摘要：加強(qiáng)企業(yè)信息安全對(duì)企業(yè)具有重要的作用，它是維持企業(yè)核心競(jìng)爭(zhēng)力、企業(yè)科學(xué)制定決策、保證信息可用性的需要。但是由于企業(yè)重視程度和認(rèn)識(shí)的不足以及缺少有效的信息管理制度和信息安全技術(shù)，企業(yè)信息安全問題頻發(fā)，給企業(yè)帶來巨大的損失。企業(yè)必須從提高企業(yè)領(lǐng)導(dǎo)和員工的重視程度、建立完善的信息安全管理體系、提高企業(yè)信息安全技術(shù)三個(gè)方面采取對(duì)策，加強(qiáng)信息安全管理。

關(guān)鍵詞：企業(yè)信息安全；信息安全技術(shù)；內(nèi)部管理；信息技術(shù)；企業(yè)管理 文獻(xiàn)標(biāo)識(shí)碼：A

中圖分類號(hào)：F270 文章編號(hào)：1009-2374（2015）03-0162-02 DOI：10.13535/j.cnki.11-4406/n.2015.0270

信息技術(shù)的應(yīng)用為企業(yè)管理和運(yùn)營(yíng)帶來了極大的便利，而且隨著信息技術(shù)在企業(yè)中的應(yīng)用程度越來越高，信息系統(tǒng)在企業(yè)管理中發(fā)揮的作用也越來越大。但是，企業(yè)在享受信息技術(shù)帶來便利的同時(shí)，企業(yè)也面臨著信息安全的問題。在網(wǎng)絡(luò)環(huán)境下，企業(yè)信息系統(tǒng)存在來自物理環(huán)境、網(wǎng)絡(luò)環(huán)境和人文環(huán)境等多個(gè)方面對(duì)信息安全產(chǎn)生的威脅。根據(jù)有關(guān)統(tǒng)計(jì)，我國(guó)半數(shù)以上的企業(yè)遭受信息攻擊而出現(xiàn)信息泄漏，給企業(yè)帶來經(jīng)濟(jì)損失。尤其是中小企業(yè)，它們面臨的信息安全問題更加嚴(yán)重。因此，加強(qiáng)企業(yè)信息安全管理、保障信息安全，是企業(yè)必須重視且亟需解決的問題。

1 加強(qiáng)信息安全管理對(duì)企業(yè)的重要性

1.1 維持企業(yè)核心競(jìng)爭(zhēng)力的需求

每個(gè)企業(yè)或多或少都存在機(jī)密的商業(yè)信息數(shù)據(jù)，如核心產(chǎn)品、設(shè)計(jì)文檔、用戶信用卡信息、訂單信息、聯(lián)系方式等。在市場(chǎng)化程度不斷提高的環(huán)境下，這些信息是企業(yè)發(fā)展的命脈，關(guān)系到企業(yè)生死存亡。一旦企業(yè)的核心機(jī)密信息被泄漏，企業(yè)不僅會(huì)面臨巨大的經(jīng)濟(jì)損失，企業(yè)可能因失去核心競(jìng)爭(zhēng)力而失去市場(chǎng)。

1.2 企業(yè)制定科學(xué)決策的需求

企業(yè)制定決策嚴(yán)重依賴企業(yè)的各項(xiàng)數(shù)據(jù)，如果數(shù)據(jù)出現(xiàn)錯(cuò)誤，會(huì)導(dǎo)致企業(yè)制定錯(cuò)誤的決策，影響企業(yè)發(fā)展方向。而加強(qiáng)信息安全管理可以保障企業(yè)信息數(shù)據(jù)的真實(shí)性和完整性，為企業(yè)制定決策提供科學(xué)的參考和分析材料。

1.3 保證信息可用性的需要

企業(yè)的數(shù)據(jù)信息不僅是企業(yè)決策層制定決策的科學(xué)依據(jù)，也是企業(yè)其他職工開展工作的依據(jù)。加強(qiáng)企業(yè)信息安全管理工作可以防止因數(shù)據(jù)丟失引起的人員、流程、

技術(shù)服務(wù)中斷，確保企業(yè)的關(guān)鍵系統(tǒng)得以正常運(yùn)行。

2 企業(yè)信息安全出現(xiàn)問題的原因分析

2.1 重視程度和認(rèn)識(shí)不足

當(dāng)前許多企業(yè)的管理人員對(duì)信息管理沒有形成正確的認(rèn)識(shí)，對(duì)信息安全的認(rèn)識(shí)普遍不夠重視。具體表現(xiàn)在：企業(yè)管理人員關(guān)于信息安全管理的模式為事后管理，只有信息安全出現(xiàn)事故后才會(huì)采取措施解決問題，并沒有主動(dòng)采取預(yù)防措施。部分企業(yè)的管理人員對(duì)信息安全存在僥幸心理，認(rèn)為企業(yè)可能不會(huì)遭受病毒攻擊。重視程度不夠造成企業(yè)不重視加強(qiáng)信息安全管理措施，導(dǎo)致信息安全面臨威脅。

另外，企業(yè)員工也存在認(rèn)識(shí)不足的問題。由于企業(yè)絕大多數(shù)員工是信息系統(tǒng)及信息的使用者和提供者，因而企業(yè)員工對(duì)企業(yè)信息安全與否有巨大的影響，企業(yè)信息安全管理也需要企業(yè)所有員工的參與。但是，從許多企業(yè)的信息安全事故可以看到，多數(shù)企業(yè)出現(xiàn)信息安全的主要原因不是來自網(wǎng)絡(luò)黑客的惡意攻擊，而在于企業(yè)內(nèi)部員工在有意或無意識(shí)狀態(tài)下造成的信息泄漏。這一原因也反映出企業(yè)員工對(duì)企業(yè)信息安全的認(rèn)識(shí)和意識(shí)都存在不足，這也是企業(yè)信息安全保障系統(tǒng)問題的主要

方面。

2.2 缺少有效的信息管理制度

信息管理屬于比較新的領(lǐng)域，當(dāng)前政府在信息安全管理方面的法律法規(guī)并不完善，現(xiàn)有法律法規(guī)的安全技術(shù)和手段不成熟，缺少標(biāo)準(zhǔn)規(guī)范，政府無法根據(jù)現(xiàn)有法律法規(guī)制定合理的安全策略，保障法律法規(guī)可以得到有效的落實(shí)。在企業(yè)方面，尤其信息安全管理屬于系統(tǒng)性統(tǒng)稱，它涉及計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)、信息管理等多個(gè)方面。然而計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)處于不斷發(fā)展?fàn)顟B(tài)，信息系統(tǒng)也需要不斷升級(jí)換代。因此，企業(yè)信息系統(tǒng)運(yùn)行風(fēng)險(xiǎn)和安全需求應(yīng)采取同期化管理方式，不斷調(diào)整現(xiàn)有安全策略。而企業(yè)制定管理措施后以為可以一勞永逸，并沒有在隨后不斷調(diào)整安全管理策略。

2.3 缺少信息安全技術(shù)

計(jì)算機(jī)信息技術(shù)包括信息安全技術(shù)、數(shù)據(jù)恢復(fù)技術(shù)、系統(tǒng)維護(hù)技術(shù)、數(shù)據(jù)庫應(yīng)用技術(shù)等多項(xiàng)技術(shù)組成的計(jì)算機(jī)綜合應(yīng)用學(xué)科。由于技術(shù)發(fā)展的局限，在設(shè)計(jì)硬件和軟件過程中難免存在技術(shù)缺陷，導(dǎo)致軟硬件存在漏洞。從企業(yè)信息遭受的外界攻擊來看，外界攻擊的目的并不在于破壞軟硬件的底層系統(tǒng)，而是通過軟硬件的漏洞侵入系統(tǒng)，竊取企業(yè)的核心數(shù)據(jù)。企業(yè)自身對(duì)信息安全投入不足，企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)簡(jiǎn)單，為他人提供了可乘之機(jī)；企業(yè)也沒有強(qiáng)大的計(jì)算人才隊(duì)伍維護(hù)企業(yè)信息系統(tǒng)，部分企業(yè)甚至缺少專業(yè)的管理人員，致使信息安全頻發(fā)。

3 加強(qiáng)企業(yè)信息安全的對(duì)策

3.1 提高企業(yè)領(lǐng)導(dǎo)和員工的重視程度

首先，企業(yè)領(lǐng)導(dǎo)要轉(zhuǎn)變觀念，深入對(duì)信息安全的認(rèn)識(shí)。其次，對(duì)企業(yè)員工而言，企業(yè)可以聘請(qǐng)專業(yè)計(jì)算機(jī)信息技術(shù)人才對(duì)企業(yè)員工進(jìn)行安全教育培訓(xùn)，提高企業(yè)員工對(duì)信息安全的認(rèn)識(shí)，轉(zhuǎn)變職工的觀念，加強(qiáng)自身安全規(guī)范，避免出現(xiàn)泄漏企業(yè)信息的行為。另外，企業(yè)要制定企業(yè)人員信息安全行為規(guī)范，如獎(jiǎng)勵(lì)和懲罰制度、信息安全責(zé)任制度，明確信息安全管理責(zé)任人及其承擔(dān)的責(zé)任，強(qiáng)化員工的安全意識(shí)。加大企業(yè)對(duì)信息安全的投入，一方面加大信息安全軟硬件的投入，信息系統(tǒng)的技術(shù)水平；另一方面加大信息安全技術(shù)人才隊(duì)伍建設(shè)，企業(yè)可通過培養(yǎng)或招聘方式提升信息安全管理隊(duì)伍的業(yè)務(wù)水平。

3.2 建立完善的信息安全管理體系

企業(yè)信息安全管理體系包括完善的組織體系、信息安全規(guī)范、信息安全管理流程。組織體系包括制定和發(fā)布信息安全管理規(guī)范、信息安全管理組織工作兩項(xiàng)內(nèi)容，可以有效保障各項(xiàng)信息安全管理措施能夠得到有效的落實(shí)，促進(jìn)企業(yè)不斷改進(jìn)信息安全體系。信息安全規(guī)范的主要內(nèi)容為對(duì)各種信息安全策略加以詳細(xì)說明和介紹，它的存在最大限度地減少人為因素對(duì)企業(yè)信息安全造成的威脅。企業(yè)信息安全管理流程需要企業(yè)根據(jù)科學(xué)的信息資產(chǎn)評(píng)估和分先分析模型法設(shè)計(jì)系統(tǒng)安全模型，再以此為根據(jù)制定和實(shí)施科學(xué)的安全策略。企業(yè)選擇可靠的信息安全產(chǎn)品，在安全策略要求下采取安全防范措施。由于技術(shù)和設(shè)備處于不斷的變化和更新狀態(tài)，企業(yè)的發(fā)展情況也不同，這要求企業(yè)建立安全防范體系后還需要重視信息安全管理，并根據(jù)網(wǎng)絡(luò)信息和網(wǎng)絡(luò)安全特點(diǎn)及時(shí)更新安全防范體系，實(shí)現(xiàn)安全防范體系動(dòng)態(tài)

發(fā)展。

3.3 提高企業(yè)信息安全技術(shù)

制定完善的信息安全管理體系后，還需依靠高水平信息技術(shù)發(fā)揮管理體系的作用。由于當(dāng)前對(duì)企業(yè)信息安全產(chǎn)生威脅的技術(shù)較多，防止信息安全漏洞的技術(shù)也較多。但是，企業(yè)必須做好驗(yàn)證與授權(quán)、預(yù)防和抵制、檢測(cè)和響應(yīng)三個(gè)技術(shù)領(lǐng)域，再選擇有效的安全防御技術(shù)。驗(yàn)證與授權(quán)分別是驗(yàn)證用戶身份和決定用戶訪問權(quán)的方法，當(dāng)系統(tǒng)確定用戶身份后可以明確用戶的訪問權(quán)限，用戶才能使用自己的賬號(hào)和密碼訪問權(quán)限范圍內(nèi)的信息。預(yù)防和抵抗是通過過濾、加密和防火墻等措施防止非法入侵系統(tǒng)并訪問企業(yè)信息，它是企業(yè)必須加強(qiáng)的安全防御環(huán)節(jié)。監(jiān)測(cè)和相應(yīng)是企業(yè)信息安全的最后防線，殺毒軟件是常用的探測(cè)和反應(yīng)技術(shù)。

4 結(jié)語

總而言之，企業(yè)信息安全必須立足于企業(yè)信息安全內(nèi)部管理和信息安全技術(shù)兩個(gè)方面，二者缺一不可。企業(yè)要以信息安全技術(shù)為支撐，完善內(nèi)部管理體系和制度建設(shè)，加強(qiáng)監(jiān)督和管理。同時(shí)做好企業(yè)職工的信息安全教育，提高職工的意識(shí)。從企業(yè)領(lǐng)導(dǎo)到企業(yè)職工、從技術(shù)到管理，全方面做好信息安全管理，保障信息安全。

參考文獻(xiàn)

[1] 耿家觀.企業(yè)信息安全問題與對(duì)策分析[J].網(wǎng)絡(luò)與信息，2012，（7）.

[2] 李國(guó)強(qiáng).網(wǎng)絡(luò)環(huán)境下企業(yè)信息安全隱患與防范策略

[J].網(wǎng)絡(luò)財(cái)富，2010，（15）.

[3] 楊福生.網(wǎng)絡(luò)環(huán)境下企業(yè)信息安全管理對(duì)策[J].中外企業(yè)家，2013，（20）.

[4] 原黎.探析企業(yè)信息安全問題的成因及對(duì)策[J].現(xiàn)代工業(yè)經(jīng)濟(jì)和信息化，2011，（8）.

作者簡(jiǎn)介：楊飛（1978-），男，江西高安人，廣東電網(wǎng)有限責(zé)任公司佛山供電局工程師，研究方向：網(wǎng)絡(luò)與信息

安全。

（責(zé)任編輯：蔣建華）