企業(yè)的信息安全論文

　　企業(yè)的信息安全論文【1】

　　摘 要 企業(yè)信息化程度發(fā)展到一定水平，從防火墻、入侵檢測(cè)等安全硬件到文檔防泄密、行為管理等安全軟件，技術(shù)上都比較成熟且大部分企業(yè)都已實(shí)施部分安全項(xiàng)目。

　　但實(shí)施安全項(xiàng)目之后并不是高枕無(wú)憂(yōu)，管理是否到位及企業(yè)員工安全意識(shí)成為企業(yè)信息安全的短板，如何從管理角度提高企業(yè)的信息安全水平，已成為一個(gè)重要的課題。

　　關(guān)鍵詞 信息安全;管理;意識(shí)

　　從安全軟硬件出發(fā)，大多安全實(shí)施廠(chǎng)家已有較成熟的方案，一旦項(xiàng)目實(shí)施完成后，企業(yè)往往容易忽略人員意識(shí)、IT審計(jì)、后續(xù)管理等因素對(duì)信息安全的影響。

　　本文就如何解決企業(yè)信息安全短板，從管理角度進(jìn)行探討。

　　1 管理安全的含義和IT審計(jì)的特點(diǎn)

　　從大的方面來(lái)說(shuō)，信息安全是指信息網(wǎng)絡(luò)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，信息服務(wù)不中斷。

　　直接反映到企業(yè)來(lái)說(shuō)，就是要通過(guò)實(shí)施一整套適當(dāng)?shù)目刂拼胧��?shí)現(xiàn)企業(yè)各業(yè)務(wù)系統(tǒng)正常運(yùn)行，確保安全目標(biāo)的實(shí)現(xiàn)。

　　本文從管理角度探討企業(yè)的信息安全，可以簡(jiǎn)稱(chēng)為管理安全，它是指建立并有效落實(shí)企業(yè)規(guī)章制度、安全管理規(guī)定等，來(lái)保證系統(tǒng)安全生存與運(yùn)行。

　　企業(yè)安全管理的規(guī)章制度是否運(yùn)行有效直接關(guān)系到企業(yè)安全目標(biāo)能否保障，在此管理過(guò)程中需要引入IT審計(jì)。

　　IT審計(jì)重點(diǎn)內(nèi)容之一就是發(fā)現(xiàn)信息系統(tǒng)的潛在風(fēng)險(xiǎn)，可以說(shuō)企業(yè)信息中心對(duì)潛在的IT風(fēng)險(xiǎn)是比較重視的。

　　IT審計(jì)相對(duì)技術(shù)而言，更多側(cè)重于管理，比如在安全策略方面更側(cè)重于訪(fǎng)問(wèn)授權(quán)的控制，以及定期核查是否按相關(guān)信息化制度辦事，還有就是有無(wú)進(jìn)行過(guò)適當(dāng)?shù)臐B透去檢驗(yàn)系統(tǒng)的可靠性等。

　　實(shí)施IT審計(jì)能夠提高企業(yè)信息系統(tǒng)的安全性，能夠客觀(guān)評(píng)價(jià)信息系統(tǒng)安全現(xiàn)狀。

　　2 從管理角度看企業(yè)中存在的主要信息安全威脅

　　1)企業(yè)日常信息化管理中，會(huì)碰到以下一些現(xiàn)象，如：明知計(jì)算機(jī)病毒無(wú)孔不入，卻不安裝殺毒軟件;個(gè)人認(rèn)證的物品(如員工門(mén)禁卡)隨意借用他人;進(jìn)入門(mén)禁系統(tǒng)之后，對(duì)他人尾隨不理不問(wèn);移動(dòng)存儲(chǔ)介質(zhì)外借他人，卻不知可能造成感染病毒或泄密;打印服務(wù)器、掃描服務(wù)器等公用電腦臨時(shí)存放許多信息卻不刪除。

　　從上述現(xiàn)象中可以得知，企業(yè)員工信息安全意識(shí)淡薄會(huì)產(chǎn)生較多安全漏洞。

　　據(jù)《2011年度中國(guó)企業(yè)員工信息安全意識(shí)調(diào)查報(bào)告》顯示，30%的受訪(fǎng)者從來(lái)沒(méi)有接受過(guò)信息安全培訓(xùn)，只有30%的企業(yè)會(huì)進(jìn)行定期的信息安全培訓(xùn)[1];

　　2)企業(yè)信息安全項(xiàng)目做的深度是與企業(yè)信息化發(fā)展水平相關(guān)的，一般企業(yè)會(huì)根據(jù)本身的信息化水平發(fā)展程度分步驟進(jìn)行。

　　企業(yè)初始階段會(huì)通過(guò)封USB端口，不配置光驅(qū)等形式防止電子文檔傳播至外界。

　　現(xiàn)階段已有部分企業(yè)關(guān)注電子文檔防泄密的軟件，同時(shí)配以相應(yīng)的制度，從一定程度上能達(dá)到預(yù)期的效果。

　　項(xiàng)目實(shí)施后往往會(huì)發(fā)現(xiàn)效果難以保持，因?yàn)槠髽I(yè)缺少相關(guān)的信息安全審計(jì)人員，在審計(jì)工作不到位的情況下，安全軟件的審計(jì)功能無(wú)法體現(xiàn)其價(jià)值;

　　3)企業(yè)通過(guò)安全軟件對(duì)電子文檔進(jìn)行管理，在實(shí)物管理方面缺乏措施。

　　辦公室文印區(qū)域是企業(yè)信息泄密的源頭之一，外單位人員進(jìn)入企業(yè)進(jìn)行交流時(shí)，通常會(huì)經(jīng)過(guò)辦公室文印區(qū)域，員工打印文件后如不及時(shí)拿取，容易將技術(shù)資料留在在打印機(jī)上，給有心之人獲取，容易造成泄密。

　　計(jì)算機(jī)、筆記本等辦公設(shè)備故障外移送修，送修前未經(jīng)過(guò)審核批準(zhǔn)，不對(duì)硬盤(pán)做處理，上述這些日常辦公現(xiàn)象存在著信息安全漏洞[2]。

　　3 信息安全短板的對(duì)策措施——強(qiáng)管理

　　盡管企業(yè)防火墻、防毒墻等安全硬件設(shè)施或安全軟件都較齊全，但是采取恰當(dāng)?shù)墓芾泶胧┮材苡行У奶岣咝畔�安全水平，最終有效地保護(hù)企業(yè)信息資產(chǎn)。

　　本文總結(jié)了以下幾種管理方法并加以說(shuō)明。

　　1)提高員工安全意識(shí)，關(guān)鍵是做好培訓(xùn)。

　　一方面企業(yè)信息中心要組織好講師及培訓(xùn)素材。

　　培訓(xùn)素材可結(jié)合生活中的信息安全案例或者通過(guò)動(dòng)畫(huà)情景介紹等較生動(dòng)的方式，寓教于樂(lè)，讓每個(gè)企業(yè)員工明白數(shù)據(jù)等無(wú)形資產(chǎn)的重要性，理解數(shù)據(jù)信息安全是企業(yè)的生存發(fā)展壯大的法寶。

　　在培訓(xùn)方式上，可采用循序漸進(jìn)的培訓(xùn)方式，不急于求全，可從最基本的啟用標(biāo)準(zhǔn)的計(jì)算機(jī)密碼(如大小寫(xiě)字母+數(shù)字)、離開(kāi)座位時(shí)使用屏保等開(kāi)始培養(yǎng)。

　　后續(xù)可陸續(xù)完善公司涉密規(guī)章制度，同時(shí)認(rèn)真落實(shí)，要讓員工真正懂得防止泄密的辦法;

　　2)通過(guò)IT審計(jì)嚴(yán)把信息安全管理關(guān)。

　　企業(yè)做好IT審計(jì)，從以下幾方面入手：一方面是人才培養(yǎng)，企業(yè)審計(jì)部門(mén)需要引入類(lèi)似IT審計(jì)師的角色，盡管現(xiàn)階段大部分中小企業(yè)未能做到這一點(diǎn)，但可參照國(guó)際上通用的認(rèn)證培訓(xùn)——國(guó)際信息系統(tǒng)審計(jì)師，把企業(yè)信息管理人員送出外培，提高兼職型IT審計(jì)人員的技術(shù)水平及能力;另一方面是IT審計(jì)人員職責(zé)要明確，從實(shí)踐上看，IT審計(jì)人員工作內(nèi)容包括查看企業(yè)人員是否按照已有的涉密規(guī)章制度進(jìn)行審批手續(xù)、定期將審計(jì)報(bào)表反饋給高層，監(jiān)督整改落實(shí)的情況及效果驗(yàn)證，使企業(yè)自上而下重視信息安全管理;

　　3)讓安全軟件的審計(jì)功能發(fā)揮作用。

　　市場(chǎng)上的電子文檔防泄密系統(tǒng)提供日志審計(jì)功能。

　　日志系統(tǒng)主要用來(lái)跟蹤和記錄用戶(hù)對(duì)受控文件的操作、記錄管理員設(shè)定的策略和操作。

　　企業(yè)系統(tǒng)管理員要對(duì)文件日志、部門(mén)日志、計(jì)算機(jī)日志、申請(qǐng)審批日志等進(jìn)行定期檢查，同時(shí)發(fā)揮IT審計(jì)人員的監(jiān)督作用，才可讓安全軟件的審計(jì)記錄發(fā)揮作用;

　　4)利用刷卡認(rèn)證方式管理文檔輸出。

　　辦公類(lèi)信息安全管理方面，涉及到各類(lèi)業(yè)務(wù)系統(tǒng)的賬戶(hù)管理、文檔輸出管理、存儲(chǔ)設(shè)備管理等。

　　現(xiàn)有企業(yè)一般是通過(guò)制度約束，但效果不明顯，這里結(jié)合新的管理方式對(duì)文檔輸出管理進(jìn)行說(shuō)明。

　　一般我們不會(huì)一直等在打印機(jī)旁，沒(méi)有把打印好的資料及時(shí)拿走。

　　而所打印的資料大多是技術(shù)圖紙、商務(wù)合同、計(jì)劃等資料，讓人不經(jīng)意地看到相關(guān)內(nèi)容及敏感信息。

　　要減少因遺忘而將已輸出的文檔滯留在文印設(shè)備上，可結(jié)合IC刷卡認(rèn)證的方式，企業(yè)通過(guò)為文印設(shè)備配備一些讀卡器，只有當(dāng)刷員工卡時(shí)，文檔才從文印設(shè)備輸出，員工可即刻拿走。

　　總之，企業(yè)信息安全是一個(gè)多點(diǎn)因素的難題，涉及技術(shù)、管理、應(yīng)用等方面，隨著企業(yè)信息化的發(fā)展，各類(lèi)信息系統(tǒng)及軟件資產(chǎn)不斷增多，從管理角度保障信息安全，增強(qiáng)企業(yè)員工安全意識(shí)，成為企業(yè)成長(zhǎng)的重中之重。

　　參考文獻(xiàn)

　　[1]北京谷安天下科技有限公司.2011年度中國(guó)企業(yè)員工信息安全意識(shí)調(diào)查報(bào)告[R]，2012.

　　[2]楊鍇新、劉潔.關(guān)于企業(yè)信息安全管理的思考[J].經(jīng)管空間，2011，5.

　　加強(qiáng)企業(yè)信息安全【2】

　　【摘要】隨著國(guó)網(wǎng)公司信息化建設(shè)工作的不斷推進(jìn)，信息安全工作的重要性日益凸顯。

　　由于國(guó)網(wǎng)公司內(nèi)網(wǎng)終端分布范圍廣，內(nèi)網(wǎng)計(jì)算機(jī)終端違規(guī)外聯(lián)成為威脅內(nèi)網(wǎng)安全的重大隱患。

　　國(guó)網(wǎng)延安供電公司信息運(yùn)檢班經(jīng)過(guò)長(zhǎng)時(shí)間終端運(yùn)維的經(jīng)驗(yàn)總結(jié)，從管理和技術(shù)上對(duì)如何防范違規(guī)外聯(lián)形成了一套行之有效的方法，并收到了卓越的成效，為企業(yè)的信息化工作提供了安全、穩(wěn)定的信息支持和服務(wù)。

　　【關(guān)鍵詞】 信息安全 違規(guī)外聯(lián) 電力企業(yè)

　　一、前言

　　國(guó)網(wǎng)公司現(xiàn)已建成覆蓋至基層生產(chǎn)班站及營(yíng)業(yè)站所的信息內(nèi)網(wǎng)。

　　隨著SG186工程的全面投入運(yùn)行，從職能部室到一線(xiàn)班組，電力企業(yè)所有的業(yè)務(wù)數(shù)據(jù)都依賴(lài)網(wǎng)絡(luò)進(jìn)行流轉(zhuǎn)，電網(wǎng)企業(yè)生產(chǎn)和經(jīng)營(yíng)對(duì)信息網(wǎng)絡(luò)和信息系統(tǒng)的依賴(lài)程度越來(lái)越高信息安全的重要性日益凸顯。

　　國(guó)網(wǎng)公司已將網(wǎng)絡(luò)與信息安全納入公司安全管理體系。

　　一直以來(lái)，信息安全防御理念常局限于常規(guī)的網(wǎng)關(guān)級(jí)別(防火墻等)、網(wǎng)絡(luò)邊界(漏洞掃描、安全審計(jì))等方面的防御，重要的安全設(shè)施大多集中于核心機(jī)房、網(wǎng)絡(luò)入口處，在這些設(shè)備的嚴(yán)密監(jiān)控下，來(lái)自網(wǎng)絡(luò)外部的安全威脅已大大減少，尤其實(shí)行內(nèi)外網(wǎng)隔離、雙網(wǎng)雙機(jī)后，來(lái)自于互聯(lián)網(wǎng)的威脅微乎其微。

　　而內(nèi)網(wǎng)辦公終端由于分布地點(diǎn)廣泛，管控難度大，加之現(xiàn)在無(wú)線(xiàn)上網(wǎng)卡、無(wú)線(xiàn)wifi和智能手機(jī)的興起，內(nèi)網(wǎng)計(jì)算機(jī)接入互聯(lián)網(wǎng)的事件時(shí)有發(fā)生，一旦使用人員將內(nèi)網(wǎng)計(jì)算機(jī)通過(guò)以上方式接入互聯(lián)網(wǎng)，即造成違規(guī)外聯(lián)事件。

　　由于違規(guī)外聯(lián)開(kāi)通了一條無(wú)任何保護(hù)措施進(jìn)出內(nèi)外網(wǎng)的通道，一旦遭遇黑客襲擊，就可能造成信息泄露、重要數(shù)據(jù)丟失、病毒入侵、網(wǎng)絡(luò)癱瘓等信息安全事故，給企業(yè)信息安全帶來(lái)重大的安全隱患和風(fēng)險(xiǎn)。

　　二、強(qiáng)化管理、落實(shí)責(zé)任，監(jiān)培并進(jìn)

　　1、將違規(guī)外聯(lián)明確寫(xiě)入公司各項(xiàng)規(guī)章制度，并納入經(jīng)濟(jì)責(zé)任考核。

　　在《公司信息系統(tǒng)安全管理辦法》中，對(duì)杜絕違規(guī)外聯(lián)事件進(jìn)行了明確的要求：所有內(nèi)網(wǎng)計(jì)算機(jī)必須粘貼防止違規(guī)外聯(lián)提示卡，嚴(yán)禁將接入過(guò)互聯(lián)網(wǎng)未經(jīng)處理的計(jì)算機(jī)接入內(nèi)網(wǎng)，嚴(yán)禁在普通計(jì)算機(jī)上安裝雙網(wǎng)卡，嚴(yán)禁將智能設(shè)備(3G手機(jī)、無(wú)線(xiàn)網(wǎng)卡等)插入內(nèi)網(wǎng)計(jì)算機(jī)USB端口，嚴(yán)禁在辦公區(qū)通過(guò)路由器連接外網(wǎng)，杜絕違規(guī)外聯(lián)行為。

　　一旦發(fā)生違規(guī)外聯(lián)事件，依據(jù)《企業(yè)信息化工作評(píng)級(jí)實(shí)施細(xì)則》，按照“誰(shuí)主管誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)行誰(shuí)負(fù)責(zé)、誰(shuí)使用誰(shuí)負(fù)責(zé)”的原則對(duì)事件責(zé)任人進(jìn)行嚴(yán)肅處理和經(jīng)濟(jì)考核，并在全公司通報(bào)批評(píng)。

　　將信息安全責(zé)任落實(shí)到人。

　　2、加大違規(guī)外聯(lián)宣貫和培訓(xùn)力度。

　　信息安全工作，重在預(yù)防，將一切安全事件消滅在萌芽狀態(tài)，才能確保信息系統(tǒng)安全穩(wěn)定運(yùn)行。

　　分層次組織開(kāi)展公司在崗員工，尤其是新員工的信息安全教育培訓(xùn)工作，即重點(diǎn)培訓(xùn)各部門(mén)信息化管理人員，各級(jí)管理人員培訓(xùn)本部門(mén)技術(shù)人員，本部門(mén)技術(shù)人員培訓(xùn)一線(xiàn)員工。

　　通過(guò)分層式培訓(xùn)，提高了培訓(xùn)效果，同時(shí)各級(jí)管理人員、技術(shù)人員作為下級(jí)培訓(xùn)對(duì)象講師提高了自身素質(zhì)，強(qiáng)化了信息安全關(guān)鍵點(diǎn)的作用。

　　確保違規(guī)外聯(lián)事件的嚴(yán)重性、危害性和工作機(jī)理已宣貫至公司每一位員工，實(shí)現(xiàn)全員重視、全員掌握，做到內(nèi)網(wǎng)計(jì)算機(jī)“離座就鎖屏，下班就關(guān)機(jī)”的工作習(xí)慣。

　　3、加強(qiáng)外來(lái)工作人員管控。

　　加強(qiáng)外來(lái)工作人員信息安全教育，并簽訂《第三方人員現(xiàn)場(chǎng)安全合同書(shū)》，嚴(yán)禁外來(lái)工作人員計(jì)算機(jī)接入公司內(nèi)外網(wǎng)。

　　對(duì)第三方人員工作過(guò)程全程監(jiān)控，防止因外來(lái)工作人員擅自操作造成違規(guī)外聯(lián)事件。

　　二、加強(qiáng)技術(shù)管控，從源頭杜絕安全事件的發(fā)生

　　2.1嚴(yán)格執(zhí)行“雙網(wǎng)雙機(jī)”

　　嚴(yán)禁在信息內(nèi)網(wǎng)和外網(wǎng)交叉使用計(jì)算機(jī)。

　　對(duì)要求接入信息內(nèi)、外網(wǎng)的計(jì)算機(jī)，需向本人核實(shí)該計(jì)算機(jī)之前網(wǎng)絡(luò)接入情況，對(duì)內(nèi)外網(wǎng)絡(luò)接入方式有變化、或者是不清楚的情況，需對(duì)計(jì)算機(jī)進(jìn)行硬盤(pán)格式化并重裝系統(tǒng)后方可接入網(wǎng)絡(luò)。

　　2.2安裝桌面終端，設(shè)置強(qiáng)口令，防止違規(guī)外聯(lián)

　　實(shí)時(shí)監(jiān)控全公司內(nèi)網(wǎng)終端桌面終端系統(tǒng)安裝率，確保所有內(nèi)網(wǎng)計(jì)算機(jī)桌面終端安裝率達(dá)100%。

　　設(shè)置桌面終端策略，一旦發(fā)生違規(guī)外聯(lián)，系統(tǒng)立即采取斷網(wǎng)措施，并對(duì)終端用戶(hù)進(jìn)行警示。

　　要求全部?jī)?nèi)網(wǎng)計(jì)算機(jī)設(shè)置開(kāi)機(jī)強(qiáng)口令(數(shù)字+字母+特殊符號(hào)，且大于8位)，防止非本人操作的違規(guī)外聯(lián)行為。

　　通過(guò)桌面終端系統(tǒng)對(duì)內(nèi)網(wǎng)計(jì)算機(jī)開(kāi)機(jī)強(qiáng)口令進(jìn)行實(shí)時(shí)監(jiān)控。

　　2.3做好溫馨提示，明確內(nèi)外網(wǎng)設(shè)備，防止違規(guī)外聯(lián)

　　做到每一臺(tái)內(nèi)網(wǎng)計(jì)算機(jī)均粘貼信息安全提示標(biāo)簽提示員工切勿內(nèi)網(wǎng)計(jì)算機(jī)接入外網(wǎng)網(wǎng)絡(luò)，無(wú)線(xiàn)網(wǎng)卡及智能手機(jī)切勿接入內(nèi)網(wǎng)。

　　內(nèi)外網(wǎng)網(wǎng)絡(luò)端口模塊、網(wǎng)線(xiàn)端口都要有明顯標(biāo)識(shí)，防止員工誤接網(wǎng)絡(luò)。

　　2.4實(shí)行內(nèi)網(wǎng)計(jì)算機(jī)IP、MAC綁定和外網(wǎng)計(jì)算機(jī)IP、認(rèn)證賬號(hào)綁定

　　加強(qiáng)IP地址綁定，從交換機(jī)端口對(duì)接入內(nèi)網(wǎng)的計(jì)算機(jī)進(jìn)行IP、MAC地址綁定，確保除本計(jì)算機(jī)外，其余計(jì)算機(jī)無(wú)法通過(guò)該端口接入內(nèi)網(wǎng)。

　　通過(guò)外網(wǎng)審計(jì)(網(wǎng)康科技)對(duì)外網(wǎng)IP和用戶(hù)認(rèn)證賬戶(hù)進(jìn)行綁定，完善外網(wǎng)用戶(hù)和計(jì)算機(jī)基礎(chǔ)資料，做到全局外網(wǎng)終端和用戶(hù)可控。

　　三、信息安全前景：

　　在信息安全領(lǐng)域沒(méi)有絕對(duì)的安全防護(hù)技術(shù)和手段。

　　隨著信息技術(shù)日新月異的發(fā)展，電力企業(yè)內(nèi)網(wǎng)計(jì)算機(jī)違規(guī)外聯(lián)風(fēng)險(xiǎn)也在增加。

　　在已有的管控手段的基礎(chǔ)上，還要及時(shí)關(guān)注新技術(shù)，不斷完善和調(diào)整制度管理和技術(shù)策略。

　　信息安全是伴隨企業(yè)信息化應(yīng)用發(fā)展而發(fā)展的永恒課題。

【企業(yè)的信息安全論文】相關(guān)文章：

企業(yè)信息安全的論文10-08

企業(yè)信息安全建設(shè)論文10-09

關(guān)于造型企業(yè)信息安全的論文10-08

企業(yè)郵箱的信息安全研究論文10-08

關(guān)于企業(yè)實(shí)施信息安全保障的論文10-08

企業(yè)信息安全治理框架論文10-09

企業(yè)信息安全問(wèn)題研究論文10-08

企業(yè)局域網(wǎng)信息安全論文10-08

關(guān)于企業(yè)信息安全現(xiàn)狀分析的論文10-08