關于企業信息安全技術相關問題的思考

張婷婷 劉三滿

摘 要 隨著信息時代和網絡時代的來臨，當今時代主要就是信息時代，企業信息系統的安全性顯得尤為重要，信息安全問題會直接影響到企業的發展和生存，必須要加強企業信息安全技術，從根本上保障企業信息的安全性和可靠性。本文主要講述了企業信息安全的重要意義，目前我國企業信息安全的現狀以及提高企業信息安全技術的主要措施。

【關鍵詞】企業信息 現狀 措施

隨著信息技術和網絡技術的快速發展，信息安全問題引起了社會各界的廣泛關注，并且已經成為當今時代十分重要的研究話題。影響企業信息安全的因素諸多，除了網絡本身的開放性之外，內部用戶訪問控制以及用戶身份識別等系統還不夠完善，會給企業信息安全帶來巨大的威脅。信息安全技術主要就是控制數據，保障數據傳輸的安全性和可靠性。

1 企業信息安全的意義

1.1 信息安全是時代發展的需要

隨著計算機網絡的快速發展，不僅改變了人們生活和工作方式，也給企業的商務運行帶來了全新的模式，改變了傳統企業生產和管理模式，進一步推動了我國社會的發展。企業信息安全技術得到了進一步的重視和發展，并且逐漸的與國際先進水平接軌，為企業國際化發展提供了強有力的支持。

1.2 信息安全是企業發展的需要

我國大部分企業積極的引用了信息技術和安全技術，信息技術和網絡技術給企業帶來了諸多優勢，比如生產效率的提高、成本的降低以及業務拓展等優勢。目前企業的信息和數據主要都是以電子文檔的形式保存，對于企業來講，信息安全技術是保障企業信息和數據不收侵害和威脅的基礎保障之一，更是企業生存的保障，所以，必須要提高信息安全技術，避免網絡和信息系統中可能存在的風險，逐步的建立信息安全保障體系，有利于企業的可持續性發展。

1.3 信息安全是企業穩定的必要前提

信息安全是保障企業穩定發展的重要措施，必須要充分的認識到信息安全工作的重要性和長期性，無論是從企業的經濟效益還是企業的穩定發展等角度來考慮，必須要做好信息安全工作，做好基礎性工作，在建立信息安全保障體系的時候，必須要建設良好的網絡環境，重視信息戰略，保障企業的信息化能夠健康發展。

2 企業信息安全的現狀

2.1 企業缺少信息安全管理制度

企業信息安全功過還是一個比較嶄新的領域，相關的法律法規還不夠完善，并且信息安全技術和手段還沒有成熟，進而導致相關規定和標準并不能貫徹執行，安全標準和規范也是比較缺少的，從而并沒有制定科學、合理的信息安全管理制度。企業信息系統安全問題是一項非?？茖W的系統工程，所涉及的范圍比較廣，隨著科學技術的快速發展，信息技術和網絡技術不斷的更新和升級，是不斷發展的動態過程，所以，企業信息系統運行風險和安全必須要定期的進行調整和規劃，才能夠從根本上保障企業信息的安全性和可靠性。

2.2 員工缺少安全管理的責任心

企業信息系統的安全性需要全體人員的參與，信息安全系統中最為重要的因素就是員工，其主要原因就是因為員工們才是企業信息系統的提供者和使用者，員工們能夠直接影響到信息安全系統是否能夠達到預期的要求。在諸多的信息安全問題中，最多的安全事件就是信息泄露時間。其主要泄露原因來源于內部員工，并不是外部黑客的攻擊，給企業帶來巨大經濟損失的主要原因就是因為內部員工有意或者無意的泄露企業的相關信息，但是，目前我國還沒有完善、成熟的系統預防內部員工泄密事件的發生，也是整個信息安全體系中的難點和弱點。

2.3 信息系統缺乏信息安全技術

計算機信息安全技術的本質就是由密碼應用技術、操作系統維護技術、信息安全技術以及數據庫應用技術等各個學科組成的計算機綜合應用學科。但是由于我國計算機技術還有待進一步完善，導致我國技術的發展還存在一定的局限性，在硬件和軟件設計的過程中難免會存在著一些弊端，網絡硬件和軟件系統大多數都需要依靠進口，為企業信息安全帶來了一定的隱患，隨著科學技術的快速發展，黑客已經不在是傳統的破壞底層系統，目前黑客主要是入侵應用，竊取相應的數據，帶著非常顯著的商業性質。隨著網絡技術的普及，針對應用的攻擊越來越多，不僅需要從管理方面來保障企業信息的安全性，還必須要從技術方面給予強力的支持。

2.4 病毒危害

計算機病毒主要就是指編制對計算機程序有破壞性的程序，進而影響計算機的使用并且能夠通過自我不斷的復制來代替計算機指令或者程序代碼，其具有很強的破壞性。隨著網絡技術的快速發展，當今時代的計算機病毒已經泛濫成災，根據相關統計，計算機病毒的種類已經高達4萬多種，并且每年還在快速的增長，病毒隨著計算機網絡技術的發展而傳播速度越來越快，破壞性也就越來越高，給計算機用戶和企業的信息安全帶來了巨大的安全隱患。

2.5 “黑客”攻擊

黑客主要就是指通過技術手段侵入到他人計算機系統的人，黑客破解或者破壞計算機以及網絡系統，導致計算機用戶信息數據的泄露。目前比較常見的黑客手段有后門程序、信息炸彈、網絡監聽以及密碼破解等手段來侵入他人的計算機系統來竊取數據信息，隨著網絡技術和信息技術的快速發展，黑客攻擊已經成為當今時代十分常見的安全問題。

3 企業信息安全改進建議

3.1 技術安全

3.1.1 數字簽名和加密技術

為了能夠預防黑客的入侵，可以在傳統的數字簽名和加密技術的基礎上不斷的完善和創新，進而提高信息安全技術。比如數字簽名技術，可以通過設定數字簽名，用戶在進行操作的時候能夠打上自身獨有的印記，其主要目的就是為了能夠避免其他人擅自修改計算機數據，從而能夠提高計算機的安全系數，預防黑客的攻擊。在設定數字簽名的時候，必須要重視數字證書的獲取渠道，一般主要就是從以下三個渠道來獲取數字證書，即軟件自身所帶的數字證書；商業認證授權機構獲取；內部專門負責認證的安全管理機構處獲取。

3.1.2 入侵防護系統（IPS）

傳統的防火墻主要功能就是拒絕明顯可疑的網絡流量，但是依然能夠允許一些流量通過，所以，傳統的防火墻防護功能并不到位，面對一些入侵攻擊的時候依然無可奈何。大部分IDS系統都是被動的，然而IPS更加傾向于提供主動的防護功能，其主要目的就是預先攔截入侵活動和攻擊性網絡流量，避免給用戶帶來不必要的損失，相比于傳統的防火墻具有更多的防護優勢。IPS主要就是通過網絡流量實現這個功能的，也就是指通過網絡端口接收外部系統的流量來檢測其內是否還有可疑的內容，然后在通過另外一個端口將其送到內容系統中，進而一旦發現可以的數據包就能夠自動的清除掉，避免病毒的入侵，從根本上提高了信息的安全性和保密性。

3.1.3 統一威脅管理（UTM）

根據美國權威企業對統一威脅管理做出了嚴格的定義，即由硬件、軟件以及網絡技術組成的具有專門用途的設備，其主要可以提供一項或者多項的安全功能。它能夠將諸多安全特性集成到一個硬設備里，然后建立一個統一標準的平臺。統一威脅管理的主要功能有網絡防火墻、網絡入侵檢測以及網關防病毒功能。這些功能都是統一威脅管理本身所自帶的功能。另外，統一威脅管理安全設備本身也具有諸多特性，比如安全管理、日志以及服務質量等特點，這些特性主要就是為安全功能服務的。

3.2 錄級安全控制

為了能夠保障企業信息的安全，網絡必須要允許控制用戶對目錄、文件以及設備的訪問。用戶在目錄一級指定的權限對所有文件以及子目錄都是有效的，還應該可以進一步對目錄下的子目錄和文件的權限進行指定。目前比較常見的訪問權限有系統管理員權限、讀權限、創建權限、刪除權限以及存取控制權限等。網絡系統管理人員應該為用戶指定合適的訪問權限，因為這些權限的作用非常大，主要控制了用戶對服務器的訪問。

3.3 網絡監測和鎖定控制

網絡管理人員必須要對網絡進行實時的監控，服務器應該及時的記錄用戶對網絡資源的訪問，尤其是對非法網站訪問的時候，服務器應該以各種方式加以報警，從而引起網絡管理人員的注意。如果黑客試圖侵入網絡的時候，網絡服務器必須要自動記錄企圖進入網絡的次數，如果訪問達到一定數值之后，帳戶將會被自動鎖定。

3.4 提高企業員工的安全意識

無論哪個領域，主體都是人，信息安全方面的主體也是人員，通過人來維護企業的根本利益，所以在建立信息網絡安全體系的時候必須要重視人的因素，做出相應的規范和績效管理。企業員工信息安全意識普遍比較薄弱，企業必須要定期的開展相應的培訓工作，從根本上提高企業員工整體的信息安全意識，并且要有專業的信息安全體系管理人才，才能夠從根本上提高企業信息數據的安全性、可靠性。

隨著信息時代和網絡時代的來臨，企業紛紛引進先進的信息技術和網絡技術，并且成立自身的信息系統和網絡系統來服務于企業運營管理和生產管理工作，信息技術和網絡技術在我國得到了廣泛的普及。但是，隨之而來的信息安全問題日益凸顯，為了能夠保障企業信息數據的安全性和可靠性，必須要不斷的提高信息安全防護技術，做好相應的預防工作，避免各種入侵、盜取信息數據的事件發生，才能夠保障企業的可持續性發展。

參考文獻

[1]袁浩，張金榮.INTERNET接入、網絡安全[M].北京：電子工業出版社，2011.

[2]徐國芹.淺議如何建立企業信息安全體系架構[J].中國高新技術企業，2009（5）.

[3]付沙，企業信息安全策略的研究與探討[J].商場現代化，2007（26）.

[4]姜樺、郭永利，企業信息安全策略研究[J].焦作大學學報，2009（1）.

[5]徐新件，朱健華.關于企業網絡信息安全管理問題研究[J].供電企業管理，2008（2）.

作者單位

山西警官高等專科學校 山西省太原市 030000