摘要:在“互联网+”环境下,企业所面临的信息安全环境更加复杂和严峻。网络的开放性和共享性对企业传统的信息系统安全造成了威胁,重要信息资产泄露可能会给企业带来巨大危害,企业单纯依靠技术防范的边际效果显著下降。而时刻保持警惕,增强防范意识,完善安全管理机制,构建信息安全网,采取技术、管理、法律3种手段相结合的防范策略,可达到消除信息安全隐患、保障信息安全的目的。
关键词:“互联网+”;信息安全隐患;信息安全管理策略
一、问题的提出
(一)“互联网+”环境下信息化发展的必由之路
1.“互联网+”理念不断深入
随着“互联网+”的理念不断深入到经济、社会、生活的各个领域,越来越多的企业开始利用新一代信息技术,集成控制管理企业经营管理活动中的各项信息,实现企业内外部信息的共享和有效利用,以实现提高企业经济效益和市场竞争能力的目标。
2.利用现代信息技术是“互联网+”环境下企业发展的必由之路
从企业层面来看,利用以“大数据、云计算、物联网、移动互联”等现代信息技术,通过信息资源的深度开发和广泛利用,不断提高生产、经营、管理、决策的效率,实现企业内外部信息协同与联动,进而提高企业、甚至全供应链的效率和效益,是企业在“互联网+”环境下信息化发展的必由之路。而强大的网络技术支撑,则是企业在“互联网+”环境下,构建强大的信息化平台,增强企业乃至整个供应链竞争力的关键。
(二)大力加强“互联网+”环境下信息安全的研究和防范
然而,应该看到网络技术是一把“双刃剑”,它在带给企业发展机遇和提高便利性的同时,由于网络环境与生俱来的开放性、互联性、多样性、分散性等特点,也同步给企业带来了基于网络信息系统的脆弱性,容易受到内外部攻击的危险。而一旦企业网络系统遭到攻击,就会导致企业业务信息泄露,甚至被人非法篡改,企业则可能面临巨大的损失。
因此,企业在积极采用“互联网+”模式、拓展“互联网+”业务时,积极深入开展“互联网+”环境下的信息安全问题的研究和防范。这对企业来说是一个重要的现实问题。
二、信息安全及网络信息安全的构成
(一)信息安全
1.信息安全的含义
信息安全,是指企业对建立的信息系统在技术上和管理上采取的安全保护,其实质是保护信息系统及信息网络中的各类信息资产免受威胁、干扰、侵害和破坏。根据国际标准化组织的定义,信息安全的含义主要包括信息的完整性、可用性、保密性、可靠性。
2.信息安全的重要性
在当今信息时代,与企业经营管理相关的各类信息急剧增加,大容量、高效率地传输这些信息成为企业有效利用信息资产的客观要求,而网络入侵技术和攻击行为的不断发展蔓延,却对信息资产安全造成了严重威胁。因而信息安全问题已成为“互联网+”环境下,企业信息化工作必须考虑的重要课题。
(二)网络信息安全的构成
“互联网+”环境下,企业信息安全构成如下图所示:
由上图可知,在“互联网+”环境下,企业的信息安全可分为系统安全和数据安全两个层面。其中,系统安全主要包括,硬件系统安全、软件系统安全、运行服务安全等要素;数据安全则主要是指信息数据的安全。
1.硬件系统安全
硬件系统安全主要包括,计算机、服务器、网络设备、存储等硬件设备的安全。应确保这些硬件设施设备无损坏、无故障,并确保硬件系统正常运行。
2.软件系统安全
软件系统安全,主要是指计算机、服务器及其网络中系统软件和业务软件不被攻击或破坏。同时,要避免软件系统非法操作和误操作,确保功能有效。
3.运行服务安全
运行服务安全,主要是指网络中的各设备能够保持有效连接通讯,各信息系统能够正常运行并能正常地通过网络进行信息交互。
4.信息数据安全
信息数据安全,主要是指在企业网络系统中存储及流通的信息数据的安全,防止网络中的信息数据被非法查看、复制、破解、使用和篡改等行为发生。
三、影响网络信息安全的隐患
当前,影响企业网络信息安全的隐患主要有以下3个方面:
(一)病毒攻击
遭受病毒攻击,是企业信息安全面临的首要隐患。由于计算机病毒是通过自我复制等方式,利用网络的开放性和便利性进行恶意传播。又由于病毒攻击的对象,包括计算机硬件、软件系统,以及包括网络带宽在内的系统资源,部分病毒甚至会植入木马,盗取用户计算机上信息数据。因此,它对企业信息安全造成的危害是非常大的。
(二)软件漏洞
软件漏洞,是由于软件开发者开发软件时的疏忽,或者是编程语言的局限性,伴随软件产品发布的软件缺陷。由于软件漏洞对任何系统都是客观存在的,因此,非法用户常常针对软件固有的漏洞对企业信息网络进行攻击,窃取和破坏企业的信息数据。
(三)不当操作
不当操作,主要是指系统操作人员因工作马虎、作业粗心等原因,对企业信息系统实施了误操作,导致信息数据安全受损。此外,因系统使用人员使用简单易破解的系统口令,或将系统账号随意转借他人使用,也可能造成非法用户恶意获取和篡改企业信息数据。
四、信息安全管理策略
由以上分析可知,病毒攻击、软件漏洞、不当操作是较常见的信息安全隐患,但事实上,在“互联网+”环境下,企业所面临的信息安全环境更加复杂和严峻。因此,企业必须时刻保持高度警惕,增强防范意识,采取切实有效的措施,完善信息安全管理策略,构建企业信息安全大网。从企业信息安全防范策略上讲,应通过技术、管理、法律3种手段相结合的方式开展。
(一)技术手段
1.防火墙技术
防火墙技术,指的是一个由软件和硬件设备组合而成、在内外部网之间、专网与公网之间构造的保护屏障,是一种常用的网络安全防护措施。它通过在网络边界上实施通信监控,来隔离内部和外部网络,以阻挡外部网络入侵行为。
防火墙按监控对象,可分为网络防火墙和计算机防火墙。其中,网络防火墙,是指在内外网之间设置防火墙,通过信息访问协议、访问地址、网络端口及信息形式等,过滤不符规则的外来访问信息;计算机防火墙,是指在外网络和计算机之间设置防火墙,通过检测接口规约、访问协议、访问地址及信息结构等,将不符合规定的进入信息剔除。
在“互联网+”环境下,企业在关注网络防火墙的配置的同时,还应根据自身计算机和网络的特点,选择安装稳定、强大的软硬件防火墙,以保证网络系统安全。
2.“病毒”防控技术
与传统单机防毒不同的是,企业网络“病毒”防控需要统一管理、统一规划,形成统一完整的“病毒”防御体系。管理者应采用防毒与杀毒相结合、以防为主的方式,在对企业网络结构及相关计算机设备了如指掌的基础上,掌握“病毒”发作情况、防毒产品狙击“病毒”的运行情况,并通过可控的中央管理平台,统一安装客户端的防毒产品,定期进行防“病毒”软件的病毒数据库更新。
3.安全加密技术
安全加密技术是利用逻辑手段,对信息网络进行保护,以防止信息数据泄漏的技术。加密技术是电子商务和电子交易的基础技术,为“互联网+”环境下企业之间电子交易和信息交互提供了技术保障。
目前,安全加密技术主要有对称加密和不对称加密两种形式。其中,对称加密,也称为私钥加密,是一种以口令为基础的加密技术,加密者和解密者使用同样的密钥进行信息加密解密;不对称加密,也称为公钥加密,加密密钥与解密密钥不同,加密密钥对外公开,解密密钥只有解密者自己掌握。公钥加密的优点,是可适应网络的开放性要求,可方便地实现数字签名和验证,但算法复杂。企业应根据信息交互的安全要求,灵活地选择安全加密技术。
4.容灾备份技术
容灾备份实际上是两个概念。容灾,是为了在遭遇灾害时能保证信息系统正常运行,帮助企业实现业务连续性的目标;备份,则是为了应对灾难来临时造成的数据丢失问题。容灾备份,就是建立和维护一个备份存储系统,保障系统和数据对灾难性事件的抵御能力,一般可分为数据级容灾和应用级容灾。
数据级容灾,是指建立一个数据备份系统,对关键应用数据实时复制;应用容灾,是指建立一套完整、同步更新的备份应用系统。容灾备份系统是在保护数据资产安全,不因灾害而灭失的重要手段,是保障企业信息安全的最终手段。
(二)管理手段
企业在应用技术手段确保信息安全的同时,还应建立健全相应的信息安全管理体系,制定安全政策、明确管理要求、提高安全意识,落实信息安全管理责任。
1制定安全政策
企业应制定信息安全管理的总体方针政策,传递管理意图,并建立信息安全方针政策定期回顾机制,以保持信息安全方针政策的合理有效、与时俱进。
2.建立安全管理组织机构
企业应建立信息安全组织机构,设置专人专岗负责企业信息安全管理相关工作,并明确管理责任,从组织人员上为企业信息安全管理提供保障。
3.加强口令管理
企业应对网络和系统的用户账号、口令使用做出严格的规定,以加强管理,并对网络和系统用户进行宣贯,如:加强口令密码强度,定期更新密码口令;账号专人专用,勿转借他人等。
(三)法律手段
企业除了运用技术手段和管理手段来保障信息安全外,还应利用法律手段,捍卫企业信息安全。企业在利用法律手段保障信息安全时,应遵循以下三个原则:
1.合法构建信息安全管理体系
确保企业所采取的各项信息安全措施均有法律依据,避免采取违反法律的安全措施,合法构建信息安全管理体系。
2.依法保护企业的知识产权和各类信息资产
除了有形的企业资产外,知识、技术、设计、数据等无形资产,也是企业资产的重要组成部分。企业应通过相关法律法规,对自身的知识产权和各类信息资产进行保护。
3.运用法律武器捍卫企业信息安全
当有恶意者入侵企业的信息系统时,应及时依法保留相关证据,利用法律手段保护企业的信息安全。对恶意侵犯企业信息安全的不法行为,应当坚决地运用法律武器,捍卫企业的信息安全。
六、结论
在“互联网+”理念与社会生产生活全面融合的环境下,企业在大力发展互联网与业务融合、提升企业核心竞争力的过程中,必须认识到,开放融合的网络在为企业业务发展提供便捷高效服务的同时,信息安全隐患也在同步大幅度增加。
为此,在“互联网+”的热潮中,企业应增强全员信息安全意识,构建技术、管理、法律“三位一体”的信息安全管理体系,发挥网络优势、防范网络风险,确保企业信息安全不受侵害,为企业“互联网+”业务发展作出更大的贡献。
13888888888
点击咨询 