淺析企業信息安全

戴晨昱

（中國移動通信集團廣東有限公司，廣東 廣州 510623）

當前，信息化浪潮席卷全球，互聯網科技的影響遍及了社會的各個領域，網絡環境的安全與否直接決定了信息發展的未來，也逐漸引起了國民的關注。在企業的層面上看，信息化的到來雖然推動了企業的向前發展，但是也帶來了一系列的風險，最典型的就是重要數據信息的丟失、數據傳輸的中斷、機密信息的泄露等，這些對于企業的發展都是極為不利的。在互聯網的大背景下，企業必須要做好以下幾點工作，加大信息安全監督力度、網絡信息管控力度，確保重要信息的完整性。

1 企業信息安全風險分析

在當前每一個現代化企業中，都會用到計算機信息系統，該系統無論是在企業的日常生產上，還是在經營管理上都體現著其獨有的價值。因此，如果該系統受到入侵，則重要數據信息即使沒有丟失，也必然會遭到破壞，運行自然無法進行。進一步來看，這都將給企業的管理和經濟效益帶來不利影響。

信息安全風險與其應用是緊密相關的，同時，與其使用到的技術也有一定的聯系。經過分析發現，企業信息系統一般會遇到以下幾種風險。

1.1 計算機病毒的威脅

經過對大量案例進行剖析發現，在所有信息安全問題中，計算機病毒為主因引發的問題最多，其影響范圍巨大，由此帶來的破壞和經濟效益上的損失也是最大的。由于病毒的存在，使得系統內的通信受到阻礙，相關數據信息被破壞，正常的業務也無法開展。如果是系統內部存儲多年的數據被損壞，則無論對于研究者還是企業而言，無疑是滅頂之災。

1.2 網絡安全問題

一旦實現企業之間網絡的聯通，則其相互之間的信息交互就變得尤為便利。當前企業內部幾乎都是以光纖聯網，公司內的員工都是利用網路來獲取信息、相互交流。在這種情況下，如何實現網絡的安全防衛、確保內部信息資料的安全、正確地使用互聯網，都是當前討論的熱門話題，也是企業在發展歷程中不得不面對的問題。

1.3 信息傳遞的安全

隨著信息化安全技術的飛速發展，各種功能的信息系統得到研發并投入使用，每個企業內部都紛紛搭建屬于自己的信息網絡平臺，并通過這些內部局域網來保證自身重要信息的安全性。

1.4 用戶身份認證和信息系統的訪問控制

在企業內部建立的信息系統都是有針對范圍的，這樣做的目的就是為了將特定的信息帶給對應的用戶，由于這種功能的限制，使得其他用戶在沒有授權的情況下是根本無法進行訪問的。鑒于此，各大信息系統都搭建了自身的用戶管理平臺，在系統中開放部分用戶窗口，同時，對沒有授權的用戶進行攔截，管控著用戶的進出口。總的來看，這種方法確實增強了系統的安全性能，但是轉而一想，其面臨的問題依舊是有的：①一些用戶管理系統內部的權限設置太過簡單，不能在細節上進行明確劃分；②各大系統沒有統一管理，如果一個企業內部的員工要同時使用多個系統，則要進行多次登錄，這也就意味著其要不停地輸入賬號、密碼，這為用戶的使用帶來了阻礙，這在管理上也是一個很大的問題。因此，如何在新系統中實現統一的身份認證，是研發人員必須要解決的重大問題。

2 解決信息安全問題的思路和方法

企業的信息安全問題是一個復雜、多層次、綜合性問題，解決這個問題必須要從多方面著手，相互協調、共同發力。

2.1 加強法制建設

一個企業要想在市場上立足，就必須要擁有屬于自己的核心科技，因此，這些相關的文件資源就是一個企業的命門所在，這不僅關系到企業的未來，同時還反映外部市場的競爭環境，所以，相關部門必須要在制度上來著手保證，為企業的權益訴求提供依靠。在企業層面上來看，其自身也需要增強法律意識，要學會利用正確的手段維護自身的合法權利。

2.2 從技術手段入手保證網絡安全

如果要對網絡安全下一個定義，則就是在網絡信息系統中，在互聯網運行和交互的基礎上，引發的線路連接安全、系統運行安全、操作行為安全、員工管理安全等。我們必須要認識到，網絡是一個開放性的工具，因此，其各方面可能面對的安全風險也是不可避免的。這一點我們必須要有明確的認知，只有承認不存在絕對安全的網絡，我們接下來的探討才有意義。由于安全風險是確實存在的，因此，必須要借助軟、硬件設施以及相關管理策略確保信息系統的安全性，盡可能地降低安全風險，對于可能出現的安全問題，也要有一定的認知，還需要做好相關應對方案。一旦出現對系統的入侵，就需要在第一時間反應，并進行攔截動作。在入侵結束之后，需要及時對漏洞進行修補，對問題進行總結，加強薄弱環節，抵御下一次的入侵。

2.3 建立健全企業信息安全管理制度

不難認識到，無論是何種信息系統，他們的安全在大部分程度上都是由系統最初的安全與管理策略決定的。究其原因，之后所有的安全舉措都是在此基礎上進行的，由此可見，如果安全管理策略出現問題，則安全系統就是形同虛設。與此同時，在宏觀上來看，要想有一個良好的網路信息系統，就必須要建立一個健全的管理體系。對于網絡信息系統安全部分而言，技術與安全工具都是不必要手段，如果沒有健全的安全管理制度作支撐，其將變得毫無意義。

在國家層面上來看，由于社會逐漸意識到信息安全的重要性，因此，國家在短時間內相繼發布了大量法律法規，并且還設立了專門的職能部門進行落實。企業要想在市場上運營，就必須要嚴格遵守這些法律法規，不僅如此，企業還應該在此基礎上建立自己的管理制度與技術指標，以此保障自身的安全業務。積極引入國際上最先進的相關標準，增強企業的安全管理水平。不可否認的是，國際上的信息管理水平是遠高于國內的，畢竟在這些技術上他們是研發者，也是當前的領跑者，很多成熟的經驗和成就都是值得我們學習和利用的，在這些專業的指引下，國內的信息安全管理之路必然會走得更加穩健。信息安全工作是企業必須要長期執行的，因此，各單位必須要引起足夠的重視，建立完善的制度系統與相應機構，明確責任制度，將責任分工細化到每一個人，以此來確保信息安全工作長期、高效開展。

2.4 充分利用企業網絡條件

當前大多企業都是借助廣域網平臺，接通多個體系內的二級單位，局域網平臺基本全部完成，這是極為優越的網絡環境。在這種大的背景下，總公司的一級信息安全管理部門更是應該增強安全平臺技術，及時更新相關規定與技術標準，第一時間刊登安全公告，以及發布其他重要信息，甚至是回答用戶的提問，提供在線解析功能，搭建交互平臺。這是一次跨時間、跨地域、跨維度的信息革命，它帶來的將是安全管理與服務上的重大革新。

2.5 定期評估，不斷改進、完善

總的來看，企業對于信息化的渴求程度是隨著企業的進步而不斷提升的，其中信息技術的更新更是與時俱進。安全防護軟件系統是一個綜合性極高的系統，所以，在研發過程中經常會出現各種問題，這就使得其防御網顯得并不是那么無堅不摧。企業對于安全的需求總是根據外部情況而不斷變化的，各種安全問題會不斷出現，單一的防護系統是不可能滿足實際需求的，這就意味著信息安全是一個不斷變化的，與時俱進的動態流程，這就需要定期進行安全評估，實時根據其中存在的問題調整。

必須要認識到，并不是所有的信息安全問題的解決都能夠一蹴而就，人們對它的認知是隨著技術的進步而逐步提升的，要想發現并解決所有的問題是不現實的。即使是專業的信息安全生產廠家，他們在做安全產品時，也只是實現了其中一部分的需求。換句話說，并不是企業有了一個安全需求，市場就能夠立刻給出對應的安全產品。所以，并不是所有安全問題都有對應的處理措施。

3 結束語

總而言之，企業信息安全是一個綜合性極強的系統工程，其不僅涉及技術與硬件設備，還涵蓋管理與制度等領域，要想制訂有效的安全解決方案，就必須要對全局有明確的認知。信息安全解決方案內含多種計算機網絡信息系統安全技術，其實現了安全操作技術、防火墻技術與安全掃描技術等協調配合、綜合應用。管理和技術是實現信息安全的兩個關鍵點，安全技術需要對應安全措施，還需要加強制度建設，制訂安全標準。對于企業長期發展而言，信息化建設中的信息安全是一個永恒話題。