企业的信息安全论文.doc

企业的信息安全论文 企业的信息安全论文【1】 摘要企业信息化程度发展到一定水平从防火墙、入侵检测等安全硬件到文档防泄密、行为管理等安全软件技术上都比较成熟且大部分企业都已实施部分安全项目 但实施安全项目之后并不是高枕无忧管理是否到位及企业员工安全意识成为企业信息安全的短板如何从管理角度提高企业的信息安全水平已成为一个重要的课题 关键词信息安全;管理;意识 从安全软硬件出发大多安全实施厂家已有较成熟的方案一旦项目实施完成后企业往往容易忽略人员意识、IT审计、后续管理等因素对信息安全的影响 本文就如何解决企业信息安全短板从管理角度进行探讨 1管理安全的含义和IT审计的特点 从大的方面来说信息安全是指信息网络的硬件、软件及其系统中的数据受到保护不受偶然的或者恶意的原因而遭到破坏、更改、泄露系统连续可靠正常地运行信息服务不中断 直接反映到企业来说就是要通过实施一整套适当的控制措施实现企业各业务系统正常运行确保安全目标的实现 本文从管理角度探讨企业的信息安全可以简称为管理安全它是指建立并有效落实企业规章制度、安全管理规定等来保证系统安全生存与运行 企业安全管理的规章制度是否运行有效直接关系到企业安全目标能否保障在此管理过程中需要引入IT审计 IT审计重点内容之一就是发现信息系统的潜在风险可以说企业信息中心对潜在的IT风险是比较重视的 实施IT审计能够提高企业信息系统的安全性能够客观评价信息系统安全现状 2从管理角度看企业中存在的主要信息安全威胁 1)企业日常信息化管理中会碰到以下一些现象如：明知计算机病毒无孔不入却不安装杀毒软件;个人认证的物品(如员工门禁卡)随意借用他人;进入门禁系统之后对他人尾随不理不问;移动存储介质外借他人却不知可能造成感染病毒或泄密;打印服务器、扫描服务器等公用电脑临时存放许多信息却不删除 从上述现象中可以得知企业员工信息安全意识淡薄会产生较多安全漏洞 据年度中国企业员工信息安全意识调查报告显示30%的受访者从来没有接受过信息安全培训只有30%的企业会进行定期的信息安全培训1; 2)企业信息安全项目做的深度是与企业信息化发展水平相关的一般企业会根据本身的信息化水平发展程度分步骤进行 企业初始阶段会通过封USB端口不配置光驱等形式防止电子文档传播至外界 现阶段已有部分企业关注电子文档防泄密的软件同时配以相应的制度从一定程度上能达到预期的效果 项目实施后往往会发现效果难以保持因为企业缺少相关的信息安全审计人员在审计工作不到位的情况下安全软件的审计功能无法体现其价值; 3)企业通过安全软件对电子文档进行管理在实物管理方面缺乏措施 办公室文印区域是企业信息泄密的源头之一外单位人员进入企业进行交流时通常会经过办公室文印区域员工打印文件后如不及时拿取容易将技术资料留在在打印机上给有心之人获取容易造成泄密 计算机、笔记本等办公设备故障外移送修送修前未经过审核批准不对硬盘做处理上述这些日常办公现象存在着信息安全漏洞2 3信息安全短板的对策措施强管理 尽管企业防火墙、防毒墙等安全硬件设施或安全软件都较齐全但是采取恰当的管理措施也能有效的提高信息安全水平最终有效地保护企业信息资产 本文总结了以下几种管理方法并加以说明 1)提高员工安全意识关键是做好培训 一方面企业信息中心要组织好讲师及培训素材 培训素材可结合生活中的信息安全案例或者通过动画情景介绍等较生动的方式寓教于乐让每个企业员工明白数据等无形资产的重要性理解数据信息安全是企业的生存发展壮大的法宝 在培训方式上可采用循序渐进的培训方式不急于求全可从最基本的启用标准的计算机密码(如大小写字母+数字)、离开座位时使用屏保等开始培养 后续可陆续完善公司涉密规章制度同时认真落实要让员工真正懂得防止泄密的办法; 2)通过IT审计严把信息安全管理关 企业做好IT审计从以下几方面入手：一方面是人才培养企业审计部门需要引入类似IT审计师的角色尽管现阶段大部分中小企业未能做到这一点但可参照国际上通用的认证培训国际信息系统审计师把企业信息管理人员送出外培提高兼职型IT审计人员的技术水平及能力;另一方面是IT审计人员职责要明确从实践上看IT审计人员工作内容包括查看企业人员是否按照已有的涉密规章制度进行审批手续、定期将审计报表反馈给高层监督整改落实的情况及效果验证使企业自上而下重视信息安全管理; 3)让安全软件的审计功能发挥作用 市场上的电子文档防泄密系统提供日志审计功能 日志系统主要用来跟踪和记录用户对受控文件的操作、记录管理员设定的策略和操作 企业系统管理员要对文件日志、部门日志、计算机日志、申请审批日志等进行定期检查同时发挥IT审计人员的监督作用才可让安全软件的审计记录发挥作用; 4)利用刷卡认证方式管理文档输出 办公类信息安全管理方面涉及到各类业务系统的账户管理、文档输出管理、存储设备管理等 现有企业一般是通过制度约束但效果不明显这里结合新的管理方式对文档输出管理进行说明 一般我们不会一直等在打印机旁没有把打印好的资料及时拿走 而所打印的资料大多是技术图纸、商务合同、计划等资料让人不经意地看到相关内容及敏感信息 要减少因遗忘而将已输出的文档滞留在文印设备上可结合IC刷卡认证的方式企业通过为文印设备配备一些读卡器只有当刷员工卡时文档才从文印设备输出员工可即刻拿走 总之企业信息安全是一个多点因素的难题涉及技术、管理、应用等方面随着企业信息化的发展各类信息系统及软件资产不断增多从管理角度保障信息安全增强企业员工安全意识成为企业成长的重中之重 参考文献 1北京谷安天下科技有限公司.年度中国企业员工信息安全意识调查报告R. 2杨锴新、刘洁.关于企业信息安全管理的思考J.经管空间5. 加强企业信息安全【2】 【摘要】随着国网公司信息化建设工作的不断推进信息安全工作的重要性日益凸显 由于国网公司内网终端分布范围广内网计算机终端违规外联