企业网络信息安全管理刍议
中图分类号 TP3 文献标识码 A 文章编号 1674-6708(2017)186-0056-02
飞速发展的社会经济将企业管理投入到信息技术的海洋之中,大中型企业管理的自动化水平正在不断提高。现代企业的核心管理手段是将计算机网络技术应用于业务管理系统,实现企业管理理念的宏观化、管理手段的智能化、管理方式的网络化,从而带来的是管理效率的高速化。具体的管理系统包括外门户网站系统、内部门户网站系统、办公自动化系统、营销管理系统、配网管理系统、财务管理系统、生产管理系统等[ 1 ]。
1 企业网络信息安全概述
1.1 网络信息安全面临的威胁
网络信息的安全主要是系统漏洞带来的病毒和黑客侵袭。漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统[ 2 ]。系统漏洞是危害网络安全的最主要因素,特别是软件系统的各种漏洞。黑客的攻击行为都是利用系统的安全漏洞来进行的。许多系统都有这样那样的安全漏洞(Bugs),其中有些是操作系统或应用软件由于设计缺陷本身所具有的,这些漏洞在补丁未被开发出来之前一般很难防御黑客的破坏,除非你不接入网络。还有就是程序员在设计一些功能复杂的程序时,预留的用于测试和维护的程序入口,由于疏忽或者其他原因(如将它留在程序中,便于日后访问、测试或维护)没有去掉,这就可能被一些黑客发现并利用作为后门。到目前为止,还没有出现真正安全无漏洞的产品,这也是当前黑客肆虐的主要原因[ 3 ]。
1.2 造成企业网络信息安全威胁的原因
1.2.1 计算机系统原生漏洞
目前计算机所依赖的依然是普遍通用的微软Windows系统。为了适应用户的需求,这一系统的研发进展不断进步,系统升级较为频繁,每两年左右便会有新系统推出面世。许多计算机用户,特别是企业用户,如果对新系统没有全面、专业、深入的了解而盲目进行了系统更新,有可能造成安装设置过程中缺陷导致的新系统带来的弊端,从而埋下漏洞隐患,给信息安全造成威胁。
1.2.2 计算机软件应用不当遭遇恶意软件
在企业管理计算机软件应用过程中,如果没有专业的识别和下载安装经验,极有可能遇到恶意软件。恶意软件常常故意不对用户做明确提示(如选项提示、退出安装提示等)或者在未经用户许可的情况下,在用户的计算机上强行安装;有的软件难以卸载(设置卸载障碍);还有的软件通过浏览器劫持行为,肆意:指未经用户许可,修改用户浏览器或设置,迫使用户访问特定网站或导致用户无法正常上网等。恶意软件造成的计算机病毒感染,黑客的乘虚而入将严重威胁企业网络信息安全,甚至导致系统崩溃,数据丢失。有的恶意软件甚至自带网络数据运行监视装置,被恶意使用后可以直接用于窃取商业数据和信息,给企业造成巨大损失。
1.2.3 企业网络信息系统维护规范欠缺
企业网络信息系统在运行过程中无论何种原因都难以避免可能产生的漏洞,而对信息系统的规范维护是信息安全保护的重要手段。但部分企业没有对系统维护规范作出规定,如系统维护工程师、助理工程师的职责与权限并不明确,生产或销售应用系统的监控记录不能定期建档,生产或办公系统主机的日常故障处理不做登记,应用系统的数据库启动情况和数据库设置得不到及时观察,重要数据库的变更操作,定期清理过期备份不能正常进行,应用数据库瘫痪后的异地备份恢复记录不完整等,都有可能造成企业网络信息系统的安全隐患。
2 企业信息系统安全管理存在的问题
2.1 企业对信息系统管理重视不足
许多企业顶层决策缺乏长久观念,比较重视信息网络的建设而较易忽视信息网络和系统的管理。在企业网络建设初期往往偏重于硬件设施的投资和技术成本的投入,盲目追求管理系统的高性能、高配置,忽略了硬件设施与实际应用的差距,认为高层次的网络系统一旦建成便万事大吉。这种认识不但造成了不必要的资金浪费,更容易形成轻视系统维护管理工作的状况。由于缺乏管理意识,许多企业在规章制度、人事安排、专业培训、技术队伍等几方面没有形成企业信息系统的专业团队,更没有针对系统瘫痪、数据丢失等突发事件的应急预案,往往是问题发生后临时应急解决,“头痛治头足痛治足”,致使现代化信息系统不能充分发挥在企业运行管理中应有的作用。
2.2 企业网络信息安全性难以保障
由于信息安全管理意识淡薄,部分企业没有专业的网络管理团队。现有网管人员维护、管理网联络信息技术没有保障,或者责任心不强。例如,民营生产销售企业由于操作不规范销售报表和潜在客户资料数据丢失现象时有发生;部分县级以上医院分科或多或少都存在体统停滞现象;中小型企业中财务资料的误删时有发生。虽然这些单位有的也具备系统维护应急预案,部分数据得到恢复,但依然给企业造成一定损失。
3 企业网络信息安全防范措施
3.1 建立系统安全检查制度
企业的规章制度要重视系统安全的保护,对重要信息系统的安全检查要建章立制,不能松懈。首先要对系统安全负责的团队人员构成和岗位职责进行明文规定。其次要确定具体的安全检查目标,如企业的基础网络是否完善、主服务器配置是否异常,对外门户网站防火墙是否坚固,数据中心的设置是否可靠,内部办公系统(包括财务、销售、服务等)更新是否正常等等。第三,信息安全检查规章制度中要具化检查重点内容,如安全管理保障系统方面,对岗位制度是否建全,人员负责是否落实,信息数据是否安全,应急响应是否稳妥等项目要做出详细检查记录。技术保障方面:服务器(包括操作系统、数据库、应用系统)的各项指标,网络设备和安全设备的各种配置,网站建设和终端等组织策略和运行维护等内容都要落实到检查实处。
3.2 加大企业网络信息安全的管理力度
第一,要增强网络信息管理人员的技术培训,使企业信息系统得到可靠的技术维护和管理,组件一只责任心强、分工明确、技术精湛的网管团队,以保障企业网络信息系统正常运转不出纰漏。
第二,提高企业核心机密资料的加密层次,在这方面要投入资金购买保密程度较有保障的计算机软件装备,防止黑客攻击和病毒感染。
第三,对企业信息管理和维护工作进行定期记录、责任到人,记录保护存档以备可查。
第四,要建立安全可靠的计算机数据异地备案和应急预案机制,有专门制定人员负责,定期检测数据,严格管理制度,以确保企业网络信息系统出现异常时得到有效维护和修复。
4 结论
高速发展的社会经济需要现代企业具备高效能的网络信息系统,信息安全成为企业信息系统管理的核心问题。面对计算机系统漏洞及病毒或黑客的侵袭,企业加强信息安全管理意识,增强企业信息系统安全队伍建设和技术投资刻不容缓。其中建立健全企?I信息安全管理规章制度是重中之重,定期的信息系统安全工作大检查是强有力的管理手段之一,责任落实到人的系统维护规范操作和记录,是保护企业核心机密的重要手段,网络管理人员的思想道德和责任心是信息安全保障的前提,缜密有效的信息系统应急预案和恢复操作是信息安全保护最终的有力保障。企业要从制度、监督、资金投入等方面加强网络信息安全的管理,使信息管理系统为企业的行业竞争助力,为企业健康发展发挥应有的作用。
