序言：作為思想的載體和知識的探索者，寫作是一種獨特的藝術，我們?yōu)槟鷾蕚淞瞬煌L格的5篇企業(yè)信息安全規(guī)劃，期待它們能激發(fā)您的靈感。

篇1

【關鍵詞】信息系統(tǒng)；安全建設；防護體系

1.企業(yè)信息系統(tǒng)安全防護的價值

隨著企業(yè)信息化水平的提高，企業(yè)對于IT系統(tǒng)的依賴性也越來越高。一方面，“業(yè)務系統(tǒng)流程化”正在成為IT安全建設的驅動力。企業(yè)的新業(yè)務應用正在逐漸標準化和流程化，各種應用系統(tǒng)如ERP、MES為企業(yè)的生產(chǎn)效率的提高起到了關鍵的作用。有效的管控IT環(huán)境，確保IT業(yè)務系統(tǒng)的持續(xù)穩(wěn)定運行作為企業(yè)競爭力的一部分，已成為IT系統(tǒng)安全防護的主要目標和關鍵驅動力。另一方面，企業(yè)IT安全的建設也是“法規(guī)遵從”的需要。IT系統(tǒng)作為企業(yè)財務應用系統(tǒng)的重要支撐，必須提供可靠的運行保障和數(shù)據(jù)正確性保證。

2.企業(yè)信息系統(tǒng)安全建設的現(xiàn)狀分析

在企業(yè)信息化建設的過程中，業(yè)務系統(tǒng)的建設一直是關注的重點，但是IT業(yè)務系統(tǒng)的安全保障方面，往往成為整個信息化最薄弱的環(huán)節(jié)，尤其是在信息化水平還較低的情況下，IT系統(tǒng)的安全建設缺乏統(tǒng)一的策略作為指導。歸結起來，企業(yè)在IT系統(tǒng)安全建設的過程中，存在以下幾方面的不足：

2.1 安全危機意識不足，制度和規(guī)范不健全

盡管知道IT安全事故后果比較嚴重，但是企業(yè)的高層領導心中仍然存在著僥幸心理，更多的時候把IT安全建設的預算挪用到其他的領域。企業(yè)在信息安全制度及信息安全緊急事件響應流程等方面缺乏完整的制度和規(guī)范保證，由此帶來的后果是諸如對網(wǎng)絡的任意使用，導致公司的機密文檔被擴散。同時在發(fā)生網(wǎng)絡安全問題的時候，也因為缺乏預先設置的各種應急防護措施，導致安全風險得不到有效控制。

2.2 應用系統(tǒng)和安全建設相分離，忽視數(shù)據(jù)安全存儲建設

在企業(yè)IT應用系統(tǒng)的建設時期，由于所屬的建設職能部門的不同，或者是因為投資預算的限制，導致在應用系統(tǒng)建設階段并沒有充分考慮到安全防護的需要，為后續(xù)的應用系統(tǒng)受到攻擊癱瘓埋下了隱患。數(shù)據(jù)安全的威脅表現(xiàn)在核心數(shù)據(jù)的丟失；各種自然災難、IT系統(tǒng)故障，也對數(shù)據(jù)安全帶來了巨大沖擊。遺憾的是很多企業(yè)在數(shù)據(jù)的安全存儲方面，并沒有意識到同城異地災難備份或遠程災難備份的重要性。

2.3 缺乏整體的安全防護體系，“簡單疊加、七國八制”

對于信息安全系統(tǒng)的建設，“頭痛醫(yī)頭、腳痛醫(yī)腳”的現(xiàn)象比較普遍。大多數(shù)企業(yè)仍然停留在出現(xiàn)一個安全事故后再去解決一個安全隱患的階段，缺乏對信息安全的全盤考慮和統(tǒng)一規(guī)劃，這樣的后果就是網(wǎng)絡上的設備五花八門，設備方案之間各自為戰(zhàn)，缺乏相互關聯(lián)，從而導致了多種問題。

3.企業(yè)信息系統(tǒng)安全建設規(guī)劃的原則

企業(yè)的信息化安全建設的目標是要保證業(yè)務系統(tǒng)的正常運轉從而為企業(yè)帶來價值，在設計高水平的安全防護體系時應該遵循以下幾個原則：

（1）統(tǒng)一規(guī)劃設計。信息安全建設，需要遵循“統(tǒng)一規(guī)劃、統(tǒng)一標準、統(tǒng)一設計、統(tǒng)一建設”的原則；應用系統(tǒng)的建設要和信息安全的防護要求統(tǒng)一考慮。

（2）架構先進，突出防護重點。要采用先進的架構，選擇成熟的主流產(chǎn)品和符合技術發(fā)展趨勢的產(chǎn)品；明確信息安全建設的重點，重點保護基礎網(wǎng)絡安全及關鍵應用系統(tǒng)的安全，對不同的安全威脅進行有針對性的方案建設。

（3）技術和管理并重，注重系統(tǒng)間的協(xié)同防護。“三分技術，七分管理”，合理劃分技術和管理的界面，從組織與流程、制度與人員、場地與環(huán)境、網(wǎng)絡與系統(tǒng)、數(shù)據(jù)與應用等多方面著手，在系統(tǒng)設計、建設和運維的多環(huán)節(jié)進行綜合協(xié)同防范。

（4）統(tǒng)一安全管理，考慮合規(guī)性要求。建設集中的安全管理平臺，統(tǒng)一處理各種安全事件，實現(xiàn)安全預警和及時響應；基于安全管理平臺，輸出各種合規(guī)性要求的報告，為企業(yè)的信息安全策略制定提供參考。

（5）高可靠、可擴展的建設原則。這是任何網(wǎng)絡安全建設的必備要求，是業(yè)務連續(xù)性的需要，是滿足企業(yè)發(fā)展擴容的需要。

4.企業(yè)信息系統(tǒng)安全建設的部署建議

以ISO27001等企業(yè)信息安全法規(guī)[1]遵從的原則為基礎，通過分析企業(yè)信息安全面臨的風險和前期的部署實踐，建立企業(yè)信息安全建設模型，如圖1所示。

圖1 企業(yè)信息系統(tǒng)安全建設模型

基于上述企業(yè)信息安全建設模型，在建設終端安全、網(wǎng)絡安全、應用安全、數(shù)據(jù)安全、統(tǒng)一安全管理和滿足法規(guī)遵從的全面安全防護體系時，需要重點關注以下幾個方面的部署建議：

4.1 實施終端安全，關注完整的用戶行為關聯(lián)分析

在企業(yè)關注的安全事件中，信息泄漏是屬于危害比較嚴重的行為。現(xiàn)階段由于企業(yè)對網(wǎng)絡的管控不嚴，員工可以通過很多方式實現(xiàn)信息外泄，常見的方式有通過桌面終端的存儲介質(zhì)進行拷貝或是通過QQ/MSN等聊天工具將文件進行上傳等。針對這些高危的行為，企業(yè)在建設信息安全防護體系的時候，單純的進行桌面安全控制或者internet上網(wǎng)行為控制都不能完全杜絕這種行為。而在統(tǒng)一規(guī)劃實施的安全防護體系中，系統(tǒng)從用戶接入的那一時刻開始，就對用戶的桌面行為進行監(jiān)控，同時配合internet上網(wǎng)行為審計設備，對該員工的上網(wǎng)行為進行監(jiān)控和審計，真正做到從員工接入網(wǎng)絡開始的各種操作行為及上網(wǎng)行為都在嚴密的監(jiān)控之中，提升企業(yè)的防護水平。

4.2 建設綜合的VPN接入平臺

無論是IPSec、L2TP，還是SSL VPN，都是企業(yè)在VPN建設過程中必然會遇到的需求。當前階段，總部與分支節(jié)點的接入方式有廣域網(wǎng)專線接入和通過internet接入兩種。使用VPN進行加密數(shù)據(jù)傳輸是通用的選擇。對于部分移動用戶接入，也可以考慮部署SSL VPN的接入方式[2]，在這種情況下，如何做好將多種VPN類型客戶的認證方式統(tǒng)一是需要重點考慮的問題。而統(tǒng)一接入認證的方式，如采用USBKEY等，甚至在設備采購時就可以預先要求設備商使用一臺設備同時支持這些需求。這將給管理員的日常維護帶來極大的方便，從而提升企業(yè)整體的VPN接入水平。

4.3 優(yōu)化安全域的隔離和控制，實現(xiàn)L2～L7層的安全防護

在建設安全邊界防護控制過程中，面對企業(yè)的多個業(yè)務部門和分支機構，合理的安全域劃分將是關鍵。按照安全域的劃分原則，企業(yè)網(wǎng)絡包括內(nèi)部園區(qū)網(wǎng)絡、Internet邊界、DMZ、數(shù)據(jù)中心、廣域網(wǎng)分支、網(wǎng)管中心等組成部分，各安全域之間的相互隔離和訪問策略是防止安全風險的重要環(huán)節(jié)。在多樣化安全域劃分的基礎上，深入分析各安全域內(nèi)的業(yè)務單元，根據(jù)企業(yè)持續(xù)性運行的高低優(yōu)先級以及面臨風險的嚴重程度，設定合適的域內(nèi)安全防護策略及安全域之間的訪問控制策略，實現(xiàn)有針對性的安全防護。例如，選擇FW+IPS等設備進行深層次的安全防護，或者提供防垃圾郵件、Web訪問控制等解決方案進行應對，真正實現(xiàn)L2～L7層的安全防護。

4.4 強調(diào)網(wǎng)絡和安全方案之間的耦合聯(lián)動，實現(xiàn)網(wǎng)絡安全由被動防御到主動防御的轉變

統(tǒng)一規(guī)劃的技術方案，可以做到方案之間的有效關聯(lián)，實現(xiàn)設備之間的安全聯(lián)動。在實際部署過程中，在接入用戶側部署端點準入解決方案，實現(xiàn)客戶端點安全接入網(wǎng)絡。同時啟動安全聯(lián)動的特性，一旦安全設備檢測到內(nèi)部網(wǎng)用戶正在對網(wǎng)絡的服務器進行攻擊，可以實現(xiàn)對攻擊者接入位置的有效定位，并采取類似關閉接入交換機端口的動作響應，真正實現(xiàn)從被動防御向主動防御的轉變。

4.5 實現(xiàn)統(tǒng)一的安全管理，體現(xiàn)對整個網(wǎng)安全事件的“可視、可控和可管”

統(tǒng)一建設的安全防護系統(tǒng)，還有一個最為重要的優(yōu)勢，就是能實現(xiàn)對全網(wǎng)安全設備及安全事件的統(tǒng)一管理。面對各種安全設備發(fā)出來的大量的安全日志，單純靠管理員的人工操作是無能為力的，而不同廠商之間的安全日志可能還存在較大的差異，難以實現(xiàn)對全網(wǎng)安全事件的統(tǒng)一分析和報警管理。因此在規(guī)劃之初，就需要考慮到各種安全設備之間的日志格式的統(tǒng)一化，需要考慮設定相關安全策略以實現(xiàn)對日志的歸并分析并最終輸出各種合規(guī)性的報表，只有這樣才能做到對全網(wǎng)安全事件的統(tǒng)一可視、安全設備的統(tǒng)一批量配置下發(fā)，以及整網(wǎng)安全設備的防控策略的統(tǒng)一管理，最終實現(xiàn)安全運行中心管控平臺的建設。[3]

4.6 關注數(shù)據(jù)存儲安全，強調(diào)本地數(shù)據(jù)保護和遠程災難備份相結合

在整體數(shù)據(jù)安全防護策略中，可以采用本地數(shù)據(jù)保護和遠程災備相結合的方式。基于CDP的數(shù)據(jù)連續(xù)保護技術可以很好地解決數(shù)據(jù)本地安全防護的問題，與磁帶庫相比，它具有很多的技術優(yōu)勢。在數(shù)據(jù)庫的配合下，通過連續(xù)數(shù)據(jù)快照功能實現(xiàn)了對重要數(shù)據(jù)的連續(xù)數(shù)據(jù)保護，用戶可以選擇在出現(xiàn)災難后恢復到前面保存過的任何時間點的狀態(tài)，同時支持對“漸變式災難”的保護和恢復。在建設異地的災備中心時，可以考慮從數(shù)據(jù)級災備和應用級災備兩個層面進行。生產(chǎn)中心和異地災備中心的網(wǎng)絡連接方式可以靈活選擇，即可采用光纖直連，也可采用足夠帶寬的IP網(wǎng)絡連接。在數(shù)據(jù)同步方式選擇上，生產(chǎn)中心和災備中心采用基于磁盤陣列的異步復制技術，實現(xiàn)數(shù)據(jù)的異地災備。異地災備中心還可以有選擇地部署部分關鍵應用服務器，以提供對關鍵業(yè)務的應用級接管能力，從而實現(xiàn)對數(shù)據(jù)安全的有效防護。

5.結束語

企業(yè)信息安全防護體系的建設是一個長期的持續(xù)的工作，不是一蹴而就的，就像現(xiàn)階段的信息安全威脅也在不斷的發(fā)展和更新，針對這些信息安全威脅的防護手段也需要逐步的更新并應用到企業(yè)的信息安全建設之中，這種動態(tài)的過程將使得企業(yè)的信息安全防護更有生命力和主動性，真正為企業(yè)的業(yè)務永續(xù)運行提供保障。

參考文獻

[1]李納.計算機系統(tǒng)安全與計算機網(wǎng)絡安全淺析[J].科技與企業(yè)，2013.

[2]李群，周相廣，陳剛.中國石油上游信息系統(tǒng)災難備份技術與實踐[J].信息技術與信息化，2010，06.

篇2

在進行信息安全總體架構規(guī)劃時，企業(yè)容易陷入兩個誤區(qū): 一是羅列一堆產(chǎn)品和技術，把能夠看到的安全產(chǎn)品和安全技術（防火墻、防病毒、入侵監(jiān)測、加密技術、VPN、終端準入控制）都堆砌起來，以為這樣就構成了全面的安全屏障; 二是把企業(yè)信息安全等同于網(wǎng)絡安全，給出的規(guī)劃也只能是局部的、殘缺不全的。

要做企業(yè)信息安全總體架構規(guī)劃，首先要了解企業(yè)的信息安全需求。拋開需求做規(guī)劃，難免會掉進前面所講的兩種誤區(qū)中。因此，做規(guī)劃要從需求入手。

企業(yè)信息安全總體架構規(guī)劃模型（圖1）以企業(yè)信息安全的需求（保密性、完整性、可用性）為出發(fā)點，以應用安全、數(shù)據(jù)安全、主機安全、網(wǎng)絡安全、桌面安全、物理安全為關注重點，層層剖析、全面挖掘企業(yè)的信息安全需求，是一種將管理、技術和人員三者有機結合的企業(yè)信息安全保障體系。該模型均衡考慮了企業(yè)在保密性（C）、完整性（I）和可用性（A）三方面的安全需求。

企業(yè)信息安全總體架構規(guī)劃模型雖然清晰地指出了規(guī)劃的要點、重點和思路，但是按照此模型還是不知道如何去做，具體實施應參照一定的方法論進行。企業(yè)信息安全總體架構規(guī)劃方法論（圖2）融合了以管理和技術為核心的全面分析方法，以安全需求為焦點，從管理現(xiàn)狀、技術現(xiàn)狀和人員狀況三個維度，綜合采用調(diào)查問卷、人員訪談、現(xiàn)場察看、資料分析、技術檢測等多種手段，全面深入地挖掘需求。在明確需求的前提下，借鑒同類企業(yè)成功經(jīng)驗并均衡考慮CIA（保密性、完整性、可用性），規(guī)劃符合企業(yè)實情的信息安全保障體系。

在企業(yè)信息安全總體架構規(guī)劃方法論中，重點工作的描述如下:

調(diào)查問卷

針對企業(yè)情況，信息主管應參照ISO27001/ISO13335等標準，制定相應的調(diào)查問卷，通過它全面了解企業(yè)的安全要求、安全狀況、IT環(huán)境，以及企業(yè)信息系統(tǒng)的應用情況和已經(jīng)采取的安全控制手段。

人員訪談

應選定關鍵領導和關鍵崗位，進行人員訪談，全面了解信息系統(tǒng)的安全需求，層層剖析、深入了解企業(yè)信息系統(tǒng)各層面的安全現(xiàn)狀，包括應用狀況、數(shù)據(jù)存儲及數(shù)據(jù)庫、主機及操作系統(tǒng)、網(wǎng)絡拓撲及網(wǎng)絡管理、數(shù)據(jù)中心及桌面管理等。

現(xiàn)場查看

為了確保獲取信息的全面性和準確性，實地考察是非常必要的。現(xiàn)場查看主要有兩方面。一方面是了解現(xiàn)有技術措施的情況，例如設備使用狀況、技術應用狀況等; 另一方面是物理環(huán)境察看，例如機房、辦公室、其他重要區(qū)域、門禁、監(jiān)控等。

資料分析

收集企業(yè)的相關資料進行分析，重點包括信息系統(tǒng)的部署架構、網(wǎng)絡架構、安全制度、運維管理、IT運行報告和IT審計報告。

技術檢測

采取技術手段進行漏洞檢測和分析，包括滲透測試、漏洞掃描、本地檢查和手工檢查等。充分發(fā)掘網(wǎng)絡方面的漏洞、主機及操作系統(tǒng)漏洞、數(shù)據(jù)庫方面的漏洞、應用方面的漏洞等。

CIA均衡考慮

通過前面5種方法完成需求分析之后，CIO對信息安全的具體詳細的需求就了解了。然后針對企業(yè)的信息安全需求，均衡考慮CIA三個方面設計技術、管理和人員控制措施，并將這些措施有機結合構建信息安全保障體系。

篇3

關鍵詞：信息完全；技術；體系

一、前言

隨著金川集團公司跨國經(jīng)營戰(zhàn)略的實施，企業(yè)信息化進程不斷深入，企業(yè)信息安全己經(jīng)引起公司領導的的高度重視，但依然存在不少問題。調(diào)查結果表明，造成網(wǎng)絡安全事件發(fā)生的原因有很多，一是安全技術保障體系尚不完善，企業(yè)花了大量的金錢購買了信息安全設備，但是技術保障不成體系，達不到預想的目標;二是應急反應體系沒有經(jīng)常化、制度化;三是企業(yè)信息安全的標準、制度建設滯后。其中，由于未修補或防范軟件漏洞導致發(fā)生安全事件的占安全事件總數(shù)的80%，登錄密碼過于簡單或未修改密碼導致發(fā)生安全事件的占19%。近年來，雖然使用單位對信息網(wǎng)絡安全管理工作的重視程度普遍提高，80%的被調(diào)查單位有專職或兼職的安全管理人員，但是，很多企業(yè)存在安全觀念薄弱、安全管理員缺乏培訓、安全經(jīng)費投入不足和安全產(chǎn)品不能滿足要求等問題，也說明目前安全管理水平還比較低。因此現(xiàn)代企業(yè)迫切需要建立信息資源安全管理體系。

二、企業(yè)信息資源安全管理體系構建

1、企業(yè)信息安全組織管理

企業(yè)信息安全組織體系定義為一個三層的組織，組織架構如圖所示:

企業(yè)信息安全組織

l)總經(jīng)理通過總經(jīng)辦負責企業(yè)信息、安全的決策事項。2)總經(jīng)理任命一名信息安全主管負責企業(yè)信息安全的風險管理，該主管領導一個有各個部門主要負責人參加的信息安全管理小組維護企業(yè)信息安全管理體系、管理企業(yè)信息安全風險。3)總經(jīng)理任命一名信息安全審計師，負責企業(yè)信息安全活動的審計。4)行政部門、業(yè)務部門和分支機構執(zhí)行信息安全管理體系中的相應安全政策，并在信息安全管理主管的領導下，實施風險管理計劃。各個部門負責人有義務向信息安全主管報告所管轄部門的信息安全狀況，信息安全主管應定期在組織范圍內(nèi)和向上級機關報告企業(yè)信息安全狀況。

2、企業(yè)信息安全政策管理

根據(jù)企業(yè)信息安全風險分析的結果和信息安全政策制定的原則，設計信息安全政策體系包括以下幾點：（1）企業(yè)信息安全風險管理政策：a)信息安全風險定義，包括風險等級定義和安全類別定義;b)信息安全風險評估執(zhí)行要求，包括時問周期要求、范圍要求、基于事件的風險評估要求:c)信息安全風險評估責任，包括信息安全管理人員責任和業(yè)務部門責任。（2）企業(yè)信息安全體系管理政策：a)管理體系的規(guī)劃，包括規(guī)劃的時機、規(guī)劃的內(nèi)容、規(guī)劃的依據(jù)、規(guī)劃的責任人:b)管理體系的實施，包括、培訓、執(zhí)行獎懲。c)管理體系的驗證，包括周期管理評審、安全審計、事件評審、殘留風險評估。d)管理體系的改進，包括分析和變更控制。（3）病毒抵御安全政策：a)操作程序一運行網(wǎng)絡管理人員日常工作的程序。這部分安全政策主要控制的風險是不規(guī)范的管理活動造成無效或低效的管理。b)關鍵資源監(jiān)控一識別出關鍵設備并對關鍵設備的運行狀態(tài)進行監(jiān)控。這部分安全政策主要控制的風險是關鍵資源異常情況不能被及時發(fā)現(xiàn)和處理。c)軟件系統(tǒng)維護一對軟件系統(tǒng)及時地升級和打補丁。這部分安全政策主要控制的風險是軟件系統(tǒng)未及時升級和/或打補丁而造成的信息故障或者安全事故。d)敏感資料存儲一對在業(yè)務進行過程中產(chǎn)生的敏感信息的存放管理。這部分安全政策主要控制的風險是由于對敏感資料存儲不當導致資料的丟失或泄漏。

3、企業(yè)信息安全事件管理

目前，沒有任何一種具有代表性的信息安全策略或防護措施可對信息、信息系統(tǒng)、服務或網(wǎng)絡提供絕對的保護。即使采取了防護措施，仍可能存在殘留的弱點，使得信息安全防護變得無效，從而導致信息安全事件發(fā)生，并對企業(yè)的業(yè)務運行直接或間接地產(chǎn)生負面影響。此外，以前未被認識到的威脅也將會不可避免地發(fā)生。企業(yè)如果對如何應對這些事件沒有作好充分準備，其任何實際響應的效率都會大打折扣，甚至還可能增加潛在的業(yè)務負面影響。因此，企業(yè)應著重做好信息安全事件管理工作。信息安全事件管理方案的必企業(yè)應著重做好信息安全事件管理工作。信息安全事件管理方案的必要過程包括：（1）發(fā)現(xiàn)和報告發(fā)生的信息安全事態(tài)，無論是由企業(yè)人員／顧客引起的還是自動發(fā)生的（如防火墻警報）。（2）收集有關信息安全事態(tài)的信息，由企業(yè)的運行支持組人員進行評估，確定該事態(tài)屬于信息安全事件還是發(fā)生了誤報。確認該事態(tài)是否屬于信息安全事件，如果是，則立即作出響應，同時啟動必要的法律取證分析、溝通活動。（3）進行評審以確定該信息安全事件是否處于控制下。（4）如果處于控制下，則啟動任何所需要的進一步的后續(xù)響應，以確保所有相關信息準備完畢，供事件解決后評審所用。（5）如果不在控制下，則采取“危機求助”活動并召集相關人員，如企業(yè)中負責業(yè)務連續(xù)性的管理者和工作組。（6）在整個階段按要求進行上報，以便進一步評估和決策。（7）確保所有相關人員，正確記錄所有活動以備后面分析所用。（8）確保對電子證據(jù)進行收集和安全保存，同時確保電子證據(jù)的安全保存得到持續(xù)監(jiān)視，以備法律起訴或內(nèi)部處罰所需。（9）確保包括信息安全事件追蹤和事件報告更新的變更控制制度得到維護，從而使得信息安全事態(tài)／事件數(shù)據(jù)庫保持最新。

4、企業(yè)信息安全技術管理

我們所構建的信息安全管理體系中，不能忽視技術的作用，雖然只使用技術控制不能保證一個信息安全環(huán)境，但是在通常情況下，它是信息安全項目的基礎部分。（1）密碼服務技術。密碼服務技術為密碼的有效應用提供技術支持。通常密碼服務系統(tǒng)由密碼芯片、密碼模塊、密碼機或軟件，以及密碼服務接口構成。通常，企業(yè)會涉及以下幾個方面的密碼應用：數(shù)字證書運算、密鑰加密運算、數(shù)據(jù)傳輸、數(shù)據(jù)儲存、數(shù)字簽名、數(shù)字信封。（2）故障恢復技術。故障恢復的主要措施有：群集配置，由多臺計算機組成群集結構，盡可能消除整個系統(tǒng)可能存在的單點故障；雙機熱備份，在任何一臺設備失效的情況下，按照預先定義的規(guī)則快速切換至相應的備份設備，維持業(yè)務的正常運行；故障恢復管理，由專門的集群軟件進行管理和監(jiān)控，使應用系統(tǒng)在任何軟硬件組成單元發(fā)生故障時，能夠根據(jù) 故障情況重新分配任務。（3）惡意代碼防范技術：惡意代碼防范技術包括四大系統(tǒng)：病毒查殺系統(tǒng)、網(wǎng)關防毒系統(tǒng)、群件防毒系統(tǒng)、集中管理系統(tǒng)。（4）入侵檢測技術。入侵檢測系統(tǒng)是實現(xiàn)入侵檢測功能的一系列的軟件、硬件的組合。入侵檢測系統(tǒng)以實時方式監(jiān)測網(wǎng)絡通信，對其進行分析并實時安全預警，從而使企業(yè)能夠有效管理內(nèi)部人員和資源，并對外部攻擊進行早期預警和跟蹤，有效保障系統(tǒng)安全。基于主機的入侵檢測系統(tǒng)通常以系統(tǒng)日志、應用程序日志等審計記錄文件作為數(shù)據(jù)源。通過比較這些審計記錄文件與攻擊簽名是否匹配，如果匹配立即報警采取行動.基于網(wǎng)絡的入侵檢測系統(tǒng)把原始的網(wǎng)絡數(shù)據(jù)包作為數(shù)據(jù)源。它是利用網(wǎng)絡適配器來實時監(jiān)視并分析通過網(wǎng)絡進行傳輸?shù)乃型ㄐ艠I(yè)務。（5）掃描與分析技術。端口掃描工具能識別網(wǎng)絡上活動的計算機，同樣也可以識別這些計算機上的活動端口和服務。可以掃描特定類型的計算機、協(xié)議和資源，也可進行普遍掃描。漏洞掃描可以掃描網(wǎng)絡并得到非常詳細的信息。可以識別暴露的用戶名和組，顯示開放的網(wǎng)絡共享，并暴露配置問題和其他服務器漏洞。內(nèi)容過濾器也能有效地保護機構系統(tǒng)，使其不受誤用和無意的拒絕服務。

5、企業(yè)信息安全培訓的必要性

公司目前很多崗位和部門的員工都從事涉密數(shù)據(jù)相關工作，有很多數(shù)據(jù)和信息涉及到公司的機密和知識產(chǎn)權，但是大多數(shù)員工信息安全意識差，在平時的工作中在意識上和實際工作中存在很多問題，導致涉密數(shù)據(jù)的外漏，給公司的生產(chǎn)經(jīng)營造成不可挽回的損失。在有管理組織、政策制度和技術保障的情況下，通過對涉密數(shù)據(jù)相關工作人員的信息安全意識和信息安全操作培訓是非常必要的。

三、結語

總之，企業(yè)信息安全管理體系是一個企業(yè)日常經(jīng)營和持續(xù)發(fā)展的基本保證，也是企業(yè)戰(zhàn)略和管理的重要環(huán)節(jié)。建立信息安全管理體系的目的就是降低信息風險對企業(yè)的危害。并將企業(yè)信息系統(tǒng)投資和商業(yè)利益最大化。信息安全不只是個技術問題，而更多的是商業(yè)、管理和法律問題。實現(xiàn)信息安全不僅僅需要采用技術措施，還需要更多地借助于技術以外的其他手段。

參考文獻：

篇4

關鍵詞： 企業(yè)信息系統(tǒng)；信息安全；安全策略

中圖分類號：F270.7 文獻標識碼：A 文章編號：1671－7597（2012）0220165－01

隨著市場經(jīng)濟的不斷發(fā)展，企業(yè)競爭越來越激烈，國際化合作不斷增多，隨之而來的企業(yè)信息安全是目前我國企業(yè)普遍存在的問題。對企業(yè)來說，信息安全是一項艱巨的工作，關系到企業(yè)的發(fā)展。近年來，圍繞企業(yè)信息安全問題的話題不斷，企業(yè)信息安全事件也頻頻發(fā)生，如何保證企業(yè)信息的安全，保證信息系統(tǒng)的正常運轉，已經(jīng)成為信息安全領域研究的新熱點。

1 企業(yè)信息安全的意義

信息安全是一個含義廣泛的名詞，是指防止信息財產(chǎn)被故意的或偶然的非授權泄露、更改、破壞，或防止信息被非法辨識、控制，即確保信息的保密性、可用性、完整性和可控性。企業(yè)的正常運轉，離不開信息資源的支撐。企業(yè)信息安全建設對企業(yè)的發(fā)展意義重大。

首先，信息安全是時展的需要。計算機網(wǎng)絡時代的發(fā)展，改變了傳統(tǒng)的商務運作模式，改變了企業(yè)的生產(chǎn)方式和思想觀念，極大推動了企業(yè)文化的發(fā)展。企業(yè)信息安全的建設將使得企業(yè)的管理水平與國際先進水平接軌，從而成長為企業(yè)向國際化發(fā)展與合作的有力支撐。

其次，信息安全是企業(yè)發(fā)展的需要。企業(yè)的信息化建設帶來了生產(chǎn)效率提高、成本降低、業(yè)務拓展等諸多好處。當前越來越多的企業(yè)信息和數(shù)據(jù)，都是以電子文檔的形式存在，對企業(yè)來說，信息安全是使企業(yè)信息不受威脅和侵害的保證，是企業(yè)發(fā)展的基本保障，所以，在積極防御，綜合防范的方針指導下，有效地防范和規(guī)避風險，建立起一套切實可行的長效防范機制，逐步建立起信息安全保障體系，有利于企業(yè)的發(fā)展。

最后，信息安全是企業(yè)穩(wěn)定的必要前提。信息安全成為保障和促進企業(yè)穩(wěn)定和信息化發(fā)展的重點，要充分認識信息安全工作的緊迫感和長期性，從企業(yè)的安全、經(jīng)濟發(fā)展、企業(yè)穩(wěn)定和保護企業(yè)利益的角度來思考問題，扎扎實實地做好基礎性工作和基礎設施建設，在建立信息安全保障體系的過程中，必須搞好鏈接信息安全保障體系建設安全、建設健康的網(wǎng)絡環(huán)境，關注信息戰(zhàn)略，保障和促進信息化的健康發(fā)展。

2 企業(yè)信息安全的現(xiàn)狀

我國企業(yè)信息安全包括計算機系統(tǒng)的硬、軟件及系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然的或惡意的原因而遭到破壞、更改、泄露，使得系統(tǒng)連續(xù)、可靠、正常的運行，網(wǎng)絡服務不中斷。計算機和網(wǎng)絡技術具有復雜性和多樣性，使得企業(yè)信息安全成為一個需要持續(xù)更新和提高的領域。就目前來看，主要存在以下三個方面的隱患。

2.1 企業(yè)缺少信息安全管理制度

企業(yè)信息安全是一個比較新的領域，目前還缺少比較完善的法規(guī)，現(xiàn)有的法規(guī)，由于相關安全技術和手段還沒有成熟和標準化，法規(guī)也不能很好地被執(zhí)行，安全標準和規(guī)范的缺少，導致無從制定合理的安全策略并確保此策略能被有效執(zhí)行。企業(yè)的信息系統(tǒng)安全問題是一個系統(tǒng)工程，涉及到計算機技術和網(wǎng)絡技術以及管理等方方面面，同時，隨著信息系統(tǒng)的延伸和新興技術集成應用升級換代，它又是一個不斷發(fā)展的動態(tài)過程。因此對企業(yè)信息系統(tǒng)運行風險和安全需求應進行同期化的管理，不斷制定和調(diào)整安全策略，只有這樣，才能在享受企業(yè)信息系統(tǒng)便利高效的同時，把握住信息系統(tǒng)安全的大門。

2.2 員工缺少安全管理的責任心

一個企業(yè)的信息系統(tǒng)是企業(yè)全體人員參與的，不考慮全員參與的信息安全方案，恰恰忽視信息安全中最關鍵的因素――人，因為他們才是企業(yè)信息系統(tǒng)的提供者和使用者，他們是影響信息安全系統(tǒng)能否達到預期要求的決定因素。在眾多的攻擊行為和事件中，發(fā)生最多的安全事件是信息泄露事件。攻擊者主要來自企業(yè)內(nèi)部，而不是來自企業(yè)外部的黑客等攻擊者，安全事件造成最大的經(jīng)濟損失主要是內(nèi)部人員有意或無意的信息泄露事件。針對內(nèi)部員工的泄密行為，目前還沒有成熟的、全面的解決，對于來自企業(yè)信息內(nèi)部信息泄密的安全問題，一直是整個信息安全保障體系的難點和弱點所在。

2.3 信息系統(tǒng)缺乏信息安全技術

計算機信息安全技術是一門由密碼應用技術、信息安全技術、數(shù)據(jù)災難與數(shù)據(jù)恢復技術、操作系統(tǒng)維護技術、局域網(wǎng)組網(wǎng)與維護技術、數(shù)據(jù)庫應用技術等組成的計算機綜合應用學科。由于認識能力和技術發(fā)展的局限性，在硬件和軟件設計過程中，難免留下技術缺陷，網(wǎng)絡硬件、軟件系統(tǒng)多數(shù)依靠進口，由此可造成企業(yè)信息安全的隱患，現(xiàn)在黑客的攻擊并不是為了破壞底層系統(tǒng)，而是為了入侵應用，竊取數(shù)據(jù)，帶有明顯的商業(yè)目的，許多黑客就是通過計算機操作系統(tǒng)的漏洞和后門程序進入企業(yè)信息系統(tǒng)。隨著網(wǎng)絡應用要求的越來越多，針對應用的攻擊也越來越多，除了在管理制度上確保信息安全外，還要在技術上確保信息安全。

3 企業(yè)信息安全中存在的問題

信息時代的到來，從根本上改變了企業(yè)經(jīng)營形式，企業(yè)實施信息化為其帶來便利的同時也產(chǎn)生了巨大的信息安全風險。由于我國企業(yè)信息安全工作還處于起步階段，基礎薄弱，導致信息安全存在一些亟待解決的問題。比較常見的問題有病毒危害、“黑客”攻擊和網(wǎng)絡攻擊等，這些問題給企業(yè)造成直接的經(jīng)濟損失，成為企業(yè)信息安全的最大威脅，使企業(yè)信息安全存在著風險因素。

3.1 病毒危害

計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者數(shù)據(jù)，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼，它是具有破壞作用的程序或指令集合。計算機病毒已經(jīng)泛濫成災，幾乎無孔不入，據(jù)統(tǒng)計，計算機病毒的種類已經(jīng)超過4萬多種，而且還在以每年40%的速度在遞增，隨著Internet技術的發(fā)展，病毒在企業(yè)信息系統(tǒng)中傳播的速度越來越快，其破壞性也越來越來越強。

3.2 “黑客”攻擊

“黑客”是英文Hacker的諧音，黑客是利用技術手段進入其權限以外的計算機系統(tǒng)的人。黑客破解或破壞某個程序、系統(tǒng)及網(wǎng)絡安全，或者破解某系統(tǒng)或網(wǎng)絡以提醒該系統(tǒng)所有者的系統(tǒng)安全漏洞的過程。通常采用后門程序、信息炸彈、拒絕服務、網(wǎng)絡監(jiān)聽、密碼破解等手段侵入計算機系統(tǒng)，盜竊系統(tǒng)保密信息，進行信息破壞或占用系統(tǒng)資源，黑客攻擊已經(jīng)成為近年來經(jīng)常出現(xiàn)的問題。

3.3 網(wǎng)絡攻擊

網(wǎng)絡攻擊就是對網(wǎng)絡安全威脅的具體表現(xiàn)，利用網(wǎng)絡存在的漏洞和安全缺陷對系統(tǒng)和資源進行的攻擊。尤其是在最近幾年里，網(wǎng)絡攻擊技術和攻擊工具有了新的發(fā)展趨勢，使借助Internet運行業(yè)務的企業(yè)面臨著前所未有的風險。由此可知，企業(yè)的信息安全問題、以及對信息的安全管理都是至關重要的。要保證企業(yè)信息安全，就必須找出存在信息安全問題的根源，并具有良好的安全管理策略。

4 企業(yè)信息安全的解決方案

為確保企業(yè)信息安全，要堅持積極防御，綜合防范的方針，全面提高信息安全防護能力。因此，面對企業(yè)信息安全的現(xiàn)狀和企業(yè)信息安全發(fā)展中出現(xiàn)的問題，必須實施對企業(yè)的信息安全管理，建設信息安全管理體系，只有建立完善的安全管理制度，將信息安全管理自始至終貫徹落實于信息管理系統(tǒng)的方方面面，企業(yè)信息安全才能得以實現(xiàn)。企業(yè)信息安全的解決方案，具體表現(xiàn)在以下三個方面：

4.1 建立完善的安全管理體系

完整的企業(yè)信息系統(tǒng)安全管理體系首先要建立完善的組織體系，完成制定并信息安全管理規(guī)范和建立信息安全管理組織等工作，保障信息安全措施的落實以及信息安全體系自身的不斷完善。并建立一套信息安全規(guī)范，詳細說明各種信息安全策略。一個詳細的信息安全規(guī)劃可以減輕對于人的因素帶來的信息安全問題。最基本的企業(yè)安全管理過程包括：采用科學的企業(yè)信息資產(chǎn)評估和風險分析模型法、設計完備的信息系統(tǒng)動態(tài)安全模型、建立科學的可實施的安全策略，采取規(guī)范的安全防范措施、選用可靠穩(wěn)定的安全產(chǎn)品等。安全防范體系的建立不是一勞永逸的，企業(yè)網(wǎng)絡信息自身的情況不斷變化，新的安全問題不斷涌現(xiàn)，必須根據(jù)暴露出的一些問題，進行更新，保證網(wǎng)絡安全防范體系的良性發(fā)展，

4.2 提高企業(yè)員工的安全意識

科技以人為本，在信息安全方面也是靠人來維護企業(yè)的利益，我們在企業(yè)信息網(wǎng)絡鞏固正面防護的時候不能忽視對人的行為規(guī)范和績效管理。企業(yè)員工信息安全意識的高低是一個企業(yè)信息安全體系是否能夠最終成功實施的決定性因素。企業(yè)應當制定企業(yè)人員信息安全行為規(guī)范，必須有專門管理人才，才能有效地實現(xiàn)企業(yè)安全、可靠、穩(wěn)定運行，保證企業(yè)信息安全。教育培訓是培訓信息安全人才的重要手段，企業(yè)可以對所有相關人員進行經(jīng)常性的安全培訓，強化技術人員對信息安全的重視，提升使用人員的安全觀念，有針對性的開展安全意識宣傳教育，逐步提高員工的安全意識，強調(diào)人的作用，使他們明確企業(yè)各級組織和人員的安全權限和責任，使他們的行為符合整個安全策略的要求。

4.3 不斷優(yōu)化企業(yè)信息安全技術

企業(yè)一旦制定了一套詳細的安全規(guī)劃來武裝自己，保護其智力資產(chǎn)，它就開始投入到選擇采用正確信息安全技術上。可供企業(yè)選擇的防止信息安全漏洞的安全技術有很多。當企業(yè)選擇采用何種技術時，首先了解信息安全的三個領域是十分有幫助的，這三個領域變得：驗證與授權、預防和抵制、檢測和響應。其中，用戶驗證是確認用戶身份的一種方法，一旦系統(tǒng)確認了用戶身份，那么它就可以決定該用戶的訪問權限，比如使用用戶名和密碼。預防和抵抗技術是指企業(yè)阻止入侵者訪問。對于任何企業(yè)，必須對那些故障做好準備和預測，目前可以幫助預防和建設抵抗攻擊的技術主要有內(nèi)容過濾、加密和防火墻，在選用防火墻的時候，需要對所安裝的防火墻做一些攻擊測試。此外，企業(yè)信息安全的最后一道屏障是探測和反應技術，最常見的探測和反應技術是殺毒軟件。

5 結語

總之，企業(yè)信息安全是一項復雜的系統(tǒng)工程，企業(yè)要適應現(xiàn)代化發(fā)展的需要，要提高自身信息安全意識，加強對信息安全風險防范意識的認識，重視安全策略的施行及安全教育，必須做到管理和技術并重，安全技術必須結合安全措施，并加強信息安全立法和執(zhí)法的力度，建立備份和恢復機制， 為企業(yè)設計適合實際情況的安全解決方案，制定正確和采取適當?shù)陌踩呗院桶踩珯C制，保證企業(yè)安全體系處于應有的健康狀態(tài)。

參考文獻：

[1]張帆，企業(yè)信息安全威脅分析與安全策略[J].網(wǎng)絡安全技術與應用，2007（5）.

[2]諶曉歡，企業(yè)信息安全問題及解決方案[J].企業(yè)技術開發(fā)，2008（8）.

[3]付沙，企業(yè)信息安全策略的研究與探討[J].商場現(xiàn)代化，2007（26）.

[4]姜樺、郭永利，企業(yè)信息安全策略研究[J].焦作大學學報，2009（1）.

篇5

【關鍵詞】企業(yè)信息化；信息安全問題；原因；對策

新時期下，信息化技術在各行業(yè)中運用日漸深入，給企業(yè)現(xiàn)代化建設與快速發(fā)展帶來了無限動力。企業(yè)信息化建設已成為我國經(jīng)濟信息化建設能否成功的關鍵所在，也是提升企業(yè)自身市場競爭力與企業(yè)升級進步的重要保證和標志[1]。但是，企業(yè)信息化建設過程中不可避免的出現(xiàn)信息安全問題，給企業(yè)正常生產(chǎn)經(jīng)營帶來諸多不利影響。因此，加強企業(yè)信息化建設中信息安全管理，已成為現(xiàn)代企業(yè)經(jīng)營管理的一個至關重要的工作。

1企業(yè)信息化概述

所謂的企業(yè)信息化，指的是實現(xiàn)企業(yè)的資金流、物流、作業(yè)流、信息流的數(shù)字化、網(wǎng)絡化管理，實行企業(yè)運行的自動化和企業(yè)制度的現(xiàn)代化[2]。企業(yè)信息化建設涉及了企業(yè)生產(chǎn)經(jīng)營中的各個部門，其主要利用現(xiàn)代化信息技術，通過完善企業(yè)內(nèi)外網(wǎng)絡信息系統(tǒng)，實現(xiàn)對企業(yè)內(nèi)外知識與信息資源的開發(fā)。可見，建設企業(yè)信息化體系，不但可以及時有效的提供各種數(shù)據(jù)信息給企業(yè)決策層，也為企業(yè)未來規(guī)劃設計提供參考依據(jù)，而且還有利于企業(yè)滿足瞬息萬變的市場需求，為企業(yè)市場核心競爭力的提升帶來動力。

2當前企業(yè)信息化建設中信息安全問題

企業(yè)信息化建設與發(fā)展為企業(yè)持續(xù)、健康、穩(wěn)定發(fā)展發(fā)揮了顯著作用，但同時也存在著諸多信息安全問題，具體分析主要有以下幾方面[3]：（1）當前，絕大多數(shù)企業(yè)缺乏完善的安全防御系統(tǒng)，導致企業(yè)內(nèi)部使用的信息系統(tǒng)易遭受外部網(wǎng)絡系統(tǒng)的攻擊，引發(fā)企業(yè)信息資料被他人截獲、篡改與偽造等問題，甚至企業(yè)信息系統(tǒng)中出現(xiàn)通信線路、硬盤設施以及其他文件系統(tǒng)遭惡意破壞現(xiàn)象，上述問題的發(fā)生不但致使企業(yè)信息系統(tǒng)無法正常運行，而且其內(nèi)部機密信息易發(fā)生泄漏，造成企業(yè)嚴重的社會經(jīng)濟損失。（2）針對郵件系統(tǒng)攻擊防不甚防。在企業(yè)信息系統(tǒng)中電子郵件具有重要的作用，通過電子郵件接收與傳送，極大的方便了企業(yè)內(nèi)部間與外部間信息交流與溝通。然而，電子郵件安全問題也日益突出，典型的如電子郵件病毒、垃圾郵件、機密信息泄露以及電子郵件炸彈等，給企業(yè)信息傳輸帶來了巨大安全隱患。因此，電子郵件安全問題不可忽視。（3）漏洞攻擊日益嚴重。按照漏洞問題發(fā)生原因可分為軟件漏洞和協(xié)議漏洞兩種，其中軟件漏洞主要是受外部不法分子攻擊軟件自身存在的漏洞，造成企業(yè)信息泄露等問題；而協(xié)議漏洞則主要是由于TCP/IP協(xié)議自身在安全機制方面存在的諸多漏洞問題導致，外部不法人員通過攻擊TCP/IP協(xié)議漏洞，致使企業(yè)信息系統(tǒng)遭受破壞。目前情況，很多企業(yè)對自身信息系統(tǒng)缺乏成熟的漏洞檢測手段和能力，往往事發(fā)后才采取補救措施。（4）是Web服務安全問題突出，根據(jù)Web服務流程，其發(fā)生安全問題的主要組成包括Web服務端安全問題、瀏覽器客戶端安全問題兩種。其中，Web服務端安全問題主要是企業(yè)Web主機遭受外部不法分子侵入，導致企業(yè)保密信息遭竊或者企業(yè)部分信息遭受非法篡改等；瀏覽器客戶端安全問題則是企業(yè)瀏覽器客戶端遭外部非法分子侵入，致使部分機密信息與數(shù)據(jù)遭竊等。

3導致企業(yè)信息化建設中信息安全問題因素

企業(yè)信息化建設中信息安全問題發(fā)生受諸多因素影響，具體分析主要有以下幾方面[4]：（1）目前，絕大多數(shù)企業(yè)在信息化建設過程中，對于信息安全問題重視度嚴重不足。一方面，受傳統(tǒng)經(jīng)營觀念影響，企業(yè)管理層偏重于對企業(yè)生產(chǎn)經(jīng)營中的有形資產(chǎn)給予關注與重視，而忽略了企業(yè)知識與信息資料等無形資源，導致在企業(yè)信息安全管理方面各項投入嚴重不足，進而造成信息安全問題日益凸顯；另一方面，多數(shù)企業(yè)在面對信息安全問題時，存在著盲目樂觀現(xiàn)象，認為信息安全問題不至于導致企業(yè)正常生產(chǎn)經(jīng)營，使得信息安全管理無法上升至企業(yè)發(fā)展規(guī)劃戰(zhàn)略之中，進而造成信息安全問題得不到及時有效解決。（2）由于企業(yè)信息化建設在我國尚處于起步階段，各方面配套管理制度不夠完善，特別是缺乏健全的企業(yè)信息安全管理體制。受此影響，企業(yè)信息化建設中信息安全問題一方面無法得到有效的預防措施，另一方面是一旦發(fā)生信息安全問題，無法采取及時有效的補救與解決對策。同時，由于缺乏科學、合理、有效的企業(yè)信息安全防護策略，使得企業(yè)信息管理人員缺乏必要的安全防護意識與業(yè)務素質(zhì)能力，致使企業(yè)信息安全防護軟硬件工作質(zhì)量與效率明顯不足。上述兩個因素，導致企業(yè)無論是從人員配置，還是資金與技術投入方面都嚴重不足，受企業(yè)信息管理人員業(yè)務素質(zhì)能力不足、信息安全技術方法落后以及配套的資金缺乏等影響，企業(yè)信息安全防護的措施、手段偏低，造成企業(yè)信息化建設存在著嚴重安全隱患。

4提升企業(yè)信息化建設中信息安全對策

針對當前企業(yè)信息化建設中存在的信息安全問題，為加強企業(yè)信息安全管理，提升企業(yè)信息安全保障，可通過采取以下幾方面對策，具體有[5]：（1）轉變傳統(tǒng)企業(yè)信息化建設觀念，在企業(yè)內(nèi)部管理層從上至下加強對企業(yè)信息安全的重視，并樹立正確的安全意識。一方面，通過組織各種信息安全管理培訓等，增強全體企業(yè)員工信息安全意識，確保企業(yè)保密信息不外漏；另一方面，逐步加大企業(yè)信息化建設中信息安全管理各項資金、技術、人力投入，并建立科學、合理、有效的企業(yè)信息安全防護策略，保障企業(yè)信息系統(tǒng)安全穩(wěn)定。（2）不斷的推進網(wǎng)絡信息技術的發(fā)展與運用，促進企業(yè)組織結構網(wǎng)絡化的實現(xiàn)，同時引進先進的安全防護技術，確保企業(yè)信息化系統(tǒng)安全穩(wěn)定運行。任何網(wǎng)絡信息系統(tǒng)都存在著或大或小的安全漏洞問題，而保證其不受外部不法分子侵入的一個關鍵方法就是安全防護技術的運用。通過選用先進的安全防護技術，可以有效的提高企業(yè)信息系統(tǒng)抵抗外來攻擊，避免企業(yè)信息遭受竊取、篡改甚至破壞等，對于保障企業(yè)持續(xù)、健康、穩(wěn)定發(fā)展具有顯著作用。（3）結合企業(yè)信息化建設實際情況，建立健全企業(yè)內(nèi)部信息系統(tǒng)管理體制。一方面，針對信息安全問題，應建立科學、合理、規(guī)范的信息安全管理體制，保證企業(yè)信息系統(tǒng)安全運行；另一方面，建立健全企業(yè)安全風險評估機制，針對不同系統(tǒng)找出影響其安全的因素和漏洞，并制定出最佳的對策，降低企業(yè)信息安全風險；此外，加強相應的網(wǎng)絡管理，防止外來不法分子通過網(wǎng)絡侵入企業(yè)信息系統(tǒng)。（4）根據(jù)新時期企業(yè)信息化建設需要，加強企業(yè)信息技術人才、信息管理人才隊伍建設，為企業(yè)信息安全管理奠定堅實的人才基礎。一方面，在企業(yè)內(nèi)部，加強信息技術人才培訓，提高企業(yè)內(nèi)部相關人才業(yè)務素質(zhì)能力；另一方面，在企業(yè)外部，采取有效措施，積極招聘人才，引進具有先進信息技術型人才；此外，建立健全企業(yè)信息安全管理用人機制，激發(fā)員工工作積極性，提高工作質(zhì)量與效率。

5小結

總而言之，企業(yè)信息安全事關企業(yè)信息化建設是否成功，對于企業(yè)持續(xù)、健康、穩(wěn)定發(fā)展具有至關重要的作用。因此，應提高企業(yè)信息安全管理意識，增強企業(yè)信息安全管理機制，促進企業(yè)信息安全管理工作質(zhì)量與效率，保障企業(yè)信息化建設順利開展。

作者:吳捷 單位:中海石油氣電集團有限責任公司

參考文獻

[1]毛志勇.企業(yè)信息化建設的信息安全形勢與對策研究[J].科技與產(chǎn)業(yè)，2008，8，（1）：43~45.

[2]纂振法，徐福緣.淺析企業(yè)信息化建設的意義、問題與對策[J].吉林省經(jīng)濟管理干部學院學報，2001，3：24~28.

[3]謝志宏.企業(yè)信息化建設中的信息安全問題研究[J].企業(yè)導報，2014（06）：132~133.