企業信息安全泄露范文

導語：如何才能寫好一篇企業信息安全泄露，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

【關鍵詞】信息化建設；安全管理；授權

【中圖分類號】TU714 【文獻標識碼】A 【文章編號】1672—5158（2012）08—0255-02

0.引言

隨著信息技術的不斷發展以及市場競爭的不斷激烈，企業信息安全建設已經成為提高企業競爭力的重要途徑，杜絕信息泄露可以避免巨大的經濟損失。雖然大多數企業在信息安全管理方面采取了較多的措施，但是信息安全問題仍然頻發，對于企業的經營活動帶來巨大的損失。加強企業內部的計算機管理，提高對于信息安全的認識程度，保證信息數據庫的安全，避免信息泄露的發生已經成為現階段企業信息化建設亟待解決的管理問題。

1.企業信息化建設信息安全影響因素分析

（1）信息系統實體安全。信息實體主要包括用于企業信息化建設的計算機、網絡連接、服務器等媒介硬件設施，對于信息實體安全影響因素主要包括火災、水災、失竊或者是其他事故造成設備硬件的損壞，從而造成企業信息庫數據安全出現問題。

（2）信息系統運行安全。信息系統的安全是指為了保證企業信息數據庫的安全，采取各種措施對系統運行進行安全保護。由于信息數據庫有可能受到非授權的訪問、泄露、數據纂改或者是被其他非法程序控制的威脅，因此確保信息系統運行安全主要是保證信息數據庫的完整、保密以及時時可用性。

（3）信息系統管理人員安全責任意識。管理人員在日常工作中的安全管理意識、專業操作水平以及法律意識等均會對企業信息數據的安全產生影響。信息安全管理人員的日常管理工作責任心以及工作方式方法，對于保證信息數據庫的安全十分重要。

2.企業信息安全管理問題分析

目前由于管理制度以及軟硬件設施等一系列的問題，企業數據庫破壞以及重要數據信息泄漏的現象時有發生，嚴重影響了企業的正常生產經營活動，通過分析發現影響企業信息化建設信息安全的問題主要由以下幾方面：

（1）企業內部移動存儲設備管理疏松，缺乏安全保密管理制度。由于許多企業在日常管理過程中，移動存儲設備使用較多，員工可以隨意對企業內部的各種信息資料進行備份，企業用于經營活動的客戶信息、產品設計、財務管理等各項信息極易造成泄漏，帶來巨大的信息安全損失。部分企業由于對于信息安全管理認識程度不足，企業內部信息安全管理缺乏必要的規章制度，安全管理職責權限不清，信息安全漏洞較多。

（2）對于內部信息共享控制不嚴格，信息安全管理權限混亂。由于企業在生產經營過程中為了提高生產經營效率以及加強企業內部各部門之間的溝通聯系，對于一些設計企業銷售計劃、客戶信息以及生產計劃等文件采取共享的措施，因此企業員工的流動或者其他管理不當均會造成企業信息的泄露。

（3）信息權限管理混亂，企業的中介服務體系穩定性較差。對于加密的授權訪問，權限管理則成為保護企業信息安全的重要因素。但是由于企業在信息安全管理過程中體系混亂，操作權限不清晰導致經常出現影響信息安全的非授權訪問。而且對于部分中小企業由于信息化建設采取對外委托的方式，而中介第三方由于穩定性難以保證，隨時更換或者退出的第三方極易造成企業有價值信息的泄漏，影響企業信息安全建設。

（4）信息管理安全防范體系不健全，缺乏針對信息安全管理的專業技術人才。雖然部分企業已經認識到信息化管理的重要性，并在企業網絡內設置了必要的安全設備。但是缺乏一系列的安全管理機制，在信息安全管理方面缺乏行之有效的整體規劃與具體落實措施。此外，由于大部分企業在信息安全管理工作中將重點放在軟硬件設施上，而忽略了對于信息安全技術人員的培養，而且為了減少人力資源支出成本，信息安全管理人員少工作任務重，管理權限集中化程度高，影響了信息化建設的安全管理。

3.企業信息建設信息安全管理措施

（1）加強對于信息庫硬件設備的保護管理。首先應保證計算機等硬件設備具有安全的工作環境，做好計算機設備的防火、防潮、防盜措施，并避免強磁環境對信息數據可能造成的損壞。其次，在對各種硬件設備進行檢修時，硬組織企業內部相關技術人員進行監督管理，對于需要外送檢修的設備，則應提前進行數據加密處理。

（2）提高企業內部的信息安全管理意識。企業信息安全管理對于提高企業競爭力，避免企業經濟損失具有重要的意義。在企業的正常管理過程中，加強信息安全宣傳工作，使員工充分認識到企業信息安全管理的重要性，并熟悉企業相關信息數據保密的規則制度，提高企業的整體信息安全防范水平。

（3）加強信息安全操作管理人員的管理。在企業信息日常管理過程中，應加強對于業務操作以及數據存取控制代碼的管理。系統管理操作代碼的獲得應經過企業管理者授權，系統管理人員在進行企業相關信息數據庫的整理以及維護過程中，必須通過授權進行。系統管理人員離開工作崗位后，相關責任人應及時更換管理員操作代碼。

（4）加強企業信息數據庫的密碼與權限管理。對于涉及到企業信息數據庫安全的密碼，應分別設置用戶密碼以及操作密碼，并提高密碼的安全程度，及時定期更換登陸操作密碼。對于組成企業內部局域網絡的服務器、路由器等設施的設置管理工作，應嚴格按照相關管理規定進行設置。

（5）明確企業信息數據庫管理制度。對于企業重要的數據應存放備份數據，并采取異地存放的方式對備份數據庫進行管理。對于廢棄或者需要銷毀的數據信息，應嚴格依照程序采取逐級審批的方式，避免數據信息的泄露。需要進行數據恢復工作時，應嚴格按照相關技術手冊，并對恢復的數據進行驗證確認數據的完整可用。

（6）加強企業信息數據機房的管理。相關人員出入信息數據庫機房進行數據查閱以及提取工作時，應經由相關主管人員的授權，并登記進入。在日常管理過程中，定期對硬件設備進行保養，同時研究違章操作在信息數據機房安裝外部其他軟件。

參考文獻

[1]沈路鐵路信息系統安全風險評估研究[J]-鐵路計算機應用2011（6）

篇2

關鍵詞：制造企業；日常行為；信息安全

當今時代，隨著市場經濟和全球商業一體化發展，經濟趨e（信息技術）化，信息的運用成為關系企業經營成敗的重要因素。正因如此，技術信息的外流、個人信息的泄露、病毒和黑客網絡犯罪肆虐，使得信息安全問題已成為全球性的、亟待優先處理的課題。

一、信息安全的必要性

伴隨著當前信息化、社會化的發展，信息已經成為一項重要的經營資源。由于電子化、網絡化的發展，人們可以將大量的數據簡單地通過網絡發送，或者將大量的數據保存在一枚存儲卡上，攜帶出去。與此相對應，竊取信息的誘因也增大，由于過失而導致信息泄露的可能性也增加了。同時，隨著人才的流動不斷發展，公司的員工，因各種原因常會流動到其它競爭對手企業中去工作。另外，企業業務一體化的不斷發展，對外派遣員工成了企業常見的現象，與各種各樣的人共享信息以及和他們在同一場所工作的情況增加，從而可能發生各種信息資產的對外泄露，導致公司的商業信用喪失，大批客戶流失，無疑這對企業經營會造成重大的影響（參見圖1）。因此，不管是外在因素還是內在因素，都增加了企業信息資產外流的風險，所以加強企業信息安全管理是必要的，迫在眉睫。

二、信息安全事故的原因

（一）對信息價值的認識存在著差距

1、由于對信息認識的不足。外部惡意攻擊、木馬及病毒感染，這是被最多人所關注的信息安全問題，大部分人所認為的信息安全問題其實也就是這個問題；內部泄漏，這是被大多數人容易忽視的信息安全問題，因為這類威脅大部分不會造成數據的破壞，而是敏感信息的泄漏，所以也是最難防備的問題。

2、對個人信息保護意識的低下。S銀行的顧客數據，Q百貨商品的會員卡會員數據，Y網絡服務商的會員數據，這些個人信息竟然也成為T網站明碼標價的商品，這給那些不法分子造成了可趁之機。據了解，犯罪分子根據不正當的途徑得到的信用卡，會員卡資料很容易制造出偽卡、偽證件，其背后是利潤可觀的黑市。

（二）人才的流動化

退職的從業人員從事競爭對手企業的經營工作；退職的干部攜帶部下，到競爭對手企業工作；公司管理人員跳槽到競爭對手公司，將供應商清單等攜帶出去等都會給公司的經營帶來及大的困難。

（三）IT化的進展

1、來自外部的非法侵入、盜聽。上世紀九十年代信息安全隱患主要集中在業余黑客不定期的無商業目的的侵害，如：散發病毒、涂改網站等。而如今已演變成帶有商業目的頻繁犯罪，如：竊取IP地址和身份信息等。因此，信息安全問題不僅僅是IT部門的技術風險，更是觸及到了業務生命線。

2、內部人員對數據沒有處理好，對網絡的濫用、誤用。由于未將在公司內使用的過PC機的硬盤上的數據刪去，有關內容被轉售到二手市場中去，從而導致信息流出；將公司內電腦攜帶到外部而導致遺失、被盜；電腦失竊時，與電腦本身的價值相比，在電腦中保存的信息的泄露所造成的損失更大；向公司內部轉送帶有病毒的郵件，帶有病毒的郵件的轉送，并不是因為發送郵件者故意轉送，而且由于沒有更新病毒對策軟件，所以造成病毒被隨意地轉送。在這種的病毒中，有些是轉送電子文件的病毒，這不只是給對方添加麻煩，還將導致信息的泄露。

3、技術缺陷。由于認識能力和技術發展的局限性，公司在硬件和軟件設計過程中，難免留下技術缺陷，由此可造成網絡的安全隱患。網絡硬件、軟件產品多數依靠進口，如全球90%的微機都裝微軟的Windows操作系統，許多網絡黑客就是通過微軟操作系統的漏洞和后門而進入公司網絡破壞重要數據，這方面的報道經常見諸于報端。

三、信息安全的對策

（一）加強信息安全教育，提高員工對信息安全的認識

“信息安全就是經營質量本身”，是非常重要的事項，也可以說是經營的根本。關于信息安全，有必要在各種各樣的局面中進行教育，教育的對象，不只是針對公司員工，對于派遣員工以及外部作業者，同樣要進行徹底的信息安全教育。教育是對全體員工的意識及風氣進行改革，提高員工的信息安全意識。

（二）提交保守機密誓約書

員工在進入公司、晉升以及退職時，必須提交誓約書。其目的在于：再次徹底貫徹保守機密的重要性。必要時能通過法律的手段來追究泄密員工的行為，維護公司的利益。

（三）保護好個人信息安全

個人信息是客戶和員工托管的重要信息，需慎重的處理，如果因為盜竊、散失等導致個人信息泄露，將會造成重大不良后果，從而失去信信任度。怎么保護好個人信息安全呢？首先，要正確理解個人信息，在本公司工作的所有人的相關個人信息，不管其是否與本公司業務直接相關，只要在某一過程中，公司獲取了個人信息，就必須像對待客戶一樣加以管理；其次，要管理好個人信息，確保安全，可以采取如下措施：客戶個人信息保管在帶鎖的柜子里，并限定可打開的柜子的人數，記錄日志，實行電子化、設定開啟密碼等，發送郵件時要仔細檢查，確保地址準確無誤，以免把個人信息錯發給他人；最后，對于個人信息廢棄處理時要確保徹底，對于紙質媒質，要用碎紙機作破碎處理，對于電子媒質，要把數據徹底清除干凈。總之對于個人信息，從獲取到廢棄，在整個生命周期中，都有必要進行嚴格的處理。

（四）利用網絡、以及電子化信息時的注意點

公司應對下列行為做出明確規范，作為公司管理規章的一部分。（1）不要擅自從公司直接連接到外部網絡中去，也不要隨意撥號上網。如果擅自進行連接，就有可能出現病毒侵入的情況，成為黑客的切入口；（2）將防止病毒軟件更新為最新版，每天都有新的病毒種類出現。如果感染上的話，就會給公司的業務帶來障礙，除了將公司的信息泄露出去之外，還會向公司外的人發送病毒，給別人增添麻煩；（3）INTERNET出入口設置硬件放火墻，安裝硬件防火墻，只開放企業內部應用所需要用防火墻將企業的局域網（Intranet）與互聯網之間進行隔離。防火墻軟件應及時升級，同時經常掃描整個內部網絡，以發現任何安全隱患并及時更改，做到有備無患；（4）由于在公司的電腦上保存有公司的信息，原則上禁止攜帶外出。在業務上，不得不攜帶外出時，應遵守規定的規則簽訂有關協議；（5）原則上，請不要將數據保存在電腦上，而是保存在服務器上；（6）不應該只是將數據刪除在垃圾箱中，還有必要對其進行物理性的破壞，或者使用專用軟件完全地加以刪除，使之無法復原。

（五）日常行為中的信息安全注意點

不管你是有意識還是無意識的，信息也很可能會從你的日常的行為中泄露出去。因此要養成好的習慣，以免從日常生活中泄露公司信息。（1）在公司會客廳里與來訪客人會面，在進入工作單位（職場）時，一定陪同行動。對于搬運業者，請不要讓其進入工作單位，而在指定的場所接收所搬運的物品；（2）雖然回收再利用是很重要的，但是不應該使用機密文件及限定公開對象的文件的背面來書寫；（3）在會議室里，有時上一次會議的記載內容還留在寫字板上。特別是對寫字板的背面，也要加以注意；（4）復印的原件一定要收回，打印完畢之后，應該立即去??；（5）在餐飲店及電車里說話時要加以注意。特別是在喝了酒之后，精神容易放松，聲音也變得大起來了，像這種場所，是調查公司收集信息的場所。

（六）對公司管理者的期望

管理者應重視信息安全，以身作則，自覺遵守公司信息安全規章制度，負責公司信息安全的推進與實施。對從業人員徹底地進行教育，防止事故于未然。在接收到事故報告時，應立即進行適當的處理，并向公司上一級信息安全推進負責人報告。作為管理者要強化信息安全的應用管理，信息安全就是經營質量本身，“認識的不足”、“覺得麻煩的心態”是致命傷，都會給公司經營帶來困難。信息安全管理者應對所有員工的信息安全意識、風氣進行改革負責，以使公司信息安全達到國家、國際標準。

總之，一套完善、合理的信息安全策略對于企業信息安全管理必定是益處多多。通過為企業的每一個人提供基本的規則、指南、定義，從而在組織中建立一套信息資源保護標準，防止員工不安全行為的引入風險。安全策略也為企業進一步制定控制規則、安全程序等奠定了必要的基礎。信息安全策略還能夠幫助信息管理部門在信息安全事件中減輕應承擔的責任，提高信息安全保障，與企業的日常實踐息息相關的。

參考文獻：

1、林東岱.企業信息系統安全：威協與對策[M]．電子工業出版社,2004.

2、范紅.信息安全風險評估方法[M].清華大學出版社,2006.

3、安源.企業信息安全的新問題及對策[J].天然氣與石油,2006(10).

4、潘愛武.淺議企業網絡信息安全威脅與防范[J].科教文匯,2006(8).

篇3

關鍵詞：信息時代；信息安全；信息管理

1引言

國民經濟的發展，帶來的是科技的進步，得益于科技發展，信息技術在我國得到大范圍的普及，如今我國已進入全民信息時代。信息時代下，大數據技術、云技術等信息交互技術成為時展弄潮兒。通過網絡的搜索引擎、自媒體、電子商務等途徑，個人的學習工作日趨方便，企業的生產和經營效率日趨提升。此外伴隨“互聯網+”在各行各業的深化應用，個人信息直接開始參與到社交、醫療等多個領域，在信息時代為人們帶來便利的同時，人們的個人信息也推動了社會的信息化發展?；谝陨媳尘埃瑐€人信息在網絡中的傳遞，為不法分子提供了可乘之機，因此在信息時代下進行信息安全管理相關分析便顯得尤為重要。通過分析，找尋提升信息安全的有效策略，提升人們在網絡上的個人信息和企業信息安全，這也是當下信息時代應用互聯網的人們的共同企求。

2信息安全的概念

信息安全是指信息網絡的硬件、軟件及系統內數據受到保護，不受惡意攻擊和行為的破壞而損壞，保障系統正常持續運行，保障其內的信息傳輸不中斷。PC端、移動端等載體的發展，進一步激發了互聯網的深化發展。人與人之間的交互借助互聯網突破了時間和空間的限制，溝通和交流變得前所未有的方便和快捷。信息傳遞的速度也是光速抵達，往往前一分鐘黑龍江發生的大事件，后一分鐘北京的人民便會知曉。信息時代下，除了人們獲取信息的速度加快外，人們對信息獲取的范圍也極具提升?！皟勺悴煌T外邁，一眼看盡天下聞”成為現實，不用出門便可了解天下大事，可以知道遠方紐約的天氣狀況，可以了解降息等相關的民生政策，許多疑問也可快速通過搜索引擎獲取答案，信息技術正以不同的方式方便和改變著人們的生活。在人們使用信息技術獲取信息的過程中，不可避免的會使用到個人信息進行授權，或者經由其他途徑將自己的個人信息置于互聯網之上，由于各種原因引發的個人和企業信息泄露，對個人和企業造成的損失是巨大的，因此需要通過宏觀的策略和微觀的技術手段來提升人們使用互聯網的安全性，保障信息安全。

3推進信息安全工作的意義

3.1維持網絡秩序的穩定與安全

人們使用互聯網，從網絡上獲取各種各樣需求的信息，人們也將個人的信息反饋到互聯網上進行保存、傳遞、分享等?；ヂ摼W的建設發展并非能夠一直保持客觀安全，互聯網的維護工作由人來完成，網絡安全工作需要進行實時維護，定期通過技更新術、補丁內容等維系互聯網的穩定，不斷的填補互聯網中的漏洞，以防被有心人乘機而入，傳播病毒或者竊取信息。推進信息安全工作，保障互聯網秩序的穩定和安全，能夠使互聯網中存留的個人和企業信息不致泄露或者遺失，能夠使互聯網更好的為人們和企業服務，充分發揮互聯網的便利性和快捷性。

3.2提升用戶對信息安全的認知

開展和推進信息安全工作，通過網絡宣傳渠道等提醒人們對信息安全環境和信息安全傳播加以重視。能夠有效提升用戶對信息安全的認知。通過宣傳或科普，使人們能夠基本了解信息在互聯網中傳播的規律，以及互聯網當中存有的漏洞會對個人和企業信息造成泄露，從而對自己造成損失，由此加強個人和企業的互聯網使用規范，能夠有意識的去以規范個人信息安全行為帶動全網的信息安全。

3.3維系社會安定，保障國民經濟穩定

隨著“互聯網+”的深入發展，互聯網與其承載的海量信息資源已經改變了各行各業的傳統經營生態。一方面個人和企業經濟收益與信息化時代掛鉤，個人的知識產出、企業的消息傳遞、消息獲取、技術革新等離不開信息安全，另一方面個人與企業的財務信息等同樣處于互聯網之中，存在于海量的信息之中，保障信息安全，就是切實保障個人和企業的財產安全不受侵犯。從以上兩點來看，信息安全能夠保障國民經濟的可持續發展，也能夠保障社會的穩定。

4信息安全面臨的威脅

互聯網以及大數據等技術的深化發展與應用，在為人們學習、生活、工作、生產等帶來便利的同時，基于信息的傳播原理，個人和企業的信息同樣處在互聯網和大數據的范疇之內，由于互聯網技術存在的一些問題以及大數據技術的不夠完善，信息技術的發展也帶來了對個人隱私安全問題的威脅。具體來看，當今信息安全面臨的威脅具體如下：

4.1個人隱私泄露

互聯網和大數據時代，人們通過各種各樣的信息平臺進行信息資源的獲取和交互操作，在這樣的過程中，人們不可避免的會在這些平臺上以個人信息錄入的方式進行注冊，便是在這樣一次次操作的過程中，個人的身份證、銀行卡、家庭住址、聯系方式等信息代表的隱私，會由于平臺信息的泄露而發生泄露，從而影響到個人隱私的安全，為個人帶來極大的生活及財產安全隱患。這也是當今信息時代下，信息安全面臨的最為普遍的一個問題，未來互聯網和大數據等技術的發展，也要集中處理個人隱私泄露問題，通過不斷及時填補互聯網漏洞和完善大數據等技術來強化信息安全，確保個人隱私泄露的幾率逐步下降。

4.2大數據技術的安全風險

大數據技術的應用，能夠隨時記錄人們的閱讀、購物、出行等喜好，省去了人們大量的選擇時間，極大的方便了人們生活。同時大數據技術的使用還能幫助企業完成數據篩選、分析以及存儲等多方面的需求，以便企業能夠基于算法下的結果回饋，及時掌握市場動態和客戶群體喜好，針對性的推出更加符合市場需求的產品和服務。大數據的技術應用廣泛，但其存儲技術卻較為簡單，通常采用的云端服務器存儲模式一般為逐級分步法，這種存儲方式在為個人和企業調用方面帶來便利的同時，也由于結構簡單而容易遭致黑客的輕擊攻破，使內部存儲的信息泄露，總的來說該主流存儲方式方便由于，安全性不足。此外，當前大數據技術起步較晚，發展還不夠完善，在信息采集的過程中往往無法一步到位，需要經過多個環節進行節點式的信息收集，收集環節的增多造成大數據技術使用的不便，同時提升了用戶信息安全的風險。綜上，大數據技術的使用，從目前來看無論是內部管理還是外部防御體系，在信息安全方面均有較明顯的漏洞。

4.3智能終端的信息安全威脅

相比日趨成熟的PC端信息安全防護體系，信息時代下移動端的強勢崛起，信息傳遞重心逐漸由PC端轉向移動端，而移動端的安全防護體系比之PC端的信息安全防護體系要遠遠不如。移動端上有諸如微信、釘釘、QQ、地圖、美團等一系列關乎著每一個個體身份、家庭住址、辦公信息、聯系方式等絕對隱私的應用。這些應用平臺發生的信息泄露或者是由個人操作不當造成的信息泄露均會給個人的生活帶來極大困擾。此外，移動端當中存儲的信息、照片、視頻等數據，同樣容易發生泄露，因此人們需要加強對智能終端的信息安全防護。

5信息時代下信息安全防護策略

信息時代下，信息安全防護的工作不僅僅是信息安全管理人員應當重視的問題，它同我們每一個人都息息相關。信息技術因提供信息的便捷和信息的豐富為人們學習、生活、工作、生產等帶去了極大便利的同時，因云端服務器結構、系統漏洞的客觀問題會導致人們的信息發生泄露，因大數據技術發展不完善、防護措施體系不健全等外部人為管理原因會導致人們的信息發生泄露，最后因為個人信息安全意識薄弱和部分不法分子的存在同樣會加大我們信息安全的風險。因此信息安全的防護策略要從以下幾個方面著手：

5.1建立健全相關法規

信息時代下，基于互聯網用戶的增多，互聯網相關的企業也在逐步的擴張。信息時代的快速發展，對經濟建設的發展提供了有力幫助，同時也對人們的生活造成了深刻的影響，個人信息同互聯網行業間的交互每時每刻都在發生著，包含個人的身份信息、聯系方式、家庭住址、消費能力、收入水平、朋友圈等的個人信息，互聯網企業的獲取難度較低，因此有些不良企業以及外部的一些黑客通過出賣用戶個人信息進行牟利或直接應用個人信息進行詐騙的事件層出不窮。相應的國家立法層面，當前的相關法律對危害他人信息安全行為的法律法規不夠健全，法律完善的速度遠遠不及信息時展信息安全受侵害事件類型的增長速度。因此需要國家在未來的日子中，在深入了解網絡行業發展現狀以及危害信息安全典型事件后，并針對未來可能產生的新的一系列危害信息安全的行為進行法律的完善，同時也需要監督部門加強監督執法，從而保障個人和企業的信息安全。

5.2技術完善

人們通過信息技術進行信息內容的獲取，同時也借助網絡平臺，實現的信息內容的傳遞和交互，通過網絡平臺將分布在不同時間和空間的人們連接到了一起，實現了零距離的溝通和交流，同時實現了零等待的信息傳輸，從而為人們的生活帶去了便利。就在這樣一個共享網絡平臺的使用過程中，發生的某些信息傳遞行為，不經意間自身包含身份、聯系方式、銀行賬號等隱私信息會隨之泄露，引發信息安全問題。此外，受限于互聯網技術的不夠成熟以及大數據等技術的不夠完善，在信息傳遞和交互的過程中，部分不法分子會通過技術手段，找尋平臺當中的技術漏洞，有目的的竊取用戶和企業的隱私信息用以牟利。因此需要從技術層面加強信息安全，具體包含以下幾個方面：

5.2.1加固網絡節點，保障數據安全針對信息傳遞和交互在互聯網中的各個節點進行防護，重點對服務器、交換機等進行加固，根本防護目的在于保障信息在傳輸過程中能夠不會泄密。此外，大數據的長期傳輸會對網絡中的各個節點造成嚴重的數據負擔，因此要適時的更換或進階各個節點的軟硬件設施，提升各節點的數據處理能力。保護信息安全，保護數據不被竊取的首要前提是數據傳輸的效率能夠保障。

5.2.2革新防火墻技術加強防護信息數據的傳遞均為虛擬數據的傳輸，對這些虛擬數據的傳輸和過濾，需要在本地網絡中設置網絡防火墻，以防火墻來阻隔那些網路中的不良信息和可能隱藏著的病毒文件。此外，防火墻還能夠針對計算機本身防止端口泄密，以及當計算機發生被惡意攻擊時能夠迅速的啟動防護程序，組織不良程序對計算機信息內容的竊取，保障核心數據不至泄露。新一代的防火墻技術的應用，可以針對應用識別、應用策略、網絡安全策略、終端識別與審計這四個方面的內容進行提升。加強各項協議的理解，可以準確高效解析各式協議;更加高效的行為檢測，可以精準識別網絡流量的應用類型以及行為，由此規避黑客應用程序的攻擊。

5.2.3建立額外的云備份數據建立額外的云備份數據適用于信息時代下的大數據技術應用層面，通過及時的檢查和定期的備份本地存儲在云端的數據，在數據被盜用的預警信息發出警報后，如果采取防衛措施無法有效組織個人信息的泄露，便要及時通過數據重置的操作強制停止不良程序和文件對計算機及網絡系統的侵害。此外，云備份數據還能夠對存儲系統本身引發的存儲障礙造成的信息遺失進行彌補。

5.3用戶要加強個人信息保護意識

信息時代下保障信息安全，除了要依托外部的保障措施，用戶也需要加強個人信息保護意識。目前的信息平臺中，信息內容魚龍混雜，網站品質良莠不齊，不乏有一些惡意釣魚網站的存在。用戶在信息獲取的過程中，對這些惡意釣魚網站和非法網站要具備基本的鑒別意識和能力，避免登入這類網站引發個人信息的泄露。同時應用殺毒軟件定期對個人電腦、辦公電腦等進行病毒查殺，尤其是在需要輸入賬號和密碼前更應保障網絡環境的安全。通過日常規范的互聯網操作，可以有效規避信息獲取和互動過程中可能遭遇的信息安全風險。

篇4

【關鍵詞】企業;信息化建設;信息安全

伴隨著我國社會經濟的發展，各個企業間的競爭也是非常的激烈。各企業發展的過程中重要工作就是加強信息化建設，在企業信息化建設發展的過程當中，又顯現出來了信息安全的問題，加上有的不法分子會采取各種手段盜取企業的內部信息以便達到自己的經濟利益。所以說研究企業信息化當中的信息安全問題是具有非常重要意義。

一、企業信息化建設過程中信息安全的問題

一般情況下能造成企業內部信息安全問題的原因分為外部原因和內部原因，可是不管是內部原因還是外部原因都會對企業的信息系統的安全帶來隱患。

1.1企業內部因素

第一個方面是企業的信息安全意識不強，雖然是現在有很多的企業加快企業內部信息化建設的進程，但是有些企業只是在表面上看到信息化建設所帶來的優勢，而信息化建設當中的安全問題并沒能夠引起企業的足夠重視，所以在信息化建設的過程中比較容易出現安全隱患。第二個方面就是我國的安全軟件還是比較落后，雖然國內計算機軟件技術在快速的反戰，可是與一些發達的國家相比還是存在一定距離，第三個方面在管理操作方面存在問題，現在有很多的企業對于自己企業內部的信息安全問題還存在不夠重視的問題，在企業信息系統的管理上不夠謹慎，這就會被不法分子和黑客進入的機會，造成了企業的主要信息被盜取。第四個方面缺少優秀的專業管理團隊，企業信息的系統安全是前期的制定和日常系統安全的維護以及日后都是由專業的人員來進行操作，所以相關的技術人員都必須具有很好的素養和賢能的技術，第五個方面法律法規的不全面?，F在我國與企業信息安全問題的法律法規不全面這就造成企業內部信息被盜取不能得到相關的賠償。

1.2企業外部因素

現在企業信息安全系統的威脅主要來自于外部的因素，隨著我國經濟社會的飛速變化，在競爭激烈情況下信息是非常重要的，大昂仁會有很多的不法分子會利用各種手段來盜取企業的信息為自身得到利益。還有些企業在于對手的競爭過程中使用不正當的手段來擊垮對手保證自己企業的利益。

二、企業信息化建設過程中的信息安全與對策

在我國社會經濟快速發展的今天，企業信息安全對于一個企業的發展是非常具有意義的，企業的信息被盜取和泄露會給企業帶來很大的損失，所以說企業對信息安全問題必須要有足夠的重視。有的企業已經做好了信息安全的必要工作就應該更加注意安全軟件并不是時時刻刻都能做好安全的保護，做好安全保護還要加強管理。

2.1確保正確的安全意識

一個企業在信息化發展的過程中，應該認識到企業信息的安全問題和企業發展相互的關聯。如果企業的重要內部信息被盜取或者泄露那么對于企業所造成的打擊是非常大的，而與此同時也是給了對手創造了很好機會。所以確保正確的安全信息意識對于一個企業來說是非常重要的，也是為了以后給企業的各項工作打下了很好基礎。

2.2選擇安全性能比較高的軟件

其實任何軟件都不是牢不可破的，可是對于安全性能比較高的軟件，如果說破解的話難度還是相當高的，所以企業選擇安全軟件的時候要選擇安全性能高的，不要為了節省一點企業的支出而選擇使用安全性能差的保護軟件，一旦出現問題所造成的企業損失價值會大于軟件的價格。

2.3加強企業網路管理

很大一部分的企業信息被盜取都是不法分子通過網絡進行的，所以說必須要對企業的網絡管理進行加強，這樣才能確保企業信息系統在安全的狀態的情況下運行。對于信息安全的種類和等級的高低來進行制定合理的方案，并且提前做出如果發生特殊情況下怎么進行處理的方案。如果說企業的信息安全發生危機的時候，企業應該快速的組建處理小組，針對信息安全危機的步驟處理并且做好危機處理的工作，還要避免出現由于處理不當而產生的各種情況。

三、結語

以上所述是企業信息化建設過程中所必需要面對的問題，一個企業的信息安全建設應該先從管理開始，必須做到以防范為主要，必需制定有效的安全防護把安全的風險降至最低。在現在經濟發展的快速時代，企業信息的安全問題決定著企業的安全運營。

參考文獻

[1]原黎.探析企業信息安全問題的成因及對策[J].現代工業經濟和信息化.2011(08)

[2]張耀輝.關于企業信息化建設中的信息安全探討[J].電子技術與軟件工程.2013(14)

[3]趙曉華,陳秀芹,周文艷,夏莉莉,李建忠.網絡環境下河北中小企業信息安全問題研究[J].科技資訊.2013(31)

[4]葉瑞強.企業網絡信息安全存在的問題及對策[J].信息與電腦(理論版).2012(03)

篇5

關鍵詞：大數據；計算機信息安全；企業；防護策略

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2017）01-0023-02

大數據（big data）形成于傳統計算機網絡技術應用中，并不能將它理解為傳統意義中大量數據的集合，而是其中涵蓋了更多的數據信息處理技術、傳輸技術和應用技術。正如國際信息咨詢公司Gartner所言“大數據在某些層面已經超越了現有計算機信息技術處理能力范圍，它是一種極端信息資源。[1]”正是基于此，社會各個領域行業才應用大數據技術來為計算機信息安全提供防范措施，尤其是企業計算機信息網絡，更需要它來構建網絡信息防護體系，迎接來自于企業外部不同背景下的不同安全威脅。

1關于企業計算機信息安全防護體系的建設需求

企業計算機系統涉及海量數據和多種關鍵技術，它是企業正常運營的大腦，為了避免來自于內外因素的干擾，確保企業正常運轉，必須為“大腦”建立計算機信息安全防護體系，基于信息安全水平評價目標來確立各項預訂指標性能，確保企業計算機系統不會遭遇侵犯威脅，保護重要信息安全。因此企業所希望的安全防護體系建設應該滿足以下3項需要。

首先，該安全防護體系能夠系統的從企業內外部環境、生產及銷售業務流程來綜合判斷和考]企業計算機信息安全技術、制度及管理相關問題，并同時快速分析出企業在計算機信息管理過程中可能存在的各種安全隱患及危險因素。指出防護體系中所存在的缺陷，并提出相應的防護措施。

其次，可以對潛在威脅企業計算機系統的不安定因素進行定性、定量分析，有必要時還要建立全面評價模型來展開分析預測，提出能夠確保體系信息安全水平提升的優質方案。

第三，可以利用體系評價結果來確定企業信息安全水平與企業規模，同時評價該防護體系能為企業帶來多大收益，確保防護體系能與企業所投入發展狀況相互吻合。

2大數據環境對企業計算機信息安全建設的影響

大數據環境改變了企業計算機信息安全建設的思路與格局，應該從技術與管理維度兩個層面來看這些影響變化。

2.1基于企業計算機信息安全建設的技術維度影響

大數據所蘊含技術豐富，它可以運用分布式并行處理機制來管理企業計算機信息安全。它不僅僅能確保企業信息的可用性與完整性，還能提高信息處理的準確性與傳輸連續性。因為在大數據背景下，復雜數據類型處理案例比比皆是，必須要避免信息處理過程錯誤所帶來的企業信息資源安全損失，所以應該采取大數據環境技術來展開新的信息處理方式及存儲方式，像以Hadoop平臺為主的Mapreduce分布式計算就能啟動云存儲方式，對企業計算機信息進行有效存儲、轉移和管理，提高其信息安全水平。分布式計算會為企業計算機信息建立大型數據庫，或者采用第三方云服務提供商所提供的虛擬平臺來管理信息，這種做法可以為企業省下防火墻、數據庫、基礎性安防技術等等建設環節的大筆成本費用。

在信息傳遞方面，大數據環境主要能夠干預企業信息傳遞，例如為企業計算機系統提供高速不中斷的傳遞功能模塊，以確保企業信息傳遞的完整性與可持續性。在此過程中為了確保企業計算機信息傳輸的安全可靠，就會基于大數據技術來為企業提供數據加密服務，確保數據傳輸整個過程都處于安全狀態，避免任何信息泄露、被盜取現象的發生。

2.2基于企業計算機信息安全建設的管理維度影響

在大數據環境下，企業計算機信息安全的管理維度影響不容忽視，它體現在人員管理、大數據管理與第三方信息安全等多個方面。

在人員管理管理方面，大數據為企業所提供的是由傳統集中辦公向分散式辦公的工作模式轉變，它創建了企業自帶辦公設備BYOD （Bring Your Own Device），BYOD一方面能有效提高員工積極性，一方面也能為企業購置辦公設備節約成本，不過它也能影響到企業計算機的信息安全管理事項，移動設備大幅度降低了企業對計算機系統安全的可控度，可能會難以發現來自于外部黑客及安全漏洞、計算機病毒對系統的入侵，一定程度上增加了信息泄漏的安全隱患。

在第三方信息安全管理方面，它可能會對企業信息安全帶來巨大影響，因為第三方信息是需要用來進行加工分析的，但它對于企業計算機系統是否能形成保障實際上是難以被企業穩定控制的，所以企業要確切保證第三方信息安全管理的有效性，基于大數據強化企業信息安全水平，利用分權式組織結構來提高企業計算機系統及信息的利用效率，同時也增強大數據之于企業計算機系統的應用實效性。

3 基于大數據優化環境下的企業計算機信息安全防護策略

企業計算機信息安全對企業發展至關重要，為其建立安全防護體系首先要明確其信息安全管理是一項動態復雜的系統性工程。企業需要從管理、人員和技術3方面來滲透大數據意識及相關技術理念，為企業計算機系統構筑防線，保護信息安全。

3.1 基于管理層面的計算機信息安全防護策略

社會企業其實就是大數據的主要來源，所以企業在對自身計算機信息安全進行保護過程中需要面臨可能存在的技術單一、難以滿足企業信息安全需求等問題。企業需要基于大數據技術來建立計算機信息安全防護機制，從大數據本身出發，做到對數據的有效收集和合理分析，準確排查安全問題，建立企業計算機信息安全組織機構。本文認為，該計算機信息安全防護策略中應該包含安全運行監管機制、信息安全快速響應機制、信息訪問控制機制、信息安全管理機制以及災難備份機制等等。在面對企業的關鍵性信息時，應該在計算機系統中設置信息共享圈，盡可能降低外部不相關人員對于某些機密信息的接觸可能性，所以在此共享圈中還應該設置信息共享層次安全結構，為信息安全施加“雙保險”。另一方面，企業管理層也應該為計算機系統建立信息安全生態體系，一方面為保護管理層信息流通與共享，一方面也希望在大數據環境下實現信息技術的有效交流，為管理層提出企業決策提供有力技術支持。

再者，企業應該完善大數據管理制度。首先企業應該明確大數據主要由非結構化和半結構化數據共同組成，所以要明確計算機系統中的所有大數據信息應該通過周密分析與計算才能最終獲取，做到對系統中大數據存儲、分析、應用與管理等流程的有效規范。舉例來說，某些企業在管理存儲于云端的第三方信息時，就應該履行與云服務商所簽訂的第三方協議，在此基礎上來為企業自身計算機系統設置單獨隔離單元，防止信息泄露現象。另一方面，企業必須實施基于大數據的組織結構扁平化建設，這樣也能確保計算機系統信息流轉速度無限加快，有效降低企業基層員工與高層管理人員及領導之間的信息交流障礙[2]。

3.2基于人員層面的計算機信息安全防護策略

目前企業人員所應用計算機個人系統已經趨向于移動智能終端化，許多BYOD工作方案紛紛出現。這些工作方案利用智能移動終端連接企業內部網絡，可以實現對企業數據庫及內部信息的有效訪問，這雖然能夠提高員工的工作積極性，節約企業購置辦公設備成本，但實際上它也間接加大了企業對算機信息安全的管理難度。具體來說，企業無法跟蹤員工的移動終端來監控黑客行蹤，無法第一時間發現潛藏病毒對企業計算機系統及內網安全的潛在威脅。因此企業需要針對員工個人來展開大數據背景下的信息流通及共享統計，明確員工在工作進程中信息的實際利用狀況。而且企業也應該在基于保護大數據安全的背景下來強化員工信息安全教育，培養他們的信息安全意識，讓員工在使用BYOD進行企業內部計算機數據庫訪問及相關信息共享過程中提前主動做好數據防護工作，輔助企業共同保護內部重要機密信息。

3.3基于安全監管技術層面的計算機信息安全防護策略

在大數據環境中，企業如果僅僅依靠計算機軟件來維持信息安全已經無法滿足現實安全需求，如果能從安全監管技術層面來提出相應保護方案則要配合大數據相關技術來實施?？紤]到企業容易受到高級可持續攻擊（Advanced Persistent Threat）載體的威脅（形成隱藏APT），不易被計算機系統發覺，為企業信息帶來不可估量威脅，所以企業應該基于大數據技術來尋找APT在實施網絡攻擊時所留下的隱藏攻擊記錄，利用大數據配合計算機系統分析來找到APT攻擊源頭，從源頭遏制它所帶來的安全威脅，這種方法在企業已經被證實為可行方案。另外，也可以考慮對企業計算系統中重要信息進行隔離存儲，利用較為完整的身份識別來訪問企業計算機管理系統。在這里會為每一位員工發放唯一的賬號密碼，并利用大數據來記錄員工在系統中操作的實時動態，監控他們的一切行為。企業要意識到大數據的財富化可能會導致計算機系統大量信息泄露，從而產生內部威脅。所以在大數據背景下，應該為計算機系統建立信息安全模式，利用其智能數據管理來實現系統的安全管理與自我監控，盡可能減少人為操作所帶來的不必要失誤和信息篡改等安全問題。除此之外，企業也可以考慮建立大數據實時風險模型，對計算機系統中所涉及的所有信息安全事件進行有效管理，協助企業完成預警報告、應急響應以及風險分析，做好對內外部違規、誤操作行為的有效審計，提高企業信息安全防護水平[3]。

4 總結

現代企業為保護計算機信息數據安全就必須與時俱進，結合大數據環境，利用信息管理、情報、數學模型構建等多種科學理論來付諸實踐，分析大數據環境下可能影響到企業信息安全水平的各個因素，最后做出科學合理評價。本文僅僅從較淺角度分析了公司企業在大數據背景下對自身計算機信息安全的相關防護策略，希望為企業安全穩定發展提供有益參考。

參考文獻：

[1] 尹淋雨.大數據環境下企業信息安全水平綜合評價模型研究[D].安徽財經大學，2014：49-51.

篇6

關鍵詞 信息；安全；意識

中圖分類號：TP309 文獻標識碼：A 文章編號：1671―7597（2013）021-132-02

1 信息安全意識的重要性

信息作為一種資產，是企業或組織進行正常商務運作和管理不可或缺的資源，也是企業財產和個人隱私等的重要載體。與此同時，信息安全的重要性也越加凸顯：從最高層次來講，信息安全關系到國家的安全；對組織機構來說，信息安全關系到正常運作和持續發展；就個人而言，信息安全是保護個人隱私和財產的必然要求。無論是個人、企業還是國家，保持關鍵的信息資產的安全性都是非常重要的。

據統計，世界上每分鐘就有2個企業因為信息安全問題倒閉，而在所有的信息安全事故中，只有20%-30%是因為黑客入侵或其他外部原因造成的，70%-80%是由于內部員工的疏忽或有意泄露造成的；同時78%的企業數據泄露是來自內部員工的不規范操作。

因此企業員工信息安全意識的提升對企業整體信息安全起著至關重要的作用。

2 企業員工信息安全意識現狀

根據《2011年度中國企業員工信息安全意識現狀調研報告》中，企業員工在信息安全意識方面存在的20大問題如下：

1）有56.8%的受訪者采取的是不鎖抽屜、不鎖抽屜鑰匙放在抽屜里和鎖抽屜但鑰匙放在桌上或筆筒等地方這些不安全的抽屜物品保管行為。

2）擁有胸卡的受訪者中，接近半數的人曾經外借過胸卡。與2010年的調查數據相比，經常外借胸卡的比例有所上升。

3）在去陌生環境出差時，51.4%的受訪者不會主動了解自己工作或居住場所的緊急通道位置或樓層結構圖，48.6%的受訪者會去主動了解。主動了解的比例比2010年的調查結果略有上升，但情況依然不算樂觀。

4）36.6%的受訪者會在辦公桌面放密級資料。

5）52.9%的受訪者表示自己所在企業的打印機附近有合同、通知等重要資料不及時回收，可以讓人任意看。

6）37.4%的人選擇會直接或者詢問下就讓尾隨的外部人員直接進入辦公場所。

7）選擇數字+字母+符號+大小寫這種相對最為完全的口令/密碼設置規則的人所占比例僅為25.4%。

8）僅有30%受訪者對敏感數據會進行分類和加密。

9）65%的受訪者電腦中數據不做備份或者不定期做備份。

10）接近50%的受訪者表示所在單位不會馬上對密級資料進行粉碎處理。

11）接近50%的受訪者選擇不安全的設置電腦屏保、密碼方式。

12）有33%的受訪者會在電腦桌面存放密級資料。

13）39.2%的受訪者暫時離開電腦不會鎖屏。

14）當收到熟悉發件人發送的自動播放flas或郵件內部嵌入的網頁時，59.2%的人會看動畫、下載動畫、瀏覽網頁或點擊網頁鏈接。

15）1%的受訪者會點擊網頁上吸引自己的鏈接。

16）4%的受訪者遇到過惡意插件、病毒攻擊，還有19.2%的受訪者不確定自己是否遇到過。

17） 64.2%的受訪者不知道公司的信息安全策略的相關規定。

18）52.7%的受訪者遇到信息安全事件，不知道如何處理、自己處理或者找同事幫忙處理。

19）46.7%的受訪者不知道自己接觸信息的密級程度。

20）49.4%的受訪者認為領導的信息安全意識一般、很差或者還不如自己。

3 信息安全案例分析

3.1 案例一

中國電力財務有限公司商業秘密泄露事件。（來源于：《國網公司信息安全通報》（2010年第1期））

事件經過：2009年12月初，國家電監會通報中國電力財務有限公司某員工使用的計算機中涉及公司商業秘密文件資料泄露。經查，該員工將20余份資料（其中包括公司商業秘密文件）存入非公司轉配的個人移動存儲介質并帶回家中，利用連接互聯網的計算機對該移動存儲介質操作，由于其家中計算機存在空口令且未安裝安全補丁，感染了特洛伊木馬病毒，使存于移動存儲介質的文件信息泄密。

暴露的問題：該事件暴露出雖然公司三令五申，嚴格“不上網、上網不”的紀律，但是部分員工缺乏保護商業秘密與工作資料的意識，違反公司“嚴禁在連接互聯網的計算機和移動存儲介質上處理、存儲涉及企業秘密信息”的要求，利用非公司轉配的個人移動存儲介質保存商業秘密信息，并違規接入互聯網，而直接造成信息外泄事件。

3.2 案例二

上海世博會供電敏感信息泄露事件。（來源于：《國網公司信息安全通報（2010年第2期）》）

事件經過：2010年春節前夕，國網公司接國家安全部所屬中國信息安全測評中心通報，發現涉及上海世博會的世博園區供電方案、保障方案、場館變電站建筑結構圖、電氣主接線圖以及相關敏感資料和信息等泄露。經查，此次信息安全事件是由于信息外網郵箱處理敏感資料所致，涉及上海公司生技、營銷、世博辦等有關管理和技術人員。

暴露出的問題：1）本次事件是上海公司少數員工信息安全意識淡薄，缺乏保護公司商業密碼和重要時期安全保電方案的意識，違背“不上網、上網不”的紀律和公司“嚴禁在信息外網和互聯網上處理、存儲涉及企業秘密和工作信息”的要求，在信息外網郵箱存儲敏感資料，且通過信息外網郵箱和社會共用郵箱向互聯網發送郵件而造成的信息泄密事件。2）上海公司部分信息外網郵件用戶采用初始弱口令，未執行《國家電網公司信息系統口令管理暫行規定》中口令強度要求與定期更換的規定，未采取有效措施修改弱口令。相關技術督查隊伍未及時發現隱患并督促相應單位和人員采取防范措施，是該事件發送的又一原因。

3.3 案例分析

以上兩件發生在國網公司系統內的信息安全事件案例，在暴露出的問題分析中首要的都提到了：“員工信息安全意識淡薄”，可見引起信息安全事件的首要原因都是安全意識問題。

4 各層面人員應具備的信息安全意識

技術人員、一般管理人、普通員工、企業領導四類人應具有的以下方面的信息安全意識。

4.1 技術人員要有主動出擊、提前防范的意識

專業技術人員首先要提升自身的信息安全防范意識，不能只像普通員工一樣，只考慮自己不發生信息安全事件就行，技術人員要有更強的責任心，主動承擔起企業信息安全防護工作，不要只是被動的接收領導或上級單位分配的任務，要主動對信息系統及基礎設施進行隱患排查、查缺補漏，要主動承擔起宣傳、教育普通員工的職責，普及信息安全知識，提升企業全員信息安全意識，為企業信息安全提前做好防范工作。

4.2 管理人員要有及時補救、亡羊補牢的意識

當發生信息安全事件時，管理人員首先應該做的是及時補救事件造成的危害，將信息安全事件的損失和危害降低到最小。其次應當客觀分析事件發生的原因，是人為的錯誤要及時糾正，是系統的漏洞要及時封堵，是設備的缺陷要及時消缺，是別人的責任要及時教育，不要推卸責任、置之不理，要謹記亡羊補牢，為時不晚。

4.3 普通員工要有不越雷池、不觸紅線的意識

普通員工雖然不能掌握信息安全技術，但必須有較強的信息安全意識，要將信息安全與生產安全同樣看待，要牢記公司在信息安全方面的規定和要求，密碼一定要用強的，一機一定不能兩用，信息一定不能上網，上網信息一定不能，不要對觸犯信息安全紅線抱有僥幸心理，不要越入信息安全的雷池半步。

4.4 企業領導要有關心信息、重視安全的意識

企業領導對信息安全的重視程度，是決定企業信息安全狀況的主要因素。高層領導重視，中層領導必重視；中層領導重視，員工意識必提升。技術人員信息安全意識的提升在于企業領導的引導，普通員工信息安全意識的提升在于企業領導嚴明的制度和考核的力度。要想讓技術人員有主動出擊、提前防范，及時補救、亡羊補牢的意識，企業領導就必須關心信息專業、重視信息安全，為技術人員提供良好的發展空間。要想讓普通員工要有不越雷池、不觸紅線的意識，企業領導就要有不敢讓其越雷池、觸紅線的手段。

5 提升信息安全意識的方法及措施

1）制作信息安全意識手冊、信息安全意識動畫短片、信息安全畫冊、信息安全意識鼠標墊、信息安全意識海報、展板等信息安全意識產品。持之以恒地開展信息安全意識培訓工作。通過這些產品，把信息安全意識的宣貫滲透到員工的生活中去，打造全方位、立體化的信息安全意識宣貫方式。

2）開展形式多樣的信息安全知識競賽活動，例如開展信息安全網上答題活動、組織現場知識競賽活動，通過活躍的競賽氣氛，激發員工學習信息安全知識的熱情，提升員工信息安全意識。

3）企業領導要高度重視信息安全，加大對信息安全事件的考核力度。

參考文獻

[1]北京谷安天下科技有限公司，2011年度中國企業員工信息安全意識現狀調研報告[M].

[2]國網公司信息安全通報[M].2010，1.

[3]國網公司信息安全通報[M].2010，2期.

篇7

建立金融信息安防體系刻不容緩

“互聯網+金融”成為傳統金融行業轉型“觸電”的新模式，新形式下的數據安全狀況變得越發嚴重，金融行業已經淪為數據泄密的重災區，再次給人們敲響數據安全的警鐘，其中直接由于純粹是信息安全技術缺失所導致的風險案例不勝枚舉。麥肯錫公司在其的《中國銀行業創新系列報告》中指出，2015年年底，中國互聯網金融的市場規模達到12萬-15萬億元，占GDP的近20%。互聯網金融用戶人數已經超過5億，這樣龐大的用戶群和涉及面，如果信息安全事件愈演愈烈甚至失控，將會對國家和社會造成不可估量的損失，互聯網金融信息安全已經刻不容緩。

目前，金融企業內部IT系統更為復雜化，外包合作使內部風險管理更加復雜，BYOD（攜帶自己的設備辦公）使企業信息資產無處不在，大數據使核心資產淹沒在之中難以識別，云計算打破了傳統的網絡邊界防護。李晨指出，企業安全威脅也在逐漸升級，正在從以蠕蟲病毒、拒絕服務攻擊、溢出類漏洞攻擊、注入等Web攻擊為主的傳統威脅升級到以0Day攻擊、多態及變形等逃避技術、多階段組合攻擊、有組織的定向攻擊為主要手段的新一代威脅，企業安全運維面臨更多的新的挑戰。與會專家再次呼吁，建立金融信息安全防御體系刻不容緩。

綠盟科技智慧安全2.0戰略應運而生

信息安全行業專家綠盟科技積極應對，幫助銀行、保險等各類企業實現變革，助力金融智能安全運營防線的構建，綠盟科技智慧安全2.0戰略應運而生。

綠盟科技智慧安全2.0戰略是一個企業整體運營的升級換代過程，它幫助企業安全防護真正做到智能、敏捷和可運營。該方案包含綠盟云、安全態勢感知解決方案、云計算安全解決方案以及下一代威脅防御解決方案。李晨表示，態勢感知使安全耳聰目明、軟件定位給安全運維帶來敏捷應變、縱深防御帶來彈性和生存能力。它緊緊圍繞用戶需求，大力提升線上也就是云中的安全能力，打通技術、產品和服務、解決方案、交付運營等各個環節，構建真正的智能安全防御系統。

同時，綠盟科技可協助客戶建立企業安全應急響應中心（SRC），幫助企業建立和維護自主可控的自有業務漏洞收集平臺，從而避免漏洞在第三方平臺上暴露。通過SRC的運維數據積累，企業建立貼合自有業務的漏洞知識庫來提升安全團隊技術能力，并且通過SRC可與白帽子直接建立長期的信任互贏關系，幫助企業更從容地面對安全威脅。

數據安全歷來是企業信息安全工作的“最高使命”。綠盟科技適時推出了數據泄露防護系統，基于數據存在的三種形態（存儲、使用、傳輸），對數據生命周期中的各種泄密途徑進行全方位的監查和防護，保證了敏感數據泄露行為事前能被發現，事中能被攔截和監查，事后能被追溯。

篇8

在信息安全管理中最容易出現問題的就是信息的儲存和傳輸，在企業的網絡信息使用中也是這一環節最容易出現問題，比如企業信息系統中各種內部服務器，以及用戶使用的計算機都容易對信息系統的安全造成威脅[1]。計算機的使用中最容易造成安全隱患的就是計算機中最常見的軟件病毒，病毒的入侵會毀壞計算機的數據，最終導致極端及無法使用。最簡單地說，計算機病毒實際上就是一種惡意破壞系統程序的軟件，趁使用者不注意的情況下，入侵到計算機中，破壞計算機中的數據，影響計算機的正常使用，再嚴重的會導致整個系統的癱瘓，使鏈接這臺計算機的其他計算機也無法使用。還有一種就是黑客的攻擊，黑客對于計算機的攻擊屬于人為方式，就是指在沒有經過企業計算機系統授權的情況下，對系統進行的惡意攻擊其網站系統，對整個系統造成比較嚴重的傷害，最終導致系統中存入的數據泄露，對企業造成無法彌補的損失[2]。

在企業中也會出現信息安全管理的漏洞，因為企業中的信息管理必然會在每個部門之間相互傳輸，并且整合成最終完整的需要儲存的信息，這樣的過程中就很容易導致信息的丟失，人工操作的信息鏈接，很容易在中間的時候由于疏忽被非法人員抓到可乘之機，最終導致信息系統失控。很多企業重視利益的發展，并沒有在乎企業信息的保護，因此在整個網絡信息儲存的過程中就會造成沒有適當的制約機制，最終造成安全漏洞和隱患。企業的制約對于任何一個部門來說都具有非常好的管理和實效性，因此一旦企業在信息管理上沒有一個好的制約管理機制，就很容易出現安全隱患和漏洞。

2企業信息安全管理的策略

首先企業要在電腦病毒和黑客方面入手，阻擋威脅信息安全的客觀因素，既然企業想在整個工作中使用網絡信息，那么就應該在專業的軟件供應商處購買比較安全的電腦系統漏洞補丁，以及安全系數較高，非常可靠的殺毒軟件。這樣就能夠最初級的防范電腦中毒和電腦黑客。對于新的設備一定要首先做好安全監察，在電腦上安裝比較可靠的殺毒軟件，并且每個員工，每臺電腦上都有非常高強度的密碼，這樣就能夠有效防治黑客的入侵。找出專門人員，對電腦中重要的數據，進行每天備份，如果數據較多，公司比較大，最少也要做到每周備份，然后每個月末進行以此校對和審核，這樣就能夠放心使用計算機，不用擔心系統崩潰或者數據丟失了[3]。在企業中建立信息安全管理機制小組，這一小組需要選用非常熟悉電腦的專業人員，最好是曾經從事過電腦維修工作的員工，這樣可以在大家沒有合理使用電腦，造成系統崩潰的時候，對信息進行及時的恢復，以便挽回企業損失。

3總結

篇9

關鍵詞：企業內部控制；信息化；安全管理

隨著信息化技術的發展，企業信息化工具擴展度越來越高，擴展面越來越廣，大大提升了企業運營及管理的便捷性，企業依賴系統大數據的信息處理和分析來提升效率，信息化技術應用為企業創造了不可替代的價值。企業財務系統、資源管理系統、辦公系統等形成企業信息化綜合平臺，隨著信息數據的大量輸入、輸出、交換、應用，信息處理的便捷使企業信息化安全工作越來越重要。任何信息安全方面缺失或弱化都可能造成工作的中止、信息的丟失或泄露，使企業產生影響或經濟損失，以信息化平臺為重要工作工具的單位，影響更加重大。4G時代的到來，為企業信息走向移動化鋪好了平臺，也為企業信息安全管理提出了新一步要求。

我國的《企業內部控制基本規范》中提到信息化安全管理問題，該規范第四十一條指出：“企業應當利用信息技術促進信息的集成與共享，充分發揮信息技術在信息溝通中的作用。企業應當加強對信息系統開發與維護、訪問與變更、數據輸入與輸出、文件儲存與保管、網絡安全等方面的控制，保證信息系統安全穩定運行?！彼孕畔⒒踩芾響獮楝F代企業內部控制管理重要內容，如何優化信息化管理，提升信息化安全，成為需要思考的問題。

一、信息化安全管理分析

企業信息化安全管理包括物理安全管理、網絡安全管理、系統安全管理、應用安全管理等，內部控制的實施有助于預防信息化管理下企業信息數據尤其是財務數據丟失的風險，降低借助信息系統舞弊的可能性，保證企業各項經營活動有效運行。企業應通過企業信息化安全工作分析，定期進行信息化安全工作檢查，落實信息化安全內部控制管理。

（一）物理安全內部控制管理

1.硬件安全

信息化處理以電腦、服務器、存儲設備、網絡設備、安全設備作為硬件設備，電腦等信息終端設備不完善或故障會影響辦公；服務設備如服務器、存儲設備的損壞，會直接造成數據的丟失和數據處理的中斷；網絡設備如路由器、交換機的損壞，會讓系統停止。沒有安全設備或安全設備不工作會讓系統受外界所攻擊或盜取重要信息。企業信息化安全管理應對硬件安全有應急預案，增加必要的備用設備，如服務器、路由器、交換機等，設備一旦損壞，備用設備馬上進入工作狀態，使業務不中止或恢復時間短。設備應支持雙路電源供電，對于有可能的停電，企業應準備和啟用備用電源。

2.信息設備環境安全

環境安全包含防火、防盜、溫度、濕度、潔凈度等環境安全，只有安全的信息設備環境才能保障信息設備正常、高效工作，防范設備滅失或信息損失。對于一個大型或中型企業應專門建設符合上述環境要素的機房，服務器等設備應放在機房，因機器不間斷運轉造成溫度較高，應配備精密空調等制冷設備，確保溫濕度得到精確控制，服務器的放置空間要合理，保持空氣的流通并符合設備散熱需求。機房配置消防報警裝置、氣體滅火裝置，以應對突發火災事件。機房重地應有門禁管理，確保防盜和人為破壞的發生，信息化管理人員應就機房建設及日常管理進行檢查。

另外移動辦公設備（筆記本電腦、平板電腦、手機）的廣泛使用使設備不安全性增加，云技術、云方案不斷推新應用，使移動辦公增加，企業應對于移動辦公設備丟失制訂預案，對重要移動設備做防盜防丟失部署，以使設備被盜或丟失時由信息管理員實施遠程鎖定，阻止非法入侵或直接銷毀設備中的數據。

3.數據安全

數據的安全分為數據保護、數據保密和數據恢復。存儲設備是數據的載體，也是實施信息化企業的生命，數據丟失可以是致命的，一個安全穩定的存儲設備對數據保護至關重要。重要數據應以加密存儲，存儲介質廢棄時的完全抹除是數據保密應注意事項，可使用硬件自加密硬盤簡化數據保密過程。而存儲備份和恢復方案的實施是數據安全的最后一道防線，可以在事件發生后數據得以恢復。企業應及時做好數據備份、異地備份，防范火災、地震等不可預知事項帶來的數據滅失。企業應做出數據恢復預案并進行演習以應對可能的數據安全事故。

（二）網絡安全與信息傳輸安全內部控制管理

網絡提供了便捷的信息傳遞、快速的信息查詢，實現多人多組織的便捷工作，但也帶來網絡風險。企業首先應做好網絡訪問控制，最主要的措施是建立有效的防火墻，應檢查企業網絡設備是否安裝了有效的防火墻，防火墻的版本是否能及時最新，是否安排專門人員定期通過收集分析網絡行為、安全日志等進行入侵檢測，檢查訪問控制權限審批授予是否得當，是否對不適當的人做訪問權限的撤銷管理。

終端用戶操作不當，如違規安裝軟件或互聯網資訊點擊可能使病毒侵入網絡，故企業防止內部局域網風險，需規范終端用戶操作，對網上下載文件有必要要求及管理。針對承載保密信息的電腦，企業應專機專用并禁止與外網進行連接。對于有特殊安全需求的部門可部署桌面云方案，將數據和操作安全策略放置到服務器上統一管理。企業可通過部署網絡防病毒軟件并實時更新保證各終端使用相同的安全策略，避免個體不正確的安全習慣，保證定期進行病毒和惡意軟件的查殺和清除，保障系統不因病毒侵入而崩潰，是信息化安全內控管理的有效手段。

運營商的線路故障，可能造成整個網絡信息溝通中斷，雖然幾率較少，但對于以信息化工具為重要手段的單位影響會很大；為防止外部網絡中斷，檢查評估是否需要選擇兩家運營商，保證信息傳輸的正常。

（三）系統安全內部控制管理

軟件是信息化實現的載體，所有信息都是基于軟件進行輸入、輸出、運算、分析和應用的。

軟件安全成為一個越來越不容忽視的問題，軟件漏洞會造成信息丟失、信息泄露。軟件病毒會造成系統崩潰、信息錯誤。提升軟件安全性，是企業信息化建設的重要環節。

企業的軟件安全管理應檢查是否使用可靠的系統操作平臺軟件，比如：Windows、Linux；是否安裝有效的防病毒軟件并及時更新，比如：卡巴斯基、諾頓等；是否選擇安全保障高的信息化應用系統軟件，比如：SAP、Oracle、金蝶、用友軟件等；信息化軟件是否有穩定后期保障服務。完善的軟件是信息化數據安全和信息化功能應用的保證。

（四）應用安全內部控制管理

1.系統平臺應用內部控制管理

企業信息化最主要應用是使用系統平成會計信息自動化處理與分析、實現業務流程記錄與信息傳遞。企業應做到信息化平臺統籌規劃，使財務信息化和業務流程信息化充分結合，提高信息處理效率及信息管控力度，將企業的管理思想有效置入信息化流程使信息化平臺成為企業內部控制管理的有效工具和手段。

企業信息化系統平臺應用工作包括系統上線實施建設和系統日常運維管理，都有內部控制風險點管理。系統上線實施建設為系統平臺應用的基礎，對企業信息化應用起到關鍵作用。對于信息化應用程度深的企業，若實施不成功會給企業帶來經濟損失乃至巨大風險，為內部控制管理重大風險點，應予以高度重視。企業應制定詳細的工作計劃及實施方案，優化系統流程，制定編碼規則，項目經理應實施有效的進度管理以保證系統上線成功，系統上線后應對項目進行驗收，對應用中發現問題予以改善。系統日常運維管理（包括變更管理）是信息化有效穩定運行的保證，企業應制定管理制度進行規范化管理，信息化管理人員做好工作表單記錄，通過檢查表單記錄評估信息化工作開展是否得當。

系統平臺應用離不開系統流程與系統授權管理，只有信息化系統操作流程及權限設置合適，內部控制管理工作才能有效開展，風險得到即時控制。系統流程管理要求系統流程與企業管理流程文件相符；系統流程設置應合理有效，以企業增值及反應速度為原則，在實現內部控制基礎上盡量做到流程簡化，體現內部控制管理的全面性、重要性、制衡性、適應性和成本效益性。授權管理為企業內部控制管理關鍵點，如何做好系統授權？首先，授權人適崗，要求系統授權人或批準人對公司流程掌握，對內部控制管理有清醒的認識，對不相容崗位分離有清楚的把握，保證授權批準人與執行人分離，業務執行人與審核人分離，執行人和記錄人分離，物資保管人與記錄人分離，執行業務人與物資保管人分離；其次，配備必要的授權審核人員，授權審核人員可以是企業內控管理人員也可以是企業制度制訂及管理人員，在系統流程制訂時對授權設置進行審核，定期開展授權審計，以發現授權中問題，及時更正；再次，授權管理包括授權工作也包括撤銷授權工作，需及時做好離職離崗人員系統權限調整，以保證系統操作人權限適合。

鑒于系統平臺將企業信息做了大規模的集中，信息泄露的風險加大，所以對于系統數據、信息引出（下載）的權限管理應高度重視，尤其是關鍵數據及信息引出，避免信息批量式流出或關鍵信息被不適合人使用，給企業帶來災難性損失或技術成果和管理成果被他人竊取。

2.密碼內部控制管理

服務器、電腦、平臺系統進入都需要密碼管理，企業應要求操作人員有效設置密碼，不得將密碼告知他人，定期更換密碼，企業應檢查企業員工外出離崗時有無告知他人密碼協助處理流程的行為。隨著技術進步，企業可通過技術手段實施密碼管理。

3.電子郵件和即時交流工具安全管理

信息傳輸的便捷性使信息化風險加大，信息傳輸風險包括重要信息流出后不受控制及內部數據信息通過電子郵件、QQ等即時通訊工具方式泄露，企業應評估重要崗位、重要文檔信息流出的風險度，必要時使用信息安全軟件管理，進行重要文檔加密或對特定區域信息加密管理；通過網絡行為管理軟件跟蹤敏感文件和信息的泄露，使企業信息安全得到控制。對于即時通訊系統如QQ等可能帶來的病毒和入侵風險，企業可根據信息化管理的重要程度確定是否部署內部專用即時通訊系統予以防范。

（五）隨著信息技術的不斷發展與進步，各種云平臺服務推出，服務提供商可以提供專業的機房、服務器、存儲、網絡、信息化平臺等供企業租用，企業只需付一定的服務費，為企業解決大部分信息化安全問題。使用云平臺服務要做好服務商的選擇，對于關鍵信息和數據采用做好方案選擇。

二、結語

篇10

關鍵詞：桌面安全管理；信息建設；桌面終端；應用

在信息技術飛速發展的大背景下，桌面終端已經成為企業生產運營的重要組成部分并被廣泛應用于企業之中。但是受到種種原因的影響，桌面終端增多帶來了許多安全問題，威脅著企業的信息安全?；诖?，桌面安全管理系統應運而生。桌面安全管理系統簡稱BES，是一種基于企業桌面客戶端內網安全管理系統，對客戶端系統安全漏洞和安全隱患進行評估的管理控制平臺。本文簡要分析了目前我國企業桌面計算機系統的安全現狀，主要研究桌面安全管理系統在企業信息建設中的應用，這對于企業的信息建設而言具有重要現實意義。

1目前企業桌面計算機系統的安全狀況

桌面終端系統因為操作方便等優點而被廣泛應用，但由于計算機數目過多過雜、內部員工的不當操作等因素導致目前企業桌面計算機系統存在著許多問題：（1）沒有嚴格對待外網接入工作，容易讓外網接入盜取企業信息。很多企業為了更好地管理，便將許多電腦連成一個整體來進行高效運營。但是這么做也存在一個弊端：給外網入侵帶來可乘之機，由于計算機管理人員不能使每臺計算機都能得到合理配置，因此容易讓外網接入，造成企業信息泄露等損失。（2）缺乏有序規劃，設備配置良莠不齊?，F階段我國很多企業計算機系統設備配置混亂且質量參差不齊，給維修以及耗材的配備增加了成本。（3）隨著信息技術的飛速發展，涌現出來的許多操作系統以及軟件給企業系統安全管理帶來巨大的壓力。（4）缺乏統一的手段統計分析桌面運行狀況，缺乏跟蹤監督桌面設備受到侵害的狀況，缺乏跟蹤監測安全漏洞的修復狀況。（5）一些企業的網絡結構復雜，十分難管理。加上一些內部員工的不良操作以及對移動存儲介質使用的隨意性容易導致企業信息泄露。基于目前企業桌面計算機系統的安全現狀，企業需要實施桌面安全管理系統來解決桌面終端存在的問題，有效地保護企業的信息安全。

2桌面安全管理系統在企業信息建設中的具體應用

2.1系統補丁管理

目前我國很多企業操作人員在應用桌面安全管理系統過程中會出現安裝完系統后就沒有再打過補丁的現象，很多用戶也缺乏系統升級的意識，對數據庫系統以及應用程序不打補丁升級。桌面安全管理系統的補丁管理是及時地更新系統漏洞的特征以及系統補丁源，保證補丁服務器能夠及時獲取新的系統漏洞特征和補丁源。桌面安全管理系統自動地收集、統計以及檢測所管理桌面終端系統的漏洞信息和補丁安裝進度，隨后根據每一臺桌面終端操作系統以及已經安裝的補丁情況，打包、分配、安裝所需要的補丁。桌面安全管理系統可以自動對漏洞進行及時檢測修復，保障系統的安全。

2.2IT資產管理

桌面安全管理系統根據所管理范圍的桌面終端系統的軟件和硬件資產變更進行管理，以小時、天、周為周期通過軟件或者人工只能收集資產信息，然后再將所收集的信息納入資產信息庫。桌面安全管理人員根據資產編號、資產所歸屬部門、資產使用人等信息進行查詢和管理，最后定時生成資產信息報表。在桌面安全管理系統控制臺管理中，管理人員可以清楚地了解有多少計算機沒有安裝桌面安全管理系統，利于管理人員掌握網絡資產數據。

2.3軟件分發

在安裝軟件時，很多企業用戶因為計算機水平良莠不齊等原因無法自行完成。一些通用軟件或者專業軟件覆蓋范圍廣，因此利用軟件分發功能便可以自動化部署網絡客戶機的各個軟件，確保版本軟件以及配置保持同一性。桌面安全系統維護人員還要根據企業的實際需要來研究分析桌面安全管理系統的軟件開發功能，編寫包含工具軟件、系統軟件、補丁等常用軟件的自動安裝包以及自動卸載包，最后根據客戶的實際需要進行軟件分發，這極大地降低了管理人員的工作強度，提高了工作效率。

2.4外接設備的管理

統一管理所有安裝了客戶端主機的外接設備，管理人員只要在控制中心進行相應配置后便可以控制是否允許USB接口、光驅、串口等外接設備的接入。同時值得注意的是，在管理人員對USB接口進行管理時，用戶使用USB鍵盤、鼠標不會受到限制，只有當使用USB硬盤等存儲設備時才會受到限制。

2.5病毒防護管理

桌面安全管理系統可以很好地對客戶機的病毒防護情況進行監控，包括是否安裝了病毒防護軟件、是否將病毒代碼庫升級為最新等。在系統控制臺上，所有客戶機的信息都集合在一起，管理人員可以更好地管理。一些客戶機違規安裝了某些病毒防護軟件，或者是同時安裝了兩種病毒防護軟件，可能會導致系統運行速度緩慢，增加了管理人員和維護人員的工作負擔。針對這種情況，桌面安全管理系統可以識別計算機屬性，統計違規客戶機信息，并采取限制使用網絡資源等方法來使用戶卸載違規安裝的病毒防護軟件，促進病毒防護管理的規范化、合理化。

2.6遠程維護

桌面安全管理系統的遠程維護有兩種方式，分別是遠程桌面查看以及遠程桌面控制，通過遠程維護方式，管理維護人員可以進行遠程診斷以及修復，極大提高了工作效率。與此同時，遠程維護還支持客戶端確認的過程，如遇客戶沒有確認就不能接管客戶終端。終端遠程維護服務只在需要時開啟，此外使用動態密碼可以確保遠程維護服務的安全性。

3結語

綜上所述，桌面安全管理系統充分運用了信息安全管理技術來提高企業信息建設水平和安全管理效率，加強對網絡客戶端的控制并進行實時監控，集成其他網絡安全設備為可靠的、安全的局域網絡，極大地鞏固加強了對企業信息安全的保障。此外，桌面安全管理系統雖然越來越受到重視，但其在應用領域仍處于比較不成熟狀態，需要企業進行進一步探究。

參考文獻