企業信息安全管理體系研究

徐洪峰 陶志勇

摘? 要：隨著信息技術的發展，信息安全形勢日益嚴峻，如何做好信息安全的保障工作，是各行各業的重要課題。技術和管理是信息安全研究的兩個方向，所謂“三分技術，七分管理”，單靠技術難以保障信息的安全，重點還是在管理。文章陳述了信息安全的內涵，分析了國內外信息安全的研究現狀，提出了從安全意識提升等5個方面構建企業信息安全管理體系，確保企業的信息安全得到有效保障。

關鍵詞：信息安全;信息安全管理;安全漏洞掃描;網絡安全

中圖分類號：TP309? ? ? 文獻標識碼：A 文章編號：2096-4706（2020）17-0139-04

Abstract：With the development of information technology，the information security situation is increasingly serious. How to improve the information security is an important topic in all walks of life. Technology and management are the two directions of information security research，just as the saying goes：“30% technology，70% management”，technology alone is difficult to guarantee the security of information，and the focus is still on management. This paper presented the connotation of information security，analyzed the current research status on information security at home and abroad，and puts forward the construction of information security management system of enterprises from five aspects，such as the promotion of security awareness，to ensure the effective protection of enterprise information security.

Keywords：information security;information security management;security vulnerability scanning;network security

0? 引? 言

20世紀中葉，在信息論、控制論、計算理論的支撐和指導下，信息科學技術得到了突飛猛進的發展。當前，信息已成為最具活力的生產要素和最重要的戰略資源，以網絡為核心的信息系統成為國家的重要基礎設施。

信息安全是信息的影子，哪里有信息，哪里就有信息安全問題[1]。信息技術的不斷發展，使得信息安全問題也日益突顯，該問題已對政治、經濟、軍事等各方面造成嚴重的危機。2016年美國總統大選系統被俄羅斯黑客入侵，大選結果受到干擾;2017年5月12日全球爆發WannaCry勒索病毒，至少150個國家、30萬用戶中招，造成損失達80億美元;美國在兩次海灣戰爭中實施了信息戰。由此可見，信息安全已成為影響國家安全、社會穩定和經濟發展的決定性因素之一，其也是當前世人關注的社會問題和信息科學與技術領域的研究熱點。

國際上對信息安全的研究起步較早，投入力度大，已取得了許多成果。我國也有一批專門從事信息安全基礎研究、技術開發與技術服務工作的研究機構與高科技企業，形成了中國信息安全產業的雛形。2014年2月27日，國家成立了中央網絡安全和信息化領導小組，習近平總書記親自擔任組長，扎實推進網絡安全和信息化工作，網絡信息安全進入一個新的發展階段。

筆者從事網絡與信息安全教學和研究工作，也為一些企業提供信息安全相關的保障服務，本文根據自身經歷分享心得，希望能起到拋磚引玉的作用。

1? 信息安全的內涵

信息作為一種資源，具有普遍性、共享性、多效應性等特點，對于人類有著特別重要的意義，因此信息安全的保障問題備受社會的關注。信息安全的實踐幾千年前就已出現，如手工階段密碼技術應用[2]，20世紀50年代，科技文獻中開始出現“信息安全”一詞[3]，時至今日，信息安全的定義仍沒有統一的標準，但人們對信息安全的理解大致相同。美國將信息安全的宣言寫入法典，定義了信息安全，指保護信息和信息系統免受未經授權的訪問、使用、泄露、修改或破壞，以確保信息的完整性、機密性和有效性[4]。在國內，比較認可的信息安全定義是指信息系統（包括硬件、軟件、數據、人、物理環境及其基礎設施）受到保護，不因偶然的或者惡意的原因而遭到破壞、更改、泄露，系統連續、可靠、正常地運行，信息服務不中斷，最終實現業務的連續性。信息安全主要包括信息設備安全、數據安全、內容安全和行為安全4個方面[5]，在不是很嚴格的情況下，信息安全也指網絡安全。

2? 信息安全研究現狀

信息安全關乎國家興亡、社會穩定、經濟發展、人民安居樂業，其重要性不言而喻。信息安全是一個新興的領域，但已有大量專家學者從事該研究，且成果顯著。歸結起來，當前信息安全的研究集中在技術和管理兩個層面。

2.1? 信息安全技術研究

從理論上來看，技術越強，越能擺脫對國外技術的依賴，掌握話語權。擁有先進的技術，能防范風險、抵御攻擊，避免信息泄露，保障信息安全。相當一部分專家學者從事信息安全相關技術的研究，如從技術層面實現信息隱藏、信息加密、數字簽名、身份認證、防火墻、入侵檢測、入侵防御等等[5-7]。這些研究從技術的角度出發，以達到保證信息的完整性、機密性、有效性、可控性和可審計性的目的。

2.2? 信息安全管理研究

英國標準協會（BSI）于1993年立項、1995年出版了BS7799標準[8]，作為確定工商業信息系統在大多數情況所需控制范圍的參考基準，后經國際標準化組織（ISO）修改為國際標準，其目的在于為信息安全管理提供建議，旨在為一個機構提供用來制定安全標準、實施有效的安全管理時的通用要素，并使跨機構的交易得到互信。不少專家學者及團隊在國際標準的基礎上，研究政府、企業、事業單位的信息安全管理體系[9]，通過管理確保信息的安全。

隨著云計算、物聯網等技術的發展，云安全、物聯網安全的概念也孕育而出，這其實是信息安全在云計算和物聯網領域中的具體體現，研究內容也屬于技術和管理兩個方面。

3? 企業信息安全管理體系構建

所謂“三分技術，七分管理”，技術是關鍵，管理是核心。因此，要保證信息安全，技術不可忽視，管理更要加強。根據筆者的切身經歷，很多企業在信息安全方面存在諸多問題，如很多員工將設備密碼設置為簡單的“1”“123”等弱密碼，比較復雜的密碼卻用紙條貼在顯示屏上，他們覺得信息安全工作增加了麻煩，妨礙了正常工作;安全管理員工作在幕后，得不到領導的重視;有些企業信息安全技術力量薄弱，滿足不了基本的防御工作需要;企業缺乏考核機制，存在的信息安全問題得不到及時有效的處理。根據上述問題，從安全意識提升、網絡安全掃描、加強技術培訓、加強制度管理和成立領導小組五個方面考慮構建信息安全管理體系，如圖1所示。

3.1? 安全意識提升

意識具有能動性，正確的意識能夠指導人們有效地開展實踐活動，促進客觀事物的發展。加強宣傳，提升員工信息安全意識，充分利用主觀能動性，使員工自覺地關注信息安全，養成良好的生活和工作習慣。

信息安全管理員可以借助微信、短信、郵件等平臺和工具，提醒全體員工“人走電腦要鎖定，賬戶密碼需加強;文件儲存要加密，資料備份莫忘記”，提升員工預防信息泄露和破壞的意識。2017年WannaCry勒索病毒等事件對社會和經濟造成了巨大的無法挽回的損失，信息安全管理員應該及時向全體員工分享諸如此類的病毒入侵等信息安全案例、信息安全知識及防護措施，提醒大家不能掉以輕心、需時刻保持警惕;同時需要大家支持信息安全管理人員的工作，配合他們共同保障企業的信息安全。

3.2? 網絡安全掃描

網絡安全掃描是一種基于Internet遠程檢測目標網絡或本地主機安全性和脆弱性的技術。借助于第三方安全掃描工具和系統，如網絡嗅探（Network Mapper，Nmap）[10]、心臟出血漏洞檢測（CrowdStrike Heartbleed Scanner）等工具定期對全網進行安全掃描，以發現終端設備存在的弱口令、Web服務器開放的端口和服務、操作系統和應用軟件的版本及呈現出的安全漏洞。對存在的問題，按“誰主管誰負責、誰運營誰負責、誰使用誰負責、誰接入誰負責”的原則，通過郵件、電話通知相關部門、人員進行處理。

在信息化趨勢的驅動下，企業建設的信息系統結構復雜、設備種類較多，為方便管理，將設備按服務器、存儲設備、核心網絡設備、一般網絡設備和終端設備分類，信息安全管理員應定期對系統的漏洞、弱口令、病毒進行掃描，對存在有安全隱患的設備及時通知，督促具體部門按要求完成整改工作;并通過復核機制，檢查安全漏洞整改結果，確保安全漏洞真正得到有效修復。如圖2所示，使用CrowdStrike Heartbleed Scanner對網段10.155.225.48、10.155.227.180和10.155.227.181三臺主機的5091和5826端口進行掃描，發現10.155.225.48和10.155.227.180分別開放了5091和5826端口，存在OpenSSL TLS心跳擴展協議包遠程信息泄露漏洞。

現實情況下，企業信息安全技術力量薄弱，對于管理人員使用各種工具的能力，需要通過適當的培訓加以提升。

3.3? 加強技術培訓

培訓是企業提高員工素質并增強企業核心競爭力的重要手段。對于企業結構龐大、人員眾多的企業，負責信息安全的員工可以劃分成不同的層級，各司其職，共同完成企業的信息安全工作。當然，對不同層級的信息安全管理員，要區別對待，組織不同內容、不同深度的培訓。公司層面的信息安全管理人員學歷高、基礎好，可以安排系統的專業的培訓，學習新技術、熟悉新產品，如防火墻、入侵檢測系統（IDS）、入侵防御系統（IPS）等設備或系統的部署和配置，并能將新技術、新產品應用到企業實際系統當中，從宏觀層面建設安全的信息安全防護體系，達到保障信息安全的效果;對于部門層面的信息安全管理人員，不需要過于專業和深入的培訓，可以通過視頻會議講授一些基礎的操作技術，節約員工時間和企業成本，使他們在實際工作中具備系統漏洞掃描、終端安全加固等的能力即可，從微觀層面避免給外界攻擊、入侵提供可乘之機，如學習使用簡單的Nmap等掃描工具，對操作系統進行端口禁用等等。

3.4? 加強制度管理

無規矩不成方圓，制度的制定為管理工作提供有效的保障。信息安全制度有利于規范網絡信息安全管理工作，降低安全風險，提升防護能力，實現網絡信息安全管理的可知、可控、可管理。明確信息安全的重要性，規定維護人員的責任和義務，規范安全管理原則，做到各項生產環節嚴格按照信息安全管理辦法執行，以保障信息安全為前提，開展各項生產工作。如常態化信息安全巡查工作，定時進行網絡信息系統安全自查，建立應急突發事故應急機制，確保在最短的時間內解決問題，保持網絡暢通。通信網絡的特殊性，決定了信息安全是一個動態的防護過程，要做好信息安全工作的日常監督管理，形成良好的監督管理模式，促進信息安全工作貫穿于“事前預防、事中控制、事后處理”過程。

沒有制度的約束，廣大員工不支持、不配合、甚至不理會，安全管理員也就沒有動力和激情甚至不作為，安全管理工作自然不能落地。筆者所接觸的企業基本如此，弱密碼和密碼貼在顯示屏上的問題反復出現，可謂屢教不改。事實證明，制定管理制度，如通過績效考核機制強制員工各司其職，信息安全管理工作開展起來就更為順利。

3.5? 成立領導小組

組織建設的核心是團隊的建設，包括明確團隊的領導者、管理者、執行者，確定各級組織的職責和分工。讓各員工在團隊中各執其責，做好各自工作，提高團隊的凝聚力和戰斗力，以此力量指導信息安全管理工作。

某公司分級成立信息安全領導小組，借助領導的響應力和號召力，以總經理為組長，設立信息安全辦公室，配備信息安全管理人員和技術人員，組織搭建公司信息安全“保護網”，開展信息安全各項管理及生產職能工作。每次績效會上，該企業相關領導都會通報信息安全工作情況，強調信息安全的重要性，進一步提升員工的信息安全意識。受領導影響，信息安全工作在全企業得到貫徹落實。

4? 結? 論

企業為了生存和追求利益，會有或多或少的商業機密，還會有以各種方式獲取的消費者信息，信息安全管理工作必須落到實處。企業要履行好社會責任，落實好信息安全的保障工作，努力維護國家安全、社會穩定和客戶合法權益。當然，信息安全管理工作是一個長期的過程，需不斷研究和探索符合企業自身發展的新方法、新思路。

參考文獻：

[1] 張煥國，韓文報，來學嘉，等.網絡空間安全綜述 [J].中國科學：信息科學，2016，46（2）：125-164.

[2] 鄭東，趙慶蘭，張應輝.密碼學綜述 [J].西安郵電大學學報，2013，18（6）：1-10.

[3] 王世偉.論信息安全、網絡安全、網絡空間安全 [J].中國圖書館學報，2015（2）：72-84.

[4] Legal Information Institute. 44 U.S. Code § 3552. Definitions [EB/OL].（2014-12-18）.https：//www.law.cornell.edu/uscode/text/44/ 3552.

[5] 沈昌祥，張煥國，馮登國，等.信息安全綜述 [J].中國科學（E輯：信息科學），2007（2）：129-150.

[6] 蹇詩婕，盧志剛，杜丹，等.網絡入侵檢測技術綜述 [J].信息安全學報，2020，5（4）：96-122.

[7] 韋小剛.基于nDPI的輕量級入侵檢測與防御系統的設計與實現 [J].計算機應用與軟件，2019，36（8）：317-319+333.

[8] 張敏情，周能，劉蒙蒙，等.同態加密域可逆信息隱藏技術研究 [J].信息網絡安全，2020，20（8）：25-36.

[9] 秦天保，方芳.基于BS7799構建企業信息安全管理體系 [J].情報雜志，2004（2）：18-20.

[10] 曹雪峰，尚宇輝，傅冬穎.基于虛擬網絡的入侵防御系統實驗設計與實現 [J].實驗技術與管理，2017（5）：109-114.

作者簡介：徐洪峰（1985—），男，漢族，湖南耒陽人，網絡工程師，信息安全工程師，碩士研究生，研究方向：計算機網絡、網絡與信息安全;陶志勇（1980—），男，漢族，湖南寧鄉人，副教授，高級工程師，碩士，主要研究方向：網絡通信、企業信息化、教學改革。