網(wǎng)絡(luò)時代下企業(yè)信息安全風險和控制

袁 亮

（江蘇林海動力機械集團公司，江蘇 泰州 225300）

隨著社會經(jīng)濟的不斷發(fā)展，網(wǎng)絡(luò)時代逐漸進入人們的生活，計算機被運用在了各個領(lǐng)域中，成為促進社會發(fā)展的重要媒介。而與此同時，企業(yè)信息安全問題也逐漸凸顯出來，嚴重阻礙了企業(yè)的可持續(xù)發(fā)展，因此，在網(wǎng)絡(luò)時代背景下研究企業(yè)安全風險和控制具有重要意義。

1 企業(yè)信息安全相關(guān)概述

1.1 信息安全的含義

迄今為止，對信息安全依然沒有一個統(tǒng)一和公認的定義。但是從國內(nèi)外研究來看，對其主要存在2種說法：一種指的是具體信息安全技術(shù)系統(tǒng)的安全；而另一種則指的是某些特定的信息體系的安全。上述2種定義主要站在靜態(tài)的角度上闡述了信息安全的基本層面，但是信息系統(tǒng)和網(wǎng)絡(luò)的影響決定了信息安全是一個動態(tài)的改變，其主要是防止企業(yè)信息遭到惡意泄露、破壞、更改[1]。信息安全的最終目的是向合法的對象提供安全、可靠的信息。

1.2 信息安全在企業(yè)中發(fā)揮的重要作用

企業(yè)信息作為企業(yè)的寶貴資源，保證企業(yè)信息的安全性對企業(yè)的生存和發(fā)展具有重要作用，主要體現(xiàn)在以下3個方面：一是企業(yè)信息安全是保障企業(yè)正常運行的基本前提。在網(wǎng)絡(luò)時代背景下，企業(yè)信息安全的內(nèi)容更廣泛，再加上現(xiàn)代企業(yè)制度的不斷建立和完善，越來越多的企業(yè)依靠信息數(shù)據(jù)庫開展各項工作，例如：對于市場情況的分析、做出重大決策等等。二是保障企業(yè)信息安全是提高企業(yè)市場競爭力的必備條件。隨著市場經(jīng)濟的不斷完善，企業(yè)面臨的競爭也越來越激烈，在這種形勢下，企業(yè)要想獲取市場競爭優(yōu)勢就需要依靠信息安全來實現(xiàn)。三是企業(yè)信息安全作為企業(yè)發(fā)展戰(zhàn)略中重要的組成部分，而企業(yè)實施各項戰(zhàn)略主要是通過自身的經(jīng)營活動、財務(wù)信息等開展的，這些數(shù)據(jù)也能夠?qū)⑵髽I(yè)的戰(zhàn)略實施方法以及下一步計劃詳細地反應(yīng)出來，因此，如果企業(yè)的信息安全無法得到保障，那么企業(yè)要實施各項戰(zhàn)略難度也很大。

2 網(wǎng)絡(luò)時代下企業(yè)信息安全風險分析

2.1 缺乏高度的信息安全風險意識

在網(wǎng)絡(luò)時代的浪潮下，很多企業(yè)都在逐步加強自身信息安全的建設(shè)，通過加大資金投入、創(chuàng)新技術(shù)等措施來保障自身的信息安全，然而，對信息風險的控制并非僅僅依靠技術(shù)就可以實現(xiàn)，更重要的是人們要樹立起信息安全的風險意識。但是從當前來看，還有很大一部分企業(yè)的領(lǐng)導(dǎo)者、管理者、員工缺乏對信息安全風險的高度重視，主要表現(xiàn)在：個別人甚至片面地認為信息安全僅僅是網(wǎng)絡(luò)部門的責任，跟自身沒有多大關(guān)系；二是有個別企業(yè)領(lǐng)導(dǎo)者認為對信息安全的宣傳過度夸張，遭受網(wǎng)絡(luò)攻擊的概率小，一般不會發(fā)生在自己身上；三是個別企業(yè)沒有建立信息安全風險管理體系，再加上企業(yè)缺乏具體的故障系統(tǒng)，導(dǎo)致企業(yè)信息安全遭到風險時，員工往往手足無措，雖說有些企業(yè)針對自身的信息安全制定了一系列規(guī)章和制度，但是由于缺乏針對性和操作性，導(dǎo)致這些制度無法得到真正落實。

2.2 應(yīng)用系統(tǒng)的安全性不高

企業(yè)要實現(xiàn)信息化建設(shè)的目的，少不了各種應(yīng)用系統(tǒng)作支撐，但是從實際情況來看，很多企業(yè)還存在著應(yīng)用系統(tǒng)的安全性不高等問題，進而導(dǎo)致企業(yè)在數(shù)據(jù)傳輸和存儲等方面存在漏洞。如此容易被一些病毒、惡意軟件竊取，實現(xiàn)非法訪問，進而引發(fā)企業(yè)信息丟失或者泄露等安全風險。另外，很多企業(yè)應(yīng)用系統(tǒng)的安全方模式也較為單一，絕大部分主要是采用“口令”的方式進行認證，無法實現(xiàn)對信息安全全方位的防范。另外，企業(yè)設(shè)置的密碼過于簡單、操作不規(guī)范等等都會增加應(yīng)用系統(tǒng)安全的風險。

2.3 技術(shù)設(shè)備和設(shè)施的作用發(fā)揮不足

個別企業(yè)為了防范信息安全風險，針對一些重要信息設(shè)置了安全設(shè)備，但是由于操作條件和參數(shù)設(shè)施不夠合理，無法將這些設(shè)備的作用充分發(fā)揮出來。還有很多企業(yè)沒有通過建立工作日志來對安全設(shè)備、設(shè)施的運行情況進行監(jiān)控，進而不能根據(jù)企業(yè)的經(jīng)營情況對信息安全進行風險控制，更無法采取有效措施保障企業(yè)風險管理。

3 網(wǎng)絡(luò)時代下控制企業(yè)信息安全風險途徑分析

3.1 加強信息安全教育，提高信息安全風險意識

由于在企業(yè)信息安全控制中，提高員工的信息安全意識是保證企業(yè)信息安全的決定性因素，因此，企業(yè)應(yīng)該加強對員工的信息安全教育，幫助員工樹立起信息安全風險意識，例如：企業(yè)可以利用一些重大節(jié)日開展關(guān)于信息安全的演講比賽、征文比賽，也可以通過建立適當?shù)募钪贫纫约伴_展培訓(xùn)活動等途徑來加強員工對信息安全重要性的認識，進而提高自身的信息安全風險防范意識和觀念。

3.2 加強信息化建設(shè)，設(shè)置信息安全管理部門

在企業(yè)信息化建設(shè)中，信息安全作為重要的基礎(chǔ)，企業(yè)要強化自身的內(nèi)部控制，就應(yīng)該落實信息安全的建設(shè)工作。加強信息化建設(shè)首先需要企業(yè)將信息安全納入安全管理范圍內(nèi)，進而突出信息安全建設(shè)管理的重要地位；然后不斷健全信息安全的責任制度，爭取形成信息安全聯(lián)動管理機制，確保信息安全管理的有效性；最后，在企業(yè)中設(shè)置信息安全管理機構(gòu)，該部分的主要職能為企業(yè)信息安全建設(shè)、管理以及員工的信息安全教育培訓(xùn)工作等，從而為企業(yè)的信息安全風險控制創(chuàng)建一個良好的內(nèi)部環(huán)境[2]。

3.3 運用新技術(shù)，加強信息安全風險防范

當前控制信息安全風險常見的主要有VPN技術(shù)和防火墻技術(shù)：（1）VPN技術(shù)。VPN主要指的是在公共網(wǎng)絡(luò)的虛擬專用網(wǎng)絡(luò)中建立一個臨時的安全鏈接，在通常情況下，對VPN內(nèi)部進行擴展可以實現(xiàn)遠程操作，建立一條分公司、商業(yè)合作商和供應(yīng)商跟公司內(nèi)部網(wǎng)絡(luò)安全聯(lián)系，從而確保信息交換的安全性，保證數(shù)據(jù)傳輸?shù)陌踩?。?）防火墻技術(shù)。防火墻也被稱為訪問控制系統(tǒng)，主要是通過對網(wǎng)絡(luò)做拓撲結(jié)構(gòu)和服務(wù)類型上的隔離來保障網(wǎng)絡(luò)安全。運用防火墻技術(shù)可以保證企業(yè)的內(nèi)部網(wǎng)絡(luò)免受外部網(wǎng)絡(luò)的侵占，并阻斷非法訪問的外部網(wǎng)絡(luò)進入企業(yè)內(nèi)部網(wǎng)絡(luò)，保證企業(yè)信息和資源的安全。

4 結(jié)語

總之，網(wǎng)絡(luò)時代的產(chǎn)生為企業(yè)發(fā)展創(chuàng)造了新的模式和發(fā)展契機，但與此同時，企業(yè)的信息安全也面臨著很大的威脅，在很大程度上制約了企業(yè)的可持續(xù)發(fā)展。要實現(xiàn)對企業(yè)信息安全風險的控制，首先應(yīng)該找準企業(yè)信息安全的風險點，然后采取對應(yīng)措施，如：加強信息安全教育、加強信息化建設(shè)、運用新技術(shù)等幾個方面來控制信息安全風險。

[1]張征.現(xiàn)代企業(yè)信息安全風險控制研究[J].學術(shù)討論，2015（4）：74－75.

[2]金黎陽.企業(yè)信息安全風險分析與控制[J].科技創(chuàng)新論壇，2013（12）：144－145.