企業(yè)信息安全評估精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的企業(yè)信息安全評估主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：企業(yè)信息安全評估范文

【關(guān)鍵詞】云計算 電力企業(yè) 信息安全 風(fēng)險評估

為提升電力企業(yè)的信息化建設(shè)和管理水平，引入云計算技術(shù)是大勢所趨。云計算以其在虛擬化、負載均衡、并行計算等方面的獨特優(yōu)勢，自2006年提出伊始便廣受關(guān)注。但基于云計算的信息安全事件屢有發(fā)生。因此必須對云計算環(huán)境下的電力企業(yè)信息安全作準(zhǔn)確評估并提出針解決措施。

1 云計算概述

云計算就是基于Internet的計算方式，其核心思想是依托互聯(lián)網(wǎng)將大量計算機組成可控資源池，然后用該資源池響應(yīng)任何計算任務(wù)。其框架見圖1所示。

顯然，云計算具有可擴展性強、服務(wù)能力彈性大等優(yōu)勢，但也存在基于互聯(lián)網(wǎng)的信息安全風(fēng)險，主要包括虛擬化環(huán)境安全風(fēng)險、數(shù)據(jù)訪問權(quán)限風(fēng)險、數(shù)據(jù)存儲與傳輸安全風(fēng)險等方面。

就電力企業(yè)來說，云計算需完成的任務(wù)包括電力營銷、用戶個人信息管理、電力數(shù)據(jù)仿真、用戶信息及智能儀表數(shù)據(jù)處理等層面，涵蓋IaaS、PaaS和SaaS三個云服務(wù)層次。

2 電力云使用中的信息安全風(fēng)險表現(xiàn)

根據(jù)云計算服務(wù)性質(zhì)的差異，可以將云計算分為公有云、私有云和混合云。當(dāng)前電力企業(yè)的云計算既涉及公有云、又包含私有云，但主要是私有云。電力私有云指電力企業(yè)為提升系統(tǒng)內(nèi)整個IT架構(gòu)而單獨構(gòu)建的云計算。與公有云相比，服務(wù)質(zhì)量與安全性得到明顯改善，但仍存在以下安全風(fēng)險：

2.1 訪問權(quán)限風(fēng)險

即由于所有的業(yè)務(wù)系統(tǒng)都部署在“云”中，若無合理的身份認(rèn)證方式，任何人都能接觸重要數(shù)據(jù)，可能帶來泄密風(fēng)險。

2.2 邊界風(fēng)險

由于云計算基于虛擬化架構(gòu)，安全邊界比較模糊，傳統(tǒng)的安全域劃分機制難以保障云計算安全需求。

2.3 數(shù)據(jù)恢復(fù)風(fēng)險

在系統(tǒng)范圍內(nèi)，所有數(shù)據(jù)和程序都部署在云計算中心，必須要有應(yīng)對災(zāi)難的數(shù)據(jù)恢復(fù)措施。

2.4 資源共享風(fēng)險

在電力云計算各種資源與服務(wù)被眾多用戶和終端安全共享的過程中，涉及數(shù)據(jù)和應(yīng)用的隔離考慮等。

3 云計算環(huán)境下的電力信息安全評估方法

3.1 信息安全風(fēng)險評估理論

信息安全風(fēng)險評估是指根據(jù)有關(guān)安全標(biāo)準(zhǔn)對信息系統(tǒng)運作各過程中信息的機密性、完整性和可用性等安全屬性進行評價。其目的是達成風(fēng)險可控。信息安全風(fēng)險評估的4個階段：

（1）評估準(zhǔn)備階段。包括明確目標(biāo)、確定范圍、初步調(diào)研等；

（2）要素識別階段。即對資產(chǎn)的威脅和脆弱性進行辨識；

（3）風(fēng)險分析階段。主要確定風(fēng)險等級；

（4）匯報驗收階段。

3.2 基于云計算環(huán)境的電力企業(yè)信息安全評估

根據(jù)以上關(guān)于信息安全評估理論，結(jié)合電力云計算的互聯(lián)網(wǎng)特性，勾畫出如圖2所示的云計算環(huán)境下電力信息安全評估流程。

（1）若被評估對象沒有使用云計算服務(wù)，那么其評估方法沿襲傳統(tǒng)的信息安全風(fēng)險評估方法，詳見文獻。

（2）若被評估對象采用了云計算，則應(yīng)依據(jù)Gartner提出的云計算安全風(fēng)險分析方法，從四個角度進行測評。

① 資產(chǎn)識別。包括資產(chǎn)分類和資產(chǎn)賦值。資產(chǎn)分類是對所有納入云計算的資產(chǎn)進行列表；資產(chǎn)賦值是分別對資產(chǎn)的機密性、完整性和可用性3個安全屬性進行打分，分值可取5/4/3/2/1（分值越高表示越重要），然后取3個屬性中最高值作為該資產(chǎn)賦值，記作Asi。

② 威脅識別。包括威脅分類和威脅賦值。對于威脅i，用ProbT{i}表示其“爆發(fā)”可能性。

③ 脆弱性識別。首先根據(jù)云計算平臺的可審查性、數(shù)據(jù)位置、數(shù)據(jù)隔離措施、數(shù)據(jù)恢復(fù)措施及長期生存性等特性識別可能引發(fā)安全事件的脆弱性；其次對特定脆弱性，用0-1變量表示存在與否，記為PV{i}。

④ 風(fēng)險評估與分析。即通過對威脅和脆弱性之間關(guān)聯(lián)性的解析，得到安全問題發(fā)生可能性L（ProbT，PV），并計算損失量（因損失與資產(chǎn)價值和安全事件可能性正相關(guān)，因此可用函數(shù)F（As，L（ProbT，PV表示），最后估測風(fēng)險值R（L，F(xiàn)）。：

4 應(yīng)對措施

在完成對電力企業(yè)信息安全評估后，就應(yīng)制定針對性措施。一般來說，有以下幾項可供參考：

（1）建立私有云“4A”統(tǒng)一安全管理平臺，強化身份管理、安全認(rèn)證、訪問權(quán)限控制及審計機制，達成訪問可溯源。

（2）建立安全事件應(yīng)急響應(yīng)機制及處理流程，完善安全審計機制。

（3）采用全同態(tài)數(shù)據(jù)加密技術(shù)，保障數(shù)據(jù)的傳輸安全。

5 結(jié)束語

通過介紹云計算架構(gòu)、電力云組建方式，明確云計算環(huán)境下電力企業(yè)信息安全所面臨的新挑戰(zhàn)。以信息安全風(fēng)險評估的相關(guān)理論為鋪墊，結(jié)合電力企業(yè)信息管理的實際，提出了基于云計算的電力信息安全評估方法。該方法具有一定前瞻性。

參考文獻

[1]張偉.電力企業(yè)云計算信息安全風(fēng)險評估探討[J].廣東科技，2013，133（20）：48-50.

[2]魏亮.云計算安全風(fēng)險及對策研究[J].郵電設(shè)計技術(shù)，2011，18（01）：26-28.

[3]佟得天，劉旭東.云計算信息安全與實踐[J].電信科學(xué)，2013，19（02）：136-139.

作者簡介

湯杰（1985-），男，湖南省常寧市人。畢業(yè)于中國石油大學(xué)（華東）計算機科學(xué)與技術(shù)專業(yè)，獲得大學(xué)本科學(xué)歷?，F(xiàn)為神華國華九江發(fā)電有限責(zé)任公司助理工程師，主要從事公司網(wǎng)絡(luò)及信息化建設(shè)、運維工作。

第2篇：企業(yè)信息安全評估范文

隨著信息化進程的發(fā)展，信息技術(shù)與網(wǎng)絡(luò)技術(shù)的高度融合，現(xiàn)代企業(yè)對信息系統(tǒng)的依賴性與信息系統(tǒng)本身的動態(tài)性、脆弱性、復(fù)雜性、高投入性之間的矛盾日趨突顯，如何有效防護信息安全成為了企業(yè)亟待解決的問題之一。目前國內(nèi)企業(yè)在信息安全方面仍側(cè)重于技術(shù)防護和基于傳統(tǒng)模式下的靜態(tài)被動管理，尚未形成與動態(tài)持續(xù)的信息安全問題相適應(yīng)的信息安全防護模式，企業(yè)信息安全管理效益低下；另一方面，資源約束性使企業(yè)更加關(guān)注信息安全防護的投入產(chǎn)出效應(yīng)，最大程度上預(yù)防信息安全風(fēng)險的同時節(jié)省企業(yè)安全建設(shè)、維護成本，需要從管理角度上更深入地整合和分配資源。

本文針對現(xiàn)階段企業(yè)信息安全出現(xiàn)的問題，結(jié)合項目管理領(lǐng)域的一般過程模型，從時間、任務(wù)、邏輯方面界定了系統(tǒng)的霍爾三維結(jié)構(gòu)，構(gòu)建了標(biāo)準(zhǔn)化的ISM結(jié)構(gòu)模型及動態(tài)運行框架，為信息網(wǎng)絡(luò)、信息系統(tǒng)、信息設(shè)備以及網(wǎng)絡(luò)用戶提供一個全方位、全過程、全面綜合的前瞻性立體防護，并從企業(yè)、政府兩個層面提出了提高整體信息安全防護水平的相關(guān)建議。

1 企業(yè)信息安全立體防護體系概述

1.1 企業(yè)信息安全立體防護體系概念

信息安全立體防護體系是指為保障企業(yè)信息的有效性、保密性、完整性、可用性和可控性，提供覆蓋到所有易被威脅攻擊的角落的全方位防護體系。該體系涵蓋了企業(yè)信息安全防護的一般步驟、具體階段及其任務(wù)范圍。

1.2 企業(yè)信息安全立體防護體系環(huán)境分析

系統(tǒng)運行離不開環(huán)境。信息產(chǎn)業(yè)其爆炸式發(fā)展的特性使企業(yè)信息安全的防護環(huán)境也相對復(fù)雜多變，同時，多樣性的防護需求要求有相適應(yīng)的環(huán)境與之配套。

企業(yè)信息安全立體防護體系的運行環(huán)境主要包括三個方面，即社會文化環(huán)境、政府政策環(huán)境、行業(yè)技術(shù)環(huán)境。社會文化環(huán)境主要指在企業(yè)信息安全方面的社會整體教育程度和文化水平、行為習(xí)慣、道德準(zhǔn)則等。政府政策環(huán)境是指國家和政府針對于企業(yè)信息安全防護出臺的一系列政策和措施。行業(yè)技術(shù)環(huán)境是指信息行業(yè)為支持信息安全防護所開發(fā)的一系列技術(shù)與相匹配的管理體制。

1.3 企業(yè)信息安全立體防護體系霍爾三維結(jié)構(gòu)

為平衡信息安全防護過程中的時間性、復(fù)雜性和主觀性，本文從時間、任務(wù)、邏輯層面建立了企業(yè)信息安全立體防護體系的三維空間結(jié)構(gòu)，如圖1所示。

時間維是指信息安全系統(tǒng)從開始設(shè)計到最終實施按時間排序的全過程，由分析建立、實施運行、監(jiān)視評審、保持改進四個基本時間階段組成，并按PDCA過程循環(huán)[5]。邏輯維是指時間維的每一個階段內(nèi)所應(yīng)該遵循的思維程序，包括信息安全風(fēng)險識別、危險性辨識、危險性評估、防范措施制定、防范措施實施五個步驟。任務(wù)維是指在企業(yè)信息安全防護的具體內(nèi)容，如網(wǎng)絡(luò)安全、系統(tǒng)安全、數(shù)據(jù)安全、應(yīng)用安全等。該霍爾三維結(jié)構(gòu)中任一階段和步驟又可進一步展開，形成分層次的樹狀體系。

2 企業(yè)信息安全立體防護體系解釋結(jié)構(gòu)模型

2.1 ISM模型簡介

ISM（Interpretation Structural Model）技術(shù)，是美國J·N·沃菲爾德教授于1973年為研究復(fù)雜社會經(jīng)濟系統(tǒng)問題而開發(fā)的結(jié)構(gòu)模型化技術(shù)。該方法通過提取問題的構(gòu)成要素，并利用矩陣等工具進行邏輯運算，明確其間的相互關(guān)系和層次結(jié)構(gòu)，使復(fù)雜系統(tǒng)轉(zhuǎn)化成多級遞階形式。

2.2 企業(yè)信息安全立體防護體系要素分析

本文根據(jù)企業(yè)信息安全的基本內(nèi)容，將立體防護體系劃分為如下15個構(gòu)成要素：

（1） 網(wǎng)絡(luò)安全：網(wǎng)絡(luò)平臺實現(xiàn)和訪問模式的安全；

（2） 系統(tǒng)安全：操作系統(tǒng)自身的安全；

（3） 數(shù)據(jù)安全：數(shù)據(jù)在存儲和應(yīng)用過程中不被非授權(quán)用戶有意破壞或無意破壞；

（4） 應(yīng)用安全：應(yīng)用接入、應(yīng)用系統(tǒng)、應(yīng)用程序的控制安全；

（5） 物理安全：物理設(shè)備不受物理損壞或損壞時能及時修復(fù)或替換；

（6） 用戶安全：用戶被正確授權(quán)，不存在越權(quán)訪問或多業(yè)務(wù)系統(tǒng)的授權(quán)矛盾；

（7） 終端安全：防病毒、補丁升級、桌面終端管理系統(tǒng)、終端邊界等的安全；

（8） 信息安全風(fēng)險管理：涉及安全風(fēng)險的評估、安全代價的評估等；

（9） 信息安全策略管理：包括安全措施的制定、實施、評估、改進；

（10） 信息安全日常管理：巡視、巡檢、監(jiān)控、日志管理等；

（11） 標(biāo)準(zhǔn)規(guī)范體系：安全技術(shù)、安全產(chǎn)品、安全措施、安全操作等規(guī)范化條例；

（12） 管理制度體系：包括配套規(guī)章制度，如培訓(xùn)制度、上崗制度；

（13） 評價考核體系：指評價指標(biāo)、安全測評；

（14） 組織保障：包括安全管理員、安全組織機構(gòu)的配備；

（15） 資金保障：指建設(shè)、運維費用的投入。

2.3 ISM模型計算

根據(jù)專家對企業(yè)信息安全立體防護體系中15個構(gòu)成要素邏輯關(guān)系的分析，可得要素關(guān)系如表1所示。

對可達矩陣進行區(qū)域劃分和級位劃分，確定各要素所處層次地位。在可達矩陣中找出各個因素的可達集R（Si），前因集A（Si）以及可達集R（Si）與前因集A（Si）的交集R（Si）∩A（Si），得到第一級的可達集與前因集（見表2）。

2.4 企業(yè)信息安全立體防護結(jié)構(gòu)

結(jié)合信息安全防護的特點，企業(yè)信息安全立體防護體系15個要素相互聯(lián)系、相互作用，有機地構(gòu)成遞階有向?qū)蛹壗Y(jié)構(gòu)模型。圖2中自下而上的箭頭表示低一層因素影響高一層因素，雙向箭頭表示同級影響。

從圖2可以看出，企業(yè)信息安全防護體系內(nèi)容為四級遞階結(jié)構(gòu)。從下往上，第一層因素從制度層面闡述了企業(yè)信息安全防護，該層的五個因素處于ISM結(jié)構(gòu)的最基層且相互獨立，構(gòu)成了企業(yè)信息安全立體防護的基礎(chǔ)。第二層因素在基于保障的前提下，確定了企業(yè)為確保信息安全進行管理活動，是進行立體防護的方法和手段；第三層因素是從物理條件、傳輸過程方面揭示了企業(yè)進行信息安全防護可控點，其中物理安全是控制基礎(chǔ)。第四層要素是企業(yè)信息安全的直接需求，作為信息的直接表現(xiàn)形式，數(shù)據(jù)是企業(yè)信息安全立體防護的核心。企業(yè)信息安全防護體系的四級遞階結(jié)構(gòu)充分體現(xiàn)了企業(yè)信息安全防護體系的整體性、層級性、交互性。

圖2 企業(yè)信息安全防護解釋結(jié)構(gòu)模型

2.5 企業(yè)信息安全立體防護過程

企業(yè)信息安全立體防護是一個多層次的動態(tài)過程，它隨著環(huán)境和信息傳遞需求變化而變化。本文在立體防護結(jié)構(gòu)模型的基礎(chǔ)上對企業(yè)信息安全防護結(jié)構(gòu)進行擴展，構(gòu)建了整體運行框架（見圖3）。

從圖3 中可以看出，企業(yè)信息安全防護過程按分析建立到體系保持改進的四個基本時間階段中有序進行，充分體現(xiàn)出時間維度上的動態(tài)性。具體步驟如下：

（1） 綜合分析現(xiàn)行的行業(yè)標(biāo)準(zhǔn)規(guī)范體系，企業(yè)內(nèi)部管理流程、人員組織結(jié)構(gòu)和企業(yè)資金實力，建立企業(yè)信息安全防護目標(biāo)，并根據(jù)需要將安全防護內(nèi)容進行等級劃分。

（2） 對防護內(nèi)容進行日常監(jiān)測（包括統(tǒng)計分析其他公司近期發(fā)生的安全事故），形成預(yù)警，進而對公司信息系統(tǒng)進行入侵監(jiān)測，判斷其是否潛在威脅。

（3） 若存在威脅，則進一步確定威脅來源，并對危險性進行評估，判斷其是否能通過現(xiàn)有措施解決。

（4） 平衡控制成本和實效性，采取防范措施，并分析其效用，最終形成內(nèi)部信息防護手冊。

3 分析及對策

3.1 企業(yè)層面

（1） 加強系統(tǒng)整體性。企業(yè)信息安全防護體系的15個構(gòu)成要素隸屬于一個共同區(qū)域，在同一系統(tǒng)大環(huán)境下運作。資源受限情況下要最大程度地保障企業(yè)信息安全，就必須遵循一切從整體目標(biāo)出發(fā)的原則，加強信息安全防護的整體布局，在對原有產(chǎn)品升級和重新部署時，應(yīng)統(tǒng)一規(guī)劃，統(tǒng)籌安排，追求整體效能和投入產(chǎn)出效應(yīng)。

（2） 明確系統(tǒng)層級性。企業(yè)信息安全防護工作效率的高低很大程度上取決于在各個防護層級上的管理。企業(yè)信息安全防護涉及技術(shù)層面防護、策略層面防護、制度層面防護，三個層面互相依存、互相作用，其中制度和保障是基礎(chǔ)，策略是支撐，技術(shù)是手段。要有效維護企業(yè)信息安全，企業(yè)就必須正確處理好體系間的縱向關(guān)系，在尋求技術(shù)支撐的同時，更要立足于管理，加強工作間的協(xié)調(diào)，避免重復(fù)投入、重復(fù)建設(shè)。

（3） 降低系統(tǒng)交互性。在企業(yè)信息安全防護體系同級之間，相關(guān)要素呈現(xiàn)出了強連接關(guān)系，這種交互式的影響，使得系統(tǒng)運行更加復(fù)雜。因此需要加快企業(yè)內(nèi)部規(guī)章制度和技術(shù)規(guī)范的建設(shè)，界定好每個工作環(huán)節(jié)的邊界，準(zhǔn)確定位風(fēng)險源，并確保信息安全策略得到恰當(dāng)?shù)睦斫夂陀行?zhí)行，防止在循環(huán)狀態(tài)下風(fēng)險的交叉影響使防范難度加大。

（4） 關(guān)注系統(tǒng)動態(tài)性。信息安全防護是一個動態(tài)循環(huán)的過程，它隨著信息技術(shù)發(fā)展而不斷發(fā)展。因此，企業(yè)在進行信息安全防護時，應(yīng)在時間維度上對信息安全有一個質(zhì)的認(rèn)識，準(zhǔn)確定位企業(yè)信息安全防護所處的工作階段，限定處理信息安全風(fēng)險的時間界限，重視不同時間段上的延續(xù)性，并運用恰當(dāng)?shù)墓ぞ叻椒▉韺︼L(fēng)險加以識別，辨別風(fēng)險可能所帶來的危險及其危害程度，做出防范措施，實現(xiàn)企業(yè)信息安全的全過程動態(tài)管理。

3.2 政府層面

企業(yè)信息安全防護不是一個孤立的系統(tǒng)，它受制于環(huán)境的變化。良好的社會文化環(huán)境有助于整體安全防護能力主動性的提高，有力的政策是推動企業(yè)信息安全防護發(fā)展的前提和條件，高效的行業(yè)技術(shù)反應(yīng)機制是信息安全防護的推動力。因此在注重企業(yè)層面的管理之外，還必須借助于政府建立一個積極的環(huán)境。

（1） 加強信息安全防護方面的文化建設(shè)。一方面，政府應(yīng)大力宣傳信息安全的重要性及相關(guān)政策，提高全民信息安全素質(zhì)，從道德層面上防止信息安全事故的發(fā)生；另一方面，政府應(yīng)督促企業(yè)加強信息安全思想教育、職能教育、技能教育、法制教育，從思想上、理論上提高和強化社會信息安全防護意識和自律意識。

（2） 高度重視信息安全及其衍生問題。政府應(yīng)加快整合和完善現(xiàn)有信息安全方面的法律、法規(guī)、行業(yè)標(biāo)準(zhǔn)，建立多元監(jiān)管模式和長效監(jiān)管機制，保證各項法律、法規(guī)和標(biāo)準(zhǔn)得到公平、公正、有效的實施，為企業(yè)信息安全創(chuàng)造有力的支持。

（3） 加大信息安全產(chǎn)業(yè)投入。政府應(yīng)高度重視技術(shù)人才的培養(yǎng)，加快信息安全產(chǎn)品核心技術(shù)的自主研發(fā)和生產(chǎn)，支持信息安全服務(wù)行業(yè)的發(fā)展。

4 結(jié) 語

本文從企業(yè)信息安全防護的實際需求出發(fā)，構(gòu)建企業(yè)信息安全防護基本模型，為企業(yè)信息安全防護工作的落實提供有效指導(dǎo)，節(jié)省企業(yè)在信息安全防護體系建設(shè)上的投入。同時針對現(xiàn)階段企業(yè)信息安全防護存在的問題從企業(yè)層面和政府層面提出相關(guān)建議。

參考文獻

[1] 中國信息安全產(chǎn)品測評認(rèn)證中心.信息安全理論與技術(shù)[M].北京：人民郵電出版社，2003.

[2] 汪應(yīng)洛.系統(tǒng)工程[M].3版.北京：高等教育出版社，2003.

[3] 齊峰.COBIT在企業(yè)信息安全管理中的應(yīng)用實踐[J].計算機應(yīng)用與軟件，2009，26（10）：282?285.

[4] 肖餛.淺議網(wǎng)絡(luò)環(huán)境下的企業(yè)信息安全管理[J].標(biāo)準(zhǔn)科學(xué)，2010（8）：20?23.

第3篇：企業(yè)信息安全評估范文

科技是一把雙刃劍，科技發(fā)展帶來的不全是益處，也會有各種各樣的麻煩。大數(shù)據(jù)技術(shù)在提升對數(shù)據(jù)洞察力的同時，也同樣提升了破壞信息安全的能力。

首先，數(shù)據(jù)價值提升推高了數(shù)據(jù)保有成本。隨著信息化程度的不斷提升，數(shù)據(jù)價值也在大幅提升，企業(yè)的經(jīng)營行為被越來越多地數(shù)字化，財務(wù)信息、人事信息、知識產(chǎn)權(quán)等這些企業(yè)最重要的信息都在被匯聚成為企業(yè)信息大數(shù)據(jù)，若這些數(shù)據(jù)被泄漏，再基于此類數(shù)據(jù)開展大數(shù)據(jù)分析，企業(yè)信息將毫無秘密可言。因此，數(shù)據(jù)價值的提升必然要推高信息安全方面的投入，來確保企業(yè)信息的安全。

其次，黑客破壞信息安全的能力在增強。數(shù)據(jù)的大量匯集，使得黑客成功攻擊的收益在增加，“激勵”了黑客的網(wǎng)絡(luò)攻擊行為。大數(shù)據(jù)技術(shù)本身也在成為黑客攻擊的有力武器，黑客通過大數(shù)據(jù)分析，可以得到更多的有用信息，制定更加有效的攻擊策略，改進傳統(tǒng)攻擊手段，提高了信息安全防護成本。尤其是進入“云時代”后，數(shù)據(jù)在云端，云安全就更加重要，而遺憾的是，近幾年，一些大型云平臺數(shù)據(jù)泄漏事件更加劇了人們對于信息安全的擔(dān)心。

最后，信息安全意識尚需提高。外在信息安全并不是企業(yè)面臨的唯一危險，企業(yè)內(nèi)部安全意識不強同樣威脅巨大。員工由于安全意識單薄，或者企業(yè)內(nèi)部信息安全體系不夠完善導(dǎo)致信息泄漏的情況也在不斷增加。據(jù)一項有關(guān)企業(yè)信息安全的調(diào)查結(jié)果發(fā)現(xiàn)，有近四成的受訪者認(rèn)為造成企業(yè)信息安全風(fēng)險加劇的很大部分原因在于缺乏信息安全保護意識。盡管外部攻擊和內(nèi)部數(shù)據(jù)泄露的安全事故數(shù)量在增加，但多數(shù)企業(yè)并未給予足夠重視。

因此，大數(shù)據(jù)時代信息價值在增加，企業(yè)信息安全的形勢在惡化，而由此帶來的損失將成倍放大。

對于我國企業(yè)信息安全體系建設(shè)而言，需要做到以下幾點。做好安全評估，企業(yè)在構(gòu)建信息安全體系之初，要先對企業(yè)自身信息安全體系進行梳理，摸清企業(yè)信息安全的薄弱環(huán)節(jié)，做好安全風(fēng)險的評估，通過評估制定出合理完善的整體防護安全策略。建立標(biāo)準(zhǔn)體系，我國一直重視信息安全體系的標(biāo)準(zhǔn)工作，也推出了一系列相關(guān)政策和標(biāo)準(zhǔn)，企業(yè)可以參照相關(guān)標(biāo)準(zhǔn)，建立完整的信息安全管理制度，使企業(yè)有章可依。同時，在日常工作中要明確各風(fēng)險點的負責(zé)人，責(zé)任劃分明確。

第4篇：企業(yè)信息安全評估范文

當(dāng)今是一個網(wǎng)絡(luò)時代，也是一個科技化快速高速發(fā)展的時代。特別是對于電子科技企業(yè)來說，信息就成為了一個企業(yè)成敗的關(guān)鍵。只有通過有效信息的掌握，才能讓企業(yè)未來的道路越走越好。隨著這樣的趨勢，企業(yè)信息化的進程也在不斷的發(fā)展，信息不僅是在一定程度上掌握了企業(yè)未來的命運，同時對于企業(yè)管理水平的提高也起到了非常重要的作用。有一些企業(yè)的商務(wù)活動基本上都是通過電子商務(wù)的形式來完成的，還有一些生產(chǎn)運作、運輸以及管理都離不開信息化的建設(shè)。還有一些電子科技企業(yè)為了企業(yè)未來的發(fā)展，要進行企業(yè)形象的宣傳，產(chǎn)品以及服務(wù)信息很大程度上都要依賴于信息化的建設(shè)。如今，信息化的時代已經(jīng)到來，信息化的建設(shè)對于電子科技企業(yè)來說具有至關(guān)重要的作用，因此電子科技企業(yè)應(yīng)該加快信息化建設(shè)的步伐，這樣才能促進電子科技企業(yè)進一步的發(fā)展。

2電子科技企業(yè)安全技術(shù)的闡述

2.1電子信息的加密技術(shù)

所謂電子信息的加密技術(shù)也就是對于所傳送的電子信息能夠起到一定的保密作用，也能夠使信息、數(shù)據(jù)的傳遞變得更加安全和完整。電子信息的加密技術(shù)是保障電子科技企業(yè)信息安全的重要保證。加密技術(shù)也主要分為對稱以及非對稱兩類，對稱的加密技術(shù)一般都是通過序列密碼或是分組機密的方式來實現(xiàn)的。這其中還包括了明文、密鑰、加密算法以及解密算法五個基本的組成部分。而非對稱加密與對稱加密也存在一定的差異，非對稱加密必須要具備公開密鑰和私有密鑰兩個密鑰，同時，這兩種密鑰只有配對使用，這樣才能解密。因此加密技術(shù)對于電子信息的安全具有很大的保障。如果在發(fā)送電子信息的時候，發(fā)送人是使用加密技術(shù)來發(fā)送郵件的，那么有人竊取信息的時候，也只能夠得到密文，不能得到具體的信息。這樣就大大加強了信息傳送的安全性。加快推進國內(nèi)關(guān)鍵行業(yè)領(lǐng)域信息系統(tǒng)的安全評估測試。在安全評估方面，主要針對主機安全保密檢查與信息監(jiān)管，采取文件內(nèi)容檢索、惡意代碼檢查、數(shù)據(jù)恢復(fù)技術(shù)、網(wǎng)絡(luò)漏洞掃描、互聯(lián)網(wǎng)網(wǎng)站檢測、語意分析等技術(shù)，評估分析重要信息是否發(fā)生泄漏，并找出泄漏的原因和渠道。

2.2防火墻技術(shù)

隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，雖然對于信息安全問題已經(jīng)不斷的得到加強，但是一些信息的不安全因素也在逐級的提高。有一些黑客或者是病毒木馬也在不斷的入侵，而這些不安全的因素會極大的威脅到電子科技企業(yè)信息的安全。而針對這種情況，一種比較有效的防護措施就是防火墻技術(shù)的使用。這種技術(shù)可以有效的防止黑客的入侵以及電腦中的信息被篡改等情況的發(fā)生。這樣就能夠有效的保障電子科技企業(yè)信息的安全。加強企業(yè)信息基礎(chǔ)設(shè)施和重要信息系統(tǒng)建設(shè)，建設(shè)面向企業(yè)的信息安全專業(yè)服務(wù)平臺。重點開展等級保護設(shè)計咨詢、風(fēng)險評估、安全咨詢、安全測評、快速預(yù)警響應(yīng)、第三方資源共享的容災(zāi)備份、標(biāo)準(zhǔn)驗證等服務(wù)；建設(shè)企業(yè)信息安全數(shù)據(jù)庫，為廣大企業(yè)提供快速、高效的信息安全咨詢、預(yù)警、應(yīng)急處理等服務(wù)，實現(xiàn)企業(yè)信息安全公共資源的共享共用，提高信息安全保障能力。

3解決電子科技企業(yè)信息安全問題的方法

3.1構(gòu)建電子科技企業(yè)信息安全的管理體系

如果要想有效的保障電子科技企業(yè)的信息安全，除了要不斷的提高安全技術(shù)水平，還要建立起一套比較完善的信息安全管理體系。這樣才能使整個信息安全工作更加有條不紊的進行。在很多電子科技企業(yè)當(dāng)中，最初所建立的相關(guān)信息制度在很大程度上都制約著信息系統(tǒng)的安全性。如果一旦安全管理制度出現(xiàn)了問題，那么一系列的安全技術(shù)都無法發(fā)揮出來。很多信息安全工作也無法正常進行下去。因此，嚴(yán)格的信息安全管理體系對于信息安全的保障具有十分重要的作用。只有當(dāng)信息安全管理形成了一個完善的體系，那么信息安全工作才能夠更加順利的進行，同時也能夠大大的提升信息安全的系數(shù)。

3.2利用電子科技企業(yè)自身的網(wǎng)絡(luò)條件來提供

信息安全服務(wù)一般來說，電子科技企業(yè)都擁有自己的局域網(wǎng)，很多企業(yè)也可以通過局域網(wǎng)來相互連通。因此，電子科技企業(yè)應(yīng)該充分的利用這一特點為自身的企業(yè)提供良好地信息安全服務(wù)。通過局域網(wǎng)的連通，不僅能夠在這個平臺上及時的公布一些安全公告以及安全法規(guī)，同時還可以進行一些安全軟件的下載，為員工提供一些關(guān)于信息安全的培訓(xùn)。這樣不僅能夠為企業(yè)之間的員工提供一個安全的互相交流的平臺，同時還能夠很好的保障企業(yè)信息安全。針對企業(yè)主機安全保密檢查與信息監(jiān)管，采取文件內(nèi)容檢索、惡意代碼檢查、數(shù)據(jù)恢復(fù)技術(shù)、網(wǎng)絡(luò)漏洞掃描、互聯(lián)網(wǎng)網(wǎng)站檢測、語意分析等技術(shù)，評估分析重要信息是否發(fā)生泄漏，并找出泄漏的原因和渠道。

3.3定期對信息安全防護軟件進行及時的更新

第5篇：企業(yè)信息安全評估范文

關(guān)鍵詞：企業(yè)信息安全；信息安全體系；IT技術(shù)

中圖分類號：F840文獻標(biāo)識碼：A文章編號：1009-2374（2009）05-0072-02

當(dāng)前IT已成為企業(yè)業(yè)務(wù)發(fā)展和管理不可或缺的組成部分，其作用和影響力已從單一的業(yè)務(wù)部門擴散到企業(yè)與組織的每一個領(lǐng)域。在IT系統(tǒng)給企業(yè)帶來活力、利潤和競爭力的同時，也給企業(yè)增加了風(fēng)險。因此如何充分利用IT系統(tǒng)獲得企業(yè)價值的最大化，并且最大限度地降低利用IT技術(shù)而帶來的風(fēng)險，成為每個企業(yè)都必須要真接面對的問題。本文從企業(yè)信息安全的需求為出發(fā)點，構(gòu)建以管理、技術(shù)和人員三者有機結(jié)合的立體的企業(yè)信息安全管理體系，最終實現(xiàn)企業(yè)安全建設(shè)的最終目標(biāo)。

一、信息安全管理體系

從企業(yè)的內(nèi)部分析，搭建一套完整的安全架構(gòu)首先要做的就是根據(jù)企業(yè)能夠承受的風(fēng)險水平編寫企業(yè)安全規(guī)范。編寫企業(yè)的安全規(guī)范首先要遵循BS 7799-2信息安全管理體系的標(biāo)準(zhǔn)，標(biāo)準(zhǔn)要求組織通過確定信息安全管理體系范圍、制定信息安全方針、明確管理職責(zé)、以風(fēng)險評估為基礎(chǔ)選擇控制目標(biāo)與控制方式等活動建立信息安全管理體系；體系一旦建立組織應(yīng)按體系規(guī)定的要求進行運作，保持體系運作的有效性；信息安全管理體系應(yīng)形成一定的文件，即組織應(yīng)建立并保持一個文件化的信息安全管理體系，其中應(yīng)闡述被保護的資產(chǎn)、組織風(fēng)險管理的方法、控制目標(biāo)及控制方式和需要的保證程度。

BS 7799-2：2002所采用的過程模式如：“計劃－實施－檢查－措施”四個步驟，可簡單描述如下：

計劃：依照組織整個方針和目標(biāo)，建立與控制風(fēng)險、提高信息安全有關(guān)的安全方針、目標(biāo)、指標(biāo)、過程和程序。

實施：實施和運作方針（過程和程序）。

檢查：依據(jù)方針、目標(biāo)和實際經(jīng)驗測量，評估過程業(yè)績，并向決策者報告結(jié)果。

措施：采取糾正和預(yù)防措施進一步提高過程業(yè)績。

以上四個步驟成為一個閉環(huán)，通過這個環(huán)的不斷運轉(zhuǎn)，使信息安全管理體系得到持續(xù)改進，使信息安全績效（Performance）螺旋上升。

二、企業(yè)信息安全體系架構(gòu)

根據(jù)BS 7799-2信息安全管理體系的標(biāo)準(zhǔn)，不同的企業(yè)對信息的安全需求不同，因此每個企業(yè)都要制定切實可行的信息安全架構(gòu)，不是照搬照抄其他企業(yè)的模式，或是把各種安全產(chǎn)品進行堆砌，說到底企業(yè)的信息安全問題不只是技術(shù)上的問題，它是一個極其復(fù)雜的系統(tǒng)工程。要實施一個完整信息安全管理體系，至少應(yīng)包括三類措施：一是社會的法律政策、企業(yè)的規(guī)章制度以及信息安全教育等外部軟環(huán)境；二是信息安全的技術(shù)措施，如防火墻技術(shù)、網(wǎng)絡(luò)防毒、信息加密存儲通信、身份認(rèn)證、授權(quán)等；三是審計和管理措施，該方面措施同時包含了技術(shù)與社會措施。這些措施應(yīng)該均衡考慮企業(yè)在保密性（C）、完整性（I）和可用性（A）三方面的安全需求，并且從應(yīng)用安全、數(shù)據(jù)安全、主機安全、網(wǎng)絡(luò)安全、桌面安全和物理安全等六大安全領(lǐng)域全面系統(tǒng)地實現(xiàn)企業(yè)的這些安全需求，從而構(gòu)建安全技術(shù)、管理和人員三個方面有機結(jié)合的企業(yè)信息安全保障體系如圖1所示：

該模型是一種從企業(yè)信息安全的需求（保密性、完整性、可用性）為出發(fā)點，以應(yīng)用安全、數(shù)據(jù)安全、主機安全、網(wǎng)絡(luò)安全、桌面安全、物理安全為關(guān)注重點，層層剖析全面深入地挖掘企業(yè)的信息安全需求，構(gòu)建以管理、技術(shù)和人員三者有機結(jié)合的立體的企業(yè)信息安全保障體系。

這種企業(yè)信息安全管理架構(gòu)的規(guī)劃融合了管理和技術(shù)為核心的全面分析方法，以安全需求為焦點，從管理現(xiàn)狀、技術(shù)現(xiàn)狀和人員狀況三個維度，綜合采用調(diào)查問卷、人員訪談、現(xiàn)場察看、資料分析、技術(shù)檢測等多種手段，全面深入地挖掘需求。在明確需求的前提下，還要借鑒同類企業(yè)成功經(jīng)驗，再規(guī)劃出符合企業(yè)實情的信息安全保障體系。

當(dāng)然該安全體系架構(gòu)的具體實施還要綜合考慮如下問題：成長型企業(yè)一方面要節(jié)約成本，一方面要把安全風(fēng)險降到最低。從這兩個出發(fā)點出發(fā)才能夠建立適合成長型企業(yè)的信息安全體系；計劃階段要評估自己的信息資產(chǎn)，自己的信息資產(chǎn)的價值有多大，現(xiàn)有的安全手段是什么，根據(jù)評估結(jié)果確立安全戰(zhàn)略；開始建立和實施自己的信息安全體系，擬定自己的戰(zhàn)略流程；對員工和合作伙伴的培訓(xùn)，建立信息監(jiān)測和安全的手段。

三、實施信息安全架構(gòu)的常規(guī)操作

在保證物理安全、桌面安全、網(wǎng)絡(luò)安全、主機安全的基礎(chǔ)上，信息安全架構(gòu)的常規(guī)操作包括數(shù)據(jù)層保護、應(yīng)用程序?qū)颖Ｗo、事件應(yīng)對檢查和安全操作。

數(shù)據(jù)層保護包括用EFS對文件進行加密；用訪問控制列表限制數(shù)據(jù)；從默認(rèn)位置移動文件；創(chuàng)建數(shù)據(jù)備份和恢復(fù)；用Windows Rights Management Services保護文檔和電子文件等等。

應(yīng)用程序?qū)颖Ｗo包括只啟動必需的服務(wù)和功能；配置應(yīng)用程序安全設(shè)置；安裝應(yīng)用程序的安全更新程序；安裝和更新防病毒軟件；以最低權(quán)限運行應(yīng)用程序等等。

事件應(yīng)對檢查包括確定正在遭受攻擊；確定攻擊類型；發(fā)出有關(guān)攻擊通知；遏制攻擊；采取預(yù)防性措施；將攻擊情況記錄存檔等等。

安全最佳做法包括深層防御；設(shè)計時考慮安全；最低權(quán)限；從過去的錯誤中學(xué)習(xí)；維持安全級別；加強用戶的安全意識；開發(fā)和測試事件應(yīng)對計劃和過程等等。

四、結(jié)論

綜上所述，企業(yè)要做到以信息為中心的安全，必須做到管理層面、組織層面和操作層面的有機結(jié)合，這樣才能建立有效的安全體系，從而實現(xiàn)企業(yè)安全建設(shè)的最終目標(biāo)。

參考文獻

[1]梁永生．電子商務(wù)安全技術(shù)[M]．大連理工大學(xué)出版社，2008，（4）．

[2]Mark Rhodes-Ousley，等．網(wǎng)絡(luò)安全完全手冊[M]．北京：電子工業(yè)出版社，2005，（10）．

[3]卿斯?jié)h．密碼學(xué)與計算機網(wǎng)絡(luò)安全[M]．北京：清華大學(xué)出版社，2001．

第6篇：企業(yè)信息安全評估范文

    解決信息系統(tǒng)安全要有以下幾點認(rèn)識:要解決信息系統(tǒng)要有統(tǒng)籌全局的觀念。解決信息系統(tǒng)的安全問題要樹立系統(tǒng)觀念,不能光靠一個面。從系統(tǒng)的角度分析信息系統(tǒng)是由用戶和計算機系統(tǒng)兩者組成,這包括人和技術(shù)兩點因素。使用和維護計算機安全信息系統(tǒng)可以根據(jù)信息系統(tǒng)具有動態(tài)性和變化性等特點進行調(diào)整。信息系統(tǒng)是一項長期屬于相對安全的工作,必須制訂長銷機制,絕不能以逸待勞。企業(yè)信息系統(tǒng)安全可以采取的策略是采用一套先進、科學(xué)及適用的安全技術(shù)系統(tǒng),在對系統(tǒng)進行監(jiān)控和防護,及時適當(dāng)?shù)姆治鲂畔⑾到y(tǒng)的安全因素,使這套系統(tǒng)具有靈敏性和迅速性等響應(yīng)機制,配合智能型動態(tài)調(diào)整功能體系。需要緊記的是系統(tǒng)安全來自于風(fēng)險評估、安全策略、自我防御、實時監(jiān)測、恢復(fù)數(shù)據(jù)、動態(tài)調(diào)整七個方面。其中,通過風(fēng)險評估可以找出影響信息系統(tǒng)安全存在的技術(shù)和管理等因素產(chǎn)生的問題。在經(jīng)過分析對即將產(chǎn)生問題的信息系統(tǒng)進行報告。

    安全策略體現(xiàn)著系統(tǒng)安全的總體規(guī)劃指導(dǎo)具體措施的進行。是保障整個安全體系運行的核心。防御體系根據(jù)系統(tǒng)中出現(xiàn)的問題采用相關(guān)的技術(shù)防護措施,解決各種安全威脅和安全漏洞是保障安全體系的重心。并且通過監(jiān)測系統(tǒng)實時檢測運行各種情況。在安全防護機制下及時發(fā)現(xiàn)并且制止各種對系統(tǒng)攻擊的可能性,假設(shè)安全防護機制失效必須進行應(yīng)急處理,立刻實現(xiàn)數(shù)據(jù)恢復(fù)。盡量縮小計算機系統(tǒng)被攻擊破壞的程度?？梢圆扇∽灾鱾浞?數(shù)據(jù)恢復(fù),確保恢復(fù),快速恢復(fù)等手段。并且分析和審理安全數(shù)據(jù),適時跟蹤,排查系統(tǒng)有可能出現(xiàn)的違歸行為,檢查企業(yè)信息系統(tǒng)的安全保障體系是否超出違反規(guī)定。

    通過改善系統(tǒng)性能引入一套先進的動態(tài)調(diào)整智能反饋機制,可以促進系統(tǒng)自動產(chǎn)生安全保護,取得良好的安全防護效果?？梢詫σ慌_安全體系模型進行分析,在管理方面,對安全策略和風(fēng)險評估進行測評,在技術(shù)層面,實時監(jiān)測和數(shù)據(jù)恢復(fù)形成一套防御體系。在制度方面,結(jié)合安全跟蹤進行系統(tǒng)排查工作。系統(tǒng)還應(yīng)具備一套完整的完整的動態(tài)自主調(diào)整的反饋機制,促進該體系模型更好的與系統(tǒng)動態(tài)性能結(jié)合。

    信息安全管理在風(fēng)險評估和安全策略中均有體現(xiàn),將這些管理因素應(yīng)用與安全保障體系保護信息安全系統(tǒng)十分重要。企業(yè)必須設(shè)立專門的信息系統(tǒng)安全管理部門,保障企業(yè)信息系統(tǒng)的安全。由企業(yè)主要領(lǐng)導(dǎo)帶頭,組織信息安全領(lǐng)導(dǎo)小組,專門負責(zé)企業(yè)的信息安全實行總體規(guī)劃及管理。在設(shè)立信息主管部門實施具體的管理步驟。企業(yè)應(yīng)該制訂關(guān)于保證信息系統(tǒng)安全管理的標(biāo)準(zhǔn)。標(biāo)準(zhǔn)中應(yīng)該明確規(guī)定信息系統(tǒng)中各類用戶的職責(zé)和權(quán)限、必須嚴(yán)格遵守操作系統(tǒng)過程中的規(guī)范、信息安全事件的報告和處理流程、對保密信息進行嚴(yán)格存儲、系統(tǒng)的帳號及密碼管理、數(shù)據(jù)庫中信息管理、中心機房設(shè)備維護、檢查與評估信息安全工作等等信息安全的相關(guān)標(biāo)準(zhǔn)。而且在實際運用過程中不斷地總結(jié)及完善信息系統(tǒng)安全管理的標(biāo)準(zhǔn)。

    相關(guān)部門應(yīng)該積極開展信息風(fēng)險評估工作。通過維護信息網(wǎng)的網(wǎng)絡(luò)基礎(chǔ)設(shè)施有拓撲、網(wǎng)絡(luò)設(shè)備和安全設(shè)備,對系統(tǒng)安全定期的進行評估工作,主動發(fā)現(xiàn)系統(tǒng)存在的安全問題。主要針對企業(yè)支撐的信息網(wǎng)和應(yīng)用IT系統(tǒng)資產(chǎn)進行全方位檢查,對管理存在的弱點進行技術(shù)識別。對于企業(yè)的信息安全現(xiàn)狀進行全面的評估,可以制作一張風(fēng)險視圖表現(xiàn)企業(yè)全面存在的問題。為安全建設(shè)提供指導(dǎo)方向和參考價值。為企業(yè)信息安全建設(shè)打下堅實的基礎(chǔ)。

    最后,加強信息系統(tǒng)的運行管理?？梢酝ㄟ^以下措施進行:規(guī)范系統(tǒng)電子臺帳、設(shè)備的軟件及硬件配置管理、建立完善的設(shè)備以及相關(guān)的技術(shù)文檔。系統(tǒng)日常各項工作進行閉環(huán)管理,系統(tǒng)安裝、設(shè)備運營管理等。還要對用戶工作進行規(guī)范管理,分配足夠的資源和應(yīng)用權(quán)限。防御體系、實時檢測和數(shù)據(jù)恢復(fù)三方面都體現(xiàn)了技術(shù)因素,信息安全管理系統(tǒng)技術(shù)應(yīng)用于安全保障體系中。在建設(shè)和維護信息安全保障體系過程中,需要多方面,多角度的進行綜合考慮。采用分步實施,逐步實現(xiàn)的手法。在信息安全方面采取必要的技術(shù)手段,加強系統(tǒng)采取冗余的配置,提高系統(tǒng)的安全性。

    對中心數(shù)據(jù)庫系統(tǒng)、核心交換機、數(shù)據(jù)中心的存儲系統(tǒng)、關(guān)鍵應(yīng)用系統(tǒng)服務(wù)器等。為了避免重要系統(tǒng)的單點故障可以采取雙機甚至群集的配置。另外,加強對網(wǎng)絡(luò)系統(tǒng)的管理。企業(yè)信息系統(tǒng)安全的核心內(nèi)容之一是網(wǎng)絡(luò)系統(tǒng)。同樣也是影響系統(tǒng)安全因素最多的環(huán)節(jié)。網(wǎng)絡(luò)系統(tǒng)的不安全給系統(tǒng)安全帶來風(fēng)險。接下來重點談網(wǎng)絡(luò)安全方面需要采取的技術(shù)手段。網(wǎng)絡(luò)安全的最基礎(chǔ)工作,是加強網(wǎng)絡(luò)的接入管理。

    與公用網(wǎng)絡(luò)系統(tǒng)存在區(qū)別的是,企業(yè)在網(wǎng)絡(luò)系統(tǒng)中有專門的網(wǎng)絡(luò),系統(tǒng)只準(zhǔn)許規(guī)定的用戶接入,因此必須實現(xiàn)管理接入。在實際操作過程中,可以采取邊緣認(rèn)證的方式。筆者在實際工作經(jīng)驗總結(jié)出公司的網(wǎng)絡(luò)系統(tǒng)是通過對網(wǎng)絡(luò)系統(tǒng)進行改造實現(xiàn)支持802.1X或MAC地址兩種安全認(rèn)證的方式。不斷實現(xiàn)企業(yè)內(nèi)網(wǎng)絡(luò)系統(tǒng)的安全接入管理。網(wǎng)絡(luò)端口接入網(wǎng)絡(luò)系統(tǒng)時所有的工作站設(shè)備必須經(jīng)過安全認(rèn)證,從而保證只有登記的、授權(quán)記錄在冊的設(shè)備才能介入企業(yè)的網(wǎng)絡(luò)系統(tǒng),從而保證系統(tǒng)安全。根據(jù)物理分布可以利用VLAN技術(shù)及使用情況劃分系統(tǒng)子網(wǎng)。這樣的劃分有以下益處:首先,隔離了網(wǎng)絡(luò)廣播流量,整個系統(tǒng)避免被人為或者系統(tǒng)故障引起的網(wǎng)絡(luò)風(fēng)暴。其次是提高系統(tǒng)的管理性。通過劃分子網(wǎng)可以實現(xiàn)對不同子網(wǎng)采取不同安全策略,可以將故障縮小到最低范圍。根據(jù)一些應(yīng)用的需要實現(xiàn)某些應(yīng)用系統(tǒng)中的相對隔離。

第7篇：企業(yè)信息安全評估范文

關(guān)鍵詞：企業(yè)管理　企業(yè)信息管理　安全措施

全球經(jīng)濟一體化趨勢的不斷增強，使得企業(yè)之間的競爭日益激烈，企業(yè)之間的空間也越來越小，在這種競爭形勢下，企業(yè)的經(jīng)營方式和管理方式也隨之發(fā)生了變化。同時，我們也應(yīng)當(dāng)意識到，這種個變革促進了企業(yè)的信息化管理的進程，同時也使得企業(yè)與外部信息網(wǎng)絡(luò)的溝通方式得到了拓寬，企業(yè)內(nèi)部的人與人、人與物的溝通方式也得到了優(yōu)化，與此同時，企業(yè)信息管理的安全問題也逐漸受到了越來越多的重視。

一、企業(yè)信息管理

企業(yè)信息管理指的就是通過現(xiàn)代化的信息技術(shù)和設(shè)備，以網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)設(shè)備實現(xiàn)企業(yè)管理的自動化，進而對企業(yè)進行全方位和多角度的管理，以此來促進企業(yè)物流和能源流的優(yōu)化配置，進而通過企業(yè)資源的開發(fā)和信息技術(shù)的有效利用來提高企業(yè)的管理水平，增強企業(yè)的核心競爭力。企業(yè)信息管理的主要內(nèi)容，一般包括企業(yè)未來的經(jīng)濟形勢分析、預(yù)測資料、資源的可獲量、市場和競爭對手的發(fā)展動向，以及政府政策與政治情況的環(huán)境變化等等。企業(yè)信息管理與制訂企業(yè)發(fā)展戰(zhàn)略、制訂規(guī)劃、合理地分配資源是密切相關(guān)的。同時，企業(yè)的信息管理也應(yīng)當(dāng)包括企業(yè)內(nèi)部的信息資源，如財務(wù)管理信息、庫存、產(chǎn)品設(shè)計、職工檔案管理等多方面的內(nèi)容，并且促進企業(yè)的全面發(fā)展。

二、企業(yè)信息安全管理的必要性

企業(yè)信息的存在方式有著多樣性，而進行企業(yè)安全信息管理的主要目的，在于保護企業(yè)的信息安全，保證企業(yè)能夠順利的參與到市場經(jīng)濟活動中，進而提高企業(yè)的經(jīng)濟效益和社會效益。企業(yè)信息安全管理主要有三個特點：

1.保密性

企業(yè)安全信息只有被授權(quán)的人才能夠進行訪問，具有較強的保密性。

2.完整性

信息本身和信息處理方法具有一定的準(zhǔn)確性和完整性，才能夠確保企業(yè)信息管理的有效性。

3.可用性

企業(yè)安全信息具有一定的可用性，需要時可以通過授權(quán)用戶實現(xiàn)對信息的訪問。企業(yè)的安全信息管理能夠通過有效的控制措施來實現(xiàn)，前提是充分認(rèn)識到企業(yè)信息安全管理的必要性。第一，企業(yè)管理的信息具有很強的保密性和完整性的特點，因此其對于企業(yè)的資金流動、企業(yè)的綜合競爭力等多方面都有著重要的影響，同時對于企業(yè)的商業(yè)形象與合法經(jīng)營也至關(guān)重要，因此加強企業(yè)信息安全管理是必要的。第二，由于網(wǎng)絡(luò)自身所具有的開放性特性，決定了企業(yè)信息管理也面臨著來自各方面的安全威脅，比如計算機病毒、黑客等，以及計算機詐騙、泄密等問題，也說明了加強企業(yè)信息安全管理勢在必行。第三，企業(yè)對于信息系統(tǒng)產(chǎn)生的依賴也從另一方面暴露出了信息管理系統(tǒng)的脆弱，公共網(wǎng)絡(luò)與私人網(wǎng)絡(luò)的連接增強了信息的控制難度，使得信息在分散化的管理模式下，集中、專業(yè)控制的有效性大大的減弱。另外，由于很多信息管理系統(tǒng)設(shè)計的缺陷，其自身就存在著不合理之處，這對于信息安全管理也帶來了一定的難度?；诖?，對于企業(yè)信息管理的安全性也成為了當(dāng)前企業(yè)管理面臨的一個重大課題。

三、企業(yè)信息管理的安全防范措施

1.不斷完善的信息管理系統(tǒng)

信息管理系統(tǒng)的投入和使用，是建立在充分的實踐經(jīng)驗的基礎(chǔ)上，通過一段時間的運行和觀察，才能夠投入使用。在不同的部門進行信息系統(tǒng)的引入時，應(yīng)當(dāng)按照部門的實際情況，通過多方引進，使用統(tǒng)一的信息管理系統(tǒng)。對于信息安全來說，首先要解決的就是系統(tǒng)是否能夠通過安全驗證對用戶進行有效的管理，并且賦予不同等級的用戶不同的使用權(quán)限，這樣則能夠有效的防止無權(quán)訪問信息的用戶對核心區(qū)域的訪問，保證信息不會被盜用。

2.有效的設(shè)備管理

對于管理系統(tǒng)中使用的設(shè)備品牌、機型、內(nèi)部配置以及使用時間等信息都要進行專門的記錄，通過這些記錄，定期對設(shè)備進行維護，同時也能夠通過這些信息判斷出信息的使用效率以及運行情況，對于設(shè)備的損壞或者是丟失情況都能夠及時的了解。

3.加強對人員的監(jiān)督與管理

人是設(shè)備的主要操作者，因此對于信息的安全管理，就需要加強對人的管理，這就需要操作人員具有足夠的安全意識，對于每一位操作人員都應(yīng)當(dāng)進行相關(guān)的培訓(xùn)，對于唯一的用戶名和密碼等信息要進行妥善額保管，同時讓操作人員了解到泄密會導(dǎo)致的嚴(yán)重后果，增強責(zé)任意識。同時，要加強對各種票據(jù)的管理，對于票據(jù)的領(lǐng)用，相關(guān)人員要做好登記，同時要保留相吻合的票據(jù)號碼，用來存檔。通過不斷的加強過程管理，通過對每個細節(jié)的嚴(yán)密審查，能夠有效的減少渾水摸魚的現(xiàn)象，同時通過科學(xué)的評價機制和激勵機制，刺激人員工作的積極性，加強自身的責(zé)任意識。

4.多方研發(fā)和推廣網(wǎng)絡(luò)信息處理系統(tǒng)

網(wǎng)絡(luò)信息處理系統(tǒng)是在網(wǎng)絡(luò)計算技術(shù)的基礎(chǔ)上， 結(jié)合實現(xiàn)電子商務(wù)管理為方向。在可以提供互聯(lián)網(wǎng)環(huán)境下的管理方式、信息處理模式和別的各種功能的信息處理系統(tǒng)。網(wǎng)絡(luò)管理作為INTERNET與電子商務(wù)環(huán)境下信息處理系統(tǒng)的主流發(fā)展方向。跟傳統(tǒng)信息處理系統(tǒng)相比， 網(wǎng)絡(luò)系統(tǒng)還要有著各類輔助作用。

四、結(jié)束語

在現(xiàn)代市場經(jīng)濟條件下，企業(yè)能夠?qū)π畔嵤┯行У陌踩芾?，對于企業(yè)的綜合競爭力，有著重要的影響。而企業(yè)信息管理的安全性，主要與企業(yè)的信息安全管理體制是否完善、是否具有與企業(yè)文化相符合的信息安全管理辦法以及科學(xué)的評估方法等因素有著直接的關(guān)系，因此，企業(yè)應(yīng)當(dāng)不斷的加強對信息的安全管理，不斷提高企業(yè)的管理效率，以此促進企業(yè)實現(xiàn)持續(xù)、穩(wěn)定的發(fā)展。

參考文獻

[1]黃國忠.企業(yè)信息安全風(fēng)險自評估模型研究[D].浙江大學(xué)管理學(xué)院 浙江大學(xué)：管理科學(xué)與工程,2008.

[2]陳麗霞,楊超.基于Web的企業(yè)信息管理系統(tǒng)安全方案[J].電腦知識與技術(shù),2008(25).

[3]翟俊.企業(yè)信息管理系統(tǒng)建設(shè)的現(xiàn)存問題與對策簡析[J].計算機光盤軟件與應(yīng)用,2011(17).

第8篇：企業(yè)信息安全評估范文

(一)信息安全組織臨時化

通常,制造型企業(yè)只有在發(fā)生了信息泄露、病毒攻擊、系統(tǒng)破壞等信息安全事件時,才會臨時從信息技術(shù)部和業(yè)務(wù)部門抽調(diào)人手處理和解決信息安全事件.出現(xiàn)新的信息安全要求時,才會臨時組建項目小組,根據(jù)新的信息安全要求制定解決方案并實施計劃,項目完成后,臨時小組就會解散,沒有人會繼續(xù)跟進和執(zhí)行解決方案.由于沒有定期的信息安全評估,安全計劃不斷地重復(fù)開始和結(jié)束,帶來大量的人財物重復(fù)投入,這將導(dǎo)致安全計劃成本不斷增加,企業(yè)的工作效率不斷降低,信息安全防護也未得到有效提升.

(二)員工上網(wǎng)無限制

雖然制造型企業(yè)為員工上網(wǎng)提供了用戶名及密碼,并且對其登錄的網(wǎng)站進行了監(jiān)測,但是員工在工作時間還是可以無設(shè)防地利用外網(wǎng)進行網(wǎng)頁游覽、網(wǎng)絡(luò)社交等行為,并且使用一些網(wǎng)站的免費郵箱隨意地接收和發(fā)送電子郵件,這些給黑客、病毒、釣魚軟件等創(chuàng)造了對企業(yè)內(nèi)部網(wǎng)絡(luò)攻擊的機會.于是,員工在不了解原因的情況下,使得企業(yè)的信息被泄露或者內(nèi)部網(wǎng)絡(luò)癱瘓,從而影響企業(yè)的正常工作,造成企業(yè)資產(chǎn)的損失.

(三)個人移動設(shè)備(BYOD)使用泛濫

在制造型企業(yè)的辦公場合,員工會攜帶個人移動設(shè)備(BYOD)如筆記本電腦、平板電腦、智能手機、移動硬盤等進行辦公.企業(yè)員工可以較為隨意地使用這些移動存儲設(shè)備對內(nèi)部文件進行拷貝,并且可以使用移動設(shè)備接入企業(yè)內(nèi)網(wǎng)的無線WiGFi,并擁有一定程度的內(nèi)網(wǎng)數(shù)據(jù)讀取權(quán)限,這樣做雖然節(jié)約了企業(yè)的辦公成本,提高了辦公的效率,但是也增加了企業(yè)內(nèi)網(wǎng)病毒感染及遭受黑客惡意入侵的風(fēng)險.

(四)信息安全防護水平有限

出于性能、技術(shù)等因素的考慮,加之國內(nèi)自主研發(fā)的信息安全產(chǎn)品較少,目前進口的信息安全產(chǎn)品受到許多制造型企業(yè)的廣泛采用.盡管這些企業(yè)的信息安全需求以此得到了滿足,但近幾年來,進口產(chǎn)品設(shè)備故障的頻繁發(fā)生也對制造型企業(yè)的業(yè)務(wù)帶來了不同程度的影響.同時,進口信息安全產(chǎn)品已經(jīng)占據(jù)了這些企業(yè)信息系統(tǒng)的關(guān)鍵節(jié)點,這使得企業(yè)的商業(yè)機密時刻處于高危狀態(tài).不僅如此,部分制造型企業(yè)仍舊停留在使用免費的個人版殺毒軟件階段,而這些軟件不僅無法解決病毒交叉感染的問題,也沒有統(tǒng)一的管理平臺對企業(yè)內(nèi)網(wǎng)的安全系統(tǒng)進行統(tǒng)一的升級與維護.另外,信息安全產(chǎn)品在企業(yè)內(nèi)的無序堆疊不僅使得各安全產(chǎn)品存在兼容性問題,同時也使得各產(chǎn)品廠商只能提供與自己產(chǎn)品有關(guān)的技術(shù)支持,導(dǎo)致企業(yè)對問題很難進行跟蹤和排查.最后,企業(yè)電腦終端上的防毒程序未開啟或者未升級至最新版本,以及系統(tǒng)漏洞修補的不及時都造成了多病毒大面積入侵企業(yè)內(nèi)網(wǎng).

(五)信息安全事件處理不及時

制造型企業(yè)在發(fā)生信息安全事件時,即使有相關(guān)的信息安全管理產(chǎn)品,但無法迅速定位安全事件,更無法快速進行安全事件響應(yīng)處理,常處于混亂、無序的運維管理狀態(tài).由于企業(yè)的安全管理人員無法全面了解整個企業(yè)網(wǎng)絡(luò)中正在發(fā)生的內(nèi)部越權(quán)訪問和外部攻擊,出現(xiàn)問題時,他們多表現(xiàn)得無從下手或者手忙腳亂.而且,企業(yè)各部門各自為政,對發(fā)生信息安全事件無法進行統(tǒng)一規(guī)范的快速處理.

二、制造型企業(yè)信息安全薄弱的原因

(一)員工信息安全意識淡薄

制造型企業(yè)員工信息安全意識比較淡薄,主要表現(xiàn)為企業(yè)管理層沒有充分認(rèn)識到信息安全的重要性,沒有將信息安全管理工作與企業(yè)生產(chǎn)安全管理工作放在同等重要的高度來對待,更沒有把它作為日常管理工作的一部分.管理層之所以沒有信息安全意識主要是因為信息安全不會直接為企業(yè)帶來經(jīng)濟效益,反而需要投入大量的時間和資源,尤其是對于受部門業(yè)績壓力和資源限制的業(yè)務(wù)部門來說,他們不愿意把時間和資源放在信息安全防護工作上,并且他們還認(rèn)為不采取安全防護措施不一定會造成損失.普通員工則表現(xiàn)在他們不了解什么信息安全,不知道遵守和執(zhí)行信息安全制度對自己及企業(yè)帶來的影響,缺少必要的信息安全教育與培訓(xùn),有意或無意地導(dǎo)致信息安全事件的發(fā)生.

(二)信息安全技術(shù)體系不完善

信息安全防護水平受到限制除了受上述因素影響外,還有就是沒有完善的物理安全、運行安全和數(shù)據(jù)安全相統(tǒng)一的信息安全技術(shù)體系,具體體現(xiàn)在企業(yè)使用的軟件設(shè)計存在缺陷或者技術(shù)漏洞、殺毒軟件不及時更新;信息系統(tǒng)設(shè)計沒有以風(fēng)險評估為基礎(chǔ)、業(yè)務(wù)流程描述錯誤或漏洞、數(shù)據(jù)訪問權(quán)限設(shè)置不清晰、關(guān)鍵數(shù)據(jù)沒有備份等因素;物理安全邊界不明確、設(shè)備或存儲介質(zhì)缺乏安全措施、電纜損壞、不可抗力的自然災(zāi)害等.

(三)信息安全事件應(yīng)急響應(yīng)機制缺失

信息安全事件處理不及時很大程度上是因為沒有建立信息安全事件應(yīng)急響應(yīng)機制.制造型企業(yè)沒有對信息安全事件進行分級響應(yīng)與處置,也沒有結(jié)合企業(yè)的實際情況通過預(yù)測、評估和分析安全事件對企業(yè)造成的后果程度進行等級劃分,并針對不同的安全事件制定相應(yīng)的應(yīng)急預(yù)案.同時,大部分制造型企業(yè)在處理信息安全事件時更多依靠的是人的經(jīng)驗和責(zé)任心,缺少標(biāo)準(zhǔn)化的信息安全事件處理流程,以及必要的審核和工具支撐.

三、改進制造型企業(yè)信息安全的對策

通過上述分析可知,信息安全問題不僅出現(xiàn)在技術(shù)方面,還更多地出現(xiàn)在管理方面.因此,為了保障企業(yè)的業(yè)務(wù)持續(xù)運行,加強企業(yè)的股東、客戶以及服務(wù)提供商對企業(yè)信息安全的信任,增強企業(yè)的核心競爭能力,制造型企業(yè)可以將管理、技術(shù)和運維三方面有效地結(jié)合起來,促進企業(yè)的可持續(xù)發(fā)展.

(一)建立健全的信息安全組織層級結(jié)構(gòu)

企業(yè)信息安全組織架構(gòu)的建立是圍繞企業(yè)信息安全管理的戰(zhàn)略目標(biāo),對企業(yè)的信息資源、人力資源、安全技術(shù)產(chǎn)品等進行合理安排和配置,構(gòu)成相互協(xié)作的有機整體,使企業(yè)的信息安全活動協(xié)調(diào)有效地運行.制造型企業(yè)通過建立多層次、跨部門的信息安全決策委員會、信息安全工作部、信息安全執(zhí)行部的層級結(jié)構(gòu),不僅能在企業(yè)中形成一張網(wǎng),覆蓋企業(yè)的各個部門,有利于信息安全措施的實施和針對信息安全事件的快速響應(yīng),而且還能為后續(xù)建立信息安全管理體系提供組織上的保證.信息安全決策委員會主要負責(zé)制定信息安全制度和策略、明確各部門信息安全職責(zé)、協(xié)調(diào)各部門實施信息安全控制措施以及信息安全活動的實施等.信息安全工作部由各部門負責(zé)信息安全管理的工作人員構(gòu)成,實施決策委員會制定的信息安全策略、制度和方針,并負責(zé)各部門的信息安全管理工作.信息安全執(zhí)行部具體有三個部門,即信息安全規(guī)劃部、信息安全監(jiān)督審計部、信息安全運行保障部,并且由各部門進行業(yè)務(wù)支撐。

(二)加強人員教育培訓(xùn)和規(guī)范管理

信息安全最大的威脅不是來自于企業(yè)外部的攻擊或是企業(yè)信息安全技術(shù)的缺陷,而是企業(yè)人員缺乏信息安全意識.為了能夠有效地提高企業(yè)員工的信息安全意識,企業(yè)需要對員工進行完善的信息安全教育培訓(xùn),這不僅能提高員工的信息安全保護技能,還能更好地保護企業(yè)的信息安全.制造型企業(yè)在制定信息安全教育培訓(xùn)內(nèi)容時,可以根據(jù)員工在企業(yè)中所處的職位高低和工作性質(zhì)的不同有針對性地制定.對于企業(yè)管理者而言,教育培訓(xùn)以信息安全核心知識、風(fēng)險管理、信息安全政策等為主;企業(yè)的信息技術(shù)人員,則是以信息安全技術(shù)教育培訓(xùn)為主;一般員工結(jié)合所在部門的業(yè)務(wù)特點以信息安全意識培訓(xùn)為主.除了對企業(yè)的人員進行教育培訓(xùn),還需對其進行規(guī)范化管理.對掌握產(chǎn)品生產(chǎn)、原材料采購等核心信息的管理者實施更加嚴(yán)格的信息安全監(jiān)督管理制度;對負責(zé)計算機系統(tǒng)及日常維護的人員界定其工作權(quán)限;規(guī)范化管理員工的上網(wǎng)行為,合理利用網(wǎng)絡(luò)資源,避免人為的網(wǎng)絡(luò)安全隱患.同時在規(guī)范管理中引入績效考核機制,這樣不僅使信息安全管理的指標(biāo)量化,而且,通過信息安全監(jiān)督審計工作組對員工信息安全工作進行考核,使員工更加重視企業(yè)信息安全.因此,加強企業(yè)員工的教育培訓(xùn)和規(guī)范化管理,不僅可以營造企業(yè)信息安全文化氛圍,還可以約束員工的行為,減少人為因素導(dǎo)致的信息安全事件發(fā)生.

(三)完善信息安全技術(shù)體系

信息安全技術(shù)是企業(yè)信息安全的保障,完善的信息安全技術(shù)體系可以防止由于技術(shù)因素導(dǎo)致的信息安全漏洞,避免給外部攻擊者留下可乘之機,從而減少技術(shù)因素導(dǎo)致的信息安全事件發(fā)生.制造型企業(yè)需從以下六個方面去建立完善的信息安全技術(shù)體系,并采用“適度防御”的原則,選擇合適的安全技術(shù)與產(chǎn)品,形成企業(yè)適用的安全技術(shù)防線.一是保障并完善數(shù)據(jù)安全,制造型企業(yè)需通過加密的手段保護企業(yè)系統(tǒng)中數(shù)據(jù)的機密性和完整性,從而提高數(shù)據(jù)訪問的抗抵賴性,同時加強數(shù)據(jù)的異地災(zāi)難恢復(fù)機制,實現(xiàn)本地數(shù)據(jù)的實時遠程復(fù)制與備份,避免本地系統(tǒng)遭受災(zāi)難性破壞導(dǎo)致企業(yè)系統(tǒng)中數(shù)據(jù)的遺失.二是保障并完善終端安全,制造型企業(yè)除了要采用全面可靠的防病毒體系和防火墻技術(shù)外,還需制定嚴(yán)格的移動終端設(shè)備使用制度,一方面是為了避免內(nèi)部員工利用移動終端設(shè)備隨意拷貝企業(yè)內(nèi)部文件,導(dǎo)致企業(yè)內(nèi)部信息向外泄露,另一方面是為了防止移動終端設(shè)備攜帶的病毒漏過企業(yè)系統(tǒng)設(shè)置的防火墻而直接在系統(tǒng)內(nèi)部傳播.三是保障和完善應(yīng)用安全,除了提供用戶名和口令外其他身份驗證機制,必要時還需支持雙因素認(rèn)證和具備登錄控制模塊,同時在日常工作不受影響的情況下,控制員工訪問權(quán)限,減少越權(quán)操作的現(xiàn)象,最大限度地保障個人系統(tǒng)的安全.四是保障和完善網(wǎng)絡(luò)安全,制造型企業(yè)還需通過內(nèi)外部署相應(yīng)的網(wǎng)絡(luò)與信息安全設(shè)施使計算機設(shè)備的物理管理得到加強,并對入侵檢測系統(tǒng)和漏洞掃描系統(tǒng)進行內(nèi)外部攻擊和誤操作的實時保護的安全設(shè)計,使系統(tǒng)免于網(wǎng)絡(luò)攻擊的同時,也提升了系統(tǒng)管理人員的安全管理水平.五是保障主機安全,除了采用系統(tǒng)掃描技術(shù)對操作系統(tǒng)層設(shè)備和系統(tǒng)進行智能化檢測來幫助網(wǎng)絡(luò)管理人員高效地完成定期檢測和操作系統(tǒng)安全漏洞修復(fù)的工作,還應(yīng)采用系統(tǒng)實時入侵探測技術(shù)來監(jiān)控主機系統(tǒng)事件,檢測攻擊的可疑特征,并給予響應(yīng)和處理.六是保證物理安全,制造型企業(yè)需要保證機房與設(shè)施的安全,針對環(huán)境的物理災(zāi)害、自然災(zāi)害和人為的蓄意破壞采取安全措施,并通過防盜、防毀、防電磁干擾來保證設(shè)備的安全.

(四)建立信息安全事件應(yīng)急響應(yīng)機制

第9篇：企業(yè)信息安全評估范文

【關(guān)鍵詞】企業(yè)信息化；信息安全問題；原因；對策

新時期下，信息化技術(shù)在各行業(yè)中運用日漸深入，給企業(yè)現(xiàn)代化建設(shè)與快速發(fā)展帶來了無限動力。企業(yè)信息化建設(shè)已成為我國經(jīng)濟信息化建設(shè)能否成功的關(guān)鍵所在，也是提升企業(yè)自身市場競爭力與企業(yè)升級進步的重要保證和標(biāo)志[1]。但是，企業(yè)信息化建設(shè)過程中不可避免的出現(xiàn)信息安全問題，給企業(yè)正常生產(chǎn)經(jīng)營帶來諸多不利影響。因此，加強企業(yè)信息化建設(shè)中信息安全管理，已成為現(xiàn)代企業(yè)經(jīng)營管理的一個至關(guān)重要的工作。

1企業(yè)信息化概述

所謂的企業(yè)信息化，指的是實現(xiàn)企業(yè)的資金流、物流、作業(yè)流、信息流的數(shù)字化、網(wǎng)絡(luò)化管理，實行企業(yè)運行的自動化和企業(yè)制度的現(xiàn)代化[2]。企業(yè)信息化建設(shè)涉及了企業(yè)生產(chǎn)經(jīng)營中的各個部門，其主要利用現(xiàn)代化信息技術(shù)，通過完善企業(yè)內(nèi)外網(wǎng)絡(luò)信息系統(tǒng)，實現(xiàn)對企業(yè)內(nèi)外知識與信息資源的開發(fā)?？梢?，建設(shè)企業(yè)信息化體系，不但可以及時有效的提供各種數(shù)據(jù)信息給企業(yè)決策層，也為企業(yè)未來規(guī)劃設(shè)計提供參考依據(jù)，而且還有利于企業(yè)滿足瞬息萬變的市場需求，為企業(yè)市場核心競爭力的提升帶來動力。

2當(dāng)前企業(yè)信息化建設(shè)中信息安全問題

企業(yè)信息化建設(shè)與發(fā)展為企業(yè)持續(xù)、健康、穩(wěn)定發(fā)展發(fā)揮了顯著作用，但同時也存在著諸多信息安全問題，具體分析主要有以下幾方面[3]：（1）當(dāng)前，絕大多數(shù)企業(yè)缺乏完善的安全防御系統(tǒng)，導(dǎo)致企業(yè)內(nèi)部使用的信息系統(tǒng)易遭受外部網(wǎng)絡(luò)系統(tǒng)的攻擊，引發(fā)企業(yè)信息資料被他人截獲、篡改與偽造等問題，甚至企業(yè)信息系統(tǒng)中出現(xiàn)通信線路、硬盤設(shè)施以及其他文件系統(tǒng)遭惡意破壞現(xiàn)象，上述問題的發(fā)生不但致使企業(yè)信息系統(tǒng)無法正常運行，而且其內(nèi)部機密信息易發(fā)生泄漏，造成企業(yè)嚴(yán)重的社會經(jīng)濟損失。（2）針對郵件系統(tǒng)攻擊防不甚防。在企業(yè)信息系統(tǒng)中電子郵件具有重要的作用，通過電子郵件接收與傳送，極大的方便了企業(yè)內(nèi)部間與外部間信息交流與溝通。然而，電子郵件安全問題也日益突出，典型的如電子郵件病毒、垃圾郵件、機密信息泄露以及電子郵件炸彈等，給企業(yè)信息傳輸帶來了巨大安全隱患。因此，電子郵件安全問題不可忽視。（3）漏洞攻擊日益嚴(yán)重。按照漏洞問題發(fā)生原因可分為軟件漏洞和協(xié)議漏洞兩種，其中軟件漏洞主要是受外部不法分子攻擊軟件自身存在的漏洞，造成企業(yè)信息泄露等問題；而協(xié)議漏洞則主要是由于TCP/IP協(xié)議自身在安全機制方面存在的諸多漏洞問題導(dǎo)致，外部不法人員通過攻擊TCP/IP協(xié)議漏洞，致使企業(yè)信息系統(tǒng)遭受破壞。目前情況，很多企業(yè)對自身信息系統(tǒng)缺乏成熟的漏洞檢測手段和能力，往往事發(fā)后才采取補救措施。（4）是Web服務(wù)安全問題突出，根據(jù)Web服務(wù)流程，其發(fā)生安全問題的主要組成包括Web服務(wù)端安全問題、瀏覽器客戶端安全問題兩種。其中，Web服務(wù)端安全問題主要是企業(yè)Web主機遭受外部不法分子侵入，導(dǎo)致企業(yè)保密信息遭竊或者企業(yè)部分信息遭受非法篡改等；瀏覽器客戶端安全問題則是企業(yè)瀏覽器客戶端遭外部非法分子侵入，致使部分機密信息與數(shù)據(jù)遭竊等。

3導(dǎo)致企業(yè)信息化建設(shè)中信息安全問題因素

企業(yè)信息化建設(shè)中信息安全問題發(fā)生受諸多因素影響，具體分析主要有以下幾方面[4]：（1）目前，絕大多數(shù)企業(yè)在信息化建設(shè)過程中，對于信息安全問題重視度嚴(yán)重不足。一方面，受傳統(tǒng)經(jīng)營觀念影響，企業(yè)管理層偏重于對企業(yè)生產(chǎn)經(jīng)營中的有形資產(chǎn)給予關(guān)注與重視，而忽略了企業(yè)知識與信息資料等無形資源，導(dǎo)致在企業(yè)信息安全管理方面各項投入嚴(yán)重不足，進而造成信息安全問題日益凸顯；另一方面，多數(shù)企業(yè)在面對信息安全問題時，存在著盲目樂觀現(xiàn)象，認(rèn)為信息安全問題不至于導(dǎo)致企業(yè)正常生產(chǎn)經(jīng)營，使得信息安全管理無法上升至企業(yè)發(fā)展規(guī)劃戰(zhàn)略之中，進而造成信息安全問題得不到及時有效解決。（2）由于企業(yè)信息化建設(shè)在我國尚處于起步階段，各方面配套管理制度不夠完善，特別是缺乏健全的企業(yè)信息安全管理體制。受此影響，企業(yè)信息化建設(shè)中信息安全問題一方面無法得到有效的預(yù)防措施，另一方面是一旦發(fā)生信息安全問題，無法采取及時有效的補救與解決對策。同時，由于缺乏科學(xué)、合理、有效的企業(yè)信息安全防護策略，使得企業(yè)信息管理人員缺乏必要的安全防護意識與業(yè)務(wù)素質(zhì)能力，致使企業(yè)信息安全防護軟硬件工作質(zhì)量與效率明顯不足。上述兩個因素，導(dǎo)致企業(yè)無論是從人員配置，還是資金與技術(shù)投入方面都嚴(yán)重不足，受企業(yè)信息管理人員業(yè)務(wù)素質(zhì)能力不足、信息安全技術(shù)方法落后以及配套的資金缺乏等影響，企業(yè)信息安全防護的措施、手段偏低，造成企業(yè)信息化建設(shè)存在著嚴(yán)重安全隱患。

4提升企業(yè)信息化建設(shè)中信息安全對策

針對當(dāng)前企業(yè)信息化建設(shè)中存在的信息安全問題，為加強企業(yè)信息安全管理，提升企業(yè)信息安全保障，可通過采取以下幾方面對策，具體有[5]：（1）轉(zhuǎn)變傳統(tǒng)企業(yè)信息化建設(shè)觀念，在企業(yè)內(nèi)部管理層從上至下加強對企業(yè)信息安全的重視，并樹立正確的安全意識。一方面，通過組織各種信息安全管理培訓(xùn)等，增強全體企業(yè)員工信息安全意識，確保企業(yè)保密信息不外漏；另一方面，逐步加大企業(yè)信息化建設(shè)中信息安全管理各項資金、技術(shù)、人力投入，并建立科學(xué)、合理、有效的企業(yè)信息安全防護策略，保障企業(yè)信息系統(tǒng)安全穩(wěn)定。（2）不斷的推進網(wǎng)絡(luò)信息技術(shù)的發(fā)展與運用，促進企業(yè)組織結(jié)構(gòu)網(wǎng)絡(luò)化的實現(xiàn)，同時引進先進的安全防護技術(shù)，確保企業(yè)信息化系統(tǒng)安全穩(wěn)定運行。任何網(wǎng)絡(luò)信息系統(tǒng)都存在著或大或小的安全漏洞問題，而保證其不受外部不法分子侵入的一個關(guān)鍵方法就是安全防護技術(shù)的運用。通過選用先進的安全防護技術(shù)，可以有效的提高企業(yè)信息系統(tǒng)抵抗外來攻擊，避免企業(yè)信息遭受竊取、篡改甚至破壞等，對于保障企業(yè)持續(xù)、健康、穩(wěn)定發(fā)展具有顯著作用。（3）結(jié)合企業(yè)信息化建設(shè)實際情況，建立健全企業(yè)內(nèi)部信息系統(tǒng)管理體制。一方面，針對信息安全問題，應(yīng)建立科學(xué)、合理、規(guī)范的信息安全管理體制，保證企業(yè)信息系統(tǒng)安全運行；另一方面，建立健全企業(yè)安全風(fēng)險評估機制，針對不同系統(tǒng)找出影響其安全的因素和漏洞，并制定出最佳的對策，降低企業(yè)信息安全風(fēng)險；此外，加強相應(yīng)的網(wǎng)絡(luò)管理，防止外來不法分子通過網(wǎng)絡(luò)侵入企業(yè)信息系統(tǒng)。（4）根據(jù)新時期企業(yè)信息化建設(shè)需要，加強企業(yè)信息技術(shù)人才、信息管理人才隊伍建設(shè)，為企業(yè)信息安全管理奠定堅實的人才基礎(chǔ)。一方面，在企業(yè)內(nèi)部，加強信息技術(shù)人才培訓(xùn)，提高企業(yè)內(nèi)部相關(guān)人才業(yè)務(wù)素質(zhì)能力；另一方面，在企業(yè)外部，采取有效措施，積極招聘人才，引進具有先進信息技術(shù)型人才；此外，建立健全企業(yè)信息安全管理用人機制，激發(fā)員工工作積極性，提高工作質(zhì)量與效率。

5小結(jié)

總而言之，企業(yè)信息安全事關(guān)企業(yè)信息化建設(shè)是否成功，對于企業(yè)持續(xù)、健康、穩(wěn)定發(fā)展具有至關(guān)重要的作用。因此，應(yīng)提高企業(yè)信息安全管理意識，增強企業(yè)信息安全管理機制，促進企業(yè)信息安全管理工作質(zhì)量與效率，保障企業(yè)信息化建設(shè)順利開展。

作者:吳捷 單位:中海石油氣電集團有限責(zé)任公司

參考文獻

[1]毛志勇.企業(yè)信息化建設(shè)的信息安全形勢與對策研究[J].科技與產(chǎn)業(yè)，2008，8，（1）：43~45.

[2]纂振法，徐福緣.淺析企業(yè)信息化建設(shè)的意義、問題與對策[J].吉林省經(jīng)濟管理干部學(xué)院學(xué)報，2001，3：24~28.

[3]謝志宏.企業(yè)信息化建設(shè)中的信息安全問題研究[J].企業(yè)導(dǎo)報，2014（06）：132~133.