企業(yè)級(jí)信息安全手段及措施分析

◆王琳曦

企業(yè)級(jí)信息安全手段及措施分析

◆王琳曦

（天津科技大學(xué) 經(jīng)濟(jì)與管理學(xué)院 天津 300000）

隨著經(jīng)濟(jì)的不斷發(fā)展，市場(chǎng)上企業(yè)間的競(jìng)爭(zhēng)越來越激烈，同時(shí)，企業(yè)的生產(chǎn)經(jīng)營(yíng)與計(jì)算機(jī)網(wǎng)絡(luò)的聯(lián)系也日益緊密，企業(yè)的每項(xiàng)業(yè)務(wù)都需要信息技術(shù)的支持。如果企業(yè)想要占據(jù)一定的市場(chǎng)，并且希望在市場(chǎng)中取得長(zhǎng)足的發(fā)展，那么企業(yè)需要做的就不僅僅是考慮如何盈利，而要先考慮到企業(yè)自身的信息安全。企業(yè)的信息安全無法得到保證，企業(yè)的日常經(jīng)營(yíng)也就不能得到應(yīng)有的保障。因此，企業(yè)在提高自身競(jìng)爭(zhēng)力時(shí)也要重視企業(yè)的信息安全。

信息安全；信息安全風(fēng)險(xiǎn)；安全措施

1 企業(yè)信息安全三要素

1.1 完整性

在信息收集和整理的過程中，信息的收集者要避免因自己主觀或者客觀的原因影響信息的內(nèi)容；要做到數(shù)據(jù)儲(chǔ)存的安全性，并不能對(duì)數(shù)據(jù)的完整性造成影響；選擇正確科學(xué)的信息采集和加工方法，保證企業(yè)信息的真實(shí)、安全、完整。

1.2 保密性

企業(yè)信息要做到很大程度的保密，設(shè)置已授權(quán)用戶的訪問權(quán)限，對(duì)沒有訪問權(quán)限的用戶一定要嚴(yán)格管理，此外，對(duì)具有訪問權(quán)限的用戶也要進(jìn)行核心資料的不可復(fù)制等權(quán)限的設(shè)置。

1.3 可用性

保證用戶的安全有效訪問，使得企業(yè)信息能夠方便快捷地為企業(yè)員工所使用，即企業(yè)保證系統(tǒng)的穩(wěn)定性以及可用性。

2 企業(yè)信息安全現(xiàn)狀

目前，我國(guó)企業(yè)的信息建設(shè)存在各種各樣的安全問題，大部分企業(yè)信息建設(shè)缺乏整體規(guī)劃，導(dǎo)致企業(yè)信息安全網(wǎng)絡(luò)存在一些缺陷，主要表現(xiàn)為沒有形成完整的信息安全體系，即沒有形成從網(wǎng)絡(luò)安全到應(yīng)用安全到安全管理、安全服務(wù)的信息安全體系。主要有以下幾方面的問題：

2.1 企業(yè)缺乏信息安全意識(shí)

大多數(shù)企業(yè)對(duì)企業(yè)信息安全的重視不足，只注重硬件的引入，日常經(jīng)營(yíng)生產(chǎn)中也只關(guān)注網(wǎng)絡(luò)速率和硬件產(chǎn)品的配置，忽略對(duì)員工安全意識(shí)的教育，企業(yè)工作人員缺少信息安全教育和培訓(xùn)，從而導(dǎo)致員工安全意識(shí)薄弱，這將會(huì)給企業(yè)的生產(chǎn)和經(jīng)營(yíng)帶來重大的安全隱患。

2.2 網(wǎng)絡(luò)的內(nèi)部缺乏防控和審計(jì)

很多企業(yè)只考慮到來自外部的威脅，忽略企業(yè)內(nèi)部可能存在的風(fēng)險(xiǎn)。因此，企業(yè)的大部分管理都只針對(duì)外來入侵，通過設(shè)置邊緣防火墻等來抵擋來自外網(wǎng)的攻擊，但對(duì)于來自其業(yè)務(wù)局域網(wǎng)內(nèi)部的攻擊常常顯得束手無策。

2.3 違規(guī)使用應(yīng)用軟件

企業(yè)在應(yīng)用軟件的選擇和使用往往非常的隨意，企業(yè)中員工使用的應(yīng)用軟件基本都是員工隨意下載的未授權(quán)或者破解的軟件。這些隨意下載的軟件往往都有可能被植入惡意插件，會(huì)對(duì)企業(yè)的網(wǎng)絡(luò)性能和應(yīng)用系統(tǒng)的使用造成惡劣影響。

2.4 隨意使用移動(dòng)存儲(chǔ)介質(zhì)

現(xiàn)在市面上可以使用的移動(dòng)存儲(chǔ)介質(zhì)越來越多，過多的存儲(chǔ)介質(zhì)就會(huì)造成混亂和違規(guī)使用。日常工作生活中人們對(duì)存儲(chǔ)介質(zhì)的隨意性，使得移動(dòng)存儲(chǔ)介質(zhì)丟失現(xiàn)象也是時(shí)常發(fā)生，加之移動(dòng)存儲(chǔ)介質(zhì)的交叉使用等。這些都會(huì)造成企業(yè)信息數(shù)據(jù)的丟失和病毒的感染，成為企業(yè)信息管理人員面臨的重要問題。

2.5 物理安全隱患

物理安全隱患是指自然或人為的原因?qū)ζ髽I(yè)的生產(chǎn)經(jīng)營(yíng)帶來安全風(fēng)險(xiǎn)，一般來說，物理安全隱患包括工作場(chǎng)所或計(jì)算機(jī)設(shè)備監(jiān)管不全面帶來的隱患，主要指企業(yè)信息中心的安全隱患和企業(yè)員工使用的設(shè)備存在的隱患。信息中心是企業(yè)信息系統(tǒng)的“心臟”，對(duì)企業(yè)來說信息中心的安全性應(yīng)該是最高的。然而，大部分的企業(yè)并沒有對(duì)其信息中心給予足夠的重視，沒有制定嚴(yán)格的管理制度，使得信息中心的網(wǎng)絡(luò)設(shè)備和服務(wù)器很容易遭到物理破壞，信息中心的設(shè)備一旦遭到破壞就會(huì)造成整個(gè)企業(yè)的網(wǎng)絡(luò)系統(tǒng)的癱瘓，這將會(huì)給企業(yè)帶來巨大的損失。

3 企業(yè)在信息安全方面可采取的手段和措施

3.1 建立信息安全密碼

如今的市場(chǎng)中，更多的企業(yè)采用密碼技術(shù)來加強(qiáng)自身信息安全管理，這起到了很大的作用。如今，面對(duì)市場(chǎng)上各種各樣的密碼，企業(yè)在選擇自身的密碼形式時(shí)，一定要考慮到自身的實(shí)際情況，根據(jù)自身的需要，選擇適合企業(yè)管理的密碼形式。密碼技術(shù)已經(jīng)發(fā)展成為一項(xiàng)非常成熟的技術(shù)，所以，越來越多的企業(yè)開始選擇通過建立企業(yè)信息安全密碼來保護(hù)企業(yè)信息。

3.2 建立安全管理制度

建立適合自身的安全管理制度對(duì)企業(yè)來說非常重要，信息安全管理制度的建立過程非常的復(fù)雜，在這個(gè)過程中企業(yè)要根據(jù)自身情況不斷地完善安全管理建設(shè)。明確規(guī)定企業(yè)內(nèi)部信息安全管理人員工作內(nèi)容、工作步驟，這有利于企業(yè)形成更有效果和效率的機(jī)制。此外，企業(yè)信息安全管理制度要與企業(yè)自身的日常經(jīng)營(yíng)相結(jié)合，做到不影響企業(yè)正常生產(chǎn)，企業(yè)建立科學(xué)的企業(yè)信息安全管理制度，是為了能夠最大力度地保證企業(yè)的信息安全。

3.3 建立數(shù)據(jù)庫的備份與恢復(fù)機(jī)制

隨著信息技術(shù)的不斷發(fā)展，來自外部的攻擊事件越來越多，而外部攻擊給企業(yè)帶來的損失很大程度上都是無法挽回的。但是，這些數(shù)據(jù)對(duì)企業(yè)來說往往是最重要的，如果企業(yè)能做到及時(shí)恢復(fù)被破壞的數(shù)據(jù)，那就能夠減少惡意攻擊給企業(yè)帶來的損失。數(shù)據(jù)備份是對(duì)企業(yè)信息保護(hù)最為安全可靠的方法，當(dāng)惡意事件發(fā)生時(shí)，能夠保證企業(yè)正常經(jīng)營(yíng)生產(chǎn)。而數(shù)據(jù)恢復(fù)機(jī)制，就是當(dāng)企業(yè)發(fā)生信息安全問題后能夠?qū)ζ髽I(yè)被破壞的數(shù)據(jù)進(jìn)行恢復(fù)，從而保證正常的生產(chǎn)經(jīng)營(yíng)。

3.4 建立網(wǎng)絡(luò)安全預(yù)警系統(tǒng)

企業(yè)信息安全預(yù)警系統(tǒng)一般分為人為預(yù)警和病毒預(yù)警，企業(yè)建立網(wǎng)絡(luò)安全于預(yù)警系統(tǒng)是非常有必要的，它可以有效地保護(hù)企業(yè)的信息數(shù)據(jù)。可以通過在應(yīng)用上安裝入侵監(jiān)測(cè)系統(tǒng)，對(duì)企業(yè)應(yīng)用的安全性進(jìn)行實(shí)時(shí)的監(jiān)督和控制。而病毒預(yù)警系統(tǒng)則是對(duì)企業(yè)內(nèi)部所有數(shù)據(jù)進(jìn)行監(jiān)督檢查的行為，通過它可以確保每時(shí)每刻都能對(duì)企業(yè)數(shù)據(jù)進(jìn)行傳送掃描，如果發(fā)現(xiàn)病毒系統(tǒng)就會(huì)進(jìn)行危險(xiǎn)信息提示，工作人員能夠很快通過定位查找找到病毒的所在地進(jìn)行查殺。

3.5 建立信息安全風(fēng)險(xiǎn)評(píng)估機(jī)制

對(duì)于企業(yè)來說，建立安全有效的信息安全風(fēng)險(xiǎn)評(píng)估模型非常重要，企業(yè)可以通過它形象地反映出其信息系統(tǒng)的安全性，利用模型中各個(gè)要素的估計(jì)和推斷，可以非常清楚的刻畫出信息系統(tǒng)的安全風(fēng)險(xiǎn)情況，風(fēng)險(xiǎn)評(píng)估模型的要素包括：資源、脆弱性及控制措施等。圖1描述了各個(gè)要素之間客觀存在的關(guān)系。

圖1 風(fēng)險(xiǎn)評(píng)估模型要素間關(guān)系圖

圖2 風(fēng)險(xiǎn)評(píng)估模型的風(fēng)險(xiǎn)計(jì)算流程圖

圖3 企業(yè)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估圖

企業(yè)建立安全有效的內(nèi)部風(fēng)險(xiǎn)評(píng)估機(jī)制，有助于其從制度和技術(shù)兩方面加強(qiáng)內(nèi)部信息安全管理建設(shè)。企業(yè)的業(yè)務(wù)操作面臨的是時(shí)刻都會(huì)發(fā)生的風(fēng)險(xiǎn)，因此要對(duì)其進(jìn)行高頻率的評(píng)估，通過這套風(fēng)險(xiǎn)評(píng)估企業(yè)可以及時(shí)了解企業(yè)自身的信息安全程度，有利于企業(yè)的信息安全管理水平的提高。

4 總結(jié)

建立企業(yè)信息安全體系的最終目的，是為了能夠最大限度地保證企業(yè)信息的安全性，我們希望可以通過有效的技術(shù)與管理措施，避免企業(yè)信息資產(chǎn)受到來自外部和自身的威脅，讓企業(yè)能夠在一個(gè)安全的環(huán)境下經(jīng)營(yíng)生產(chǎn)。企業(yè)的信息安全關(guān)乎企業(yè)的未來發(fā)展，因此，一定要樹立正確的企業(yè)信息安全認(rèn)知，通過大家的一致努力來建設(shè)安全可靠的企業(yè)信息安全機(jī)制。

[1]錢曉華.企業(yè)信息安全管理[J].信息與電腦（理論版），2018（02）：178-180.

[2]王雪飛.企業(yè)信息安全標(biāo)準(zhǔn)制度體系研究[J].電力信息與通信技術(shù)，2015，13（08）：119-123.

[3]辛玉紅.企業(yè)信息化建設(shè)中的信息安全問題[J].現(xiàn)代情報(bào)，2014（11）：205-208.