企業(yè)信息化建設(shè)中網(wǎng)絡(luò)安全問題的思考

王 琦

（中核四〇四有限公司，甘肅 嘉峪關(guān) 735100）

企業(yè)的網(wǎng)絡(luò)信息建設(shè)能夠使企業(yè)更好地分析當前生產(chǎn)銷售狀況，以便企業(yè)及時對自身生產(chǎn)經(jīng)營模式進行改革。同時，企業(yè)通過網(wǎng)絡(luò)信息數(shù)據(jù)庫的建立也能通過計算機分析用戶數(shù)據(jù)，從而充分挖掘潛在用戶，方便企業(yè)的經(jīng)營銷售，但是網(wǎng)絡(luò)信息社會，企業(yè)建立數(shù)據(jù)庫，將企業(yè)信息暴露在網(wǎng)絡(luò)之中，會受到無數(shù)不法分子的攻擊。

1 企業(yè)內(nèi)控管理的重要性和作用

企業(yè)內(nèi)控管理就是對風險的管理，在企業(yè)的實際經(jīng)營管理過程中，會面臨各種風險，內(nèi)部控制在企業(yè)的發(fā)展中起到規(guī)范和引導(dǎo)的作用。如果企業(yè)不提前去預(yù)估風險，當風險來臨時就會無法制定相應(yīng)的應(yīng)對措施，無法將風險及時地控制在可控范圍之內(nèi)。企業(yè)內(nèi)控管理，是現(xiàn)代企業(yè)管理的重要組成部分，該項工作的開展成效會對企業(yè)產(chǎn)生深遠的影響。因此，企業(yè)無論是出于經(jīng)營環(huán)境的變化，還是出于企業(yè)自身發(fā)展壯大的需要，都需要重視內(nèi)部控制中出現(xiàn)的問題，強化風險管理意識，提升企業(yè)風險應(yīng)對能力和經(jīng)營管理水平。

2 我國信息化建設(shè)中的網(wǎng)絡(luò)安全現(xiàn)狀

目前，雖然我國的信息技術(shù)水平較高，但是很多企業(yè)在信息化建設(shè)中的網(wǎng)絡(luò)安全管理工作卻不是很到位，為現(xiàn)階段企業(yè)的信息化建設(shè)帶來了巨大的挑戰(zhàn)。我國信息技術(shù)在不斷升級更新，企業(yè)在運用信息技術(shù)進行數(shù)據(jù)和經(jīng)濟管理的同時，也面臨著許多管理挑戰(zhàn)，要想真正掌握信息技術(shù)在企業(yè)中的應(yīng)用，就應(yīng)該不斷學(xué)習(xí)和了解信息技術(shù)的發(fā)展方向。在現(xiàn)階段的信息技術(shù)發(fā)展過程中，網(wǎng)絡(luò)安全管理工作發(fā)展得相對比較落后，導(dǎo)致出現(xiàn)各種各樣的網(wǎng)絡(luò)攻擊行為，從而產(chǎn)生了比較大的風險。近年來，很多企業(yè)開始利用信息技術(shù)進行有關(guān)方面的管理升級，變得更加依賴信息技術(shù)，給整個安全網(wǎng)絡(luò)環(huán)境帶來了巨大的壓力。

3 企業(yè)網(wǎng)絡(luò)安全管理原則

3.1 多層保護原則

目前的企業(yè)網(wǎng)絡(luò)安全系統(tǒng)多偏向于單一保護，但任何系統(tǒng)的都不是絕對安全，在面對不斷更新的攻擊時，任何防護層都有可能被攻破。所以應(yīng)遵循多層保護原則，即不同應(yīng)用系統(tǒng)的保護進行疊加，各層保護能夠起到相輔相成的作用，即使一層被攻破后，其他層保護也能夠及時保護企業(yè)網(wǎng)絡(luò)數(shù)據(jù)的安全。

3.2 規(guī)避運行風險原則

任何一個企業(yè)的網(wǎng)絡(luò)安全必須是全面和堅實的，在企業(yè)構(gòu)建網(wǎng)絡(luò)安全平臺時，必須要考慮到網(wǎng)絡(luò)、流量、系統(tǒng)、應(yīng)用等各方面，特別是在系統(tǒng)更新時，必須要遵循規(guī)避運行風險的原則，保證多組系統(tǒng)在銜接過程中能夠穩(wěn)定運行，即使在后期隨著應(yīng)用系統(tǒng)的更新和多組系統(tǒng)的增加也不會對網(wǎng)絡(luò)安全造成負擔，從而保證數(shù)據(jù)的穩(wěn)定、不被損壞。

4 加強企業(yè)信息化建設(shè)中網(wǎng)絡(luò)安全管理工作的策略

4.1 有效控制和解決漏洞問題

漏洞掃描技術(shù)是一種廣泛使用的漏洞處理技術(shù)，可幫助更好地處理當前的漏洞，以滿足不斷增長的網(wǎng)絡(luò)安全需求。漏洞掃描是一種計算機網(wǎng)絡(luò)發(fā)現(xiàn)技術(shù)，允許您導(dǎo)入本地計算機和網(wǎng)絡(luò)上其他計算機上的安全測試，收集和記錄相關(guān)數(shù)據(jù)和信息，并識別位置和特定內(nèi)容中的漏洞。計算機網(wǎng)絡(luò)本身的編譯更為復(fù)雜。

4.2 增加復(fù)核制度，防止操作失誤

要建立完善的審核管理制度，讓工作人員的每一步操作都有人進行抽查或普查審核，防止員工產(chǎn)生失誤的同時，建立完善的責任負責制度，讓員工對自己的每一步操作負責，提升員工的工作認真程度，從根源上減少員工的工作失誤。

4.3 加強防火墻建設(shè)，提防黑客

網(wǎng)絡(luò)的數(shù)據(jù)庫一旦連接到網(wǎng)絡(luò)當中，便不會受到地域限制的呈現(xiàn)在全世界的網(wǎng)民面前，而網(wǎng)絡(luò)中各種危險密布，一些大型網(wǎng)絡(luò)科技公司每天要面臨上百萬次的黑客攻擊，而國有企業(yè)的網(wǎng)絡(luò)信息也有可能遭受黑客的惡意攻擊。因此企業(yè)要加強防火墻的建設(shè)，對數(shù)據(jù)的傳輸和提取進行辨別，防止黑客惡意偽裝破解，從而騙過防火墻的識別，獲取數(shù)據(jù)管理的較高權(quán)限，從而對數(shù)據(jù)庫進行拖庫，導(dǎo)致大量的企業(yè)內(nèi)部機密以及用戶的個人隱私泄露。

4.4 內(nèi)外監(jiān)管，雙重防護

根據(jù)美國計算機安全機構(gòu)的調(diào)查，有超過80%的網(wǎng)絡(luò)安全漏洞是來自于系統(tǒng)內(nèi)部，也就是說有很大一部分的網(wǎng)絡(luò)安全而導(dǎo)致的信息泄露是因為內(nèi)部人員的無意操作或有意盜取而造成的。企業(yè)網(wǎng)絡(luò)中所儲存的信息泄露亦如是。而在當前中國企業(yè)網(wǎng)絡(luò)安全管理中，我們更多假設(shè)所有能對企業(yè)數(shù)據(jù)信息造成威脅的攻擊全部來自于外部，而忽略了內(nèi)部網(wǎng)絡(luò)安全問題的監(jiān)管與防護，所以要全面的保障企業(yè)數(shù)據(jù)信息的安全，即可以建立一個“所有用戶都會造成數(shù)據(jù)威脅”的信任模型，通過內(nèi)外部的雙重網(wǎng)絡(luò)監(jiān)管，對所有用戶進行分級別管理，建立有效的身份確認機制，也就是提高加密與認證技術(shù)，避免用戶都可以通過用戶名+密碼進行隨意訪問，避免內(nèi)部人員訪問重要服務(wù)器、下載有效數(shù)據(jù)，而造成安全威脅。

5 結(jié)語

綜上所述，網(wǎng)絡(luò)技術(shù)飛速發(fā)展的社會背景，企業(yè)的數(shù)據(jù)，互聯(lián)網(wǎng)的使用是一個很大的趨勢，信息的安全使用，在企業(yè)發(fā)展過程中起著重要的作用，對企業(yè)的發(fā)展產(chǎn)生重大影響。企業(yè)必須認識到信息安全性的重要性，并采取有效措施保護信息安全性。