本站小編為你精心準備了企業信息安全分析論文（5篇）參考范文，愿這些范文能點燃您思維的火花，激發您的寫作靈感。歡迎深入閱讀并收藏。

第一篇：企業信息安全構建分析

摘要:現今社會屬于信息化社會，信息在社會生活中的作用越來越大。另外，企業在生產發展的過程中，對于信息的依賴性也越來越大。企業需要依據信息提供的市場需求，進行各項的生產經營活動。針對這種情況，企業在發展的過程中，還需要建立相應地信息系統，對企業內部的各項信息進行管理與處理。本文主要從信息系統管理體系的內容出發，對企業信息系統管理體系的特點進行了分析，并在此基礎上，分析了企業信息系統管理體系如何構建。

關鍵詞:企業信息安全;管理體系;構建

由于現今信息技術的快速發展，導致企業在進行市場競爭的時候，其主要機制以及原則也發生了一定的改變。信息化技術的發展，使得企業市場競爭具有很強的時效性。因此，企業現今所需要考慮的問題就是如何在現代信息化的環境下，對內部的信息系統進行積極構建。另外，在信息系統中，主要強調的是信息、技術與人的有機統一。因此，在對企業生產過程中產生的信息進行科學的管理也是一項難度較大的工作［1］。在進行內部信息管理的時候，管理者既需要對現今社會上的先進科學技術以及信息技術有較為深刻的認識，還需要對企業內部涉及到的各種資源進行合理協調，從而實現企業發展的可持續性。

一、企業信息安全管理體系的內涵

企業中的信息資源主要指的是企業在發展以及運營過程中，產生的一切信息文件，如資料、圖表以及數據等。其貫穿于企業管理以及企業運行的全過程。從現今的情況來看，企業中涉及到的信息資源和企業的人力資源、無力資源以及財力資源都一樣重要，為企業發展起著重要的推動作用。而信息管理的主要含義是企業生產以及發展過程中所產生的信息資源進行收集、處理以及分析，根據得出的信息數據，做出有關企業發展的重要決策。依據這個定義可以得出，信息系統管理體系的主要意義就是對企業中涉及到的所有信息技術按照企業發展的未來規劃進行總體規劃的制定，具有一定的思想性以及未來性。信息系統管理體系主要是對企業的發展戰略進行充分考慮，以企業發展得到的數據以及信息為基礎而建立起來的一種多維分層，具有動態性。從本質上來說，企業內部所進行的管理方式主要是對企業中的人力資源、物力資源以及財力資源等進行科學的管理，并依據對這些資源的管理，實現對信息資源的有序管理。因此，信息系統的管理也應該分為對人力資源進行的信息資源管理、對物力資源所進行的信息資源管理等。每個部分在企業信息資源管理的時候，都是獨立進行的，且又是有機聯系的［2］。企業的整個信息系統具有整體性的特點。企業之所以有進行信息資源管理的需求主要是因為企業需要對企業內部的各種要素進行協調，從而實現企業協調發展。

二、企業信息安全管理體系的主要特點以及相關的構建原則分析

(一)信息系統管理體系的主要特點

通過對信息系統管理體系的相關內容進行分析發現，信息系統管理體系所具有的主要特點有:首先，綜合性。由于信息系統管理體系本身可含有的內容較多，且涉及到企業內部管理的方方面面，如組織、文化以及工程、發展戰略等，同時，也涉及到了人力資源管理、財務管理以及通信技術等，可以說，對于企業發展內外的各種因素都進行了涉及。因此，企業信息系統管理體系具有一定的綜合性。其次，多樣性的層次。由于企業信息系統管理體系本身就是具有一定的層次性的，各種企業內部的子系統可以根據其實際情況，對其進行分級。再次，多維性［3］。企業信息系統的復雜性是造成其具有多維性的主要原因。從另一個層面來說，其多維性也是多視圖的表現，可以從任何一個角度對管理體系進行理解。和建筑學一樣，信息系統管理體系也體現了一定的立體概念。最后，動態性。由于信息系統管理體系是一個開放程度較高的體系，因此，其系統的內容結構等都可以根據實際情況以及環境的變化實時進行調整。

(二)信息系統管理體系的構建原則

一般來說，在進行信息系統管理體系的構建時，需要遵循的主要原則與:首先，較容易進行理解。信息系統管理體系的最終目標是服務于企業的發展，因此信息系統管理體系需要具備一定的實用性。另外，為了便于企業人員的實行，其還應該具備操作簡單的特點。如果信息系統管理體系設置的過于晦澀難懂，就會導致企業人員難以對其進行有效應用，從而失去其實際應用價值。其次，應該具備一定的戰略性。企業信息系統管理體系在進行實際構建的時候，應該對企業整體的發展戰略以及運營狀況進行充分把握。這樣一來，可以使得信息系統管理體系在發揮其作用的時候，從企業的實際需求出發，對企業發展的戰略進行充分把握，進而為企業所進行的各項決策提供一定的依據。最后，可操作性強。由于信息系統管理體系的主要目的就是對企業的各項資源，如信息資源、人力資源以及財務資源等進行充分管理［4］。因此，信息系統管理體系在建立的時候，需要具備一定的可操作性。只有具備較強的可操作性，才能將其充分運用于企業發展以及運營過程中，并產生企業決策所需要的信息。另外，需要注意的是，由于企業信息系統屬于應用型系統，因此，在實際運用的時候，還需要定期對其進行維護，檢查其中出現的各項失誤，并對其進行積極整改，從而使得該信息系統得以平穩高效運行。

作者:盧仁鵬 單位:成都理工大學管理科學學院信息管理與信息系統專業

參考文獻:

［1］張繼德．兩化深度融合條件下企業分階段構建內部控制體系研究［J］．會計研究，2013，06:69－74+96．

［2］孫雪．基于醫院信息系統探究醫院信息管理體系的構建［J］．中國衛生產業，2014，10:185－186．

［3］李春燦．信息管理與信息系統專業本科生就業能力指標體系的構建及培養研究［J］．職業時空，2014，05:11－17．

［4］柯?。髽I信息生態系統評價指標體系構建研究［J］．圖書情報工作，2011，14:54－58．

［5］劉躍娟，白雪峰，任重貴，張建．應用型本科信息管理與信息系統(醫學信息方向)專業課程體系的構建［J］．信息化建設，2015，10:31－33．

第二篇：網絡環境下的企業信息安全管理策略

摘要:隨著信息技術的不斷發展,信息化開始深入到了人們的日常工作與生活中,信息系統的安全也受到了人們的廣泛關注。想要確保網絡與信息系統的正常使用,就要求企業中的管理人員要不斷提高對息信息安全的管理力度,提高控制的效果,運用好網絡協議,保證企業中信息的安全與可靠?；诖吮疚尼槍W絡環境下的企業信息安全管理進行了簡要闡述,并提出幾點個人看法,僅供參考。

關鍵詞:企業信息安全;網絡環境;安全管理

在信息全球化的影響下,網絡已經對人們的生活產生出了極為深刻的影響。因此,人們對網絡環境下的信息安全問題也開始更加關注。在長期的發展過程中,人們將網絡比喻成了一把雙刃劍,雖然存在著較大的優勢,但是其問題也不容小覷。在企業中運用網絡,在促進企業發展的同時,也很容易造成企業中的信息出現泄漏的現象,且一旦信息泄漏,就會造成嚴重的影響。

1企業中信息安全的重要性

企業想要實現長遠的發展,就要保證自身信息上的安全,同時還要認識到信息安全的重要性,從長遠的角度上出發來保護好信息。企業想要實現發展,就要做好基礎性的工作,完善基礎設施建設,建立出完善的信息安全保障系統,在健康的網絡環境下來實現長遠的發展。隨著科學技術的不斷發展,云計算、大數據以及互聯網等將引領著未來IT的發展[1]。

2做好企業信息安全建設的措施

對于企業信息安全來說,是一項系統性的工程,并需要在技術與管理上做好相關工作,這樣才能保證信息的安全。因此,在實際中就要認識到技術在信息安全管理中的重要性,同時還要完善系統的管理工作,發揮出應有的作用與效果,同時還要做好風險評估與技術創新等工作,以此來保證企業中信息的安全。

2.1安全風險評估

隨著網絡的不斷發展,信息的種類也開始逐漸增多,這樣所產生的問題也在不斷的增多,并呈現出了越來越厲害的趨勢,所以也就使得人們開始思考籌劃信息系統的過程中,為了保證系統的健康營運而建造出全面的安全保障系統。通過對目前的應用系統進行分析與評估等工作是實際可行的辦法。因此,在實際中企業中的信息系統根據風險管理的方法來對可能存在的風險以及需要進行保護的信息進行分析,以風險評估為最終結果來選擇出適當的措施,應對好可能出現的風險。企業只有對安全風險進行有效的評估,才能夠結合實際問題進行科學合理的分析,采取有效的措施避免風險出現。

2.2實際技術上的創新與管理

時代的發展是建立在創新基礎之上的,只有實現不斷的創新,才能實現更好的發展。因此,在技術不斷創新的影響下,就要提高其質量,保證效益,建立出以市場發展為基礎的創新機制。對于企業來說,想要在行業市場競爭中占據一席之地,就要做好創新工作,全面實現創新理念,認識到制度創新是技術創新的基礎,構建出完善的管理體系,提高程序以及方法上的科學性,同時還要保證財力上的支持,實現技術的改進與創新[2]。首先,要做好技術上的創新。想要保證信息的安全,就要制定出信息的搶救措施,如進行數據恢復、備份以及銷毀等安全預防措施。普遍采用的恢復技術有HDDoctor等。對于網絡的正常運行來說,安全是最基礎的,想要保證網絡的安全,就要從多個層面上出發來進行立體保護。同時還要明確怎樣進行防護,掌握風險的來源。因此,在實際中就要對網絡安全風險進行評估,并將重點放在安全測試評估技術上。其目標是要掌握好相關的技術,完善的測評流程,健全風險評估的體系。其次,完善管理措施。在長期的發展過程中,企業中的信息化建設開始從戰術地位向著戰略地位的方向發展了。因此,就要從經營戰略的層面上出發,將信息化建設與企業中的經營戰略結合在一起,在環境分析的基礎上來制定出發展戰略,及時對企業中的信息化綱領進行調整。同時還要明確的是要在滿足企業發展戰略的基礎上來明確企業中的信息化愿景。第一,建立出完善的管理制度,明確管理的方案,以及安全服務等方面的內容,從企業自身的實際情況上出發沒離開選擇可以保證企業自身信息安全的產品。第二,建立出運維管理制度。在這一制度中要包含安全監控、設備設施的安全以及應急預案的處理等方面。第三,將監督檢查機制落實到實際中去。通過對各項制度的實際情況進行檢查,可以保證企業中信息的安全[3]。

2.3充分運用防火墻技術

在網絡信息安全的管理中,防火墻技術屬于一項較為有效的安全技術,能夠按照特定的規則,從而來允許以及限制數據的通過?，F今很多企業都廣泛應用防火墻技術,以此來保證自身企業的信息安全。并且防火墻自身具有很強的抗攻擊性,不會被病毒所控制。防火墻能夠有效防止黑客訪問用戶的及其,以此來組織黑客拷貝篡改用戶的信息,以此來保證信息的安全。同時防火墻技術能夠將內部的網絡進行劃分,從而來將重點的網段進行隔離,以此來對其進行保護。另外,一些防火墻技術也會支持互聯網服務特性的企業內部構建網絡技術體系,也即是所謂的VPN,VPN會將全球的LAN以及電子網進行整合,從而來專用通信線路,實現資源的共享。

3結語

總的來說,想要保證企業中的信息安全,就要堅持從信息安全技術與做好內部管理工作上出發,通過安全技術的支撐來提高內部管理工作的效果,同時還要落實管理與監控工作,加強信息安全教育,建立出完善的管理制度,提高安全管理的水平。

作者:湯宏亮 單位:中國鐵路通信信號上海工程局集團有限公司

參考文獻:

[1]范立宇.網絡環境下信息安全管理體系建設研究及其構架[J].電子制作,2015,(18):44-45.

[2]李勇.基于網絡環境下的企業信息安全管理[J].數字通信世界,2015,(06):166-166.

[3]郭士娟.冷金敏,馮濤等.網絡環境下現代企業信息安全管理與隱患防范對策構建[J].信息系統工程,2013,(06):75-76.

第三篇：電力企業信息安全文化的建設

摘要：提出了電力企業信息安全文化的構建，從提高員工信息安全意識和建立信息安全管理規范兩方面入手，提高員工信息安全意識，可以形成統一的信息安全理念和"信息安全、人人有責"的信息安全文化氛圍；建立信息安全管理規范，讓信息安全文化有章可循，有據可依。通過企業信息安全文化的構建，提高企業信息安全防護能力。

關鍵詞：企業信息安全;企業文化;管理規范

1現狀分析

企業在信息安全建設時，為了信息安全的最大化保障，花費了大量的財力，購置基礎防護設施，不管是信息安全硬件還是軟件，但是信息安全問題還是頻發。溯其根源，大部分是因為企業內部員工信息安全意識過于薄弱。據統計，在發生信息安全事件時，只有20%～30%是因為外部人員破壞或其他外部原因造成，另外70%～80%是由于內部員工的疏忽或有意泄漏造成的［3］。根據GooAnn的《2012年度中國企業員工信息安全意識調查報告》結果顯示，在所有受訪者中，只有9.4%有良好的信息安全意識。因此，如何提高員工信息安全意識，不僅對企業的發展有利，也對員工自身有所幫助。員工有了好的信息安全意識，還需要管理制度作為企業文化的準則。以國網江西省電力公司為例，根據國網公司的統一要求，首先，使用通用制度作為公司統一的管理制度，國網省公司只能編制相應的補充管理規范。管理規范如何能夠體現員工自身的意愿，除了內容要符合公司實際情況以外，更為重要的是需要一個好的管理規范修訂辦法，不斷改進提升管理規范，滿足公司信息安全的發展需求。

2電力企業信息安全文化建設

提高員工信息安全意識的主要手段包括培訓、宣貫和考核等，但是填鴨式的培訓和宣貫往往收效甚微，甚至可能適得其反，為提升員工信息安全意識，讓員工自身投入到信息安全中，感受信息安全企業文化。本文以國網江西省電力公司為例，主要從以下三個方面開展。

2.1提高員工信息安全意識

信息安全培訓有時候往往理論和實踐是分離的，未能做到理論和實踐有效相結合。為了進一步提高信息安全意識培訓的效果，本文提出使用“理論-實踐-理論”的培訓模式。該培訓模式的思想為：從理論中來，到實踐中去，又回到理論本身，形成一個抽象到具體，又從具體中抽象的過程。“理論-實踐-理論”培訓模式步驟介紹：理論代表管理規范的抽象要求，實踐代表管理規范的具體實施細則。首先，通過對管理規范的學習，了解公司總體的信息安全要求，通過學習與自身工作崗位相關的管理規范，對崗位信息安全要求有所了解。其次，在已有的信息安全知識基礎上，培訓學習公司目前部署的所有信息安全技術手段，并熟練使用這些技術手段，通過技術手段對員工行為的約束，更為深刻地了解管理規范的具體條款。最后，回到管理規范條款的仔細學習，通過結合管理規范和技術手段，加深自己對信息管理規范的理解。雖然有了合理的培訓模式，但是信息安全意識的提高還是不能一蹴而就，需要循序漸進，不斷加深員工對信息安全的認識和了解，加強企業信息安全氛圍，使信息安全成為國網公司企業文化的組成部分。國網江西信通公司，作為信息安全的責任和專業單位，對企業信息安全工作的開展起著重要作用，為更好地提高員工信息安全意識，依托信通公司的專業知識，主要從以下三個方面信息安全企業文化構建工作。

2.1．1開展多渠道的信息安全知識宣貫

信息安全知識需要隨時隨地的學習和熟悉，只有通過多渠道的宣貫，才能讓企業員工時時刻刻都能接觸到信息安全知識，并得到學習和警示。發揮國網江西信通公司的專業優勢，采用淺顯易懂的文字和圖片相結合的方式，編制信息安全知識手冊，發放給每個員工學習，碰到不清楚的地方，隨手可查。其次，通過國網江西信通公司負責運維的內網門戶網站，設立信息安全知識宣貫專欄或飄窗，利用定期更新的方式，讓員工每天可以接觸到信息安全知識，加深了解。另外，利用員工每天高頻率使用的個人辦公電腦作為宣傳媒介，開展宣貫工作，比如：設立辦公電腦信息安全知識桌面壁紙、屏保動畫及鼠標墊等等。通過以上多渠道的宣貫，讓信息安全知識隨時隨地可以學習，讓員工感受到信息安全企業文化觸手可得，閑暇可學。

2.1.2定期組織信息安全知識講座討論

信息安全知識不斷推陳出新，所以需要定期開展信息安全知識的講座，讓員工獲得最新的信息安全知識。國網江西信通公司現有多名國網領軍及專家人才，還有兼職培訓師，都是信息安全方面的能手，利用他們專業的技能，開展信息安全知識講座討論，讓員工感受到信息安全知識的重要性。另外，為了進一步加深員工對信息安全知識的了解，可以邀請國網公司相關專家，開展信息安全案例的講座，通過對發生在自己身邊的信息安全案例進行學習，更能認識到信息安全不是紙上談兵。通過信息安全知識講座討論，感受到信息安全企業文化重在實踐，近在身邊。

2.1.3開展信息安全知識趣味競賽

除了宣貫和講座以外，了解信息安全知識的另一個好的途徑就是考核，但是考核只會讓員工死記硬背，不能真正了解信息安全知識的實質內容，所以，可以通過理論知識和實踐知識競賽的方式，讓員工主動學習信息安全知識，也能學習如何把理論和實踐相結合。通過開展信息安全知識趣味競賽，并加以物質或精神獎勵的方式，可以鼓勵員工積極主動地學習信息安全知識，同時可以讓員工有參與感，形成人人參與，人人有責的信息安全企業文化氛圍。

2.2信息安全管理規范的修訂

隨著電力企業的發展，信息安全管理規范需要進行不斷優化改進，并及時修訂，以適應新的信息安全管理要求。在對管理規范進行修訂時，通常根據二個方面開展：第一、國網公司的通用制度修編，國網公司統一新的通用制度，國網省公司進行新制度的學習和遵循；第二、國網省公司根據實際情況進行管理規范的調整。其中，第一方面由國網公司統一組織，國網省公司主要開展第二方面的修訂，根據員工對信息安全認知的提高和實際工作問題的反饋，進行管理規范的修訂，然而，員工對問題的描述往往較為模糊，并不像信息安全管理人員或運維人員描述的準確，所以會導致管理規范修訂存在不精確的問題。為了改進這樣的修訂機制，本文選擇由信息安全管理技術出發，技術手段是對管理規范的具體化，也是對管理辦法內容的可操作化。所以，本文提出了從技術手段入手，逆向來提煉管理規范修訂需求，管理規范修訂流程圖通過員工使用企業的信息安全管理設備和信息安全管理系統，向專業信息安全運維人員反饋在使用中存在的問題，然后由信息安全運維人員和管理人員進行提煉匯總，形成管理規范修訂的新需求，從而更為準確地修訂信息安全管理規范。

作者:王婧 沈宏杰 單位:江西省 電力職業技術學院

參考文獻：

［1］國家電網公司.國家電網公司企業文化手冊［M］.中國電力出版.2007.

［2］李雪,白潔,胡曉荷.品文化之悟成功之道-信息安全企業文化面面觀［J］.信息安全與通信保密,2008（5）.

［3］李旭,孫碩.淺析企業文化建設與員工信息安全意識［J］.現代營銷,2012（11）.［責任編輯韓翠麗］。

第四篇：企業信息安全審計分析

摘要:隨著科學技術的發展，網絡應運而生，開始廣泛的應用于各個領域，影響著社會的生產和人們的生活。在網絡出現之后，整個世界的聯系在加強，人們會通過網絡來傳輸和獲取信息，為社會生產帶來更多的便利。但網絡的力量過于強大，且網絡使各個行業之間的聯系非常的緊密，因此它的安全性是極為重要的，直接影響著社會的穩定。如果網絡世界沒有了安全保障，那么無論是商業系統，還是企業生產，都會受到嚴重的影響，甚至對人們的生活、國家的安定構成一定的威脅。因此，為了順應時展的需求，保障信息系統安全的安全審計開始出現。本文主要分析了企業信息系統安全審計的概念和意義，提出了安全審計的實施步驟。

關鍵詞:企業生產；企業信息安全；安全審計

前言

安全審計不僅涉及到企業，也涉及到整個社會，甚至是國家的網絡安全，因此安全審計是一個極為龐大的系統工程。我國有相關規定：保護計算機信息系統的安全主要是對維護國家經濟、國防建設以及重點科學等重要領域進行保護，使其在一個安全的環境下運行。本文對經濟建設中企業自身的利益為切入點，分析了安全審計對于網絡信息系統的重要性，對相關的計算機網絡系統安全審計進行探討。

一、企業信息安全審計的重要意義

1、信息系統中安全審計的必要性

無論是個人，還是企業、政府等機構，在運用計算機網絡的時候都需要安全保障，以保證系統的安全，防止重要數據信息的泄露和丟失。很多個人、企業等在使用計算機系統的過程中，都會按照自己的需求來設置相應的安全保護系統，做出相應的安排。但系統是否安全，不能僅僅憑著系統使用者的判斷,而是由專業的計算機系統保護人員來評價的。這樣才能客觀、公正的進行審查，找出計算機系統中存在安全隱患的地方，并采取相應的措施來改變。因此，安全審計必須要遵循公平、公正的原則。

2、安全審計是審計的重要組成部分

在審計之中，安全審計是一個新的內容，其產生的原因主要是計算機和互聯網技術的普及，以及開放式網絡internet的廣泛應用。安全審計對于企業的發展起著重要的作用，是企業信息安全的保障，也是企業自身的職責。安全審計是一個專門的審計項目，主要是由于安全審計的特殊性。計算機網絡問題涉及到的企業和個人很多，影響到所有參與者的利益，且網絡環境包含了多方面的知識和信息，具有復雜性和綜合性。因此，無論是國家的財政收支，還是企業的信息管理，都需要保證計算機網絡的安全，這就需要使用安全審計。

3、安全審計的監督體系

安全審計體系應使國家、社會和企業融為一體，以國家的安全審計作為主導，其余的為組成部分。企業要在國家政府的領導下，對計算機網絡安全審計提供相應的服務，保證網絡的安全。它是社會對網絡系統安全作出評價得一種產物。安全審計需要定期的對網絡的安全性做出檢查和評價，確定計算機網絡環境的安全，保證系統的正常運行。

二、企業信息安全審計的程序

安全審計要確定具體的內容和時間，以及相關的審計方法，就需要根據安全審計程序來做好相關的規程。安全審計不同于其他的審計方法，其實施過程主要分為以下三個階段：

1、審計準備階段

審計準備階段主要是指對審計對象的情況、目標制度和結構等作基本的了解，并制定出相應的工作計劃。在審計準備階段，審計人員應確定對象的重點、安全要求及漏洞等，并采取相應的措施來避免漏洞的產生。首先，了解網絡的基本情況，也就是通過企業的工作人員等咨詢相關的計算機網絡情況，通過實地觀察來進行分析，找到可能存在的問題，掌握網絡的連接情況。再則要了解企業安全控制的目標。一般來說，企業安全控制是為了保證系統的正常運行，數據信息完整可靠；企業的數據要有備份，出現問題后能夠使系統快速的恢復正常等。此外，審計準備階段還需要了解企業現行安全控制情況和可能出現的漏洞。審計人員要掌握企業對網絡的安全保密計劃，了解控制目標實現的具體情況，系統是否還存在漏洞等，再采取相應的措施。

2、審計實施階段

在安全審計的實施階段，其主要的內容是對內部的安全控制措施進行測試，確保措施的安全有效。首先，數據通信控制的目標是保持數據的完全與完整，在設備出現失靈現象的時候要及時的糾正，防止數據的丟失，并防止外來的internet及內部的非法操作軟件。要達到目標，需要做以下的測試：選取一組數據傳輸，檢查是否存在因線路噪聲引起的數據失真；檢查相關的通信記錄，保證數據接收的正確性；對控制密鑰的額安全程序進行檢查；對信息通道上各個點上的內容進行檢查；確定防火墻的控制性與便捷性是否處于平衡的狀態；還要檢查相應的口令控制程序，確?？诹钗募陌踩４送?，要做好相關的硬件測試，對硬件的各項控制情況進行評價。審計人員要確定實物的安全控制措施是否恰當，檢查操作人員是否對運行各部件出現問題的地方作了相應的記錄；檢查是否嚴格的按照流程來進行操作，操作流程是否合理；檢查各硬件的資料是否完整。

3、審計終結階段

安全審計的終結階段主要是對企業內部的安全控制系統進行評價，并根據安全控制系統的狀況提出相應的改進措施。一般來說，按照系統的完善程度、漏洞大小和存在問題的性質可以分為三個等級：一是基本安全，二是不夠安全，三是危險。這幾個等級需要運用不同的審計評價方式。

作者:張昕 單位:大慶油田信息技術公司北京分公司

參考文獻:

[1]白雪祺,張銳鋒.淺析企業信息系統安全體系建設[J].管理觀察,2014,(27):81-83.

[2]張蕾.電力企業信息系統的數據安全審計[C].//2005年電力信息化高級論壇--ERP、現代網絡技術及信息安全論文集.2005:159-160.

[3]陳曉.電力企業信息系統中統一身份認證與訪問控制應用研究[D].華北電力大學(北京),2013.

第五篇：數字證書在企業信息安全應用

摘要:計算機、網絡和人們的工作、生活聯系越來越緊密,同時產生了大量信息。這些信息涉及個人隱私甚至工作秘密,信息的泄露會極大損害個人、企業的利益。如何保證這些信息在個人計算機、網絡中使用和傳輸的機密性、完整性、安全性,以及對信息使用和接收者的身份確認,成了近年來信息安全領域研究的一個重要課題。

關鍵詞:企業信息安全;數字證書;私鑰公鑰

著科技水平、信息化技術的發展,計算機、網絡和人們的工作、生活聯系越來越緊密。計算機的使用與網絡的應用產生了大量的數據和信息,這些信息部分可以隨意公開,少部分涉及個人隱私甚至工作秘密不能被他人知曉。如何保證個人數據、信息在使用和傳輸中的機密性、完整性、安全性,以及對信息使用和接收者的身份確認,成了信息安全領域研究的一個重要課題。

1存在的問題

隨著信息化水平的提高,辦公自動化系統、生產管理系統、ERP、郵件等系統在企業內部網絡的使用,方便了員工的信息共享,提高了企業管理效率。但是每一個系統都有不同的賬號登錄,員工在各系統間頻繁登錄,要記錄不同的賬號與密碼,維護難度大。通常系統登錄采取賬號加口令方式,賬號加口令認證采用的是明文傳輸。這種身份認證方式存在安全漏洞,安全性差,用戶一般使用容易記憶的口令,如數字、生日、姓名縮寫等。因此建立安全、可靠的身份認證體系顯得尤為重要。

1.1身份認證技術

常用身份認證技術包括單因素認證、雙因素認證、生理特征認證等。賬號加口令屬于單因素認證;雙因素是指除使用賬號加口令認證方式外,采用諸如:USBKey(智能芯片卡),pin碼,數字證書等其他的認證方式的一種強身份認證方式;生理特征身份認證以人體唯一的指紋、虹膜、聲音等為依據進行認證;但是數據采集成本大、運營成本高,存儲與傳輸難度大。從實用性和成本角度企業一般采取PKI/CA的雙因素身份認證。

1.2PKI公鑰基礎設施

PKI公鑰基礎設施[1],是一種利用公鑰理論和技術建立的密鑰管理平臺,它能夠為網絡應用和數據傳輸提供加密和數字簽名等密碼服務及所必需的密鑰和證書管理體系,為每個合法用戶的使用提供合法性的證明。基于企業網絡環境,無論是B/S、C/S架構的系統應用。利用PKI可以方便地建立,維護一個可信的企業內部網絡環境,使企業員工在網絡環境中能夠確認彼此的身份和認證交換的信息;實現通信中各實體的身份認證,保證數據的完整性、真實性、抗抵賴性和信息保密等。

2PKI/CA系統

通常一個完整PKI系統必須包含幾個部分:PKI客戶端、注冊機構RA、認證機構CA和LDAP目錄服務器。

2.1PKI體系結構

PKI客戶端是證書的使用者、持有者;RA證書注冊機構,負責核實證書申請者的身份,是用戶與認證中心服務連接的接口;認證機構CA是PKI的核心,負責制定證書策略、初始化RA,接收、撤銷和更新證書請求,為實體生成密鑰對,CA在密碼傳輸中采用MD5加密算法,采取公鑰與私鑰結合的方式,在證書認證和下發中采用不可逆下發。CA負責簽發網絡用戶的電子身份標識,對CRL證書注銷列表進行管理;LDAP服務器提供目錄瀏覽服務,負責將用戶信息以及數字證書加入到服務器上。

2.2PKI建設

通常根據企業的性質不同和規模大小可以采用不同的建設方案,建設方案的選擇直接關系到了PKI/CA系統的使用、管理、維護及安全性。一般有以下幾種:(1)采用現有存在的面向公眾服務商業性數字認證機構+國家級權威公證模式。(2)采用完全自行建設模式。通過建立行業內部認證+內部審核公證系。第一種方式具有建設成本較低,無需建立維護、培訓和支持團隊,無需自己定義管理和安全策略。但應用和管理靈活性差。證書管理策略依賴于服務商,業務可靠性、穩定性依賴于外部服務,風險較高。第二種方式要獨立建立、維護、培訓和運營的整個PKI過程,并對PKI所有事物負全責,其中包括系統、通信、數據庫及物理安全、網絡安全、冗余系統、恢復等,對人員要求也比較高。比較適合具有全國、全省、行業范圍內有多種業務相關的關鍵信息系統的應用;企業內部網絡系統存在大量涉密信息對安全性可靠性要求高,企業內網與外網采取物理隔離的網絡通常采取這種建設模式。

3USKkey在數字證書中的使用

3.1USBKey的特點

為了適應企業網絡環境的特殊性,保障計算機和系統安全性,企業一般采用PIN碼加USBKey的方式進行雙因素登錄。USBKey屬于密碼設備,內置智能卡芯片,通過存儲的私鑰信息在企業網絡內部系統中實現身份認證、數字簽名等功能。

3.2文件加密傳輸

為保障企業內部涉密文件的加密傳輸,保證接受者的合法讀取權,都可以通過身份認證進行解決。加密傳輸對原有明文的文件按照某種特定算法進行處理,形成不可讀的一段代碼“密文”,匹配相應的密鑰之后顯示原來的文件內容。

3.3USBKey私鑰證書恢復

通常企業信息安全管理部門設置專屬的CA管理人員,負責證書的維護,對用戶的證書申請、重發放及密鑰制作。企業內部網絡用戶丟失或者損壞USBKey,CA管理人員通過數字證書系統密鑰恢復數據,將私鑰備份復制到新的USBKey中。

3.4USBKey的管理

企業內部采用雙因素認證,工作中難免個人PIN碼和USBKey被他人知悉。為了防范需要加強PIN碼和USBKey的管理,定期修改PIN碼,停止使用計算機時將USBKey存放到安全的設備中如:文件柜、密碼柜中,人走拔key。企業內部大量USBKey的使用,增加管理難度,為了區分采取數字編碼或制作用戶標牌進行劃分。同時完善日志,審計用戶信息、終端信息、認證時間和成功失敗情況等,若出現異常,便于追蹤,加強防范。

4結語

隨著企業信息安全意識的加強,以及在商務領域中PKI/CA技術的廣泛應用。數字證書系統已經是一種成熟的技術手段,在數據安全加密和加密傳輸中能夠較好的解決信息安全方面的問題,隨著信息化水平的提高數字認證、身份認證技術必將廣泛應用到各行業中。

作者:馬萌 單位:中國空空導彈研究院 

參考文獻:

[1]謝冬青,冷建.PKI原理與技術[M].北京:清華大學出版社,2004.