企业信息化安全管理模式研究

煤炭科学研究总院 张欣欣

1.引言

在当今全球一体化的商业环境中，信息的重要性被企业广泛接受，信息系统在企业和政府组织中得到了真正的广泛的应用。许多企业对其信息系统不断增长的依赖性，加上在信息系统上运作业务的风险、收益和机会，使得信息安全管理成为企业管理越来越关键的一部分。目前，大多数企业都通过安装硬件防火墙、部署入侵检测、安装防病毒软件等工作，针对来自于外部网络的攻击和入侵做到了有效的防御，但是企业内部的安全管理却未引起足够的重视，因此，探索多种途径共同参与的企业信息化安全管理新模式就显得尤为必要。

2.企业信息化安全管理存在的问题

2.1 近年重大企业信息安全事故分析

近年来，国内外企业信息安全事故发生的频率呈现明显上升趋势，2011年4月，索尼公司被黑客入侵，导致用户资料泄露，旗下PlayStation network用户数据泄漏，不久，索尼旗下的世界各地其他网站和服务又频频遭到类似的攻击；2011年12月CSDN网站数据库中600多万用户资料被泄露后，众多大网站接连遭遇数据库暴库，成为中国有史以来的最大数据泄漏事件；2012年2月，巴西银行成为了分布式拒绝服务攻击的目标；6月黑客组织Swagger Security攻击入侵了华纳兄弟和中国电信的网络，并公布了文件和登录证书。一系列的信息安全事故给企业的严重影响了不同类型企业的生产经营活动，在给企业造成巨大的经济和社会效益损失的同时，也给企业的信息化安全管理工作敲响了警钟。

2.2 常见的企业信息安全隐患来源分析

企业信息安全的隐患主要来自三个方面，首先是网络安全隐患，主要体现在网络拓扑不合理、OSI/RM参考模型中各层通信的安全隐患、病毒和黑客攻击、数据的下载和数据存储安全、用户身份认证、防火墙的局限性、软件本身的安全漏洞等方面，因此，网络安全隐患构成对企业安全管理的最大压力。其次是物理安全隐患，主要是指网络设备或工作场所使用不当可能带来的安全隐患，特别严重的是采用无线局域网连接的企业用户。企业的物理安全隐患体现在机房安全隐患、数据存储备份等安全隐患以及网络安全设备由于涉及或是技术发展带来的设备自身的安全隐患，物理安全隐患一般可通过增加投入，加强设备管理来消除和降低；最后是企业安全管理隐患，统计资料显示，企业的安全事故大部分是由于员工的安全意识差、安全习惯不可信、规范引起的。

2.3 企业信息化安全管理存在的问题分析

目前，企业信息化安全管理还存在一些明显的问题，主要表现在以下几个方面：首先，企业信息化安全设备投入不足。很多企业虽认识到信息化对企业经营管理和发展带来的巨大效益，但往往投资不足，仅有的部分投资也主要集中在服务器、存储等硬件设备以及应用软件开发上，对安全设备的投资明显不足；其次，企业信息化安全管理的人才不足，很多企业没有专业的系统安全管理员；第三，企业的信息安全管理体制机制还不健全；第四，企业对信息化系统安全管理的重视程度还有待进一步加强；最后，企业防范安全风险的能力还很弱，简单的系统攻击或是病毒威胁都可能造成严重的信息泄露事件。

3.企业信息化安全管理新模式研究

3.1 基于网络安全策略的信息化安全管理

企业的信息安全策略是保证企业信息化安全基石。信息安全策略体现的是企业信息安全管理的目标和水平。所以，为了保证企业的信息安全策略相关技术手段和管理体系、制度落实，首先管理人员必须对公司的信息安全的重视程度以及投资等问题上取得一致意见。其次，企业需要根据企业的安全目标标志相应的安全保障策略文档，文档的内容包括企业的核心业务系统的安全等级、需要达到的安全防护标准、以及达到预期的安全目标所采取的管理措施、技术措施、硬件设备投资等。安全策略文档的内容要能够真实准确的反映企业信息安全管理实践的实际，安全策略要浅显易懂，能够为员工所接受，在相关奖惩措施上要得到领导层的认可，安全策略的的执行要与企业的整体经营策略匹配。

一般而言，企业信息化的安全策略应该包含以下几个方面的内容：一是安全管理的范围。它应当涉及企业内所有信息资源、信息系统、网络设施、以及所有企业用户；二是企业安全信息的分类管理。企业安全策略应当明确信息的详细权限和开放程度，对特定信息提供特定内容的定义；三是在每种信息分类中安全信息处理的管理目标。四是其它管理要求和补充文档的策略布置；五是企业信息安全技术标准、安全管理流程等用于参考的证明文件。六是对企业范围内行之有效的安全要求和规范的具体规定；七是指明确切、具体的责任；八是违反策略（不合规）时所面临的后果（例如，解聘或合同中止等）。同时，企业信息安全策略的形成过程应在策略文档之外。

3.2 企业的网络信息安全保障模式研究

目前，对企业信息安全威胁最大的除了来自企业内部员工安全意识差造成的意外泄密事件外，最重要的安全威胁来自于网络。网络攻击的形式和内容的多种多样以及目前我国基础网络、重要信息系统和工业控制系统等关键信息基础设施的核心技术和产品长期受制于人，导致，企业的网络信息安全的压力持续攀升。同时，受移动设备、E-mail、移动存储设备等多种网络接入途径和传播方式的影响，企业信息安全技术漏洞和安全隐患的不断增多。因此，多层式信息安全防护体系的建立成为企业网络信息安全管理的必然选择。对层式安全防护体系主要针对用户易受攻击环节、管理环节前瞻性的安全措施。对Web、电子邮件、移动设备和桌面客户端等关键易受攻击环节的安全防护，采用配置终端系统安全、安装企业版防病毒软件、部署一些基本的网络安全设备等方式，做好防护工作将，确保大部分的网络威胁被挡在门外，通过多层式安全防护为企业的信息资源内容安全提供更多保障。针对管理环节，通过企业用户建立管理服务器、客户端、远程用户的安全策略，消除整个网络上的安全隐患。同时，为保证网络信息安全管理的长效性和持续性，所有的安全策略，包括安全保障的硬件设备以及上网行为审计、杀毒软件等软件系统，都必须得到及时更新，否则最好的安全解决方案也不能充分发挥其效用。

3.3 企业信息安全的管理措施研究

再好的设备也比不上完善的管理制度，培养员工良好的信息安全意识才是最重要的。在企业信息安全管理中，人员安全行为和意识的管理始终是整个安全防护体系建设的核心。因此，企业除了购置必要的安全防护硬件和软件设备，建立强大的网络安全架构外，还需要从安全管理制度以及应用水和技术上加强网络安全的管理和防护。首先，需要建立严格的企业安全管理制度。对企业的网络拓扑结构要严格保密，制定上网行为管理制度、企业安全认证制度、机房管理制度、安全管理职责分工等管理规定，同时，针对突发的安全事故制定相应的应急预案和临时的防护、备份、容灾体系，保证安全管理有据可依，有规可查，有章可遵，实现层层落实，动态调整的企业信息安全管理形态；其次，加强企业安全管理人员的技术培训，及时掌握最新安全技术发展趋势，调整适应新的安全管理形式，及时了解网络病毒、密码攻击、分组窃听、IP欺骗、拒绝服务、端口攻击等多样化的攻击手段，以便更好的管理企业的信息安全工作；最后是加强企业员工的安全培训，提升员工的安全意识，引导员工养成良好的信息安全保密习惯，通过个人行为提升企业的整体安全管理水平。

4.结论

企业信息化安全管理的核心工作和措施是提高防御能力，防患于未然。企业只有通过多途径、多层级的安全防御体系建设，才能保证安全等级的提升，御敌于网络之外。通过信息安全技术发展分析不难发自按，未来企业信息安全一定是朝着多层防御体系建设方向发展。同时，我们也需要清楚的认识到，企业信息安全管理处制定安全策略、提升企业的网络安全水平外，人员的管理才是企业信息安全管理核心中的核心，所有的安全管理设备和安全防御技术以及体系结构都仅仅是手段，而企业员工的安全意识和自我安全管理能力才是企业安全管理的重点，只有保证了人员的安全，才能真正实现企业信息化安全。

[1]张建军,孟亚平.信息安全风险评估:探索与实践[M].北京:中国标准出版社,2008.

[2]林东岱,曹天杰.企业信息系统安全威胁与对策[M].北京:电子工业出版社,2004.

[3]戴宗坤,等.信息系统安全[M].北京:电子工业出版社,2002.

[4]郝晓玲,胡克瑾.信息安全评估方法与应用研究[J].情报方法,2012(3).