謝志宏
摘 要:當今社會已步入知識經濟(信息經濟)時代,因此企業(yè)信息化建設中信息安全必須得到保證。本文從企業(yè)信息化建設的意義、企業(yè)信息化建設中的安全問題、企業(yè)信息化安全問題的原因、企業(yè)信息化建設中實現(xiàn)信息安全的措施四方面展開。
關鍵詞:企業(yè)信息化建設;信息安全問題
企業(yè)信息化建設已成為企業(yè)建設的重要組成部分。通過企業(yè)信息化建設,企業(yè)的生產和流通可以更好地運行;在互聯(lián)網(wǎng)的作用下,形成企業(yè)現(xiàn)代化的發(fā)展模式、途徑。然而企業(yè)信息化建設并非處在一個沒有任何干擾其發(fā)展的環(huán)境中,其發(fā)展受到了多方面的束縛(比如內部認知,信息系統(tǒng)支撐以及管理等方面的問題);并且存在信息安全問題,如黑客、病毒等的入侵。如果這些信息安全問題較為嚴重,不但不利于企業(yè)信息化的建設,更有可能對企業(yè)的現(xiàn)代化發(fā)展造成不利的影響。
一、企業(yè)信息化建設的意義
企業(yè)信息化建設具有可觀的經濟價值,通過信息化企業(yè)的生產效率將大大提高,特別是在提升企業(yè)生產力水平方面,信息化將會發(fā)揮巨大的作用,信息化是形成了企業(yè)經濟優(yōu)勢與競爭優(yōu)勢的重要手段。企業(yè)信息化建設具有不菲的管理價值,企業(yè)通過信息化建設能夠使管理更具針對性、更有效率,使企業(yè)的管理更加符合時代發(fā)展的需要。企業(yè)信息化建設具有很大的社會價值,通過單個企業(yè)的信息化建設帶動整個的社會信息化建設,藉此使得社會的科技水平得以迅速提升,在和諧社會的創(chuàng)建中起到了重要的作用,擁有了無可取代的地位。
二、企業(yè)信息化建設中的安全問題
(一)風險與攻擊。任何企業(yè)的信息系統(tǒng)都存在一定的風險性。一般地說來,主要風險是(被)攻擊,主要(被)攻擊方式有以下四種:(1)中斷,主要包括惡意破壞硬盤、通信線路或某些文件系統(tǒng)。(2)截獲,主要是違法復制文件或數(shù)據(jù),通過網(wǎng)絡竊聽或截取數(shù)據(jù)。(3)篡改,主要是非法改變消息內容、數(shù)據(jù)以及程序內容。(4)偽造,這種攻擊方式主要是指非法偽造文件、消息或是增加記錄等。
(二)漏洞問題。(1)軟件漏洞。如果軟件中存在安全漏洞,將有可能導致不法人員利用這些漏洞攻擊企業(yè)的信息系統(tǒng)。(2)協(xié)議漏洞。由于開放式的TCP/IP網(wǎng)絡協(xié)議在最初設計之時,并未充分考慮到網(wǎng)絡受到人為因素的影響從而導致信息傳輸受到安全威脅,因此TCP/IP協(xié)議在安全機制方面存在很多漏洞,某些攻擊者完全能夠利用這些漏洞來達到攻擊企業(yè)信息系統(tǒng)的非法目的,主要是通過地址欺騙、地址假冒等方式。
(三)Web服務安全問題。(1)Web服務器端。服務器端存在被竊取保密信息的危險,非法分子能夠通過在Web主機上執(zhí)行命令而去修改企業(yè)信息系統(tǒng)相關信息的犯罪目的。(2)瀏覽器客戶端。不法人員通過執(zhí)行程序破壞瀏覽器的方式破壞用戶系統(tǒng),從而達到竊取用戶機密信息與數(shù)據(jù)的目的,嚴重地危害了用戶的信息安全。
(四)電子郵件安全問題。(1)電子郵件病毒,電子郵件內藏有病毒,在瀏覽郵件時或下載附件的時潛伏到電腦中,立即或擇機發(fā)作;(2)機密信息泄露,由于電子郵件的發(fā)送要經過許多不同路由器的轉發(fā),直到最終發(fā)送到接收主機,在這一過程中攻擊者能夠將電子郵件截取并從中獲得用戶的機密信息;(3)垃圾郵件,不法人員通過發(fā)送垃圾郵件大量耗費收件人的時間和精力,并有可能造成接收端郵件服務器阻塞;(4)電子郵件炸彈,不法分子通過某些郵件軟件將大量的電子郵件寄給同一接受者,導致接收者的郵箱堵塞,嚴重時還會造成網(wǎng)絡癱瘓。
三、企業(yè)信息化安全問題的原因
(一)企業(yè)信息化安全問題的內部原因。(1)企業(yè)對于信息系統(tǒng)安全的重視不夠。企業(yè)對信息系統(tǒng)安全的認識不足,特別是對企業(yè)信息化建設的價值沒有一個正確的定位,因此造成了對企業(yè)信息安全建設不重視的現(xiàn)象,這是導致企業(yè)信息化安全問題的一大原因。(2)安全管理上存在問題。信息安全管理是企業(yè)信息化的基礎保證,信息系統(tǒng)的管理以及信息安全體系的維護與升級均需要有專業(yè)人員負責。但是由于企業(yè)信息化投入不足或尚未成熟和完善,管理上存在人才缺口、安全管理機制不健全等現(xiàn)象,從而使企業(yè)信息化安全水平受到很大影響。(3)我國安全技術仍就比較落后。當前國內適用于企業(yè)信息化建設的軟件在質量和數(shù)量上都存在一定的問題,特別信息安全技術與與國外先進水平仍有較大差距。這種差距的存在使得企業(yè)信息化系統(tǒng)極易受到病毒或黑客的侵擾,最終可能導致企業(yè)信息系統(tǒng)不能健康、良好的運行,影響到了企業(yè)信息安全。(4)操作上存在問題。相對于工業(yè)自動化而言企業(yè)信息化是一個比較新的概念,企業(yè)往往比較注重信息化成果的獲取,而對于信息安全管理中操作人員水平或是人員數(shù)量容易忽視,這很可能直接導致企業(yè)信息化建設過程中出現(xiàn)操作問題,進而導致企業(yè)信息化出現(xiàn)安全隱患。(5)法律法規(guī)不健全。企業(yè)信息化乃至整個網(wǎng)絡信息安全保護的法律法規(guī)仍處于起步階段,很多內容屬于范圍性政策,真正意義上具有法律約束力的不多。法律法規(guī)并不能形成對具體事件的控制與約束,難于發(fā)揮法律法規(guī)應有的指導作用,企業(yè)信息安全目前還得不到法律法規(guī)上強有力的支撐,很大程度上也降低了企業(yè)進行信息安全建設的主動性。
(二)企業(yè)信息化安全問題的外部原因。企業(yè)信息系統(tǒng)大量的安全威脅源自于企業(yè)外部。當今社會不斷發(fā)展,網(wǎng)絡應用也越來越普及,信息在市場競爭中所占據(jù)的位置也越來越重要。許多不法分子也正是看到了這一點,于是利用一些非法手段攻擊企業(yè)的信息系統(tǒng),從中盜取重要信息進而為自己謀求利益;更有甚者,某些企業(yè)為了達到打敗競爭對手的目的,指使企業(yè)內部人員或雇傭企業(yè)外部人員,采取各種手段獲取對方的重要信息;企業(yè)外部信息安全威脅,當然也涉及到了上面所講到的法律法規(guī)不健全的問題。
四、企業(yè)信息化建設中實現(xiàn)信息安全的措施
當今社會已經進入了信息時代,信息對一個企業(yè)的良性、長足發(fā)展無疑是至關重要的,然而企業(yè)信息系統(tǒng)安全問題成為當前企業(yè)發(fā)展過程中一個不得不面對的重大問題。確保企業(yè)信息安全指的是采取有效措施保護信息資產,使之不因偶然或惡意侵犯而遭受破壞、篡改及泄露,保證信息系統(tǒng)能夠連續(xù)、可靠、正常地運行,使安全事件對業(yè)務造成的影響降低到最小,確保業(yè)務運行的連續(xù)性。必須做到以下四個方面。
(一) 樹立正確的安全意識。企業(yè)內部上至董事會下到每個員工都應該樹立正確的安全意識,不得對外泄露任何企業(yè)機密信息;必須充分認識到信息安全的重要性,才能保證企業(yè)各項工作正常、有序進行。
(二)加強企業(yè)內部信息系統(tǒng)管理。建立一整套系統(tǒng)的安全評估、管理機制,只有對企業(yè)信息系統(tǒng)所存在的安全風險進行正確的評估,成功預測安全風險對企業(yè)可能造成的不利影響程度,才能制定出合適的對策并加以整改;建立規(guī)范合理的信息安全管理體制,使企業(yè)在面臨安全問題時能夠及時、準確地做出響應并予以解決,成為企業(yè)信息安全的堅實后盾。
(三)加強企業(yè)內部專業(yè)人才隊伍建設。保障企業(yè)信息安
全,必須依靠管理和技術,其中起決定性困素的還是人才!同等條件下,高水的專業(yè)人才所完成的工作效果與其他人完成的存在明顯區(qū)別。因此必須在企業(yè)內部建立一支高水平、高技能和比較穩(wěn)定的信息安全管理專業(yè)隊伍,在信息安全知識和技能領域不斷加以培訓,并借助企業(yè)外部信息安全專業(yè)機構的力量不斷提高專業(yè)能力和企業(yè)信息安全保護能力。
(四)選擇先進的安全防護技術。盡管任何系統(tǒng)都會有破解之法,只是存在時間長短和難度大小的問題。但是選擇較為先進的安全防護技術,就等于為企業(yè)加設了一層比較好的屏障,使得企業(yè)受到同樣攻擊時體現(xiàn)出較強的防護能力,贏得應對和解決安全問題的時機。從而保障企業(yè)信息化建設和應用,促進企業(yè)健康發(fā)展。
參考文獻:
[1] 辛玉紅. 企業(yè)信息化建設中的信息安全問題[J]. 現(xiàn)代情報,
2004,11:205-208.
[2] 秦海峰. 企業(yè)信息化建設中信息安全問題的分析研究[J]. 中國信息界,2012,05:61-62.