企业信息安全现状范文
发布时间:2023-10-09 17:43:03
导语:想要提升您的写作水平,创作出令人难忘的文章?我们精心为您整理的5篇企业信息安全现状范例,将为您的写作提供有力的支持和灵感!
篇1
根据国家统计局年初公布的数字显示,国内企业总体的99%都是中小企业,他们贡献了超过一半的国内GDP。但截止到目前,这些中小企业的信息化水平仍然比较落后,其中针对信息安全的投人,更是凤毛麟角。
对于国内占大多数的中小企业来说,如何在充分利用信息化优势的同时,更好地保护自身的信息资产,已经成为一个严峻的挑战。特别是近两年来,网络上的病毒、攻击事件频发,信息安全问题正在日益成为中小企业信息化进程中的难题。
一、什么是信息安全
信息是一种资产,与其它重要的资产一样,它对一个组织而言具有一定的价值,因此需要适当的加以保护,而信息又可以以多种形式存在。如可以打印或者写在纸上,以数字化的方式存储,通过邮局邮寄或电子手段发送,表现在胶片上或以谈话的方式说出来。总之,信息无论以什么形式存在,以什么方式存储、传输或共享,都应得到恰当的保护。
所谓信息安全是指信息具有如下特征:
安全性:确保信息仅可让授权获取的人士访问;完整性:保护信息和处理方法的准确和完善;可用性:确保授权人需要时可以获取信息和相应的资产。
信息安全是指使信息避免一系列威胁,保障商务的连续性,最大限度地减少业务的损失,从而最大限度地获取投资和商务的回报。它主要涉及到信息传输的安全、信息存储的安全、以及网络传输信息内容的审计三个方面,它可以通过实施一整套恰当的措施来获得。但目前我国的信息安全令人堪忧,随着政府上网和企业信息化的推进,越来越多的企业的日常业务已经无法脱离网络和信息技术的支持,那么我国中小企业的信息安全现状如何呢?
二、我国企业信息安全的现状
(一)企业的重视程度
随着信息化的加快,企业信息安全越来越受到重视,而我国的中小企业信息安全现阶段正处于初级阶段。在推进企业信息化的进程中,有些中小企业对于信息化概念的认识远远不够,它们认为购置几台电脑放到公司,日常用来打打字,将单个机器连结到网上企业就信息化了,远远没有认识到信息技术给企业所能带来的巨大的变化,对于网络安全更是没有意识。
据调查,目前国内90%的网站存在安全问题,其主要原因是企业管理者缺少或没有安全意识。某些企业网络管理员甚至认为其公司规模较小,不会成为黑客的攻击目标。如此态度,网络安全更是无从谈起。
(二)资金、技术、人员方面情况
已建立了企业内部信息化平台的企业,由于资金、技术等方面的原因,还没有把重点放到网络安全管理上,尤其是中小企业的安全问题一直隐患重重。
据了解,许多中小企业没有专门的网络管理员,一般采用兼职管理方式,这使中小企业的网络管理在安全性方面存在严重的漏洞,与大型企业相比,它们更容易受到网络病毒的侵害,损失也比较严重。
根据IDC对年我国政府、企业用户的信息安全状况分析,约有34.8%的企业因内部雇员的行为(包括对内部资源的不合理使用和对内部数据缺乏有效保护)而造成企业出现安全问题。
(三)网络维护、运行、升级方面的情况
在网络的维护、运行、升级等事务性工作方面,由于工作繁重而且成本较高,一些善于精打细算的中小企业在防范黑客及病毒方面舍不得投入,据相关调查数据资料统计,国内七成以上的中小企业,一是缺乏基本的企业防毒知识,购买一些单机版防毒产品来防护整个企业网络的安全。二是采购了并不适合自身网络系统的企业防毒产品,因此留下许多安全隐患。三是技术力量薄弱,虽然部署了企业防毒产品,但是这些产品操作难度大、使用复杂,最终导致很难全面发挥效用,甚至成了摆设,这样一来企业内部网络就根本没有什么安全而言。
三、如何保证我国中小企业的信息安全
(一)从企业的自身情况考虑
要解决中小企业网络信息安全问题,不能仅依靠企业的安全设施和网络安全产品,而应该考虑如何提高企业自身的网络安全意识,将信息安全问题提升到重视的高度,要重视“人”的因素。具体表现在以下两个方面:
1.提高安全认识
定期对企业员工进行网络安全教育培训深化企业的全员信息安全意识,企业管理层要制定完整的信息安全策略并贯彻执行,对安全问题要做到预先考虑和防备。
2.要求中小企业在上网的过程中要做到“一做三不要”
(1)将存有重要数据的电脑坚决同网络隔离,同时设置开机密码,并将软驱、硬盘加密锁定,进行三级保护。
(2)不要在自己的系统之内使用任何具有记忆命令的程序,因为这些程序不但能记录用户的击键动作甚至能以快照的形式记录到屏幕上发生的一切。
(3)不在网上的任何场合下随意透露自己企业的任何安全信息。
(4)不要启动系统资源共享功能,最后要尽量减少企业资源暴露在外部网上的机会和次数,减少黑客进攻的机会。
(二)从网络安全角度考虑
1.从网络安全服务商的角度来说,服务商要重视中小企业对网络安全解决方案的需要,充分考虑中小企业的现实状况,仔细调查和分析中小企业的安全因素,开发出适合中小企业实际情况的网络安全综合解决方案。此外,还应该注意投入大量精力在安全策略的施行及安全教育的开展方面,这样才能为中小企业信息安全工作的顺利开展提供坚实的保证。
2.要用防火墙将企业的局域网(Intranet)与互联网之间进行隔离。由于网络攻击不断升级,对应的防火墙软件也应该及时跟着升级,这样就要求我们企业的网管人员要经常到有关网站上下载最新的补丁程序,以便进行网络维护,同时经常扫描整个内部网络,以发现任何安全隐患并及时更改,才能做到有备无患。
3.企业用户最好自己学会如何调试和管理自己的局域网系统,不要经常请别人来协助管理。中小企业要培养自己解决安全问题的能力,提高自己的信息安全技术。如果缺乏这方面的人才就应该去引进或者培养相关人才。
4.内部网络系统的密码要定期修改。
由于许多黑客利用穷举法来破解密码,像John这一类的密码破解程序可从因特网上免费下载,只要加上一个足够大的字典在足够快的机器上没日没夜地运行,就可以获得需要的账号及密码,因此,经常修改密码对付这种盗用就显得十分奏效。当然,设定密码也有很深的学问,只有随意性强、有足够的长度并及时更新的密码才能算是比较安全的密码。
5.要经常使用杀毒软件来维护局域网系统不受病毒攻击。现在国内的杀毒软件都推出了清除某些特洛伊木马的功能,可以不定期地在脱机的情况下进行检查和清除。另外,有的杀毒软件还提供网络实时监控功能,这一功能可以在黑客从远端执行用户机器上的文件时,提供报警或让执行失败,使黑客向用户机器上载可执行文件后无法正确执行,从而避免了进一步的损失。
6.同其它企业进行联合,共同抵制黑客的入侵,一旦被入侵要及时向有关部门汇报,并共同查找入侵来源,锁定黑客IP地址。将网络的TCP起时限制在15分钟以内,减少黑客入侵的机会。并扩大连接表,增加黑客填写整个连接表的难度。
篇2
(一)技术方面。企业在信息资源管理过程中,对技术非常依赖。但是现实中,企业相关管理人员对技术的重视程度远远不够。导致经常出现各种各样的技术问题,如企业网站被黑;企业主机或服务器被外部人员入侵,企业重要信息泄露;技术问题还有软件开发过程不规范,管理软件设计有漏洞;企业管理软件没有定期更新、升级等。
(二)管理方面。(1)物理设备的管理。企业信息安全管理的设备主要包括中心机房、服务器、网络设备、线路等方面,此外还有门卡、消防器材等。这些是企业信息安全保障系统的基础。这些设备受到的威胁主要表现在自然灾害、电磁辐射与恶劣工作环境方面。自然灾害无法避免。但是大多数企业对这些设备的管理的力度不够。此外企业对这些设备的防火、防盗意识还较欠缺。(2)人员的管理。1)企业人员安全意识较弱,多数员工使用默认密码和弱密码,增加了潜在的风险。也有员工无意泄露企业重要信息的情况发生。对于员工和管理员的操作缺少日志审计。2)企业对于网络安全队伍的建设工作积极性不高,认识不到网络安全所存在的隐患。未明确设置安全管理员、机房管理员、数据库管理员、网络管理员、存储管理员等岗位,岗位职责存在兼任情况。3)许多企业,网络系统管理人员技术水平达不到所需要求,会直接导致系列操作产生问题,进而使安全漏洞问题愈加严重。“入侵者”通常情况下会利用网络管理的不足,从而攻击,破坏网络安全并且获取有用的信息。他们也会通过改变页面的数据,进一步使系繁忙或改变重要信息,严重的更会导致系统崩溃,造成重大的经济损失。(3)信息及应用系统的管理。大多数企业没有对企业信息进行设置保密等级;应用系统业务运行情况方面的数据也没有及时保存;和应用系统相连的数据库中的重要表未进行加密处理;主机和数据库没有密码复杂度限制,也没有定期进行密码更改,存在弱口令;缺乏对应用系统和数据库的操作日志的收集和审计。
(三)信息安全文件及制度。通过调查发现,大多数企业没有完整的信息安全政策性文件。信息安全制度的制定也不规范,没有建立有效的、修订以及落实情况的管理办法。
二、企业信息安全的对策
(一)技术方面。(1)安装正版防护软件。企业放有重要信息的主机和服务器必须安装安全防护软件,如360安全卫士。必须是正版的,因为盗版的服务质量根本得不到有效保障。安装后定期对计算机进行检测保护。(2)信息备份。企业应用系统软件不能确保不出问题,有时也会瘫痪;还有存在被外部人员攻击的危险,为确保信息的不丢失, 有必要采取技术备份手段, 对重要信息进行定期备份。(3)访问权限。企业信息种类很多,它们的保密级别也是不一样的。同时企业的不同人员对信息访问的权利也是不一样的,为了使不用用户访问不同的信息,可通过技术手段,给不同的信息、应用系统,及不同的人员设置不同的权限。这样在一定程度上也可保障信息的安全。(4)网络访问。在互联网快速发展的今天,任何一个企业都离不开网络, 员工需要从网络中获取各种信息。然而, 畅通的网络也给非法分子提供了访问企业内部信息的通道。为此,有必要采用网络防火墙技术, 控制内网和外网的访问。同时应加强对恶意代码的防范,还要注意数据传输过程中的保密。(5)加解密。对企业重要信息进行加密。加密之后的信息,只有拥有密钥的人才能解密,看到信息的内容。这样对于没有访问权限的人或某些通过网络截获传递中的密文的非法分子来说,他们是无法看到真正的信息明文,只能得到零散的无用的信息。要注意的是应该对密码的复杂度进行要求,不能太简单。
(二)管理方面。(1)人员。企业的信息资产都是通过人来管理和控制的。对人的管理实际是信息安全工作中难度最大的工作,业界有一句话:“在企业中信息安全最大的风险是心怀不测的一些员工可能带来的风险”。所以我们要加强对员工尤其是掌握企业核心机密的高管进行安全管理。在他们调动离职时进行信息安全审计,以有效减少信息资产非授权的传递。此外企业在和客户、供应商、合作伙伴合作中会涉及信息传递,并会产生新的信息。这些信息也需要很好的管理。(2)设备。应该针对机房精密调控、以及对网络线路制定保养和检查计划。对关键服务器进行续保。目前有部分弱电线路存在端口号和配线架编号以及到桌面的点位不符的情况,应进行梳理。
(三)安全管理制度的制定及实施。当前企业一要进行日常管理制度,安全管理制度的制定和实施;二是要加强计算机网络工作者的规范管理,培养安全意识,建立针对黑客攻击的“快速反应队”。同时必须进一步加快对高层次的网络管理人员的相关技能和经验培训,以尽早达到网络安全的目的。
篇3
网络环境下保障企业信息的安全性对企业地发展具有重大的、直接的现实意义。深入研究与开发计算机信息安全技术,减少或避免网络信息系统的破坏与故障,对企业发展具有积极的作用。但就现实发展来看,目前企业网络信息安全建设仍处于探索阶段,优化企业网络安全,吸取前沿的安全技术,实现企业网络信息又快又好地发展成为众企业关注的焦点问题。
一、企业网络信息安全的基本目标
企业网络信息安全技术的研究与开发最终目的是实现企业信息的保密性、完整性、可用性以及可控性。具体来讲市场化的发展背景,企业之间存在激烈的竞争,为增强市场竞争力,出现盗取商业机密与核心信息的不良网络现象。企业加强网络信息安全技术开发,一个重要的目的是防止企业关键信息的泄露或者被非授权用户盗取。其次,保障信息的完整性,是指防止企业信息在未经授权的情况下被偶然或恶意篡改的现象发生。再次,实现数据的可用性,具体是指当企业信息受到破坏或者攻击时,攻击者不能破坏全部资源,授权者在这种情况下仍然可以按照需求使用的特性。最后,确保企业网络信息的可控性,例如对企业信息的访问、传播以及内容具有控制的能力。
二、企业网络信息安全面临的主要威胁
根据相关调查显示,病毒入侵、蠕虫以及木马程序破坏是对企业网络信息安全造成威胁的主要原因。黑客攻击或者网络诈骗也是影响企业网络信息安全的重要因素。当然部分企业网络信息安全受到破坏是由于企业内部工作人员的操作失误造成。总之威胁企业网络信息安全的因素来自方方面面,无论是什么原因造成的企业网络信息安全的破坏,结果都会对企业的生产发展造成恶劣的影响,导致企业重大的损失。在信息化发展背景下,企业只有不断提高网络信息的安全性,才是实现企业持续发展的有力保证。
三、企业网络信息安全保护措施现状
当前企业在进行网络信息安全保护方面的意识逐渐增强,他们为确保企业网络信息安全时大都应用了杀毒软件来防止病毒的入侵。在对企业网络信息安全进行保护时,方式比较单 一,技术比较落后。对于入侵检测系统以及硬件防护墙的认识不足,尚未在企业中普及。因此推进企业网络信息安全技术的开发,前提是提高企业对网络信息安全保护的意识,增强企业应用网络信息安全技术的能力,才能有效推动企业网络信息安全技术的开发。
四、促进企业网络信息安全技术开发的对策与建议
(一)定期实施重要信息的备份与恢复
加大对企业网络信息安全技术的研发投入,一个重要的体现是对企业网络信息的管理。企业对于重要的、机密的信息和数据应该定期进行备份或者是恢复工作。这是保障企业网络信息安全简单、基础的工作内容。当企业网络受到破坏甚至企业网络系统出现瘫痪,企业能够通过备份的信息保障生产工作的运行,把企业的损失降到最低。实现企业网络信息安全技术开发的实效性的基础工作是做好企业重要网络信息的定期备份与恢复工作。
(二)构建和实施虚拟专用网络(VPN)技术
以隧道技术为核心的虚拟专用网络技术,是一项复杂的、专业的工程技术。该项技术对于保护企业网络信息安全具有重要意义,并且效果显著。它把企业专用的、重要的信息进行封装,然后采取一定的方法利用公共网络隧道传输企业专用网络中的信息,如此一来可以实现对企业网络信息的保护,避免出现对企业信息的窃取与恶意修改。当然提升虚拟专用网络的兼容性、简化应用程序是企业网络信息安全技术研发重要课题。
(三)完善高效的防火墙技术
在企业内部网与外联网之间设置一道保护企业网络信息安全的屏障,即设置防火墙。这一技术是目前最有效、最经济的保障企业网络信息安全的技术。但由于当前大多数的远程监控程序应用的是反向链接的方式,这就限制了防火墙作用的发挥。在进行企业网络信息安全技术开发过程中,应进一步优化防火墙的工作原理或者研发与之相匹配的远程监控程序,来实现防火墙对企业网络信息安全的保护。
(四)对关键信息和数据进行加密
增强企业对关键信息和数据的加密技术水平也是企业网络信息安全技术研发的主要方面。更新加密技术,是保障企业网络信息安全的重要环节。企业在对重要信息和数据进行加密时可以同时采取一些例如CD检测或者Key File等保护措施,来增强企业重要信息的保密效果。
五、结束语
企业网络信息安全体系的构建是一项系统的、长期的、动态的工程。网络环境下,信息安全技术发展的同时,新的破坏、攻击、入侵网络信息安全的手段也会不断出现。企业只有与时俱进,加大对网络信息安全技术的投入力度,才能加强对企业核心信息与数据的保护。在未来的发展过程中,企业在坚持技术策略与管理策略相结合的原则下,不断升级完善企业网络信息安全系统的开发与建设,不断提高企业的信息化水平。
篇4
当下,中小化工企业的安全问题得到了重视,安全事故率整体趋于下降趋势。据国家安全监督总局(现为中华人民共和国应急管理部)在危险化学品安全生产“十三五”规划中指出的,2015年生产安全事故起数比2010年下降了62%;在2017年典型的17件事故案例中,爆炸占了13件,中毒占了2件,垮塌1件,受限空间窒息占到1件,其中90%以上属于违规操作,但事故发生率进一步得到遏制;2018年全国共发生可统计的化工事故176起,虽然事故总数有所下降,但重点安全事故的发生频次有所上升。安全管理缺失是主要原由,但一线操作人员素养不高,安全意识淡薄而违规操作至事故发生是基本原因。
从历史发展来看,中小化工企业伴随着改革开发的步伐不断向前发展着,其主要特点是数量众多,占化工企业90%以上,生产工艺技术相对落后,以引进生产线和代加工产品为主流。虽然目前的发展有所改观,但化工的生产因综合性要求高,代加工的发展模式一直以比较高的占比存在着,这导致了因生产技术的相对落后而引起安全事故的大概率发生。近几年相对高的爆燃等重大化工安全事故的发生是代表性的信号,生产技术的落后也是安全事故否发生的根本原因。另外近年来化工事故的有效遏制是和各级管理部门的严格管理是分不开的,从国家对化工企业的安全政策制定、安全检查落实和考评以及化工行业对安全意识重视和实践,可以说管理层面的紧箍咒越念越紧,收效也很明显。据所知,现在国内化工园区对安全的要求极其严格,可以说和当前的环保监督极高要求不相上下。不管是上层的因政策导向的管理还是园区管委会的直接执行管理,表现出来的为行政管理的压倒性特点,某种程度上带有一刀切的强制性。可是其中的技术管理有些欠缺,这和危险化学品安全生产“十三五”规划中强调安全技术支撑精神有所差距。然而這毕竟是外因,一旦行政管理重心转移,势必会导致爆发性安全事故隐患出现,如同时下的化工环保管理,人员在岗一切正常,周末不在岗老百姓反映环保问题多多。这方面很多学者对当下的中小化工企业的安全现状提出了许多对策。然而,大体是基于当下中小化工企业生产技术的不先进,操作人员的专业素养欠缺而落实技术管理不到位等层面提出问题解决建议的。客观上,中小化工企业有其自身的发展规律和社会需求。因此,需要从企业自身的内因着手解决中小化工企业的安全现状问题,而包括技术(涵盖安全)创新在内的企业文化创新是解决中小化工企业各种问题的归宿和出发点。
2 创新文化理论和中小化工企业安全实践需求
中小化工企业尤其是民营中小化工企业大多是家族型企业,从某种程度上说还不是完全意义上的公司,因为往往不具有公司特有的文化内涵。它们的活动通常围绕生产追求利益展开,低成本高利润是行为的驱动力,表现为不注重生产线的现代化,不愿意花高薪聘用高技能人才,不怎么在意潜在的安全隐患和环境影响。因而也形成了当前绝大多数中小化工企业的文化缺失,更谈不上文化的创新、创新文化的引领和引领高端化发展。中小化工企业的安全事故频发不断是企业文化尤其是安全文化不充分发展的反映。因此,需要创新文化理论指导中小化工企业文化的建设,以内在要求规范企业的安全生产行为和对新生产技术的追求,从而能从根本上极大程度地将安全事故发生率降至最低。
创新文化会长效地给予包括中小化工企业在内的企业竞争优势的发挥和持续健康发展所需的精神动力。关于创新文化概念许多学者从不同的角度给予了诠释。但有一点是明确的,就是鼓励企业创新,当然也涵盖和安全紧密相关的生产技术创新,因为先进的生产工艺技术给安全带来了基本保障。如同轿车,生产工艺技术的不断改进使得其从最初的实现代步功能发展到当前的高安全的、智能化和舒适型集于一身的交通工具,创新是发展的灵魂,创新也带来了安全。创新文化的本质是勇于开拓求新求真,具有导向、激励、凝聚和辐射等功能,能够有效规范人的行为,极快融于体制中,灵活贯彻政策,如此这般的文化渗透会使中小化工企业从内在意识到外在生产实践都有了安全自觉,此也是当下中小化工企业的发展需求。从创新文化理论构成要素来看,它即包括环境和物质的动态构成,也涉及行为、制度和精神方面,重要的是后者的软文化,而恰恰中小化工企业缺少的是这些软文化。
在实践中,有很多中小化工企业也在积极树立自己的文化,包括厂标和宣传语等,当然这些文化是服务于生产需要的,离创新文化还有不小的差距,对其安全现状的改进作用有限,因为现实就是文化的体现,当前中小化工企业的安全未从根本上得到改观。也就是说中心化工企业缺少系统、核心的文化,创新文化的要素有待进一步有序构建。
3 中小化工企业创新安全文化的构建
篇5
中图分类号:F270.7 文献标识码:A 文章编号:1671-7597(2012)0220165-01
随着市场经济的不断发展,企业竞争越来越激烈,国际化合作不断增多,随之而来的企业信息安全是目前我国企业普遍存在的问题。对企业来说,信息安全是一项艰巨的工作,关系到企业的发展。近年来,围绕企业信息安全问题的话题不断,企业信息安全事件也频频发生,如何保证企业信息的安全,保证信息系统的正常运转,已经成为信息安全领域研究的新热点。
1 企业信息安全的意义
信息安全是一个含义广泛的名词,是指防止信息财产被故意的或偶然的非授权泄露、更改、破坏,或防止信息被非法辨识、控制,即确保信息的保密性、可用性、完整性和可控性。企业的正常运转,离不开信息资源的支撑。企业信息安全建设对企业的发展意义重大。
首先,信息安全是时展的需要。计算机网络时代的发展,改变了传统的商务运作模式,改变了企业的生产方式和思想观念,极大推动了企业文化的发展。企业信息安全的建设将使得企业的管理水平与国际先进水平接轨,从而成长为企业向国际化发展与合作的有力支撑。
其次,信息安全是企业发展的需要。企业的信息化建设带来了生产效率提高、成本降低、业务拓展等诸多好处。当前越来越多的企业信息和数据,都是以电子文档的形式存在,对企业来说,信息安全是使企业信息不受威胁和侵害的保证,是企业发展的基本保障,所以,在积极防御,综合防范的方针指导下,有效地防范和规避风险,建立起一套切实可行的长效防范机制,逐步建立起信息安全保障体系,有利于企业的发展。
最后,信息安全是企业稳定的必要前提。信息安全成为保障和促进企业稳定和信息化发展的重点,要充分认识信息安全工作的紧迫感和长期性,从企业的安全、经济发展、企业稳定和保护企业利益的角度来思考问题,扎扎实实地做好基础性工作和基础设施建设,在建立信息安全保障体系的过程中,必须搞好链接信息安全保障体系建设安全、建设健康的网络环境,关注信息战略,保障和促进信息化的健康发展。
2 企业信息安全的现状
我国企业信息安全包括计算机系统的硬、软件及系统中的数据受到保护,不受偶然的或恶意的原因而遭到破坏、更改、泄露,使得系统连续、可靠、正常的运行,网络服务不中断。计算机和网络技术具有复杂性和多样性,使得企业信息安全成为一个需要持续更新和提高的领域。就目前来看,主要存在以下三个方面的隐患。
2.1 企业缺少信息安全管理制度
企业信息安全是一个比较新的领域,目前还缺少比较完善的法规,现有的法规,由于相关安全技术和手段还没有成熟和标准化,法规也不能很好地被执行,安全标准和规范的缺少,导致无从制定合理的安全策略并确保此策略能被有效执行。企业的信息系统安全问题是一个系统工程,涉及到计算机技术和网络技术以及管理等方方面面,同时,随着信息系统的延伸和新兴技术集成应用升级换代,它又是一个不断发展的动态过程。因此对企业信息系统运行风险和安全需求应进行同期化的管理,不断制定和调整安全策略,只有这样,才能在享受企业信息系统便利高效的同时,把握住信息系统安全的大门。
2.2 员工缺少安全管理的责任心
一个企业的信息系统是企业全体人员参与的,不考虑全员参与的信息安全方案,恰恰忽视信息安全中最关键的因素――人,因为他们才是企业信息系统的提供者和使用者,他们是影响信息安全系统能否达到预期要求的决定因素。在众多的攻击行为和事件中,发生最多的安全事件是信息泄露事件。攻击者主要来自企业内部,而不是来自企业外部的黑客等攻击者,安全事件造成最大的经济损失主要是内部人员有意或无意的信息泄露事件。针对内部员工的泄密行为,目前还没有成熟的、全面的解决,对于来自企业信息内部信息泄密的安全问题,一直是整个信息安全保障体系的难点和弱点所在。
2.3 信息系统缺乏信息安全技术
计算机信息安全技术是一门由密码应用技术、信息安全技术、数据灾难与数据恢复技术、操作系统维护技术、局域网组网与维护技术、数据库应用技术等组成的计算机综合应用学科。由于认识能力和技术发展的局限性,在硬件和软件设计过程中,难免留下技术缺陷,网络硬件、软件系统多数依靠进口,由此可造成企业信息安全的隐患,现在黑客的攻击并不是为了破坏底层系统,而是为了入侵应用,窃取数据,带有明显的商业目的,许多黑客就是通过计算机操作系统的漏洞和后门程序进入企业信息系统。随着网络应用要求的越来越多,针对应用的攻击也越来越多,除了在管理制度上确保信息安全外,还要在技术上确保信息安全。
3 企业信息安全中存在的问题
信息时代的到来,从根本上改变了企业经营形式,企业实施信息化为其带来便利的同时也产生了巨大的信息安全风险。由于我国企业信息安全工作还处于起步阶段,基础薄弱,导致信息安全存在一些亟待解决的问题。比较常见的问题有病毒危害、“黑客”攻击和网络攻击等,这些问题给企业造成直接的经济损失,成为企业信息安全的最大威胁,使企业信息安全存在着风险因素。
3.1 病毒危害
计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码,它是具有破坏作用的程序或指令集合。计算机病毒已经泛滥成灾,几乎无孔不入,据统计,计算机病毒的种类已经超过4万多种,而且还在以每年40%的速度在递增,随着Internet技术的发展,病毒在企业信息系统中传播的速度越来越快,其破坏性也越来越来越强。
3.2 “黑客”攻击
“黑客”是英文Hacker的谐音,黑客是利用技术手段进入其权限以外的计算机系统的人。黑客破解或破坏某个程序、系统及网络安全,或者破解某系统或网络以提醒该系统所有者的系统安全漏洞的过程。通常采用后门程序、信息炸弹、拒绝服务、网络监听、密码破解等手段侵入计算机系统,盗窃系统保密信息,进行信息破坏或占用系统资源,黑客攻击已经成为近年来经常出现的问题。
3.3 网络攻击
网络攻击就是对网络安全威胁的具体表现,利用网络存在的漏洞和安全缺陷对系统和资源进行的攻击。尤其是在最近几年里,网络攻击技术和攻击工具有了新的发展趋势,使借助Internet运行业务的企业面临着前所未有的风险。由此可知,企业的信息安全问题、以及对信息的安全管理都是至关重要的。要保证企业信息安全,就必须找出存在信息安全问题的根源,并具有良好的安全管理策略。
4 企业信息安全的解决方案
为确保企业信息安全,要坚持积极防御,综合防范的方针,全面提高信息安全防护能力。因此,面对企业信息安全的现状和企业信息安全发展中出现的问题,必须实施对企业的信息安全管理,建设信息安全管理体系,只有建立完善的安全管理制度,将信息安全管理自始至终贯彻落实于信息管理系统的方方面面,企业信息安全才能得以实现。企业信息安全的解决方案,具体表现在以下三个方面:
4.1 建立完善的安全管理体系
完整的企业信息系统安全管理体系首先要建立完善的组织体系,完成制定并信息安全管理规范和建立信息安全管理组织等工作,保障信息安全措施的落实以及信息安全体系自身的不断完善。并建立一套信息安全规范,详细说明各种信息安全策略。一个详细的信息安全规划可以减轻对于人的因素带来的信息安全问题。最基本的企业安全管理过程包括:采用科学的企业信息资产评估和风险分析模型法、设计完备的信息系统动态安全模型、建立科学的可实施的安全策略,采取规范的安全防范措施、选用可靠稳定的安全产品等。安全防范体系的建立不是一劳永逸的,企业网络信息自身的情况不断变化,新的安全问题不断涌现,必须根据暴露出的一些问题,进行更新,保证网络安全防范体系的良性发展,
4.2 提高企业员工的安全意识
科技以人为本,在信息安全方面也是靠人来维护企业的利益,我们在企业信息网络巩固正面防护的时候不能忽视对人的行为规范和绩效管理。企业员工信息安全意识的高低是一个企业信息安全体系是否能够最终成功实施的决定性因素。企业应当制定企业人员信息安全行为规范,必须有专门管理人才,才能有效地实现企业安全、可靠、稳定运行,保证企业信息安全。教育培训是培训信息安全人才的重要手段,企业可以对所有相关人员进行经常性的安全培训,强化技术人员对信息安全的重视,提升使用人员的安全观念,有针对性的开展安全意识宣传教育,逐步提高员工的安全意识,强调人的作用,使他们明确企业各级组织和人员的安全权限和责任,使他们的行为符合整个安全策略的要求。
4.3 不断优化企业信息安全技术
企业一旦制定了一套详细的安全规划来武装自己,保护其智力资产,它就开始投入到选择采用正确信息安全技术上。可供企业选择的防止信息安全漏洞的安全技术有很多。当企业选择采用何种技术时,首先了解信息安全的三个领域是十分有帮助的,这三个领域变得:验证与授权、预防和抵制、检测和响应。其中,用户验证是确认用户身份的一种方法,一旦系统确认了用户身份,那么它就可以决定该用户的访问权限,比如使用用户名和密码。预防和抵抗技术是指企业阻止入侵者访问。对于任何企业,必须对那些故障做好准备和预测,目前可以帮助预防和建设抵抗攻击的技术主要有内容过滤、加密和防火墙,在选用防火墙的时候,需要对所安装的防火墙做一些攻击测试。此外,企业信息安全的最后一道屏障是探测和反应技术,最常见的探测和反应技术是杀毒软件。
5 结语
总之,企业信息安全是一项复杂的系统工程,企业要适应现代化发展的需要,要提高自身信息安全意识,加强对信息安全风险防范意识的认识,重视安全策略的施行及安全教育,必须做到管理和技术并重,安全技术必须结合安全措施,并加强信息安全立法和执法的力度,建立备份和恢复机制, 为企业设计适合实际情况的安全解决方案,制定正确和采取适当的安全策略和安全机制,保证企业安全体系处于应有的健康状态。
参考文献:
[1]张帆,企业信息安全威胁分析与安全策略[J].网络安全技术与应用,2007(5).
[2]谌晓欢,企业信息安全问题及解决方案[J].企业技术开发,2008(8).
[3]付沙,企业信息安全策略的研究与探讨[J].商场现代化,2007(26).
