淺談企業信息安全問題與對策

摘要：加強企業信息安全對企業具有重要的作用，它是維持企業核心競爭力、企業科學制定決策、保證信息可用性的需要。但是由于企業重視程度和認識的不足以及缺少有效的信息管理制度和信息安全技術，企業信息安全問題頻發，給企業帶來巨大的損失。企業必須從提高企業領導和員工的重視程度、建立完善的信息安全管理體系、提高企業信息安全技術三個方面采取對策，加強信息安全管理。

關鍵詞：企業信息安全；信息安全技術；內部管理；信息技術；企業管理 文獻標識碼：A

中圖分類號：F270 文章編號：1009-2374（2015）03-0162-02 DOI：10.13535/j.cnki.11-4406/n.2015.0270

信息技術的應用為企業管理和運營帶來了極大的便利，而且隨著信息技術在企業中的應用程度越來越高，信息系統在企業管理中發揮的作用也越來越大。但是，企業在享受信息技術帶來便利的同時，企業也面臨著信息安全的問題。在網絡環境下，企業信息系統存在來自物理環境、網絡環境和人文環境等多個方面對信息安全產生的威脅。根據有關統計，我國半數以上的企業遭受信息攻擊而出現信息泄漏，給企業帶來經濟損失。尤其是中小企業，它們面臨的信息安全問題更加嚴重。因此，加強企業信息安全管理、保障信息安全，是企業必須重視且亟需解決的問題。

1 加強信息安全管理對企業的重要性

1.1 維持企業核心競爭力的需求

每個企業或多或少都存在機密的商業信息數據，如核心產品、設計文檔、用戶信用卡信息、訂單信息、聯系方式等。在市場化程度不斷提高的環境下，這些信息是企業發展的命脈，關系到企業生死存亡。一旦企業的核心機密信息被泄漏，企業不僅會面臨巨大的經濟損失，企業可能因失去核心競爭力而失去市場。

1.2 企業制定科學決策的需求

企業制定決策嚴重依賴企業的各項數據，如果數據出現錯誤，會導致企業制定錯誤的決策，影響企業發展方向。而加強信息安全管理可以保障企業信息數據的真實性和完整性，為企業制定決策提供科學的參考和分析材料。

1.3 保證信息可用性的需要

企業的數據信息不僅是企業決策層制定決策的科學依據，也是企業其他職工開展工作的依據。加強企業信息安全管理工作可以防止因數據丟失引起的人員、流程、

技術服務中斷，確保企業的關鍵系統得以正常運行。

2 企業信息安全出現問題的原因分析

2.1 重視程度和認識不足

當前許多企業的管理人員對信息管理沒有形成正確的認識，對信息安全的認識普遍不夠重視。具體表現在：企業管理人員關于信息安全管理的模式為事后管理，只有信息安全出現事故后才會采取措施解決問題，并沒有主動采取預防措施。部分企業的管理人員對信息安全存在僥幸心理，認為企業可能不會遭受病毒攻擊。重視程度不夠造成企業不重視加強信息安全管理措施，導致信息安全面臨威脅。

另外，企業員工也存在認識不足的問題。由于企業絕大多數員工是信息系統及信息的使用者和提供者，因而企業員工對企業信息安全與否有巨大的影響，企業信息安全管理也需要企業所有員工的參與。但是，從許多企業的信息安全事故可以看到，多數企業出現信息安全的主要原因不是來自網絡黑客的惡意攻擊，而在于企業內部員工在有意或無意識狀態下造成的信息泄漏。這一原因也反映出企業員工對企業信息安全的認識和意識都存在不足，這也是企業信息安全保障系統問題的主要

方面。

2.2 缺少有效的信息管理制度

信息管理屬于比較新的領域，當前政府在信息安全管理方面的法律法規并不完善，現有法律法規的安全技術和手段不成熟，缺少標準規范，政府無法根據現有法律法規制定合理的安全策略，保障法律法規可以得到有效的落實。在企業方面，尤其信息安全管理屬于系統性統稱，它涉及計算機技術、網絡技術、信息管理等多個方面。然而計算機和網絡技術處于不斷發展狀態，信息系統也需要不斷升級換代。因此，企業信息系統運行風險和安全需求應采取同期化管理方式，不斷調整現有安全策略。而企業制定管理措施后以為可以一勞永逸，并沒有在隨后不斷調整安全管理策略。

2.3 缺少信息安全技術

計算機信息技術包括信息安全技術、數據恢復技術、系統維護技術、數據庫應用技術等多項技術組成的計算機綜合應用學科。由于技術發展的局限，在設計硬件和軟件過程中難免存在技術缺陷，導致軟硬件存在漏洞。從企業信息遭受的外界攻擊來看，外界攻擊的目的并不在于破壞軟硬件的底層系統，而是通過軟硬件的漏洞侵入系統，竊取企業的核心數據。企業自身對信息安全投入不足，企業的網絡結構簡單，為他人提供了可乘之機；企業也沒有強大的計算人才隊伍維護企業信息系統，部分企業甚至缺少專業的管理人員，致使信息安全頻發。

3 加強企業信息安全的對策

3.1 提高企業領導和員工的重視程度

首先，企業領導要轉變觀念，深入對信息安全的認識。其次，對企業員工而言，企業可以聘請專業計算機信息技術人才對企業員工進行安全教育培訓，提高企業員工對信息安全的認識，轉變職工的觀念，加強自身安全規范，避免出現泄漏企業信息的行為。另外，企業要制定企業人員信息安全行為規范，如獎勵和懲罰制度、信息安全責任制度，明確信息安全管理責任人及其承擔的責任，強化員工的安全意識。加大企業對信息安全的投入，一方面加大信息安全軟硬件的投入，信息系統的技術水平；另一方面加大信息安全技術人才隊伍建設，企業可通過培養或招聘方式提升信息安全管理隊伍的業務水平。

3.2 建立完善的信息安全管理體系

企業信息安全管理體系包括完善的組織體系、信息安全規范、信息安全管理流程。組織體系包括制定和發布信息安全管理規范、信息安全管理組織工作兩項內容，可以有效保障各項信息安全管理措施能夠得到有效的落實，促進企業不斷改進信息安全體系。信息安全規范的主要內容為對各種信息安全策略加以詳細說明和介紹，它的存在最大限度地減少人為因素對企業信息安全造成的威脅。企業信息安全管理流程需要企業根據科學的信息資產評估和分先分析模型法設計系統安全模型，再以此為根據制定和實施科學的安全策略。企業選擇可靠的信息安全產品，在安全策略要求下采取安全防范措施。由于技術和設備處于不斷的變化和更新狀態，企業的發展情況也不同，這要求企業建立安全防范體系后還需要重視信息安全管理，并根據網絡信息和網絡安全特點及時更新安全防范體系，實現安全防范體系動態

發展。

3.3 提高企業信息安全技術

制定完善的信息安全管理體系后，還需依靠高水平信息技術發揮管理體系的作用。由于當前對企業信息安全產生威脅的技術較多，防止信息安全漏洞的技術也較多。但是，企業必須做好驗證與授權、預防和抵制、檢測和響應三個技術領域，再選擇有效的安全防御技術。驗證與授權分別是驗證用戶身份和決定用戶訪問權的方法，當系統確定用戶身份后可以明確用戶的訪問權限，用戶才能使用自己的賬號和密碼訪問權限范圍內的信息。預防和抵抗是通過過濾、加密和防火墻等措施防止非法入侵系統并訪問企業信息，它是企業必須加強的安全防御環節。監測和相應是企業信息安全的最后防線，殺毒軟件是常用的探測和反應技術。

4 結語

總而言之，企業信息安全必須立足于企業信息安全內部管理和信息安全技術兩個方面，二者缺一不可。企業要以信息安全技術為支撐，完善內部管理體系和制度建設，加強監督和管理。同時做好企業職工的信息安全教育，提高職工的意識。從企業領導到企業職工、從技術到管理，全方面做好信息安全管理，保障信息安全。

參考文獻

[1] 耿家觀.企業信息安全問題與對策分析[J].網絡與信息，2012，（7）.

[2] 李國強.網絡環境下企業信息安全隱患與防范策略

[J].網絡財富，2010，（15）.

[3] 楊福生.網絡環境下企業信息安全管理對策[J].中外企業家，2013，（20）.

[4] 原黎.探析企業信息安全問題的成因及對策[J].現代工業經濟和信息化，2011，（8）.

作者簡介：楊飛（1978-），男，江西高安人，廣東電網有限責任公司佛山供電局工程師，研究方向：網絡與信息

安全。

（責任編輯：蔣建華）