APP下载

企业信息化建设中的信息安全问题研究

2014-07-03谢志宏

企业导报 2014年6期
关键词:电子邮件信息系统信息安全

谢志宏

摘 要:当今社会已步入知识经济(信息经济)时代,因此企业信息化建设中信息安全必须得到保证。本文从企业信息化建设的意义、企业信息化建设中的安全问题、企业信息化安全问题的原因、企业信息化建设中实现信息安全的措施四方面展开。

关键词:企业信息化建设;信息安全问题

企业信息化建设已成为企业建设的重要组成部分。通过企业信息化建设,企业的生产和流通可以更好地运行;在互联网的作用下,形成企业现代化的发展模式、途径。然而企业信息化建设并非处在一个没有任何干扰其发展的环境中,其发展受到了多方面的束缚(比如内部认知,信息系统支撑以及管理等方面的问题);并且存在信息安全问题,如黑客、病毒等的入侵。如果这些信息安全问题较为严重,不但不利于企业信息化的建设,更有可能对企业的现代化发展造成不利的影响。

一、企业信息化建设的意义

企业信息化建设具有可观的经济价值,通过信息化企业的生产效率将大大提高,特别是在提升企业生产力水平方面,信息化将会发挥巨大的作用,信息化是形成了企业经济优势与竞争优势的重要手段。企业信息化建设具有不菲的管理价值,企业通过信息化建设能够使管理更具针对性、更有效率,使企业的管理更加符合时代发展的需要。企业信息化建设具有很大的社会价值,通过单个企业的信息化建设带动整个的社会信息化建设,藉此使得社会的科技水平得以迅速提升,在和谐社会的创建中起到了重要的作用,拥有了无可取代的地位。

二、企业信息化建设中的安全问题

(一)风险与攻击。任何企业的信息系统都存在一定的风险性。一般地说来,主要风险是(被)攻击,主要(被)攻击方式有以下四种:(1)中断,主要包括恶意破坏硬盘、通信线路或某些文件系统。(2)截获,主要是违法复制文件或数据,通过网络窃听或截取数据。(3)篡改,主要是非法改变消息内容、数据以及程序内容。(4)伪造,这种攻击方式主要是指非法伪造文件、消息或是增加记录等。

(二)漏洞问题。(1)软件漏洞。如果软件中存在安全漏洞,将有可能导致不法人员利用这些漏洞攻击企业的信息系统。(2)协议漏洞。由于开放式的TCP/IP网络协议在最初设计之时,并未充分考虑到网络受到人为因素的影响从而导致信息传输受到安全威胁,因此TCP/IP协议在安全机制方面存在很多漏洞,某些攻击者完全能够利用这些漏洞来达到攻击企业信息系统的非法目的,主要是通过地址欺骗、地址假冒等方式。

(三)Web服务安全问题。(1)Web服务器端。服务器端存在被窃取保密信息的危险,非法分子能够通过在Web主机上执行命令而去修改企业信息系统相关信息的犯罪目的。(2)浏览器客户端。不法人员通过执行程序破坏浏览器的方式破坏用户系统,从而达到窃取用户机密信息与数据的目的,严重地危害了用户的信息安全。

(四)电子邮件安全问题。(1)电子邮件病毒,电子邮件内藏有病毒,在浏览邮件时或下载附件的时潜伏到电脑中,立即或择机发作;(2)机密信息泄露,由于电子邮件的发送要经过许多不同路由器的转发,直到最终发送到接收主机,在这一过程中攻击者能够将电子邮件截取并从中获得用户的机密信息;(3)垃圾邮件,不法人员通过发送垃圾邮件大量耗费收件人的时间和精力,并有可能造成接收端邮件服务器阻塞;(4)电子邮件炸弹,不法分子通过某些邮件软件将大量的电子邮件寄给同一接受者,导致接收者的邮箱堵塞,严重时还会造成网络瘫痪。

三、企业信息化安全问题的原因

(一)企业信息化安全问题的内部原因。(1)企业对于信息系统安全的重视不够。企业对信息系统安全的认识不足,特别是对企业信息化建设的价值没有一个正确的定位,因此造成了对企业信息安全建设不重视的现象,这是导致企业信息化安全问题的一大原因。(2)安全管理上存在问题。信息安全管理是企业信息化的基础保证,信息系统的管理以及信息安全体系的维护与升级均需要有专业人员负责。但是由于企业信息化投入不足或尚未成熟和完善,管理上存在人才缺口、安全管理机制不健全等现象,从而使企业信息化安全水平受到很大影响。(3)我国安全技术仍就比较落后。当前国内适用于企业信息化建设的软件在质量和数量上都存在一定的问题,特别信息安全技术与与国外先进水平仍有较大差距。这种差距的存在使得企业信息化系统极易受到病毒或黑客的侵扰,最终可能导致企业信息系统不能健康、良好的运行,影响到了企业信息安全。(4)操作上存在问题。相对于工业自动化而言企业信息化是一个比较新的概念,企业往往比较注重信息化成果的获取,而对于信息安全管理中操作人员水平或是人员数量容易忽视,这很可能直接导致企业信息化建设过程中出现操作问题,进而导致企业信息化出现安全隐患。(5)法律法规不健全。企业信息化乃至整个网络信息安全保护的法律法规仍处于起步阶段,很多内容属于范围性政策,真正意义上具有法律约束力的不多。法律法规并不能形成对具体事件的控制与约束,难于发挥法律法规应有的指导作用,企业信息安全目前还得不到法律法规上强有力的支撑,很大程度上也降低了企业进行信息安全建设的主动性。

(二)企业信息化安全问题的外部原因。企业信息系统大量的安全威胁源自于企业外部。当今社会不断发展,网络应用也越来越普及,信息在市场竞争中所占据的位置也越来越重要。许多不法分子也正是看到了这一点,于是利用一些非法手段攻击企业的信息系统,从中盗取重要信息进而为自己谋求利益;更有甚者,某些企业为了达到打败竞争对手的目的,指使企业内部人员或雇佣企业外部人员,采取各种手段获取对方的重要信息;企业外部信息安全威胁,当然也涉及到了上面所讲到的法律法规不健全的问题。

四、企业信息化建设中实现信息安全的措施

当今社会已经进入了信息时代,信息对一个企业的良性、长足发展无疑是至关重要的,然而企业信息系统安全问题成为当前企业发展过程中一个不得不面对的重大问题。确保企业信息安全指的是采取有效措施保护信息资产,使之不因偶然或恶意侵犯而遭受破坏、篡改及泄露,保证信息系统能够连续、可靠、正常地运行,使安全事件对业务造成的影响降低到最小,确保业务运行的连续性。必须做到以下四个方面。

(一) 树立正确的安全意识。企业内部上至董事会下到每个员工都应该树立正确的安全意识,不得对外泄露任何企业机密信息;必须充分认识到信息安全的重要性,才能保证企业各项工作正常、有序进行。

(二)加强企业内部信息系统管理。建立一整套系统的安全评估、管理机制,只有对企业信息系统所存在的安全风险进行正确的评估,成功预测安全风险对企业可能造成的不利影响程度,才能制定出合适的对策并加以整改;建立规范合理的信息安全管理体制,使企业在面临安全问题时能够及时、准确地做出响应并予以解决,成为企业信息安全的坚实后盾。

(三)加强企业内部专业人才队伍建设。保障企业信息安

全,必须依靠管理和技术,其中起决定性困素的还是人才!同等条件下,高水的专业人才所完成的工作效果与其他人完成的存在明显区别。因此必须在企业内部建立一支高水平、高技能和比较稳定的信息安全管理专业队伍,在信息安全知识和技能领域不断加以培训,并借助企业外部信息安全专业机构的力量不断提高专业能力和企业信息安全保护能力。

(四)选择先进的安全防护技术。尽管任何系统都会有破解之法,只是存在时间长短和难度大小的问题。但是选择较为先进的安全防护技术,就等于为企业加设了一层比较好的屏障,使得企业受到同样攻击时体现出较强的防护能力,赢得应对和解决安全问题的时机。从而保障企业信息化建设和应用,促进企业健康发展。

参考文献:

[1] 辛玉红. 企业信息化建设中的信息安全问题[J]. 现代情报,

2004,11:205-208.

[2] 秦海峰. 企业信息化建设中信息安全问题的分析研究[J]. 中国信息界,2012,05:61-62.

猜你喜欢

电子邮件信息系统信息安全
有关旅行计划的电子邮件
企业信息系统安全防护
基于区块链的通航维护信息系统研究
保护信息安全要滴水不漏
信息系统审计中计算机审计的应用
高校信息安全防护
基于SG-I6000的信息系统运检自动化诊断实践
保护个人信息安全刻不容缓
民事诉讼电子邮件送达制度的司法适用
信息安全