保障信息安全 構筑企業生命堡壘

◎

市場競爭的日益激烈，使得企業不得不通過信息化建設帶動企業的轉型升級，利用信息技術增強企業自身核心競爭力已成為眾多企業的共識，企業的信息化建設工作空前繁榮。然而，隨之而來的信息安全問題也呼之欲出，信息技術的快速進步，使以往公認的安全狀態發生了顯著的變化。企業面臨著海量增長的數據、更多的數據侵犯以及各種內外部威脅，諸多潛在風險對企業的信息安全構成挑戰。信息安全在企業的信息化建設過程中成為至關重要的問題，信息安全也不在局限于簡單的定義，它被越來越多的企業正式提到工作日程中去。

信息安全愈加受到企業重視

國際公認的ISO/IEC IT安全管理指南(GMITS)對信息給出如下解釋：信息是通過施加于數據上的某些約定，當前賦予這些數據的特定含義。信息可以理解為消息、情報或知識。信息本身是無形的，借助于信息媒體以多種形式存在，有的存儲在計算機里，有的保存在磁帶或光盤里，有的被攝制在膠卷里，有的記憶在人的大腦里，有的通過傳真發送，有的通過網絡傳送，有的通過交談方式來表達。

信息作為一種無形資產，是企業進行商務運作和管理不可或缺的資源，也是企業重要的“無形財富”。在信息時代，信息不斷創造財富，并為企業發展提供不竭動力，而隨著企業信息化建設工作的不斷推進，大多數企業的信息化系統進入高速發展階段，信息化系統推動企業轉型變革，企業利用信息化系統提高工作效率并創造了全新的工作方式。

眼下，政府部門、金融部門、企事業單位的多項業務運行都要依賴于信息系統，信息系統數量大幅增加，系統復雜程度日益提高，特別是企業的基礎信息網絡和重要信息系統已經成為支撐企業業務發展，提高企業核心競爭力的重要載體和主要手段。因此，信息系統的安全性變得尤為重要。例如ERP（企業資源計劃）系統、OA(辦公自動化)系統以及各類管理信息系統，都會涉及到企業信息的存儲、傳輸與使用等信息處理問題，在這一繁瑣的信息處理過程中，信息安全問題變得至關重要。

企業如何保護信息安全和信息系統安全，最大限度的減少或避免因信息泄密、病毒泛濫、網絡攻擊、惡意插件安裝等信息安全問題所造成的經濟損失及對企業形象的影響，是擺在眾多企業面前亟需妥善解決的一項具有重大戰略意義的課題。對于企業存儲在計算機中的重要文件以及保存在數據庫中的機密數據等信息都存在著安全隱患，一旦丟失、損壞或泄露，使信息不能及時送達，將會給企業造成巨大損失。如果是商業機密信息，給企業造成的損失將更加嚴重，甚至會影響到企業未來的生存和發展。

業內人士表示：日趨嚴峻的網絡環境直接提升了信息安全在企業組織架構中的地位和重要性。多年來企業的業務和IT負責人員對信息安全抱著不同的觀點，但屢屢爆發的信息安全事件使企業的信息安全壓力加劇，使管理人員對信息安全的重要性重新審視并漸趨一致。

中國電子信息產業發展研究院針對中小企業對他們的信息安全需求做過調查，結果顯示，企業對于信息安全的認知相較于早年前有了明顯提升，有相當一部分的企業正視信息安全問題，并認為信息安全將成為企業未來發展的決定性因素之一；調查還顯示五分之一的企業沒有信息泄密的事件發生，說明信息安全對大多數企業已經構成威脅。此外，根據《2012年全球信息安全狀況調查》的結果顯示，來自138個國家不同行業超過9600位高級管理人員都對其企業信息安全工作的成效很有信心，并將在未來繼續加大企業對信息安全方面的投入。

這些數據都充分說明信息安全在企業中的地位正在日益提升。企業的正常運作離不開信息資源的支持，大到企業的發展戰略、經營計劃、知識產權；小到企業的生產工藝、方案圖紙、客戶資源等各種重要數據，都是企業日常運營中的隱形財富。這些信息是企業全體員工共同的智慧結晶，不僅是企業未來發展的不竭動力，也是企業前進的方向。企業的重要信息一旦外泄將直接導致企業失去市場競爭優勢，甚至會遭受滅頂之災。

企業信息安全現狀

在沒有使用計算機進行信息資源管理之前，信息通常都是以紙介質和某些設備（如錄音、錄像設備等）進行保存和傳播，國家以及相關機構對信息的安全管理有著嚴格法律法規約束，一旦出現安全問題，可以通過行政、執法手段進行追蹤，查出問題的根源，并追究其相應的責任。而現在利用信息技術管理的信息安全問題相較之前變得更為復雜，病毒傳播、黑客攻擊等安全問題，大大增加了信息安全的管理難度。信息安全一旦出現紕漏，企業的相關信息將面臨丟失乃至落到競爭對手手中，因此，企業的信息安全問題至關重要。

要保證企業信息安全，就必須找出企業信息安全方面存在的問題，從而才能有針對性地解決問題。目前，很多企業在信息化建設過程中，對于信息安全沒有系統的規劃，缺少完善的制度。很多企業信息安全管理制度不健全，部分企業雖然制定信息安全管理制度，但在實踐過程中往往流于形式。同時，多數企業的信息化工作仍然停留在構建網絡平臺、購買硬件和軟件等方面，企業對于信息安全教育培訓意識淡薄；企業相關管理人員也片面地把信息安全問題理解成一道堅固的、天然的靜態防線，沒有從更深層次剖析信息安全的深刻意義，高層領導對于信息安全沒有引起足夠的重視，從而埋下了信息安全的隱患。

與此同時，垃圾郵件、網絡資源濫用、病毒泛濫以及網絡攻擊、系統非法入侵、數據泄密、服務器癱瘓、漏洞非法利用等問題成為企業最為頭疼的信息安全問題。由于入侵者或入侵組織對企業的入侵行為往往混雜于正常的網絡活動之中，沒有地域和時間的限制，隱蔽性很強，而入侵的手段和工具也越來越趨向復雜化和多樣化，這給很多企業的信息安全造成巨大威脅。

不可忽視的是，部分企業人員流動頻繁，企業內部信息缺乏妥善保存，沒有形成嚴格的分層權限管理，很容易引起因員工的流失導致重要信息的泄露。同時，我國大部分企業缺少對信息安全方面的管理經驗，因而在正常的信息化應用情況下，往往會忽視對企業信息資產的保護。

更為重要的是，部分企業在信息化建設初期投入較低，技術力量薄弱。眾所周知，企業要想全面實施信息化，需要投入大量的人力、物力和財力，同時也要引進專業的IT人才。然而很多企業由于自身條件限制、資金短缺等問題，對信息化建設工作投入不大，信息化建設工作也不專業，信息安全更加無從談起。另外，即使對于重視信息化建設并且實力雄厚的企業來說，企業的注意力往往局限于信息化系統的硬件上。數據顯示，企業硬件的投資占到整個信息化投資的80%以上，而配套軟件投入以及專業人才的培養相對滯后。這些問題都造成了企業信息安全問題的短板。

據IDC調查報告顯示，全球有近80%的企業存在著信息安全與風險問題。在報告所調查的公司中，進行網絡常規安全檢查的公司不到一半，只有30%的公司具有跟蹤用戶訪問的能力，30%的公司使用加密技術進行數據傳輸。信息安全問題大都來自于企業內部，信息泄密很多時候源于信息安全管理不善。

關于企業信息安全的思考

我國國家信息安全戰略的總體目標是：提高信息化建設能力，控制和化解信息化進程中出現的問題與風險，創建安全健康的網絡環境，保障和促進信息化發展，保護公眾利益、維護國家安全。建立和完善維護國家信息安全的長效機制，掌握國家信息安全的戰略主動權。

針對我國的實際情況，僅僅依靠企業自發地去建設信息化及其安全意識是不夠的，發達國家的經驗已經證明：在企業信息化建設過程中，政府的支持、鼓勵與引導至關重要。政府的作用主要是改進和完善企業信息化建設的環境，包括信息化基礎設施建設、配套體系的建立和完善、信息安全相關法律法規的制定等，從而為企業信息化建設工作及其信息安全管理營造一個良好的環境，確保企業核心信息受國家法律保護而不受侵害。

在企業信息化建設過程中，要通過對企業領導與計算機管理骨干技術人員的培訓，加強相關人員對信息安全的認識，提高專業人員的技術水平。通過前期對信息安全的整體規劃，制定企業信息安全制度，為企業信息安全管理奠定基礎。在信息安全投入方面要從企業的實際情況出發，首先要對企業的信息安全有一個系統的評估，弄清楚企業需要對哪些方面進行保護？對哪些方面進行重點保護？企業的核心信息是什么？搞清楚這些問題后，有針對性的制定信息安全管理辦法，結合企業信息安全制度，對企業的核心信息進行分層級權限管理，配合企業信息從輸入、使用、輸出過程的安全管理, 以最小的投入，確保企業信息安全。

企業在信息化建設中的信息安全問題有著廣泛的內容，信息安全系統的建設管理、維護是一項系統工程，涉及多個方面、多個部門。目前，企業的信息安全問題主要以防范為主，信息安全建設從管理開始，結合企業的實際情況制定系統有效的信息安全制度是企業的當務之急。

在信息時代,有效的企業信息安全管理對企業的良好運作至關重要,在具體的實施過程中，企業信息安全工作需要從前期安全策略的具體制定、中期信息安全解決方案的選擇與實施、后續的信息安全的修復、跟進等多方面、全方位予以重視，并作周到細致的考慮。信息安全建設是伴隨著企業信息化建設的一個長期過程。

企業要保持健康可持續性發展，信息安全是基本保證之一。隨著信息環境的日益惡化以及企業自身的不斷發展，越來越多的信息安全事件層出不窮，信息安全問題已經被企業提上議事日程，企業管理者也逐漸走出以往的誤區，并加大對信息安全的投入。信息安全管理成了企業首要任務之一，越來越多的中小企業也紛紛加入到這個日益龐大的隊伍中來。在不久的將來，信息安全作為企業生存和發展的關鍵因素，將被更多的企業所關注。