摘要:
随着我国信息化的发展,如今企业在管理工作中对信息技术的运用越来越广泛,由此大大提高了企业管理效率的同时,也造成信息安全的隐藏风险,这对企业造成的危害不可小视。基于此,本篇文章就企业安全风险管理的内容出发,阐述了企业信息安全风险管理存在的问题,并提出了解决措施。
关键词:
信息安全;风险;控制;信息系统
一、企业信息安全风险主要内容
随着我国信息建设的推进,如今互联网的信息技术得到了越来越广泛的应用,信息技术在企业运行中的作用越来越重要,为企业的发展带来了新的机遇。但同时,信息安全的风险也逐渐显露了出来。如何既能借助信息技术开放共享企业的信息资源,继而达到高效办公的目的,又能规避企业核心信息、商业机密等重要信息的泄露,逐渐成为摆在企业面前亟待解决的一大难题。传统的信息安全技术,包括防火墙的设置、入侵检测、扫描漏洞、加密数据等对网络底层数据的安全防护工作,但随着电子科技水平的不断提高,这样简单的防护措施已经无法满足当今的信息安全需求。如何才能称之为安全的信息,需要从以下几方面来探讨:
1)完整性。
首先要保证信息在收集与整理的过程中避免主观上或者客观上的“失真”。其次要保证数据储存的安全性,不能出现缺漏、遗失、损坏等影响信息数据完整性的情况;最后要选择科学合理的信息采集与加工方法,从而保证信息的完整性;
2)保密性。
包括保障已被授权的用户能够访问权限范围内的信息以及对于非权限范围内的信息的不可访问,以及对特殊资料的不可复制、不可影印等权限的设置;
3)可用性。
指在技术层面上保证用户的顺利访问和对用户的使用,即保证系统的稳定性以及可用性。
二、企业信息安全风险控制分析
2.1电脑病毒、黑客入侵。
企业信息处于开放的网络环境下,暴露在众多木马病毒以及黑客攻击的威胁之下。一旦感染恶意病毒或是被他人侵入企业信息系统内部,可能会导致企业重要资料被窃取、商业信息丢失、内部数据被篡改、通讯消息被窃听、企业电子网络系统瘫痪,无法正常运作、加密措施失效、设备运行发生错误等恶劣影响、这些状况都会给企业带来无可估量的损失。
2.2企业信息安全管理工作疏漏。
信息安全工作是一个长期性、持续性的工作,且除非出现大的纰漏否则无法直接感受到该工作的作用,这导致大部分企业难以在这方面的管理与经费支出上拥有足够的自发性与主观能动性,这既是企业信息安全管理工作本身的性质导致的,也是企业趋利的性质导致的。
三、企业信息安全风险控制策略
3.1优化企业网络防火墙,提高外部威胁防范能力。
鉴于当前网络病毒的盛行和黑客入侵行为的猖獗,企业应将防止此类行为放到企业信息安全工作的首位。而强化防火墙设计则是对应于此类威胁的强有力的手段之一,企业的网络电子设备大多配置有防火墙,但存在版本过低、系统陈旧以及防火墙产品不够安全等问题。另一方面,企业网络系统中大多装设了过多功能和品牌相异的电子安全产品,这些软件之间无法兼容,反而会起到负面效果。对于上述问题,企业可以聘请专业的IT技术人员检查本企业的网络防火墙状况,并进行改善和定期升级。或是引进当今较为先进的企业信息安全风险防范体系,即统一系统平台+独立功能模块。这一设计理念旨在提高企业信息安全防护水平,并且优化企业信息系统运行环境。
3.2提高员工信息安全意识,规范信息网络操作行为。
信息安全不仅要从硬件环境下功夫,还要重视企业员工的主观能动性。首先要建立科学严谨的企业信息安全规范守则,以此来强化企业中个人信息安全防护意识;使得信息安全工作落实到企业的每一个员工身上,落实到平日工作的方方面面中。
四、结束语
综上所述,在企业的管理及运行过程中,应当重点加强内部信息管理的管控力度,提高网络电子设备的硬件水平,以便于充分利用信息技术的长处,规避信息安全风险所带来的危害,切实掌握好企业信息管理这把“双刃剑”。
作者:刘志勋 单位:中国石化销售有限公司山东石油分公司
参考文献
[1]吕俊杰,董红.信息安全风险控制的PROMETHEE决策方法研究[J].计算机工程与应用,2010,(22):103-106.