关于企业信息安全措施精选(十四篇)

序言：作为思想的载体和知识的探索者，写作是一种独特的艺术，我们为您准备了不同风格的14篇关于企业信息安全措施，期待它们能激发您的灵感。

篇1

关键词：企业 网络信息安全 防范措施

一、企业信息安全不稳定的因素

计算机病毒在计算机领域非常的活跃，只要用过计算机的人都非常有可能碰到过病毒的危害。

1、网络病毒的活跃

其实计算机病毒本身是一种程序，通俗易懂的方法来描述计算机病毒，它就像生物里的病毒一样，和生物病毒有非常相似的特征，它的复制能力非常强，并且非常快速传播，同时也很难去根除。生物病毒是依附在各种微生物和细胞中生活，而计算机病毒一般都依附在文件中，最可怕是，当一台计算机向另一台计算机传送文件时，进行非法的拷贝。另外它有很强的自我复制能力，隐藏在程序内部，只要人们操作计算机，它就不断地自我复制。同时，计算机病毒还具有破坏性、隐蔽性，它常常被黑客利用用以攻击他人的计算机，达到非法的目的，给企业信息基础设施以及企业业务带来不可估量的损失。

2、恶意病毒网页的流动

每个比较正规并且有一定市场影响力的企业会拥有自己的网站，通过自己的网站向外界宣传自己的公司，用于达到宣传营销的目的。使用电脑的人希望不断的搜寻网页来寻找自己需要的信息，可是很多电脑使用者不知道自己使用的网页是否是安全无毒的。许多网页容易被人利用达到自己的目的，如果企业的网页被别人注入了木马病毒，那么当你打开网页的时候，木马病毒就已经进入你的电脑软件中，到最后你的私人信息就会被泄露出去，其他会利用你的信息达到盈利或者伤害你的目的。

3、员工网络信息安全意识淡薄和企业管理网络的松懈

在很多企业中，企业员工使用电脑从来只关心工作、学习、娱乐而已，从来不会关心电脑安全问题，因为企业员工会认为网络安全不需要重视，因为有网络管理员。有研究表明，在90%的企业电脑中有计算机病毒，因为员工在公司电脑上做一些与公司无关的事情，看电影和玩游戏是最容易中毒的，这些做法很容易导致企业的机密性文件和信息被泄露，从而使企业遭到巨大的损失。

4、黑客攻击和计算机犯罪

导致企业网络信息安全不稳定的最大因素就是黑客攻击和计算机犯罪。黑客攻击一般情况是以各种方式有目的性有选择性的盗取企业信息，这种是破坏了网络的正常工作，另一种不影响网络正常工作，它进行破译、窃取等手段获得重要的机密文件。这都对企业机密文件产生重大的影响。所以企业的网络安全形式非常严峻。还有计算机犯罪，计算机作为现代信息处理工具，在经济和社会生活中具有不可替代的重要作用。尤其是在企业网络中，计算机犯罪已经成为不可忽视的问题。

二、网络环境下的企业信息安全隐患的防范措施

以上谈论现在在企业中比较常见的几种网络安全隐患，但是其实在现实社会中，企业面对的安全问题非常多并且非常杂。如果企业希望有一个安全完美的未来，那么企业必须要重视对网络信息安全的重视，要增强全部成员包括自己的网络安全防范意识，并且要采取有效可行的防范措施。

1、加密设置

在当今世界，重要的信息几乎全部都加密。密码在网络里更是具有无可代替的作用。所以唉企业的网络信息安全管理中，认证密码技术和技术加密是企业网络最有效最可靠的技术。加密信息不仅可以有效的保护网络内的文件和信息，还可以保护网络传输的数据。对企业信息加密不但可以防御无授权的用户的入网及窃听，还可以抵抗恶意软件的损害。所以，加密设置对于企业网络信息安全管理是最直接也是最有效的措施。

2、防火墙设置

本人认为凡是没有安装防火墙的计算机，一定要及时安装防火墙，并且安装防火墙也需要不定时的进行升级，因为防火墙可以阻止网络黑客访问某个企业网络的大屏障，可以阻挡许多外部网络的入侵。防火墙是一种最近几年发展用于保护计算机网络安全的技术性的措施，企业应该根据自己实际情况，安装可靠性强、适应企业、功能巨大的防火墙，用于抵抗黑客的攻击和病毒的传播，从而达到保护网络系统的安全。企业安装了防火墙也不能高枕无忧。企业管理员需要对企业的网络信息和系统进行备份，防止意外事件的发生导致网络瘫痪及信息丢失，同时，需要定期检测备份的有效性。配置防火墙是保证企业网络信息安全的首选。因为防火墙确保我们网络连接的安全，更不会出现连接段口安全漏洞，所以每个企业每台计算机必须要安装防火墙来保护自己的网络。

3、强化员工网络安全意识和管理者的网络忧患意识

企业员工使用计算机应该根据自身的电脑实际情况，要不定期的进行安全检查，管理者也要根据企业计算机的自身硬件和网络实际情况，培训员工，提高员工的保密意识和责任意识，不要因为人为的因素导致企业承受巨大的损失。在必要的时候，可以利用密码设置，对需要的设备设置密码，从而达到外界人员和攻击者不能破坏的目标。应该从全企业倡导保护网络信息安全，使企业每个人都懂得网络信息安全的重要性。最后，企业也需要加强计算机和系统的安全管理，一些计算机终端等地方需要防止火灾或者是意外事故的发生。

4、从法律方面保障企业网络信息

企业网络信息安全单单从计算机的软件和硬件上保护还是远不够的。每一个管理者需要加强法律意识，企业的网络信息安全需要有相对应的法律和法规作为后盾。要懂的使用法律的武器去打击那些违反网络窃取信息的犯罪分子。现在，在我国黑客攻击是最普遍的网络犯罪，所以我们需要对那些恶意侵害企业网络信息安全的犯罪行为进行坚决的打击，制止其犯罪行为并让罚罪者付出代价。

总之，当网络与我们的生活越来越分不开的时候，我们更加需要注意网络信息安全的防范，企业管理者不应该仅仅只注意网络的便捷，更需要注重企业网络信息安全并强化信息安全意识的同时切实采取措施，确保企业电子网络信息安全。

参考文献：

[1]岳剑梅、《信息系统的安全管理研究》、[J]、情报理论与实践，2011、7

篇2

关键词：分布式；信息安全；规划；方案

中图分类号：TP309.2文献标识码：A 文章编号：1009-3044(2008)36-2848-03

An Information Security Program for a Distributed Enterprise

GUO Yong, CHEN Rong-sheng, ZHAN Gui-bao, ZENG Zhong-cheng, LU Teng-zu, LI Zhuang-xiang

(Fujian Xindong Network Technology Co., Ltd. Fuzhou 350003,China)

Abstract: Based on the specific conditions of the distributed enterprise, information security architecture in accordance with the relevant standards, a distributed enterprise information security planning principles and objectives. And based on the principles and objectives of the meeting, according to the organization, management and technical aspects of three specific design specifications with the principle. Finally, based on the objective of planning services, a category of information distributed enterprise information security services, planning and design examples.

Key words: distributed; information security; planning; program

1 引言

据来自eWeek 的消息，市场研究机构Gartner 研究报告称，很对企业目前仍缺乏完整的信息安全规划和规范。尽管目前很多企业在信息安全方面的投入每年都在缓慢增长，但由于推动力以外部法律法规的约束和商业业务的压力为主，因此他们对安全技术和服务的选择和使用仍停留在一个相对较低的水平。尤其对于机构构成方式为分布式的企业而言，因为信息安全需求和部署相对更加复杂，投入更多，因此这类企业的信息安全规划就更加缺乏。

本文根据这类分布式企业的特点提出了一种符合该类企业实际的信息安全规划方案。

2 总体规划原则和目标

2.1 总体规划原则

对于分布式企业的信息安全规划，要遵守如下原则：适度集中，控制风险；突出重点，分级保护；统筹安排，分步实施；分级管理，责任到岗；资源优化，注重效益。

这个原则的制定主要是根据分布式企业的实际机构构成情况、人员素质情况以及资源配置情况来制定的。

2.2 总体规划目标

信息系统安全规划的方法可以不同、侧重点可以不同，但是需要围绕组织安全、管理安全、技术安全进行全面的考虑。信息系统安全规划的最终效果应该体现在对信息系统与信息资源的安全保护上，下面将分别对组织规划、管理规划和技术规划分别进行阐述。信息安全规划依托企业信息化战略规划，对信息化战略的实施起到保驾护航的作用。信息系统安全规划的目标应该与企业信息化的目标是一致的，而且应该比企业信息化的目标更具体明确、更贴近安全。信息系统安全规划的一切论述都要围绕着这个目标展开和部署。

3 信息安全组织规划

3.1 组织规划目标

组织建设是信息安全建设的基本保证，信息安全组织的目标是：

1）完善和形成一个独立的、完整的、动态的、开放的信息安全组织架构，达到国际国内标准的要求；

2）打造一支具有专业水准的、过硬本领的信息安全队伍。对内可以保障企业内部网安全，对外可以向社会提供高品质的安全服务；

3）建设一个 “信息安全运维中心（SOC）”，能够满足当前和未来的业务发展及信息安全组织运转的支撑系统，能够对外提供安全服务平台。

3.2 组织规划实施

对于组织规划这个方面，是属于一个企业信息安全规划的上层建筑，需要用一种由上而下的方法来实现，其主要是在具体人事机制、管理机制和培训机制上做工作。对于分布式企业而言，需要主导部门从上层着手，建章立制，强化安全教育，加大基础人力、财力和物力的投入。

4 信息安全管理规划

4.1 管理规划目标

信息安全管理规划的目标是，完善和形成“七套信息安全软措施”，具体包括：一套等级划分指标，一套信息安全策略，一套信息安全制度，一套信息安全流程规范，一套信息安全教育培训体系，一套信息安全风险监管机制，一套信息安全绩效考核指标。“七套信息安全软措施”关系如图1所示。

4.2 信息安全管理设计

基于对管理目标的分析，信息安全管理的原则以风险管理为主，集中安全控制。管理要素由管理对象、安全威胁、脆弱性、风险、保护措施组成。

4.2.1 信息安全等级划分指标

信息安全等级保护是国家在国民经济和社会信息化的发展过程中，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化健康发展的基本策略。

4.2.2 信息安全策略

信息安全安全策略是关于保护对象说明、保护必要性描述、保护责任人、保护对策以及意外处理方法的总和。

4.2.3 信息安全制度

信息安全制度是指为信息资产的安全而制定的行为约束规则。

4.2.4 信息安全规范

信息安全规范是关于信息安全工作应达到的要求，在信息安全规范方面，根据调查，建立信息安全管理规范、信息安全技术规范。其中，安全管理规范主要针对人员、团队、制度和资源管理提供参照性准则；信息安全技术规范主要针对安全设计、施工、维护和操作提供技术性指导建议。

4.2.5 信息安全管理流程

信息安全流程是指工作中应遵循的信息安全程序，其目的是减少安全隐患，降低风险。

4.2.6 信息安全绩效考核指标

信息安全绩效考核指标是指针对信息安全工作的质量和态度而给出的评价依据，其目的是增强信息安全责任意识，提高信息安全工作质量。

4.2.7 信息安全监管机制

信息安全监管机制是指有关信息安全风险的识别、分析和控制的措施总和。其主要目的加强信息安全风险的控制，做到“安全第一，预防为主”。

4.2.8 信息安全教育培训体系

其主要目的加强的信息安全人才队伍的建设，提高企业人员的信息安全意识和技能，增强企业信息安全能力。

5 信息安全技术规划

5.1 技术规划目标

信息安全技术规划目标简言之是：给业务运营提供信息安全环境，为企业转型提供契机，构建信息安全服务支撑系统。具体目标如下：

1）打造信息安全基础环境，调整和优化IT基础设施，建立安全专网，设置两个中心（信息安全运维中心、灾备中心）；

2）建立一体化信息安全平台，综合集成安全决策调度、安全巡检、认证授权、安全防护、安全监控、安全审计、应急响应、安全服务、安全测试、安全培训等功能，实现的集中安全管理控制，快速安全事件响应，高可信的安全防护，拓展企业业务，开辟信息安全服务新领域。

5.2 信息安全运维中心(SOC)

SOC 是信息安全体系建设的基础性工作，SOC 承载用于监控第一生产网的安全专网核心基础设施，提供信息安全中心技术人员的办公场所，提供“7×24”小时连续不断的安全应用服务,提供实时监控、远程入侵发现、事件响应、安全更新与升级等业务，SOC 要求具有充分保障自身的安全措施。除了SOC 的组织建设、基础工程外，SOC 的技术性工作还要做以下几个方面：

1）硬件基础建设，主要内容是SOC 的选址、布局、布线、系统集成，实现SOC 自身的防火、防潮、防电、防尘、安全监控功能；

2）软件基础建设，包括SSS 系统、机房监控子系统、功能小组及中心组划分。

图1 信息安全软措施关系

图2 信息安全总体框架

图3 资产、组织、管理和安全措施的关系

5.3 信息安全综合测试环境

随着分布式企业信息化程度的日也加深，需要部署到大量IT 产品和应用系统，为了保障安全，必须对这些IT 系统和产品做入网前安全检查，消除安全隐患。基于此，综合测试环境建设的内容包括：安全测试网络；测试系统设备；安全测试工具；安全测试分析系统；安全测试知识库。

其中，安全测试网络要求能够模拟企业网络真实的带宽；测试系统设备能够提供典型的网络服务流量模拟、典型的应用系统流量模拟；安全测试工具覆盖防范类、检测类、评估类、应急恢复类、管理类等，并提供使用说明、漏洞扫描、应用安全分析；安全测试分析系统能够提供统计分析、图表展现功能；安全知识库包含以下内容：漏洞知识库，补丁信息库，安全标准知识库，威胁场景视频库，攻击特征知识库，信息安全解决案例库，安全产品知识库，安全概念和术语知识库。

5.4 安全平台建设规划

参照国际上PDRR 模型和国家信息安全方面规范，建议信息安全总体框架设计如图2所示。

主要目的，以资产为核心，通过安全组织实现资产保护，以安全管理来约束组织的行为，以技术手段辅助安全管理。其中，资产、组织、管理、安全措施的关系如图3所示，核心为资产，围绕资产是组织，组织是管理，最外层是安全措施。

在平台中集成十个安全机制，它们分别是：信息安全集中管理；信息安全巡检；信息安全认证授权；信息安全防护；信息安全监控；信息安全测试；信息安全审核；信息安全应急响应；信息安全教育培训；信息安全服务。

6 信息安全服务业务规划

6.1 服务业务规划目标

信息安全服务业务规划目标简言之是：以信息安全服务为切入点，充分发挥企业优势资源，引领信息安全市场，为企业转型创造时机。具体目标如下：

1）推出面向客户安全（检查、教育、配置）产品；2）推出面向大型企业的信息安全咨询产品；3）推出面向家庭安全上网产品；4）推出面向企业安全运维产品；5）推出面向企业灾害恢复产品。

6.2 服务业务规划设计

服务业务规划主要针对具体业务而言，在此列举信息类分布式企业业务作为示例：

1）信息安全咨询类产品，其服务功能主要有：信息安全风险评估；信息安全规划设计；信息安全产品顾问。

2）信息安全教育培训类产品，其服务功能主要有：提供信息安全操作环境；提供信息安全知识教育；提供信息安全运维教育。

3）家庭类安全服务产品，其服务功能主要有：推出“家庭绿色上网”安全服务；家庭上网防病毒服务；家庭上网机器安全检查服务；家庭上网机数据备份服务。

4）企业类安全服务产品，其服务功能主要有：企业安全上网控制服务；企业安全专网服务；安全信息通告；企业运维服务。

5）容灾类安全服务产品，其服务功能主要有：面向政府数据灾备服务；面向政府信息系统灾备服务；面向企业数据灾备服务；面向企业信息系统灾备服务。

7 结束语

通过结合分布式企业的具体实际，按照信息安全体系结构相关标准，提出了分布式企业的信息安全规划原则和目标。并依据次原则与目标，按照组织、管理和技术三个方面提出了具体的实现与设计规范原则。最后，依据服务规划目标，提出了信息类分布式企业的信息安全服务规划设计实例。

参考文献：

[1] 周晓梅. 论企业信息安全体系的建立[J]. 网络安全技术与应用，2006，3：62～64，57.

[2] Harold F. Tipton，Micki Krause. Information Security Management Handbook[M]. Fifth Edition.US：Auerbach Publications，2004.

[3] 魏永红,李天智,张志. 网络信息安全防御体系探讨[J].河北省科学院学报，2006,23,(1):25～28.

[4] 张庆华. 信息网络动态安全体系模型综述[J].计算机应用研究，2002,10:5～7.

[5] ISO/IEC 15408，13335，15004，14598，信息技术安全评估的系列标准[S].

[6] BS7799-1，7799-2，ISO/IEC 17799，信息安全管理系列标准[S].

[7] BS7799-2，Information Security Management Systems-Specification With Guidance for use[S].

[8] 李玮. 运营商IT系统网络架构的安全域划分[J]. 通信世界,2005,30:41～41,45～45.

篇3

电力企业信息系统是基于电脑和网络，实现电力制造、管理等信息的收集、存储、分析及传输的综合性的有机系统。［1］信息作为一种重要的企业资源必须要对其进行全面的安全管理，企业信息安全管理是引导和协调组织的关于信息化安全风险的互相协调的活动，即企业管理层对企业相关信息和活动安排进行合理的规划和协调。一直以来，很多人特别是对于信息行业出身的工作人员，都受环境影响而陷入“技术就是一切”的误区中，即人们把企业信息安全的全部希望都寄托在加密技术上，他们认为只要通过加密技术，任何信息安全问题都能够解决。随着网络防火墙技术的诞生，我们又常听到“防火墙是网络安全的有力保障”的论调。经此之后，入侵检测、VPN等更多新的概念及技术纷至沓来，但无论技术怎样变化，终究还是突破不了技术统领信息安全的枷锁。实际上，对企业信息安全技术的选择及应用只是企业信息系统安全化的一部分，它只是实现企业安全运营的一个方法而己。大家之所以产生这样的误区，其原因是多方面的，站在企业安全技术提供商的角度来说，其侧重点在于销售，因此向相关客户输送的大多都是以技术为核心的理念和信息。站在客户角度来说，只有企业的产品才是真实的、有形的，对投资方来说，这是十分重要的。因此，正是对于企业信息系统的错误认识，导致一些极端现象的产生，比如：许多企业的信息化设备使用了防火墙、网络云扫描等技术，但却没有设定出一套以安全策略为核心的合理的安全管理方案，从而造成安全技术及企业的产品生产十分混乱，不能做到技术及相关产品的及时、有效的更新。还有一些电力企业即使设定了一些安全管理措施，却没有使用有效的实施、监督机制来执行，这让安全管理措施徒有其表，名存实亡。经过研究及调查，现阶段我国电力企业信息系统面临的风险主要有：（1）信息系统缺陷。随着信息化的不断发展，电力企业信息系统也一直在不断完善中，目前，我国的电力企业在设计、制造及产品装配中仍存在着许多安全隐患与风险，比如来自软硬件组件的安全隐患等，这些信息系统固有的缺陷对电力企业信息系统的安全造成了严重的威胁。（2）信息系统安全管理不规范。现阶段，我国电力企业对电力信息系统的安全愈来愈重视，很多电力企业都采取了各种风险管理及预防措施，但是由于系统数据备份设备的不完善、数据丢失等信息系统安全管理不规范现象的出现，建立一套完善、合理的电力企业信息系统安全管理体系尤为重要。（3）网络安全意识薄弱。由于电力企业的安全宣传力度不够，相关技术人员的安全意识薄弱而导致的信息系统安全问题时有发生，比如不能及时修补信息系统漏洞及补丁，相关人员不正确的操作、或通过U盘导致重要信息泄露等，处理不好都很有可能造成整个电力系统的不稳定甚至系统瘫痪。（4）恶意人为破坏。随着网络共享度的提高，我国的电力企业信息系统逐渐向开放型及共享型发展，这使得一些不法分子有机可乘，他们为了自己的利益，通过各种手段非法入侵电力企业的信息系统，如植入病毒、窃听、干扰阻断等，这对我国电力企业信息系统的安全构成了极大的威胁。

2电力企业信息系统安全管理研究

信息安全是一个复杂的、不断变化的动态过程，如果电力企业只根据一时需要而忽略了信息安全的动态性，只是主观的来制定一些风险管理措施，就会造成在企业信息管理中顾此失彼，进而导致企业的安全管理水平止步不前甚至有失偏颇。［2］其正确的做法是，电力企业要遵守相关信息安全标准及实践总结，结合企业自身对信息系统安全的实际需求，在进行完善的风险分析及风险管理的基础上，通过一些合理的、可行的安全风险管理措施来使电力企业信息系统一直处于安全状态。除此之外，不断更新的过程是电力企业进行信息安全管理的最基本出发点，该过程还应该是动态的、变化的，即安全措施要随着环境的变化及信息技术的提高而不断改进和完善，坚决拒绝一成不变，这可以将信息系统的风险降到最低。［3］所以说，基于风险的评估及控制角度来说，电力企业信息系统的安全风险与其他领域的风险具有相似性，与此同时，电力系统信息系统安全风险又具有其独特性。将其他领域内的风险控制过程引入电力企业的信息风险管理领域，需要同时考虑到其共性和个性。安全管理主要分为网络级、系统级和应用级3个部分：（1）网络级安全管理。电力企业信息系统的网络级安全管理主要是指解决企业信息系统与网络互联而产生的安全风险问题，其主要从网络防火墙及网络结构两个方面采取安全管理措施。网络防火墙对企业内部网络及外部网络起到安全隔离作用，它可以有效预防潜在的破坏性入侵，同时可以对即将进入企业内部网络的数据进行严格的检测，并对非法、错误的网络信息进行隔离，从而保护电力企业内部网络的安全。对于网络结构，根据电力企业信息系统的实际情况，相关技术人员结合网络结构，设计出一种介于混合型和网状型结构之间的分布式网络结构，该分布式网络系统具有较高的可靠性及容错能力，从而对已有的网络结构进行了优化。（2）系统级安全管理。在企业信息系统风险管理中，系统级安全设计与用户的具体应用具有密切的联系，具体而言，其分为操作系统与数据处理两个方面。在操作系统方面，利用有效的网络安全扫描对信息系统的安全风险进行合理评估，及时分析操作系统已有的漏洞，同时结合信息系统的漏洞自动修补技术，实现定期为相关用户消除网络中的安全隐患。在数据处理方面，企业要善于利用信息系统平台再次对数据库进行数据安全加密，从而将信息系统的数据库风险降到最低。（3）应用级安全管理。应用级安全设计具有直观、具体的特点，它是在设计电力企业的信息系统时，通过技术手段将相应的安全技术加入到信息系统中，从而有效保证系统的安全稳定运行。具体来说，电力企业信息系统的应用系统访问控制是根据访问信息性质的不同，分别进行公开信息和私密信息的传送、存储及管理，从而实现在应用层次上的访问控制；而数字签名技术可以通过对文件签发者、日期等提供准确的不可更改的历史记录，来保证系统所有文件的完整性。因此，我们得知，为了确保电力企业信息系统的安全，要采取合理、有效的管理手段来最大程度地降低风险，即相关人员不仅要从技术层面来进行安全管理的设计，还要从管理层面进行安全管理设置。［4］具体来说可以从以下方面着手：（1）定期对企业系统的技术人员进行安全教育，增强其信息系统的安全意识；（2）保持相关人员特别是管理层的人员稳定，若有人员调离，需及时更换系统密码，避免企业机密泄露；（3）设置合理的电力企业信息系统安全标准及企业制度等。

3结语

篇4

关键词 信息安全；企业；网络

中图分类号：TP3 文献标识码：A 文章编号：1671-7597（2013）12-0129-02

1 网络信息安全现状

现代企业的发展离不开信息网络，随着Web2.0时代的到来，越来越多的应用开始在互联网上流行起来，信息网络对提高企业生产效率、节约人员成本、获得产品信息等方面做出了巨大贡献，企业开始更为重视自身信息化的建设。然而，企业信息化速度的加快为企业信息安全工作提出了挑战，在网络发展的背后却存在着一个永恒的话题――信息安全。随着企业的安全生产、经营管理等工作越来越依赖信息网络，网络上的病毒、黑客以及其他不可预见的因素都对企业信息安全带来巨大威胁，在日趋多样化、专业化的攻击面前使得企业信息安全正面临严峻的形式和挑战。

近年来，网络安全问题频发，世界上每年遭受网络攻击的政府或者企业越来越多，2011年卡巴斯基实验室针对全球企业进行的IT风险调查显示，全球至少61%的企业遭遇过恶意软件的攻击。在互联网发源地―美国每年就有大约5万多起黑客攻击的事件，甚至信息安全工作防护严密的美国政府网站也不能幸免，更普通的企业。互联网具有开放性和无国界的特点，这就使得对网络攻击事件具有全球普遍性，我国也不能幸免，据国家计算机病毒应急处理中心的统计报告显示，我国每年有80%的企业、政府机关的网络系统曾经遭受过病毒或黑客的攻击。瑞星公司在2012年的《中国信息安全报告》中指出，我国共有超过7亿网民被病毒感染过，2009年上半年国内被挂马的网页数量突破2亿。例如2011年6月28日，新浪微博出现了一次比较大的XSS攻击事件，20：14，开始有大量带V的认证用户中招转发蠕虫；20：30，中的病毒页面无法访问；20：32，新浪微博中hellosamy用户无法访问。据统计，中国互联网用户每年因为网络安全损失被“黑掉”的钱财高达76亿。

上述网络信息安全问题的出现为国企业敲响了警钟，需要下大力气加强网络信息安全的防范和设计。

2 企业信息安全策略设计

2.1 病毒防护和查杀策略

病毒是信息安全的杀手，从病毒发作的情况来看，病毒的攻击目标没有特定性，而且越来越隐蔽。从个人网站到企业网络，无不受其所害，曾经有网络公司的防火墙被不明身份的黑客攻破了，牵扯到大量的用户信息，用户在该支付平台注册的电子邮箱以及登录密码面临极大风险。面对各式各样且不断发展演变中的病毒，企业对信息系统的日常维护和管理就显得尤为

重要。

企业网络部门工作人员要定期给办公司电脑操作系统存在的安全漏洞打补丁，还要给每个客户端都设置可靠的防毒软件、防火墙、漏洞扫描系统、日志系统，加强入侵检测和补丁管理，对企业遭受到的病毒攻击进行集中分析，掌握企业计算机系统中存在的安全隐患，采取有效的措施和方法防范由于病毒感染导致企业重要信息出现泄漏或者破坏。同时网络技术人员也要对公司所有电脑进行防病毒软件升级工作，确保网络内所有服务器和终端计算机都安装防病毒软件，将杀病毒软件设置成为自动升级状态，及时更新病毒特征码和系统补丁，防止由于个人疏忽造成没有及时升级带来病毒库的安全威胁，保证企业信息系统的正常运行。

另外对于企业而言，无论是服务器还是终端计算机都要加强防火墙设置，对外部入侵行为或者其他不安全的行为进行拦截，实际运行时，可以根据企业信息系统的需要，将一些服务器中不使用的端口关闭，尽量避免进行一些具有安全隐患的服务，防止利用这些端口或者服务进行外部攻击的行为发生。当然，网络技术人员要对不同端口的作用十分清楚，避免将企业信息系统正常运行的关闭，造成企业信息系统不能正常运行。

2.2 保证企业信息系统的平稳运行

保护企业信息系统的平稳运行，维护主要业务系统的安全，是现代企业网络信息安全的基本要求。企业信息系统的平稳运行包括多个方面，有操作登记的分配、用户账户与口令的保护、个人访问权限、用户身份验证等多个方面。我们需要做好以下工作。

1）做好重要资料备份工作。当服务器或者硬盘发生故障时，重要的企业数据会受到严重威胁，但往往公司简单的数据安全、信息安全体系对企业数据恢复、服务器数据恢复束手无策。为了保证信息系统的正常运行和业务的正常开展，专业的企业数据恢复、服务器数据恢复格外重要。大多数企业采用备份手段来解决日常的数据安全问题，企业在购买安装和配置服务器时，通常采用常见的两台服务器“一用一备”。企业网络技术人员将重要信息备份在一些光盘、U盘或者移动硬盘上，然后将其放置在不同的地方，避免同时受损害或者丢失，最大限度的保障企业信息安全和数据的完整性。

2）加强对关键业务系统的管理。关键业务系统应该具有最高的网络安全措施，其安全需求主要包括：访问控制，确保业务系统不被非法访问，保证数据不被网络内部破坏，安全预警，对于破坏关键业务系统的恶意行为能够及时发现、记录和跟踪等。2011年，韩国现代资本、韩国农协银行都遭受电脑黑客袭击，电脑网络瘫痪了三天，数以万计的客户受影响。这次攻击事件就是以IT运维部门的用户机位跳板实施的，背后原因是因为这些银行对最高级别权限管理不足，也没有基本的隔离安全机制，笔记本都可以直接连入外网，黑客通过窃取内部合法用户的权限进行非法活动。可见，企业应该加强对用户权限的管理；另外，在必要时进行网络隔离甚至物理隔离是必然的要求。同时，也要加强平时对于合法用户的行为审计，防范合法权限被滥用或被利用等情况的发生。

3）加强企业网络安全平台建设。目前很多公司推出的安全平台，就是依靠安全芯片为载体，通过软硬件的结合，可以为用户提供更加私密的加密存储空间，这样就可以将客户信息、账户信息等高度机密的信息安全存放起来。根据不同的场景需求，还可以通过安全平台搭建内部机密信息共享平台或工作组，比如某公司在进行专项会议时或者涉及商业机密文件共享时，可以建立起相对封闭的局域工作网络，让各部门的总监或管理层在同一局域网内共享机密信息，其他员工则没有查看服务器或者重要信息的权限。同时，还能够避免通过邮件、病毒、木马等非法手段盗取数据，造成不必要的损失。

2.3 健全有效的信息安全管理制度

没有安全管理，就没有信息安全。真正的网络安全实际上靠的不是这个或那个安全产品，而是自身固有的安全意识。寻求解决安全问题的根本方法在于不仅要具备安全可信的办公电脑，也要建立更加完善的数据安全管理制度。真正实现企业的信息安全管理仅仅依靠技术手段是不够的，必须对规章制度上加强企业人员的信息安全防范意识。

1）做好员工的培训的管理。信息只是一种编码形式，人才是信息的操作者，每个环节中安全隐患的最终来源都是人。为了能够加强企业工作人员的信息安全防范意识，企业要加强对公司员工的系统培训，从计算机基本知识到信息安全防范的具体方法都要进行细致讲解，针对一些员工在日常使用计算机过程中不规范行为进行及时矫正，针对一些年纪较大的、对计算机不是十分熟悉的老员工，企业网络技术人员要现场演示操作，让员工养成良好的使用习惯。同时要甄选出有丰富计算机操作经验的人员负责每个部分电脑的日常清洁、维护和管理，负责对部门电脑病毒库的升级、电脑的内部清理等工作，确保企业信息安全。

2）加强系统运行环境和维护管理，要加强对机房电源、空调系统、消防系统、监控系统、门禁装置等基础设施的维护和管理，确保其可靠、正常的运行。严禁非系统管理人员随意进入机房，严禁在机房内抽烟。严格落实机房巡视、系统巡检、运行测试、操作审批、机房出入登记、信息安全故障上报等工作制度。严禁在机房的服务器上浏览网页、随意下载软件、打游戏等。

3 结束语

总之，对于现代企业而言，信息技术的发展给企业信息安全带来巨大隐患，企业的信息安全也越来越受到信息安全部门和企业管理者的重视。信息安全工作是一个全方位的系统工程，每个企业面临的信息安全环境不同，企业应该结合自己实际情况，从思想上、技术上、管理上多管齐下，采取有针对性的信息安全策略，才能最大限度的降低信息安全威胁、保证企业信息安全，为企业健康长远发展保驾护航。

参考文献

[1]陈泽徐.浅析企业网络安全策略[J].电脑知识与技术，2009（09）.

[2]沈传案，王吉伟.企业网络安全解决方案[J].计算机与信息技术，2008（06）.

[3]冼沛勇.企业网络安全解决方案[J].石油工业计算机应用，2004（02）.

[4]牛金才.企业网络安全解决方案浅析[J].煤，2003（02）.

[5]石亦歌.企业网络安全解决方案[J].安防科技，2003（03）.

[6]王锋.关于企业网络安全问题的探讨[J].电脑知识与技术，2009（36）.

篇5

【关键词】供电企业；信息系统安全；强化措施

面对当代信息技术的发展与社会电力工作的要求，信息技术已经逐渐覆盖到电力系统的每个方面，同时也带来了许多的安全隐患，时时威胁着供电企业的信息安全。电力是一个国家的基础产业，关乎每一个领域，对全国经济建设发展起着决定性的作用。因此，供电企业的信息技术安全就显的尤为重要。本文针对近些年来信息技术在供电企业应用时所出现的安全问题进行细致的探究，并且提出了相应的防范措施。

1 供电企业信息化现状

近些年来，以网络、数据库为代表的信息系统技术已经渗透进电力生产的每个环节，供电企业信息化现状大致可以总结成以下五个方面：

（1）电力信息系统基础设施已基本完成。电力信息系统以高速电力通讯网为基础，覆盖了各个供电企业和国家电网。电力信息系统通过发、输、配三个环节，以光纤，卫星等多种手段代替原有的通信网，覆盖整个网络。供电企业还在基础设施上不断创新和完善，用通讯网将各个公司、区域的信息系统相互联系起来，形成共享网络，有利于各个企业单位之间的联系与资源共享。

（2）处于自主研发阶段。原有的供电企业信息系统是单纯引进国际技术，随着我国科学技术的发展，我国电力信息技术已经逐渐达到国际现有的水平。我国自主研发的系统――能量管理，已经在我国供电企业信息系统中得到了广泛应用。并且不断推陈出新，为以后的电力信息系统提供基础。

（3）供电企业信息安全工作进展快速。我国建成了信息系统安全和供电企业电力系统网络管理体系，保证了电力信息安全；建立了相应的法律法规，为供电企业信息化发展提供了法律保障；国家大力支持电力信息系统，加快了电力信息系统基础设施的建设；我国电力信息技术人才的培养，为供电企业信息系统的进步提供了条件。

（4）电力信息系统出现重大转变，为供电企业信息系统安全风险与防范提供最要的技术来源和保障。电力信息系统从出现以来，实现了从自动化向信息化，从信息资源整合向信息资源利用，从协助管理向大力发展生产力三个方面的转变。

（5）供电企业与电网企业共同发展。电网企业先实施了国家的信息化工程，初见成效，这为供电企业实施企业信息系统提供了方向指导。之后，供电企业与电网企业共同发展，在保证供电系统顺利的运作下，提高效率，降低成本，从而达到经济利益最大化，为整个行业的发展，奠定了坚实的基础。

2 供电企业信息系统安全的影响因素

随着网络、通信技术的发展，供电企业中信息技术处理的应用系统越来越复杂，面临的挑战也越来越多，类似供电控制系统和网络信息的安全性、保险性、实时型都面临着巨大的考验。以下举出了供电企业信息系统安全的几个重要的影响因素。

（1）自然及不可抗力因素。自然及不可抗力因素指的是自然灾害或者突发事件不可预期的因素。类似火灾、地震、雷电等，都会对供电信息系统造成破坏，导致供电系统工作的终止和信息系统数据的丢失。

（2）物理方面的风险。物理方面的风险指的是在信息系统技术应用的过程中所使用的设备的风险。供电企业在信息系统运行的过程中，需要用到交换机，路由器，工作站等设备，而这些设备在人为因素或者自然因素的条件下，很容易损坏或者报废，断电或者使原有的信息丢失，从而导致整个信息系统的瘫痪，会对供电企业造成不可预计的影响和损失。

（3）数据库安全。供电企业的信息系统需要用到各种设备和应用软件系统，而这些设备和软件系统在信息系统不完善的条件下，肯定会存在一定的漏洞，这将会导致供电企业内部信息资料安全受到威胁。企业如果放松警惕，不法分子就会通过漏洞传播病毒并且盗取企业的重要文件资料，这将导致供电企业无法正常供电，并且威胁着整个企业的内部安全。

（4）管理系统安全。现在处于信息系统在供电企业发展过程中的初级阶段，还没有形成一整套针对供电企业信息系统安全的管理措施。这样在信息系统的运作过程中，将会出现很多不完善的地方，时刻威胁着供电企业生产的安全性，影响整个企业的正常供电。

（5）电磁干扰的影响。信息系统在各个领域中的应用并未完善，而信息在传输的过程中很容易被电磁干扰，导致信息的丢失。

3 信息系统安全的防范措施

强化员工的整体素质与基础知识的水平。供电企业的信息系统安全防范，不仅仅是相关部门的事情，而是整个供电企业内部人员的事情。供电企业内的每一个突发事件，都位于生产的细微环节，这就要求企业的员工需要有较高的知识水平与应变能力，面对安全隐患及时做出相应的防范措施，应对自如。所以应该提高全体员工的信息安全知识的学习以及必要的防范意识。在有条件的情况下可以开设信息安全相关的培训，以逢培必考方式，提高培训效果并落实一定的考核制度，有利于全体员工对信息安全知识的学习，也确保了供电企业安全稳定的发展。

转变传统的管理制度，由传统的硬性管理转变成为适应当今企业发展的分区分域管理。分区管理就是对不同级别的信息进行分区，建立网络隔离系统；分域就是在分区管理的基础上，针对生产域、营销域、人资域、办公域、财务域等，各专业信息系统的要求进行更加细致的划分。这样有利于摆脱传统管理模式中的漏洞，增加管理的灵活性、全面性。将知识管理与安全管理相结合，为供电企业信息系统的正常运行提供基础保障。

将电力通信及自动化的网络与供电企业的内部综合数据网络进行物理隔离，这有益于防止信息系统安全过程中产生的漏洞导致的病毒入侵现象，保护内部资料的安全性。在建立最基本的管理制度的同时，从工作出发，对发现的问题及时汇报处理并且统计，建立特有的数据库，为以后工作信息系统的防范提供基础。

预防计算机病毒，防止病毒破坏。这是供电企业信息系统安全措施中最重要的一个环节。供电企业中，办公最重要的一个内容就是企业邮件的收发，这也是感染病毒最多的环节。必须加大对系统的升级和修复，建立和完善防病毒系统，实时对计算机进行监控，对用户访问进行严格防控。

电力信息系统还处于发展阶段，必须加强对信息技术安全的监控，并且及时汇报，完善信息系统的应急预案。这要求企业必须真实的对待每一个信息事件，及时通报，不得隐瞒。不断改善原有的应急措施，并且监督每一次应急措施的实施，提高整个供电企业面对信息系统的应对能力。

提高供电企业信息系统的保密措施。在对信息系统网络安全加强的同时，也要完善人为因素导致的信息泄露。严禁外部人员对计算机网络的访问，严格控制外来U盘等移动介质的使用，对信息系统的安全进行严格监管，定期开展对保密工作的检查，不放过任何一个中间环节。

4 总结

供电企业的信息系统安全涉及到企业的方方面面，包括自然因素，人为因素，物理因素等等。所以为供电企业信息系统制定防范措施就要从这些因素出发，全面分析，多重角度看待，才能制定有效的防范措施，保护整个供电企业的安全。

参考文献：

[1]Christopher.信息安全管理[J].北京：清华大学出版社，2005.

篇6

关键词：烟草行业;信息安全;安全管理

随着网络技术的日趋成熟，烟草行业的信息安全问题日益凸显，网络非法攻击对烟草行业的发展造成了重大威胁，因此维护烟草行业信息安全管理工作具有重大意义。本文从烟草行业信息安全管理的现状入手，对加强烟草行业信息安全管理，推进信息安全体系建设提出一些可行性建议。

一、烟草行业信息安全管理概述

信息安全是指对网络的硬件、软件以及系统中储存的数据进行一定的保护。避免它们受到恶意的攻击、恶意篡改或者泄露。对于一个网络系统而言，其安全维护系统是非常重要的，信息安全管理是信息安全的关键。随着烟草行业并入经济全球化的格局，我国的烟草行业竞争日益增大。为了使其发展更好，烟草行业开始在制造环节及销售环节引入信息化建设管理。而随着对信息化管理的依赖程度的日益增加，信息安全对整个烟草行业具有决定性的影响。信息安全管理主要包括信息的私密性、保密性、真实性以及完整性。任何一个信息方面的安全漏洞都有可能对烟草行业安全造成灭顶之灾。然而烟草行业的网络拓扑结构复杂，其信息化结构也不完善，因此难以实现对整个行业的集成管理，这为烟草行业的安全造成了巨大威胁。在当前的烟草行业网络系统中，本身存在许多设计的薄弱环节，这将造成一些不法分子通过信息系统的漏洞攻入信息安全系统，从而使得重要的信息数据丢失，并造成整个管理系统瘫痪等问题。这些都对烟草行业的发展埋下了重大隐患。

二、当前烟草行业信息安全管理现状与问题

(一)网络技术设施不完善。近年来，尽管烟草行业已经意识到安全管理的重要性，但是烟草行业的内部网络是极其不完善的，因此信息网络容易遭受攻击。这是由于信息网络过于脆弱时会产生大量的安全漏洞。而且，信息网络管理人员对企业的信息网络安全防范意识过于薄弱，当内部网络的应用程序越来越多时，系统的终端将存在大量安全问题。除此之外，信息网络的操作系统安全问题也值得重视。而且操作系统可以通过建立远程链接进行控制，这也给外部入侵提供了一个缺口，许多黑客就通过建立远程服务终端来窃取企业信息。

(二)缺乏整体防护措施。由于对于信息网络的不够重视以及建立信息网络时间过短，因此缺乏相应的信息网络安全管理意识，管理松散。同时由于过于注重对网络相应硬件设备的维护，缺乏对软件资源的管理意识。甚至没有意识到信息网络安全的重要性，因此造成管理规章制度不够完善，管理力度不够，这些都不利于维护信息网络安全。而且由于不同用户拥有不同的信息网络使用权限，难以实现对整体进行统一管理。除此之外，由于使用人员的不同，造成数据存储较为分散，从而无法将其统一存储在同一服务器内。因此无法对其进行统一的管理，使得信息的泄露风险大大增加。一些人员在工作时，对于传递的数据往往没有加密意识，这也给窃取机密的不法分子提供了攻击的机会。

(三)信息安全管理难以贯彻落实。当前，为了维护烟草行业的健康稳定发展，我国的烟草管理部门颁布了一系列的关于建设烟草行业信息安全管理的制度以及企业的信息安全管理制度。这些制度规划了烟草行业的最佳实践效果蓝图，然而烟草行业现状还远不能达到这些要求。我国当前的行业现状与最佳实践对比图如图1所示。这些制度对于维护烟草行业信息安全是十分有效的。然而从当前的执行力度来看，其效果不容乐观。一些烟草行业的规模较小，缺乏对信息安全的了解，因此往往这些信息安全管理制度流于形式，对于安全信息的存储也极其随意。另外，烟草行业的信息具有一定的流动性。因此对于维护信息安全的管理人员的技术要求较高。但是在大多数的烟草企业中，这一点并没有得到重视，因此操作人员的技术和素质都难以使信息安全得到保证。同时企业管理系统的落后也导致烟草企业的信息化发展难以适应企业发展，因此难以进行信息安全维护。

三、新形势下烟草行业信息安全管理的要点与措施

(一)管理层面。对于信息安全而言，黑客及病毒对其产生的不良后果是巨大的，因此烟草企业必须使用最为安全可靠的防火墙技术，使信息网络隔离开来，减少外来攻击。同时，企业应当根据国家制定的相应规范来制定适用于企业本身的网络安全制度规范，使得信息网络的安全程度和保密程度都大大增强。

(二)重视安全防范的日志功能和审查制度。在大多数烟草企业中，由于缺乏对于信息网络使用的日志记录，对信息网络使用监测不到位，这一方面导致信息网络出现安全事故时，企业难以找到事故发生的原因，从而不能快速解决问题，也难以追回损失的资料;另一方面也造成企业难以找到事故的责任人。因此，在信息网络中，必须做好信息使用的安全记录，同时要对企业中使用网络的人员进行详细的数据库登记，对于每一用户登录或退出网络都进行详细的记载，当发现可疑的登录人员时，应立即采取相应的安全防控措施，以减少企业的损失。

(三)确保终端用户合法操作。在企业中，不同人员对于信息网络的使用权限不同。因此为了统一管理信息网络用户，需要对一些拥有极大权限的账号进行相应的权限分割以及监测。这些用户在登录时必须设置相应的安全措施，例如安全卡和电子证书等。这些用户在登录时，如果发生密码多次输入错误等情况，应立即启动相应安全措施，如限制登录等，从而杜绝超级权限用户泄密。必要时启动相应的审计功能，使网络监控人员了解跟踪所有对系统进行的操作。网络设备系统、服务器系统、数据输入、输出系统、机密数据系统、网络设备间等重要房间都配备有磁卡门，磁卡门上配多个磁卡阅读器，这样必须多个人同时进入房间才可允许进入，进行正常操作。

四、结语

对于烟草行业而言，充分利用网络的优势，同时避免网络带来的威胁是非常必要的。网络安全与烟草行业发展息息相关，因此烟草行业信息的安全防控不可忽视，随着科学技术的发展，烟草行业的安全防控措施也会逐渐增强，这将极大促进烟草行业的稳定发展。

作者:宋朋飞 单位:安徽省烟草公司宿州市公司

参考文献:

［1］杨欣．烟草行业信息安全应对策略探讨［J］．中小企业管理与科技，2013，5

［2］陈宇明．烟草行业信息安全管理的研究与探索［J］．计算机安全，2011，9

篇7

对许多企业、人来说，往往要等到遇上了天灾人祸，才会想起保险的好，人们对于信息安全的认识也是如此，就连保险业也不例外。中国保险监督管理委员会处长李春亮在今年春天的一次保险业会议上表达了他对保险业信息安全的担忧:“目前保险业的信息化建设滞后于信息安全形势的发展。”

他表示:近年来，经济和金融领域的信息安全事件不断发生，保险业是信息密集型企业、行业，保险信息系统作为国家重要信息系统之一，目前信息安全基础还比薄弱，安全意识有待于提高，信息安全保障体系还不完善，还面临着严峻的挑战。

经过几年的建设，保险业信息化走过了最初的电子化和后来的数据大集中，绝大部分保险公司实现了业务、财务数据处理的全国集中，部分公司完成了业务数据的省级集中或实现了省级业务处理的集中。基本完成了大集中的保险公司和机构下一步该怎么走下去？首先当然是信息整合，对数据质量的控制和数据资产的利用，这是数据大集中自然而然的要求。另一项重要的工作则是维护信息安全，以保障集中后的庞大系统稳定运行。

其实，自信息化建设初期起，保险机构和公司就应该着手信息安全工作，但是，由于意识上的不重视，不出事就不会想起的常人思维，直到大集中的完成，他们才觉悟从技术和管理上采取最优的安全措施至关重要。

特级重要性

作为以信息处理，数据管理，金融保险服务为核心的保险企业，其信息系统面临的主要威胁也是病毒、网络攻击、网络犯罪、系统设备的损坏和各种自然灾害。但是众所周知，不论是商业保险还是社会及医疗保险，保险期短则一年半载，多则几十余年，因此，每个订单涉及的时间很长，这就意味着，这种电子化的订单可能需要一直保持几十年，这几十年的数据都必须要保存，数据何时何地发生更新都需要记录。一旦信息系统发生问题或者故障，保险企业损失的将不只是金钱，还有信用甚至可能是生存。另外，从竞争的角度来看，保险企业的客户数据都是属于高度的商业机密，一旦泄露出去将会给竞争对手以可趁之机。

所以，除了在日常运营中完善信息安全基础设施，信息安全管理的各项制度、规定，开展信息安全教育培训和宣传等工作外，保险企业还需要有抗风险和应急反应能力，以保障业务的连续性。这一点也是保险企业信息安全的重要内容。

2001年发生在美国的“9・11”事件教育了全世界的企业:如果天灾人祸降临，你得公司是否能够生存下来就要看你是否之前就进行了有效的灾备工作。作为对安全最为敏感的行业之一，保险业更是积极投入了大量的人力物力来提高自己的抗风险能力。据统计，目前，我国超过50%的保险公司开展了灾难演习或制订了灾难演习工作计划，中国平安建立了上海数据备份中心，部分公司正在建设异地灾备中心或计划建设异地灾备中心。

政府支持

保险公司积极建设灾备中心和加强各项安全管理的背后，是国家和政府对于保险信息安全的重视和支持。

中国保监会出台了一系列保障信息安全的措施，比如制定并下发了《保险机构计算机系统重大系统性故障突发事件应急预案》、《保险信息系统应急协调预案》以及《关于做好保险信息系统灾难备份工作的通知》，转发了国信办《重要信息系统灾难恢复指南》，并与国信办、国家网络与信息安全信息通报中心建立了联系、沟通、通报机制。

另外，中国保监会在督促各保险机构重视信息安全保障工作上也积极行动:首先明确了信息安全保障工作的主管领导，落实了责任部门，设立信息安全管理的专门岗位，有效地加强了信息安全保障工作的组织领导;其二，加强了信息安全相关的制度建设，目前各保险机构参考国内外相关技术标准，基本建立了信息系统安全、网络安全、机房安全制度。

篇8

新威胁催生更高级安全系统

对付一个手持钢枪的敌人，如果依然选择传统的刀作为武器，那将非常危险。在本届RSA大会上，Imperva公司高级安全战略家NoaBar-Yosef在题为《不要拿着刀去对付持枪的人》的演讲中提醒人们，网络环境已经改变，黑客的手段正变得越来越“高明”，因此相应的安全措施也应该有所改变。

EMC公司执行副总裁兼RSA（EMC信息安全事业部）执行主席亚瑟・W・科维洛表达了同样的观点。他认为，当前，信息安全行业面临的一个重大挑战是，数字化过度扩张让IT环境变得更加脆弱，这种脆弱性会被攻击者借机利用，而传统的信息安全管理方法面对新的攻击者已经不再有效。

随着云计算、移动互联、电子商务的快速发展，网络攻击者正变得更“阴险”。根据计算机网络应急技术小组的中国互联网安全报告，网络安全事件的跨国性变得越来越突出。而在目前，活动在世界各地的攻击者大致有三类：第一类是追求曝光率的黑客，他们希望看到他们的信息通过全球媒体网点即刻向全世界广播，这些团体努力寻找任何防御体系的漏洞，他们经常与内部人士合作。第二类是网络罪犯，他们的目的是窃取信息资产后迅速出售变现。比较典型的做法是将基于平台的犯罪软件和零日漏洞拍卖给出价最高的买方而获利。第三类是高级攻击者。此类攻击者善于搜集各种情报，有时要经过数月的准备才会发动攻击，其活动很难察觉，他们的可怕之处在于攻击背后集中的大量资源以及他们发起攻击的效率。

在科维洛看来，应对日益严峻的IT安全形势，需要有更加高级的安全系统，而高级安全系统应具备三个特征：第一，基于风险。安全风险是由全面的安全威胁现状决定的。它会告诉你，有关潜在攻击者的情报和最宝贵的资产工作重心应该在哪里，例如哪些系统需要保护，哪些用户需要紧密监视等。第二，具备敏捷性。安全威胁现状将持续演变，要想取得成功，企业必须能随时敏捷地处理、纳入和分析新的内部及外部情报。第三，具备情境识别能力。只有提供信息安全事件的完整背景，事件响应、研究和补救才能最有效，优先级划分及决策的成功取决于能否得到最准确的信息。企业必须提供“大数据”般的信息安全全景，这样其安全团队才能实时得到信息安全问题检测所需的完整信息。大数据与高速分析能力相结合，可抵御高级安全威胁。

安全问题成云计算主要瓶颈

在IT业界发生巨大变革的今天，云计算发展趋势已经成为共识，但这也给安全管理带来巨大挑战。中国科学院和北京大学教授卿斯汉在最近一次关于云计算的调研中发现，安全性是云计算大规模推广的主要瓶颈。这次调研由工业和信息化部组织，调研者历时4个月，走访了12个城市，考察了18个云计算项目。

卿斯汉教授说，从调研情况看，在云安全方面，大部分云计算项目都采取了传统安全措施，如：网络安全、主机安全、备份恢复等，但个别项目并没有信息安全专业人员参与，留下了巨大的安全隐患。云计算的新威胁，包括云服务的滥用和对云计算的特殊攻击，对服务商、广大用户和监管者都将带来影响。

“云计算”已成为今天IT产业发展的关键词，IT人员不可避免地要将一些敏感性数据、处理器和其他信息融入云中。新的管理工具有待出现，新的安全防护措施也并未建立。云计算时代，我们应该考虑的安全问题是，如何构建安全和合规的云之旅，让安全与合规跟上云计算的步伐。

VMware大中华区技术总监张振伦认为，从现在一些企业情况看，完成云计算“旅程”需要三到五年甚至更长时间。要想一步实现云计算，结果将是灾难性的，因为这会带来很多安全与合规方面的问题。从技术角度看，要营造安全与合规的云计算环境，一定要把过程定义好，通过严密的流程管理确保云之路的成功。实际上，云计算的成功，不只是取决于资源池的构建，安全绝对也是其中必不可少的重要组件，只有把这个组件定义好，才能构建出真正的云。从私有云到公有云，再到混合云，每一个阶段都离不开安全与合规。

张振伦建议，要实现云安全，企业首先需要了解自身的整体架构，清楚在此架构下，什么地方最容易出现安全问题，需要什么样的安全等级，并将自己的需求明确表示出来。有了这样的技术架构，就要对各部分区别对待，依此形成自己的解决方案，并针对每一个层面来实现自己的目标。另外，还应该加强对人的管理。

正如中国密码学会理事长裴定一所指出，保护信息安全不可能是绝对的，而是多种约束条件下的折衷的选择。在云计算时代更是如此。

大数据管理时代到来

篇9

 

信息产业的迅猛发展，使得信息化技术成为社会发展的必要组成部分，信息化技术为国民经济的发展注入了新鲜的活力，更加速了国名经济的发展和人民生活水平的提高。当然，人们在享受信息技术带来的巨大便利时，也面临着各种信息安全问题带来的威胁。这种信息安全事件带来的影响是恶劣的，它将造成巨大的财产损失和信息系统的损害。因此，信息系统的安全问题不得不引起社会和民众的关注，完善信息系统的安全性，加强信息安全的风险评估成为亟待解决的问题。

 

1 信息安全风险评估概述及必要性

 

1.1 信息安全风险评估概述

 

首先，信息安全风险，主要是指人为或自然的利用信息系统脆弱性操作威胁信息系统，以导致信息系统发生安全事件或造成一定消极影响的可能。而信息安全风险评估简单的理解，就是以减少信息安全风险为目的通过科学处理信息系统的方法对信息系统的保密性、完整性进行评估。信息安全风险评估工作是一项保证信息系统相对安全的重要工作，必须科学的对信息系统的生命周期进行评估，最大限度的保障网络和信息的安全。

 

1.2 信息安全风险评估的必要性

 

信息安全评估是为了更好的保障信息系统的安全，以确保对信息化技术的正常使用。信息安全风险评估是信息系统安全管理的必要和关键的环节，因为信息系统的安全管理必须建立在科学的风险评估基础上，科学的风险评估有利于正确判断信息系统的安全风险问题，提供风险问题的及时解决方案。

 

2 信息安全风险评估过程及方法

 

信息安全风险的评估过程极其复杂和规范。为了加强我国信息安全风险评估工作的开展，这里有必要对风险评估的过程和方法给予提示和借鉴。风险评估的过程要求完整而准确。具体有如下步骤：

 

1)风险评估的准备工作，即要确定信息系统资产，包含范围、价值、评估团队、评估依据和方法等方面。要明确好这些资产信息，做好识别。2)对资产的脆弱性及威胁的识别工作，这是由于信息系统存在脆弱性的特点，所以要周密分析信息系统的脆弱点，统计分析信息系统发生威胁事件的可能性以及可能造成的损失。3)安全风险分析，这是较为重要的环节。主要是采用方法与工具确定威胁利用信息系统脆弱性导致安全事件发生的可能性，便于决策的提出。4)制定安全控制措施，主要有针对性的制定出控制威胁发生的措施，并确认措施的有效性，最大限度的降低安全风险，确保信息系统的安全。5)措施实施的阶段，主要是在有效监督下实施安全措施，并及时发现问题和改正。

 

对于信息安全风险评估的方法，国内外进行了很多不同的方法尝试。方法一般都遵循风险评估的流程，只是在手段和计算方法上有差异，但是分别都有一定的评估效果。主要采用：定性评估、定量评估、以及定性与定量相结合的评估，最后的方法是一个互补的评估方式，能达到评估的最佳效果。

 

3 我国信息安全风险评估发展现状

 

较美国等西方国家关于信息安全系统风险评估的发展历史和技术研究，我国起步比较晚且落后于发达国家。但近年来，随着社会各界对信息系统安全的重视，我国开始在信息系统安全管理工作上加大力度，并把信息系统的安全评估工作放在重要的位置，不断创新研究，取得了高效成果。但是，就我国目前的信息安全风险评估工作看来，还存在诸多问题。

 

1)我国部分企业、组织和部门对于信息系统安全风险评估没有引起绝对的重视，没有大力普及风险评估工作。由于领导者及员工的信息安全防范意识不强以及自身素质水平的影响，导致对风险评估的流程及必要性都不了解，就不太重视对企业信息系统的安全风险评估工作。

 

2)我国缺乏信息系统安全风险评估的规范化标准。我国目前的信息系统安全风险评估工作的开展，大部分依靠参考国际标准提供服务，只注重效仿，而缺乏对我国信息系统安全风险的实际状况的研究，没有针对性，得不到应有的效果。

 

3)我国缺乏行之有效的理论和技术，也缺乏实践的经验。由于科技水平的相对落后，对于信息系统的安全风险评估缺乏合适的理论、方法、技术等。我国仅依靠深化研究IT技术共性风险，而没有针对性的行业信息个性风险评估，这是没有联系实际的举措，是不能真正将信息系统的安全风险评估落实到位的。

 

4)在对信息系统安全风险的额评估中角色的责任不明确。这应该归咎于领导的和员工的不符责任及素质水平的落后。对风险评估理论缺乏，那么就会导致参与评估工作领导和员工角色不明确，领导对评估工作的指导角色以及责任不明确，员工则对评估工作流程方法不理解，都大大降低了风险评估的工作效率。

 

以上种种关于信息系统安全风险评估的现状问题反映出我国在对信息系统安全风险评估的工作还缺乏很多理论和实践的指导。我国的信息系统安全风险评估工作的开展力度还远不够，那些在信息系统安全风险评估工作的成果还远远达不到评估工作的标准。

 

4 强化信息安全风险评估的对策

 

4.1 加强对信息安全风险评估的重视

 

信息化技术对于每一个企事业单位都是至关重要的，企业在对工作任务的执行和管理中都必须用到信息化技术，因此，保证信息系统的安全性对于企业的发展至关重要。企业、组织和部门要加强对信息安全风险评估的重视，强化风险意识，将信息安全风险评估作为一项长期的工作来开展。

 

4.2 完善我国信息系统安全风险评估的规范化标准

 

上文中指出我国目前的信息系统安全风险评估工作大部分依靠国际标准在进行，国内没有一个统一的评估标准。因此，我国应该根据企业各种标准的侧重点，自主创新研究，创造出自己的标准技术体系，而不再一味的去效仿他国。只有这样，我国的信息系统安全风险评估才能得到迅猛的提高与发展，才能保证国家信息化的安全。

 

4.3 加强对评估专业人才的培养

 

信息化技术是一项非常专业的技术，只有拥有专业知识和技能的高科技人才才能控制和把握。信息安全风险的评估工作上则更需要拥有专业技能和业务水平的人才，他们必须对信息化技术相当了解和精通，对风险评估的方法、手段、模型、流程必须熟练。因此，企事业单位要加强对专业人才的培养，定期进行业务技能培训，鼓励人才的自主学习，不断提高自身的能力，为确保企业信息安全评估工作的高效发展及信息安全贡献力量。

 

4.4 加强科技创新，增强评估的可操作性

 

我国的科技水平较西方国家有很大的差距，因此在对信息安全风险的评估工作中，也存在理论和技术上的差距。我国应该不断的加强科研力度，在理论和技术上加以完善，在评估工具上改进，以确保评估工作的高效开展。信息系统风险评估是一个过程体系，必须抓好每一环节的技术性，在依据实际状况下进行风险评估。

 

4.5 明确评估工作的职责划分

 

信息安全风险评估工作是复杂的，每一个流程都需要投入一定的人力、物力和财力。针对人力这一方面，企业单位应该明确划分评估工作人员的职责范围，管理者要发挥好领导监督作用，有效指导评估工作的开展，员工则有效发挥自身的作用和能力。进而在每一环节工作人员共同协作下，完成评估工作的各项流程，并达到预期的成效。

 

5 结束语

 

随着我国信息技术水平不断的进步和提高，信息安全工作成为一项必须引起高度重视的工作之一。在当前我国信息安全风险评估还不够全面和科学的情况下，我国应该加强科技创新，依靠科学有效的管理以及综合规范的保障手段，在借鉴西方国家先进理论和技术的同时结合我国企业单位信息安全风险评估的实际现状，有针对性的实施有效方法，确保信息系统的安全性，进而保证我国信息化的安全发展。

篇10

【关键词】企业；计算机网络信息；安全管理

中图分类号： F279 文献标识码： A

前言

文章对企业计算机网络安全存在的问题进行了介绍，对影响企业计算机网络系统安全的因素进行了阐述，通过分析，并结合自身实践经验和相关理论知识，对加强企业网络安全管理措施进行了探讨。

二、企业计算机网络安全存在的问题

1.安全意识淡薄

在企业网络系统中，每一台计算机的安全性都会影响整个系统的安全性能，网络安全与每个用户息息相关。内部员工了解公司的网络结构、数据存放方式和地点甚至掌握业务系统的密码。在具有严格访问权限的系统中，使用弱密码的用户有可能成为安全系统中的缺陷，甚至有些人随意改动系统注册表，使得整个网络安全系统失效。

2.网络安全体系不健全

当前很多企业尽管采取了一些安全措施，但安全保护措施较为零散，缺乏整体性与系统性，对于企业网络信息安全保护缺乏统一的、明确的指导思想，没有建立一个完善的安全体系，这是引发安全问题的主要源头。

3.网络黑客攻击

黑客肆意妄为，破坏的手段也越来越多样化。企业的内部资料对于整个企业经营来说相当重要，因为它关系到整个企业的生死存亡。企业存放信息会因网络黑客攻击而造成资料的泄密。

4.来自企业外部的感染

来自企业外部的计算机病毒具有传播性、破坏性、隐蔽性、潜伏性和可触发性等特点，通过入侵网络系统和设备，对数据进行破坏，使网络瘫痪，不能正常运作。网络蠕虫由于不需要用户干预就能触发，因而其传播速度要远远大于计算机病毒，其对网络性能产生的影响也更为显著和严重。木马是指附着在应用程序中或者单独存在的一些恶意程序，它可以利用网络远程控制安装有服务端程序的主机，实现对主机的控制或者窃取主机上的机密信息。

5.来自企业网络内部的攻击

企业防护重点是对外，往往忽视对内部防护的重视。利用企业内部计算机对企业局域网络进行攻击，企业局域网络也会受到严重攻击，当前企业内部攻击行为大大加强了企业网络安全的风险。

三、影响企业计算机网络系统安全的因素

1.病毒攻击

目前，计算机病毒的制造者大多利用Internet网络进行传播，因中小企业防范薄弱管理规范性有待提高，所以他们很大可能要遭到病毒的攻击。病毒可能会感染大量的机器系统，也可能会大量占用网络带宽，阻塞正常流量，如：发送垃圾邮件的病毒，从而影响企业计算机网络的正常运行。

2.软件漏洞

任何软件都有漏洞，这是客观事实。而同时中小企业在软件采用上大都以节约为本，不注重也不舍得花销来进行软件更新的后期升级服务，以至于非法用户正好通过这些需要升级的漏洞窃取用户信息和破坏信息，针对固有的安全漏洞进行攻击。

3.职员不当操作

中小企业计算机管理人员配置少，监督管理都难以细致，其它职工在信息化系统操作中容易出现工作马虎，不细心，不按成型的规范操作，不遵守制定的相应规章制度。中小企业中很多职工信息安全意识不强，将自己的生日或工号作为系统口令，或将单位的账号随意转借他人使用，从而造成信息的丢失或篡改。

四、加强企业网络安全管理措施

1.要加大对计算机网络与信息安全工作的投入。信息技术进步神速，我国在这一领域同发达国家比，并没有优势。因此我国更应加大投入，刻苦攻关，掌握一些关键的信息技术，以确保我国在信息安全方面的自主能力。可以毫不夸张地说，今年安全方面的自主能力，将制约我国的综合国力和国防实力，因此，我国应当像五六十年展“两弹一星”一样，集中力量，加大投入，迎接信息技术革命的挑战，保卫国家安全。这一点，我们不能幻想通过进口来解决问题。在信息安全技术方面，发达国家一方面极为重视研究开发，美国政府曾为了改进美国政府的计算机安全系统，投入巨大的资金；另一方面，又严格控制信息安全技术的出口。以美国为代表的发达国家，对信息安全产品出口，已作出许多严格限制，以维护其在信息技术领域的绝对优势。

2.关键数据采用加密手段。在企业计算机网络中关于数据安全的隐患无处不在。尤其是一些机密数据库、商业数据等一定要保证它的安全性，这时一般会采取对数据加密的手段，它是一种保护数据在存储和传递过程中不被窃取或修改的一种手段，该数据加密系统在使用的过程中需要综合考虑执行效率与安全性之间的平衡。

3.加强安全管理力度健全管理制度。首先，加强信息安全管理力度应积极采取宏观管理与重点监控相结合的方式，保证信息化项目的安全性。系统的实施及管理部门应该全面掌握各单位的计算机网络系统的相关情况，为企业统一管理提供可靠依据。同时，对重点工程实地考察，对信息安全进行检查，发现问题及时解决。

4.事务管理和故障恢复。事务管理和故障恢复主要是对付系统内发生的自然因素故障，保证数据和事务的一致性和完整性。故障恢复的主要措施是进行日志记录和数据复制。计算机同其他设备一样，都可能发生各种各样的故障，比如电源故障、软件故障、灾害故障以及人为破坏等，这些故障可能会造成数据库的数据丢失，因此为了保证计算机的安全运行，必须在发生故障时采取必要的措施恢复数据库，事务管理和故障恢复就是这个作用，它能够保障数据库在出现故障时，仍可以把数据库系统还原到正常状态。

五、企业信息安全新形势

网络信息安全工作始终是通信行业最为关键的工作之一，具有长期性、复杂性和艰巨性的特点。2010年3G及宽带网络蓬勃发展，三网融合开始实施操作，云计算和物联网产业方兴未艾，需求的个性化、数字的海量化、业务的复杂化给通信行业网络信息安全带来了新的更大的挑战，行业中企业要进一步提高对网络信息安全重要性的认识，发展与管理并重，加强部门协调配合，加强网络基础管理工作，加强网络信息安全保障能力建设，特别是要加快网络信息安全关键基础产业的研发应用和产业化，通过核心技术掌握自主知识产权，加快发展自主可控的信息安全产业，建设新时期通信行业网络安全、信息安全长城。

从国际国内出现的安全现象出发，应对多种复杂的安全新问题，应该借助于RFID等物联网新技术，并通过极主动地建立网络与信息安全的保障体系，技术和管理并重，加强立法建设、政策制订、技术研究、标准制订、队伍建设、人才培养、市场服务、宣传教育等多方面的工作，通过产业链各方的紧密合作共同构造一个全方位多层次的网络与信息安全环境，来共同改善全球的网络与信息安全问题。

结束语

随着科技的发展，一些不法份子和黑客通过计算机网络窃取企业商业机密的现象越来越多，因此，对于计算机网络信息安全管理应该予以高度重视，否则可能对企业造成不可预估的损失。

参考文献

[1]林延君.局域网企业信息安全系统的设计与实现[D].大连理工大学，2006年.

[2]阳威特.Web应用程序的安全维护[J].计算机应用，2000（05）.

篇11

随着计算机网络技术的不断发展，其安全性问题变得尤为突出。网络是开放的、系统的，同时也是共享的、复杂的，由于其边界和路径都存在不确定性，所以网络容易受到来自外界的入侵、攻击和破坏，影响数据信息的整体性和保密性。目前，很多企业都建立自己的局域网络，通过自己的网络平台进行办公和生产活动，这样在日常工作中，企业通过自己的局域网传输数据非常快速，办公和生产效率都得到很大的提升。在利用网络技术进行办公自动化及生产自动化中，网络的安全就尤为重要，是办公效率和安全生产的重要保障。网络技术被广泛应用到企业中，有效地推动了企业的信息化发展，网络技术在企业发展中发挥积极作用的前提是网络技术是安全的，否则会给企业带来一定的损失，严重的会威胁企业的生存。网络的安全直接影响企业信息的安全，建设安全的网络信息技术是企业信息安全、流畅的重要保障。

二、企业内部网络安全存在的问题

从思想意识上讲，主要是网络安全意识薄弱。现在的企业都是通过网络数字化的办公模式，很多人员信息和项目合同等文件都是通过网络进行交流和传输，但工作人员往往缺乏网络安全知识，一些机密重要文件都通过邮件、聊天工具等进行传输，但对自己邮箱和聊天工具不注重安全升级和维护，有时导致信息被窃取等现象的发生。企业领导对网络安全不够重视，在网络安全维护上投入的资金有限，对一些网络产品的升级、系统的更新没有及时进行，往往导致企业的网络系统被黑客入侵等现象发生。从技术角度看，企业缺少专业的网络安全管理人员，安全措施不到位，网络系统版本较低，网络设备陈旧等问题存在，所以网络技术不过关，这也是其容易被黑客轻而易举地攻击或被病毒、木马等程序感染的主要原因。同时，由于网络技术管理人员业务不精通，可能还会出现网络系统与网络设置不匹配等现象的出现，以及管理措施不得当、管理制度不完善等诸多情况，都是当前企业网络安全较为普遍的问题。

三、网络安全的对策与措施

3.1加强网络安全意思。

企业要对每个员工上岗前进行网络安全知识教育和培训，让每个人充分意识到网络安全的重要性，掌握基本的网络知识，具备一定的网络安全技术。及时查杀病毒、木马等存在恶意风险的软件，不随意下载与工作无关的软件，不通过外网传输与工作相关的重要文件等。同时，企业要制定关于网络安全的相关规定，并要求员工严格执行。

3.2建立安全的网络体系。

网络的安全，首先要求是网络体系的本身要是安全。在网络体系设计时应多角度、多层次，有效保障企业信息的安全性、完整性，是信息在传递过程中不会受到恶意的攻击而发生泄漏或篡改、删除等现象，维护信息的完整性，保持信息传递的畅通，使整个网络系统维持在良好的状态下运行。

3.3强化安全配置。

首先，安全的物理环境是网络安全的基本条件，用于网络传输的线路、设备要有必要的保护，主机等设备防治要保持一定的环境温度，温度过高容易导致死机，而且还要减少电磁等干扰，保证数据信息的正确性。在网络系统中防火墙是重要的隔离层，所以对每台电脑都要设置防火墙，并根据各职员部门和职位的不同，设置不同的安全级别，有效地保障网络系统的安全。其次，要及时地设置防毒系统，在服务器终端就要对来自网络的信息、数据进行筛选、过滤和隔离，对于病毒、木马等恶意软件进行及时地清除，对可能攒在恶意的软件进行提示预警，有效地监督网络安全。

3.4加强网络安全管理。

企业要加强内网与外网连接的监控，控制网页的访问，对系统存在的安全漏洞要及时打补丁，对于敏感端口进行限制或直接关闭，同时还要建立入侵等检测系统，对企业局域网进行实时监控，保证网络不会受到外部系统的非法入侵、防止外部的恶意攻击。工作人员在应用企业内容的网络时，要进行身份确认，每个员工都有属于自己的用户名和密码，只有输入正确的才可使用网络，防止外部人员的任意访问。

四、结束语

篇12

[关键词]电子商务行业 制约因素 健康发展

电子商务是指利用电信网络进行的商务活动。通常是指是在全球各地广泛的商业贸易活动中,在因特网开放的网络环境下,基于浏览器/服务器应用方式,买卖双方不谋面地进行各种商贸活动。电子商务近年来发展速度越来越快,有经济学家预测:电子商务将成为21世纪人类信息世界的核心,也是网络应用的发展方向,具有无法预测的增长前景。大力发展电子商务,对于国家以信息化带动工业化的战略,实现跨越式发展,增强国家竞争力,具有十分重要的战略意义。但随着电子信息产业的快速发展,电子商务应用的环境越来越好,在疾速发展的同时也暴露出一些问题,严重制约了该行业的健康发展;探讨解决之道,对于电子商务行业健康发展意义重大。

一、电子商务中的诚信问题及保障措施

1.电子商务中的诚信问题

目前,我国电子商务信用缺失和恶化严重。信用缺失给物流与资金流分离的电子商务交易模式带来了严重的安全隐患,已经成为制约电子商务发展的重要瓶颈。主要表现在:

第一,产品宣传信息与实际不符,在网络宣传时,对产品的性能指标等描述模糊或夸大其词,致使消费者不能得到与预期一致的产品;消费者注册时提交的不真实信息,给企业的业务处理带来难度。

第二,购买的产品与交付的产品不一致,由于种种原因,卖方交付的产品与买方购买的产品不一致,使买方受到损失。

第三,也有拿货不付款、拿款不发货,或者不及时交货、不及时付款,某些网站在收到消费者的货款后不发货,或不及时发货,使消费者的利益受到侵害;某些消费者采用货到付款支付方式,却在收到货物后拒绝付款,或不及时付款,以及消费者收到货物之后的无故退货,都增加了企业营销成本。

第四,产品的售后服务得不到保证,企业所承诺的售后服务在消费者购买商品后得不到保障,致使消费者享受不到应有的服务,影响到产品的整体价值。

2.保障电子商务中诚信的主要措施

(1)尽快完善电子商务立法,规范电子商务行为。完备的法律制度是电子商务健康发展的坚实基础和必然要求。在电子商务发达的国家和地区(如美国和欧洲等)都制定了完备的法律制度来规范电子商务行为,从发达国家的法制经验来看,电子商务立法是一项长期的、复杂的法制工程,结合我国的具体国情尽快完善电子商务立法,规范电子商务行为。

(2)加强电子商务行业自律。电子商务行业自律可从以下几方而开展工作:第一,制定行业自律规章制度,规范电子商务经营者的经营行为。第二,组织学习,并开展自查自评和跟踪调查活动。第三,表彰诚信经营者,惩罚不诚信经营者。加强诚信监管也是重要的环节之一,政府应该加强诚信监管,建立一套完整的电子商务诚信监管机制、评价机制及奖罚机制。

二、电子商务中的信息安全问题与保障措施

1.电子商务中的信息安全问题

电子商务作为一种全新的商务模式,它有很大的发展前途,且随之而来的安全问题也越来越突出,如何建立一个安全、便捷的电于商务应用环境,对信息提供足够的保护,是商家和用户都十分关注的话题。目前,电子商务中存在的两大类安全问题。

(1)商务安全问题。商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题,在计算机网络安全的基础上,如何保障电子商务过程的顺利进行。商务安全问题主要表现为:第一,身份的不确定问题。由于电子商务的实现需要借助于虚拟的网络平台,在这个平台上交易双方是不需要见面的,因此带来了交易双方身份的不确定性。攻击者可以通过非法的手段盗窃合法用户的身份信息,仿冒合法用户的身份与他人进行交易,从而获得非法收入。第二,交易的抵赖问题。电子商务的交易应该同传统的交易一样具有不可抵赖性。有些用户可能对自己发出的信息进行恶意的否认,以推卸自己应承担的责任。第三,交易的修改问题。交易文件是不可修改的,否则必然会影响到另一方的商业利益。电子商务中的交易文件同样也不能修改,以保证商务交易的严肃和公正。所以在电子商务交易过程中,保证交易数据的安全是电子商务系统的关键。

(2)网络安全问题。现在随着互联网技术的发展,网络安全成了新的安全研究热点。网络安全就是如何保证网络上存储和传输的信息的安全性。目前网络安全问题主要表现在以下几方面:第一,安全协议问题。目前安全协议还没有全球性的标准和规范,相对制约了国际性的商务活动,黑客攻击是当前最大的安全隐患。第二,信息的安全问题。非法用户在网络的传输上,通过不正当手段,非法拦截会话数据获得合法用户的有效信息,最终导致合法用户的一些核心业务数据泄密;或者是非法用户对截获的网络数据进行一些恶意篡改,如增加、减少和删除等操作,从而使信息失去真实性和完整性,导致合法用户无法正常交易;还有一些非法用户利用截获的网络数据包再次发送,恶意攻击对方的网络硬件和软件。第三,防病毒问题。电脑病毒问世十几年来,各种新型病毒及其变种迅速增加,互联网的出现又为病毒的传播提供了最好的媒介,不少新病毒直接以网络作为自己的传播途径,还有众多病毒借助于网络传播得更快,动辄造成数百亿美元的经济损失。第四,服务器的安全问题。电子商务服务器是电子商务的核心,安装了大量的与电子商务有关的软件和商家信息,并且服务器上的数据库里有企业的一些敏感数据,如价格、成本等,所以服务器特别容易受到安全的威胁,并且一旦出现安全问题,造成的后果也是非常严重的。

2.保障电子商务中的信息安全的主要措施

(1)保障电子商务信息安全措施。加快网络基础设施建设,推动企业信息化进程是提高电子商务信息安全性的物质基础。其次,普及计算机网络知识和电子商务常识,提高全民族电子商务意识。再次,加快银行、税务及邮政等物流环节的信息化建设。

(2)保障网络信息安全的主要措施。随着计算机网络的飞速发展和应用,网络信息安全技术也在不断地发展。我们可以通过访问控制 、加密技术、防火墙技术、入侵检测技术、认证技术等几种措施提高电子商务中信息安全。

参考文献:

篇13

关键词：信息系统；风险；措施

网络技术日益成熟的今天，信息化管理无处不在，优化信息系统是当前企业提升管理科学水平的一个重大课题。提高信息系统的运行与维护水平，是提升企业管理活动的重中之重，关系到整个企业的生死存亡，所以加强信息系统的运行与维护有着重要的意义。

一、系统的运行维护

1.系统运行维护存在的风险

（1）网络管理制度不健全，管理不科学，日常维护不及时。没有完善网络系统安全规章制度带来的风险，导致企业信息系统出错。

（2）系统运行维护和安全措施不到位，导致信息泄露和毁损，没有规范操作流程和故障处理流程，造成人为失误与故障。

（3）缺乏科学合理的责任追究机制，由于工作态度、工作作风等各种人为因素导致的系统数据未能定期备份等等。

（4）由于市场变化、政策法规变化，硬件、软件的更新引起的变化，使系统不能正常运行。对信息不加以特别保护，使信息容易被非法修改、删除、转移和伪造。

2.系统运行维护的措施

（1）在企业中信息操作系统一定要安装防火墙、数字签名与认证、入侵检测等，采用隔离控制、访问控制、信息加密和审计跟踪，确保信息系统的安全性。

（2）当系统出现意外时对系统运行要做好记录。利用密码技术对信息进行交换，实现信息隐蔽，有效保护信息的安全不受侵犯并同时对重要数据加密。

（3）在日常管理与维护中，管理员定期对各种设备进行保养、故障的诊断、排除易耗品的更换与安装等。配备专业人员负责处理信息系统运行中的突发事件，必要时和软硬件供应商共同解决。

（4）建立和健全操作管理、系统文档管理和数据管理等各项管理制度，保护计算机硬件、软件的安全。

（5）建立定期维护软件制度，定期评估应用软件系统平台的性能、功能缺陷，对网络软件中的安全缺口及时修补、操作系统升级，及时和开发商沟通消除应用系统可能存在的安全隐患和威胁、根据需求更新或变更系统功能。

（6）定期评估系统平台的性能，制定系统故障处理应急预案，及时消除故障隐患，保障信息系统的安全、稳定、持续运行。

二、系统运行的安全管理

1.安全管理的风险

（1）硬件方面，设备缺乏保护措施和存在管理漏洞。给计算机供电不平衡，空调系统对计算机的温度、湿度等不适合。操作人员不按规定的程序使用硬件设备，故意破坏计算机硬件、致使系统运行中断或毁灭，对硬件系统造成极大的破坏。

（2）业务部门信息安全意识薄弱，信息传输线路不安全、存储保护技术有弱点及使用管理不严格等。

（3）黑客的恶意攻击行为对企业网络进行破坏与盗窃。对系统程序的缺陷或漏洞安全防护不够，不法分子利用木马、病毒、间谍软件等非法方式对企业网络进行破坏或盗用企业数据。

（4）安全技术不足，管理设备松散、员工安全意识淡薄等问题滋长病毒、蠕虫、木马等的危害，严重时有可能造成整个企业网络的瘫痪，导致系统运行不稳定甚至瘫痪。

（5）在技术上有缺陷。网络硬件、软件产品大多数都是依靠进口，这些软件大多都存在隐患，再加上人类认知能力和技术发展的有限性，都可能造成网络的安全问题。

2.安全管理的控制措施

（1）企业应当建立信息系统的管理制度，不单纯是数据，把技术资料、业务应用数据和应用软件也包括进去，来保证硬件和网络设备的安全。

（2）企业应成立专门的信息系统安全管理机构，对企业的信息安全作出总体规划和全方位严格管理，同时建立信息系统安全保密制度和泄密责任追究制度。提高企业员工安全保密意识，对重要岗位员工进行信息系统安全保密培训。

（3）企业应当按照国家相关法律法规以及信息安全技术标准，制定信息系统安全实施细则。从安全管理上，建立和完善安全管理规范和机制，切实加强和落实安全管理制度，增强安全防范意识；进行全面安全分析制定防范措施和解决方案；正确配置网络病毒软件、入侵检测系统，建立安全认证系统采用相应技术手段保证信息系统运行安全有序。

（4）结合国家政策法规，企业性质和规章制度的基础上，从安全生产方面看：分出安全级别；从资产安全的需求看：分出安全级别需求。关于计算机设备，定期进行检查。利用技术手段，对硬件配置调整、软件参数修改严加控制，防止员工擅自安装、卸载软件或者改变软件系统配置。

（5）企业应当采取安装安全软件等措施防范信息系统受到病毒等恶意软件的感染和破坏。系统管理员必须跟踪有关操作系统漏洞的，及时下载补丁进行防范，经常对关键数据和文件进行备份和妥善保存，经常观察系统文件的变化情况。关于网络应用，要综合利用防火墙、路由器等网络设备加强网络安全，严密防范来自互联网的黑客攻击和非法侵入。

篇14

关键词：信息化；控制系统；安全

中图分类号：U285.49 文献标识码：A

曾经一段时间，这两种网络是异构的，分开的，独立运行的，然而随着工业化和信息化的浪潮席卷全国，这两种网络逐渐开始互连、融合。这样一来，最大的好处就是信息资源共享，工业现场的实

时过程数据可以随时为任何一台接入公司局域网的电脑所共享，这些宝贵的实时数据可以为工厂的管理和决策提供信息支持。但同样安全风险也随之而来，原来的过程控制网络是独立隔离的，现在却通过公司办公网与外网连通了，虽然采取了防火墙等一系列安全措施但被入侵被攻击的可能性还是大大增加了，且过控网络一旦被入侵攻击，其危害更为严重，可能导致工厂所有自动化的设备停车，使整个生产陷入瘫痪，甚至造成伤亡事故，这对一个生产类企业来说，无疑是致命的。

有调查显示在电力（包括输配电、水力发电、火力发电、核电等）、供排水、石油/天然气、化学、制造业等行业都发生过针对控制系统的信息安全事故。黑客论坛上关于控制系统弱点的聊天交流也在不断增加。目前还没有一份由独立机构完成的关于控制系统所受到计算机攻击的精确统计报告，但是我们至少可以得出一个结论：与传统IT行业所暴露出来的问题一样，随着我国工业化和信息化的不断深入，控制系统的信息安全事故也呈上升趋势。

对信息化的过程控制系统如何保证它的安全可靠性呢？这是一个日益迫切的安全现实问题。个人认为这个问题需要企业多方的共同努力，解决思路大致可以分为思想管理和技术手段两个方面，二者相辅相成。

思想管理方面，首先，公司领导和安全主管部门要对过程控制系统的潜在安全风险引起足够的重视，给予相关基层单位（像仪表和自控部门）一定人力、资金和设备支持。

其次，自控部门的控制人员要加强和工艺人员的交流，熟悉工艺流程和现场环境，对控制对象的关键点和敏感点予以特别重视，制定安全可行的控制方案增强控制系统的抗入侵抗风险能力。

再次，系统控制人员要和公司IT人员要相互理解信任，通力协作，确保过程控制网络的安全。外界普遍认为过程控制和IT有着行业文化隔阂。一般来说，公司的IT部门了解信息安全相关知识并且有相应的预算资金来处理此类问题，但是IT人员不了解过程控制系统。而负责操作和维护过程控制系统的人员对信息安全的了解以及可以应用于此项目的预算资金都比IT部门要少得多。另外，技术和行业文化的不同也使两者之间存在巨大差异。但我个人认为这不是问题，在共同的安全威胁下，双方更能增进理解，相互学习，悉心协作，共同筑好企业的安全防火墙。

在技术手段方面，要从信息系统网络结构的特点出发，布置最为安全的防护策略。对大多数生产企业来说，正如图1所示一般与过程控制系统紧密相连的是一个称之为制造执行系统（Manufacturing Execution System，简称MES），像石化等有些行业称之为生产运行系统，它是一个“技术+管理”的系统。MES系统位于企业信息化建设的中间层，向上支撑ERP，向下连接过程控制层PCS，起着承上启下的作用。一般外界对控制网络的入侵都得通过MES系统，毕竟如图2所示只有MES网络与控制网络是直接相连的。

我们的生产控制网防护手段就从图2和图3所示的网络结构特点入手，步步为营；

首先，做好BUFFER机安全设计

如图3所示，BUFFER机是DCS等过程控制网络与MES网络的联接点，它的安全对生产控制网络的安全至关重要，作为Buffer Server的操作系统应从以下几方面进行的安全设计，以确保生产网的稳定。

(1)需要配备双网卡，且与控制网络连接的每个BUFFER机划分单独的VLAN；(2)安装最新的操作系统补丁程序；(3)使用NTFS文件系统；(4)BUFFER服务器在生产环境中运行不能安装成多操作系统；(5)禁用或删除不是应用必须的默认帐号，及时清除不再使用的用户帐号；(6)建立访问控制权限；(7)删除系统所有的不必要的文件共享，限制用户对共享文件的访问权限。

其次，建立专用的OPC服务器，避免从DCS 操作站读取数据，更严格禁止直接从DCS控制器提取数据；建立专用的OPC服务器可一方面减轻DCS的通讯负荷，另一方面可避免从DCS操作站或控制站读取数据所带来的安全隐患。本人所在的单位就发生过一次MES OPC服务器直接从 DCS控制器读取数据引起的DCS控制器假死的事故，所以我们要引以为鉴。

再次，如图3所示增加防火墙，建立DMZ区来保证过程控制网的安全。

在网络中，非军事区(DMZ)是指为不信任系统提供服务的孤立网段，其目的是把敏感的内部网络和其他提供访问服务的网络分开，阻止内网和外网直接通信，以保证内网安全。DMZ网络访问控制策略可参考图3所示各个网络之间的访问关系，可以确定以下六条访问控制策略：(1)内网可以访问外网。内网的用户显然需要自由地访问外网。在这一策略中，防火墙需要进行源地址转换。（2）内网可以访问DMZ。此策略是为了方便内网用户使用和管理DMZ中的服务器。（3）外网不能访问内网。很显然，内网中存放的是公司内部数据，这些数据不允许外网的用户进行访问。（4）外网可以访问DMZ。DMZ中的服务器本身就是要给外界提供服务的，所以外网必须可以访问DMZ。同时，外网访问DMZ需要由防火墙完成对外地址到服务器实际地址的转换。（5）DMZ不能访问内网。很明显，如果违背此策略，则当入侵者攻陷DMZ时，就可以进一步进攻到内网的重要数据。（6）DMZ不能访问外网。此条策略也有例外，比如DMZ中放置邮件服务器时，就需要访问外网，否则将不能正常工作。

综上所述，过程控制系统的维护人员要不断完善作业规章建设和加强自身的业务学习。控制系统安全问题要制度和技术两个方面同时着手，两手都要硬。作业规程和制度的建设可以防范人为过失事故和隐患，技术的进步和力量在成熟规章的保证下更能发挥威力。尤其在这个日新月异的信息时代，控制人员必须密切关注行业动态，不但学习新的技术和标准，与时俱进，未雨绸缪才能确保控制系统安全可靠，为企业的安全平稳生产作做好保障。

参考文献