企業(yè)信息安全及防范

1、企業(yè)信息安全及防范企業(yè)面臨的信息安全威脅有以下兩類： 其一是由于工作人員 操作不當或者惡意破壞，或者發(fā)生意外安全事故，即內部威脅。 有以下幾個方面，導致產生內部威脅的產生：第一，員工對信息 安全意識缺乏，管理人員缺乏信息安全認知， 或者管理決策水平 和信息安全意識不高。第二，缺乏既懂技術又精通信息安全的專 業(yè)人才，崗位權責不明確，不能有效實施和執(zhí)行某些安全措施。 第三，沒有先進的安全管理制度， 或者對安全制度的執(zhí)行缺乏嚴 格的管理。第四，企業(yè)管理者沒有意識到信息安全產品的重要性， 沒能從企業(yè)的實際情況出發(fā)， 根據自己的實際需求選擇企業(yè)的信 息安全產品。第五，企業(yè)對信息安全領域的資金和人員投入不

2、夠。 最后，內部人員的泄密或者惡意攻擊。其二是黑客的惡意攻擊或者感染計算機病毒和蠕蟲，即外部威脅。常見的計算機網絡的攻擊有以下幾種：第一，通過非法對 內部網絡的監(jiān)視獲得敏感信息。 第二，用非法手段獲取他人計算 機上的信息或者服務器上的數據。 第三，偽造信息發(fā)送給接受者。 第四，截留合法用戶之間的通訊信息，通過修改、刪除、插入等 方式處理后再將信息發(fā)送給接受者。最后，通過網絡傳播具有破 壞性的計算機病毒或者蠕蟲。根據筆者的工作實踐，總結了如何制訂安全策略的一些管理 辦法:一、內部管理1. 嚴格系統(tǒng)管理。 應按照部門的不同， 崗位的不同分配符合 員工權限的身份ID ;制訂相應的管理條例，嚴禁員工將

3、ID告訴其他人 （包括系統(tǒng)管理員、同事、上司、家庭成員等 ）；要求員工 不要把任何重要的信息寫在隨意放的紙條上、 粘貼的記事貼上或 者白板上;要求建立的密碼必須是“強壯的”。2. 防護病毒、 木馬及蠕蟲。 使用安全可靠的企業(yè)級病毒防護 程序，定期更新防病毒 / 防木馬軟件;定期檢查并掃描系統(tǒng);對 員工進行必要的病毒安全教育， 任何文件在未經掃描之前， 均不 允許打開。3. 控制軟件安裝。不允許員工安裝任何與工作無關的軟件， 特別是娛樂游戲方面的軟件。4. 管理可移動介質。所有非公司配備的U盤、移動硬盤、數碼相機等可移動介質，未經允許，一律不準在公司電腦上使用; 制訂相應的管理制度以杜絕員工非法

4、拷貝敏感數據， 保護企業(yè)免 受災難。5. 制訂可靠的加密手段。 重要及敏感的數據必須指定相關負 責人，并制訂相關的加密程序。6. 及時備份系統(tǒng)。 定時備份系統(tǒng)數據， 有效的災難恢復計劃 可以避免系統(tǒng)崩潰所造成的損失。7. 維護及處理事故。明確計算機信息維護及事故處理負責 人，每天定時檢查機房網絡服務器、 數據庫服務器和其他網絡設 備；制訂并演練事故應急預案， 使員工都明確地知道當發(fā)生事故 或者察覺可能的安全問題時， 應如何應急處理， 并及時聯系相關 負責人。二、網絡管理1. 網絡設置。公司應建立統(tǒng)一的局域網，按部門類別不同， 設定相應的訪問權限；網絡管理員設置網絡服務器，通過禁 IP 等方式防

5、止員工訪問娛樂、視頻及危險站點。2. 企業(yè)郵箱。 企業(yè)的郵箱只能用于公事， 不允許在企業(yè)使用 個人郵箱或將企業(yè)的郵箱作為私人使用， 不允許將企業(yè)的電子郵 件賬號用于任何注冊目的，不允許在論壇或郵件組中用到它。3. 即時消息軟件。 企業(yè)內部應使用專用的即時消息軟件， 不允許企業(yè)任何人將開放的聊天工具如QQ MSN等用做內部通訊。4. 軟件安裝。禁止任何部門或個人私自下載安裝任何軟件、 文件，如確實需遞交制式需求表， 經審核簽字并經過防病毒軟件 掃描后才能使用。要做好企業(yè)信息安全建設工作， 應注重抓好三個方面： 一是 堅持組織機構制度建設；二是堅持因地制宜，采取得力措施；三 是堅持以人為本，提高管理人員的素質?？偠灾?/p>