隨著市場經(jīng)濟的不斷發(fā)展,企業(yè)競爭越來越激烈,國際化合作不斷增多,隨之而來的企業(yè)信息安全是目前我國企業(yè)普遍存在的問題。對企業(yè)來說,信息安全是一項艱巨的工作,關(guān)系到企業(yè)的發(fā)展。近年來,圍繞企業(yè)信息安全問題的話題不斷,企業(yè)信息安全事件也頻頻發(fā)生,如何保證企業(yè)信息的安全,保證信息系統(tǒng)的正常運轉(zhuǎn),已經(jīng)成為信息安全領(lǐng)域研究的新熱點。
1 企業(yè)信息安全的意義
信息安全是一個含義廣泛的名詞,是指防止信息財產(chǎn)被故意的或偶然的非授權(quán)泄露、更改、破壞,或防止信息被非法辨識、控制,即確保信息的保密性、可用性、完整性和可控性。企業(yè)的正常運轉(zhuǎn),離不開信息資源的支撐。企業(yè)信息安全建設(shè)對企業(yè)的發(fā)展意義重大。
首先,信息安全是時代發(fā)展的需要。計算機網(wǎng)絡(luò)時代的發(fā)展,改變了傳統(tǒng)的商務(wù)運作模式,改變了企業(yè)的生產(chǎn)方式和思想觀念,極大推動了企業(yè)文化的發(fā)展。企業(yè)信息安全的建設(shè)將使得企業(yè)的管理水平與國際先進水平接軌,從而成長為企業(yè)向國際化發(fā)展與合作的有力支撐。
其次,信息安全是企業(yè)發(fā)展的需要。企業(yè)的信息化建設(shè)帶來了生產(chǎn)效率提高、成本降低、業(yè)務(wù)拓展等諸多好處。當前越來越多的企業(yè)信息和數(shù)據(jù),都是以電子文檔的形式存在,對企業(yè)來說,信息安全是使企業(yè)信息不受威脅和侵害的保證,是企業(yè)發(fā)展的基本保障,所以,在積極防御,綜合防范的方針指導(dǎo)下,有效地防范和規(guī)避風(fēng)險,建立起一套切實可行的長效防范機制,逐步建立起信息安全保障體系,有利于企業(yè)的發(fā)展。
最后,信息安全是企業(yè)穩(wěn)定的必要前提。信息安全成為保障和促進企業(yè)穩(wěn)定和信息化發(fā)展的重點,要充分認識信息安全工作的緊迫感和長期性,從企業(yè)的安全、經(jīng)濟發(fā)展、企業(yè)穩(wěn)定和保護企業(yè)利益的角度來思考問題,扎扎實實地做好基礎(chǔ)性工作和基礎(chǔ)設(shè)施建設(shè),在建立信息安全保障體系的過程中,必須搞好鏈接信息安全保障體系建設(shè)安全、建設(shè)健康的網(wǎng)絡(luò)環(huán)境,關(guān)注信息戰(zhàn)略,保障和促進信息化的健康發(fā)展。
2 企業(yè)信息安全的現(xiàn)狀
我國企業(yè)信息安全包括計算機系統(tǒng)的硬、軟件及系統(tǒng)中的數(shù)據(jù)受到保護,不受偶然的或惡意的原因而遭到破壞、更改、泄露,使得系統(tǒng)連續(xù)、可靠、正常的運行,網(wǎng)絡(luò)服務(wù)不中斷。計算機和網(wǎng)絡(luò)技術(shù)具有復(fù)雜性和多樣性,使得企業(yè)信息安全成為一個需要持續(xù)更新和提高的領(lǐng)域。就目前來看,主要存在以下三個方面的隱患。
2.1 企業(yè)缺少信息安全管理制度
企業(yè)信息安全是一個比較新的領(lǐng)域,目前還缺少比較完善的法規(guī),現(xiàn)有的法規(guī),由于相關(guān)安全技術(shù)和手段還沒有成熟和標準化,法規(guī)也不能很好地被執(zhí)行,安全標準和規(guī)范的缺少,導(dǎo)致無從制定合理的安全策略并確保此策略能被有效執(zhí)行。企業(yè)的信息系統(tǒng)安全問題是一個系統(tǒng)工程,涉及到計算機技術(shù)和網(wǎng)絡(luò)技術(shù)以及管理等方方面面,同時,隨著信息系統(tǒng)的延伸和新興技術(shù)集成應(yīng)用升級換代,它又是一個不斷發(fā)展的動態(tài)過程。因此對企業(yè)信息系統(tǒng)運行風(fēng)險和安全需求應(yīng)進行同期化的管理,不斷制定和調(diào)整安全策略,只有這樣,才能在享受企業(yè)信息系統(tǒng)便利高效的同時,把握住信息系統(tǒng)安全的大門。
2.2 員工缺少安全管理的責任心
一個企業(yè)的信息系統(tǒng)是企業(yè)全體人員參與的,不考慮全員參與的信息安全方案,恰恰忽視信息安全中最關(guān)鍵的因素――人,因為他們才是企業(yè)信息系統(tǒng)的提供者和使用者,他們是影響信息安全系統(tǒng)能否達到預(yù)期要求的決定因素。在眾多的攻擊行為和事件中,發(fā)生最多的安全事件是信息泄露事件。攻擊者主要來自企業(yè)內(nèi)部,而不是來自企業(yè)外部的黑客等攻擊者,安全事件造成最大的經(jīng)濟損失主要是內(nèi)部人員有意或無意的信息泄露事件。針對內(nèi)部員工的泄密行為,目前還沒有成熟的、全面的解決,對于來自企業(yè)信息內(nèi)部信息泄密的安全問題,一直是整個信息安全保障體系的難點和弱點所在。
2.3 信息系統(tǒng)缺乏信息安全技術(shù)
計算機信息安全技術(shù)是一門由密碼應(yīng)用技術(shù)、信息安全技術(shù)、數(shù)據(jù)災(zāi)難與數(shù)據(jù)恢復(fù)技術(shù)、操作系統(tǒng)維護技術(shù)、局域網(wǎng)組網(wǎng)與維護技術(shù)、數(shù)據(jù)庫應(yīng)用技術(shù)等組成的計算機綜合應(yīng)用學(xué)科。由于認識能力和技術(shù)發(fā)展的局限性,在硬件和軟件設(shè)計過程中,難免留下技術(shù)缺陷,網(wǎng)絡(luò)硬件、軟件系統(tǒng)多數(shù)依靠進口,由此可造成企業(yè)信息安全的隱患,現(xiàn)在黑客的攻擊并不是為了破壞底層系統(tǒng),而是為了入侵應(yīng)用,竊取數(shù)據(jù),帶有明顯的商業(yè)目的,許多黑客就是通過計算機操作系統(tǒng)的漏洞和后門程序進入企業(yè)信息系統(tǒng)。隨著網(wǎng)絡(luò)應(yīng)用要求的越來越多,針對應(yīng)用的攻擊也越來越多,除了在管理制度上確保信息安全外,還要在技術(shù)上確保信息安全。
3 企業(yè)信息安全中存在的問題
信息時代的到來,從根本上改變了企業(yè)經(jīng)營形式,企業(yè)實施信息化為其帶來便利的同時也產(chǎn)生了巨大的信息安全風(fēng)險。由于我國企業(yè)信息安全工作還處于起步階段,基礎(chǔ)薄弱,導(dǎo)致信息安全存在一些亟待解決的問題。比較常見的問題有病毒危害、“黑客”攻擊和網(wǎng)絡(luò)攻擊等,這些問題給企業(yè)造成直接的經(jīng)濟損失,成為企業(yè)信息安全的最大威脅,使企業(yè)信息安全存在著風(fēng)險因素。
3.1 病毒危害
計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者數(shù)據(jù),影響計算機使用并且能夠自我復(fù)制的一組計算機指令或者程序代碼,它是具有破壞作用的程序或指令集合。計算機病毒已經(jīng)泛濫成災(zāi),幾乎無孔不入,據(jù)統(tǒng)計,計算機病毒的種類已經(jīng)超過4萬多種,而且還在以每年40%的速度在遞增,隨著Internet技術(shù)的發(fā)展,病毒在企業(yè)信息系統(tǒng)中傳播的速度越來越快,其破壞性也越來越來越強。
3.2 “黑客”攻擊
“黑客”是英文Hacker的諧音,黑客是利用技術(shù)手段進入其權(quán)限以外的計算機系統(tǒng)的人。黑客破解或破壞某個程序、系統(tǒng)及網(wǎng)絡(luò)安全,或者破解某系統(tǒng)或網(wǎng)絡(luò)以提醒該系統(tǒng)所有者的系統(tǒng)安全漏洞的過程。通常采用后門程序、信息炸彈、拒絕服務(wù)、網(wǎng)絡(luò)監(jiān)聽、密碼破解等手段侵入計算機系統(tǒng),盜竊系統(tǒng)保密信息,進行信息破壞或占用系統(tǒng)資源,黑客攻擊已經(jīng)成為近年來經(jīng)常出現(xiàn)的問題。
3.3 網(wǎng)絡(luò)攻擊
網(wǎng)絡(luò)攻擊就是對網(wǎng)絡(luò)安全威脅的具體表現(xiàn),利用網(wǎng)絡(luò)存在的漏洞和安全缺陷對系統(tǒng)和資源進行的攻擊。尤其是在最近幾年里,網(wǎng)絡(luò)攻擊技術(shù)和攻擊工具有了新的發(fā)展趨勢,使借助Internet運行業(yè)務(wù)的企業(yè)面臨著前所未有的風(fēng)險。由此可知,企業(yè)的信息安全問題、以及對信息的安全管理都是至關(guān)重要的。要保證企業(yè)信息安全,就必須找出存在信息安全問題的根源,并具有良好的安全管理策略。
4 企業(yè)信息安全的解決方案
為確保企業(yè)信息安全,要堅持積極防御,綜合防范的方針,全面提高信息安全防護能力。因此,面對企業(yè)信息安全的現(xiàn)狀和企業(yè)信息安全發(fā)展中出現(xiàn)的問題,必須實施對企業(yè)的信息安全管理,建設(shè)信息安全管理體系,只有建立完善的安全管理制度,將信息安全管理自始至終貫徹落實于信息管理系統(tǒng)的方方面面,企業(yè)信息安全才能得以實現(xiàn)。企業(yè)信息安全的解決方案,具體表現(xiàn)在以下三個方面:
4.1 建立完善的安全管理體系
完整的企業(yè)信息系統(tǒng)安全管理體系首先要建立完善的組織體系,完成制定并發(fā)布信息安全管理規(guī)范和建立信息安全管理組織等工作,保障信息安全措施的落實以及信息安全體系自身的不斷完善。并建立一套信息安全規(guī)范,詳細說明各種信息安全策略。一個詳細的信息安全規(guī)劃可以減輕對于人的因素帶來的信息安全問題。最基本的企業(yè)安全管理過程包括:采用科學(xué)的企業(yè)信息資產(chǎn)評估和風(fēng)險分析模型法、設(shè)計完備的信息系統(tǒng)動態(tài)安全模型、建立科學(xué)的可實施的安全策略,采取規(guī)范的安全防范措施、選用可靠穩(wěn)定的安全產(chǎn)品等。安全防范體系的建立不是一勞永逸的,企業(yè)網(wǎng)絡(luò)信息自身的情況不斷變化,新的安全問題不斷涌現(xiàn),必須根據(jù)暴露出的一些問題,進行更新,保證網(wǎng)絡(luò)安全防范體系的良性發(fā)展,
4.2 提高企業(yè)員工的安全意識
科技以人為本,在信息安全方面也是靠人來維護企業(yè)的利益,我們在企業(yè)信息網(wǎng)絡(luò)鞏固正面防護的時候不能忽視對人的行為規(guī)范和績效管理。企業(yè)員工信息安全意識的高低是一個企業(yè)信息安全體系是否能夠最終成功實施的決定性因素。企業(yè)應(yīng)當制定企業(yè)人員信息安全行為規(guī)范,必須有專門管理人才,才能有效地實現(xiàn)企業(yè)安全、可靠、穩(wěn)定運行,保證企業(yè)信息安全。教育培訓(xùn)是培訓(xùn)信息安全人才的重要手段,企業(yè)可以對所有相關(guān)人員進行經(jīng)常性的安全培訓(xùn),強化技術(shù)人員對信息安全的重視,提升使用人員的安全觀念,有針對性的開展安全意識宣傳教育,逐步提高員工的安全意識,強調(diào)人的作用,使他們明確企業(yè)各級組織和人員的安全權(quán)限和責任,使他們的行為符合整個安全策略的要求。
4.3 不斷優(yōu)化企業(yè)信息安全技術(shù)
企業(yè)一旦制定了一套詳細的安全規(guī)劃來武裝自己,保護其智力資產(chǎn),它就開始投入到選擇采用正確信息安全技術(shù)上。可供企業(yè)選擇的防止信息安全漏洞的安全技術(shù)有很多。當企業(yè)選擇采用何種技術(shù)時,首先了解信息安全的三個領(lǐng)域是十分有幫助的,這三個領(lǐng)域變得:驗證與授權(quán)、預(yù)防和抵制、檢測和響應(yīng)。其中,用戶驗證是確認用戶身份的一種方法,一旦系統(tǒng)確認了用戶身份,那么它就可以決定該用戶的訪問權(quán)限,比如使用用戶名和密碼。預(yù)防和抵抗技術(shù)是指企業(yè)阻止入侵者訪問。對于任何企業(yè),必須對那些故障做好準備和預(yù)測,目前可以幫助預(yù)防和建設(shè)抵抗攻擊的技術(shù)主要有內(nèi)容過濾、加密和防火墻,在選用防火墻的時候,需要對所安裝的防火墻做一些攻擊測試。此外,企業(yè)信息安全的最后一道屏障是探測和反應(yīng)技術(shù),最常見的探測和反應(yīng)技術(shù)是殺毒軟件。
5 結(jié)語
總之,企業(yè)信息安全是一項復(fù)雜的系統(tǒng)工程,企業(yè)要適應(yīng)現(xiàn)代化發(fā)展的需要,要提高自身信息安全意識,加強對信息安全風(fēng)險防范意識的認識,重視安全策略的施行及安全教育,必須做到管理和技術(shù)并重,安全技術(shù)必須結(jié)合安全措施,并加強信息安全立法和執(zhí)法的力度,建立備份和恢復(fù)機制,為企業(yè)設(shè)計適合實際情況的安全解決方案,制定正確和采取適當?shù)陌踩呗院桶踩珯C制,保證企業(yè)安全體系處于應(yīng)有的健康狀態(tài)。
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://m.hanmeixuan.com/
本文標題:企業(yè)信息安全建設(shè)
本文網(wǎng)址:http://m.hanmeixuan.com/html/support/1112159503.html
相關(guān)文章
