金杰

摘 要：隨著改革開放的不斷深入以及經(jīng)濟的不斷發(fā)展，市場上各類企業(yè)的競爭越來越激烈，同時，近年來，企業(yè)的生產(chǎn)經(jīng)營與計算機網(wǎng)絡的聯(lián)系越來越緊密，企業(yè)的每一項業(yè)務都越來越離不開信息技術的支持。因此，在企業(yè)不斷提升競爭力的同時，越來越多的企業(yè)開始關注企業(yè)信息安全管理的工作，認識到企業(yè)信息安全管理工作的重要性，并采取了一系列的措施維護企業(yè)的信息安全，但是經(jīng)過調(diào)查分析發(fā)現(xiàn)我國企業(yè)在信息安全管理工作上仍然存在較為嚴重的不足。為了更好地幫助我國企業(yè)實現(xiàn)科學的信息安全管理，本文首先分析威脅企業(yè)信息安全的幾點因素，并介紹了企業(yè)信息安全管理中常用的辦法，在此基礎上，對更好地實現(xiàn)企業(yè)信息安全管理提出幾點意見與建議。

關鍵詞：企業(yè)；信息管理；對策

一、引言

企業(yè)要想在市場當中生存并發(fā)展，不僅僅要提升企業(yè)競爭力，還需要時時刻刻關注企業(yè)的信息安全?，F(xiàn)代市場競爭十分激烈，只有做好企業(yè)的信息安全管理，才能避免企業(yè)因為信息管理的疏漏造成相關的損失。

近十年來，企業(yè)的生產(chǎn)經(jīng)營越來越離不開網(wǎng)絡，離不開計算機，企業(yè)的每一項活動都需要計算機與網(wǎng)絡的參與，企業(yè)的管理需要借助相關的計算機軟件，企業(yè)的銷售需要運用到電子商務，企業(yè)的倉儲管理需要數(shù)據(jù)庫系統(tǒng)的支持，在企業(yè)感受到計算機帶來生產(chǎn)經(jīng)營便利的同時，企業(yè)也不得不重視由計算機網(wǎng)絡所帶來的信息安全問題。通過分析我國企業(yè)信息安全管理的相關資料，可以發(fā)現(xiàn)我國企業(yè)在信息安全管理上所做的努力顯然無法與西方企業(yè)相比，我國企業(yè)在信息安全管理這條路上還有很長的路要走。

我國企業(yè)在信息管理上起步較晚，同時受制于觀念，技術，人力等各個方面的因素，我國企業(yè)在信息安全管理上存在十分嚴重的漏洞。不僅如此，企業(yè)信息安全管理受到各方面的威脅，各類病毒層出不窮，釣魚軟件，木馬也防不勝防，我國企業(yè)信息安全管理所面臨的考驗十分嚴峻。企業(yè)的信息安全管理不僅僅是企業(yè)自身的事，企業(yè)是我國經(jīng)濟發(fā)展最重要的角色，倘若我國企業(yè)在信息安全管理上存在漏洞，這也將直接影響我國的經(jīng)濟發(fā)展，這并不是危言聳聽。

因此，加強我國企業(yè)信息安全管理勢在必行，必須采取有效的舉措提升我國企業(yè)信息安全管理水平。開展我國企業(yè)信息安全管理工作不僅僅需要政府的支持，企業(yè)自身也應當充分認識到企業(yè)信息安全管理對于企業(yè)自身的重要性，企業(yè)信息安全管理并不是一件小事，理應得到足夠的重視。下面本文將首先介紹影響我國企業(yè)信息安全管理的幾點因素，結合各種影響我國企業(yè)信息安全的幾點因素展開探討，在此基礎上，分析我國企業(yè)在信息安全管理中常用的手段，并通過借鑒國外優(yōu)秀企業(yè)在信息安全管理的經(jīng)驗，對更好地完善我國企業(yè)信息安全管理提出幾點意見與建議。

二、企業(yè)面臨的信息安全管理風險

1.企業(yè)內(nèi)部管理缺陷

企業(yè)要想提升信息安全管理的水平，其中很重要的一個步驟在于完善企業(yè)的管理制度。企業(yè)的信息安全管理會受到許許多多的因數(shù)影響，但是做好企業(yè)信息安全管理的基礎在于提升企業(yè)的內(nèi)部管理水平。企業(yè)內(nèi)部管理的制度涉及到企業(yè)生產(chǎn)經(jīng)營的方方面面，倘若企業(yè)在內(nèi)部管理制度上存在缺陷，那么做好企業(yè)的信息安全管理也就無從談起了。常見的影響企業(yè)信息安全管理的制度缺陷有以下幾個方面。第一，企業(yè)對于企業(yè)內(nèi)部信息安全管理的工作人員缺乏監(jiān)督。企業(yè)信息安全管理必須建立在企業(yè)信息安全管理工作人員認知履行職責，規(guī)范操作的基礎上，倘若企業(yè)對于信息安全管理的工作人員缺乏監(jiān)督，那么久很難保證企業(yè)整個信息安全管理系統(tǒng)的行之有效。第二，企業(yè)對于企業(yè)內(nèi)部信息安全管理工作人員缺乏培訓，企業(yè)內(nèi)部并沒有指定相關的信息安全管理規(guī)章制度。要想完善企業(yè)的信息安全管理，就必須做到對企業(yè)內(nèi)部信息安全管理的每一個環(huán)節(jié)都一絲不茍，對每一個可能存在信息安全漏洞的地方都要嚴格管理，對每一項信息安全管理的工作步驟都做明確要求。要想確保企業(yè)內(nèi)部信息安全管理系統(tǒng)的平穩(wěn)運行，只有從規(guī)范企業(yè)內(nèi)部信息安全管理的行為規(guī)范上著手。第三，企業(yè)內(nèi)部信息安全管理系統(tǒng)投入不足。這一點在我國大型企業(yè)上并不存在，我國大型企業(yè)擁有足夠的資金，足夠的人力資本，足夠技術投入，相比較于我國中小型企業(yè)，在信息安全管理工作上具有較大的優(yōu)勢。可是，我國大型企業(yè)畢竟是少數(shù)，我國中小企業(yè)的數(shù)量十分巨大，中小企業(yè)并沒有相應的資金，人員，技術投入，中小企業(yè)受制于現(xiàn)實條件，在信息安全管理系統(tǒng)上所做的工作嚴重不足，我國中小企業(yè)在信息安全上所面臨的風險十分巨大。

2.影響企業(yè)信息安全管理的外部因素

影響我國企業(yè)信息安全管理的外部因素有許多。常見的影響我國企業(yè)信息安全管理的外部因素包括病毒，木馬，釣魚網(wǎng)站等等。不論是誰出于怎么樣的目的破壞企業(yè)的信息安全，較為常見的手段也就是通過黑客攻擊企業(yè)的信息安全管理系統(tǒng)。我國企業(yè)在應對黑客的攻擊時往往處于較為被動的局面，一方面，黑客屬于主動攻擊，主動攻擊的前提在于對于企業(yè)的內(nèi)部信息安全管理系統(tǒng)有著較為全面的了解，并且往往已經(jīng)掌握了企業(yè)內(nèi)部信息安全管理系統(tǒng)所存在的安全漏洞，另一方面，我國絕大多數(shù)企業(yè)在信息安全管理系統(tǒng)的投入有限，企業(yè)內(nèi)部信息安全管理的工作人員在技術手段上與黑客比較并沒有優(yōu)勢。即使企業(yè)內(nèi)部信息安全管理的工作人員最終能夠戰(zhàn)勝黑客，但是，由于缺乏完善的信息安全手段，對企業(yè)內(nèi)部重要的信息保護不足，黑客對企業(yè)的信息安全所造成的影響往往也是致命的。反擊黑客的攻擊行為往往具有滯后性，因此，即使戰(zhàn)勝了黑客，但是黑客對企業(yè)信息安全的攻擊行為往往已經(jīng)發(fā)生，企業(yè)必然會因此造成相應的損失，在現(xiàn)代企業(yè)經(jīng)營管理信息化的背景下，這樣的攻擊行為對企業(yè)造成的損失往往是企業(yè)不能夠承擔的，很有可能影響一個企業(yè)最基本的生存。

三、完善企業(yè)信息安全管理的幾點建議

1.建立信息安全密碼

密碼技術近年來在應用中不斷成熟，越來越多企業(yè)開始將密碼技術應用到企業(yè)信息安全管理中去，這是一個十分正確的選擇。企業(yè)內(nèi)部信息具有重要價值，密碼技術是企業(yè)信息安全最為關鍵的一道屏障。密碼的形式十分多樣，企業(yè)應當根據(jù)自身情況正確選擇密碼的形式，密碼技術是一項十分成熟的技術，應當?shù)玫礁嗟年P注，并且將這項技術全面應用到企業(yè)內(nèi)部信息安全管理當中去。企業(yè)內(nèi)部信息得到密碼的保護，能夠在企業(yè)內(nèi)部信息不慎泄露后得到最大化的保護，對于企業(yè)內(nèi)部信息的密碼也應當嚴格保密，做好相關的密碼保護工作。

2.建立安全管理制度

企業(yè)信息安全管理制度的建立需要多方面的配合，同時，企業(yè)信息安全管理制度的建立是一項十分復雜的工作，必須在實踐的過程中不斷完善。建立企業(yè)內(nèi)部信息安全管理制度是為了更加規(guī)范地保證企業(yè)內(nèi)部信息的安全，也對企業(yè)內(nèi)部信息安全管理人員的工作內(nèi)容，工作步驟做了明確規(guī)定，這對于企業(yè)內(nèi)部形成信息安全管理的長效機制具有重要價值。企業(yè)信息安全管理制度應當與企業(yè)的實際生產(chǎn)經(jīng)營情況相結合，在盡可能不影響企業(yè)正常工作的前提下，對企業(yè)的信息安全作出明確規(guī)定。常見的規(guī)定包括定期組織企業(yè)內(nèi)部信息安全管理工作人員進行信息安全的例行檢查；對企業(yè)內(nèi)部信息安全管理人員的工作做到全面監(jiān)督，有效反饋等等。

3.建立數(shù)據(jù)庫的備份與恢復機制

現(xiàn)如今，外界主動攻擊企業(yè)信息安全的事件越來越頻發(fā)，企業(yè)在被外界攻擊信息安全后所造成的損失往往無法挽回，同時這些信息對于企業(yè)具有十分重要的價值，倘若能夠及時恢復相關信息，能夠在很大程度上減小企業(yè)所遭受的損失，因此，建立一套基于數(shù)據(jù)庫信息備份與還原的信息安全管理機制十分重要。企業(yè)內(nèi)部信息系統(tǒng)數(shù)據(jù)庫的備份，可以有效保障企業(yè)信息系統(tǒng)非法入侵后的系統(tǒng)恢復工作。備份是對數(shù)據(jù)庫內(nèi)容保護最為穩(wěn)定和容易的一種方法。當不穩(wěn)定因素發(fā)生的時候，能夠保證企業(yè)網(wǎng)絡信息的正常運行。而恢復的理解，就是在不限定因素發(fā)展之后利用網(wǎng)絡技術的備份功能用來對數(shù)據(jù)庫內(nèi)容進行重新恢復并正常使用的功能。

4.建立網(wǎng)絡安全預警系統(tǒng)

一般這種情況可以分為人為預警和病毒預警兩個方面。 在電腦中的重要位置安裝上網(wǎng)絡入侵監(jiān)測體系，可以便于對電腦的技術和安全性在發(fā)展危害行為或改變。入侵監(jiān)測體系還能通過設立在固定時間對制定要求的位置進行監(jiān)督和控制，判斷哪些系統(tǒng)是具有危害性的，但是防火墻還不能夠準確判斷的系統(tǒng)。主要針對的是從企業(yè)內(nèi)部管理出現(xiàn)漏洞后對自身安全系統(tǒng)的“侵略”行為。而病毒預警系統(tǒng)通常是采用對企業(yè)內(nèi)部網(wǎng)絡的全部數(shù)據(jù)進行監(jiān)督監(jiān)控的行為，確保在一天每個時間段內(nèi)都對數(shù)據(jù)包傳送掃描一旦發(fā)展病毒就要馬上進行危險信息提示，使得相關工作人員可以很快的通過定位查找的方法找到病毒的發(fā)出地。同時，在短時間內(nèi)陸續(xù)產(chǎn)生通過快速掃描出來的網(wǎng)絡日志和調(diào)查報告，為企業(yè)專業(yè)人員查找病毒具體來源提供便利條件。

5.建立信息安全風險評估機制

建立企業(yè)內(nèi)部的信息安全風險評估機制對于完善企業(yè)內(nèi)部信息安全管理工作同樣具有重要意義。定期對企業(yè)內(nèi)部信息安全進行風險評估，能夠幫助企業(yè)更好地做好企業(yè)內(nèi)部信息安全的預防工作，能夠幫助企業(yè)更準備地了解企業(yè)經(jīng)營管理過程中信息安全管理存在疏漏的地方。通過建立企業(yè)內(nèi)部的信息安全風險評估機制，對于幫助企業(yè)從制度與技術兩方面完善企業(yè)內(nèi)部信息安全管理制度具有重要意義。具體而言，建立企業(yè)內(nèi)部信息安全風險評估機制需要做到以下兩個方面的工作。一方面，在企業(yè)各個層次建立一個風險指標系統(tǒng)，設計一個風險計算模型來計算出企業(yè)的基本風險值，通過對企業(yè)各個層次上的風險評估來對企業(yè)整體固定的風險狀況進行反映。另一方面，主要針對業(yè)務操作過程中風險因素的復雜情況，在業(yè)務操作方面也建立一個風險指標系統(tǒng)、同樣用設計的風險計算模型來計算出該企業(yè)的實時風險值，該方面的風險評估測試主要是為了對業(yè)務部門運行過程反映。由于業(yè)務活動操作面臨的風險是動態(tài)的且是復雜的，因此對其進行W金評估的操作頻率要高，只要通過這套風險評估體系的實施，企業(yè)就可以清楚掌握和及時了解企業(yè)自身的整體信息安全風險程度，從而提高企業(yè)的信息安全管理的水平。

參考文獻：

[1]焦洪濤.中小企業(yè)信息安全管理策略研究[D].西安理工大學，2009.

[2]李慧.信息安全管理體系研究[D].西安電子科技大學，2005.

[3]梁軍.湖南電信公司內(nèi)網(wǎng)信息安全體系建設的研究[D].湖南大學，2007.

[4]陳科.信息系統(tǒng)安全風險評估研究[D].華東師范大學，2009.

[5]韓穎.國稅部門信息系統(tǒng)網(wǎng)絡安全分析與策略[D].北京郵電大學，2010.

[6]崔健，李冰.基于企業(yè)社會責任視角的日本企業(yè)信息安全分析[J].現(xiàn)代日本經(jīng)濟，2011.