企業信息安全建設精選(五篇)

序言：作為思想的載體和知識的探索者，寫作是一種獨特的藝術，我們為您準備了不同風格的5篇企業信息安全建設，期待它們能激發您的靈感。

篇1

關鍵詞： 企業信息系統；信息安全；安全策略

中圖分類號：F270.7 文獻標識碼：A 文章編號：1671－7597（2012）0220165－01

隨著市場經濟的不斷發展，企業競爭越來越激烈，國際化合作不斷增多，隨之而來的企業信息安全是目前我國企業普遍存在的問題。對企業來說，信息安全是一項艱巨的工作，關系到企業的發展。近年來，圍繞企業信息安全問題的話題不斷，企業信息安全事件也頻頻發生，如何保證企業信息的安全，保證信息系統的正常運轉，已經成為信息安全領域研究的新熱點。

1 企業信息安全的意義

信息安全是一個含義廣泛的名詞，是指防止信息財產被故意的或偶然的非授權泄露、更改、破壞，或防止信息被非法辨識、控制，即確保信息的保密性、可用性、完整性和可控性。企業的正常運轉，離不開信息資源的支撐。企業信息安全建設對企業的發展意義重大。

首先，信息安全是時展的需要。計算機網絡時代的發展，改變了傳統的商務運作模式，改變了企業的生產方式和思想觀念，極大推動了企業文化的發展。企業信息安全的建設將使得企業的管理水平與國際先進水平接軌，從而成長為企業向國際化發展與合作的有力支撐。

其次，信息安全是企業發展的需要。企業的信息化建設帶來了生產效率提高、成本降低、業務拓展等諸多好處。當前越來越多的企業信息和數據，都是以電子文檔的形式存在，對企業來說，信息安全是使企業信息不受威脅和侵害的保證，是企業發展的基本保障，所以，在積極防御，綜合防范的方針指導下，有效地防范和規避風險，建立起一套切實可行的長效防范機制，逐步建立起信息安全保障體系，有利于企業的發展。

最后，信息安全是企業穩定的必要前提。信息安全成為保障和促進企業穩定和信息化發展的重點，要充分認識信息安全工作的緊迫感和長期性，從企業的安全、經濟發展、企業穩定和保護企業利益的角度來思考問題，扎扎實實地做好基礎性工作和基礎設施建設，在建立信息安全保障體系的過程中，必須搞好鏈接信息安全保障體系建設安全、建設健康的網絡環境，關注信息戰略，保障和促進信息化的健康發展。

2 企業信息安全的現狀

我國企業信息安全包括計算機系統的硬、軟件及系統中的數據受到保護，不受偶然的或惡意的原因而遭到破壞、更改、泄露，使得系統連續、可靠、正常的運行，網絡服務不中斷。計算機和網絡技術具有復雜性和多樣性，使得企業信息安全成為一個需要持續更新和提高的領域。就目前來看，主要存在以下三個方面的隱患。

2.1 企業缺少信息安全管理制度

企業信息安全是一個比較新的領域，目前還缺少比較完善的法規，現有的法規，由于相關安全技術和手段還沒有成熟和標準化，法規也不能很好地被執行，安全標準和規范的缺少，導致無從制定合理的安全策略并確保此策略能被有效執行。企業的信息系統安全問題是一個系統工程，涉及到計算機技術和網絡技術以及管理等方方面面，同時，隨著信息系統的延伸和新興技術集成應用升級換代，它又是一個不斷發展的動態過程。因此對企業信息系統運行風險和安全需求應進行同期化的管理，不斷制定和調整安全策略，只有這樣，才能在享受企業信息系統便利高效的同時，把握住信息系統安全的大門。

2.2 員工缺少安全管理的責任心

一個企業的信息系統是企業全體人員參與的，不考慮全員參與的信息安全方案，恰恰忽視信息安全中最關鍵的因素――人，因為他們才是企業信息系統的提供者和使用者，他們是影響信息安全系統能否達到預期要求的決定因素。在眾多的攻擊行為和事件中，發生最多的安全事件是信息泄露事件。攻擊者主要來自企業內部，而不是來自企業外部的黑客等攻擊者，安全事件造成最大的經濟損失主要是內部人員有意或無意的信息泄露事件。針對內部員工的泄密行為，目前還沒有成熟的、全面的解決，對于來自企業信息內部信息泄密的安全問題，一直是整個信息安全保障體系的難點和弱點所在。

2.3 信息系統缺乏信息安全技術

計算機信息安全技術是一門由密碼應用技術、信息安全技術、數據災難與數據恢復技術、操作系統維護技術、局域網組網與維護技術、數據庫應用技術等組成的計算機綜合應用學科。由于認識能力和技術發展的局限性，在硬件和軟件設計過程中，難免留下技術缺陷，網絡硬件、軟件系統多數依靠進口，由此可造成企業信息安全的隱患，現在黑客的攻擊并不是為了破壞底層系統，而是為了入侵應用，竊取數據，帶有明顯的商業目的，許多黑客就是通過計算機操作系統的漏洞和后門程序進入企業信息系統。隨著網絡應用要求的越來越多，針對應用的攻擊也越來越多，除了在管理制度上確保信息安全外，還要在技術上確保信息安全。

3 企業信息安全中存在的問題

信息時代的到來，從根本上改變了企業經營形式，企業實施信息化為其帶來便利的同時也產生了巨大的信息安全風險。由于我國企業信息安全工作還處于起步階段，基礎薄弱，導致信息安全存在一些亟待解決的問題。比較常見的問題有病毒危害、“黑客”攻擊和網絡攻擊等，這些問題給企業造成直接的經濟損失，成為企業信息安全的最大威脅，使企業信息安全存在著風險因素。

3.1 病毒危害

計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者數據，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼，它是具有破壞作用的程序或指令集合。計算機病毒已經泛濫成災，幾乎無孔不入，據統計，計算機病毒的種類已經超過4萬多種，而且還在以每年40%的速度在遞增，隨著Internet技術的發展，病毒在企業信息系統中傳播的速度越來越快，其破壞性也越來越來越強。

3.2 “黑客”攻擊

“黑客”是英文Hacker的諧音，黑客是利用技術手段進入其權限以外的計算機系統的人。黑客破解或破壞某個程序、系統及網絡安全，或者破解某系統或網絡以提醒該系統所有者的系統安全漏洞的過程。通常采用后門程序、信息炸彈、拒絕服務、網絡監聽、密碼破解等手段侵入計算機系統，盜竊系統保密信息，進行信息破壞或占用系統資源，黑客攻擊已經成為近年來經常出現的問題。

3.3 網絡攻擊

網絡攻擊就是對網絡安全威脅的具體表現，利用網絡存在的漏洞和安全缺陷對系統和資源進行的攻擊。尤其是在最近幾年里，網絡攻擊技術和攻擊工具有了新的發展趨勢，使借助Internet運行業務的企業面臨著前所未有的風險。由此可知，企業的信息安全問題、以及對信息的安全管理都是至關重要的。要保證企業信息安全，就必須找出存在信息安全問題的根源，并具有良好的安全管理策略。

4 企業信息安全的解決方案

為確保企業信息安全，要堅持積極防御，綜合防范的方針，全面提高信息安全防護能力。因此，面對企業信息安全的現狀和企業信息安全發展中出現的問題，必須實施對企業的信息安全管理，建設信息安全管理體系，只有建立完善的安全管理制度，將信息安全管理自始至終貫徹落實于信息管理系統的方方面面，企業信息安全才能得以實現。企業信息安全的解決方案，具體表現在以下三個方面：

4.1 建立完善的安全管理體系

完整的企業信息系統安全管理體系首先要建立完善的組織體系，完成制定并信息安全管理規范和建立信息安全管理組織等工作，保障信息安全措施的落實以及信息安全體系自身的不斷完善。并建立一套信息安全規范，詳細說明各種信息安全策略。一個詳細的信息安全規劃可以減輕對于人的因素帶來的信息安全問題。最基本的企業安全管理過程包括：采用科學的企業信息資產評估和風險分析模型法、設計完備的信息系統動態安全模型、建立科學的可實施的安全策略，采取規范的安全防范措施、選用可靠穩定的安全產品等。安全防范體系的建立不是一勞永逸的，企業網絡信息自身的情況不斷變化，新的安全問題不斷涌現，必須根據暴露出的一些問題，進行更新，保證網絡安全防范體系的良性發展，

4.2 提高企業員工的安全意識

科技以人為本，在信息安全方面也是靠人來維護企業的利益，我們在企業信息網絡鞏固正面防護的時候不能忽視對人的行為規范和績效管理。企業員工信息安全意識的高低是一個企業信息安全體系是否能夠最終成功實施的決定性因素。企業應當制定企業人員信息安全行為規范，必須有專門管理人才，才能有效地實現企業安全、可靠、穩定運行，保證企業信息安全。教育培訓是培訓信息安全人才的重要手段，企業可以對所有相關人員進行經常性的安全培訓，強化技術人員對信息安全的重視，提升使用人員的安全觀念，有針對性的開展安全意識宣傳教育，逐步提高員工的安全意識，強調人的作用，使他們明確企業各級組織和人員的安全權限和責任，使他們的行為符合整個安全策略的要求。

4.3 不斷優化企業信息安全技術

企業一旦制定了一套詳細的安全規劃來武裝自己，保護其智力資產，它就開始投入到選擇采用正確信息安全技術上?？晒┢髽I選擇的防止信息安全漏洞的安全技術有很多。當企業選擇采用何種技術時，首先了解信息安全的三個領域是十分有幫助的，這三個領域變得：驗證與授權、預防和抵制、檢測和響應。其中，用戶驗證是確認用戶身份的一種方法，一旦系統確認了用戶身份，那么它就可以決定該用戶的訪問權限，比如使用用戶名和密碼。預防和抵抗技術是指企業阻止入侵者訪問。對于任何企業，必須對那些故障做好準備和預測，目前可以幫助預防和建設抵抗攻擊的技術主要有內容過濾、加密和防火墻，在選用防火墻的時候，需要對所安裝的防火墻做一些攻擊測試。此外，企業信息安全的最后一道屏障是探測和反應技術，最常見的探測和反應技術是殺毒軟件。

5 結語

總之，企業信息安全是一項復雜的系統工程，企業要適應現代化發展的需要，要提高自身信息安全意識，加強對信息安全風險防范意識的認識，重視安全策略的施行及安全教育，必須做到管理和技術并重，安全技術必須結合安全措施，并加強信息安全立法和執法的力度，建立備份和恢復機制， 為企業設計適合實際情況的安全解決方案，制定正確和采取適當的安全策略和安全機制，保證企業安全體系處于應有的健康狀態。

參考文獻：

[1]張帆，企業信息安全威脅分析與安全策略[J].網絡安全技術與應用，2007（5）.

[2]諶曉歡，企業信息安全問題及解決方案[J].企業技術開發，2008（8）.

[3]付沙，企業信息安全策略的研究與探討[J].商場現代化，2007（26）.

[4]姜樺、郭永利，企業信息安全策略研究[J].焦作大學學報，2009（1）.

篇2

關鍵詞：信息安全；管理體系；PKI/CA；MPLSVPN；基線

在供電企業現代信息技術廣泛運用生產經營、綜合管理之中，實現資源和信息共享，為領導提供相關輔助決策。保障企業信息安全是企業領導層、專業人員及企業全員共同面對的。信息安全是集管理、人員、設備、技術為一體系統工程，木桶原理可以很好地詮釋信息安全，一個企業安全不取決于最強項，而取決最短板。信息安全需從制度建設、體系架構、一體化防控體系、人員意識、專業人員技術水平等多方面共同建設，才能有效提高企業信息安全，才能為企業生產、經營保駕護航。

1基層供電信息安全現狀

基層供電企業信息安全建設方面，在制度建設、安全分區、網絡架構、一體化防護、人員意識、專業人員技術水平等多方面存在不同程度問題。

1.1管理制度不健全，制度多重化

信息安全制度建設方面較為被動，大多數都是現實之中出現某一問題，然后一個相關制度，制度修修補補。同一類問題有時出現不同管理規定里，處理辦法不一，甚至發生沖突。原有信息安全管理制度寬泛，操作性較差。信息系統建設渠道不同，未提前進行信息安全方面考慮，管理職責不明，導致部分信息安全工作開始不順暢。

1.2安全區域劃分不明，網絡架構不清晰

基層供電企業系統建設主要由上級推廣系統和自建系統，系統建設時候相當部分系統未充分考慮系統，特別是業務部門自建系統更甚。網絡建設需要什么就連接什么，存在服務器、終端、外聯區域不明顯，網絡架構不清晰。

1.3未建立一體化安全防護體系

從近些年已經發生的各類信息安全事件來看，內部客戶端問題造成超過將近70%。內部終端用戶網絡行為控制不足，存在網絡帶寬濫用；終端接入沒有相應準入控制，不滿足網絡安全需求用戶接入辦公網絡，網絡環境安全構成極大風險；內部人員對核心服務器和網絡設備未建立統一內部控制機制；移動介質未實施注冊制管理等問題。

1.4未建立行之有效設備基線標準

網絡安全設備、操作系統、數據庫、中間件、應用系統等廠家為了某種方便需求，在設備和系統中常常保留有默認缺省安全配置項，這些恰恰是別人利用漏洞。基層供電企業在部署設備和系統時，沒有統一基線標準，沒有對設備和系統進行相應基線加固，企業存在潛在風險。1.5信息安全意識較差，技術水平參差不齊企業信息安全認識存在認識上誤區，常常認為我們有較強信息安全保護設備，外部不易攻破內部，事實上堡壘常常是從內部攻破的。比如企業員工弱口令、甚至空口令、共用相同密碼、木馬、病毒、企業機密泄露等，這恰恰是基層供電企業全員信息安全意識較為薄弱表現。專業技術人員缺乏必要自我學習和知識主動更新，未取得專門信息安全專業人員資質，處理問題能力表現參差不齊。

2必要性

信息安全為國家安全重要組成部門，電力企業信息安全為國家信息安全的重要元素，電網安全事關國計民生。2014年2月，國家成立中央網絡安全和信息化領導小組，將網絡信息安全提升前所未有高度。近年發生的“棱鏡門”事件，前幾年發生伊朗核電站“震網”病毒（Stuxnet病毒）網絡攻擊，其中一個關鍵問題就是利用移動介質擺渡來進行攻擊，造成設備癱瘓，這一系列信息安全事件都事關國家安全，因此人人都要有信息安全意識。首先要防止企業機密數據（財務、人資、投資、客戶等）泄漏；其次，保持數據真實性和完整性，錯誤的或被篡改的不當信息可能會導致錯誤的決策或商業機會甚至信譽的喪失；最后，信息的可用性，防止由于人員、流程和技術服務的中斷而影響業務的正常運作，業務賴以生存的關鍵系統如失效，不能得到及時有效恢復，會造成重大損失。建立嚴格的訪問控制，前面數據分級時有制定數據的“所有者”及給敏感數據進行分級，按照分級的要求制定嚴格的訪問控制策略，基本的思想是最小特權原則和權限分離原則。最少特權是給定使用者最低的只需完成其工作任務的權限；權限分離原則是將不同的工作職能分開，只給相關職能有必要讓其知道的內容訪問權限。通過對內部網絡行為的監控可以規范內部的上網行為，提高工作效率，保護企業有限網絡資源應用于主要生產經營上來。

3特點探析

通過我們對基層供電企業在信息安全存在問題及必要性來看，主要是管理制度、網絡信息安全技術、人員意識等方面存在問題，有以下特點。

3.1管理制度方面

常說信息安全“三方技術、七分管理”，制度建設對信息安全保障至關重要。信息安全管理制度應該有上級主管部門建立一套統一管理制度，基層供電企業遵照執行，可以根據各單位具體情況進一步細化，讓管理制度落地。從企業總體信息安全方針到具體專業制度管理上，實現全網一體化，規范化。

3.2網絡信息安全技術方面

上級專業主管部門，站在企業高度，制定專業技術標準和技術細則。從網絡安全分區、網絡技術架構、互聯網接入和訪問方式、終端安全管理、網絡準入控制等方面統一規劃，分布實施，最終實現企業網絡信息安全防控一體化。

3.3信息安全意識培養方面

企業員工信息安全意識培養是個長期的過程，不是通過一次兩次培訓就能解決的，采取形式多樣化方式來培養員工安全意識，可以通過集中培訓講課、視頻宣傳、張貼宣傳畫等方式進行。針對專業人員，要讓他們養成按照制度辦事習慣，用戶需要申請某項資源，嚴格按照制度執行，填寫相應資源申請，有時候領導打招呼也要按照制度流程來執行。長此以往，人人都會知道自己該做什么，不該做什么，該怎么做，企業信息安全意識就會得到極大提高。

3.4專業技術人員水平方面

信息安全技術日新月異，不學習就落后，不斷收集信息安全方面信息，共同討論相關話題，建立相應培訓機制，專業人員實行持證上崗，提升專業人員實際解決問題能力，有效提高人員專業素養，成為企業信息安全方面專家。

4實施和開展

從2009年開始，先后進行一系列信息安全建設，涉及到信息安全制度建設、網絡信息安全體系架構、信息安全保障服務、人員培訓等方面，整體提高基層供電企業信息安全狀況。

4.1信息安全制度建設

2010年開始信息安全體系ISO27001、27002建設，結合企業情況，形成30個信息安全相關文件，涵蓋企業信息安全方針、等級保護、人員管理、機房管理、網絡信息系統運行維護管理、終端安全、病毒防護、介質管理、數據管理、日志管理、教育培訓等諸多方面。2013年為進一步提示公司信息化管理水平，先后增加修改建設管理、實用化管理、項目管理、信息安全管理、運維管理、綜合管理5個方面14個管理細則。經過這一系列制度建設，基層供電企業有章可循，全網信息安全依據統一，明確短板情況。

4.2建設一體化網絡與信息安全防控

首先依據電監會5號文件要求，網絡架構按照三層四區原則進行部署建設，生產實時控制大區（Ⅰ、Ⅱ區）與信息管理大區（Ⅲ、Ⅳ區）之間采用國家強制認證單向數據隔離裝置進行強制隔離，網絡架構采用核心、匯聚、接入部署。網絡接入按照功能劃分服務器區、網管區、核心交換區、用戶辦公區、外聯區、互聯網接入區，在綜合數據網上，利用MPLSVPN，根據劃分不同VPN業務、隔離相互間數據交叉。建立全網PKI/CA系統，構建企業員工在企業數字身份認證系統，已建成系統進行未采用PKI登陸系統，進行相應改造結合PKI/CA系統，采用PKI登陸，在建系統用戶登陸必須集成PKI登陸。根據企業信息安全要求，進行互聯網統一出口，部署統一互聯網防控設備，建立統一上網行為管理策略，規范員工上網行為，合理使用有限互聯網資源，審計員工上網日志，以備不時之需。建立企業統一病毒防護系統，實現病毒軟件統一安裝，病毒庫自動更新，防護策略統一下發，定期統計病毒分布情況，同時作為終端接入內網必備選項，對終端病毒態勢比較嚴重用戶進行督促整改，有效防止病毒在企業內部蔓延，進一步進化內網環境。建立統一網絡邊界安全防護，在企業內網邊界合理部署防火墻、IPS、UTM，并將其產生日志發送到統一安全管理平臺，進行日志管理分析，展現企業內部信息安全態勢，預警企業內部信息安全存在問題。利用AD域或PKI/CA進行用戶身份認證，建設統一桌面管理，所有內網用戶必須滿足最基本防病毒、安全助手、IT監控要求方可接入內網，系統啟用強制安全策略，終端采用采用DHCP，用戶不能自動修改IP地址，在DHCP服務器上實現IP與MAC地址及人員綁定，杜絕用戶私自更換IP地址引起沖突。安全認證方面可以采用NACC或交換機802.1x方式進行，不滿足要求用戶，自動重定向到指定網站進行安全合規性檢查，滿足要求后自動接入內網，強制所有用戶采用統一網絡安全準入規則。實行移動介質注冊制，極大提高終端安全性，有效保護企業信息資產。建立內部運維控制機制，實現4A統一安全管理，認證、賬號、授權、審計集中管控。規劃統一服務器、網絡設備資源池，按照用戶需求，提交相應申請材料，授權訪問特定設備和資源，并對用戶訪問行為全程記錄審計。

5結語

篇3

當前，企業信息安全尚在起步階段，發展不夠成熟健全，還有更多需要解決的問題。隨著網絡技術的發展，經濟信息量的大幅度上漲，處理信息必須依靠計算機才能完成，但計算機存在一定的弱點，例如計算機病毒、人員素質低下、黑客入侵等因素，以及移動4G、WIFI互聯等多邊界企業網絡環境下，由于內外部網絡是直接連接，其互通性和網絡訪問無限制性易形成黑客或惡意份子入侵的切入口，若是沒有設置任何的網絡邊界安全機制，將造成企業信息受到潛在的安全威脅。企業要想持續發展，信息安全是基本保障。企業信息化程度越高，企業數據也就越安全。企業發展的基礎即信息安全，企業管理者要正確認識信息安全工作的長期性和緊迫性。從保護企業利益，促進經濟發展，保證企業穩定與安全的角度來看，只有做好基礎性工作和設施建設，建立信息安全保障，以及建設安全健康的網絡環境，才能有助于信息化安全建設。其實不管科技如何發達，技術如何高超，都是人類智慧的結晶體，所以信息安全已無法離開人類。不少企業信息被泄露，多是人為因素導致，員工濫用企業信息將會給企業帶來極大的損失。

2企業信息化安全建設

當今社會已經步入信息知識經濟時代，信息對企業良性長久的發展尤為關鍵，但目前企業信息系統安全問題無疑是企業發展階段所面臨的重點難點。所謂的企業信息安全就是對企業信息資產采取保護措施，使其不受惡意或偶然侵犯而被破壞、篡改及泄露，確保信息系統可靠正常并連續的運行，最小化安全事件對業務的影響，實現業務運行的連續性。因此筆者認為以下幾方面是關鍵。

2.1做好網絡保護

其實要保證外網安全需要企業加大硬件設備的投入，信息安全產品在網絡經濟發展下正面臨著新的挑戰，傳統防火墻、信息加密、防病毒等已無法有效的抵御外部入侵；同時由于內部操作不當，導致內網感染病毒造成信息泄露的現狀也是信息安全的焦點問題。針對以上情況，建立事前有效防御，事后追究機制是企業信息化安全建設的當務之急。根據現代企業的特點，筆者認為從下面這幾點入手，有助于保護網絡的安全：

（1）身份認證技術。

企業內網操作時，可采用身份認證技術，借助PKI、PKM等工具，控制網絡應用程序的訪問，以及進行身份認證，實現有效資源合法應用和訪問的目的。

（2）審計跟蹤技術。

通過審計跟蹤技術監控和審計網絡，控制外設備如MSN、QQ、端口、打印、光驅、軟驅等，從而實現禁止使用指定程序，并促進員工操作行為及日志審計規范的目的。

（3）企業還應組建自身網絡拓撲結構。

利用嚴格密鑰機制和加密算法，有機的結合加密、認證、授權、審計等功能，保護最底層不同密集評定和授權方式的核心數據，而非限制應用網絡和控制網絡，進而真正實現合理保護，確保企業信息數據資源的安全。

2.2安全邊界的界定和管理

安全邊界的界定通過分析現有網絡邊界安全的需求，筆者認為有幾方面：首先，內部網段。即企業網內網，是防火墻的重點保護對象，安全級別和授信級別更高，主要承載對象是企業所有人員的計算機。其次，外部網段。即邊界路由器以外的網絡，比如移動4G、WIFI互聯等多邊界網絡，安全級別和授信級別最低，是企業信息數據泄露最大的安全隱患，需要嚴格禁止或控制。最后，DMZ網段。即對外服務器，安全級別和授信級別介于內外網絡之間，其資源運行外部網絡訪問。

（1）由于外部用戶訪問DMZ區域中服務器的方式較為特殊，在系統默認情況下是不被允許的。

可實際應用中是需要外部用戶對其進行訪問，所以防火墻上必須增加相應允許外部用戶訪問DMZ區域的訪問控制列表，通過對列表的控制允許用戶行為，并對進行很好的監控管理，保證企業信息的安全性。

（2）內部用戶對外部網絡以及DMZ區域中服務器的訪問。

按照ASA自適應安全算法，在系統默認情況下是允許高安全等級接口流向低安全等級接口流量的，外部網絡安全級別遠沒企業內部網絡安全級別高，所以在默認情況下這種訪問方式是被允許的，不過實際應用過程中，需要限制對外訪問流量。

（3）外部用戶對內部網絡的訪問。

在系統默認情況下這種情況是不被允許的，是對外部用戶非法訪問的有效抵御，能有效的保證企業信息的安全，促進企業信息化的安全建設。

2.3強化系統管理

由于任何安全軟件都有被攻擊或破解的可能性，單純依靠軟件技術來保障企業信息安全是不現實的，只有強化企業內部信息系統的管理才行之有效。所以，企業內部信息管理體制要完善，盡可能促進管理系統規范性和可靠性的提高，才能為企業內部信息的安全提供更高保障。同時，要進行安全風險評估工作。因為各個信息系統使用的都是不同的技術手段和組成方式，其自身優勢及安全漏洞也具有較大的差異，由此在選擇企業所需的信息系統時，一定要先做各個系統的安全風險評估工作，信息安全系統的選擇要針對企業自身特點，降低信息安全問題出現的概率。最后，就是加強系統管理。在實際生活中信息竊取和系統攻擊大多是在網絡上完成的，企業必須要強化網絡管理工作，以便促進企業的運行更安全政策。

2.4加強企業信息安全管理團隊建設

當前，企業信息安全體系的建設中已完全滲透“七分管理，三分技術”的意識，強化企業員工信息安全知識培訓，制定完善合理的信息安全管理制度，是企業信息安全建設順利實施的關鍵保障。企業信息安全建設時要另立專門管理信息安全的部門，負責企業內部的信息安全防護工作，加強對企業內部計算機網絡系統的維護及常規檢查。企業信息安全管理團隊的職責主要包括：工作人員安全操作規范、工作人員守則以及管理制度的制定，再交由上級主管部門審批后監督制度規范的執行；定期組織安全運行和信息網絡建設的檢查監測，掌握公司全面的第一手安全資料，根據資料研究相關的安全對策和措施；負責常規的信息網絡安全管理維護工作；定期制訂安全工作總結，且要接受國家相關信息安全職能部門對信息安全的工作指導。

2.5入侵檢測系統（IDS）與入侵防護系統（IPS）

IDS即入侵檢測系統能夠彌補防火墻的缺陷，能實時的提供給網絡安全入侵檢測，并采取一定的防護手段保護網絡。良好的入侵檢測系統不但可有助于系統管理員隨時了解網絡系統的變更，還能提高可靠的網絡安全策略制訂依據。因此，入侵檢測系統的管理應配置簡單，隨時根據系統構造、網絡規模、安全需求改變。IDS必須布置在能夠監控局域網和Internet之間所有流量的地方，才能第一時間檢測到入侵時，做出及時的響應，比如記錄時間、切斷網絡連接等。

3總結

篇4

關鍵詞：信息系統；網絡；安全

1信息系統安全建設原則

（1）物理隔離原則。為確保信息安全，信息系統必須與互聯網及其他公共信息網絡實行物理隔離。（2）分域分級原則。信息系統應根據信息密級、使用單位行政級別等級劃分不同的安全域并確定等級，按照相應等級的保護要求進行防護。（3）信息流向控制原則。禁止高密級信息由高等級信息系統或安全域流向低等級信息系統或安全域。（4）最小化授權與分權管理原則。信息系統內用戶的權限應配置為確保其完成工作所必須的最小權限，網絡中賬號設置、服務設置、主機間信任關系配置等應該為網絡正常運行所需的最小限度，并使不同用戶的權限相互獨立、相互制約，避免出現權限過大的用戶或賬號。（5）技術與管理并重原則。信息系統應采取技術和管理相互結合的、整體的安全技防措施。（6）標注化原則。設計應嚴格執行國家有關行業標準、國家相關部門的強制標準等，確保系統質量。（7）安全產品選型原則。企業在信息系統建設中必須選用可靠有效的安全產品，如具備國家相關管理機構檢測證書的產品。（8）實用性原則。系統要力求最大限度地滿足實際環境需要，充分考慮系統應用業務的特殊性，把滿足用戶需求作為設計的第一要素。（9）適度安全原則。要在安全風險分析的基礎上，實事求是、因地制宜地確定防護程度和安全措施，避免弱保護和過保護，保證安全措施切實可行，達到最佳防護目的。（10）動態防護原則。隨著技術的發展，網絡威脅攻擊手段的變化，企業信息系統必須不斷改進和完善安全保障措施，及時進行信息系統安全防護技術和設備的升級換代。

2建設目標

根據對信息系統的現狀分析、安全風險分析、安全保密需求分析，按照相關技術要求和管理要求，遵循前述原則，建設科學合理，符合安全保密需求的信息系統，全面提升企業信息安全防范能力。

3建設內容

企業的信息系統安全建設包括物理安全、運行安全、信息安全保密以及安全保密管理四個方面的內容。（1）物理安全。物理安全是指信息系統的環境安全、設備安全、介質安全。（2）運行安全。運行安全包括備份與恢復、病毒防護、應急響應、運行管理。（3）信息安全保密。信息安全涉及內容包括身份鑒別與訪問控制、密碼保護措施、電磁泄露發射保護、安全性能檢測、邊界安全防護、硬件系統安全、信息完整性校驗、安全審計、操作系統和數據庫安全。（4）安全保密管理。包括安全保密管理策略、安全保密管理制度、人員管理、物理環境與設施管理、設備與介質管理、運行與開發管理、信息保密管理。

4企業信息系統安全建設

（1）網絡綜合布線。a.選擇具備資質的施工單位；b.線纜選擇光纖與屏蔽線；c.布線嚴格遵循國家相關標準；d.交換設備選型應考慮未來企業信息化業務發展的需要；e.根據業務、密級以及知悉范圍劃分VLAN，并創建ACL，實現訪問控制；f.優化網絡配置，禁用暫時不用端口，對接入終端采用IP+MAC+端口綁定策略，防止非授權接入。（2）安全域。根據信息系統的信息密級劃分不同的安全域并確定等級，按照相應等級的保護要求進行防護。按照上述原則，一般將單位信息系統劃分為重要應用安全域、一般應用安全域、辦公安全域、管理安全域等四個區域，如圖1所示。圖中每個區域代表一個安全域，安全域前端架設防火墻，通過防火墻設置訪問控制策略，僅開放必要端口及IP，控制信息流向，實現安全域間的訪問控制。（3）交換機安全設置。全部交換機配置為SSH加密方式通信，對接入端口采用IP+MAC+端口綁定方式，禁用暫時不用端口，實現網絡層的身份認證。（4）安全產品部署。a.全部終端納入域控管理，通過主域控制器將安全策略下發至終端，如實名登錄、密碼管理、屏幕保護等策略，實現系統層身份認證。b.創建補丁分發系統，為全部終端定期升級系統安全補丁，完善系統的安全可靠性。c.全部終端安裝網絡版殺毒軟件，由系統管理人員定期導入最新病毒庫升級包，全網下發，制定殺毒策略，統一查殺網絡病毒。d.終端輸入輸出端口嚴格管控。終端安裝審計、打印管理、輸入輸出管理安全軟件，防止非授權移動存儲介質在信息系統中使用，對系統中的打印行為實現全生命周期管理，嚴格管控，從而降低或杜絕失泄密事件的發生。e.重要關鍵設備、服務器冗余備份。對系統中的核心交換機、防火墻采取在線或離線方式備份，避免因設備損壞造成網絡通信中斷，影響公司業務工作的開展；對重要部位的供電線路采用雙路供電+ups方式保障供電安全；對重要的核心業務服務器數據采用在線即時備份以及數據遠程異地備份的方式，確保數據完整、準確、安全。f.定期對系統進行漏洞掃描分析，發現系統中存在風險與漏洞，及時對系統修復完善。g.部署統一的日志存儲及分析系統，統計分析系統重要關鍵設備的生成日志，便于及時發現問題并解決問題。（5）制定應急響應預案，保證數據安全。應急響應預案的制定必須具有可操作性，應根據事件的等級制定響應流程，明確管理責任及責任主體，同時還需要在日常進行針對性的應急響應培訓教育與演練。

5結束語

篇5

一、企業信息化建設過程中信息安全的問題 

一般情況下能造成企業內部信息安全問題的原因分為外部原因和內部原因，可是不管是內部原因還是外部原因都會對企業的信息系統的安全帶來隱患。 

1.1企業內部因素 

第一個方面是企業的信息安全意識不強，雖然是現在有很多的企業加快企業內部信息化建設的進程，但是有些企業只是在表面上看到信息化建設所帶來的優勢，而信息化建設當中的安全問題并沒能夠引起企業的足夠重視，所以在信息化建設的過程中比較容易出現安全隱患。第二個方面就是我國的安全軟件還是比較落后，雖然國內計算機軟件技術在快速的反戰，可是與一些發達的國家相比還是存在一定距離，第三個方面在管理操作方面存在問題，現在有很多的企業對于自己企業內部的信息安全問題還存在不夠重視的問題，在企業信息系統的管理上不夠謹慎，這就會被不法分子和黑客進入的機會，造成了企業的主要信息被盜取。第四個方面缺少優秀的專業管理團隊，企業信息的系統安全是前期的制定和日常系統安全的維護以及日后都是由專業的人員來進行操作，所以相關的技術人員都必須具有很好的素養和賢能的技術，第五個方面法律法規的不全面。現在我國與企業信息安全問題的法律法規不全面這就造成企業內部信息被盜取不能得到相關的賠償。 

1.2企業外部因素 

現在企業信息安全系統的威脅主要來自于外部的因素，隨著我國經濟社會的飛速變化，在競爭激烈情況下信息是非常重要的，大昂仁會有很多的不法分子會利用各種手段來盜取企業的信息為自身得到利益。還有些企業在于對手的競爭過程中使用不正當的手段來擊垮對手保證自己企業的利益。 

二、企業信息化建設過程中的信息安全與對策 

在我國社會經濟快速發展的今天，企業信息安全對于一個企業的發展是非常具有意義的，企業的信息被盜取和泄露會給企業帶來很大的損失，所以說企業對信息安全問題必須要有足夠的重視。有的企業已經做好了信息安全的必要工作就應該更加注意安全軟件并不是時時刻刻都能做好安全的保護，做好安全保護還要加強管理。 

2.1確保正確的安全意識 

一個企業在信息化發展的過程中，應該認識到企業信息的安全問題和企業發展相互的關聯。如果企業的重要內部信息被盜取或者泄露那么對于企業所造成的打擊是非常大的，而與此同時也是給了對手創造了很好機會。所以確保正確的安全信息意識對于一個企業來說是非常重要的，也是為了以后給企業的各項工作打下了很好基礎。 

2.2選擇安全性能比較高的軟件 

其實任何軟件都不是牢不可破的，可是對于安全性能比較高的軟件，如果說破解的話難度還是相當高的，所以企業選擇安全軟件的時候要選擇安全性能高的，不要為了節省一點企業的支出而選擇使用安全性能差的保護軟件，一旦出現問題所造成的企業損失價值會大于軟件的價格。 

2.3加強企業網路管理 

很大一部分的企業信息被盜取都是不法分子通過網絡進行的，所以說必須要對企業的網絡管理進行加強，這樣才能確保企業信息系統在安全的狀態的情況下運行。對于信息安全的種類和等級的高低來進行制定合理的方案，并且提前做出如果發生特殊情況下怎么進行處理的方案。如果說企業的信息安全發生危機的時候，企業應該快速的組建處理小組，針對信息安全危機的步驟處理并且做好危機處理的工作，還要避免出現由于處理不當而產生的各種情況。 

結語：以上所述是企業信息化建設過程中所必需要面對的問題，一個企業的信息安全建設應該先從管理開始，必須做到以防范為主要，必需制定有效的安全防護把安全的風險降至最低。在現在經濟發展的快速時代，企業信息的安全問題決定著企業的安全運營。 

參 考 文 獻 

[1] 原黎. 探析企業信息安全問題的成因及對策[J]. 現代工業經濟和信息化. 2011（08） 

[2] 張耀輝. 關于企業信息化建設中的信息安全探討[J]. 電子技術與軟件工程. 2013（14）

[3] 趙曉華，陳秀芹，周文艷，夏莉莉，李建忠. 網絡環境下河北中小企業信息安全問題研究[J]. 科技資訊. 2013（31）