企業信息安全服務精選(五篇)

發布時間：2023-10-09 17:41:19

序言：作為思想的載體和知識的探索者，寫作是一種獨特的藝術，我們為您準備了不同風格的5篇企業信息安全服務，期待它們能激發您的靈感。

企業信息安全服務

篇1

根據上述問題,提出本文的基于SOA的信息安全體系的設計。通過研究,我們提出了一個面向服務架構的企業信息安全體系結構,它是底層基于數據倉庫/數據集市技術,并以安全服務總線作為hub,為企業信息安全活動提供集成信息安全的管理和有效的控制,使用BPM(企業過程管理)、規則引擎(RuleEngine,RE)和,企業智能(BusinessIntelligence,BI)技術。它有益于企業公司達到需要的信息安全管理級別。并且建立一個PDCA(Plan-Do-Check-Act)適配器,以確保信息安全管理和風險控制活動,能夠進行自我優化。

1.1體系結構的結構

參考七層OSI設計,我們設計了五層的智能企業信息安全體系結構。自下向上為安全數據庫層、安全應用層、安全服務總線、集成和智能層、信息安全框架。(圖1)說明了智能企業信息安全體系結構的結構。

(1)安全數據層。體系結構的底層是整個體系結構的基礎層。這是因為安全數據易于被其它應用和服務使用。這一層的數據被分為兩個部分:操作數據和分析數據。

(2)安全應用層。應用層包括所有的息安全系統,如防火墻、入侵防御系統、反病毒系統,以及被防護的設備,如網絡設備、服務器和桌面環境等。它也包括這些系統上的各種各樣的操作系統。

(3)安全服務總線。是基于SOA的信息安全體系結構的中樞。我們在這一層定義SOA服務總線的結構和需要的各種各樣的信息安全服務。在面向服務的信息安全體系結構中,我們能夠將當前和未來的安全需求定義為安全服務,但這些服務的實現是隱藏的。

(4)集成&智能層。體系結構中數據、過程和應用都是在這一層進行處理實現的,解決一個企業各種業務問題,滿足快速變化的環境。集成層具有“應用之間”和“過程之間”進行通信的能力,通過適配器,它還能夠與其他企業過程、服務提供者或數據提供者通信。

(5)信息安全輔助設計。這是信息安全對外的接口,主要是由勻衡器、關鍵風險指示儀以及監控接口。企業智能模型提供各種各樣的服務,例如報告、查詢、OLAP、數據挖掘和多維分析。規則引擎,作為工作流的一部分,可以結合到BPM模型。因為有了規則引擎,我們能夠更加有效地執行信息安全管理和風險控制。PDCA適配器是一個特殊的工具,它利用人工智能能夠幫助公司達到信息安全管理中持續提高和自我優化的目標。

1.2特點和優勢

本文提出的企業信息安全體系結構具有以下特點。

(1)集成。它也能夠將信息安全管理和風險控制聯合起來作為一個集成的框架。

(2)可復用。體系結構是比較獨立的,適合于企業和小型組織。服務的封裝使得可復用,與其他服務聯合使用。

(3)面向服務的體系結構。SOA體系機構的采用提供了服務的獨立性、自我管理和自我彈性。

(4)集成的數據環境。集成的數據結構使之適合于各種數據庫進行對接。

(5)企業智能。這個體系結構將企業智能應用到信息安全管理,信息安全管理主要使用了數據挖掘和模式識別技術。這可以大大減少由于人工誤操作引起的損失,增強信息安全管理和風險控制操作。

(6)開放的體系結構。體系結構開放設計,以滿足整個企業的安全需求;面向服務的特征使得體系結構式開放的,允許多個接口與外部應用通信。

2結論

篇2

“十二五”期間，軟件技術和產業格局孕育著新一輪重大調整，軟件產業面臨網絡化、服務化、智能化、平臺化、融合化五大發展趨勢。國發[2011]4號文增強了對軟件產業的扶持力度，這必將催生軟件和信息服務新星的出現。

無論是基礎設施、資金、人才還是政策扶持，甚至是項目推介和品牌宣傳，軟件園區這片沃土都給軟件企業帶來豐富養分。《中國計算機報》“軟件園區”專欄，記錄軟件企業崛起，見證軟件產業發展！

如今，電子取證和計算機法證業務在歐美發達國家和我國香港地區已經相當成熟，除了主要應用于金融行業外，在政府和企業中也有了相當多的應用。IDC 統計顯示，2011年全球電子數據取證市場的規模達到18 億美元，預計2015年中國電子數據取證將達到近10億元人民幣的市場規模。

電子取證：安全不可缺的一環

2012年3月，中國內地和香港地區最高級別的計算機法證技術協會——中國計算機法證技術研究會（CCFC）、香港信息安全與法證公會（香港ISFS）正式授權上海浦東軟件園信息技術股份有限公司（以下簡稱浦軟信息）為其華東代表處，這標志浦軟信息擁有了國內領先的電子取證平臺。

2012年7月，首次移師上海的第八屆CCFC計算機法證技術峰會在上海浦東軟件園舉行。會議期間，由浦軟信息投巨資新建并已投入運行的高水準電子數據司法鑒定實驗室（以下簡稱取證實驗室）及配套設施受到了海內外參會者的關注和期待。取證實驗室包含了計算機鑒定人員從事涉及計算機犯罪案件受理、電子數據勘查、調查取證、數據恢復、密碼破解、鑒定分析、證據存儲等13個專門區域，并已經與CCFC和香港ISFS做了業務上的對接。

據上海浦東軟件園信息技術股份有限公司總經理葉慧介紹，浦軟信息將集全公司之力把取證試驗室建設成為國內在技術與硬件條件上最卓越的實驗平臺。浦軟信息的取證業務將由單一的取證產品向多樣化、個性化服務轉變，最終形成以自主取證產品銷售、司法鑒定服務和專業取證培訓為核心的三位一體的業務模式以及“事前預防、事中響應、事后取證”的整體信息安全解決方案。

公司成立了專業的市場銷售團隊，通過整體的設計與市場策劃來推廣取證業務。

如今，浦軟信息更希望將已經擁有的平臺資源和取證業務推廣到信息安全市場較成熟的地區，與更多的業界同行一起培育電子取證市場。葉慧強調，浦軟信息作為計算機安全防護領域整體解決方案的提供商，有義務和責任通過自身的努力為社會帶來更多的價值，并以此作為自己的使命和社會責任。

取證培訓：旨在完善認證體系

工欲善其事，必先利其器。專業取證培訓是浦軟信息取證業務中很重要的一環。取證實驗室研發出許多基于高端技術的取證產品，其精心設計的培訓教室擁有各類多媒體設備，能夠滿足取證技術領域內的各種培訓要求，并已經舉辦過多次各類層次的取證培訓。

第八屆CCFC計算機法證技術峰會引入了海外專業培訓方式，在由香港ISFS開辦的研習會上，結合實際案例，對計算機法證技術應用及信息安全防護進行專業指導。

浦軟信息之所以花大力氣開展取證培訓業務，就是預見到取證市場的前景將無限廣闊，需要一個成熟的資質認證體系，構筑一個中國取證行業專業、統一的標準。因此，浦軟信息規劃了取證資質認證培訓的發展方向，那就是明確自身的市場地位，完善取證實驗室的培訓體系和業務，今后將與海內外專業機構合作，繼續拓展培訓業務，最終得到政府部門和業內對浦軟信息取證培訓資質認證的認可。

制度創新：確保信息業務拓展

今年2月15日，上海股權托管交易中心正式開張，浦軟信息成為首批掛牌OTC（場外交易市場）成員。這對浦軟信息來說無疑是一個重要的轉折點——浦軟信息已經從一家中小型的以產品銷售為導向的IT公司轉變為一家以IT服務為核心的非上市公眾公司。

浦軟信息希望通過OTC掛牌交易，在為股東和其他投資者提供更多選擇的同時，通過股權的發行和交易使得公司的法人治理結構更加規范和嚴謹，這對浦軟信息未來發展是至關重要的，也是最大的挑戰。另外，作為公眾公司，浦軟信息必須考慮到諸多方面的影響，決策上必須更加謹慎，對內部資源的安排也要考慮得更細致，要有平衡企業資源的能力，包括客戶和市場資源，要投入更多的資源來支持和規劃新的公司制度和運轉。對此，葉慧信心滿滿。

優秀基因：可持續發展的動力

作為一家還處于成長期的中小型IT企業，浦軟信息還有相當大的提升空間，但公司管理層始終保持著危機感，對市場保持高度的敏感，業務上真正做到以客戶為導向，技術上不遺余力地投入人力物力。追求“優秀”是浦軟信息始終堅持的目標。

何謂“優秀”，葉慧對此做了進一步詮釋。

“優秀”體現在專業上，就是要有專攻方向。在信息安全領域浦軟信息已經有十幾年的經驗，這既是公司的優勢也是公司的品牌。同時，這種專業還要體現在技術研發的能力上，使之成為浦軟信息的核心競爭力。作為一家IT公司，技術是最重要的生產力。

“優秀”體現在人才上，就是把員工視作企業發展中最重要的資產，將管理團隊與技術團隊作為企業的核心。浦軟信息的股權結構中也有員工持股，這體現了公司創始人開放的胸襟。

“優秀”同時也體現在健康上，浦軟信息未來的目標是上市。作為公眾公司，需要給股東和員工持續的回報，這是相當重要的。作為一家肩負著社會責任的公眾企業，體制一定要健康，不能一味盲目地追求增長速度，企業發展方式和公司結構至關重要，這也是企業可持續發展的前提。

IT行業內真正能夠屹立不倒的百年老店一定具備“優秀”的基因，而不是純粹靠包裝和粉飾；同樣，有了這些“優秀”的基因，一個升級版的浦軟信息將從企業級信息安全服務行業中脫穎而出，也就有了底氣。

記者手記

人生就是一場修煉

從上海市經濟和信息化委員會到上海浦東軟件園總部再到浦軟信息，葉慧的角色在不斷轉變，雖然都涉及IT和通信行業，但視角卻大不相同。尤其是調任浦軟信息后，葉慧從原先站在宏觀角度轉變為以企業職業經理人的微觀角度來審視IT和通信行業，同時還要承受著國有企業職業經理人特有的壓力。

是什么信念使得葉慧能夠在應對不斷出現新的挑戰和壓力時如此談定和柔韌？答案就是被葉慧視為勵志誓言的《孟子·告子下》中的名句：“天將降大任于斯人也，必先苦其心志，勞其筋骨，餓其體膚，空乏其身，行拂亂其所為也，所以動心忍性，增益其所不能。”葉慧認為，一個職業經理人即使在處于坎坷時，也要保持良好的心態，不逃避不回避各種困難，積極面對挑戰并擁有破解難題、果斷決策的信心。

篇3

企業經營信息對于企業來說是一種資源,對于企業自身來說具有重要意義,企業需要妥善管理自身企業的信息。近年來,企業的各項經營活動都逐漸開始通過計算機,網絡開展,因此,企業的信息安全管理對于企業越來越重要。許多企業開始通過各種技術手段以及制度改革,把更多的注意力放在企業內部的信息安全管理工作,同時將企業信息安全管理與風險控制結合起來,這是一個正確的選擇,能夠幫助企業實現穩定經營。在介紹企業信息安全管理以及風險控制前必須厘清企業信息安全管理的概念與企業風險控制定義,因此,本節將著重介紹企業信息安全管理的概念以及企業風險控制的定義。企業的信息安全管理包含十分豐富的內容,簡單來說是指企業通過各種手段來保護企業硬件和軟件,保護網絡存儲中的各種數據不受偶然因素的破壞或者惡意的原因被攻擊。對于信息安全的認定通過包括4個指標,即保證信息數據的完整,保證信息數據不被泄露,保證信息數據能夠正常使用,保證信息數據能夠控制管理。要想做好企業的信息安全管理,首先需要了解的是關于信息的傳輸方式。隨著信息技術的不斷普及,信息傳遞的方式越來越多,常見的信息傳遞方式主要有互聯網傳播,局域網傳播,硬件傳播等等。要想實現企業的信息安全管理,其中很重要的一項工作在于保護信源、信號以及信息。

信息安全管理是一項需要綜合學科知識基礎的工作,從事企業信息安全管理工作的人員通過需要具有網絡安全技術、計算機技術、密碼技術、通信技術。從企業的信息安全管理來講,最為關鍵的一項工作時保護企業內部經營信息數據的完整。經過近十年來的企業信息安全管理工作經驗總結,企業信息安全不僅僅需要信息技術的支持,更需要通過建立完善的企業風險控制體系來幫助企業實現更好地保護企業信息安全的目標。所以,怎樣把企業信息安全管理與風險控制融合起來就是擺在企業經營管理者面前的一道難題。企業的信息安全風險控制必須通過企業建立完善的企業信息安全風險體系實現。

企業的信息安全風險控制是指企業在企業信息安全遭遇威脅之前,提前對企業的信息進行風險預估,并采取一系列的有針對性的活動降低企業面臨的信息安全風險,從而盡可能減少因為企業本身信息安全管理中存在漏洞給企業帶來不必要的損失。常見的企業信息安全風險體系建立主要包含以下幾個方面的內容。第一,建立企業信息安全風險管理制度,明確企業信息安全管理的責任分配機制,明確企業各個部門對各自信息安全所應承擔的責任,并建立相應的問責機制。第二,設置規范的企業信息安全風險管理指標,對企業存在的可能威脅企業信息安全管理的漏洞予以風險定級,方便企業管理者對不同的信息安全管理漏洞采取有區別的對策。第三,企業要加強對信息安全管理人員的培訓,提高企業信息安全管理工作人員的風險意識,讓企業內部從事信息安全管理工作人員認識到自身工作的重要性,讓企業內部從事信息安全管理工作人員了解到規范自身行為,正確履行職責的重要性。第四,將企業信息安全管理與風險控制有效融合,重視企業信息安全管理工作,通過風險控制對企業內部信息安全的管理方式進行正確評估,找出現行的企業內部信息安全管理手段中存在容易忽視的地方。

二、企業信息安全管理與風險控制存在的不足

1.企業信息安全管理工作人員素質不高

對于企業來說,企業信息安全管理工作是一項極為重要而隱秘的工作,因此,必須增強對企業信息安全管理工作人員的素質要求。但是根據調查統計,目前很多企業對信息安全工作的管理僅僅停留在對企業信息安全管理工作人員的技術要求上,對企業信息安全管理工作人員的道德素養,職業素養,風險意識并沒有嚴格要求。此外,絕大多數企業并沒有意識開展對企業信息安全管理工作的道德素質的教育培訓,并沒有通過建立相關管理制度以及問責機制對企業信息安全管理工作人員實行監督,這無疑給別有用心或者立場不堅定的企業信息安全管理工作人員留下了危害企業信息安全的可乘之機。

2.企業信息安全管理技術不過關

企業信息安全管理工作涉及多許多技術,包括信息技術,計算機技術,密碼技術,網絡應用技術等等,應當說成熟的計算機應用技術是做好企業信息安全管理的基礎,但是,現實是許多企業的信息安全管理技術并不過關,一方面企業的信息安全管理硬件并不過關,在物理層面對企業信息缺乏保護,另一方面,企業信息安全管理工作的專業技術沒有及時更新,一些企業信息安全管理工作人員缺乏企業信息安全管理的實踐經驗,企業信息安全管理的知識也并沒有及時更新,從而導致企業的信息安全管理理論嚴重滯后,這種技術的落后很容易讓企業成為不法分子的攻擊對象。近年來網絡病毒的傳播越來越猖狂,很多服務器、系統提示安全補丁的下載更新以及客戶端的時常更新成為一個惱人的問題。作為一個行業中的大中型企業,企業內部設備數量比較多,尤其是客戶端數量占了較大比重,僅僅靠少數幾個管理員進行管理是難以承擔如此大量的工作量。另外,企業信息安全管理系統不成熟也是一個重大的隱患。

3.企業信息安全管理制度不健全

企業信息安全管理制度不僅僅需要理論制度的完善,更加需要一系列配套監督機制保障企業信息安全管理的有效執行。通過調查分析,許多企業雖然建立了企業信息安全管理制度,但是通常情況下,這些制度只能流于形式,企業信息安全管理工作缺少有效的制約和監督,企業信息安全管理工作人員缺乏執行力。企業信息安全管理制度不健全,企業信息安全管理工作缺乏執行力常常體現在以下幾個方面。第一,企業員工對于信息安全管理的認識嚴重不足,對企業信息安全管理工作不重視。企業內部計算機系統安全的計算機防病毒軟件并沒有及時更新,使用,甚至企業內部計算機的防病毒軟件還被企業員工卸載了。部分企業員工認為自己的工作與企業信息安全管理不相關,認為做好企業信息安全管理工作僅僅是企業信息安全部門的事。第二,企業內部信息安全文秘站:管理制度并沒有形成聯動機制,企業信息安全管理工作僅僅由企業信息安全部門“一人包干”,企業信息安全反映的問題并沒有得到積極的反饋,一些企業領導對企業信息安全現狀所了解的少之又少。

三、企業信息安全管理常見的技術手段 1.OSI安全體系結構

OSI概念化的安全體系結構是一個多層次的結構,它的設計初衷是面向客戶的,提供給客戶各種安全應用,安全應用必須依靠安全服務來實現,而安全服務又是由各種安全機制來保障的。所以,安全服務標志著一個安全系統的抗風險的能力,安全服務數量越多,系統就越安全。

2.P2DR模型

P2DR模型包含四個部分:響應、安全策略、檢測、防護。安全策略是信息安全的重點,為安全管理提供管理途徑和保障手段。因此,要想實施動態網絡安全循環過程,必須制定一個企業的安全模式。在安全策略的指導下實施所有的檢測、防護、響應,防護通常是通過采用一些傳統的靜態安全技術或者方法來突破的,比如有防火墻、訪問控制、加密、認證等方法,檢測是動態響應的判斷依據,同時也是有力落實安全策略的實施工具,通過監視來自網絡的入侵行為,可以檢測出騷擾行為或錯誤程序導致的網絡不安全因素;經過不斷地監測網絡和系統來發現新的隱患和弱點。在安全系統中,應急響應占有重要的地位,它是解決危險潛在性的最有效的辦法。

3.HTP模型

HTP最為強調企業信息安全管理工作人員在整個系統中的價值。企業信息安全工作人員企業信息安全最為關鍵的參與者,企業信息安全工作人員直接主導企業信息安全管理工作,企業信息安全工作人員不僅僅是企業信息安全的保障者,也是企業信息安全管理的威脅者。因此,HTP模型最為強調對企業信息安全管理工作人員的管理與監督。另外,HTP模式同樣是建立在企業信心安全體系,信息安全技術防范的基礎上,HTP模式采取了豐富的安全技術手段確保企業的信息安全。最后,HTP強調動態管理,動態監督,對于企業信息安全管理工作始終保持高強度的監督與管理,在實際工作中,通過HTP模型的應用,找出HTP模型中的漏洞并不斷完善。

四、完善企業信息安全管理與降低風險的建議

1.建設企業信息安全管理系統

(1)充分調查和分析企業的安全系統,建立一個全面合理的系統模型,安全系統被劃分成各個子系統,明確實施步驟和功能摸塊,將企業常規管理工作和安全管理聯動協議相融合,實現信息安全監控的有效性和高效性。

(2)成立一個中央數據庫,整合分布式數據庫里的數據,把企業的所有數據上傳到中央數據庫,實現企業數據信息的集中管理與有效運用。

(3)設計優良的人機界面,通過對企業數據信息進行有效的運用,為企業管理階層人員、各級領導及時提供各種信息,為企業領導的正確決策提供數據支持,根本上提高信息數據的管理水平。

(4)簡化企業內部的信息傳輸通道,對應用程序和數據庫進行程序化設計,加強對提高企業內部信息處理的規范性和準確性。

2.設計企業信息安全管理風險體系

(1)確定信息安全風險評估的目標

在企業信息安全管理風險體系的設計過程中,首要工作是設計企業信息安全風險評估的目標,只有明確了企業信息安全管理的目標,明確了企業信息安全管理的要求和工作能容,才能建立相關圍繞信息安全風險控制為目標的信息安全管理工作制度,才能順利通過對風險控制的結果的定量考核,檢測企業信息安全管理的風險,定性定量地企業信息安全管理工作進行分析,找準企業信息安全管理的工作辦法。

(2)確定信息安全風險評估的范圍

不同企業對于風險的承受能力是有區別的,因此,對于不同的企業的特殊性應該采取不同的風險控制辦法,其中,不同企業對于能夠承受的信息安全風范圍有所不同,企業的信息安全風險承受范圍需要根據企業的實際能力來制定。不僅如此,企業的信息安全風險評估范圍也應當根據企業的實際經營情況變化采取有針對性的辦法。

篇4

【關鍵詞】企業信息化；信息安全問題；原因；對策

【中圖分類號】F270.7【文獻標識碼】A【文章編號】1006-4222（2016）01-0247-02

新時期下，信息化技術在各行業中運用日漸深入，給企業現代化建設與快速發展帶來了無限動力。企業信息化建設已成為我國經濟信息化建設能否成功的關鍵所在，也是提升企業自身市場競爭力與企業升級進步的重要保證和標志[1]。但是，企業信息化建設過程中不可避免的出現信息安全問題，給企業正常生產經營帶來諸多不利影響。因此，加強企業信息化建設中信息安全管理，已成為現代企業經營管理的一個至關重要的工作。

1企業信息化概述

所謂的企業信息化，指的是實現企業的資金流、物流、作業流、信息流的數字化、網絡化管理，實行企業運行的自動化和企業制度的現代化[2]。企業信息化建設涉及了企業生產經營中的各個部門，其主要利用現代化信息技術，通過完善企業內外網絡信息系統，實現對企業內外知識與信息資源的開發。可見，建設企業信息化體系，不但可以及時有效的提供各種數據信息給企業決策層，也為企業未來規劃設計提供參考依據，而且還有利于企業滿足瞬息萬變的市場需求，為企業市場核心競爭力的提升帶來動力。

2當前企業信息化建設中信息安全問題

企業信息化建設與發展為企業持續、健康、穩定發展發揮了顯著作用，但同時也存在著諸多信息安全問題，具體分析主要有以下幾方面[3]：（1）當前，絕大多數企業缺乏完善的安全防御系統，導致企業內部使用的信息系統易遭受外部網絡系統的攻擊，引發企業信息資料被他人截獲、篡改與偽造等問題，甚至企業信息系統中出現通信線路、硬盤設施以及其他文件系統遭惡意破壞現象，上述問題的發生不但致使企業信息系統無法正常運行，而且其內部機密信息易發生泄漏，造成企業嚴重的社會經濟損失。（2）針對郵件系統攻擊防不甚防。在企業信息系統中電子郵件具有重要的作用，通過電子郵件接收與傳送，極大的方便了企業內部間與外部間信息交流與溝通。然而，電子郵件安全問題也日益突出，典型的如電子郵件病毒、垃圾郵件、機密信息泄露以及電子郵件炸彈等，給企業信息傳輸帶來了巨大安全隱患。因此，電子郵件安全問題不可忽視。（3）漏洞攻擊日益嚴重。按照漏洞問題發生原因可分為軟件漏洞和協議漏洞兩種，其中軟件漏洞主要是受外部不法分子攻擊軟件自身存在的漏洞，造成企業信息泄露等問題；而協議漏洞則主要是由于TCP/IP協議自身在安全機制方面存在的諸多漏洞問題導致，外部不法人員通過攻擊TCP/IP協議漏洞，致使企業信息系統遭受破壞。目前情況，很多企業對自身信息系統缺乏成熟的漏洞檢測手段和能力，往往事發后才采取補救措施。（4）是Web服務安全問題突出，根據Web服務流程，其發生安全問題的主要組成包括Web服務端安全問題、瀏覽器客戶端安全問題兩種。其中，Web服務端安全問題主要是企業Web主機遭受外部不法分子侵入，導致企業保密信息遭竊或者企業部分信息遭受非法篡改等；瀏覽器客戶端安全問題則是企業瀏覽器客戶端遭外部非法分子侵入，致使部分機密信息與數據遭竊等。

3導致企業信息化建設中信息安全問題因素

企業信息化建設中信息安全問題發生受諸多因素影響，具體分析主要有以下幾方面[4]：（1）目前，絕大多數企業在信息化建設過程中，對于信息安全問題重視度嚴重不足。一方面，受傳統經營觀念影響，企業管理層偏重于對企業生產經營中的有形資產給予關注與重視，而忽略了企業知識與信息資料等無形資源，導致在企業信息安全管理方面各項投入嚴重不足，進而造成信息安全問題日益凸顯；另一方面，多數企業在面對信息安全問題時，存在著盲目樂觀現象，認為信息安全問題不至于導致企業正常生產經營，使得信息安全管理無法上升至企業發展規劃戰略之中，進而造成信息安全問題得不到及時有效解決。（2）由于企業信息化建設在我國尚處于起步階段，各方面配套管理制度不夠完善，特別是缺乏健全的企業信息安全管理體制。受此影響，企業信息化建設中信息安全問題一方面無法得到有效的預防措施，另一方面是一旦發生信息安全問題，無法采取及時有效的補救與解決對策。同時，由于缺乏科學、合理、有效的企業信息安全防護策略，使得企業信息管理人員缺乏必要的安全防護意識與業務素質能力，致使企業信息安全防護軟硬件工作質量與效率明顯不足。上述兩個因素，導致企業無論是從人員配置，還是資金與技術投入方面都嚴重不足，受企業信息管理人員業務素質能力不足、信息安全技術方法落后以及配套的資金缺乏等影響，企業信息安全防護的措施、手段偏低，造成企業信息化建設存在著嚴重安全隱患。

4提升企業信息化建設中信息安全對策

針對當前企業信息化建設中存在的信息安全問題，為加強企業信息安全管理，提升企業信息安全保障，可通過采取以下幾方面對策，具體有[5]：（1）轉變傳統企業信息化建設觀念，在企業內部管理層從上至下加強對企業信息安全的重視，并樹立正確的安全意識。一方面，通過組織各種信息安全管理培訓等，增強全體企業員工信息安全意識，確保企業保密信息不外漏；另一方面，逐步加大企業信息化建設中信息安全管理各項資金、技術、人力投入，并建立科學、合理、有效的企業信息安全防護策略，保障企業信息系統安全穩定。（2）不斷的推進網絡信息技術的發展與運用，促進企業組織結構網絡化的實現，同時引進先進的安全防護技術，確保企業信息化系統安全穩定運行。任何網絡信息系統都存在著或大或小的安全漏洞問題，而保證其不受外部不法分子侵入的一個關鍵方法就是安全防護技術的運用。通過選用先進的安全防護技術，可以有效的提高企業信息系統抵抗外來攻擊，避免企業信息遭受竊取、篡改甚至破壞等，對于保障企業持續、健康、穩定發展具有顯著作用。（3）結合企業信息化建設實際情況，建立健全企業內部信息系統管理體制。一方面，針對信息安全問題，應建立科學、合理、規范的信息安全管理體制，保證企業信息系統安全運行；另一方面，建立健全企業安全風險評估機制，針對不同系統找出影響其安全的因素和漏洞，并制定出最佳的對策，降低企業信息安全風險；此外，加強相應的網絡管理，防止外來不法分子通過網絡侵入企業信息系統。（4）根據新時期企業信息化建設需要，加強企業信息技術人才、信息管理人才隊伍建設，為企業信息安全管理奠定堅實的人才基礎。一方面，在企業內部，加強信息技術人才培訓，提高企業內部相關人才業務素質能力；另一方面，在企業外部，采取有效措施，積極招聘人才，引進具有先進信息技術型人才；此外，建立健全企業信息安全管理用人機制，激發員工工作積極性，提高工作質量與效率。

5小結

總而言之，企業信息安全事關企業信息化建設是否成功，對于企業持續、健康、穩定發展具有至關重要的作用。因此，應提高企業信息安全管理意識，增強企業信息安全管理機制，促進企業信息安全管理工作質量與效率，保障企業信息化建設順利開展。

參考文獻

[1]毛志勇.企業信息化建設的信息安全形勢與對策研究[J].科技與產業，2008，8，（1）：43~45.

[2]纂振法，徐福緣.淺析企業信息化建設的意義、問題與對策[J].吉林省經濟管理干部學院學報，2001，3：24~28.

[3]謝志宏.企業信息化建設中的信息安全問題研究[J].企業導報，2014（06）：132~133.

[4]秦海峰.企業信息化建設中信息安全問題的分析研究[J].中國信息界，2012（05）：61~62.

篇5

隨著信息化技術的不斷發展進步，我國企業信息化建設得到了廣闊的發展空間，為提升企業在市場中核心競爭力帶來了無限動力。然而，受企業傳統經營理念以及信息化技術水平等影響，當前企業信息化建設中存在著諸多信息安全問題，例如信息風險與攻擊、網絡漏洞以及Web服務安全問題等，給企業持續、健康、穩定發展帶來巨大安全隱患。因此，加強企業信息化建設中安全管理勢在必行。本文在介紹企業信息化建設的基礎上，就當前企業信息化建設中信息安全問題進行了分析，并闡述了其導致因素，著重就如何提升企業信息安全管理提出了相應的對策。

【關鍵詞】企業信息化；信息安全問題；原因；對策

1企業信息化概述

2當前企業信息化建設中信息安全問題

企業信息化建設與發展為企業持續、健康、穩定發展發揮了顯著作用，但同時也存在著諸多信息安全問題，具體分析主要有以下幾方面[3]：

（1）當前，絕大多數企業缺乏完善的安全防御系統，導致企業內部使用的信息系統易遭受外部網絡系統的攻擊，引發企業信息資料被他人截獲、篡改與偽造等問題，甚至企業信息系統中出現通信線路、硬盤設施以及其他文件系統遭惡意破壞現象，上述問題的發生不但致使企業信息系統無法正常運行，而且其內部機密信息易發生泄漏，造成企業嚴重的社會經濟損失。

（2）針對郵件系統攻擊防不甚防。在企業信息系統中電子郵件具有重要的作用，通過電子郵件接收與傳送，極大的方便了企業內部間與外部間信息交流與溝通。然而，電子郵件安全問題也日益突出，典型的如電子郵件病毒、垃圾郵件、機密信息泄露以及電子郵件炸彈等，給企業信息傳輸帶來了巨大安全隱患。因此，電子郵件安全問題不可忽視。

（3）漏洞攻擊日益嚴重。按照漏洞問題發生原因可分為軟件漏洞和協議漏洞兩種，其中軟件漏洞主要是受外部不法分子攻擊軟件自身存在的漏洞，造成企業信息泄露等問題；而協議漏洞則主要是由于TCP/IP協議自身在安全機制方面存在的諸多漏洞問題導致，外部不法人員通過攻擊TCP/IP協議漏洞，致使企業信息系統遭受破壞。目前情況，很多企業對自身信息系統缺乏成熟的漏洞檢測手段和能力，往往事發后才采取補救措施。

（4）是Web服務安全問題突出，根據Web服務流程，其發生安全問題的主要組成包括Web服務端安全問題、瀏覽器客戶端安全問題兩種。其中，Web服務端安全問題主要是企業Web主機遭受外部不法分子侵入，導致企業保密信息遭竊或者企業部分信息遭受非法篡改等；瀏覽器客戶端安全問題則是企業瀏覽器客戶端遭外部非法分子侵入，致使部分機密信息與數據遭竊等。

3導致企業信息化建設中信息安全問題因素

企業信息化建設中信息安全問題發生受諸多因素影響，具體分析主要有以下幾方面[4]：

（1）目前，絕大多數企業在信息化建設過程中，對于信息安全問題重視度嚴重不足。一方面，受傳統經營觀念影響，企業管理層偏重于對企業生產經營中的有形資產給予關注與重視，而忽略了企業知識與信息資料等無形資源，導致在企業信息安全管理方面各項投入嚴重不足，進而造成信息安全問題日益凸顯；另一方面，多數企業在面對信息安全問題時，存在著盲目樂觀現象，認為信息安全問題不至于導致企業正常生產經營，使得信息安全管理無法上升至企業發展規劃戰略之中，進而造成信息安全問題得不到及時有效解決。

（2）由于企業信息化建設在我國尚處于起步階段，各方面配套管理制度不夠完善，特別是缺乏健全的企業信息安全管理體制。受此影響，企業信息化建設中信息安全問題一方面無法得到有效的預防措施，另一方面是一旦發生信息安全問題，無法采取及時有效的補救與解決對策。同時，由于缺乏科學、合理、有效的企業信息安全防護策略，使得企業信息管理人員缺乏必要的安全防護意識與業務素質能力，致使企業信息安全防護軟硬件工作質量與效率明顯不足。上述兩個因素，導致企業無論是從人員配置，還是資金與技術投入方面都嚴重不足，受企業信息管理人員業務素質能力不足、信息安全技術方法落后以及配套的資金缺乏等影響，企業信息安全防護的措施、手段偏低，造成企業信息化建設存在著嚴重安全隱患。

4提升企業信息化建設中信息安全對策

針對當前企業信息化建設中存在的信息安全問題，為加強企業信息安全管理，提升企業信息安全保障，可通過采取以下幾方面對策，具體有[5]：

（1）轉變傳統企業信息化建設觀念，在企業內部管理層從上至下加強對企業信息安全的重視，并樹立正確的安全意識。一方面，通過組織各種信息安全管理培訓等，增強全體企業員工信息安全意識，確保企業保密信息不外漏；另一方面，逐步加大企業信息化建設中信息安全管理各項資金、技術、人力投入，并建立科學、合理、有效的企業信息安全防護策略，保障企業信息系統安全穩定。

（2）不斷的推進網絡信息技術的發展與運用，促進企業組織結構網絡化的實現，同時引進先進的安全防護技術，確保企業信息化系統安全穩定運行。任何網絡信息系統都存在著或大或小的安全漏洞問題，而保證其不受外部不法分子侵入的一個關鍵方法就是安全防護技術的運用。通過選用先進的安全防護技術，可以有效的提高企業信息系統抵抗外來攻擊，避免企業信息遭受竊取、篡改甚至破壞等，對于保障企業持續、健康、穩定發展具有顯著作用。

（3）結合企業信息化建設實際情況，建立健全企業內部信息系統管理體制。一方面，針對信息安全問題，應建立科學、合理、規范的信息安全管理體制，保證企業信息系統安全運行；另一方面，建立健全企業安全風險評估機制，針對不同系統找出影響其安全的因素和漏洞，并制定出最佳的對策，降低企業信息安全風險；此外，加強相應的網絡管理，防止外來不法分子通過網絡侵入企業信息系統。

（4）根據新時期企業信息化建設需要，加強企業信息技術人才、信息管理人才隊伍建設，為企業信息安全管理奠定堅實的人才基礎。一方面，在企業內部，加強信息技術人才培訓，提高企業內部相關人才業務素質能力；另一方面，在企業外部，采取有效措施，積極招聘人才，引進具有先進信息技術型人才；此外，建立健全企業信息安全管理用人機制，激發員工工作積極性，提高工作質量與效率。

5小結

參考文獻

[1]毛志勇.企業信息化建設的信息安全形勢與對策研究[J].科技與產業，2008，8，（1）：43~45.

[2]纂振法，徐福緣.淺析企業信息化建設的意義、問題與對策[J].吉林省經濟管理干部學院學報，2001，3：24~28.

[3]謝志宏.企業信息化建設中的信息安全問題研究[J].企業導報，2014（06）：132~133.

[4]秦海峰.企業信息化建設中信息安全問題的分析研究[J].中國信息界，2012（05）：61~62.