企業信息安全現狀分析研究

姜曉榮　張建英

摘 要：在全球信息化背景下，企業對信息資源的依賴程度越來越大， 由此帶來的信息安全問題也日益突出。本文從技術、設備管理、人員管理、法規制度等方面分析了企業在信息安全管理上存在的問題，然后針對這些問題提出了一些改進措施。

關鍵詞：企業；信息安全；信息技術；管理

一、企業信息安全存在的問題

（一）技術方面。企業在信息資源管理過程中，對技術非常依賴。但是現實中，企業相關管理人員對技術的重視程度遠遠不夠。導致經常出現各種各樣的技術問題，如企業網站被黑；企業主機或服務器被外部人員入侵，企業重要信息泄露；技術問題還有軟件開發過程不規范，管理軟件設計有漏洞；企業管理軟件沒有定期更新、升級等。

（二）管理方面。（1）物理設備的管理。企業信息安全管理的設備主要包括中心機房、服務器、網絡設備、線路等方面，此外還有門卡、消防器材等。這些是企業信息安全保障系統的基礎。這些設備受到的威脅主要表現在自然災害、電磁輻射與惡劣工作環境方面。自然災害無法避免。但是大多數企業對這些設備的管理的力度不夠。此外企業對這些設備的防火、防盜意識還較欠缺。（2）人員的管理。1）企業人員安全意識較弱，多數員工使用默認密碼和弱密碼，增加了潛在的風險。也有員工無意泄露企業重要信息的情況發生。對于員工和管理員的操作缺少日志審計。2）企業對于網絡安全隊伍的建設工作積極性不高，認識不到網絡安全所存在的隱患。未明確設置安全管理員、機房管理員、數據庫管理員、網絡管理員、存儲管理員等崗位，崗位職責存在兼任情況。3）許多企業，網絡系統管理人員技術水平達不到所需要求，會直接導致系列操作產生問題，進而使安全漏洞問題愈加嚴重。“入侵者”通常情況下會利用網絡管理的不足，從而攻擊，破壞網絡安全并且獲取有用的信息。他們也會通過改變頁面的數據，進一步使系繁忙或改變重要信息，嚴重的更會導致系統崩潰，造成重大的經濟損失。（3）信息及應用系統的管理。大多數企業沒有對企業信息進行設置保密等級；應用系統業務運行情況方面的數據也沒有及時保存；和應用系統相連的數據庫中的重要表未進行加密處理；主機和數據庫沒有密碼復雜度限制，也沒有定期進行密碼更改，存在弱口令；缺乏對應用系統和數據庫的操作日志的收集和審計。

（三）信息安全文件及制度。通過調查發現，大多數企業沒有完整的信息安全政策性文件。信息安全制度的制定也不規范，沒有建立有效的發布、修訂以及落實情況的管理辦法。

二、企業信息安全的對策

（一）技術方面。（1）安裝正版防護軟件。企業放有重要信息的主機和服務器必須安裝安全防護軟件，如360安全衛士。必須是正版的，因為盜版的服務質量根本得不到有效保障。安裝后定期對計算機進行檢測保護。（2）信息備份。企業應用系統軟件不能確保不出問題，有時也會癱瘓；還有存在被外部人員攻擊的危險，為確保信息的不丟失， 有必要采取技術備份手段， 對重要信息進行定期備份。（3）訪問權限。企業信息種類很多，它們的保密級別也是不一樣的。同時企業的不同人員對信息訪問的權利也是不一樣的，為了使不用用戶訪問不同的信息，可通過技術手段，給不同的信息、應用系統，及不同的人員設置不同的權限。這樣在一定程度上也可保障信息的安全。（4）網絡訪問。在互聯網快速發展的今天，任何一個企業都離不開網絡， 員工需要從網絡中獲取各種信息。然而， 暢通的網絡也給非法分子提供了訪問企業內部信息的通道。為此，有必要采用網絡防火墻技術， 控制內網和外網的訪問。同時應加強對惡意代碼的防范，還要注意數據傳輸過程中的保密。（5）加解密。對企業重要信息進行加密。加密之后的信息，只有擁有密鑰的人才能解密，看到信息的內容。這樣對于沒有訪問權限的人或某些通過網絡截獲傳遞中的密文的非法分子來說，他們是無法看到真正的信息明文，只能得到零散的無用的信息。要注意的是應該對密碼的復雜度進行要求，不能太簡單。

（二）管理方面。（1）人員。企業的信息資產都是通過人來管理和控制的。對人的管理實際是信息安全工作中難度最大的工作，業界有一句話：“在企業中信息安全最大的風險是心懷不測的一些員工可能帶來的風險”。所以我們要加強對員工尤其是掌握企業核心機密的高管進行安全管理。在他們調動離職時進行信息安全審計，以有效減少信息資產非授權的傳遞。此外企業在和客戶、供應商、合作伙伴合作中會涉及信息傳遞，并會產生新的信息。這些信息也需要很好的管理。（2）設備。應該針對機房精密調控、以及對網絡線路制定保養和檢查計劃。對關鍵服務器進行續保。目前有部分弱電線路存在端口號和配線架編號以及到桌面的點位不符的情況，應進行梳理。

（三）安全管理制度的制定及實施。當前企業一要進行日常管理制度，安全管理制度的制定和實施；二是要加強計算機網絡工作者的規范管理，培養安全意識，建立針對黑客攻擊的“快速反應隊”。同時必須進一步加快對高層次的網絡管理人員的相關技能和經驗培訓，以盡早達到網絡安全的目的。

加強法制教育，建立人事檔案管理制度，并進行定期檢查。為了更好的安全性管理，IP地址資源應統一管理和分配。對于IP資源的盜用行為，相關職能管理部門必須予以嚴肅處理。