企業信息化建設中的信息安全問題研究

謝志宏

摘 要：當今社會已步入知識經濟（信息經濟）時代，因此企業信息化建設中信息安全必須得到保證。本文從企業信息化建設的意義、企業信息化建設中的安全問題、企業信息化安全問題的原因、企業信息化建設中實現信息安全的措施四方面展開。

關鍵詞：企業信息化建設；信息安全問題

企業信息化建設已成為企業建設的重要組成部分。通過企業信息化建設，企業的生產和流通可以更好地運行；在互聯網的作用下，形成企業現代化的發展模式、途徑。然而企業信息化建設并非處在一個沒有任何干擾其發展的環境中，其發展受到了多方面的束縛（比如內部認知，信息系統支撐以及管理等方面的問題）；并且存在信息安全問題，如黑客、病毒等的入侵。如果這些信息安全問題較為嚴重，不但不利于企業信息化的建設，更有可能對企業的現代化發展造成不利的影響。

一、企業信息化建設的意義

企業信息化建設具有可觀的經濟價值，通過信息化企業的生產效率將大大提高，特別是在提升企業生產力水平方面，信息化將會發揮巨大的作用，信息化是形成了企業經濟優勢與競爭優勢的重要手段。企業信息化建設具有不菲的管理價值，企業通過信息化建設能夠使管理更具針對性、更有效率，使企業的管理更加符合時代發展的需要。企業信息化建設具有很大的社會價值，通過單個企業的信息化建設帶動整個的社會信息化建設，藉此使得社會的科技水平得以迅速提升，在和諧社會的創建中起到了重要的作用，擁有了無可取代的地位。

二、企業信息化建設中的安全問題

（一）風險與攻擊。任何企業的信息系統都存在一定的風險性。一般地說來，主要風險是（被）攻擊，主要（被）攻擊方式有以下四種：（1）中斷，主要包括惡意破壞硬盤、通信線路或某些文件系統。（2）截獲，主要是違法復制文件或數據，通過網絡竊聽或截取數據。（3）篡改，主要是非法改變消息內容、數據以及程序內容。（4）偽造，這種攻擊方式主要是指非法偽造文件、消息或是增加記錄等。

（二）漏洞問題。（1）軟件漏洞。如果軟件中存在安全漏洞，將有可能導致不法人員利用這些漏洞攻擊企業的信息系統。（2）協議漏洞。由于開放式的TCP/IP網絡協議在最初設計之時，并未充分考慮到網絡受到人為因素的影響從而導致信息傳輸受到安全威脅，因此TCP/IP協議在安全機制方面存在很多漏洞，某些攻擊者完全能夠利用這些漏洞來達到攻擊企業信息系統的非法目的，主要是通過地址欺騙、地址假冒等方式。

（三）Web服務安全問題。（1）Web服務器端。服務器端存在被竊取保密信息的危險，非法分子能夠通過在Web主機上執行命令而去修改企業信息系統相關信息的犯罪目的。（2）瀏覽器客戶端。不法人員通過執行程序破壞瀏覽器的方式破壞用戶系統，從而達到竊取用戶機密信息與數據的目的，嚴重地危害了用戶的信息安全。

（四）電子郵件安全問題。（1）電子郵件病毒，電子郵件內藏有病毒，在瀏覽郵件時或下載附件的時潛伏到電腦中，立即或擇機發作；（2）機密信息泄露，由于電子郵件的發送要經過許多不同路由器的轉發，直到最終發送到接收主機，在這一過程中攻擊者能夠將電子郵件截取并從中獲得用戶的機密信息；（3）垃圾郵件，不法人員通過發送垃圾郵件大量耗費收件人的時間和精力，并有可能造成接收端郵件服務器阻塞；（4）電子郵件炸彈，不法分子通過某些郵件軟件將大量的電子郵件寄給同一接受者，導致接收者的郵箱堵塞，嚴重時還會造成網絡癱瘓。

三、企業信息化安全問題的原因

（一）企業信息化安全問題的內部原因。（1）企業對于信息系統安全的重視不夠。企業對信息系統安全的認識不足，特別是對企業信息化建設的價值沒有一個正確的定位，因此造成了對企業信息安全建設不重視的現象，這是導致企業信息化安全問題的一大原因。（2）安全管理上存在問題。信息安全管理是企業信息化的基礎保證，信息系統的管理以及信息安全體系的維護與升級均需要有專業人員負責。但是由于企業信息化投入不足或尚未成熟和完善，管理上存在人才缺口、安全管理機制不健全等現象，從而使企業信息化安全水平受到很大影響。（3）我國安全技術仍就比較落后。當前國內適用于企業信息化建設的軟件在質量和數量上都存在一定的問題，特別信息安全技術與與國外先進水平仍有較大差距。這種差距的存在使得企業信息化系統極易受到病毒或黑客的侵擾，最終可能導致企業信息系統不能健康、良好的運行，影響到了企業信息安全。（4）操作上存在問題。相對于工業自動化而言企業信息化是一個比較新的概念，企業往往比較注重信息化成果的獲取，而對于信息安全管理中操作人員水平或是人員數量容易忽視，這很可能直接導致企業信息化建設過程中出現操作問題，進而導致企業信息化出現安全隱患。（5）法律法規不健全。企業信息化乃至整個網絡信息安全保護的法律法規仍處于起步階段，很多內容屬于范圍性政策，真正意義上具有法律約束力的不多。法律法規并不能形成對具體事件的控制與約束，難于發揮法律法規應有的指導作用，企業信息安全目前還得不到法律法規上強有力的支撐，很大程度上也降低了企業進行信息安全建設的主動性。

（二）企業信息化安全問題的外部原因。企業信息系統大量的安全威脅源自于企業外部。當今社會不斷發展，網絡應用也越來越普及，信息在市場競爭中所占據的位置也越來越重要。許多不法分子也正是看到了這一點，于是利用一些非法手段攻擊企業的信息系統，從中盜取重要信息進而為自己謀求利益；更有甚者，某些企業為了達到打敗競爭對手的目的，指使企業內部人員或雇傭企業外部人員，采取各種手段獲取對方的重要信息；企業外部信息安全威脅，當然也涉及到了上面所講到的法律法規不健全的問題。

四、企業信息化建設中實現信息安全的措施

當今社會已經進入了信息時代，信息對一個企業的良性、長足發展無疑是至關重要的，然而企業信息系統安全問題成為當前企業發展過程中一個不得不面對的重大問題。確保企業信息安全指的是采取有效措施保護信息資產，使之不因偶然或惡意侵犯而遭受破壞、篡改及泄露，保證信息系統能夠連續、可靠、正常地運行，使安全事件對業務造成的影響降低到最小，確保業務運行的連續性。必須做到以下四個方面。

（一） 樹立正確的安全意識。企業內部上至董事會下到每個員工都應該樹立正確的安全意識，不得對外泄露任何企業機密信息；必須充分認識到信息安全的重要性，才能保證企業各項工作正常、有序進行。

（二）加強企業內部信息系統管理。建立一整套系統的安全評估、管理機制，只有對企業信息系統所存在的安全風險進行正確的評估，成功預測安全風險對企業可能造成的不利影響程度，才能制定出合適的對策并加以整改；建立規范合理的信息安全管理體制，使企業在面臨安全問題時能夠及時、準確地做出響應并予以解決，成為企業信息安全的堅實后盾。

（三）加強企業內部專業人才隊伍建設。保障企業信息安

全，必須依靠管理和技術，其中起決定性困素的還是人才！同等條件下，高水的專業人才所完成的工作效果與其他人完成的存在明顯區別。因此必須在企業內部建立一支高水平、高技能和比較穩定的信息安全管理專業隊伍，在信息安全知識和技能領域不斷加以培訓，并借助企業外部信息安全專業機構的力量不斷提高專業能力和企業信息安全保護能力。

（四）選擇先進的安全防護技術。盡管任何系統都會有破解之法，只是存在時間長短和難度大小的問題。但是選擇較為先進的安全防護技術，就等于為企業加設了一層比較好的屏障，使得企業受到同樣攻擊時體現出較強的防護能力，贏得應對和解決安全問題的時機。從而保障企業信息化建設和應用，促進企業健康發展。

參考文獻：

[1] 辛玉紅. 企業信息化建設中的信息安全問題[J]. 現代情報，

2004，11：205-208.

[2] 秦海峰. 企業信息化建設中信息安全問題的分析研究[J]. 中國信息界，2012，05：61-62.