网络环境下企业信息安全问题研究

网络环境下企业信息安全问题研究

进入二十一世纪的今天，随着社会、经济和科学技术的飞速发展，计算机网络在经济和生活的各个领域迅速普及。众多企业为了提高办事效率和市场反应能力，也都纷纷依靠IT技术构建企业自身的信息系统和业务运营平台。在网络环境下，企业获得了信息共享、信息交流、信息服务，改善了企业管理水平，提高了劳动生产率，增强了企业的核心竞争力。

然而，网络是把双刃剑。在带给企业机遇与便利的同时，网络环境固有的开放性、交互性、共享性和分散性，也造成了企业信息系统具有致命的脆弱性、易受攻击性，一旦企业网络遭到攻击，企业信息泄露，甚至被人篡改，就会给企业带来不可估量的损失。因而，研究与防范网络环境下企业信息安全问题已迫在眉睫。

一、网络的发展对于提升企业竞争力的积极作用

互联网络的发展是一场，是企业管理变革和技术创新的催化剂。网络以信息化的方式，对于提高企业管理水平、促进管理现代化、转换经营机制、建立现代企业制度、加快技术进步，提高经济效益等方面都有极其重要的意义，是提升企业竞争力的重要“砝码”，具体来说包括以下几点：

（一）网络的发展能提高企业决策和管理水平

信息和网络技术实现了跨越地域的同步信息交换，使企业在获取、传递、利用信息资源方面更加灵活、快捷和开放。信息的充分性和及时性极大地增强了决策者的信息处理能力和方案评价选择能力，从而拓展了决策者的思维空间，延伸了决策者的能力，使决策者

将原先模糊的信息和经验进行规范化、具体化、定量化，最大限度地减少了决策过程中的不确定性、随意性和主观性，增强了决策的合理性、科学性及快速反应，提高了决策的效益和效率。此外，由于信息和网络技术的大量采用，对企业原有的传统管理模式产生了强烈冲击，带来了企业管理的根本性变革。信息技术与企业管理的发展与融合，使良好的管理规范和管理流程得以建立，科学管理得以实现，从而提高了企业的整体管理水平。

（二）网络的发展能提高企业组织绩效

信息传输的效率直接影响企业组织的效率，而组织绩效的提高，将明显提高企业管理效率，从而为企业赢得竞争优势。组织效率的提高总是需要尽可能简捷的信息网络体系，以便降低信息成本、提高信息传输效率。网络的发展会有效加强企业的决策层与执行层的直接沟通，使中层管理的作用大为降低，从而减少了管理层次，进而加速了信息的传输效率，提高了组织结构的效率。这种组织形式通过水平、对等的信息传递来协调企业内各部门、各小组之间的活动，实现了动态管理。它不仅使信息沟通畅通、及时，降低对低层的监督协调成本，使市场和周围的信息同决策中心间的反馈更加迅速，提高了企业对市场的快速反应能力，而且极大地调动了组织成员的潜能和积极性，从而更好地适应竞争日益激烈的市场环境。

（三）网络的发展能构造企业成本领先优势

企业通过信息网络可以获得信息技术与业务活动或业务流程的有效集成，大大降低企业各项业务活动的中间环节，提高各业务活动或业务流程间的信息沟通的便利性和多业务或职能部门间的协作程度，从而促进企业“价值创造”过程的集成化管理。信息和网络技术几乎可以应用于企业的全部经济活动，它直接影响企业业务活动的成本。首先，计算机辅助设计和制造技术小仅可以使企业降低新产品的设计和生产成本，还大幅度地降低了对

现有产品。进行修改或增加新性能的成本；其次，由于柔性制造技术对库存管理具有替代效应，使信息化与网络化企业减少了库存量，降低了管理成本；再次，迅速发展的电子商务大大降低了企业的交易成本，从而形成成本优势。

（四）网络的发展能加速企业技术创新

企业生存和发展的基础就在于创新。技术创新是企业加速新技术、新材料和新工艺的应用，降低产品成本，提高生产效率和企业竞争能力的最有效途径。企业技术创新其本质是一个信息的收集、分析、处理、创造的过程。互联网络环境下，企业管理信息化能够根据企业技术创新的目标，利用现代先进的信息技术，通过各种有效的信息源，获取企业内外部信息，为企业技术创新的决策、开发、实现和扩散奠定基础；现代信息和网络技术可以对大量信息进行定性和定量的分析研究，进行去粗取精、去伪存真的加工，使其系统化、适应化，从而形成支持技术创新的信息研究成果；信息网络技术的易存储和检索特性能够对加工后的大量信息进行有效的组织和存储，提供多种检索路径，方便科技创新人员的检索和利用。

二、网络环境下影响企业信息安全的因素

网络环境下企业的信息安全是一个系统概念，分为网络安全和信息安全两个层面。网络安全的定义是：确保以电磁信号为主要形式的，在计算机网络系统中进行获取、处理、存储、传输和利用的信息内容，在各个物理位置、逻辑区域、存储和传输介质中，处于动态和静态过程中的机密性、完整性、可用性、可审查性和可抗抵赖性的与人、网络、环境有关的技术和管理规程的有机集合;信息安全是指信息网络的硬件、软件及其系统中的数据受到保护，不受偶然或恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常的运行，信息服务不中断。

（一）网络病毒的侵袭

网络病毒是一种人为的特制程序，具有自我复制能力、很强的感染性、一定的潜伏性、特定的触发性和很大的破坏性，并能够通过网络、磁盘、光盘等诸多手段进行传播。在计算机网络中，一旦病毒爆发，轻则降低速度，影响工作效率，重则使网络堵塞，破坏服务器信息，甚至造成网络瘫痪，造成不可估量的损失。在互联网安全问题中,网络病毒发生的频率高, 影响的面积广,并且造成的破坏和损失也列在所有安全威胁之首。

在目前的局域网建成, 广域网联通的条件下,网络病毒的传播更加迅速, 单台计算机感染病毒,在短时间内可以感染到通过网络联通的所有的计算机系统。病毒传播速度,感染和破坏规模与网络尚未联通之时相比,高出几个数量级。

（二）“黑客”入侵

黑客就像是一个计算机数据信息的窃贼，他们以编写计算机病毒、制造网络攻击、侵入局域网系统或网站后台为业，其技术水平往往与网络科技更新同步，甚至超前，是当今世界网络威胁的最大制造者。黑客通过寻找未设防的路径进入网络或个人计算机，一旦进入，他们便能够窃取数据、毁坏文件和应用、阻碍合法用户使用网络，所有这些都会对计算机网络造成直接的极大的危害。

（三）数据窃听和拦截

数据“窃听”和拦截是指直接或间接截获网络上的特定数据包并进行分析来获取所需信息。在网络中，当信息进行传播时，利用工具将网络接口设置在监听模式，便可截获或捕获到网络中正在传播的信息，从而进行攻击。因此，一些企业在与第三方网络进行传输

时，需要采取有效措施来防止重要数据被中途截获，如用户信用卡号码等。

（四）数据丢失

计算机系统由于系统崩溃、硬件设备的故障或损坏、网络黑客入侵、计算机病毒发作以及管理员的误操作等各种原因会导致数据出错、丢失和损害，如果没有事先对数据进行备份，后果不堪设想。

（五）人文环境

对信息安全影响最深的即为人为因素。使用信息系统人员的素质以及他们对信息安全的重视程度将决定整个信息系统的安全程度。在企业内部，由于规章制度不健全、业务不熟练、违章操作、保密观念不强，网络管理人员随意将口令或账号告之他人或是无意泄露，都会导致在网络的信息安全上产生可能的漏洞。更有企业内部人员如果企图破坏网络系统，错误地进入数据库、恶意导入或删除信息系统的数据等，都将给企业的正常运作和管理造成极大的安全风险。此外，管理是网络信息安全中最重要的部分，权责不明、安全管理制度不健全及缺乏可操作性等，都可能引起信息安全的风险。因此在安全管理上的一系列漏洞可能会导致巨额经费打造的网络安全机制形同虚设。

三、网络环境下企业信息安全隐患的防范策略

针对当代互联网的种种威胁因素的存在，企业在加强信息化建设的同时应采取切实有效的防范措施来保护互联网络环境下企业的信息数据安全。从防范策略上来讲，可以采用技术、管理和法律三大手段。

（一）技术手段

1．防火墙技术

在网络安全中，系统安全使用最多的技术就是防火墙技术。防火墙是一种保护计算机网络安全的技术性措施，是一个用以阻止网络中人为的恶意攻击某个机构网络的屏障。企业应安装质量可靠，功能强大的防火墙，以减少病毒的传播和阻截人为的恶意攻击，保证网络系统安全，并时刻关注防火墙的运行情况，注意软件的维护和升级。但需要强调的一点是，防火墙只能阻截来自外部因素的侵扰，而对于内部网络的安全还需要通过对内部网络的有效控制和管理。

2．数据加密技术

与防火墙配合使用的安全技术还有数据加密技术。它可以提高信息系统及资料的安全性和保密性, 防止秘密资料被外部破解。按作用的不同, 数据加密技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术等四种。信息加密可以有效的保护网络内的数据、文件、口令和控制信息，保护网上传输的数据。数据加密技术是信息安全的核心技术，它渗透到大部分信息安全产品之中，并正在向芯片化方向发展。

3．数据备份

数据备份是指将计算机系统中硬盘上的一部分数据通过适当的形式转录到可脱机保存的介质（如移动硬盘、优盘和光盘）上，以便需要时再输入计算机系统使用。没有任何一项措施比数据备份更能够保障信息的安全。制定应急处理计划，做好备份和恢复，是企业信息安全的后方阵地。平时做好数据备份应当是企业内计算机管理员的一项重要工作。完

善的数据备份应该是动态的、多重的备份，这样才能保证操作系统遭到破坏后能够迅速恢复这些数据库的使用。

（二）管理手段

1．建立健全企业信息安全管理体系

对于一个信息化的企业来说，网络信息安全不仅仅是一个技术问题，也是一个管理问题。在互联网环境下要保证企业信息数据安全的关键，首先企业必须树立网络信息安全管理理念，确定信息安全保护工作的目标和对象，做到“实体可信，行为可控，资源可管，事件可查，运行可靠”，其次，建立健全安全管理制度，确保所有的安全管理措施落到实处。企业的信息安全,是一个整体的问题,需要从管理与技术相结合的高度,制定与时俱进的整体管理策略,并切实认真地实施这些策略,才能达到保护企业网络信息安全性的目的。

2．加强计算机用户管理

企业要结合自身硬件、数据和网络等方面的实际情况，提高工作人员的保密观念、责任心和安全意识，加强业务技术培训，提高员工素质，防止人为事故的发生。必要时，可运用技术手段，根据用户所属部门和工作性质为其制定相应的权限，用户只能在自己的权限范围内对文件、目录、网络设备等进行操作。

3．加强人员管理

人员管理是信息安全管理的核心，经验告诉我们，更多的网络安全往往从后方（内部用户）被攻克。应对企业所有员工进行网络安全知识的基础培训，树立员工维护信息安全

的责任感。全面落实安全职责制，严格按照应用需求对人员进行安全等级划分，同时指定专人负责网络安全管理。安全管理人员有变动时，进行相应的密码更改。对在实际应用过程中出现的各种信息安全事件和安全状况进行严格记录、利用网络管理软件对各种重要网络行为、各种涉及系统重要配置的更改进行审核并计入日志。

（三）法律手段

1．加强法律意识

在网络环境下，企业的信息安全问题应该有相应的法律法规作为保障，它涉及网络安全、计算机安全、数据安全、使用权限和信息主权以及个人隐私等法律范畴。我国于1994年2月颁布的《中华人民共和国计算机信息系统安全保护条例》揭开了我国计算机安全工作的新的一页，它是我国信息安全领域内第一个全国性的行规，标志我国的计算机安全工作开始走上规范化的法律轨道。随后，国家又颁布了一系列关于信息安全的法律法规和技术标准，对信息网络安全进行了明确的规定，并有专门的部门负责信息安全的管理和执法。企业首先必须遵守国家发布的这些法律法规和技术标准，并以此来建立自己的管理标准、技术体系。企业管理者及各级工作人员应当强化自己的法律意识，认真学习领会相关法律条款，从思想上真正认识到企业信息安全问题的重要性和必要性。

2．落实法律责任

企业建立健全合法性的责任追究制，明确机构、人员的职责和要求，也明确部门负责人和相关工作人员的职责和要求。大量的事实证明，只有企业内所有人员都在法律的约束下规范自己的行为，才能为本单位做好信息安全工作创造良好的法律环境。

3．用法律武器抵制侵犯

我国《刑法》第285条明确规定：违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。最高人民于1997年12月确定上述罪行为“非法侵入计算机系统罪”。因而，对于恶意侵犯企业信息安全的不法行为。企业各级人员应当坚决的运用法律武器制止侵犯行为，捍卫企业信息的安全与完整。

技术是实现企业信息安全的物质基础, 管理是实现企业信息安全的落实手段, 司法措施则是实现企业信息安全的有力保障。企业信息安全的策略应该是以管理为中心、以技术为基础、以法律为保障的三位一体的综合治理策略。

结束语

信息是社会发展的重要战略资源,也是衡量一个企业乃至国家的重要参数。在信息时代的今天,人们对信息的依赖越来越高,因此信息安全就尤为地重要。网络环境下，企业在大力推进信息化建设、提升企业核心竞争力的同时，必须强化信息安全意识，认识到网络环境下企业信息可能遭到的安全隐患，从多方面进行有效管理以及合理运用技术、管理、制度和法律等进行全方位的考虑，建立一个综合性的防御安全体系，最大限度地降低企业信息有可能遭受的安全隐患，使得计算机技术在企业信息管理和运用中更好地发挥应有作用。