摘要:企业的正常运行和长远发展离不开企业经营规划、客户资源、生产工艺、核心技术等信息资源的支撑,这些是企业全员共同刻苦钻研、拼搏努力,长期积累下来的智慧结晶,是企业生存与发展的基础,也是一个企业发展的动力方向。所以做好企业信息安全工作至关重要。
随着企业商业机密泄露事件的不断发生和网络环境的日益恶化,企业信息安全问题逐渐被提上议事日程,信息安全建设正在成为越来越多企业的首要头等大事。企业信息安全工作事关企业核心竞争力的高低,关系到企业的长远、健康发展。每一个企业及其管理者都要从观念和行动上重视信息安全建设,查找其中存在的隐患与问题,借鉴先进经验措施进行改进,保护好企业的信息资源,促进自身发展。
信息安全是一门设计网络技术、计算机科学、信息安全技术和通信技术等多专业的综合性学科,它是指由硬软件、基础设施、物理环境、数据等因素组成的信息系统受到保护,不收到恶意的、偶然的原因而遭到更改、破坏或者泄露,系统连续正常可靠地运行,信息服务不中断,最终实现业务的连续性。信息安全要实现信息的完整性、真实性、保密性、未授权拷贝和所寄生系统的安全性。企业信息安全主要包括企业实体安全、信息资产安全、运行安全和人员安全等内容,其对企业的发展壮大具有非常重要的现实意义。做好信息安全工作企业稳定发展的前提基础。
1.网络安全隐患长期存在。互联网的快速发展方便了信息的传递,提升了企业各项管理事项的处理速度与效率,但是网络的联通性也给企业信息安全带来了一定的安全隐患。企业广域网上的用户繁杂,很难进行统一有序的管理,着就使得企业信息资源和信息系统的安全性难以得到有效的保证,这是当前企业信息安全面临的一个主要问题,也是当前的一个热门安全课题。
2.计算机病毒、黑客的危害与攻击。病毒是计算机系统的头号大敌,企业息息系统一旦感染病毒,就有可能造成网络通信故障,破坏系统数据和文件信息,导致系统中的重要数据资料丢失或者损坏,给公司带来灾难性的破坏。黑客通常会通过信息炸弹、密码破解、后门程序和网络监听等手段侵入计算机系统,占用系统资源,破坏或者盗窃系统中的重要秘密信息。
3.企业信息安全管理规章制度缺失。有关企业信息安全方面的规章制度还不够完善,因为相关安全手段和技术还没达到标准化和成熟阶段,现有的法规也不能很好地被贯彻执行,这就导致企业较难制定出能够满足实际需要的科学合理的安全策略来保护自身的信息安全。另外,企业自身的信息安全责任制度也不到位。当前,人们对企业信息安全的认识有一个误区,即信息安全是企业信息技术部门的任务,和其它部门及工作人员没有直接的关系。其实,每一个员工都是信息安全工作的参与者。
4.企业员工信息安全意识不足。事实表明,在众多的信息安全事件中,企业内部员工有意或者无意的信息泄露是发生最多的一种安全事件。企业员工信息安全意识差,或者因为自身利益而丢弃了职业道德与操守,都会给企业带来不必要的经济损失。另外,信息安全管理人员素质低下,如基本信息安全保护常识掌握不到位、用户口令设置不合理等都会给企业带来信息安全隐患。
1.做好网络安全管理工作。首先,加强网络安全审计和日志管理。企业信息安全管理者应该充分利用好入侵检测系统和网络防火墙的审计功能,做好网络审计和日志管理工作,禁止任何人删除或者修改审计记录,严格管理好审计数据信息。其次,加强网络管理制度建设。企业领导要提高信息安全意识,制定必要的安全管理制度,加强网络信息运行环境与基础设施管理与建设。再次,完善企业内网统一认证系统。这是确保网络信息安全的重要措施之一,它可以实现网络信息安全系统的机密、访问控制服务、不可否认服务和身份鉴别服务等。
2.优化网络安全防护体系。企业应该完善企业安全信息管理组织体系,制定安全信息管理规范,详细说明各种信息安全策略,落实信息安全措施。安全防护体系的建立与优化不是一劳永逸的,企业必须根据实际安全问题与漏洞,随时进行系统更新,以确保网络信息安全。此外,还要建立健全防病毒管理制度。不随便往企业内网主机中拷贝互联网上下载的数据资料,禁止在计算机上随便使用来路不明的移动存储设备。企业信息安全管理人员应该掌握基本的预防及处理病毒常识,在电脑上安装防病毒系统。
3.建立健全企业信息安全管理各项规章制度。做好信息安全工作首先要明确安全事故责任,并将其纳入员工个人业绩考核和企业安全生产考核范围内。加强安全信息管理一把手建设,保证信息安全工作责权清晰,按照“谁主管谁负责、谁使用谁负责”的原则,将责任落实到个人。其次,要完善数据安全管理制度。确保数据存储介质安全;对数据信息的操作要经过主管部门负责人的审批,并且确保所有操作工作都在两人以上的场合、在第三方的监督之下进行;定期对重要数据信息进行备份,且将其存储在异地。
4.提高信息安全管理人员综合素质。企业信息安全管理人员安全技术能力和管理能力的高低直接决定着企业信息安全指数的高低,所以,在强化管理人员信息安全意识的同时,还要对其进行必要的信息安全管理理论与技术培训。同时,企业还应该与外部专业技术企业建立长期有效的外部技术支持网络,以便准确、快速地对自身的信息安全事故进行处理,在最短时间内排出突发事故的发生,将企业的损失与风险降低到最低限。
随着企业信息化程度的不断提高和市场竞争的日益激烈化,信息资源将成为一种决定企业成败的重要战略资源。因此,企业要想取的长远发展,永远立于不败之地,就应该重视信息安全管理工作,在制度、技术、员工素质等多方面来保护企业信息的安全性。
[1]尹鸿波.网络环境下企业信息安全管理对策研究[J].电脑与信息技术.2011(4)
[2]张春雷.企业信息安全与防护[J].信息与电脑(理论版) .2013年第3期