企业网络信息安全浅谈

企业网络信息安全浅谈

刘婉卿     

安徽省淮南市安全生产宣传教育中心   232000

摘要：企业网络信息安全做为我国信息化建设健康发展的重要因素，关系到贯彻落实科学发展观、全面建设小康社会、构建社会主义和谐社会和建设创新型社会等国家战略举措的实施，是国家安全的重要组成部分。本文首先分析企业网络信息安全的现状，梳理网络信息安全问题的节点，在此基础上了解网络信息安全、管理中的常用办法并制定相应对策，从而提高网络信息安全性。

关键词：企业；网络技术；安全管理；网络信息安全

“互联网+”已经渗透到各个企业、各个系统，企业依托互联网及信息资源保持企业竞争优势，在引入新技术的同时，能够提高企业的应变能力、创新能力，但网络技术的发展给企业的生产经营带来便利的同时也给企业的网络信息安全带来巨大挑战，不法分子通过网络干扰企业的正常生产经营、窃取企业核心信息从而给企业带来不可估量的损失，信息安全问题已成为制约企业跨越性、可持续发展的重要因素。为此，正视网络信息安全，从网络信息安全现存问题入手，分析问题的成因，制定具体的应对策略，是当前企业网络信息安全工作中的重中之重。

1. 企业网络信息安全的现状、问题

1. 1. 企业网络信息安全意识不足，对网络信息安全重视程度不够

国内企业实施信息化建设已有多年，但是对很多企业信息安全来讲只要能使计算机正常运行，日常工作可以正常的运转就可以了，在头脑里对企业信息安全没有一个清楚和正确的认识，从企业的决策者到普通员工并没有充分意识到网络信息安全的重要性。

1. 2. 网络信息安全软、硬件不健全或滞后

目前我国绝大部分中小企业，都存在网络安全基础设施投入不足的问题，硬件老旧、不完整，软件版本低，甚至有很多企业都在使用盗版软件，面对外部攻击和各种漏洞很容易发生信息丢失、泄露、窃用等现象。

1. 3. 网络信息安全缺乏系统管理的思想和完整的安全方案

被动应付多于主动防御，没有做前期的预防，而是出现问题才去想补救的办法，不是建立在风险评估基础上的动态的持续改进的管理方法，同时企业网络信息安全防护呈现碎片化、分散化等特点，缺乏系统性、协同性、灵活性，面对万物互联和更高级的威胁，传统防护手段捉襟见肘、防不胜防。

1. 4. 重视安全技术，忽视安全管理。

企业愿意在硬件等安全技术上投资，而相应的管理水平、手段没有体现，包括管理的技术和流程、制度，以及员工的管理，例如企业内部信息安全管理没有相对应的制度约束，信息安全管理人员缺乏监督。

1. 5. 缺乏懂得管理的信息安全技术人员。

企业中既懂信息安全技术又懂企业生产运行流程和管理的高素质人才稀缺。

2. 企业网络信息安全的相应对策或建议

2. 1. 网络信息安全管理方面

2. 开展企业网络信息安全培训，普及网络安全知识，营造信息安全环境氛围

网络信息安全实质上是为企业日常安全生产保驾护航，建议多组织开展包含企业各级部门“一把手”在内的企业信息安全宣教会，详细介绍企业网络信息安全的基本理论、常识、发展主流以及一旦发生信息安全事故对企业科研、生产经营所造成的严重影响，在思想上提高企业对企业网络信息安全的认识，进而提高企业全体员工的重视程度。

2. 增加企业网络信息安全建设的资金投入

在企业可承受范围内适度增加企业网络信息安全建设投资预算，把网络信息安全建设纳入企业信息化整体建设规划中。

3. 建立完善的网络信息安全管理制度，强化安全监管，健全网络信息安全体系

应理清网络信息安全建设的总体思路，细化信息安全防范的实施步骤与标准要求，完善网络信息安全框架协议和制度规范。良好的管理制度可以为信息安全创造有力的执行环境和条件，信息安全技术又促进了管理更有效更优良的发展。网络信息安全是一项系统工程，要确保其高效有序的运行，需要完善工作机制，顺畅管理体制。企业各部门要通力合作，各司其职、各负其责，共同推动信息安全建设的健康、有序发展。

2. 加大对网络信息安全技术人才的重视

人才是企业网络信息安全建设中的重点，如果只偏重于软硬件、基础设施上的资金投入而在网络信息安全上得不到有效的管理和使用，那就是本末倒置。成立由企业高管直接负责的信息化部门，负责整个企业的信息安全人才培养和相关信息安全建设的事务，培养出既精技术又懂业务的高级人才。

2. 建立网络信息安全风险评估机制

建立企业内部的信息安全风险评估机制对于完善企业内部信息安全管理工作同样具有重要意义。定期对企业内部信息安全进行风险评估，能够帮助企业更好地做好企业内部信息安全的预防工作，能够帮助企业更准备地了解企业经营管理过程中信息安全管理存在疏漏的地方。通过建立企业内部的信息安全风险评估机制，对于帮助企业从制度与技术两方面完善企业内部信息安全管理制度具有重要意义。具体而言，建立企业内部信息安全风险评估机制需要做到以下两个方面的工作。一方面，在企业各个层次建立一个风险指标系统，设计一个风险计算模型来计算出企业的基本风险值，通过对企业各个层次上的风险评估来对企业整体固定的风险状况进行反映。

1. 2. 网络信息安全技术方面

1. 硬件防火墙和入侵检测、漏洞扫描系统

• 硬件防火墙是内部网络与外部互联网之间的一道安全关口。它在企业内部网络和外部互联网之间设置了一道安全壁垒，有效防止外部对内网进行非法访问。

• 入侵检测系统对网络传输进行实时监控，在发现可疑传输时发出报警或者采取主动反应措施。

• 漏洞扫描系统对指定的远程或者本地计算机系统的安全脆弱性进行检测，及早发现可被利用的安全漏洞。

它们可以相互配套，增强信息安全防范能力。

2. 网络安全审计

网络安全审计是指基于设定的安全策略，实时跟踪记录网络动态，查找入侵和违规访问受保护资源的行为，实际是记录与审查用户操作和试用活动的过程，如用户所调用的信息、使用时间、执行的操作等，为网络安全管理提供入侵或违规访问的证据。根据审计对象，网络安全审计分为主机审计、设备审计、网络审计、数据库审计、用户行为审计、终端审计等类型。网络安全审计系统功能包括信息采集、信息分析、信息存储、信息展示、自身安全性、可审计性等。安全审计针对系统记录和行为进行独立的审查和估计，可以有效监控用户对网络资源的使用情况，对内部潜在的非法攻击者起到威慑作用，为事后溯源、调查提供证据。

3. 结束语

高速发展的社会经济需要现代企业具备高效能的网络信息系统，网络信息安全成为企业信息系统管理的核心问题。面对计算机系统漏洞及病毒或黑客的侵袭，企业加强信息安全管理意识，增强企业信息系统安全队伍建设和技术投资刻不容缓。其中建立健全企业信息安全管理规章制度是重中之重，定期的信息系统安全工作大检查是强有力的管理手段之一，责任落实到人的系统维护规范操作和记录，是保护企业核心机密的重要手段，操作人员的安全意识和责任心是信息安全保障的前提，缜密有效的信息系统应急预案和恢复操作是信息安全保护最终的有力保障。企业要从制度、监督、资金投入等方面加强网络信息安全的管理，使信息管理系统为企业的行业竞争助力，为企业健康发展发挥应有的作用。

参考文献：

[1]李洋.浅谈油田企业网络安全问题及防火墙防护策略[J].信息系统工程,2020(2):71-72.

[2]李亭萦.大数据时代企业信息安全保障策略分析[J].中国设备工程,2020(12):18-19.

[3]赵俊.工业4.0时代企业网络安全系统的研究与设计[D].徐州:中国矿业大学,2019:6-18.

[4]郭磊.中央企业网络安全风险分析和对策[J].上海船舶运输科学研究报,2019,42(3):56-61.

[5杨虎.企业网络信息的安全防护和设计[J].山西电子技术,2020(03):65-67.

[6]王爱鹏.数字化企业应对信息安全挑战[J].中国仪器仪表,2020(06):28-31.

作者简介：

刘婉卿（1984—），女，汉族，安徽省淮南人，淮南师范学院本科生，淮南市安全生产宣传教育中心副主任。研究方向：企业网络信息安全。