企業信息安全管理及風險防范策略分析

摘 ?要：文章將以中冶南方都市環保工程技術股份有限公司為例，通過對企業信息安全重要性進行分析，并從漏洞掃描技術、防火墻技術、信息加密技術、病毒庫技術、硬件設備管理水平提升以及信息安全管理風險體系的建設方面著手對有效提高企業信息安全管理和風險防范策略提出粗淺看法，并且在漏洞掃描內容上列出實際工作數據作為輔證，以為信息安全管理工作者提供有效參考建議。

關鍵詞：企業信息化;信息安全管理;風險防范

中圖分類號：TP309 ? ?文獻標識碼：A 文章編號：2096-4706（2020）12-0142-03

Abstract：This article will take China City Environment Protection Engineering Limited Company as an example to analyze the importance of enterprise information security，and from the vulnerability scanning technology，firewall technology，information encryption technology，virus library technology，hardware equipment management level improvement and information security management risk system construction to effectively improve the enterprise information security management and risk prevention strategy，and in the vulnerability scanning content listed the actual work data as supporting evidence to provide effective reference suggestions for information security managers.

Keywords：enterprise information;information security management;risk prevention

0 ?引 ?言

當今隨著企業信息化發展越來越成熟，企業信息化管理模式也越來越大，企業信息化設備和系統、硬件和軟件使用和更新換代也日益頻繁。雖然當前企業非常重視信息安全管理工作，不斷以專業技術手段來構建并完善信息安全管理制度基礎體系的建設，并對內部網絡信息應用系統建設和構建了各種網絡信息防范措施，但黑客技術也在不斷更新發展，網絡病毒層出不窮，加上企業網絡系統結構復雜、系統繁多、應用部門和應用人員繁多等原因，使中冶南方都市環保工程技術股份有限公司信息安全問題受到影響，所以必須得時刻重視提防。下文將根據筆者實際工作經驗，介紹了日常工作中常用的強化信息安全管理的措施，并以漏洞掃描技術為例，來分析與探討有效的企業信息安全風險防范策略。

1 ?企業信息安全管理的重要性

計算機網絡技術在各類企業中得到了越來越廣泛的應用，小到企業員工個人信息、人事資料管理、財務信息管理、檔案資料管理等，大到如航天發射計算機系統、電力自動化系統等。企業信息安全包括物理安全、網絡安全、用戶安全及信息安全等方方面面，從一個源代碼、一個用戶密碼、一個IP地址、一項技術發明到一個項目設計等，如果受到競爭對手利用網絡病毒如木馬病毒、釣魚病毒或者勒索病毒等的攻擊、竊取或篡改，容易造成企業信息系統崩潰，影響正常運行，造成重大經濟損失，以至于嚴重阻滯企業發展，甚至造成企業破產滅亡。

同時，企業中的個人信息，如人事資料、工資信息、財務信息等泄露，一旦被非法分子利用，不但個人信息安全會受到嚴重影響，還會對個人信息保護和財產安全造成難以估量的損失。對于企業個人用戶來說，信息安全意識淡薄或者使用不當也會給自身和企業帶來很大麻煩。如近期有一員工違法企業規定，將工作資料上傳網易網盤，這嚴重違反了企業信息安全管理制度，容易對企業技術信息造成泄露，一旦被競爭對手或者別有用心者利用，將對企業造成不可估量的損害。

2 ?加強企業信息安全管理策略

2.1 ?加強企業信息安全管理制度體系建設

企業應按照《中華人民共和國網絡安全法》，結合企業自身實際情況制定本單位信息安全實施管理制度，構建相應管理框架，成立專門的信息安全管理領導小組，主要覆蓋決策、管理及執行三個層次，并下設信息安全規劃、信息安全監督設計和信息安全運營保障小組，同時企業應設立專門的企業信息安全運營管理經費，使企業信息安全管理、運行及維護等工作有充分保障。同時落實網絡安全監管責任制，明確對端口服務器或者計算機終端采取必要防病毒、防攻擊措施，專機專用，對使用管理情況進行日常監督和全面檢查。

2.2 ?加強信息系統硬件安全建設

企業信息系統包括硬件和軟件兩大基礎板塊構件，其中信息系統硬件主要有計算機、路由器、通訊安全設備等產品，使用者通過網絡交換、Web數據庫、網絡管理、防火墻等技術手段以硬件產品為依托來實現信息系統運行和保障信息系統安全的操作。因此企業應加強在硬件使用安全上的管理和監督。如做到專網專用，不可不同單位計算機互相訪問;專網采取監測、記錄網絡運行狀態、網絡安全事件等技術措施;客戶端和終端開機密碼、使用密碼等不能設置簡單的“123456”此類低端密碼等，通過此類措施，確保企業信息系統硬件管理有據可依，有章可循。同時設置硬件安全使用管理和維護小組，定期派專業技術人員進行檢查維護，對硬件存在的安全隱患問題及時作出科學有效處理，確保信息系統正常運行。

2.3 ?提高軟件系統安全

當前企業信息都是有電腦軟件系統處理，主要使用TCP/IP網絡協議，網絡劃分為內網和外網，采用雙網雙機管理模式。因此做好企業信息安全防護的首要前提是要合理劃分信息網，做好隔離裝置，使外網和內網雙網雙機和諧管理，使邊界主機縱深基本防御得到最大保護。加強對軟件系統開發力度，提高軟件安全性能，不斷提高軟件系統抵御外來病毒攻擊的能力，使其充分發揮保護性能和價值。

3 ?企業信息安全風險防范對策分析

3.1 ?漏洞掃描技術

系統漏洞是計算機安全隱患最常見原因之一，加強漏洞掃描技術開發，通過定時定期對計算機終端、客戶端及服務器等硬件網絡設備掃除排查，對檢測出系統漏洞進行及時修復補丁，及時消除安全隱患。表1為筆者近期所進行的漏洞掃描處理的記錄。將獲得的漏洞掃描結果進行針對性的處理，以此可以提升整體企業計算機的安全系數。

3.2 ?防火墻技術

防火墻主要分為軟件防火墻和硬件防火墻，硬件防火墻技術如NAT、VPN、網絡加密和身份認證等主要應用于路由器和交換機等的硬件。軟件系統防火墻主要作用于網絡與網絡訪問間，形成杜絕非法訪問，控制數據輸出和輸入的屏障。

3.3 ?信息加密技術

主要是通過數學或者物理手段，對電子信息在傳輸過程中和存儲體內進行保護，以防止信息泄露。一般通過計算機密鑰來實現，比如加密軟件常采用硬件加密和加密軟盤等形式來達到信息保密。

3.4 ?病毒庫技術提升

計算機病毒開發越來越多，且逐漸復雜化和高級化，嚴重影響計算機系統安全。如給人體打預防針一樣，信息安全管理工作要加強對病毒的分類，建立自己專門的病毒庫，開發相關防病毒系統，形成完善的數據信息庫，方便分析排查處理，不斷提高自身信息系統病毒防御能力。

3.5 ?不斷提升硬件設備管理水平

在不斷完善軟件系統防御能力的同時，加大對硬件設備的開發提升，對電腦、路由器、服務終端機等硬件設備要不斷提高使用性能和安全性，這樣才能確保硬件和軟件互相配合，保證信息系統正常運行。

3.6 ?科學建設企業信息安全管理風險體系

要想有效提高企業信息安全與風險管理效果，一個重要的前提條件就是建設完善的企業的信息安全管理體系。第一，將企業信息安全風險評估的目標科學確定下來。在設計與建設信息安全管理風險體系時，工作人員必須要對其風險評估目標進行確定，這樣才能對企業信息安全管理的要求與方法進行明確，進而切實圍繞該目標來構建信息安全管理工作制度，更好地定量考核風險控制結果，及時發現信息安全管理中的風險，進而采取有效的應對方法;第二，需要對信息安全風險評估的范圍予以明確。因為企業不同，其所能承受的風險也有所差別，所以，需要結合企業實際情況來采用相應的風險控制方式，同樣也需要結合企業具體能力來確定其信息安全風險承受范圍;第三，需要建設起相應的風險評估管理與實施團隊，企業應當要積極鼓勵個部門參與到信息安全風險控制體系的建設工作當中，只有這樣才能更好地提高信息安全管理的效率與質量。

4 ?結 ?論

當今時代是新技術革命信息時代，計算機信息技術廣泛應用于各大企業，為企業提高工作效率，獲取更大經濟效益提供了堅實的技術保障。信息安全管理工作的復雜性、重要性及系統性應引起企業管理者的重視，在著力發展企業同時，要兼顧企業信息安全管理工作，提高風險防范意識，有效解決企業信息安全管理問題，全面提升企業信息安全管理工作水平，保證企業安全性和穩定性，促進企業健康良性發展。

參考文獻：

[1] 王乃盈.試析企業信息安全管理及風險防范策略 [J].中國新通信，2018，20（10）：165.

[2] 王穎波.試析企業信息安全管理及風險防范策略 [J].數字化用戶，2018，24（38）：136.

[3] 溫勃.大數據時代企業信息安全管理體系研究 [J].中國新通信，2018，20（10）：164.

[4] 魏凱琳，高啟耀.大數據供應鏈時代企業信息安全的公共治理 [J].云南社會科學，2018（1）：50-56.

作者簡介：戴延軍（1983.10—），男，漢族，湖北鄂州人，信息開發部副主任，高級工程師，碩士，研究方向：企業信息化、信息安全。