企業(yè)信息安全管控精選(五篇)

序言：作為思想的載體和知識(shí)的探索者，寫作是一種獨(dú)特的藝術(shù)，我們?yōu)槟鷾?zhǔn)備了不同風(fēng)格的5篇企業(yè)信息安全管控，期待它們能激發(fā)您的靈感。

篇1

信息安全準(zhǔn)則是風(fēng)險(xiǎn)評(píng)估和制定最優(yōu)解決方案的關(guān)鍵，優(yōu)秀的信息安全準(zhǔn)則包括：根據(jù)企業(yè)業(yè)務(wù)目標(biāo)執(zhí)行風(fēng)險(xiǎn)管理；有組織的確定員工角色和責(zé)任；對(duì)用戶和數(shù)據(jù)實(shí)行最小化權(quán)限管理；在應(yīng)用和系統(tǒng)的計(jì)劃和開發(fā)過(guò)程中就考慮安全防護(hù)的問(wèn)題；在應(yīng)用中實(shí)施逐層防護(hù)；建立高度集成的安全防護(hù)框架；將監(jiān)控、審計(jì)和快速反應(yīng)結(jié)合為一體。良好信息安全準(zhǔn)則可以讓企業(yè)內(nèi)外部用戶了解企業(yè)信息安全理念，從而讓企業(yè)信息管理部門更好地對(duì)風(fēng)險(xiǎn)進(jìn)行管控。

2企業(yè)信息安全管理的主要手段

2.1網(wǎng)絡(luò)安全

（1）保證安全的外部人員連接。在日常工作中，外部合作伙伴經(jīng)常會(huì)提出聯(lián)入企業(yè)內(nèi)網(wǎng)的需求，由于這些聯(lián)入內(nèi)網(wǎng)的外部人員及其終端并不符合企業(yè)的信息安全標(biāo)準(zhǔn)，因此存在信息安全隱患。控制此類風(fēng)險(xiǎn)的手段主要有：對(duì)用戶賬戶使用硬件KEY等強(qiáng)驗(yàn)證手段；全面管控外部單位的網(wǎng)絡(luò)接入等。

（2）遠(yuǎn)程接入控制。隨著VPN技術(shù)的不斷發(fā)展，遠(yuǎn)程接入的風(fēng)險(xiǎn)已降低到企業(yè)的可控范圍，而近年來(lái)移動(dòng)辦公的興起更是推動(dòng)了遠(yuǎn)程接入技術(shù)的發(fā)展。企業(yè)采用USBKEY，動(dòng)態(tài)口令牌等硬件認(rèn)證方式的遠(yuǎn)程接入要更加的安全。

（3）網(wǎng)絡(luò)劃分。在過(guò)去，企業(yè)內(nèi)部以開放式的網(wǎng)絡(luò)為主。隨著網(wǎng)絡(luò)和互聯(lián)網(wǎng)信息技術(shù)的成熟，非受控終端給企業(yè)內(nèi)網(wǎng)帶來(lái)的安全壓力越來(lái)越大。這些不受信任的終端為攻擊者提供了訪問(wèn)企業(yè)網(wǎng)絡(luò)的路徑。信息管理部門可以利用IPSec技術(shù)有效提高企業(yè)網(wǎng)絡(luò)安全，實(shí)現(xiàn)對(duì)位于公司防火墻內(nèi)部終端的完全管控。

（4）網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)。網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)作為防火墻的補(bǔ)充，主要用于監(jiān)控網(wǎng)絡(luò)傳輸，在檢測(cè)到可疑傳輸行為時(shí)報(bào)警。作為企業(yè)信息安全架構(gòu)的必備設(shè)備，入侵檢測(cè)系統(tǒng)能有效防控企業(yè)外部的惡意攻擊行為，隨著信息技術(shù)的發(fā)展，各大安全廠商如賽門鐵克，思科等均研發(fā)出來(lái)成熟的入侵檢測(cè)系統(tǒng)產(chǎn)品。

（5）無(wú)線網(wǎng)絡(luò)安全。無(wú)線網(wǎng)絡(luò)現(xiàn)在已遍布企業(yè)的辦公區(qū)域，給企業(yè)和用戶帶來(lái)便利的同時(shí)也存在信息安全的隱患。要保證企業(yè)內(nèi)部無(wú)線網(wǎng)絡(luò)的安全，信息管理部門需要使用更新更安全的協(xié)議（如無(wú)線保護(hù)接入WPA或WPA2）；使用VLAN劃分和域提供互相隔離的無(wú)線網(wǎng)絡(luò)；利用802.1x和EAP技術(shù)加強(qiáng)對(duì)無(wú)線網(wǎng)絡(luò)的訪問(wèn)控制。

2.2訪問(wèn)控制

（1）密碼策略。高強(qiáng)度的密碼需要幾年時(shí)間來(lái)破解，而脆弱的密碼在一分鐘內(nèi)就可以被破解。提高企業(yè)用戶的密碼強(qiáng)度是訪問(wèn)控制的必要手段。為避免弱密碼可能對(duì)公司造成的危害，企業(yè)必須制定密碼策略并利用技術(shù)手段保證執(zhí)行。

（2）用戶權(quán)限管理。企業(yè)的員工從進(jìn)入公司到離職是一個(gè)完整的生命周期，要便捷有效地在這個(gè)生命周期中對(duì)員工的權(quán)限進(jìn)行管理，需要企業(yè)具有完善的身份管理平臺(tái)，從而實(shí)現(xiàn)授權(quán)流程的自動(dòng)化，并實(shí)現(xiàn)企業(yè)內(nèi)應(yīng)用的單點(diǎn)登陸。

（3）公鑰系統(tǒng)。公鑰系統(tǒng)是訪問(wèn)控制乃至信息安全架構(gòu)的核心模塊，無(wú)線網(wǎng)絡(luò)訪問(wèn)授權(quán)，VPN接入，文件加密系統(tǒng)等均可以通過(guò)公鑰系統(tǒng)提升安全水平，因此企業(yè)應(yīng)當(dāng)部署PKI/CA系統(tǒng)。

2.3監(jiān)控與審計(jì)

（1）病毒掃描與補(bǔ)丁管理。企業(yè)需要統(tǒng)一的防病毒系統(tǒng)和終端管理系統(tǒng)，在終端定期更新病毒定義，進(jìn)行病毒自掃描，自動(dòng)更新操作系統(tǒng)補(bǔ)丁，以減少桌面終端的安全風(fēng)險(xiǎn)。此類管控手段通常需要在用戶的終端上安裝客戶端，或?qū)K端進(jìn)行定制，在終端接入企業(yè)內(nèi)網(wǎng)時(shí)，終端管理系統(tǒng)會(huì)在隔離區(qū)域?qū)υ摻K端進(jìn)行綜合評(píng)估打分，通過(guò)評(píng)估后方能接入內(nèi)網(wǎng)。才能保證系統(tǒng)的安全策略被有效執(zhí)行。

（2）惡意軟件防控。主流的惡意軟件防控體系主要由五部分構(gòu)成：防病毒系統(tǒng)；內(nèi)容過(guò)濾網(wǎng)關(guān)；郵件過(guò)濾網(wǎng)關(guān)；惡意網(wǎng)頁(yè)過(guò)濾網(wǎng)關(guān)和入侵檢測(cè)軟件。

（3）安全事件記錄和審計(jì)。企業(yè)應(yīng)當(dāng)配置日志審計(jì)系統(tǒng)，收集信息安全事件，產(chǎn)生審計(jì)記錄，根據(jù)記錄進(jìn)行安全事件分析，并采取相應(yīng)的處理措施。

2.4培訓(xùn)與宣傳提高企業(yè)管理層和員工的信息安全意識(shí)，是信息安全管理工作的基礎(chǔ)。了解信息安全的必要性，管理層才會(huì)支持信息安全管理建設(shè)，用戶才會(huì)配合信息管理部門工作。利用定期培訓(xùn)，宣傳海報(bào)，郵件等方式定期反復(fù)對(duì)企業(yè)用戶進(jìn)行信息安全培訓(xùn)和宣傳，能有效提高企業(yè)信息安全管理水平。

3總結(jié)

篇2

【關(guān)鍵詞】電力企業(yè)；信息安全；桌面管控技術(shù)

引言

隨著信息技術(shù)的發(fā)展，信息系統(tǒng)的深入應(yīng)用，信息安全成為國(guó)家電力企業(yè)信息化的重要工作內(nèi)容。由于桌面終端和用戶的數(shù)量多，從而容易帶來(lái)信息安全隱患，致使信息管理部門難以開展工作。近幾年，多數(shù)電力企業(yè)制定了對(duì)桌面的管理制度，統(tǒng)一了桌面終端管理系統(tǒng)。但是，如何將管理制度落實(shí)到實(shí)際工作中并將現(xiàn)有的技術(shù)應(yīng)用到桌面信息安全管理，還需要不斷的深入研究與實(shí)踐。

1桌面終端信息安全管理現(xiàn)狀

近幾年，我國(guó)電力企業(yè)提出了信息安全的八不準(zhǔn)和五禁止，由于電力企業(yè)提出上述措施，有利于各企業(yè)桌面終端系統(tǒng)信息安全工作的順利開展，大力推廣了桌面終端管理系統(tǒng)的應(yīng)用，對(duì)非法接入外網(wǎng)實(shí)施了有效的監(jiān)控，提升了對(duì)移動(dòng)儲(chǔ)存介質(zhì)的管理。但根據(jù)桌面終端管理系統(tǒng)的相關(guān)數(shù)據(jù)顯示，還沒有達(dá)到對(duì)信息安全的要求，仍然存在很多問(wèn)題，致使信息管理部門的工作難以開展[1]。因此必須要立足于桌面管控技術(shù)全面的提升電力企業(yè)信息安全水平，從而有效的保障電力企業(yè)的信息安全。

2桌面終端存在的問(wèn)題

目前，桌面終端主要存在以下幾個(gè)方面的問(wèn)題：①接入外網(wǎng)時(shí)計(jì)算機(jī)感染病毒，特別是由于移動(dòng)儲(chǔ)存介質(zhì)最容易感染，而且傳播的速度極快；②部分員工利用電子郵件辦公時(shí)，電子郵件里會(huì)出現(xiàn)一些敏感字體；③非法接入外網(wǎng)現(xiàn)象始終存在，桌面終端的口令設(shè)置較弱；④桌面終端補(bǔ)丁更新率、桌面終端注冊(cè)率和殺毒軟件安裝率較低，沒有達(dá)到企業(yè)的標(biāo)準(zhǔn)。致使以上問(wèn)題出現(xiàn)的原因有：①對(duì)信息安全的管理力度不夠，沒有將其歸入對(duì)信息管理部門工作人員的考核中，沒有將現(xiàn)有的桌面管控技術(shù)手段深入應(yīng)用；②對(duì)信息安全管理的要求較為分散，沒有統(tǒng)一的管理標(biāo)準(zhǔn)，雖然通過(guò)各種方式開展宣傳，但是僅對(duì)信息管理部門的工作人員有用，其他部門員工對(duì)信息安全的認(rèn)知度不夠[2]；③部分員工信息安全意識(shí)淡薄，沒有將信息安全管理的要求落實(shí)到實(shí)際工作中，認(rèn)為信息安全可有可無(wú)，存在無(wú)所謂的心理。

3桌面管理及提升技術(shù)的措施

3.1桌面管理措施

3.1.1計(jì)算機(jī)安裝流程標(biāo)準(zhǔn)化電力企業(yè)中，所有新購(gòu)買的計(jì)算機(jī)統(tǒng)一由信息管理部門安裝殺毒軟件和操作系統(tǒng)。修補(bǔ)系統(tǒng)中存在的漏洞，注冊(cè)桌面系統(tǒng)的新端口，初始開機(jī)口令的設(shè)置要符合國(guó)家統(tǒng)一的標(biāo)準(zhǔn)。只有完成以上流程，才能下發(fā)給網(wǎng)絡(luò)用戶并接入網(wǎng)絡(luò)，嚴(yán)格把控好信息設(shè)備的安全性，從根源上消除桌面信息安全隱患。3.1.2完善管理制度企業(yè)應(yīng)制定統(tǒng)一的管理制度，落實(shí)好信息管理部門的工作內(nèi)容，其工作內(nèi)容包括：信息設(shè)備的損壞修理、安裝、領(lǐng)用、驗(yàn)收及信息的來(lái)源。由于筆記本計(jì)算機(jī)容易感染其他網(wǎng)絡(luò)端口的病毒，出現(xiàn)重裝系統(tǒng)的問(wèn)題，致使管理人員不易管理，對(duì)此不允許接入其他網(wǎng)絡(luò)，從制度的根本上確保企業(yè)內(nèi)所有的聯(lián)網(wǎng)端口都是由信息管理部門負(fù)責(zé)。除此之外，統(tǒng)一訂購(gòu)帶有企業(yè)標(biāo)志的移動(dòng)儲(chǔ)存介質(zhì)，工作人員在領(lǐng)用時(shí)必須簽字，待離職時(shí)交還信息管理部門。3.1.3提高工作人員信息安全意識(shí)由于工作人員的信息安全意識(shí)淡薄，不了解企業(yè)對(duì)信息安全的要求，還沒有掌握信息安全的技術(shù)，這些都成為信息潛在的安全隱患，對(duì)此，加大對(duì)員工信息安全意識(shí)的培訓(xùn)力度顯得至關(guān)重要。工作人員的信息安全意識(shí)應(yīng)從第一天入職的時(shí)候就加以重視，培訓(xùn)人員要全方面的開展對(duì)新入職員工的培訓(xùn)，包括：技術(shù)手段、管理制度、信息安全意識(shí)、對(duì)信息保密等。培訓(xùn)之后，可以實(shí)施對(duì)信息安全有關(guān)知識(shí)和技術(shù)手段的考核[3]。除此之外，給員工配備計(jì)算機(jī)時(shí)，要給員工講解使用的要求及注意事項(xiàng)，且讓其簽字。通過(guò)信息安全培訓(xùn)，使工作人員掌握桌面管控的相關(guān)知識(shí)和信息安全知識(shí)，提高了工作人員的信息安全技術(shù)水平和職業(yè)素養(yǎng)及其安全意識(shí)，給信息安全提供了強(qiáng)有力的技術(shù)支撐。3.1.4強(qiáng)化外網(wǎng)終端接入流程管理各地區(qū)電力企業(yè)的外網(wǎng)桌面終端接入要嚴(yán)格遵守內(nèi)網(wǎng)終端接入的標(biāo)準(zhǔn)流程，電力企業(yè)外網(wǎng)終端接入需要由企業(yè)管理人員向協(xié)同辦公系統(tǒng)簽報(bào)流程提報(bào)申請(qǐng)，經(jīng)外網(wǎng)管理部門領(lǐng)導(dǎo)審批后轉(zhuǎn)發(fā)信通分公司，再由企業(yè)的網(wǎng)控室調(diào)整終端準(zhǔn)入賬號(hào)、分配IP地址，并根據(jù)各企業(yè)的具體情況派發(fā)終端，由運(yùn)維人員將符合入網(wǎng)條件的外網(wǎng)終端入網(wǎng)并進(jìn)行安裝調(diào)試，再由網(wǎng)控室進(jìn)行檢查，確定是否達(dá)到入網(wǎng)的標(biāo)準(zhǔn)，如果沒有達(dá)到標(biāo)準(zhǔn)要及時(shí)修改，值班人員需進(jìn)行回訪，將工作單及時(shí)歸檔[4]。具體的申請(qǐng)流程詳見圖1。

3.2提升桌面管理技術(shù)的措施

3.2.1定期檢查、維護(hù)信息安全使用掃描設(shè)備對(duì)企業(yè)整個(gè)網(wǎng)絡(luò)系統(tǒng)進(jìn)行掃描，對(duì)出現(xiàn)的問(wèn)題及漏洞及時(shí)解決，一旦發(fā)現(xiàn)有桌面終端不符合基線要求，可以通過(guò)北信源程序下發(fā)符合基線要求的方法，保證桌面終端達(dá)到基線的要求。信息管理部門的工作人員要定期檢查桌面終端及控制系統(tǒng)的各項(xiàng)數(shù)據(jù)，出現(xiàn)異常要及時(shí)解決，逐步提升信息安全水平。3.2.2加固桌面終端由信息管理部門統(tǒng)一分配終端，完成對(duì)使用軟件和操作系統(tǒng)的安裝，并對(duì)桌面終端進(jìn)行加固。接入網(wǎng)絡(luò)時(shí)，嚴(yán)格按照企業(yè)制定的桌面管理系統(tǒng)和準(zhǔn)入要求執(zhí)行，安裝必要的殺毒軟件及辦公軟件。對(duì)于沒有注冊(cè)和沒有安裝殺毒軟件的設(shè)備采取強(qiáng)制下線措施，對(duì)帶有敏感字的文檔給予提醒，以此保證殺毒軟件的安裝率和桌面終端的注冊(cè)率。內(nèi)、外網(wǎng)的桌面終端在接入后，需由信息管理部門工作人員綁定接入交換機(jī)，將沒有使用到的端口關(guān)閉，預(yù)防其他用戶非法侵入[5]。3.2.3使用桌面終端系統(tǒng)的監(jiān)控功能除了可以使用桌面終端管理系統(tǒng)的非法接入外網(wǎng)、警告口令設(shè)置低、殺毒軟件的安裝率和桌面終端的注冊(cè)率之外，該系統(tǒng)中還有控制的功能，可以通過(guò)控制功能，杜絕桌面終端用戶的不安全行為。例如通過(guò)硬件資源管理中的控制系統(tǒng)，在特定的區(qū)域內(nèi)禁止使用藍(lán)牙設(shè)備與紅外線設(shè)備。有利于防范終端用戶使用信息內(nèi)網(wǎng)接連計(jì)算機(jī)，有效解決了違規(guī)接入外網(wǎng)。3.2.4使用北信源系統(tǒng)在北信源系統(tǒng)（見圖2）中可以采用硬件設(shè)備控制，通過(guò)設(shè)備控制禁止使用藍(lán)牙設(shè)備和紅外線設(shè)備；采用進(jìn)程監(jiān)控功能，防止無(wú)線網(wǎng)卡設(shè)備的侵入；設(shè)置防火墻，只允許桌面終端訪問(wèn)企業(yè)內(nèi)部網(wǎng)址；將IP與MAC綁定，嚴(yán)禁使用用冗余網(wǎng)卡，防止修改IP與網(wǎng)關(guān)，以防發(fā)生違規(guī)外聯(lián)事件；實(shí)施文件動(dòng)態(tài)監(jiān)控、文件內(nèi)容檢查和終端檢查，確保敏感信息檢查執(zhí)行率及保密檢測(cè)系統(tǒng)安裝率指標(biāo)水平。

4結(jié)語(yǔ)

21世紀(jì)以來(lái)，傳統(tǒng)的桌面終端管理模式已經(jīng)無(wú)法適應(yīng)社會(huì)的需求，不能安全有效地管控桌面終端。通過(guò)企業(yè)制定的桌面管理制度和桌面終端管理系統(tǒng)，提升了桌面管控技術(shù)，使桌面終端的工作流程規(guī)范化，在提升信息安全的同時(shí)，也提高了工作人員的桌面安全管理意識(shí)。在電力企業(yè)中采用桌面管控技術(shù)來(lái)提升信息安全，還需要不斷地實(shí)踐與探索，只有堅(jiān)持不懈，才能使企業(yè)保持信息安全，走可持續(xù)發(fā)展道路。

參考文獻(xiàn):

[1]姚瑋.電力企業(yè)信息安全全生命周期管控[J].電力信息與通信技術(shù)，2015（08）.

[2]馬之力，張馴，崔阿軍，袁暉.電網(wǎng)企業(yè)網(wǎng)絡(luò)準(zhǔn)入體系設(shè)計(jì)與應(yīng)用[J].電力信息與通信技術(shù)，2015（05）.

[3]陶明峰，劉志剛，徐勝朋，邢藝欣，襲建學(xué).市縣級(jí)電力公司網(wǎng)絡(luò)一體化管理設(shè)計(jì)與研究[J].電力信息與通信技術(shù)，2015（05）.

[4]吳石松，劉曄.電力企業(yè)桌面終端安全管理應(yīng)用研究[J].現(xiàn)代計(jì)算機(jī)（專業(yè)版），2013（36）.

篇3

關(guān)鍵詞：企業(yè)內(nèi)部控制；信息化；安全管理

隨著信息化技術(shù)的發(fā)展，企業(yè)信息化工具擴(kuò)展度越來(lái)越高，擴(kuò)展面越來(lái)越廣，大大提升了企業(yè)運(yùn)營(yíng)及管理的便捷性，企業(yè)依賴系統(tǒng)大數(shù)據(jù)的信息處理和分析來(lái)提升效率，信息化技術(shù)應(yīng)用為企業(yè)創(chuàng)造了不可替代的價(jià)值。企業(yè)財(cái)務(wù)系統(tǒng)、資源管理系統(tǒng)、辦公系統(tǒng)等形成企業(yè)信息化綜合平臺(tái)，隨著信息數(shù)據(jù)的大量輸入、輸出、交換、應(yīng)用，信息處理的便捷使企業(yè)信息化安全工作越來(lái)越重要。任何信息安全方面缺失或弱化都可能造成工作的中止、信息的丟失或泄露，使企業(yè)產(chǎn)生影響或經(jīng)濟(jì)損失，以信息化平臺(tái)為重要工作工具的單位，影響更加重大。4G時(shí)代的到來(lái)，為企業(yè)信息走向移動(dòng)化鋪好了平臺(tái)，也為企業(yè)信息安全管理提出了新一步要求。

我國(guó)的《企業(yè)內(nèi)部控制基本規(guī)范》中提到信息化安全管理問(wèn)題，該規(guī)范第四十一條指出：“企業(yè)應(yīng)當(dāng)利用信息技術(shù)促進(jìn)信息的集成與共享，充分發(fā)揮信息技術(shù)在信息溝通中的作用。企業(yè)應(yīng)當(dāng)加強(qiáng)對(duì)信息系統(tǒng)開發(fā)與維護(hù)、訪問(wèn)與變更、數(shù)據(jù)輸入與輸出、文件儲(chǔ)存與保管、網(wǎng)絡(luò)安全等方面的控制，保證信息系統(tǒng)安全穩(wěn)定運(yùn)行。”所以信息化安全管理應(yīng)為現(xiàn)代企業(yè)內(nèi)部控制管理重要內(nèi)容，如何優(yōu)化信息化管理，提升信息化安全，成為需要思考的問(wèn)題。

一、信息化安全管理分析

企業(yè)信息化安全管理包括物理安全管理、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、應(yīng)用安全管理等，內(nèi)部控制的實(shí)施有助于預(yù)防信息化管理下企業(yè)信息數(shù)據(jù)尤其是財(cái)務(wù)數(shù)據(jù)丟失的風(fēng)險(xiǎn)，降低借助信息系統(tǒng)舞弊的可能性，保證企業(yè)各項(xiàng)經(jīng)營(yíng)活動(dòng)有效運(yùn)行。企業(yè)應(yīng)通過(guò)企業(yè)信息化安全工作分析，定期進(jìn)行信息化安全工作檢查，落實(shí)信息化安全內(nèi)部控制管理。

（一）物理安全內(nèi)部控制管理

1.硬件安全

信息化處理以電腦、服務(wù)器、存儲(chǔ)設(shè)備、網(wǎng)絡(luò)設(shè)備、安全設(shè)備作為硬件設(shè)備，電腦等信息終端設(shè)備不完善或故障會(huì)影響辦公；服務(wù)設(shè)備如服務(wù)器、存儲(chǔ)設(shè)備的損壞，會(huì)直接造成數(shù)據(jù)的丟失和數(shù)據(jù)處理的中斷；網(wǎng)絡(luò)設(shè)備如路由器、交換機(jī)的損壞，會(huì)讓系統(tǒng)停止。沒有安全設(shè)備或安全設(shè)備不工作會(huì)讓系統(tǒng)受外界所攻擊或盜取重要信息。企業(yè)信息化安全管理應(yīng)對(duì)硬件安全有應(yīng)急預(yù)案，增加必要的備用設(shè)備，如服務(wù)器、路由器、交換機(jī)等，設(shè)備一旦損壞，備用設(shè)備馬上進(jìn)入工作狀態(tài)，使業(yè)務(wù)不中止或恢復(fù)時(shí)間短。設(shè)備應(yīng)支持雙路電源供電，對(duì)于有可能的停電，企業(yè)應(yīng)準(zhǔn)備和啟用備用電源。

2.信息設(shè)備環(huán)境安全

環(huán)境安全包含防火、防盜、溫度、濕度、潔凈度等環(huán)境安全，只有安全的信息設(shè)備環(huán)境才能保障信息設(shè)備正常、高效工作，防范設(shè)備滅失或信息損失。對(duì)于一個(gè)大型或中型企業(yè)應(yīng)專門建設(shè)符合上述環(huán)境要素的機(jī)房，服務(wù)器等設(shè)備應(yīng)放在機(jī)房，因機(jī)器不間斷運(yùn)轉(zhuǎn)造成溫度較高，應(yīng)配備精密空調(diào)等制冷設(shè)備，確保溫濕度得到精確控制，服務(wù)器的放置空間要合理，保持空氣的流通并符合設(shè)備散熱需求。機(jī)房配置消防報(bào)警裝置、氣體滅火裝置，以應(yīng)對(duì)突發(fā)火災(zāi)事件。機(jī)房重地應(yīng)有門禁管理，確保防盜和人為破壞的發(fā)生，信息化管理人員應(yīng)就機(jī)房建設(shè)及日常管理進(jìn)行檢查。

另外移動(dòng)辦公設(shè)備（筆記本電腦、平板電腦、手機(jī)）的廣泛使用使設(shè)備不安全性增加，云技術(shù)、云方案不斷推新應(yīng)用，使移動(dòng)辦公增加，企業(yè)應(yīng)對(duì)于移動(dòng)辦公設(shè)備丟失制訂預(yù)案，對(duì)重要移動(dòng)設(shè)備做防盜防丟失部署，以使設(shè)備被盜或丟失時(shí)由信息管理員實(shí)施遠(yuǎn)程鎖定，阻止非法入侵或直接銷毀設(shè)備中的數(shù)據(jù)。

3.數(shù)據(jù)安全

數(shù)據(jù)的安全分為數(shù)據(jù)保護(hù)、數(shù)據(jù)保密和數(shù)據(jù)恢復(fù)。存儲(chǔ)設(shè)備是數(shù)據(jù)的載體，也是實(shí)施信息化企業(yè)的生命，數(shù)據(jù)丟失可以是致命的，一個(gè)安全穩(wěn)定的存儲(chǔ)設(shè)備對(duì)數(shù)據(jù)保護(hù)至關(guān)重要。重要數(shù)據(jù)應(yīng)以加密存儲(chǔ)，存儲(chǔ)介質(zhì)廢棄時(shí)的完全抹除是數(shù)據(jù)保密應(yīng)注意事項(xiàng)，可使用硬件自加密硬盤簡(jiǎn)化數(shù)據(jù)保密過(guò)程。而存儲(chǔ)備份和恢復(fù)方案的實(shí)施是數(shù)據(jù)安全的最后一道防線，可以在事件發(fā)生后數(shù)據(jù)得以恢復(fù)。企業(yè)應(yīng)及時(shí)做好數(shù)據(jù)備份、異地備份，防范火災(zāi)、地震等不可預(yù)知事項(xiàng)帶來(lái)的數(shù)據(jù)滅失。企業(yè)應(yīng)做出數(shù)據(jù)恢復(fù)預(yù)案并進(jìn)行演習(xí)以應(yīng)對(duì)可能的數(shù)據(jù)安全事故。

（二）網(wǎng)絡(luò)安全與信息傳輸安全內(nèi)部控制管理

網(wǎng)絡(luò)提供了便捷的信息傳遞、快速的信息查詢，實(shí)現(xiàn)多人多組織的便捷工作，但也帶來(lái)網(wǎng)絡(luò)風(fēng)險(xiǎn)。企業(yè)首先應(yīng)做好網(wǎng)絡(luò)訪問(wèn)控制，最主要的措施是建立有效的防火墻，應(yīng)檢查企業(yè)網(wǎng)絡(luò)設(shè)備是否安裝了有效的防火墻，防火墻的版本是否能及時(shí)最新，是否安排專門人員定期通過(guò)收集分析網(wǎng)絡(luò)行為、安全日志等進(jìn)行入侵檢測(cè)，檢查訪問(wèn)控制權(quán)限審批授予是否得當(dāng)，是否對(duì)不適當(dāng)?shù)娜俗鲈L問(wèn)權(quán)限的撤銷管理。

終端用戶操作不當(dāng)，如違規(guī)安裝軟件或互聯(lián)網(wǎng)資訊點(diǎn)擊可能使病毒侵入網(wǎng)絡(luò)，故企業(yè)防止內(nèi)部局域網(wǎng)風(fēng)險(xiǎn)，需規(guī)范終端用戶操作，對(duì)網(wǎng)上下載文件有必要要求及管理。針對(duì)承載保密信息的電腦，企業(yè)應(yīng)專機(jī)專用并禁止與外網(wǎng)進(jìn)行連接。對(duì)于有特殊安全需求的部門可部署桌面云方案，將數(shù)據(jù)和操作安全策略放置到服務(wù)器上統(tǒng)一管理。企業(yè)可通過(guò)部署網(wǎng)絡(luò)防病毒軟件并實(shí)時(shí)更新保證各終端使用相同的安全策略，避免個(gè)體不正確的安全習(xí)慣，保證定期進(jìn)行病毒和惡意軟件的查殺和清除，保障系統(tǒng)不因病毒侵入而崩潰，是信息化安全內(nèi)控管理的有效手段。

運(yùn)營(yíng)商的線路故障，可能造成整個(gè)網(wǎng)絡(luò)信息溝通中斷，雖然幾率較少，但對(duì)于以信息化工具為重要手段的單位影響會(huì)很大；為防止外部網(wǎng)絡(luò)中斷，檢查評(píng)估是否需要選擇兩家運(yùn)營(yíng)商，保證信息傳輸?shù)恼！?/p>

（三）系統(tǒng)安全內(nèi)部控制管理

軟件是信息化實(shí)現(xiàn)的載體，所有信息都是基于軟件進(jìn)行輸入、輸出、運(yùn)算、分析和應(yīng)用的。

軟件安全成為一個(gè)越來(lái)越不容忽視的問(wèn)題，軟件漏洞會(huì)造成信息丟失、信息泄露。軟件病毒會(huì)造成系統(tǒng)崩潰、信息錯(cuò)誤。提升軟件安全性，是企業(yè)信息化建設(shè)的重要環(huán)節(jié)。

企業(yè)的軟件安全管理應(yīng)檢查是否使用可靠的系統(tǒng)操作平臺(tái)軟件，比如：Windows、Linux；是否安裝有效的防病毒軟件并及時(shí)更新，比如：卡巴斯基、諾頓等；是否選擇安全保障高的信息化應(yīng)用系統(tǒng)軟件，比如：SAP、Oracle、金蝶、用友軟件等；信息化軟件是否有穩(wěn)定后期保障服務(wù)。完善的軟件是信息化數(shù)據(jù)安全和信息化功能應(yīng)用的保證。

（四）應(yīng)用安全內(nèi)部控制管理

1.系統(tǒng)平臺(tái)應(yīng)用內(nèi)部控制管理

企業(yè)信息化最主要應(yīng)用是使用系統(tǒng)平成會(huì)計(jì)信息自動(dòng)化處理與分析、實(shí)現(xiàn)業(yè)務(wù)流程記錄與信息傳遞。企業(yè)應(yīng)做到信息化平臺(tái)統(tǒng)籌規(guī)劃，使財(cái)務(wù)信息化和業(yè)務(wù)流程信息化充分結(jié)合，提高信息處理效率及信息管控力度，將企業(yè)的管理思想有效置入信息化流程使信息化平臺(tái)成為企業(yè)內(nèi)部控制管理的有效工具和手段。

企業(yè)信息化系統(tǒng)平臺(tái)應(yīng)用工作包括系統(tǒng)上線實(shí)施建設(shè)和系統(tǒng)日常運(yùn)維管理，都有內(nèi)部控制風(fēng)險(xiǎn)點(diǎn)管理。系統(tǒng)上線實(shí)施建設(shè)為系統(tǒng)平臺(tái)應(yīng)用的基礎(chǔ)，對(duì)企業(yè)信息化應(yīng)用起到關(guān)鍵作用。對(duì)于信息化應(yīng)用程度深的企業(yè)，若實(shí)施不成功會(huì)給企業(yè)帶來(lái)經(jīng)濟(jì)損失乃至巨大風(fēng)險(xiǎn)，為內(nèi)部控制管理重大風(fēng)險(xiǎn)點(diǎn)，應(yīng)予以高度重視。企業(yè)應(yīng)制定詳細(xì)的工作計(jì)劃及實(shí)施方案，優(yōu)化系統(tǒng)流程，制定編碼規(guī)則，項(xiàng)目經(jīng)理應(yīng)實(shí)施有效的進(jìn)度管理以保證系統(tǒng)上線成功，系統(tǒng)上線后應(yīng)對(duì)項(xiàng)目進(jìn)行驗(yàn)收，對(duì)應(yīng)用中發(fā)現(xiàn)問(wèn)題予以改善。系統(tǒng)日常運(yùn)維管理（包括變更管理）是信息化有效穩(wěn)定運(yùn)行的保證，企業(yè)應(yīng)制定管理制度進(jìn)行規(guī)范化管理，信息化管理人員做好工作表單記錄，通過(guò)檢查表單記錄評(píng)估信息化工作開展是否得當(dāng)。

系統(tǒng)平臺(tái)應(yīng)用離不開系統(tǒng)流程與系統(tǒng)授權(quán)管理，只有信息化系統(tǒng)操作流程及權(quán)限設(shè)置合適，內(nèi)部控制管理工作才能有效開展，風(fēng)險(xiǎn)得到即時(shí)控制。系統(tǒng)流程管理要求系統(tǒng)流程與企業(yè)管理流程文件相符；系統(tǒng)流程設(shè)置應(yīng)合理有效，以企業(yè)增值及反應(yīng)速度為原則，在實(shí)現(xiàn)內(nèi)部控制基礎(chǔ)上盡量做到流程簡(jiǎn)化，體現(xiàn)內(nèi)部控制管理的全面性、重要性、制衡性、適應(yīng)性和成本效益性。授權(quán)管理為企業(yè)內(nèi)部控制管理關(guān)鍵點(diǎn)，如何做好系統(tǒng)授權(quán)？首先，授權(quán)人適崗，要求系統(tǒng)授權(quán)人或批準(zhǔn)人對(duì)公司流程掌握，對(duì)內(nèi)部控制管理有清醒的認(rèn)識(shí)，對(duì)不相容崗位分離有清楚的把握，保證授權(quán)批準(zhǔn)人與執(zhí)行人分離，業(yè)務(wù)執(zhí)行人與審核人分離，執(zhí)行人和記錄人分離，物資保管人與記錄人分離，執(zhí)行業(yè)務(wù)人與物資保管人分離；其次，配備必要的授權(quán)審核人員，授權(quán)審核人員可以是企業(yè)內(nèi)控管理人員也可以是企業(yè)制度制訂及管理人員，在系統(tǒng)流程制訂時(shí)對(duì)授權(quán)設(shè)置進(jìn)行審核，定期開展授權(quán)審計(jì)，以發(fā)現(xiàn)授權(quán)中問(wèn)題，及時(shí)更正；再次，授權(quán)管理包括授權(quán)工作也包括撤銷授權(quán)工作，需及時(shí)做好離職離崗人員系統(tǒng)權(quán)限調(diào)整，以保證系統(tǒng)操作人權(quán)限適合。

鑒于系統(tǒng)平臺(tái)將企業(yè)信息做了大規(guī)模的集中，信息泄露的風(fēng)險(xiǎn)加大，所以對(duì)于系統(tǒng)數(shù)據(jù)、信息引出（下載）的權(quán)限管理應(yīng)高度重視，尤其是關(guān)鍵數(shù)據(jù)及信息引出，避免信息批量式流出或關(guān)鍵信息被不適合人使用，給企業(yè)帶來(lái)災(zāi)難性損失或技術(shù)成果和管理成果被他人竊取。

2.密碼內(nèi)部控制管理

服務(wù)器、電腦、平臺(tái)系統(tǒng)進(jìn)入都需要密碼管理，企業(yè)應(yīng)要求操作人員有效設(shè)置密碼，不得將密碼告知他人，定期更換密碼，企業(yè)應(yīng)檢查企業(yè)員工外出離崗時(shí)有無(wú)告知他人密碼協(xié)助處理流程的行為。隨著技術(shù)進(jìn)步，企業(yè)可通過(guò)技術(shù)手段實(shí)施密碼管理。

3.電子郵件和即時(shí)交流工具安全管理

信息傳輸?shù)谋憬菪允剐畔⒒L(fēng)險(xiǎn)加大，信息傳輸風(fēng)險(xiǎn)包括重要信息流出后不受控制及內(nèi)部數(shù)據(jù)信息通過(guò)電子郵件、QQ等即時(shí)通訊工具方式泄露，企業(yè)應(yīng)評(píng)估重要崗位、重要文檔信息流出的風(fēng)險(xiǎn)度，必要時(shí)使用信息安全軟件管理，進(jìn)行重要文檔加密或?qū)μ囟▍^(qū)域信息加密管理；通過(guò)網(wǎng)絡(luò)行為管理軟件跟蹤敏感文件和信息的泄露，使企業(yè)信息安全得到控制。對(duì)于即時(shí)通訊系統(tǒng)如QQ等可能帶來(lái)的病毒和入侵風(fēng)險(xiǎn)，企業(yè)可根據(jù)信息化管理的重要程度確定是否部署內(nèi)部專用即時(shí)通訊系統(tǒng)予以防范。

（五）隨著信息技術(shù)的不斷發(fā)展與進(jìn)步，各種云平臺(tái)服務(wù)推出，服務(wù)提供商可以提供專業(yè)的機(jī)房、服務(wù)器、存儲(chǔ)、網(wǎng)絡(luò)、信息化平臺(tái)等供企業(yè)租用，企業(yè)只需付一定的服務(wù)費(fèi)，為企業(yè)解決大部分信息化安全問(wèn)題。使用云平臺(tái)服務(wù)要做好服務(wù)商的選擇，對(duì)于關(guān)鍵信息和數(shù)據(jù)采用做好方案選擇。

二、結(jié)語(yǔ)

篇4

關(guān)鍵詞 網(wǎng)絡(luò)安全;互聯(lián)網(wǎng);風(fēng)險(xiǎn)

中圖分類號(hào)：TP3 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1671-7597（2014）21-0241-01

計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)在帶給人們方便的同時(shí)，也使網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)也大大增加。網(wǎng)絡(luò)信息安全已成為當(dāng)今社會(huì)互聯(lián)網(wǎng)技術(shù)研究的重要難題。針對(duì)網(wǎng)絡(luò)攻擊行為，采用多種網(wǎng)絡(luò)信息安全技術(shù)進(jìn)行防護(hù)，可以有效的減少攻擊行為所帶來(lái)的損失。

1 網(wǎng)絡(luò)安全隱患

網(wǎng)絡(luò)安全，不僅指網(wǎng)絡(luò)的信息系統(tǒng)安全，還包括網(wǎng)絡(luò)系統(tǒng)中的硬件、軟件及數(shù)據(jù)資源不遭受破壞、泄漏和更改，保證網(wǎng)絡(luò)系統(tǒng)的安全可靠運(yùn)行，防止各種有害信息和非法信息的傳播。

企業(yè)網(wǎng)絡(luò)的安全隱患主要表現(xiàn)在以下幾個(gè)方面。

1）物理安全風(fēng)險(xiǎn)。物理安全包括網(wǎng)絡(luò)系統(tǒng)中的各種網(wǎng)絡(luò)硬件設(shè)備，如路由器、交換機(jī)、工作站和服務(wù)器等的通信鏈路的運(yùn)行安全。物理安全風(fēng)險(xiǎn)主要有：火災(zāi)、雷擊、水災(zāi)等自然災(zāi)害，外界電磁干擾，人為誤操作或者破壞，設(shè)備自身的缺陷或者弱點(diǎn)等。

2）網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。網(wǎng)絡(luò)是一個(gè)開放性的平臺(tái)，企業(yè)的信息網(wǎng)絡(luò)安全受到各種威脅和攻擊。網(wǎng)絡(luò)入侵者能夠通過(guò)系統(tǒng)漏洞及各種掃描工具，以攻擊程序?qū)W(wǎng)絡(luò)進(jìn)行惡意的攻擊，導(dǎo)致企業(yè)網(wǎng)絡(luò)癱瘓，甚至是網(wǎng)絡(luò)信息被篡改、竊取。

3）系統(tǒng)安全風(fēng)險(xiǎn)。企業(yè)網(wǎng)絡(luò)設(shè)備主要為服務(wù)器系統(tǒng)、路由器交換機(jī)系統(tǒng)。在企業(yè)服務(wù)器系統(tǒng)中，設(shè)有數(shù)據(jù)庫(kù)系統(tǒng)、操作系統(tǒng)、其他應(yīng)用系統(tǒng)等。這些系統(tǒng)必然或多或少地存在著一些漏洞，一旦攻擊者通過(guò)這些漏洞，可能會(huì)對(duì)系統(tǒng)造成很大的損失。

4）用戶安全風(fēng)險(xiǎn)。這種風(fēng)險(xiǎn)主要是針對(duì)企業(yè)的內(nèi)部人員，防止內(nèi)部人員對(duì)系統(tǒng)和網(wǎng)絡(luò)的誤用、攻擊等情況。如內(nèi)部人員計(jì)算機(jī)感染了惡意軟件或木馬程序時(shí)，可能會(huì)造成內(nèi)網(wǎng)的ARP攻擊。

2 提高企業(yè)信息網(wǎng)絡(luò)安全措施

2.1 網(wǎng)絡(luò)安全解決辦法

提高網(wǎng)絡(luò)安全，是為了保證網(wǎng)絡(luò)系統(tǒng)不受外來(lái)攻擊和內(nèi)在的故障，安全穩(wěn)定的運(yùn)行。而防火墻是網(wǎng)絡(luò)系統(tǒng)安全的第一道門檻，通過(guò)硬件和軟件來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)的安全。防火墻的主要性能包括：

1）對(duì)內(nèi)外部網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行控制。網(wǎng)絡(luò)防火墻是鏈接內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的通道，防火墻的特殊網(wǎng)絡(luò)位置特征，決定了可以有效的保護(hù)內(nèi)部網(wǎng)絡(luò)不被破壞和攻擊。

2）防火墻可以有效的過(guò)濾網(wǎng)絡(luò)數(shù)據(jù)流量。通過(guò)防火墻的數(shù)據(jù)流量必須是經(jīng)過(guò)防火墻認(rèn)定，符合一定安全策略的才能通過(guò)，只有在該前提下，在適當(dāng)?shù)膮f(xié)議層才能進(jìn)行訪問(wèn)規(guī)則和通過(guò)安全審查，對(duì)于那些不符合通過(guò)條件的報(bào)文予以阻斷。

3）應(yīng)用層防火墻具備更細(xì)致的防護(hù)能力。傳統(tǒng)防火墻由于不具備區(qū)分端口和應(yīng)用的能力，以至于傳統(tǒng)防火墻僅僅只能防御傳統(tǒng)的攻擊，基于應(yīng)用層的攻擊則毫無(wú)辦法。而新一代的防火墻解決了這個(gè)問(wèn)題，它具備應(yīng)用層分析的能力，能夠基于不同的應(yīng)用特征，實(shí)現(xiàn)應(yīng)用層的攻擊過(guò)濾，更好的針對(duì)應(yīng)用層攻擊進(jìn)行防護(hù)。

2.2 系統(tǒng)安全解決辦法

1）操作系統(tǒng)安全措施。操作系統(tǒng)的安全措施主要包括以下內(nèi)容：①在局域網(wǎng)內(nèi)建立WSUS補(bǔ)丁服務(wù)器，為整個(gè)局域網(wǎng)提供微軟全系列軟件的補(bǔ)丁。②操作系統(tǒng)及其各種應(yīng)用軟件及時(shí)更新補(bǔ)丁，有效防止黑客的攻擊和病毒的感染。

2）系統(tǒng)漏洞掃描。目前的網(wǎng)絡(luò)和系統(tǒng)配置往往存在部分漏洞，這些漏洞容易被黑客利用，使系統(tǒng)的安全存在隱患。因此，提前發(fā)現(xiàn)漏洞并進(jìn)行處理，可以減少系統(tǒng)安全威脅，避免不必要的損失。漏洞掃描和檢測(cè)工具可以對(duì)網(wǎng)絡(luò)設(shè)備和操作系統(tǒng)進(jìn)行掃描，對(duì)系統(tǒng)中存在的漏洞生成檢查報(bào)告，并提示用戶及時(shí)安裝相應(yīng)的漏洞補(bǔ)丁，以提高系統(tǒng)安全性。

3）網(wǎng)絡(luò)入侵檢測(cè)及預(yù)警。為了提高信息安全基礎(chǔ)結(jié)構(gòu)完整性，使用入侵檢測(cè)及預(yù)警系統(tǒng)是防火墻的有益補(bǔ)充，進(jìn)一步提高了系統(tǒng)面對(duì)網(wǎng)絡(luò)攻擊的安全性，使系統(tǒng)管理員更方便的對(duì)系統(tǒng)安全進(jìn)行管理。

4）病毒防護(hù)。計(jì)算機(jī)病毒對(duì)系統(tǒng)和網(wǎng)絡(luò)安全的威脅越來(lái)越引起人們的重視，而針對(duì)計(jì)算機(jī)病毒的防護(hù)和掃描是系統(tǒng)安全必不可少的。計(jì)算機(jī)病毒的防治在于完善操作系統(tǒng)和應(yīng)用軟件的安全機(jī)制和防范措施。使用高性能網(wǎng)絡(luò)殺毒軟件不僅能針對(duì)流行病毒進(jìn)行查殺，阻斷病毒的蔓延，而且還能實(shí)現(xiàn)實(shí)時(shí)監(jiān)控和預(yù)防，避免計(jì)算機(jī)染上病毒。

5）網(wǎng)絡(luò)審計(jì)與監(jiān)控。網(wǎng)絡(luò)審計(jì)和監(jiān)控不僅依靠網(wǎng)管軟件和系統(tǒng)管理軟件來(lái)實(shí)現(xiàn)，還應(yīng)采用目前較成熟的網(wǎng)絡(luò)監(jiān)測(cè)設(shè)備和實(shí)時(shí)入侵監(jiān)測(cè)，對(duì)系統(tǒng)中的網(wǎng)絡(luò)行為進(jìn)行監(jiān)控、預(yù)警和阻斷，及時(shí)預(yù)防網(wǎng)絡(luò)入侵行為和采取相應(yīng)的措施。

6）數(shù)據(jù)備份與恢復(fù)。對(duì)于數(shù)據(jù)的備份和恢復(fù)應(yīng)采用高速、大容量、自動(dòng)的數(shù)據(jù)備份恢復(fù)。對(duì)于部分系統(tǒng)的備份，可以采取增量備份，只針對(duì)系統(tǒng)發(fā)生過(guò)更改的部分文件進(jìn)行備份。

2.3 應(yīng)用級(jí)安全解決辦法

1）用戶授權(quán)管理。實(shí)現(xiàn)了多級(jí)分權(quán)的權(quán)限劃分機(jī)制，不同的部門只能在允許的范圍內(nèi)對(duì)數(shù)據(jù)進(jìn)行操作，而對(duì)于管理部門，則可以跨部門或者全部操作。其次是功能權(quán)限，可以自定義的方式確定用戶的增加、刪除、修改、查詢權(quán)限。

2）數(shù)據(jù)安全備份。數(shù)據(jù)安全是整個(gè)系統(tǒng)安全的核心，是系統(tǒng)可靠性的體現(xiàn)和關(guān)鍵環(huán)節(jié)。為此，系統(tǒng)中可自定義備份策略，實(shí)現(xiàn)定期自動(dòng)備份，也可手動(dòng)備份手動(dòng)恢復(fù)。

3）數(shù)據(jù)加密。應(yīng)對(duì)關(guān)鍵數(shù)據(jù)采用了完善的數(shù)據(jù)加密措施，如登錄帳號(hào)和密碼。作為最重要的身份識(shí)別依據(jù)和權(quán)限開關(guān)，其安全性的重要程度在應(yīng)屬于最高級(jí)。軟件的關(guān)鍵配置文檔，里面有關(guān)鍵的參數(shù)設(shè)置，也應(yīng)進(jìn)行了相應(yīng)的加密處理，保證的系統(tǒng)的穩(wěn)定性。

4）操作日志。對(duì)于系統(tǒng)的登陸和操作情況應(yīng)進(jìn)行自動(dòng)記錄，并形成報(bào)告和日志，進(jìn)行痕跡保留，對(duì)操作方式，操作內(nèi)容，操作時(shí)間等都可以進(jìn)行記錄。

3 結(jié)論

在計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展過(guò)程中，企業(yè)的信息網(wǎng)絡(luò)安全技術(shù)水平也不斷提高。隨著企業(yè)的發(fā)展和業(yè)務(wù)的拓展，網(wǎng)絡(luò)安全受到極大的挑戰(zhàn)，黑客攻擊、病毒入侵、非法訪問(wèn)等不斷發(fā)生。因此，從企業(yè)網(wǎng)絡(luò)信息安全需求及等級(jí)情況出發(fā)，選擇適合企業(yè)自身需求的企業(yè)網(wǎng)絡(luò)信息安全措施，可以有效的保障企業(yè)信息網(wǎng)絡(luò)的健康運(yùn)行。

參考文獻(xiàn)

[1]王能輝.我國(guó)計(jì)算機(jī)網(wǎng)絡(luò)及信息安全存在的問(wèn)題和對(duì)策[J].科技信息，2010（7）.

篇5

企業(yè)經(jīng)營(yíng)信息對(duì)于企業(yè)來(lái)說(shuō)是一種資源，對(duì)于企業(yè)自身來(lái)說(shuō)具有重要意義，企業(yè)需要妥善管理自身企業(yè)的信息。近年來(lái)，企業(yè)的各項(xiàng)經(jīng)營(yíng)活動(dòng)都逐漸開始通過(guò)計(jì)算機(jī)，網(wǎng)絡(luò)開展，因此，企業(yè)的信息安全管理對(duì)于企業(yè)越來(lái)越重要。許多企業(yè)開始通過(guò)各種技術(shù)手段以及制度改革，把更多的注意力放在企業(yè)內(nèi)部的信息安全管理工作，同時(shí)將企業(yè)信息安全管理與風(fēng)險(xiǎn)控制結(jié)合起來(lái)，這是一個(gè)正確的選擇，能夠幫助企業(yè)實(shí)現(xiàn)穩(wěn)定經(jīng)營(yíng)。在介紹企業(yè)信息安全管理以及風(fēng)險(xiǎn)控制前必須厘清企業(yè)信息安全管理的概念與企業(yè)風(fēng)險(xiǎn)控制定義，因此，本節(jié)將著重介紹企業(yè)信息安全管理的概念以及企業(yè)風(fēng)險(xiǎn)控制的定義。

企業(yè)的信息安全管理包含十分豐富的內(nèi)容，簡(jiǎn)單來(lái)說(shuō)是指企業(yè)通過(guò)各種手段來(lái)保護(hù)企業(yè)硬件和軟件，保護(hù)網(wǎng)絡(luò)存儲(chǔ)中的各種數(shù)據(jù)不受偶然因素的破壞或者惡意的原因被攻擊。對(duì)于信息安全的認(rèn)定通過(guò)包括4個(gè)指標(biāo)，即保證信息數(shù)據(jù)的完整，保證信息數(shù)據(jù)不被泄露，保證信息數(shù)據(jù)能夠正常使用，保證信息數(shù)據(jù)能夠控制管理。要想做好企業(yè)的信息安全管理，首先需要了解的是關(guān)于信息的傳輸方式。隨著信息技術(shù)的不斷普及，信息傳遞的方式越來(lái)越多，常見的信息傳遞方式主要有互聯(lián)網(wǎng)傳播，局域網(wǎng)傳播，硬件傳播等等。要想實(shí)現(xiàn)企業(yè)的信息安全管理，其中很重要的一項(xiàng)工作在于保護(hù)信源、信號(hào)以及信息。信息安全管理是一項(xiàng)需要綜合學(xué)科知識(shí)基礎(chǔ)的工作，從事企業(yè)信息安全管理工作的人員通過(guò)需要具有網(wǎng)絡(luò)安全技術(shù)、計(jì)算機(jī)技術(shù)、密碼技術(shù)、通信技術(shù)。從企業(yè)的信息安全管理來(lái)講，最為關(guān)鍵的一項(xiàng)工作時(shí)保護(hù)企業(yè)內(nèi)部經(jīng)營(yíng)信息數(shù)據(jù)的完整。經(jīng)過(guò)近十年來(lái)的企業(yè)信息安全管理工作經(jīng)驗(yàn)總結(jié)，企業(yè)信息安全不僅僅需要信息技術(shù)的支持，更需要通過(guò)建立完善的企業(yè)風(fēng)險(xiǎn)控制體系來(lái)幫助企業(yè)實(shí)現(xiàn)更好地保護(hù)企業(yè)信息安全的目標(biāo)。

所以，怎樣把企業(yè)信息安全管理與風(fēng)險(xiǎn)控制融合起來(lái)就是擺在企業(yè)經(jīng)營(yíng)管理者面前的一道難題。企業(yè)的信息安全風(fēng)險(xiǎn)控制必須通過(guò)企業(yè)建立完善的企業(yè)信息安全風(fēng)險(xiǎn)體系實(shí)現(xiàn)。企業(yè)的信息安全風(fēng)險(xiǎn)控制是指企業(yè)在企業(yè)信息安全遭遇威脅之前，提前對(duì)企業(yè)的信息進(jìn)行風(fēng)險(xiǎn)預(yù)估，并采取一系列的有針對(duì)性的活動(dòng)降低企業(yè)面臨的信息安全風(fēng)險(xiǎn)，從而盡可能減少因?yàn)槠髽I(yè)本身信息安全管理中存在漏洞給企業(yè)帶來(lái)不必要的損失。常見的企業(yè)信息安全風(fēng)險(xiǎn)體系建立主要包含以下幾個(gè)方面的內(nèi)容。第一，建立企業(yè)信息安全風(fēng)險(xiǎn)管理制度，明確企業(yè)信息安全管理的責(zé)任分配機(jī)制，明確企業(yè)各個(gè)部門對(duì)各自信息安全所應(yīng)承擔(dān)的責(zé)任，并建立相應(yīng)的問(wèn)責(zé)機(jī)制。第二，設(shè)置規(guī)范的企業(yè)信息安全風(fēng)險(xiǎn)管理指標(biāo)，對(duì)企業(yè)存在的可能威脅企業(yè)信息安全管理的漏洞予以風(fēng)險(xiǎn)定級(jí)，方便企業(yè)管理者對(duì)不同的信息安全管理漏洞采取有區(qū)別的對(duì)策。第三，企業(yè)要加強(qiáng)對(duì)信息安全管理人員的培訓(xùn)，提高企業(yè)信息安全管理工作人員的風(fēng)險(xiǎn)意識(shí)，讓企業(yè)內(nèi)部從事信息安全管理工作人員認(rèn)識(shí)到自身工作的重要性，讓企業(yè)內(nèi)部從事信息安全管理工作人員了解到規(guī)范自身行為，正確履行職責(zé)的重要性。第四，將企業(yè)信息安全管理與風(fēng)險(xiǎn)控制有效融合，重視企業(yè)信息安全管理工作，通過(guò)風(fēng)險(xiǎn)控制對(duì)企業(yè)內(nèi)部信息安全的管理方式進(jìn)行正確評(píng)估，找出現(xiàn)行的企業(yè)內(nèi)部信息安全管理手段中存在容易忽視的地方。

二、企業(yè)信息安全管理與風(fēng)險(xiǎn)控制存在的不足

1.企業(yè)信息安全管理工作人員素質(zhì)不高

對(duì)于企業(yè)來(lái)說(shuō)，企業(yè)信息安全管理工作是一項(xiàng)極為重要而隱秘的工作，因此，必須增強(qiáng)對(duì)企業(yè)信息安全管理工作人員的素質(zhì)要求。但是根據(jù)調(diào)查統(tǒng)計(jì)，目前很多企業(yè)對(duì)信息安全工作的管理僅僅停留在對(duì)企業(yè)信息安全管理工作人員的技術(shù)要求上，對(duì)企業(yè)信息安全管理工作人員的道德素養(yǎng)，職業(yè)素養(yǎng)，風(fēng)險(xiǎn)意識(shí)并沒有嚴(yán)格要求。此外，絕大多數(shù)企業(yè)并沒有意識(shí)開展對(duì)企業(yè)信息安全管理工作的道德素質(zhì)的教育培訓(xùn)，并沒有通過(guò)建立相關(guān)管理制度以及問(wèn)責(zé)機(jī)制對(duì)企業(yè)信息安全管理工作人員實(shí)行監(jiān)督，這無(wú)疑給別有用心或者立場(chǎng)不堅(jiān)定的企業(yè)信息安全管理工作人員留下了危害企業(yè)信息安全的可乘之機(jī)。

2.企業(yè)信息安全管理技術(shù)不過(guò)關(guān)

企業(yè)信息安全管理工作涉及多許多技術(shù)，包括信息技術(shù)，計(jì)算機(jī)技術(shù)，密碼技術(shù)，網(wǎng)絡(luò)應(yīng)用技術(shù)等等，應(yīng)當(dāng)說(shuō)成熟的計(jì)算機(jī)應(yīng)用技術(shù)是做好企業(yè)信息安全管理的基礎(chǔ)，但是，現(xiàn)實(shí)是許多企業(yè)的信息安全管理技術(shù)并不過(guò)關(guān)，一方面企業(yè)的信息安全管理硬件并不過(guò)關(guān)，在物理層面對(duì)企業(yè)信息缺乏保護(hù)，另一方面，企業(yè)信息安全管理工作的專業(yè)技術(shù)沒有及時(shí)更新，一些企業(yè)信息安全管理工作人員缺乏企業(yè)信息安全管理的實(shí)踐經(jīng)驗(yàn)，企業(yè)信息安全管理的知識(shí)也并沒有及時(shí)更新，從而導(dǎo)致企業(yè)的信息安全管理理論嚴(yán)重滯后，這種技術(shù)的落后很容易讓企業(yè)成為不法分子的攻擊對(duì)象。近年來(lái)網(wǎng)絡(luò)病毒的傳播越來(lái)越猖狂，很多服務(wù)器、系統(tǒng)提示安全補(bǔ)丁的下載更新以及客戶端的時(shí)常更新成為一個(gè)惱人的問(wèn)題。作為一個(gè)行業(yè)中的大中型企業(yè)，企業(yè)內(nèi)部設(shè)備數(shù)量比較多，尤其是客戶端數(shù)量占了較大比重，僅僅靠少數(shù)幾個(gè)管理員進(jìn)行管理是難以承擔(dān)如此大量的工作量。另外，企業(yè)信息安全管理系統(tǒng)不成熟也是一個(gè)重大的隱患。

3.企業(yè)信息安全管理制度不健全

企業(yè)信息安全管理制度不僅僅需要理論制度的完善，更加需要一系列配套監(jiān)督機(jī)制保障企業(yè)信息安全管理的有效執(zhí)行。通過(guò)調(diào)查分析，許多企業(yè)雖然建立了企業(yè)信息安全管理制度，但是通常情況下，這些制度只能流于形式，企業(yè)信息安全管理工作缺少有效的制約和監(jiān)督，企業(yè)信息安全管理工作人員缺乏執(zhí)行力。企業(yè)信息安全管理制度不健全，企業(yè)信息安全管理工作缺乏執(zhí)行力常常體現(xiàn)在以下幾個(gè)方面。第一，企業(yè)員工對(duì)于信息安全管理的認(rèn)識(shí)嚴(yán)重不足，對(duì)企業(yè)信息安全管理工作不重視。企業(yè)內(nèi)部計(jì)算機(jī)系統(tǒng)安全的計(jì)算機(jī)防病毒軟件并沒有及時(shí)更新，使用，甚至企業(yè)內(nèi)部計(jì)算機(jī)的防病毒軟件還被企業(yè)員工卸載了。部分企業(yè)員工認(rèn)為自己的工作與企業(yè)信息安全管理不相關(guān)，認(rèn)為做好企業(yè)信息安全管理工作僅僅是企業(yè)信息安全部門的事。第二，企業(yè)內(nèi)部信息安全管理制度并沒有形成聯(lián)動(dòng)機(jī)制，企業(yè)信息安全管理工作僅僅由企業(yè)信息安全部門“一人包干”，企業(yè)信息安全反映的問(wèn)題并沒有得到積極的反饋，一些企業(yè)領(lǐng)導(dǎo)對(duì)企業(yè)信息安全現(xiàn)狀所了解的少之又少。

三、企業(yè)信息安全管理常見的技術(shù)手段

1.OSI安全體系結(jié)構(gòu)

OSI概念化的安全體系結(jié)構(gòu)是一個(gè)多層次的結(jié)構(gòu)，它的設(shè)計(jì)初衷是面向客戶的，提供給客戶各種安全應(yīng)用，安全應(yīng)用必須依靠安全服務(wù)來(lái)實(shí)現(xiàn)，而安全服務(wù)又是由各種安全機(jī)制來(lái)保障的。所以，安全服務(wù)標(biāo)志著一個(gè)安全系統(tǒng)的抗風(fēng)險(xiǎn)的能力，安全服務(wù)數(shù)量越多，系統(tǒng)就越安全。

2.P2DR模型

P2DR模型包含四個(gè)部分：響應(yīng)、安全策略、檢測(cè)、防護(hù)。安全策略是信息安全的重點(diǎn)，為安全管理提供管理途徑和保障手段。因此，要想實(shí)施動(dòng)態(tài)網(wǎng)絡(luò)安全循環(huán)過(guò)程，必須制定一個(gè)企業(yè)的安全模式。在安全策略的指導(dǎo)下實(shí)施所有的檢測(cè)、防護(hù)、響應(yīng)，防護(hù)通常是通過(guò)采用一些傳統(tǒng)的靜態(tài)安全技術(shù)或者方法來(lái)突破的，比如有防火墻、訪問(wèn)控制、加密、認(rèn)證等方法，檢測(cè)是動(dòng)態(tài)響應(yīng)的判斷依據(jù)，同時(shí)也是有力落實(shí)安全策略的實(shí)施工具，通過(guò)監(jiān)視來(lái)自網(wǎng)絡(luò)的入侵行為，可以檢測(cè)出騷擾行為或錯(cuò)誤程序?qū)е碌木W(wǎng)絡(luò)不安全因素；經(jīng)過(guò)不斷地監(jiān)測(cè)網(wǎng)絡(luò)和系統(tǒng)來(lái)發(fā)現(xiàn)新的隱患和弱點(diǎn)。在安全系統(tǒng)中，應(yīng)急響應(yīng)占有重要的地位，它是解決危險(xiǎn)潛在性的最有效的辦法。

3.HTP模型

HTP最為強(qiáng)調(diào)企業(yè)信息安全管理工作人員在整個(gè)系統(tǒng)中的價(jià)值。企業(yè)信息安全工作人員企業(yè)信息安全最為關(guān)鍵的參與者，企業(yè)信息安全工作人員直接主導(dǎo)企業(yè)信息安全管理工作，企業(yè)信息安全工作人員不僅僅是企業(yè)信息安全的保障者，也是企業(yè)信息安全管理的威脅者。因此，HTP模型最為強(qiáng)調(diào)對(duì)企業(yè)信息安全管理工作人員的管理與監(jiān)督。另外，HTP模式同樣是建立在企業(yè)信心安全體系，信息安全技術(shù)防范的基礎(chǔ)上，HTP模式采取了豐富的安全技術(shù)手段確保企業(yè)的信息安全。最后，HTP強(qiáng)調(diào)動(dòng)態(tài)管理，動(dòng)態(tài)監(jiān)督，對(duì)于企業(yè)信息安全管理工作始終保持高強(qiáng)度的監(jiān)督與管理，在實(shí)際工作中，通過(guò)HTP模型的應(yīng)用，找出HTP模型中的漏洞并不斷完善。

四、完善企業(yè)信息安全管理與降低風(fēng)險(xiǎn)的建議

1.建設(shè)企業(yè)信息安全管理系統(tǒng)

（1）充分調(diào)查和分析企業(yè)的安全系統(tǒng)，建立一個(gè)全面合理的系統(tǒng)模型，安全系統(tǒng)被劃分成各個(gè)子系統(tǒng)，明確實(shí)施步驟和功能摸塊，將企業(yè)常規(guī)管理工作和安全管理聯(lián)動(dòng)協(xié)議相融合，實(shí)現(xiàn)信息安全監(jiān)控的有效性和高效性。

（2）成立一個(gè)中央數(shù)據(jù)庫(kù)，整合分布式數(shù)據(jù)庫(kù)里的數(shù)據(jù)，把企業(yè)的所有數(shù)據(jù)上傳到中央數(shù)據(jù)庫(kù)，實(shí)現(xiàn)企業(yè)數(shù)據(jù)信息的集中管理與有效運(yùn)用。

（3）設(shè)計(jì)優(yōu)良的人機(jī)界面，通過(guò)對(duì)企業(yè)數(shù)據(jù)信息進(jìn)行有效的運(yùn)用，為企業(yè)管理階層人員、各級(jí)領(lǐng)導(dǎo)及時(shí)提供各種信息，為企業(yè)領(lǐng)導(dǎo)的正確決策提供數(shù)據(jù)支持，根本上提高信息數(shù)據(jù)的管理水平。

（4）簡(jiǎn)化企業(yè)內(nèi)部的信息傳輸通道，對(duì)應(yīng)用程序和數(shù)據(jù)庫(kù)進(jìn)行程序化設(shè)計(jì)，加強(qiáng)對(duì)提高企業(yè)內(nèi)部信息處理的規(guī)范性和準(zhǔn)確性。

2.設(shè)計(jì)企業(yè)信息安全管理風(fēng)險(xiǎn)體系

（1）確定信息安全風(fēng)險(xiǎn)評(píng)估的目標(biāo)

在企業(yè)信息安全管理風(fēng)險(xiǎn)體系的設(shè)計(jì)過(guò)程中，首要工作是設(shè)計(jì)企業(yè)信息安全風(fēng)險(xiǎn)評(píng)估的目標(biāo)，只有明確了企業(yè)信息安全管理的目標(biāo)，明確了企業(yè)信息安全管理的要求和工作能容，才能建立相關(guān)圍繞信息安全風(fēng)險(xiǎn)控制為目標(biāo)的信息安全管理工作制度，才能順利通過(guò)對(duì)風(fēng)險(xiǎn)控制的結(jié)果的定量考核，檢測(cè)企業(yè)信息安全管理的風(fēng)險(xiǎn)，定性定量地企業(yè)信息安全管理工作進(jìn)行分析，找準(zhǔn)企業(yè)信息安全管理的工作辦法。

（2）確定信息安全風(fēng)險(xiǎn)評(píng)估的范圍

不同企業(yè)對(duì)于風(fēng)險(xiǎn)的承受能力是有區(qū)別的，因此，對(duì)于不同的企業(yè)的特殊性應(yīng)該采取不同的風(fēng)險(xiǎn)控制辦法，其中，不同企業(yè)對(duì)于能夠承受的信息安全風(fēng)范圍有所不同，企業(yè)的信息安全風(fēng)險(xiǎn)承受范圍需要根據(jù)企業(yè)的實(shí)際能力來(lái)制定。不僅如此，企業(yè)的信息安全風(fēng)險(xiǎn)評(píng)估范圍也應(yīng)當(dāng)根據(jù)企業(yè)的實(shí)際經(jīng)營(yíng)情況變化采取有針對(duì)性的辦法。