企業(yè)信息安全現(xiàn)狀精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的企業(yè)信息安全現(xiàn)狀主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：企業(yè)信息安全現(xiàn)狀范文

一、制造型企業(yè)信息安全的必要性

隨著我國(guó)市場(chǎng)信息化水平加深，網(wǎng)絡(luò)技術(shù)已經(jīng)成為了推動(dòng)社會(huì)發(fā)展重要因素之一。網(wǎng)絡(luò)的便捷性，使得任何人都可以利用網(wǎng)絡(luò)接受、傳送大量的網(wǎng)絡(luò)信息，或者是存在網(wǎng)絡(luò)云盤之中。而網(wǎng)絡(luò)的公開性，也導(dǎo)致網(wǎng)絡(luò)對(duì)于任何人來(lái)說(shuō)都沒有門檻，這也是竊取信息的問(wèn)題不斷發(fā)生的主要原因。對(duì)于企業(yè)來(lái)說(shuō)，尤其是制造型企業(yè)，一旦企業(yè)賴以生存的核心技術(shù)被盜取，幾十年的勞動(dòng)成果皆拱手送人，企業(yè)將承受巨大的、甚至是毀滅性的損失。

企業(yè)信息泄露還有一種就是人才流動(dòng)，現(xiàn)如今企業(yè)人員流動(dòng)較大，企業(yè)信息可能被直接帶到其他企業(yè)之中，這也是個(gè)比較棘手的問(wèn)題。

另外一種情況是隨著企業(yè)之間的合作不斷增加，企業(yè)外派員工成為常見的現(xiàn)象，這樣就加大了企業(yè)間的交流和接觸時(shí)間，對(duì)于本企業(yè)的信息泄露也許就是在不經(jīng)意間。

無(wú)論是網(wǎng)絡(luò)問(wèn)題還是人為問(wèn)題，如果造成企業(yè)信息泄露，其對(duì)自身企業(yè)的損害是非常大的。以技術(shù)為核心的制造型企業(yè)加強(qiáng)信息安全管理勢(shì)在必行。

二、制造型企業(yè)信息安全管理的現(xiàn)狀及問(wèn)題

1.企業(yè)信息安全管理的被動(dòng)性

制造型企業(yè)的工作重點(diǎn)在產(chǎn)品制造與生產(chǎn)，對(duì)于網(wǎng)絡(luò)信息管理意識(shí)薄弱，很多時(shí)候企業(yè)只有發(fā)現(xiàn)企業(yè)信息泄露或者遭受病毒的攻擊等安全事件，才會(huì)關(guān)注企業(yè)信息安全問(wèn)題，進(jìn)而調(diào)動(dòng)技術(shù)部門前來(lái)解決問(wèn)題。這很大程度上反映制造型企業(yè)對(duì)網(wǎng)絡(luò)信息安全不夠重視，只有出現(xiàn)信息安全問(wèn)題時(shí)，才組建臨時(shí)小組來(lái)解決企業(yè)信息問(wèn)題，待到問(wèn)題解決后小組便被解散，沒有對(duì)企業(yè)信息后序的監(jiān)督和管理，企業(yè)信息安全管理缺乏系統(tǒng)策劃和制度化要求，管理活動(dòng)臨時(shí)性強(qiáng)，缺少日常的維護(hù)和預(yù)防，導(dǎo)致更多的是重蹈覆轍，這樣不僅沒有為企業(yè)省下對(duì)安全管理的資金，相反的恰恰是增加了企業(yè)的資金投入，直接增加了企業(yè)安全管理的成本。同時(shí)因?yàn)榕R時(shí)小組的組建，使得人員調(diào)動(dòng)頻繁，大大降低了工作效率，進(jìn)而對(duì)企業(yè)的經(jīng)濟(jì)效益造成影響。

2.員工使用內(nèi)部系統(tǒng)連接外網(wǎng)

雖然大部分制造型企業(yè)對(duì)企業(yè)自身的內(nèi)網(wǎng)進(jìn)行了防護(hù)監(jiān)測(cè)，而且對(duì)員工上網(wǎng)和網(wǎng)頁(yè)瀏覽采取了一定的限制措施，但是實(shí)際上，企業(yè)對(duì)員工上網(wǎng)的控制落實(shí)程度不夠，員工依舊可以在工作時(shí)間使用企業(yè)網(wǎng)絡(luò)進(jìn)行外部網(wǎng)絡(luò)連接，而且對(duì)于一些網(wǎng)站毫無(wú)防備。而網(wǎng)絡(luò)病毒是時(shí)刻都在通過(guò)網(wǎng)絡(luò)攻擊使用者的，特別對(duì)于企業(yè)內(nèi)部網(wǎng)絡(luò)，黑客更是隨時(shí)隨地緊盯著企業(yè)內(nèi)網(wǎng)出現(xiàn)漏洞，進(jìn)而竊取企業(yè)內(nèi)部信息。由于企業(yè)員工的疏忽，會(huì)有很大幾率使得企業(yè)信息出現(xiàn)安全隱患，輕則影響企業(yè)正常的生產(chǎn)工作，重則企業(yè)商業(yè)、技術(shù)信息被盜取或者企業(yè)內(nèi)網(wǎng)癱瘓甚至縱，為企業(yè)帶來(lái)非常嚴(yán)重的后果及損失。

3.移動(dòng)設(shè)備限制力度不夠

制造型企業(yè)在信息安全管理方面通常采取的措施是限制流水線工人的移動(dòng)設(shè)備使用，但是對(duì)于辦公部門卻沒有嚴(yán)格要求，辦公人員可以自由攜帶智能手機(jī)、筆記本電腦、pad、硬盤等移動(dòng)設(shè)備。因辦公人員要對(duì)數(shù)據(jù)進(jìn)行處理，會(huì)導(dǎo)致企業(yè)內(nèi)部信息被無(wú)限制地拷貝。而且現(xiàn)如今的移動(dòng)智能設(shè)備都能直接通過(guò)企業(yè)的無(wú)線網(wǎng)絡(luò)，連接企業(yè)內(nèi)網(wǎng)以獲得權(quán)限，這樣的確提高了企業(yè)內(nèi)部的辦公效率，同時(shí)也給黑客病毒提供了通過(guò)無(wú)線網(wǎng)絡(luò)進(jìn)行傳播的機(jī)會(huì)，提高了企業(yè)內(nèi)部信息安全的風(fēng)險(xiǎn)。

4.信息安全防護(hù)技術(shù)水平低

在我國(guó)，普遍存在信息安全研發(fā)技術(shù)水平較低的情況，這也是制造型企業(yè)安全技術(shù)不高的原因之一。制造型企業(yè)的工作重心偏重于生產(chǎn)、制造及商務(wù)活動(dòng)中，而對(duì)于網(wǎng)絡(luò)安全的防護(hù)意識(shí)不高。

作為企業(yè)，都會(huì)有一些信息安全意識(shí)。在企業(yè)成立初期，信息安全防護(hù)措施通常會(huì)被考慮并采納，尤其是一些進(jìn)口設(shè)備，但僅僅依賴進(jìn)口設(shè)備是遠(yuǎn)遠(yuǎn)不夠的。第一，進(jìn)口設(shè)備雖然技術(shù)先進(jìn)，但是出現(xiàn)問(wèn)題是在所難免的，往往出問(wèn)題的是一些關(guān)鍵的零部件，這些零部件不僅難以拆卸且是整臺(tái)設(shè)備的技術(shù)核心，設(shè)備廠商必然會(huì)控制其銷售渠道。第二，很多企業(yè)過(guò)于相信進(jìn)口設(shè)備的技術(shù)，力爭(zhēng)做到一步到位，使得企業(yè)發(fā)展中前期安全防護(hù)的確不錯(cuò)，但是卻忽略了系統(tǒng)的更新和維護(hù)，網(wǎng)絡(luò)病毒每天新出幾萬(wàn)種，就算設(shè)備再先進(jìn)，如果不進(jìn)行更新，遲早會(huì)被病毒攻破。第三，很多企業(yè)都采用家用式免費(fèi)殺毒軟件，這些殺毒軟件更新頻率快，一些簡(jiǎn)單病毒、木馬都能有效查殺，對(duì)家用來(lái)說(shuō)但是對(duì)企業(yè)來(lái)講遠(yuǎn)遠(yuǎn)不夠，企業(yè)一般是黑客重點(diǎn)關(guān)注的對(duì)象，黑客往往會(huì)研制更先進(jìn)的病毒來(lái)攻克企業(yè)的防火墻，一些免費(fèi)殺毒軟件很容易被攻破，增加制造企業(yè)內(nèi)部信息安全問(wèn)題。

5.企業(yè)出現(xiàn)安全問(wèn)題處理方法不當(dāng)

現(xiàn)如今研發(fā)病毒的技術(shù)快速而先進(jìn)，病毒出現(xiàn)時(shí)的及時(shí)處理是非常重要的，我國(guó)制造型企業(yè)在出現(xiàn)信息安全問(wèn)題的時(shí)候，雖然有相關(guān)的殺毒軟件，但因?yàn)榇蟛糠侄际敲赓M(fèi)的，其更新速度雖然頻率高，相對(duì)滯后性比較強(qiáng)，對(duì)于新病毒無(wú)法第一時(shí)間發(fā)現(xiàn)、處理。而且許多病毒都是潛在性的，企業(yè)內(nèi)部系統(tǒng)中毒之后沒有任何異樣，這就導(dǎo)致企業(yè)內(nèi)部人員無(wú)法及時(shí)發(fā)現(xiàn)企業(yè)內(nèi)網(wǎng)是否被越權(quán)或遭到攻擊。同時(shí)，由于很多企業(yè)缺少專門管理信息安全的部門，并且對(duì)于病毒侵入缺乏有針對(duì)性的安全對(duì)策和應(yīng)急措施，這就導(dǎo)致就算病毒被發(fā)現(xiàn)，企業(yè)在第一時(shí)間也無(wú)從下手。

三、制造型企業(yè)容易出現(xiàn)安全問(wèn)題的原因

1.企業(yè)內(nèi)部信息安全意識(shí)低

制造型企業(yè)的本質(zhì)是通過(guò)生產(chǎn)經(jīng)營(yíng)活動(dòng)而獲得盈利，因此制造型企業(yè)的工作重點(diǎn)主要是企業(yè)生產(chǎn)、制造以及流通和服務(wù)。在此情況下，企業(yè)更關(guān)注盈利情況，而缺乏對(duì)信息安全的管理意識(shí)，對(duì)信息安全管理的重視度不足。導(dǎo)致這一現(xiàn)象的重要原因是安全防護(hù)不能為企業(yè)帶來(lái)直接的經(jīng)濟(jì)效益，反而要投入大量的人力、物力、財(cái)力。另一方面，從安全管理角度來(lái)說(shuō)，沒有事故發(fā)生才是管理績(jī)效的體現(xiàn)。相對(duì)于質(zhì)量管理、生產(chǎn)安全管理來(lái)說(shuō)，信息安全管理的管理性質(zhì)是類似的，但因?yàn)槠涔芾韺?duì)象的不可見性，往往容易被企業(yè)高層忽視。同時(shí)，一般也會(huì)存在僥幸心理，感覺企業(yè)內(nèi)部網(wǎng)絡(luò)不會(huì)受到黑客攻擊，或是認(rèn)為就算受到病毒攻擊也不會(huì)對(duì)生產(chǎn)經(jīng)營(yíng)造成什么大影響，對(duì)企業(yè)整體利益影響不大?；鶎訂T工更是不明白什么是安全防護(hù)，對(duì)企業(yè)安全防護(hù)的重要性一無(wú)所知，這就導(dǎo)致許多企業(yè)內(nèi)部信息技術(shù)會(huì)從員工口中泄露。

2.信息安全管理模式不夠完善

制造型企業(yè)信息安全問(wèn)題頻發(fā)的原因，究其根本就是因?yàn)槠髽I(yè)信息安全管理模式不夠完善，具體原因是制造型企業(yè)不重視信息安全管理、缺少系統(tǒng)規(guī)范的信息安全管理制度、缺乏專業(yè)的信息安全管理技術(shù)和安全管理人員，企業(yè)信息系統(tǒng)設(shè)計(jì)沒有風(fēng)險(xiǎn)評(píng)估、沒有完善的業(yè)務(wù)流程，信息安全管理存在頭痛醫(yī)頭腳痛醫(yī)腳的現(xiàn)象。

3.信息安全系統(tǒng)沒有應(yīng)急措施

制造型企業(yè)信息安全系統(tǒng)缺少應(yīng)急措施，也可以說(shuō)沒有自我保護(hù)系統(tǒng)。自我保護(hù)系統(tǒng)是一種比較先進(jìn)的技術(shù)，一旦有病毒侵入系統(tǒng)，系統(tǒng)會(huì)自動(dòng)對(duì)重要信息進(jìn)行加密、封鎖，待系統(tǒng)安全后自動(dòng)解鎖。然而由于對(duì)信息管理的意識(shí)不足，使得很多制造型企業(yè)沒有建立信息安全自我保護(hù)系統(tǒng)。在我國(guó)，諸多制造型企業(yè)在信息管理方面更多的是依靠員工的經(jīng)驗(yàn)，對(duì)于網(wǎng)絡(luò)自身的保護(hù)信任度不足，也缺少對(duì)信息安全管理技術(shù)發(fā)展的關(guān)注和引用。

四、制造型企業(yè)信息安全管理存在問(wèn)題的對(duì)策

綜上所述，制造型企業(yè)信息安全問(wèn)題是由很多因素造成的，包括管理層的重視方面、技術(shù)方面、人員管理方面等。首要的，企業(yè)應(yīng)提升對(duì)信息安全管理的重視程度，只有加強(qiáng)意識(shí)，并建立有效的信息安全防范措施，才能有效保護(hù)企業(yè)自身的核心競(jìng)爭(zhēng)力，以獲得在市場(chǎng)經(jīng)濟(jì)中更好的發(fā)展。

1.提高企業(yè)內(nèi)部員工的信息安全意識(shí)

很多制造型企業(yè)信息泄露都是內(nèi)部員工無(wú)意間透露出去的，這也是最常見的企業(yè)內(nèi)部信息泄露渠道，企業(yè)應(yīng)充分重視員工的信息安全教育，定期對(duì)企業(yè)內(nèi)部員工進(jìn)行信息安全培訓(xùn)及考核，通過(guò)教育向員工灌輸信息安全的基本知識(shí)和常識(shí)、企業(yè)內(nèi)部信息的重要性、一旦發(fā)生企業(yè)核心技術(shù)泄露將產(chǎn)生的嚴(yán)重后果等信息。加強(qiáng)企業(yè)內(nèi)部員工信息安全意識(shí)，也就是從根本上降低了企業(yè)信息安全隱患，企業(yè)中如果基層員工都非常了解并重視信息安全問(wèn)題，那么這個(gè)企業(yè)在信息安全管理方面必然非常完善有效。

2.建立健全企業(yè)信息安全管理機(jī)制

由于很多制造型企業(yè)缺少健全的信息安全管理機(jī)制，這就給了很多黑客病毒更多的侵入機(jī)會(huì)。一套完善的信息安全管理機(jī)制能夠有效的保護(hù)企業(yè)信息安全，降低安全隱患。制造型企業(yè)應(yīng)該建立健全企業(yè)信息安全管理機(jī)制，設(shè)立專門的企業(yè)信息安全管理部門，這樣能最大程度保證信息的日常安全防范，也保證了一旦出現(xiàn)安全問(wèn)題，企業(yè)能更好、更快地解決問(wèn)題，健全的管理機(jī)制能夠?qū)︼L(fēng)險(xiǎn)有一定的預(yù)見性，把風(fēng)險(xiǎn)降到最低。

3.加大對(duì)信息安全管理的資金投入

任何新型技術(shù)都離不開資金的投入，信息安全管理同樣也是，而且信息安全管理更多的屬于技術(shù)型投入，對(duì)資金依賴性更高。制造型企業(yè)想要獲得可持續(xù)發(fā)展，就必須要把目標(biāo)放得更加長(zhǎng)遠(yuǎn)。企業(yè)內(nèi)部信息往往是一個(gè)企業(yè)的核心，因此企業(yè)應(yīng)提高對(duì)信息管理的重視程度，加大對(duì)信息安全系統(tǒng)的投資，把信息安全管理作為企業(yè)管理重要的一部分，信息安全管理資金劃作專項(xiàng)資金?？顚Ｓ?。企業(yè)對(duì)信息安全管理的投資要有計(jì)劃性，確保突況的資金投入、技術(shù)更新的資金投入、管理人員的資金投入、安全教育的資金投入等。把信息安全管理納入企業(yè)整體的發(fā)展規(guī)劃中，這樣才能保證企業(yè)信息更加安全，企業(yè)才能獲得長(zhǎng)足的發(fā)展。

4.加大對(duì)信息安全管理人才的認(rèn)識(shí)

因?yàn)樾畔?duì)企業(yè)生存至關(guān)重要，信息安全甚至?xí)绊懙狡髽I(yè)的發(fā)展戰(zhàn)略的制定和落實(shí)，制造型企業(yè)應(yīng)當(dāng)把信息安全管理與生產(chǎn)經(jīng)營(yíng)提高到同一個(gè)層次。企業(yè)內(nèi)網(wǎng)是網(wǎng)絡(luò)技術(shù)領(lǐng)域，既然是技術(shù)，就離不開專業(yè)人才的支持，企業(yè)應(yīng)該加強(qiáng)信息安全管理的人才培養(yǎng)，提高企業(yè)信息安全管理的質(zhì)量。如果企業(yè)內(nèi)部沒有專業(yè)的信息安全管理人才，企業(yè)可以通過(guò)對(duì)外招聘的形式，在社會(huì)中尋求人才?，F(xiàn)如今互聯(lián)網(wǎng)技術(shù)已經(jīng)逐步走向成熟，計(jì)算機(jī)人才更是越來(lái)越多，所以，制造型企業(yè)在社會(huì)中尋找信息安全管理的人才不會(huì)很難，同時(shí)還能促進(jìn)計(jì)算機(jī)技術(shù)人才就業(yè)，對(duì)于企業(yè)自身以及社會(huì)都有很大意義。

5.加強(qiáng)企業(yè)內(nèi)網(wǎng)管理

一般來(lái)說(shuō)，企業(yè)內(nèi)網(wǎng)系統(tǒng)中的信息很多都屬于商業(yè)機(jī)密，基層員工是無(wú)權(quán)了解的。制造型企業(yè)應(yīng)該把各個(gè)層級(jí)的員工賬號(hào)及內(nèi)網(wǎng)系統(tǒng)中的信息進(jìn)行分類管理，按信息等級(jí)設(shè)置不同的訪問(wèn)權(quán)限和防范措施，以免企業(yè)員工在使用內(nèi)網(wǎng)時(shí)網(wǎng)絡(luò)病毒通過(guò)權(quán)限竊取過(guò)多的企業(yè)信息。另外，很多企業(yè)信息泄露都是由于某些員工通過(guò)企業(yè)無(wú)線網(wǎng)連接外網(wǎng)導(dǎo)致企業(yè)系統(tǒng)中毒，針對(duì)此類情況企業(yè)要制定相應(yīng)的政策和管理制度，通過(guò)對(duì)硬件的管理和網(wǎng)頁(yè)訪問(wèn)權(quán)限設(shè)置，嚴(yán)禁員工上班時(shí)間通過(guò)移動(dòng)設(shè)備隨意連接外網(wǎng)。

五、結(jié)束語(yǔ)

第2篇：企業(yè)信息安全現(xiàn)狀范文

【 關(guān)鍵詞 】 企業(yè)信息；信息安全；風(fēng)險(xiǎn)管理；框架探究

1 引言

人類社會(huì)在不斷發(fā)展，信息化逐漸融入人們生活。信息資源對(duì)于現(xiàn)代企業(yè)來(lái)講，是每時(shí)每刻都存在的運(yùn)轉(zhuǎn)載體，各種重要數(shù)據(jù)、企業(yè)的知識(shí)產(chǎn)權(quán)等這些都是企業(yè)的內(nèi)部信息，除這些信息外，其他相關(guān)方面的數(shù)據(jù)也被企業(yè)所利用，例如合作伙伴、客戶、員工等資料，尤其是一些服務(wù)性企業(yè)，比如網(wǎng)商、快遞公司、金融公司、通信公司、航空公司等，這些企業(yè)更需要以信息系統(tǒng)作為支撐，信息資源成為企業(yè)不可或缺的重要組成部分。

2 新形勢(shì)下我國(guó)信息安全面臨的問(wèn)題

2.1 風(fēng)險(xiǎn)意識(shí)在主觀上的淡薄

在我國(guó)信息安全上面，思想認(rèn)識(shí)面臨高風(fēng)險(xiǎn)的形勢(shì)，大部分企業(yè)的管理高層對(duì)信息資產(chǎn)的認(rèn)識(shí)嚴(yán)重不足?；蛘呔窒拊贗T的安全方面，沒有合理的安全觀念引導(dǎo)企業(yè)在信息安全管理方面的工作。信息安全管理制度的完整性缺乏，規(guī)范安全風(fēng)險(xiǎn)和安全法律法規(guī)對(duì)員工的培訓(xùn)缺乏，很多信息安全事故的發(fā)生都是因?yàn)榘踩庾R(shí)的薄弱造成的。

2.2 缺乏信息安全管理系統(tǒng)的思想

大部分企業(yè)仍是將傳統(tǒng)的管理方法用在安全管理模式中，這種出現(xiàn)問(wèn)題再去想彌補(bǔ)的方法是靜態(tài)的管理，不能在提前進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估上做更有效的信息系統(tǒng)管理。

2.3 信息安全不僅僅是技術(shù)部門的事

多數(shù)企業(yè)認(rèn)為信息安全的責(zé)任和義務(wù)都是IT部門的，造成信息技術(shù)部門無(wú)法和企業(yè)內(nèi)部其他部門互動(dòng)，進(jìn)而形成孤立的局面。但是，信息安全的實(shí)現(xiàn)需要各個(gè)部門的全員行動(dòng)，特別是規(guī)范標(biāo)準(zhǔn)以及規(guī)章制度的貫徹落實(shí)，更牽涉到企業(yè)的每一名員工，全員行動(dòng)的要求更是不能缺少。

2.4 存在重視安全技術(shù)而輕視安全管理的情況

現(xiàn)今為止，仍有很多企業(yè)僅僅依賴產(chǎn)品安全，認(rèn)為信息安全就是信息產(chǎn)品安全。一般企業(yè)現(xiàn)在都會(huì)采用計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)來(lái)構(gòu)建企業(yè)的信息系統(tǒng)，但是沒有把相應(yīng)的管理措施開展到位。信息安全問(wèn)題應(yīng)該加強(qiáng)做好管理工作，不能單從技術(shù)方面著手。

2.5 現(xiàn)代管理手段與理論欠缺

日益龐大的現(xiàn)代化信息規(guī)模與越來(lái)越復(fù)雜的網(wǎng)絡(luò)結(jié)構(gòu)，讓現(xiàn)有的風(fēng)險(xiǎn)管理手段和理論都不足以讓企業(yè)信息安全得到完全的滿足，企業(yè)應(yīng)該結(jié)合實(shí)際情況和需要，把國(guó)際上優(yōu)異的信息安全風(fēng)險(xiǎn)管理理論以及先進(jìn)的最佳實(shí)踐用作指導(dǎo)，以此達(dá)到信息安全的目的。

3 企業(yè)信息安全風(fēng)險(xiǎn)管理的框架探究

企業(yè)信息安全風(fēng)險(xiǎn)管理的框架包括兩個(gè)部分，一是企業(yè)信息安全風(fēng)險(xiǎn)管理的過(guò)程，二是企業(yè)信息安全風(fēng)險(xiǎn)管理的實(shí)施。其中，實(shí)施是過(guò)程的保障，整合各種資源要通過(guò)實(shí)施才能達(dá)到；過(guò)程是實(shí)施的前提，對(duì)過(guò)程的清楚有利于建立企業(yè)信息安全風(fēng)險(xiǎn)管理的統(tǒng)一理解，以此逐漸實(shí)現(xiàn)信息安全風(fēng)險(xiǎn)管理。企業(yè)信息安全風(fēng)險(xiǎn)管理包括風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)計(jì)劃、風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)監(jiān)督、計(jì)劃實(shí)施、風(fēng)險(xiǎn)改進(jìn)六個(gè)動(dòng)態(tài)過(guò)程。

信息安全風(fēng)險(xiǎn)管理是動(dòng)態(tài)、持續(xù)性過(guò)程，信息安全通過(guò)潛在的風(fēng)險(xiǎn)識(shí)別、分析，同時(shí)進(jìn)行計(jì)劃、實(shí)施、監(jiān)督、改善，然后再進(jìn)入到下一個(gè)循環(huán)里，通過(guò)持續(xù)不斷的循環(huán)活動(dòng)進(jìn)行有計(jì)劃、持續(xù)的控制，不斷改進(jìn)。

參照戴明的PDCA質(zhì)量管理模式，把安全項(xiàng)目實(shí)施劃分為四個(gè)階段，分別是準(zhǔn)備和策劃、執(zhí)行和部署、監(jiān)控和檢查、評(píng)價(jià)和改進(jìn)，實(shí)施階段有幾個(gè)工作步驟：（1）準(zhǔn)備和策劃工作階段，首先調(diào)研信息安全風(fēng)險(xiǎn)管理現(xiàn)狀，接著進(jìn)行風(fēng)險(xiǎn)評(píng)估，然后編制信息安全風(fēng)險(xiǎn)管理方案；（2）執(zhí)行和部署工作階段，進(jìn)行部署安排，按計(jì)劃執(zhí)行，接著進(jìn)行安全培訓(xùn)；（3）監(jiān)控和檢查工作階段，做好企業(yè)安全現(xiàn)狀檢查，預(yù)測(cè)未來(lái)的變化；（4）評(píng)價(jià)和改進(jìn)工作階段，制定改善措施，響應(yīng)緊急事件。

4 企業(yè)信息安全風(fēng)險(xiǎn)管理的實(shí)施

在風(fēng)險(xiǎn)管理中人、過(guò)程、基礎(chǔ)結(jié)構(gòu)和實(shí)施是四大影響風(fēng)險(xiǎn)管理能力的關(guān)鍵因素，企業(yè)的信息安全風(fēng)險(xiǎn)管理能力同時(shí)也受著這四個(gè)因素制約，所以企業(yè)信息安全管理中十分重要的就是人通過(guò)各類資源和企業(yè)基礎(chǔ)結(jié)構(gòu)達(dá)到信息安全風(fēng)險(xiǎn)管理過(guò)程的實(shí)施活動(dòng)。

企業(yè)在開始嘗試安全風(fēng)險(xiǎn)管理實(shí)施之前，很重要的一點(diǎn)是應(yīng)該檢驗(yàn)現(xiàn)有安全風(fēng)險(xiǎn)管理的完善度。假如企業(yè)在安全風(fēng)險(xiǎn)管理上沒有規(guī)范的流程和正式的策略，就會(huì)出現(xiàn)框架的實(shí)施非常艱難。換句話說(shuō)讓企業(yè)有一些正式的策略和明確的指導(dǎo)，將避免大多數(shù)員工都在工作中不知所措。假如在安全風(fēng)險(xiǎn)管理上發(fā)現(xiàn)企業(yè)相對(duì)不夠成熟，則可以采取試點(diǎn)的形式，把安全風(fēng)險(xiǎn)管理實(shí)施到單個(gè)業(yè)務(wù)單元中，直到通過(guò)試運(yùn)行在框架中顯示有效以后，再考慮將其他業(yè)務(wù)單元導(dǎo)入至整個(gè)企業(yè)框架中。

框架實(shí)踐需要以最優(yōu)實(shí)踐的經(jīng)驗(yàn)為基準(zhǔn)，必須有利于企業(yè)確定安全現(xiàn)狀，同時(shí)按照需要的安全方向進(jìn)行改進(jìn)，企業(yè)的安全風(fēng)險(xiǎn)管理能力通過(guò)不斷的提高，就能逐漸努力向著安全的目標(biāo)前進(jìn)。

5 結(jié)束語(yǔ)

進(jìn)入信息化時(shí)代，企業(yè)已經(jīng)把信息系統(tǒng)的高效、互聯(lián)、精確的特征當(dāng)作賴以生存和發(fā)展的必要條件。因此所伴隨產(chǎn)生的信息安全風(fēng)險(xiǎn)就成了企業(yè)關(guān)注的重點(diǎn)問(wèn)題。在此情況之下，企業(yè)建立信息安全風(fēng)險(xiǎn)管理機(jī)制，利用科學(xué)的方法和手段控制各種風(fēng)險(xiǎn)的發(fā)生顯得尤為重要。動(dòng)態(tài)循環(huán)是企業(yè)信息安全風(fēng)險(xiǎn)管理的一個(gè)過(guò)程，在風(fēng)險(xiǎn)評(píng)估的前提下，要落實(shí)對(duì)風(fēng)險(xiǎn)控制措施。同時(shí)對(duì)過(guò)程的實(shí)施要進(jìn)行有效的控制和監(jiān)督，這就需要一個(gè)明確清晰并且具有可操作性的信息安全風(fēng)險(xiǎn)框架來(lái)指導(dǎo)。還有需要探究的工作在信息安全風(fēng)險(xiǎn)管理領(lǐng)域里，但愿本文能引來(lái)更多這一領(lǐng)域探究，從而做出保障企業(yè)信息安全的貢獻(xiàn)。

參考文獻(xiàn)

[1] 陳慧勤.企業(yè)信息安全風(fēng)險(xiǎn)管理的框架研究[J].2011，21（40）：42-46.

[2] 惠志斌.企業(yè)IT風(fēng)險(xiǎn)管理的體系構(gòu)建與實(shí)現(xiàn)路徑[J].科技管理研究，2014，34（2）：36-55.

[3] 葉銘.企業(yè)動(dòng)態(tài)信息安全風(fēng)險(xiǎn)控制系統(tǒng)的研究[J].2012，08（11）：81-85.

第3篇：企業(yè)信息安全現(xiàn)狀范文

該文對(duì)供水企業(yè)信息集成系統(tǒng)安全進(jìn)行分析，并探討了可以針對(duì)性改進(jìn)的安全防護(hù)措施。首先對(duì)當(dāng)前供水信息系統(tǒng)安全現(xiàn)狀做具體分析，然后研究了在“自主定級(jí)，自主保護(hù)”的原則下改進(jìn)和提高供水企業(yè)集成信息系統(tǒng)安全具體的執(zhí)行方案，最終實(shí)現(xiàn)供水企業(yè)信息集成系統(tǒng)的信息安全防護(hù)。

關(guān)鍵詞：

供水企業(yè)信息集成系統(tǒng)；等級(jí)保護(hù)；信息安全

供水行業(yè)對(duì)國(guó)計(jì)民生很重要的一個(gè)行業(yè)，供水企業(yè)的業(yè)務(wù)性質(zhì)要求以信息的整體化為基本立足點(diǎn)，集中管理所有涉及運(yùn)營(yíng)的相關(guān)數(shù)據(jù)，針對(duì)供水企業(yè)運(yùn)行的特殊要求，進(jìn)行集中的規(guī)劃和架構(gòu)，將不同專業(yè)的應(yīng)用系統(tǒng)進(jìn)行整合，最終形成完整的供水企業(yè)綜合信息平臺(tái)。[1]而集成系統(tǒng)中最重要的一個(gè)要求就是信息安全。

隨著大數(shù)據(jù)時(shí)代的到來(lái)，網(wǎng)格、分布式計(jì)算、云計(jì)算、物聯(lián)網(wǎng)等新技術(shù)相繼推出，對(duì)供水企業(yè)信息集成與應(yīng)用也提出了更高的要求。而隨著應(yīng)用的擴(kuò)展，應(yīng)用中存在著大量的安全隱患，網(wǎng)絡(luò)黑客、木馬、病毒和人為的破壞等將大量的安全威脅帶給信息系統(tǒng)。根據(jù)美國(guó)Radicati公司于2015年3月的調(diào)查報(bào)告，截至2014年12月，網(wǎng)絡(luò)攻擊已經(jīng)為全球計(jì)算機(jī)網(wǎng)絡(luò)安全造成高達(dá)上萬(wàn)億美元的損失。而且隨著網(wǎng)絡(luò)應(yīng)用的規(guī)模進(jìn)一步上升，計(jì)算機(jī)網(wǎng)絡(luò)信息安全威脅造成的損失正在呈幾何級(jí)數(shù)增長(zhǎng)。根據(jù)2015年的中國(guó)網(wǎng)絡(luò)安全分析報(bào)告，2014年報(bào)告的網(wǎng)絡(luò)安全攻擊事件比2013年增加了100多倍。2014年，搜狗由于網(wǎng)絡(luò)黑客攻擊導(dǎo)致搜索服務(wù)在全國(guó)各地都出現(xiàn)了長(zhǎng)達(dá)25分鐘無(wú)法使用。2014年7月，某域名服務(wù)商的域名解析服務(wù)器發(fā)生了網(wǎng)絡(luò)黑客的集中式攻擊，造成在其公司注冊(cè)的13%的網(wǎng)站無(wú)法訪問(wèn)，時(shí)間長(zhǎng)達(dá)17個(gè)小時(shí)，經(jīng)濟(jì)損失不可估量。因此，從信息安全的角度，要對(duì)供水企業(yè)信息集成系統(tǒng)進(jìn)行防護(hù)，降低信息安全事故的發(fā)生的概率，降低其危害，是本文需要研究的內(nèi)容。

1當(dāng)前供水企業(yè)信息集成系統(tǒng)安全防護(hù)的現(xiàn)狀和存在的問(wèn)題

伴隨著科技的不斷發(fā)展，供水企業(yè)的信息化建設(shè)也得到了很大的發(fā)展，主要是從深度和廣度兩個(gè)層面做進(jìn)一步拓展。典型的供水企業(yè)信息集成系統(tǒng)涵蓋了生產(chǎn)調(diào)度系統(tǒng)、銷售系統(tǒng)、管網(wǎng)信息系統(tǒng)、財(cái)務(wù)管理系統(tǒng)、人事管理系統(tǒng)、辦公自動(dòng)化系統(tǒng)等子系統(tǒng)。其中多個(gè)系統(tǒng)數(shù)據(jù)需要接受外部訪問(wèn)，存在大量的安全隱患。目前，威脅到供水企業(yè)信息安全的風(fēng)險(xiǎn)因素主要分為三個(gè)大類：1）人為原因，如惡意的黑客攻擊、不懷好意的內(nèi)部人員造成的信息外泄、操作中出現(xiàn)低級(jí)錯(cuò)誤等。2）數(shù)據(jù)存儲(chǔ)位置位置的風(fēng)險(xiǎn)。可能由自然災(zāi)害引發(fā)的問(wèn)題，缺乏數(shù)據(jù)備份和恢復(fù)能力。3）不斷增長(zhǎng)的數(shù)據(jù)交互放大了數(shù)據(jù)丟失或泄漏的風(fēng)險(xiǎn)。包括未知的安全漏洞、軟件版本、安全實(shí)踐和代碼更改等。

2有關(guān)分級(jí)防護(hù)的要求

尤其是供水企業(yè)信息集成系統(tǒng)中，存在大量涉及公民個(gè)人隱私的信息，也存在像生產(chǎn)調(diào)度這樣涉及國(guó)計(jì)民生的信息。因此，需要按照國(guó)家有關(guān)信息安全的法律法規(guī)，明確企業(yè)的信息安全責(zé)任。提升供水企業(yè)信息管理區(qū)內(nèi)的業(yè)務(wù)系統(tǒng)信息安全防護(hù)。依據(jù)《信息安全等級(jí)保護(hù)管理辦法》（公通字[2007]43號(hào)）第十四條，信息系統(tǒng)建設(shè)完成后，運(yùn)營(yíng)、使用單位或者其主管部門應(yīng)當(dāng)選擇符合本辦法規(guī)定條件的測(cè)評(píng)機(jī)構(gòu)，依據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》等技術(shù)標(biāo)準(zhǔn)，定期對(duì)信息系統(tǒng)安全等級(jí)狀況開展等級(jí)測(cè)評(píng)。定級(jí)標(biāo)準(zhǔn)按照國(guó)家標(biāo)準(zhǔn)《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》（GB/T22240—2008）實(shí)施，根據(jù)等級(jí)保護(hù)相關(guān)管理文件，信息系統(tǒng)的安全保護(hù)等級(jí)分為以下五級(jí)：第一級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成損害，但不損害國(guó)家安全、社會(huì)秩序和公共利益。

第二級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對(duì)社會(huì)秩序和公共利益造成損害，但不損害國(guó)家安全。第三級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成損害。第四級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成嚴(yán)重?fù)p害。第五級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)國(guó)家安全造成特別嚴(yán)重?fù)p害。等級(jí)保護(hù)對(duì)象受到破壞后對(duì)客體造成侵害的程度歸結(jié)為以下三種：1）造成一般損害；2）造成嚴(yán)重?fù)p害；3）造成特別嚴(yán)重?fù)p害。

3分別防護(hù)實(shí)施步驟

根據(jù)有關(guān)法律法規(guī)，建設(shè)完成并投入使用的信息系統(tǒng)，其有關(guān)使用此系統(tǒng)的單位需要對(duì)其系統(tǒng)的等級(jí)狀況做定期的測(cè)評(píng)。供水企業(yè)要遵照要求選擇具有資質(zhì)的測(cè)評(píng)機(jī)構(gòu)來(lái)對(duì)管理信息區(qū)的業(yè)務(wù)系統(tǒng)做等級(jí)保護(hù)的測(cè)評(píng)工作。其所得到的結(jié)果如下表1所示：通常情況下，供水企業(yè)信息系統(tǒng)中不會(huì)出現(xiàn)第四級(jí)和第五級(jí)的系統(tǒng)。根據(jù)測(cè)評(píng)結(jié)果，有必要對(duì)供水企業(yè)內(nèi)部的局域網(wǎng)進(jìn)行系統(tǒng)化整改。具體的整改內(nèi)容包括兩項(xiàng)主要內(nèi)容：細(xì)化各業(yè)務(wù)系統(tǒng)服務(wù)器的物理位置；按照需求設(shè)置信息安全區(qū)域。根據(jù)供水企業(yè)信息集成系統(tǒng)的具體實(shí)際，主要有等級(jí)包括三個(gè)業(yè)務(wù)區(qū)域，以及一個(gè)公共業(yè)務(wù)區(qū)和測(cè)評(píng)業(yè)務(wù)區(qū)。按照上述原則對(duì)供水企業(yè)信息集成系統(tǒng)服務(wù)器做物理劃分如圖1所示。不同等級(jí)的系統(tǒng)服務(wù)器針對(duì)不同級(jí)別的信息安全區(qū)進(jìn)行設(shè)置。等級(jí)為一、二、三的業(yè)務(wù)區(qū)分別安裝著對(duì)應(yīng)的服務(wù)器，而公共業(yè)務(wù)區(qū)域的服務(wù)器主要是DNS服務(wù)器或者是域服務(wù)器。公共業(yè)務(wù)區(qū)服務(wù)器主要為基礎(chǔ)服務(wù)提供非業(yè)務(wù)系統(tǒng)服務(wù)，不需要進(jìn)行保護(hù)分級(jí)。測(cè)評(píng)業(yè)務(wù)區(qū)提供是投入正式使用前的測(cè)試服務(wù)器。

依據(jù)表1的測(cè)評(píng)結(jié)果，將安全區(qū)域進(jìn)行細(xì)化表2所示的就是企業(yè)管理信息區(qū)，其主要業(yè)務(wù)系統(tǒng)對(duì)安全區(qū)域存放問(wèn)題的展示。根據(jù)表2得到的結(jié)果，可以將信息安全設(shè)備存放在不同信息區(qū)域邊界內(nèi)，以此達(dá)到服務(wù)器分級(jí)防護(hù)目的。信息安全設(shè)備設(shè)置在信息安全區(qū)域邊界，也就是局域網(wǎng)與信息安全區(qū)域之間的連接部。信息安全設(shè)備主要是防火墻、查殺病毒、攻擊防護(hù)、服務(wù)防護(hù)禁止、授權(quán)等。對(duì)于不同區(qū)域邊界的信息安全的部署建議，供水企業(yè)要遵照各自的實(shí)際情況做周密的設(shè)置。供水企業(yè)管理信息安全區(qū)域邊界防護(hù)表見表3。將信息安全防護(hù)設(shè)備部署在所在的區(qū)域邊界內(nèi)，如此可以初步實(shí)現(xiàn)對(duì)供水企業(yè)管理信息區(qū)的信息安全防護(hù)。

4結(jié)束語(yǔ)

隨著大數(shù)據(jù)的發(fā)展，對(duì)供水企業(yè)信息集成系統(tǒng)在數(shù)據(jù)的交互和應(yīng)用方面會(huì)提出更高的要求，也大大加強(qiáng)了安全防護(hù)措施的重要性和迫切性。在安全防護(hù)措施基本到位的前提下，還需要加強(qiáng)信息審計(jì)，及時(shí)發(fā)現(xiàn)和補(bǔ)救系統(tǒng)缺陷，加強(qiáng)數(shù)據(jù)庫(kù)安全防護(hù)，維護(hù)管理系統(tǒng)的隱患。

參考文獻(xiàn)：

[1]孫鋒.基于多agent技術(shù)的供水企業(yè)信息集成系統(tǒng)研究[J].供水技術(shù),2015(10).

第4篇：企業(yè)信息安全現(xiàn)狀范文

關(guān)鍵詞：企業(yè)信息安全；信息安全體系；IT技術(shù)

中圖分類號(hào)：F840文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-2374（2009）05-0072-02

當(dāng)前IT已成為企業(yè)業(yè)務(wù)發(fā)展和管理不可或缺的組成部分，其作用和影響力已從單一的業(yè)務(wù)部門擴(kuò)散到企業(yè)與組織的每一個(gè)領(lǐng)域。在IT系統(tǒng)給企業(yè)帶來(lái)活力、利潤(rùn)和競(jìng)爭(zhēng)力的同時(shí)，也給企業(yè)增加了風(fēng)險(xiǎn)。因此如何充分利用IT系統(tǒng)獲得企業(yè)價(jià)值的最大化，并且最大限度地降低利用IT技術(shù)而帶來(lái)的風(fēng)險(xiǎn)，成為每個(gè)企業(yè)都必須要真接面對(duì)的問(wèn)題。本文從企業(yè)信息安全的需求為出發(fā)點(diǎn)，構(gòu)建以管理、技術(shù)和人員三者有機(jī)結(jié)合的立體的企業(yè)信息安全管理體系，最終實(shí)現(xiàn)企業(yè)安全建設(shè)的最終目標(biāo)。

一、信息安全管理體系

從企業(yè)的內(nèi)部分析，搭建一套完整的安全架構(gòu)首先要做的就是根據(jù)企業(yè)能夠承受的風(fēng)險(xiǎn)水平編寫企業(yè)安全規(guī)范。編寫企業(yè)的安全規(guī)范首先要遵循BS 7799-2信息安全管理體系的標(biāo)準(zhǔn)，標(biāo)準(zhǔn)要求組織通過(guò)確定信息安全管理體系范圍、制定信息安全方針、明確管理職責(zé)、以風(fēng)險(xiǎn)評(píng)估為基礎(chǔ)選擇控制目標(biāo)與控制方式等活動(dòng)建立信息安全管理體系；體系一旦建立組織應(yīng)按體系規(guī)定的要求進(jìn)行運(yùn)作，保持體系運(yùn)作的有效性；信息安全管理體系應(yīng)形成一定的文件，即組織應(yīng)建立并保持一個(gè)文件化的信息安全管理體系，其中應(yīng)闡述被保護(hù)的資產(chǎn)、組織風(fēng)險(xiǎn)管理的方法、控制目標(biāo)及控制方式和需要的保證程度。

BS 7799-2：2002所采用的過(guò)程模式如：“計(jì)劃－實(shí)施－檢查－措施”四個(gè)步驟，可簡(jiǎn)單描述如下：

計(jì)劃：依照組織整個(gè)方針和目標(biāo)，建立與控制風(fēng)險(xiǎn)、提高信息安全有關(guān)的安全方針、目標(biāo)、指標(biāo)、過(guò)程和程序。

實(shí)施：實(shí)施和運(yùn)作方針（過(guò)程和程序）。

檢查：依據(jù)方針、目標(biāo)和實(shí)際經(jīng)驗(yàn)測(cè)量，評(píng)估過(guò)程業(yè)績(jī)，并向決策者報(bào)告結(jié)果。

措施：采取糾正和預(yù)防措施進(jìn)一步提高過(guò)程業(yè)績(jī)。

以上四個(gè)步驟成為一個(gè)閉環(huán)，通過(guò)這個(gè)環(huán)的不斷運(yùn)轉(zhuǎn)，使信息安全管理體系得到持續(xù)改進(jìn)，使信息安全績(jī)效（Performance）螺旋上升。

二、企業(yè)信息安全體系架構(gòu)

根據(jù)BS 7799-2信息安全管理體系的標(biāo)準(zhǔn)，不同的企業(yè)對(duì)信息的安全需求不同，因此每個(gè)企業(yè)都要制定切實(shí)可行的信息安全架構(gòu)，不是照搬照抄其他企業(yè)的模式，或是把各種安全產(chǎn)品進(jìn)行堆砌，說(shuō)到底企業(yè)的信息安全問(wèn)題不只是技術(shù)上的問(wèn)題，它是一個(gè)極其復(fù)雜的系統(tǒng)工程。要實(shí)施一個(gè)完整信息安全管理體系，至少應(yīng)包括三類措施：一是社會(huì)的法律政策、企業(yè)的規(guī)章制度以及信息安全教育等外部軟環(huán)境；二是信息安全的技術(shù)措施，如防火墻技術(shù)、網(wǎng)絡(luò)防毒、信息加密存儲(chǔ)通信、身份認(rèn)證、授權(quán)等；三是審計(jì)和管理措施，該方面措施同時(shí)包含了技術(shù)與社會(huì)措施。這些措施應(yīng)該均衡考慮企業(yè)在保密性（C）、完整性（I）和可用性（A）三方面的安全需求，并且從應(yīng)用安全、數(shù)據(jù)安全、主機(jī)安全、網(wǎng)絡(luò)安全、桌面安全和物理安全等六大安全領(lǐng)域全面系統(tǒng)地實(shí)現(xiàn)企業(yè)的這些安全需求，從而構(gòu)建安全技術(shù)、管理和人員三個(gè)方面有機(jī)結(jié)合的企業(yè)信息安全保障體系如圖1所示：

該模型是一種從企業(yè)信息安全的需求（保密性、完整性、可用性）為出發(fā)點(diǎn)，以應(yīng)用安全、數(shù)據(jù)安全、主機(jī)安全、網(wǎng)絡(luò)安全、桌面安全、物理安全為關(guān)注重點(diǎn)，層層剖析全面深入地挖掘企業(yè)的信息安全需求，構(gòu)建以管理、技術(shù)和人員三者有機(jī)結(jié)合的立體的企業(yè)信息安全保障體系。

這種企業(yè)信息安全管理架構(gòu)的規(guī)劃融合了管理和技術(shù)為核心的全面分析方法，以安全需求為焦點(diǎn)，從管理現(xiàn)狀、技術(shù)現(xiàn)狀和人員狀況三個(gè)維度，綜合采用調(diào)查問(wèn)卷、人員訪談、現(xiàn)場(chǎng)察看、資料分析、技術(shù)檢測(cè)等多種手段，全面深入地挖掘需求。在明確需求的前提下，還要借鑒同類企業(yè)成功經(jīng)驗(yàn)，再規(guī)劃出符合企業(yè)實(shí)情的信息安全保障體系。

當(dāng)然該安全體系架構(gòu)的具體實(shí)施還要綜合考慮如下問(wèn)題：成長(zhǎng)型企業(yè)一方面要節(jié)約成本，一方面要把安全風(fēng)險(xiǎn)降到最低。從這兩個(gè)出發(fā)點(diǎn)出發(fā)才能夠建立適合成長(zhǎng)型企業(yè)的信息安全體系；計(jì)劃階段要評(píng)估自己的信息資產(chǎn)，自己的信息資產(chǎn)的價(jià)值有多大，現(xiàn)有的安全手段是什么，根據(jù)評(píng)估結(jié)果確立安全戰(zhàn)略；開始建立和實(shí)施自己的信息安全體系，擬定自己的戰(zhàn)略流程；對(duì)員工和合作伙伴的培訓(xùn)，建立信息監(jiān)測(cè)和安全的手段。

三、實(shí)施信息安全架構(gòu)的常規(guī)操作

在保證物理安全、桌面安全、網(wǎng)絡(luò)安全、主機(jī)安全的基礎(chǔ)上，信息安全架構(gòu)的常規(guī)操作包括數(shù)據(jù)層保護(hù)、應(yīng)用程序?qū)颖Ｗo(hù)、事件應(yīng)對(duì)檢查和安全操作。

數(shù)據(jù)層保護(hù)包括用EFS對(duì)文件進(jìn)行加密；用訪問(wèn)控制列表限制數(shù)據(jù)；從默認(rèn)位置移動(dòng)文件；創(chuàng)建數(shù)據(jù)備份和恢復(fù)；用Windows Rights Management Services保護(hù)文檔和電子文件等等。

應(yīng)用程序?qū)颖Ｗo(hù)包括只啟動(dòng)必需的服務(wù)和功能；配置應(yīng)用程序安全設(shè)置；安裝應(yīng)用程序的安全更新程序；安裝和更新防病毒軟件；以最低權(quán)限運(yùn)行應(yīng)用程序等等。

事件應(yīng)對(duì)檢查包括確定正在遭受攻擊；確定攻擊類型；發(fā)出有關(guān)攻擊通知；遏制攻擊；采取預(yù)防性措施；將攻擊情況記錄存檔等等。

安全最佳做法包括深層防御；設(shè)計(jì)時(shí)考慮安全；最低權(quán)限；從過(guò)去的錯(cuò)誤中學(xué)習(xí)；維持安全級(jí)別；加強(qiáng)用戶的安全意識(shí)；開發(fā)和測(cè)試事件應(yīng)對(duì)計(jì)劃和過(guò)程等等。

四、結(jié)論

綜上所述，企業(yè)要做到以信息為中心的安全，必須做到管理層面、組織層面和操作層面的有機(jī)結(jié)合，這樣才能建立有效的安全體系，從而實(shí)現(xiàn)企業(yè)安全建設(shè)的最終目標(biāo)。

參考文獻(xiàn)

[1]梁永生．電子商務(wù)安全技術(shù)[M]．大連理工大學(xué)出版社，2008，（4）．

[2]Mark Rhodes-Ousley，等．網(wǎng)絡(luò)安全完全手冊(cè)[M]．北京：電子工業(yè)出版社，2005，（10）．

[3]卿斯?jié)h．密碼學(xué)與計(jì)算機(jī)網(wǎng)絡(luò)安全[M]．北京：清華大學(xué)出版社，2001．

第5篇：企業(yè)信息安全現(xiàn)狀范文

關(guān)鍵詞： 現(xiàn)代企業(yè)；信息網(wǎng)絡(luò)；安全優(yōu)化

中圖分類號(hào)：TP309.7 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1671－7597（2011）1210088－01

0 前言

21世紀(jì)是一個(gè)發(fā)展的時(shí)代，也是網(wǎng)絡(luò)高速發(fā)展的時(shí)代。科技推動(dòng)社會(huì)的發(fā)展，同時(shí)也加快了網(wǎng)絡(luò)信息的發(fā)展。但任何事物都具有兩面性，信息網(wǎng)絡(luò)為企業(yè)帶來(lái)了便利同時(shí)也帶來(lái)了安全隱患。比如企業(yè)與企業(yè)之間的斗爭(zhēng)，網(wǎng)絡(luò)犯罪、信息侵權(quán)以及信息市場(chǎng)不正當(dāng)競(jìng)爭(zhēng)等違法亂紀(jì)之事。只有進(jìn)一步網(wǎng)絡(luò)安全優(yōu)化，確?，F(xiàn)代企業(yè)信息網(wǎng)絡(luò)安全性，才可以讓企業(yè)更加放心的使用網(wǎng)絡(luò)，進(jìn)而解決企業(yè)對(duì)網(wǎng)絡(luò)安全的后顧之憂。

1 現(xiàn)代企業(yè)信息網(wǎng)絡(luò)安全的現(xiàn)狀

要對(duì)現(xiàn)代企業(yè)信息網(wǎng)絡(luò)安全進(jìn)行優(yōu)化，就必須要抓住現(xiàn)狀中存在的問(wèn)題。目前現(xiàn)代企業(yè)信息網(wǎng)絡(luò)安全技術(shù)還不完善。很多企業(yè)是網(wǎng)絡(luò)大都還采用TCP/IP作為網(wǎng)絡(luò)基礎(chǔ)。雖然這種協(xié)議簡(jiǎn)單高效但沒有考慮網(wǎng)絡(luò)的安全性。

現(xiàn)代企業(yè)信息網(wǎng)絡(luò)確實(shí)也采取了各種安全措施，無(wú)非是加密機(jī)制、數(shù)據(jù)簽名、訪問(wèn)控制、認(rèn)證機(jī)制、以及防火墻系統(tǒng)之類，其中構(gòu)筑防火墻系統(tǒng)和加密機(jī)制是目前為主要的方法。但仍然無(wú)法有效的防治惡意不法人員入侵。

其中以地址和郵件的傳輸舉例。為了提升網(wǎng)絡(luò)資源的利用，現(xiàn)代企業(yè)信息網(wǎng)絡(luò)技術(shù)有一個(gè)物理地址（MAC）在緩存之中，從而給信息網(wǎng)絡(luò)待命準(zhǔn)備。該MAC存在系統(tǒng)上的漏洞，不法分子很容易就找到要攻擊目標(biāo)的物理地址，從而種下不安全的因素。網(wǎng)絡(luò)攻擊不是單一的，而是各種各樣都有，比如協(xié)議攻擊、惡意遠(yuǎn)程攻擊等。

總體來(lái)講，現(xiàn)代企業(yè)信息網(wǎng)絡(luò)安全主要問(wèn)題在于：TCP/IP協(xié)議沒有考慮信息安全性、電腦系統(tǒng)安裝存在問(wèn)題、缺乏有效的監(jiān)控預(yù)防、對(duì)惡意病毒缺乏有效控制、以及企業(yè)操作人員的使用不正確等。

2 優(yōu)化網(wǎng)絡(luò)信息的安全性

要優(yōu)化企業(yè)信息網(wǎng)絡(luò)的安全性，首先要在根源上做出相應(yīng)的優(yōu)化策略。這樣才可以真正達(dá)到網(wǎng)絡(luò)信息安全優(yōu)化的目的。

2.1 加強(qiáng)操作人員對(duì)網(wǎng)絡(luò)信息安全意識(shí)

事實(shí)上，許多的網(wǎng)絡(luò)安全問(wèn)題都是源自于操作不當(dāng)。究其原因，許多操作人員對(duì)網(wǎng)絡(luò)信息安全的意識(shí)十分薄弱，沒有意識(shí)到網(wǎng)絡(luò)完全的重要性。而且一些操作人員對(duì)計(jì)算機(jī)操作不正確，帶來(lái)安全問(wèn)題。

所以，必須對(duì)現(xiàn)代企業(yè)信息網(wǎng)絡(luò)操作人員進(jìn)行安全培訓(xùn)，包括軟硬件、機(jī)房、網(wǎng)絡(luò)數(shù)據(jù)各個(gè)方面的安全問(wèn)題。只有對(duì)操作人員進(jìn)行專業(yè)化的安全教育和培訓(xùn)，才能夠提升操作人員對(duì)網(wǎng)絡(luò)信息安全的意識(shí)。也只有提升了操作人員的工作態(tài)度和責(zé)任，才可以有效地預(yù)防網(wǎng)絡(luò)信息安全事故。 同時(shí)不間斷地加強(qiáng)操作人員的業(yè)務(wù)水平與技術(shù)的培訓(xùn)，從而提高工作人員的操作技能，才能夠有效地優(yōu)化信息網(wǎng)絡(luò)的安全。

2.2 提升網(wǎng)絡(luò)信息的安全服務(wù)

如果在現(xiàn)代企業(yè)信息網(wǎng)絡(luò)中實(shí)行實(shí)名身份認(rèn)證驗(yàn)證，就能夠在一定程度上提升安全指數(shù)，能夠有效的抵御一些主動(dòng)攻擊行為，從而加強(qiáng)現(xiàn)代企業(yè)信息網(wǎng)絡(luò)的安全。在身份認(rèn)證時(shí)最好需要管理人員進(jìn)行識(shí)別是否正確，只有雙向認(rèn)證確認(rèn)無(wú)誤之后才可以通過(guò)驗(yàn)證，這樣進(jìn)一步優(yōu)化了信息網(wǎng)絡(luò)安全。通過(guò)實(shí)施身份認(rèn)證再加上對(duì)訪問(wèn)數(shù)量進(jìn)行控制，這樣就可以很好的防御越權(quán)行為。

除了對(duì)操作人員和安全服務(wù)優(yōu)化之外，還必須要在數(shù)據(jù)上做一些必要的優(yōu)化，提供現(xiàn)代企業(yè)信息網(wǎng)絡(luò)的安全防范。同時(shí)現(xiàn)代企業(yè)信息網(wǎng)絡(luò)的數(shù)據(jù)庫(kù)也必須要加密，密碼最好相對(duì)復(fù)雜一些，這樣可以進(jìn)一步讓信息泄露的幾率大大降低，從而更好地起到防范作用。然而隨著信息網(wǎng)絡(luò)技術(shù)的發(fā)展，一般的加密也不再適用，不斷地被破譯，就不得不提高加密技術(shù)。目前使用最為廣泛的就是DES算法與公開密鑰算法等。

2.3 加強(qiáng)網(wǎng)絡(luò)信息主機(jī)的管理

網(wǎng)絡(luò)信息機(jī)房中的主機(jī)安全尤為重要，優(yōu)化主機(jī)安全勢(shì)在必行。因?yàn)橹挥泻侠淼毓芾砭W(wǎng)絡(luò)信息主機(jī)，才有更加有效的防范手段。對(duì)主機(jī)的管理包含了安裝的軟件，以及計(jì)算機(jī)的硬件管理。作為現(xiàn)代企業(yè)信息網(wǎng)絡(luò)主機(jī)，必須要注意信息來(lái)源和帶來(lái)的通信大小，不可以很明顯地增加或刪減網(wǎng)絡(luò)通信量的最高值。網(wǎng)絡(luò)信息的主機(jī)管理主要?jiǎng)澐至伺渲谩⒐收?、性能和安全等幾個(gè)比較重要的部分，應(yīng)該對(duì)每一個(gè)部分做出安全優(yōu)化，才能夠提高現(xiàn)代企業(yè)信息網(wǎng)絡(luò)安全。

3 網(wǎng)絡(luò)信息安全優(yōu)化的應(yīng)用

3.1 網(wǎng)絡(luò)信息的安全部署與安全傳輸

NGN定義的各種邊緣進(jìn)入到核心網(wǎng)絡(luò)，其中數(shù)據(jù)的安全性非常高，從而達(dá)到NGN網(wǎng)絡(luò)的安全，保障了現(xiàn)代企業(yè)的信息不會(huì)被泄露。NGN的網(wǎng)絡(luò)核心邊緣一般分為以下幾個(gè)大類。

其一，NGN是網(wǎng)絡(luò)經(jīng)過(guò)局域網(wǎng)將寬帶和企業(yè)網(wǎng)以及因特網(wǎng)連接起來(lái)，從而形成了交界線。NGN就是通過(guò)這個(gè)邊緣對(duì)所有用戶提供業(yè)務(wù)和服務(wù)。

其二，NGN是網(wǎng)絡(luò)與網(wǎng)絡(luò)之間的交匯處。

其三，NGN是傳統(tǒng)PSTN網(wǎng)和網(wǎng)絡(luò)的邊緣交界。一般在邊緣和邊緣之間的交界處是不值得信賴，也是安全最大隱患處。所以在邊緣和邊緣之間可以設(shè)置邊緣接入控制器（Board Access Controller），為防火墻與其他企業(yè)的業(yè)務(wù)提供保障，這樣就為企業(yè)的安全起到了更好的保護(hù)作用。另外，通過(guò)一些安全機(jī)制讓開放的網(wǎng)絡(luò)IP也和TDM一樣的安全性。

同時(shí)，運(yùn)用MPLSVPN的構(gòu)建技術(shù)也是非常獨(dú)立的VPE網(wǎng)絡(luò)。這種方法是基于NGN的網(wǎng)絡(luò)核心，從而把整個(gè)網(wǎng)絡(luò)的IP和網(wǎng)絡(luò)分成好幾個(gè)不通的成分，并將彼此隔離開來(lái)使得用戶無(wú)法進(jìn)入NGN網(wǎng)絡(luò)，進(jìn)而保障企業(yè)網(wǎng)絡(luò)信息的安全。

實(shí)際中，使用更多的是FireWallPC邊緣作為一種保護(hù)機(jī)制。要求相對(duì)而言就會(huì)比較高，還需要不時(shí)地變化不同的密碼。研究NGNDCI就必須得用帶LINUX系統(tǒng)FireWallPC做防火墻用來(lái)隔離網(wǎng)絡(luò)核心和因特網(wǎng)，從而更好的做到遠(yuǎn)程保護(hù)。

第6篇：企業(yè)信息安全現(xiàn)狀范文

摘 要：在現(xiàn)階段的發(fā)展中，已經(jīng)完全進(jìn)入到網(wǎng)絡(luò)時(shí)代，幾乎所有的工作實(shí)施，都是依靠網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)技術(shù)來(lái)進(jìn)行實(shí)施的。為了能夠在今后的網(wǎng)絡(luò)環(huán)境下，實(shí)現(xiàn)工作水平的大幅度提升，必須將企業(yè)信息安全管理更好的鞏固，要求在管理的策略和具體手段上，告別既往的多項(xiàng)不足，要?jiǎng)?chuàng)造出較高的價(jià)值。文章就此展開討論，并提出合理化建議。

關(guān)鍵詞：網(wǎng)絡(luò)環(huán)境；企業(yè)；信息安全；管理

從客觀的角度來(lái)分析，企業(yè)信息安全管理在開展的過(guò)程中，有很多工作的實(shí)施，都不能利用單一的手段來(lái)完成?，F(xiàn)如今的信息安全，已經(jīng)成為了全社會(huì)都非常矚目的內(nèi)容，如果在最終的工作上表現(xiàn)為缺失現(xiàn)象，不僅容易造成強(qiáng)烈的隱患和沖突，還會(huì)對(duì)很多領(lǐng)域的發(fā)展構(gòu)成嚴(yán)重的威脅，這是需要在日后工作中積極面對(duì)的，不能有任何的嚴(yán)重?fù)p失。

一、網(wǎng)絡(luò)環(huán)境下企業(yè)信息安全管理現(xiàn)狀

1.建立信息安全管理體系框架

從已經(jīng)掌握的情況來(lái)看，很多地方的企業(yè)信息安全管理，都在不斷的建立信息安全管理w系框架，希望由此來(lái)對(duì)網(wǎng)絡(luò)環(huán)境做出更好的優(yōu)化處理，實(shí)現(xiàn)企業(yè)信息安全管理的更大進(jìn)步。我國(guó)在現(xiàn)階段的發(fā)展中，正處于一個(gè)非常重要的階段，企業(yè)更加是國(guó)家的核心組成部分，為了更好應(yīng)對(duì)網(wǎng)絡(luò)環(huán)境所帶來(lái)的挑戰(zhàn)，在相關(guān)的政策、規(guī)范頒布上是比較突出的。例如，國(guó)務(wù)院辦公廳在現(xiàn)下的工作中，對(duì)于網(wǎng)絡(luò)環(huán)境開展了深入的分析，同時(shí)先后頒布了特別多的政策、法令，對(duì)于信息安全等級(jí)評(píng)估保護(hù)的具體措施、檢查核實(shí)方法等，都做出了明確的規(guī)范；對(duì)于使用單位信息安全管理制度，做出了進(jìn)一步的深化處理；直接引導(dǎo)、推進(jìn)了信息安全系統(tǒng)的持續(xù)應(yīng)用，在發(fā)展空間上得到了明顯的擴(kuò)大。

2.信息安全管理體系的審核

企業(yè)信息安全管理在開展的過(guò)程中，必須在網(wǎng)絡(luò)環(huán)境方面深入的關(guān)注，絕對(duì)不能有任何的違背現(xiàn)象發(fā)生。從既往的工作來(lái)看，有些企業(yè)對(duì)于信息安全管理，總是追求短期上的效果，對(duì)長(zhǎng)期的規(guī)劃表現(xiàn)不足，雖然很大程度上對(duì)網(wǎng)絡(luò)環(huán)境做出了充分的利用，但實(shí)際上創(chuàng)造的價(jià)值，還是有待提升的。鑒于這種現(xiàn)象的發(fā)生，網(wǎng)絡(luò)環(huán)境下的企業(yè)信息安全管理，開始不斷的做出變革，特別是在信息安全管理體系的審核上，基本上是按照最嚴(yán)格的方法來(lái)完成的。例如，在ISMS審核過(guò)程中，其主要指的是，機(jī)構(gòu)為驗(yàn)證所有安全程序，采用的系統(tǒng)的、獨(dú)立的檢查和評(píng)價(jià)。通過(guò)開展ISMS審核處理，能夠?qū)ι暾?qǐng)認(rèn)證的單位，提供較多的支持與幫助，在企業(yè)信息安全管理方面有綜合的判定與分析。除此之外，ISMS審核工作的開展，還表現(xiàn)為突出的自我保證手段，其能夠?qū)⒍囗?xiàng)問(wèn)題做出一個(gè)明確的分析，無(wú)論是在波及范圍上，還是在具體的處理方式上，都能夠給予較多的參考和指導(dǎo)，很少出現(xiàn)嚴(yán)重的偏差。

二、網(wǎng)絡(luò)環(huán)境下企業(yè)信息安全管理的對(duì)策

1.物理安全管理

在現(xiàn)階段的發(fā)展中，網(wǎng)絡(luò)環(huán)境已經(jīng)成為了不可扭轉(zhuǎn)的趨勢(shì)，想要在今后的企業(yè)信息安全管理中取得理想的效果，必須將網(wǎng)絡(luò)環(huán)境有效的利用，在硬性規(guī)范下，針對(duì)物理安全管理持續(xù)的加強(qiáng)，這是實(shí)踐方面的工作，不能有任何的忽視。簡(jiǎn)單而言，物理安全管理在開展的過(guò)程中，會(huì)將信息系統(tǒng)開展全面的檢查分析，包括信息系統(tǒng)的保密性、完整性、可用性等等，會(huì)在相關(guān)的硬件設(shè)施上、線路上，都做出詳細(xì)的分析，而后提交相應(yīng)的物理安全管理報(bào)告。企業(yè)根據(jù)這份報(bào)告，再結(jié)合客觀實(shí)際以后，決定具體的改善辦法。在除此之外，物理安全管理在開展的過(guò)程中，對(duì)于企業(yè)網(wǎng)絡(luò)工程的設(shè)計(jì)、施工等，都會(huì)產(chǎn)生較大的幫助?，F(xiàn)下的很多企業(yè)信息安全管理，都會(huì)在網(wǎng)絡(luò)工程方面投入較多的努力，為了更好的協(xié)調(diào)網(wǎng)絡(luò)工程的硬件設(shè)備、網(wǎng)絡(luò)體系等，必須在網(wǎng)絡(luò)設(shè)備的安全性、可靠性方面提升。例如，通過(guò)物理安全管理的實(shí)施，能夠針對(duì)網(wǎng)絡(luò)設(shè)備、系統(tǒng)的運(yùn)作空間做出分析，在溫度、濕度等物理因素上積極的把控，避免造成嚴(yán)重的損失。

2.人員安全管理

在企業(yè)信息安全管理當(dāng)中，網(wǎng)絡(luò)環(huán)境下的誘惑較多，同時(shí)在相關(guān)的影響因素上，也在不斷的增加。為了確保在企業(yè)信息安全管理方面，能夠按照科學(xué)的方向來(lái)前進(jìn)，有必要將人員安全管理更好的改善，針對(duì)多項(xiàng)工作的實(shí)施，都要從長(zhǎng)遠(yuǎn)的角度來(lái)出發(fā)，這樣才能更好的提高管理水平。首先，所有的工作人員，在相應(yīng)的權(quán)限上都要積極的設(shè)定，要避免企業(yè)信息安全管理的員工權(quán)限混亂現(xiàn)象，達(dá)到相互之間的制衡效果，避免在信息方面出現(xiàn)嚴(yán)重的泄漏。其次，對(duì)于人員安全管理，有必要開展技術(shù)性的專業(yè)培訓(xùn)，要求列舉大量的技術(shù)案例分析，讓所有的工作人員意識(shí)到，錯(cuò)誤的工作方法，以及某些極端的行為，會(huì)給企業(yè)帶來(lái)嚴(yán)重的損失，部分情況下，甚至?xí)a(chǎn)生法律上的責(zé)任和問(wèn)題，要求員工在態(tài)度上，以及工作實(shí)踐上，都可以嚴(yán)格的要求自己，而后對(duì)將來(lái)的工作負(fù)責(zé)。第三，必須積極的招聘、引進(jìn)網(wǎng)絡(luò)人才，將企業(yè)信息安全管理的體系不斷健全，尤其是在網(wǎng)絡(luò)平臺(tái)的打造、客戶端的建設(shè)、日常信息管理措施的實(shí)施上，都要形成良性工作循環(huán)。

3.軟件應(yīng)用和系統(tǒng)安全管理

網(wǎng)絡(luò)環(huán)境下的企業(yè)信息安全管理，表現(xiàn)為持續(xù)進(jìn)步的特點(diǎn)，根本不可能長(zhǎng)久維持在固有的水平上。我們?cè)趯?shí)施企業(yè)信息安全管理的過(guò)程中，對(duì)于軟件應(yīng)用和系統(tǒng)安全管理，必須不斷的加深研討，要從多個(gè)角度出發(fā)，創(chuàng)造出較高的價(jià)值。首先，軟件應(yīng)用上，企業(yè)必須根據(jù)自身的需求，為不同層級(jí)、不同部門的員工，選定差異化的工作軟件，要提高工作質(zhì)量和工作效率。同時(shí)，對(duì)于軟件本身的分析要不斷的拓展，從是否付費(fèi)、是否存在軟件沖突、是否具備較高的兼容性等方面，均要進(jìn)行大量的探討，要防止造成工作上的嚴(yán)重疏漏，提高工作效率。其次，對(duì)于系統(tǒng)安全管理而言，必須堅(jiān)持定期維護(hù)、更新，要求從外部聘請(qǐng)專業(yè)人員，進(jìn)行系統(tǒng)的積極分析和測(cè)試，發(fā)現(xiàn)問(wèn)題后，及時(shí)的采用網(wǎng)絡(luò)技術(shù)來(lái)彌補(bǔ)，同時(shí)增加相應(yīng)的軟件防護(hù)和程序補(bǔ)丁，促使系統(tǒng)的日常運(yùn)營(yíng)，能夠達(dá)到更加穩(wěn)定的目標(biāo)。

4.設(shè)備的運(yùn)行與安全管理

除了上述的幾項(xiàng)工作內(nèi)容外，企業(yè)信息安全管理在實(shí)施的過(guò)程中，還需要在設(shè)備的運(yùn)行與安全管理上投入較多的努力。當(dāng)下的設(shè)備研究力度有所加深，特別是在重要元件上，市場(chǎng)上的更新?lián)Q代速度不斷的加快，企業(yè)必須對(duì)設(shè)備本身、設(shè)備元件開展積極的分析，不能盲目的跟風(fēng)更換，也不能長(zhǎng)久的維持在既有的水準(zhǔn)上，要確保設(shè)備的運(yùn)行，能夠長(zhǎng)期保持在高效狀態(tài)，可以將安全管理工作更好的改善，減少矛盾。網(wǎng)絡(luò)系統(tǒng)穩(wěn)定高效的運(yùn)行，對(duì)于企業(yè)來(lái)說(shuō)是非常重要的。企業(yè)要加強(qiáng)對(duì)網(wǎng)絡(luò)的科學(xué)管理，及時(shí)排除網(wǎng)絡(luò)故障，對(duì)設(shè)備、運(yùn)行安全進(jìn)行全方位管理，是保障信息系統(tǒng)安全的重要前提。設(shè)備、運(yùn)行安全管理包括設(shè)備的選型、檢測(cè)、安裝、登記、使用、維修、儲(chǔ)存以及故障管理、性能管理、變更管理和排障工具等。隨著網(wǎng)絡(luò)普及和企業(yè)信息化業(yè)務(wù)的不斷拓展，信息成為一種重要的戰(zhàn)略資源，信息安全保障能力成為一個(gè)企業(yè)綜合能力的重要組成部分。

三、總結(jié)

本文對(duì)網(wǎng)絡(luò)環(huán)境下企業(yè)信息安全管理展開討論，現(xiàn)階段的工作實(shí)施中，整體上得到的效果比較顯著，未表現(xiàn)出嚴(yán)重的隱患。日后，應(yīng)該在網(wǎng)絡(luò)環(huán)境方面不斷的優(yōu)化，將企業(yè)信息安全管理的體系不斷的健全。除此之外，在開展企業(yè)信息安全管理時(shí)，一定要持續(xù)性的實(shí)施，要不斷的跟隨國(guó)家倡導(dǎo)內(nèi)容，對(duì)社會(huì)潮流做出把控，在重點(diǎn)工作上積極的提升。

參考文獻(xiàn)：

[1]于倩，李靈君.網(wǎng)絡(luò)環(huán)境下企業(yè)信息安全管理的對(duì)策分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2017，（01）：16-17.

[2]錢濃林，洪芳華，朱利軍，肖鋒，徐F欣.”互聯(lián)網(wǎng)+“環(huán)境下企業(yè)信息安全管理策略[J].經(jīng)營(yíng)與管理，2017，（01）：128-130.

[3]張黎明.網(wǎng)絡(luò)環(huán)境下企業(yè)信息安全管理的對(duì)策分析[J].商，2016，（19）：2.

[4]宋晴.網(wǎng)絡(luò)環(huán)境下企業(yè)信息安全管理對(duì)策研究[J].通訊世界，2015，（14）：256.

第7篇：企業(yè)信息安全現(xiàn)狀范文

 

在21世紀(jì)的社會(huì)發(fā)展新時(shí)代，網(wǎng)絡(luò)、計(jì)算機(jī)、信息技術(shù)被大量的企業(yè)納入到自身的生產(chǎn)經(jīng)營(yíng)管理之中，在基本運(yùn)行中會(huì)涉及到企業(yè)眾多的機(jī)密文件和信息，直接關(guān)系的企業(yè)的發(fā)展運(yùn)行，所以，一旦出現(xiàn)安全問(wèn)題就會(huì)對(duì)企業(yè)產(chǎn)生重要的影響。

 

所以，在不斷深化的應(yīng)用中，企業(yè)開始注重對(duì)信息安全的管理，并通過(guò)多樣化的技術(shù)手段和方式來(lái)進(jìn)行強(qiáng)化，但是這樣的方式?jīng)Q定了對(duì)安全管理的有效性不能進(jìn)行合理的把握和控制，并且對(duì)整體的安全水準(zhǔn)也沒有實(shí)現(xiàn)準(zhǔn)確的衡量。所以，如果企業(yè)只是強(qiáng)化了信息安全在技術(shù)方面的建設(shè)，而并沒有開展有效的安全管理評(píng)估工作，就會(huì)使信息安全系統(tǒng)在整體的規(guī)劃中存在缺陷和漏洞，所以，進(jìn)行信息安全管理的有效性測(cè)量是極為重要的。

 

企業(yè)也逐漸認(rèn)識(shí)到其重要性，使得近年來(lái)，我國(guó)企業(yè)對(duì)于信息安全有效性的測(cè)量需求不斷增多，但是，在這方面我國(guó)起步較晚，存在著很多不足和缺陷，這就需要在有效的研究中尋找適當(dāng)?shù)姆椒▉?lái)提升測(cè)量的整體有效性。

 

一、信息安全管理有效性測(cè)量的目的

 

通過(guò)實(shí)現(xiàn)有效性的測(cè)量，能夠真實(shí)評(píng)估和反映企業(yè)信息安全管理的整體水平，以使企業(yè)在后續(xù)的信息安全管理中有明確的發(fā)展目標(biāo)和整體方向。企業(yè)進(jìn)行信息系統(tǒng)的建立時(shí)，往往會(huì)依據(jù)企業(yè)自身的發(fā)展需求、信息組成、安全標(biāo)準(zhǔn)、組織結(jié)構(gòu)、利益關(guān)系等方面的需求進(jìn)行，進(jìn)而構(gòu)筑相應(yīng)的信息安全的整體體系和相關(guān)模型。

 

通過(guò)對(duì)企業(yè)的信息安全管理進(jìn)行有效性的測(cè)量，可以在技術(shù)的管理支撐下客觀真實(shí)的反映企業(yè)信息管理的整體性評(píng)估，會(huì)能實(shí)現(xiàn)對(duì)企業(yè)信息安全管理目標(biāo)的運(yùn)行程度進(jìn)行說(shuō)明，并能對(duì)企業(yè)信息安全管理的系統(tǒng)效能開展準(zhǔn)確科學(xué)的評(píng)測(cè)，為企業(yè)提供進(jìn)行信息安全管理考核的基本依據(jù)[1]。

 

就企業(yè)的整體發(fā)展實(shí)際來(lái)看，如果不開展信息安全管理的有效性測(cè)量，會(huì)使企業(yè)的整體管理水平只依賴于基本測(cè)評(píng)狀態(tài)下的運(yùn)行管理水平，難以同真實(shí)的信息安全運(yùn)行環(huán)境相脫離，造成企業(yè)在安全管理過(guò)程中的漏洞和誤差，使得企業(yè)在正常的運(yùn)營(yíng)和發(fā)展中的實(shí)際需求同所進(jìn)行信息安全管理的整體水平不相一致，并且在對(duì)基礎(chǔ)環(huán)節(jié)下的表面數(shù)據(jù)有所依賴時(shí)，并不能發(fā)現(xiàn)運(yùn)行中的不足和缺陷，更遑論進(jìn)行有效合理的解決，極大化的為企業(yè)的發(fā)展運(yùn)行埋下了信息安全的運(yùn)行隱患。

 

而通過(guò)有效性的測(cè)量活動(dòng)，能夠準(zhǔn)確的將企業(yè)在信息安全方面的漏洞進(jìn)行定位，并且還能夠有效指導(dǎo)基本的解決策略，有效保障企業(yè)信息管理系統(tǒng)的整體安全和有效。

 

二、信息安全管理有效性的測(cè)量方法

 

在開展信息安全管理有效性的測(cè)量時(shí)，需要對(duì)進(jìn)行測(cè)量的指標(biāo)進(jìn)行量化的處理，并最終形成具有實(shí)際可行性的量化測(cè)量指標(biāo)。在測(cè)量中，不同的指標(biāo)則需要不同的測(cè)量方法來(lái)進(jìn)行，一般而言，具有風(fēng)險(xiǎn)分析、問(wèn)卷調(diào)查、內(nèi)部審核、滲透性測(cè)試、個(gè)人訪談、內(nèi)外對(duì)比、風(fēng)險(xiǎn)評(píng)估、報(bào)表統(tǒng)計(jì)等不同的方法。

 

通過(guò)不同指標(biāo)的不同測(cè)量之后，能夠得得出各個(gè)指標(biāo)的測(cè)度結(jié)果，在此基礎(chǔ)上再根據(jù)不同的技術(shù)需要對(duì)結(jié)果進(jìn)行科學(xué)有效的取值管理，給各個(gè)指標(biāo)賦予不同的安全分險(xiǎn)權(quán)重，然后綜合計(jì)算企業(yè)信息安全管理有效性的整體水平[2]。比如在進(jìn)行信息安全管理整體運(yùn)行的有效性測(cè)量時(shí)，在對(duì)基本技術(shù)要求進(jìn)行測(cè)量評(píng)估時(shí)，還需要對(duì)企業(yè)的環(huán)境安全、人員安全、業(yè)務(wù)聯(lián)系、安全意識(shí)、事件管理等開展管理有效性的評(píng)估，以保障最終結(jié)果的綜合有效性。

 

在信息安全管理有效性的測(cè)量發(fā)展中，相關(guān)專業(yè)機(jī)構(gòu)提出了同通過(guò)整體的系統(tǒng)模型來(lái)實(shí)現(xiàn)信息系統(tǒng)的整體安全性的方法。通過(guò)信息安全測(cè)量模型的建立，將信息系統(tǒng)運(yùn)行中需要進(jìn)行安全檢測(cè)的對(duì)象中的某一些屬性在通過(guò)一系列的檢測(cè)管理過(guò)程之后，得出最后的測(cè)量結(jié)果，其中最為重要的就是測(cè)量方法和基本測(cè)度。將測(cè)量對(duì)象的多個(gè)屬性應(yīng)用不同的測(cè)量方法之后就能夠得到基本測(cè)度，而基本測(cè)量方法的獲取是通過(guò)多樣化的數(shù)據(jù)資源進(jìn)行測(cè)量對(duì)象的數(shù)據(jù)獲取，比如風(fēng)險(xiǎn)評(píng)估結(jié)果、日志報(bào)表統(tǒng)計(jì)記錄、調(diào)查表、測(cè)量結(jié)果等途徑。

 

就我國(guó)當(dāng)前進(jìn)行信息安全管理有效性測(cè)量的方式而言，在設(shè)定環(huán)節(jié)相對(duì)復(fù)雜和冗余，但在基本的項(xiàng)目實(shí)踐中得出如下的基本運(yùn)行方法：

 

2.1審計(jì)監(jiān)控系統(tǒng)回顧

 

在進(jìn)行檢測(cè)時(shí)，需要盡可能的發(fā)現(xiàn)各個(gè)環(huán)節(jié)所存在違反和潛在信息安全的現(xiàn)象和事件，以實(shí)現(xiàn)有效的防治，實(shí)現(xiàn)影響的最小化[3]。

 

2.2糾正預(yù)防措施驗(yàn)證

 

對(duì)已經(jīng)納入整體有效性測(cè)量計(jì)劃的糾正預(yù)防措施，在開展檢測(cè)時(shí)進(jìn)行檢查和回顧，以保證檢驗(yàn)過(guò)程中對(duì)于信息安全管理系統(tǒng)所采取的各項(xiàng)措施是否合乎當(dāng)下的現(xiàn)狀和企業(yè)具體要求。

 

2.3信息安全事故統(tǒng)計(jì)

 

主要是對(duì)已經(jīng)發(fā)生過(guò)的安全事件進(jìn)行統(tǒng)計(jì)和分析，以為檢測(cè)的有效性提供更加高效合理的方法指引，以實(shí)現(xiàn)進(jìn)行更高角度的評(píng)估以及在控制措施方面的有效性。

 

這樣的方式是將基本的計(jì)劃和檢測(cè)方式實(shí)現(xiàn)了有效的結(jié)合，并在各種方法的支撐下，實(shí)現(xiàn)綜合型的檢測(cè)，做到有效的預(yù)防和糾正，從不同的層面反應(yīng)了進(jìn)行信息安全檢測(cè)的有效性，并保障整體運(yùn)行體系的完整有效性，進(jìn)而形成一個(gè)有效的良性循環(huán)。

 

三、結(jié)束語(yǔ)

 

就我國(guó)的整體實(shí)際而言，信息安全管理有效性的測(cè)量方法，還處于基礎(chǔ)的起步階段，而且相關(guān)的各項(xiàng)理論研究和測(cè)量指標(biāo)等也均沒有達(dá)到完善的階段，這就需要進(jìn)行不斷的發(fā)展和探索，而且實(shí)踐證明，進(jìn)行信息安全管理有效性的研究是有著極為廣闊的發(fā)展前景的，在保障整體信息運(yùn)行管理的安全性基礎(chǔ)上，能夠使企業(yè)提升整體的競(jìng)爭(zhēng)力和自身生存能力，并且能夠?qū)y(cè)量中發(fā)現(xiàn)的問(wèn)題和相關(guān)數(shù)據(jù)進(jìn)行分析，然后具有針對(duì)性的使企業(yè)所存在的風(fēng)險(xiǎn)得到最大化的控制，最終達(dá)到基本業(yè)務(wù)的正常有效運(yùn)行。

第8篇：企業(yè)信息安全現(xiàn)狀范文

在計(jì)算機(jī)網(wǎng)絡(luò)迅猛發(fā)展和廣泛普及的時(shí)代，企業(yè)的各種經(jīng)營(yíng)活動(dòng)都立足于計(jì)算機(jī)網(wǎng)絡(luò)平臺(tái)，因此網(wǎng)絡(luò)安全一旦受到威脅，企業(yè)將面臨直接的經(jīng)濟(jì)損失，更有可能給社會(huì)和整個(gè)國(guó)家?guī)?lái)巨大的安全隱患?，F(xiàn)階段，我國(guó)的大中型企業(yè)隨著業(yè)務(wù)的不斷壯大，網(wǎng)絡(luò)規(guī)模也不斷擴(kuò)充。有些企業(yè)各地都有分公司，在不同的區(qū)域都建有局域網(wǎng)，這樣一個(gè)分布全國(guó)各地的龐大的網(wǎng)絡(luò)體系就成為企業(yè)運(yùn)行的技術(shù)保障。這種企業(yè)的網(wǎng)絡(luò)安全更需要強(qiáng)有力的保障，否則一旦出現(xiàn)問(wèn)題便有可能帶來(lái)災(zāi)難性的后果。

1.1Internet的安全性

互聯(lián)網(wǎng)是把雙刃劍，在給企業(yè)帶來(lái)極大便利的同時(shí)，也不可避免地給企業(yè)的運(yùn)營(yíng)帶來(lái)了極大風(fēng)險(xiǎn)。因?yàn)楹诳团c病毒無(wú)孔不入，稍有疏漏，就可能使整個(gè)網(wǎng)絡(luò)遭受攻擊，并帶來(lái)不可逆轉(zhuǎn)的損害。因此，建立科學(xué)的網(wǎng)絡(luò)體系，保障系統(tǒng)網(wǎng)絡(luò)安全迫在眉睫。

1.2大中型企業(yè)內(nèi)網(wǎng)的安全性

ERP、OA和CAD等生產(chǎn)和辦公系統(tǒng)已經(jīng)在企業(yè)中得到普遍性應(yīng)用，隨之而來(lái)的就是企業(yè)對(duì)這些系統(tǒng)的高依賴性。這樣帶來(lái)的另一個(gè)問(wèn)題是內(nèi)網(wǎng)面臨的風(fēng)險(xiǎn)。內(nèi)網(wǎng)運(yùn)行穩(wěn)定、可靠、可控才能保障日常生產(chǎn)和辦公的進(jìn)行，一定程度上，將內(nèi)網(wǎng)信息網(wǎng)絡(luò)比作企業(yè)的生命線也不為過(guò)。這個(gè)內(nèi)網(wǎng)同時(shí)由大量終端設(shè)備，大中小型服務(wù)器，各種網(wǎng)絡(luò)設(shè)備構(gòu)成，這個(gè)其中每一個(gè)部分都要確保正常工作，否則一點(diǎn)小問(wèn)題都有可能引發(fā)網(wǎng)絡(luò)的停滯甚至癱瘓。但目前大中型企業(yè)的內(nèi)網(wǎng)安全依然存在很多安全隱患，主要表現(xiàn)為以下幾種情形：對(duì)外服務(wù)器缺少安全防護(hù)遭到黑客攻擊；員工上網(wǎng)過(guò)程缺乏有效監(jiān)管，一方面會(huì)造成網(wǎng)絡(luò)安全隱患，另一方面也影響工作效率；此外還有一些內(nèi)部的服務(wù)器被非法訪問(wèn)，造成企業(yè)信息的外泄。

2大中型石油企業(yè)信息網(wǎng)絡(luò)安全威脅及安全體系構(gòu)建

2.1大中型石油企業(yè)面臨的信息網(wǎng)絡(luò)安全威脅

進(jìn)入21世紀(jì)以來(lái)，大中型石油企業(yè)對(duì)數(shù)字化信息網(wǎng)絡(luò)建設(shè)可謂不遺余力，軟硬件的建設(shè)開發(fā)中，信息網(wǎng)絡(luò)的安全性卻未得到足夠的重視。由于對(duì)網(wǎng)絡(luò)安全防護(hù)重視程度不夠，我國(guó)的大中型石油企業(yè)長(zhǎng)期飽受網(wǎng)絡(luò)安全的困擾。有相關(guān)調(diào)查顯示，我國(guó)企業(yè)中，約有41%經(jīng)常受到惡意軟件和間諜的入侵，63%的企業(yè)經(jīng)常遭受病毒或蠕蟲攻擊。而就大中型石油企業(yè)而言，不僅面臨著外部病毒的攻擊，同時(shí)內(nèi)部人員的信息泄露也考驗(yàn)著企業(yè)的網(wǎng)絡(luò)安全。由于員工信息安全意識(shí)淡薄，上網(wǎng)過(guò)程又缺乏有效監(jiān)管，在員工無(wú)意識(shí)的情況下，就可能引起發(fā)一系列問(wèn)題。比如，企業(yè)機(jī)密信息的泄露，各種垃圾郵件的充斥，各種網(wǎng)絡(luò)病毒的侵襲，黑客的攻擊等等，這些問(wèn)題隨著信息化的發(fā)展進(jìn)程和企業(yè)經(jīng)濟(jì)發(fā)展利益競(jìng)爭(zhēng)白熱化，成為大中型石油企業(yè)最為棘手的問(wèn)題。

2.2大中型石油企業(yè)網(wǎng)絡(luò)安全體系的全方位構(gòu)建

隨著網(wǎng)絡(luò)攻擊的多元化，攻擊方式也是五花八門。傳統(tǒng)的只針對(duì)網(wǎng)絡(luò)層面以下的安全對(duì)策已經(jīng)不足以應(yīng)對(duì)如今復(fù)雜的網(wǎng)絡(luò)安全情況，企業(yè)必須要建立起多層次多元化的安全體系才能有效提升企業(yè)網(wǎng)絡(luò)信息安全指數(shù)。大中型石油企業(yè)信息網(wǎng)絡(luò)安全的五個(gè)重要組成：物理安全、鏈路安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、信息安全。

1）物理安全。物理安全是整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提，物理安全旨在為企業(yè)提供一個(gè)安全可靠的物理運(yùn)行環(huán)境，這個(gè)更多指對(duì)企業(yè)相應(yīng)硬件設(shè)施的安全防護(hù)，比如，企業(yè)服務(wù)器、數(shù)據(jù)介質(zhì)、數(shù)據(jù)庫(kù)等、

2）鏈路安全。鏈路安全指的是信息輸送通道。數(shù)據(jù)傳輸過(guò)程中能夠確保內(nèi)容安全、可靠、可控、能有效抵御攻擊。常見的幾種數(shù)據(jù)鏈路層安全攻擊有MAC地址擴(kuò)散、ARP攻擊與欺騙、DHCP服務(wù)器欺騙與DHCP地址耗盡、IP地址欺騙。

3）網(wǎng)絡(luò)安全。這主要針對(duì)于系統(tǒng)信息方面。這個(gè)是涵蓋范圍相對(duì)廣泛的一個(gè)方面。比如，用戶口令鑒別，計(jì)算機(jī)病毒防治，用戶存取權(quán)限控制，數(shù)據(jù)存取權(quán)限，數(shù)據(jù)加密等都屬于網(wǎng)絡(luò)安全范疇。

4）系統(tǒng)安全。系統(tǒng)的正常運(yùn)行是企業(yè)日常生產(chǎn)和運(yùn)行的根本保障。但是，系統(tǒng)出現(xiàn)崩潰、損壞的風(fēng)險(xiǎn)依然存在，這就需要能夠有一套有效的風(fēng)險(xiǎn)預(yù)防機(jī)制和辦法。能夠確保系統(tǒng)崩潰時(shí)對(duì)相關(guān)信息實(shí)現(xiàn)最大化備份，同時(shí)能夠具備保密功能，防止系統(tǒng)崩潰后的信息外漏。

5）信息安全。這就要分信息的傳播安全和信息的內(nèi)容安全。很大程度上是對(duì)不良信息的有效過(guò)濾和攔截。側(cè)重于對(duì)非法、有害信息可能造成的不良后果的有效遏止。信息內(nèi)容角度更側(cè)重于對(duì)信息保密性、真實(shí)和完整的保護(hù)，防止網(wǎng)絡(luò)黑客對(duì)信息的截留、篡改和刪除等手段來(lái)達(dá)到損害企業(yè)利益的行為，本質(zhì)上是對(duì)企業(yè)利益和隱私的保護(hù)。

2.3大中型石油企業(yè)安全設(shè)計(jì)的基本原則

信息保密性、真實(shí)性、完整性、未授權(quán)拷貝、寄生系統(tǒng)的安全性等五個(gè)方面的內(nèi)容構(gòu)成了信息安全的整體統(tǒng)一。信息安全的原則也就指明了大中型石油企業(yè)“數(shù)字化”網(wǎng)絡(luò)建設(shè)安全設(shè)計(jì)的基本原則。

1）保密性：對(duì)授權(quán)用戶的保護(hù)和對(duì)非授權(quán)用戶的防止，信息利用的用戶、實(shí)體的專屬性。

2）完整性：信息的輸入和傳輸要確保完整，防止非法的篡改或者破壞，保證數(shù)據(jù)的穩(wěn)定和一致。

3）可用性：針對(duì)授權(quán)用戶而言要確保其合理使用的特性。

4）可控性：信息能夠在處理、傳遞、存儲(chǔ)、輸入、輸出等環(huán)節(jié)中有可控能力。

3大中型石油企業(yè)網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)漏洞的成因及一些防范措施

網(wǎng)絡(luò)信息流量幾何式增長(zhǎng)，大中型石油企業(yè)信息資源對(duì)系統(tǒng)的應(yīng)用也日漸成熟，生產(chǎn)經(jīng)營(yíng)數(shù)據(jù)也日益增多。與此同時(shí)，國(guó)內(nèi)大中型石油企業(yè)信息系統(tǒng)安全問(wèn)題日益突出。因而，如何保障大中型石油企業(yè)信息數(shù)據(jù)安全，全面建立安全保障體系，這就顯得愈發(fā)重要。應(yīng)從內(nèi)因和外因上進(jìn)行分析和預(yù)防。內(nèi)因上，處于方向性決策的管理層對(duì)網(wǎng)絡(luò)信息安全的防護(hù)意識(shí)不強(qiáng)，不夠重視。這類人群往往關(guān)注的是信息化進(jìn)程給企業(yè)帶來(lái)的收益，對(duì)于安全隱患和潛在的威脅卻往往忽視。此外，在信息化發(fā)展進(jìn)程中，大中型石油企業(yè)在數(shù)據(jù)化硬件建設(shè)中容易競(jìng)爭(zhēng)對(duì)比，但是對(duì)于數(shù)據(jù)的管理安全性建設(shè)要求不高。其次，網(wǎng)絡(luò)信息安全建設(shè)不是一蹴而就的，相反是一個(gè)長(zhǎng)期過(guò)程，需要不斷進(jìn)行系統(tǒng)補(bǔ)丁的更新。其一，信息系統(tǒng)連接于因特網(wǎng)，開放的網(wǎng)絡(luò)環(huán)境帶來(lái)的是企業(yè)信息安全的脆弱。其二，大中型石油企業(yè)信息化建設(shè)往往求新不求穩(wěn)。云計(jì)算，物聯(lián)網(wǎng)，只要是當(dāng)下發(fā)展流行技術(shù)都會(huì)上馬，而不充分考慮技術(shù)的實(shí)際應(yīng)用于企業(yè)的現(xiàn)實(shí)貼合。多系統(tǒng)的復(fù)雜應(yīng)用帶來(lái)的是更多、更高的系統(tǒng)漏洞風(fēng)險(xiǎn)。再次，大中型石油企業(yè)在信息安全技術(shù)團(tuán)隊(duì)建設(shè)上海相對(duì)滯后，缺乏強(qiáng)有力的信息安全維護(hù)團(tuán)隊(duì)帶來(lái)的是企業(yè)信息安全的高風(fēng)險(xiǎn)。這往往是因?yàn)榇笾行褪推髽I(yè)往往將預(yù)算優(yōu)先分配于能夠直接帶來(lái)經(jīng)濟(jì)效益的生產(chǎn)方面，對(duì)于見不到短期回報(bào)的信息安全防護(hù)支出是能少則少。然而，一旦企業(yè)信息泄露帶來(lái)的可能是災(zāi)難性的后果，因而，有水平有業(yè)務(wù)能力的專業(yè)信息安全維護(hù)隊(duì)伍建設(shè)至關(guān)重要。外因上，一些不可抗力造成的硬件設(shè)備損壞，外部對(duì)企業(yè)信息的攻擊，相關(guān)法律法規(guī)還不夠健全等等因素都是影響企業(yè)信息安全的外因。因而，加強(qiáng)大中型石油企業(yè)的安全防范可從四個(gè)方面著手。在機(jī)制層面，第一，管理層要對(duì)信息安全有強(qiáng)意識(shí)，第二，信息安全意識(shí)要滲透到整個(gè)企業(yè)。進(jìn)而建立企業(yè)信息安全管理、運(yùn)行、檢測(cè)體系。另外，在面對(duì)一些風(fēng)險(xiǎn)來(lái)臨之時(shí)，能夠有有效的應(yīng)急機(jī)制加以應(yīng)對(duì)。在技術(shù)面，技術(shù)指標(biāo)相對(duì)可量化，過(guò)硬的技術(shù)實(shí)力是保證大中型石油企業(yè)信息安全的關(guān)鍵，所以說(shuō)，提高對(duì)信息安全水平的投資力度，建設(shè)高水平，高素質(zhì)的技術(shù)隊(duì)伍顯得尤為重要。在系統(tǒng)安全性建設(shè)層面，大中型石油企業(yè)在信息系統(tǒng)安全性建設(shè)之初就要結(jié)合企業(yè)實(shí)際充分考慮信息系統(tǒng)需要的安全保護(hù)等級(jí)以及架構(gòu)建設(shè)，對(duì)后期風(fēng)險(xiǎn)能夠有科學(xué)的分析與控制建議。在企業(yè)人員素養(yǎng)層面，大中型石油企業(yè)能夠在技術(shù)層面實(shí)現(xiàn)對(duì)企業(yè)信息安全的保障，就需要企業(yè)能夠有具備專業(yè)技術(shù)業(yè)務(wù)水準(zhǔn)的網(wǎng)絡(luò)信息技術(shù)安全人員隊(duì)伍。從設(shè)計(jì)到操作到運(yùn)維都離不開專業(yè)的技術(shù)人員。這些網(wǎng)絡(luò)管理技術(shù)人員還要能夠在后期不斷得到組織和學(xué)習(xí)，不斷得到新的知識(shí)補(bǔ)充，能夠讓這些技術(shù)人員時(shí)刻與最前沿的IT科技接軌。

4結(jié)束語(yǔ)

第9篇：企業(yè)信息安全現(xiàn)狀范文

“中國(guó)企業(yè)員工的信息安全意識(shí)可謂不容樂(lè)觀，提升員工信息安全意識(shí)刻不容緩?！惫劝蔡煜赂笨偨?jīng)理魏彩霞對(duì)當(dāng)前企業(yè)員工的信息安全意識(shí)現(xiàn)狀表示擔(dān)憂，“不同行業(yè)的信息安全意識(shí)現(xiàn)狀不同，電信、金融等行業(yè)由于業(yè)務(wù)的特殊性，安全意識(shí)較高，而其他行業(yè)的信息安全意識(shí)整體狀況則依舊薄弱”。

調(diào)查顯示，接近50%的受訪者認(rèn)為單位領(lǐng)導(dǎo)的信息安全意識(shí)一般、很差或者還不如自己。而據(jù)魏彩霞介紹，一些企業(yè)中即使領(lǐng)導(dǎo)非常重視信息安全，希望提升員工的保密意識(shí)，但“只是看到別人的明文密碼導(dǎo)致信息泄漏就更改自己的網(wǎng)頁(yè)設(shè)置等單個(gè)事件，并不能系統(tǒng)地提升企業(yè)員工整體的信息安全意識(shí)”。

由于員工信息安全意識(shí)薄弱而給企業(yè)帶來(lái)災(zāi)難性損失的案例屢見不鮮。據(jù)統(tǒng)計(jì)，世界上每分鐘就有兩家企業(yè)因?yàn)樾畔踩膯?wèn)題而倒閉。而在所有信息安全事件中，只有20%~30%是因?yàn)楹诳腿肭只蚱渌獠吭蛟斐?，另?0%~80%是由于內(nèi)部員工的疏忽或有意泄漏造成，而78%的企業(yè)數(shù)據(jù)泄漏是由于內(nèi)部員工不規(guī)范的操作造成的。