企业信息安全应对策略探讨

李忠俊，张永峰，宋波

(大庆油田有限责任公司采油工程研究院，黑龙江大庆163453)

企业信息安全应对策略探讨

李忠俊，张永峰，宋波

(大庆油田有限责任公司采油工程研究院，黑龙江大庆163453)

当前企业信息系统攻击事件呈现逐年上升的趋势，如何有效提高信息安全管理水平，运用富有实效的信息安全策略，及时对违法入侵活动予以阻断，避免各种不良因素给企业信息安全造成威胁成为当务之急。就企业信息安全建设中存在的不足及防范措施进行探讨，为全面保障企业网络环境的安全性提供参考。

信息安全；应对策略

1 概述

我国已经进入“全民网络”的互联网+时代，与生产经营活动高度融合的信息化建设为企业带来了高效率、低成本、易拓展等诸多好处。然而，现代企业对信息系统的依赖性与信息系统本身复杂性、脆弱性、高投入性之间的矛盾日益突出，企业信息处于开放的网络环境，无疑会受到黑客攻击、木马或病毒入侵等网络威胁，席卷全球的WannaCry勒索病毒的肆虐事件更是给当前企业的信息安全状况敲响了警钟。一旦信息系统内部被非法入侵，企业将遭受无可估量的损失，如何保证信息系统持续正常运行、强化日常防护管理成为了企业亟待解决的问题。

2 企业面临的信息安全问题

多数企业在开展信息化建设的进程中，采取了相应的安全管理措施[1]，不过，企业面临的信息安全问题多种多样[2]，为了有效防止重要信息泄露或丢失，增强企业网络环境的安全性，保证企业信息对内合理共享、对外可靠屏蔽，必须清楚了解企业信息安全应重点关注的环节，制定合理的应对策略[3]，才能从根本上解决信息安全问题。一般来说，主要是在制度、管理、技术三个层面进行分析[4]。

2.1 信息安全制度不健全

企业往往不重视信息安全建设，出现信息安全事件时，没有有效的安全响应机制；同时，缺少行之有效的检查、监控、管理等防范措施，很难做到有的放矢。有些企业尽管制定了相关的规章制度，但安全责任不明确、制度体系不完备，信息安全工作难以落到实处，常常流于形式、执行不力。

2.2 系统补丁更新不及时

当前网络攻击方式层出不穷，互联网的高速发展为各类网络威胁的快速蔓延提供了最好的温床，而大部分企业的信息系统基于WINDOWS操作系统，操作系统本身的脆弱性为企业信息安全埋下隐患，虽然微软公司不断推出系统漏洞补丁，但总处于被动角色。比如，2017年3月推出了MS17-010系统重要补丁更新，然而WannaCry勒索病毒在5月份依然攻击、感染了100多个国家和地区超过10万台电脑，影响到金融、能源、医疗等众多行业。可见，及时升级企业信息安全技术、做好系统补丁更新工作是刻不容缓的。

2.3 安全管理手段不合理

信息安全的防护理念是“三分技术、七分管理”。近几年信息安全技术飞速发展，新的信息安全产品和技术不断推出，企业的信息安全状况有所改善，但一些企业存在软、硬件安全设备上投入不足，未能建立安全、完备的企业网环境等问题，加上企业员工的信息安全意识不强，一旦这些设备和系统使用不当，信息泄露在所难免。

3 企业信息安全体系构建

3.1 完善企业信息管理制度，构建网络安全体系

企业管理者应树立信息安全高于一切的思想安全意识，并将这种意识自上至下灌输给每位员工，为了更好地贯彻执行，需要建立全面的信息安全管理机制，严格执行信息安全防护措施，注重执行过程的科学性、系统性。

一是建立健全企业网络安全组织机构。根据企业的实际需要和特点，成立网络安全和信息化建设领导小组，负责日常网络安全建设和重大网络安全突发事件应急处理的组织指挥。通过完善的机构设置，有效地开展企业网络安全战略研究、规划计划制定和资源调配，协调解决企业内部网络安全建设问题，组织网络重大安全事件应急处置。

二是形成配套完善的网络安全制度。根据部门分工和涉密程度进行信息安全等级划分，参照国家信息安全标准，建立系统、完善的信息安全管理制度，形成事前预防、事中监管、事后追踪的企业网络安全管理模式，提升信息安全管理和风险控制能力，逐步建成完备、先进的信息安全体系。

三是引进信息安全风险评估机制，优化整合企业内部网络安全防护技术力量，定期对企业信息安全状况进行风险评估。通过引进、遴选网络安全专家，组建网络安全团队，为企业内部的安全防护状况，提供理论指导、技术咨询和安全事件应急处理的支援保障。

3.2 应用先进的信息安全新技术，提升企业网络安全实施能力

由于认识能力和技术发展的局限性，各类信息系统难免存在技术缺陷；通过操作系统的漏洞和后门,黑客堂而皇之地进入企业内部网络。因此，企业应合理选择操作系统和应用软件，及时应用最新的桌面安全管理系统、防火墙技术、网络安全保密技术、异地容灾技术，切实保障企业的信息安全。

一是要积极开展网络安全应用系统建设。开展多级安全防护系统、网络安全认证系统和安全防护管理中心建设；在办公终端及服务器上统一部署安全软件，定期升级病毒库；设定系统防护策略、减少开放的端口，定期进行安全补丁更新，提高系统防御能力。通过实时监控、定期扫描等方式，及时阻断受感染的机器，避免威胁进一步扩散。

二是要充分利用当前网络安全技术。运用物理隔离的防火墙技术，在企业网络边界建立通信监控系统隔离内、外部网络，阻挡外网入侵；对企业内部网络进行划分，实现重点网段隔离，限制局部安全问题影响全局网络；聘请专业技术人员对企业防火墙进行检查、完善和定期升级。

三是要建设网络安全保密体系。以网络安全保密系统为基础，通过统一安全保密策略，建立以安全管理和密码保密为核心，以访问控制、入侵检测、终端防护、安全认证、信息加密为手段的一体化网络安全保密体系。在涉及企业重要信息的电脑上安装保密软件，企业核心机密用专用的密码设备及通信线路进行传输，降低外泄风险。

四是要构建完善的容灾备份系统。采用双机热备、离线备份、同城备份、异地容灾等数据备份解决方案，在企业信息系统遭受自然灾害、系统故障或人为灾难时，保证数据安全性及企业生产经营的可持续性。

3.3 采取全面的企业信息安全管理措施，提高员工风险意识

对企业信息的产生、存储、传输、处理、应用和维护进行全生命周期管理，在企业内部形成良好的信息安全意识，加强和改进信息安全管理措施，确保不发生网络安全事件。

一是加强信息安全管理执行力度，提高员工风险防范意识。定期对企业员工进行信息安全培训，让员工了解信息安全的重要性，将信息安全管理制度落实到每一个员工身上，落实到日常工作的方方面面。同时，加强涉密人员管理，与涉密员工签订保密协议，明确相关人员的责任和义务，增加企业信息安全防范等级，减少信息安全隐患。

二是涉密内容集中存储，实现统一管控和规范利用。按照密级要求对涉密内容进行加密保护，重点解决传输和存储中的安全保密，包括内容存储加密、网络传输加密、密钥管理，以促进信息资源开发利用、严格保密管理与方便日常工作相结合为原则，完善“分网、分区、分级”存储管理机制，实现涉密内容集中管控。建立涉密内容使用管理制度，在线使用要明确访问用户、访问时间和操作权限，打印输出时应嵌入打印单位、人员、时间等信息的隐形水印，离开网络环境使用必须经过审批，回收涉密内容时审计使用情况。同时，加强涉密存储介质管理，严格限制移动存储设备、无线接入设备联网使用。

三是建立用户身份统一认证体系，实现权限管理和访问控制。通过统一安全认证系统和数字证书等技术手段，建立全网统一的身份认证体系，规范基于角色并覆盖全网、全员、全业务的身份认证体系，确保信息内容按权访问、全程可控、实时审计。企业用户按照身份、角色授予访问权限，确保合法用户正常访问、防止越权访问、杜绝非法访问。

4 结束语

在信息化高速发展的时代，随着网络入侵技术的不断提升，企业信息系统遭受攻击的事件永无休止，只有建立健全的安全体系策略，及时消除安全隐患，不断提升企业的信息安全管理水平，才能提高企业内部网络系统的运行稳定性，真正保证企业的生产经营实践活动向更加安全和高效地方向持续推进、健康发展。

[1]刘志勋.企业信息安全风险及控制策略探究[J].信息系统工程,2016(3)：74-74.

[2]吴捷.企业信息化建设中信息安全问题的研究[J].通讯世界, 2016(1)：247-248.

[3]胡亮.浅谈企业信息安全的日常防护[J].通讯世界,2016(8)：105-106.

[4]王志辉.刍议国有企业信息化建设中的信息安全[J].企业技术开发,2016,35(3)：18-19.

Discussion on Countermeasures of Enterprise Information Security

LI Zhong-jun,ZHANG Yong-feng,SONG Bo
(Research Institute of Oil Production Engineering,Daqing Oilfield Company limited,Daqing 163712,China)

Enterprise information system attack events show an increasing trend in current stage.It has become the urgent matter how to effectively improve the level of information security management,availably use some information security strategies,time⁃ly stop the illegal intrusion activities,and avoid threats to the enterprise information security of the various adverse factors.In this paper,the problems and preventive measures are discussed on construction of enterprise information security,and some references will be offered as a comprehensive guarantee for the safety of enterprise network environment.

information security;countermeasures

TP309

A

1009-3044(2017)21-0036-02

2017-06-25

李忠俊(1978—)，男，大庆油田有限责任公司采油工程研究院，工程师，硕士，研究方向为与采油工程相关的软件开发；张

永峰(1967—)，男，大庆油田有限责任公司采油工程研究院，高级工程师，本科，研究方向为与采油工程相关的软件开发；

宋波(1982—)，男，大庆油田有限责任公司采油工程研究院，工程师，本科，研究方向为与采油工程相关的软件开发。