浅议如何保证企业信息安全.docVIP

浅议如何保证企业信息安全 　　摘 要：随着互联网以及信息技术的进一步发展，各种信息的流通更加方便、快捷。然而不容忽视的是，迅速发展的信息技术也为企业信息安全带来了不利的影响。本文结合实际情况，第一部分分析了目前企业信息化存在的安全隐患，第二、三部分就如何保证企业信息安全提出自己的看法，以期能给相关人员提供有益的参考意见。 关键词：企业信息；安全；网络；信息技术 中图分类号：TP393.08 随着信息化建设的不断深入，企业对网络信息系统的依赖性越来越强，几乎所有的工作内容以及数据都存储在网络中。然而由于网络具有开放性，因此企业的信息存在着极大的安全隐患问题。一旦信息被偷窃或泄露，将会给企业造成难以估量的损失。因此说，保证企业信息安全具有极其重要的意义，它直接关系着整个企业的生产和经营。然而在实际的工作中，企业信息化仍然存在着一些问题，直接影响着企业的信息安全。 1 企业信息化存在的隐患 随着信息化的高速发展，为企业及社会带来了显而易见的效益：提高的工作效率、减少的纸张浪费、快捷方便的通讯等等。但信息化也是一柄”双刃剑”，尤其是在企业管理、商业保密等工作中，还存在着令人堪忧的隐患： 一是物理安全风险。物理安全风险包括计算机系统的设备、设施和信息面临因自然灾害、环境事故（如断电）、人为物理操作失误以及不法分子进行违法犯罪等风险。 二是数据安全风险。数据安全风险包括竞争性业务的经营和管理数据泄漏，数据被人为恶意篡改或破坏等。 三是网络安全风险。网络安全风险包括病毒造成网络瘫痪与拥塞、内部或外部人为恶意破坏造成网络设备瘫痪、来自互联网黑客的入侵威胁等。 2 保证企业信息安全的基本对策 2.1 正确认识企业信息安全问题 企业的信息安全问题，绝不仅仅是一个仅靠防火墙、密码等等技术就能解决的问题，它还与人们的职业道德、社会道德以及企业管理等问题密切相关。因此，在维护企业信息安全时，我们必须站在宏观的角度对问题进行考虑。在过去看来，一个企业信息的安全问题，是领导层或者IT单个部门的事情，但是凭少数人或部门的工作，对于保障公司的信息不被泄漏，防护信息存储不被破坏、攻击和偷盗是很难的事。笔者认为，意识指导行动，信息安全问题首先要解决的是员工的思想认识问题，只有企业的每一个人都认识到信息安全的重要性，才能在工作中自觉地维护信息安全。因为在任何一个体系中，人都是最活跃、最具有影响力和决定意义的因素，因此对于企业的信息安全问题而言，企业内部员工才是保护信息安全的最可靠、最有效的重大保障。此外，还可以加强引进信息安全技术人才以及信息安全管理人才，并在日常工作中，加强对队伍专业知识以及工作技能的培训，从而为企业建设一支强有力的信息安全保卫队伍。 其次信息管理部门要全面作好专业技术支持与防范工作，根据业务的需求采取适当的保护措施，实施专业应用系统。例如，保护企业信息安全的技术可以采用主动反击、网络入侵陷阱、密码、取证、防火墙、安全服务、防病毒、可信服务、PKI 服务、身份识别、备份恢复、网络隔离等等保护产品以及保护技术，通过确保信息安全的最大化，来实现企业生产经营持续发展以及经济效益的最大化。此外，还可以在工作的过程中，进一步优化企业信息安全管理，并进行管理监控以及安全风险评估，分析入侵防范、服务器架构等等关键问题，以全面性、多角度的掌控，确保企业信息系统的安全性、稳定性，因为信息安全问题不具有静态性，信息管理始终处在一个不停变动的动态性过程，因此即使我们不可能确保信息的绝对安全，也必须做到相对安全，从而最大限度的降低企业风险。 2.2 建立健全信息安全管理制度 信息安全不仅是技术问题，更主要是管理问题。任何技术措施只能起到增强信息安全防范能力的作用，俗话说“三分技术，七分管理”，只有良好的管理工作才能使保障技术措施得到充分发挥，是能否对信息网络实施有效信息安全保障的关键。现在中国石油股份有限公司内控体系中涉及信息内部控制的《信息系统总体控制办法》（以下简称“GCC”）就很好的涵盖了信息安全的各个方面，包括了机房管理、服务器管理、网络管理和系统管理等。因此在实际的工作中，我们可以通过“三步骤”来实现企业信息的安全管理制度的健全化、完善化。 第一，结合企业自身的实际，分析企业存在的问题以及预期的目标，制定具有科学性、合理性、实效性、可行性的信息安全管理制度，使保护信息安全工作做到有法可依，有章可循。第二，建立信息安全管理机构，明晰信息安全管理负责人的职务和责任，并建立相应的考核机制和激励机制，以督促、鼓励相关负责人的工作，提高信息管理工作质量。第三，真正贯彻管理措施，加强制度的执行力度，只有这样，才能从根本上实现管理工作以及工作目标，最终提高企业的信息安全管理水平。