摘 要：计算机的应用已逐步渗透进企业的办公当中，并逐渐成为关键的办公手段，然而正是这种应用的高效率发展促使企业面临诸多的信息安全问题。如何正确的为信息安全提供保障，认识威胁信息安全的方式是本文讨论的重点。

关键词：信息安全 网络 管理 保障机制

中图分类号：C931.6 文献标识码：A 文章编号：1672-3791（2013）07（a）-0011-02

随着科学技术的不断进步，计算机的应用已逐步代替原有的办公方式而被所有的企业所广泛应用。计算机进入到企业当中，为企业减少了人力物力的浪费，减少了人工办公所产生的不必要的失误，也为工作提升了效率。在信息存储的过程中也可以实现无纸化的信息存储模式，以取代大量资料的实物化存储导致的资料丢失和资料磨损，不易检索等的问题。可以说，网络和计算机的普及为企业的发展提高了效率，但随之而来的信息安全问题也被提升到了一个新的高度。信息安全保障体系的建立也成为企业关注的角点，保障信息的安全对于企业来说早已成为企业经营管理当中的一个重要组成部分。企业的信息是企业业务开展和维护的基础，如果企业信息存在着威胁的话，可能导致企业业务信息的流失和企业业务的持续性面临重大的损失。当然，对于制造业来说，企业信息的安全受到威胁的话，可能导致新开发的产品被人模仿而失去了企业在市场竞争中的优势，丧失了企业本应该有的竞争力。所以，在制造业的企业经营管理当中，构建信息安全保障体系变得更加重要。本文将从两方面对于信息安全进行论述，首先是找出威胁信息安全的常见因素，然后根据威胁的因素提出常见的维护策略。

1 威胁信息安全的常见因素

在威胁信息安全的常见因素里，进行划分，根据其应用存储的特性我们可以将其划分为管理信息安全的威胁和网络信息安全的威胁两个方面。

1.1 管理信息安全的威胁

其实，管理信息安全的划分是基于网络的。除去网络因素的影响，其他方面的安全就都可以归于管理信息安全。而管理信息安全在信息安全当中是非常重要的。从各种关于信息安全的数据当中可以知道，在管理信息安全中所存在的威胁比例已占到信息安全威胁的70%，而网络信息安全存在的威胁则只占到信息安全威胁的30%。正所谓“三分靠技术，七分靠管理”，可以想象管理信息安全的重要性。在管理信息安全的威胁当中也可以将威胁划分为两个方面，物理层方面的信息安全威胁和管理层方面的信息安全威胁。

（1）物理层方面的信息安全威胁。

物理层方面的信息安全主要是包括合同资料档案存储的安全、机房建设管理的安全、企业环境安全以及物理安全控制等几个方面。物理层方面的信息安全其实就是企业信息安全构筑的基础，对于物理层方面的信息安全存在的威胁，大致包括自然灾害对信息安全构成的威胁，机房建设之初系统设置的不全面和后期管理人员操作和管理的不规范，机房环境存在不利因素，机房管理制度不够完善，以及防火防盗安全工作的关注力度、执行力度和管理力度不够等方面。

（2）管理层方面的信息安全威胁。

管理层方面的信息安全威胁与物理层方面信息安全的管理是分不开的，它主要是指企业对企业内部员工在信息安全上的管理。其中包括信息安全的管理制度建立，企业内部员工信息安全培训，企业内部员工在人员和部门间合理的组织规划，信息安全技术人员的技术含量等。在这几个方面所存在的问题是构筑信息安全应该重点关注的问题，信息安全管理制度的不完善，企业内部高层对于信息安全管理的认识不够，企业内部员工没有对信息安全产生足够的认识，对于企业内部机密没有做到保密的态度，各部门的分工不明确，信息安全的技术人员技术能力不够等都是管理层因为管理的不完善而导致的信息安全威胁。

1.2 网络信息安全的威胁

在网络信息安全中也可以大致分成三个部分，网络层的信息安全，系统层的信息安全以及应用层的信息安全。

（1）网络层的信息安全。

主要是包括网络上的信息以及设备的安全性能。其中可细化为网络层身份的认证，系统的安全，信息数据传输过程中的保密性，真实性和完整性以及网络资源的访问控制等。而这些网络层的信息安全出现问题，可能导致有网络黑客的侵入，计算机犯罪，信息丢失，信息窃取等威胁的存在。

（2）系统层的信息安全。

造成系统层信息安全威胁的原因，可能出在两个方面：一是操作系统本身就存在安全隐患；二是在配置操作系统的过程中存在配置缺失的问题。

（3）应用层的信息安全。

在应用层所产生的影响信息安全的问题上，基本上是指应用软件以及一些业务往来数据的安全，例如即时通讯系统和电子邮件等。当然，也包括一些病毒的入侵，对系统所造成的威胁。

2 信息安全维护的常见策略

根据上面所叙述的在信息安全管理维护中存在的安全隐患，可以将其进行有效的总结从而提出正确的解决、维护策略。

2.1 管理信息安全维护的常见策略

（1）物理层方面信息安全维护的常见策略。

根据上面所列明的关于物理层存在的问题，可以归结为两个方面：环境安全和机房建设管理安全。

①环境安全，可以分为防火安全，防水安全，自然灾害安全和物理安全等。企业应该有效的对这方面灾害进行防护和部署。

②机房建设管理安全，主要是指对设备安放环境进行严密的规划以达到有效保护。在机房建设上必须要尽量的避免腐蚀性和易燃易爆物品的存在，将机房建设在安全的地方。机房的设计上必须能够做到防火防水等，以免造成机房内设备的损坏。设计机房电源时必须使用不间断电源保证电源电压的稳定，以防止突然断电对机房内设备造成的损害。

（2）管理层方面信息安全维护的常见策略。

其实，管理层的信息安全主要就是指企业内部人员管理的安全。在一个企业当中必须要有一个完善的信息安全管理机制，这是企业发展的必然。所以在企业管理当中，必须首先要在管理层明确信息安全管理的重要性，要具备信息安全管理所应该具备的态度。其次则要建立一个信息安全管理的目标，一套完整的信息安全管理制度。在整个企业管理当中要有一个总的信息安全管理制度，其次在信息技术人员管理当中也要有自己的信息安全管理制度，其次是IT部门和其他的一些部门都要具备适合的管理制度，形成信息集成化的管理模式。

之后要在企业内部员工心中形成信息安全的意识，在保密协议的签署上做好完善的规划，在企业内部员工关于信息安全的培训也应该有计划的进行阶段性的教育以增加员工对于信息安全观念的确立。

最后，应该将各部门的分工进行明确，不要将整个工作流程都分配给一个部门，这样可能会导致出问题时会影响到整个企业的运营。应该将各工作流程细化进行分工，以保证一方出问题不影响全局，并可以进行针对性的处理，减少麻烦，加快工作效率。

2.2 网络信息安全维护的常见策略

通过上面对于网络信息安全威胁的叙述，我们已经了解在网络信息安全当中会出现的问题。对此，本段将重点讲述在网络信息安全维护中几个常见的策略。

（1）防火墙防御策略。

对于防火墙的认知应该是每个企业所具备的，它可以有效的将一些危险性的信息进行过滤隔离，从而保证计算机系统的正常运行。对于防火墙要进行安全方案的配置，通过防火墙中心的统一安全控制（口令、加密、身份认证等）进行管理，不需要分散到各个机器上去管理。所以对于管理防火墙中心的技术人员的技术含量一定要做到可以胜任。

（2）密码的防御作用。

无论是在中心控制机房还是各个员工所用的计算机上，都应该设有密码，并且密码应具备复杂特性，如字母、数字、特殊符号的组合等，通过强密码的设立能够有效的防范人为行为的信息丢失和信息失真情况。

（3）入侵监测系统的防御策略。

入侵监测系统可以说是防火墙系统的后续支持，它可以有效的对于网络活动中信息进行监测。它具有主动的行为，可以主动的对自己进行免受攻击的保护。与防火墙相配合，使企业网络能够具备强大的防御功能。

（4）设立自己的虚拟专用网的管理策略。

构建自己的虚拟专用网可以有效的增加网络的防御功能，并且能够规范化企业内部员工的工作，避免员工工作中无意义的网络闲聊，也可以有效的阻止信息的外泄。

（5）病毒的入侵防御策略。

也许企业内部可以有效的通过杀毒软件来保证企业网络系统的操作安全。但员工在运用向U盘之类的东西就可能将其他计算机上的病毒带到企业内的计算机上造成病毒的入侵。对此，企业应该加强对员工信息安全的教育，以保证员工对于信息安全严重性的了解。IT部门的人员也应该定期对员工计算机进行检测，以确保计算机不受病毒侵害。

3 结语

信息安全已经成为社会上关注的话题，如何保住企业独有的核心机密，保证信息的有效性和完整性成为企业关注的焦点。本文通过对于威胁信息安全的问题进行分析，并提出企业构建信息安全保障机制的常见策略以保证企业在信息安全方面可以做到长足发展。

参考文献

[1] 吴昱.浅析信息安全保障体系[J].江西通讯科技，2012（3）.

[2] 张杰，梁旭辉.关于企业信息安全保障体系建设的探索[J].科技创新与应用，2012（9）.

[3] 张金辉，王卫，侯磊.信息安全保障体系建设研究[J].计算机安全，2012（8）.