企業信息安全的概念范例6篇

前言：中文期刊網精心挑選了企業信息安全的概念范文供你參考和學習，希望我們的參考范文能激發你的文章創作靈感，歡迎閱讀。

企業信息安全的概念范文1

【關鍵詞】信息安全 管理 控制 構建

1 企業信息安全的現狀

隨著企業信息化水平的提升，大多數企業在信息安全建設上逐步添加了上網行為管理、內網安全管理等新的安全設備，但信息安全防護理念還停留在防的階段，信息安全策略都是在安全事件發生后再補救，導致了企業信息防范的主動性和意識不高，信息安全防護水平已經越來越不適應當今企業IT運維環境和企業發展的需求。

2 企業信息系統安全防護的構建原則

企業信息化安全建設的目標是在保障企業數字化成果的安全性和可靠性。在構建企業信息安全體系時應該遵循以下幾個原則：

2.1 建立企業完善的信息化安全管理體系

企業信息安全管理體系首先要建立完善的組織架構、制定信息安全管理規范，來保障信息安全制度的落實以及企業信息化安全體系的不斷完善?；酒髽I信息安全管理過程包括：分析企業數字化資產評估和風險分析、規劃信息系統動態安全模型、建立可靠嚴謹的執行策略、選用安全可靠的的防護產品等。

2.2 提高企業員工自身的信息安全防范意識

在企業信息化系統安全管理中，防護設備和防護策略只是其中的一部分，企業員工的行為也是維護企業數字化成果不可忽略的組成。所以企業在實施信息化安全管理時，絕對不能忽視對人的行為規范和績效管理。在企業實施企業信息安全前，應制定企業員工信息安全行為規范，有效地實現企業信息系統和數字化成果的安全、可靠、穩定運行，保證企業信息安全。其次階段遞進的培訓信息安全人才也是保障企業數字化成果的重要措施。企業對員工進行逐次的安全培訓，強化企業員工對信息安全的概念，提升員工的安全意識。使員工的行為符合整個企業信息安全的防范要求。

2.3 及時優化更新企業信息安全防護技術

當企業對自身信息安全做出了一套整體完善的防護規劃時，就應當考慮采用何種安全防護技術來支撐整個信息安全防護體系。對于安全防護技術來說可以分為身份識別、網絡隔離、網絡安全掃描、實時監控與入侵發現、安全備份恢復等。比如身份識別的目的在于防止非企業人員訪問企業資源，并且可以根據員工級別分配人員訪問權限，達到企業敏感信息的安全保障。

3 企業信息安全體系部署的建議

根據企業信息安全建設架構，在滿足終端安全、網絡安全、應用安全、數據安全等安全防護體系時，我們需要重點關注以下幾個方面：

3.1 實施終端安全，規范終端用戶行為

在企業信息安全事件中，數字化成果泄漏是屬于危害最為嚴重的一種行為。企業信息安全體系建立前，企業員工對自己的個人行為不規范，造成了員工可以通過很多方式實現信息外漏。比如通過U盤等存儲介質拷貝或者通過聊天軟件傳遞企業的核心數字化成果。對于這類高危的行為，我們在建設安全防護體系時，僅僅靠上網行為管理控制是不能完全杜絕的。應該當用戶接入企業信息化平臺前，就對用戶的終端系統進行安全規范檢查，符合企業制定的終端安全要求后再接入企業內網。同時配合上網行為管理的策略對員工的上網行為進行審計，使得企業員工的操作行為符合企業制定的上網行為規范，從終端用戶提升企業的防護水平。

3.2 建設安全完善的VPN接入平臺

企業在信息化建設中，考慮總部和分支機構的信息化需要，必然會采用VPN方式來解決企業的需求。不論是采用SSL VPN還是IPSecVPN，VPN加密傳輸都是通用的選擇。對于分支機構可以考慮專用的VPN設備和總部進行IPSec連接，這種方式更安全可靠穩定。對于移動終端的接入可以考慮SSL VPN方式。在這種情況下，就必須做好對于移動終端的身份認證識別。其實我們在設備采購時，可以要求設備商做好多種接入方式的需求，并且幫助企業搭建認證方式。這將有利于企業日常維護，提升企業信息系統的VPN接入水平。

3.3 優化企業網絡的隔離性和控制性

在規劃企業網絡安全邊際時，要面對多個部門和分支結構，合理的規劃安全網絡邊際將是關鍵。企業的網絡體系可以分為：物理層；數據鏈路層；網絡層；傳輸層；會話層；表示層；應用層。各體系之間的相互隔離和訪問策略是防止企業信息安全風險的重要環節。在企業多樣化網絡環境的背景下，根據企業安全優先級及面臨的風險程度，做出適合企業信息安全的防護策略和訪問控制策略。根據相應防護設備進行深層次的安全防護，真正實現OSI的L2～L7層的安全防護。

3.4 實現企業信息安全防護體系的統一管理

為企業信息安全構建統一的安全防護體系，重要的優勢就是能實現對全網安全設備及安全事件的統一管理，做到對整個網絡安全事件的“可視、可控和可管”。企業采購的各種安全設備工作時會產生大量的安全日志，如果單靠相關人員的識別日志既費時效率又低。而且不同安全廠商的日志報表還存在很大差異。所以當安全事件發生時，企業管理員很難實現對信息安全的統一分析和管理。所以在企業在構建信息安全體系時，就必須要考慮安全設備日志之間的統一化，設定相應的訪問控制和安全策略實現日志的歸類分析。這樣才能做到對全網安全事件的“可視、可控和可管”。

4 結束語

信息安全的主要內容就是保護企業的數字化成果的安全和完整。企業在實施信息安全防護過程中是一個長期的持續的工作。我們需要在前期做好詳盡的安全防護規劃，實施過程中根據不斷出現的情況及時調整安全策略和訪問控制，保證備份數據的安全性可靠性。同時全體企業員工一起遵守企業制定的信息安全防護管理規定，這樣才能為企業的信息安全提供生命力和主動性，真正為企業的核心業務提供安全保障。

參考文獻

[1]郝宏志.企業信息管理師[M].北京：機械工業出版社，2005.

[2]蔣培靜.歐美國家如何培養網絡安全意識[J].中國教育網絡，2008（7）：48-49.

作者簡介

常勝（1982-），男，回族，天津市人?，F為中國市政工程華北設計研究總院有限公司工程師。研究方向為網絡安全與服務器規劃部署。

企業信息安全的概念范文2

馬良 哈爾濱電站集團

摘要：信息化建設是企業打造發展潛力，營造核心競爭力的重要手段，特別在知識和網絡時代更是要把握信息化建設的方向，在

加速企業信息化建設的同時，要注意信息安全的保障工作，形成企業信息化建設進程和建設成果的基礎。本研究立足于企業信息化建

設的實踐與理論研究工作實際，分析了建設和實現企業信息化的過程中來自于內部的因素和外部的制約，對企業信息化建設實現提供

了意識、管理、軟件等方面的措施，并展開了相關論述。

關鍵詞：企業信息化；信息安全；內部因素；外部制約；管理

前言

企業信息化建設是促進企業現代化和加速發展的必然途徑，

當前，企業信息化建設已經成為企業建設的重要組成和關鍵內

容，通過企業信息化建設，企業的生產和流通可以迅速地提升，

在互聯互通的基礎上，形成現代企業的模式和發展途徑。當前企

業信息化建設中受到了來自內部認知、操作、系統和管理方面等

因素的影響，以及來自于外部網絡、病毒、黑客的侵入，出現較

為嚴重的企業信息安全問題，不但不利于企業信息化建設的進

而，而且會給企業信息安全、管理活動和生產活動帶來負面影響。

應該從認知上對企業信息化建設工作加強重視，形成適于企業信

息化建設的管理體系和措施，加速企業信息安全軟件的發展和應

用，真正形成對企業信息化建設過程中安全問題的強化，更好地

服務于企業發展和穩定。

1.企業信息化建設的價值

企業信息化建設具有經濟價值，通過信息化企業的生產效率

得到提高，特別在提升企業生產力水平的方面信息化有著特殊的

積極意義，形成了為企業擴大經濟優勢和競爭有事的有力武器。

企業信息化建設具有管理價值，通過信息化企業的管理變得更加

具有針對性和效率，使管理工作更加適合企業發展和時代進步的

需要。企業信息化建設具有社會價值，通過信息化企業的建設，

整個社會的信息化水平和科技水平得以迅速提升，在實踐和諧社

會的創建中起到了核心的地位和價值。

2.企業信息化建設中安全問題的具體分析

建設企業信息化是當前社會和企業的綜合性目標，企業信息

化建設過程中會受到各方面影響，進而會產生安全方面的問題，

不但會降低企業信息化建設的質量和速度，更會形成企業信息化

的安全制約，導致企業和社會發展受到強烈的限制，因此，在企

業信息化建設中要高度重視安全方面的問題，應該從安全問題的

產生分析入手，實現對企業信息化安全的有效控制。

2.1 企業信息化建設安全問題的內部因素

一是，企業的整體上存在對安全問題的意識認識不足的問

題，特別對于企業信息化建設的價值沒有一個高度重視的態度，

由于沒有看清企業信息化的優勢，導致企業信息化的安全方面存

在著忽視的問題。二是，信息化軟件建設存在問題，當前適于企

業信息化建設的軟件數量上和質量上都存在著不足，特別是距國

外先進軟件還有范圍和水平上的很大差距，這使得企業信息化軟

件容易受到病毒和黑客的侵擾，最終會出現軟件的種種問題，進

而影響企業信息化建設的安全[1]。三是，企業信息化操作出現問

題，由于企業信息化屬于一個嶄新的概念，因此，容易出現操作

人員數量不足或操作水平不高，這會影響企業信息化操作出現種

種問題，直接或間接地對企業信息化產生安全方面的影響。四是，

企業信息化管理存在的問題，安全管理是企業信息化的基本保

障，但是，由于企業信息化過程時間不長，出現企業信息化管理

人才上的不足和欠缺，對于企業信息化安全形成直接的重大影

響。五是，企業信息化建設的法律和規范尚不健全和完整，很多

規范屬于范圍性規范，導致其難于形成對細節的控制和約束，不

能發揮法律和規范對企業信息化建設實際的指導作用，特別對于

信息安全的相關規定更是少之又少，最終導致企業信息化建設不

能夠得到法律的保證，嚴重影響了企業進行信息化建設的積極

性。

2.2 企業信息化建設安全問題的外部制約因素

外部對于企業信息化建設安全的制約來足浴各方面，當前越

來越多的不法分子看到了企業信息資源的潛在價值，利用各種非

法措施和違法手段入侵企業信息系統，竊取企業重要的信息和數

據，進而達到非法獲取不當利益的目的，這對企業信息化建設帶

來嚴重的安全問題。此外，來自同行企業的非法入侵也會引起企

業信息化建設安全問題，這會形成對企業競爭上和策略上的傷

害，進而失去企業發展和壯大的基礎。

3.企業信息化建設中實現信息安全的措施

3.1 樹立企業正確的安全意識

新時期企業要認識到如果企業機密被泄漏，那么對企業所造

成的打擊是非常巨大的，同時也給競爭對手創造了有利的機會。

因此樹立正確的安全意識對于企業是非常重要的，這樣才能為后

面的工作打下良好的基礎。

3.2 選擇安全性能高的企業信息軟件

企業在選擇安全軟件時應盡量選擇安全性能高的，不要為節

省企業開支而選擇性能差的防護軟件，如果出現問題其造成的損

失價值會遠遠的大于軟件價格。

3.3 加強企業的管理工作

針對信息安全的種類和等級制定出行之有效的方案，并提前

制定出如果發生了特定的信息安全事故企業應采取哪種應對方

案。當企業信息安全危機發生時，企業應快速成立處理小組，根

據信息安全危機的處理步驟和管理預案，做好危機處理工作，避

免出現由于不當處置而導致的連鎖危機的發生。另外，還應在企

業內部做好信息安全的培訓和教育工作，提高工作人員對安全危

機事件的處理能力。

結語

總而言之，企業信息化建設是企業的重要基礎建設項目，與

其他建設工程具有較大差異的是，企業信息化建設更加注重安

全，只有堅持安全為中心，形成安全的保障體系，以行之有效的

預防性措施和管理手段達到對企業信息化建設的安全。本文在最

后要重點強調，當前的企業應該在戰略制定、方案選擇、安全行

為控制的方面入手，實現企業信息化建設的系統化和整體性，這

樣才能實現企業信息化的價值，為穩定、健康、高效、安全的企

業運行打好基礎。

參考文獻：

[1]張耀輝.關于企業信息化建設中的信息安全探討[J].電子技

術與軟件工程,2013（14）：128.

[2]秦海峰.企業信息化建設中信息安全問題的分析研究[J].中

國信息界,2012（05）：46-47.

[3]成楊,金敏力.中小企業信息化建設存在的問題及對策研究

[J].辦公自動化,2007（10）：69-70.

[4]朱澤民,陳琛.中小企業信息化建設模式的分析與比較[J].企

業技術開發,2008（01）：58-60.

作者簡介：

馬良，男，1982年5月1日，漢，籍貫：哈爾濱，本科，畢業

企業信息安全的概念范文3

關鍵詞：云計算；電力企業信息；安全技術

伴隨著我國電力行業的迅速發展，特別是南網、國網、華電等大型的電力企業，它們的發展速度更是非常迅速的，目前，電力行業在我國經濟的發展當中發揮著中流砥柱的作用，并且是確保整個社會穩定劑經濟健康迅速發展的根本性要素，可是，最近幾年隨著先進科學技術的不斷研發，電力企業信息開始面臨著泄漏、不可掌控等一系列的安全性威脅，并且，自云計算出現，其依賴于自身優質的性能與全新的有效計算、存儲模式受到了各行各業的喜愛，云計算電力與以往的電力企業信息儲存系統及運行性能相比具備非常明顯的優勢。為此，云計算環境下電力企業信息安全是目前整個電力行業急需探究的重要問題。

1云計算的概念與基本原理

在分布式處理、并行式處理及先進網絡計算科學技術不斷發展的基本前提下形成的一種新型計算模式即云計算，其面對的是超大規模的分布式氛圍，主要發揮著將供應數據儲存及網絡服務的作用，并且具體的實現平臺、服務于應用程序都是在整個云計算環境下得以實現的。云計算能夠把全部的計算資源融合在一起，通過具體軟件促使自動化管理、無人為參與，并且能夠提供各種各樣的認為服務。云計算的基本原理是把相關的計算逐一分布在多個分布式計算機當中，在遠程服務器的具體計算當中可以促使電力企業信息處于正常的運行狀態，有利于企業將資源更改為具體的需求得以運用，并且能夠按照實際需求對計算機進行訪問。云計算基本原理為一場歷史性的轉變創舉。

2目前我國電力企業信息安全結構狀況

2.1電力企業信息網絡結構

隨著電力企業逐漸進入網絡自動化及智能化階段，為此，目前電力企業信息安全結構一般是以公共網絡與專用網絡有效綜合的一種網絡結構形式，其中，專用電力信息網絡指的是在因特網進行連接的基礎上形成的一種電力企業信息網絡及調度信息網絡相互綜合的形式。

2.2電力信息安全系統結構

以信息中的信息性能及信息業務為出發點將電力企業信息劃分為三種層面：自動化、生產管理、辦公室自動化及電力企業信息管理。其中，辦公室自動化及電力企業信息管理是與電力企業信息網絡結構緊密聯系在一起的，形成的是一個安全工作區域，在這個安全區域當中SPDnet支撐的一種自動化，可具備監控性能的實時監控，譬如，配電自動化、調度自動化、變電站自動化等，同時，安全生產管理區域同樣也是SPDnet來作為基本支撐的。

3云計算環境下電力企業信息安全技術的運用

3.1數據傳輸-存儲安全技術

在整個電力企業信息當中，涵蓋了大量的有關電力企業發展的資料及所有數據信息，譬如：電力企業的財務信息、用戶信息、經營管理信息等等，所以，對于整個電力企業而言，數據的傳輸-存儲安全技術在其中發揮著極為重要的作用。一般情況下，云計算環境下，嚴格加密技術可促使電力企業信息數據在具體的傳輸過程中將會處于非常安全的一種狀態下，主要是由于云計算能夠利用加密技術將那些潛存的非法訪客完全的拒之門外，預防數據傳輸過程中發生竊取的事件。從電力企業信息數據存儲技術的角度進行分析，其涵蓋了數據恢復、數據分離、數據備份、數據存貯位置的選擇等幾方面內容，而云計算環境下，電力企業便能夠利用私有云這一高度集中的存儲技術把相關的數據信息以基本性能、重要系數為依據來選擇不同的存貯方位，這樣可以促使不同種類數據間隔離的實現，并且可起到預防數據信息泄露的作用。云計算的運用可促使電力企業信息能夠實現實時備份，使得電力企業信息在有突況出現的時候能夠在第一時間達到相關數據的及時恢復。

3.2權限認證及身份管理安全技術

云計算能夠成功的預防非工作人員使用非法用戶對電力企業信息系統進行訪問，這主要是由于在私有云的內部全部的企業信息都能夠實現禁止訪問技術，電力企業信息管理工作者能夠通過私有云進行身份管理、權限認證技術的相關設置，按照企業工作人員的級別及具體的規定對于相關數據及應用業務作出明確的規定及權限的劃分，這樣可成功的預防了非法訪問的事件發生，同時實現合法用戶根據個人權限來進行企業信息的具體操作。

3.3網絡安全隔離技術

對于整個電力企業信息來講，云計算實則是互聯網當中的一種內部性系統，通常情況下，電力企業信息網絡能夠從網絡安全的被動保護層面來促使入侵檢驗技術、防火墻設置等安全防火技術得以實現，可是，云計算環境下，電力企業信息安全采用的是防火墻技術、物理隔離技術、協議隔離技術等先進的科學技術，其中，防火墻技術是對于企業外部網絡及電力企業信息網絡而創建的一道安全性保護屏障，通過對個人信息的嚴格檢測、審核，將具有破壞性入侵的訪客實施的一種有效防護，能夠最大限度上將那些越過防火墻對電力企業信息安全網絡及正常運行造成破壞的數據流進行完全性的屏蔽；物理隔離技術指的是在云計算環境下對于電力企業內外部網絡實施的一種分割，這樣能夠有效的將內外部網絡系統的連接狀態完全阻斷；協議隔離技術指的是在云計算環境下利用網絡配置隔離器對內外部網絡進行的一種隔離，在協議隔離技術的支撐下，內外部網絡是完全分離的一種狀態，而唯有云計算環境下的電力企業信息進行相互交換的過程當中，內外部網絡才能夠通過協議由隔離的狀態轉變為正常連接狀態。

4結語

通過上文針對云計算環境下電力企業信息安全的淺析，我們從當前電力企業信息安全的狀況進行分析，云計算環境下用戶信息安全依然是一個較為嚴峻的問題，一部分問題并未得到根本性的解決，在今后的工作當中，需要針對云計算環境下用戶信息安全供應相應的幫助，這樣才能夠促使用戶信息安全水平得到較為顯著的提高。我們堅信，在未來的工作當中，云計算環境下的電力企業信息將會更加安全，用戶信息的安全性能將會得到最大程度上的保障。

參考文獻

[1]曹勇,王口品,牒亮等.試析電力企業信息安全保障體系建設原則及思路[J].信息通信,2013(04).

[2]陳宇丹.電力企業信息信息安全關鍵技術研究[J].中國科技信息,2013(23).

企業信息安全的概念范文4

隨著互聯網的飛速發展，將軟件作為一種商務服務形式提供給客戶的需求量迅速增加，其中最突出的就是SaaS平臺模式。在SaaS平臺模式給廣大中小企業用戶帶來諸多好處的同時也存在著諸如安全性、可靠性、穩定性等信息安全隱患，有效防范這些信息安全隱患對中小企業發展和SaaS平臺模式的推廣都具有非常重要的意義。

2 SaaS平臺模式的界定

SaaS是Software-as-a-service的縮寫，中文直譯過來就是軟件即服務。在中國學術期刊網絡出版總庫中以“SaaS”或“SaaS模式”為題名進行檢索，可以分別檢索到893篇、256篇從2006年至今的相關學術文獻，可見對SaaS的相關研究已經具有一定規模和基礎。許多學者對SaaS的概念進行了界定，但僅限于措辭上的差異，基本意義相同，即：SaaS是基于互聯網提供軟件服務的軟件應用模式。在該模式下，服務提供商將應用軟件安裝在自己的服務器上，用戶可以根據自身需求，通過網絡向服務提供商購買所需的應用軟件服務，按照購買服務的數量和時間向服務提供商支付費用。目前業內平臺型SaaS做的較好的服務供應商有八百客、Salesforce等。

3 中小企業應用SaaS平臺模式的必要性分析

3.1 中小企業應用SaaS平臺模式的必要性。根據權威統計部門數據，一家中小企業每年用于企業信息化方面的投入至少需要20萬元，對于我國四千多萬家中小企業而言，能夠承受企業信息化年投入20萬元以上的企業只占這些企業的5-10%。SaaS平臺模式減少了企業購買、搭建、維護等費用，是中小企業實現信息化的最好途徑。另外，SaaS平臺模式具有快速實施和低維護成本等優勢，充分彌補了企業資金、人才等方面的短缺。相關數據顯示，截至2011年底，SaaS全球市值達到192億美元，正在被越來越多的中小企業用戶選擇使用。

3.2 應用SaaS平臺模式的優勢。與其他傳統商務模式相比，應用SaaS平臺模式能夠給中小企業帶來的好處主要體現在以下幾方面：

①風險小。SaaS平臺模式主要以托管方式來提供服務，這較大程度地降低了由軟件開發給企業帶來的巨大投入風險。②投入少。SaaS平臺模式服務提供商通常是按照企業租用平臺模塊的數量和時間進行收費。因此，SaaS平臺模式的總體投入要比傳統模式的企業信息化投入小得多。SaaS平臺模式與傳統模式的企業信息化預算分配對比如圖1所示（圖中比例僅用于表示不同模式企業信息化預算變化趨勢，并不代表真實比例）。③維護費用低。應用SaaS平臺模式，企業既不需要支付高額的維護費用又不需要安排專業人員對軟件進行管理，這從很大程度上緩解了企業的資金和人力壓力。

■

圖1  SaaS平臺模式與傳統模式企業信息化預算對比

4 中小企業應用SaaS平臺模式存在的信息安全隱患

盡管中小企業應用SaaS平臺模式具有諸多優勢，但同時也面臨著巨大的挑戰。對于中小企業特別是處于快速成長期的中小企業而言，其最核心的企業價值就是客戶的數據等信息，因此信息安全是企業管理者最關心的問題[4]。由于SaaS平臺模式的解決方案要求將用戶的全部相關數據存放在服務供應商提供的平臺上，這使得企業數據在安全性、可靠性、穩定性等方面存在較大的信息安全隱患。分析機構IDC的分析師Laura DuBois表示：“中小型企業必須非常謹慎的挑選供應商以存儲他們寶貴的數據”。

4.1 安全患。安全患是SaaS平臺模式面對的首要問題。對于企業來說，數據的安全性至關重要，尤其是作為企業核心機密的財務數據和客戶信息。安全患主要體現在以下兩方面：一方面，財務管理人員由于缺乏網絡信息安全知識和對信息安全規則的認識不足而造成的數據丟失、泄露等隱患。例如，網上報賬會使外界干預系統的機會增多，從而加大了更改訂單、銀行結算單等惡性事件發生的可能性。另一方面，由于目前SaaS 平臺模式數據庫缺少有效的數據加密措施，外界可以輕而易舉地從外部打開數據庫并進行修改，從而加大了客戶信息遭到泄漏、惡意篡改，甚至被刪除，造成整個網絡系統癱瘓的可能性。

4.2 可靠患?？煽炕贾饕w現在網絡病毒和非法入侵兩方面。一是由于企業使用SaaS平臺模式必須將其局域網與互聯網相連接，因此，使SaaS平臺系統感染病毒的機率大大增加，病毒防范的難度加大，任何在互聯網上的行為都有可能使SaaS平臺系統感染病毒。二是由于SaaS平臺模式采用的是公用通信線路，因此存在惡意損壞網絡設備、在網絡上對系統進行非法入侵活動等可靠患。

4.3 穩定患。穩定患主要是指網絡延遲。由于SaaS平臺模式服務提供商在數據庫設計上普遍采用大型商用關系型數據庫和集群技術，使許多個企業用戶共享一個數據庫，當用戶訪問量驟然增加時，勢必增加響應延遲，影響平臺服務的穩定性。

5 防范信息安全隱患的措施

針對SaaS平臺模式存在的安全性、可靠性、穩定性等信息安全隱患，無論是SaaS服務提供商還是企業用戶，都應該積極采取各種防范措施，減少信息安全隱患的發生。

5.1 增強信息安全防范意識。提高信息安全防范意識是保證SaaS平臺模式信息安全的重要前提。對于SaaS平臺模式服務提供商而言，要增強信息安全防范意識，首先要制定統管全局的信息安全管理制度，明確責任，使信息安全管理有章可循，有法可依;其次要加強對系統維護人員和技術支持人員的職業道德教育，使其在職業操守上能夠恪守職責。

5.2 確保硬件設備安全。硬件設備安全是SaaS平臺正常運營的基本保障。SaaS服務提供商應將SaaS平臺服務器、通信設備等硬件設備設置在一個高度安全的場所，該場所應具有防火、防盜、防靜電設施，配有溫度和濕度控制設備，并且電源安全符合網絡設備要求，從而確保硬件設備安全。

5.3 建立身份認證和訪問控制。在認證與授權方面可以通過對信息操作人員設置不同的權限及權限組合形成多維、多層次、全方位的身份認證和訪問控制，最大限度地保證SaaS平臺模式的安全性和可靠性。

5.4 采用服務器雙機熱備份模式。在數據存儲上可采用服務器雙機熱備份技術來對數據進行存儲和備份。SaaS平臺模式服務提供商同時設立兩個服務器數據中心，一個服務器數據中心為主服務器，進行日常數據處理，另一個服務器數據中心作為冗余備份。當主服務器出現故障時，備用服務器將自動接管所有服務，待主服務器恢復正常工作后，備用服務器自動交還服務。這樣能夠減少由于服務器或防火墻故障問題而停止運行帶來的信息安全隱患。

企業信息安全的概念范文5

摘 要： 在全球網絡安全形勢日益嚴峻的形勢下，中國企業安全防御的水平較之國外仍有較大差距。中國企業把太多目光聚焦在了來自外部的攻擊和威脅，卻忽視了企業信息安全的自身防御了，如：2016年9月12日發生了一件震驚中國互聯網的大事，阿里巴巴5位參與違規搶月餅的程序員被阿里巴巴辭退了、其中還包括了阿里云云盾的安全技術負責人，這些人利用企業內部網絡編寫代碼、自動高頻率點擊按鈕、由此搶到了16盒月餅，從中也可以引出聯想：如果是彩票、股票、基金、重要限購物品的拍賣呢？ 本文從目前企業信息安全防御的現狀出發，分析了網絡安全形勢與防御水平的差距，提出了新的信息安全保障體系的設想。

關鍵詞： 云安全 信息安全保障 安全防御 IT免疫系統

一、簡介

信息安全對企業而言事關重大，這一點已越來越引起企業管理者的重視。另一方面，隨著企業業務計算環境的發展與技術更迭，企業所面對的各方面安全威脅、攻擊方式也演變得愈加復雜和多樣化，安全防御的重點也隨之變化。與此同時，隨著企業安全與業務相結合的緊密度越來越高，探索未來信息安全防御體系趨勢已成為如今企業管理者最為重視的關注點之一。

如今國內的信息安全圈，談攻防的很多，但談防御的卻很少。我們把太多目光聚焦在了來自外部的攻擊和威脅，卻忽視了企業信息安全的自身防御了。

國內的企業信息安全發展經歷了幾個重要的階段：從2004年到2009年，基于還處于建設符合合規要求，解決信息安全基礎問題的階段；2009年到2013年，基于基礎合規建設開始構思如何使信息安全保障體系更具有效性；到2014年至2016年，有效的信息安全保障體系如何落地成為探討的重點；而從2016年開始，則進入了如何在合規建設的基礎上探索有效構建下一代信息安全落地保障w系的階段。

1.目前企業信息安全防御的現狀

在全球網絡安全形勢日益嚴峻的情況下，中國企業安全防御的水平較之國外仍有較大差距。根據權威咨詢機構IDC去年的調查數據顯示，中國企業級網絡安全的投入只占企業信息化投入的1% ，而這一數字在日本則是8%，在美國更是高達10%。這一數字已經反映出中國安全行業目前所處的水平。

具體到企業業務中，目前國內許多企業對安全防御的意識同樣嚴重缺乏。企業本身的安全意識非常欠缺，在國內有些企業甚至是剛剛開始做信息化改造，遠遠未達到考慮安全問題的水平。而大多數企業在信息化建設初期也不會對安全問題給予過多的考慮或者是不全面的安全防護。因此也導致了在現階段，我國企業級安全防御能力從整體上看還是非常薄弱的。

而反觀對企業網絡安全造成嚴重威脅的黑客團體一方，則更是與當前企業整體網絡安全水平形成了鮮明的對比?；趶姶蟮睦骝寗?，黑客團隊在協作分工、形成地下黑產業鏈方面已經非常成熟。如此說來，黑客團隊反而是非常強大的。從未來趨勢來看，目前企業的安全防御能力以及IT建設速度與黑客團隊相比差距非常之大，如果我們仍舊不能改變這種現狀，保持這樣的安全差距的話，未來將會造成更加巨大的差距與威脅。所以說，目前我們所面臨的整體網絡安全形勢還是非常危險的。

2.網絡安全形勢與防御水平差距的分析

為什么會造成當前如此嚴峻的網絡安全形勢與防御水平的差距？我們從兩方面進行了分析。

一方面，對于企業而言，安全事件一旦發生，其對企業核心價值所造成的影響將是非常巨大的。特別是以存儲客戶大量信息數據為核心的金融、醫療等行業，一旦發生數據泄露及攻擊，后果甚至不堪設想。而企業在這方面的防御卻往往是最為薄弱的環節。

而除去單純技術上的防御水平因素，數據本身對于企業和對于黑客的價值之間的差距也會造成許多核心數據的泄露。比如，當數據對于黑客的價值要遠遠大于對企業自身的價值時，許多數據甚至會被人為地泄露出去。如果這個局沒有法律、輿論以及市場的管控等第三方的有效監管去破解，那么僅僅只靠安全技術來對數據進行保護往往也是不湊效的。而這一點也是目前造成國內與國外安全防御所存在的巨大的差距的原因之一。

另一方面，從針對企業的核心運營的防護程度來看，中國的IT建設進展也同樣沒有歐美國家深入。隨著大數據、信息化產業的推進，企業越來越多的價值都被數字化了。只有當企業意識到：這些數據一旦遭受攻擊被泄露，企業的損失將有多么巨大，那么這時企業則會看重這些數據。

正是以上兩方面關鍵因素，構成了當前中國市場所面臨的網絡威脅形勢要更加嚴峻。與此同時我們也看到，在當下的網絡攻擊中，諸如APT 攻擊等“高大上”的手段被頻繁應用進來，面對這樣的攻擊，企業的安全防御在攻擊對抗中所起到的真實防御能力卻很微小。相反，黑客們卻率先建立起了攻擊聯盟。要想從根本上改變這種局面， 就需要明確推動整個安全產業的驅動力究竟是什么，如果不是出于對企業安全的強烈需求、而是出于對安全的免責為目的的話，安全的產業就永遠不會得到發展。當然，隨著中國市場對企業安全觀念的轉變與逐漸重視，這一現狀也會得到相應的改觀。

二、新信息安全保障體系的構想

“以不變應萬變”的安全防御思路是：構建一套穩定的防御體系，抵御萬變的網絡威脅。構建一套穩定的防御體系，不能僅依靠以往的傳統防御體系，傳統安全3大件：防病毒、IDS、IPS，這三大件雖然抵御威脅有一定的效果，但基于已知特征進行防御，也就是說針對已知威脅可以防御，但對于未知威脅只能當正常行為放過，不能滿足當今網絡安全的防御需求。通過近期的一系列的APT攻擊事件即可看出，傳統安全防御已不適合當今的防御需求。所以構建一套穩定的防御體系非常必要，下面幾個方面進行設想：

1.構筑網絡安全

系統安全：運行系統安全即保證信息處理和傳輸系統的安全。它側重于保證系統正常運行。避免因為系統的崩演和損壞而對系統存儲、處理和傳輸的消息造成破壞和損失。避免由于電磁泄翻，產生信息泄露，干擾他人或受他人干擾。

網絡的安全：網絡上系統信息的安全。包括用戶口令鑒別，用戶存取權限控制，數據存取權限、方式控制，安全審計。安全問題跟踩。計算機病毒防治，數據加密等。

信息傳播安全：網絡上信息傳播安全，即信息傳播后果的安全，包括信息過濾等。它側重于防止和控制由非法、有害的信息進行傳播所產生的后果，避免公用網絡上大云自由傳翰的信息失控。

信息內容安全：網絡上信息內容的安全。它側重于保護信息的保密性、真實性和完整性。避免攻擊者利用系統的安全漏潤進行竊聽、冒充、詐編等有損于合法用戶的行為。其本質是保護用戶的利益和隱私。

網絡安全防護手段：全面規劃網絡平臺的安全策略，制定網絡安全的管理措施，使用防火墻，（4）盡可能記錄網絡上的一切活動，注意對網絡設備的物理保護，檢驗網絡平臺系統的脆弱性，建立可靠的識別和鑒別機制。

2.云端問題與安全

緊隨云計算、云存儲之后，云安全也出現了。云安全是我國企業創造的概念，在國際云計算領域獨樹一幟?！霸瓢踩–loud Security）”計劃是網絡時代信息安全的最新體現，它融合了并行處理、網格計算、未知病毒行為判斷等新興技術和概念，通過網狀的大量客戶端對網絡中軟件行為的異常監測，獲取互聯網中木馬、惡意程序的最新信息，傳送到服務器端進行自動分析和處理，再把病毒和木馬的解決方案分發到每一個客戶端。

數據丟失/泄漏：云計算中對數據的安全控制力度并不是十分理想，API訪問權限控制以及密鑰生成、存儲和管理方面的不足都可能造成數據泄漏，并且還可能缺乏必要的數據銷毀政策。

共享技術漏洞：在云計算中，簡單的錯誤配置都可能造成嚴重影響，因為云計算環境中的很多虛擬服務器共享著相同的配置，因此必須為網絡和服務器配置執行服務水平協議（SLA）以確保及時安裝修復程序以及實施最佳做法。

內奸：云計算服務供應商對工作人員的背景調查力度可能與企業數據訪問權限的控制力度有所不同，很多供應商在這方面做得還不錯，但并不夠，企業需要對供應商進行評估并提出如何篩選員工的方案。

帳戶、服務和通信劫持：很多數據、應用程序和資源都集中在云計算中，而云計算的身份驗證機制如果很薄弱的話，入侵者就可以輕松獲取用戶帳號并登陸客戶的虛擬機，因此建議主動監控這種威脅，并采用雙因素身份驗證機制。

不安全的應用程序接口：在開發應用程序方面，企業必須將云計算看作是新的平臺，而不是外包。在應用程序的生命周期中，必須部署嚴格的審核過程，開發者可以運用某些準則來處理身份驗證、訪問權限控制和加密。 6. 沒有正確運用云計算：在運用技術方面，黑客可能比技術人員進步更快，黑客通常能夠迅速部署新的攻擊技術在云算中自由穿行。

未知的風險：透明度問題一直困擾著云服務供應商，帳戶用戶僅使用前端界面，他們不知道他們的供應商使用的是哪種平臺或者修復水平。

3.客戶端問題與安全

對于客戶來說，云安全有網絡方面的擔憂。有一些反病毒軟件在斷網之后，性能大大下降。而實際應用當中也不乏這樣的情況。由于病毒破壞，網絡環境等因素，在網絡上一旦出現問題，云技術就反而成了累贅，幫了倒忙。

用戶身份安全問題

云計算通過網絡提供彈性可變的IT服務，用戶需要登錄到云端來使用應用與服務，系統需要確保使用者身份的合法性，才能為其提供服務。如果非法用戶取得了用戶身份，則會危及合法用戶的數據和業務。

共享業務安全問題

云計算的底層架構（IaaS和PaaS層）是通過虛擬化技術實現資源共享調用，優點是資源利用率高的優點，但是共享會引入新的安全問題，一方面需要保證用戶資源間的隔離，另一方面需要面向虛擬機、虛擬交換機、虛擬存儲等虛擬對象的安全保護策略，這與傳統的硬件上的安全策略完全不同。

用戶數據安全問題

數據的安全性是用戶最為關注的問題，廣義的數據不僅包括客戶的業務數據，還包括用戶的應用程序和用戶的整個業務系統。數據安全問題包括數據丟失、泄漏、篡改等。傳統的IT架構中，數據是離用戶很“近”的，數據離用戶越“近”則越安全。而云計算架構下數據常常存儲在離用戶很“遠”的數據中心中，需要對數據采用有效的保護措施，如多份拷貝，數據存儲加密，以確保數據的安全。

4.主要技術手段

木馬下載攔截：基于業界領先的反木馬技術，攔截中毒電腦通過網絡下載更多的病毒和盜號木馬，截斷木馬進入用戶電腦的通道，有效遏制“木馬群”等惡性木馬病毒的泛濫。

木馬判斷攔截：基于強大的“智能主動防御”技術，當木馬和可疑程序啟動、加載時，立刻對其行為進行攔截，阻斷其盜號等破壞行為，在木馬病毒運行時發現并清除，保護QQ、網游和網銀的賬號安全。

自動在線診斷： “云安全”計劃的核心功能。自動檢測并提取電腦中的可疑木馬樣本，并上傳到 “木馬/惡意軟件自動分析系統”，隨后將把分析結果反饋給用戶，查殺木馬病毒，并通過“安全資料庫”，分享給其他所有用戶。

漏洞掃描：應用全新開發的漏洞掃描引擎，智能檢測Windows系統漏洞、第三方應用軟件漏洞和相關安全設置，并幫助用戶修復。用戶也可以根據設置，實現上述漏洞的自動修復，簡化了用戶的操作，同時更加及時的幫助用戶在第一時間彌補安全隱患。

強力修復：對于被病毒破壞的系統設置，如IE瀏覽器主頁被改、經常跳轉到廣告網站等現象，卡卡助手會修復注冊表、系統設置和host文件，使電腦恢復正常。

企業信息安全的概念范文6

關鍵詞：會計信息安全 組織環境 風險評估 監控反饋 制度安排

中圖分類號：F23 文獻標識碼：A 文章編號：1002-5812（2016）03-0026-04

隨著我國企業信息化的推進，會計信息化逐步由簡單的單用戶電算化應用向復雜的深層次網絡化運用過渡，會計信息化系統也在一定程度上實現了由核算型向管理型的過渡。在企業會計信息化水平不斷提高的同時，作為企業重要資產的會計信息，其完整性、可用性、保密性等方面卻受到不同程度的挑戰和沖擊。如若企業會計信息安全不能得到有效保障，可能會引發相關商業機密的泄漏，嚴重的會導致企業失去客戶、市場，乃至核心競爭力；即便是信息系統的故障也會造成企業的相關業務中斷，給企業帶來資產與聲譽的損失。因此，為了使企業能持續不斷的發展，會計信息安全成為了企業管理越來越關注的內容之一。

一、企業會計信息安全的影響因素

企業會計信息安全是指會計信息化環境下，會計信息處于完整性、可用性、保密性和可靠性的狀態，它來自于會計數據的完整和會計數據的安全。參照國際標準化組織和美國NSTISSC委員會對信息安全的闡述，本文認為企業會計信息安全就是為了使會計信息具有完整性、可用性、保密性和可靠性，而讓企業的會計信息和會計信息系統處于必要的保護之下免于未經授權的訪問、使用、泄漏、修改和破壞，并適當采取相應政策、培訓和教育以及技術等必要手段，其實質就是扎根于企業經營實踐活動并與企業戰略密切聯系的業務保障和管理問題。顯然，影響企業會計信息安全的因素必然來源于企業的生產經營實踐活動，并與企業的經營管理過程結合在一起。鑒于此，本文認為影響企業會計信息安全的因素不外乎組織環境、信息處理、風險評估、監控反饋、制度安排五個方面內容。

（一）組織環境。企業組織環境是指能對企業生產經營活動和決策產生直接影響并與企業戰略目標實現密切相關的因素。企業會計信息安全及相關會計信息系統的運行都必須基于既有的企業組織環境。一般來說，企業組織環境包括企業愿景、企業戰略、企業文化、組織結構、員工勝任能力以及管理者素質、管理風格、管理哲學等。企業組織環境對企業會計信息安全的影響作用在很大程度上取決于企業高層管理者。其原因在于，根據企業高層管理者的管理哲學與管理風格以及由其演繹而成的組織結構和企業文化形成了企業會計信息安全環境，并以此構建相應的會計信息安全管控框架，進而形成相應的會計信息安全策略。此外，相關的企業會計信息安全管控策略若要能在企業內部得到有效的持續的實施，也需要企業內所有管理者和員工的共同參與，更是與管理者和員工的安全意識和職業素養密切相關。高層管理者負責制訂與企業組織發展方向相關以及影響整個企業戰略的會計信息安全管控決策；中層管理者負責將高層管理者所制訂的會計信息安全管控決策目標轉換成為基層管理者可執行的會計信息安全管控具體目標；基層管理者則負責直接指揮從事具體業務的相關員工進行日常業務作業。

（二）信息處理。企業會計信息處理是一個比較復雜的系統，在這個系統中應該能完整、可靠、安全地采集與企業經營管理相關的各種會計信息，并使這些會計信息以適當的方式在企業有關層級及經過適當授權的客戶之間進行有效傳遞和正確使用。因此，在會計信息化環境下為達到上述要求，企業需要為會計信息處理系統配置適當的軟硬件資源。在這種情況下，企業會計信息安全問題就集中于物理硬件的可靠性和支持軟件的有效性。物理硬件通常由系統主機、網絡線路、終端電腦、附設周邊、物化防護等組成，譬如給數據加密的專用設備，添加專用防火墻的服務器，具有加密算法和多數位加密的路由等。支持軟件則主要由能實現會計信息采集、整理、加工、傳送、使用等功能的會計信息管理軟件構成，當然還包括操作系統、網絡協議、壓縮、加密算法、防病毒等相關軟件。

（三）風險評估。風險評估就是分析、識別和控制相關影響會計信息安全目標實現的各種風險的過程，它主要由會計信息安全的目標設定、風險分析、風險識別和風險控制等方面構成。企業要確保其會計信息安全，則必須清楚且能應對各種可能對其會計信息安全產生影響的風險，在不斷變化的企業經營環境中進行認真分析，識別并把握其變化規律，制訂相關的應對措施，依據會計信息安全面臨的問題適時調整企業會計信息安全管控策略和方法。這就要求企業的會計信息安全管控策略要有更長遠的時間和更廣闊的視野來關注風險，將風險意識貫穿于企業會計信息安全管控的始終，不斷完善包括企業經營理念、管理方式、管理風格在內的控制風險環境。為此，企業還需要制訂相關的會計信息安全目標，并將這一目標與企業的供應、生產、銷售等經營活動進行整合。唯有如此，才能實現整個企業經營管理的協調一致。

（四）監控反饋。企業必須制定監控反饋的政策與程序，才能確保既定會計信息安全目標和必要改進措施的有效實施。一方面，企業經營環境是不斷發生變化的，企業經營活動也隨之不斷變化。在這種情況下，唯有對企業會計信息安全管控系統進行必要的監控，并在必要時加以修訂與調整，管控系統及相關的政策與程序才能反應自如。另一方面，企業會計信息處理系統自身也會由于物理硬件或支持軟件方面的不確定因素而導致會計信息處理的延誤或失效。這樣，企業也需適時地對企業會計信息處理系統進行監控，排除不確定因素，維護會計信息處理系統的有效和安全。此外，還應考慮制定怎樣的監控反饋政策與程序。通常，過于集權的監控政策會導致因信息缺乏而引起的成本，過于分權的監控政策則會出現因目標不一致而引起的成本。鑒于此，企業對會計信息安全的監控反饋政策與程序的選擇應該是權衡這兩類成本，使成本之和最小。

（五）制度安排。企業會計信息安全還與企業制度安排密切相關。好的政策制度，能有效協調和激勵合意的行為，約束和懲罰不合意的行為，從而帶來良好的經濟績效；差的政策制度，則會產生相反的結果。因此，企業在進行會計信息安全方面的制度安排時，需要依據會計信息安全的目標，設計出良好的管控制度，做到能有效地協調和激勵符合企業會計信息安全的行為，并能夠約束和懲罰不符合企業會計信息安全的行為，進而為企業帶來良好的會計信息安全管控效果。需要關注的是，制度安排的效果，還要與其實施的環境密切關聯。因為制度實施的環境發生了變化，就有可能使得原先實施效果很好的制度不再那么有效，甚至失效。

二、企業會計信息安全的主要風險問題

通過上文的分析可知，企業會計信息安全受到沖擊和挑戰的原因很多，具體表現出來的風險問題也是多樣的。但是，具體到企業管理實踐中，會計信息安全的風險問題基本上集中于員工的會計信息安全認知、會計信息處理系統、風險評估與監控反饋的認識以及對會計信息安全管控制度的執行等幾個方面。

（一）員工的會計信息安全認知不足?；诮M織環境方面的會計信息安全風險問題多源于企業的員工對會計信息安全認知的不足。其原因在于，與安全有關的問題都離不開“人”這個主體因素。一方面，許多企業管理者的會計信息安全意識、安全知識和安全管理等方面存在不足。譬如，在確定企業會計信息安全管控方案時沒有對企業進行全面的自我診斷，僅是對企業的基本狀況做了一個大概了解，就直接在企業內部實施現有的標準或者其他企業或組織的成功方案。由于企業既沒有充分挖掘會計信息安全現狀和對會計信息安全的內在需求，也沒有全面考慮利益相關者的利益安全需求，必然會導致企業對會計信息安全的實際需求與其能提供的安全管控之間存在差距。更有甚者，企業管理者對會計信息安全的支持和重視不足，導致企業內部會計信息安全文化缺失和普通員工會計信息安全意識淡薄。另一方面，企業信息化的發展，使得越來越多的非財會相關崗位的普通員工也被包含到企業會計信息安全體系之中。這些員工，甚至一些財會崗位的員工，要么不完全理解會計信息安全的重要性，要么過度信賴企業會計信息安全管控方案，而不愿意把自己的精力和資源放在會計信息安全防護上，或者從根本上就認為即便對會計信息不采取安全防護措施也不一定會造成損失。當然，也存在一些員工由于缺少必要的會計信息安全教育和培訓，根本不知道自己不遵守和執行相關的會計信息安全管控方案會對企業帶來怎樣的不利影響。

（二）會計信息處理系統安全技術滯后。企業會計信息安全需求是隨著企業的生產經營活動和企業所處的內外部環境的變化而變化的。但是，很多企業并沒有意識到企業會計信息安全需求的動態變化規律，對會計信息安全管控方案依然秉承“投資一次，受用終身”的觀念，抱陳守舊。這種投資觀直接導致企業會計信息處理系統安全技術跟不上企業生產經營活動和企業所處的內外部環境的變化。具體體現在企業使用的會計信息處理軟件本身設計存在缺陷或技術漏洞得不到及時的完善以及殺毒軟件、防火墻等相關支持軟件不能得到及時更新；沒有隨著企業業務和環境的變化更新會計信息處理系統導致業務流程描述錯誤或漏洞、數據訪問權限設置不當、關鍵數據備份不足等問題；以及系統主機、網絡線路、終端電腦、附設周邊、物化防護等老化損毀等。

（三）會計信息安全風險意識薄弱與風險評估體系缺失。當前，不少企業員工，包括部分企業管理者，其會計信息安全風險意識淡薄，認識不到企業會計信息安全風險的客觀性。實際上，企業生產經營活動中，風險是客觀存在的，它是無處不在的，也是無時不在的。通常狀況下，企業所面臨的會計信息安全風險，也與威脅企業實現其戰略目標的相關事件密切相關。因此，企業會計信息安全風險的評估，要求企業所有員工能對貫穿于企業方方面面的會計信息安全風險有一個清晰的認知。尤為突出的是，很多企業并沒有形成一套有效的會計信息安全風險評估體系來對會計信息處理系統進行風險評估。會計信息安全風險評估體系可以確定各種會計信息采集、整理、處置、披露和使用等行為的邊界，明確什么行為是可以做的，什么行為是不可以做的。如果發現有越界的行為，能夠及時發現并對其進行控制，進而使得這些越界行為造成的損失降至最低。

（四）會計信息安全監控反饋欠佳。一般來說，企業會計信息安全監控反饋機制可以分為三個步驟。一是對實際會計信息安全的衡量與評估；二是將實際衡量與評估的結果與企業設定的或標準的安全目標進行比較；三是采取必要的管控行動來糾正比較后得出的偏差與不足。顯然，會計信息安全監控反饋過程是一個連續行動的過程，其有效性歸根結蒂取決于以上的衡量、比較與糾偏三個步驟，其中任何一個步驟或者幾個步驟低效率或不作為就會影響企業會計信息安全監控反饋機制的有效性。但是，在現實的企業經營管理實際中，由于企業員工認識不到會計信息安全監控反饋機制是一個衡量、比較與糾偏的連續行動過程，而是過度強調這個監控反饋機制中的某一個步驟或某幾個步驟，沒有從整個會計信息安全監控反饋機制的全局上考慮，導致企業會計信息安全監控反饋機制運行不暢，監控反饋效果大打折扣，最終使該機制的有效性受到質疑，動搖該機制在企業會計信息安全管控體系中的地位。

（五）會計信息安全管控制度低效。會計信息化依然是個新生事物，企業對會計信息安全管控的認知還處于初級階段，相關的制度建設尚不完善，有的還處于草創階段，導致企業日常會計事務的工作制度依然處于缺失狀態，會計信息處理系統的使用和維護行為缺乏合理的引導，會計信息處理設備的濫用和誤用、會計信息的不當使用等現象時有發生，嚴重危害企業的會計信息安全。即便企業有相對健全的會計信息安全管控制度，若不能對相關執行人進行必要的激勵，也難以使相關制度得到有效執行。其原因在于任何制度都是由人來執行的，要保證制度的執行效果，就必須對執行人進行激勵。激勵的目的就是當個人的行為能促進企業目標的實現時，能得到企業提供給其相應的價值回報，把企業員工的個人行為動機與企業目標的實現密切關聯起來。事實上，很多企業在信息安全管控制度的執行過程中，并沒有設立相應的激勵指標來推動企業員工為企業信息安全目標的實現而工作。

三、企業會計信息安全的管控建議

針對以上風險問題，企業應該在影響會計信息安全因素的組織環境、信息處理、風險評估、監控反饋、制度安排等方面強化作為。

（一）加強會計信息安全管控組織環境建設。一方面，要強化企業會計信息安全文化建設，在企業內部形成全體員工共同遵循的會計信息安全的信念、價值、意識以及經營哲學等，以此為基礎設計相應的企業會計信息安全管控制度，并提供理念支持。還可以在企業文化建設過程中，不斷強化企業會計信息安全的重要性和相關會計信息安全管制制度設計的員工參與度，以實現更加公平透明和執行有效的企業會計信息安全管控文化。另一方面，要充分重視人的因素，加強企業員工的職業道德教育和業務素質培養，提高全體員工的職業勝任能力，充分發揮每個員工在完善企業會計信息安全管控制度方面的主觀能動性。企業還可以依據員工的工作性質和職位安排，適宜安排企業會計信息安全教育與培訓。對企業管理者，強化會計信息安全核心知識、技術手段、風險管理等方面的教育與培訓；對企業普通員工，則結合其所在部門的業務特點加強會計信息安全技術手段、風險意識等方面的教育與培訓。這樣，就可以在企業內部營造企業會計信息安全文化氛圍，最大程度地減少人為因素對企業會計信息安全的危害。

（二）適時更新會計信息處理系統安全技術。企業要遵循會計信息安全需求的動態變化規律，對會計信息安全管控方案放棄“投資一次，受用終身”的觀念，適時更新會計信息系統處理安全技術，按照“適度防御”的原則，選擇合適的安全技術與產品，形成企業適用的安全技術防線。首先，適時更新會計信息處理的安全技術。在企業會計信息處理系統中提供包括用戶名、口令等在內的多種身份驗證機制，必要時還需嵌入支持雙因素認證和具備登錄控制模塊，同時在會計信息處理的日常作業不受影響的情況下，控制相應員工的訪問權限，減少可能的越權操作，保障會計信息處理系統的安全。其次，適時更新會計數據的安全技術。企業應通過適時更新加密等技術手段保護會計信息處理系統中數據的保密性和完整性，提高會計信息數據訪問的抗依賴性。此外，還需加強相關會計信息數據的異地崩潰或者災難恢復機制，通過實現本地會計信息數據能夠異地備份和復制，避免本地會計信息處理系統由于崩潰或者災難等而導致會計信息數據遺失。再次，適時更新網絡安全技術。不但要適時更新系統掃描技術并對會計信息處理系統和操作系統層設備進行智能化檢測，幫助企業網絡管理人員高效完成定期檢測和操作系統的漏洞修復，還要適時更新系統實時入侵探測技術來監控主機系統事件，檢測可疑特征并給予響應和處置。此外，還要適時更新在企業內外部部署的網絡和信息安全設施，強化會計信息處理系統的物理實體管理，同時加強對漏洞掃描系統和入侵檢測系統的更新，以實現會計信息處理系統受到內外部誤操作或各種攻擊時的實時保護。最后，適時完善物理設備的安全防護技術。不但要采取全面可靠的防火墻技術和防病毒系統，還要針對環境的物理災害、人為蓄意破壞甚至自然災害采取有效的物化防護技術，保障相關物理設備的安全。

（三）形成會計信息安全風險評估體系。任何企業管理機制的構建都是一個系統工程，能否構建成功且在以后的運行中有效，關鍵是相關風險的評估。正如管理大師德魯克所說，沒有評估就沒有管理。同樣的道理，沒有評估就不可能實現管理機制的構建與施行。對會計信息安全管制機制的構建亦是如此。為此，企業為了構建有效的會計信息安全管理機制，就需對可能的損害企業會計信息安全的風險進行歸集與分類，形成會計信息安全風險評估體系。具體做法，可以采用以下三步。第一步，構建適應企業經營實踐和企業會計信息安全要求的會計信息安全風險評估目標體系。既要根據會計信息的完整性、可用性、保密性和可靠性設置會計信息安全的一般目標，又要根據會計信息安全管控環節設置具體目標，譬如會計信息安全管控業務執行的有效性、及時性、正確性等。第二步，按照會計信息處理的授權管理、崗位牽制、資源接觸等安全管控類型，分析并得出會計信息處理業務流程和各部門的關鍵風險控制點和一般風險控制點。最后，根據上述風險控制點設置相應的會計信息安全管控評估指標，并對每個指標進行具體說明，且給出這些指標的評估方法和評分標準。

（四）推行企業全面信息安全監控反饋機制。會計信息安全管控不應該僅僅是涉及到會計信息這樣一個狹小的范疇，而應該是一個綜合的概念，要把企業的經營環境、愿景理念、組織領導、戰略計劃等綜合起來考慮。既要認識到現代企業中會計信息安全管控的重要性，也要能從會計信息安全的管控上升到企業信息安全管控，推行企業全面信息安全監控反饋機制，實現企業全面信息安全管控，并使之成為企業的管理哲學。首先，要做到內容方式的全面性。不僅要著眼于會計信息安全的管控，還要能從企業戰略的高度審視和評估會計信息安全管控，更要注重各種安全技術和方法的綜合使用，確保能實現從單純的會計信息安全管控向企業全面信息安全管控轉變。其次，要做到管控過程的全面性。要把會計信息安全管控作為核心貫穿到整個企業經營過程中，即從市場調查、產品開發、生產銷售等環節延續到產品售后都要實行相應的會計信息安全管控，確保會計信息從靜態安全管控向動態安全管控轉變，進而實現會計信息的保護、檢測、反應和恢復協調一致。最后，要做到管控人員的全面性。即要求包括企業高管、其他管理人員、工程技術人員和普通員工在內的全體員工都要參與到全面信息安全管控中，各司其職，對會計信息安全負責。

（五）強化會計信息安全管控制度安排。強化企業會計信息安全管控制度建設，不外乎制度本身的完善和既有制度的有效執行。會計信息安全管控制度的完善，就是建立一套完善的會計信息安全管控制度。這既是會計信息本身安全的基礎，也是會計信息安全管控的前提。完善的會計信息安全管控制度至少應該包括會計信息處理系統的開發或選購、使用、維護和應急制度，以及機房和終端等會計信息處理系統物理實體管理制度、會計信息數據的使用制度、會計信息數據備份制度、會計信息安全風險評估制度、會計信息安全審計制度等，實現從會計信息數據采集整理到會計信息數據使用備份的會計信息處理全程制度無縫構建，并隨著企業經營環境的變化適時更新和完善。而既有會計信息安全管控制度的有效執行，則需充分重視企業員工績效考核制度。恰當在企業員工的績效考核中納入企業會計信息安全評估的內容，使其獲得報酬的變量和風險密切關聯于企業會計信息安全。這樣就可以保證企業員工在會計信息安全管控制度的執行方面上，能夠基于企業的長期利益，而不是其個人利益，進而實現既有會計信息安全制度的有效執行。

四、結束語

企業會計信息安全對企業生產經營活動的可持續發展以及對市場經濟的建立健全等方面的作用是不容置疑的。但是，也要看到我國關于企業會計信息安全乃至整個企業信息安全管控實踐和研究的起步較晚，與發達市場經濟國家在初始條件和實踐能力方面還存在一定程度的差距。這是我國企業在進行會計信息安全管控時所必須要考慮到的一個基本現實。因此，本文認為企業會計信息化安全管控，既是一個不斷發現問題和解決問題的過程，也是一個不斷迎接挑戰和接受沖擊的過程。

參考文獻：

[1]張紅旗，王新昌，楊英杰等.信息安全管理[M].北京：人民郵電出版社，2007.

[2]胡英松.信息化會計信息安全問題研究[J].哈爾濱商業大學學報（社會科學版），2009，（4）：83-85.

[3]ISO.ISO/IEC27002：2005[EB/OL].[2015-08-17].https：///obp/ui/#iso：std：iso-iec：27002：ed-1：v1：en.

[4]NSTISSC.Trusted Computer System Evaluation Criteria[EB/OL].[2015-08-17].Available online，http：//csrc.nist.ov/publications/history/dod85.pdf

[5]梅雨.企業財務監控問題解析[J].中國管理信息化，2009，（9）：48-50.

[6]Schultz E.The Human Factor in Security[J].Computers and Security，2005，24（6）：425-426.