企業(yè)信息安全管控精選(五篇)

序言：作為思想的載體和知識的探索者，寫作是一種獨特的藝術，我們?yōu)槟鷾蕚淞瞬煌L格的5篇企業(yè)信息安全管控，期待它們能激發(fā)您的靈感。

篇1

信息安全準則是風險評估和制定最優(yōu)解決方案的關鍵，優(yōu)秀的信息安全準則包括：根據(jù)企業(yè)業(yè)務目標執(zhí)行風險管理；有組織的確定員工角色和責任；對用戶和數(shù)據(jù)實行最小化權限管理；在應用和系統(tǒng)的計劃和開發(fā)過程中就考慮安全防護的問題；在應用中實施逐層防護；建立高度集成的安全防護框架；將監(jiān)控、審計和快速反應結合為一體。良好信息安全準則可以讓企業(yè)內(nèi)外部用戶了解企業(yè)信息安全理念，從而讓企業(yè)信息管理部門更好地對風險進行管控。

2企業(yè)信息安全管理的主要手段

2.1網(wǎng)絡安全

（1）保證安全的外部人員連接。在日常工作中，外部合作伙伴經(jīng)常會提出聯(lián)入企業(yè)內(nèi)網(wǎng)的需求，由于這些聯(lián)入內(nèi)網(wǎng)的外部人員及其終端并不符合企業(yè)的信息安全標準，因此存在信息安全隱患。控制此類風險的手段主要有：對用戶賬戶使用硬件KEY等強驗證手段；全面管控外部單位的網(wǎng)絡接入等。

（2）遠程接入控制。隨著VPN技術的不斷發(fā)展，遠程接入的風險已降低到企業(yè)的可控范圍，而近年來移動辦公的興起更是推動了遠程接入技術的發(fā)展。企業(yè)采用USBKEY，動態(tài)口令牌等硬件認證方式的遠程接入要更加的安全。

（3）網(wǎng)絡劃分。在過去，企業(yè)內(nèi)部以開放式的網(wǎng)絡為主。隨著網(wǎng)絡和互聯(lián)網(wǎng)信息技術的成熟，非受控終端給企業(yè)內(nèi)網(wǎng)帶來的安全壓力越來越大。這些不受信任的終端為攻擊者提供了訪問企業(yè)網(wǎng)絡的路徑。信息管理部門可以利用IPSec技術有效提高企業(yè)網(wǎng)絡安全，實現(xiàn)對位于公司防火墻內(nèi)部終端的完全管控。

（4）網(wǎng)絡入侵檢測系統(tǒng)。網(wǎng)絡入侵檢測系統(tǒng)作為防火墻的補充，主要用于監(jiān)控網(wǎng)絡傳輸，在檢測到可疑傳輸行為時報警。作為企業(yè)信息安全架構的必備設備，入侵檢測系統(tǒng)能有效防控企業(yè)外部的惡意攻擊行為，隨著信息技術的發(fā)展，各大安全廠商如賽門鐵克，思科等均研發(fā)出來成熟的入侵檢測系統(tǒng)產(chǎn)品。

（5）無線網(wǎng)絡安全。無線網(wǎng)絡現(xiàn)在已遍布企業(yè)的辦公區(qū)域，給企業(yè)和用戶帶來便利的同時也存在信息安全的隱患。要保證企業(yè)內(nèi)部無線網(wǎng)絡的安全，信息管理部門需要使用更新更安全的協(xié)議（如無線保護接入WPA或WPA2）；使用VLAN劃分和域提供互相隔離的無線網(wǎng)絡；利用802.1x和EAP技術加強對無線網(wǎng)絡的訪問控制。

2.2訪問控制

（1）密碼策略。高強度的密碼需要幾年時間來破解，而脆弱的密碼在一分鐘內(nèi)就可以被破解。提高企業(yè)用戶的密碼強度是訪問控制的必要手段。為避免弱密碼可能對公司造成的危害，企業(yè)必須制定密碼策略并利用技術手段保證執(zhí)行。

（2）用戶權限管理。企業(yè)的員工從進入公司到離職是一個完整的生命周期，要便捷有效地在這個生命周期中對員工的權限進行管理，需要企業(yè)具有完善的身份管理平臺，從而實現(xiàn)授權流程的自動化，并實現(xiàn)企業(yè)內(nèi)應用的單點登陸。

（3）公鑰系統(tǒng)。公鑰系統(tǒng)是訪問控制乃至信息安全架構的核心模塊，無線網(wǎng)絡訪問授權，VPN接入，文件加密系統(tǒng)等均可以通過公鑰系統(tǒng)提升安全水平，因此企業(yè)應當部署PKI/CA系統(tǒng)。

2.3監(jiān)控與審計

（1）病毒掃描與補丁管理。企業(yè)需要統(tǒng)一的防病毒系統(tǒng)和終端管理系統(tǒng)，在終端定期更新病毒定義，進行病毒自掃描，自動更新操作系統(tǒng)補丁，以減少桌面終端的安全風險。此類管控手段通常需要在用戶的終端上安裝客戶端，或對終端進行定制，在終端接入企業(yè)內(nèi)網(wǎng)時，終端管理系統(tǒng)會在隔離區(qū)域對該終端進行綜合評估打分，通過評估后方能接入內(nèi)網(wǎng)。才能保證系統(tǒng)的安全策略被有效執(zhí)行。

（2）惡意軟件防控。主流的惡意軟件防控體系主要由五部分構成：防病毒系統(tǒng)；內(nèi)容過濾網(wǎng)關；郵件過濾網(wǎng)關；惡意網(wǎng)頁過濾網(wǎng)關和入侵檢測軟件。

（3）安全事件記錄和審計。企業(yè)應當配置日志審計系統(tǒng)，收集信息安全事件，產(chǎn)生審計記錄，根據(jù)記錄進行安全事件分析，并采取相應的處理措施。

2.4培訓與宣傳提高企業(yè)管理層和員工的信息安全意識，是信息安全管理工作的基礎。了解信息安全的必要性，管理層才會支持信息安全管理建設，用戶才會配合信息管理部門工作。利用定期培訓，宣傳海報，郵件等方式定期反復對企業(yè)用戶進行信息安全培訓和宣傳，能有效提高企業(yè)信息安全管理水平。

3總結

篇2

【關鍵詞】電力企業(yè)；信息安全；桌面管控技術

引言

隨著信息技術的發(fā)展，信息系統(tǒng)的深入應用，信息安全成為國家電力企業(yè)信息化的重要工作內(nèi)容。由于桌面終端和用戶的數(shù)量多，從而容易帶來信息安全隱患，致使信息管理部門難以開展工作。近幾年，多數(shù)電力企業(yè)制定了對桌面的管理制度，統(tǒng)一了桌面終端管理系統(tǒng)。但是，如何將管理制度落實到實際工作中并將現(xiàn)有的技術應用到桌面信息安全管理，還需要不斷的深入研究與實踐。

1桌面終端信息安全管理現(xiàn)狀

近幾年，我國電力企業(yè)提出了信息安全的八不準和五禁止，由于電力企業(yè)提出上述措施，有利于各企業(yè)桌面終端系統(tǒng)信息安全工作的順利開展，大力推廣了桌面終端管理系統(tǒng)的應用，對非法接入外網(wǎng)實施了有效的監(jiān)控，提升了對移動儲存介質(zhì)的管理。但根據(jù)桌面終端管理系統(tǒng)的相關數(shù)據(jù)顯示，還沒有達到對信息安全的要求，仍然存在很多問題，致使信息管理部門的工作難以開展[1]。因此必須要立足于桌面管控技術全面的提升電力企業(yè)信息安全水平，從而有效的保障電力企業(yè)的信息安全。

2桌面終端存在的問題

目前，桌面終端主要存在以下幾個方面的問題：①接入外網(wǎng)時計算機感染病毒，特別是由于移動儲存介質(zhì)最容易感染，而且傳播的速度極快；②部分員工利用電子郵件辦公時，電子郵件里會出現(xiàn)一些敏感字體；③非法接入外網(wǎng)現(xiàn)象始終存在，桌面終端的口令設置較弱；④桌面終端補丁更新率、桌面終端注冊率和殺毒軟件安裝率較低，沒有達到企業(yè)的標準。致使以上問題出現(xiàn)的原因有：①對信息安全的管理力度不夠，沒有將其歸入對信息管理部門工作人員的考核中，沒有將現(xiàn)有的桌面管控技術手段深入應用；②對信息安全管理的要求較為分散，沒有統(tǒng)一的管理標準，雖然通過各種方式開展宣傳，但是僅對信息管理部門的工作人員有用，其他部門員工對信息安全的認知度不夠[2]；③部分員工信息安全意識淡薄，沒有將信息安全管理的要求落實到實際工作中，認為信息安全可有可無，存在無所謂的心理。

3桌面管理及提升技術的措施

3.1桌面管理措施

3.1.1計算機安裝流程標準化電力企業(yè)中，所有新購買的計算機統(tǒng)一由信息管理部門安裝殺毒軟件和操作系統(tǒng)。修補系統(tǒng)中存在的漏洞，注冊桌面系統(tǒng)的新端口，初始開機口令的設置要符合國家統(tǒng)一的標準。只有完成以上流程，才能下發(fā)給網(wǎng)絡用戶并接入網(wǎng)絡，嚴格把控好信息設備的安全性，從根源上消除桌面信息安全隱患。3.1.2完善管理制度企業(yè)應制定統(tǒng)一的管理制度，落實好信息管理部門的工作內(nèi)容，其工作內(nèi)容包括：信息設備的損壞修理、安裝、領用、驗收及信息的來源。由于筆記本計算機容易感染其他網(wǎng)絡端口的病毒，出現(xiàn)重裝系統(tǒng)的問題，致使管理人員不易管理，對此不允許接入其他網(wǎng)絡，從制度的根本上確保企業(yè)內(nèi)所有的聯(lián)網(wǎng)端口都是由信息管理部門負責。除此之外，統(tǒng)一訂購帶有企業(yè)標志的移動儲存介質(zhì)，工作人員在領用時必須簽字，待離職時交還信息管理部門。3.1.3提高工作人員信息安全意識由于工作人員的信息安全意識淡薄，不了解企業(yè)對信息安全的要求，還沒有掌握信息安全的技術，這些都成為信息潛在的安全隱患，對此，加大對員工信息安全意識的培訓力度顯得至關重要。工作人員的信息安全意識應從第一天入職的時候就加以重視，培訓人員要全方面的開展對新入職員工的培訓，包括：技術手段、管理制度、信息安全意識、對信息保密等。培訓之后，可以實施對信息安全有關知識和技術手段的考核[3]。除此之外，給員工配備計算機時，要給員工講解使用的要求及注意事項，且讓其簽字。通過信息安全培訓，使工作人員掌握桌面管控的相關知識和信息安全知識，提高了工作人員的信息安全技術水平和職業(yè)素養(yǎng)及其安全意識，給信息安全提供了強有力的技術支撐。3.1.4強化外網(wǎng)終端接入流程管理各地區(qū)電力企業(yè)的外網(wǎng)桌面終端接入要嚴格遵守內(nèi)網(wǎng)終端接入的標準流程，電力企業(yè)外網(wǎng)終端接入需要由企業(yè)管理人員向協(xié)同辦公系統(tǒng)簽報流程提報申請，經(jīng)外網(wǎng)管理部門領導審批后轉發(fā)信通分公司，再由企業(yè)的網(wǎng)控室調(diào)整終端準入賬號、分配IP地址，并根據(jù)各企業(yè)的具體情況派發(fā)終端，由運維人員將符合入網(wǎng)條件的外網(wǎng)終端入網(wǎng)并進行安裝調(diào)試，再由網(wǎng)控室進行檢查，確定是否達到入網(wǎng)的標準，如果沒有達到標準要及時修改，值班人員需進行回訪，將工作單及時歸檔[4]。具體的申請流程詳見圖1。

3.2提升桌面管理技術的措施

3.2.1定期檢查、維護信息安全使用掃描設備對企業(yè)整個網(wǎng)絡系統(tǒng)進行掃描，對出現(xiàn)的問題及漏洞及時解決，一旦發(fā)現(xiàn)有桌面終端不符合基線要求，可以通過北信源程序下發(fā)符合基線要求的方法，保證桌面終端達到基線的要求。信息管理部門的工作人員要定期檢查桌面終端及控制系統(tǒng)的各項數(shù)據(jù)，出現(xiàn)異常要及時解決，逐步提升信息安全水平。3.2.2加固桌面終端由信息管理部門統(tǒng)一分配終端，完成對使用軟件和操作系統(tǒng)的安裝，并對桌面終端進行加固。接入網(wǎng)絡時，嚴格按照企業(yè)制定的桌面管理系統(tǒng)和準入要求執(zhí)行，安裝必要的殺毒軟件及辦公軟件。對于沒有注冊和沒有安裝殺毒軟件的設備采取強制下線措施，對帶有敏感字的文檔給予提醒，以此保證殺毒軟件的安裝率和桌面終端的注冊率。內(nèi)、外網(wǎng)的桌面終端在接入后，需由信息管理部門工作人員綁定接入交換機，將沒有使用到的端口關閉，預防其他用戶非法侵入[5]。3.2.3使用桌面終端系統(tǒng)的監(jiān)控功能除了可以使用桌面終端管理系統(tǒng)的非法接入外網(wǎng)、警告口令設置低、殺毒軟件的安裝率和桌面終端的注冊率之外，該系統(tǒng)中還有控制的功能，可以通過控制功能，杜絕桌面終端用戶的不安全行為。例如通過硬件資源管理中的控制系統(tǒng)，在特定的區(qū)域內(nèi)禁止使用藍牙設備與紅外線設備。有利于防范終端用戶使用信息內(nèi)網(wǎng)接連計算機，有效解決了違規(guī)接入外網(wǎng)。3.2.4使用北信源系統(tǒng)在北信源系統(tǒng)（見圖2）中可以采用硬件設備控制，通過設備控制禁止使用藍牙設備和紅外線設備；采用進程監(jiān)控功能，防止無線網(wǎng)卡設備的侵入；設置防火墻，只允許桌面終端訪問企業(yè)內(nèi)部網(wǎng)址；將IP與MAC綁定，嚴禁使用用冗余網(wǎng)卡，防止修改IP與網(wǎng)關，以防發(fā)生違規(guī)外聯(lián)事件；實施文件動態(tài)監(jiān)控、文件內(nèi)容檢查和終端檢查，確保敏感信息檢查執(zhí)行率及保密檢測系統(tǒng)安裝率指標水平。

4結語

21世紀以來，傳統(tǒng)的桌面終端管理模式已經(jīng)無法適應社會的需求，不能安全有效地管控桌面終端。通過企業(yè)制定的桌面管理制度和桌面終端管理系統(tǒng)，提升了桌面管控技術，使桌面終端的工作流程規(guī)范化，在提升信息安全的同時，也提高了工作人員的桌面安全管理意識。在電力企業(yè)中采用桌面管控技術來提升信息安全，還需要不斷地實踐與探索，只有堅持不懈，才能使企業(yè)保持信息安全，走可持續(xù)發(fā)展道路。

參考文獻:

[1]姚瑋.電力企業(yè)信息安全全生命周期管控[J].電力信息與通信技術，2015（08）.

[2]馬之力，張馴，崔阿軍，袁暉.電網(wǎng)企業(yè)網(wǎng)絡準入體系設計與應用[J].電力信息與通信技術，2015（05）.

[3]陶明峰，劉志剛，徐勝朋，邢藝欣，襲建學.市縣級電力公司網(wǎng)絡一體化管理設計與研究[J].電力信息與通信技術，2015（05）.

[4]吳石松，劉曄.電力企業(yè)桌面終端安全管理應用研究[J].現(xiàn)代計算機（專業(yè)版），2013（36）.

篇3

關鍵詞：企業(yè)內(nèi)部控制；信息化；安全管理

隨著信息化技術的發(fā)展，企業(yè)信息化工具擴展度越來越高，擴展面越來越廣，大大提升了企業(yè)運營及管理的便捷性，企業(yè)依賴系統(tǒng)大數(shù)據(jù)的信息處理和分析來提升效率，信息化技術應用為企業(yè)創(chuàng)造了不可替代的價值。企業(yè)財務系統(tǒng)、資源管理系統(tǒng)、辦公系統(tǒng)等形成企業(yè)信息化綜合平臺，隨著信息數(shù)據(jù)的大量輸入、輸出、交換、應用，信息處理的便捷使企業(yè)信息化安全工作越來越重要。任何信息安全方面缺失或弱化都可能造成工作的中止、信息的丟失或泄露，使企業(yè)產(chǎn)生影響或經(jīng)濟損失，以信息化平臺為重要工作工具的單位，影響更加重大。4G時代的到來，為企業(yè)信息走向移動化鋪好了平臺，也為企業(yè)信息安全管理提出了新一步要求。

我國的《企業(yè)內(nèi)部控制基本規(guī)范》中提到信息化安全管理問題，該規(guī)范第四十一條指出：“企業(yè)應當利用信息技術促進信息的集成與共享，充分發(fā)揮信息技術在信息溝通中的作用。企業(yè)應當加強對信息系統(tǒng)開發(fā)與維護、訪問與變更、數(shù)據(jù)輸入與輸出、文件儲存與保管、網(wǎng)絡安全等方面的控制，保證信息系統(tǒng)安全穩(wěn)定運行。”所以信息化安全管理應為現(xiàn)代企業(yè)內(nèi)部控制管理重要內(nèi)容，如何優(yōu)化信息化管理，提升信息化安全，成為需要思考的問題。

一、信息化安全管理分析

企業(yè)信息化安全管理包括物理安全管理、網(wǎng)絡安全管理、系統(tǒng)安全管理、應用安全管理等，內(nèi)部控制的實施有助于預防信息化管理下企業(yè)信息數(shù)據(jù)尤其是財務數(shù)據(jù)丟失的風險，降低借助信息系統(tǒng)舞弊的可能性，保證企業(yè)各項經(jīng)營活動有效運行。企業(yè)應通過企業(yè)信息化安全工作分析，定期進行信息化安全工作檢查，落實信息化安全內(nèi)部控制管理。

（一）物理安全內(nèi)部控制管理

1.硬件安全

信息化處理以電腦、服務器、存儲設備、網(wǎng)絡設備、安全設備作為硬件設備，電腦等信息終端設備不完善或故障會影響辦公；服務設備如服務器、存儲設備的損壞，會直接造成數(shù)據(jù)的丟失和數(shù)據(jù)處理的中斷；網(wǎng)絡設備如路由器、交換機的損壞，會讓系統(tǒng)停止。沒有安全設備或安全設備不工作會讓系統(tǒng)受外界所攻擊或盜取重要信息。企業(yè)信息化安全管理應對硬件安全有應急預案，增加必要的備用設備，如服務器、路由器、交換機等，設備一旦損壞，備用設備馬上進入工作狀態(tài)，使業(yè)務不中止或恢復時間短。設備應支持雙路電源供電，對于有可能的停電，企業(yè)應準備和啟用備用電源。

2.信息設備環(huán)境安全

環(huán)境安全包含防火、防盜、溫度、濕度、潔凈度等環(huán)境安全，只有安全的信息設備環(huán)境才能保障信息設備正常、高效工作，防范設備滅失或信息損失。對于一個大型或中型企業(yè)應專門建設符合上述環(huán)境要素的機房，服務器等設備應放在機房，因機器不間斷運轉造成溫度較高，應配備精密空調(diào)等制冷設備，確保溫濕度得到精確控制，服務器的放置空間要合理，保持空氣的流通并符合設備散熱需求。機房配置消防報警裝置、氣體滅火裝置，以應對突發(fā)火災事件。機房重地應有門禁管理，確保防盜和人為破壞的發(fā)生，信息化管理人員應就機房建設及日常管理進行檢查。

另外移動辦公設備（筆記本電腦、平板電腦、手機）的廣泛使用使設備不安全性增加，云技術、云方案不斷推新應用，使移動辦公增加，企業(yè)應對于移動辦公設備丟失制訂預案，對重要移動設備做防盜防丟失部署，以使設備被盜或丟失時由信息管理員實施遠程鎖定，阻止非法入侵或直接銷毀設備中的數(shù)據(jù)。

3.數(shù)據(jù)安全

數(shù)據(jù)的安全分為數(shù)據(jù)保護、數(shù)據(jù)保密和數(shù)據(jù)恢復。存儲設備是數(shù)據(jù)的載體，也是實施信息化企業(yè)的生命，數(shù)據(jù)丟失可以是致命的，一個安全穩(wěn)定的存儲設備對數(shù)據(jù)保護至關重要。重要數(shù)據(jù)應以加密存儲，存儲介質(zhì)廢棄時的完全抹除是數(shù)據(jù)保密應注意事項，可使用硬件自加密硬盤簡化數(shù)據(jù)保密過程。而存儲備份和恢復方案的實施是數(shù)據(jù)安全的最后一道防線，可以在事件發(fā)生后數(shù)據(jù)得以恢復。企業(yè)應及時做好數(shù)據(jù)備份、異地備份，防范火災、地震等不可預知事項帶來的數(shù)據(jù)滅失。企業(yè)應做出數(shù)據(jù)恢復預案并進行演習以應對可能的數(shù)據(jù)安全事故。

（二）網(wǎng)絡安全與信息傳輸安全內(nèi)部控制管理

網(wǎng)絡提供了便捷的信息傳遞、快速的信息查詢，實現(xiàn)多人多組織的便捷工作，但也帶來網(wǎng)絡風險。企業(yè)首先應做好網(wǎng)絡訪問控制，最主要的措施是建立有效的防火墻，應檢查企業(yè)網(wǎng)絡設備是否安裝了有效的防火墻，防火墻的版本是否能及時最新，是否安排專門人員定期通過收集分析網(wǎng)絡行為、安全日志等進行入侵檢測，檢查訪問控制權限審批授予是否得當，是否對不適當?shù)娜俗鲈L問權限的撤銷管理。

終端用戶操作不當，如違規(guī)安裝軟件或互聯(lián)網(wǎng)資訊點擊可能使病毒侵入網(wǎng)絡，故企業(yè)防止內(nèi)部局域網(wǎng)風險，需規(guī)范終端用戶操作，對網(wǎng)上下載文件有必要要求及管理。針對承載保密信息的電腦，企業(yè)應專機專用并禁止與外網(wǎng)進行連接。對于有特殊安全需求的部門可部署桌面云方案，將數(shù)據(jù)和操作安全策略放置到服務器上統(tǒng)一管理。企業(yè)可通過部署網(wǎng)絡防病毒軟件并實時更新保證各終端使用相同的安全策略，避免個體不正確的安全習慣，保證定期進行病毒和惡意軟件的查殺和清除，保障系統(tǒng)不因病毒侵入而崩潰，是信息化安全內(nèi)控管理的有效手段。

運營商的線路故障，可能造成整個網(wǎng)絡信息溝通中斷，雖然幾率較少，但對于以信息化工具為重要手段的單位影響會很大；為防止外部網(wǎng)絡中斷，檢查評估是否需要選擇兩家運營商，保證信息傳輸?shù)恼！?/p>

（三）系統(tǒng)安全內(nèi)部控制管理

軟件是信息化實現(xiàn)的載體，所有信息都是基于軟件進行輸入、輸出、運算、分析和應用的。

軟件安全成為一個越來越不容忽視的問題，軟件漏洞會造成信息丟失、信息泄露。軟件病毒會造成系統(tǒng)崩潰、信息錯誤。提升軟件安全性，是企業(yè)信息化建設的重要環(huán)節(jié)。

企業(yè)的軟件安全管理應檢查是否使用可靠的系統(tǒng)操作平臺軟件，比如：Windows、Linux；是否安裝有效的防病毒軟件并及時更新，比如：卡巴斯基、諾頓等；是否選擇安全保障高的信息化應用系統(tǒng)軟件，比如：SAP、Oracle、金蝶、用友軟件等；信息化軟件是否有穩(wěn)定后期保障服務。完善的軟件是信息化數(shù)據(jù)安全和信息化功能應用的保證。

（四）應用安全內(nèi)部控制管理

1.系統(tǒng)平臺應用內(nèi)部控制管理

企業(yè)信息化最主要應用是使用系統(tǒng)平成會計信息自動化處理與分析、實現(xiàn)業(yè)務流程記錄與信息傳遞。企業(yè)應做到信息化平臺統(tǒng)籌規(guī)劃，使財務信息化和業(yè)務流程信息化充分結合，提高信息處理效率及信息管控力度，將企業(yè)的管理思想有效置入信息化流程使信息化平臺成為企業(yè)內(nèi)部控制管理的有效工具和手段。

企業(yè)信息化系統(tǒng)平臺應用工作包括系統(tǒng)上線實施建設和系統(tǒng)日常運維管理，都有內(nèi)部控制風險點管理。系統(tǒng)上線實施建設為系統(tǒng)平臺應用的基礎，對企業(yè)信息化應用起到關鍵作用。對于信息化應用程度深的企業(yè)，若實施不成功會給企業(yè)帶來經(jīng)濟損失乃至巨大風險，為內(nèi)部控制管理重大風險點，應予以高度重視。企業(yè)應制定詳細的工作計劃及實施方案，優(yōu)化系統(tǒng)流程，制定編碼規(guī)則，項目經(jīng)理應實施有效的進度管理以保證系統(tǒng)上線成功，系統(tǒng)上線后應對項目進行驗收，對應用中發(fā)現(xiàn)問題予以改善。系統(tǒng)日常運維管理（包括變更管理）是信息化有效穩(wěn)定運行的保證，企業(yè)應制定管理制度進行規(guī)范化管理，信息化管理人員做好工作表單記錄，通過檢查表單記錄評估信息化工作開展是否得當。

系統(tǒng)平臺應用離不開系統(tǒng)流程與系統(tǒng)授權管理，只有信息化系統(tǒng)操作流程及權限設置合適，內(nèi)部控制管理工作才能有效開展，風險得到即時控制。系統(tǒng)流程管理要求系統(tǒng)流程與企業(yè)管理流程文件相符；系統(tǒng)流程設置應合理有效，以企業(yè)增值及反應速度為原則，在實現(xiàn)內(nèi)部控制基礎上盡量做到流程簡化，體現(xiàn)內(nèi)部控制管理的全面性、重要性、制衡性、適應性和成本效益性。授權管理為企業(yè)內(nèi)部控制管理關鍵點，如何做好系統(tǒng)授權？首先，授權人適崗，要求系統(tǒng)授權人或批準人對公司流程掌握，對內(nèi)部控制管理有清醒的認識，對不相容崗位分離有清楚的把握，保證授權批準人與執(zhí)行人分離，業(yè)務執(zhí)行人與審核人分離，執(zhí)行人和記錄人分離，物資保管人與記錄人分離，執(zhí)行業(yè)務人與物資保管人分離；其次，配備必要的授權審核人員，授權審核人員可以是企業(yè)內(nèi)控管理人員也可以是企業(yè)制度制訂及管理人員，在系統(tǒng)流程制訂時對授權設置進行審核，定期開展授權審計，以發(fā)現(xiàn)授權中問題，及時更正；再次，授權管理包括授權工作也包括撤銷授權工作，需及時做好離職離崗人員系統(tǒng)權限調(diào)整，以保證系統(tǒng)操作人權限適合。

鑒于系統(tǒng)平臺將企業(yè)信息做了大規(guī)模的集中，信息泄露的風險加大，所以對于系統(tǒng)數(shù)據(jù)、信息引出（下載）的權限管理應高度重視，尤其是關鍵數(shù)據(jù)及信息引出，避免信息批量式流出或關鍵信息被不適合人使用，給企業(yè)帶來災難性損失或技術成果和管理成果被他人竊取。

2.密碼內(nèi)部控制管理

服務器、電腦、平臺系統(tǒng)進入都需要密碼管理，企業(yè)應要求操作人員有效設置密碼，不得將密碼告知他人，定期更換密碼，企業(yè)應檢查企業(yè)員工外出離崗時有無告知他人密碼協(xié)助處理流程的行為。隨著技術進步，企業(yè)可通過技術手段實施密碼管理。

3.電子郵件和即時交流工具安全管理

信息傳輸?shù)谋憬菪允剐畔⒒L險加大，信息傳輸風險包括重要信息流出后不受控制及內(nèi)部數(shù)據(jù)信息通過電子郵件、QQ等即時通訊工具方式泄露，企業(yè)應評估重要崗位、重要文檔信息流出的風險度，必要時使用信息安全軟件管理，進行重要文檔加密或對特定區(qū)域信息加密管理；通過網(wǎng)絡行為管理軟件跟蹤敏感文件和信息的泄露，使企業(yè)信息安全得到控制。對于即時通訊系統(tǒng)如QQ等可能帶來的病毒和入侵風險，企業(yè)可根據(jù)信息化管理的重要程度確定是否部署內(nèi)部專用即時通訊系統(tǒng)予以防范。

（五）隨著信息技術的不斷發(fā)展與進步，各種云平臺服務推出，服務提供商可以提供專業(yè)的機房、服務器、存儲、網(wǎng)絡、信息化平臺等供企業(yè)租用，企業(yè)只需付一定的服務費，為企業(yè)解決大部分信息化安全問題。使用云平臺服務要做好服務商的選擇，對于關鍵信息和數(shù)據(jù)采用做好方案選擇。

二、結語

篇4

關鍵詞 網(wǎng)絡安全;互聯(lián)網(wǎng);風險

中圖分類號：TP3 文獻標識碼：A 文章編號：1671-7597（2014）21-0241-01

計算機技術和網(wǎng)絡技術在帶給人們方便的同時，也使網(wǎng)絡信息安全風險也大大增加。網(wǎng)絡信息安全已成為當今社會互聯(lián)網(wǎng)技術研究的重要難題。針對網(wǎng)絡攻擊行為，采用多種網(wǎng)絡信息安全技術進行防護，可以有效的減少攻擊行為所帶來的損失。

1 網(wǎng)絡安全隱患

網(wǎng)絡安全，不僅指網(wǎng)絡的信息系統(tǒng)安全，還包括網(wǎng)絡系統(tǒng)中的硬件、軟件及數(shù)據(jù)資源不遭受破壞、泄漏和更改，保證網(wǎng)絡系統(tǒng)的安全可靠運行，防止各種有害信息和非法信息的傳播。

企業(yè)網(wǎng)絡的安全隱患主要表現(xiàn)在以下幾個方面。

1）物理安全風險。物理安全包括網(wǎng)絡系統(tǒng)中的各種網(wǎng)絡硬件設備，如路由器、交換機、工作站和服務器等的通信鏈路的運行安全。物理安全風險主要有：火災、雷擊、水災等自然災害，外界電磁干擾，人為誤操作或者破壞，設備自身的缺陷或者弱點等。

2）網(wǎng)絡安全風險。網(wǎng)絡是一個開放性的平臺，企業(yè)的信息網(wǎng)絡安全受到各種威脅和攻擊。網(wǎng)絡入侵者能夠通過系統(tǒng)漏洞及各種掃描工具，以攻擊程序對網(wǎng)絡進行惡意的攻擊，導致企業(yè)網(wǎng)絡癱瘓，甚至是網(wǎng)絡信息被篡改、竊取。

3）系統(tǒng)安全風險。企業(yè)網(wǎng)絡設備主要為服務器系統(tǒng)、路由器交換機系統(tǒng)。在企業(yè)服務器系統(tǒng)中，設有數(shù)據(jù)庫系統(tǒng)、操作系統(tǒng)、其他應用系統(tǒng)等。這些系統(tǒng)必然或多或少地存在著一些漏洞，一旦攻擊者通過這些漏洞，可能會對系統(tǒng)造成很大的損失。

4）用戶安全風險。這種風險主要是針對企業(yè)的內(nèi)部人員，防止內(nèi)部人員對系統(tǒng)和網(wǎng)絡的誤用、攻擊等情況。如內(nèi)部人員計算機感染了惡意軟件或木馬程序時，可能會造成內(nèi)網(wǎng)的ARP攻擊。

2 提高企業(yè)信息網(wǎng)絡安全措施

2.1 網(wǎng)絡安全解決辦法

提高網(wǎng)絡安全，是為了保證網(wǎng)絡系統(tǒng)不受外來攻擊和內(nèi)在的故障，安全穩(wěn)定的運行。而防火墻是網(wǎng)絡系統(tǒng)安全的第一道門檻，通過硬件和軟件來實現(xiàn)網(wǎng)絡的安全。防火墻的主要性能包括：

1）對內(nèi)外部網(wǎng)絡數(shù)據(jù)流進行控制。網(wǎng)絡防火墻是鏈接內(nèi)部網(wǎng)絡和外部網(wǎng)絡的通道，防火墻的特殊網(wǎng)絡位置特征，決定了可以有效的保護內(nèi)部網(wǎng)絡不被破壞和攻擊。

2）防火墻可以有效的過濾網(wǎng)絡數(shù)據(jù)流量。通過防火墻的數(shù)據(jù)流量必須是經(jīng)過防火墻認定，符合一定安全策略的才能通過，只有在該前提下，在適當?shù)膮f(xié)議層才能進行訪問規(guī)則和通過安全審查，對于那些不符合通過條件的報文予以阻斷。

3）應用層防火墻具備更細致的防護能力。傳統(tǒng)防火墻由于不具備區(qū)分端口和應用的能力，以至于傳統(tǒng)防火墻僅僅只能防御傳統(tǒng)的攻擊，基于應用層的攻擊則毫無辦法。而新一代的防火墻解決了這個問題，它具備應用層分析的能力，能夠基于不同的應用特征，實現(xiàn)應用層的攻擊過濾，更好的針對應用層攻擊進行防護。

2.2 系統(tǒng)安全解決辦法

1）操作系統(tǒng)安全措施。操作系統(tǒng)的安全措施主要包括以下內(nèi)容：①在局域網(wǎng)內(nèi)建立WSUS補丁服務器，為整個局域網(wǎng)提供微軟全系列軟件的補丁。②操作系統(tǒng)及其各種應用軟件及時更新補丁，有效防止黑客的攻擊和病毒的感染。

2）系統(tǒng)漏洞掃描。目前的網(wǎng)絡和系統(tǒng)配置往往存在部分漏洞，這些漏洞容易被黑客利用，使系統(tǒng)的安全存在隱患。因此，提前發(fā)現(xiàn)漏洞并進行處理，可以減少系統(tǒng)安全威脅，避免不必要的損失。漏洞掃描和檢測工具可以對網(wǎng)絡設備和操作系統(tǒng)進行掃描，對系統(tǒng)中存在的漏洞生成檢查報告，并提示用戶及時安裝相應的漏洞補丁，以提高系統(tǒng)安全性。

3）網(wǎng)絡入侵檢測及預警。為了提高信息安全基礎結構完整性，使用入侵檢測及預警系統(tǒng)是防火墻的有益補充，進一步提高了系統(tǒng)面對網(wǎng)絡攻擊的安全性，使系統(tǒng)管理員更方便的對系統(tǒng)安全進行管理。

4）病毒防護。計算機病毒對系統(tǒng)和網(wǎng)絡安全的威脅越來越引起人們的重視，而針對計算機病毒的防護和掃描是系統(tǒng)安全必不可少的。計算機病毒的防治在于完善操作系統(tǒng)和應用軟件的安全機制和防范措施。使用高性能網(wǎng)絡殺毒軟件不僅能針對流行病毒進行查殺，阻斷病毒的蔓延，而且還能實現(xiàn)實時監(jiān)控和預防，避免計算機染上病毒。

5）網(wǎng)絡審計與監(jiān)控。網(wǎng)絡審計和監(jiān)控不僅依靠網(wǎng)管軟件和系統(tǒng)管理軟件來實現(xiàn)，還應采用目前較成熟的網(wǎng)絡監(jiān)測設備和實時入侵監(jiān)測，對系統(tǒng)中的網(wǎng)絡行為進行監(jiān)控、預警和阻斷，及時預防網(wǎng)絡入侵行為和采取相應的措施。

6）數(shù)據(jù)備份與恢復。對于數(shù)據(jù)的備份和恢復應采用高速、大容量、自動的數(shù)據(jù)備份恢復。對于部分系統(tǒng)的備份，可以采取增量備份，只針對系統(tǒng)發(fā)生過更改的部分文件進行備份。

2.3 應用級安全解決辦法

1）用戶授權管理。實現(xiàn)了多級分權的權限劃分機制，不同的部門只能在允許的范圍內(nèi)對數(shù)據(jù)進行操作，而對于管理部門，則可以跨部門或者全部操作。其次是功能權限，可以自定義的方式確定用戶的增加、刪除、修改、查詢權限。

2）數(shù)據(jù)安全備份。數(shù)據(jù)安全是整個系統(tǒng)安全的核心，是系統(tǒng)可靠性的體現(xiàn)和關鍵環(huán)節(jié)。為此，系統(tǒng)中可自定義備份策略，實現(xiàn)定期自動備份，也可手動備份手動恢復。

3）數(shù)據(jù)加密。應對關鍵數(shù)據(jù)采用了完善的數(shù)據(jù)加密措施，如登錄帳號和密碼。作為最重要的身份識別依據(jù)和權限開關，其安全性的重要程度在應屬于最高級。軟件的關鍵配置文檔，里面有關鍵的參數(shù)設置，也應進行了相應的加密處理，保證的系統(tǒng)的穩(wěn)定性。

4）操作日志。對于系統(tǒng)的登陸和操作情況應進行自動記錄，并形成報告和日志，進行痕跡保留，對操作方式，操作內(nèi)容，操作時間等都可以進行記錄。

3 結論

在計算機網(wǎng)絡技術的發(fā)展過程中，企業(yè)的信息網(wǎng)絡安全技術水平也不斷提高。隨著企業(yè)的發(fā)展和業(yè)務的拓展，網(wǎng)絡安全受到極大的挑戰(zhàn)，黑客攻擊、病毒入侵、非法訪問等不斷發(fā)生。因此，從企業(yè)網(wǎng)絡信息安全需求及等級情況出發(fā)，選擇適合企業(yè)自身需求的企業(yè)網(wǎng)絡信息安全措施，可以有效的保障企業(yè)信息網(wǎng)絡的健康運行。

參考文獻

[1]王能輝.我國計算機網(wǎng)絡及信息安全存在的問題和對策[J].科技信息，2010（7）.

篇5

企業(yè)經(jīng)營信息對于企業(yè)來說是一種資源，對于企業(yè)自身來說具有重要意義，企業(yè)需要妥善管理自身企業(yè)的信息。近年來，企業(yè)的各項經(jīng)營活動都逐漸開始通過計算機，網(wǎng)絡開展，因此，企業(yè)的信息安全管理對于企業(yè)越來越重要。許多企業(yè)開始通過各種技術手段以及制度改革，把更多的注意力放在企業(yè)內(nèi)部的信息安全管理工作，同時將企業(yè)信息安全管理與風險控制結合起來，這是一個正確的選擇，能夠幫助企業(yè)實現(xiàn)穩(wěn)定經(jīng)營。在介紹企業(yè)信息安全管理以及風險控制前必須厘清企業(yè)信息安全管理的概念與企業(yè)風險控制定義，因此，本節(jié)將著重介紹企業(yè)信息安全管理的概念以及企業(yè)風險控制的定義。

企業(yè)的信息安全管理包含十分豐富的內(nèi)容，簡單來說是指企業(yè)通過各種手段來保護企業(yè)硬件和軟件，保護網(wǎng)絡存儲中的各種數(shù)據(jù)不受偶然因素的破壞或者惡意的原因被攻擊。對于信息安全的認定通過包括4個指標，即保證信息數(shù)據(jù)的完整，保證信息數(shù)據(jù)不被泄露，保證信息數(shù)據(jù)能夠正常使用，保證信息數(shù)據(jù)能夠控制管理。要想做好企業(yè)的信息安全管理，首先需要了解的是關于信息的傳輸方式。隨著信息技術的不斷普及，信息傳遞的方式越來越多，常見的信息傳遞方式主要有互聯(lián)網(wǎng)傳播，局域網(wǎng)傳播，硬件傳播等等。要想實現(xiàn)企業(yè)的信息安全管理，其中很重要的一項工作在于保護信源、信號以及信息。信息安全管理是一項需要綜合學科知識基礎的工作，從事企業(yè)信息安全管理工作的人員通過需要具有網(wǎng)絡安全技術、計算機技術、密碼技術、通信技術。從企業(yè)的信息安全管理來講，最為關鍵的一項工作時保護企業(yè)內(nèi)部經(jīng)營信息數(shù)據(jù)的完整。經(jīng)過近十年來的企業(yè)信息安全管理工作經(jīng)驗總結，企業(yè)信息安全不僅僅需要信息技術的支持，更需要通過建立完善的企業(yè)風險控制體系來幫助企業(yè)實現(xiàn)更好地保護企業(yè)信息安全的目標。

所以，怎樣把企業(yè)信息安全管理與風險控制融合起來就是擺在企業(yè)經(jīng)營管理者面前的一道難題。企業(yè)的信息安全風險控制必須通過企業(yè)建立完善的企業(yè)信息安全風險體系實現(xiàn)。企業(yè)的信息安全風險控制是指企業(yè)在企業(yè)信息安全遭遇威脅之前，提前對企業(yè)的信息進行風險預估，并采取一系列的有針對性的活動降低企業(yè)面臨的信息安全風險，從而盡可能減少因為企業(yè)本身信息安全管理中存在漏洞給企業(yè)帶來不必要的損失。常見的企業(yè)信息安全風險體系建立主要包含以下幾個方面的內(nèi)容。第一，建立企業(yè)信息安全風險管理制度，明確企業(yè)信息安全管理的責任分配機制，明確企業(yè)各個部門對各自信息安全所應承擔的責任，并建立相應的問責機制。第二，設置規(guī)范的企業(yè)信息安全風險管理指標，對企業(yè)存在的可能威脅企業(yè)信息安全管理的漏洞予以風險定級，方便企業(yè)管理者對不同的信息安全管理漏洞采取有區(qū)別的對策。第三，企業(yè)要加強對信息安全管理人員的培訓，提高企業(yè)信息安全管理工作人員的風險意識，讓企業(yè)內(nèi)部從事信息安全管理工作人員認識到自身工作的重要性，讓企業(yè)內(nèi)部從事信息安全管理工作人員了解到規(guī)范自身行為，正確履行職責的重要性。第四，將企業(yè)信息安全管理與風險控制有效融合，重視企業(yè)信息安全管理工作，通過風險控制對企業(yè)內(nèi)部信息安全的管理方式進行正確評估，找出現(xiàn)行的企業(yè)內(nèi)部信息安全管理手段中存在容易忽視的地方。

二、企業(yè)信息安全管理與風險控制存在的不足

1.企業(yè)信息安全管理工作人員素質(zhì)不高

對于企業(yè)來說，企業(yè)信息安全管理工作是一項極為重要而隱秘的工作，因此，必須增強對企業(yè)信息安全管理工作人員的素質(zhì)要求。但是根據(jù)調(diào)查統(tǒng)計，目前很多企業(yè)對信息安全工作的管理僅僅停留在對企業(yè)信息安全管理工作人員的技術要求上，對企業(yè)信息安全管理工作人員的道德素養(yǎng)，職業(yè)素養(yǎng)，風險意識并沒有嚴格要求。此外，絕大多數(shù)企業(yè)并沒有意識開展對企業(yè)信息安全管理工作的道德素質(zhì)的教育培訓，并沒有通過建立相關管理制度以及問責機制對企業(yè)信息安全管理工作人員實行監(jiān)督，這無疑給別有用心或者立場不堅定的企業(yè)信息安全管理工作人員留下了危害企業(yè)信息安全的可乘之機。

2.企業(yè)信息安全管理技術不過關

企業(yè)信息安全管理工作涉及多許多技術，包括信息技術，計算機技術，密碼技術，網(wǎng)絡應用技術等等，應當說成熟的計算機應用技術是做好企業(yè)信息安全管理的基礎，但是，現(xiàn)實是許多企業(yè)的信息安全管理技術并不過關，一方面企業(yè)的信息安全管理硬件并不過關，在物理層面對企業(yè)信息缺乏保護，另一方面，企業(yè)信息安全管理工作的專業(yè)技術沒有及時更新，一些企業(yè)信息安全管理工作人員缺乏企業(yè)信息安全管理的實踐經(jīng)驗，企業(yè)信息安全管理的知識也并沒有及時更新，從而導致企業(yè)的信息安全管理理論嚴重滯后，這種技術的落后很容易讓企業(yè)成為不法分子的攻擊對象。近年來網(wǎng)絡病毒的傳播越來越猖狂，很多服務器、系統(tǒng)提示安全補丁的下載更新以及客戶端的時常更新成為一個惱人的問題。作為一個行業(yè)中的大中型企業(yè)，企業(yè)內(nèi)部設備數(shù)量比較多，尤其是客戶端數(shù)量占了較大比重，僅僅靠少數(shù)幾個管理員進行管理是難以承擔如此大量的工作量。另外，企業(yè)信息安全管理系統(tǒng)不成熟也是一個重大的隱患。

3.企業(yè)信息安全管理制度不健全

企業(yè)信息安全管理制度不僅僅需要理論制度的完善，更加需要一系列配套監(jiān)督機制保障企業(yè)信息安全管理的有效執(zhí)行。通過調(diào)查分析，許多企業(yè)雖然建立了企業(yè)信息安全管理制度，但是通常情況下，這些制度只能流于形式，企業(yè)信息安全管理工作缺少有效的制約和監(jiān)督，企業(yè)信息安全管理工作人員缺乏執(zhí)行力。企業(yè)信息安全管理制度不健全，企業(yè)信息安全管理工作缺乏執(zhí)行力常常體現(xiàn)在以下幾個方面。第一，企業(yè)員工對于信息安全管理的認識嚴重不足，對企業(yè)信息安全管理工作不重視。企業(yè)內(nèi)部計算機系統(tǒng)安全的計算機防病毒軟件并沒有及時更新，使用，甚至企業(yè)內(nèi)部計算機的防病毒軟件還被企業(yè)員工卸載了。部分企業(yè)員工認為自己的工作與企業(yè)信息安全管理不相關，認為做好企業(yè)信息安全管理工作僅僅是企業(yè)信息安全部門的事。第二，企業(yè)內(nèi)部信息安全管理制度并沒有形成聯(lián)動機制，企業(yè)信息安全管理工作僅僅由企業(yè)信息安全部門“一人包干”，企業(yè)信息安全反映的問題并沒有得到積極的反饋，一些企業(yè)領導對企業(yè)信息安全現(xiàn)狀所了解的少之又少。

三、企業(yè)信息安全管理常見的技術手段

1.OSI安全體系結構

OSI概念化的安全體系結構是一個多層次的結構，它的設計初衷是面向客戶的，提供給客戶各種安全應用，安全應用必須依靠安全服務來實現(xiàn)，而安全服務又是由各種安全機制來保障的。所以，安全服務標志著一個安全系統(tǒng)的抗風險的能力，安全服務數(shù)量越多，系統(tǒng)就越安全。

2.P2DR模型

P2DR模型包含四個部分：響應、安全策略、檢測、防護。安全策略是信息安全的重點，為安全管理提供管理途徑和保障手段。因此，要想實施動態(tài)網(wǎng)絡安全循環(huán)過程，必須制定一個企業(yè)的安全模式。在安全策略的指導下實施所有的檢測、防護、響應，防護通常是通過采用一些傳統(tǒng)的靜態(tài)安全技術或者方法來突破的，比如有防火墻、訪問控制、加密、認證等方法，檢測是動態(tài)響應的判斷依據(jù)，同時也是有力落實安全策略的實施工具，通過監(jiān)視來自網(wǎng)絡的入侵行為，可以檢測出騷擾行為或錯誤程序導致的網(wǎng)絡不安全因素；經(jīng)過不斷地監(jiān)測網(wǎng)絡和系統(tǒng)來發(fā)現(xiàn)新的隱患和弱點。在安全系統(tǒng)中，應急響應占有重要的地位，它是解決危險潛在性的最有效的辦法。

3.HTP模型

HTP最為強調(diào)企業(yè)信息安全管理工作人員在整個系統(tǒng)中的價值。企業(yè)信息安全工作人員企業(yè)信息安全最為關鍵的參與者，企業(yè)信息安全工作人員直接主導企業(yè)信息安全管理工作，企業(yè)信息安全工作人員不僅僅是企業(yè)信息安全的保障者，也是企業(yè)信息安全管理的威脅者。因此，HTP模型最為強調(diào)對企業(yè)信息安全管理工作人員的管理與監(jiān)督。另外，HTP模式同樣是建立在企業(yè)信心安全體系，信息安全技術防范的基礎上，HTP模式采取了豐富的安全技術手段確保企業(yè)的信息安全。最后，HTP強調(diào)動態(tài)管理，動態(tài)監(jiān)督，對于企業(yè)信息安全管理工作始終保持高強度的監(jiān)督與管理，在實際工作中，通過HTP模型的應用，找出HTP模型中的漏洞并不斷完善。

四、完善企業(yè)信息安全管理與降低風險的建議

1.建設企業(yè)信息安全管理系統(tǒng)

（1）充分調(diào)查和分析企業(yè)的安全系統(tǒng)，建立一個全面合理的系統(tǒng)模型，安全系統(tǒng)被劃分成各個子系統(tǒng)，明確實施步驟和功能摸塊，將企業(yè)常規(guī)管理工作和安全管理聯(lián)動協(xié)議相融合，實現(xiàn)信息安全監(jiān)控的有效性和高效性。

（2）成立一個中央數(shù)據(jù)庫，整合分布式數(shù)據(jù)庫里的數(shù)據(jù)，把企業(yè)的所有數(shù)據(jù)上傳到中央數(shù)據(jù)庫，實現(xiàn)企業(yè)數(shù)據(jù)信息的集中管理與有效運用。

（3）設計優(yōu)良的人機界面，通過對企業(yè)數(shù)據(jù)信息進行有效的運用，為企業(yè)管理階層人員、各級領導及時提供各種信息，為企業(yè)領導的正確決策提供數(shù)據(jù)支持，根本上提高信息數(shù)據(jù)的管理水平。

（4）簡化企業(yè)內(nèi)部的信息傳輸通道，對應用程序和數(shù)據(jù)庫進行程序化設計，加強對提高企業(yè)內(nèi)部信息處理的規(guī)范性和準確性。

2.設計企業(yè)信息安全管理風險體系

（1）確定信息安全風險評估的目標

在企業(yè)信息安全管理風險體系的設計過程中，首要工作是設計企業(yè)信息安全風險評估的目標，只有明確了企業(yè)信息安全管理的目標，明確了企業(yè)信息安全管理的要求和工作能容，才能建立相關圍繞信息安全風險控制為目標的信息安全管理工作制度，才能順利通過對風險控制的結果的定量考核，檢測企業(yè)信息安全管理的風險，定性定量地企業(yè)信息安全管理工作進行分析，找準企業(yè)信息安全管理的工作辦法。

（2）確定信息安全風險評估的范圍

不同企業(yè)對于風險的承受能力是有區(qū)別的，因此，對于不同的企業(yè)的特殊性應該采取不同的風險控制辦法，其中，不同企業(yè)對于能夠承受的信息安全風范圍有所不同，企業(yè)的信息安全風險承受范圍需要根據(jù)企業(yè)的實際能力來制定。不僅如此，企業(yè)的信息安全風險評估范圍也應當根據(jù)企業(yè)的實際經(jīng)營情況變化采取有針對性的辦法。