前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的企業(yè)信息安全意識(shí)主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：企業(yè)信息安全意識(shí)范文

 

對(duì)于未來(lái)的信息安全，我們需要著重關(guān)注什么?

 

基于我們的觀察，2012年以下4點(diǎn)趨勢(shì)有必要引起業(yè)界足夠的重視：

 

一是BYOD(自帶設(shè)備辦公)給企業(yè)安全帶來(lái)極大威脅。隨著越來(lái)越多的80,90年代年輕人進(jìn)人職場(chǎng)，自帶辦公設(shè)備已是一種趨勢(shì)。好處是這些年輕人可能會(huì)用自己喜歡的方式來(lái)工作，提高工作效率。但企業(yè)該如何管理卻成了很大挑戰(zhàn)，BYOD帶來(lái)的安全威脅也就更大。而且，包括私人郵件在內(nèi)的公私結(jié)合趨勢(shì)，也給越來(lái)越多的企業(yè)帶來(lái)很大挑戰(zhàn)。因?yàn)闆](méi)法管理，分不清公和私，一樣會(huì)帶來(lái)很大的安全威脅。

 

二是全新的云安全機(jī)制。我們正處于一個(gè)風(fēng)起云涌的時(shí)代，未來(lái)幾年，很多政府機(jī)構(gòu)、中小企業(yè)可能不會(huì)再雇傭更多的信息安全人員，因?yàn)闆](méi)有必要，他會(huì)更愿意把安全外包出去，或者通過(guò)云的方式，進(jìn)行云服務(wù)，把信息安全交給更專(zhuān)業(yè)的團(tuán)隊(duì)去管理。這絕對(duì)是個(gè)趨勢(shì)，會(huì)有多快，我們不知道，但一定會(huì)到來(lái)。

 

一個(gè)例子是，我們有一個(gè)大企業(yè)客戶，我問(wèn)他的CEO,你們公司有多少安全專(zhuān)家?不到3個(gè)。他的信息安全問(wèn)題更多是交給安全廠商去負(fù)責(zé)。

 

大型企業(yè)這樣，中小企業(yè)更是如此。我們可以通過(guò)云方式為后者提供服務(wù)。那么，云計(jì)算到底是更安全還是更不安全，非常值得我們探討。也許從某個(gè)角度來(lái)講，云可能會(huì)更安全，因?yàn)橹行∑髽I(yè)依賴云服務(wù)提供商提供服務(wù);對(duì)云服務(wù)商來(lái)說(shuō)，只會(huì)幫助企業(yè)IT部門(mén)適應(yīng)并挖掘更新的方法保護(hù)他們的企業(yè)系統(tǒng)與信息資產(chǎn)。

 

目前，很多企業(yè)在很多方面都應(yīng)用了云服務(wù)，如財(cái)務(wù)、營(yíng)銷(xiāo)、郵件系統(tǒng)等等，都是不同的云。企業(yè)需要全新的云安全管理機(jī)制去管理這些云。云的問(wèn)題要通過(guò)云的方式來(lái)解決。

 

三是全價(jià)值鏈的安全?，F(xiàn)在很多商業(yè)模式都會(huì)涉及整個(gè)產(chǎn)業(yè)鏈，大部分企業(yè)會(huì)通過(guò)網(wǎng)絡(luò)跟客戶聯(lián)系，提供服務(wù)。此外，還要與供應(yīng)商、外包商、經(jīng)銷(xiāo)商聯(lián)系并溝通，所以，只保護(hù)好企業(yè)自身的安全是不夠的，我們的《互聯(lián)網(wǎng)安全威脅報(bào)告》也指出，目前遭受攻擊的對(duì)象，在職位上也越來(lái)越廣泛。比如那些網(wǎng)絡(luò)罪犯不攻擊老板，可能攻擊秘書(shū)，或與老板有密切關(guān)系的其他對(duì)象。所以，全價(jià)值鏈的安全很重要。

 

四是構(gòu)建全面的安全防護(hù)。安全絕不僅僅是一個(gè)簡(jiǎn)單的防病毒，從準(zhǔn)人，到主機(jī)安全、審計(jì)，到加密，到認(rèn)證，到授權(quán)，到數(shù)據(jù)中心的優(yōu)化、虛擬化等等涉及方方面面。我們現(xiàn)在講的安全，是全面的信息安全，絕非局部的安全。安全行業(yè)的希望也在于此。

 

安全外包是趨勢(shì)

 

當(dāng)然，安全是一個(gè)博弈的過(guò)程，依賴的不只是技術(shù)。想要實(shí)現(xiàn)安全外包應(yīng)注意幾點(diǎn)：

 

一是技術(shù)基礎(chǔ)。要有一套完整的管理機(jī)制，宣傳、培訓(xùn)也很重要，否則沒(méi)法落地;

 

二是一定要用法律作為后盾。現(xiàn)在信息安全犯罪更多是因經(jīng)濟(jì)利益，所以相關(guān)處罰措施很有必要，如果法律跟不上，信息安全也不能做到徹底。所以，監(jiān)管部門(mén)一定要加強(qiáng)這方面的法律保障;

 

三是一個(gè)平臺(tái)、一個(gè)游戲規(guī)則。從云服務(wù)來(lái)講，很多管理內(nèi)容不再是企業(yè)自己擁有。IT管理者雖然管理網(wǎng)絡(luò)，但上面的用戶遠(yuǎn)多于你的員工，他們可能是你的供應(yīng)商、外包商、客戶，這些人都不會(huì)乖乖聽(tīng)你的話，為什么?因?yàn)樗麄儾皇悄愕膯T工。設(shè)備有時(shí)也不是自己的，可能要靠別人來(lái)管理，這對(duì)IT部門(mén)挑戰(zhàn)很大。所以，IT部門(mén)就必須扮演一個(gè)新角色，依靠云服務(wù)，提供一個(gè)平臺(tái)，一個(gè)游戲規(guī)貝IJ，提供用戶支撐，并提高所有使用者的工作效率;

第2篇：企業(yè)信息安全意識(shí)范文

“中國(guó)企業(yè)員工的信息安全意識(shí)可謂不容樂(lè)觀，提升員工信息安全意識(shí)刻不容緩。”谷安天下副總經(jīng)理魏彩霞對(duì)當(dāng)前企業(yè)員工的信息安全意識(shí)現(xiàn)狀表示擔(dān)憂，“不同行業(yè)的信息安全意識(shí)現(xiàn)狀不同，電信、金融等行業(yè)由于業(yè)務(wù)的特殊性，安全意識(shí)較高，而其他行業(yè)的信息安全意識(shí)整體狀況則依舊薄弱”。

調(diào)查顯示，接近50%的受訪者認(rèn)為單位領(lǐng)導(dǎo)的信息安全意識(shí)一般、很差或者還不如自己。而據(jù)魏彩霞介紹，一些企業(yè)中即使領(lǐng)導(dǎo)非常重視信息安全，希望提升員工的保密意識(shí)，但“只是看到別人的明文密碼導(dǎo)致信息泄漏就更改自己的網(wǎng)頁(yè)設(shè)置等單個(gè)事件，并不能系統(tǒng)地提升企業(yè)員工整體的信息安全意識(shí)”。

由于員工信息安全意識(shí)薄弱而給企業(yè)帶來(lái)災(zāi)難性損失的案例屢見(jiàn)不鮮。據(jù)統(tǒng)計(jì)，世界上每分鐘就有兩家企業(yè)因?yàn)樾畔踩膯?wèn)題而倒閉。而在所有信息安全事件中，只有20%~30%是因?yàn)楹诳腿肭只蚱渌獠吭蛟斐?，另?0%~80%是由于內(nèi)部員工的疏忽或有意泄漏造成，而78%的企業(yè)數(shù)據(jù)泄漏是由于內(nèi)部員工不規(guī)范的操作造成的。

第3篇：企業(yè)信息安全意識(shí)范文

[關(guān)鍵詞]企業(yè)安全；信息管理；設(shè)計(jì)；實(shí)現(xiàn)

doi：10.3969/j.issn.1673-0194.2015.08.057

[中圖分類(lèi)號(hào)]TP311.52 [文獻(xiàn)標(biāo)識(shí)碼]A [文章編號(hào)]1673-0194（2015）08-0075-02

近年來(lái)，企業(yè)安全事故層出不窮，信息安全引起了越來(lái)越多企業(yè)管理者的重視，成為各個(gè)企業(yè)不容忽視的關(guān)鍵問(wèn)題。為了加強(qiáng)企業(yè)信息安全，不少企業(yè)開(kāi)始設(shè)立獨(dú)立部門(mén)對(duì)企業(yè)的信息安全進(jìn)行專(zhuān)業(yè)管理，并開(kāi)始培養(yǎng)專(zhuān)業(yè)的信息安全管理人才。

1 企業(yè)安全信息管理平臺(tái)的問(wèn)題

1.1 安全意識(shí)不強(qiáng)

企業(yè)要重視信息安全并實(shí)施管控，信息安全管理的成敗取決于員工的安全意識(shí)。人員安全意識(shí)欠缺，導(dǎo)致政令不通，監(jiān)督不力，執(zhí)行不暢，往往導(dǎo)致信息外泄、系統(tǒng)故障等安全事故。只有樹(shù)立直接執(zhí)行人員牢固的信息安全意識(shí)，形成企業(yè)安全文化，企業(yè)信息安全才能真正長(zhǎng)治久安。員工信息安全意識(shí)的提升并非一日之功，也不是通過(guò)簡(jiǎn)單的一兩次培訓(xùn)就能奏效，而是一項(xiàng)持續(xù)的、長(zhǎng)期的、有計(jì)劃的、多種方式并用的綜合性工作。信息安全意識(shí)提升面向企業(yè)廣泛的受眾，其內(nèi)容涵蓋信息安全相關(guān)各個(gè)領(lǐng)域，重點(diǎn)針對(duì)員工日常工作和個(gè)人行為，關(guān)注各種可能因個(gè)人行為不當(dāng)或警惕性不強(qiáng)而引發(fā)的信息安全隱患和事故。由于目標(biāo)對(duì)象的不同，信息安全意識(shí)提升內(nèi)容會(huì)呈現(xiàn)出不同的形式、程度，從簡(jiǎn)潔明了的宣傳語(yǔ)，到淺顯易懂的安全提示，再到全面具體的安全手冊(cè)，建立企業(yè)專(zhuān)門(mén)的信息安全知識(shí)庫(kù)，滿足不同方面和不同層次的需要。

1.2 缺乏專(zhuān)業(yè)人才

隨著經(jīng)濟(jì)社會(huì)的不斷發(fā)展，企業(yè)對(duì)于信息安全管理人才的需求也越來(lái)越大。任何組織都是由人組成的，沒(méi)有人才，組織就不能取得長(zhǎng)遠(yuǎn)發(fā)展，更談不上不斷進(jìn)步和自我完善。企業(yè)的發(fā)展需要不斷補(bǔ)充新的人才。對(duì)于多數(shù)企業(yè)來(lái)說(shuō)，信息安全管理人員的素質(zhì)決定了單位能否長(zhǎng)遠(yuǎn)發(fā)展。信息安全管理是最近幾年才興起的，很多企業(yè)還沒(méi)有配備相關(guān)人才，不少高校也尚未開(kāi)展相關(guān)專(zhuān)業(yè)，培養(yǎng)信息安全管理方面的人才，國(guó)家對(duì)于信息安全管理專(zhuān)業(yè)的投入也不夠。社會(huì)整體尚未形成重視信息安全管理的氛圍。目前，不少企業(yè)的信息安全管理人員十分匱乏，很多企業(yè)沒(méi)有專(zhuān)門(mén)的信息安全管理機(jī)構(gòu)，因此也沒(méi)有配備相應(yīng)的信息安全管理人員。只有少數(shù)企業(yè)認(rèn)識(shí)到信息安全管理的重要性，設(shè)立了相應(yīng)的信息安全管理機(jī)構(gòu)。但在這些企業(yè)當(dāng)中，多數(shù)企業(yè)的信息安全管理機(jī)構(gòu)十分簡(jiǎn)陋，相關(guān)設(shè)備也不夠健全，專(zhuān)業(yè)人員的配備也存在缺失，有的企業(yè)雖然配備有信息安全管理人員，但這些人員多數(shù)沒(méi)有接受過(guò)系統(tǒng)的知識(shí)培訓(xùn)，經(jīng)驗(yàn)不夠豐富，責(zé)任心不強(qiáng)，不能履行信息安全管理人員的基本職責(zé)。信息安全管理人員素質(zhì)不高和專(zhuān)業(yè)人才的缺失，是企業(yè)的發(fā)展的阻礙，嚴(yán)重影響了企業(yè)的長(zhǎng)遠(yuǎn)發(fā)展。

1.3 監(jiān)管制度缺失

完善、科學(xué)的信息安全監(jiān)管制度對(duì)于企業(yè)的發(fā)展具有十分重要的意義和作用。行為規(guī)范制度是指導(dǎo)工作人員進(jìn)行相關(guān)操作的準(zhǔn)則和辦法，只有建立一套系統(tǒng)的信息安全監(jiān)管制度，才能規(guī)范信息安全管理人員的行為，使操作有據(jù)可依，信息安全管理人員對(duì)自身行為負(fù)起責(zé)任。目前我國(guó)信息安全管理制度仍不健全，不少企業(yè)沒(méi)有建立起一套完善的內(nèi)部控制制度，使得很多行為沒(méi)有操作依據(jù)，信息安全管理人員的行為無(wú)法有效約束，出現(xiàn)了許多不負(fù)責(zé)任的行為。這些行為不僅阻礙了企業(yè)的發(fā)展，也影響了企業(yè)的聲譽(yù)，不利于后續(xù)工作的開(kāi)展。因此，必須建立健全企業(yè)信息安全監(jiān)管制度，為企業(yè)后續(xù)活動(dòng)的開(kāi)展提供保障。

1.4 管理技術(shù)落后

信息安全管理需要先進(jìn)的管理技術(shù)和安全技術(shù)，為信息安全管理提供有力的技術(shù)支持。企業(yè)在發(fā)展過(guò)程中，開(kāi)發(fā)了一系列信息安全管理技術(shù)和管理技巧，發(fā)揮了一定的作用。但隨著經(jīng)濟(jì)社會(huì)的發(fā)展和科技的日新月異，不少技術(shù)已經(jīng)無(wú)法跟上時(shí)代步伐，很多技術(shù)面臨淘汰。這些管理技巧不但不能給企業(yè)帶來(lái)益處，反而有可能影響企業(yè)的信息安全。因此必須緊跟時(shí)代步伐，了解最新的信息安全管理技巧，結(jié)合企業(yè)實(shí)際情況，開(kāi)發(fā)符合時(shí)代要求的管理技巧。同時(shí)，積極了解最新科技動(dòng)態(tài)，將適合于本企業(yè)的技術(shù)運(yùn)用到企業(yè)的信息安全管理過(guò)程中。

2 如何完善企業(yè)安全信息管理平臺(tái)設(shè)計(jì)

2.1 增強(qiáng)信息安全管理意識(shí)

提高信息安全管理意識(shí)是完善企業(yè)信息安全管理的重要前提和關(guān)鍵因素。只要具備良好的內(nèi)部安全控制意識(shí)，才能順利開(kāi)展后續(xù)工作。企業(yè)管理者必須深切意識(shí)到信息安全管理對(duì)于企業(yè)發(fā)展的重要性和必要性，加大投資力度，及時(shí)發(fā)現(xiàn)企業(yè)信息安全管理中存在的問(wèn)題和不足。必須加強(qiáng)對(duì)企業(yè)信息安全管理的重視，切實(shí)意識(shí)到信息安全管理對(duì)于企業(yè)發(fā)展的重要性，加大資金投入，確保企業(yè)信息安全管理良好運(yùn)作。

2.2 加強(qiáng)人員的素質(zhì)培訓(xùn)

人才對(duì)于企事業(yè)單位的發(fā)展具有不容忽視的作用。單位的競(jìng)爭(zhēng)歸根結(jié)底是人才的競(jìng)爭(zhēng)。信息安全管理人員的素質(zhì)對(duì)于企業(yè)的發(fā)展具有重要作用，具有良好素質(zhì)的信息安全管理人員可以促進(jìn)企業(yè)的快速發(fā)展。企業(yè)必須重視對(duì)信息安全管理人員的培訓(xùn)和投資。信息安全管理人員的投資包括設(shè)備的更新，資金的投入和專(zhuān)業(yè)教育的提升。同時(shí)，要鼓勵(lì)信息安全管理人員學(xué)習(xí)最新的信息安全知識(shí)，不斷更新已有知識(shí)，緊跟時(shí)代的步伐。企業(yè)不僅要注重提高信息安全管理人員的專(zhuān)業(yè)素養(yǎng)，也要重視對(duì)企業(yè)信息安全管理人員的道德培養(yǎng)。只有專(zhuān)業(yè)知識(shí)而缺乏道德素養(yǎng)的工作人員，不僅不能給企業(yè)帶來(lái)效益，反而會(huì)危害企業(yè)發(fā)展，因此必須重視企業(yè)信息安全管理人員的道德素養(yǎng)。信息安全必須不斷加強(qiáng)對(duì)信息安全管理人員的培訓(xùn)，切實(shí)全面提高信息安全管理人員素質(zhì)，增強(qiáng)信息安全管理人員靈活處理各項(xiàng)事務(wù)的能力，不斷鞏固自身基礎(chǔ)知識(shí)，培養(yǎng)信息安全管理人員的責(zé)任心和創(chuàng)新精神，真正做到與時(shí)俱進(jìn)。只有不斷提升企業(yè)的信息安全管理人員素質(zhì)，才能從整體上提升企事業(yè)單位的安全管理工作效率，促進(jìn)企業(yè)的長(zhǎng)遠(yuǎn)發(fā)展。

2.3 強(qiáng)化信息安全監(jiān)督管理

監(jiān)督工作對(duì)于企業(yè)的發(fā)展具有重要作用和意義。良好的監(jiān)督是企事業(yè)單位正?；顒?dòng)的前提。沒(méi)有完善的監(jiān)督體系，企事業(yè)單位很難確保業(yè)務(wù)的正常開(kāi)展。企事業(yè)單位應(yīng)強(qiáng)化信息安全監(jiān)督工作，建立相應(yīng)的監(jiān)督管理機(jī)構(gòu)，對(duì)企業(yè)內(nèi)部各項(xiàng)經(jīng)濟(jì)活動(dòng)進(jìn)行有計(jì)劃地控制，及時(shí)發(fā)現(xiàn)企事業(yè)單位存在的問(wèn)題，同時(shí)應(yīng)加強(qiáng)信息安全管理工作，不斷提升工作效率。凡事預(yù)則立，不預(yù)則廢。除了做好信息安全管理的內(nèi)部監(jiān)督工作外，不斷加強(qiáng)信息安全管理的外部監(jiān)督工作也是十分重要的環(huán)節(jié)。外部監(jiān)督主要包括新聞媒體監(jiān)督和社會(huì)大眾監(jiān)督。企事業(yè)單位管理者要認(rèn)識(shí)到內(nèi)部管理的不足之處，認(rèn)真改正有缺陷的地方，不斷完善內(nèi)部控制建設(shè)。同時(shí)，也要不斷加強(qiáng)新聞媒體的監(jiān)督作用，發(fā)揮輿論的監(jiān)督作用。內(nèi)部控制是一項(xiàng)巨大的完整的工程，具有完善的體系和結(jié)構(gòu)，必須保證每個(gè)環(huán)節(jié)落實(shí)到位，才能確保整個(gè)體系的良性運(yùn)行，從而發(fā)揮出最大的效益。

2.4 提高信息安全管理技巧

除此之外，信息安全管理技巧對(duì)于企事業(yè)單位的發(fā)展具有重要意義。不同的控制技巧適用于不同的企事業(yè)單位，也會(huì)產(chǎn)生不同的效果。企事業(yè)單位采取適合本單位的內(nèi)部控制技巧，可以提高企事業(yè)單位的行政效率。隨著時(shí)代的發(fā)展和進(jìn)步，傳統(tǒng)的信息安全管理技巧已經(jīng)不適用于現(xiàn)代企業(yè)。因此，企業(yè)必須根據(jù)時(shí)代的發(fā)展，提升自身信息安全管理技巧，摒棄舊有落后工作模式。另外，在實(shí)施信息安全管理技巧時(shí)，必須考慮到事業(yè)單位的實(shí)際運(yùn)作情況，切忌生搬硬套。應(yīng)根據(jù)企事業(yè)單位的具體情況，有針對(duì)性地提高信息安全管理的技巧，逐步解決企事業(yè)單位在實(shí)施信息安全管理時(shí)遇到的難題。

主要參考文獻(xiàn)

[1]侯衛(wèi)超.企業(yè)信息安全現(xiàn)狀分析與管理對(duì)策[J].科技信息：科學(xué)教研，2007（28）.

[2]王超，林峰.高校校園網(wǎng)絡(luò)安全管理策略[J].科技資訊，2007（20）.

第4篇：企業(yè)信息安全意識(shí)范文

目前，企業(yè)信息系統(tǒng)中的威脅主要來(lái)源于外部因素，隨著社會(huì)的快速發(fā)展，在激烈的市場(chǎng)競(jìng)爭(zhēng)中信息占有非常重要的位置，有很多不法分子會(huì)想方設(shè)法的利用各種手段竊取企業(yè)信息，最終獲得經(jīng)濟(jì)效益。還存在部分企業(yè)在與對(duì)手競(jìng)爭(zhēng)中為占取有利位置會(huì)采取不正當(dāng)手段獲取對(duì)方企業(yè)信息，最終達(dá)到擊敗對(duì)方的目的。目前在國(guó)內(nèi)黑客人侵企業(yè)網(wǎng)絡(luò)的主要手段有直接進(jìn)攻企業(yè)信息系統(tǒng)和傳播病毒兩種。

二、當(dāng)前企業(yè)信息化建設(shè)中完善信息安全的對(duì)策

（一）樹(shù)立正確安全意識(shí)企業(yè)在信息化發(fā)展的進(jìn)程中，應(yīng)意識(shí)到企業(yè)信息的安全問(wèn)題與企業(yè)發(fā)展之間存在的關(guān)聯(lián)性。一旦企業(yè)的重要信息被竊取或外泄，企業(yè)機(jī)密被泄漏，對(duì)企業(yè)所造成的打擊是非常巨大的，同時(shí)也給競(jìng)爭(zhēng)對(duì)手創(chuàng)造了有利的機(jī)會(huì)。因此樹(shù)立正確的安全意識(shí)對(duì)于企業(yè)是非常重要的這樣才能為后面的工作打下良好的基礎(chǔ)。

（二）選擇安全性能高的防護(hù)軟件雖然任何軟件都是有可以破解方法的，但是對(duì)于安全性能高的軟件而言，其破解的困難性也隨之增加，所以企業(yè)在選擇安全軟件時(shí)應(yīng)盡量選擇安全性能高的，不要為節(jié)省企業(yè)開(kāi)支而選擇性能差的防護(hù)軟件，如果出現(xiàn)問(wèn)題其造成的損失價(jià)值會(huì)遠(yuǎn)遠(yuǎn)的大于軟件價(jià)格。

（三）加強(qiáng)企業(yè)內(nèi)部信息系統(tǒng)管理首先，對(duì)于企業(yè)信息系統(tǒng)安全而言，無(wú)論是使用哪種安全軟件都會(huì)遭到攻擊和破解，所以在安全防御中信息技術(shù)并不能占據(jù)主體，而管理才是信息安全系統(tǒng)的主體。因此建立合理、規(guī)范的信息安全管理體質(zhì)對(duì)于企業(yè)而言是非常重要的，只有合理、規(guī)范的管理信息，才能為系統(tǒng)安全打下良好的基礎(chǔ)。其次，建立安全風(fēng)險(xiǎn)評(píng)價(jià)機(jī)制。企業(yè)的信息系統(tǒng)并不是在同一技術(shù)和時(shí)間下所建設(shè)的，在日常的操作和管理過(guò)程中，任何系統(tǒng)都是會(huì)存在不同的優(yōu)勢(shì)和劣勢(shì)的因此企業(yè)應(yīng)對(duì)自身的信息系統(tǒng)做安全風(fēng)險(xiǎn)評(píng)估，根據(jù)系統(tǒng)的不同找出影響系統(tǒng)安全的漏洞和因素，并制定出詳細(xì)的應(yīng)對(duì)策略。

（四）加強(qiáng)網(wǎng)絡(luò)安全管理意識(shí)首先，網(wǎng)絡(luò)安全管理部門(mén)應(yīng)樹(shù)立正確的網(wǎng)絡(luò)安全觀念，加強(qiáng)對(duì)網(wǎng)絡(luò)安全的維護(hù)，在企業(yè)人員培訓(xùn)中加入對(duì)人員的網(wǎng)絡(luò)安全培訓(xùn)，從而使企業(yè)工作人員自覺(jué)提升安全防范意識(shí)，擺脫傳統(tǒng)的思維模式，突破網(wǎng)絡(luò)認(rèn)識(shí)誤區(qū)。加強(qiáng)對(duì)對(duì)網(wǎng)絡(luò)黑客尤其是未成年人黑客的網(wǎng)絡(luò)道德和法律教育，提高他們的法律意識(shí)，從而使他們自覺(jué)遵守網(wǎng)絡(luò)使用的法律法規(guī)。其次，應(yīng)當(dāng)利用合理有效的方式普及對(duì)全體員工有關(guān)于網(wǎng)絡(luò)法律法規(guī)及網(wǎng)絡(luò)知識(shí)的教育，以提高他們的網(wǎng)絡(luò)安全意識(shí)。

（五）網(wǎng)絡(luò)的開(kāi)放性使得網(wǎng)絡(luò)不存在絕對(duì)的安全，所以一勞永逸的安全保護(hù)策略也是不存在的由此可以看出，企業(yè)實(shí)施的網(wǎng)絡(luò)安全策隨著網(wǎng)絡(luò)問(wèn)題的升級(jí)而發(fā)展的，具有動(dòng)態(tài)特征。因此企業(yè)制定的策略要在符合法律法規(guī)的基礎(chǔ)上，通過(guò)網(wǎng)絡(luò)信息技術(shù)的支持，并根據(jù)網(wǎng)絡(luò)發(fā)展?fàn)顩r、策略執(zhí)行情以及突發(fā)事件處理能力進(jìn)行相應(yīng)的調(diào)整與更新，這樣才能確保安全策略的有效性。此外企業(yè)還應(yīng)綜合分析地方網(wǎng)絡(luò)安全需求，進(jìn)一步制定更加完善的網(wǎng)絡(luò)安全防護(hù)體系，以減少網(wǎng)絡(luò)安全存在的風(fēng)險(xiǎn)，保證信息化網(wǎng)絡(luò)的安全性。絕大部分的企業(yè)信息被竊取都是不法分子通過(guò)網(wǎng)絡(luò)進(jìn)行的，因此必須加強(qiáng)企業(yè)的網(wǎng)絡(luò)管理，才能確保企業(yè)信息系統(tǒng)在安全的狀態(tài)下運(yùn)行。針對(duì)信息安全的種類(lèi)和等級(jí)制定出行之有效的方案，并提前制定出如果發(fā)生了特定的信息安全事故企業(yè)應(yīng)采取哪種應(yīng)對(duì)方案。當(dāng)企業(yè)信息安全危機(jī)發(fā)生時(shí)，企業(yè)應(yīng)快速成立處理小組，根據(jù)信息安全危機(jī)的處理步驟和管理預(yù)案，做好危機(jī)處理工作，避免出現(xiàn)由于不當(dāng)處置而導(dǎo)致的連鎖危機(jī)的發(fā)生。另外，還應(yīng)在企業(yè)內(nèi)部做好信息安全的培訓(xùn)和教育工作，提高信息安全的管理意識(shí)，提高工作人員對(duì)安全危機(jī)事件的處理能力。

三、結(jié)語(yǔ)

第5篇：企業(yè)信息安全意識(shí)范文

【關(guān)鍵詞】：信息安全 ；問(wèn)題；解決方案

【引言】：在中小企業(yè)的信息管理系統(tǒng)中存在大量的信息和文件材料，其中有對(duì)企業(yè)發(fā)展至關(guān)重要的文件材料，一旦這些信息材料在通過(guò)網(wǎng)絡(luò)傳送時(shí)被不法分子和競(jìng)爭(zhēng)對(duì)手竊聽(tīng)、泄密、篡改或偽造，將會(huì)嚴(yán)重威脅中小企業(yè)的發(fā)展，所以，提出中小企業(yè)信息安全問(wèn)題的解決方案具有重要意義。

1. 中小企業(yè)信息安全存在的問(wèn)題

1.1信息安全管理意識(shí)不強(qiáng)。

相對(duì)大型企業(yè)來(lái)說(shuō)，中小企業(yè)信息資產(chǎn)方面的積累相對(duì)較為薄弱，并且很多時(shí)候這種積累并非企業(yè)的有意識(shí)行為，所以在正常的信息化應(yīng)用情況下，往往會(huì)忽視對(duì)自己信息資產(chǎn)的保護(hù)，而只有在信息資產(chǎn)受到破壞，形成了實(shí)際的經(jīng)濟(jì)和附加損失的情況下，才會(huì)開(kāi)始意識(shí)和重視這信息安全問(wèn)題。

1.2信息安全管理水平較低信息安全風(fēng)險(xiǎn)較大。

目前的中小企業(yè)管理層人員雖然已經(jīng)認(rèn)識(shí)到了信息化的重要性，但卻沒(méi)有認(rèn)識(shí)到企業(yè)信息化管理是需要在企業(yè)管理念上進(jìn)行根本變革才能實(shí)現(xiàn)的。信息安全大約70%以上的問(wèn)題都是由管理方面的原因造成的。他們大多是按照原有的管理模式進(jìn)行改造，結(jié)果造成一種信息化的假象，致使“信息化”走向了徒有其表的誤區(qū)，信息安全也沒(méi)有得到足夠重視。

1.3人才短缺專(zhuān)業(yè)人員匱乏。

中小企業(yè)一般很難有足夠的吸引力留住信息化及信息安全這一領(lǐng)域的人才。因此，在這種人才短缺的情況下，自然影響到企業(yè)信息化的進(jìn)程。主要表現(xiàn)為：企業(yè)一般沒(méi)有自己的信息化建設(shè)人才隊(duì)伍。信息技術(shù)專(zhuān)業(yè)人員的知識(shí)結(jié)構(gòu)也不能達(dá)到要求，掌握技術(shù)的不懂管理，懂管理的又不會(huì)技術(shù)，而且信息安全往往沒(méi)有專(zhuān)業(yè)人員進(jìn)行管理。

1.4資金短缺。

中小企業(yè)的資金狀況決定了其信息化投入遇到的限制相對(duì)較多。企業(yè)相對(duì)有限的資金，一般要優(yōu)先投入到直接促進(jìn)公司業(yè)績(jī)?cè)鲩L(zhǎng)的方向，而無(wú)形中就造成了信息資產(chǎn)所面臨的巨大風(fēng)險(xiǎn)；特別是在當(dāng)今越來(lái)越多的企業(yè)業(yè)務(wù)與互聯(lián)網(wǎng)有密切的聯(lián)系，甚至一些企業(yè)的業(yè)務(wù)完全建立在互聯(lián)網(wǎng)之上，以平均不到企業(yè)總收入1%的信息安全投入，怎么能保障這些業(yè)務(wù)的正常運(yùn)行？盡可能使投入比例接近常規(guī)，至少應(yīng)該使企業(yè)核心信息資產(chǎn)的安全得到保證，從實(shí)際情況來(lái)講，在良好的安全理念指導(dǎo)下，進(jìn)行細(xì)致的規(guī)劃和評(píng)估，通過(guò)適當(dāng)?shù)耐度胍彩强梢赃_(dá)到較好的整體效果，因?yàn)樵谥行∑髽I(yè)的應(yīng)用情境下，信息安全防御廣度是相對(duì)容易控制的；設(shè)計(jì)出體現(xiàn)其規(guī)律和特點(diǎn)的真正適合中小企業(yè)的信息安全產(chǎn)品，才能從根本上滿足中小企業(yè)信息安全需求。

1.5中小企業(yè)的信息倫理意識(shí)不強(qiáng)。

由于某些員工的信息倫理原因而帶來(lái)的信息安全問(wèn)題屢見(jiàn)不鮮。在很多時(shí)候，企業(yè)的員工都會(huì)因?yàn)槟承┎唤?jīng)意的行為對(duì)企業(yè)的信息資產(chǎn)造成破壞。尤其是在中小企業(yè)中員工的信息安全意識(shí)往往相對(duì)比較落后，對(duì)于互聯(lián)網(wǎng)上存在的威脅往往缺乏足夠的重視，而企業(yè)的管理層對(duì)于網(wǎng)絡(luò)的使用也沒(méi)有很好的管理手段。

2.中小企業(yè)信息安全問(wèn)題的解決措施

2.1從企業(yè)的自身情況考慮

要解決中小企業(yè)網(wǎng)絡(luò)信息安全問(wèn)題，不能僅依靠企業(yè)的安全設(shè)施和網(wǎng)絡(luò)安全產(chǎn)品，而應(yīng)該考慮如何提高企業(yè)自身的網(wǎng)絡(luò)安全意識(shí)，將信息安全問(wèn)題提升到重視的高度，要重視“人”的因素。具體表現(xiàn)在以下兩個(gè)方面：

2.1.1提高安全認(rèn)識(shí)

定期對(duì)企業(yè)員工進(jìn)行網(wǎng)絡(luò)安全教育培訓(xùn)深化企業(yè)的全員信息安全意識(shí)，企業(yè)管理層要制定完整的信息安全策略并貫徹執(zhí)行，對(duì)安全問(wèn)題要做到預(yù)先考慮和防備。

2.2.2要求中小企業(yè)在上網(wǎng)的過(guò)程中要做到“一做三不要”

首先將存有重要數(shù)據(jù)的電腦堅(jiān)決同網(wǎng)絡(luò)隔離，同時(shí)設(shè)置開(kāi)機(jī)密碼，并將軟驅(qū)、硬盤(pán)加密鎖定，進(jìn)行三級(jí)保護(hù)，其次不要在自己的系統(tǒng)之內(nèi)使用任何具有記憶命令的程序，因?yàn)檫@些程序不但能記錄用戶的擊鍵動(dòng)作甚至能以快照的形式記錄到屏幕上發(fā)生的一切，同時(shí)不在網(wǎng)上的任何場(chǎng)合下隨意透露自己企業(yè)的任何安全信息，最后不要啟動(dòng)系統(tǒng)資源共享功能，要盡量減少企業(yè)資源暴露在外部網(wǎng)上的機(jī)會(huì)和次數(shù)，減少黑客進(jìn)攻的機(jī)會(huì)【1】。

2.2從網(wǎng)絡(luò)安全角度考慮

2.2.1從網(wǎng)絡(luò)安全服務(wù)商的角度來(lái)說(shuō)，服務(wù)商要重視中小企業(yè)對(duì)網(wǎng)絡(luò)安全解決方案的需要，充分考慮中小企業(yè)的現(xiàn)實(shí)狀況，仔細(xì)調(diào)查和分析中小企業(yè)的安全因素，開(kāi)發(fā)出適合中小企業(yè)實(shí)際情況的網(wǎng)絡(luò)安全綜合解決方案。此外，還應(yīng)該注意投入大量精力在安全策略的施行及安全教育的開(kāi)展方面，這樣才能為中小企業(yè)信息安全工作的順利開(kāi)展提供堅(jiān)實(shí)的保證。

2.2.2要用防火墻將企業(yè)的局域網(wǎng)（Intranet）與互聯(lián)網(wǎng)之間進(jìn)行隔離。由于網(wǎng)絡(luò)攻擊不斷升級(jí)，對(duì)應(yīng)的防火墻軟件也應(yīng)該及時(shí)跟著升級(jí)，這樣就要求我們企業(yè)的網(wǎng)管人員要經(jīng)常到有P網(wǎng)站上下載最新的補(bǔ)丁程序，以便進(jìn)行網(wǎng)絡(luò)維護(hù)，同時(shí)經(jīng)常掃描整個(gè)內(nèi)部網(wǎng)絡(luò)，以發(fā)現(xiàn)任何安全隱患并及時(shí)更改，才能做到有備無(wú)患【2】。

2.2.3企業(yè)用戶最好自己學(xué)會(huì)如何調(diào)試和管理自己的局域網(wǎng)系統(tǒng)，不要經(jīng)常請(qǐng)別人來(lái)協(xié)助管理。中小企業(yè)要培養(yǎng)自己解決安全問(wèn)題的能力，提高自己的信息安全技術(shù)。如果缺乏這方面的人才就應(yīng)該去引進(jìn)或者培養(yǎng)相關(guān)人才。

2.2.4內(nèi)部網(wǎng)絡(luò)系統(tǒng)的密碼要定期修改。動(dòng)態(tài)的密碼有助于防止黑客的攻擊以及來(lái)自內(nèi)部人員的泄密。

2.2.5要經(jīng)常使用殺毒軟件來(lái)維護(hù)局域網(wǎng)系統(tǒng)不受病毒攻擊?，F(xiàn)在國(guó)內(nèi)的殺毒軟件都推出了清除某些特洛伊木馬的功能，可以不定期地在脫機(jī)的情況下進(jìn)行檢查和清除。

2.2.6同其它企業(yè)進(jìn)行聯(lián)合，共同抵制黑客的入侵，一旦被入侵要及時(shí)向有關(guān)部門(mén)匯報(bào)，并共同查找入侵來(lái)源，鎖定黑客IP地址。將網(wǎng)絡(luò)的TCP起時(shí)限制在15分鐘以內(nèi)，減少黑客入侵的機(jī)會(huì)。并擴(kuò)大連接表，增加黑客填寫(xiě)整個(gè)連接表的難度【3】。

小結(jié)

綜上所述，我國(guó)中小企業(yè)的信息安全問(wèn)題日益突出。由于受到管理水平、資金、技術(shù)、 意識(shí)等幾方面的制約，中小企業(yè)完全依靠自己解決所有信息化安全問(wèn)題是不現(xiàn)實(shí)的，它們很難使用大企業(yè)中那種復(fù)雜的信息安全系統(tǒng)，因此迫切需要適合中小企業(yè)自身情況的綜合解決措施。

【參考文獻(xiàn)】：

【1】 楊江；周小玲； 基于企業(yè)的危機(jī)信息管理[J]；科技情報(bào)開(kāi)發(fā)與經(jīng)濟(jì)；2009年32期

第6篇：企業(yè)信息安全意識(shí)范文

【關(guān)鍵詞】信息系統(tǒng) 身份鑒別 漏洞掃描 信息安全管理體系（ISMS）

近年來(lái)，“Locky勒索軟件變種”、““水牢漏洞””、“支付寶實(shí)名認(rèn)證信息漏洞”、“京東12G用戶數(shù)據(jù)泄露”、“700元買(mǎi)他人隱私信息”等信息安全事件層出不窮，引起各國(guó)領(lǐng)導(dǎo)的重視和社會(huì)關(guān)注。為提高網(wǎng)絡(luò)安全和互聯(lián)網(wǎng)治理，2014年，我國(guó)成立了以主席為最高領(lǐng)導(dǎo)的信息安全管理機(jī)構(gòu)-中央網(wǎng)信辦；2016年11月，在中國(guó)烏鎮(zhèn)舉行了《第三屆世界互聯(lián)網(wǎng)大會(huì)》。通過(guò)一系列的行為，為求現(xiàn)有的網(wǎng)絡(luò)系統(tǒng)能夠提高安全能力，為廣大社會(huì)群眾提供服務(wù)的同時(shí)，能夠保證人民的利益。

信息系統(tǒng)是由硬件、軟件、信息、規(guī)章制度等組成，主要以處理信息流為主，信息系統(tǒng)的網(wǎng)絡(luò)安全備受關(guān)注。企業(yè)在應(yīng)對(duì)外部攻擊，安全風(fēng)險(xiǎn)的同時(shí)，當(dāng)務(wù)之急是建立一套完整的信息安全管理體系。在統(tǒng)一的體系管控下，分布實(shí)施，開(kāi)展各項(xiàng)安全工作。

目前，大多數(shù)企業(yè)的信息安全工作比較單一，主要是部署安全防護(hù)設(shè)備，進(jìn)行簡(jiǎn)單的配置。信息安全工作不全面，安全管理相對(duì)薄弱，不足以抵抗來(lái)自外部的威脅。

1 信息安全問(wèn)題

1.1 身份鑒別不嚴(yán)格

考慮到方便記憶和頻繁的登錄操作，企業(yè)普遍存在管理員賬號(hào)簡(jiǎn)單或者直接采用系統(tǒng)的默認(rèn)賬號(hào)現(xiàn)象，并且基本不設(shè)定管理員的權(quán)限，默認(rèn)使用最大權(quán)限。一旦攻擊者通過(guò)猜測(cè)或其他手段獲得管理員賬號(hào)，攻擊者如入無(wú)人之境，可以任意妄為。最終可造成數(shù)據(jù)泄露，系統(tǒng)癱瘓等不可估量的嚴(yán)重后果。注重信息安全的企業(yè)會(huì)修改默認(rèn)管理員賬號(hào)，設(shè)定較為復(fù)雜的口令，并定期進(jìn)行口令更換。但是也僅僅使用一種身份鑒別技術(shù)，不足以抵抗外部攻擊。

1.2 外部攻擊，層出不窮

隨著計(jì)算機(jī)技術(shù)的發(fā)展，信息系統(tǒng)的外部攻簦層出不窮。攻擊者利用網(wǎng)絡(luò)系統(tǒng)的漏洞和缺陷，攻擊系統(tǒng)軟件、硬件和數(shù)據(jù)，進(jìn)行非法操作，造成系統(tǒng)癱瘓或者數(shù)據(jù)丟失。 目前主要存在的攻擊手段包括掃描技術(shù)、郵件

攻擊、拒絕服務(wù)攻擊、口令攻擊、惡意程序等等；入侵常用的步驟包括采用漏洞掃描工具進(jìn)行掃描、選擇合適的方式入侵、獲取系統(tǒng)的一定權(quán)限、提升為系統(tǒng)最高權(quán)限、安裝系統(tǒng)后門(mén)、獲取敏感信息或者其他攻擊目的。攻擊者會(huì)根據(jù)系統(tǒng)特性和網(wǎng)絡(luò)結(jié)構(gòu)采取不同的手段對(duì)網(wǎng)絡(luò)進(jìn)行攻擊，如果不采取相應(yīng)的防御手段，很容易被黑客攻擊，造成損失。

1.3 員工安全意識(shí)薄弱

很多互聯(lián)網(wǎng)企業(yè)的員工缺乏信息安全意識(shí)，存在離開(kāi)辦公電腦時(shí)不鎖屏現(xiàn)象；將重要客戶信息、合同等敏感材料放在辦公桌上或者不及時(shí)取走打印機(jī)房?jī)?nèi)的材料；優(yōu)盤(pán)未經(jīng)殺毒直接連接公司電腦；隨意點(diǎn)擊不明郵件的鏈接；更有員工將系統(tǒng)賬號(hào)、密碼粘貼在辦公桌上；在系統(tǒng)建設(shè)階段，大到管理者，小到開(kāi)發(fā)人員、測(cè)試人員，均注重技術(shù)實(shí)現(xiàn)和業(yè)務(wù)要求，而忽略了系統(tǒng)的安全和管理。由于員工的信息安全意識(shí)較為薄弱，很容易造成公司信息泄露，進(jìn)而導(dǎo)致公司的損失。

1.4 內(nèi)部管理制度不完善

俗話說(shuō)，“不以規(guī)矩，不能成方圓”。未形成全面的信息安全管理制度體系，缺失部分安全策略、管理制度、操作規(guī)程，可能導(dǎo)致信息安全管理制度體系存在疏漏，部分管理內(nèi)容無(wú)法有效實(shí)施。使相關(guān)工作過(guò)程缺乏規(guī)范依據(jù)和質(zhì)量保障，進(jìn)而影響到信息系統(tǒng)的安全建設(shè)和安全運(yùn)維。比如在軟件開(kāi)發(fā)過(guò)程中，開(kāi)發(fā)人員會(huì)因?yàn)楦鞣N原因而忽略安全開(kāi)發(fā)（存在開(kāi)發(fā)人員沒(méi)有意識(shí)到代碼安全開(kāi)發(fā)的問(wèn)題；有些開(kāi)發(fā)人員不愿意使用邊界檢查，怕影響系統(tǒng)的效率和性能；當(dāng)然也存在許多遺留代碼存在問(wèn)題的現(xiàn)象，從而導(dǎo)致二次開(kāi)發(fā)同樣產(chǎn)生問(wèn)題），可能導(dǎo)致系統(tǒng)存在后門(mén)，被黑客攻擊。

2 防范措施

企業(yè)需依據(jù)《信息安全等級(jí)保護(hù)管理辦法（公通字[2007]43號(hào)）》、《中華人民共和國(guó)網(wǎng)絡(luò)安全法》》、《ISO/IEC 27001》等標(biāo)準(zhǔn)和法律法規(guī)進(jìn)行信息系統(tǒng)安全建設(shè)工作。測(cè)評(píng)機(jī)構(gòu)在網(wǎng)安的要求下，對(duì)企業(yè)信息系統(tǒng)的安全進(jìn)行測(cè)評(píng)，并出具相應(yīng)測(cè)評(píng)結(jié)果。根據(jù)測(cè)評(píng)結(jié)果和整改建議，采用相應(yīng)的技術(shù)手段（安全認(rèn)證、入侵檢測(cè)、漏洞掃描、監(jiān)控管理、數(shù)據(jù)備份與加密等）和管理措施（安全團(tuán)隊(duì)、教育與培訓(xùn)、管理體系等）對(duì)信息系統(tǒng)進(jìn)行整改。如圖1所示。

2.1 技術(shù)手段

2.1.1 安全認(rèn)證

身份鑒別是指在計(jì)算機(jī)系統(tǒng)中確認(rèn)執(zhí)行者身份的過(guò)程，以確定該用戶是否具有訪問(wèn)某種資源的權(quán)限，防止非法用戶訪問(wèn)系統(tǒng)資源，保障合法用戶訪問(wèn)授權(quán)的信息系統(tǒng)。凡登錄系統(tǒng)的用戶，均需進(jìn)行身份鑒別和標(biāo)識(shí)，且標(biāo)識(shí)需具有唯一性。用戶身份鑒別機(jī)制一般分為用戶知道的信息、用戶持有的信息、用戶生物特征信息三種。針對(duì)不同鑒別機(jī)制，常用的鑒別技術(shù)（認(rèn)證技術(shù)）如表1所示。

不同的認(rèn)證技術(shù)，在安全性、便捷性方面存在不同的特性。比如USB-Key的安全等級(jí)較高，但會(huì)遇到各種問(wèn)題，導(dǎo)致便捷性較差（比如存在軟硬件適配性問(wèn)題，移動(dòng)終端無(wú)USB口等）。一般認(rèn)為在相同的便捷性前提下，選擇安全等級(jí)較高的認(rèn)證技術(shù)。針對(duì)重要系統(tǒng)應(yīng)采用雙因子認(rèn)證技術(shù)。

2.1.2 入侵檢測(cè)

入侵檢測(cè)能夠依據(jù)安全策略，對(duì)網(wǎng)絡(luò)和系統(tǒng)進(jìn)行監(jiān)視，發(fā)現(xiàn)各種攻擊行為，能夠?qū)崟r(shí)保護(hù)內(nèi)部攻擊、外部攻擊和誤操作的情況，保證信息系統(tǒng)網(wǎng)絡(luò)資源的安全。入侵檢測(cè)系統(tǒng)（IDS）是一個(gè)旁路監(jiān)聽(tīng)設(shè)備，需要部署在網(wǎng)絡(luò)內(nèi)部。如果信息系統(tǒng)中包含了多個(gè)邏輯隔離的子網(wǎng)，則需要在整個(gè)信息系統(tǒng)中實(shí)施分布部署，從而掌控整個(gè)信息系統(tǒng)安全狀況。

2.1.3 漏洞掃描

漏洞掃描是指基于漏洞數(shù)據(jù)庫(kù)，通過(guò)掃描等手段對(duì)目標(biāo)系統(tǒng)的安全脆弱性進(jìn)行檢測(cè)，發(fā)現(xiàn)可利用的漏洞的一種安全檢測(cè)行為。常見(jiàn)的漏洞掃描類(lèi)型主要包括系統(tǒng)安全隱患掃描、應(yīng)用安全隱患掃描、數(shù)據(jù)庫(kù)安全配置隱患掃描等。系統(tǒng)安全隱患掃描根據(jù)掃描方式的不同，分為基于網(wǎng)絡(luò)的和基于主機(jī)的系統(tǒng)安全掃描，可以發(fā)現(xiàn)系統(tǒng)存在的安全漏洞、安全配置隱患、弱口令、服務(wù)和端口等。應(yīng)用安全隱患掃描可以掃描出Web應(yīng)用中的SQL注入、Cookie注入、XPath注入、LDAP注入、跨站腳本、第三方軟件等大部分漏洞。數(shù)據(jù)庫(kù)安全配置隱患掃描可以檢測(cè)出數(shù)據(jù)庫(kù)的DBMS漏洞、缺省配置、權(quán)限提升漏洞、緩沖區(qū)溢出、補(bǔ)丁未升級(jí)等自身漏洞。

漏洞掃描主要用于評(píng)估主機(jī)操作系統(tǒng)、網(wǎng)絡(luò)和安全設(shè)備操作系統(tǒng)、數(shù)據(jù)庫(kù)以及應(yīng)用平臺(tái)軟件的安全情況，它能有效避免黑客攻擊行為，做到防患于未然。

2.1.4 監(jiān)控管理

網(wǎng)絡(luò)監(jiān)控主要包括上網(wǎng)監(jiān)控和內(nèi)網(wǎng)監(jiān)控兩部分。目前市場(chǎng)上已做的完整監(jiān)控軟件已包含上述功能。網(wǎng)絡(luò)監(jiān)控需結(jié)合網(wǎng)絡(luò)拓?fù)?，在網(wǎng)絡(luò)關(guān)鍵點(diǎn)接入監(jiān)控工具監(jiān)測(cè)當(dāng)前網(wǎng)絡(luò)數(shù)據(jù)流量，分析可疑信息流，通過(guò)截包解碼分析的方式驗(yàn)證系統(tǒng)數(shù)據(jù)傳輸?shù)陌踩?。例如Solarwinds網(wǎng)絡(luò)監(jiān)控平臺(tái)，它包括Network Performance Monitoring、Network Traffic Analysis、WAN Performance （IP SLA） 、IP Address Management、Network Configuration Management、Application Performance Monitoring等?？梢詧?zhí)行全面的帶寬性能監(jiān)控和故障管理；可以分析網(wǎng)絡(luò)流量；可以對(duì)服務(wù)器上運(yùn)行的服務(wù)和進(jìn)程進(jìn)行自動(dòng)監(jiān)控，并在故障發(fā)生時(shí)及時(shí)告警；可對(duì)VOIP的相關(guān)參數(shù)進(jìn)行監(jiān)控；可以通過(guò)直觀的網(wǎng)絡(luò)控制臺(tái)管理整個(gè)IP架構(gòu)；可快速檢測(cè)、診斷及解決虛擬化環(huán)境的網(wǎng)絡(luò)性能；強(qiáng)大的應(yīng)用程序監(jiān)視、告警、報(bào)告功能等。

2.1.5 數(shù)據(jù)備份與加密

企業(yè)高度重視業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)和軟件系統(tǒng)。數(shù)據(jù)在存儲(chǔ)時(shí)應(yīng)加密存儲(chǔ)，防止黑客攻擊系統(tǒng)，輕易獲得敏感數(shù)據(jù)，造成公司的重大經(jīng)濟(jì)損失。常用的加密算法包括對(duì)稱(chēng)加密（DES、AES）和不對(duì)稱(chēng)加密算法（RSA）。密碼技術(shù)不僅可以防止信息泄露，同時(shí)可以保證信息的完整性和不可抵賴性。例如現(xiàn)在比較成熟的哈希算法、數(shù)字簽名、數(shù)字證書(shū)等。

除了對(duì)數(shù)據(jù)進(jìn)行加密存儲(chǔ)外，由于存在數(shù)據(jù)丟失、系統(tǒng)斷電、機(jī)房著火等意外，需對(duì)系統(tǒng)數(shù)據(jù)進(jìn)行備份。按照備份環(huán)境，備份分為本地備份和異地備份；按照備份數(shù)據(jù)量的多少，備份分為全備、增備、差分備份和按需備份。各企業(yè)需根據(jù)自己的業(yè)務(wù)要求和實(shí)際情況，選取合適的備份方式進(jìn)行備份。理想的備份是綜合了軟件數(shù)據(jù)備份和硬件冗余設(shè)計(jì)。

2.2 管理措施

2.2.1 安全團(tuán)隊(duì)

企業(yè)應(yīng)設(shè)立能夠統(tǒng)一指揮、協(xié)調(diào)有序、組織有力的專(zhuān)業(yè)的安全管理團(tuán)隊(duì)負(fù)責(zé)信息安全工作，該團(tuán)隊(duì)包括信息安全委員會(huì)，信息安全部門(mén)及其成員。安全部門(mén)負(fù)責(zé)人除了具備極強(qiáng)的業(yè)務(wù)處理能力，還需要有管理能力、溝通能力、應(yīng)變能力。目前安全團(tuán)隊(duì)的從業(yè)人員數(shù)量在逐漸增加，話語(yǔ)權(quán)在增多，肩上的擔(dān)子也越來(lái)越大。安全團(tuán)隊(duì)需要定好自己的位，多檢查少運(yùn)維，多幫企業(yè)解決問(wèn)題。即安全團(tuán)隊(duì)修路，各部門(mén)在上面跑自己的需求。

2.2.2 教育c培訓(xùn)

保護(hù)企業(yè)信息安全，未雨綢繆比亡羊補(bǔ)牢要強(qiáng)。培養(yǎng)企業(yè)信息安全意識(shí)文化，樹(shù)立員工信息安全責(zé)任心，是解決企業(yè)信息安全的關(guān)鍵手段之一。企業(yè)的競(jìng)爭(zhēng)實(shí)際上是人才的競(jìng)爭(zhēng)，除了定期進(jìn)行技能培訓(xùn)外，還需對(duì)員工的安全意識(shí)進(jìn)行教育和培訓(xùn)。信息安全團(tuán)隊(duì)?wèi)?yīng)制定信息安全意識(shí)教育和培訓(xùn)計(jì)劃，包括但不限于在線、郵件、海報(bào)（標(biāo)語(yǔ)）、視頻、專(zhuān)場(chǎng)、外培等形式。通過(guò)對(duì)員工的安全意識(shí)教育，能從內(nèi)部預(yù)防企業(yè)安全事件的發(fā)生，提高企業(yè)的安全保障能力。

2.2.3 管理體系

隨著計(jì)算機(jī)攻擊技術(shù)的不斷提高，攻擊事件越來(lái)越多，且存在部分攻擊來(lái)自公司組織內(nèi)部。單靠個(gè)人的力量已無(wú)法保障信息系統(tǒng)的安全。因此，企業(yè)需建立自上而下的信息安全管理體系（ISMS， Information Security Management System），以達(dá)到分工明確，職責(zé)清晰，安全開(kāi)發(fā)，可靠運(yùn)維。安全管理制度作為安全管理體系的綱領(lǐng)性文件，在信息系統(tǒng)的整個(gè)生命周期中起著至關(guān)重要的作用。不同機(jī)構(gòu)在建立與完善信息安全管理體系時(shí)，可根據(jù)自身情況，采取不同的方法，一般經(jīng)過(guò)PDCA四個(gè)基本階段（Plan：策劃與準(zhǔn)備；Do文件的編制；Check運(yùn)行；Action審核、評(píng)審和持續(xù)改進(jìn)）?？梢罁?jù)ISO27000，信息安全等級(jí)保護(hù)等，從制度、安全機(jī)構(gòu)、人員、系統(tǒng)建設(shè)和系統(tǒng)運(yùn)維5個(gè)方面去制定信息安全管理體系。通常，信息安全管理體系主要由總體方針和政策、安全管理制度、日常操作規(guī)程和記錄文檔組成，如圖2所示。

3 結(jié)語(yǔ)

國(guó)家不斷加強(qiáng)對(duì)各個(gè)互聯(lián)網(wǎng)企業(yè)、金融、銀行等的信息安全工作監(jiān)督，通過(guò)ISO27000、信息安全等級(jí)保護(hù)測(cè)評(píng)、電子銀行評(píng)估、互聯(lián)網(wǎng)網(wǎng)站專(zhuān)項(xiàng)安全測(cè)評(píng)等方式，規(guī)范企業(yè)的信息安全建設(shè)工作。同樣，信息安全工作長(zhǎng)期面臨挑戰(zhàn)，不能一蹴而就，需要相關(guān)安全工作人員戮力同心、同舟共濟(jì)、相互扶持、攜手共建信息安全的共同體。

參考文獻(xiàn)

[1]沈昌祥，張煥國(guó)，馮登國(guó)等.信息安全綜述[J].中國(guó)科學(xué)雜志社，2007（37）：129-150.

[2]李嘉，蔡立志，張春柳等.信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)實(shí)踐[M].哈爾濱工程大學(xué)出版社，2016（01）.

[3]蔣欣.計(jì)算機(jī)網(wǎng)絡(luò)戰(zhàn)防御技術(shù)分析[J].指揮控制與仿真，2006（08），28-4.

作者簡(jiǎn)介

康玉婷（1988-），女，上海市人。碩士學(xué)位?，F(xiàn)為信息安全等級(jí)測(cè)評(píng)師、初級(jí)工程師。主要研究方向?yàn)樾畔踩?/p>

作者單位

第7篇：企業(yè)信息安全意識(shí)范文

論文摘要：伴隨著企業(yè)信息化的發(fā)展，信息安全越來(lái)越受到重視。針對(duì)當(dāng)前信息安全存在的問(wèn)題，作者進(jìn)行了調(diào)查，分析了其中的原因，最后從管理學(xué)的角度提出了相關(guān)的策略和建議。

隨著信息技術(shù)的發(fā)展和網(wǎng)絡(luò)化應(yīng)用的普遍推廣，各機(jī)關(guān)組織和企事業(yè)單位都開(kāi)展各類(lèi)管理業(yè)務(wù)的信息化建立。企業(yè)的發(fā)展運(yùn)作離不開(kāi)信息系統(tǒng)的安全運(yùn)行。信息安全通過(guò)保護(hù)企業(yè)信息的機(jī)密性、完整性和可用性，不僅保護(hù)了企業(yè)各類(lèi)信息資產(chǎn)的安全，還能增強(qiáng)企業(yè)的核心競(jìng)爭(zhēng)力，維護(hù)企業(yè)的形象和信譽(yù)。信息安全對(duì)企業(yè)的生存和發(fā)展的是至關(guān)重要的，需要從戰(zhàn)略的高度對(duì)信息安全進(jìn)行規(guī)劃和管理。

一、企業(yè)中信息安全管理經(jīng)常存在的問(wèn)題

日常安全管理中存在的主要問(wèn)題，首先是用戶安全意識(shí)和觀念薄弱的占58%，第二位的是網(wǎng)絡(luò)安全管理人員缺乏培訓(xùn)，占39%；其后，依次是保障經(jīng)費(fèi)投入不足、缺乏安全信息共享和安全產(chǎn)品不能滿足要求。

不僅在日常管理中，在技術(shù)管理方面也存在一定的問(wèn)題。在CSDN泄密門(mén)事件中，專(zhuān)業(yè)IT博客“月光博客”撰文表示“整個(gè)事件最不可思議的地方在于，像CSDN這樣的以程序員和開(kāi)發(fā)為核心的大型網(wǎng)站，居然采用明文存儲(chǔ)密碼”，“稍微懂一點(diǎn)編程的程序員都知道，為了用戶的安全，應(yīng)該在數(shù)據(jù)庫(kù)里保存用戶密碼的加密信息，這樣黑客即使下載了數(shù)據(jù)庫(kù)，破解用戶密碼也不是一件容易的事情” ?？梢?jiàn)，有些涉及技術(shù)方面的問(wèn)題，也并不是單純的技術(shù)問(wèn)題，而是與技術(shù)人員安全意識(shí)不強(qiáng)、責(zé)任心不到位有關(guān)。

為了了解企業(yè)內(nèi)部員工在信息安全問(wèn)題上的看法及所做的努力，我們對(duì)一家電子商務(wù)企業(yè)和一家銀行的部分工作人員進(jìn)行了問(wèn)卷和訪談?wù){(diào)查，發(fā)現(xiàn)在企業(yè)員工中存在如下一些問(wèn)題：

1.是信息安全意識(shí)方面，被調(diào)查者認(rèn)為信息安全對(duì)企業(yè)和個(gè)人都非常重要。但大多數(shù)受訪者對(duì)信息安全的問(wèn)題了解很少等。

2.很多受訪者認(rèn)為信息安全屬于技術(shù)人員的事情；與技術(shù)人員的交流非常少；忙于業(yè)務(wù)，沒(méi)有時(shí)間去處理。

3.是用戶認(rèn)為信息安全管理措施效果不好。有些信息安全行為的規(guī)范標(biāo)準(zhǔn)雖然掛在網(wǎng)上或貼在墻上，很少有人去關(guān)注；公司發(fā)動(dòng)的信息安全的培訓(xùn)活動(dòng)沒(méi)有收到好的效果。

二、信息安全問(wèn)題的根源

通過(guò)對(duì)調(diào)查的結(jié)果進(jìn)行深入分析，發(fā)現(xiàn)導(dǎo)致信息安全事件頻發(fā)、風(fēng)險(xiǎn)損失嚴(yán)重的原因從根本上來(lái)說(shuō)，有以下幾個(gè)方面：

1.信息安全是一個(gè)多維問(wèn)題，涉及到企業(yè)管理的方方面面。企業(yè)在信息安全問(wèn)題上往往涉及多個(gè)部門(mén)。有些情況下，無(wú)法明確責(zé)任，使得信息安全得不到應(yīng)有的重視以及有效的管理。

2.風(fēng)險(xiǎn)平衡理論認(rèn)為，人會(huì)愿意承擔(dān)一定程度的風(fēng)險(xiǎn)。這與你采用多少的安全防護(hù)措施無(wú)關(guān)。有時(shí)即使有條件可以到達(dá)絕對(duì)安全的狀態(tài)，由于人性的緣故，也不會(huì)那樣去做。

3.信息安全與效率和便利性本身是矛盾的。信息安全加強(qiáng)了，受到的約束也就多了，相應(yīng)地效率也就降低了。比如簡(jiǎn)單規(guī)律地密碼，可以不必費(fèi)力去記；插入U(xiǎn)盤(pán)時(shí)進(jìn)行殺毒，必然要耽誤時(shí)間；沒(méi)有接入網(wǎng)絡(luò)，不可能受到網(wǎng)絡(luò)攻擊，但也就失去了網(wǎng)上瀏覽所需信息、網(wǎng)絡(luò)交流的自由，因此有人半開(kāi)玩笑地說(shuō)：“最安全的計(jì)算機(jī)是拔掉網(wǎng)絡(luò)的那臺(tái)計(jì)算機(jī)”。

4.由于某些緣故，網(wǎng)絡(luò)中總是存在黑客，專(zhuān)門(mén)竊取信息或破壞網(wǎng)絡(luò)系統(tǒng)。他們的水平都非常專(zhuān)業(yè)，一般的用戶難以預(yù)防。所謂“道高一尺，魔高一丈”，信息安全的水平總是在這種攻擊與防守中進(jìn)步的。

5.信息安全問(wèn)題的不確定性。信息安全問(wèn)題的不確定性主要指是否發(fā)生風(fēng)險(xiǎn)的不確定性、無(wú)法精確地評(píng)估當(dāng)前所面臨的風(fēng)險(xiǎn)以及風(fēng)險(xiǎn)發(fā)生所帶來(lái)的損失的難以把握。

所有這一切因素，都使得信息安全無(wú)法得到有效的關(guān)注和重視，無(wú)法采用有效的措施來(lái)預(yù)防和避免。這也是導(dǎo)致信息安全事件發(fā)生頻率居高不下，風(fēng)險(xiǎn)損失較大的主要原因。 轉(zhuǎn)貼于

三、相關(guān)的建議和策略

針對(duì)企業(yè)信息安全的問(wèn)題，文章運(yùn)用管理學(xué)的理論進(jìn)行論述。企業(yè)管理涉及四個(gè)功能：計(jì)劃、組織、領(lǐng)導(dǎo)、控制 。

1.從計(jì)劃的角度來(lái)看：企業(yè)應(yīng)當(dāng)確立信息安全的發(fā)展戰(zhàn)略，從戰(zhàn)略的高度來(lái)對(duì)待和管理信息安全，確保信息安全所引發(fā)的風(fēng)險(xiǎn)達(dá)到可以接受的范圍之內(nèi)。從全局角度制定信息安全的策略，確立信息安全的目標(biāo)，以及實(shí)現(xiàn)目標(biāo)需要的行動(dòng)方案。

2.從組織的角度來(lái)看：人力資源的管理的觀點(diǎn)認(rèn)為，企業(yè)的組織結(jié)構(gòu)，取決于組織戰(zhàn)略 。在許多企業(yè)組織結(jié)構(gòu)中，只有技術(shù)部門(mén)，沒(méi)有信息安全管理部門(mén)。S.H.(basie) von Solms 曾討論過(guò)，技術(shù)管理與安全管理兩個(gè)部門(mén)必須設(shè)置成為兩個(gè)獨(dú)立的部門(mén)，否則無(wú)法保證安全評(píng)估的客觀性。因此有必要設(shè)置一個(gè)專(zhuān)門(mén)負(fù)責(zé)信息安全管理的部門(mén)，這個(gè)部門(mén)并不負(fù)責(zé)具體的技術(shù)，但是要懂技術(shù)，主要是開(kāi)展企業(yè)的安全培訓(xùn)工作、日常的安全管理工作、對(duì)存在的風(fēng)險(xiǎn)進(jìn)行評(píng)估，最大限度地降低安全風(fēng)險(xiǎn)。

3.從領(lǐng)導(dǎo)的角度來(lái)看：根據(jù)wilde的風(fēng)險(xiǎn)平衡理論，一個(gè)人會(huì)愿意承擔(dān)一定程度的風(fēng)險(xiǎn)。 “風(fēng)險(xiǎn)平衡”觀念會(huì)讓整個(gè)機(jī)構(gòu)處于盲目樂(lè)觀的過(guò)度自信狀態(tài)，不管是企業(yè)的員工還是管理者都傾向于追求效率 ，從而忽視信息安全的投入。

在企業(yè)的管理過(guò)程中，應(yīng)當(dāng)加強(qiáng)信息安全、風(fēng)險(xiǎn)意識(shí)方面的培訓(xùn)和教育，增進(jìn)員工與技術(shù)人員的面對(duì)面的溝通與交流，開(kāi)展有效的安全意識(shí)活動(dòng)。

4.從控制的角度來(lái)看：對(duì)風(fēng)險(xiǎn)的控制要求企業(yè)對(duì)自己的安全狀況不斷評(píng)估，時(shí)時(shí)防范。這就要求安全管理部門(mén)每隔一定時(shí)間向上匯報(bào)信息安全的進(jìn)展情況，定期進(jìn)行風(fēng)險(xiǎn)評(píng)估工作。

文章從管理學(xué)的角度來(lái)分析信息安全風(fēng)險(xiǎn)管理，對(duì)信息安全問(wèn)題做了實(shí)地調(diào)查，分析了目前信息安全存在的一些問(wèn)題，并對(duì)存在的問(wèn)題的根源進(jìn)行了深入的分析，最后文章運(yùn)用管理學(xué)的理論，從計(jì)劃、組織、領(lǐng)導(dǎo)、控制四個(gè)角度出了相應(yīng)的建議和策略。

參考文獻(xiàn)

[1]Wilde GJS.The theory of risk homeostasis: implications for safety and health. Risk Analysis 1982;2(04):209-25.

[2]秦志華.企業(yè)管理[M].大連:東北財(cái)經(jīng)大學(xué)出版社，2011，1.

[3]廖三余，曹會(huì)勇.人力資源管理[M].北京:清華大學(xué)出版社，2011，9.

第8篇：企業(yè)信息安全意識(shí)范文

關(guān)鍵詞 信息安全事故；安全管理；事故致因理論

中圖分類(lèi)號(hào) F49

文獻(xiàn)標(biāo)識(shí)碼 A

文章編號(hào) 1006-5024（2013）01-0055-04

一、引言

在信息化浪潮席卷全球的今天，信息的重要性不言而喻。我國(guó)國(guó)民經(jīng)濟(jì)和社會(huì)信息化建設(shè)進(jìn)程全面加快，網(wǎng)絡(luò)與信息系統(tǒng)的基礎(chǔ)性、全局性作用日益增強(qiáng)，信息技術(shù)在提高企業(yè)服務(wù)水平、促進(jìn)業(yè)務(wù)創(chuàng)新、提升核心競(jìng)爭(zhēng)力等方面發(fā)揮了重要作用。但是，在進(jìn)行信息化建設(shè)的同時(shí)，各種信息安全事故卻頻繁發(fā)生。據(jù)普華永道2010年度全球信息安全調(diào)查報(bào)告顯示，中國(guó)企業(yè)信息安全事故發(fā)生率遠(yuǎn)遠(yuǎn)高于世界平均水平。網(wǎng)絡(luò)事故、數(shù)據(jù)事故及系統(tǒng)事故是中國(guó)企業(yè)常見(jiàn)的三大信息安全事故，發(fā)生率分別為51%、45%和40%，而相同事故在全球范圍內(nèi)的發(fā)生率則為25%、27%與23%。

大量文獻(xiàn)和事實(shí)表明，信息的特殊性決定了信息安全事故的高發(fā)性。信息具有易傳播、易擴(kuò)散、易毀損的特點(diǎn)，信息資產(chǎn)比傳統(tǒng)的實(shí)物資產(chǎn)更加脆弱，而其運(yùn)作的風(fēng)險(xiǎn)、收益和機(jī)會(huì)卻比實(shí)物資產(chǎn)大得多。企業(yè)對(duì)信息系統(tǒng)不斷增強(qiáng)的依賴性也增大了重要信息受到嚴(yán)重侵?jǐn)_和破壞的風(fēng)險(xiǎn)，而這些風(fēng)險(xiǎn)常導(dǎo)致企業(yè)資產(chǎn)受損或業(yè)務(wù)中斷。

目前，對(duì)于信息安全的研究大多集中于技術(shù)層面，從早期的加密技術(shù)、數(shù)據(jù)備份、防病毒到近期網(wǎng)絡(luò)環(huán)境下的防火墻、入侵檢測(cè)、身份認(rèn)證等，而從管理方面和流程優(yōu)化方面研究的較少。Ross Anderson（2001）認(rèn)為，信息安全的經(jīng)濟(jì)管理研究在某種程度上比技術(shù)研究更為重要。傅毓敏（2010）認(rèn)為，中國(guó)企業(yè)對(duì)信息安全管理人員和流程的重視不足是導(dǎo)致相關(guān)安全事故率居高不下的主要原因。因此，有必要系統(tǒng)分析企業(yè)信息安全事故發(fā)生的機(jī)理，以管理因素研究為核心，找出事故發(fā)生的根本原因。通過(guò)控制事故致因因素預(yù)防企業(yè)信息安全事故的發(fā)生，將對(duì)企業(yè)的信息安全管理有一定的指導(dǎo)意義。

本文將生產(chǎn)領(lǐng)域的事故致因理論應(yīng)用到信息安全事故分析中，系統(tǒng)分析企業(yè)信息安全事故的形成機(jī)理，將信息安全事故致因因素分為四部分，即環(huán)境因素、人員因素、技術(shù)因素和設(shè)備因素，分析各因素對(duì)信息安全事故的影響，構(gòu)建信息安全事故致因因素魚(yú)刺圖，并提出針對(duì)性的防范措施。

二、理論基礎(chǔ)

（一）國(guó)內(nèi)外從管理角度對(duì)信息安全事故的研究

國(guó)內(nèi)外的學(xué)者從不同角度對(duì)信息安全事故原因進(jìn)行了研究。Van Niekerk（2010）認(rèn)為企業(yè)信息安全文化氛圍是減少人為因素所導(dǎo)致的信息安全事故的關(guān)鍵；Knapp（2009）等先后對(duì)信息安全政策和信息安全事故之間的關(guān)系進(jìn)行了研究；Herath（2009）通過(guò)問(wèn)卷調(diào)研的實(shí)證研究驗(yàn)證了懲罰力度、壓力和員工的效果認(rèn)知會(huì)對(duì)其安全行為產(chǎn)生影響；Albrechtsen（2010）發(fā)現(xiàn)員工參與、集體反思和群體作用可以提高員工的信息安全意識(shí)，并改善其安全行為；Stanton（2005）研究發(fā)現(xiàn)終端用戶的安全行為會(huì)對(duì)企業(yè)信息安全管理產(chǎn)生影響；Ashenden（2008）通過(guò)實(shí)證研究發(fā)現(xiàn)信息安全管理人員、高層管理者和終端用戶之間存在信息鴻溝，雙方在理解上的差異會(huì)對(duì)企業(yè)的信息安全管理產(chǎn)生不利影響，增加了信息安全事故發(fā)生的幾率。此外，Vroom（2004）、Flowerday（2005）等學(xué)者也先后對(duì)此進(jìn)行了研究。

與國(guó)外相比，國(guó)內(nèi)對(duì)于信息安全的研究多集中于技術(shù)層面，涉及管理層面的研究較少。沈昌祥、張煥國(guó)、馮登國(guó)（2007）系統(tǒng)地闡述了信息安全理論及相關(guān)技術(shù)的發(fā)展；官巍、胡若（2007）從社會(huì)環(huán)境、商業(yè)、組織和個(gè)人的角度分析了電子商務(wù)的信息安全問(wèn)題；劉福來(lái)（2010）對(duì)中小企業(yè)信息化管理中存在的安全隱患和原因進(jìn)行了分析。

通過(guò)閱讀文獻(xiàn)發(fā)現(xiàn)，國(guó)外學(xué)者大多通過(guò)實(shí)證研究驗(yàn)證了一個(gè)或幾個(gè)因素對(duì)信息安全事故的影響，但是缺乏對(duì)信息安全事故的系統(tǒng)分析。國(guó)內(nèi)的研究多用于構(gòu)建信息安全管理體系，對(duì)信息安全事故的分析則鮮有研究。

（二）事故致因理論

在信息安全事故分析方法的選擇上，本文選擇了在生產(chǎn)領(lǐng)域廣泛應(yīng)用的事故致因理論。事故致因理論是研究分析導(dǎo)致事故發(fā)生原因因素的科學(xué)理論。它是描述事故成因、經(jīng)過(guò)和后果的理論，是研究人、物、環(huán)境、管理及事故處置等基本因素如何起作用而形成事故并造成損失的理論。

在早期的事故致因理論中，海因里希（W.H.Heinrich）的事故因果連鎖論最具代表性，它最先提出了物的不安全狀態(tài)和人的不安全行為是導(dǎo)致傷亡事故發(fā)生的兩個(gè)直接因素。在海因里希事故因果連鎖論的基礎(chǔ)上，博德（F.Bird）等又進(jìn)一步提出了把安全管理作為背后深層次的間接事故致因因素的現(xiàn)代安全科學(xué)觀點(diǎn)，認(rèn)為任何安全事故發(fā)生的深層次原因，都可以歸結(jié)為管理的失誤，人的不安全行為或物的不安全狀態(tài)不過(guò)是其背后的深層原因的征兆和管理失誤的反映。

本文依據(jù)博德（F.Bird）的現(xiàn)代安全科學(xué)觀點(diǎn)，提出如圖1所示的信息安全事故模型。信息安全事故的發(fā)生是由于人的不安全行為和物的不安全狀態(tài)作用在能量物質(zhì)/載體上的結(jié)果，而企業(yè)的管理因素是導(dǎo)致物的不安全狀態(tài)和人的不安全行為發(fā)生作用的直接因素。

三、信息安全事故分析

通過(guò)對(duì)各類(lèi)型信息安全事故致因因素的分析，企業(yè)信息安全事故的致因因素大體可分為兩類(lèi)，即人的因素和物的因素。其中，物的因素可進(jìn)一步分為環(huán)境因素、技術(shù)因素、設(shè)備因素等。根據(jù)實(shí)地調(diào)研和文獻(xiàn)梳理可以得出，企業(yè)文化的缺失、安全規(guī)章制度的不完善等環(huán)境因素是造成事故的深層原因。因此，本文將企業(yè)信息安全事故的可控致因因素整理歸納后分為四類(lèi)，即環(huán)境因素、人員因素、技術(shù)因素和設(shè)備因素，并構(gòu)建了信息安全事故魚(yú)刺圖（見(jiàn)圖2）。

（一）環(huán)境因素分析

在信息化建設(shè)過(guò)程中，很多企業(yè)由于急需開(kāi)展業(yè)務(wù)，往往出現(xiàn)“先業(yè)務(wù)，后安全”的現(xiàn)象，安全管理嚴(yán)重滯后于業(yè)務(wù)的發(fā)展。在企業(yè)的內(nèi)部環(huán)境中，企業(yè)業(yè)務(wù)的符合性直接決定了信息系統(tǒng)的設(shè)計(jì)、運(yùn)行、試用和管理是否超出法律規(guī)定和合同規(guī)定的安全要求的約束范圍。另外，很多企業(yè)安裝了一定的安全設(shè)備，但缺乏統(tǒng)一的安全體系規(guī)劃和安全防范機(jī)制，企業(yè)安全責(zé)任不明確，這些都大大增加了信息安全事故發(fā)生的風(fēng)險(xiǎn)。由于缺乏業(yè)務(wù)連續(xù)性計(jì)劃和事故處理機(jī)制，發(fā)生信息安全事故之后，企業(yè)的業(yè)務(wù)往往會(huì)出現(xiàn)中斷，此時(shí)，信息管理人員又變成“救火員”恢復(fù)業(yè)務(wù)，最終信息安全建設(shè)變成一種“頭痛醫(yī)頭，腳痛醫(yī)腳”的亡羊補(bǔ)牢式的行為。此外，企業(yè)懲戒措施和審計(jì)機(jī)制的缺乏也是導(dǎo)致信息安全事故頻繁發(fā)生或重復(fù)發(fā)生的重要因素。

在信息安全管理的外部環(huán)境中，與企業(yè)密切相關(guān)的是第三方服務(wù)機(jī)構(gòu)或個(gè)人。企業(yè)選擇第三方服務(wù)機(jī)構(gòu)為企業(yè)提供服務(wù)，就意味著將企業(yè)的部分信息轉(zhuǎn)移至第三方。企業(yè)與第三方的外包合約不完善、第三方的服務(wù)質(zhì)量不高以及對(duì)第三方數(shù)據(jù)訪問(wèn)權(quán)限的不明確易導(dǎo)致企業(yè)關(guān)鍵數(shù)據(jù)的泄露，容易引發(fā)外部攻擊。

（二）人員因素分析

人員是信息安全管理中最為活躍的因素，不同類(lèi)別的人員對(duì)信息安全事故的影響不盡相同。（1）管理人員。高層管理者是企業(yè)資源投入的決策者，也是企業(yè)信息安全管理的核心，高層對(duì)信息安全的支持和重視不夠是導(dǎo)致企業(yè)信息安全文化欠缺和員工信息安全意識(shí)淡漠的關(guān)鍵因素。中層管理者作為銜接企業(yè)高層和基層的橋梁，其對(duì)上級(jí)決策的執(zhí)行力度直接決定了企業(yè)信息安全管理實(shí)施的效果。（2）技術(shù)人員。在企業(yè)中，技術(shù)人員可以保證企業(yè)信息系統(tǒng)的日常運(yùn)營(yíng)和維護(hù)。但大多數(shù)企業(yè)，尤其是中小企業(yè)缺乏信息技術(shù)人才和安全監(jiān)察、審計(jì)人員。由于受人員及技術(shù)的限制，往往一個(gè)管理員既要負(fù)責(zé)系統(tǒng)的配置，又要負(fù)責(zé)系統(tǒng)的安全管理，安全設(shè)置和安全監(jiān)督都是“一肩挑”。這種情況使得管理權(quán)限過(guò)于集中，一旦管理員的權(quán)限失控，極易導(dǎo)致重要信息泄露。（3）基層人員。目前，我國(guó)企業(yè)的基層員工普遍缺乏信息安全的教育、培訓(xùn)，對(duì)信息安全意識(shí)淡漠，每天都在以不安全的方式處理著企業(yè)的大量重要信息，如隨意使用移動(dòng)設(shè)備、上網(wǎng)不限制等，這些不安全的行為都對(duì)企業(yè)的信息系統(tǒng)構(gòu)成了潛在的威脅。

（三）技術(shù)因素分析

信息安全技術(shù)是企業(yè)防范信息安全事故的基本因素，也是我國(guó)企業(yè)在信息安全管理中投入較多的一部分。具體而言，導(dǎo)致信息安全事故技術(shù)方面的因素可以分為兩大類(lèi)：（1）軟件因素，包括軟件設(shè)計(jì)缺陷或存在技術(shù)漏洞、殺毒軟件不及時(shí)更新以及突發(fā)的軟件故障等。（2）信息系統(tǒng)設(shè)計(jì)因素，包括信息系統(tǒng)設(shè)計(jì)時(shí)沒(méi)有以風(fēng)險(xiǎn)評(píng)估為基礎(chǔ)、業(yè)務(wù)流程描述錯(cuò)誤或遺漏、前期測(cè)試不充分、數(shù)據(jù)訪問(wèn)權(quán)限設(shè)置不清晰、關(guān)鍵數(shù)據(jù)沒(méi)有備份、信息資產(chǎn)安全等級(jí)不明確以及信息資產(chǎn)沒(méi)有保護(hù)措施等因素。這些不安全的技術(shù)因素導(dǎo)致了信息安全漏洞存在的必然性和普遍性。在目前互聯(lián)網(wǎng)普及的開(kāi)放網(wǎng)絡(luò)環(huán)境中，這些漏洞無(wú)疑會(huì)給外部攻擊者留下可乘之機(jī)，導(dǎo)致信息安全事故的發(fā)生。

（四）設(shè)備因素分析

企業(yè)信息安全管理的設(shè)備主要包括中心機(jī)房、服務(wù)器、網(wǎng)絡(luò)設(shè)備、線路等方面，這些是企業(yè)信息安全保障系統(tǒng)的基礎(chǔ)。由于設(shè)備因素引起的信息安全事故包括硬件自身故障、保障設(shè)施故障、人為破壞事故、其他設(shè)備設(shè)施故障等四種，其致因因素可以歸納為三類(lèi)：（1）物理安全方面，包括物理安全邊界不明確、非授權(quán)的物理訪問(wèn)、設(shè)備或存儲(chǔ)介質(zhì)缺乏安全措施、設(shè)施設(shè)備的非授權(quán)使用或移動(dòng)、硬件失效等。（2）保障設(shè)施方面，包括供電或空調(diào)中斷、電氣故障、電纜損壞等。（3）外界不可抗力，包括水災(zāi)、臺(tái)風(fēng)、地震等自然災(zāi)害和恐怖襲擊、戰(zhàn)爭(zhēng)等外界不可抗力因素。這些因素往往會(huì)造成設(shè)施設(shè)備硬件的損壞，導(dǎo)致存儲(chǔ)于設(shè)備上的數(shù)據(jù)受到干擾和破壞，容易引發(fā)企業(yè)業(yè)務(wù)的中斷。

四、防范措施

針對(duì)上述造成信息安全事故的因素分析，可以從人員培訓(xùn)、制度完善以及硬件改進(jìn)三個(gè)方面進(jìn)行防范。具體而言：

（一）建立有效的“人力防火墻”，減少人為因素導(dǎo)致的信息安全事故

信息安全是企業(yè)每個(gè)員工都要面對(duì)的問(wèn)題，通過(guò)建立“人力防火墻”能真正調(diào)動(dòng)企業(yè)實(shí)現(xiàn)長(zhǎng)治久安的內(nèi)在動(dòng)力。因此，必須加強(qiáng)信息安全宣傳工作，增強(qiáng)所有員工對(duì)信息安全重要性的認(rèn)識(shí)。通過(guò)增強(qiáng)管理人員對(duì)信息安全的重視，營(yíng)造企業(yè)的安全文化氛圍，提高企業(yè)員工的信息安全意識(shí)；通過(guò)對(duì)員工進(jìn)行安全教育與培訓(xùn)，增強(qiáng)員工的安全技能；通過(guò)法律法規(guī)、安全政策、訪問(wèn)權(quán)限與懲戒措施來(lái)約束員工的行為，減少不安全行為的發(fā)生。最終在企業(yè)內(nèi)部形成一種“信息安全，人人有責(zé)”的企業(yè)文化氛圍，減少人為因素導(dǎo)致的信息安全事故。

（二）完善企業(yè)信息安全管理體系，減少由于環(huán)境、技術(shù)因素導(dǎo)致的信息安全事故

信息安全管理體系是依據(jù)企業(yè)信息安全需求、業(yè)務(wù)流程分析和風(fēng)險(xiǎn)評(píng)估的結(jié)果，綜合利用各種信息安全技術(shù)與產(chǎn)品，在統(tǒng)一的綜合管理平臺(tái)上建立的信息安全管理機(jī)制和防范體系。建立并完善信息安全管理體系，可以為企業(yè)的信息管理提供來(lái)自策略、設(shè)計(jì)以及運(yùn)行等各個(gè)層面和階段的安全保障，有效減少由于環(huán)境因素和技術(shù)因素引起的信息安全事故。建立災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)性計(jì)劃，強(qiáng)化重要信息數(shù)據(jù)備份，在信息安全事故發(fā)生時(shí)能確保業(yè)務(wù)持續(xù)開(kāi)展，將損失降到最低程度；建立集中化的管理控制機(jī)制，將數(shù)據(jù)安全控制進(jìn)行集中化管理，建立一個(gè)具有全局性的網(wǎng)絡(luò)管理平臺(tái)，以確保安全防范策略能夠由上至下全面貫徹執(zhí)行，減少數(shù)據(jù)安全風(fēng)險(xiǎn)；以“適度防范”為原則，選擇合適的安全技術(shù)與產(chǎn)品，制定相應(yīng)的訪問(wèn)控制策略，在考慮成本和投資回報(bào)的基礎(chǔ)上滿足企業(yè)業(yè)務(wù)安全的需求。

第9篇：企業(yè)信息安全意識(shí)范文

1．1地理信息系統(tǒng)及數(shù)據(jù)采集與監(jiān)控系統(tǒng)

在燃?xì)馄髽I(yè)中應(yīng)用GIS系統(tǒng)，既能對(duì)燃?xì)夤芫€進(jìn)行電子化圖檔管理，也能實(shí)時(shí)監(jiān)控天然氣管網(wǎng)規(guī)劃、搶修等情況。GIS通過(guò)將現(xiàn)有的管網(wǎng)及周邊地理狀況、管線、設(shè)備等信息，集成為管線集輸?shù)木C合信息，然后，實(shí)時(shí)傳輸和展現(xiàn)給燃?xì)馄髽I(yè)相關(guān)管理人員，從而為燃?xì)夤芫€運(yùn)行、設(shè)備維護(hù)和安全管理，提供全面、準(zhǔn)確的參考依據(jù)。

1．1．1．?dāng)?shù)據(jù)采集與監(jiān)控系統(tǒng)(SCADA)

SCADA系統(tǒng)是燃?xì)夤艿缿?yīng)急系統(tǒng)的重要組成部分，是一項(xiàng)集實(shí)時(shí)工控與調(diào)度信息管理為一體的大型的計(jì)算機(jī)應(yīng)用系統(tǒng)。可以遠(yuǎn)程監(jiān)控與管理各門(mén)站、調(diào)壓站等站點(diǎn)，確保燃?xì)庀到y(tǒng)運(yùn)行高效、安全、經(jīng)濟(jì)運(yùn)行。

1．2事故處理方案決策優(yōu)化與管網(wǎng)風(fēng)險(xiǎn)評(píng)價(jià)

1．2．1事故處理方案優(yōu)化決策

在燃?xì)庑袠I(yè)的日常工作中，如遇管網(wǎng)故障，發(fā)生危險(xiǎn)，必須快速、有效的進(jìn)行應(yīng)急處置和救援。其具體流程一般如下:接獲任務(wù)并了解現(xiàn)場(chǎng)情況，相關(guān)人員迅速召開(kāi)會(huì)議或電話、電視會(huì)議，制定搶修、救援方案，然后進(jìn)行搶修和救援。但是，搶修時(shí)間緊迫，這種處置流程不僅浪費(fèi)寶貴的時(shí)間和資源，也會(huì)受到人為主觀因素的影響，例如，意見(jiàn)不統(tǒng)一或決策失誤等，不僅延誤搶修和救援，甚至可能會(huì)導(dǎo)致二次事故。采用模糊評(píng)價(jià)法對(duì)燃?xì)夤芫W(wǎng)事故的解決方案進(jìn)行對(duì)比和遴選，通過(guò)定性和定量分析選擇最優(yōu)方案。首先利用模糊關(guān)鍵詞，采用定性和定量方法分析事故，然后以技術(shù)打分分配各因素權(quán)重，最后通過(guò)決策軟件實(shí)現(xiàn)方案的最優(yōu)選擇?？梢詫?shí)現(xiàn)在事故發(fā)生時(shí)，提供關(guān)鍵詞，即可獲得最佳的搶修方案，以排除人為主觀因素的干擾，更科學(xué)、更理性。

1．2．2管網(wǎng)風(fēng)險(xiǎn)評(píng)價(jià)

不少燃?xì)馄髽I(yè)對(duì)管網(wǎng)安全評(píng)價(jià)重視不足，尤其缺乏對(duì)現(xiàn)役管線的風(fēng)險(xiǎn)評(píng)價(jià)。對(duì)燃?xì)夤芫€的管理，僅僅做到定期運(yùn)行和巡檢是不夠的，還要更多的考慮到未來(lái)規(guī)劃的問(wèn)題。例如，分幾期對(duì)管線進(jìn)行改造，改造又分為幾步，如何開(kāi)展等等。通過(guò)建立管網(wǎng)仿真及安全評(píng)價(jià)系統(tǒng)，結(jié)合各管線屬性信息，例如腐蝕程度、第三方破壞程度、維檢修情況、壓力檢測(cè)等等，建立一個(gè)龐大的數(shù)據(jù)信息庫(kù)，全面考察管線危險(xiǎn)性，得到危險(xiǎn)等級(jí)排序，預(yù)測(cè)管線使用壽命，對(duì)未來(lái)管線更新及改造規(guī)劃提供理論指導(dǎo)。

2城市燃?xì)馄髽I(yè)信息安全探索

2．1信息安全的概念

根據(jù)GB/T22081－2008，所謂的信息安全就是通過(guò)采取有效策略，確保信息免受各種威脅、損害，從而保證業(yè)務(wù)連續(xù)性，并達(dá)到風(fēng)險(xiǎn)最小、投資回報(bào)最優(yōu)。燃?xì)馄髽I(yè)信息安全，就是指燃?xì)馄髽I(yè)信息資產(chǎn)安全可靠，業(yè)務(wù)穩(wěn)定開(kāi)展，不會(huì)受到系統(tǒng)自身和外來(lái)網(wǎng)絡(luò)病毒、黑客等的攻擊，如果出現(xiàn)安全事故，其損失可以降到最低。

2．2燃?xì)馄髽I(yè)管理存在的信息安全問(wèn)題

2．2．1信息安全意識(shí)淡薄

當(dāng)代社會(huì)，信息載體多樣化，辦公電腦、存儲(chǔ)設(shè)備以及系統(tǒng)軟件使用不規(guī)范都容易導(dǎo)致信息泄露，在常見(jiàn)的搜索引擎上可以輕易的查詢到某燃?xì)馄髽I(yè)或大型公司企業(yè)的內(nèi)部文件，這些情況的發(fā)生，正是由于企業(yè)信息安全意識(shí)淡薄，對(duì)信息的傳播安全管理重視不夠?qū)е碌摹?/p>

2．2．2信息安全管理機(jī)制不健全

在網(wǎng)絡(luò)信息安全管理中，一般都強(qiáng)調(diào)“三分技術(shù)，七分管理”。由此可見(jiàn)，信息安全最重要的是管理的安全。安全與管理是密不可分的，信息防護(hù)技術(shù)只是信息安全的一部分，僅僅將投入放在這一方面是遠(yuǎn)遠(yuǎn)不夠的，缺乏完整、規(guī)范以及系統(tǒng)化的信息安全管理制度，將無(wú)法從根本上實(shí)現(xiàn)信息安全。

2．2．3信息安全技術(shù)人才缺乏

在燃?xì)馄髽I(yè)中，受傳統(tǒng)管理理念的影響，不少企業(yè)管理人員對(duì)于信息安全認(rèn)識(shí)及其重要性認(rèn)識(shí)不足，不注重企業(yè)信息安全管理人員和技術(shù)配備，導(dǎo)致企業(yè)信息安全管理水平不高。雖然最近幾年來(lái)，燃?xì)馄髽I(yè)信息化建設(shè)水平不斷提高，吸納了許多信息化技術(shù)人才，但是專(zhuān)業(yè)從事綜合性的信息安全管理工作人員比例仍然較低。

2．3信息安全建設(shè)中的關(guān)鍵問(wèn)題分析

2．3．1準(zhǔn)確評(píng)估風(fēng)險(xiǎn)大小，正確處置安全風(fēng)險(xiǎn)

風(fēng)險(xiǎn)評(píng)估的方法很多，燃?xì)馄髽I(yè)進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估時(shí)，需要立足企業(yè)實(shí)際，根據(jù)GB/T20984－2007《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》，制定科學(xué)、合理的風(fēng)險(xiǎn)評(píng)估流程，辨識(shí)完畢企業(yè)的信息安全風(fēng)險(xiǎn)之后，要采取科學(xué)、合理的處置辦法:風(fēng)險(xiǎn)接受、風(fēng)險(xiǎn)規(guī)避、風(fēng)險(xiǎn)減緩以及風(fēng)險(xiǎn)轉(zhuǎn)移。

2．3．2重視人在燃?xì)馄髽I(yè)信息安全管理中的作用

企業(yè)管理中，最重要的因素就是人，人是信息安全的管理者，也是信息安全危險(xiǎn)事件的誘發(fā)者，由于人為因素導(dǎo)致的信息安全事件不在少數(shù)。若要對(duì)企業(yè)職工進(jìn)行約束，首先要明確職工的信息安全管理職責(zé)，加強(qiáng)人員思想教育，通過(guò)教育和培訓(xùn)，在企業(yè)內(nèi)建立起良好的信息安全文化氛圍。

2．3．3細(xì)化信息資產(chǎn)分類(lèi)，提高資產(chǎn)管理水平

在當(dāng)今，信息無(wú)疑是燃?xì)馄髽I(yè)寶貴的資源和資產(chǎn)，信息資產(chǎn)的管理應(yīng)當(dāng)做到:建立信息資產(chǎn)清單并規(guī)范管理;設(shè)定信息分類(lèi)、等級(jí)并區(qū)分保存;信息標(biāo)記，并明確標(biāo)記內(nèi)容。尤其大量存儲(chǔ)數(shù)據(jù)信息的移動(dòng)硬盤(pán)、廢舊電腦，簡(jiǎn)單的格式化處理后，數(shù)據(jù)信息極易被還原，必須要通過(guò)物理銷(xiāo)毀、數(shù)據(jù)覆蓋或者不可逆專(zhuān)門(mén)處理工具進(jìn)行銷(xiāo)毀。

2．3．4加強(qiáng)信息安全事件管理，預(yù)防信息安全事件發(fā)生

通過(guò)有效的技術(shù)防范措施，比如在系統(tǒng)中安裝防火墻軟件、反病毒產(chǎn)品、定期備份數(shù)據(jù)等，對(duì)設(shè)備、網(wǎng)絡(luò)進(jìn)行定期檢查，及時(shí)處理過(guò)期、失效產(chǎn)品。同時(shí)，燃?xì)馄髽I(yè)還要建立完善的信息安全應(yīng)急處置預(yù)案，明確處置程序及各部門(mén)的職責(zé)，定期開(kāi)展應(yīng)急演練，以提高信息安全應(yīng)急處置水平。

2．4燃?xì)馄髽I(yè)做好信息安全工作的幾點(diǎn)探索

2．4．1加強(qiáng)新型技術(shù)的應(yīng)用

如今，無(wú)線技術(shù)、互聯(lián)網(wǎng)技術(shù)、云技術(shù)等先進(jìn)的科學(xué)技術(shù)，已經(jīng)日益廣泛地融入企業(yè)日常工作，通過(guò)技術(shù)更新，企業(yè)信息技術(shù)應(yīng)用，也需要隨之而變。企業(yè)推進(jìn)新技術(shù)應(yīng)用的同時(shí)，應(yīng)當(dāng)加強(qiáng)入侵檢測(cè)、加密認(rèn)證、災(zāi)難備份技術(shù)等信息安全防護(hù)技術(shù)，確保企業(yè)在新的信息技術(shù)環(huán)境中實(shí)現(xiàn)信息安全建設(shè)。

2．4．2大力發(fā)揮人才的優(yōu)勢(shì)