引言：易發表網憑借豐富的文秘實踐，為您精心挑選了九篇企業信息安全意識范例。如需獲取更多原創內容，可隨時聯系我們的客服老師。

第1篇

當前，網絡和計算機技術已經推動各行各業進入了數字化時代。數字化的企業承載著業務流和信息流，信息流引導業務流，業務流依附信息流，從而使企業的運行更加安全、可靠、優質、經濟。

信息系統承載著企業幾乎所有的運營管理信息，其安全性已經直接關系到整個企業的安全可靠運行。信息是企業的重要戰略資源，確保其安全是現代信息化企業必須面臨的重要任務。

隨著企業信息化建設的不斷深入，信息安全保障工作的重要性、迫切性日益凸現。如果網絡和信息系統的安全隱患得不到有效地防范，企業就極有可能遭受到惡意攻擊或破壞。信息安全事故不但會對公司業務、資產、形象造成影響，在某些行業，嚴重的還會引發區域性，乃至全國性的重大安全事故，其社會危害性無法估量。

據相關信息安全調查報告顯示，中國內地企業在信息安全管理方面存在滯后，信息安全與隱私保障方面遠遠落后于印度。數據顯示，內地企業44%的信息安全事件與數據泄露、員工不當操作等管理問題有關，而全球的平均水平只有16%。

調查顯示，中國內地企業在改善信息安全機制上仍有待努力，從近年安全事件結果看，中國每年大約98萬美元的財務損失，而亞洲國家平均約為75萬美元，印度大約為30.8萬美元。此外，42%的中國內地受訪企業經歷了應用軟件、系統和網絡的信息安全事件。

目前，國內的計算機信息安全從技術角度來看并不十分落后，但發展過程中暴露出很多管理方面的問題，例如信息安全管理人員意識、知識等方面的缺乏，急需大量補充。而且，授人與魚不如授人與漁，產品不是最重要的，重要的是要培養出安全的意識，否則企業的信息安全人員只是把產品買回去，并不能很好的發揮這些產品的作用，要從根本上解決安全的問題，必須提高員工的安全意識。

二、誤區多多，困難重重

面對瞬息萬變的安全形勢，企業并不是總能對癥下藥。尋找安全良方，避免種種安全的誤區，才是長遠的安全和發展之道。

誤區1：外部威脅大于內部隱患

要防范威脅，首先要了解威脅來自于哪里。通常，人們都會認為來自于計算機黑客、惡意代碼編寫者等外部的安全威脅遠遠大于內部的安全隱患，所以一般企業安全范圍的重點是在防范外部黑客攻擊，但是超過一半的威脅恰恰來自企業內部，外部攻擊僅占46%。

在內部安全威脅中，96%的是源于非蓄意的動機和錯誤;只有1%才是真正的惡意行為。由此看來，內部威脅之所以危害巨大，歸根結底，還是員工安全意識薄弱。

盡管在防范內部威脅方面，大多數企業還沒有拿出切實有效的方案。但是從安全調查來看，57.6%的企業已經表示，培養并提高員工的信息安全意識，將是自己所在企業未來一年里，打算采取的最關鍵的安全策略。企業在未來之所以越來越重視員工信息安全管理，要歸結于多個因素：近幾年對安全意識的討論越來越多，為安全意識從“概念”到“落地”做好了準備；安全廠商也在推出越來越多成熟、有效的產品和方案；不少企業的成功應用案例，也提供了很多借鑒性的經驗。當然，最關鍵的是，企業自身的確實存在這樣的安全需求，認識到了提高信息安全意識的重要性以及必要性。

誤區2：信息安全是IT部門的事，與其他部門無關

在某些企業中，IT部門員工就像是救火隊員，哪里出了問題就到哪里，東奔西走，十分辛苦。但是，就是這么一群任務繁重、任勞任怨的員工，卻得不到其他同事的理解和認同。當IT人員為其他部門進行安全控制時（如進行安全檢查、安裝防病毒軟件等），其他部門會反感，認為增加了他們的工作量，降低了工作效率。但當真正出現了信息安全事故時，其他部門又會責怪IT部門，認為其平時的安全防范工作沒有做好。所以，IT部門往往是出力不討好。

怎樣徹底改變其他部門對IT部門的看法，怎樣使公司全體員工主動、積極地配合IT部門的工作，甚至可以做到自查自糾？信息安全意識的提高無疑是關鍵。員工接受了安全意識宣貫之后，就會認識到保護信息的安全不僅僅是IT部門的職責，更是全體員工的責任；就會理解平時的安全措施不是綁著他們的繩索，而是護著他們的盾牌；就會在主動、自覺地規范自己的行為，防止信息安全事故的發生。

誤區3：重視技術產品的引進，忽略安全意識的培養

如今，便攜式的移動設備，比如U盤、PDA等，已經相當普及，移動辦公已經成為不可逆轉的趨勢。但同時，U盤中毒、失竊所導致機密信息泄露的事件也屢見不鮮。所以，大多數企業越來越重視對移動設備的保護。許多公司統一采購了具有加密、殺毒功能，甚至可以指紋識別的高科技安全U盤，分發給員工，旨在杜絕U盤泄密事件的再次發生，但往往未能達到預期效果。

嚴謹的加密技術，配合訪問控制技術，雖然可以在一定程度上防止移動設備上的數據被泄露，但依然無法防止員工不規范的使用，和移動設備的丟失或被盜。若員工把加密U盤插入自己的家庭電腦進行辦公，那么病毒依舊有可能入侵到U盤中，這樣再強的加密技術也無濟于事。

和歐美等國家相比，中國U盤傳毒的問題越來越嚴重，并且一直沒辦法根絕，這和員工缺乏安全意識緊密相關。通常，員工插取U盤時，很少會考慮到是否和公司的安全策略相違背，或者有可能引發公司的安全事故。

三、立體宣貫，提升實力

第2篇

關鍵詞：信息安全；體系建設；方案

中圖分類號：TP309.2文獻標識碼：A文章編號：1009-3044(2008)36-2846-02

The Implementation Program of an Information Security System for an Enterprise

GUO Yong, CHEN Rong-sheng, ZHAN Gui-bao, ZENG Zhong-cheng, LU Teng-zu, LI Zhuang-xiang

(Fujian Xindong Network Technology Co., Ltd. Fuzhou 350003,China)

Abstract: In view of the enterprise information technology becoming more, the issue of business information security has become an important factor in life, an enterprise information security system for the implementation of the program. From the organization, management, construction and technical aspects on the construction of the three. In the specific implementation process, based on the specific circumstances at the same time or step-by-step building-related.

Key words: information security; system construction; program

1 引言

信息安全的體系建設就是讓企業建立安全的組織架構，同時建立一套管理規范來規范成員的行為，并建立起安全的平臺為企業提供安全支撐同時為企業創造效益。本文根據一些企業現在實際情況，針對其信息安全現狀提出總體的實施步驟。企業在具體的實施過程中可參照這些步驟考慮實施。

下文將根據組織建設、管理建設和技術建設三個方面展開闡述。同時，在對技術建設闡述時，將從基礎設施建設和系統建設兩個方面分開闡述。

2 信息安全體系建設總體步驟

具體的實施步驟如圖1所示，具體包括：組織建設、團隊建設、管理規范、基礎環境、資產定級和評估、支撐系統和服務運維。以上組成部分都可歸結為組織建設、管理建設和技術建設三個方面。

圖1 信息安全體系建設步驟

實施步驟中有的步驟是可以同時進行的，如圖2所示。但有相對的優先級，優先級高的環節相應的應該放在優先考慮的位置。有些環節鑒于完成的周期較長，建議可以同步進行，避免信息安全實施周期過長，影響企業的目標達成。

3 組織建設

信息安全體系建設要做好，組織建設是關鍵。組織建設是所有其它建設的前提。而組織建設的第一步就是做好組織調整。組織調整就是把信息安全運營管理分為兩個部門，一個是生產部門，一個是管理部門。

3.1 信息安全管理部門

信息安全管理部門有權對其它部門進行安全考核，同時信息安全生產部門是由信息安全的管理部門直接管理指揮的。信息安全管理部門的職責決定其管理部門對企業信息安全有著全局的管控能力，負責信息安全全局任務下達和監督，安全戰略目標的建議以及政府、公安、司法等安全外聯。

3.2 信息安全生產部門

信息安全生產的部門，其信息安全生產內容包括三個部分，對內是企業信息安全的支撐、對外提供企業信息安全服務和公眾信息安全服務，接受安全管理部門的領導的管理和考核，和其他生產部門屬平級關系。

4 管理建設

4.1 管理制度頒布

對于管理制度，必須對管理規范和流程進行規范定義，在管理制定頒布之前應該作以下的事情：由安全管理部門牽頭召開各個部門參與的管理制定內容研究討論會，收集各方建議；根據各個建議對管理制度進行修訂；修訂后管理制度，再次召集各個部門討論并基本通過；安全管理部門頒布管理制度并確定管理制度的實施的開始時間；在制度實施開始時間之前，進行制度宣灌，組織各個部門參加學習，并進行相關學習的考試；管理制度開始實施。

4.2 管理制度落實

信息安全管理制度落實是由信息安全管理部門的管控部執行的，管控部包括考核、質檢、審計三個小組共同組成，考核各個部門管理制度的落實情況。如何對各個部門的信息安全情況進行考核呢？不同時期有不同的做法，分為兩個階段：

一是SOC（信息安全運維中心）建設階段。SOC建設階段由于安全生產組織和安全支撐系統還不夠健全，對安全的支撐十分有限，因此這個階段的質檢、審計、考核多以手工為主，信息安全審計和信息安全質檢以部門抽樣檢查為主，無法做到全面的普查。信息安全質檢組定期進行各個部門的信息安全檢查，主要工作是定期的信息安全巡檢工作。信息安全審計組對各個部門的工作日志進行定期的審計工作，特別是出現信息安全事件后的審計工作。信息安全生產部門配合管理部門進行信息安全質檢工作和審計工作，同時信息安全生產部門承擔著SOC支撐系統建設的需求分析、項目監督、系統驗收等工作。

二是SOC運維階段。SOC運維階段，由于各個信息安全支撐系統已經較為完備，而且人員組織逐漸成熟，對信息安全的管控能力將實現一個質的飛越，信息安全質檢組可隨時對考核部門進行信息安全巡檢，巡檢可采用面向全網的信息安全自動巡檢，全面系統的分析全網的安全狀況，信息安全審計可分手工和自動相結合的方式進行審計，根據不同的業務應用、訪問控制等進行審計分析，快速高效的進行審計。信息安全管控從抽樣管理到全面管理，從靜態管理到動態管理，從事后響應到事前預防。

5 基礎設施建設及相關建設

信息安全基礎設施建設的目的主要是實現對現有生產網資源的集中和優化，提高系統運行效率，并同時進行局部的信息安全加固和改進，使得在信息安全支持系統尚未建成時，使現有生產網系統的信息安全性和可用性提高到一個新的水準。其內容主要包括結構調整、優化整合和安全集成。結構調整主要是對信息安全體系存在重大影響的網絡基礎架構的調整；優化整合是對信息安全可用性和保密性的關鍵因素進行改進，如操作通道的加密；安全集成是根據企業信息安全需要綜合分析后，得出在現有生產網上所要建設和購置的信息安全系統及產品。

此外，在經過資產的等級劃分之后，并進行的相關信息資產的優化整合后，全網中大量的信息安全問題和隱患將被排除，但是還會有許多的薄弱點，這些薄弱點是在優化整合后還沒有解決的或疏忽的問題，找出這些薄弱點就需要一次系統的信息安全評估過程，把目前安全存在的問題進行分析。信息安全評估的是根據信息資產的本身的所處的網絡環境和信息資產價值有直接的關系，信息安全評估的目的不是要求企業把所有的問題一概而論的解決掉，而是告訴企業有這些一些問題值得關注，至于解決的問題的要投入的人力物力是根據信息資產的本身的價值而定。

6 系統建設

信息安全系統建設也即最后的信息安全體系建設的最后步驟，是具體實施的過程。在面上主要表現為依照信息安全體系建設規劃方案進行采購與部署。這里的采購對象包括：產品采購類、服務產品類和研發產品類。

6.1 產品采購類

在建設信息安全支撐和信息安全服務系統過程中會涉及到許多安全產品的采購，如防火墻、黑洞、入侵檢測、安全檢測工具產品、成熟的安全集成產品等等采購，因此我們將這部分不需要太多定制開發可直接購買或集成的產品定義為產品采購類。其采用的原則是：

1）安全產品的本身應該具備的功能要求；2）安全產品本身應該具備的性能要求；3）安全產品本身應該具備的安全要求；4）安全產品應該具體的管理要求；5）安全產品的可擴展性要求。

6.2 服務產品類

圖2 信息安全體系建設并行建設步驟

服務產品類，主要是針對對外安全服務的產品類，對外服務的產品類包括集成產品和服務內容。服務產品定義主要是根據市場運營所推出相應服務而定義。服務產品的實施原則如下：

1）產品市場潛力；2）產品的產出比戰略研究；3）產品相關的信息安全等級評估；4）產品相關的信息安全策略；5）產品相關的響應團隊；6）產品宣傳渠道和策略分析；7）產品相關的增值服務；8）產品創造價值的統計分析。

6.3 研發產品類

信息安全支撐系統和信息安全服務系統建設中，一定有一些系統需要進行定制開發，這些定制開發的產品我們定義為研發類產品。研發類產品建設原則如下：

1）產品能夠滿足現有生產的功能要求；2）產品具有良好的可靠性和擴展性；3）產品具有一定先進性，能滿足3－5年企業IT發展要求；4）產品要預留信息安全管理接口，能對系統日志進行采集和審計。

7 結束語

文章針對在企業信息化程度越來越高的情況下，信息安全成為關乎企業生命的重要因素，提出了一種針對企業的信息安全體系建設實施方案。在具體的實施過程中，可以基于具體情況分步驟或者同時進行相關建設。此方案對于指導企業的信息安全體系建設有一定的參考意義。

參考文獻：

[1] 周學廣,劉藝. 信息安全學[M]. 北京: 機械工業出版社,2003.

[2] 韓祖德. 計算機信息安全基礎教程[M]. 北京: 人民郵電出版社, 2005.

[3] 陸廣能. 淺析數字化檔案信息安全問題[J]. 電腦知識與技術, 2005, (10):30-32.

[4] 李娟. 淺談如何構建檔案信息安全防護體系[J].河南職業技術師范學院學報, 2004, (4):20-25.

[5] 范開菊. 網絡環境下檔案信息安全問題探微[J]. 科技情報開發與經濟, 2005, (2):47.

第3篇

21世紀是經濟全球化的時代，產業安全是世界各國面臨的共同問題。醫藥產業是我國經濟重要組成部分，是當前形勢下我國重點發展的支柱產業之一。在外資大量進入的背景下，很有必要對醫藥產業安全做一個評估。而醫藥產業作為新興產業和傳統工業相比有許多不同之處，應根據醫藥產業的特點界定產業安全指標。運用產業經濟學和發展經濟學等理論，從產業環境，國際競爭力，對外依存度，產業控制力等幾個方面對我國醫藥產業安全進行了大體的評估，并在此基礎上提出維護對策。

關鍵詞：

醫藥產業現狀；醫藥產業安全；維護對策

中圖分類號：F2

文獻標識碼：A

文章編號：16723198（2013）02000702

當前世界經濟按照經濟全球化和區域經濟一體化的趨勢迅猛發展。經濟全球化不僅通過商業貿易的全球化加劇了各行業的競爭，更重要的是從根本上改變了國際格局，使各個國家原有的國內國際產業環境發生了翻天覆地的變化。在經濟全球化的挑戰面前，如果不謹慎應對，將很可能喪失經濟發展的良好環境，損失既有的產業鏈，更可能喪失有關國計民生的重要產業和核心技術的控制權。產業安全已成為我國經濟發展的核心問題之一。

醫藥制造業是我國國民經濟重要組成部分，關系到人民健康和國計民生，也是目前世界上發展迅速，競爭激烈，利潤豐厚的高新產業之一。當前外資大量進入中國醫藥市場，對中國本土醫藥產業沖擊較大，很有必要對其進行產業安全評估。對其他的高科技產業也有重要的借鑒作用。

1醫藥產業安全的基本界定

1.1 產業安全理論研究

亞當斯密是最早提出產業安全的人，他在《國民財富的性質和原因研究》一書中，大力主張進行自由的公平競爭，但提出要對涉及到國家安全的國防工業進行保護扶持。他認為，如果制造業是國防所需，那么靠鄰國供給是不合適的。如果對這行業不進行獎勵就無法維持，那么對于其他產業征稅維護這一特定產業是合理的。他強調，對于涉及國計民生的產業，不能依賴國外。

18到19世紀，李斯特為代表的貿易保護主義者認為，工業化落后的國家在最初發展必須向幼稚產業提供例如關稅等形式的貿易保護，以保護其在國外強大競爭下依然能夠繼續生存和發展。

20世紀70年代美國關注外資在美投資，美國前國務卿喬治鮑爾一次討論國外直接投資的會議上提出，要多加注意外資的挑戰，美國企業面對歐洲日本制造業要堅決維護自己的地位。

1966年弗農提出了產品生命周期理論，在此基礎上國際產業轉移理論發展了起來。隨后日本學者小澤輝智提出了“增長階段理論”，由于國外直接投資所引發的產業國際轉移，既是發達國家調整產業結構，實現全球戰略的重要手段，也是發展中國家改造和調整結構，實現產業進步和技術升級的重要途徑。

我國學者何維達，李冬梅把產業安全的內涵界定為以下四類：一是產業控制說，強調相對于外國資本，本國資本要對相關產業有足夠控制力；二是產業競爭說，強調本國產業要有較強的競爭力，各部門均衡協調發展，抵御開放競爭帶來的各種不利因素；三是產業發展說，強調本國要控制關系到國家安全和國家戰略的重要產業，并使這些產業在國際競爭中具有較大潛力；四是產業權益說，強調本國要保證國民的產業權益在開放競爭中不受損害。

曹秋菊把產業安全的內涵界定為動態和靜態兩個方面，從動態看，產業安全強調本國產業在開放競爭中具備較大的發展潛力，從靜態看，產業安全強調本國控制關系到國家安全和國家戰略的重要產業。

喬穎，彭紀生把產業安全內涵界定在以下五類：一是，強調外商利用資本和先進技術等優勢，通過直接收購，合資等方式控制本國重要產業，威脅國家產業安全；二是能力論，強調本國產業對開放競爭帶來的各種不利因素具有抵御能力，可以保持各部門協調均衡發展；三是狀態論，強調要在開放競爭中抵御外來侵害，保護和發展本國產業；四是權力論，強調本國對重要產業的發展和調整擁有自；五是層次論，強調分不同層次界定產業安全的內涵。

王曉云，許芳把產業安全的內涵界定分為以下四個方面：一是強調將制造業安全作為國家產業安全主體；二是強調將民族產業安全范疇擴大至國民產業安全；三是強調從問題的根源界定外資對產業安全的威脅；四是強調在開放競爭環境下，本國對關系到國家安全和國家戰略的重要產業的調整和控制。

1.2 醫藥產業安全的評價

評價產業安全，應包括兩個部分，首先要對產業行業產品現狀進行描述，主要反映產業的基礎狀況，即行業的實力，反映了對外依賴的程度和抵御入侵的能力；其次還有行業之外的許多因素如政策法規與大環境以及外資的影響等。

何維達提出，根據影響產業安全主要因素，將評價產業安全的指標主要劃分為四種。這種指標體系在產業安全評價中得到了廣泛應用，具體可分為：產業環境，產業國際競爭力，產業對外依存度，產業控制力。

我國醫藥產業安全可以從以下四個方面進行評價：我國醫藥產業環境； 我國醫藥產業國際競爭力；我國醫藥產業對外依存度；我國醫藥產業控制力。

2我國醫藥產業安全現狀

2.1我國醫藥產業環境

醫藥產業環境是醫藥產業賴以生存的基礎，受到市場環境和所投入的生產要素等影響，對醫藥產業的發展起到基礎性作用。

我國醫藥企業融資渠道較少，常常發生產業發展資金不足的情況，但這些年隨著金融市場的不斷開放和改革深入，雖然問題不能立刻解決，但是醫藥產業資金得到了逐步改善。資產負債率反映了企業經營效益和風險，我國醫藥企業的資產負債率近年來逐年下降，說明產業良性發展。由于人口老齡化，經濟發展，醫保制度等原因，醫藥產業的市場需求逐年上升，這對醫藥產業的發展是個重要機遇。但是除了這些積極因素，我國醫藥企業的員工素質仍然有待提高，研發費用投入和新藥數量仍然與發達國家有很大的差距。

2.2我國醫藥產業國際競爭力

產業競爭力能夠顯示產業的競爭優勢，也是產業謀求生存和發展的基礎。

我國醫藥產業的國際市場競爭力較弱，世界醫藥市場主要為發達國家的醫藥公司所壟斷，我國出口商品在數量偏少，質量結構上也不合理，缺乏核心競爭力。在國內市場上，我國的本土企業占有大部分份額。在當前的形勢下，很多外企在華設廠，藥品貿易方面國內企業不夠理想。我國醫藥企業的產業集中度較低。首先在我國醫藥產業發展的初期，由于醫藥產業的高回報率，和當時我國對醫藥產業發展的需求，導致眾多資本進入醫藥產業。而當時有關醫藥產業的政策還不完善，更有某些政府自身的原因，沒有對醫藥產業的發展予以正確引導和合理限制，而是盲目的發展，同時醫藥企業的進入壁壘過低也是一個重要原因。而我國醫藥企業的生產率和利潤率還偏低，同質化競爭嚴重。

2.3我國醫藥產業對外依存度

對外依存度主要反映了醫藥產業受國際市場制約的程度。

我國醫藥企業的進口常年保持穩定的較低水平，較為安全。出口也較為穩定，主要是一些原料藥。而對外資的利用則隨著改革開放的深入大規模增加，我國醫藥企業對外商投資有所依賴，但目前還不明顯嚴重。然而我國的技術非常依賴國外，一直以仿制藥為主，很少有原創新藥。我國醫藥產業實力正在不斷增強，與國外交流日益頻繁，但是缺乏自己的核心技術，必須要依靠創新形成屬于自己的核心競爭力，這還需要很多努力。

2.4我國醫藥產業控制力

目前我國醫藥產業的投資仍然以國內企業為主，本土投資略多于外資以及港澳臺投資，但是在利潤上外資較高。而且外資正對國內企業進行大規模的并購，在股權和資本占有率上，預計數年內可能外資控制比例會進一步增加。而在品牌效應上，部分藥品的領域外資占優勢，擁有很強的品牌號召力，威脅到了國內品牌的發展。在技術上，外資占絕對優勢，中國本土企業和國際醫藥公司的技術差距很大。不僅如此，我國企業的研發投入也遠遠不及外資企業。在對華投資的外資中，美國企業占大多數，也對我國市場有很大的控制能力。

3我國醫藥產業安全狀況的主要問題

我國醫藥企業的產業環境和競爭力還不理想，產業集中度較低，我國醫藥企業有一些特點：企業數量眾多，但是大企業少，小型企業多，資源和資本分散，普遍存在低效益，低技術含量，盲目運營等問題，缺乏有核心競爭力的大企業。

產品差異化可以擴大需求，滿足不同需求層次消費者的需要，有利于培養品牌價值，擴大市場份額，同時也可以盡量避免不必要的同質化競爭，減少不必要的重復生產和浪費。然而，我國藥品普遍存在技術含量低，附加值低的問題。導致我國醫藥產品技術重復率高，同質化競爭嚴重，造成了很多不必要的競爭和浪費。

我國目前的醫藥產業技術含量低，極度缺乏創新。生產的大部分產品都是同質化競爭嚴重，低技術低附加值的過剩藥品，難以形成競爭力，而且直接導致惡性競爭，導致醫藥企業利潤的下降。

隨著外資的進入，我國醫藥產業對外資的依賴與日俱增，尤其是中國企業缺乏專利新藥和核心競爭力，被外國醫藥企業控制市場的威脅也日益增長。我國醫藥產業對外資的依存度和外資的控制能力不容忽視，應引起足夠的重視和警惕。

4改善我國醫藥產業安全的對策建議

4.1創造良好的法律和政策環境

我國的立法環境處在不斷完善的階段，醫藥產業的法律法規也應該完善。我們應加強知識產權意識，深入研究醫藥行業有關新技術的專利保護標準，制定并實施有利于國家創新技術的管理方法，在政策上鼓勵企業研發創新。并對外資的入侵進行回應，制定能夠有效保護國內醫藥產業的政策和措施，在有效利用外資的前提下，防止外資進入的負面影響。保護國內產業的健康正常發展。

4.2提高準入門檻，提高產業集中度和企業規模經濟水平

應該提高企業的準入門檻，加強相關管理，提高醫藥產業的集中度，有效提升競爭力。醫藥產業的組織結構調整要以市場機制的調節作用為基礎，并充分發揮政府的作用，推動企業的并購和聯合，通過相應的產業政策，推動企業資產重組的進行，加快醫藥產業集中和規模化進程。

4.3加強管理和研發力度，培養創新能力

在保證增加政府經費對科研投入的同時，可以通過其他手段，例如經濟手段，政策措施導向，以及約束機制等引導鼓勵醫藥企業主動增加研發費用。對大型企業關鍵技術的研究開發要予以充分支持，盡早實現產業化投入。同時我們也要培養醫藥研發創新的專業人才，加強對醫藥企業技術人員的培訓。

4.4合理利用國際貿易的法規，調整產業進出口結構

我們應加強對貿易規則經驗和措施的研究學習，加強醫藥產業的自我保護能力。并合理利用規則，調整產品的進出口結構，使其朝著有利于國內企業發展壯大的方向發展，對國內的醫藥市場以至于中國的醫藥產業發展實施合理有效地保護。

參考文獻

[1] 何維達，李冬梅.中國產業安全理論研究綜述[J].經濟縱橫，2006，（8）：7476.

[2]喬穎，彭紀生.國內產業安全問題的研究綜述[J].濟南大學學報，2007，（3）：8689.

[3]王曉云，許芳.產業安全問題研究——基于生態學視角[J].鄭州航空工業管理學院學報，2008，（3）：510.

[4]劉學，陳文選，鄭東連等.利用外資對中國醫藥業的影響[J].國際貿易，1994，（2）：1927.

[5]顧麗萍.加入世界貿易組織后我國醫藥行業的外資利用問題探討[J].上海醫藥，2000，21（10）：910.

[6]祁添.新時期我國醫藥行業利用外資情況分析[J].黑龍江對外經貿，2003，（09）：3031.

[7]許銘，李娜.淺析當前中國醫藥制造業產業安全狀況[J].中國醫藥工業，2011，42（12）：111115.

第4篇

關鍵詞：移動終端模式；港口企業；安全管理；信息系統；設計

隨著現代信息技術的不斷發展，信息化技術在現代港口企業安全管理中的應用大大提高管理的效率。但目前一些港口企業的安全管理還存在著較大的問題，管理狀態還停留在原始的狀態上，給港口企業的安全管理帶來一定的困擾。因此本文通過建立港口安全管理的信息化平臺，改變港口安全管理的原始狀態，提高港口管理的效率。

一、港口安全管理模塊的功能性需求

港口安全管理是港口生產經營的重要保障，其主要的功能是確保港口的安全生產，保證港口的設施安保管理功能，建立應急管理備案和隱患排查制度，幫助港口企業提升對港口的安全監督，提高工作的效率，因此在設計港口安全管理信息系統時，該模塊的安全管理要滿足以下需求。

（一）安全文件備案：港口安全文件是上級部門的一些具有權威性的文件以及制定的一些制度性的文件，因此該模塊的設計要求顯示文件備案并允許上傳附件供用戶進行下載和瀏覽。

（二）隱患排查管理：隱患排查管理是保障港口安全生產的重要手段之一。港口企業要對自身的生產經營活動負主要的責任，需定期在港口生產經營的各個環節進行安全隱患排查工作，并保存在系統中進行公布。

（三）港口應急管理：港口應急管理包括多個方面的內容，需要建立相關的應急小組，設置應急的預案，準備各種應急的資源，定期進行應急演練等。應急預案的準備也就是對港口的安全管理實施安全文件，上級部門能夠對存在的安全隱患迅速的做出應急措施。

二、港口安全管理信息移動終端的設計

港口安全管理信息移動終端是以計算機網絡和地理信息系統（GIS）為基礎建立的一個安全可靠、高效職能、可擴展的安全生產監督、監察業務管理信息系統，它能為安全生產監督部門實現網絡化、數字化的協同辦公，進一步實現業務管理規范化、種學化、信息化。

三、港口企業安全管理信息系統結構和功能設計

（一）安全文件備案管理模塊：在安全文件備案管理模塊中，行政部門的用戶可以通過系統上傳安全的文件提供給港口企業進行下載和瀏覽。用戶使用對應的賬號登錄以后，對相應的模塊進行判斷，港口企業可直接查看信息，行政單位用戶可以進入到安全文件備案中進行直接的操作，可以添加和刪除安全文件的信息。在添加安全文件時用戶可以直接使用賬號登錄系統，進入到安全文件備案管理模塊，如果具有查看安全文件的權限，那么進入系統可以直接查看上級部門的一些行政性的文件或者制度性的文件。

（二）安全隱患排查模塊：安全隱患排查主要是檢查人員可以通過移動終端進行安全隱患的排查工作，并進入到相關的模塊中，檢查相關的隱患類型，如常規檢查、交接班檢查等，選擇一項后系統會自動的加載該項的所有項目提供給檢查人員檢查。如果想要重新進行檢查時可以選擇相應的類型，系統將會自動加載該類型的相關項目，檢查人員可以根據檢查的實際情況選擇自己所要檢查的內容。

（三）港口應急管理模塊：在應急管理模塊中，管理人員可以通過移動終端進入到系統中建立相應的應急預案和應急小組，對應急資源和信息進行管理和維護。應急管理人員進入到系統中可以對各自負責的應急資源和信息進行管理和操作，可以添加應急的資源和信息，更新應急的信息和資源。

（四）移動終端的管理：在港口安全管理中，對管理人員的績效考核往往是在事后進行核算，因此對于管理人員的業務水平很難形成動態的追蹤，在人員的管理中出現了較大的阻礙。為完善管理人員的考核工作，且能夠較準確的反應出人員對安全隱患的應急措施的有效性。

四、系統的試運行

系統試運行過程中，結合企業原有局域網系統，將軟件安裝在已有的服務器上，組織使用人員進行專題培訓。系統試運行正式開始，技術人員與軟件使用人員組織了多次溝通協調會，對系統功能進行了一系列補充和修改，系統的運行基本達到預期效果。從系統開始運行至今，安全管理信息系統在日照港的運行效果非常明顯，在系統運行之前，以1名普通安全管理人員為例，每月花費在文件整理歸檔上的工作大約占到其工作總量的46%以上，每月的工作時間大約在84工作時左右；在管理系統運行后這部分的時間被縮減至17個工作時，累計節約時間達到80%以上。

第5篇

首先，鑒于中小企業的特點，在信息安全意識培訓過程中需要考慮兩個基本點。第一點，對全公司盡量培訓一致的安全信息，并且這項計劃要由信息技術部門負責管理。中小型企業規模往往比較小，不足以實行具有不同傾向性的多種培訓計劃。第二點，要清楚中小企業的大部分電腦使用者并不是專業人員，相關的培訓應該簡單且接近企業用戶的水平。

其次，需要考慮的是中小企業信息安全方面需要培訓哪些內容。一般而言，需要考慮的培訓內容包括：用戶管理、網絡與電子郵件、移動設備與便攜設備使用、對外保密、突發事件、系統操作安全等。

再次，需要根據自身特點選取適合中小企業信息安全意識的培訓方法。一般來說，至少有三種途徑可以用于企業進行安全意識培訓：一是在公司內部尋找培訓人員和培訓部門，進行內部培訓；二是聘請外部專業的培訓公司進行培訓；三是考慮依托于網絡與電腦進行培訓。但以上任何一種方案都有可能會超出中小型企業的能力，這時候還要根據企業自身特點來安排適當的途徑進行培訓。

那么，能滿足規模較小的中小企業提高員工信息安全意識培訓的合理途徑是什么呢?有分析認為，可以在以上提到的三種途徑的基礎上加以改動，形成兩種可用的途徑：一是中小企業仍然可以使用內部資源進行范圍性培訓或者購買網絡、電腦的培訓程序。二是中小企業可以創造性地在辦公室張貼些成本低的彩色安全意識海報，對員工潛移默化地培訓。

從企業內部來看，如果企業的信息技術部門能提供一個內部特制的培訓計劃是可行的。按照美國國家標準與技術研究院(NIST)的指導方針或其他材料，策劃一天或半天的課程就足以使員工認識到有關電腦安全的一些重要問題。從企業外部來看，目前市場上也有不少專門面向中小型企業、價格合理的基于網絡和電腦安全相關的培訓。無論如何，需要考慮企業自身承受能力與受培訓者的接受能力，根據實際情況來進行選擇。

第6篇

關鍵詞：煙草行業；信息安全；數據備份

在煙草行業運營與生產管理活動中，信息化工具發揮著較為重要的作用，已初步搭建了較為完善的網絡架構與內部信息系統環境，成為煙草行業提升核心競爭力的重要基礎。與此同時，信息安全問題也日益突出，已成為導致煙草行業數據丟失等的關鍵因素。因而，深入分析煙草行業信息安全風險與防控策略至關重要。

1煙草行業信息安全風險

煙草行業在信息化建設中，主要具有如下幾個方面的信息安全問題。

1.1缺乏信息安全整體規劃

整體而言，相比于西方等經濟發達國家，國內信息安全技術發展相對滯后于網絡技術，這必然會造成煙草行業在應用新型網絡技術產品時，信息安全技術顯得稍落后，難以保障煙草行業的信息安全。比如，部分煙草企業可能會選擇使用PS防御系統，但是在綜合權衡經濟預算、信息安全實際應用需求等后，最終并沒有決定使用性能最佳的信息安全產品，最終導致硬件難以滿足信息安全風險防控的要求，這些均與煙草企業未制訂積極有效的信息安全整體規劃有較為緊密的關系。

1.2面臨外部信息安全威脅攻擊

在煙草企業經營管理活動中，為了便于管理員工高效工作，允許企業員工在外網通過VPN的方式訪問煙草企業內部的信息系統。另外，在煙草企業內部網絡應用過程中會有信息設備供應商以及其他信息系統服務商等第三方的介入，這也會導致煙草企業在網絡應用中會頻繁進行內外網連接，這給木馬、黑客等攻擊煙草企業網絡架構以可乘之機。當煙草企業網絡遭受攻擊后，很有可能會導致煙草行業信息系統無法正常應用，致使煙草企業面臨來自外部的信息安全風險。

1.3內部信息安全控制不力

信息技術在持續發展，可供煙草企業選擇的信息設備以及信息系統也越來越多，大多數煙草企業已搭建起相對較為完整的基礎網絡架構以及應用系統服務群，包括生產銷售管理平臺、OA辦公平臺、綜合服務管理平臺等，這對于煙草企業正常的經營管理以及決策管理起到關鍵的作用，大大提升了煙草企業的辦公效率。然而，煙草企業在利用信息技術獲得便利的同時，也面臨著來自內部信息安全控制不力的風險，包括不良網絡信息沖擊員工正確價值觀，以及煙草企業內部員工較大的流動性給信息安全風險防控所帶來的負面影響。

1.4員工信息安全意識薄弱

較強的員工信息安全意識，是提升煙草行業信息安全等級的重要渠道。在信息技術應用持續深化的情況下，傳統的管理人員已難以滿足信息時代下企業發展的需求。另外，當前部分煙草企業信息安全管理團隊不完善，以及管理人員自身的信息安全意識較為薄弱，領導對信息安全管理工作不重視，或者員工存在僥幸心理，都會致使煙草企業產生不同程度的信息安全事故。

2煙草行業信息安全防控策略

針對當前煙草企業所面臨的信息安全風險，建議從如下幾個方面制定防范策略。

2.1科學高效地開展信息安全規劃

科學、合理地規劃煙草企業信息安全架構，是煙草企業防范信息安全風險的重要基礎。首先，應根據信息安全的未來發展方向制訂煙草企業的信息安全發展規劃，以確保煙草企業所采取的防范措施符合整體發展方向，避免走錯方向、浪費資金投入。其次，應緊密結合煙草企業的信息化建設現狀與存在的問題規劃信息安全發展方向。煙草企業的不同發展規劃，對信息安全的管理需求有所不同，這就要求煙草企業緊密結合自身的信息安全發展需求，制定更具針對性的信息安全風險防控策略，以更高效地規避內部隱患、外部攻擊。

2.2完善加密手段，構建加密渠道

在制訂了科學合理的信息安全防范規劃后，就應采取加密信息的手段，構建更為合理的加密渠道。比如，煙草企業在信息化建設中應要求信息技術人員研發信息加密的多樣化手段，構建更為豐富的加密渠道，從而提升煙草信息平臺的安全性。同時，還應加強煙草企業內部應用系統以及數據庫的備份工作。再如，在實際管理中，煙草企業可以要求信息技術人員通過訪問控制、數字簽名、身份認證多種方式，以達到煙草企業防范信息安全風險的要求，還可以要求各個信息系統使用方妥善保管各個信息系統的登錄密碼，不允許使用復雜度過低的密碼，應根據信息安全規范要求制定密碼復雜度規則，以提升信息系統訪問安全性。同時，還應定期提醒或要求用戶更改密碼，以達到安全管控的目的。

2.3做好企業內部數據備份與恢復工作

內部數據丟失風險，是當前煙草企業信息安全風險之一。積極做好企業內部數據備份與恢復工作，是規避數據丟失風險的重要方式之一。首先，應做好內部數據備份工作。比如，積極搭建異地數據災備中心，選擇一個相對安全的地方進行數據備份。選擇性能更為強大、安全等級更高的備份系統，以更高效地執行數據備份，并且不影響其他應用系統的正常使用。其次，定期執行數據模擬恢復操作。部分煙草企業認為，只要定期完成內部數據備份工作便可確保煙草企業數據安全，忽視了備份數據的有效性。而積極開展模擬恢復操作，是確保所備份數據有效性的重要方法。因而，煙草企業應定期開展積極有效的模擬恢復操作，以確保所備份的數據是可用的，切實保護煙草企業的信息安全。

2.4重視培訓提升員工信息安全意識

員工較高的信息安全意識，是煙草企業防范各種信息安全風險的重要保障。首先，應重視員工信息安全意識培訓工作。煙草企業信息主管部門，在實際信息管理活動中，應定期或者不定期組織員工參與安全培訓，或者通過微課的方式向員工們宣傳信息安全知識。其次，應重視網絡使用規范或者應用系統應用規范，以在規范員工信息行為的同時提升所有員工的信息安全意識，從而更為有效地規避信息安全風險。對于員工使用基礎網絡或系統過程中所存在的信息安全隱患，信息主管部門應針對這些案例進行整理，形成宣傳文案，以提高所有員工的警惕性。

3結語

煙草業在信息建設中將面臨著各種信息安全隱患，這要求信息建設管理人員從制訂信息安全建設規劃、完善加密手段、做好內部數據備份工作以及提升員工安全意識等方面入手，切實提升信息安全等級，保護信息建設成果。

作者:毛紀輝 單位:遼寧省煙草公司丹東市公司

參考文獻

[1]劉軻.論煙草行業信息安全風險及防控[J].重慶與世界:學術版,2014(11):97-100.

第7篇

關鍵詞：網絡環境 企業信息 安全管理

引言

隨著社會的發展，企業對信息資源的依賴程度來越大，由此帶來的信息安全問題也日益突出。生產中的業務數據、管理中的重要信息，如果企業自身的信息安全管理有重大疏漏，也無法保證數據的安全可靠。當前，企業在黑客病毒日益猖撅的網絡環境下不僅要保護自身信息的安全，還要保護業務數據的信息安全，因此有必要從體系管理的高度構建企業信息安全。

一、企業信息安全的二維性

當前，企業信息安全已涉及到與信息相關的各方面。企業信息安全不僅要考慮信息本身，還需要考慮信息依附的信息載體（包括物理平臺、系統平臺、通信平臺、網絡平臺和應用平臺，例如PC機、服務器等）的安全以及信息運轉所處環境（包括硬環境和軟環境，例如員工素質、室內溫度等）的安全。資產如果不對影響信息安全的各個角度進行全面的綜合分析，則難以實現企業信息安全。因此，需要從企業信息安全的總體大局出發，樹立企業信息安全的多維性，綜合考慮企業信息安全的各個環節，揚長避短，采取多種措施共同維護企業信息安全。

1、技術維：技術發展是推動信息社會化的主要動力，企業通常需要借助于一項或多項技術才能充分利用信息，使信息收益最大化。然而，信息技術的使用具有雙面性，人們既可以利用技術手段如電子郵件等迅速把信息發送出去，惡意者也可由此截獲信息內容。為確保企業信息安全，必須合理的使用信息技術，因此，技術安全是實現企業信息安全的核心。

1）惡意代碼和未授權移動代碼的防范和檢測。網絡世界上存在著成千上萬的惡意代碼（如計算機病毒、網絡蠕蟲、特洛伊木馬和邏輯炸彈等）和未授權的移動代碼（如Javaseript腳本、Java小程序等）。這些代碼會給計算機等信息基礎設施及信息本身造成損害，需要加以防范和檢測。

2）信息備份。內在的軟硬件產品目前還不能確保完全可靠，還存在著各種各樣的問題。外在的惡意代碼和未授權移動代碼的攻擊，也會造成應用信息系統的癱瘓。為確保信息的不丟失，有必要采取技術備份手段，定期備份。

3）訪問權限。不同的信息及其應用信息系統應有不同的訪問權限，低級別角色不應能訪問高級別的信息及應用信息系統。為此，可通過技術手段設定信息的訪問權限，限制用戶的訪問范圍。

4）網絡訪問。當今，一個離開網絡的企業難以成功運轉，員工通常需要從網絡中獲取各種信息。然而，網絡的暢通也給惡意者提供了訪問企業內部信息的渠道。為此，有必要采用網絡防火墻技術，控制內部和外部網絡的訪問。

2、管理維：企業信息安全不但需要依靠技術安全，而且與管理安全也息息相關。沒有管理安全，技術安全是難以在企業中真正貫徹落實的。管理安全在企業中的實施是企業信息得以安全的關鍵。企業應建立健全相應的信息安全管理辦法，加強內部和外部的安全管理、安全審計和信息跟蹤體系，提高整體信息安全意識，把管理安全落到實處。

l）信息安全方針和信息安全政策的制定。信息安全方針和信息安全政策體現了管理者的信息安全意圖，管理者應適時對信息安全方針評審，以確保信息安全方針政策的適宜性、充分性和有效性。

2）構建信息安全組織架構。為在企業內貫徹既定的信息安全方針和政策，確保整個企業信息安全控制措施的實施和協調，以及外部人員訪問企業信息和信息處理設施的安全，需要構建有效的信息安全組織架構。

二、企業信息安全構建原則

企業信息安全構建原則為確保企業信息的可用性、完整性和機密性，企業在日常運作時須遵守以下原則。

l）權限最小化。受保護的企業信息只能在限定范圍內共享。員工僅被授予為順利履行工作職責而能訪問敏感信息的適當權限。對企業敏感信息的獲知人員應加以限制，僅對有工作需要的人員采取限制性開放。最小化原則又可細分為知所必須和用所必須的原則，即給予員工的讀權限只限于員工為順利完成工作必須獲的信息內容，給予員工的寫權限只限于員工所能夠表述的內容。

2）分權制衡。對涉及到企業信息安全各維度的使用權限適當地劃分，使每個授權主體只能擁有其中的部分權限，共同保證信息系統的安全。如果授權主體分配的權限過大，則難以對其進行監督和制約，會存在較大的信息安全風險。因此，在授權時要采取三權分立的原則，使各授權主體間相互制約、相互監督，通過分權制衡確保企業信息安全。例如網絡管理員、系統管理員和日志審核員就不應被授予同一員工。

三、企業信息安全管理體系的構建

信息安全管理體系模型企業信息安全管理體系的構建要統籌考慮多方面因素，勿留短板。安全技術是構建信息安全的基礎，員工的安全意識和企業資源的充分提供是有效保證安全體系正常運作的關鍵，安全管理則是安全技術和安全意識恒久長效的保障，三者缺一不可。因此，在構建企業信息安全管理體系時，要全面考慮各個維度的安全，做好各方面的平衡，各部門互相配合，共同打造企業信息安全管理平臺。科學的安全管理體系應該包括以下主要環節：制定反映企業特色的安全方針、構建強健有力的信息安全組織機構、依法行事、選擇穩定可靠的安全技術和安全產品、設計完善的安全評估標準、樹立.員工的安全意識和營造良好的信息安全文化氛圍等。因此，為了使企業構建的信息安全管理體系能適應不斷變化的風險，必須要以構建、執行、評估、改進、再構建的方式持續地進行，構成一個P（計劃）、D（執行）、C（檢查）、A（改進）反饋循環鏈以使構建的企業信息安全管理體系不斷地根據新的風險做出合理調整。

四、結論

信息安全管理體系的構建對企業高效運行具有重要意義。只有全面分析影響企業信息安全的各種來源后才能構建良好的企業信息安全管理體系。從大量的企業案例來看，技術、管理和資源是影響企業信息安全的3個角度。為此，應從技術、管理和資源出發考慮信息安全管理體系的構建原則和企業信息安全管理體系應滿足的基本要求。同時，也應注意到，信息安全管理體系的構建不是一勞永逸而是不斷改進的，企業的信息安全管理體系應遵從PDCA的過程方法論持續改進，才能確保企業信息的安全長效。

參考文獻：

第8篇

由于我國信息化建設起步較晚，我國中小企業相較于西方發達國家信息建設程度還有所欠缺。企業內部對于信息安全管理缺乏科學的規章制度，難以做到信息合理有效的安全防護。安全管理制度的不完善導致了各項制度之間出現混淆，安全職責定位不夠明確，安全問題出現無從追求，這種現象在中小企業信息泄露中時有發生。

二、缺乏相關技術人才

大部分中小企業由于對信息安全管理重視程度不夠，投入力度較輕，導致安全管理出現盲區。信息安全建設過程中對于相關人才的培養力度不夠，企業內部缺少專門的技術人才對安全管理盲區予以修復，進而導致信息泄露。

三、中小企業信息化安全管理完善措施

（一）強化信息安全意識。企業信息安全是企業健康平穩發展的基礎，由此中小企業內部每個員工都應該予以承擔相應的義務和責任。強化員工對于信息安全的意識，相比于技術安全更值得重視[2]。所以，企業內部必須強化員工信息安全意識，營造內部良好的安全意識氛圍，提升員工信息安全防護能力。

（二）完善安全管理制度。有效地安全措施離不開科學的安全管理制度，企業需要強化制度建設力度，做到安全管理有章可循，對于企業內部用戶相關信息權限予以限制，明確，減少個人操作可能引發的信息泄露風險。在企業不斷發展的過程中，制度應隨著企業發展而創新升級，以滿足企業發展的需要。

（三）重點培養信息安全管理人才。任何一個企業發展的根本動力都是人才的支持，優秀的人才能夠促進企業內部穩定，工作效率提升，企業發展收益增強[3]。在企業發展過程中，安全管理盲區需要相應的技術人員進行定期檢查，維護，針對存在的安全隱患及時有效地解決，規避風險的發生。

四、結論

第9篇

關鍵詞： 企業信息系統；信息安全；安全策略

中圖分類號：F270.7 文獻標識碼：A 文章編號：1671－7597（2012）0220165－01

隨著市場經濟的不斷發展，企業競爭越來越激烈，國際化合作不斷增多，隨之而來的企業信息安全是目前我國企業普遍存在的問題。對企業來說，信息安全是一項艱巨的工作，關系到企業的發展。近年來，圍繞企業信息安全問題的話題不斷，企業信息安全事件也頻頻發生，如何保證企業信息的安全，保證信息系統的正常運轉，已經成為信息安全領域研究的新熱點。

1 企業信息安全的意義

信息安全是一個含義廣泛的名詞，是指防止信息財產被故意的或偶然的非授權泄露、更改、破壞，或防止信息被非法辨識、控制，即確保信息的保密性、可用性、完整性和可控性。企業的正常運轉，離不開信息資源的支撐。企業信息安全建設對企業的發展意義重大。

首先，信息安全是時展的需要。計算機網絡時代的發展，改變了傳統的商務運作模式，改變了企業的生產方式和思想觀念，極大推動了企業文化的發展。企業信息安全的建設將使得企業的管理水平與國際先進水平接軌，從而成長為企業向國際化發展與合作的有力支撐。

其次，信息安全是企業發展的需要。企業的信息化建設帶來了生產效率提高、成本降低、業務拓展等諸多好處。當前越來越多的企業信息和數據，都是以電子文檔的形式存在，對企業來說，信息安全是使企業信息不受威脅和侵害的保證，是企業發展的基本保障，所以，在積極防御，綜合防范的方針指導下，有效地防范和規避風險，建立起一套切實可行的長效防范機制，逐步建立起信息安全保障體系，有利于企業的發展。

最后，信息安全是企業穩定的必要前提。信息安全成為保障和促進企業穩定和信息化發展的重點，要充分認識信息安全工作的緊迫感和長期性，從企業的安全、經濟發展、企業穩定和保護企業利益的角度來思考問題，扎扎實實地做好基礎性工作和基礎設施建設，在建立信息安全保障體系的過程中，必須搞好鏈接信息安全保障體系建設安全、建設健康的網絡環境，關注信息戰略，保障和促進信息化的健康發展。

2 企業信息安全的現狀

我國企業信息安全包括計算機系統的硬、軟件及系統中的數據受到保護，不受偶然的或惡意的原因而遭到破壞、更改、泄露，使得系統連續、可靠、正常的運行，網絡服務不中斷。計算機和網絡技術具有復雜性和多樣性，使得企業信息安全成為一個需要持續更新和提高的領域。就目前來看，主要存在以下三個方面的隱患。

2.1 企業缺少信息安全管理制度

企業信息安全是一個比較新的領域，目前還缺少比較完善的法規，現有的法規，由于相關安全技術和手段還沒有成熟和標準化，法規也不能很好地被執行，安全標準和規范的缺少，導致無從制定合理的安全策略并確保此策略能被有效執行。企業的信息系統安全問題是一個系統工程，涉及到計算機技術和網絡技術以及管理等方方面面，同時，隨著信息系統的延伸和新興技術集成應用升級換代，它又是一個不斷發展的動態過程。因此對企業信息系統運行風險和安全需求應進行同期化的管理，不斷制定和調整安全策略，只有這樣，才能在享受企業信息系統便利高效的同時，把握住信息系統安全的大門。

2.2 員工缺少安全管理的責任心

一個企業的信息系統是企業全體人員參與的，不考慮全員參與的信息安全方案，恰恰忽視信息安全中最關鍵的因素――人，因為他們才是企業信息系統的提供者和使用者，他們是影響信息安全系統能否達到預期要求的決定因素。在眾多的攻擊行為和事件中，發生最多的安全事件是信息泄露事件。攻擊者主要來自企業內部，而不是來自企業外部的黑客等攻擊者，安全事件造成最大的經濟損失主要是內部人員有意或無意的信息泄露事件。針對內部員工的泄密行為，目前還沒有成熟的、全面的解決，對于來自企業信息內部信息泄密的安全問題，一直是整個信息安全保障體系的難點和弱點所在。

2.3 信息系統缺乏信息安全技術

計算機信息安全技術是一門由密碼應用技術、信息安全技術、數據災難與數據恢復技術、操作系統維護技術、局域網組網與維護技術、數據庫應用技術等組成的計算機綜合應用學科。由于認識能力和技術發展的局限性，在硬件和軟件設計過程中，難免留下技術缺陷，網絡硬件、軟件系統多數依靠進口，由此可造成企業信息安全的隱患，現在黑客的攻擊并不是為了破壞底層系統，而是為了入侵應用，竊取數據，帶有明顯的商業目的，許多黑客就是通過計算機操作系統的漏洞和后門程序進入企業信息系統。隨著網絡應用要求的越來越多，針對應用的攻擊也越來越多，除了在管理制度上確保信息安全外，還要在技術上確保信息安全。

3 企業信息安全中存在的問題

信息時代的到來，從根本上改變了企業經營形式，企業實施信息化為其帶來便利的同時也產生了巨大的信息安全風險。由于我國企業信息安全工作還處于起步階段，基礎薄弱，導致信息安全存在一些亟待解決的問題。比較常見的問題有病毒危害、“黑客”攻擊和網絡攻擊等，這些問題給企業造成直接的經濟損失，成為企業信息安全的最大威脅，使企業信息安全存在著風險因素。

3.1 病毒危害

計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者數據，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼，它是具有破壞作用的程序或指令集合。計算機病毒已經泛濫成災，幾乎無孔不入，據統計，計算機病毒的種類已經超過4萬多種，而且還在以每年40%的速度在遞增，隨著Internet技術的發展，病毒在企業信息系統中傳播的速度越來越快，其破壞性也越來越來越強。

3.2 “黑客”攻擊

“黑客”是英文Hacker的諧音，黑客是利用技術手段進入其權限以外的計算機系統的人。黑客破解或破壞某個程序、系統及網絡安全，或者破解某系統或網絡以提醒該系統所有者的系統安全漏洞的過程。通常采用后門程序、信息炸彈、拒絕服務、網絡監聽、密碼破解等手段侵入計算機系統，盜竊系統保密信息，進行信息破壞或占用系統資源，黑客攻擊已經成為近年來經常出現的問題。

3.3 網絡攻擊

網絡攻擊就是對網絡安全威脅的具體表現，利用網絡存在的漏洞和安全缺陷對系統和資源進行的攻擊。尤其是在最近幾年里，網絡攻擊技術和攻擊工具有了新的發展趨勢，使借助Internet運行業務的企業面臨著前所未有的風險。由此可知，企業的信息安全問題、以及對信息的安全管理都是至關重要的。要保證企業信息安全，就必須找出存在信息安全問題的根源，并具有良好的安全管理策略。

4 企業信息安全的解決方案

為確保企業信息安全，要堅持積極防御，綜合防范的方針，全面提高信息安全防護能力。因此，面對企業信息安全的現狀和企業信息安全發展中出現的問題，必須實施對企業的信息安全管理，建設信息安全管理體系，只有建立完善的安全管理制度，將信息安全管理自始至終貫徹落實于信息管理系統的方方面面，企業信息安全才能得以實現。企業信息安全的解決方案，具體表現在以下三個方面：

4.1 建立完善的安全管理體系

完整的企業信息系統安全管理體系首先要建立完善的組織體系，完成制定并信息安全管理規范和建立信息安全管理組織等工作，保障信息安全措施的落實以及信息安全體系自身的不斷完善。并建立一套信息安全規范，詳細說明各種信息安全策略。一個詳細的信息安全規劃可以減輕對于人的因素帶來的信息安全問題。最基本的企業安全管理過程包括：采用科學的企業信息資產評估和風險分析模型法、設計完備的信息系統動態安全模型、建立科學的可實施的安全策略，采取規范的安全防范措施、選用可靠穩定的安全產品等。安全防范體系的建立不是一勞永逸的，企業網絡信息自身的情況不斷變化，新的安全問題不斷涌現，必須根據暴露出的一些問題，進行更新，保證網絡安全防范體系的良性發展，

4.2 提高企業員工的安全意識

科技以人為本，在信息安全方面也是靠人來維護企業的利益，我們在企業信息網絡鞏固正面防護的時候不能忽視對人的行為規范和績效管理。企業員工信息安全意識的高低是一個企業信息安全體系是否能夠最終成功實施的決定性因素。企業應當制定企業人員信息安全行為規范，必須有專門管理人才，才能有效地實現企業安全、可靠、穩定運行，保證企業信息安全。教育培訓是培訓信息安全人才的重要手段，企業可以對所有相關人員進行經常性的安全培訓，強化技術人員對信息安全的重視，提升使用人員的安全觀念，有針對性的開展安全意識宣傳教育，逐步提高員工的安全意識，強調人的作用，使他們明確企業各級組織和人員的安全權限和責任，使他們的行為符合整個安全策略的要求。

4.3 不斷優化企業信息安全技術

企業一旦制定了一套詳細的安全規劃來武裝自己，保護其智力資產，它就開始投入到選擇采用正確信息安全技術上。可供企業選擇的防止信息安全漏洞的安全技術有很多。當企業選擇采用何種技術時，首先了解信息安全的三個領域是十分有幫助的，這三個領域變得：驗證與授權、預防和抵制、檢測和響應。其中，用戶驗證是確認用戶身份的一種方法，一旦系統確認了用戶身份，那么它就可以決定該用戶的訪問權限，比如使用用戶名和密碼。預防和抵抗技術是指企業阻止入侵者訪問。對于任何企業，必須對那些故障做好準備和預測，目前可以幫助預防和建設抵抗攻擊的技術主要有內容過濾、加密和防火墻，在選用防火墻的時候，需要對所安裝的防火墻做一些攻擊測試。此外，企業信息安全的最后一道屏障是探測和反應技術，最常見的探測和反應技術是殺毒軟件。

5 結語

總之，企業信息安全是一項復雜的系統工程，企業要適應現代化發展的需要，要提高自身信息安全意識，加強對信息安全風險防范意識的認識，重視安全策略的施行及安全教育，必須做到管理和技術并重，安全技術必須結合安全措施，并加強信息安全立法和執法的力度，建立備份和恢復機制， 為企業設計適合實際情況的安全解決方案，制定正確和采取適當的安全策略和安全機制，保證企業安全體系處于應有的健康狀態。

參考文獻：

[1]張帆，企業信息安全威脅分析與安全策略[J].網絡安全技術與應用，2007（5）.

[2]諶曉歡，企業信息安全問題及解決方案[J].企業技術開發，2008（8）.

[3]付沙，企業信息安全策略的研究與探討[J].商場現代化，2007（26）.

[4]姜樺、郭永利，企業信息安全策略研究[J].焦作大學學報，2009（1）.