汪恒

摘 要 網(wǎng)絡技術帶來便利同時給企業(yè)的信息安全帶來巨大的挑戰(zhàn)，如何確保各種管理系統(tǒng)信息的保密性、完整性、未授權拷貝和所寄生系統(tǒng)的安全性，維護企業(yè)網(wǎng)絡信息的安全，以確保企業(yè)的現(xiàn)代化核心管理手段成為企業(yè)發(fā)展的支柱，成為擺在信息安全管理技術人員面前的重要任務。本文意在對企業(yè)網(wǎng)絡管理中的信息系統(tǒng)，特別是重要信息系統(tǒng)的安全信息安全防護的重要性做簡單的探討。

關鍵詞 企業(yè)； 網(wǎng)絡信息；安全管理

中圖分類號 TP3 文獻標識碼 A 文章編號 1674-6708（2017）186-0056-02

飛速發(fā)展的社會經(jīng)濟將企業(yè)管理投入到信息技術的海洋之中，大中型企業(yè)管理的自動化水平正在不斷提高。現(xiàn)代企業(yè)的核心管理手段是將計算機網(wǎng)絡技術應用于業(yè)務管理系統(tǒng)，實現(xiàn)企業(yè)管理理念的宏觀化、管理手段的智能化、管理方式的網(wǎng)絡化，從而帶來的是管理效率的高速化。具體的管理系統(tǒng)包括外門戶網(wǎng)站系統(tǒng)、內(nèi)部門戶網(wǎng)站系統(tǒng)、辦公自動化系統(tǒng)、營銷管理系統(tǒng)、配網(wǎng)管理系統(tǒng)、財務管理系統(tǒng)、生產(chǎn)管理系統(tǒng)等[ 1 ]。

1 企業(yè)網(wǎng)絡信息安全概述

1.1 網(wǎng)絡信息安全面臨的威脅

網(wǎng)絡信息的安全主要是系統(tǒng)漏洞帶來的病毒和黑客侵襲。漏洞是在硬件、軟件、協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略上存在的缺陷，從而可以使攻擊者能夠在未授權的情況下訪問或破壞系統(tǒng)[ 2 ]。系統(tǒng)漏洞是危害網(wǎng)絡安全的最主要因素，特別是軟件系統(tǒng)的各種漏洞。黑客的攻擊行為都是利用系統(tǒng)的安全漏洞來進行的。許多系統(tǒng)都有這樣那樣的安全漏洞（Bugs），其中有些是操作系統(tǒng)或應用軟件由于設計缺陷本身所具有的，這些漏洞在補丁未被開發(fā)出來之前一般很難防御黑客的破壞，除非你不接入網(wǎng)絡。還有就是程序員在設計一些功能復雜的程序時，預留的用于測試和維護的程序入口，由于疏忽或者其他原因（如將它留在程序中，便于日后訪問、測試或維護）沒有去掉，這就可能被一些黑客發(fā)現(xiàn)并利用作為后門。到目前為止，還沒有出現(xiàn)真正安全無漏洞的產(chǎn)品，這也是當前黑客肆虐的主要原因[ 3 ]。

1.2 造成企業(yè)網(wǎng)絡信息安全威脅的原因

1.2.1 計算機系統(tǒng)原生漏洞

目前計算機所依賴的依然是普遍通用的微軟Windows系統(tǒng)。為了適應用戶的需求，這一系統(tǒng)的研發(fā)進展不斷進步，系統(tǒng)升級較為頻繁，每兩年左右便會有新系統(tǒng)推出面世。許多計算機用戶，特別是企業(yè)用戶，如果對新系統(tǒng)沒有全面、專業(yè)、深入的了解而盲目進行了系統(tǒng)更新，有可能造成安裝設置過程中缺陷導致的新系統(tǒng)帶來的弊端，從而埋下漏洞隱患，給信息安全造成威脅。

1.2.2 計算機軟件應用不當遭遇惡意軟件

在企業(yè)管理計算機軟件應用過程中，如果沒有專業(yè)的識別和下載安裝經(jīng)驗，極有可能遇到惡意軟件。惡意軟件常常故意不對用戶做明確提示（如選項提示、退出安裝提示等）或者在未經(jīng)用戶許可的情況下，在用戶的計算機上強行安裝；有的軟件難以卸載（設置卸載障礙）；還有的軟件通過瀏覽器劫持行為，肆意：指未經(jīng)用戶許可，修改用戶瀏覽器或設置，迫使用戶訪問特定網(wǎng)站或?qū)е掠脩魺o法正常上網(wǎng)等。惡意軟件造成的計算機病毒感染，黑客的乘虛而入將嚴重威脅企業(yè)網(wǎng)絡信息安全，甚至導致系統(tǒng)崩潰，數(shù)據(jù)丟失。有的惡意軟件甚至自帶網(wǎng)絡數(shù)據(jù)運行監(jiān)視裝置，被惡意使用后可以直接用于竊取商業(yè)數(shù)據(jù)和信息，給企業(yè)造成巨大損失。

1.2.3 企業(yè)網(wǎng)絡信息系統(tǒng)維護規(guī)范欠缺

企業(yè)網(wǎng)絡信息系統(tǒng)在運行過程中無論何種原因都難以避免可能產(chǎn)生的漏洞，而對信息系統(tǒng)的規(guī)范維護是信息安全保護的重要手段。但部分企業(yè)沒有對系統(tǒng)維護規(guī)范作出規(guī)定，如系統(tǒng)維護工程師、助理工程師的職責與權限并不明確，生產(chǎn)或銷售應用系統(tǒng)的監(jiān)控記錄不能定期建檔，生產(chǎn)或辦公系統(tǒng)主機的日常故障處理不做登記，應用系統(tǒng)的數(shù)據(jù)庫啟動情況和數(shù)據(jù)庫設置得不到及時觀察，重要數(shù)據(jù)庫的變更操作，定期清理過期備份不能正常進行，應用數(shù)據(jù)庫癱瘓后的異地備份恢復記錄不完整等，都有可能造成企業(yè)網(wǎng)絡信息系統(tǒng)的安全隱患。

2 企業(yè)信息系統(tǒng)安全管理存在的問題

2.1 企業(yè)對信息系統(tǒng)管理重視不足

許多企業(yè)頂層決策缺乏長久觀念，比較重視信息網(wǎng)絡的建設而較易忽視信息網(wǎng)絡和系統(tǒng)的管理。在企業(yè)網(wǎng)絡建設初期往往偏重于硬件設施的投資和技術成本的投入，盲目追求管理系統(tǒng)的高性能、高配置，忽略了硬件設施與實際應用的差距，認為高層次的網(wǎng)絡系統(tǒng)一旦建成便萬事大吉。這種認識不但造成了不必要的資金浪費，更容易形成輕視系統(tǒng)維護管理工作的狀況。由于缺乏管理意識，許多企業(yè)在規(guī)章制度、人事安排、專業(yè)培訓、技術隊伍等幾方面沒有形成企業(yè)信息系統(tǒng)的專業(yè)團隊，更沒有針對系統(tǒng)癱瘓、數(shù)據(jù)丟失等突發(fā)事件的應急預案，往往是問題發(fā)生后臨時應急解決，“頭痛治頭足痛治足”，致使現(xiàn)代化信息系統(tǒng)不能充分發(fā)揮在企業(yè)運行管理中應有的作用。

2.2 企業(yè)網(wǎng)絡信息安全性難以保障

由于信息安全管理意識淡薄，部分企業(yè)沒有專業(yè)的網(wǎng)絡管理團隊?，F(xiàn)有網(wǎng)管人員維護、管理網(wǎng)聯(lián)絡信息技術沒有保障，或者責任心不強。例如，民營生產(chǎn)銷售企業(yè)由于操作不規(guī)范銷售報表和潛在客戶資料數(shù)據(jù)丟失現(xiàn)象時有發(fā)生；部分縣級以上醫(yī)院分科或多或少都存在體統(tǒng)停滯現(xiàn)象；中小型企業(yè)中財務資料的誤刪時有發(fā)生。雖然這些單位有的也具備系統(tǒng)維護應急預案，部分數(shù)據(jù)得到恢復，但依然給企業(yè)造成一定損失。

3 企業(yè)網(wǎng)絡信息安全防范措施

3.1 建立系統(tǒng)安全檢查制度

企業(yè)的規(guī)章制度要重視系統(tǒng)安全的保護，對重要信息系統(tǒng)的安全檢查要建章立制，不能松懈。首先要對系統(tǒng)安全負責的團隊人員構成和崗位職責進行明文規(guī)定。其次要確定具體的安全檢查目標，如企業(yè)的基礎網(wǎng)絡是否完善、主服務器配置是否異常，對外門戶網(wǎng)站防火墻是否堅固，數(shù)據(jù)中心的設置是否可靠，內(nèi)部辦公系統(tǒng)（包括財務、銷售、服務等）更新是否正常等等。第三，信息安全檢查規(guī)章制度中要具化檢查重點內(nèi)容，如安全管理保障系統(tǒng)方面，對崗位制度是否建全，人員負責是否落實，信息數(shù)據(jù)是否安全，應急響應是否穩(wěn)妥等項目要做出詳細檢查記錄。技術保障方面：服務器（包括操作系統(tǒng)、數(shù)據(jù)庫、應用系統(tǒng)）的各項指標，網(wǎng)絡設備和安全設備的各種配置，網(wǎng)站建設和終端等組織策略和運行維護等內(nèi)容都要落實到檢查實處。

3.2 加大企業(yè)網(wǎng)絡信息安全的管理力度

第一，要增強網(wǎng)絡信息管理人員的技術培訓，使企業(yè)信息系統(tǒng)得到可靠的技術維護和管理，組件一只責任心強、分工明確、技術精湛的網(wǎng)管團隊，以保障企業(yè)網(wǎng)絡信息系統(tǒng)正常運轉不出紕漏。

第二，提高企業(yè)核心機密資料的加密層次，在這方面要投入資金購買保密程度較有保障的計算機軟件裝備，防止黑客攻擊和病毒感染。

第三，對企業(yè)信息管理和維護工作進行定期記錄、責任到人，記錄保護存檔以備可查。

第四，要建立安全可靠的計算機數(shù)據(jù)異地備案和應急預案機制，有專門制定人員負責，定期檢測數(shù)據(jù)，嚴格管理制度，以確保企業(yè)網(wǎng)絡信息系統(tǒng)出現(xiàn)異常時得到有效維護和修復。

4 結論

高速發(fā)展的社會經(jīng)濟需要現(xiàn)代企業(yè)具備高效能的網(wǎng)絡信息系統(tǒng)，信息安全成為企業(yè)信息系統(tǒng)管理的核心問題。面對計算機系統(tǒng)漏洞及病毒或黑客的侵襲，企業(yè)加強信息安全管理意識，增強企業(yè)信息系統(tǒng)安全隊伍建設和技術投資刻不容緩。其中建立健全企業(yè)信息安全管理規(guī)章制度是重中之重，定期的信息系統(tǒng)安全工作大檢查是強有力的管理手段之一，責任落實到人的系統(tǒng)維護規(guī)范操作和記錄，是保護企業(yè)核心機密的重要手段，網(wǎng)絡管理人員的思想道德和責任心是信息安全保障的前提，縝密有效的信息系統(tǒng)應急預案和恢復操作是信息安全保護最終的有力保障。企業(yè)要從制度、監(jiān)督、資金投入等方面加強網(wǎng)絡信息安全的管理，使信息管理系統(tǒng)為企業(yè)的行業(yè)競爭助力，為企業(yè)健康發(fā)展發(fā)揮應有的作用。

參考文獻

[1]黃立文.淺談網(wǎng)絡與重要信息系統(tǒng)安全管理[J].計算機安全，2008（12）：128-130.

[2]王雨晨.系統(tǒng)漏洞原理與常見攻擊方法[J].計算機工程與應用，2001（3）：62-64，92.

[3]瞿英，彭靜，等.系統(tǒng)漏洞大曝光：常見漏洞攻防經(jīng)典實戰(zhàn)手冊[M].重慶：重慶出版社.1版，2003：3.