企业信息化安全建设汇总十篇

序论：好文章的创作是一个不断探索和完善的过程，我们为您推荐十篇企业信息化安全建设范例，希望它们能助您一臂之力，提升您的阅读品质，带来更深刻的阅读感受。

篇（1）

【中图分类号】TU714 【文献标识码】A 【文章编号】1672—5158（2012）08—0255-02

0.引言

随着信息技术的不断发展以及市场竞争的不断激烈，企业信息安全建设已经成为提高企业竞争力的重要途径，杜绝信息泄露可以避免巨大的经济损失。虽然大多数企业在信息安全管理方面采取了较多的措施，但是信息安全问题仍然频发，对于企业的经营活动带来巨大的损失。加强企业内部的计算机管理，提高对于信息安全的认识程度，保证信息数据库的安全，避免信息泄露的发生已经成为现阶段企业信息化建设亟待解决的管理问题。

1.企业信息化建设信息安全影响因素分析

（1）信息系统实体安全。信息实体主要包括用于企业信息化建设的计算机、网络连接、服务器等媒介硬件设施，对于信息实体安全影响因素主要包括火灾、水灾、失窃或者是其他事故造成设备硬件的损坏，从而造成企业信息库数据安全出现问题。

（2）信息系统运行安全。信息系统的安全是指为了保证企业信息数据库的安全，采取各种措施对系统运行进行安全保护。由于信息数据库有可能受到非授权的访问、泄露、数据纂改或者是被其他非法程序控制的威胁，因此确保信息系统运行安全主要是保证信息数据库的完整、保密以及时时可用性。

（3）信息系统管理人员安全责任意识。管理人员在日常工作中的安全管理意识、专业操作水平以及法律意识等均会对企业信息数据的安全产生影响。信息安全管理人员的日常管理工作责任心以及工作方式方法，对于保证信息数据库的安全十分重要。

2.企业信息安全管理问题分析

目前由于管理制度以及软硬件设施等一系列的问题，企业数据库破坏以及重要数据信息泄漏的现象时有发生，严重影响了企业的正常生产经营活动，通过分析发现影响企业信息化建设信息安全的问题主要由以下几方面：

（1）企业内部移动存储设备管理疏松，缺乏安全保密管理制度。由于许多企业在日常管理过程中，移动存储设备使用较多，员工可以随意对企业内部的各种信息资料进行备份，企业用于经营活动的客户信息、产品设计、财务管理等各项信息极易造成泄漏，带来巨大的信息安全损失。部分企业由于对于信息安全管理认识程度不足，企业内部信息安全管理缺乏必要的规章制度，安全管理职责权限不清，信息安全漏洞较多。

（2）对于内部信息共享控制不严格，信息安全管理权限混乱。由于企业在生产经营过程中为了提高生产经营效率以及加强企业内部各部门之间的沟通联系，对于一些设计企业销售计划、客户信息以及生产计划等文件采取共享的措施，因此企业员工的流动或者其他管理不当均会造成企业信息的泄露。

（3）信息权限管理混乱，企业的中介服务体系稳定性较差。对于加密的授权访问，权限管理则成为保护企业信息安全的重要因素。但是由于企业在信息安全管理过程中体系混乱，操作权限不清晰导致经常出现影响信息安全的非授权访问。而且对于部分中小企业由于信息化建设采取对外委托的方式，而中介第三方由于稳定性难以保证，随时更换或者退出的第三方极易造成企业有价值信息的泄漏，影响企业信息安全建设。

（4）信息管理安全防范体系不健全，缺乏针对信息安全管理的专业技术人才。虽然部分企业已经认识到信息化管理的重要性，并在企业网络内设置了必要的安全设备。但是缺乏一系列的安全管理机制，在信息安全管理方面缺乏行之有效的整体规划与具体落实措施。此外，由于大部分企业在信息安全管理工作中将重点放在软硬件设施上，而忽略了对于信息安全技术人员的培养，而且为了减少人力资源支出成本，信息安全管理人员少工作任务重，管理权限集中化程度高，影响了信息化建设的安全管理。

3.企业信息建设信息安全管理措施

（1）加强对于信息库硬件设备的保护管理。首先应保证计算机等硬件设备具有安全的工作环境，做好计算机设备的防火、防潮、防盗措施，并避免强磁环境对信息数据可能造成的损坏。其次，在对各种硬件设备进行检修时，硬组织企业内部相关技术人员进行监督管理，对于需要外送检修的设备，则应提前进行数据加密处理。

（2）提高企业内部的信息安全管理意识。企业信息安全管理对于提高企业竞争力，避免企业经济损失具有重要的意义。在企业的正常管理过程中，加强信息安全宣传工作，使员工充分认识到企业信息安全管理的重要性，并熟悉企业相关信息数据保密的规则制度，提高企业的整体信息安全防范水平。

（3）加强信息安全操作管理人员的管理。在企业信息日常管理过程中，应加强对于业务操作以及数据存取控制代码的管理。系统管理操作代码的获得应经过企业管理者授权，系统管理人员在进行企业相关信息数据库的整理以及维护过程中，必须通过授权进行。系统管理人员离开工作岗位后，相关责任人应及时更换管理员操作代码。

（4）加强企业信息数据库的密码与权限管理。对于涉及到企业信息数据库安全的密码，应分别设置用户密码以及操作密码，并提高密码的安全程度，及时定期更换登陆操作密码。对于组成企业内部局域网络的服务器、路由器等设施的设置管理工作，应严格按照相关管理规定进行设置。

（5）明确企业信息数据库管理制度。对于企业重要的数据应存放备份数据，并采取异地存放的方式对备份数据库进行管理。对于废弃或者需要销毁的数据信息，应严格依照程序采取逐级审批的方式，避免数据信息的泄露。需要进行数据恢复工作时，应严格按照相关技术手册，并对恢复的数据进行验证确认数据的完整可用。

（6）加强企业信息数据机房的管理。相关人员出入信息数据库机房进行数据查阅以及提取工作时，应经由相关主管人员的授权，并登记进入。在日常管理过程中，定期对硬件设备进行保养，同时研究违章操作在信息数据机房安装外部其他软件。

参考文献

篇（2）

中图分类号： C29 文献标识码： A

前言

企业生产销售、经营管理和技术的开发等领域是不断的达到社会经济效益和全面提高管理水平的整个过程。目前，供电企业已经建立了一套完成的包括文件处理、财务、人力资源、生产管理等各个专业的应用信息系统，全面促进企业发展，提高企业在社会市场的竞争。随着电力行业的高速发展，社会民众对供电企业的服务需求逐渐增多，这对企业信息化建设水平提出了更高的要求。面对社会发展的新形势，供电企业必须在先进信息技术基础之上，抓住信息化建设这一机遇，实现跨越式发展，争取早日建设成为一个优秀的现代公司。

1. 供电企业信息化建设安全常见问题及原因

1.1、重应用，轻管理的思想意识

供电企业信息化建设开展和实施以来，许多工作人员并没有在思想上转变传统的工作模式，依然只是将信息化建设和管理作为一项应用型工具，以为就是简单的计算机应用工作，缺乏必备的网络和信息数据安全管理知识。即便有些人了解到信息化建设安全的重要性，但是对于如何防范的措施却一知半解。还有大部分人存在侥幸心理，认为一切从简，密码简单、不开启防火墙、不备份数据文件、对于共享和可见性以及远程操作等关键环节更是随心所欲，造成供电企业信息化建设安全危机重重。

1.2、供电企业信息化人才短缺

在人才培养方面，供电企业更重视安全生产、营销服务等专业人才培养，对计算机、网络、通信方面人才不够重视，这让信息人才对企业归属感不强，感觉缺少发展空间。在人才管理机制方面，由于人才激励效果不明显，绩效考评制度不健全，导致供电企业的人才培养机制有效性不强。供电企业内管理专业工作人员对信息技术知识知之甚少，而信息技术管理人员又不懂安全生产、营销管理等业务，复合型人才严重短缺，也使企业务与信息技术相互不能有效的整合。在人员配置上，基层供电企业的计算机、网络、通信管理人员数量较少，信息化专业班组成立刚刚几年，如遇计算机、网络突发状况，无法及时处理。

1.3、缺乏有效的病毒防治管理

网络病毒是信息化建设安全的最大威胁之一，对于供电企业信息化建设安全来讲，重点就在于对网络病毒的防治和管理。网络病毒的防治和管理是一项长期且艰巨的任务，目前没有任何系统可以对所有病毒都具有防护的功能。而供电企业的基层单位对于病毒的防治大多数也只是安装单一的网络杀毒软件，再无其他的病毒防治预案。管理工作也通常比较简单和疏松，当杀毒软件无法识别或者根除一些病毒或者木马时，相应的技术人员也只是自己通过其他途径寻找解决方案，一旦实在无法解决就要面临重装系统，丢失所有当前数据文件信息的风险；更为严重的甚至会造成业务系统的崩溃，导致正常的工作难以进行。

1.4、供电企业信息化建设安全性不高

供电企业信息化建设是以局域网为基础的，网络通畅和安全问题是企业开展信息化建设必须考虑的重要问题。局域网络每一次发生故障，都会导致企业业务运行陷入瘫痪状态，其带来的损失难以估计。目前，造成供电企业信息化建设安全问题的原因主要有四个方面：一是杀毒软件没有真正发挥作用，目前全省供电企业已经安装了统一的杀毒软件，但在及时更新和升级方面还存在一些问题；二、计算机配置硬件水平参差不齐，一些基层单位仍在使用的计算机老旧，甚至不能安装较大的杀毒软件，否则无法启动，更谈不上安全性了。三是，计算机的管理人员与应用人的安全意识薄弱，殊不知竟有75%以上的安全问题是由于组织内部人员的不正常使用引起来的。四、局域网络运行可靠性低。在县供电企业局域网络基本为十年前建成，局域网络为单一通道，没有备用线路，一旦发生光缆损坏，涉及的单位通信终端，各项工作基本处于瘫痪状态，特别一些供电所位于偏远山区，一旦出现通信故障，维修耗时较长，影响正常工作。另外，机房等局域网重要节点缺少备用电源，一遇故障停电，全部网络中断。

2. 提高供电企业信息化建设安全的措施

2.1、建立健全信息化建设安全管理和考核机制

供电企业信息化建设安全管理是一项动态的、灵活的工作，不仅仅是引进了新的技术或者新的安全体系就能马上见效的，还要靠平时的管理和监测。技术所能起到的作用就是预防更多的已知的安全隐患；而管理则是灵活的，实施的主体以人为主，可以通过建立各种安全管理制度，用技术来对人进行约束和管理，真正发挥人的灵活性和主动性，在安全威胁来临之前就发挥防控作用，不给安全威胁发生的机会。同时，还要针对供电企业信息建设安全的特点建立一套涵盖引进标准、风险性评估和技术应用规范的安全管理体系。落实安全岗位职责，推行责任制，严格按着相关法律法规的标准结合企业实际的安全等级要求进行信息安全管理系统的建设和管理。将安全管理融入到信息系统的各个环节当中，实现每个环节的自管、自查和自评，再通过不定期的岗位临检，来考核信息化建设安全的各个环节是否达到规定的标准，提高信息化建设安全的重视程度，强化信息化建设安全意识。

2.2、培养信息化人才

供电企业应通过平等待遇、增强激励等方式培养一批高效的、专业的信息化建设人才。把信息化建设和业务管理放在同等的地位对待，在日常工作中，积极开展信息化专业人员培训、岗位练兵、专业竞赛等活动，为从事信息岗位员工提供发展空间和施展才能的平台，加强信息化人才储备，提高信息化人才在供电企业中的地位。加强企业其他员工信息化知识培训学习，营造良好的学习氛围，提高企业整体信息化应用水平。进一步培养复合型的人才，特别是在管理层要培养一批既懂业务管理又懂信息技术的管理人员，这样在管理上才能进一步提高水平。建立和完善供电企业信息化方面的人才管理和评价机制，采取合理有效的激励和绩效考核手段，调动员工积极性，不断完善用人制度，通过竞争、择优上岗，优化人力资源配置。

2.3、加强移动存储介质的控制和管理

鉴于移动存储介质的广泛应用和其实际应用中的便携性、灵活性，供电企业信息化建设安全部门应该根据行业的实际情况制定一些有效的移动存储介质使用标准和规范，并进行全员的教育和培训。其内容可以从移动存储设备的插拔使用、读写开关应用、加密设置和定期杀毒要领等基础知识展开。使企业内部的人员熟练掌握移动存储介质的基础知识和安全使用方法，逐步提高安全防范意识，养成良好的移动存储介质使用习惯。移动存储介质使用的具体安全管理工作可以从以下几个方面做起：一是妥善保管防止遗失；二是专职专用，严禁外借；三是定期杀毒；四是采取“双备份”原则；五是杜绝任何形式的非法外联操作。

结束语

综上所述中可以看出，供电企业信息化建设安全保障是一项综合技术和管理为主要内容的工作。供电企业信息系统的安全管理是一项综合性较强的课题，不仅仅涉及到了应用、技术和管理，还包括信息系统自身的安全性能以及物理和逻辑上面的计算的相关措施，技术仅仅只是解决某个问题的技术。因此，供电企业信息化安全建设是一项长期的、灵活的，需要供电企业全体人员共同参与的工作，还需要我们不断的努力学习和创新。

参考文献

篇（3）

1 卷烟企业安全管理现状分析

安全管理作为支撑企业管理的关键核心，始终得到企业各级领导及员工的高度重视；与此同时，随着近年来的企业信息化建设与应用水平提升，办公OA系统、ERP、MES以及EAM装备信息化等系统的广泛应用，信息化支撑企业各项管理现代化已经成为一种趋势，更是企业有效提升管理效率、增强核心竞争力的一条捷径。但是，在具体实践中部分卷烟企业还未能够将信息化与安全管理有效融合，对于有效利用信息化提供的高效、及时性方面还不能够达成共识，这一情况除存在一定的意识淡薄、资金缺少、技术匮乏之外，还应该从以下三个方面进行剖析：

1.1 安全管理人员队伍素质偏低

根据大多数卷烟企业的安全管理队伍整体素质水平，相对处于企业知识结构与能力水平较弱的层级，对于信息化的应用能力与水平存在一定的障碍，而作为安全管理信息系统具有系统性、先进性、前瞻性的技术特点，在系统的建设、运行与维护方面都需要一定的专业知识与技术，造成系统建设的技术壁垒。

1.2 安全信息系统投入风险较大

信息系统的建设是一种系统工程，需要系统设计、统筹实施与有效实现，在企业涉及安全建设方面的投入需要多方面的审核与把关，相对投入资金较大、周期较长、风险共存，在与企业相关系统集成中存在不确定性、融合度低等风险，影响到系统的建成效果，以及企业领导层的决策。

1.3 安全信息系统建成模式单一

安全管理信息系统的建成模式还比较单一，可借鉴与实践的经验相对较少，在建设中以信息化建设为主导推进，以信息化工作梳理流程、建成模块、系统实现，在投入运行中以安全管理为主导理论，如果不能够有效实现工作流、业务流、信息流的前期整合，不能够有效分清“主导”要素，必然会造成信息系统运行的冲突与障碍。

2 安全管理信息系统内涵

借助于现代高效的信息技术应用平台，用系统性、流程化、模块化的建设理论为基础，强化安全管理的PDCA过程管理方法，推进安全管理工作的流程化、信息化、系统化，持续提升企业安全管理与应急响应等级水平。信息化的安全管理从安全基础管理、过程控制及效果监督等形成有效的执行系统，有效改善了安全管理从“结果导向型”向“过程控制型”转变；系统化的安全管理从影响安全的各项因素入手，深入统计与分析、决策与判断，逐步形成科学性、有效化的决策体系，用系统化的全过程预防控制方法，将传统的“被动事故处理”向“超前隐患预防”转变；体系化的安全管理借助于安全工作组织架构、资源实现、过程方法、监督考核、持续改进等，夯实安全基础，筑牢安全防线，实现安全管理从“简单粗放”向“精益标准”转变，有效促进企业一体化管理水平持续提升。

3 安全管理信息系统构建内容

卷烟生产企业安全管理信息系统的建成理论基础来源于YC/T384-2011《烟草企业安全生产标准化规范》，严格依据行业安全标准体系建设理论，依托烟草工业企业独有的目标体系、治理结构、管理流程、现场监控、应急处理等安全管理特点，运用先进的虚拟化、网络化、电子化及信息化手段，将安全管理全过程中的工作指令、指挥调度、预警处理、信息反馈等实现数字信息化、网络化，集中存储与应用，并且运用自身的关键命令参数设置，及时有效地做出综合评价及分析判断，快速处理各种信息源的数据与差异，实现企业安全管理信息化、动态化和高效化，为企业安全管理提供先进性、系统性、快捷性的技术支撑。

安全管理信息系统包含安全管理体系、信息系统硬件、信息系统软件三个基本框架，涉及信息收集、数据分析、评价判断、信息反馈、决策执行、应急处置等六个系统模块。

3.1 安全管理体系

以烟草行业安全标准化理论为基础，以“人、机、料、法、环、测”关键要素为核心，运用系统论工作方法，对安全管理工作进行流程化、标准化、体系化、系统化管理。安全管理体系是安全管理信息系统形成的基础框架，对于信息系统的组成范围、人员分工、工作流程、应急处理、预案演练、信息反馈机制等方面进行了规定与要求，确保安全信息系统的有效建成与组织落实。核心要素包括安全方针，危险源的辨识、评价与控制，法规和其他要求，安全目标，安全管理方案，结构和职责，运

行控制，测量和监视，审核，管理评审等10个方面。

3.2 信息系统硬件

安全信息系统的有效运行依托于企业信息化的基础平台，运行效率的高低完全取决于企业信息化的建设水平。信息系统的核心组件包括数据服务器、核心网络、应用终端三个系统平台，配套组件包括安全与备份设备、应用服务设施、集中监控与管理设施等，共同形成信息系统有效运行的硬件平台。

3.3 信息系统软件

安全信息系统的核心组成是业务流、工作流，关键点在于安全信息的有效集成和全面共享，即实现将关键的准确的安全信息、安全数据及时地传输到相应的影响决策人的手中，从而为企业的安全运作决策提供强力支撑。依据烟草行业安全管理体系建设的系统理论与实践应用，结合卷烟企业的安全生产管理特点，运用PDCA过程控制方法中，将安全信息管理系统大致分为六个核心功能模块。

3.3.1 信息收集模块。信息收集的来源在于人、机、设备方面的基本信息、潜在危险源、异常报告及事故处理等，包括数据的分类标签、获取系统和存贮系统、传输系统。对于相关数据的获取范围、数据大小及响应时间应做出规定要求，每种数据获取系统中都应有检验数据完整性、及时性、有效性的数据质量系统。

3.3.2 数据分析模块。根据数据范围与应用，结合不同数据在各个体系功能中的作用模式，建立符合不同要素标准的数据统计与分析算法，利用电子自动运算与合成，对所有有效数据进行统计分析。要持续关注数据的整体性、关联性分析，建立有效数字分析模型。

3.3.3 评价判断模块。应建立对应于企业实践的安全指标体系模型，运用信息化的逻辑算法比对数据分析结果的符合性、异常性及突变程度，以做出相应的反馈与动作。

3.3.4 信息反馈模块。在应用层与决策层搭建有效信息通道，保障所有数据流、信息流始终畅通。建立信息优化系统，对反馈信息进行有效甄别与筛选，合理辨识信息的完整性、可用性。

3.3.5 决策执行模块。决策模块响应底层数据收集、分析与评价机制，实现信息双向互传，具备自我完善的运行机制与策略，用正确的数据传达正确的指令，通过方案决策系统决定控制策略，形成共同协商、高度集中的执行决策，从而形成闭环的信息体系。

篇（4）

在科技飞速发展的大环境下，信息化已经成为当今时代的发展趋势，企业信息化建设已经成为企业发展的必经之路，企业通过对信息化建设过程中的信息安全的探索，保证企业信息化建设过程中的信息安全与系统稳定，从而使企业在竞争中处于不败之地，让企业在工业化与信息化深度融合下，快速发展，与时俱进。

1 当前企业信息化建设中的信息安全问题

1.1 信息安全管理问题

目前企业的信息安全管理上存在的问题，首先，信息管理人员缺乏或者人员经验不足：计算机信息安全很大程度上取决于管理人才，调查显示，我国七成IT企业信息安全系统保障不足，主要原因是管理人员没有及时更新系统补丁程序、没有及时维护系统。企业信息安全是上不断完善的动态过程，需要不断对现有系统进行安全检查、评估，及时发现新的问题，跟踪最新安全技术，及时调整安全策略，增强企业信息安全性。其次，在企业的信息化建设中信息安全管理系统不完善，信息安全管理系统，如果没有一个很好的保障体系，会使得信息的管理错乱，无秩序，重复管理、漏管等现象发生，使得信息系统出现漏洞，安全性降低。最后，安全以人为本，如果管理不善，人为原因，造成的操作失误，误用或滥用关键、敏感数据或资源等导致信息丢失泄露，外部人员和硬件的商家等对于企业的系统有一定的了解，有权限合法访问，这也会造成信息的安全问题。

1.2 信息化建设中的硬件问题

近年来，由于信息化发展较快，企业信息化建设的成本也在不断提高，由于信息化建设投资大、回报慢，一些企业虽然有信息化建设的意愿，但是在实际投入上比较小，这就使得企业信息化建设过程中，企业的硬件设施跟不上时代的不发，导致企业信息化建设止步不前，计算机硬件设施的老化，对企业信息化建设过程中的安全问题存在这一定的隐患，而且，计算机的硬件决定着信息化建设的稳定性。另外在链路传输、网络设备（路由器、交换机、防火墙、通讯线路故障）等以及物量的一些不可抗力造成的地震、水灾、火灾等环境事故使系统毁灰。

1.3 信息化建设中的软件问题

（1）国内的软件水平与世界先进水平还存在较大的差距，更容易受到黑客和病毒的攻击。这样就会造成使用这些软件的企业信息化建设中存在信息安全问题。

（2）配置中存在的问题，很多的系统和应用软件在初装后会使用默认的用户名和口令以及开放的端口，而这些都容易造成信息的泄露。

（3）Web服务中的安全问题，www体系的主要特点是开放、共享、交互，这使得信息安全问题增加，安全漏洞多样，如果服务器的保密信息被窃取，信息系统就会受到攻击，获取Web主机信息，使机器暂时不能使用，使机器暂时不能使用，服务器和客户端之间的信息被监听等。

（4）路由器信息的不安全行为，路由器简单的密码或共享密码、安全功能没有设置会导致信息的泄露。

2 企业信息化建设中信息安全的对策

信息安全是企业信息化建设中的重要问题，只有保证信息的安全才能使企业在信息化建设中走得更远。企业在信息化建设进行信息安全的建设，主要可以从强化信息安全观念、加强硬件建设安全防护、提升软件建设安全措施三个方面进行。

2.1 强化信息安全观念

在企业信息化建设中，一旦企业信息被盗取或丢失，对企业肯定会造成损失甚至是致命的打击。要从企业的基层员工到管理者都要正确认识信息安全的重要性，强化信息安全的观念，提高信息安全意识，从思想上认识提高信息安全的必要性。

2.2 加强硬件建设安全防护

加强企业信息化建设过程中的硬件建设安全，首先要保证计算机的安全。企业的信息化建设离不开计算机，要保证计算机的安全就要对计算机进行定期的维护与保养，避免计算机在运行过程中出现突发性故障而导致企业信息的丢失。

另外，企业的信息化建设中，要加强网络硬件的建设。目前，市场上应用比较广泛的企业网络协议就是TCP/IP协议，硬件组成有服务器、通信设备、网络安全设备，主要应用技术是网络交换、网络管理、WEB数据库技术、防火墙等技术，同时还有支持网络运行的支撑系统，整个硬件建设安全、稳定、可靠。

2.3 提升软件建设安全措施

要解决企业信息化建设过程中的信息安全问题还需要加强企业信息系统的软件安全防御措施，要采用高性能的安全软件对系统进行防护，使用防护软件要使其发挥其价值所在，不要因小失大。目前，大多数企业的软件防护措施不到位，主要原因就在于软件防护措施不到位，例如企业在公共区域设置无密码的无线路由器，等于是向所有人公开企业的信息，安全无法保证。因此，企业在信息化建设过程中有必要采取高性能的安全防护软件来保证信息的安全。

3 小结

企业在信息化建O过程中的信息安全问题，有着很广泛的内容，企业信息化建设中信息安全的监控、维护等涉及的面比较广。在信息安全问题上主要应该以防护为主，从良好的管理开始，将信息安全风险扼杀在摇篮中，形成安全保障体系。信息时代，企业的信息化建设是企业发展和提高竞争力的基础，我国的企业信息系统长期处于不安全状态，没有足够认识到企业信息安全的重要性，希望通过本文的探索和论述，能够引起企业的关注，加强信息安全的防护。

参考文献

[1]艾戬.企业信息化建设中的信息安全探究[J].网络安全技术与应用，2015（03）.

[2]辛玉红.企业信息化建设中的信息安全问题[J].现代情报，2004（11）.

[3]马良.企业信息化建设中的信息安全问题[J].才智，2014（01）.

[4]张耀辉.关于企业信息化建设中的信息安全探讨[J].电子技术与软件工程，2013（14）.

篇（5）

0　引言

现代企业信息化网络是基于内部传输网和Internet网络的互联网络，由于公众网络是一个相对开放的平台，网络接入比较复杂，挂接的相关点比较多，网络一旦接入公众网络，对于一些网络安全比较敏感的数据，传输的安全性就比较弱，比较危险。本文将重点分析企业网络系统安全性方面以及业务系统安全性方面存在的问题。

1　企业信息化网络存在的安全隐患

1.1　Windows系统的安全隐患

Windows的安全机制不是外加的，而是建立在操作系统内部的，可以通过一定的系统参数、权限等设置使文件和其他资源免受不良用户的威胁(破坏、非法的编辑等等)。例如设置系统时钟，对用户账号、用户权限及资源权限的合理分配等。

由于Windows系统的复杂性，以及系统的生存周期比较短，系统中存在大量已知和未知的漏洞。一些国际上的安全组织已经公示了大量的安全漏洞，其中一些漏洞可以导致入侵者获得管理员的权限，而另一些漏洞则可以被用来实施拒绝服务攻击。例如，Windows所采用的存储数据库和加密机制可导致一系列安全隐患：NT把用户信息和加密口令保存于NTRegistry的SAM文件即安全账户管理(securityAccounts Management)数据库中，由于采用的算法的原因，NT口令比较脆弱，容易被破译。能解码SAM数据库并能破解口令的工具有：PWDump和NTCrack。这些工具可以很容易在Internet上得到。黑客可以利用这些工具发现漏洞而破译―个或多个DomainAdministrator帐户的口令，并且对NT域中所有主机进行破坏活动。

1.2　路由和交换设备的安全隐患

路由器是企业网络的核心部件，它的安全将直接影响整个网络的安全。路由器在缺省情况下只使用简单的口令验证用户身份，并且在远程TELNET登录时以明文传输口令。一旦口令泄密，路由器将失去所有的保护能力。同时，路由器口令的弱点是没有计数器功能，所以每个人都可以不限次数地尝试登录口令，在口令字典等工具的帮助下很容易破解登录口令。每个管理员都可能使用相同的口令，路由器对于谁曾经作过什么修改没有跟踪审计的能力。此外，路由器实现的某些动态路由协议存在一定的安全漏洞，有可能被恶意攻击者利用来破坏网络的路由设置，达到破坏网络或为攻击作准备的目的。

1.3　数据库系统的安全隐患

一般的现代化企业信息系统包含着多套数据库系统。数据库系统是存储重要信息的场所并担负着管理这些数据信息的任务。数据库的安全问题，在数据库技术诞生之后就一直存在，并随着数据库技术的发展而不断深化。如何保证和加强数据库系统的安全性和保密性对于企业的正常、安全运行至关重要。

我们将企业数据库系统分成两个部分：一部分是数据库，按照一定的方式存取各业务数据。一部分是数据库管理系统(DBMS)，它为用户及应用程序提供数据访问，同时对数据库进行管理，维护等多种功能。

数据库系统的安全隐患有如下特点：涉及到信息在不同程度上的安全，即客体具有层次性和多项性；在DBMS中受到保护的客体可能是复杂的逻辑结构，若干复杂的逻辑结构可能映射到同一物理数据客体上，即客体逻辑结构与物理结构的分离；客体之间的信息相关性较大，应该考虑对特殊推理攻击的防范。

2　企业信息化网络安全策略的体系

网络安全策略为网络安全提供管理指导和支持。企业应该制定一套清晰的指导方针，并通过在组织内对网络安全策略的和保持来证明对网络安全的支持与承诺。

2.1　安全策略系列文档结构

(1)最高方针

最高方针，属于纲领性的安全策略主文档，陈述本策略的目的、适用范围、网络安全的管理意图、支持目标以及指导原则，网络安全各个方面所应遵守的原则方法和指导性策略。安全策略的其他部分都从最高方针引申出来，并遵照最高方针，不与之发生违背和抵触。

(2)技术规范和标准

技术标准和规范，包括各个网络设备、主机操作系统和主要应用程序应遵守的安全配置和管理技术标准和规范。技术标准和规范将作为各个网络设备、主机操作系统和应用程序安装、配置、采购、项目评审、日常安全管理和维护时必须遵照的标准，不允许发生违背和冲突。它向上遵照最高方针，向下延伸到安全操作流程，作为安全操作流程的依据。

(3)管理制度和规定

管理制度和规定包括各类管理规定、管理办法和暂行规定。从安全策略主文档中规定的安全各个方面所应遵守的原则方法和指导性策略引出的具体管理规定、管理办法和实施办法，必须具有可操作性，而且必须得到有效推行和实施。它向上遵照最高方针，向下延伸到用户签署的文档和协议。用户协议必须遵照管理规定和管理办法，不与之发生违背。

(4)组织机构和人员职责

安全管理组织机构和人员的安全职责，包括安全管理机构组织形式和运作方式，机构和人员的一般责任和具体责任。作为机构和员工工作时的具体职责依照，此部分必须具有可操作性，而目必须得到有效推行和实施。

(5)用户协议

用户签署的文档和协议，包括安全管理人员、网络和系统管理员安全责任书、保密协议、安全使用承诺等等。作为员工或用户对日常工作中遵守安全规定的承诺，也作为违背安全时处罚的依据。

2.2　策略体系的建立

目前的企业普遍缺乏完整的安全策略体系，没有将政府高层对于网络安全的重视体现在正式的、成文的、可操作的策略和规定上。企业应当建立策略体系，制定安全策略系列文档。建议按照上面所描述的策略文档结构，建立起安全策略文档体系。

建议策略编制原则为建立一个统一的、体系完整的企业安全策略体系，内容覆盖企业中的所有网络、部门、人员、地点和分支机构。鉴于企业中的各个机构业务情况和网络现状差别很大，因此在整体的策略框架和体系下，允许各个机构根据各自情况，对策略体系中的管理制度、操作流程、用户协议、组织和人员职责进行细化。但细化后的策略文档必须依照企业统一制定的策略文档中的规定，不允许发生违背和矛盾，其要求的安全程度只能持平或提高，不允许下降。

2.3　策略的有效和执行

安全策略系列文档制定后，必须和有效执行。和执行过程中除了要得到企业高层领导的大力支持和推动外，还必须要有合适的、可行的和推动手段，同时在和执行前对每个本员要进行与其相关部分的充分培训，保证每个人员都了解与其相关部分的内容。必须要注意到这是一个长期、艰苦的工作，需要付出艰苦的努力，而且由于牵扯到企业许多部门和绝大多数人，可能需要改变工作方式和流程，所以推行起 来阻力会相当大；同时安全策略本身存在的缺陷，包括不切实际的、太过复杂和繁琐的、规定有缺欠的情况等，都会导致整体策略难以落实。

3　企业信息化网络安全技术总体解决方案

参考以上所论述的，结合现有网络安全核心技术，本文认为，企业信息化网络总体的安全技术解决方案将围绕着企业信息化网络的物理层、网络层、系统层、应用层和安全服务层搭建整体的解决方案，企业信息化网络建设将着重从边界防护、系统加固、认证授权、数据加密、集中管理五个方面进行，在企业信息化网络中重点部署防火墙、入侵检测、漏洞扫描、网络防病毒、VPN五大子系统，并通过统一的平台进行集中管理，从而实现企业信息化网络安全既定的目标。

3.1　防火墙系统的引入

通过防火墙系统的引入，利用防火墙“边界隔离+访问控制”的功能，实现对进出企业网的访问控制，特别是针对内网服务器资源的访问，进行重点监控，可以提高企业网的网络层面安全。防火墙子系统能够与入侵检测子系统进行联动，当入侵检测系统对网络中的数据包进行细粒度检测，发现异常，并通知防火墙时，防火墙会自动生成安全策略，将访问源阻断在防火墙之外。

3.2　入侵检测子系统的引入

入侵检测系统用于实时检测针对重要网络资源的网络攻击行为，它会对企业网内异常的访问及数据包发出报警，以便企业的网络管理人员及时采取有效的措施，防范重要的信息资产遭到破坏。同时，可在入侵检测探测器与防火墙之间建立互动响应体系，当探测器检测到攻击行为时，向防火墙发出指令，防火墙根据入侵检测系统上报的信息，自动生成动态规则，对发出异常访问及数据包的源地址给予阻断。入侵检测和防火墙相互配合，能够共同提高企业网整体网络层面的安全性，两个系统共同构成了企业网的边界防护体系。

3.3　网络防病毒子系统的引入

防病毒子系统用于实时查杀各种网络病毒，可防范企业网遭到病毒的侵害。企业应在内部部署网关级、服务器级、邮件级，以及个人主机级的病毒防护。从整体上提高系统的容灾能力，提升企业网整体网络层面的安全性。

3.4　漏洞扫描子系统的引入

漏洞扫描子系统能定期分析网络系统存在的安全隐患，把隐患消灭在萌牙状态。针对企业网络中存在众多类型的操作系统、数据库系统，运行着营销系统、财务系统、客户信息系统、人力资源系统等重要的应用，如何确保各类应用系统的稳定和众多信息资产的安全，是企业信息化网络中需要重点关注的问题。通过漏洞扫描子系统对操作系统、数据库、网络设备的扫描，定期提交漏洞及弱点报告，可大大提高企业网整体系统层面的安全性。该系统与病毒防范系统一起构成了企业网的系统加固平台。

3.5　数据加密子系统的引入

篇（6）

信息技术正处于不断发展的状态,我国各个产业都开始对信息技术进行运用,企业为了提高自身管理质量与管理效率,加入了这一行列。企业进行信息化建设的目的提高管理质量、提升管理效率、促进科学管理。很多企业开始建设公司网,通过网络对自身事务进行管理,改善原有的工作方式,促进信息时代管理体制的形成,同时对众多企业资源进行整合,提升企业在这个时代的竞争力,让企业获得更高的发展空间。企业信息化建设是其向现代化迈进的重要依据,也是企业综合实力的体现。信息化建设在我国企业之中已经成为一种普遍行为,几乎每一个企业都在对信息系统以及网络设施进行建设,公司网已经成为我国企业的标配。部分企业领导对企业进行信息化建设十分重视,在其中投入了较多的人力、物力,力求提升自身信息化建设的质量,某些企业已经针对信息化建设制定了长远的计划,这些计划将在2～3年之内完成。安全管理问题在我国企业信息化建设中是不可回避的问题,在这一方面,我国与西方发达国家之间具有较大的差距,而且自身技术手段不够先进,在企业信息化建设进程中安全问题层出不穷,因此,各个企业应该重视信息化建设进程中的安全管理问题,从整体上提升企业信息化建设的质量。

2企业信息化建设进程中安全管理存在的问题

2.1缺乏网络安全管理人员

企业在信息化建设进程中进行的安全管理,很大程度上依赖网络安全管理人员的工作,因此,网络安全管理人员的工作能力以及素质对企业信息化建设具有重要影响。目前,我国企业信息化建设正在进行之中,网络安全管理人员的培养也处于初始阶段,他们的工作能力与素质还达不到各个企业的要求。相比于对网络安全管理人员进行培训与引进,我国企业更热衷于对各类杀毒软件、安全软件进行购买,没有对培养网络安全管理人员产生正确的认识,也没有将招聘网络安全管理人员列入到自身的工作计划之中,这就导致了企业信息化建设进程中,网络安全管理人员的缺乏,即使有也不具备相关的能力与素质,在出现安全方面的问题时很难将其进行解决,给企业信息化建设进程增加众多风险。

2.2企业员工安全管理参与度较低

企业信息化建设是为了让在企业中工作的每一位员工都能够使用安全、高速的公司网络,让企业员工了解到网络安全以及安全管理的重要性,在平时使用网络时增加自身安全意识,但是很多企业没有对自己的员工进行安全管理方面的教育。企业员工不了解企业信息化建设进程以及其中存在的安全问题,更不知道如何进行安全管理来消除这些安全隐患,在网络安全管理方面参与程度较低,不了解与网络安全以及信息化建设相关的法律法规,在自身网络出现问题时无法及时进行处理,对自身管理、工作成较大的影响。

2.3安全管理制度存在缺陷

全面的安全管理制度是对企业信息化建设的安全保障,可以保证企业在信息化建设进程中出现问题时能够及时做出反应。但是目前,我国各个企业的安全管理体制存在缺陷,很多关键性内容在体制中没有进行规定,这样的结果就是企业信息化建设进程面临安全隐患的威胁。内部管理较为松散是安全管理制度存在缺陷的直接体现,正因如此,很多与安全管理相关的指令不能被全面地了解、认真地执行。安全监督机制是安全管理制度最为致命的缺陷,缺乏有效的安全监督,导致企业信息化建设进程中众多行为无人监督、无人管理,相关人员在这一过程中很有可能出现操作失误,由此而导致安全问题,部分人员甚至会进行违规操作,但是由于无人进行监督管理,一旦出现问题,企业无法找到直接责任人对其责任进行追究,并解决信息化进程中存在的问题。

3加强企业信息化建设进程中安全管理的对策

3.1培养专业安全管理人员

企业信息化建设进程中的安全管理,需要有人参与其中才能够正常进行,因此,专业安全管理人员对企业信息化建设来说是十分重要的,各个企业应该对这一点有着清醒的认识。企业应该注重对专业网络安全管理人员的培养,提升企业内部管理人员的专业能力以及专业素质,让他们能够符合时展的要求,在信息化建设过程中为企业解决众多安全管理问题。同时,企业可以外聘专业管理人员,让他们参与到实际工作中,在进行工作的同时要求原有的安全管理人员学习他人的工作方式与工作方法,以此对自身的技术水平进行提升。企业应该针对安全管理人员的工作制定奖惩制度,以此来提升安全管理人员工作的积极性,改变他们对自身工作的态度,让企业信息化建设进程中的安全管理工作向着更好的方向发展。

3.2向员工普及信息安全管理知识

企业应该在内部进行与信息化建设以及安全管理知识相关的讲座,让每一名员工对自己正在使用的公司网络有一个初步的了解,知晓其中的建设过程以及在建设过程中面临的安全管理问题,认识到公司网络信息安全对自身的重要作用,提升自身的信息安全管理意识。每一名企业员工都应该积极参与到企业信息化建设的安全管理之中,在这一过程中发挥出自己作为企业主体的作用,在企业进行的网络信息安全管理中贡献自己的力量。企业应该培养全体员工处理安全问题的技能,让每名员工都具备在网络上维护自身利益的能力,促进员工信息化建设的进行。

3.3健全安全管理制度

规章制度是企业信息化建设进程中安全管理工作的重要保障。各个企业需要了解安全管理制度对自身信息化建设以及安全管理的重要性,同时知晓自身安全管理制度存在的不足,及时对自身安全管理制度存在的不足进行弥补,避免因此而遭受重大损失。在安全管理制度中需要加入监督管理、风险分析等方面的内容,让安全管理制度可以进行更加全面的管理工作,对可能存在的风险进行分析,制定预警方案;对安全管理人员的行为进行监督,避免失误操作以及违规操作的出现。减少在企业信息化建设进程中安全管理方面存在的问题,让每一个企业的每一名员工都能够使用良好的企业网络,让企业自身的网络安全以及信息安全得到保证。

作者:李雯 单位:保定天威保变电气股份有限公司

篇（7）

1企业信息化建设集成的重要性

首先，在企业管理上具有重要现实意义。在企业的经营和发展过程中经营的业务越来越多，区域越来越广泛，导致企业管理任务越来越复杂和多样，企业内部的组织结构和流程控制体系越来越完善，这都是因为信息化建设集成发挥了重要作用，其还促进管理服务和观念朝着信息化的方向发展。其次，企业信息化建设符合时展的潮流。如果想让集成化效率达到最高水平，就需要对传统的管理模式进行创新和发展，避免在集成化效率提高的同时带来一些严重的问题和风险，例如：现场安全管理和对管理人员的裁减等，企业必须在网络信息技术和计算机技术发展飞速的今天，对内部管理体系进行创新和改革，挖掘各组织和员工内在潜能和上升空间，在激烈的市场竞争中提升企业自身的活力与优势，从而将企业的经济收益上升到最高峰。第三，信息化建设集成具有自身独特的优势。大型公司集团会运用最新的互联网数据和先进的计算机技术创建一个管理信息平台，通过这个平台将在生产和管理方面的数据信息进行共享和联动，利用相关软件和系统将公司管理朝着集成化、信息化方向发展，有效地为公司的管理层提供决策理论支持，避免公司集团内部组织结构和人员冗杂，有效提高运营各环节的工作效率，以提供高质量、高效的服务。

2企业信息化建设集成中存在的网络安全问题

在利用现代网络信息平台对企业相关数据进行优化整合时，网络安全方面还存在一定的问题，企业相关信息和资料很容易受到网络攻击，系统很容易被黑客入侵，导致数据和信息被窃取或者丢失，这些问题都不利于企业的现代信息化建设集成和正常的运营发展。从外部环境来看，日益竞争的市场环境是造成网络安全管理的大环境因素，随着时代快速的发展和科学技术的进步，一些不法分子会利用黑客技术和网络病毒窃取企业内部的数据资料，并通过出售来牟取巨额利润，这种情况若得不到有效控制和整改，会导致企业网络安全环境日益恶化。其次，从企业的内部因素出发，企业信息化建设集成出现网络安全问题是因为企业自身没具备成熟的网络信息安全理念，没有采取相关的措施保证自身的网络信息安全，所以企业相关意识的缺乏使黑客有机可乘，他们简单操作就能获得企业内部的数据信息。总之，缺乏一定的网络信息防护手段和对员工的网络信息安全培训，会导致企业在信息化建设集成中受到更大的网络信息安全威胁。

3保障企业信息化建设集成中网络安全的措施

3.1创建企业信息安全标准

针对企业信息化建设集成中可能会出现的病毒入侵、非法访问和信息窃取等问题，笔者提出了一些加强网络安全的措施。首先，要建设一个信息化安全相关标准。当企业应用现代计算机网络技术，尤其是计算机集成制造系统时，要创建一个高效、高质量的企业信息化机制和信息安全标准，保证所有信息工作都具备标准流程，例如：我国现已存在的信息安全管理度量机制和测量措施，能够促使企业在运用网络信息平台时，提高自身的信息管理水平，从而保证企业在日常运用中能够顺利、安全地开展相关信息交流和信息传递工作。

3.2运用先进的网络安全技术

要引入现代网络安全技术，包括防火墙技术、入侵检测技术信息加密技术、访问控制技术等。防火墙技术是指将计算机与外部建立一道隔墙，防火墙技术包括网络级防火墙与应用级防火墙两种，网络级能够有效防止网络中的非法入侵，应用级防火墙技术是全方位地防护相关应用程序，使用起来比较简单还能够有效防止病毒入侵和非法访问。两者的防护能力与防护范围不同，因此在使用过程中需要将两者融合发挥作用，在动态防护、屏蔽路由和包过滤的基础上，更好地发挥防火墙防护技术。入侵检测技术是一种辨别网络系统的使用是否是恶意行为的技术，其在动态中对网络进行相关检测，及时发现非法访问行为和未授权的活动并反映给计算机用户，将软件与硬件融合起来共同对数据进行分析和作用，在琐碎和繁杂的数据处理方面不再需要人工操作，减少人力和资源的浪费和管理成本。但从整体来看，效果不如防火墙技术，也不能够完全代替防火墙技术。信息加密技术包括对称加密与非对成加密两种，且随着时代的发展不断优化升级。该技术主要是为了避免数据被非法窃取，对相关重要的信息资料进行加密处理，降低数据资料丢失和泄露的概率，从而在数据传递和资料存储中保证数据资料的完整性和安全性。访问控制技术是指通过检测访问者的信息在网络中保证网络资源的安全，包括高层和底层访问控制两种访问模式，前者是检测资源种类、用户权限和用户口令，后者是指通过通信协议中的信息判断访问者是否合法，并作出相关反应。

3.3提高企业网络安全管理水平

现代化企业集团在发展信息化建设集成过程中还存在很多网络安全隐患，但是传统管理模式已经明显不适用于目前的发展情况，网络安全受到了更大的威胁，造成的经济损失也较多，所以必须提高企业的网络安全管理水平。首先，要提高企业网络信息化系统管理水平和管理效率，要让企业内部包括员工和管理层都建立起网络安全管理的观念，创建一个成熟、完善的网络安全管理平台，树立现代化的网络安全管理意识，从而能够及时解决企业运营和发展过程中存在的问题，将企业发展中重要的资料信息利用网络技术实行集中性存储。另外，要对所有员工进行网络安全培训和再教育，提高员工的综合素质水平，以规范员工对信息化系统的具体操作，将企业重要数据信息进行加密处理和备份处理，企业要营造一个安全、稳定的网络安全环境，防止网络病毒和黑客的入侵。其次，企业要使用有效、实用的安全防护软件，例如，目前市场上的金山毒霸、360杀毒软件都得到了广泛运用，企业要根据自身具体情况选择一个有效的防护软件抵制外部非法入侵，设置好相关的安全管理权限，创建一个完善、严密、分层的安全管理权限体系，在用户登录和用户访问环节都要设置权限和密码，从而保证企业的信息安全。最后，要对企业信息化建设集成中的防火墙系统和访问控制模式进行完善的配置，安排一个较为专业的访问控制模式，避免网络环境中出现各种意外或者病毒入侵的情况，保证企业内部局域网络信息的安全，选择信息隐藏模式提高网络信息安全性。这种信息隐藏模式一般是运用高效的编码将数据修改方法嵌入，包括扩频嵌入和矩阵编码，将编码过程变得更加专业和复杂，网络黑客一般破译不了，有利于企业抵御网络黑客入侵和系统漏洞，保证企业信息化建设集成的健康发展，提高企业的经济收益。

4运用虚拟化的云计算平台创建相关安全机制

在运用虚拟化的云计算平台时，要具备更加安全和稳定的机制和系统，如行为约束机制、CHAOS系统和Shepherd系统，及时监控计算机中的相关进程、避免用户错误操作，防止非法进程对云计算平台的破坏，将异常进程进行数据安全隔离，从而保证企业信息化建设集成中的网络安全。

主要参考文献

篇（8）

前言

当前，信息化建设已经成为了各类企业建设和发展的重点内容，企业通过信息化建设的方式，让自身生产与流通工作可以更顺利地进行，并利用互联网，创造出现代企业新型发展模式。但是，就实际情况而言，企业的信息化建设并不是一直处于一个平稳的发展状态，在其发展的过程中也会受到诸多内部或外部因素的影响和束缚，在信息的安全方面也存在许多的问题，如黑客入侵或是病毒入侵。如果企业信息存在的安全问题比较严重，不仅会给企业信息化建设造成不利影响，还有可能会影响到企业的正常运营和发展。

一、造成企业信息化建设中的信息安全问题的原因

1.1内部原因

①企业内部的信息安全意识缺乏，目前，虽然很多的企业都提倡建设企业内部信息化，但是大部分企业过于注重信息化建设过程中得到的利益和优势，却忽略了信息化建设中信息的安全问题。

②软件安装的技术比较落后，黑客与病毒的发展速度比软件技术更新速度快。

③管理操作不得当，在对信息系统进行管理与操作的过程中过于粗心大意，给黑客与不法分子和黑客制造了入侵的机会，对企业的信息安全造成威胁。

④专业的管理人才缺乏，没有对企业的信息安全系统定制出合理的安全管理策略，且没有让专业的操作人员对统系统进行维护和升级，致使企业信息系存在信息安全隐患[1]。

1.2外部原因

对于大多数企业而言，信息系统中存在的安全威胁大部分来自于外部因素，随着社会的不断发展，信息建设在各类企业市场竞争中的地位和作用日益提高，许多的不法分子想尽办法对各类企业的信息进行窃取和破坏，以此来获得自身的利益。还有一部分企业为了得到竞争对手企业的各类商业信息，采用不正当的手段破坏或是入侵对手企业的信息系统，窃取对方企业的商业机密，以此来打倒对方。

二、企业信息化建设中存在的信息安全问题

2.1企业不够重视信息系统的安全问题

就目前而言，国内的大部分企业都没有给予信息系统安全问题足够的重视，没有意识到信息系统安全的重要性。近年来，虽然国内信息化建设得到了快速的发展，国内企业的信息安全程度也有所提高，但是大部分的企业还是没有意识到信息安全问题对企业的重要性，只看到了信息化建设给企业创造的短暂利益，而忽视了信息化建设信息安全的长远发展，未针对信息安全问题采取适当的防范措施，致使企业信息化的发展存在较多的安全隐患。

2.2企业信息化操作管理不到位

在企业进行信息化建设的过程中，大多数的企业没有认识到对企业信息进行科学管理和操作的重要性。相关的操作和管理人员在信息化建设的管理和操作中缺少合理性，导致黑客与入侵者有机可乘，造成企业信息外泄。企业的信息化建设是一个全新的的概念，其中的信息系统管理，信息安全系统的维护与升级都必须由专业的操作人员进行操作和管理，因此，专业技术人员专业技能的缺乏和个人的素质对企业的信息安全有着直接的影响。

2.3可用于信息化建设的软件较少

近年来，市场上各种类型的系统软件越来越多，但是能够真正用到企业信息化建设的系统软件却比较缺乏，特别是相较于国际市场，国内的软件无论是在适用范围，还是技术水平方面都比较落后，这也是给企业数据安全带来隐患的一大重要原因。

企业信息化建设使用的软件安全性能较低，很容易被病毒或是黑客入侵，从而对企业的信息安全造成威胁，虽然大部分的企业在商业机密信息方面设置了一定的操作权限，但是在企业的实际管理中，比较容易出现员工操作权限重复的情况，操作人员的责任不够明确，从而导致企业信息外泄或是数据丢失[2]。

三、企业提高信息化建设中的信息安全性的对策

3.1企业需树立正确安全意识

在企业信息化的发展进程中，企业应该充分了解企业信息安全问题和企业发展之间的关系。意识到一旦企业的重要机密发生外泄或者是被窃取，将会给企业造成不可估量的损失，并给竞争对手提供有利的机会。

因此，企业应该采取适当有效的措施，防止信息安全问题的产生，树立正确的信息安全意识，以便为企业未来的信息化发展打下更好的基础。

3.2加强企业内部信息系统管理

①正常来说，企业信息的系统使用任何的安全软件都有可能被攻击或被破解。在信息的安全防御过程中，最重要的并不只是信息技术，管理对于企业的信息安全系统来说也非常重要，只有对企业的信息进行合理、规范的管理，才能更有效提升企业信息系统的安全性。因此，合理的对信息安全管理体系进行规范化建设，对于企业的信息安全管理至关重要。

②完善企业安全的风险评估机制。企业信息系统的建设，并非是利用一种技术在短时间内能够完成，在平常的操作与管理中，所有的系统都有自己的优势与缺点，因此，企业应该针对本身信息系统的优势和缺点建立相关的安全风险评估机制，找到对信息系统安全造成影响的漏洞和原因，并及时地进行处理，以有效降低企业信息系统被攻击的可能性。

3.3运用安全性较高的防护软件

尽管所有的防护软件都有办法破解，但是安全性越高的防护软件，破解的难度就越大，企业信息被窃取或是泄露的可能性也就越低。因此，企业在对安全防护软件进行选择时，不应该为了节省企业的成本，而在信息系统中使用一些安全性较低的防护软件，应该选技安全系数较高的防护软件，防止信息系统出现安全问题，给企业带来更大的经济损失。

3.4加强企业的网络管理

大多数的不法分子都是通过网络对各个企业的信息进行窃取和破坏，因此，企业需要加强企业的网络管理，以确保企业信息系统的运行可以在安全的状态下进行。企业应该依据信息安全的等级、种类制定出相关的防护措施和方案，并提前制定好信息安全事故发生之后，企业应该采取的解决措施[3]。在企业的信息安全受到威胁时，企业应该及时成立起危机处理小组，让该小组依据信息安全危机处理的步骤与预案，进行危机处理，防止危机处理不当而出现更加严重的连锁危机。此外，企业应该对内部的员工进行信息安全培训与教育，提升员工信息安全管理意识和安全危机事件的处理能力，从而有效防止企业自身失误而造成的信息安全问题。

四、结束语

总之，在这个信息化的时代，企业进行信息化建设是其发展和生存的重要途径。但就目前而言，我国大部分的企业都只看到了信息化建设的优势，没有意识到信息系统安全问题的重要性，信息系统还处在一个长期不设防的状态当中，这一情况直接影响了企业信息系统的安全性。因此，为了提高现代企业信息系统的安全性，企业就应该重视信息系统的安全问题，树立正确的信息安全意识，采取有效的防范措施、不断完善企业的信息管理体系，在企业信息化建设过程中，对可能会影响信息系统安全的因素进行全面考虑，以确保企业信息系统建设的安全性。

参 考 文 献

篇（9）

中图分类号：TP393

1 项目来源

重钢集团公司按照国家“管住增量、调整存量、上大压小、扶优汰劣”的原则，将重庆市淘汰落后产能、节能减排与重钢环保搬迁改造工程结合起来。随着重庆市经济和城市化快速发展，重庆钢铁（集团）有限责任公司拟退出主城区，进行环保搬迁。重钢环保搬迁新厂区位于长寿区江南镇，主要生产设施包括码头、原料场、焦化、烧结、高炉、炼钢、连铸、宽厚板轧机、热连轧机和各工艺配套设施以及全厂的公辅设施等，生产规模为630万吨。

2 系统目标

重钢股份公司在搬迁的长寿区建立了全新的信息化机房，结合自身实际，决定部署一套符合自身需要的信息化平台。整个平台包含：财务系统、人力资源管理系统、门户.OA系统、各产线的MES系统、以及企业的原料，物流系统等。

3 系统实现

重钢信息系统全由公司自主研发，服务器端采用：中间服务器操作系统win2003server+Oracle Developer6i Runtimes，数据库服务器：Unix Ware+ORACLE 10g。开发端：Windows 9x/2000/XP+ Oracle Developer 2000 Release。根据业务需求，公司统一按国家标准部署了装修一个中心机房，选择了核心数据库服务器小型机、其他小型机服务器、FC-SAN存储柜、SAN交换机，磁带库、PC服务器、网络安全管理设备，机柜、应用服务器软件、数据备份管理软件、UPS电源。等硬件基础设施对此系统项目进行集成。在信息化建设实施过程中，本人主要参与了整个系统项目集成方案设计和实施。

4 项目特点

4.1 网络设计

中心机房通过防火墙等网络设备提供网络互联、网络监测、流量控制、带宽保证、防入侵检测等技术，抗击各种非法攻击和干扰，保证网络安全可靠。同时网络建设选择了骨干线路采用16芯单模光纤，接入层线路采用8芯单模光纤，桌面线路采用六类非屏蔽网络线；光纤骨干线部分采用万兆+千兆光纤双链路连接，接入层光纤采用千兆链路接口至桌面。整个网络体系满足千兆以上数据传输及交换要求。

4.2 系统设计

本系统采用业界流行的三层架构，客户端，应用服务器层，后台数据库层。

4.2.1 应用层设计特点

在应用层选择上，重钢选择了citrix软件来实现企业的虚拟化云平台，原先安装在客户端的应用程序客户端程序安装在Citrix服务器上，客户端不再需要安装原有的Client端软件，Client端设备只需通过IE就可以进行访问。这样就把原先的C/S的应用立刻转化为B/S的访问形式，而且无需进行任何的开发和修改源代码的工作。同时使用Citrix的“Data Collector”负载均衡调度服务器负责收集每一台服务器里面的一些动态信息，并与之进行交流；当有应用请求时，自动将请求转到负载最轻的服务器上运行。Citrix是通过自己的专利技术，把软件的计算逻辑和显示逻辑分开，这样客户端只需上传一些鼠标、键盘的命令，服务器接到命令之后进行计算，将计算完的结果传送给客户端，注意：Citrix所传送的不是数据流，而是将图像的变化部分经过压缩传给客户端，只有在客户端和服务器端才可以看到真实的数据，而中间层传输的只是代码，并且Citrix还对这些代码进行了加密。对于网络的需求，只需要10K～20K的带宽就可以满足需要，尤其是在ERP中收发邮件，经常遇到较大邮件，通常在窄带、无线网络条件下基本无法访问，但通过Citrix就可以很快打开邮件，进行文件的及时处理。

4.2.2 数据库层技术特点

在数据库层的选择上，重钢选择了oracle软件。利用oracle软件本身的技术特点，我们设计系统采用ORACLE RAC+DATAGUARD的部署方式。RAC技术是通过CPU共享和存储设备共享来实现多节点之间的无缝集群，用户提交的每一项任务被自动分配给集群中的多台机器执行，用户不必通过冗余的硬件来满足高可靠性要求。

RAC的优势在于：在Cluster、MPP体系结构中，实现一个共享数据库，支持并行处理，均分负载，保证故障时数据库的不间断运行；支持Shared Disk和Shared Nothing类型的体系结构；多个节点同时工作；节点均分负载。当RAC群组的一个A节点失效时，所有的用户会被重新链接到B节点，这一切对来说用户是完全透明的，从而实现数据库的高可用性。

Data Guard是Oracle公司提出的数据库容灾技术，它提供了一种管理、监测和自动运行的体系结构，用于创建和维护一个或多个备份数据库。与远程磁盘镜像技术的根本区别在于，Data Guard是在逻辑级，通过传输和运行数据库日志文件，来保持生产和备份数据库的数据一致性。一旦数据库因某种情况而不可用时，备份数据库将正常切换或故障切换为新的生产数据库，以达到无数据损失或最小化数据损失的目的，为业务系统提供持续的数据服务能力。

4.2.3 数据备份保护特点

备份软件采用HP Data Protector软件。HP Data Protector软件能够实现自动化的高性能备份与恢复，支持通过磁盘和磁带进行备份和恢复，并且没有距离限制，从而可实现24x7全天候业务连续性，并提高IT资源利用率。Data Protector软件的采购和部署成本比竞争对手低30-70%，能够帮助客户降低IT成本，提升运营效率。许可模式简单易懂，有助于降低复杂性。广泛的可扩展性和各种特性可以实现连续的备份和恢复，使您凭借一款产品即可支持业务增长。此外，该软件还能够与领先的HP StorageWorks磁盘和磁带产品系列以及其它异构存储基础设施完美集成。作为增长迅猛的惠普软件产品组合（包括存储资源管理、归档、复制和设备管理软件）的重要组成部分，Data Protector软件还能与HP BTO管理解决方案全面集成，使客户能够将数据保护作为整个IT服务的重要环节进行管理。该解决方案将软硬件和屡获殊荣的支持服务集于一身，借助快速安装、日常任务自动化以及易于使用等特性，Data Protector软件能够大大简化复杂的备份和恢复流程。借助集中的多站点管理，可以轻松实施多站点变更，实时适应不断变化的业务需求。

5 结束语

企业信息化平台系统集成不是简单的机器设备堆叠，需要根据企业自身使用软件特点，企业使用方式，选择合适的操作系统，应用软件作为企业生产软件部署的基础，另外要合理利用各软件提供的技术方式，对系统的稳定性，安全性，冗余性进行部署，从而达到高可用和可扩展的整体系统平台。

参考文献：

[1]肖建国.《信息化规划方法论》.

[2]雷万云.信息化与信息管理实践之道[M].北京：清华大学出版社，2012（04）.

[3]《Pattern of Enterprise Application Architecture》.Martin Foeler

篇（10）

中图分类号：TP393.18 文献标识码：A 文章编号：1007-9416（2017）01-0209-02

企业信息化任务的建设与集成，其首要任务为网络构架与网络安全设计。建立一套安全的网络系统，不仅可以为企业的信息交流、信息与信息传输创造一个安全平台，确保企业的安全生产，还可优化调度管理，为企业决策提供参考数据，避免恶意篡改与非法盗取现象的发生。因此，加强企业信息化建设集成与网络安全的研究，确保企业生产环境安全可靠，已逐渐成为现代化企业发面所面临的重点研究课题。

1 企业实现信息化建设集成的意义

1.1 强化企业管理

随着企业管理模式的发展，企业业务经营逐渐多元化和区域不集中化，从而造成了管理任务的复杂与多变化。实行信息化集成管理的核心就是在企业内部，以业务整合、流程与资源配置优化的方式，建立起信息化的组织架构、管理服务和流程控制体系，而这一目标的实现则需通过信息集成化处理的手段，并将企业先进的管理理念与技术搭建在所构平台上，以此进行运行。

1.2 时展的必然性

实践证明，传统的管理模式还不足以使集成化效率最大化，甚至有时候会带来更加严重的风险和漏洞，如管理人员的压缩，引发的现场安全管理、资金管理和用工管理等风险，信息技术快速发展的当下，企业只有对管理系统进行重新综合集成，充分挖掘各方面潜能和整体效力，方可在集成化管理和市场竞争中把握先机，从而实现企业效益的最大化。

1.3 自身优势的使然

目前，大型企业集团均通过对在生产和管理方面的信息化建设，利用互联网技术把企业信息集成起来组成一个管理信息平台，达到数据共享，并借助专用软件，将企业管理向集成化、网络化改造，既能为企业的高层决策者提供决策支持，又能减少结构冗员，提高运营效率和服务质量。

2 加强企业信息化集成网络安全的措施

基于非法入侵、病毒传播与数据丢失等网络安全问题，本文针对性的从以下两点进行防护措施的论述。

2.1 加快信息化安全标准建设

在信息化方面，目前，无论是处于单项技术、单机、单线的应用状态，还是型号工程实现了CIMS（计算机集成制造系统）的企业，要实现数字化，构建高水平、高安全的企业信息化体系，信息安全标准及其标准化工作都是非常重要的。例如IS0/IEC JTC1/SC27正在制定的有关信息安全管理体系方面的标准：

・ISO/IEC 27001 信息安全管理体系要求（现在的标准 IS0/IEC FCD 24743）。

・ISO/IEC 27002 保留现在的标准ISO/IEC 17799 信息安全管理实用规则。

・ISO/IEC 27003 保留编号。

・ISO/IEC 27004 信息安全管理度量机制和测量措施（现在的标准IS0/IEC 24742）。

・ISO/IEC JTC1/SC27 NP 信息安全管理体系实施指南。

此类标准实施的目的在于帮助企业建立与健全信息安全管理体系，促使其管理水平与保证能力得到提高，做到日常生产安全顺利运行。因此，企业要想构建高水平、高质量的信息化安保体系，必须要加强信息化集成任务的标准化实施。

2.2 利用先进的网络安全技术

2.2.1 防火墙技术

以防护范围与防护能力划分，可将防火墙技术分为网络级与应用级两大类，其中，网络级防火墙是以整体网络的非法入侵为防护对象，实施全方位保护，而应用级防火墙是以具体的应用程序为防护对象，只是在程序接入时进行防护控制，功能比较单一但针对性强，因此，一套完整的防火墙技术，应是以网络级和应用级的共同结合使用。日常生活中，我们一般所用防火墙大多拥有基于、动态防护、包过滤和屏蔽路由等技术。

2.2.2 入侵检测技术

作为一种动态网络检测技术，入侵检测技术的实施可有效识别恶意使用网络系统，通过分析与辨别，将非法入侵行为及时发现，其检测范围包括内部未经授权的活动和外部用户的非法入侵，并能够对入侵行为作出相应的反映，该系统的组成由相应的软件与硬件共同完成，运行后能够做到数据分析并得到结果，大大降低了管理人员的工作量。除此之外，入侵检测技术对于网络攻击也有一定的反防护能力，但效果不及防火墙技术，因此不能做到代替。

2.2.3 信息加密技术

对称加密与非对称加密作为信息加密技术的两种表现形式，随着网络技术的快速发展，使其得到了不断优化与发展。该技术的应用是以防止数据受到非法盗取为目的，通过数据加密技术对某些重要数据与信息采取保密处理后，以此达到确保信息安全的效果，其主要包括数据传输、数据存储、数据完整性鉴别和密匙管理四种方式。

2.2.4 访问控制技术

访问控制技术简称AC，它的作用是能够确保网络资源不会被非法访问和非法使用，能够起到网络安全防范和保护的作用。访问控制是检测访问者的相关信息，限制或者禁止访问者使用资源的控制技术。访问控制技术能维护网络系统安全和保护网络资源，是确保网络安全的主要措施。访问控制分为高层访问控制和低层访问控制两种，高层访问控制检测对象是用户口令、用户权限、资源属性；低层访问控制对象是通信协议中的特征信息通过分析然后做出判断控制访问者能否访问信息。

3 结语

综上所述，作为现代企业的发展方向，信息化的建设与集成在给人们带来便利的同时又隐藏着许多网络安全隐患，相比于传统管理模式上的失误，这种安全隐患具有威胁更大，速度更快等特点，动辄就是成千万的经济损失。因此，作为现代企业的管理者，我们只有不断研究，不断实践，立足于企业信息化建设与集成任务的标准化与多元化发展方向，做到不断的自我完善与自我修正，方能促进现代企业的健康发展。