浅析企业信息安全概述及防范

关键词：信息安全 风险防范

摘要：该文对企业信息安全所面临的风险进行了深入探讨，并提出了对应的解决安全问题的思路和方法。

随着计算机信息化建设的飞速发展而信息系统在企业中所处的地位越来越重要。信息安全随着信息技术的不断发展而演变，其重要性日益越来越明显，信息安全所包含的内容、范围也不断的变化。信息安全有三个中心目标。保密性：保证非授权操作不能获取受保护的信息或计算机资源。完整性：保证非授权操作小能修改数据。有效性：保证非授权操作不能破坏信息或计算机资源。信息安全的重点放在了保护信息，确保信息在存储，处理，传输过程中及信息系统不被破坏，确保对合法用户的服务和限制非授权用户的服务，以及必要的防御攻击的措施。

1 企业信息安全风险分析

计算机信息系统在企业的生产、经营管理等方面发挥的作用越来越重要，如果这些信息系统及网络系统遭到破坏，造成数据损坏，信息泄漏，不能正常运行等问题，则将对企业的生产管理以及经济效益等造成不可估量的损失，信启、技术在提高生产效率和管理水平的同时，也带来了不同以往的安全风险和问题。

信息安全风险和信息化应用情况密切相关，和采用的信息技术也密切相关，公司信息系统面临的主要风险存在于如下几个方面。

计算机病毒的威胁：在业信息安全问题中，计算机病毒发生的频率高，影响的面宽，并且造成的破坏和损失也列在所有安全威胁之首。病毒感染造成网络通信阻塞，系统数据和文件系统破坏，系统无法提供服务甚至破坏后无法恢复，特别是系统中多年积累的重要数据的丢失，损失是灾难性的。

在目前的局域网建成，广域网联通的条件下，计算机病毒的传播更加迅速，单台计算机感染病毒，在短时间内可以感染到通过网络联通的所有的计算机系统。病毒传播速度，感染和破坏规模与网络尚未联通之时相比，高出几个数量级。

网络安全问题：企业网络的联通为信息传递提供了方便的途径。业有许多应用系统如：办公自动化系统，营销系统，电子商务系统，ERP，CRM，远程教育培训系统等，通过广域网传递数据。目前大部分企业都采用光纤的方式连接到互联网运营商，企业内部职工可以通过互联网方便地浏览网络查阅、获取信息，即时聊天、发送电子邮件等。

如何加强网络的安全防护，保护企业内部网上的信息系统和信息资源的安全，保证对信息网络的合法使用，是目前一个热门的安全课题，也是当前企业面临的一个非常突出的安全问题。

信息传递的安全不容忽视：随着办公自动化，财务管理系统，各个企业相关业务系统等生产，经营方面的重要系统投入在线运行，越来越多的重要数据和机密信息都通过企业的内部局域网来传输。

网络中传输的这些信息面临着各种安全风险，例如被非法用户截取从而泄露企业机密；被非法篡改，造成数据混乱，信息错误从而造成工作失误。

用户身份认证和信息系统的访问控制急需加强：企业中的信息系统一般为特定范围的用户使用，信息系统中包含的信息和数据，也只对一定范围的用户开放，没有得到授权的用户不能访问。为此各个信息系统中都设计r用户管理功能，在系统中建立用户，设置权限，管理和控制用户对信息系统的访问。这些措施在一定能够程度上加强系统的安全性。但在实际应用中仍然存在一些问题。

一是部分应用系统的用户权限管理功能过于简单，能灵活实现更细的权限控制。二是各应用系统没有一个统一的用户管理，企业的一个员工要使用到好几个系统时，在每个应用系统中都要建立用户账号，口令和设置权限，用户自己都记不住众多的账号和口令，使用起来非常不方便，更不用说账号的有效管理和安全了。

如何为各应用系统提供统一的用户管理和身份认证服务，是我们开发建设应用系统时必须考虑的一个共性的安全问题。

2 解决信息安全问题的基本原则

企业要建立完整的信息安全防护体系，必须根据企业实际情况，，结合信息系统建设和应用的步伐，统筹规划，分步实施。

2．1做好安全风险的评估

进行安全系统的建设，首先必须全面进行信息安全风险评估，找出问题，确定需求，制定策略，再来实施，实施完成后还要定期评估和改进。

信息安全系统建设着重点在安全和稳定，应尽量采用成熟的技术和产品，不能过分求全求新。

培养信息安全专门人才和加强信息安全管理工作必须与信息安全防护系统建设同步进行，才能真正发挥信息安全防护系统和设备的作用。

2．2采用信息安全新技术，建立信息安全防护体系

企业信息安全面临的问题很多，我们可以根据安全需求的轻重缓急，解决相关安全问题的信息安全技术的成熟度综合考虑，分步实施。技术成熟的，能快速见效的安全系统先实施。

2．3根据信息安全策略，出台管理制度，提高安全管理水平

信息安全的管理包括了法律法规的规定，责任的分化，策略的规划，政策的制订，流程的制作，操作的审议等等。虽然信息安全“七分管理，三分技术”的说法不是很精确，但管理的作用可见一斑。

3 解决信息安全问题的思路和方法企业的信息安伞管理要从以下几个方面人手，相辅相成、互相配合。

3．1从技术手段入手保证网络的安全

网络安全指由于网络信息系统基于网络运行和网络问的互联互通造成的物理线路和连接的安全、网络系统安全、操作系统安全、应用服务安全、人员管理安全几个方面。网络由于其本身开放性所带来的各个方面的安全问题是事实存在的。我们在正视这一事实的基础上，在承认不可能有绝对安全的网络系统的前提下，努力探讨如何加强网络安全防范性能，如何通过安全系列软件、硬件及相关管理手段提高网络信息系统的安全性能，降低安全风险，及时准确地掌握网络信息系统的安全问题及薄弱环节，及早发现安全漏洞、攻击行为井针对性地做出预防处理。

在攻击发生过程中，尽早发现，及时阻断。在攻击发十后，尽快恢复并找出原因。

保证网络安全的技术于段包括：过滤、信息分析临控、安全管理、扫描评估、入侵侦测、实时响应、防病毒保护、存取控制等。其措施有：网络互联级防火墙、网络隔离级防火墙、网络安全漏洞扫描评估系统、操作系统安全漏洞扫描评估系统、信息流捕获分析系统、安全实时监控系统、入侵侦洲与实时响应系统、网络病毒防护系统、强力存取控制系统等。信息安全指数据的保密性、完整性、真实性、可用性、不町否认性及可控性等安全，技术手段包括加密、数字签名、身份认证、安全协议(set、ss

1)及ca机制等。文化安全主要指有害信息的传播对我国的政治制度及文化传统的威胁，主要表现在舆论宣传方面。主要柯：黄色、反动信息泛滥，敌对的意识形态信息涌入，瓦联网被利用作为串联工具等。其技术手段包括：信息过滤、设置网关、监测、控管等，同时要强有力的管理措施配合，才可取得良好的效果。

3．2建立、健全企业息安全管理制度

任何一个信息系统的安全，在很大程度上依赖于最初设计时制定的网络信息系统安全策略及相关管理策略。因为所有安全技术和手段，都围绕这一策略来选择和使用，如果在安全管理策略上出了问题，相当于没有安全系统。同时，从大角度来看，网络信息系统安全与严格、完善的管理是密不可分的。在网络信息系统安全领域，技术手段和相关安全工具只是辅助手段，离开完善的管理制度与措施，是没法发挥应有的作用并建设良好的网络信息安全空间的。

国家在信息安全方面发布了一系列的法律法规和技术标准，对信息网络安全进行了明确的规定，并有专门的部门负责信息安垒的管理和执法。企业首先必须遵守国家发布的这些法律法规和技术标准，企业也必须依据这些法律法规，来建立自己的管理标准，技术体系，指导信息安全工作。学习信息安全管理国际标准，提升企业信息安全管理水平国际上的信息技术发展和应用比我们先进，在信息安全领域的研究起步比我们更早，取得了很多的成果和经验，我们可以充分利用国际标准来指导我们的工作，提高水平，少走弯路。

信息安全是企业信息化工作中一项重要而且长期的工作，为此必须各单位建立一个信息安全工作的组织体系和常设机构，明确领导，设立专责人长期负责信息安全的管理工作和技术工作，长能保证信息安全工作长期的，有效的开展，才能取得好的成绩。

3．3充分利用企业网络条件，提供全面。及时和快捷的信息安全服务

很多企业通过广域网联通了系统内的多个二级单位，各单位的局域网全部建成，在这种良好的网络条件下，作为总公司一级的信息安全技术管理部门应建立计算机网络应急处理的信息发布与技术支持平台，发布安全公告，安全法规和技术标准，提供信息安全设备选型、安全软件下载，搜集安全问题，解答用户疑问，提供在线的信息安全教育培训，并为用户提供一个相互交流经验的场所。网络方式的信息服务突破了时间，空间和地域的限制，是信息安全管理和服务的重要方式。

3．4定期评估，不断的发展，改进，完善

企业的信息化应用是随着企业的发展而不断发展的，信息技术更是日新月异的发展的，安全防护软件系统由于技术复杂，在研制开发过程中不可避免的会出现这样或者那样的问题，这势必决定了安全防护系统和设备不可能百分百的防御各种已知的，未知的信息安全威胁。安全的需求也是逐步变化的，新的安全问题也不断产生，原来建设的防护系统可能不满足新形势下的安全需求，这些都决定了信息安全是一个动态过程，需要定期对信息网络安全状况进行评估，改进安全方案，调整安全策略。

不是所有的信息安全问题可以一次解决，人们对信息安全问题的认识是随着技术和应用的发展而逐步提高的，不可能一次就发现所有的安全问题。信息安全生产厂家所生产的系统和设备，也仅仅是满足某一些方面的安全需求，不是企业有某一方面的信息安全需求，市场上就有对应的成熟产品，因此不是所有的安全问题都可以找到有效的解决方案。

4 结语

企业信息安全是一项复杂的系统工程，涉及技术、设备、管理和制度等多方面的因素，安全解决方案的制定需要从整体上进行把握。信息安全解决方案是综合各种计算机网络信息系统安全技术，将安全操作系统技术、防火墙技术、病毒防护技术、入侵检测技术、安全扫描技术等综合起来，形成一套完整的、协调一致的网络安全防护体系。我们必须做到管理和技术并重，安全技术必须结合安全措施，并加强计算机立法和执法的力度，建立备份和恢复机制，制定相应的安全标准。信息安全是一个伴随着企业信息化应用发展而发展的永恒课题。