信息安全已经成为深入人们日常生活，时时刻刻倍受关注的话题了，尤其对于掌握巨大核心信息资产的企业，其自身的信息安全建设意义更为重大。首先企业核心机密信息的泄漏是对企业生存根本的致命打击;另外如果保存的大量用户资料一旦遭到泄漏，一是对客户的不负责，二是对自身公众形象和信誉的影响也是非常不利的。因此，企业需面对在信息安全方面遇到的严峻挑战，采取有效措施保护核心信息资产。北京鹏宇成(www.pyc.com.cn)安全专家为企业出招，七原则助力企业打造信息安全的铜墙铁壁。

企业目前所面临的信息安全威胁来自各方面，主要包括内部泄密、IT特权滥用及外部攻击。如何应对这些安全威胁和挑战呢?鹏宇成安全专家表示，企业的信息安全建设需遵循七大基本原则，方能打造抵御信息泄漏内忧外患的铜墙铁壁。

1、信息安全建设围绕公司业务开展

企业日常运作过程中会产生各种各样的业务数据，多以电子文档、图纸、图片的形式存储下来，在交互、传输和使用的过程中，如果不注重加密保护，就会存在很大的安全隐患。所以，信息安全建设需围绕公司业务开展，也就是围绕业务开展过程中的数据信息安全展开，包括内部各部门产生、流转的核心数据，与外部企业合作过程中外发出去的重要数据等。

2、安全与效率均衡

信息化的发展就是使企业的办公工具和办公方式更加便捷、智能，从而提高生产效率，提升经济效益。尤其是移动互联网的蓬勃发展，智能移动设备的异军突起，BYOD成为一种潮流，为企业带来了生产方式的冲击和新IT架构的变革，可以极大地提高员工的工作热情和积极性。但在效率的背后，却是让人棘手的数据安全问题，移动办公带来了移动数据的新隐患，所以要制定一套完善的移动数据管理策略，使安全与效率均衡，实现共赢。

3、参照业界最佳做法，充分考虑国内的管理和法制环境

企业的信息安全建设一定是在国内的管理和法制环境中进行的，不能抛开中国的国情，但也要借鉴国内外业界的最佳做法，找到适合自己企业的信息安全建设模式。这并不是说只有大型企业可以这样做，中小型企业也是如此。麻雀虽小五脏俱全，虽然在硬件上不能同大型企业“血拼”，但该有的信息防护流程一样都不能少。

4、管理层重视，一把手负责，全员参与

这是保障企业信息安全建设成功与否的最关键问题。在企业机密泄漏案件中，人是最大的泄密因素，因此在保障其安全建设中，也要充分发挥人的最大价值。需要清楚的是，部署信息安全产品，员工的配合是保证其顺利实施并发挥效用的关键;信息安全建设还包括对员工的安全意识培训，所以需要管理层重视，全员参与。

5、合适的信息安全投资比例

信息安全建设是需要一定费用投入的，但并不意味着投入越多越好，关键是钱要用在刀刃上。有不少企业的领导者目前还存在一定的误区，以为防火墙、杀毒软件等设备越昂贵越好，其实不然，领导者需纠正重硬件轻软件、重外网轻内网的思想。合理分配，软硬(件)兼施才是科学的。

鹏宇成专家表示，在软件的投入上，加密软件一定是企业在信息安全建设部署中必不可靠的核心环节。今年来盗窃企业机密的案件多发，多与黑客入侵和员工泄密有关，而使用企业级加密软件使企业的核心信息数据都置于透明强制的加密保护中，使黑客窃取后无法识别，让员工看得见用的了但带不走，从而保障核心信息资产安全。而这样的企业级加密软件解决方案正是鹏宇成公司所能提供的。

6、对信息资产分级保护，最小授权原则

企业中的信息资源根据不同的使用环境和用户，其价值大小是不同的，安全级别也有所区别。对信息资产按照价值大小进行分级保护，最小授权原则，是提高信息安全保护效率，提高企业资源效率的最好方式。

7、公司IT资源只能用户工作目的

有不少企业由于缺乏对员工IT资源使用情况的有效监管，除用于工作外，还会用于他处，如接私活、随意下载程序、浏览禁止的网页等，不仅是对IT资源的浪费，还会隐藏较大的信息安全隐患。这些IT资源外用或滥用的情况很容易被黑客钻到洞子，作为入侵企业核心信息资产的跳板，如果这样的情况发生，企业将面临很大的不幸。因此，对员工的IT资源使用情况做好管理，加强监督，做好培训，才能减少因疏忽带来的损失。

以上七个原则是企业管理者在信息安全建设部署中需要遵守的，当前不同的企业有不同的实际情况，根据自身的需求合理部署就好，但是必须要落实细节，严格执行，否则也只能是一纸空文，被束之高阁而没有任何价值。除此之外，云计算安全防御能力、网络防范恶意攻击能力、泛在终端安全防护能力及基于关键资产的恶意行为分析能力等四大技术能力建设也是必不可少的。鹏宇成软件公司作为信息安全解决方案供应商之一，为企业量身打造了个性化的企业级加密软件防护系统(核心文件保护系统、全文档保护系统等)，助力企业打造信息安全的铜墙铁壁。

(责任编辑：)