網(wǎng)絡(luò)時(shí)代下企業(yè)信息安全風(fēng)險(xiǎn)和控制

袁 亮

（江蘇林海動(dòng)力機(jī)械集團(tuán)公司，江蘇 泰州 225300）

隨著社會(huì)經(jīng)濟(jì)的不斷發(fā)展，網(wǎng)絡(luò)時(shí)代逐漸進(jìn)入人們的生活，計(jì)算機(jī)被運(yùn)用在了各個(gè)領(lǐng)域中，成為促進(jìn)社會(huì)發(fā)展的重要媒介。而與此同時(shí)，企業(yè)信息安全問(wèn)題也逐漸凸顯出來(lái)，嚴(yán)重阻礙了企業(yè)的可持續(xù)發(fā)展，因此，在網(wǎng)絡(luò)時(shí)代背景下研究企業(yè)安全風(fēng)險(xiǎn)和控制具有重要意義。

1 企業(yè)信息安全相關(guān)概述

1.1 信息安全的含義

迄今為止，對(duì)信息安全依然沒(méi)有一個(gè)統(tǒng)一和公認(rèn)的定義。但是從國(guó)內(nèi)外研究來(lái)看，對(duì)其主要存在2種說(shuō)法：一種指的是具體信息安全技術(shù)系統(tǒng)的安全；而另一種則指的是某些特定的信息體系的安全。上述2種定義主要站在靜態(tài)的角度上闡述了信息安全的基本層面，但是信息系統(tǒng)和網(wǎng)絡(luò)的影響決定了信息安全是一個(gè)動(dòng)態(tài)的改變，其主要是防止企業(yè)信息遭到惡意泄露、破壞、更改[1]。信息安全的最終目的是向合法的對(duì)象提供安全、可靠的信息。

1.2 信息安全在企業(yè)中發(fā)揮的重要作用

企業(yè)信息作為企業(yè)的寶貴資源，保證企業(yè)信息的安全性對(duì)企業(yè)的生存和發(fā)展具有重要作用，主要體現(xiàn)在以下3個(gè)方面：一是企業(yè)信息安全是保障企業(yè)正常運(yùn)行的基本前提。在網(wǎng)絡(luò)時(shí)代背景下，企業(yè)信息安全的內(nèi)容更廣泛，再加上現(xiàn)代企業(yè)制度的不斷建立和完善，越來(lái)越多的企業(yè)依靠信息數(shù)據(jù)庫(kù)開(kāi)展各項(xiàng)工作，例如：對(duì)于市場(chǎng)情況的分析、做出重大決策等等。二是保障企業(yè)信息安全是提高企業(yè)市場(chǎng)競(jìng)爭(zhēng)力的必備條件。隨著市場(chǎng)經(jīng)濟(jì)的不斷完善，企業(yè)面臨的競(jìng)爭(zhēng)也越來(lái)越激烈，在這種形勢(shì)下，企業(yè)要想獲取市場(chǎng)競(jìng)爭(zhēng)優(yōu)勢(shì)就需要依靠信息安全來(lái)實(shí)現(xiàn)。三是企業(yè)信息安全作為企業(yè)發(fā)展戰(zhàn)略中重要的組成部分，而企業(yè)實(shí)施各項(xiàng)戰(zhàn)略主要是通過(guò)自身的經(jīng)營(yíng)活動(dòng)、財(cái)務(wù)信息等開(kāi)展的，這些數(shù)據(jù)也能夠?qū)⑵髽I(yè)的戰(zhàn)略實(shí)施方法以及下一步計(jì)劃詳細(xì)地反應(yīng)出來(lái)，因此，如果企業(yè)的信息安全無(wú)法得到保障，那么企業(yè)要實(shí)施各項(xiàng)戰(zhàn)略難度也很大。

2 網(wǎng)絡(luò)時(shí)代下企業(yè)信息安全風(fēng)險(xiǎn)分析

2.1 缺乏高度的信息安全風(fēng)險(xiǎn)意識(shí)

在網(wǎng)絡(luò)時(shí)代的浪潮下，很多企業(yè)都在逐步加強(qiáng)自身信息安全的建設(shè)，通過(guò)加大資金投入、創(chuàng)新技術(shù)等措施來(lái)保障自身的信息安全，然而，對(duì)信息風(fēng)險(xiǎn)的控制并非僅僅依靠技術(shù)就可以實(shí)現(xiàn)，更重要的是人們要樹(shù)立起信息安全的風(fēng)險(xiǎn)意識(shí)。但是從當(dāng)前來(lái)看，還有很大一部分企業(yè)的領(lǐng)導(dǎo)者、管理者、員工缺乏對(duì)信息安全風(fēng)險(xiǎn)的高度重視，主要表現(xiàn)在：個(gè)別人甚至片面地認(rèn)為信息安全僅僅是網(wǎng)絡(luò)部門(mén)的責(zé)任，跟自身沒(méi)有多大關(guān)系；二是有個(gè)別企業(yè)領(lǐng)導(dǎo)者認(rèn)為對(duì)信息安全的宣傳過(guò)度夸張，遭受網(wǎng)絡(luò)攻擊的概率小，一般不會(huì)發(fā)生在自己身上；三是個(gè)別企業(yè)沒(méi)有建立信息安全風(fēng)險(xiǎn)管理體系，再加上企業(yè)缺乏具體的故障系統(tǒng)，導(dǎo)致企業(yè)信息安全遭到風(fēng)險(xiǎn)時(shí)，員工往往手足無(wú)措，雖說(shuō)有些企業(yè)針對(duì)自身的信息安全制定了一系列規(guī)章和制度，但是由于缺乏針對(duì)性和操作性，導(dǎo)致這些制度無(wú)法得到真正落實(shí)。

2.2 應(yīng)用系統(tǒng)的安全性不高

企業(yè)要實(shí)現(xiàn)信息化建設(shè)的目的，少不了各種應(yīng)用系統(tǒng)作支撐，但是從實(shí)際情況來(lái)看，很多企業(yè)還存在著應(yīng)用系統(tǒng)的安全性不高等問(wèn)題，進(jìn)而導(dǎo)致企業(yè)在數(shù)據(jù)傳輸和存儲(chǔ)等方面存在漏洞。如此容易被一些病毒、惡意軟件竊取，實(shí)現(xiàn)非法訪問(wèn)，進(jìn)而引發(fā)企業(yè)信息丟失或者泄露等安全風(fēng)險(xiǎn)。另外，很多企業(yè)應(yīng)用系統(tǒng)的安全方模式也較為單一，絕大部分主要是采用“口令”的方式進(jìn)行認(rèn)證，無(wú)法實(shí)現(xiàn)對(duì)信息安全全方位的防范。另外，企業(yè)設(shè)置的密碼過(guò)于簡(jiǎn)單、操作不規(guī)范等等都會(huì)增加應(yīng)用系統(tǒng)安全的風(fēng)險(xiǎn)。

2.3 技術(shù)設(shè)備和設(shè)施的作用發(fā)揮不足

個(gè)別企業(yè)為了防范信息安全風(fēng)險(xiǎn)，針對(duì)一些重要信息設(shè)置了安全設(shè)備，但是由于操作條件和參數(shù)設(shè)施不夠合理，無(wú)法將這些設(shè)備的作用充分發(fā)揮出來(lái)。還有很多企業(yè)沒(méi)有通過(guò)建立工作日志來(lái)對(duì)安全設(shè)備、設(shè)施的運(yùn)行情況進(jìn)行監(jiān)控，進(jìn)而不能根據(jù)企業(yè)的經(jīng)營(yíng)情況對(duì)信息安全進(jìn)行風(fēng)險(xiǎn)控制，更無(wú)法采取有效措施保障企業(yè)風(fēng)險(xiǎn)管理。

3 網(wǎng)絡(luò)時(shí)代下控制企業(yè)信息安全風(fēng)險(xiǎn)途徑分析

3.1 加強(qiáng)信息安全教育，提高信息安全風(fēng)險(xiǎn)意識(shí)

由于在企業(yè)信息安全控制中，提高員工的信息安全意識(shí)是保證企業(yè)信息安全的決定性因素，因此，企業(yè)應(yīng)該加強(qiáng)對(duì)員工的信息安全教育，幫助員工樹(shù)立起信息安全風(fēng)險(xiǎn)意識(shí)，例如：企業(yè)可以利用一些重大節(jié)日開(kāi)展關(guān)于信息安全的演講比賽、征文比賽，也可以通過(guò)建立適當(dāng)?shù)募?lì)制度以及開(kāi)展培訓(xùn)活動(dòng)等途徑來(lái)加強(qiáng)員工對(duì)信息安全重要性的認(rèn)識(shí)，進(jìn)而提高自身的信息安全風(fēng)險(xiǎn)防范意識(shí)和觀念。

3.2 加強(qiáng)信息化建設(shè)，設(shè)置信息安全管理部門(mén)

在企業(yè)信息化建設(shè)中，信息安全作為重要的基礎(chǔ)，企業(yè)要強(qiáng)化自身的內(nèi)部控制，就應(yīng)該落實(shí)信息安全的建設(shè)工作。加強(qiáng)信息化建設(shè)首先需要企業(yè)將信息安全納入安全管理范圍內(nèi)，進(jìn)而突出信息安全建設(shè)管理的重要地位；然后不斷健全信息安全的責(zé)任制度，爭(zhēng)取形成信息安全聯(lián)動(dòng)管理機(jī)制，確保信息安全管理的有效性；最后，在企業(yè)中設(shè)置信息安全管理機(jī)構(gòu)，該部分的主要職能為企業(yè)信息安全建設(shè)、管理以及員工的信息安全教育培訓(xùn)工作等，從而為企業(yè)的信息安全風(fēng)險(xiǎn)控制創(chuàng)建一個(gè)良好的內(nèi)部環(huán)境[2]。

3.3 運(yùn)用新技術(shù)，加強(qiáng)信息安全風(fēng)險(xiǎn)防范

當(dāng)前控制信息安全風(fēng)險(xiǎn)常見(jiàn)的主要有VPN技術(shù)和防火墻技術(shù)：（1）VPN技術(shù)。VPN主要指的是在公共網(wǎng)絡(luò)的虛擬專用網(wǎng)絡(luò)中建立一個(gè)臨時(shí)的安全鏈接，在通常情況下，對(duì)VPN內(nèi)部進(jìn)行擴(kuò)展可以實(shí)現(xiàn)遠(yuǎn)程操作，建立一條分公司、商業(yè)合作商和供應(yīng)商跟公司內(nèi)部網(wǎng)絡(luò)安全聯(lián)系，從而確保信息交換的安全性，保證數(shù)據(jù)傳輸?shù)陌踩浴＃?）防火墻技術(shù)。防火墻也被稱為訪問(wèn)控制系統(tǒng)，主要是通過(guò)對(duì)網(wǎng)絡(luò)做拓?fù)浣Y(jié)構(gòu)和服務(wù)類型上的隔離來(lái)保障網(wǎng)絡(luò)安全。運(yùn)用防火墻技術(shù)可以保證企業(yè)的內(nèi)部網(wǎng)絡(luò)免受外部網(wǎng)絡(luò)的侵占，并阻斷非法訪問(wèn)的外部網(wǎng)絡(luò)進(jìn)入企業(yè)內(nèi)部網(wǎng)絡(luò)，保證企業(yè)信息和資源的安全。

4 結(jié)語(yǔ)

總之，網(wǎng)絡(luò)時(shí)代的產(chǎn)生為企業(yè)發(fā)展創(chuàng)造了新的模式和發(fā)展契機(jī)，但與此同時(shí)，企業(yè)的信息安全也面臨著很大的威脅，在很大程度上制約了企業(yè)的可持續(xù)發(fā)展。要實(shí)現(xiàn)對(duì)企業(yè)信息安全風(fēng)險(xiǎn)的控制，首先應(yīng)該找準(zhǔn)企業(yè)信息安全的風(fēng)險(xiǎn)點(diǎn)，然后采取對(duì)應(yīng)措施，如：加強(qiáng)信息安全教育、加強(qiáng)信息化建設(shè)、運(yùn)用新技術(shù)等幾個(gè)方面來(lái)控制信息安全風(fēng)險(xiǎn)。

[1]張征.現(xiàn)代企業(yè)信息安全風(fēng)險(xiǎn)控制研究[J].學(xué)術(shù)討論，2015（4）：74－75.

[2]金黎陽(yáng).企業(yè)信息安全風(fēng)險(xiǎn)分析與控制[J].科技創(chuàng)新論壇，2013（12）：144－145.