企業信息安全管理

李 巖

（中鐵隧道集團有限公司，河南 洛陽 471009）

0 前言

現代社會飛速發展的計算機及網絡技術，尤其是以智能手機為載體的移動互聯網的迅猛發展，為社會大眾帶來便利的同時，信息的安全逐漸擺在人們面前，各種軟件賬號和密碼、操作系統漏洞、地理位置信息、病毒木馬等等，都對當今企業的信息工作帶來巨大挑戰。為提升全集團信息安全防護管理水平，根據《建筑施工企業信息化評價標準》等國家標準和總公司相關信息安全文件要求，我單位信息安全管理工作必須按計劃有序開展。

1 提升員工信息安全意識

隨著信息化建設的不斷深入，尤其是信息系統面臨開放的互聯網環境，信息安全面臨著嚴峻形勢：各種潛在的病毒、木馬攻擊、門戶網站的攻擊、機密文件的泄密等，對于這些潛在的安全威脅，每個員工應轉變觀念，摒棄“信息安全與我無關”的觀念，走出“有了防火墻就可以保護信息安全”的誤區；信息安全不僅和信息化管理部門相關，更關系到每個員工的信息隱私和企業的安全保護，各級信息化管理部門應加強信息安全意識的宣貫，定期開展信息安全知識培訓和保密工作，努力促進全員信息安全意識的提升。

2 健全組織機構，建立信息通報機制

各子分公司應明確分管領導和主責部門，指定專人負責信息安全工作，并于每年1月9日、7月9日以前（或不定期）向集團公司報告本單位信息安全情況；集團公司將建立信息安全聯動機制，適時發布信息安全通報。

3 構建全方位的信息安全防護體系

3.1 強化網絡安全管理

3.1.1 子分公司層面的網絡安全管理，內網可進行分級、分層、分域管理，對內網信息系統及相應的局域網（業務專網）劃分為獨立可管理和控制的安全域。不同的安全域應采取相應的安全策略和保護手段。

內網信息系統利用公網（PSTN、ISDN、ADSL、DDN、X.25、幀中繼、ATM、SDH等）進行遠程傳輸時，必須使用VPN技術和IP密碼機實行加密處理。

3.1.2 項目經理部網絡安全管理，鑒于項目經理部人員較少，應在網絡入口處安裝經過認證的行為安全管理軟件，加強對員工上網行為的審計，合理分配上網流量。

3.2 進行系統安全加固

3.2.1 通過部署統一的補丁升級系統、防病毒系統、漏洞掃描系統、網頁防篡改系統、存儲備份系統、容災系統，建立與應用相適應的安全策略，全面加強主機和應用系統安全。

3.2.2 各單位網絡管理員應不定期修改操作密碼，定期升級服務器防病毒軟件并查殺病毒，定期下載和安裝操作系統補丁，實時或定期備份服務器上的各種重要數據。

3.3 加強安全審計監控

3.3.1 建立健全監控、備份恢復、應急處理、安全審計、安全事件報告等工作制度。

3.3.2 各單位信息化部門通過監控機房、網絡、主機、應用、數據等運行狀態，主動發現安全隱患，及時采取相應措施，盡快恢復受影響或被中斷的應用服務。

3.4 加強終端及用戶管理

3.4.1 各單位網絡和信息系統建設必須按照國家非涉密信息系統等級保護和涉密信息系統分級保護的要求，進行定級、建設和管理，并根據防護等級采取相應的安全防護措施。

3.4.2 對內網用戶進入網絡的行為實行安全準入管理制度。安全準入行為管理包括便攜式計算機、臺式計算機、移動存儲介質、打印機等設備的注冊，外來軟件的安裝等。

3.4.3 子分公司若部署無線wifi網絡覆蓋，要對手機、pad等移動終端進行實名登記，包含設備名稱、型號、物理地址等。

3.4.4 內網用戶不得擅自更改內網計算機系統設置，如計算機名、IP地址、用戶名等。

3.5 有序配置信息安全保障設施

各單位應有序建立健全網絡安全基礎設施、邊界安全、計算環境安全、授權系統、安全目標評估準則等信息安全保障體系。

3.6 結合資質評審要求，相關子公司建立健全機房及設備、信息系統安全、運行維護、信息化組織/采購/培訓/建設、數據采集、應用與績效、相關技術資料等管理制度并安全有效運行。

4 建立應急預案

為提高應對災難事件的處理能力，各單位應制定信息安全事件應急預案，并且將危機處理程序標準化、規范化；信息化管理部門應組織必要的應急演練，防患于未然。

5 保障信息安全，應注重細節問題，采取管理及技術手段降低風險

5.1 機密資料打印時，特別是打印機出現故障時，打印文檔應及時取消打印，避免打印機故障恢復自行打印。

5.2 企業員工最好由專業人員對電腦進行一次全面安全檢查再使用。

5.3 辦公資料傳遞盡量使用OA即時通訊等辦公軟件傳遞，或使用存儲介質直接傳達，這樣比較安全。企業重要商務資料不宜使用QQ等工具傳遞。

5.4 公共電腦應及時刪除比較重要的文件，或使用其他存儲介質儲存、打開重要文件。

5.5 重要資料要做好異地備份，以防不測。

5.6 為保證安全，不定期更換登錄密碼、安裝殺毒軟件、防火墻軟件，再增加一道安全防線。

5.7 信息安全重在個人的安全意識培養，增強安全意識要從每個員工做起，養成良好的信息安全管理習慣，盡可能做到有備無患。

5.8 辦公使用電腦檢修時，應存儲介質備份完畢后，交給相關方修理。

5.9 無論何種類型的辦公電腦均應設立定時保護密碼，嚴防商務信息泄露。

5.10 各單位采購辦公電腦時，應由本單位信息化管理機構根據使用方的潛在需求，提出擬購電腦型號、品牌等建議，以規范企業信息化硬件設施建設。

6 結束語

總的來說，信息安全不僅僅是技術問題，同時也是一個安全管理問題。我們必須綜合考慮安全因素，制定合理的目標、技術方案和相關的配套法規等。世界上不存在絕對安全的網絡系統，隨著計算機網絡技術的進一步發展，信息安全防護技術也必然隨著網絡應用的發展而不斷發展。

[1]陶陽.計算機與網絡安全[M].重慶：重慶大學出版社，2005.

[2]馮登國.計算機通信網絡安全[M].北京:清華大學出版社，2001.

[3]陳斌.計算機網絡安全與防御[J].信息技術與網絡服務，2006（4）：35-37.