【摘要】加強(qiáng)信息安全管理是企業(yè)實(shí)現(xiàn)可持續(xù)發(fā)展的需要、是實(shí)現(xiàn)企業(yè)平穩(wěn)與健康發(fā)展的前提、同樣也是知識(shí)經(jīng)濟(jì)時(shí)代發(fā)展的需要。企業(yè)的建設(shè)與發(fā)展迫切要求企業(yè)拿起信息安全管理這一有力武器保障企業(yè)信息系統(tǒng)安全。本文基于企業(yè)在信息安全管理中存在的問(wèn)題就如何加強(qiáng)企業(yè)信息安全管理展開探索。

【關(guān)鍵詞】企業(yè) 信息安全管理 對(duì)策

信息安全管理是指通過(guò)保證信息資產(chǎn)的機(jī)密性、完整性和可用性來(lái)保護(hù)和維護(hù)企業(yè)所有信息資產(chǎn)的一系列管理活動(dòng)，是完整的企業(yè)組織管理體系的重要組成部分。其主要包括制定信息安全政策、風(fēng)險(xiǎn)評(píng)估、控制目標(biāo)與方式選擇、制定規(guī)范的操作流程、對(duì)人員進(jìn)行安全意識(shí)培訓(xùn)等一系列工作。

知識(shí)經(jīng)濟(jì)時(shí)代，企業(yè)內(nèi)部各部門之間以及企業(yè)與外部之間的交流與合作日益頻繁，且對(duì)計(jì)算機(jī)信息技術(shù)的依賴也日益明顯，使得信息安全問(wèn)題成為眾多企業(yè)的關(guān)注焦點(diǎn)。

企業(yè)的許多信息，包括一些戰(zhàn)略規(guī)劃的重要信息，均以電子文件形式存儲(chǔ)，而這些信息在存儲(chǔ)、處理以及傳輸過(guò)程中都有可能被非法截取、惡意破壞以及篡改，損失難以想象。保障信息系統(tǒng)的安全在企業(yè)的建設(shè)和發(fā)展當(dāng)中具有重要的作用。信息安全管理是確保信息系統(tǒng)順利運(yùn)行的有力武器。通過(guò)建立信息安全體系及相應(yīng)的規(guī)范機(jī)制，如加強(qiáng)對(duì)人員的管理、提升人員安全意識(shí)、促進(jìn)軟件和操作系統(tǒng)的操作及建設(shè)相關(guān)網(wǎng)絡(luò)等，就可以建立起完善的信息安全系統(tǒng)，促進(jìn)企業(yè)在知識(shí)經(jīng)濟(jì)時(shí)代平穩(wěn)、快速和健康的發(fā)展。

一　目前信息安全管理中存在的隱患

1．信息管理的安全意識(shí)方面

在傳統(tǒng)的企業(yè)生產(chǎn)中，企業(yè)所應(yīng)具有的基本生產(chǎn)要素主要有設(shè)備、原材料、人員和制度幾個(gè)方面。但隨著信息技術(shù)的發(fā)展，信息的重要性也日益突顯，從而也成為企業(yè)發(fā)展的基本要素之一。根據(jù)以往經(jīng)驗(yàn)來(lái)看，企業(yè)對(duì)信息安全的重視程度還遠(yuǎn)遠(yuǎn)不夠，表現(xiàn)在對(duì)企業(yè)信息的安全保護(hù)很不到位，這無(wú)疑給企業(yè)帶來(lái)了很大的損失。所以，企業(yè)必須要加強(qiáng)對(duì)信息安全的保護(hù)，建立起一套完善的信息安全體系來(lái)保證企業(yè)的信息安全。

2．缺乏統(tǒng)一的安全體系規(guī)劃和安全防范機(jī)制

目前，“頭痛醫(yī)頭、腳痛醫(yī)腳”的現(xiàn)象十分普遍，原因在于眼于局部而忽視整體。企業(yè)只是在網(wǎng)絡(luò)中安裝了一些安全設(shè)備，卻未形成統(tǒng)一的安全策略及相關(guān)規(guī)劃方案。企業(yè)在建設(shè)信息化的過(guò)程中通常采取先開展業(yè)務(wù)，后關(guān)注安全的策略，使得安全的管理遠(yuǎn)遠(yuǎn)落后于開展業(yè)務(wù)發(fā)展。而由于缺少整體性的規(guī)劃，使得企業(yè)在問(wèn)題已經(jīng)出現(xiàn)時(shí)才去彌補(bǔ)，對(duì)于安全建設(shè)只能用“亡羊補(bǔ)牢”來(lái)形容。

3．信息安全產(chǎn)品本身存在的問(wèn)題

大多數(shù)企業(yè)通常在建設(shè)信息安全系統(tǒng)的過(guò)程中就采用了一些保證信息安全的產(chǎn)品。但并不是說(shuō)使用了相關(guān)安全產(chǎn)品信息系統(tǒng)就安全了，因?yàn)橛?jì)算機(jī)系統(tǒng)所存在的一些安全隱患除了是由信息安全產(chǎn)品本身所具有的漏洞引起的之外，人員在使用信息安全產(chǎn)品的過(guò)程中所造成的操作失誤及用戶配置的錯(cuò)誤也會(huì)對(duì)其產(chǎn)生影響。所以企業(yè)不僅要重視安全產(chǎn)品自身的問(wèn)題，也要重視系統(tǒng)的操作與應(yīng)用過(guò)程。

4．資金投入不夠，缺乏安全技術(shù)人才

要想建構(gòu)起完善的信息安全體系，企業(yè)不僅要投入大量的資金，而且同時(shí)要引進(jìn)一批高端的IT人才，組建一支專業(yè)建設(shè)信息安全的團(tuán)隊(duì)。但遺憾的是，很多企業(yè)并未意識(shí)到信息安全的重要性，所以在資金投入方面很是不足，比如說(shuō)，使用的電子郵箱和殺毒軟件等往往都是免費(fèi)的，也沒(méi)有構(gòu)建防火墻，這使得企業(yè)的信息安全得不到充分地保障。此外，雖然一些企業(yè)投資引進(jìn)了一些硬件設(shè)施，但對(duì)軟件的重視不足，表現(xiàn)為投入的滯后性，從而阻礙了硬件設(shè)施發(fā)揮應(yīng)有的功能。

還有一個(gè)問(wèn)題，大部分企業(yè)在加強(qiáng)信息安全建設(shè)的過(guò)程中，通常都把注意力集中在搭建網(wǎng)絡(luò)平臺(tái)及硬件的選擇上了，卻忽視了對(duì)人才的引入和培養(yǎng)。具體表現(xiàn)在許多企業(yè)缺乏信息技術(shù)人才，而相關(guān)專業(yè)人才更是不足。按照要求，一個(gè)信息系統(tǒng)的運(yùn)作應(yīng)該由幾個(gè)技術(shù)人才相互配合、共同操作，但實(shí)際上卻恰恰相反，企業(yè)中的一個(gè)信息管理人員往往負(fù)責(zé)大量的操作，不僅要負(fù)責(zé)配置系統(tǒng)，還要負(fù)責(zé)管理系統(tǒng)的安全，導(dǎo)致對(duì)安全的設(shè)置和監(jiān)督由一個(gè)人負(fù)責(zé)，任務(wù)繁重。

二　加強(qiáng)企業(yè)信息安全管理的途徑

1．注重人員安全管理，提升信息安全意識(shí)

具體的操作人員在信息系統(tǒng)的建設(shè)和運(yùn)行過(guò)程中必不可少，人既是管理者又是被管理者，因?yàn)樗麄儾粌H要建設(shè)和應(yīng)用計(jì)算機(jī)系統(tǒng)，而且也信息管理的對(duì)象。所以在信息安全系統(tǒng)的管理中，最重要的就是對(duì)人員的安全管理，做到這一點(diǎn)要從以下幾個(gè)方面來(lái)進(jìn)行：要建立一個(gè)安全的組織結(jié)構(gòu)，對(duì)安全職能加以確認(rèn)，審查人員的安全狀況，和安全人員簽訂相關(guān)的保密合同，加強(qiáng)離職人員的安全管理等。

企業(yè)要對(duì)員工加強(qiáng)有關(guān)信息安全的教育，增強(qiáng)他們的安全意識(shí)。保障企業(yè)的信息安全是每個(gè)職工應(yīng)盡的義務(wù)。信息安全不是一種技術(shù)而是一種意識(shí)，所以僅從技術(shù)層面是無(wú)法保證企業(yè)的信息安全的。加強(qiáng)安全教育要企業(yè)要做到以下幾個(gè)方面，首先，加強(qiáng)員工的教育培訓(xùn)、普及互聯(lián)網(wǎng)和信息安全的相關(guān)知識(shí)、提升員工的安全意識(shí)并增強(qiáng)其防范能力，使整體員工都有一種為企業(yè)信息安全負(fù)責(zé)的意識(shí)。其次通過(guò)定期舉行有關(guān)信息安全的報(bào)告和講座等，使企業(yè)自上而下都形成安全意識(shí)并銘記于心。通過(guò)上述兩種途徑可以使企業(yè)的信息安全工作順利的開展。

2．建立、健全信息安全防范體系

對(duì)于企業(yè)中信息安全的管理機(jī)制及防護(hù)規(guī)范的發(fā)展和完善，可以使企業(yè)中的那些至關(guān)重要的信息得到很好的保護(hù)。即使信息系統(tǒng)遭到入侵也能夠保證企業(yè)業(yè)務(wù)的順利進(jìn)行，可以極大地降低企業(yè)的損失。

第一，提高安全系統(tǒng)的應(yīng)急能力，這就要求建立和完善相應(yīng)的應(yīng)急管理機(jī)制，并制定應(yīng)急預(yù)案。

第二，企業(yè)要建立起一個(gè)網(wǎng)絡(luò)和信息安全管理的平臺(tái)，在網(wǎng)絡(luò)內(nèi)外部署相關(guān)的信息安全設(shè)施，比如要加強(qiáng)網(wǎng)絡(luò)的安全性管理，在網(wǎng)絡(luò)中設(shè)置一些控制訪問(wèn)的策略，并對(duì)網(wǎng)絡(luò)的安全使用加以規(guī)范，具體來(lái)說(shuō)就是要安裝避免病毒入侵的軟件，對(duì)網(wǎng)絡(luò)經(jīng)常進(jìn)行檢測(cè)，提高防火墻的性能等。

第三，建立機(jī)制對(duì)信息安全進(jìn)行集中化管理。如數(shù)據(jù)安全控制和加密密鑰的集中化管理，前者可以做到自上而下的全面執(zhí)行企業(yè)的安全防范策略，后者可以降低人為原因?qū)е碌臄?shù)據(jù)安全的風(fēng)險(xiǎn)，并可以保證不與其他的加密策略發(fā)生沖突，實(shí)現(xiàn)兼容。

第四，企業(yè)還要重視對(duì)于異地?cái)?shù)據(jù)的備份工作及當(dāng)遇到意外情況時(shí)可以實(shí)現(xiàn)信息恢復(fù)的機(jī)制設(shè)計(jì)，因?yàn)檫@可以保障信息系統(tǒng)的安全運(yùn)行。

第五，重視風(fēng)險(xiǎn)評(píng)估工作。這要求企業(yè)在平時(shí)要對(duì)信息系統(tǒng)的安全性進(jìn)行定期的評(píng)估，以提高企業(yè)抵御風(fēng)險(xiǎn)的能力。

3．健全用戶權(quán)限和上網(wǎng)管理制度

企業(yè)信息安全管理工作的一個(gè)重點(diǎn)就是要建立并完善用戶瀏覽的權(quán)限及網(wǎng)上管理的制度設(shè)計(jì)，并使之得到嚴(yán)格地執(zhí)行。同時(shí)隨著企業(yè)的發(fā)展和業(yè)務(wù)系統(tǒng)的完善要不斷對(duì)其補(bǔ)充和修正。

首先，對(duì)用戶權(quán)限的管理加以完善。這就要求企業(yè)改變以往把每個(gè)員工都當(dāng)成管理員可以隨意瀏覽信息的狀況，要將每個(gè)員工的權(quán)限加以明確并保證最小，減少他們對(duì)信息系統(tǒng)的操作從而在最大程度上保證系統(tǒng)的安全。

其次，要限制員工的上網(wǎng)行為。在信息化時(shí)代，要想控制眾多員工上網(wǎng)的行為，就必須要從管理和技術(shù)兩個(gè)方面來(lái)實(shí)現(xiàn)。此外，要嚴(yán)格檢測(cè)和控制那些從外部傳來(lái)的文件，防止它們給企業(yè)內(nèi)部的網(wǎng)絡(luò)帶來(lái)病毒。

4．進(jìn)一步健全、監(jiān)管第三方服務(wù)體系

由于對(duì)信息安全的擔(dān)憂和對(duì)服務(wù)質(zhì)量的懷疑，大部分企業(yè)都不愿意采取第三方提供的服務(wù)體系。在企業(yè)中，信息安全工作至關(guān)重要，如果不小心泄露了企業(yè)的重要資料，就會(huì)給企業(yè)帶來(lái)致命的打擊。

政府應(yīng)發(fā)揮作用加強(qiáng)有關(guān)第三方的法律法規(guī)建設(shè)并制定行業(yè)標(biāo)準(zhǔn)，排除企業(yè)對(duì)第三方的疑慮。企業(yè)應(yīng)加強(qiáng)與第三方的合作，雙方共同努力建設(shè)起符合企業(yè)特點(diǎn)的信息安全體系，使得企業(yè)的信息安全能夠獲得最有力的保證。企業(yè)應(yīng)設(shè)立專門的監(jiān)察職位，主要負(fù)責(zé)監(jiān)督、檢查企業(yè)管理信息系統(tǒng)的運(yùn)行情況并直接向企業(yè)總經(jīng)理負(fù)責(zé)。因其“第三者”的角色，可更加客觀、公正對(duì)企業(yè)信息安全以及業(yè)務(wù)流程進(jìn)行監(jiān)察，及時(shí)發(fā)現(xiàn)信息安全隱患。

5．加大建設(shè)資金投入，完善軟件硬件建設(shè)

要想順利建成企業(yè)的信息安全體系，大量的資金投入是必不可少的。企業(yè)應(yīng)投入足夠的資金來(lái)購(gòu)買相應(yīng)的設(shè)備，如相關(guān)軟件和服務(wù)器等，同時(shí)企業(yè)也可以采取外包的形式。

首先，在加強(qiáng)硬件設(shè)施方面，企業(yè)可以應(yīng)用加密系統(tǒng)來(lái)保護(hù)有關(guān)的口令、文檔及網(wǎng)內(nèi)的重要數(shù)據(jù)。這樣我們就可以更有針對(duì)性的在網(wǎng)上傳輸數(shù)據(jù)。加密管理有三種類型，即端點(diǎn)、節(jié)點(diǎn)和鏈路加密，企業(yè)可以根據(jù)自己的實(shí)際情況從其中進(jìn)行選擇。特別是在控制信息系統(tǒng)開發(fā)的過(guò)程中就應(yīng)滲透信息安全保護(hù)機(jī)制，從根本上預(yù)防信息安全隱患。

其次，加強(qiáng)軟件建設(shè)，最主要的就是采取積極有效的措施使操作系統(tǒng)的安全性得到最大程度的保護(hù)。具體來(lái)說(shuō)就是要對(duì)有關(guān)信息管理的各種軟件定期加以更新，保證數(shù)據(jù)庫(kù)和終端的操作系統(tǒng)的版本保持一致，這不僅有利于加強(qiáng)管理，而且可以提高系統(tǒng)的防御功能

此外，要做到經(jīng)常性的數(shù)據(jù)備份，選用高強(qiáng)度口令保護(hù)賬號(hào)安全，針對(duì)不同賬號(hào)設(shè)定不同密令，經(jīng)常更新殺毒軟件及補(bǔ)丁以及在局域網(wǎng)與互聯(lián)網(wǎng)之間安裝防火墻，并周期性的對(duì)文件進(jìn)行排查，及時(shí)發(fā)現(xiàn)已感染病毒的文件以及信息丟失的現(xiàn)象。

企業(yè)的信息安全管理是一個(gè)動(dòng)態(tài)的過(guò)程，要隨時(shí)代的發(fā)展而不斷加以創(chuàng)新。因此，我們必須不斷探索加強(qiáng)信息安全管理的思路和方法，并對(duì)逐步構(gòu)建起相對(duì)完善、高效、可靠的信息安全管理體系，定期對(duì)企業(yè)的信息安全風(fēng)險(xiǎn)和信息安全管理水平進(jìn)行評(píng)估。

參考文獻(xiàn)

［1］陳憲海.企業(yè)信息安全管理探討［J］.中國(guó)新技術(shù)新產(chǎn)品，2012（4）

［2］朱宇華.企業(yè)信息安全管理的現(xiàn)狀及策略研究［J］.信息與電腦（理論版），2012（1）