淺議企業信息安全管理

金杰

摘 要：隨著改革開放的不斷深入以及經濟的不斷發展，市場上各類企業的競爭越來越激烈，同時，近年來，企業的生產經營與計算機網絡的聯系越來越緊密，企業的每一項業務都越來越離不開信息技術的支持。因此，在企業不斷提升競爭力的同時，越來越多的企業開始關注企業信息安全管理的工作，認識到企業信息安全管理工作的重要性，并采取了一系列的措施維護企業的信息安全，但是經過調查分析發現我國企業在信息安全管理工作上仍然存在較為嚴重的不足。為了更好地幫助我國企業實現科學的信息安全管理，本文首先分析威脅企業信息安全的幾點因素，并介紹了企業信息安全管理中常用的辦法，在此基礎上，對更好地實現企業信息安全管理提出幾點意見與建議。

關鍵詞：企業；信息管理；對策

一、引言

企業要想在市場當中生存并發展，不僅僅要提升企業競爭力，還需要時時刻刻關注企業的信息安全。現代市場競爭十分激烈，只有做好企業的信息安全管理，才能避免企業因為信息管理的疏漏造成相關的損失。

近十年來，企業的生產經營越來越離不開網絡，離不開計算機，企業的每一項活動都需要計算機與網絡的參與，企業的管理需要借助相關的計算機軟件，企業的銷售需要運用到電子商務，企業的倉儲管理需要數據庫系統的支持，在企業感受到計算機帶來生產經營便利的同時，企業也不得不重視由計算機網絡所帶來的信息安全問題。通過分析我國企業信息安全管理的相關資料，可以發現我國企業在信息安全管理上所做的努力顯然無法與西方企業相比，我國企業在信息安全管理這條路上還有很長的路要走。

我國企業在信息管理上起步較晚，同時受制于觀念，技術，人力等各個方面的因素，我國企業在信息安全管理上存在十分嚴重的漏洞。不僅如此，企業信息安全管理受到各方面的威脅，各類病毒層出不窮，釣魚軟件，木馬也防不勝防，我國企業信息安全管理所面臨的考驗十分嚴峻。企業的信息安全管理不僅僅是企業自身的事，企業是我國經濟發展最重要的角色，倘若我國企業在信息安全管理上存在漏洞，這也將直接影響我國的經濟發展，這并不是危言聳聽。

因此，加強我國企業信息安全管理勢在必行，必須采取有效的舉措提升我國企業信息安全管理水平。開展我國企業信息安全管理工作不僅僅需要政府的支持，企業自身也應當充分認識到企業信息安全管理對于企業自身的重要性，企業信息安全管理并不是一件小事，理應得到足夠的重視。下面本文將首先介紹影響我國企業信息安全管理的幾點因素，結合各種影響我國企業信息安全的幾點因素展開探討，在此基礎上，分析我國企業在信息安全管理中常用的手段，并通過借鑒國外優秀企業在信息安全管理的經驗，對更好地完善我國企業信息安全管理提出幾點意見與建議。

二、企業面臨的信息安全管理風險

1.企業內部管理缺陷

企業要想提升信息安全管理的水平，其中很重要的一個步驟在于完善企業的管理制度。企業的信息安全管理會受到許許多多的因數影響，但是做好企業信息安全管理的基礎在于提升企業的內部管理水平。企業內部管理的制度涉及到企業生產經營的方方面面，倘若企業在內部管理制度上存在缺陷，那么做好企業的信息安全管理也就無從談起了。常見的影響企業信息安全管理的制度缺陷有以下幾個方面。第一，企業對于企業內部信息安全管理的工作人員缺乏監督。企業信息安全管理必須建立在企業信息安全管理工作人員認知履行職責，規范操作的基礎上，倘若企業對于信息安全管理的工作人員缺乏監督，那么久很難保證企業整個信息安全管理系統的行之有效。第二，企業對于企業內部信息安全管理工作人員缺乏培訓，企業內部并沒有指定相關的信息安全管理規章制度。要想完善企業的信息安全管理，就必須做到對企業內部信息安全管理的每一個環節都一絲不茍，對每一個可能存在信息安全漏洞的地方都要嚴格管理，對每一項信息安全管理的工作步驟都做明確要求。要想確保企業內部信息安全管理系統的平穩運行，只有從規范企業內部信息安全管理的行為規范上著手。第三，企業內部信息安全管理系統投入不足。這一點在我國大型企業上并不存在，我國大型企業擁有足夠的資金，足夠的人力資本，足夠技術投入，相比較于我國中小型企業，在信息安全管理工作上具有較大的優勢。可是，我國大型企業畢竟是少數，我國中小企業的數量十分巨大，中小企業并沒有相應的資金，人員，技術投入，中小企業受制于現實條件，在信息安全管理系統上所做的工作嚴重不足，我國中小企業在信息安全上所面臨的風險十分巨大。

2.影響企業信息安全管理的外部因素

影響我國企業信息安全管理的外部因素有許多。常見的影響我國企業信息安全管理的外部因素包括病毒，木馬，釣魚網站等等。不論是誰出于怎么樣的目的破壞企業的信息安全，較為常見的手段也就是通過黑客攻擊企業的信息安全管理系統。我國企業在應對黑客的攻擊時往往處于較為被動的局面，一方面，黑客屬于主動攻擊，主動攻擊的前提在于對于企業的內部信息安全管理系統有著較為全面的了解，并且往往已經掌握了企業內部信息安全管理系統所存在的安全漏洞，另一方面，我國絕大多數企業在信息安全管理系統的投入有限，企業內部信息安全管理的工作人員在技術手段上與黑客比較并沒有優勢。即使企業內部信息安全管理的工作人員最終能夠戰勝黑客，但是，由于缺乏完善的信息安全手段，對企業內部重要的信息保護不足，黑客對企業的信息安全所造成的影響往往也是致命的。反擊黑客的攻擊行為往往具有滯后性，因此，即使戰勝了黑客，但是黑客對企業信息安全的攻擊行為往往已經發生，企業必然會因此造成相應的損失，在現代企業經營管理信息化的背景下，這樣的攻擊行為對企業造成的損失往往是企業不能夠承擔的，很有可能影響一個企業最基本的生存。

三、完善企業信息安全管理的幾點建議

1.建立信息安全密碼

密碼技術近年來在應用中不斷成熟，越來越多企業開始將密碼技術應用到企業信息安全管理中去，這是一個十分正確的選擇。企業內部信息具有重要價值，密碼技術是企業信息安全最為關鍵的一道屏障。密碼的形式十分多樣，企業應當根據自身情況正確選擇密碼的形式，密碼技術是一項十分成熟的技術，應當得到更多的關注，并且將這項技術全面應用到企業內部信息安全管理當中去。企業內部信息得到密碼的保護，能夠在企業內部信息不慎泄露后得到最大化的保護，對于企業內部信息的密碼也應當嚴格保密，做好相關的密碼保護工作。

2.建立安全管理制度

企業信息安全管理制度的建立需要多方面的配合，同時，企業信息安全管理制度的建立是一項十分復雜的工作，必須在實踐的過程中不斷完善。建立企業內部信息安全管理制度是為了更加規范地保證企業內部信息的安全，也對企業內部信息安全管理人員的工作內容，工作步驟做了明確規定，這對于企業內部形成信息安全管理的長效機制具有重要價值。企業信息安全管理制度應當與企業的實際生產經營情況相結合，在盡可能不影響企業正常工作的前提下，對企業的信息安全作出明確規定。常見的規定包括定期組織企業內部信息安全管理工作人員進行信息安全的例行檢查；對企業內部信息安全管理人員的工作做到全面監督，有效反饋等等。

3.建立數據庫的備份與恢復機制

現如今，外界主動攻擊企業信息安全的事件越來越頻發，企業在被外界攻擊信息安全后所造成的損失往往無法挽回，同時這些信息對于企業具有十分重要的價值，倘若能夠及時恢復相關信息，能夠在很大程度上減小企業所遭受的損失，因此，建立一套基于數據庫信息備份與還原的信息安全管理機制十分重要。企業內部信息系統數據庫的備份，可以有效保障企業信息系統非法入侵后的系統恢復工作。備份是對數據庫內容保護最為穩定和容易的一種方法。當不穩定因素發生的時候，能夠保證企業網絡信息的正常運行。而恢復的理解，就是在不限定因素發展之后利用網絡技術的備份功能用來對數據庫內容進行重新恢復并正常使用的功能。

4.建立網絡安全預警系統

一般這種情況可以分為人為預警和病毒預警兩個方面。 在電腦中的重要位置安裝上網絡入侵監測體系，可以便于對電腦的技術和安全性在發展危害行為或改變。入侵監測體系還能通過設立在固定時間對制定要求的位置進行監督和控制，判斷哪些系統是具有危害性的，但是防火墻還不能夠準確判斷的系統。主要針對的是從企業內部管理出現漏洞后對自身安全系統的“侵略”行為。而病毒預警系統通常是采用對企業內部網絡的全部數據進行監督監控的行為，確保在一天每個時間段內都對數據包傳送掃描一旦發展病毒就要馬上進行危險信息提示，使得相關工作人員可以很快的通過定位查找的方法找到病毒的發出地。同時，在短時間內陸續產生通過快速掃描出來的網絡日志和調查報告，為企業專業人員查找病毒具體來源提供便利條件。

5.建立信息安全風險評估機制

建立企業內部的信息安全風險評估機制對于完善企業內部信息安全管理工作同樣具有重要意義。定期對企業內部信息安全進行風險評估，能夠幫助企業更好地做好企業內部信息安全的預防工作，能夠幫助企業更準備地了解企業經營管理過程中信息安全管理存在疏漏的地方。通過建立企業內部的信息安全風險評估機制，對于幫助企業從制度與技術兩方面完善企業內部信息安全管理制度具有重要意義。具體而言，建立企業內部信息安全風險評估機制需要做到以下兩個方面的工作。一方面，在企業各個層次建立一個風險指標系統，設計一個風險計算模型來計算出企業的基本風險值，通過對企業各個層次上的風險評估來對企業整體固定的風險狀況進行反映。另一方面，主要針對業務操作過程中風險因素的復雜情況，在業務操作方面也建立一個風險指標系統、同樣用設計的風險計算模型來計算出該企業的實時風險值，該方面的風險評估測試主要是為了對業務部門運行過程反映。由于業務活動操作面臨的風險是動態的且是復雜的，因此對其進行W金評估的操作頻率要高，只要通過這套風險評估體系的實施，企業就可以清楚掌握和及時了解企業自身的整體信息安全風險程度，從而提高企業的信息安全管理的水平。

參考文獻：

[1]焦洪濤.中小企業信息安全管理策略研究[D].西安理工大學，2009.

[2]李慧.信息安全管理體系研究[D].西安電子科技大學，2005.

[3]梁軍.湖南電信公司內網信息安全體系建設的研究[D].湖南大學，2007.

[4]陳科.信息系統安全風險評估研究[D].華東師范大學，2009.

[5]韓穎.國稅部門信息系統網絡安全分析與策略[D].北京郵電大學，2010.

[6]崔健，李冰.基于企業社會責任視角的日本企業信息安全分析[J].現代日本經濟，2011.