探討信息安全保障的常見策略及發展

摘 要：計算機的應用已逐步滲透進企業的辦公當中，并逐漸成為關鍵的辦公手段，然而正是這種應用的高效率發展促使企業面臨諸多的信息安全問題。如何正確的為信息安全提供保障，認識威脅信息安全的方式是本文討論的重點。

關鍵詞：信息安全 網絡 管理 保障機制

中圖分類號：C931.6 文獻標識碼：A 文章編號：1672-3791（2013）07（a）-0011-02

隨著科學技術的不斷進步，計算機的應用已逐步代替原有的辦公方式而被所有的企業所廣泛應用。計算機進入到企業當中，為企業減少了人力物力的浪費，減少了人工辦公所產生的不必要的失誤，也為工作提升了效率。在信息存儲的過程中也可以實現無紙化的信息存儲模式，以取代大量資料的實物化存儲導致的資料丟失和資料磨損，不易檢索等的問題。可以說，網絡和計算機的普及為企業的發展提高了效率，但隨之而來的信息安全問題也被提升到了一個新的高度。信息安全保障體系的建立也成為企業關注的角點，保障信息的安全對于企業來說早已成為企業經營管理當中的一個重要組成部分。企業的信息是企業業務開展和維護的基礎，如果企業信息存在著威脅的話，可能導致企業業務信息的流失和企業業務的持續性面臨重大的損失。當然，對于制造業來說，企業信息的安全受到威脅的話，可能導致新開發的產品被人模仿而失去了企業在市場競爭中的優勢，喪失了企業本應該有的競爭力。所以，在制造業的企業經營管理當中，構建信息安全保障體系變得更加重要。本文將從兩方面對于信息安全進行論述，首先是找出威脅信息安全的常見因素，然后根據威脅的因素提出常見的維護策略。

1 威脅信息安全的常見因素

在威脅信息安全的常見因素里，進行劃分，根據其應用存儲的特性我們可以將其劃分為管理信息安全的威脅和網絡信息安全的威脅兩個方面。

1.1 管理信息安全的威脅

其實，管理信息安全的劃分是基于網絡的。除去網絡因素的影響，其他方面的安全就都可以歸于管理信息安全。而管理信息安全在信息安全當中是非常重要的。從各種關于信息安全的數據當中可以知道，在管理信息安全中所存在的威脅比例已占到信息安全威脅的70%，而網絡信息安全存在的威脅則只占到信息安全威脅的30%。正所謂“三分靠技術，七分靠管理”，可以想象管理信息安全的重要性。在管理信息安全的威脅當中也可以將威脅劃分為兩個方面，物理層方面的信息安全威脅和管理層方面的信息安全威脅。

（1）物理層方面的信息安全威脅。

物理層方面的信息安全主要是包括合同資料檔案存儲的安全、機房建設管理的安全、企業環境安全以及物理安全控制等幾個方面。物理層方面的信息安全其實就是企業信息安全構筑的基礎，對于物理層方面的信息安全存在的威脅，大致包括自然災害對信息安全構成的威脅，機房建設之初系統設置的不全面和后期管理人員操作和管理的不規范，機房環境存在不利因素，機房管理制度不夠完善，以及防火防盜安全工作的關注力度、執行力度和管理力度不夠等方面。

（2）管理層方面的信息安全威脅。

管理層方面的信息安全威脅與物理層方面信息安全的管理是分不開的，它主要是指企業對企業內部員工在信息安全上的管理。其中包括信息安全的管理制度建立，企業內部員工信息安全培訓，企業內部員工在人員和部門間合理的組織規劃，信息安全技術人員的技術含量等。在這幾個方面所存在的問題是構筑信息安全應該重點關注的問題，信息安全管理制度的不完善，企業內部高層對于信息安全管理的認識不夠，企業內部員工沒有對信息安全產生足夠的認識，對于企業內部機密沒有做到保密的態度，各部門的分工不明確，信息安全的技術人員技術能力不夠等都是管理層因為管理的不完善而導致的信息安全威脅。

1.2 網絡信息安全的威脅

在網絡信息安全中也可以大致分成三個部分，網絡層的信息安全，系統層的信息安全以及應用層的信息安全。

（1）網絡層的信息安全。

主要是包括網絡上的信息以及設備的安全性能。其中可細化為網絡層身份的認證，系統的安全，信息數據傳輸過程中的保密性，真實性和完整性以及網絡資源的訪問控制等。而這些網絡層的信息安全出現問題，可能導致有網絡黑客的侵入，計算機犯罪，信息丟失，信息竊取等威脅的存在。

（2）系統層的信息安全。

造成系統層信息安全威脅的原因，可能出在兩個方面：一是操作系統本身就存在安全隱患；二是在配置操作系統的過程中存在配置缺失的問題。

（3）應用層的信息安全。

在應用層所產生的影響信息安全的問題上，基本上是指應用軟件以及一些業務往來數據的安全，例如即時通訊系統和電子郵件等。當然，也包括一些病毒的入侵，對系統所造成的威脅。

2 信息安全維護的常見策略

根據上面所敘述的在信息安全管理維護中存在的安全隱患，可以將其進行有效的總結從而提出正確的解決、維護策略。

2.1 管理信息安全維護的常見策略

（1）物理層方面信息安全維護的常見策略。

根據上面所列明的關于物理層存在的問題，可以歸結為兩個方面：環境安全和機房建設管理安全。

①環境安全，可以分為防火安全，防水安全，自然災害安全和物理安全等。企業應該有效的對這方面災害進行防護和部署。

②機房建設管理安全，主要是指對設備安放環境進行嚴密的規劃以達到有效保護。在機房建設上必須要盡量的避免腐蝕性和易燃易爆物品的存在，將機房建設在安全的地方。機房的設計上必須能夠做到防火防水等，以免造成機房內設備的損壞。設計機房電源時必須使用不間斷電源保證電源電壓的穩定，以防止突然斷電對機房內設備造成的損害。

（2）管理層方面信息安全維護的常見策略。

其實，管理層的信息安全主要就是指企業內部人員管理的安全。在一個企業當中必須要有一個完善的信息安全管理機制，這是企業發展的必然。所以在企業管理當中，必須首先要在管理層明確信息安全管理的重要性，要具備信息安全管理所應該具備的態度。其次則要建立一個信息安全管理的目標，一套完整的信息安全管理制度。在整個企業管理當中要有一個總的信息安全管理制度，其次在信息技術人員管理當中也要有自己的信息安全管理制度，其次是IT部門和其他的一些部門都要具備適合的管理制度，形成信息集成化的管理模式。

之后要在企業內部員工心中形成信息安全的意識，在保密協議的簽署上做好完善的規劃，在企業內部員工關于信息安全的培訓也應該有計劃的進行階段性的教育以增加員工對于信息安全觀念的確立。

最后，應該將各部門的分工進行明確，不要將整個工作流程都分配給一個部門，這樣可能會導致出問題時會影響到整個企業的運營。應該將各工作流程細化進行分工，以保證一方出問題不影響全局，并可以進行針對性的處理，減少麻煩，加快工作效率。

2.2 網絡信息安全維護的常見策略

通過上面對于網絡信息安全威脅的敘述，我們已經了解在網絡信息安全當中會出現的問題。對此，本段將重點講述在網絡信息安全維護中幾個常見的策略。

（1）防火墻防御策略。

對于防火墻的認知應該是每個企業所具備的，它可以有效的將一些危險性的信息進行過濾隔離，從而保證計算機系統的正常運行。對于防火墻要進行安全方案的配置，通過防火墻中心的統一安全控制（口令、加密、身份認證等）進行管理，不需要分散到各個機器上去管理。所以對于管理防火墻中心的技術人員的技術含量一定要做到可以勝任。

（2）密碼的防御作用。

無論是在中心控制機房還是各個員工所用的計算機上，都應該設有密碼，并且密碼應具備復雜特性，如字母、數字、特殊符號的組合等，通過強密碼的設立能夠有效的防范人為行為的信息丟失和信息失真情況。

（3）入侵監測系統的防御策略。

入侵監測系統可以說是防火墻系統的后續支持，它可以有效的對于網絡活動中信息進行監測。它具有主動的行為，可以主動的對自己進行免受攻擊的保護。與防火墻相配合，使企業網絡能夠具備強大的防御功能。

（4）設立自己的虛擬專用網的管理策略。

構建自己的虛擬專用網可以有效的增加網絡的防御功能，并且能夠規范化企業內部員工的工作，避免員工工作中無意義的網絡閑聊，也可以有效的阻止信息的外泄。

（5）病毒的入侵防御策略。

也許企業內部可以有效的通過殺毒軟件來保證企業網絡系統的操作安全。但員工在運用向U盤之類的東西就可能將其他計算機上的病毒帶到企業內的計算機上造成病毒的入侵。對此，企業應該加強對員工信息安全的教育，以保證員工對于信息安全嚴重性的了解。IT部門的人員也應該定期對員工計算機進行檢測，以確保計算機不受病毒侵害。

3 結語

信息安全已經成為社會上關注的話題，如何保住企業獨有的核心機密，保證信息的有效性和完整性成為企業關注的焦點。本文通過對于威脅信息安全的問題進行分析，并提出企業構建信息安全保障機制的常見策略以保證企業在信息安全方面可以做到長足發展。

參考文獻

[1] 吳昱.淺析信息安全保障體系[J].江西通訊科技，2012（3）.

[2] 張杰，梁旭輝.關于企業信息安全保障體系建設的探索[J].科技創新與應用，2012（9）.

[3] 張金輝，王衛，侯磊.信息安全保障體系建設研究[J].計算機安全，2012（8）.