企业信息安全保障范文第1篇

 

随着云计算、大数据等新兴技术的不断发展，企业信息化、智能化程度、网络化、数字化程度越来越高，人类社会进入到以大数据为主要特征的知识文明时代。大数据是企业的重要财富，正在成为企业一种重要的生产资料，成为企业创新、竞争、业务提升的前沿。大数据正在成为企业未来业务发展的重要战略方向，大数据将引领企业实现业务跨越式发展;同时，由此带来的信息安全风险挑战前所未有，远远超出了传统意义上信息安全保障的内涵，对于众多大数据背景下涉及的信息安全问题，很难通过一套完整的安全产品和服务从根本上解决安全隐患。

 

自2008年国际综合性期刊《Nature》发表有关大数据(Big Data)的专刊以来，面向各应用领域的大数据分析更成为各行业及信息技术方向关注的焦点。大数据的固有特征使得传统安全机制和方法显示出不足。本文系统分析了大数据时代背景下的企业信息系统存在的主要信息安全脆弱性、信息安全威胁以及信息安全风险问题，并有针对性地提出相应的信息安全保障策略，为大数据背景下的企业信息安全保障提供一定指导的作用。

 

1 大数据基本内涵

 

大数据(Big Data)，什么是大数据，目前还没有形成统一的共识。网络企业普遍将大数据定义为数据量与数据类型复杂到在合理时间内无法通过当前的主流数据库管理软件生成、获取、传输、存储、处理，管理、分析挖掘、应用决策以及销毁等的大型数据集。大数据具有4V特征(Volume，Varity，Value，Velocity)，即数据量大、数据类型多、数据价值密度低、数据处理速度快。

 

2011年麦肯锡咨询公司了《大数据：下一个创新、竞争和生产力的变革领域》[1]的研究报告，引起了信息产业界的广泛关注。美国谷歌公司(Google)、国际商业机器公司(IBM)、美国易安信公司(EMC)、脸书(Facebook)等公司相继开始了大数据应用、分析、存储、管理等相关技术的研究，并推出各自的大数据解决框架、方案以及产品。

 

例如，阿帕奇软件基金会(Apache)组织推出的Hadoop大数据分析框架，谷歌公司推出的BigTable、GFS(Google File System)、MapReduce等技术框架等，这些研究成果为随后的大数据应用迅猛发展提供了便利的条件。2012年3月，美国奥巴马总统了2亿美元的“Big Data Initiative”(大数据研究和发展计划)，该计划涉及能源、国防、医疗、基础科学等领域的155个项目种类，该计划极大地推动了大数据技术的创新与应用，标志着奥巴马政府将大数据战略从起初的政策层提升到国家战略层。

 

同时，我国对大数据的认识、应用及相关技术服务等也在不断提高，企业界一致认同大数据在降低企业经营运营成本、提升管理层决策效率、提高企业经济效益等方面具有广阔的应用前景，相继大数据相关战略文件，同时国家组织在民生、国防等重要领域投入大量的人力物力进行相关技术研究与创新实践。中国移动通信公司在已有的云计算平台基础上，开展了大量大数据应用研究，力图将数据信息转化为商业价值，促进业务创新。

 

例如，通过挖掘用户的移动互联网行为特征，助力市场决策;利用信令数据支撑终端、网络、业务平台关联分析，优化网络质量。商业银行也相继开展了经融大数据研究，提升银行的竞争力。例如，通过对用户数据分析开展信用评估，降低企业风险;从细粒度的级别进行客户数据分析，为不同客户提供个性化的产品与服务，提升银行的服务效率。总而言之，大数据正在带来一场颠覆性的革命，将会推动整个社会取得全面进步。

 

2 大数据安全研究现状

 

在大数据计算和分析过程中，安全是不容忽视的。大数据的固有特征对现有的安全标准、安全体系架构、安全机制等都提出了新的挑战。目前对大数据完整性的研究主要包括两方面，一是对数据完整性的检测;二是对完整性被破坏的数据的恢复。在完整性检测方面，数据量的增大使传统的MD5、SHA1等效率较低的散列校验方法不再适用，验证者也无法将全部数据下载到本地主机后再进行验证。

 

面向大数据的高效隐私保护方法方面，高效、轻量级的数据加密已有多年研究，虽然可用于大数据加密，但加密后数据不具可用性。保留数据可用性的非密码学的隐私保护方法因而得到了广泛的研究和应用。这些方法包括数据随机化、k-匿名化、差分隐私等。这些方法在探究隐私泄漏的风险、提高隐私保护的可信度方面还有待深入，也不能适应大数据的海量性、异构性和时效性。

 

在隐私保护下大数据的安全计算方面，很多应用领域中的安全多方计算问题都在半诚实模型中得到了充分的研究，采用的方法包括电路赋值(Circuit Evaluation)、遗忘传输(Oblivious Transfer)、同态加密等。通过构造零知识证明，可以将半诚实模型中的解决方法转换到恶意模型中。而在多方参与、涉及大量数据处理的计算问题，目前研究的主要缺陷是恶意模型中方法的复杂度过高，不适应多方参与、多协议执行的复杂网络环境。

 

企业大数据技术是指大数据相关技术在企业的充分应用，即对企业业务、生产、监控、监测等信息系统在运行过程中涉及的海量数据进行抽取、传输、存储、处理，管理、分析挖掘、应用决策以及销毁等，实现大数据对企业效率的提升、效益的增值以及风险的预测等。

 

企业的大数据类型通常主要包括业务经营数据即客户信息数据、企业的生产运营与管理数据以及企业的设备运行数据等，即客户信息数据、员工信息数据、财务数据、物资数据、系统日志、设备监测数据、调度数据、检修数据、状态数据等。企业大数据具有3V、3E特征[2]，3V即数据体量大(Volume)、数据类型多(Varity)与数据速度快(Velocity)，3E即数据即能量(Energy)、数据即交互(Exchange)与数据即共情(Empathy)。3 大数据时代企业信息安全漏洞与风险并存

 

大数据时代，大数据在推动企业向着更为高效、优质、精准的服务前行的同时，其重要性与特殊性也给企业带来新的信息安全风险与挑战。如何针对大数据的重要性与特殊性构建全方位多层次的信息安全保障体系，是企业发展中面临的重要课题。大数据背景下，结合大数据时代的企业工作模式，企业可能存在的信息安全风险主要表现在以下三个方面：

 

(1)企业业务大数据信息安全风险：由于缺乏针对大数据相关的政策法规、标准与管理规章制度，导致企业对客户信息大数据的“开放度”难以掌握，大数据开放和隐私之间难以平衡;企业缺乏清晰的数据需求导致数据资产流失的风险;企业数据孤岛，数据质量差可用性低，导致数据无法充分利用以及数据价值不能充分挖掘的风险;大数据安全能力和防范意识差，大数据人才缺乏导致大数据分析、处理等工作难以开展的风险;管理技术和架构相对滞后，导致数据泄露的风险。

 

(2)企业基础设施信息安全风险：2010年，震网病毒[3]通过网络与预制的系统漏洞对伊朗核电站发起攻击，导致伊朗浓缩铀工程的部分离心机出现故障，极大的延缓了伊朗核进程。从此开启了世界各国对工业控制系统安全的重视与管控。对于生产企业，工业生产设备是企业的命脉，其控制系统的安全性必须得到企业的高度重视。随着物理设备管理控制系统与大数据采集系统在企业的不断应用，监控与数据采集系统必将成为是物理攻击的重点方向，越来越多的安全问题随之出现。

 

设备“接入点”范围的不断扩大，传统的边界防护概念被改变; 2013年初，美国工业控制系统网络紧急响应小组(ICS-CERT)预警，发现美国两家电厂的发电控制设备在2012年10月至12月期间感染了USB设备中的恶意软件。该软件能够远程控制开关闸门、旋转仪表表盘、大坝控制等重要操作，对电力设备及企业安全造成了极大的威胁。

 

(3)企业平台信息安全风险： 应用层安全风险主要是指网络给用户提供服务所采用的应用软件存在的漏洞所带来的安全风险，包括： Web服务、邮件系统、数据库软件、域名系统、路由与交换系统、防火墙及网管系统、业务应用软件以及其他网络服务系统等;操作系统层的安全风险主要是指网络运行的操作系统存在的漏洞带来的安全风险，例如Windows NT、UNIX、Linux系列以及专用操作系统本身安全漏洞，主要包括访问控制、身份认证、系统漏洞以及操作系统的安全配置等;网络层安全风险主要指网络层身份认证，网络资源的访问控制，数据传输的保密性与完整性、路由系统的安全、远程接入、域名系统、入侵检测的手段等网络信息漏洞带来的安全性。

 

4 企业大数据信息安全保障策略

 

针对大数据时代下企业可能存在的信息安全漏洞与风险，本文从企业的网络边界信息安全保障、应用终端信息安全保障、应用平台信息安全保障、网络安全信息安全保障、数据安全信息安全保障等多方面提出如下信息安全保障策略，形成具有层次特性的企业信息安全保障体系，提升大数据时代下的企业信息安全保障能力。

 

4.1企业系统终端——信息安全保障策略

 

对企业计算机终端进行分类，依照国家信息安全等级保护的要求实行分级管理，根据确定的等级要求采取相应的安全保障策略。企业拥有多种类型终端设备，对于不同终端，根据具体终端的类型、通信方式以及应用环境等选择适宜的保障策略。确保移动终端的接入安全，移动作业类终端严格执行企业制定的办公终端严禁“内外网机混用”原则，移动终端接入内网需采用软硬件相结合的加密方式接入。配子站终端需配置安全模块，对主站系统的参数设置指令和控制命令采取数据完整性验证和安全鉴别措施，以防范恶意操作电气设备，冒充主站对子站终端进行攻击。

 

4.2企业网络边界——信息安全保障策略

 

企业网络具有分区分层的特点，使边界不受外部的攻击，防止恶意的内部人员跨越边界对外实施攻击，在不同区的网络边界加强安全防护策略，或外部人员通过开放接口、隐蔽通道进入内部网络。在管理信息内部，审核不同业务安全等级与网络密级，在网络边界进行相应的隔离保护。按照业务网络的安全等级、实时性需求以及用途等评价指标，采用防火墙隔离技术、协议隔离技术、物理隔离技术等[4]对关键核心业务网络进行安全隔离，实现内部网与外部网访问资源限制。

 

4.3企业网络安全——信息安全保障策略

 

网络是企业正常运转的重要保障，是连接物理设备、应用平台与数据的基础环境。生产企业主要采用公共网络和专用网络相结合的网络结构，专用网络支撑企业的生产管理、设备管理、调度管理、资源管理等核心业务，不同业务使用的专用网络享有不同安全等级与密级，需要采取不同的保障策略。网络弹性是指基础网络在遇到突发事件时继续运行与快速恢复的能力。

 

采用先进的网络防护技术，建立基础网一体化感知、响应、检测、恢复与溯源机制，采取网络虚拟化、硬件冗余、叠加等方法提高企业网络弹性与安全性;对网络基础服务、网络业务、信息流、网络设备等基础网络环境采用监控审计、安全加固、访问控制、身份鉴别、备份恢复、入侵检测、资源控制等措施增强网络环境安全防护;在企业网络中，重要信息数据需要安全通信。针对信息数字资源的安全交换需求，构建企业的业务虚拟专用网。在已有基础网络中采用访问控制、用户认证、信息加密等相关技术，防止企业敏感数据被窃取，采取建立数据加密虚拟网络隧道进行信息传输安全通信机制。

 

4.4企业应用系统平台——信息安全保障策略

 

应用系统平台安全直接关系到企业各业务应用的稳定运行，对应用平台进行信息安全保障，可以有效避免企业业务被阻断、扰乱、欺骗等破坏行为，本文建议给每个应用平台建立相应的日志系统，可以对用户的操作记录、访问记录等信息进行归档存储，为安全事件分析提供取证与溯源数据，防范内部人员进行异常操作。

 

企业应用平台的用户类型多样，不同的应用主体享有不同的功能与应用权限，考虑到系统的灵活性与安全性，采用基于属性权限访问控制[5]、基于动态和控制中心访问权限控制[6]、基于域访问权限控制[7]、基于角色访问控制等访问控制技术;确保企业应用平台系统安全可靠，在应用平台上线前，应邀请第三方权威机构对其进行信息安全测评，即对应用平台系统进行全面、系统的安全漏洞分析与风险评估[8]，并制定相应的信息安全保障策略。4.5企业大数据安全——信息保障策略

 

大数据时代下，大数据是企业的核心资源。企业客户数据可能不仅包含个人的隐私信息，而且还包括个人、家庭的消费行为信息，如果针对客户大数据不妥善处理，会对用户造成极大的危害，进而失信于客户。目前感知大数据(数据追踪溯源)、应用大数据(大数据的隐私保护[9]与开放)、管控大数据(数据访问安全、数据存储安全)等问题，仍然制约与困扰着大数据的发展。大数据主要采用分布式文件系统技术在云端存储，在对云存储环境进行安全防护的前提下，对关键核心数据进行冗余备份，强化数据存储安全，提高企业大数据安全存储能力。

 

为了保护企业数据的隐私安全、提高企业大数据的安全性的同时提升企业的可信度，可采用数据分享、分析、时进行匿名保护已经隐私数据存储加密保护措施来加强企业数据的隐私安全，对大数据用户进行分类与角色划分，严格控制、明确各角色数据访问权限，规范各级用户的访问行为，确保不同等级密级数据的读、写操作，有效抵制外部恶意行为，有效管理云存储环境下的企业大数据安全。

 

5 结束语

 

随着信息技术的快速革新，数据正以惊人的速度积累，大数据时代已经来临了;智能终端和数据传感器成为大数据时代的数据主要来源。大数据在推动企业不断向前发展给企业提供了更多机遇的同时，也给企业的应用创新与转型发展带来了新的信息安全威胁、信息安全漏洞以及信息安全风险。传统的信息安全保障策略已经无法满足大数据时代的信息安全保障需求。怎样做好企业大数据信息安全保障、加强信息安全防护、建设相关法律法规将是大数据时代长期研究的问题。

企业信息安全保障范文第2篇

［关键词］ 信息安全保障体系； 中国石油； 企业

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 09. 054

［中图分类号］ TP309 ［文献标识码］ A ［文章编号］ 1673 - 0194（2012）09- 0089- 02

1 信息安全保障体系概述

信息安全保障（Information Assurance，IA）来源于1996年美国国防部DoD指令5－3600．1（DoDD5－3600．1）。其发展经历了通信安全、计算机安全、信息安全直至现在的信息安全保障。内容包括保护（Protection）、检测（Detection）、响应（Response）、恢复（Recovery） 4个环节，即PDRR模型。

信息安全保障体系分为人员体系、技术体系和管理体系3个层面，人员体系包括安全人员的岗位与职责、全体工作人员的安全管理两部分。技术体系由本地计算环境、区域边界、网络基础设施及支撑性基础设施组成。管理体系包括建立完善的信息安全管理体系、构建自上而下的各级信息安全管理组织架构、制定信息安全方针与信息安全策略及完善信息安全管理制度4个板块。通过纵深防御的多层防护，多处设置保护机制，抵御通过内部或外部从多点向信息系统发起的攻击，将信息系统的安全风险降低到可以接受的程度。

2 国外信息安全保障体系建设

美国的信息化程度全球最高，在信息技术的主导权和网络上的话语权等方面占据先天优势，他们在信息安全保障体系建设以及政策支持方面也走在全球的前列。美国政府先后了一系列政策战略报告，将信息安全由“政策”、“计划”上升到“国家战略”及“国际战略”的高度。美国国土安全局是美国信息安全管理的最高权力机构，其他负责信息安全管理和执行的机构有国家安全局、联邦调查局、国防部、商务部等，主要根据相应的方针和政策结合自己部门的情况实施信息安全保障工作。

其他国家也都非常重视信息安全保障工作。构建可信的网络，建设有效的信息安全保障体系，实施切实可行的信息安全保障措施已经成为世界各国信息化发展的主要需求。信息化发展比较好的发达国家，如俄、德、日等国家都已经或正在制定自己的信息安全发展战略和发展计划，确保信息安全沿着正确的方向发展，在信息安全领域不断进行着积极有益的探索。

3 国内信息安全保障体系建设

我国信息化安全保障体系建设相对于发达国家起步较晚，2003年9月，中央提出要在5年内建设中国信息安全保障体系。2006年9月，“十一五”发展纲要提出科技“支撑发展”的重要思想，提出要提高我国信息产业核心技术自主开发能力和整体水平，初步建立有中国特色的信息安全保障体系。2007年7月20日，“全国重要信息系统安全等级保护定级工作电视电话会议”召开，标志着信息安全等级保护工作在全国范围内的开展与实施。2011年3月《我国国民经济和社会发展十二五规划纲要》明确提出加强网络与信息安全保障工作。通过一系列的文件要求，不断完善与提升我国的信息安全体系，强调信息安全的重要性。

我国信息安全保障体系建设主要包括：① 加快信息安全立法、建立信息安全法制体系，做到有法可依，有法必依。② 建立国家信息安全组织管理体系，加强国家职能，建立职能高效、职责分工明确的行政管理和业务组织体系，建立信息安全标准和评价体系。③ 建立国家信息安全技术保障体系，使用科学技术，实施安全的防护保障。④ 在技术保障体系下，建设国家信息安全保障基础设施。⑤ 建立国家信息安全经费保障体系，加大信息安全投入。⑥ 高度重视人才培养，建立信息安全人才培养机制。

我国通过近几年的努力，信息安体保障体系取得了长足发展，2002年成立了全国信息安全标准化技术委员会，不断完善信息安全标准。同时在互联网管理、信息安全测评认证、信息安全等级保护工作等方面取得了实质性进展，但CPU芯片、操作系统与数据库、网关软件仍大多依赖进口，受制于人。

4 企业信息安全保障体系建设

中国石油集团公司信息化建设在我国大型企业中处于领先地位，在国资委历年信息化评比中，都名列前茅，“十一五”期间，公司将企业信息安全保障体系建设纳入信息化整体规划中，并逐步实施。其中涉及管理类项目3个，控制类项目3个，技术类项目5个。

管理类项目包括信息安全组织完善、信息安全运行能力建设、风险评估能力建设3个项目。信息安全组织完善是指完善信息安全的决策、管理与技术服务组织，合理配置岗位并明确职责，建立完备的管理流程，为信息安全建设与运行提供组织保障。信息安全运行能力建设内容包括建立统一、完备的信息安全运行维护流程及组织IT运行维护人员信息安全技能培训，较快形成基本的信息安全运行能力。风险评估能力建设是指通过建立风险评估规范及实施团队，提高信息安全风险自评估能力和风险管理能力，强化保障体系的有效性。

信息安全控制类项目涉及信息安全制度与标准完善、基础设施安全配置规范开发、应用系统安全合规性实施3个项目。信息安全制度与标准完善包括：① 初步构建了制度和标准体系，了《信息系统安全管理办法》及系统定级实施办法。② 建立和完善了信息系统安全管理员制度，开展了信息安全培训。③ 跟踪国家信息安全等级保护政策，开展信息系统安全测评方法研究等，规范了信息系统安全管理流程，提升安全运行能力。基础设施安全配置规范开发目标是制定满足安全域和等级保护要求的信息技术基础设施安全配置规范，提高信息技术基础设施的安全防护能力。应用系统安全合规性实施是提供专业的信息安全指导与服务，支持国家等级保护、中国石油内部控制等制度的实施，使信息化建设与应用满足合规性要求。

信息安全技术类项目由身份管理与认证、网络安全域实施、桌面安全管理、系统灾难恢复、信息安全运行中心5个项目组成。身份管理与认证是指建成集中身份管理与统一认证平台，实现关键和重要系统的用户身份认证，提高用户身份管理效率，保证系统访问的安全性。网络安全域包括广域网边界防护、广域网域间与数据中心防护、广域网域内防护3项内容。广域网边界防护是指将全国各地的中国石油单位的互联网集中统一到16个区域网络中心，员工受控访问互联网资源，并最终实现实名制上网。广域网域间与数据中心防护项目指建立。区域间访问与防护标准、数据中心防护标准。广域网域内防护将分离其他网络并制定访问策略，完善域内安全监控手段和技术，规范域内防护标准。桌面安全管理项目包括防病毒、补丁分发、端点准入、后台管理、电子文档保护和信息安全等级保护综合管理6个子系统。系统灾难恢复包括：① 对数据中心机房进行了风险评估，提出了风险防范和改进措施。② 对已上线的18个信息系统进行业务影响分析，确定了灾难恢复关键指标。③ 制定整体的灾备策略和灾难恢复系统方案。信息安全运行中心旨在形成安全监控信息汇总枢纽和信息安全事件协调处理中心，提高对信息安全事件的预警和响应能力。

5 存在问题及建议

中国石油作为国资委超大型企业和能源工业龙头企业，集团领导和各级领导，一贯重视信息安全工作，在落实等级保护制度，加强信息安全基础设施建设，深入开展信息安全战略、策略研究等方面，都取得的丰硕成果，值得其他企业借鉴。公司在信息安全保障体系建设中还存在以下问题：

（1） 信息安全组织体系不够健全，不能较好地落实安全管理责任制。目前，部分二级单位没有独立的信息部门，更没有负责安全体系建设、运行和管理的专职机构，安全的组织保障职能分散在各个部门，兼职安全管理员有责无权的现象普遍存在，制约了中国石油信息安全保障体系建设的发展。需强制建立从上至下完善的管理体系，明确直属二级单位的信息部门建设，岗位设定、人员配备满足对信息系统管理的需求。

企业信息安全保障范文第3篇

关键词：企业档案信息安全风险识别风险控制

企业档案是企业知识资产和信息资源的重要组成部分，[1]是企业各方面活动的真实记录，对企业市场活力提升、制度改革和文化建设等有至关重要作用。企业档案信息安全管理是企业安全管理的重要组成部分，提前识别企业档案信息管理存在的安全风险，有利于采取有效控制手段规避风险，促进企业档案安全管理建设，防患于未然。本文以H企业为例，在调研基础上探讨企业档案信息存在的安全风险及控制手段。

一、H企业概况

H企业成立于2013年，主要经营金融板块、产业发展板块、城市功能性设施板块和出资人板块等四大业务板块，是战略性投资的融资平台和产业项目、城市功能性项目的先行战略投资者。[2]随着公司的发展壮大，档案数量呈现指数级增长趋势。H企业档案工作实行二级管理制，第一级管理是指由公司综合部负责统筹管理全公司的文书档案工作，第二级管理是指各部门负责本部门的档案资料使用管理工作。综合部的档案按文书、科技、财务、人事、声像、实体6种档案类别进行分类整理，公司用OA系统对电子文件进行日常管理，将部分重要的纸质档案进行数字化扫描，加以保存。

二、企业档案信息安全风险要素识别

企业档案信息安全风险要素识别是对企业档案信息安全管理工作中存在的薄弱环节进行确认。[3]在对H企业调研的基础上，将其所面临的企业档案信息安全风险要素划分为组织风险要素、人员风险要素与技术风险要素。

（一）组织风险要素

一是，企业重视程度低。企业档案信息效益的产生具有隐蔽性和延迟性，隐蔽性即档案部门投入清晰性和收益模糊性之间的矛盾，延迟性即档案工作的效益要在很长一段时间后才可能显现。[4]企业档案信息无法快速创造经济效益的特点使企业对其重视程度较低，档案信息安全管理投入的资金、人力较少。以H企业为例，文书档案工作人员仅一人且为兼管人员，档案管理投入资金少，专门存放档案的档案柜和档案安全管理设备至今尚未配备，档案信息安全管理专业技术人员、设施设备的缺乏给企业档案信息安全带来了巨大风险。

二是，档案安全管理制度缺失。企业迫切需要的档案安全开发、利用及电子文件长期保存等相关标准尚未制定，且存在与企业档案工作实际相脱节的情况。[5]以H企业为例，企业成立至今已4年，但尚未建立健全的档案安全管理制度体系。面对企业档案数量剧增与档案安全管理制度缺失之间的尖锐矛盾，企业档案工作者在处理文档工作时无章可循，业务工作缺乏规范性，企业档案信息安全管理工作缺乏制度的监督约束，档案信息安全缺口随之扩大。

（二）人员风险要素

企业档案管理岗位人员流动性大是造成档案泄密的主要原因。档案工作者的信息安全意识和素质水平会直接影响档案信息的安全。[6]以H企業为例，专职人员自2013年来更换了4人，企业档案管理岗位人员可直接接触记录企业生产经营、战略发展及科研技术等重要档案信息，随着企业人员离职跳槽向其他公司、行业流动，这部分涉及原企业商业机密的档案信息极可能随之外泄。

企业员工档案安全管理意识弱也会带来安全风险。譬如，各部门档案收集移交不及时，会对企业档案信息的完整性带来风险；各部门在档案整理、利用中造成档案载体损毁对企业档案信息的可用性带来风险；企业人员出于自身利益篡改档案信息内容，给企业档案信息的真实性带来风险等。

（三）技术风险要素

一是，信息系统及硬件故障。信息系统不稳定会导致档案信息数据丢失与损坏，硬件设施故障也会给档案信息安全带来风险。以H企业为例，公司日常行文均通过OA系统实现，OA系统中流转大量企业管理信息，H企业的OA系统分别于2015年8月及2016年3月出现异常引起系统崩溃，导致部分企业信息数据丢失且无法恢复。

二是，电子文件安全保障技术不成熟。如何保证企业档案系统中电子档案的安全，是现阶段企业档案安全管理的重难点。企业电子文件信息安全保障技术不成熟，会危及电子文件安全和正常运用。一旦系统遭遇病毒、黑客侵扰或信息载体物理损伤、设备技术障碍等，都会给电子文件带来无可挽回的损失。

三、企业档案信息安全风险控制对策

（一）从制度层面进行控制

1.企业档案信息安全管理制度的建立健全。健全的企业档案信息安全管理制度应包括以下几个方面：一是，企业档案日常安全管理制度，如档案保密制度、档案安全检查制度和档案安全追责制度等，明确企业各部门、人员的职责，建立档案信息安全管理的长效机制；二是，企业电子文件安全管理制度，确保电子档案信息存储、读取、利用过程的安全可靠；三是，应急响应制度，建立档案信息安全应急预案，提高企业档案管理部门应对自然灾害及突发事件的能力；四是，应急处理制度，对企业档案信息安全风险发生后，能在第一时间采取相应措施进行处理，将风险损失降至最低。

2.企业档案信息安全管理制度的适用。以企业档案信息安全管理制度的适用来实现对档案信息安全风险控制，主要从以下两个方面着手：一方面，不同企业形成的档案信息各有特点，安全保障要求各有不同，企业应根据本单位档案信息安全保障的实际需求，制定符合本企业特点与需求的档案信息安全管理制度。另一方面，企业档案信息安全风险要素具有动态性，企业档案信息安全管理制度应随着新技术、新风险的出现不断完善和更新，保证档案信息安全管理制度在多变的信息安全风险环境中的适用性。

3.企业档案信息安全管理制度的执行。档案工作者是规章制度的执行者，执行力度的大小关系到档案安全管理工作水平。[7]首先，企业应严格要求档案工作者照章管理档案，自上而下确保档案信息安全管理制度的执行，将制度的执行纳入企业管理运行程序，将公司档案管理纳入制度化轨道。其次，企业管理层要监督企业档案信息安全管理制度的执行情况，将制度的执行与员工绩效考核挂钩，定期对制度的执行情况进行评估并根据评估结果进行相应的奖惩。

（二）从管理层面进行控制

1.分级管理。分级管理即对企业档案信息和风险控制消减等工作进行安全等级评定，以最少的成本投入获得最大的档案信息安全保障效果。企业可根据档案信息对企业生产发展作用价值大小、涉密与否来划分重点档案和普通档案。企业档案中涉及企业商业机密，记录企业核心竞争力信息的这部分档案是企业发展的重要战略资源，如企业的项目档案、科技档案、客户资料以及反映企业发展历程的重大事件相关档案等，可划分为重点档案，其余日常业务工作中形成的文书档案等可划分为普通档案。在对所有档案进行安全管理的同时，对重点档案信息的安全进行重点监控，不同重要等级的档案进行分级管理。

2.人员管理。通过人员管理来控制企业档案信息安全风险的方式有：第一，倡导员工终身学习，针对企业档案信息安全内涵的拓展、风险要素的类型、应对风险的技术等内容定期开展档案信息安全管理培训，丰富企业员工档案信息安全保护理论知识，提高档案信息安全保护技能水平。第二，注重对企业员工职业道德的培养，使守护企业档案信息安全，严守企业档案机密信息的岗位职责内化为员工的职业道德。第三，注重企业文化的建设，培养员工对企业的认同感和归属感，减少因员工离职或跳槽而造成企业机密档案信息泄露。

3.动态管理。企业档案信息安全是企业生产经营安全的重要组成部分，伴随企业生存发展的始终。[8]档案安全管理面临的各类风险要素中，每种要素都处于不断变化之中，某一要素的变化会引起其他要素的联动变化。[9]因此企业应对档案信息安全实施动态管理，即随着新的风险点的产生，相应的保护方案、制度也应随之保持动态发展。此外，动态管理还体现在与外界的动态关联上，企业要与外部社会环境保持良好沟通联系，及时掌握档案信息风险变化的新动态。

（三）从技术层面进行控制

1.档案信息安全技术的应用。信息安全技术指用于保障信息、信息系统和网络安全的技术。[10]档案信息安全技术是电子档案信息安全的有力保障，企业可针对不同安全属性的档案信息采用不同的信息安全技术。在数据安全技术、网络安全技术和档案管理系统用户安全技术等方面强化保护措施，运用信息技术提高企业档案工作效率的同时，也保证企业档案信息的安全。

2.档案信息安全技术的更新。档案信息安全建设是基础性的长期工作，构建全面、能力可持续增长的安全防御体系才能保证档案信息系统的长期安全稳定运行。[11]档案信息安全技术是不断发展的，企业应及时了解和掌握最新的计算机病毒、黑客技术等档案信息存在的潜在风险，关注信息技术的更新动态，确保企业应用的档案信息安全技术与时俱进，为企业档案信息安全保驾护航。

四、结论

企业档案信息安全是企业生产经营安全的重要组成部分，伴随企业生存发展的始终。人员风险要素、组织风险要素与技术风险要素三者综合构成威胁企业档案信息安全的风险要素，为保障企业档案信息安全必须从管理、制度、技术三个层面三管齐下对这些风险要素进行有效控制，深入贯彻“预防为主，防治结合”的方针，保障企业档案信息安全无虞，让企业档案信息更好地服务于企业的发展。

参考文献： 

[1]DA/T 42—2009.企业档案工作规范[S]. 

[2]中国—马来西亚钦州产业园区工管委办公室.中国—马来西亚钦州产业园区简介[EB/OL].[2017-11-01].http：//qip.gov.cn/News/Detail/d3ad5db6- 9c0e- 435aa290-9f91a75beecc. 

[3]张霞.档案安全风险评价指标的建立及其实现[J].青海师范大学学报（哲学社会科学版），2014（2）：165-167. 

[4]冯惠玲，张辑哲.档案学概论[M].北京：中国人民大学出版社，2006：107-108. 

[5]康旭冉.企业档案安全保障体系建设研究[D].河北大学，2014：6. 

[6]宗文萍.基于价值链理论的档案信息安全管理[J].档案学研究，2015（1）：34-36. 

[7][9]张锦云，秦垒.基于动态风险评估视角的档案安全管理研究[J].浙江档案，2017（2）：11-13. 

[8]吴绪成.企业档案信息安全策略简论[J].中国档案， 2012（4）：62. 

[10]聶云霞，张加欣，甘敏.信息生态视域下数字档案用户信息安全保障系统构建研究[J].档案学研究，2017（1）： 66-72. 

企业信息安全保障范文第4篇

1.1对网络环境的规范作用

随着计算机网络技术的广泛应用,网络己经成为我国国民生活的一部分,信息传播速度的不断提升和观念交流的及时有效逐渐的形成了对网络环境的威胁。网络环境是确保网络信息安全、健康的基础,只有确保网络环境的清洁,网民的信息安全才有所保障。推进内网信息安全保障体系的建设对网络环境有一定的规范作用。首先,内网信息安全保障体系是针对网络信息安全这项内容的,而该项内容是网络环境中极为重要的部分,网民之间的信息交流构成网络环境的基础。保障体系的建立能够有效地提高网络环境的清洁力度。其次,内网信息安全保障体系的建立有利于加强局域网络的稳定性,减少因网络故障导致的全网瘫痪。

1.2对用户信息安全的保障作用

网络用户的信息安全一直都是网络平台信息管理者需要关注的重点。随着网络用户数量的增加,网络安全问题逐渐凸显,部分网民私人信息泄露己经成为网络常态。建设内网信息安全保障体系对用户信息安全有着积极的意义。一方面,内网信息安全要求工作者将网络信息进行管理,并利用一定的网络技术保护网民的信息资料安全;另一方面,内网信息安全保障体系在建设过程中不断地完善自身的应用技术,对推动网络平台的稳定十分有利,从而能够确保用户的资料安全。

2内网安全风险分析

与外网的信息安全相比,内网的信息安全工作的开展具有—定的困难,网络黑客虽然不容易经由翻墙技术进入局域网盗窃信息或者进行破坏活动,但通过局域网内部人员的关系,内网信息安全就有极大的安全隐患。1内网安全保障技术的防护性能不''''强,不能很好地开展网络信息安全保障工作。内网使用人员在进行信息交流时,其网络信息的安全保障技术并没有较大的技术性,简单的黑客技术就能够将内网信息掌控到手。这是由多方面因素造成的。第一,内网技术维护人员并没有设定专门的安全保障技术,部分信息共享、使用等都只通过简单口令的保护,防护手段不到位,另外,一些研发阶段的技术也没有提供专业的安全防护,导致数据和资料丢失现象较常见。2内网工作人员的信息安全防护意识不强。内网的使用大部分都是统一范围内的单位员工或企业职员。这些人对内网各部分信息都十分熟悉,因此,从一定程度上讲,该网络内部的工作人员是威胁网络安全的重要部分。员工渠道的信息泄露包括员工有意进行的泄露和员工无意开展的行为。一方面,部分员工的职业素质不高,对所在企业的归属感不强,对企业重要资料的安全防护意识也就相对较弱,在被不法分子利用后,这部分员工极易成为网络信息安全的最大威胁。另一方面,相当一部分员工对企业的重要资料的重视程度较高,但其对安全保障措施的运用却不灵活,对技术保护不甚了解,因此,会出现无意的信息泄露,进而影响企业的资料安全。内部信息泄露手段主要有:资料的复制、电子邮件通信、办公电脑与私人电脑混用、文件共享等,这些途径不仅简单快捷,节约时间,同时还是技术难度较低的行为。

3推进内网信息安全保障体系建设

内网信息安全保障体系的建设需要工作人员结合其信息安全常出现的问题进行技术改进和工作落实。

3.1规范网络节点接入,减少信息安全隐患

我国目前的网络接入状态是,非内网成员可以通过一定的技术轻松访问内部网络,这一现象一方面是由于现代化的楼宇布线技术导致的,另一方面,科学技术的进步降低了内网接入的难度。非内网成员在进入内网后,对内网信息的安全形成威胁,部分核心数据面临着被盗用泄露的风险,因此,工作人员需要针对这一问题展开工作,及时的发现未知接入点的存在,并根据其性质进行隔离处理,减少信息泄露的可能。非法接入点的规范工作还包括对计算机IP地址的转变进行及时的记录和分析,当该IP的转换对局域网内部信息的安全造成威胁时,工作人员要对该网络进行阻断。病毒库的更新也是保障内网信息安全的要素之一。内网的组成是多台计算机的连接,这些计算机组中性能较差或者应用技术较落后的计算机往往是网络安全工作中的重点,黑客在侵入内网时多选择在这一端口进入。因此,企业需要及时的进行病毒库的更新,保障计算机的安全,降低黑客入侵的可行性。

3.2完善内网信息监控系统,确保信息安全使用

内网信息的安全不仅需要一定的技术支持,也需要有完善的内网监控系统的辅助。内网中各种先进科学技术的应用以及软件等的配合都为监控工作的进行提供了可能。运行软件、设备、网络拓扑等都能够积极参与到网络信息安全监控中来。工作人员需要针对不同的现象幵展相应的工作,如中断运行异常的软件,控制移动设备在办公主机上的运用,监控系统运行情况等。实时监控的进行是保障信息基本安全的有力措施,同时,企业需要对监控措施的管理工作进行人员安排,确保监控力度到位。

3.3结合安全保障技术和安全管理理念,维护内网信息安全

企业的内网信息安全离不开技术和管理理念的支持,只有这两者协作才能够确保企业内部工作的安全。1企业需要对内网的安全保障技术进行革新,及时的应用先进的科学技术,对计算机组进行定期维护和系统升级,确保其功能的稳定,减少系统漏洞的出现。积极鼓励技术人员学习新知识,完善自身的知识储备,研发出有自主知识产权的设备和系统,推动自身网络技术的发展。2企业需要进行规章制度的建立。①企业要制定出完善的符合社会发展要求的网络信息安全等级,为技术人员开展网络信息维护提供数据参照:②企业要对办公电脑和核心数据的使用人进行管理;③加强对内网各环节的管理,保障数据访问的设备安全。

4结束语

企业信息安全保障范文第5篇

[关键词] 网络时代；企业信息安全；风险；控制

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2015 . 17. 037

[中图分类号] F270.7 [文献标识码] A [文章编号] 1673 - 0194（2015）17- 0072- 02

随着社会经济的不断发展，网络时代逐渐进入人们的生活，计算机被运用在了各个领域中，成为促进社会发展的重要媒介。而与此同时，企业信息安全问题也逐渐凸显出来，严重阻碍了企业的可持续发展，因此，在网络时代背景下研究企业安全风险和控制具有重要意义。

1 企业信息安全相关概述

1.1 信息安全的含义

迄今为止，对信息安全依然没有一个统一和公认的定义。但是从国内外研究来看，对其主要存在2种说法：一种指的是具体信息安全技术系统的安全；而另一种则指的是某些特定的信息体系的安全。上述2种定义主要站在静态的角度上阐述了信息安全的基本层面，但是信息系统和网络的影响决定了信息安全是一个动态的改变，其主要是防止企业信息遭到恶意泄露、破坏、更改[1]。信息安全的最终目的是向合法的对象提供安全、可靠的信息。

1.2 信息安全在企业中发挥的重要作用

企业信息作为企业的宝贵资源，保证企业信息的安全性对企业的生存和发展具有重要作用，主要体现在以下3个方面：一是企业信息安全是保障企业正常运行的基本前提。在网络时代背景下，企业信息安全的内容更广泛，再加上现代企业制度的不断建立和完善，越来越多的企业依靠信息数据库开展各项工作，例如：对于市场情况的分析、做出重大决策等等。二是保障企业信息安全是提高企业市场竞争力的必备条件。随着市场经济的不断完善，企业面临的竞争也越来越激烈，在这种形势下，企业要想获取市场竞争优势就需要依靠信息安全来实现。三是企业信息安全作为企业发展战略中重要的组成部分，而企业实施各项战略主要是通过自身的经营活动、财务信息等开展的，这些数据也能够将企业的战略实施方法以及下一步计划详细地反应出来，因此，如果企业的信息安全无法得到保障，那么企业要实施各项战略难度也很大。

2 网络时代下企业信息安全风险分析

2.1 缺乏高度的信息安全风险意识

在网络时代的浪潮下，很多企业都在逐步加强自身信息安全的建设，通过加大资金投入、创新技术等措施来保障自身的信息安全，然而，对信息风险的控制并非仅仅依靠技术就可以实现，更重要的是人们要树立起信息安全的风险意识。但是从当前来看，还有很大一部分企业的领导者、管理者、员工缺乏对信息安全风险的高度重视，主要表现在：个别人甚至片面地认为信息安全仅仅是网络部门的责任，跟自身没有多大关系；二是有个别企业领导者认为对信息安全的宣传过度夸张，遭受网络攻击的概率小，一般不会发生在自己身上；三是个别企业没有建立信息安全风险管理体系，再加上企业缺乏具体的故障系统，导致企业信息安全遭到风险时，员工往往手足无措，虽说有些企业针对自身的信息安全制定了一系列规章和制度，但是由于缺乏针对性和操作性，导致这些制度无法得到真正落实。

2.2 应用系统的安全性不高

企业要实现信息化建设的目的，少不了各种应用系统作支撑，但是从实际情况来看，很多企业还存在着应用系统的安全性不高等问题，进而导致企业在数据传输和存储等方面存在漏洞。如此容易被一些病毒、恶意软件窃取，实现非法访问，进而引发企业信息丢失或者泄露等安全风险。另外，很多企业应用系统的安全方模式也较为单一，绝大部分主要是采用“口令”的方式进行认证，无法实现对信息安全全方位的防范。另外，企业设置的密码过于简单、操作不规范等等都会增加应用系统安全的风险。

2.3 技术设备和设施的作用发挥不足

个别企业为了防范信息安全风险，针对一些重要信息设置了安全设备，但是由于操作条件和参数设施不够合理，无法将这些设备的作用充分发挥出来。还有很多企业没有通过建立工作日志来对安全设备、设施的运行情况进行监控，进而不能根据企业的经营情况对信息安全进行风险控制，更无法采取有效措施保障企业风险管理。

3 网络时代下控制企业信息安全风险途径分析

3.1 加强信息安全教育，提高信息安全风险意识

由于在企业信息安全控制中，提高员工的信息安全意识是保证企业信息安全的决定性因素，因此，企业应该加强对员工的信息安全教育，帮助员工树立起信息安全风险意识，例如：企业可以利用一些重大节日开展关于信息安全的演讲比赛、征文比赛，也可以通过建立适当的激励制度以及开展培训活动等途径来加强员工对信息安全重要性的认识，进而提高自身的信息安全风险防范意识和观念。

3.2 加强信息化建设，设置信息安全管理部门

在企业信息化建设中，信息安全作为重要的基础，企业要强化自身的内部控制，就应该落实信息安全的建设工作。加强信息化建设首先需要企业将信息安全纳入安全管理范围内，进而突出信息安全建设管理的重要地位；然后不断健全信息安全的责任制度，争取形成信息安全联动管理机制，确保信息安全管理的有效性；最后，在企业中设置信息安全管理机构，该部分的主要职能为企业信息安全建设、管理以及员工的信息安全教育培训工作等，从而为企业的信息安全风险控制创建一个良好的内部环境[2]。

3.3 运用新技术，加强信息安全风险防范

当前控制信息安全风险常见的主要有VPN技术和防火墙技术：（1）VPN技术。VPN主要指的是在公共网络的虚拟专用网络中建立一个临时的安全链接，在通常情况下，对VPN内部进行扩展可以实现远程操作，建立一条分公司、商业合作商和供应商跟公司内部网络安全联系，从而确保信息交换的安全性，保证数据传输的安全性。（2）防火墙技术。防火墙也被称为访问控制系统，主要是通过对网络做拓扑结构和服务类型上的隔离来保障网络安全。运用防火墙技术可以保证企业的内部网络免受外部网络的侵占，并阻断非法访问的外部网络进入企业内部网络，保证企业信息和资源的安全。

4 结 语

总之，网络时代的产生为企业发展创造了新的模式和发展契机，但与此同时，企业的信息安全也面临着很大的威胁，在很大程度上制约了企业的可持续发展。要实现对企业信息安全风险的控制，首先应该找准企业信息安全的风险点，然后采取对应措施，如：加强信息安全教育、加强信息化建设、运用新技术等几个方面来控制信息安全风险。

主要参考文献