现代企业信息安全防控策略研究

戴海斌

(江苏省泰兴中等专业学校，江苏 泰兴 225400)

信息安全是指保护网络、设备、程序和数据免受攻击、破坏或未经授权的访问的技术、流程和实践的主体，也可称为网络安全。企业信息是企业发展的命脉，加强企业信息安全防控意义重大。

1 企业信息安全防控的意义

当前，各行各业对计算机技术的依赖越来越强，控制系统使得各类机器越来越智能。由于智能化的普及，企业对自动化系统依赖性在增加，减少了企业员工对过程的控制和参与，加大了潜在的信息安全攻击危险。一旦出现信息安全问题，不仅是损害公司声誉或丢失客户数据，还可能危害个人安全。

数据就是资源，信息就是价值。企业信息安全在现实中非常重要，各行各业都需要在计算机和其他设备上收集、处理和存储数据。这些数据很大一部分可能是敏感的信息资源，无论是知识产权、财务数据、个人信息还是其他类型的数据，这些有价值的信息和数据，未经授权的访问或暴露都可能对企业的发展产生负面影响。企业在开展业务过程中会跨越网络和其他设备传输敏感数据，而网络攻击数量在不断增长，攻击技术在提升，特别是负责保护与国家安全、健康或财务相关信息的公司和企业，必须采取措施来保护其敏感的业务信息和人员信息。

2 企业信息安全的防控内容

为了获得有效的信息安全，企业需要在整个信息系统中协调工作。企业信息安全必须确保内容安全，并形成有效的信息安全系统。在创建信息安全防控策略时，要与员工进行交流并收集数据，解决信息安全问题。

信息安全系统。信息安全系统能有效保护网络免受黑客的攻击和入侵。网络攻击中的第一道防线是防火墙，所有企业必须建立防火墙，建立企业数据和网络犯罪分子之间的第一道屏障。除了标准的外部防火墙之外，企业还要建立内部防火墙，包括员工的家庭网络也应安装防火墙。

应用程序安全性。企业在运营中会用到大量的应用程序，这些应用程序也会受到攻击，要不断更新和测试，以确保这些程序不受攻击。

端点安全性。端点安全是保护公司网络远程访问控制的过程。远程访问是企业业务组成的必要部分，但也可能是信息安全攻击数据的薄弱点。企业通常采用语言命令传达任务或采用其他直观表述来开展业务，但网络安全是协议记录必不可少的部分，应保证端点安全性。

数据安全性。网络和应用程序内部是大量数据，保护公司和客户信息数据安全是重点。尽管防止攻击很重要，但是无论采取何种预防措施，仍有可能遭到破坏，企业应及时备份文档、电子表格、数据库、财务档案、文件，并定期检查备份，确保其正常运行。

身份管理。调研发现，63%的数据泄露是由于密码丢失、被盗或防备不严所致，为了保证信息安全，所有访问公司网络的员工设备都必须使用密码保护，密码应由大小写字母、数字和符号共同组成，60～90 d更改一次密码。

数据库和基础架构安全性。网络中的所有内容都涉及数据库和物理设备，保护这些设备同样重要。

移动安全性。企业需建立针对移动设备的安全预防措施，随着可穿戴设备(如具有无线功能的智能手表和健身追踪器)的日益普及，将这些设备纳入企业信息安全监测至关重要。

灾难恢复/业务连续性计划。一旦企业发生信息泄露，则必须保护其他业务的数据，使其能够稳定运行，所以企业需要准备一个业务连续性的备案计划。

用户教育。用户可能是访问网络的员工，也可能是登录公司应用程序的客户。养成良好的习惯(密码更改、身份验证等)是信息安全的重要组成部分。

信息安全中最大的挑战是安全风险的不断升级。企业非常重视信息资源的外部安全，总是保护其最关键的系统组件并进行防御。但这种安全防御方法不够全面，因为信息攻击技术发展和变化迅速，远远超过了企业的防御技术。应重视信息安全系统建设及员工安全教育培训，既要做好外部环境的防控，又要做好内部环境的防控。

3 企业信息化安全防控流程

许多全球性IT组织都通过信息安全管理要求ISO/IEC27001寻求其ISMS信息安全管理体系框架的全球认证。ISMS信息安全管理体系框架涉及五个关键要素：控制、计划、实施、评估、改进，它们构成了一个完整的防控流程。它借鉴质量管理中PDCA质量循环管控方法，通过不断的螺旋递升信息化安全防控流程，完善企业信息安全管理，强化过程控制。

控制。企业应建立管理框架，准备和实施信息安全策略，明确职责，建立和控制文档。

计划。在框架的计划阶段，企业应明确信息安全要求，根据信息安全预算，围绕信息安全和其他因素，采取适当的措施。

实施。企业必须使计划付诸实施，并确保有适当的保护措施来保障信息安全。

评估。一旦制定了策略和计划，企业必须对策略和计划进行监督，确保企业的流程按照策略、计划和其他信息安全要求运行。同时，对实施问题进行汇总。

改进。有效的ISMS信息安全管理体系意味着企业需要不断改进流程，不断修改SLA、安全协议，监视和控制方式，为信息安全提供保障。

4 企业信息化安全防控策略

4.1 建立信息安全防控制度

应建立信息安全防控制度，通过制度约束实施信息策略。国家信息安全政策在不断发展，应定期更新协议，让每一位企业员工签署文件，使其了解信息安全策略和制度，并了解如果不遵守安全策略，则可能会采取的措施。

4.2 加强信息安全风险评估

加强信息安全风险评估能“应对不可避免的网络事件，并迅速恢复正常运行，确保公司资产和公司声誉受到保护。”企业需要定期进行信息安全风险评估，以了解任何潜在风险并减轻风险。企业进行网络风险评估必须将风险评估集中在两个方面：一是查明企业最需要保护的、最有价值的信息。查明该信息面临的威胁和风险，明确数据丢失对企业带来的损害。二是制定并实施计划，通过计划减轻网络风险，保护企业的核心信息，并有效地响应安全事件。该计划应包含建立成熟的信息安全计划所需的过程和技术。

4.3 加强员工信息安全培训

如果企业员工接触使用计算机，则需要网络安全培训。良好的信息安全培训可以极大地减少网络攻击。应让员工明确信息安全风险，提升企业的信息安全性。

4.4 加强信息安全资金投入

应加强对企业信息安全管理的支持，加强信息安全资金投入，这是企业信息安全管理的有效保证。如果缺乏高质量的信息安全软件支持，企业就无法创建和执行强大的安全策略。

5 结语

企业必须加强信息安全管理和员工教育，不断完善企业信息安全防控管理策略，为公司提供信息安全的最佳保护手段，防止敏感数据的泄漏和丢失。信息安全是一项艰巨的任务，但只要企业从小处着手，专注于最敏感最核心的信息数据，就能防患于未然。