浅谈如何保证企业信息安全

  • 格式:doc
  • 大小:17.00 KB
  • 文档页数:4

龙源期刊网 http://www.qikan.com.cn
浅谈如何保证企业信息安全
作者:魏玥科
来源:《计算机光盘软件与应用》2013年第12期

摘 要:随着互联网以及信息技术的进一步发展,各种信息的流通更加方便、快捷。然而
不容忽视的是,迅速发展的信息技术也为企业信息安全带来了不利的影响。本文结合实际情
况,第一部分分析了目前企业信息化存在的安全隐患,第二、三部分就如何保证企业信息安全
提出自己的看法,以期能给相关人员提供有益的参考意见。

关键词:企业信息;安全;网络;信息技术
中图分类号:TP393.08
随着信息化建设的不断深入,企业对网络信息系统的依赖性越来越强,几乎所有的工作内
容以及数据都存储在网络中。然而由于网络具有开放性,因此企业的信息存在着极大的安全隐
患问题。一旦信息被偷窃或泄露,将会给企业造成难以估量的损失。因此说,保证企业信息安
全具有极其重要的意义,它直接关系着整个企业的生产和经营。然而在实际的工作中,企业信
息化仍然存在着一些问题,直接影响着企业的信息安全。

1 企业信息化存在的隐患
随着信息化的高速发展,为企业及社会带来了显而易见的效益:提高的工作效率、减少的
纸张浪费、快捷方便的通讯等等。但信息化也是一柄"双刃剑",尤其是在企业管理、商业保密
等工作中,还存在着令人堪忧的隐患:

一是物理安全风险。物理安全风险包括计算机系统的设备、设施和信息面临因自然灾害、
环境事故(如断电)、人为物理操作失误以及不法分子进行违法犯罪等风险。

二是数据安全风险。数据安全风险包括竞争性业务的经营和管理数据泄漏,数据被人为恶
意篡改或破坏等。

三是网络安全风险。网络安全风险包括病毒造成网络瘫痪与拥塞、内部或外部人为恶意破
坏造成网络设备瘫痪、来自互联网黑客的入侵威胁等。

2 保证企业信息安全的基本对策
2.1 正确认识企业信息安全问题
企业的信息安全问题,绝不仅仅是一个仅靠防火墙、密码等等技术就能解决的问题,它还
与人们的职业道德、社会道德以及企业管理等问题密切相关。因此,在维护企业信息安全时,
龙源期刊网 http://www.qikan.com.cn
我们必须站在宏观的角度对问题进行考虑。在过去看来,一个企业信息的安全问题,是领导层
或者IT单个部门的事情,但是凭少数人或部门的工作,对于保障公司的信息不被泄漏,防护
信息存储不被破坏、攻击和偷盗是很难的事。笔者认为,意识指导行动,信息安全问题首先要
解决的是员工的思想认识问题,只有企业的每一个人都认识到信息安全的重要性,才能在工作
中自觉地维护信息安全。因为在任何一个体系中,人都是最活跃、最具有影响力和决定意义的
因素,因此对于企业的信息安全问题而言,企业内部员工才是保护信息安全的最可靠、最有效
的重大保障。此外,还可以加强引进信息安全技术人才以及信息安全管理人才,并在日常工作
中,加强对队伍专业知识以及工作技能的培训,从而为企业建设一支强有力的信息安全保卫队
伍。

其次信息管理部门要全面作好专业技术支持与防范工作,根据业务的需求采取适当的保护
措施,实施专业应用系统。例如,保护企业信息安全的技术可以采用主动反击、网络入侵陷
阱、密码、取证、防火墙、安全服务、防病毒、可信服务、PKI 服务、身份识别、备份恢复、
网络隔离等等保护产品以及保护技术,通过确保信息安全的最大化,来实现企业生产经营持续
发展以及经济效益的最大化。此外,还可以在工作的过程中,进一步优化企业信息安全管理,
并进行管理监控以及安全风险评估,分析入侵防范、服务器架构等等关键问题,以全面性、多
角度的掌控,确保企业信息系统的安全性、稳定性,因为信息安全问题不具有静态性,信息管
理始终处在一个不停变动的动态性过程,因此即使我们不可能确保信息的绝对安全,也必须做
到相对安全,从而最大限度的降低企业风险。

2.2 建立健全信息安全管理制度
信息安全不仅是技术问题,更主要是管理问题。任何技术措施只能起到增强信息安全防范
能力的作用,俗话说“三分技术,七分管理”,只有良好的管理工作才能使保障技术措施得到充
分发挥,是能否对信息网络实施有效信息安全保障的关键。现在中国石油股份有限公司内控体
系中涉及信息内部控制的《信息系统总体控制办法》(以下简称“GCC”)就很好的涵盖了信息
安全的各个方面,包括了机房管理、服务器管理、网络管理和系统管理等。因此在实际的工作
中,我们可以通过“三步骤”来实现企业信息的安全管理制度的健全化、完善化。

第一,结合企业自身的实际,分析企业存在的问题以及预期的目标,制定具有科学性、合
理性、实效性、可行性的信息安全管理制度,使保护信息安全工作做到有法可依,有章可循。
第二,建立信息安全管理机构,明晰信息安全管理负责人的职务和责任,并建立相应的考核机
制和激励机制,以督促、鼓励相关负责人的工作,提高信息管理工作质量。第三,真正贯彻管
理措施,加强制度的执行力度,只有这样,才能从根本上实现管理工作以及工作目标,最终提
高企业的信息安全管理水平。

3 加强企业信息安全保障的几点措施
如何有效地解决企业信息安全的专业性管理与技术性防范,笔者认为可从以下几个方面着
手。
龙源期刊网 http://www.qikan.com.cn
3.1 实行严格的网络管理
企业网与互联网的物理隔离、防火墙设置以及端口限制,与互联网相比安全性较高,但在
日常运行管理中我们仍然面临网络链路维护、违规使用网络事件等问题,具体而言:

一是在IP资源管理方面,采用IP+MAC捆绑的技术手段防止用户随意更改IP地址和随意
更换交换机上的端口。这样,就不会出现IP地址被盗用而不能正常使用网络的情况;二是在
网络流量监测方面,使用网络监测软件查看数据、视频、语音等各种应用的利用带宽,防止频
繁进行大文件的传输,甚至发现病毒的转移及传播方向。三是加强服务器管理。常见应用服务
器安装的操作系统多为Windows Server,可利用其自带的安全管理功能进行设置,包括服务器
安全审核、组策略实施、服务器的备份策略以及系统补丁更新等。

3.2 加强客户端监管
对大多数单位的网管来说,客户端的管理都是他们最头痛的问题。只有得力的措施才能解
决这个问题,这里推荐以下方法:

(1)将客户端都加入到域中,使客户端强制性纳入管理员集中管理的范围。
(2)只给用户以普通域用户的身份登录到域,这样就可以限制他们在本地计算机上安装
有安全隐患软件的权利。

(3)实现客户端操作系统补丁程序的自动安装。
(4)利用企业IT部门的工作职能,设置热线帮助和技术支持人员,统一管理局域网内各
客户端问题。

3.3 坚持进行数据备份
由于应用系统的加入,各种数据库日趋增长,如何确保数据在发生故障或灾难性事件情况
下不丢失,是当前面临的一个难题。从成本及易操作性考虑,这里推荐以下两种数据备份方
法:一种是用硬盘进行数据备份;另一种是采用本地磁盘阵列来分别实现各服务器的本地硬盘
数据冗余。

3.4 采取有效病毒防治方式
SYMANTEC公司的Norton Antivirus企业版是一个可选软件。在实施过程中,以一台服务
器作为父服务器,实现对网络中所有计算机的保护和监控,并使用其中有效的管理功能,如:
管理员可以向客产端发送病毒警报、强制对远程客户端进行病毒扫描、锁定远程客产端、病毒
库定期更新等。
龙源期刊网 http://www.qikan.com.cn
参考文献:
[1]丁佐峰.中小型企业信息网络安全架构探究[J].计算机光盘软件与应用,2012(20):
33+37.

[2]胡大威.企业信息安全威胁及解决方案[J].计算机光盘软件与应用,2012(13):1-2
作者简介:魏玥科(1978.7-)女,泸州人,大学本科,中级职称,计算机科学技术及应用
专业。

作者单位:西南油气田销售分公司,成都 610000