企業信息安全意識精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的企業信息安全意識主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：企業信息安全意識范文

 

對于未來的信息安全，我們需要著重關注什么?

 

基于我們的觀察，2012年以下4點趨勢有必要引起業界足夠的重視：

 

一是BYOD(自帶設備辦公)給企業安全帶來極大威脅。隨著越來越多的80,90年代年輕人進人職場，自帶辦公設備已是一種趨勢。好處是這些年輕人可能會用自己喜歡的方式來工作，提高工作效率。但企業該如何管理卻成了很大挑戰，BYOD帶來的安全威脅也就更大。而且，包括私人郵件在內的公私結合趨勢，也給越來越多的企業帶來很大挑戰。因為沒法管理，分不清公和私，一樣會帶來很大的安全威脅。

 

二是全新的云安全機制。我們正處于一個風起云涌的時代，未來幾年，很多政府機構、中小企業可能不會再雇傭更多的信息安全人員，因為沒有必要，他會更愿意把安全外包出去，或者通過云的方式，進行云服務，把信息安全交給更專業的團隊去管理。這絕對是個趨勢，會有多快，我們不知道，但一定會到來。

 

一個例子是，我們有一個大企業客戶，我問他的CEO,你們公司有多少安全專家?不到3個。他的信息安全問題更多是交給安全廠商去負責。

 

大型企業這樣，中小企業更是如此。我們可以通過云方式為后者提供服務。那么，云計算到底是更安全還是更不安全，非常值得我們探討。也許從某個角度來講，云可能會更安全，因為中小企業依賴云服務提供商提供服務;對云服務商來說，只會幫助企業IT部門適應并挖掘更新的方法保護他們的企業系統與信息資產。

 

目前，很多企業在很多方面都應用了云服務，如財務、營銷、郵件系統等等，都是不同的云。企業需要全新的云安全管理機制去管理這些云。云的問題要通過云的方式來解決。

 

三是全價值鏈的安全。現在很多商業模式都會涉及整個產業鏈，大部分企業會通過網絡跟客戶聯系，提供服務。此外，還要與供應商、外包商、經銷商聯系并溝通，所以，只保護好企業自身的安全是不夠的，我們的《互聯網安全威脅報告》也指出，目前遭受攻擊的對象，在職位上也越來越廣泛。比如那些網絡罪犯不攻擊老板，可能攻擊秘書，或與老板有密切關系的其他對象。所以，全價值鏈的安全很重要。

 

四是構建全面的安全防護。安全絕不僅僅是一個簡單的防病毒，從準人，到主機安全、審計，到加密，到認證，到授權，到數據中心的優化、虛擬化等等涉及方方面面。我們現在講的安全，是全面的信息安全，絕非局部的安全。安全行業的希望也在于此。

 

安全外包是趨勢

 

當然，安全是一個博弈的過程，依賴的不只是技術。想要實現安全外包應注意幾點：

 

一是技術基礎。要有一套完整的管理機制，宣傳、培訓也很重要，否則沒法落地;

 

二是一定要用法律作為后盾。現在信息安全犯罪更多是因經濟利益，所以相關處罰措施很有必要，如果法律跟不上，信息安全也不能做到徹底。所以，監管部門一定要加強這方面的法律保障;

 

三是一個平臺、一個游戲規則。從云服務來講，很多管理內容不再是企業自己擁有。IT管理者雖然管理網絡，但上面的用戶遠多于你的員工，他們可能是你的供應商、外包商、客戶，這些人都不會乖乖聽你的話，為什么?因為他們不是你的員工。設備有時也不是自己的，可能要靠別人來管理，這對IT部門挑戰很大。所以，IT部門就必須扮演一個新角色，依靠云服務，提供一個平臺，一個游戲規貝IJ，提供用戶支撐，并提高所有使用者的工作效率;

第2篇：企業信息安全意識范文

“中國企業員工的信息安全意識可謂不容樂觀，提升員工信息安全意識刻不容緩。”谷安天下副總經理魏彩霞對當前企業員工的信息安全意識現狀表示擔憂，“不同行業的信息安全意識現狀不同，電信、金融等行業由于業務的特殊性，安全意識較高，而其他行業的信息安全意識整體狀況則依舊薄弱”。

調查顯示，接近50%的受訪者認為單位領導的信息安全意識一般、很差或者還不如自己。而據魏彩霞介紹，一些企業中即使領導非常重視信息安全，希望提升員工的保密意識，但“只是看到別人的明文密碼導致信息泄漏就更改自己的網頁設置等單個事件，并不能系統地提升企業員工整體的信息安全意識”。

由于員工信息安全意識薄弱而給企業帶來災難性損失的案例屢見不鮮。據統計，世界上每分鐘就有兩家企業因為信息安全的問題而倒閉。而在所有信息安全事件中，只有20%~30%是因為黑客入侵或其他外部原因造成，另外70%~80%是由于內部員工的疏忽或有意泄漏造成，而78%的企業數據泄漏是由于內部員工不規范的操作造成的。

第3篇：企業信息安全意識范文

[關鍵詞]企業安全；信息管理；設計；實現

doi：10.3969/j.issn.1673-0194.2015.08.057

[中圖分類號]TP311.52 [文獻標識碼]A [文章編號]1673-0194（2015）08-0075-02

近年來，企業安全事故層出不窮，信息安全引起了越來越多企業管理者的重視，成為各個企業不容忽視的關鍵問題。為了加強企業信息安全，不少企業開始設立獨立部門對企業的信息安全進行專業管理，并開始培養專業的信息安全管理人才。

1 企業安全信息管理平臺的問題

1.1 安全意識不強

企業要重視信息安全并實施管控，信息安全管理的成敗取決于員工的安全意識。人員安全意識欠缺，導致政令不通，監督不力，執行不暢，往往導致信息外泄、系統故障等安全事故。只有樹立直接執行人員牢固的信息安全意識，形成企業安全文化，企業信息安全才能真正長治久安。員工信息安全意識的提升并非一日之功，也不是通過簡單的一兩次培訓就能奏效，而是一項持續的、長期的、有計劃的、多種方式并用的綜合性工作。信息安全意識提升面向企業廣泛的受眾，其內容涵蓋信息安全相關各個領域，重點針對員工日常工作和個人行為，關注各種可能因個人行為不當或警惕性不強而引發的信息安全隱患和事故。由于目標對象的不同，信息安全意識提升內容會呈現出不同的形式、程度，從簡潔明了的宣傳語，到淺顯易懂的安全提示，再到全面具體的安全手冊，建立企業專門的信息安全知識庫，滿足不同方面和不同層次的需要。

1.2 缺乏專業人才

隨著經濟社會的不斷發展，企業對于信息安全管理人才的需求也越來越大。任何組織都是由人組成的，沒有人才，組織就不能取得長遠發展，更談不上不斷進步和自我完善。企業的發展需要不斷補充新的人才。對于多數企業來說，信息安全管理人員的素質決定了單位能否長遠發展。信息安全管理是最近幾年才興起的，很多企業還沒有配備相關人才，不少高校也尚未開展相關專業，培養信息安全管理方面的人才，國家對于信息安全管理專業的投入也不夠。社會整體尚未形成重視信息安全管理的氛圍。目前，不少企業的信息安全管理人員十分匱乏，很多企業沒有專門的信息安全管理機構，因此也沒有配備相應的信息安全管理人員。只有少數企業認識到信息安全管理的重要性，設立了相應的信息安全管理機構。但在這些企業當中，多數企業的信息安全管理機構十分簡陋，相關設備也不夠健全，專業人員的配備也存在缺失，有的企業雖然配備有信息安全管理人員，但這些人員多數沒有接受過系統的知識培訓，經驗不夠豐富，責任心不強，不能履行信息安全管理人員的基本職責。信息安全管理人員素質不高和專業人才的缺失，是企業的發展的阻礙，嚴重影響了企業的長遠發展。

1.3 監管制度缺失

完善、科學的信息安全監管制度對于企業的發展具有十分重要的意義和作用。行為規范制度是指導工作人員進行相關操作的準則和辦法，只有建立一套系統的信息安全監管制度，才能規范信息安全管理人員的行為，使操作有據可依，信息安全管理人員對自身行為負起責任。目前我國信息安全管理制度仍不健全，不少企業沒有建立起一套完善的內部控制制度，使得很多行為沒有操作依據，信息安全管理人員的行為無法有效約束，出現了許多不負責任的行為。這些行為不僅阻礙了企業的發展，也影響了企業的聲譽，不利于后續工作的開展。因此，必須建立健全企業信息安全監管制度，為企業后續活動的開展提供保障。

1.4 管理技術落后

信息安全管理需要先進的管理技術和安全技術，為信息安全管理提供有力的技術支持。企業在發展過程中，開發了一系列信息安全管理技術和管理技巧，發揮了一定的作用。但隨著經濟社會的發展和科技的日新月異，不少技術已經無法跟上時代步伐，很多技術面臨淘汰。這些管理技巧不但不能給企業帶來益處，反而有可能影響企業的信息安全。因此必須緊跟時代步伐，了解最新的信息安全管理技巧，結合企業實際情況，開發符合時代要求的管理技巧。同時，積極了解最新科技動態，將適合于本企業的技術運用到企業的信息安全管理過程中。

2 如何完善企業安全信息管理平臺設計

2.1 增強信息安全管理意識

提高信息安全管理意識是完善企業信息安全管理的重要前提和關鍵因素。只要具備良好的內部安全控制意識，才能順利開展后續工作。企業管理者必須深切意識到信息安全管理對于企業發展的重要性和必要性，加大投資力度，及時發現企業信息安全管理中存在的問題和不足。必須加強對企業信息安全管理的重視，切實意識到信息安全管理對于企業發展的重要性，加大資金投入，確保企業信息安全管理良好運作。

2.2 加強人員的素質培訓

人才對于企事業單位的發展具有不容忽視的作用。單位的競爭歸根結底是人才的競爭。信息安全管理人員的素質對于企業的發展具有重要作用，具有良好素質的信息安全管理人員可以促進企業的快速發展。企業必須重視對信息安全管理人員的培訓和投資。信息安全管理人員的投資包括設備的更新，資金的投入和專業教育的提升。同時，要鼓勵信息安全管理人員學習最新的信息安全知識，不斷更新已有知識，緊跟時代的步伐。企業不僅要注重提高信息安全管理人員的專業素養，也要重視對企業信息安全管理人員的道德培養。只有專業知識而缺乏道德素養的工作人員，不僅不能給企業帶來效益，反而會危害企業發展，因此必須重視企業信息安全管理人員的道德素養。信息安全必須不斷加強對信息安全管理人員的培訓，切實全面提高信息安全管理人員素質，增強信息安全管理人員靈活處理各項事務的能力，不斷鞏固自身基礎知識，培養信息安全管理人員的責任心和創新精神，真正做到與時俱進。只有不斷提升企業的信息安全管理人員素質，才能從整體上提升企事業單位的安全管理工作效率，促進企業的長遠發展。

2.3 強化信息安全監督管理

監督工作對于企業的發展具有重要作用和意義。良好的監督是企事業單位正常活動的前提。沒有完善的監督體系，企事業單位很難確保業務的正常開展。企事業單位應強化信息安全監督工作，建立相應的監督管理機構，對企業內部各項經濟活動進行有計劃地控制，及時發現企事業單位存在的問題，同時應加強信息安全管理工作，不斷提升工作效率。凡事預則立，不預則廢。除了做好信息安全管理的內部監督工作外，不斷加強信息安全管理的外部監督工作也是十分重要的環節。外部監督主要包括新聞媒體監督和社會大眾監督。企事業單位管理者要認識到內部管理的不足之處，認真改正有缺陷的地方，不斷完善內部控制建設。同時，也要不斷加強新聞媒體的監督作用，發揮輿論的監督作用。內部控制是一項巨大的完整的工程，具有完善的體系和結構，必須保證每個環節落實到位，才能確保整個體系的良性運行，從而發揮出最大的效益。

2.4 提高信息安全管理技巧

除此之外，信息安全管理技巧對于企事業單位的發展具有重要意義。不同的控制技巧適用于不同的企事業單位，也會產生不同的效果。企事業單位采取適合本單位的內部控制技巧，可以提高企事業單位的行政效率。隨著時代的發展和進步，傳統的信息安全管理技巧已經不適用于現代企業。因此，企業必須根據時代的發展，提升自身信息安全管理技巧，摒棄舊有落后工作模式。另外，在實施信息安全管理技巧時，必須考慮到事業單位的實際運作情況，切忌生搬硬套。應根據企事業單位的具體情況，有針對性地提高信息安全管理的技巧，逐步解決企事業單位在實施信息安全管理時遇到的難題。

主要參考文獻

[1]侯衛超.企業信息安全現狀分析與管理對策[J].科技信息：科學教研，2007（28）.

[2]王超，林峰.高校校園網絡安全管理策略[J].科技資訊，2007（20）.

第4篇：企業信息安全意識范文

目前，企業信息系統中的威脅主要來源于外部因素，隨著社會的快速發展，在激烈的市場競爭中信息占有非常重要的位置，有很多不法分子會想方設法的利用各種手段竊取企業信息，最終獲得經濟效益。還存在部分企業在與對手競爭中為占取有利位置會采取不正當手段獲取對方企業信息，最終達到擊敗對方的目的。目前在國內黑客人侵企業網絡的主要手段有直接進攻企業信息系統和傳播病毒兩種。

二、當前企業信息化建設中完善信息安全的對策

（一）樹立正確安全意識企業在信息化發展的進程中，應意識到企業信息的安全問題與企業發展之間存在的關聯性。一旦企業的重要信息被竊取或外泄，企業機密被泄漏，對企業所造成的打擊是非常巨大的，同時也給競爭對手創造了有利的機會。因此樹立正確的安全意識對于企業是非常重要的這樣才能為后面的工作打下良好的基礎。

（二）選擇安全性能高的防護軟件雖然任何軟件都是有可以破解方法的，但是對于安全性能高的軟件而言，其破解的困難性也隨之增加，所以企業在選擇安全軟件時應盡量選擇安全性能高的，不要為節省企業開支而選擇性能差的防護軟件，如果出現問題其造成的損失價值會遠遠的大于軟件價格。

（三）加強企業內部信息系統管理首先，對于企業信息系統安全而言，無論是使用哪種安全軟件都會遭到攻擊和破解，所以在安全防御中信息技術并不能占據主體，而管理才是信息安全系統的主體。因此建立合理、規范的信息安全管理體質對于企業而言是非常重要的，只有合理、規范的管理信息，才能為系統安全打下良好的基礎。其次，建立安全風險評價機制。企業的信息系統并不是在同一技術和時間下所建設的，在日常的操作和管理過程中，任何系統都是會存在不同的優勢和劣勢的因此企業應對自身的信息系統做安全風險評估，根據系統的不同找出影響系統安全的漏洞和因素，并制定出詳細的應對策略。

（四）加強網絡安全管理意識首先，網絡安全管理部門應樹立正確的網絡安全觀念，加強對網絡安全的維護，在企業人員培訓中加入對人員的網絡安全培訓，從而使企業工作人員自覺提升安全防范意識，擺脫傳統的思維模式，突破網絡認識誤區。加強對對網絡黑客尤其是未成年人黑客的網絡道德和法律教育，提高他們的法律意識，從而使他們自覺遵守網絡使用的法律法規。其次，應當利用合理有效的方式普及對全體員工有關于網絡法律法規及網絡知識的教育，以提高他們的網絡安全意識。

（五）網絡的開放性使得網絡不存在絕對的安全，所以一勞永逸的安全保護策略也是不存在的由此可以看出，企業實施的網絡安全策隨著網絡問題的升級而發展的，具有動態特征。因此企業制定的策略要在符合法律法規的基礎上，通過網絡信息技術的支持，并根據網絡發展狀況、策略執行情以及突發事件處理能力進行相應的調整與更新，這樣才能確保安全策略的有效性。此外企業還應綜合分析地方網絡安全需求，進一步制定更加完善的網絡安全防護體系，以減少網絡安全存在的風險，保證信息化網絡的安全性。絕大部分的企業信息被竊取都是不法分子通過網絡進行的，因此必須加強企業的網絡管理，才能確保企業信息系統在安全的狀態下運行。針對信息安全的種類和等級制定出行之有效的方案，并提前制定出如果發生了特定的信息安全事故企業應采取哪種應對方案。當企業信息安全危機發生時，企業應快速成立處理小組，根據信息安全危機的處理步驟和管理預案，做好危機處理工作，避免出現由于不當處置而導致的連鎖危機的發生。另外，還應在企業內部做好信息安全的培訓和教育工作，提高信息安全的管理意識，提高工作人員對安全危機事件的處理能力。

三、結語

第5篇：企業信息安全意識范文

【關鍵詞】：信息安全 ；問題；解決方案

【引言】：在中小企業的信息管理系統中存在大量的信息和文件材料，其中有對企業發展至關重要的文件材料，一旦這些信息材料在通過網絡傳送時被不法分子和競爭對手竊聽、泄密、篡改或偽造，將會嚴重威脅中小企業的發展，所以，提出中小企業信息安全問題的解決方案具有重要意義。

1. 中小企業信息安全存在的問題

1.1信息安全管理意識不強。

相對大型企業來說，中小企業信息資產方面的積累相對較為薄弱，并且很多時候這種積累并非企業的有意識行為，所以在正常的信息化應用情況下，往往會忽視對自己信息資產的保護，而只有在信息資產受到破壞，形成了實際的經濟和附加損失的情況下，才會開始意識和重視這信息安全問題。

1.2信息安全管理水平較低信息安全風險較大。

目前的中小企業管理層人員雖然已經認識到了信息化的重要性，但卻沒有認識到企業信息化管理是需要在企業管理念上進行根本變革才能實現的。信息安全大約70%以上的問題都是由管理方面的原因造成的。他們大多是按照原有的管理模式進行改造，結果造成一種信息化的假象，致使“信息化”走向了徒有其表的誤區，信息安全也沒有得到足夠重視。

1.3人才短缺專業人員匱乏。

中小企業一般很難有足夠的吸引力留住信息化及信息安全這一領域的人才。因此，在這種人才短缺的情況下，自然影響到企業信息化的進程。主要表現為：企業一般沒有自己的信息化建設人才隊伍。信息技術專業人員的知識結構也不能達到要求，掌握技術的不懂管理，懂管理的又不會技術，而且信息安全往往沒有專業人員進行管理。

1.4資金短缺。

中小企業的資金狀況決定了其信息化投入遇到的限制相對較多。企業相對有限的資金，一般要優先投入到直接促進公司業績增長的方向，而無形中就造成了信息資產所面臨的巨大風險；特別是在當今越來越多的企業業務與互聯網有密切的聯系，甚至一些企業的業務完全建立在互聯網之上，以平均不到企業總收入1%的信息安全投入，怎么能保障這些業務的正常運行？盡可能使投入比例接近常規，至少應該使企業核心信息資產的安全得到保證，從實際情況來講，在良好的安全理念指導下，進行細致的規劃和評估，通過適當的投入也是可以達到較好的整體效果，因為在中小企業的應用情境下，信息安全防御廣度是相對容易控制的；設計出體現其規律和特點的真正適合中小企業的信息安全產品，才能從根本上滿足中小企業信息安全需求。

1.5中小企業的信息倫理意識不強。

由于某些員工的信息倫理原因而帶來的信息安全問題屢見不鮮。在很多時候，企業的員工都會因為某些不經意的行為對企業的信息資產造成破壞。尤其是在中小企業中員工的信息安全意識往往相對比較落后，對于互聯網上存在的威脅往往缺乏足夠的重視，而企業的管理層對于網絡的使用也沒有很好的管理手段。

2.中小企業信息安全問題的解決措施

2.1從企業的自身情況考慮

要解決中小企業網絡信息安全問題，不能僅依靠企業的安全設施和網絡安全產品，而應該考慮如何提高企業自身的網絡安全意識，將信息安全問題提升到重視的高度，要重視“人”的因素。具體表現在以下兩個方面：

2.1.1提高安全認識

定期對企業員工進行網絡安全教育培訓深化企業的全員信息安全意識，企業管理層要制定完整的信息安全策略并貫徹執行，對安全問題要做到預先考慮和防備。

2.2.2要求中小企業在上網的過程中要做到“一做三不要”

首先將存有重要數據的電腦堅決同網絡隔離，同時設置開機密碼，并將軟驅、硬盤加密鎖定，進行三級保護，其次不要在自己的系統之內使用任何具有記憶命令的程序，因為這些程序不但能記錄用戶的擊鍵動作甚至能以快照的形式記錄到屏幕上發生的一切，同時不在網上的任何場合下隨意透露自己企業的任何安全信息，最后不要啟動系統資源共享功能，要盡量減少企業資源暴露在外部網上的機會和次數，減少黑客進攻的機會【1】。

2.2從網絡安全角度考慮

2.2.1從網絡安全服務商的角度來說，服務商要重視中小企業對網絡安全解決方案的需要，充分考慮中小企業的現實狀況，仔細調查和分析中小企業的安全因素，開發出適合中小企業實際情況的網絡安全綜合解決方案。此外，還應該注意投入大量精力在安全策略的施行及安全教育的開展方面，這樣才能為中小企業信息安全工作的順利開展提供堅實的保證。

2.2.2要用防火墻將企業的局域網（Intranet）與互聯網之間進行隔離。由于網絡攻擊不斷升級，對應的防火墻軟件也應該及時跟著升級，這樣就要求我們企業的網管人員要經常到有P網站上下載最新的補丁程序，以便進行網絡維護，同時經常掃描整個內部網絡，以發現任何安全隱患并及時更改，才能做到有備無患【2】。

2.2.3企業用戶最好自己學會如何調試和管理自己的局域網系統，不要經常請別人來協助管理。中小企業要培養自己解決安全問題的能力，提高自己的信息安全技術。如果缺乏這方面的人才就應該去引進或者培養相關人才。

2.2.4內部網絡系統的密碼要定期修改。動態的密碼有助于防止黑客的攻擊以及來自內部人員的泄密。

2.2.5要經常使用殺毒軟件來維護局域網系統不受病毒攻擊。現在國內的殺毒軟件都推出了清除某些特洛伊木馬的功能，可以不定期地在脫機的情況下進行檢查和清除。

2.2.6同其它企業進行聯合，共同抵制黑客的入侵，一旦被入侵要及時向有關部門匯報，并共同查找入侵來源，鎖定黑客IP地址。將網絡的TCP起時限制在15分鐘以內，減少黑客入侵的機會。并擴大連接表，增加黑客填寫整個連接表的難度【3】。

小結

綜上所述，我國中小企業的信息安全問題日益突出。由于受到管理水平、資金、技術、 意識等幾方面的制約，中小企業完全依靠自己解決所有信息化安全問題是不現實的，它們很難使用大企業中那種復雜的信息安全系統，因此迫切需要適合中小企業自身情況的綜合解決措施。

【參考文獻】：

【1】 楊江；周小玲； 基于企業的危機信息管理[J]；科技情報開發與經濟；2009年32期

第6篇：企業信息安全意識范文

【關鍵詞】信息系統 身份鑒別 漏洞掃描 信息安全管理體系（ISMS）

近年來，“Locky勒索軟件變種”、““水牢漏洞””、“支付寶實名認證信息漏洞”、“京東12G用戶數據泄露”、“700元買他人隱私信息”等信息安全事件層出不窮，引起各國領導的重視和社會關注。為提高網絡安全和互聯網治理，2014年，我國成立了以主席為最高領導的信息安全管理機構-中央網信辦；2016年11月，在中國烏鎮舉行了《第三屆世界互聯網大會》。通過一系列的行為，為求現有的網絡系統能夠提高安全能力，為廣大社會群眾提供服務的同時，能夠保證人民的利益。

信息系統是由硬件、軟件、信息、規章制度等組成，主要以處理信息流為主，信息系統的網絡安全備受關注。企業在應對外部攻擊，安全風險的同時，當務之急是建立一套完整的信息安全管理體系。在統一的體系管控下，分布實施，開展各項安全工作。

目前，大多數企業的信息安全工作比較單一，主要是部署安全防護設備，進行簡單的配置。信息安全工作不全面，安全管理相對薄弱，不足以抵抗來自外部的威脅。

1 信息安全問題

1.1 身份鑒別不嚴格

考慮到方便記憶和頻繁的登錄操作，企業普遍存在管理員賬號簡單或者直接采用系統的默認賬號現象，并且基本不設定管理員的權限，默認使用最大權限。一旦攻擊者通過猜測或其他手段獲得管理員賬號，攻擊者如入無人之境，可以任意妄為。最終可造成數據泄露，系統癱瘓等不可估量的嚴重后果。注重信息安全的企業會修改默認管理員賬號，設定較為復雜的口令，并定期進行口令更換。但是也僅僅使用一種身份鑒別技術，不足以抵抗外部攻擊。

1.2 外部攻擊，層出不窮

隨著計算機技術的發展，信息系統的外部攻簦層出不窮。攻擊者利用網絡系統的漏洞和缺陷，攻擊系統軟件、硬件和數據，進行非法操作，造成系統癱瘓或者數據丟失。 目前主要存在的攻擊手段包括掃描技術、郵件

攻擊、拒絕服務攻擊、口令攻擊、惡意程序等等；入侵常用的步驟包括采用漏洞掃描工具進行掃描、選擇合適的方式入侵、獲取系統的一定權限、提升為系統最高權限、安裝系統后門、獲取敏感信息或者其他攻擊目的。攻擊者會根據系統特性和網絡結構采取不同的手段對網絡進行攻擊，如果不采取相應的防御手段，很容易被黑客攻擊，造成損失。

1.3 員工安全意識薄弱

很多互聯網企業的員工缺乏信息安全意識，存在離開辦公電腦時不鎖屏現象；將重要客戶信息、合同等敏感材料放在辦公桌上或者不及時取走打印機房內的材料；優盤未經殺毒直接連接公司電腦；隨意點擊不明郵件的鏈接；更有員工將系統賬號、密碼粘貼在辦公桌上；在系統建設階段，大到管理者，小到開發人員、測試人員，均注重技術實現和業務要求，而忽略了系統的安全和管理。由于員工的信息安全意識較為薄弱，很容易造成公司信息泄露，進而導致公司的損失。

1.4 內部管理制度不完善

俗話說，“不以規矩，不能成方圓”。未形成全面的信息安全管理制度體系，缺失部分安全策略、管理制度、操作規程，可能導致信息安全管理制度體系存在疏漏，部分管理內容無法有效實施。使相關工作過程缺乏規范依據和質量保障，進而影響到信息系統的安全建設和安全運維。比如在軟件開發過程中，開發人員會因為各種原因而忽略安全開發（存在開發人員沒有意識到代碼安全開發的問題；有些開發人員不愿意使用邊界檢查，怕影響系統的效率和性能；當然也存在許多遺留代碼存在問題的現象，從而導致二次開發同樣產生問題），可能導致系統存在后門，被黑客攻擊。

2 防范措施

企業需依據《信息安全等級保護管理辦法（公通字[2007]43號）》、《中華人民共和國網絡安全法》》、《ISO/IEC 27001》等標準和法律法規進行信息系統安全建設工作。測評機構在網安的要求下，對企業信息系統的安全進行測評，并出具相應測評結果。根據測評結果和整改建議，采用相應的技術手段（安全認證、入侵檢測、漏洞掃描、監控管理、數據備份與加密等）和管理措施（安全團隊、教育與培訓、管理體系等）對信息系統進行整改。如圖1所示。

2.1 技術手段

2.1.1 安全認證

身份鑒別是指在計算機系統中確認執行者身份的過程，以確定該用戶是否具有訪問某種資源的權限，防止非法用戶訪問系統資源，保障合法用戶訪問授權的信息系統。凡登錄系統的用戶，均需進行身份鑒別和標識，且標識需具有唯一性。用戶身份鑒別機制一般分為用戶知道的信息、用戶持有的信息、用戶生物特征信息三種。針對不同鑒別機制，常用的鑒別技術（認證技術）如表1所示。

不同的認證技術，在安全性、便捷性方面存在不同的特性。比如USB-Key的安全等級較高，但會遇到各種問題，導致便捷性較差（比如存在軟硬件適配性問題，移動終端無USB口等）。一般認為在相同的便捷性前提下，選擇安全等級較高的認證技術。針對重要系統應采用雙因子認證技術。

2.1.2 入侵檢測

入侵檢測能夠依據安全策略，對網絡和系統進行監視，發現各種攻擊行為，能夠實時保護內部攻擊、外部攻擊和誤操作的情況，保證信息系統網絡資源的安全。入侵檢測系統（IDS）是一個旁路監聽設備，需要部署在網絡內部。如果信息系統中包含了多個邏輯隔離的子網，則需要在整個信息系統中實施分布部署，從而掌控整個信息系統安全狀況。

2.1.3 漏洞掃描

漏洞掃描是指基于漏洞數據庫，通過掃描等手段對目標系統的安全脆弱性進行檢測，發現可利用的漏洞的一種安全檢測行為。常見的漏洞掃描類型主要包括系統安全隱患掃描、應用安全隱患掃描、數據庫安全配置隱患掃描等。系統安全隱患掃描根據掃描方式的不同，分為基于網絡的和基于主機的系統安全掃描，可以發現系統存在的安全漏洞、安全配置隱患、弱口令、服務和端口等。應用安全隱患掃描可以掃描出Web應用中的SQL注入、Cookie注入、XPath注入、LDAP注入、跨站腳本、第三方軟件等大部分漏洞。數據庫安全配置隱患掃描可以檢測出數據庫的DBMS漏洞、缺省配置、權限提升漏洞、緩沖區溢出、補丁未升級等自身漏洞。

漏洞掃描主要用于評估主機操作系統、網絡和安全設備操作系統、數據庫以及應用平臺軟件的安全情況，它能有效避免黑客攻擊行為，做到防患于未然。

2.1.4 監控管理

網絡監控主要包括上網監控和內網監控兩部分。目前市場上已做的完整監控軟件已包含上述功能。網絡監控需結合網絡拓撲，在網絡關鍵點接入監控工具監測當前網絡數據流量，分析可疑信息流，通過截包解碼分析的方式驗證系統數據傳輸的安全。例如Solarwinds網絡監控平臺，它包括Network Performance Monitoring、Network Traffic Analysis、WAN Performance （IP SLA） 、IP Address Management、Network Configuration Management、Application Performance Monitoring等。可以執行全面的帶寬性能監控和故障管理；可以分析網絡流量；可以對服務器上運行的服務和進程進行自動監控，并在故障發生時及時告警；可對VOIP的相關參數進行監控；可以通過直觀的網絡控制臺管理整個IP架構；可快速檢測、診斷及解決虛擬化環境的網絡性能；強大的應用程序監視、告警、報告功能等。

2.1.5 數據備份與加密

企業高度重視業務信息、系統數據和軟件系統。數據在存儲時應加密存儲，防止黑客攻擊系統，輕易獲得敏感數據，造成公司的重大經濟損失。常用的加密算法包括對稱加密（DES、AES）和不對稱加密算法（RSA）。密碼技術不僅可以防止信息泄露，同時可以保證信息的完整性和不可抵賴性。例如現在比較成熟的哈希算法、數字簽名、數字證書等。

除了對數據進行加密存儲外，由于存在數據丟失、系統斷電、機房著火等意外，需對系統數據進行備份。按照備份環境，備份分為本地備份和異地備份；按照備份數據量的多少，備份分為全備、增備、差分備份和按需備份。各企業需根據自己的業務要求和實際情況，選取合適的備份方式進行備份。理想的備份是綜合了軟件數據備份和硬件冗余設計。

2.2 管理措施

2.2.1 安全團隊

企業應設立能夠統一指揮、協調有序、組織有力的專業的安全管理團隊負責信息安全工作，該團隊包括信息安全委員會，信息安全部門及其成員。安全部門負責人除了具備極強的業務處理能力，還需要有管理能力、溝通能力、應變能力。目前安全團隊的從業人員數量在逐漸增加，話語權在增多，肩上的擔子也越來越大。安全團隊需要定好自己的位，多檢查少運維，多幫企業解決問題。即安全團隊修路，各部門在上面跑自己的需求。

2.2.2 教育c培訓

保護企業信息安全，未雨綢繆比亡羊補牢要強。培養企業信息安全意識文化，樹立員工信息安全責任心，是解決企業信息安全的關鍵手段之一。企業的競爭實際上是人才的競爭，除了定期進行技能培訓外，還需對員工的安全意識進行教育和培訓。信息安全團隊應制定信息安全意識教育和培訓計劃，包括但不限于在線、郵件、海報（標語）、視頻、專場、外培等形式。通過對員工的安全意識教育，能從內部預防企業安全事件的發生，提高企業的安全保障能力。

2.2.3 管理體系

隨著計算機攻擊技術的不斷提高，攻擊事件越來越多，且存在部分攻擊來自公司組織內部。單靠個人的力量已無法保障信息系統的安全。因此，企業需建立自上而下的信息安全管理體系（ISMS， Information Security Management System），以達到分工明確，職責清晰，安全開發，可靠運維。安全管理制度作為安全管理體系的綱領性文件，在信息系統的整個生命周期中起著至關重要的作用。不同機構在建立與完善信息安全管理體系時，可根據自身情況，采取不同的方法，一般經過PDCA四個基本階段（Plan：策劃與準備；Do文件的編制；Check運行；Action審核、評審和持續改進）。可依據ISO27000，信息安全等級保護等，從制度、安全機構、人員、系統建設和系統運維5個方面去制定信息安全管理體系。通常，信息安全管理體系主要由總體方針和政策、安全管理制度、日常操作規程和記錄文檔組成，如圖2所示。

3 結語

國家不斷加強對各個互聯網企業、金融、銀行等的信息安全工作監督，通過ISO27000、信息安全等級保護測評、電子銀行評估、互聯網網站專項安全測評等方式，規范企業的信息安全建設工作。同樣，信息安全工作長期面臨挑戰，不能一蹴而就，需要相關安全工作人員戮力同心、同舟共濟、相互扶持、攜手共建信息安全的共同體。

參考文獻

[1]沈昌祥，張煥國，馮登國等.信息安全綜述[J].中國科學雜志社，2007（37）：129-150.

[2]李嘉，蔡立志，張春柳等.信息系統安全等級保護測評實踐[M].哈爾濱工程大學出版社，2016（01）.

[3]蔣欣.計算機網絡戰防御技術分析[J].指揮控制與仿真，2006（08），28-4.

作者簡介

康玉婷（1988-），女，上海市人。碩士學位。現為信息安全等級測評師、初級工程師。主要研究方向為信息安全。

作者單位

第7篇：企業信息安全意識范文

論文摘要：伴隨著企業信息化的發展，信息安全越來越受到重視。針對當前信息安全存在的問題，作者進行了調查，分析了其中的原因，最后從管理學的角度提出了相關的策略和建議。

隨著信息技術的發展和網絡化應用的普遍推廣，各機關組織和企事業單位都開展各類管理業務的信息化建立。企業的發展運作離不開信息系統的安全運行。信息安全通過保護企業信息的機密性、完整性和可用性，不僅保護了企業各類信息資產的安全，還能增強企業的核心競爭力，維護企業的形象和信譽。信息安全對企業的生存和發展的是至關重要的，需要從戰略的高度對信息安全進行規劃和管理。

一、企業中信息安全管理經常存在的問題

日常安全管理中存在的主要問題，首先是用戶安全意識和觀念薄弱的占58%，第二位的是網絡安全管理人員缺乏培訓，占39%；其后，依次是保障經費投入不足、缺乏安全信息共享和安全產品不能滿足要求。

不僅在日常管理中，在技術管理方面也存在一定的問題。在CSDN泄密門事件中，專業IT博客“月光博客”撰文表示“整個事件最不可思議的地方在于，像CSDN這樣的以程序員和開發為核心的大型網站，居然采用明文存儲密碼”，“稍微懂一點編程的程序員都知道，為了用戶的安全，應該在數據庫里保存用戶密碼的加密信息，這樣黑客即使下載了數據庫，破解用戶密碼也不是一件容易的事情” 。可見，有些涉及技術方面的問題，也并不是單純的技術問題，而是與技術人員安全意識不強、責任心不到位有關。

為了了解企業內部員工在信息安全問題上的看法及所做的努力，我們對一家電子商務企業和一家銀行的部分工作人員進行了問卷和訪談調查，發現在企業員工中存在如下一些問題：

1.是信息安全意識方面，被調查者認為信息安全對企業和個人都非常重要。但大多數受訪者對信息安全的問題了解很少等。

2.很多受訪者認為信息安全屬于技術人員的事情；與技術人員的交流非常少；忙于業務，沒有時間去處理。

3.是用戶認為信息安全管理措施效果不好。有些信息安全行為的規范標準雖然掛在網上或貼在墻上，很少有人去關注；公司發動的信息安全的培訓活動沒有收到好的效果。

二、信息安全問題的根源

通過對調查的結果進行深入分析，發現導致信息安全事件頻發、風險損失嚴重的原因從根本上來說，有以下幾個方面：

1.信息安全是一個多維問題，涉及到企業管理的方方面面。企業在信息安全問題上往往涉及多個部門。有些情況下，無法明確責任，使得信息安全得不到應有的重視以及有效的管理。

2.風險平衡理論認為，人會愿意承擔一定程度的風險。這與你采用多少的安全防護措施無關。有時即使有條件可以到達絕對安全的狀態，由于人性的緣故，也不會那樣去做。

3.信息安全與效率和便利性本身是矛盾的。信息安全加強了，受到的約束也就多了，相應地效率也就降低了。比如簡單規律地密碼，可以不必費力去記；插入U盤時進行殺毒，必然要耽誤時間；沒有接入網絡，不可能受到網絡攻擊，但也就失去了網上瀏覽所需信息、網絡交流的自由，因此有人半開玩笑地說：“最安全的計算機是拔掉網絡的那臺計算機”。

4.由于某些緣故，網絡中總是存在黑客，專門竊取信息或破壞網絡系統。他們的水平都非常專業，一般的用戶難以預防。所謂“道高一尺，魔高一丈”，信息安全的水平總是在這種攻擊與防守中進步的。

5.信息安全問題的不確定性。信息安全問題的不確定性主要指是否發生風險的不確定性、無法精確地評估當前所面臨的風險以及風險發生所帶來的損失的難以把握。

所有這一切因素，都使得信息安全無法得到有效的關注和重視，無法采用有效的措施來預防和避免。這也是導致信息安全事件發生頻率居高不下，風險損失較大的主要原因。 轉貼于

三、相關的建議和策略

針對企業信息安全的問題，文章運用管理學的理論進行論述。企業管理涉及四個功能：計劃、組織、領導、控制 。

1.從計劃的角度來看：企業應當確立信息安全的發展戰略，從戰略的高度來對待和管理信息安全，確保信息安全所引發的風險達到可以接受的范圍之內。從全局角度制定信息安全的策略，確立信息安全的目標，以及實現目標需要的行動方案。

2.從組織的角度來看：人力資源的管理的觀點認為，企業的組織結構，取決于組織戰略 。在許多企業組織結構中，只有技術部門，沒有信息安全管理部門。S.H.(basie) von Solms 曾討論過，技術管理與安全管理兩個部門必須設置成為兩個獨立的部門，否則無法保證安全評估的客觀性。因此有必要設置一個專門負責信息安全管理的部門，這個部門并不負責具體的技術，但是要懂技術，主要是開展企業的安全培訓工作、日常的安全管理工作、對存在的風險進行評估，最大限度地降低安全風險。

3.從領導的角度來看：根據wilde的風險平衡理論，一個人會愿意承擔一定程度的風險。 “風險平衡”觀念會讓整個機構處于盲目樂觀的過度自信狀態，不管是企業的員工還是管理者都傾向于追求效率 ，從而忽視信息安全的投入。

在企業的管理過程中，應當加強信息安全、風險意識方面的培訓和教育，增進員工與技術人員的面對面的溝通與交流，開展有效的安全意識活動。

4.從控制的角度來看：對風險的控制要求企業對自己的安全狀況不斷評估，時時防范。這就要求安全管理部門每隔一定時間向上匯報信息安全的進展情況，定期進行風險評估工作。

文章從管理學的角度來分析信息安全風險管理，對信息安全問題做了實地調查，分析了目前信息安全存在的一些問題，并對存在的問題的根源進行了深入的分析，最后文章運用管理學的理論，從計劃、組織、領導、控制四個角度出了相應的建議和策略。

參考文獻

[1]Wilde GJS.The theory of risk homeostasis: implications for safety and health. Risk Analysis 1982;2(04):209-25.

[2]秦志華.企業管理[M].大連:東北財經大學出版社，2011，1.

[3]廖三余，曹會勇.人力資源管理[M].北京:清華大學出版社，2011，9.

第8篇：企業信息安全意識范文

關鍵詞 信息安全事故；安全管理；事故致因理論

中圖分類號 F49

文獻標識碼 A

文章編號 1006-5024（2013）01-0055-04

一、引言

在信息化浪潮席卷全球的今天，信息的重要性不言而喻。我國國民經濟和社會信息化建設進程全面加快，網絡與信息系統的基礎性、全局性作用日益增強，信息技術在提高企業服務水平、促進業務創新、提升核心競爭力等方面發揮了重要作用。但是，在進行信息化建設的同時，各種信息安全事故卻頻繁發生。據普華永道2010年度全球信息安全調查報告顯示，中國企業信息安全事故發生率遠遠高于世界平均水平。網絡事故、數據事故及系統事故是中國企業常見的三大信息安全事故，發生率分別為51%、45%和40%，而相同事故在全球范圍內的發生率則為25%、27%與23%。

大量文獻和事實表明，信息的特殊性決定了信息安全事故的高發性。信息具有易傳播、易擴散、易毀損的特點，信息資產比傳統的實物資產更加脆弱，而其運作的風險、收益和機會卻比實物資產大得多。企業對信息系統不斷增強的依賴性也增大了重要信息受到嚴重侵擾和破壞的風險，而這些風險常導致企業資產受損或業務中斷。

目前，對于信息安全的研究大多集中于技術層面，從早期的加密技術、數據備份、防病毒到近期網絡環境下的防火墻、入侵檢測、身份認證等，而從管理方面和流程優化方面研究的較少。Ross Anderson（2001）認為，信息安全的經濟管理研究在某種程度上比技術研究更為重要。傅毓敏（2010）認為，中國企業對信息安全管理人員和流程的重視不足是導致相關安全事故率居高不下的主要原因。因此，有必要系統分析企業信息安全事故發生的機理，以管理因素研究為核心，找出事故發生的根本原因。通過控制事故致因因素預防企業信息安全事故的發生，將對企業的信息安全管理有一定的指導意義。

本文將生產領域的事故致因理論應用到信息安全事故分析中，系統分析企業信息安全事故的形成機理，將信息安全事故致因因素分為四部分，即環境因素、人員因素、技術因素和設備因素，分析各因素對信息安全事故的影響，構建信息安全事故致因因素魚刺圖，并提出針對性的防范措施。

二、理論基礎

（一）國內外從管理角度對信息安全事故的研究

國內外的學者從不同角度對信息安全事故原因進行了研究。Van Niekerk（2010）認為企業信息安全文化氛圍是減少人為因素所導致的信息安全事故的關鍵；Knapp（2009）等先后對信息安全政策和信息安全事故之間的關系進行了研究；Herath（2009）通過問卷調研的實證研究驗證了懲罰力度、壓力和員工的效果認知會對其安全行為產生影響；Albrechtsen（2010）發現員工參與、集體反思和群體作用可以提高員工的信息安全意識，并改善其安全行為；Stanton（2005）研究發現終端用戶的安全行為會對企業信息安全管理產生影響；Ashenden（2008）通過實證研究發現信息安全管理人員、高層管理者和終端用戶之間存在信息鴻溝，雙方在理解上的差異會對企業的信息安全管理產生不利影響，增加了信息安全事故發生的幾率。此外，Vroom（2004）、Flowerday（2005）等學者也先后對此進行了研究。

與國外相比，國內對于信息安全的研究多集中于技術層面，涉及管理層面的研究較少。沈昌祥、張煥國、馮登國（2007）系統地闡述了信息安全理論及相關技術的發展；官巍、胡若（2007）從社會環境、商業、組織和個人的角度分析了電子商務的信息安全問題；劉福來（2010）對中小企業信息化管理中存在的安全隱患和原因進行了分析。

通過閱讀文獻發現，國外學者大多通過實證研究驗證了一個或幾個因素對信息安全事故的影響，但是缺乏對信息安全事故的系統分析。國內的研究多用于構建信息安全管理體系，對信息安全事故的分析則鮮有研究。

（二）事故致因理論

在信息安全事故分析方法的選擇上，本文選擇了在生產領域廣泛應用的事故致因理論。事故致因理論是研究分析導致事故發生原因因素的科學理論。它是描述事故成因、經過和后果的理論，是研究人、物、環境、管理及事故處置等基本因素如何起作用而形成事故并造成損失的理論。

在早期的事故致因理論中，海因里希（W.H.Heinrich）的事故因果連鎖論最具代表性，它最先提出了物的不安全狀態和人的不安全行為是導致傷亡事故發生的兩個直接因素。在海因里希事故因果連鎖論的基礎上，博德（F.Bird）等又進一步提出了把安全管理作為背后深層次的間接事故致因因素的現代安全科學觀點，認為任何安全事故發生的深層次原因，都可以歸結為管理的失誤，人的不安全行為或物的不安全狀態不過是其背后的深層原因的征兆和管理失誤的反映。

本文依據博德（F.Bird）的現代安全科學觀點，提出如圖1所示的信息安全事故模型。信息安全事故的發生是由于人的不安全行為和物的不安全狀態作用在能量物質/載體上的結果，而企業的管理因素是導致物的不安全狀態和人的不安全行為發生作用的直接因素。

三、信息安全事故分析

通過對各類型信息安全事故致因因素的分析，企業信息安全事故的致因因素大體可分為兩類，即人的因素和物的因素。其中，物的因素可進一步分為環境因素、技術因素、設備因素等。根據實地調研和文獻梳理可以得出，企業文化的缺失、安全規章制度的不完善等環境因素是造成事故的深層原因。因此，本文將企業信息安全事故的可控致因因素整理歸納后分為四類，即環境因素、人員因素、技術因素和設備因素，并構建了信息安全事故魚刺圖（見圖2）。

（一）環境因素分析

在信息化建設過程中，很多企業由于急需開展業務，往往出現“先業務，后安全”的現象，安全管理嚴重滯后于業務的發展。在企業的內部環境中，企業業務的符合性直接決定了信息系統的設計、運行、試用和管理是否超出法律規定和合同規定的安全要求的約束范圍。另外，很多企業安裝了一定的安全設備，但缺乏統一的安全體系規劃和安全防范機制，企業安全責任不明確，這些都大大增加了信息安全事故發生的風險。由于缺乏業務連續性計劃和事故處理機制，發生信息安全事故之后，企業的業務往往會出現中斷，此時，信息管理人員又變成“救火員”恢復業務，最終信息安全建設變成一種“頭痛醫頭，腳痛醫腳”的亡羊補牢式的行為。此外，企業懲戒措施和審計機制的缺乏也是導致信息安全事故頻繁發生或重復發生的重要因素。

在信息安全管理的外部環境中，與企業密切相關的是第三方服務機構或個人。企業選擇第三方服務機構為企業提供服務，就意味著將企業的部分信息轉移至第三方。企業與第三方的外包合約不完善、第三方的服務質量不高以及對第三方數據訪問權限的不明確易導致企業關鍵數據的泄露，容易引發外部攻擊。

（二）人員因素分析

人員是信息安全管理中最為活躍的因素，不同類別的人員對信息安全事故的影響不盡相同。（1）管理人員。高層管理者是企業資源投入的決策者，也是企業信息安全管理的核心，高層對信息安全的支持和重視不夠是導致企業信息安全文化欠缺和員工信息安全意識淡漠的關鍵因素。中層管理者作為銜接企業高層和基層的橋梁，其對上級決策的執行力度直接決定了企業信息安全管理實施的效果。（2）技術人員。在企業中，技術人員可以保證企業信息系統的日常運營和維護。但大多數企業，尤其是中小企業缺乏信息技術人才和安全監察、審計人員。由于受人員及技術的限制，往往一個管理員既要負責系統的配置，又要負責系統的安全管理，安全設置和安全監督都是“一肩挑”。這種情況使得管理權限過于集中，一旦管理員的權限失控，極易導致重要信息泄露。（3）基層人員。目前，我國企業的基層員工普遍缺乏信息安全的教育、培訓，對信息安全意識淡漠，每天都在以不安全的方式處理著企業的大量重要信息，如隨意使用移動設備、上網不限制等，這些不安全的行為都對企業的信息系統構成了潛在的威脅。

（三）技術因素分析

信息安全技術是企業防范信息安全事故的基本因素，也是我國企業在信息安全管理中投入較多的一部分。具體而言，導致信息安全事故技術方面的因素可以分為兩大類：（1）軟件因素，包括軟件設計缺陷或存在技術漏洞、殺毒軟件不及時更新以及突發的軟件故障等。（2）信息系統設計因素，包括信息系統設計時沒有以風險評估為基礎、業務流程描述錯誤或遺漏、前期測試不充分、數據訪問權限設置不清晰、關鍵數據沒有備份、信息資產安全等級不明確以及信息資產沒有保護措施等因素。這些不安全的技術因素導致了信息安全漏洞存在的必然性和普遍性。在目前互聯網普及的開放網絡環境中，這些漏洞無疑會給外部攻擊者留下可乘之機，導致信息安全事故的發生。

（四）設備因素分析

企業信息安全管理的設備主要包括中心機房、服務器、網絡設備、線路等方面，這些是企業信息安全保障系統的基礎。由于設備因素引起的信息安全事故包括硬件自身故障、保障設施故障、人為破壞事故、其他設備設施故障等四種，其致因因素可以歸納為三類：（1）物理安全方面，包括物理安全邊界不明確、非授權的物理訪問、設備或存儲介質缺乏安全措施、設施設備的非授權使用或移動、硬件失效等。（2）保障設施方面，包括供電或空調中斷、電氣故障、電纜損壞等。（3）外界不可抗力，包括水災、臺風、地震等自然災害和恐怖襲擊、戰爭等外界不可抗力因素。這些因素往往會造成設施設備硬件的損壞，導致存儲于設備上的數據受到干擾和破壞，容易引發企業業務的中斷。

四、防范措施

針對上述造成信息安全事故的因素分析，可以從人員培訓、制度完善以及硬件改進三個方面進行防范。具體而言：

（一）建立有效的“人力防火墻”，減少人為因素導致的信息安全事故

信息安全是企業每個員工都要面對的問題，通過建立“人力防火墻”能真正調動企業實現長治久安的內在動力。因此，必須加強信息安全宣傳工作，增強所有員工對信息安全重要性的認識。通過增強管理人員對信息安全的重視，營造企業的安全文化氛圍，提高企業員工的信息安全意識；通過對員工進行安全教育與培訓，增強員工的安全技能；通過法律法規、安全政策、訪問權限與懲戒措施來約束員工的行為，減少不安全行為的發生。最終在企業內部形成一種“信息安全，人人有責”的企業文化氛圍，減少人為因素導致的信息安全事故。

（二）完善企業信息安全管理體系，減少由于環境、技術因素導致的信息安全事故

信息安全管理體系是依據企業信息安全需求、業務流程分析和風險評估的結果，綜合利用各種信息安全技術與產品，在統一的綜合管理平臺上建立的信息安全管理機制和防范體系。建立并完善信息安全管理體系，可以為企業的信息管理提供來自策略、設計以及運行等各個層面和階段的安全保障，有效減少由于環境因素和技術因素引起的信息安全事故。建立災難恢復與業務持續性計劃，強化重要信息數據備份，在信息安全事故發生時能確保業務持續開展，將損失降到最低程度；建立集中化的管理控制機制，將數據安全控制進行集中化管理，建立一個具有全局性的網絡管理平臺，以確保安全防范策略能夠由上至下全面貫徹執行，減少數據安全風險；以“適度防范”為原則，選擇合適的安全技術與產品，制定相應的訪問控制策略，在考慮成本和投資回報的基礎上滿足企業業務安全的需求。

第9篇：企業信息安全意識范文

1．1地理信息系統及數據采集與監控系統

在燃氣企業中應用GIS系統，既能對燃氣管線進行電子化圖檔管理，也能實時監控天然氣管網規劃、搶修等情況。GIS通過將現有的管網及周邊地理狀況、管線、設備等信息，集成為管線集輸的綜合信息，然后，實時傳輸和展現給燃氣企業相關管理人員，從而為燃氣管線運行、設備維護和安全管理，提供全面、準確的參考依據。

1．1．1．數據采集與監控系統(SCADA)

SCADA系統是燃氣管道應急系統的重要組成部分，是一項集實時工控與調度信息管理為一體的大型的計算機應用系統。可以遠程監控與管理各門站、調壓站等站點，確保燃氣系統運行高效、安全、經濟運行。

1．2事故處理方案決策優化與管網風險評價

1．2．1事故處理方案優化決策

在燃氣行業的日常工作中，如遇管網故障，發生危險，必須快速、有效的進行應急處置和救援。其具體流程一般如下:接獲任務并了解現場情況，相關人員迅速召開會議或電話、電視會議，制定搶修、救援方案，然后進行搶修和救援。但是，搶修時間緊迫，這種處置流程不僅浪費寶貴的時間和資源，也會受到人為主觀因素的影響，例如，意見不統一或決策失誤等，不僅延誤搶修和救援，甚至可能會導致二次事故。采用模糊評價法對燃氣管網事故的解決方案進行對比和遴選，通過定性和定量分析選擇最優方案。首先利用模糊關鍵詞，采用定性和定量方法分析事故，然后以技術打分分配各因素權重，最后通過決策軟件實現方案的最優選擇。可以實現在事故發生時，提供關鍵詞，即可獲得最佳的搶修方案，以排除人為主觀因素的干擾，更科學、更理性。

1．2．2管網風險評價

不少燃氣企業對管網安全評價重視不足，尤其缺乏對現役管線的風險評價。對燃氣管線的管理，僅僅做到定期運行和巡檢是不夠的，還要更多的考慮到未來規劃的問題。例如，分幾期對管線進行改造，改造又分為幾步，如何開展等等。通過建立管網仿真及安全評價系統，結合各管線屬性信息，例如腐蝕程度、第三方破壞程度、維檢修情況、壓力檢測等等，建立一個龐大的數據信息庫，全面考察管線危險性，得到危險等級排序，預測管線使用壽命，對未來管線更新及改造規劃提供理論指導。

2城市燃氣企業信息安全探索

2．1信息安全的概念

根據GB/T22081－2008，所謂的信息安全就是通過采取有效策略，確保信息免受各種威脅、損害，從而保證業務連續性，并達到風險最小、投資回報最優。燃氣企業信息安全，就是指燃氣企業信息資產安全可靠，業務穩定開展，不會受到系統自身和外來網絡病毒、黑客等的攻擊，如果出現安全事故，其損失可以降到最低。

2．2燃氣企業管理存在的信息安全問題

2．2．1信息安全意識淡薄

當代社會，信息載體多樣化，辦公電腦、存儲設備以及系統軟件使用不規范都容易導致信息泄露，在常見的搜索引擎上可以輕易的查詢到某燃氣企業或大型公司企業的內部文件，這些情況的發生，正是由于企業信息安全意識淡薄，對信息的傳播安全管理重視不夠導致的。

2．2．2信息安全管理機制不健全

在網絡信息安全管理中，一般都強調“三分技術，七分管理”。由此可見，信息安全最重要的是管理的安全。安全與管理是密不可分的，信息防護技術只是信息安全的一部分，僅僅將投入放在這一方面是遠遠不夠的，缺乏完整、規范以及系統化的信息安全管理制度，將無法從根本上實現信息安全。

2．2．3信息安全技術人才缺乏

在燃氣企業中，受傳統管理理念的影響，不少企業管理人員對于信息安全認識及其重要性認識不足，不注重企業信息安全管理人員和技術配備，導致企業信息安全管理水平不高。雖然最近幾年來，燃氣企業信息化建設水平不斷提高，吸納了許多信息化技術人才，但是專業從事綜合性的信息安全管理工作人員比例仍然較低。

2．3信息安全建設中的關鍵問題分析

2．3．1準確評估風險大小，正確處置安全風險

風險評估的方法很多，燃氣企業進行信息安全風險評估時，需要立足企業實際，根據GB/T20984－2007《信息安全技術信息安全風險評估規范》，制定科學、合理的風險評估流程，辨識完畢企業的信息安全風險之后，要采取科學、合理的處置辦法:風險接受、風險規避、風險減緩以及風險轉移。

2．3．2重視人在燃氣企業信息安全管理中的作用

企業管理中，最重要的因素就是人，人是信息安全的管理者，也是信息安全危險事件的誘發者，由于人為因素導致的信息安全事件不在少數。若要對企業職工進行約束，首先要明確職工的信息安全管理職責，加強人員思想教育，通過教育和培訓，在企業內建立起良好的信息安全文化氛圍。

2．3．3細化信息資產分類，提高資產管理水平

在當今，信息無疑是燃氣企業寶貴的資源和資產，信息資產的管理應當做到:建立信息資產清單并規范管理;設定信息分類、等級并區分保存;信息標記，并明確標記內容。尤其大量存儲數據信息的移動硬盤、廢舊電腦，簡單的格式化處理后，數據信息極易被還原，必須要通過物理銷毀、數據覆蓋或者不可逆專門處理工具進行銷毀。

2．3．4加強信息安全事件管理，預防信息安全事件發生

通過有效的技術防范措施，比如在系統中安裝防火墻軟件、反病毒產品、定期備份數據等，對設備、網絡進行定期檢查，及時處理過期、失效產品。同時，燃氣企業還要建立完善的信息安全應急處置預案，明確處置程序及各部門的職責，定期開展應急演練，以提高信息安全應急處置水平。

2．4燃氣企業做好信息安全工作的幾點探索

2．4．1加強新型技術的應用

如今，無線技術、互聯網技術、云技術等先進的科學技術，已經日益廣泛地融入企業日常工作，通過技術更新，企業信息技術應用，也需要隨之而變。企業推進新技術應用的同時，應當加強入侵檢測、加密認證、災難備份技術等信息安全防護技術，確保企業在新的信息技術環境中實現信息安全建設。

2．4．2大力發揮人才的優勢