互聯(lián)網(wǎng)環(huán)境下企業(yè)信息安全管理對策

摘要:文章對互聯(lián)網(wǎng)環(huán)境下企業(yè)信息安全管理進(jìn)行研究分析，在分析企業(yè)面臨的信息安全威脅的基礎(chǔ)上提出企業(yè)信息安全管理對策。

關(guān)鍵詞:互聯(lián)網(wǎng);企業(yè)信息;信息安全管理

隨著企業(yè)信息系統(tǒng)的普及，信息系統(tǒng)的安全越來越重要。信息系統(tǒng)就像一把雙刃劍，一方面它使企業(yè)能夠更加有效地利用信息，另一方面它也使企業(yè)面臨更加嚴(yán)峻的信息安全問題。

信息安全問題的產(chǎn)生主要來源于兩個方面，一方面是天災(zāi)所造成的，另一方面是人禍所造成的。天災(zāi)主要是指非人力(企業(yè))所能控制的自然災(zāi)害，比如火災(zāi)、水災(zāi)、雷電、地震、電力故障等。人禍?zhǔn)侵赣善髽I(yè)內(nèi)部或外部的不法分子所實(shí)施的信息犯罪。由人為因素造成的信息系統(tǒng)安全問題主要有以下幾種形式:非法侵入系統(tǒng)，破壞或篡改系統(tǒng)數(shù)據(jù);非法竊取和利用信息，給企業(yè)造成直接經(jīng)濟(jì)損失;制造和傳播計(jì)算機(jī)病毒，破壞系統(tǒng)數(shù)據(jù)和系統(tǒng)正常運(yùn)行等。文所討論的信息安全問題主要是這一類。

一、企業(yè)面臨的信息安全威脅

(一)信息系統(tǒng)的安全“軟肋”

通常容易成為信息安全“軟肋”的部位主要是在信息存儲環(huán)節(jié)、信息傳輸過程和信息應(yīng)用界面。比如，企業(yè)管理信息系統(tǒng)中的各種服務(wù)器、網(wǎng)絡(luò)系統(tǒng)和用戶的計(jì)算機(jī)系統(tǒng)都有可能成為信息系統(tǒng)的安全軟肋。

針對信息安全軟肋的信息破壞行為通常有以下幾種形式:

1.病毒感染

計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。簡而言之，計(jì)算機(jī)病毒實(shí)質(zhì)上是一些惡意的計(jì)算機(jī)軟件程序，它們往往“喬裝打扮”，趁人不備進(jìn)入到計(jì)算機(jī)系統(tǒng)，破壞數(shù)據(jù)或者干擾系統(tǒng)的正常運(yùn)行，嚴(yán)重者甚至造成系統(tǒng)癱瘓。就像生物病毒一樣，計(jì)算機(jī)病毒有獨(dú)特的復(fù)制能力，能夠發(fā)生變異，導(dǎo)致新的病毒產(chǎn)生。計(jì)算機(jī)病毒可以很快地蔓延，又常常難以根除。它們能把自身附著在各種類型的文件上，當(dāng)文件被復(fù)制或從一個用戶傳送到另一個用戶時，它們就隨同文件一起蔓延開來。

2.“黑客”攻擊

“黑客”是英文Hacker的諧音，其原意是指沒有經(jīng)過授權(quán)而非法侵入信息系統(tǒng)的人。由于信息系統(tǒng)本身存在著很多安全漏洞，這些安全漏洞往往為“黑客”提供了“大顯身手”的機(jī)會。“黑客”利用這些漏洞侵入到信息系統(tǒng)中，要么破壞系統(tǒng)功能，要么改寫數(shù)據(jù)，要么將保密的數(shù)據(jù)公布于眾.有些甚至盜用他人賬號以竊取他人資金。

不論黑客侵入其他信息系統(tǒng)是出于何種目的，客觀上已經(jīng)構(gòu)成一種對信息系統(tǒng)的攻擊行為。

(二)企業(yè)管理中的安全漏洞

管理中的安全漏洞一般出現(xiàn)在以下幾個方面:

1.信息系統(tǒng)中的“斷點(diǎn)”

信息技術(shù)在企業(yè)管理中的應(yīng)用必然會經(jīng)歷從部門到全局、從單元技術(shù)到集成技術(shù)的過程。在這個過程中往往會存在一些信息“斷點(diǎn)”，即系統(tǒng)中信息流中斷的地方，需要由人工操作來進(jìn)行銜接，過失行為或犯罪行為往往就發(fā)生在這些地方。比如，外貿(mào)企業(yè)的管理信息系統(tǒng)曾經(jīng)是財(cái)務(wù)和業(yè)務(wù)分離的兩套系統(tǒng)。在經(jīng)營過程中，業(yè)務(wù)活動的開展需要以財(cái)務(wù)相關(guān)數(shù)據(jù)作為約束條件，在財(cái)務(wù)和業(yè)務(wù)系統(tǒng)分離的情況下，業(yè)務(wù)活動所需要的財(cái)務(wù)數(shù)據(jù)只有靠人工輸入，在這些環(huán)節(jié)就很容易失控。

2.缺乏制約和監(jiān)察的流程

在企業(yè)業(yè)務(wù)流程中，如果沒有適當(dāng)?shù)闹萍s機(jī)制和監(jiān)察措施，往往會出現(xiàn)信息安全的漏洞。

制約就是事物本身的存在和發(fā)展是以另一個事物的存在和發(fā)展為條件。比如財(cái)務(wù)管理明確規(guī)定，現(xiàn)金出納和會計(jì)不能由同一個人擔(dān)任，支票和財(cái)務(wù)印章必須分開保管，這就是一種制約關(guān)系。在管理信息系統(tǒng)的運(yùn)行中，關(guān)鍵的業(yè)務(wù)流程同樣要規(guī)定和設(shè)計(jì)相互制約的關(guān)系。缺乏制約、權(quán)力過于集中往往會釀成犯罪。

監(jiān)察是企業(yè)管理系統(tǒng)中的專職崗位，主要負(fù)責(zé)監(jiān)督、檢查企業(yè)管理信息系統(tǒng)的運(yùn)行情況并直接向企業(yè)總經(jīng)理負(fù)責(zé)。監(jiān)察作為信息系統(tǒng)的“第三者”，具有“旁觀者清”的優(yōu)勢，同時，監(jiān)察是從全局的視角來考察企業(yè)的信息安全，更有利于客觀、全面地發(fā)現(xiàn)問題。如果對企業(yè)的業(yè)務(wù)流程缺乏必要的監(jiān)察，可能會由于業(yè)務(wù)流程的不暢或業(yè)務(wù)流程的不合理而產(chǎn)生信息安全隱患。

二、企業(yè)信息安全管理對策

實(shí)際上信息安全管理，對于企業(yè)來說是與生俱來的使命，是融于企業(yè)的一種管理機(jī)制。對于企業(yè)信息資產(chǎn)的安全來說，很難找到一種萬全之策，企業(yè)信息安全防范是由多種技術(shù)手段、規(guī)范的組織行為和精心設(shè)計(jì)的管理流程所組成的信息安全管理體系。

(一)病毒與黑客的防范

對于計(jì)算機(jī)病毒和黑客的防范，目前比較實(shí)用的方法就是:

1.經(jīng)常從軟件供應(yīng)商處下載、安裝安全補(bǔ)丁程序和升級殺毒軟件。隨著計(jì)算機(jī)病毒編制技術(shù)和黑客技術(shù)的逐步融合，下載、安裝補(bǔ)丁程序和殺毒軟件升級并舉將成為防治病毒和黑客的有效手段。

2.新購置的計(jì)算機(jī)和新安裝的系統(tǒng)，一定要進(jìn)行系統(tǒng)升級，保證修補(bǔ)所有已知的安全漏洞。

3.使用高強(qiáng)度的口令。盡量選擇難于猜測的口令，對不同的賬號選用不同的口令。

4.經(jīng)常備份重要數(shù)據(jù)。要做到每天堅(jiān)持備份。較大的單位要做到每周做完全備份，每天進(jìn)行增量備份，并且每個月要對備份進(jìn)行校驗(yàn)。

5.選擇、安裝經(jīng)過公安部認(rèn)證的防病毒軟件，定期對整個硬盤進(jìn)行病毒檢測、清除工作。

6.在企業(yè)內(nèi)部網(wǎng)絡(luò)和因特網(wǎng)之間安裝使用防火墻，提高系統(tǒng)的安全性。重要的計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)一定要嚴(yán)格與因特網(wǎng)物理隔離。這種隔離包括離線隔離，即在因特網(wǎng)中使用過的系統(tǒng)不能再用于內(nèi)網(wǎng)。

7.定期檢查敏感文件。對系統(tǒng)的一些敏感文件定期進(jìn)行檢查，保證及時發(fā)現(xiàn)已感染的病毒和黑客程序。

(二)建立企業(yè)信息安全管理體系

1.企業(yè)信息安全管理工作內(nèi)容

ISO/IECl7799標(biāo)準(zhǔn)為企業(yè)信息安全管理提供了一套完整的實(shí)施指南。該標(biāo)準(zhǔn)的核心思想是建立一個信息安全管理體系和可以控制的企業(yè)信息安全環(huán)境。在建立企業(yè)信息安全管理體系的時候，主要是通過評估安全風(fēng)險(xiǎn)、設(shè)定安全要求、選擇控制手段和監(jiān)控系統(tǒng)運(yùn)行，以達(dá)到其信息安全的管理目標(biāo)。因此，企業(yè)在建立信息安全管理體系的時候，最基本的工作應(yīng)包括以下四個方面的內(nèi)容:

(1)設(shè)定信息安全管理的范圍，評估信息安全風(fēng)險(xiǎn)

確定信息安全管理的范圍就是將組織劃分成不同的信息安全控制領(lǐng)域，以易于組織對有不同需求的領(lǐng)域進(jìn)行適當(dāng)?shù)男畔踩芾怼?/p>

信息安全風(fēng)險(xiǎn)評估主要是對ISMS范圍內(nèi)的信息資產(chǎn)進(jìn)行鑒定和估價，風(fēng)險(xiǎn)評估主要依賴于商業(yè)信息和系統(tǒng)的性質(zhì)、使用信息的商業(yè)目的、所采用的系統(tǒng)環(huán)境等因素。信息安全風(fēng)險(xiǎn)評估不僅要考慮信息安全失誤所造成的經(jīng)營性破壞，而且要考慮失去信息保密性、完整性和可用性以及其他信息資產(chǎn)時所導(dǎo)致的潛在后果，還需要評估信息系統(tǒng)面臨的現(xiàn)行威脅和弱點(diǎn)導(dǎo)致信息安全失誤的可能性，同時對已存在的或規(guī)劃的安全控制措施進(jìn)行鑒定。

(2)設(shè)定企業(yè)對信息安全的要求

確認(rèn)企業(yè)對信息安全方面的要求至關(guān)重要，通過對本單位的信息安全風(fēng)險(xiǎn)評估，可以確認(rèn)本單位的信息資產(chǎn)所面臨的威脅。設(shè)定對信息安全的要求要考慮為支持運(yùn)營而制定一套針對信息處理的原則、目標(biāo)和要求，同時還需要對信息安全控制方面的支出需要和安全失控時產(chǎn)生的危害進(jìn)行平衡和比較，以設(shè)定對信息安全的合理的要求。

(3)選擇控制手段

信息安全控制手段包括各種技術(shù)手段、管理制度和組織措施，如信息安全政策文件、信息安全權(quán)責(zé)的分配、信息安全教育和培訓(xùn)、信息安全事故應(yīng)急措施、安全事故的匯報(bào)和持續(xù)運(yùn)營管理等。在選擇控制手段時要從法律角度審視，所選擇的控制手段應(yīng)考慮知識產(chǎn)權(quán)、保護(hù)公司機(jī)密、數(shù)據(jù)保護(hù)和個人信息的私密性等。

(4)信息安全監(jiān)控和持續(xù)改進(jìn)

信息系統(tǒng)的安全監(jiān)控是企業(yè)信息安全管理的一項(xiàng)重要工作，企業(yè)應(yīng)經(jīng)常地審視企業(yè)所面臨的信息風(fēng)險(xiǎn)，檢查企業(yè)的信息安全要求以及相應(yīng)的信息安全控制手段是否有效，并不斷地改進(jìn)企業(yè)的信息安全管理工作。

以上四項(xiàng)工作是一個循環(huán)往復(fù)的閉環(huán)系統(tǒng)，企業(yè)內(nèi)外環(huán)境處于不斷變化之中，信息技術(shù)尚在不斷發(fā)展之中，因此企業(yè)信息安全體系的建立是一個持續(xù)的動態(tài)過程。這個動態(tài)過程可以用PDCA(P——Plan，D——Do，C——Check，A——Act)循環(huán)加以概括，如圖1所示。

2.企業(yè)信息安全控制

信息安全控制手段由綜合控制和應(yīng)用控制所組成。

(1)綜合控制

綜合控制是指對信息系統(tǒng)的設(shè)計(jì)、計(jì)算機(jī)軟硬件的使用、數(shù)據(jù)文件的存儲等關(guān)乎企業(yè)全局的信息安全控制。綜合控制包括以下內(nèi)容:

①實(shí)施控制，即控制信息系統(tǒng)的開發(fā)實(shí)施過程。它包括兩個方面的含義:一是開發(fā)實(shí)施過程的控制，在開發(fā)和建立一個信息系統(tǒng)的過程中，在各個階段制定階段里程碑，保證每個階段的工作都按照標(biāo)準(zhǔn)進(jìn)行，建立完備的技術(shù)檔案和用戶操作文檔資料。二是在系統(tǒng)的開發(fā)設(shè)計(jì)階段就應(yīng)該建立起信息安全的機(jī)制，并將這種機(jī)制滲透到系統(tǒng)的結(jié)構(gòu)、軟件硬件的機(jī)理之中，而不是待系統(tǒng)運(yùn)行后出現(xiàn)安全漏洞時再加以彌補(bǔ)。

②軟件控制。它是指對軟件的使用進(jìn)行控制，避免未經(jīng)授權(quán)使用各類計(jì)算機(jī)軟件或計(jì)算機(jī)程序，如系統(tǒng)軟件、數(shù)據(jù)庫或網(wǎng)絡(luò)管理軟件以及各種應(yīng)用軟件。軟件控制是一種重要的信息安全控制，因?yàn)樗袑?shù)據(jù)的非法拷貝、篡改等都是通過軟件來進(jìn)行的。

③硬件控制。其目的是保證計(jì)算機(jī)物理設(shè)備的安全和正常使用。計(jì)算機(jī)設(shè)備在物理上應(yīng)該是安全的，不能被火災(zāi)或其他自然災(zāi)害所損壞。計(jì)算機(jī)物理設(shè)備也不應(yīng)被非授權(quán)者使用。同時對計(jì)算機(jī)物理設(shè)備的性能應(yīng)該進(jìn)行監(jiān)控，避免由于設(shè)備性能的下降而影響系統(tǒng)正常運(yùn)行。

④計(jì)算機(jī)操作控制。它是指控制系統(tǒng)操作的過程，使系統(tǒng)按照預(yù)定的程序運(yùn)行，保證數(shù)據(jù)的處理和存儲正確無誤。計(jì)算機(jī)操作控制包括計(jì)算機(jī)處理工作的確立、所使用的處理軟件、計(jì)算機(jī)處理、數(shù)據(jù)的備份和恢復(fù)。所有這些工作都應(yīng)該形成書面的、可以追溯的文字資料。

⑤數(shù)據(jù)安全控制。其目的是保證數(shù)據(jù)文件不會遭受非授權(quán)的存取、修改或破壞。數(shù)據(jù)安全控制包括了數(shù)據(jù)在使用和存儲過程中的數(shù)據(jù)安全。為了保證數(shù)據(jù)使用和存儲的安全，可以來取下列措施:對物理終端采取限制，避免非授權(quán)使用;在系統(tǒng)軟件中設(shè)置授權(quán)口令，未被授權(quán)者沒有口令無法使用;對數(shù)據(jù)的使用方式進(jìn)行分級授權(quán)，比如讀寫權(quán)限、修改權(quán)限、拷貝權(quán)限等。

⑥管理控制。管理控制是保證其他各種信息安全控制技術(shù)手段得以實(shí)現(xiàn)的組織手段。最重要的管理控制包括:職能劃分，將所有標(biāo)準(zhǔn)、規(guī)則、流程和規(guī)章制度形成書面文檔資料，以及對信息安全管理的監(jiān)控和審計(jì)制度。職能的劃分是對企業(yè)信息安全的組織保證，最基本的職能劃分原則是將敏感的數(shù)據(jù)和程序文件的管理與業(yè)務(wù)數(shù)據(jù)的產(chǎn)生分別由不同的部門和人員來負(fù)責(zé)。

(2)應(yīng)用控制

應(yīng)用控制是針對某一具體的計(jì)算機(jī)應(yīng)用所進(jìn)行的控制，比如對訂單處理的控制。應(yīng)用控制是通過自動化或人工的方式保證授權(quán)的數(shù)據(jù)被正確無誤地處理。最基本的應(yīng)用控制可以分為:輸入控制、處理控制和輸出控制。

輸入控制是在數(shù)據(jù)輸入系統(tǒng)時，保證數(shù)據(jù)是正確和完整的。輸入控制主要由數(shù)據(jù)輸入的授權(quán)、數(shù)據(jù)記錄和數(shù)據(jù)源的檢查、數(shù)據(jù)錯誤校驗(yàn)等組成。

數(shù)據(jù)處理控制是在系統(tǒng)中設(shè)計(jì)一些小程序，對數(shù)據(jù)的完整性和準(zhǔn)確性進(jìn)行校驗(yàn)，比如對一些數(shù)據(jù)進(jìn)行修改后，從該數(shù)據(jù)總數(shù)可以判斷數(shù)據(jù)處理是否正確。

輸出控制是保證數(shù)據(jù)的處理結(jié)果是精確的、完整的，而且能夠被正確地分發(fā)。基本的輸出控制可以通過格輸出結(jié)果與輸入和處理進(jìn)行對比加以判斷。

參考文獻(xiàn):

[1]宋玉賢.企業(yè)信息化管理[J]. 北京大學(xué)出版社， 2005.

[2]唐珂.網(wǎng)絡(luò)環(huán)境下信息安全管理體系研究[M]. 中國長安出版社， 2007.

[3]鄒學(xué)強(qiáng)，楊海波.信息安全管理實(shí)踐探究[J].理論探討，2008(9).

[4]戴宗坤.信息安全管理指南[M]. 重慶大學(xué)出版社， 2008.

[5]呂燕君.加強(qiáng)企業(yè)信息安全管理新探[J].探索與實(shí)踐，2009(3).