摘 ?要：文章將以中冶南方都市環(huán)保工程技術(shù)股份有限公司為例，通過(guò)對(duì)企業(yè)信息安全重要性進(jìn)行分析，并從漏洞掃描技術(shù)、防火墻技術(shù)、信息加密技術(shù)、病毒庫(kù)技術(shù)、硬件設(shè)備管理水平提升以及信息安全管理風(fēng)險(xiǎn)體系的建設(shè)方面著手對(duì)有效提高企業(yè)信息安全管理和風(fēng)險(xiǎn)防范策略提出粗淺看法，并且在漏洞掃描內(nèi)容上列出實(shí)際工作數(shù)據(jù)作為輔證，以為信息安全管理工作者提供有效參考建議。

關(guān)鍵詞：企業(yè)信息化;信息安全管理;風(fēng)險(xiǎn)防范

中圖分類號(hào)：TP309 ? ?文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：2096-4706（2020）12-0142-03

Abstract：This article will take China City Environment Protection Engineering Limited Company as an example to analyze the importance of enterprise information security，and from the vulnerability scanning technology，firewall technology，information encryption technology，virus library technology，hardware equipment management level improvement and information security management risk system construction to effectively improve the enterprise information security management and risk prevention strategy，and in the vulnerability scanning content listed the actual work data as supporting evidence to provide effective reference suggestions for information security managers.

Keywords：enterprise information;information security management;risk prevention

0 ?引 ?言

當(dāng)今隨著企業(yè)信息化發(fā)展越來(lái)越成熟，企業(yè)信息化管理模式也越來(lái)越大，企業(yè)信息化設(shè)備和系統(tǒng)、硬件和軟件使用和更新?lián)Q代也日益頻繁。雖然當(dāng)前企業(yè)非常重視信息安全管理工作，不斷以專業(yè)技術(shù)手段來(lái)構(gòu)建并完善信息安全管理制度基礎(chǔ)體系的建設(shè)，并對(duì)內(nèi)部網(wǎng)絡(luò)信息應(yīng)用系統(tǒng)建設(shè)和構(gòu)建了各種網(wǎng)絡(luò)信息防范措施，但黑客技術(shù)也在不斷更新發(fā)展，網(wǎng)絡(luò)病毒層出不窮，加上企業(yè)網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)復(fù)雜、系統(tǒng)繁多、應(yīng)用部門和應(yīng)用人員繁多等原因，使中冶南方都市環(huán)保工程技術(shù)股份有限公司信息安全問(wèn)題受到影響，所以必須得時(shí)刻重視提防。下文將根據(jù)筆者實(shí)際工作經(jīng)驗(yàn)，介紹了日常工作中常用的強(qiáng)化信息安全管理的措施，并以漏洞掃描技術(shù)為例，來(lái)分析與探討有效的企業(yè)信息安全風(fēng)險(xiǎn)防范策略。

1 ?企業(yè)信息安全管理的重要性

計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)在各類企業(yè)中得到了越來(lái)越廣泛的應(yīng)用，小到企業(yè)員工個(gè)人信息、人事資料管理、財(cái)務(wù)信息管理、檔案資料管理等，大到如航天發(fā)射計(jì)算機(jī)系統(tǒng)、電力自動(dòng)化系統(tǒng)等。企業(yè)信息安全包括物理安全、網(wǎng)絡(luò)安全、用戶安全及信息安全等方方面面，從一個(gè)源代碼、一個(gè)用戶密碼、一個(gè)IP地址、一項(xiàng)技術(shù)發(fā)明到一個(gè)項(xiàng)目設(shè)計(jì)等，如果受到競(jìng)爭(zhēng)對(duì)手利用網(wǎng)絡(luò)病毒如木馬病毒、釣魚病毒或者勒索病毒等的攻擊、竊取或篡改，容易造成企業(yè)信息系統(tǒng)崩潰，影響正常運(yùn)行，造成重大經(jīng)濟(jì)損失，以至于嚴(yán)重阻滯企業(yè)發(fā)展，甚至造成企業(yè)破產(chǎn)滅亡。

同時(shí)，企業(yè)中的個(gè)人信息，如人事資料、工資信息、財(cái)務(wù)信息等泄露，一旦被非法分子利用，不但個(gè)人信息安全會(huì)受到嚴(yán)重影響，還會(huì)對(duì)個(gè)人信息保護(hù)和財(cái)產(chǎn)安全造成難以估量的損失。對(duì)于企業(yè)個(gè)人用戶來(lái)說(shuō)，信息安全意識(shí)淡薄或者使用不當(dāng)也會(huì)給自身和企業(yè)帶來(lái)很大麻煩。如近期有一員工違法企業(yè)規(guī)定，將工作資料上傳網(wǎng)易網(wǎng)盤，這嚴(yán)重違反了企業(yè)信息安全管理制度，容易對(duì)企業(yè)技術(shù)信息造成泄露，一旦被競(jìng)爭(zhēng)對(duì)手或者別有用心者利用，將對(duì)企業(yè)造成不可估量的損害。

2 ?加強(qiáng)企業(yè)信息安全管理策略

2.1 ?加強(qiáng)企業(yè)信息安全管理制度體系建設(shè)

企業(yè)應(yīng)按照《中華人民共和國(guó)網(wǎng)絡(luò)安全法》，結(jié)合企業(yè)自身實(shí)際情況制定本單位信息安全實(shí)施管理制度，構(gòu)建相應(yīng)管理框架，成立專門的信息安全管理領(lǐng)導(dǎo)小組，主要覆蓋決策、管理及執(zhí)行三個(gè)層次，并下設(shè)信息安全規(guī)劃、信息安全監(jiān)督設(shè)計(jì)和信息安全運(yùn)營(yíng)保障小組，同時(shí)企業(yè)應(yīng)設(shè)立專門的企業(yè)信息安全運(yùn)營(yíng)管理經(jīng)費(fèi)，使企業(yè)信息安全管理、運(yùn)行及維護(hù)等工作有充分保障。同時(shí)落實(shí)網(wǎng)絡(luò)安全監(jiān)管責(zé)任制，明確對(duì)端口服務(wù)器或者計(jì)算機(jī)終端采取必要防病毒、防攻擊措施，專機(jī)專用，對(duì)使用管理情況進(jìn)行日常監(jiān)督和全面檢查。

2.2 ?加強(qiáng)信息系統(tǒng)硬件安全建設(shè)

企業(yè)信息系統(tǒng)包括硬件和軟件兩大基礎(chǔ)板塊構(gòu)件，其中信息系統(tǒng)硬件主要有計(jì)算機(jī)、路由器、通訊安全設(shè)備等產(chǎn)品，使用者通過(guò)網(wǎng)絡(luò)交換、Web數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)管理、防火墻等技術(shù)手段以硬件產(chǎn)品為依托來(lái)實(shí)現(xiàn)信息系統(tǒng)運(yùn)行和保障信息系統(tǒng)安全的操作。因此企業(yè)應(yīng)加強(qiáng)在硬件使用安全上的管理和監(jiān)督。如做到專網(wǎng)專用，不可不同單位計(jì)算機(jī)互相訪問(wèn);專網(wǎng)采取監(jiān)測(cè)、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件等技術(shù)措施;客戶端和終端開(kāi)機(jī)密碼、使用密碼等不能設(shè)置簡(jiǎn)單的“123456”此類低端密碼等，通過(guò)此類措施，確保企業(yè)信息系統(tǒng)硬件管理有據(jù)可依，有章可循。同時(shí)設(shè)置硬件安全使用管理和維護(hù)小組，定期派專業(yè)技術(shù)人員進(jìn)行檢查維護(hù)，對(duì)硬件存在的安全隱患問(wèn)題及時(shí)作出科學(xué)有效處理，確保信息系統(tǒng)正常運(yùn)行。

2.3 ?提高軟件系統(tǒng)安全

當(dāng)前企業(yè)信息都是有電腦軟件系統(tǒng)處理，主要使用TCP/IP網(wǎng)絡(luò)協(xié)議，網(wǎng)絡(luò)劃分為內(nèi)網(wǎng)和外網(wǎng)，采用雙網(wǎng)雙機(jī)管理模式。因此做好企業(yè)信息安全防護(hù)的首要前提是要合理劃分信息網(wǎng)，做好隔離裝置，使外網(wǎng)和內(nèi)網(wǎng)雙網(wǎng)雙機(jī)和諧管理，使邊界主機(jī)縱深基本防御得到最大保護(hù)。加強(qiáng)對(duì)軟件系統(tǒng)開(kāi)發(fā)力度，提高軟件安全性能，不斷提高軟件系統(tǒng)抵御外來(lái)病毒攻擊的能力，使其充分發(fā)揮保護(hù)性能和價(jià)值。

3 ?企業(yè)信息安全風(fēng)險(xiǎn)防范對(duì)策分析

3.1 ?漏洞掃描技術(shù)

系統(tǒng)漏洞是計(jì)算機(jī)安全隱患最常見(jiàn)原因之一，加強(qiáng)漏洞掃描技術(shù)開(kāi)發(fā)，通過(guò)定時(shí)定期對(duì)計(jì)算機(jī)終端、客戶端及服務(wù)器等硬件網(wǎng)絡(luò)設(shè)備掃除排查，對(duì)檢測(cè)出系統(tǒng)漏洞進(jìn)行及時(shí)修復(fù)補(bǔ)丁，及時(shí)消除安全隱患。表1為筆者近期所進(jìn)行的漏洞掃描處理的記錄。將獲得的漏洞掃描結(jié)果進(jìn)行針對(duì)性的處理，以此可以提升整體企業(yè)計(jì)算機(jī)的安全系數(shù)。

3.2 ?防火墻技術(shù)

防火墻主要分為軟件防火墻和硬件防火墻，硬件防火墻技術(shù)如NAT、VPN、網(wǎng)絡(luò)加密和身份認(rèn)證等主要應(yīng)用于路由器和交換機(jī)等的硬件。軟件系統(tǒng)防火墻主要作用于網(wǎng)絡(luò)與網(wǎng)絡(luò)訪問(wèn)間，形成杜絕非法訪問(wèn)，控制數(shù)據(jù)輸出和輸入的屏障。

3.3 ?信息加密技術(shù)

主要是通過(guò)數(shù)學(xué)或者物理手段，對(duì)電子信息在傳輸過(guò)程中和存儲(chǔ)體內(nèi)進(jìn)行保護(hù)，以防止信息泄露。一般通過(guò)計(jì)算機(jī)密鑰來(lái)實(shí)現(xiàn)，比如加密軟件常采用硬件加密和加密軟盤等形式來(lái)達(dá)到信息保密。

3.4 ?病毒庫(kù)技術(shù)提升

計(jì)算機(jī)病毒開(kāi)發(fā)越來(lái)越多，且逐漸復(fù)雜化和高級(jí)化，嚴(yán)重影響計(jì)算機(jī)系統(tǒng)安全。如給人體打預(yù)防針一樣，信息安全管理工作要加強(qiáng)對(duì)病毒的分類，建立自己專門的病毒庫(kù)，開(kāi)發(fā)相關(guān)防病毒系統(tǒng)，形成完善的數(shù)據(jù)信息庫(kù)，方便分析排查處理，不斷提高自身信息系統(tǒng)病毒防御能力。

3.5 ?不斷提升硬件設(shè)備管理水平

在不斷完善軟件系統(tǒng)防御能力的同時(shí)，加大對(duì)硬件設(shè)備的開(kāi)發(fā)提升，對(duì)電腦、路由器、服務(wù)終端機(jī)等硬件設(shè)備要不斷提高使用性能和安全性，這樣才能確保硬件和軟件互相配合，保證信息系統(tǒng)正常運(yùn)行。

3.6 ?科學(xué)建設(shè)企業(yè)信息安全管理風(fēng)險(xiǎn)體系

要想有效提高企業(yè)信息安全與風(fēng)險(xiǎn)管理效果，一個(gè)重要的前提條件就是建設(shè)完善的企業(yè)的信息安全管理體系。第一，將企業(yè)信息安全風(fēng)險(xiǎn)評(píng)估的目標(biāo)科學(xué)確定下來(lái)。在設(shè)計(jì)與建設(shè)信息安全管理風(fēng)險(xiǎn)體系時(shí)，工作人員必須要對(duì)其風(fēng)險(xiǎn)評(píng)估目標(biāo)進(jìn)行確定，這樣才能對(duì)企業(yè)信息安全管理的要求與方法進(jìn)行明確，進(jìn)而切實(shí)圍繞該目標(biāo)來(lái)構(gòu)建信息安全管理工作制度，更好地定量考核風(fēng)險(xiǎn)控制結(jié)果，及時(shí)發(fā)現(xiàn)信息安全管理中的風(fēng)險(xiǎn)，進(jìn)而采取有效的應(yīng)對(duì)方法;第二，需要對(duì)信息安全風(fēng)險(xiǎn)評(píng)估的范圍予以明確。因?yàn)槠髽I(yè)不同，其所能承受的風(fēng)險(xiǎn)也有所差別，所以，需要結(jié)合企業(yè)實(shí)際情況來(lái)采用相應(yīng)的風(fēng)險(xiǎn)控制方式，同樣也需要結(jié)合企業(yè)具體能力來(lái)確定其信息安全風(fēng)險(xiǎn)承受范圍;第三，需要建設(shè)起相應(yīng)的風(fēng)險(xiǎn)評(píng)估管理與實(shí)施團(tuán)隊(duì)，企業(yè)應(yīng)當(dāng)要積極鼓勵(lì)個(gè)部門參與到信息安全風(fēng)險(xiǎn)控制體系的建設(shè)工作當(dāng)中，只有這樣才能更好地提高信息安全管理的效率與質(zhì)量。

4 ?結(jié) ?論

當(dāng)今時(shí)代是新技術(shù)革命信息時(shí)代，計(jì)算機(jī)信息技術(shù)廣泛應(yīng)用于各大企業(yè)，為企業(yè)提高工作效率，獲取更大經(jīng)濟(jì)效益提供了堅(jiān)實(shí)的技術(shù)保障。信息安全管理工作的復(fù)雜性、重要性及系統(tǒng)性應(yīng)引起企業(yè)管理者的重視，在著力發(fā)展企業(yè)同時(shí)，要兼顧企業(yè)信息安全管理工作，提高風(fēng)險(xiǎn)防范意識(shí)，有效解決企業(yè)信息安全管理問(wèn)題，全面提升企業(yè)信息安全管理工作水平，保證企業(yè)安全性和穩(wěn)定性，促進(jìn)企業(yè)健康良性發(fā)展。

參考文獻(xiàn)：

[1] 王乃盈.試析企業(yè)信息安全管理及風(fēng)險(xiǎn)防范策略 [J].中國(guó)新通信，2018，20（10）：165.

[2] 王穎波.試析企業(yè)信息安全管理及風(fēng)險(xiǎn)防范策略 [J].數(shù)字化用戶，2018，24（38）：136.

[3] 溫勃.大數(shù)據(jù)時(shí)代企業(yè)信息安全管理體系研究 [J].中國(guó)新通信，2018，20（10）：164.

[4] 魏凱琳，高啟耀.大數(shù)據(jù)供應(yīng)鏈時(shí)代企業(yè)信息安全的公共治理 [J].云南社會(huì)科學(xué)，2018（1）：50-56.

作者簡(jiǎn)介：戴延軍（1983.10—），男，漢族，湖北鄂州人，信息開(kāi)發(fā)部副主任，高級(jí)工程師，碩士，研究方向：企業(yè)信息化、信息安全。