企業(yè)信息安全現(xiàn)狀分析研究論文

1、dont let the future you hate your present self and perplex everyone, but success is only worthy of brave action.（頁眉可刪）企業(yè)信息安全現(xiàn)狀分析研究論文 在全球信息化背景下，企業(yè)對信息資源的依賴程度越來越大， 由此帶來的信息安全問題也日益突出。_從技術(shù)、設(shè)備管理、人員管理、法規(guī)制度等方面分析了企業(yè)在信息安全管理上存在的問題，然后針對這些問題提出了一些改進措施。一、企業(yè)信息安全存在的問題(一)技術(shù)方面。企業(yè)在信息資源管理過程中，對技術(shù)非常依賴。但是現(xiàn)實中，企業(yè)相關(guān)管理人員對技術(shù)的重視程

2、度遠遠不夠。導致經(jīng)常出現(xiàn)各種各樣的技術(shù)問題，如企業(yè)被黑；企業(yè)主機或服務(wù)器被外部人員入侵，企業(yè)重要信息泄露；技術(shù)問題還有軟件開發(fā)過程不規(guī)范，管理軟件設(shè)計有漏洞；企業(yè)管理軟件沒有定期更新、升級等。(二)管理方面。(1)物理設(shè)備的管理。企業(yè)信息安全管理的設(shè)備主要包括中心機房、服務(wù)器、網(wǎng)絡(luò)設(shè)備、線路等方面，此外還有門卡、消防器材等。這些是企業(yè)信息安全保障系統(tǒng)的基礎(chǔ)。這些設(shè)備受到的威脅主要表現(xiàn)在自然災(zāi)害、電磁輻射與惡劣工作環(huán)境方面。自然災(zāi)害無法避免。但是大多數(shù)企業(yè)對這些設(shè)備的管理的力度不夠。此外企業(yè)對這些設(shè)備的防火、防盜意識還較欠缺。(2)人員的管理。1)企業(yè)人員安全意識較弱，多數(shù)員工使用默認密碼和弱密

3、碼，增加了潛在的風險。也有員工無意泄露企業(yè)重要信息的情況發(fā)生。對于員工和管理員的操作缺少日志審計。2)企業(yè)對于網(wǎng)絡(luò)安全隊伍的建設(shè)工作積極性不高，認識不到網(wǎng)絡(luò)安全所存在的隱患。未明確設(shè)置安全管理員、機房管理員、數(shù)據(jù)庫管理員、網(wǎng)絡(luò)管理員、存儲管理員等崗位，崗位職責存在兼任情況。3)許多企業(yè)，網(wǎng)絡(luò)系統(tǒng)管理人員技術(shù)水平達不到所需要求，會直接導致系列操作產(chǎn)生問題，進而使安全漏洞問題愈加嚴重。“入侵者”通常情況下會利用網(wǎng)絡(luò)管理的不足，從而攻擊，破壞網(wǎng)絡(luò)安全并且獲取有用的信息。他們也會通過改變頁面的數(shù)據(jù)，進一步使系繁忙或改變重要信息，嚴重的更會導致系統(tǒng)崩潰，造成重大的經(jīng)濟損失。(3)信息及應(yīng)用系統(tǒng)的管理。大

4、多數(shù)企業(yè)沒有對企業(yè)信息進行設(shè)置保密等級；應(yīng)用系統(tǒng)業(yè)務(wù)運行情況方面的.數(shù)據(jù)也沒有及時保存；和應(yīng)用系統(tǒng)相連的數(shù)據(jù)庫中的重要表未進行加密處理；主機和數(shù)據(jù)庫沒有密碼復雜度限制，也沒有定期進行密碼更改，存在弱口令；缺乏對應(yīng)用系統(tǒng)和數(shù)據(jù)庫的操作日志的收集和審計。(三)信息安全文件及制度。通過調(diào)查發(fā)現(xiàn)，大多數(shù)企業(yè)沒有完整的信息安全政策性文件。信息安全制度的制定也不規(guī)范，沒有建立有效的發(fā)布、修訂以及落實情況的管理辦法。二、企業(yè)信息安全的對策(一)技術(shù)方面。(1)安裝正版防護軟件。企業(yè)放有重要信息的主機和服務(wù)器必須安裝安全防護軟件，如360安全衛(wèi)士。必須是正版的，因為盜版的服務(wù)質(zhì)量根本得不到有效保障。安裝后定期

5、對計算機進行檢測保護。(2)信息備份。企業(yè)應(yīng)用系統(tǒng)軟件不能確保不出問題，有時也會癱瘓；還有存在被外部人員攻擊的危險，為確保信息的不丟失， 有必要采取技術(shù)備份手段， 對重要信息進行定期備份。(3)訪問權(quán)限。企業(yè)信息種類很多，它們的保密級別也是不一樣的。同時企業(yè)的不同人員對信息訪問的權(quán)利也是不一樣的，為了使不用用戶訪問不同的信息，可通過技術(shù)手段，給不同的信息、應(yīng)用系統(tǒng)，及不同的人員設(shè)置不同的權(quán)限。這樣在一定程度上也可保障信息的安全。(4)網(wǎng)絡(luò)訪問。在互聯(lián)網(wǎng)快速發(fā)展的今天，任何一個企業(yè)都離不開網(wǎng)絡(luò)， 員工需要從網(wǎng)絡(luò)中獲取各種信息。然而， 暢通的網(wǎng)絡(luò)也給非法分子提供了訪問企業(yè)內(nèi)部信息的通道。為此，有必

6、要采用網(wǎng)絡(luò)防火墻技術(shù)， 控制內(nèi)網(wǎng)和外網(wǎng)的訪問。同時應(yīng)加強對惡意代碼的防范，還要注意數(shù)據(jù)傳輸過程中的保密。(5)加解密。對企業(yè)重要信息進行加密。加密之后的信息，只有擁有密鑰的人才能解密，看到信息的內(nèi)容。這樣對于沒有訪問權(quán)限的人或某些通過網(wǎng)絡(luò)截獲傳遞中的密文的非法分子來說，他們是無法看到真正的信息明文，只能得到零散的無用的信息。要注意的是應(yīng)該對密碼的復雜度進行要求，不能太簡單。(二)管理方面。(1)人員。企業(yè)的信息資產(chǎn)都是通過人來管理和控制的。對人的管理實際是信息安全工作中難度最大的工作，業(yè)界有一句話：“在企業(yè)中信息安全最大的風險是心懷不測的一些員工可能帶來的風險”。所以我們要加強對員工尤其是掌握企業(yè)核心機密的高管進行安全管理。在他們調(diào)動離職時進行信息安全審計，以有效減少信息資產(chǎn)非授權(quán)的傳遞。此外企業(yè)在和客戶、供應(yīng)商、合作伙伴合作中會涉及信息傳遞，并會產(chǎn)生新的信息。這些信息也需要很好的管理。(2)設(shè)備。應(yīng)該針對機房精密調(diào)控、以及對網(wǎng)絡(luò)線路制定保養(yǎng)和檢查計劃。對關(guān)鍵服務(wù)器進行續(xù)保。目前有部分弱電線路存在端口號和配線架編號以及到桌面的點位不符的情況，應(yīng)進行梳理。(三)安全管理制度的制定及實施。當前企業(yè)一要進行日常管理制度，安全管理制度的制定和實施；二是要加強計算機網(wǎng)絡(luò)工作者的規(guī)范管理，培養(yǎng)安全意識，建立針對hacker攻擊的“快速反應(yīng)隊”。同時必須進一步加快對高層次的網(wǎng)