探析企业信息安全问题的成因及对策

2011年7月总第8期

现代工业经济和信息化

ModernIndustrialEconomyandInformationization

信息化

July，2011Totalof8

探析企业信息安全问题的成因及对策

原黎

（中铝山西分公司安环部，山西河津043300）

[摘要]通过分析当前企业信息安全的形势，就其成因进行深入探讨，力图找到解决信息安全的良好对策，从而确保信息安全，为企业生产经营保驾护航，实现企业安全稳定和效益最大化。

[关键词]信息安全；成因；对策；效益[中图分类号]TP393

[文献标识码]A

[文章编号]2095-0748（2011）08-90-02

引言

当今社会正处在信息化时代，信息化给人们带来诸多便利，世界因互联网而变小，但同时我们也无时无刻不面临着恶意软件，诸如计算机病毒（Virus）、蠕虫（Worm）、木马程序（TrojanHorse）、后门程序（Backdoor）、逻辑炸弹（LogicBomb）等，甚至黑客的侵袭。从1988年CERT（计算机紧急响应小组）成立以来，统计到的Internet安全威胁事件增长迅猛。这些安全威胁事件给Internet带来巨大的经济损失，对我们中铝山西企业来说，影响更是深远，信息安全受到前所未有的挑战，形势异常严峻。因此，笔者认为很有必要对当前企业信息安全的成因进行深入分析，从而找到解决问题的对策，确保企业信息安全，实现企业最大经济效益。

1信息安全的内涵

所谓信息安全是指信息网络的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不网络技术、通讯技术、密码技中断。它涉及计算机科学、

术、信息安全技术、应用数学、信息论等多门学科，包括国防范青家军事政治等机密安全，防范企业商业机密泄露、个人信息的泄露等。少年对不良信息的浏览、

2企业信息安全具备的要素和面临的不安全形式一般来说，信息安全具备五要素：可用性，完整性，机密性，可控性，可审计性。不安全形式分为两类：攻击和入侵。通常涉及到这五个因素中的多个因素。攻击造成的结果是可用性、完整性和可控性的破坏，具体现象是网络或主机提供的服务、资源不可用，数据被破坏等等；入侵造成的结果是使机密性、可控性和审计性的破坏，这当然也会危及到可用性和完整性，具体的现象是网络资源或主[收稿日期]2011-06-15

[作者简介]原黎，1971年生，女，2004年毕业于太原理工大学，经济师，研究方向：安全管理。机的管理权部分或全部丧失。在实际的安全威胁事件中，可以看到攻击和入侵也是互为因果、相辅相成的。

3企业信息安全成因分析

3.1信息安全法规不健全，网络虚拟财富不能有效保护

我国信息安全方面的法律体系初步构建，但还缺乏体系化与有效性。从整体来看，与美国、欧盟等先进国家与地区比较，我们在相关法律方面还存在差距，信息安全标准体系也基本是引用和借鉴国际或先进国家的相关标准。由于缺乏相关的基本法，可以说信息安全在法律层面存在缺失，这对于信息安全保障是重大隐患。

譬如我国现有法律对制造和传播病毒者，要以造成“熊猫烧香”病毒后果的严重程度来量刑，但是很难衡量所导致的后果。正因为该病毒所盗取的是“网络虚拟财物”，所以不能构成“盗窃罪”，这就导致病毒制造者李俊之外的很多相关嫌疑人量刑很轻或定罪很难。据专家介绍，由于目前网络立法明显滞后，对于怎样保障虚拟财物的权益，我国在立法上还是处于空白。

按照我国现行《计算机信息网络国际联网安全保护，制造和传播病毒属违法，但对于木马、黑客程管理办法》

序等并没有清晰的界定，因为它们本身只是一个工具，至于使用者拿它们去干坏事还是干好事，无法控制。这无疑就是木马程序和黑客程序制造者敢于利用网络交易平台公开叫卖、大发不义之财的根本原因。

3.2认识不到位，存在误区

目前国内很多企业对信息安全重视依然不够，对其认识存在误区。近些年来，由于国内外信息安全事件频繁发生和企业本身信息化程度不断加深，国内企业对自身信息安全已经开始给予越来越多关注。但是，大多数企业管理者并没有足够重视，一方面，他们认为企业信息资产远没有有形资产重要，信息安全问题还很难和企业生存以及核心竞争力挂上钩，企业信息安全防护是企业消耗者；另一方面，我国对信息网络管理和控制比较严格，很

多人盲目乐观，有的甚至认为，信息安全对于企业而言，只是些小问题，或者说只是技术性问题，不会造成太大影响。由于存在以上认识，企业很难将信息安全问题放在一个战略高度来对待，信息安全存在问题也就在所难免，不能在技术和管理上采取有效措施以防止信息安全问题的产生，无法确保信息安全。

3.3管理不到位，存在薄弱环节

当前，不少企业信息安全体制（包括管理、培训等）和制度还不健全，信息安全防护措施还不科学、系统，更不能严格执行。普遍存在“重建设，轻管理”思想，在安全防护实践中单纯重视对信息防护系统中软硬件购置和建设，忽视信息系统操作人员信息安全意识淡薄，导致软硬件系统防护效果起不到应有的作用。

3.4信息安全防范技术不强，投入（资金、技术和人员）不到位，无法有效防护

很多企业网站不设防，像采用免费网站程序、管理员密码设置过于简单等都导致黑客轻松入侵。目前，由于企业本身经济和技术实力等原因，导致信息安全投入（资金、技术和人员）严重不足，同时，资源没有得到有效配置，发挥最大作用。诸如有的只是投入到信息安全防护软硬件上，很少用于专业化信息安全人员的引进、培养和提高上，这就使得企业要么是信息安全人才极度匮乏，要么就是信息安全人员专业素质不高，很难肩负起信息安全责任，导致企业信息安全防护措施、手段处于一个较低水平，面对一些新的攻击手段而无能为力。

3.5网络盗窃链条产业化，私人信息成为他人财富源泉

在信息时代，唯有掌握足够多的信息资源，才能占有行业领域的市场。采用现代营销方式的企业借助网络来获取他们需要的私人信息，正是这样的需求催生了贩卖网络私人信息的信息商贩。私人信息贩卖在国内已经形成了一条完整的产业链。

4解决企业信息安全的对策

针对以上原因，要想迅速提升企业信息安全的防护能力，应对挑战，在笔者看来，主要应从以下几个方面努力：

4.1加强和完善信息安全法律法规建设，保障网络虚拟财物安全

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说医药卫生探析企业信息安全问题的成因及对策在线全文阅读。