導言：作為寫作愛好者，不可錯過為您精心挑選的10篇企業(yè)安全信息化，它們將為您的寫作提供全新的視角，我們衷心期待您的閱讀，并希望這些內(nèi)容能為您提供靈感和參考。

篇1

伴隨著我國社會經(jīng)濟的發(fā)展，各個企業(yè)間的競爭也是非常的激烈。各企業(yè)發(fā)展的過程中重要工作就是加強信息化建設，在企業(yè)信息化建設發(fā)展的過程當中，又顯現(xiàn)出來了信息安全的問題，加上有的不法分子會采取各種手段盜取企業(yè)的內(nèi)部信息以便達到自己的經(jīng)濟利益。所以說研究企業(yè)信息化當中的信息安全問題是具有非常重要意義。

一、企業(yè)信息化建設過程中信息安全的問題

一般情況下能造成企業(yè)內(nèi)部信息安全問題的原因分為外部原因和內(nèi)部原因，可是不管是內(nèi)部原因還是外部原因都會對企業(yè)的信息系統(tǒng)的安全帶來隱患。

1.1企業(yè)內(nèi)部因素

第一個方面是企業(yè)的信息安全意識不強，雖然是現(xiàn)在有很多的企業(yè)加快企業(yè)內(nèi)部信息化建設的進程，但是有些企業(yè)只是在表面上看到信息化建設所帶來的優(yōu)勢，而信息化建設當中的安全問題并沒能夠引起企業(yè)的足夠重視，所以在信息化建設的過程中比較容易出現(xiàn)安全隱患。第二個方面就是我國的安全軟件還是比較落后，雖然國內(nèi)計算機軟件技術(shù)在快速的反戰(zhàn)，可是與一些發(fā)達的國家相比還是存在一定距離，第三個方面在管理操作方面存在問題，現(xiàn)在有很多的企業(yè)對于自己企業(yè)內(nèi)部的信息安全問題還存在不夠重視的問題，在企業(yè)信息系統(tǒng)的管理上不夠謹慎，這就會被不法分子和黑客進入的機會，造成了企業(yè)的主要信息被盜取。第四個方面缺少優(yōu)秀的專業(yè)管理團隊，企業(yè)信息的系統(tǒng)安全是前期的制定和日常系統(tǒng)安全的維護以及日后都是由專業(yè)的人員來進行操作，所以相關(guān)的技術(shù)人員都必須具有很好的素養(yǎng)和賢能的技術(shù)，第五個方面法律法規(guī)的不全面?，F(xiàn)在我國與企業(yè)信息安全問題的法律法規(guī)不全面這就造成企業(yè)內(nèi)部信息被盜取不能得到相關(guān)的賠償。

1.2企業(yè)外部因素

現(xiàn)在企業(yè)信息安全系統(tǒng)的威脅主要來自于外部的因素，隨著我國經(jīng)濟社會的飛速變化，在競爭激烈情況下信息是非常重要的，大昂仁會有很多的不法分子會利用各種手段來盜取企業(yè)的信息為自身得到利益。還有些企業(yè)在于對手的競爭過程中使用不正當?shù)氖侄蝸頁艨鍖κ直ＷC自己企業(yè)的利益。

二、企業(yè)信息化建設過程中的信息安全與對策

在我國社會經(jīng)濟快速發(fā)展的今天，企業(yè)信息安全對于一個企業(yè)的發(fā)展是非常具有意義的，企業(yè)的信息被盜取和泄露會給企業(yè)帶來很大的損失，所以說企業(yè)對信息安全問題必須要有足夠的重視。有的企業(yè)已經(jīng)做好了信息安全的必要工作就應該更加注意安全軟件并不是時時刻刻都能做好安全的保護，做好安全保護還要加強管理。

2.1確保正確的安全意識

一個企業(yè)在信息化發(fā)展的過程中，應該認識到企業(yè)信息的安全問題和企業(yè)發(fā)展相互的關(guān)聯(lián)。如果企業(yè)的重要內(nèi)部信息被盜取或者泄露那么對于企業(yè)所造成的打擊是非常大的，而與此同時也是給了對手創(chuàng)造了很好機會。所以確保正確的安全信息意識對于一個企業(yè)來說是非常重要的，也是為了以后給企業(yè)的各項工作打下了很好基礎(chǔ)。

2.2選擇安全性能比較高的軟件

其實任何軟件都不是牢不可破的，可是對于安全性能比較高的軟件，如果說破解的話難度還是相當高的，所以企業(yè)選擇安全軟件的時候要選擇安全性能高的，不要為了節(jié)省一點企業(yè)的支出而選擇使用安全性能差的保護軟件，一旦出現(xiàn)問題所造成的企業(yè)損失價值會大于軟件的價格。

2.3加強企業(yè)網(wǎng)路管理

很大一部分的企業(yè)信息被盜取都是不法分子通過網(wǎng)絡進行的，所以說必須要對企業(yè)的網(wǎng)絡管理進行加強，這樣才能確保企業(yè)信息系統(tǒng)在安全的狀態(tài)的情況下運行。對于信息安全的種類和等級的高低來進行制定合理的方案，并且提前做出如果發(fā)生特殊情況下怎么進行處理的方案。如果說企業(yè)的信息安全發(fā)生危機的時候，企業(yè)應該快速的組建處理小組，針對信息安全危機的步驟處理并且做好危機處理的工作，還要避免出現(xiàn)由于處理不當而產(chǎn)生的各種情況。

三、結(jié)語

以上所述是企業(yè)信息化建設過程中所必需要面對的問題，一個企業(yè)的信息安全建設應該先從管理開始，必須做到以防范為主要，必需制定有效的安全防護把安全的風險降至最低。在現(xiàn)在經(jīng)濟發(fā)展的快速時代，企業(yè)信息的安全問題決定著企業(yè)的安全運營。

參考文獻

[1]原黎.探析企業(yè)信息安全問題的成因及對策[J].現(xiàn)代工業(yè)經(jīng)濟和信息化.2011(08)

[2]張耀輝.關(guān)于企業(yè)信息化建設中的信息安全探討[J].電子技術(shù)與軟件工程.2013(14)

[3]趙曉華,陳秀芹,周文艷,夏莉莉,李建忠.網(wǎng)絡環(huán)境下河北中小企業(yè)信息安全問題研究[J].科技資訊.2013(31)

篇2

在一個企業(yè)中，安全管理是支撐企業(yè)的核心，特別是對于生產(chǎn)企業(yè)而言，安全責任重于泰山。隨著信息化的不斷發(fā)展，企業(yè)的信息化建設和應用水平的不斷提高，類似辦公OA系統(tǒng)、ERP和EMS等辦公系統(tǒng)的建設在不斷完善，被廣泛采用。信息化是企業(yè)提高管理效率、提高核心競爭力的有力手段，但在卷煙行業(yè)中，部分企業(yè)在信息化和安全管理的融合過程中做得不夠完善，對信息化的重要性和信息化帶來的高效率等方面認識不足，因此，加快卷煙生產(chǎn)企業(yè)信息化的建設工作勢在必行。

1.2原因分析

造成卷煙生產(chǎn)企業(yè)管理現(xiàn)狀的原因是多方面的：①意識淡薄。沒有充分認識到信息化給卷煙生產(chǎn)安全管理帶來的革命性變化，忽視了信息化建設。②資金缺乏。卷煙企業(yè)沒有足夠的資金支持信息化建設，造成信息化建設滯后。③技術(shù)匱乏。這是制約卷煙生產(chǎn)企業(yè)信息化建設的主要原因，缺乏必要的技術(shù)支持必然會造成信息化建設滯后。具體而言，還有以下幾個方面的原因。

1.2.1安全管理人員隊伍素質(zhì)偏低

在進行信息化建設過程中，必然需要具備專業(yè)知識的人才。在大多數(shù)卷煙生產(chǎn)企業(yè)中，相關(guān)專業(yè)的人員素質(zhì)較低，在信息化的應用和建設方面存在一定的障礙和劣勢，進一步制約了卷煙企業(yè)的發(fā)展。

1.2.2安全信息系統(tǒng)投入風險較大

信息安全系統(tǒng)的建設是一項復雜、長期的工作，需要長時間的設計和調(diào)試。在企業(yè)中進行大量的資金投入是建成信息系統(tǒng)的必要基礎(chǔ)，但由于其具有的不確定性和回報周期較長等特點，在資金投入時，必然會影響到管理層的決策。

1.2.3安全信息系統(tǒng)建成模式單一

在我國當前的信息安全信息化建設中，模式單一是其弊端，原因是可借鑒的經(jīng)驗和先例較少，且在現(xiàn)行的信息建設平臺中，大部分采用了相同的工作方式和運行原理，缺乏新意，創(chuàng)新程度較低，進一步制約了信息安全的發(fā)展。

2卷煙企業(yè)安全管理信息化建設的意義

加強卷煙生產(chǎn)企業(yè)安全管理信息化建設有重要的意義和作用，是實現(xiàn)卷煙企業(yè)長久發(fā)展、提高效率的重要保證。在信息化高速發(fā)展的今天，信息化對于任何一個企業(yè)而言都具有重要的意義，是實現(xiàn)現(xiàn)代化的重要手段。卷煙企業(yè)實現(xiàn)信息化后將大大提高企業(yè)的生產(chǎn)效率。

2.1是現(xiàn)代煙草農(nóng)業(yè)發(fā)展的客觀要求

在當今社會中，信息已成為一種重要資源，成為推動社會發(fā)展和進步的重要支柱。信息化的發(fā)展必然會推動現(xiàn)代煙草業(yè)的發(fā)展，使卷煙生產(chǎn)更具系統(tǒng)化和專業(yè)化，從而提高卷煙的生產(chǎn)效率。在現(xiàn)代卷煙生產(chǎn)中，卷煙行業(yè)具有的分散性、時變性和經(jīng)驗性等都是制約卷煙行業(yè)進一步發(fā)展的因素，而信息化是解決卷煙行業(yè)中存在問題的有力武器，信息化會滲透到卷煙生產(chǎn)行業(yè)的各個環(huán)節(jié)和領(lǐng)域，改造傳統(tǒng)的卷煙生產(chǎn)，從而帶動現(xiàn)代煙草行業(yè)的進一步發(fā)展。

2.2是現(xiàn)代煙草物流發(fā)展的必然選擇

我國煙民人群龐大，但因其分散程度較高，因此，必須有效發(fā)展煙草物流。煙草行業(yè)要想打造現(xiàn)代煙草農(nóng)業(yè)，必然要進一步推動煙草物流業(yè)的發(fā)展。信息化提高了煙草物流的時效性和連續(xù)性，降低了煙草物流的成本，使物流的可操作性得到了進一步提高。信息化可在物流的分揀、配送和綜合管理等方面發(fā)揮重要的作用，使煙草產(chǎn)業(yè)的供應鏈更加優(yōu)化，進一步提高供應鏈的準確性、時效性。

2.3可有效加強煙草行業(yè)安全生產(chǎn)管理

信息化可對卷煙生產(chǎn)的各個環(huán)節(jié)進行監(jiān)督管理，使卷煙行業(yè)監(jiān)管更具效率，提高了卷煙的生產(chǎn)效率。卷煙質(zhì)量是卷煙生產(chǎn)企業(yè)的重中之重，信息化安全信息管理的建設可有效提高檢測水平和質(zhì)量，及時發(fā)現(xiàn)并整改生產(chǎn)環(huán)節(jié)中存在的問題和缺陷，提高了卷煙行業(yè)的安全性，從而確保了卷煙生產(chǎn)的質(zhì)量。

3卷煙企業(yè)信息化建設的措施和建議

3.1提高思想認識

信息化的首要前提是提高思想認識，只有更多的人認識到信息化的重要性和必要性，才會促使更多的資源流入這方面。要提高單位領(lǐng)導的意識，在現(xiàn)代企業(yè)的競爭中，誰能掌握第一手資料，便能掌握先機，從而獲得更多機會，信息的充足程度決定了企業(yè)的發(fā)展程度；要提高單位職工的認識，企業(yè)的發(fā)展與每一個員工息息相關(guān)，因此，身為企業(yè)的一份子，要將企業(yè)的利益放在首位，理解信息化對企業(yè)的重要性。

3.2開展人才培訓

信息化建設是一個復雜的專業(yè)領(lǐng)域，需要有大量的專業(yè)人才參與其中，才可有效建立和完善。因此，加大人才的培養(yǎng)力度是加快企業(yè)信息化的重要步驟之一。要建立完整的信息處理平臺，就要要求各部門協(xié)同配合、共同工作。只有各部門團結(jié)一致，才能更快地建立完整的信息處理平臺。

篇3

前言

自中國加入世貿(mào)組織后，全球?qū)嵭薪?jīng)濟一體化，信息資源對于企業(yè)的發(fā)展經(jīng)營顯得十分重要，企業(yè)只有盡快實施信息化戰(zhàn)略與國際接軌，才能融入到經(jīng)濟全球化的大潮中去。對于企業(yè)進行信息化改革需要進行一些規(guī)劃性安排。其中包含有信息資源規(guī)劃，這主要是指企業(yè)生產(chǎn)經(jīng)營過程中所需要掌握到的所有信息，從開始采集、處理一直到傳輸、使用全過程的一個整體規(guī)劃。企業(yè)在生產(chǎn)經(jīng)營活動過程中，無時不刻都充斥著信息，信息資源與企業(yè)人、財、物資源同等重要，都是企業(yè)在經(jīng)營環(huán)節(jié)中不可缺少的重要資源。而經(jīng)過長期的發(fā)展，很多企業(yè)已經(jīng)開始意識到企業(yè)信息資源規(guī)劃的重要性，認識到它是企業(yè)信息化建設的基礎(chǔ)工程。而對企業(yè)信息化安全的解決應該建立在人員管理的基礎(chǔ)之上，致力于整個企業(yè)網(wǎng)絡管理。

1企業(yè)信息化安全與網(wǎng)絡管理

1.1網(wǎng)絡集成應用系統(tǒng)安全

網(wǎng)絡集成應用系統(tǒng)根據(jù)不同企業(yè)的需求呈現(xiàn)不同的情況，一些企業(yè)中的網(wǎng)絡集成應用系統(tǒng)比較復雜。不能夠很精準的估計防御對象的規(guī)模以及價值，也不能簡單的對其加以標定界限，針對這種情況，就只能夠?qū)⒕W(wǎng)絡管理安全保障的工作分解開來。落實到具體的個人，采取一系列有效的措施如主動防御方式去進行。而網(wǎng)絡安全信息的防御是一個保障整體網(wǎng)絡信息安全的手段，其可預見性以及靈敏性等都為工作帶來便利，在面臨網(wǎng)絡空間可能帶來的威脅的同時,站在網(wǎng)絡管理者的角度上去思考，為企業(yè)網(wǎng)絡安全提供一定的保障。因此對于現(xiàn)代社會企業(yè)發(fā)展中提出的有關(guān)信息化安全問題其范圍也十分廣泛。計算機系統(tǒng)結(jié)構(gòu)安全的信息防御，注重的是以信息參與者的人為主角的主動型安全防御。

1.2企業(yè)人員信息技術(shù)安全

企業(yè)信息化歸根到底也是人的參與，因此對于企業(yè)在信息化過程中會遇到的信息安全問題也需要人員引起足夠的重視。人才是企業(yè)在發(fā)展中的關(guān)鍵競爭力，企業(yè)對于人才的重視程度也在日益增加，而同時也要注重企業(yè)的管理。隨著時代的發(fā)展，信息化已經(jīng)成為企業(yè)不可忽視的發(fā)展趨勢，當企業(yè)投入大量的資金和精力去培養(yǎng)人才進行信息化管理以及掌握信息化技術(shù)之后，更需要加強信息安全管理。目前是信息化時代，“信息”對于企業(yè)而言是十分重要的財富，企業(yè)信息系統(tǒng)中掌握著企業(yè)運行經(jīng)營的大量資源和信息，而信息系統(tǒng)的一些安全隱患大部分來源于外界的侵擾，信息工作和管理人員個人的疏忽也容易導致信息的外泄，這將是對企業(yè)造成嚴重的損失。目前對于企業(yè)在信息化方面的標準有多種爭議，面對爭議我們首先要弄清楚企業(yè)目前處于什么樣的狀況，這些標準都是隨著技術(shù)水平的改進以及管理要求的變化而變化的，因此針對這些變化，企業(yè)需要針對自身的實際情況以及實際需求進行安全管理。

1.3網(wǎng)絡管理人員信息技術(shù)安全

企業(yè)信息化系統(tǒng)管理中最重要的一項安全指標就是信息技術(shù)方面的安全，面對高要求的安全管理，對于網(wǎng)絡安全管理人員的職業(yè)素養(yǎng)以及業(yè)務能力也相應提出了更高的要求。而企業(yè)信息化系統(tǒng)的網(wǎng)絡管理在實際的運行過程中必定會涉及到眾多的功能模塊，面臨企業(yè)信息化系統(tǒng)中的網(wǎng)絡安全管理一般包含有四大功能模塊:配置管理、性能管理、故障管理以及安全管理。而這四大功能構(gòu)成了網(wǎng)絡安全管理的基本功能，除此基本功能之外，網(wǎng)絡管理還包括有網(wǎng)絡規(guī)劃、網(wǎng)絡操作規(guī)范等，以下就來簡單分析介紹這些功能:(1)配置管理:網(wǎng)絡的配置管理要做到的是自動發(fā)現(xiàn)網(wǎng)絡拓補結(jié)構(gòu)，構(gòu)造和維護網(wǎng)絡系統(tǒng)的配置。時時的注意網(wǎng)絡中被管理監(jiān)測的對象狀態(tài)，對網(wǎng)絡設置中的一些設備配置的語法進行檢測，對于配置進行嚴格的檢驗。(2)故障管理:在網(wǎng)絡運行過程中時刻的進行網(wǎng)絡有關(guān)事件的過濾和歸并，通過不間斷的檢測及時的發(fā)現(xiàn)在網(wǎng)絡管理以及操作過程中出現(xiàn)的一系列網(wǎng)絡故障問題，并根據(jù)實際問題情況尋找出有效的應對措施和建議，提供一定的排錯手段以及工具，逐漸形成一套完善的網(wǎng)絡故障預警和解決機制，從而減少故障給企業(yè)信息化系統(tǒng)帶來的危害和損失。(3)性能管理:性能管理是對網(wǎng)絡對象的性能方面數(shù)據(jù)進行收集、分析以及處理功能，通過分析和收集了解網(wǎng)絡在運行過程中的質(zhì)量安全問題，同時掌握整個網(wǎng)絡運行體制中的運行狀態(tài)信息，為整個網(wǎng)絡的使用情況以及未來發(fā)展趨勢、狀況進行一個評估，為進一步的網(wǎng)絡規(guī)劃提供一定的參考價值。(4)安全管理:網(wǎng)絡信息的安全主要在于存儲在系統(tǒng)中的一些用戶信息資料以及企業(yè)內(nèi)部的資料的泄露，加強安全管理無疑是要加強用戶的認證、訪問控制、數(shù)據(jù)傳輸以及存儲保密性和完整性，保障網(wǎng)絡系統(tǒng)本身的安全。維護系統(tǒng)日志，使系統(tǒng)的使用情況以及網(wǎng)絡對象的修改都有記錄和有數(shù)據(jù)可循。加強對網(wǎng)絡資源的訪問量的控制。例如有些企業(yè)在加強網(wǎng)絡安全管理方面為了盡量的減少不必要的漏洞，在配置管理中采用了VLAN的方式，這種方式就是將企業(yè)內(nèi)部的不同部門都劃分為各個不同的虛擬網(wǎng)段，而針對不同部門的職員設置相應的權(quán)限，只有具有權(quán)限的職員才能進入某一個虛擬網(wǎng)段，沒有權(quán)限的用戶無法訪問其他網(wǎng)段。VLAN其實就相當于是一個計算機網(wǎng)絡，里面所有內(nèi)容都由同一個網(wǎng)線連接著，但是其中的網(wǎng)絡又可以分為不同的部分和區(qū)域。由于該方式多是通過軟件來操作實施的，因此使其具備了更多的靈活性，而該手段的最大優(yōu)勢在于提供了更多的管理控制，這相應的減少了很大一部分的管理費用，同時也提供了更多的配置靈活性。另外，在網(wǎng)絡管理中可以通過邊界的路由器來控制外來的用戶對網(wǎng)絡信息的訪問，從而可以有效的防止外來用戶對本企業(yè)網(wǎng)絡的侵入和攻擊。加之前文中有提到可以加強網(wǎng)絡安全的預警機制。通過對告警中的危險事件和信息進行有效的分析和處理，及時發(fā)現(xiàn)可能存在的攻擊行為，及時發(fā)現(xiàn)網(wǎng)絡管理中存在的安全漏洞和安全隱患，從而更好的防患于未然。當然，在進行這些網(wǎng)絡安全管理手段操作中可以充分借助有關(guān)的管理網(wǎng)絡的軟件，為網(wǎng)絡管理人員提供有效的技術(shù)信息和保障，而且單一的軟件絕對滿足不了網(wǎng)絡安全管理的需求，需要根據(jù)實際情況綜合運用多種軟件形式，從而滿足不同方面和層次的需求，無論是加強網(wǎng)絡管理安全還是利用各種管理軟件首先必須要提高網(wǎng)絡管理人員的綜合素質(zhì)，提升其職業(yè)素養(yǎng)和計算機應用水平，人員素質(zhì)的提升以及相關(guān)管理硬件、軟件的配套，才能從根本上解決企業(yè)信息化管理以及網(wǎng)絡安全管理中的問題，提高其管理機制和管理水平。

2結(jié)束語

從本文中所闡述的眾多問題中可以總結(jié)出，無論是網(wǎng)絡集成應用系統(tǒng)的框架還是人員信息化和網(wǎng)絡管理者角度而言，企業(yè)信息化的安全問題主要集中在網(wǎng)絡管理方面。而對網(wǎng)絡進行管理的主體部分就是人員。因此加強網(wǎng)絡管理的安全問題要從人員自身方面的水平以及素質(zhì)和網(wǎng)絡安全管理相關(guān)技術(shù)兩個方面著手，讓所有的網(wǎng)絡管理者在思想上意識到網(wǎng)絡安全管理的重要性。管理人員的重視才會促進有關(guān)技術(shù)的改進和革新，這也是我們進行網(wǎng)絡管理的最終目的和有效保障。

參考文獻:

[1]林鵬，葉盛元.互聯(lián)網(wǎng)與信息化安全（三）[J].華南金融電腦，2006.

篇4

中圖分類號：TP309

企業(yè)要生存、發(fā)展，就必須面向市場，適應市場、開拓市場，竭力捕捉市場信息。信息對于市場經(jīng)濟條件下的企業(yè)來說，具有生死攸關(guān)的巨大價值。沒有對大量準確、及時、系統(tǒng)的市場信息資料的掌握，既不能弄清企業(yè)外部條件變化對企業(yè)生產(chǎn)經(jīng)營的影響，也無法了解企業(yè)內(nèi)部各環(huán)節(jié)、各部門、各經(jīng)營要素的狀況、聯(lián)系和變化。而在同行業(yè)之間的信息互通，也是至關(guān)重要的，將所有資源充分整合，才能形成綜合優(yōu)勢。

中國加入WTO后，國際競爭國內(nèi)化的趨勢將更加明顯。企業(yè)只有盡快實施信息化戰(zhàn)略與國際接軌，才能融入到經(jīng)濟全球化的大潮中去。這里特別要指出企業(yè)如何規(guī)劃有關(guān)信息。信息資源規(guī)劃（Information Resource Planning，簡稱IRP）是指對企業(yè)生產(chǎn)經(jīng)營所需要的信息，從采集、處理、傳輸?shù)绞褂玫娜嬉?guī)劃。在企業(yè)的生產(chǎn)經(jīng)營活動中，無時無刻不充滿著信息的產(chǎn)生、流動及使用。美國信息資源管理學家霍頓（F.W.Horton）和馬錢德（D.A.Marchand）等人指出：信息資源（Information Resources）與人、財、物資源一樣，都是企業(yè)的重要資源。目前，許多企業(yè)都已經(jīng)認識到信息資源規(guī)劃的重要性，認識到它是企業(yè)信息化建設的基礎(chǔ)工程。只有做好信息資源規(guī)劃工作，才能理清并規(guī)范企業(yè)的真正需求，貫徹信息化建設的“應用主導”方針；才能消除因缺乏信息資源管理基礎(chǔ)標準而產(chǎn)生的“信息孤島”，從而整合信息資源，實現(xiàn)應用系統(tǒng)集成；才能指導SCM、ERP、CRM等應用軟件的選型并保證成功實施；才能應用規(guī)劃的結(jié)果來保護我們所珍視的信息。應該說信息資源規(guī)劃是我們要提供安全策略的前提。[1]

圖1是信息安全技術(shù)發(fā)展的四個階段，當我們整合了相關(guān)信息資源，歷經(jīng)信息安全技術(shù)的各個階段，所缺少的元素便是對于人的信息化水平的要求。

可見，單從信息流向來看，其中的人為干預是必不可少的。因此，保障信息安全更要以人為本，注重網(wǎng)絡管理，加強制度化，形成標準的操作規(guī)范及流程。針對企業(yè)信息化安全問題，內(nèi)容應當包括：網(wǎng)絡集成應用系統(tǒng)（包括信息源、信息傳輸網(wǎng)絡的安全）、企業(yè)人員信息技術(shù)安全（如信息決策者、使用者）、網(wǎng)絡管理人員信息化安全（涵蓋了網(wǎng)絡管理、權(quán)限分配等安全管理內(nèi)容）。企業(yè)信息化安全的解決應在立足于人員管理的基礎(chǔ)上，致力于整個企業(yè)網(wǎng)絡的管理，并以此為目標規(guī)劃與建設安全、實用、高效的信息環(huán)境，為企業(yè)信息化帶動企業(yè)管理現(xiàn)代化保駕護航，推動企業(yè)的高速度、可持續(xù)發(fā)展。

1 網(wǎng)絡集成應用系統(tǒng)安全

本人所在單位的網(wǎng)絡集成應用系統(tǒng)是一個復雜體系，不可能精確地估計防御對象的規(guī)模與價值，無法簡單地對其加以標定界限，只有將網(wǎng)絡管理安全保障工作分解，落實到人，采取主動防御方式、方法才是上策。眾說周知，網(wǎng)絡安全信息防御是一個以保證信息整體安全的可預見性、靈敏性、可靠性和連續(xù)性為目標的工作，在面對網(wǎng)絡信息空間遭受可能的災難時，我們站在網(wǎng)絡管理者的角度應可以提供可靠的安全保障，同時作為各個信息安全的參與者能夠主動進行預見性的操作。

因此，現(xiàn)代信息技術(shù)發(fā)展所提出的信息安全問題，比傳統(tǒng)信息安全問題更加錯綜復雜，涉及因素和領(lǐng)域也更加廣泛。計算機系統(tǒng)結(jié)構(gòu)安全的信息防御，注重的是以信息參與者的人作為主角的主動型安全防御。[2]

2 企業(yè)人員信息技術(shù)安全

企業(yè)信息化離不開人的參與，同樣企業(yè)信息化所帶來的安全問題也離不開人的關(guān)注?！捌髽I(yè)注重人才，人才注重管理?！碑斘覀儼褑T工培養(yǎng)成適應企業(yè)快速發(fā)展、掌握信息技術(shù)的人才后，更需要加強信息安全管理，提高計算機應用水平。因為“信息”是企業(yè)的重要財富，這一點是勿庸置疑的。信息系統(tǒng)的非安全因素有可能來自外部（以病毒、黑客攻擊的方式），或來自單位內(nèi)部（來自同事、受信任的客戶等等所有接觸系統(tǒng)的人），工作人員出于好奇心可能會造成更大的威脅。[3]

上面的管理辦法便是從技術(shù)角度加強了人員的權(quán)限設置，其實最主要的人員信息化安全管理，還是對于配套制度的執(zhí)行。目前，有關(guān)企業(yè)信息化標準的爭論有很多，這種標準會隨著技術(shù)手段和管理要求的不斷發(fā)展而變化。面對變化，企業(yè)出臺針對本企業(yè)安全級別的管理辦法，結(jié)合自身需求進行安全管理才是“以人為本”的上策。

3 網(wǎng)絡管理人員信息技術(shù)安全

信息技術(shù)安全是企業(yè)信息化安全管理的重中之重，這就給網(wǎng)管人員提出了更高的更全面的要求。在實際的網(wǎng)絡管理過程中，網(wǎng)絡管理應具有的功能非常廣泛，包括了很多方面。本人認為，針對我們所面臨的企業(yè)信息技術(shù)安全，網(wǎng)絡管理應包括四大功能：配置管理、性能管理、故障管理、安全管理。這四大功能是網(wǎng)絡管理的基本功能。事實上，網(wǎng)絡管理還應該包括其他一些功能，比如網(wǎng)絡規(guī)劃、網(wǎng)絡操作規(guī)范等。其中：

配置管理：自動發(fā)現(xiàn)網(wǎng)絡拓撲結(jié)構(gòu)，構(gòu)造和維護網(wǎng)絡系統(tǒng)的配置。監(jiān)測網(wǎng)絡被管對象的狀態(tài)，完成網(wǎng)絡關(guān)鍵設備配置的語法檢查，配置自動生成和自動配置備份系統(tǒng)，對于配置的一致性進行嚴格的檢驗。

故障管理；過濾、歸并網(wǎng)絡事件，有效地發(fā)現(xiàn)、定位網(wǎng)絡故障，給出排錯建議與排錯工具，形成整套的故障發(fā)現(xiàn)、告警與處理機制。

性能管理：采集、分析網(wǎng)絡對象的性能數(shù)據(jù)，監(jiān)測網(wǎng)絡對象的性能，對網(wǎng)絡線路質(zhì)量進行分析。同時，統(tǒng)計網(wǎng)絡運行狀態(tài)信息，對網(wǎng)絡的使用發(fā)展作出評測、估計，為網(wǎng)絡進一步規(guī)劃與調(diào)整提供依據(jù)。

安全管理：結(jié)合使用用戶認證、訪問控制、數(shù)據(jù)傳輸、存儲的保密與完整性機制，以保障網(wǎng)絡管理系統(tǒng)本身的安全。維護系統(tǒng)日志，使系統(tǒng)的使用和網(wǎng)絡對象的修改有據(jù)可查。控制對網(wǎng)絡資源的訪問。

舉例來說，本人所在單位為盡量減小安全上的漏洞，我們配置管理采用了 VLAN方式，即各個部門劃分為不同的虛擬網(wǎng)段，沒有權(quán)限的用戶無法訪問其他網(wǎng)段。

VLAN（虛擬局域網(wǎng)）就是一個計算機網(wǎng)絡，其中的計算機好像是被同一網(wǎng)線連接在一起，而實際上它們可能分處于局域網(wǎng)的不同區(qū)域。VLAN更多的是通過軟件而非硬件來實現(xiàn)，因此這使得它具有很高的靈活性。VLAN的一個主要特性就是提供了更多的管理控制，減少了相對日常管理開銷，提供了更大的配置靈活性。VLAN的這些特性包括：①當用戶從一個地點移動到另一個地點時，簡化了配置操作和過程修改；②當網(wǎng)絡阻塞時，可以重新調(diào)節(jié)流量分布；③提供流量與廣播行為的詳細報告，同時統(tǒng)計VLAN邏輯區(qū)域的規(guī)模與組成；④提供根據(jù)實際情況在VLAN中增加和減少用戶的靈活性。

還有就是：我們的網(wǎng)絡管理可以通過網(wǎng)關(guān)（即邊界路由器）控制外來用戶對網(wǎng)絡資源的訪問，以防止外來的攻擊；通過告警事件的分析處理，以發(fā)現(xiàn)正在進行的可能的攻擊；通過安全漏洞檢擒來發(fā)現(xiàn)存在的安全隱患，以防患于未然。當然，我們這些操作手段可以借助于相應的網(wǎng)絡管理軟件，以提供給我們相關(guān)的技術(shù)保障。但在實際操作中，我也發(fā)現(xiàn)，單用一種軟件是無法實現(xiàn)的。比如IDS、基于SNMP技術(shù)的網(wǎng)絡拓撲、資產(chǎn)管理等等，這些技術(shù)需要我們一步步加強。還有像加強域的管理，充分利用現(xiàn)有軟件的功能，都是提高我們網(wǎng)絡管理的方式、方法，而這些工作地展開都要基于網(wǎng)管人員的素質(zhì)和計算機應用水平。

綜上所述，不論是從網(wǎng)絡集成應用系統(tǒng)框架，還是人員信息化以及網(wǎng)絡管理者自身來看，企業(yè)信息化安全重在網(wǎng)絡管理，而網(wǎng)絡管理的核心是人，是整個信息化安全的參與者，只有“硬制度、軟管理”相互依托，主動預防、預見網(wǎng)絡不安全因素，讓所有參與者都意識到網(wǎng)絡安全管理對于企業(yè)信息安全的重要性，才是我們網(wǎng)絡管理的最終目的和有效保障。

參考文獻：

[1]Steve Riley， Likes fearing occurs simultaneously the manager， Windows IT Pro Magazine， Microsoft Corp，2006（02）：30-32.

[2]Microsoft Corp，Microsoft Security Anthology，Microsoft Corp，2003（03）：1-20.

篇5

中圖分類號：TP309.2文獻標識碼：A 文章編號：1009-3044(2008)36-2848-03

An Information Security Program for a Distributed Enterprise

GUO Yong, CHEN Rong-sheng, ZHAN Gui-bao, ZENG Zhong-cheng, LU Teng-zu, LI Zhuang-xiang

(Fujian Xindong Network Technology Co., Ltd. Fuzhou 350003,China)

Abstract: Based on the specific conditions of the distributed enterprise, information security architecture in accordance with the relevant standards, a distributed enterprise information security planning principles and objectives. And based on the principles and objectives of the meeting, according to the organization, management and technical aspects of three specific design specifications with the principle. Finally, based on the objective of planning services, a category of information distributed enterprise information security services, planning and design examples.

Key words: distributed; information security; planning; program

1 引言

據(jù)來自eWeek 的消息，市場研究機構(gòu)Gartner 研究報告稱，很對企業(yè)目前仍缺乏完整的信息安全規(guī)劃和規(guī)范。盡管目前很多企業(yè)在信息安全方面的投入每年都在緩慢增長，但由于推動力以外部法律法規(guī)的約束和商業(yè)業(yè)務的壓力為主，因此他們對安全技術(shù)和服務的選擇和使用仍停留在一個相對較低的水平。尤其對于機構(gòu)構(gòu)成方式為分布式的企業(yè)而言，因為信息安全需求和部署相對更加復雜，投入更多，因此這類企業(yè)的信息安全規(guī)劃就更加缺乏。

本文根據(jù)這類分布式企業(yè)的特點提出了一種符合該類企業(yè)實際的信息安全規(guī)劃方案。

2 總體規(guī)劃原則和目標

2.1 總體規(guī)劃原則

對于分布式企業(yè)的信息安全規(guī)劃，要遵守如下原則：適度集中，控制風險；突出重點，分級保護；統(tǒng)籌安排，分步實施；分級管理，責任到崗；資源優(yōu)化，注重效益。

這個原則的制定主要是根據(jù)分布式企業(yè)的實際機構(gòu)構(gòu)成情況、人員素質(zhì)情況以及資源配置情況來制定的。

2.2 總體規(guī)劃目標

信息系統(tǒng)安全規(guī)劃的方法可以不同、側(cè)重點可以不同，但是需要圍繞組織安全、管理安全、技術(shù)安全進行全面的考慮。信息系統(tǒng)安全規(guī)劃的最終效果應該體現(xiàn)在對信息系統(tǒng)與信息資源的安全保護上，下面將分別對組織規(guī)劃、管理規(guī)劃和技術(shù)規(guī)劃分別進行闡述。信息安全規(guī)劃依托企業(yè)信息化戰(zhàn)略規(guī)劃，對信息化戰(zhàn)略的實施起到保駕護航的作用。信息系統(tǒng)安全規(guī)劃的目標應該與企業(yè)信息化的目標是一致的，而且應該比企業(yè)信息化的目標更具體明確、更貼近安全。信息系統(tǒng)安全規(guī)劃的一切論述都要圍繞著這個目標展開和部署。

3 信息安全組織規(guī)劃

3.1 組織規(guī)劃目標

組織建設是信息安全建設的基本保證，信息安全組織的目標是：

1）完善和形成一個獨立的、完整的、動態(tài)的、開放的信息安全組織架構(gòu)，達到國際國內(nèi)標準的要求；

2）打造一支具有專業(yè)水準的、過硬本領(lǐng)的信息安全隊伍。對內(nèi)可以保障企業(yè)內(nèi)部網(wǎng)安全，對外可以向社會提供高品質(zhì)的安全服務；

3）建設一個 “信息安全運維中心（SOC）”，能夠滿足當前和未來的業(yè)務發(fā)展及信息安全組織運轉(zhuǎn)的支撐系統(tǒng)，能夠?qū)ν馓峁┌踩掌脚_。

3.2 組織規(guī)劃實施

對于組織規(guī)劃這個方面，是屬于一個企業(yè)信息安全規(guī)劃的上層建筑，需要用一種由上而下的方法來實現(xiàn)，其主要是在具體人事機制、管理機制和培訓機制上做工作。對于分布式企業(yè)而言，需要主導部門從上層著手，建章立制，強化安全教育，加大基礎(chǔ)人力、財力和物力的投入。

4 信息安全管理規(guī)劃

4.1 管理規(guī)劃目標

信息安全管理規(guī)劃的目標是，完善和形成“七套信息安全軟措施”，具體包括：一套等級劃分指標，一套信息安全策略，一套信息安全制度，一套信息安全流程規(guī)范，一套信息安全教育培訓體系，一套信息安全風險監(jiān)管機制，一套信息安全績效考核指標?！捌咛仔畔踩洿胧标P(guān)系如圖1所示。

4.2 信息安全管理設計

基于對管理目標的分析，信息安全管理的原則以風險管理為主，集中安全控制。管理要素由管理對象、安全威脅、脆弱性、風險、保護措施組成。

4.2.1 信息安全等級劃分指標

信息安全等級保護是國家在國民經(jīng)濟和社會信息化的發(fā)展過程中，提高信息安全保障能力和水平，維護國家安全、社會穩(wěn)定和公共利益，保障和促進信息化健康發(fā)展的基本策略。

4.2.2 信息安全策略

信息安全安全策略是關(guān)于保護對象說明、保護必要性描述、保護責任人、保護對策以及意外處理方法的總和。

4.2.3 信息安全制度

信息安全制度是指為信息資產(chǎn)的安全而制定的行為約束規(guī)則。

4.2.4 信息安全規(guī)范

信息安全規(guī)范是關(guān)于信息安全工作應達到的要求，在信息安全規(guī)范方面，根據(jù)調(diào)查，建立信息安全管理規(guī)范、信息安全技術(shù)規(guī)范。其中，安全管理規(guī)范主要針對人員、團隊、制度和資源管理提供參照性準則；信息安全技術(shù)規(guī)范主要針對安全設計、施工、維護和操作提供技術(shù)性指導建議。

4.2.5 信息安全管理流程

信息安全流程是指工作中應遵循的信息安全程序，其目的是減少安全隱患，降低風險。

4.2.6 信息安全績效考核指標

信息安全績效考核指標是指針對信息安全工作的質(zhì)量和態(tài)度而給出的評價依據(jù)，其目的是增強信息安全責任意識，提高信息安全工作質(zhì)量。

4.2.7 信息安全監(jiān)管機制

信息安全監(jiān)管機制是指有關(guān)信息安全風險的識別、分析和控制的措施總和。其主要目的加強信息安全風險的控制，做到“安全第一，預防為主”。

4.2.8 信息安全教育培訓體系

其主要目的加強的信息安全人才隊伍的建設，提高企業(yè)人員的信息安全意識和技能，增強企業(yè)信息安全能力。

5 信息安全技術(shù)規(guī)劃

5.1 技術(shù)規(guī)劃目標

信息安全技術(shù)規(guī)劃目標簡言之是：給業(yè)務運營提供信息安全環(huán)境，為企業(yè)轉(zhuǎn)型提供契機，構(gòu)建信息安全服務支撐系統(tǒng)。具體目標如下：

1）打造信息安全基礎(chǔ)環(huán)境，調(diào)整和優(yōu)化IT基礎(chǔ)設施，建立安全專網(wǎng)，設置兩個中心（信息安全運維中心、災備中心）；

2）建立一體化信息安全平臺，綜合集成安全決策調(diào)度、安全巡檢、認證授權(quán)、安全防護、安全監(jiān)控、安全審計、應急響應、安全服務、安全測試、安全培訓等功能，實現(xiàn)的集中安全管理控制，快速安全事件響應，高可信的安全防護，拓展企業(yè)業(yè)務，開辟信息安全服務新領(lǐng)域。

5.2 信息安全運維中心(SOC)

SOC 是信息安全體系建設的基礎(chǔ)性工作，SOC 承載用于監(jiān)控第一生產(chǎn)網(wǎng)的安全專網(wǎng)核心基礎(chǔ)設施，提供信息安全中心技術(shù)人員的辦公場所，提供“7×24”小時連續(xù)不斷的安全應用服務,提供實時監(jiān)控、遠程入侵發(fā)現(xiàn)、事件響應、安全更新與升級等業(yè)務，SOC 要求具有充分保障自身的安全措施。除了SOC 的組織建設、基礎(chǔ)工程外，SOC 的技術(shù)性工作還要做以下幾個方面：

1）硬件基礎(chǔ)建設，主要內(nèi)容是SOC 的選址、布局、布線、系統(tǒng)集成，實現(xiàn)SOC 自身的防火、防潮、防電、防塵、安全監(jiān)控功能；

2）軟件基礎(chǔ)建設，包括SSS 系統(tǒng)、機房監(jiān)控子系統(tǒng)、功能小組及中心組劃分。

圖1 信息安全軟措施關(guān)系

圖2 信息安全總體框架

圖3 資產(chǎn)、組織、管理和安全措施的關(guān)系

5.3 信息安全綜合測試環(huán)境

隨著分布式企業(yè)信息化程度的日也加深，需要部署到大量IT 產(chǎn)品和應用系統(tǒng)，為了保障安全，必須對這些IT 系統(tǒng)和產(chǎn)品做入網(wǎng)前安全檢查，消除安全隱患?；诖?，綜合測試環(huán)境建設的內(nèi)容包括：安全測試網(wǎng)絡；測試系統(tǒng)設備；安全測試工具；安全測試分析系統(tǒng)；安全測試知識庫。

其中，安全測試網(wǎng)絡要求能夠模擬企業(yè)網(wǎng)絡真實的帶寬；測試系統(tǒng)設備能夠提供典型的網(wǎng)絡服務流量模擬、典型的應用系統(tǒng)流量模擬；安全測試工具覆蓋防范類、檢測類、評估類、應急恢復類、管理類等，并提供使用說明、漏洞掃描、應用安全分析；安全測試分析系統(tǒng)能夠提供統(tǒng)計分析、圖表展現(xiàn)功能；安全知識庫包含以下內(nèi)容：漏洞知識庫，補丁信息庫，安全標準知識庫，威脅場景視頻庫，攻擊特征知識庫，信息安全解決案例庫，安全產(chǎn)品知識庫，安全概念和術(shù)語知識庫。

5.4 安全平臺建設規(guī)劃

參照國際上PDRR 模型和國家信息安全方面規(guī)范，建議信息安全總體框架設計如圖2所示。

主要目的，以資產(chǎn)為核心，通過安全組織實現(xiàn)資產(chǎn)保護，以安全管理來約束組織的行為，以技術(shù)手段輔助安全管理。其中，資產(chǎn)、組織、管理、安全措施的關(guān)系如圖3所示，核心為資產(chǎn)，圍繞資產(chǎn)是組織，組織是管理，最外層是安全措施。

在平臺中集成十個安全機制，它們分別是：信息安全集中管理；信息安全巡檢；信息安全認證授權(quán)；信息安全防護；信息安全監(jiān)控；信息安全測試；信息安全審核；信息安全應急響應；信息安全教育培訓；信息安全服務。

6 信息安全服務業(yè)務規(guī)劃

6.1 服務業(yè)務規(guī)劃目標

信息安全服務業(yè)務規(guī)劃目標簡言之是：以信息安全服務為切入點，充分發(fā)揮企業(yè)優(yōu)勢資源，引領(lǐng)信息安全市場，為企業(yè)轉(zhuǎn)型創(chuàng)造時機。具體目標如下：

1）推出面向客戶安全（檢查、教育、配置）產(chǎn)品；2）推出面向大型企業(yè)的信息安全咨詢產(chǎn)品；3）推出面向家庭安全上網(wǎng)產(chǎn)品；4）推出面向企業(yè)安全運維產(chǎn)品；5）推出面向企業(yè)災害恢復產(chǎn)品。

6.2 服務業(yè)務規(guī)劃設計

服務業(yè)務規(guī)劃主要針對具體業(yè)務而言，在此列舉信息類分布式企業(yè)業(yè)務作為示例：

1）信息安全咨詢類產(chǎn)品，其服務功能主要有：信息安全風險評估；信息安全規(guī)劃設計；信息安全產(chǎn)品顧問。

2）信息安全教育培訓類產(chǎn)品，其服務功能主要有：提供信息安全操作環(huán)境；提供信息安全知識教育；提供信息安全運維教育。

3）家庭類安全服務產(chǎn)品，其服務功能主要有：推出“家庭綠色上網(wǎng)”安全服務；家庭上網(wǎng)防病毒服務；家庭上網(wǎng)機器安全檢查服務；家庭上網(wǎng)機數(shù)據(jù)備份服務。

4）企業(yè)類安全服務產(chǎn)品，其服務功能主要有：企業(yè)安全上網(wǎng)控制服務；企業(yè)安全專網(wǎng)服務；安全信息通告；企業(yè)運維服務。

5）容災類安全服務產(chǎn)品，其服務功能主要有：面向政府數(shù)據(jù)災備服務；面向政府信息系統(tǒng)災備服務；面向企業(yè)數(shù)據(jù)災備服務；面向企業(yè)信息系統(tǒng)災備服務。

7 結(jié)束語

通過結(jié)合分布式企業(yè)的具體實際，按照信息安全體系結(jié)構(gòu)相關(guān)標準，提出了分布式企業(yè)的信息安全規(guī)劃原則和目標。并依據(jù)次原則與目標，按照組織、管理和技術(shù)三個方面提出了具體的實現(xiàn)與設計規(guī)范原則。最后，依據(jù)服務規(guī)劃目標，提出了信息類分布式企業(yè)的信息安全服務規(guī)劃設計實例。

參考文獻：

[1] 周曉梅. 論企業(yè)信息安全體系的建立[J]. 網(wǎng)絡安全技術(shù)與應用，2006，3：62～64，57.

[2] Harold F. Tipton，Micki Krause. Information Security Management Handbook[M]. Fifth Edition.US：Auerbach Publications，2004.

[3] 魏永紅,李天智,張志. 網(wǎng)絡信息安全防御體系探討[J].河北省科學院學報，2006,23,(1):25～28.

[4] 張慶華. 信息網(wǎng)絡動態(tài)安全體系模型綜述[J].計算機應用研究，2002,10:5～7.

[5] ISO/IEC 15408，13335，15004，14598，信息技術(shù)安全評估的系列標準[S].

[6] BS7799-1，7799-2，ISO/IEC 17799，信息安全管理系列標準[S].

[7] BS7799-2，Information Security Management Systems-Specification With Guidance for use[S].

篇6

中圖分類號：F426.8 文獻標識碼：A

為貫徹落實《煙草企業(yè)安全生產(chǎn)標準化規(guī)范》，株洲市煙草專賣局結(jié)合實際，在充分調(diào)研的基礎(chǔ)上，對煙草商業(yè)企業(yè)安全生產(chǎn)標準化達標創(chuàng)建和安全生產(chǎn)信息化建設進行了有效探索。本文結(jié)合株洲煙草《煙草企業(yè)安全生產(chǎn)標準信息應用》項目研發(fā)成果，對煙草商業(yè)企業(yè)如何開展安全生產(chǎn)標準信息化建設進行闡述和分析。

一、開展安全生產(chǎn)標準信息化建設的意義

《煙草行業(yè)安全生產(chǎn)標準化規(guī)范》全面規(guī)范了煙草企業(yè)安全生產(chǎn)的開展方法、途徑和標準，為全行業(yè)規(guī)范安全生產(chǎn)工作、提升基礎(chǔ)建設水平，提供了管理和技術(shù)支撐。而加強《煙草行業(yè)安全生產(chǎn)標準化規(guī)范》的宣貫落地，是改善煙草企業(yè)安全設施和提高工藝水平，增強從業(yè)人員的安全生產(chǎn)標準化意識和規(guī)范安全生產(chǎn)行為，提升安全生產(chǎn)管理水平，防范生產(chǎn)安全事故，確保行業(yè)安全生產(chǎn)形勢持續(xù)穩(wěn)定的重要舉措。

株洲煙草在建設過程中認識到安全生產(chǎn)標準化工作的重要性和緊迫性，在安全管理的基礎(chǔ)上，圍繞《煙草企業(yè)安全生產(chǎn)標準化規(guī)范》，組織開展標準的宣貫，制訂了適合本單位實際的建設方案，探索了一條與職業(yè)健康安全管理體系要求相結(jié)合、富有本企業(yè)特點、可操作性強、基層員工易于理解和接受的安全生產(chǎn)標準化宣貫途徑，其意義主要體現(xiàn)在：一是有利于推進煙草企業(yè)安全生產(chǎn)標準化規(guī)范的應用；二是有利于推動煙草商業(yè)企業(yè)安全生產(chǎn)信息化的建設；三是有利于提高煙草商業(yè)企業(yè)安全生產(chǎn)管理水平；四是有利于改善煙草商業(yè)企業(yè)安全生產(chǎn)管理現(xiàn)狀；五是有利于煙草商業(yè)企業(yè)預防安全風險和減少安全事故。

二、開展安全生產(chǎn)標準信息化建設的方法

根據(jù)株洲煙草的實際，開展安全生產(chǎn)標準信息化建設，主要從以下幾個方面入手：

（一）明確總體思路。

株洲煙草在建設過程中，明確了“一本手冊+一個信息系統(tǒng)”的總體思路?！耙槐臼謨浴本褪峭ㄟ^建立一本《安全生產(chǎn)標準化操作手冊》來指導全市系統(tǒng)的安全生產(chǎn)標準化建設工作，滿足安全生產(chǎn)標準化基礎(chǔ)管理達標定級的要求，適用于本單位的安全生產(chǎn)基礎(chǔ)管理，使文本格式化、內(nèi)容規(guī)范化、操作簡便化、記錄標準化、查詢方便化?！耙粋€信息系統(tǒng)”就是通過建立一個《安全生產(chǎn)標準化信息系統(tǒng)》來管理全市系統(tǒng)的安全生產(chǎn)標準化評價、應急預案演練、安全教育培訓、安全設備設施臺帳等安全管理工作，滿足安全生產(chǎn)管理信息化建設的要求，適用于煙草商業(yè)企業(yè)的安全信息化管理，在基礎(chǔ)管理子系統(tǒng)中實現(xiàn)查閱、錄入、統(tǒng)計、審批等功能；標準化評價系統(tǒng)包括基礎(chǔ)管理規(guī)范、通用安全技術(shù)和現(xiàn)場規(guī)范、煙草商業(yè)企業(yè)安全技術(shù)和現(xiàn)場規(guī)范要求等三項內(nèi)容，具有自評、復評、外評等三個功能。

（二）遵循設計原則。

開展安全生產(chǎn)標準信息化建設應遵循以下五個原則：一是開放性。在設計時考慮到功能的可擴展性與維護的方便性，使用的操作平臺類型，應用服務器、編程語言和數(shù)據(jù)庫，遵循了通用性和開放性，減少了后續(xù)功能增加和修改的難度，提高了后續(xù)服務的方便。二是先進性。采用目前國際上最先進的數(shù)據(jù)庫技術(shù)，ASP開發(fā)，sql　server2000作為網(wǎng)站后臺數(shù)據(jù)庫，IIS5作為Application　Server。這個組合在測試權(quán)威e-Week的測試中顯示具有最優(yōu)性能。三是實用性。該系統(tǒng)以株洲煙草的安全需求為目標，以方便使用為原則，在吸取先進管理經(jīng)驗的基礎(chǔ)上，量身定做，并在統(tǒng)一的用戶界面下提供各種實用功能，盡可能降低使用前的培訓和使用中的維護投入，提供前端網(wǎng)頁開發(fā)的無逢連接。四是安全性。充分考慮系統(tǒng)及數(shù)據(jù)資源的容災、備份、恢復的要求。為系統(tǒng)提供強大的數(shù)據(jù)庫備份工具。充分考慮系統(tǒng)的安全要求，信息管理責任到人。五是規(guī)范性。完全按照ISO9001的規(guī)范進行系統(tǒng)設計和開發(fā)，設計圖采用uml進行描述，開發(fā)的網(wǎng)站符合政府網(wǎng)站建設的整體要求。

（三）采用正確的方法。

《操作手冊》采用的編制方法：一是搜集整理資料；二是分析資料的實用價值；三是設計《操作手冊》的框架及目錄；四是編輯手冊內(nèi)容；五是聘請安全高級評價師進行審核；六是在全市系統(tǒng)廣泛征求意見和建議；七是召開安委會進行評審；八是在全市系統(tǒng)試運行。

《信息系統(tǒng)》采用的開發(fā)方法：一是在全面分析需求的基礎(chǔ)上，搭建系統(tǒng)框架。具體如下圖：

二是與軟件開發(fā)單位聯(lián)合開發(fā)安全信息系統(tǒng)；三是明確安全信息系統(tǒng)的開發(fā)手段；四是分階段實施安全信息系統(tǒng)的開發(fā)。主要包括九個階段，即需求確認階段、總體設計階段、分項詳細設計階段、系統(tǒng)詳細開發(fā)計劃制訂階段、系統(tǒng)開發(fā)實施階段、集成階段、測試階段、鑒定驗收階段和系統(tǒng)投入使用和系統(tǒng)維護階段。

（四）解決好關(guān)鍵問題。

《操作手冊》主要解決好7個關(guān)鍵問題：一是組織機構(gòu)的設置。組織機構(gòu)設置應遵循精簡、高效、適用的原則，做到統(tǒng)一、規(guī)范、適合安全生產(chǎn)管理工作需要；二是安全管理制度的梳理和完善。應對已有的安全管理制度進行梳理，對未建立或者是與標準化規(guī)范有出入的管理制度進行完善補充，滿足標準化規(guī)范的全部要求；三是安全生產(chǎn)管理臺帳的設置。應制定統(tǒng)一、規(guī)范、適用的臺帳，滿足安全生產(chǎn)基礎(chǔ)管理需要，并符合標準化規(guī)范的要求；四是安全生產(chǎn)管理記錄的規(guī)范。主要是規(guī)范安全生產(chǎn)管理記錄的格式和保存方式；五是應急救援預案的編制。主要包括火災事故、機動車輛、卷煙倉儲、卷煙配送、專賣執(zhí)法、煙葉生產(chǎn)、卷煙營銷等七個方面，要突出行業(yè)特色，充分發(fā)揮全行業(yè)的力量，做到應急救援資源共享；六是安全生產(chǎn)管理考核評價內(nèi)容的細化。對安全生產(chǎn)標準化規(guī)范中的39項考核評價內(nèi)容進行細化，結(jié)合標準化規(guī)范基礎(chǔ)和現(xiàn)場管理的具體要求，制定更加全面、更加詳細、更加具體的考核評價表；七是職業(yè)健康安全體系文件的搜集和完善。對煙草商業(yè)企業(yè)職業(yè)健康安全體系文件進行搜集和完善，形成一套覆蓋煙草商業(yè)企業(yè)各重點環(huán)節(jié)的體系文件。

《信息系統(tǒng)》主要是建設好“安全管理基本信息數(shù)據(jù)庫、信息數(shù)據(jù)統(tǒng)計和安全生產(chǎn)標準化級別評定”等三個子系統(tǒng)。其中：安全管理基本信息數(shù)據(jù)庫子系統(tǒng)主要是解決好功能設置、實用性及安全性的問題；信息數(shù)據(jù)統(tǒng)計子系統(tǒng)主要是解決好保密和分級授權(quán)查閱以及防止網(wǎng)絡入侵，保護信息安全的問題；安全生產(chǎn)標準化級別評定子系統(tǒng)主要是解決好在系統(tǒng)內(nèi)實現(xiàn)卷煙商業(yè)企業(yè)安全生產(chǎn)標準化達標評級自動評分功能，實現(xiàn)企業(yè)自評和外部評審等兩級考核評分功能以及在企業(yè)自評過程中，能自動顯示本企業(yè)與標準化規(guī)范的差距，實現(xiàn)安全隱患整改跟蹤反饋功能等等。

篇7

信息化發(fā)展對于企業(yè)人員日常的管理，相比較原來舊的方法而言更方便快捷、更高效；對于企業(yè)的整體發(fā)展的影響，相比較原來用人來發(fā)現(xiàn)風險，信息化大數(shù)據(jù)管控更能提前預知風險并幫助企業(yè)更好地解決問題；對于企業(yè)組織結(jié)構(gòu)和流程的影響，集成化的網(wǎng)絡信息系統(tǒng)是提高質(zhì)效的一把利器。但現(xiàn)實使用中，企業(yè)的信息化進程存在安全度低、信息泄露嚴重和安全意識低等現(xiàn)象，導致企業(yè)和用戶損失大量人力物力，甚至受到巨大損失。由此可見，信息化建設對企業(yè)發(fā)展有著不可小覷的作用，能比原來的模式更有效處理問題、促進企業(yè)發(fā)展，是所有企業(yè)在發(fā)展過程中不可或缺的一個環(huán)節(jié)。

2.企業(yè)信息化建設中的網(wǎng)絡安全問題

2.1網(wǎng)絡安全意識不強

科學技術(shù)的不斷發(fā)展進步，對于企業(yè)發(fā)展的影響作用不言而喻，但是，相當一部分企業(yè)卻只看到益處卻忽略了“信息安全”的重要性。

近年來，在技術(shù)、社會和政府等多方面的努力下，企業(yè)的信息化建設發(fā)展速度加快，取得很大的進展，其重要作用毋庸置疑，各個企業(yè)都越來越重視信息化的進步。但在新聞報道中，經(jīng)常見到有信息非法獲取、信息交易導致用戶信息泄露，這也是每個企業(yè)需要反思的問題。數(shù)據(jù)泄露、信息是否安全等問題并沒有引起所有企業(yè)的重視，嚴重的不僅會導致用戶信息泄露，如果發(fā)生企業(yè)數(shù)據(jù)庫被篡改、網(wǎng)絡系統(tǒng)崩潰等事件，給企業(yè)帶來的名譽和財產(chǎn)損失不可估量。

2.2技術(shù)水平不高

世界范圍內(nèi)都存在一個不好處理的網(wǎng)絡難題———黑客。企業(yè)在信息化發(fā)展的過程中，免不了遇到技術(shù)問題，由于有關(guān)人員或團隊自身的水平不夠和相關(guān)方面的經(jīng)驗的缺失，不可避免會存在某些漏洞和問題，這些漏洞和問題恰恰給了黑客絕佳的機會，讓他們有機會盜取信息。即使是市面上使用的各個“管家”與殺毒軟件也完全檢測不到，對企業(yè)的安全構(gòu)成非常大的威脅。

2.3可使用的高水平軟件少

一方面是供研發(fā)企業(yè)使用的高水平軟件較少；另一方面是軟件安全度低，很多公司雖然看到信息化發(fā)展的好處，但卻貪圖低成本的小利益，花費小成本購買使用安全保護性低的工作軟件，結(jié)局只會帶來難以挽回的后果。

3.企業(yè)信息化建設提高網(wǎng)絡信息安全性的措施

3.1切實提高企業(yè)安全意識

科學技術(shù)的進步，促進企業(yè)重視信息安全，思考信息安全問題和公司發(fā)展之間不可分割的關(guān)系，因為信息泄露帶來損失還是小事，如果因此減少了企業(yè)競爭力，甚至阻礙了企業(yè)發(fā)展才是最可怕的結(jié)果。因此，企業(yè)應當提高安全意識，提前準備對策、制定應對突況的策略，防止信息泄露等潛在威脅，將威脅扼殺在搖籃之中。通過建立高技術(shù)水平的團隊，運用專業(yè)知識和工作經(jīng)驗切實增強防火墻安全度，定期維護信息系統(tǒng)，從源頭的技術(shù)傳輸階段維護信息安全，建立完善的信息保護制度，以此來保護信息安全、促進企業(yè)發(fā)展。

3.2提高信息系統(tǒng)的管理水平

雖然現(xiàn)在大家都在普遍使用《金山毒霸》《騰訊管家》等安全防護軟件，但是這些軟件也不能保證絕對的安全。改革舊的風險評估模式，健全信息篩選管理安全體系，在一定程度上可以提高安全系統(tǒng)等級、減小信息被盜的風險，在信息系統(tǒng)建立過程中，及早發(fā)現(xiàn)風險并妥善處理對企業(yè)發(fā)展尤其重要。

3.3使用安全性高的軟件

篇8

1.企業(yè)信息系統(tǒng)安全防護的價值

隨著企業(yè)信息化水平的提高，企業(yè)對于IT系統(tǒng)的依賴性也越來越高。一方面，“業(yè)務系統(tǒng)流程化”正在成為IT安全建設的驅(qū)動力。企業(yè)的新業(yè)務應用正在逐漸標準化和流程化，各種應用系統(tǒng)如ERP、MES為企業(yè)的生產(chǎn)效率的提高起到了關(guān)鍵的作用。有效的管控IT環(huán)境，確保IT業(yè)務系統(tǒng)的持續(xù)穩(wěn)定運行作為企業(yè)競爭力的一部分，已成為IT系統(tǒng)安全防護的主要目標和關(guān)鍵驅(qū)動力。另一方面，企業(yè)IT安全的建設也是“法規(guī)遵從”的需要。IT系統(tǒng)作為企業(yè)財務應用系統(tǒng)的重要支撐，必須提供可靠的運行保障和數(shù)據(jù)正確性保證。

2.企業(yè)信息系統(tǒng)安全建設的現(xiàn)狀分析

在企業(yè)信息化建設的過程中，業(yè)務系統(tǒng)的建設一直是關(guān)注的重點，但是IT業(yè)務系統(tǒng)的安全保障方面，往往成為整個信息化最薄弱的環(huán)節(jié)，尤其是在信息化水平還較低的情況下，IT系統(tǒng)的安全建設缺乏統(tǒng)一的策略作為指導。歸結(jié)起來，企業(yè)在IT系統(tǒng)安全建設的過程中，存在以下幾方面的不足：

2.1 安全危機意識不足，制度和規(guī)范不健全

盡管知道IT安全事故后果比較嚴重，但是企業(yè)的高層領(lǐng)導心中仍然存在著僥幸心理，更多的時候把IT安全建設的預算挪用到其他的領(lǐng)域。企業(yè)在信息安全制度及信息安全緊急事件響應流程等方面缺乏完整的制度和規(guī)范保證，由此帶來的后果是諸如對網(wǎng)絡的任意使用，導致公司的機密文檔被擴散。同時在發(fā)生網(wǎng)絡安全問題的時候，也因為缺乏預先設置的各種應急防護措施，導致安全風險得不到有效控制。

2.2 應用系統(tǒng)和安全建設相分離，忽視數(shù)據(jù)安全存儲建設

在企業(yè)IT應用系統(tǒng)的建設時期，由于所屬的建設職能部門的不同，或者是因為投資預算的限制，導致在應用系統(tǒng)建設階段并沒有充分考慮到安全防護的需要，為后續(xù)的應用系統(tǒng)受到攻擊癱瘓埋下了隱患。數(shù)據(jù)安全的威脅表現(xiàn)在核心數(shù)據(jù)的丟失；各種自然災難、IT系統(tǒng)故障，也對數(shù)據(jù)安全帶來了巨大沖擊。遺憾的是很多企業(yè)在數(shù)據(jù)的安全存儲方面，并沒有意識到同城異地災難備份或遠程災難備份的重要性。

2.3 缺乏整體的安全防護體系，“簡單疊加、七國八制”

對于信息安全系統(tǒng)的建設，“頭痛醫(yī)頭、腳痛醫(yī)腳”的現(xiàn)象比較普遍。大多數(shù)企業(yè)仍然停留在出現(xiàn)一個安全事故后再去解決一個安全隱患的階段，缺乏對信息安全的全盤考慮和統(tǒng)一規(guī)劃，這樣的后果就是網(wǎng)絡上的設備五花八門，設備方案之間各自為戰(zhàn)，缺乏相互關(guān)聯(lián)，從而導致了多種問題。

3.企業(yè)信息系統(tǒng)安全建設規(guī)劃的原則

企業(yè)的信息化安全建設的目標是要保證業(yè)務系統(tǒng)的正常運轉(zhuǎn)從而為企業(yè)帶來價值，在設計高水平的安全防護體系時應該遵循以下幾個原則：

（1）統(tǒng)一規(guī)劃設計。信息安全建設，需要遵循“統(tǒng)一規(guī)劃、統(tǒng)一標準、統(tǒng)一設計、統(tǒng)一建設”的原則；應用系統(tǒng)的建設要和信息安全的防護要求統(tǒng)一考慮。

（2）架構(gòu)先進，突出防護重點。要采用先進的架構(gòu)，選擇成熟的主流產(chǎn)品和符合技術(shù)發(fā)展趨勢的產(chǎn)品；明確信息安全建設的重點，重點保護基礎(chǔ)網(wǎng)絡安全及關(guān)鍵應用系統(tǒng)的安全，對不同的安全威脅進行有針對性的方案建設。

（3）技術(shù)和管理并重，注重系統(tǒng)間的協(xié)同防護?！叭旨夹g(shù)，七分管理”，合理劃分技術(shù)和管理的界面，從組織與流程、制度與人員、場地與環(huán)境、網(wǎng)絡與系統(tǒng)、數(shù)據(jù)與應用等多方面著手，在系統(tǒng)設計、建設和運維的多環(huán)節(jié)進行綜合協(xié)同防范。

（4）統(tǒng)一安全管理，考慮合規(guī)性要求。建設集中的安全管理平臺，統(tǒng)一處理各種安全事件，實現(xiàn)安全預警和及時響應；基于安全管理平臺，輸出各種合規(guī)性要求的報告，為企業(yè)的信息安全策略制定提供參考。

（5）高可靠、可擴展的建設原則。這是任何網(wǎng)絡安全建設的必備要求，是業(yè)務連續(xù)性的需要，是滿足企業(yè)發(fā)展擴容的需要。

4.企業(yè)信息系統(tǒng)安全建設的部署建議

以ISO27001等企業(yè)信息安全法規(guī)[1]遵從的原則為基礎(chǔ)，通過分析企業(yè)信息安全面臨的風險和前期的部署實踐，建立企業(yè)信息安全建設模型，如圖1所示。

圖1 企業(yè)信息系統(tǒng)安全建設模型

基于上述企業(yè)信息安全建設模型，在建設終端安全、網(wǎng)絡安全、應用安全、數(shù)據(jù)安全、統(tǒng)一安全管理和滿足法規(guī)遵從的全面安全防護體系時，需要重點關(guān)注以下幾個方面的部署建議：

4.1 實施終端安全，關(guān)注完整的用戶行為關(guān)聯(lián)分析

在企業(yè)關(guān)注的安全事件中，信息泄漏是屬于危害比較嚴重的行為?，F(xiàn)階段由于企業(yè)對網(wǎng)絡的管控不嚴，員工可以通過很多方式實現(xiàn)信息外泄，常見的方式有通過桌面終端的存儲介質(zhì)進行拷貝或是通過QQ/MSN等聊天工具將文件進行上傳等。針對這些高危的行為，企業(yè)在建設信息安全防護體系的時候，單純的進行桌面安全控制或者internet上網(wǎng)行為控制都不能完全杜絕這種行為。而在統(tǒng)一規(guī)劃實施的安全防護體系中，系統(tǒng)從用戶接入的那一時刻開始，就對用戶的桌面行為進行監(jiān)控，同時配合internet上網(wǎng)行為審計設備，對該員工的上網(wǎng)行為進行監(jiān)控和審計，真正做到從員工接入網(wǎng)絡開始的各種操作行為及上網(wǎng)行為都在嚴密的監(jiān)控之中，提升企業(yè)的防護水平。

4.2 建設綜合的VPN接入平臺

無論是IPSec、L2TP，還是SSL VPN，都是企業(yè)在VPN建設過程中必然會遇到的需求。當前階段，總部與分支節(jié)點的接入方式有廣域網(wǎng)專線接入和通過internet接入兩種。使用VPN進行加密數(shù)據(jù)傳輸是通用的選擇。對于部分移動用戶接入，也可以考慮部署SSL VPN的接入方式[2]，在這種情況下，如何做好將多種VPN類型客戶的認證方式統(tǒng)一是需要重點考慮的問題。而統(tǒng)一接入認證的方式，如采用USBKEY等，甚至在設備采購時就可以預先要求設備商使用一臺設備同時支持這些需求。這將給管理員的日常維護帶來極大的方便，從而提升企業(yè)整體的VPN接入水平。

4.3 優(yōu)化安全域的隔離和控制，實現(xiàn)L2～L7層的安全防護

在建設安全邊界防護控制過程中，面對企業(yè)的多個業(yè)務部門和分支機構(gòu)，合理的安全域劃分將是關(guān)鍵。按照安全域的劃分原則，企業(yè)網(wǎng)絡包括內(nèi)部園區(qū)網(wǎng)絡、Internet邊界、DMZ、數(shù)據(jù)中心、廣域網(wǎng)分支、網(wǎng)管中心等組成部分，各安全域之間的相互隔離和訪問策略是防止安全風險的重要環(huán)節(jié)。在多樣化安全域劃分的基礎(chǔ)上，深入分析各安全域內(nèi)的業(yè)務單元，根據(jù)企業(yè)持續(xù)性運行的高低優(yōu)先級以及面臨風險的嚴重程度，設定合適的域內(nèi)安全防護策略及安全域之間的訪問控制策略，實現(xiàn)有針對性的安全防護。例如，選擇FW+IPS等設備進行深層次的安全防護，或者提供防垃圾郵件、Web訪問控制等解決方案進行應對，真正實現(xiàn)L2～L7層的安全防護。

4.4 強調(diào)網(wǎng)絡和安全方案之間的耦合聯(lián)動，實現(xiàn)網(wǎng)絡安全由被動防御到主動防御的轉(zhuǎn)變

統(tǒng)一規(guī)劃的技術(shù)方案，可以做到方案之間的有效關(guān)聯(lián)，實現(xiàn)設備之間的安全聯(lián)動。在實際部署過程中，在接入用戶側(cè)部署端點準入解決方案，實現(xiàn)客戶端點安全接入網(wǎng)絡。同時啟動安全聯(lián)動的特性，一旦安全設備檢測到內(nèi)部網(wǎng)用戶正在對網(wǎng)絡的服務器進行攻擊，可以實現(xiàn)對攻擊者接入位置的有效定位，并采取類似關(guān)閉接入交換機端口的動作響應，真正實現(xiàn)從被動防御向主動防御的轉(zhuǎn)變。

4.5 實現(xiàn)統(tǒng)一的安全管理，體現(xiàn)對整個網(wǎng)安全事件的“可視、可控和可管”

統(tǒng)一建設的安全防護系統(tǒng)，還有一個最為重要的優(yōu)勢，就是能實現(xiàn)對全網(wǎng)安全設備及安全事件的統(tǒng)一管理。面對各種安全設備發(fā)出來的大量的安全日志，單純靠管理員的人工操作是無能為力的，而不同廠商之間的安全日志可能還存在較大的差異，難以實現(xiàn)對全網(wǎng)安全事件的統(tǒng)一分析和報警管理。因此在規(guī)劃之初，就需要考慮到各種安全設備之間的日志格式的統(tǒng)一化，需要考慮設定相關(guān)安全策略以實現(xiàn)對日志的歸并分析并最終輸出各種合規(guī)性的報表，只有這樣才能做到對全網(wǎng)安全事件的統(tǒng)一可視、安全設備的統(tǒng)一批量配置下發(fā)，以及整網(wǎng)安全設備的防控策略的統(tǒng)一管理，最終實現(xiàn)安全運行中心管控平臺的建設。[3]

4.6 關(guān)注數(shù)據(jù)存儲安全，強調(diào)本地數(shù)據(jù)保護和遠程災難備份相結(jié)合

在整體數(shù)據(jù)安全防護策略中，可以采用本地數(shù)據(jù)保護和遠程災備相結(jié)合的方式。基于CDP的數(shù)據(jù)連續(xù)保護技術(shù)可以很好地解決數(shù)據(jù)本地安全防護的問題，與磁帶庫相比，它具有很多的技術(shù)優(yōu)勢。在數(shù)據(jù)庫的配合下，通過連續(xù)數(shù)據(jù)快照功能實現(xiàn)了對重要數(shù)據(jù)的連續(xù)數(shù)據(jù)保護，用戶可以選擇在出現(xiàn)災難后恢復到前面保存過的任何時間點的狀態(tài)，同時支持對“漸變式災難”的保護和恢復。在建設異地的災備中心時，可以考慮從數(shù)據(jù)級災備和應用級災備兩個層面進行。生產(chǎn)中心和異地災備中心的網(wǎng)絡連接方式可以靈活選擇，即可采用光纖直連，也可采用足夠帶寬的IP網(wǎng)絡連接。在數(shù)據(jù)同步方式選擇上，生產(chǎn)中心和災備中心采用基于磁盤陣列的異步復制技術(shù)，實現(xiàn)數(shù)據(jù)的異地災備。異地災備中心還可以有選擇地部署部分關(guān)鍵應用服務器，以提供對關(guān)鍵業(yè)務的應用級接管能力，從而實現(xiàn)對數(shù)據(jù)安全的有效防護。

5.結(jié)束語

企業(yè)信息安全防護體系的建設是一個長期的持續(xù)的工作，不是一蹴而就的，就像現(xiàn)階段的信息安全威脅也在不斷的發(fā)展和更新，針對這些信息安全威脅的防護手段也需要逐步的更新并應用到企業(yè)的信息安全建設之中，這種動態(tài)的過程將使得企業(yè)的信息安全防護更有生命力和主動性，真正為企業(yè)的業(yè)務永續(xù)運行提供保障。

參考文獻

[1]李納.計算機系統(tǒng)安全與計算機網(wǎng)絡安全淺析[J].科技與企業(yè)，2013.

篇9

二、健全法律法規(guī)

加強法律法規(guī)的完善性，保證數(shù)字化檔案信息安全管理工作的規(guī)范執(zhí)行。在該執(zhí)行期間，需要從法律法規(guī)角度對其進行研究，基于信息化時展需要，為民營企業(yè)的檔案信息安全管理工作營造良好的發(fā)展氛圍。執(zhí)行過程中，需要根據(jù)信息化發(fā)展要求、檔案信息的主要特征，為其制定完善的法律法規(guī)。在該體系執(zhí)行時，不僅能加強民營企業(yè)數(shù)字化檔案信息管理工作的?范化，實現(xiàn)信息的開放性發(fā)展，還能保證民營企業(yè)檔案信息完整、真實使用。在現(xiàn)代化發(fā)展背景下，民營企業(yè)面臨較大的挑戰(zhàn)，為了提高檔案信息管理能力，還需要建立完善的管理制度，分析數(shù)字化檔案信息安全管理工作中存在的一些影響因素，保證制度的有效執(zhí)行，保證在具體實施工作中，能夠?qū)踩砟顫B透到企業(yè)檔案信息管理工作中去。在實施工作中，還要為數(shù)字化檔案信息管理工作提供備份制度，其中，需要包括登記、異地使用制度等。不僅如此，還要促進數(shù)字化檔案開放工作的執(zhí)行期間，保證能夠開放一些信息。還需要為檔案信息的數(shù)字化管理建立維護制度，促進管理工作流程的規(guī)范發(fā)展，保證工作中各個環(huán)節(jié)的人員職責都能充分落實，實現(xiàn)任務分布明確，職責合理等，在不同崗位上，遵循不同的工作事項和流程，這樣才能使檔案信息管理工作符合新時期的發(fā)展要求，維持民營企業(yè)的健康進步。

三、利用先進手段

在民營企業(yè)不斷進步與發(fā)展的背景下，為了提升數(shù)字化檔案信息安全管理水平，需要引進先進執(zhí)行手段。先進手段的引入能夠為民營企業(yè)的檔案信息管理工作提供有效保障，在內(nèi)部管理工作中，需要相關(guān)部門根據(jù)自身的發(fā)展條件，借鑒一些成功經(jīng)歷，引入有效的數(shù)字化檔案信息安全軟件，促進信息安全設備的有效配置，保證企業(yè)在數(shù)字化檔案管理工作中，提高其中的技術(shù)含量。不僅如此，在具體執(zhí)行期間，還需要根據(jù)企業(yè)建立的數(shù)字化管理系統(tǒng)化，分析運行的實際情況，對計算機的硬件和軟件進行優(yōu)化選擇，提高其使用性能。在對計算機軟件與硬件進行選擇過程中，要重視計算機的品牌和服務器，以全方位的角度對計算機硬件的兼容性、可擴展性進行思考、嚴格審核，在該工作中，不僅能避免產(chǎn)生數(shù)據(jù)丟失現(xiàn)象，還能實現(xiàn)計算機系統(tǒng)的優(yōu)化升級。并且，還需要為其設置信息訪問認證工作，開發(fā)防病毒軟件，為數(shù)字化檔案信息執(zhí)行加密工作，這樣不僅能防止數(shù)據(jù)信息被非法侵入，還能促進數(shù)字化檔案信息的安全管理。

四、提高人員素質(zhì)

篇10

新時期下，信息化技術(shù)在各行業(yè)中運用日漸深入，給企業(yè)現(xiàn)代化建設與快速發(fā)展帶來了無限動力。企業(yè)信息化建設已成為我國經(jīng)濟信息化建設能否成功的關(guān)鍵所在，也是提升企業(yè)自身市場競爭力與企業(yè)升級進步的重要保證和標志[1]。但是，企業(yè)信息化建設過程中不可避免的出現(xiàn)信息安全問題，給企業(yè)正常生產(chǎn)經(jīng)營帶來諸多不利影響。因此，加強企業(yè)信息化建設中信息安全管理，已成為現(xiàn)代企業(yè)經(jīng)營管理的一個至關(guān)重要的工作。

1企業(yè)信息化概述

所謂的企業(yè)信息化，指的是實現(xiàn)企業(yè)的資金流、物流、作業(yè)流、信息流的數(shù)字化、網(wǎng)絡化管理，實行企業(yè)運行的自動化和企業(yè)制度的現(xiàn)代化[2]。企業(yè)信息化建設涉及了企業(yè)生產(chǎn)經(jīng)營中的各個部門，其主要利用現(xiàn)代化信息技術(shù)，通過完善企業(yè)內(nèi)外網(wǎng)絡信息系統(tǒng)，實現(xiàn)對企業(yè)內(nèi)外知識與信息資源的開發(fā)。可見，建設企業(yè)信息化體系，不但可以及時有效的提供各種數(shù)據(jù)信息給企業(yè)決策層，也為企業(yè)未來規(guī)劃設計提供參考依據(jù)，而且還有利于企業(yè)滿足瞬息萬變的市場需求，為企業(yè)市場核心競爭力的提升帶來動力。

2當前企業(yè)信息化建設中信息安全問題

企業(yè)信息化建設與發(fā)展為企業(yè)持續(xù)、健康、穩(wěn)定發(fā)展發(fā)揮了顯著作用，但同時也存在著諸多信息安全問題，具體分析主要有以下幾方面[3]：（1）當前，絕大多數(shù)企業(yè)缺乏完善的安全防御系統(tǒng)，導致企業(yè)內(nèi)部使用的信息系統(tǒng)易遭受外部網(wǎng)絡系統(tǒng)的攻擊，引發(fā)企業(yè)信息資料被他人截獲、篡改與偽造等問題，甚至企業(yè)信息系統(tǒng)中出現(xiàn)通信線路、硬盤設施以及其他文件系統(tǒng)遭惡意破壞現(xiàn)象，上述問題的發(fā)生不但致使企業(yè)信息系統(tǒng)無法正常運行，而且其內(nèi)部機密信息易發(fā)生泄漏，造成企業(yè)嚴重的社會經(jīng)濟損失。（2）針對郵件系統(tǒng)攻擊防不甚防。在企業(yè)信息系統(tǒng)中電子郵件具有重要的作用，通過電子郵件接收與傳送，極大的方便了企業(yè)內(nèi)部間與外部間信息交流與溝通。然而，電子郵件安全問題也日益突出，典型的如電子郵件病毒、垃圾郵件、機密信息泄露以及電子郵件炸彈等，給企業(yè)信息傳輸帶來了巨大安全隱患。因此，電子郵件安全問題不可忽視。（3）漏洞攻擊日益嚴重。按照漏洞問題發(fā)生原因可分為軟件漏洞和協(xié)議漏洞兩種，其中軟件漏洞主要是受外部不法分子攻擊軟件自身存在的漏洞，造成企業(yè)信息泄露等問題；而協(xié)議漏洞則主要是由于TCP/IP協(xié)議自身在安全機制方面存在的諸多漏洞問題導致，外部不法人員通過攻擊TCP/IP協(xié)議漏洞，致使企業(yè)信息系統(tǒng)遭受破壞。目前情況，很多企業(yè)對自身信息系統(tǒng)缺乏成熟的漏洞檢測手段和能力，往往事發(fā)后才采取補救措施。（4）是Web服務安全問題突出，根據(jù)Web服務流程，其發(fā)生安全問題的主要組成包括Web服務端安全問題、瀏覽器客戶端安全問題兩種。其中，Web服務端安全問題主要是企業(yè)Web主機遭受外部不法分子侵入，導致企業(yè)保密信息遭竊或者企業(yè)部分信息遭受非法篡改等；瀏覽器客戶端安全問題則是企業(yè)瀏覽器客戶端遭外部非法分子侵入，致使部分機密信息與數(shù)據(jù)遭竊等。

3導致企業(yè)信息化建設中信息安全問題因素

企業(yè)信息化建設中信息安全問題發(fā)生受諸多因素影響，具體分析主要有以下幾方面[4]：（1）目前，絕大多數(shù)企業(yè)在信息化建設過程中，對于信息安全問題重視度嚴重不足。一方面，受傳統(tǒng)經(jīng)營觀念影響，企業(yè)管理層偏重于對企業(yè)生產(chǎn)經(jīng)營中的有形資產(chǎn)給予關(guān)注與重視，而忽略了企業(yè)知識與信息資料等無形資源，導致在企業(yè)信息安全管理方面各項投入嚴重不足，進而造成信息安全問題日益凸顯；另一方面，多數(shù)企業(yè)在面對信息安全問題時，存在著盲目樂觀現(xiàn)象，認為信息安全問題不至于導致企業(yè)正常生產(chǎn)經(jīng)營，使得信息安全管理無法上升至企業(yè)發(fā)展規(guī)劃戰(zhàn)略之中，進而造成信息安全問題得不到及時有效解決。（2）由于企業(yè)信息化建設在我國尚處于起步階段，各方面配套管理制度不夠完善，特別是缺乏健全的企業(yè)信息安全管理體制。受此影響，企業(yè)信息化建設中信息安全問題一方面無法得到有效的預防措施，另一方面是一旦發(fā)生信息安全問題，無法采取及時有效的補救與解決對策。同時，由于缺乏科學、合理、有效的企業(yè)信息安全防護策略，使得企業(yè)信息管理人員缺乏必要的安全防護意識與業(yè)務素質(zhì)能力，致使企業(yè)信息安全防護軟硬件工作質(zhì)量與效率明顯不足。上述兩個因素，導致企業(yè)無論是從人員配置，還是資金與技術(shù)投入方面都嚴重不足，受企業(yè)信息管理人員業(yè)務素質(zhì)能力不足、信息安全技術(shù)方法落后以及配套的資金缺乏等影響，企業(yè)信息安全防護的措施、手段偏低，造成企業(yè)信息化建設存在著嚴重安全隱患。

4提升企業(yè)信息化建設中信息安全對策

針對當前企業(yè)信息化建設中存在的信息安全問題，為加強企業(yè)信息安全管理，提升企業(yè)信息安全保障，可通過采取以下幾方面對策，具體有[5]：（1）轉(zhuǎn)變傳統(tǒng)企業(yè)信息化建設觀念，在企業(yè)內(nèi)部管理層從上至下加強對企業(yè)信息安全的重視，并樹立正確的安全意識。一方面，通過組織各種信息安全管理培訓等，增強全體企業(yè)員工信息安全意識，確保企業(yè)保密信息不外漏；另一方面，逐步加大企業(yè)信息化建設中信息安全管理各項資金、技術(shù)、人力投入，并建立科學、合理、有效的企業(yè)信息安全防護策略，保障企業(yè)信息系統(tǒng)安全穩(wěn)定。（2）不斷的推進網(wǎng)絡信息技術(shù)的發(fā)展與運用，促進企業(yè)組織結(jié)構(gòu)網(wǎng)絡化的實現(xiàn)，同時引進先進的安全防護技術(shù)，確保企業(yè)信息化系統(tǒng)安全穩(wěn)定運行。任何網(wǎng)絡信息系統(tǒng)都存在著或大或小的安全漏洞問題，而保證其不受外部不法分子侵入的一個關(guān)鍵方法就是安全防護技術(shù)的運用。通過選用先進的安全防護技術(shù)，可以有效的提高企業(yè)信息系統(tǒng)抵抗外來攻擊，避免企業(yè)信息遭受竊取、篡改甚至破壞等，對于保障企業(yè)持續(xù)、健康、穩(wěn)定發(fā)展具有顯著作用。（3）結(jié)合企業(yè)信息化建設實際情況，建立健全企業(yè)內(nèi)部信息系統(tǒng)管理體制。一方面，針對信息安全問題，應建立科學、合理、規(guī)范的信息安全管理體制，保證企業(yè)信息系統(tǒng)安全運行；另一方面，建立健全企業(yè)安全風險評估機制，針對不同系統(tǒng)找出影響其安全的因素和漏洞，并制定出最佳的對策，降低企業(yè)信息安全風險；此外，加強相應的網(wǎng)絡管理，防止外來不法分子通過網(wǎng)絡侵入企業(yè)信息系統(tǒng)。（4）根據(jù)新時期企業(yè)信息化建設需要，加強企業(yè)信息技術(shù)人才、信息管理人才隊伍建設，為企業(yè)信息安全管理奠定堅實的人才基礎(chǔ)。一方面，在企業(yè)內(nèi)部，加強信息技術(shù)人才培訓，提高企業(yè)內(nèi)部相關(guān)人才業(yè)務素質(zhì)能力；另一方面，在企業(yè)外部，采取有效措施，積極招聘人才，引進具有先進信息技術(shù)型人才；此外，建立健全企業(yè)信息安全管理用人機制，激發(fā)員工工作積極性，提高工作質(zhì)量與效率。

5小結(jié)

總而言之，企業(yè)信息安全事關(guān)企業(yè)信息化建設是否成功，對于企業(yè)持續(xù)、健康、穩(wěn)定發(fā)展具有至關(guān)重要的作用。因此，應提高企業(yè)信息安全管理意識，增強企業(yè)信息安全管理機制，促進企業(yè)信息安全管理工作質(zhì)量與效率，保障企業(yè)信息化建設順利開展。

作者:吳捷 單位:中海石油氣電集團有限責任公司

參考文獻

[1]毛志勇.企業(yè)信息化建設的信息安全形勢與對策研究[J].科技與產(chǎn)業(yè)，2008，8，（1）：43~45.

[2]纂振法，徐福緣.淺析企業(yè)信息化建設的意義、問題與對策[J].吉林省經(jīng)濟管理干部學院學報，2001，3：24~28.