前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇企業(yè)信息安全現(xiàn)狀范文，相信會為您的寫作帶來幫助，發(fā)現(xiàn)更多的寫作思路和靈感。

企業(yè)信息安全現(xiàn)狀范文第1篇

一、企業(yè)信息安全存在的問題

 

(一)技術(shù)方面。企業(yè)在信息資源管理過程中，對技術(shù)非常依賴。但是現(xiàn)實中，企業(yè)相關(guān)管理人員對技術(shù)的重視程度遠(yuǎn)遠(yuǎn)不夠。導(dǎo)致經(jīng)常出現(xiàn)各種各樣的技術(shù)問題，如企業(yè)網(wǎng)站被黑;企業(yè)主機(jī)或服務(wù)器被外部人員入侵，企業(yè)重要信息泄露;技術(shù)問題還有軟件開發(fā)過程不規(guī)范，管理軟件設(shè)計有漏洞;企業(yè)管理軟件沒有定期更新、升級等。

 

(二)管理方面。(1)物理設(shè)備的管理。企業(yè)信息安全管理的設(shè)備主要包括中心機(jī)房、服務(wù)器、網(wǎng)絡(luò)設(shè)備、線路等方面，此外還有門卡、消防器材等。這些是企業(yè)信息安全保障系統(tǒng)的基礎(chǔ)。這些設(shè)備受到的威脅主要表現(xiàn)在自然災(zāi)害、電磁輻射與惡劣工作環(huán)境方面。自然災(zāi)害無法避免。但是大多數(shù)企業(yè)對這些設(shè)備的管理的力度不夠。此外企業(yè)對這些設(shè)備的防火、防盜意識還較欠缺。(2)人員的管理。1)企業(yè)人員安全意識較弱，多數(shù)員工使用默認(rèn)密碼和弱密碼，增加了潛在的風(fēng)險。也有員工無意泄露企業(yè)重要信息的情況發(fā)生。對于員工和管理員的操作缺少日志審計。2)企業(yè)對于網(wǎng)絡(luò)安全隊伍的建設(shè)工作積極性不高，認(rèn)識不到網(wǎng)絡(luò)安全所存在的隱患。未明確設(shè)置安全管理員、機(jī)房管理員、數(shù)據(jù)庫管理員、網(wǎng)絡(luò)管理員、存儲管理員等崗位，崗位職責(zé)存在兼任情況。3)許多企業(yè)，網(wǎng)絡(luò)系統(tǒng)管理人員技術(shù)水平達(dá)不到所需要求，會直接導(dǎo)致系列操作產(chǎn)生問題，進(jìn)而使安全漏洞問題愈加嚴(yán)重?！叭肭终摺蓖ǔＧ闆r下會利用網(wǎng)絡(luò)管理的不足，從而攻擊，破壞網(wǎng)絡(luò)安全并且獲取有用的信息。他們也會通過改變頁面的數(shù)據(jù)，進(jìn)一步使系繁忙或改變重要信息，嚴(yán)重的更會導(dǎo)致系統(tǒng)崩潰，造成重大的經(jīng)濟(jì)損失。(3)信息及應(yīng)用系統(tǒng)的管理。大多數(shù)企業(yè)沒有對企業(yè)信息進(jìn)行設(shè)置保密等級;應(yīng)用系統(tǒng)業(yè)務(wù)運行情況方面的數(shù)據(jù)也沒有及時保存;和應(yīng)用系統(tǒng)相連的數(shù)據(jù)庫中的重要表未進(jìn)行加密處理;主機(jī)和數(shù)據(jù)庫沒有密碼復(fù)雜度限制，也沒有定期進(jìn)行密碼更改，存在弱口令;缺乏對應(yīng)用系統(tǒng)和數(shù)據(jù)庫的操作日志的收集和審計。

 

(三)信息安全文件及制度。通過調(diào)查發(fā)現(xiàn)，大多數(shù)企業(yè)沒有完整的信息安全政策性文件。信息安全制度的制定也不規(guī)范，沒有建立有效的、修訂以及落實情況的管理辦法。

 

二、企業(yè)信息安全的對策

 

(一)技術(shù)方面。(1)安裝正版防護(hù)軟件。企業(yè)放有重要信息的主機(jī)和服務(wù)器必須安裝安全防護(hù)軟件，如360安全衛(wèi)士。必須是正版的，因為盜版的服務(wù)質(zhì)量根本得不到有效保障。安裝后定期對計算機(jī)進(jìn)行檢測保護(hù)。(2)信息備份。企業(yè)應(yīng)用系統(tǒng)軟件不能確保不出問題，有時也會癱瘓;還有存在被外部人員攻擊的危險，為確保信息的不丟失， 有必要采取技術(shù)備份手段， 對重要信息進(jìn)行定期備份。(3)訪問權(quán)限。企業(yè)信息種類很多，它們的保密級別也是不一樣的。同時企業(yè)的不同人員對信息訪問的權(quán)利也是不一樣的，為了使不用用戶訪問不同的信息，可通過技術(shù)手段，給不同的信息、應(yīng)用系統(tǒng)，及不同的人員設(shè)置不同的權(quán)限。這樣在一定程度上也可保障信息的安全。(4)網(wǎng)絡(luò)訪問。在互聯(lián)網(wǎng)快速發(fā)展的今天，任何一個企業(yè)都離不開網(wǎng)絡(luò)， 員工需要從網(wǎng)絡(luò)中獲取各種信息。然而， 暢通的網(wǎng)絡(luò)也給非法分子提供了訪問企業(yè)內(nèi)部信息的通道。為此，有必要采用網(wǎng)絡(luò)防火墻技術(shù)， 控制內(nèi)網(wǎng)和外網(wǎng)的訪問。同時應(yīng)加強對惡意代碼的防范，還要注意數(shù)據(jù)傳輸過程中的保密。(5)加解密。對企業(yè)重要信息進(jìn)行加密。加密之后的信息，只有擁有密鑰的人才能解密，看到信息的內(nèi)容。這樣對于沒有訪問權(quán)限的人或某些通過網(wǎng)絡(luò)截獲傳遞中的密文的非法分子來說，他們是無法看到真正的信息明文，只能得到零散的無用的信息。要注意的是應(yīng)該對密碼的復(fù)雜度進(jìn)行要求，不能太簡單。

 

(二)管理方面。(1)人員。企業(yè)的信息資產(chǎn)都是通過人來管理和控制的。對人的管理實際是信息安全工作中難度最大的工作，業(yè)界有一句話：“在企業(yè)中信息安全最大的風(fēng)險是心懷不測的一些員工可能帶來的風(fēng)險”。所以我們要加強對員工尤其是掌握企業(yè)核心機(jī)密的高管進(jìn)行安全管理。在他們調(diào)動離職時進(jìn)行信息安全審計，以有效減少信息資產(chǎn)非授權(quán)的傳遞。此外企業(yè)在和客戶、供應(yīng)商、合作伙伴合作中會涉及信息傳遞，并會產(chǎn)生新的信息。這些信息也需要很好的管理。(2)設(shè)備。應(yīng)該針對機(jī)房精密調(diào)控、以及對網(wǎng)絡(luò)線路制定保養(yǎng)和檢查計劃。對關(guān)鍵服務(wù)器進(jìn)行續(xù)保。目前有部分弱電線路存在端口號和配線架編號以及到桌面的點位不符的情況，應(yīng)進(jìn)行梳理。

 

(三)安全管理制度的制定及實施。當(dāng)前企業(yè)一要進(jìn)行日常管理制度，安全管理制度的制定和實施;二是要加強計算機(jī)網(wǎng)絡(luò)工作者的規(guī)范管理，培養(yǎng)安全意識，建立針對黑客攻擊的“快速反應(yīng)隊”。同時必須進(jìn)一步加快對高層次的網(wǎng)絡(luò)管理人員的相關(guān)技能和經(jīng)驗培訓(xùn)，以盡早達(dá)到網(wǎng)絡(luò)安全的目的。

 

加強法制教育，建立人事檔案管理制度，并進(jìn)行定期檢查。為了更好的安全性管理，IP地址資源應(yīng)統(tǒng)一管理和分配。對于IP資源的盜用行為，相關(guān)職能管理部門必須予以嚴(yán)肅處理。

企業(yè)信息安全現(xiàn)狀范文第2篇

關(guān)鍵詞： 企業(yè)信息系統(tǒng)；信息安全；安全策略

中圖分類號：F270.7 文獻(xiàn)標(biāo)識碼：A 文章編號：1671－7597（2012）0220165－01

隨著市場經(jīng)濟(jì)的不斷發(fā)展，企業(yè)競爭越來越激烈，國際化合作不斷增多，隨之而來的企業(yè)信息安全是目前我國企業(yè)普遍存在的問題。對企業(yè)來說，信息安全是一項艱巨的工作，關(guān)系到企業(yè)的發(fā)展。近年來，圍繞企業(yè)信息安全問題的話題不斷，企業(yè)信息安全事件也頻頻發(fā)生，如何保證企業(yè)信息的安全，保證信息系統(tǒng)的正常運轉(zhuǎn)，已經(jīng)成為信息安全領(lǐng)域研究的新熱點。

1 企業(yè)信息安全的意義

信息安全是一個含義廣泛的名詞，是指防止信息財產(chǎn)被故意的或偶然的非授權(quán)泄露、更改、破壞，或防止信息被非法辨識、控制，即確保信息的保密性、可用性、完整性和可控性。企業(yè)的正常運轉(zhuǎn)，離不開信息資源的支撐。企業(yè)信息安全建設(shè)對企業(yè)的發(fā)展意義重大。

首先，信息安全是時展的需要。計算機(jī)網(wǎng)絡(luò)時代的發(fā)展，改變了傳統(tǒng)的商務(wù)運作模式，改變了企業(yè)的生產(chǎn)方式和思想觀念，極大推動了企業(yè)文化的發(fā)展。企業(yè)信息安全的建設(shè)將使得企業(yè)的管理水平與國際先進(jìn)水平接軌，從而成長為企業(yè)向國際化發(fā)展與合作的有力支撐。

其次，信息安全是企業(yè)發(fā)展的需要。企業(yè)的信息化建設(shè)帶來了生產(chǎn)效率提高、成本降低、業(yè)務(wù)拓展等諸多好處。當(dāng)前越來越多的企業(yè)信息和數(shù)據(jù)，都是以電子文檔的形式存在，對企業(yè)來說，信息安全是使企業(yè)信息不受威脅和侵害的保證，是企業(yè)發(fā)展的基本保障，所以，在積極防御，綜合防范的方針指導(dǎo)下，有效地防范和規(guī)避風(fēng)險，建立起一套切實可行的長效防范機(jī)制，逐步建立起信息安全保障體系，有利于企業(yè)的發(fā)展。

最后，信息安全是企業(yè)穩(wěn)定的必要前提。信息安全成為保障和促進(jìn)企業(yè)穩(wěn)定和信息化發(fā)展的重點，要充分認(rèn)識信息安全工作的緊迫感和長期性，從企業(yè)的安全、經(jīng)濟(jì)發(fā)展、企業(yè)穩(wěn)定和保護(hù)企業(yè)利益的角度來思考問題，扎扎實實地做好基礎(chǔ)性工作和基礎(chǔ)設(shè)施建設(shè)，在建立信息安全保障體系的過程中，必須搞好鏈接信息安全保障體系建設(shè)安全、建設(shè)健康的網(wǎng)絡(luò)環(huán)境，關(guān)注信息戰(zhàn)略，保障和促進(jìn)信息化的健康發(fā)展。

2 企業(yè)信息安全的現(xiàn)狀

我國企業(yè)信息安全包括計算機(jī)系統(tǒng)的硬、軟件及系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或惡意的原因而遭到破壞、更改、泄露，使得系統(tǒng)連續(xù)、可靠、正常的運行，網(wǎng)絡(luò)服務(wù)不中斷。計算機(jī)和網(wǎng)絡(luò)技術(shù)具有復(fù)雜性和多樣性，使得企業(yè)信息安全成為一個需要持續(xù)更新和提高的領(lǐng)域。就目前來看，主要存在以下三個方面的隱患。

2.1 企業(yè)缺少信息安全管理制度

企業(yè)信息安全是一個比較新的領(lǐng)域，目前還缺少比較完善的法規(guī)，現(xiàn)有的法規(guī)，由于相關(guān)安全技術(shù)和手段還沒有成熟和標(biāo)準(zhǔn)化，法規(guī)也不能很好地被執(zhí)行，安全標(biāo)準(zhǔn)和規(guī)范的缺少，導(dǎo)致無從制定合理的安全策略并確保此策略能被有效執(zhí)行。企業(yè)的信息系統(tǒng)安全問題是一個系統(tǒng)工程，涉及到計算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)以及管理等方方面面，同時，隨著信息系統(tǒng)的延伸和新興技術(shù)集成應(yīng)用升級換代，它又是一個不斷發(fā)展的動態(tài)過程。因此對企業(yè)信息系統(tǒng)運行風(fēng)險和安全需求應(yīng)進(jìn)行同期化的管理，不斷制定和調(diào)整安全策略，只有這樣，才能在享受企業(yè)信息系統(tǒng)便利高效的同時，把握住信息系統(tǒng)安全的大門。

2.2 員工缺少安全管理的責(zé)任心

一個企業(yè)的信息系統(tǒng)是企業(yè)全體人員參與的，不考慮全員參與的信息安全方案，恰恰忽視信息安全中最關(guān)鍵的因素――人，因為他們才是企業(yè)信息系統(tǒng)的提供者和使用者，他們是影響信息安全系統(tǒng)能否達(dá)到預(yù)期要求的決定因素。在眾多的攻擊行為和事件中，發(fā)生最多的安全事件是信息泄露事件。攻擊者主要來自企業(yè)內(nèi)部，而不是來自企業(yè)外部的黑客等攻擊者，安全事件造成最大的經(jīng)濟(jì)損失主要是內(nèi)部人員有意或無意的信息泄露事件。針對內(nèi)部員工的泄密行為，目前還沒有成熟的、全面的解決，對于來自企業(yè)信息內(nèi)部信息泄密的安全問題，一直是整個信息安全保障體系的難點和弱點所在。

2.3 信息系統(tǒng)缺乏信息安全技術(shù)

計算機(jī)信息安全技術(shù)是一門由密碼應(yīng)用技術(shù)、信息安全技術(shù)、數(shù)據(jù)災(zāi)難與數(shù)據(jù)恢復(fù)技術(shù)、操作系統(tǒng)維護(hù)技術(shù)、局域網(wǎng)組網(wǎng)與維護(hù)技術(shù)、數(shù)據(jù)庫應(yīng)用技術(shù)等組成的計算機(jī)綜合應(yīng)用學(xué)科。由于認(rèn)識能力和技術(shù)發(fā)展的局限性，在硬件和軟件設(shè)計過程中，難免留下技術(shù)缺陷，網(wǎng)絡(luò)硬件、軟件系統(tǒng)多數(shù)依靠進(jìn)口，由此可造成企業(yè)信息安全的隱患，現(xiàn)在黑客的攻擊并不是為了破壞底層系統(tǒng)，而是為了入侵應(yīng)用，竊取數(shù)據(jù)，帶有明顯的商業(yè)目的，許多黑客就是通過計算機(jī)操作系統(tǒng)的漏洞和后門程序進(jìn)入企業(yè)信息系統(tǒng)。隨著網(wǎng)絡(luò)應(yīng)用要求的越來越多，針對應(yīng)用的攻擊也越來越多，除了在管理制度上確保信息安全外，還要在技術(shù)上確保信息安全。

3 企業(yè)信息安全中存在的問題

信息時代的到來，從根本上改變了企業(yè)經(jīng)營形式，企業(yè)實施信息化為其帶來便利的同時也產(chǎn)生了巨大的信息安全風(fēng)險。由于我國企業(yè)信息安全工作還處于起步階段，基礎(chǔ)薄弱，導(dǎo)致信息安全存在一些亟待解決的問題。比較常見的問題有病毒危害、“黑客”攻擊和網(wǎng)絡(luò)攻擊等，這些問題給企業(yè)造成直接的經(jīng)濟(jì)損失，成為企業(yè)信息安全的最大威脅，使企業(yè)信息安全存在著風(fēng)險因素。

3.1 病毒危害

計算機(jī)病毒是指編制或者在計算機(jī)程序中插入的破壞計算機(jī)功能或者數(shù)據(jù)，影響計算機(jī)使用并且能夠自我復(fù)制的一組計算機(jī)指令或者程序代碼，它是具有破壞作用的程序或指令集合。計算機(jī)病毒已經(jīng)泛濫成災(zāi)，幾乎無孔不入，據(jù)統(tǒng)計，計算機(jī)病毒的種類已經(jīng)超過4萬多種，而且還在以每年40%的速度在遞增，隨著Internet技術(shù)的發(fā)展，病毒在企業(yè)信息系統(tǒng)中傳播的速度越來越快，其破壞性也越來越來越強。

3.2 “黑客”攻擊

“黑客”是英文Hacker的諧音，黑客是利用技術(shù)手段進(jìn)入其權(quán)限以外的計算機(jī)系統(tǒng)的人。黑客破解或破壞某個程序、系統(tǒng)及網(wǎng)絡(luò)安全，或者破解某系統(tǒng)或網(wǎng)絡(luò)以提醒該系統(tǒng)所有者的系統(tǒng)安全漏洞的過程。通常采用后門程序、信息炸彈、拒絕服務(wù)、網(wǎng)絡(luò)監(jiān)聽、密碼破解等手段侵入計算機(jī)系統(tǒng)，盜竊系統(tǒng)保密信息，進(jìn)行信息破壞或占用系統(tǒng)資源，黑客攻擊已經(jīng)成為近年來經(jīng)常出現(xiàn)的問題。

3.3 網(wǎng)絡(luò)攻擊

網(wǎng)絡(luò)攻擊就是對網(wǎng)絡(luò)安全威脅的具體表現(xiàn)，利用網(wǎng)絡(luò)存在的漏洞和安全缺陷對系統(tǒng)和資源進(jìn)行的攻擊。尤其是在最近幾年里，網(wǎng)絡(luò)攻擊技術(shù)和攻擊工具有了新的發(fā)展趨勢，使借助Internet運行業(yè)務(wù)的企業(yè)面臨著前所未有的風(fēng)險。由此可知，企業(yè)的信息安全問題、以及對信息的安全管理都是至關(guān)重要的。要保證企業(yè)信息安全，就必須找出存在信息安全問題的根源，并具有良好的安全管理策略。

4 企業(yè)信息安全的解決方案

為確保企業(yè)信息安全，要堅持積極防御，綜合防范的方針，全面提高信息安全防護(hù)能力。因此，面對企業(yè)信息安全的現(xiàn)狀和企業(yè)信息安全發(fā)展中出現(xiàn)的問題，必須實施對企業(yè)的信息安全管理，建設(shè)信息安全管理體系，只有建立完善的安全管理制度，將信息安全管理自始至終貫徹落實于信息管理系統(tǒng)的方方面面，企業(yè)信息安全才能得以實現(xiàn)。企業(yè)信息安全的解決方案，具體表現(xiàn)在以下三個方面：

4.1 建立完善的安全管理體系

完整的企業(yè)信息系統(tǒng)安全管理體系首先要建立完善的組織體系，完成制定并信息安全管理規(guī)范和建立信息安全管理組織等工作，保障信息安全措施的落實以及信息安全體系自身的不斷完善。并建立一套信息安全規(guī)范，詳細(xì)說明各種信息安全策略。一個詳細(xì)的信息安全規(guī)劃可以減輕對于人的因素帶來的信息安全問題。最基本的企業(yè)安全管理過程包括：采用科學(xué)的企業(yè)信息資產(chǎn)評估和風(fēng)險分析模型法、設(shè)計完備的信息系統(tǒng)動態(tài)安全模型、建立科學(xué)的可實施的安全策略，采取規(guī)范的安全防范措施、選用可靠穩(wěn)定的安全產(chǎn)品等。安全防范體系的建立不是一勞永逸的，企業(yè)網(wǎng)絡(luò)信息自身的情況不斷變化，新的安全問題不斷涌現(xiàn)，必須根據(jù)暴露出的一些問題，進(jìn)行更新，保證網(wǎng)絡(luò)安全防范體系的良性發(fā)展，

4.2 提高企業(yè)員工的安全意識

科技以人為本，在信息安全方面也是靠人來維護(hù)企業(yè)的利益，我們在企業(yè)信息網(wǎng)絡(luò)鞏固正面防護(hù)的時候不能忽視對人的行為規(guī)范和績效管理。企業(yè)員工信息安全意識的高低是一個企業(yè)信息安全體系是否能夠最終成功實施的決定性因素。企業(yè)應(yīng)當(dāng)制定企業(yè)人員信息安全行為規(guī)范，必須有專門管理人才，才能有效地實現(xiàn)企業(yè)安全、可靠、穩(wěn)定運行，保證企業(yè)信息安全。教育培訓(xùn)是培訓(xùn)信息安全人才的重要手段，企業(yè)可以對所有相關(guān)人員進(jìn)行經(jīng)常性的安全培訓(xùn)，強化技術(shù)人員對信息安全的重視，提升使用人員的安全觀念，有針對性的開展安全意識宣傳教育，逐步提高員工的安全意識，強調(diào)人的作用，使他們明確企業(yè)各級組織和人員的安全權(quán)限和責(zé)任，使他們的行為符合整個安全策略的要求。

4.3 不斷優(yōu)化企業(yè)信息安全技術(shù)

企業(yè)一旦制定了一套詳細(xì)的安全規(guī)劃來武裝自己，保護(hù)其智力資產(chǎn)，它就開始投入到選擇采用正確信息安全技術(shù)上?？晒┢髽I(yè)選擇的防止信息安全漏洞的安全技術(shù)有很多。當(dāng)企業(yè)選擇采用何種技術(shù)時，首先了解信息安全的三個領(lǐng)域是十分有幫助的，這三個領(lǐng)域變得：驗證與授權(quán)、預(yù)防和抵制、檢測和響應(yīng)。其中，用戶驗證是確認(rèn)用戶身份的一種方法，一旦系統(tǒng)確認(rèn)了用戶身份，那么它就可以決定該用戶的訪問權(quán)限，比如使用用戶名和密碼。預(yù)防和抵抗技術(shù)是指企業(yè)阻止入侵者訪問。對于任何企業(yè)，必須對那些故障做好準(zhǔn)備和預(yù)測，目前可以幫助預(yù)防和建設(shè)抵抗攻擊的技術(shù)主要有內(nèi)容過濾、加密和防火墻，在選用防火墻的時候，需要對所安裝的防火墻做一些攻擊測試。此外，企業(yè)信息安全的最后一道屏障是探測和反應(yīng)技術(shù)，最常見的探測和反應(yīng)技術(shù)是殺毒軟件。

5 結(jié)語

總之，企業(yè)信息安全是一項復(fù)雜的系統(tǒng)工程，企業(yè)要適應(yīng)現(xiàn)代化發(fā)展的需要，要提高自身信息安全意識，加強對信息安全風(fēng)險防范意識的認(rèn)識，重視安全策略的施行及安全教育，必須做到管理和技術(shù)并重，安全技術(shù)必須結(jié)合安全措施，并加強信息安全立法和執(zhí)法的力度，建立備份和恢復(fù)機(jī)制， 為企業(yè)設(shè)計適合實際情況的安全解決方案，制定正確和采取適當(dāng)?shù)陌踩呗院桶踩珯C(jī)制，保證企業(yè)安全體系處于應(yīng)有的健康狀態(tài)。

參考文獻(xiàn)：

[1]張帆，企業(yè)信息安全威脅分析與安全策略[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2007（5）.

[2]諶曉歡，企業(yè)信息安全問題及解決方案[J].企業(yè)技術(shù)開發(fā)，2008（8）.

[3]付沙，企業(yè)信息安全策略的研究與探討[J].商場現(xiàn)代化，2007（26）.

[4]姜樺、郭永利，企業(yè)信息安全策略研究[J].焦作大學(xué)學(xué)報，2009（1）.

企業(yè)信息安全現(xiàn)狀范文第3篇

關(guān)鍵詞：信息化；信息安全；安全管理

1企業(yè)信息安全現(xiàn)狀

近幾年，隨著行業(yè)信息化建設(shè)逐步深入，伴隨著OA辦公自動化、ERP、卷煙生產(chǎn)經(jīng)營決策管理和MES生產(chǎn)制造執(zhí)行等系統(tǒng)相繼投入使用，與生產(chǎn)經(jīng)營息息相關(guān)的關(guān)鍵業(yè)務(wù)對信息系統(tǒng)的依賴程度越來越高，企業(yè)也逐步認(rèn)識到信息安全的重要性，企業(yè)員工的安全意識也都得到逐步提高。行業(yè)也相繼出臺了煙草行業(yè)信息安全保障體系建設(shè)指南和各類信息安全制度，并通過這幾年信息安全檢查工作，促進(jìn)企業(yè)的信息安全水平得到了進(jìn)一步提高。由于企業(yè)信息安全意識不斷提高，企業(yè)不斷加大信息安全方面的投入，如建立標(biāo)準(zhǔn)化的機(jī)房、購買與部署各類信息安全軟件和設(shè)備等。但是木馬、病毒、垃圾郵件、間諜軟件、惡意軟件、僵尸網(wǎng)絡(luò)等也隨著計算機(jī)技術(shù)的發(fā)展不斷更新，攻擊手段也越發(fā)隱蔽和多樣化。企業(yè)不僅要應(yīng)對外部的攻擊，也要應(yīng)對來自于企業(yè)內(nèi)部的信息安全威脅，安全形勢不容樂觀。企業(yè)的信息安全已不僅僅是技術(shù)問題，還需要借助管理手段來保障。企業(yè)如果不能正確樹立信息風(fēng)險導(dǎo)向意識，一味注重“技術(shù)”的作用，忽略“管理”的重要性，就很難發(fā)揮信息安全技術(shù)的作用，無法把企業(yè)的各項信息安全措施落到實處，企業(yè)的信息安全也就無從談起。只有切實發(fā)揮管理作用，企業(yè)的信息安全才能得到有效保障。

2企業(yè)信息安全體系架構(gòu)

在談到信息安全時，大多數(shù)剛接觸的人都比較疑惑，都說保障信息安全十分重要，那到底什么是信息安全呢？下面就簡單介紹一下信息安全的概念以及企業(yè)的信息安全體系架構(gòu)。2.1信息。對企業(yè)來說，信息是一種無形資產(chǎn)，具有一定商業(yè)價值，以電子、影像、話語等多種形式存在，必須進(jìn)行保護(hù)。2.2信息安全。主要是指防止信息泄露、被篡改、被損壞或被非法辨識與控制，避免造成不良影響或者資產(chǎn)損失。2.3企業(yè)信息安全體系架構(gòu)。在保障企業(yè)信息安全過程中，信息安全技術(shù)是保障信息安全的重要手段。通過上文對企業(yè)信息安全現(xiàn)狀的分析，不難看出企業(yè)信息安全體系主要分為技術(shù)、管理兩個重要體系，進(jìn)一步細(xì)分則涉及安全運維方面。2.3.1信息安全技術(shù)體系作用。主要是指通過部署信息安全產(chǎn)品，合理制定安全策略，實現(xiàn)防止信息泄露、被篡改、被損壞等安全目標(biāo)。信息安全產(chǎn)品主要是指實現(xiàn)信息安全的工具平臺，如防火墻類產(chǎn)品、防攻擊類產(chǎn)品、殺毒軟件類產(chǎn)品和密碼類產(chǎn)品等，而信息安全技術(shù)則是指實現(xiàn)信息安全產(chǎn)品的技術(shù)基礎(chǔ)。2.3.2信息安全管理體系作用。完善信息安全組織機(jī)構(gòu)、制度，細(xì)化職責(zé)分工，制定執(zhí)行標(biāo)準(zhǔn)，確保日常管理、檢查等制度有效執(zhí)行，最大程度發(fā)揮信息安全技術(shù)體系作用，確保信息安全相關(guān)保護(hù)措施有效執(zhí)行。通過上文簡單介紹，對信息安全以及信息安全系統(tǒng)有了大概了解。可以看出單純借助技術(shù)或管理無法保障企業(yè)信息安全，因此，建立企業(yè)信息安全管理體系的重要性也就不言而喻。

3信息安全管理體系概念

3.1信息安全管理。運用技術(shù)、管理手段，做好信息安全工作整體規(guī)劃、組織、協(xié)調(diào)與控制，確保實現(xiàn)信息安全目標(biāo)。3.2管理體系。體系是指相互關(guān)聯(lián)和相互作用的一組要素，而管理體系則是建立方針和目標(biāo)并實現(xiàn)這些目標(biāo)的體系。3.3信息安全管理體系（ISMS）。在一定組織范圍內(nèi)建立、完成信息安全方針和目標(biāo)，采取或運用方法的體系。作為管理活動最終結(jié)果，包含方針、原則、目標(biāo)、方法、過程、核查表等眾多要素。3.4建立信息安全管理體系的目的。作為企業(yè)總管理體系的一個子體系，目的是建立、實施、運行、監(jiān)視、評審、保持和改進(jìn)信息安全。3.5信息安全管理體系涉及的要素。3.5.1信息安全組織機(jī)構(gòu)。明確職責(zé)分工，確保信息安全工作組織與落實。3.5.2信息安全管理體系文件。編制信息安全管理體系的方針、過程、程序和其他必需的文件等。3.5.3資源。提供體系運轉(zhuǎn)所需的資金、設(shè)備與人員等。

4信息安全管理體系機(jī)構(gòu)設(shè)置以及作用

在建立企業(yè)的信息安全管理體系之前，如果沒有設(shè)置相應(yīng)的信息安全組織機(jī)構(gòu)，那么建立體系所需要的資源（資金、人員等）就無法得到保障，企業(yè)的信息安全制度和策略也就無法貫徹落實，企業(yè)的信息安全管理體系就形同虛設(shè)起不到任何作用。因此，企業(yè)在建立信息安全管理體系前必須建立健全信息安全組織機(jī)構(gòu)，機(jī)構(gòu)設(shè)置可以根據(jù)職責(zé)分為三個層次。4.1信息安全決策機(jī)構(gòu)。信息安全決策機(jī)構(gòu)處于安全組織機(jī)構(gòu)的第一個層次，是本單位信息安全工作的最高管理機(jī)構(gòu)。應(yīng)以單位主要領(lǐng)導(dǎo)負(fù)責(zé)，對信息安全規(guī)劃、信息安全策略和信息安全建設(shè)方案等進(jìn)行審批，并為企業(yè)信息安全工作提供各類必要資源。4.2管理機(jī)構(gòu)。處于安全組織機(jī)構(gòu)的第二個層次，在決策機(jī)構(gòu)的領(lǐng)導(dǎo)下，主要負(fù)責(zé)企業(yè)日常信息安全的管理、監(jiān)督以及安全教育與培訓(xùn)等工作，此類工作大部分都由企業(yè)的信息化部門承擔(dān)。4.3執(zhí)行機(jī)構(gòu)。處于信息安全組織機(jī)構(gòu)的第三個層次，在管理機(jī)構(gòu)的領(lǐng)導(dǎo)下，負(fù)責(zé)保證信息安全技術(shù)體系的有效運行及日常維護(hù)，通過具體技術(shù)手段落實安全策略，消除安全風(fēng)險，以及發(fā)生安全事件后的具體響應(yīng)和處理，執(zhí)行機(jī)構(gòu)人員可以由信息中心技術(shù)人員與各部門專職或兼職信息安全員組成。

5信息安全管理體系的建立

ISO/IEC27001:2005標(biāo)準(zhǔn)的“建立ISMS”章節(jié)中，已明確了信息安全管理體系建立的10項強制性要求和步驟。企業(yè)應(yīng)結(jié)合自身實際情況，遵照這些內(nèi)容和步驟，建立自己的信息安全管理體系，并形成相應(yīng)的體系文件。5.1建立的步驟。（1）結(jié)合企業(yè)實際，明確體系邊界與范圍，并編制體系范圍文件。（2）明確體系策略，構(gòu)建目標(biāo)框架、風(fēng)險評價的準(zhǔn)則等，形成方針文件。（3）確定風(fēng)險評估方法。（4）識別信息安全風(fēng)險，主要包括信息安全資產(chǎn)、責(zé)任、威脅以及造成的后果等。（5）進(jìn)行安全風(fēng)險分析評價，編制評估報告，確定信息安全資產(chǎn)保護(hù)清單。（6）明確安全保護(hù)措施，編制風(fēng)險處理計劃。（7）制定工作目標(biāo)、措施。（8）管理者審核、批準(zhǔn)所有殘余風(fēng)險。（9）經(jīng)管理層授權(quán)實施和運行安全體系。（10）準(zhǔn)備適用性聲明。以上步驟解釋不詳盡之處，參看ISO/IEC27001:20054.2.1章節(jié)中A-J部分。5.2信息安全管理體系涉及的文件。文件作為體系的主要元素，必須與ISO/IEC27001:2005標(biāo)準(zhǔn)保持一致，同時也要結(jié)合企業(yè)實際，確保員工遵照要求嚴(yán)格執(zhí)行。而且也要符合企業(yè)的實際情況和信息安全需要。在實際工作中，企業(yè)員工應(yīng)按照文件要求嚴(yán)格執(zhí)行。5.2.1體系文件類型主要涉及方針、程序與記錄三類。方針類主要是指管理體系方針與信息安全方針，涵蓋硬件、網(wǎng)絡(luò)、軟件、訪問控制等；程序類主要是指“過程文件”，涉及輸入、處理與輸出三個環(huán)節(jié)，結(jié)果常以“記錄”形式出現(xiàn)；記錄類主要是記錄程序文件結(jié)果，常以是表格形式出現(xiàn)。至于適用性聲明文件，企業(yè)應(yīng)結(jié)合自身情況，參照ISO/IEC27001:2005標(biāo)準(zhǔn)的附錄A，有選擇性地作出聲明，并形成聲明文件。5.2.2體系必須具備的文件。主要包括方針、風(fēng)險評估、處理、文件控制、記錄控制、內(nèi)部審核、糾正與預(yù)防、控制措施有效性測量、管理評審與適用性聲明等。5.2.3任意性文件。企業(yè)可以針對自身業(yè)務(wù)、管理與信息系統(tǒng)等情況，制定自己獨有的信息方針、程序類文件。5.2.4文件的符合性。文件必須符合相關(guān)法律法規(guī)、ISO/IEC27001:2005標(biāo)準(zhǔn)以及企業(yè)實際要求，保證與企業(yè)其他體系文件協(xié)調(diào)一致，避免沖突，同時在文字描述準(zhǔn)確且無二義。

6體系實施與運行

主要包括策略控制措施、過程和程序，涉及制定和實施風(fēng)險處理計劃、選擇控制措施與驗證有效性、安全教育培訓(xùn)、運行管理、資源管理以及安全事件應(yīng)急處理等。

7體系的監(jiān)視與評審

主要指對照策略、目標(biāo)與實際運行情況，監(jiān)控與評審運行狀態(tài)，主要涉及有效性評審、控制措施測試驗證、風(fēng)險評估、內(nèi)部審核、管理評審等環(huán)節(jié)，并根據(jù)評審結(jié)果編制與完善安全計劃。

8體系的保持和改進(jìn)

主要是依據(jù)監(jiān)視與評審結(jié)果，有針對性地持續(xù)改進(jìn)。主要包括改進(jìn)措施、制定完善措施、整改總結(jié)等，同時需相關(guān)方進(jìn)行溝通，確保達(dá)到預(yù)計改進(jìn)標(biāo)準(zhǔn)。

9結(jié)語

企業(yè)信息安全現(xiàn)狀范文第4篇

 

關(guān)鍵詞：信息化　信息安全　網(wǎng)絡(luò)安全

根據(jù)國家統(tǒng)計局年初公布的數(shù)字顯示，國內(nèi)企業(yè)總體的99％都是中小企業(yè)，他們貢獻(xiàn)了超過一半的國內(nèi)GDP。但截止到目前，這些中小企業(yè)的信息化水平仍然比較落后，其中針對信息安全的投人，更是鳳毛麟角。

對于國內(nèi)占大多數(shù)的中小企業(yè)來說，如何在充分利用信息化優(yōu)勢的同時，更好地保護(hù)自身的信息資產(chǎn)，已經(jīng)成為一個嚴(yán)峻的挑戰(zhàn)。特別是近兩年來，網(wǎng)絡(luò)上的病毒、攻擊事件頻發(fā)，信息安全問題正在日益成為中小企業(yè)信息化進(jìn)程中的難題。

一、什么是信息安全

信息是一種資產(chǎn)，與其它重要的資產(chǎn)一樣，它對一個組織而言具有一定的價值，因此需要適當(dāng)?shù)募右员Ｗo(hù)，而信息又可以以多種形式存在。如可以打印或者寫在紙上，以數(shù)字化的方式存儲，通過郵局郵寄或電子手段發(fā)送，表現(xiàn)在膠片上或以談話的方式說出來。總之，信息無論以什么形式存在，以什么方式存儲、傳輸或共享，都應(yīng)得到恰當(dāng)?shù)谋Ｗo(hù)。

所謂信息安全是指信息具有如下特征：

安全性：確保信息僅可讓授權(quán)獲取的人士訪問；完整性：保護(hù)信息和處理方法的準(zhǔn)確和完善；可用性：確保授權(quán)人需要時可以獲取信息和相應(yīng)的資產(chǎn)。

信息安全是指使信息避免一系列威脅，保障商務(wù)的連續(xù)性，最大限度地減少業(yè)務(wù)的損失，從而最大限度地獲取投資和商務(wù)的回報。它主要涉及到信息傳輸?shù)陌踩?、信息存儲的安全、以及網(wǎng)絡(luò)傳輸信息內(nèi)容的審計三個方面，它可以通過實施一整套恰當(dāng)?shù)拇胧﹣慝@得。但目前我國的信息安全令人堪憂，隨著政府上網(wǎng)和企業(yè)信息化的推進(jìn)，越來越多的企業(yè)的日常業(yè)務(wù)已經(jīng)無法脫離網(wǎng)絡(luò)和信息技術(shù)的支持，那么我國中小企業(yè)的信息安全現(xiàn)狀如何呢?

二、我國企業(yè)信息安全的現(xiàn)狀

(一)企業(yè)的重視程度

隨著信息化的加快，企業(yè)信息安全越來越受到重視，而我國的中小企業(yè)信息安全現(xiàn)階段正處于初級階段。在推進(jìn)企業(yè)信息化的進(jìn)程中，有些中小企業(yè)對于信息化概念的認(rèn)識遠(yuǎn)遠(yuǎn)不夠，它們認(rèn)為購置幾臺電腦放到公司，日常用來打打字，將單個機(jī)器連結(jié)到網(wǎng)上企業(yè)就信息化了，遠(yuǎn)遠(yuǎn)沒有認(rèn)識到信息技術(shù)給企業(yè)所能帶來的巨大的變化，對于網(wǎng)絡(luò)安全更是沒有意識。

據(jù)調(diào)查，目前國內(nèi)90％的網(wǎng)站存在安全問題，其主要原因是企業(yè)管理者缺少或沒有安全意識。某些企業(yè)網(wǎng)絡(luò)管理員甚至認(rèn)為其公司規(guī)模較小，不會成為黑客的攻擊目標(biāo)。如此態(tài)度，網(wǎng)絡(luò)安全更是無從談起。

(二)資金、技術(shù)、人員方面情況

已建立了企業(yè)內(nèi)部信息化平臺的企業(yè)，由于資金、技術(shù)等方面的原因，還沒有把重點放到網(wǎng)絡(luò)安全管理上，尤其是中小企業(yè)的安全問題一直隱患重重。

據(jù)了解，許多中小企業(yè)沒有專門的網(wǎng)絡(luò)管理員，一般采用兼職管理方式，這使中小企業(yè)的網(wǎng)絡(luò)管理在安全性方面存在嚴(yán)重的漏洞，與大型企業(yè)相比，它們更容易受到網(wǎng)絡(luò)病毒的侵害，損失也比較嚴(yán)重。

根據(jù)IDC對2005年我國政府、企業(yè)用戶的信息安全狀況分析，約有34．8％的企業(yè)因內(nèi)部雇員的行為(包括對內(nèi)部資源的不合理使用和對內(nèi)部數(shù)據(jù)缺乏有效保護(hù))而造成企業(yè)出現(xiàn)安全問題。

(三)網(wǎng)絡(luò)維護(hù)、運行、升級方面的情況

在網(wǎng)絡(luò)的維護(hù)、運行、升級等事務(wù)性工作方面，由于工作繁重而且成本較高，一些善于精打細(xì)算的中小企業(yè)在防范黑客及病毒方面舍不得投入，據(jù)相關(guān)調(diào)查數(shù)據(jù)資料統(tǒng)計，國內(nèi)七成以上的中小企業(yè)，一是缺乏基本的企業(yè)防毒知識，購買一些單機(jī)版防毒產(chǎn)品來防護(hù)整個企業(yè)網(wǎng)絡(luò)的安全。二是采購了并不適合自身網(wǎng)絡(luò)系統(tǒng)的企業(yè)防毒產(chǎn)品，因此留下許多安全隱患。三是技術(shù)力量薄弱，雖然部署了企業(yè)防毒產(chǎn)品，但是這些產(chǎn)品操作難度大、使用復(fù)雜，最終導(dǎo)致很難全面發(fā)揮效用，甚至成了擺設(shè)，這樣一來企業(yè)內(nèi)部網(wǎng)絡(luò)就根本沒有什么安全而言。

三、如何保證我國中小企業(yè)的信息安全

(一)從企業(yè)的自身情況考慮

要解決中小企業(yè)網(wǎng)絡(luò)信息安全問題，不能僅依靠企業(yè)的安全設(shè)施和網(wǎng)絡(luò)安全產(chǎn)品，而應(yīng)該考慮如何提高企業(yè)自身的網(wǎng)絡(luò)安全意識，將信息安全問題提升到重視的高度，要重視“人”的因素。具體表現(xiàn)在以下兩個方面：

1．提高安全認(rèn)識

定期對企業(yè)員工進(jìn)行網(wǎng)絡(luò)安全教育培訓(xùn)深化企業(yè)的全員信息安全意識，企業(yè)管理層要制定完整的信息安全策略并貫徹執(zhí)行，對安全問題要做到預(yù)先考慮和防備。

2．要求中小企業(yè)在上網(wǎng)的過程中要做到“一做三不要”

(1)將存有重要數(shù)據(jù)的電腦堅決同網(wǎng)絡(luò)隔離，同時設(shè)置開機(jī)密碼，并將軟驅(qū)、硬盤加密鎖定，進(jìn)行三級保護(hù)。

(2)不要在自己的系統(tǒng)之內(nèi)使用任何具有記憶命令的程序，因為這些程序不但能記錄用戶的擊鍵動作甚至能以快照的形式記錄到屏幕上發(fā)生的一切。

(3)不在網(wǎng)上的任何場合下隨意透露自己企業(yè)的任何安全信息。

(4)不要啟動系統(tǒng)資源共享功能，最后要盡量減少企業(yè)資源暴露在外部網(wǎng)上的機(jī)會和次數(shù)，減少黑客進(jìn)攻的機(jī)會。

(二)從網(wǎng)絡(luò)安全角度考慮

1．從網(wǎng)絡(luò)安全服務(wù)商的角度來說，服務(wù)商要重視中小企業(yè)對網(wǎng)絡(luò)安全解決方案的需要，充分考慮中小企業(yè)的現(xiàn)實狀況，仔細(xì)調(diào)查和分析中小企業(yè)的安全因素，開發(fā)出適合中小企業(yè)實際情況的網(wǎng)絡(luò)安全綜合解決方案。此外，還應(yīng)該注意投入大量精力在安全策略的施行及安全教育的開展方面，這樣才能為中小企業(yè)信息安全工作的順利開展提供堅實的保證。

2．要用防火墻將企業(yè)的局域網(wǎng)(Intranet)與互聯(lián)網(wǎng)之間進(jìn)行隔離。由于網(wǎng)絡(luò)攻擊不斷升級，對應(yīng)的防火墻軟件也應(yīng)該及時跟著升級，這樣就要求我們企業(yè)的網(wǎng)管人員要經(jīng)常到有關(guān)網(wǎng)站上下載最新的補丁程序，以便進(jìn)行網(wǎng)絡(luò)維護(hù)，同時經(jīng)常掃描整個內(nèi)部網(wǎng)絡(luò)，以發(fā)現(xiàn)任何安全隱患并及時更改，才能做到有備無患。

3．企業(yè)用戶最好自己學(xué)會如何調(diào)試和管理自己的局域網(wǎng)系統(tǒng)，不要經(jīng)常請別人來協(xié)助管理。中小企業(yè)要培養(yǎng)自己解決安全問題的能力，提高自己的信息安全技術(shù)。如果缺乏這方面的人才就應(yīng)該去引進(jìn)或者培養(yǎng)相關(guān)人才。

4．內(nèi)部網(wǎng)絡(luò)系統(tǒng)的密碼要定期修改。

企業(yè)信息安全現(xiàn)狀范文第5篇

摘 要 企業(yè)信息化程度發(fā)展到一定水平，從防火墻、入侵檢測等安全硬件到文檔防泄密、行為管理等安全軟件，技術(shù)上都比較成熟且大部分企業(yè)都已實施部分安全項目。但實施安全項目之后并不是高枕無憂，管理是否到位及企業(yè)員工安全意識成為企業(yè)信息安全的短板，如何從管理角度提高企業(yè)的信息安全水平，已成為一個重要的課題。

關(guān)鍵詞 信息安全；管理；意識

中圖分類號TP39 文獻(xiàn)標(biāo)識碼A 文章編號 1674-6708（2012）70-0171-02

從安全軟硬件出發(fā)，大多安全實施廠家已有較成熟的方案，一旦項目實施完成后，企業(yè)往往容易忽略人員意識、IT審計、后續(xù)管理等因素對信息安全的影響。本文就如何解決企業(yè)信息安全短板，從管理角度進(jìn)行探討。

1 管理安全的含義和IT審計的特點

從大的方面來說，信息安全是指信息網(wǎng)絡(luò)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，信息服務(wù)不中斷。直接反映到企業(yè)來說，就是要通過實施一整套適當(dāng)?shù)目刂拼胧崿F(xiàn)企業(yè)各業(yè)務(wù)系統(tǒng)正常運行，確保安全目標(biāo)的實現(xiàn)。本文從管理角度探討企業(yè)的信息安全，可以簡稱為管理安全，它是指建立并有效落實企業(yè)規(guī)章制度、安全管理規(guī)定等，來保證系統(tǒng)安全生存與運行。

企業(yè)安全管理的規(guī)章制度是否運行有效直接關(guān)系到企業(yè)安全目標(biāo)能否保障，在此管理過程中需要引入IT審計。IT審計重點內(nèi)容之一就是發(fā)現(xiàn)信息系統(tǒng)的潛在風(fēng)險，可以說企業(yè)信息中心對潛在的IT風(fēng)險是比較重視的。IT審計相對技術(shù)而言，更多側(cè)重于管理，比如在安全策略方面更側(cè)重于訪問授權(quán)的控制，以及定期核查是否按相關(guān)信息化制度辦事，還有就是有無進(jìn)行過適當(dāng)?shù)臐B透去檢驗系統(tǒng)的可靠性等。實施IT審計能夠提高企業(yè)信息系統(tǒng)的安全性，能夠客觀評價信息系統(tǒng)安全現(xiàn)狀。

2 從管理角度看企業(yè)中存在的主要信息安全威脅

1）企業(yè)日常信息化管理中，會碰到以下一些現(xiàn)象，如：明知計算機(jī)病毒無孔不入，卻不安裝殺毒軟件；個人認(rèn)證的物品（如員工門禁卡）隨意借用他人；進(jìn)入門禁系統(tǒng)之后，對他人尾隨不理不問；移動存儲介質(zhì)外借他人，卻不知可能造成感染病毒或泄密；打印服務(wù)器、掃描服務(wù)器等公用電腦臨時存放許多信息卻不刪除。

從上述現(xiàn)象中可以得知，企業(yè)員工信息安全意識淡薄會產(chǎn)生較多安全漏洞。據(jù)《2011年度中國企業(yè)員工信息安全意識調(diào)查報告》顯示，30%的受訪者從來沒有接受過信息安全培訓(xùn)，只有30%的企業(yè)會進(jìn)行定期的信息安全培訓(xùn)[1]；

2）企業(yè)信息安全項目做的深度是與企業(yè)信息化發(fā)展水平相關(guān)的，一般企業(yè)會根據(jù)本身的信息化水平發(fā)展程度分步驟進(jìn)行。企業(yè)初始階段會通過封USB端口，不配置光驅(qū)等形式防止電子文檔傳播至外界?，F(xiàn)階段已有部分企業(yè)關(guān)注電子文檔防泄密的軟件，同時配以相應(yīng)的制度，從一定程度上能達(dá)到預(yù)期的效果。項目實施后往往會發(fā)現(xiàn)效果難以保持，因為企業(yè)缺少相關(guān)的信息安全審計人員，在審計工作不到位的情況下，安全軟件的審計功能無法體現(xiàn)其價值；

3）企業(yè)通過安全軟件對電子文檔進(jìn)行管理，在實物管理方面缺乏措施。辦公室文印區(qū)域是企業(yè)信息泄密的源頭之一，外單位人員進(jìn)入企業(yè)進(jìn)行交流時，通常會經(jīng)過辦公室文印區(qū)域，員工打印文件后如不及時拿取，容易將技術(shù)資料留在在打印機(jī)上，給有心之人獲取，容易造成泄密。計算機(jī)、筆記本等辦公設(shè)備故障外移送修，送修前未經(jīng)過審核批準(zhǔn)，不對硬盤做處理，上述這些日常辦公現(xiàn)象存在著信息安全漏洞[2]。

3 信息安全短板的對策措施——強管理

盡管企業(yè)防火墻、防毒墻等安全硬件設(shè)施或安全軟件都較齊全，但是采取恰當(dāng)?shù)墓芾泶胧┮材苡行У奶岣咝畔踩剑罱K有效地保護(hù)企業(yè)信息資產(chǎn)。本文總結(jié)了以下幾種管理方法并加以說明。

1）提高員工安全意識，關(guān)鍵是做好培訓(xùn)。一方面企業(yè)信息中心要組織好講師及培訓(xùn)素材。培訓(xùn)素材可結(jié)合生活中的信息安全案例或者通過動畫情景介紹等較生動的方式，寓教于樂，讓每個企業(yè)員工明白數(shù)據(jù)等無形資產(chǎn)的重要性，理解數(shù)據(jù)信息安全是企業(yè)的生存發(fā)展壯大的法寶。在培訓(xùn)方式上，可采用循序漸進(jìn)的培訓(xùn)方式，不急于求全，可從最基本的啟用標(biāo)準(zhǔn)的計算機(jī)密碼（如大小寫字母+數(shù)字）、離開座位時使用屏保等開始培養(yǎng)。后續(xù)可陸續(xù)完善公司規(guī)章制度，同時認(rèn)真落實，要讓員工真正懂得防止泄密的辦法；

2）通過IT審計嚴(yán)把信息安全管理關(guān)。企業(yè)做好IT審計，從以下幾方面入手：一方面是人才培養(yǎng)，企業(yè)審計部門需要引入類似IT審計師的角色，盡管現(xiàn)階段大部分中小企業(yè)未能做到這一點，但可參照國際上通用的認(rèn)證培訓(xùn)——國際信息系統(tǒng)審計師，把企業(yè)信息管理人員送出外培，提高兼職型IT審計人員的技術(shù)水平及能力；另一方面是IT審計人員職責(zé)要明確，從實踐上看，IT審計人員工作內(nèi)容包括查看企業(yè)人員是否按照已有的規(guī)章制度進(jìn)行審批手續(xù)、定期將審計報表反饋給高層，監(jiān)督整改落實的情況及效果驗證，使企業(yè)自上而下重視信息安全管理；

3）讓安全軟件的審計功能發(fā)揮作用。市場上的電子文檔防泄密系統(tǒng)提供日志審計功能。日志系統(tǒng)主要用來跟蹤和記錄用戶對受控文件的操作、記錄管理員設(shè)定的策略和操作。企業(yè)系統(tǒng)管理員要對文件日志、部門日志、計算機(jī)日志、申請審批日志等進(jìn)行定期檢查，同時發(fā)揮IT審計人員的監(jiān)督作用，才可讓安全軟件的審計記錄發(fā)揮作用；

4）利用刷卡認(rèn)證方式管理文檔輸出。辦公類信息安全管理方面，涉及到各類業(yè)務(wù)系統(tǒng)的賬戶管理、文檔輸出管理、存儲設(shè)備管理等。現(xiàn)有企業(yè)一般是通過制度約束，但效果不明顯，這里結(jié)合新的管理方式對文檔輸出管理進(jìn)行說明。一般我們不會一直等在打印機(jī)旁，沒有把打印好的資料及時拿走。而所打印的資料大多是技術(shù)圖紙、商務(wù)合同、計劃等資料，讓人不經(jīng)意地看到相關(guān)內(nèi)容及敏感信息。要減少因遺忘而將已輸出的文檔滯留在文印設(shè)備上，可結(jié)合IC刷卡認(rèn)證的方式，企業(yè)通過為文印設(shè)備配備一些讀卡器，只有當(dāng)刷員工卡時，文檔才從文印設(shè)備輸出，員工可即刻拿走。

總之，企業(yè)信息安全是一個多點因素的難題，涉及技術(shù)、管理、應(yīng)用等方面，隨著企業(yè)信息化的發(fā)展，各類信息系統(tǒng)及軟件資產(chǎn)不斷增多，從管理角度保障信息安全，增強企業(yè)員工安全意識，成為企業(yè)成長的重中之重。

參考文獻(xiàn)