企業信息安全管控范例6篇

前言：中文期刊網精心挑選了企業信息安全管控范文供你參考和學習，希望我們的參考范文能激發你的文章創作靈感，歡迎閱讀。

企業信息安全管控范文1

關鍵詞：管控系統 企業信息網絡 優化升級

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1007-9416（2016）12-0199-01

1 企業信息網絡安全系統存在的問題

網絡信息的開放與共享、信息化的快速發展給信息網絡安全帶來了安全風險以及隱患，使得計算機容易受到黑客、病毒等攻擊，從而導致企業的整個網絡系統癱瘓、信息數據遭到篡改、內部員工資料和機密信息泄露，使得網絡傳輸的信息失去了保密性和真實性，這嚴重影響了企業的正常運行，并且帶來巨大的經濟損失。因此，企業的信息網絡安全面臨嚴峻的挑戰。

面對這種情況，我國的許多企業都開始重視并且投入到信息網絡安全工作的開發與建設中。然而目前，我國企業信息網絡安全管控系統仍然存在很大的問題：在信息網絡安全管理方面，管理機制不健全，管理人員的安全意識低下、管理能力不高、安全管理操作不規范；在信息網絡安全技術方面，技術比較落后。各個安全區域的劃分不夠合理，用于認證以及管理方面存在很大漏洞。同時系統的安全性能沒有得到切實的保障，在連接外網的時候，一旦某臺計算機中毒之后，就會導致所有內部資料丟失。

因此，作為企業，應該深入的分析自身企業的安全需求，并且利用目前的先進信息網絡技術，對企業原有的信息網絡安全管控系統進行優化、升級與改造，研究設計出滿足自身需求的信息網絡安全管控系統。

2 企業信息網絡安全管控系統的優化設計

2.1 優化原則

在對企業信息網絡安全管控系統進行優化調整時，應該注意以下幾個基本原則：（1）優化調整后的信息網絡安全管控系統，具有高度的穩定性與系統性能，要確保系統在高性能的條件下，也能穩定的運行；（2）優化調整后的信息網絡安全管控系統，要確保數據的安全性要求，為了防止非授權用戶訪問數據中心，系統應該采取相應的保護措施；（3）優化調整后的信息網絡安全管控系統，應該具有可擴展性和可維護性，管理員能夠很方便對系統的軟硬件資源進行維護與管理，當系統無法再滿足安全要求時，其結構以及功能模塊應該可以方便的進行擴展；（4）優化調整后的信息網絡安全管控系y的建設投入成本應該盡可能的低，但降低成本的同時，也應該按照計劃規定的時間完成系統的總目標。

2.2 安全系統功能模塊的劃分

在確定了信息網絡安全管控系統的框架之后，根據企業的現有網絡安全系統的設施、管理模式以及安全需求，對企業的安全區域重新劃分為五個區域，如圖1所示。

安全區域經過重新劃分之后，可以有效的增加安全管控系統的保護能力，當外層保護機制檢測到有入侵時，會及時的通知系統管理中心。當進一步入侵時，應用層與核心層就會啟動雙重保護，防止入侵。與此同時，由于外層保護機制能夠及時的通知管理中心，這樣管理人員就能及時的采取有效措施阻止入侵。這樣不僅增加了入侵管控系統的難度，而且還有效的增加了主動防御時間。

2.3 網絡安全系統優化、升級與改造的總體思路

當企業的內網連接到外網的時候，企業的網絡安全問題則需要給予高度的重視。為了提高企業網絡的安全性，應該采用相應的安全策略來防范和阻止網絡攻擊的發生，同時，也應該防止企業內部人員向外網提供非法的網絡服務。因此，為了解決這些問題，企業應該對其安全設備以及網絡結構進行重新優化、升級與改造，主要包括以下幾個部分：（1）入侵檢測系統。入侵檢測系統對信息網絡進行實時的監控，在發現可以入侵時發出警告通知系統管理中心，管理員采取相應的措施防止入侵。（2）防病毒系統。由于我國企業的計算機水平總體比較低，沒有一套完善、有效的防病毒系統，導致企業內網經常受到攻擊，因此，對于企業中的服務器系統、員工辦公計算機以及工作站，安裝防病毒防護系統，有效的阻止病毒的傳播，對全網造成威脅，以確保企業的日常工作能夠正常的運行。（3）防火墻系統。防火墻系統是確保企業信息網絡安全通信的屏障，能夠防御一部分攻擊，但像木馬攻擊、DDoS攻擊卻無法防御。因此，需要對企業內部的攻擊進行實時的保護，在發現攻擊時能夠有效的攔截，防止入侵。（4）漏洞掃描系統。在企業內部安裝漏洞掃描系統，能夠對企業的內部服務器、交換機、防火墻等設施進行安全檢查，并且為管理人員提供相應的數據，以便及時的修復漏洞，降低企業的信息網絡安全風險。

3 結語

綜上所述，隨著信息時代的發展，信息網絡安全管控已經成為了人們急需解決的重要問題。只有切實的提高企業信息網絡安全管理系統的管控能力，提升管理人員的專業水平，建立科學合理的信息安全管控系統，才能達到安全保護和集中統一管理網絡信息的目的。

參考文獻

企業信息安全管控范文2

關鍵詞：企業運維管理；信息系統；安全風險

隨著信息時代的來臨，信息系統和技術已經成為當下各個領域不可或缺以及賴以生存的基礎性建設。現今信息已經成為衡量一個企業綜合競爭水平的重要標志。但是，信息技術在不斷支撐著企業業務開展的同時，其在運維方面也會產生相應的安全風險，主要表現為非法訪問、信息篡改以及信息泄露。這些風險就會對企業的信息安全帶來巨大的隱患。

1信息系統安全風險的控制難點

近年來隨著網絡技術的不斷更新，企業也通過各種安全措施加強了信息系統安全風險的防護措施，但仍存在兩個難點，首先是信息系統的高風險性，由于當下信息系統較為復雜，且漏洞較多，就會使得系統處于高風險性，使得運維人員很難進行控制。其次是當下IP管理以及信息系統的規模逐漸增加，也就使得攻擊源變得多樣化，運維人員無法進行有效的追蹤，也無法進行有效的防護。

2企業運維管理中信息系統安全風險分析

近年來，信息時代的腳步逐漸加快，信息化的水平也在與日俱增。信息技術也以其方便、實用等特點廣泛地應用在各企業之間。而為了更好地將信息技術的最大作用發揮出來，就需要定期對其維護。但是隨著信息系統的應用需求逐漸增加，網絡規模的不斷擴大，使得信息系統的結構愈加復雜，也使得技術漏洞逐漸增加，這就會對企業的信息系統帶來安全隱患。在現今運維管理中信息系統的安全風險主要包括下述幾個方面。

2.1服務器終端層面的風險

服務器終端層面的風險主要分為下述幾個部分：①信息系統的基本安全保密配置不夠完善，管理不夠成熟，這就使得用戶可以私自更改BIOS的啟動順序，使得安全防護產品的失效，從而進行信息的竊取和篡改；②安全風險的報警裝置不夠成熟，不能夠達到預期的效果，通常會由于安全產品之間的兼容性問題失去應用的效用，出現誤報或者漏報的情況。然后就是系統含有漏洞，信息系統最主要的部分就是系統，在當下的企業中應用的操作系統基本上都為Windows系列，而一些停止補丁升級的Windows系統就存在著漏洞，很容易受到侵蝕，進而造成數據的丟失。2.2網絡層面的風險在網絡層面安全風險主要為網絡設備的安全配置不當，通常會開啟多余的服務或者端口，這就存在了被非法訪問的隱患。同時在訪問控制方面不能對接入進行有效的控制，會造成設備非法接入的風險。另外，企業通常不會對用戶進行分層、分級，這就會導致網絡拓撲混亂，使得企業重要的信息資源存在被非法授權訪問的安全隱患。

2.3硬件層面的風險

現今，企業都擁有大量的硬件，且都是采用的國外進口。企業根本無法知曉底層硬件的工作機制，其是否含有隱藏通道等。例如惠普的某型號服務器已經被證實存在后門，這些設備的運維都需要專業的工作人員進行，這也就會使得維修過程容易發生信息篡改或者信息竊取的風險。2.4應用層面的風險應用層面的風險主要就是身份認證的管理不夠完善。管理員的口令較弱、用戶名和密碼過于簡單等都會被攻擊者利用。甚至在當下一些企業還有用戶名公用、濫用的現象，這就更給攻擊者提供了良好的機會，攻擊者可以通過這些漏洞進行水平提權，進而對信息進行竊取，甚至其可以獲取管理者的權限，對系統進行控制，這就會給企業造成巨大的經濟損失。

2.5安全審計層面的風險

在當下的信息系統風險管理都會部署一些安全監測產品，例如防火墻、殺毒軟件等。這些產品只能針對某類安全問題有效，這就使得信息系統的審計工作變得松散，不能形成完整的體系。而且由于系統的兼容性等原因，總會出現誤報、漏報的現象，這就會對審計的作用帶來巨大的影響，使其無法發揮其應有的效用。另外，企業雖然相應的部署了安全管理平臺進行日志的收集，但在當下的信息系統中智能分析能力較弱，不能夠對全局進行有效的監控，也就沒有辦法實現綜合監控和安全風險的態勢分析。

3企業運維管理中信息系統安全風險的控制策略

通過對上述安全風險的問題進行有效的分析，基于信息的特點，本文提出了下述信息系統安全風險的控制策略。

3.1加強信息系統數據資源的安全風險控制

數據資源的風險控制主要從三個方面進行：①存儲安全，可以采用先進的加密技術對信息數據庫進行加密處理，從數據資產產生的源頭進行安全防護體系的構建；②標識安全，通過標識技術對信息進行去區分標注，經過審計后，讓標識與信息系統密不可分，這樣就不會出現信息篡改的問題；③訪問安全，可以采用強制訪問控制的方式，對訪問主體進行限制。例如，某些數據非管理員權限僅能讀取，不能夠打印或者重新編輯，而一些重要信息限制再無權觀看。

3.2加強信息系統的信息安全風險控制

信息安全主要就是對應用安全進行控制，通過對系統的需求進行有效的分析，設計開發指導驗收運維過程中進行安全保障。同時還要定期對系統進行滲透測試，如果企業的技術較為先進，還可以通過源代碼進行安全風險分析，仔細地對漏洞進行查找，如果發現及時進行修復，長此以往就會不斷提高系統的整體安全性。另外還要將運維過程中出現的問題進行整體分析，這樣就能夠形成較為完善的風險控制規范，為后續的系統安全提供可行性較高的參考數據。

3.3構建運維風險控制平臺

針對認證管理和孤島等問題，就可以億堡壘機為中間體進行控制平臺的構建，形成對企業信息系統全面的安全監控。通過安全防護產品的報警日志和應用系統的審計日志，構建威脅事件的審計模型，構建完善的綜合安全事件分析統計平臺，這樣才能對風險事件進行關聯審計分析，最終實現實時報警的效果。

3.4加強信息系統的管理和梳理

要想切實地提高企業的信息系統運維管理能力，必須要加強信息安全專項檢查，要制定詳細的規范來明確信息系統日常需要進行的管理操作，還要對日常管理的具體細節進行定義，這樣才能使信息系統日常管理規范、明確，繼而使其信息化和制度化。還要閉環管理信息安全風險和運維實踐，防止低層次的信息安全問題發生。另外還要加強專項檢查整體提高信息系統的安全運維能力。同時還要對信息資源進行有效的分類整理，要構建完善的應急備災能力，還要定期對應急備災的能力進行檢測，例如可以臨時構建信息丟失的問題，看其恢復能力，只有這樣才能有效地保障備份能夠及時地恢復。

3.5構建完善的信息風險防護體系

正與邪、矛與盾、攻與防，永遠都是相對存在的。在信息系統風險控制上也是一樣的，要想預防攻擊者的非法入侵，就必須要建立完善的信息風險防護體系。所以，企業要培養構建一支團隊，讓其不斷進行學習，掌握攻擊的技術，然后讓其對企業的防護系統進行破壞，進而完善，只有不斷地從攻擊者的角度去思考，才能夠構建完善的防護體系，只有不斷進行攻防，才能夠更好地提升信息風險防護體系，讓其更好地保護信息系統，防止信息竊取和篡改的問題出現。

4結語

綜上所述，雖然當下企業對信息安全風險的防護工作不斷重視，也構建了許多防護的措施，具備了一些防護能力，但由于信息技術的不斷發展，使漏洞變得更加隱蔽。所以，企業要想穩定發展，必須要采取措施對信息系統安全風險進行運維控制，只有這樣才能有效的保障企業的經濟利益，為企業的發展做出有力的支撐。

作者:徐美霞 單位:廣東電網有限責任陽江供電局

參考文獻：

[1]上官琳琳.企業信息系統的管理與運維研究[J].管理觀察,2014(18):100-101+104.

[2]何芬.企業運維管理中信息系統安全風險控制探究[J].信息技術與信息化,2014(5):208-210+212.

[3]石磊,王剛.關于企業信息安全風險管理系統的研究[J].華北電力技術,2013(9):65-70.

企業信息安全管控范文3

【關鍵詞】信息系統；安全建設；防護體系

1.企業信息系統安全防護的價值

隨著企業信息化水平的提高，企業對于IT系統的依賴性也越來越高。一方面，“業務系統流程化”正在成為IT安全建設的驅動力。企業的新業務應用正在逐漸標準化和流程化，各種應用系統如ERP、MES為企業的生產效率的提高起到了關鍵的作用。有效的管控IT環境，確保IT業務系統的持續穩定運行作為企業競爭力的一部分，已成為IT系統安全防護的主要目標和關鍵驅動力。另一方面，企業IT安全的建設也是“法規遵從”的需要。IT系統作為企業財務應用系統的重要支撐，必須提供可靠的運行保障和數據正確性保證。

2.企業信息系統安全建設的現狀分析

在企業信息化建設的過程中，業務系統的建設一直是關注的重點，但是IT業務系統的安全保障方面，往往成為整個信息化最薄弱的環節，尤其是在信息化水平還較低的情況下，IT系統的安全建設缺乏統一的策略作為指導。歸結起來，企業在IT系統安全建設的過程中，存在以下幾方面的不足：

2.1 安全危機意識不足，制度和規范不健全

盡管知道IT安全事故后果比較嚴重，但是企業的高層領導心中仍然存在著僥幸心理，更多的時候把IT安全建設的預算挪用到其他的領域。企業在信息安全制度及信息安全緊急事件響應流程等方面缺乏完整的制度和規范保證，由此帶來的后果是諸如對網絡的任意使用，導致公司的機密文檔被擴散。同時在發生網絡安全問題的時候，也因為缺乏預先設置的各種應急防護措施，導致安全風險得不到有效控制。

2.2 應用系統和安全建設相分離，忽視數據安全存儲建設

在企業IT應用系統的建設時期，由于所屬的建設職能部門的不同，或者是因為投資預算的限制，導致在應用系統建設階段并沒有充分考慮到安全防護的需要，為后續的應用系統受到攻擊癱瘓埋下了隱患。數據安全的威脅表現在核心數據的丟失；各種自然災難、IT系統故障，也對數據安全帶來了巨大沖擊。遺憾的是很多企業在數據的安全存儲方面，并沒有意識到同城異地災難備份或遠程災難備份的重要性。

2.3 缺乏整體的安全防護體系，“簡單疊加、七國八制”

對于信息安全系統的建設，“頭痛醫頭、腳痛醫腳”的現象比較普遍。大多數企業仍然停留在出現一個安全事故后再去解決一個安全隱患的階段，缺乏對信息安全的全盤考慮和統一規劃，這樣的后果就是網絡上的設備五花八門，設備方案之間各自為戰，缺乏相互關聯，從而導致了多種問題。

3.企業信息系統安全建設規劃的原則

企業的信息化安全建設的目標是要保證業務系統的正常運轉從而為企業帶來價值，在設計高水平的安全防護體系時應該遵循以下幾個原則：

（1）統一規劃設計。信息安全建設，需要遵循“統一規劃、統一標準、統一設計、統一建設”的原則；應用系統的建設要和信息安全的防護要求統一考慮。

（2）架構先進，突出防護重點。要采用先進的架構，選擇成熟的主流產品和符合技術發展趨勢的產品；明確信息安全建設的重點，重點保護基礎網絡安全及關鍵應用系統的安全，對不同的安全威脅進行有針對性的方案建設。

（3）技術和管理并重，注重系統間的協同防護。“三分技術，七分管理”，合理劃分技術和管理的界面，從組織與流程、制度與人員、場地與環境、網絡與系統、數據與應用等多方面著手，在系統設計、建設和運維的多環節進行綜合協同防范。

（4）統一安全管理，考慮合規性要求。建設集中的安全管理平臺，統一處理各種安全事件，實現安全預警和及時響應；基于安全管理平臺，輸出各種合規性要求的報告，為企業的信息安全策略制定提供參考。

（5）高可靠、可擴展的建設原則。這是任何網絡安全建設的必備要求，是業務連續性的需要，是滿足企業發展擴容的需要。

4.企業信息系統安全建設的部署建議

以ISO27001等企業信息安全法規[1]遵從的原則為基礎，通過分析企業信息安全面臨的風險和前期的部署實踐，建立企業信息安全建設模型，如圖1所示。

圖1 企業信息系統安全建設模型

基于上述企業信息安全建設模型，在建設終端安全、網絡安全、應用安全、數據安全、統一安全管理和滿足法規遵從的全面安全防護體系時，需要重點關注以下幾個方面的部署建議：

4.1 實施終端安全，關注完整的用戶行為關聯分析

在企業關注的安全事件中，信息泄漏是屬于危害比較嚴重的行為。現階段由于企業對網絡的管控不嚴，員工可以通過很多方式實現信息外泄，常見的方式有通過桌面終端的存儲介質進行拷貝或是通過QQ/MSN等聊天工具將文件進行上傳等。針對這些高危的行為，企業在建設信息安全防護體系的時候，單純的進行桌面安全控制或者internet上網行為控制都不能完全杜絕這種行為。而在統一規劃實施的安全防護體系中，系統從用戶接入的那一時刻開始，就對用戶的桌面行為進行監控，同時配合internet上網行為審計設備，對該員工的上網行為進行監控和審計，真正做到從員工接入網絡開始的各種操作行為及上網行為都在嚴密的監控之中，提升企業的防護水平。

4.2 建設綜合的VPN接入平臺

無論是IPSec、L2TP，還是SSL VPN，都是企業在VPN建設過程中必然會遇到的需求。當前階段，總部與分支節點的接入方式有廣域網專線接入和通過internet接入兩種。使用VPN進行加密數據傳輸是通用的選擇。對于部分移動用戶接入，也可以考慮部署SSL VPN的接入方式[2]，在這種情況下，如何做好將多種VPN類型客戶的認證方式統一是需要重點考慮的問題。而統一接入認證的方式，如采用USBKEY等，甚至在設備采購時就可以預先要求設備商使用一臺設備同時支持這些需求。這將給管理員的日常維護帶來極大的方便，從而提升企業整體的VPN接入水平。

4.3 優化安全域的隔離和控制，實現L2～L7層的安全防護

在建設安全邊界防護控制過程中，面對企業的多個業務部門和分支機構，合理的安全域劃分將是關鍵。按照安全域的劃分原則，企業網絡包括內部園區網絡、Internet邊界、DMZ、數據中心、廣域網分支、網管中心等組成部分，各安全域之間的相互隔離和訪問策略是防止安全風險的重要環節。在多樣化安全域劃分的基礎上，深入分析各安全域內的業務單元，根據企業持續性運行的高低優先級以及面臨風險的嚴重程度，設定合適的域內安全防護策略及安全域之間的訪問控制策略，實現有針對性的安全防護。例如，選擇FW+IPS等設備進行深層次的安全防護，或者提供防垃圾郵件、Web訪問控制等解決方案進行應對，真正實現L2～L7層的安全防護。

4.4 強調網絡和安全方案之間的耦合聯動，實現網絡安全由被動防御到主動防御的轉變

統一規劃的技術方案，可以做到方案之間的有效關聯，實現設備之間的安全聯動。在實際部署過程中，在接入用戶側部署端點準入解決方案，實現客戶端點安全接入網絡。同時啟動安全聯動的特性，一旦安全設備檢測到內部網用戶正在對網絡的服務器進行攻擊，可以實現對攻擊者接入位置的有效定位，并采取類似關閉接入交換機端口的動作響應，真正實現從被動防御向主動防御的轉變。

4.5 實現統一的安全管理，體現對整個網安全事件的“可視、可控和可管”

統一建設的安全防護系統，還有一個最為重要的優勢，就是能實現對全網安全設備及安全事件的統一管理。面對各種安全設備發出來的大量的安全日志，單純靠管理員的人工操作是無能為力的，而不同廠商之間的安全日志可能還存在較大的差異，難以實現對全網安全事件的統一分析和報警管理。因此在規劃之初，就需要考慮到各種安全設備之間的日志格式的統一化，需要考慮設定相關安全策略以實現對日志的歸并分析并最終輸出各種合規性的報表，只有這樣才能做到對全網安全事件的統一可視、安全設備的統一批量配置下發，以及整網安全設備的防控策略的統一管理，最終實現安全運行中心管控平臺的建設。[3]

4.6 關注數據存儲安全，強調本地數據保護和遠程災難備份相結合

在整體數據安全防護策略中，可以采用本地數據保護和遠程災備相結合的方式。基于CDP的數據連續保護技術可以很好地解決數據本地安全防護的問題，與磁帶庫相比，它具有很多的技術優勢。在數據庫的配合下，通過連續數據快照功能實現了對重要數據的連續數據保護，用戶可以選擇在出現災難后恢復到前面保存過的任何時間點的狀態，同時支持對“漸變式災難”的保護和恢復。在建設異地的災備中心時，可以考慮從數據級災備和應用級災備兩個層面進行。生產中心和異地災備中心的網絡連接方式可以靈活選擇，即可采用光纖直連，也可采用足夠帶寬的IP網絡連接。在數據同步方式選擇上，生產中心和災備中心采用基于磁盤陣列的異步復制技術，實現數據的異地災備。異地災備中心還可以有選擇地部署部分關鍵應用服務器，以提供對關鍵業務的應用級接管能力，從而實現對數據安全的有效防護。

5.結束語

企業信息安全防護體系的建設是一個長期的持續的工作，不是一蹴而就的，就像現階段的信息安全威脅也在不斷的發展和更新，針對這些信息安全威脅的防護手段也需要逐步的更新并應用到企業的信息安全建設之中，這種動態的過程將使得企業的信息安全防護更有生命力和主動性，真正為企業的業務永續運行提供保障。

參考文獻

[1]李納.計算機系統安全與計算機網絡安全淺析[J].科技與企業，2013.

[2]李群，周相廣，陳剛.中國石油上游信息系統災難備份技術與實踐[J].信息技術與信息化，2010，06.

企業信息安全管控范文4

【關鍵詞】軍工企業;信息安全;問題

軍工企業是國家國防科技工業的重要組成部分，也是國防綜合實力重要發展的企業。隨著信息技術的全面發展，信息化建設已成為軍工企業科研發展不可或缺的一部分，信息化的建設可以快速推進軍工企業的科研、工藝等方面的技術發展，同時可提供企業決策的可靠數據，所以，軍工企業的信息化可為企業提供強大的技術支撐與快捷的數據分析，提高了企業的整體競爭力。但是，由于軍工企業的特殊性與保密性，在軍工企業信息化建設方面，信息安全的問題尤為突出。特別是隨著信息化的快速發展，軍工企業一般都面臨網絡建設日益龐大，但信息安全的建設卻無法滿足網絡發展的問題，這就導致網絡安全日益嚴重的隱患，同時問題也在不斷增多。

一、信息安全的不穩定因素

隨著網絡的建設，信息安全的不穩定因素主要體現在以下各方面：

1.客戶端數量不斷增多，意味著使用人員的增多。但實際情況中，許多人員并不重視自己所使用設備的安全性與可靠性，盲目的認為只要客戶端可以使用，數據存在就可以，殊不知，由于不重視將造成了網絡信息的嚴重安全隱患。

2.信息安全制度的不規范或實施不力，信息安全制度屬于信息管理制度，目前主要由信息部門進行制定同時推廣實施，但由于信息部門工作任務重，同時還要承擔信息技術研究、開發工作，無法兼顧實施，即使制度進行了推廣，但由于部門的局限性也無法得到很好的響應，就造成了安全制度的執行不力，也給網絡信息安全帶來嚴重的安全隱患。

3.客戶端操作系統漏洞升級不及時及安全應用軟件安裝不到位，目前一般的客戶端使用的均為微軟的操作系統，安全應用軟件為國產軟件。由于軍工企業一般要求內外網完全物理隔離，所以，當微軟公司成批量推出操作系統漏洞補丁時，如果信息部門不及時從互聯網上下載補丁同時下發，將造成客戶端計算機的漏洞大量存在，形成極大的安全隱患，同時，客戶端如果不按要求安裝安全應用軟件，也會給網絡造成安全隱患。

4.企業中便攜式設備管理松散，一般的軍工企業中都存在一部分便攜式設備，包括便攜式計算機、存儲設備等，雖然針對這部分設備一般企業都會制定嚴格的管理制度，包括使用、歸還、數據拷貝等都有詳細的要求描述，但由于各方面的原因，往往存在不按制度辦理的情況，造成信息安全的人為隱患。

二、解決安全隱患的有效途徑

以上四個問題是軍工企業信息安全中常見的安全隱患問題，如何解決，將是以下討論的重點：

1.做到制度從上到下一致執行，同時制度發行要講究方式方法，如組織全員學習制度規范，同時真正發揮企業領導小組的職能作用;信息安全的學習與意識培養，也是重要的組成部分，只有全員信息安全意識提升，才能時所有的信息安全制度深入到各方面的工作中，同時發揮信息中心的監管作用，對網絡客戶端制定信息安全制度制定的定期檢查工作，只有定期或不定期的排查、宣灌，才能真正的將信息安全制度推行到企業的每一個使用者，得到真正的執行。

2.由于軍工企業的特殊性，在企業的園區網絡中會存在大量的敏感信息，所以客戶端作為使用終端，是信息流通的一個重要環節，控制敏感信息的流向與操作權限將是企業信息安全的重要組成部分。加強企業客戶端的管理，安裝對客戶端使用行為進行管控的安全產品，制定不同客戶端的響應管控安全策略，同時保證策略下發到位是企業保證信息安全的一個重要手段。安全管理人員也應重視日常客戶端監控監控行為的日志分析工作，確保網絡客戶端的信息安全。

3.安裝漏洞掃描系統，對網絡進行統一的漏洞掃描，并及時安裝補丁下發系統（wsus），確保網絡中所有設備操作系統安全性與可靠性，防止應漏洞引起的安全問題。同時，及時對網絡防病毒軟件的病毒庫更新升級，網絡管理員在病毒庫更新后要下發到全網設備，對不及時升級的設備要執行強制升級，保證網絡的純凈，防止因后門或木馬病毒的擴散造成的信息安全隱患。

4.加強企業中便攜式設備的管理，對可以安裝安全軟件的設備一定要安裝，同時，要對所有便攜式設備統一管理，定期檢查。因在便攜式設備中安裝文檔加密軟件，防止設備中的敏感信息泄漏。

5.安裝必須的網絡安全設備，加強網絡信息安全的管理力度，同時安全管理人員應及時收集各個設備的日志，并加以分析，通過日志分析，統一規劃網絡的安全策略，并針對常見的安全隱患制定響應的安全策略，并對網絡中存在的薄弱環節進行重點管理、重點監控。

企業信息安全管控范文5

1.1電信企業的特點

近10年來，電信企業經歷了高速的發展，網絡規模龐大、用戶數量眾多、業務發展多元化，使得電信企業具有了如下的主要運營特點：（1）電信企業業務種類繁多，流程復雜程度高。當前，隨著人們需求的多元化和個性化，單一的話音業務已不能滿足用戶通信的需求，電信企業根據不同細分市場的用戶需求提供多種多樣的增值電信業務，業務流程復雜性增大。同時，電信企業的部分業務涉及多方參與，除了最終用戶，還有眾多第三方公司，甚至還有當地政府部門。在監管方面，電信企業也必須依照國家法律對第三方提供內容監管，防止其提供違法信息。（2）電信業務涉及大量的電子業務數據交互，數據涉及用戶的個人敏感信息。電信企業內部運作主要依賴于各種IT系統，大部分業務數據和內部管理運作軌跡數據都是以電子數據的形式存在于各系統的數據庫中。海量的業務數據中，包含了用戶的個人敏感信息，諸如用戶個人身份信息、訂購信息、交易信息等；內部管理數據中，包含了企業發展戰略、重要規章制度、管理信息等機密內容。不同的業務數據之間要進行交互，如果人為通過系統后臺改變用戶的賬戶或交易信息，將會對業務結算或者財務帶來風險。（3）業務運營和企業內部運作對支撐系統依賴程度高，平臺種類繁多。電信企業所提供的服務都需要后臺支撐系統的支持，如業務運營支撐系統就承載著計費、結算、營業賬務和客戶服務等多項核心業務，這些業務都要求有一個高度穩定、運行順暢、安全可靠的系統。同時，企業內部工作主要依賴管理信息系統，如現在重要的公文審批都會通過OA系統進行簽批，業務系統賬號申請與維護也是在內部管理信息系統中完成。電信行業的這些特點，不難得出信息化運營和管理在電信行業發展中的重要地位，一旦信息安全出現問題，必將帶來十分嚴重的后果。因此，從電信行業的運營特點出發，構建全面的信息安全合規管理體系，是電信企業實現業務快速、穩定、健康發展的必由之路。

1.2信息安全管理面臨的問題

近年來，各大電信企業針對信息安全建設進行了大量的工作，但是依然面臨著很多問題，主要表現在：（1）信息安全管控要求多。存在多個部門、維護信息安全制度的情況，缺乏平臺化的制度管理機制，具體的執行人員很難在第一時間了解最新的安全制度要求。此外，針對同樣的安全管控內容，不同的信息安全制度常常存在標準不統一的情況，令執行人員無所適從。（2）部分信息安全制度中的規定缺乏實質性管控要求，無法明確有效地轉化到執行層面予以落實。同時，往往信息安全管理要求沒有落實到具體的部門，更沒有落實到具體的崗位，面對大量的安全管控要求，執行起來非常困難。（3）信息安全檢查缺乏統一的標準，并且主要采用人工檢查，每次檢查往往需要進行人工訪談、資料查閱、現場測試等多個環節，耗費大量的時間、人力和物力。檢查內容、檢查方法、檢查工具、檢查人員的能力等都成為影響檢查效果的因素。（4）針對企業各個層面的信息安全管理情況缺乏統一的評價標準，不能進行量化考核；沒有量化數據，無法實現對部門和系統合規水平綜合評價的數據支撐。（5）沒有統一的信息安全合規管理平臺，就無法為信息安全合規管理的體系落地、執行提示、監督檢查和水平評價提供統一、全面的系統管理支撐基礎。

1.3信息安全管理的解決之道

針對上述信息安全管理面臨的問題，本文借鑒國際上的GRC管理理念和SOX內控矩陣的思想，按照PDCA管理模式來構建電信企業的信息安全合規管理體系，從而解決信息安全體系化管理難、落實執行難、監督檢查難、量化管理難的問題。通過建立信息安全合規管理系統，形成信息安全合規整體視圖，實現安全要求、任務執行、監督檢查、整改跟蹤、量化評價的管理閉環，支撐信息安全全生命周期的管理，最終達到信息安全水平的持續螺旋式提升。

2信息安全合規管理體系

信息安全合規管理應借鑒國際先進管理理念，明確管理體系的核心要素，從信息安全組織與人員的構建、信息安全矩陣的知識支撐、信息安全合規管理平臺建設等方面入手，來構建電信企業的信息安全合規管理體系。

2.1GRC理念

GRC理念是國際先進的現代化企業管理理念。作為企業上層建筑，GRC包含了公司治理、戰略績效管理、風險管理、審計、法律、合規遵從、IT治理、道德和企業社會責任、質量管理、人力資本、企業文化、財務等廣泛的領域。GRC理念應用的價值在于，以企業管控、風險和法規遵從為對象，為決策層和管理層提供綜合信息和流程控制支持，幫助企業安全、高效地實現預期目標。

2.2管理體系的核心機制

信息安全合規管理體系以制度策略、管控執行、安全檢查、整改跟蹤為主線，實現信息安全合規的閉環管理，也即管理體系的核心機制：（1）制度策略：信息安全管理體系的建設階段，針對信息安全制度進行統籌化、體系化管理，掌握制度體系建設全貌，有效警示制度的缺失和盲點。（2）管控執行：信息安全管理體系的實施階段，將信息安全管控要求明確落實到企業的各個責任部門、崗位和人員，具體執行人員在落實管控要求時，都能得到知識的指導和定期的提醒。（3）安全檢查：信息安全管理體系的檢查階段，推動執行標準化、統一化、平臺化的安全檢查，及時發現安全管控薄弱環節，為潛在風險提供有效的預警和整改過程的跟蹤。（4）整改跟蹤：信息安全管理體系的評價階段，收集并分析安全檢查的結果數據，跟蹤整改效果，評價安全管控水平，通過統計視圖展現安全合規整體視圖，獲取可視化的安全決策信息，支撐今后的信息安全建設方向。制度策略和管控執行，對應的即是GRC中的G，前者作為信息安全治理的依據和執行指導，后者正是治理要求在具體執行層面的事實與落實；安全檢查，則對應著GRC中的R，檢查信息安全治理要求的落實情況和風險規避的水平；合規評價，對應著GRC中的C，評價信息安全管控措施的內外部合規程度，指導未來的改進方向。

2.3管理體系的實現要素

企業任何業務的有效運行，都離不開人、流程和技術3個層面的有機組合。因而，成熟的電信行業信息安全合規管理體系，人、流程和技術也構成了其實現的要素。針對信息安全合規管理，具體來說，“人”這一要素構成了企業的信息安全組織，“技術”這一要素就是指信息安全矩陣，即支撐信息安全管理執行落實、安全檢查以及合規評價的知識基礎，“流程”這一要素指的是信息安全合規管理平臺，將制度管理、控制落實、安全檢查、合規評價以及整改等信息安全管理流程固化到平臺中，提供流程化、平臺化的高效管理。

2.3.1信息安全組織

電信企業都是大型企業，包含有集團總部和各個省市公司，因而應該建立自上而下、分層分級、涵蓋各IT相關部門的信息安全組織。信息安全組織由安全決策層、安全管理層和安全執行層3個層面的人員組成。安全決策層負責制定公司的信息安全目標、掌握整體的信息安全管控與風險水平，部署信息安全改進建設方向。安全管理層負責制定并審查信息安全制度規定，建立信息安全的管控要求、執行標準和檢查依據，監督安全問題的整改落實情況。安全執行層主要是按照要求，落實好公司的各項管控要求，保證信息安全工作落實到崗到人，對于存在問題的地方做好徹底的整改工作。

2.3.2信息安全矩陣

信息安全合規管理的核心是建立信息安全矩陣。需要對內外部信息安全合規要求進行體系化梳理，建立信息安全矩陣框架，包括控制矩陣、檢查矩陣、對應矩陣以及資產矩陣。控制矩陣，主要提供信息安全的各項管控要求，指導執行人員予以落實，其關鍵屬性主要包含有控制點描述、控制領域、控制類型、控制頻率。檢查矩陣，主要提供對控制矩陣中的各個控制點執行情況的好壞，提供檢查的標準和具體的檢查步驟，用以指導檢查人員進行安全檢查工作，其關鍵屬性主要包含有檢查點描述、檢查方式、檢查步驟、檢查點固有嚴重度、執行建議、控制點編號、資產類型。對應矩陣，主要提供企業內部信息安全制度與信息安全控制矩陣的對應關系，便于相應的查詢分析的需要；提供外部信息安全監管規范要求與信息安全控制矩陣的對應關系，便于分析當前的控制矩陣是否能夠充分滿足外部監管機構的監管要求，其關鍵屬性主要包含有內部制度/外部規范控制要求編號和控制點編號。資產矩陣，主要提供對信息安全資產進行定義、分類、管理和查詢等；為控制點執行管理、信息安全檢查、信息安全合規與風險評價等，提供統一的資產數據接口，其關鍵屬性主要包含有資產編號、所屬部門、資產責任人、資產類型、資產重要性等級。如圖1所示，通過信息安全各個矩陣的映射關聯關系，可以進行多維度的查詢分析。

2.3.3信息安全合規管理平臺

在構建了企業級的全面層次化的信息安全組織，建立了信息安全矩陣后，為了能夠有效地進行信息安全合規閉環管理，就需要搭建一個信息安全合規管理平臺，支撐各個信息安全管理流程的平臺化管理和實施。信息安全合規管理平臺，從業務角度出發，需要實現以下功能需求：（1）企業各類信息安全管理工作要求能夠成體系、易維護。（2）企業任何人員可以通過該平臺了解企業針對自己所屬組織乃至自身所提出的信息安全工作要求。（3）企業各級部門通過該平臺明確自己的安全工作目標，各級信息安全管理部門可以通過該平臺對企業各組織、系統進行安全管理工作檢查、評價和整改指導。（4）企業各級信息安全管理部門可以通過該平臺進行安全風險分析和量化評價。

3信息安全合規管理平臺的建設思路

為了有效地解決電信行業當前信息安全合規所面臨的問題和挑戰，未來的合規平臺將通過制度管理、信息安全矩陣管理、執行管理、合規檢查、合規風險評價等功能模塊，來實現并支撐信息安全合規的全生命周期流程管理。基于上述各功能模塊的平臺整體業務功能框架視圖如圖2所示。其中，平臺的核心功能主要包含如下。（1）信息安全矩陣管理：該功能模塊主要提供信息安全矩陣的導入導出與維護管理、關聯查詢、版本管理和分級管理等功能，支撐對企業各級公司均適用的信息安全矩陣的統一和管理，作為整個企業的信息安全管控要求的統一標準。（2）執行管理：該功能模塊主要是提供執行任務分配、執行人變更管理、控制執行提醒和控制執行查詢等功能，保證將控制點和檢查點的具體執行要求落實到具體的控制點執行人員；針對那些周期性執行的控制點，通過平臺向執行人員定期發送提醒，督促其按時完成控制點的執行要求。（3）合規檢查：該功能模塊主要是提供檢查計劃管理、人工檢查管理和自動檢查管理功能，用來完成信息安全檢查計劃的制定，對人工檢查和自動檢查進行過程管理，在線記錄或者自動生成相應的安全檢查結果。（4）合規風險評價：該功能模塊主要是根據安全檢查的結果，提供量化的合規評價、風險評價和綜合評價功能。合規評價，主要是通過對檢查點結果統計，得出滿足檢查要求的控制點的比例，主要反映控制點管控落實的工作量。風險評價，主要是針對那些不合規的控制點，根據其實際的執行情況，分析并得出該控制點的潛在風險高低和影響大小。綜合評價，主要是基于對合規滿足度的評價結果和不合規控制點的風險大小，綜合給出合規管控工作的完成效果，便于進行橫向比較。根據電信企業的特點和信息安全分級管理的需要，可考慮實施集團總部和各個省市公司的兩級/多級平臺基礎架構的部署。其中，集團總部的合規一級平臺將主要負責制度管理、信息安全矩陣管理，制定全集團的安全檢查計劃，分析和評價各省市公司的安全管控水平和風險。省市公司的合規二級平臺，則側重于分配落實好集團控制矩陣的各項控制點和要求的責任人，落實集團或者制定省內的安全檢查計劃，實施安全檢查工作，分析和評價省內的安全管控水平和安全風險，根據檢查結果完成后期安全整改工作。

4信息安全合規管理體系的應用與價值

通過搭建信息安全合規管理平臺，實施信息安全合規管理體系，能夠帶來重要的價值。（1）提升信息安全管理的統一性和有效性。將分散的信息安全制度進行集中管理，形成以信息安全合規矩陣為核心，在全公司普遍適用，具有標桿意義的制度框架體系。通過制度體系在平臺中的固化，可以隨時隨地進行信息安全制度的查詢、分析和對標，制度體系的更新與維護也變得十分便捷。同時，建立整個企業的標準的信息安全合規管理體系框架，通過平臺統一企業總部及子公司的信息安全管控落實與檢查評價工作，有效避免實際執行工作中的差異性。（2）實現信息安全合規管控落實的常態化和流程化。通過信息安全合規管理平臺固化了信息安全管控執行流程和信息安全矩陣，包括控制執行方式、控制執行頻率、控制所屬崗位、控制關聯資產配置等信息，指導具體的IT人員執行落實安全管控的工作要求。通過執行工作的流程化，將安全管控要求落實到人，確保管理要求能有效執行，或結合安全控制要求的執行頻率，定期自動向執行人員發送例行提醒，推動合規管控落實的常態化。（3）提升信息安全合規檢查的效率。通過集成標準化檢查工具，遵循規范的檢查要求和步驟，大大降低了人工檢查的成本，避免檢查過程中標準不一致和質量參差不齊的問題。針對不同的專項檢查需要，可以通過平臺方便地定制有針對性的檢查計劃。針對新的內外部信息安全監管要求，能夠及時便捷的更新補充相應的檢查內容和要求到平臺中，保證與外部監管要求的一致性和實效性。同時，針對檢查中發現的問題，通過平臺能夠提供流程化的整改任務派發工單，發送給安全管理人員予以整改，并限定時間，與提醒機制聯動，整改過程可以通過平臺進行有效的跟蹤，保證信息安全問題得到及時整改。（4）提升信息安全合規的量化評價水平和決策支撐能力。建立統一的信息安全量化的評價體系和標準，固化到平臺中，實現安全合規水平的量化管理，結合平臺的數據處理分析能力，提供信息安全合規管控情況和風險的多維度、可視化視圖。執行層可以獲得基于部門、省市公司、IT或者業務流程、資產、外部合規要求等不同維度的統計和分析信息，為信息安全合規工作的持續改進提供充足的信息。管理層可以通過統計的結果，直觀地掌握企業整體安全管控水平全貌和當前面臨的主要風險，為決策提供有力的數據支撐。

5展望

企業信息安全管控范文6

【關鍵詞】本質安全 煙草信息化 信息安全

1 本質安全思想概述

本質安全是應用人機工程學的原則，通過機械的設計者，在設計階段采取措施來消除設備隱患的一種實現本質安全的方法。本質安全包含四個要素：環境、設備、人員、管理。

本質安全的四個要素存在著辯證統一的關系，本質安全是“安全第一、預防為主、綜合治理”的根本體現，安全事故來源于要素內部或要素之間的矛盾。幾個要素之間發生沖突，就有可能激發形成事故，如果某個要素存在不安全因素，也會出現這種情況。在四個因素中，環境是外部條件，設備是本質安全的基礎，人是本質安全的靈魂，管理制度是本質安全的關鍵。

下面將從本質安全角度出發對煙草信息化建設安全風險進行分析，提出解決的對策及方案。

2 煙草行業信息化建設安全風險分析

2.1 內部安全存在隱患

隨著信息技術應用的日益普遍和成熟，各煙草企業已建立起屬于自己的內部局域網，并開發出各種所需信息系統，包括信息管理系統、生產銷售系統、辦公系統、綜合服務系統、決策系統等。信息系統在給企業帶來巨大便利的同時，也給企業信息安全帶來了更多、更大的風險，如不良信息對員工思想的沖擊，員工結構頻繁的變化流動等，都給企業的內部安全控制造成了很大隱患。

2.2 易受外部干擾和攻擊

煙草企業為方便基層員工，內部網絡與外部網絡的頻繁連接，為外部網絡中病毒、木馬、黑客等對企業內部網絡的干擾、攻擊與破壞創造了便利的通道。一旦企業內部網絡遭受外部干擾和攻擊，將很可能導致企業信息系統遭受不良影響而中斷，甚至造成整個網絡系統癱瘓和計算機的崩潰，給企業造成巨大的經濟損失。

3 煙草信息安全建設措施

3.1 環境與設備方面，提高技術手段，確保風險可控

首先，以風險管控為核心，搭建安全生產管理應用框架。建設的重點在風險管控，進行危險源辨識、評價和結果審批、，針對危險源制定管控措施，自動生成各個崗位的預控方案，形成對所轄危險源的有效督管機制。其次，以標準化達標為基礎，搭建工作協同應用框架。以安全生產標準化和職業健康體系做理論依據，結合與各級企業的實際工作流程拆分設置不同的模塊。同時運用先進信息化手段，使不同層面的業務人員直接在計算機上完成日常采集信息、處理信息、分析信息等方面的工作，實現安全生產管理工作的流程化、標準化。

3.2 提高系統安全管理

對于煙草公司信息安全系統來說主要包括如下幾點：根據業務需求和系統安全分析確定系統的訪問控制策略；定期進行漏洞掃描，對發現的系統安全漏洞及時進行修補；安裝系統的最新補丁程序，在安裝系統補丁前，首先在測試環境中測試通過，并對重要文件進行備份后，方可實施系統補丁程序的安裝。在此基礎上，建立系統安全管理制度，對系統安全策略、安全配置、日志管理、日常操作流程等方面作出具體規定，同時指定專人對系統進行管理，劃分系統管理員角色，明確各個角色的權限、責任和風險，進而依據操作手冊對系統進行維護。從基礎與操作兩方面提高信息系統的安全性。

3.3 加強惡意攻擊防范管理，提高系統風險抵御能力

惡意攻擊層出不窮，需要提高所有網絡用戶的防病毒意識，在讀取移動存儲設備上的數據以及網絡上接收文件或郵件之前，由操作系統自動進行病毒檢查；并指定專人對網絡和主C進行惡意代碼檢測并保存檢測記錄。在此寄出上，定期檢查信息系統內各種產品的惡意代碼庫的升級情況，對主機防病毒產品、防病毒網關和郵件防病毒網關上截獲的危險病毒或惡意代碼進行及時分析處理，進而系統病毒庫的先進性。

4 結束語

信息技術在煙草行業得到了普遍應用，并對煙草行業的信息整合、資源優化配置、管理理念更新等發揮了無可比擬的作用。然而其信息安全性卻存在著很多風險，如何控制好這些風險已成為煙草行業當前所迫切需要解決的一個問題。近年來，煙草行業各級單位上下宣貫國家和行業政策文件的精神和要求，明確現階段行業安全生產信息化建設處于基礎建設階段，未來還需要充分做好員工溝通理解、應用框架搭建、培訓實踐結合、人機協作嘗試等幾個方面的工作，促進煙草行業健康有序發展。

參考文獻

[1]李慶誠，張文生.本質安全型集中式控制安全操作系統研究[J].單片機與嵌入式系統應用，2004（07）：8-11.

[2]王德吉.“互聯網+”時代的“工業4.0”信息安全探索與實踐[J].自動化博覽，2015（z2）：30-33.

[3]武曉芳，溫克強.工業網絡信息安全隱患分析與解決[C].//中國石油和化工自動化第十一屆年會論文集.2012：7-11.

[4]朱益F.煙草行業信息安全風險分析與控制策略研究[J].中國管理信息化，2015，18（24）：182.

[5]羅曉龍.淺析煙草行業信息安全管理對策[J].科技創新與應用，2015（01）：172-172.

[6]高萍，黃偉達.煙草企業信息安全方面的思考[J].黑龍江科技信息，2010（31）：80.

作者簡介

盛豐，男，現供職于安徽省煙草公司馬鞍山市公司。