隨著市場經濟的不斷發展,企業競爭越來越激烈,國際化合作不斷增多,隨之而來的企業信息安全是目前我國企業普遍存在的問題。對企業來說,信息安全是一項艱巨的工作,關系到企業的發展。近年來,圍繞企業信息安全問題的話題不斷,企業信息安全事件也頻頻發生,如何保證企業信息的安全,保證信息系統的正常運轉,已經成為信息安全領域研究的新熱點。
1 企業信息安全的意義
信息安全是一個含義廣泛的名詞,是指防止信息財產被故意的或偶然的非授權泄露、更改、破壞,或防止信息被非法辨識、控制,即確保信息的保密性、可用性、完整性和可控性。企業的正常運轉,離不開信息資源的支撐。企業信息安全建設對企業的發展意義重大。
首先,信息安全是時代發展的需要。計算機網絡時代的發展,改變了傳統的商務運作模式,改變了企業的生產方式和思想觀念,極大推動了企業文化的發展。企業信息安全的建設將使得企業的管理水平與國際先進水平接軌,從而成長為企業向國際化發展與合作的有力支撐。
其次,信息安全是企業發展的需要。企業的信息化建設帶來了生產效率提高、成本降低、業務拓展等諸多好處。當前越來越多的企業信息和數據,都是以電子文檔的形式存在,對企業來說,信息安全是使企業信息不受威脅和侵害的保證,是企業發展的基本保障,所以,在積極防御,綜合防范的方針指導下,有效地防范和規避風險,建立起一套切實可行的長效防范機制,逐步建立起信息安全保障體系,有利于企業的發展。
最后,信息安全是企業穩定的必要前提。信息安全成為保障和促進企業穩定和信息化發展的重點,要充分認識信息安全工作的緊迫感和長期性,從企業的安全、經濟發展、企業穩定和保護企業利益的角度來思考問題,扎扎實實地做好基礎性工作和基礎設施建設,在建立信息安全保障體系的過程中,必須搞好鏈接信息安全保障體系建設安全、建設健康的網絡環境,關注信息戰略,保障和促進信息化的健康發展。
2 企業信息安全的現狀
我國企業信息安全包括計算機系統的硬、軟件及系統中的數據受到保護,不受偶然的或惡意的原因而遭到破壞、更改、泄露,使得系統連續、可靠、正常的運行,網絡服務不中斷。計算機和網絡技術具有復雜性和多樣性,使得企業信息安全成為一個需要持續更新和提高的領域。就目前來看,主要存在以下三個方面的隱患。
2.1 企業缺少信息安全管理制度
企業信息安全是一個比較新的領域,目前還缺少比較完善的法規,現有的法規,由于相關安全技術和手段還沒有成熟和標準化,法規也不能很好地被執行,安全標準和規范的缺少,導致無從制定合理的安全策略并確保此策略能被有效執行。企業的信息系統安全問題是一個系統工程,涉及到計算機技術和網絡技術以及管理等方方面面,同時,隨著信息系統的延伸和新興技術集成應用升級換代,它又是一個不斷發展的動態過程。因此對企業信息系統運行風險和安全需求應進行同期化的管理,不斷制定和調整安全策略,只有這樣,才能在享受企業信息系統便利高效的同時,把握住信息系統安全的大門。
2.2 員工缺少安全管理的責任心
一個企業的信息系統是企業全體人員參與的,不考慮全員參與的信息安全方案,恰恰忽視信息安全中最關鍵的因素――人,因為他們才是企業信息系統的提供者和使用者,他們是影響信息安全系統能否達到預期要求的決定因素。在眾多的攻擊行為和事件中,發生最多的安全事件是信息泄露事件。攻擊者主要來自企業內部,而不是來自企業外部的黑客等攻擊者,安全事件造成最大的經濟損失主要是內部人員有意或無意的信息泄露事件。針對內部員工的泄密行為,目前還沒有成熟的、全面的解決,對于來自企業信息內部信息泄密的安全問題,一直是整個信息安全保障體系的難點和弱點所在。
2.3 信息系統缺乏信息安全技術
計算機信息安全技術是一門由密碼應用技術、信息安全技術、數據災難與數據恢復技術、操作系統維護技術、局域網組網與維護技術、數據庫應用技術等組成的計算機綜合應用學科。由于認識能力和技術發展的局限性,在硬件和軟件設計過程中,難免留下技術缺陷,網絡硬件、軟件系統多數依靠進口,由此可造成企業信息安全的隱患,現在黑客的攻擊并不是為了破壞底層系統,而是為了入侵應用,竊取數據,帶有明顯的商業目的,許多黑客就是通過計算機操作系統的漏洞和后門程序進入企業信息系統。隨著網絡應用要求的越來越多,針對應用的攻擊也越來越多,除了在管理制度上確保信息安全外,還要在技術上確保信息安全。
3 企業信息安全中存在的問題
信息時代的到來,從根本上改變了企業經營形式,企業實施信息化為其帶來便利的同時也產生了巨大的信息安全風險。由于我國企業信息安全工作還處于起步階段,基礎薄弱,導致信息安全存在一些亟待解決的問題。比較常見的問題有病毒危害、“黑客”攻擊和網絡攻擊等,這些問題給企業造成直接的經濟損失,成為企業信息安全的最大威脅,使企業信息安全存在著風險因素。
3.1 病毒危害
計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者數據,影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼,它是具有破壞作用的程序或指令集合。計算機病毒已經泛濫成災,幾乎無孔不入,據統計,計算機病毒的種類已經超過4萬多種,而且還在以每年40%的速度在遞增,隨著Internet技術的發展,病毒在企業信息系統中傳播的速度越來越快,其破壞性也越來越來越強。
3.2 “黑客”攻擊
“黑客”是英文Hacker的諧音,黑客是利用技術手段進入其權限以外的計算機系統的人。黑客破解或破壞某個程序、系統及網絡安全,或者破解某系統或網絡以提醒該系統所有者的系統安全漏洞的過程。通常采用后門程序、信息炸彈、拒絕服務、網絡監聽、密碼破解等手段侵入計算機系統,盜竊系統保密信息,進行信息破壞或占用系統資源,黑客攻擊已經成為近年來經常出現的問題。
3.3 網絡攻擊
網絡攻擊就是對網絡安全威脅的具體表現,利用網絡存在的漏洞和安全缺陷對系統和資源進行的攻擊。尤其是在最近幾年里,網絡攻擊技術和攻擊工具有了新的發展趨勢,使借助Internet運行業務的企業面臨著前所未有的風險。由此可知,企業的信息安全問題、以及對信息的安全管理都是至關重要的。要保證企業信息安全,就必須找出存在信息安全問題的根源,并具有良好的安全管理策略。
4 企業信息安全的解決方案
為確保企業信息安全,要堅持積極防御,綜合防范的方針,全面提高信息安全防護能力。因此,面對企業信息安全的現狀和企業信息安全發展中出現的問題,必須實施對企業的信息安全管理,建設信息安全管理體系,只有建立完善的安全管理制度,將信息安全管理自始至終貫徹落實于信息管理系統的方方面面,企業信息安全才能得以實現。企業信息安全的解決方案,具體表現在以下三個方面:
4.1 建立完善的安全管理體系
完整的企業信息系統安全管理體系首先要建立完善的組織體系,完成制定并發布信息安全管理規范和建立信息安全管理組織等工作,保障信息安全措施的落實以及信息安全體系自身的不斷完善。并建立一套信息安全規范,詳細說明各種信息安全策略。一個詳細的信息安全規劃可以減輕對于人的因素帶來的信息安全問題。最基本的企業安全管理過程包括:采用科學的企業信息資產評估和風險分析模型法、設計完備的信息系統動態安全模型、建立科學的可實施的安全策略,采取規范的安全防范措施、選用可靠穩定的安全產品等。安全防范體系的建立不是一勞永逸的,企業網絡信息自身的情況不斷變化,新的安全問題不斷涌現,必須根據暴露出的一些問題,進行更新,保證網絡安全防范體系的良性發展,
4.2 提高企業員工的安全意識
科技以人為本,在信息安全方面也是靠人來維護企業的利益,我們在企業信息網絡鞏固正面防護的時候不能忽視對人的行為規范和績效管理。企業員工信息安全意識的高低是一個企業信息安全體系是否能夠最終成功實施的決定性因素。企業應當制定企業人員信息安全行為規范,必須有專門管理人才,才能有效地實現企業安全、可靠、穩定運行,保證企業信息安全。教育培訓是培訓信息安全人才的重要手段,企業可以對所有相關人員進行經常性的安全培訓,強化技術人員對信息安全的重視,提升使用人員的安全觀念,有針對性的開展安全意識宣傳教育,逐步提高員工的安全意識,強調人的作用,使他們明確企業各級組織和人員的安全權限和責任,使他們的行為符合整個安全策略的要求。
4.3 不斷優化企業信息安全技術
企業一旦制定了一套詳細的安全規劃來武裝自己,保護其智力資產,它就開始投入到選擇采用正確信息安全技術上。可供企業選擇的防止信息安全漏洞的安全技術有很多。當企業選擇采用何種技術時,首先了解信息安全的三個領域是十分有幫助的,這三個領域變得:驗證與授權、預防和抵制、檢測和響應。其中,用戶驗證是確認用戶身份的一種方法,一旦系統確認了用戶身份,那么它就可以決定該用戶的訪問權限,比如使用用戶名和密碼。預防和抵抗技術是指企業阻止入侵者訪問。對于任何企業,必須對那些故障做好準備和預測,目前可以幫助預防和建設抵抗攻擊的技術主要有內容過濾、加密和防火墻,在選用防火墻的時候,需要對所安裝的防火墻做一些攻擊測試。此外,企業信息安全的最后一道屏障是探測和反應技術,最常見的探測和反應技術是殺毒軟件。
5 結語
總之,企業信息安全是一項復雜的系統工程,企業要適應現代化發展的需要,要提高自身信息安全意識,加強對信息安全風險防范意識的認識,重視安全策略的施行及安全教育,必須做到管理和技術并重,安全技術必須結合安全措施,并加強信息安全立法和執法的力度,建立備份和恢復機制,為企業設計適合實際情況的安全解決方案,制定正確和采取適當的安全策略和安全機制,保證企業安全體系處于應有的健康狀態。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://m.lukmueng.com/
本文標題:企業信息安全建設
相關文章
