引言：易發(fā)表網(wǎng)憑借豐富的文秘實踐，為您精心挑選了九篇企業(yè)信息安全意識范例。如需獲取更多原創(chuàng)內(nèi)容，可隨時聯(lián)系我們的客服老師。

第1篇

當前，網(wǎng)絡(luò)和計算機技術(shù)已經(jīng)推動各行各業(yè)進入了數(shù)字化時代。數(shù)字化的企業(yè)承載著業(yè)務(wù)流和信息流，信息流引導(dǎo)業(yè)務(wù)流，業(yè)務(wù)流依附信息流，從而使企業(yè)的運行更加安全、可靠、優(yōu)質(zhì)、經(jīng)濟。

信息系統(tǒng)承載著企業(yè)幾乎所有的運營管理信息，其安全性已經(jīng)直接關(guān)系到整個企業(yè)的安全可靠運行。信息是企業(yè)的重要戰(zhàn)略資源，確保其安全是現(xiàn)代信息化企業(yè)必須面臨的重要任務(wù)。

隨著企業(yè)信息化建設(shè)的不斷深入，信息安全保障工作的重要性、迫切性日益凸現(xiàn)。如果網(wǎng)絡(luò)和信息系統(tǒng)的安全隱患得不到有效地防范，企業(yè)就極有可能遭受到惡意攻擊或破壞。信息安全事故不但會對公司業(yè)務(wù)、資產(chǎn)、形象造成影響，在某些行業(yè)，嚴重的還會引發(fā)區(qū)域性，乃至全國性的重大安全事故，其社會危害性無法估量。

據(jù)相關(guān)信息安全調(diào)查報告顯示，中國內(nèi)地企業(yè)在信息安全管理方面存在滯后，信息安全與隱私保障方面遠遠落后于印度。數(shù)據(jù)顯示，內(nèi)地企業(yè)44%的信息安全事件與數(shù)據(jù)泄露、員工不當操作等管理問題有關(guān)，而全球的平均水平只有16%。

調(diào)查顯示，中國內(nèi)地企業(yè)在改善信息安全機制上仍有待努力，從近年安全事件結(jié)果看，中國每年大約98萬美元的財務(wù)損失，而亞洲國家平均約為75萬美元，印度大約為30.8萬美元。此外，42%的中國內(nèi)地受訪企業(yè)經(jīng)歷了應(yīng)用軟件、系統(tǒng)和網(wǎng)絡(luò)的信息安全事件。

目前，國內(nèi)的計算機信息安全從技術(shù)角度來看并不十分落后，但發(fā)展過程中暴露出很多管理方面的問題，例如信息安全管理人員意識、知識等方面的缺乏，急需大量補充。而且，授人與魚不如授人與漁，產(chǎn)品不是最重要的，重要的是要培養(yǎng)出安全的意識，否則企業(yè)的信息安全人員只是把產(chǎn)品買回去，并不能很好的發(fā)揮這些產(chǎn)品的作用，要從根本上解決安全的問題，必須提高員工的安全意識。

二、誤區(qū)多多，困難重重

面對瞬息萬變的安全形勢，企業(yè)并不是總能對癥下藥。尋找安全良方，避免種種安全的誤區(qū)，才是長遠的安全和發(fā)展之道。

誤區(qū)1：外部威脅大于內(nèi)部隱患

要防范威脅，首先要了解威脅來自于哪里。通常，人們都會認為來自于計算機黑客、惡意代碼編寫者等外部的安全威脅遠遠大于內(nèi)部的安全隱患，所以一般企業(yè)安全范圍的重點是在防范外部黑客攻擊，但是超過一半的威脅恰恰來自企業(yè)內(nèi)部，外部攻擊僅占46%。

在內(nèi)部安全威脅中，96%的是源于非蓄意的動機和錯誤;只有1%才是真正的惡意行為。由此看來，內(nèi)部威脅之所以危害巨大，歸根結(jié)底，還是員工安全意識薄弱。

盡管在防范內(nèi)部威脅方面，大多數(shù)企業(yè)還沒有拿出切實有效的方案。但是從安全調(diào)查來看，57.6%的企業(yè)已經(jīng)表示，培養(yǎng)并提高員工的信息安全意識，將是自己所在企業(yè)未來一年里，打算采取的最關(guān)鍵的安全策略。企業(yè)在未來之所以越來越重視員工信息安全管理，要歸結(jié)于多個因素：近幾年對安全意識的討論越來越多，為安全意識從“概念”到“落地”做好了準備；安全廠商也在推出越來越多成熟、有效的產(chǎn)品和方案；不少企業(yè)的成功應(yīng)用案例，也提供了很多借鑒性的經(jīng)驗。當然，最關(guān)鍵的是，企業(yè)自身的確實存在這樣的安全需求，認識到了提高信息安全意識的重要性以及必要性。

誤區(qū)2：信息安全是IT部門的事，與其他部門無關(guān)

在某些企業(yè)中，IT部門員工就像是救火隊員，哪里出了問題就到哪里，東奔西走，十分辛苦。但是，就是這么一群任務(wù)繁重、任勞任怨的員工，卻得不到其他同事的理解和認同。當IT人員為其他部門進行安全控制時（如進行安全檢查、安裝防病毒軟件等），其他部門會反感，認為增加了他們的工作量，降低了工作效率。但當真正出現(xiàn)了信息安全事故時，其他部門又會責怪IT部門，認為其平時的安全防范工作沒有做好。所以，IT部門往往是出力不討好。

怎樣徹底改變其他部門對IT部門的看法，怎樣使公司全體員工主動、積極地配合IT部門的工作，甚至可以做到自查自糾？信息安全意識的提高無疑是關(guān)鍵。員工接受了安全意識宣貫之后，就會認識到保護信息的安全不僅僅是IT部門的職責，更是全體員工的責任；就會理解平時的安全措施不是綁著他們的繩索，而是護著他們的盾牌；就會在主動、自覺地規(guī)范自己的行為，防止信息安全事故的發(fā)生。

誤區(qū)3：重視技術(shù)產(chǎn)品的引進，忽略安全意識的培養(yǎng)

如今，便攜式的移動設(shè)備，比如U盤、PDA等，已經(jīng)相當普及，移動辦公已經(jīng)成為不可逆轉(zhuǎn)的趨勢。但同時，U盤中毒、失竊所導(dǎo)致機密信息泄露的事件也屢見不鮮。所以，大多數(shù)企業(yè)越來越重視對移動設(shè)備的保護。許多公司統(tǒng)一采購了具有加密、殺毒功能，甚至可以指紋識別的高科技安全U盤，分發(fā)給員工，旨在杜絕U盤泄密事件的再次發(fā)生，但往往未能達到預(yù)期效果。

嚴謹?shù)募用芗夹g(shù)，配合訪問控制技術(shù)，雖然可以在一定程度上防止移動設(shè)備上的數(shù)據(jù)被泄露，但依然無法防止員工不規(guī)范的使用，和移動設(shè)備的丟失或被盜。若員工把加密U盤插入自己的家庭電腦進行辦公，那么病毒依舊有可能入侵到U盤中，這樣再強的加密技術(shù)也無濟于事。

和歐美等國家相比，中國U盤傳毒的問題越來越嚴重，并且一直沒辦法根絕，這和員工缺乏安全意識緊密相關(guān)。通常，員工插取U盤時，很少會考慮到是否和公司的安全策略相違背，或者有可能引發(fā)公司的安全事故。

三、立體宣貫，提升實力

第2篇

關(guān)鍵詞：信息安全；體系建設(shè)；方案

中圖分類號：TP309.2文獻標識碼：A文章編號：1009-3044(2008)36-2846-02

The Implementation Program of an Information Security System for an Enterprise

GUO Yong, CHEN Rong-sheng, ZHAN Gui-bao, ZENG Zhong-cheng, LU Teng-zu, LI Zhuang-xiang

(Fujian Xindong Network Technology Co., Ltd. Fuzhou 350003,China)

Abstract: In view of the enterprise information technology becoming more, the issue of business information security has become an important factor in life, an enterprise information security system for the implementation of the program. From the organization, management, construction and technical aspects on the construction of the three. In the specific implementation process, based on the specific circumstances at the same time or step-by-step building-related.

Key words: information security; system construction; program

1 引言

信息安全的體系建設(shè)就是讓企業(yè)建立安全的組織架構(gòu)，同時建立一套管理規(guī)范來規(guī)范成員的行為，并建立起安全的平臺為企業(yè)提供安全支撐同時為企業(yè)創(chuàng)造效益。本文根據(jù)一些企業(yè)現(xiàn)在實際情況，針對其信息安全現(xiàn)狀提出總體的實施步驟。企業(yè)在具體的實施過程中可參照這些步驟考慮實施。

下文將根據(jù)組織建設(shè)、管理建設(shè)和技術(shù)建設(shè)三個方面展開闡述。同時，在對技術(shù)建設(shè)闡述時，將從基礎(chǔ)設(shè)施建設(shè)和系統(tǒng)建設(shè)兩個方面分開闡述。

2 信息安全體系建設(shè)總體步驟

具體的實施步驟如圖1所示，具體包括：組織建設(shè)、團隊建設(shè)、管理規(guī)范、基礎(chǔ)環(huán)境、資產(chǎn)定級和評估、支撐系統(tǒng)和服務(wù)運維。以上組成部分都可歸結(jié)為組織建設(shè)、管理建設(shè)和技術(shù)建設(shè)三個方面。

圖1 信息安全體系建設(shè)步驟

實施步驟中有的步驟是可以同時進行的，如圖2所示。但有相對的優(yōu)先級，優(yōu)先級高的環(huán)節(jié)相應(yīng)的應(yīng)該放在優(yōu)先考慮的位置。有些環(huán)節(jié)鑒于完成的周期較長，建議可以同步進行，避免信息安全實施周期過長，影響企業(yè)的目標達成。

3 組織建設(shè)

信息安全體系建設(shè)要做好，組織建設(shè)是關(guān)鍵。組織建設(shè)是所有其它建設(shè)的前提。而組織建設(shè)的第一步就是做好組織調(diào)整。組織調(diào)整就是把信息安全運營管理分為兩個部門，一個是生產(chǎn)部門，一個是管理部門。

3.1 信息安全管理部門

信息安全管理部門有權(quán)對其它部門進行安全考核，同時信息安全生產(chǎn)部門是由信息安全的管理部門直接管理指揮的。信息安全管理部門的職責決定其管理部門對企業(yè)信息安全有著全局的管控能力，負責信息安全全局任務(wù)下達和監(jiān)督，安全戰(zhàn)略目標的建議以及政府、公安、司法等安全外聯(lián)。

3.2 信息安全生產(chǎn)部門

信息安全生產(chǎn)的部門，其信息安全生產(chǎn)內(nèi)容包括三個部分，對內(nèi)是企業(yè)信息安全的支撐、對外提供企業(yè)信息安全服務(wù)和公眾信息安全服務(wù)，接受安全管理部門的領(lǐng)導(dǎo)的管理和考核，和其他生產(chǎn)部門屬平級關(guān)系。

4 管理建設(shè)

4.1 管理制度頒布

對于管理制度，必須對管理規(guī)范和流程進行規(guī)范定義，在管理制定頒布之前應(yīng)該作以下的事情：由安全管理部門牽頭召開各個部門參與的管理制定內(nèi)容研究討論會，收集各方建議；根據(jù)各個建議對管理制度進行修訂；修訂后管理制度，再次召集各個部門討論并基本通過；安全管理部門頒布管理制度并確定管理制度的實施的開始時間；在制度實施開始時間之前，進行制度宣灌，組織各個部門參加學(xué)習(xí)，并進行相關(guān)學(xué)習(xí)的考試；管理制度開始實施。

4.2 管理制度落實

信息安全管理制度落實是由信息安全管理部門的管控部執(zhí)行的，管控部包括考核、質(zhì)檢、審計三個小組共同組成，考核各個部門管理制度的落實情況。如何對各個部門的信息安全情況進行考核呢？不同時期有不同的做法，分為兩個階段：

一是SOC（信息安全運維中心）建設(shè)階段。SOC建設(shè)階段由于安全生產(chǎn)組織和安全支撐系統(tǒng)還不夠健全，對安全的支撐十分有限，因此這個階段的質(zhì)檢、審計、考核多以手工為主，信息安全審計和信息安全質(zhì)檢以部門抽樣檢查為主，無法做到全面的普查。信息安全質(zhì)檢組定期進行各個部門的信息安全檢查，主要工作是定期的信息安全巡檢工作。信息安全審計組對各個部門的工作日志進行定期的審計工作，特別是出現(xiàn)信息安全事件后的審計工作。信息安全生產(chǎn)部門配合管理部門進行信息安全質(zhì)檢工作和審計工作，同時信息安全生產(chǎn)部門承擔著SOC支撐系統(tǒng)建設(shè)的需求分析、項目監(jiān)督、系統(tǒng)驗收等工作。

二是SOC運維階段。SOC運維階段，由于各個信息安全支撐系統(tǒng)已經(jīng)較為完備，而且人員組織逐漸成熟，對信息安全的管控能力將實現(xiàn)一個質(zhì)的飛越，信息安全質(zhì)檢組可隨時對考核部門進行信息安全巡檢，巡檢可采用面向全網(wǎng)的信息安全自動巡檢，全面系統(tǒng)的分析全網(wǎng)的安全狀況，信息安全審計可分手工和自動相結(jié)合的方式進行審計，根據(jù)不同的業(yè)務(wù)應(yīng)用、訪問控制等進行審計分析，快速高效的進行審計。信息安全管控從抽樣管理到全面管理，從靜態(tài)管理到動態(tài)管理，從事后響應(yīng)到事前預(yù)防。

5 基礎(chǔ)設(shè)施建設(shè)及相關(guān)建設(shè)

信息安全基礎(chǔ)設(shè)施建設(shè)的目的主要是實現(xiàn)對現(xiàn)有生產(chǎn)網(wǎng)資源的集中和優(yōu)化，提高系統(tǒng)運行效率，并同時進行局部的信息安全加固和改進，使得在信息安全支持系統(tǒng)尚未建成時，使現(xiàn)有生產(chǎn)網(wǎng)系統(tǒng)的信息安全性和可用性提高到一個新的水準。其內(nèi)容主要包括結(jié)構(gòu)調(diào)整、優(yōu)化整合和安全集成。結(jié)構(gòu)調(diào)整主要是對信息安全體系存在重大影響的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)的調(diào)整；優(yōu)化整合是對信息安全可用性和保密性的關(guān)鍵因素進行改進，如操作通道的加密；安全集成是根據(jù)企業(yè)信息安全需要綜合分析后，得出在現(xiàn)有生產(chǎn)網(wǎng)上所要建設(shè)和購置的信息安全系統(tǒng)及產(chǎn)品。

此外，在經(jīng)過資產(chǎn)的等級劃分之后，并進行的相關(guān)信息資產(chǎn)的優(yōu)化整合后，全網(wǎng)中大量的信息安全問題和隱患將被排除，但是還會有許多的薄弱點，這些薄弱點是在優(yōu)化整合后還沒有解決的或疏忽的問題，找出這些薄弱點就需要一次系統(tǒng)的信息安全評估過程，把目前安全存在的問題進行分析。信息安全評估的是根據(jù)信息資產(chǎn)的本身的所處的網(wǎng)絡(luò)環(huán)境和信息資產(chǎn)價值有直接的關(guān)系，信息安全評估的目的不是要求企業(yè)把所有的問題一概而論的解決掉，而是告訴企業(yè)有這些一些問題值得關(guān)注，至于解決的問題的要投入的人力物力是根據(jù)信息資產(chǎn)的本身的價值而定。

6 系統(tǒng)建設(shè)

信息安全系統(tǒng)建設(shè)也即最后的信息安全體系建設(shè)的最后步驟，是具體實施的過程。在面上主要表現(xiàn)為依照信息安全體系建設(shè)規(guī)劃方案進行采購與部署。這里的采購對象包括：產(chǎn)品采購類、服務(wù)產(chǎn)品類和研發(fā)產(chǎn)品類。

6.1 產(chǎn)品采購類

在建設(shè)信息安全支撐和信息安全服務(wù)系統(tǒng)過程中會涉及到許多安全產(chǎn)品的采購，如防火墻、黑洞、入侵檢測、安全檢測工具產(chǎn)品、成熟的安全集成產(chǎn)品等等采購，因此我們將這部分不需要太多定制開發(fā)可直接購買或集成的產(chǎn)品定義為產(chǎn)品采購類。其采用的原則是：

1）安全產(chǎn)品的本身應(yīng)該具備的功能要求；2）安全產(chǎn)品本身應(yīng)該具備的性能要求；3）安全產(chǎn)品本身應(yīng)該具備的安全要求；4）安全產(chǎn)品應(yīng)該具體的管理要求；5）安全產(chǎn)品的可擴展性要求。

6.2 服務(wù)產(chǎn)品類

圖2 信息安全體系建設(shè)并行建設(shè)步驟

服務(wù)產(chǎn)品類，主要是針對對外安全服務(wù)的產(chǎn)品類，對外服務(wù)的產(chǎn)品類包括集成產(chǎn)品和服務(wù)內(nèi)容。服務(wù)產(chǎn)品定義主要是根據(jù)市場運營所推出相應(yīng)服務(wù)而定義。服務(wù)產(chǎn)品的實施原則如下：

1）產(chǎn)品市場潛力；2）產(chǎn)品的產(chǎn)出比戰(zhàn)略研究；3）產(chǎn)品相關(guān)的信息安全等級評估；4）產(chǎn)品相關(guān)的信息安全策略；5）產(chǎn)品相關(guān)的響應(yīng)團隊；6）產(chǎn)品宣傳渠道和策略分析；7）產(chǎn)品相關(guān)的增值服務(wù)；8）產(chǎn)品創(chuàng)造價值的統(tǒng)計分析。

6.3 研發(fā)產(chǎn)品類

信息安全支撐系統(tǒng)和信息安全服務(wù)系統(tǒng)建設(shè)中，一定有一些系統(tǒng)需要進行定制開發(fā)，這些定制開發(fā)的產(chǎn)品我們定義為研發(fā)類產(chǎn)品。研發(fā)類產(chǎn)品建設(shè)原則如下：

1）產(chǎn)品能夠滿足現(xiàn)有生產(chǎn)的功能要求；2）產(chǎn)品具有良好的可靠性和擴展性；3）產(chǎn)品具有一定先進性，能滿足3－5年企業(yè)IT發(fā)展要求；4）產(chǎn)品要預(yù)留信息安全管理接口，能對系統(tǒng)日志進行采集和審計。

7 結(jié)束語

文章針對在企業(yè)信息化程度越來越高的情況下，信息安全成為關(guān)乎企業(yè)生命的重要因素，提出了一種針對企業(yè)的信息安全體系建設(shè)實施方案。在具體的實施過程中，可以基于具體情況分步驟或者同時進行相關(guān)建設(shè)。此方案對于指導(dǎo)企業(yè)的信息安全體系建設(shè)有一定的參考意義。

參考文獻：

[1] 周學(xué)廣,劉藝. 信息安全學(xué)[M]. 北京: 機械工業(yè)出版社,2003.

[2] 韓祖德. 計算機信息安全基礎(chǔ)教程[M]. 北京: 人民郵電出版社, 2005.

[3] 陸廣能. 淺析數(shù)字化檔案信息安全問題[J]. 電腦知識與技術(shù), 2005, (10):30-32.

[4] 李娟. 淺談如何構(gòu)建檔案信息安全防護體系[J].河南職業(yè)技術(shù)師范學(xué)院學(xué)報, 2004, (4):20-25.

[5] 范開菊. 網(wǎng)絡(luò)環(huán)境下檔案信息安全問題探微[J]. 科技情報開發(fā)與經(jīng)濟, 2005, (2):47.

第3篇

21世紀是經(jīng)濟全球化的時代，產(chǎn)業(yè)安全是世界各國面臨的共同問題。醫(yī)藥產(chǎn)業(yè)是我國經(jīng)濟重要組成部分，是當前形勢下我國重點發(fā)展的支柱產(chǎn)業(yè)之一。在外資大量進入的背景下，很有必要對醫(yī)藥產(chǎn)業(yè)安全做一個評估。而醫(yī)藥產(chǎn)業(yè)作為新興產(chǎn)業(yè)和傳統(tǒng)工業(yè)相比有許多不同之處，應(yīng)根據(jù)醫(yī)藥產(chǎn)業(yè)的特點界定產(chǎn)業(yè)安全指標。運用產(chǎn)業(yè)經(jīng)濟學(xué)和發(fā)展經(jīng)濟學(xué)等理論，從產(chǎn)業(yè)環(huán)境，國際競爭力，對外依存度，產(chǎn)業(yè)控制力等幾個方面對我國醫(yī)藥產(chǎn)業(yè)安全進行了大體的評估，并在此基礎(chǔ)上提出維護對策。

關(guān)鍵詞：

醫(yī)藥產(chǎn)業(yè)現(xiàn)狀；醫(yī)藥產(chǎn)業(yè)安全；維護對策

中圖分類號：F2

文獻標識碼：A

文章編號：16723198（2013）02000702

當前世界經(jīng)濟按照經(jīng)濟全球化和區(qū)域經(jīng)濟一體化的趨勢迅猛發(fā)展。經(jīng)濟全球化不僅通過商業(yè)貿(mào)易的全球化加劇了各行業(yè)的競爭，更重要的是從根本上改變了國際格局，使各個國家原有的國內(nèi)國際產(chǎn)業(yè)環(huán)境發(fā)生了翻天覆地的變化。在經(jīng)濟全球化的挑戰(zhàn)面前，如果不謹慎應(yīng)對，將很可能喪失經(jīng)濟發(fā)展的良好環(huán)境，損失既有的產(chǎn)業(yè)鏈，更可能喪失有關(guān)國計民生的重要產(chǎn)業(yè)和核心技術(shù)的控制權(quán)。產(chǎn)業(yè)安全已成為我國經(jīng)濟發(fā)展的核心問題之一。

醫(yī)藥制造業(yè)是我國國民經(jīng)濟重要組成部分，關(guān)系到人民健康和國計民生，也是目前世界上發(fā)展迅速，競爭激烈，利潤豐厚的高新產(chǎn)業(yè)之一。當前外資大量進入中國醫(yī)藥市場，對中國本土醫(yī)藥產(chǎn)業(yè)沖擊較大，很有必要對其進行產(chǎn)業(yè)安全評估。對其他的高科技產(chǎn)業(yè)也有重要的借鑒作用。

1醫(yī)藥產(chǎn)業(yè)安全的基本界定

1.1 產(chǎn)業(yè)安全理論研究

亞當斯密是最早提出產(chǎn)業(yè)安全的人，他在《國民財富的性質(zhì)和原因研究》一書中，大力主張進行自由的公平競爭，但提出要對涉及到國家安全的國防工業(yè)進行保護扶持。他認為，如果制造業(yè)是國防所需，那么靠鄰國供給是不合適的。如果對這行業(yè)不進行獎勵就無法維持，那么對于其他產(chǎn)業(yè)征稅維護這一特定產(chǎn)業(yè)是合理的。他強調(diào)，對于涉及國計民生的產(chǎn)業(yè)，不能依賴國外。

18到19世紀，李斯特為代表的貿(mào)易保護主義者認為，工業(yè)化落后的國家在最初發(fā)展必須向幼稚產(chǎn)業(yè)提供例如關(guān)稅等形式的貿(mào)易保護，以保護其在國外強大競爭下依然能夠繼續(xù)生存和發(fā)展。

20世紀70年代美國關(guān)注外資在美投資，美國前國務(wù)卿喬治鮑爾一次討論國外直接投資的會議上提出，要多加注意外資的挑戰(zhàn)，美國企業(yè)面對歐洲日本制造業(yè)要堅決維護自己的地位。

1966年弗農(nóng)提出了產(chǎn)品生命周期理論，在此基礎(chǔ)上國際產(chǎn)業(yè)轉(zhuǎn)移理論發(fā)展了起來。隨后日本學(xué)者小澤輝智提出了“增長階段理論”，由于國外直接投資所引發(fā)的產(chǎn)業(yè)國際轉(zhuǎn)移，既是發(fā)達國家調(diào)整產(chǎn)業(yè)結(jié)構(gòu)，實現(xiàn)全球戰(zhàn)略的重要手段，也是發(fā)展中國家改造和調(diào)整結(jié)構(gòu)，實現(xiàn)產(chǎn)業(yè)進步和技術(shù)升級的重要途徑。

我國學(xué)者何維達，李冬梅把產(chǎn)業(yè)安全的內(nèi)涵界定為以下四類：一是產(chǎn)業(yè)控制說，強調(diào)相對于外國資本，本國資本要對相關(guān)產(chǎn)業(yè)有足夠控制力；二是產(chǎn)業(yè)競爭說，強調(diào)本國產(chǎn)業(yè)要有較強的競爭力，各部門均衡協(xié)調(diào)發(fā)展，抵御開放競爭帶來的各種不利因素；三是產(chǎn)業(yè)發(fā)展說，強調(diào)本國要控制關(guān)系到國家安全和國家戰(zhàn)略的重要產(chǎn)業(yè)，并使這些產(chǎn)業(yè)在國際競爭中具有較大潛力；四是產(chǎn)業(yè)權(quán)益說，強調(diào)本國要保證國民的產(chǎn)業(yè)權(quán)益在開放競爭中不受損害。

曹秋菊把產(chǎn)業(yè)安全的內(nèi)涵界定為動態(tài)和靜態(tài)兩個方面，從動態(tài)看，產(chǎn)業(yè)安全強調(diào)本國產(chǎn)業(yè)在開放競爭中具備較大的發(fā)展?jié)摿Γ瑥撵o態(tài)看，產(chǎn)業(yè)安全強調(diào)本國控制關(guān)系到國家安全和國家戰(zhàn)略的重要產(chǎn)業(yè)。

喬穎，彭紀生把產(chǎn)業(yè)安全內(nèi)涵界定在以下五類：一是，強調(diào)外商利用資本和先進技術(shù)等優(yōu)勢，通過直接收購，合資等方式控制本國重要產(chǎn)業(yè)，威脅國家產(chǎn)業(yè)安全；二是能力論，強調(diào)本國產(chǎn)業(yè)對開放競爭帶來的各種不利因素具有抵御能力，可以保持各部門協(xié)調(diào)均衡發(fā)展；三是狀態(tài)論，強調(diào)要在開放競爭中抵御外來侵害，保護和發(fā)展本國產(chǎn)業(yè)；四是權(quán)力論，強調(diào)本國對重要產(chǎn)業(yè)的發(fā)展和調(diào)整擁有自；五是層次論，強調(diào)分不同層次界定產(chǎn)業(yè)安全的內(nèi)涵。

王曉云，許芳把產(chǎn)業(yè)安全的內(nèi)涵界定分為以下四個方面：一是強調(diào)將制造業(yè)安全作為國家產(chǎn)業(yè)安全主體；二是強調(diào)將民族產(chǎn)業(yè)安全范疇擴大至國民產(chǎn)業(yè)安全；三是強調(diào)從問題的根源界定外資對產(chǎn)業(yè)安全的威脅；四是強調(diào)在開放競爭環(huán)境下，本國對關(guān)系到國家安全和國家戰(zhàn)略的重要產(chǎn)業(yè)的調(diào)整和控制。

1.2 醫(yī)藥產(chǎn)業(yè)安全的評價

評價產(chǎn)業(yè)安全，應(yīng)包括兩個部分，首先要對產(chǎn)業(yè)行業(yè)產(chǎn)品現(xiàn)狀進行描述，主要反映產(chǎn)業(yè)的基礎(chǔ)狀況，即行業(yè)的實力，反映了對外依賴的程度和抵御入侵的能力；其次還有行業(yè)之外的許多因素如政策法規(guī)與大環(huán)境以及外資的影響等。

何維達提出，根據(jù)影響產(chǎn)業(yè)安全主要因素，將評價產(chǎn)業(yè)安全的指標主要劃分為四種。這種指標體系在產(chǎn)業(yè)安全評價中得到了廣泛應(yīng)用，具體可分為：產(chǎn)業(yè)環(huán)境，產(chǎn)業(yè)國際競爭力，產(chǎn)業(yè)對外依存度，產(chǎn)業(yè)控制力。

我國醫(yī)藥產(chǎn)業(yè)安全可以從以下四個方面進行評價：我國醫(yī)藥產(chǎn)業(yè)環(huán)境； 我國醫(yī)藥產(chǎn)業(yè)國際競爭力；我國醫(yī)藥產(chǎn)業(yè)對外依存度；我國醫(yī)藥產(chǎn)業(yè)控制力。

2我國醫(yī)藥產(chǎn)業(yè)安全現(xiàn)狀

2.1我國醫(yī)藥產(chǎn)業(yè)環(huán)境

醫(yī)藥產(chǎn)業(yè)環(huán)境是醫(yī)藥產(chǎn)業(yè)賴以生存的基礎(chǔ)，受到市場環(huán)境和所投入的生產(chǎn)要素等影響，對醫(yī)藥產(chǎn)業(yè)的發(fā)展起到基礎(chǔ)性作用。

我國醫(yī)藥企業(yè)融資渠道較少，常常發(fā)生產(chǎn)業(yè)發(fā)展資金不足的情況，但這些年隨著金融市場的不斷開放和改革深入，雖然問題不能立刻解決，但是醫(yī)藥產(chǎn)業(yè)資金得到了逐步改善。資產(chǎn)負債率反映了企業(yè)經(jīng)營效益和風(fēng)險，我國醫(yī)藥企業(yè)的資產(chǎn)負債率近年來逐年下降，說明產(chǎn)業(yè)良性發(fā)展。由于人口老齡化，經(jīng)濟發(fā)展，醫(yī)保制度等原因，醫(yī)藥產(chǎn)業(yè)的市場需求逐年上升，這對醫(yī)藥產(chǎn)業(yè)的發(fā)展是個重要機遇。但是除了這些積極因素，我國醫(yī)藥企業(yè)的員工素質(zhì)仍然有待提高，研發(fā)費用投入和新藥數(shù)量仍然與發(fā)達國家有很大的差距。

2.2我國醫(yī)藥產(chǎn)業(yè)國際競爭力

產(chǎn)業(yè)競爭力能夠顯示產(chǎn)業(yè)的競爭優(yōu)勢，也是產(chǎn)業(yè)謀求生存和發(fā)展的基礎(chǔ)。

我國醫(yī)藥產(chǎn)業(yè)的國際市場競爭力較弱，世界醫(yī)藥市場主要為發(fā)達國家的醫(yī)藥公司所壟斷，我國出口商品在數(shù)量偏少，質(zhì)量結(jié)構(gòu)上也不合理，缺乏核心競爭力。在國內(nèi)市場上，我國的本土企業(yè)占有大部分份額。在當前的形勢下，很多外企在華設(shè)廠，藥品貿(mào)易方面國內(nèi)企業(yè)不夠理想。我國醫(yī)藥企業(yè)的產(chǎn)業(yè)集中度較低。首先在我國醫(yī)藥產(chǎn)業(yè)發(fā)展的初期，由于醫(yī)藥產(chǎn)業(yè)的高回報率，和當時我國對醫(yī)藥產(chǎn)業(yè)發(fā)展的需求，導(dǎo)致眾多資本進入醫(yī)藥產(chǎn)業(yè)。而當時有關(guān)醫(yī)藥產(chǎn)業(yè)的政策還不完善，更有某些政府自身的原因，沒有對醫(yī)藥產(chǎn)業(yè)的發(fā)展予以正確引導(dǎo)和合理限制，而是盲目的發(fā)展，同時醫(yī)藥企業(yè)的進入壁壘過低也是一個重要原因。而我國醫(yī)藥企業(yè)的生產(chǎn)率和利潤率還偏低，同質(zhì)化競爭嚴重。

2.3我國醫(yī)藥產(chǎn)業(yè)對外依存度

對外依存度主要反映了醫(yī)藥產(chǎn)業(yè)受國際市場制約的程度。

我國醫(yī)藥企業(yè)的進口常年保持穩(wěn)定的較低水平，較為安全。出口也較為穩(wěn)定，主要是一些原料藥。而對外資的利用則隨著改革開放的深入大規(guī)模增加，我國醫(yī)藥企業(yè)對外商投資有所依賴，但目前還不明顯嚴重。然而我國的技術(shù)非常依賴國外，一直以仿制藥為主，很少有原創(chuàng)新藥。我國醫(yī)藥產(chǎn)業(yè)實力正在不斷增強，與國外交流日益頻繁，但是缺乏自己的核心技術(shù)，必須要依靠創(chuàng)新形成屬于自己的核心競爭力，這還需要很多努力。

2.4我國醫(yī)藥產(chǎn)業(yè)控制力

目前我國醫(yī)藥產(chǎn)業(yè)的投資仍然以國內(nèi)企業(yè)為主，本土投資略多于外資以及港澳臺投資，但是在利潤上外資較高。而且外資正對國內(nèi)企業(yè)進行大規(guī)模的并購，在股權(quán)和資本占有率上，預(yù)計數(shù)年內(nèi)可能外資控制比例會進一步增加。而在品牌效應(yīng)上，部分藥品的領(lǐng)域外資占優(yōu)勢，擁有很強的品牌號召力，威脅到了國內(nèi)品牌的發(fā)展。在技術(shù)上，外資占絕對優(yōu)勢，中國本土企業(yè)和國際醫(yī)藥公司的技術(shù)差距很大。不僅如此，我國企業(yè)的研發(fā)投入也遠遠不及外資企業(yè)。在對華投資的外資中，美國企業(yè)占大多數(shù)，也對我國市場有很大的控制能力。

3我國醫(yī)藥產(chǎn)業(yè)安全狀況的主要問題

我國醫(yī)藥企業(yè)的產(chǎn)業(yè)環(huán)境和競爭力還不理想，產(chǎn)業(yè)集中度較低，我國醫(yī)藥企業(yè)有一些特點：企業(yè)數(shù)量眾多，但是大企業(yè)少，小型企業(yè)多，資源和資本分散，普遍存在低效益，低技術(shù)含量，盲目運營等問題，缺乏有核心競爭力的大企業(yè)。

產(chǎn)品差異化可以擴大需求，滿足不同需求層次消費者的需要，有利于培養(yǎng)品牌價值，擴大市場份額，同時也可以盡量避免不必要的同質(zhì)化競爭，減少不必要的重復(fù)生產(chǎn)和浪費。然而，我國藥品普遍存在技術(shù)含量低，附加值低的問題。導(dǎo)致我國醫(yī)藥產(chǎn)品技術(shù)重復(fù)率高，同質(zhì)化競爭嚴重，造成了很多不必要的競爭和浪費。

我國目前的醫(yī)藥產(chǎn)業(yè)技術(shù)含量低，極度缺乏創(chuàng)新。生產(chǎn)的大部分產(chǎn)品都是同質(zhì)化競爭嚴重，低技術(shù)低附加值的過剩藥品，難以形成競爭力，而且直接導(dǎo)致惡性競爭，導(dǎo)致醫(yī)藥企業(yè)利潤的下降。

隨著外資的進入，我國醫(yī)藥產(chǎn)業(yè)對外資的依賴與日俱增，尤其是中國企業(yè)缺乏專利新藥和核心競爭力，被外國醫(yī)藥企業(yè)控制市場的威脅也日益增長。我國醫(yī)藥產(chǎn)業(yè)對外資的依存度和外資的控制能力不容忽視，應(yīng)引起足夠的重視和警惕。

4改善我國醫(yī)藥產(chǎn)業(yè)安全的對策建議

4.1創(chuàng)造良好的法律和政策環(huán)境

我國的立法環(huán)境處在不斷完善的階段，醫(yī)藥產(chǎn)業(yè)的法律法規(guī)也應(yīng)該完善。我們應(yīng)加強知識產(chǎn)權(quán)意識，深入研究醫(yī)藥行業(yè)有關(guān)新技術(shù)的專利保護標準，制定并實施有利于國家創(chuàng)新技術(shù)的管理方法，在政策上鼓勵企業(yè)研發(fā)創(chuàng)新。并對外資的入侵進行回應(yīng)，制定能夠有效保護國內(nèi)醫(yī)藥產(chǎn)業(yè)的政策和措施，在有效利用外資的前提下，防止外資進入的負面影響。保護國內(nèi)產(chǎn)業(yè)的健康正常發(fā)展。

4.2提高準入門檻，提高產(chǎn)業(yè)集中度和企業(yè)規(guī)模經(jīng)濟水平

應(yīng)該提高企業(yè)的準入門檻，加強相關(guān)管理，提高醫(yī)藥產(chǎn)業(yè)的集中度，有效提升競爭力。醫(yī)藥產(chǎn)業(yè)的組織結(jié)構(gòu)調(diào)整要以市場機制的調(diào)節(jié)作用為基礎(chǔ)，并充分發(fā)揮政府的作用，推動企業(yè)的并購和聯(lián)合，通過相應(yīng)的產(chǎn)業(yè)政策，推動企業(yè)資產(chǎn)重組的進行，加快醫(yī)藥產(chǎn)業(yè)集中和規(guī)模化進程。

4.3加強管理和研發(fā)力度，培養(yǎng)創(chuàng)新能力

在保證增加政府經(jīng)費對科研投入的同時，可以通過其他手段，例如經(jīng)濟手段，政策措施導(dǎo)向，以及約束機制等引導(dǎo)鼓勵醫(yī)藥企業(yè)主動增加研發(fā)費用。對大型企業(yè)關(guān)鍵技術(shù)的研究開發(fā)要予以充分支持，盡早實現(xiàn)產(chǎn)業(yè)化投入。同時我們也要培養(yǎng)醫(yī)藥研發(fā)創(chuàng)新的專業(yè)人才，加強對醫(yī)藥企業(yè)技術(shù)人員的培訓(xùn)。

4.4合理利用國際貿(mào)易的法規(guī)，調(diào)整產(chǎn)業(yè)進出口結(jié)構(gòu)

我們應(yīng)加強對貿(mào)易規(guī)則經(jīng)驗和措施的研究學(xué)習(xí)，加強醫(yī)藥產(chǎn)業(yè)的自我保護能力。并合理利用規(guī)則，調(diào)整產(chǎn)品的進出口結(jié)構(gòu)，使其朝著有利于國內(nèi)企業(yè)發(fā)展壯大的方向發(fā)展，對國內(nèi)的醫(yī)藥市場以至于中國的醫(yī)藥產(chǎn)業(yè)發(fā)展實施合理有效地保護。

參考文獻

[1] 何維達，李冬梅.中國產(chǎn)業(yè)安全理論研究綜述[J].經(jīng)濟縱橫，2006，（8）：7476.

[2]喬穎，彭紀生.國內(nèi)產(chǎn)業(yè)安全問題的研究綜述[J].濟南大學(xué)學(xué)報，2007，（3）：8689.

[3]王曉云，許芳.產(chǎn)業(yè)安全問題研究——基于生態(tài)學(xué)視角[J].鄭州航空工業(yè)管理學(xué)院學(xué)報，2008，（3）：510.

[4]劉學(xué)，陳文選，鄭東連等.利用外資對中國醫(yī)藥業(yè)的影響[J].國際貿(mào)易，1994，（2）：1927.

[5]顧麗萍.加入世界貿(mào)易組織后我國醫(yī)藥行業(yè)的外資利用問題探討[J].上海醫(yī)藥，2000，21（10）：910.

[6]祁添.新時期我國醫(yī)藥行業(yè)利用外資情況分析[J].黑龍江對外經(jīng)貿(mào)，2003，（09）：3031.

[7]許銘，李娜.淺析當前中國醫(yī)藥制造業(yè)產(chǎn)業(yè)安全狀況[J].中國醫(yī)藥工業(yè)，2011，42（12）：111115.

第4篇

關(guān)鍵詞：移動終端模式；港口企業(yè)；安全管理；信息系統(tǒng)；設(shè)計

隨著現(xiàn)代信息技術(shù)的不斷發(fā)展，信息化技術(shù)在現(xiàn)代港口企業(yè)安全管理中的應(yīng)用大大提高管理的效率。但目前一些港口企業(yè)的安全管理還存在著較大的問題，管理狀態(tài)還停留在原始的狀態(tài)上，給港口企業(yè)的安全管理帶來一定的困擾。因此本文通過建立港口安全管理的信息化平臺，改變港口安全管理的原始狀態(tài)，提高港口管理的效率。

一、港口安全管理模塊的功能性需求

港口安全管理是港口生產(chǎn)經(jīng)營的重要保障，其主要的功能是確保港口的安全生產(chǎn)，保證港口的設(shè)施安保管理功能，建立應(yīng)急管理備案和隱患排查制度，幫助港口企業(yè)提升對港口的安全監(jiān)督，提高工作的效率，因此在設(shè)計港口安全管理信息系統(tǒng)時，該模塊的安全管理要滿足以下需求。

（一）安全文件備案：港口安全文件是上級部門的一些具有權(quán)威性的文件以及制定的一些制度性的文件，因此該模塊的設(shè)計要求顯示文件備案并允許上傳附件供用戶進行下載和瀏覽。

（二）隱患排查管理：隱患排查管理是保障港口安全生產(chǎn)的重要手段之一。港口企業(yè)要對自身的生產(chǎn)經(jīng)營活動負主要的責任，需定期在港口生產(chǎn)經(jīng)營的各個環(huán)節(jié)進行安全隱患排查工作，并保存在系統(tǒng)中進行公布。

（三）港口應(yīng)急管理：港口應(yīng)急管理包括多個方面的內(nèi)容，需要建立相關(guān)的應(yīng)急小組，設(shè)置應(yīng)急的預(yù)案，準備各種應(yīng)急的資源，定期進行應(yīng)急演練等。應(yīng)急預(yù)案的準備也就是對港口的安全管理實施安全文件，上級部門能夠?qū)Υ嬖诘陌踩[患迅速的做出應(yīng)急措施。

二、港口安全管理信息移動終端的設(shè)計

港口安全管理信息移動終端是以計算機網(wǎng)絡(luò)和地理信息系統(tǒng)（GIS）為基礎(chǔ)建立的一個安全可靠、高效職能、可擴展的安全生產(chǎn)監(jiān)督、監(jiān)察業(yè)務(wù)管理信息系統(tǒng)，它能為安全生產(chǎn)監(jiān)督部門實現(xiàn)網(wǎng)絡(luò)化、數(shù)字化的協(xié)同辦公，進一步實現(xiàn)業(yè)務(wù)管理規(guī)范化、種學(xué)化、信息化。

三、港口企業(yè)安全管理信息系統(tǒng)結(jié)構(gòu)和功能設(shè)計

（一）安全文件備案管理模塊：在安全文件備案管理模塊中，行政部門的用戶可以通過系統(tǒng)上傳安全的文件提供給港口企業(yè)進行下載和瀏覽。用戶使用對應(yīng)的賬號登錄以后，對相應(yīng)的模塊進行判斷，港口企業(yè)可直接查看信息，行政單位用戶可以進入到安全文件備案中進行直接的操作，可以添加和刪除安全文件的信息。在添加安全文件時用戶可以直接使用賬號登錄系統(tǒng)，進入到安全文件備案管理模塊，如果具有查看安全文件的權(quán)限，那么進入系統(tǒng)可以直接查看上級部門的一些行政性的文件或者制度性的文件。

（二）安全隱患排查模塊：安全隱患排查主要是檢查人員可以通過移動終端進行安全隱患的排查工作，并進入到相關(guān)的模塊中，檢查相關(guān)的隱患類型，如常規(guī)檢查、交接班檢查等，選擇一項后系統(tǒng)會自動的加載該項的所有項目提供給檢查人員檢查。如果想要重新進行檢查時可以選擇相應(yīng)的類型，系統(tǒng)將會自動加載該類型的相關(guān)項目，檢查人員可以根據(jù)檢查的實際情況選擇自己所要檢查的內(nèi)容。

（三）港口應(yīng)急管理模塊：在應(yīng)急管理模塊中，管理人員可以通過移動終端進入到系統(tǒng)中建立相應(yīng)的應(yīng)急預(yù)案和應(yīng)急小組，對應(yīng)急資源和信息進行管理和維護。應(yīng)急管理人員進入到系統(tǒng)中可以對各自負責的應(yīng)急資源和信息進行管理和操作，可以添加應(yīng)急的資源和信息，更新應(yīng)急的信息和資源。

（四）移動終端的管理：在港口安全管理中，對管理人員的績效考核往往是在事后進行核算，因此對于管理人員的業(yè)務(wù)水平很難形成動態(tài)的追蹤，在人員的管理中出現(xiàn)了較大的阻礙。為完善管理人員的考核工作，且能夠較準確的反應(yīng)出人員對安全隱患的應(yīng)急措施的有效性。

四、系統(tǒng)的試運行

系統(tǒng)試運行過程中，結(jié)合企業(yè)原有局域網(wǎng)系統(tǒng)，將軟件安裝在已有的服務(wù)器上，組織使用人員進行專題培訓(xùn)。系統(tǒng)試運行正式開始，技術(shù)人員與軟件使用人員組織了多次溝通協(xié)調(diào)會，對系統(tǒng)功能進行了一系列補充和修改，系統(tǒng)的運行基本達到預(yù)期效果。從系統(tǒng)開始運行至今，安全管理信息系統(tǒng)在日照港的運行效果非常明顯，在系統(tǒng)運行之前，以1名普通安全管理人員為例，每月花費在文件整理歸檔上的工作大約占到其工作總量的46%以上，每月的工作時間大約在84工作時左右；在管理系統(tǒng)運行后這部分的時間被縮減至17個工作時，累計節(jié)約時間達到80%以上。

第5篇

首先，鑒于中小企業(yè)的特點，在信息安全意識培訓(xùn)過程中需要考慮兩個基本點。第一點，對全公司盡量培訓(xùn)一致的安全信息，并且這項計劃要由信息技術(shù)部門負責管理。中小型企業(yè)規(guī)模往往比較小，不足以實行具有不同傾向性的多種培訓(xùn)計劃。第二點，要清楚中小企業(yè)的大部分電腦使用者并不是專業(yè)人員，相關(guān)的培訓(xùn)應(yīng)該簡單且接近企業(yè)用戶的水平。

其次，需要考慮的是中小企業(yè)信息安全方面需要培訓(xùn)哪些內(nèi)容。一般而言，需要考慮的培訓(xùn)內(nèi)容包括：用戶管理、網(wǎng)絡(luò)與電子郵件、移動設(shè)備與便攜設(shè)備使用、對外保密、突發(fā)事件、系統(tǒng)操作安全等。

再次，需要根據(jù)自身特點選取適合中小企業(yè)信息安全意識的培訓(xùn)方法。一般來說，至少有三種途徑可以用于企業(yè)進行安全意識培訓(xùn)：一是在公司內(nèi)部尋找培訓(xùn)人員和培訓(xùn)部門，進行內(nèi)部培訓(xùn)；二是聘請外部專業(yè)的培訓(xùn)公司進行培訓(xùn)；三是考慮依托于網(wǎng)絡(luò)與電腦進行培訓(xùn)。但以上任何一種方案都有可能會超出中小型企業(yè)的能力，這時候還要根據(jù)企業(yè)自身特點來安排適當?shù)耐緩竭M行培訓(xùn)。

那么，能滿足規(guī)模較小的中小企業(yè)提高員工信息安全意識培訓(xùn)的合理途徑是什么呢?有分析認為，可以在以上提到的三種途徑的基礎(chǔ)上加以改動，形成兩種可用的途徑：一是中小企業(yè)仍然可以使用內(nèi)部資源進行范圍性培訓(xùn)或者購買網(wǎng)絡(luò)、電腦的培訓(xùn)程序。二是中小企業(yè)可以創(chuàng)造性地在辦公室張貼些成本低的彩色安全意識海報，對員工潛移默化地培訓(xùn)。

從企業(yè)內(nèi)部來看，如果企業(yè)的信息技術(shù)部門能提供一個內(nèi)部特制的培訓(xùn)計劃是可行的。按照美國國家標準與技術(shù)研究院(NIST)的指導(dǎo)方針或其他材料，策劃一天或半天的課程就足以使員工認識到有關(guān)電腦安全的一些重要問題。從企業(yè)外部來看，目前市場上也有不少專門面向中小型企業(yè)、價格合理的基于網(wǎng)絡(luò)和電腦安全相關(guān)的培訓(xùn)。無論如何，需要考慮企業(yè)自身承受能力與受培訓(xùn)者的接受能力，根據(jù)實際情況來進行選擇。

第6篇

關(guān)鍵詞：煙草行業(yè)；信息安全；數(shù)據(jù)備份

在煙草行業(yè)運營與生產(chǎn)管理活動中，信息化工具發(fā)揮著較為重要的作用，已初步搭建了較為完善的網(wǎng)絡(luò)架構(gòu)與內(nèi)部信息系統(tǒng)環(huán)境，成為煙草行業(yè)提升核心競爭力的重要基礎(chǔ)。與此同時，信息安全問題也日益突出，已成為導(dǎo)致煙草行業(yè)數(shù)據(jù)丟失等的關(guān)鍵因素。因而，深入分析煙草行業(yè)信息安全風(fēng)險與防控策略至關(guān)重要。

1煙草行業(yè)信息安全風(fēng)險

煙草行業(yè)在信息化建設(shè)中，主要具有如下幾個方面的信息安全問題。

1.1缺乏信息安全整體規(guī)劃

整體而言，相比于西方等經(jīng)濟發(fā)達國家，國內(nèi)信息安全技術(shù)發(fā)展相對滯后于網(wǎng)絡(luò)技術(shù)，這必然會造成煙草行業(yè)在應(yīng)用新型網(wǎng)絡(luò)技術(shù)產(chǎn)品時，信息安全技術(shù)顯得稍落后，難以保障煙草行業(yè)的信息安全。比如，部分煙草企業(yè)可能會選擇使用PS防御系統(tǒng)，但是在綜合權(quán)衡經(jīng)濟預(yù)算、信息安全實際應(yīng)用需求等后，最終并沒有決定使用性能最佳的信息安全產(chǎn)品，最終導(dǎo)致硬件難以滿足信息安全風(fēng)險防控的要求，這些均與煙草企業(yè)未制訂積極有效的信息安全整體規(guī)劃有較為緊密的關(guān)系。

1.2面臨外部信息安全威脅攻擊

在煙草企業(yè)經(jīng)營管理活動中，為了便于管理員工高效工作，允許企業(yè)員工在外網(wǎng)通過VPN的方式訪問煙草企業(yè)內(nèi)部的信息系統(tǒng)。另外，在煙草企業(yè)內(nèi)部網(wǎng)絡(luò)應(yīng)用過程中會有信息設(shè)備供應(yīng)商以及其他信息系統(tǒng)服務(wù)商等第三方的介入，這也會導(dǎo)致煙草企業(yè)在網(wǎng)絡(luò)應(yīng)用中會頻繁進行內(nèi)外網(wǎng)連接，這給木馬、黑客等攻擊煙草企業(yè)網(wǎng)絡(luò)架構(gòu)以可乘之機。當煙草企業(yè)網(wǎng)絡(luò)遭受攻擊后，很有可能會導(dǎo)致煙草行業(yè)信息系統(tǒng)無法正常應(yīng)用，致使煙草企業(yè)面臨來自外部的信息安全風(fēng)險。

1.3內(nèi)部信息安全控制不力

信息技術(shù)在持續(xù)發(fā)展，可供煙草企業(yè)選擇的信息設(shè)備以及信息系統(tǒng)也越來越多，大多數(shù)煙草企業(yè)已搭建起相對較為完整的基礎(chǔ)網(wǎng)絡(luò)架構(gòu)以及應(yīng)用系統(tǒng)服務(wù)群，包括生產(chǎn)銷售管理平臺、OA辦公平臺、綜合服務(wù)管理平臺等，這對于煙草企業(yè)正常的經(jīng)營管理以及決策管理起到關(guān)鍵的作用，大大提升了煙草企業(yè)的辦公效率。然而，煙草企業(yè)在利用信息技術(shù)獲得便利的同時，也面臨著來自內(nèi)部信息安全控制不力的風(fēng)險，包括不良網(wǎng)絡(luò)信息沖擊員工正確價值觀，以及煙草企業(yè)內(nèi)部員工較大的流動性給信息安全風(fēng)險防控所帶來的負面影響。

1.4員工信息安全意識薄弱

較強的員工信息安全意識，是提升煙草行業(yè)信息安全等級的重要渠道。在信息技術(shù)應(yīng)用持續(xù)深化的情況下，傳統(tǒng)的管理人員已難以滿足信息時代下企業(yè)發(fā)展的需求。另外，當前部分煙草企業(yè)信息安全管理團隊不完善，以及管理人員自身的信息安全意識較為薄弱，領(lǐng)導(dǎo)對信息安全管理工作不重視，或者員工存在僥幸心理，都會致使煙草企業(yè)產(chǎn)生不同程度的信息安全事故。

2煙草行業(yè)信息安全防控策略

針對當前煙草企業(yè)所面臨的信息安全風(fēng)險，建議從如下幾個方面制定防范策略。

2.1科學(xué)高效地開展信息安全規(guī)劃

科學(xué)、合理地規(guī)劃煙草企業(yè)信息安全架構(gòu)，是煙草企業(yè)防范信息安全風(fēng)險的重要基礎(chǔ)。首先，應(yīng)根據(jù)信息安全的未來發(fā)展方向制訂煙草企業(yè)的信息安全發(fā)展規(guī)劃，以確保煙草企業(yè)所采取的防范措施符合整體發(fā)展方向，避免走錯方向、浪費資金投入。其次，應(yīng)緊密結(jié)合煙草企業(yè)的信息化建設(shè)現(xiàn)狀與存在的問題規(guī)劃信息安全發(fā)展方向。煙草企業(yè)的不同發(fā)展規(guī)劃，對信息安全的管理需求有所不同，這就要求煙草企業(yè)緊密結(jié)合自身的信息安全發(fā)展需求，制定更具針對性的信息安全風(fēng)險防控策略，以更高效地規(guī)避內(nèi)部隱患、外部攻擊。

2.2完善加密手段，構(gòu)建加密渠道

在制訂了科學(xué)合理的信息安全防范規(guī)劃后，就應(yīng)采取加密信息的手段，構(gòu)建更為合理的加密渠道。比如，煙草企業(yè)在信息化建設(shè)中應(yīng)要求信息技術(shù)人員研發(fā)信息加密的多樣化手段，構(gòu)建更為豐富的加密渠道，從而提升煙草信息平臺的安全性。同時，還應(yīng)加強煙草企業(yè)內(nèi)部應(yīng)用系統(tǒng)以及數(shù)據(jù)庫的備份工作。再如，在實際管理中，煙草企業(yè)可以要求信息技術(shù)人員通過訪問控制、數(shù)字簽名、身份認證多種方式，以達到煙草企業(yè)防范信息安全風(fēng)險的要求，還可以要求各個信息系統(tǒng)使用方妥善保管各個信息系統(tǒng)的登錄密碼，不允許使用復(fù)雜度過低的密碼，應(yīng)根據(jù)信息安全規(guī)范要求制定密碼復(fù)雜度規(guī)則，以提升信息系統(tǒng)訪問安全性。同時，還應(yīng)定期提醒或要求用戶更改密碼，以達到安全管控的目的。

2.3做好企業(yè)內(nèi)部數(shù)據(jù)備份與恢復(fù)工作

內(nèi)部數(shù)據(jù)丟失風(fēng)險，是當前煙草企業(yè)信息安全風(fēng)險之一。積極做好企業(yè)內(nèi)部數(shù)據(jù)備份與恢復(fù)工作，是規(guī)避數(shù)據(jù)丟失風(fēng)險的重要方式之一。首先，應(yīng)做好內(nèi)部數(shù)據(jù)備份工作。比如，積極搭建異地數(shù)據(jù)災(zāi)備中心，選擇一個相對安全的地方進行數(shù)據(jù)備份。選擇性能更為強大、安全等級更高的備份系統(tǒng)，以更高效地執(zhí)行數(shù)據(jù)備份，并且不影響其他應(yīng)用系統(tǒng)的正常使用。其次，定期執(zhí)行數(shù)據(jù)模擬恢復(fù)操作。部分煙草企業(yè)認為，只要定期完成內(nèi)部數(shù)據(jù)備份工作便可確保煙草企業(yè)數(shù)據(jù)安全，忽視了備份數(shù)據(jù)的有效性。而積極開展模擬恢復(fù)操作，是確保所備份數(shù)據(jù)有效性的重要方法。因而，煙草企業(yè)應(yīng)定期開展積極有效的模擬恢復(fù)操作，以確保所備份的數(shù)據(jù)是可用的，切實保護煙草企業(yè)的信息安全。

2.4重視培訓(xùn)提升員工信息安全意識

員工較高的信息安全意識，是煙草企業(yè)防范各種信息安全風(fēng)險的重要保障。首先，應(yīng)重視員工信息安全意識培訓(xùn)工作。煙草企業(yè)信息主管部門，在實際信息管理活動中，應(yīng)定期或者不定期組織員工參與安全培訓(xùn)，或者通過微課的方式向員工們宣傳信息安全知識。其次，應(yīng)重視網(wǎng)絡(luò)使用規(guī)范或者應(yīng)用系統(tǒng)應(yīng)用規(guī)范，以在規(guī)范員工信息行為的同時提升所有員工的信息安全意識，從而更為有效地規(guī)避信息安全風(fēng)險。對于員工使用基礎(chǔ)網(wǎng)絡(luò)或系統(tǒng)過程中所存在的信息安全隱患，信息主管部門應(yīng)針對這些案例進行整理，形成宣傳文案，以提高所有員工的警惕性。

3結(jié)語

煙草業(yè)在信息建設(shè)中將面臨著各種信息安全隱患，這要求信息建設(shè)管理人員從制訂信息安全建設(shè)規(guī)劃、完善加密手段、做好內(nèi)部數(shù)據(jù)備份工作以及提升員工安全意識等方面入手，切實提升信息安全等級，保護信息建設(shè)成果。

作者:毛紀輝 單位:遼寧省煙草公司丹東市公司

參考文獻

[1]劉軻.論煙草行業(yè)信息安全風(fēng)險及防控[J].重慶與世界:學(xué)術(shù)版,2014(11):97-100.

第7篇

關(guān)鍵詞：網(wǎng)絡(luò)環(huán)境 企業(yè)信息 安全管理

引言

隨著社會的發(fā)展，企業(yè)對信息資源的依賴程度來越大，由此帶來的信息安全問題也日益突出。生產(chǎn)中的業(yè)務(wù)數(shù)據(jù)、管理中的重要信息，如果企業(yè)自身的信息安全管理有重大疏漏，也無法保證數(shù)據(jù)的安全可靠。當前，企業(yè)在黑客病毒日益猖撅的網(wǎng)絡(luò)環(huán)境下不僅要保護自身信息的安全，還要保護業(yè)務(wù)數(shù)據(jù)的信息安全，因此有必要從體系管理的高度構(gòu)建企業(yè)信息安全。

一、企業(yè)信息安全的二維性

當前，企業(yè)信息安全已涉及到與信息相關(guān)的各方面。企業(yè)信息安全不僅要考慮信息本身，還需要考慮信息依附的信息載體（包括物理平臺、系統(tǒng)平臺、通信平臺、網(wǎng)絡(luò)平臺和應(yīng)用平臺，例如PC機、服務(wù)器等）的安全以及信息運轉(zhuǎn)所處環(huán)境（包括硬環(huán)境和軟環(huán)境，例如員工素質(zhì)、室內(nèi)溫度等）的安全。資產(chǎn)如果不對影響信息安全的各個角度進行全面的綜合分析，則難以實現(xiàn)企業(yè)信息安全。因此，需要從企業(yè)信息安全的總體大局出發(fā)，樹立企業(yè)信息安全的多維性，綜合考慮企業(yè)信息安全的各個環(huán)節(jié)，揚長避短，采取多種措施共同維護企業(yè)信息安全。

1、技術(shù)維：技術(shù)發(fā)展是推動信息社會化的主要動力，企業(yè)通常需要借助于一項或多項技術(shù)才能充分利用信息，使信息收益最大化。然而，信息技術(shù)的使用具有雙面性，人們既可以利用技術(shù)手段如電子郵件等迅速把信息發(fā)送出去，惡意者也可由此截獲信息內(nèi)容。為確保企業(yè)信息安全，必須合理的使用信息技術(shù)，因此，技術(shù)安全是實現(xiàn)企業(yè)信息安全的核心。

1）惡意代碼和未授權(quán)移動代碼的防范和檢測。網(wǎng)絡(luò)世界上存在著成千上萬的惡意代碼（如計算機病毒、網(wǎng)絡(luò)蠕蟲、特洛伊木馬和邏輯炸彈等）和未授權(quán)的移動代碼（如Javaseript腳本、Java小程序等）。這些代碼會給計算機等信息基礎(chǔ)設(shè)施及信息本身造成損害，需要加以防范和檢測。

2）信息備份。內(nèi)在的軟硬件產(chǎn)品目前還不能確保完全可靠，還存在著各種各樣的問題。外在的惡意代碼和未授權(quán)移動代碼的攻擊，也會造成應(yīng)用信息系統(tǒng)的癱瘓。為確保信息的不丟失，有必要采取技術(shù)備份手段，定期備份。

3）訪問權(quán)限。不同的信息及其應(yīng)用信息系統(tǒng)應(yīng)有不同的訪問權(quán)限，低級別角色不應(yīng)能訪問高級別的信息及應(yīng)用信息系統(tǒng)。為此，可通過技術(shù)手段設(shè)定信息的訪問權(quán)限，限制用戶的訪問范圍。

4）網(wǎng)絡(luò)訪問。當今，一個離開網(wǎng)絡(luò)的企業(yè)難以成功運轉(zhuǎn)，員工通常需要從網(wǎng)絡(luò)中獲取各種信息。然而，網(wǎng)絡(luò)的暢通也給惡意者提供了訪問企業(yè)內(nèi)部信息的渠道。為此，有必要采用網(wǎng)絡(luò)防火墻技術(shù)，控制內(nèi)部和外部網(wǎng)絡(luò)的訪問。

2、管理維：企業(yè)信息安全不但需要依靠技術(shù)安全，而且與管理安全也息息相關(guān)。沒有管理安全，技術(shù)安全是難以在企業(yè)中真正貫徹落實的。管理安全在企業(yè)中的實施是企業(yè)信息得以安全的關(guān)鍵。企業(yè)應(yīng)建立健全相應(yīng)的信息安全管理辦法，加強內(nèi)部和外部的安全管理、安全審計和信息跟蹤體系，提高整體信息安全意識，把管理安全落到實處。

l）信息安全方針和信息安全政策的制定。信息安全方針和信息安全政策體現(xiàn)了管理者的信息安全意圖，管理者應(yīng)適時對信息安全方針評審，以確保信息安全方針政策的適宜性、充分性和有效性。

2）構(gòu)建信息安全組織架構(gòu)。為在企業(yè)內(nèi)貫徹既定的信息安全方針和政策，確保整個企業(yè)信息安全控制措施的實施和協(xié)調(diào)，以及外部人員訪問企業(yè)信息和信息處理設(shè)施的安全，需要構(gòu)建有效的信息安全組織架構(gòu)。

二、企業(yè)信息安全構(gòu)建原則

企業(yè)信息安全構(gòu)建原則為確保企業(yè)信息的可用性、完整性和機密性，企業(yè)在日常運作時須遵守以下原則。

l）權(quán)限最小化。受保護的企業(yè)信息只能在限定范圍內(nèi)共享。員工僅被授予為順利履行工作職責而能訪問敏感信息的適當權(quán)限。對企業(yè)敏感信息的獲知人員應(yīng)加以限制，僅對有工作需要的人員采取限制性開放。最小化原則又可細分為知所必須和用所必須的原則，即給予員工的讀權(quán)限只限于員工為順利完成工作必須獲的信息內(nèi)容，給予員工的寫權(quán)限只限于員工所能夠表述的內(nèi)容。

2）分權(quán)制衡。對涉及到企業(yè)信息安全各維度的使用權(quán)限適當?shù)貏澐郑姑總€授權(quán)主體只能擁有其中的部分權(quán)限，共同保證信息系統(tǒng)的安全。如果授權(quán)主體分配的權(quán)限過大，則難以對其進行監(jiān)督和制約，會存在較大的信息安全風(fēng)險。因此，在授權(quán)時要采取三權(quán)分立的原則，使各授權(quán)主體間相互制約、相互監(jiān)督，通過分權(quán)制衡確保企業(yè)信息安全。例如網(wǎng)絡(luò)管理員、系統(tǒng)管理員和日志審核員就不應(yīng)被授予同一員工。

三、企業(yè)信息安全管理體系的構(gòu)建

信息安全管理體系模型企業(yè)信息安全管理體系的構(gòu)建要統(tǒng)籌考慮多方面因素，勿留短板。安全技術(shù)是構(gòu)建信息安全的基礎(chǔ)，員工的安全意識和企業(yè)資源的充分提供是有效保證安全體系正常運作的關(guān)鍵，安全管理則是安全技術(shù)和安全意識恒久長效的保障，三者缺一不可。因此，在構(gòu)建企業(yè)信息安全管理體系時，要全面考慮各個維度的安全，做好各方面的平衡，各部門互相配合，共同打造企業(yè)信息安全管理平臺。科學(xué)的安全管理體系應(yīng)該包括以下主要環(huán)節(jié)：制定反映企業(yè)特色的安全方針、構(gòu)建強健有力的信息安全組織機構(gòu)、依法行事、選擇穩(wěn)定可靠的安全技術(shù)和安全產(chǎn)品、設(shè)計完善的安全評估標準、樹立.員工的安全意識和營造良好的信息安全文化氛圍等。因此，為了使企業(yè)構(gòu)建的信息安全管理體系能適應(yīng)不斷變化的風(fēng)險，必須要以構(gòu)建、執(zhí)行、評估、改進、再構(gòu)建的方式持續(xù)地進行，構(gòu)成一個P（計劃）、D（執(zhí)行）、C（檢查）、A（改進）反饋循環(huán)鏈以使構(gòu)建的企業(yè)信息安全管理體系不斷地根據(jù)新的風(fēng)險做出合理調(diào)整。

四、結(jié)論

信息安全管理體系的構(gòu)建對企業(yè)高效運行具有重要意義。只有全面分析影響企業(yè)信息安全的各種來源后才能構(gòu)建良好的企業(yè)信息安全管理體系。從大量的企業(yè)案例來看，技術(shù)、管理和資源是影響企業(yè)信息安全的3個角度。為此，應(yīng)從技術(shù)、管理和資源出發(fā)考慮信息安全管理體系的構(gòu)建原則和企業(yè)信息安全管理體系應(yīng)滿足的基本要求。同時，也應(yīng)注意到，信息安全管理體系的構(gòu)建不是一勞永逸而是不斷改進的，企業(yè)的信息安全管理體系應(yīng)遵從PDCA的過程方法論持續(xù)改進，才能確保企業(yè)信息的安全長效。

參考文獻：

第8篇

由于我國信息化建設(shè)起步較晚，我國中小企業(yè)相較于西方發(fā)達國家信息建設(shè)程度還有所欠缺。企業(yè)內(nèi)部對于信息安全管理缺乏科學(xué)的規(guī)章制度，難以做到信息合理有效的安全防護。安全管理制度的不完善導(dǎo)致了各項制度之間出現(xiàn)混淆，安全職責定位不夠明確，安全問題出現(xiàn)無從追求，這種現(xiàn)象在中小企業(yè)信息泄露中時有發(fā)生。

二、缺乏相關(guān)技術(shù)人才

大部分中小企業(yè)由于對信息安全管理重視程度不夠，投入力度較輕，導(dǎo)致安全管理出現(xiàn)盲區(qū)。信息安全建設(shè)過程中對于相關(guān)人才的培養(yǎng)力度不夠，企業(yè)內(nèi)部缺少專門的技術(shù)人才對安全管理盲區(qū)予以修復(fù)，進而導(dǎo)致信息泄露。

三、中小企業(yè)信息化安全管理完善措施

（一）強化信息安全意識。企業(yè)信息安全是企業(yè)健康平穩(wěn)發(fā)展的基礎(chǔ)，由此中小企業(yè)內(nèi)部每個員工都應(yīng)該予以承擔相應(yīng)的義務(wù)和責任。強化員工對于信息安全的意識，相比于技術(shù)安全更值得重視[2]。所以，企業(yè)內(nèi)部必須強化員工信息安全意識，營造內(nèi)部良好的安全意識氛圍，提升員工信息安全防護能力。

（二）完善安全管理制度。有效地安全措施離不開科學(xué)的安全管理制度，企業(yè)需要強化制度建設(shè)力度，做到安全管理有章可循，對于企業(yè)內(nèi)部用戶相關(guān)信息權(quán)限予以限制，明確，減少個人操作可能引發(fā)的信息泄露風(fēng)險。在企業(yè)不斷發(fā)展的過程中，制度應(yīng)隨著企業(yè)發(fā)展而創(chuàng)新升級，以滿足企業(yè)發(fā)展的需要。

（三）重點培養(yǎng)信息安全管理人才。任何一個企業(yè)發(fā)展的根本動力都是人才的支持，優(yōu)秀的人才能夠促進企業(yè)內(nèi)部穩(wěn)定，工作效率提升，企業(yè)發(fā)展收益增強[3]。在企業(yè)發(fā)展過程中，安全管理盲區(qū)需要相應(yīng)的技術(shù)人員進行定期檢查，維護，針對存在的安全隱患及時有效地解決，規(guī)避風(fēng)險的發(fā)生。

四、結(jié)論

第9篇

關(guān)鍵詞： 企業(yè)信息系統(tǒng)；信息安全；安全策略

中圖分類號：F270.7 文獻標識碼：A 文章編號：1671－7597（2012）0220165－01

隨著市場經(jīng)濟的不斷發(fā)展，企業(yè)競爭越來越激烈，國際化合作不斷增多，隨之而來的企業(yè)信息安全是目前我國企業(yè)普遍存在的問題。對企業(yè)來說，信息安全是一項艱巨的工作，關(guān)系到企業(yè)的發(fā)展。近年來，圍繞企業(yè)信息安全問題的話題不斷，企業(yè)信息安全事件也頻頻發(fā)生，如何保證企業(yè)信息的安全，保證信息系統(tǒng)的正常運轉(zhuǎn)，已經(jīng)成為信息安全領(lǐng)域研究的新熱點。

1 企業(yè)信息安全的意義

信息安全是一個含義廣泛的名詞，是指防止信息財產(chǎn)被故意的或偶然的非授權(quán)泄露、更改、破壞，或防止信息被非法辨識、控制，即確保信息的保密性、可用性、完整性和可控性。企業(yè)的正常運轉(zhuǎn)，離不開信息資源的支撐。企業(yè)信息安全建設(shè)對企業(yè)的發(fā)展意義重大。

首先，信息安全是時展的需要。計算機網(wǎng)絡(luò)時代的發(fā)展，改變了傳統(tǒng)的商務(wù)運作模式，改變了企業(yè)的生產(chǎn)方式和思想觀念，極大推動了企業(yè)文化的發(fā)展。企業(yè)信息安全的建設(shè)將使得企業(yè)的管理水平與國際先進水平接軌，從而成長為企業(yè)向國際化發(fā)展與合作的有力支撐。

其次，信息安全是企業(yè)發(fā)展的需要。企業(yè)的信息化建設(shè)帶來了生產(chǎn)效率提高、成本降低、業(yè)務(wù)拓展等諸多好處。當前越來越多的企業(yè)信息和數(shù)據(jù)，都是以電子文檔的形式存在，對企業(yè)來說，信息安全是使企業(yè)信息不受威脅和侵害的保證，是企業(yè)發(fā)展的基本保障，所以，在積極防御，綜合防范的方針指導(dǎo)下，有效地防范和規(guī)避風(fēng)險，建立起一套切實可行的長效防范機制，逐步建立起信息安全保障體系，有利于企業(yè)的發(fā)展。

最后，信息安全是企業(yè)穩(wěn)定的必要前提。信息安全成為保障和促進企業(yè)穩(wěn)定和信息化發(fā)展的重點，要充分認識信息安全工作的緊迫感和長期性，從企業(yè)的安全、經(jīng)濟發(fā)展、企業(yè)穩(wěn)定和保護企業(yè)利益的角度來思考問題，扎扎實實地做好基礎(chǔ)性工作和基礎(chǔ)設(shè)施建設(shè)，在建立信息安全保障體系的過程中，必須搞好鏈接信息安全保障體系建設(shè)安全、建設(shè)健康的網(wǎng)絡(luò)環(huán)境，關(guān)注信息戰(zhàn)略，保障和促進信息化的健康發(fā)展。

2 企業(yè)信息安全的現(xiàn)狀

我國企業(yè)信息安全包括計算機系統(tǒng)的硬、軟件及系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然的或惡意的原因而遭到破壞、更改、泄露，使得系統(tǒng)連續(xù)、可靠、正常的運行，網(wǎng)絡(luò)服務(wù)不中斷。計算機和網(wǎng)絡(luò)技術(shù)具有復(fù)雜性和多樣性，使得企業(yè)信息安全成為一個需要持續(xù)更新和提高的領(lǐng)域。就目前來看，主要存在以下三個方面的隱患。

2.1 企業(yè)缺少信息安全管理制度

企業(yè)信息安全是一個比較新的領(lǐng)域，目前還缺少比較完善的法規(guī)，現(xiàn)有的法規(guī)，由于相關(guān)安全技術(shù)和手段還沒有成熟和標準化，法規(guī)也不能很好地被執(zhí)行，安全標準和規(guī)范的缺少，導(dǎo)致無從制定合理的安全策略并確保此策略能被有效執(zhí)行。企業(yè)的信息系統(tǒng)安全問題是一個系統(tǒng)工程，涉及到計算機技術(shù)和網(wǎng)絡(luò)技術(shù)以及管理等方方面面，同時，隨著信息系統(tǒng)的延伸和新興技術(shù)集成應(yīng)用升級換代，它又是一個不斷發(fā)展的動態(tài)過程。因此對企業(yè)信息系統(tǒng)運行風(fēng)險和安全需求應(yīng)進行同期化的管理，不斷制定和調(diào)整安全策略，只有這樣，才能在享受企業(yè)信息系統(tǒng)便利高效的同時，把握住信息系統(tǒng)安全的大門。

2.2 員工缺少安全管理的責任心

一個企業(yè)的信息系統(tǒng)是企業(yè)全體人員參與的，不考慮全員參與的信息安全方案，恰恰忽視信息安全中最關(guān)鍵的因素――人，因為他們才是企業(yè)信息系統(tǒng)的提供者和使用者，他們是影響信息安全系統(tǒng)能否達到預(yù)期要求的決定因素。在眾多的攻擊行為和事件中，發(fā)生最多的安全事件是信息泄露事件。攻擊者主要來自企業(yè)內(nèi)部，而不是來自企業(yè)外部的黑客等攻擊者，安全事件造成最大的經(jīng)濟損失主要是內(nèi)部人員有意或無意的信息泄露事件。針對內(nèi)部員工的泄密行為，目前還沒有成熟的、全面的解決，對于來自企業(yè)信息內(nèi)部信息泄密的安全問題，一直是整個信息安全保障體系的難點和弱點所在。

2.3 信息系統(tǒng)缺乏信息安全技術(shù)

計算機信息安全技術(shù)是一門由密碼應(yīng)用技術(shù)、信息安全技術(shù)、數(shù)據(jù)災(zāi)難與數(shù)據(jù)恢復(fù)技術(shù)、操作系統(tǒng)維護技術(shù)、局域網(wǎng)組網(wǎng)與維護技術(shù)、數(shù)據(jù)庫應(yīng)用技術(shù)等組成的計算機綜合應(yīng)用學(xué)科。由于認識能力和技術(shù)發(fā)展的局限性，在硬件和軟件設(shè)計過程中，難免留下技術(shù)缺陷，網(wǎng)絡(luò)硬件、軟件系統(tǒng)多數(shù)依靠進口，由此可造成企業(yè)信息安全的隱患，現(xiàn)在黑客的攻擊并不是為了破壞底層系統(tǒng)，而是為了入侵應(yīng)用，竊取數(shù)據(jù)，帶有明顯的商業(yè)目的，許多黑客就是通過計算機操作系統(tǒng)的漏洞和后門程序進入企業(yè)信息系統(tǒng)。隨著網(wǎng)絡(luò)應(yīng)用要求的越來越多，針對應(yīng)用的攻擊也越來越多，除了在管理制度上確保信息安全外，還要在技術(shù)上確保信息安全。

3 企業(yè)信息安全中存在的問題

信息時代的到來，從根本上改變了企業(yè)經(jīng)營形式，企業(yè)實施信息化為其帶來便利的同時也產(chǎn)生了巨大的信息安全風(fēng)險。由于我國企業(yè)信息安全工作還處于起步階段，基礎(chǔ)薄弱，導(dǎo)致信息安全存在一些亟待解決的問題。比較常見的問題有病毒危害、“黑客”攻擊和網(wǎng)絡(luò)攻擊等，這些問題給企業(yè)造成直接的經(jīng)濟損失，成為企業(yè)信息安全的最大威脅，使企業(yè)信息安全存在著風(fēng)險因素。

3.1 病毒危害

計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者數(shù)據(jù)，影響計算機使用并且能夠自我復(fù)制的一組計算機指令或者程序代碼，它是具有破壞作用的程序或指令集合。計算機病毒已經(jīng)泛濫成災(zāi)，幾乎無孔不入，據(jù)統(tǒng)計，計算機病毒的種類已經(jīng)超過4萬多種，而且還在以每年40%的速度在遞增，隨著Internet技術(shù)的發(fā)展，病毒在企業(yè)信息系統(tǒng)中傳播的速度越來越快，其破壞性也越來越來越強。

3.2 “黑客”攻擊

“黑客”是英文Hacker的諧音，黑客是利用技術(shù)手段進入其權(quán)限以外的計算機系統(tǒng)的人。黑客破解或破壞某個程序、系統(tǒng)及網(wǎng)絡(luò)安全，或者破解某系統(tǒng)或網(wǎng)絡(luò)以提醒該系統(tǒng)所有者的系統(tǒng)安全漏洞的過程。通常采用后門程序、信息炸彈、拒絕服務(wù)、網(wǎng)絡(luò)監(jiān)聽、密碼破解等手段侵入計算機系統(tǒng)，盜竊系統(tǒng)保密信息，進行信息破壞或占用系統(tǒng)資源，黑客攻擊已經(jīng)成為近年來經(jīng)常出現(xiàn)的問題。

3.3 網(wǎng)絡(luò)攻擊

網(wǎng)絡(luò)攻擊就是對網(wǎng)絡(luò)安全威脅的具體表現(xiàn)，利用網(wǎng)絡(luò)存在的漏洞和安全缺陷對系統(tǒng)和資源進行的攻擊。尤其是在最近幾年里，網(wǎng)絡(luò)攻擊技術(shù)和攻擊工具有了新的發(fā)展趨勢，使借助Internet運行業(yè)務(wù)的企業(yè)面臨著前所未有的風(fēng)險。由此可知，企業(yè)的信息安全問題、以及對信息的安全管理都是至關(guān)重要的。要保證企業(yè)信息安全，就必須找出存在信息安全問題的根源，并具有良好的安全管理策略。

4 企業(yè)信息安全的解決方案

為確保企業(yè)信息安全，要堅持積極防御，綜合防范的方針，全面提高信息安全防護能力。因此，面對企業(yè)信息安全的現(xiàn)狀和企業(yè)信息安全發(fā)展中出現(xiàn)的問題，必須實施對企業(yè)的信息安全管理，建設(shè)信息安全管理體系，只有建立完善的安全管理制度，將信息安全管理自始至終貫徹落實于信息管理系統(tǒng)的方方面面，企業(yè)信息安全才能得以實現(xiàn)。企業(yè)信息安全的解決方案，具體表現(xiàn)在以下三個方面：

4.1 建立完善的安全管理體系

完整的企業(yè)信息系統(tǒng)安全管理體系首先要建立完善的組織體系，完成制定并信息安全管理規(guī)范和建立信息安全管理組織等工作，保障信息安全措施的落實以及信息安全體系自身的不斷完善。并建立一套信息安全規(guī)范，詳細說明各種信息安全策略。一個詳細的信息安全規(guī)劃可以減輕對于人的因素帶來的信息安全問題。最基本的企業(yè)安全管理過程包括：采用科學(xué)的企業(yè)信息資產(chǎn)評估和風(fēng)險分析模型法、設(shè)計完備的信息系統(tǒng)動態(tài)安全模型、建立科學(xué)的可實施的安全策略，采取規(guī)范的安全防范措施、選用可靠穩(wěn)定的安全產(chǎn)品等。安全防范體系的建立不是一勞永逸的，企業(yè)網(wǎng)絡(luò)信息自身的情況不斷變化，新的安全問題不斷涌現(xiàn)，必須根據(jù)暴露出的一些問題，進行更新，保證網(wǎng)絡(luò)安全防范體系的良性發(fā)展，

4.2 提高企業(yè)員工的安全意識

科技以人為本，在信息安全方面也是靠人來維護企業(yè)的利益，我們在企業(yè)信息網(wǎng)絡(luò)鞏固正面防護的時候不能忽視對人的行為規(guī)范和績效管理。企業(yè)員工信息安全意識的高低是一個企業(yè)信息安全體系是否能夠最終成功實施的決定性因素。企業(yè)應(yīng)當制定企業(yè)人員信息安全行為規(guī)范，必須有專門管理人才，才能有效地實現(xiàn)企業(yè)安全、可靠、穩(wěn)定運行，保證企業(yè)信息安全。教育培訓(xùn)是培訓(xùn)信息安全人才的重要手段，企業(yè)可以對所有相關(guān)人員進行經(jīng)常性的安全培訓(xùn)，強化技術(shù)人員對信息安全的重視，提升使用人員的安全觀念，有針對性的開展安全意識宣傳教育，逐步提高員工的安全意識，強調(diào)人的作用，使他們明確企業(yè)各級組織和人員的安全權(quán)限和責任，使他們的行為符合整個安全策略的要求。

4.3 不斷優(yōu)化企業(yè)信息安全技術(shù)

企業(yè)一旦制定了一套詳細的安全規(guī)劃來武裝自己，保護其智力資產(chǎn)，它就開始投入到選擇采用正確信息安全技術(shù)上。可供企業(yè)選擇的防止信息安全漏洞的安全技術(shù)有很多。當企業(yè)選擇采用何種技術(shù)時，首先了解信息安全的三個領(lǐng)域是十分有幫助的，這三個領(lǐng)域變得：驗證與授權(quán)、預(yù)防和抵制、檢測和響應(yīng)。其中，用戶驗證是確認用戶身份的一種方法，一旦系統(tǒng)確認了用戶身份，那么它就可以決定該用戶的訪問權(quán)限，比如使用用戶名和密碼。預(yù)防和抵抗技術(shù)是指企業(yè)阻止入侵者訪問。對于任何企業(yè)，必須對那些故障做好準備和預(yù)測，目前可以幫助預(yù)防和建設(shè)抵抗攻擊的技術(shù)主要有內(nèi)容過濾、加密和防火墻，在選用防火墻的時候，需要對所安裝的防火墻做一些攻擊測試。此外，企業(yè)信息安全的最后一道屏障是探測和反應(yīng)技術(shù)，最常見的探測和反應(yīng)技術(shù)是殺毒軟件。

5 結(jié)語

總之，企業(yè)信息安全是一項復(fù)雜的系統(tǒng)工程，企業(yè)要適應(yīng)現(xiàn)代化發(fā)展的需要，要提高自身信息安全意識，加強對信息安全風(fēng)險防范意識的認識，重視安全策略的施行及安全教育，必須做到管理和技術(shù)并重，安全技術(shù)必須結(jié)合安全措施，并加強信息安全立法和執(zhí)法的力度，建立備份和恢復(fù)機制， 為企業(yè)設(shè)計適合實際情況的安全解決方案，制定正確和采取適當?shù)陌踩呗院桶踩珯C制，保證企業(yè)安全體系處于應(yīng)有的健康狀態(tài)。

參考文獻：

[1]張帆，企業(yè)信息安全威脅分析與安全策略[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2007（5）.

[2]諶曉歡，企業(yè)信息安全問題及解決方案[J].企業(yè)技術(shù)開發(fā)，2008（8）.

[3]付沙，企業(yè)信息安全策略的研究與探討[J].商場現(xiàn)代化，2007（26）.

[4]姜樺、郭永利，企業(yè)信息安全策略研究[J].焦作大學(xué)學(xué)報，2009（1）.