企業信息安全管控精選(五篇)

序言：作為思想的載體和知識的探索者，寫作是一種獨特的藝術，我們為您準備了不同風格的5篇企業信息安全管控，期待它們能激發您的靈感。

篇1

信息安全準則是風險評估和制定最優解決方案的關鍵，優秀的信息安全準則包括：根據企業業務目標執行風險管理；有組織的確定員工角色和責任；對用戶和數據實行最小化權限管理；在應用和系統的計劃和開發過程中就考慮安全防護的問題；在應用中實施逐層防護；建立高度集成的安全防護框架；將監控、審計和快速反應結合為一體。良好信息安全準則可以讓企業內外部用戶了解企業信息安全理念，從而讓企業信息管理部門更好地對風險進行管控。

2企業信息安全管理的主要手段

2.1網絡安全

（1）保證安全的外部人員連接。在日常工作中，外部合作伙伴經常會提出聯入企業內網的需求，由于這些聯入內網的外部人員及其終端并不符合企業的信息安全標準，因此存在信息安全隱患。控制此類風險的手段主要有：對用戶賬戶使用硬件KEY等強驗證手段；全面管控外部單位的網絡接入等。

（2）遠程接入控制。隨著VPN技術的不斷發展，遠程接入的風險已降低到企業的可控范圍，而近年來移動辦公的興起更是推動了遠程接入技術的發展。企業采用USBKEY，動態口令牌等硬件認證方式的遠程接入要更加的安全。

（3）網絡劃分。在過去，企業內部以開放式的網絡為主。隨著網絡和互聯網信息技術的成熟，非受控終端給企業內網帶來的安全壓力越來越大。這些不受信任的終端為攻擊者提供了訪問企業網絡的路徑。信息管理部門可以利用IPSec技術有效提高企業網絡安全，實現對位于公司防火墻內部終端的完全管控。

（4）網絡入侵檢測系統。網絡入侵檢測系統作為防火墻的補充，主要用于監控網絡傳輸，在檢測到可疑傳輸行為時報警。作為企業信息安全架構的必備設備，入侵檢測系統能有效防控企業外部的惡意攻擊行為，隨著信息技術的發展，各大安全廠商如賽門鐵克，思科等均研發出來成熟的入侵檢測系統產品。

（5）無線網絡安全。無線網絡現在已遍布企業的辦公區域，給企業和用戶帶來便利的同時也存在信息安全的隱患。要保證企業內部無線網絡的安全，信息管理部門需要使用更新更安全的協議（如無線保護接入WPA或WPA2）；使用VLAN劃分和域提供互相隔離的無線網絡；利用802.1x和EAP技術加強對無線網絡的訪問控制。

2.2訪問控制

（1）密碼策略。高強度的密碼需要幾年時間來破解，而脆弱的密碼在一分鐘內就可以被破解。提高企業用戶的密碼強度是訪問控制的必要手段。為避免弱密碼可能對公司造成的危害，企業必須制定密碼策略并利用技術手段保證執行。

（2）用戶權限管理。企業的員工從進入公司到離職是一個完整的生命周期，要便捷有效地在這個生命周期中對員工的權限進行管理，需要企業具有完善的身份管理平臺，從而實現授權流程的自動化，并實現企業內應用的單點登陸。

（3）公鑰系統。公鑰系統是訪問控制乃至信息安全架構的核心模塊，無線網絡訪問授權，VPN接入，文件加密系統等均可以通過公鑰系統提升安全水平，因此企業應當部署PKI/CA系統。

2.3監控與審計

（1）病毒掃描與補丁管理。企業需要統一的防病毒系統和終端管理系統，在終端定期更新病毒定義，進行病毒自掃描，自動更新操作系統補丁，以減少桌面終端的安全風險。此類管控手段通常需要在用戶的終端上安裝客戶端，或對終端進行定制，在終端接入企業內網時，終端管理系統會在隔離區域對該終端進行綜合評估打分，通過評估后方能接入內網。才能保證系統的安全策略被有效執行。

（2）惡意軟件防控。主流的惡意軟件防控體系主要由五部分構成：防病毒系統；內容過濾網關；郵件過濾網關；惡意網頁過濾網關和入侵檢測軟件。

（3）安全事件記錄和審計。企業應當配置日志審計系統，收集信息安全事件，產生審計記錄，根據記錄進行安全事件分析，并采取相應的處理措施。

2.4培訓與宣傳提高企業管理層和員工的信息安全意識，是信息安全管理工作的基礎。了解信息安全的必要性，管理層才會支持信息安全管理建設，用戶才會配合信息管理部門工作。利用定期培訓，宣傳海報，郵件等方式定期反復對企業用戶進行信息安全培訓和宣傳，能有效提高企業信息安全管理水平。

3總結

篇2

【關鍵詞】電力企業；信息安全；桌面管控技術

引言

隨著信息技術的發展，信息系統的深入應用，信息安全成為國家電力企業信息化的重要工作內容。由于桌面終端和用戶的數量多，從而容易帶來信息安全隱患，致使信息管理部門難以開展工作。近幾年，多數電力企業制定了對桌面的管理制度，統一了桌面終端管理系統。但是，如何將管理制度落實到實際工作中并將現有的技術應用到桌面信息安全管理，還需要不斷的深入研究與實踐。

1桌面終端信息安全管理現狀

近幾年，我國電力企業提出了信息安全的八不準和五禁止，由于電力企業提出上述措施，有利于各企業桌面終端系統信息安全工作的順利開展，大力推廣了桌面終端管理系統的應用，對非法接入外網實施了有效的監控，提升了對移動儲存介質的管理。但根據桌面終端管理系統的相關數據顯示，還沒有達到對信息安全的要求，仍然存在很多問題，致使信息管理部門的工作難以開展[1]。因此必須要立足于桌面管控技術全面的提升電力企業信息安全水平，從而有效的保障電力企業的信息安全。

2桌面終端存在的問題

目前，桌面終端主要存在以下幾個方面的問題：①接入外網時計算機感染病毒，特別是由于移動儲存介質最容易感染，而且傳播的速度極快；②部分員工利用電子郵件辦公時，電子郵件里會出現一些敏感字體；③非法接入外網現象始終存在，桌面終端的口令設置較弱；④桌面終端補丁更新率、桌面終端注冊率和殺毒軟件安裝率較低，沒有達到企業的標準。致使以上問題出現的原因有：①對信息安全的管理力度不夠，沒有將其歸入對信息管理部門工作人員的考核中，沒有將現有的桌面管控技術手段深入應用；②對信息安全管理的要求較為分散，沒有統一的管理標準，雖然通過各種方式開展宣傳，但是僅對信息管理部門的工作人員有用，其他部門員工對信息安全的認知度不夠[2]；③部分員工信息安全意識淡薄，沒有將信息安全管理的要求落實到實際工作中，認為信息安全可有可無，存在無所謂的心理。

3桌面管理及提升技術的措施

3.1桌面管理措施

3.1.1計算機安裝流程標準化電力企業中，所有新購買的計算機統一由信息管理部門安裝殺毒軟件和操作系統。修補系統中存在的漏洞，注冊桌面系統的新端口，初始開機口令的設置要符合國家統一的標準。只有完成以上流程，才能下發給網絡用戶并接入網絡，嚴格把控好信息設備的安全性，從根源上消除桌面信息安全隱患。3.1.2完善管理制度企業應制定統一的管理制度，落實好信息管理部門的工作內容，其工作內容包括：信息設備的損壞修理、安裝、領用、驗收及信息的來源。由于筆記本計算機容易感染其他網絡端口的病毒，出現重裝系統的問題，致使管理人員不易管理，對此不允許接入其他網絡，從制度的根本上確保企業內所有的聯網端口都是由信息管理部門負責。除此之外，統一訂購帶有企業標志的移動儲存介質，工作人員在領用時必須簽字，待離職時交還信息管理部門。3.1.3提高工作人員信息安全意識由于工作人員的信息安全意識淡薄，不了解企業對信息安全的要求，還沒有掌握信息安全的技術，這些都成為信息潛在的安全隱患，對此，加大對員工信息安全意識的培訓力度顯得至關重要。工作人員的信息安全意識應從第一天入職的時候就加以重視，培訓人員要全方面的開展對新入職員工的培訓，包括：技術手段、管理制度、信息安全意識、對信息保密等。培訓之后，可以實施對信息安全有關知識和技術手段的考核[3]。除此之外，給員工配備計算機時，要給員工講解使用的要求及注意事項，且讓其簽字。通過信息安全培訓，使工作人員掌握桌面管控的相關知識和信息安全知識，提高了工作人員的信息安全技術水平和職業素養及其安全意識，給信息安全提供了強有力的技術支撐。3.1.4強化外網終端接入流程管理各地區電力企業的外網桌面終端接入要嚴格遵守內網終端接入的標準流程，電力企業外網終端接入需要由企業管理人員向協同辦公系統簽報流程提報申請，經外網管理部門領導審批后轉發信通分公司，再由企業的網控室調整終端準入賬號、分配IP地址，并根據各企業的具體情況派發終端，由運維人員將符合入網條件的外網終端入網并進行安裝調試，再由網控室進行檢查，確定是否達到入網的標準，如果沒有達到標準要及時修改，值班人員需進行回訪，將工作單及時歸檔[4]。具體的申請流程詳見圖1。

3.2提升桌面管理技術的措施

3.2.1定期檢查、維護信息安全使用掃描設備對企業整個網絡系統進行掃描，對出現的問題及漏洞及時解決，一旦發現有桌面終端不符合基線要求，可以通過北信源程序下發符合基線要求的方法，保證桌面終端達到基線的要求。信息管理部門的工作人員要定期檢查桌面終端及控制系統的各項數據，出現異常要及時解決，逐步提升信息安全水平。3.2.2加固桌面終端由信息管理部門統一分配終端，完成對使用軟件和操作系統的安裝，并對桌面終端進行加固。接入網絡時，嚴格按照企業制定的桌面管理系統和準入要求執行，安裝必要的殺毒軟件及辦公軟件。對于沒有注冊和沒有安裝殺毒軟件的設備采取強制下線措施，對帶有敏感字的文檔給予提醒，以此保證殺毒軟件的安裝率和桌面終端的注冊率。內、外網的桌面終端在接入后，需由信息管理部門工作人員綁定接入交換機，將沒有使用到的端口關閉，預防其他用戶非法侵入[5]。3.2.3使用桌面終端系統的監控功能除了可以使用桌面終端管理系統的非法接入外網、警告口令設置低、殺毒軟件的安裝率和桌面終端的注冊率之外，該系統中還有控制的功能，可以通過控制功能，杜絕桌面終端用戶的不安全行為。例如通過硬件資源管理中的控制系統，在特定的區域內禁止使用藍牙設備與紅外線設備。有利于防范終端用戶使用信息內網接連計算機，有效解決了違規接入外網。3.2.4使用北信源系統在北信源系統（見圖2）中可以采用硬件設備控制，通過設備控制禁止使用藍牙設備和紅外線設備；采用進程監控功能，防止無線網卡設備的侵入；設置防火墻，只允許桌面終端訪問企業內部網址；將IP與MAC綁定，嚴禁使用用冗余網卡，防止修改IP與網關，以防發生違規外聯事件；實施文件動態監控、文件內容檢查和終端檢查，確保敏感信息檢查執行率及保密檢測系統安裝率指標水平。

4結語

21世紀以來，傳統的桌面終端管理模式已經無法適應社會的需求，不能安全有效地管控桌面終端。通過企業制定的桌面管理制度和桌面終端管理系統，提升了桌面管控技術，使桌面終端的工作流程規范化，在提升信息安全的同時，也提高了工作人員的桌面安全管理意識。在電力企業中采用桌面管控技術來提升信息安全，還需要不斷地實踐與探索，只有堅持不懈，才能使企業保持信息安全，走可持續發展道路。

參考文獻:

[1]姚瑋.電力企業信息安全全生命周期管控[J].電力信息與通信技術，2015（08）.

[2]馬之力，張馴，崔阿軍，袁暉.電網企業網絡準入體系設計與應用[J].電力信息與通信技術，2015（05）.

[3]陶明峰，劉志剛，徐勝朋，邢藝欣，襲建學.市縣級電力公司網絡一體化管理設計與研究[J].電力信息與通信技術，2015（05）.

[4]吳石松，劉曄.電力企業桌面終端安全管理應用研究[J].現代計算機（專業版），2013（36）.

篇3

關鍵詞：企業內部控制；信息化；安全管理

隨著信息化技術的發展，企業信息化工具擴展度越來越高，擴展面越來越廣，大大提升了企業運營及管理的便捷性，企業依賴系統大數據的信息處理和分析來提升效率，信息化技術應用為企業創造了不可替代的價值。企業財務系統、資源管理系統、辦公系統等形成企業信息化綜合平臺，隨著信息數據的大量輸入、輸出、交換、應用，信息處理的便捷使企業信息化安全工作越來越重要。任何信息安全方面缺失或弱化都可能造成工作的中止、信息的丟失或泄露，使企業產生影響或經濟損失，以信息化平臺為重要工作工具的單位，影響更加重大。4G時代的到來，為企業信息走向移動化鋪好了平臺，也為企業信息安全管理提出了新一步要求。

我國的《企業內部控制基本規范》中提到信息化安全管理問題，該規范第四十一條指出：“企業應當利用信息技術促進信息的集成與共享，充分發揮信息技術在信息溝通中的作用。企業應當加強對信息系統開發與維護、訪問與變更、數據輸入與輸出、文件儲存與保管、網絡安全等方面的控制，保證信息系統安全穩定運行。”所以信息化安全管理應為現代企業內部控制管理重要內容，如何優化信息化管理，提升信息化安全，成為需要思考的問題。

一、信息化安全管理分析

企業信息化安全管理包括物理安全管理、網絡安全管理、系統安全管理、應用安全管理等，內部控制的實施有助于預防信息化管理下企業信息數據尤其是財務數據丟失的風險，降低借助信息系統舞弊的可能性，保證企業各項經營活動有效運行。企業應通過企業信息化安全工作分析，定期進行信息化安全工作檢查，落實信息化安全內部控制管理。

（一）物理安全內部控制管理

1.硬件安全

信息化處理以電腦、服務器、存儲設備、網絡設備、安全設備作為硬件設備，電腦等信息終端設備不完善或故障會影響辦公；服務設備如服務器、存儲設備的損壞，會直接造成數據的丟失和數據處理的中斷；網絡設備如路由器、交換機的損壞，會讓系統停止。沒有安全設備或安全設備不工作會讓系統受外界所攻擊或盜取重要信息。企業信息化安全管理應對硬件安全有應急預案，增加必要的備用設備，如服務器、路由器、交換機等，設備一旦損壞，備用設備馬上進入工作狀態，使業務不中止或恢復時間短。設備應支持雙路電源供電，對于有可能的停電，企業應準備和啟用備用電源。

2.信息設備環境安全

環境安全包含防火、防盜、溫度、濕度、潔凈度等環境安全，只有安全的信息設備環境才能保障信息設備正常、高效工作，防范設備滅失或信息損失。對于一個大型或中型企業應專門建設符合上述環境要素的機房，服務器等設備應放在機房，因機器不間斷運轉造成溫度較高，應配備精密空調等制冷設備，確保溫濕度得到精確控制，服務器的放置空間要合理，保持空氣的流通并符合設備散熱需求。機房配置消防報警裝置、氣體滅火裝置，以應對突發火災事件。機房重地應有門禁管理，確保防盜和人為破壞的發生，信息化管理人員應就機房建設及日常管理進行檢查。

另外移動辦公設備（筆記本電腦、平板電腦、手機）的廣泛使用使設備不安全性增加，云技術、云方案不斷推新應用，使移動辦公增加，企業應對于移動辦公設備丟失制訂預案，對重要移動設備做防盜防丟失部署，以使設備被盜或丟失時由信息管理員實施遠程鎖定，阻止非法入侵或直接銷毀設備中的數據。

3.數據安全

數據的安全分為數據保護、數據保密和數據恢復。存儲設備是數據的載體，也是實施信息化企業的生命，數據丟失可以是致命的，一個安全穩定的存儲設備對數據保護至關重要。重要數據應以加密存儲，存儲介質廢棄時的完全抹除是數據保密應注意事項，可使用硬件自加密硬盤簡化數據保密過程。而存儲備份和恢復方案的實施是數據安全的最后一道防線，可以在事件發生后數據得以恢復。企業應及時做好數據備份、異地備份，防范火災、地震等不可預知事項帶來的數據滅失。企業應做出數據恢復預案并進行演習以應對可能的數據安全事故。

（二）網絡安全與信息傳輸安全內部控制管理

網絡提供了便捷的信息傳遞、快速的信息查詢，實現多人多組織的便捷工作，但也帶來網絡風險。企業首先應做好網絡訪問控制，最主要的措施是建立有效的防火墻，應檢查企業網絡設備是否安裝了有效的防火墻，防火墻的版本是否能及時最新，是否安排專門人員定期通過收集分析網絡行為、安全日志等進行入侵檢測，檢查訪問控制權限審批授予是否得當，是否對不適當的人做訪問權限的撤銷管理。

終端用戶操作不當，如違規安裝軟件或互聯網資訊點擊可能使病毒侵入網絡，故企業防止內部局域網風險，需規范終端用戶操作，對網上下載文件有必要要求及管理。針對承載保密信息的電腦，企業應專機專用并禁止與外網進行連接。對于有特殊安全需求的部門可部署桌面云方案，將數據和操作安全策略放置到服務器上統一管理。企業可通過部署網絡防病毒軟件并實時更新保證各終端使用相同的安全策略，避免個體不正確的安全習慣，保證定期進行病毒和惡意軟件的查殺和清除，保障系統不因病毒侵入而崩潰，是信息化安全內控管理的有效手段。

運營商的線路故障，可能造成整個網絡信息溝通中斷，雖然幾率較少，但對于以信息化工具為重要手段的單位影響會很大；為防止外部網絡中斷，檢查評估是否需要選擇兩家運營商，保證信息傳輸的正常。

（三）系統安全內部控制管理

軟件是信息化實現的載體，所有信息都是基于軟件進行輸入、輸出、運算、分析和應用的。

軟件安全成為一個越來越不容忽視的問題，軟件漏洞會造成信息丟失、信息泄露。軟件病毒會造成系統崩潰、信息錯誤。提升軟件安全性，是企業信息化建設的重要環節。

企業的軟件安全管理應檢查是否使用可靠的系統操作平臺軟件，比如：Windows、Linux；是否安裝有效的防病毒軟件并及時更新，比如：卡巴斯基、諾頓等；是否選擇安全保障高的信息化應用系統軟件，比如：SAP、Oracle、金蝶、用友軟件等；信息化軟件是否有穩定后期保障服務。完善的軟件是信息化數據安全和信息化功能應用的保證。

（四）應用安全內部控制管理

1.系統平臺應用內部控制管理

企業信息化最主要應用是使用系統平成會計信息自動化處理與分析、實現業務流程記錄與信息傳遞。企業應做到信息化平臺統籌規劃，使財務信息化和業務流程信息化充分結合，提高信息處理效率及信息管控力度，將企業的管理思想有效置入信息化流程使信息化平臺成為企業內部控制管理的有效工具和手段。

企業信息化系統平臺應用工作包括系統上線實施建設和系統日常運維管理，都有內部控制風險點管理。系統上線實施建設為系統平臺應用的基礎，對企業信息化應用起到關鍵作用。對于信息化應用程度深的企業，若實施不成功會給企業帶來經濟損失乃至巨大風險，為內部控制管理重大風險點，應予以高度重視。企業應制定詳細的工作計劃及實施方案，優化系統流程，制定編碼規則，項目經理應實施有效的進度管理以保證系統上線成功，系統上線后應對項目進行驗收，對應用中發現問題予以改善。系統日常運維管理（包括變更管理）是信息化有效穩定運行的保證，企業應制定管理制度進行規范化管理，信息化管理人員做好工作表單記錄，通過檢查表單記錄評估信息化工作開展是否得當。

系統平臺應用離不開系統流程與系統授權管理，只有信息化系統操作流程及權限設置合適，內部控制管理工作才能有效開展，風險得到即時控制。系統流程管理要求系統流程與企業管理流程文件相符；系統流程設置應合理有效，以企業增值及反應速度為原則，在實現內部控制基礎上盡量做到流程簡化，體現內部控制管理的全面性、重要性、制衡性、適應性和成本效益性。授權管理為企業內部控制管理關鍵點，如何做好系統授權？首先，授權人適崗，要求系統授權人或批準人對公司流程掌握，對內部控制管理有清醒的認識，對不相容崗位分離有清楚的把握，保證授權批準人與執行人分離，業務執行人與審核人分離，執行人和記錄人分離，物資保管人與記錄人分離，執行業務人與物資保管人分離；其次，配備必要的授權審核人員，授權審核人員可以是企業內控管理人員也可以是企業制度制訂及管理人員，在系統流程制訂時對授權設置進行審核，定期開展授權審計，以發現授權中問題，及時更正；再次，授權管理包括授權工作也包括撤銷授權工作，需及時做好離職離崗人員系統權限調整，以保證系統操作人權限適合。

鑒于系統平臺將企業信息做了大規模的集中，信息泄露的風險加大，所以對于系統數據、信息引出（下載）的權限管理應高度重視，尤其是關鍵數據及信息引出，避免信息批量式流出或關鍵信息被不適合人使用，給企業帶來災難性損失或技術成果和管理成果被他人竊取。

2.密碼內部控制管理

服務器、電腦、平臺系統進入都需要密碼管理，企業應要求操作人員有效設置密碼，不得將密碼告知他人，定期更換密碼，企業應檢查企業員工外出離崗時有無告知他人密碼協助處理流程的行為。隨著技術進步，企業可通過技術手段實施密碼管理。

3.電子郵件和即時交流工具安全管理

信息傳輸的便捷性使信息化風險加大，信息傳輸風險包括重要信息流出后不受控制及內部數據信息通過電子郵件、QQ等即時通訊工具方式泄露，企業應評估重要崗位、重要文檔信息流出的風險度，必要時使用信息安全軟件管理，進行重要文檔加密或對特定區域信息加密管理；通過網絡行為管理軟件跟蹤敏感文件和信息的泄露，使企業信息安全得到控制。對于即時通訊系統如QQ等可能帶來的病毒和入侵風險，企業可根據信息化管理的重要程度確定是否部署內部專用即時通訊系統予以防范。

（五）隨著信息技術的不斷發展與進步，各種云平臺服務推出，服務提供商可以提供專業的機房、服務器、存儲、網絡、信息化平臺等供企業租用，企業只需付一定的服務費，為企業解決大部分信息化安全問題。使用云平臺服務要做好服務商的選擇，對于關鍵信息和數據采用做好方案選擇。

二、結語

篇4

關鍵詞 網絡安全;互聯網;風險

中圖分類號：TP3 文獻標識碼：A 文章編號：1671-7597（2014）21-0241-01

計算機技術和網絡技術在帶給人們方便的同時，也使網絡信息安全風險也大大增加。網絡信息安全已成為當今社會互聯網技術研究的重要難題。針對網絡攻擊行為，采用多種網絡信息安全技術進行防護，可以有效的減少攻擊行為所帶來的損失。

1 網絡安全隱患

網絡安全，不僅指網絡的信息系統安全，還包括網絡系統中的硬件、軟件及數據資源不遭受破壞、泄漏和更改，保證網絡系統的安全可靠運行，防止各種有害信息和非法信息的傳播。

企業網絡的安全隱患主要表現在以下幾個方面。

1）物理安全風險。物理安全包括網絡系統中的各種網絡硬件設備，如路由器、交換機、工作站和服務器等的通信鏈路的運行安全。物理安全風險主要有：火災、雷擊、水災等自然災害，外界電磁干擾，人為誤操作或者破壞，設備自身的缺陷或者弱點等。

2）網絡安全風險。網絡是一個開放性的平臺，企業的信息網絡安全受到各種威脅和攻擊。網絡入侵者能夠通過系統漏洞及各種掃描工具，以攻擊程序對網絡進行惡意的攻擊，導致企業網絡癱瘓，甚至是網絡信息被篡改、竊取。

3）系統安全風險。企業網絡設備主要為服務器系統、路由器交換機系統。在企業服務器系統中，設有數據庫系統、操作系統、其他應用系統等。這些系統必然或多或少地存在著一些漏洞，一旦攻擊者通過這些漏洞，可能會對系統造成很大的損失。

4）用戶安全風險。這種風險主要是針對企業的內部人員，防止內部人員對系統和網絡的誤用、攻擊等情況。如內部人員計算機感染了惡意軟件或木馬程序時，可能會造成內網的ARP攻擊。

2 提高企業信息網絡安全措施

2.1 網絡安全解決辦法

提高網絡安全，是為了保證網絡系統不受外來攻擊和內在的故障，安全穩定的運行。而防火墻是網絡系統安全的第一道門檻，通過硬件和軟件來實現網絡的安全。防火墻的主要性能包括：

1）對內外部網絡數據流進行控制。網絡防火墻是鏈接內部網絡和外部網絡的通道，防火墻的特殊網絡位置特征，決定了可以有效的保護內部網絡不被破壞和攻擊。

2）防火墻可以有效的過濾網絡數據流量。通過防火墻的數據流量必須是經過防火墻認定，符合一定安全策略的才能通過，只有在該前提下，在適當的協議層才能進行訪問規則和通過安全審查，對于那些不符合通過條件的報文予以阻斷。

3）應用層防火墻具備更細致的防護能力。傳統防火墻由于不具備區分端口和應用的能力，以至于傳統防火墻僅僅只能防御傳統的攻擊，基于應用層的攻擊則毫無辦法。而新一代的防火墻解決了這個問題，它具備應用層分析的能力，能夠基于不同的應用特征，實現應用層的攻擊過濾，更好的針對應用層攻擊進行防護。

2.2 系統安全解決辦法

1）操作系統安全措施。操作系統的安全措施主要包括以下內容：①在局域網內建立WSUS補丁服務器，為整個局域網提供微軟全系列軟件的補丁。②操作系統及其各種應用軟件及時更新補丁，有效防止黑客的攻擊和病毒的感染。

2）系統漏洞掃描。目前的網絡和系統配置往往存在部分漏洞，這些漏洞容易被黑客利用，使系統的安全存在隱患。因此，提前發現漏洞并進行處理，可以減少系統安全威脅，避免不必要的損失。漏洞掃描和檢測工具可以對網絡設備和操作系統進行掃描，對系統中存在的漏洞生成檢查報告，并提示用戶及時安裝相應的漏洞補丁，以提高系統安全性。

3）網絡入侵檢測及預警。為了提高信息安全基礎結構完整性，使用入侵檢測及預警系統是防火墻的有益補充，進一步提高了系統面對網絡攻擊的安全性，使系統管理員更方便的對系統安全進行管理。

4）病毒防護。計算機病毒對系統和網絡安全的威脅越來越引起人們的重視，而針對計算機病毒的防護和掃描是系統安全必不可少的。計算機病毒的防治在于完善操作系統和應用軟件的安全機制和防范措施。使用高性能網絡殺毒軟件不僅能針對流行病毒進行查殺，阻斷病毒的蔓延，而且還能實現實時監控和預防，避免計算機染上病毒。

5）網絡審計與監控。網絡審計和監控不僅依靠網管軟件和系統管理軟件來實現，還應采用目前較成熟的網絡監測設備和實時入侵監測，對系統中的網絡行為進行監控、預警和阻斷，及時預防網絡入侵行為和采取相應的措施。

6）數據備份與恢復。對于數據的備份和恢復應采用高速、大容量、自動的數據備份恢復。對于部分系統的備份，可以采取增量備份，只針對系統發生過更改的部分文件進行備份。

2.3 應用級安全解決辦法

1）用戶授權管理。實現了多級分權的權限劃分機制，不同的部門只能在允許的范圍內對數據進行操作，而對于管理部門，則可以跨部門或者全部操作。其次是功能權限，可以自定義的方式確定用戶的增加、刪除、修改、查詢權限。

2）數據安全備份。數據安全是整個系統安全的核心，是系統可靠性的體現和關鍵環節。為此，系統中可自定義備份策略，實現定期自動備份，也可手動備份手動恢復。

3）數據加密。應對關鍵數據采用了完善的數據加密措施，如登錄帳號和密碼。作為最重要的身份識別依據和權限開關，其安全性的重要程度在應屬于最高級。軟件的關鍵配置文檔，里面有關鍵的參數設置，也應進行了相應的加密處理，保證的系統的穩定性。

4）操作日志。對于系統的登陸和操作情況應進行自動記錄，并形成報告和日志，進行痕跡保留，對操作方式，操作內容，操作時間等都可以進行記錄。

3 結論

在計算機網絡技術的發展過程中，企業的信息網絡安全技術水平也不斷提高。隨著企業的發展和業務的拓展，網絡安全受到極大的挑戰，黑客攻擊、病毒入侵、非法訪問等不斷發生。因此，從企業網絡信息安全需求及等級情況出發，選擇適合企業自身需求的企業網絡信息安全措施，可以有效的保障企業信息網絡的健康運行。

參考文獻

[1]王能輝.我國計算機網絡及信息安全存在的問題和對策[J].科技信息，2010（7）.

篇5

企業經營信息對于企業來說是一種資源，對于企業自身來說具有重要意義，企業需要妥善管理自身企業的信息。近年來，企業的各項經營活動都逐漸開始通過計算機，網絡開展，因此，企業的信息安全管理對于企業越來越重要。許多企業開始通過各種技術手段以及制度改革，把更多的注意力放在企業內部的信息安全管理工作，同時將企業信息安全管理與風險控制結合起來，這是一個正確的選擇，能夠幫助企業實現穩定經營。在介紹企業信息安全管理以及風險控制前必須厘清企業信息安全管理的概念與企業風險控制定義，因此，本節將著重介紹企業信息安全管理的概念以及企業風險控制的定義。

企業的信息安全管理包含十分豐富的內容，簡單來說是指企業通過各種手段來保護企業硬件和軟件，保護網絡存儲中的各種數據不受偶然因素的破壞或者惡意的原因被攻擊。對于信息安全的認定通過包括4個指標，即保證信息數據的完整，保證信息數據不被泄露，保證信息數據能夠正常使用，保證信息數據能夠控制管理。要想做好企業的信息安全管理，首先需要了解的是關于信息的傳輸方式。隨著信息技術的不斷普及，信息傳遞的方式越來越多，常見的信息傳遞方式主要有互聯網傳播，局域網傳播，硬件傳播等等。要想實現企業的信息安全管理，其中很重要的一項工作在于保護信源、信號以及信息。信息安全管理是一項需要綜合學科知識基礎的工作，從事企業信息安全管理工作的人員通過需要具有網絡安全技術、計算機技術、密碼技術、通信技術。從企業的信息安全管理來講，最為關鍵的一項工作時保護企業內部經營信息數據的完整。經過近十年來的企業信息安全管理工作經驗總結，企業信息安全不僅僅需要信息技術的支持，更需要通過建立完善的企業風險控制體系來幫助企業實現更好地保護企業信息安全的目標。

所以，怎樣把企業信息安全管理與風險控制融合起來就是擺在企業經營管理者面前的一道難題。企業的信息安全風險控制必須通過企業建立完善的企業信息安全風險體系實現。企業的信息安全風險控制是指企業在企業信息安全遭遇威脅之前，提前對企業的信息進行風險預估，并采取一系列的有針對性的活動降低企業面臨的信息安全風險，從而盡可能減少因為企業本身信息安全管理中存在漏洞給企業帶來不必要的損失。常見的企業信息安全風險體系建立主要包含以下幾個方面的內容。第一，建立企業信息安全風險管理制度，明確企業信息安全管理的責任分配機制，明確企業各個部門對各自信息安全所應承擔的責任，并建立相應的問責機制。第二，設置規范的企業信息安全風險管理指標，對企業存在的可能威脅企業信息安全管理的漏洞予以風險定級，方便企業管理者對不同的信息安全管理漏洞采取有區別的對策。第三，企業要加強對信息安全管理人員的培訓，提高企業信息安全管理工作人員的風險意識，讓企業內部從事信息安全管理工作人員認識到自身工作的重要性，讓企業內部從事信息安全管理工作人員了解到規范自身行為，正確履行職責的重要性。第四，將企業信息安全管理與風險控制有效融合，重視企業信息安全管理工作，通過風險控制對企業內部信息安全的管理方式進行正確評估，找出現行的企業內部信息安全管理手段中存在容易忽視的地方。

二、企業信息安全管理與風險控制存在的不足

1.企業信息安全管理工作人員素質不高

對于企業來說，企業信息安全管理工作是一項極為重要而隱秘的工作，因此，必須增強對企業信息安全管理工作人員的素質要求。但是根據調查統計，目前很多企業對信息安全工作的管理僅僅停留在對企業信息安全管理工作人員的技術要求上，對企業信息安全管理工作人員的道德素養，職業素養，風險意識并沒有嚴格要求。此外，絕大多數企業并沒有意識開展對企業信息安全管理工作的道德素質的教育培訓，并沒有通過建立相關管理制度以及問責機制對企業信息安全管理工作人員實行監督，這無疑給別有用心或者立場不堅定的企業信息安全管理工作人員留下了危害企業信息安全的可乘之機。

2.企業信息安全管理技術不過關

企業信息安全管理工作涉及多許多技術，包括信息技術，計算機技術，密碼技術，網絡應用技術等等，應當說成熟的計算機應用技術是做好企業信息安全管理的基礎，但是，現實是許多企業的信息安全管理技術并不過關，一方面企業的信息安全管理硬件并不過關，在物理層面對企業信息缺乏保護，另一方面，企業信息安全管理工作的專業技術沒有及時更新，一些企業信息安全管理工作人員缺乏企業信息安全管理的實踐經驗，企業信息安全管理的知識也并沒有及時更新，從而導致企業的信息安全管理理論嚴重滯后，這種技術的落后很容易讓企業成為不法分子的攻擊對象。近年來網絡病毒的傳播越來越猖狂，很多服務器、系統提示安全補丁的下載更新以及客戶端的時常更新成為一個惱人的問題。作為一個行業中的大中型企業，企業內部設備數量比較多，尤其是客戶端數量占了較大比重，僅僅靠少數幾個管理員進行管理是難以承擔如此大量的工作量。另外，企業信息安全管理系統不成熟也是一個重大的隱患。

3.企業信息安全管理制度不健全

企業信息安全管理制度不僅僅需要理論制度的完善，更加需要一系列配套監督機制保障企業信息安全管理的有效執行。通過調查分析，許多企業雖然建立了企業信息安全管理制度，但是通常情況下，這些制度只能流于形式，企業信息安全管理工作缺少有效的制約和監督，企業信息安全管理工作人員缺乏執行力。企業信息安全管理制度不健全，企業信息安全管理工作缺乏執行力常常體現在以下幾個方面。第一，企業員工對于信息安全管理的認識嚴重不足，對企業信息安全管理工作不重視。企業內部計算機系統安全的計算機防病毒軟件并沒有及時更新，使用，甚至企業內部計算機的防病毒軟件還被企業員工卸載了。部分企業員工認為自己的工作與企業信息安全管理不相關，認為做好企業信息安全管理工作僅僅是企業信息安全部門的事。第二，企業內部信息安全管理制度并沒有形成聯動機制，企業信息安全管理工作僅僅由企業信息安全部門“一人包干”，企業信息安全反映的問題并沒有得到積極的反饋，一些企業領導對企業信息安全現狀所了解的少之又少。

三、企業信息安全管理常見的技術手段

1.OSI安全體系結構

OSI概念化的安全體系結構是一個多層次的結構，它的設計初衷是面向客戶的，提供給客戶各種安全應用，安全應用必須依靠安全服務來實現，而安全服務又是由各種安全機制來保障的。所以，安全服務標志著一個安全系統的抗風險的能力，安全服務數量越多，系統就越安全。

2.P2DR模型

P2DR模型包含四個部分：響應、安全策略、檢測、防護。安全策略是信息安全的重點，為安全管理提供管理途徑和保障手段。因此，要想實施動態網絡安全循環過程，必須制定一個企業的安全模式。在安全策略的指導下實施所有的檢測、防護、響應，防護通常是通過采用一些傳統的靜態安全技術或者方法來突破的，比如有防火墻、訪問控制、加密、認證等方法，檢測是動態響應的判斷依據，同時也是有力落實安全策略的實施工具，通過監視來自網絡的入侵行為，可以檢測出騷擾行為或錯誤程序導致的網絡不安全因素；經過不斷地監測網絡和系統來發現新的隱患和弱點。在安全系統中，應急響應占有重要的地位，它是解決危險潛在性的最有效的辦法。

3.HTP模型

HTP最為強調企業信息安全管理工作人員在整個系統中的價值。企業信息安全工作人員企業信息安全最為關鍵的參與者，企業信息安全工作人員直接主導企業信息安全管理工作，企業信息安全工作人員不僅僅是企業信息安全的保障者，也是企業信息安全管理的威脅者。因此，HTP模型最為強調對企業信息安全管理工作人員的管理與監督。另外，HTP模式同樣是建立在企業信心安全體系，信息安全技術防范的基礎上，HTP模式采取了豐富的安全技術手段確保企業的信息安全。最后，HTP強調動態管理，動態監督，對于企業信息安全管理工作始終保持高強度的監督與管理，在實際工作中，通過HTP模型的應用，找出HTP模型中的漏洞并不斷完善。

四、完善企業信息安全管理與降低風險的建議

1.建設企業信息安全管理系統

（1）充分調查和分析企業的安全系統，建立一個全面合理的系統模型，安全系統被劃分成各個子系統，明確實施步驟和功能摸塊，將企業常規管理工作和安全管理聯動協議相融合，實現信息安全監控的有效性和高效性。

（2）成立一個中央數據庫，整合分布式數據庫里的數據，把企業的所有數據上傳到中央數據庫，實現企業數據信息的集中管理與有效運用。

（3）設計優良的人機界面，通過對企業數據信息進行有效的運用，為企業管理階層人員、各級領導及時提供各種信息，為企業領導的正確決策提供數據支持，根本上提高信息數據的管理水平。

（4）簡化企業內部的信息傳輸通道，對應用程序和數據庫進行程序化設計，加強對提高企業內部信息處理的規范性和準確性。

2.設計企業信息安全管理風險體系

（1）確定信息安全風險評估的目標

在企業信息安全管理風險體系的設計過程中，首要工作是設計企業信息安全風險評估的目標，只有明確了企業信息安全管理的目標，明確了企業信息安全管理的要求和工作能容，才能建立相關圍繞信息安全風險控制為目標的信息安全管理工作制度，才能順利通過對風險控制的結果的定量考核，檢測企業信息安全管理的風險，定性定量地企業信息安全管理工作進行分析，找準企業信息安全管理的工作辦法。

（2）確定信息安全風險評估的范圍

不同企業對于風險的承受能力是有區別的，因此，對于不同的企業的特殊性應該采取不同的風險控制辦法，其中，不同企業對于能夠承受的信息安全風范圍有所不同，企業的信息安全風險承受范圍需要根據企業的實際能力來制定。不僅如此，企業的信息安全風險評估范圍也應當根據企業的實際經營情況變化采取有針對性的辦法。