论企业信息安全范文

一、企业信息化存在的隐患

随着信息化的高速发展，为企业及社会带来了显而易见的效益：提高的工作效率、减少的纸张浪费、快捷方便的通讯等等。但信息化也是一柄"双刃剑"，尤其是在企业管理、商业保密等工作中，还存在着令人堪忧的隐患：

一是物理安全风险。物理安全风险包括计算机系统的设备、设施和信息面临因自然灾害、环境事故（如断电）、人为物理操作失误以及不法分子进行违法犯罪等风险。

二是数据安全风险。数据安全风险包括竞争性业务的经营和管理数据泄漏，数据被人为恶意篡改或破坏等。

三是网络安全风险。网络安全风险包括病毒造成网络瘫痪与拥塞、内部或外部人为恶意破坏造成网络设备瘫痪、来自互联网黑客的入侵威胁等。

二、保证企业信息安全的基本对策

2.1正确认识企业信息安全问题。

企业的信息安全问题，绝不仅仅是一个仅靠防火墙、密码等等技术就能解决的问题，它还与人们的职业道德、社会道德以及企业管理等问题密切相关。因此，在维护企业信息安全时，我们必须站在宏观的角度对问题进行考虑。在过去看来，一个企业信息的安全问题，是领导层或者IT单个部门的事情，但是凭少数人或部门的工作，对于保障公司的信息不被泄漏，防护信息存储不被破坏、攻击和偷盗是很难的事。笔者认为，意识指导行动，信息安全问题首先要解决的是员工的思想认识问题，只有企业的每一个人都认识到信息安全的重要性，才能在工作中自觉地维护信息安全。因为在任何一个体系中，人都是最活跃、最具有影响力和决定意义的因素，因此对于企业的信息安全问题而言，企业内部员工才是保护信息安全的最可靠、最有效的重大保障。此外，还可以加强引进信息安全技术人才以及信息安全管理人才，并在日常工作中，加强对队伍专业知识以及工作技能的培训，从而为企业建设一支强有力的信息安全保卫队伍。其次信息管理部门要全面作好专业技术支持与防范工作，根据业务的需求采取适当的保护措施，实施专业应用系统。例如，保护企业信息安全的技术可以采用主动反击、网络入侵陷阱、密码、取证、防火墙、安全服务、防病毒、可信服务、PKI服务、身份识别、备份恢复、网络隔离等等保护产品以及保护技术，通过确保信息安全的最大化，来实现企业生产经营持续发展以及经济效益的最大化。此外，还可以在工作的过程中，进一步优化企业信息安全管理，并进行管理监控以及安全风险评估，分析入侵防范、服务器架构等等关键问题，以全面性、多角度的掌控，确保企业信息系统的安全性、稳定性，因为信息安全问题不具有静态性，信息管理始终处在一个不停变动的动态性过程，因此即使我们不可能确保信息的绝对安全，也必须做到相对安全，从而最大限度的降低企业风险。

2.2建立健全信息安全管理制度。

信息安全不仅是技术问题，更主要是管理问题。任何技术措施只能起到增强信息安全防范能力的作用，俗话说“三分技术，七分管理”，只有良好的管理工作才能使保障技术措施得到充分发挥，是能否对信息网络实施有效信息安全保障的关键。现在中国石油股份有限公司内控体系中涉及信息内部控制的《信息系统总体控制办法》（以下简称“GCC”）就很好的涵盖了信息安全的各个方面，包括了机房管理、服务器管理、网络管理和系统管理等。因此在实际的工作中，我们可以通过“三步骤”来实现企业信息的安全管理制度的健全化、完善化。第一，结合企业自身的实际，分析企业存在的问题以及预期的目标，制定具有科学性、合理性、实效性、可行性的信息安全管理制度，使保护信息安全工作做到有法可依，有章可循。第二，建立信息安全管理机构，明晰信息安全管理负责人的职务和责任，并建立相应的考核机制和激励机制，以督促、鼓励相关负责人的工作，提高信息管理工作质量。第三，真正贯彻管理措施，加强制度的执行力度，只有这样，才能从根本上实现管理工作以及工作目标，最终提高企业的信息安全管理水平。

三、加强企业信息安全保障的几点措施

如何有效地解决企业信息安全的专业性管理与技术性防范，笔者认为可从以下几个方面着手。

3.1实行严格的网络管理。企业网与互联网的物理隔离、防火墙设置以及端口限制，与互联网相比安全性较高，但在日常运行管理中我们仍然面临网络链路维护、违规使用网络事件等问题，具体而言：一是在IP资源管理方面，采用IP+MAC捆绑的技术手段防止用户随意更改IP地址和随意更换交换机上的端口。这样，就不会出现IP地址被盗用而不能正常使用网络的情况；二是在网络流量监测方面，使用网络监测软件查看数据、视频、语音等各种应用的利用带宽，防止频繁进行大文件的传输，甚至发现病毒的转移及传播方向。三是加强服务器管理。常见应用服务器安装的操作系统多为WindowsServer，可利用其自带的安全管理功能进行设置，包括服务器安全审核、组策略实施、服务器的备份策略以及系统补丁更新等。

3.2加强客户端监管。对大多数单位的网管来说，客户端的管理都是他们最头痛的问题。只有得力的措施才能解决这个问题，这里推荐以下方法：

（1）将客户端都加入到域中，使客户端强制性纳入管理员集中管理的范围。

（2）只给用户以普通域用户的身份登录到域，这样就可以限制他们在本地计算机上安装有安全隐患软件的权利。

（3）实现客户端操作系统补丁程序的自动安装。

（4）利用企业IT部门的工作职能，设置热线帮助和技术支持人员，统一管理局域网内各客户端问题。

3.3坚持进行数据备份。由于应用系统的加入，各种数据库日趋增长，如何确保数据在发生故障或灾难性事件情况下不丢失，是当前面临的一个难题。从成本及易操作性考虑，这里推荐以下两种数据备份方法：一种是用硬盘进行数据备份；另一种是采用本地磁盘阵列来分别实现各服务器的本地硬盘数据冗余。

3.4采取有效病毒防治方式。SYMANTEC公司的NortonAntivirus企业版是一个可选软件。在实施过程中，以一台服务器作为父服务器，实现对网络中所有计算机的保护和监控，并使用其中有效的管理功能，如:管理员可以向客产端发送病毒警报、强制对远程客户端进行病毒扫描、锁定远程客产端、病毒库定期更新等。

作者：魏玥科单位：西南油气田销售分公司