企业信息安全出现的问题与应对措施

　　信息技术的应用为企业管理和运营带来了极大的便利，而且随着信息技术在企业中的应用程度越来越高，信息系统在企业管理中发挥的作用也越来越大。但是，企业在享受信息技术带来便利的同时，企业也面临着信息安全的问题。在网络环境下，企业信息系统存在来自物理环境、网络环境和人文环境等多个方面对信息安全产生的威胁。根据有关统计，我国半数以上的企业遭受信息攻击而出现信息泄漏，给企业带来经济损失。尤其是中小企业，它们面临的信息安全问题更加严重。因此，加强企业信息安全管理、保障信息安全，是企业必须重视且亟需解决的问题。

　　1　加强信息安全管理对企业的重要性

　　1.1　维持企业核心竞争力的需求

　　每个企业或多或少都存在机密的商业信息数据，如核心产品、设计文档、用户信用卡信息、订单信息、联系方式等。在市场化程度不断提高的环境下，这些信息是企业发展的命脉，关系到企业生死存亡。一旦企业的核心机密信息被泄漏，企业不仅会面临巨大的经济损失，企业可能因失去核心竞争力而失去市场。

　　1.2　企业制定科学决策的需求

　　企业制定决策严重依赖企业的各项数据，如果数据出现错误，会导致企业制定错误的决策，影响企业发展方向。而加强信息安全管理可以保障企业信息数据的真实性和完整性，为企业制定决策提供科学的参考和分析材料。

　　1.3　保证信息可用性的需要

　　企业的数据信息不仅是企业决策层制定决策的科学依据，也是企业其他职工开展工作的依据。加强企业信息安全管理工作可以防止因数据丢失引起的人员、流程、技术服务中断，确保企业的关键系统得以正常运行。

　　2　企业信息安全出现问题的原因分析

　　2.1　重视程度和认识不足

　　当前许多企业的管理人员对信息管理没有形成正确的认识，对信息安全的认识普遍不够重视。具体表现在：企业管理人员关于信息安全管理的模式为事后管理，只有信息安全出现事故后才会采取措施解决问题，并没有主动采取预防措施。部分企业的管理人员对信息安全存在侥幸心理，认为企业可能不会遭受病毒攻击。

　　重视程度不够造成企业不重视加强信息安全管理措施，导致信息安全面临威胁。

　　另外，企业员工也存在认识不足的问题。由于企业绝大多数员工是信息系统及信息的使用者和提供者，因而企业员工对企业信息安全与否有巨大的影响，企业信息安全管理也需要企业所有员工的参与。但是，从许多企业的信息安全事故可以看到，多数企业出现信息安全的主要原因不是来自网络黑客的恶意攻击，而在于企业内部员工在有意或无意识状态下造成的信息泄漏。这一原因也反映出企业员工对企业信息安全的认识和意识都存在不足，这也是企业信息安全保障系统问题的主要方面。

　　2.2　缺少有效的信息管理制度

　　信息管理属于比较新的领域，当前政府在信息安全管理方面的法律法规并不完善，现有法律法规的安全技术和手段不成熟，缺少标准规范，政府无法根据现有法律法规制定合理的安全策略，保障法律法规可以得到有效的落实。在企业方面，尤其信息安全管理属于系统性统称，它涉及计算机技术、网络技术、信息管理等多个方面。然而计算机和网络技术处于不断发展状态，信息系统也需要不断升级换代。因此，企业信息系统运行风险和安全需求应采取同期化管理方式，不断调整现有安全策略。而企业制定管理措施后以为可以一劳永逸，并没有在随后不断调整安全管理策略。

　　2.3　缺少信息安全技术

　　计算机信息技术包括信息安全技术、数据恢复技术、系统维护技术、数据库应用技术等多项技术组成的计算机综合应用学科。由于技术发展的局限，在设计硬件和软件过程中难免存在技术缺陷，导致软硬件存在漏洞。从企业信息遭受的外界攻击来看，外界攻击的目的并不在于破坏软硬件的底层系统，而是通过软硬件的漏洞侵入系统，窃取企业的核心数据。企业自身对信息安全投入不足，企业的网络结构简单，为他人提供了可乘之机；企业也没有强大的计算人才队伍维护企业信息系统，部分企业甚至缺少专业的管理人员，致使信息安全频发。

　　3　加强企业信息安全的对策

　　3.1　提高企业领导和员工的重视程度

　　首先，企业领导要转变观念，深入对信息安全的认识。其次，对企业员工而言，企业可以聘请专业计算机信息技术人才对企业员工进行安全教育培训，提高企业员工对信息安全的认识，转变职工的观念，加强自身安全规范，避免出现泄漏企业信息的行为。另外，企业要制定企业人员信息安全行为规范，如奖励和惩罚制度、信息安全责任制度，明确信息安全管理责任人及其承担的责任，强化员工的安全意识。加大企业对信息安全的投入，一方面加大信息安全软硬件的投入，信息系统的技术水平；另一方面加大信息安全技术人才队伍建设，企业可通过培养或招聘方式提升信息安全管理队伍的业务水平。

　　3.2　建立完善的信息安全管理体系

　　企业信息安全管理体系包括完善的组织体系、信息安全规范、信息安全管理流程。组织体系包括制定和发布信息安全管理规范、信息安全管理组织工作两项内容，可以有效保障各项信息安全管理措施能够得到有效的落实，促进企业不断改进信息安全体系。信息安全规范的主要内容为对各种信息安全策略加以详细说明和介绍，它的存在最大限度地减少人为因素对企业信息安全造成的威胁。企业信息安全管理流程需要企业根据科学的信息资产评估和分先分析模型法设计系统安全模型，再以此为根据制定和实施科学的安全策略。企业选择可靠的信息安全产品，在安全策略要求下采取安全防范措施。由于技术和设备处于不断的变化和更新状态，企业的发展情况也不同，这要求企业建立安全防范体系后还需要重视信息安全管理，并根据网络信息和网络安全特点及时更新安全防范体系，实现安全防范体系动态发展。

　　3.3　提高企业信息安全技术

　　制定完善的信息安全管理体系后，还需依靠高水平信息技术发挥管理体系的作用。由于当前对企业信息安全产生威胁的技术较多，防止信息安全漏洞的技术也较多。但是，企业必须做好验证与授权、预防和抵制、检测和响应三个技术领域，再选择有效的安全防御技术。

　　验证与授权分别是验证用户身份和决定用户访问权的方法，当系统确定用户身份后可以明确用户的访问权限，用户才能使用自己的账号和密码访问权限范围内的信息。预防和抵抗是通过过滤、加密和防火墙等措施防止非法入侵系统并访问企业信息，它是企业必须加强的安全防御环节。监测和相应是企业信息安全的最后防线，杀毒软件是常用的探测和反应技术。

　　4　结语

　　总而言之，企业信息安全必须立足于企业信息安全内部管理和信息安全技术两个方面，二者缺一不可。企业要以信息安全技术为支撑，完善内部管理体系和制度建设，加强监督和管理。同时做好企业职工的信息安全教育，提高职工的意识。从企业领导到企业职工、从技术到管理，全方面做好信息安全管理，保障信息安全。

　　参考文献

　　[1]　耿家观．企业信息安全问题与对策分析[J]．网络与信息，2012，（7）．

　　[2]　李国强．网络环境下企业信息安全隐患与防范策略[J]．网络财富，2010，（15）．

　　[3]　杨福生．网络环境下企业信息安全管理对策[J]．中外企业家，2013，（20）．

　　[4]　原黎．探析企业信息安全问题的成因及对策[J]．现代工业经济和信息化，2011，（8）．