摘 ?要：文章將以中冶南方都市環(huán)保工程技術(shù)股份有限公司為例，通過對企業(yè)信息安全重要性進行分析，并從漏洞掃描技術(shù)、防火墻技術(shù)、信息加密技術(shù)、病毒庫技術(shù)、硬件設(shè)備管理水平提升以及信息安全管理風(fēng)險體系的建設(shè)方面著手對有效提高企業(yè)信息安全管理和風(fēng)險防范策略提出粗淺看法，并且在漏洞掃描內(nèi)容上列出實際工作數(shù)據(jù)作為輔證，以為信息安全管理工作者提供有效參考建議。

關(guān)鍵詞：企業(yè)信息化;信息安全管理;風(fēng)險防范

中圖分類號：TP309 ? ?文獻標(biāo)識碼：A 文章編號：2096-4706（2020）12-0142-03

Abstract：This article will take China City Environment Protection Engineering Limited Company as an example to analyze the importance of enterprise information security，and from the vulnerability scanning technology，firewall technology，information encryption technology，virus library technology，hardware equipment management level improvement and information security management risk system construction to effectively improve the enterprise information security management and risk prevention strategy，and in the vulnerability scanning content listed the actual work data as supporting evidence to provide effective reference suggestions for information security managers.

Keywords：enterprise information;information security management;risk prevention

0 ?引 ?言

當(dāng)今隨著企業(yè)信息化發(fā)展越來越成熟，企業(yè)信息化管理模式也越來越大，企業(yè)信息化設(shè)備和系統(tǒng)、硬件和軟件使用和更新?lián)Q代也日益頻繁。雖然當(dāng)前企業(yè)非常重視信息安全管理工作，不斷以專業(yè)技術(shù)手段來構(gòu)建并完善信息安全管理制度基礎(chǔ)體系的建設(shè)，并對內(nèi)部網(wǎng)絡(luò)信息應(yīng)用系統(tǒng)建設(shè)和構(gòu)建了各種網(wǎng)絡(luò)信息防范措施，但黑客技術(shù)也在不斷更新發(fā)展，網(wǎng)絡(luò)病毒層出不窮，加上企業(yè)網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)復(fù)雜、系統(tǒng)繁多、應(yīng)用部門和應(yīng)用人員繁多等原因，使中冶南方都市環(huán)保工程技術(shù)股份有限公司信息安全問題受到影響，所以必須得時刻重視提防。下文將根據(jù)筆者實際工作經(jīng)驗，介紹了日常工作中常用的強化信息安全管理的措施，并以漏洞掃描技術(shù)為例，來分析與探討有效的企業(yè)信息安全風(fēng)險防范策略。

1 ?企業(yè)信息安全管理的重要性

計算機網(wǎng)絡(luò)技術(shù)在各類企業(yè)中得到了越來越廣泛的應(yīng)用，小到企業(yè)員工個人信息、人事資料管理、財務(wù)信息管理、檔案資料管理等，大到如航天發(fā)射計算機系統(tǒng)、電力自動化系統(tǒng)等。企業(yè)信息安全包括物理安全、網(wǎng)絡(luò)安全、用戶安全及信息安全等方方面面，從一個源代碼、一個用戶密碼、一個IP地址、一項技術(shù)發(fā)明到一個項目設(shè)計等，如果受到競爭對手利用網(wǎng)絡(luò)病毒如木馬病毒、釣魚病毒或者勒索病毒等的攻擊、竊取或篡改，容易造成企業(yè)信息系統(tǒng)崩潰，影響正常運行，造成重大經(jīng)濟損失，以至于嚴(yán)重阻滯企業(yè)發(fā)展，甚至造成企業(yè)破產(chǎn)滅亡。

同時，企業(yè)中的個人信息，如人事資料、工資信息、財務(wù)信息等泄露，一旦被非法分子利用，不但個人信息安全會受到嚴(yán)重影響，還會對個人信息保護和財產(chǎn)安全造成難以估量的損失。對于企業(yè)個人用戶來說，信息安全意識淡薄或者使用不當(dāng)也會給自身和企業(yè)帶來很大麻煩。如近期有一員工違法企業(yè)規(guī)定，將工作資料上傳網(wǎng)易網(wǎng)盤，這嚴(yán)重違反了企業(yè)信息安全管理制度，容易對企業(yè)技術(shù)信息造成泄露，一旦被競爭對手或者別有用心者利用，將對企業(yè)造成不可估量的損害。

2 ?加強企業(yè)信息安全管理策略

2.1 ?加強企業(yè)信息安全管理制度體系建設(shè)

企業(yè)應(yīng)按照《中華人民共和國網(wǎng)絡(luò)安全法》，結(jié)合企業(yè)自身實際情況制定本單位信息安全實施管理制度，構(gòu)建相應(yīng)管理框架，成立專門的信息安全管理領(lǐng)導(dǎo)小組，主要覆蓋決策、管理及執(zhí)行三個層次，并下設(shè)信息安全規(guī)劃、信息安全監(jiān)督設(shè)計和信息安全運營保障小組，同時企業(yè)應(yīng)設(shè)立專門的企業(yè)信息安全運營管理經(jīng)費，使企業(yè)信息安全管理、運行及維護等工作有充分保障。同時落實網(wǎng)絡(luò)安全監(jiān)管責(zé)任制，明確對端口服務(wù)器或者計算機終端采取必要防病毒、防攻擊措施，專機專用，對使用管理情況進行日常監(jiān)督和全面檢查。

2.2 ?加強信息系統(tǒng)硬件安全建設(shè)

企業(yè)信息系統(tǒng)包括硬件和軟件兩大基礎(chǔ)板塊構(gòu)件，其中信息系統(tǒng)硬件主要有計算機、路由器、通訊安全設(shè)備等產(chǎn)品，使用者通過網(wǎng)絡(luò)交換、Web數(shù)據(jù)庫、網(wǎng)絡(luò)管理、防火墻等技術(shù)手段以硬件產(chǎn)品為依托來實現(xiàn)信息系統(tǒng)運行和保障信息系統(tǒng)安全的操作。因此企業(yè)應(yīng)加強在硬件使用安全上的管理和監(jiān)督。如做到專網(wǎng)專用，不可不同單位計算機互相訪問;專網(wǎng)采取監(jiān)測、記錄網(wǎng)絡(luò)運行狀態(tài)、網(wǎng)絡(luò)安全事件等技術(shù)措施;客戶端和終端開機密碼、使用密碼等不能設(shè)置簡單的“123456”此類低端密碼等，通過此類措施，確保企業(yè)信息系統(tǒng)硬件管理有據(jù)可依，有章可循。同時設(shè)置硬件安全使用管理和維護小組，定期派專業(yè)技術(shù)人員進行檢查維護，對硬件存在的安全隱患問題及時作出科學(xué)有效處理，確保信息系統(tǒng)正常運行。

2.3 ?提高軟件系統(tǒng)安全

當(dāng)前企業(yè)信息都是有電腦軟件系統(tǒng)處理，主要使用TCP/IP網(wǎng)絡(luò)協(xié)議，網(wǎng)絡(luò)劃分為內(nèi)網(wǎng)和外網(wǎng)，采用雙網(wǎng)雙機管理模式。因此做好企業(yè)信息安全防護的首要前提是要合理劃分信息網(wǎng)，做好隔離裝置，使外網(wǎng)和內(nèi)網(wǎng)雙網(wǎng)雙機和諧管理，使邊界主機縱深基本防御得到最大保護。加強對軟件系統(tǒng)開發(fā)力度，提高軟件安全性能，不斷提高軟件系統(tǒng)抵御外來病毒攻擊的能力，使其充分發(fā)揮保護性能和價值。

3 ?企業(yè)信息安全風(fēng)險防范對策分析

3.1 ?漏洞掃描技術(shù)

系統(tǒng)漏洞是計算機安全隱患最常見原因之一，加強漏洞掃描技術(shù)開發(fā)，通過定時定期對計算機終端、客戶端及服務(wù)器等硬件網(wǎng)絡(luò)設(shè)備掃除排查，對檢測出系統(tǒng)漏洞進行及時修復(fù)補丁，及時消除安全隱患。表1為筆者近期所進行的漏洞掃描處理的記錄。將獲得的漏洞掃描結(jié)果進行針對性的處理，以此可以提升整體企業(yè)計算機的安全系數(shù)。

3.2 ?防火墻技術(shù)

防火墻主要分為軟件防火墻和硬件防火墻，硬件防火墻技術(shù)如NAT、VPN、網(wǎng)絡(luò)加密和身份認(rèn)證等主要應(yīng)用于路由器和交換機等的硬件。軟件系統(tǒng)防火墻主要作用于網(wǎng)絡(luò)與網(wǎng)絡(luò)訪問間，形成杜絕非法訪問，控制數(shù)據(jù)輸出和輸入的屏障。

3.3 ?信息加密技術(shù)

主要是通過數(shù)學(xué)或者物理手段，對電子信息在傳輸過程中和存儲體內(nèi)進行保護，以防止信息泄露。一般通過計算機密鑰來實現(xiàn)，比如加密軟件常采用硬件加密和加密軟盤等形式來達到信息保密。

3.4 ?病毒庫技術(shù)提升

計算機病毒開發(fā)越來越多，且逐漸復(fù)雜化和高級化，嚴(yán)重影響計算機系統(tǒng)安全。如給人體打預(yù)防針一樣，信息安全管理工作要加強對病毒的分類，建立自己專門的病毒庫，開發(fā)相關(guān)防病毒系統(tǒng)，形成完善的數(shù)據(jù)信息庫，方便分析排查處理，不斷提高自身信息系統(tǒng)病毒防御能力。

3.5 ?不斷提升硬件設(shè)備管理水平

在不斷完善軟件系統(tǒng)防御能力的同時，加大對硬件設(shè)備的開發(fā)提升，對電腦、路由器、服務(wù)終端機等硬件設(shè)備要不斷提高使用性能和安全性，這樣才能確保硬件和軟件互相配合，保證信息系統(tǒng)正常運行。

3.6 ?科學(xué)建設(shè)企業(yè)信息安全管理風(fēng)險體系

要想有效提高企業(yè)信息安全與風(fēng)險管理效果，一個重要的前提條件就是建設(shè)完善的企業(yè)的信息安全管理體系。第一，將企業(yè)信息安全風(fēng)險評估的目標(biāo)科學(xué)確定下來。在設(shè)計與建設(shè)信息安全管理風(fēng)險體系時，工作人員必須要對其風(fēng)險評估目標(biāo)進行確定，這樣才能對企業(yè)信息安全管理的要求與方法進行明確，進而切實圍繞該目標(biāo)來構(gòu)建信息安全管理工作制度，更好地定量考核風(fēng)險控制結(jié)果，及時發(fā)現(xiàn)信息安全管理中的風(fēng)險，進而采取有效的應(yīng)對方法;第二，需要對信息安全風(fēng)險評估的范圍予以明確。因為企業(yè)不同，其所能承受的風(fēng)險也有所差別，所以，需要結(jié)合企業(yè)實際情況來采用相應(yīng)的風(fēng)險控制方式，同樣也需要結(jié)合企業(yè)具體能力來確定其信息安全風(fēng)險承受范圍;第三，需要建設(shè)起相應(yīng)的風(fēng)險評估管理與實施團隊，企業(yè)應(yīng)當(dāng)要積極鼓勵個部門參與到信息安全風(fēng)險控制體系的建設(shè)工作當(dāng)中，只有這樣才能更好地提高信息安全管理的效率與質(zhì)量。

4 ?結(jié) ?論

當(dāng)今時代是新技術(shù)革命信息時代，計算機信息技術(shù)廣泛應(yīng)用于各大企業(yè)，為企業(yè)提高工作效率，獲取更大經(jīng)濟效益提供了堅實的技術(shù)保障。信息安全管理工作的復(fù)雜性、重要性及系統(tǒng)性應(yīng)引起企業(yè)管理者的重視，在著力發(fā)展企業(yè)同時，要兼顧企業(yè)信息安全管理工作，提高風(fēng)險防范意識，有效解決企業(yè)信息安全管理問題，全面提升企業(yè)信息安全管理工作水平，保證企業(yè)安全性和穩(wěn)定性，促進企業(yè)健康良性發(fā)展。

參考文獻：

[1] 王乃盈.試析企業(yè)信息安全管理及風(fēng)險防范策略 [J].中國新通信，2018，20（10）：165.

[2] 王穎波.試析企業(yè)信息安全管理及風(fēng)險防范策略 [J].數(shù)字化用戶，2018，24（38）：136.

[3] 溫勃.大數(shù)據(jù)時代企業(yè)信息安全管理體系研究 [J].中國新通信，2018，20（10）：164.

[4] 魏凱琳，高啟耀.大數(shù)據(jù)供應(yīng)鏈時代企業(yè)信息安全的公共治理 [J].云南社會科學(xué)，2018（1）：50-56.

作者簡介：戴延軍（1983.10—），男，漢族，湖北鄂州人，信息開發(fā)部副主任，高級工程師，碩士，研究方向：企業(yè)信息化、信息安全。