企業(yè)信息安全服務(wù)精選(五篇)

發(fā)布時(shí)間：2023-10-09 17:41:19

序言：作為思想的載體和知識(shí)的探索者，寫作是一種獨(dú)特的藝術(shù)，我們?yōu)槟鷾?zhǔn)備了不同風(fēng)格的5篇企業(yè)信息安全服務(wù)，期待它們能激發(fā)您的靈感。

企業(yè)信息安全服務(wù)

篇1

根據(jù)上述問題,提出本文的基于SOA的信息安全體系的設(shè)計(jì)。通過研究,我們提出了一個(gè)面向服務(wù)架構(gòu)的企業(yè)信息安全體系結(jié)構(gòu),它是底層基于數(shù)據(jù)倉(cāng)庫(kù)/數(shù)據(jù)集市技術(shù),并以安全服務(wù)總線作為hub,為企業(yè)信息安全活動(dòng)提供集成信息安全的管理和有效的控制,使用BPM(企業(yè)過程管理)、規(guī)則引擎(RuleEngine,RE)和,企業(yè)智能(BusinessIntelligence,BI)技術(shù)。它有益于企業(yè)公司達(dá)到需要的信息安全管理級(jí)別。并且建立一個(gè)PDCA(Plan-Do-Check-Act)適配器,以確保信息安全管理和風(fēng)險(xiǎn)控制活動(dòng),能夠進(jìn)行自我優(yōu)化。

1.1體系結(jié)構(gòu)的結(jié)構(gòu)

參考七層OSI設(shè)計(jì),我們?cè)O(shè)計(jì)了五層的智能企業(yè)信息安全體系結(jié)構(gòu)。自下向上為安全數(shù)據(jù)庫(kù)層、安全應(yīng)用層、安全服務(wù)總線、集成和智能層、信息安全框架。(圖1)說(shuō)明了智能企業(yè)信息安全體系結(jié)構(gòu)的結(jié)構(gòu)。

(1)安全數(shù)據(jù)層。體系結(jié)構(gòu)的底層是整個(gè)體系結(jié)構(gòu)的基礎(chǔ)層。這是因?yàn)榘踩珨?shù)據(jù)易于被其它應(yīng)用和服務(wù)使用。這一層的數(shù)據(jù)被分為兩個(gè)部分:操作數(shù)據(jù)和分析數(shù)據(jù)。

(2)安全應(yīng)用層。應(yīng)用層包括所有的息安全系統(tǒng),如防火墻、入侵防御系統(tǒng)、反病毒系統(tǒng),以及被防護(hù)的設(shè)備,如網(wǎng)絡(luò)設(shè)備、服務(wù)器和桌面環(huán)境等。它也包括這些系統(tǒng)上的各種各樣的操作系統(tǒng)。

(3)安全服務(wù)總線。是基于SOA的信息安全體系結(jié)構(gòu)的中樞。我們?cè)谶@一層定義SOA服務(wù)總線的結(jié)構(gòu)和需要的各種各樣的信息安全服務(wù)。在面向服務(wù)的信息安全體系結(jié)構(gòu)中,我們能夠?qū)?dāng)前和未來(lái)的安全需求定義為安全服務(wù),但這些服務(wù)的實(shí)現(xiàn)是隱藏的。

(4)集成&智能層。體系結(jié)構(gòu)中數(shù)據(jù)、過程和應(yīng)用都是在這一層進(jìn)行處理實(shí)現(xiàn)的,解決一個(gè)企業(yè)各種業(yè)務(wù)問題,滿足快速變化的環(huán)境。集成層具有“應(yīng)用之間”和“過程之間”進(jìn)行通信的能力,通過適配器,它還能夠與其他企業(yè)過程、服務(wù)提供者或數(shù)據(jù)提供者通信。

(5)信息安全輔助設(shè)計(jì)。這是信息安全對(duì)外的接口,主要是由勻衡器、關(guān)鍵風(fēng)險(xiǎn)指示儀以及監(jiān)控接口。企業(yè)智能模型提供各種各樣的服務(wù),例如報(bào)告、查詢、OLAP、數(shù)據(jù)挖掘和多維分析。規(guī)則引擎,作為工作流的一部分,可以結(jié)合到BPM模型。因?yàn)橛辛艘?guī)則引擎,我們能夠更加有效地執(zhí)行信息安全管理和風(fēng)險(xiǎn)控制。PDCA適配器是一個(gè)特殊的工具,它利用人工智能能夠幫助公司達(dá)到信息安全管理中持續(xù)提高和自我優(yōu)化的目標(biāo)。

1.2特點(diǎn)和優(yōu)勢(shì)

本文提出的企業(yè)信息安全體系結(jié)構(gòu)具有以下特點(diǎn)。

(1)集成。它也能夠?qū)⑿畔踩芾砗惋L(fēng)險(xiǎn)控制聯(lián)合起來(lái)作為一個(gè)集成的框架。

(2)可復(fù)用。體系結(jié)構(gòu)是比較獨(dú)立的,適合于企業(yè)和小型組織。服務(wù)的封裝使得可復(fù)用,與其他服務(wù)聯(lián)合使用。

(3)面向服務(wù)的體系結(jié)構(gòu)。SOA體系機(jī)構(gòu)的采用提供了服務(wù)的獨(dú)立性、自我管理和自我彈性。

(4)集成的數(shù)據(jù)環(huán)境。集成的數(shù)據(jù)結(jié)構(gòu)使之適合于各種數(shù)據(jù)庫(kù)進(jìn)行對(duì)接。

(5)企業(yè)智能。這個(gè)體系結(jié)構(gòu)將企業(yè)智能應(yīng)用到信息安全管理,信息安全管理主要使用了數(shù)據(jù)挖掘和模式識(shí)別技術(shù)。這可以大大減少由于人工誤操作引起的損失,增強(qiáng)信息安全管理和風(fēng)險(xiǎn)控制操作。

(6)開放的體系結(jié)構(gòu)。體系結(jié)構(gòu)開放設(shè)計(jì),以滿足整個(gè)企業(yè)的安全需求;面向服務(wù)的特征使得體系結(jié)構(gòu)式開放的,允許多個(gè)接口與外部應(yīng)用通信。

2結(jié)論

篇2

“十二五”期間，軟件技術(shù)和產(chǎn)業(yè)格局孕育著新一輪重大調(diào)整，軟件產(chǎn)業(yè)面臨網(wǎng)絡(luò)化、服務(wù)化、智能化、平臺(tái)化、融合化五大發(fā)展趨勢(shì)。國(guó)發(fā)[2011]4號(hào)文增強(qiáng)了對(duì)軟件產(chǎn)業(yè)的扶持力度，這必將催生軟件和信息服務(wù)新星的出現(xiàn)。

無(wú)論是基礎(chǔ)設(shè)施、資金、人才還是政策扶持，甚至是項(xiàng)目推介和品牌宣傳，軟件園區(qū)這片沃土都給軟件企業(yè)帶來(lái)豐富養(yǎng)分。《中國(guó)計(jì)算機(jī)報(bào)》“軟件園區(qū)”專欄，記錄軟件企業(yè)崛起，見證軟件產(chǎn)業(yè)發(fā)展！

如今，電子取證和計(jì)算機(jī)法證業(yè)務(wù)在歐美發(fā)達(dá)國(guó)家和我國(guó)香港地區(qū)已經(jīng)相當(dāng)成熟，除了主要應(yīng)用于金融行業(yè)外，在政府和企業(yè)中也有了相當(dāng)多的應(yīng)用。IDC 統(tǒng)計(jì)顯示，2011年全球電子數(shù)據(jù)取證市場(chǎng)的規(guī)模達(dá)到18 億美元，預(yù)計(jì)2015年中國(guó)電子數(shù)據(jù)取證將達(dá)到近10億元人民幣的市場(chǎng)規(guī)模。

電子取證：安全不可缺的一環(huán)

2012年3月，中國(guó)內(nèi)地和香港地區(qū)最高級(jí)別的計(jì)算機(jī)法證技術(shù)協(xié)會(huì)——中國(guó)計(jì)算機(jī)法證技術(shù)研究會(huì)（CCFC）、香港信息安全與法證公會(huì)（香港ISFS）正式授權(quán)上海浦東軟件園信息技術(shù)股份有限公司（以下簡(jiǎn)稱浦軟信息）為其華東代表處，這標(biāo)志浦軟信息擁有了國(guó)內(nèi)領(lǐng)先的電子取證平臺(tái)。

2012年7月，首次移師上海的第八屆CCFC計(jì)算機(jī)法證技術(shù)峰會(huì)在上海浦東軟件園舉行。會(huì)議期間，由浦軟信息投巨資新建并已投入運(yùn)行的高水準(zhǔn)電子數(shù)據(jù)司法鑒定實(shí)驗(yàn)室（以下簡(jiǎn)稱取證實(shí)驗(yàn)室）及配套設(shè)施受到了海內(nèi)外參會(huì)者的關(guān)注和期待。取證實(shí)驗(yàn)室包含了計(jì)算機(jī)鑒定人員從事涉及計(jì)算機(jī)犯罪案件受理、電子數(shù)據(jù)勘查、調(diào)查取證、數(shù)據(jù)恢復(fù)、密碼破解、鑒定分析、證據(jù)存儲(chǔ)等13個(gè)專門區(qū)域，并已經(jīng)與CCFC和香港ISFS做了業(yè)務(wù)上的對(duì)接。

據(jù)上海浦東軟件園信息技術(shù)股份有限公司總經(jīng)理葉慧介紹，浦軟信息將集全公司之力把取證試驗(yàn)室建設(shè)成為國(guó)內(nèi)在技術(shù)與硬件條件上最卓越的實(shí)驗(yàn)平臺(tái)。浦軟信息的取證業(yè)務(wù)將由單一的取證產(chǎn)品向多樣化、個(gè)性化服務(wù)轉(zhuǎn)變，最終形成以自主取證產(chǎn)品銷售、司法鑒定服務(wù)和專業(yè)取證培訓(xùn)為核心的三位一體的業(yè)務(wù)模式以及“事前預(yù)防、事中響應(yīng)、事后取證”的整體信息安全解決方案。

公司成立了專業(yè)的市場(chǎng)銷售團(tuán)隊(duì)，通過整體的設(shè)計(jì)與市場(chǎng)策劃來(lái)推廣取證業(yè)務(wù)。

如今，浦軟信息更希望將已經(jīng)擁有的平臺(tái)資源和取證業(yè)務(wù)推廣到信息安全市場(chǎng)較成熟的地區(qū)，與更多的業(yè)界同行一起培育電子取證市場(chǎng)。葉慧強(qiáng)調(diào)，浦軟信息作為計(jì)算機(jī)安全防護(hù)領(lǐng)域整體解決方案的提供商，有義務(wù)和責(zé)任通過自身的努力為社會(huì)帶來(lái)更多的價(jià)值，并以此作為自己的使命和社會(huì)責(zé)任。

取證培訓(xùn)：旨在完善認(rèn)證體系

工欲善其事，必先利其器。專業(yè)取證培訓(xùn)是浦軟信息取證業(yè)務(wù)中很重要的一環(huán)。取證實(shí)驗(yàn)室研發(fā)出許多基于高端技術(shù)的取證產(chǎn)品，其精心設(shè)計(jì)的培訓(xùn)教室擁有各類多媒體設(shè)備，能夠滿足取證技術(shù)領(lǐng)域內(nèi)的各種培訓(xùn)要求，并已經(jīng)舉辦過多次各類層次的取證培訓(xùn)。

第八屆CCFC計(jì)算機(jī)法證技術(shù)峰會(huì)引入了海外專業(yè)培訓(xùn)方式，在由香港ISFS開辦的研習(xí)會(huì)上，結(jié)合實(shí)際案例，對(duì)計(jì)算機(jī)法證技術(shù)應(yīng)用及信息安全防護(hù)進(jìn)行專業(yè)指導(dǎo)。

浦軟信息之所以花大力氣開展取證培訓(xùn)業(yè)務(wù)，就是預(yù)見到取證市場(chǎng)的前景將無(wú)限廣闊，需要一個(gè)成熟的資質(zhì)認(rèn)證體系，構(gòu)筑一個(gè)中國(guó)取證行業(yè)專業(yè)、統(tǒng)一的標(biāo)準(zhǔn)。因此，浦軟信息規(guī)劃了取證資質(zhì)認(rèn)證培訓(xùn)的發(fā)展方向，那就是明確自身的市場(chǎng)地位，完善取證實(shí)驗(yàn)室的培訓(xùn)體系和業(yè)務(wù)，今后將與海內(nèi)外專業(yè)機(jī)構(gòu)合作，繼續(xù)拓展培訓(xùn)業(yè)務(wù)，最終得到政府部門和業(yè)內(nèi)對(duì)浦軟信息取證培訓(xùn)資質(zhì)認(rèn)證的認(rèn)可。

制度創(chuàng)新：確保信息業(yè)務(wù)拓展

今年2月15日，上海股權(quán)托管交易中心正式開張，浦軟信息成為首批掛牌OTC（場(chǎng)外交易市場(chǎng)）成員。這對(duì)浦軟信息來(lái)說(shuō)無(wú)疑是一個(gè)重要的轉(zhuǎn)折點(diǎn)——浦軟信息已經(jīng)從一家中小型的以產(chǎn)品銷售為導(dǎo)向的IT公司轉(zhuǎn)變?yōu)橐患乙訧T服務(wù)為核心的非上市公眾公司。

浦軟信息希望通過OTC掛牌交易，在為股東和其他投資者提供更多選擇的同時(shí)，通過股權(quán)的發(fā)行和交易使得公司的法人治理結(jié)構(gòu)更加規(guī)范和嚴(yán)謹(jǐn)，這對(duì)浦軟信息未來(lái)發(fā)展是至關(guān)重要的，也是最大的挑戰(zhàn)。另外，作為公眾公司，浦軟信息必須考慮到諸多方面的影響，決策上必須更加謹(jǐn)慎，對(duì)內(nèi)部資源的安排也要考慮得更細(xì)致，要有平衡企業(yè)資源的能力，包括客戶和市場(chǎng)資源，要投入更多的資源來(lái)支持和規(guī)劃新的公司制度和運(yùn)轉(zhuǎn)。對(duì)此，葉慧信心滿滿。

優(yōu)秀基因：可持續(xù)發(fā)展的動(dòng)力

作為一家還處于成長(zhǎng)期的中小型IT企業(yè)，浦軟信息還有相當(dāng)大的提升空間，但公司管理層始終保持著危機(jī)感，對(duì)市場(chǎng)保持高度的敏感，業(yè)務(wù)上真正做到以客戶為導(dǎo)向，技術(shù)上不遺余力地投入人力物力。追求“優(yōu)秀”是浦軟信息始終堅(jiān)持的目標(biāo)。

何謂“優(yōu)秀”，葉慧對(duì)此做了進(jìn)一步詮釋。

“優(yōu)秀”體現(xiàn)在專業(yè)上，就是要有專攻方向。在信息安全領(lǐng)域浦軟信息已經(jīng)有十幾年的經(jīng)驗(yàn)，這既是公司的優(yōu)勢(shì)也是公司的品牌。同時(shí)，這種專業(yè)還要體現(xiàn)在技術(shù)研發(fā)的能力上，使之成為浦軟信息的核心競(jìng)爭(zhēng)力。作為一家IT公司，技術(shù)是最重要的生產(chǎn)力。

“優(yōu)秀”體現(xiàn)在人才上，就是把員工視作企業(yè)發(fā)展中最重要的資產(chǎn)，將管理團(tuán)隊(duì)與技術(shù)團(tuán)隊(duì)作為企業(yè)的核心。浦軟信息的股權(quán)結(jié)構(gòu)中也有員工持股，這體現(xiàn)了公司創(chuàng)始人開放的胸襟。

“優(yōu)秀”同時(shí)也體現(xiàn)在健康上，浦軟信息未來(lái)的目標(biāo)是上市。作為公眾公司，需要給股東和員工持續(xù)的回報(bào)，這是相當(dāng)重要的。作為一家肩負(fù)著社會(huì)責(zé)任的公眾企業(yè)，體制一定要健康，不能一味盲目地追求增長(zhǎng)速度，企業(yè)發(fā)展方式和公司結(jié)構(gòu)至關(guān)重要，這也是企業(yè)可持續(xù)發(fā)展的前提。

IT行業(yè)內(nèi)真正能夠屹立不倒的百年老店一定具備“優(yōu)秀”的基因，而不是純粹靠包裝和粉飾；同樣，有了這些“優(yōu)秀”的基因，一個(gè)升級(jí)版的浦軟信息將從企業(yè)級(jí)信息安全服務(wù)行業(yè)中脫穎而出，也就有了底氣。

記者手記

人生就是一場(chǎng)修煉

從上海市經(jīng)濟(jì)和信息化委員會(huì)到上海浦東軟件園總部再到浦軟信息，葉慧的角色在不斷轉(zhuǎn)變，雖然都涉及IT和通信行業(yè)，但視角卻大不相同。尤其是調(diào)任浦軟信息后，葉慧從原先站在宏觀角度轉(zhuǎn)變?yōu)橐云髽I(yè)職業(yè)經(jīng)理人的微觀角度來(lái)審視IT和通信行業(yè)，同時(shí)還要承受著國(guó)有企業(yè)職業(yè)經(jīng)理人特有的壓力。

是什么信念使得葉慧能夠在應(yīng)對(duì)不斷出現(xiàn)新的挑戰(zhàn)和壓力時(shí)如此談定和柔韌？答案就是被葉慧視為勵(lì)志誓言的《孟子·告子下》中的名句：“天將降大任于斯人也，必先苦其心志，勞其筋骨，餓其體膚，空乏其身，行拂亂其所為也，所以動(dòng)心忍性，增益其所不能。”葉慧認(rèn)為，一個(gè)職業(yè)經(jīng)理人即使在處于坎坷時(shí)，也要保持良好的心態(tài)，不逃避不回避各種困難，積極面對(duì)挑戰(zhàn)并擁有破解難題、果斷決策的信心。

篇3

企業(yè)經(jīng)營(yíng)信息對(duì)于企業(yè)來(lái)說(shuō)是一種資源,對(duì)于企業(yè)自身來(lái)說(shuō)具有重要意義,企業(yè)需要妥善管理自身企業(yè)的信息。近年來(lái),企業(yè)的各項(xiàng)經(jīng)營(yíng)活動(dòng)都逐漸開始通過計(jì)算機(jī),網(wǎng)絡(luò)開展,因此,企業(yè)的信息安全管理對(duì)于企業(yè)越來(lái)越重要。許多企業(yè)開始通過各種技術(shù)手段以及制度改革,把更多的注意力放在企業(yè)內(nèi)部的信息安全管理工作,同時(shí)將企業(yè)信息安全管理與風(fēng)險(xiǎn)控制結(jié)合起來(lái),這是一個(gè)正確的選擇,能夠幫助企業(yè)實(shí)現(xiàn)穩(wěn)定經(jīng)營(yíng)。在介紹企業(yè)信息安全管理以及風(fēng)險(xiǎn)控制前必須厘清企業(yè)信息安全管理的概念與企業(yè)風(fēng)險(xiǎn)控制定義,因此,本節(jié)將著重介紹企業(yè)信息安全管理的概念以及企業(yè)風(fēng)險(xiǎn)控制的定義。企業(yè)的信息安全管理包含十分豐富的內(nèi)容,簡(jiǎn)單來(lái)說(shuō)是指企業(yè)通過各種手段來(lái)保護(hù)企業(yè)硬件和軟件,保護(hù)網(wǎng)絡(luò)存儲(chǔ)中的各種數(shù)據(jù)不受偶然因素的破壞或者惡意的原因被攻擊。對(duì)于信息安全的認(rèn)定通過包括4個(gè)指標(biāo),即保證信息數(shù)據(jù)的完整,保證信息數(shù)據(jù)不被泄露,保證信息數(shù)據(jù)能夠正常使用,保證信息數(shù)據(jù)能夠控制管理。要想做好企業(yè)的信息安全管理,首先需要了解的是關(guān)于信息的傳輸方式。隨著信息技術(shù)的不斷普及,信息傳遞的方式越來(lái)越多,常見的信息傳遞方式主要有互聯(lián)網(wǎng)傳播,局域網(wǎng)傳播,硬件傳播等等。要想實(shí)現(xiàn)企業(yè)的信息安全管理,其中很重要的一項(xiàng)工作在于保護(hù)信源、信號(hào)以及信息。

信息安全管理是一項(xiàng)需要綜合學(xué)科知識(shí)基礎(chǔ)的工作,從事企業(yè)信息安全管理工作的人員通過需要具有網(wǎng)絡(luò)安全技術(shù)、計(jì)算機(jī)技術(shù)、密碼技術(shù)、通信技術(shù)。從企業(yè)的信息安全管理來(lái)講,最為關(guān)鍵的一項(xiàng)工作時(shí)保護(hù)企業(yè)內(nèi)部經(jīng)營(yíng)信息數(shù)據(jù)的完整。經(jīng)過近十年來(lái)的企業(yè)信息安全管理工作經(jīng)驗(yàn)總結(jié),企業(yè)信息安全不僅僅需要信息技術(shù)的支持,更需要通過建立完善的企業(yè)風(fēng)險(xiǎn)控制體系來(lái)幫助企業(yè)實(shí)現(xiàn)更好地保護(hù)企業(yè)信息安全的目標(biāo)。所以,怎樣把企業(yè)信息安全管理與風(fēng)險(xiǎn)控制融合起來(lái)就是擺在企業(yè)經(jīng)營(yíng)管理者面前的一道難題。企業(yè)的信息安全風(fēng)險(xiǎn)控制必須通過企業(yè)建立完善的企業(yè)信息安全風(fēng)險(xiǎn)體系實(shí)現(xiàn)。

企業(yè)的信息安全風(fēng)險(xiǎn)控制是指企業(yè)在企業(yè)信息安全遭遇威脅之前,提前對(duì)企業(yè)的信息進(jìn)行風(fēng)險(xiǎn)預(yù)估,并采取一系列的有針對(duì)性的活動(dòng)降低企業(yè)面臨的信息安全風(fēng)險(xiǎn),從而盡可能減少因?yàn)槠髽I(yè)本身信息安全管理中存在漏洞給企業(yè)帶來(lái)不必要的損失。常見的企業(yè)信息安全風(fēng)險(xiǎn)體系建立主要包含以下幾個(gè)方面的內(nèi)容。第一,建立企業(yè)信息安全風(fēng)險(xiǎn)管理制度,明確企業(yè)信息安全管理的責(zé)任分配機(jī)制,明確企業(yè)各個(gè)部門對(duì)各自信息安全所應(yīng)承擔(dān)的責(zé)任,并建立相應(yīng)的問責(zé)機(jī)制。第二,設(shè)置規(guī)范的企業(yè)信息安全風(fēng)險(xiǎn)管理指標(biāo),對(duì)企業(yè)存在的可能威脅企業(yè)信息安全管理的漏洞予以風(fēng)險(xiǎn)定級(jí),方便企業(yè)管理者對(duì)不同的信息安全管理漏洞采取有區(qū)別的對(duì)策。第三,企業(yè)要加強(qiáng)對(duì)信息安全管理人員的培訓(xùn),提高企業(yè)信息安全管理工作人員的風(fēng)險(xiǎn)意識(shí),讓企業(yè)內(nèi)部從事信息安全管理工作人員認(rèn)識(shí)到自身工作的重要性,讓企業(yè)內(nèi)部從事信息安全管理工作人員了解到規(guī)范自身行為,正確履行職責(zé)的重要性。第四,將企業(yè)信息安全管理與風(fēng)險(xiǎn)控制有效融合,重視企業(yè)信息安全管理工作,通過風(fēng)險(xiǎn)控制對(duì)企業(yè)內(nèi)部信息安全的管理方式進(jìn)行正確評(píng)估,找出現(xiàn)行的企業(yè)內(nèi)部信息安全管理手段中存在容易忽視的地方。

二、企業(yè)信息安全管理與風(fēng)險(xiǎn)控制存在的不足

1.企業(yè)信息安全管理工作人員素質(zhì)不高

對(duì)于企業(yè)來(lái)說(shuō),企業(yè)信息安全管理工作是一項(xiàng)極為重要而隱秘的工作,因此,必須增強(qiáng)對(duì)企業(yè)信息安全管理工作人員的素質(zhì)要求。但是根據(jù)調(diào)查統(tǒng)計(jì),目前很多企業(yè)對(duì)信息安全工作的管理僅僅停留在對(duì)企業(yè)信息安全管理工作人員的技術(shù)要求上,對(duì)企業(yè)信息安全管理工作人員的道德素養(yǎng),職業(yè)素養(yǎng),風(fēng)險(xiǎn)意識(shí)并沒有嚴(yán)格要求。此外,絕大多數(shù)企業(yè)并沒有意識(shí)開展對(duì)企業(yè)信息安全管理工作的道德素質(zhì)的教育培訓(xùn),并沒有通過建立相關(guān)管理制度以及問責(zé)機(jī)制對(duì)企業(yè)信息安全管理工作人員實(shí)行監(jiān)督,這無(wú)疑給別有用心或者立場(chǎng)不堅(jiān)定的企業(yè)信息安全管理工作人員留下了危害企業(yè)信息安全的可乘之機(jī)。

2.企業(yè)信息安全管理技術(shù)不過關(guān)

企業(yè)信息安全管理工作涉及多許多技術(shù),包括信息技術(shù),計(jì)算機(jī)技術(shù),密碼技術(shù),網(wǎng)絡(luò)應(yīng)用技術(shù)等等,應(yīng)當(dāng)說(shuō)成熟的計(jì)算機(jī)應(yīng)用技術(shù)是做好企業(yè)信息安全管理的基礎(chǔ),但是,現(xiàn)實(shí)是許多企業(yè)的信息安全管理技術(shù)并不過關(guān),一方面企業(yè)的信息安全管理硬件并不過關(guān),在物理層面對(duì)企業(yè)信息缺乏保護(hù),另一方面,企業(yè)信息安全管理工作的專業(yè)技術(shù)沒有及時(shí)更新,一些企業(yè)信息安全管理工作人員缺乏企業(yè)信息安全管理的實(shí)踐經(jīng)驗(yàn),企業(yè)信息安全管理的知識(shí)也并沒有及時(shí)更新,從而導(dǎo)致企業(yè)的信息安全管理理論嚴(yán)重滯后,這種技術(shù)的落后很容易讓企業(yè)成為不法分子的攻擊對(duì)象。近年來(lái)網(wǎng)絡(luò)病毒的傳播越來(lái)越猖狂,很多服務(wù)器、系統(tǒng)提示安全補(bǔ)丁的下載更新以及客戶端的時(shí)常更新成為一個(gè)惱人的問題。作為一個(gè)行業(yè)中的大中型企業(yè),企業(yè)內(nèi)部設(shè)備數(shù)量比較多,尤其是客戶端數(shù)量占了較大比重,僅僅靠少數(shù)幾個(gè)管理員進(jìn)行管理是難以承擔(dān)如此大量的工作量。另外,企業(yè)信息安全管理系統(tǒng)不成熟也是一個(gè)重大的隱患。

3.企業(yè)信息安全管理制度不健全

企業(yè)信息安全管理制度不僅僅需要理論制度的完善,更加需要一系列配套監(jiān)督機(jī)制保障企業(yè)信息安全管理的有效執(zhí)行。通過調(diào)查分析,許多企業(yè)雖然建立了企業(yè)信息安全管理制度,但是通常情況下,這些制度只能流于形式,企業(yè)信息安全管理工作缺少有效的制約和監(jiān)督,企業(yè)信息安全管理工作人員缺乏執(zhí)行力。企業(yè)信息安全管理制度不健全,企業(yè)信息安全管理工作缺乏執(zhí)行力常常體現(xiàn)在以下幾個(gè)方面。第一,企業(yè)員工對(duì)于信息安全管理的認(rèn)識(shí)嚴(yán)重不足,對(duì)企業(yè)信息安全管理工作不重視。企業(yè)內(nèi)部計(jì)算機(jī)系統(tǒng)安全的計(jì)算機(jī)防病毒軟件并沒有及時(shí)更新,使用,甚至企業(yè)內(nèi)部計(jì)算機(jī)的防病毒軟件還被企業(yè)員工卸載了。部分企業(yè)員工認(rèn)為自己的工作與企業(yè)信息安全管理不相關(guān),認(rèn)為做好企業(yè)信息安全管理工作僅僅是企業(yè)信息安全部門的事。第二,企業(yè)內(nèi)部信息安全文秘站:管理制度并沒有形成聯(lián)動(dòng)機(jī)制,企業(yè)信息安全管理工作僅僅由企業(yè)信息安全部門“一人包干”,企業(yè)信息安全反映的問題并沒有得到積極的反饋,一些企業(yè)領(lǐng)導(dǎo)對(duì)企業(yè)信息安全現(xiàn)狀所了解的少之又少。

三、企業(yè)信息安全管理常見的技術(shù)手段 1.OSI安全體系結(jié)構(gòu)

OSI概念化的安全體系結(jié)構(gòu)是一個(gè)多層次的結(jié)構(gòu),它的設(shè)計(jì)初衷是面向客戶的,提供給客戶各種安全應(yīng)用,安全應(yīng)用必須依靠安全服務(wù)來(lái)實(shí)現(xiàn),而安全服務(wù)又是由各種安全機(jī)制來(lái)保障的。所以,安全服務(wù)標(biāo)志著一個(gè)安全系統(tǒng)的抗風(fēng)險(xiǎn)的能力,安全服務(wù)數(shù)量越多,系統(tǒng)就越安全。

2.P2DR模型

P2DR模型包含四個(gè)部分:響應(yīng)、安全策略、檢測(cè)、防護(hù)。安全策略是信息安全的重點(diǎn),為安全管理提供管理途徑和保障手段。因此,要想實(shí)施動(dòng)態(tài)網(wǎng)絡(luò)安全循環(huán)過程,必須制定一個(gè)企業(yè)的安全模式。在安全策略的指導(dǎo)下實(shí)施所有的檢測(cè)、防護(hù)、響應(yīng),防護(hù)通常是通過采用一些傳統(tǒng)的靜態(tài)安全技術(shù)或者方法來(lái)突破的,比如有防火墻、訪問控制、加密、認(rèn)證等方法,檢測(cè)是動(dòng)態(tài)響應(yīng)的判斷依據(jù),同時(shí)也是有力落實(shí)安全策略的實(shí)施工具,通過監(jiān)視來(lái)自網(wǎng)絡(luò)的入侵行為,可以檢測(cè)出騷擾行為或錯(cuò)誤程序?qū)е碌木W(wǎng)絡(luò)不安全因素;經(jīng)過不斷地監(jiān)測(cè)網(wǎng)絡(luò)和系統(tǒng)來(lái)發(fā)現(xiàn)新的隱患和弱點(diǎn)。在安全系統(tǒng)中,應(yīng)急響應(yīng)占有重要的地位,它是解決危險(xiǎn)潛在性的最有效的辦法。

3.HTP模型

HTP最為強(qiáng)調(diào)企業(yè)信息安全管理工作人員在整個(gè)系統(tǒng)中的價(jià)值。企業(yè)信息安全工作人員企業(yè)信息安全最為關(guān)鍵的參與者,企業(yè)信息安全工作人員直接主導(dǎo)企業(yè)信息安全管理工作,企業(yè)信息安全工作人員不僅僅是企業(yè)信息安全的保障者,也是企業(yè)信息安全管理的威脅者。因此,HTP模型最為強(qiáng)調(diào)對(duì)企業(yè)信息安全管理工作人員的管理與監(jiān)督。另外,HTP模式同樣是建立在企業(yè)信心安全體系,信息安全技術(shù)防范的基礎(chǔ)上,HTP模式采取了豐富的安全技術(shù)手段確保企業(yè)的信息安全。最后,HTP強(qiáng)調(diào)動(dòng)態(tài)管理,動(dòng)態(tài)監(jiān)督,對(duì)于企業(yè)信息安全管理工作始終保持高強(qiáng)度的監(jiān)督與管理,在實(shí)際工作中,通過HTP模型的應(yīng)用,找出HTP模型中的漏洞并不斷完善。

四、完善企業(yè)信息安全管理與降低風(fēng)險(xiǎn)的建議

1.建設(shè)企業(yè)信息安全管理系統(tǒng)

(1)充分調(diào)查和分析企業(yè)的安全系統(tǒng),建立一個(gè)全面合理的系統(tǒng)模型,安全系統(tǒng)被劃分成各個(gè)子系統(tǒng),明確實(shí)施步驟和功能摸塊,將企業(yè)常規(guī)管理工作和安全管理聯(lián)動(dòng)協(xié)議相融合,實(shí)現(xiàn)信息安全監(jiān)控的有效性和高效性。

(2)成立一個(gè)中央數(shù)據(jù)庫(kù),整合分布式數(shù)據(jù)庫(kù)里的數(shù)據(jù),把企業(yè)的所有數(shù)據(jù)上傳到中央數(shù)據(jù)庫(kù),實(shí)現(xiàn)企業(yè)數(shù)據(jù)信息的集中管理與有效運(yùn)用。

(3)設(shè)計(jì)優(yōu)良的人機(jī)界面,通過對(duì)企業(yè)數(shù)據(jù)信息進(jìn)行有效的運(yùn)用,為企業(yè)管理階層人員、各級(jí)領(lǐng)導(dǎo)及時(shí)提供各種信息,為企業(yè)領(lǐng)導(dǎo)的正確決策提供數(shù)據(jù)支持,根本上提高信息數(shù)據(jù)的管理水平。

(4)簡(jiǎn)化企業(yè)內(nèi)部的信息傳輸通道,對(duì)應(yīng)用程序和數(shù)據(jù)庫(kù)進(jìn)行程序化設(shè)計(jì),加強(qiáng)對(duì)提高企業(yè)內(nèi)部信息處理的規(guī)范性和準(zhǔn)確性。

2.設(shè)計(jì)企業(yè)信息安全管理風(fēng)險(xiǎn)體系

(1)確定信息安全風(fēng)險(xiǎn)評(píng)估的目標(biāo)

在企業(yè)信息安全管理風(fēng)險(xiǎn)體系的設(shè)計(jì)過程中,首要工作是設(shè)計(jì)企業(yè)信息安全風(fēng)險(xiǎn)評(píng)估的目標(biāo),只有明確了企業(yè)信息安全管理的目標(biāo),明確了企業(yè)信息安全管理的要求和工作能容,才能建立相關(guān)圍繞信息安全風(fēng)險(xiǎn)控制為目標(biāo)的信息安全管理工作制度,才能順利通過對(duì)風(fēng)險(xiǎn)控制的結(jié)果的定量考核,檢測(cè)企業(yè)信息安全管理的風(fēng)險(xiǎn),定性定量地企業(yè)信息安全管理工作進(jìn)行分析,找準(zhǔn)企業(yè)信息安全管理的工作辦法。

(2)確定信息安全風(fēng)險(xiǎn)評(píng)估的范圍

不同企業(yè)對(duì)于風(fēng)險(xiǎn)的承受能力是有區(qū)別的,因此,對(duì)于不同的企業(yè)的特殊性應(yīng)該采取不同的風(fēng)險(xiǎn)控制辦法,其中,不同企業(yè)對(duì)于能夠承受的信息安全風(fēng)范圍有所不同,企業(yè)的信息安全風(fēng)險(xiǎn)承受范圍需要根據(jù)企業(yè)的實(shí)際能力來(lái)制定。不僅如此,企業(yè)的信息安全風(fēng)險(xiǎn)評(píng)估范圍也應(yīng)當(dāng)根據(jù)企業(yè)的實(shí)際經(jīng)營(yíng)情況變化采取有針對(duì)性的辦法。

篇4

【關(guān)鍵詞】企業(yè)信息化；信息安全問題；原因；對(duì)策

【中圖分類號(hào)】F270.7【文獻(xiàn)標(biāo)識(shí)碼】A【文章編號(hào)】1006-4222（2016）01-0247-02

新時(shí)期下，信息化技術(shù)在各行業(yè)中運(yùn)用日漸深入，給企業(yè)現(xiàn)代化建設(shè)與快速發(fā)展帶來(lái)了無(wú)限動(dòng)力。企業(yè)信息化建設(shè)已成為我國(guó)經(jīng)濟(jì)信息化建設(shè)能否成功的關(guān)鍵所在，也是提升企業(yè)自身市場(chǎng)競(jìng)爭(zhēng)力與企業(yè)升級(jí)進(jìn)步的重要保證和標(biāo)志[1]。但是，企業(yè)信息化建設(shè)過程中不可避免的出現(xiàn)信息安全問題，給企業(yè)正常生產(chǎn)經(jīng)營(yíng)帶來(lái)諸多不利影響。因此，加強(qiáng)企業(yè)信息化建設(shè)中信息安全管理，已成為現(xiàn)代企業(yè)經(jīng)營(yíng)管理的一個(gè)至關(guān)重要的工作。

1企業(yè)信息化概述

所謂的企業(yè)信息化，指的是實(shí)現(xiàn)企業(yè)的資金流、物流、作業(yè)流、信息流的數(shù)字化、網(wǎng)絡(luò)化管理，實(shí)行企業(yè)運(yùn)行的自動(dòng)化和企業(yè)制度的現(xiàn)代化[2]。企業(yè)信息化建設(shè)涉及了企業(yè)生產(chǎn)經(jīng)營(yíng)中的各個(gè)部門，其主要利用現(xiàn)代化信息技術(shù)，通過完善企業(yè)內(nèi)外網(wǎng)絡(luò)信息系統(tǒng)，實(shí)現(xiàn)對(duì)企業(yè)內(nèi)外知識(shí)與信息資源的開發(fā)。可見，建設(shè)企業(yè)信息化體系，不但可以及時(shí)有效的提供各種數(shù)據(jù)信息給企業(yè)決策層，也為企業(yè)未來(lái)規(guī)劃設(shè)計(jì)提供參考依據(jù)，而且還有利于企業(yè)滿足瞬息萬(wàn)變的市場(chǎng)需求，為企業(yè)市場(chǎng)核心競(jìng)爭(zhēng)力的提升帶來(lái)動(dòng)力。

2當(dāng)前企業(yè)信息化建設(shè)中信息安全問題

企業(yè)信息化建設(shè)與發(fā)展為企業(yè)持續(xù)、健康、穩(wěn)定發(fā)展發(fā)揮了顯著作用，但同時(shí)也存在著諸多信息安全問題，具體分析主要有以下幾方面[3]：（1）當(dāng)前，絕大多數(shù)企業(yè)缺乏完善的安全防御系統(tǒng)，導(dǎo)致企業(yè)內(nèi)部使用的信息系統(tǒng)易遭受外部網(wǎng)絡(luò)系統(tǒng)的攻擊，引發(fā)企業(yè)信息資料被他人截獲、篡改與偽造等問題，甚至企業(yè)信息系統(tǒng)中出現(xiàn)通信線路、硬盤設(shè)施以及其他文件系統(tǒng)遭惡意破壞現(xiàn)象，上述問題的發(fā)生不但致使企業(yè)信息系統(tǒng)無(wú)法正常運(yùn)行，而且其內(nèi)部機(jī)密信息易發(fā)生泄漏，造成企業(yè)嚴(yán)重的社會(huì)經(jīng)濟(jì)損失。（2）針對(duì)郵件系統(tǒng)攻擊防不甚防。在企業(yè)信息系統(tǒng)中電子郵件具有重要的作用，通過電子郵件接收與傳送，極大的方便了企業(yè)內(nèi)部間與外部間信息交流與溝通。然而，電子郵件安全問題也日益突出，典型的如電子郵件病毒、垃圾郵件、機(jī)密信息泄露以及電子郵件炸彈等，給企業(yè)信息傳輸帶來(lái)了巨大安全隱患。因此，電子郵件安全問題不可忽視。（3）漏洞攻擊日益嚴(yán)重。按照漏洞問題發(fā)生原因可分為軟件漏洞和協(xié)議漏洞兩種，其中軟件漏洞主要是受外部不法分子攻擊軟件自身存在的漏洞，造成企業(yè)信息泄露等問題；而協(xié)議漏洞則主要是由于TCP/IP協(xié)議自身在安全機(jī)制方面存在的諸多漏洞問題導(dǎo)致，外部不法人員通過攻擊TCP/IP協(xié)議漏洞，致使企業(yè)信息系統(tǒng)遭受破壞。目前情況，很多企業(yè)對(duì)自身信息系統(tǒng)缺乏成熟的漏洞檢測(cè)手段和能力，往往事發(fā)后才采取補(bǔ)救措施。（4）是Web服務(wù)安全問題突出，根據(jù)Web服務(wù)流程，其發(fā)生安全問題的主要組成包括Web服務(wù)端安全問題、瀏覽器客戶端安全問題兩種。其中，Web服務(wù)端安全問題主要是企業(yè)Web主機(jī)遭受外部不法分子侵入，導(dǎo)致企業(yè)保密信息遭竊或者企業(yè)部分信息遭受非法篡改等；瀏覽器客戶端安全問題則是企業(yè)瀏覽器客戶端遭外部非法分子侵入，致使部分機(jī)密信息與數(shù)據(jù)遭竊等。

3導(dǎo)致企業(yè)信息化建設(shè)中信息安全問題因素

企業(yè)信息化建設(shè)中信息安全問題發(fā)生受諸多因素影響，具體分析主要有以下幾方面[4]：（1）目前，絕大多數(shù)企業(yè)在信息化建設(shè)過程中，對(duì)于信息安全問題重視度嚴(yán)重不足。一方面，受傳統(tǒng)經(jīng)營(yíng)觀念影響，企業(yè)管理層偏重于對(duì)企業(yè)生產(chǎn)經(jīng)營(yíng)中的有形資產(chǎn)給予關(guān)注與重視，而忽略了企業(yè)知識(shí)與信息資料等無(wú)形資源，導(dǎo)致在企業(yè)信息安全管理方面各項(xiàng)投入嚴(yán)重不足，進(jìn)而造成信息安全問題日益凸顯；另一方面，多數(shù)企業(yè)在面對(duì)信息安全問題時(shí)，存在著盲目樂觀現(xiàn)象，認(rèn)為信息安全問題不至于導(dǎo)致企業(yè)正常生產(chǎn)經(jīng)營(yíng)，使得信息安全管理無(wú)法上升至企業(yè)發(fā)展規(guī)劃戰(zhàn)略之中，進(jìn)而造成信息安全問題得不到及時(shí)有效解決。（2）由于企業(yè)信息化建設(shè)在我國(guó)尚處于起步階段，各方面配套管理制度不夠完善，特別是缺乏健全的企業(yè)信息安全管理體制。受此影響，企業(yè)信息化建設(shè)中信息安全問題一方面無(wú)法得到有效的預(yù)防措施，另一方面是一旦發(fā)生信息安全問題，無(wú)法采取及時(shí)有效的補(bǔ)救與解決對(duì)策。同時(shí)，由于缺乏科學(xué)、合理、有效的企業(yè)信息安全防護(hù)策略，使得企業(yè)信息管理人員缺乏必要的安全防護(hù)意識(shí)與業(yè)務(wù)素質(zhì)能力，致使企業(yè)信息安全防護(hù)軟硬件工作質(zhì)量與效率明顯不足。上述兩個(gè)因素，導(dǎo)致企業(yè)無(wú)論是從人員配置，還是資金與技術(shù)投入方面都嚴(yán)重不足，受企業(yè)信息管理人員業(yè)務(wù)素質(zhì)能力不足、信息安全技術(shù)方法落后以及配套的資金缺乏等影響，企業(yè)信息安全防護(hù)的措施、手段偏低，造成企業(yè)信息化建設(shè)存在著嚴(yán)重安全隱患。

4提升企業(yè)信息化建設(shè)中信息安全對(duì)策

針對(duì)當(dāng)前企業(yè)信息化建設(shè)中存在的信息安全問題，為加強(qiáng)企業(yè)信息安全管理，提升企業(yè)信息安全保障，可通過采取以下幾方面對(duì)策，具體有[5]：（1）轉(zhuǎn)變傳統(tǒng)企業(yè)信息化建設(shè)觀念，在企業(yè)內(nèi)部管理層從上至下加強(qiáng)對(duì)企業(yè)信息安全的重視，并樹立正確的安全意識(shí)。一方面，通過組織各種信息安全管理培訓(xùn)等，增強(qiáng)全體企業(yè)員工信息安全意識(shí)，確保企業(yè)保密信息不外漏；另一方面，逐步加大企業(yè)信息化建設(shè)中信息安全管理各項(xiàng)資金、技術(shù)、人力投入，并建立科學(xué)、合理、有效的企業(yè)信息安全防護(hù)策略，保障企業(yè)信息系統(tǒng)安全穩(wěn)定。（2）不斷的推進(jìn)網(wǎng)絡(luò)信息技術(shù)的發(fā)展與運(yùn)用，促進(jìn)企業(yè)組織結(jié)構(gòu)網(wǎng)絡(luò)化的實(shí)現(xiàn)，同時(shí)引進(jìn)先進(jìn)的安全防護(hù)技術(shù)，確保企業(yè)信息化系統(tǒng)安全穩(wěn)定運(yùn)行。任何網(wǎng)絡(luò)信息系統(tǒng)都存在著或大或小的安全漏洞問題，而保證其不受外部不法分子侵入的一個(gè)關(guān)鍵方法就是安全防護(hù)技術(shù)的運(yùn)用。通過選用先進(jìn)的安全防護(hù)技術(shù)，可以有效的提高企業(yè)信息系統(tǒng)抵抗外來(lái)攻擊，避免企業(yè)信息遭受竊取、篡改甚至破壞等，對(duì)于保障企業(yè)持續(xù)、健康、穩(wěn)定發(fā)展具有顯著作用。（3）結(jié)合企業(yè)信息化建設(shè)實(shí)際情況，建立健全企業(yè)內(nèi)部信息系統(tǒng)管理體制。一方面，針對(duì)信息安全問題，應(yīng)建立科學(xué)、合理、規(guī)范的信息安全管理體制，保證企業(yè)信息系統(tǒng)安全運(yùn)行；另一方面，建立健全企業(yè)安全風(fēng)險(xiǎn)評(píng)估機(jī)制，針對(duì)不同系統(tǒng)找出影響其安全的因素和漏洞，并制定出最佳的對(duì)策，降低企業(yè)信息安全風(fēng)險(xiǎn)；此外，加強(qiáng)相應(yīng)的網(wǎng)絡(luò)管理，防止外來(lái)不法分子通過網(wǎng)絡(luò)侵入企業(yè)信息系統(tǒng)。（4）根據(jù)新時(shí)期企業(yè)信息化建設(shè)需要，加強(qiáng)企業(yè)信息技術(shù)人才、信息管理人才隊(duì)伍建設(shè)，為企業(yè)信息安全管理奠定堅(jiān)實(shí)的人才基礎(chǔ)。一方面，在企業(yè)內(nèi)部，加強(qiáng)信息技術(shù)人才培訓(xùn)，提高企業(yè)內(nèi)部相關(guān)人才業(yè)務(wù)素質(zhì)能力；另一方面，在企業(yè)外部，采取有效措施，積極招聘人才，引進(jìn)具有先進(jìn)信息技術(shù)型人才；此外，建立健全企業(yè)信息安全管理用人機(jī)制，激發(fā)員工工作積極性，提高工作質(zhì)量與效率。

5小結(jié)

總而言之，企業(yè)信息安全事關(guān)企業(yè)信息化建設(shè)是否成功，對(duì)于企業(yè)持續(xù)、健康、穩(wěn)定發(fā)展具有至關(guān)重要的作用。因此，應(yīng)提高企業(yè)信息安全管理意識(shí)，增強(qiáng)企業(yè)信息安全管理機(jī)制，促進(jìn)企業(yè)信息安全管理工作質(zhì)量與效率，保障企業(yè)信息化建設(shè)順利開展。

參考文獻(xiàn)

[1]毛志勇.企業(yè)信息化建設(shè)的信息安全形勢(shì)與對(duì)策研究[J].科技與產(chǎn)業(yè)，2008，8，（1）：43~45.

[2]纂振法，徐福緣.淺析企業(yè)信息化建設(shè)的意義、問題與對(duì)策[J].吉林省經(jīng)濟(jì)管理干部學(xué)院學(xué)報(bào)，2001，3：24~28.

[3]謝志宏.企業(yè)信息化建設(shè)中的信息安全問題研究[J].企業(yè)導(dǎo)報(bào)，2014（06）：132~133.

[4]秦海峰.企業(yè)信息化建設(shè)中信息安全問題的分析研究[J].中國(guó)信息界，2012（05）：61~62.

篇5

隨著信息化技術(shù)的不斷發(fā)展進(jìn)步，我國(guó)企業(yè)信息化建設(shè)得到了廣闊的發(fā)展空間，為提升企業(yè)在市場(chǎng)中核心競(jìng)爭(zhēng)力帶來(lái)了無(wú)限動(dòng)力。然而，受企業(yè)傳統(tǒng)經(jīng)營(yíng)理念以及信息化技術(shù)水平等影響，當(dāng)前企業(yè)信息化建設(shè)中存在著諸多信息安全問題，例如信息風(fēng)險(xiǎn)與攻擊、網(wǎng)絡(luò)漏洞以及Web服務(wù)安全問題等，給企業(yè)持續(xù)、健康、穩(wěn)定發(fā)展帶來(lái)巨大安全隱患。因此，加強(qiáng)企業(yè)信息化建設(shè)中安全管理勢(shì)在必行。本文在介紹企業(yè)信息化建設(shè)的基礎(chǔ)上，就當(dāng)前企業(yè)信息化建設(shè)中信息安全問題進(jìn)行了分析，并闡述了其導(dǎo)致因素，著重就如何提升企業(yè)信息安全管理提出了相應(yīng)的對(duì)策。

【關(guān)鍵詞】企業(yè)信息化；信息安全問題；原因；對(duì)策

1企業(yè)信息化概述

2當(dāng)前企業(yè)信息化建設(shè)中信息安全問題

企業(yè)信息化建設(shè)與發(fā)展為企業(yè)持續(xù)、健康、穩(wěn)定發(fā)展發(fā)揮了顯著作用，但同時(shí)也存在著諸多信息安全問題，具體分析主要有以下幾方面[3]：

（1）當(dāng)前，絕大多數(shù)企業(yè)缺乏完善的安全防御系統(tǒng)，導(dǎo)致企業(yè)內(nèi)部使用的信息系統(tǒng)易遭受外部網(wǎng)絡(luò)系統(tǒng)的攻擊，引發(fā)企業(yè)信息資料被他人截獲、篡改與偽造等問題，甚至企業(yè)信息系統(tǒng)中出現(xiàn)通信線路、硬盤設(shè)施以及其他文件系統(tǒng)遭惡意破壞現(xiàn)象，上述問題的發(fā)生不但致使企業(yè)信息系統(tǒng)無(wú)法正常運(yùn)行，而且其內(nèi)部機(jī)密信息易發(fā)生泄漏，造成企業(yè)嚴(yán)重的社會(huì)經(jīng)濟(jì)損失。

（2）針對(duì)郵件系統(tǒng)攻擊防不甚防。在企業(yè)信息系統(tǒng)中電子郵件具有重要的作用，通過電子郵件接收與傳送，極大的方便了企業(yè)內(nèi)部間與外部間信息交流與溝通。然而，電子郵件安全問題也日益突出，典型的如電子郵件病毒、垃圾郵件、機(jī)密信息泄露以及電子郵件炸彈等，給企業(yè)信息傳輸帶來(lái)了巨大安全隱患。因此，電子郵件安全問題不可忽視。

（3）漏洞攻擊日益嚴(yán)重。按照漏洞問題發(fā)生原因可分為軟件漏洞和協(xié)議漏洞兩種，其中軟件漏洞主要是受外部不法分子攻擊軟件自身存在的漏洞，造成企業(yè)信息泄露等問題；而協(xié)議漏洞則主要是由于TCP/IP協(xié)議自身在安全機(jī)制方面存在的諸多漏洞問題導(dǎo)致，外部不法人員通過攻擊TCP/IP協(xié)議漏洞，致使企業(yè)信息系統(tǒng)遭受破壞。目前情況，很多企業(yè)對(duì)自身信息系統(tǒng)缺乏成熟的漏洞檢測(cè)手段和能力，往往事發(fā)后才采取補(bǔ)救措施。

（4）是Web服務(wù)安全問題突出，根據(jù)Web服務(wù)流程，其發(fā)生安全問題的主要組成包括Web服務(wù)端安全問題、瀏覽器客戶端安全問題兩種。其中，Web服務(wù)端安全問題主要是企業(yè)Web主機(jī)遭受外部不法分子侵入，導(dǎo)致企業(yè)保密信息遭竊或者企業(yè)部分信息遭受非法篡改等；瀏覽器客戶端安全問題則是企業(yè)瀏覽器客戶端遭外部非法分子侵入，致使部分機(jī)密信息與數(shù)據(jù)遭竊等。

3導(dǎo)致企業(yè)信息化建設(shè)中信息安全問題因素

企業(yè)信息化建設(shè)中信息安全問題發(fā)生受諸多因素影響，具體分析主要有以下幾方面[4]：

（1）目前，絕大多數(shù)企業(yè)在信息化建設(shè)過程中，對(duì)于信息安全問題重視度嚴(yán)重不足。一方面，受傳統(tǒng)經(jīng)營(yíng)觀念影響，企業(yè)管理層偏重于對(duì)企業(yè)生產(chǎn)經(jīng)營(yíng)中的有形資產(chǎn)給予關(guān)注與重視，而忽略了企業(yè)知識(shí)與信息資料等無(wú)形資源，導(dǎo)致在企業(yè)信息安全管理方面各項(xiàng)投入嚴(yán)重不足，進(jìn)而造成信息安全問題日益凸顯；另一方面，多數(shù)企業(yè)在面對(duì)信息安全問題時(shí)，存在著盲目樂觀現(xiàn)象，認(rèn)為信息安全問題不至于導(dǎo)致企業(yè)正常生產(chǎn)經(jīng)營(yíng)，使得信息安全管理無(wú)法上升至企業(yè)發(fā)展規(guī)劃戰(zhàn)略之中，進(jìn)而造成信息安全問題得不到及時(shí)有效解決。

（2）由于企業(yè)信息化建設(shè)在我國(guó)尚處于起步階段，各方面配套管理制度不夠完善，特別是缺乏健全的企業(yè)信息安全管理體制。受此影響，企業(yè)信息化建設(shè)中信息安全問題一方面無(wú)法得到有效的預(yù)防措施，另一方面是一旦發(fā)生信息安全問題，無(wú)法采取及時(shí)有效的補(bǔ)救與解決對(duì)策。同時(shí)，由于缺乏科學(xué)、合理、有效的企業(yè)信息安全防護(hù)策略，使得企業(yè)信息管理人員缺乏必要的安全防護(hù)意識(shí)與業(yè)務(wù)素質(zhì)能力，致使企業(yè)信息安全防護(hù)軟硬件工作質(zhì)量與效率明顯不足。上述兩個(gè)因素，導(dǎo)致企業(yè)無(wú)論是從人員配置，還是資金與技術(shù)投入方面都嚴(yán)重不足，受企業(yè)信息管理人員業(yè)務(wù)素質(zhì)能力不足、信息安全技術(shù)方法落后以及配套的資金缺乏等影響，企業(yè)信息安全防護(hù)的措施、手段偏低，造成企業(yè)信息化建設(shè)存在著嚴(yán)重安全隱患。

4提升企業(yè)信息化建設(shè)中信息安全對(duì)策

針對(duì)當(dāng)前企業(yè)信息化建設(shè)中存在的信息安全問題，為加強(qiáng)企業(yè)信息安全管理，提升企業(yè)信息安全保障，可通過采取以下幾方面對(duì)策，具體有[5]：

（1）轉(zhuǎn)變傳統(tǒng)企業(yè)信息化建設(shè)觀念，在企業(yè)內(nèi)部管理層從上至下加強(qiáng)對(duì)企業(yè)信息安全的重視，并樹立正確的安全意識(shí)。一方面，通過組織各種信息安全管理培訓(xùn)等，增強(qiáng)全體企業(yè)員工信息安全意識(shí)，確保企業(yè)保密信息不外漏；另一方面，逐步加大企業(yè)信息化建設(shè)中信息安全管理各項(xiàng)資金、技術(shù)、人力投入，并建立科學(xué)、合理、有效的企業(yè)信息安全防護(hù)策略，保障企業(yè)信息系統(tǒng)安全穩(wěn)定。

（2）不斷的推進(jìn)網(wǎng)絡(luò)信息技術(shù)的發(fā)展與運(yùn)用，促進(jìn)企業(yè)組織結(jié)構(gòu)網(wǎng)絡(luò)化的實(shí)現(xiàn)，同時(shí)引進(jìn)先進(jìn)的安全防護(hù)技術(shù)，確保企業(yè)信息化系統(tǒng)安全穩(wěn)定運(yùn)行。任何網(wǎng)絡(luò)信息系統(tǒng)都存在著或大或小的安全漏洞問題，而保證其不受外部不法分子侵入的一個(gè)關(guān)鍵方法就是安全防護(hù)技術(shù)的運(yùn)用。通過選用先進(jìn)的安全防護(hù)技術(shù)，可以有效的提高企業(yè)信息系統(tǒng)抵抗外來(lái)攻擊，避免企業(yè)信息遭受竊取、篡改甚至破壞等，對(duì)于保障企業(yè)持續(xù)、健康、穩(wěn)定發(fā)展具有顯著作用。

（3）結(jié)合企業(yè)信息化建設(shè)實(shí)際情況，建立健全企業(yè)內(nèi)部信息系統(tǒng)管理體制。一方面，針對(duì)信息安全問題，應(yīng)建立科學(xué)、合理、規(guī)范的信息安全管理體制，保證企業(yè)信息系統(tǒng)安全運(yùn)行；另一方面，建立健全企業(yè)安全風(fēng)險(xiǎn)評(píng)估機(jī)制，針對(duì)不同系統(tǒng)找出影響其安全的因素和漏洞，并制定出最佳的對(duì)策，降低企業(yè)信息安全風(fēng)險(xiǎn)；此外，加強(qiáng)相應(yīng)的網(wǎng)絡(luò)管理，防止外來(lái)不法分子通過網(wǎng)絡(luò)侵入企業(yè)信息系統(tǒng)。

（4）根據(jù)新時(shí)期企業(yè)信息化建設(shè)需要，加強(qiáng)企業(yè)信息技術(shù)人才、信息管理人才隊(duì)伍建設(shè)，為企業(yè)信息安全管理奠定堅(jiān)實(shí)的人才基礎(chǔ)。一方面，在企業(yè)內(nèi)部，加強(qiáng)信息技術(shù)人才培訓(xùn)，提高企業(yè)內(nèi)部相關(guān)人才業(yè)務(wù)素質(zhì)能力；另一方面，在企業(yè)外部，采取有效措施，積極招聘人才，引進(jìn)具有先進(jìn)信息技術(shù)型人才；此外，建立健全企業(yè)信息安全管理用人機(jī)制，激發(fā)員工工作積極性，提高工作質(zhì)量與效率。

5小結(jié)

參考文獻(xiàn)

[1]毛志勇.企業(yè)信息化建設(shè)的信息安全形勢(shì)與對(duì)策研究[J].科技與產(chǎn)業(yè)，2008，8，（1）：43~45.

[2]纂振法，徐福緣.淺析企業(yè)信息化建設(shè)的意義、問題與對(duì)策[J].吉林省經(jīng)濟(jì)管理干部學(xué)院學(xué)報(bào)，2001，3：24~28.

[3]謝志宏.企業(yè)信息化建設(shè)中的信息安全問題研究[J].企業(yè)導(dǎo)報(bào)，2014（06）：132~133.

[4]秦海峰.企業(yè)信息化建設(shè)中信息安全問題的分析研究[J].中國(guó)信息界，2012（05）：61~62.