淺論企業(yè)信息化建設(shè)信息安全管理

【摘要】信息化建設(shè)作為提高企業(yè)經(jīng)營管理水平的重要途徑，對于提高企業(yè)的市場競爭力具有重要的作用。隨著信息數(shù)據(jù)網(wǎng)絡(luò)化的逐步實現(xiàn)，信息化安全管理已經(jīng)成為企業(yè)信息化建設(shè)的重要制約因素。本文首先概述了現(xiàn)階段我國企業(yè)信息安全管理的影響因素，進而詳細分析了企業(yè)普遍存在的信息安全問題，并有針對性的提出了改善措施，對于相關(guān)企業(yè)進行信息數(shù)據(jù)庫管理可以提供合理的參考。

【關(guān)鍵詞】信息化建設(shè)；安全管理；授權(quán)

【中圖分類號】TU714 【文獻標(biāo)識碼】A 【文章編號】1672—5158（2012）08—0255-02

0.引言

隨著信息技術(shù)的不斷發(fā)展以及市場競爭的不斷激烈，企業(yè)信息安全建設(shè)已經(jīng)成為提高企業(yè)競爭力的重要途徑，杜絕信息泄露可以避免巨大的經(jīng)濟損失。雖然大多數(shù)企業(yè)在信息安全管理方面采取了較多的措施，但是信息安全問題仍然頻發(fā)，對于企業(yè)的經(jīng)營活動帶來巨大的損失。加強企業(yè)內(nèi)部的計算機管理，提高對于信息安全的認識程度，保證信息數(shù)據(jù)庫的安全，避免信息泄露的發(fā)生已經(jīng)成為現(xiàn)階段企業(yè)信息化建設(shè)亟待解決的管理問題。

1.企業(yè)信息化建設(shè)信息安全影響因素分析

（1）信息系統(tǒng)實體安全。信息實體主要包括用于企業(yè)信息化建設(shè)的計算機、網(wǎng)絡(luò)連接、服務(wù)器等媒介硬件設(shè)施，對于信息實體安全影響因素主要包括火災(zāi)、水災(zāi)、失竊或者是其他事故造成設(shè)備硬件的損壞，從而造成企業(yè)信息庫數(shù)據(jù)安全出現(xiàn)問題。

（2）信息系統(tǒng)運行安全。信息系統(tǒng)的安全是指為了保證企業(yè)信息數(shù)據(jù)庫的安全，采取各種措施對系統(tǒng)運行進行安全保護。由于信息數(shù)據(jù)庫有可能受到非授權(quán)的訪問、泄露、數(shù)據(jù)纂改或者是被其他非法程序控制的威脅，因此確保信息系統(tǒng)運行安全主要是保證信息數(shù)據(jù)庫的完整、保密以及時時可用性。

（3）信息系統(tǒng)管理人員安全責(zé)任意識。管理人員在日常工作中的安全管理意識、專業(yè)操作水平以及法律意識等均會對企業(yè)信息數(shù)據(jù)的安全產(chǎn)生影響。信息安全管理人員的日常管理工作責(zé)任心以及工作方式方法，對于保證信息數(shù)據(jù)庫的安全十分重要。

2.企業(yè)信息安全管理問題分析

目前由于管理制度以及軟硬件設(shè)施等一系列的問題，企業(yè)數(shù)據(jù)庫破壞以及重要數(shù)據(jù)信息泄漏的現(xiàn)象時有發(fā)生，嚴重影響了企業(yè)的正常生產(chǎn)經(jīng)營活動，通過分析發(fā)現(xiàn)影響企業(yè)信息化建設(shè)信息安全的問題主要由以下幾方面：

（1）企業(yè)內(nèi)部移動存儲設(shè)備管理疏松，缺乏安全保密管理制度。由于許多企業(yè)在日常管理過程中，移動存儲設(shè)備使用較多，員工可以隨意對企業(yè)內(nèi)部的各種信息資料進行備份，企業(yè)用于經(jīng)營活動的客戶信息、產(chǎn)品設(shè)計、財務(wù)管理等各項信息極易造成泄漏，帶來巨大的信息安全損失。部分企業(yè)由于對于信息安全管理認識程度不足，企業(yè)內(nèi)部信息安全管理缺乏必要的規(guī)章制度，安全管理職責(zé)權(quán)限不清，信息安全漏洞較多。

（2）對于內(nèi)部信息共享控制不嚴格，信息安全管理權(quán)限混亂。由于企業(yè)在生產(chǎn)經(jīng)營過程中為了提高生產(chǎn)經(jīng)營效率以及加強企業(yè)內(nèi)部各部門之間的溝通聯(lián)系，對于一些設(shè)計企業(yè)銷售計劃、客戶信息以及生產(chǎn)計劃等文件采取共享的措施，因此企業(yè)員工的流動或者其他管理不當(dāng)均會造成企業(yè)信息的泄露。

（3）信息權(quán)限管理混亂，企業(yè)的中介服務(wù)體系穩(wěn)定性較差。對于加密的授權(quán)訪問，權(quán)限管理則成為保護企業(yè)信息安全的重要因素。但是由于企業(yè)在信息安全管理過程中體系混亂，操作權(quán)限不清晰導(dǎo)致經(jīng)常出現(xiàn)影響信息安全的非授權(quán)訪問。而且對于部分中小企業(yè)由于信息化建設(shè)采取對外委托的方式，而中介第三方由于穩(wěn)定性難以保證，隨時更換或者退出的第三方極易造成企業(yè)有價值信息的泄漏，影響企業(yè)信息安全建設(shè)。

（4）信息管理安全防范體系不健全，缺乏針對信息安全管理的專業(yè)技術(shù)人才。雖然部分企業(yè)已經(jīng)認識到信息化管理的重要性，并在企業(yè)網(wǎng)絡(luò)內(nèi)設(shè)置了必要的安全設(shè)備。但是缺乏一系列的安全管理機制，在信息安全管理方面缺乏行之有效的整體規(guī)劃與具體落實措施。此外，由于大部分企業(yè)在信息安全管理工作中將重點放在軟硬件設(shè)施上，而忽略了對于信息安全技術(shù)人員的培養(yǎng)，而且為了減少人力資源支出成本，信息安全管理人員少工作任務(wù)重，管理權(quán)限集中化程度高，影響了信息化建設(shè)的安全管理。

3.企業(yè)信息建設(shè)信息安全管理措施

（1）加強對于信息庫硬件設(shè)備的保護管理。首先應(yīng)保證計算機等硬件設(shè)備具有安全的工作環(huán)境，做好計算機設(shè)備的防火、防潮、防盜措施，并避免強磁環(huán)境對信息數(shù)據(jù)可能造成的損壞。其次，在對各種硬件設(shè)備進行檢修時，硬組織企業(yè)內(nèi)部相關(guān)技術(shù)人員進行監(jiān)督管理，對于需要外送檢修的設(shè)備，則應(yīng)提前進行數(shù)據(jù)加密處理。

（2）提高企業(yè)內(nèi)部的信息安全管理意識。企業(yè)信息安全管理對于提高企業(yè)競爭力，避免企業(yè)經(jīng)濟損失具有重要的意義。在企業(yè)的正常管理過程中，加強信息安全宣傳工作，使員工充分認識到企業(yè)信息安全管理的重要性，并熟悉企業(yè)相關(guān)信息數(shù)據(jù)保密的規(guī)則制度，提高企業(yè)的整體信息安全防范水平。

（3）加強信息安全操作管理人員的管理。在企業(yè)信息日常管理過程中，應(yīng)加強對于業(yè)務(wù)操作以及數(shù)據(jù)存取控制代碼的管理。系統(tǒng)管理操作代碼的獲得應(yīng)經(jīng)過企業(yè)管理者授權(quán)，系統(tǒng)管理人員在進行企業(yè)相關(guān)信息數(shù)據(jù)庫的整理以及維護過程中，必須通過授權(quán)進行。系統(tǒng)管理人員離開工作崗位后，相關(guān)責(zé)任人應(yīng)及時更換管理員操作代碼。

（4）加強企業(yè)信息數(shù)據(jù)庫的密碼與權(quán)限管理。對于涉及到企業(yè)信息數(shù)據(jù)庫安全的密碼，應(yīng)分別設(shè)置用戶密碼以及操作密碼，并提高密碼的安全程度，及時定期更換登陸操作密碼。對于組成企業(yè)內(nèi)部局域網(wǎng)絡(luò)的服務(wù)器、路由器等設(shè)施的設(shè)置管理工作，應(yīng)嚴格按照相關(guān)管理規(guī)定進行設(shè)置。

（5）明確企業(yè)信息數(shù)據(jù)庫管理制度。對于企業(yè)重要的數(shù)據(jù)應(yīng)存放備份數(shù)據(jù)，并采取異地存放的方式對備份數(shù)據(jù)庫進行管理。對于廢棄或者需要銷毀的數(shù)據(jù)信息，應(yīng)嚴格依照程序采取逐級審批的方式，避免數(shù)據(jù)信息的泄露。需要進行數(shù)據(jù)恢復(fù)工作時，應(yīng)嚴格按照相關(guān)技術(shù)手冊，并對恢復(fù)的數(shù)據(jù)進行驗證確認數(shù)據(jù)的完整可用。

（6）加強企業(yè)信息數(shù)據(jù)機房的管理。相關(guān)人員出入信息數(shù)據(jù)庫機房進行數(shù)據(jù)查閱以及提取工作時，應(yīng)經(jīng)由相關(guān)主管人員的授權(quán)，并登記進入。在日常管理過程中，定期對硬件設(shè)備進行保養(yǎng)，同時研究違章操作在信息數(shù)據(jù)機房安裝外部其他軟件。

參考文獻

[1]沈路鐵路信息系統(tǒng)安全風(fēng)險評估研究[J]-鐵路計算機應(yīng)用2011（6）

[2]朱英菊；陳長松信息安全管理有效性的測量[J]-信息網(wǎng)絡(luò)安全2009（01）

[3]薛偉蓮保證信息與網(wǎng)絡(luò)安全的網(wǎng)絡(luò)倫理規(guī)范體系的構(gòu)建[期刊論文]-網(wǎng)絡(luò)與信息2010（11）