企業(yè)信息安全問題研討(共2篇)范文

本站小編為你精心準備了企業(yè)信息安全問題研討(共2篇)參考范文，愿這些范文能點燃您思維的火花，激發(fā)您的寫作靈感。歡迎深入閱讀并收藏。

第一篇

一、網(wǎng)絡環(huán)境下中小企業(yè)信息安全問題幾大癥結

本課題組成員經(jīng)過半年多的調查、分析發(fā)現(xiàn),對許多中小企業(yè)來說,信息安全形勢非常嚴峻,大部分企業(yè)主對信息安全問題還沒有足夠的認識,進而導致中小企業(yè)信息安全普遍存在較大隱患。要改變中小企業(yè)信息安全局面,必須破解如下癥結。

（1）網(wǎng)絡結構不合理。大部分中小企業(yè)屬于民營企業(yè),企業(yè)的網(wǎng)絡缺乏統(tǒng)一的規(guī)劃設計,網(wǎng)絡結構不合理。調查中發(fā)現(xiàn)只有少數(shù)企業(yè)使用了防火墻技術進行了內外網(wǎng)的隔離,少數(shù)企業(yè)進行了子網(wǎng)劃分,這種網(wǎng)絡結構的不合理設置導致了企業(yè)內部數(shù)據(jù)泄密、病毒大范圍傳播,甚至整個系統(tǒng)的癱瘓,給企業(yè)信息安全帶來極大威脅。

（2）安全意識淡薄。意識決定人的行為。很多中小企業(yè)管理者對信息安全問題沒有概念,根本沒有意識到信息安全問題的重要性,沒有意識到二十一世紀信息對企業(yè)來說是一種特別重要的無形資產,甚至比那些“看得見,摸的著”的有形資產更重要,需要企業(yè)對它們珍視和保護。

（3）經(jīng)費投入不足。中小企業(yè)有些也認識到了信息安全的重要性,但是在企業(yè)有限資金限制的情況下,投資回報是他們開展信息化首先考慮的因素,因此在面對多次信息安全事件以后,仍然在網(wǎng)絡安全設備、技術人員培訓等方面資金投入嚴重不足。

（4）專業(yè)人才缺乏。中小企業(yè)由于環(huán)境條件的局限,很難留住和吸引專業(yè)的IT人員,更不可能為信息安全去配備專門的人員。企業(yè)只是對網(wǎng)絡進行簡單的維護,缺乏防范信息安全漏洞的必要知識。在這種情況下,勢必會影響到企業(yè)信息化的發(fā)展。

（5）管理制度不健全。企業(yè)信息化的管理,遵循著“三分技術,七分管理”的原則。調查發(fā)現(xiàn),企業(yè)大部分的信息安全問題是因為企業(yè)沒有必要的安全管理制度而產生的,企業(yè)員工沒有網(wǎng)絡安全意識和知識,進而產生一些不良的上網(wǎng)操作行為,比如,利用工作電腦擅自下載軟件、玩游戲上網(wǎng)聊天、打開來路不明的郵件、瀏覽不良網(wǎng)站、未經(jīng)允許拷貝比較敏感的文件等等,這些行為如果沒有制度約束就不能有效制止,從而大大增加了信息安全的威脅。

二、網(wǎng)絡環(huán)境下中小企業(yè)常見信息安全威脅因素

對那些已經(jīng)實施了信息化的中小企業(yè)來說,企業(yè)運行過程中會遭遇種種信息安全問題,這些問題成為困擾他們的噩夢。只要在網(wǎng)絡環(huán)境下運營,企業(yè)就會面臨各種潛在威脅和攻擊,在此過程中暴露出來的安全問題可能只是冰山一角,可怕的是絕大多數(shù)情況下,企業(yè)根本不知道自己的網(wǎng)絡已經(jīng)受到了安全攻擊,存在著巨大的安全隱患。通過我們課題組的問卷調查,中小企業(yè)面臨的信息安全威脅主要來自以下幾個方面。

（1）網(wǎng)絡病毒風險。調查發(fā)現(xiàn)雖然現(xiàn)在中小企業(yè)的信息安全意識有所提高,一般電腦也都安裝了殺毒軟件,且在不斷升級,但是電腦病毒也在升級,并且先于殺毒軟件,互聯(lián)網(wǎng)本身就是病毒生長繁殖的土壤,幾乎每天都有新的病毒產生,這使得八成以上的中小企業(yè)局域網(wǎng)電腦帶毒運行,如何防范這些病毒,對中小企業(yè)是一個挑戰(zhàn)。

（2）黑客入侵。黑客就是計算機數(shù)據(jù)信息的竊賊,由于中小企業(yè)網(wǎng)絡防護薄弱,首當其沖成為黑客傳播廣告軟件、毀壞文件和應用、散布“釣魚”信息、阻礙合法用戶正常訪問、盜取機密信息的重要手段,而絕大多數(shù)中小企業(yè)內外網(wǎng)之間沒有設置防火墻,所有這些都造成對企業(yè)信息安全的極大威脅。

（3）移動設備使用無限制。調查中發(fā)現(xiàn)企業(yè)員工對移動設備(U盤、筆記本電腦、MP3、智能手機等)的使用沒有任何規(guī)定和限制,即便有規(guī)定,也只是流于形式,根本沒有嚴格的執(zhí)行。這種情況帶來的后果,一方面病毒交叉感染,泛濫;更重要的是企業(yè)員工可以通過使用移動設備復制備份企業(yè)數(shù)據(jù)文件并隨身帶離企業(yè),這些不經(jīng)意的行為都會給企業(yè)的信息安全帶來巨大隱患。

（4）內部信息共享威脅。一些企業(yè)為了提高工作效率,實行內部文件網(wǎng)上共享策略,沒有采取任何防護措施,企業(yè)各部門的文件和數(shù)據(jù)可以在整個企業(yè)內部共享。例如生產部門的生產計劃文件、營銷銷售部門的重要客戶信息文件、銷售策劃文件這些重要數(shù)據(jù),其他部門的人員都可以通過企業(yè)內部網(wǎng)絡共享得到。中小企業(yè)的特點就是員工的流動性比較大,這種情況下企業(yè)員工很容易把這些重要信息泄露出去,對企業(yè)的信息資產造成破壞。

（5）權限管理混亂。非授權訪問是企業(yè)信息安全威脅的主要因素之一,因此權限管理是中小企業(yè)信息化安全管理非常重要的工作。可以通過設置密碼和加強權限管理來防止這種非授權訪問行為的發(fā)生。可調查情況顯示,企業(yè)員工認為只要設置了密碼就會平安無事了,對密碼的認識不足,因此為了方便記憶通常設置的密碼過于簡單,很容易被破解,形同虛設。另外,企業(yè)對于權限的管理也沒有明確“誰能做什么”“誰不能做什么”,權限管理一片混亂,致使非授權訪問事件頻頻發(fā)生。中小企業(yè)信息化面臨的種種信息安全威脅,是由當前我國網(wǎng)絡安全環(huán)境決定的,加上人力、資金上的限制,中小企業(yè)信息安全防線就變得更加脆弱。而網(wǎng)絡攻擊恰恰會挑選安全防護有漏洞的企業(yè)乘虛而入,如何認識中小企業(yè)信息安全問題的這些特點、采取有針對性的安全防護措施,推進中小企業(yè)信息化的發(fā)展,是我們課題研究的目的所在。

三、網(wǎng)絡環(huán)境下如何保證中小企業(yè)的信息安全

要為中小企業(yè)構筑起一個信息安全的防護體系,我們建議需要做好以下幾方面的工作。

3.1政府部門應該加強對中小企業(yè)的支持與引導從的實際情況來看,由于中小企業(yè)IT能力的不足,信息化意識、信息化機構設立和信息化培訓三大指標與大型企業(yè)相比有巨大的差距,單單依靠中小企業(yè)自身去保障信息安全是遠遠不夠的,必須依靠政府的力量、政府的支持。依靠政府部門加強整體網(wǎng)絡環(huán)境的綜合治理,正確的鼓勵與引導來改善企業(yè)信息化安全環(huán)境,完善相關法律法規(guī)、配套設置建設,從而為中小企業(yè)信息化撐起一把強有力的保護傘。

3.2強化信息安全風險防范意識對于的中小企業(yè)要保證網(wǎng)絡信息的安全,必須要提高全體員工特別是企業(yè)高層的信息安全意識。在當今瞬息萬變的信息時代,強化每個員工時刻擁有信息風險的危機意識,隨時做好主動防范的準備。同時,企業(yè)要定時對企業(yè)員工進行信息安全教育,并組織各類專題講座和技能培訓,來提高員工的信息安全防范意識和判別能力,增強他們對信息的敏感度。

3.3建立健全企業(yè)信息安全防范體系建立健全企業(yè)信息安全防范體系,可以為企業(yè)架起一道安全屏障,從而提高企業(yè)對重要信息資產的防護能力,一旦信息系統(tǒng)受到侵襲,也能確保企業(yè)正常運營,并將損失降到最低程度。

(1)重視信息安全設施建設,建立企業(yè)網(wǎng)絡與信息安全管理平臺,在內外網(wǎng)之間部署相應的網(wǎng)絡與信息安全設施,加強企業(yè)網(wǎng)絡的安全管理,制定相應的權限訪問控制策略,并嚴格有力地執(zhí)行。如:網(wǎng)絡防病毒軟件、高性能防火墻、入侵檢測系統(tǒng)等,這些是企業(yè)信息安全的硬件保證。

(2)建立信息化安全事件應急預警機制,提高信息安全應急響應速度。調查顯示有48%的中小企業(yè)沒有建立正式的防災預警方案,這樣當遇到電力中斷或其他突發(fā)災難時就會給企業(yè)帶來不小的損失。

(3)建立重要信息異地數(shù)據(jù)備份和災難恢復機制,為信息系統(tǒng)的可靠運行提供保障。

(4)建立集中化管理控制制度,形成信息安全管理的長效機制。將數(shù)據(jù)安全控制在企業(yè)內部進行集中化管理,以確保安全防范策略能夠由上至下力求有效地落實執(zhí)行。特別是將加密密鑰進行集中化管理,防止由于加密密鑰的丟失而帶來的數(shù)據(jù)安全風險。

(5)加強企業(yè)的信息安全風險評估工作,定期對信息系統(tǒng)進行安全風險評估,提高安全風險預防能力。隨著信息技術的日新月異,企業(yè)對信息安全的需求也是不斷變化的,新的安全問題會不斷產生,原來建立起來的防護體系可能不再滿足新的安全需求,這些情況都說明信息安全是一個動態(tài)的發(fā)展過程,因此企業(yè)需要定期對自己的信息網(wǎng)絡安全狀況進行評估,以改進安全方案,調整安全策略,使企業(yè)的信息系統(tǒng)保持在健康、安全的狀態(tài)下運行。

3.4選擇合適的第三方服務體系基于中小企業(yè)的信息安全現(xiàn)狀,選擇第三方服務體系是比較明智的選擇。通過第三方服務體系,可為企業(yè)提供持續(xù)、穩(wěn)定、專業(yè)化的網(wǎng)絡應用服務和網(wǎng)絡系統(tǒng)的維護服務,為其減少資金、管理及人力上的投入,使企業(yè)迅速提高信息化水平和市場競爭力。

四、結語

總之,網(wǎng)絡環(huán)境下中小型企業(yè)安全體系的構建是一個龐大的系統(tǒng)工程,需要綜合考慮多方面的因素,需要各個方面的協(xié)調配合,涉及到技術、管理、法律法規(guī)等方方面面的問題。隨著網(wǎng)絡技術的深入應用,企業(yè)對信息系統(tǒng)的依賴性也在不斷增強,如何構建一個立體的信息安全體系,守護住企業(yè)信息安全的大門,對中小企業(yè)來說是一個嚴峻的挑戰(zhàn)。

作者：趙曉華陳秀芹周文艷夏莉莉李建忠單位：滄州師范學院

第二篇

一、煤礦企業(yè)信息網(wǎng)絡安全的設計與實現(xiàn)

1.1路由器及交換機安全控制

大部分路由器及第三層交換機都具備內置防火墻功能，同時，要想對信息網(wǎng)絡中相關數(shù)據(jù)包的過濾處理，對進出企業(yè)信息網(wǎng)絡的所有數(shù)據(jù)進行必要控制，借助對IP訪問列表的設置或者綁定MAC地址的方式便可以實現(xiàn)，采取此種方案有助于進一步提升煤礦企業(yè)信息網(wǎng)絡的安全系數(shù)。在實踐中，諸如超時控制、HTTP訪問控制、信息過濾器、端口訪問控制、虛擬端口訪問控制及MAC地址綁定控制等方案較為常見。對于煤礦企業(yè)而言，引入路由器及第三層交換機，可以達到更好的企業(yè)信息網(wǎng)絡安全的控制效果，并且大量的實踐也充分表明，通過對路由器及第三層交換機進行合理配置可以達到節(jié)約安全投入的效果。

1.2訪問控制

對于煤礦企業(yè)而言，其信息網(wǎng)絡所有數(shù)據(jù)服務的核心是數(shù)據(jù)庫服務器，從這一角度來說，維護煤礦企業(yè)信息網(wǎng)絡安全的關鍵在于確保數(shù)據(jù)庫服務的安全。煤礦企業(yè)的數(shù)據(jù)較為分散，甚至無法確定一個真正意義上的數(shù)據(jù)中心，但為了最大限度的確保每臺計算機中所分布的數(shù)據(jù)的安全性，必須對有數(shù)據(jù)分布的計算機實施較為完善的訪問控制，也就是說，需要在網(wǎng)絡操作系統(tǒng)的配合下，對網(wǎng)絡操作系統(tǒng)的訪問控制策略進行科學配置，以便確保信息網(wǎng)絡服務的安全性。訪問控制方法盡管實施起來較為容易，同時其效果十分顯著，具有較強的普及性，但在實踐中，此問題比較容易被忽視，相應的系統(tǒng)安全防范措施并不完善。

（1）權限控制。實施權限控制的主要目的是為有效控制信息網(wǎng)絡中的非法操作現(xiàn)象。不管是在信息網(wǎng)絡設備當中，還是在網(wǎng)絡操作系統(tǒng)當中，用戶及用戶組都應該獲得相應的訪問授權，并且在其授權范圍內對網(wǎng)絡信息進行訪問。通過控制權限的方法，能夠對用戶及用戶組訪問目錄、子目錄、打印機及文件等共享資源進行必要的限制，除此之外，還可以控制用戶針對共享設備及文件、目錄等的具體操作。其中，目錄級的安全控制主要有權限的讀與寫、權限的創(chuàng)設及刪除、系統(tǒng)管理員權限、權限的修改、權限的存取及權限的查找等幾種。網(wǎng)絡系統(tǒng)管理員的主要職責就是明確用戶所享有的訪問權限，并依據(jù)訪問權限對用戶的訪問行為予以控制。通過對上述幾種訪問權限進行整合，一方面，有助于促進用戶工作效率的提高；另一方面，還可以對用戶訪問服務器資源的行為進行有效控制，這對于進一步提升網(wǎng)絡及服務器的安全性具有重要意義。其次，關于屬性安全控制，通常情況下，屬性是通過對以下幾方面的控制完成寫數(shù)據(jù)、目錄或文件的刪除、目錄及文件的查詢、文件的復制、文件的執(zhí)行、文件的共享及系統(tǒng)屬性等操作，對于較為重要的文件及目錄，可以借助網(wǎng)絡屬性進行保護，避免用戶越權讀取、修改或者是刪除文件及目錄等行為。

（2）登錄控制。這也是控制網(wǎng)絡訪問的一道重要關卡，登錄控制主要是對可以登錄服務器的用戶、用戶登錄的時間及具體的工作站入網(wǎng)等進行控制。通常情況下，可以將用戶入網(wǎng)登錄控制劃分為識別及驗證用戶名、識別并驗證用戶口令及對用戶賬號進行缺省限制檢查等3個步驟，對于用戶而言，要想成功進入網(wǎng)絡，訪問相關數(shù)據(jù)，必須順利通過上述3個環(huán)節(jié)。用戶名及口令在保密的必要性方面并沒有任何區(qū)別，如果不知曉用戶名，破解口令也將沒有任何意義。在實踐中應盡可能的采用破解難度較高的方法編排口令，要確保口令的長度達到相關標準要求，此外還要注意要盡量不要使所編排的口令有任何規(guī)律可循，同時也要注意對更新口令的期限設置強制性規(guī)定。

1.3服務器控制

服務器就是1臺計算機，只不過其所運行的服務器程序是特定的。服務器的網(wǎng)絡接口有2個，一個用來與和互聯(lián)網(wǎng)進行連接，另一個則主要是面向內部網(wǎng)絡，這樣便可以有效的實現(xiàn)對可能來自于互聯(lián)網(wǎng)的非法入侵者實施隔離，最大限度的確保局域網(wǎng)的安全性。

1.4VLAN和VPN安全

一般情況下，在網(wǎng)絡廣播風暴實施控制比較常用的方式就是VLAN分段，VLAN分段的初衷就是將非法用戶和敏感網(wǎng)絡資源有效隔離開來，以避免出現(xiàn)非法偵聽的問題，這對于確保信息網(wǎng)絡的安全性具有重要意義。VPN，即虛擬專用網(wǎng)技術通過對內網(wǎng)數(shù)據(jù)進行加密封裝，借助虛擬公網(wǎng)隧道進行傳輸，這樣可以有效避免出現(xiàn)竊取敏感數(shù)據(jù)的問題。上述2種方法對內網(wǎng)進行了很好的區(qū)分，不必設置防火墻同樣也可以提供信息網(wǎng)絡的安全保障。對于煤礦企業(yè)而言，部門設置較為復雜，必須確保各個部門相互之間可以順暢的開展交流和溝通，與此同時，還要對不同的部門之間的數(shù)據(jù)進行有效的隔離，以確保數(shù)據(jù)的安全性。

1.5防火墻控制

防火墻的主要作用是執(zhí)行網(wǎng)絡與網(wǎng)絡之間的訪問控制策略，可以實現(xiàn)對網(wǎng)絡相互之間活動的有效監(jiān)控，一方面，對于內部網(wǎng)絡而言，其可以對訪問行為進行必要的控制，另一方面，還可以避免形成網(wǎng)絡瓶頸，利用安全策略對進出系統(tǒng)的相關數(shù)據(jù)進行控制，對網(wǎng)絡重要資源提供必要的保護，因此，防火墻對于維護信息網(wǎng)絡的安全性發(fā)揮著不容忽視的重要作用。對于煤礦企業(yè)而言，在其企業(yè)信息網(wǎng)絡安全性方面，防火墻是必不可少的，必須利用防火墻在管理信息系統(tǒng)與生產監(jiān)控系統(tǒng)之間設置必要的隔離，此外，這種隔離對于不同的部門之間也是不可少的，煤礦企業(yè)應該將其企業(yè)信息網(wǎng)絡與互聯(lián)網(wǎng)接口進行統(tǒng)一，并設置防火墻，禁止未經(jīng)授權利用電話線聯(lián)網(wǎng)行為，將企業(yè)內網(wǎng)與外網(wǎng)有效隔離開來。

二、結語

隨著社會的發(fā)展，信息科技的進步，互聯(lián)網(wǎng)已經(jīng)廣泛滲透到各個領域中，煤礦企業(yè)信息網(wǎng)絡的功能也相應得到提升，但與此同時，信息網(wǎng)絡安全問題也日益嚴重，逐漸引起了廣泛的關注。對于煤礦企業(yè)而言，可以在當前所擁有的設備的基礎之上，通過安全設置，進一步提升計算機網(wǎng)絡配置的合理性，進而可以使企業(yè)的信息網(wǎng)絡得到安全保障。煤礦企業(yè)信息網(wǎng)絡安全所涉及到的范圍比較廣泛，并不僅僅是路由器和交換機，通過合理配置網(wǎng)絡服務器及采取相應的加密措施都可以達到促進計算機網(wǎng)絡安全性的目的。在實踐中，要不斷總結經(jīng)驗，對現(xiàn)有的網(wǎng)絡資源進行有效利用，以應用為著手點，促進信息網(wǎng)絡安全性的不斷提升。

作者：胡愛娜單位：黃河科技學院