陳憲海

（國家安全生產(chǎn)監(jiān)督管理總局通信信息中心，北京 100013）

企業(yè)信息安全管理是運用科學(xué)的方法和手段，系統(tǒng)地分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的薄弱點，提出有針對性的抵御威脅的防護(hù)對策和控制措施，這是企業(yè)推進(jìn)信息化進(jìn)程和促進(jìn)生產(chǎn)經(jīng)營管理的重要內(nèi)容，是保障企業(yè)信息系統(tǒng)正常運行、高效應(yīng)用和健康發(fā)展的前提條件。

1 我國企業(yè)信息安全管理存在的問題

1.1 缺少企業(yè)信息安全的法規(guī)和規(guī)范

企業(yè)信息安全是一個比較新的領(lǐng)域，目前還缺少比較完善的法規(guī)，即便現(xiàn)有的法規(guī)，由于相關(guān)安全技術(shù)和手段還沒有成熟和標(biāo)準(zhǔn)化，法規(guī)也不能很好地被執(zhí)行，安全標(biāo)準(zhǔn)和規(guī)范的缺少，導(dǎo)致無從制定合理的安全策略并確保此策略能被有效執(zhí)行。

1.2 存在物理安全風(fēng)險

物理安全是指各種服務(wù)器、路由器、交換機(jī)、工作站等硬件設(shè)備和通信鏈路的安全。風(fēng)險的來源有：水災(zāi)、火災(zāi)、雷擊等自然災(zāi)害，人為的破壞或誤操作外界的電磁干擾，設(shè)備固有的弱點或缺陷等。物理安全的威脅可以直接造成設(shè)備的損壞、系統(tǒng)和網(wǎng)絡(luò)的不可用、數(shù)據(jù)的直接損壞或丟失等。

1.3 信息外泄現(xiàn)象時有發(fā)生

進(jìn)入信息化時代后，企業(yè)的諸多資料都由原先的紙介質(zhì)變成了電子文檔。電子文檔的特點就是復(fù)制十分容易，許多跳槽的員工和競爭對手都會將這些資料通過各種手段帶離企業(yè)。而且，在企業(yè)信息管理系統(tǒng)中，大量購、銷、存等業(yè)務(wù)、財務(wù)數(shù)據(jù)、文檔及客戶資料，以存儲介質(zhì)形式存在于計算機(jī)中，由于電磁輻射或數(shù)據(jù)可訪問性等弱點，受到人為和非人為因素的破壞。數(shù)據(jù)一旦遭到破壞，將會嚴(yán)重影響企業(yè)日常業(yè)務(wù)的正常運作。因此，保證數(shù)據(jù)的安全，就是保證企業(yè)的安全。

1.4 缺少安全管理制度和責(zé)任性

目前企業(yè)的安全解決方案，基本上只是一個安全產(chǎn)品方案，這使人們誤以為企業(yè)的信息安全只是信息技術(shù)部門的工作和責(zé)任，與其他人員不直接相關(guān)．但是一個企業(yè)的信息系統(tǒng)是企業(yè)全體人員參與的，因為他們才是企業(yè)信息系統(tǒng)的提供者和使用者，他們是影響信息安全系統(tǒng)能否達(dá)到預(yù)期要求的決定因素。

2 加強(qiáng)我國企業(yè)信息安全管理的幾點建議

2.1 全面提高職工的信息安全知識素質(zhì)，加強(qiáng)安全文化建設(shè)，提升防患水平，防微杜漸

對于信息安全工作的開展，不是系統(tǒng)管理部門的事，也不是系統(tǒng)使用部門的事，而是全體員工的事，必須要提高全體員工的信息安全意識。通過培訓(xùn)和考核等措施，提高員工對公司信息安全的認(rèn)識，讓信息安全成為業(yè)務(wù)開展的一部分，才能有效提高公司整體信息安全水平，也是信息安全工作得到有效的支持和推進(jìn)。在此基礎(chǔ)上，要建立適應(yīng)21世紀(jì)知識經(jīng)濟(jì)時代的企業(yè)信息安全文化，只有加強(qiáng)安全文化建設(shè)，才能適應(yīng)知識經(jīng)濟(jì)時代的發(fā)展。

2.2 完善企業(yè)信息安全管理制度

首先，數(shù)據(jù)安全管理制度，即確保數(shù)據(jù)存儲介質(zhì)（設(shè)備）的安全；定時進(jìn)行數(shù)據(jù)備份，備份數(shù)據(jù)必須異地存放；對數(shù)據(jù)的操作需經(jīng)主管部門的審批、同意方可進(jìn)行；數(shù)據(jù)的清除、整理工作需兩人或兩人以上在場，并由相關(guān)部門進(jìn)行監(jiān)督、記錄。第二，準(zhǔn)入管理制度。準(zhǔn)入管理又稱密碼、權(quán)限管理，通過準(zhǔn)入系統(tǒng)可以判斷請求登錄的用戶是否是合法的、值得信任的。一個安全的準(zhǔn)入系統(tǒng)則需要收集請求登錄者的以下信息：一是請求方式。當(dāng)同一網(wǎng)段在單位時間內(nèi)多次請求登錄或多次登錄用戶、密碼錯誤者，就應(yīng)在一定時間內(nèi)封閉其所在網(wǎng)段的請求，并發(fā)出報警信號。二是系統(tǒng)安全驗證，即對登錄用戶的操作系統(tǒng)進(jìn)行安全證，并提示登錄用戶進(jìn)行一系列的修復(fù)操作。三是檢測設(shè)備自身數(shù)據(jù)是否被修改或篡改，并對登錄戶相應(yīng)的操作進(jìn)行記錄備案。

2.3 采取傳統(tǒng)的信息安全防范策略

物理安全策略：包括環(huán)境安全、設(shè)備安全、媒體安全、信息資產(chǎn)的物理分布、人員的訪問控制、審計記錄、異常情況的追查等；網(wǎng)絡(luò)安全策略：包括網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)設(shè)備的管理、網(wǎng)絡(luò)安全訪問措施、安全掃描、遠(yuǎn)程訪問、不同級別網(wǎng)絡(luò)的訪問控制方式、識別認(rèn)證機(jī)制等；數(shù)據(jù)加密策略：包括加密算法、適用范圍、密鑰交換和管理等；數(shù)據(jù)備份策略：包括適用范圍、備份方式、備份數(shù)據(jù)的安全存儲、備份周期、負(fù)責(zé)人等；身份認(rèn)證及授權(quán)策略：包括認(rèn)證及授權(quán)機(jī)制、方式、審計記錄等；災(zāi)難恢復(fù)策略：包括負(fù)責(zé)人員、恢復(fù)機(jī)制、方式、歸檔管理、硬件、軟件等；事故處理、緊急響應(yīng)策略：包括響應(yīng)小組、聯(lián)系方式、事故處理計劃、控制過程等。

2.4 實施、檢查和改進(jìn)信息安全管理體制

企業(yè)應(yīng)按照規(guī)劃階段編制安全管理體系文件的控制要求來實施活動，主要實施和運行ISMS方針、控制措施、過程和程序，包括安全策略、所選擇的安全措施或控制、安全意識和培訓(xùn)程序等。在實施期間，企業(yè)應(yīng)及時檢查發(fā)現(xiàn)規(guī)劃中存在的問題，找出問題根源，采取糾正措施，并按照更改控制程序要求對體系予以更改，以達(dá)到進(jìn)一步完善信息安全管理體系的目的。信息安全實施過程的效果如何，需要通過監(jiān)視、審計、復(fù)查、評估等手段來進(jìn)行檢查，檢查的依據(jù)就是計劃階段建立的安全策略、目標(biāo)、程序，以及標(biāo)準(zhǔn)、法律法規(guī)和實踐經(jīng)驗，檢查的結(jié)果是進(jìn)一步采取措施的依據(jù)。

2.5 加強(qiáng)信息安全監(jiān)控，保障信息系統(tǒng)安全運行

在信息安全監(jiān)控、信息安全配置和系統(tǒng)訪問控制方面，信息管理部門借助先進(jìn)成熟的信息技術(shù)，充分挖掘和利用現(xiàn)有資源功能潛力，進(jìn)一步提升企業(yè)信息系統(tǒng)的安全防范能力。例如，加強(qiáng)信息系統(tǒng)監(jiān)控管理和風(fēng)險評估，優(yōu)化信息系統(tǒng)安全架構(gòu)，開展入侵檢測分析防范、核心網(wǎng)絡(luò)冗余和服務(wù)器架構(gòu)調(diào)整等工作，確保公司信息系統(tǒng)安全穩(wěn)定運行。統(tǒng)一企業(yè)桌面安全管理體系，建立網(wǎng)絡(luò)運維管理系統(tǒng)，加強(qiáng)接入層管理、桌面安全管理和安全監(jiān)控管理，有效保障聯(lián)網(wǎng)計算機(jī)的安全運行。優(yōu)化企業(yè)內(nèi)外網(wǎng)連接架構(gòu)和訪問控制策略，增加網(wǎng)絡(luò)出口流量監(jiān)控環(huán)節(jié)，使有限的網(wǎng)絡(luò)帶寬資源得到合理分配和充分利用。針對因特網(wǎng)瀏覽用戶違規(guī)現(xiàn)象較多，造成非授權(quán)用戶占用大量網(wǎng)絡(luò)資源的問題，加強(qiáng)用戶訪問監(jiān)控，嚴(yán)肅處理違規(guī)用戶，加強(qiáng)保密教育，促進(jìn)用戶規(guī)范使用信息系統(tǒng)。

2.6 構(gòu)建信息安全管理團(tuán)隊

信息安全管理團(tuán)隊是由決策者、管理者以及計算機(jī)、信息、通訊、安全和網(wǎng)絡(luò)技術(shù)等方面的專家為提升企業(yè)信息安全管理水平而組建的團(tuán)隊。信息安全管理團(tuán)隊是企業(yè)信息安全管理的直接管理者，其管理能力、技術(shù)能力的高低會直接影響到企業(yè)信息安全管理的效率。因此必須增加對企業(yè)內(nèi)部信息安全管理人員、技術(shù)人員的定期培訓(xùn)，同時與外部專業(yè)技術(shù)企業(yè)建立長期有效的外部技術(shù)支持網(wǎng)絡(luò)，才能對企業(yè)信息安全事件做出及時、快速、準(zhǔn)確的響應(yīng)，確定并及時排除突發(fā)事件，使企業(yè)的風(fēng)險和損失最小化，最終形成一套有效的一體化管理體系，給企業(yè)帶來更大的管理效益與管理效率的提升。

綜上所述，隨著網(wǎng)絡(luò)普及和企業(yè)信息化業(yè)務(wù)的不斷拓展，信息成為一種重要的戰(zhàn)略資源，信息安全保障能力成為一個企業(yè)綜合能力的重要組成部分。因此，要提高企業(yè)信息安全管理的效率，為企業(yè)決策提供信息支持，確保企業(yè)信息數(shù)據(jù)安全、可靠、真實，為企業(yè)發(fā)展和經(jīng)營管理提供有力保障。

[1]胡泉軍，王以群，張延芝.企業(yè)信息安全管理中組織管理失誤因素分析 [J].工業(yè)工程.2009(2).

[2]尹鴻波.網(wǎng)絡(luò)環(huán)境下企業(yè)信息安全管理對策研究[J].電腦與信息技術(shù).2011(4).