新形勢下創建信息安全體系淺探

陳茂華

[摘 要] 21世紀是信息技術高度發展的時代。隨著市場競爭的日益殘酷，企業所面臨的挑戰與困難越來越多，在這樣的形勢下，企業能否保持自己的生命力，信息安全至關重要。目前，企業的信息安全技術已從單一技術轉變成信息綜合技術。由于時代的要求，企業將建立一個嶄新的信息安全體系，不僅可以確保企業信息的安全，還可以確保信息的傳遞及時、高效。在當前形勢下，信息安全體系應當如何創建，就是本文所要探討的問題。

[關鍵詞] 信息技術；安全體系；信息系統

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2014 . 21. 056

[中圖分類號] TP393.08 [文獻標識碼] A [文章編號] 1673 - 0194（2014）21- 0075- 02

1 信息安全體系的作用

由于信息技術日益發展，信息系統已經變成了一種至關重要的信息交換工具；同時，企業也越來越離不開信息資源。但是，因為計算機網絡自身具備著多種特性，如多樣的連接形式、散布不均的終端設備，開放度過大以及極強的互聯性等，又加上難以避免的技術弱點以及其他人為因素，造成信息系統極易遭到計算機病毒、黑客以及某些惡意軟件的攻擊，從而導致信息被損毀或被盜取，最終導致信息系統的堅固性遠不及傳統的實物資產。在如此背景之下，企業就不得不需要提升自身信息安全管理的水平。而且企業當前并非純粹面對著信息安全方面的難題，它還面對著其他諸多難題，如經營是否合法、系統是否適用、 銷售能否長久等。所以，應構建一套健全的系統，借此高效地確保信息系統的整體安全。

2 信息安全管理體系的創建

2.1 安全技術系統

安全技術系統以網絡信息安全管理平臺作中樞，以物理安全作前提，其包括全方位的安全設置，比如服務器安全、運用安全、網絡安全、數據安全、用戶安全以及終端安全等。

2.1.1 服務器安全

服務器安全風險的來源一般包含如下幾類：服務器出現單點毛病、功能欠缺、CPU運行不堪負荷以及病毒襲擊等。

服務器安全管理的任務是嚴密監管各類應用服務器及數據庫服務器，保障其安全平穩工作。提升服務器的安全性能，應當從以下幾方面入手：加固主機；加強主機的安全性能；監管服務器的整體安全情況；檢查安全基線的具體情形。

2.1.2 運用安全

運用安全一般是根據各類安全產品設置監管標準與使用規范，不僅審計用戶的每一操作的安全性，而且對全程操作實施記錄，實現事后審計，同時做到有據可查，給安全標準的制定與監管提供一定的數據條件。

2.1.3 網絡安全

網絡安全體系面對的風險一般包含兩種。其一，來源于信息體系內的風險，公司內部職員也許由于無意過失，或者是由于故意而借助某些技術方式等越權利用或盜用信息體系內部的計算機、網絡設施、業務體系以及中心數據，導致信息體系呈現不平衡的運行狀態，最終形成程度不一的損害。其二，來源于信息體系外的風險，公司信息網絡直接連通至互聯網，互聯網中的某些惡意機構或個人也許依靠某些不法手段，攻擊或滲入信息體系，從而對信息體系的正常運行造成一定程度的損害。

因此，網絡安全保護需從多方面入手加以設計與安排，如管控網絡訪問數量、監控網絡安全、監管遠程接入、加強互聯網安全等。針對網絡構造與性能以及業務的不同要求，借助防火墻設置內外網，把網絡分割成多個性能區域，同時對每個性能區域的訪問權限實施嚴密監管。

2.1.4 數據安全

對于信息安全而言，數據安全是重中之重，不但要求注重數據庫的本地存儲、備份以及高可用技術，而且更重要的是需防止數據泄露。根據美國犯罪現場鑒證科的研究表明：在現存可用的安全技術中，以數據加密傳送與存儲為前提的技術運用所占的比重高達65%，數據加密技術已變成了一種極具發展前景的運用技術。由于各類攻擊所導致的經濟損失巨大，當前企業對于機密信息的安全保護情況更加重視。所以，信息偷盜事件的主謀已并非純粹的網絡黑客或惡意程序，越來越多的數據資料是由公司及組織內部的職工所泄露或偷盜。對比過去的外部偷盜，這一由于內部人員所導致的信息風險更具針對性與潛伏性，企業也更易遭受重大損失。

2.1.5 用戶安全

用戶安全通常是對用戶的身份實施一致管理，統一授權與審計。

2.1.6 終端安全

終端安全關鍵是完成防病毒、域管理的整體覆蓋，并對域終端采取規范化管理，在所有域中統一使用防病毒、域管理以及補丁管理體系。

2.2 安全管理系統

企業的信息安全體系的建設小部分依靠技術，大部分依賴管理，技術為管理服務。安全管理系統涵蓋安全戰略系統、組織系統以及運營系統。其中，戰略系統的任務是擬訂安全方針與整體戰略，建立安全管理體制，制定與梳理安全技術標準，同時設立標準的安全體系操作規程。而組織系統的任務是創立專門的安全組織部門，實施安全考核與評價，開設安全教育培訓課程，并實施第三方管理等。運營系統的任務是監管安全產品運作的整體過程，比如安全監管、危機管控等。

2.3 信息安全體系建設模式

一個公司的信息安全體系是否健全，涉及安全技術系統與安全管理系統的整體性構建，不管哪一系統不健全都將導致重大的安全危機。

對于一個公司的整體經營運作而言，信息安全體系的構建必須具備如下內容：公司管理層需要高度關注公司的整體安全；制定明確的公司發展戰略與銷售目標；構建健全的信息安全運作系統；依據全球公認的規范實施信息安全管理和經營，逐步實現信息安全監管普遍化、運行參數規范化、信息安全保障系統化；創建一套持續改良的程序，不斷鑒別新危機、監管新風險，從而做到事前防御、事中監管與事后審計，最終防止信息事故的出現。

3 結 語

公司的持續發展離不開各類業務活動的有序開展，而公司所有業務活動開展的前提是信息化。信息體系能否平穩、安全、高效運行，對公司的一切業務活動的健康開展有著直接影響。所以，應創建一套持續改良的信息安全系統運作體制，全面確保信息系統的高度保密性、完善性、適用性及可控性。

主要參考文獻

[1]王斌君.信息安全管理體系[M].北京：高等教育出版社，2008.

[2]陳昱.解析企業網絡安全現狀[J].大眾科技，2009（12）.

[3]謝宗曉.信息安全管理體系應用手冊[M].北京：中國標準出版社，2008.