戴晨昱

（中國移動通信集團(tuán)廣東有限公司，廣東 廣州 510623）

當(dāng)前，信息化浪潮席卷全球，互聯(lián)網(wǎng)科技的影響遍及了社會的各個領(lǐng)域，網(wǎng)絡(luò)環(huán)境的安全與否直接決定了信息發(fā)展的未來，也逐漸引起了國民的關(guān)注。在企業(yè)的層面上看，信息化的到來雖然推動了企業(yè)的向前發(fā)展，但是也帶來了一系列的風(fēng)險，最典型的就是重要數(shù)據(jù)信息的丟失、數(shù)據(jù)傳輸?shù)闹袛?、機密信息的泄露等，這些對于企業(yè)的發(fā)展都是極為不利的。在互聯(lián)網(wǎng)的大背景下，企業(yè)必須要做好以下幾點工作，加大信息安全監(jiān)督力度、網(wǎng)絡(luò)信息管控力度，確保重要信息的完整性。

1 企業(yè)信息安全風(fēng)險分析

在當(dāng)前每一個現(xiàn)代化企業(yè)中，都會用到計算機信息系統(tǒng)，該系統(tǒng)無論是在企業(yè)的日常生產(chǎn)上，還是在經(jīng)營管理上都體現(xiàn)著其獨有的價值。因此，如果該系統(tǒng)受到入侵，則重要數(shù)據(jù)信息即使沒有丟失，也必然會遭到破壞，運行自然無法進(jìn)行。進(jìn)一步來看，這都將給企業(yè)的管理和經(jīng)濟效益帶來不利影響。

信息安全風(fēng)險與其應(yīng)用是緊密相關(guān)的，同時，與其使用到的技術(shù)也有一定的聯(lián)系。經(jīng)過分析發(fā)現(xiàn)，企業(yè)信息系統(tǒng)一般會遇到以下幾種風(fēng)險。

1.1 計算機病毒的威脅

經(jīng)過對大量案例進(jìn)行剖析發(fā)現(xiàn)，在所有信息安全問題中，計算機病毒為主因引發(fā)的問題最多，其影響范圍巨大，由此帶來的破壞和經(jīng)濟效益上的損失也是最大的。由于病毒的存在，使得系統(tǒng)內(nèi)的通信受到阻礙，相關(guān)數(shù)據(jù)信息被破壞，正常的業(yè)務(wù)也無法開展。如果是系統(tǒng)內(nèi)部存儲多年的數(shù)據(jù)被損壞，則無論對于研究者還是企業(yè)而言，無疑是滅頂之災(zāi)。

1.2 網(wǎng)絡(luò)安全問題

一旦實現(xiàn)企業(yè)之間網(wǎng)絡(luò)的聯(lián)通，則其相互之間的信息交互就變得尤為便利。當(dāng)前企業(yè)內(nèi)部幾乎都是以光纖聯(lián)網(wǎng)，公司內(nèi)的員工都是利用網(wǎng)路來獲取信息、相互交流。在這種情況下，如何實現(xiàn)網(wǎng)絡(luò)的安全防衛(wèi)、確保內(nèi)部信息資料的安全、正確地使用互聯(lián)網(wǎng)，都是當(dāng)前討論的熱門話題，也是企業(yè)在發(fā)展歷程中不得不面對的問題。

1.3 信息傳遞的安全

隨著信息化安全技術(shù)的飛速發(fā)展，各種功能的信息系統(tǒng)得到研發(fā)并投入使用，每個企業(yè)內(nèi)部都紛紛搭建屬于自己的信息網(wǎng)絡(luò)平臺，并通過這些內(nèi)部局域網(wǎng)來保證自身重要信息的安全性。

1.4 用戶身份認(rèn)證和信息系統(tǒng)的訪問控制

在企業(yè)內(nèi)部建立的信息系統(tǒng)都是有針對范圍的，這樣做的目的就是為了將特定的信息帶給對應(yīng)的用戶，由于這種功能的限制，使得其他用戶在沒有授權(quán)的情況下是根本無法進(jìn)行訪問的。鑒于此，各大信息系統(tǒng)都搭建了自身的用戶管理平臺，在系統(tǒng)中開放部分用戶窗口，同時，對沒有授權(quán)的用戶進(jìn)行攔截，管控著用戶的進(jìn)出口。總的來看，這種方法確實增強了系統(tǒng)的安全性能，但是轉(zhuǎn)而一想，其面臨的問題依舊是有的：①一些用戶管理系統(tǒng)內(nèi)部的權(quán)限設(shè)置太過簡單，不能在細(xì)節(jié)上進(jìn)行明確劃分；②各大系統(tǒng)沒有統(tǒng)一管理，如果一個企業(yè)內(nèi)部的員工要同時使用多個系統(tǒng)，則要進(jìn)行多次登錄，這也就意味著其要不停地輸入賬號、密碼，這為用戶的使用帶來了阻礙，這在管理上也是一個很大的問題。因此，如何在新系統(tǒng)中實現(xiàn)統(tǒng)一的身份認(rèn)證，是研發(fā)人員必須要解決的重大問題。

2 解決信息安全問題的思路和方法

企業(yè)的信息安全問題是一個復(fù)雜、多層次、綜合性問題，解決這個問題必須要從多方面著手，相互協(xié)調(diào)、共同發(fā)力。

2.1 加強法制建設(shè)

一個企業(yè)要想在市場上立足，就必須要擁有屬于自己的核心科技，因此，這些相關(guān)的文件資源就是一個企業(yè)的命門所在，這不僅關(guān)系到企業(yè)的未來，同時還反映外部市場的競爭環(huán)境，所以，相關(guān)部門必須要在制度上來著手保證，為企業(yè)的權(quán)益訴求提供依靠。在企業(yè)層面上來看，其自身也需要增強法律意識，要學(xué)會利用正確的手段維護(hù)自身的合法權(quán)利。

2.2 從技術(shù)手段入手保證網(wǎng)絡(luò)安全

如果要對網(wǎng)絡(luò)安全下一個定義，則就是在網(wǎng)絡(luò)信息系統(tǒng)中，在互聯(lián)網(wǎng)運行和交互的基礎(chǔ)上，引發(fā)的線路連接安全、系統(tǒng)運行安全、操作行為安全、員工管理安全等。我們必須要認(rèn)識到，網(wǎng)絡(luò)是一個開放性的工具，因此，其各方面可能面對的安全風(fēng)險也是不可避免的。這一點我們必須要有明確的認(rèn)知，只有承認(rèn)不存在絕對安全的網(wǎng)絡(luò)，我們接下來的探討才有意義。由于安全風(fēng)險是確實存在的，因此，必須要借助軟、硬件設(shè)施以及相關(guān)管理策略確保信息系統(tǒng)的安全性，盡可能地降低安全風(fēng)險，對于可能出現(xiàn)的安全問題，也要有一定的認(rèn)知，還需要做好相關(guān)應(yīng)對方案。一旦出現(xiàn)對系統(tǒng)的入侵，就需要在第一時間反應(yīng)，并進(jìn)行攔截動作。在入侵結(jié)束之后，需要及時對漏洞進(jìn)行修補，對問題進(jìn)行總結(jié)，加強薄弱環(huán)節(jié)，抵御下一次的入侵。

2.3 建立健全企業(yè)信息安全管理制度

不難認(rèn)識到，無論是何種信息系統(tǒng)，他們的安全在大部分程度上都是由系統(tǒng)最初的安全與管理策略決定的。究其原因，之后所有的安全舉措都是在此基礎(chǔ)上進(jìn)行的，由此可見，如果安全管理策略出現(xiàn)問題，則安全系統(tǒng)就是形同虛設(shè)。與此同時，在宏觀上來看，要想有一個良好的網(wǎng)路信息系統(tǒng)，就必須要建立一個健全的管理體系。對于網(wǎng)絡(luò)信息系統(tǒng)安全部分而言，技術(shù)與安全工具都是不必要手段，如果沒有健全的安全管理制度作支撐，其將變得毫無意義。

在國家層面上來看，由于社會逐漸意識到信息安全的重要性，因此，國家在短時間內(nèi)相繼發(fā)布了大量法律法規(guī)，并且還設(shè)立了專門的職能部門進(jìn)行落實。企業(yè)要想在市場上運營，就必須要嚴(yán)格遵守這些法律法規(guī)，不僅如此，企業(yè)還應(yīng)該在此基礎(chǔ)上建立自己的管理制度與技術(shù)指標(biāo)，以此保障自身的安全業(yè)務(wù)。積極引入國際上最先進(jìn)的相關(guān)標(biāo)準(zhǔn)，增強企業(yè)的安全管理水平。不可否認(rèn)的是，國際上的信息管理水平是遠(yuǎn)高于國內(nèi)的，畢竟在這些技術(shù)上他們是研發(fā)者，也是當(dāng)前的領(lǐng)跑者，很多成熟的經(jīng)驗和成就都是值得我們學(xué)習(xí)和利用的，在這些專業(yè)的指引下，國內(nèi)的信息安全管理之路必然會走得更加穩(wěn)健。信息安全工作是企業(yè)必須要長期執(zhí)行的，因此，各單位必須要引起足夠的重視，建立完善的制度系統(tǒng)與相應(yīng)機構(gòu)，明確責(zé)任制度，將責(zé)任分工細(xì)化到每一個人，以此來確保信息安全工作長期、高效開展。

2.4 充分利用企業(yè)網(wǎng)絡(luò)條件

當(dāng)前大多企業(yè)都是借助廣域網(wǎng)平臺，接通多個體系內(nèi)的二級單位，局域網(wǎng)平臺基本全部完成，這是極為優(yōu)越的網(wǎng)絡(luò)環(huán)境。在這種大的背景下，總公司的一級信息安全管理部門更是應(yīng)該增強安全平臺技術(shù)，及時更新相關(guān)規(guī)定與技術(shù)標(biāo)準(zhǔn)，第一時間刊登安全公告，以及發(fā)布其他重要信息，甚至是回答用戶的提問，提供在線解析功能，搭建交互平臺。這是一次跨時間、跨地域、跨維度的信息革命，它帶來的將是安全管理與服務(wù)上的重大革新。

2.5 定期評估，不斷改進(jìn)、完善

總的來看，企業(yè)對于信息化的渴求程度是隨著企業(yè)的進(jìn)步而不斷提升的，其中信息技術(shù)的更新更是與時俱進(jìn)。安全防護(hù)軟件系統(tǒng)是一個綜合性極高的系統(tǒng)，所以，在研發(fā)過程中經(jīng)常會出現(xiàn)各種問題，這就使得其防御網(wǎng)顯得并不是那么無堅不摧。企業(yè)對于安全的需求總是根據(jù)外部情況而不斷變化的，各種安全問題會不斷出現(xiàn)，單一的防護(hù)系統(tǒng)是不可能滿足實際需求的，這就意味著信息安全是一個不斷變化的，與時俱進(jìn)的動態(tài)流程，這就需要定期進(jìn)行安全評估，實時根據(jù)其中存在的問題調(diào)整。

必須要認(rèn)識到，并不是所有的信息安全問題的解決都能夠一蹴而就，人們對它的認(rèn)知是隨著技術(shù)的進(jìn)步而逐步提升的，要想發(fā)現(xiàn)并解決所有的問題是不現(xiàn)實的。即使是專業(yè)的信息安全生產(chǎn)廠家，他們在做安全產(chǎn)品時，也只是實現(xiàn)了其中一部分的需求。換句話說，并不是企業(yè)有了一個安全需求，市場就能夠立刻給出對應(yīng)的安全產(chǎn)品。所以，并不是所有安全問題都有對應(yīng)的處理措施。

3 結(jié)束語

總而言之，企業(yè)信息安全是一個綜合性極強的系統(tǒng)工程，其不僅涉及技術(shù)與硬件設(shè)備，還涵蓋管理與制度等領(lǐng)域，要想制訂有效的安全解決方案，就必須要對全局有明確的認(rèn)知。信息安全解決方案內(nèi)含多種計算機網(wǎng)絡(luò)信息系統(tǒng)安全技術(shù)，其實現(xiàn)了安全操作技術(shù)、防火墻技術(shù)與安全掃描技術(shù)等協(xié)調(diào)配合、綜合應(yīng)用。管理和技術(shù)是實現(xiàn)信息安全的兩個關(guān)鍵點，安全技術(shù)需要對應(yīng)安全措施，還需要加強制度建設(shè)，制訂安全標(biāo)準(zhǔn)。對于企業(yè)長期發(fā)展而言，信息化建設(shè)中的信息安全是一個永恒話題。