随着信息化建设的不断深入,企业宝贵的信息资源与日俱增,企业决策和关键业务受益于信息系统的同时,也更加依赖于网络和数据库中的数据和信息,事实表明,信息是现代企业的生命线。 然而不幸的是,企业的信息安全事件时有发生,如病毒大面积发作、黑客入侵、服务器宕机、数据丢失等,都会给企业造成不可挽回的损失。因此,企业信息的安全防范,迫在眉睫。 当企业投入大量的资金,进行信息安全建设时,能否一定奏效和一劳永逸?信息安全的强度,能否与投入的资金成正比?回答当然是“不一定"。须知,信息安全防范是个系统工程,符合“木桶原则”,具有自身的特殊性。所以,必须针对企业的实际,遵循一定的原则,规划和实施一套完整的信息安全解决方案。 本文以作者完成一个企业信息安全防范和管理平台建设的实际项目为背景,对企业信息安全防范的各个环节,进行了详尽分析和深入研究。对于信息安全技术,如防火墙、入侵检测、网络防毒、数据备份、网管软件、日志审计、企业CA构建和身份认证等重要技术,灵活运用。针对具体的信息环境,统筹进行了信息安全规划,设计了整体解决方案,并真刀真枪地予以实施,取得了较好的实际效果,通过了专家验收,得到企业认可。同时,作者也总结出了一些在企业信息安全建设方面的经验。 作者还设计了一个企业信息安全管理平台(也可称其为“企业信息安全管理系统”或“企业网络安全管理信息库”),并且动手编码、调试和运行,效果良好。该平台将各种网络安全设施和信息安全软件整合在一起,能够快速查询安全信息和操控安全资源。平台基于SQL Server 2000数据库,采用B/S结构,用ASP.NET和C#编程。平台设计具有通用性、适用性特点,动态菜单、定制方便、操控灵活、反应迅速,是企业信息安全管理的必要手段。平台设计理念和设计思想具有一定的创造性,对于其他企业、电子商务和电子政务也有相当的参考价值。 文章认为,信息安全不单纯是一个技术问题,更是一个管理问题;信息安全防范是“道高一尺,魔高一丈”的动态过程,永无止境。