張婷婷 劉三滿

摘 要 隨著信息時(shí)代和網(wǎng)絡(luò)時(shí)代的來臨，當(dāng)今時(shí)代主要就是信息時(shí)代，企業(yè)信息系統(tǒng)的安全性顯得尤為重要，信息安全問題會(huì)直接影響到企業(yè)的發(fā)展和生存，必須要加強(qiáng)企業(yè)信息安全技術(shù)，從根本上保障企業(yè)信息的安全性和可靠性。本文主要講述了企業(yè)信息安全的重要意義，目前我國企業(yè)信息安全的現(xiàn)狀以及提高企業(yè)信息安全技術(shù)的主要措施。

【關(guān)鍵詞】企業(yè)信息 現(xiàn)狀 措施

隨著信息技術(shù)和網(wǎng)絡(luò)技術(shù)的快速發(fā)展，信息安全問題引起了社會(huì)各界的廣泛關(guān)注，并且已經(jīng)成為當(dāng)今時(shí)代十分重要的研究話題。影響企業(yè)信息安全的因素諸多，除了網(wǎng)絡(luò)本身的開放性之外，內(nèi)部用戶訪問控制以及用戶身份識(shí)別等系統(tǒng)還不夠完善，會(huì)給企業(yè)信息安全帶來巨大的威脅。信息安全技術(shù)主要就是控制數(shù)據(jù)，保障數(shù)據(jù)傳輸?shù)陌踩院涂煽啃浴?/p>

1 企業(yè)信息安全的意義

1.1 信息安全是時(shí)代發(fā)展的需要

隨著計(jì)算機(jī)網(wǎng)絡(luò)的快速發(fā)展，不僅改變了人們生活和工作方式，也給企業(yè)的商務(wù)運(yùn)行帶來了全新的模式，改變了傳統(tǒng)企業(yè)生產(chǎn)和管理模式，進(jìn)一步推動(dòng)了我國社會(huì)的發(fā)展。企業(yè)信息安全技術(shù)得到了進(jìn)一步的重視和發(fā)展，并且逐漸的與國際先進(jìn)水平接軌，為企業(yè)國際化發(fā)展提供了強(qiáng)有力的支持。

1.2 信息安全是企業(yè)發(fā)展的需要

我國大部分企業(yè)積極的引用了信息技術(shù)和安全技術(shù)，信息技術(shù)和網(wǎng)絡(luò)技術(shù)給企業(yè)帶來了諸多優(yōu)勢，比如生產(chǎn)效率的提高、成本的降低以及業(yè)務(wù)拓展等優(yōu)勢。目前企業(yè)的信息和數(shù)據(jù)主要都是以電子文檔的形式保存，對于企業(yè)來講，信息安全技術(shù)是保障企業(yè)信息和數(shù)據(jù)不收侵害和威脅的基礎(chǔ)保障之一，更是企業(yè)生存的保障，所以，必須要提高信息安全技術(shù)，避免網(wǎng)絡(luò)和信息系統(tǒng)中可能存在的風(fēng)險(xiǎn)，逐步的建立信息安全保障體系，有利于企業(yè)的可持續(xù)性發(fā)展。

1.3 信息安全是企業(yè)穩(wěn)定的必要前提

信息安全是保障企業(yè)穩(wěn)定發(fā)展的重要措施，必須要充分的認(rèn)識(shí)到信息安全工作的重要性和長期性，無論是從企業(yè)的經(jīng)濟(jì)效益還是企業(yè)的穩(wěn)定發(fā)展等角度來考慮，必須要做好信息安全工作，做好基礎(chǔ)性工作，在建立信息安全保障體系的時(shí)候，必須要建設(shè)良好的網(wǎng)絡(luò)環(huán)境，重視信息戰(zhàn)略，保障企業(yè)的信息化能夠健康發(fā)展。

2 企業(yè)信息安全的現(xiàn)狀

2.1 企業(yè)缺少信息安全管理制度

企業(yè)信息安全功過還是一個(gè)比較嶄新的領(lǐng)域，相關(guān)的法律法規(guī)還不夠完善，并且信息安全技術(shù)和手段還沒有成熟，進(jìn)而導(dǎo)致相關(guān)規(guī)定和標(biāo)準(zhǔn)并不能貫徹執(zhí)行，安全標(biāo)準(zhǔn)和規(guī)范也是比較缺少的，從而并沒有制定科學(xué)、合理的信息安全管理制度。企業(yè)信息系統(tǒng)安全問題是一項(xiàng)非常科學(xué)的系統(tǒng)工程，所涉及的范圍比較廣，隨著科學(xué)技術(shù)的快速發(fā)展，信息技術(shù)和網(wǎng)絡(luò)技術(shù)不斷的更新和升級(jí)，是不斷發(fā)展的動(dòng)態(tài)過程，所以，企業(yè)信息系統(tǒng)運(yùn)行風(fēng)險(xiǎn)和安全必須要定期的進(jìn)行調(diào)整和規(guī)劃，才能夠從根本上保障企業(yè)信息的安全性和可靠性。

2.2 員工缺少安全管理的責(zé)任心

企業(yè)信息系統(tǒng)的安全性需要全體人員的參與，信息安全系統(tǒng)中最為重要的因素就是員工，其主要原因就是因?yàn)閱T工們才是企業(yè)信息系統(tǒng)的提供者和使用者，員工們能夠直接影響到信息安全系統(tǒng)是否能夠達(dá)到預(yù)期的要求。在諸多的信息安全問題中，最多的安全事件就是信息泄露時(shí)間。其主要泄露原因來源于內(nèi)部員工，并不是外部黑客的攻擊，給企業(yè)帶來巨大經(jīng)濟(jì)損失的主要原因就是因?yàn)閮?nèi)部員工有意或者無意的泄露企業(yè)的相關(guān)信息，但是，目前我國還沒有完善、成熟的系統(tǒng)預(yù)防內(nèi)部員工泄密事件的發(fā)生，也是整個(gè)信息安全體系中的難點(diǎn)和弱點(diǎn)。

2.3 信息系統(tǒng)缺乏信息安全技術(shù)

計(jì)算機(jī)信息安全技術(shù)的本質(zhì)就是由密碼應(yīng)用技術(shù)、操作系統(tǒng)維護(hù)技術(shù)、信息安全技術(shù)以及數(shù)據(jù)庫應(yīng)用技術(shù)等各個(gè)學(xué)科組成的計(jì)算機(jī)綜合應(yīng)用學(xué)科。但是由于我國計(jì)算機(jī)技術(shù)還有待進(jìn)一步完善，導(dǎo)致我國技術(shù)的發(fā)展還存在一定的局限性，在硬件和軟件設(shè)計(jì)的過程中難免會(huì)存在著一些弊端，網(wǎng)絡(luò)硬件和軟件系統(tǒng)大多數(shù)都需要依靠進(jìn)口，為企業(yè)信息安全帶來了一定的隱患，隨著科學(xué)技術(shù)的快速發(fā)展，黑客已經(jīng)不在是傳統(tǒng)的破壞底層系統(tǒng)，目前黑客主要是入侵應(yīng)用，竊取相應(yīng)的數(shù)據(jù)，帶著非常顯著的商業(yè)性質(zhì)。隨著網(wǎng)絡(luò)技術(shù)的普及，針對應(yīng)用的攻擊越來越多，不僅需要從管理方面來保障企業(yè)信息的安全性，還必須要從技術(shù)方面給予強(qiáng)力的支持。

2.4 病毒危害

計(jì)算機(jī)病毒主要就是指編制對計(jì)算機(jī)程序有破壞性的程序，進(jìn)而影響計(jì)算機(jī)的使用并且能夠通過自我不斷的復(fù)制來代替計(jì)算機(jī)指令或者程序代碼，其具有很強(qiáng)的破壞性。隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展，當(dāng)今時(shí)代的計(jì)算機(jī)病毒已經(jīng)泛濫成災(zāi)，根據(jù)相關(guān)統(tǒng)計(jì)，計(jì)算機(jī)病毒的種類已經(jīng)高達(dá)4萬多種，并且每年還在快速的增長，病毒隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展而傳播速度越來越快，破壞性也就越來越高，給計(jì)算機(jī)用戶和企業(yè)的信息安全帶來了巨大的安全隱患。

2.5 “黑客”攻擊

黑客主要就是指通過技術(shù)手段侵入到他人計(jì)算機(jī)系統(tǒng)的人，黑客破解或者破壞計(jì)算機(jī)以及網(wǎng)絡(luò)系統(tǒng)，導(dǎo)致計(jì)算機(jī)用戶信息數(shù)據(jù)的泄露。目前比較常見的黑客手段有后門程序、信息炸彈、網(wǎng)絡(luò)監(jiān)聽以及密碼破解等手段來侵入他人的計(jì)算機(jī)系統(tǒng)來竊取數(shù)據(jù)信息，隨著網(wǎng)絡(luò)技術(shù)和信息技術(shù)的快速發(fā)展，黑客攻擊已經(jīng)成為當(dāng)今時(shí)代十分常見的安全問題。

3 企業(yè)信息安全改進(jìn)建議

3.1 技術(shù)安全

3.1.1 數(shù)字簽名和加密技術(shù)

為了能夠預(yù)防黑客的入侵，可以在傳統(tǒng)的數(shù)字簽名和加密技術(shù)的基礎(chǔ)上不斷的完善和創(chuàng)新，進(jìn)而提高信息安全技術(shù)。比如數(shù)字簽名技術(shù)，可以通過設(shè)定數(shù)字簽名，用戶在進(jìn)行操作的時(shí)候能夠打上自身獨(dú)有的印記，其主要目的就是為了能夠避免其他人擅自修改計(jì)算機(jī)數(shù)據(jù)，從而能夠提高計(jì)算機(jī)的安全系數(shù)，預(yù)防黑客的攻擊。在設(shè)定數(shù)字簽名的時(shí)候，必須要重視數(shù)字證書的獲取渠道，一般主要就是從以下三個(gè)渠道來獲取數(shù)字證書，即軟件自身所帶的數(shù)字證書；商業(yè)認(rèn)證授權(quán)機(jī)構(gòu)獲??；內(nèi)部專門負(fù)責(zé)認(rèn)證的安全管理機(jī)構(gòu)處獲取。

3.1.2 入侵防護(hù)系統(tǒng)（IPS）

傳統(tǒng)的防火墻主要功能就是拒絕明顯可疑的網(wǎng)絡(luò)流量，但是依然能夠允許一些流量通過，所以，傳統(tǒng)的防火墻防護(hù)功能并不到位，面對一些入侵攻擊的時(shí)候依然無可奈何。大部分IDS系統(tǒng)都是被動(dòng)的，然而IPS更加傾向于提供主動(dòng)的防護(hù)功能，其主要目的就是預(yù)先攔截入侵活動(dòng)和攻擊性網(wǎng)絡(luò)流量，避免給用戶帶來不必要的損失，相比于傳統(tǒng)的防火墻具有更多的防護(hù)優(yōu)勢。IPS主要就是通過網(wǎng)絡(luò)流量實(shí)現(xiàn)這個(gè)功能的，也就是指通過網(wǎng)絡(luò)端口接收外部系統(tǒng)的流量來檢測其內(nèi)是否還有可疑的內(nèi)容，然后在通過另外一個(gè)端口將其送到內(nèi)容系統(tǒng)中，進(jìn)而一旦發(fā)現(xiàn)可以的數(shù)據(jù)包就能夠自動(dòng)的清除掉，避免病毒的入侵，從根本上提高了信息的安全性和保密性。

3.1.3 統(tǒng)一威脅管理（UTM）

根據(jù)美國權(quán)威企業(yè)對統(tǒng)一威脅管理做出了嚴(yán)格的定義，即由硬件、軟件以及網(wǎng)絡(luò)技術(shù)組成的具有專門用途的設(shè)備，其主要可以提供一項(xiàng)或者多項(xiàng)的安全功能。它能夠?qū)⒅T多安全特性集成到一個(gè)硬設(shè)備里，然后建立一個(gè)統(tǒng)一標(biāo)準(zhǔn)的平臺(tái)。統(tǒng)一威脅管理的主要功能有網(wǎng)絡(luò)防火墻、網(wǎng)絡(luò)入侵檢測以及網(wǎng)關(guān)防病毒功能。這些功能都是統(tǒng)一威脅管理本身所自帶的功能。另外，統(tǒng)一威脅管理安全設(shè)備本身也具有諸多特性，比如安全管理、日志以及服務(wù)質(zhì)量等特點(diǎn)，這些特性主要就是為安全功能服務(wù)的。

3.2 錄級(jí)安全控制

為了能夠保障企業(yè)信息的安全，網(wǎng)絡(luò)必須要允許控制用戶對目錄、文件以及設(shè)備的訪問。用戶在目錄一級(jí)指定的權(quán)限對所有文件以及子目錄都是有效的，還應(yīng)該可以進(jìn)一步對目錄下的子目錄和文件的權(quán)限進(jìn)行指定。目前比較常見的訪問權(quán)限有系統(tǒng)管理員權(quán)限、讀權(quán)限、創(chuàng)建權(quán)限、刪除權(quán)限以及存取控制權(quán)限等。網(wǎng)絡(luò)系統(tǒng)管理人員應(yīng)該為用戶指定合適的訪問權(quán)限，因?yàn)檫@些權(quán)限的作用非常大，主要控制了用戶對服務(wù)器的訪問。

3.3 網(wǎng)絡(luò)監(jiān)測和鎖定控制

網(wǎng)絡(luò)管理人員必須要對網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)的監(jiān)控，服務(wù)器應(yīng)該及時(shí)的記錄用戶對網(wǎng)絡(luò)資源的訪問，尤其是對非法網(wǎng)站訪問的時(shí)候，服務(wù)器應(yīng)該以各種方式加以報(bào)警，從而引起網(wǎng)絡(luò)管理人員的注意。如果黑客試圖侵入網(wǎng)絡(luò)的時(shí)候，網(wǎng)絡(luò)服務(wù)器必須要自動(dòng)記錄企圖進(jìn)入網(wǎng)絡(luò)的次數(shù)，如果訪問達(dá)到一定數(shù)值之后，帳戶將會(huì)被自動(dòng)鎖定。

3.4 提高企業(yè)員工的安全意識(shí)

無論哪個(gè)領(lǐng)域，主體都是人，信息安全方面的主體也是人員，通過人來維護(hù)企業(yè)的根本利益，所以在建立信息網(wǎng)絡(luò)安全體系的時(shí)候必須要重視人的因素，做出相應(yīng)的規(guī)范和績效管理。企業(yè)員工信息安全意識(shí)普遍比較薄弱，企業(yè)必須要定期的開展相應(yīng)的培訓(xùn)工作，從根本上提高企業(yè)員工整體的信息安全意識(shí)，并且要有專業(yè)的信息安全體系管理人才，才能夠從根本上提高企業(yè)信息數(shù)據(jù)的安全性、可靠性。

隨著信息時(shí)代和網(wǎng)絡(luò)時(shí)代的來臨，企業(yè)紛紛引進(jìn)先進(jìn)的信息技術(shù)和網(wǎng)絡(luò)技術(shù)，并且成立自身的信息系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)來服務(wù)于企業(yè)運(yùn)營管理和生產(chǎn)管理工作，信息技術(shù)和網(wǎng)絡(luò)技術(shù)在我國得到了廣泛的普及。但是，隨之而來的信息安全問題日益凸顯，為了能夠保障企業(yè)信息數(shù)據(jù)的安全性和可靠性，必須要不斷的提高信息安全防護(hù)技術(shù)，做好相應(yīng)的預(yù)防工作，避免各種入侵、盜取信息數(shù)據(jù)的事件發(fā)生，才能夠保障企業(yè)的可持續(xù)性發(fā)展。

參考文獻(xiàn)

[1]袁浩，張金榮.INTERNET接入、網(wǎng)絡(luò)安全[M].北京：電子工業(yè)出版社，2011.

[2]徐國芹.淺議如何建立企業(yè)信息安全體系架構(gòu)[J].中國高新技術(shù)企業(yè)，2009（5）.

[3]付沙，企業(yè)信息安全策略的研究與探討[J].商場現(xiàn)代化，2007（26）.

[4]姜樺、郭永利，企業(yè)信息安全策略研究[J].焦作大學(xué)學(xué)報(bào)，2009（1）.

[5]徐新件，朱健華.關(guān)于企業(yè)網(wǎng)絡(luò)信息安全管理問題研究[J].供電企業(yè)管理，2008（2）.

作者單位

山西警官高等?？茖W(xué)校 山西省太原市 030000