企業(yè)信息安全評(píng)估

前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇企業(yè)信息安全評(píng)估范文，相信會(huì)為您的寫作帶來幫助，發(fā)現(xiàn)更多的寫作思路和靈感。

企業(yè)信息安全評(píng)估范文第1篇

關(guān)鍵詞 企業(yè)網(wǎng) 信息系統(tǒng) 風(fēng)險(xiǎn)評(píng)估

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A

一、引言

信息技術(shù)在商業(yè)上的廣泛應(yīng)用，使得企業(yè)對(duì)信息系統(tǒng)的依賴性增大。信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估是辨別各種系統(tǒng)的脆弱性及其對(duì)系統(tǒng)構(gòu)成威脅，識(shí)別系統(tǒng)中存在的風(fēng)險(xiǎn)，并將這些風(fēng)險(xiǎn)進(jìn)行定性，定量的分析，最后制定控制和變更措施的過程 。通過安全評(píng)估能夠明確企業(yè)信息系統(tǒng)的安全威脅，了解企業(yè)信息系統(tǒng)的脆弱性，并分析可能由此造成的損失或影響，為滿足企業(yè)信息安全需求和降低風(fēng)險(xiǎn)提供必要的依據(jù)。

二、安全風(fēng)險(xiǎn)評(píng)估的關(guān)鍵要素

信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的三個(gè)關(guān)鍵要素是信息資產(chǎn)、威脅、弱點(diǎn)（即脆弱性）。每個(gè)要素都有各自的屬性，信息資產(chǎn)的屬性是資產(chǎn)價(jià)值。威脅的屬性是威脅發(fā)生的可能性，弱點(diǎn)的屬性是弱點(diǎn)被威脅利用后對(duì)資產(chǎn)帶來的影響的嚴(yán)重程度。

對(duì)企業(yè)信息系統(tǒng)的本身?xiàng)l件和歷史數(shù)據(jù)進(jìn)行整理分析，得到威脅，脆弱點(diǎn)分析如下：

實(shí)物資產(chǎn)的脆弱性：對(duì)電腦等辦公物品的保護(hù)措施不力，辦公場(chǎng)所防范災(zāi)害措施不力，電纜松動(dòng)，通訊線路保護(hù)缺失。

信息資產(chǎn)的脆弱性：相關(guān)技術(shù)文檔不全，信息傳輸保護(hù)缺失，撥號(hào)線路網(wǎng)絡(luò)訪問受限，單點(diǎn)故障，網(wǎng)絡(luò)管理不力，不受控制的拷貝。

軟件資產(chǎn)的脆弱性：未使用正版穩(wěn)定軟件。

人員的脆弱性：對(duì)外來人員監(jiān)管不力，安全技術(shù)培訓(xùn)不力，授權(quán)使用控制不力，內(nèi)部員工的道德培訓(xùn)不力。

三、風(fēng)險(xiǎn)評(píng)估過程

風(fēng)險(xiǎn)評(píng)估是信息系統(tǒng)安全保障的核心和關(guān)鍵。風(fēng)險(xiǎn)評(píng)估過程分為風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)管理。

風(fēng)險(xiǎn)識(shí)別是分析系統(tǒng)，找出系統(tǒng)的薄弱點(diǎn)和在運(yùn)行過程中可能存在的風(fēng)險(xiǎn)。為了保證風(fēng)險(xiǎn)分析的的及時(shí)性和有效性，管理層面應(yīng)該有具備豐富風(fēng)險(xiǎn)知識(shí)的部門經(jīng)理、IT人員、關(guān)鍵用戶、審計(jì)人員和專家顧問，他們能夠幫助快速地指出關(guān)鍵風(fēng)險(xiǎn)。

風(fēng)險(xiǎn)分析是對(duì)已識(shí)別的風(fēng)險(xiǎn)進(jìn)行分析，確定各個(gè)風(fēng)險(xiǎn)可能造成的影響和損失，并按照其造成的影響和損失大小進(jìn)行排序，得到風(fēng)險(xiǎn)的級(jí)別。風(fēng)險(xiǎn)分析有助于企業(yè)就安全項(xiàng)目和構(gòu)成該項(xiàng)目的安全組成部分編制正確的預(yù)算，有助于將安全項(xiàng)目的目標(biāo)與企業(yè)的業(yè)務(wù)目標(biāo)和要求結(jié)合起來。

風(fēng)險(xiǎn)管理是由以上步驟得到的結(jié)果，制定相應(yīng)的保護(hù)措施。通過實(shí)施在評(píng)估階段創(chuàng)建的各種計(jì)劃，并用這些計(jì)劃來創(chuàng)建新的安全策略，在完成補(bǔ)救措施策略的開發(fā)和相關(guān)系統(tǒng)管理的更改，并且確定其有效性的策略和過程已經(jīng)寫好之后，即進(jìn)行安全風(fēng)險(xiǎn)補(bǔ)救措施測(cè)試。在測(cè)試過程中，將按照安全風(fēng)險(xiǎn)的控制效果來評(píng)估對(duì)策的有效性。

四、評(píng)估系統(tǒng)的設(shè)計(jì)

（一）評(píng)估系統(tǒng)的體系結(jié)構(gòu)和運(yùn)行環(huán)境。

該評(píng)估系統(tǒng)主要采用B/S/S三層體系結(jié)構(gòu)，即包括客戶端、應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器三部分。其結(jié)構(gòu)示意圖如圖1所示：其中，客戶端通過Web瀏覽器訪問應(yīng)用服務(wù)器，在Web頁面的引導(dǎo)下指導(dǎo)用戶與評(píng)估人員進(jìn)行風(fēng)險(xiǎn)識(shí)別、數(shù)據(jù)收集，并顯示最后的評(píng)估結(jié)果。同時(shí)豐富的在線幫助信息又為用戶及評(píng)估人員參與風(fēng)險(xiǎn)評(píng)估以及管理員進(jìn)行系統(tǒng)維護(hù)提供了很好的在線支持，系統(tǒng)管理員也可以利用任意一臺(tái)客戶端登錄管理帳號(hào)對(duì)系統(tǒng)數(shù)據(jù)庫進(jìn)行權(quán)限范圍內(nèi)的維護(hù)。管理者需了解部門、員工及資產(chǎn)總體情況，明確風(fēng)險(xiǎn)種類及大小，并以知識(shí)庫的形式，為如何處置風(fēng)險(xiǎn)提供了一些解決方案。面向評(píng)估人員的功能模塊，展示了本部門目前面臨的威脅和薄弱點(diǎn)情況，幫助評(píng)估人員明確風(fēng)險(xiǎn)。相比而言，該模塊更主要的功能，是協(xié)助上報(bào)本部門的人員及資產(chǎn)信息，以滿足評(píng)估需要。

圖1 評(píng)估系統(tǒng)體系結(jié)構(gòu)

應(yīng)用服務(wù)器處理收集到的風(fēng)險(xiǎn)信息，并采取多種手段，利用綜合評(píng)估算法 ，完成信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估，并實(shí)時(shí)將執(zhí)行結(jié)果返回給客戶端Web瀏覽器。應(yīng)用服務(wù)器配置了系統(tǒng)運(yùn)行所需要的Web服務(wù)器程序以及Web站點(diǎn)頁面文件，我們選擇動(dòng)態(tài)網(wǎng)頁編程技術(shù)對(duì)系統(tǒng)的Web站點(diǎn)頁面文件進(jìn)行編碼和開發(fā)。數(shù)據(jù)庫服務(wù)器上配置了系統(tǒng)運(yùn)行所需要的SQL Server數(shù)據(jù)庫管理程序以及系統(tǒng)數(shù)據(jù)庫資源，通過Web服務(wù)器與客戶端實(shí)現(xiàn)實(shí)時(shí)數(shù)據(jù)交互。

（二）工作流程設(shè)計(jì)

首先，對(duì)信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)數(shù)據(jù)采集，用戶填寫由評(píng)估單位制定的評(píng)估申請(qǐng)，將信息系統(tǒng)按具體情況進(jìn)行分類，同時(shí)利用漏洞掃描器、正反向工具從技術(shù)角度了解系統(tǒng)的安全配置和運(yùn)行的應(yīng)用服務(wù)，使得評(píng)估人員從整體上了解該信息系統(tǒng)及其評(píng)估重點(diǎn)，并針對(duì)系統(tǒng)業(yè)務(wù)特點(diǎn)進(jìn)行裁剪；接下來，在前面所做的工作的基礎(chǔ)上，圍繞著系統(tǒng)所承載的業(yè)務(wù)對(duì)數(shù)據(jù)進(jìn)行資產(chǎn)、威脅、脆弱性分析；最后，依據(jù)發(fā)生的可能性及對(duì)系統(tǒng)業(yè)務(wù)造成的影響對(duì)識(shí)別的風(fēng)險(xiǎn)進(jìn)行分類，利用定性和定量的評(píng)估算法以及消除主觀性的各種算法，對(duì)風(fēng)險(xiǎn)識(shí)別中獲得的風(fēng)險(xiǎn)信息進(jìn)行風(fēng)險(xiǎn)綜合評(píng)估，并在整體和局部、管理和技術(shù)風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上，生成評(píng)估報(bào)告。

（三）數(shù)據(jù)庫設(shè)計(jì)

該系統(tǒng)的數(shù)據(jù)庫由企業(yè)信息庫、知識(shí)庫、評(píng)估標(biāo)準(zhǔn)庫和評(píng)估方法庫組成，采用SQL Server數(shù)據(jù)庫管理系統(tǒng)作為該數(shù)據(jù)庫的開發(fā)和運(yùn)行平臺(tái)，其中：企業(yè)信息庫存儲(chǔ)的是有關(guān)企業(yè)信息系統(tǒng)的基本信息；評(píng)估方法庫存儲(chǔ)了針對(duì)所設(shè)計(jì)的評(píng)估結(jié)構(gòu)所采用的評(píng)估方法集合；知識(shí)庫存儲(chǔ)的是以往已評(píng)估系統(tǒng)的完整評(píng)估資料，可以為當(dāng)前的風(fēng)險(xiǎn)評(píng)估提供可借鑒的經(jīng)驗(yàn)；在數(shù)據(jù)庫設(shè)計(jì)中評(píng)估標(biāo)準(zhǔn)庫是幾個(gè)庫中最重要也是工作量最大的部分，該庫涵蓋了各評(píng)估標(biāo)準(zhǔn)的評(píng)估要素，即遵從標(biāo)準(zhǔn)，又針對(duì)各行業(yè)的業(yè)務(wù)特點(diǎn)，提供了靈活的數(shù)據(jù)結(jié)構(gòu)。

（四）網(wǎng)站內(nèi)容風(fēng)險(xiǎn)算法。

對(duì)風(fēng)險(xiǎn)進(jìn)行計(jì)算，需要確定影響的風(fēng)險(xiǎn)要素、要素之間的組合方式、以及具體的計(jì)算方法。將風(fēng)險(xiǎn)要素按照組合方式使用具體的計(jì)算方法進(jìn)行計(jì)算，得到風(fēng)險(xiǎn)值。目前通用的風(fēng)險(xiǎn)評(píng)估中風(fēng)險(xiǎn)值計(jì)算涉及的風(fēng)險(xiǎn)要素一般為資產(chǎn)、威脅、和脆弱性。由威脅和脆弱性確定安全事件發(fā)生的可能性，由資產(chǎn)和脆弱性確定安全事件的損失；由安全事件發(fā)生的可能性和安全事件的損失確定風(fēng)險(xiǎn)值。目前，常用的計(jì)算方法是矩陣法和相乘法。

五、總結(jié)

網(wǎng)絡(luò)技術(shù)的發(fā)展在加速信息交流與共享的同時(shí)，也加大了網(wǎng)絡(luò)信息安全事故發(fā)生的可能性。對(duì)企業(yè)信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估，可以了解其安全風(fēng)險(xiǎn)，評(píng)估這些風(fēng)險(xiǎn)可能帶來的安全威脅與影響程度，為安全策略的確定、信息系統(tǒng)的建立及安全運(yùn)行提供依據(jù)，給用戶提供信息技術(shù)產(chǎn)品和系統(tǒng)可靠性的信心，增強(qiáng)產(chǎn)品、企業(yè)的競(jìng)爭力。

（作者：武漢職業(yè)技術(shù)學(xué)院計(jì)算機(jī)系教師，碩士，研究方向：計(jì)算機(jī)網(wǎng)絡(luò)及其應(yīng)用、信息安全）

注釋：

企業(yè)信息安全評(píng)估范文第2篇

[關(guān)鍵詞]信息安全管理 評(píng)估模型 管理體系

中圖分類號(hào)：P9.T3308 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-914X（2016）21-0400-01

1、 引言

隨著信息化建設(shè)的發(fā)展，信息安全越來越多的受到人們的重視，企業(yè)信息安全重點(diǎn)面臨的問題主要表現(xiàn)在[1]：1）網(wǎng)絡(luò)受到外部的惡意攻擊，部分單位無終端接入控制措施，使企業(yè)的正常業(yè)務(wù)無法開展或相關(guān)重要數(shù)據(jù)被盜?。?）網(wǎng)站受到黑客攻擊，由于部分掌握網(wǎng)絡(luò)技術(shù)的不法人員查詢到破解網(wǎng)站所存在的漏洞，加以利用并篡改網(wǎng)站信息及獲取網(wǎng)站管理權(quán)限，使得網(wǎng)站陷入癱瘓；3）信息的監(jiān)管不利產(chǎn)生不良的影響，通常情況下信息沒有主管部門負(fù)責(zé)審核導(dǎo)致監(jiān)管不到位，那么不良信息就可能由于工作人員的疏忽而上傳到網(wǎng)站上，造成不良影響；4）計(jì)算機(jī)病毒的危害，相關(guān)系統(tǒng)不及時(shí)更新補(bǔ)丁和升級(jí)，受到病毒入侵并加以利用，篡改應(yīng)用系統(tǒng)信息或獲取管理權(quán)限，使得應(yīng)用系統(tǒng)丟失重要信息。

當(dāng)前，有關(guān)信息系統(tǒng)的安全評(píng)價(jià)雖然存在著多種多樣的具體實(shí)踐方式，但在目前還沒有形成系統(tǒng)化和形式化的評(píng)價(jià)理論和方法。評(píng)價(jià)模型基本是基于灰色理論（Gray Theory）或者模糊（Fuzzy）數(shù)學(xué)，而評(píng)價(jià)方法基本上用層次分析法AHP[2]（Analytic Hierarchy Process）或模糊層次分析法Fuzzy AHP[3]將定性因素與定量參數(shù)結(jié)合，建立了安全評(píng)價(jià)體系，并運(yùn)用隸屬函數(shù)和隸屬度確定待評(píng)對(duì)象的安全狀況。上述各種安全評(píng)估思想都是從信息系統(tǒng)安全的某一個(gè)方面出發(fā)，如技術(shù)、管理、過程、人員等，著重于評(píng)估網(wǎng)絡(luò)系統(tǒng)安全某一方面的實(shí)踐規(guī)范。在操作上主觀隨意性較強(qiáng)，其評(píng)估過程主要依靠測(cè)試者的技術(shù)水平和對(duì)網(wǎng)絡(luò)系統(tǒng)的了解程度，缺乏統(tǒng)一的、系統(tǒng)化的安全評(píng)估框架，很多評(píng)估準(zhǔn)則和指標(biāo)沒有與被評(píng)價(jià)對(duì)象的實(shí)際運(yùn)行情況和信息安全保障的效果結(jié)合起來。

大型企業(yè)信息安全管理體系的研究，就是為了尋找一個(gè)科學(xué)、合理的管理體系，并根據(jù)該體系和方法對(duì)大型企業(yè)的信息安全狀況和水平進(jìn)行評(píng)價(jià)，對(duì)信息安全管理績效進(jìn)行考核。

2、 大型企業(yè)信息安全管理體系的內(nèi)涵

通過管理體系的應(yīng)用，將對(duì)大型企業(yè)信息安全產(chǎn)生非常重要的作用。一是可以對(duì)企業(yè)信息安全的水平做出客觀的反應(yīng)，認(rèn)識(shí)企業(yè)信息安全存在的不足之處，發(fā)揮考評(píng)體系的指導(dǎo)作用，引導(dǎo)企業(yè)“信息安全”工作健康科學(xué)發(fā)展；二是可以為企業(yè)信息安全的建設(shè)指明方向，為信息安全的發(fā)展提供有力支撐；三是可以幫助企業(yè)管理者建立起一套科學(xué)的信息安全管理系統(tǒng)，有效控制信息化活動(dòng)的進(jìn)程，提高信息安全級(jí)別，減少因信息安全事件引起的損失，有利于正確引導(dǎo)和規(guī)范企業(yè)的信息化建設(shè)，指導(dǎo)企業(yè)科學(xué)發(fā)展具有重要的意義。

3、 大型企業(yè)信息安全管理體系的主要做法

為了大型企業(yè)信息安全管理體系的建立，提出了管理體系的目標(biāo)：對(duì)于信息安全方面出現(xiàn)的問題，達(dá)到防范目的；對(duì)于信息安全工作進(jìn)行查漏補(bǔ)缺，加強(qiáng)管理；通過評(píng)估體系的考核，落實(shí)相關(guān)信息安全文件、推進(jìn)信息安全工作，為企業(yè)信息安全的建設(shè)指明方向，同時(shí)注重管理體系整體的時(shí)效性，根據(jù)信息安全發(fā)展的不同階段進(jìn)行及時(shí)更新。

1） 建立大型企業(yè)信息安全體系

信息安全體系總體設(shè)計(jì)。信息安全體系設(shè)計(jì)共分為三級(jí)，包含9個(gè)一級(jí)指標(biāo)，14個(gè)二級(jí)指標(biāo)，27個(gè)三級(jí)指標(biāo)。一級(jí)指標(biāo)和二級(jí)指標(biāo)為共性指標(biāo)，三級(jí)指標(biāo)為數(shù)據(jù)采集項(xiàng)。一級(jí)指標(biāo)包括：網(wǎng)絡(luò)安全管理、環(huán)境安全管理、應(yīng)用系統(tǒng)安全管理、數(shù)據(jù)安全管理、終端安全管理、操作安全管理、網(wǎng)絡(luò)信息安全、移動(dòng)信息化安全、服務(wù)器掃描情況。一級(jí)和二級(jí)指標(biāo)結(jié)構(gòu)圖如下：

2）信息安全考評(píng)指標(biāo)的權(quán)重設(shè)計(jì)

指標(biāo)權(quán)重理論思路。具體權(quán)重根據(jù)德爾菲法[4]、層次分析法，結(jié)合政策導(dǎo)向確定。

管理體系的指標(biāo)權(quán)重確定方法設(shè)計(jì)過程中，選取兩組技術(shù)、管理等方面的專家，其中一組專家根據(jù)各指標(biāo)在企業(yè)信息化中的重要程度，確定各指標(biāo)的相對(duì)重要性，采用層次分析法確定各指標(biāo)的權(quán)重。另外一組專家根據(jù)各指標(biāo)在企業(yè)信息化中的重要程度，對(duì)各指標(biāo)按百分制進(jìn)行賦值，確定各指標(biāo)的權(quán)重。綜合兩組專家的意見，初步確定各指標(biāo)的權(quán)重，再組織專家研討會(huì)，最終確定各指標(biāo)的權(quán)重。

企業(yè)信息安全考評(píng)指標(biāo)總分計(jì)算方法：

I=Σ（Pi*Wi） （1）

I表示指標(biāo)體系的總得分；Pi表示第i個(gè)指標(biāo)的得分，各指標(biāo)得滿分都是100分；Wi表示第i個(gè)指標(biāo)的權(quán)重，所有指標(biāo)權(quán)重的和為100%。

3）建設(shè)大型企業(yè)信息化評(píng)價(jià)管理系統(tǒng)

為了實(shí)施信息安全措施體系，以信息安全體系、信息安全文件和考評(píng)制度為基礎(chǔ)，研發(fā)包括信息安全在內(nèi)的大型企業(yè)信息化評(píng)價(jià)管理系統(tǒng)。通過使用該系統(tǒng)，將減輕信息化管理部門的負(fù)擔(dān)，填報(bào)和匯總數(shù)據(jù)的效率顯著提高，最為突出的是以上報(bào)數(shù)據(jù)為基礎(chǔ)，可以自動(dòng)、實(shí)時(shí)地形成各種統(tǒng)計(jì)、分析圖表，從而完成以往需要信息化管理人員幾天才能完成的大量統(tǒng)計(jì)工作，大大減輕了信息化管理部門的工作強(qiáng)度，增加了信息化管理部門對(duì)新情況快速反應(yīng)能力。

系統(tǒng)整體架構(gòu)由數(shù)據(jù)庫層、框架服務(wù)層、應(yīng)用邏輯層、界面表現(xiàn)層組成，系統(tǒng)部署了tomcat下運(yùn)行的I@Report和BI@Report作為框架服務(wù)層，并在此基礎(chǔ)上開發(fā)了業(yè)務(wù)系統(tǒng)。

系統(tǒng)主要實(shí)現(xiàn)了如下功能：

編碼同步、基層權(quán)限管理、評(píng)價(jià)初始化、基層初評(píng)、數(shù)據(jù)提交、部門權(quán)限管理（含單位、指標(biāo)項(xiàng)）、管理部門復(fù)評(píng)、信息稽核、數(shù)據(jù)計(jì)算、統(tǒng)計(jì)管理、查詢管理、決策模型。

建立統(tǒng)一的數(shù)據(jù)報(bào)送平臺(tái)，提高企業(yè)信息整合水平。

建立在線交流及公告平臺(tái)。

系統(tǒng)根據(jù)建立的數(shù)學(xué)模型進(jìn)行綜合分析，可自動(dòng)、實(shí)時(shí)地形成各種統(tǒng)計(jì)分析圖表、報(bào)告等，例如：信息化評(píng)級(jí)、信息化水平評(píng)測(cè)報(bào)告。

4、 結(jié)束語

通過大型企業(yè)信息安全管理體系的實(shí)施，使企業(yè)信息化水平評(píng)估體系更加完善，在考評(píng)信息化建設(shè)水平的同時(shí)，又對(duì)信息安全水平等級(jí)有所提升。

參考文獻(xiàn)

[1] 周學(xué)廣，劉藝.信息安全學(xué)[M].北京：機(jī)械工業(yè)出版社，2003.

[2] 常建娥，蔣太立.層次分析法確定權(quán)重的研究[J].武漢理工大學(xué)學(xué)報(bào)，信息與管理工程版，2007，1（29）：153-156.

企業(yè)信息安全評(píng)估范文第3篇

1.1電子信息的加密技術(shù)

所謂電子信息的加密技術(shù)也就是對(duì)于所傳送的電子信息能夠起到一定的保密作用，也能夠使信息、數(shù)據(jù)的傳遞變得更加安全和完整。電子信息的加密技術(shù)是保障電子科技企業(yè)信息安全的重要保證。加密技術(shù)也主要分為對(duì)稱以及非對(duì)稱兩類，對(duì)稱的加密技術(shù)一般都是通過序列密碼或是分組機(jī)密的方式來實(shí)現(xiàn)的。這其中還包括了明文、密鑰、加密算法以及解密算法五個(gè)基本的組成部分。而非對(duì)稱加密與對(duì)稱加密也存在一定的差異，非對(duì)稱加密必須要具備公開密鑰和私有密鑰兩個(gè)密鑰，同時(shí)，這兩種密鑰只有配對(duì)使用，這樣才能解密。因此加密技術(shù)對(duì)于電子信息的安全具有很大的保障。如果在發(fā)送電子信息的時(shí)候，發(fā)送人是使用加密技術(shù)來發(fā)送郵件的，那么有人竊取信息的時(shí)候，也只能夠得到密文，不能得到具體的信息。這樣就大大加強(qiáng)了信息傳送的安全性。加快推進(jìn)國內(nèi)關(guān)鍵行業(yè)領(lǐng)域信息系統(tǒng)的安全評(píng)估測(cè)試。在安全評(píng)估方面，主要針對(duì)主機(jī)安全保密檢查與信息監(jiān)管，采取文件內(nèi)容檢索、惡意代碼檢查、數(shù)據(jù)恢復(fù)技術(shù)、網(wǎng)絡(luò)漏洞掃描、互聯(lián)網(wǎng)網(wǎng)站檢測(cè)、語意分析等技術(shù)，評(píng)估分析重要信息是否發(fā)生泄漏，并找出泄漏的原因和渠道。

1.2防火墻技術(shù)

隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，雖然對(duì)于信息安全問題已經(jīng)不斷的得到加強(qiáng)，但是一些信息的不安全因素也在逐級(jí)的提高。有一些黑客或者是病毒木馬也在不斷的入侵，而這些不安全的因素會(huì)極大的威脅到電子科技企業(yè)信息的安全。而針對(duì)這種情況，一種比較有效的防護(hù)措施就是防火墻技術(shù)的使用。這種技術(shù)可以有效的防止黑客的入侵以及電腦中的信息被篡改等情況的發(fā)生。這樣就能夠有效的保障電子科技企業(yè)信息的安全。加強(qiáng)企業(yè)信息基礎(chǔ)設(shè)施和重要信息系統(tǒng)建設(shè)，建設(shè)面向企業(yè)的信息安全專業(yè)服務(wù)平臺(tái)。重點(diǎn)開展等級(jí)保護(hù)設(shè)計(jì)咨詢、風(fēng)險(xiǎn)評(píng)估、安全咨詢、安全測(cè)評(píng)、快速預(yù)警響應(yīng)、第三方資源共享的容災(zāi)備份、標(biāo)準(zhǔn)驗(yàn)證等服務(wù)；建設(shè)企業(yè)信息安全數(shù)據(jù)庫，為廣大企業(yè)提供快速、高效的信息安全咨詢、預(yù)警、應(yīng)急處理等服務(wù)，實(shí)現(xiàn)企業(yè)信息安全公共資源的共享共用，提高信息安全保障能力。

二、解決電子科技企業(yè)信息安全問題的方法

2.1構(gòu)建電子科技企業(yè)信息安全的管理體系

如果要想有效的保障電子科技企業(yè)的信息安全，除了要不斷的提高安全技術(shù)水平，還要建立起一套比較完善的信息安全管理體系。這樣才能使整個(gè)信息安全工作更加有條不紊的進(jìn)行。在很多電子科技企業(yè)當(dāng)中，最初所建立的相關(guān)信息制度在很大程度上都制約著信息系統(tǒng)的安全性。如果一旦安全管理制度出現(xiàn)了問題，那么一系列的安全技術(shù)都無法發(fā)揮出來。很多信息安全工作也無法正常進(jìn)行下去。因此，嚴(yán)格的信息安全管理體系對(duì)于信息安全的保障具有十分重要的作用。只有當(dāng)信息安全管理形成了一個(gè)完善的體系，那么信息安全工作才能夠更加順利的進(jìn)行，同時(shí)也能夠大大的提升信息安全的系數(shù)。

2.2利用電子科技企業(yè)自身的網(wǎng)絡(luò)條件來提供信息安全服務(wù)

一般來說，電子科技企業(yè)都擁有自己的局域網(wǎng)，很多企業(yè)也可以通過局域網(wǎng)來相互連通。因此，電子科技企業(yè)應(yīng)該充分的利用這一特點(diǎn)為自身的企業(yè)提供良好地信息安全服務(wù)。通過局域網(wǎng)的連通，不僅能夠在這個(gè)平臺(tái)上及時(shí)的公布一些安全公告以及安全法規(guī)，同時(shí)還可以進(jìn)行一些安全軟件的下載，為員工提供一些關(guān)于信息安全的培訓(xùn)。這樣不僅能夠?yàn)槠髽I(yè)之間的員工提供一個(gè)安全的互相交流的平臺(tái)，同時(shí)還能夠很好的保障企業(yè)信息安全。針對(duì)企業(yè)主機(jī)安全保密檢查與信息監(jiān)管，采取文件內(nèi)容檢索、惡意代碼檢查、數(shù)據(jù)恢復(fù)技術(shù)、網(wǎng)絡(luò)漏洞掃描、互聯(lián)網(wǎng)網(wǎng)站檢測(cè)、語意分析等技術(shù)，評(píng)估分析重要信息是否發(fā)生泄漏，并找出泄漏的原因和渠道。

2.3定期對(duì)信息安全防護(hù)軟件進(jìn)行及時(shí)的更新

企業(yè)信息安全評(píng)估范文第4篇

【關(guān)鍵詞】 電力企業(yè) 信息安全 管理 問題 完善措施

1 前言

電力企業(yè)信息技術(shù)的發(fā)展起始于20世紀(jì)90年代，最早的計(jì)算機(jī)應(yīng)用開始于財(cái)務(wù)管理、營銷管理等辦公業(yè)務(wù)，隨著信息技術(shù)的不斷深入發(fā)展，信息技術(shù)在電力企業(yè)的應(yīng)用范圍也日益擴(kuò)大和深化，目前已經(jīng)滲透入電力企業(yè)運(yùn)營管理的全過程，信息技術(shù)也漸漸從開始的“配角”提升為電力企業(yè)運(yùn)營管理的“主角”。在電力企業(yè)信息化技術(shù)應(yīng)用日趨成熟、重要程度日益上升的今天，企業(yè)對(duì)信息化的管理和關(guān)注重點(diǎn)也在不停的發(fā)生變化，一方面信息化成果已成為企業(yè)甚至社會(huì)的重要資源，在整個(gè)企業(yè)的生產(chǎn)運(yùn)行、電網(wǎng)調(diào)度、辦公管理等各個(gè)方面發(fā)揮著重要的作用;另一方面由于信息技術(shù)的迅猛發(fā)展而帶來的信息安全事故、事件屢見不鮮，信息安全問題與矛盾日益顯著。而信息安全工程是一個(gè)多層面、多因素的、綜合的、動(dòng)態(tài)的系統(tǒng)工程。企業(yè)要實(shí)現(xiàn)信息安全管理，就必須不斷完善和建立一套行之有效的信息安全管理與技術(shù)有機(jī)結(jié)合的安全防范體系。

2 我國電力企業(yè)信息安全管理存在的問題

2.1 電力企業(yè)普遍存在重技術(shù)、輕管理的問題

信息安全是“三分技術(shù)、七分管理”，但是現(xiàn)在許多電力企業(yè)任普遍存在重技術(shù)、輕管理的問題，甚至很多電力企業(yè)根本沒有完善的安全管理制度，并且管理人員信息安全意識(shí)普遍不高，這也就在一定程度上加深了企業(yè)信息安全風(fēng)險(xiǎn)。要知道再好的技術(shù)在其運(yùn)行的過程中管理才是第一位的，比如在實(shí)際工作中，有最好的技術(shù)，但是如果管理不到位，系統(tǒng)的運(yùn)行、維護(hù)和開發(fā)等崗位分配不清，職責(zé)劃分不明，存在一人身兼多職的現(xiàn)象，再先進(jìn)的技術(shù)也不可能發(fā)揮其應(yīng)有的效力，一樣不具備競(jìng)爭力、防御力。又如，企業(yè)在管理過程中對(duì)網(wǎng)絡(luò)工作人員的基本技能和素質(zhì)要求把關(guān)不嚴(yán)格，極易造成因網(wǎng)絡(luò)工作人員因操作不當(dāng)而造成硬件或者軟件出現(xiàn)漏洞，使惡意份子有機(jī)可乘，同樣影響網(wǎng)絡(luò)信息安全。

2.2 電力企業(yè)對(duì)員工的信息安全意識(shí)宣傳不到位

隨著信息安全地位的不斷攀升，電力企業(yè)對(duì)信息安全也越來越重視，但是，企業(yè)對(duì)于信息安全的培訓(xùn)力度仍顯不夠，電力企業(yè)員工信息安全意識(shí)仍非常低。如，一些電力員工在離開辦公場(chǎng)所時(shí)，沒有意識(shí)主動(dòng)關(guān)閉電腦或鎖定屏幕，因此容易造成企業(yè)數(shù)據(jù)的丟失及客戶信息的泄漏。又如，一些員工為了貪圖方便省事，直接將系統(tǒng)賬號(hào)交給第三方人員進(jìn)行操作，容易造成系統(tǒng)數(shù)據(jù)的錯(cuò)失遺漏，或者出現(xiàn)未授權(quán)的審批等等。再如，還有一些員工對(duì)于未確定安全性的文件防范意識(shí)不夠，一旦點(diǎn)擊打開后，就容易造成木馬的植入或者病毒的擴(kuò)散，從而造成數(shù)據(jù)的泄漏或丟失破壞。

2.3 電力企業(yè)信息安全技術(shù)不夠完善

首先，在計(jì)算機(jī)的使用方面，有很多的辦公計(jì)算機(jī)還是內(nèi)網(wǎng)與外網(wǎng)混合使用的狀態(tài)。雖然公司已經(jīng)做出了相應(yīng)的規(guī)定，要求內(nèi)網(wǎng)與外網(wǎng)進(jìn)行分開使用。但是，內(nèi)外網(wǎng)混用情況仍十分嚴(yán)重，這就會(huì)給安全問題帶來極大的隱患。其次，一些電力企業(yè)對(duì)移動(dòng)介質(zhì)的使用管理比較松散。如：一些企業(yè)的移動(dòng)介質(zhì)不需授權(quán)就能直接接入辦公電腦中，容易讓別有用心的人加以利用，從而拷貝了公司的內(nèi)部資料，造成企業(yè)損失。又如，一些員工在未確保外來移動(dòng)介質(zhì)正常的情況下就接入內(nèi)部網(wǎng)絡(luò)，容易造成病毒的傳入，從而影響內(nèi)部網(wǎng)絡(luò)的正常以及數(shù)據(jù)的安全。最后，部分電力企業(yè)數(shù)據(jù)庫數(shù)據(jù)和文件的明文存儲(chǔ)保護(hù)不完善。供電行業(yè)應(yīng)用系統(tǒng)基本上基于商業(yè)軟硬件系統(tǒng)設(shè)計(jì)和開發(fā)，用戶身份認(rèn)證基本上采用口令的鑒別模式，而這種模式很容易被攻破。

3 完善電力企業(yè)信息安全管理的具體措施

3.1 完善電力企業(yè)安全風(fēng)險(xiǎn)的評(píng)估

電力企業(yè)要解決網(wǎng)絡(luò)安全問題并不能夠僅僅是從技術(shù)上進(jìn)行考慮，技術(shù)是安全的主體，但是卻不能成為安全的靈魂，而管理才是安全的靈魂。首先電力企業(yè)必須做好安全狀況評(píng)估分析，評(píng)估應(yīng)聘請(qǐng)專業(yè)權(quán)威的信息安全專家或者咨詢機(jī)構(gòu)，并組織企業(yè)內(nèi)部信息人員和專業(yè)人員深度參與，全面進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估，搞清楚信息系統(tǒng)現(xiàn)有以及潛在的風(fēng)險(xiǎn)，充分評(píng)估這些風(fēng)險(xiǎn)可能帶來的危害和影響，針對(duì)評(píng)估出來的風(fēng)險(xiǎn)制定詳細(xì)的解決預(yù)防方案并認(rèn)真實(shí)施，實(shí)施完成后還要定期對(duì)其進(jìn)行評(píng)估和不斷改進(jìn)完善。其次，網(wǎng)絡(luò)安全離不開各種安全技術(shù)的具體實(shí)施以及各種安全產(chǎn)品的部署，但是現(xiàn)在市面上安全技術(shù)及產(chǎn)品種類繁多，讓人眼花繚亂，難以進(jìn)行抉擇，我們信息安全系統(tǒng)建設(shè)中心內(nèi)容是安全和穩(wěn)定，所以我們企業(yè)應(yīng)盡量采用成熟的技術(shù)和產(chǎn)品，不能過分求全求新。最后，培養(yǎng)信息安全專門人才和加強(qiáng)信息安全管理工作必須與信息安全防護(hù)系統(tǒng)建設(shè)同步進(jìn)行，才能真正發(fā)揮信息安全防護(hù)系統(tǒng)和設(shè)備的作用。

3.2 不斷完善電力企業(yè)信息安全管理制度

首先，構(gòu)建良好的管理體制，在網(wǎng)絡(luò)系統(tǒng)管理中，要做到管業(yè)務(wù)不管系統(tǒng)，管系統(tǒng)不管業(yè)務(wù)，如果二者混淆，就容易將所有權(quán)限落入一人之手，若該員工，同樣造成網(wǎng)絡(luò)信息安全的極大威脅。其次，數(shù)據(jù)安全管理制度，即確保數(shù)據(jù)存儲(chǔ)介質(zhì)（設(shè)備）的安全;定時(shí)進(jìn)行數(shù)據(jù)備份，備份數(shù)據(jù)必須異地存放;對(duì)數(shù)據(jù)的操作需經(jīng)主管部門的審批、同意方可進(jìn)行;數(shù)據(jù)的清除、整理工作需兩人或兩人以上在場(chǎng)，并由相關(guān)部門進(jìn)行監(jiān)督、記錄。最后，準(zhǔn)入管理制度。準(zhǔn)入管理又稱密碼、權(quán)限管理，通過準(zhǔn)入系統(tǒng)可以判斷請(qǐng)求登錄的用戶是否是合法的、值得信任的。

3.3 加強(qiáng)對(duì)電力企業(yè)全員信息安全的教育及培訓(xùn)，提升全員信息安全意識(shí)

對(duì)于企業(yè)信息安全工作的開展不是一個(gè)部門一個(gè)人的事，而是我們電力公司全體員工的事情，所以必須提高企業(yè)全體員工的信息安全意識(shí)。通過開展多種形式的信息安全知識(shí)培訓(xùn)，可以提高員工的警惕性以及養(yǎng)成良好的計(jì)算機(jī)使用習(xí)慣。在不定時(shí)開展信息安全教育和培訓(xùn)的時(shí)候應(yīng)注意安全教育知識(shí)的層次性。主管信息安全工作的負(fù)責(zé)人和各級(jí)信息安全員，重點(diǎn)要了解和掌握信息安全的整體策略及目標(biāo)、安全管理部門的建立和管理制度的制定等;負(fù)責(zé)信息安全運(yùn)行管理及維護(hù)的技術(shù)人員，重點(diǎn)要充分理解信息安全管理策略，掌握安全管理的基本方法，精通信息系統(tǒng)的安全維護(hù)技術(shù)等;廣大信息系統(tǒng)用戶重點(diǎn)要學(xué)習(xí)各種安全操作流程和行為規(guī)范，了解和掌握與其相關(guān)的信息安全策略，包括自身應(yīng)該承擔(dān)的安全職責(zé)等。另外，我們企業(yè)還可以采取一些考核獎(jiǎng)罰措施，去激勵(lì)和約束全員認(rèn)真進(jìn)行信息安全培訓(xùn)，認(rèn)真落實(shí)信息安全操作，從而有效提高我們電力企業(yè)整體信息安全水平，提高信息安全意識(shí)，最終有效避免信息安全問題或失泄密事件的發(fā)生。

3.4 不斷完善和提升電力企業(yè)信息安全技術(shù)

第一，對(duì)電力企業(yè)內(nèi)部和外部網(wǎng)絡(luò)進(jìn)行物理隔離。采用最高效的解決信息網(wǎng)絡(luò)安全問題的辦法：將局域網(wǎng)與外網(wǎng)物理隔離，使局域網(wǎng)內(nèi)的用戶只能訪問內(nèi)網(wǎng)資源，外網(wǎng)計(jì)算機(jī)無法與內(nèi)網(wǎng)相連接。通過這種方法可以很大程度地防止互聯(lián)網(wǎng)上的病毒、流氓軟件等的入侵，避免企業(yè)及用戶個(gè)人的重要信息與數(shù)據(jù)的失竊，進(jìn)而可以控制可能由此造成的無法估計(jì)的損失。其次，對(duì)于移動(dòng)介質(zhì)，應(yīng)加入認(rèn)證管理，只有被預(yù)先授權(quán)的介質(zhì)才能接入內(nèi)網(wǎng)，對(duì)于數(shù)據(jù)的拷貝，只能通過加密形式處理。第三，數(shù)據(jù)與系統(tǒng)備份技術(shù)。供電企業(yè)的數(shù)據(jù)庫必須定期進(jìn)行備份，按其重要程度確定數(shù)據(jù)備份等級(jí)。配置數(shù)據(jù)備份策略，建立數(shù)據(jù)備份中心，采用先進(jìn)災(zāi)難恢復(fù)技術(shù)，對(duì)關(guān)鍵業(yè)務(wù)的數(shù)據(jù)與應(yīng)用系統(tǒng)進(jìn)行備份，制定詳盡的應(yīng)用數(shù)據(jù)備份和數(shù)據(jù)庫故障恢復(fù)預(yù)案，并進(jìn)行定期預(yù)演。計(jì)算機(jī)病毒傳播廣，破壞力大，會(huì)嚴(yán)重影響電力企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)行。因此，為了使電力企業(yè)免受病毒的侵害，作為網(wǎng)絡(luò)管理人員應(yīng)該建立從主機(jī)到服務(wù)器的完善的防病毒體系，建立健全的網(wǎng)絡(luò)信息管理制定，以此來有效的提高電力企業(yè)網(wǎng)絡(luò)信息的安全管理。最后，建立信息安全身份認(rèn)證體系。供電企業(yè)面對(duì)來自內(nèi)部和外部信息安全風(fēng)險(xiǎn)威脅，需建立有效的信息安全身份認(rèn)證體系，實(shí)現(xiàn)網(wǎng)絡(luò)危險(xiǎn)過濾、終端準(zhǔn)入、用戶識(shí)別、上網(wǎng)授權(quán)等功能，最終實(shí)現(xiàn)企業(yè)內(nèi)網(wǎng)用戶終端安全性的提升，達(dá)成企業(yè)整網(wǎng)上網(wǎng)安全性的保障。

參考文獻(xiàn)：

[1]尹鴻波.網(wǎng)絡(luò)環(huán)境下企業(yè)信息安全管理對(duì)策研究[J].電腦與信息技術(shù)，2011（4）.

[2]馮慧昌.信息安全管理現(xiàn)狀與研究策略[J].科技風(fēng)，2012（7）.

[3]姚軍.中科網(wǎng)威助力工業(yè)網(wǎng)絡(luò)信息安全[J].企業(yè)研究，2O12（12）.

[4]胡國勝，張迎春.信息安全基礎(chǔ)[M].北京：電子工業(yè)出版社，2011.

[5]胡泉軍，王以群，張延芝.企業(yè)信息安全管理中組織管理失誤因素分析[J].工業(yè)工程，2009（2）.

企業(yè)信息安全評(píng)估范文第5篇

在經(jīng)濟(jì)高速發(fā)展的今天,企業(yè)的信息安全對(duì)于企業(yè)的發(fā)展具有非常重要的意義,而企業(yè)的信息如果被竊取、泄漏給企業(yè)所帶來的是巨大的損失,所以企業(yè)必須對(duì)信息安全問題引起足夠的重視。對(duì)于已經(jīng)做好信息安全工作的企業(yè),應(yīng)認(rèn)識(shí)到安全軟件并不能時(shí)時(shí)的做好安全防護(hù),要做好安全防護(hù)還應(yīng)加強(qiáng)管理,筆者結(jié)合實(shí)踐工作經(jīng)驗(yàn)提出以下幾點(diǎn)建議。

1.1樹立正確安全意識(shí)

企業(yè)在信息化發(fā)展的進(jìn)程中,應(yīng)意識(shí)到企業(yè)信息的安全問題與企業(yè)發(fā)展之間存在的關(guān)聯(lián)性。一旦企業(yè)的重要信息被竊取或外泄.企業(yè)機(jī)密被泄漏.對(duì)企業(yè)所造成的打擊是非常巨大的,同時(shí)也給競(jìng)爭對(duì)手創(chuàng)造了有利的機(jī)會(huì)。因此樹立正確的安全意識(shí)對(duì)于企業(yè)是非常重要的,這樣才能為后面的工作打下良好的基礎(chǔ)。

1.2選擇安全性能高的防護(hù)軟件

雖然任何軟件都是有可以破解方法的,但是對(duì)于安全性能高的軟件而言,其破解的困難性也隨之增加,所以企業(yè)在選擇安全軟件時(shí)應(yīng)盡量選擇安全性能高的,不要為節(jié)省企業(yè)開支而選擇性能差的防護(hù)軟件,如果出現(xiàn)問題其造成的損失價(jià)值會(huì)遠(yuǎn)遠(yuǎn)的大于軟件價(jià)格。

1.3加強(qiáng)企業(yè)內(nèi)部信息系統(tǒng)管理

首先,對(duì)于企業(yè)信息系統(tǒng)安全而言,無論是使用哪種安全軟件都會(huì)遭到攻擊和破解,所以在安全防御中信息技術(shù)并不能占據(jù)主體,而管理才是信息安全系統(tǒng)的主體。因此建立合理、規(guī)范的信息安全管理體質(zhì)對(duì)于企業(yè)而言是非常重要的,只有合理、規(guī)范的管理信息,才能為系統(tǒng)安全打下良好的基礎(chǔ)。其次,建立安全風(fēng)險(xiǎn)評(píng)估機(jī)制。企業(yè)的信息系統(tǒng)并不是在同一技術(shù)和時(shí)間下所建設(shè)的,在日常的操作和管理過程中,任何系統(tǒng)都是會(huì)存在不同的優(yōu)勢(shì)和劣勢(shì)的,因此企業(yè)應(yīng)對(duì)自身的信息系統(tǒng)做安全風(fēng)險(xiǎn)評(píng)估,根據(jù)系統(tǒng)的不同找出影響系統(tǒng)安全的漏洞和因素,并制定出詳細(xì)的應(yīng)對(duì)策略,進(jìn)而可以將系統(tǒng)被攻擊的風(fēng)險(xiǎn)降到最低。

1.4加強(qiáng)網(wǎng)絡(luò)管理

絕大部分的企業(yè)信息被竊取都是不法分子通過網(wǎng)絡(luò)進(jìn)行的,因此必須加強(qiáng)企業(yè)的網(wǎng)絡(luò)管理,才能確保企業(yè)信息系統(tǒng)在安全的狀態(tài)下運(yùn)行。針對(duì)信息安全的種類和等級(jí)制定出行之有效的方案,并提前制定出如果發(fā)生了特定的信息安全事故企業(yè)應(yīng)采取哪種應(yīng)對(duì)方案。當(dāng)企業(yè)信息安全危機(jī)發(fā)生時(shí),企業(yè)應(yīng)快速成立處理小組,根據(jù)信息安全危機(jī)的處理步驟和管理預(yù)案,做好危機(jī)處理工作,避免出現(xiàn)由于不當(dāng)處置而導(dǎo)致的連鎖危機(jī)的發(fā)生。另外,還應(yīng)在企業(yè)內(nèi)部做好信息安全的培訓(xùn)和教育工作,提高信息安全的管理意識(shí),提高工作人員對(duì)安全危機(jī)事件的處理能力。減少由于企業(yè)自身的失誤而導(dǎo)致安全危機(jī)發(fā)生的機(jī)率。

2結(jié)束語