企業信息化安全管理模式研究

煤炭科學研究總院 張欣欣

1.引言

在當今全球一體化的商業環境中，信息的重要性被企業廣泛接受，信息系統在企業和政府組織中得到了真正的廣泛的應用。許多企業對其信息系統不斷增長的依賴性，加上在信息系統上運作業務的風險、收益和機會，使得信息安全管理成為企業管理越來越關鍵的一部分。目前，大多數企業都通過安裝硬件防火墻、部署入侵檢測、安裝防病毒軟件等工作，針對來自于外部網絡的攻擊和入侵做到了有效的防御，但是企業內部的安全管理卻未引起足夠的重視，因此，探索多種途徑共同參與的企業信息化安全管理新模式就顯得尤為必要。

2.企業信息化安全管理存在的問題

2.1 近年重大企業信息安全事故分析

近年來，國內外企業信息安全事故發生的頻率呈現明顯上升趨勢，2011年4月，索尼公司被黑客入侵，導致用戶資料泄露，旗下PlayStation network用戶數據泄漏，不久，索尼旗下的世界各地其他網站和服務又頻頻遭到類似的攻擊；2011年12月CSDN網站數據庫中600多萬用戶資料被泄露后，眾多大網站接連遭遇數據庫暴庫，成為中國有史以來的最大數據泄漏事件；2012年2月，巴西銀行成為了分布式拒絕服務攻擊的目標；6月黑客組織Swagger Security攻擊入侵了華納兄弟和中國電信的網絡，并公布了文件和登錄證書。一系列的信息安全事故給企業的嚴重影響了不同類型企業的生產經營活動，在給企業造成巨大的經濟和社會效益損失的同時，也給企業的信息化安全管理工作敲響了警鐘。

2.2 常見的企業信息安全隱患來源分析

企業信息安全的隱患主要來自三個方面，首先是網絡安全隱患，主要體現在網絡拓撲不合理、OSI/RM參考模型中各層通信的安全隱患、病毒和黑客攻擊、數據的下載和數據存儲安全、用戶身份認證、防火墻的局限性、軟件本身的安全漏洞等方面，因此，網絡安全隱患構成對企業安全管理的最大壓力。其次是物理安全隱患，主要是指網絡設備或工作場所使用不當可能帶來的安全隱患，特別嚴重的是采用無線局域網連接的企業用戶。企業的物理安全隱患體現在機房安全隱患、數據存儲備份等安全隱患以及網絡安全設備由于涉及或是技術發展帶來的設備自身的安全隱患，物理安全隱患一般可通過增加投入，加強設備管理來消除和降低；最后是企業安全管理隱患，統計資料顯示，企業的安全事故大部分是由于員工的安全意識差、安全習慣不可信、規范引起的。

2.3 企業信息化安全管理存在的問題分析

目前，企業信息化安全管理還存在一些明顯的問題，主要表現在以下幾個方面：首先，企業信息化安全設備投入不足。很多企業雖認識到信息化對企業經營管理和發展帶來的巨大效益，但往往投資不足，僅有的部分投資也主要集中在服務器、存儲等硬件設備以及應用軟件開發上，對安全設備的投資明顯不足；其次，企業信息化安全管理的人才不足，很多企業沒有專業的系統安全管理員；第三，企業的信息安全管理體制機制還不健全；第四，企業對信息化系統安全管理的重視程度還有待進一步加強；最后，企業防范安全風險的能力還很弱，簡單的系統攻擊或是病毒威脅都可能造成嚴重的信息泄露事件。

3.企業信息化安全管理新模式研究

3.1 基于網絡安全策略的信息化安全管理

企業的信息安全策略是保證企業信息化安全基石。信息安全策略體現的是企業信息安全管理的目標和水平。所以，為了保證企業的信息安全策略相關技術手段和管理體系、制度落實，首先管理人員必須對公司的信息安全的重視程度以及投資等問題上取得一致意見。其次，企業需要根據企業的安全目標標志相應的安全保障策略文檔，文檔的內容包括企業的核心業務系統的安全等級、需要達到的安全防護標準、以及達到預期的安全目標所采取的管理措施、技術措施、硬件設備投資等。安全策略文檔的內容要能夠真實準確的反映企業信息安全管理實踐的實際，安全策略要淺顯易懂，能夠為員工所接受，在相關獎懲措施上要得到領導層的認可，安全策略的的執行要與企業的整體經營策略匹配。

一般而言，企業信息化的安全策略應該包含以下幾個方面的內容：一是安全管理的范圍。它應當涉及企業內所有信息資源、信息系統、網絡設施、以及所有企業用戶；二是企業安全信息的分類管理。企業安全策略應當明確信息的詳細權限和開放程度，對特定信息提供特定內容的定義；三是在每種信息分類中安全信息處理的管理目標。四是其它管理要求和補充文檔的策略布置；五是企業信息安全技術標準、安全管理流程等用于參考的證明文件。六是對企業范圍內行之有效的安全要求和規范的具體規定；七是指明確切、具體的責任；八是違反策略（不合規）時所面臨的后果（例如，解聘或合同中止等）。同時，企業信息安全策略的形成過程應在策略文檔之外。

3.2 企業的網絡信息安全保障模式研究

目前，對企業信息安全威脅最大的除了來自企業內部員工安全意識差造成的意外泄密事件外，最重要的安全威脅來自于網絡。網絡攻擊的形式和內容的多種多樣以及目前我國基礎網絡、重要信息系統和工業控制系統等關鍵信息基礎設施的核心技術和產品長期受制于人，導致，企業的網絡信息安全的壓力持續攀升。同時，受移動設備、E-mail、移動存儲設備等多種網絡接入途徑和傳播方式的影響，企業信息安全技術漏洞和安全隱患的不斷增多。因此，多層式信息安全防護體系的建立成為企業網絡信息安全管理的必然選擇。對層式安全防護體系主要針對用戶易受攻擊環節、管理環節前瞻性的安全措施。對Web、電子郵件、移動設備和桌面客戶端等關鍵易受攻擊環節的安全防護，采用配置終端系統安全、安裝企業版防病毒軟件、部署一些基本的網絡安全設備等方式，做好防護工作將，確保大部分的網絡威脅被擋在門外，通過多層式安全防護為企業的信息資源內容安全提供更多保障。針對管理環節，通過企業用戶建立管理服務器、客戶端、遠程用戶的安全策略，消除整個網絡上的安全隱患。同時，為保證網絡信息安全管理的長效性和持續性，所有的安全策略，包括安全保障的硬件設備以及上網行為審計、殺毒軟件等軟件系統，都必須得到及時更新，否則最好的安全解決方案也不能充分發揮其效用。

3.3 企業信息安全的管理措施研究

再好的設備也比不上完善的管理制度，培養員工良好的信息安全意識才是最重要的。在企業信息安全管理中，人員安全行為和意識的管理始終是整個安全防護體系建設的核心。因此，企業除了購置必要的安全防護硬件和軟件設備，建立強大的網絡安全架構外，還需要從安全管理制度以及應用水和技術上加強網絡安全的管理和防護。首先，需要建立嚴格的企業安全管理制度。對企業的網絡拓撲結構要嚴格保密，制定上網行為管理制度、企業安全認證制度、機房管理制度、安全管理職責分工等管理規定，同時，針對突發的安全事故制定相應的應急預案和臨時的防護、備份、容災體系，保證安全管理有據可依，有規可查，有章可遵，實現層層落實，動態調整的企業信息安全管理形態；其次，加強企業安全管理人員的技術培訓，及時掌握最新安全技術發展趨勢，調整適應新的安全管理形式，及時了解網絡病毒、密碼攻擊、分組竊聽、IP欺騙、拒絕服務、端口攻擊等多樣化的攻擊手段，以便更好的管理企業的信息安全工作；最后是加強企業員工的安全培訓，提升員工的安全意識，引導員工養成良好的信息安全保密習慣，通過個人行為提升企業的整體安全管理水平。

4.結論

企業信息化安全管理的核心工作和措施是提高防御能力，防患于未然。企業只有通過多途徑、多層級的安全防御體系建設，才能保證安全等級的提升，御敵于網絡之外。通過信息安全技術發展分析不難發自按，未來企業信息安全一定是朝著多層防御體系建設方向發展。同時，我們也需要清楚的認識到，企業信息安全管理處制定安全策略、提升企業的網絡安全水平外，人員的管理才是企業信息安全管理核心中的核心，所有的安全管理設備和安全防御技術以及體系結構都僅僅是手段，而企業員工的安全意識和自我安全管理能力才是企業安全管理的重點，只有保證了人員的安全，才能真正實現企業信息化安全。

[1]張建軍,孟亞平.信息安全風險評估:探索與實踐[M].北京:中國標準出版社,2008.

[2]林東岱,曹天杰.企業信息系統安全威脅與對策[M].北京:電子工業出版社,2004.

[3]戴宗坤,等.信息系統安全[M].北京:電子工業出版社,2002.

[4]郝曉玲,胡克瑾.信息安全評估方法與應用研究[J].情報方法,2012(3).