谈企业信息安全概述及防范

摘要：该文对企业信息安全所面临的风险进行了深入探讨，并提出了对应的解决安全问题的思路和方法。

关键词：信息安全　风险防范

　　随着计算机信息化建设的飞速发展而信息系统在企业中所处的地位越来越重要。信息安全随着信息技术的不断发展而演变，其重要性日益越来越明显，信息安全所包含的内容、范围也不断的变化。信息安全有三个中心目标。保密性：保证非授权操作不能获取受保护的信息或计算机资源。完整性：保证非授权操作小能修改数据。有效性：保证非授权操作不能破坏信息或计算机资源。信息安全的重点放在了保护信息，确保信息在存储，处理，传输过程中及信息系统不被破坏，确保对合法用户的服务和限制非授权用户的服务，以及必要的防御攻击的措施。
　　1　企业信息安全风险分析
　　计算机信息系统在企业的生产、经营管理等方面发挥的作用越来越重要，如果这些信息系统及网络系统遭到破坏，造成数据损坏，信息泄漏，不能正常运行等问题，则将对企业的生产管理以及经济效益等造成不可估量的损失，信启、技术在提高生产效率和管理水平的同时，也带来了不同以往的安全风险和问题。
　　信息安全风险和信息化应用情况密切相关，和采用的信息技术也密切相关，公司信息系统面临的主要风险存在于如下几个方面。
　　计算机病毒的威胁：在业信息安全问题中，计算机病毒发生的频率高，影响的面宽，并且造成的破坏和损失也列在所有安全威胁之首。病毒感染造成网络通信阻塞，系统数据和文件系统破坏，系统无法提供服务甚至破坏后无法恢复，特别是系统中多年积累的重要数据的丢失，损失是灾难性的。
　　在目前的局域网建成，广域网联通的条件下，计算机病毒的传播更加迅速，单台计算机感染病毒，在短时间内可以感染到通过网络联通的所有的计算机系统。病毒传播速度，感染和破坏规模与网络尚未联通之时相比，高出几个数量级。
　　网络安全问题：企业网络的联通为信息传递提供了方便的途径。业有许多应用系统如：办公自动化系统，营销系统，电子商务系统，ERP，CRM，远程教育培训系统等，通过广域网传递数据。目前大部分企业都采用光纤的方式连接到互联网运营商，企业内部职工可以通过互联网方便地浏览网络查阅、获取信息，即时聊天、发送电子邮件等。
　　如何加强网络的安全防护，保护企业内部网上的信息系统和信息资源的安全，保证对信息网络的合法使用，是目前一个热门的安全课题，也是当前企业面临的一个非常突出的安全问题。
　　信息传递的安全不容忽视：随着办公自动化，财务管理系统，各个企业相关业务系统等生产，经营方面的重要系统投入在线运行，越来越多的重要数据和机密信息都通过企业的内部局域网来传输。
　　网络中传输的这些信息面临着各种安全风险，例如被非法用户截取从而泄露企业机密；被非法篡改，造成数据混乱，信息错误从而造成工作失误。
　　用户身份认证和信息系统的访问控制急需加强：企业中的信息系统一般为特定范围的用户使用，信息系统中包含的'信息和数据，也只对一定范围的用户开放，没有得到授权的用户不能访问。为此各个信息系统中都设计r用户管理功能，在系统中建立用户，设置权限，管理和控制用户对信息系统的访问。这些措施在一定能够程度上加强系统的安全性。但在实际应用中仍然存在一些问题。
　　一是部分应用系统的用户权限管理功能过于简单，能灵活实现更细的权限控制。二是各应用系统没有一个统一的用户管理，企业的一个员工要使用到好几个系统时，在每个应用系统中都要建立用户账号，口令和设置权限，用户自己都记不住众多的账号和口令，使用起来非常不方便，更不用说账号的有效管理和安全了。
　　如何为各应用系统提供统一的用户管理和身份认证服务，是我们开发建设应用系统时必须考虑的一个共性的安全问题。