陽(yáng) 亮

（湖南有色金屬研究院，長(zhǎng)沙 410000）

1 引言

在企業(yè)涉密系統(tǒng)的運(yùn)行過(guò)程中，會(huì)受到外部因素和內(nèi)部因素的影響，為了消除涉密信息危險(xiǎn)，必須加強(qiáng)企業(yè)涉密信息系統(tǒng)安全管理和控制，準(zhǔn)確識(shí)別風(fēng)險(xiǎn)、評(píng)估風(fēng)險(xiǎn)，然后采取有效的控制對(duì)策，保障企業(yè)涉密信息安全。因此，對(duì)企業(yè)涉密信息系統(tǒng)安全防護(hù)措施進(jìn)行詳細(xì)探究迫在眉睫。

2 企業(yè)涉密信息系統(tǒng)安全性與企業(yè)運(yùn)營(yíng)發(fā)展間的關(guān)系

企業(yè)涉密信息系統(tǒng)中最基本也是最重要的子系統(tǒng)包括傳達(dá)內(nèi)部信息和各項(xiàng)決定的郵箱系統(tǒng)，關(guān)系到企業(yè)招投標(biāo)安全性的電子采購(gòu)系統(tǒng)以及與企業(yè)穩(wěn)定運(yùn)營(yíng)和健康發(fā)展息息相關(guān)的合同系統(tǒng)等。當(dāng)電子采購(gòu)系統(tǒng)被攻擊，招投標(biāo)信息被惡意更改后將會(huì)影響到企業(yè)決策的可靠性。當(dāng)企業(yè)的合同系統(tǒng)被破壞，企業(yè)的商業(yè)交易行為被暴漏以后，企業(yè)不僅面臨巨額賠償，也會(huì)進(jìn)一步影響到企業(yè)的名譽(yù)，使其喪失持續(xù)發(fā)展的動(dòng)力。當(dāng)企業(yè)的技術(shù)系統(tǒng)和數(shù)據(jù)系統(tǒng)被攻克以后，企業(yè)將面臨赤字甚至倒閉的風(fēng)險(xiǎn)。由此可見(jiàn)，企業(yè)涉密信息系統(tǒng)的安全性直接關(guān)系到企業(yè)運(yùn)營(yíng)的穩(wěn)定性和發(fā)展的持續(xù)性。處于偉大的信息時(shí)代，企業(yè)大力推行信息化建設(shè)的同時(shí)，也應(yīng)該不斷強(qiáng)化信息系統(tǒng)建設(shè)的安全性。只有安全防護(hù)措施到位，才能夠使信息系統(tǒng)的功能得以表達(dá)，信息化建設(shè)的價(jià)值得以體現(xiàn)。

3 企業(yè)涉密信息系統(tǒng)防護(hù)的難點(diǎn)分析

3.1 信息系統(tǒng)的安全度不高

很多企業(yè)為節(jié)約信息系統(tǒng)使用成本，通常會(huì)使用一些相對(duì)廉價(jià)的辦公系統(tǒng)，這些系統(tǒng)雖然可以滿(mǎn)足企業(yè)的正常工作需要，但一般安全等級(jí)不高，極易被黑客或病毒入侵，損害公司的信息安全。其主要原因是企業(yè)高管對(duì)信息系統(tǒng)安全的認(rèn)識(shí)程度不足，認(rèn)為信息系統(tǒng)只要能夠滿(mǎn)足工作需要即可，基本上不會(huì)考慮到信息安全問(wèn)題。

3.2 信息安全因素具有多樣性和復(fù)雜性

企業(yè)中存在很多威脅信息安全的因素，包括內(nèi)部因素和外部因素兩類(lèi)。內(nèi)部因素主要是因?yàn)槠髽I(yè)工作人員操作信息系統(tǒng)時(shí)不規(guī)范，造成系統(tǒng)的密碼和賬號(hào)泄露，或是企業(yè)內(nèi)部人員故意盜取企業(yè)信息；外部因素主要是黑客和病毒的入侵，黑客和病毒是兩種最常見(jiàn)的計(jì)算機(jī)安全威脅因素，對(duì)計(jì)算機(jī)安全的威脅性巨大，因此，企業(yè)工作人員應(yīng)定期對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行病毒查殺，并且聘請(qǐng)專(zhuān)業(yè)的計(jì)算機(jī)管理人員對(duì)企業(yè)計(jì)算機(jī)安全進(jìn)行管理，阻止黑客對(duì)企業(yè)計(jì)算機(jī)信息系統(tǒng)的入侵。

4 涉密信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估

在企業(yè)涉密信息安全風(fēng)險(xiǎn)評(píng)估過(guò)程中，需要立足于企業(yè)信息風(fēng)險(xiǎn)管理，采用先進(jìn)科學(xué)技術(shù)，對(duì)企業(yè)信息系統(tǒng)面對(duì)的風(fēng)險(xiǎn)因素進(jìn)行分析，合理評(píng)估風(fēng)險(xiǎn)因素會(huì)對(duì)企業(yè)帶來(lái)的危害程度，然后提出相應(yīng)的風(fēng)險(xiǎn)抵御策略以及企業(yè)信息管理整改措施，化解信息安全風(fēng)險(xiǎn)，或者將風(fēng)險(xiǎn)控制在可接受水平，保障企業(yè)信息安全。

近年來(lái)，科學(xué)技術(shù)發(fā)展迅速，企業(yè)信息系統(tǒng)規(guī)模逐漸擴(kuò)大，復(fù)雜程度也逐漸增加，在企業(yè)信息系統(tǒng)管理中，如果沒(méi)有充分意識(shí)到加強(qiáng)安全風(fēng)險(xiǎn)信息管理的重要性，無(wú)法及時(shí)消除風(fēng)險(xiǎn)因素，就可能會(huì)對(duì)企業(yè)發(fā)展帶來(lái)巨大隱患。對(duì)此，需要加強(qiáng)企業(yè)信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估，及時(shí)發(fā)現(xiàn)系統(tǒng)的薄弱環(huán)節(jié)，并采取有效措施規(guī)避風(fēng)險(xiǎn)因素，將企業(yè)信息系統(tǒng)風(fēng)險(xiǎn)控制在可接受范圍內(nèi)。

在信息安全風(fēng)險(xiǎn)評(píng)估中，常見(jiàn)方法有以下幾種，即自評(píng)估、委托評(píng)估以及檢查評(píng)估，其中，自評(píng)估是企業(yè)自行組織的，而委托評(píng)估則是由企業(yè)委托外部專(zhuān)業(yè)機(jī)構(gòu)開(kāi)展的，最后，檢查評(píng)估是由于國(guó)家制定機(jī)關(guān)強(qiáng)制實(shí)施的。

風(fēng)險(xiǎn)評(píng)估方式有兩種，即定量分析和定性分析，定量分析指的是對(duì)風(fēng)險(xiǎn)所造成的后果以及可能性進(jìn)行分析，通過(guò)應(yīng)用量化數(shù)據(jù)對(duì)風(fēng)險(xiǎn)可能性和后果進(jìn)行描述，分析結(jié)構(gòu)的準(zhǔn)確性受到數(shù)值的精確度和完整度的影響。另外，定性分析指的是對(duì)后果和可能性進(jìn)行分析，通過(guò)應(yīng)用文字描述方式或者描述方式，判斷數(shù)值范圍，對(duì)風(fēng)險(xiǎn)的影響程度以及可能性大小進(jìn)行分析，而分析結(jié)果的準(zhǔn)確性則是由數(shù)值的完整性以及精確度所決定的。

5 企業(yè)涉密信息系統(tǒng)防護(hù)對(duì)策

5.1 完善企業(yè)信息管理制度

企業(yè)要發(fā)展網(wǎng)絡(luò)信息化，首先必須重視和完善網(wǎng)絡(luò)信息安全管理制度，在制定信息安全管理制度時(shí)，一定要和現(xiàn)代信息技術(shù)的發(fā)展相結(jié)合，做到與時(shí)俱進(jìn)。同時(shí)，必須在企業(yè)內(nèi)部制定嚴(yán)格并切實(shí)可行的網(wǎng)絡(luò)安全管理規(guī)章制度，企業(yè)管理人員應(yīng)該重視網(wǎng)絡(luò)安全防范的重要性，在機(jī)房等場(chǎng)所建立企業(yè)內(nèi)部安全管理制度，例如：對(duì)人員進(jìn)、出機(jī)房的管理制度、對(duì)機(jī)房設(shè)備的管理和設(shè)備維護(hù)制度。企業(yè)還必須明確崗位責(zé)任制度，出現(xiàn)問(wèn)題及時(shí)找到問(wèn)題所在，要建立計(jì)算機(jī)安全操作管理制度、網(wǎng)絡(luò)病毒防范制度和網(wǎng)絡(luò)問(wèn)題發(fā)生時(shí)安全應(yīng)急處理制度。企業(yè)還必須要按時(shí)對(duì)安全管理制度的執(zhí)行情況進(jìn)行檢查與監(jiān)督，不能讓安全防范工作只停留在表面，而要重在落實(shí)。另外，還要保證做到企業(yè)業(yè)務(wù)計(jì)算機(jī)的專(zhuān)門(mén)使用，企業(yè)業(yè)務(wù)系統(tǒng)與其他部門(mén)的網(wǎng)絡(luò)數(shù)據(jù)系統(tǒng)隔離開(kāi)來(lái)再進(jìn)行使用，建立企業(yè)內(nèi)部辦公局域網(wǎng)，要和互聯(lián)網(wǎng)等其他外部網(wǎng)絡(luò)隔離開(kāi)來(lái)，降低企業(yè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。其次，還要提高企業(yè)員工的網(wǎng)絡(luò)信息安全防范意識(shí)，對(duì)使用人員進(jìn)行網(wǎng)絡(luò)信息安全知識(shí)教育與培訓(xùn)，增加企業(yè)員工對(duì)相關(guān)法律知識(shí)的了解，幫助他們樹(shù)立網(wǎng)絡(luò)信息安全意識(shí)。同時(shí)，還要防止企業(yè)員工利用企業(yè)內(nèi)部電腦，訪問(wèn)與業(yè)務(wù)無(wú)關(guān)的網(wǎng)站，盡量避免企業(yè)內(nèi)部的重要文件和機(jī)密資料泄漏。在使用企業(yè)網(wǎng)絡(luò)時(shí)，不要使用自帶光盤(pán)、移動(dòng)硬盤(pán)和個(gè)人U盤(pán)等存儲(chǔ)設(shè)備，這些個(gè)人存儲(chǔ)設(shè)備可能已經(jīng)感染了網(wǎng)絡(luò)病毒，一旦連入企業(yè)網(wǎng)絡(luò)便會(huì)造成大面積的感染，所以要杜絕此類(lèi)現(xiàn)象的發(fā)生，避免企業(yè)網(wǎng)絡(luò)遭到傳染病毒的入侵。

5.2 加強(qiáng)網(wǎng)絡(luò)安全防范工作

企業(yè)還需要提高相關(guān)技術(shù)人員的技術(shù)水平和能力，培養(yǎng)技術(shù)人員的網(wǎng)站管理能力和網(wǎng)絡(luò)安全防范能力，同時(shí)，企業(yè)還應(yīng)該定期對(duì)網(wǎng)絡(luò)信息系統(tǒng)進(jìn)行維護(hù)管理，及時(shí)找出安全漏洞，并通過(guò)訪問(wèn)控制、升級(jí)防火墻、病毒查殺、入侵檢測(cè)與數(shù)據(jù)加密傳輸?shù)热矫娴募夹g(shù)工作，保障企業(yè)涉密信息系統(tǒng)安全。另外，在選擇應(yīng)用安全防范措施時(shí)，應(yīng)該堅(jiān)持安全過(guò)濾原則，嚴(yán)格控制企業(yè)以外的用戶(hù)非法訪問(wèn)企業(yè)的內(nèi)部網(wǎng)絡(luò)信息，要確保每一個(gè)進(jìn)入內(nèi)部網(wǎng)絡(luò)的人，都實(shí)施過(guò)安全有效的應(yīng)用協(xié)議才能通過(guò)防火墻。企業(yè)要采用安全穩(wěn)定的網(wǎng)絡(luò)防病毒軟件，使用信譽(yù)度高和實(shí)力強(qiáng)的殺毒軟件公司的產(chǎn)品，建立企業(yè)整體防病毒體系。對(duì)于個(gè)人使用的業(yè)務(wù)電腦也要進(jìn)行加密，防止被他人冒用和盜取重要資料。除此以外，還應(yīng)該注意，企業(yè)管理者要對(duì)企業(yè)內(nèi)部的重要資料和企業(yè)核心數(shù)據(jù)采取保密防護(hù)措施，對(duì)于資料的讀取要設(shè)置必要的權(quán)限，重要資料只有企業(yè)高層可以通過(guò)獨(dú)特的安全密碼讀取，只有做好這些工作，才能保證企業(yè)有著安全穩(wěn)定的網(wǎng)絡(luò)環(huán)境。

5.3 建立數(shù)據(jù)備份資料庫(kù)

現(xiàn)如今，企業(yè)數(shù)據(jù)資料大都儲(chǔ)存在網(wǎng)絡(luò)中，便于工作人員的使用和處理，但是，這樣也會(huì)加大企業(yè)安全風(fēng)險(xiǎn)。企業(yè)業(yè)務(wù)資料信息、客戶(hù)信息和重要的數(shù)據(jù)儲(chǔ)存在電腦網(wǎng)絡(luò)中，一旦發(fā)生網(wǎng)絡(luò)信息安全問(wèn)題，企業(yè)內(nèi)部網(wǎng)絡(luò)遭到電腦病毒的攻擊，那么企業(yè)儲(chǔ)存的數(shù)據(jù)就很可能會(huì)丟失，即使修復(fù)了電腦，企業(yè)的業(yè)務(wù)工作也會(huì)因?yàn)閿?shù)據(jù)的丟失而受到影響。所以，企業(yè)應(yīng)該建立一個(gè)內(nèi)部數(shù)據(jù)備份資料庫(kù)，將企業(yè)數(shù)據(jù)進(jìn)行及時(shí)備份，并且應(yīng)該將這個(gè)備份數(shù)據(jù)庫(kù)單獨(dú)存儲(chǔ)在網(wǎng)絡(luò)中，不與企業(yè)常用網(wǎng)絡(luò)相連接，在數(shù)據(jù)備份時(shí)，要采取登記記錄的方式，對(duì)用戶(hù)進(jìn)行記錄，將外來(lái)用戶(hù)阻攔在外，企業(yè)還要規(guī)范備份周期，使數(shù)據(jù)定期備份規(guī)范化。

6 結(jié)束語(yǔ)

綜上所述，隨著企業(yè)信息化管理水平的提升，企業(yè)涉密信息系統(tǒng)安全防范的重要性日漸突出。為了避免企業(yè)涉密信息出現(xiàn)泄露問(wèn)題，首先需要意識(shí)到加強(qiáng)涉密風(fēng)險(xiǎn)保密管理的重要性，對(duì)企業(yè)涉密信息系統(tǒng)安全管理中的各類(lèi)風(fēng)險(xiǎn)因素進(jìn)行評(píng)估分析，然后采取有效的方法對(duì)策，完善企業(yè)信息管理制度，加強(qiáng)網(wǎng)絡(luò)安全防范工作，建立數(shù)據(jù)備份資料庫(kù)，提升企業(yè)涉密信息系統(tǒng)安全方法水平。

[1] 郭永田，叢小蔓，韓周杰.系統(tǒng)化構(gòu)建涉密信息安全管理制度的幾點(diǎn)思考[J].湖北農(nóng)業(yè)科學(xué)，2010，49（11）：2940-2942.