企业信息安全形势分析及对策研究_综合_基础信息化_信息化文库

近期热点

·	企业网络安全的规划设计与实践
·	网络安全之我见
·	制造执行系统（MES）的应用与发展
·	基于PDM的工作流程管理
·	<连载>Protel二次开发从入门到精通
·	PDM选型决策支持系统的研究与实现

相关文章

·	共享信息资源保护智力资产
·	网络时代黑客攻击的主要方式及防范手段
·	安全产品是工具完善制度是根本
·	实现最高级别业务连续，容灾面面观
·	杀毒软件重“杀”还是重“防”
·	企业信息安全的新问题及对策

相关博客

·	三巨头携手加强企业网络保护
·	守好最后的防线企业文档加密系统综述
·	企业加密常用的加密算法介绍
·	一个标准的乙方对甲方信息化项目解决方案提纲
·	一次参加企业PDM和ERP立项咨询会的会议记录
·	中小企业应注重安全路由器哪些方面

相关新闻

·	微软发布十月份信息安全公告
·	杀毒软件发展方向　安全专家眼里的主动防御
·	e-works首届制造业信息管理与安全年会在京成功举行
·	首届制造业信息管理及安全年会即将在京举行
·	首届针对制造业的信息管理及安全年会即将在京举行
·	赛门铁克于沪召开Security Insights Live信息安全年会

相关热贴

·	网络信息安全[长]
·	中小企业如何进行网络信息安全建设
·	赛门铁克2007信息安全文字直播
·	信息安全产品分类原则
·	IPA：2006年日本国内信息安全受害事故调查
·	文章评论：“硬”“软”兼施打造中小制造企业信息安全

相关商城商品

当前位置：基础信息化 -> 综合

企业信息安全形势分析及对策研究

发表时间：2007-10-7 郭雪红王春生来源：万方数据

关键字：信息安全企业信息化

现代信息网络技术为国内企业发展带来了勃勃生机，在信息化程度不断加深的同时，企业面临的信息安全形势越来越严峻，论文分析了当前企业信息化进程中面临的信息安全形势及其成因，并指出了解决问题的对策。

1 企业信息化进程中面临的信息安全形势

    在2006 年中国计算机网络安全应急年会(CNCERT/CC 2006)上，国家计算机网络应急技术处理协调中心(简称CNCERT/CC)发布了“2005年全国网络安全状况调查报告”，此次调查是在信息产业部互联网应急处理协调办公室的指导下，针对全国数千个企业的网络安全状况进行的。该报告显示，CNCERT/CC在2005年共收到国内外通过应急热线、网站、电子邮件等报告的网络安全事件12万件，同2004年全年收到6万多件报告相比，网络安全事件报告数量大大增加。
    此外，根据“2005年中国企业信息安全调查”(该调查是《信息周刊》英文版与管理咨询机构埃森哲咨询公司(Accenture)合作进行的“2005年全球信息安全调查”的一部分。这个调查通过网络在线进行，对700名我国企业的商业科技和安全专业人员进行了调查)调查结果显示:对于信息安全问题，我国的受访者们都表示出担心，接近半数(46%)的人认为，他们的公司要比上一年更容易受到病毒代码的攻击，遭受更多的安全攻击。在这些受访者当中，系统复杂程度(55%)、用户意识(53%)和预算限制(30%)是他们面临的最大挑战。有51% 的我国企业2005年的信息安全投人等于或低于10万美元，只有18% 的受访者表示，公司采用了防间谍软件，其他用来保护信息系统的工具包括基本用户密码(82%)、网络防火墙(67%),VPN (44%)和安全套接层(SSL)协议(46%)。
    从这些材料可以看出，我国企业面临的信息安全形势不容乐观，用“严峻“一词来刻画应该说毫不过分，一方面企业面临信息安全威胁在迅速增加，而另一方面，信息安全投人严重不足，用户安全意识和安全防护技术水平的提升还有很大空间，虽然信息安全问题是全球性的难题，但和发达国家的企业相比，我国企业信息安全问题的解决手段和能力应该说还相当原始。

2 企业信息安全形势成因分析

    究竟是什么原因造成我国企业会在信息化进程中面临如此严峻的信息安全形势，根据笔者的观点，除了外在客观上的信息安全攻击增加和攻击技术不断升级等原因外，仅从企业本身的角度，间题的成因大致可以分为以下几点:
    1) 从认识上，大多数国内企业对信息安全重视仍然不够，对信息安全问题严重性认识存在误区。
    2) 从管理上，大多数国内企业大多尚未建立起明确的企业信息安全目标和策略，缺乏切实可行的信息安全管理体制，缺乏必要的人员信息安全培训体制，对信息安全制度往往不能严格执行。
    3) 从资金、技术和人员投入上，大多数国内企业在信息安全上资金投人严重不足，且存在误区，技术相对落后或不够系统，企业信息安全人才匾乏。

3 解决企业信息安全问题的对策

针对以上原因，要想迅速提升让企业的信息安全防护能力，以应对严峻的安全威胁和挑战，在笔者看来，主要可以从以下几个方面努力:

3.1 端正对信息安全的认识
如何看待企业的信息安全，实质上就是如何看待企业的信息资产的问题，信息化进程中的企业的管理者们，应该认识到，在信息化社会中，企业的信息资产对于一个企业生存和发展有着和传统有形资产相同甚至更为重要的地位，而企业的信息安全防护，虽然不能直接参与企业价值的创造，但却间接地参与了企业的价值创造，间接地影响着企业的管理水平、管理能力，影响了企业的竞争能力，在某些特殊条件下，甚至会影响企业的生存和发展，因此，企业的管理者必须充分认识到信息安全的重要性和严峻性，从企业生存发展的战略高度来看待信息安全问题，国外有关研究机构和企业提出了“信息安全治理”的概念，即将信息安全策略提升到和企业发展策略相同地位，作为企业决策层的一项重要任务来实施，这一观点在国外已经得到广泛实践，十分值得国内企业借鉴。

3.2 建立完善信息安全管理体制
在信息安全学界，人们经常会提到，对于信息安全防护，应该是“三分技术，七分管理”，这充分说明了管理在企业信息安全防范中的重要性。管理是信息安全的核心，企业必须认识到管理的重要性，明确自己的信息安全目标，建立完善、可操作性强的安全管理制度，并严格执行，这也是企业真正实现信息安全的重要环节，安全管理制度主要应该包括:用户权限管理制度，口令保密制度，密码及密钥管理制度，网络系统安全管理制度，系统信息备份与恢复制度，病毒防范制度等。同时应该加强人员培训与安全教育，提高职工安全意识，企业应经常对全体员工和各级网络管理人员进行安全培训，使他们明确各自的安全权限和责任，自觉遵守和执行国家有关安全保密的各种政策、法规，严格执行本单位网络信息安全的有关管理制度，养成良好的网络行为规范。此外，还应该在企业信息安全管理中引人信息安全风险评估制度，定期对企业信息安全情况进行全面风险评估，定义关键资产，找出薄弱点，并调整安全防护策略，进一步降低信息安全风险。

3.3 加大人员、资金和技术投入
安全技术是企业信息安全的基础，高素质的安全人员是实现企业信息安全的保证，对于企业的信息安全问题，必须加大人员、资金和技术投人力度，科学配置资源，达到投人和收益的最佳结合。围绕企业的信息安全目标和策略，系统、科学地进行软硬件系统的采购和建设，要重点加强信息安全人员专业素质的培养和提高，在信息安全防护体系的建设和实践中，不仅要利用传统的被动防护技术，如防火墙技术、数据加密技术等，同时也要引人主动防护技术，如人侵检测技术、漏洞扫描技术等，此外根据实际的业务，还可以引人PKI技术、VPN技术等，再结合专业素质过硬的人员以及科学的信息安全管理，从而达到最优的信息安全防护能力。

4 结语

在企业的信息化进程中，信息安全是一个亟待解决的重要任务。信息化企业必须深刻认识到信息安全的重要性和严峻性，要从认识上、技术上和管理上多方面着手，抓好信息安全工作，尽可能将信息安全威胁程度减到最小，从而为企业的健康、快速发展打下坚实基础。

本文为授权转载文章，任何人未经原授权方同意，不得复制、转载、摘编等任何方式进行使用，e-works不承担由此而产生的任何法律责任! 如有异议请及时告之，以便进行及时处理。联系方式：editor@e-works.net.cn tel：027-87592219/20/21。


	责任编辑：冷凝