浅谈企业信息安全概述及防范(2)

　　用户身份认证和信息系统的访问控制急需加强：企业中的信息系统一般为特定范围的用户使用，信息系统中包含的信息和数据，也只对一定范围的用户开放，没有得到授权的用户不能访问。为此各个信息系统中都设计r用户功能，在系统中建立用户，设置权限，管理和控制用户对信息系统的访问。这些措施在一定能够程度上加强系统的安全性。但在实际应用中仍然存在一些问题。

　　一是部分应用系统的用户权限管理功能过于简单，能灵活实现更细的权限控制。二是各应用系统没有一个统一的用户管理，企业的一个员工要使用到好几个系统时，在每个应用系统中都要建立用户账号，口令和设置权限，用户自己都记不住众多的账号和口令，使用起来非常不方便，更不用说账号的有效管理和安全了。

　　如何为各应用系统提供统一的用户管理和身份认证服务，是我们开发建设应用系统时必须考虑的一个共性的安全问题。

　　2　解决信息安全问题的基本原则

　　企业要建立完整的信息安全防护体系，必须根据企业实际情况，，结合信息系统建设和应用的步伐，统筹规划，分步实施。

　　2．1做好安全风险的评估

　　进行安全系统的建设，首先必须全面进行信息安全风险评估，找出问题，确定需求，制定策略，再来实施，实施完成后还要定期评估和改进。

　　信息安全系统建设着重点在安全和稳定，应尽量采用成熟的技术和产品，不能过分求全求新。

　　培养信息安全专门人才和加强信息安全管理工作必须与信息安全防护系统建设同步进行，才能真正发挥信息安全防护系统和设备的作用。

　　2．2采用信息安全新技术，建立信息安全防护体系

　　企业信息安全面临的问题很多，我们可以根据安全需求的轻重缓急，解决相关安全问题的信息安全技术的成熟度综合考虑，分步实施。技术成熟的，能快速见效的安全系统先实施。

　　2．3根据信息安全策略，出台管理制度，提高安全管理水平

　　信息安全的管理包括了法规的规定，责任的分化，策略的规划，政策的制订，流程的制作，操作的审议等等。虽然信息安全“七分管理，三分技术”的说法不是很精确，但管理的作用可见一斑。

　　3　解决信息安全问题的思路和方法企业的信息安伞管理要从以下几个方面人手，相辅相成、互相配合。

　　3．1从技术手段入手保证网络的安全

　　网络安全指由于网络信息系统基于网络运行和网络问的互联互通造成的线路和连接的安全、网络系统安全、操作系统安全、应用服务安全、人员管理安全几个方面。网络由于其本身开放性所带来的各个方面的安全问题是事实存在的。我们在正视这一事实的基础上，在承认不可能有绝对安全的网络系统的前提下，努力探讨如何加强网络安全防范性能，如何通过安全系列软件、硬件及相关管理手段提高网络信息系统的安全性能，降低安全风险，及时准确地掌握网络信息系统的安全问题及薄弱环节，及早发现安全漏洞、攻击行为井针对性地做出处理。在攻击发生过程中，尽早发现，及时阻断。在攻击发十后，尽快恢复并找出原因。

　　保证网络安全的技术于段包括：过滤、信息分析临控、安全管理、扫描评估、入侵侦测、实时响应、防病毒保护、存取控制等。其措施有：网络互联级防火墙、网络隔离级防火墙、网络安全漏洞扫描评估系统、操作系统安全漏洞扫描评估系统、信息流捕获分析系统、安全实时监控系统、入侵侦洲与实时响应系统、网络病毒防护系统、强力存取控制系统等。信息安全指数据的保密性、完整性、真实性、可用性、不町否认性及可控性等安全，技术手段包括加密、数字签名、身份认证、安全协议(set、ss1)及ca机制等。安全主要指有害信息的对我国的制度及文化传统的威胁，主要表现在舆论宣传方面。主要柯：黄色、反动信息泛滥，敌对的意识形态信息涌入，瓦联网被利用作为串联工具等。其技术手段包括：信息过滤、设置网关、监测、控管等，同时要强有力的管理措施配合，才可取得良好的效果。

　　3．2建立、健全企业息安全管理制度

　　任何一个信息系统的安全，在很大程度上依赖于最初设计时制定的网络信息系统安全策略及相关管理策略。因为所有安全技术和手段，都围绕这一策略来选择和使用，如果在安全管理策略上出了问题，相当于没有安全系统。同时，从大角度来看，网络信息系统安全与严格、完善的管理是密不可分的。在网络信息系统安全领域，技术手段和相关安全工具只是辅助手段，离开完善的管理制度与措施，是没法发挥应有的作用并建设良好的网络信息安全空间的。