淺議企業(yè)信息安全管理

金杰

摘 要：隨著改革開放的不斷深入以及經(jīng)濟(jì)的不斷發(fā)展，市場上各類企業(yè)的競爭越來越激烈，同時，近年來，企業(yè)的生產(chǎn)經(jīng)營與計算機(jī)網(wǎng)絡(luò)的聯(lián)系越來越緊密，企業(yè)的每一項業(yè)務(wù)都越來越離不開信息技術(shù)的支持。因此，在企業(yè)不斷提升競爭力的同時，越來越多的企業(yè)開始關(guān)注企業(yè)信息安全管理的工作，認(rèn)識到企業(yè)信息安全管理工作的重要性，并采取了一系列的措施維護(hù)企業(yè)的信息安全，但是經(jīng)過調(diào)查分析發(fā)現(xiàn)我國企業(yè)在信息安全管理工作上仍然存在較為嚴(yán)重的不足。為了更好地幫助我國企業(yè)實現(xiàn)科學(xué)的信息安全管理，本文首先分析威脅企業(yè)信息安全的幾點因素，并介紹了企業(yè)信息安全管理中常用的辦法，在此基礎(chǔ)上，對更好地實現(xiàn)企業(yè)信息安全管理提出幾點意見與建議。

關(guān)鍵詞：企業(yè)；信息管理；對策

一、引言

企業(yè)要想在市場當(dāng)中生存并發(fā)展，不僅僅要提升企業(yè)競爭力，還需要時時刻刻關(guān)注企業(yè)的信息安全。現(xiàn)代市場競爭十分激烈，只有做好企業(yè)的信息安全管理，才能避免企業(yè)因為信息管理的疏漏造成相關(guān)的損失。

近十年來，企業(yè)的生產(chǎn)經(jīng)營越來越離不開網(wǎng)絡(luò)，離不開計算機(jī)，企業(yè)的每一項活動都需要計算機(jī)與網(wǎng)絡(luò)的參與，企業(yè)的管理需要借助相關(guān)的計算機(jī)軟件，企業(yè)的銷售需要運(yùn)用到電子商務(wù)，企業(yè)的倉儲管理需要數(shù)據(jù)庫系統(tǒng)的支持，在企業(yè)感受到計算機(jī)帶來生產(chǎn)經(jīng)營便利的同時，企業(yè)也不得不重視由計算機(jī)網(wǎng)絡(luò)所帶來的信息安全問題。通過分析我國企業(yè)信息安全管理的相關(guān)資料，可以發(fā)現(xiàn)我國企業(yè)在信息安全管理上所做的努力顯然無法與西方企業(yè)相比，我國企業(yè)在信息安全管理這條路上還有很長的路要走。

我國企業(yè)在信息管理上起步較晚，同時受制于觀念，技術(shù)，人力等各個方面的因素，我國企業(yè)在信息安全管理上存在十分嚴(yán)重的漏洞。不僅如此，企業(yè)信息安全管理受到各方面的威脅，各類病毒層出不窮，釣魚軟件，木馬也防不勝防，我國企業(yè)信息安全管理所面臨的考驗十分嚴(yán)峻。企業(yè)的信息安全管理不僅僅是企業(yè)自身的事，企業(yè)是我國經(jīng)濟(jì)發(fā)展最重要的角色，倘若我國企業(yè)在信息安全管理上存在漏洞，這也將直接影響我國的經(jīng)濟(jì)發(fā)展，這并不是危言聳聽。

因此，加強(qiáng)我國企業(yè)信息安全管理勢在必行，必須采取有效的舉措提升我國企業(yè)信息安全管理水平。開展我國企業(yè)信息安全管理工作不僅僅需要政府的支持，企業(yè)自身也應(yīng)當(dāng)充分認(rèn)識到企業(yè)信息安全管理對于企業(yè)自身的重要性，企業(yè)信息安全管理并不是一件小事，理應(yīng)得到足夠的重視。下面本文將首先介紹影響我國企業(yè)信息安全管理的幾點因素，結(jié)合各種影響我國企業(yè)信息安全的幾點因素展開探討，在此基礎(chǔ)上，分析我國企業(yè)在信息安全管理中常用的手段，并通過借鑒國外優(yōu)秀企業(yè)在信息安全管理的經(jīng)驗，對更好地完善我國企業(yè)信息安全管理提出幾點意見與建議。

二、企業(yè)面臨的信息安全管理風(fēng)險

1.企業(yè)內(nèi)部管理缺陷

企業(yè)要想提升信息安全管理的水平，其中很重要的一個步驟在于完善企業(yè)的管理制度。企業(yè)的信息安全管理會受到許許多多的因數(shù)影響，但是做好企業(yè)信息安全管理的基礎(chǔ)在于提升企業(yè)的內(nèi)部管理水平。企業(yè)內(nèi)部管理的制度涉及到企業(yè)生產(chǎn)經(jīng)營的方方面面，倘若企業(yè)在內(nèi)部管理制度上存在缺陷，那么做好企業(yè)的信息安全管理也就無從談起了。常見的影響企業(yè)信息安全管理的制度缺陷有以下幾個方面。第一，企業(yè)對于企業(yè)內(nèi)部信息安全管理的工作人員缺乏監(jiān)督。企業(yè)信息安全管理必須建立在企業(yè)信息安全管理工作人員認(rèn)知履行職責(zé)，規(guī)范操作的基礎(chǔ)上，倘若企業(yè)對于信息安全管理的工作人員缺乏監(jiān)督，那么久很難保證企業(yè)整個信息安全管理系統(tǒng)的行之有效。第二，企業(yè)對于企業(yè)內(nèi)部信息安全管理工作人員缺乏培訓(xùn)，企業(yè)內(nèi)部并沒有指定相關(guān)的信息安全管理規(guī)章制度。要想完善企業(yè)的信息安全管理，就必須做到對企業(yè)內(nèi)部信息安全管理的每一個環(huán)節(jié)都一絲不茍，對每一個可能存在信息安全漏洞的地方都要嚴(yán)格管理，對每一項信息安全管理的工作步驟都做明確要求。要想確保企業(yè)內(nèi)部信息安全管理系統(tǒng)的平穩(wěn)運(yùn)行，只有從規(guī)范企業(yè)內(nèi)部信息安全管理的行為規(guī)范上著手。第三，企業(yè)內(nèi)部信息安全管理系統(tǒng)投入不足。這一點在我國大型企業(yè)上并不存在，我國大型企業(yè)擁有足夠的資金，足夠的人力資本，足夠技術(shù)投入，相比較于我國中小型企業(yè)，在信息安全管理工作上具有較大的優(yōu)勢。可是，我國大型企業(yè)畢竟是少數(shù)，我國中小企業(yè)的數(shù)量十分巨大，中小企業(yè)并沒有相應(yīng)的資金，人員，技術(shù)投入，中小企業(yè)受制于現(xiàn)實條件，在信息安全管理系統(tǒng)上所做的工作嚴(yán)重不足，我國中小企業(yè)在信息安全上所面臨的風(fēng)險十分巨大。

2.影響企業(yè)信息安全管理的外部因素

影響我國企業(yè)信息安全管理的外部因素有許多。常見的影響我國企業(yè)信息安全管理的外部因素包括病毒，木馬，釣魚網(wǎng)站等等。不論是誰出于怎么樣的目的破壞企業(yè)的信息安全，較為常見的手段也就是通過黑客攻擊企業(yè)的信息安全管理系統(tǒng)。我國企業(yè)在應(yīng)對黑客的攻擊時往往處于較為被動的局面，一方面，黑客屬于主動攻擊，主動攻擊的前提在于對于企業(yè)的內(nèi)部信息安全管理系統(tǒng)有著較為全面的了解，并且往往已經(jīng)掌握了企業(yè)內(nèi)部信息安全管理系統(tǒng)所存在的安全漏洞，另一方面，我國絕大多數(shù)企業(yè)在信息安全管理系統(tǒng)的投入有限，企業(yè)內(nèi)部信息安全管理的工作人員在技術(shù)手段上與黑客比較并沒有優(yōu)勢。即使企業(yè)內(nèi)部信息安全管理的工作人員最終能夠戰(zhàn)勝黑客，但是，由于缺乏完善的信息安全手段，對企業(yè)內(nèi)部重要的信息保護(hù)不足，黑客對企業(yè)的信息安全所造成的影響往往也是致命的。反擊黑客的攻擊行為往往具有滯后性，因此，即使戰(zhàn)勝了黑客，但是黑客對企業(yè)信息安全的攻擊行為往往已經(jīng)發(fā)生，企業(yè)必然會因此造成相應(yīng)的損失，在現(xiàn)代企業(yè)經(jīng)營管理信息化的背景下，這樣的攻擊行為對企業(yè)造成的損失往往是企業(yè)不能夠承擔(dān)的，很有可能影響一個企業(yè)最基本的生存。

三、完善企業(yè)信息安全管理的幾點建議

1.建立信息安全密碼

密碼技術(shù)近年來在應(yīng)用中不斷成熟，越來越多企業(yè)開始將密碼技術(shù)應(yīng)用到企業(yè)信息安全管理中去，這是一個十分正確的選擇。企業(yè)內(nèi)部信息具有重要價值，密碼技術(shù)是企業(yè)信息安全最為關(guān)鍵的一道屏障。密碼的形式十分多樣，企業(yè)應(yīng)當(dāng)根據(jù)自身情況正確選擇密碼的形式，密碼技術(shù)是一項十分成熟的技術(shù)，應(yīng)當(dāng)?shù)玫礁嗟年P(guān)注，并且將這項技術(shù)全面應(yīng)用到企業(yè)內(nèi)部信息安全管理當(dāng)中去。企業(yè)內(nèi)部信息得到密碼的保護(hù)，能夠在企業(yè)內(nèi)部信息不慎泄露后得到最大化的保護(hù)，對于企業(yè)內(nèi)部信息的密碼也應(yīng)當(dāng)嚴(yán)格保密，做好相關(guān)的密碼保護(hù)工作。

2.建立安全管理制度

企業(yè)信息安全管理制度的建立需要多方面的配合，同時，企業(yè)信息安全管理制度的建立是一項十分復(fù)雜的工作，必須在實踐的過程中不斷完善。建立企業(yè)內(nèi)部信息安全管理制度是為了更加規(guī)范地保證企業(yè)內(nèi)部信息的安全，也對企業(yè)內(nèi)部信息安全管理人員的工作內(nèi)容，工作步驟做了明確規(guī)定，這對于企業(yè)內(nèi)部形成信息安全管理的長效機(jī)制具有重要價值。企業(yè)信息安全管理制度應(yīng)當(dāng)與企業(yè)的實際生產(chǎn)經(jīng)營情況相結(jié)合，在盡可能不影響企業(yè)正常工作的前提下，對企業(yè)的信息安全作出明確規(guī)定。常見的規(guī)定包括定期組織企業(yè)內(nèi)部信息安全管理工作人員進(jìn)行信息安全的例行檢查；對企業(yè)內(nèi)部信息安全管理人員的工作做到全面監(jiān)督，有效反饋等等。

3.建立數(shù)據(jù)庫的備份與恢復(fù)機(jī)制

現(xiàn)如今，外界主動攻擊企業(yè)信息安全的事件越來越頻發(fā)，企業(yè)在被外界攻擊信息安全后所造成的損失往往無法挽回，同時這些信息對于企業(yè)具有十分重要的價值，倘若能夠及時恢復(fù)相關(guān)信息，能夠在很大程度上減小企業(yè)所遭受的損失，因此，建立一套基于數(shù)據(jù)庫信息備份與還原的信息安全管理機(jī)制十分重要。企業(yè)內(nèi)部信息系統(tǒng)數(shù)據(jù)庫的備份，可以有效保障企業(yè)信息系統(tǒng)非法入侵后的系統(tǒng)恢復(fù)工作。備份是對數(shù)據(jù)庫內(nèi)容保護(hù)最為穩(wěn)定和容易的一種方法。當(dāng)不穩(wěn)定因素發(fā)生的時候，能夠保證企業(yè)網(wǎng)絡(luò)信息的正常運(yùn)行。而恢復(fù)的理解，就是在不限定因素發(fā)展之后利用網(wǎng)絡(luò)技術(shù)的備份功能用來對數(shù)據(jù)庫內(nèi)容進(jìn)行重新恢復(fù)并正常使用的功能。

4.建立網(wǎng)絡(luò)安全預(yù)警系統(tǒng)

一般這種情況可以分為人為預(yù)警和病毒預(yù)警兩個方面。 在電腦中的重要位置安裝上網(wǎng)絡(luò)入侵監(jiān)測體系，可以便于對電腦的技術(shù)和安全性在發(fā)展危害行為或改變。入侵監(jiān)測體系還能通過設(shè)立在固定時間對制定要求的位置進(jìn)行監(jiān)督和控制，判斷哪些系統(tǒng)是具有危害性的，但是防火墻還不能夠準(zhǔn)確判斷的系統(tǒng)。主要針對的是從企業(yè)內(nèi)部管理出現(xiàn)漏洞后對自身安全系統(tǒng)的“侵略”行為。而病毒預(yù)警系統(tǒng)通常是采用對企業(yè)內(nèi)部網(wǎng)絡(luò)的全部數(shù)據(jù)進(jìn)行監(jiān)督監(jiān)控的行為，確保在一天每個時間段內(nèi)都對數(shù)據(jù)包傳送掃描一旦發(fā)展病毒就要馬上進(jìn)行危險信息提示，使得相關(guān)工作人員可以很快的通過定位查找的方法找到病毒的發(fā)出地。同時，在短時間內(nèi)陸續(xù)產(chǎn)生通過快速掃描出來的網(wǎng)絡(luò)日志和調(diào)查報告，為企業(yè)專業(yè)人員查找病毒具體來源提供便利條件。

5.建立信息安全風(fēng)險評估機(jī)制

建立企業(yè)內(nèi)部的信息安全風(fēng)險評估機(jī)制對于完善企業(yè)內(nèi)部信息安全管理工作同樣具有重要意義。定期對企業(yè)內(nèi)部信息安全進(jìn)行風(fēng)險評估，能夠幫助企業(yè)更好地做好企業(yè)內(nèi)部信息安全的預(yù)防工作，能夠幫助企業(yè)更準(zhǔn)備地了解企業(yè)經(jīng)營管理過程中信息安全管理存在疏漏的地方。通過建立企業(yè)內(nèi)部的信息安全風(fēng)險評估機(jī)制，對于幫助企業(yè)從制度與技術(shù)兩方面完善企業(yè)內(nèi)部信息安全管理制度具有重要意義。具體而言，建立企業(yè)內(nèi)部信息安全風(fēng)險評估機(jī)制需要做到以下兩個方面的工作。一方面，在企業(yè)各個層次建立一個風(fēng)險指標(biāo)系統(tǒng)，設(shè)計一個風(fēng)險計算模型來計算出企業(yè)的基本風(fēng)險值，通過對企業(yè)各個層次上的風(fēng)險評估來對企業(yè)整體固定的風(fēng)險狀況進(jìn)行反映。另一方面，主要針對業(yè)務(wù)操作過程中風(fēng)險因素的復(fù)雜情況，在業(yè)務(wù)操作方面也建立一個風(fēng)險指標(biāo)系統(tǒng)、同樣用設(shè)計的風(fēng)險計算模型來計算出該企業(yè)的實時風(fēng)險值，該方面的風(fēng)險評估測試主要是為了對業(yè)務(wù)部門運(yùn)行過程反映。由于業(yè)務(wù)活動操作面臨的風(fēng)險是動態(tài)的且是復(fù)雜的，因此對其進(jìn)行W金評估的操作頻率要高，只要通過這套風(fēng)險評估體系的實施，企業(yè)就可以清楚掌握和及時了解企業(yè)自身的整體信息安全風(fēng)險程度，從而提高企業(yè)的信息安全管理的水平。

參考文獻(xiàn)：

[1]焦洪濤.中小企業(yè)信息安全管理策略研究[D].西安理工大學(xué)，2009.

[2]李慧.信息安全管理體系研究[D].西安電子科技大學(xué)，2005.

[3]梁軍.湖南電信公司內(nèi)網(wǎng)信息安全體系建設(shè)的研究[D].湖南大學(xué)，2007.

[4]陳科.信息系統(tǒng)安全風(fēng)險評估研究[D].華東師范大學(xué)，2009.

[5]韓穎.國稅部門信息系統(tǒng)網(wǎng)絡(luò)安全分析與策略[D].北京郵電大學(xué)，2010.

[6]崔健，李冰.基于企業(yè)社會責(zé)任視角的日本企業(yè)信息安全分析[J].現(xiàn)代日本經(jīng)濟(jì)，2011.