企业网络信息安全问题与对策探讨

摘要：大数据时代一方面带来信息井喷，另一方面网络信息安全问题也日益凸显。信息应用的普遍需求与信息安全的脆弱性，已成为制约企业跨越性发展的重要因素。基于这一认识，我们在获取信息、应用信息的同时，必须认真分析网络信息安全的现状，梳理信息安全问题的节点，制定相应的对策，提高网络信息安全性。

关键词：网络安全；问题分析；对策探讨

1前言

随着互联网、大数据、云计算时代的到来，特别是随着网络个人信息的增多，以及公众对网络资源的依赖，网络安全对用户信息（包括个人财产安全）产生严重的威胁和影响，信息安全问题已成为制约企业跨越性、可持续发展的重要因素。为此，正视网络信息安全，从信息安全现存问题入手，分析问题的成因，制定具体的应对策略，从而营造一个安全稳定的网络环境，是当前企业信息建设的一项重要任务。信息安全涉及网络通信、密码技术、中端设备、数据传输与运用等诸多学科，是一项综合性应用课题。广义上说，有关网络信息保密性、完整性、真实性、可控性的技术和理论，都是网络信息安全所关注和研究的领域。在实际应用中，网络信息安全更多地指向构成网络闭环的硬件、终端传输及其系统中的数据，如何使这些数据资源不受偶然（或者恶意）的原因破坏、失真、更改或泄露，确保系统连续可靠、正常有序地运行。

2主要问题分析

就国内企业（包括国内大型国企）而言，由于受到我国整体信息技术水平的限制，其网络信息建设无论是硬件还是软件，都存在严重依赖国外技术的问题。以通信芯片和操作系统为例，我国在自主创新上还存在较大差距。如智能手机的操作系统，华为虽启用自主研发的“鸿蒙系统”，但国外操作系统的垄断局面还较为普遍。2018年，据相关机构的统计数据，我国国内智能手机使用美国谷歌公司安卓系统的产品占了89.3%。信息安全体系建设，不只是用信息安全产品搭建起一个信息“堡垒”，更重要的是要建立一套完善的、自成体系的信息安全制度。正如“瑞星杀毒软件”安全专家指出的，“只有有形的产品和无形的制度相互配合，才能避免核心机密被类似‘棱镜’项目所窥视。”从目前网络信息安全所暴露的问题看，有三个方面的因素常常引发网络信息安全危机。2.1自然因素（或偶发因素）引起网络信息安全问题。主机系统和终端设施遭受自然力的破坏，如：自然灾害（地震、水灾、风暴、建筑物损毁等）对计算机网络构成威胁；电源故障、设备失常、能耗崩溃等一些偶发因素，对计算机网络构成威胁。2.2管理应用疏漏造成网络信息安全问题。如用户在网络应用过程中，因安全意识松懈、规章制度不全、管理水平低下、操作环节失误、人为渎职积弊等对网络安全造成威胁。网络信息具有宽域开放的特征，信息采集、储存、传输、应用过程中的任何疏忽，都有可能造成泄露、失真等信息安全隐患。近年来，智能终端等移动互联设备更新速度惊人，新的开发应用层出不穷，各种“小程序”的出现令人眼花缭乱。而在实际应用过程中，企业或个人均存在“盲目跟风、自由购买、随意使用”现象，网络信息安全形势日益严峻。例如，假如用户将具备联网功能的智能手机，接入已连接涉密网关的办公计算机，其目的虽是给手机充电，却无意中等于让该智能机同时联接了互联网，进入了涉密网络空间，由此给他人植入电脑病毒带来空隙和机会。2.3安防体系建设滞后酿成的信息安全问题。多年来，人们习惯于依赖安装杀毒软件来保障网络安全，但由于没有构建严密的防护体系，系统管理不严、人员操作不当和黑客入侵引发的系列安全问题始终未能有效解决。目前看，虽然在开发环节对操作系统的安全设置已予较高重视，并为用户设置了一定的自具式防护，但是因网络黑客手段不断升级，操作系统本身的安全漏洞和缺陷，往往在“防不胜防”中逐渐被黑客所破解和攻击。其次，在实际使用过程中，防火墙只能抵御一般性的网络攻击，一旦遇到升级版本的计算机病毒，将无法形成对系统的保护。这些先天性的、不可避免的漏洞和局限，将给网络信息安全造成严重影响。从数据资源看，数据库中的海量数据和关键信息，其中有些涉及个人隐私，有些则是涉及资金安全的重要信息。数据库的安全防御措施显然尚未建构起密不可破的层层“天网”，一旦遇到网络入侵，难以形成对数据信息的有效保护。

3对策建议

3.1要普及网络安全知识，营造信息安全环境氛围。网络信息安全教育是保守国家涉密、实现信息安全的根本，也是做好网络信息安全的基础和前提。这就要求各级组织高度重视，切实增强自身网络信息安全的意识和素质，领导带头学，业务人员主动学，自觉成为信息安全的排头兵，成为工作中的行家里手，形成自我学习、自我教育的良好氛围；通过共同参与、主动防范，端正思想认识，营造一个良好的网络信息安全氛围。3.2要强化安全监管，健全网络信息安全体系。网络信息安全建设是一项系统工程，需要完善的工作机制与高效的管理体制，籍此推动网络信息安全的健康有序发展。从企业信息化建设需求看，首先，要完善顶层设计，明确单位信息安全建设的总体思路和指导思想，细化信息安全的实施步骤、标准要求，建立网络信息安全框架协议与制度规范。其次是科学规划，理清职责，构建科学的管理体制，包括对所在单位的编制体制进行有机整合，合理调整信息从业人员的科学分工，从而理顺管理体制，明确各自职责，推动网络信息安全工作的高效运行。3.3要优化安防系统，完善信息安全应急预案。及时更新防病毒软件，完善具有远程安装、报警和集中管理的有效功能；建立内网认证系统，实现访问控制、身份识别、机密性、不可否认服务等；建立病毒防控机制，禁止在网上随意下载的数据往内网主机复制，禁止在联网计算机上随意使用来历不明的存储设备；紧盯网络信息系统安全检测设施和手段的发展前沿，提高网络信息安全检测监控技术，完善网络信息系统安全防护手段，提高网络信息安全技术和产品的检测评估能力；加强网络安全威胁评估，做到及时预警、预案完备、应对措施得当，对可能发生的网上意外，可能引发的舆情危机进行预测，做好预案，防止意外状况发生。3.4要理顺信息安全管理机制，加强网络信息安全研究。应理清网络信息安全建设的总体思路，细化信息安全防范的实施步骤与标准要求，完善网络信息安全框架协议和制度规范。网络信息安全是一项系统工程，要确保其高效有序的运行，需要完善工作机制，顺畅管理体制。企业各部门要通力合作，各司其职、各负其责，共同推动信息安全建设的健康、有序发展。目前，国家层面已经成立了国家安全委员会，这对企业网络信息安全建设起到了积极促进作用，但在运行机制、制度保障等方面，还需各企业（用户）进一步优化和完善。其着力点应放在“跨域融合”上，即立足于国家安全的全局，平衡好各方利益冲突，融合好各部门的利益诉求，研究解决好信息发展与跨部门、跨领域、超越局部利益、短期利益的瓶颈问题。要高度重视网络信息安全管理存在的多头管理、职能交叉、重复建设问题，拟订网络信息系统的建设、使用、管控具体实施细则，明确责、权、利约束，破除“有利益就上，有问题就让”的积弊。要紧跟信息技术发展，加快发展网络信息安全检测和监控技术，完善网络信息系统完全防护手段，提高对网络信息安全技术和产品的检测评估能力。3.5要广揽人才，建立一支网络信息安全队伍。当前，国内外各大企业对网络空间的安全问题越来越重视，并将网络空间视作未来企业竞争的主要手段和利益空间。对于确保网络空间安全问题，各企业的做法、手段不尽相同，但建立一支有规模、结构优、素质良的专业网络空间安全队伍，已是各企业、各从业人员的一致选择。因此，确保企业在网络空间的话语权与运行自由，必须建立一支网络空间信息安全队伍，包括落实国家网络安全人才战略，提升各类人员的安全意识和能力，加强网络信息安全专业人才的教育培训等。要创新人才培养模式，优化教学环节，在学历教育、职业培训方面共同发力，通过规模化培养，解决网络信息安全人才不足的问题，填补信息安全细分领域人才缺口。目前，信息安全人才评价标准的难点，在于不能用同一把尺子，用传统的人才评价方式来对其评价和衡量，因此，建立全面、系统的网络信息安全人才评价标准，应作为我们稳定队伍的重点来抓。3.6要加强合作，共建安全、开放的网络空间。实现网络空间的互惠共赢，必须加强国际合作，这已成为治理网络安全环境的国际共识，也赢得了国际社会的一致认可。要在网络空间的共同治理中占据有利位置，必须参与到国家间的相互学习、相互借鉴和彼此合作中，按照“网络主权”、“国际合作”、“平衡”、“和平利用”以及“公平发展”的五项原则，积极参与网络空间国际合作，包括参加网络军控和联合行动，参与网络空间国际规则、相关法律（标准）的制订等，为参与网络国际空间行动并有所作为赢得主动。

作者:李馨 单位:广东电网有限责任公司电力科学研究院