姜曉榮　張建英

摘 要：在全球信息化背景下，企業(yè)對(duì)信息資源的依賴(lài)程度越來(lái)越大， 由此帶來(lái)的信息安全問(wèn)題也日益突出。本文從技術(shù)、設(shè)備管理、人員管理、法規(guī)制度等方面分析了企業(yè)在信息安全管理上存在的問(wèn)題，然后針對(duì)這些問(wèn)題提出了一些改進(jìn)措施。

關(guān)鍵詞：企業(yè)；信息安全；信息技術(shù)；管理

一、企業(yè)信息安全存在的問(wèn)題

（一）技術(shù)方面。企業(yè)在信息資源管理過(guò)程中，對(duì)技術(shù)非常依賴(lài)。但是現(xiàn)實(shí)中，企業(yè)相關(guān)管理人員對(duì)技術(shù)的重視程度遠(yuǎn)遠(yuǎn)不夠。導(dǎo)致經(jīng)常出現(xiàn)各種各樣的技術(shù)問(wèn)題，如企業(yè)網(wǎng)站被黑；企業(yè)主機(jī)或服務(wù)器被外部人員入侵，企業(yè)重要信息泄露；技術(shù)問(wèn)題還有軟件開(kāi)發(fā)過(guò)程不規(guī)范，管理軟件設(shè)計(jì)有漏洞；企業(yè)管理軟件沒(méi)有定期更新、升級(jí)等。

（二）管理方面。（1）物理設(shè)備的管理。企業(yè)信息安全管理的設(shè)備主要包括中心機(jī)房、服務(wù)器、網(wǎng)絡(luò)設(shè)備、線路等方面，此外還有門(mén)卡、消防器材等。這些是企業(yè)信息安全保障系統(tǒng)的基礎(chǔ)。這些設(shè)備受到的威脅主要表現(xiàn)在自然災(zāi)害、電磁輻射與惡劣工作環(huán)境方面。自然災(zāi)害無(wú)法避免。但是大多數(shù)企業(yè)對(duì)這些設(shè)備的管理的力度不夠。此外企業(yè)對(duì)這些設(shè)備的防火、防盜意識(shí)還較欠缺。（2）人員的管理。1）企業(yè)人員安全意識(shí)較弱，多數(shù)員工使用默認(rèn)密碼和弱密碼，增加了潛在的風(fēng)險(xiǎn)。也有員工無(wú)意泄露企業(yè)重要信息的情況發(fā)生。對(duì)于員工和管理員的操作缺少日志審計(jì)。2）企業(yè)對(duì)于網(wǎng)絡(luò)安全隊(duì)伍的建設(shè)工作積極性不高，認(rèn)識(shí)不到網(wǎng)絡(luò)安全所存在的隱患。未明確設(shè)置安全管理員、機(jī)房管理員、數(shù)據(jù)庫(kù)管理員、網(wǎng)絡(luò)管理員、存儲(chǔ)管理員等崗位，崗位職責(zé)存在兼任情況。3）許多企業(yè)，網(wǎng)絡(luò)系統(tǒng)管理人員技術(shù)水平達(dá)不到所需要求，會(huì)直接導(dǎo)致系列操作產(chǎn)生問(wèn)題，進(jìn)而使安全漏洞問(wèn)題愈加嚴(yán)重。“入侵者”通常情況下會(huì)利用網(wǎng)絡(luò)管理的不足，從而攻擊，破壞網(wǎng)絡(luò)安全并且獲取有用的信息。他們也會(huì)通過(guò)改變頁(yè)面的數(shù)據(jù)，進(jìn)一步使系繁忙或改變重要信息，嚴(yán)重的更會(huì)導(dǎo)致系統(tǒng)崩潰，造成重大的經(jīng)濟(jì)損失。（3）信息及應(yīng)用系統(tǒng)的管理。大多數(shù)企業(yè)沒(méi)有對(duì)企業(yè)信息進(jìn)行設(shè)置保密等級(jí)；應(yīng)用系統(tǒng)業(yè)務(wù)運(yùn)行情況方面的數(shù)據(jù)也沒(méi)有及時(shí)保存；和應(yīng)用系統(tǒng)相連的數(shù)據(jù)庫(kù)中的重要表未進(jìn)行加密處理；主機(jī)和數(shù)據(jù)庫(kù)沒(méi)有密碼復(fù)雜度限制，也沒(méi)有定期進(jìn)行密碼更改，存在弱口令；缺乏對(duì)應(yīng)用系統(tǒng)和數(shù)據(jù)庫(kù)的操作日志的收集和審計(jì)。

（三）信息安全文件及制度。通過(guò)調(diào)查發(fā)現(xiàn)，大多數(shù)企業(yè)沒(méi)有完整的信息安全政策性文件。信息安全制度的制定也不規(guī)范，沒(méi)有建立有效的發(fā)布、修訂以及落實(shí)情況的管理辦法。

二、企業(yè)信息安全的對(duì)策

（一）技術(shù)方面。（1）安裝正版防護(hù)軟件。企業(yè)放有重要信息的主機(jī)和服務(wù)器必須安裝安全防護(hù)軟件，如360安全衛(wèi)士。必須是正版的，因?yàn)楸I版的服務(wù)質(zhì)量根本得不到有效保障。安裝后定期對(duì)計(jì)算機(jī)進(jìn)行檢測(cè)保護(hù)。（2）信息備份。企業(yè)應(yīng)用系統(tǒng)軟件不能確保不出問(wèn)題，有時(shí)也會(huì)癱瘓；還有存在被外部人員攻擊的危險(xiǎn)，為確保信息的不丟失， 有必要采取技術(shù)備份手段， 對(duì)重要信息進(jìn)行定期備份。（3）訪問(wèn)權(quán)限。企業(yè)信息種類(lèi)很多，它們的保密級(jí)別也是不一樣的。同時(shí)企業(yè)的不同人員對(duì)信息訪問(wèn)的權(quán)利也是不一樣的，為了使不用用戶(hù)訪問(wèn)不同的信息，可通過(guò)技術(shù)手段，給不同的信息、應(yīng)用系統(tǒng)，及不同的人員設(shè)置不同的權(quán)限。這樣在一定程度上也可保障信息的安全。（4）網(wǎng)絡(luò)訪問(wèn)。在互聯(lián)網(wǎng)快速發(fā)展的今天，任何一個(gè)企業(yè)都離不開(kāi)網(wǎng)絡(luò)， 員工需要從網(wǎng)絡(luò)中獲取各種信息。然而， 暢通的網(wǎng)絡(luò)也給非法分子提供了訪問(wèn)企業(yè)內(nèi)部信息的通道。為此，有必要采用網(wǎng)絡(luò)防火墻技術(shù)， 控制內(nèi)網(wǎng)和外網(wǎng)的訪問(wèn)。同時(shí)應(yīng)加強(qiáng)對(duì)惡意代碼的防范，還要注意數(shù)據(jù)傳輸過(guò)程中的保密。（5）加解密。對(duì)企業(yè)重要信息進(jìn)行加密。加密之后的信息，只有擁有密鑰的人才能解密，看到信息的內(nèi)容。這樣對(duì)于沒(méi)有訪問(wèn)權(quán)限的人或某些通過(guò)網(wǎng)絡(luò)截獲傳遞中的密文的非法分子來(lái)說(shuō)，他們是無(wú)法看到真正的信息明文，只能得到零散的無(wú)用的信息。要注意的是應(yīng)該對(duì)密碼的復(fù)雜度進(jìn)行要求，不能太簡(jiǎn)單。

（二）管理方面。（1）人員。企業(yè)的信息資產(chǎn)都是通過(guò)人來(lái)管理和控制的。對(duì)人的管理實(shí)際是信息安全工作中難度最大的工作，業(yè)界有一句話(huà)：“在企業(yè)中信息安全最大的風(fēng)險(xiǎn)是心懷不測(cè)的一些員工可能帶來(lái)的風(fēng)險(xiǎn)”。所以我們要加強(qiáng)對(duì)員工尤其是掌握企業(yè)核心機(jī)密的高管進(jìn)行安全管理。在他們調(diào)動(dòng)離職時(shí)進(jìn)行信息安全審計(jì)，以有效減少信息資產(chǎn)非授權(quán)的傳遞。此外企業(yè)在和客戶(hù)、供應(yīng)商、合作伙伴合作中會(huì)涉及信息傳遞，并會(huì)產(chǎn)生新的信息。這些信息也需要很好的管理。（2）設(shè)備。應(yīng)該針對(duì)機(jī)房精密調(diào)控、以及對(duì)網(wǎng)絡(luò)線路制定保養(yǎng)和檢查計(jì)劃。對(duì)關(guān)鍵服務(wù)器進(jìn)行續(xù)保。目前有部分弱電線路存在端口號(hào)和配線架編號(hào)以及到桌面的點(diǎn)位不符的情況，應(yīng)進(jìn)行梳理。

（三）安全管理制度的制定及實(shí)施。當(dāng)前企業(yè)一要進(jìn)行日常管理制度，安全管理制度的制定和實(shí)施；二是要加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)工作者的規(guī)范管理，培養(yǎng)安全意識(shí)，建立針對(duì)黑客攻擊的“快速反應(yīng)隊(duì)”。同時(shí)必須進(jìn)一步加快對(duì)高層次的網(wǎng)絡(luò)管理人員的相關(guān)技能和經(jīng)驗(yàn)培訓(xùn)，以盡早達(dá)到網(wǎng)絡(luò)安全的目的。

加強(qiáng)法制教育，建立人事檔案管理制度，并進(jìn)行定期檢查。為了更好的安全性管理，IP地址資源應(yīng)統(tǒng)一管理和分配。對(duì)于IP資源的盜用行為，相關(guān)職能管理部門(mén)必須予以嚴(yán)肅處理。