企业信息安全与防护

陈波

摘 要：企业信息安全包括物理安全、运行安全、信息资产安全和管理安全四个方面。通过对企业所面临的信息安全威胁进行分析，给出相应的技术和管理防范措施，以期对加强企业的信息安全起到一定的作用。

关键词：信息安全；网络技术；问题；防范措施

中图分类号：TP393.08 文献标识码：A 文章编号：2095-6835（2014）03-0138-02

计算机网络起源于20世纪60年代的美国，经过不断发展和完善，现已被广泛应用于社会各个领域。计算机网络的社会化，已经成为了信息时代的主要推动力。在现代企业中，计算机和信息系统的广泛运用产生了大量的信息，信息安全自然成为了人们关注的焦点。企业信息安全涉及多个方面，信息就是企业宝贵的财富，安全的信息才是有价值的，因此，确保企业信息安全是至关重要的。

1 企业信息安全面临的威胁及其原因

在信息技术快速发展的时代，企业通过设立信息化机构，配备适应现代企业管理、运营要求的自动化、高技术软硬件设施，建立包括网络、数据库和各类信息管理系统在内的工作平台，并投入了大量的人力、物力和财力。随着信息化建设的深入，信息安全所面临的威胁也随之而来。

威胁企业信息安全的因素可分为外部因素和内部因素。外部因素有很多，根据威胁可能发起攻击的途径，将威胁分为物理接近、网络接入、系统问题、恶意代码和自然灾害等。而内部因素主要是指一些由计算机操作人员失误所造成的安全问题，比如安全策略配置不当造成安全漏洞，某些普通员工某些不经意行为造成破坏而引起的安全问题；一些信息安全问题是由于具有特殊权限的人员，为了某种利益，通过各种手段将企业信息泄漏给其他人；某些企业缺乏相对完善的信息安全保密制度，对安全制度执行能力的管理不强，缺少相应的信息安全专业人员，也缺少信息安全设备等。

2 企业信息安全问题的防范

2.1 技术防范

针对物理安全问题，计算机机房要加强防火、防水和防雷击的措施，配备大功率的UPS后备电源，机房进行接地防护，计算机终端的网线要和其他设备的线路分开。在系统安全方面，要尽量使用大、小写字母，数字和特殊符号组合的密码，并牢记，最好不要使用空口令或空格，以免被别有用心的人识破。另外，可以在屏保、重要的应用程序和文件上添加密码，以确保其安全。要及时对系统补丁进行更新，大多数病毒和木马程序都是通过系统漏洞进入的，这不仅会给本机带来影响，严重的还会造成整个企业网络信息系统瘫痪。应把那些不需要的服务关闭，例如关闭TELNET协议，Guest账号等；安装防病毒软件，定期查杀，对出现的病毒进行彻底清除。同时，防火墙是确保信息安全的设备，是防御黑客攻击的最好手段，它位于企业内部网与外部之间，能够对所有企图进入内部网络的流量进行监控，会按照设定的访问规则，允许或限制传输数据通过。不论是基于硬件还是软件的防火墙都能识别、记录并阻塞非法入侵的活动。在实践中，密码技术也是确保网络安全最有效的技术之一。一个加密网络不但可以有效防止非授权用户窃听和入网，而且也是对付恶意软件的方法之一。一般的数据加密可分为链路加密、节点加密和端到端加密。

针对当前网络安全的威胁，主要使用入侵检测技术和网络安全扫描技术。入侵检测是防火墙的合理补充，它能够帮助系统对付网络攻击，扩展了系统管理员的安全管理能力，提高了信息安全度。入侵检测技术作为一种主动安全防护技术，能够对收集到的信息进行分析，可以阻拦内部攻击、外部攻击和误操作等行为，并在网络系统受到危害之前实行拦截，并作出响应，比如报警、阻断网络、记录事件等。网络安全扫描技术主要包含端口扫描和漏洞扫描技术。端口扫描技术是连接到目标主机上的传输控制协议（TCP）和用户数据报协议（UDP）端口，向目标主机发送数据包，并记录目标系统的响应。通过分析响应来判断该端口是打开还是关闭，这样就可以通过该端口提供的服务或信息发现目标主机的漏洞。漏洞扫描是对计算机信息系统或其他网络设备进行相关的安全检测，找出安全隐患和可被攻击者利用的漏洞信息，将这些信息与网络漏洞扫描系统提供的漏洞库进行匹配，查看是否有满足匹配条件的漏洞存在，使系统管理员及时发现漏洞并予以修复，降低系统的安全风险，确保信息安全。

除了以上介绍的多种技术防范之外，还有一些被广泛应用的安全技术，比如数据容灾备份、安全审计系统、数字签名、身份认证和风险评估等。

2.2 管理防范措施

技术要与管理相结合，技术与管理不是孤立存在的。对一个企业来说，信息安全不仅是一个技术问题，也是一个管理问题，只有两手都要抓，才能提高企业的信息安全。

2.2.1 制度保障

建立健全并落实符合企业实际情况的信息安全管理制度体系，以制度为保障，能有效保护企业信息安全。

建立系统建设管理制度，规范信息系统工程的建设和安全管理工作，提升信息系统建设和管理水平，保障信息系统工程建设的安全，明确相应的流程和管理内容。

建立系统运维管理制度，可以保障信息安全，提高运维能力，使运维安全体系得以安全运行。明确制订存储介质的安全使用策略、病毒和恶意代码的防范策略、备份与恢复策略、应急预案等内容。

建立信息安全责任制，明确信息安全工作的主管领导、责任部门、人员和有关岗位的信息安全责任。

2.2.2 检查落实

建立并落实监督检查机制，定期对各项制度的落实情况进行自查和监督检查。坚持“谁管理，谁负责”的原则，实现层层落实责任。不断加强和完善计算机信息安全管理，大力加强信息安全技术的建设，强化使用人员和管理人员的安全防范意识，只有通过共同的努力，才能保障计算机网络的安全和信息安全。