淺析企業信息係統安全體係建設

企業管理

作者：白雪祺　張銳鋒

摘要：伴隨著信息化技術的快速發展，信息係統在企業中處於越來越核心的位置，如何在企業內部建立一套完整嚴密並且可持續執行、改進的信息係統安全體係是企業管理者麵臨的一個非常嚴峻的課題。本文從技術、管理、審計三方麵出發，通過多項措施的有機結合，最大限度地保證企業的信息係統安全，打造企業信息係統的銅牆鐵壁，為企業完成一套信息係統安全體係的建設。

關鍵詞：企業信息係統 管理 安全審計 安全技術

進入二十一世紀以來，越來越多的傳統企業通過引入信息係統來提高企業運行效率，用信息化技術改造企業已經成為一種不可阻擋的曆史潮流。各領域的信息化步伐在不斷加快，信息化朝著更加高效的方向發展。隨著企業信息化改造升級工作的完成，企業進入一個嶄新的信息化時代，隨之而來的是企業對信息化的依賴性越來越大，企業信息係統是否可以安全可靠地運行，企業的信息是否可以被安全有效的保護，這往往會對企業的客戶聲譽、品牌形象造成不可估量的影響，甚至會使其業務直接麵臨風險。因此，信息係統安全體係的完整嚴密對於企業至關重要。

如何建立一套針對企業自身特點的信息係統安全體係，最大程度地保證其正常運營，這不是一個單純的技術問題，而是一個把管理、安全技術、審計等多種因素集成於於一體的係統工程。因此，企業管理層需要在企業發展策略中，高度重視信息安全技術、信息安全管理和審計工作，不僅要在信息係統的軟硬件上下功夫，而且不能忽略相關審計工作，加強風險排查，這樣才能對企業的業務發展做到同步支持。

1.信息係統安全技術

信息係統安全技術作為信息係統安全體係的基礎，在其中起到支撐的作用。在實際工作中，針對企業各自特點製定相關策略。當前企業信息係統安全的現狀和麵臨的主要問題如下：

1.1硬件運維

硬件設備的運維和管理是企業信息係統安全體係的基礎保障，但是管理人員容易忽視這一環節。企業信息係統往往會因為硬件設備故障、斷電或網絡問題造成信息丟失或服務中斷。如果針對硬件設備的運維和管理沒有相關保障機製，一次發生意外，就會給企業造成不可估量的損失。

當前常見的硬件設備運維保障管理機製有以下幾個環節：一是通過設置UPS不間斷電源保障係統硬件的持續性運行；二是要對企業信息係統中的網絡設備進行定期巡檢，在前期的網絡環境部署過程中首先考慮網絡的連接穩定性；最後是加強信息係統安全管理，嚴防企業信息丟失和竊取，可以通過對數據信息存儲服務器設置物理鎖的方式避免非法操作。為了保證係統服務器的安全，管理人員可以采用遠程登錄的方式訪問係統。

1.2入侵防禦

病毒入侵一般都擁有固定代碼，而入侵威脅是由非法人員需要得知信息係統的漏洞，從而進行人為操縱的信息竊取或係統攻擊。特定的防範方法包括：嚴格製定防火牆訪問控製策略，阻止外界對內部資源的非法訪問；關閉係統硬件不用的端口；定期對係統進行漏洞掃描和補丁包更新；在信息係統中部署入侵檢測係統（IDS）和入侵防禦係統（IPS），從而抵禦非法入侵。

1.3病毒防範

信息係統的安全配置和管理人員的正規操作對於信息係統病毒的防範非常重要。操作係統是企業信息平台安全的基礎，錯誤的安裝配置會使病毒滲入到信息係統當中。針對信息係統安裝殺毒軟件並進行定期更新是病毒防範的基本措施，這樣可以保證係統基本的安全性與穩定性。企業還需要定期對係統進行數據備份。