探析企业信息安全问题的成因及对策

2011年7月总第8期

现代工业经济和信息化

ModernIndustrialEconomyandInformationization

信息化

July，2011Totalof8

探析企业信息安全问题的成因及对策

原黎

（中铝山西分公司安环部，山西河津043300）

[摘要]通过分析当前企业信息安全的形势，就其成因进行深入探讨，力图找到解决信息安全的良好对策，从而确保信息安全，为企业生产经营保驾护航，实现企业安全稳定和效益最大化。

[关键词]信息安全；成因；对策；效益[中图分类号]TP393

[文献标识码]A

[文章编号]2095-0748（2011）08-90-02

引言

当今社会正处在信息化时代，信息化给人们带来诸多便利，世界因互联网而变小，但同时我们也无时无刻不面临着恶意软件，诸如计算机病毒（Virus）、蠕虫（Worm）、木马程序（TrojanHorse）、后门程序（Backdoor）、逻辑炸弹（LogicBomb）等，甚至黑客的侵袭。从1988年CERT（计算机紧急响应小组）成立以来，统计到的Internet安全威胁事件增长迅猛。这些安全威胁事件给Internet带来巨大的经济损失，对我们中铝山西企业来说，影响更是深远，信息安全受到前所未有的挑战，形势异常严峻。因此，笔者认为很有必要对当前企业信息安全的成因进行深入分析，从而找到解决问题的对策，确保企业信息安全，实现企业最大经济效益。

1信息安全的内涵

所谓信息安全是指信息网络的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不网络技术、通讯技术、密码技中断。它涉及计算机科学、

术、信息安全技术、应用数学、信息论等多门学科，包括国防范青家军事政治等机密安全，防范企业商业机密泄露、个人信息的泄露等。少年对不良信息的浏览、

2企业信息安全具备的要素和面临的不安全形式一般来说，信息安全具备五要素：可用性，完整性，机密性，可控性，可审计性。不安全形式分为两类：攻击和入侵。通常涉及到这五个因素中的多个因素。攻击造成的结果是可用性、完整性和可控性的破坏，具体现象是网络或主机提供的服务、资源不可用，数据被破坏等等；入侵造成的结果是使机密性、可控性和审计性的破坏，这当然也会危及到可用性和完整性，具体的现象是网络资源或主[收稿日期]2011-06-15

[作者简介]原黎，1971年生，女，2004年毕业于太原理工大学，经济师，研究方向：安全管理。机的管理权部分或全部丧失。在实际的安全威胁事件中，可以看到攻击和入侵也是互为因果、相辅相成的。

3企业信息安全成因分析

3.1信息安全法规不健全，网络虚拟财富不能有效保护

我国信息安全方面的法律体系初步构建，但还缺乏体系化与有效性。从整体来看，与美国、欧盟等先进国家与地区比较，我们在相关法律方面还存在差距，信息安全标准体系也基本是引用和借鉴国际或先进国家的相关标准。由于缺乏相关的基本法，可以说信息安全在法律层面存在缺失，这对于信息安全保障是重大隐患。

譬如我国现有法律对制造和传播病毒者，要以造成“熊猫烧香”病毒后果的严重程度来量刑，但是很难衡量所导致的后果。正因为该病毒所盗取的是“网络虚拟财物”，所以不能构成“盗窃罪”，这就导致病毒制造者李俊之外的很多相关嫌疑人量刑很轻或定罪很难。据专家介绍，由于目前网络立法明显滞后，对于怎样保障虚拟财物的权益，我国在立法上还是处于空白。

按照我国现行《计算机信息网络国际联网安全保护，制造和传播病毒属违法，但对于木马、黑客程管理办法》

序等并没有清晰的界定，因为它们本身只是一个工具，至于使用者拿它们去干坏事还是干好事，无法控制。这无疑就是木马程序和黑客程序制造者敢于利用网络交易平台公开叫卖、大发不义之财的根本原因。

3.2认识不到位，存在误区

目前国内很多企业对信息安全重视依然不够，对其认识存在误区。近些年来，由于国内外信息安全事件频繁发生和企业本身信息化程度不断加深，国内企业对自身信息安全已经开始给予越来越多关注。但是，大多数企业管理者并没有足够重视，一方面，他们认为企业信息资产远没有有形资产重要，信息安全问题还很难和企业生存以及核心竞争力挂上钩，企业信息安全防护是企业消耗者；另一方面，我国对信息网络管理和控制比较严格，很

多人盲目乐观，有的甚至认为，信息安全对于企业而言，只是些小问题，或者说只是技术性问题，不会造成太大影响。由于存在以上认识，企业很难将信息安全问题放在一个战略高度来对待，信息安全存在问题也就在所难免，不能在技术和管理上采取有效措施以防止信息安全问题的产生，无法确保信息安全。

3.3管理不到位，存在薄弱环节

当前，不少企业信息安全体制（包括管理、培训等）和制度还不健全，信息安全防护措施还不科学、系统，更不能严格执行。普遍存在“重建设，轻管理”思想，在安全防护实践中单纯重视对信息防护系统中软硬件购置和建设，忽视信息系统操作人员信息安全意识淡薄，导致软硬件系统防护效果起不到应有的作用。

3.4信息安全防范技术不强，投入（资金、技术和人员）不到位，无法有效防护

很多企业网站不设防，像采用免费网站程序、管理员密码设置过于简单等都导致黑客轻松入侵。目前，由于企业本身经济和技术实力等原因，导致信息安全投入（资金、技术和人员）严重不足，同时，资源没有得到有效配置，发挥最大作用。诸如有的只是投入到信息安全防护软硬件上，很少用于专业化信息安全人员的引进、培养和提高上，这就使得企业要么是信息安全人才极度匮乏，要么就是信息安全人员专业素质不高，很难肩负起信息安全责任，导致企业信息安全防护措施、手段处于一个较低水平，面对一些新的攻击手段而无能为力。

3.5网络盗窃链条产业化，私人信息成为他人财富源泉

在信息时代，唯有掌握足够多的信息资源，才能占有行业领域的市场。采用现代营销方式的企业借助网络来获取他们需要的私人信息，正是这样的需求催生了贩卖网络私人信息的信息商贩。私人信息贩卖在国内已经形成了一条完整的产业链。

4解决企业信息安全的对策

针对以上原因，要想迅速提升企业信息安全的防护能力，应对挑战，在笔者看来，主要应从以下几个方面努力：

4.1加强和完善信息安全法律法规建设，保障网络虚拟财物安全

保障信息安全的当务之急是加快推进信息安全法制建设，妥善处理相关法律法规的制定、修改和废止之间的关系，制定和完善信息安全基础设施、网络银行、电子政务、网络虚拟财物和个人信息保护等方面的法律法规，积极创造信息安全又好又快发展的良好法制环境。

4.2加强教育，提高认识

如何看待企业信息安全，就是如何看待企业信息资产问题，在信息化建设中，企业应该认识到，企业信息资产对于企业生存和发展有着和传统有形资产更为重要的地位，而企业信息安全防护，虽然不能直接参与企业价值创造，但却间接地参与了企业价值创造，间接地影响着企业管理水平、管理能力，影响了企业竞争力，在某些特殊条件下，甚至会影响企业的生存和发展。因此，必须充分认识到信息安全的重要性和严峻性，要站在企业发展的战略高度来看待信息安全，将信息安全策略提升到和企业发展策略的相同地位，作为企业的一项重要任务来实施。

为减少认识不到位和意识不强等造成的损失，企业应积极采取各种形式进行信息安全宣传教育活动，邀请专家讲解基本的信息安全防护知识，营造学习信息安全的氛围，大力提高企业广大职工的信息安全意识和技能。

4.3完善信息安全管理体制和制度，并重在落实4.3.1信息安全防护应是“三分技术，七分管理”，可见，管理对于企业信息安全防范确实很重要。

管理是其核心，企业必须明确信息安全目标，完善信息安全管理体制和制度（主要包括：用户权限管理制度，口令保密制度，密码及密钥管理制度，网络系统安全管理制度，系统信息备份与恢复制度，病毒防范制度等），并严格执行。这是企业真正实现信息安全的重要一环。

4.3.2引入信息安全风险评估制度，定期风险评估。对企业信息安全情况进行全面风险评估，定义关键资产，找出薄弱点，并调整安全防护策略，进一步降低信息安全风险。

4.3.3加大信息安全投入，提高人员素质，将信息安全新技术应用于生产实践。

安全技术是企业信息安全基础，“以人为本”是实现企业信息安全的保证。对于企业信息安全问题，必须加大人员、资金和技术投入力度，科学配置资源，达到投入和收益最佳结合。

围绕企业信息安全目标和策略，系统、科学地进行软硬件系统采购和建设，重点加强信息安全人员专业素质培养和提高，在信息安全防护体系实践中，不仅要利用被动的防护技术（如防火墙技术、数据加密技术等），同时也要引入主动防护技术（如入侵检测技术、漏洞扫描技术等），此外，还可以引入PKI技术、VPN技术等，并结合高素质的人员和科学的信息安全管理，从而使信息安全防护实现最优化。

4.4加强私人信息的合理有效利用

私人信息事实上蕴含着很高的商业价值，关键在于

（下转97页）

极为职工办实事，办好事

重视物质利益，就要关心群众生活。思想政治工作给人讲道理，就是要解决人们的思想问题。而很多的思想问题是由实际问题引出来的，而实际问题主要是指生活中的实际困难和本人难以处理的矛盾，比如：家庭经济、住房、与子女上学困难等。所以就要时时关心职工的冷暖，积极为职工办实事、办好事，职工反应的困难问题要及时“三必访”、“三必谈”制予以关怀和帮助，及时解决。坚持度，关心职工个人家庭困难，做到家有难事必到，职工生病住院必探望，使职工感到“大家庭”的温暖。所以在做这些同志工作时，就要注意把解决实际问题结合起来，这样效果才会比较好，比较明显。

2.5讲究语言表达技巧，理靠“说”而达于心

从现实生活中来看，直说、干说，有时不如巧说、趣同是找一个人谈心，有的人可以说。经常有这样的情况，

春风化雨，点滴入土，有的则话不投机，一谈就崩。原因就

与表达技巧有关。所以做思想政治工作，要做到交友诲趣味性结合一体，人，能言善导，把说理的东西与知识性、通过严谨的逻辑和凝练的语言，去启迪人，使其听之有趣、爱听，学之有识，思之有理，就能达到预期的目的。

3结论

总之，新时期做好思想政治工作要结合这两方面的要求，不断探索新途径、新方法，把思想政治工作适时适地适度有效融入企业日常生产经营和各项工作中，才能稳定职工队伍，增强职工主人翁意识，才能为太化改革创转型发展，完成“三件大事”创造良好环境。新、

[参考文献]

[1]刘为民《.企业转型发展中思想政治工作的可视点与着力点》[J].化工管理,2010（05）.

[2]赖学强.社会转型期国有企业党建与思想政治工作探析[J].新东方,2010（02）.

ScientificandEffectiveMethodsCanFacilitateIdeologicalandPoliticalWorkofStaff

WANGWei-gang

(TaiyuanChemicalGroupCoke-ovenPlant,Taiyuan,Shanxi030021)

[Abstract]Thereisahigherdemandforideologicalandpoliticalworkinthenewperiod.Togettheideologicalandpoliticalworkdonewell,itisnecessarytousescientificmethodsandconstantlyexplorenewwaysandnewmethods,integrateideologicalandpoliticalworkintoenterprisedailyproductionandoperationinanappropriateandeffectiveway,soastostabilizetheworkforceandcreateafavorableenvironmentforenterprisedevelopment.

[Keywords]staff;ideologicalandpoliticalwork

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

（上接91页）

企业如何去合理有效的利用。在保障信息安全的情况下，合理利用私人信息，挖掘内在价值，为企业的相关客户分析出目标受众群体的兴趣和习惯分类，并为客户提供方便、有效而且合法的营销平台，坚持不向公司以外的任何组织出售私人信息数据，也不与任何合作者分享私人信息，这才是成功的营销手法，或者说成功的信息所有者。对私人信息的有效收集与合理利用，随时调整企业的战略部署，制定合理有效的企业策划方案是国内企业对于私人信息利用的必由之路。

5结语

当前，在企业信息化建设中，信息安全是一项亟待解决的重要课题，本文只是对企业信息安全的内涵、要素、

[C].

[2]王孝颖.谈煤矿安全生产信息化系统[J].煤炭企业管理,2002（09）.

[参考文献]

[1]杨占品,尹航.安全生产CDJ信息管理系统的应用[A].中国职业安全健康协会2007年学术年会论文集形式、成因等进行简要探讨，以期找到解决问题的有效对策，但对其研究深度还远远不够，这里只是抛砖引玉，希望引起各位同仁和专家的注意，形成共识，共同深入探析，促使企业信息安全管理和技术再上新台阶，职工安全素质大幅提升，企业安全和谐，效益达到最大化。

AnalysisoftheCausesofCorporateInformationSecurityProblemsandCountermeasures

YUANLi

(TheSafetyandEnvironmentDepartmentofChinaAluminumShanxiBranch,Hejin,Shanxi043300)

[Abstract]Throughthesituationanalysisofcurrententerpriseinformationsecurity,thepaperdeeplydiscussesitscauses,tryingtofindthecountermeasuresagainstinformationsecurityproblemsinordertoensureinformationsecurity,escortfortheproductionandoperationsofenterprisesandrealizeenterprisestabilityandbenefitmaximization.

[Keywords]informationsecurity;causes;countermeasures;benefits

本文来源：https://www.bwwdw.com/article/glhm.html