企業(yè)信息安全評(píng)估精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的企業(yè)信息安全評(píng)估主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：企業(yè)信息安全評(píng)估范文

【關(guān)鍵詞】云計(jì)算 電力企業(yè) 信息安全 風(fēng)險(xiǎn)評(píng)估

為提升電力企業(yè)的信息化建設(shè)和管理水平，引入云計(jì)算技術(shù)是大勢(shì)所趨。云計(jì)算以其在虛擬化、負(fù)載均衡、并行計(jì)算等方面的獨(dú)特優(yōu)勢(shì)，自2006年提出伊始便廣受關(guān)注。但基于云計(jì)算的信息安全事件屢有發(fā)生。因此必須對(duì)云計(jì)算環(huán)境下的電力企業(yè)信息安全作準(zhǔn)確評(píng)估并提出針解決措施。

1 云計(jì)算概述

云計(jì)算就是基于Internet的計(jì)算方式，其核心思想是依托互聯(lián)網(wǎng)將大量計(jì)算機(jī)組成可控資源池，然后用該資源池響應(yīng)任何計(jì)算任務(wù)。其框架見(jiàn)圖1所示。

顯然，云計(jì)算具有可擴(kuò)展性強(qiáng)、服務(wù)能力彈性大等優(yōu)勢(shì)，但也存在基于互聯(lián)網(wǎng)的信息安全風(fēng)險(xiǎn)，主要包括虛擬化環(huán)境安全風(fēng)險(xiǎn)、數(shù)據(jù)訪問(wèn)權(quán)限風(fēng)險(xiǎn)、數(shù)據(jù)存儲(chǔ)與傳輸安全風(fēng)險(xiǎn)等方面。

就電力企業(yè)來(lái)說(shuō)，云計(jì)算需完成的任務(wù)包括電力營(yíng)銷、用戶個(gè)人信息管理、電力數(shù)據(jù)仿真、用戶信息及智能儀表數(shù)據(jù)處理等層面，涵蓋IaaS、PaaS和SaaS三個(gè)云服務(wù)層次。

2 電力云使用中的信息安全風(fēng)險(xiǎn)表現(xiàn)

根據(jù)云計(jì)算服務(wù)性質(zhì)的差異，可以將云計(jì)算分為公有云、私有云和混合云。當(dāng)前電力企業(yè)的云計(jì)算既涉及公有云、又包含私有云，但主要是私有云。電力私有云指電力企業(yè)為提升系統(tǒng)內(nèi)整個(gè)IT架構(gòu)而單獨(dú)構(gòu)建的云計(jì)算。與公有云相比，服務(wù)質(zhì)量與安全性得到明顯改善，但仍存在以下安全風(fēng)險(xiǎn)：

2.1 訪問(wèn)權(quán)限風(fēng)險(xiǎn)

即由于所有的業(yè)務(wù)系統(tǒng)都部署在“云”中，若無(wú)合理的身份認(rèn)證方式，任何人都能接觸重要數(shù)據(jù)，可能帶來(lái)泄密風(fēng)險(xiǎn)。

2.2 邊界風(fēng)險(xiǎn)

由于云計(jì)算基于虛擬化架構(gòu)，安全邊界比較模糊，傳統(tǒng)的安全域劃分機(jī)制難以保障云計(jì)算安全需求。

2.3 數(shù)據(jù)恢復(fù)風(fēng)險(xiǎn)

在系統(tǒng)范圍內(nèi)，所有數(shù)據(jù)和程序都部署在云計(jì)算中心，必須要有應(yīng)對(duì)災(zāi)難的數(shù)據(jù)恢復(fù)措施。

2.4 資源共享風(fēng)險(xiǎn)

在電力云計(jì)算各種資源與服務(wù)被眾多用戶和終端安全共享的過(guò)程中，涉及數(shù)據(jù)和應(yīng)用的隔離考慮等。

3 云計(jì)算環(huán)境下的電力信息安全評(píng)估方法

3.1 信息安全風(fēng)險(xiǎn)評(píng)估理論

信息安全風(fēng)險(xiǎn)評(píng)估是指根據(jù)有關(guān)安全標(biāo)準(zhǔn)對(duì)信息系統(tǒng)運(yùn)作各過(guò)程中信息的機(jī)密性、完整性和可用性等安全屬性進(jìn)行評(píng)價(jià)。其目的是達(dá)成風(fēng)險(xiǎn)可控。信息安全風(fēng)險(xiǎn)評(píng)估的4個(gè)階段：

（1）評(píng)估準(zhǔn)備階段。包括明確目標(biāo)、確定范圍、初步調(diào)研等；

（2）要素識(shí)別階段。即對(duì)資產(chǎn)的威脅和脆弱性進(jìn)行辨識(shí)；

（3）風(fēng)險(xiǎn)分析階段。主要確定風(fēng)險(xiǎn)等級(jí)；

（4）匯報(bào)驗(yàn)收階段。

3.2 基于云計(jì)算環(huán)境的電力企業(yè)信息安全評(píng)估

根據(jù)以上關(guān)于信息安全評(píng)估理論，結(jié)合電力云計(jì)算的互聯(lián)網(wǎng)特性，勾畫(huà)出如圖2所示的云計(jì)算環(huán)境下電力信息安全評(píng)估流程。

（1）若被評(píng)估對(duì)象沒(méi)有使用云計(jì)算服務(wù)，那么其評(píng)估方法沿襲傳統(tǒng)的信息安全風(fēng)險(xiǎn)評(píng)估方法，詳見(jiàn)文獻(xiàn)。

（2）若被評(píng)估對(duì)象采用了云計(jì)算，則應(yīng)依據(jù)Gartner提出的云計(jì)算安全風(fēng)險(xiǎn)分析方法，從四個(gè)角度進(jìn)行測(cè)評(píng)。

① 資產(chǎn)識(shí)別。包括資產(chǎn)分類和資產(chǎn)賦值。資產(chǎn)分類是對(duì)所有納入云計(jì)算的資產(chǎn)進(jìn)行列表；資產(chǎn)賦值是分別對(duì)資產(chǎn)的機(jī)密性、完整性和可用性3個(gè)安全屬性進(jìn)行打分，分值可取5/4/3/2/1（分值越高表示越重要），然后取3個(gè)屬性中最高值作為該資產(chǎn)賦值，記作Asi。

② 威脅識(shí)別。包括威脅分類和威脅賦值。對(duì)于威脅i，用ProbT{i}表示其“爆發(fā)”可能性。

③ 脆弱性識(shí)別。首先根據(jù)云計(jì)算平臺(tái)的可審查性、數(shù)據(jù)位置、數(shù)據(jù)隔離措施、數(shù)據(jù)恢復(fù)措施及長(zhǎng)期生存性等特性識(shí)別可能引發(fā)安全事件的脆弱性；其次對(duì)特定脆弱性，用0-1變量表示存在與否，記為PV{i}。

④ 風(fēng)險(xiǎn)評(píng)估與分析。即通過(guò)對(duì)威脅和脆弱性之間關(guān)聯(lián)性的解析，得到安全問(wèn)題發(fā)生可能性L（ProbT，PV），并計(jì)算損失量（因損失與資產(chǎn)價(jià)值和安全事件可能性正相關(guān)，因此可用函數(shù)F（As，L（ProbT，PV表示），最后估測(cè)風(fēng)險(xiǎn)值R（L，F(xiàn)）。：

4 應(yīng)對(duì)措施

在完成對(duì)電力企業(yè)信息安全評(píng)估后，就應(yīng)制定針對(duì)性措施。一般來(lái)說(shuō)，有以下幾項(xiàng)可供參考：

（1）建立私有云“4A”統(tǒng)一安全管理平臺(tái)，強(qiáng)化身份管理、安全認(rèn)證、訪問(wèn)權(quán)限控制及審計(jì)機(jī)制，達(dá)成訪問(wèn)可溯源。

（2）建立安全事件應(yīng)急響應(yīng)機(jī)制及處理流程，完善安全審計(jì)機(jī)制。

（3）采用全同態(tài)數(shù)據(jù)加密技術(shù)，保障數(shù)據(jù)的傳輸安全。

5 結(jié)束語(yǔ)

通過(guò)介紹云計(jì)算架構(gòu)、電力云組建方式，明確云計(jì)算環(huán)境下電力企業(yè)信息安全所面臨的新挑戰(zhàn)。以信息安全風(fēng)險(xiǎn)評(píng)估的相關(guān)理論為鋪墊，結(jié)合電力企業(yè)信息管理的實(shí)際，提出了基于云計(jì)算的電力信息安全評(píng)估方法。該方法具有一定前瞻性。

參考文獻(xiàn)

[1]張偉.電力企業(yè)云計(jì)算信息安全風(fēng)險(xiǎn)評(píng)估探討[J].廣東科技，2013，133（20）：48-50.

[2]魏亮.云計(jì)算安全風(fēng)險(xiǎn)及對(duì)策研究[J].郵電設(shè)計(jì)技術(shù)，2011，18（01）：26-28.

[3]佟得天，劉旭東.云計(jì)算信息安全與實(shí)踐[J].電信科學(xué)，2013，19（02）：136-139.

作者簡(jiǎn)介

湯杰（1985-），男，湖南省常寧市人。畢業(yè)于中國(guó)石油大學(xué)（華東）計(jì)算機(jī)科學(xué)與技術(shù)專業(yè)，獲得大學(xué)本科學(xué)歷?，F(xiàn)為神華國(guó)華九江發(fā)電有限責(zé)任公司助理工程師，主要從事公司網(wǎng)絡(luò)及信息化建設(shè)、運(yùn)維工作。

第2篇：企業(yè)信息安全評(píng)估范文

隨著信息化進(jìn)程的發(fā)展，信息技術(shù)與網(wǎng)絡(luò)技術(shù)的高度融合，現(xiàn)代企業(yè)對(duì)信息系統(tǒng)的依賴性與信息系統(tǒng)本身的動(dòng)態(tài)性、脆弱性、復(fù)雜性、高投入性之間的矛盾日趨突顯，如何有效防護(hù)信息安全成為了企業(yè)亟待解決的問(wèn)題之一。目前國(guó)內(nèi)企業(yè)在信息安全方面仍側(cè)重于技術(shù)防護(hù)和基于傳統(tǒng)模式下的靜態(tài)被動(dòng)管理，尚未形成與動(dòng)態(tài)持續(xù)的信息安全問(wèn)題相適應(yīng)的信息安全防護(hù)模式，企業(yè)信息安全管理效益低下；另一方面，資源約束性使企業(yè)更加關(guān)注信息安全防護(hù)的投入產(chǎn)出效應(yīng)，最大程度上預(yù)防信息安全風(fēng)險(xiǎn)的同時(shí)節(jié)省企業(yè)安全建設(shè)、維護(hù)成本，需要從管理角度上更深入地整合和分配資源。

本文針對(duì)現(xiàn)階段企業(yè)信息安全出現(xiàn)的問(wèn)題，結(jié)合項(xiàng)目管理領(lǐng)域的一般過(guò)程模型，從時(shí)間、任務(wù)、邏輯方面界定了系統(tǒng)的霍爾三維結(jié)構(gòu)，構(gòu)建了標(biāo)準(zhǔn)化的ISM結(jié)構(gòu)模型及動(dòng)態(tài)運(yùn)行框架，為信息網(wǎng)絡(luò)、信息系統(tǒng)、信息設(shè)備以及網(wǎng)絡(luò)用戶提供一個(gè)全方位、全過(guò)程、全面綜合的前瞻性立體防護(hù)，并從企業(yè)、政府兩個(gè)層面提出了提高整體信息安全防護(hù)水平的相關(guān)建議。

1 企業(yè)信息安全立體防護(hù)體系概述

1.1 企業(yè)信息安全立體防護(hù)體系概念

信息安全立體防護(hù)體系是指為保障企業(yè)信息的有效性、保密性、完整性、可用性和可控性，提供覆蓋到所有易被威脅攻擊的角落的全方位防護(hù)體系。該體系涵蓋了企業(yè)信息安全防護(hù)的一般步驟、具體階段及其任務(wù)范圍。

1.2 企業(yè)信息安全立體防護(hù)體系環(huán)境分析

系統(tǒng)運(yùn)行離不開(kāi)環(huán)境。信息產(chǎn)業(yè)其爆炸式發(fā)展的特性使企業(yè)信息安全的防護(hù)環(huán)境也相對(duì)復(fù)雜多變，同時(shí)，多樣性的防護(hù)需求要求有相適應(yīng)的環(huán)境與之配套。

企業(yè)信息安全立體防護(hù)體系的運(yùn)行環(huán)境主要包括三個(gè)方面，即社會(huì)文化環(huán)境、政府政策環(huán)境、行業(yè)技術(shù)環(huán)境。社會(huì)文化環(huán)境主要指在企業(yè)信息安全方面的社會(huì)整體教育程度和文化水平、行為習(xí)慣、道德準(zhǔn)則等。政府政策環(huán)境是指國(guó)家和政府針對(duì)于企業(yè)信息安全防護(hù)出臺(tái)的一系列政策和措施。行業(yè)技術(shù)環(huán)境是指信息行業(yè)為支持信息安全防護(hù)所開(kāi)發(fā)的一系列技術(shù)與相匹配的管理體制。

1.3 企業(yè)信息安全立體防護(hù)體系霍爾三維結(jié)構(gòu)

為平衡信息安全防護(hù)過(guò)程中的時(shí)間性、復(fù)雜性和主觀性，本文從時(shí)間、任務(wù)、邏輯層面建立了企業(yè)信息安全立體防護(hù)體系的三維空間結(jié)構(gòu)，如圖1所示。

時(shí)間維是指信息安全系統(tǒng)從開(kāi)始設(shè)計(jì)到最終實(shí)施按時(shí)間排序的全過(guò)程，由分析建立、實(shí)施運(yùn)行、監(jiān)視評(píng)審、保持改進(jìn)四個(gè)基本時(shí)間階段組成，并按PDCA過(guò)程循環(huán)[5]。邏輯維是指時(shí)間維的每一個(gè)階段內(nèi)所應(yīng)該遵循的思維程序，包括信息安全風(fēng)險(xiǎn)識(shí)別、危險(xiǎn)性辨識(shí)、危險(xiǎn)性評(píng)估、防范措施制定、防范措施實(shí)施五個(gè)步驟。任務(wù)維是指在企業(yè)信息安全防護(hù)的具體內(nèi)容，如網(wǎng)絡(luò)安全、系統(tǒng)安全、數(shù)據(jù)安全、應(yīng)用安全等。該霍爾三維結(jié)構(gòu)中任一階段和步驟又可進(jìn)一步展開(kāi)，形成分層次的樹(shù)狀體系。

2 企業(yè)信息安全立體防護(hù)體系解釋結(jié)構(gòu)模型

2.1 ISM模型簡(jiǎn)介

ISM（Interpretation Structural Model）技術(shù)，是美國(guó)J·N·沃菲爾德教授于1973年為研究復(fù)雜社會(huì)經(jīng)濟(jì)系統(tǒng)問(wèn)題而開(kāi)發(fā)的結(jié)構(gòu)模型化技術(shù)。該方法通過(guò)提取問(wèn)題的構(gòu)成要素，并利用矩陣等工具進(jìn)行邏輯運(yùn)算，明確其間的相互關(guān)系和層次結(jié)構(gòu)，使復(fù)雜系統(tǒng)轉(zhuǎn)化成多級(jí)遞階形式。

2.2 企業(yè)信息安全立體防護(hù)體系要素分析

本文根據(jù)企業(yè)信息安全的基本內(nèi)容，將立體防護(hù)體系劃分為如下15個(gè)構(gòu)成要素：

（1） 網(wǎng)絡(luò)安全：網(wǎng)絡(luò)平臺(tái)實(shí)現(xiàn)和訪問(wèn)模式的安全；

（2） 系統(tǒng)安全：操作系統(tǒng)自身的安全；

（3） 數(shù)據(jù)安全：數(shù)據(jù)在存儲(chǔ)和應(yīng)用過(guò)程中不被非授權(quán)用戶有意破壞或無(wú)意破壞；

（4） 應(yīng)用安全：應(yīng)用接入、應(yīng)用系統(tǒng)、應(yīng)用程序的控制安全；

（5） 物理安全：物理設(shè)備不受物理?yè)p壞或損壞時(shí)能及時(shí)修復(fù)或替換；

（6） 用戶安全：用戶被正確授權(quán)，不存在越權(quán)訪問(wèn)或多業(yè)務(wù)系統(tǒng)的授權(quán)矛盾；

（7） 終端安全：防病毒、補(bǔ)丁升級(jí)、桌面終端管理系統(tǒng)、終端邊界等的安全；

（8） 信息安全風(fēng)險(xiǎn)管理：涉及安全風(fēng)險(xiǎn)的評(píng)估、安全代價(jià)的評(píng)估等；

（9） 信息安全策略管理：包括安全措施的制定、實(shí)施、評(píng)估、改進(jìn)；

（10） 信息安全日常管理：巡視、巡檢、監(jiān)控、日志管理等；

（11） 標(biāo)準(zhǔn)規(guī)范體系：安全技術(shù)、安全產(chǎn)品、安全措施、安全操作等規(guī)范化條例；

（12） 管理制度體系：包括配套規(guī)章制度，如培訓(xùn)制度、上崗制度；

（13） 評(píng)價(jià)考核體系：指評(píng)價(jià)指標(biāo)、安全測(cè)評(píng)；

（14） 組織保障：包括安全管理員、安全組織機(jī)構(gòu)的配備；

（15） 資金保障：指建設(shè)、運(yùn)維費(fèi)用的投入。

2.3 ISM模型計(jì)算

根據(jù)專家對(duì)企業(yè)信息安全立體防護(hù)體系中15個(gè)構(gòu)成要素邏輯關(guān)系的分析，可得要素關(guān)系如表1所示。

對(duì)可達(dá)矩陣進(jìn)行區(qū)域劃分和級(jí)位劃分，確定各要素所處層次地位。在可達(dá)矩陣中找出各個(gè)因素的可達(dá)集R（Si），前因集A（Si）以及可達(dá)集R（Si）與前因集A（Si）的交集R（Si）∩A（Si），得到第一級(jí)的可達(dá)集與前因集（見(jiàn)表2）。

2.4 企業(yè)信息安全立體防護(hù)結(jié)構(gòu)

結(jié)合信息安全防護(hù)的特點(diǎn)，企業(yè)信息安全立體防護(hù)體系15個(gè)要素相互聯(lián)系、相互作用，有機(jī)地構(gòu)成遞階有向?qū)蛹?jí)結(jié)構(gòu)模型。圖2中自下而上的箭頭表示低一層因素影響高一層因素，雙向箭頭表示同級(jí)影響。

從圖2可以看出，企業(yè)信息安全防護(hù)體系內(nèi)容為四級(jí)遞階結(jié)構(gòu)。從下往上，第一層因素從制度層面闡述了企業(yè)信息安全防護(hù)，該層的五個(gè)因素處于ISM結(jié)構(gòu)的最基層且相互獨(dú)立，構(gòu)成了企業(yè)信息安全立體防護(hù)的基礎(chǔ)。第二層因素在基于保障的前提下，確定了企業(yè)為確保信息安全進(jìn)行管理活動(dòng)，是進(jìn)行立體防護(hù)的方法和手段；第三層因素是從物理?xiàng)l件、傳輸過(guò)程方面揭示了企業(yè)進(jìn)行信息安全防護(hù)可控點(diǎn)，其中物理安全是控制基礎(chǔ)。第四層要素是企業(yè)信息安全的直接需求，作為信息的直接表現(xiàn)形式，數(shù)據(jù)是企業(yè)信息安全立體防護(hù)的核心。企業(yè)信息安全防護(hù)體系的四級(jí)遞階結(jié)構(gòu)充分體現(xiàn)了企業(yè)信息安全防護(hù)體系的整體性、層級(jí)性、交互性。

圖2 企業(yè)信息安全防護(hù)解釋結(jié)構(gòu)模型

2.5 企業(yè)信息安全立體防護(hù)過(guò)程

企業(yè)信息安全立體防護(hù)是一個(gè)多層次的動(dòng)態(tài)過(guò)程，它隨著環(huán)境和信息傳遞需求變化而變化。本文在立體防護(hù)結(jié)構(gòu)模型的基礎(chǔ)上對(duì)企業(yè)信息安全防護(hù)結(jié)構(gòu)進(jìn)行擴(kuò)展，構(gòu)建了整體運(yùn)行框架（見(jiàn)圖3）。

從圖3 中可以看出，企業(yè)信息安全防護(hù)過(guò)程按分析建立到體系保持改進(jìn)的四個(gè)基本時(shí)間階段中有序進(jìn)行，充分體現(xiàn)出時(shí)間維度上的動(dòng)態(tài)性。具體步驟如下：

（1） 綜合分析現(xiàn)行的行業(yè)標(biāo)準(zhǔn)規(guī)范體系，企業(yè)內(nèi)部管理流程、人員組織結(jié)構(gòu)和企業(yè)資金實(shí)力，建立企業(yè)信息安全防護(hù)目標(biāo)，并根據(jù)需要將安全防護(hù)內(nèi)容進(jìn)行等級(jí)劃分。

（2） 對(duì)防護(hù)內(nèi)容進(jìn)行日常監(jiān)測(cè)（包括統(tǒng)計(jì)分析其他公司近期發(fā)生的安全事故），形成預(yù)警，進(jìn)而對(duì)公司信息系統(tǒng)進(jìn)行入侵監(jiān)測(cè)，判斷其是否潛在威脅。

（3） 若存在威脅，則進(jìn)一步確定威脅來(lái)源，并對(duì)危險(xiǎn)性進(jìn)行評(píng)估，判斷其是否能通過(guò)現(xiàn)有措施解決。

（4） 平衡控制成本和實(shí)效性，采取防范措施，并分析其效用，最終形成內(nèi)部信息防護(hù)手冊(cè)。

3 分析及對(duì)策

3.1 企業(yè)層面

（1） 加強(qiáng)系統(tǒng)整體性。企業(yè)信息安全防護(hù)體系的15個(gè)構(gòu)成要素隸屬于一個(gè)共同區(qū)域，在同一系統(tǒng)大環(huán)境下運(yùn)作。資源受限情況下要最大程度地保障企業(yè)信息安全，就必須遵循一切從整體目標(biāo)出發(fā)的原則，加強(qiáng)信息安全防護(hù)的整體布局，在對(duì)原有產(chǎn)品升級(jí)和重新部署時(shí)，應(yīng)統(tǒng)一規(guī)劃，統(tǒng)籌安排，追求整體效能和投入產(chǎn)出效應(yīng)。

（2） 明確系統(tǒng)層級(jí)性。企業(yè)信息安全防護(hù)工作效率的高低很大程度上取決于在各個(gè)防護(hù)層級(jí)上的管理。企業(yè)信息安全防護(hù)涉及技術(shù)層面防護(hù)、策略層面防護(hù)、制度層面防護(hù)，三個(gè)層面互相依存、互相作用，其中制度和保障是基礎(chǔ)，策略是支撐，技術(shù)是手段。要有效維護(hù)企業(yè)信息安全，企業(yè)就必須正確處理好體系間的縱向關(guān)系，在尋求技術(shù)支撐的同時(shí)，更要立足于管理，加強(qiáng)工作間的協(xié)調(diào)，避免重復(fù)投入、重復(fù)建設(shè)。

（3） 降低系統(tǒng)交互性。在企業(yè)信息安全防護(hù)體系同級(jí)之間，相關(guān)要素呈現(xiàn)出了強(qiáng)連接關(guān)系，這種交互式的影響，使得系統(tǒng)運(yùn)行更加復(fù)雜。因此需要加快企業(yè)內(nèi)部規(guī)章制度和技術(shù)規(guī)范的建設(shè)，界定好每個(gè)工作環(huán)節(jié)的邊界，準(zhǔn)確定位風(fēng)險(xiǎn)源，并確保信息安全策略得到恰當(dāng)?shù)睦斫夂陀行?zhí)行，防止在循環(huán)狀態(tài)下風(fēng)險(xiǎn)的交叉影響使防范難度加大。

（4） 關(guān)注系統(tǒng)動(dòng)態(tài)性。信息安全防護(hù)是一個(gè)動(dòng)態(tài)循環(huán)的過(guò)程，它隨著信息技術(shù)發(fā)展而不斷發(fā)展。因此，企業(yè)在進(jìn)行信息安全防護(hù)時(shí)，應(yīng)在時(shí)間維度上對(duì)信息安全有一個(gè)質(zhì)的認(rèn)識(shí)，準(zhǔn)確定位企業(yè)信息安全防護(hù)所處的工作階段，限定處理信息安全風(fēng)險(xiǎn)的時(shí)間界限，重視不同時(shí)間段上的延續(xù)性，并運(yùn)用恰當(dāng)?shù)墓ぞ叻椒▉?lái)對(duì)風(fēng)險(xiǎn)加以識(shí)別，辨別風(fēng)險(xiǎn)可能所帶來(lái)的危險(xiǎn)及其危害程度，做出防范措施，實(shí)現(xiàn)企業(yè)信息安全的全過(guò)程動(dòng)態(tài)管理。

3.2 政府層面

企業(yè)信息安全防護(hù)不是一個(gè)孤立的系統(tǒng)，它受制于環(huán)境的變化。良好的社會(huì)文化環(huán)境有助于整體安全防護(hù)能力主動(dòng)性的提高，有力的政策是推動(dòng)企業(yè)信息安全防護(hù)發(fā)展的前提和條件，高效的行業(yè)技術(shù)反應(yīng)機(jī)制是信息安全防護(hù)的推動(dòng)力。因此在注重企業(yè)層面的管理之外，還必須借助于政府建立一個(gè)積極的環(huán)境。

（1） 加強(qiáng)信息安全防護(hù)方面的文化建設(shè)。一方面，政府應(yīng)大力宣傳信息安全的重要性及相關(guān)政策，提高全民信息安全素質(zhì)，從道德層面上防止信息安全事故的發(fā)生；另一方面，政府應(yīng)督促企業(yè)加強(qiáng)信息安全思想教育、職能教育、技能教育、法制教育，從思想上、理論上提高和強(qiáng)化社會(huì)信息安全防護(hù)意識(shí)和自律意識(shí)。

（2） 高度重視信息安全及其衍生問(wèn)題。政府應(yīng)加快整合和完善現(xiàn)有信息安全方面的法律、法規(guī)、行業(yè)標(biāo)準(zhǔn)，建立多元監(jiān)管模式和長(zhǎng)效監(jiān)管機(jī)制，保證各項(xiàng)法律、法規(guī)和標(biāo)準(zhǔn)得到公平、公正、有效的實(shí)施，為企業(yè)信息安全創(chuàng)造有力的支持。

（3） 加大信息安全產(chǎn)業(yè)投入。政府應(yīng)高度重視技術(shù)人才的培養(yǎng)，加快信息安全產(chǎn)品核心技術(shù)的自主研發(fā)和生產(chǎn)，支持信息安全服務(wù)行業(yè)的發(fā)展。

4 結(jié) 語(yǔ)

本文從企業(yè)信息安全防護(hù)的實(shí)際需求出發(fā)，構(gòu)建企業(yè)信息安全防護(hù)基本模型，為企業(yè)信息安全防護(hù)工作的落實(shí)提供有效指導(dǎo)，節(jié)省企業(yè)在信息安全防護(hù)體系建設(shè)上的投入。同時(shí)針對(duì)現(xiàn)階段企業(yè)信息安全防護(hù)存在的問(wèn)題從企業(yè)層面和政府層面提出相關(guān)建議。

參考文獻(xiàn)

[1] 中國(guó)信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心.信息安全理論與技術(shù)[M].北京：人民郵電出版社，2003.

[2] 汪應(yīng)洛.系統(tǒng)工程[M].3版.北京：高等教育出版社，2003.

[3] 齊峰.COBIT在企業(yè)信息安全管理中的應(yīng)用實(shí)踐[J].計(jì)算機(jī)應(yīng)用與軟件，2009，26（10）：282?285.

[4] 肖餛.淺議網(wǎng)絡(luò)環(huán)境下的企業(yè)信息安全管理[J].標(biāo)準(zhǔn)科學(xué)，2010（8）：20?23.

第3篇：企業(yè)信息安全評(píng)估范文

科技是一把雙刃劍，科技發(fā)展帶來(lái)的不全是益處，也會(huì)有各種各樣的麻煩。大數(shù)據(jù)技術(shù)在提升對(duì)數(shù)據(jù)洞察力的同時(shí)，也同樣提升了破壞信息安全的能力。

首先，數(shù)據(jù)價(jià)值提升推高了數(shù)據(jù)保有成本。隨著信息化程度的不斷提升，數(shù)據(jù)價(jià)值也在大幅提升，企業(yè)的經(jīng)營(yíng)行為被越來(lái)越多地?cái)?shù)字化，財(cái)務(wù)信息、人事信息、知識(shí)產(chǎn)權(quán)等這些企業(yè)最重要的信息都在被匯聚成為企業(yè)信息大數(shù)據(jù)，若這些數(shù)據(jù)被泄漏，再基于此類數(shù)據(jù)開(kāi)展大數(shù)據(jù)分析，企業(yè)信息將毫無(wú)秘密可言。因此，數(shù)據(jù)價(jià)值的提升必然要推高信息安全方面的投入，來(lái)確保企業(yè)信息的安全。

其次，黑客破壞信息安全的能力在增強(qiáng)。數(shù)據(jù)的大量匯集，使得黑客成功攻擊的收益在增加，“激勵(lì)”了黑客的網(wǎng)絡(luò)攻擊行為。大數(shù)據(jù)技術(shù)本身也在成為黑客攻擊的有力武器，黑客通過(guò)大數(shù)據(jù)分析，可以得到更多的有用信息，制定更加有效的攻擊策略，改進(jìn)傳統(tǒng)攻擊手段，提高了信息安全防護(hù)成本。尤其是進(jìn)入“云時(shí)代”后，數(shù)據(jù)在云端，云安全就更加重要，而遺憾的是，近幾年，一些大型云平臺(tái)數(shù)據(jù)泄漏事件更加劇了人們對(duì)于信息安全的擔(dān)心。

最后，信息安全意識(shí)尚需提高。外在信息安全并不是企業(yè)面臨的唯一危險(xiǎn)，企業(yè)內(nèi)部安全意識(shí)不強(qiáng)同樣威脅巨大。員工由于安全意識(shí)單薄，或者企業(yè)內(nèi)部信息安全體系不夠完善導(dǎo)致信息泄漏的情況也在不斷增加。據(jù)一項(xiàng)有關(guān)企業(yè)信息安全的調(diào)查結(jié)果發(fā)現(xiàn)，有近四成的受訪者認(rèn)為造成企業(yè)信息安全風(fēng)險(xiǎn)加劇的很大部分原因在于缺乏信息安全保護(hù)意識(shí)。盡管外部攻擊和內(nèi)部數(shù)據(jù)泄露的安全事故數(shù)量在增加，但多數(shù)企業(yè)并未給予足夠重視。

因此，大數(shù)據(jù)時(shí)代信息價(jià)值在增加，企業(yè)信息安全的形勢(shì)在惡化，而由此帶來(lái)的損失將成倍放大。

對(duì)于我國(guó)企業(yè)信息安全體系建設(shè)而言，需要做到以下幾點(diǎn)。做好安全評(píng)估，企業(yè)在構(gòu)建信息安全體系之初，要先對(duì)企業(yè)自身信息安全體系進(jìn)行梳理，摸清企業(yè)信息安全的薄弱環(huán)節(jié)，做好安全風(fēng)險(xiǎn)的評(píng)估，通過(guò)評(píng)估制定出合理完善的整體防護(hù)安全策略。建立標(biāo)準(zhǔn)體系，我國(guó)一直重視信息安全體系的標(biāo)準(zhǔn)工作，也推出了一系列相關(guān)政策和標(biāo)準(zhǔn)，企業(yè)可以參照相關(guān)標(biāo)準(zhǔn)，建立完整的信息安全管理制度，使企業(yè)有章可依。同時(shí)，在日常工作中要明確各風(fēng)險(xiǎn)點(diǎn)的負(fù)責(zé)人，責(zé)任劃分明確。

第4篇：企業(yè)信息安全評(píng)估范文

當(dāng)今是一個(gè)網(wǎng)絡(luò)時(shí)代，也是一個(gè)科技化快速高速發(fā)展的時(shí)代。特別是對(duì)于電子科技企業(yè)來(lái)說(shuō)，信息就成為了一個(gè)企業(yè)成敗的關(guān)鍵。只有通過(guò)有效信息的掌握，才能讓企業(yè)未來(lái)的道路越走越好。隨著這樣的趨勢(shì)，企業(yè)信息化的進(jìn)程也在不斷的發(fā)展，信息不僅是在一定程度上掌握了企業(yè)未來(lái)的命運(yùn)，同時(shí)對(duì)于企業(yè)管理水平的提高也起到了非常重要的作用。有一些企業(yè)的商務(wù)活動(dòng)基本上都是通過(guò)電子商務(wù)的形式來(lái)完成的，還有一些生產(chǎn)運(yùn)作、運(yùn)輸以及管理都離不開(kāi)信息化的建設(shè)。還有一些電子科技企業(yè)為了企業(yè)未來(lái)的發(fā)展，要進(jìn)行企業(yè)形象的宣傳，產(chǎn)品以及服務(wù)信息很大程度上都要依賴于信息化的建設(shè)。如今，信息化的時(shí)代已經(jīng)到來(lái)，信息化的建設(shè)對(duì)于電子科技企業(yè)來(lái)說(shuō)具有至關(guān)重要的作用，因此電子科技企業(yè)應(yīng)該加快信息化建設(shè)的步伐，這樣才能促進(jìn)電子科技企業(yè)進(jìn)一步的發(fā)展。

2電子科技企業(yè)安全技術(shù)的闡述

2.1電子信息的加密技術(shù)

所謂電子信息的加密技術(shù)也就是對(duì)于所傳送的電子信息能夠起到一定的保密作用，也能夠使信息、數(shù)據(jù)的傳遞變得更加安全和完整。電子信息的加密技術(shù)是保障電子科技企業(yè)信息安全的重要保證。加密技術(shù)也主要分為對(duì)稱以及非對(duì)稱兩類，對(duì)稱的加密技術(shù)一般都是通過(guò)序列密碼或是分組機(jī)密的方式來(lái)實(shí)現(xiàn)的。這其中還包括了明文、密鑰、加密算法以及解密算法五個(gè)基本的組成部分。而非對(duì)稱加密與對(duì)稱加密也存在一定的差異，非對(duì)稱加密必須要具備公開(kāi)密鑰和私有密鑰兩個(gè)密鑰，同時(shí)，這兩種密鑰只有配對(duì)使用，這樣才能解密。因此加密技術(shù)對(duì)于電子信息的安全具有很大的保障。如果在發(fā)送電子信息的時(shí)候，發(fā)送人是使用加密技術(shù)來(lái)發(fā)送郵件的，那么有人竊取信息的時(shí)候，也只能夠得到密文，不能得到具體的信息。這樣就大大加強(qiáng)了信息傳送的安全性。加快推進(jìn)國(guó)內(nèi)關(guān)鍵行業(yè)領(lǐng)域信息系統(tǒng)的安全評(píng)估測(cè)試。在安全評(píng)估方面，主要針對(duì)主機(jī)安全保密檢查與信息監(jiān)管，采取文件內(nèi)容檢索、惡意代碼檢查、數(shù)據(jù)恢復(fù)技術(shù)、網(wǎng)絡(luò)漏洞掃描、互聯(lián)網(wǎng)網(wǎng)站檢測(cè)、語(yǔ)意分析等技術(shù)，評(píng)估分析重要信息是否發(fā)生泄漏，并找出泄漏的原因和渠道。

2.2防火墻技術(shù)

隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，雖然對(duì)于信息安全問(wèn)題已經(jīng)不斷的得到加強(qiáng)，但是一些信息的不安全因素也在逐級(jí)的提高。有一些黑客或者是病毒木馬也在不斷的入侵，而這些不安全的因素會(huì)極大的威脅到電子科技企業(yè)信息的安全。而針對(duì)這種情況，一種比較有效的防護(hù)措施就是防火墻技術(shù)的使用。這種技術(shù)可以有效的防止黑客的入侵以及電腦中的信息被篡改等情況的發(fā)生。這樣就能夠有效的保障電子科技企業(yè)信息的安全。加強(qiáng)企業(yè)信息基礎(chǔ)設(shè)施和重要信息系統(tǒng)建設(shè)，建設(shè)面向企業(yè)的信息安全專業(yè)服務(wù)平臺(tái)。重點(diǎn)開(kāi)展等級(jí)保護(hù)設(shè)計(jì)咨詢、風(fēng)險(xiǎn)評(píng)估、安全咨詢、安全測(cè)評(píng)、快速預(yù)警響應(yīng)、第三方資源共享的容災(zāi)備份、標(biāo)準(zhǔn)驗(yàn)證等服務(wù)；建設(shè)企業(yè)信息安全數(shù)據(jù)庫(kù)，為廣大企業(yè)提供快速、高效的信息安全咨詢、預(yù)警、應(yīng)急處理等服務(wù)，實(shí)現(xiàn)企業(yè)信息安全公共資源的共享共用，提高信息安全保障能力。

3解決電子科技企業(yè)信息安全問(wèn)題的方法

3.1構(gòu)建電子科技企業(yè)信息安全的管理體系

如果要想有效的保障電子科技企業(yè)的信息安全，除了要不斷的提高安全技術(shù)水平，還要建立起一套比較完善的信息安全管理體系。這樣才能使整個(gè)信息安全工作更加有條不紊的進(jìn)行。在很多電子科技企業(yè)當(dāng)中，最初所建立的相關(guān)信息制度在很大程度上都制約著信息系統(tǒng)的安全性。如果一旦安全管理制度出現(xiàn)了問(wèn)題，那么一系列的安全技術(shù)都無(wú)法發(fā)揮出來(lái)。很多信息安全工作也無(wú)法正常進(jìn)行下去。因此，嚴(yán)格的信息安全管理體系對(duì)于信息安全的保障具有十分重要的作用。只有當(dāng)信息安全管理形成了一個(gè)完善的體系，那么信息安全工作才能夠更加順利的進(jìn)行，同時(shí)也能夠大大的提升信息安全的系數(shù)。

3.2利用電子科技企業(yè)自身的網(wǎng)絡(luò)條件來(lái)提供

信息安全服務(wù)一般來(lái)說(shuō)，電子科技企業(yè)都擁有自己的局域網(wǎng)，很多企業(yè)也可以通過(guò)局域網(wǎng)來(lái)相互連通。因此，電子科技企業(yè)應(yīng)該充分的利用這一特點(diǎn)為自身的企業(yè)提供良好地信息安全服務(wù)。通過(guò)局域網(wǎng)的連通，不僅能夠在這個(gè)平臺(tái)上及時(shí)的公布一些安全公告以及安全法規(guī)，同時(shí)還可以進(jìn)行一些安全軟件的下載，為員工提供一些關(guān)于信息安全的培訓(xùn)。這樣不僅能夠?yàn)槠髽I(yè)之間的員工提供一個(gè)安全的互相交流的平臺(tái)，同時(shí)還能夠很好的保障企業(yè)信息安全。針對(duì)企業(yè)主機(jī)安全保密檢查與信息監(jiān)管，采取文件內(nèi)容檢索、惡意代碼檢查、數(shù)據(jù)恢復(fù)技術(shù)、網(wǎng)絡(luò)漏洞掃描、互聯(lián)網(wǎng)網(wǎng)站檢測(cè)、語(yǔ)意分析等技術(shù)，評(píng)估分析重要信息是否發(fā)生泄漏，并找出泄漏的原因和渠道。

3.3定期對(duì)信息安全防護(hù)軟件進(jìn)行及時(shí)的更新

第5篇：企業(yè)信息安全評(píng)估范文

關(guān)鍵詞：企業(yè)信息安全；信息安全體系；IT技術(shù)

中圖分類號(hào)：F840文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-2374（2009）05-0072-02

當(dāng)前IT已成為企業(yè)業(yè)務(wù)發(fā)展和管理不可或缺的組成部分，其作用和影響力已從單一的業(yè)務(wù)部門擴(kuò)散到企業(yè)與組織的每一個(gè)領(lǐng)域。在IT系統(tǒng)給企業(yè)帶來(lái)活力、利潤(rùn)和競(jìng)爭(zhēng)力的同時(shí)，也給企業(yè)增加了風(fēng)險(xiǎn)。因此如何充分利用IT系統(tǒng)獲得企業(yè)價(jià)值的最大化，并且最大限度地降低利用IT技術(shù)而帶來(lái)的風(fēng)險(xiǎn)，成為每個(gè)企業(yè)都必須要真接面對(duì)的問(wèn)題。本文從企業(yè)信息安全的需求為出發(fā)點(diǎn)，構(gòu)建以管理、技術(shù)和人員三者有機(jī)結(jié)合的立體的企業(yè)信息安全管理體系，最終實(shí)現(xiàn)企業(yè)安全建設(shè)的最終目標(biāo)。

一、信息安全管理體系

從企業(yè)的內(nèi)部分析，搭建一套完整的安全架構(gòu)首先要做的就是根據(jù)企業(yè)能夠承受的風(fēng)險(xiǎn)水平編寫(xiě)企業(yè)安全規(guī)范。編寫(xiě)企業(yè)的安全規(guī)范首先要遵循BS 7799-2信息安全管理體系的標(biāo)準(zhǔn)，標(biāo)準(zhǔn)要求組織通過(guò)確定信息安全管理體系范圍、制定信息安全方針、明確管理職責(zé)、以風(fēng)險(xiǎn)評(píng)估為基礎(chǔ)選擇控制目標(biāo)與控制方式等活動(dòng)建立信息安全管理體系；體系一旦建立組織應(yīng)按體系規(guī)定的要求進(jìn)行運(yùn)作，保持體系運(yùn)作的有效性；信息安全管理體系應(yīng)形成一定的文件，即組織應(yīng)建立并保持一個(gè)文件化的信息安全管理體系，其中應(yīng)闡述被保護(hù)的資產(chǎn)、組織風(fēng)險(xiǎn)管理的方法、控制目標(biāo)及控制方式和需要的保證程度。

BS 7799-2：2002所采用的過(guò)程模式如：“計(jì)劃－實(shí)施－檢查－措施”四個(gè)步驟，可簡(jiǎn)單描述如下：

計(jì)劃：依照組織整個(gè)方針和目標(biāo)，建立與控制風(fēng)險(xiǎn)、提高信息安全有關(guān)的安全方針、目標(biāo)、指標(biāo)、過(guò)程和程序。

實(shí)施：實(shí)施和運(yùn)作方針（過(guò)程和程序）。

檢查：依據(jù)方針、目標(biāo)和實(shí)際經(jīng)驗(yàn)測(cè)量，評(píng)估過(guò)程業(yè)績(jī)，并向決策者報(bào)告結(jié)果。

措施：采取糾正和預(yù)防措施進(jìn)一步提高過(guò)程業(yè)績(jī)。

以上四個(gè)步驟成為一個(gè)閉環(huán)，通過(guò)這個(gè)環(huán)的不斷運(yùn)轉(zhuǎn)，使信息安全管理體系得到持續(xù)改進(jìn)，使信息安全績(jī)效（Performance）螺旋上升。

二、企業(yè)信息安全體系架構(gòu)

根據(jù)BS 7799-2信息安全管理體系的標(biāo)準(zhǔn)，不同的企業(yè)對(duì)信息的安全需求不同，因此每個(gè)企業(yè)都要制定切實(shí)可行的信息安全架構(gòu)，不是照搬照抄其他企業(yè)的模式，或是把各種安全產(chǎn)品進(jìn)行堆砌，說(shuō)到底企業(yè)的信息安全問(wèn)題不只是技術(shù)上的問(wèn)題，它是一個(gè)極其復(fù)雜的系統(tǒng)工程。要實(shí)施一個(gè)完整信息安全管理體系，至少應(yīng)包括三類措施：一是社會(huì)的法律政策、企業(yè)的規(guī)章制度以及信息安全教育等外部軟環(huán)境；二是信息安全的技術(shù)措施，如防火墻技術(shù)、網(wǎng)絡(luò)防毒、信息加密存儲(chǔ)通信、身份認(rèn)證、授權(quán)等；三是審計(jì)和管理措施，該方面措施同時(shí)包含了技術(shù)與社會(huì)措施。這些措施應(yīng)該均衡考慮企業(yè)在保密性（C）、完整性（I）和可用性（A）三方面的安全需求，并且從應(yīng)用安全、數(shù)據(jù)安全、主機(jī)安全、網(wǎng)絡(luò)安全、桌面安全和物理安全等六大安全領(lǐng)域全面系統(tǒng)地實(shí)現(xiàn)企業(yè)的這些安全需求，從而構(gòu)建安全技術(shù)、管理和人員三個(gè)方面有機(jī)結(jié)合的企業(yè)信息安全保障體系如圖1所示：

該模型是一種從企業(yè)信息安全的需求（保密性、完整性、可用性）為出發(fā)點(diǎn)，以應(yīng)用安全、數(shù)據(jù)安全、主機(jī)安全、網(wǎng)絡(luò)安全、桌面安全、物理安全為關(guān)注重點(diǎn)，層層剖析全面深入地挖掘企業(yè)的信息安全需求，構(gòu)建以管理、技術(shù)和人員三者有機(jī)結(jié)合的立體的企業(yè)信息安全保障體系。

這種企業(yè)信息安全管理架構(gòu)的規(guī)劃融合了管理和技術(shù)為核心的全面分析方法，以安全需求為焦點(diǎn)，從管理現(xiàn)狀、技術(shù)現(xiàn)狀和人員狀況三個(gè)維度，綜合采用調(diào)查問(wèn)卷、人員訪談、現(xiàn)場(chǎng)察看、資料分析、技術(shù)檢測(cè)等多種手段，全面深入地挖掘需求。在明確需求的前提下，還要借鑒同類企業(yè)成功經(jīng)驗(yàn)，再規(guī)劃出符合企業(yè)實(shí)情的信息安全保障體系。

當(dāng)然該安全體系架構(gòu)的具體實(shí)施還要綜合考慮如下問(wèn)題：成長(zhǎng)型企業(yè)一方面要節(jié)約成本，一方面要把安全風(fēng)險(xiǎn)降到最低。從這兩個(gè)出發(fā)點(diǎn)出發(fā)才能夠建立適合成長(zhǎng)型企業(yè)的信息安全體系；計(jì)劃階段要評(píng)估自己的信息資產(chǎn)，自己的信息資產(chǎn)的價(jià)值有多大，現(xiàn)有的安全手段是什么，根據(jù)評(píng)估結(jié)果確立安全戰(zhàn)略；開(kāi)始建立和實(shí)施自己的信息安全體系，擬定自己的戰(zhàn)略流程；對(duì)員工和合作伙伴的培訓(xùn)，建立信息監(jiān)測(cè)和安全的手段。

三、實(shí)施信息安全架構(gòu)的常規(guī)操作

在保證物理安全、桌面安全、網(wǎng)絡(luò)安全、主機(jī)安全的基礎(chǔ)上，信息安全架構(gòu)的常規(guī)操作包括數(shù)據(jù)層保護(hù)、應(yīng)用程序?qū)颖Ｗo(hù)、事件應(yīng)對(duì)檢查和安全操作。

數(shù)據(jù)層保護(hù)包括用EFS對(duì)文件進(jìn)行加密；用訪問(wèn)控制列表限制數(shù)據(jù)；從默認(rèn)位置移動(dòng)文件；創(chuàng)建數(shù)據(jù)備份和恢復(fù)；用Windows Rights Management Services保護(hù)文檔和電子文件等等。

應(yīng)用程序?qū)颖Ｗo(hù)包括只啟動(dòng)必需的服務(wù)和功能；配置應(yīng)用程序安全設(shè)置；安裝應(yīng)用程序的安全更新程序；安裝和更新防病毒軟件；以最低權(quán)限運(yùn)行應(yīng)用程序等等。

事件應(yīng)對(duì)檢查包括確定正在遭受攻擊；確定攻擊類型；發(fā)出有關(guān)攻擊通知；遏制攻擊；采取預(yù)防性措施；將攻擊情況記錄存檔等等。

安全最佳做法包括深層防御；設(shè)計(jì)時(shí)考慮安全；最低權(quán)限；從過(guò)去的錯(cuò)誤中學(xué)習(xí)；維持安全級(jí)別；加強(qiáng)用戶的安全意識(shí)；開(kāi)發(fā)和測(cè)試事件應(yīng)對(duì)計(jì)劃和過(guò)程等等。

四、結(jié)論

綜上所述，企業(yè)要做到以信息為中心的安全，必須做到管理層面、組織層面和操作層面的有機(jī)結(jié)合，這樣才能建立有效的安全體系，從而實(shí)現(xiàn)企業(yè)安全建設(shè)的最終目標(biāo)。

參考文獻(xiàn)

[1]梁永生．電子商務(wù)安全技術(shù)[M]．大連理工大學(xué)出版社，2008，（4）．

[2]Mark Rhodes-Ousley，等．網(wǎng)絡(luò)安全完全手冊(cè)[M]．北京：電子工業(yè)出版社，2005，（10）．

[3]卿斯?jié)h．密碼學(xué)與計(jì)算機(jī)網(wǎng)絡(luò)安全[M]．北京：清華大學(xué)出版社，2001．

第6篇：企業(yè)信息安全評(píng)估范文

    解決信息系統(tǒng)安全要有以下幾點(diǎn)認(rèn)識(shí):要解決信息系統(tǒng)要有統(tǒng)籌全局的觀念。解決信息系統(tǒng)的安全問(wèn)題要樹(shù)立系統(tǒng)觀念,不能光靠一個(gè)面。從系統(tǒng)的角度分析信息系統(tǒng)是由用戶和計(jì)算機(jī)系統(tǒng)兩者組成,這包括人和技術(shù)兩點(diǎn)因素。使用和維護(hù)計(jì)算機(jī)安全信息系統(tǒng)可以根據(jù)信息系統(tǒng)具有動(dòng)態(tài)性和變化性等特點(diǎn)進(jìn)行調(diào)整。信息系統(tǒng)是一項(xiàng)長(zhǎng)期屬于相對(duì)安全的工作,必須制訂長(zhǎng)銷機(jī)制,絕不能以逸待勞。企業(yè)信息系統(tǒng)安全可以采取的策略是采用一套先進(jìn)、科學(xué)及適用的安全技術(shù)系統(tǒng),在對(duì)系統(tǒng)進(jìn)行監(jiān)控和防護(hù),及時(shí)適當(dāng)?shù)姆治鲂畔⑾到y(tǒng)的安全因素,使這套系統(tǒng)具有靈敏性和迅速性等響應(yīng)機(jī)制,配合智能型動(dòng)態(tài)調(diào)整功能體系。需要緊記的是系統(tǒng)安全來(lái)自于風(fēng)險(xiǎn)評(píng)估、安全策略、自我防御、實(shí)時(shí)監(jiān)測(cè)、恢復(fù)數(shù)據(jù)、動(dòng)態(tài)調(diào)整七個(gè)方面。其中,通過(guò)風(fēng)險(xiǎn)評(píng)估可以找出影響信息系統(tǒng)安全存在的技術(shù)和管理等因素產(chǎn)生的問(wèn)題。在經(jīng)過(guò)分析對(duì)即將產(chǎn)生問(wèn)題的信息系統(tǒng)進(jìn)行報(bào)告。

    安全策略體現(xiàn)著系統(tǒng)安全的總體規(guī)劃指導(dǎo)具體措施的進(jìn)行。是保障整個(gè)安全體系運(yùn)行的核心。防御體系根據(jù)系統(tǒng)中出現(xiàn)的問(wèn)題采用相關(guān)的技術(shù)防護(hù)措施,解決各種安全威脅和安全漏洞是保障安全體系的重心。并且通過(guò)監(jiān)測(cè)系統(tǒng)實(shí)時(shí)檢測(cè)運(yùn)行各種情況。在安全防護(hù)機(jī)制下及時(shí)發(fā)現(xiàn)并且制止各種對(duì)系統(tǒng)攻擊的可能性,假設(shè)安全防護(hù)機(jī)制失效必須進(jìn)行應(yīng)急處理,立刻實(shí)現(xiàn)數(shù)據(jù)恢復(fù)。盡量縮小計(jì)算機(jī)系統(tǒng)被攻擊破壞的程度?？梢圆扇∽灾鱾浞?數(shù)據(jù)恢復(fù),確保恢復(fù),快速恢復(fù)等手段。并且分析和審理安全數(shù)據(jù),適時(shí)跟蹤,排查系統(tǒng)有可能出現(xiàn)的違歸行為,檢查企業(yè)信息系統(tǒng)的安全保障體系是否超出違反規(guī)定。

    通過(guò)改善系統(tǒng)性能引入一套先進(jìn)的動(dòng)態(tài)調(diào)整智能反饋機(jī)制,可以促進(jìn)系統(tǒng)自動(dòng)產(chǎn)生安全保護(hù),取得良好的安全防護(hù)效果?？梢詫?duì)一臺(tái)安全體系模型進(jìn)行分析,在管理方面,對(duì)安全策略和風(fēng)險(xiǎn)評(píng)估進(jìn)行測(cè)評(píng),在技術(shù)層面,實(shí)時(shí)監(jiān)測(cè)和數(shù)據(jù)恢復(fù)形成一套防御體系。在制度方面,結(jié)合安全跟蹤進(jìn)行系統(tǒng)排查工作。系統(tǒng)還應(yīng)具備一套完整的完整的動(dòng)態(tài)自主調(diào)整的反饋機(jī)制,促進(jìn)該體系模型更好的與系統(tǒng)動(dòng)態(tài)性能結(jié)合。

    信息安全管理在風(fēng)險(xiǎn)評(píng)估和安全策略中均有體現(xiàn),將這些管理因素應(yīng)用與安全保障體系保護(hù)信息安全系統(tǒng)十分重要。企業(yè)必須設(shè)立專門的信息系統(tǒng)安全管理部門,保障企業(yè)信息系統(tǒng)的安全。由企業(yè)主要領(lǐng)導(dǎo)帶頭,組織信息安全領(lǐng)導(dǎo)小組,專門負(fù)責(zé)企業(yè)的信息安全實(shí)行總體規(guī)劃及管理。在設(shè)立信息主管部門實(shí)施具體的管理步驟。企業(yè)應(yīng)該制訂關(guān)于保證信息系統(tǒng)安全管理的標(biāo)準(zhǔn)。標(biāo)準(zhǔn)中應(yīng)該明確規(guī)定信息系統(tǒng)中各類用戶的職責(zé)和權(quán)限、必須嚴(yán)格遵守操作系統(tǒng)過(guò)程中的規(guī)范、信息安全事件的報(bào)告和處理流程、對(duì)保密信息進(jìn)行嚴(yán)格存儲(chǔ)、系統(tǒng)的帳號(hào)及密碼管理、數(shù)據(jù)庫(kù)中信息管理、中心機(jī)房設(shè)備維護(hù)、檢查與評(píng)估信息安全工作等等信息安全的相關(guān)標(biāo)準(zhǔn)。而且在實(shí)際運(yùn)用過(guò)程中不斷地總結(jié)及完善信息系統(tǒng)安全管理的標(biāo)準(zhǔn)。

    相關(guān)部門應(yīng)該積極開(kāi)展信息風(fēng)險(xiǎn)評(píng)估工作。通過(guò)維護(hù)信息網(wǎng)的網(wǎng)絡(luò)基礎(chǔ)設(shè)施有拓?fù)?、網(wǎng)絡(luò)設(shè)備和安全設(shè)備,對(duì)系統(tǒng)安全定期的進(jìn)行評(píng)估工作,主動(dòng)發(fā)現(xiàn)系統(tǒng)存在的安全問(wèn)題。主要針對(duì)企業(yè)支撐的信息網(wǎng)和應(yīng)用IT系統(tǒng)資產(chǎn)進(jìn)行全方位檢查,對(duì)管理存在的弱點(diǎn)進(jìn)行技術(shù)識(shí)別。對(duì)于企業(yè)的信息安全現(xiàn)狀進(jìn)行全面的評(píng)估,可以制作一張風(fēng)險(xiǎn)視圖表現(xiàn)企業(yè)全面存在的問(wèn)題。為安全建設(shè)提供指導(dǎo)方向和參考價(jià)值。為企業(yè)信息安全建設(shè)打下堅(jiān)實(shí)的基礎(chǔ)。

    最后,加強(qiáng)信息系統(tǒng)的運(yùn)行管理?？梢酝ㄟ^(guò)以下措施進(jìn)行:規(guī)范系統(tǒng)電子臺(tái)帳、設(shè)備的軟件及硬件配置管理、建立完善的設(shè)備以及相關(guān)的技術(shù)文檔。系統(tǒng)日常各項(xiàng)工作進(jìn)行閉環(huán)管理,系統(tǒng)安裝、設(shè)備運(yùn)營(yíng)管理等。還要對(duì)用戶工作進(jìn)行規(guī)范管理,分配足夠的資源和應(yīng)用權(quán)限。防御體系、實(shí)時(shí)檢測(cè)和數(shù)據(jù)恢復(fù)三方面都體現(xiàn)了技術(shù)因素,信息安全管理系統(tǒng)技術(shù)應(yīng)用于安全保障體系中。在建設(shè)和維護(hù)信息安全保障體系過(guò)程中,需要多方面,多角度的進(jìn)行綜合考慮。采用分步實(shí)施,逐步實(shí)現(xiàn)的手法。在信息安全方面采取必要的技術(shù)手段,加強(qiáng)系統(tǒng)采取冗余的配置,提高系統(tǒng)的安全性。

    對(duì)中心數(shù)據(jù)庫(kù)系統(tǒng)、核心交換機(jī)、數(shù)據(jù)中心的存儲(chǔ)系統(tǒng)、關(guān)鍵應(yīng)用系統(tǒng)服務(wù)器等。為了避免重要系統(tǒng)的單點(diǎn)故障可以采取雙機(jī)甚至群集的配置。另外,加強(qiáng)對(duì)網(wǎng)絡(luò)系統(tǒng)的管理。企業(yè)信息系統(tǒng)安全的核心內(nèi)容之一是網(wǎng)絡(luò)系統(tǒng)。同樣也是影響系統(tǒng)安全因素最多的環(huán)節(jié)。網(wǎng)絡(luò)系統(tǒng)的不安全給系統(tǒng)安全帶來(lái)風(fēng)險(xiǎn)。接下來(lái)重點(diǎn)談網(wǎng)絡(luò)安全方面需要采取的技術(shù)手段。網(wǎng)絡(luò)安全的最基礎(chǔ)工作,是加強(qiáng)網(wǎng)絡(luò)的接入管理。

    與公用網(wǎng)絡(luò)系統(tǒng)存在區(qū)別的是,企業(yè)在網(wǎng)絡(luò)系統(tǒng)中有專門的網(wǎng)絡(luò),系統(tǒng)只準(zhǔn)許規(guī)定的用戶接入,因此必須實(shí)現(xiàn)管理接入。在實(shí)際操作過(guò)程中,可以采取邊緣認(rèn)證的方式。筆者在實(shí)際工作經(jīng)驗(yàn)總結(jié)出公司的網(wǎng)絡(luò)系統(tǒng)是通過(guò)對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行改造實(shí)現(xiàn)支持802.1X或MAC地址兩種安全認(rèn)證的方式。不斷實(shí)現(xiàn)企業(yè)內(nèi)網(wǎng)絡(luò)系統(tǒng)的安全接入管理。網(wǎng)絡(luò)端口接入網(wǎng)絡(luò)系統(tǒng)時(shí)所有的工作站設(shè)備必須經(jīng)過(guò)安全認(rèn)證,從而保證只有登記的、授權(quán)記錄在冊(cè)的設(shè)備才能介入企業(yè)的網(wǎng)絡(luò)系統(tǒng),從而保證系統(tǒng)安全。根據(jù)物理分布可以利用VLAN技術(shù)及使用情況劃分系統(tǒng)子網(wǎng)。這樣的劃分有以下益處:首先,隔離了網(wǎng)絡(luò)廣播流量,整個(gè)系統(tǒng)避免被人為或者系統(tǒng)故障引起的網(wǎng)絡(luò)風(fēng)暴。其次是提高系統(tǒng)的管理性。通過(guò)劃分子網(wǎng)可以實(shí)現(xiàn)對(duì)不同子網(wǎng)采取不同安全策略,可以將故障縮小到最低范圍。根據(jù)一些應(yīng)用的需要實(shí)現(xiàn)某些應(yīng)用系統(tǒng)中的相對(duì)隔離。

第7篇：企業(yè)信息安全評(píng)估范文

關(guān)鍵詞：企業(yè)管理　企業(yè)信息管理　安全措施

全球經(jīng)濟(jì)一體化趨勢(shì)的不斷增強(qiáng)，使得企業(yè)之間的競(jìng)爭(zhēng)日益激烈，企業(yè)之間的空間也越來(lái)越小，在這種競(jìng)爭(zhēng)形勢(shì)下，企業(yè)的經(jīng)營(yíng)方式和管理方式也隨之發(fā)生了變化。同時(shí)，我們也應(yīng)當(dāng)意識(shí)到，這種個(gè)變革促進(jìn)了企業(yè)的信息化管理的進(jìn)程，同時(shí)也使得企業(yè)與外部信息網(wǎng)絡(luò)的溝通方式得到了拓寬，企業(yè)內(nèi)部的人與人、人與物的溝通方式也得到了優(yōu)化，與此同時(shí)，企業(yè)信息管理的安全問(wèn)題也逐漸受到了越來(lái)越多的重視。

一、企業(yè)信息管理

企業(yè)信息管理指的就是通過(guò)現(xiàn)代化的信息技術(shù)和設(shè)備，以網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)設(shè)備實(shí)現(xiàn)企業(yè)管理的自動(dòng)化，進(jìn)而對(duì)企業(yè)進(jìn)行全方位和多角度的管理，以此來(lái)促進(jìn)企業(yè)物流和能源流的優(yōu)化配置，進(jìn)而通過(guò)企業(yè)資源的開(kāi)發(fā)和信息技術(shù)的有效利用來(lái)提高企業(yè)的管理水平，增強(qiáng)企業(yè)的核心競(jìng)爭(zhēng)力。企業(yè)信息管理的主要內(nèi)容，一般包括企業(yè)未來(lái)的經(jīng)濟(jì)形勢(shì)分析、預(yù)測(cè)資料、資源的可獲量、市場(chǎng)和競(jìng)爭(zhēng)對(duì)手的發(fā)展動(dòng)向，以及政府政策與政治情況的環(huán)境變化等等。企業(yè)信息管理與制訂企業(yè)發(fā)展戰(zhàn)略、制訂規(guī)劃、合理地分配資源是密切相關(guān)的。同時(shí)，企業(yè)的信息管理也應(yīng)當(dāng)包括企業(yè)內(nèi)部的信息資源，如財(cái)務(wù)管理信息、庫(kù)存、產(chǎn)品設(shè)計(jì)、職工檔案管理等多方面的內(nèi)容，并且促進(jìn)企業(yè)的全面發(fā)展。

二、企業(yè)信息安全管理的必要性

企業(yè)信息的存在方式有著多樣性，而進(jìn)行企業(yè)安全信息管理的主要目的，在于保護(hù)企業(yè)的信息安全，保證企業(yè)能夠順利的參與到市場(chǎng)經(jīng)濟(jì)活動(dòng)中，進(jìn)而提高企業(yè)的經(jīng)濟(jì)效益和社會(huì)效益。企業(yè)信息安全管理主要有三個(gè)特點(diǎn)：

1.保密性

企業(yè)安全信息只有被授權(quán)的人才能夠進(jìn)行訪問(wèn)，具有較強(qiáng)的保密性。

2.完整性

信息本身和信息處理方法具有一定的準(zhǔn)確性和完整性，才能夠確保企業(yè)信息管理的有效性。

3.可用性

企業(yè)安全信息具有一定的可用性，需要時(shí)可以通過(guò)授權(quán)用戶實(shí)現(xiàn)對(duì)信息的訪問(wèn)。企業(yè)的安全信息管理能夠通過(guò)有效的控制措施來(lái)實(shí)現(xiàn)，前提是充分認(rèn)識(shí)到企業(yè)信息安全管理的必要性。第一，企業(yè)管理的信息具有很強(qiáng)的保密性和完整性的特點(diǎn)，因此其對(duì)于企業(yè)的資金流動(dòng)、企業(yè)的綜合競(jìng)爭(zhēng)力等多方面都有著重要的影響，同時(shí)對(duì)于企業(yè)的商業(yè)形象與合法經(jīng)營(yíng)也至關(guān)重要，因此加強(qiáng)企業(yè)信息安全管理是必要的。第二，由于網(wǎng)絡(luò)自身所具有的開(kāi)放性特性，決定了企業(yè)信息管理也面臨著來(lái)自各方面的安全威脅，比如計(jì)算機(jī)病毒、黑客等，以及計(jì)算機(jī)詐騙、泄密等問(wèn)題，也說(shuō)明了加強(qiáng)企業(yè)信息安全管理勢(shì)在必行。第三，企業(yè)對(duì)于信息系統(tǒng)產(chǎn)生的依賴也從另一方面暴露出了信息管理系統(tǒng)的脆弱，公共網(wǎng)絡(luò)與私人網(wǎng)絡(luò)的連接增強(qiáng)了信息的控制難度，使得信息在分散化的管理模式下，集中、專業(yè)控制的有效性大大的減弱。另外，由于很多信息管理系統(tǒng)設(shè)計(jì)的缺陷，其自身就存在著不合理之處，這對(duì)于信息安全管理也帶來(lái)了一定的難度?；诖?，對(duì)于企業(yè)信息管理的安全性也成為了當(dāng)前企業(yè)管理面臨的一個(gè)重大課題。

三、企業(yè)信息管理的安全防范措施

1.不斷完善的信息管理系統(tǒng)

信息管理系統(tǒng)的投入和使用，是建立在充分的實(shí)踐經(jīng)驗(yàn)的基礎(chǔ)上，通過(guò)一段時(shí)間的運(yùn)行和觀察，才能夠投入使用。在不同的部門進(jìn)行信息系統(tǒng)的引入時(shí)，應(yīng)當(dāng)按照部門的實(shí)際情況，通過(guò)多方引進(jìn)，使用統(tǒng)一的信息管理系統(tǒng)。對(duì)于信息安全來(lái)說(shuō)，首先要解決的就是系統(tǒng)是否能夠通過(guò)安全驗(yàn)證對(duì)用戶進(jìn)行有效的管理，并且賦予不同等級(jí)的用戶不同的使用權(quán)限，這樣則能夠有效的防止無(wú)權(quán)訪問(wèn)信息的用戶對(duì)核心區(qū)域的訪問(wèn)，保證信息不會(huì)被盜用。

2.有效的設(shè)備管理

對(duì)于管理系統(tǒng)中使用的設(shè)備品牌、機(jī)型、內(nèi)部配置以及使用時(shí)間等信息都要進(jìn)行專門的記錄，通過(guò)這些記錄，定期對(duì)設(shè)備進(jìn)行維護(hù)，同時(shí)也能夠通過(guò)這些信息判斷出信息的使用效率以及運(yùn)行情況，對(duì)于設(shè)備的損壞或者是丟失情況都能夠及時(shí)的了解。

3.加強(qiáng)對(duì)人員的監(jiān)督與管理

人是設(shè)備的主要操作者，因此對(duì)于信息的安全管理，就需要加強(qiáng)對(duì)人的管理，這就需要操作人員具有足夠的安全意識(shí)，對(duì)于每一位操作人員都應(yīng)當(dāng)進(jìn)行相關(guān)的培訓(xùn)，對(duì)于唯一的用戶名和密碼等信息要進(jìn)行妥善額保管，同時(shí)讓操作人員了解到泄密會(huì)導(dǎo)致的嚴(yán)重后果，增強(qiáng)責(zé)任意識(shí)。同時(shí)，要加強(qiáng)對(duì)各種票據(jù)的管理，對(duì)于票據(jù)的領(lǐng)用，相關(guān)人員要做好登記，同時(shí)要保留相吻合的票據(jù)號(hào)碼，用來(lái)存檔。通過(guò)不斷的加強(qiáng)過(guò)程管理，通過(guò)對(duì)每個(gè)細(xì)節(jié)的嚴(yán)密審查，能夠有效的減少渾水摸魚(yú)的現(xiàn)象，同時(shí)通過(guò)科學(xué)的評(píng)價(jià)機(jī)制和激勵(lì)機(jī)制，刺激人員工作的積極性，加強(qiáng)自身的責(zé)任意識(shí)。

4.多方研發(fā)和推廣網(wǎng)絡(luò)信息處理系統(tǒng)

網(wǎng)絡(luò)信息處理系統(tǒng)是在網(wǎng)絡(luò)計(jì)算技術(shù)的基礎(chǔ)上， 結(jié)合實(shí)現(xiàn)電子商務(wù)管理為方向。在可以提供互聯(lián)網(wǎng)環(huán)境下的管理方式、信息處理模式和別的各種功能的信息處理系統(tǒng)。網(wǎng)絡(luò)管理作為INTERNET與電子商務(wù)環(huán)境下信息處理系統(tǒng)的主流發(fā)展方向。跟傳統(tǒng)信息處理系統(tǒng)相比， 網(wǎng)絡(luò)系統(tǒng)還要有著各類輔助作用。

四、結(jié)束語(yǔ)

在現(xiàn)代市場(chǎng)經(jīng)濟(jì)條件下，企業(yè)能夠?qū)π畔?shí)施有效的安全管理，對(duì)于企業(yè)的綜合競(jìng)爭(zhēng)力，有著重要的影響。而企業(yè)信息管理的安全性，主要與企業(yè)的信息安全管理體制是否完善、是否具有與企業(yè)文化相符合的信息安全管理辦法以及科學(xué)的評(píng)估方法等因素有著直接的關(guān)系，因此，企業(yè)應(yīng)當(dāng)不斷的加強(qiáng)對(duì)信息的安全管理，不斷提高企業(yè)的管理效率，以此促進(jìn)企業(yè)實(shí)現(xiàn)持續(xù)、穩(wěn)定的發(fā)展。

參考文獻(xiàn)

[1]黃國(guó)忠.企業(yè)信息安全風(fēng)險(xiǎn)自評(píng)估模型研究[D].浙江大學(xué)管理學(xué)院 浙江大學(xué)：管理科學(xué)與工程,2008.

[2]陳麗霞,楊超.基于Web的企業(yè)信息管理系統(tǒng)安全方案[J].電腦知識(shí)與技術(shù),2008(25).

[3]翟俊.企業(yè)信息管理系統(tǒng)建設(shè)的現(xiàn)存問(wèn)題與對(duì)策簡(jiǎn)析[J].計(jì)算機(jī)光盤軟件與應(yīng)用,2011(17).

第8篇：企業(yè)信息安全評(píng)估范文

(一)信息安全組織臨時(shí)化

通常,制造型企業(yè)只有在發(fā)生了信息泄露、病毒攻擊、系統(tǒng)破壞等信息安全事件時(shí),才會(huì)臨時(shí)從信息技術(shù)部和業(yè)務(wù)部門抽調(diào)人手處理和解決信息安全事件.出現(xiàn)新的信息安全要求時(shí),才會(huì)臨時(shí)組建項(xiàng)目小組,根據(jù)新的信息安全要求制定解決方案并實(shí)施計(jì)劃,項(xiàng)目完成后,臨時(shí)小組就會(huì)解散,沒(méi)有人會(huì)繼續(xù)跟進(jìn)和執(zhí)行解決方案.由于沒(méi)有定期的信息安全評(píng)估,安全計(jì)劃不斷地重復(fù)開(kāi)始和結(jié)束,帶來(lái)大量的人財(cái)物重復(fù)投入,這將導(dǎo)致安全計(jì)劃成本不斷增加,企業(yè)的工作效率不斷降低,信息安全防護(hù)也未得到有效提升.

(二)員工上網(wǎng)無(wú)限制

雖然制造型企業(yè)為員工上網(wǎng)提供了用戶名及密碼,并且對(duì)其登錄的網(wǎng)站進(jìn)行了監(jiān)測(cè),但是員工在工作時(shí)間還是可以無(wú)設(shè)防地利用外網(wǎng)進(jìn)行網(wǎng)頁(yè)游覽、網(wǎng)絡(luò)社交等行為,并且使用一些網(wǎng)站的免費(fèi)郵箱隨意地接收和發(fā)送電子郵件,這些給黑客、病毒、釣魚(yú)軟件等創(chuàng)造了對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)攻擊的機(jī)會(huì).于是,員工在不了解原因的情況下,使得企業(yè)的信息被泄露或者內(nèi)部網(wǎng)絡(luò)癱瘓,從而影響企業(yè)的正常工作,造成企業(yè)資產(chǎn)的損失.

(三)個(gè)人移動(dòng)設(shè)備(BYOD)使用泛濫

在制造型企業(yè)的辦公場(chǎng)合,員工會(huì)攜帶個(gè)人移動(dòng)設(shè)備(BYOD)如筆記本電腦、平板電腦、智能手機(jī)、移動(dòng)硬盤等進(jìn)行辦公.企業(yè)員工可以較為隨意地使用這些移動(dòng)存儲(chǔ)設(shè)備對(duì)內(nèi)部文件進(jìn)行拷貝,并且可以使用移動(dòng)設(shè)備接入企業(yè)內(nèi)網(wǎng)的無(wú)線WiGFi,并擁有一定程度的內(nèi)網(wǎng)數(shù)據(jù)讀取權(quán)限,這樣做雖然節(jié)約了企業(yè)的辦公成本,提高了辦公的效率,但是也增加了企業(yè)內(nèi)網(wǎng)病毒感染及遭受黑客惡意入侵的風(fēng)險(xiǎn).

(四)信息安全防護(hù)水平有限

出于性能、技術(shù)等因素的考慮,加之國(guó)內(nèi)自主研發(fā)的信息安全產(chǎn)品較少,目前進(jìn)口的信息安全產(chǎn)品受到許多制造型企業(yè)的廣泛采用.盡管這些企業(yè)的信息安全需求以此得到了滿足,但近幾年來(lái),進(jìn)口產(chǎn)品設(shè)備故障的頻繁發(fā)生也對(duì)制造型企業(yè)的業(yè)務(wù)帶來(lái)了不同程度的影響.同時(shí),進(jìn)口信息安全產(chǎn)品已經(jīng)占據(jù)了這些企業(yè)信息系統(tǒng)的關(guān)鍵節(jié)點(diǎn),這使得企業(yè)的商業(yè)機(jī)密時(shí)刻處于高危狀態(tài).不僅如此,部分制造型企業(yè)仍舊停留在使用免費(fèi)的個(gè)人版殺毒軟件階段,而這些軟件不僅無(wú)法解決病毒交叉感染的問(wèn)題,也沒(méi)有統(tǒng)一的管理平臺(tái)對(duì)企業(yè)內(nèi)網(wǎng)的安全系統(tǒng)進(jìn)行統(tǒng)一的升級(jí)與維護(hù).另外,信息安全產(chǎn)品在企業(yè)內(nèi)的無(wú)序堆疊不僅使得各安全產(chǎn)品存在兼容性問(wèn)題,同時(shí)也使得各產(chǎn)品廠商只能提供與自己產(chǎn)品有關(guān)的技術(shù)支持,導(dǎo)致企業(yè)對(duì)問(wèn)題很難進(jìn)行跟蹤和排查.最后,企業(yè)電腦終端上的防毒程序未開(kāi)啟或者未升級(jí)至最新版本,以及系統(tǒng)漏洞修補(bǔ)的不及時(shí)都造成了多病毒大面積入侵企業(yè)內(nèi)網(wǎng).

(五)信息安全事件處理不及時(shí)

制造型企業(yè)在發(fā)生信息安全事件時(shí),即使有相關(guān)的信息安全管理產(chǎn)品,但無(wú)法迅速定位安全事件,更無(wú)法快速進(jìn)行安全事件響應(yīng)處理,常處于混亂、無(wú)序的運(yùn)維管理狀態(tài).由于企業(yè)的安全管理人員無(wú)法全面了解整個(gè)企業(yè)網(wǎng)絡(luò)中正在發(fā)生的內(nèi)部越權(quán)訪問(wèn)和外部攻擊,出現(xiàn)問(wèn)題時(shí),他們多表現(xiàn)得無(wú)從下手或者手忙腳亂.而且,企業(yè)各部門各自為政,對(duì)發(fā)生信息安全事件無(wú)法進(jìn)行統(tǒng)一規(guī)范的快速處理.

二、制造型企業(yè)信息安全薄弱的原因

(一)員工信息安全意識(shí)淡薄

制造型企業(yè)員工信息安全意識(shí)比較淡薄,主要表現(xiàn)為企業(yè)管理層沒(méi)有充分認(rèn)識(shí)到信息安全的重要性,沒(méi)有將信息安全管理工作與企業(yè)生產(chǎn)安全管理工作放在同等重要的高度來(lái)對(duì)待,更沒(méi)有把它作為日常管理工作的一部分.管理層之所以沒(méi)有信息安全意識(shí)主要是因?yàn)樾畔踩粫?huì)直接為企業(yè)帶來(lái)經(jīng)濟(jì)效益,反而需要投入大量的時(shí)間和資源,尤其是對(duì)于受部門業(yè)績(jī)壓力和資源限制的業(yè)務(wù)部門來(lái)說(shuō),他們不愿意把時(shí)間和資源放在信息安全防護(hù)工作上,并且他們還認(rèn)為不采取安全防護(hù)措施不一定會(huì)造成損失.普通員工則表現(xiàn)在他們不了解什么信息安全,不知道遵守和執(zhí)行信息安全制度對(duì)自己及企業(yè)帶來(lái)的影響,缺少必要的信息安全教育與培訓(xùn),有意或無(wú)意地導(dǎo)致信息安全事件的發(fā)生.

(二)信息安全技術(shù)體系不完善

信息安全防護(hù)水平受到限制除了受上述因素影響外,還有就是沒(méi)有完善的物理安全、運(yùn)行安全和數(shù)據(jù)安全相統(tǒng)一的信息安全技術(shù)體系,具體體現(xiàn)在企業(yè)使用的軟件設(shè)計(jì)存在缺陷或者技術(shù)漏洞、殺毒軟件不及時(shí)更新;信息系統(tǒng)設(shè)計(jì)沒(méi)有以風(fēng)險(xiǎn)評(píng)估為基礎(chǔ)、業(yè)務(wù)流程描述錯(cuò)誤或漏洞、數(shù)據(jù)訪問(wèn)權(quán)限設(shè)置不清晰、關(guān)鍵數(shù)據(jù)沒(méi)有備份等因素;物理安全邊界不明確、設(shè)備或存儲(chǔ)介質(zhì)缺乏安全措施、電纜損壞、不可抗力的自然災(zāi)害等.

(三)信息安全事件應(yīng)急響應(yīng)機(jī)制缺失

信息安全事件處理不及時(shí)很大程度上是因?yàn)闆](méi)有建立信息安全事件應(yīng)急響應(yīng)機(jī)制.制造型企業(yè)沒(méi)有對(duì)信息安全事件進(jìn)行分級(jí)響應(yīng)與處置,也沒(méi)有結(jié)合企業(yè)的實(shí)際情況通過(guò)預(yù)測(cè)、評(píng)估和分析安全事件對(duì)企業(yè)造成的后果程度進(jìn)行等級(jí)劃分,并針對(duì)不同的安全事件制定相應(yīng)的應(yīng)急預(yù)案.同時(shí),大部分制造型企業(yè)在處理信息安全事件時(shí)更多依靠的是人的經(jīng)驗(yàn)和責(zé)任心,缺少標(biāo)準(zhǔn)化的信息安全事件處理流程,以及必要的審核和工具支撐.

三、改進(jìn)制造型企業(yè)信息安全的對(duì)策

通過(guò)上述分析可知,信息安全問(wèn)題不僅出現(xiàn)在技術(shù)方面,還更多地出現(xiàn)在管理方面.因此,為了保障企業(yè)的業(yè)務(wù)持續(xù)運(yùn)行,加強(qiáng)企業(yè)的股東、客戶以及服務(wù)提供商對(duì)企業(yè)信息安全的信任,增強(qiáng)企業(yè)的核心競(jìng)爭(zhēng)能力,制造型企業(yè)可以將管理、技術(shù)和運(yùn)維三方面有效地結(jié)合起來(lái),促進(jìn)企業(yè)的可持續(xù)發(fā)展.

(一)建立健全的信息安全組織層級(jí)結(jié)構(gòu)

企業(yè)信息安全組織架構(gòu)的建立是圍繞企業(yè)信息安全管理的戰(zhàn)略目標(biāo),對(duì)企業(yè)的信息資源、人力資源、安全技術(shù)產(chǎn)品等進(jìn)行合理安排和配置,構(gòu)成相互協(xié)作的有機(jī)整體,使企業(yè)的信息安全活動(dòng)協(xié)調(diào)有效地運(yùn)行.制造型企業(yè)通過(guò)建立多層次、跨部門的信息安全決策委員會(huì)、信息安全工作部、信息安全執(zhí)行部的層級(jí)結(jié)構(gòu),不僅能在企業(yè)中形成一張網(wǎng),覆蓋企業(yè)的各個(gè)部門,有利于信息安全措施的實(shí)施和針對(duì)信息安全事件的快速響應(yīng),而且還能為后續(xù)建立信息安全管理體系提供組織上的保證.信息安全決策委員會(huì)主要負(fù)責(zé)制定信息安全制度和策略、明確各部門信息安全職責(zé)、協(xié)調(diào)各部門實(shí)施信息安全控制措施以及信息安全活動(dòng)的實(shí)施等.信息安全工作部由各部門負(fù)責(zé)信息安全管理的工作人員構(gòu)成,實(shí)施決策委員會(huì)制定的信息安全策略、制度和方針,并負(fù)責(zé)各部門的信息安全管理工作.信息安全執(zhí)行部具體有三個(gè)部門,即信息安全規(guī)劃部、信息安全監(jiān)督審計(jì)部、信息安全運(yùn)行保障部,并且由各部門進(jìn)行業(yè)務(wù)支撐。

(二)加強(qiáng)人員教育培訓(xùn)和規(guī)范管理

信息安全最大的威脅不是來(lái)自于企業(yè)外部的攻擊或是企業(yè)信息安全技術(shù)的缺陷,而是企業(yè)人員缺乏信息安全意識(shí).為了能夠有效地提高企業(yè)員工的信息安全意識(shí),企業(yè)需要對(duì)員工進(jìn)行完善的信息安全教育培訓(xùn),這不僅能提高員工的信息安全保護(hù)技能,還能更好地保護(hù)企業(yè)的信息安全.制造型企業(yè)在制定信息安全教育培訓(xùn)內(nèi)容時(shí),可以根據(jù)員工在企業(yè)中所處的職位高低和工作性質(zhì)的不同有針對(duì)性地制定.對(duì)于企業(yè)管理者而言,教育培訓(xùn)以信息安全核心知識(shí)、風(fēng)險(xiǎn)管理、信息安全政策等為主;企業(yè)的信息技術(shù)人員,則是以信息安全技術(shù)教育培訓(xùn)為主;一般員工結(jié)合所在部門的業(yè)務(wù)特點(diǎn)以信息安全意識(shí)培訓(xùn)為主.除了對(duì)企業(yè)的人員進(jìn)行教育培訓(xùn),還需對(duì)其進(jìn)行規(guī)范化管理.對(duì)掌握產(chǎn)品生產(chǎn)、原材料采購(gòu)等核心信息的管理者實(shí)施更加嚴(yán)格的信息安全監(jiān)督管理制度;對(duì)負(fù)責(zé)計(jì)算機(jī)系統(tǒng)及日常維護(hù)的人員界定其工作權(quán)限;規(guī)范化管理員工的上網(wǎng)行為,合理利用網(wǎng)絡(luò)資源,避免人為的網(wǎng)絡(luò)安全隱患.同時(shí)在規(guī)范管理中引入績(jī)效考核機(jī)制,這樣不僅使信息安全管理的指標(biāo)量化,而且,通過(guò)信息安全監(jiān)督審計(jì)工作組對(duì)員工信息安全工作進(jìn)行考核,使員工更加重視企業(yè)信息安全.因此,加強(qiáng)企業(yè)員工的教育培訓(xùn)和規(guī)范化管理,不僅可以營(yíng)造企業(yè)信息安全文化氛圍,還可以約束員工的行為,減少人為因素導(dǎo)致的信息安全事件發(fā)生.

(三)完善信息安全技術(shù)體系

信息安全技術(shù)是企業(yè)信息安全的保障,完善的信息安全技術(shù)體系可以防止由于技術(shù)因素導(dǎo)致的信息安全漏洞,避免給外部攻擊者留下可乘之機(jī),從而減少技術(shù)因素導(dǎo)致的信息安全事件發(fā)生.制造型企業(yè)需從以下六個(gè)方面去建立完善的信息安全技術(shù)體系,并采用“適度防御”的原則,選擇合適的安全技術(shù)與產(chǎn)品,形成企業(yè)適用的安全技術(shù)防線.一是保障并完善數(shù)據(jù)安全,制造型企業(yè)需通過(guò)加密的手段保護(hù)企業(yè)系統(tǒng)中數(shù)據(jù)的機(jī)密性和完整性,從而提高數(shù)據(jù)訪問(wèn)的抗抵賴性,同時(shí)加強(qiáng)數(shù)據(jù)的異地災(zāi)難恢復(fù)機(jī)制,實(shí)現(xiàn)本地?cái)?shù)據(jù)的實(shí)時(shí)遠(yuǎn)程復(fù)制與備份,避免本地系統(tǒng)遭受災(zāi)難性破壞導(dǎo)致企業(yè)系統(tǒng)中數(shù)據(jù)的遺失.二是保障并完善終端安全,制造型企業(yè)除了要采用全面可靠的防病毒體系和防火墻技術(shù)外,還需制定嚴(yán)格的移動(dòng)終端設(shè)備使用制度,一方面是為了避免內(nèi)部員工利用移動(dòng)終端設(shè)備隨意拷貝企業(yè)內(nèi)部文件,導(dǎo)致企業(yè)內(nèi)部信息向外泄露,另一方面是為了防止移動(dòng)終端設(shè)備攜帶的病毒漏過(guò)企業(yè)系統(tǒng)設(shè)置的防火墻而直接在系統(tǒng)內(nèi)部傳播.三是保障和完善應(yīng)用安全,除了提供用戶名和口令外其他身份驗(yàn)證機(jī)制,必要時(shí)還需支持雙因素認(rèn)證和具備登錄控制模塊,同時(shí)在日常工作不受影響的情況下,控制員工訪問(wèn)權(quán)限,減少越權(quán)操作的現(xiàn)象,最大限度地保障個(gè)人系統(tǒng)的安全.四是保障和完善網(wǎng)絡(luò)安全,制造型企業(yè)還需通過(guò)內(nèi)外部署相應(yīng)的網(wǎng)絡(luò)與信息安全設(shè)施使計(jì)算機(jī)設(shè)備的物理管理得到加強(qiáng),并對(duì)入侵檢測(cè)系統(tǒng)和漏洞掃描系統(tǒng)進(jìn)行內(nèi)外部攻擊和誤操作的實(shí)時(shí)保護(hù)的安全設(shè)計(jì),使系統(tǒng)免于網(wǎng)絡(luò)攻擊的同時(shí),也提升了系統(tǒng)管理人員的安全管理水平.五是保障主機(jī)安全,除了采用系統(tǒng)掃描技術(shù)對(duì)操作系統(tǒng)層設(shè)備和系統(tǒng)進(jìn)行智能化檢測(cè)來(lái)幫助網(wǎng)絡(luò)管理人員高效地完成定期檢測(cè)和操作系統(tǒng)安全漏洞修復(fù)的工作,還應(yīng)采用系統(tǒng)實(shí)時(shí)入侵探測(cè)技術(shù)來(lái)監(jiān)控主機(jī)系統(tǒng)事件,檢測(cè)攻擊的可疑特征,并給予響應(yīng)和處理.六是保證物理安全,制造型企業(yè)需要保證機(jī)房與設(shè)施的安全,針對(duì)環(huán)境的物理災(zāi)害、自然災(zāi)害和人為的蓄意破壞采取安全措施,并通過(guò)防盜、防毀、防電磁干擾來(lái)保證設(shè)備的安全.

(四)建立信息安全事件應(yīng)急響應(yīng)機(jī)制

第9篇：企業(yè)信息安全評(píng)估范文

【關(guān)鍵詞】企業(yè)信息化；信息安全問(wèn)題；原因；對(duì)策

新時(shí)期下，信息化技術(shù)在各行業(yè)中運(yùn)用日漸深入，給企業(yè)現(xiàn)代化建設(shè)與快速發(fā)展帶來(lái)了無(wú)限動(dòng)力。企業(yè)信息化建設(shè)已成為我國(guó)經(jīng)濟(jì)信息化建設(shè)能否成功的關(guān)鍵所在，也是提升企業(yè)自身市場(chǎng)競(jìng)爭(zhēng)力與企業(yè)升級(jí)進(jìn)步的重要保證和標(biāo)志[1]。但是，企業(yè)信息化建設(shè)過(guò)程中不可避免的出現(xiàn)信息安全問(wèn)題，給企業(yè)正常生產(chǎn)經(jīng)營(yíng)帶來(lái)諸多不利影響。因此，加強(qiáng)企業(yè)信息化建設(shè)中信息安全管理，已成為現(xiàn)代企業(yè)經(jīng)營(yíng)管理的一個(gè)至關(guān)重要的工作。

1企業(yè)信息化概述

所謂的企業(yè)信息化，指的是實(shí)現(xiàn)企業(yè)的資金流、物流、作業(yè)流、信息流的數(shù)字化、網(wǎng)絡(luò)化管理，實(shí)行企業(yè)運(yùn)行的自動(dòng)化和企業(yè)制度的現(xiàn)代化[2]。企業(yè)信息化建設(shè)涉及了企業(yè)生產(chǎn)經(jīng)營(yíng)中的各個(gè)部門，其主要利用現(xiàn)代化信息技術(shù)，通過(guò)完善企業(yè)內(nèi)外網(wǎng)絡(luò)信息系統(tǒng)，實(shí)現(xiàn)對(duì)企業(yè)內(nèi)外知識(shí)與信息資源的開(kāi)發(fā)。可見(jiàn)，建設(shè)企業(yè)信息化體系，不但可以及時(shí)有效的提供各種數(shù)據(jù)信息給企業(yè)決策層，也為企業(yè)未來(lái)規(guī)劃設(shè)計(jì)提供參考依據(jù)，而且還有利于企業(yè)滿足瞬息萬(wàn)變的市場(chǎng)需求，為企業(yè)市場(chǎng)核心競(jìng)爭(zhēng)力的提升帶來(lái)動(dòng)力。

2當(dāng)前企業(yè)信息化建設(shè)中信息安全問(wèn)題

企業(yè)信息化建設(shè)與發(fā)展為企業(yè)持續(xù)、健康、穩(wěn)定發(fā)展發(fā)揮了顯著作用，但同時(shí)也存在著諸多信息安全問(wèn)題，具體分析主要有以下幾方面[3]：（1）當(dāng)前，絕大多數(shù)企業(yè)缺乏完善的安全防御系統(tǒng)，導(dǎo)致企業(yè)內(nèi)部使用的信息系統(tǒng)易遭受外部網(wǎng)絡(luò)系統(tǒng)的攻擊，引發(fā)企業(yè)信息資料被他人截獲、篡改與偽造等問(wèn)題，甚至企業(yè)信息系統(tǒng)中出現(xiàn)通信線路、硬盤設(shè)施以及其他文件系統(tǒng)遭惡意破壞現(xiàn)象，上述問(wèn)題的發(fā)生不但致使企業(yè)信息系統(tǒng)無(wú)法正常運(yùn)行，而且其內(nèi)部機(jī)密信息易發(fā)生泄漏，造成企業(yè)嚴(yán)重的社會(huì)經(jīng)濟(jì)損失。（2）針對(duì)郵件系統(tǒng)攻擊防不甚防。在企業(yè)信息系統(tǒng)中電子郵件具有重要的作用，通過(guò)電子郵件接收與傳送，極大的方便了企業(yè)內(nèi)部間與外部間信息交流與溝通。然而，電子郵件安全問(wèn)題也日益突出，典型的如電子郵件病毒、垃圾郵件、機(jī)密信息泄露以及電子郵件炸彈等，給企業(yè)信息傳輸帶來(lái)了巨大安全隱患。因此，電子郵件安全問(wèn)題不可忽視。（3）漏洞攻擊日益嚴(yán)重。按照漏洞問(wèn)題發(fā)生原因可分為軟件漏洞和協(xié)議漏洞兩種，其中軟件漏洞主要是受外部不法分子攻擊軟件自身存在的漏洞，造成企業(yè)信息泄露等問(wèn)題；而協(xié)議漏洞則主要是由于TCP/IP協(xié)議自身在安全機(jī)制方面存在的諸多漏洞問(wèn)題導(dǎo)致，外部不法人員通過(guò)攻擊TCP/IP協(xié)議漏洞，致使企業(yè)信息系統(tǒng)遭受破壞。目前情況，很多企業(yè)對(duì)自身信息系統(tǒng)缺乏成熟的漏洞檢測(cè)手段和能力，往往事發(fā)后才采取補(bǔ)救措施。（4）是Web服務(wù)安全問(wèn)題突出，根據(jù)Web服務(wù)流程，其發(fā)生安全問(wèn)題的主要組成包括Web服務(wù)端安全問(wèn)題、瀏覽器客戶端安全問(wèn)題兩種。其中，Web服務(wù)端安全問(wèn)題主要是企業(yè)Web主機(jī)遭受外部不法分子侵入，導(dǎo)致企業(yè)保密信息遭竊或者企業(yè)部分信息遭受非法篡改等；瀏覽器客戶端安全問(wèn)題則是企業(yè)瀏覽器客戶端遭外部非法分子侵入，致使部分機(jī)密信息與數(shù)據(jù)遭竊等。

3導(dǎo)致企業(yè)信息化建設(shè)中信息安全問(wèn)題因素

企業(yè)信息化建設(shè)中信息安全問(wèn)題發(fā)生受諸多因素影響，具體分析主要有以下幾方面[4]：（1）目前，絕大多數(shù)企業(yè)在信息化建設(shè)過(guò)程中，對(duì)于信息安全問(wèn)題重視度嚴(yán)重不足。一方面，受傳統(tǒng)經(jīng)營(yíng)觀念影響，企業(yè)管理層偏重于對(duì)企業(yè)生產(chǎn)經(jīng)營(yíng)中的有形資產(chǎn)給予關(guān)注與重視，而忽略了企業(yè)知識(shí)與信息資料等無(wú)形資源，導(dǎo)致在企業(yè)信息安全管理方面各項(xiàng)投入嚴(yán)重不足，進(jìn)而造成信息安全問(wèn)題日益凸顯；另一方面，多數(shù)企業(yè)在面對(duì)信息安全問(wèn)題時(shí)，存在著盲目樂(lè)觀現(xiàn)象，認(rèn)為信息安全問(wèn)題不至于導(dǎo)致企業(yè)正常生產(chǎn)經(jīng)營(yíng)，使得信息安全管理無(wú)法上升至企業(yè)發(fā)展規(guī)劃戰(zhàn)略之中，進(jìn)而造成信息安全問(wèn)題得不到及時(shí)有效解決。（2）由于企業(yè)信息化建設(shè)在我國(guó)尚處于起步階段，各方面配套管理制度不夠完善，特別是缺乏健全的企業(yè)信息安全管理體制。受此影響，企業(yè)信息化建設(shè)中信息安全問(wèn)題一方面無(wú)法得到有效的預(yù)防措施，另一方面是一旦發(fā)生信息安全問(wèn)題，無(wú)法采取及時(shí)有效的補(bǔ)救與解決對(duì)策。同時(shí)，由于缺乏科學(xué)、合理、有效的企業(yè)信息安全防護(hù)策略，使得企業(yè)信息管理人員缺乏必要的安全防護(hù)意識(shí)與業(yè)務(wù)素質(zhì)能力，致使企業(yè)信息安全防護(hù)軟硬件工作質(zhì)量與效率明顯不足。上述兩個(gè)因素，導(dǎo)致企業(yè)無(wú)論是從人員配置，還是資金與技術(shù)投入方面都嚴(yán)重不足，受企業(yè)信息管理人員業(yè)務(wù)素質(zhì)能力不足、信息安全技術(shù)方法落后以及配套的資金缺乏等影響，企業(yè)信息安全防護(hù)的措施、手段偏低，造成企業(yè)信息化建設(shè)存在著嚴(yán)重安全隱患。

4提升企業(yè)信息化建設(shè)中信息安全對(duì)策

針對(duì)當(dāng)前企業(yè)信息化建設(shè)中存在的信息安全問(wèn)題，為加強(qiáng)企業(yè)信息安全管理，提升企業(yè)信息安全保障，可通過(guò)采取以下幾方面對(duì)策，具體有[5]：（1）轉(zhuǎn)變傳統(tǒng)企業(yè)信息化建設(shè)觀念，在企業(yè)內(nèi)部管理層從上至下加強(qiáng)對(duì)企業(yè)信息安全的重視，并樹(shù)立正確的安全意識(shí)。一方面，通過(guò)組織各種信息安全管理培訓(xùn)等，增強(qiáng)全體企業(yè)員工信息安全意識(shí)，確保企業(yè)保密信息不外漏；另一方面，逐步加大企業(yè)信息化建設(shè)中信息安全管理各項(xiàng)資金、技術(shù)、人力投入，并建立科學(xué)、合理、有效的企業(yè)信息安全防護(hù)策略，保障企業(yè)信息系統(tǒng)安全穩(wěn)定。（2）不斷的推進(jìn)網(wǎng)絡(luò)信息技術(shù)的發(fā)展與運(yùn)用，促進(jìn)企業(yè)組織結(jié)構(gòu)網(wǎng)絡(luò)化的實(shí)現(xiàn)，同時(shí)引進(jìn)先進(jìn)的安全防護(hù)技術(shù)，確保企業(yè)信息化系統(tǒng)安全穩(wěn)定運(yùn)行。任何網(wǎng)絡(luò)信息系統(tǒng)都存在著或大或小的安全漏洞問(wèn)題，而保證其不受外部不法分子侵入的一個(gè)關(guān)鍵方法就是安全防護(hù)技術(shù)的運(yùn)用。通過(guò)選用先進(jìn)的安全防護(hù)技術(shù)，可以有效的提高企業(yè)信息系統(tǒng)抵抗外來(lái)攻擊，避免企業(yè)信息遭受竊取、篡改甚至破壞等，對(duì)于保障企業(yè)持續(xù)、健康、穩(wěn)定發(fā)展具有顯著作用。（3）結(jié)合企業(yè)信息化建設(shè)實(shí)際情況，建立健全企業(yè)內(nèi)部信息系統(tǒng)管理體制。一方面，針對(duì)信息安全問(wèn)題，應(yīng)建立科學(xué)、合理、規(guī)范的信息安全管理體制，保證企業(yè)信息系統(tǒng)安全運(yùn)行；另一方面，建立健全企業(yè)安全風(fēng)險(xiǎn)評(píng)估機(jī)制，針對(duì)不同系統(tǒng)找出影響其安全的因素和漏洞，并制定出最佳的對(duì)策，降低企業(yè)信息安全風(fēng)險(xiǎn)；此外，加強(qiáng)相應(yīng)的網(wǎng)絡(luò)管理，防止外來(lái)不法分子通過(guò)網(wǎng)絡(luò)侵入企業(yè)信息系統(tǒng)。（4）根據(jù)新時(shí)期企業(yè)信息化建設(shè)需要，加強(qiáng)企業(yè)信息技術(shù)人才、信息管理人才隊(duì)伍建設(shè)，為企業(yè)信息安全管理奠定堅(jiān)實(shí)的人才基礎(chǔ)。一方面，在企業(yè)內(nèi)部，加強(qiáng)信息技術(shù)人才培訓(xùn)，提高企業(yè)內(nèi)部相關(guān)人才業(yè)務(wù)素質(zhì)能力；另一方面，在企業(yè)外部，采取有效措施，積極招聘人才，引進(jìn)具有先進(jìn)信息技術(shù)型人才；此外，建立健全企業(yè)信息安全管理用人機(jī)制，激發(fā)員工工作積極性，提高工作質(zhì)量與效率。

5小結(jié)

總而言之，企業(yè)信息安全事關(guān)企業(yè)信息化建設(shè)是否成功，對(duì)于企業(yè)持續(xù)、健康、穩(wěn)定發(fā)展具有至關(guān)重要的作用。因此，應(yīng)提高企業(yè)信息安全管理意識(shí)，增強(qiáng)企業(yè)信息安全管理機(jī)制，促進(jìn)企業(yè)信息安全管理工作質(zhì)量與效率，保障企業(yè)信息化建設(shè)順利開(kāi)展。

作者:吳捷 單位:中海石油氣電集團(tuán)有限責(zé)任公司

參考文獻(xiàn)

[1]毛志勇.企業(yè)信息化建設(shè)的信息安全形勢(shì)與對(duì)策研究[J].科技與產(chǎn)業(yè)，2008，8，（1）：43~45.

[2]纂振法，徐福緣.淺析企業(yè)信息化建設(shè)的意義、問(wèn)題與對(duì)策[J].吉林省經(jīng)濟(jì)管理干部學(xué)院學(xué)報(bào)，2001，3：24~28.

[3]謝志宏.企業(yè)信息化建設(shè)中的信息安全問(wèn)題研究[J].企業(yè)導(dǎo)報(bào)，2014（06）：132~133.