淺議企業(yè)信息安全概述及防范

　　論文關(guān)鍵詞：信息安全　風(fēng)險防范

　　論文摘要：該文對企業(yè)信息安全所面臨的風(fēng)險進(jìn)行了深入探討，并提出了對應的解決安全問(wèn)題的思路和方法。

　　隨著(zhù)計算機信息化建設的飛速發(fā)展而信息系統在企業(yè)中所處的地位越來(lái)越重要。信息安全隨著(zhù)信息技術(shù)的不斷發(fā)展而演變，其重要性日益越來(lái)越明顯，信息安全所包含的內容、范圍也不斷的變化。信息安全有三個(gè)中心目標。保密性：保證非授權操作不能獲取受保護的信息或計算機資源。完整性：保證非授權操作小能修改數據。有效性：保證非授權操作不能破壞信息或計算機資源。信息安全的重點(diǎn)放在了保護信息，確保信息在存儲，處理，傳輸過(guò)程中及信息系統不被破壞，確保對合法用戶(hù)的服務(wù)和限制非授權用戶(hù)的服務(wù)，以及必要的防御攻擊的措施。

　　1、企業(yè)信息安全風(fēng)險分析

　　計算機信息系統在企業(yè)的生產(chǎn)、經(jīng)營(yíng)管理等方面發(fā)揮的作用越來(lái)越重要，如果這些信息系統及網(wǎng)絡(luò )系統遭到破壞，造成數據損壞，信息泄漏，不能正常運行等問(wèn)題，則將對企業(yè)的生產(chǎn)管理以及經(jīng)濟效益等造成不可估量的損失，信啟、技術(shù)在提高生產(chǎn)效率和管理水平的同時(shí)，也帶來(lái)了不同以往的安全風(fēng)險和問(wèn)題。

　　信息安全風(fēng)險和信息化應用情況密切相關(guān)，和采用的信息技術(shù)也密切相關(guān)，公司信息系統面臨的主要風(fēng)險存在于如下幾個(gè)方面。

　　計算機病毒的威脅：在業(yè)信息安全問(wèn)題中，計算機病毒發(fā)生的頻率高，影響的面寬，并且造成的破壞和損失也列在所有安全威脅之首。病毒感染造成網(wǎng)絡(luò )通信阻塞，系統數據和文件系統破壞，系統無(wú)法提供服務(wù)甚至破壞后無(wú)法恢復，特別是系統中多年積累的重要數據的丟失，損失是災難性的。

　　在目前的局域網(wǎng)建成，廣域網(wǎng)聯(lián)通的條件下，計算機病毒的傳播更加迅速，單臺計算機感染病毒，在短時(shí)間內可以感染到通過(guò)網(wǎng)絡(luò )聯(lián)通的所有的計算機系統。病毒傳播速度，感染和破壞規模與網(wǎng)絡(luò )尚未聯(lián)通之時(shí)相比，高出幾個(gè)數量級。

　　網(wǎng)絡(luò )安全問(wèn)題：企業(yè)網(wǎng)絡(luò )的聯(lián)通為信息傳遞提供了方便的途徑。業(yè)有許多應用系統如：辦公自動(dòng)化系統，營(yíng)銷(xiāo)系統，電子商務(wù)系統，ERP，CRM，遠程教育培訓系統等，通過(guò)廣域網(wǎng)傳遞數據。目前大部分企業(yè)都采用光纖的方式連接到互聯(lián)網(wǎng)運營(yíng)商，企業(yè)內部職工可以通過(guò)互聯(lián)網(wǎng)方便地瀏覽網(wǎng)絡(luò )查閱、獲取信息，即時(shí)聊天、發(fā)送電子郵件等。

　　如何加強網(wǎng)絡(luò )的安全防護，保護企業(yè)內部網(wǎng)上的信息系統和信息資源的安全，保證對信息網(wǎng)絡(luò )的合法使用，是目前一個(gè)熱門(mén)的安全課題，也是當前企業(yè)面臨的一個(gè)非常突出的安全問(wèn)題。

　　信息傳遞的安全不容忽視：隨著(zhù)辦公自動(dòng)化，財務(wù)管理系統，各個(gè)企業(yè)相關(guān)業(yè)務(wù)系統等生產(chǎn)，經(jīng)營(yíng)方面的重要系統投入在線(xiàn)運行，越來(lái)越多的重要數據和機密信息都通過(guò)企業(yè)的內部局域網(wǎng)來(lái)傳輸。

　　網(wǎng)絡(luò )中傳輸的這些信息面臨著(zhù)各種安全風(fēng)險，例如被非法用戶(hù)截取從而泄露企業(yè)機密;被非法篡改，造成數據混亂，信息錯誤從而造成工作失誤。

　　用戶(hù)身份認證和信息系統的訪(fǎng)問(wèn)控制急需加強：企業(yè)中的信息系統一般為特定范圍的用戶(hù)使用，信息系統中包含的信息和數據，也只對一定范圍的用戶(hù)開(kāi)放，沒(méi)有得到授權的用戶(hù)不能訪(fǎng)問(wèn)。為此各個(gè)信息系統中都設計r用戶(hù)管理功能，在系統中建立用戶(hù)，設置權限，管理和控制用戶(hù)對信息系統的訪(fǎng)問(wèn)。這些措施在一定能夠程度上加強系統的安全性。但在實(shí)際應用中仍然存在一些問(wèn)題。

　　一是部分應用系統的用戶(hù)權限管理功能過(guò)于簡(jiǎn)單，能靈活實(shí)現更細的權限控制。二是各應用系統沒(méi)有一個(gè)統一的用戶(hù)管理，企業(yè)的一個(gè)員工要使用到好幾個(gè)系統時(shí)，在每個(gè)應用系統中都要建立用戶(hù)賬號，口令和設置權限，用戶(hù)自己都記不住眾多的賬號和口令，使用起來(lái)非常不方便，更不用說(shuō)賬號的有效管理和安全了。

　　如何為各應用系統提供統一的用戶(hù)管理和身份認證服務(wù)，是我們開(kāi)發(fā)建設應用系統時(shí)必須考慮的一個(gè)共性的安全問(wèn)題。

　　2、解決信息安全問(wèn)題的基本原則

　　企業(yè)要建立完整的信息安全防護體系，必須根據企業(yè)實(shí)際情況，結合信息系統建設和應用的步伐，統籌規劃，分步實(shí)施。

　　2.1做好安全風(fēng)險的評估進(jìn)行安全系統的建設，首先必須全面進(jìn)行信息安全風(fēng)險評估，找出問(wèn)題，確定需求，制定策略，再來(lái)實(shí)施，實(shí)施完成后還要定期評估和改進(jìn)。

　　信息安全系統建設著(zhù)重點(diǎn)在安全和穩定，應盡量采用成熟的技術(shù)和產(chǎn)品，不能過(guò)分求全求新。

　　培養信息安全專(zhuān)門(mén)人才和加強信息安全管理工作必須與信息安全防護系統建設同步進(jìn)行，才能真正發(fā)揮信息安全防護系統和設備的作用。

　　2.2采用信息安全新技術(shù)，建立信息安全防護體系企業(yè)信息安全面臨的問(wèn)題很多，我們可以根據安全需求的輕重緩急，解決相關(guān)安全問(wèn)題的信息安全技術(shù)的成熟度綜合考慮，分步實(shí)施。技術(shù)成熟的，能快速見(jiàn)效的安全系統先實(shí)施。

　　2.3根據信息安全策略，出臺管理制度，提高安全管理水平信息安全的管理包括了法律法規的規定，責任的分化，策略的規劃，政策的制訂，流程的制作，操作的審議等等。雖然信息安全“七分管理，三分技術(shù)”的說(shuō)法不是很精確，但管理的作用可見(jiàn)一斑。

　　3、解決信息安全問(wèn)題的思路和方法

　　企業(yè)的信息安傘管理要從以下幾個(gè)方面人手，相輔相成、互相配合。

　　3.1從技術(shù)手段入手保證網(wǎng)絡(luò )的安全網(wǎng)絡(luò )安全指由于網(wǎng)絡(luò )信息系統基于網(wǎng)絡(luò )運行和網(wǎng)絡(luò )問(wèn)的互聯(lián)互通造成的物理線(xiàn)路和連接的安全、網(wǎng)絡(luò )系統安全、操作系統安全、應用服務(wù)安全、人員管理安全幾個(gè)方面。網(wǎng)絡(luò )由于其本身開(kāi)放性所帶來(lái)的各個(gè)方面的安全問(wèn)題是事實(shí)存在的。我們在正視這一事實(shí)的基礎上，在承認不可能有絕對安全的網(wǎng)絡(luò )系統的前提下，努力探討如何加強網(wǎng)絡(luò )安全防范性能，如何通過(guò)安全系列軟件、硬件及相關(guān)管理手段提高網(wǎng)絡(luò )信息系統的安全性能，降低安全風(fēng)險，及時(shí)準確地掌握網(wǎng)絡(luò )信息系統的安全問(wèn)題及薄弱環(huán)節，及早發(fā)現安全漏洞、攻擊行為井針對性地做出預防處理。

　　在攻擊發(fā)生過(guò)程中，盡早發(fā)現，及時(shí)阻斷。在攻擊發(fā)十后，盡快恢復并找出原因。保證網(wǎng)絡(luò )安全的技術(shù)于段包括：過(guò)濾、信息分析臨控、安全管理、掃描評估、入侵偵測、實(shí)時(shí)響應、防病毒保護、存取控制等。其措施有：網(wǎng)絡(luò )互聯(lián)級防火墻、網(wǎng)絡(luò )隔離級防火墻、網(wǎng)絡(luò )安全漏洞掃描評估系統、操作系統安全漏洞掃描評估系統、信息流捕獲分析系統、安全實(shí)時(shí)監控系統、入侵偵洲與實(shí)時(shí)響應系統、網(wǎng)絡(luò )病毒防護系統、強力存取控制系統等。信息安全指數據的保密性、完整性、真實(shí)性、可用性、不町否認性及可控性等安全，技術(shù)手段包括加密、數字簽名、身份認證、安全協(xié)議(set、ss1)及ca機制等。文化安全主要指有害信息的傳播對我國的政治制度及文化傳統的威脅，主要表現在輿論宣傳方面。主要柯：黃色、反動(dòng)信息泛濫，敵對的意識形態(tài)信息涌入，瓦聯(lián)網(wǎng)被利用作為串聯(lián)工具等。其技術(shù)手段包括：信息過(guò)濾、設置網(wǎng)關(guān)、監測、控管等，同時(shí)要強有力的管理措施配合，才可取得良好的效果。

　　3.2建立、健全企業(yè)息安全管理制度任何一個(gè)信息系統的安全，在很大程度上依賴(lài)于最初設計時(shí)制定的網(wǎng)絡(luò )信息系統安全策略及相關(guān)管理策略。因為所有安全技術(shù)和手段，都圍繞這一策略來(lái)選擇和使用，如果在安全管理策略上出了問(wèn)題，相當于沒(méi)有安全系統。同時(shí)，從大角度來(lái)看，網(wǎng)絡(luò )信息系統安全與嚴格、完善的管理是密不可分的。在網(wǎng)絡(luò )信息系統安全領(lǐng)域，技術(shù)手段和相關(guān)安全工具只是輔助手段，離開(kāi)完善的管理制度與措施，是沒(méi)法發(fā)揮應有的作用并建設良好的網(wǎng)絡(luò )信息安全空間的。

　　國家在信息安全方面發(fā)布了一系列的法律法規和技術(shù)標準，對信息網(wǎng)絡(luò )安全進(jìn)行了明確的規定，并有專(zhuān)門(mén)的部門(mén)負責信息安壘的管理和執法。企業(yè)首先必須遵守國家發(fā)布的這些法律法規和技術(shù)標準，企業(yè)也必須依據這些法律法規，來(lái)建立自己的管理標準，技術(shù)體系，指導信息安全工作。學(xué)習信息安全管理國際標準，提升企業(yè)信息安全管理水平國際上的信息技術(shù)發(fā)展和應用比我們先進(jìn)，在信息安全領(lǐng)域的研究起步比我們更早，取得了很多的成果和經(jīng)驗，我們可以充分利用國際標準來(lái)指導我們的工作，提高水平，少走彎路。

　　信息安全是企業(yè)信息化工作中一項重要而且長(cháng)期的工作，為此必須各單位建立一個(gè)信息安全工作的組織體系和常設機構，明確領(lǐng)導，設立專(zhuān)責人長(cháng)期負責信息安全的管理工作和技術(shù)工作，長(cháng)能保證信息安全工作長(cháng)期的，有效的開(kāi)展，才能取得好的成績(jì)。

　　3.3充分利用企業(yè)網(wǎng)絡(luò )條件，提供全面。及時(shí)和快捷的信息安全服務(wù)很多企業(yè)通過(guò)廣域網(wǎng)聯(lián)通了系統內的多個(gè)二級單位，各單位的局域網(wǎng)全部建成，在這種良好的網(wǎng)絡(luò )條件下，作為總公司一級的信息安全技術(shù)管理部門(mén)應建立計算機網(wǎng)絡(luò )應急處理的信息發(fā)布與技術(shù)支持平臺，發(fā)布安全公告，安全法規和技術(shù)標準，提供信息安全設備選型、安全軟件下載，搜集安全問(wèn)題，解答用戶(hù)疑問(wèn)，提供在線(xiàn)的信息安全教育培訓，并為用戶(hù)提供一個(gè)相互交流經(jīng)驗的場(chǎng)所。網(wǎng)絡(luò )方式的信息服務(wù)突破了時(shí)間，空間和地域的限制，是信息安全管理和服務(wù)的重要方式。

　　3.4定期評估，不斷的發(fā)展，改進(jìn)，完善企業(yè)的信息化應用是隨著(zhù)企業(yè)的發(fā)展而不斷發(fā)展的，信息技術(shù)更是日新月異的發(fā)展的，安全防護軟件系統由于技術(shù)復雜，在研制開(kāi)發(fā)過(guò)程中不可避免的會(huì )出現這樣或者那樣的問(wèn)題，這勢必決定了安全防護系統和設備不可能百分百的防御各種已知的，未知的信息安全威脅。安全的需求也是逐步變化的，新的安全問(wèn)題也不斷產(chǎn)生，原來(lái)建設的防護系統可能不滿(mǎn)足新形勢下的安全需求，這些都決定了信息安全是一個(gè)動(dòng)態(tài)過(guò)程，需要定期對信息網(wǎng)絡(luò )安全狀況進(jìn)行評估，改進(jìn)安全方案，調整安全策略。

　　不是所有的信息安全問(wèn)題可以一次解決，人們對信息安全問(wèn)題的認識是隨著(zhù)技術(shù)和應用的發(fā)展而逐步提高的，不可能一次就發(fā)現所有的安全問(wèn)題。信息安全生產(chǎn)廠(chǎng)家所生產(chǎn)的系統和設備，也僅僅是滿(mǎn)足某一些方面的安全需求，不是企業(yè)有某一方面的信息安全需求，市場(chǎng)上就有對應的成熟產(chǎn)品，因此不是所有的安全問(wèn)題都可以找到有效的解決方案。

　　4、結語(yǔ)

　　企業(yè)信息安全是一項復雜的系統工程，涉及技術(shù)、設備、管理和制度等多方面的因素，安全解決方案的制定需要從整體上進(jìn)行把握。信息安全解決方案是綜合各種計算機網(wǎng)絡(luò )信息系統安全技術(shù)，將安全操作系統技術(shù)、防火墻技術(shù)、病毒防護技術(shù)、入侵檢測技術(shù)、安全掃描技術(shù)等綜合起來(lái)，形成一套完整的、協(xié)調一致的網(wǎng)絡(luò )安全防護體系。我們必須做到管理和技術(shù)并重，安全技術(shù)必須結合安全措施，并加強計算機立法和執法的力度，建立備份和恢復機制，制定相應的安全標準。信息安全是一個(gè)伴隨著(zhù)企業(yè)信息化應用發(fā)展而發(fā)展的永恒課題。

【淺議企業(yè)信息安全概述及防范】相關(guān)文章：

談企業(yè)信息安全概述及防范03-18

淺議動(dòng)態(tài)企業(yè)信息管理系統的開(kāi)發(fā)03-20

淺議財務(wù)風(fēng)險及其防范03-07

企業(yè)信息數據安全的研究論文11-16

淺議企業(yè)財務(wù)風(fēng)險成因及防范對策03-24

網(wǎng)絡(luò )信息安全與防范論文05-23

企業(yè)信息化安全技術(shù)研究01-08

[熱]網(wǎng)絡(luò )信息安全與防范論文05-25

淺議企業(yè)信息化對會(huì )計電算化模式的影響經(jīng)濟論文11-18