而是为了入侵应用，窃取数据，带有明显的商业目的，许多黑客就是通过计算机操作系统的漏洞和后门程序进入企业信息系统。随着网络应用要求的越来越多，针对应用的攻击也越来越多，除了在管理制度上确保信息安全外，还要在技术上确保信息安全。

3 企业信息安全中存在的问题

信息时代的到来，从根本上改变了企业经营形式，企业实施信息化为其带来便利的同时也产生了巨大的信息安全风险。由于我国企业信息安全工作还处于起步阶段，基础薄弱，导致信息安全存在一些亟待解决的问题。比较常见的问题有病毒危害、“黑客”攻击和网络攻击等，这些问题给企业造成直接的经济损失，成为企业信息安全的最大威胁，使企业信息安全存在着风险因素。

3.1 病毒危害

计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码，它是具有破坏作用的程序或指令集合。计算机病毒已经泛滥成灾，几乎无孔不入，据统计，计算机病毒的种类已经超过4万多种，而且还在以每年40%的速度在递增，随着Internet技术的发展，病毒在企业信息系统中传播的速度越来越快，其破坏性也越来越来越强。

3.2 “黑客”攻击

“黑客”是英文Hacker的谐音，黑客是利用技术手段进入其权限以外的计算机系统的人。黑客破解或破坏某个程序、系统及网络安全，或者破解某系统或网络以提醒该系统所有者的系统安全漏洞的过程。通常采用后门程序、信息炸弹、拒绝服务、网络监听、密码破解等手段侵入计算机系统，盗窃系统保密信息，进行信息破坏或占用系统资源，黑客攻击已经成为近年来经常出现的问题。

3.3 网络攻击

网络攻击就是对网络安全威胁的具体表现，利用网络存在的漏洞和安全缺陷对系统和资源进行的攻击。尤其是在最近几年里，网络攻击技术和攻击工具有了新的发展趋势，使借助Internet运行业务的企业面临着前所未有的风险。由此可知，企业的信息安全问题、以及对信息的安全管理都是至关重要的。要保证企业信息安全，就必须找出存在信息安全问题的根源，并具有良好的安全管理策略。

4 企业信息安全的解决方案

为确保企业信息安全，要坚持积极防御，综合防范的方针，全面提高信息安全防护能力。因此，面对企业信息安全的现状和企业信息安全发展中出现的问题，必须实施对企业的信息安全管理，建设信息安全管理体系，只有建立完善的安全管理制度，将信息安全管理自始至终贯彻落实于信息管理系统的方方面面，企业信息安全才能得以实现。企业信息安全的解决方案，具体表现在以下三个方面：

4.1 建立完善的安全管理体系

完整的企业信息系统安全管理体系首先要建立完善的组织体系，完成制定并信息安全管理规范和建立信息安全管理组织等工作，保障信息安全措施的落实以及信息安全体系自身的不断完善。并建立一套信息安全规范，详细说明各种信息安全策略。一个详细的信息安全规划可以减轻对于人的因素带来的信息安全问题。最基本的企业安全管理过程包括：采用科学的企业信息资产评估和风险分析模型法、设计完备的信息系统动态安全模型、建立科学的可实施的安全策略，采取规范的安全防范措施、选用可靠稳定的安全产品等。安全防范体系的建立不是一劳永逸的，企业网络信息自身的情况不断变化，新的安全问题不断涌现，必须根据暴露出的一些问题，进行更新，保证网络安全防范体系的良性发展，

4.2 提高企业员工的安全意识

科技以人为本，在信息安全方面也是靠人来维护企业的利益，我们在企业信息网络巩固正面防护的时候不能忽视对人的行为规范和绩效管理。企业员工信息安全意识的高低是一个企业信息安全体系是否能够最终成功实施的决定性因素。企业应当制定企业人员信息安全行为规范，必须有专门管理人才，才能有效地实现企业安全、可靠、稳定运行，保证企业信息安全。教育培训是培训信息安全人才的重要手段，企业可以对所有相关人员进行经常性的安全培训，强化技术人员对信息安全的重视，提升使用人员的安全观念，有针对性的开展安全意识宣传教育，逐步提高员工的安全意识，强调人的作用，使他们明确企业各级组织和人员的安全权限和责任，使他们的行为符合整个安全策略的要求。

4.3 不断优化企业信息安全技术

企业一旦制定了一套详细的安全规划来武装自己，保护其智力资产，它就开始投入到选择采用正确信息安全技术上。可供企业选择的防止信息安全漏洞的安全技术有很多。当企业选择采用何种技术时，首先了解信息安全的三个领域是十分有帮助的，这三个领域变得：验证与授权、预防和抵制、检测和响应。其中，用户验证是确认用户身份的一种方法，一旦系统确认了用户身份，那么它就可以决定该用户的访问权限，比如使用用户名和密码。预防和抵抗技术是指企业阻止入侵者访问。对于任何企业，必须对那些故障做好准备和预测，目前可以帮助预防和建设抵抗攻击的技术主要有内容过滤、加密和防火墙，在选用防火墙的时候，需要对所安装的防火墙做一些攻击测试。此外，企业信息安全的最后一道屏障是探测和反应技术，最常见的探测和反应技术是杀毒软件。

5 结语

总之，企业信息安全是一项复杂的系统工程，企业要适应现代化发展的需要，要提高自身信息安全意识，加强对信息安全风险防范意识的认识，重视安全策略的施行及安全教育，必须做到管理和技术并重，安全技术必须结合安全措施，并加强信息安全立法和执法的力度，建立备份和恢复机制， 为企业设计适合实际情况的安全解决方案，制定正确和采取适当的安全策略和安全机制，保证企业安全体系处于应有的健康状态。

参考文献：

[1]张帆，企业信息安全威胁分析与安全策略[J].网络安全技术与应用，2007（5）.

[2]谌晓欢，企业信息安全问题及解决方案[J].企业技术开发，2008（8）.

[3]付沙，企业信息安全策略的研究与探讨[J].商场现代化，2007（26）.

[4]姜桦、郭永利，企业信息安全策略研究[J].焦作大学学报，2009（1）.

篇2

关键词：信息安全；管理体系；PKI/CA；MPLSVPN；基线

在供电企业现代信息技术广泛运用生产经营、综合管理之中，实现资源和信息共享，为领导提供相关辅助决策。保障企业信息安全是企业领导层、专业人员及企业全员共同面对的。信息安全是集管理、人员、设备、技术为一体系统工程，木桶原理可以很好地诠释信息安全，一个企业安全不取决于最强项，而取决最短板。信息安全需从制度建设、体系架构、一体化防控体系、人员意识、专业人员技术水平等多方面共同建设，才能有效提高企业信息安全，才能为企业生产、经营保驾护航。

1基层供电信息安全现状

基层供电企业信息安全建设方面，在制度建设、安全分区、网络架构、一体化防护、人员意识、专业人员技术水平等多方面存在不同程度问题。

1.1管理制度不健全，制度多重化

信息安全制度建设方面较为被动，大多数都是现实之中出现某一问题，然后一个相关制度，制度修修补补。同一类问题有时出现不同管理规定里，处理办法不一，甚至发生冲突。原有信息安全管理制度宽泛，操作性较差。信息系统建设渠道不同，未提前进行信息安全方面考虑，管理职责不明，导致部分信息安全工作开始不顺畅。

1.2安全区域划分不明，网络架构不清晰

基层供电企业系统建设主要由上级推广系统和自建系统，系统建设时候相当部分系统未充分考虑系统，特别是业务部门自建系统更甚。网络建设需要什么就连接什么，存在服务器、终端、外联区域不明显，网络架构不清晰。

1.3未建立一体化安全防护体系

从近些年已经发生的各类信息安全事件来看，内部客户端问题造成超过将近70%。内部终端用户网络行为控制不足，存在网络带宽滥用；终端接入没有相应准入控制，不满足网络安全需求用户接入办公网络，网络环境安全构成极大风险；内部人员对核心服务器和网络设备未建立统一内部控制机制；移动介质未实施注册制管理等问题。

1.4未建立行之有效设备基线标准

网络安全设备、操作系统、数据库、中间件、应用系统等厂家为了某种方便需求，在设备和系统中常常保留有默认缺省安全配置项，这些恰恰是别人利用漏洞。基层供电企业在部署设备和系统时，没有统一基线标准，没有对设备和系统进行相应基线加固，企业存在潜在风险。1.5信息安全意识较差，技术水平参差不齐企业信息安全认识存在认识上误区，常常认为我们有较强信息安全保护设备，外部不易攻破内部，事实上堡垒常常是从内部攻破的。比如企业员工弱口令、甚至空口令、共用相同密码、木马、病毒、企业机密泄露等，这恰恰是基层供电企业全员信息安全意识较为薄弱表现。专业技术人员缺乏必要自我学习和知识主动更新，未取得专门信息安全专业人员资质，处理问题能力表现参差不齐。

2必要性

信息安全为国家安全重要组成部门，电力企业信息安全为国家信息安全的重要元素，电网安全事关国计民生。2014年2月，国家成立中央网络安全和信息化领导小组，将网络信息安全提升前所未有高度。近年发生的“棱镜门”事件，前几年发生伊朗核电站“震网”病毒（Stuxnet病毒）网络攻击，其中一个关键问题就是利用移动介质摆渡来进行攻击，造成设备瘫痪，这一系列信息安全事件都事关国家安全，因此人人都要有信息安全意识。首先要防止企业机密数据（财务、人资、投资、客户等）泄漏；其次，保持数据真实性和完整性，错误的或被篡改的不当信息可能会导致错误的决策或商业机会甚至信誉的丧失；最后，信息的可用性，防止由于人员、流程和技术服务的中断而影响业务的正常运作，业务赖以生存的关键系统如失效，不能得到及时有效恢复，会造成重大损失。建立严格的访问控制，前面数据分级时有制定数据的“所有者”及给敏感数据进行分级，按照分级的要求制定严格的访问控制策略，基本的思想是最小特权原则和权限分离原则。最少特权是给定使用者最低的只需完成其工作任务的权限；权限分离原则是将不同的工作职能分开，只给相关职能有必要让其知道的内容访问权限。通过对内部网络行为的监控可以规范内部的上网行为，提高工作效率，保护企业有限网络资源应用于主要生产经营上来。

3特点探析

通过我们对基层供电企业在信息安全存在问题及必要性来看，主要是管理制度、网络信息安全技术、人员意识等方面存在问题，有以下特点。

3.1管理制度方面

常说信息安全“三方技术、七分管理”，制度建设对信息安全保障至关重要。信息安全管理制度应该有上级主管部门建立一套统一管理制度，基层供电企业遵照执行，可以根据各单位具体情况进一步细化，让管理制度落地。从企业总体信息安全方针到具体专业制度管理上，实现全网一体化，规范化。

3.2网络信息安全技术方面

上级专业主管部门，站在企业高度，制定专业技术标准和技术细则。从网络安全分区、网络技术架构、互联网接入和访问方式、终端安全管理、网络准入控制等方面统一规划，分布实施，最终实现企业网络信息安全防控一体化。

3.3信息安全意识培养方面

企业员工信息安全意识培养是个长期的过程，不是通过一次两次培训就能解决的，采取形式多样化方式来培养员工安全意识，可以通过集中培训讲课、视频宣传、张贴宣传画等方式进行。针对专业人员，要让他们养成按照制度办事习惯，用户需要申请某项资源，严格按照制度执行，填写相应资源申请，有时候领导打招呼也要按照制度流程来执行。长此以往，人人都会知道自己该做什么，不该做什么，该怎么做，企业信息安全意识就会得到极大提高。

3.4专业技术人员水平方面

信息安全技术日新月异，不学习就落后，不断收集信息安全方面信息，共同讨论相关话题，建立相应培训机制，专业人员实行持证上岗，提升专业人员实际解决问题能力，有效提高人员专业素养，成为企业信息安全方面专家。

4实施和开展

从2009年开始，先后进行一系列信息安全建设，涉及到信息安全制度建设、网络信息安全体系架构、信息安全保障服务、人员培训等方面，整体提高基层供电企业信息安全状况。

4.1信息安全制度建设

2010年开始信息安全体系ISO27001、27002建设，结合企业情况，形成30个信息安全相关文件，涵盖企业信息安全方针、等级保护、人员管理、机房管理、网络信息系统运行维护管理、终端安全、病毒防护、介质管理、数据管理、日志管理、教育培训等诸多方面。2013年为进一步提示公司信息化管理水平，先后增加修改建设管理、实用化管理、项目管理、信息安全管理、运维管理、综合管理5个方面14个管理细则。经过这一系列制度建设，基层供电企业有章可循，全网信息安全依据统一，明确短板情况。

4.2建设一体化网络与信息安全防控

首先依据电监会5号文件要求，网络架构按照三层四区原则进行部署建设，生产实时控制大区（Ⅰ、Ⅱ区）与信息管理大区（Ⅲ、Ⅳ区）之间采用国家强制认证单向数据隔离装置进行强制隔离，网络架构采用核心、汇聚、接入部署。网络接入按照功能划分服务器区、网管区、核心交换区、用户办公区、外联区、互联网接入区，在综合数据网上，利用MPLSVPN，根据划分不同VPN业务、隔离相互间数据交叉。建立全网PKI/CA系统，构建企业员工在企业数字身份认证系统，已建成系统进行未采用PKI登陆系统，进行相应改造结合PKI/CA系统，采用PKI登陆，在建系统用户登陆必须集成PKI登陆。根据企业信息安全要求，进行互联网统一出口，部署统一互联网防控设备，建立统一上网行为管理策略，规范员工上网行为，合理使用有限互联网资源，审计员工上网日志，以备不时之需。建立企业统一病毒防护系统，实现病毒软件统一安装，病毒库自动更新，防护策略统一下发，定期统计病毒分布情况，同时作为终端接入内网必备选项，对终端病毒态势比较严重用户进行督促整改，有效防止病毒在企业内部蔓延，进一步进化内网环境。建立统一网络边界安全防护，在企业内网边界合理部署防火墙、IPS、UTM，并将其产生日志发送到统一安全管理平台，进行日志管理分析，展现企业内部信息安全态势，预警企业内部信息安全存在问题。利用AD域或PKI/CA进行用户身份认证，建设统一桌面管理，所有内网用户必须满足最基本防病毒、安全助手、IT监控要求方可接入内网，系统启用强制安全策略，终端采用采用DHCP，用户不能自动修改IP地址，在DHCP服务器上实现IP与MAC地址及人员绑定，杜绝用户私自更换IP地址引起冲突。安全认证方面可以采用NACC或交换机802.1x方式进行，不满足要求用户，自动重定向到指定网站进行安全合规性检查，满足要求后自动接入内网，强制所有用户采用统一网络安全准入规则。实行移动介质注册制，极大提高终端安全性，有效保护企业信息资产。建立内部运维控制机制，实现4A统一安全管理，认证、账号、授权、审计集中管控。规划统一服务器、网络设备资源池，按照用户需求，提交相应申请材料，授权访问特定设备和资源，并对用户访问行为全程记录审计。

5结语

篇3

当前，企业信息安全尚在起步阶段，发展不够成熟健全，还有更多需要解决的问题。随着网络技术的发展，经济信息量的大幅度上涨，处理信息必须依靠计算机才能完成，但计算机存在一定的弱点，例如计算机病毒、人员素质低下、黑客入侵等因素，以及移动4G、WIFI互联等多边界企业网络环境下，由于内外部网络是直接连接，其互通性和网络访问无限制性易形成黑客或恶意份子入侵的切入口，若是没有设置任何的网络边界安全机制，将造成企业信息受到潜在的安全威胁。企业要想持续发展，信息安全是基本保障。企业信息化程度越高，企业数据也就越安全。企业发展的基础即信息安全，企业管理者要正确认识信息安全工作的长期性和紧迫性。从保护企业利益，促进经济发展，保证企业稳定与安全的角度来看，只有做好基础性工作和设施建设，建立信息安全保障，以及建设安全健康的网络环境，才能有助于信息化安全建设。其实不管科技如何发达，技术如何高超，都是人类智慧的结晶体，所以信息安全已无法离开人类。不少企业信息被泄露，多是人为因素导致，员工滥用企业信息将会给企业带来极大的损失。

2企业信息化安全建设

当今社会已经步入信息知识经济时代，信息对企业良性长久的发展尤为关键，但目前企业信息系统安全问题无疑是企业发展阶段所面临的重点难点。所谓的企业信息安全就是对企业信息资产采取保护措施，使其不受恶意或偶然侵犯而被破坏、篡改及泄露，确保信息系统可靠正常并连续的运行，最小化安全事件对业务的影响，实现业务运行的连续性。因此笔者认为以下几方面是关键。

2.1做好网络保护

其实要保证外网安全需要企业加大硬件设备的投入，信息安全产品在网络经济发展下正面临着新的挑战，传统防火墙、信息加密、防病毒等已无法有效的抵御外部入侵；同时由于内部操作不当，导致内网感染病毒造成信息泄露的现状也是信息安全的焦点问题。针对以上情况，建立事前有效防御，事后追究机制是企业信息化安全建设的当务之急。根据现代企业的特点，笔者认为从下面这几点入手，有助于保护网络的安全：

（1）身份认证技术。

企业内网操作时，可采用身份认证技术，借助PKI、PKM等工具，控制网络应用程序的访问，以及进行身份认证，实现有效资源合法应用和访问的目的。

（2）审计跟踪技术。

通过审计跟踪技术监控和审计网络，控制外设备如MSN、QQ、端口、打印、光驱、软驱等，从而实现禁止使用指定程序，并促进员工操作行为及日志审计规范的目的。

（3）企业还应组建自身网络拓扑结构。

利用严格密钥机制和加密算法，有机的结合加密、认证、授权、审计等功能，保护最底层不同密集评定和授权方式的核心数据，而非限制应用网络和控制网络，进而真正实现合理保护，确保企业信息数据资源的安全。

2.2安全边界的界定和管理

安全边界的界定通过分析现有网络边界安全的需求，笔者认为有几方面：首先，内部网段。即企业网内网，是防火墙的重点保护对象，安全级别和授信级别更高，主要承载对象是企业所有人员的计算机。其次，外部网段。即边界路由器以外的网络，比如移动4G、WIFI互联等多边界网络，安全级别和授信级别最低，是企业信息数据泄露最大的安全隐患，需要严格禁止或控制。最后，DMZ网段。即对外服务器，安全级别和授信级别介于内外网络之间，其资源运行外部网络访问。

（1）由于外部用户访问DMZ区域中服务器的方式较为特殊，在系统默认情况下是不被允许的。

可实际应用中是需要外部用户对其进行访问，所以防火墙上必须增加相应允许外部用户访问DMZ区域的访问控制列表，通过对列表的控制允许用户行为，并对进行很好的监控管理，保证企业信息的安全性。

（2）内部用户对外部网络以及DMZ区域中服务器的访问。

按照ASA自适应安全算法，在系统默认情况下是允许高安全等级接口流向低安全等级接口流量的，外部网络安全级别远没企业内部网络安全级别高，所以在默认情况下这种访问方式是被允许的，不过实际应用过程中，需要限制对外访问流量。

（3）外部用户对内部网络的访问。

在系统默认情况下这种情况是不被允许的，是对外部用户非法访问的有效抵御，能有效的保证企业信息的安全，促进企业信息化的安全建设。

2.3强化系统管理

由于任何安全软件都有被攻击或破解的可能性，单纯依靠软件技术来保障企业信息安全是不现实的，只有强化企业内部信息系统的管理才行之有效。所以，企业内部信息管理体制要完善，尽可能促进管理系统规范性和可靠性的提高，才能为企业内部信息的安全提供更高保障。同时，要进行安全风险评估工作。因为各个信息系统使用的都是不同的技术手段和组成方式，其自身优势及安全漏洞也具有较大的差异，由此在选择企业所需的信息系统时，一定要先做各个系统的安全风险评估工作，信息安全系统的选择要针对企业自身特点，降低信息安全问题出现的概率。最后，就是加强系统管理。在实际生活中信息窃取和系统攻击大多是在网络上完成的，企业必须要强化网络管理工作，以便促进企业的运行更安全政策。

2.4加强企业信息安全管理团队建设

当前，企业信息安全体系的建设中已完全渗透“七分管理，三分技术”的意识，强化企业员工信息安全知识培训，制定完善合理的信息安全管理制度，是企业信息安全建设顺利实施的关键保障。企业信息安全建设时要另立专门管理信息安全的部门，负责企业内部的信息安全防护工作，加强对企业内部计算机网络系统的维护及常规检查。企业信息安全管理团队的职责主要包括：工作人员安全操作规范、工作人员守则以及管理制度的制定，再交由上级主管部门审批后监督制度规范的执行；定期组织安全运行和信息网络建设的检查监测，掌握公司全面的第一手安全资料，根据资料研究相关的安全对策和措施；负责常规的信息网络安全管理维护工作；定期制订安全工作总结，且要接受国家相关信息安全职能部门对信息安全的工作指导。

2.5入侵检测系统（IDS）与入侵防护系统（IPS）

IDS即入侵检测系统能够弥补防火墙的缺陷，能实时的提供给网络安全入侵检测，并采取一定的防护手段保护网络。良好的入侵检测系统不但可有助于系统管理员随时了解网络系统的变更，还能提高可靠的网络安全策略制订依据。因此，入侵检测系统的管理应配置简单，随时根据系统构造、网络规模、安全需求改变。IDS必须布置在能够监控局域网和Internet之间所有流量的地方，才能第一时间检测到入侵时，做出及时的响应，比如记录时间、切断网络连接等。

3总结

篇4

关键词：信息系统；网络；安全

1信息系统安全建设原则

（1）物理隔离原则。为确保信息安全，信息系统必须与互联网及其他公共信息网络实行物理隔离。（2）分域分级原则。信息系统应根据信息密级、使用单位行政级别等级划分不同的安全域并确定等级，按照相应等级的保护要求进行防护。（3）信息流向控制原则。禁止高密级信息由高等级信息系统或安全域流向低等级信息系统或安全域。（4）最小化授权与分权管理原则。信息系统内用户的权限应配置为确保其完成工作所必须的最小权限，网络中账号设置、服务设置、主机间信任关系配置等应该为网络正常运行所需的最小限度，并使不同用户的权限相互独立、相互制约，避免出现权限过大的用户或账号。（5）技术与管理并重原则。信息系统应采取技术和管理相互结合的、整体的安全技防措施。（6）标注化原则。设计应严格执行国家有关行业标准、国家相关部门的强制标准等，确保系统质量。（7）安全产品选型原则。企业在信息系统建设中必须选用可靠有效的安全产品，如具备国家相关管理机构检测证书的产品。（8）实用性原则。系统要力求最大限度地满足实际环境需要，充分考虑系统应用业务的特殊性，把满足用户需求作为设计的第一要素。（9）适度安全原则。要在安全风险分析的基础上，实事求是、因地制宜地确定防护程度和安全措施，避免弱保护和过保护，保证安全措施切实可行，达到最佳防护目的。（10）动态防护原则。随着技术的发展，网络威胁攻击手段的变化，企业信息系统必须不断改进和完善安全保障措施，及时进行信息系统安全防护技术和设备的升级换代。

2建设目标

根据对信息系统的现状分析、安全风险分析、安全保密需求分析，按照相关技术要求和管理要求，遵循前述原则，建设科学合理，符合安全保密需求的信息系统，全面提升企业信息安全防范能力。

3建设内容

企业的信息系统安全建设包括物理安全、运行安全、信息安全保密以及安全保密管理四个方面的内容。（1）物理安全。物理安全是指信息系统的环境安全、设备安全、介质安全。（2）运行安全。运行安全包括备份与恢复、病毒防护、应急响应、运行管理。（3）信息安全保密。信息安全涉及内容包括身份鉴别与访问控制、密码保护措施、电磁泄露发射保护、安全性能检测、边界安全防护、硬件系统安全、信息完整性校验、安全审计、操作系统和数据库安全。（4）安全保密管理。包括安全保密管理策略、安全保密管理制度、人员管理、物理环境与设施管理、设备与介质管理、运行与开发管理、信息保密管理。

4企业信息系统安全建设

（1）网络综合布线。a.选择具备资质的施工单位；b.线缆选择光纤与屏蔽线；c.布线严格遵循国家相关标准；d.交换设备选型应考虑未来企业信息化业务发展的需要；e.根据业务、密级以及知悉范围划分VLAN，并创建ACL，实现访问控制；f.优化网络配置，禁用暂时不用端口，对接入终端采用IP+MAC+端口绑定策略，防止非授权接入。（2）安全域。根据信息系统的信息密级划分不同的安全域并确定等级，按照相应等级的保护要求进行防护。按照上述原则，一般将单位信息系统划分为重要应用安全域、一般应用安全域、办公安全域、管理安全域等四个区域，如图1所示。图中每个区域代表一个安全域，安全域前端架设防火墙，通过防火墙设置访问控制策略，仅开放必要端口及IP，控制信息流向，实现安全域间的访问控制。（3）交换机安全设置。全部交换机配置为SSH加密方式通信，对接入端口采用IP+MAC+端口绑定方式，禁用暂时不用端口，实现网络层的身份认证。（4）安全产品部署。a.全部终端纳入域控管理，通过主域控制器将安全策略下发至终端，如实名登录、密码管理、屏幕保护等策略，实现系统层身份认证。b.创建补丁分发系统，为全部终端定期升级系统安全补丁，完善系统的安全可靠性。c.全部终端安装网络版杀毒软件，由系统管理人员定期导入最新病毒库升级包，全网下发，制定杀毒策略，统一查杀网络病毒。d.终端输入输出端口严格管控。终端安装审计、打印管理、输入输出管理安全软件，防止非授权移动存储介质在信息系统中使用，对系统中的打印行为实现全生命周期管理，严格管控，从而降低或杜绝失泄密事件的发生。e.重要关键设备、服务器冗余备份。对系统中的核心交换机、防火墙采取在线或离线方式备份，避免因设备损坏造成网络通信中断，影响公司业务工作的开展；对重要部位的供电线路采用双路供电+ups方式保障供电安全；对重要的核心业务服务器数据采用在线即时备份以及数据远程异地备份的方式，确保数据完整、准确、安全。f.定期对系统进行漏洞扫描分析，发现系统中存在风险与漏洞，及时对系统修复完善。g.部署统一的日志存储及分析系统，统计分析系统重要关键设备的生成日志，便于及时发现问题并解决问题。（5）制定应急响应预案，保证数据安全。应急响应预案的制定必须具有可操作性，应根据事件的等级制定响应流程，明确管理责任及责任主体，同时还需要在日常进行针对性的应急响应培训教育与演练。

5结束语

篇5

一、企业信息化建设过程中信息安全的问题 

一般情况下能造成企业内部信息安全问题的原因分为外部原因和内部原因，可是不管是内部原因还是外部原因都会对企业的信息系统的安全带来隐患。 

1.1企业内部因素 

第一个方面是企业的信息安全意识不强，虽然是现在有很多的企业加快企业内部信息化建设的进程，但是有些企业只是在表面上看到信息化建设所带来的优势，而信息化建设当中的安全问题并没能够引起企业的足够重视，所以在信息化建设的过程中比较容易出现安全隐患。第二个方面就是我国的安全软件还是比较落后，虽然国内计算机软件技术在快速的反战，可是与一些发达的国家相比还是存在一定距离，第三个方面在管理操作方面存在问题，现在有很多的企业对于自己企业内部的信息安全问题还存在不够重视的问题，在企业信息系统的管理上不够谨慎，这就会被不法分子和黑客进入的机会，造成了企业的主要信息被盗取。第四个方面缺少优秀的专业管理团队，企业信息的系统安全是前期的制定和日常系统安全的维护以及日后都是由专业的人员来进行操作，所以相关的技术人员都必须具有很好的素养和贤能的技术，第五个方面法律法规的不全面。现在我国与企业信息安全问题的法律法规不全面这就造成企业内部信息被盗取不能得到相关的赔偿。 

1.2企业外部因素 

现在企业信息安全系统的威胁主要来自于外部的因素，随着我国经济社会的飞速变化，在竞争激烈情况下信息是非常重要的，大昂仁会有很多的不法分子会利用各种手段来盗取企业的信息为自身得到利益。还有些企业在于对手的竞争过程中使用不正当的手段来击垮对手保证自己企业的利益。 

二、企业信息化建设过程中的信息安全与对策 

在我国社会经济快速发展的今天，企业信息安全对于一个企业的发展是非常具有意义的，企业的信息被盗取和泄露会给企业带来很大的损失，所以说企业对信息安全问题必须要有足够的重视。有的企业已经做好了信息安全的必要工作就应该更加注意安全软件并不是时时刻刻都能做好安全的保护，做好安全保护还要加强管理。 

2.1确保正确的安全意识 

一个企業在信息化发展的过程中，应该认识到企业信息的安全问题和企业发展相互的关联。如果企业的重要内部信息被盗取或者泄露那么对于企业所造成的打击是非常大的，而与此同时也是给了对手创造了很好机会。所以确保正确的安全信息意识对于一个企业来说是非常重要的，也是为了以后给企业的各项工作打下了很好基础。 

2.2选择安全性能比较高的软件 

其实任何软件都不是牢不可破的，可是对于安全性能比较高的软件，如果说破解的话难度还是相当高的，所以企业选择安全软件的时候要选择安全性能高的，不要为了节省一点企业的支出而选择使用安全性能差的保护软件，一旦出现问题所造成的企业损失价值会大于软件的价格。 

2.3加强企业网路管理 

很大一部分的企业信息被盗取都是不法分子通过网络进行的，所以说必须要对企业的网络管理进行加强，这样才能确保企业信息系统在安全的状态的情况下运行。对于信息安全的种类和等级的高低来进行制定合理的方案，并且提前做出如果发生特殊情况下怎么进行处理的方案。如果说企业的信息安全发生危机的时候，企业应该快速的组建处理小组，针对信息安全危机的步骤处理并且做好危机处理的工作，还要避免出现由于处理不当而产生的各种情况。 

结语：以上所述是企业信息化建设过程中所必需要面对的问题，一个企业的信息安全建设应该先从管理开始，必须做到以防范为主要，必需制定有效的安全防护把安全的风险降至最低。在现在经济发展的快速时代，企业信息的安全问题决定着企业的安全运营。 

参 考 文 献 

[1] 原黎. 探析企业信息安全问题的成因及对策[J]. 现代工业经济和信息化. 2011（08） 

[2] 张耀辉. 关于企业信息化建设中的信息安全探讨[J]. 电子技术与软件工程. 2013（14）

[3] 赵晓华，陈秀芹，周文艳，夏莉莉，李建忠. 网络环境下河北中小企业信息安全问题研究[J]. 科技资讯. 2013（31）