◎

市場競爭的日益激烈，使得企業(yè)不得不通過信息化建設(shè)帶動企業(yè)的轉(zhuǎn)型升級，利用信息技術(shù)增強企業(yè)自身核心競爭力已成為眾多企業(yè)的共識，企業(yè)的信息化建設(shè)工作空前繁榮。然而，隨之而來的信息安全問題也呼之欲出，信息技術(shù)的快速進步，使以往公認(rèn)的安全狀態(tài)發(fā)生了顯著的變化。企業(yè)面臨著海量增長的數(shù)據(jù)、更多的數(shù)據(jù)侵犯以及各種內(nèi)外部威脅，諸多潛在風(fēng)險對企業(yè)的信息安全構(gòu)成挑戰(zhàn)。信息安全在企業(yè)的信息化建設(shè)過程中成為至關(guān)重要的問題，信息安全也不在局限于簡單的定義，它被越來越多的企業(yè)正式提到工作日程中去。

信息安全愈加受到企業(yè)重視

國際公認(rèn)的ISO/IEC IT安全管理指南(GMITS)對信息給出如下解釋：信息是通過施加于數(shù)據(jù)上的某些約定，當(dāng)前賦予這些數(shù)據(jù)的特定含義。信息可以理解為消息、情報或知識。信息本身是無形的，借助于信息媒體以多種形式存在，有的存儲在計算機里，有的保存在磁帶或光盤里，有的被攝制在膠卷里，有的記憶在人的大腦里，有的通過傳真發(fā)送，有的通過網(wǎng)絡(luò)傳送，有的通過交談方式來表達。

信息作為一種無形資產(chǎn)，是企業(yè)進行商務(wù)運作和管理不可或缺的資源，也是企業(yè)重要的“無形財富”。在信息時代，信息不斷創(chuàng)造財富，并為企業(yè)發(fā)展提供不竭動力，而隨著企業(yè)信息化建設(shè)工作的不斷推進，大多數(shù)企業(yè)的信息化系統(tǒng)進入高速發(fā)展階段，信息化系統(tǒng)推動企業(yè)轉(zhuǎn)型變革，企業(yè)利用信息化系統(tǒng)提高工作效率并創(chuàng)造了全新的工作方式。

眼下，政府部門、金融部門、企事業(yè)單位的多項業(yè)務(wù)運行都要依賴于信息系統(tǒng)，信息系統(tǒng)數(shù)量大幅增加，系統(tǒng)復(fù)雜程度日益提高，特別是企業(yè)的基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)已經(jīng)成為支撐企業(yè)業(yè)務(wù)發(fā)展，提高企業(yè)核心競爭力的重要載體和主要手段。因此，信息系統(tǒng)的安全性變得尤為重要。例如ERP（企業(yè)資源計劃）系統(tǒng)、OA(辦公自動化)系統(tǒng)以及各類管理信息系統(tǒng)，都會涉及到企業(yè)信息的存儲、傳輸與使用等信息處理問題，在這一繁瑣的信息處理過程中，信息安全問題變得至關(guān)重要。

企業(yè)如何保護信息安全和信息系統(tǒng)安全，最大限度的減少或避免因信息泄密、病毒泛濫、網(wǎng)絡(luò)攻擊、惡意插件安裝等信息安全問題所造成的經(jīng)濟損失及對企業(yè)形象的影響，是擺在眾多企業(yè)面前亟需妥善解決的一項具有重大戰(zhàn)略意義的課題。對于企業(yè)存儲在計算機中的重要文件以及保存在數(shù)據(jù)庫中的機密數(shù)據(jù)等信息都存在著安全隱患，一旦丟失、損壞或泄露，使信息不能及時送達，將會給企業(yè)造成巨大損失。如果是商業(yè)機密信息，給企業(yè)造成的損失將更加嚴(yán)重，甚至?xí)绊懙狡髽I(yè)未來的生存和發(fā)展。

業(yè)內(nèi)人士表示：日趨嚴(yán)峻的網(wǎng)絡(luò)環(huán)境直接提升了信息安全在企業(yè)組織架構(gòu)中的地位和重要性。多年來企業(yè)的業(yè)務(wù)和IT負(fù)責(zé)人員對信息安全抱著不同的觀點，但屢屢爆發(fā)的信息安全事件使企業(yè)的信息安全壓力加劇，使管理人員對信息安全的重要性重新審視并漸趨一致。

中國電子信息產(chǎn)業(yè)發(fā)展研究院針對中小企業(yè)對他們的信息安全需求做過調(diào)查，結(jié)果顯示，企業(yè)對于信息安全的認(rèn)知相較于早年前有了明顯提升，有相當(dāng)一部分的企業(yè)正視信息安全問題，并認(rèn)為信息安全將成為企業(yè)未來發(fā)展的決定性因素之一；調(diào)查還顯示五分之一的企業(yè)沒有信息泄密的事件發(fā)生，說明信息安全對大多數(shù)企業(yè)已經(jīng)構(gòu)成威脅。此外，根據(jù)《2012年全球信息安全狀況調(diào)查》的結(jié)果顯示，來自138個國家不同行業(yè)超過9600位高級管理人員都對其企業(yè)信息安全工作的成效很有信心，并將在未來繼續(xù)加大企業(yè)對信息安全方面的投入。

這些數(shù)據(jù)都充分說明信息安全在企業(yè)中的地位正在日益提升。企業(yè)的正常運作離不開信息資源的支持，大到企業(yè)的發(fā)展戰(zhàn)略、經(jīng)營計劃、知識產(chǎn)權(quán)；小到企業(yè)的生產(chǎn)工藝、方案圖紙、客戶資源等各種重要數(shù)據(jù)，都是企業(yè)日常運營中的隱形財富。這些信息是企業(yè)全體員工共同的智慧結(jié)晶，不僅是企業(yè)未來發(fā)展的不竭動力，也是企業(yè)前進的方向。企業(yè)的重要信息一旦外泄將直接導(dǎo)致企業(yè)失去市場競爭優(yōu)勢，甚至?xí)馐軠珥斨疄?zāi)。

企業(yè)信息安全現(xiàn)狀

在沒有使用計算機進行信息資源管理之前，信息通常都是以紙介質(zhì)和某些設(shè)備（如錄音、錄像設(shè)備等）進行保存和傳播，國家以及相關(guān)機構(gòu)對信息的安全管理有著嚴(yán)格法律法規(guī)約束，一旦出現(xiàn)安全問題，可以通過行政、執(zhí)法手段進行追蹤，查出問題的根源，并追究其相應(yīng)的責(zé)任。而現(xiàn)在利用信息技術(shù)管理的信息安全問題相較之前變得更為復(fù)雜，病毒傳播、黑客攻擊等安全問題，大大增加了信息安全的管理難度。信息安全一旦出現(xiàn)紕漏，企業(yè)的相關(guān)信息將面臨丟失乃至落到競爭對手手中，因此，企業(yè)的信息安全問題至關(guān)重要。

要保證企業(yè)信息安全，就必須找出企業(yè)信息安全方面存在的問題，從而才能有針對性地解決問題。目前，很多企業(yè)在信息化建設(shè)過程中，對于信息安全沒有系統(tǒng)的規(guī)劃，缺少完善的制度。很多企業(yè)信息安全管理制度不健全，部分企業(yè)雖然制定信息安全管理制度，但在實踐過程中往往流于形式。同時，多數(shù)企業(yè)的信息化工作仍然停留在構(gòu)建網(wǎng)絡(luò)平臺、購買硬件和軟件等方面，企業(yè)對于信息安全教育培訓(xùn)意識淡薄；企業(yè)相關(guān)管理人員也片面地把信息安全問題理解成一道堅固的、天然的靜態(tài)防線，沒有從更深層次剖析信息安全的深刻意義，高層領(lǐng)導(dǎo)對于信息安全沒有引起足夠的重視，從而埋下了信息安全的隱患。

與此同時，垃圾郵件、網(wǎng)絡(luò)資源濫用、病毒泛濫以及網(wǎng)絡(luò)攻擊、系統(tǒng)非法入侵、數(shù)據(jù)泄密、服務(wù)器癱瘓、漏洞非法利用等問題成為企業(yè)最為頭疼的信息安全問題。由于入侵者或入侵組織對企業(yè)的入侵行為往往混雜于正常的網(wǎng)絡(luò)活動之中，沒有地域和時間的限制，隱蔽性很強，而入侵的手段和工具也越來越趨向復(fù)雜化和多樣化，這給很多企業(yè)的信息安全造成巨大威脅。

不可忽視的是，部分企業(yè)人員流動頻繁，企業(yè)內(nèi)部信息缺乏妥善保存，沒有形成嚴(yán)格的分層權(quán)限管理，很容易引起因員工的流失導(dǎo)致重要信息的泄露。同時，我國大部分企業(yè)缺少對信息安全方面的管理經(jīng)驗，因而在正常的信息化應(yīng)用情況下，往往會忽視對企業(yè)信息資產(chǎn)的保護。

更為重要的是，部分企業(yè)在信息化建設(shè)初期投入較低，技術(shù)力量薄弱。眾所周知，企業(yè)要想全面實施信息化，需要投入大量的人力、物力和財力，同時也要引進專業(yè)的IT人才。然而很多企業(yè)由于自身條件限制、資金短缺等問題，對信息化建設(shè)工作投入不大，信息化建設(shè)工作也不專業(yè)，信息安全更加無從談起。另外，即使對于重視信息化建設(shè)并且實力雄厚的企業(yè)來說，企業(yè)的注意力往往局限于信息化系統(tǒng)的硬件上。數(shù)據(jù)顯示，企業(yè)硬件的投資占到整個信息化投資的80%以上，而配套軟件投入以及專業(yè)人才的培養(yǎng)相對滯后。這些問題都造成了企業(yè)信息安全問題的短板。

據(jù)IDC調(diào)查報告顯示，全球有近80%的企業(yè)存在著信息安全與風(fēng)險問題。在報告所調(diào)查的公司中，進行網(wǎng)絡(luò)常規(guī)安全檢查的公司不到一半，只有30%的公司具有跟蹤用戶訪問的能力，30%的公司使用加密技術(shù)進行數(shù)據(jù)傳輸。信息安全問題大都來自于企業(yè)內(nèi)部，信息泄密很多時候源于信息安全管理不善。

關(guān)于企業(yè)信息安全的思考

我國國家信息安全戰(zhàn)略的總體目標(biāo)是：提高信息化建設(shè)能力，控制和化解信息化進程中出現(xiàn)的問題與風(fēng)險，創(chuàng)建安全健康的網(wǎng)絡(luò)環(huán)境，保障和促進信息化發(fā)展，保護公眾利益、維護國家安全。建立和完善維護國家信息安全的長效機制，掌握國家信息安全的戰(zhàn)略主動權(quán)。

針對我國的實際情況，僅僅依靠企業(yè)自發(fā)地去建設(shè)信息化及其安全意識是不夠的，發(fā)達國家的經(jīng)驗已經(jīng)證明：在企業(yè)信息化建設(shè)過程中，政府的支持、鼓勵與引導(dǎo)至關(guān)重要。政府的作用主要是改進和完善企業(yè)信息化建設(shè)的環(huán)境，包括信息化基礎(chǔ)設(shè)施建設(shè)、配套體系的建立和完善、信息安全相關(guān)法律法規(guī)的制定等，從而為企業(yè)信息化建設(shè)工作及其信息安全管理營造一個良好的環(huán)境，確保企業(yè)核心信息受國家法律保護而不受侵害。

在企業(yè)信息化建設(shè)過程中，要通過對企業(yè)領(lǐng)導(dǎo)與計算機管理骨干技術(shù)人員的培訓(xùn)，加強相關(guān)人員對信息安全的認(rèn)識，提高專業(yè)人員的技術(shù)水平。通過前期對信息安全的整體規(guī)劃，制定企業(yè)信息安全制度，為企業(yè)信息安全管理奠定基礎(chǔ)。在信息安全投入方面要從企業(yè)的實際情況出發(fā)，首先要對企業(yè)的信息安全有一個系統(tǒng)的評估，弄清楚企業(yè)需要對哪些方面進行保護？對哪些方面進行重點保護？企業(yè)的核心信息是什么？搞清楚這些問題后，有針對性的制定信息安全管理辦法，結(jié)合企業(yè)信息安全制度，對企業(yè)的核心信息進行分層級權(quán)限管理，配合企業(yè)信息從輸入、使用、輸出過程的安全管理, 以最小的投入，確保企業(yè)信息安全。

企業(yè)在信息化建設(shè)中的信息安全問題有著廣泛的內(nèi)容，信息安全系統(tǒng)的建設(shè)管理、維護是一項系統(tǒng)工程，涉及多個方面、多個部門。目前，企業(yè)的信息安全問題主要以防范為主，信息安全建設(shè)從管理開始，結(jié)合企業(yè)的實際情況制定系統(tǒng)有效的信息安全制度是企業(yè)的當(dāng)務(wù)之急。

在信息時代,有效的企業(yè)信息安全管理對企業(yè)的良好運作至關(guān)重要,在具體的實施過程中，企業(yè)信息安全工作需要從前期安全策略的具體制定、中期信息安全解決方案的選擇與實施、后續(xù)的信息安全的修復(fù)、跟進等多方面、全方位予以重視，并作周到細(xì)致的考慮。信息安全建設(shè)是伴隨著企業(yè)信息化建設(shè)的一個長期過程。

企業(yè)要保持健康可持續(xù)性發(fā)展，信息安全是基本保證之一。隨著信息環(huán)境的日益惡化以及企業(yè)自身的不斷發(fā)展，越來越多的信息安全事件層出不窮，信息安全問題已經(jīng)被企業(yè)提上議事日程，企業(yè)管理者也逐漸走出以往的誤區(qū)，并加大對信息安全的投入。信息安全管理成了企業(yè)首要任務(wù)之一，越來越多的中小企業(yè)也紛紛加入到這個日益龐大的隊伍中來。在不久的將來，信息安全作為企業(yè)生存和發(fā)展的關(guān)鍵因素，將被更多的企業(yè)所關(guān)注。