加強信息安全管理精品(七篇)

序論：寫作是一種深度的自我表達。它要求我們深入探索自己的思想和情感，挖掘那些隱藏在內心深處的真相，好投稿為您帶來了七篇加強信息安全管理范文，愿它們成為您寫作過程中的靈感催化劑，助力您的創作。

篇(1)

關鍵詞：校園網；校園網信息；安全管理

中圖分類號：G647 文獻標識碼：A文章編號：1007-9599 (2011) 11-0000-02

To Strengthen the Campus Network Information Security Management

Liu Yong

(Guangdong Maoming Shi Gaoji Jigong Xuexiao,Maoming525000,China)

Abstract:Rapid development in information technology today,the campus network has penetrated into the campus life of each person,but the corresponding situation is a campus network information security has become increasingly prominent,which threaten the normal operation of the campus network,the consequences of the campus network breakdown,school work can not be carried out,serious influence the school is in normal operation,therefore,to strengthen the campus network security management is very important.

Keywords:Campus network;Campus network information;Security management

一、引言

前年茂名市政府免費為我校提供了一條10M的政府網光纖，我校由此組建了校園網。校園網的組建后，學校辦公自動化得以實現，校內的教師與互聯網世界的聯系也越來越緊密，極大的提高了學校的教學水平和辦公效率。但是隨著校園網逐漸深入到我們每一教師的教學和工作當中，網絡所常見的問題也一并出現在我們每一位教師的面前，例如有些教師經常使用U盤在校內的電腦上進行交換數據的操作；或者在上網時隨意下載文件等原因，經常就導致了校內某些電腦中病毒，而中毒后的電腦自然就會對正在正常運行的校園網系統造成威脅，出現大量無效數據堵塞校園網網絡，使網絡出現突然變得緩慢等現象，甚至在蠕蟲泛濫的局域網中，使校園網癱瘓的事件屢有發生，所以我們必須加強校園網信息安全管理，從而確保校園網安全、穩定、高效地運行。

二、校園網信息安全的解決思路

校園網通過信息接入點與外部互聯網相連，校園范圍內部所有計算機所組成的局域網我們將其稱為內網；信息接入點外部的網絡我們將它稱為外網?；谫Y金、設備和技術所限，我們校園網信息安全最主要的工作是保證內網的安全、穩定、高效地運行。這要求我們從兩方面入手：分別是校園網主干網絡設備的安全和校園網的安全使用

（一）校園網內網的安全

由于資金、設備和技術所限，校園網外部的網絡信息安全我們不用考慮，也輪不到我們去考慮，我們要充分考慮的是校園網內部的信息安全，采取確實有效的防范措施來防止校園網內部各電腦主機對網絡主干設備進行攻擊而導致系統崩潰，保證校園網正常運行。

（二）校園網內各用戶主機的安全

校園網的網絡運行環境是一個十分復雜的環境，各用戶主機安裝不同的操作系統，各用戶的的電腦使用水平差異較大等原因，使得各用戶的主機難以避免存在各種系統安全漏洞，不及時修補這些漏洞，就會給電腦病毒以可乘之機，而中毒后的校園網用戶主機會對校園網主干設備造成影響。

（三）控制校園網計算機病毒

計算機病毒是校園網信息安全的頭號殺手，必須做到有效控制。在校園網主干網絡設備和各用戶主機都要求安裝有效的殺毒軟件，并且及時對病毒庫進行更新，定期進行殺毒操作，堅持將計算機病毒扼殺在萌芽狀態，使其對校園網信息安全的危害降到最低。

三、加強校園網信息安全管理的具體措施

（一）構建網絡防范措施

如果單位經濟條件允許建議在網絡信息接入點使用硬件防火墻，防火墻可在校園網內部“編織”好一張安全的大網，保證校園網正常運行，是目前非常有效的網絡安全防范手段，它提供一整套的安全控制策略，包括訪問控制（例如ACL策略）、數據包過濾和攻擊防范等網絡必需功能，能有效地檢測和防范校園網各種病毒的攻擊、入侵，監控網絡異常通信，并對攻擊的主機進行隔離等，是我們校園網信息安全最值得信賴的好助手。

由于每間學校的內部地理結構有差異，我們很難從物理方面劃分VLAN，但我們可使用具有網管功能的交換機中的VLAN的技術優化校園網內部網絡結構，增強網絡的靈活性，并根據不同的區域劃分不同的網段來限制相互間的訪問，達到限制用戶非法訪問的目的。

使用靜態IP，在校園內一定要將各用戶主機的MAC地址與我們事先分配給他IP進行綁定，并詳細登記各用戶的資料，如使用人姓名、職務、辦公室、IP、MAC、聯系電話等資料，方便對中毒的電腦主機快速定位提供依據。

在校園網服務器端使用網絡行為管理軟件，例如IP-GUARD（威盾）、聚生網管等，實時掃描客戶端的主機的使用情況、流量信息，分析網絡帶寬流量，防止大量的長時間的占用網絡帶寬、防止使用BT、電驢等獨占帶寬的下載方式，造成網絡擁擠、繁忙，做到遇故障能及時準確地定位和排查。

通過上述措施，我們基本上能保證校園網內網的信息安全，將網絡病毒對校園主干設備的攻擊降到最低的程度，使校園網的主干網絡設備正常運行。

（二）加強校園網信息安全教育，養成良好的電腦使用習慣

校園網信息安全涉及到校內每一位教師，因此對于校園網用戶來說，要進一步提高網絡信息安全意識，加強關于計算機信息安法律知識的學習，自覺規范操作行為，同時掌握一些有關信息安全技術和技能，養成良好的電腦使用習慣，把可能的危險排除在發生之前。對于個人而言，可從以下幾個方面入手：

現在多數用戶在電腦中病毒或者因為其他原因導致電腦系統崩潰后，首要的選擇是重新安裝電腦系統，而安裝系統時普遍采用GHOST覆蓋安裝方法。這種方法的缺陷是雖然電腦暫時可以使用，但病毒依然有可能保留在電腦的C盤內，建議在系統安裝時先格式化電腦的C盤，然后再采用GHOST覆蓋進行覆蓋安裝，磁盤文件格式要采用NTFS格式，系統安裝好后立刻進行全硬盤病毒掃描，可減少安全隱患。

及時對系統進行漏洞掃描、修補個人電腦的系統漏洞?，F在網絡上比較流行的一款軟件360安全衛士就具有這方面的功能，它能及時掃描你的電腦系統是否還有容易被電腦黑客攻擊的漏洞，并及時通知你修補這方面的漏洞。這里要注明一下的就是：有很多電腦用戶為圖方便不喜歡花時間做這方面的工作，理由就是我的電腦一旦中毒，我就重新安裝系統。這種習慣在自己家里沒什么大問題，但現在我們同處在一個校園網的大環境下，一臺電腦中病毒就有可能會對整個校園網系統造成攻擊，使大家都無法正常上網。因此我們應定期使用類似360安全衛士這類軟件漏洞掃描、修補個人電腦的系統漏洞。

操作系統安裝完成后，要對系統的安全策略進行必要的設置。如登錄用戶名和密碼。用戶權限的分配，共享目錄的開放與否、磁盤空間的限制、注冊表的安全配置、瀏覽器的安全等級等，使用系統默認的配置安全性較差。

使用個人防火墻和反病毒軟件，目前互聯網上的病毒非常猖獗，達幾萬種之多，傳播途徑也相當廣泛。可通過u盤、光盤、電子郵件和利用系統漏洞進行主動病毒傳播等，這就需要在用戶計算機上安裝防病毒軟件來控制病毒的傳播。在單機版的防病毒軟件使用中，必須要定期或及時升級防病毒軟件和病毒碼特征庫?，F在互聯網上很多殺毒軟件功能強大而且都是免費的，例如360安全衛士、360殺毒等，如果我們能安裝這類殺毒軟件和防火墻，一般都足以抵御各類網絡攻擊，它能夠在一定程度上保護操作系統信息不對外泄漏，也能監控個人電腦正在進行的網絡連接，把有害的數據拒絕于門外。

四、結束語

校園網信息安全牽涉到校園內的每一個用戶，想享用安全、穩定、高效的校園網絡，我們必須加強校園網信息安全管理，確保校園網正常運行，讓校園網絡為我們的教學和辦公的好助手。

參考文獻：

[1]謝希仁.計算機網絡(第4版)[M].電子工業出版社

篇(2)

 

1 引言

 

信息化技術當前已經深入應用到了醫院的日常經營發展內容中，建立了醫院整體管理運營信息系統，對提高醫院的管理效率和管理質量發揮了重要的作用。而信息安全管理，也在當前醫院日常管理內容中占據了更為重要的位置，同時醫院信息安全管理的內容相較于傳統，也變得更加的豐富，醫院信息安全管理的內容包括醫院的信息系統網絡安全、備份信息記錄安全、計算機設備病毒防治、醫院信息管理系統平臺安全等諸多內容，對醫院的信息安全提出了更高的要求。醫院應該全面清晰的認清當前信息安全的發展形勢，做好相應的信息安全防治措施。

 

2 醫院信息安全面臨的主要挑戰

 

具體來講，在當前醫院的發展過程中，醫院所面臨的信息安全挑戰主要來自于幾個方面。

 

2.1 醫院信息安全的管理責任不夠明確

 

正如上文所述，在信息化技術得到全面普及應用的背景下，醫院的信息安全管理內容也越來越豐富，對醫院的信息安全管理工作提出了極高的要求。

 

當前階段，醫院信息安全管理工作已經成為一項復雜的系統性管理內容，而潛藏的醫院信息安全隱患則包括醫院信息設備的采購、網絡安全產品的采購、醫院內部崗位信息的流通、醫院信息數據的存儲應用、醫院的安全信息管理策略以及醫院的信息管理安全人員等諸多方面，過多的醫院信息安全管理內容很容易造成醫院自身信息安全管理資源的配置不夠優化，同時對于醫院信息安全管理監督的執行也造成了很大影響，出現醫院信息安全管理責任不夠明確的現象。

 

在這種紛繁復雜的情況下，加強對醫院的信息安全管理內容的全面分析，制定相應的醫院信息安全管理規則，確定具體的醫院信息安全管理責任制度，已經成為醫院信息安全管理發展過程中的必然措施。

 

2.2 醫院信息管理系統面臨著諸多危害

 

在全面應用了信息化技術，并建立了相應醫院信息管理系統以后，醫院不僅需要面臨來自內部的信息安全管理風險，還需要面臨更加迫切的醫院信息管理系統的安全隱患。

 

具體來講，當前計算機病毒、黑客攻擊以及系統漏洞現象等等，都是當前醫院信息管理系統在使用的過程中面臨的來自外界的主要危害類型，計算機病毒會造成醫院信息管理系統出現系統崩潰、系統數據丟失的現象，而黑客攻擊甚至可以在不知不覺中盜取醫院的管理信息、用戶信息以及科研信息，造成醫院信息安全管理中的重要經濟損失，醫院信息管理系統漏洞現象也有可能被人故意利用，造成醫院信息安全隱患現象，對醫院的信息安全發展造成非常不利的影響。

 

2.3 醫院信息數據管理仍然存在著漏洞

 

當前階段醫院信息數據管理工作也仍然存在著一定的漏洞，這種漏洞主要體現在信息數據管理工作中數據處理工作的不可逆轉現象上。

 

具體來講，醫院在信息數據管理的過程中極有可能出現種種失誤現象，例如數據刪除失誤、數據修改失誤、數據應用錯誤現象，嚴重的數據刪除失誤甚至有可能造成醫院信息數據管理系統崩潰現象，對醫院的信息安全管理造成極大的安全隱患，而同時醫院在安全產品的選擇上也存在著無法有效的聯動現象，造成醫院無法有效的充分發揮醫院信息安全設備的防護治理功能，醫院整體的信息安全系統無法形成具有層次性、系統性以及規范性的保護系統，對醫院信息數據安全管理的發展也造成了一定的影響。

 

3 醫院信息安全采取的主要措施

 

針對當前醫院在信息安全發展過程中面臨的相關挑戰現象，本文建議醫院應該在信息安全的發展過程中采取幾項措施，可以有效地達到提升醫院信息安全管理質量的目的。

 

3.1 進一步優化醫院信息安全管理機制

 

醫院在進一步優化醫院信息安全管理機制的過程中，應該全面的加強醫院信息安全管理機構、管理隊伍的建設，同時建立醫院信息安全管理制度以及醫院信息安全責任制度，針對醫院信息管理工作內容進行系統性、規范性以及權責制的管理。

 

在安全機構和安全隊伍的建設上，醫院必須加強對信息安全管理意識的宣傳，明確醫院信息安全管理機構的權利與責任，建立相應的醫院信息安全應急預案機制;而在醫院信息安全管理制度的優化上，醫院必須針對醫院面臨的信息安全管理內容進行全面細致的優化，針對醫院信息安全管理的范圍、信息安全管理規程、人員管理制度、設備維護制度、安全保密協議、網絡安全監控制度、安全隱患排除制度等等進行明確的優化，保證醫院信息安全管理機制能夠全面的覆蓋醫院信息安全管理的諸多內容。

 

3.2 進一步規劃醫院信息安全管理流程

 

醫院進一步規劃醫院信息安全管理流程的目的主要是針對醫院信息安全管理機制進行更加細致的規定，醫院應該在醫院信息安全權限管理以及醫院信息安全管理規程上尤其進行優化，達到確實加強醫院信息安全管理細節建設的目的。

 

以醫院信息安全權限管理為例，醫院可以在外來用戶的訪問權限、內部用戶的密碼登錄以及內部用戶的權限等級上進行細致的劃分，同時對用戶在醫院信息管理系統內部的瀏覽內容進行監控，對外來用戶進行IP清查以及MAC地址綁定，有效的提高醫院信息安全管理的細節掌控。

 

3.3 進一步加強醫院信息安全防護技術

 

醫院在信息安全管理工作中，應該進一步加強對信息冗余技術、數據中心檢測技術、信息安全防治技術、系統監控技術等相應信息安全技術的應用，保證醫院自身系統在使用的過程中不會因為數據刪除失誤而造成系統崩潰的現象，提高醫院信息管理系統的穩定性、安全性以及可優化性，加強對數據中心的備份記錄，保證醫院信息安全防護技術能夠充分的提升醫院信息安全管理的質量。

 

4 結束語

 

本文以醫院為例，具體分析醫院在信息安全管理工作面臨的問題現象和采取的發展措施，進而對醫療行業的信息安全發展形勢進行了分析和闡述。

篇(3)

關鍵詞：航空管制；信息系統；信息安全；對策

1強化安全管理意識

航空管制信息安全管理工作人員的信息安全管理意識對于航管信息安全管理會產生直接的影響，也是航空管制信息安全管理過程中的重要因素。航空管制信息安全管理過程中出現的安全漏洞，很大程度上就是由于相關工作人員安全意識的淡薄，在工作中對自已要求不嚴，從而忽視了信息安全的重要性。為了強化航空管制信息安全管理工作，就必須注重對工作人員信息安全管理意識的強化。其主要分為以下幾個方面：1)積極強化航空公司的各級領導信息安全意識，首先確保最高決策者始終擁有高強度的安全意識，并且以身作則，在自己的實際工作中體現出對安全管理得重視，這樣才能帶動各級工作不斷提高自身的信息安全防范意識。信息安全管理工作，主要內容是“三分技術，七分管理”，各航空工作人員應該始終將技術與管理結合起來，作為約束自己日常工作行為的基本準則。強化工作人員的信息安全意識，需要對其進行定期系統的信息安全教育（如信息安全管理知識講座等），以此為手段不斷發展航空管制人員的信息安全知識水平，促使每一位工作人員都能擁有高度的自主安全管理意識。2)注重對航管人員自身信息技術素質水平的培養。在航空管制信息安全管理工作中，良好的專業素養以及熟練的操作能力是每一位工作人員都必須具備的技能。況且，隨著信息技術與人工智能技術逐漸的深入航空領域，在以后的航空管制工作中，若是沒有一定的信息技術專業知識，航管人員就無法準確高效的把握航管新裝備和新技術。同時，航管人員在學習信息技術知識的過程中，還能開拓自己的眼界，豐富自身對現代化技術的認識，在強化自身工作能力和安全意識的同時，還能為整個航空領域的發展提供幫助，確保航管信息安全管理工作的順利進行。3）注重航管信息安全管理觀念創新。在這個信息化的時代，各個領域都在飛速發展。日新月異的信息技術，大量的新型航空管制理念，都要求航空管制信息安全工作要隨著時代的發展不斷變遷、創新。不僅如此，由于航空管制信息安全直接影響著飛機的飛行安全和乘客的人身安全，相關人員應該始終保持本公司的運營理念與國際的新理念接軌，根據市場需求不斷改善航管信息安全管理目標和具體實踐措施，創造屬于我們這個時代的航空管制信息安全管理模式。將航管信息安全管理的策略落到實處，確保航空運行過程中各個環節的信息安全[1]。

2抓住主要矛盾

要想最大程度的發揮出航管信息安全管理工作的作用，航空公司的決策者和相關工作人員就得明確航管信息安全管理過程中的重難點，只有這樣，才能保證有目標、有計劃的施以措施。航管人員務必要高效的解決在航管信息安全管理工作中出現的各種矛盾，下文就以其中存在的主要矛盾為例說明。航管信息安全管理的根本目的是保證航管信息的完整性、可控性及保密性等，除此之外，還需要對航管信息資料進行防御、檢測、抑制、恢復和管理，從多方面著手，保證航管工作的質量。航管信息管理工作的重點是管理和控制航空管制信息系統，其主要是對航管系統層、網絡層以及應用層進行安全控制。航管工作中的系統層管理指的是對硬件和軟件的安全管理，而且軟件安全管理是整個航管信息安全管理工作中的重點。對于硬件系統的安全管理工作，一般將其列入物理安全范圍，主要是防電磁輻射、電子干擾等因素[2]。在應用軟件這一層面上，航管信息系統有時候會遭到黑客的侵襲，因此，相關技術人員務必要做好防“黑客”、防病毒的準備工作，而且在此基礎上，還得不斷恢復信息管理系統，優化操作系統的可行性和安全性，確保航管信息安全管理的效率。在加強軟件系統管理工作的同時，還要對網絡層面的安全管理進行加強。其主要包含以下幾點：網絡報警、網絡恢復、數據保護、密鑰安全及內部認證等。對于網絡層面安全管理工作的加強，工作人員應該將重點放在各處子網的出入口設備上，同時，軟件設施方面也應配合硬件設施，積極研發嵌入式操作系統，不斷創新，應用更高水平的數字簽名技術，對網絡層進行加密。

3完善航管部門信息安全防范體系

俗話說：“無規矩，不成方圓”。要想充分完善航管信息安全管理工作，對航管信息進行有效控制，航管部門就需要根據自身的實際條件不斷健全航管部門的信息安全管理體系。所以，工作人員就要提前做好充分的市場調研，就目前市場上的航管信息安全管理機構設置進行討論研究，仔細觀察整個機構設置的合理性和可行性，對各個部門的航管信息安全管理職能進行明確劃分，使信息安全管理要求與業務流程聯系起來，最大程度的發揮出航管信息安全管理機構的作用。不斷完善航管信息安全管理制度，加上安全管理體系的建設，實行統一規劃、統一管理與統一監督。時刻與國際先進的技術保持聯系，將自身的發展與信息技術和人工智能緊密聯系起來，將本航空公司的安全管理體系至于本行業發展的前沿。在航管過程中，需要使用的儀器設備要盡量采用國產裝備，特別是某些涉及到自主關鍵技術機密以及中國自主知識產權的核心儀器設備。與此同時，工作人員還應該注重加強對網絡安全系統的規范管理制度，逐漸建立出相應系統的航管信息安全管理標準和統一的航管信息安全管理綜合評估體系以及針對航管信息的獲取和應用等，需要明確的制定出切實可行的安全管理措施體系。由此可見，在航管信息安全管理的過程中，始終不能脫離完整、規范的航管信息安全防范體系，只有通過航管部門系統全面嚴格的控制把關，才能高效地處理航管信息安全工作中出現的各種問題。在日常的航管部門信息安全管理工作中，工作人員務必要注意兩點，一是加強對航管人員的信息安全教育。要定期組織全體航空管制信息安全管理人員對工作中的專業知識以及某些設備的操作技術進行學習，不斷的對航管人員注入最新的航管理念，對航管人員的航空管制保密常識進行培訓，加強信息安全教育，確保每一位航空管制人員都擁有深刻的信息安全意識，以保證航空飛行安全。二是對整體航管人員實行保密信息封鎖制度。航空公司應該根據實際情況制定出適合自身發展的電子設備保密管理制度，控制工作人員與外界不必要的聯系，始終嚴格約束所有工作人員的言行舉止，切忌在日常交流以及聯系中向外界流失掉機密信息。不僅如此，航空公司中的任何以為工作人員都不允許以任何一種形式對外界透露公司內部的運行情況，更不能泄露涉及航管和飛行安全的信息[3]。

4健全航管信息安全管理法規制度

航空公司嚴謹有序的運行模式，不僅需要每一位工作人員的付出還需要高層決策者與各級工作人員商議之后制定出合理的法規制度，以統一形式的制度、要求及管理力度對員工進行統一管理，一視同仁，旨在提升對航管信息安全的管理效率。健全航管信息安全管理法規制度的要求分為兩個方面，第一個方面，公司要盡快且保證質量的建立屬于自己的航管信息安全評估系統。在建設的過程中，要始終按照國家的標準要求，不管是信息基礎設施建設，還是網絡規劃建設，都必須通過國家相關管理部門的審批。而在進行基礎設施建設和設備配備的過程中，則需要安全管理部門和質量管理部門進行約束指導，所有的信息建設只有在通過有效的信息安全質量認證之后，才能投入使用。第二個方面，要想使航空管制信息安全管理過程中的規章制度得到系統化、明確化、條理化，工作人員就必須以本航空公司的航管信息安全管理模式為出發點，經過多方面的調研分析，采取各個階層工作人員的意見整合之后制定出可行有效的信息安全規章制度，力爭在最短的時間內使航空管制信息安全管理工作的可行性得到大幅度提升[4]。

5結語

綜上所述，航空管制信息安全管理工作是所有航空公司正常運營的前提條件，也是順利開展航管業務的基礎工作，只有航管信息安全得到了保障，飛機的飛行安全才能得到保障。航管人員在日常的工作之中要始終樹立堅實牢固的航管信息安全意識，提高自身的航管能力。相應的公司管理人員也應不斷強化本公司的信息技術，結合國際上新型的航管理念發展自身的運行效率，為飛機的安全飛行保駕護航。

參考文獻：

[1]許彬.航管信息情報系統的設計與實現[D].成都：電子科技大學，2014．

[2]魏純潔.空中交通管制安全評估關鍵技術研究[D].南京：南京航空航天大學，2012．

篇(4)

（一）管理使用的系統

ERP、加油站賬冊、二次物流管理、加油卡、辦公自動化以及企業門戶網站等系統是石化銷售企業首要的應用系統。應用系統有以下特征：一是系統應用范圍廣，全程參與企業的經營、管理、對外服務等；二是系統用戶眾多，涵蓋企業各階層員工；三是系統對持續運轉要求高，因此對應用系統的安全運轉要求較高。對公司的經營管理而言，系統的安全穩定運行具有重大意義，系統數據是否安全、保密性和供應商、企業利益有密切關系。

（二）安全管理

隨著我國經濟水平不斷提高，石化銷售企業越來越離不開信息化管理，世界各地的公司對內部成立一個信息化團隊，根據內部的需要制定出具有整體性的管理體系，并根據相關的信息安全規定對系統內部的安全等級做好評估保護工作。各企業制定了詳細有效的“信息系統應急預案”以應付各類突發事件。近幾年，中國石化內控體系在建設過程中不斷加強、完善自身管理體系，也在IT控制方面占有一定的優勢。當前，石化銷售企業已基本形成一套完整的信息安全防御和管理體系，從而確保了網絡信息系統的安全性。

二、信息安全風險的評估

衡量安全管理體系的風險主要方法是進行信息安全風險的評估，以此保障信息資產清單和風險級別，進而確定相應的防控措施。在石化銷售企業進行信息安全風險的評估過程中，主要通過資金、威脅、安全性等識別美容對風險進行安全檢測，同時結合企業自身的實際情況，擬定風險控制相應的對策，把企業內的信息安全風險竟可能下降到最低水平。

（一）物理存在的風險

機房環境和硬件設備是主要的的物理風險。當前，部分企業存在的風險有：1）企業機房使用年限過長，如早期的配電、布線等設計標準陳舊，無法滿足現在的需求；2）機房使用的裝備年限太長、例如中央空調老化，制冷效果不佳導致溫度不達標，UPS電源續航能力下降嚴重，門禁系統損壞等，存在風險；3）機房安全防護設施不齊全，存在風險。

（二）網絡和系統安全存在的風險

石化訪問系統的使用和操作大量存在安全風險，其中主要風險包括病毒入侵、黑客襲擊、防火墻無效、端口受阻以及操作系統安全隱患等。即使大部分企業已安裝統一的網絡防病毒體系、硬件防火墻、按期更新網絡系統軟件、安裝上網行為監控等，但因為系統漏洞數目不斷增多網絡結構和襲擊逐漸減弱或者因為信息系統使用人員操作系統本身的安全機制不完善、也會產生安全隱患。

（三）系統安全風險

沒有經過許可進行訪問、數據泄密和被刪改等威脅著系統的安全性。提供各類應用服務是企業信息系統的首要任務，而數據正是應用信息系統的核心，因此，實際應用與系統安全風險密切聯系。當前，信息應用系統存儲了大量的客戶、交易等重要信息，一旦泄露，造成客戶對企業信任度影響的同時也會影響企業的市場競爭力。

（四）安全管理存在的風險

安全管理存在的主要指沒有同體的風險安全管理手段，管理制度不完善、管理標準沒有統一，人員安全意識薄弱等等都存在管理風險，因此，需要設立完善的信息系統安全管理體系，從嚴管理，促使信息安全系統正常運作。一方面要規范健全信息安全管理手段，有效較強內控IT管理流程控制力度，狠抓落實管理體系的力度，杜絕局部管理不足點；另一方面，由于信息安全管理主要以動態發展的形式存在，要不斷調整、完善制度，以符合信息安全的新環境需求。

三、信息安全管理體系框架的主要構思

信息安全管理體系的框架主要由監管體系、組織體系和技術體系形成，特點是系統化、程序化和文件化，而主要思想以預防控制為主，以過程和動態控制為條件。完善安全管理體系，使石化銷售企業信息系統和信息網絡能夠安全可靠的運作，從機密性、完整性、不可否認性和可用性等方面確保數據安全，提升系統的持續性，加強企業的競爭力。

（一）組織體系

企業在完善管理體系過程中應設立信息安全委員會和相關管理部門，設置相應的信息安全崗位，明確各級負責的信息安全和人員配置等內容。在全面提升企業人員對信息安全了解的過程中必須進行信息安全知識的相關培訓，使工作人員提高信息安全管理意識，實現信息安全管理工作人人有責。

（二）制度體系

操作規范、安全策略、應急預案等各項管理制度經過計劃和下發，讓信息安全管理有據可依。企業參照合理完善的各項制度進一步優化業務流程，規范操作行為，降低事故風險，提升應急能力，以此加強信息安全的管理體系。

（三）技術體系

管理技術、防護技術、控制技術是信息安全管理體系的主要技術基礎。安全技術包括物理安全技術、網絡安全技術、主機安全技術、終端安全技術、數據安全、應用安全技術等。一旦出現信息安全事件，技術體系會在最短的時間內降低事件的不良影響，依靠相關的信息安全管理技術平臺，以實現信息安全技術的有效控制。管理體系的核心是技術手段，先進的加密算法和強化密鑰管理構成的數據加密方式全程控制數據傳輸和數據存儲，可以保證數據的安全性。采用堡壘機、防火墻等安全系統可以過濾掉不安全的服務和非法用戶，防止入侵者接近防御設備。IDS作為防火墻的重要功能之一，能夠幫助網絡系統快速檢測出攻擊的對象，加強了管理員的安全管理技術（包括審計工作、監視、進攻識別等技術），提高了信息安全體系的防范性。企業數據備份這一塊可以采用雙機熱本地集群網、異地集群網等各種形式進行網絡備份，利用體統的可用性和容災性加強安全管理能力。

近年來各個企業的惡意軟件、攻擊行為手法變化多端很難防御，在各種壓力下，傳統的的安全防預技術受到了嚴峻的考驗，這時“云安全”技術當之無愧成為當今最熱的安全技術。“云安全”技術主要使用分部式運算功能進行防御，而“云安全”技術對于企業用戶而言確實明顯的保障了信息的安全性以及降低客戶端維護量。“云安全”技術是未來安全防護技術發展的必由之路，且今后“云安全”作為企業安全管理的核心內容為企業的數據、服務器群組以及端點提供強制的安全防御能力。”

四、信息安全管理體系相關步驟

由于管理體系具有靈活性，企業可依據自身的特點和實際情況，使用最優方案，結合石化銷售的特征，提出以下步驟：1）管理體系的重要目標；2）管理體系的主要范疇；3）管理體系現狀考察與風險估量；4）完善管理體系的制度；5）整理管理體系的文檔；6）管理體系的運行方式；7）信息安全管理體系考核。

五、結論

篇(5)

關鍵詞：供水企業?信息安全?安全管理

中圖分類號：F29 文獻標識碼：A文章編號：1672-3791(2012)02(c)-0000-00

1 前言

當前，隨著網絡和信息化建設的不斷發展，企業對信息網絡的依賴越來越強，供水企業也不例外。供水企業信息安全問題關系到供水系統的穩定和安全運行。目前，供水企業的信息安全風險主要來自于兩個方面，即內部和外部的因素。內部威脅主要為企業信息安全管理問題；外部因素主要包括因病毒、黑客、惡意軟件等造成的數據丟失，系統運行失常等問題。本文圍繞著這兩個方面的因素，就供水企業的信息安全問題進行探討。

2 供水企業面臨的信息安全威脅

2.1 計算機病毒的傳播

計算機病毒的傳播是帶來企業信息安全風險的因素之一。自上世紀九十年代以來，計算機病毒以迅猛的增長速度危害著個人用戶和企業用戶，給企業和個人造成了嚴重的經濟損失。目前，隨著智能手機的普及，一種新型的病毒，即手機病毒也開始威脅到企業的信息安全。

2.2 企業內部網絡受到黑客攻擊

黑客對企業內部網絡的攻擊是帶來企業信息安全風險的因素之二。由于Internet具有自由行和廣泛性，而供水企業一般又建立了企業內部網絡。當企業內部網絡與Internet發生間接或直接關聯的時候，企業內部網絡就有可能成為黑客攻擊的目標，從而泄露或丟失一些重要的企業信息，或使企業內部網絡處于失常或癱瘓的狀態。

2.3 企業安全管理的不足

企業的信息系統不夠健全，企業員工的安全意識薄弱，這也是造成企業信息安全威脅的因素。在信息機構設置方面，供水企業缺乏規范的機構體制，相關的專業技術人員偏少。同時，很多供水企業對相關的專業技術人員缺乏系統的專業培訓，使得企業員工缺乏必要的安全意識，“防黑防毒”意識淡薄，對一些惡意攻擊也缺乏警惕性，有的甚至因為操作失誤而給各種信息安全威脅帶來了可能。

3 供水企業信息安全建設

3.1 采用防水墻技術

防水墻是保障企業信息安全的有效手段。通過控制進出供水企業網絡的權限，監控網絡數據流，檢查所有的數據連接，防水墻技術可以有效地控制和管理對企業網絡系統的訪問控制和安全管理，隔離和過濾危險數據包，防止企業網絡受到黑客和病毒的破壞與干擾。同時，由于所有的訪問都得通過防火墻，防火墻還能實時記錄和統計網絡訪問，這對企業信息安全管理人員管理維護企業網絡提供了有利條件。

3.2 采用入侵檢測技術

防火墻可以限制對企業網絡系統的非法訪問或攻擊，檢測并防御非法訪問。然而，防火墻無法防止企業網絡內部用戶之間的攻擊不經過防火墻。因此，在采用防火墻的同時，有必要用入侵檢測技術。入侵檢測技術（Intrusion-detection?system），簡稱IDS,?是一種對網絡傳輸進行即時監視，在發現可疑傳輸時發出警報或者采取主動反應措施的網絡安全設備。它能夠分析通過網絡收集的信息，檢測并識別出惡意行為，及時有效地發現網絡異常，檢測出網絡中違反安全策略的行為。如果說防火墻是一幢大樓的門衛，那么IDS就是這幢大樓里的監視系統。一旦小偷爬窗進入大樓，或內部人員有越界行為，只有實時監視系統才能發現情況并發出警告。除了簡單的記錄和發出警報之外，IDS還可以進行主動反應：打斷會話，和實現過濾管理規則。所以說，要確保供水企業網絡處于安全的狀態，入侵檢測技術也是必不可少的，它是防火墻技術的一個有效的補充。

3.3 采用VPN技術

VPN（Virtual?Private?Network），即虛擬專用網，是通過一個公用網絡（通常為Internet）建立一個臨時的、安全的連接，是一條穿過混亂的公用網絡的安全、穩定的隧道。它主要是通過路由器、防火墻技術、隧道技術，安全秘鑰以及加密協議而組建成的Internet?VPN。它是對企業內部網絡的擴展，通過VPN可以在企業分支機構，合作伙伴、供應商或遠程用戶與企業內部網絡之間建立可靠的安全連接，向他們提供安全而有效的信息服務，保證數據的安全傳輸，實現企業網絡安全通信的虛擬專用線路，使得外部非法用戶無法訪問公司內部信息。與此同時，VPN技術還可以極大降低企業信息共享的成本。

3.4 加強企業員工的安全管理

實現供水企業的信息安全，除了做好技術防護之外，還得加強企業內部員工的安全管理。做好技術防護并不意味著一勞永逸，企業員工的信息安全管理也是至關重要的。加強企業關公的安全管理需做好以下幾點：1)增強企業員工的安全意識。員工的安全意識淡薄是造成企業信息安全風險的一大因素。為保障企業信息安全，供水企業需對員工進行企業網絡系統的專業培訓與教育，掌握信息安全問題的基礎知識與常識，提高對外部惡意攻擊和病毒的警惕性，加強安全防護意識，能及時發現并處理常見的安全問題。2)健全企業信息安全管理規章制度。根據供水企業的實際情況，建立健全的信息安全管理制度，如網絡系統使用規范、機房管理制度、保密制度、值班制度、設備維護制度等。企業員工必須遵照相關管理制度，明確職責，按照相關用戶口令或操作口令，確保日常操作符合信息安全規章制度，最大限度地防止人為失誤或違規操作帶來的信息安全問題。3)配置專門的企業信息安全管理技術人才。在互聯網高速發展的幾天，沒有絕對的信息安全。企業需配置專門的信息安全管理人員，在及時有效地處理企業信息安全風險的同時，增強企業信息安全管理的人才儲備，加強信息安全技術管理隊伍，培養弓雖企業網絡系統硬件和軟件的開發設計人才，掌握保障企業信息安全的核心技術。

4 結 語

本文以供水企業為例，對企業的信息安全風險進行了分析，認為計算機病毒的傳播，黑客對企業內部網絡系統的攻擊以及企業在員工安全管理方面的不足是造成供水企業信息安全問題的三大原因。因此，要保障信息安全，供水企業需在技術和管理兩方面下功夫。在技術方面，企業可采用防火墻技術、入侵檢測技術和VPN技術。在管理層面上，企業需增強員工的安全意識，建立健全企業信息安全管理規章制度，配置專門的信息安全管理技術人才。

參考文獻

[1]丁麗川，曹暉.計算機網絡信息安全探析[J].?科技創新導報.?2010(35):28.

[2]范紅，馮登國.?信息安全風險評估方法與應用[M].?北京：清華大學出版社，2006.

篇(6)

企業經營信息對于企業來說是一種資源,對于企業自身來說具有重要意義,企業需要妥善管理自身企業的信息。近年來,企業的各項經營活動都逐漸開始通過計算機,網絡開展,因此,企業的信息安全管理對于企業越來越重要。許多企業開始通過各種技術手段以及制度改革,把更多的注意力放在企業內部的信息安全管理工作,同時將企業信息安全管理與風險控制結合起來,這是一個正確的選擇,能夠幫助企業實現穩定經營。在介紹企業信息安全管理以及風險控制前必須厘清企業信息安全管理的概念與企業風險控制定義,因此,本節將著重介紹企業信息安全管理的概念以及企業風險控制的定義。企業的信息安全管理包含十分豐富的內容,簡單來說是指企業通過各種手段來保護企業硬件和軟件,保護網絡存儲中的各種數據不受偶然因素的破壞或者惡意的原因被攻擊。對于信息安全的認定通過包括4個指標,即保證信息數據的完整,保證信息數據不被泄露,保證信息數據能夠正常使用,保證信息數據能夠控制管理。要想做好企業的信息安全管理,首先需要了解的是關于信息的傳輸方式。隨著信息技術的不斷普及,信息傳遞的方式越來越多,常見的信息傳遞方式主要有互聯網傳播,局域網傳播,硬件傳播等等。要想實現企業的信息安全管理,其中很重要的一項工作在于保護信源、信號以及信息。

信息安全管理是一項需要綜合學科知識基礎的工作,從事企業信息安全管理工作的人員通過需要具有網絡安全技術、計算機技術、密碼技術、通信技術。從企業的信息安全管理來講,最為關鍵的一項工作時保護企業內部經營信息數據的完整。經過近十年來的企業信息安全管理工作經驗總結,企業信息安全不僅僅需要信息技術的支持,更需要通過建立完善的企業風險控制體系來幫助企業實現更好地保護企業信息安全的目標。所以,怎樣把企業信息安全管理與風險控制融合起來就是擺在企業經營管理者面前的一道難題。企業的信息安全風險控制必須通過企業建立完善的企業信息安全風險體系實現。

企業的信息安全風險控制是指企業在企業信息安全遭遇威脅之前,提前對企業的信息進行風險預估,并采取一系列的有針對性的活動降低企業面臨的信息安全風險,從而盡可能減少因為企業本身信息安全管理中存在漏洞給企業帶來不必要的損失。常見的企業信息安全風險體系建立主要包含以下幾個方面的內容。第一,建立企業信息安全風險管理制度,明確企業信息安全管理的責任分配機制,明確企業各個部門對各自信息安全所應承擔的責任,并建立相應的問責機制。第二,設置規范的企業信息安全風險管理指標,對企業存在的可能威脅企業信息安全管理的漏洞予以風險定級,方便企業管理者對不同的信息安全管理漏洞采取有區別的對策。第三,企業要加強對信息安全管理人員的培訓,提高企業信息安全管理工作人員的風險意識,讓企業內部從事信息安全管理工作人員認識到自身工作的重要性,讓企業內部從事信息安全管理工作人員了解到規范自身行為,正確履行職責的重要性。第四,將企業信息安全管理與風險控制有效融合,重視企業信息安全管理工作,通過風險控制對企業內部信息安全的管理方式進行正確評估,找出現行的企業內部信息安全管理手段中存在容易忽視的地方。

二、企業信息安全管理與風險控制存在的不足

1.企業信息安全管理工作人員素質不高

對于企業來說,企業信息安全管理工作是一項極為重要而隱秘的工作,因此,必須增強對企業信息安全管理工作人員的素質要求。但是根據調查統計,目前很多企業對信息安全工作的管理僅僅停留在對企業信息安全管理工作人員的技術要求上,對企業信息安全管理工作人員的道德素養,職業素養,風險意識并沒有嚴格要求。此外,絕大多數企業并沒有意識開展對企業信息安全管理工作的道德素質的教育培訓,并沒有通過建立相關管理制度以及問責機制對企業信息安全管理工作人員實行監督,這無疑給別有用心或者立場不堅定的企業信息安全管理工作人員留下了危害企業信息安全的可乘之機。

2.企業信息安全管理技術不過關

企業信息安全管理工作涉及多許多技術,包括信息技術,計算機技術,密碼技術,網絡應用技術等等,應當說成熟的計算機應用技術是做好企業信息安全管理的基礎,但是,現實是許多企業的信息安全管理技術并不過關,一方面企業的信息安全管理硬件并不過關,在物理層面對企業信息缺乏保護,另一方面,企業信息安全管理工作的專業技術沒有及時更新,一些企業信息安全管理工作人員缺乏企業信息安全管理的實踐經驗,企業信息安全管理的知識也并沒有及時更新,從而導致企業的信息安全管理理論嚴重滯后,這種技術的落后很容易讓企業成為不法分子的攻擊對象。近年來網絡病毒的傳播越來越猖狂,很多服務器、系統提示安全補丁的下載更新以及客戶端的時常更新成為一個惱人的問題。作為一個行業中的大中型企業,企業內部設備數量比較多,尤其是客戶端數量占了較大比重,僅僅靠少數幾個管理員進行管理是難以承擔如此大量的工作量。另外,企業信息安全管理系統不成熟也是一個重大的隱患。

3.企業信息安全管理制度不健全

企業信息安全管理制度不僅僅需要理論制度的完善,更加需要一系列配套監督機制保障企業信息安全管理的有效執行。通過調查分析,許多企業雖然建立了企業信息安全管理制度,但是通常情況下,這些制度只能流于形式,企業信息安全管理工作缺少有效的制約和監督,企業信息安全管理工作人員缺乏執行力。企業信息安全管理制度不健全,企業信息安全管理工作缺乏執行力常常體現在以下幾個方面。第一,企業員工對于信息安全管理的認識嚴重不足,對企業信息安全管理工作不重視。企業內部計算機系統安全的計算機防病毒軟件并沒有及時更新,使用,甚至企業內部計算機的防病毒軟件還被企業員工卸載了。部分企業員工認為自己的工作與企業信息安全管理不相關,認為做好企業信息安全管理工作僅僅是企業信息安全部門的事。第二,企業內部信息安全文秘站:管理制度并沒有形成聯動機制,企業信息安全管理工作僅僅由企業信息安全部門“一人包干”,企業信息安全反映的問題并沒有得到積極的反饋,一些企業領導對企業信息安全現狀所了解的少之又少。

三、企業信息安全管理常見的技術手段 1.OSI安全體系結構

OSI概念化的安全體系結構是一個多層次的結構,它的設計初衷是面向客戶的,提供給客戶各種安全應用,安全應用必須依靠安全服務來實現,而安全服務又是由各種安全機制來保障的。所以,安全服務標志著一個安全系統的抗風險的能力,安全服務數量越多,系統就越安全。

2.P2DR模型

P2DR模型包含四個部分:響應、安全策略、檢測、防護。安全策略是信息安全的重點,為安全管理提供管理途徑和保障手段。因此,要想實施動態網絡安全循環過程,必須制定一個企業的安全模式。在安全策略的指導下實施所有的檢測、防護、響應,防護通常是通過采用一些傳統的靜態安全技術或者方法來突破的,比如有防火墻、訪問控制、加密、認證等方法,檢測是動態響應的判斷依據,同時也是有力落實安全策略的實施工具,通過監視來自網絡的入侵行為,可以檢測出騷擾行為或錯誤程序導致的網絡不安全因素;經過不斷地監測網絡和系統來發現新的隱患和弱點。在安全系統中,應急響應占有重要的地位,它是解決危險潛在性的最有效的辦法。

3.HTP模型

HTP最為強調企業信息安全管理工作人員在整個系統中的價值。企業信息安全工作人員企業信息安全最為關鍵的參與者,企業信息安全工作人員直接主導企業信息安全管理工作,企業信息安全工作人員不僅僅是企業信息安全的保障者,也是企業信息安全管理的威脅者。因此,HTP模型最為強調對企業信息安全管理工作人員的管理與監督。另外,HTP模式同樣是建立在企業信心安全體系,信息安全技術防范的基礎上,HTP模式采取了豐富的安全技術手段確保企業的信息安全。最后,HTP強調動態管理,動態監督,對于企業信息安全管理工作始終保持高強度的監督與管理,在實際工作中,通過HTP模型的應用,找出HTP模型中的漏洞并不斷完善。

四、完善企業信息安全管理與降低風險的建議

1.建設企業信息安全管理系統

(1)充分調查和分析企業的安全系統,建立一個全面合理的系統模型,安全系統被劃分成各個子系統,明確實施步驟和功能摸塊,將企業常規管理工作和安全管理聯動協議相融合,實現信息安全監控的有效性和高效性。

(2)成立一個中央數據庫,整合分布式數據庫里的數據,把企業的所有數據上傳到中央數據庫,實現企業數據信息的集中管理與有效運用。

(3)設計優良的人機界面,通過對企業數據信息進行有效的運用,為企業管理階層人員、各級領導及時提供各種信息,為企業領導的正確決策提供數據支持,根本上提高信息數據的管理水平。

(4)簡化企業內部的信息傳輸通道,對應用程序和數據庫進行程序化設計,加強對提高企業內部信息處理的規范性和準確性。

2.設計企業信息安全管理風險體系

(1)確定信息安全風險評估的目標

在企業信息安全管理風險體系的設計過程中,首要工作是設計企業信息安全風險評估的目標,只有明確了企業信息安全管理的目標,明確了企業信息安全管理的要求和工作能容,才能建立相關圍繞信息安全風險控制為目標的信息安全管理工作制度,才能順利通過對風險控制的結果的定量考核,檢測企業信息安全管理的風險,定性定量地企業信息安全管理工作進行分析,找準企業信息安全管理的工作辦法。

(2)確定信息安全風險評估的范圍

不同企業對于風險的承受能力是有區別的,因此,對于不同的企業的特殊性應該采取不同的風險控制辦法,其中,不同企業對于能夠承受的信息安全風范圍有所不同,企業的信息安全風險承受范圍需要根據企業的實際能力來制定。不僅如此,企業的信息安全風險評估范圍也應當根據企業的實際經營情況變化采取有針對性的辦法。

篇(7)

關鍵詞：中小企業；電子信息；安全技術

1 電子信息安全的內涵

對于買方來說電子信息主要優點是方便快捷、操作起來比較簡單。電子信息對于賣方來說主要優點是管理比較方便并且成本較低，但是電子信息最大的缺點就是買賣雙方不能進行交流，主要是貨幣與貨品的交換，并且交易都是通過網絡進行的，之所以交易能夠順利完成，主要的原因是兩者之間存在著誠信。關于誠信主要有兩個方面的內容：有一種系統軟件在買賣的過程中起到安全保障的作用，能將虛擬的貨幣符號轉化成真實的貨幣，同時也能對交易起到保護作用，其中主要是對貨幣賬戶起到安全保障的作用。要想研究電子信息安全，首先要了解信息的內涵。信息主要是指資料、數據以及知識以不同的形式存在，在中小企業中這類信息主要是指買賣雙方的有關信息和資料，犯罪分子能通過非法的手段對電子信息中的買賣雙方采取詐騙行為，或者是通過網絡對進行入侵和盜竊。信息安全管理標準對信息做出了詳細的定義，信息也是屬于資產，與其他的資產相同，對中小企業的發展有著重要的作用，是需要法律保護的。信息安全管理標準將信息劃分為八個部分，主要包括物理資產、文檔資產、文字資產、服務資產、軟件資產、數據資產以及人力資源資產。

中小企業的電子信息主要是以網絡為載體，網絡的交流主要通過數據的傳輸得以實現，網上交易就是交流過程中的主要內容。所以，在信息安全的范疇中電子信息安全技術就成為了重點問題。關于電子信息安全技術的研究大多是關于技術的，但是對于中小企業來說，不僅要對技術進行改進，也要重視管理層，避免信息出現安全問題。

2 電子信息安全的理論

我國關于電子信息安全的研究，仍然較為落后。在國際中的關于信息安全的主要理論為：三觀安全理論、信息循環理論以及信息安全模型理論。

三觀安全理論。在中小企業的電子信息安全系統中，三觀安全理論主要將其分為三個方面的內容，即微觀、中觀以及宏觀。這個理論主要是將宏觀層面的安全理念轉化成微觀層面的管理理念，進而對服務與生產進行指導。

信息安全模型理論。信息安全模型理論是信息安全管理發展過程中的產物，信息安全模型理論主要是將人、軟件、操作以及信息系統相結合，并且全面的保護網絡信息系統。主要倡導的是一種新的安全觀念，并且提出了不能僅靠程序與軟件對系統信息安全進行保護，要注重動態保護。此外，關于電子信息安全問題不能只依賴于安全技術，也要重視管理層安全理念的創新。

電子信息的循環理論。在實施網絡信息安全的過程中電子信息的循環理論將其劃分為四個方面：計劃、執行、檢查以及改進。這四個方面是一個循環的過程，也是一個周期，在循環的過程中，將這個過程看作是一個整體的信息安全管理體制，而不是將其看成某一管理過程。

3 電子信息安全技術對加強中小企業信息安全的作用

上文所述的三個信息安全理論對中小企業的信息安全管理有著重要的作用，主要有以下幾個方面的內容。第一是信息安全領域的建設，第二是中小型企業中加強建設信息安全組織。美國信息安全研究所首次提出了信息安全領域，信息安全領域主要是指根據信息的不同保密程度創建相應的保密級別，網絡控件的安裝要結合用戶信息的不同安全級別，安全信息的選擇要適合用戶的保密級別。在中小企業中，電子信息與資料的分類系統應該有統一的部門進行管理，然后對信息進行分類，并采取不同程度的加密與保密，這類信息主要包含文檔、電子商務的相關資料以及服務等。將這些信息進行分類、保密、歸檔以及整合，有利于中小企業電子信息的調試。

對于中小企業來說，一直都存在電子信息安全性不夠的問題，這主要同企業內部安全管理不足有關，安全管理的工作缺少專業的管理，很多的小型企業并沒有統一的信息安全管理部門。企業安全管理部門的主要職能包含這幾個方面的內容：同企業人力資源管理部門相互配合共同完成工作內容，要定期的審查一些特殊崗位的員工，一旦發現有違反安全規則的情況，要重新進行審查。同時還要對員工進行保密的培訓；組織各個部門的工作，并對各個部門的工作進行協調，使企業的安全目標以及戰略得以實現；企業的安全管理部門主要是對安全問題的管理、計劃以及決策負責。也是企業的應急部門，要想避免企業信息的泄露，信息安全管理部門就必須加強對信息的管理；多聯系各個地區的信息機構以及信息安全管理部門，這樣能給企業帶來新的信息安全管理觀念以及安全技術；采取信息安全報告制，定期的向管理部門匯報信息安全的保護狀況，對于一些重要的事件要及時的匯報，取得管理層對信息安全管理工作的支持。

在網絡工程發展的同時，電子信息也得到了發展，電子信息在企業的發展中有著重要的作用，企業對其也越發的依賴電子信息。但是這只是一個虛擬的場所，主要通過網絡這個載體來完成交易，因此安全技術問題成為了企業普遍關注的問題。

[參考文獻]

[1]陳光匡，興華.信息系統安全風險評估研究[J].網絡安全技術與應用，2009（7）.

[2]向宏，艾鵬，等.電子政務系統安全域的劃分與等級保護[J].重慶工學院學報，2009（2）.