一、引言
   
   　 随着当今社会经济的高速发展，信息技术在人类的生产生活所占的比重已达到了前所未有的高度。企业若想获得商业上的成功，信息化也势必成为其必由之路、必备法宝。于是越来越多的企业、机构为了跟上时代前进的步伐，不在激烈的竞争中落马，纷纷加入了信息化的大潮中，争先恐后地与最高端的信息技术产业接轨，希冀着快速实现信息化尽快带给自己胜利的喜悦。
   
    二、企业信息化的隐患
   
    　诚然，信息化为我们的社会带来的好处显而易见，随处可得。信息化管理为企业带来的直接商业利润也可以很直接地反映在效益数字上。但我们必须警惕信息化这柄"双刃剑"，尤其是在企业管理中，信息化还意味着有以下令人堪忧的隐患：
   
   　 1.信息电磁化风险。在网络环境下，企业的各种票证和帐单等以人眼无法直接辨别的电磁信息的形式在网上传递并存储于磁性介质中，在传递及存储过程中均有被攻击者篡改或截获的可能。
   
   　 2.系统及软件风险。指的是由于计算机系统及软件本身的设计漏洞带来的风险。信息技术行业的高速发展也使得软件产品更新换代的速度越来越快。因此，系统及软件设计本身因为开发时间仓促或开发人员经验不足等引起的缺陷，也极有可能为企业带来巨大的损失。
   
   　 3.人员操作风险。由于企业中负责具体业务的人员并不一定熟悉计算机操作，因此在系统使用过程中极有可能出现由于人员操作不当而造成的意外损失。而由于系统管理涉及企业重要机密，操作人员是否会利用职权之便对信息进行破坏或剽窃也是企业管理者应该关注的重要问题。
   
   　 4.缺乏适用的法律法规和准则规范的风险。网络的出现和广泛应用对传统社会产生了强烈的冲击，旧有的法律法规体系已不能完全适应、指导和规范网络安全的实践。网络本身的虚拟性、实时行、广泛性要求更加切实可行，更加完备的标准准则和法律法规的出现。
   
    三、保证信息安全的基础措施
   
    　面对信息化可能给企业管理带来的种种问题，必须采取行之有效的措施加以预防或控制，从而做到保护信息免受多种威胁的攻击，保证业务连续性，将业务损失降至最少，同时最大限度地获得投资回报和利用商用机遇。作为信息安全深入课题的基础，首先要确保的是以下几方面：
   
   　 1.保证物理介质的安全。管理员应保证信息存储的物理介质安全并且存储记录留有备份。
   
   　 2.保证人员的定期培训。对操作人员进行定期培训，保证人员的整体操作水平和业务素质。随着人员安全维护技术能力的提高，安全性也将随之提高。
   　
  　  3.良好的系统及软件支持。一套成熟的系统会帮助管理者更好地进行决策，并防止差错的发生。
   
  　  4.信息安全立法的支持。加快信息安全立法工作的力度和进度，使人们在开展网络审计工作时有章可循、有法可依。
   
  　  5.完备的企业信息管理制度。只有在制度上不断更新、完善，才能确保在出现问题时能及时进行合理的处理，以及解决已经出现的漏洞和问题，从而保证今后类似问题不再重复出现。

四、保证信息安全的技术手段
   
　    计算机网络的迅猛发展，黑客技术水平的日新月异，种种原因都导致了即使企业在基础措施做足的前提下，也有太多的可能性遭遇安全方面的威胁。因此，我们必须运用技术手段来保障企业信息的安全。下面就简单介绍两种方式：
   
    1.信息安全评估
   
    　我们在使用一个系统或安全产品前，首先要明确该产品是否安全，由这些产品构成的网络是否可靠。为此各国政府纷纷颁布相关标准，进行信息技术安全评估。根据《GB／Tl8336．2-2001．信息技术安全技术信息技术安全性评估准则》，信息安全评估是对一个构件、产品、子系统或系统的安全属性进行的技术评价，通过评估判断该构件、产品、子系统或系统是否满足一组特定的要求。
   
    　信息系统的所有者根据组织任务提出安全需求，为了满足这些安全需求，必须制定相关的组织安全策略和评估对象安全策略，这些安全策略同时应能够应对系统所面临的威胁。组织安全策略和评估对象安全策略通过一定的安全措施在系统中得到实现，这些安全措施从防护、检测、响应及恢复(PDRR)四个方面保护所有者的资产。但是安全措施本身可能具有脆弱性，这些脆弱性可能被利用，从而形成安全风险。这些风险最终施加到资产上。
   
    　信息系统安全评估流程包括以下几个环节：安全需求评估、威胁分析、组织安全策略及评估对象安全策略评估、安全措施评估、脆弱性评估、风险评估。
   
   　 评估过程为满足这些要求的产品和系统的安全功能以及相应的保证措施确定一个可信级别。评估结果可以帮助消费者确定信息技术产品和系统对他们的应用是否足够安全、使用中潜在的安全风险是否可以接受。评估可以发现评估对象存在的错误和脆弱性，开发者通过纠正这些错误和脆弱性，可以降低在今后操作中发生安全问题的可能性。另外，面对严格的评估要求开发者在评估对象的设计和开发中将会更加认真。
   
    　由于信息系统本身的复杂性，信息安全评估还有很多需要改进的地方。
   
    2.安全审计
   
    　据统计，一个大型企业每年在网络安全防护方面的花费和开销超过整个信息化建设投资的3O％．而且这个比例还在逐年提高。这意味着我们的政府或企业每投资7O块钱用于建设完善自己的信息系统的同时，就不得不另外拿出近一半投资数额的钱用于防止这些信息系统被破坏，再除掉所有这些系统本身的维护及升级开销。造成这种局面的原因是我们原有的基于互联网的信息化建设和安全防护都过分重视各自的原始需求，在这种情况下，安全审计产品应运而生。
   
  　  凡是对网络信息系统的薄弱环节进行测试、评估和分析，以找到较好途径，在最大限度保障安全的基础上使得业务正常运行的一切行为和手段，都可以叫做安全审计。
   
    　安全审计(SecurityAuditing)技术使用某种或几种安全检测工具(通常称为扫描器Scan-net)，采用预先扫描漏洞的方法，检查系统的安全漏洞，得到系统薄弱环节的检查报告，并根据响应策略采取相应的安全保护和应急措施。
   
   　 传统的安全审计具有"日志记录"的功能，注重事后的审计，强调审计的威慑作用和安全事件的可核查性。随着美国国家信息安全政策的改变，信息保障技术框架(IATF)提出在信息基础设置中进行所谓"深层防御策略(Defens-in-DepthStrastegy)"，这个策略对安全审计系统提出了参与主动保护和主动响应的要求。现代网络安全审计突破了以往"日志记录"等浅层次的安全审计概念，是全方位、分布式、多层次的强审计概念，符合信息保障技术框架提出的保护、检测、反应和恢复(PDRR)动态过程的要求，在提高审计广度和深度的基础上，做到对信息的主动保护和主动响应。
   
    　从审计的对象来划分，安全审计分为：(1)操作系统的审计；(2)应用系统的审计；(3)设备的审计；(4)网络应用的审计。
   
   　 从审计的方式来划分，安全审计分为：(1)分布式审计：将审计信息存放在各服务器和安全保密设备上，用于系统安全保密管理员审查。分布式审计适用于对信息安全保护要求不高的企业信息系统中；(2)集中式审计：将各服务器和安全保密设备中的审计信息收集、整理、分析汇编成审计报表。集中式审计适用于对信息安全保护要求高的企业信息系统中。
   
    　从审计的控制机制来划分，安全审计分为：(1)基于主机的审计。基于主机控制机制可以监控指定的主机系统，其控制力度细；(2)基于网络的审计。基于网络的控制机制可以实时监控内网的安全隐患，实现周密的内网资源保护；(3)基于主机和基于网络相结合的审计。既可监控主机，也可监控网络。
   
  　  对于一个企业用户来说，根据企业需要建立一个完善的安全审计系统来弥补薄弱的漏洞要远比花费大量的人力、物力建立复杂庞大的安全系统实际。
   
    五、结束语
   
   　 信息安全在企业的信息化道路上起到了举足轻重的作用。企业一定要构建良好的信息安全系统，建立健全安全制度，培养安全管理人才，只有信息安全有了保障，企业的发展之路才会一马平川。(E-works)