二十一世紀的競爭是經濟全球化和信息化的競爭，如何以信息化提升企業的管理水平和綜合實力，通過信息化的發展為企業帶來更大效益往往是我們所關心的問題。但是由于信息技術本身的特殊性，特別是互聯網的快速發展，使得信息技術又隱藏著巨大且不可能根除的風險，使個人權益、企業生存、金融風險防范乃至社會穩定和國家的安全面臨危險。如何在信息化建設快速發展的同時確保信息安全，已成為各企事業 -

單位乃至國家政府關心的熱點問題。

　　目前，大部分企業都認識到了信息安全的重要性，并不同程度的建立了信息安全防護體系。然而，由于基礎薄弱，工作人員防范意識淡薄，—些企業的信息安全形勢不容樂觀，計算機網絡系統癱瘓、數據丟失、網上信鼠失竊等重大信敏螢全事故時有發生，給企業造成不必要的損失。

　　1、企業信息化建設中信息安全管理面臨的主要威脅和隱患

　　1.1計算機病毒

　　計算機病毒能影響計算機軟件、硬件的正常運行，破壞數據的正確與完整，甚至導致系統崩潰等重大惡果。據統計，由計算機病毒破壞而造成的經濟損失，不亞于一場小型戰爭。例如“CIH”病毒的涎生，使世界上數以萬計的計算機遭到破壞，用戶的數據被病毒吞噬，直接和間接的經濟損失無法估量。二00四年“五一”期間爆發的“振蕩波”病毒使得全球超過1800萬臺的電腦受到攻擊。大量的局域網絡因遭到病毒的侵襲而癱瘓，給企業、國家造成巨大的經濟損失。尤其需要引起我們高度重視的是針對盜取各類敏感信息的木馬病毒呈現上升趨勢。這類病毒用戶難予發現，屬于隱性病毒，具有隱蔽性強、危害性大、目標明確等特點，將是今后病毒的主要破壞形式。

　　1.2黑客攻擊

　　電腦入侵、賬號泄漏、資料丟失、網頁被黑等等也是企業信息安全管理中經常遇到的問題。其特點是往往具有明確的目標。當黑客要攻擊一個目標時，通常是首先收集被攻擊方的有關信息，分析被攻擊方可能存在的漏洞，然后建立模擬環境，進行模擬攻擊，測試對方可能的反應，再利用適當的工具進行掃描，最后通過己知的漏洞，實施攻擊。黑客一旦獲得了對攻擊目標的系統訪問權，就有可能在目標系統中建立新的安全漏洞或后門、安裝探測器軟件、收集感興趣的一切信息，然后就可以讀取郵件，搜索和盜竊文件，毀壞重要數據，破壞整個系統的信息，造成不堪設想的后果。

　　1.3信息傳輸、存儲介質的保護

　　在物理介質層次上對存儲和傳輸的信息進行安全保護，是信息安全的基本保障。物理安全隱患大致包括乏個方面：一是自然災害(如地震、火災、洪水、雷電等)、物理損壞(如硬盤損壞、設備使用到期、外力損壞等)和設備故障(如停電斷電、電磁干擾等)；二是電磁輻射、信息泄漏、痕跡泄露(如口令密鑰等保管不善)；三是操作失誤(如刪除文件，格式化硬盤、線路拆除)、意外疏漏等。

　　1.4企業本身信息安全管理是否完善

　　安全管理深洞包括人為因素和非人為因素。

　　非人為因素。隨著計算機網絡信息系統日益復雜，以致人們無法保證系統不存在網絡設計漏洞與管理漏洞。這些漏同和缺陷自然成為黑客進行攻擊的首選目標。另外，軟件設計人員出于自身的考慮，在進行軟件開發時，為所開發的軟件設置“后門”，一旦“后門”為外人所知，該軟件則無安全可言，所造成的后果也不堪設想。

　　人為因素。人為因素包括人為的無意失誤和人為韻惡意攻擊。

　　人為的無意失誤。網絡管理員安全配置不當造成的安全漏洞，用戶安全意識不強，口令選擇不慎，用戶將自己的賬號隨意轉借他人或與別人共享等都會對網絡信息安全帶來威脅。一些別有用心的人會利用這些無意的失誤，從他人計算機內獲取不該他獲取的信息。

　　人為的惡意攻擊。這是計算機網絡所面臨的最大威脅，網絡戰中敵方的攻擊和計算機犯罪就屬于這—類。這類攻擊又可分為兩種：一種是主動攻擊，是以各種方式有選擇地破壞信息的有效性和完整性；另一種方式是被動攻擊，就是在不影響網絡正常工作的情況下，進行截獲、竊取、破譯以獲得重要機密信息。這兩種攻擊均可對計算機網絡造成極大的危害，并造成機密數據的泄漏。

　　2、加強信息安全管理必須解決好的關鍵問題

　　2.1技術方面

　　信息安全不僅是單一PC的問題，也不僅是服務器或路由器的問題，而是整體網絡系統的問題。所以信息安全要考慮整個網絡系統，結合網絡系統來制定合適的信息安全策略。由于網絡安全涉及到的問題非常多，如防病毒、防人侵破壞、防信息盜竊、用戶身份驗證等，這些都不是由單一產品來完成，也不可能由單一產品來完成，因此網絡安全也必須從整體策略來考慮。

　　網絡設備。充分利用交換機、路由器等網絡設備的基本安全功能(如VLAN等)配置企業計算機網絡，達到限制存取目的。有必要使用防火墻、入侵檢測系統、虛擬系統等網絡設備加強企業網絡信息的安全性。

　　網絡操作系統。網絡操作系統是網絡信息系統的核心，在信息安全管理中占據十分重要的地位。如今的操作系統性能更先進、功能更豐富，因而對企業來說更有用。但同時也}勤日了安全漏洞。為了加強系統的安全性，應對操作系統予以合理配置、管理和監控。集中管理企業內部的操作系統安全是降低成本和風險的有效途徑。

　　數據庫系統。在數據庫系統中.由于數據大攝集中存放，且為眾多用戶贏接共享，安全性問題更為突出。數據庫安全性問題應包括兩個部分：

　　數據庫數據的安會。確保當數據庫系統DownTime時，當數據庫數據存儲媒體被破壞時以及當數據庫用戶誤操作時，數據庫數據信息不至于丟失。數據庫系統不被非法用戶侵入。盡可能地堵住潛在的各種漏洞，防止非法用戶利用它們侵入數據庫系統。

　　應用軟件。應用軟件的安全缺陷往往與軟件的規模和復雜性成正比，從設計、實現到維護階段，都留下了大掇的安全漏洞。程序開發人員在設計撲發程序時.應把軟件的安全性作為開發的重點工作，并在測試階段努力查找系統漏洞，最大限度確保軟件的安全性。

　　2.2管理方面

　　信息安全的管理方面又包括網絡管理、數據管理、設備管理、人員管理等。由于信息安全管理是一項系統工程，所以需要依靠完備的信息安全管理體系，設計科學的信息安全管理流程，全面落實信息安全管理制度。

　　2.3法律方面

　　隨著信息安全問題日漸突出，法律防范顯得十分重要和緊迫。它不僅是打擊計算機犯罪的法律依據，更是保護知識產權、數據安全、商業機密、個人隱私的有效途徑。

　　3、企業加強信息安全方面應采取的主要對策

　　如前所述，信息安全管理是一項涉及方方面面的系統工程，不同企業、不同行業之間千差萬別，沒有統一的模式可循。但—般而言，無論何種行業、哪家企業，加強信息安全管理都應遵守技術優先的原則、管理保障的原則、以人為本的原則、寓管于用的原則等基本原則去組織實施。

　　具體措施包括以下幾方面：

　　3.1技術防范措施

　　信息安全是綜合性學科，并具有動態的、智能的特征。因而，信息系統面l臨的安全風險也是動態變化的，這就意味著需要不斷動態調整安全策略和防范技術，以適應新的安全風險，懈決新的安全問題。

　　計算機系統物理安全的基本要求必須配備延時時間長的不間斷電源確保服務器和關鍵部門計算機連續供電，有條件的企業可以采用柴油發電機組及不間斷電源共同構建冗余供電設備。

 　　安裝避雷裝置，盡量為每個節點都安裝防雷模塊，保護計算機網絡設備免遭雷擊。

　　為電源線和信號線加裝性能良好的濾波器，減小傳輸阻抗和導線間的交叉耦合，抑制和防止電磁泄漏。 
　　關鍵服務器(如主域控制器、數據庫服務器、Web服務器、郵件服務器等)應采用磁盤陣列及雙機容錯系統，保證網絡系統不間斷運行。

　　3.2安裝防火墻系統

　　安裝防火墻系統，將企業內部網與外部網之間隔離，阻止黑客利用不安全的服務對內部網絡進行攻擊，造成企業內部信息泄漏。乖Ⅱ用防火墻還能實現對數據流的監控、過濾、記錄和報告。

　　安裝網絡入侵檢測系統(IDS)，對企圖入侵、正在進行的入侵或已經發生的入侵進行識別。利用人侵檢測系統可以了解網絡的運行狀況和發生的安全事件，并根據安全事件來調整安全策略和防護手段。同時改進實時響應和事后恢復的有效性，為定期的安全評估和分析提供依據，從而提高網絡安全的整體水平。

　　對于關鍵信息需采用加密系統和認證機制，借助現代密碼技術對數據進行加密，將重要秘密信息由明文變為密文。

　　企業內部盡量采用代理服務器上國際互聯網的方式。使用代理服務器，可以有效控制用戶上網時間，監視上網記錄，限制不同用戶的下載權限，控制帶寬流量，并且有效地進行網站過濾。有條件的單位，還叮以將內部網和互聯網進行物理隔離，更有效的規避風險。

　　建立健全防病毒體系。通過網絡殺毒軟件保護計算機網絡系統不受病毒破壞活動的影響，并注意及時更新病毒特征碼。

　　始終保持操作系統、WEB瀏覽器、電子郵件和應用程序的安全版本，避免或減輕執行惡意代碼所導致的后果。

　　3.3加強各項管理

　　信息安全問題的由來是信息系統的技術和管理因素造成的，但利用技術和管理漏洞造成安全事故的是人，這就說明僅僅通過程式化的安全產品和先進的技術手段是遠遠不夠的，需要全面分析安全環境，絳舒烈古存在的安全風險，結合企業的運行流程，針對目標信息系統和應用、運營環境中的安全管理策略，制訂—個全面的安全管理策略。

　　建立健全規章制度，包括計算機室保密制度、進入機房重地登記制度、數據備份制度、上網管理制度等等，并建議信息主管部門與其它部門簽訂計算機網絡使用協議，通過制度規范管理，確保計算機網絡的安全和數據信息的安全保密。

　　按照不同級別、部門、崗位的職責，合理劃分權限，避免越權操作導致保密信息的泄漏。確保系統安全和數據安全。建立數據備份中心，定時備份數據，并采用多介質、異地存儲的方式來保存數據備份。定期對實體進行檢查。特別是對文件服務器、光纜或電纜、終端及其他外設進行保密檢查，防止非法侵入。加強對網絡記錄媒體的保護和管理。如對關鍵的涉密記錄媒體要有防拷貝和信息加密措施，對廢棄的磁盤、色帶要有專人銷毀等。

　　3.4強化人員培訓教育

　　信息安全管理是貫穿整個信息化建設生命周期的工作，需要不斷對企業的決策層、技術管理層、分析設計人員、工作執行人員等所有相關人員進行培訓教育。通過培訓，應確保每個人明確各自在信息安全管理中的角色和責任，認識到信息安全的重要性，提高防患意識，加強自我保護能力。對計算機系統管理員和網絡管理員不僅要求知識豐富、技術全面，還應該有強烈的責任心和勇于奉獻的精神。

　　總之，信息安全管理工作事關企業的存亡發展，應該給予高度重視，盡量控制乃至規避安全風險，確保企業信息安全。