導語：如何才能寫好一篇企業安全信息，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

[關鍵詞]企業安全；信息管理；設計；實現

doi：10.3969/j.issn.1673-0194.2015.08.057

[中圖分類號]TP311.52 [文獻標識碼]A [文章編號]1673-0194（2015）08-0075-02

近年來，企業安全事故層出不窮，信息安全引起了越來越多企業管理者的重視，成為各個企業不容忽視的關鍵問題。為了加強企業信息安全，不少企業開始設立獨立部門對企業的信息安全進行專業管理，并開始培養專業的信息安全管理人才。

1 企業安全信息管理平臺的問題

1.1 安全意識不強

企業要重視信息安全并實施管控，信息安全管理的成敗取決于員工的安全意識。人員安全意識欠缺，導致政令不通，監督不力，執行不暢，往往導致信息外泄、系統故障等安全事故。只有樹立直接執行人員牢固的信息安全意識，形成企業安全文化，企業信息安全才能真正長治久安。員工信息安全意識的提升并非一日之功，也不是通過簡單的一兩次培訓就能奏效，而是一項持續的、長期的、有計劃的、多種方式并用的綜合性工作。信息安全意識提升面向企業廣泛的受眾，其內容涵蓋信息安全相關各個領域，重點針對員工日常工作和個人行為，關注各種可能因個人行為不當或警惕性不強而引發的信息安全隱患和事故。由于目標對象的不同，信息安全意識提升內容會呈現出不同的形式、程度，從簡潔明了的宣傳語，到淺顯易懂的安全提示，再到全面具體的安全手冊，建立企業專門的信息安全知識庫，滿足不同方面和不同層次的需要。

1.2 缺乏專業人才

隨著經濟社會的不斷發展，企業對于信息安全管理人才的需求也越來越大。任何組織都是由人組成的，沒有人才，組織就不能取得長遠發展，更談不上不斷進步和自我完善。企業的發展需要不斷補充新的人才。對于多數企業來說，信息安全管理人員的素質決定了單位能否長遠發展。信息安全管理是最近幾年才興起的，很多企業還沒有配備相關人才，不少高校也尚未開展相關專業，培養信息安全管理方面的人才，國家對于信息安全管理專業的投入也不夠。社會整體尚未形成重視信息安全管理的氛圍。目前，不少企業的信息安全管理人員十分匱乏，很多企業沒有專門的信息安全管理機構，因此也沒有配備相應的信息安全管理人員。只有少數企業認識到信息安全管理的重要性，設立了相應的信息安全管理機構。但在這些企業當中，多數企業的信息安全管理機構十分簡陋，相關設備也不夠健全，專業人員的配備也存在缺失，有的企業雖然配備有信息安全管理人員，但這些人員多數沒有接受過系統的知識培訓，經驗不夠豐富，責任心不強，不能履行信息安全管理人員的基本職責。信息安全管理人員素質不高和專業人才的缺失，是企業的發展的阻礙，嚴重影響了企業的長遠發展。

1.3 監管制度缺失

完善、科學的信息安全監管制度對于企業的發展具有十分重要的意義和作用。行為規范制度是指導工作人員進行相關操作的準則和辦法，只有建立一套系統的信息安全監管制度，才能規范信息安全管理人員的行為，使操作有據可依，信息安全管理人員對自身行為負起責任。目前我國信息安全管理制度仍不健全，不少企業沒有建立起一套完善的內部控制制度，使得很多行為沒有操作依據，信息安全管理人員的行為無法有效約束，出現了許多不負責任的行為。這些行為不僅阻礙了企業的發展，也影響了企業的聲譽，不利于后續工作的開展。因此，必須建立健全企業信息安全監管制度，為企業后續活動的開展提供保障。

1.4 管理技術落后

信息安全管理需要先進的管理技術和安全技術，為信息安全管理提供有力的技術支持。企業在發展過程中，開發了一系列信息安全管理技術和管理技巧，發揮了一定的作用。但隨著經濟社會的發展和科技的日新月異，不少技術已經無法跟上時代步伐，很多技術面臨淘汰。這些管理技巧不但不能給企業帶來益處，反而有可能影響企業的信息安全。因此必須緊跟時代步伐，了解最新的信息安全管理技巧，結合企業實際情況，開發符合時代要求的管理技巧。同時，積極了解最新科技動態，將適合于本企業的技術運用到企業的信息安全管理過程中。

2 如何完善企業安全信息管理平臺設計

2.1 增強信息安全管理意識

提高信息安全管理意識是完善企業信息安全管理的重要前提和關鍵因素。只要具備良好的內部安全控制意識，才能順利開展后續工作。企業管理者必須深切意識到信息安全管理對于企業發展的重要性和必要性，加大投資力度，及時發現企業信息安全管理中存在的問題和不足。必須加強對企業信息安全管理的重視，切實意識到信息安全管理對于企業發展的重要性，加大資金投入，確保企業信息安全管理良好運作。

2.2 加強人員的素質培訓

人才對于企事業單位的發展具有不容忽視的作用。單位的競爭歸根結底是人才的競爭。信息安全管理人員的素質對于企業的發展具有重要作用，具有良好素質的信息安全管理人員可以促進企業的快速發展。企業必須重視對信息安全管理人員的培訓和投資。信息安全管理人員的投資包括設備的更新，資金的投入和專業教育的提升。同時，要鼓勵信息安全管理人員學習最新的信息安全知識，不斷更新已有知識，緊跟時代的步伐。企業不僅要注重提高信息安全管理人員的專業素養，也要重視對企業信息安全管理人員的道德培養。只有專業知識而缺乏道德素養的工作人員，不僅不能給企業帶來效益，反而會危害企業發展，因此必須重視企業信息安全管理人員的道德素養。信息安全必須不斷加強對信息安全管理人員的培訓，切實全面提高信息安全管理人員素質，增強信息安全管理人員靈活處理各項事務的能力，不斷鞏固自身基礎知識，培養信息安全管理人員的責任心和創新精神，真正做到與時俱進。只有不斷提升企業的信息安全管理人員素質，才能從整體上提升企事業單位的安全管理工作效率，促進企業的長遠發展。

2.3 強化信息安全監督管理

監督工作對于企業的發展具有重要作用和意義。良好的監督是企事業單位正?；顒拥那疤?。沒有完善的監督體系，企事業單位很難確保業務的正常開展。企事業單位應強化信息安全監督工作，建立相應的監督管理機構，對企業內部各項經濟活動進行有計劃地控制，及時發現企事業單位存在的問題，同時應加強信息安全管理工作，不斷提升工作效率。凡事預則立，不預則廢。除了做好信息安全管理的內部監督工作外，不斷加強信息安全管理的外部監督工作也是十分重要的環節。外部監督主要包括新聞媒體監督和社會大眾監督。企事業單位管理者要認識到內部管理的不足之處，認真改正有缺陷的地方，不斷完善內部控制建設。同時，也要不斷加強新聞媒體的監督作用，發揮輿論的監督作用。內部控制是一項巨大的完整的工程，具有完善的體系和結構，必須保證每個環節落實到位，才能確保整個體系的良性運行，從而發揮出最大的效益。

2.4 提高信息安全管理技巧

除此之外，信息安全管理技巧對于企事業單位的發展具有重要意義。不同的控制技巧適用于不同的企事業單位，也會產生不同的效果。企事業單位采取適合本單位的內部控制技巧，可以提高企事業單位的行政效率。隨著時代的發展和進步，傳統的信息安全管理技巧已經不適用于現代企業。因此，企業必須根據時代的發展，提升自身信息安全管理技巧，摒棄舊有落后工作模式。另外，在實施信息安全管理技巧時，必須考慮到事業單位的實際運作情況，切忌生搬硬套。應根據企事業單位的具體情況，有針對性地提高信息安全管理的技巧，逐步解決企事業單位在實施信息安全管理時遇到的難題。

主要參考文獻

[1]侯衛超.企業信息安全現狀分析與管理對策[J].科技信息：科學教研，2007（28）.

[2]王超，林峰.高校校園網絡安全管理策略[J].科技資訊，2007（20）.

篇2

關鍵詞　信息安全；安全防護；信息保密

中圖分類號TP39　文獻標識碼A　文章編號　1674-6708（2013）83-0024-02

1電力企業的信息安全

1.1什么是信息安全

信息安全是指信息網絡的硬件、軟件及其系統中的數據受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統連續可靠正常地運行，信息服務不中斷。

通常來說，信息安全就是要做到五個方面內容：一是進不來，通過設置系統口令、屏保口令等使惡意人員無法進入；二是拿不走，對系統用戶有權限區分，低權限用戶無法越權獲取高權限用戶資料；三是看不懂，對重要文件進行加密處理，保證信息不曝露給非法用戶；四是改不了，確保只有得到允許的人才能修改數據，其它人無法改動；五是走不脫，使用審計、監控等手段，使得攻擊者、破壞者無法走脫。

1.2信息安全總體要求

公司信息安全堅持“雙網雙機、分區分域、安全接入、動態感知、精益管理、全面防護”總體防護策略，執行信息安全等級保護制度，防止因信息系統本身故障導致信息系統不能正常使用和系統崩潰，抵御黑客、病毒、惡意代碼等對信息系統發起的各類攻擊和破壞，防止信息內容及數據丟失和失密，防止有害信息在網上傳播，防止公司對外服務中斷和由此造成的電力系統運行事故。

2地市公司信息安全管理

2.1信息安全面臨的威脅

隨著信息技術的發展以及公司信息化建設的推進，地市公司面臨的信息安全威脅越來越多樣化。目前，信息安全面臨的威脅主要有：一是人為無意失誤，如管理漏洞、安全意識不強，操作不當等；二是人為惡意攻擊，如計算機病毒等惡意代碼；三是軟硬件的漏洞和“后門”，如操作系統、數據庫及應用系統本身存在的缺陷和漏洞；四是設備故障；五是自然災害。

2.2信息安全管理

2.2.1安全制度建設

地市公司要根據上級公司的相關要求，結合本公司所面臨的信息安全威脅，從網絡、終端、應用、管理等各方面建立完善一整套信息安全管理制度。管理制度主要包括：《計算機機房安全管理制度》、《安全責任制度》、《網絡安全制度》、《系統安全風險管理和應急處置制度》、《操作權限管理制度》、《用戶登記制度》、《重要設備、介質管理制度》、《信息審查、登記、保存、清除和備份制度》等等。這些信息安全制度在公司信息安全工作中起著根本性、指導性和全局性的作用。

地市公司要根據實際情況制定信息安全通報制度，加大全體員工對信息安全的重視程度，提高信息安全的管理效率。通報分為例行通報、緊急通報兩類，通報內容包括：一是圍繞信息安全考核指標的日常工作；二是信息安全的專項工作；三是信息安全事件的預警、響應、研判和處置情況。

地市公司要建立信息安全監督制度，要求各單位、部門對危害信息安全的各類危險源點進行自查整改。信通公司作為信息安全主管部門進行現場檢查和遠程檢查。

地市公司要建立信息安全應急處置制度。為了正確、有效和快速地處理信息安全突發事件，最大限度地減少突發事件對公司生產、經營、管理造成的損失和對社會的不良影響，需要定期修訂完善應急預案和開展應急演練。同時，地市公司還要定期組織全體信息運維人員學習應急預案，做到熟悉預案，了解如何應對突發事件，明確各自職責和處理程序，真正確保突發事件下的信息安全。

2.2.2人才隊伍建設

信息安全工作需要必須的人力資源來支撐。地市公司要按照“誰主管誰負責，誰運營誰負責，誰使用誰負責”　的原則，落實專門機構和人員負責信息安全工作。目前，地市公司的信息安全運維管理由信通公司負責，主要工作包括有系統的安全運維、信息安全的技術保障、信息安全事故應急處理及員工信息安全教育等。地市公司還應根據工作地點及人員分散的特點建立一只信息兼職隊伍。通過信息兼職隊伍的壯大及能力的提升，使信息安全邁上新的臺階。

2.2.3防護系統建設

安全技術是信息安全的主體，信息安全離不開安全技術的實施和安全產品的部署。地市公司必須要部署防火墻、入侵檢測系統、防病毒系統、桌面終端標準化管理系統等各種安全防護系統。這些系統的部署給信息安全提供了多層次、全方位的安全防護。

部署防病毒系統。Symantec　endpoint　Protection提供端點安全解決方案，它實現防病毒、防間諜軟件、防火墻、入侵防御和網絡威脅防護等多種功能，并且通過策略的設置，可以防范安全違規事件的發生。它具有系統性和主動性的特點，能夠實現全方位多級安全防護。

部署桌面終端管理系統。桌面終端系統應實現對公司內部終端的軟硬件、數據保密的集中化和標準化管理，提高公司內部終端的安全性及維護管理的效率。

地市公司還應利用在網絡設備上采取IP地址與MAC地址綁定的技術手段限制不明非法的設備接入到信息內網中。同時，還應制定網絡接入設備審批制度，嚴格控制和管理接入信息內網的設備。

2.2.4系統安全建設

系統安全分為物理安全和運行安全兩個部分。

物理安全主要是指主機存儲設備、網絡設備、安全設備及機房輔助設備安全。設備放置在專門的信息機房內，通過門禁系統及機房監控系統保證這些設備自身的安全。地市公司應制定機房管理、機房出入人員管理等制度，對設備安全管理、機房環境管理、人員出入訪問控制管理等做出詳細的規定。同時，地市公司還應指定專人負責各類設備的管理工作，定期聯系專業廠家對設備進行巡檢，做到問題早發現，早解決。

運行安全主要是指業務應用系統、網絡系統及數據庫系統等運行安全。主要系統應采用雙機的方式來建設。所有的系統都有專人負責，地市公司定期對系統的運行狀態進行巡視、備份等工作。同時，地市公司還要對設備的賬戶安全、網絡安全、服務安全、日志安全等方面開展加固工作，保障系統的安全穩定運行。

2.2.5個人安全建設

地市公司應從管控與培訓兩個方面開展個人信息安全建設。

所有終端設備應統一安裝桌面終端管理系統、防病毒系統和補丁升級系統等安全防護系統。地市公司要每日安排專人監控終端設備，發現問題及時整改，保證桌面終端注冊率、防病毒安裝率，補丁安裝率是100%。

教育培訓是提升員工個人信息安全意識和技術水平的重要手段。通過開展安全講座、建設專題網站、印發宣傳手冊和巡展宣傳展板等多種形式加強信息安全知識的宣傳，使每個員工懂得信息安全違規行為的防范知識。

2.2.6信息保密建設

地市公司要嚴格執行“信息不上網，上網信息不”的保密要求，對發現的違規失密、泄密事件嚴肅處理。信息保密工作主要有：一是強化信息保密教育培訓，使員工明確信息保密安全防護要求；二是加強對終端和網絡的保密管理，防止敏感、信息的丟失以及有害信息在網上傳播。

篇3

關鍵詞:企業信息化；網絡管理；安全問題

前言

自中國加入世貿組織后，全球實行經濟一體化，信息資源對于企業的發展經營顯得十分重要，企業只有盡快實施信息化戰略與國際接軌，才能融入到經濟全球化的大潮中去。對于企業進行信息化改革需要進行一些規劃性安排。其中包含有信息資源規劃，這主要是指企業生產經營過程中所需要掌握到的所有信息，從開始采集、處理一直到傳輸、使用全過程的一個整體規劃。企業在生產經營活動過程中，無時不刻都充斥著信息，信息資源與企業人、財、物資源同等重要，都是企業在經營環節中不可缺少的重要資源。而經過長期的發展，很多企業已經開始意識到企業信息資源規劃的重要性，認識到它是企業信息化建設的基礎工程。而對企業信息化安全的解決應該建立在人員管理的基礎之上，致力于整個企業網絡管理。

1企業信息化安全與網絡管理

1.1網絡集成應用系統安全

網絡集成應用系統根據不同企業的需求呈現不同的情況，一些企業中的網絡集成應用系統比較復雜。不能夠很精準的估計防御對象的規模以及價值，也不能簡單的對其加以標定界限，針對這種情況，就只能夠將網絡管理安全保障的工作分解開來。落實到具體的個人，采取一系列有效的措施如主動防御方式去進行。而網絡安全信息的防御是一個保障整體網絡信息安全的手段，其可預見性以及靈敏性等都為工作帶來便利，在面臨網絡空間可能帶來的威脅的同時,站在網絡管理者的角度上去思考，為企業網絡安全提供一定的保障。因此對于現代社會企業發展中提出的有關信息化安全問題其范圍也十分廣泛。計算機系統結構安全的信息防御，注重的是以信息參與者的人為主角的主動型安全防御。

1.2企業人員信息技術安全

企業信息化歸根到底也是人的參與，因此對于企業在信息化過程中會遇到的信息安全問題也需要人員引起足夠的重視。人才是企業在發展中的關鍵競爭力，企業對于人才的重視程度也在日益增加，而同時也要注重企業的管理。隨著時代的發展，信息化已經成為企業不可忽視的發展趨勢，當企業投入大量的資金和精力去培養人才進行信息化管理以及掌握信息化技術之后，更需要加強信息安全管理。目前是信息化時代，“信息”對于企業而言是十分重要的財富，企業信息系統中掌握著企業運行經營的大量資源和信息，而信息系統的一些安全隱患大部分來源于外界的侵擾，信息工作和管理人員個人的疏忽也容易導致信息的外泄，這將是對企業造成嚴重的損失。目前對于企業在信息化方面的標準有多種爭議，面對爭議我們首先要弄清楚企業目前處于什么樣的狀況，這些標準都是隨著技術水平的改進以及管理要求的變化而變化的，因此針對這些變化，企業需要針對自身的實際情況以及實際需求進行安全管理。

1.3網絡管理人員信息技術安全

企業信息化系統管理中最重要的一項安全指標就是信息技術方面的安全，面對高要求的安全管理，對于網絡安全管理人員的職業素養以及業務能力也相應提出了更高的要求。而企業信息化系統的網絡管理在實際的運行過程中必定會涉及到眾多的功能模塊，面臨企業信息化系統中的網絡安全管理一般包含有四大功能模塊:配置管理、性能管理、故障管理以及安全管理。而這四大功能構成了網絡安全管理的基本功能，除此基本功能之外，網絡管理還包括有網絡規劃、網絡操作規范等，以下就來簡單分析介紹這些功能:(1)配置管理:網絡的配置管理要做到的是自動發現網絡拓補結構，構造和維護網絡系統的配置。時時的注意網絡中被管理監測的對象狀態，對網絡設置中的一些設備配置的語法進行檢測，對于配置進行嚴格的檢驗。(2)故障管理:在網絡運行過程中時刻的進行網絡有關事件的過濾和歸并，通過不間斷的檢測及時的發現在網絡管理以及操作過程中出現的一系列網絡故障問題，并根據實際問題情況尋找出有效的應對措施和建議，提供一定的排錯手段以及工具，逐漸形成一套完善的網絡故障預警和解決機制，從而減少故障給企業信息化系統帶來的危害和損失。(3)性能管理:性能管理是對網絡對象的性能方面數據進行收集、分析以及處理功能，通過分析和收集了解網絡在運行過程中的質量安全問題，同時掌握整個網絡運行體制中的運行狀態信息，為整個網絡的使用情況以及未來發展趨勢、狀況進行一個評估，為進一步的網絡規劃提供一定的參考價值。(4)安全管理:網絡信息的安全主要在于存儲在系統中的一些用戶信息資料以及企業內部的資料的泄露，加強安全管理無疑是要加強用戶的認證、訪問控制、數據傳輸以及存儲保密性和完整性，保障網絡系統本身的安全。維護系統日志，使系統的使用情況以及網絡對象的修改都有記錄和有數據可循。加強對網絡資源的訪問量的控制。例如有些企業在加強網絡安全管理方面為了盡量的減少不必要的漏洞，在配置管理中采用了VLAN的方式，這種方式就是將企業內部的不同部門都劃分為各個不同的虛擬網段，而針對不同部門的職員設置相應的權限，只有具有權限的職員才能進入某一個虛擬網段，沒有權限的用戶無法訪問其他網段。VLAN其實就相當于是一個計算機網絡，里面所有內容都由同一個網線連接著，但是其中的網絡又可以分為不同的部分和區域。由于該方式多是通過軟件來操作實施的，因此使其具備了更多的靈活性，而該手段的最大優勢在于提供了更多的管理控制，這相應的減少了很大一部分的管理費用，同時也提供了更多的配置靈活性。另外，在網絡管理中可以通過邊界的路由器來控制外來的用戶對網絡信息的訪問，從而可以有效的防止外來用戶對本企業網絡的侵入和攻擊。加之前文中有提到可以加強網絡安全的預警機制。通過對告警中的危險事件和信息進行有效的分析和處理，及時發現可能存在的攻擊行為，及時發現網絡管理中存在的安全漏洞和安全隱患，從而更好的防患于未然。當然，在進行這些網絡安全管理手段操作中可以充分借助有關的管理網絡的軟件，為網絡管理人員提供有效的技術信息和保障，而且單一的軟件絕對滿足不了網絡安全管理的需求，需要根據實際情況綜合運用多種軟件形式，從而滿足不同方面和層次的需求，無論是加強網絡管理安全還是利用各種管理軟件首先必須要提高網絡管理人員的綜合素質，提升其職業素養和計算機應用水平，人員素質的提升以及相關管理硬件、軟件的配套，才能從根本上解決企業信息化管理以及網絡安全管理中的問題，提高其管理機制和管理水平。

2結束語

從本文中所闡述的眾多問題中可以總結出，無論是網絡集成應用系統的框架還是人員信息化和網絡管理者角度而言，企業信息化的安全問題主要集中在網絡管理方面。而對網絡進行管理的主體部分就是人員。因此加強網絡管理的安全問題要從人員自身方面的水平以及素質和網絡安全管理相關技術兩個方面著手，讓所有的網絡管理者在思想上意識到網絡安全管理的重要性。管理人員的重視才會促進有關技術的改進和革新，這也是我們進行網絡管理的最終目的和有效保障。

參考文獻:

[1]林鵬，葉盛元.互聯網與信息化安全（三）[J].華南金融電腦，2006.

[2]曲璐.信息化安全在計算機管理中的運用探討[J].信息與電腦（理論版），2013.

篇4

首先，鑒于中小企業的特點，在信息安全意識培訓過程中需要考慮兩個基本點。第一點，對全公司盡量培訓一致的安全信息，并且這項計劃要由信息技術部門負責管理。中小型企業規模往往比較小，不足以實行具有不同傾向性的多種培訓計劃。第二點，要清楚中小企業的大部分電腦使用者并不是專業人員，相關的培訓應該簡單且接近企業用戶的水平。

其次，需要考慮的是中小企業信息安全方面需要培訓哪些內容。一般而言，需要考慮的培訓內容包括：用戶管理、網絡與電子郵件、移動設備與便攜設備使用、對外保密、突發事件、系統操作安全等。

再次，需要根據自身特點選取適合中小企業信息安全意識的培訓方法。一般來說，至少有三種途徑可以用于企業進行安全意識培訓：一是在公司內部尋找培訓人員和培訓部門，進行內部培訓；二是聘請外部專業的培訓公司進行培訓；三是考慮依托于網絡與電腦進行培訓。但以上任何一種方案都有可能會超出中小型企業的能力，這時候還要根據企業自身特點來安排適當的途徑進行培訓。

那么，能滿足規模較小的中小企業提高員工信息安全意識培訓的合理途徑是什么呢?有分析認為，可以在以上提到的三種途徑的基礎上加以改動，形成兩種可用的途徑：一是中小企業仍然可以使用內部資源進行范圍性培訓或者購買網絡、電腦的培訓程序。二是中小企業可以創造性地在辦公室張貼些成本低的彩色安全意識海報，對員工潛移默化地培訓。

從企業內部來看，如果企業的信息技術部門能提供一個內部特制的培訓計劃是可行的。按照美國國家標準與技術研究院(NIST)的指導方針或其他材料，策劃一天或半天的課程就足以使員工認識到有關電腦安全的一些重要問題。從企業外部來看，目前市場上也有不少專門面向中小型企業、價格合理的基于網絡和電腦安全相關的培訓。無論如何，需要考慮企業自身承受能力與受培訓者的接受能力，根據實際情況來進行選擇。

篇5

 

隨著社會經濟的不斷發展，網絡時代逐漸進入人們的生活，計算機被運用在了各個領域中，成為促進社會發展的重要媒介。而與此同時，企業信息安全問題也逐漸凸顯出來，嚴重阻礙了企業的可持續發展，因此，在網絡時代背景下研究企業安全風險和控制具有重要意義。

 

1 企業信息安全相關概述

 

1.1 信息安全的含義

 

迄今為止，對信息安全依然沒有一個統一和公認的定義。但是從國內外研究來看，對其主要存在2種說法：一種指的是具體信息安全技術系統的安全;而另一種則指的是某些特定的信息體系的安全。上述2種定義主要站在靜態的角度上闡述了信息安全的基本層面，但是信息系統和網絡的影響決定了信息安全是一個動態的改變，其主要是防止企業信息遭到惡意泄露、破壞、更改[1]。信息安全的最終目的是向合法的對象提供安全、可靠的信息。

 

1.2 信息安全在企業中發揮的重要作用

 

企業信息作為企業的寶貴資源，保證企業信息的安全性對企業的生存和發展具有重要作用，主要體現在以下3個方面：一是企業信息安全是保障企業正常運行的基本前提。在網絡時代背景下，企業信息安全的內容更廣泛，再加上現代企業制度的不斷建立和完善，越來越多的企業依靠信息數據庫開展各項工作，例如：對于市場情況的分析、做出重大決策等等。二是保障企業信息安全是提高企業市場競爭力的必備條件。隨著市場經濟的不斷完善，企業面臨的競爭也越來越激烈，在這種形勢下，企業要想獲取市場競爭優勢就需要依靠信息安全來實現。三是企業信息安全作為企業發展戰略中重要的組成部分，而企業實施各項戰略主要是通過自身的經營活動、財務信息等開展的，這些數據也能夠將企業的戰略實施方法以及下一步計劃詳細地反應出來，因此，如果企業的信息安全無法得到保障，那么企業要實施各項戰略難度也很大。

 

2 網絡時代下企業信息安全風險分析

 

2.1 缺乏高度的信息安全風險意識

 

在網絡時代的浪潮下，很多企業都在逐步加強自身信息安全的建設，通過加大資金投入、創新技術等措施來保障自身的信息安全，然而，對信息風險的控制并非僅僅依靠技術就可以實現，更重要的是人們要樹立起信息安全的風險意識。但是從當前來看，還有很大一部分企業的領導者、管理者、員工缺乏對信息安全風險的高度重視，主要表現在：個別人甚至片面地認為信息安全僅僅是網絡部門的責任，跟自身沒有多大關系;二是有個別企業領導者認為對信息安全的宣傳過度夸張，遭受網絡攻擊的概率小，一般不會發生在自己身上;三是個別企業沒有建立信息安全風險管理體系，再加上企業缺乏具體的故障系統，導致企業信息安全遭到風險時，員工往往手足無措，雖說有些企業針對自身的信息安全制定了一系列規章和制度，但是由于缺乏針對性和操作性，導致這些制度無法得到真正落實。

 

2.2 應用系統的安全性不高

 

企業要實現信息化建設的目的，少不了各種應用系統作支撐，但是從實際情況來看，很多企業還存在著應用系統的安全性不高等問題，進而導致企業在數據傳輸和存儲等方面存在漏洞。如此容易被一些病毒、惡意軟件竊取，實現非法訪問，進而引發企業信息丟失或者泄露等安全風險。另外，很多企業應用系統的安全方模式也較為單一，絕大部分主要是采用“口令”的方式進行認證，無法實現對信息安全全方位的防范。另外，企業設置的密碼過于簡單、操作不規范等等都會增加應用系統安全的風險。

 

2.3 技術設備和設施的作用發揮不足

 

個別企業為了防范信息安全風險，針對一些重要信息設置了安全設備，但是由于操作條件和參數設施不夠合理，無法將這些設備的作用充分發揮出來。還有很多企業沒有通過建立工作日志來對安全設備、設施的運行情況進行監控，進而不能根據企業的經營情況對信息安全進行風險控制，更無法采取有效措施保障企業風險管理。

 

3 網絡時代下控制企業信息安全風險途徑分析

 

3.1 加強信息安全教育，提高信息安全風險意識

 

由于在企業信息安全控制中，提高員工的信息安全意識是保證企業信息安全的決定性因素，因此，企業應該加強對員工的信息安全教育，幫助員工樹立起信息安全風險意識，例如：企業可以利用一些重大節日開展關于信息安全的演講比賽、征文比賽，也可以通過建立適當的激勵制度以及開展培訓活動等途徑來加強員工對信息安全重要性的認識，進而提高自身的信息安全風險防范意識和觀念。

 

3.2 加強信息化建設，設置信息安全管理部門

 

在企業信息化建設中，信息安全作為重要的基礎，企業要強化自身的內部控制，就應該落實信息安全的建設工作。加強信息化建設首先需要企業將信息安全納入安全管理范圍內，進而突出信息安全建設管理的重要地位;然后不斷健全信息安全的責任制度，爭取形成信息安全聯動管理機制，確保信息安全管理的有效性;最后，在企業中設置信息安全管理機構，該部分的主要職能為企業信息安全建設、管理以及員工的信息安全教育培訓工作等，從而為企業的信息安全風險控制創建一個良好的內部環境[2]。

 

3.3 運用新技術，加強信息安全風險防范

 

當前控制信息安全風險常見的主要有VPN技術和防火墻技術：(1)VPN技術。VPN主要指的是在公共網絡的虛擬專用網絡中建立一個臨時的安全鏈接，在通常情況下，對VPN內部進行擴展可以實現遠程操作，建立一條分公司、商業合作商和供應商跟公司內部網絡安全聯系，從而確保信息交換的安全性，保證數據傳輸的安全性。(2)防火墻技術。防火墻也被稱為訪問控制系統，主要是通過對網絡做拓撲結構和服務類型上的隔離來保障網絡安全。運用防火墻技術可以保證企業的內部網絡免受外部網絡的侵占，并阻斷非法訪問的外部網絡進入企業內部網絡，保證企業信息和資源的安全。

 

4 結 語

 

總之，網絡時代的產生為企業發展創造了新的模式和發展契機，但與此同時，企業的信息安全也面臨著很大的威脅，在很大程度上制約了企業的可持續發展。要實現對企業信息安全風險的控制，首先應該找準企業信息安全的風險點，然后采取對應措施，如：加強信息安全教育、加強信息化建設、運用新技術等幾個方面來控制信息安全風險。

 

作者：袁亮 來源：中國管理信息化 2015年17期

篇6

如何建立一套針對企業自身特點的信息系統安全體系，最大程度地保證其正常運營，這不是一個單純的技術問題，而是一個把管理、安全技術、審計等多種因素集成于于一體的系統工程。因此，企業管理層需要在企業發展策略中，高度重視信息安全技術、信息安全管理和審計工作，不僅要在信息系統的軟硬件上下功夫，而且不能忽略相關審計工作，加強風險排查，這樣才能對企業的業務發展做到同步支持。

1.信息系統安全技術

信息系統安全技術作為信息系統安全體系的基礎，在其中起到支撐的作用。在實際工作中，針對企業各自特點制定相關策略。當前企業信息系統安全的現狀和面臨的主要問題如下：

1.1硬件運維

硬件設備的運維和管理是企業信息系統安全體系的基礎保障，但是管理人員容易忽視這一環節。企業信息系統往往會因為硬件設備故障、斷電或網絡問題造成信息丟失或服務中斷。如果針對硬件設備的運維和管理沒有相關保障機制，一次發生意外，就會給企業造成不可估量的損失。

當前常見的硬件設備運維保障管理機制有以下幾個環節：一是通過設置UPS不間斷電源保障系統硬件的持續性運行；二是要對企業信息系統中的網絡設備進行定期巡檢，在前期的網絡環境部署過程中首先考慮網絡的連接穩定性；最后是加強信息系統安全管理，嚴防企業信息丟失和竊取，可以通過對數據信息存儲服務器設置物理鎖的方式避免非法操作。為了保證系統服務器的安全，管理人員可以采用遠程登錄的方式訪問系統。

1.2入侵防御

病毒入侵一般都擁有固定代碼，而入侵威脅是由非法人員需要得知信息系統的漏洞，從而進行人為操縱的信息竊取或系統攻擊。特定的防范方法包括：嚴格制定防火墻訪問控制策略，阻止外界對內部資源的非法訪問；關閉系統硬件不用的端口；定期對系統進行漏洞掃描和補丁包更新；在信息系統中部署入侵檢測系統（IDS）和入侵防御系統（IPS），從而抵御非法入侵。

1.3病毒防范

信息系統的安全配置和管理人員的正規操作對于信息系統病毒的防范非常重要。操作系統是企業信息平臺安全的基礎，錯誤的安裝配置會使病毒滲入到信息系統當中。針對信息系統安裝殺毒軟件并進行定期更新是病毒防范的基本措施，這樣可以保證系統基本的安全性與穩定性。企業還需要定期對系統進行數據備份。

1.4數據加密

在公共網絡進行數據傳輸的過程中，利用虛擬專用網（VPN）技術設置訪問控制策略，實現兩個或多個可信網絡之間的數據加密與傳輸。搭建VPN通常使用加密防火墻和路由器，保證數據安全傳輸[1]。

在企業的局域網中針對內部信息存儲、傳輸的安全問題，可以通過部署安全服務器來實現包括對局域網內資源的管理控制、用戶的管理和所有安全相關事件的跟蹤和審計。

2.信息系統安全管理

企業信息系統安全體系的建設三分靠技術，七分靠管理。因此，建立和完善管理制度是保障企業信息系統安全的關鍵和重點。

2.1制定企業信息系統安全管理制度

企業信息系統安全體系的建立和實施對其正常運營非常重要，所有一切的信息系統安全工作都要以公司制定的企業信息系統安全管理制度為基準。

2.2提高企業員工信息系統安全意識

現實中企業管理者的關注焦點大多是生產上的安全，信息安全沒有得到足夠的重視。實際上，企業員工信息安全意識的高低，在企業的信息系統安全體系建設中起很大作用，企業能夠加強員工的信息安全意識，將很大地提高信息系統安全體系實施的成效。

2.3嚴格執行標準，強化制度落實

在企業信息系統安全體系的建設過程中，必須嚴格按照信息系統安全操作規程和管理措施執行，最大程度消除信息系統安全隱患。若發現信息系統安全隱患，及時按照相關操作規程處置[2]。

2.4積極學習和應對各種信息系統安全事件

信息技術不斷發展，保障信息系統安全的難度也在與日俱增。因此，信息系統安全管理必須要求企業管理人員不斷學習，不僅要制定一套完整嚴密的信息系統安全管理方案，還要有步驟清晰、操作性強的應急預案，這樣才能增強信息系統安全管理的危機抵御能力和處理能力。

2.5構建信息系統安全環境平臺

面對日漸嚴峻的信息安全形勢，在加強企業信息系統基礎安全設施建設的同時，要有機結合員工信息安全意識、技術能力、企業運維管理三者，建立一套綜合性強的信息系統安全保障體系，在所有的業務系統中貫徹執行當前的安全管理思路，通過可量化的技術手段，達到信息系統安全管理的最終目的。

3.信息系統安全審計

企業信息系統安全體系的建設是一個長期的、需要不斷持續更新、完善的系統工程，通過對信息系統的安全審計，及時發現和解決企業信息系統安全體系的漏洞，才能不斷提高企業安全水平和質量。如何建立和執行企業信息系統安全審計，有效加強企業內部的信息系統安全管理和風險控制，滿足相關政策法規，成為各行業面臨的普遍問題[3]。

信息系統安全審計是指一群擁有相關信息安全專業技能和商業知識的審計人員對企業安全風險以及如何應對風險措施進行評估的一個過程。信息系統安全審計人員通過收集、分析、評估信息系統安全信息，掌握其安全狀態，制定安全策略，將系統調整到“最安全”和“最小風險”的狀態，確保信息系統安全體系完整、合理、適用[4]。

由于目前信息系統應用已經涉及到企業的各個業務和辦公領域，對于信息系統帶來的安全管理已經是企業運營不可切割的一部分。所以，企業的信息系統安全審計應該是一個從業務部門到技術部門都必須參與控制的過程。

從信息系統本身來說，安全審計的要點主要是以下兩個方面：

3.1數據及數據傳輸審計

數據是信息系統的重要資產，保護數據的安全、完整，避免其被惡意破壞、盜竊。對用戶身份進行控制，避免非授權訪問數據，是數據訪問環節的安全控制措施。除此之外，對數據的操作和保存也是數據安全控制的重要環節。首先，應雇傭具備任職資格或經過適當培訓的人員，避免誤操作；其次，所有操作都應該經過授權且有記錄，數據文件被正確保存且經過充分備份，以備正確的恢復。

在信息系統中，有些數據需要在兩個子系統或多個子系統中相互傳輸，在這個過程中很可能會出現問題，尤其是在需要手工錄入或同步傳輸的情況，因此在進行信息系統安全審計的過程中要重點關注以下方面：數據在傳輸的過程中可能會發生變化，如何進行校驗；核心數據庫可能會被物理分散的服務器取代；當一個信息系統取代原有的信息系統時，會進行數據的傳輸。要保證傳輸的數據是完整、可靠并且經過批準的，數據的全部傳輸過程要準確，并且在約定時間內完成。

3.2內部控制審計

內部控制審計是企業為實現管理目標而形成的自律系統。在審計過程中要對審計對象的系統環境是否符合要求、規程制度是否完善、執行情況是否到位進行審查。在信息系統中，可以通過檢查以下幾個方面來驗證企業內控制度和執行的效果：（1）控制信息系統的資源存儲，包括物理存儲資源存儲（終端、連接盒、服務器、相關文檔等）和邏輯資源存儲（軟件、系統文件、表和數據等）。（2）把控信息系統資源的使用。用戶的新增、變化、刪除必須經過授權，用戶只能對其授權范圍內的資源進行操作。（3）按一定標準劃分信息系統資源?？梢韵到y資源的濫用、數據的非法修改以及減少人為誤操作。（4）身份和訪問控制審計。按照時間順序建立一個檔案簿，包含信息的創建、修改和刪除的詳細過程及其操作人員。它采用的是授權證明，控制什么人什么時候訪問了什么數據。（5）確認處理過程的準確性。（6）管理人員對信息系統的所有修改都應該保證是經過授權、評估和審核，并且有記錄文檔，保證風險最低且有效控制。（7）入侵防御審計。入侵防御涵蓋的范圍遠廣于傳統的入侵檢測。入侵防御策略的合理設置會把風險縮小到最小范圍。（8）漏洞和病毒管理審計。定期檢查系統漏洞和防病毒措施，根據具體問題原因進行分析處置，及時采取相關措施。

篇7

【關鍵詞】企業 信息安全管理 對策

信息安全管理是指通過保證信息資產的機密性、完整性和可用性來保護和維護企業所有信息資產的一系列管理活動，是完整的企業組織管理體系的重要組成部分。其主要包括制定信息安全政策、風險評估、控制目標與方式選擇、制定規范的操作流程、對人員進行安全意識培訓等一系列工作。

知識經濟時代，企業內部各部門之間以及企業與外部之間的交流與合作日益頻繁，且對計算機信息技術的依賴也日益明顯，使得信息安全問題成為眾多企業的關注焦點。

企業的許多信息，包括一些戰略規劃的重要信息，均以電子文件形式存儲，而這些信息在存儲、處理以及傳輸過程中都有可能被非法截取、惡意破壞以及篡改，損失難以想象。保障信息系統的安全在企業的建設和發展當中具有重要的作用。信息安全管理是確保信息系統順利運行的有力武器。通過建立信息安全體系及相應的規范機制，如加強對人員的管理、提升人員安全意識、促進軟件和操作系統的操作及建設相關網絡等，就可以建立起完善的信息安全系統，促進企業在知識經濟時代平穩、快速和健康的發展。

一　目前信息安全管理中存在的隱患

1．信息管理的安全意識方面

在傳統的企業生產中，企業所應具有的基本生產要素主要有設備、原材料、人員和制度幾個方面。但隨著信息技術的發展，信息的重要性也日益突顯，從而也成為企業發展的基本要素之一。根據以往經驗來看，企業對信息安全的重視程度還遠遠不夠，表現在對企業信息的安全保護很不到位，這無疑給企業帶來了很大的損失。所以，企業必須要加強對信息安全的保護，建立起一套完善的信息安全體系來保證企業的信息安全。

2．缺乏統一的安全體系規劃和安全防范機制

目前，“頭痛醫頭、腳痛醫腳”的現象十分普遍，原因在于眼于局部而忽視整體。企業只是在網絡中安裝了一些安全設備，卻未形成統一的安全策略及相關規劃方案。企業在建設信息化的過程中通常采取先開展業務，后關注安全的策略，使得安全的管理遠遠落后于開展業務發展。而由于缺少整體性的規劃，使得企業在問題已經出現時才去彌補，對于安全建設只能用“亡羊補牢”來形容。

3．信息安全產品本身存在的問題

大多數企業通常在建設信息安全系統的過程中就采用了一些保證信息安全的產品。但并不是說使用了相關安全產品信息系統就安全了，因為計算機系統所存在的一些安全隱患除了是由信息安全產品本身所具有的漏洞引起的之外，人員在使用信息安全產品的過程中所造成的操作失誤及用戶配置的錯誤也會對其產生影響。所以企業不僅要重視安全產品自身的問題，也要重視系統的操作與應用過程。

4．資金投入不夠，缺乏安全技術人才

要想建構起完善的信息安全體系，企業不僅要投入大量的資金，而且同時要引進一批高端的IT人才，組建一支專業建設信息安全的團隊。但遺憾的是，很多企業并未意識到信息安全的重要性，所以在資金投入方面很是不足，比如說，使用的電子郵箱和殺毒軟件等往往都是免費的，也沒有構建防火墻，這使得企業的信息安全得不到充分地保障。此外，雖然一些企業投資引進了一些硬件設施，但對軟件的重視不足，表現為投入的滯后性，從而阻礙了硬件設施發揮應有的功能。

還有一個問題，大部分企業在加強信息安全建設的過程中，通常都把注意力集中在搭建網絡平臺及硬件的選擇上了，卻忽視了對人才的引入和培養。具體表現在許多企業缺乏信息技術人才，而相關專業人才更是不足。按照要求，一個信息系統的運作應該由幾個技術人才相互配合、共同操作，但實際上卻恰恰相反，企業中的一個信息管理人員往往負責大量的操作，不僅要負責配置系統，還要負責管理系統的安全，導致對安全的設置和監督由一個人負責，任務繁重。

二　加強企業信息安全管理的途徑

1．注重人員安全管理，提升信息安全意識

具體的操作人員在信息系統的建設和運行過程中必不可少，人既是管理者又是被管理者，因為他們不僅要建設和應用計算機系統，而且也信息管理的對象。所以在信息安全系統的管理中，最重要的就是對人員的安全管理，做到這一點要從以下幾個方面來進行：要建立一個安全的組織結構，對安全職能加以確認，審查人員的安全狀況，和安全人員簽訂相關的保密合同，加強離職人員的安全管理等。

企業要對員工加強有關信息安全的教育，增強他們的安全意識。保障企業的信息安全是每個職工應盡的義務。信息安全不是一種技術而是一種意識，所以僅從技術層面是無法保證企業的信息安全的。加強安全教育要企業要做到以下幾個方面，首先，加強員工的教育培訓、普及互聯網和信息安全的相關知識、提升員工的安全意識并增強其防范能力，使整體員工都有一種為企業信息安全負責的意識。其次通過定期舉行有關信息安全的報告和講座等，使企業自上而下都形成安全意識并銘記于心。通過上述兩種途徑可以使企業的信息安全工作順利的開展。

2．建立、健全信息安全防范體系

對于企業中信息安全的管理機制及防護規范的發展和完善，可以使企業中的那些至關重要的信息得到很好的保護。即使信息系統遭到入侵也能夠保證企業業務的順利進行，可以極大地降低企業的損失。

第一，提高安全系統的應急能力，這就要求建立和完善相應的應急管理機制，并制定應急預案。

第二，企業要建立起一個網絡和信息安全管理的平臺，在網絡內外部署相關的信息安全設施，比如要加強網絡的安全性管理，在網絡中設置一些控制訪問的策略，并對網絡的安全使用加以規范，具體來說就是要安裝避免病毒入侵的軟件，對網絡經常進行檢測，提高防火墻的性能等。

第三，建立機制對信息安全進行集中化管理。如數據安全控制和加密密鑰的集中化管理，前者可以做到自上而下的全面執行企業的安全防范策略，后者可以降低人為原因導致的數據安全的風險，并可以保證不與其他的加密策略發生沖突，實現兼容。

第四，企業還要重視對于異地數據的備份工作及當遇到意外情況時可以實現信息恢復的機制設計，因為這可以保障信息系統的安全運行。

第五，重視風險評估工作。這要求企業在平時要對信息系統的安全性進行定期的評估，以提高企業抵御風險的能力。

3．健全用戶權限和上網管理制度

企業信息安全管理工作的一個重點就是要建立并完善用戶瀏覽的權限及網上管理的制度設計，并使之得到嚴格地執行。同時隨著企業的發展和業務系統的完善要不斷對其補充和修正。

首先，對用戶權限的管理加以完善。這就要求企業改變以往把每個員工都當成管理員可以隨意瀏覽信息的狀況，要將每個員工的權限加以明確并保證最小，減少他們對信息系統的操作從而在最大程度上保證系統的安全。

其次，要限制員工的上網行為。在信息化時代，要想控制眾多員工上網的行為，就必須要從管理和技術兩個方面來實現。此外，要嚴格檢測和控制那些從外部傳來的文件，防止它們給企業內部的網絡帶來病毒。

4．進一步健全、監管第三方服務體系

由于對信息安全的擔憂和對服務質量的懷疑，大部分企業都不愿意采取第三方提供的服務體系。在企業中，信息安全工作至關重要，如果不小心泄露了企業的重要資料，就會給企業帶來致命的打擊。

政府應發揮作用加強有關第三方的法律法規建設并制定行業標準，排除企業對第三方的疑慮。企業應加強與第三方的合作，雙方共同努力建設起符合企業特點的信息安全體系，使得企業的信息安全能夠獲得最有力的保證。企業應設立專門的監察職位，主要負責監督、檢查企業管理信息系統的運行情況并直接向企業總經理負責。因其“第三者”的角色，可更加客觀、公正對企業信息安全以及業務流程進行監察，及時發現信息安全隱患。

5．加大建設資金投入，完善軟件硬件建設

要想順利建成企業的信息安全體系，大量的資金投入是必不可少的。企業應投入足夠的資金來購買相應的設備，如相關軟件和服務器等，同時企業也可以采取外包的形式。

首先，在加強硬件設施方面，企業可以應用加密系統來保護有關的口令、文檔及網內的重要數據。這樣我們就可以更有針對性的在網上傳輸數據。加密管理有三種類型，即端點、節點和鏈路加密，企業可以根據自己的實際情況從其中進行選擇。特別是在控制信息系統開發的過程中就應滲透信息安全保護機制，從根本上預防信息安全隱患。

其次，加強軟件建設，最主要的就是采取積極有效的措施使操作系統的安全性得到最大程度的保護。具體來說就是要對有關信息管理的各種軟件定期加以更新，保證數據庫和終端的操作系統的版本保持一致，這不僅有利于加強管理，而且可以提高系統的防御功能

此外，要做到經常性的數據備份，選用高強度口令保護賬號安全，針對不同賬號設定不同密令，經常更新殺毒軟件及補丁以及在局域網與互聯網之間安裝防火墻，并周期性的對文件進行排查，及時發現已感染病毒的文件以及信息丟失的現象。

企業的信息安全管理是一個動態的過程，要隨時代的發展而不斷加以創新。因此，我們必須不斷探索加強信息安全管理的思路和方法，并對逐步構建起相對完善、高效、可靠的信息安全管理體系，定期對企業的信息安全風險和信息安全管理水平進行評估。

參考文獻

篇8

關鍵詞：化工企業　安全管理　問題　創新

一、前言

近幾年，由于化工企業科學技術的快速發展，為其下游產品提供了多種類型的原材料，這樣一來，生產規模與強度得到了快速提高，與此同時，生產過程中含有易燃、易爆、毒性較強的有機物的比例越來越大?；馂?、爆炸等安全事故發生的概率也逐漸增大，并且事故原因越來越復雜。近年來，我國化工企業頻繁出現安全事故，不僅使企業蒙受了巨大的經濟損失，而且也給國家帶來一定的經濟損失，由此看來，加強化工企業的安全管理是非常有必要的。本文主要對當前我國化工企業安全管理存在的問題進行了深入的探討和分析，同時對化工企業安全管理的創新進行了詳細闡述，以便提高化工企業安全管理工作的質量。

二、當前我國化工企業安全管理存在的諸多問題

1.人為因素是導致安全事故發生的主要原因之一

根據安全事故管理部分的統計分析得出，因人的不安全行為導致安全事故發生的比例占大多數。其主要表現在以下幾點：沒有嚴格按照操作規程進行操作；沒有及時發現異常情況，或者沒有及時采取有效的措施加以處理；操作過程不能集中精力；隨意放置易燃、易爆產品；管理人員缺少必要的管理方面的知識等。上述這些都將會導致化工企業出現不同程度的安全事故，給國家與企業造成巨大的經濟損失。

2.沒有落實安全管理制度

大多數化工企業都是生產易燃、易爆的產品，因此，化工企業必須要認真貫徹相關的安全生產法律法規、安全管理制度等。然而，在實際生產過程中，雖然化工企業對上述法律法規、安全管理制度等都會會議或者培訓期間對員工加以教育，其形式有多種多樣，例如：電視、廣播等，加大了對安全事故的宣傳力度，同時各個分公司、班組等都制定了相應的安全管理制度，然而，卻不能阻礙安全事故的出現，這主要是因為生產重于安全，人情大于制度，這樣便使，在生產過程中法律法規、安全制度等的作用都大打折扣，導致各種安全事故的發生。

3.生產設備過于落后

近年來，產品結構的不斷更新，使得原有的設備不能再滿足當前社會生產的需求。再加上，因資金、供需矛盾等因素的影響，導致很多化工企業沒有能力購買更為先進的生產設備，沒有將危險品的生產轉向現代化的機械設備生產，這在一定程度上直接制約了我國化工企業的發展，而且也給安全事故的發生帶來了可能。

三、對化工企業安全管理的創新分析

1.安全管理觀念的創新

1.1避免安全管理的形式化

現如今，大多數的化工企業的安全管理思想都只停留在思想意識的教育階段，一直都是講安全，然而卻沒有付諸于實際行動。自每次會議上都要談到安全問題，因此，安全在各職工頭腦中出現的概率較高。此做法主要是為了提高員工的安全意識方面，發揮了巨大作用；當已經完全發揮出此作用后，仍然將安全工作作為生產的重點工作來抓，那么就會使現狀與實際相互脫離，此時的安全工作也只是流于形式。由此看來，化工企業要避免安全管理的形式化，在大多數的私營化工企業中，存在嚴重的形式管理思想，只講不做。過多的形式會使我們耗費更多的精力，對工作帶來一些負面影響。

1.2要有科學的管理態度

事實上，安全管理和其它管理工作有很大的不同，可以說，安全管理是風險管理，重點在于概率出現的大小，可以就是說，不存在絕對的安全。我們要杜絕兩種錯誤的思想：第一，將安全工作看成是一種風險，因此，只是靠運氣，沒有及時尋找控制方法，在企業發生安全事故后便自認倒霉；第二，想達到絕對安全，不能有小概率安全事故出現，其控制能力完全和實際不相符合。所以，這兩種極端思想是錯誤的，必須要樹立正確的安全管理思想。在當今社會，只有科學的安全管理措施，才能降低安全事故出現的頻率。

2.安全管理方法的創新

2.1防范為主，重視結果

由于安全管理創新是受企業的發展特點的限制，化工生產安全管理必須實施全方面、全過程的管理，將軟件和硬件實行共同管理。所以，化工企業安全管理創新始終堅持防范為主，重視結果的原則。不管是從完善設備、措施等條件下，還是推行新技術都要堅持預防為主要目標，提高安全系數，盡管在出現錯誤操作的情況下，也能有效避免安全事故的出現。

2.2建立并完善安全管理機制

要建立以法人為首的安全生產責任制，將安全生產的責任具體到個人，從而建立一套完善的安全管理體系。同時，建立安全生產管理部門，明確員工的職責，使安全生產管理機制長期、有效的運行下去。

2.3抓好安全管理的基本工作

在建立完善的安全管理制度的同時還要進一步加強安全信息管理，認真做好記錄、整理和加工的工作，同時還要熟練掌握安全工作中違反規定的情況，分析出現異常情況的各種參數資料，掌握安全事故發生的規律，在加強安全生產的同時，必須要將制度落實到位。

四、結束語

總體來說，近年來，我國化工企業頻繁出現安全事故，不僅使企業蒙受了巨大的經濟損失，而且也給國家帶來一定的經濟損失，由此看來，加強化工企業的安全管理是非常有必要的?；どa過程中的安全事故的發生是由多種因素引起的，但是，這些影響因素不能很快都解決掉，盡管采用非常高效的管理方法，也需要一定的時間，逐漸改善各種復雜因素的影響，這樣才能顯現出一定的效果，將安全事故消除在萌芽狀態。

參考文獻

[1]黃德亨.化工企業安全網格化管理的思考與實踐[J].化學世界,2008(8).

篇9

信息安全是指在信息傳導和應用過程中必須保障信息的秘密性和可靠性，其實質就是要保障信息系統和信息網絡中的信息資源免遭各種類型的破壞。國際標準化組織(ISO)把信息安全定義為“信息的完整性、可用性、保密性和可靠性”。

信息技術在企業管理、生產管理和過程管理中的應用，提高了企業的生產運行和經營管理水平。但在信息網絡安全體系層面，不少企業卻面臨著風險：

1.網絡邊界安全風險。不同安全域之間的網絡連接沒有有效訪問控制措施，來自互聯網的訪問存在潛在的掃描攻擊、DOS攻擊、非法侵入等。

2.業務安全風險。缺乏嚴格的驗證機制，導致非法用戶使用關鍵業務系統，不同業務系統之間缺少較細粒度的訪問控制。

3.數據傳輸的安全風險。企業的數據通過互聯網傳輸時被竊聽。

4.系統基礎平臺安全風險。全網所有終端和服務器的平臺安全、系統或設備的安全漏洞所帶來的風險。

5.病毒安全風險。全網任何一點感染病毒都將帶來巨大的破壞，網絡化的環境需要網絡化的防病毒方案及多層次的防護體系。

信息安全不僅僅是技術上的問題，更多地涉及到安全管理層面。加強信息安全的管理是企業建立信息安全體系的一個重要部分。

全面的安全防護體系是保證企業信息網絡安全運行的根本，是對現有的網絡、系統和數據進行有效的保護和加固。安全防護體系的建設需要使用當前的各種安全技術和安全產品，要有重點地布置安全產品。

1.劃分安全區域并制定明確的邊界訪問制度，根據數據敏感程度，在關鍵業務網段處部署網閘系統，在管理和辦公網段以及其他出口處部署防火墻系統，實現嚴格的訪問控制機制。

2.建立網絡入侵檢測系統，增強審計響應手段，提高對異常行為的深度檢測以及對安全事件的集中分析、定位和追查能力。

3.建立網絡入侵保護系統，在出口處對網絡流量進行檢測，并實時阻斷來自外部或內部的各種攻擊，同時凈化網絡流量。

4.構建節點間的VPN體系，保護在節日間數據傳輸的機密性、完整性和可認證性。

5.部署漏洞掃描系統，檢查網絡，系統以及終端存在的弱點和漏洞。

6.建立網絡防病毒體系，以增強全網抗病毒和防蠕蟲攻擊的能力。

7.在對外信息系統前部署抗拒絕服務系統，抵御來自外部的各種拒絕服務攻擊。

8.建立數據備份系統，提高關鍵業務數據的可用性。

9.部署集中的認證系統，實現認證信息的集中存儲與鑒權控制。

完善的安全管理策略是對企業信息網絡安全進行可控管理的關鍵，安全管理策略的建設包括以下內容：

1.制定完善的信息安全規章制度，規范整個企業對網絡以及信息系統的使用。

2.定期對全網進行安全評估和加固，通過安全評估，實時了解和掌握整個網絡的安全現狀，通過安全加固使網絡和系統更加健壯。

3.建立內網安全管理系統，從終端安全、桌面管理、行為監控、網絡準人控制等方面對內部網絡進行保護，加強對內部網絡和系統的管理。

4.建立一套完備的應急響應機制，以便在遇到突發事件時可以及時響應并解決問題。

篇10

摘要：本文從企業信息化建設中遇到的各種安全狀況著手，分析產生這些現象的原因，最后給出解決方案。

關鍵詞：信息安全；網絡安全；信息化

遵循著摩爾定律，IT技術的發展飛速千里，硬件、軟件、網絡、安全等技術日新月異。正所謂任何事物都具有兩面性。它造福著人類的同時，也給人們留下了許多隱患。

隨著信息技術的發展，我國大中型企業基本上都實現了信息化，各企業對信息化都非常重視。但是，很多企業在信息化建設中存在很多誤區，信息化建設的任務主要集中在了財務系統、公司網站、企業郵箱、辦公自動化、ERP等初級階段，信息安全沒有得到足夠重視。

1企業信息安全中常遇到的幾類問題

下面概要談一下企業信息安全中常遇到的幾類問題：

(1)移動存儲：最近兩年的u盤容量呈爆炸性增長，幾G、幾十G的U盤已經比較常見。按照現在U盤讀寫速率，一分鐘拷貝走幾百Mb的東西不成問題。在辦公時間里很多工作人員沒有養成人走鎖機的習慣，這就造成了一個潛在的安全威脅。其他的移動存儲器，比如：移動砸盤、存儲卡、MP3播放器等，同樣具有拷貝文件的功能。

移動存儲連接上電腦以后，還有另外一個威脅，就是把存儲在自身的病毒、木馬等自動復制到電腦上，為信息安全埋下隱患。

(2)網絡：現在基本上已是互聯網絡時代。互聯網的發展為病毒、木馬、黑客等的發展提供了最好的溫床。通過電子郵件，或者即時通訊軟件，幾個G的文件很容易被轉移到外部。同時網絡中也存在著木馬威脅，頑強的木馬可使整個公司網絡癱瘓，造成的經濟損失數額巨大，成為一段時間以來危害網絡安全的罪魁禍首。作為企業用戶，不應隨意打開來歷不明的郵件；不要隨意下載和運行來歷不明的軟件；及時修補漏洞和關閉可疑端口；及時升級病毒庫；設置復雜型密碼等。

(3)內部因素：內部人員的不保密性，商業間諜的出現，為企業信息外傳提供可能。職員辭職后帶走部分企業機密信息的不在少數。很多有價值的資料，在不經意間已經流出公司。

(4)外部因素：比如說。A公司有零件需要B公司加工，A公司會把加工圖紙發送給B公司，而B公司有可能把加工圖紙泄漏給A公司的競爭對手C公司。C公司對這份圖紙得來全不費功夫。

(5)不可測因素：例如最近的地震。有可能造成公司數據資料的丟失；服務器的癱瘓，對企業的正常運轉，信息的傳遞，都造成了不可估計的影響。

2產生這些問題的原因

一方面，沒有信息安全方面的觀念。在現在的企業信息化建設過程中，財務軟件、人力資源管理軟件、ERP軟件等比較受歡迎，因為這些軟件直接參與企業的生產經營活動，而對信息安全方面關注的人比較少。

另一方面，因為管理、技術、人員、制度的不健全。

(1)管理：沒有完善的管理方法，管理人員專注于企業的生產經營。對企業的信息安全無暇顧及。

(2)技術：信息技術的發展，帶來了很多新技術，這些新技術沒有經過時間的檢驗，很可能在以后的發展過程中成為一個隱患。另外，信息安全的技術很多種，不是少數幾個人能掌握得了的。所以，搞信息化建設的專業人才，要不斷學習。不斷提高自身水平。

(3)人員：由于企業對信息安全重視程度不高，對信息安全人員的需求度不高，基本上沒有設置專業的信息安全崗位。企業中其他職員。是計算機普通使用者，沒有形成良好的安全習慣。給有企圖的人留下了可乘之機。

(4)制度：關于信息安全的制度不健全。即使有，信息安全方面的行為準則也是一紙空文，無法嚴格執行。

這些原因構成了信息安全隱患的主要部分。針對這些原因下手。可以提高企業的信息安全度。

3解決這些問題的方法

我們可以從以下幾個方面進行解決：

我們要對企業信息安全建立整體架構規劃，首先要了解企業的信息安全需求。企業的信息安全需求，以可用性、完整性、保密性為基礎。實施信息安全要注意一個度的問題，比方說，產品圖紙的信息價值一百萬元，而我們花費兩百萬元對它進行保護。這就顛倒了主次，混淆了本末。我們如何才能知道我們的信息價值，可以借助于價值評估來完成。

企業信息安全架構規劃可以從信息安全的不同領域：物理安全、系統安全、數據安全、網絡安全、應用安全等各個領域分別解決。

3.1物理安全

企業信息安全的物理安全的風險是多種多樣的。主要是指地震、水災、火災等環境事故；電源故障；人為操作失誤或錯誤：設備被盜、被毀；電磁干擾；線路截獲。我們要有針對性的解決：服務器要有專門的專業機房，能防雷、防靜電、防灰塵、防盜；客戶機要確保計算機主機的安全，防止丟失電腦配件或者整機。

3.2系統安全

包含計算機操作系統安全及在系統架構上的軟件安全。沒有絕對安全的操作系統，只有相對安全的操作系統。計算機上最好能安裝正版操作系統，并及時下載補丁升級。對操作系統平臺進行安全配置，對操作和訪問權限進行嚴格控制，以確保把系統的危險降低到最低。應用軟件方面。盡量安裝大型軟件公司出品的產品。免費軟件、共享軟件、破解軟件等有安全隱患沒有通過安全驗證的軟件，盡量不要安裝。安裝的軟件要盡量避免與計算機內已有的軟件發生沖突，以免引起系統不能穩定運行，頻繁死機重啟，造成數據丟失。

3.3數據安全

重要的文檔要加密。密碼在方便記憶的情況下，越復雜越好。重要數據要“狡兔三窟”，除了在本機有，還要做好備份工作。定期做好數據的備份工作，當計算機發生故障時，可以將損失減少到最低。

3.4網絡安全

網絡安全是一個熱門的話題。下面我們就幾種網絡安全基礎防護設施作一下介紹，它主要包含防火墻、入侵檢測、漏洞掃描、病毒防治等。

(1)防火墻

防火墻指的是一個由軟件和硬件設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障。

防火墻是網絡安全的屏障，它可以強化網絡安全策略，可以對網絡存取和訪問進行監控審計，同時可以防止內部信息的外泄。

(2)入侵檢測系統

入侵檢測系統(Intrusion-detection system，下稱“lDS'’)是一種對網絡傳輸進行即時監視。在發現可疑傳輸時發出警報或者采取主動反應措施的網絡安全設備。它與其他網絡安全設備的不同之處在于，IDS是一種積極主動的安全防護技術。

(3)漏洞掃描系統

漏洞掃描系統是一種系統安全評估技術，它包括網絡模擬攻擊、漏洞測試、報告服務進程以及評測風險，提供安全建議和改進措施等功能。

(4)防病毒系統

對付病毒最理想的辦法是預防，就是不讓病毒進入系統。但這個目標不可能實現，只能通過加強預防措施來減少病毒攻擊的成功次數。

世界上沒有完美的防病毒系統，國內和國外的都有其特點。一般來說，國外的技術先進，國內的有本地化優勢。具體選擇哪款，要綜合考慮。但沒有能通殺所有病毒的殺毒軟件，并且，殺毒軟件要經常更新病毒庫，這樣才能發揮它的最大效力。

3.5安全審計系統

上面介紹的幾種安全防護措施，它們對防止外部入侵有一定的效果，但并不能完全阻止入侵者的攻擊，特別對于內部安全問題的防范比較薄弱。在這種情況下，就需要網絡安全審計系統進行補充。網絡安全審計系統是一種基于信息流的數據采集、分析、識別和資源審計封鎖軟件。通過實時審計網絡數據流，根據用戶設定的安全控制策略，對受控對象的活動進行審計。

3.6應用安全