導(dǎo)言：作為寫作愛好者，不可錯(cuò)過為您精心挑選的10篇企業(yè)安全信息化，它們將為您的寫作提供全新的視角，我們衷心期待您的閱讀，并希望這些內(nèi)容能為您提供靈感和參考。

篇1

伴隨著我國社會(huì)經(jīng)濟(jì)的發(fā)展，各個(gè)企業(yè)間的競爭也是非常的激烈。各企業(yè)發(fā)展的過程中重要工作就是加強(qiáng)信息化建設(shè)，在企業(yè)信息化建設(shè)發(fā)展的過程當(dāng)中，又顯現(xiàn)出來了信息安全的問題，加上有的不法分子會(huì)采取各種手段盜取企業(yè)的內(nèi)部信息以便達(dá)到自己的經(jīng)濟(jì)利益。所以說研究企業(yè)信息化當(dāng)中的信息安全問題是具有非常重要意義。

一、企業(yè)信息化建設(shè)過程中信息安全的問題

一般情況下能造成企業(yè)內(nèi)部信息安全問題的原因分為外部原因和內(nèi)部原因，可是不管是內(nèi)部原因還是外部原因都會(huì)對(duì)企業(yè)的信息系統(tǒng)的安全帶來隱患。

1.1企業(yè)內(nèi)部因素

第一個(gè)方面是企業(yè)的信息安全意識(shí)不強(qiáng)，雖然是現(xiàn)在有很多的企業(yè)加快企業(yè)內(nèi)部信息化建設(shè)的進(jìn)程，但是有些企業(yè)只是在表面上看到信息化建設(shè)所帶來的優(yōu)勢(shì)，而信息化建設(shè)當(dāng)中的安全問題并沒能夠引起企業(yè)的足夠重視，所以在信息化建設(shè)的過程中比較容易出現(xiàn)安全隱患。第二個(gè)方面就是我國的安全軟件還是比較落后，雖然國內(nèi)計(jì)算機(jī)軟件技術(shù)在快速的反戰(zhàn)，可是與一些發(fā)達(dá)的國家相比還是存在一定距離，第三個(gè)方面在管理操作方面存在問題，現(xiàn)在有很多的企業(yè)對(duì)于自己企業(yè)內(nèi)部的信息安全問題還存在不夠重視的問題，在企業(yè)信息系統(tǒng)的管理上不夠謹(jǐn)慎，這就會(huì)被不法分子和黑客進(jìn)入的機(jī)會(huì)，造成了企業(yè)的主要信息被盜取。第四個(gè)方面缺少優(yōu)秀的專業(yè)管理團(tuán)隊(duì)，企業(yè)信息的系統(tǒng)安全是前期的制定和日常系統(tǒng)安全的維護(hù)以及日后都是由專業(yè)的人員來進(jìn)行操作，所以相關(guān)的技術(shù)人員都必須具有很好的素養(yǎng)和賢能的技術(shù)，第五個(gè)方面法律法規(guī)的不全面?，F(xiàn)在我國與企業(yè)信息安全問題的法律法規(guī)不全面這就造成企業(yè)內(nèi)部信息被盜取不能得到相關(guān)的賠償。

1.2企業(yè)外部因素

現(xiàn)在企業(yè)信息安全系統(tǒng)的威脅主要來自于外部的因素，隨著我國經(jīng)濟(jì)社會(huì)的飛速變化，在競爭激烈情況下信息是非常重要的，大昂仁會(huì)有很多的不法分子會(huì)利用各種手段來盜取企業(yè)的信息為自身得到利益。還有些企業(yè)在于對(duì)手的競爭過程中使用不正當(dāng)?shù)氖侄蝸頁艨鍖?duì)手保證自己企業(yè)的利益。

二、企業(yè)信息化建設(shè)過程中的信息安全與對(duì)策

在我國社會(huì)經(jīng)濟(jì)快速發(fā)展的今天，企業(yè)信息安全對(duì)于一個(gè)企業(yè)的發(fā)展是非常具有意義的，企業(yè)的信息被盜取和泄露會(huì)給企業(yè)帶來很大的損失，所以說企業(yè)對(duì)信息安全問題必須要有足夠的重視。有的企業(yè)已經(jīng)做好了信息安全的必要工作就應(yīng)該更加注意安全軟件并不是時(shí)時(shí)刻刻都能做好安全的保護(hù)，做好安全保護(hù)還要加強(qiáng)管理。

2.1確保正確的安全意識(shí)

一個(gè)企業(yè)在信息化發(fā)展的過程中，應(yīng)該認(rèn)識(shí)到企業(yè)信息的安全問題和企業(yè)發(fā)展相互的關(guān)聯(lián)。如果企業(yè)的重要內(nèi)部信息被盜取或者泄露那么對(duì)于企業(yè)所造成的打擊是非常大的，而與此同時(shí)也是給了對(duì)手創(chuàng)造了很好機(jī)會(huì)。所以確保正確的安全信息意識(shí)對(duì)于一個(gè)企業(yè)來說是非常重要的，也是為了以后給企業(yè)的各項(xiàng)工作打下了很好基礎(chǔ)。

2.2選擇安全性能比較高的軟件

其實(shí)任何軟件都不是牢不可破的，可是對(duì)于安全性能比較高的軟件，如果說破解的話難度還是相當(dāng)高的，所以企業(yè)選擇安全軟件的時(shí)候要選擇安全性能高的，不要為了節(jié)省一點(diǎn)企業(yè)的支出而選擇使用安全性能差的保護(hù)軟件，一旦出現(xiàn)問題所造成的企業(yè)損失價(jià)值會(huì)大于軟件的價(jià)格。

2.3加強(qiáng)企業(yè)網(wǎng)路管理

很大一部分的企業(yè)信息被盜取都是不法分子通過網(wǎng)絡(luò)進(jìn)行的，所以說必須要對(duì)企業(yè)的網(wǎng)絡(luò)管理進(jìn)行加強(qiáng)，這樣才能確保企業(yè)信息系統(tǒng)在安全的狀態(tài)的情況下運(yùn)行。對(duì)于信息安全的種類和等級(jí)的高低來進(jìn)行制定合理的方案，并且提前做出如果發(fā)生特殊情況下怎么進(jìn)行處理的方案。如果說企業(yè)的信息安全發(fā)生危機(jī)的時(shí)候，企業(yè)應(yīng)該快速的組建處理小組，針對(duì)信息安全危機(jī)的步驟處理并且做好危機(jī)處理的工作，還要避免出現(xiàn)由于處理不當(dāng)而產(chǎn)生的各種情況。

三、結(jié)語

以上所述是企業(yè)信息化建設(shè)過程中所必需要面對(duì)的問題，一個(gè)企業(yè)的信息安全建設(shè)應(yīng)該先從管理開始，必須做到以防范為主要，必需制定有效的安全防護(hù)把安全的風(fēng)險(xiǎn)降至最低。在現(xiàn)在經(jīng)濟(jì)發(fā)展的快速時(shí)代，企業(yè)信息的安全問題決定著企業(yè)的安全運(yùn)營。

參考文獻(xiàn)

[1]原黎.探析企業(yè)信息安全問題的成因及對(duì)策[J].現(xiàn)代工業(yè)經(jīng)濟(jì)和信息化.2011(08)

[2]張耀輝.關(guān)于企業(yè)信息化建設(shè)中的信息安全探討[J].電子技術(shù)與軟件工程.2013(14)

[3]趙曉華,陳秀芹,周文艷,夏莉莉,李建忠.網(wǎng)絡(luò)環(huán)境下河北中小企業(yè)信息安全問題研究[J].科技資訊.2013(31)

篇2

在一個(gè)企業(yè)中，安全管理是支撐企業(yè)的核心，特別是對(duì)于生產(chǎn)企業(yè)而言，安全責(zé)任重于泰山。隨著信息化的不斷發(fā)展，企業(yè)的信息化建設(shè)和應(yīng)用水平的不斷提高，類似辦公OA系統(tǒng)、ERP和EMS等辦公系統(tǒng)的建設(shè)在不斷完善，被廣泛采用。信息化是企業(yè)提高管理效率、提高核心競爭力的有力手段，但在卷煙行業(yè)中，部分企業(yè)在信息化和安全管理的融合過程中做得不夠完善，對(duì)信息化的重要性和信息化帶來的高效率等方面認(rèn)識(shí)不足，因此，加快卷煙生產(chǎn)企業(yè)信息化的建設(shè)工作勢(shì)在必行。

1.2原因分析

造成卷煙生產(chǎn)企業(yè)管理現(xiàn)狀的原因是多方面的：①意識(shí)淡薄。沒有充分認(rèn)識(shí)到信息化給卷煙生產(chǎn)安全管理帶來的革命性變化，忽視了信息化建設(shè)。②資金缺乏。卷煙企業(yè)沒有足夠的資金支持信息化建設(shè)，造成信息化建設(shè)滯后。③技術(shù)匱乏。這是制約卷煙生產(chǎn)企業(yè)信息化建設(shè)的主要原因，缺乏必要的技術(shù)支持必然會(huì)造成信息化建設(shè)滯后。具體而言，還有以下幾個(gè)方面的原因。

1.2.1安全管理人員隊(duì)伍素質(zhì)偏低

在進(jìn)行信息化建設(shè)過程中，必然需要具備專業(yè)知識(shí)的人才。在大多數(shù)卷煙生產(chǎn)企業(yè)中，相關(guān)專業(yè)的人員素質(zhì)較低，在信息化的應(yīng)用和建設(shè)方面存在一定的障礙和劣勢(shì)，進(jìn)一步制約了卷煙企業(yè)的發(fā)展。

1.2.2安全信息系統(tǒng)投入風(fēng)險(xiǎn)較大

信息安全系統(tǒng)的建設(shè)是一項(xiàng)復(fù)雜、長期的工作，需要長時(shí)間的設(shè)計(jì)和調(diào)試。在企業(yè)中進(jìn)行大量的資金投入是建成信息系統(tǒng)的必要基礎(chǔ)，但由于其具有的不確定性和回報(bào)周期較長等特點(diǎn)，在資金投入時(shí)，必然會(huì)影響到管理層的決策。

1.2.3安全信息系統(tǒng)建成模式單一

在我國當(dāng)前的信息安全信息化建設(shè)中，模式單一是其弊端，原因是可借鑒的經(jīng)驗(yàn)和先例較少，且在現(xiàn)行的信息建設(shè)平臺(tái)中，大部分采用了相同的工作方式和運(yùn)行原理，缺乏新意，創(chuàng)新程度較低，進(jìn)一步制約了信息安全的發(fā)展。

2卷煙企業(yè)安全管理信息化建設(shè)的意義

加強(qiáng)卷煙生產(chǎn)企業(yè)安全管理信息化建設(shè)有重要的意義和作用，是實(shí)現(xiàn)卷煙企業(yè)長久發(fā)展、提高效率的重要保證。在信息化高速發(fā)展的今天，信息化對(duì)于任何一個(gè)企業(yè)而言都具有重要的意義，是實(shí)現(xiàn)現(xiàn)代化的重要手段。卷煙企業(yè)實(shí)現(xiàn)信息化后將大大提高企業(yè)的生產(chǎn)效率。

2.1是現(xiàn)代煙草農(nóng)業(yè)發(fā)展的客觀要求

在當(dāng)今社會(huì)中，信息已成為一種重要資源，成為推動(dòng)社會(huì)發(fā)展和進(jìn)步的重要支柱。信息化的發(fā)展必然會(huì)推動(dòng)現(xiàn)代煙草業(yè)的發(fā)展，使卷煙生產(chǎn)更具系統(tǒng)化和專業(yè)化，從而提高卷煙的生產(chǎn)效率。在現(xiàn)代卷煙生產(chǎn)中，卷煙行業(yè)具有的分散性、時(shí)變性和經(jīng)驗(yàn)性等都是制約卷煙行業(yè)進(jìn)一步發(fā)展的因素，而信息化是解決卷煙行業(yè)中存在問題的有力武器，信息化會(huì)滲透到卷煙生產(chǎn)行業(yè)的各個(gè)環(huán)節(jié)和領(lǐng)域，改造傳統(tǒng)的卷煙生產(chǎn)，從而帶動(dòng)現(xiàn)代煙草行業(yè)的進(jìn)一步發(fā)展。

2.2是現(xiàn)代煙草物流發(fā)展的必然選擇

我國煙民人群龐大，但因其分散程度較高，因此，必須有效發(fā)展煙草物流。煙草行業(yè)要想打造現(xiàn)代煙草農(nóng)業(yè)，必然要進(jìn)一步推動(dòng)煙草物流業(yè)的發(fā)展。信息化提高了煙草物流的時(shí)效性和連續(xù)性，降低了煙草物流的成本，使物流的可操作性得到了進(jìn)一步提高。信息化可在物流的分揀、配送和綜合管理等方面發(fā)揮重要的作用，使煙草產(chǎn)業(yè)的供應(yīng)鏈更加優(yōu)化，進(jìn)一步提高供應(yīng)鏈的準(zhǔn)確性、時(shí)效性。

2.3可有效加強(qiáng)煙草行業(yè)安全生產(chǎn)管理

信息化可對(duì)卷煙生產(chǎn)的各個(gè)環(huán)節(jié)進(jìn)行監(jiān)督管理，使卷煙行業(yè)監(jiān)管更具效率，提高了卷煙的生產(chǎn)效率。卷煙質(zhì)量是卷煙生產(chǎn)企業(yè)的重中之重，信息化安全信息管理的建設(shè)可有效提高檢測(cè)水平和質(zhì)量，及時(shí)發(fā)現(xiàn)并整改生產(chǎn)環(huán)節(jié)中存在的問題和缺陷，提高了卷煙行業(yè)的安全性，從而確保了卷煙生產(chǎn)的質(zhì)量。

3卷煙企業(yè)信息化建設(shè)的措施和建議

3.1提高思想認(rèn)識(shí)

信息化的首要前提是提高思想認(rèn)識(shí)，只有更多的人認(rèn)識(shí)到信息化的重要性和必要性，才會(huì)促使更多的資源流入這方面。要提高單位領(lǐng)導(dǎo)的意識(shí)，在現(xiàn)代企業(yè)的競爭中，誰能掌握第一手資料，便能掌握先機(jī)，從而獲得更多機(jī)會(huì)，信息的充足程度決定了企業(yè)的發(fā)展程度；要提高單位職工的認(rèn)識(shí)，企業(yè)的發(fā)展與每一個(gè)員工息息相關(guān)，因此，身為企業(yè)的一份子，要將企業(yè)的利益放在首位，理解信息化對(duì)企業(yè)的重要性。

3.2開展人才培訓(xùn)

信息化建設(shè)是一個(gè)復(fù)雜的專業(yè)領(lǐng)域，需要有大量的專業(yè)人才參與其中，才可有效建立和完善。因此，加大人才的培養(yǎng)力度是加快企業(yè)信息化的重要步驟之一。要建立完整的信息處理平臺(tái)，就要要求各部門協(xié)同配合、共同工作。只有各部門團(tuán)結(jié)一致，才能更快地建立完整的信息處理平臺(tái)。

篇3

前言

自中國加入世貿(mào)組織后，全球?qū)嵭薪?jīng)濟(jì)一體化，信息資源對(duì)于企業(yè)的發(fā)展經(jīng)營顯得十分重要，企業(yè)只有盡快實(shí)施信息化戰(zhàn)略與國際接軌，才能融入到經(jīng)濟(jì)全球化的大潮中去。對(duì)于企業(yè)進(jìn)行信息化改革需要進(jìn)行一些規(guī)劃性安排。其中包含有信息資源規(guī)劃，這主要是指企業(yè)生產(chǎn)經(jīng)營過程中所需要掌握到的所有信息，從開始采集、處理一直到傳輸、使用全過程的一個(gè)整體規(guī)劃。企業(yè)在生產(chǎn)經(jīng)營活動(dòng)過程中，無時(shí)不刻都充斥著信息，信息資源與企業(yè)人、財(cái)、物資源同等重要，都是企業(yè)在經(jīng)營環(huán)節(jié)中不可缺少的重要資源。而經(jīng)過長期的發(fā)展，很多企業(yè)已經(jīng)開始意識(shí)到企業(yè)信息資源規(guī)劃的重要性，認(rèn)識(shí)到它是企業(yè)信息化建設(shè)的基礎(chǔ)工程。而對(duì)企業(yè)信息化安全的解決應(yīng)該建立在人員管理的基礎(chǔ)之上，致力于整個(gè)企業(yè)網(wǎng)絡(luò)管理。

1企業(yè)信息化安全與網(wǎng)絡(luò)管理

1.1網(wǎng)絡(luò)集成應(yīng)用系統(tǒng)安全

網(wǎng)絡(luò)集成應(yīng)用系統(tǒng)根據(jù)不同企業(yè)的需求呈現(xiàn)不同的情況，一些企業(yè)中的網(wǎng)絡(luò)集成應(yīng)用系統(tǒng)比較復(fù)雜。不能夠很精準(zhǔn)的估計(jì)防御對(duì)象的規(guī)模以及價(jià)值，也不能簡單的對(duì)其加以標(biāo)定界限，針對(duì)這種情況，就只能夠?qū)⒕W(wǎng)絡(luò)管理安全保障的工作分解開來。落實(shí)到具體的個(gè)人，采取一系列有效的措施如主動(dòng)防御方式去進(jìn)行。而網(wǎng)絡(luò)安全信息的防御是一個(gè)保障整體網(wǎng)絡(luò)信息安全的手段，其可預(yù)見性以及靈敏性等都為工作帶來便利，在面臨網(wǎng)絡(luò)空間可能帶來的威脅的同時(shí),站在網(wǎng)絡(luò)管理者的角度上去思考，為企業(yè)網(wǎng)絡(luò)安全提供一定的保障。因此對(duì)于現(xiàn)代社會(huì)企業(yè)發(fā)展中提出的有關(guān)信息化安全問題其范圍也十分廣泛。計(jì)算機(jī)系統(tǒng)結(jié)構(gòu)安全的信息防御，注重的是以信息參與者的人為主角的主動(dòng)型安全防御。

1.2企業(yè)人員信息技術(shù)安全

企業(yè)信息化歸根到底也是人的參與，因此對(duì)于企業(yè)在信息化過程中會(huì)遇到的信息安全問題也需要人員引起足夠的重視。人才是企業(yè)在發(fā)展中的關(guān)鍵競爭力，企業(yè)對(duì)于人才的重視程度也在日益增加，而同時(shí)也要注重企業(yè)的管理。隨著時(shí)代的發(fā)展，信息化已經(jīng)成為企業(yè)不可忽視的發(fā)展趨勢(shì)，當(dāng)企業(yè)投入大量的資金和精力去培養(yǎng)人才進(jìn)行信息化管理以及掌握信息化技術(shù)之后，更需要加強(qiáng)信息安全管理。目前是信息化時(shí)代，“信息”對(duì)于企業(yè)而言是十分重要的財(cái)富，企業(yè)信息系統(tǒng)中掌握著企業(yè)運(yùn)行經(jīng)營的大量資源和信息，而信息系統(tǒng)的一些安全隱患大部分來源于外界的侵?jǐn)_，信息工作和管理人員個(gè)人的疏忽也容易導(dǎo)致信息的外泄，這將是對(duì)企業(yè)造成嚴(yán)重的損失。目前對(duì)于企業(yè)在信息化方面的標(biāo)準(zhǔn)有多種爭議，面對(duì)爭議我們首先要弄清楚企業(yè)目前處于什么樣的狀況，這些標(biāo)準(zhǔn)都是隨著技術(shù)水平的改進(jìn)以及管理要求的變化而變化的，因此針對(duì)這些變化，企業(yè)需要針對(duì)自身的實(shí)際情況以及實(shí)際需求進(jìn)行安全管理。

1.3網(wǎng)絡(luò)管理人員信息技術(shù)安全

企業(yè)信息化系統(tǒng)管理中最重要的一項(xiàng)安全指標(biāo)就是信息技術(shù)方面的安全，面對(duì)高要求的安全管理，對(duì)于網(wǎng)絡(luò)安全管理人員的職業(yè)素養(yǎng)以及業(yè)務(wù)能力也相應(yīng)提出了更高的要求。而企業(yè)信息化系統(tǒng)的網(wǎng)絡(luò)管理在實(shí)際的運(yùn)行過程中必定會(huì)涉及到眾多的功能模塊，面臨企業(yè)信息化系統(tǒng)中的網(wǎng)絡(luò)安全管理一般包含有四大功能模塊:配置管理、性能管理、故障管理以及安全管理。而這四大功能構(gòu)成了網(wǎng)絡(luò)安全管理的基本功能，除此基本功能之外，網(wǎng)絡(luò)管理還包括有網(wǎng)絡(luò)規(guī)劃、網(wǎng)絡(luò)操作規(guī)范等，以下就來簡單分析介紹這些功能:(1)配置管理:網(wǎng)絡(luò)的配置管理要做到的是自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)拓補(bǔ)結(jié)構(gòu)，構(gòu)造和維護(hù)網(wǎng)絡(luò)系統(tǒng)的配置。時(shí)時(shí)的注意網(wǎng)絡(luò)中被管理監(jiān)測(cè)的對(duì)象狀態(tài)，對(duì)網(wǎng)絡(luò)設(shè)置中的一些設(shè)備配置的語法進(jìn)行檢測(cè)，對(duì)于配置進(jìn)行嚴(yán)格的檢驗(yàn)。(2)故障管理:在網(wǎng)絡(luò)運(yùn)行過程中時(shí)刻的進(jìn)行網(wǎng)絡(luò)有關(guān)事件的過濾和歸并，通過不間斷的檢測(cè)及時(shí)的發(fā)現(xiàn)在網(wǎng)絡(luò)管理以及操作過程中出現(xiàn)的一系列網(wǎng)絡(luò)故障問題，并根據(jù)實(shí)際問題情況尋找出有效的應(yīng)對(duì)措施和建議，提供一定的排錯(cuò)手段以及工具，逐漸形成一套完善的網(wǎng)絡(luò)故障預(yù)警和解決機(jī)制，從而減少故障給企業(yè)信息化系統(tǒng)帶來的危害和損失。(3)性能管理:性能管理是對(duì)網(wǎng)絡(luò)對(duì)象的性能方面數(shù)據(jù)進(jìn)行收集、分析以及處理功能，通過分析和收集了解網(wǎng)絡(luò)在運(yùn)行過程中的質(zhì)量安全問題，同時(shí)掌握整個(gè)網(wǎng)絡(luò)運(yùn)行體制中的運(yùn)行狀態(tài)信息，為整個(gè)網(wǎng)絡(luò)的使用情況以及未來發(fā)展趨勢(shì)、狀況進(jìn)行一個(gè)評(píng)估，為進(jìn)一步的網(wǎng)絡(luò)規(guī)劃提供一定的參考價(jià)值。(4)安全管理:網(wǎng)絡(luò)信息的安全主要在于存儲(chǔ)在系統(tǒng)中的一些用戶信息資料以及企業(yè)內(nèi)部的資料的泄露，加強(qiáng)安全管理無疑是要加強(qiáng)用戶的認(rèn)證、訪問控制、數(shù)據(jù)傳輸以及存儲(chǔ)保密性和完整性，保障網(wǎng)絡(luò)系統(tǒng)本身的安全。維護(hù)系統(tǒng)日志，使系統(tǒng)的使用情況以及網(wǎng)絡(luò)對(duì)象的修改都有記錄和有數(shù)據(jù)可循。加強(qiáng)對(duì)網(wǎng)絡(luò)資源的訪問量的控制。例如有些企業(yè)在加強(qiáng)網(wǎng)絡(luò)安全管理方面為了盡量的減少不必要的漏洞，在配置管理中采用了VLAN的方式，這種方式就是將企業(yè)內(nèi)部的不同部門都劃分為各個(gè)不同的虛擬網(wǎng)段，而針對(duì)不同部門的職員設(shè)置相應(yīng)的權(quán)限，只有具有權(quán)限的職員才能進(jìn)入某一個(gè)虛擬網(wǎng)段，沒有權(quán)限的用戶無法訪問其他網(wǎng)段。VLAN其實(shí)就相當(dāng)于是一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)，里面所有內(nèi)容都由同一個(gè)網(wǎng)線連接著，但是其中的網(wǎng)絡(luò)又可以分為不同的部分和區(qū)域。由于該方式多是通過軟件來操作實(shí)施的，因此使其具備了更多的靈活性，而該手段的最大優(yōu)勢(shì)在于提供了更多的管理控制，這相應(yīng)的減少了很大一部分的管理費(fèi)用，同時(shí)也提供了更多的配置靈活性。另外，在網(wǎng)絡(luò)管理中可以通過邊界的路由器來控制外來的用戶對(duì)網(wǎng)絡(luò)信息的訪問，從而可以有效的防止外來用戶對(duì)本企業(yè)網(wǎng)絡(luò)的侵入和攻擊。加之前文中有提到可以加強(qiáng)網(wǎng)絡(luò)安全的預(yù)警機(jī)制。通過對(duì)告警中的危險(xiǎn)事件和信息進(jìn)行有效的分析和處理，及時(shí)發(fā)現(xiàn)可能存在的攻擊行為，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)管理中存在的安全漏洞和安全隱患，從而更好的防患于未然。當(dāng)然，在進(jìn)行這些網(wǎng)絡(luò)安全管理手段操作中可以充分借助有關(guān)的管理網(wǎng)絡(luò)的軟件，為網(wǎng)絡(luò)管理人員提供有效的技術(shù)信息和保障，而且單一的軟件絕對(duì)滿足不了網(wǎng)絡(luò)安全管理的需求，需要根據(jù)實(shí)際情況綜合運(yùn)用多種軟件形式，從而滿足不同方面和層次的需求，無論是加強(qiáng)網(wǎng)絡(luò)管理安全還是利用各種管理軟件首先必須要提高網(wǎng)絡(luò)管理人員的綜合素質(zhì)，提升其職業(yè)素養(yǎng)和計(jì)算機(jī)應(yīng)用水平，人員素質(zhì)的提升以及相關(guān)管理硬件、軟件的配套，才能從根本上解決企業(yè)信息化管理以及網(wǎng)絡(luò)安全管理中的問題，提高其管理機(jī)制和管理水平。

2結(jié)束語

從本文中所闡述的眾多問題中可以總結(jié)出，無論是網(wǎng)絡(luò)集成應(yīng)用系統(tǒng)的框架還是人員信息化和網(wǎng)絡(luò)管理者角度而言，企業(yè)信息化的安全問題主要集中在網(wǎng)絡(luò)管理方面。而對(duì)網(wǎng)絡(luò)進(jìn)行管理的主體部分就是人員。因此加強(qiáng)網(wǎng)絡(luò)管理的安全問題要從人員自身方面的水平以及素質(zhì)和網(wǎng)絡(luò)安全管理相關(guān)技術(shù)兩個(gè)方面著手，讓所有的網(wǎng)絡(luò)管理者在思想上意識(shí)到網(wǎng)絡(luò)安全管理的重要性。管理人員的重視才會(huì)促進(jìn)有關(guān)技術(shù)的改進(jìn)和革新，這也是我們進(jìn)行網(wǎng)絡(luò)管理的最終目的和有效保障。

參考文獻(xiàn):

[1]林鵬，葉盛元.互聯(lián)網(wǎng)與信息化安全（三）[J].華南金融電腦，2006.

篇4

中圖分類號(hào)：TP309

企業(yè)要生存、發(fā)展，就必須面向市場(chǎng)，適應(yīng)市場(chǎng)、開拓市場(chǎng)，竭力捕捉市場(chǎng)信息。信息對(duì)于市場(chǎng)經(jīng)濟(jì)條件下的企業(yè)來說，具有生死攸關(guān)的巨大價(jià)值。沒有對(duì)大量準(zhǔn)確、及時(shí)、系統(tǒng)的市場(chǎng)信息資料的掌握，既不能弄清企業(yè)外部條件變化對(duì)企業(yè)生產(chǎn)經(jīng)營的影響，也無法了解企業(yè)內(nèi)部各環(huán)節(jié)、各部門、各經(jīng)營要素的狀況、聯(lián)系和變化。而在同行業(yè)之間的信息互通，也是至關(guān)重要的，將所有資源充分整合，才能形成綜合優(yōu)勢(shì)。

中國加入WTO后，國際競爭國內(nèi)化的趨勢(shì)將更加明顯。企業(yè)只有盡快實(shí)施信息化戰(zhàn)略與國際接軌，才能融入到經(jīng)濟(jì)全球化的大潮中去。這里特別要指出企業(yè)如何規(guī)劃有關(guān)信息。信息資源規(guī)劃（Information Resource Planning，簡稱IRP）是指對(duì)企業(yè)生產(chǎn)經(jīng)營所需要的信息，從采集、處理、傳輸?shù)绞褂玫娜嬉?guī)劃。在企業(yè)的生產(chǎn)經(jīng)營活動(dòng)中，無時(shí)無刻不充滿著信息的產(chǎn)生、流動(dòng)及使用。美國信息資源管理學(xué)家霍頓（F.W.Horton）和馬錢德（D.A.Marchand）等人指出：信息資源（Information Resources）與人、財(cái)、物資源一樣，都是企業(yè)的重要資源。目前，許多企業(yè)都已經(jīng)認(rèn)識(shí)到信息資源規(guī)劃的重要性，認(rèn)識(shí)到它是企業(yè)信息化建設(shè)的基礎(chǔ)工程。只有做好信息資源規(guī)劃工作，才能理清并規(guī)范企業(yè)的真正需求，貫徹信息化建設(shè)的“應(yīng)用主導(dǎo)”方針；才能消除因缺乏信息資源管理基礎(chǔ)標(biāo)準(zhǔn)而產(chǎn)生的“信息孤島”，從而整合信息資源，實(shí)現(xiàn)應(yīng)用系統(tǒng)集成；才能指導(dǎo)SCM、ERP、CRM等應(yīng)用軟件的選型并保證成功實(shí)施；才能應(yīng)用規(guī)劃的結(jié)果來保護(hù)我們所珍視的信息。應(yīng)該說信息資源規(guī)劃是我們要提供安全策略的前提。[1]

圖1是信息安全技術(shù)發(fā)展的四個(gè)階段，當(dāng)我們整合了相關(guān)信息資源，歷經(jīng)信息安全技術(shù)的各個(gè)階段，所缺少的元素便是對(duì)于人的信息化水平的要求。

可見，單從信息流向來看，其中的人為干預(yù)是必不可少的。因此，保障信息安全更要以人為本，注重網(wǎng)絡(luò)管理，加強(qiáng)制度化，形成標(biāo)準(zhǔn)的操作規(guī)范及流程。針對(duì)企業(yè)信息化安全問題，內(nèi)容應(yīng)當(dāng)包括：網(wǎng)絡(luò)集成應(yīng)用系統(tǒng)（包括信息源、信息傳輸網(wǎng)絡(luò)的安全）、企業(yè)人員信息技術(shù)安全（如信息決策者、使用者）、網(wǎng)絡(luò)管理人員信息化安全（涵蓋了網(wǎng)絡(luò)管理、權(quán)限分配等安全管理內(nèi)容）。企業(yè)信息化安全的解決應(yīng)在立足于人員管理的基礎(chǔ)上，致力于整個(gè)企業(yè)網(wǎng)絡(luò)的管理，并以此為目標(biāo)規(guī)劃與建設(shè)安全、實(shí)用、高效的信息環(huán)境，為企業(yè)信息化帶動(dòng)企業(yè)管理現(xiàn)代化保駕護(hù)航，推動(dòng)企業(yè)的高速度、可持續(xù)發(fā)展。

1 網(wǎng)絡(luò)集成應(yīng)用系統(tǒng)安全

本人所在單位的網(wǎng)絡(luò)集成應(yīng)用系統(tǒng)是一個(gè)復(fù)雜體系，不可能精確地估計(jì)防御對(duì)象的規(guī)模與價(jià)值，無法簡單地對(duì)其加以標(biāo)定界限，只有將網(wǎng)絡(luò)管理安全保障工作分解，落實(shí)到人，采取主動(dòng)防御方式、方法才是上策。眾說周知，網(wǎng)絡(luò)安全信息防御是一個(gè)以保證信息整體安全的可預(yù)見性、靈敏性、可靠性和連續(xù)性為目標(biāo)的工作，在面對(duì)網(wǎng)絡(luò)信息空間遭受可能的災(zāi)難時(shí)，我們站在網(wǎng)絡(luò)管理者的角度應(yīng)可以提供可靠的安全保障，同時(shí)作為各個(gè)信息安全的參與者能夠主動(dòng)進(jìn)行預(yù)見性的操作。

因此，現(xiàn)代信息技術(shù)發(fā)展所提出的信息安全問題，比傳統(tǒng)信息安全問題更加錯(cuò)綜復(fù)雜，涉及因素和領(lǐng)域也更加廣泛。計(jì)算機(jī)系統(tǒng)結(jié)構(gòu)安全的信息防御，注重的是以信息參與者的人作為主角的主動(dòng)型安全防御。[2]

2 企業(yè)人員信息技術(shù)安全

企業(yè)信息化離不開人的參與，同樣企業(yè)信息化所帶來的安全問題也離不開人的關(guān)注?！捌髽I(yè)注重人才，人才注重管理?！碑?dāng)我們把員工培養(yǎng)成適應(yīng)企業(yè)快速發(fā)展、掌握信息技術(shù)的人才后，更需要加強(qiáng)信息安全管理，提高計(jì)算機(jī)應(yīng)用水平。因?yàn)椤靶畔ⅰ笔瞧髽I(yè)的重要財(cái)富，這一點(diǎn)是勿庸置疑的。信息系統(tǒng)的非安全因素有可能來自外部（以病毒、黑客攻擊的方式），或來自單位內(nèi)部（來自同事、受信任的客戶等等所有接觸系統(tǒng)的人），工作人員出于好奇心可能會(huì)造成更大的威脅。[3]

上面的管理辦法便是從技術(shù)角度加強(qiáng)了人員的權(quán)限設(shè)置，其實(shí)最主要的人員信息化安全管理，還是對(duì)于配套制度的執(zhí)行。目前，有關(guān)企業(yè)信息化標(biāo)準(zhǔn)的爭論有很多，這種標(biāo)準(zhǔn)會(huì)隨著技術(shù)手段和管理要求的不斷發(fā)展而變化。面對(duì)變化，企業(yè)出臺(tái)針對(duì)本企業(yè)安全級(jí)別的管理辦法，結(jié)合自身需求進(jìn)行安全管理才是“以人為本”的上策。

3 網(wǎng)絡(luò)管理人員信息技術(shù)安全

信息技術(shù)安全是企業(yè)信息化安全管理的重中之重，這就給網(wǎng)管人員提出了更高的更全面的要求。在實(shí)際的網(wǎng)絡(luò)管理過程中，網(wǎng)絡(luò)管理應(yīng)具有的功能非常廣泛，包括了很多方面。本人認(rèn)為，針對(duì)我們所面臨的企業(yè)信息技術(shù)安全，網(wǎng)絡(luò)管理應(yīng)包括四大功能：配置管理、性能管理、故障管理、安全管理。這四大功能是網(wǎng)絡(luò)管理的基本功能。事實(shí)上，網(wǎng)絡(luò)管理還應(yīng)該包括其他一些功能，比如網(wǎng)絡(luò)規(guī)劃、網(wǎng)絡(luò)操作規(guī)范等。其中：

配置管理：自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，構(gòu)造和維護(hù)網(wǎng)絡(luò)系統(tǒng)的配置。監(jiān)測(cè)網(wǎng)絡(luò)被管對(duì)象的狀態(tài)，完成網(wǎng)絡(luò)關(guān)鍵設(shè)備配置的語法檢查，配置自動(dòng)生成和自動(dòng)配置備份系統(tǒng)，對(duì)于配置的一致性進(jìn)行嚴(yán)格的檢驗(yàn)。

故障管理；過濾、歸并網(wǎng)絡(luò)事件，有效地發(fā)現(xiàn)、定位網(wǎng)絡(luò)故障，給出排錯(cuò)建議與排錯(cuò)工具，形成整套的故障發(fā)現(xiàn)、告警與處理機(jī)制。

性能管理：采集、分析網(wǎng)絡(luò)對(duì)象的性能數(shù)據(jù)，監(jiān)測(cè)網(wǎng)絡(luò)對(duì)象的性能，對(duì)網(wǎng)絡(luò)線路質(zhì)量進(jìn)行分析。同時(shí)，統(tǒng)計(jì)網(wǎng)絡(luò)運(yùn)行狀態(tài)信息，對(duì)網(wǎng)絡(luò)的使用發(fā)展作出評(píng)測(cè)、估計(jì)，為網(wǎng)絡(luò)進(jìn)一步規(guī)劃與調(diào)整提供依據(jù)。

安全管理：結(jié)合使用用戶認(rèn)證、訪問控制、數(shù)據(jù)傳輸、存儲(chǔ)的保密與完整性機(jī)制，以保障網(wǎng)絡(luò)管理系統(tǒng)本身的安全。維護(hù)系統(tǒng)日志，使系統(tǒng)的使用和網(wǎng)絡(luò)對(duì)象的修改有據(jù)可查?？刂茖?duì)網(wǎng)絡(luò)資源的訪問。

舉例來說，本人所在單位為盡量減小安全上的漏洞，我們配置管理采用了 VLAN方式，即各個(gè)部門劃分為不同的虛擬網(wǎng)段，沒有權(quán)限的用戶無法訪問其他網(wǎng)段。

VLAN（虛擬局域網(wǎng)）就是一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)，其中的計(jì)算機(jī)好像是被同一網(wǎng)線連接在一起，而實(shí)際上它們可能分處于局域網(wǎng)的不同區(qū)域。VLAN更多的是通過軟件而非硬件來實(shí)現(xiàn)，因此這使得它具有很高的靈活性。VLAN的一個(gè)主要特性就是提供了更多的管理控制，減少了相對(duì)日常管理開銷，提供了更大的配置靈活性。VLAN的這些特性包括：①當(dāng)用戶從一個(gè)地點(diǎn)移動(dòng)到另一個(gè)地點(diǎn)時(shí)，簡化了配置操作和過程修改；②當(dāng)網(wǎng)絡(luò)阻塞時(shí)，可以重新調(diào)節(jié)流量分布；③提供流量與廣播行為的詳細(xì)報(bào)告，同時(shí)統(tǒng)計(jì)VLAN邏輯區(qū)域的規(guī)模與組成；④提供根據(jù)實(shí)際情況在VLAN中增加和減少用戶的靈活性。

還有就是：我們的網(wǎng)絡(luò)管理可以通過網(wǎng)關(guān)（即邊界路由器）控制外來用戶對(duì)網(wǎng)絡(luò)資源的訪問，以防止外來的攻擊；通過告警事件的分析處理，以發(fā)現(xiàn)正在進(jìn)行的可能的攻擊；通過安全漏洞檢擒來發(fā)現(xiàn)存在的安全隱患，以防患于未然。當(dāng)然，我們這些操作手段可以借助于相應(yīng)的網(wǎng)絡(luò)管理軟件，以提供給我們相關(guān)的技術(shù)保障。但在實(shí)際操作中，我也發(fā)現(xiàn)，單用一種軟件是無法實(shí)現(xiàn)的。比如IDS、基于SNMP技術(shù)的網(wǎng)絡(luò)拓?fù)洹①Y產(chǎn)管理等等，這些技術(shù)需要我們一步步加強(qiáng)。還有像加強(qiáng)域的管理，充分利用現(xiàn)有軟件的功能，都是提高我們網(wǎng)絡(luò)管理的方式、方法，而這些工作地展開都要基于網(wǎng)管人員的素質(zhì)和計(jì)算機(jī)應(yīng)用水平。

綜上所述，不論是從網(wǎng)絡(luò)集成應(yīng)用系統(tǒng)框架，還是人員信息化以及網(wǎng)絡(luò)管理者自身來看，企業(yè)信息化安全重在網(wǎng)絡(luò)管理，而網(wǎng)絡(luò)管理的核心是人，是整個(gè)信息化安全的參與者，只有“硬制度、軟管理”相互依托，主動(dòng)預(yù)防、預(yù)見網(wǎng)絡(luò)不安全因素，讓所有參與者都意識(shí)到網(wǎng)絡(luò)安全管理對(duì)于企業(yè)信息安全的重要性，才是我們網(wǎng)絡(luò)管理的最終目的和有效保障。

參考文獻(xiàn)：

[1]Steve Riley， Likes fearing occurs simultaneously the manager， Windows IT Pro Magazine， Microsoft Corp，2006（02）：30-32.

[2]Microsoft Corp，Microsoft Security Anthology，Microsoft Corp，2003（03）：1-20.

篇5

中圖分類號(hào)：TP309.2文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044(2008)36-2848-03

An Information Security Program for a Distributed Enterprise

GUO Yong, CHEN Rong-sheng, ZHAN Gui-bao, ZENG Zhong-cheng, LU Teng-zu, LI Zhuang-xiang

(Fujian Xindong Network Technology Co., Ltd. Fuzhou 350003,China)

Abstract: Based on the specific conditions of the distributed enterprise, information security architecture in accordance with the relevant standards, a distributed enterprise information security planning principles and objectives. And based on the principles and objectives of the meeting, according to the organization, management and technical aspects of three specific design specifications with the principle. Finally, based on the objective of planning services, a category of information distributed enterprise information security services, planning and design examples.

Key words: distributed; information security; planning; program

1 引言

據(jù)來自eWeek 的消息，市場(chǎng)研究機(jī)構(gòu)Gartner 研究報(bào)告稱，很對(duì)企業(yè)目前仍缺乏完整的信息安全規(guī)劃和規(guī)范。盡管目前很多企業(yè)在信息安全方面的投入每年都在緩慢增長，但由于推動(dòng)力以外部法律法規(guī)的約束和商業(yè)業(yè)務(wù)的壓力為主，因此他們對(duì)安全技術(shù)和服務(wù)的選擇和使用仍停留在一個(gè)相對(duì)較低的水平。尤其對(duì)于機(jī)構(gòu)構(gòu)成方式為分布式的企業(yè)而言，因?yàn)樾畔踩枨蠛筒渴鹣鄬?duì)更加復(fù)雜，投入更多，因此這類企業(yè)的信息安全規(guī)劃就更加缺乏。

本文根據(jù)這類分布式企業(yè)的特點(diǎn)提出了一種符合該類企業(yè)實(shí)際的信息安全規(guī)劃方案。

2 總體規(guī)劃原則和目標(biāo)

2.1 總體規(guī)劃原則

對(duì)于分布式企業(yè)的信息安全規(guī)劃，要遵守如下原則：適度集中，控制風(fēng)險(xiǎn)；突出重點(diǎn)，分級(jí)保護(hù)；統(tǒng)籌安排，分步實(shí)施；分級(jí)管理，責(zé)任到崗；資源優(yōu)化，注重效益。

這個(gè)原則的制定主要是根據(jù)分布式企業(yè)的實(shí)際機(jī)構(gòu)構(gòu)成情況、人員素質(zhì)情況以及資源配置情況來制定的。

2.2 總體規(guī)劃目標(biāo)

信息系統(tǒng)安全規(guī)劃的方法可以不同、側(cè)重點(diǎn)可以不同，但是需要圍繞組織安全、管理安全、技術(shù)安全進(jìn)行全面的考慮。信息系統(tǒng)安全規(guī)劃的最終效果應(yīng)該體現(xiàn)在對(duì)信息系統(tǒng)與信息資源的安全保護(hù)上，下面將分別對(duì)組織規(guī)劃、管理規(guī)劃和技術(shù)規(guī)劃分別進(jìn)行闡述。信息安全規(guī)劃依托企業(yè)信息化戰(zhàn)略規(guī)劃，對(duì)信息化戰(zhàn)略的實(shí)施起到保駕護(hù)航的作用。信息系統(tǒng)安全規(guī)劃的目標(biāo)應(yīng)該與企業(yè)信息化的目標(biāo)是一致的，而且應(yīng)該比企業(yè)信息化的目標(biāo)更具體明確、更貼近安全。信息系統(tǒng)安全規(guī)劃的一切論述都要圍繞著這個(gè)目標(biāo)展開和部署。

3 信息安全組織規(guī)劃

3.1 組織規(guī)劃目標(biāo)

組織建設(shè)是信息安全建設(shè)的基本保證，信息安全組織的目標(biāo)是：

1）完善和形成一個(gè)獨(dú)立的、完整的、動(dòng)態(tài)的、開放的信息安全組織架構(gòu)，達(dá)到國際國內(nèi)標(biāo)準(zhǔn)的要求；

2）打造一支具有專業(yè)水準(zhǔn)的、過硬本領(lǐng)的信息安全隊(duì)伍。對(duì)內(nèi)可以保障企業(yè)內(nèi)部網(wǎng)安全，對(duì)外可以向社會(huì)提供高品質(zhì)的安全服務(wù)；

3）建設(shè)一個(gè) “信息安全運(yùn)維中心（SOC）”，能夠滿足當(dāng)前和未來的業(yè)務(wù)發(fā)展及信息安全組織運(yùn)轉(zhuǎn)的支撐系統(tǒng)，能夠?qū)ν馓峁┌踩?wù)平臺(tái)。

3.2 組織規(guī)劃實(shí)施

對(duì)于組織規(guī)劃這個(gè)方面，是屬于一個(gè)企業(yè)信息安全規(guī)劃的上層建筑，需要用一種由上而下的方法來實(shí)現(xiàn)，其主要是在具體人事機(jī)制、管理機(jī)制和培訓(xùn)機(jī)制上做工作。對(duì)于分布式企業(yè)而言，需要主導(dǎo)部門從上層著手，建章立制，強(qiáng)化安全教育，加大基礎(chǔ)人力、財(cái)力和物力的投入。

4 信息安全管理規(guī)劃

4.1 管理規(guī)劃目標(biāo)

信息安全管理規(guī)劃的目標(biāo)是，完善和形成“七套信息安全軟措施”，具體包括：一套等級(jí)劃分指標(biāo)，一套信息安全策略，一套信息安全制度，一套信息安全流程規(guī)范，一套信息安全教育培訓(xùn)體系，一套信息安全風(fēng)險(xiǎn)監(jiān)管機(jī)制，一套信息安全績效考核指標(biāo)?！捌咛仔畔踩洿胧标P(guān)系如圖1所示。

4.2 信息安全管理設(shè)計(jì)

基于對(duì)管理目標(biāo)的分析，信息安全管理的原則以風(fēng)險(xiǎn)管理為主，集中安全控制。管理要素由管理對(duì)象、安全威脅、脆弱性、風(fēng)險(xiǎn)、保護(hù)措施組成。

4.2.1 信息安全等級(jí)劃分指標(biāo)

信息安全等級(jí)保護(hù)是國家在國民經(jīng)濟(jì)和社會(huì)信息化的發(fā)展過程中，提高信息安全保障能力和水平，維護(hù)國家安全、社會(huì)穩(wěn)定和公共利益，保障和促進(jìn)信息化健康發(fā)展的基本策略。

4.2.2 信息安全策略

信息安全安全策略是關(guān)于保護(hù)對(duì)象說明、保護(hù)必要性描述、保護(hù)責(zé)任人、保護(hù)對(duì)策以及意外處理方法的總和。

4.2.3 信息安全制度

信息安全制度是指為信息資產(chǎn)的安全而制定的行為約束規(guī)則。

4.2.4 信息安全規(guī)范

信息安全規(guī)范是關(guān)于信息安全工作應(yīng)達(dá)到的要求，在信息安全規(guī)范方面，根據(jù)調(diào)查，建立信息安全管理規(guī)范、信息安全技術(shù)規(guī)范。其中，安全管理規(guī)范主要針對(duì)人員、團(tuán)隊(duì)、制度和資源管理提供參照性準(zhǔn)則；信息安全技術(shù)規(guī)范主要針對(duì)安全設(shè)計(jì)、施工、維護(hù)和操作提供技術(shù)性指導(dǎo)建議。

4.2.5 信息安全管理流程

信息安全流程是指工作中應(yīng)遵循的信息安全程序，其目的是減少安全隱患，降低風(fēng)險(xiǎn)。

4.2.6 信息安全績效考核指標(biāo)

信息安全績效考核指標(biāo)是指針對(duì)信息安全工作的質(zhì)量和態(tài)度而給出的評(píng)價(jià)依據(jù)，其目的是增強(qiáng)信息安全責(zé)任意識(shí)，提高信息安全工作質(zhì)量。

4.2.7 信息安全監(jiān)管機(jī)制

信息安全監(jiān)管機(jī)制是指有關(guān)信息安全風(fēng)險(xiǎn)的識(shí)別、分析和控制的措施總和。其主要目的加強(qiáng)信息安全風(fēng)險(xiǎn)的控制，做到“安全第一，預(yù)防為主”。

4.2.8 信息安全教育培訓(xùn)體系

其主要目的加強(qiáng)的信息安全人才隊(duì)伍的建設(shè)，提高企業(yè)人員的信息安全意識(shí)和技能，增強(qiáng)企業(yè)信息安全能力。

5 信息安全技術(shù)規(guī)劃

5.1 技術(shù)規(guī)劃目標(biāo)

信息安全技術(shù)規(guī)劃目標(biāo)簡言之是：給業(yè)務(wù)運(yùn)營提供信息安全環(huán)境，為企業(yè)轉(zhuǎn)型提供契機(jī)，構(gòu)建信息安全服務(wù)支撐系統(tǒng)。具體目標(biāo)如下：

1）打造信息安全基礎(chǔ)環(huán)境，調(diào)整和優(yōu)化IT基礎(chǔ)設(shè)施，建立安全專網(wǎng)，設(shè)置兩個(gè)中心（信息安全運(yùn)維中心、災(zāi)備中心）；

2）建立一體化信息安全平臺(tái)，綜合集成安全決策調(diào)度、安全巡檢、認(rèn)證授權(quán)、安全防護(hù)、安全監(jiān)控、安全審計(jì)、應(yīng)急響應(yīng)、安全服務(wù)、安全測(cè)試、安全培訓(xùn)等功能，實(shí)現(xiàn)的集中安全管理控制，快速安全事件響應(yīng)，高可信的安全防護(hù)，拓展企業(yè)業(yè)務(wù)，開辟信息安全服務(wù)新領(lǐng)域。

5.2 信息安全運(yùn)維中心(SOC)

SOC 是信息安全體系建設(shè)的基礎(chǔ)性工作，SOC 承載用于監(jiān)控第一生產(chǎn)網(wǎng)的安全專網(wǎng)核心基礎(chǔ)設(shè)施，提供信息安全中心技術(shù)人員的辦公場(chǎng)所，提供“7×24”小時(shí)連續(xù)不斷的安全應(yīng)用服務(wù),提供實(shí)時(shí)監(jiān)控、遠(yuǎn)程入侵發(fā)現(xiàn)、事件響應(yīng)、安全更新與升級(jí)等業(yè)務(wù)，SOC 要求具有充分保障自身的安全措施。除了SOC 的組織建設(shè)、基礎(chǔ)工程外，SOC 的技術(shù)性工作還要做以下幾個(gè)方面：

1）硬件基礎(chǔ)建設(shè)，主要內(nèi)容是SOC 的選址、布局、布線、系統(tǒng)集成，實(shí)現(xiàn)SOC 自身的防火、防潮、防電、防塵、安全監(jiān)控功能；

2）軟件基礎(chǔ)建設(shè)，包括SSS 系統(tǒng)、機(jī)房監(jiān)控子系統(tǒng)、功能小組及中心組劃分。

圖1 信息安全軟措施關(guān)系

圖2 信息安全總體框架

圖3 資產(chǎn)、組織、管理和安全措施的關(guān)系

5.3 信息安全綜合測(cè)試環(huán)境

隨著分布式企業(yè)信息化程度的日也加深，需要部署到大量IT 產(chǎn)品和應(yīng)用系統(tǒng)，為了保障安全，必須對(duì)這些IT 系統(tǒng)和產(chǎn)品做入網(wǎng)前安全檢查，消除安全隱患?；诖?，綜合測(cè)試環(huán)境建設(shè)的內(nèi)容包括：安全測(cè)試網(wǎng)絡(luò)；測(cè)試系統(tǒng)設(shè)備；安全測(cè)試工具；安全測(cè)試分析系統(tǒng)；安全測(cè)試知識(shí)庫。

其中，安全測(cè)試網(wǎng)絡(luò)要求能夠模擬企業(yè)網(wǎng)絡(luò)真實(shí)的帶寬；測(cè)試系統(tǒng)設(shè)備能夠提供典型的網(wǎng)絡(luò)服務(wù)流量模擬、典型的應(yīng)用系統(tǒng)流量模擬；安全測(cè)試工具覆蓋防范類、檢測(cè)類、評(píng)估類、應(yīng)急恢復(fù)類、管理類等，并提供使用說明、漏洞掃描、應(yīng)用安全分析；安全測(cè)試分析系統(tǒng)能夠提供統(tǒng)計(jì)分析、圖表展現(xiàn)功能；安全知識(shí)庫包含以下內(nèi)容：漏洞知識(shí)庫，補(bǔ)丁信息庫，安全標(biāo)準(zhǔn)知識(shí)庫，威脅場(chǎng)景視頻庫，攻擊特征知識(shí)庫，信息安全解決案例庫，安全產(chǎn)品知識(shí)庫，安全概念和術(shù)語知識(shí)庫。

5.4 安全平臺(tái)建設(shè)規(guī)劃

參照國際上PDRR 模型和國家信息安全方面規(guī)范，建議信息安全總體框架設(shè)計(jì)如圖2所示。

主要目的，以資產(chǎn)為核心，通過安全組織實(shí)現(xiàn)資產(chǎn)保護(hù)，以安全管理來約束組織的行為，以技術(shù)手段輔助安全管理。其中，資產(chǎn)、組織、管理、安全措施的關(guān)系如圖3所示，核心為資產(chǎn)，圍繞資產(chǎn)是組織，組織是管理，最外層是安全措施。

在平臺(tái)中集成十個(gè)安全機(jī)制，它們分別是：信息安全集中管理；信息安全巡檢；信息安全認(rèn)證授權(quán)；信息安全防護(hù)；信息安全監(jiān)控；信息安全測(cè)試；信息安全審核；信息安全應(yīng)急響應(yīng)；信息安全教育培訓(xùn)；信息安全服務(wù)。

6 信息安全服務(wù)業(yè)務(wù)規(guī)劃

6.1 服務(wù)業(yè)務(wù)規(guī)劃目標(biāo)

信息安全服務(wù)業(yè)務(wù)規(guī)劃目標(biāo)簡言之是：以信息安全服務(wù)為切入點(diǎn)，充分發(fā)揮企業(yè)優(yōu)勢(shì)資源，引領(lǐng)信息安全市場(chǎng)，為企業(yè)轉(zhuǎn)型創(chuàng)造時(shí)機(jī)。具體目標(biāo)如下：

1）推出面向客戶安全（檢查、教育、配置）產(chǎn)品；2）推出面向大型企業(yè)的信息安全咨詢產(chǎn)品；3）推出面向家庭安全上網(wǎng)產(chǎn)品；4）推出面向企業(yè)安全運(yùn)維產(chǎn)品；5）推出面向企業(yè)災(zāi)害恢復(fù)產(chǎn)品。

6.2 服務(wù)業(yè)務(wù)規(guī)劃設(shè)計(jì)

服務(wù)業(yè)務(wù)規(guī)劃主要針對(duì)具體業(yè)務(wù)而言，在此列舉信息類分布式企業(yè)業(yè)務(wù)作為示例：

1）信息安全咨詢類產(chǎn)品，其服務(wù)功能主要有：信息安全風(fēng)險(xiǎn)評(píng)估；信息安全規(guī)劃設(shè)計(jì)；信息安全產(chǎn)品顧問。

2）信息安全教育培訓(xùn)類產(chǎn)品，其服務(wù)功能主要有：提供信息安全操作環(huán)境；提供信息安全知識(shí)教育；提供信息安全運(yùn)維教育。

3）家庭類安全服務(wù)產(chǎn)品，其服務(wù)功能主要有：推出“家庭綠色上網(wǎng)”安全服務(wù)；家庭上網(wǎng)防病毒服務(wù)；家庭上網(wǎng)機(jī)器安全檢查服務(wù)；家庭上網(wǎng)機(jī)數(shù)據(jù)備份服務(wù)。

4）企業(yè)類安全服務(wù)產(chǎn)品，其服務(wù)功能主要有：企業(yè)安全上網(wǎng)控制服務(wù)；企業(yè)安全專網(wǎng)服務(wù)；安全信息通告；企業(yè)運(yùn)維服務(wù)。

5）容災(zāi)類安全服務(wù)產(chǎn)品，其服務(wù)功能主要有：面向政府?dāng)?shù)據(jù)災(zāi)備服務(wù)；面向政府信息系統(tǒng)災(zāi)備服務(wù)；面向企業(yè)數(shù)據(jù)災(zāi)備服務(wù)；面向企業(yè)信息系統(tǒng)災(zāi)備服務(wù)。

7 結(jié)束語

通過結(jié)合分布式企業(yè)的具體實(shí)際，按照信息安全體系結(jié)構(gòu)相關(guān)標(biāo)準(zhǔn)，提出了分布式企業(yè)的信息安全規(guī)劃原則和目標(biāo)。并依據(jù)次原則與目標(biāo)，按照組織、管理和技術(shù)三個(gè)方面提出了具體的實(shí)現(xiàn)與設(shè)計(jì)規(guī)范原則。最后，依據(jù)服務(wù)規(guī)劃目標(biāo)，提出了信息類分布式企業(yè)的信息安全服務(wù)規(guī)劃設(shè)計(jì)實(shí)例。

參考文獻(xiàn)：

[1] 周曉梅. 論企業(yè)信息安全體系的建立[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2006，3：62～64，57.

[2] Harold F. Tipton，Micki Krause. Information Security Management Handbook[M]. Fifth Edition.US：Auerbach Publications，2004.

[3] 魏永紅,李天智,張志. 網(wǎng)絡(luò)信息安全防御體系探討[J].河北省科學(xué)院學(xué)報(bào)，2006,23,(1):25～28.

[4] 張慶華. 信息網(wǎng)絡(luò)動(dòng)態(tài)安全體系模型綜述[J].計(jì)算機(jī)應(yīng)用研究，2002,10:5～7.

[5] ISO/IEC 15408，13335，15004，14598，信息技術(shù)安全評(píng)估的系列標(biāo)準(zhǔn)[S].

[6] BS7799-1，7799-2，ISO/IEC 17799，信息安全管理系列標(biāo)準(zhǔn)[S].

[7] BS7799-2，Information Security Management Systems-Specification With Guidance for use[S].

篇6

中圖分類號(hào)：F426.8 文獻(xiàn)標(biāo)識(shí)碼：A

為貫徹落實(shí)《煙草企業(yè)安全生產(chǎn)標(biāo)準(zhǔn)化規(guī)范》，株洲市煙草專賣局結(jié)合實(shí)際，在充分調(diào)研的基礎(chǔ)上，對(duì)煙草商業(yè)企業(yè)安全生產(chǎn)標(biāo)準(zhǔn)化達(dá)標(biāo)創(chuàng)建和安全生產(chǎn)信息化建設(shè)進(jìn)行了有效探索。本文結(jié)合株洲煙草《煙草企業(yè)安全生產(chǎn)標(biāo)準(zhǔn)信息應(yīng)用》項(xiàng)目研發(fā)成果，對(duì)煙草商業(yè)企業(yè)如何開展安全生產(chǎn)標(biāo)準(zhǔn)信息化建設(shè)進(jìn)行闡述和分析。

一、開展安全生產(chǎn)標(biāo)準(zhǔn)信息化建設(shè)的意義

《煙草行業(yè)安全生產(chǎn)標(biāo)準(zhǔn)化規(guī)范》全面規(guī)范了煙草企業(yè)安全生產(chǎn)的開展方法、途徑和標(biāo)準(zhǔn)，為全行業(yè)規(guī)范安全生產(chǎn)工作、提升基礎(chǔ)建設(shè)水平，提供了管理和技術(shù)支撐。而加強(qiáng)《煙草行業(yè)安全生產(chǎn)標(biāo)準(zhǔn)化規(guī)范》的宣貫落地，是改善煙草企業(yè)安全設(shè)施和提高工藝水平，增強(qiáng)從業(yè)人員的安全生產(chǎn)標(biāo)準(zhǔn)化意識(shí)和規(guī)范安全生產(chǎn)行為，提升安全生產(chǎn)管理水平，防范生產(chǎn)安全事故，確保行業(yè)安全生產(chǎn)形勢(shì)持續(xù)穩(wěn)定的重要舉措。

株洲煙草在建設(shè)過程中認(rèn)識(shí)到安全生產(chǎn)標(biāo)準(zhǔn)化工作的重要性和緊迫性，在安全管理的基礎(chǔ)上，圍繞《煙草企業(yè)安全生產(chǎn)標(biāo)準(zhǔn)化規(guī)范》，組織開展標(biāo)準(zhǔn)的宣貫，制訂了適合本單位實(shí)際的建設(shè)方案，探索了一條與職業(yè)健康安全管理體系要求相結(jié)合、富有本企業(yè)特點(diǎn)、可操作性強(qiáng)、基層員工易于理解和接受的安全生產(chǎn)標(biāo)準(zhǔn)化宣貫途徑，其意義主要體現(xiàn)在：一是有利于推進(jìn)煙草企業(yè)安全生產(chǎn)標(biāo)準(zhǔn)化規(guī)范的應(yīng)用；二是有利于推動(dòng)煙草商業(yè)企業(yè)安全生產(chǎn)信息化的建設(shè)；三是有利于提高煙草商業(yè)企業(yè)安全生產(chǎn)管理水平；四是有利于改善煙草商業(yè)企業(yè)安全生產(chǎn)管理現(xiàn)狀；五是有利于煙草商業(yè)企業(yè)預(yù)防安全風(fēng)險(xiǎn)和減少安全事故。

二、開展安全生產(chǎn)標(biāo)準(zhǔn)信息化建設(shè)的方法

根據(jù)株洲煙草的實(shí)際，開展安全生產(chǎn)標(biāo)準(zhǔn)信息化建設(shè)，主要從以下幾個(gè)方面入手：

（一）明確總體思路。

株洲煙草在建設(shè)過程中，明確了“一本手冊(cè)+一個(gè)信息系統(tǒng)”的總體思路?！耙槐臼謨?cè)”就是通過建立一本《安全生產(chǎn)標(biāo)準(zhǔn)化操作手冊(cè)》來指導(dǎo)全市系統(tǒng)的安全生產(chǎn)標(biāo)準(zhǔn)化建設(shè)工作，滿足安全生產(chǎn)標(biāo)準(zhǔn)化基礎(chǔ)管理達(dá)標(biāo)定級(jí)的要求，適用于本單位的安全生產(chǎn)基礎(chǔ)管理，使文本格式化、內(nèi)容規(guī)范化、操作簡便化、記錄標(biāo)準(zhǔn)化、查詢方便化。“一個(gè)信息系統(tǒng)”就是通過建立一個(gè)《安全生產(chǎn)標(biāo)準(zhǔn)化信息系統(tǒng)》來管理全市系統(tǒng)的安全生產(chǎn)標(biāo)準(zhǔn)化評(píng)價(jià)、應(yīng)急預(yù)案演練、安全教育培訓(xùn)、安全設(shè)備設(shè)施臺(tái)帳等安全管理工作，滿足安全生產(chǎn)管理信息化建設(shè)的要求，適用于煙草商業(yè)企業(yè)的安全信息化管理，在基礎(chǔ)管理子系統(tǒng)中實(shí)現(xiàn)查閱、錄入、統(tǒng)計(jì)、審批等功能；標(biāo)準(zhǔn)化評(píng)價(jià)系統(tǒng)包括基礎(chǔ)管理規(guī)范、通用安全技術(shù)和現(xiàn)場(chǎng)規(guī)范、煙草商業(yè)企業(yè)安全技術(shù)和現(xiàn)場(chǎng)規(guī)范要求等三項(xiàng)內(nèi)容，具有自評(píng)、復(fù)評(píng)、外評(píng)等三個(gè)功能。

（二）遵循設(shè)計(jì)原則。

開展安全生產(chǎn)標(biāo)準(zhǔn)信息化建設(shè)應(yīng)遵循以下五個(gè)原則：一是開放性。在設(shè)計(jì)時(shí)考慮到功能的可擴(kuò)展性與維護(hù)的方便性，使用的操作平臺(tái)類型，應(yīng)用服務(wù)器、編程語言和數(shù)據(jù)庫，遵循了通用性和開放性，減少了后續(xù)功能增加和修改的難度，提高了后續(xù)服務(wù)的方便。二是先進(jìn)性。采用目前國際上最先進(jìn)的數(shù)據(jù)庫技術(shù)，ASP開發(fā)，sql　server2000作為網(wǎng)站后臺(tái)數(shù)據(jù)庫，IIS5作為Application　Server。這個(gè)組合在測(cè)試權(quán)威e-Week的測(cè)試中顯示具有最優(yōu)性能。三是實(shí)用性。該系統(tǒng)以株洲煙草的安全需求為目標(biāo)，以方便使用為原則，在吸取先進(jìn)管理經(jīng)驗(yàn)的基礎(chǔ)上，量身定做，并在統(tǒng)一的用戶界面下提供各種實(shí)用功能，盡可能降低使用前的培訓(xùn)和使用中的維護(hù)投入，提供前端網(wǎng)頁開發(fā)的無逢連接。四是安全性。充分考慮系統(tǒng)及數(shù)據(jù)資源的容災(zāi)、備份、恢復(fù)的要求。為系統(tǒng)提供強(qiáng)大的數(shù)據(jù)庫備份工具。充分考慮系統(tǒng)的安全要求，信息管理責(zé)任到人。五是規(guī)范性。完全按照ISO9001的規(guī)范進(jìn)行系統(tǒng)設(shè)計(jì)和開發(fā)，設(shè)計(jì)圖采用uml進(jìn)行描述，開發(fā)的網(wǎng)站符合政府網(wǎng)站建設(shè)的整體要求。

（三）采用正確的方法。

《操作手冊(cè)》采用的編制方法：一是搜集整理資料；二是分析資料的實(shí)用價(jià)值；三是設(shè)計(jì)《操作手冊(cè)》的框架及目錄；四是編輯手冊(cè)內(nèi)容；五是聘請(qǐng)安全高級(jí)評(píng)價(jià)師進(jìn)行審核；六是在全市系統(tǒng)廣泛征求意見和建議；七是召開安委會(huì)進(jìn)行評(píng)審；八是在全市系統(tǒng)試運(yùn)行。

《信息系統(tǒng)》采用的開發(fā)方法：一是在全面分析需求的基礎(chǔ)上，搭建系統(tǒng)框架。具體如下圖：

二是與軟件開發(fā)單位聯(lián)合開發(fā)安全信息系統(tǒng)；三是明確安全信息系統(tǒng)的開發(fā)手段；四是分階段實(shí)施安全信息系統(tǒng)的開發(fā)。主要包括九個(gè)階段，即需求確認(rèn)階段、總體設(shè)計(jì)階段、分項(xiàng)詳細(xì)設(shè)計(jì)階段、系統(tǒng)詳細(xì)開發(fā)計(jì)劃制訂階段、系統(tǒng)開發(fā)實(shí)施階段、集成階段、測(cè)試階段、鑒定驗(yàn)收階段和系統(tǒng)投入使用和系統(tǒng)維護(hù)階段。

（四）解決好關(guān)鍵問題。

《操作手冊(cè)》主要解決好7個(gè)關(guān)鍵問題：一是組織機(jī)構(gòu)的設(shè)置。組織機(jī)構(gòu)設(shè)置應(yīng)遵循精簡、高效、適用的原則，做到統(tǒng)一、規(guī)范、適合安全生產(chǎn)管理工作需要；二是安全管理制度的梳理和完善。應(yīng)對(duì)已有的安全管理制度進(jìn)行梳理，對(duì)未建立或者是與標(biāo)準(zhǔn)化規(guī)范有出入的管理制度進(jìn)行完善補(bǔ)充，滿足標(biāo)準(zhǔn)化規(guī)范的全部要求；三是安全生產(chǎn)管理臺(tái)帳的設(shè)置。應(yīng)制定統(tǒng)一、規(guī)范、適用的臺(tái)帳，滿足安全生產(chǎn)基礎(chǔ)管理需要，并符合標(biāo)準(zhǔn)化規(guī)范的要求；四是安全生產(chǎn)管理記錄的規(guī)范。主要是規(guī)范安全生產(chǎn)管理記錄的格式和保存方式；五是應(yīng)急救援預(yù)案的編制。主要包括火災(zāi)事故、機(jī)動(dòng)車輛、卷煙倉儲(chǔ)、卷煙配送、專賣執(zhí)法、煙葉生產(chǎn)、卷煙營銷等七個(gè)方面，要突出行業(yè)特色，充分發(fā)揮全行業(yè)的力量，做到應(yīng)急救援資源共享；六是安全生產(chǎn)管理考核評(píng)價(jià)內(nèi)容的細(xì)化。對(duì)安全生產(chǎn)標(biāo)準(zhǔn)化規(guī)范中的39項(xiàng)考核評(píng)價(jià)內(nèi)容進(jìn)行細(xì)化，結(jié)合標(biāo)準(zhǔn)化規(guī)范基礎(chǔ)和現(xiàn)場(chǎng)管理的具體要求，制定更加全面、更加詳細(xì)、更加具體的考核評(píng)價(jià)表；七是職業(yè)健康安全體系文件的搜集和完善。對(duì)煙草商業(yè)企業(yè)職業(yè)健康安全體系文件進(jìn)行搜集和完善，形成一套覆蓋煙草商業(yè)企業(yè)各重點(diǎn)環(huán)節(jié)的體系文件。

《信息系統(tǒng)》主要是建設(shè)好“安全管理基本信息數(shù)據(jù)庫、信息數(shù)據(jù)統(tǒng)計(jì)和安全生產(chǎn)標(biāo)準(zhǔn)化級(jí)別評(píng)定”等三個(gè)子系統(tǒng)。其中：安全管理基本信息數(shù)據(jù)庫子系統(tǒng)主要是解決好功能設(shè)置、實(shí)用性及安全性的問題；信息數(shù)據(jù)統(tǒng)計(jì)子系統(tǒng)主要是解決好保密和分級(jí)授權(quán)查閱以及防止網(wǎng)絡(luò)入侵，保護(hù)信息安全的問題；安全生產(chǎn)標(biāo)準(zhǔn)化級(jí)別評(píng)定子系統(tǒng)主要是解決好在系統(tǒng)內(nèi)實(shí)現(xiàn)卷煙商業(yè)企業(yè)安全生產(chǎn)標(biāo)準(zhǔn)化達(dá)標(biāo)評(píng)級(jí)自動(dòng)評(píng)分功能，實(shí)現(xiàn)企業(yè)自評(píng)和外部評(píng)審等兩級(jí)考核評(píng)分功能以及在企業(yè)自評(píng)過程中，能自動(dòng)顯示本企業(yè)與標(biāo)準(zhǔn)化規(guī)范的差距，實(shí)現(xiàn)安全隱患整改跟蹤反饋功能等等。

篇7

信息化發(fā)展對(duì)于企業(yè)人員日常的管理，相比較原來舊的方法而言更方便快捷、更高效；對(duì)于企業(yè)的整體發(fā)展的影響，相比較原來用人來發(fā)現(xiàn)風(fēng)險(xiǎn)，信息化大數(shù)據(jù)管控更能提前預(yù)知風(fēng)險(xiǎn)并幫助企業(yè)更好地解決問題；對(duì)于企業(yè)組織結(jié)構(gòu)和流程的影響，集成化的網(wǎng)絡(luò)信息系統(tǒng)是提高質(zhì)效的一把利器。但現(xiàn)實(shí)使用中，企業(yè)的信息化進(jìn)程存在安全度低、信息泄露嚴(yán)重和安全意識(shí)低等現(xiàn)象，導(dǎo)致企業(yè)和用戶損失大量人力物力，甚至受到巨大損失。由此可見，信息化建設(shè)對(duì)企業(yè)發(fā)展有著不可小覷的作用，能比原來的模式更有效處理問題、促進(jìn)企業(yè)發(fā)展，是所有企業(yè)在發(fā)展過程中不可或缺的一個(gè)環(huán)節(jié)。

2.企業(yè)信息化建設(shè)中的網(wǎng)絡(luò)安全問題

2.1網(wǎng)絡(luò)安全意識(shí)不強(qiáng)

科學(xué)技術(shù)的不斷發(fā)展進(jìn)步，對(duì)于企業(yè)發(fā)展的影響作用不言而喻，但是，相當(dāng)一部分企業(yè)卻只看到益處卻忽略了“信息安全”的重要性。

近年來，在技術(shù)、社會(huì)和政府等多方面的努力下，企業(yè)的信息化建設(shè)發(fā)展速度加快，取得很大的進(jìn)展，其重要作用毋庸置疑，各個(gè)企業(yè)都越來越重視信息化的進(jìn)步。但在新聞報(bào)道中，經(jīng)常見到有信息非法獲取、信息交易導(dǎo)致用戶信息泄露，這也是每個(gè)企業(yè)需要反思的問題。數(shù)據(jù)泄露、信息是否安全等問題并沒有引起所有企業(yè)的重視，嚴(yán)重的不僅會(huì)導(dǎo)致用戶信息泄露，如果發(fā)生企業(yè)數(shù)據(jù)庫被篡改、網(wǎng)絡(luò)系統(tǒng)崩潰等事件，給企業(yè)帶來的名譽(yù)和財(cái)產(chǎn)損失不可估量。

2.2技術(shù)水平不高

世界范圍內(nèi)都存在一個(gè)不好處理的網(wǎng)絡(luò)難題———黑客。企業(yè)在信息化發(fā)展的過程中，免不了遇到技術(shù)問題，由于有關(guān)人員或團(tuán)隊(duì)自身的水平不夠和相關(guān)方面的經(jīng)驗(yàn)的缺失，不可避免會(huì)存在某些漏洞和問題，這些漏洞和問題恰恰給了黑客絕佳的機(jī)會(huì)，讓他們有機(jī)會(huì)盜取信息。即使是市面上使用的各個(gè)“管家”與殺毒軟件也完全檢測(cè)不到，對(duì)企業(yè)的安全構(gòu)成非常大的威脅。

2.3可使用的高水平軟件少

一方面是供研發(fā)企業(yè)使用的高水平軟件較少；另一方面是軟件安全度低，很多公司雖然看到信息化發(fā)展的好處，但卻貪圖低成本的小利益，花費(fèi)小成本購買使用安全保護(hù)性低的工作軟件，結(jié)局只會(huì)帶來難以挽回的后果。

3.企業(yè)信息化建設(shè)提高網(wǎng)絡(luò)信息安全性的措施

3.1切實(shí)提高企業(yè)安全意識(shí)

科學(xué)技術(shù)的進(jìn)步，促進(jìn)企業(yè)重視信息安全，思考信息安全問題和公司發(fā)展之間不可分割的關(guān)系，因?yàn)樾畔⑿孤稁頁p失還是小事，如果因此減少了企業(yè)競爭力，甚至阻礙了企業(yè)發(fā)展才是最可怕的結(jié)果。因此，企業(yè)應(yīng)當(dāng)提高安全意識(shí)，提前準(zhǔn)備對(duì)策、制定應(yīng)對(duì)突況的策略，防止信息泄露等潛在威脅，將威脅扼殺在搖籃之中。通過建立高技術(shù)水平的團(tuán)隊(duì)，運(yùn)用專業(yè)知識(shí)和工作經(jīng)驗(yàn)切實(shí)增強(qiáng)防火墻安全度，定期維護(hù)信息系統(tǒng)，從源頭的技術(shù)傳輸階段維護(hù)信息安全，建立完善的信息保護(hù)制度，以此來保護(hù)信息安全、促進(jìn)企業(yè)發(fā)展。

3.2提高信息系統(tǒng)的管理水平

雖然現(xiàn)在大家都在普遍使用《金山毒霸》《騰訊管家》等安全防護(hù)軟件，但是這些軟件也不能保證絕對(duì)的安全。改革舊的風(fēng)險(xiǎn)評(píng)估模式，健全信息篩選管理安全體系，在一定程度上可以提高安全系統(tǒng)等級(jí)、減小信息被盜的風(fēng)險(xiǎn)，在信息系統(tǒng)建立過程中，及早發(fā)現(xiàn)風(fēng)險(xiǎn)并妥善處理對(duì)企業(yè)發(fā)展尤其重要。

3.3使用安全性高的軟件

篇8

1.企業(yè)信息系統(tǒng)安全防護(hù)的價(jià)值

隨著企業(yè)信息化水平的提高，企業(yè)對(duì)于IT系統(tǒng)的依賴性也越來越高。一方面，“業(yè)務(wù)系統(tǒng)流程化”正在成為IT安全建設(shè)的驅(qū)動(dòng)力。企業(yè)的新業(yè)務(wù)應(yīng)用正在逐漸標(biāo)準(zhǔn)化和流程化，各種應(yīng)用系統(tǒng)如ERP、MES為企業(yè)的生產(chǎn)效率的提高起到了關(guān)鍵的作用。有效的管控IT環(huán)境，確保IT業(yè)務(wù)系統(tǒng)的持續(xù)穩(wěn)定運(yùn)行作為企業(yè)競爭力的一部分，已成為IT系統(tǒng)安全防護(hù)的主要目標(biāo)和關(guān)鍵驅(qū)動(dòng)力。另一方面，企業(yè)IT安全的建設(shè)也是“法規(guī)遵從”的需要。IT系統(tǒng)作為企業(yè)財(cái)務(wù)應(yīng)用系統(tǒng)的重要支撐，必須提供可靠的運(yùn)行保障和數(shù)據(jù)正確性保證。

2.企業(yè)信息系統(tǒng)安全建設(shè)的現(xiàn)狀分析

在企業(yè)信息化建設(shè)的過程中，業(yè)務(wù)系統(tǒng)的建設(shè)一直是關(guān)注的重點(diǎn)，但是IT業(yè)務(wù)系統(tǒng)的安全保障方面，往往成為整個(gè)信息化最薄弱的環(huán)節(jié)，尤其是在信息化水平還較低的情況下，IT系統(tǒng)的安全建設(shè)缺乏統(tǒng)一的策略作為指導(dǎo)。歸結(jié)起來，企業(yè)在IT系統(tǒng)安全建設(shè)的過程中，存在以下幾方面的不足：

2.1 安全危機(jī)意識(shí)不足，制度和規(guī)范不健全

盡管知道IT安全事故后果比較嚴(yán)重，但是企業(yè)的高層領(lǐng)導(dǎo)心中仍然存在著僥幸心理，更多的時(shí)候把IT安全建設(shè)的預(yù)算挪用到其他的領(lǐng)域。企業(yè)在信息安全制度及信息安全緊急事件響應(yīng)流程等方面缺乏完整的制度和規(guī)范保證，由此帶來的后果是諸如對(duì)網(wǎng)絡(luò)的任意使用，導(dǎo)致公司的機(jī)密文檔被擴(kuò)散。同時(shí)在發(fā)生網(wǎng)絡(luò)安全問題的時(shí)候，也因?yàn)槿狈︻A(yù)先設(shè)置的各種應(yīng)急防護(hù)措施，導(dǎo)致安全風(fēng)險(xiǎn)得不到有效控制。

2.2 應(yīng)用系統(tǒng)和安全建設(shè)相分離，忽視數(shù)據(jù)安全存儲(chǔ)建設(shè)

在企業(yè)IT應(yīng)用系統(tǒng)的建設(shè)時(shí)期，由于所屬的建設(shè)職能部門的不同，或者是因?yàn)橥顿Y預(yù)算的限制，導(dǎo)致在應(yīng)用系統(tǒng)建設(shè)階段并沒有充分考慮到安全防護(hù)的需要，為后續(xù)的應(yīng)用系統(tǒng)受到攻擊癱瘓埋下了隱患。數(shù)據(jù)安全的威脅表現(xiàn)在核心數(shù)據(jù)的丟失；各種自然災(zāi)難、IT系統(tǒng)故障，也對(duì)數(shù)據(jù)安全帶來了巨大沖擊。遺憾的是很多企業(yè)在數(shù)據(jù)的安全存儲(chǔ)方面，并沒有意識(shí)到同城異地災(zāi)難備份或遠(yuǎn)程災(zāi)難備份的重要性。

2.3 缺乏整體的安全防護(hù)體系，“簡單疊加、七國八制”

對(duì)于信息安全系統(tǒng)的建設(shè)，“頭痛醫(yī)頭、腳痛醫(yī)腳”的現(xiàn)象比較普遍。大多數(shù)企業(yè)仍然停留在出現(xiàn)一個(gè)安全事故后再去解決一個(gè)安全隱患的階段，缺乏對(duì)信息安全的全盤考慮和統(tǒng)一規(guī)劃，這樣的后果就是網(wǎng)絡(luò)上的設(shè)備五花八門，設(shè)備方案之間各自為戰(zhàn)，缺乏相互關(guān)聯(lián)，從而導(dǎo)致了多種問題。

3.企業(yè)信息系統(tǒng)安全建設(shè)規(guī)劃的原則

企業(yè)的信息化安全建設(shè)的目標(biāo)是要保證業(yè)務(wù)系統(tǒng)的正常運(yùn)轉(zhuǎn)從而為企業(yè)帶來價(jià)值，在設(shè)計(jì)高水平的安全防護(hù)體系時(shí)應(yīng)該遵循以下幾個(gè)原則：

（1）統(tǒng)一規(guī)劃設(shè)計(jì)。信息安全建設(shè)，需要遵循“統(tǒng)一規(guī)劃、統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一設(shè)計(jì)、統(tǒng)一建設(shè)”的原則；應(yīng)用系統(tǒng)的建設(shè)要和信息安全的防護(hù)要求統(tǒng)一考慮。

（2）架構(gòu)先進(jìn)，突出防護(hù)重點(diǎn)。要采用先進(jìn)的架構(gòu)，選擇成熟的主流產(chǎn)品和符合技術(shù)發(fā)展趨勢(shì)的產(chǎn)品；明確信息安全建設(shè)的重點(diǎn)，重點(diǎn)保護(hù)基礎(chǔ)網(wǎng)絡(luò)安全及關(guān)鍵應(yīng)用系統(tǒng)的安全，對(duì)不同的安全威脅進(jìn)行有針對(duì)性的方案建設(shè)。

（3）技術(shù)和管理并重，注重系統(tǒng)間的協(xié)同防護(hù)?！叭旨夹g(shù)，七分管理”，合理劃分技術(shù)和管理的界面，從組織與流程、制度與人員、場(chǎng)地與環(huán)境、網(wǎng)絡(luò)與系統(tǒng)、數(shù)據(jù)與應(yīng)用等多方面著手，在系統(tǒng)設(shè)計(jì)、建設(shè)和運(yùn)維的多環(huán)節(jié)進(jìn)行綜合協(xié)同防范。

（4）統(tǒng)一安全管理，考慮合規(guī)性要求。建設(shè)集中的安全管理平臺(tái)，統(tǒng)一處理各種安全事件，實(shí)現(xiàn)安全預(yù)警和及時(shí)響應(yīng)；基于安全管理平臺(tái)，輸出各種合規(guī)性要求的報(bào)告，為企業(yè)的信息安全策略制定提供參考。

（5）高可靠、可擴(kuò)展的建設(shè)原則。這是任何網(wǎng)絡(luò)安全建設(shè)的必備要求，是業(yè)務(wù)連續(xù)性的需要，是滿足企業(yè)發(fā)展擴(kuò)容的需要。

4.企業(yè)信息系統(tǒng)安全建設(shè)的部署建議

以ISO27001等企業(yè)信息安全法規(guī)[1]遵從的原則為基礎(chǔ)，通過分析企業(yè)信息安全面臨的風(fēng)險(xiǎn)和前期的部署實(shí)踐，建立企業(yè)信息安全建設(shè)模型，如圖1所示。

圖1 企業(yè)信息系統(tǒng)安全建設(shè)模型

基于上述企業(yè)信息安全建設(shè)模型，在建設(shè)終端安全、網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全、統(tǒng)一安全管理和滿足法規(guī)遵從的全面安全防護(hù)體系時(shí)，需要重點(diǎn)關(guān)注以下幾個(gè)方面的部署建議：

4.1 實(shí)施終端安全，關(guān)注完整的用戶行為關(guān)聯(lián)分析

在企業(yè)關(guān)注的安全事件中，信息泄漏是屬于危害比較嚴(yán)重的行為?，F(xiàn)階段由于企業(yè)對(duì)網(wǎng)絡(luò)的管控不嚴(yán)，員工可以通過很多方式實(shí)現(xiàn)信息外泄，常見的方式有通過桌面終端的存儲(chǔ)介質(zhì)進(jìn)行拷貝或是通過QQ/MSN等聊天工具將文件進(jìn)行上傳等。針對(duì)這些高危的行為，企業(yè)在建設(shè)信息安全防護(hù)體系的時(shí)候，單純的進(jìn)行桌面安全控制或者internet上網(wǎng)行為控制都不能完全杜絕這種行為。而在統(tǒng)一規(guī)劃實(shí)施的安全防護(hù)體系中，系統(tǒng)從用戶接入的那一時(shí)刻開始，就對(duì)用戶的桌面行為進(jìn)行監(jiān)控，同時(shí)配合internet上網(wǎng)行為審計(jì)設(shè)備，對(duì)該員工的上網(wǎng)行為進(jìn)行監(jiān)控和審計(jì)，真正做到從員工接入網(wǎng)絡(luò)開始的各種操作行為及上網(wǎng)行為都在嚴(yán)密的監(jiān)控之中，提升企業(yè)的防護(hù)水平。

4.2 建設(shè)綜合的VPN接入平臺(tái)

無論是IPSec、L2TP，還是SSL VPN，都是企業(yè)在VPN建設(shè)過程中必然會(huì)遇到的需求。當(dāng)前階段，總部與分支節(jié)點(diǎn)的接入方式有廣域網(wǎng)專線接入和通過internet接入兩種。使用VPN進(jìn)行加密數(shù)據(jù)傳輸是通用的選擇。對(duì)于部分移動(dòng)用戶接入，也可以考慮部署SSL VPN的接入方式[2]，在這種情況下，如何做好將多種VPN類型客戶的認(rèn)證方式統(tǒng)一是需要重點(diǎn)考慮的問題。而統(tǒng)一接入認(rèn)證的方式，如采用USBKEY等，甚至在設(shè)備采購時(shí)就可以預(yù)先要求設(shè)備商使用一臺(tái)設(shè)備同時(shí)支持這些需求。這將給管理員的日常維護(hù)帶來極大的方便，從而提升企業(yè)整體的VPN接入水平。

4.3 優(yōu)化安全域的隔離和控制，實(shí)現(xiàn)L2～L7層的安全防護(hù)

在建設(shè)安全邊界防護(hù)控制過程中，面對(duì)企業(yè)的多個(gè)業(yè)務(wù)部門和分支機(jī)構(gòu)，合理的安全域劃分將是關(guān)鍵。按照安全域的劃分原則，企業(yè)網(wǎng)絡(luò)包括內(nèi)部園區(qū)網(wǎng)絡(luò)、Internet邊界、DMZ、數(shù)據(jù)中心、廣域網(wǎng)分支、網(wǎng)管中心等組成部分，各安全域之間的相互隔離和訪問策略是防止安全風(fēng)險(xiǎn)的重要環(huán)節(jié)。在多樣化安全域劃分的基礎(chǔ)上，深入分析各安全域內(nèi)的業(yè)務(wù)單元，根據(jù)企業(yè)持續(xù)性運(yùn)行的高低優(yōu)先級(jí)以及面臨風(fēng)險(xiǎn)的嚴(yán)重程度，設(shè)定合適的域內(nèi)安全防護(hù)策略及安全域之間的訪問控制策略，實(shí)現(xiàn)有針對(duì)性的安全防護(hù)。例如，選擇FW+IPS等設(shè)備進(jìn)行深層次的安全防護(hù)，或者提供防垃圾郵件、Web訪問控制等解決方案進(jìn)行應(yīng)對(duì)，真正實(shí)現(xiàn)L2～L7層的安全防護(hù)。

4.4 強(qiáng)調(diào)網(wǎng)絡(luò)和安全方案之間的耦合聯(lián)動(dòng)，實(shí)現(xiàn)網(wǎng)絡(luò)安全由被動(dòng)防御到主動(dòng)防御的轉(zhuǎn)變

統(tǒng)一規(guī)劃的技術(shù)方案，可以做到方案之間的有效關(guān)聯(lián)，實(shí)現(xiàn)設(shè)備之間的安全聯(lián)動(dòng)。在實(shí)際部署過程中，在接入用戶側(cè)部署端點(diǎn)準(zhǔn)入解決方案，實(shí)現(xiàn)客戶端點(diǎn)安全接入網(wǎng)絡(luò)。同時(shí)啟動(dòng)安全聯(lián)動(dòng)的特性，一旦安全設(shè)備檢測(cè)到內(nèi)部網(wǎng)用戶正在對(duì)網(wǎng)絡(luò)的服務(wù)器進(jìn)行攻擊，可以實(shí)現(xiàn)對(duì)攻擊者接入位置的有效定位，并采取類似關(guān)閉接入交換機(jī)端口的動(dòng)作響應(yīng)，真正實(shí)現(xiàn)從被動(dòng)防御向主動(dòng)防御的轉(zhuǎn)變。

4.5 實(shí)現(xiàn)統(tǒng)一的安全管理，體現(xiàn)對(duì)整個(gè)網(wǎng)安全事件的“可視、可控和可管”

統(tǒng)一建設(shè)的安全防護(hù)系統(tǒng)，還有一個(gè)最為重要的優(yōu)勢(shì)，就是能實(shí)現(xiàn)對(duì)全網(wǎng)安全設(shè)備及安全事件的統(tǒng)一管理。面對(duì)各種安全設(shè)備發(fā)出來的大量的安全日志，單純靠管理員的人工操作是無能為力的，而不同廠商之間的安全日志可能還存在較大的差異，難以實(shí)現(xiàn)對(duì)全網(wǎng)安全事件的統(tǒng)一分析和報(bào)警管理。因此在規(guī)劃之初，就需要考慮到各種安全設(shè)備之間的日志格式的統(tǒng)一化，需要考慮設(shè)定相關(guān)安全策略以實(shí)現(xiàn)對(duì)日志的歸并分析并最終輸出各種合規(guī)性的報(bào)表，只有這樣才能做到對(duì)全網(wǎng)安全事件的統(tǒng)一可視、安全設(shè)備的統(tǒng)一批量配置下發(fā)，以及整網(wǎng)安全設(shè)備的防控策略的統(tǒng)一管理，最終實(shí)現(xiàn)安全運(yùn)行中心管控平臺(tái)的建設(shè)。[3]

4.6 關(guān)注數(shù)據(jù)存儲(chǔ)安全，強(qiáng)調(diào)本地?cái)?shù)據(jù)保護(hù)和遠(yuǎn)程災(zāi)難備份相結(jié)合

在整體數(shù)據(jù)安全防護(hù)策略中，可以采用本地?cái)?shù)據(jù)保護(hù)和遠(yuǎn)程災(zāi)備相結(jié)合的方式。基于CDP的數(shù)據(jù)連續(xù)保護(hù)技術(shù)可以很好地解決數(shù)據(jù)本地安全防護(hù)的問題，與磁帶庫相比，它具有很多的技術(shù)優(yōu)勢(shì)。在數(shù)據(jù)庫的配合下，通過連續(xù)數(shù)據(jù)快照功能實(shí)現(xiàn)了對(duì)重要數(shù)據(jù)的連續(xù)數(shù)據(jù)保護(hù)，用戶可以選擇在出現(xiàn)災(zāi)難后恢復(fù)到前面保存過的任何時(shí)間點(diǎn)的狀態(tài)，同時(shí)支持對(duì)“漸變式災(zāi)難”的保護(hù)和恢復(fù)。在建設(shè)異地的災(zāi)備中心時(shí)，可以考慮從數(shù)據(jù)級(jí)災(zāi)備和應(yīng)用級(jí)災(zāi)備兩個(gè)層面進(jìn)行。生產(chǎn)中心和異地災(zāi)備中心的網(wǎng)絡(luò)連接方式可以靈活選擇，即可采用光纖直連，也可采用足夠帶寬的IP網(wǎng)絡(luò)連接。在數(shù)據(jù)同步方式選擇上，生產(chǎn)中心和災(zāi)備中心采用基于磁盤陣列的異步復(fù)制技術(shù)，實(shí)現(xiàn)數(shù)據(jù)的異地災(zāi)備。異地災(zāi)備中心還可以有選擇地部署部分關(guān)鍵應(yīng)用服務(wù)器，以提供對(duì)關(guān)鍵業(yè)務(wù)的應(yīng)用級(jí)接管能力，從而實(shí)現(xiàn)對(duì)數(shù)據(jù)安全的有效防護(hù)。

5.結(jié)束語

企業(yè)信息安全防護(hù)體系的建設(shè)是一個(gè)長期的持續(xù)的工作，不是一蹴而就的，就像現(xiàn)階段的信息安全威脅也在不斷的發(fā)展和更新，針對(duì)這些信息安全威脅的防護(hù)手段也需要逐步的更新并應(yīng)用到企業(yè)的信息安全建設(shè)之中，這種動(dòng)態(tài)的過程將使得企業(yè)的信息安全防護(hù)更有生命力和主動(dòng)性，真正為企業(yè)的業(yè)務(wù)永續(xù)運(yùn)行提供保障。

參考文獻(xiàn)

[1]李納.計(jì)算機(jī)系統(tǒng)安全與計(jì)算機(jī)網(wǎng)絡(luò)安全淺析[J].科技與企業(yè)，2013.

篇9

二、健全法律法規(guī)

加強(qiáng)法律法規(guī)的完善性，保證數(shù)字化檔案信息安全管理工作的規(guī)范執(zhí)行。在該執(zhí)行期間，需要從法律法規(guī)角度對(duì)其進(jìn)行研究，基于信息化時(shí)展需要，為民營企業(yè)的檔案信息安全管理工作營造良好的發(fā)展氛圍。執(zhí)行過程中，需要根據(jù)信息化發(fā)展要求、檔案信息的主要特征，為其制定完善的法律法規(guī)。在該體系執(zhí)行時(shí)，不僅能加強(qiáng)民營企業(yè)數(shù)字化檔案信息管理工作的?范化，實(shí)現(xiàn)信息的開放性發(fā)展，還能保證民營企業(yè)檔案信息完整、真實(shí)使用。在現(xiàn)代化發(fā)展背景下，民營企業(yè)面臨較大的挑戰(zhàn)，為了提高檔案信息管理能力，還需要建立完善的管理制度，分析數(shù)字化檔案信息安全管理工作中存在的一些影響因素，保證制度的有效執(zhí)行，保證在具體實(shí)施工作中，能夠?qū)踩砟顫B透到企業(yè)檔案信息管理工作中去。在實(shí)施工作中，還要為數(shù)字化檔案信息管理工作提供備份制度，其中，需要包括登記、異地使用制度等。不僅如此，還要促進(jìn)數(shù)字化檔案開放工作的執(zhí)行期間，保證能夠開放一些信息。還需要為檔案信息的數(shù)字化管理建立維護(hù)制度，促進(jìn)管理工作流程的規(guī)范發(fā)展，保證工作中各個(gè)環(huán)節(jié)的人員職責(zé)都能充分落實(shí)，實(shí)現(xiàn)任務(wù)分布明確，職責(zé)合理等，在不同崗位上，遵循不同的工作事項(xiàng)和流程，這樣才能使檔案信息管理工作符合新時(shí)期的發(fā)展要求，維持民營企業(yè)的健康進(jìn)步。

三、利用先進(jìn)手段

在民營企業(yè)不斷進(jìn)步與發(fā)展的背景下，為了提升數(shù)字化檔案信息安全管理水平，需要引進(jìn)先進(jìn)執(zhí)行手段。先進(jìn)手段的引入能夠?yàn)槊駹I企業(yè)的檔案信息管理工作提供有效保障，在內(nèi)部管理工作中，需要相關(guān)部門根據(jù)自身的發(fā)展條件，借鑒一些成功經(jīng)歷，引入有效的數(shù)字化檔案信息安全軟件，促進(jìn)信息安全設(shè)備的有效配置，保證企業(yè)在數(shù)字化檔案管理工作中，提高其中的技術(shù)含量。不僅如此，在具體執(zhí)行期間，還需要根據(jù)企業(yè)建立的數(shù)字化管理系統(tǒng)化，分析運(yùn)行的實(shí)際情況，對(duì)計(jì)算機(jī)的硬件和軟件進(jìn)行優(yōu)化選擇，提高其使用性能。在對(duì)計(jì)算機(jī)軟件與硬件進(jìn)行選擇過程中，要重視計(jì)算機(jī)的品牌和服務(wù)器，以全方位的角度對(duì)計(jì)算機(jī)硬件的兼容性、可擴(kuò)展性進(jìn)行思考、嚴(yán)格審核，在該工作中，不僅能避免產(chǎn)生數(shù)據(jù)丟失現(xiàn)象，還能實(shí)現(xiàn)計(jì)算機(jī)系統(tǒng)的優(yōu)化升級(jí)。并且，還需要為其設(shè)置信息訪問認(rèn)證工作，開發(fā)防病毒軟件，為數(shù)字化檔案信息執(zhí)行加密工作，這樣不僅能防止數(shù)據(jù)信息被非法侵入，還能促進(jìn)數(shù)字化檔案信息的安全管理。

四、提高人員素質(zhì)

篇10

【中圖分類號(hào)】TU714 【文獻(xiàn)標(biāo)識(shí)碼】A 【文章編號(hào)】1672—5158（2012）08—0255-02

0.引言

隨著信息技術(shù)的不斷發(fā)展以及市場(chǎng)競爭的不斷激烈，企業(yè)信息安全建設(shè)已經(jīng)成為提高企業(yè)競爭力的重要途徑，杜絕信息泄露可以避免巨大的經(jīng)濟(jì)損失。雖然大多數(shù)企業(yè)在信息安全管理方面采取了較多的措施，但是信息安全問題仍然頻發(fā)，對(duì)于企業(yè)的經(jīng)營活動(dòng)帶來巨大的損失。加強(qiáng)企業(yè)內(nèi)部的計(jì)算機(jī)管理，提高對(duì)于信息安全的認(rèn)識(shí)程度，保證信息數(shù)據(jù)庫的安全，避免信息泄露的發(fā)生已經(jīng)成為現(xiàn)階段企業(yè)信息化建設(shè)亟待解決的管理問題。

1.企業(yè)信息化建設(shè)信息安全影響因素分析

（1）信息系統(tǒng)實(shí)體安全。信息實(shí)體主要包括用于企業(yè)信息化建設(shè)的計(jì)算機(jī)、網(wǎng)絡(luò)連接、服務(wù)器等媒介硬件設(shè)施，對(duì)于信息實(shí)體安全影響因素主要包括火災(zāi)、水災(zāi)、失竊或者是其他事故造成設(shè)備硬件的損壞，從而造成企業(yè)信息庫數(shù)據(jù)安全出現(xiàn)問題。

（2）信息系統(tǒng)運(yùn)行安全。信息系統(tǒng)的安全是指為了保證企業(yè)信息數(shù)據(jù)庫的安全，采取各種措施對(duì)系統(tǒng)運(yùn)行進(jìn)行安全保護(hù)。由于信息數(shù)據(jù)庫有可能受到非授權(quán)的訪問、泄露、數(shù)據(jù)纂改或者是被其他非法程序控制的威脅，因此確保信息系統(tǒng)運(yùn)行安全主要是保證信息數(shù)據(jù)庫的完整、保密以及時(shí)時(shí)可用性。

（3）信息系統(tǒng)管理人員安全責(zé)任意識(shí)。管理人員在日常工作中的安全管理意識(shí)、專業(yè)操作水平以及法律意識(shí)等均會(huì)對(duì)企業(yè)信息數(shù)據(jù)的安全產(chǎn)生影響。信息安全管理人員的日常管理工作責(zé)任心以及工作方式方法，對(duì)于保證信息數(shù)據(jù)庫的安全十分重要。

2.企業(yè)信息安全管理問題分析

目前由于管理制度以及軟硬件設(shè)施等一系列的問題，企業(yè)數(shù)據(jù)庫破壞以及重要數(shù)據(jù)信息泄漏的現(xiàn)象時(shí)有發(fā)生，嚴(yán)重影響了企業(yè)的正常生產(chǎn)經(jīng)營活動(dòng)，通過分析發(fā)現(xiàn)影響企業(yè)信息化建設(shè)信息安全的問題主要由以下幾方面：

（1）企業(yè)內(nèi)部移動(dòng)存儲(chǔ)設(shè)備管理疏松，缺乏安全保密管理制度。由于許多企業(yè)在日常管理過程中，移動(dòng)存儲(chǔ)設(shè)備使用較多，員工可以隨意對(duì)企業(yè)內(nèi)部的各種信息資料進(jìn)行備份，企業(yè)用于經(jīng)營活動(dòng)的客戶信息、產(chǎn)品設(shè)計(jì)、財(cái)務(wù)管理等各項(xiàng)信息極易造成泄漏，帶來巨大的信息安全損失。部分企業(yè)由于對(duì)于信息安全管理認(rèn)識(shí)程度不足，企業(yè)內(nèi)部信息安全管理缺乏必要的規(guī)章制度，安全管理職責(zé)權(quán)限不清，信息安全漏洞較多。

（2）對(duì)于內(nèi)部信息共享控制不嚴(yán)格，信息安全管理權(quán)限混亂。由于企業(yè)在生產(chǎn)經(jīng)營過程中為了提高生產(chǎn)經(jīng)營效率以及加強(qiáng)企業(yè)內(nèi)部各部門之間的溝通聯(lián)系，對(duì)于一些設(shè)計(jì)企業(yè)銷售計(jì)劃、客戶信息以及生產(chǎn)計(jì)劃等文件采取共享的措施，因此企業(yè)員工的流動(dòng)或者其他管理不當(dāng)均會(huì)造成企業(yè)信息的泄露。

（3）信息權(quán)限管理混亂，企業(yè)的中介服務(wù)體系穩(wěn)定性較差。對(duì)于加密的授權(quán)訪問，權(quán)限管理則成為保護(hù)企業(yè)信息安全的重要因素。但是由于企業(yè)在信息安全管理過程中體系混亂，操作權(quán)限不清晰導(dǎo)致經(jīng)常出現(xiàn)影響信息安全的非授權(quán)訪問。而且對(duì)于部分中小企業(yè)由于信息化建設(shè)采取對(duì)外委托的方式，而中介第三方由于穩(wěn)定性難以保證，隨時(shí)更換或者退出的第三方極易造成企業(yè)有價(jià)值信息的泄漏，影響企業(yè)信息安全建設(shè)。

（4）信息管理安全防范體系不健全，缺乏針對(duì)信息安全管理的專業(yè)技術(shù)人才。雖然部分企業(yè)已經(jīng)認(rèn)識(shí)到信息化管理的重要性，并在企業(yè)網(wǎng)絡(luò)內(nèi)設(shè)置了必要的安全設(shè)備。但是缺乏一系列的安全管理機(jī)制，在信息安全管理方面缺乏行之有效的整體規(guī)劃與具體落實(shí)措施。此外，由于大部分企業(yè)在信息安全管理工作中將重點(diǎn)放在軟硬件設(shè)施上，而忽略了對(duì)于信息安全技術(shù)人員的培養(yǎng)，而且為了減少人力資源支出成本，信息安全管理人員少工作任務(wù)重，管理權(quán)限集中化程度高，影響了信息化建設(shè)的安全管理。

3.企業(yè)信息建設(shè)信息安全管理措施

（1）加強(qiáng)對(duì)于信息庫硬件設(shè)備的保護(hù)管理。首先應(yīng)保證計(jì)算機(jī)等硬件設(shè)備具有安全的工作環(huán)境，做好計(jì)算機(jī)設(shè)備的防火、防潮、防盜措施，并避免強(qiáng)磁環(huán)境對(duì)信息數(shù)據(jù)可能造成的損壞。其次，在對(duì)各種硬件設(shè)備進(jìn)行檢修時(shí)，硬組織企業(yè)內(nèi)部相關(guān)技術(shù)人員進(jìn)行監(jiān)督管理，對(duì)于需要外送檢修的設(shè)備，則應(yīng)提前進(jìn)行數(shù)據(jù)加密處理。

（2）提高企業(yè)內(nèi)部的信息安全管理意識(shí)。企業(yè)信息安全管理對(duì)于提高企業(yè)競爭力，避免企業(yè)經(jīng)濟(jì)損失具有重要的意義。在企業(yè)的正常管理過程中，加強(qiáng)信息安全宣傳工作，使員工充分認(rèn)識(shí)到企業(yè)信息安全管理的重要性，并熟悉企業(yè)相關(guān)信息數(shù)據(jù)保密的規(guī)則制度，提高企業(yè)的整體信息安全防范水平。

（3）加強(qiáng)信息安全操作管理人員的管理。在企業(yè)信息日常管理過程中，應(yīng)加強(qiáng)對(duì)于業(yè)務(wù)操作以及數(shù)據(jù)存取控制代碼的管理。系統(tǒng)管理操作代碼的獲得應(yīng)經(jīng)過企業(yè)管理者授權(quán)，系統(tǒng)管理人員在進(jìn)行企業(yè)相關(guān)信息數(shù)據(jù)庫的整理以及維護(hù)過程中，必須通過授權(quán)進(jìn)行。系統(tǒng)管理人員離開工作崗位后，相關(guān)責(zé)任人應(yīng)及時(shí)更換管理員操作代碼。

（4）加強(qiáng)企業(yè)信息數(shù)據(jù)庫的密碼與權(quán)限管理。對(duì)于涉及到企業(yè)信息數(shù)據(jù)庫安全的密碼，應(yīng)分別設(shè)置用戶密碼以及操作密碼，并提高密碼的安全程度，及時(shí)定期更換登陸操作密碼。對(duì)于組成企業(yè)內(nèi)部局域網(wǎng)絡(luò)的服務(wù)器、路由器等設(shè)施的設(shè)置管理工作，應(yīng)嚴(yán)格按照相關(guān)管理規(guī)定進(jìn)行設(shè)置。

（5）明確企業(yè)信息數(shù)據(jù)庫管理制度。對(duì)于企業(yè)重要的數(shù)據(jù)應(yīng)存放備份數(shù)據(jù)，并采取異地存放的方式對(duì)備份數(shù)據(jù)庫進(jìn)行管理。對(duì)于廢棄或者需要銷毀的數(shù)據(jù)信息，應(yīng)嚴(yán)格依照程序采取逐級(jí)審批的方式，避免數(shù)據(jù)信息的泄露。需要進(jìn)行數(shù)據(jù)恢復(fù)工作時(shí)，應(yīng)嚴(yán)格按照相關(guān)技術(shù)手冊(cè)，并對(duì)恢復(fù)的數(shù)據(jù)進(jìn)行驗(yàn)證確認(rèn)數(shù)據(jù)的完整可用。

（6）加強(qiáng)企業(yè)信息數(shù)據(jù)機(jī)房的管理。相關(guān)人員出入信息數(shù)據(jù)庫機(jī)房進(jìn)行數(shù)據(jù)查閱以及提取工作時(shí)，應(yīng)經(jīng)由相關(guān)主管人員的授權(quán)，并登記進(jìn)入。在日常管理過程中，定期對(duì)硬件設(shè)備進(jìn)行保養(yǎng)，同時(shí)研究違章操作在信息數(shù)據(jù)機(jī)房安裝外部其他軟件。

參考文獻(xiàn)