企業的信息系統安全管理研究

盛領芝

徐州市創業工作指導中心（徐州市人事考試中心） 江蘇 徐州 221018

引言

近年來，隨著信息技術的迅猛發展，信息系統已廣泛應用于企業的日常生產與管理中，為企業的快速發展起到了至關重要的作用。然而，由于企業信息系統內部及管理中存在問題、受到病毒攻擊等原因，企業在應用信息系統時不可避免地會遇到安全問題，從而對企業的生產經營造成負面影響。因此，加強企業的信息系統安全管理是必不可少的。對此，本文從企業信息安全防控的意義入手，分析了存在于其中的問題，并針對這些問題提出了相應的解決措施。

1 企業信息安全防控的意義

目前，企業的信息安全技術已經成為業界研究的熱點。但是，過去關于信息安全的研究往往側重于應用安全、柵格安全、全局安全等多個子領域，缺乏對信息安全一體化架構、信息安全關鍵特性和信息安全管理的深入研究。

企業信息系統的安全不僅關系到企業自身的經濟利益，更關系到企業在市場競爭中的競爭力。因此，加強對企業信息系統的安全防護顯得尤為重要。具體來說，信息系統安全防護包括以下幾個方面[1]：一是保障數據的完整性。企業數據在傳輸過程中必須確保數據的完整性，如傳輸過程中出現信息丟失，會影響數據的準確性；二是保障數據的保密性。由于信息系統需要存儲大量數據，如果這些數據被不法分子竊取、篡改或破壞，會對企業造成嚴重損失；三是保障信息的安全性。在網絡環境下，由于不法分子可以利用網絡傳輸通道進行攻擊，因此，信息系統必須具備一定的防病毒能力和防黑客攻擊能力。企業內部網絡環境相對復雜，存在著很多安全隱患，因此必須建立完善的安全機制和安全管理體系，從而有效地保證企業信息系統能夠安全可靠地運行；四是保障網絡暢通。由于網絡環境復雜，在企業內部進行網絡操作時必須保證網絡暢通。企業進行信息安全防控，能保證企業的重要信息不外泄，重要數據可以作為企業未來決策的基礎。現如今，是信息化的社會，對企業而言，只有做好了信息安全防控工作，才是守住了企業的“生命線”。

2 企業的信息系統安全管理中存在的問題

2.1 系統內部以及管理中存在的問題

2.1.1 系統內部存在漏洞。由于企業內部對信息系統的重視程度不足，使得信息系統安全管理工作不到位，從而使得系統中存在漏洞，黑客可以通過這些漏洞對該信息系統進行攻擊，影響了信息系統的正常運行。此外，正是因為這些系統漏洞的存在，也使得企業的工作人員在實際開展相關工作的過程中，難免會出現工作上的紕漏，一部分重要的數據信息無法進行有效保存，影響了企業重要工作的開展。

2.1.2 缺乏統一的安全管理制度。目前，一些企業雖然建立了相應的安全管理制度，但在實際應用中，這些制度并沒有得到嚴格執行。有的企業雖然制定了安全管理制度，但在實際執行中卻缺乏針對性和有效性，也沒能具體落實到責任人和責任部門。該問題的存在使得企業內部的系統安全管理工作變得十分無序，在出現了問題之后也無法及時得到解決，給企業造成了損失。

2.1.3 缺乏有效的監督與檢查機制。企業內部分人員認為對信息系統進行監管是一件非常麻煩且耗時耗力的事情；而另一些人員則認為只要將企業內計算機和網絡上的病毒及木馬及時清除掉就足夠；還有一些人員認為只要不接觸到涉密數據就不會出現問題等。這些錯誤觀念極大地影響了信息系統安全管理工作的開展，也不利于企業朝著更加規范化、信息化的方向發展。

2.2 系統被人為破壞

系統被人為破壞指的是信息系統遭到外界的惡意攻擊，如病毒、黑客等，使系統功能無法正常運行。這是由于企業信息系統在應用過程中，存在著諸多不安全因素[2]。首先，企業信息系統所采用的操作系統、數據庫及應用軟件等都是由企業自己開發，其安全性無法得到保證。其次，由于信息系統涉及大量的數據和敏感信息，一旦遭到外部人員的入侵和破壞，將會造成嚴重的經濟損失。因此，要加強對企業信息系統的安全管理，就必須建立相應的安全防護體系。

2.3 系統存在很大的制約性

網絡和信息系統是由計算機和網絡組成的，網絡和系統一旦遭受破壞，那么將會造成嚴重的后果。在當今網絡和信息技術快速發展的情況下，網絡病毒不斷出現，而信息系統的安全主要依賴于計算機的軟硬件。計算機中存儲著大量數據，大量的數據如果得不到有效處理，就會對計算機硬件造成損害，也有可能會受到病毒的攻擊。因此，要想有效解決這一問題，就需要研發出一種能夠識別病毒并有效控制病毒傳播的方法，避免病毒對企業的計算機造成毀滅性打擊。而對于企業信息系統來說，系統中存在著大量用戶數據與敏感數據。這些數據是企業運營過程中非常重要的一部分，如果對其進行惡意修改或刪除將會導致嚴重的后果。所以必須要加強信息系統安全管理工作，從而為企業生產經營提供有力保障。

2.4 受到木馬病毒的攻擊

木馬病毒是指一種能夠竊取用戶敏感信息的計算機程序，通過向目標計算機系統發送數據包，或者竊取系統中的文件等方式竊取用戶敏感信息。木馬病毒通常分為兩類，一類是網絡木馬病毒，一類是文件木馬病毒[3]。網絡木馬病毒會對用戶的電腦造成破壞，包括：通過掃描系統漏洞、修改系統密碼、入侵操作系統、獲取用戶賬戶密碼、盜取用戶隱私信息等。文件木馬病毒會破壞電腦中的重要數據，包括：盜取文件，破壞計算機文件，導致電腦運行緩慢或無法正常工作等。木馬病毒還可以通過網絡傳播，傳播后會迅速擴散到整個計算機網絡。企業的信息系統在運行的過程中，如果沒能進行有效保護，是很容易就受到木馬病毒攻擊的，進一步地導致企業的信息泄露，從而使得企業蒙受損失。

3 提升企業的信息系統安全管理效率的措施

企業信息系統安全管理是企業信息化建設的重要組成部分，直接關系到企業的正常生產經營活動，一旦出現信息系統安全問題，將會對企業的生產經營活動帶來嚴重的影響。因此，企業必須重視信息系統安全管理工作，制定出切實可行的安全管理制度和安全管理措施，并進行嚴格的執行和監督。只有這樣才能實現企業信息系統安全管理的目的，使企業生產經營活動順利進行，最終促進企業經濟效益的提升。

3.1 加強對系統的安全管理以及監管力度

在信息系統的安全管理工作中，首先要制定完善的安全管理制度，建立嚴格的操作規范，確保系統的安全運行；其次要制定科學合理的技術保障措施，對信息系統進行有效保護；再次要建立嚴格的信息安全保密制度，對信息資料進行嚴格控制和管理，從而確保企業數據資料的安全性；最后要建立有效的審計機制，對系統進行全面有效的審計，確保系統運行過程中出現的任何問題都能夠得到及時發現和解決。

此外，還需要加強對企業信息系統的監管力度。在政府主管部門的指導下，企業信息系統的建設必須與企業自身發展的需求相適應。在設計開發企業信息系統時，為了確保企業信息系統安全穩定運行，需要做好以下工作：第一，要加強對網絡運行維護人員的培訓，提高其業務素質和能力；第二，要定期進行網絡安全檢查，及時消除安全隱患；第三，要做好信息系統的運行維護工作，建立健全定期檢查制度和預警機制。要充分發揮企業內部審計和社會監督作用，確保信息系統安全、穩定運行。

3.2 建立信息安全密碼

密碼是用戶在登錄、使用網絡資源時必須使用的個人身份識別信息，密碼設置得正確與否直接影響到系統的安全性。然而，目前大多數企業對信息系統的安全性重視程度不夠，信息系統安全密碼設置不規范、不合理，導致用戶在使用信息系統時，經常會遇到很多安全問題，如：不能及時發現和解決自己賬戶密碼的泄露問題，造成自己的賬戶資金損失；對已知的用戶名和密碼缺乏有效的保護措施；密碼設置過于簡單，易被猜測或破解；重置密碼時缺乏有效的安全策略等。

信息安全密碼是企業信息系統安全管理的基礎。企業信息系統密碼的建立是有一定的原則的，主要包括以下幾個方面[4]：第一，設置密碼時，應對用戶名、密碼進行統一管理，并為不同的用戶設置不同的密碼，保證其唯一性。第二，針對企業應用系統中需要訪問控制和訪問記錄的重要數據，應嚴格對其進行加密處理。第三，對關鍵數據進行加密處理，并在其數據傳輸過程中保護其安全性。第四，密碼應定期更換，至少每半年更換一次密碼。為了提高安全性，還可以在系統中設置“超級用戶”權限。

3.3 加強信息安全風險評估

信息系統安全風險評估是一項非常重要的工作，它是企業進行風險管理的重要基礎，對企業信息系統的安全運行和安全保護具有重要意義。信息系統安全風險評估應遵循以下原則：科學性、全面性、客觀性、獨立性和完整性。科學性是指應以客觀事實為基礎，綜合運用多種評估方法；全面性是指應從全局出發，對企業所有系統的安全風險進行全面分析；客觀性是指應以證據為基礎，客觀反映評估對象的實際情況；獨立性和完整性是指評估對象應有明確的安全等級劃分；完整性是指應根據評估對象的特點，完整地、準確地記錄評估過程。企業在進行信息系統安全風險評估時，應該全面考慮信息系統中存在的各種安全風險因素，然后綜合運用多種評估方法進行分析判斷，得出正確的結論，從而提高企業信息系統的安全性。同時，應根據風險評估結果制定相應的對策，降低信息系統的安全風險。通過定期或者不定期對企業的信息系統進行安全評估，能及時地排查其中存在的問題，采取更具針對性的解決舉措來解決，保證企業信息系統的正常運轉。

3.4 建立網絡安全信息系統

信息技術在企業管理中的廣泛應用，使得企業的生產、經營活動變得越來越透明。企業為了提高其生產效率，必須把生產、經營活動置于信息化環境下，以提高管理水平和經濟效益。由于許多企業對信息系統安全沒有足夠的認識，在建設、運行信息系統時就沒有相應的管理機制。在建設過程中，往往只是重視硬件設備的購買、安裝和維護等方面工作，忽視了信息系統安全方面的管理工作。

網絡安全信息系統是一種信息安全保障系統，它通過對網絡系統中的數據進行加密處理，使網絡中的數據具有較強的安全性。在企業網絡中，通常采用防火墻技術實現對網絡數據的防護。防火墻是一種以過濾為主要功能的網絡安全設備，能夠有效地阻止外部非授權用戶訪問內部敏感信息。另外，防火墻還能夠在一定程度上過濾計算機病毒和惡意程序，保護企業網絡免受攻擊和破壞。在企業中建立防火墻，可以實現對外部主機和內部主機之間數據的訪問控制。同時還可以通過計算機病毒掃描技術來發現和清除內部計算機中存在的病毒和惡意程序，從而為企業信息系統提供安全保障。

4 結束語

綜上所述，隨著信息技術的不斷發展，計算機應用已經滲透到社會生活的方方面面，為企業生產經營帶來了便利，同時也對企業的信息系統安全管理提出了更高要求。因此，在企業生產經營中，必須加強對信息系統的安全管理，采取有效措施保護信息系統安全。從以上分析可以看出，信息系統安全問題是一個綜合性的、復雜的工程，要想解決企業的信息系統安全問題，必須要從多方面入手。只有這樣才能有效地降低信息系統所帶來的風險，并保證企業生產經營活動順利開展，為企業創造更多價值。