謝志宏

摘 要：當(dāng)今社會已步入知識經(jīng)濟(jì)（信息經(jīng)濟(jì)）時代，因此企業(yè)信息化建設(shè)中信息安全必須得到保證。本文從企業(yè)信息化建設(shè)的意義、企業(yè)信息化建設(shè)中的安全問題、企業(yè)信息化安全問題的原因、企業(yè)信息化建設(shè)中實現(xiàn)信息安全的措施四方面展開。

關(guān)鍵詞：企業(yè)信息化建設(shè)；信息安全問題

企業(yè)信息化建設(shè)已成為企業(yè)建設(shè)的重要組成部分。通過企業(yè)信息化建設(shè)，企業(yè)的生產(chǎn)和流通可以更好地運行；在互聯(lián)網(wǎng)的作用下，形成企業(yè)現(xiàn)代化的發(fā)展模式、途徑。然而企業(yè)信息化建設(shè)并非處在一個沒有任何干擾其發(fā)展的環(huán)境中，其發(fā)展受到了多方面的束縛（比如內(nèi)部認(rèn)知，信息系統(tǒng)支撐以及管理等方面的問題）；并且存在信息安全問題，如黑客、病毒等的入侵。如果這些信息安全問題較為嚴(yán)重，不但不利于企業(yè)信息化的建設(shè)，更有可能對企業(yè)的現(xiàn)代化發(fā)展造成不利的影響。

一、企業(yè)信息化建設(shè)的意義

企業(yè)信息化建設(shè)具有可觀的經(jīng)濟(jì)價值，通過信息化企業(yè)的生產(chǎn)效率將大大提高，特別是在提升企業(yè)生產(chǎn)力水平方面，信息化將會發(fā)揮巨大的作用，信息化是形成了企業(yè)經(jīng)濟(jì)優(yōu)勢與競爭優(yōu)勢的重要手段。企業(yè)信息化建設(shè)具有不菲的管理價值，企業(yè)通過信息化建設(shè)能夠使管理更具針對性、更有效率，使企業(yè)的管理更加符合時代發(fā)展的需要。企業(yè)信息化建設(shè)具有很大的社會價值，通過單個企業(yè)的信息化建設(shè)帶動整個的社會信息化建設(shè)，藉此使得社會的科技水平得以迅速提升，在和諧社會的創(chuàng)建中起到了重要的作用，擁有了無可取代的地位。

二、企業(yè)信息化建設(shè)中的安全問題

（一）風(fēng)險與攻擊。任何企業(yè)的信息系統(tǒng)都存在一定的風(fēng)險性。一般地說來，主要風(fēng)險是（被）攻擊，主要（被）攻擊方式有以下四種：（1）中斷，主要包括惡意破壞硬盤、通信線路或某些文件系統(tǒng)。（2）截獲，主要是違法復(fù)制文件或數(shù)據(jù)，通過網(wǎng)絡(luò)竊聽或截取數(shù)據(jù)。（3）篡改，主要是非法改變消息內(nèi)容、數(shù)據(jù)以及程序內(nèi)容。（4）偽造，這種攻擊方式主要是指非法偽造文件、消息或是增加記錄等。

（二）漏洞問題。（1）軟件漏洞。如果軟件中存在安全漏洞，將有可能導(dǎo)致不法人員利用這些漏洞攻擊企業(yè)的信息系統(tǒng)。（2）協(xié)議漏洞。由于開放式的TCP/IP網(wǎng)絡(luò)協(xié)議在最初設(shè)計之時，并未充分考慮到網(wǎng)絡(luò)受到人為因素的影響從而導(dǎo)致信息傳輸受到安全威脅，因此TCP/IP協(xié)議在安全機(jī)制方面存在很多漏洞，某些攻擊者完全能夠利用這些漏洞來達(dá)到攻擊企業(yè)信息系統(tǒng)的非法目的，主要是通過地址欺騙、地址假冒等方式。

（三）Web服務(wù)安全問題。（1）Web服務(wù)器端。服務(wù)器端存在被竊取保密信息的危險，非法分子能夠通過在Web主機(jī)上執(zhí)行命令而去修改企業(yè)信息系統(tǒng)相關(guān)信息的犯罪目的。（2）瀏覽器客戶端。不法人員通過執(zhí)行程序破壞瀏覽器的方式破壞用戶系統(tǒng)，從而達(dá)到竊取用戶機(jī)密信息與數(shù)據(jù)的目的，嚴(yán)重地危害了用戶的信息安全。

（四）電子郵件安全問題。（1）電子郵件病毒，電子郵件內(nèi)藏有病毒，在瀏覽郵件時或下載附件的時潛伏到電腦中，立即或擇機(jī)發(fā)作；（2）機(jī)密信息泄露，由于電子郵件的發(fā)送要經(jīng)過許多不同路由器的轉(zhuǎn)發(fā)，直到最終發(fā)送到接收主機(jī)，在這一過程中攻擊者能夠?qū)㈦娮余]件截取并從中獲得用戶的機(jī)密信息；（3）垃圾郵件，不法人員通過發(fā)送垃圾郵件大量耗費收件人的時間和精力，并有可能造成接收端郵件服務(wù)器阻塞；（4）電子郵件炸彈，不法分子通過某些郵件軟件將大量的電子郵件寄給同一接受者，導(dǎo)致接收者的郵箱堵塞，嚴(yán)重時還會造成網(wǎng)絡(luò)癱瘓。

三、企業(yè)信息化安全問題的原因

（一）企業(yè)信息化安全問題的內(nèi)部原因。（1）企業(yè)對于信息系統(tǒng)安全的重視不夠。企業(yè)對信息系統(tǒng)安全的認(rèn)識不足，特別是對企業(yè)信息化建設(shè)的價值沒有一個正確的定位，因此造成了對企業(yè)信息安全建設(shè)不重視的現(xiàn)象，這是導(dǎo)致企業(yè)信息化安全問題的一大原因。（2）安全管理上存在問題。信息安全管理是企業(yè)信息化的基礎(chǔ)保證，信息系統(tǒng)的管理以及信息安全體系的維護(hù)與升級均需要有專業(yè)人員負(fù)責(zé)。但是由于企業(yè)信息化投入不足或尚未成熟和完善，管理上存在人才缺口、安全管理機(jī)制不健全等現(xiàn)象，從而使企業(yè)信息化安全水平受到很大影響。（3）我國安全技術(shù)仍就比較落后。當(dāng)前國內(nèi)適用于企業(yè)信息化建設(shè)的軟件在質(zhì)量和數(shù)量上都存在一定的問題，特別信息安全技術(shù)與與國外先進(jìn)水平仍有較大差距。這種差距的存在使得企業(yè)信息化系統(tǒng)極易受到病毒或黑客的侵?jǐn)_，最終可能導(dǎo)致企業(yè)信息系統(tǒng)不能健康、良好的運行，影響到了企業(yè)信息安全。（4）操作上存在問題。相對于工業(yè)自動化而言企業(yè)信息化是一個比較新的概念，企業(yè)往往比較注重信息化成果的獲取，而對于信息安全管理中操作人員水平或是人員數(shù)量容易忽視，這很可能直接導(dǎo)致企業(yè)信息化建設(shè)過程中出現(xiàn)操作問題，進(jìn)而導(dǎo)致企業(yè)信息化出現(xiàn)安全隱患。（5）法律法規(guī)不健全。企業(yè)信息化乃至整個網(wǎng)絡(luò)信息安全保護(hù)的法律法規(guī)仍處于起步階段，很多內(nèi)容屬于范圍性政策，真正意義上具有法律約束力的不多。法律法規(guī)并不能形成對具體事件的控制與約束，難于發(fā)揮法律法規(guī)應(yīng)有的指導(dǎo)作用，企業(yè)信息安全目前還得不到法律法規(guī)上強(qiáng)有力的支撐，很大程度上也降低了企業(yè)進(jìn)行信息安全建設(shè)的主動性。

（二）企業(yè)信息化安全問題的外部原因。企業(yè)信息系統(tǒng)大量的安全威脅源自于企業(yè)外部。當(dāng)今社會不斷發(fā)展，網(wǎng)絡(luò)應(yīng)用也越來越普及，信息在市場競爭中所占據(jù)的位置也越來越重要。許多不法分子也正是看到了這一點，于是利用一些非法手段攻擊企業(yè)的信息系統(tǒng)，從中盜取重要信息進(jìn)而為自己謀求利益；更有甚者，某些企業(yè)為了達(dá)到打敗競爭對手的目的，指使企業(yè)內(nèi)部人員或雇傭企業(yè)外部人員，采取各種手段獲取對方的重要信息；企業(yè)外部信息安全威脅，當(dāng)然也涉及到了上面所講到的法律法規(guī)不健全的問題。

四、企業(yè)信息化建設(shè)中實現(xiàn)信息安全的措施

當(dāng)今社會已經(jīng)進(jìn)入了信息時代，信息對一個企業(yè)的良性、長足發(fā)展無疑是至關(guān)重要的，然而企業(yè)信息系統(tǒng)安全問題成為當(dāng)前企業(yè)發(fā)展過程中一個不得不面對的重大問題。確保企業(yè)信息安全指的是采取有效措施保護(hù)信息資產(chǎn)，使之不因偶然或惡意侵犯而遭受破壞、篡改及泄露，保證信息系統(tǒng)能夠連續(xù)、可靠、正常地運行，使安全事件對業(yè)務(wù)造成的影響降低到最小，確保業(yè)務(wù)運行的連續(xù)性。必須做到以下四個方面。

（一） 樹立正確的安全意識。企業(yè)內(nèi)部上至董事會下到每個員工都應(yīng)該樹立正確的安全意識，不得對外泄露任何企業(yè)機(jī)密信息；必須充分認(rèn)識到信息安全的重要性，才能保證企業(yè)各項工作正常、有序進(jìn)行。

（二）加強(qiáng)企業(yè)內(nèi)部信息系統(tǒng)管理。建立一整套系統(tǒng)的安全評估、管理機(jī)制，只有對企業(yè)信息系統(tǒng)所存在的安全風(fēng)險進(jìn)行正確的評估，成功預(yù)測安全風(fēng)險對企業(yè)可能造成的不利影響程度，才能制定出合適的對策并加以整改；建立規(guī)范合理的信息安全管理體制，使企業(yè)在面臨安全問題時能夠及時、準(zhǔn)確地做出響應(yīng)并予以解決，成為企業(yè)信息安全的堅實后盾。

（三）加強(qiáng)企業(yè)內(nèi)部專業(yè)人才隊伍建設(shè)。保障企業(yè)信息安

全，必須依靠管理和技術(shù)，其中起決定性困素的還是人才！同等條件下，高水的專業(yè)人才所完成的工作效果與其他人完成的存在明顯區(qū)別。因此必須在企業(yè)內(nèi)部建立一支高水平、高技能和比較穩(wěn)定的信息安全管理專業(yè)隊伍，在信息安全知識和技能領(lǐng)域不斷加以培訓(xùn)，并借助企業(yè)外部信息安全專業(yè)機(jī)構(gòu)的力量不斷提高專業(yè)能力和企業(yè)信息安全保護(hù)能力。

（四）選擇先進(jìn)的安全防護(hù)技術(shù)。盡管任何系統(tǒng)都會有破解之法，只是存在時間長短和難度大小的問題。但是選擇較為先進(jìn)的安全防護(hù)技術(shù)，就等于為企業(yè)加設(shè)了一層比較好的屏障，使得企業(yè)受到同樣攻擊時體現(xiàn)出較強(qiáng)的防護(hù)能力，贏得應(yīng)對和解決安全問題的時機(jī)。從而保障企業(yè)信息化建設(shè)和應(yīng)用，促進(jìn)企業(yè)健康發(fā)展。

參考文獻(xiàn)：

[1] 辛玉紅. 企業(yè)信息化建設(shè)中的信息安全問題[J]. 現(xiàn)代情報，

2004，11：205-208.

[2] 秦海峰. 企業(yè)信息化建設(shè)中信息安全問題的分析研究[J]. 中國信息界，2012，05：61-62.