企業(yè)信息安全意識精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的企業(yè)信息安全意識主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：企業(yè)信息安全意識范文

 

對于未來的信息安全，我們需要著重關(guān)注什么?

 

基于我們的觀察，2012年以下4點(diǎn)趨勢有必要引起業(yè)界足夠的重視：

 

一是BYOD(自帶設(shè)備辦公)給企業(yè)安全帶來極大威脅。隨著越來越多的80,90年代年輕人進(jìn)人職場，自帶辦公設(shè)備已是一種趨勢。好處是這些年輕人可能會用自己喜歡的方式來工作，提高工作效率。但企業(yè)該如何管理卻成了很大挑戰(zhàn)，BYOD帶來的安全威脅也就更大。而且，包括私人郵件在內(nèi)的公私結(jié)合趨勢，也給越來越多的企業(yè)帶來很大挑戰(zhàn)。因為沒法管理，分不清公和私，一樣會帶來很大的安全威脅。

 

二是全新的云安全機(jī)制。我們正處于一個風(fēng)起云涌的時代，未來幾年，很多政府機(jī)構(gòu)、中小企業(yè)可能不會再雇傭更多的信息安全人員，因為沒有必要，他會更愿意把安全外包出去，或者通過云的方式，進(jìn)行云服務(wù)，把信息安全交給更專業(yè)的團(tuán)隊去管理。這絕對是個趨勢，會有多快，我們不知道，但一定會到來。

 

一個例子是，我們有一個大企業(yè)客戶，我問他的CEO,你們公司有多少安全專家?不到3個。他的信息安全問題更多是交給安全廠商去負(fù)責(zé)。

 

大型企業(yè)這樣，中小企業(yè)更是如此。我們可以通過云方式為后者提供服務(wù)。那么，云計算到底是更安全還是更不安全，非常值得我們探討。也許從某個角度來講，云可能會更安全，因為中小企業(yè)依賴云服務(wù)提供商提供服務(wù);對云服務(wù)商來說，只會幫助企業(yè)IT部門適應(yīng)并挖掘更新的方法保護(hù)他們的企業(yè)系統(tǒng)與信息資產(chǎn)。

 

目前，很多企業(yè)在很多方面都應(yīng)用了云服務(wù)，如財務(wù)、營銷、郵件系統(tǒng)等等，都是不同的云。企業(yè)需要全新的云安全管理機(jī)制去管理這些云。云的問題要通過云的方式來解決。

 

三是全價值鏈的安全?，F(xiàn)在很多商業(yè)模式都會涉及整個產(chǎn)業(yè)鏈，大部分企業(yè)會通過網(wǎng)絡(luò)跟客戶聯(lián)系，提供服務(wù)。此外，還要與供應(yīng)商、外包商、經(jīng)銷商聯(lián)系并溝通，所以，只保護(hù)好企業(yè)自身的安全是不夠的，我們的《互聯(lián)網(wǎng)安全威脅報告》也指出，目前遭受攻擊的對象，在職位上也越來越廣泛。比如那些網(wǎng)絡(luò)罪犯不攻擊老板，可能攻擊秘書，或與老板有密切關(guān)系的其他對象。所以，全價值鏈的安全很重要。

 

四是構(gòu)建全面的安全防護(hù)。安全絕不僅僅是一個簡單的防病毒，從準(zhǔn)人，到主機(jī)安全、審計，到加密，到認(rèn)證，到授權(quán)，到數(shù)據(jù)中心的優(yōu)化、虛擬化等等涉及方方面面。我們現(xiàn)在講的安全，是全面的信息安全，絕非局部的安全。安全行業(yè)的希望也在于此。

 

安全外包是趨勢

 

當(dāng)然，安全是一個博弈的過程，依賴的不只是技術(shù)。想要實現(xiàn)安全外包應(yīng)注意幾點(diǎn)：

 

一是技術(shù)基礎(chǔ)。要有一套完整的管理機(jī)制，宣傳、培訓(xùn)也很重要，否則沒法落地;

 

二是一定要用法律作為后盾。現(xiàn)在信息安全犯罪更多是因經(jīng)濟(jì)利益，所以相關(guān)處罰措施很有必要，如果法律跟不上，信息安全也不能做到徹底。所以，監(jiān)管部門一定要加強(qiáng)這方面的法律保障;

 

三是一個平臺、一個游戲規(guī)則。從云服務(wù)來講，很多管理內(nèi)容不再是企業(yè)自己擁有。IT管理者雖然管理網(wǎng)絡(luò)，但上面的用戶遠(yuǎn)多于你的員工，他們可能是你的供應(yīng)商、外包商、客戶，這些人都不會乖乖聽你的話，為什么?因為他們不是你的員工。設(shè)備有時也不是自己的，可能要靠別人來管理，這對IT部門挑戰(zhàn)很大。所以，IT部門就必須扮演一個新角色，依靠云服務(wù)，提供一個平臺，一個游戲規(guī)貝IJ，提供用戶支撐，并提高所有使用者的工作效率;

第2篇：企業(yè)信息安全意識范文

“中國企業(yè)員工的信息安全意識可謂不容樂觀，提升員工信息安全意識刻不容緩?！惫劝蔡煜赂笨偨?jīng)理魏彩霞對當(dāng)前企業(yè)員工的信息安全意識現(xiàn)狀表示擔(dān)憂，“不同行業(yè)的信息安全意識現(xiàn)狀不同，電信、金融等行業(yè)由于業(yè)務(wù)的特殊性，安全意識較高，而其他行業(yè)的信息安全意識整體狀況則依舊薄弱”。

調(diào)查顯示，接近50%的受訪者認(rèn)為單位領(lǐng)導(dǎo)的信息安全意識一般、很差或者還不如自己。而據(jù)魏彩霞介紹，一些企業(yè)中即使領(lǐng)導(dǎo)非常重視信息安全，希望提升員工的保密意識，但“只是看到別人的明文密碼導(dǎo)致信息泄漏就更改自己的網(wǎng)頁設(shè)置等單個事件，并不能系統(tǒng)地提升企業(yè)員工整體的信息安全意識”。

由于員工信息安全意識薄弱而給企業(yè)帶來災(zāi)難性損失的案例屢見不鮮。據(jù)統(tǒng)計，世界上每分鐘就有兩家企業(yè)因為信息安全的問題而倒閉。而在所有信息安全事件中，只有20%~30%是因為黑客入侵或其他外部原因造成，另外70%~80%是由于內(nèi)部員工的疏忽或有意泄漏造成，而78%的企業(yè)數(shù)據(jù)泄漏是由于內(nèi)部員工不規(guī)范的操作造成的。

第3篇：企業(yè)信息安全意識范文

[關(guān)鍵詞]企業(yè)安全；信息管理；設(shè)計；實現(xiàn)

doi：10.3969/j.issn.1673-0194.2015.08.057

[中圖分類號]TP311.52 [文獻(xiàn)標(biāo)識碼]A [文章編號]1673-0194（2015）08-0075-02

近年來，企業(yè)安全事故層出不窮，信息安全引起了越來越多企業(yè)管理者的重視，成為各個企業(yè)不容忽視的關(guān)鍵問題。為了加強(qiáng)企業(yè)信息安全，不少企業(yè)開始設(shè)立獨(dú)立部門對企業(yè)的信息安全進(jìn)行專業(yè)管理，并開始培養(yǎng)專業(yè)的信息安全管理人才。

1 企業(yè)安全信息管理平臺的問題

1.1 安全意識不強(qiáng)

企業(yè)要重視信息安全并實施管控，信息安全管理的成敗取決于員工的安全意識。人員安全意識欠缺，導(dǎo)致政令不通，監(jiān)督不力，執(zhí)行不暢，往往導(dǎo)致信息外泄、系統(tǒng)故障等安全事故。只有樹立直接執(zhí)行人員牢固的信息安全意識，形成企業(yè)安全文化，企業(yè)信息安全才能真正長治久安。員工信息安全意識的提升并非一日之功，也不是通過簡單的一兩次培訓(xùn)就能奏效，而是一項持續(xù)的、長期的、有計劃的、多種方式并用的綜合性工作。信息安全意識提升面向企業(yè)廣泛的受眾，其內(nèi)容涵蓋信息安全相關(guān)各個領(lǐng)域，重點(diǎn)針對員工日常工作和個人行為，關(guān)注各種可能因個人行為不當(dāng)或警惕性不強(qiáng)而引發(fā)的信息安全隱患和事故。由于目標(biāo)對象的不同，信息安全意識提升內(nèi)容會呈現(xiàn)出不同的形式、程度，從簡潔明了的宣傳語，到淺顯易懂的安全提示，再到全面具體的安全手冊，建立企業(yè)專門的信息安全知識庫，滿足不同方面和不同層次的需要。

1.2 缺乏專業(yè)人才

隨著經(jīng)濟(jì)社會的不斷發(fā)展，企業(yè)對于信息安全管理人才的需求也越來越大。任何組織都是由人組成的，沒有人才，組織就不能取得長遠(yuǎn)發(fā)展，更談不上不斷進(jìn)步和自我完善。企業(yè)的發(fā)展需要不斷補(bǔ)充新的人才。對于多數(shù)企業(yè)來說，信息安全管理人員的素質(zhì)決定了單位能否長遠(yuǎn)發(fā)展。信息安全管理是最近幾年才興起的，很多企業(yè)還沒有配備相關(guān)人才，不少高校也尚未開展相關(guān)專業(yè)，培養(yǎng)信息安全管理方面的人才，國家對于信息安全管理專業(yè)的投入也不夠。社會整體尚未形成重視信息安全管理的氛圍。目前，不少企業(yè)的信息安全管理人員十分匱乏，很多企業(yè)沒有專門的信息安全管理機(jī)構(gòu)，因此也沒有配備相應(yīng)的信息安全管理人員。只有少數(shù)企業(yè)認(rèn)識到信息安全管理的重要性，設(shè)立了相應(yīng)的信息安全管理機(jī)構(gòu)。但在這些企業(yè)當(dāng)中，多數(shù)企業(yè)的信息安全管理機(jī)構(gòu)十分簡陋，相關(guān)設(shè)備也不夠健全，專業(yè)人員的配備也存在缺失，有的企業(yè)雖然配備有信息安全管理人員，但這些人員多數(shù)沒有接受過系統(tǒng)的知識培訓(xùn)，經(jīng)驗不夠豐富，責(zé)任心不強(qiáng)，不能履行信息安全管理人員的基本職責(zé)。信息安全管理人員素質(zhì)不高和專業(yè)人才的缺失，是企業(yè)的發(fā)展的阻礙，嚴(yán)重影響了企業(yè)的長遠(yuǎn)發(fā)展。

1.3 監(jiān)管制度缺失

完善、科學(xué)的信息安全監(jiān)管制度對于企業(yè)的發(fā)展具有十分重要的意義和作用。行為規(guī)范制度是指導(dǎo)工作人員進(jìn)行相關(guān)操作的準(zhǔn)則和辦法，只有建立一套系統(tǒng)的信息安全監(jiān)管制度，才能規(guī)范信息安全管理人員的行為，使操作有據(jù)可依，信息安全管理人員對自身行為負(fù)起責(zé)任。目前我國信息安全管理制度仍不健全，不少企業(yè)沒有建立起一套完善的內(nèi)部控制制度，使得很多行為沒有操作依據(jù)，信息安全管理人員的行為無法有效約束，出現(xiàn)了許多不負(fù)責(zé)任的行為。這些行為不僅阻礙了企業(yè)的發(fā)展，也影響了企業(yè)的聲譽(yù)，不利于后續(xù)工作的開展。因此，必須建立健全企業(yè)信息安全監(jiān)管制度，為企業(yè)后續(xù)活動的開展提供保障。

1.4 管理技術(shù)落后

信息安全管理需要先進(jìn)的管理技術(shù)和安全技術(shù)，為信息安全管理提供有力的技術(shù)支持。企業(yè)在發(fā)展過程中，開發(fā)了一系列信息安全管理技術(shù)和管理技巧，發(fā)揮了一定的作用。但隨著經(jīng)濟(jì)社會的發(fā)展和科技的日新月異，不少技術(shù)已經(jīng)無法跟上時代步伐，很多技術(shù)面臨淘汰。這些管理技巧不但不能給企業(yè)帶來益處，反而有可能影響企業(yè)的信息安全。因此必須緊跟時代步伐，了解最新的信息安全管理技巧，結(jié)合企業(yè)實際情況，開發(fā)符合時代要求的管理技巧。同時，積極了解最新科技動態(tài)，將適合于本企業(yè)的技術(shù)運(yùn)用到企業(yè)的信息安全管理過程中。

2 如何完善企業(yè)安全信息管理平臺設(shè)計

2.1 增強(qiáng)信息安全管理意識

提高信息安全管理意識是完善企業(yè)信息安全管理的重要前提和關(guān)鍵因素。只要具備良好的內(nèi)部安全控制意識，才能順利開展后續(xù)工作。企業(yè)管理者必須深切意識到信息安全管理對于企業(yè)發(fā)展的重要性和必要性，加大投資力度，及時發(fā)現(xiàn)企業(yè)信息安全管理中存在的問題和不足。必須加強(qiáng)對企業(yè)信息安全管理的重視，切實意識到信息安全管理對于企業(yè)發(fā)展的重要性，加大資金投入，確保企業(yè)信息安全管理良好運(yùn)作。

2.2 加強(qiáng)人員的素質(zhì)培訓(xùn)

人才對于企事業(yè)單位的發(fā)展具有不容忽視的作用。單位的競爭歸根結(jié)底是人才的競爭。信息安全管理人員的素質(zhì)對于企業(yè)的發(fā)展具有重要作用，具有良好素質(zhì)的信息安全管理人員可以促進(jìn)企業(yè)的快速發(fā)展。企業(yè)必須重視對信息安全管理人員的培訓(xùn)和投資。信息安全管理人員的投資包括設(shè)備的更新，資金的投入和專業(yè)教育的提升。同時，要鼓勵信息安全管理人員學(xué)習(xí)最新的信息安全知識，不斷更新已有知識，緊跟時代的步伐。企業(yè)不僅要注重提高信息安全管理人員的專業(yè)素養(yǎng)，也要重視對企業(yè)信息安全管理人員的道德培養(yǎng)。只有專業(yè)知識而缺乏道德素養(yǎng)的工作人員，不僅不能給企業(yè)帶來效益，反而會危害企業(yè)發(fā)展，因此必須重視企業(yè)信息安全管理人員的道德素養(yǎng)。信息安全必須不斷加強(qiáng)對信息安全管理人員的培訓(xùn)，切實全面提高信息安全管理人員素質(zhì)，增強(qiáng)信息安全管理人員靈活處理各項事務(wù)的能力，不斷鞏固自身基礎(chǔ)知識，培養(yǎng)信息安全管理人員的責(zé)任心和創(chuàng)新精神，真正做到與時俱進(jìn)。只有不斷提升企業(yè)的信息安全管理人員素質(zhì)，才能從整體上提升企事業(yè)單位的安全管理工作效率，促進(jìn)企業(yè)的長遠(yuǎn)發(fā)展。

2.3 強(qiáng)化信息安全監(jiān)督管理

監(jiān)督工作對于企業(yè)的發(fā)展具有重要作用和意義。良好的監(jiān)督是企事業(yè)單位正常活動的前提。沒有完善的監(jiān)督體系，企事業(yè)單位很難確保業(yè)務(wù)的正常開展。企事業(yè)單位應(yīng)強(qiáng)化信息安全監(jiān)督工作，建立相應(yīng)的監(jiān)督管理機(jī)構(gòu)，對企業(yè)內(nèi)部各項經(jīng)濟(jì)活動進(jìn)行有計劃地控制，及時發(fā)現(xiàn)企事業(yè)單位存在的問題，同時應(yīng)加強(qiáng)信息安全管理工作，不斷提升工作效率。凡事預(yù)則立，不預(yù)則廢。除了做好信息安全管理的內(nèi)部監(jiān)督工作外，不斷加強(qiáng)信息安全管理的外部監(jiān)督工作也是十分重要的環(huán)節(jié)。外部監(jiān)督主要包括新聞媒體監(jiān)督和社會大眾監(jiān)督。企事業(yè)單位管理者要認(rèn)識到內(nèi)部管理的不足之處，認(rèn)真改正有缺陷的地方，不斷完善內(nèi)部控制建設(shè)。同時，也要不斷加強(qiáng)新聞媒體的監(jiān)督作用，發(fā)揮輿論的監(jiān)督作用。內(nèi)部控制是一項巨大的完整的工程，具有完善的體系和結(jié)構(gòu)，必須保證每個環(huán)節(jié)落實到位，才能確保整個體系的良性運(yùn)行，從而發(fā)揮出最大的效益。

2.4 提高信息安全管理技巧

除此之外，信息安全管理技巧對于企事業(yè)單位的發(fā)展具有重要意義。不同的控制技巧適用于不同的企事業(yè)單位，也會產(chǎn)生不同的效果。企事業(yè)單位采取適合本單位的內(nèi)部控制技巧，可以提高企事業(yè)單位的行政效率。隨著時代的發(fā)展和進(jìn)步，傳統(tǒng)的信息安全管理技巧已經(jīng)不適用于現(xiàn)代企業(yè)。因此，企業(yè)必須根據(jù)時代的發(fā)展，提升自身信息安全管理技巧，摒棄舊有落后工作模式。另外，在實施信息安全管理技巧時，必須考慮到事業(yè)單位的實際運(yùn)作情況，切忌生搬硬套。應(yīng)根據(jù)企事業(yè)單位的具體情況，有針對性地提高信息安全管理的技巧，逐步解決企事業(yè)單位在實施信息安全管理時遇到的難題。

主要參考文獻(xiàn)

[1]侯衛(wèi)超.企業(yè)信息安全現(xiàn)狀分析與管理對策[J].科技信息：科學(xué)教研，2007（28）.

[2]王超，林峰.高校校園網(wǎng)絡(luò)安全管理策略[J].科技資訊，2007（20）.

第4篇：企業(yè)信息安全意識范文

目前，企業(yè)信息系統(tǒng)中的威脅主要來源于外部因素，隨著社會的快速發(fā)展，在激烈的市場競爭中信息占有非常重要的位置，有很多不法分子會想方設(shè)法的利用各種手段竊取企業(yè)信息，最終獲得經(jīng)濟(jì)效益。還存在部分企業(yè)在與對手競爭中為占取有利位置會采取不正當(dāng)手段獲取對方企業(yè)信息，最終達(dá)到擊敗對方的目的。目前在國內(nèi)黑客人侵企業(yè)網(wǎng)絡(luò)的主要手段有直接進(jìn)攻企業(yè)信息系統(tǒng)和傳播病毒兩種。

二、當(dāng)前企業(yè)信息化建設(shè)中完善信息安全的對策

（一）樹立正確安全意識企業(yè)在信息化發(fā)展的進(jìn)程中，應(yīng)意識到企業(yè)信息的安全問題與企業(yè)發(fā)展之間存在的關(guān)聯(lián)性。一旦企業(yè)的重要信息被竊取或外泄，企業(yè)機(jī)密被泄漏，對企業(yè)所造成的打擊是非常巨大的，同時也給競爭對手創(chuàng)造了有利的機(jī)會。因此樹立正確的安全意識對于企業(yè)是非常重要的這樣才能為后面的工作打下良好的基礎(chǔ)。

（二）選擇安全性能高的防護(hù)軟件雖然任何軟件都是有可以破解方法的，但是對于安全性能高的軟件而言，其破解的困難性也隨之增加，所以企業(yè)在選擇安全軟件時應(yīng)盡量選擇安全性能高的，不要為節(jié)省企業(yè)開支而選擇性能差的防護(hù)軟件，如果出現(xiàn)問題其造成的損失價值會遠(yuǎn)遠(yuǎn)的大于軟件價格。

（三）加強(qiáng)企業(yè)內(nèi)部信息系統(tǒng)管理首先，對于企業(yè)信息系統(tǒng)安全而言，無論是使用哪種安全軟件都會遭到攻擊和破解，所以在安全防御中信息技術(shù)并不能占據(jù)主體，而管理才是信息安全系統(tǒng)的主體。因此建立合理、規(guī)范的信息安全管理體質(zhì)對于企業(yè)而言是非常重要的，只有合理、規(guī)范的管理信息，才能為系統(tǒng)安全打下良好的基礎(chǔ)。其次，建立安全風(fēng)險評價機(jī)制。企業(yè)的信息系統(tǒng)并不是在同一技術(shù)和時間下所建設(shè)的，在日常的操作和管理過程中，任何系統(tǒng)都是會存在不同的優(yōu)勢和劣勢的因此企業(yè)應(yīng)對自身的信息系統(tǒng)做安全風(fēng)險評估，根據(jù)系統(tǒng)的不同找出影響系統(tǒng)安全的漏洞和因素，并制定出詳細(xì)的應(yīng)對策略。

（四）加強(qiáng)網(wǎng)絡(luò)安全管理意識首先，網(wǎng)絡(luò)安全管理部門應(yīng)樹立正確的網(wǎng)絡(luò)安全觀念，加強(qiáng)對網(wǎng)絡(luò)安全的維護(hù)，在企業(yè)人員培訓(xùn)中加入對人員的網(wǎng)絡(luò)安全培訓(xùn)，從而使企業(yè)工作人員自覺提升安全防范意識，擺脫傳統(tǒng)的思維模式，突破網(wǎng)絡(luò)認(rèn)識誤區(qū)。加強(qiáng)對對網(wǎng)絡(luò)黑客尤其是未成年人黑客的網(wǎng)絡(luò)道德和法律教育，提高他們的法律意識，從而使他們自覺遵守網(wǎng)絡(luò)使用的法律法規(guī)。其次，應(yīng)當(dāng)利用合理有效的方式普及對全體員工有關(guān)于網(wǎng)絡(luò)法律法規(guī)及網(wǎng)絡(luò)知識的教育，以提高他們的網(wǎng)絡(luò)安全意識。

（五）網(wǎng)絡(luò)的開放性使得網(wǎng)絡(luò)不存在絕對的安全，所以一勞永逸的安全保護(hù)策略也是不存在的由此可以看出，企業(yè)實施的網(wǎng)絡(luò)安全策隨著網(wǎng)絡(luò)問題的升級而發(fā)展的，具有動態(tài)特征。因此企業(yè)制定的策略要在符合法律法規(guī)的基礎(chǔ)上，通過網(wǎng)絡(luò)信息技術(shù)的支持，并根據(jù)網(wǎng)絡(luò)發(fā)展?fàn)顩r、策略執(zhí)行情以及突發(fā)事件處理能力進(jìn)行相應(yīng)的調(diào)整與更新，這樣才能確保安全策略的有效性。此外企業(yè)還應(yīng)綜合分析地方網(wǎng)絡(luò)安全需求，進(jìn)一步制定更加完善的網(wǎng)絡(luò)安全防護(hù)體系，以減少網(wǎng)絡(luò)安全存在的風(fēng)險，保證信息化網(wǎng)絡(luò)的安全性。絕大部分的企業(yè)信息被竊取都是不法分子通過網(wǎng)絡(luò)進(jìn)行的，因此必須加強(qiáng)企業(yè)的網(wǎng)絡(luò)管理，才能確保企業(yè)信息系統(tǒng)在安全的狀態(tài)下運(yùn)行。針對信息安全的種類和等級制定出行之有效的方案，并提前制定出如果發(fā)生了特定的信息安全事故企業(yè)應(yīng)采取哪種應(yīng)對方案。當(dāng)企業(yè)信息安全危機(jī)發(fā)生時，企業(yè)應(yīng)快速成立處理小組，根據(jù)信息安全危機(jī)的處理步驟和管理預(yù)案，做好危機(jī)處理工作，避免出現(xiàn)由于不當(dāng)處置而導(dǎo)致的連鎖危機(jī)的發(fā)生。另外，還應(yīng)在企業(yè)內(nèi)部做好信息安全的培訓(xùn)和教育工作，提高信息安全的管理意識，提高工作人員對安全危機(jī)事件的處理能力。

三、結(jié)語

第5篇：企業(yè)信息安全意識范文

【關(guān)鍵詞】：信息安全 ；問題；解決方案

【引言】：在中小企業(yè)的信息管理系統(tǒng)中存在大量的信息和文件材料，其中有對企業(yè)發(fā)展至關(guān)重要的文件材料，一旦這些信息材料在通過網(wǎng)絡(luò)傳送時被不法分子和競爭對手竊聽、泄密、篡改或偽造，將會嚴(yán)重威脅中小企業(yè)的發(fā)展，所以，提出中小企業(yè)信息安全問題的解決方案具有重要意義。

1. 中小企業(yè)信息安全存在的問題

1.1信息安全管理意識不強(qiáng)。

相對大型企業(yè)來說，中小企業(yè)信息資產(chǎn)方面的積累相對較為薄弱，并且很多時候這種積累并非企業(yè)的有意識行為，所以在正常的信息化應(yīng)用情況下，往往會忽視對自己信息資產(chǎn)的保護(hù)，而只有在信息資產(chǎn)受到破壞，形成了實際的經(jīng)濟(jì)和附加損失的情況下，才會開始意識和重視這信息安全問題。

1.2信息安全管理水平較低信息安全風(fēng)險較大。

目前的中小企業(yè)管理層人員雖然已經(jīng)認(rèn)識到了信息化的重要性，但卻沒有認(rèn)識到企業(yè)信息化管理是需要在企業(yè)管理念上進(jìn)行根本變革才能實現(xiàn)的。信息安全大約70%以上的問題都是由管理方面的原因造成的。他們大多是按照原有的管理模式進(jìn)行改造，結(jié)果造成一種信息化的假象，致使“信息化”走向了徒有其表的誤區(qū)，信息安全也沒有得到足夠重視。

1.3人才短缺專業(yè)人員匱乏。

中小企業(yè)一般很難有足夠的吸引力留住信息化及信息安全這一領(lǐng)域的人才。因此，在這種人才短缺的情況下，自然影響到企業(yè)信息化的進(jìn)程。主要表現(xiàn)為：企業(yè)一般沒有自己的信息化建設(shè)人才隊伍。信息技術(shù)專業(yè)人員的知識結(jié)構(gòu)也不能達(dá)到要求，掌握技術(shù)的不懂管理，懂管理的又不會技術(shù)，而且信息安全往往沒有專業(yè)人員進(jìn)行管理。

1.4資金短缺。

中小企業(yè)的資金狀況決定了其信息化投入遇到的限制相對較多。企業(yè)相對有限的資金，一般要優(yōu)先投入到直接促進(jìn)公司業(yè)績增長的方向，而無形中就造成了信息資產(chǎn)所面臨的巨大風(fēng)險；特別是在當(dāng)今越來越多的企業(yè)業(yè)務(wù)與互聯(lián)網(wǎng)有密切的聯(lián)系，甚至一些企業(yè)的業(yè)務(wù)完全建立在互聯(lián)網(wǎng)之上，以平均不到企業(yè)總收入1%的信息安全投入，怎么能保障這些業(yè)務(wù)的正常運(yùn)行？盡可能使投入比例接近常規(guī)，至少應(yīng)該使企業(yè)核心信息資產(chǎn)的安全得到保證，從實際情況來講，在良好的安全理念指導(dǎo)下，進(jìn)行細(xì)致的規(guī)劃和評估，通過適當(dāng)?shù)耐度胍彩强梢赃_(dá)到較好的整體效果，因為在中小企業(yè)的應(yīng)用情境下，信息安全防御廣度是相對容易控制的；設(shè)計出體現(xiàn)其規(guī)律和特點(diǎn)的真正適合中小企業(yè)的信息安全產(chǎn)品，才能從根本上滿足中小企業(yè)信息安全需求。

1.5中小企業(yè)的信息倫理意識不強(qiáng)。

由于某些員工的信息倫理原因而帶來的信息安全問題屢見不鮮。在很多時候，企業(yè)的員工都會因為某些不經(jīng)意的行為對企業(yè)的信息資產(chǎn)造成破壞。尤其是在中小企業(yè)中員工的信息安全意識往往相對比較落后，對于互聯(lián)網(wǎng)上存在的威脅往往缺乏足夠的重視，而企業(yè)的管理層對于網(wǎng)絡(luò)的使用也沒有很好的管理手段。

2.中小企業(yè)信息安全問題的解決措施

2.1從企業(yè)的自身情況考慮

要解決中小企業(yè)網(wǎng)絡(luò)信息安全問題，不能僅依靠企業(yè)的安全設(shè)施和網(wǎng)絡(luò)安全產(chǎn)品，而應(yīng)該考慮如何提高企業(yè)自身的網(wǎng)絡(luò)安全意識，將信息安全問題提升到重視的高度，要重視“人”的因素。具體表現(xiàn)在以下兩個方面：

2.1.1提高安全認(rèn)識

定期對企業(yè)員工進(jìn)行網(wǎng)絡(luò)安全教育培訓(xùn)深化企業(yè)的全員信息安全意識，企業(yè)管理層要制定完整的信息安全策略并貫徹執(zhí)行，對安全問題要做到預(yù)先考慮和防備。

2.2.2要求中小企業(yè)在上網(wǎng)的過程中要做到“一做三不要”

首先將存有重要數(shù)據(jù)的電腦堅決同網(wǎng)絡(luò)隔離，同時設(shè)置開機(jī)密碼，并將軟驅(qū)、硬盤加密鎖定，進(jìn)行三級保護(hù)，其次不要在自己的系統(tǒng)之內(nèi)使用任何具有記憶命令的程序，因為這些程序不但能記錄用戶的擊鍵動作甚至能以快照的形式記錄到屏幕上發(fā)生的一切，同時不在網(wǎng)上的任何場合下隨意透露自己企業(yè)的任何安全信息，最后不要啟動系統(tǒng)資源共享功能，要盡量減少企業(yè)資源暴露在外部網(wǎng)上的機(jī)會和次數(shù)，減少黑客進(jìn)攻的機(jī)會【1】。

2.2從網(wǎng)絡(luò)安全角度考慮

2.2.1從網(wǎng)絡(luò)安全服務(wù)商的角度來說，服務(wù)商要重視中小企業(yè)對網(wǎng)絡(luò)安全解決方案的需要，充分考慮中小企業(yè)的現(xiàn)實狀況，仔細(xì)調(diào)查和分析中小企業(yè)的安全因素，開發(fā)出適合中小企業(yè)實際情況的網(wǎng)絡(luò)安全綜合解決方案。此外，還應(yīng)該注意投入大量精力在安全策略的施行及安全教育的開展方面，這樣才能為中小企業(yè)信息安全工作的順利開展提供堅實的保證。

2.2.2要用防火墻將企業(yè)的局域網(wǎng)（Intranet）與互聯(lián)網(wǎng)之間進(jìn)行隔離。由于網(wǎng)絡(luò)攻擊不斷升級，對應(yīng)的防火墻軟件也應(yīng)該及時跟著升級，這樣就要求我們企業(yè)的網(wǎng)管人員要經(jīng)常到有P網(wǎng)站上下載最新的補(bǔ)丁程序，以便進(jìn)行網(wǎng)絡(luò)維護(hù)，同時經(jīng)常掃描整個內(nèi)部網(wǎng)絡(luò)，以發(fā)現(xiàn)任何安全隱患并及時更改，才能做到有備無患【2】。

2.2.3企業(yè)用戶最好自己學(xué)會如何調(diào)試和管理自己的局域網(wǎng)系統(tǒng)，不要經(jīng)常請別人來協(xié)助管理。中小企業(yè)要培養(yǎng)自己解決安全問題的能力，提高自己的信息安全技術(shù)。如果缺乏這方面的人才就應(yīng)該去引進(jìn)或者培養(yǎng)相關(guān)人才。

2.2.4內(nèi)部網(wǎng)絡(luò)系統(tǒng)的密碼要定期修改。動態(tài)的密碼有助于防止黑客的攻擊以及來自內(nèi)部人員的泄密。

2.2.5要經(jīng)常使用殺毒軟件來維護(hù)局域網(wǎng)系統(tǒng)不受病毒攻擊。現(xiàn)在國內(nèi)的殺毒軟件都推出了清除某些特洛伊木馬的功能，可以不定期地在脫機(jī)的情況下進(jìn)行檢查和清除。

2.2.6同其它企業(yè)進(jìn)行聯(lián)合，共同抵制黑客的入侵，一旦被入侵要及時向有關(guān)部門匯報，并共同查找入侵來源，鎖定黑客IP地址。將網(wǎng)絡(luò)的TCP起時限制在15分鐘以內(nèi)，減少黑客入侵的機(jī)會。并擴(kuò)大連接表，增加黑客填寫整個連接表的難度【3】。

小結(jié)

綜上所述，我國中小企業(yè)的信息安全問題日益突出。由于受到管理水平、資金、技術(shù)、 意識等幾方面的制約，中小企業(yè)完全依靠自己解決所有信息化安全問題是不現(xiàn)實的，它們很難使用大企業(yè)中那種復(fù)雜的信息安全系統(tǒng)，因此迫切需要適合中小企業(yè)自身情況的綜合解決措施。

【參考文獻(xiàn)】：

【1】 楊江；周小玲； 基于企業(yè)的危機(jī)信息管理[J]；科技情報開發(fā)與經(jīng)濟(jì)；2009年32期

第6篇：企業(yè)信息安全意識范文

【關(guān)鍵詞】信息系統(tǒng) 身份鑒別 漏洞掃描 信息安全管理體系（ISMS）

近年來，“Locky勒索軟件變種”、““水牢漏洞””、“支付寶實名認(rèn)證信息漏洞”、“京東12G用戶數(shù)據(jù)泄露”、“700元買他人隱私信息”等信息安全事件層出不窮，引起各國領(lǐng)導(dǎo)的重視和社會關(guān)注。為提高網(wǎng)絡(luò)安全和互聯(lián)網(wǎng)治理，2014年，我國成立了以主席為最高領(lǐng)導(dǎo)的信息安全管理機(jī)構(gòu)-中央網(wǎng)信辦；2016年11月，在中國烏鎮(zhèn)舉行了《第三屆世界互聯(lián)網(wǎng)大會》。通過一系列的行為，為求現(xiàn)有的網(wǎng)絡(luò)系統(tǒng)能夠提高安全能力，為廣大社會群眾提供服務(wù)的同時，能夠保證人民的利益。

信息系統(tǒng)是由硬件、軟件、信息、規(guī)章制度等組成，主要以處理信息流為主，信息系統(tǒng)的網(wǎng)絡(luò)安全備受關(guān)注。企業(yè)在應(yīng)對外部攻擊，安全風(fēng)險的同時，當(dāng)務(wù)之急是建立一套完整的信息安全管理體系。在統(tǒng)一的體系管控下，分布實施，開展各項安全工作。

目前，大多數(shù)企業(yè)的信息安全工作比較單一，主要是部署安全防護(hù)設(shè)備，進(jìn)行簡單的配置。信息安全工作不全面，安全管理相對薄弱，不足以抵抗來自外部的威脅。

1 信息安全問題

1.1 身份鑒別不嚴(yán)格

考慮到方便記憶和頻繁的登錄操作，企業(yè)普遍存在管理員賬號簡單或者直接采用系統(tǒng)的默認(rèn)賬號現(xiàn)象，并且基本不設(shè)定管理員的權(quán)限，默認(rèn)使用最大權(quán)限。一旦攻擊者通過猜測或其他手段獲得管理員賬號，攻擊者如入無人之境，可以任意妄為。最終可造成數(shù)據(jù)泄露，系統(tǒng)癱瘓等不可估量的嚴(yán)重后果。注重信息安全的企業(yè)會修改默認(rèn)管理員賬號，設(shè)定較為復(fù)雜的口令，并定期進(jìn)行口令更換。但是也僅僅使用一種身份鑒別技術(shù)，不足以抵抗外部攻擊。

1.2 外部攻擊，層出不窮

隨著計算機(jī)技術(shù)的發(fā)展，信息系統(tǒng)的外部攻簦層出不窮。攻擊者利用網(wǎng)絡(luò)系統(tǒng)的漏洞和缺陷，攻擊系統(tǒng)軟件、硬件和數(shù)據(jù)，進(jìn)行非法操作，造成系統(tǒng)癱瘓或者數(shù)據(jù)丟失。 目前主要存在的攻擊手段包括掃描技術(shù)、郵件

攻擊、拒絕服務(wù)攻擊、口令攻擊、惡意程序等等；入侵常用的步驟包括采用漏洞掃描工具進(jìn)行掃描、選擇合適的方式入侵、獲取系統(tǒng)的一定權(quán)限、提升為系統(tǒng)最高權(quán)限、安裝系統(tǒng)后門、獲取敏感信息或者其他攻擊目的。攻擊者會根據(jù)系統(tǒng)特性和網(wǎng)絡(luò)結(jié)構(gòu)采取不同的手段對網(wǎng)絡(luò)進(jìn)行攻擊，如果不采取相應(yīng)的防御手段，很容易被黑客攻擊，造成損失。

1.3 員工安全意識薄弱

很多互聯(lián)網(wǎng)企業(yè)的員工缺乏信息安全意識，存在離開辦公電腦時不鎖屏現(xiàn)象；將重要客戶信息、合同等敏感材料放在辦公桌上或者不及時取走打印機(jī)房內(nèi)的材料；優(yōu)盤未經(jīng)殺毒直接連接公司電腦；隨意點(diǎn)擊不明郵件的鏈接；更有員工將系統(tǒng)賬號、密碼粘貼在辦公桌上；在系統(tǒng)建設(shè)階段，大到管理者，小到開發(fā)人員、測試人員，均注重技術(shù)實現(xiàn)和業(yè)務(wù)要求，而忽略了系統(tǒng)的安全和管理。由于員工的信息安全意識較為薄弱，很容易造成公司信息泄露，進(jìn)而導(dǎo)致公司的損失。

1.4 內(nèi)部管理制度不完善

俗話說，“不以規(guī)矩，不能成方圓”。未形成全面的信息安全管理制度體系，缺失部分安全策略、管理制度、操作規(guī)程，可能導(dǎo)致信息安全管理制度體系存在疏漏，部分管理內(nèi)容無法有效實施。使相關(guān)工作過程缺乏規(guī)范依據(jù)和質(zhì)量保障，進(jìn)而影響到信息系統(tǒng)的安全建設(shè)和安全運(yùn)維。比如在軟件開發(fā)過程中，開發(fā)人員會因為各種原因而忽略安全開發(fā)（存在開發(fā)人員沒有意識到代碼安全開發(fā)的問題；有些開發(fā)人員不愿意使用邊界檢查，怕影響系統(tǒng)的效率和性能；當(dāng)然也存在許多遺留代碼存在問題的現(xiàn)象，從而導(dǎo)致二次開發(fā)同樣產(chǎn)生問題），可能導(dǎo)致系統(tǒng)存在后門，被黑客攻擊。

2 防范措施

企業(yè)需依據(jù)《信息安全等級保護(hù)管理辦法（公通字[2007]43號）》、《中華人民共和國網(wǎng)絡(luò)安全法》》、《ISO/IEC 27001》等標(biāo)準(zhǔn)和法律法規(guī)進(jìn)行信息系統(tǒng)安全建設(shè)工作。測評機(jī)構(gòu)在網(wǎng)安的要求下，對企業(yè)信息系統(tǒng)的安全進(jìn)行測評，并出具相應(yīng)測評結(jié)果。根據(jù)測評結(jié)果和整改建議，采用相應(yīng)的技術(shù)手段（安全認(rèn)證、入侵檢測、漏洞掃描、監(jiān)控管理、數(shù)據(jù)備份與加密等）和管理措施（安全團(tuán)隊、教育與培訓(xùn)、管理體系等）對信息系統(tǒng)進(jìn)行整改。如圖1所示。

2.1 技術(shù)手段

2.1.1 安全認(rèn)證

身份鑒別是指在計算機(jī)系統(tǒng)中確認(rèn)執(zhí)行者身份的過程，以確定該用戶是否具有訪問某種資源的權(quán)限，防止非法用戶訪問系統(tǒng)資源，保障合法用戶訪問授權(quán)的信息系統(tǒng)。凡登錄系統(tǒng)的用戶，均需進(jìn)行身份鑒別和標(biāo)識，且標(biāo)識需具有唯一性。用戶身份鑒別機(jī)制一般分為用戶知道的信息、用戶持有的信息、用戶生物特征信息三種。針對不同鑒別機(jī)制，常用的鑒別技術(shù)（認(rèn)證技術(shù)）如表1所示。

不同的認(rèn)證技術(shù)，在安全性、便捷性方面存在不同的特性。比如USB-Key的安全等級較高，但會遇到各種問題，導(dǎo)致便捷性較差（比如存在軟硬件適配性問題，移動終端無USB口等）。一般認(rèn)為在相同的便捷性前提下，選擇安全等級較高的認(rèn)證技術(shù)。針對重要系統(tǒng)應(yīng)采用雙因子認(rèn)證技術(shù)。

2.1.2 入侵檢測

入侵檢測能夠依據(jù)安全策略，對網(wǎng)絡(luò)和系統(tǒng)進(jìn)行監(jiān)視，發(fā)現(xiàn)各種攻擊行為，能夠?qū)崟r保護(hù)內(nèi)部攻擊、外部攻擊和誤操作的情況，保證信息系統(tǒng)網(wǎng)絡(luò)資源的安全。入侵檢測系統(tǒng)（IDS）是一個旁路監(jiān)聽設(shè)備，需要部署在網(wǎng)絡(luò)內(nèi)部。如果信息系統(tǒng)中包含了多個邏輯隔離的子網(wǎng)，則需要在整個信息系統(tǒng)中實施分布部署，從而掌控整個信息系統(tǒng)安全狀況。

2.1.3 漏洞掃描

漏洞掃描是指基于漏洞數(shù)據(jù)庫，通過掃描等手段對目標(biāo)系統(tǒng)的安全脆弱性進(jìn)行檢測，發(fā)現(xiàn)可利用的漏洞的一種安全檢測行為。常見的漏洞掃描類型主要包括系統(tǒng)安全隱患掃描、應(yīng)用安全隱患掃描、數(shù)據(jù)庫安全配置隱患掃描等。系統(tǒng)安全隱患掃描根據(jù)掃描方式的不同，分為基于網(wǎng)絡(luò)的和基于主機(jī)的系統(tǒng)安全掃描，可以發(fā)現(xiàn)系統(tǒng)存在的安全漏洞、安全配置隱患、弱口令、服務(wù)和端口等。應(yīng)用安全隱患掃描可以掃描出Web應(yīng)用中的SQL注入、Cookie注入、XPath注入、LDAP注入、跨站腳本、第三方軟件等大部分漏洞。數(shù)據(jù)庫安全配置隱患掃描可以檢測出數(shù)據(jù)庫的DBMS漏洞、缺省配置、權(quán)限提升漏洞、緩沖區(qū)溢出、補(bǔ)丁未升級等自身漏洞。

漏洞掃描主要用于評估主機(jī)操作系統(tǒng)、網(wǎng)絡(luò)和安全設(shè)備操作系統(tǒng)、數(shù)據(jù)庫以及應(yīng)用平臺軟件的安全情況，它能有效避免黑客攻擊行為，做到防患于未然。

2.1.4 監(jiān)控管理

網(wǎng)絡(luò)監(jiān)控主要包括上網(wǎng)監(jiān)控和內(nèi)網(wǎng)監(jiān)控兩部分。目前市場上已做的完整監(jiān)控軟件已包含上述功能。網(wǎng)絡(luò)監(jiān)控需結(jié)合網(wǎng)絡(luò)拓?fù)?，在網(wǎng)絡(luò)關(guān)鍵點(diǎn)接入監(jiān)控工具監(jiān)測當(dāng)前網(wǎng)絡(luò)數(shù)據(jù)流量，分析可疑信息流，通過截包解碼分析的方式驗證系統(tǒng)數(shù)據(jù)傳輸?shù)陌踩?。例如Solarwinds網(wǎng)絡(luò)監(jiān)控平臺，它包括Network Performance Monitoring、Network Traffic Analysis、WAN Performance （IP SLA） 、IP Address Management、Network Configuration Management、Application Performance Monitoring等。可以執(zhí)行全面的帶寬性能監(jiān)控和故障管理；可以分析網(wǎng)絡(luò)流量；可以對服務(wù)器上運(yùn)行的服務(wù)和進(jìn)程進(jìn)行自動監(jiān)控，并在故障發(fā)生時及時告警；可對VOIP的相關(guān)參數(shù)進(jìn)行監(jiān)控；可以通過直觀的網(wǎng)絡(luò)控制臺管理整個IP架構(gòu)；可快速檢測、診斷及解決虛擬化環(huán)境的網(wǎng)絡(luò)性能；強(qiáng)大的應(yīng)用程序監(jiān)視、告警、報告功能等。

2.1.5 數(shù)據(jù)備份與加密

企業(yè)高度重視業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)和軟件系統(tǒng)。數(shù)據(jù)在存儲時應(yīng)加密存儲，防止黑客攻擊系統(tǒng)，輕易獲得敏感數(shù)據(jù)，造成公司的重大經(jīng)濟(jì)損失。常用的加密算法包括對稱加密（DES、AES）和不對稱加密算法（RSA）。密碼技術(shù)不僅可以防止信息泄露，同時可以保證信息的完整性和不可抵賴性。例如現(xiàn)在比較成熟的哈希算法、數(shù)字簽名、數(shù)字證書等。

除了對數(shù)據(jù)進(jìn)行加密存儲外，由于存在數(shù)據(jù)丟失、系統(tǒng)斷電、機(jī)房著火等意外，需對系統(tǒng)數(shù)據(jù)進(jìn)行備份。按照備份環(huán)境，備份分為本地備份和異地備份；按照備份數(shù)據(jù)量的多少，備份分為全備、增備、差分備份和按需備份。各企業(yè)需根據(jù)自己的業(yè)務(wù)要求和實際情況，選取合適的備份方式進(jìn)行備份。理想的備份是綜合了軟件數(shù)據(jù)備份和硬件冗余設(shè)計。

2.2 管理措施

2.2.1 安全團(tuán)隊

企業(yè)應(yīng)設(shè)立能夠統(tǒng)一指揮、協(xié)調(diào)有序、組織有力的專業(yè)的安全管理團(tuán)隊負(fù)責(zé)信息安全工作，該團(tuán)隊包括信息安全委員會，信息安全部門及其成員。安全部門負(fù)責(zé)人除了具備極強(qiáng)的業(yè)務(wù)處理能力，還需要有管理能力、溝通能力、應(yīng)變能力。目前安全團(tuán)隊的從業(yè)人員數(shù)量在逐漸增加，話語權(quán)在增多，肩上的擔(dān)子也越來越大。安全團(tuán)隊需要定好自己的位，多檢查少運(yùn)維，多幫企業(yè)解決問題。即安全團(tuán)隊修路，各部門在上面跑自己的需求。

2.2.2 教育c培訓(xùn)

保護(hù)企業(yè)信息安全，未雨綢繆比亡羊補(bǔ)牢要強(qiáng)。培養(yǎng)企業(yè)信息安全意識文化，樹立員工信息安全責(zé)任心，是解決企業(yè)信息安全的關(guān)鍵手段之一。企業(yè)的競爭實際上是人才的競爭，除了定期進(jìn)行技能培訓(xùn)外，還需對員工的安全意識進(jìn)行教育和培訓(xùn)。信息安全團(tuán)隊?wèi)?yīng)制定信息安全意識教育和培訓(xùn)計劃，包括但不限于在線、郵件、海報（標(biāo)語）、視頻、專場、外培等形式。通過對員工的安全意識教育，能從內(nèi)部預(yù)防企業(yè)安全事件的發(fā)生，提高企業(yè)的安全保障能力。

2.2.3 管理體系

隨著計算機(jī)攻擊技術(shù)的不斷提高，攻擊事件越來越多，且存在部分攻擊來自公司組織內(nèi)部。單靠個人的力量已無法保障信息系統(tǒng)的安全。因此，企業(yè)需建立自上而下的信息安全管理體系（ISMS， Information Security Management System），以達(dá)到分工明確，職責(zé)清晰，安全開發(fā)，可靠運(yùn)維。安全管理制度作為安全管理體系的綱領(lǐng)性文件，在信息系統(tǒng)的整個生命周期中起著至關(guān)重要的作用。不同機(jī)構(gòu)在建立與完善信息安全管理體系時，可根據(jù)自身情況，采取不同的方法，一般經(jīng)過PDCA四個基本階段（Plan：策劃與準(zhǔn)備；Do文件的編制；Check運(yùn)行；Action審核、評審和持續(xù)改進(jìn)）?？梢罁?jù)ISO27000，信息安全等級保護(hù)等，從制度、安全機(jī)構(gòu)、人員、系統(tǒng)建設(shè)和系統(tǒng)運(yùn)維5個方面去制定信息安全管理體系。通常，信息安全管理體系主要由總體方針和政策、安全管理制度、日常操作規(guī)程和記錄文檔組成，如圖2所示。

3 結(jié)語

國家不斷加強(qiáng)對各個互聯(lián)網(wǎng)企業(yè)、金融、銀行等的信息安全工作監(jiān)督，通過ISO27000、信息安全等級保護(hù)測評、電子銀行評估、互聯(lián)網(wǎng)網(wǎng)站專項安全測評等方式，規(guī)范企業(yè)的信息安全建設(shè)工作。同樣，信息安全工作長期面臨挑戰(zhàn)，不能一蹴而就，需要相關(guān)安全工作人員戮力同心、同舟共濟(jì)、相互扶持、攜手共建信息安全的共同體。

參考文獻(xiàn)

[1]沈昌祥，張煥國，馮登國等.信息安全綜述[J].中國科學(xué)雜志社，2007（37）：129-150.

[2]李嘉，蔡立志，張春柳等.信息系統(tǒng)安全等級保護(hù)測評實踐[M].哈爾濱工程大學(xué)出版社，2016（01）.

[3]蔣欣.計算機(jī)網(wǎng)絡(luò)戰(zhàn)防御技術(shù)分析[J].指揮控制與仿真，2006（08），28-4.

作者簡介

康玉婷（1988-），女，上海市人。碩士學(xué)位。現(xiàn)為信息安全等級測評師、初級工程師。主要研究方向為信息安全。

作者單位

第7篇：企業(yè)信息安全意識范文

論文摘要：伴隨著企業(yè)信息化的發(fā)展，信息安全越來越受到重視。針對當(dāng)前信息安全存在的問題，作者進(jìn)行了調(diào)查，分析了其中的原因，最后從管理學(xué)的角度提出了相關(guān)的策略和建議。

隨著信息技術(shù)的發(fā)展和網(wǎng)絡(luò)化應(yīng)用的普遍推廣，各機(jī)關(guān)組織和企事業(yè)單位都開展各類管理業(yè)務(wù)的信息化建立。企業(yè)的發(fā)展運(yùn)作離不開信息系統(tǒng)的安全運(yùn)行。信息安全通過保護(hù)企業(yè)信息的機(jī)密性、完整性和可用性，不僅保護(hù)了企業(yè)各類信息資產(chǎn)的安全，還能增強(qiáng)企業(yè)的核心競爭力，維護(hù)企業(yè)的形象和信譽(yù)。信息安全對企業(yè)的生存和發(fā)展的是至關(guān)重要的，需要從戰(zhàn)略的高度對信息安全進(jìn)行規(guī)劃和管理。

一、企業(yè)中信息安全管理經(jīng)常存在的問題

日常安全管理中存在的主要問題，首先是用戶安全意識和觀念薄弱的占58%，第二位的是網(wǎng)絡(luò)安全管理人員缺乏培訓(xùn)，占39%；其后，依次是保障經(jīng)費(fèi)投入不足、缺乏安全信息共享和安全產(chǎn)品不能滿足要求。

不僅在日常管理中，在技術(shù)管理方面也存在一定的問題。在CSDN泄密門事件中，專業(yè)IT博客“月光博客”撰文表示“整個事件最不可思議的地方在于，像CSDN這樣的以程序員和開發(fā)為核心的大型網(wǎng)站，居然采用明文存儲密碼”，“稍微懂一點(diǎn)編程的程序員都知道，為了用戶的安全，應(yīng)該在數(shù)據(jù)庫里保存用戶密碼的加密信息，這樣黑客即使下載了數(shù)據(jù)庫，破解用戶密碼也不是一件容易的事情” ?？梢姡行┥婕凹夹g(shù)方面的問題，也并不是單純的技術(shù)問題，而是與技術(shù)人員安全意識不強(qiáng)、責(zé)任心不到位有關(guān)。

為了了解企業(yè)內(nèi)部員工在信息安全問題上的看法及所做的努力，我們對一家電子商務(wù)企業(yè)和一家銀行的部分工作人員進(jìn)行了問卷和訪談?wù){(diào)查，發(fā)現(xiàn)在企業(yè)員工中存在如下一些問題：

1.是信息安全意識方面，被調(diào)查者認(rèn)為信息安全對企業(yè)和個人都非常重要。但大多數(shù)受訪者對信息安全的問題了解很少等。

2.很多受訪者認(rèn)為信息安全屬于技術(shù)人員的事情；與技術(shù)人員的交流非常少；忙于業(yè)務(wù)，沒有時間去處理。

3.是用戶認(rèn)為信息安全管理措施效果不好。有些信息安全行為的規(guī)范標(biāo)準(zhǔn)雖然掛在網(wǎng)上或貼在墻上，很少有人去關(guān)注；公司發(fā)動的信息安全的培訓(xùn)活動沒有收到好的效果。

二、信息安全問題的根源

通過對調(diào)查的結(jié)果進(jìn)行深入分析，發(fā)現(xiàn)導(dǎo)致信息安全事件頻發(fā)、風(fēng)險損失嚴(yán)重的原因從根本上來說，有以下幾個方面：

1.信息安全是一個多維問題，涉及到企業(yè)管理的方方面面。企業(yè)在信息安全問題上往往涉及多個部門。有些情況下，無法明確責(zé)任，使得信息安全得不到應(yīng)有的重視以及有效的管理。

2.風(fēng)險平衡理論認(rèn)為，人會愿意承擔(dān)一定程度的風(fēng)險。這與你采用多少的安全防護(hù)措施無關(guān)。有時即使有條件可以到達(dá)絕對安全的狀態(tài)，由于人性的緣故，也不會那樣去做。

3.信息安全與效率和便利性本身是矛盾的。信息安全加強(qiáng)了，受到的約束也就多了，相應(yīng)地效率也就降低了。比如簡單規(guī)律地密碼，可以不必費(fèi)力去記；插入U盤時進(jìn)行殺毒，必然要耽誤時間；沒有接入網(wǎng)絡(luò)，不可能受到網(wǎng)絡(luò)攻擊，但也就失去了網(wǎng)上瀏覽所需信息、網(wǎng)絡(luò)交流的自由，因此有人半開玩笑地說：“最安全的計算機(jī)是拔掉網(wǎng)絡(luò)的那臺計算機(jī)”。

4.由于某些緣故，網(wǎng)絡(luò)中總是存在黑客，專門竊取信息或破壞網(wǎng)絡(luò)系統(tǒng)。他們的水平都非常專業(yè)，一般的用戶難以預(yù)防。所謂“道高一尺，魔高一丈”，信息安全的水平總是在這種攻擊與防守中進(jìn)步的。

5.信息安全問題的不確定性。信息安全問題的不確定性主要指是否發(fā)生風(fēng)險的不確定性、無法精確地評估當(dāng)前所面臨的風(fēng)險以及風(fēng)險發(fā)生所帶來的損失的難以把握。

所有這一切因素，都使得信息安全無法得到有效的關(guān)注和重視，無法采用有效的措施來預(yù)防和避免。這也是導(dǎo)致信息安全事件發(fā)生頻率居高不下，風(fēng)險損失較大的主要原因。 轉(zhuǎn)貼于

三、相關(guān)的建議和策略

針對企業(yè)信息安全的問題，文章運(yùn)用管理學(xué)的理論進(jìn)行論述。企業(yè)管理涉及四個功能：計劃、組織、領(lǐng)導(dǎo)、控制 。

1.從計劃的角度來看：企業(yè)應(yīng)當(dāng)確立信息安全的發(fā)展戰(zhàn)略，從戰(zhàn)略的高度來對待和管理信息安全，確保信息安全所引發(fā)的風(fēng)險達(dá)到可以接受的范圍之內(nèi)。從全局角度制定信息安全的策略，確立信息安全的目標(biāo)，以及實現(xiàn)目標(biāo)需要的行動方案。

2.從組織的角度來看：人力資源的管理的觀點(diǎn)認(rèn)為，企業(yè)的組織結(jié)構(gòu)，取決于組織戰(zhàn)略 。在許多企業(yè)組織結(jié)構(gòu)中，只有技術(shù)部門，沒有信息安全管理部門。S.H.(basie) von Solms 曾討論過，技術(shù)管理與安全管理兩個部門必須設(shè)置成為兩個獨(dú)立的部門，否則無法保證安全評估的客觀性。因此有必要設(shè)置一個專門負(fù)責(zé)信息安全管理的部門，這個部門并不負(fù)責(zé)具體的技術(shù)，但是要懂技術(shù)，主要是開展企業(yè)的安全培訓(xùn)工作、日常的安全管理工作、對存在的風(fēng)險進(jìn)行評估，最大限度地降低安全風(fēng)險。

3.從領(lǐng)導(dǎo)的角度來看：根據(jù)wilde的風(fēng)險平衡理論，一個人會愿意承擔(dān)一定程度的風(fēng)險。 “風(fēng)險平衡”觀念會讓整個機(jī)構(gòu)處于盲目樂觀的過度自信狀態(tài)，不管是企業(yè)的員工還是管理者都傾向于追求效率 ，從而忽視信息安全的投入。

在企業(yè)的管理過程中，應(yīng)當(dāng)加強(qiáng)信息安全、風(fēng)險意識方面的培訓(xùn)和教育，增進(jìn)員工與技術(shù)人員的面對面的溝通與交流，開展有效的安全意識活動。

4.從控制的角度來看：對風(fēng)險的控制要求企業(yè)對自己的安全狀況不斷評估，時時防范。這就要求安全管理部門每隔一定時間向上匯報信息安全的進(jìn)展情況，定期進(jìn)行風(fēng)險評估工作。

文章從管理學(xué)的角度來分析信息安全風(fēng)險管理，對信息安全問題做了實地調(diào)查，分析了目前信息安全存在的一些問題，并對存在的問題的根源進(jìn)行了深入的分析，最后文章運(yùn)用管理學(xué)的理論，從計劃、組織、領(lǐng)導(dǎo)、控制四個角度出了相應(yīng)的建議和策略。

參考文獻(xiàn)

[1]Wilde GJS.The theory of risk homeostasis: implications for safety and health. Risk Analysis 1982;2(04):209-25.

[2]秦志華.企業(yè)管理[M].大連:東北財經(jīng)大學(xué)出版社，2011，1.

[3]廖三余，曹會勇.人力資源管理[M].北京:清華大學(xué)出版社，2011，9.

第8篇：企業(yè)信息安全意識范文

關(guān)鍵詞 信息安全事故；安全管理；事故致因理論

中圖分類號 F49

文獻(xiàn)標(biāo)識碼 A

文章編號 1006-5024（2013）01-0055-04

一、引言

在信息化浪潮席卷全球的今天，信息的重要性不言而喻。我國國民經(jīng)濟(jì)和社會信息化建設(shè)進(jìn)程全面加快，網(wǎng)絡(luò)與信息系統(tǒng)的基礎(chǔ)性、全局性作用日益增強(qiáng)，信息技術(shù)在提高企業(yè)服務(wù)水平、促進(jìn)業(yè)務(wù)創(chuàng)新、提升核心競爭力等方面發(fā)揮了重要作用。但是，在進(jìn)行信息化建設(shè)的同時，各種信息安全事故卻頻繁發(fā)生。據(jù)普華永道2010年度全球信息安全調(diào)查報告顯示，中國企業(yè)信息安全事故發(fā)生率遠(yuǎn)遠(yuǎn)高于世界平均水平。網(wǎng)絡(luò)事故、數(shù)據(jù)事故及系統(tǒng)事故是中國企業(yè)常見的三大信息安全事故，發(fā)生率分別為51%、45%和40%，而相同事故在全球范圍內(nèi)的發(fā)生率則為25%、27%與23%。

大量文獻(xiàn)和事實表明，信息的特殊性決定了信息安全事故的高發(fā)性。信息具有易傳播、易擴(kuò)散、易毀損的特點(diǎn)，信息資產(chǎn)比傳統(tǒng)的實物資產(chǎn)更加脆弱，而其運(yùn)作的風(fēng)險、收益和機(jī)會卻比實物資產(chǎn)大得多。企業(yè)對信息系統(tǒng)不斷增強(qiáng)的依賴性也增大了重要信息受到嚴(yán)重侵?jǐn)_和破壞的風(fēng)險，而這些風(fēng)險常導(dǎo)致企業(yè)資產(chǎn)受損或業(yè)務(wù)中斷。

目前，對于信息安全的研究大多集中于技術(shù)層面，從早期的加密技術(shù)、數(shù)據(jù)備份、防病毒到近期網(wǎng)絡(luò)環(huán)境下的防火墻、入侵檢測、身份認(rèn)證等，而從管理方面和流程優(yōu)化方面研究的較少。Ross Anderson（2001）認(rèn)為，信息安全的經(jīng)濟(jì)管理研究在某種程度上比技術(shù)研究更為重要。傅毓敏（2010）認(rèn)為，中國企業(yè)對信息安全管理人員和流程的重視不足是導(dǎo)致相關(guān)安全事故率居高不下的主要原因。因此，有必要系統(tǒng)分析企業(yè)信息安全事故發(fā)生的機(jī)理，以管理因素研究為核心，找出事故發(fā)生的根本原因。通過控制事故致因因素預(yù)防企業(yè)信息安全事故的發(fā)生，將對企業(yè)的信息安全管理有一定的指導(dǎo)意義。

本文將生產(chǎn)領(lǐng)域的事故致因理論應(yīng)用到信息安全事故分析中，系統(tǒng)分析企業(yè)信息安全事故的形成機(jī)理，將信息安全事故致因因素分為四部分，即環(huán)境因素、人員因素、技術(shù)因素和設(shè)備因素，分析各因素對信息安全事故的影響，構(gòu)建信息安全事故致因因素魚刺圖，并提出針對性的防范措施。

二、理論基礎(chǔ)

（一）國內(nèi)外從管理角度對信息安全事故的研究

國內(nèi)外的學(xué)者從不同角度對信息安全事故原因進(jìn)行了研究。Van Niekerk（2010）認(rèn)為企業(yè)信息安全文化氛圍是減少人為因素所導(dǎo)致的信息安全事故的關(guān)鍵；Knapp（2009）等先后對信息安全政策和信息安全事故之間的關(guān)系進(jìn)行了研究；Herath（2009）通過問卷調(diào)研的實證研究驗證了懲罰力度、壓力和員工的效果認(rèn)知會對其安全行為產(chǎn)生影響；Albrechtsen（2010）發(fā)現(xiàn)員工參與、集體反思和群體作用可以提高員工的信息安全意識，并改善其安全行為；Stanton（2005）研究發(fā)現(xiàn)終端用戶的安全行為會對企業(yè)信息安全管理產(chǎn)生影響；Ashenden（2008）通過實證研究發(fā)現(xiàn)信息安全管理人員、高層管理者和終端用戶之間存在信息鴻溝，雙方在理解上的差異會對企業(yè)的信息安全管理產(chǎn)生不利影響，增加了信息安全事故發(fā)生的幾率。此外，Vroom（2004）、Flowerday（2005）等學(xué)者也先后對此進(jìn)行了研究。

與國外相比，國內(nèi)對于信息安全的研究多集中于技術(shù)層面，涉及管理層面的研究較少。沈昌祥、張煥國、馮登國（2007）系統(tǒng)地闡述了信息安全理論及相關(guān)技術(shù)的發(fā)展；官巍、胡若（2007）從社會環(huán)境、商業(yè)、組織和個人的角度分析了電子商務(wù)的信息安全問題；劉福來（2010）對中小企業(yè)信息化管理中存在的安全隱患和原因進(jìn)行了分析。

通過閱讀文獻(xiàn)發(fā)現(xiàn)，國外學(xué)者大多通過實證研究驗證了一個或幾個因素對信息安全事故的影響，但是缺乏對信息安全事故的系統(tǒng)分析。國內(nèi)的研究多用于構(gòu)建信息安全管理體系，對信息安全事故的分析則鮮有研究。

（二）事故致因理論

在信息安全事故分析方法的選擇上，本文選擇了在生產(chǎn)領(lǐng)域廣泛應(yīng)用的事故致因理論。事故致因理論是研究分析導(dǎo)致事故發(fā)生原因因素的科學(xué)理論。它是描述事故成因、經(jīng)過和后果的理論，是研究人、物、環(huán)境、管理及事故處置等基本因素如何起作用而形成事故并造成損失的理論。

在早期的事故致因理論中，海因里希（W.H.Heinrich）的事故因果連鎖論最具代表性，它最先提出了物的不安全狀態(tài)和人的不安全行為是導(dǎo)致傷亡事故發(fā)生的兩個直接因素。在海因里希事故因果連鎖論的基礎(chǔ)上，博德（F.Bird）等又進(jìn)一步提出了把安全管理作為背后深層次的間接事故致因因素的現(xiàn)代安全科學(xué)觀點(diǎn)，認(rèn)為任何安全事故發(fā)生的深層次原因，都可以歸結(jié)為管理的失誤，人的不安全行為或物的不安全狀態(tài)不過是其背后的深層原因的征兆和管理失誤的反映。

本文依據(jù)博德（F.Bird）的現(xiàn)代安全科學(xué)觀點(diǎn)，提出如圖1所示的信息安全事故模型。信息安全事故的發(fā)生是由于人的不安全行為和物的不安全狀態(tài)作用在能量物質(zhì)/載體上的結(jié)果，而企業(yè)的管理因素是導(dǎo)致物的不安全狀態(tài)和人的不安全行為發(fā)生作用的直接因素。

三、信息安全事故分析

通過對各類型信息安全事故致因因素的分析，企業(yè)信息安全事故的致因因素大體可分為兩類，即人的因素和物的因素。其中，物的因素可進(jìn)一步分為環(huán)境因素、技術(shù)因素、設(shè)備因素等。根據(jù)實地調(diào)研和文獻(xiàn)梳理可以得出，企業(yè)文化的缺失、安全規(guī)章制度的不完善等環(huán)境因素是造成事故的深層原因。因此，本文將企業(yè)信息安全事故的可控致因因素整理歸納后分為四類，即環(huán)境因素、人員因素、技術(shù)因素和設(shè)備因素，并構(gòu)建了信息安全事故魚刺圖（見圖2）。

（一）環(huán)境因素分析

在信息化建設(shè)過程中，很多企業(yè)由于急需開展業(yè)務(wù)，往往出現(xiàn)“先業(yè)務(wù)，后安全”的現(xiàn)象，安全管理嚴(yán)重滯后于業(yè)務(wù)的發(fā)展。在企業(yè)的內(nèi)部環(huán)境中，企業(yè)業(yè)務(wù)的符合性直接決定了信息系統(tǒng)的設(shè)計、運(yùn)行、試用和管理是否超出法律規(guī)定和合同規(guī)定的安全要求的約束范圍。另外，很多企業(yè)安裝了一定的安全設(shè)備，但缺乏統(tǒng)一的安全體系規(guī)劃和安全防范機(jī)制，企業(yè)安全責(zé)任不明確，這些都大大增加了信息安全事故發(fā)生的風(fēng)險。由于缺乏業(yè)務(wù)連續(xù)性計劃和事故處理機(jī)制，發(fā)生信息安全事故之后，企業(yè)的業(yè)務(wù)往往會出現(xiàn)中斷，此時，信息管理人員又變成“救火員”恢復(fù)業(yè)務(wù)，最終信息安全建設(shè)變成一種“頭痛醫(yī)頭，腳痛醫(yī)腳”的亡羊補(bǔ)牢式的行為。此外，企業(yè)懲戒措施和審計機(jī)制的缺乏也是導(dǎo)致信息安全事故頻繁發(fā)生或重復(fù)發(fā)生的重要因素。

在信息安全管理的外部環(huán)境中，與企業(yè)密切相關(guān)的是第三方服務(wù)機(jī)構(gòu)或個人。企業(yè)選擇第三方服務(wù)機(jī)構(gòu)為企業(yè)提供服務(wù)，就意味著將企業(yè)的部分信息轉(zhuǎn)移至第三方。企業(yè)與第三方的外包合約不完善、第三方的服務(wù)質(zhì)量不高以及對第三方數(shù)據(jù)訪問權(quán)限的不明確易導(dǎo)致企業(yè)關(guān)鍵數(shù)據(jù)的泄露，容易引發(fā)外部攻擊。

（二）人員因素分析

人員是信息安全管理中最為活躍的因素，不同類別的人員對信息安全事故的影響不盡相同。（1）管理人員。高層管理者是企業(yè)資源投入的決策者，也是企業(yè)信息安全管理的核心，高層對信息安全的支持和重視不夠是導(dǎo)致企業(yè)信息安全文化欠缺和員工信息安全意識淡漠的關(guān)鍵因素。中層管理者作為銜接企業(yè)高層和基層的橋梁，其對上級決策的執(zhí)行力度直接決定了企業(yè)信息安全管理實施的效果。（2）技術(shù)人員。在企業(yè)中，技術(shù)人員可以保證企業(yè)信息系統(tǒng)的日常運(yùn)營和維護(hù)。但大多數(shù)企業(yè)，尤其是中小企業(yè)缺乏信息技術(shù)人才和安全監(jiān)察、審計人員。由于受人員及技術(shù)的限制，往往一個管理員既要負(fù)責(zé)系統(tǒng)的配置，又要負(fù)責(zé)系統(tǒng)的安全管理，安全設(shè)置和安全監(jiān)督都是“一肩挑”。這種情況使得管理權(quán)限過于集中，一旦管理員的權(quán)限失控，極易導(dǎo)致重要信息泄露。（3）基層人員。目前，我國企業(yè)的基層員工普遍缺乏信息安全的教育、培訓(xùn)，對信息安全意識淡漠，每天都在以不安全的方式處理著企業(yè)的大量重要信息，如隨意使用移動設(shè)備、上網(wǎng)不限制等，這些不安全的行為都對企業(yè)的信息系統(tǒng)構(gòu)成了潛在的威脅。

（三）技術(shù)因素分析

信息安全技術(shù)是企業(yè)防范信息安全事故的基本因素，也是我國企業(yè)在信息安全管理中投入較多的一部分。具體而言，導(dǎo)致信息安全事故技術(shù)方面的因素可以分為兩大類：（1）軟件因素，包括軟件設(shè)計缺陷或存在技術(shù)漏洞、殺毒軟件不及時更新以及突發(fā)的軟件故障等。（2）信息系統(tǒng)設(shè)計因素，包括信息系統(tǒng)設(shè)計時沒有以風(fēng)險評估為基礎(chǔ)、業(yè)務(wù)流程描述錯誤或遺漏、前期測試不充分、數(shù)據(jù)訪問權(quán)限設(shè)置不清晰、關(guān)鍵數(shù)據(jù)沒有備份、信息資產(chǎn)安全等級不明確以及信息資產(chǎn)沒有保護(hù)措施等因素。這些不安全的技術(shù)因素導(dǎo)致了信息安全漏洞存在的必然性和普遍性。在目前互聯(lián)網(wǎng)普及的開放網(wǎng)絡(luò)環(huán)境中，這些漏洞無疑會給外部攻擊者留下可乘之機(jī)，導(dǎo)致信息安全事故的發(fā)生。

（四）設(shè)備因素分析

企業(yè)信息安全管理的設(shè)備主要包括中心機(jī)房、服務(wù)器、網(wǎng)絡(luò)設(shè)備、線路等方面，這些是企業(yè)信息安全保障系統(tǒng)的基礎(chǔ)。由于設(shè)備因素引起的信息安全事故包括硬件自身故障、保障設(shè)施故障、人為破壞事故、其他設(shè)備設(shè)施故障等四種，其致因因素可以歸納為三類：（1）物理安全方面，包括物理安全邊界不明確、非授權(quán)的物理訪問、設(shè)備或存儲介質(zhì)缺乏安全措施、設(shè)施設(shè)備的非授權(quán)使用或移動、硬件失效等。（2）保障設(shè)施方面，包括供電或空調(diào)中斷、電氣故障、電纜損壞等。（3）外界不可抗力，包括水災(zāi)、臺風(fēng)、地震等自然災(zāi)害和恐怖襲擊、戰(zhàn)爭等外界不可抗力因素。這些因素往往會造成設(shè)施設(shè)備硬件的損壞，導(dǎo)致存儲于設(shè)備上的數(shù)據(jù)受到干擾和破壞，容易引發(fā)企業(yè)業(yè)務(wù)的中斷。

四、防范措施

針對上述造成信息安全事故的因素分析，可以從人員培訓(xùn)、制度完善以及硬件改進(jìn)三個方面進(jìn)行防范。具體而言：

（一）建立有效的“人力防火墻”，減少人為因素導(dǎo)致的信息安全事故

信息安全是企業(yè)每個員工都要面對的問題，通過建立“人力防火墻”能真正調(diào)動企業(yè)實現(xiàn)長治久安的內(nèi)在動力。因此，必須加強(qiáng)信息安全宣傳工作，增強(qiáng)所有員工對信息安全重要性的認(rèn)識。通過增強(qiáng)管理人員對信息安全的重視，營造企業(yè)的安全文化氛圍，提高企業(yè)員工的信息安全意識；通過對員工進(jìn)行安全教育與培訓(xùn)，增強(qiáng)員工的安全技能；通過法律法規(guī)、安全政策、訪問權(quán)限與懲戒措施來約束員工的行為，減少不安全行為的發(fā)生。最終在企業(yè)內(nèi)部形成一種“信息安全，人人有責(zé)”的企業(yè)文化氛圍，減少人為因素導(dǎo)致的信息安全事故。

（二）完善企業(yè)信息安全管理體系，減少由于環(huán)境、技術(shù)因素導(dǎo)致的信息安全事故

信息安全管理體系是依據(jù)企業(yè)信息安全需求、業(yè)務(wù)流程分析和風(fēng)險評估的結(jié)果，綜合利用各種信息安全技術(shù)與產(chǎn)品，在統(tǒng)一的綜合管理平臺上建立的信息安全管理機(jī)制和防范體系。建立并完善信息安全管理體系，可以為企業(yè)的信息管理提供來自策略、設(shè)計以及運(yùn)行等各個層面和階段的安全保障，有效減少由于環(huán)境因素和技術(shù)因素引起的信息安全事故。建立災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)性計劃，強(qiáng)化重要信息數(shù)據(jù)備份，在信息安全事故發(fā)生時能確保業(yè)務(wù)持續(xù)開展，將損失降到最低程度；建立集中化的管理控制機(jī)制，將數(shù)據(jù)安全控制進(jìn)行集中化管理，建立一個具有全局性的網(wǎng)絡(luò)管理平臺，以確保安全防范策略能夠由上至下全面貫徹執(zhí)行，減少數(shù)據(jù)安全風(fēng)險；以“適度防范”為原則，選擇合適的安全技術(shù)與產(chǎn)品，制定相應(yīng)的訪問控制策略，在考慮成本和投資回報的基礎(chǔ)上滿足企業(yè)業(yè)務(wù)安全的需求。

第9篇：企業(yè)信息安全意識范文

1．1地理信息系統(tǒng)及數(shù)據(jù)采集與監(jiān)控系統(tǒng)

在燃?xì)馄髽I(yè)中應(yīng)用GIS系統(tǒng)，既能對燃?xì)夤芫€進(jìn)行電子化圖檔管理，也能實時監(jiān)控天然氣管網(wǎng)規(guī)劃、搶修等情況。GIS通過將現(xiàn)有的管網(wǎng)及周邊地理狀況、管線、設(shè)備等信息，集成為管線集輸?shù)木C合信息，然后，實時傳輸和展現(xiàn)給燃?xì)馄髽I(yè)相關(guān)管理人員，從而為燃?xì)夤芫€運(yùn)行、設(shè)備維護(hù)和安全管理，提供全面、準(zhǔn)確的參考依據(jù)。

1．1．1．?dāng)?shù)據(jù)采集與監(jiān)控系統(tǒng)(SCADA)

SCADA系統(tǒng)是燃?xì)夤艿缿?yīng)急系統(tǒng)的重要組成部分，是一項集實時工控與調(diào)度信息管理為一體的大型的計算機(jī)應(yīng)用系統(tǒng)?？梢赃h(yuǎn)程監(jiān)控與管理各門站、調(diào)壓站等站點(diǎn)，確保燃?xì)庀到y(tǒng)運(yùn)行高效、安全、經(jīng)濟(jì)運(yùn)行。

1．2事故處理方案決策優(yōu)化與管網(wǎng)風(fēng)險評價

1．2．1事故處理方案優(yōu)化決策

在燃?xì)庑袠I(yè)的日常工作中，如遇管網(wǎng)故障，發(fā)生危險，必須快速、有效的進(jìn)行應(yīng)急處置和救援。其具體流程一般如下:接獲任務(wù)并了解現(xiàn)場情況，相關(guān)人員迅速召開會議或電話、電視會議，制定搶修、救援方案，然后進(jìn)行搶修和救援。但是，搶修時間緊迫，這種處置流程不僅浪費(fèi)寶貴的時間和資源，也會受到人為主觀因素的影響，例如，意見不統(tǒng)一或決策失誤等，不僅延誤搶修和救援，甚至可能會導(dǎo)致二次事故。采用模糊評價法對燃?xì)夤芫W(wǎng)事故的解決方案進(jìn)行對比和遴選，通過定性和定量分析選擇最優(yōu)方案。首先利用模糊關(guān)鍵詞，采用定性和定量方法分析事故，然后以技術(shù)打分分配各因素權(quán)重，最后通過決策軟件實現(xiàn)方案的最優(yōu)選擇?？梢詫崿F(xiàn)在事故發(fā)生時，提供關(guān)鍵詞，即可獲得最佳的搶修方案，以排除人為主觀因素的干擾，更科學(xué)、更理性。

1．2．2管網(wǎng)風(fēng)險評價

不少燃?xì)馄髽I(yè)對管網(wǎng)安全評價重視不足，尤其缺乏對現(xiàn)役管線的風(fēng)險評價。對燃?xì)夤芫€的管理，僅僅做到定期運(yùn)行和巡檢是不夠的，還要更多的考慮到未來規(guī)劃的問題。例如，分幾期對管線進(jìn)行改造，改造又分為幾步，如何開展等等。通過建立管網(wǎng)仿真及安全評價系統(tǒng)，結(jié)合各管線屬性信息，例如腐蝕程度、第三方破壞程度、維檢修情況、壓力檢測等等，建立一個龐大的數(shù)據(jù)信息庫，全面考察管線危險性，得到危險等級排序，預(yù)測管線使用壽命，對未來管線更新及改造規(guī)劃提供理論指導(dǎo)。

2城市燃?xì)馄髽I(yè)信息安全探索

2．1信息安全的概念

根據(jù)GB/T22081－2008，所謂的信息安全就是通過采取有效策略，確保信息免受各種威脅、損害，從而保證業(yè)務(wù)連續(xù)性，并達(dá)到風(fēng)險最小、投資回報最優(yōu)。燃?xì)馄髽I(yè)信息安全，就是指燃?xì)馄髽I(yè)信息資產(chǎn)安全可靠，業(yè)務(wù)穩(wěn)定開展，不會受到系統(tǒng)自身和外來網(wǎng)絡(luò)病毒、黑客等的攻擊，如果出現(xiàn)安全事故，其損失可以降到最低。

2．2燃?xì)馄髽I(yè)管理存在的信息安全問題

2．2．1信息安全意識淡薄

當(dāng)代社會，信息載體多樣化，辦公電腦、存儲設(shè)備以及系統(tǒng)軟件使用不規(guī)范都容易導(dǎo)致信息泄露，在常見的搜索引擎上可以輕易的查詢到某燃?xì)馄髽I(yè)或大型公司企業(yè)的內(nèi)部文件，這些情況的發(fā)生，正是由于企業(yè)信息安全意識淡薄，對信息的傳播安全管理重視不夠?qū)е碌摹?/p>

2．2．2信息安全管理機(jī)制不健全

在網(wǎng)絡(luò)信息安全管理中，一般都強(qiáng)調(diào)“三分技術(shù)，七分管理”。由此可見，信息安全最重要的是管理的安全。安全與管理是密不可分的，信息防護(hù)技術(shù)只是信息安全的一部分，僅僅將投入放在這一方面是遠(yuǎn)遠(yuǎn)不夠的，缺乏完整、規(guī)范以及系統(tǒng)化的信息安全管理制度，將無法從根本上實現(xiàn)信息安全。

2．2．3信息安全技術(shù)人才缺乏

在燃?xì)馄髽I(yè)中，受傳統(tǒng)管理理念的影響，不少企業(yè)管理人員對于信息安全認(rèn)識及其重要性認(rèn)識不足，不注重企業(yè)信息安全管理人員和技術(shù)配備，導(dǎo)致企業(yè)信息安全管理水平不高。雖然最近幾年來，燃?xì)馄髽I(yè)信息化建設(shè)水平不斷提高，吸納了許多信息化技術(shù)人才，但是專業(yè)從事綜合性的信息安全管理工作人員比例仍然較低。

2．3信息安全建設(shè)中的關(guān)鍵問題分析

2．3．1準(zhǔn)確評估風(fēng)險大小，正確處置安全風(fēng)險

風(fēng)險評估的方法很多，燃?xì)馄髽I(yè)進(jìn)行信息安全風(fēng)險評估時，需要立足企業(yè)實際，根據(jù)GB/T20984－2007《信息安全技術(shù)信息安全風(fēng)險評估規(guī)范》，制定科學(xué)、合理的風(fēng)險評估流程，辨識完畢企業(yè)的信息安全風(fēng)險之后，要采取科學(xué)、合理的處置辦法:風(fēng)險接受、風(fēng)險規(guī)避、風(fēng)險減緩以及風(fēng)險轉(zhuǎn)移。

2．3．2重視人在燃?xì)馄髽I(yè)信息安全管理中的作用

企業(yè)管理中，最重要的因素就是人，人是信息安全的管理者，也是信息安全危險事件的誘發(fā)者，由于人為因素導(dǎo)致的信息安全事件不在少數(shù)。若要對企業(yè)職工進(jìn)行約束，首先要明確職工的信息安全管理職責(zé)，加強(qiáng)人員思想教育，通過教育和培訓(xùn)，在企業(yè)內(nèi)建立起良好的信息安全文化氛圍。

2．3．3細(xì)化信息資產(chǎn)分類，提高資產(chǎn)管理水平

在當(dāng)今，信息無疑是燃?xì)馄髽I(yè)寶貴的資源和資產(chǎn)，信息資產(chǎn)的管理應(yīng)當(dāng)做到:建立信息資產(chǎn)清單并規(guī)范管理;設(shè)定信息分類、等級并區(qū)分保存;信息標(biāo)記，并明確標(biāo)記內(nèi)容。尤其大量存儲數(shù)據(jù)信息的移動硬盤、廢舊電腦，簡單的格式化處理后，數(shù)據(jù)信息極易被還原，必須要通過物理銷毀、數(shù)據(jù)覆蓋或者不可逆專門處理工具進(jìn)行銷毀。

2．3．4加強(qiáng)信息安全事件管理，預(yù)防信息安全事件發(fā)生

通過有效的技術(shù)防范措施，比如在系統(tǒng)中安裝防火墻軟件、反病毒產(chǎn)品、定期備份數(shù)據(jù)等，對設(shè)備、網(wǎng)絡(luò)進(jìn)行定期檢查，及時處理過期、失效產(chǎn)品。同時，燃?xì)馄髽I(yè)還要建立完善的信息安全應(yīng)急處置預(yù)案，明確處置程序及各部門的職責(zé)，定期開展應(yīng)急演練，以提高信息安全應(yīng)急處置水平。

2．4燃?xì)馄髽I(yè)做好信息安全工作的幾點(diǎn)探索

2．4．1加強(qiáng)新型技術(shù)的應(yīng)用

如今，無線技術(shù)、互聯(lián)網(wǎng)技術(shù)、云技術(shù)等先進(jìn)的科學(xué)技術(shù)，已經(jīng)日益廣泛地融入企業(yè)日常工作，通過技術(shù)更新，企業(yè)信息技術(shù)應(yīng)用，也需要隨之而變。企業(yè)推進(jìn)新技術(shù)應(yīng)用的同時，應(yīng)當(dāng)加強(qiáng)入侵檢測、加密認(rèn)證、災(zāi)難備份技術(shù)等信息安全防護(hù)技術(shù)，確保企業(yè)在新的信息技術(shù)環(huán)境中實現(xiàn)信息安全建設(shè)。

2．4．2大力發(fā)揮人才的優(yōu)勢