几乎有计算机的地方，就有出现病毒的可能性。计算机病毒通常隐藏在文件或程序代码内，伺机进行自我复制，并能够通过网络、磁盘、光盘等诸多手段进行传播。计算机病毒传播速度相当快、影响面大，必须对它的危害要引起关注。一般来说，杀毒软件和防火墙是对付病毒的最好方法之一。

CIH、爱虫等病毒曾让企业信息安全人员恐慌一时，侵害小病毒的会引起死机影响工作，大的可能引起系统瘫痪或摧毁数据，有些恶意病毒还具有盗取用户资料的功能，如用户账号和密码等。

(4)非授权泄露或删除敏感信息

企业内部的敏感信息被内部人员非授权泄露或删除。导致这种状况的有几种原因，如非法使用移动存储设备，非法复制资料等，还有如错误的电子邮件发送，配置错误的访问控制列表，没有严格地设置的用户访问权限等，这些都是由于内部信息安全管理不善所导致的。也有可能是信息管理人员对安全权限设置不当，导致某些怀有恶意的人故意破坏企业商业机密的完整性以及向竞争对手故意泄露商业机密等。

由此可见，信息危险不仅来自于外面，有时也来自于内部。因此，对企业来说，信息安全工作迫在眉睫，一方面，企业需要重视计算机病毒防护工作，制定相关的管理制度和实施方案，为信息数据安全提供保障。另一方面，要不断完善备份系统，因为即使是最出色的安全专家也无法保证数据的百分百安全。所以，要建立一个可持续性、可恢复性的备份系统，保证信息系统在遇到数据灾难的时候能用最快的速度恢复。

二.为什么说信息安全是被自己打败的?

让我们再来看一下深圳妇幼医院信息泄露事件过程，事件之所以发生并非外力所为，而是这家医院自身缺乏的信息安全管理所导致的。因此，企业信息安全除了受外界攻击外，自身的安全缺陷也是很严重的问题，甚至可以将自己打倒。

(1)对信息安全风险，总是视而不见

虽然，信息系统的缺陷和技术不足，使得攻击、泄密、破坏等安全事件时有发生，给企业带来损失。但最为可惜的是，大多数企业的IT管理人员以及决策者，对于企业信息安全风险甚少有意识，往往只是在事件发生后，捶胸顿足、哀声长叹。即使有部分具有前瞻眼光的决策者，察觉到了信息安全风险的可怕，却也缺少一种科学的分析方法，对于核心业务信息安全风险更缺乏严格的评估、量化和分析。

(2)没有进行安全风险评估，没有做好预防措施

想要加强企业信息的安全性，就需要对企业信息安全的实际风险做一个尽可能准确的评估，否则的话就会出现本来需要高安全级别的信息系统，结果为了省钱，建立了一个安全性能不是很高的IT系统;或者本来需要的安全级别不是很高的，结果花了相当多的钱建立了一个安全性能极高的IT系统，浪费了投资。所以，一定要尽可能正确地评估企业信息安全的风险。

因此，正确对信息安全风险评估的意义非常重大，一般可从以下几个方面考虑：根据公司的具体业务，评估信息安全风险是什么;本企业信息对黑客的吸引力大不大;本企业对外部开放程度如何;一旦出现信息安全事故，对本公司的影响最大程度是什么;若提供保护这些信息的安全，可能需要的投资额是多少，是否值得为此付出这么多代价等。

从以上几个方面考虑是因为不同性质的企业，黑客对它们的兴趣大小不同。如高精尖企业以及银行、海关、证券等企业很容易引起黑客的兴趣，这样的企业信息安全风险性就大些;而一些生产普通物品的企业黑客却很少光顾，这样的企业信息安全风险性就小些。再比如，有些企业一旦出现信息安全事故，可能会企业产生致命的打击，有些企业可能就无所谓。因此，它们的信息安全风险程度绝对不会相同。