企业信息安全管理及风险防范策略分析
2020-11-06戴延军
摘 要:文章将以中冶南方都市环保工程技术股份有限公司为例,通过对企业信息安全重要性进行分析,并从漏洞扫描技术、防火墙技术、信息加密技术、病毒库技术、硬件设备管理水平提升以及信息安全管理风险体系的建设方面着手对有效提高企业信息安全管理和风险防范策略提出粗浅看法,并且在漏洞扫描内容上列出实际工作数据作为辅证,以为信息安全管理工作者提供有效参考建议。
关键词:企业信息化;信息安全管理;风险防范
中图分类号:TP309 文献标识码:A 文章编号:2096-4706(2020)12-0142-03
Abstract:This article will take China City Environment Protection Engineering Limited Company as an example to analyze the importance of enterprise information security,and from the vulnerability scanning technology,firewall technology,information encryption technology,virus library technology,hardware equipment management level improvement and information security management risk system construction to effectively improve the enterprise information security management and risk prevention strategy,and in the vulnerability scanning content listed the actual work data as supporting evidence to provide effective reference suggestions for information security managers.
Keywords:enterprise information;information security management;risk prevention
0 引 言
当今随着企业信息化发展越来越成熟,企业信息化管理模式也越来越大,企业信息化设备和系统、硬件和软件使用和更新换代也日益频繁。虽然当前企业非常重视信息安全管理工作,不断以专业技术手段来构建并完善信息安全管理制度基础体系的建设,并对内部网络信息应用系统建设和构建了各种网络信息防范措施,但黑客技术也在不断更新发展,网络病毒层出不穷,加上企业网络系统结构复杂、系统繁多、应用部门和应用人员繁多等原因,使中冶南方都市环保工程技术股份有限公司信息安全问题受到影响,所以必须得时刻重视提防。下文将根据笔者实际工作经验,介绍了日常工作中常用的强化信息安全管理的措施,并以漏洞扫描技术为例,来分析与探讨有效的企业信息安全风险防范策略。
1 企业信息安全管理的重要性
计算机网络技术在各类企业中得到了越来越广泛的应用,小到企业员工个人信息、人事资料管理、财务信息管理、档案资料管理等,大到如航天发射计算机系统、电力自动化系统等。企业信息安全包括物理安全、网络安全、用户安全及信息安全等方方面面,从一个源代码、一個用户密码、一个IP地址、一项技术发明到一个项目设计等,如果受到竞争对手利用网络病毒如木马病毒、钓鱼病毒或者勒索病毒等的攻击、窃取或篡改,容易造成企业信息系统崩溃,影响正常运行,造成重大经济损失,以至于严重阻滞企业发展,甚至造成企业破产灭亡。
同时,企业中的个人信息,如人事资料、工资信息、财务信息等泄露,一旦被非法分子利用,不但个人信息安全会受到严重影响,还会对个人信息保护和财产安全造成难以估量的损失。对于企业个人用户来说,信息安全意识淡薄或者使用不当也会给自身和企业带来很大麻烦。如近期有一员工违法企业规定,将工作资料上传网易网盘,这严重违反了企业信息安全管理制度,容易对企业技术信息造成泄露,一旦被竞争对手或者别有用心者利用,将对企业造成不可估量的损害。
2 加强企业信息安全管理策略
2.1 加强企业信息安全管理制度体系建设
企业应按照《中华人民共和国网络安全法》,结合企业自身实际情况制定本单位信息安全实施管理制度,构建相应管理框架,成立专门的信息安全管理领导小组,主要覆盖决策、管理及执行三个层次,并下设信息安全规划、信息安全监督设计和信息安全运营保障小组,同时企业应设立专门的企业信息安全运营管理经费,使企业信息安全管理、运行及维护等工作有充分保障。同时落实网络安全监管责任制,明确对端口服务器或者计算机终端采取必要防病毒、防攻击措施,专机专用,对使用管理情况进行日常监督和全面检查。
2.2 加强信息系统硬件安全建设
企业信息系统包括硬件和软件两大基础板块构件,其中信息系统硬件主要有计算机、路由器、通讯安全设备等产品,使用者通过网络交换、Web数据库、网络管理、防火墙等技术手段以硬件产品为依托来实现信息系统运行和保障信息系统安全的操作。因此企业应加强在硬件使用安全上的管理和监督。如做到专网专用,不可不同单位计算机互相访问;专网采取监测、记录网络运行状态、网络安全事件等技术措施;客户端和终端开机密码、使用密码等不能设置简单的“123456”此类低端密码等,通过此类措施,确保企业信息系统硬件管理有据可依,有章可循。同时设置硬件安全使用管理和维护小组,定期派专业技术人员进行检查维护,对硬件存在的安全隐患问题及时作出科学有效处理,确保信息系统正常运行。
2.3 提高软件系统安全
当前企业信息都是有电脑软件系统处理,主要使用TCP/IP网络协议,网络划分为内网和外网,采用双网双机管理模式。因此做好企业信息安全防护的首要前提是要合理划分信息网,做好隔离装置,使外网和内网双网双机和谐管理,使边界主机纵深基本防御得到最大保护。加强对软件系统开发力度,提高软件安全性能,不断提高软件系统抵御外来病毒攻击的能力,使其充分发挥保护性能和价值。
3 企业信息安全风险防范对策分析
3.1 漏洞扫描技术
系统漏洞是计算机安全隐患最常见原因之一,加强漏洞扫描技术开发,通过定时定期对计算机终端、客户端及服务器等硬件网络设备扫除排查,对检测出系统漏洞进行及时修复补丁,及时消除安全隐患。表1为笔者近期所进行的漏洞扫描处理的记录。将获得的漏洞扫描结果进行针对性的处理,以此可以提升整体企业计算机的安全系数。
3.2 防火墙技术
防火墙主要分为软件防火墙和硬件防火墙,硬件防火墙技术如NAT、VPN、网络加密和身份认证等主要应用于路由器和交换机等的硬件。软件系统防火墙主要作用于网络与网络访问间,形成杜绝非法访问,控制数据输出和输入的屏障。
3.3 信息加密技术
主要是通过数学或者物理手段,对电子信息在传输过程中和存储体内进行保护,以防止信息泄露。一般通过计算机密钥来实现,比如加密软件常采用硬件加密和加密软盘等形式来达到信息保密。
3.4 病毒库技术提升
计算机病毒开发越来越多,且逐渐复杂化和高级化,严重影响计算机系统安全。如给人体打预防针一样,信息安全管理工作要加强对病毒的分类,建立自己专门的病毒库,开发相关防病毒系统,形成完善的数据信息库,方便分析排查处理,不断提高自身信息系统病毒防御能力。
3.5 不断提升硬件设备管理水平
在不断完善软件系统防御能力的同时,加大对硬件设备的开发提升,对电脑、路由器、服务终端机等硬件设备要不断提高使用性能和安全性,这样才能确保硬件和软件互相配合,保证信息系统正常运行。
3.6 科学建设企业信息安全管理风险体系
要想有效提高企业信息安全与风险管理效果,一个重要的前提条件就是建设完善的企业的信息安全管理体系。第一,将企业信息安全风险评估的目标科学确定下来。在设计与建设信息安全管理风险体系时,工作人员必须要对其风险评估目标进行确定,这样才能对企业信息安全管理的要求与方法进行明确,进而切实围绕该目标来构建信息安全管理工作制度,更好地定量考核风险控制结果,及时发现信息安全管理中的风险,进而采取有效的应对方法;第二,需要对信息安全风险评估的范围予以明确。因为企业不同,其所能承受的风险也有所差别,所以,需要结合企业实际情况来采用相应的风险控制方式,同样也需要结合企业具体能力来确定其信息安全风险承受范围;第三,需要建设起相应的风险评估管理与实施团队,企业应当要积极鼓励个部门参与到信息安全风险控制体系的建设工作当中,只有这样才能更好地提高信息安全管理的效率与质量。
4 结 论
当今时代是新技术革命信息时代,计算机信息技术广泛应用于各大企业,为企业提高工作效率,获取更大经济效益提供了坚实的技术保障。信息安全管理工作的复杂性、重要性及系統性应引起企业管理者的重视,在着力发展企业同时,要兼顾企业信息安全管理工作,提高风险防范意识,有效解决企业信息安全管理问题,全面提升企业信息安全管理工作水平,保证企业安全性和稳定性,促进企业健康良性发展。
参考文献:
[1] 王乃盈.试析企业信息安全管理及风险防范策略 [J].中国新通信,2018,20(10):165.
[2] 王颖波.试析企业信息安全管理及风险防范策略 [J].数字化用户,2018,24(38):136.
[3] 温勃.大数据时代企业信息安全管理体系研究 [J].中国新通信,2018,20(10):164.
[4] 魏凯琳,高启耀.大数据供应链时代企业信息安全的公共治理 [J].云南社会科学,2018(1):50-56.
作者简介:戴延军(1983.10—),男,汉族,湖北鄂州人,信息开发部副主任,高级工程师,硕士,研究方向:企业信息化、信息安全。
