引言：易發(fā)表網(wǎng)憑借豐富的文秘實踐，為您精心挑選了九篇小企業(yè)信息安全范例。如需獲取更多原創(chuàng)內(nèi)容，可隨時聯(lián)系我們的客服老師。

第1篇

關(guān)鍵詞：信息化信息安全網(wǎng)絡(luò)安全

根據(jù)國家統(tǒng)計局年初公布的數(shù)字顯示，國內(nèi)企業(yè)總體的99％都是中小企業(yè)，他們貢獻了超過一半的國內(nèi)GDP。但截止到目前，這些中小企業(yè)的信息化水平仍然比較落后，其中針對信息安全的投人，更是鳳毛麟角。

對于國內(nèi)占大多數(shù)的中小企業(yè)來說，如何在充分利用信息化優(yōu)勢的同時，更好地保護自身的信息資產(chǎn)，已經(jīng)成為一個嚴峻的挑戰(zhàn)。特別是近兩年來，網(wǎng)絡(luò)上的病毒、攻擊事件頻發(fā)，信息安全問題正在日益成為中小企業(yè)信息化進程中的難題。

一、什么是信息安全

信息是一種資產(chǎn)，與其它重要的資產(chǎn)一樣，它對一個組織而言具有一定的價值，因此需要適當?shù)募右员Ｗo，而信息又可以以多種形式存在。如可以打印或者寫在紙上，以數(shù)字化的方式存儲，通過郵局郵寄或電子手段發(fā)送，表現(xiàn)在膠片上或以談話的方式說出來。總之，信息無論以什么形式存在，以什么方式存儲、傳輸或共享，都應(yīng)得到恰當?shù)谋Ｗo。

所謂信息安全是指信息具有如下特征：

安全性：確保信息僅可讓授權(quán)獲取的人士訪問；完整性：保護信息和處理方法的準確和完善；可用性：確保授權(quán)人需要時可以獲取信息和相應(yīng)的資產(chǎn)。

信息安全是指使信息避免一系列威脅，保障商務(wù)的連續(xù)性，最大限度地減少業(yè)務(wù)的損失，從而最大限度地獲取投資和商務(wù)的回報。它主要涉及到信息傳輸?shù)陌踩⑿畔⒋鎯Φ陌踩⒁约熬W(wǎng)絡(luò)傳輸信息內(nèi)容的審計三個方面，它可以通過實施一整套恰當?shù)拇胧﹣慝@得。但目前我國的信息安全令人堪憂，隨著政府上網(wǎng)和企業(yè)信息化的推進，越來越多的企業(yè)的日常業(yè)務(wù)已經(jīng)無法脫離網(wǎng)絡(luò)和信息技術(shù)的支持，那么我國中小企業(yè)的信息安全現(xiàn)狀如何呢?

二、我國企業(yè)信息安全的現(xiàn)狀

（一）企業(yè)的重視程度

隨著信息化的加快，企業(yè)信息安全越來越受到重視，而我國的中小企業(yè)信息安全現(xiàn)階段正處于初級階段。在推進企業(yè)信息化的進程中，有些中小企業(yè)對于信息化概念的認識遠遠不夠，它們認為購置幾臺電腦放到公司，日常用來打打字，將單個機器連結(jié)到網(wǎng)上企業(yè)就信息化了，遠遠沒有認識到信息技術(shù)給企業(yè)所能帶來的巨大的變化，對于網(wǎng)絡(luò)安全更是沒有意識。

據(jù)調(diào)查，目前國內(nèi)90％的網(wǎng)站存在安全問題，其主要原因是企業(yè)管理者缺少或沒有安全意識。某些企業(yè)網(wǎng)絡(luò)管理員甚至認為其公司規(guī)模較小，不會成為黑客的攻擊目標。如此態(tài)度，網(wǎng)絡(luò)安全更是無從談起。

（二）資金、技術(shù)、人員方面情況

已建立了企業(yè)內(nèi)部信息化平臺的企業(yè)，由于資金、技術(shù)等方面的原因，還沒有把重點放到網(wǎng)絡(luò)安全管理上，尤其是中小企業(yè)的安全問題一直隱患重重。

據(jù)了解，許多中小企業(yè)沒有專門的網(wǎng)絡(luò)管理員，一般采用兼職管理方式，這使中小企業(yè)的網(wǎng)絡(luò)管理在安全性方面存在嚴重的漏洞，與大型企業(yè)相比，它們更容易受到網(wǎng)絡(luò)病毒的侵害，損失也比較嚴重。

根據(jù)IDC對年我國政府、企業(yè)用戶的信息安全狀況分析，約有34．8％的企業(yè)因內(nèi)部雇員的行為(包括對內(nèi)部資源的不合理使用和對內(nèi)部數(shù)據(jù)缺乏有效保護)而造成企業(yè)出現(xiàn)安全問題。

（三）網(wǎng)絡(luò)維護、運行、升級方面的情況

在網(wǎng)絡(luò)的維護、運行、升級等事務(wù)性工作方面，由于工作繁重而且成本較高，一些善于精打細算的中小企業(yè)在防范黑客及病毒方面舍不得投入，據(jù)相關(guān)調(diào)查數(shù)據(jù)資料統(tǒng)計，國內(nèi)七成以上的中小企業(yè)，一是缺乏基本的企業(yè)防毒知識，購買一些單機版防毒產(chǎn)品來防護整個企業(yè)網(wǎng)絡(luò)的安全。二是采購了并不適合自身網(wǎng)絡(luò)系統(tǒng)的企業(yè)防毒產(chǎn)品，因此留下許多安全隱患。三是技術(shù)力量薄弱，雖然部署了企業(yè)防毒產(chǎn)品，但是這些產(chǎn)品操作難度大、使用復(fù)雜，最終導(dǎo)致很難全面發(fā)揮效用，甚至成了擺設(shè)，這樣一來企業(yè)內(nèi)部網(wǎng)絡(luò)就根本沒有什么安全而言。

三、如何保證我國中小企業(yè)的信息安全

（一）從企業(yè)的自身情況考慮

要解決中小企業(yè)網(wǎng)絡(luò)信息安全問題，不能僅依靠企業(yè)的安全設(shè)施和網(wǎng)絡(luò)安全產(chǎn)品，而應(yīng)該考慮如何提高企業(yè)自身的網(wǎng)絡(luò)安全意識，將信息安全問題提升到重視的高度，要重視“人”的因素。具體表現(xiàn)在以下兩個方面：

1．提高安全認識

定期對企業(yè)員工進行網(wǎng)絡(luò)安全教育培訓(xùn)深化企業(yè)的全員信息安全意識，企業(yè)管理層要制定完整的信息安全策略并貫徹執(zhí)行，對安全問題要做到預(yù)先考慮和防備。

2．要求中小企業(yè)在上網(wǎng)的過程中要做到“一做三不要”

（1）將存有重要數(shù)據(jù)的電腦堅決同網(wǎng)絡(luò)隔離，同時設(shè)置開機密碼，并將軟驅(qū)、硬盤加密鎖定，進行三級保護。

（2）不要在自己的系統(tǒng)之內(nèi)使用任何具有記憶命令的程序，因為這些程序不但能記錄用戶的擊鍵動作甚至能以快照的形式記錄到屏幕上發(fā)生的一切。

（3）不在網(wǎng)上的任何場合下隨意透露自己企業(yè)的任何安全信息。

（4）不要啟動系統(tǒng)資源共享功能，最后要盡量減少企業(yè)資源暴露在外部網(wǎng)上的機會和次數(shù)，減少黑客進攻的機會。

（二）從網(wǎng)絡(luò)安全角度考慮

1．從網(wǎng)絡(luò)安全服務(wù)商的角度來說，服務(wù)商要重視中小企業(yè)對網(wǎng)絡(luò)安全解決方案的需要，充分考慮中小企業(yè)的現(xiàn)實狀況，仔細調(diào)查和分析中小企業(yè)的安全因素，開發(fā)出適合中小企業(yè)實際情況的網(wǎng)絡(luò)安全綜合解決方案。此外，還應(yīng)該注意投入大量精力在安全策略的施行及安全教育的開展方面，這樣才能為中小企業(yè)信息安全工作的順利開展提供堅實的保證。

2．要用防火墻將企業(yè)的局域網(wǎng)(Intranet)與互聯(lián)網(wǎng)之間進行隔離。由于網(wǎng)絡(luò)攻擊不斷升級，對應(yīng)的防火墻軟件也應(yīng)該及時跟著升級，這樣就要求我們企業(yè)的網(wǎng)管人員要經(jīng)常到有關(guān)網(wǎng)站上下載最新的補丁程序，以便進行網(wǎng)絡(luò)維護，同時經(jīng)常掃描整個內(nèi)部網(wǎng)絡(luò)，以發(fā)現(xiàn)任何安全隱患并及時更改，才能做到有備無患。

3．企業(yè)用戶最好自己學(xué)會如何調(diào)試和管理自己的局域網(wǎng)系統(tǒng)，不要經(jīng)常請別人來協(xié)助管理。中小企業(yè)要培養(yǎng)自己解決安全問題的能力，提高自己的信息安全技術(shù)。如果缺乏這方面的人才就應(yīng)該去引進或者培養(yǎng)相關(guān)人才。

4．內(nèi)部網(wǎng)絡(luò)系統(tǒng)的密碼要定期修改。

由于許多黑客利用窮舉法來破解密碼，像John這一類的密碼破解程序可從因特網(wǎng)上免費下載，只要加上一個足夠大的字典在足夠快的機器上沒日沒夜地運行，就可以獲得需要的賬號及密碼，因此，經(jīng)常修改密碼對付這種盜用就顯得十分奏效。當然，設(shè)定密碼也有很深的學(xué)問，只有隨意性強、有足夠的長度并及時更新的密碼才能算是比較安全的密碼。

5．要經(jīng)常使用殺毒軟件來維護局域網(wǎng)系統(tǒng)不受病毒攻擊。現(xiàn)在國內(nèi)的殺毒軟件都推出了清除某些特洛伊木馬的功能，可以不定期地在脫機的情況下進行檢查和清除。另外，有的殺毒軟件還提供網(wǎng)絡(luò)實時監(jiān)控功能，這一功能可以在黑客從遠端執(zhí)行用戶機器上的文件時，提供報警或讓執(zhí)行失敗，使黑客向用戶機器上載可執(zhí)行文件后無法正確執(zhí)行，從而避免了進一步的損失。

6．同其它企業(yè)進行聯(lián)合，共同抵制黑客的入侵，一旦被入侵要及時向有關(guān)部門匯報，并共同查找入侵來源，鎖定黑客IP地址。將網(wǎng)絡(luò)的TCP起時限制在15分鐘以內(nèi)，減少黑客入侵的機會。并擴大連接表，增加黑客填寫整個連接表的難度。

四、結(jié)束語

第2篇

（一）信息化安全認知匱乏

在我國，大多數(shù)中小企業(yè)信息建設(shè)管理中存在著明顯的認知不足，全球聯(lián)系的增強和市場的激烈競爭促使中小企業(yè)認識到了信息化建設(shè)的重要性，但是缺少足夠的信息安全管理認知，日常安全管理工作過于疏忽，沒有形成科學(xué)有效地安全管理體制，作為重要保護對象。中小企業(yè)內(nèi)部不同的信息需要不同的方式進行安全管理，由于企業(yè)對于信息安全管理的重視程度不夠，針對安全管理投入力度難以形成有效的安全體系，無法保證信息安全。

（二）信息化安全管理制度不夠完善

由于我國信息化建設(shè)起步較晚，我國中小企業(yè)相較于西方發(fā)達國家信息建設(shè)程度還有所欠缺。企業(yè)內(nèi)部對于信息安全管理缺乏科學(xué)的規(guī)章制度，難以做到信息合理有效的安全防護。安全管理制度的不完善導(dǎo)致了各項制度之間出現(xiàn)混淆，安全職責定位不夠明確，安全問題出現(xiàn)無從追求，這種現(xiàn)象在中小企業(yè)信息泄露中時有發(fā)生。

（三）缺乏相關(guān)技術(shù)人才

大部分中小企業(yè)由于對信息安全管理重視程度不夠，投入力度較輕，導(dǎo)致安全管理出現(xiàn)盲區(qū)。信息安全建設(shè)過程中對于相關(guān)人才的培養(yǎng)力度不夠，企業(yè)內(nèi)部缺少專門的技術(shù)人才對安全管理盲區(qū)予以修復(fù)，進而導(dǎo)致信息泄露。

二、中小企業(yè)信息化安全管理完善措施

（一）強化信息安全意識

企業(yè)信息安全是企業(yè)健康平穩(wěn)發(fā)展的基礎(chǔ)，由此中小企業(yè)內(nèi)部每個員工都應(yīng)該予以承擔相應(yīng)的義務(wù)和責任。強化員工對于信息安全的意識，相比于技術(shù)安全更值得重視。所以，企業(yè)內(nèi)部必須強化員工信息安全意識，營造內(nèi)部良好的安全意識氛圍，提升員工信息安全防護能力。

（二）完善安全管理制度

有效地安全措施離不開科學(xué)的安全管理制度，企業(yè)需要強化制度建設(shè)力度，做到安全管理有章可循，對于企業(yè)內(nèi)部用戶相關(guān)信息權(quán)限予以限制，明確，減少個人操作可能引發(fā)的信息泄露風險。在企業(yè)不斷發(fā)展的過程中，制度應(yīng)隨著企業(yè)發(fā)展而創(chuàng)新升級，以滿足企業(yè)發(fā)展的需要。

（三）重點培養(yǎng)信息安全管理人才

任何一個企業(yè)發(fā)展的根本動力都是人才的支持，優(yōu)秀的人才能夠促進企業(yè)內(nèi)部穩(wěn)定，工作效率提升，企業(yè)發(fā)展收益增強。在企業(yè)發(fā)展過程中，安全管理盲區(qū)需要相應(yīng)的技術(shù)人員進行定期檢查，維護，針對存在的安全隱患及時有效地解決，規(guī)避風險的發(fā)生。

三、結(jié)論

第3篇

 

關(guān)鍵詞：信息化　信息安全　網(wǎng)絡(luò)安全

根據(jù)國家統(tǒng)計局年初公布的數(shù)字顯示，國內(nèi)企業(yè)總體的99％都是中小企業(yè)，他們貢獻了超過一半的國內(nèi)GDP。但截止到目前，這些中小企業(yè)的信息化水平仍然比較落后，其中針對信息安全的投人，更是鳳毛麟角。

對于國內(nèi)占大多數(shù)的中小企業(yè)來說，如何在充分利用信息化優(yōu)勢的同時，更好地保護自身的信息資產(chǎn)，已經(jīng)成為一個嚴峻的挑戰(zhàn)。特別是近兩年來，網(wǎng)絡(luò)上的病毒、攻擊事件頻發(fā)，信息安全問題正在日益成為中小企業(yè)信息化進程中的難題。

一、什么是信息安全

信息是一種資產(chǎn)，與其它重要的資產(chǎn)一樣，它對一個組織而言具有一定的價值，因此需要適當?shù)募右员Ｗo，而信息又可以以多種形式存在。如可以打印或者寫在紙上，以數(shù)字化的方式存儲，通過郵局郵寄或電子手段發(fā)送，表現(xiàn)在膠片上或以談話的方式說出來。總之，信息無論以什么形式存在，以什么方式存儲、傳輸或共享，都應(yīng)得到恰當?shù)谋Ｗo。

所謂信息安全是指信息具有如下特征：

安全性：確保信息僅可讓授權(quán)獲取的人士訪問；完整性：保護信息和處理方法的準確和完善；可用性：確保授權(quán)人需要時可以獲取信息和相應(yīng)的資產(chǎn)。

信息安全是指使信息避免一系列威脅，保障商務(wù)的連續(xù)性，最大限度地減少業(yè)務(wù)的損失，從而最大限度地獲取投資和商務(wù)的回報。它主要涉及到信息傳輸?shù)陌踩⑿畔⒋鎯Φ陌踩⒁约熬W(wǎng)絡(luò)傳輸信息內(nèi)容的審計三個方面，它可以通過實施一整套恰當?shù)拇胧﹣慝@得。但目前我國的信息安全令人堪憂，隨著政府上網(wǎng)和企業(yè)信息化的推進，越來越多的企業(yè)的日常業(yè)務(wù)已經(jīng)無法脫離網(wǎng)絡(luò)和信息技術(shù)的支持，那么我國中小企業(yè)的信息安全現(xiàn)狀如何呢?

二、我國企業(yè)信息安全的現(xiàn)狀

(一)企業(yè)的重視程度

隨著信息化的加快，企業(yè)信息安全越來越受到重視，而我國的中小企業(yè)信息安全現(xiàn)階段正處于初級階段。在推進企業(yè)信息化的進程中，有些中小企業(yè)對于信息化概念的認識遠遠不夠，它們認為購置幾臺電腦放到公司，日常用來打打字，將單個機器連結(jié)到網(wǎng)上企業(yè)就信息化了，遠遠沒有認識到信息技術(shù)給企業(yè)所能帶來的巨大的變化，對于網(wǎng)絡(luò)安全更是沒有意識。

據(jù)調(diào)查，目前國內(nèi)90％的網(wǎng)站存在安全問題，其主要原因是企業(yè)管理者缺少或沒有安全意識。某些企業(yè)網(wǎng)絡(luò)管理員甚至認為其公司規(guī)模較小，不會成為黑客的攻擊目標。如此態(tài)度，網(wǎng)絡(luò)安全更是無從談起。

(二)資金、技術(shù)、人員方面情況

已建立了企業(yè)內(nèi)部信息化平臺的企業(yè)，由于資金、技術(shù)等方面的原因，還沒有把重點放到網(wǎng)絡(luò)安全管理上，尤其是中小企業(yè)的安全問題一直隱患重重。

據(jù)了解，許多中小企業(yè)沒有專門的網(wǎng)絡(luò)管理員，一般采用兼職管理方式，這使中小企業(yè)的網(wǎng)絡(luò)管理在安全性方面存在嚴重的漏洞，與大型企業(yè)相比，它們更容易受到網(wǎng)絡(luò)病毒的侵害，損失也比較嚴重。

根據(jù)IDC對2005年我國政府、企業(yè)用戶的信息安全狀況分析，約有34．8％的企業(yè)因內(nèi)部雇員的行為(包括對內(nèi)部資源的不合理使用和對內(nèi)部數(shù)據(jù)缺乏有效保護)而造成企業(yè)出現(xiàn)安全問題。

(三)網(wǎng)絡(luò)維護、運行、升級方面的情況

在網(wǎng)絡(luò)的維護、運行、升級等事務(wù)性工作方面，由于工作繁重而且成本較高，一些善于精打細算的中小企業(yè)在防范黑客及病毒方面舍不得投入，據(jù)相關(guān)調(diào)查數(shù)據(jù)資料統(tǒng)計，國內(nèi)七成以上的中小企業(yè)，一是缺乏基本的企業(yè)防毒知識，購買一些單機版防毒產(chǎn)品來防護整個企業(yè)網(wǎng)絡(luò)的安全。二是采購了并不適合自身網(wǎng)絡(luò)系統(tǒng)的企業(yè)防毒產(chǎn)品，因此留下許多安全隱患。三是技術(shù)力量薄弱，雖然部署了企業(yè)防毒產(chǎn)品，但是這些產(chǎn)品操作難度大、使用復(fù)雜，最終導(dǎo)致很難全面發(fā)揮效用，甚至成了擺設(shè)，這樣一來企業(yè)內(nèi)部網(wǎng)絡(luò)就根本沒有什么安全而言。

三、如何保證我國中小企業(yè)的信息安全

(一)從企業(yè)的自身情況考慮

要解決中小企業(yè)網(wǎng)絡(luò)信息安全問題，不能僅依靠企業(yè)的安全設(shè)施和網(wǎng)絡(luò)安全產(chǎn)品，而應(yīng)該考慮如何提高企業(yè)自身的網(wǎng)絡(luò)安全意識，將信息安全問題提升到重視的高度，要重視“人”的因素。具體表現(xiàn)在以下兩個方面：

1．提高安全認識

定期對企業(yè)員工進行網(wǎng)絡(luò)安全教育培訓(xùn)深化企業(yè)的全員信息安全意識，企業(yè)管理層要制定完整的信息安全策略并貫徹執(zhí)行，對安全問題要做到預(yù)先考慮和防備。

2．要求中小企業(yè)在上網(wǎng)的過程中要做到“一做三不要”

(1)將存有重要數(shù)據(jù)的電腦堅決同網(wǎng)絡(luò)隔離，同時設(shè)置開機密碼，并將軟驅(qū)、硬盤加密鎖定，進行三級保護。

(2)不要在自己的系統(tǒng)之內(nèi)使用任何具有記憶命令的程序，因為這些程序不但能記錄用戶的擊鍵動作甚至能以快照的形式記錄到屏幕上發(fā)生的一切。

(3)不在網(wǎng)上的任何場合下隨意透露自己企業(yè)的任何安全信息。

(4)不要啟動系統(tǒng)資源共享功能，最后要盡量減少企業(yè)資源暴露在外部網(wǎng)上的機會和次數(shù)，減少黑客進攻的機會。

(二)從網(wǎng)絡(luò)安全角度考慮

1．從網(wǎng)絡(luò)安全服務(wù)商的角度來說，服務(wù)商要重視中小企業(yè)對網(wǎng)絡(luò)安全解決方案的需要，充分考慮中小企業(yè)的現(xiàn)實狀況，仔細調(diào)查和分析中小企業(yè)的安全因素，開發(fā)出適合中小企業(yè)實際情況的網(wǎng)絡(luò)安全綜合解決方案。此外，還應(yīng)該注意投入大量精力在安全策略的施行及安全教育的開展方面，這樣才能為中小企業(yè)信息安全工作的順利開展提供堅實的保證。

2．要用防火墻將企業(yè)的局域網(wǎng)(Intranet)與互聯(lián)網(wǎng)之間進行隔離。由于網(wǎng)絡(luò)攻擊不斷升級，對應(yīng)的防火墻軟件也應(yīng)該及時跟著升級，這樣就要求我們企業(yè)的網(wǎng)管人員要經(jīng)常到有關(guān)網(wǎng)站上下載最新的補丁程序，以便進行網(wǎng)絡(luò)維護，同時經(jīng)常掃描整個內(nèi)部網(wǎng)絡(luò)，以發(fā)現(xiàn)任何安全隱患并及時更改，才能做到有備無患。

3．企業(yè)用戶最好自己學(xué)會如何調(diào)試和管理自己的局域網(wǎng)系統(tǒng)，不要經(jīng)常請別人來協(xié)助管理。中小企業(yè)要培養(yǎng)自己解決安全問題的能力，提高自己的信息安全技術(shù)。如果缺乏這方面的人才就應(yīng)該去引進或者培養(yǎng)相關(guān)人才。

4．內(nèi)部網(wǎng)絡(luò)系統(tǒng)的密碼要定期修改。

第4篇

    在企業(yè)的管理信息系統(tǒng)中有眾多的企業(yè)文件在流轉(zhuǎn),其中肯定有重要性文件,有的甚至涉及到企業(yè)的發(fā)展前途,如果這些信息在通用過網(wǎng)絡(luò)傳送時被競爭對手或不法分子竊聽、泄密、篡改或偽造,將會嚴重威脅企業(yè)的發(fā)展,所以,中小企業(yè)電子信息安全技術(shù)的研究具有重要意義。

    一、中小企業(yè)的信息化建設(shè)意義

    在這個網(wǎng)絡(luò)信息時代,企業(yè)的信息化進程不斷發(fā)展,信息成了企業(yè)成敗的關(guān)鍵,也是管理水平提高的重要途徑。如今企業(yè)的商務(wù)活動,基本上都采用電子商務(wù)的形式進行,企業(yè)的生產(chǎn)運作、運輸和銷售各個方面都運用到了信息化技術(shù)。如通過網(wǎng)絡(luò)收集一些關(guān)于原材料的質(zhì)量,價格,出產(chǎn)地等信息來建立一個原材料信息系統(tǒng),這個信息系統(tǒng)對原材料的采購有很大的作用。通過對數(shù)據(jù)的分析,可以得到跟多的采購建議和對策,實現(xiàn)企業(yè)電子信息化水準。有關(guān)調(diào)查顯示,百分之八十二的中小企業(yè)對網(wǎng)站的應(yīng)還處于宣傳企業(yè)形象,產(chǎn)品和服務(wù)信息,收集客戶資料這一階段,而電子商務(wù)這樣關(guān)系到交易的應(yīng)用還不到四分之一,這說明企業(yè)還未充分開發(fā)和利用商業(yè)渠道信息。中小企業(yè)信息化時代已經(jīng)到來,企業(yè)應(yīng)該加快信息化的建設(shè)。

    二、電子信息安全技術(shù)闡述

    1、電子信息中的加密技術(shù)

    加密技術(shù)能夠使數(shù)據(jù)的傳送更為安全和完整,加密技術(shù)分為對稱和非對稱加密兩種。其中對稱加密通常通過序列密碼或者分組機密來實現(xiàn),包括明文、密鑰、加密算法以及解密算法等五個基本組成成分。非對稱加密與對稱加密有所不同,非對稱加密需要公開密鑰和私有密鑰兩個密鑰,公開密鑰和私有密鑰必須配對使用,用公開密鑰進行的加密,只有其對應(yīng)的私有密匙才能解密。用私有密鑰進行的加密,也只有用其相應(yīng)的公開密鑰才能解密。

    加密技術(shù)對傳送的電子信息能夠起到保密的作用。在發(fā)送電子信息時,發(fā)送人用加密密鑰或算法對所發(fā)的信息加密后將其發(fā)出,如果在傳輸過程中有人竊取信息,他只能得到密文,密文是無法理解的。接受著可以利用解密密鑰將密文解密,恢復(fù)成明文。

    2、防火墻技術(shù)

    隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,一些郵件炸彈,病毒木馬和網(wǎng)上黑客等對網(wǎng)絡(luò)的安全也造成了很大的威脅。企業(yè)的信息化使其網(wǎng)絡(luò)也遭到同樣的威脅,企業(yè)電子信息的安全也難以得到保證。針對網(wǎng)絡(luò)不安全這種狀況,最初采取的一種保護措施就是防火墻。在我們的個人電腦中防火墻也起到了很大的作用,它可以阻止非黑客的入侵,電腦信息的篡改等。

    3、認證技術(shù)

    消息認證和身份認證是認證技術(shù)的兩種形式,消息認證主要用于確保信息的完整性和抗否認性,用戶通過消息認證來確認信息的真假和是否被第三方修改或偽造。身份認證使用與鑒別用戶的身份的,包括識別和驗證兩個步驟。明確和區(qū)分訪問者身份是識別,確認訪問者身份叫驗證。用戶在訪問一些非公開的資源時必須通過身份認證。比如訪問高校的查分系統(tǒng)時,必須要經(jīng)過學(xué)號和密碼的驗證才能訪問。高校圖書館的一些資源要校園網(wǎng)才能進行訪問,非校園網(wǎng)的不能進入,除非付費申請一個合格的訪問身份。

    三、中小企業(yè)中電子信息的主要安全要素

    1、信息的機密性

    在今天這個網(wǎng)絡(luò)時代,信息的機密性工作似乎變得不那么容易了,但信息直接代表著企業(yè)的商業(yè)機密,如何保護企業(yè)信息不被竊取,篡改,濫用以及破壞,如何利用互聯(lián)網(wǎng)進行信息傳遞又能確保信息安全性已成為各中小企業(yè)必須解決的重要問題。

    2、信息的有效性

    隨著電子信息技術(shù)的發(fā)展,各中小企業(yè)都利用電子形式進行信息傳遞,信息的有效性直接關(guān)系的企業(yè)的經(jīng)濟利益,也是個企業(yè)貿(mào)易順利進行的前提條件。所以要排除各種網(wǎng)絡(luò)故障、硬件故障,對這些網(wǎng)絡(luò)故障帶來的潛在威脅加以控制和預(yù)防,從而確保傳遞信息的有效性。

    3、信息的完整性

    企業(yè)交易各方的經(jīng)營策略嚴重受到交易方的信息的完整性影響,所以保持交易各方的信息的完整性是非常重要對交易各方都是非常重要的。在對信息的處理過程中要預(yù)防對信息的隨意生成、修改,在傳送過程中要防止信息的丟失,保持信息的完整性是企業(yè)之間進行交易的基礎(chǔ)。

    四、解決中小企業(yè)中電子信息安全問題的策略

    1、構(gòu)建中小企業(yè)電子信息安全管理體制

    解決信息安全問題除了使用安全技術(shù)以外,還應(yīng)該建立一套完善的電子信息安全管理制度,以確保信息安全管理的順利進行。在一般中小企業(yè)中,最初建立的相關(guān)信息管理制度在很大程度上制約著一個信息系統(tǒng)的安全。如果安全管理制度出了問題,那么圍繞著這一制度來選擇和使用安全管理技術(shù)及手段將無法正常進行,信息的安全性就得不到保證。完善,嚴格的電子信息安全管理制度對信息系統(tǒng)的安全影響很大。在企業(yè)信息系統(tǒng)中,如果沒有嚴格完善的信息安全管理制度,電子信息安全技術(shù)和相關(guān)的安全工具是不可能發(fā)揮應(yīng)有的作用的。

    2、利用企業(yè)的網(wǎng)絡(luò)條件來提供信息安全服務(wù)

    很多企業(yè)的多個二級單位都在系統(tǒng)內(nèi)通過廣域網(wǎng)被聯(lián)通, 局域網(wǎng)在各單位都全部建成,企業(yè)應(yīng)該利用這種良好的網(wǎng)絡(luò)條件來為企業(yè)提供良好的信息安全服務(wù)。通過企業(yè)這一網(wǎng)絡(luò)平臺技術(shù)標準,安全公告和安全法規(guī),提供信息安全軟件下載,安全設(shè)備選型,提供在線信息安全教育和培訓(xùn),同時為企業(yè)員工提供一個交流經(jīng)驗的場所。

    3、定期對安全防護軟件系統(tǒng)進行評估、改進

    隨著企業(yè)的發(fā)展,企業(yè)的信息化應(yīng)用和信息技術(shù)也不斷發(fā)展,人們對信息安全問題的認識是隨著技術(shù)的發(fā)展而不斷提高的,在電子信息安全問題不斷被發(fā)現(xiàn)的同時,解決信息安全問題的安全防護軟件系統(tǒng)也應(yīng)該不斷的改進,定期對系統(tǒng)進行評估。

    總之,各中小企業(yè)電子星系安全技術(shù)包含著技術(shù)和管理,以及制度等因素,隨著信息技術(shù)的不斷發(fā)展,不僅中小企業(yè)辦公室逐漸趨向辦公自動化,而且還確保了企業(yè)電子信息安全。

    參考文獻:

    [1]溫正衛(wèi);信息安全技術(shù)在電子政務(wù)系統(tǒng)中的應(yīng)用[J];軟件導(dǎo)刊,2010

    [2]閆兵;企業(yè)信息安全概述及防范[J];科學(xué)咨訊,2010

第5篇

關(guān)鍵詞：中小企業(yè)；網(wǎng)絡(luò)安全；企業(yè)網(wǎng)絡(luò)；架構(gòu)

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1007-9599 （2012） 20-0000-02

1 中小型企業(yè)網(wǎng)絡(luò)安全

1.1 中小型企業(yè)網(wǎng)絡(luò)安全概念。國際組織（ISO）對網(wǎng)絡(luò)安全規(guī)定為在網(wǎng)絡(luò)間進行數(shù)據(jù)處理系統(tǒng)建立是所采取的相應(yīng)的安全技術(shù)，這些技術(shù)可以對網(wǎng)絡(luò)進行時時監(jiān)控和安全，并保證不讓任何人使用的程序通過網(wǎng)絡(luò)來進行計算機，并始終通過網(wǎng)絡(luò)有效的保證計算機算硬件的安全，不通過網(wǎng)絡(luò)泄露個人或者企業(yè)等單位的秘密。以此我們可以這樣理解中小型企業(yè)網(wǎng)絡(luò)安全為是通過采用各種高科技技術(shù)和一定的管理措施，使的中小企業(yè)網(wǎng)絡(luò)系統(tǒng)能夠進行正常運作，進而來保證中小企業(yè)網(wǎng)絡(luò)數(shù)據(jù)的可用性、完整性和保密性。

1.2 中小型企業(yè)網(wǎng)絡(luò)職能。一個安全的中小企業(yè)網(wǎng)絡(luò)職能應(yīng)該是具有一定的可靠性、可用性、完整性、保密性和真實性等的。中小企業(yè)網(wǎng)絡(luò)的安全不僅要保護企業(yè)內(nèi)部的計算機網(wǎng)絡(luò)設(shè)備的安全和計算機網(wǎng)絡(luò)系統(tǒng)安全，更重要的是要對企業(yè)數(shù)據(jù)安全的保護。所以對于一個中小型企業(yè)來說網(wǎng)絡(luò)安全最終的職能就是保護企業(yè)重要的信息數(shù)據(jù)。

2 中小型企業(yè)信息網(wǎng)絡(luò)安全的困惑

2.1 中小企業(yè)信息網(wǎng)絡(luò)操作系統(tǒng)安全的困惑。中小型企業(yè)經(jīng)常出現(xiàn)的困惑就是針對信息網(wǎng)絡(luò)操作時出現(xiàn)的安全困惑，所謂中小型企業(yè)信息網(wǎng)絡(luò)操作系統(tǒng)安全就是指通常是指進行信息網(wǎng)絡(luò)操作系統(tǒng)的安全。操作系統(tǒng)的某一合法用戶可任意運行一段程序來修改該用戶擁有的文件訪問控制信息，而操作系統(tǒng)無法區(qū)別這種修改是用戶自己的合法操作還是計算機病毒的非法操作；另外，也沒有什么一般的方法能夠防止計算機病毒將信息通過共享客體從一個進程傳送給另一個進程。為此，中小型企業(yè)認識到必須采取更強有力的訪問控制手段，這就是強制訪問控制。在強制訪問控制中，系統(tǒng)對主體與客體都分配一個特殊的一般不能更改的安全屬性，系統(tǒng)通過比較主體與客體的安全屬性來決定一個主體是否能夠訪問某個客體。中小型企業(yè)為某個目的而運行的程序，不能改變它自己及任何其它客體的安全屬性，包括該用戶自己擁有的客體。強制訪問控制還可以阻止某個進程生成共享文件并通過這個共享文件向其它進程傳遞信息。目前來說中小型企業(yè)的信息網(wǎng)絡(luò)操作系統(tǒng)多為Windows和UNIX操作系統(tǒng)，這些操作系統(tǒng)本身就有自身的網(wǎng)絡(luò)安全漏洞，因為操作系統(tǒng)本身都是有后門的，而這些后門和安全漏洞都將存在重大的信息網(wǎng)絡(luò)安全隱患，造成中小企業(yè)信息網(wǎng)絡(luò)的安全困惑。所以這就要求在進行中小型企業(yè)信息網(wǎng)絡(luò)系統(tǒng)安裝時，不只要考慮到企業(yè)的自身需求，更多的時候要考慮到中小型企業(yè)的信息網(wǎng)絡(luò)安全，不能因為系統(tǒng)的安裝造成過大的中小型企業(yè)信息安全的困惑。

2.2 中小企業(yè)信息網(wǎng)絡(luò)應(yīng)用安全的困惑。現(xiàn)階段我國的中小型企業(yè)網(wǎng)絡(luò)安全應(yīng)用僅網(wǎng)絡(luò)系統(tǒng)就存在很大的安全隱患，系統(tǒng)、應(yīng)用和數(shù)據(jù)的安全存在較大的風險。目前，實施的安全方案是基于當時的認識進行的，主要工作集中于網(wǎng)絡(luò)安全，對于系統(tǒng)和應(yīng)用的安全防范缺乏技術(shù)和管理手段。如缺乏有效的身份認證，對服務(wù)器、網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)的訪問都停留在用戶名/密碼的簡單認證階段，很容易被冒充；又如數(shù)據(jù)備份缺乏整體方案和制度規(guī)范，容易造成重要數(shù)據(jù)的丟失和泄露。當時的網(wǎng)絡(luò)安全的基本是一種外部網(wǎng)絡(luò)安全的概念，是基于這樣一種信任模型的，即網(wǎng)絡(luò)內(nèi)部的用戶都是可信的。在這種信任模型下，假設(shè)所有可能的對信息安全造成威脅的攻擊者都來自于組織外部，并且是通過網(wǎng)絡(luò)從外部使用各種攻擊手段進入內(nèi)部網(wǎng)絡(luò)信息系統(tǒng)的。針對外部網(wǎng)絡(luò)安全，人們提出了內(nèi)部網(wǎng)絡(luò)安全的概念，它基于這樣一種信任模型：所有的用戶都是不可信的。在這種信任模型中，假設(shè)所有用戶都可能對信息安全造成威脅，并且可以各種更加方便的手段對信息安全造成威脅，比如內(nèi)部人員可以直接對重要的服務(wù)器進行操控從而破壞信息，或者從內(nèi)部網(wǎng)絡(luò)訪問服務(wù)器，下載重要的信息并盜取出去。內(nèi)部網(wǎng)絡(luò)安全的這種信任模型更符合現(xiàn)實的狀況。美國聯(lián)邦調(diào)查局（FBI）和計算機安全機構(gòu)（CSI）等權(quán)威機構(gòu)的研究也證明了這一點：超過80%的信息安全隱患是來自組織內(nèi)部，這些隱患直接導(dǎo)致了信息被內(nèi)部人員所竊取和破壞。信息系統(tǒng)的安全防范是一個動態(tài)過程，某公司缺乏相關(guān)的規(guī)章制度、技術(shù)規(guī)范，也沒有選用有關(guān)的安全服務(wù)。不能充分發(fā)揮安全產(chǎn)品的效能。

2.3 中小企業(yè)信息網(wǎng)絡(luò)管理安全的困惑。中小型企業(yè)信息網(wǎng)絡(luò)管理方面存在的安全困惑主要包括了，中小型企業(yè)的內(nèi)部管理人員們或者是員工們圖方便省事，對自身的計算機不進行密碼的設(shè)置，沒用自己的用戶口令，或者是有些管理者和員工設(shè)置的密碼和口令過短或者是過于簡單，這樣就導(dǎo)致密碼和口令很容易被破解，這樣來當出現(xiàn)了信息網(wǎng)絡(luò)的安全問題時，容易責任不清，并且很難一下就找到問題出現(xiàn)的計算機，因為整個公司都使用相同的用戶名和口令，使得整體信息網(wǎng)絡(luò)的管理出現(xiàn)嚴重的混亂，并且容易出現(xiàn)企業(yè)重要信息的泄密。進行中小型企業(yè)信息網(wǎng)絡(luò)管理是信息網(wǎng)絡(luò)安全的重要組成部分，是能保證中小型企業(yè)信息網(wǎng)絡(luò)安全的重要組成部分，是可以對外來病毒進行防止的重要環(huán)節(jié)，是中小型企業(yè)內(nèi)部信息網(wǎng)絡(luò)不被入侵必須的部分。也是中小型企業(yè)信息網(wǎng)絡(luò)暗中的管理困惑，是普遍中小型企業(yè)都會存在的困惑之一。

3 如何進行中小型企業(yè)信息網(wǎng)絡(luò)安全的架構(gòu)

3.1 中小型企業(yè)信息網(wǎng)絡(luò)安全架構(gòu)Internet的接入。中小型企業(yè)信息網(wǎng)絡(luò)安全構(gòu)架中Internet的接入，多是采用了PIX515作為外部邊緣得防火墻設(shè)備，中小型企業(yè)內(nèi)部的用戶登錄則是通過互聯(lián)網(wǎng)時會經(jīng)過NetEye防火墻，然后再由PIX映射到互聯(lián)網(wǎng)。PIX與NetEye之間形成了DMZ映射區(qū)，這是一種需要進行提供互聯(lián)網(wǎng)服務(wù)的郵件服務(wù)和Web服務(wù)器等防止在該DMZ區(qū)內(nèi)。中小型企業(yè)進行此防火墻的安全策略步驟是：首先要從Internet上設(shè)置只能訪問到DMZ內(nèi)Web服務(wù)器的80端口和郵件服務(wù)器的25端口，其次，則是要從Internet和DMZ區(qū)設(shè)定出不能進行訪問內(nèi)部網(wǎng)任何資源，最后則是要從Internet進行訪問內(nèi)部網(wǎng)資源的時候只能通過VPN系統(tǒng)進行。

3.2 中小型企業(yè)信息網(wǎng)絡(luò)安全架構(gòu)用戶的認證。中小型企業(yè)信息網(wǎng)絡(luò)安全架構(gòu)的用戶認證系統(tǒng)主要就是用于解決通過電話進行撥號時出現(xiàn)的安全問題和通過VPN進行接入時出現(xiàn)的安全問題，信息網(wǎng)絡(luò)安全架構(gòu)的用戶認證系統(tǒng)是目前為止運用最為完善的系統(tǒng)用戶認證系統(tǒng)、訪問控制系統(tǒng)和使用審計系統(tǒng)方面的功能來增強信息網(wǎng)絡(luò)系統(tǒng)的安全性，并采用了目前為止最為高端的ACS用戶認證系統(tǒng)。中小型企業(yè)的ERP系統(tǒng)一般采用C/S（客戶機/服務(wù)器）體系結(jié)構(gòu)，架構(gòu)于企業(yè)內(nèi)網(wǎng)Intranet上。通常，VPN是對企業(yè)內(nèi)部網(wǎng)的擴展，通過它可以幫助遠程用戶、公司分支機構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸；VPN還可用于不斷增長的移動用戶的全球互聯(lián)網(wǎng)接入，以實現(xiàn)安全連接；可用于實現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路。在信息網(wǎng)絡(luò)的主域服務(wù)器上安裝Radius服務(wù)器，在Cisco撥號路由器和PIX防火墻上配置了Radius客戶端。這樣當任何人進行電話撥號和VPN用戶身份認證時，就會在Radius的服務(wù)器上直接進行，這樣一來用戶賬號就會集中的在主域服務(wù)器上進行開設(shè)。這樣做就可以在系統(tǒng)中設(shè)置較為嚴格的用戶訪問策略和口令策略，能有效的強制使用用戶進行定期的口令修改。

綜上所述，中小型企業(yè)信息網(wǎng)絡(luò)安全保障是開展其它一切業(yè)務(wù)往來與技術(shù)交流的關(guān)鍵，要想企業(yè)長足發(fā)展，必須重視信息網(wǎng)絡(luò)安全的構(gòu)建。

參考文獻：

第6篇

關(guān)鍵詞：信息安全；加密方法；加密軟件

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)19-30003-01

1 正確認識中小企業(yè)信息安全重要性

信息時代，企業(yè)的正常運作離不開信息資源的支持，這包括企業(yè)的經(jīng)營計劃、知識產(chǎn)權(quán)、生產(chǎn)工藝、流程配方、方案圖紙、客戶資源以及各種重要數(shù)據(jù)等，這些都是企業(yè)全體員工努力拼搏、刻苦鉆研、殫精竭慮、長期積累下來的智慧結(jié)晶，是企業(yè)發(fā)展的方向和動力，關(guān)乎著企業(yè)的生存與發(fā)展，企業(yè)的重要信息一旦被泄露會使企業(yè)頓失市場競爭優(yōu)勢，甚至會遭受滅頂之災(zāi)。因此，企業(yè)要保持健康可持續(xù)性發(fā)展，信息安全是基本的保證之一。

2 危害中小企業(yè)信息安全的罪魁禍首

在媒體的宣傳下，病毒、木馬、蠕蟲、黑客已經(jīng)成為危害信息安全的罪魁禍首，但是據(jù)信息專家論證，對計算機系統(tǒng)造成重大破壞的往往不是它們，而是組織內(nèi)部人員有意或無意對信息的窺探或竊取。未來安全問題不再是過去簡簡單單的一個病毒或者一個黑客，它將朝著更多元化的方向發(fā)展，對于中小企業(yè)而言，無論是數(shù)據(jù)失竊、郵件泄密、打印泄密、還是網(wǎng)絡(luò)癱瘓，也許都將是一次徹底的毀滅。

3 哪些信息需要保密

一般而言，中小企業(yè)發(fā)生數(shù)據(jù)泄露事件的一個主要原因，是他們不知道自己的敏感信息和機密商業(yè)信息位于網(wǎng)絡(luò)或企業(yè)系統(tǒng)中的位置。由于缺乏這種了解，加上數(shù)據(jù)存儲方面的控制措施不到位，數(shù)據(jù)泄露變成了重大威脅。另外，這種危險并不僅僅出現(xiàn)在企業(yè)的網(wǎng)絡(luò)上，還出現(xiàn)在員工和合作伙伴的筆記本電腦及其他便攜存儲設(shè)備上。許多組織越來越擔心遇到數(shù)據(jù)泄密事件。據(jù)調(diào)查分析，知識產(chǎn)權(quán)、商業(yè)機密信息、客戶及消費者數(shù)據(jù)，以及員工數(shù)據(jù)成為面臨風險最大的四種數(shù)據(jù)，當然 也是最需要保密的數(shù)據(jù)。一般而言，自主研發(fā)型的企業(yè)產(chǎn)品研發(fā)部門是最需要進行電子數(shù)據(jù)加密的，而其他企業(yè)根據(jù)經(jīng)營特點的不同，也可能把營銷部門或財務(wù)部門等其他部門列為數(shù)據(jù)安全保護的重點部門。

4 如何選擇適合的加密方法

總的來說，目前市場上有如下幾種主流的加密方式：

一種是文件夾加密，主要是提供給單個用戶使用，對放置機密文件的文件夾進行加密，打開時需要輸入密碼，此種加密軟件多為個人或軟件工作室制作，并不穩(wěn)定，建議慎重使用，一旦重要資料加密后無法打開問題就比較嚴重了。

第二種就是我們常說的透明加密，這種加密方式的特點在于：不影響正常工作，而密文一旦脫離加密環(huán)境就無法打開，可以說是當前一種比較嚴密的數(shù)據(jù)保護方法。

第三種是USB接口加密，就是屏蔽USB設(shè)備或綁定USB存儲設(shè)備，對于綁定以外的USB設(shè)備無法識別。雖然這種方式不是嚴格意義上的數(shù)據(jù)加密，但因其原理簡單，對系統(tǒng)底層接觸較小，出問題的幾率比較小，所以應(yīng)用范圍也很廣泛。

對于企業(yè)用戶我們推薦使用第二種方式，第三種方式雖然也可以，但其硬盤上的資料為明文，一旦硬盤被竊用，或文件通過網(wǎng)絡(luò)的方式傳遞出去，也很容易造成泄密。從數(shù)據(jù)的嚴格安全性上考慮，可以選擇第二種和第三種加密方法同時使用。

5 如何選擇合適的加密軟件

那么如何選擇加密軟件，尤其是透明加密類型的軟件呢？首先，一定不要當實驗品。很多加密軟件公司都是剛剛起步，或者剛剛涉足數(shù)據(jù)加密領(lǐng)域，其產(chǎn)品雖可能與其他軟件公司的產(chǎn)品原理相同，功能類似，但其中的Bug一定很多。對于透明數(shù)據(jù)加密軟件，一旦出現(xiàn)問題，計算機上的文件都會無法打開，或者某個文件被破壞永久無法打開，這對正常工作的影響是很大的。所以，我們在選擇透明加密產(chǎn)品之前一定要弄清楚該公司此款軟件的研發(fā)時間，第一個版本的上市時間，目前的軟件版本，其客戶有哪些，并最好能對其客戶進行電話或訪問調(diào)研。

其次，一定要考察好該公司的售后服務(wù)情況。對于此類軟件，在實際應(yīng)用過程中因為環(huán)境的不同都多多少少會有一些“水土不服”，這時良好的售后服務(wù)會給IT人員減輕很大的“心理”負擔。而且IT人員要多給軟件公司一些信心，一些比較少見的問題要給予足夠的時間進行解決，畢竟此類軟件與系統(tǒng)底層接觸的比較多，可能出現(xiàn)的問題也會比較多。

再次，購買前一定要進行一段時間的真實環(huán)境測試，一般的軟件商都會提供試用版，一定要進行充分的試驗，尤其是要注意，自己公司使用的工作軟件是否全部與該公司軟件兼容，如有個別不兼容，軟件公司是否有能力進行相應(yīng)的升級開發(fā)予以解決。

本文的案例企業(yè)在選擇軟件時也進行了長時間的測試，并且選擇了一家研發(fā)實力較強、售后服務(wù)較好的企業(yè)，購買了該公司5.0版本的透明加密產(chǎn)品，期間雖然也出現(xiàn)過多次問題，但軟件公司都及時解決了。

第7篇

關(guān)鍵詞：中小企業(yè)；信息安全；防火墻；VPN

1背景目前

我國很多中小企業(yè)都開始廣泛使用信息化手段提升自身的競爭力，借助信息化，企業(yè)可以更有效地管理資源，優(yōu)化組合，提高企業(yè)運營效率，幫助企業(yè)更快的了解市場行情，促進企業(yè)發(fā)展。但與此同時信息安全問題也日益突出，每年企業(yè)因信息系統(tǒng)的安全問題而遭受經(jīng)濟損失難以估量。本文針對太倉中小企業(yè)網(wǎng)絡(luò)信息安全現(xiàn)狀進行深入調(diào)研，走訪企業(yè)了解企業(yè)網(wǎng)絡(luò)信息安全的配置情況，可能存在的問題，然后根據(jù)現(xiàn)有的網(wǎng)絡(luò)安全技術(shù)和手段幫助企業(yè)解決問題，以滿足企業(yè)需求、投入資金少、專業(yè)技術(shù)管理人員投入少為需求給出解決策略，避免因信息安全問題造成的經(jīng)濟損失。

2中小企業(yè)網(wǎng)絡(luò)信息安全現(xiàn)狀研究

經(jīng)調(diào)研分析，目前中小企業(yè)大致可以分為兩類，一類是國內(nèi)企業(yè)，一類是外企也就是總部在國外，國內(nèi)有分公司或者工廠。總的來說，所有的中小企業(yè)都有自己的計算機網(wǎng)絡(luò)、典型應(yīng)用系統(tǒng)如辦公自動化系統(tǒng)、信息查詢系統(tǒng)、web應(yīng)用、郵件服務(wù)、財務(wù)和人事系統(tǒng)等。根據(jù)中小企業(yè)計算機網(wǎng)絡(luò)應(yīng)用特點，一般需要保證數(shù)據(jù)具有實時性、機密性、安全性、完整性、可用性和不可抵賴性。太倉中小企業(yè)眾多，光德資企業(yè)就有200多家。企業(yè)的產(chǎn)品信息、業(yè)務(wù)數(shù)據(jù)、銷售訂單都需要利用信息化系統(tǒng)進行處理，有的甚至需要大數(shù)據(jù)平臺分析處理，那么信息系統(tǒng)的安全性也是尤為突出的一個問題。對太倉中小企業(yè)而言，構(gòu)建一個安全、可靠的IT系統(tǒng)是關(guān)系到企業(yè)能否適合時代新技術(shù)，健康良好快速發(fā)展的關(guān)鍵因素之一。太倉眾多外企總部都在國外，因此總公司和分公司之間需要經(jīng)常傳輸大量的數(shù)據(jù)，其中包括很多重要甚至機密的數(shù)據(jù)，對于數(shù)據(jù)傳輸?shù)谋Ｃ苄浴⑼暾砸蟾摺ａ槍@些特點目前中小型企業(yè)網(wǎng)絡(luò)存在的主要安全問題有：

1)弱口令造成信息泄露威脅目前中小企業(yè)使用的各類系統(tǒng)較多，包括郵件、ERP、內(nèi)部OA系統(tǒng)、電子商務(wù)系統(tǒng)等。面對眾多的系統(tǒng)，員工要設(shè)置各類密碼，非常麻煩，所以基本都會設(shè)置簡單的便于記憶的弱口令，而且很多系統(tǒng)都設(shè)置相同的密碼，長期不對密碼進行更改，這樣就很容易造成密碼泄露，一旦成功入侵企業(yè)內(nèi)部網(wǎng)絡(luò)，就很容易竊取到密碼非法進入系統(tǒng)獲取資料。

2)網(wǎng)絡(luò)病毒威脅中小型企業(yè)員工一般都是單獨使用計算機，并且所有計算機都可以訪問互聯(lián)網(wǎng)，員工根據(jù)自己的情況自行安裝防病毒系統(tǒng)，由于員工對病毒預(yù)防知識和防病毒軟件的使用方法掌握情況不同，如果不能正確安裝使用防病毒軟件，一臺計算機感染病毒很快就傳播到企業(yè)內(nèi)部的多臺計算機，甚至導(dǎo)致企業(yè)內(nèi)部網(wǎng)絡(luò)癱瘓。

3)企業(yè)主干網(wǎng)絡(luò)沒有劃分VLAN中小型企業(yè)網(wǎng)絡(luò)系統(tǒng)中，由于網(wǎng)絡(luò)規(guī)模小，沒有專業(yè)網(wǎng)絡(luò)設(shè)計維護人員，為了省事和方便，很多企業(yè)的系統(tǒng)沒有劃分VLAN或者沒有按要求細化，造成同一廣播域中計算機數(shù)量過多，容易造成廣播風暴和網(wǎng)絡(luò)帶寬嚴重浪費。

4)無線網(wǎng)絡(luò)密碼泄露無線網(wǎng)絡(luò)的方便快捷使得它在企業(yè)中的應(yīng)用快速發(fā)展起來，一般企業(yè)公司都在工作區(qū)域安裝無線路由器等無線設(shè)備，方便公司員工及外來人員進入公司內(nèi)部網(wǎng)絡(luò)或者互聯(lián)網(wǎng)。但由于無線密碼設(shè)置簡單，很容易被破譯。互聯(lián)網(wǎng)上的攻擊者可以通過破譯無線密碼，輕松進入到公司內(nèi)部網(wǎng)絡(luò)，從而造成公司信息泄露。

5)移動終端安全隱患隨著3G時代的到來，公司企業(yè)員工使用移動設(shè)備連接公司網(wǎng)絡(luò)，因此由移動終端設(shè)備帶來的安全隱患也不可避免。對于企業(yè)IT部門而言，移動設(shè)備已成為網(wǎng)絡(luò)安全的一個致命弱點，因為通過電子郵件、彩信、藍牙等方式傳播的病毒很容易對企業(yè)內(nèi)網(wǎng)安全造成危害。

3中小企業(yè)網(wǎng)絡(luò)信息安全解決策略研究

中小企業(yè)對信息安全的需求主要是保障公司網(wǎng)站穩(wěn)定運行、避免商業(yè)機密被竊取、企業(yè)信息被惡意篡改，因此網(wǎng)絡(luò)安全解決方案的可用性是中小企業(yè)首要考慮的問題，只有網(wǎng)絡(luò)安全設(shè)備正常可用，才能保護企業(yè)網(wǎng)絡(luò)安全。其次，中小企業(yè)規(guī)模小，資金不足，網(wǎng)絡(luò)安全管理人才缺乏，安全解決方案的易用性也是企業(yè)必須考慮的因素，使用簡單有效的方法提高企業(yè)網(wǎng)絡(luò)安全，減少企業(yè)在資金、專業(yè)管理人才的投入同時又能保障公司網(wǎng)絡(luò)信息安全。移動互聯(lián)、大數(shù)據(jù)、云計算環(huán)境下，針對企業(yè)各類服務(wù)和后臺系統(tǒng)建議找專業(yè)網(wǎng)絡(luò)公司托管，這類公司有專業(yè)的網(wǎng)關(guān)、防火墻、入侵檢測系統(tǒng)，能夠為企業(yè)各類服務(wù)提供安全保障，這樣中小企業(yè)也無需在花大量的資金自己購買這類安全設(shè)備、專業(yè)人員培訓(xùn)等，大大減輕了公司服務(wù)器管理和維護壓力。針對目前存在的安全問題，給出以下安全策略：

1)加強企業(yè)員工網(wǎng)絡(luò)安全管理中小企業(yè)所有的系統(tǒng)口令包括員工設(shè)置登陸口令必須按照操作系統(tǒng)密碼復(fù)雜性要求設(shè)置，至少8位字符，其中要包括字母大寫、小寫、數(shù)字、特殊符號中三種情況以上，由企業(yè)系統(tǒng)管理員或者網(wǎng)絡(luò)管理員設(shè)置密碼失效時間，規(guī)定在一定時間內(nèi)必須更新密碼，用簡單切實可行的方法建立第一道安全大門。

2)加強企業(yè)網(wǎng)絡(luò)入侵防范中小企業(yè)可以利用防火墻加強企業(yè)網(wǎng)絡(luò)入侵防范，實現(xiàn)企業(yè)內(nèi)外網(wǎng)隔離，主要設(shè)置網(wǎng)絡(luò)邊界出口鏈路帶寬要求、數(shù)量等情況，IP地址規(guī)劃對防火墻地址轉(zhuǎn)換的需求。通過防火墻的認證機制，過濾訪問網(wǎng)絡(luò)數(shù)據(jù)。通過防火墻權(quán)限設(shè)置，嚴格審核外網(wǎng)用戶的非法登錄，定期查看防火墻日志文件，對有攻擊性的網(wǎng)絡(luò)訪問行為進行警告。

3)VPN策略一般公司都需要連接互聯(lián)網(wǎng)，特別是針對太倉德資外企來說與德國總部公司通信安全性是非常重要的，可以采用SSLVPN策略。SSLVPN使用瀏覽器內(nèi)建的安全通道封包處理功能，用瀏覽器連回公司內(nèi)部SSLVPN服務(wù)器，然后透過網(wǎng)絡(luò)封包轉(zhuǎn)向的方式，讓使用者可以在遠程計算機執(zhí)行應(yīng)用程序，讀取公司內(nèi)部服務(wù)器數(shù)據(jù)。中小企業(yè)的遠程訪問環(huán)境變化較大，SSLVPN不需要安裝客戶端軟件遠程用戶，遠程用戶只需借助標準的瀏覽器連接Internet，即可訪問企業(yè)的網(wǎng)絡(luò)資源。企業(yè)可在較短時間內(nèi)部署完SSLVPN，因此其部署和實施成本較低，其次SSLVPN還提高了平臺的靈活性方便擴展應(yīng)用和增強性能，對中小企業(yè)而言可以降低使用成本，最有效地保護投資。

4)無線網(wǎng)絡(luò)安全策略對于中小企業(yè)，建議選擇比較有安全保證的產(chǎn)品來部署網(wǎng)絡(luò)和設(shè)置適合的網(wǎng)絡(luò)結(jié)構(gòu)是確保網(wǎng)絡(luò)安全的前提條件，同時還要做到如下幾點：修改設(shè)備的默認值，指定專用于無線網(wǎng)絡(luò)的IP協(xié)議；在AP上使用速度最快的、能夠支持的安全功能。在網(wǎng)絡(luò)上，針對全部用戶使用一致的授權(quán)規(guī)則，在不會被輕易損壞的位置部署硬件。正確全面使用WEP機制來實現(xiàn)保密目標與共享密鑰認證功能，通過在每幀中加入一個校驗和的做法來保證數(shù)據(jù)的完整性，防止有的攻擊在數(shù)據(jù)流中插入已知文本來試圖破解密鑰流。其次必須在每個客戶端和每個AP上實現(xiàn)WEP才能起作用，不使用預(yù)先定義的WEP密鑰，避免使用缺省選項。密鑰由用戶來設(shè)定，并且能夠經(jīng)常更改，最后要使用最堅固的WEP版本，并與標準的最新更新版本保持同步。

5)移動終端安全策略為了避免移動終端攜帶病毒連接到企業(yè)內(nèi)網(wǎng)中，確保移動終端如智能手機、ipad、移動筆記本安裝殺毒軟件、防火墻并定期對移動設(shè)備進行系統(tǒng)漏洞補丁和更新，定期掃描殺毒，特別不要隨意打開、下載不確定的郵件、鏈接和彩信，以免中木馬病毒。如果一旦中毒，應(yīng)該立刻斷網(wǎng)，進行殺毒或者更新系統(tǒng)，以免木馬病毒通過無線網(wǎng)絡(luò)傳播企業(yè)內(nèi)部網(wǎng)絡(luò)。

4結(jié)束語

通過深入太倉中小企業(yè)調(diào)研，了解企業(yè)的網(wǎng)絡(luò)信息安全現(xiàn)狀及存在問題，結(jié)合網(wǎng)絡(luò)信息安全建設(shè)方案，從物理安全、計算機硬件軟件安全、網(wǎng)絡(luò)體系結(jié)構(gòu)安全、病毒防范、入侵檢查、防火墻配置、信息系統(tǒng)運行維護等方面給出切實可行的網(wǎng)絡(luò)信息安全建設(shè)方案，有針對性對太倉中小企業(yè)網(wǎng)絡(luò)信息安全建設(shè)策略研究。參考文獻：[1]馮運仿.基于防水墻系統(tǒng)的中小企業(yè)信息安全策略[J].安防科技,2006(9):57-58.

[2]周偉.電子商務(wù)信息安全技術(shù)淺議[J].農(nóng)業(yè)網(wǎng)絡(luò)信息,2007(4):95-96.

[3]項菲,林山.中小企業(yè)信息安全策略研究[J].電腦知識與技術(shù),2009(5):325-326.

[4]趙向梅,杜曉春,侯亞玲.中小企業(yè)網(wǎng)絡(luò)安全問題和策略研究[J].電子測試,2014(6):134-135.

[5]邵琳,劉源.淺談企業(yè)網(wǎng)絡(luò)安全問題及其對策[J].科技傳播,2010(10)：207-208.

[6]王鋒.關(guān)于企業(yè)網(wǎng)絡(luò)安全問題的探討[J].電腦知識與技術(shù),2010(19):207-208.

[7]劉建偉.企業(yè)網(wǎng)絡(luò)安全問題探討[J].甘肅科技,2006(5):62-63.

第8篇

【關(guān)鍵詞】 企業(yè) 客戶檔案 信息 安全 管理

中小企業(yè)ERP管理系統(tǒng)貫穿企業(yè)生產(chǎn)管理的全過程，其中客戶關(guān)系管理是其重要的組成部分，其中存在著大量的客戶檔案信息，是企業(yè)重要的戰(zhàn)略資源。

客戶檔案信息指的是存在于企業(yè)客戶關(guān)系管理系統(tǒng)中以數(shù)據(jù)資料的形式存在的信息。它是企業(yè)在與客戶的業(yè)務(wù)中形成的專門數(shù)據(jù)，企業(yè)在這些數(shù)據(jù)的基礎(chǔ)上，整合客戶的資料和數(shù)據(jù)最后形成了客戶檔案信息。企業(yè)客戶檔案信息不僅記錄了客戶的基本信息，也記錄了一些對客戶信息進行綜合分析的數(shù)據(jù)結(jié)果，是企業(yè)相當重要的信息資源。

1 ERP管理系統(tǒng)客戶檔案信息管理的重要意義

為進一步加強企業(yè)信息化建設(shè)，提升企業(yè)信息化建設(shè)水平和依靠信息化加強企業(yè)的決策及管理能力，一般企業(yè)都部署實施ERP管理系統(tǒng)，雖然目前各ERP管理系統(tǒng)形態(tài)萬千，但其基本功能都趨于一致，基本上都覆蓋了客戶、項目、庫存和采購供應(yīng)等管理工作，貫穿企業(yè)的進銷存全過程，通過優(yōu)化企業(yè)資源達到資源效益最大化。

客戶檔案信息不僅是企業(yè)重要的經(jīng)營資源，其本身也是客戶重要的個人信息，具有一定的社會屬性，它的安全管理同時具有重要的社會責任。由于企業(yè)員工個人素質(zhì)、企業(yè)歸屬感的不同，其對于信息的保密意識也存在很大的差異。同時由于系統(tǒng)設(shè)計、應(yīng)用以及管理等各方面的因素，系統(tǒng)中客戶檔案資料面臨著來自各方面的威脅，安全隱患不容忽視。

2 ERP管理系統(tǒng)客戶檔案信息的內(nèi)容及管理流程

2.1 ERP管理系統(tǒng)中客戶檔案信息的內(nèi)容

目前ERP管理系統(tǒng)中，客戶檔案信息一般主要由客戶的基本信息、經(jīng)營水平、日常服務(wù)信息等模塊組成，含有多個字段。這些信息模塊和字段的原始信息維護，由不同崗位人員完成，對應(yīng)的崗位人員對檔案信息有錄入、修改和查詢等權(quán)限。

2.2 ERP管理系統(tǒng)中客戶檔案信息的管理流程

2.2.1 客戶檔案信息的獲取

客戶檔案信息一般采用業(yè)務(wù)過程中的采集，或者由客戶提供的一些相關(guān)材料等方式獲取，然后統(tǒng)一錄入到ERP管理系統(tǒng)的CRM系統(tǒng)中。

客戶檔案從采集到錄入，嚴格按照流程進行管理，層層審核，步步完善。在流程管理過程中不斷完善客戶在CRM管理系統(tǒng)中的檔案信息。

2.2.2 客戶檔案信息變更

客戶檔案信息的變更，一般都通過現(xiàn)場實地考察來確定。在客戶信息變更過程中，企業(yè)的客戶關(guān)系管理人員有著很大的變更權(quán)限，經(jīng)過嚴格把關(guān)審核后，最終實現(xiàn)客戶檔案的信息變更。

3 ERP管理系統(tǒng)客戶檔案信息的安全隱患

ERP管理系統(tǒng)的數(shù)據(jù)主要有丟失和泄露等方面的安全隱患。ERP管理系統(tǒng)的數(shù)據(jù)安全，是指存在于系統(tǒng)內(nèi)的客戶檔案信息存儲載體處于良好的保管狀態(tài)，在一定范圍內(nèi)被知曉，并可隨時還原、處理、復(fù)制出載體中所包含的客戶檔案的信息內(nèi)容用于企業(yè)經(jīng)營業(yè)務(wù)，但不能被隨意泄露，導(dǎo)致客戶檔案信息的公開，從而為不法人員利用，形成對客戶的危害。客戶檔案信息的安全問題涉及許多方面，存儲這些數(shù)據(jù)的載體的多樣性加上利用的多樣性，以及人員管理的復(fù)雜性，使得客戶檔案信息要面對許多的問題。總結(jié)起來，影響客戶檔案信息安全的因素包括以下幾點：

3.1 客觀方面存在的隱患

3.1.1 計算機網(wǎng)絡(luò)病毒的入侵

隨著計算機網(wǎng)絡(luò)的不斷發(fā)展，網(wǎng)絡(luò)病毒層出不窮，變化多端，防不勝防。客戶檔案信息的采集、錄入、整理等，都依賴于計算機處理，以至計算機硬盤上存儲了大量的數(shù)據(jù)信息，所以必須防御計算機網(wǎng)絡(luò)病毒的入侵和破壞。此外，在進行客戶檔案信息維護的時候，無論聯(lián)網(wǎng)還是不聯(lián)網(wǎng)，外接存儲介質(zhì)仍可能將病毒植入而破壞系統(tǒng)的重要數(shù)據(jù)，從而造成巨大的損失。

3.1.2 應(yīng)用系統(tǒng)的設(shè)計缺陷

應(yīng)用系統(tǒng)不可能是完美無缺的，一般的應(yīng)用系統(tǒng)都會存在設(shè)計缺陷。目前，客戶檔案信息的錄入、維護和變更等都依賴于CRM管理系統(tǒng)，系統(tǒng)本身設(shè)計的缺陷將對數(shù)據(jù)本身造成一定的威脅。由于系統(tǒng)的架構(gòu)很難有統(tǒng)一的標準和普遍適用性，以及技術(shù)原因和使用領(lǐng)域不同，在技術(shù)設(shè)計上肯定存在不一致現(xiàn)象，用不同的字段抽取，獲取的數(shù)據(jù)也存在差異。這些系統(tǒng)設(shè)計存在的缺陷，給客戶檔案信息的安全埋下一定的隱患。

3.1.3 人員素質(zhì)的參差不齊

由于員工的受教育程度不同，文化層次存在差距，以至于員工的綜合素質(zhì)參差不齊。相關(guān)人員對系統(tǒng)的應(yīng)用水平和領(lǐng)會能力也存在差異，同時由于人員管理的復(fù)雜性，內(nèi)部人員的信息泄露成為客戶檔案信息安全管理重點考慮的內(nèi)容之一。

3.2 主觀應(yīng)用方面存在的隱患

3.2.1 數(shù)據(jù)利用監(jiān)管不夠

（1）客戶檔案信息查詢權(quán)限的限制機制不健全。企業(yè)相關(guān)人員可以隨意在系統(tǒng)中查詢客戶資料，并能獲取電子版本，隨意復(fù)制，無關(guān)人員接觸這些信息無人監(jiān)管。

（2）客戶檔案信息的查詢、調(diào)用審批程序不完善。目前，多數(shù)企業(yè)對客戶檔案信息的查詢、調(diào)用無審批和監(jiān)管流程，相關(guān)人員如有需要，只要獲取相應(yīng)的角色權(quán)限即可，缺少數(shù)據(jù)查詢、調(diào)用的審批手續(xù)。

3.2.2 流程管理監(jiān)管缺失

（1）在客戶信息新增過程中，無論是信息錄入人員還是信息審核人員，都能看到錄入的原始信息，每個環(huán)節(jié)都有可能造成信息的泄漏。所以加強每個環(huán)節(jié)、每個節(jié)點的監(jiān)管和保密管理對于信息的安全也是至關(guān)重要的。不但要小心外部人員有目的的竊取和盜用，還要防止內(nèi)部人員的有意識或無意識的信息泄漏。

（2）客戶檔案信息的變更過程中，審核流程一般都不完善，缺少監(jiān)管流程。操作人員操作失誤或者有意無意泄露客戶信息，都會給客戶檔案信息的安全帶來很大威脅。

4 ERP管理系統(tǒng)客戶檔案信息的管理措施

針對ERP管理系統(tǒng)客戶檔案信息的管理流程和安全隱患，應(yīng)采取相應(yīng)的管理措施，來加強對客戶檔案信息的安全管理。具體為：

（1）加強計算機網(wǎng)絡(luò)安全管理。采取部署殺毒軟件和管理策略等相應(yīng)的技術(shù)和管理措施，確保整體網(wǎng)絡(luò)環(huán)境的安全，避免網(wǎng)絡(luò)病毒的侵擾。

（2）嚴格管理客戶檔案信息的存儲載體。加強對存儲載體的管理尤為重要。要定期檢測存儲設(shè)備，檢測存儲載體上的數(shù)據(jù)有效性，確保這些載體不受到損壞，在出現(xiàn)意外情況時這些載體的信息能夠被完全、真實的還原出來。

（3）做好客戶檔案信息的基礎(chǔ)數(shù)據(jù)庫建設(shè)。客戶檔案信息基礎(chǔ)數(shù)據(jù)庫建設(shè)，必須提前設(shè)定各項數(shù)據(jù)采集項，整個管理環(huán)節(jié)要采用適用的軟件。在具體日常數(shù)據(jù)的維護和采集中，注意客戶檔案信息的保管和整合。對于不斷增加和更新的基礎(chǔ)數(shù)據(jù)庫中的數(shù)據(jù)要及時進行備份，并保證備份資料的有效性。

（4）加強科技創(chuàng)新，不斷完善系統(tǒng)功能及設(shè)計架構(gòu)。根據(jù)應(yīng)用過程中發(fā)現(xiàn)的問題和缺陷，及時升級系統(tǒng)版本，整改設(shè)計缺陷，完善系統(tǒng)功能。相關(guān)人員在修改完善客戶檔案信息時，做到修改有痕跡，完善有記錄。其他人員只能查詢?yōu)g覽信息，不能修改不能復(fù)制，并且有網(wǎng)絡(luò)訪問流量的統(tǒng)計記錄。

（5）加強數(shù)據(jù)利用監(jiān)管，提高數(shù)據(jù)利用的規(guī)范性和安全性。 1）建立有效的客戶檔案信息的管理規(guī)章制度，提高數(shù)據(jù)安全管理。客戶檔案信息的管理必須依據(jù)嚴格的規(guī)章制度，確保檢查、督促、獎懲等措施的落實。客戶檔案管理人員的數(shù)據(jù)安全意識尤為重要，提高這些人的數(shù)據(jù)安全意識，加強防范措施是最重要的。確保人員具備了安全意識才能從根本上杜絕威脅數(shù)據(jù)安全的隱患。2）嚴格控制客戶檔案信息的知曉范圍以及查詢權(quán)限。客戶檔案信息的知曉人員及其查詢權(quán)限應(yīng)該有嚴格的限制，尤其是那些重要的信息必須嚴格控制知曉范圍。做到無關(guān)人員不得接觸客戶檔案信息，不得查詢，不得復(fù)制。3）嚴格管理客戶檔案資料的查閱、調(diào)用等環(huán)節(jié)。客戶檔案信息的利用都應(yīng)按照相應(yīng)的規(guī)定做好各種登記、審批工作，對于重要的客戶信息的查閱還應(yīng)注明查閱人身份、查詢用途等。做到重要數(shù)據(jù)信息在辦理審批手續(xù)之后方可進行調(diào)用。內(nèi)部工作人員要本著不擴大知悉范圍和安全利用的原則。這些利用環(huán)節(jié)的管理要有專人負責，做好監(jiān)督、監(jiān)管工作。

（6）強化流程管理監(jiān)管，完善流程管理的審批流程和監(jiān)管措施。1）提高相關(guān)人員的安全意識，做好賬號和口令的保密工作。避免對外泄露自己的賬號、密碼，造成客戶資料外泄，誰泄露誰負責。定期進行系統(tǒng)賬戶進行梳理，對不再涉及業(yè)務(wù)系統(tǒng)使用的人員賬號予以收回禁用。2）規(guī)范使用人員的操作權(quán)限分配，不同崗位分配不同的角色，對應(yīng)不同的操作權(quán)限。嚴格規(guī)范權(quán)限分配，做到角色一致、權(quán)責統(tǒng)一。

（7）加強系統(tǒng)管理人員的安全保密管理。系統(tǒng)管理人員擁有超級管理權(quán)限，可以查詢?nèi)魏涡畔ⅲ窍到y(tǒng)的維護和技術(shù)支撐者。系統(tǒng)管理人員的安全保密工作是最重要的。

第9篇

【關(guān)鍵詞】 信息安全 防范策略

隨著社會、經(jīng)濟和科學(xué)技術(shù)的飛速發(fā)展，計算機網(wǎng)絡(luò)在經(jīng)濟和生活的各個領(lǐng)域迅速普及。院校本身為了提高管理和服務(wù)水平，在各個學(xué)院和后勤管理部門都依靠IT技術(shù)構(gòu)建自身的信息基礎(chǔ)架構(gòu)和業(yè)務(wù)系統(tǒng)應(yīng)用平臺。

院校局域網(wǎng)環(huán)境下，印刷企業(yè)獲得了信息共享、信息交流、信息服務(wù)，提高了服務(wù)水平、增強了核心競爭力。但網(wǎng)絡(luò)環(huán)境的開放性、共享性、交互性，也造成了印刷企業(yè)信息平臺的脆弱性，一旦網(wǎng)絡(luò)遭到攻擊，科研信息泄密、試卷信息泄露，甚至被人篡改，會給院校帶來重大損失。因而，信息安全問題對院校印刷企業(yè)來講是非常重要的。

信息安全就是防止非法的攻擊和病毒的傳播，保證計算機系統(tǒng)和通信系統(tǒng)的正常運作，保證信息不被非法訪問和篡改。

信息安全的根本目的就是使內(nèi)部信息不受外部威脅，因此信息通常要加密。為保障信息安全，要求有信息源認證、訪問控制，不能有非法軟件駐留，不能有非法操作。

針對院校局域網(wǎng)環(huán)境下印刷企業(yè)信息平臺容易發(fā)生的安全隱患，完善對應(yīng)防范策略，最大限度地保障院校印刷企業(yè)信息安全。

一般來講，安全問題來自內(nèi)部和外部兩個方向，而內(nèi)部又分為誤操作和破壞兩個動機.筆者所在印刷企業(yè)主要面對的信息安全問題主要有以下幾個方面：

1 物理安全

物理安全是指在物理介質(zhì)層次上對存儲和傳輸?shù)木W(wǎng)絡(luò)信息的安全保護。對于計算機網(wǎng)絡(luò)設(shè)備、設(shè)施等等免于遭受自然或人為的破壞。主要有環(huán)境安全（即自然環(huán)境對計算機網(wǎng)絡(luò)設(shè)備與設(shè)施的影響）；設(shè)備安全則是指防止設(shè)備被盜竊、毀壞、電磁輻射、電磁干擾、竊聽等；媒體安全，保證媒體本身以及媒體所載數(shù)據(jù)的安全性。

為了保障信息平臺能夠高效的運行，防止或者減少機房受到自然災(zāi)害、物理損壞、設(shè)備故障等不安全因素的影響， 以保障基本的溫度、濕度、電力以及機房隱蔽性等.在機房選址或者是樓宇建設(shè)階段，需要充分考慮機房建設(shè)的物理安全問題.因為在一般情況下，物理上的破壞將銷毀網(wǎng)絡(luò)信息本身，這種不安全因素對網(wǎng)絡(luò)信息的完整性和可用性威脅最大，而對網(wǎng)絡(luò)信息的保密性影響卻較小。

2 數(shù)據(jù)及存儲安全

數(shù)據(jù)備份是指將計算機系統(tǒng)中的一部分數(shù)據(jù)通過適當?shù)男问睫D(zhuǎn)錄到可脫機保存的介質(zhì)（如移動硬盤、U盤和光盤）上，制定應(yīng)急處理計劃，做好數(shù)據(jù)的備份和恢復(fù)，完善的數(shù)據(jù)備份應(yīng)該是動態(tài)、多重備份.這樣才能保證操作系統(tǒng)遭到破壞后能夠迅速恢復(fù)這些數(shù)據(jù)庫的使用。

由于院校印刷企業(yè)工作的特殊性，對于重要信息數(shù)據(jù)， 要在數(shù)據(jù)的存儲、處理、傳輸、銷毀等階段，分別做好對應(yīng)的數(shù)據(jù)安全的保護工作.對于重要數(shù)據(jù)要進行加密處理，對于不可復(fù)制的存儲介質(zhì)應(yīng)該存放在能防火、防盜的庫房中妥善保存。對于敏感數(shù)據(jù)的刪除或銷毀，要通過消除剩磁的技術(shù)，做到不可恢復(fù)，防止被恢復(fù)而泄漏信息；數(shù)據(jù)傳輸方面，要使用加密與認證密碼傳輸數(shù)據(jù)；不使用未進行數(shù)據(jù)加密的移動存儲設(shè)備，防止數(shù)據(jù)外泄。

3 網(wǎng)絡(luò)安全及病毒防控

在基礎(chǔ)架構(gòu)的網(wǎng)絡(luò)規(guī)劃設(shè)計階段，網(wǎng)絡(luò)拓撲設(shè)計非常重要.由于院校信息網(wǎng)中存在中國教育網(wǎng)、公用互聯(lián)網(wǎng)、院校內(nèi)部辦公網(wǎng)、校內(nèi)服務(wù)網(wǎng)等多網(wǎng)絡(luò)共存的環(huán)境.在多層網(wǎng)絡(luò)設(shè)計、子網(wǎng)設(shè)計以及網(wǎng)絡(luò)的安全性、可靠性方面存在許多要求。

充分考慮物理拓撲結(jié)構(gòu)與邏輯拓撲結(jié)構(gòu)的關(guān)系，在使用網(wǎng)絡(luò)設(shè)備進行技術(shù)性實施時，加強控制通信方向，以減少病毒的傳播和黑客的攻擊，保證網(wǎng)絡(luò)系統(tǒng)安全，并關(guān)注網(wǎng)絡(luò)及其設(shè)備的運行情況，注意設(shè)備的維護和升級。

統(tǒng)一部署完整病毒防御體系，注意網(wǎng)絡(luò)傳輸入口與終端設(shè)備數(shù)據(jù)入口相結(jié)合，設(shè)置隔離區(qū)來防止病毒的入侵。同時建立病毒防控服務(wù)中心將硬件病毒庫與軟件病毒數(shù)據(jù)庫的更新同步，用防病毒軟硬件來防止來自互聯(lián)網(wǎng)病毒進入內(nèi)部，采用防毒與殺毒相結(jié)合，在病毒可能流傳的各個渠道設(shè)置監(jiān)控，結(jié)合定時病毒掃描和自動更新，查殺病毒，保證系統(tǒng)安全。

4 業(yè)務(wù)平臺安全

在很多情況下，業(yè)務(wù)信息系統(tǒng)是安裝部署在操作系統(tǒng)基礎(chǔ)上， 如果操作系統(tǒng)安全受到影響，也就失去了業(yè)務(wù)平臺安全運行的基礎(chǔ)。對操作系統(tǒng)進行安全補丁更新，并進行測試工作是至關(guān)重要的，通過專業(yè)軟件進行操作系統(tǒng)底層的安全測試工作，將各種可能存在的木馬程序、蠕蟲、惡意代碼、間諜軟件的侵入安全漏洞進行安全防護，防止給企業(yè)信息基礎(chǔ)設(shè)施、內(nèi)部網(wǎng)絡(luò)、企業(yè)業(yè)務(wù)帶來損失.

結(jié)合業(yè)務(wù)平臺下硬軟件、數(shù)據(jù)和網(wǎng)絡(luò)等方面實際情況，在提高工作人員的保密觀念、責任心和安全意識，加強業(yè)務(wù)技術(shù)培訓(xùn)，防止人為事故發(fā)生的同時， 通過技術(shù)手段，在自主訪問控制、強制訪問控制、身份鑒別等方面進行設(shè)置，主要特征有：最小特權(quán)原則，即每個特權(quán)用戶只擁有能進行他工作的權(quán)力；自主訪問控制；強制訪問控制，包括保密性訪問控制和完整性訪問控制；安全審計。

5 結(jié)語

隨著信息技術(shù)的飛速發(fā)展，信息已經(jīng)成為一種非常重要的戰(zhàn)略資源，其影響企業(yè)安全的各種因素也會不斷變化強化，因此信息安全問題也越來越受到人們的重視，以上我們簡要的分析了院校印刷企業(yè)存在的幾種安全隱患。

總的來說，信息安全不僅僅是技術(shù)問題，因為信息安全研究的各個領(lǐng)域之間不是割裂的，同時也是一個安全管理問題。我們必須綜合考慮安全因素，制定合理的目標、技術(shù)方案和相關(guān)的配套法規(guī)等。其防護技術(shù)也必然隨著信息系統(tǒng)應(yīng)用的發(fā)展而不斷進步。

致謝：

首先，我要向市信息中心的孫勇先生，感謝他為我提供了很多技術(shù)資料。我還要衷心地感謝校信息中心的老師們，感謝他們?yōu)楸疚奶岢隽嗽S多寶貴的意見.最后，我還要向我的領(lǐng)導(dǎo)和同事們表示感謝，感謝他們長期以來的支持和幫助。再次向以上所有人表示感謝。

參考文獻：

[1]陳福莉，譚興烈.信息安全管理平臺及其應(yīng)用[J].信息安全與通信保密，2006（12）.

[2]鄭林信息資產(chǎn)的風險管理[J].中國計算機用戶，2004（26）.

[3]王丁，楊德華.CZC交易信任管理機制探討[J].電腦開發(fā)與應(yīng)用，2004（03）.

[4]國務(wù)院信息辦.中國信息化發(fā)展報告[EB/OL].2006.