摘 要
自上世紀(jì)末國(guó)家大力促進(jìn)企業(yè)信息化建設(shè),鼓勵(lì)企業(yè)利用信息化技術(shù)改善自身經(jīng)營(yíng)活動(dòng)和企業(yè)管理。信息化的點(diǎn)點(diǎn)滴滴已經(jīng)滲透進(jìn)企業(yè)日常生產(chǎn)經(jīng)營(yíng)的各個(gè)角落。信息安全已經(jīng)成為促進(jìn)企業(yè)自身發(fā)展壯大的條件之一,誰(shuí)能抓住時(shí)代的脈搏在新的技術(shù)條件下將信息安全與企業(yè)管理高效融合.為企業(yè)走可持續(xù)化發(fā)展道路保駕護(hù)航,誰(shuí)就抓住了企業(yè)生存與發(fā)展的主動(dòng)權(quán),從而在知識(shí)經(jīng)濟(jì)和信息化高速發(fā)展的當(dāng)前,長(zhǎng)遠(yuǎn)生存發(fā)展壯大。隨著互聯(lián)網(wǎng)絡(luò)不斷深入到生產(chǎn)生活的各個(gè)方面,改變了傳統(tǒng)的生產(chǎn)模式,對(duì)促進(jìn)生產(chǎn)力的提高發(fā)揮著重要的作用。網(wǎng)絡(luò)安全也已成為維持日常經(jīng)營(yíng)活動(dòng)正常開(kāi)展的前提。網(wǎng)絡(luò)安全不僅僅是一個(gè)技術(shù)問(wèn)題,同時(shí)也是一個(gè)管理問(wèn)題。安全管理是企業(yè)管理中第一位的管理。企業(yè)安全管理,就是要消除安全隱患,使安全事故消除在萌芽狀態(tài)中。對(duì)于企業(yè)發(fā)展而言,管理信息安全是十分重要的問(wèn)題。因此分析網(wǎng)絡(luò)環(huán)境下信息安全管理中所存在的問(wèn)題,并提出適當(dāng)?shù)膶?duì)策。
關(guān)鍵詞:企業(yè)管理;網(wǎng)絡(luò)安全;信息安全管理
一、緒論
(一)研究背景和意義
1.研究背景
進(jìn)入二十一世紀(jì)的今天,隨著社會(huì)、經(jīng)濟(jì)和科學(xué)技術(shù)的飛速發(fā)展,計(jì)算機(jī)網(wǎng)絡(luò)在經(jīng)濟(jì)和生活的各個(gè)領(lǐng)域迅速普及。眾多企業(yè)為了提高辦事效率和市場(chǎng)反應(yīng)能力,也都紛紛依靠IT技術(shù)構(gòu)建企業(yè)自身的信息系統(tǒng)和業(yè)務(wù)運(yùn)營(yíng)平臺(tái)。在網(wǎng)絡(luò)環(huán)境下,企業(yè)獲得了信息共享、信息交流、信息服務(wù),改善了企業(yè)管理水平,提高了勞動(dòng)生產(chǎn)率,增強(qiáng)了企業(yè)的核心競(jìng)爭(zhēng)力。
然而,網(wǎng)絡(luò)是把雙刃劍。在帶給企業(yè)機(jī)遇與便利的同時(shí),網(wǎng)絡(luò)環(huán)境固有的開(kāi)放性、交互性、共享性和分散性,也造成了企業(yè)信息系統(tǒng)具有致命的脆弱性、易受攻擊性,一旦企業(yè)網(wǎng)絡(luò)遭到攻擊,企業(yè)信息泄露,甚至被人意改,就會(huì)給企業(yè)帶來(lái)不可估量的損失。因而,研究與防范網(wǎng)絡(luò)環(huán)境下企業(yè)信息安全問(wèn)題已迫在眉睫。在網(wǎng)絡(luò)越來(lái)越普及的當(dāng)今社會(huì),人們不論是生活當(dāng)中亦或是工作當(dāng)中都越來(lái)越依賴網(wǎng)絡(luò)。勒索病毒事件,可以說(shuō)是最具代表性的年度安全事件。事件中,黑客利用漏洞作為攻擊工具,將勒索病毒通過(guò)漏洞傳播,對(duì)用戶數(shù)據(jù)加密以實(shí)現(xiàn)敲詐,并利用比特幣支付等匿名互聯(lián)網(wǎng)技術(shù)躲避溯源跟蹤,展現(xiàn)出了一種極為高效的變現(xiàn)模式。
在過(guò)去的2017年,網(wǎng)絡(luò)安全進(jìn)入全新的“大安全”時(shí)代。2017年9月12日,網(wǎng)絡(luò)安全領(lǐng)域頂級(jí)峰會(huì)——第五屆中國(guó)互聯(lián)網(wǎng)安全大會(huì)(ISC2017)在北京國(guó)家會(huì)議中心盛大開(kāi)幕,本次大會(huì)的主題為“萬(wàn)物皆變,人是安全的尺度”。在大會(huì)開(kāi)幕式上,中國(guó)互聯(lián)網(wǎng)安全領(lǐng)域領(lǐng)軍人物、360公司董事長(zhǎng)周鴻祎發(fā)表主旨演講,周鴻祎表示,“我們正處于一個(gè)大安全時(shí)代。網(wǎng)絡(luò)安全已經(jīng)不僅僅是網(wǎng)絡(luò)本身的安全,更是國(guó)家安全、社會(huì)安全、基礎(chǔ)設(shè)施安全、城市安全、人身安全等更廣泛意義上的安全?!敝茗櫟t指出,隨著物聯(lián)網(wǎng)、車聯(lián)網(wǎng)和工業(yè)互聯(lián)網(wǎng)的發(fā)展,這些行業(yè)開(kāi)始成為網(wǎng)絡(luò)攻擊的目標(biāo),去年10月的美國(guó)互聯(lián)網(wǎng)斷網(wǎng)事件就是由惡意軟件控制了近百萬(wàn)攝像頭組成的僵尸網(wǎng)絡(luò),攻擊美國(guó)的DNS解析服務(wù)商造成的。另外在物聯(lián)網(wǎng)、車聯(lián)網(wǎng)和工業(yè)互聯(lián)網(wǎng)中開(kāi)始使用一些人工智能技術(shù),使用人工智能技術(shù)發(fā)展無(wú)人化的系統(tǒng),這些無(wú)人系統(tǒng)一旦被劫持,將帶來(lái)更多、更嚴(yán)重的安全問(wèn)題。
如今全球化在逐漸信息化、網(wǎng)絡(luò)普及,對(duì)人們的生活有著深遠(yuǎn)的影響,滲透至人們的生活工作當(dāng)中。隨之而來(lái)便是對(duì)于網(wǎng)絡(luò)環(huán)境的各種信息安全的問(wèn)題,人們不論是在手機(jī)上亦或是平板、電腦等電子設(shè)備上存儲(chǔ)的個(gè)人信息越來(lái)越注重隱私和保密,尤其隨著手機(jī)在線支付的普及一旦手機(jī)被盜取可能自身的資金財(cái)產(chǎn)都會(huì)受到影響。在企業(yè)中運(yùn)用網(wǎng)絡(luò)促進(jìn)發(fā)展時(shí),容易出現(xiàn)企業(yè)內(nèi)部信息泄露的狀況,這種情況一旦發(fā)生對(duì)于企業(yè)而言會(huì)造成嚴(yán)重的影響,更甚者對(duì)企業(yè)的生存產(chǎn)生威脅。企業(yè)內(nèi)部也如此,若出現(xiàn)網(wǎng)絡(luò)安全問(wèn)題,會(huì)影響到網(wǎng)絡(luò)環(huán)境的健康以及正常運(yùn)轉(zhuǎn)。所以對(duì)安全管理越來(lái)越重視,設(shè)置相應(yīng)的防范措施也是十分必要不可或缺的。社會(huì)趨向于網(wǎng)絡(luò)化能夠讓所有事散布的更快,信息共享的更快,既方便又便捷。在企業(yè)中利用網(wǎng)絡(luò)在這一方面的優(yōu)勢(shì)能夠發(fā)揮十分重要有效的作用,幫助企業(yè)更快的發(fā)展,更良好的管理信息管理企業(yè)內(nèi)部。但有好的一面必然有其缺陷,網(wǎng)絡(luò)技術(shù)當(dāng)中有一個(gè)十分棘手的問(wèn)題,那便是安全隱患。本文主要研究如何就安全隱患方面提出適合可行的防范對(duì)策以此解決這一問(wèn)題。
中石化也正是看到了這一點(diǎn),在近幾年加快了信息化建設(shè)的步伐。網(wǎng)絡(luò)也在不斷調(diào)整和優(yōu)化,幾乎每個(gè)加油站網(wǎng)點(diǎn)都被納入公司局域網(wǎng)之內(nèi);而且陸續(xù)投入使用了ERP系統(tǒng)、V20系統(tǒng)、視頻監(jiān)控系統(tǒng)、加油卡系統(tǒng)等。這些系統(tǒng)的推廣和使用對(duì)提高中國(guó)石化的生產(chǎn)、經(jīng)營(yíng)和管理水平發(fā)揮了很大的作用。隨著中石化信息化不斷深入,中石化網(wǎng)絡(luò)信息安全管理架構(gòu)的形成,既是企業(yè)業(yè)務(wù)需求形成的結(jié)果,也是網(wǎng)絡(luò)安全領(lǐng)域向全方位、縱深化、專業(yè)化方向發(fā)展的結(jié)果,無(wú)論從經(jīng)濟(jì)效益還是社會(huì)影響考慮,我們都應(yīng)該重視我們企業(yè)的網(wǎng)絡(luò)信息安全管理及系統(tǒng)建設(shè)情況。
2.研究意義
有利于網(wǎng)絡(luò)信息安全技術(shù)發(fā)展日益科學(xué)化,網(wǎng)絡(luò)信息安全技術(shù)逐步的科學(xué)化還是一個(gè)較為漫長(zhǎng)的過(guò)程,會(huì)在整個(gè)網(wǎng)絡(luò)發(fā)展的過(guò)程當(dāng)中存在。要想讓網(wǎng)絡(luò)信息安全技術(shù)真正的科學(xué)化,就要通過(guò)對(duì)數(shù)據(jù)進(jìn)行收集和分析,采用這樣的方式真正的達(dá)到讓網(wǎng)絡(luò)信息安全技術(shù)科學(xué)化的目的,與此同時(shí)綜合考量技術(shù),切實(shí)的將網(wǎng)絡(luò)信息安全存在的問(wèn)題找到。
有利于防御技術(shù)日益專業(yè)化,隨著網(wǎng)絡(luò)優(yōu)化的不斷發(fā)展,并且逐步的朝著自動(dòng)化,還有智能化的方向上不斷地發(fā)展和進(jìn)步,由此就有了人工智能專家的出現(xiàn),這就在一定程度打破了原有的思想,在對(duì)系統(tǒng)的支持上,通過(guò)智能決策的方式,能夠?qū)C(jī)制進(jìn)行更為切實(shí)有效的運(yùn)用,網(wǎng)絡(luò)優(yōu)化人員在針對(duì)網(wǎng)絡(luò)中存在的一些安全隱患,可以給出相對(duì)應(yīng)的解決措施,讓網(wǎng)絡(luò)當(dāng)中存在的一些安全隱患問(wèn)題,及時(shí)的得到了科學(xué)的解決,這也證明了網(wǎng)絡(luò)信息安全防御技術(shù)變得越來(lái)越專業(yè)化起來(lái)。
有利于形成一個(gè)專門產(chǎn)業(yè)鏈,伴隨著信息產(chǎn)業(yè)日新月異的發(fā)展,以及和其他產(chǎn)業(yè)的密切融合,這也讓網(wǎng)絡(luò)安全技術(shù)有了非常大的變化。網(wǎng)絡(luò)安全技術(shù)正在逐步朝著生態(tài)環(huán)境的方向進(jìn)行轉(zhuǎn)變。伴隨著產(chǎn)業(yè)鏈變得逐漸復(fù)雜起來(lái),造成計(jì)算機(jī)網(wǎng)絡(luò)產(chǎn)業(yè)要朝著生態(tài)環(huán)境的方向不斷的轉(zhuǎn)變。任何一個(gè)環(huán)節(jié)在生態(tài)環(huán)境中都能夠被取代。
(二)國(guó)內(nèi)外研究綜述
1.國(guó)外研究
據(jù)Gartner分析,當(dāng)前國(guó)際大型企業(yè)在信息安全領(lǐng)域主要有幾個(gè)發(fā)展趨勢(shì):(1) 信息安全投資從基礎(chǔ)架構(gòu)向應(yīng)用系統(tǒng)轉(zhuǎn)移;(2)信息安全的重心從技術(shù)向管理轉(zhuǎn)移;(3)信息安全管理與企業(yè)風(fēng)險(xiǎn)管理、內(nèi)控體系建設(shè)的結(jié)合日益緊密;(4)信息技術(shù)逐步向信息安全管理滲透。結(jié)合大型企業(yè)信息安全發(fā)展趨勢(shì),國(guó)際各大咨詢公司、廠商等機(jī)構(gòu)紛紛提出了符合大型企業(yè)業(yè)務(wù)和信息化發(fā)展需要的信息安全體系架構(gòu)模型,著力建立全面的企業(yè)信息安全體系架構(gòu),使企業(yè)的信息安全保護(hù)模式從較為單一的保護(hù)模式發(fā)展成為系統(tǒng)、全面的保護(hù)模式。信息安全在國(guó)外已經(jīng)上升到了國(guó)家戰(zhàn)略層次,國(guó)外的信息安全總體發(fā)展領(lǐng)先于國(guó)內(nèi),特別是歐美,研究國(guó)外的信息安全現(xiàn)狀有助于我國(guó)的信息安全規(guī)劃。國(guó)外的主流的信息安全體系框架較多,都有其適用范圍和缺點(diǎn),并不完全符合我國(guó)現(xiàn)狀,可選取框架的先進(jìn)理念和組成部分為我國(guó)所用,如IATF的縱深防御理念和分層分區(qū)理念、ISO27000的信息安全管理模型、IBM的安全治理模塊等。
2.國(guó)內(nèi)研究
在信息安全標(biāo)準(zhǔn)方面,我國(guó)已發(fā)布了《信息技術(shù)安全技術(shù)公鑰基礎(chǔ)設(shè)施在線證書(shū)狀態(tài)協(xié)議》、《信息技術(shù)安全技術(shù)公鑰基礎(chǔ)設(shè)施證書(shū)管理協(xié)議》等幾十項(xiàng)重要的國(guó)家信息安全基礎(chǔ)標(biāo)準(zhǔn),初步形成了包括基礎(chǔ)標(biāo)準(zhǔn)、技術(shù)標(biāo)準(zhǔn)、管理標(biāo)準(zhǔn)和測(cè)評(píng)標(biāo)準(zhǔn)在內(nèi)的信息安全標(biāo)準(zhǔn)體系框架。
國(guó)內(nèi)的安全標(biāo)準(zhǔn)組織主要有信息技術(shù)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)(CITS)、中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)(CCSA)下轄的網(wǎng)絡(luò)與信息安全技術(shù)工作委員會(huì)、公安部信息系統(tǒng)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)、國(guó)家保密局、國(guó)家密碼管理委員會(huì)等部門。
國(guó)內(nèi)的安全標(biāo)準(zhǔn)組織主要有信息技術(shù)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)(CITS)、中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)(CCSA)下轄的網(wǎng)絡(luò)與信息安全技術(shù)工作委員會(huì)、公安部信息系統(tǒng)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)、國(guó)家保密局、國(guó)家密碼管理委員會(huì)等部門。
二、企業(yè)信息安全管理現(xiàn)狀
現(xiàn)在企業(yè)內(nèi)部一般都構(gòu)建了專用網(wǎng)絡(luò)來(lái)進(jìn)行信息的共享,如建設(shè)公司內(nèi)網(wǎng)。在同一個(gè)局域網(wǎng)內(nèi)可進(jìn)行文件的傳輸和接收,或者通過(guò)連接服務(wù)器的方式來(lái)存儲(chǔ)和共享信息,提高了不同部門間的信息傳遞效率。在享受網(wǎng)絡(luò)帶來(lái)的便利時(shí),卻有很多企業(yè)忽略了信息安全的問(wèn)題,企業(yè)信息安全現(xiàn)狀如下。(1)缺乏企業(yè)信息安全保障體系。有的中小企業(yè)缺乏信息安全意識(shí),對(duì)服務(wù)器等設(shè)施甚至未曾設(shè)置防火墻,導(dǎo)致企業(yè)內(nèi)部的信息易遭受外界的攻擊,造成企業(yè)信息被竊取或被篡改,更為嚴(yán)重的可能導(dǎo)致企業(yè)網(wǎng)絡(luò)癱瘓以及硬件設(shè)備、傳輸設(shè)施無(wú)法使用的情況??蛻粜畔⒑蜕虡I(yè)機(jī)密若被竊取,不僅會(huì)影響企業(yè)的競(jìng)爭(zhēng)力,同時(shí)會(huì)降低客戶的信任和好感,造成巨大的經(jīng)濟(jì)損失。(2)郵件系統(tǒng)安全缺乏保障。有的企業(yè)主要通過(guò)電子郵件來(lái)開(kāi)展工作,如通過(guò)郵件與客戶溝通及開(kāi)展內(nèi)部管理工作。電子郵件的使用方便快捷,能夠在網(wǎng)絡(luò)中留下記錄,隨時(shí)隨地都可查看,遇到分歧和沖突時(shí),還能在電子郵件中找到相應(yīng)憑證。但是電子郵件的安全狀況也令人堪憂,如垃圾郵件轟炸、電子郵件病毒等,給企業(yè)的正常運(yùn)轉(zhuǎn)和辦公造成很大阻礙,若郵件賬號(hào)與密碼被竊取,將成為企業(yè)的重大安全隱患。(3)缺乏檢查漏洞的有效方法和能力。一般計(jì)算機(jī)操作系統(tǒng)會(huì)進(jìn)行自動(dòng)更新和漏洞檢測(cè),但部分員工會(huì)因其耗費(fèi)時(shí)間長(zhǎng)且較繁瑣而將其關(guān)閉,或者在更新過(guò)程中中斷,造成計(jì)算機(jī)自身安全機(jī)制出現(xiàn)漏洞,外界不法分子可通過(guò)攻擊TCP/IP協(xié)議竊取或篡改企業(yè)信息。有的在不正規(guī)網(wǎng)站下載的軟件可能自身存在漏洞,易受到外界攻擊,從而導(dǎo)致企業(yè)信息安全受到威脅。(4)服務(wù)器或者客戶端受到外部網(wǎng)絡(luò)攻擊。在工作中難免會(huì)需要通過(guò)瀏覽器等形式進(jìn)行網(wǎng)上檢索,而在這個(gè)過(guò)程中,企業(yè)的客戶端需要獲取外部網(wǎng)絡(luò)信息,可能受到網(wǎng)絡(luò)攻擊?;蛘卟环ǚ肿又苯庸羝髽I(yè)的服務(wù)器,竊取信息、篡改內(nèi)容等。綜上所述,企業(yè)的信息安全隨時(shí)都可能受到威脅。當(dāng)前企業(yè)在信息安全管理中普遍面臨的問(wèn)題:(1)缺乏來(lái)自法律規(guī)范的推動(dòng)力和約束;(2)安全管理缺乏系統(tǒng)管理的思想。被動(dòng)應(yīng)付多于主動(dòng)防御,沒(méi)有做前期的預(yù)防,而是出現(xiàn)問(wèn)題才去想補(bǔ)救的辦法,不是建立在風(fēng)險(xiǎn)評(píng)估基礎(chǔ)上的動(dòng)態(tài)的持續(xù)改進(jìn)的管理方法;(3)重視安全技術(shù),忽視安全管理。企業(yè)愿意在防火墻等安全技術(shù)上投資,而相應(yīng)的管理水平、手段沒(méi)有體現(xiàn),包括管理的技術(shù)和流程,以及員工的管理;(4)在安全管理中不夠重視人的因素;(5)缺乏懂得管理的信息安全技術(shù)人員;(6)企業(yè)安全意識(shí)不強(qiáng),員工接受的教育和培訓(xùn)不夠。
三、企業(yè)信息安全管理存在的問(wèn)題及原因分析
(一)存在問(wèn)題
1.企業(yè)信息安全意識(shí)淡薄
很多中小型企業(yè)對(duì)于信息安全缺乏認(rèn)識(shí),更多注重信息化建設(shè)帶來(lái)的經(jīng)濟(jì)效益,即便了解了信息安全的意義,也可能懷著僥幸心理覺(jué)得自己的企業(yè)不會(huì)被攻擊,如果不發(fā)生重大信息安全事故估計(jì)不會(huì)花費(fèi)人力與物力。大企業(yè)相對(duì)來(lái)說(shuō)企業(yè)結(jié)構(gòu)更加完善,能夠意識(shí)到信息安全的意義和作用,但真正為之付出大量精力和金錢的公司不多。由于企業(yè)對(duì)于信息安全不夠重視,自然不會(huì)組建專門的團(tuán)隊(duì)來(lái)進(jìn)行信息安全的管理,因此,信息安全相關(guān)專業(yè)的人才在國(guó)內(nèi)很難找到專業(yè)對(duì)口的工作,那么他們可能選擇出國(guó)或者換專業(yè),這就造成了惡性循環(huán),國(guó)內(nèi)的信息安全人才稀缺,國(guó)內(nèi)企業(yè)信息安全相關(guān)崗位招不到人。
2.信息安全技術(shù)不夠先進(jìn)
近年來(lái),中國(guó)互聯(lián)網(wǎng)發(fā)展迅速,計(jì)算機(jī)技術(shù)也在不斷進(jìn)步,但總體計(jì)算機(jī)技術(shù)的水平相比發(fā)達(dá)國(guó)家還是有一定差距,信息安全的研究也比發(fā)達(dá)國(guó)家起步得晚,雖然現(xiàn)在國(guó)內(nèi)已有專門信息安全、網(wǎng)絡(luò)安全的公司,但其技術(shù)水平和研發(fā)出的軟件質(zhì)量和數(shù)量相比發(fā)達(dá)國(guó)家還是有不足。很多企業(yè)內(nèi)部沒(méi)有一套較為完整的信息安全防護(hù)系統(tǒng),使得不法分子攻擊起來(lái)較容易。
3.企業(yè)信息安全相關(guān)法律法規(guī)不夠完善
一直以來(lái),網(wǎng)絡(luò)安全都沒(méi)有得到很好管控。雖然出臺(tái)了少量法律法規(guī),但是見(jiàn)效甚微。企業(yè)信息安全方面的法律法規(guī)更少。無(wú)法用法律來(lái)保護(hù)企業(yè)信息安全,使得企業(yè)建設(shè)信息安全體系的信心下降。
(二)原因分析
1.需要提升企業(yè)信息安全意識(shí)
提升企業(yè)信息安全意識(shí)包括提升企業(yè)管理者和企業(yè)員工的意識(shí)。企業(yè)管理者在企業(yè)信息安全建設(shè)中是引路人的角色,在之后的企業(yè)信息安全管理工作中是主要負(fù)責(zé)人,不僅需要自身提高對(duì)企業(yè)信息安全的重視程度,還要培訓(xùn)企業(yè)員工。定期對(duì)員工進(jìn)行信息安全培訓(xùn)和案例分享,強(qiáng)調(diào)企業(yè)信息安全的重要性:泄露企業(yè)信息將會(huì)給企業(yè)造成無(wú)法挽回的損失,而企業(yè)的經(jīng)濟(jì)利益與每個(gè)員工都有密切關(guān)系。同時(shí),培訓(xùn)會(huì)上還應(yīng)分享一些關(guān)于企業(yè)信息安全的法律知識(shí),讓每個(gè)員工都形成一種保密意識(shí),不將公司的信息透露給其他人。若是發(fā)現(xiàn)有人將企業(yè)機(jī)密賣給競(jìng)爭(zhēng)對(duì)手可告知領(lǐng)導(dǎo),而無(wú)意識(shí)透露企業(yè)信息而造成企業(yè)受損的員工,應(yīng)對(duì)其進(jìn)行懲罰,來(lái)警示其他員工,再次強(qiáng)調(diào)企業(yè)信息安全的重要性。
2.需要提升信息安全技術(shù)
我國(guó)正在從中國(guó)制造轉(zhuǎn)變?yōu)橹袊?guó)創(chuàng)造。國(guó)家大力推崇科技創(chuàng)新,這也體現(xiàn)在了信息安全方面?,F(xiàn)在大學(xué)期間就會(huì)有很多信息安全類的競(jìng)賽或者校內(nèi)組織,激發(fā)大家對(duì)信息安全技術(shù)的研究興趣,同時(shí),激勵(lì)大家不斷學(xué)習(xí)和創(chuàng)新。不僅在學(xué)校里,在社會(huì)上也有很多自發(fā)組織的科技協(xié)會(huì)或者信息安全科技論壇進(jìn)行不定期學(xué)術(shù)討論,研究國(guó)內(nèi)外先進(jìn)的信息安全技術(shù)及破解方法[5]。在國(guó)內(nèi)信息安全技術(shù)不斷提升的過(guò)程中,各大研究網(wǎng)絡(luò)安全、信息安全的公司會(huì)推出各種信息安全防護(hù)產(chǎn)品,企業(yè)應(yīng)選擇安全性能高的產(chǎn)品??梢詫?duì)比幾家大的網(wǎng)絡(luò)安全品牌的產(chǎn)品,選擇一家進(jìn)行購(gòu)買,如果資金充裕可購(gòu)買多個(gè)品牌的產(chǎn)品進(jìn)行對(duì)比,選出安全性能最佳的品牌,一定要不斷更新產(chǎn)品內(nèi)的防護(hù)內(nèi)容。因?yàn)楣羰侄魏头绞绞侨招略庐惖?,只有不斷更新、不斷?yōu)化才能有效防護(hù)惡意的信息攻擊。
3.需要落實(shí)現(xiàn)有企業(yè)信息安全相關(guān)法律法規(guī)
隨著國(guó)家對(duì)信息安全的重視程度提高,國(guó)家的《網(wǎng)絡(luò)安全法》正式實(shí)施,“沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全”的大政方針的提出,2017年度安全盛會(huì)——中國(guó)信息安全高峰會(huì)議在安徽省合肥市的召開(kāi),種種現(xiàn)象表明信息安全從此進(jìn)入了新的階段。企業(yè)信息安全將會(huì)得到更好保障,首先要確保企業(yè)采用的信息安全防護(hù)系統(tǒng)和手段是法律認(rèn)可的,當(dāng)被競(jìng)爭(zhēng)對(duì)手或其他人惡意攻擊時(shí),盡可能保留證據(jù),利用法律手段維護(hù)企業(yè)的權(quán)益和信息安全。
四、企業(yè)信息安全管理對(duì)策與展望
(一)主要對(duì)策
1.建立信息安全密碼
密碼技術(shù)近年來(lái)在應(yīng)用中不斷成熟,越來(lái)越多企業(yè)開(kāi)始將密碼技術(shù)應(yīng)用到企業(yè)信息安全管理中去,這是一個(gè)十分正確的選擇。企業(yè)內(nèi)部信息具有重要價(jià)值,密碼技術(shù)是企業(yè)信息安全最為關(guān)鍵的一道屏障。密碼的形式十分多樣,企業(yè)應(yīng)當(dāng)根據(jù)自身情況正確選擇密碼的形式,密碼技術(shù)是一項(xiàng)十分成熟的技術(shù),應(yīng)當(dāng)?shù)玫礁嗟年P(guān)注,并且將這項(xiàng)技術(shù)全面應(yīng)用到企業(yè)內(nèi)部信息安全管理當(dāng)中去。企業(yè)內(nèi)部信息得到密碼的保護(hù),能夠在企業(yè)內(nèi)部信息不慎泄露后得到最大化的保護(hù),對(duì)于企業(yè)內(nèi)部信息的密碼也應(yīng)當(dāng)嚴(yán)格保密,做好相關(guān)的密碼保護(hù)工作。
2.建立安全管理制度
企業(yè)信息安全管理制度的建立需要多方面的配合,同時(shí),企業(yè)信息安全管理制度的建立是一項(xiàng)十分復(fù)雜的工作,必須在實(shí)踐的過(guò)程中不斷完善。建立企業(yè)內(nèi)部信息安全管理制度是為了更加規(guī)范地保證企業(yè)內(nèi)部信息的安全,也對(duì)企業(yè)內(nèi)部信息安全管理人員的工作內(nèi)容,工作步驟做了明確規(guī)定,這對(duì)于企業(yè)內(nèi)部形成信息安全管理的長(zhǎng)效機(jī)制具有重要價(jià)值。企業(yè)信息安全管理制度應(yīng)當(dāng)與企業(yè)的實(shí)際生產(chǎn)經(jīng)營(yíng)情況相結(jié)合,在盡可能不影響企業(yè)正常工作的前提下,對(duì)企業(yè)的信息安全作出明確規(guī)定。常見(jiàn)的規(guī)定包括定期組織企業(yè)內(nèi)部信息安全管理工作人員進(jìn)行信息安全的例行檢查;對(duì)企業(yè)內(nèi)部信息安全管理人員的工作做到全面監(jiān)督,有效反饋等等。
3.建立數(shù)據(jù)庫(kù)的備份與恢復(fù)機(jī)制
現(xiàn)如今,外界主動(dòng)攻擊企業(yè)信息安全的事件越來(lái)越頻發(fā),企業(yè)在被外界攻擊信息安全后所造成的損失往往無(wú)法挽回,同時(shí)這些信息對(duì)于企業(yè)具有十分重要的價(jià)值,倘若能夠及時(shí)恢復(fù)相關(guān)信息,能夠在很大程度上減小企業(yè)所遭受的損失,因此,建立一套基于數(shù)據(jù)庫(kù)信息備份與還原的信息安全管理機(jī)制十分重要。企業(yè)內(nèi)部信息系統(tǒng)數(shù)據(jù)庫(kù)的備份,可以有效保障企業(yè)信息系統(tǒng)非法入侵后的系統(tǒng)恢復(fù)工作。備份是對(duì)數(shù)據(jù)庫(kù)內(nèi)容保護(hù)最為穩(wěn)定和容易的一種方法。當(dāng)不穩(wěn)定因素發(fā)生的時(shí)候,能夠保證企業(yè)網(wǎng)絡(luò)信息的正常運(yùn)行。而恢復(fù)的理解,就是在不限定因素發(fā)展之后利用網(wǎng)絡(luò)技術(shù)的備份功能用來(lái)對(duì)數(shù)據(jù)庫(kù)內(nèi)容進(jìn)行重新恢復(fù)并正常使用的功能。
4.建立網(wǎng)絡(luò)安全預(yù)警系統(tǒng)
一般這種情況可以分為人為預(yù)警和病毒預(yù)警兩個(gè)方面。 在電腦中的重要位置安裝上網(wǎng)絡(luò)入侵監(jiān)測(cè)體系,可以便于對(duì)電腦的技術(shù)和安全性在發(fā)展危害行為或改變。入侵監(jiān)測(cè)體系還能通過(guò)設(shè)立在固定時(shí)間對(duì)制定要求的位置進(jìn)行監(jiān)督和控制,判斷哪些系統(tǒng)是具有危害性的,但是防火墻還不能夠準(zhǔn)確判斷的系統(tǒng)。主要針對(duì)的是從企業(yè)內(nèi)部管理出現(xiàn)漏洞后對(duì)自身安全系統(tǒng)的“侵略”行為。而病毒預(yù)警系統(tǒng)通常是采用對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)的全部數(shù)據(jù)進(jìn)行監(jiān)督監(jiān)控的行為,確保在一天每個(gè)時(shí)間段內(nèi)都對(duì)數(shù)據(jù)包傳送掃描一旦發(fā)展病毒就要馬上進(jìn)行危險(xiǎn)信息提示,使得相關(guān)工作人員可以很快的通過(guò)定位查找的方法找到病毒的發(fā)出地。同時(shí),在短時(shí)間內(nèi)陸續(xù)產(chǎn)生通過(guò)快速掃描出來(lái)的網(wǎng)絡(luò)日志和調(diào)查報(bào)告,為企業(yè)專業(yè)人員查找病毒具體來(lái)源提供便利條件。
(二)未來(lái)展望
1.加快完善我國(guó)信息安全政策法規(guī)建設(shè)
一是進(jìn)一步完善我國(guó)信息安全法律體系。適應(yīng)新形勢(shì)變化,制定新的信息安全法律,規(guī)范網(wǎng)絡(luò)空間主體的權(quán)利和義務(wù),尤其在打擊網(wǎng)絡(luò)犯罪、信息資源保護(hù)、信息資源和數(shù)據(jù)的跨國(guó)流動(dòng)等方面加強(qiáng)立法,明確相關(guān)主體應(yīng)當(dāng)承擔(dān)的法律責(zé)任和義務(wù),逐步構(gòu)建起信息安全立法框架。二是建立完善的信息安全監(jiān)督管理制度體系。進(jìn)一步加強(qiáng)信息安全等級(jí)保護(hù)工作,推進(jìn)信息安全風(fēng)險(xiǎn)評(píng)估工作,建立有效的信息安全審查制度,對(duì)航空航天、石油石化、電力系統(tǒng)等重要領(lǐng)域中應(yīng)用的核心技術(shù)和產(chǎn)品進(jìn)行安全檢查和風(fēng)險(xiǎn)評(píng)估。三是參考WTO規(guī)則制定我國(guó)信息安全行業(yè)管理規(guī)范。堅(jiān)持政府引導(dǎo),行業(yè)自律的原則,針對(duì)信息安全行業(yè)中個(gè)人隱私、惡意競(jìng)爭(zhēng)等公眾比較關(guān)注的問(wèn)題,加強(qiáng)行業(yè)管理規(guī)范和行業(yè)自律準(zhǔn)則的制定和實(shí)施,規(guī)范信息安全企業(yè)的行為。
2.加強(qiáng)我國(guó)信息安全保障體制機(jī)制建設(shè)
一是進(jìn)一步加強(qiáng)網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組對(duì)我國(guó)網(wǎng)絡(luò)安全的統(tǒng)一領(lǐng)導(dǎo)和協(xié)調(diào)職責(zé),提高保障網(wǎng)絡(luò)安全、應(yīng)對(duì)網(wǎng)絡(luò)犯罪、推動(dòng)網(wǎng)絡(luò)應(yīng)用和宣傳推廣等工作的協(xié)調(diào)能力,加強(qiáng)信息安全工作體制機(jī)制建設(shè),建立運(yùn)轉(zhuǎn)順暢、協(xié)調(diào)有力、分工合理、責(zé)任明確的信息安全管理體制。二是逐步對(duì)各部委信息安全職能單位進(jìn)行調(diào)整,打破現(xiàn)在各部門“分工負(fù)責(zé)、各司其職”的條塊方式,依據(jù)十八大“穩(wěn)步推進(jìn)大部制改革”的指導(dǎo)精神,實(shí)現(xiàn)對(duì)信息安全部門的整合,成立“大信息安全機(jī)構(gòu)”。三是成立國(guó)家級(jí)的信息安全支撐機(jī)構(gòu)——中國(guó)信息安全研究院,整合各方信息安全支撐機(jī)構(gòu),打造集信息安全政策、法規(guī)、標(biāo)準(zhǔn)、技術(shù)、產(chǎn)業(yè)研究為一體的支撐團(tuán)隊(duì),形成對(duì)信息安全領(lǐng)域重大問(wèn)題、關(guān)鍵技術(shù)的持續(xù)研究能力,提高我國(guó)信息安全產(chǎn)業(yè)的核心競(jìng)爭(zhēng)力。
3.推動(dòng)關(guān)鍵信息基礎(chǔ)設(shè)施安全保障工作
一是啟動(dòng)信息安全核心技術(shù)產(chǎn)品的安全檢查工作。加強(qiáng)國(guó)外進(jìn)口技術(shù)和產(chǎn)品,以及新技術(shù)、新產(chǎn)品和新業(yè)務(wù)的漏洞分析工作,提升安全隱患的發(fā)現(xiàn)能力,促進(jìn)漏洞信息共享。建立進(jìn)口重大信息技術(shù)、產(chǎn)品及服務(wù)的安全檢測(cè)與審核制度,對(duì)進(jìn)口技術(shù)和產(chǎn)品的安全進(jìn)行風(fēng)險(xiǎn)評(píng)估。逐步實(shí)現(xiàn)核心技術(shù)產(chǎn)品的國(guó)產(chǎn)化替代,真正實(shí)現(xiàn)“以我為主,自主可控”。二是加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)工作。進(jìn)一步完善等級(jí)保護(hù)制度和標(biāo)準(zhǔn),繼續(xù)做好等級(jí)保護(hù)定級(jí)工作,根據(jù)系統(tǒng)等級(jí)和面臨風(fēng)險(xiǎn)有針對(duì)性加強(qiáng)管理和技術(shù)防護(hù)。加強(qiáng)風(fēng)險(xiǎn)評(píng)估工作,做好系統(tǒng)測(cè)評(píng)、安全檢查等,及時(shí)發(fā)現(xiàn)風(fēng)險(xiǎn)隱患,完善安全措施。三是重點(diǎn)保障工業(yè)控制系統(tǒng)安全。全面落實(shí)《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》,切實(shí)加強(qiáng)對(duì)重點(diǎn)領(lǐng)域工業(yè)控制系統(tǒng)的信息安全管理工作,完善和加強(qiáng)工業(yè)控制系統(tǒng)安全檢查和測(cè)評(píng)工作。
4.全面提升新興技術(shù)安全風(fēng)險(xiǎn)防護(hù)能力
一是加大對(duì)云計(jì)算、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)、下一代互聯(lián)網(wǎng)等新興技術(shù)研發(fā)的資金投入,加強(qiáng)核心技術(shù)攻關(guān),提高我國(guó)對(duì)新興技術(shù)的掌控能力,形成擁有自主知識(shí)產(chǎn)權(quán)的安全產(chǎn)業(yè)鏈條。二是加快網(wǎng)絡(luò)防護(hù)、入侵檢測(cè)、身份管理等信息安全關(guān)鍵技術(shù)研發(fā),并與新興技術(shù)結(jié)合起來(lái),提高新興技術(shù)在應(yīng)用過(guò)程的安全防護(hù)能力,如在基于PKI體系的電子認(rèn)證技術(shù)基礎(chǔ)上,研發(fā)應(yīng)用于云計(jì)算、移動(dòng)互聯(lián)網(wǎng)等新興技術(shù)上的身份管理等安全防護(hù)技術(shù)。三是建立新興技術(shù)的信息安全預(yù)警機(jī)制,成立專門的機(jī)構(gòu)對(duì)新興技術(shù)的信息安全隱患進(jìn)行分析和研究,并為公眾提供相關(guān)技術(shù)的使用指南或標(biāo)準(zhǔn),對(duì)于關(guān)鍵領(lǐng)域或部門則應(yīng)出臺(tái)強(qiáng)制性標(biāo)準(zhǔn)或規(guī)定,限制新興技術(shù)的使用方式和范圍,如國(guó)家應(yīng)如何對(duì)掌控大量經(jīng)濟(jì)、地理等關(guān)鍵領(lǐng)域數(shù)據(jù)的企業(yè)進(jìn)行管控,限制其對(duì)相關(guān)數(shù)據(jù)的使用權(quán)限和范圍等。
五、結(jié)論
信息是社會(huì)發(fā)展的重要戰(zhàn)略資源,也是衡量一個(gè)企業(yè)乃至國(guó)家的重要參數(shù)。在信息時(shí)代的今天人們對(duì)信息的依賴越來(lái)越高,因此信息安全就尤為地重要。網(wǎng)絡(luò)環(huán)境下,企業(yè)在大力推進(jìn)信息化建設(shè)、提升企業(yè)核心競(jìng)爭(zhēng)力的同時(shí),必須強(qiáng)化信息安全意識(shí),認(rèn)識(shí)到網(wǎng)絡(luò)環(huán)境下企業(yè)信息可能遭到的安全隱患,從多方面進(jìn)行有效管理以及合理運(yùn)用技術(shù)、管理、制度和去律等進(jìn)行全方位的考慮,建立一個(gè)綜合性的防御安全體系,最大限度地降低企業(yè)信息有可能遭受的安全隱患,使得計(jì)算機(jī)技術(shù)在企業(yè)信息管理和運(yùn)用中更好地發(fā)揮應(yīng)有作用。
參考文獻(xiàn)
[1]井鵬程,王真.計(jì)算機(jī)網(wǎng)絡(luò)安全現(xiàn)狀和防御技術(shù)分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2017(03):60-61.
[2]朱駿.基于網(wǎng)絡(luò)安全的計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)現(xiàn)狀及發(fā)展研究[J].信息系統(tǒng)工程,2017(03):70-71.
[3]王劍.關(guān)于網(wǎng)絡(luò)安全技術(shù)的現(xiàn)狀分析及發(fā)展趨勢(shì)探討[J].數(shù)字通信世界,2016(05):32-33.
[4]艾戩.企業(yè)信息化建設(shè)中的信息安全探究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2015(3):100-101.
[5]吳捷.企業(yè)信息化建設(shè)中信息安全問(wèn)題的研究[J].通訊世界,2016(1):247-248
[6]肖錕.淺議網(wǎng)絡(luò)環(huán)境下的企業(yè)信息安全管理[J].標(biāo)準(zhǔn)科學(xué),2010(8):20-23.
[7]李鵬.計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)在企業(yè)信息化過(guò)程中的應(yīng)用[J].硅谷,2014(9):106-107.
[8]焦洪濤.中小企業(yè)信息安全管理策略研究[D].西安理工大學(xué),2009.
[9]梁軍.湖南電信公司內(nèi)網(wǎng)信息安全體系建設(shè)的研究[J].湖南大學(xué),2016(1):50-52.
[10]李慧.信息安全管理體系研究[D].西安電子科技大學(xué),2014.
[11]徐新件,朱健華.關(guān)于企業(yè)網(wǎng)絡(luò)信息安全管理問(wèn)題研究[J].供電企業(yè)管理,2010(5):20-21.