企業(yè)涉密信息系統(tǒng)安全防范措施

陽 亮

（湖南有色金屬研究院，長沙 410000）

1 引言

在企業(yè)涉密系統(tǒng)的運(yùn)行過程中，會(huì)受到外部因素和內(nèi)部因素的影響，為了消除涉密信息危險(xiǎn)，必須加強(qiáng)企業(yè)涉密信息系統(tǒng)安全管理和控制，準(zhǔn)確識(shí)別風(fēng)險(xiǎn)、評估風(fēng)險(xiǎn)，然后采取有效的控制對策，保障企業(yè)涉密信息安全。因此，對企業(yè)涉密信息系統(tǒng)安全防護(hù)措施進(jìn)行詳細(xì)探究迫在眉睫。

2 企業(yè)涉密信息系統(tǒng)安全性與企業(yè)運(yùn)營發(fā)展間的關(guān)系

企業(yè)涉密信息系統(tǒng)中最基本也是最重要的子系統(tǒng)包括傳達(dá)內(nèi)部信息和各項(xiàng)決定的郵箱系統(tǒng)，關(guān)系到企業(yè)招投標(biāo)安全性的電子采購系統(tǒng)以及與企業(yè)穩(wěn)定運(yùn)營和健康發(fā)展息息相關(guān)的合同系統(tǒng)等。當(dāng)電子采購系統(tǒng)被攻擊，招投標(biāo)信息被惡意更改后將會(huì)影響到企業(yè)決策的可靠性。當(dāng)企業(yè)的合同系統(tǒng)被破壞，企業(yè)的商業(yè)交易行為被暴漏以后，企業(yè)不僅面臨巨額賠償，也會(huì)進(jìn)一步影響到企業(yè)的名譽(yù)，使其喪失持續(xù)發(fā)展的動(dòng)力。當(dāng)企業(yè)的技術(shù)系統(tǒng)和數(shù)據(jù)系統(tǒng)被攻克以后，企業(yè)將面臨赤字甚至倒閉的風(fēng)險(xiǎn)。由此可見，企業(yè)涉密信息系統(tǒng)的安全性直接關(guān)系到企業(yè)運(yùn)營的穩(wěn)定性和發(fā)展的持續(xù)性。處于偉大的信息時(shí)代，企業(yè)大力推行信息化建設(shè)的同時(shí)，也應(yīng)該不斷強(qiáng)化信息系統(tǒng)建設(shè)的安全性。只有安全防護(hù)措施到位，才能夠使信息系統(tǒng)的功能得以表達(dá)，信息化建設(shè)的價(jià)值得以體現(xiàn)。

3 企業(yè)涉密信息系統(tǒng)防護(hù)的難點(diǎn)分析

3.1 信息系統(tǒng)的安全度不高

很多企業(yè)為節(jié)約信息系統(tǒng)使用成本，通常會(huì)使用一些相對廉價(jià)的辦公系統(tǒng)，這些系統(tǒng)雖然可以滿足企業(yè)的正常工作需要，但一般安全等級不高，極易被黑客或病毒入侵，損害公司的信息安全。其主要原因是企業(yè)高管對信息系統(tǒng)安全的認(rèn)識(shí)程度不足，認(rèn)為信息系統(tǒng)只要能夠滿足工作需要即可，基本上不會(huì)考慮到信息安全問題。

3.2 信息安全因素具有多樣性和復(fù)雜性

企業(yè)中存在很多威脅信息安全的因素，包括內(nèi)部因素和外部因素兩類。內(nèi)部因素主要是因?yàn)槠髽I(yè)工作人員操作信息系統(tǒng)時(shí)不規(guī)范，造成系統(tǒng)的密碼和賬號泄露，或是企業(yè)內(nèi)部人員故意盜取企業(yè)信息；外部因素主要是黑客和病毒的入侵，黑客和病毒是兩種最常見的計(jì)算機(jī)安全威脅因素，對計(jì)算機(jī)安全的威脅性巨大，因此，企業(yè)工作人員應(yīng)定期對計(jì)算機(jī)系統(tǒng)進(jìn)行病毒查殺，并且聘請專業(yè)的計(jì)算機(jī)管理人員對企業(yè)計(jì)算機(jī)安全進(jìn)行管理，阻止黑客對企業(yè)計(jì)算機(jī)信息系統(tǒng)的入侵。

4 涉密信息系統(tǒng)安全風(fēng)險(xiǎn)評估

在企業(yè)涉密信息安全風(fēng)險(xiǎn)評估過程中，需要立足于企業(yè)信息風(fēng)險(xiǎn)管理，采用先進(jìn)科學(xué)技術(shù)，對企業(yè)信息系統(tǒng)面對的風(fēng)險(xiǎn)因素進(jìn)行分析，合理評估風(fēng)險(xiǎn)因素會(huì)對企業(yè)帶來的危害程度，然后提出相應(yīng)的風(fēng)險(xiǎn)抵御策略以及企業(yè)信息管理整改措施，化解信息安全風(fēng)險(xiǎn)，或者將風(fēng)險(xiǎn)控制在可接受水平，保障企業(yè)信息安全。

近年來，科學(xué)技術(shù)發(fā)展迅速，企業(yè)信息系統(tǒng)規(guī)模逐漸擴(kuò)大，復(fù)雜程度也逐漸增加，在企業(yè)信息系統(tǒng)管理中，如果沒有充分意識(shí)到加強(qiáng)安全風(fēng)險(xiǎn)信息管理的重要性，無法及時(shí)消除風(fēng)險(xiǎn)因素，就可能會(huì)對企業(yè)發(fā)展帶來巨大隱患。對此，需要加強(qiáng)企業(yè)信息系統(tǒng)安全風(fēng)險(xiǎn)評估，及時(shí)發(fā)現(xiàn)系統(tǒng)的薄弱環(huán)節(jié)，并采取有效措施規(guī)避風(fēng)險(xiǎn)因素，將企業(yè)信息系統(tǒng)風(fēng)險(xiǎn)控制在可接受范圍內(nèi)。

在信息安全風(fēng)險(xiǎn)評估中，常見方法有以下幾種，即自評估、委托評估以及檢查評估，其中，自評估是企業(yè)自行組織的，而委托評估則是由企業(yè)委托外部專業(yè)機(jī)構(gòu)開展的，最后，檢查評估是由于國家制定機(jī)關(guān)強(qiáng)制實(shí)施的。

風(fēng)險(xiǎn)評估方式有兩種，即定量分析和定性分析，定量分析指的是對風(fēng)險(xiǎn)所造成的后果以及可能性進(jìn)行分析，通過應(yīng)用量化數(shù)據(jù)對風(fēng)險(xiǎn)可能性和后果進(jìn)行描述，分析結(jié)構(gòu)的準(zhǔn)確性受到數(shù)值的精確度和完整度的影響。另外，定性分析指的是對后果和可能性進(jìn)行分析，通過應(yīng)用文字描述方式或者描述方式，判斷數(shù)值范圍，對風(fēng)險(xiǎn)的影響程度以及可能性大小進(jìn)行分析，而分析結(jié)果的準(zhǔn)確性則是由數(shù)值的完整性以及精確度所決定的。

5 企業(yè)涉密信息系統(tǒng)防護(hù)對策

5.1 完善企業(yè)信息管理制度

企業(yè)要發(fā)展網(wǎng)絡(luò)信息化，首先必須重視和完善網(wǎng)絡(luò)信息安全管理制度，在制定信息安全管理制度時(shí)，一定要和現(xiàn)代信息技術(shù)的發(fā)展相結(jié)合，做到與時(shí)俱進(jìn)。同時(shí)，必須在企業(yè)內(nèi)部制定嚴(yán)格并切實(shí)可行的網(wǎng)絡(luò)安全管理規(guī)章制度，企業(yè)管理人員應(yīng)該重視網(wǎng)絡(luò)安全防范的重要性，在機(jī)房等場所建立企業(yè)內(nèi)部安全管理制度，例如：對人員進(jìn)、出機(jī)房的管理制度、對機(jī)房設(shè)備的管理和設(shè)備維護(hù)制度。企業(yè)還必須明確崗位責(zé)任制度，出現(xiàn)問題及時(shí)找到問題所在，要建立計(jì)算機(jī)安全操作管理制度、網(wǎng)絡(luò)病毒防范制度和網(wǎng)絡(luò)問題發(fā)生時(shí)安全應(yīng)急處理制度。企業(yè)還必須要按時(shí)對安全管理制度的執(zhí)行情況進(jìn)行檢查與監(jiān)督，不能讓安全防范工作只停留在表面，而要重在落實(shí)。另外，還要保證做到企業(yè)業(yè)務(wù)計(jì)算機(jī)的專門使用，企業(yè)業(yè)務(wù)系統(tǒng)與其他部門的網(wǎng)絡(luò)數(shù)據(jù)系統(tǒng)隔離開來再進(jìn)行使用，建立企業(yè)內(nèi)部辦公局域網(wǎng)，要和互聯(lián)網(wǎng)等其他外部網(wǎng)絡(luò)隔離開來，降低企業(yè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。其次，還要提高企業(yè)員工的網(wǎng)絡(luò)信息安全防范意識(shí)，對使用人員進(jìn)行網(wǎng)絡(luò)信息安全知識(shí)教育與培訓(xùn)，增加企業(yè)員工對相關(guān)法律知識(shí)的了解，幫助他們樹立網(wǎng)絡(luò)信息安全意識(shí)。同時(shí)，還要防止企業(yè)員工利用企業(yè)內(nèi)部電腦，訪問與業(yè)務(wù)無關(guān)的網(wǎng)站，盡量避免企業(yè)內(nèi)部的重要文件和機(jī)密資料泄漏。在使用企業(yè)網(wǎng)絡(luò)時(shí)，不要使用自帶光盤、移動(dòng)硬盤和個(gè)人U盤等存儲(chǔ)設(shè)備，這些個(gè)人存儲(chǔ)設(shè)備可能已經(jīng)感染了網(wǎng)絡(luò)病毒，一旦連入企業(yè)網(wǎng)絡(luò)便會(huì)造成大面積的感染，所以要杜絕此類現(xiàn)象的發(fā)生，避免企業(yè)網(wǎng)絡(luò)遭到傳染病毒的入侵。

5.2 加強(qiáng)網(wǎng)絡(luò)安全防范工作

企業(yè)還需要提高相關(guān)技術(shù)人員的技術(shù)水平和能力，培養(yǎng)技術(shù)人員的網(wǎng)站管理能力和網(wǎng)絡(luò)安全防范能力，同時(shí)，企業(yè)還應(yīng)該定期對網(wǎng)絡(luò)信息系統(tǒng)進(jìn)行維護(hù)管理，及時(shí)找出安全漏洞，并通過訪問控制、升級防火墻、病毒查殺、入侵檢測與數(shù)據(jù)加密傳輸?shù)热矫娴募夹g(shù)工作，保障企業(yè)涉密信息系統(tǒng)安全。另外，在選擇應(yīng)用安全防范措施時(shí)，應(yīng)該堅(jiān)持安全過濾原則，嚴(yán)格控制企業(yè)以外的用戶非法訪問企業(yè)的內(nèi)部網(wǎng)絡(luò)信息，要確保每一個(gè)進(jìn)入內(nèi)部網(wǎng)絡(luò)的人，都實(shí)施過安全有效的應(yīng)用協(xié)議才能通過防火墻。企業(yè)要采用安全穩(wěn)定的網(wǎng)絡(luò)防病毒軟件，使用信譽(yù)度高和實(shí)力強(qiáng)的殺毒軟件公司的產(chǎn)品，建立企業(yè)整體防病毒體系。對于個(gè)人使用的業(yè)務(wù)電腦也要進(jìn)行加密，防止被他人冒用和盜取重要資料。除此以外，還應(yīng)該注意，企業(yè)管理者要對企業(yè)內(nèi)部的重要資料和企業(yè)核心數(shù)據(jù)采取保密防護(hù)措施，對于資料的讀取要設(shè)置必要的權(quán)限，重要資料只有企業(yè)高層可以通過獨(dú)特的安全密碼讀取，只有做好這些工作，才能保證企業(yè)有著安全穩(wěn)定的網(wǎng)絡(luò)環(huán)境。

5.3 建立數(shù)據(jù)備份資料庫

現(xiàn)如今，企業(yè)數(shù)據(jù)資料大都儲(chǔ)存在網(wǎng)絡(luò)中，便于工作人員的使用和處理，但是，這樣也會(huì)加大企業(yè)安全風(fēng)險(xiǎn)。企業(yè)業(yè)務(wù)資料信息、客戶信息和重要的數(shù)據(jù)儲(chǔ)存在電腦網(wǎng)絡(luò)中，一旦發(fā)生網(wǎng)絡(luò)信息安全問題，企業(yè)內(nèi)部網(wǎng)絡(luò)遭到電腦病毒的攻擊，那么企業(yè)儲(chǔ)存的數(shù)據(jù)就很可能會(huì)丟失，即使修復(fù)了電腦，企業(yè)的業(yè)務(wù)工作也會(huì)因?yàn)閿?shù)據(jù)的丟失而受到影響。所以，企業(yè)應(yīng)該建立一個(gè)內(nèi)部數(shù)據(jù)備份資料庫，將企業(yè)數(shù)據(jù)進(jìn)行及時(shí)備份，并且應(yīng)該將這個(gè)備份數(shù)據(jù)庫單獨(dú)存儲(chǔ)在網(wǎng)絡(luò)中，不與企業(yè)常用網(wǎng)絡(luò)相連接，在數(shù)據(jù)備份時(shí)，要采取登記記錄的方式，對用戶進(jìn)行記錄，將外來用戶阻攔在外，企業(yè)還要規(guī)范備份周期，使數(shù)據(jù)定期備份規(guī)范化。

6 結(jié)束語

綜上所述，隨著企業(yè)信息化管理水平的提升，企業(yè)涉密信息系統(tǒng)安全防范的重要性日漸突出。為了避免企業(yè)涉密信息出現(xiàn)泄露問題，首先需要意識(shí)到加強(qiáng)涉密風(fēng)險(xiǎn)保密管理的重要性，對企業(yè)涉密信息系統(tǒng)安全管理中的各類風(fēng)險(xiǎn)因素進(jìn)行評估分析，然后采取有效的方法對策，完善企業(yè)信息管理制度，加強(qiáng)網(wǎng)絡(luò)安全防范工作，建立數(shù)據(jù)備份資料庫，提升企業(yè)涉密信息系統(tǒng)安全方法水平。

[1] 郭永田，叢小蔓，韓周杰.系統(tǒng)化構(gòu)建涉密信息安全管理制度的幾點(diǎn)思考[J].湖北農(nóng)業(yè)科學(xué)，2010，49（11）：2940-2942.