摘 要
自上世紀(jì)末國家大力促進(jìn)企業(yè)信息化建設(shè),鼓勵(lì)企業(yè)利用信息化技術(shù)改善自身經(jīng)營活動(dòng)和企業(yè)管理。信息化的點(diǎn)點(diǎn)滴滴已經(jīng)滲透進(jìn)企業(yè)日常生產(chǎn)經(jīng)營的各個(gè)角落。信息安全已經(jīng)成為促進(jìn)企業(yè)自身發(fā)展壯大的條件之一,誰能抓住時(shí)代的脈搏在新的技術(shù)條件下將信息安全與企業(yè)管理高效融合.為企業(yè)走可持續(xù)化發(fā)展道路保駕護(hù)航,誰就抓住了企業(yè)生存與發(fā)展的主動(dòng)權(quán),從而在知識(shí)經(jīng)濟(jì)和信息化高速發(fā)展的當(dāng)前,長遠(yuǎn)生存發(fā)展壯大。隨著互聯(lián)網(wǎng)絡(luò)不斷深入到生產(chǎn)生活的各個(gè)方面,改變了傳統(tǒng)的生產(chǎn)模式,對促進(jìn)生產(chǎn)力的提高發(fā)揮著重要的作用。網(wǎng)絡(luò)安全也已成為維持日常經(jīng)營活動(dòng)正常開展的前提。網(wǎng)絡(luò)安全不僅僅是一個(gè)技術(shù)問題,同時(shí)也是一個(gè)管理問題。安全管理是企業(yè)管理中第一位的管理。企業(yè)安全管理,就是要消除安全隱患,使安全事故消除在萌芽狀態(tài)中。對于企業(yè)發(fā)展而言,管理信息安全是十分重要的問題。因此分析網(wǎng)絡(luò)環(huán)境下信息安全管理中所存在的問題,并提出適當(dāng)?shù)膶Σ摺?/p>
關(guān)鍵詞:企業(yè)管理;網(wǎng)絡(luò)安全;信息安全管理
一、緒論
(一)研究背景和意義
1.研究背景
進(jìn)入二十一世紀(jì)的今天,隨著社會(huì)、經(jīng)濟(jì)和科學(xué)技術(shù)的飛速發(fā)展,計(jì)算機(jī)網(wǎng)絡(luò)在經(jīng)濟(jì)和生活的各個(gè)領(lǐng)域迅速普及。眾多企業(yè)為了提高辦事效率和市場反應(yīng)能力,也都紛紛依靠IT技術(shù)構(gòu)建企業(yè)自身的信息系統(tǒng)和業(yè)務(wù)運(yùn)營平臺(tái)。在網(wǎng)絡(luò)環(huán)境下,企業(yè)獲得了信息共享、信息交流、信息服務(wù),改善了企業(yè)管理水平,提高了勞動(dòng)生產(chǎn)率,增強(qiáng)了企業(yè)的核心競爭力。
然而,網(wǎng)絡(luò)是把雙刃劍。在帶給企業(yè)機(jī)遇與便利的同時(shí),網(wǎng)絡(luò)環(huán)境固有的開放性、交互性、共享性和分散性,也造成了企業(yè)信息系統(tǒng)具有致命的脆弱性、易受攻擊性,一旦企業(yè)網(wǎng)絡(luò)遭到攻擊,企業(yè)信息泄露,甚至被人意改,就會(huì)給企業(yè)帶來不可估量的損失。因而,研究與防范網(wǎng)絡(luò)環(huán)境下企業(yè)信息安全問題已迫在眉睫。在網(wǎng)絡(luò)越來越普及的當(dāng)今社會(huì),人們不論是生活當(dāng)中亦或是工作當(dāng)中都越來越依賴網(wǎng)絡(luò)。勒索病毒事件,可以說是最具代表性的年度安全事件。事件中,黑客利用漏洞作為攻擊工具,將勒索病毒通過漏洞傳播,對用戶數(shù)據(jù)加密以實(shí)現(xiàn)敲詐,并利用比特幣支付等匿名互聯(lián)網(wǎng)技術(shù)躲避溯源跟蹤,展現(xiàn)出了一種極為高效的變現(xiàn)模式。
在過去的2017年,網(wǎng)絡(luò)安全進(jìn)入全新的“大安全”時(shí)代。2017年9月12日,網(wǎng)絡(luò)安全領(lǐng)域頂級(jí)峰會(huì)——第五屆中國互聯(lián)網(wǎng)安全大會(huì)(ISC2017)在北京國家會(huì)議中心盛大開幕,本次大會(huì)的主題為“萬物皆變,人是安全的尺度”。在大會(huì)開幕式上,中國互聯(lián)網(wǎng)安全領(lǐng)域領(lǐng)軍人物、360公司董事長周鴻祎發(fā)表主旨演講,周鴻祎表示,“我們正處于一個(gè)大安全時(shí)代。網(wǎng)絡(luò)安全已經(jīng)不僅僅是網(wǎng)絡(luò)本身的安全,更是國家安全、社會(huì)安全、基礎(chǔ)設(shè)施安全、城市安全、人身安全等更廣泛意義上的安全?!敝茗櫟t指出,隨著物聯(lián)網(wǎng)、車聯(lián)網(wǎng)和工業(yè)互聯(lián)網(wǎng)的發(fā)展,這些行業(yè)開始成為網(wǎng)絡(luò)攻擊的目標(biāo),去年10月的美國互聯(lián)網(wǎng)斷網(wǎng)事件就是由惡意軟件控制了近百萬攝像頭組成的僵尸網(wǎng)絡(luò),攻擊美國的DNS解析服務(wù)商造成的。另外在物聯(lián)網(wǎng)、車聯(lián)網(wǎng)和工業(yè)互聯(lián)網(wǎng)中開始使用一些人工智能技術(shù),使用人工智能技術(shù)發(fā)展無人化的系統(tǒng),這些無人系統(tǒng)一旦被劫持,將帶來更多、更嚴(yán)重的安全問題。
如今全球化在逐漸信息化、網(wǎng)絡(luò)普及,對人們的生活有著深遠(yuǎn)的影響,滲透至人們的生活工作當(dāng)中。隨之而來便是對于網(wǎng)絡(luò)環(huán)境的各種信息安全的問題,人們不論是在手機(jī)上亦或是平板、電腦等電子設(shè)備上存儲(chǔ)的個(gè)人信息越來越注重隱私和保密,尤其隨著手機(jī)在線支付的普及一旦手機(jī)被盜取可能自身的資金財(cái)產(chǎn)都會(huì)受到影響。在企業(yè)中運(yùn)用網(wǎng)絡(luò)促進(jìn)發(fā)展時(shí),容易出現(xiàn)企業(yè)內(nèi)部信息泄露的狀況,這種情況一旦發(fā)生對于企業(yè)而言會(huì)造成嚴(yán)重的影響,更甚者對企業(yè)的生存產(chǎn)生威脅。企業(yè)內(nèi)部也如此,若出現(xiàn)網(wǎng)絡(luò)安全問題,會(huì)影響到網(wǎng)絡(luò)環(huán)境的健康以及正常運(yùn)轉(zhuǎn)。所以對安全管理越來越重視,設(shè)置相應(yīng)的防范措施也是十分必要不可或缺的。社會(huì)趨向于網(wǎng)絡(luò)化能夠讓所有事散布的更快,信息共享的更快,既方便又便捷。在企業(yè)中利用網(wǎng)絡(luò)在這一方面的優(yōu)勢能夠發(fā)揮十分重要有效的作用,幫助企業(yè)更快的發(fā)展,更良好的管理信息管理企業(yè)內(nèi)部。但有好的一面必然有其缺陷,網(wǎng)絡(luò)技術(shù)當(dāng)中有一個(gè)十分棘手的問題,那便是安全隱患。本文主要研究如何就安全隱患方面提出適合可行的防范對策以此解決這一問題。
中石化也正是看到了這一點(diǎn),在近幾年加快了信息化建設(shè)的步伐。網(wǎng)絡(luò)也在不斷調(diào)整和優(yōu)化,幾乎每個(gè)加油站網(wǎng)點(diǎn)都被納入公司局域網(wǎng)之內(nèi);而且陸續(xù)投入使用了ERP系統(tǒng)、V20系統(tǒng)、視頻監(jiān)控系統(tǒng)、加油卡系統(tǒng)等。這些系統(tǒng)的推廣和使用對提高中國石化的生產(chǎn)、經(jīng)營和管理水平發(fā)揮了很大的作用。隨著中石化信息化不斷深入,中石化網(wǎng)絡(luò)信息安全管理架構(gòu)的形成,既是企業(yè)業(yè)務(wù)需求形成的結(jié)果,也是網(wǎng)絡(luò)安全領(lǐng)域向全方位、縱深化、專業(yè)化方向發(fā)展的結(jié)果,無論從經(jīng)濟(jì)效益還是社會(huì)影響考慮,我們都應(yīng)該重視我們企業(yè)的網(wǎng)絡(luò)信息安全管理及系統(tǒng)建設(shè)情況。
2.研究意義
有利于網(wǎng)絡(luò)信息安全技術(shù)發(fā)展日益科學(xué)化,網(wǎng)絡(luò)信息安全技術(shù)逐步的科學(xué)化還是一個(gè)較為漫長的過程,會(huì)在整個(gè)網(wǎng)絡(luò)發(fā)展的過程當(dāng)中存在。要想讓網(wǎng)絡(luò)信息安全技術(shù)真正的科學(xué)化,就要通過對數(shù)據(jù)進(jìn)行收集和分析,采用這樣的方式真正的達(dá)到讓網(wǎng)絡(luò)信息安全技術(shù)科學(xué)化的目的,與此同時(shí)綜合考量技術(shù),切實(shí)的將網(wǎng)絡(luò)信息安全存在的問題找到。
有利于防御技術(shù)日益專業(yè)化,隨著網(wǎng)絡(luò)優(yōu)化的不斷發(fā)展,并且逐步的朝著自動(dòng)化,還有智能化的方向上不斷地發(fā)展和進(jìn)步,由此就有了人工智能專家的出現(xiàn),這就在一定程度打破了原有的思想,在對系統(tǒng)的支持上,通過智能決策的方式,能夠?qū)C(jī)制進(jìn)行更為切實(shí)有效的運(yùn)用,網(wǎng)絡(luò)優(yōu)化人員在針對網(wǎng)絡(luò)中存在的一些安全隱患,可以給出相對應(yīng)的解決措施,讓網(wǎng)絡(luò)當(dāng)中存在的一些安全隱患問題,及時(shí)的得到了科學(xué)的解決,這也證明了網(wǎng)絡(luò)信息安全防御技術(shù)變得越來越專業(yè)化起來。
有利于形成一個(gè)專門產(chǎn)業(yè)鏈,伴隨著信息產(chǎn)業(yè)日新月異的發(fā)展,以及和其他產(chǎn)業(yè)的密切融合,這也讓網(wǎng)絡(luò)安全技術(shù)有了非常大的變化。網(wǎng)絡(luò)安全技術(shù)正在逐步朝著生態(tài)環(huán)境的方向進(jìn)行轉(zhuǎn)變。伴隨著產(chǎn)業(yè)鏈變得逐漸復(fù)雜起來,造成計(jì)算機(jī)網(wǎng)絡(luò)產(chǎn)業(yè)要朝著生態(tài)環(huán)境的方向不斷的轉(zhuǎn)變。任何一個(gè)環(huán)節(jié)在生態(tài)環(huán)境中都能夠被取代。
(二)國內(nèi)外研究綜述
1.國外研究
據(jù)Gartner分析,當(dāng)前國際大型企業(yè)在信息安全領(lǐng)域主要有幾個(gè)發(fā)展趨勢:(1) 信息安全投資從基礎(chǔ)架構(gòu)向應(yīng)用系統(tǒng)轉(zhuǎn)移;(2)信息安全的重心從技術(shù)向管理轉(zhuǎn)移;(3)信息安全管理與企業(yè)風(fēng)險(xiǎn)管理、內(nèi)控體系建設(shè)的結(jié)合日益緊密;(4)信息技術(shù)逐步向信息安全管理滲透。結(jié)合大型企業(yè)信息安全發(fā)展趨勢,國際各大咨詢公司、廠商等機(jī)構(gòu)紛紛提出了符合大型企業(yè)業(yè)務(wù)和信息化發(fā)展需要的信息安全體系架構(gòu)模型,著力建立全面的企業(yè)信息安全體系架構(gòu),使企業(yè)的信息安全保護(hù)模式從較為單一的保護(hù)模式發(fā)展成為系統(tǒng)、全面的保護(hù)模式。信息安全在國外已經(jīng)上升到了國家戰(zhàn)略層次,國外的信息安全總體發(fā)展領(lǐng)先于國內(nèi),特別是歐美,研究國外的信息安全現(xiàn)狀有助于我國的信息安全規(guī)劃。國外的主流的信息安全體系框架較多,都有其適用范圍和缺點(diǎn),并不完全符合我國現(xiàn)狀,可選取框架的先進(jìn)理念和組成部分為我國所用,如IATF的縱深防御理念和分層分區(qū)理念、ISO27000的信息安全管理模型、IBM的安全治理模塊等。
2.國內(nèi)研究
在信息安全標(biāo)準(zhǔn)方面,我國已發(fā)布了《信息技術(shù)安全技術(shù)公鑰基礎(chǔ)設(shè)施在線證書狀態(tài)協(xié)議》、《信息技術(shù)安全技術(shù)公鑰基礎(chǔ)設(shè)施證書管理協(xié)議》等幾十項(xiàng)重要的國家信息安全基礎(chǔ)標(biāo)準(zhǔn),初步形成了包括基礎(chǔ)標(biāo)準(zhǔn)、技術(shù)標(biāo)準(zhǔn)、管理標(biāo)準(zhǔn)和測評(píng)標(biāo)準(zhǔn)在內(nèi)的信息安全標(biāo)準(zhǔn)體系框架。
國內(nèi)的安全標(biāo)準(zhǔn)組織主要有信息技術(shù)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)(CITS)、中國通信標(biāo)準(zhǔn)化協(xié)會(huì)(CCSA)下轄的網(wǎng)絡(luò)與信息安全技術(shù)工作委員會(huì)、公安部信息系統(tǒng)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)、國家保密局、國家密碼管理委員會(huì)等部門。
國內(nèi)的安全標(biāo)準(zhǔn)組織主要有信息技術(shù)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)(CITS)、中國通信標(biāo)準(zhǔn)化協(xié)會(huì)(CCSA)下轄的網(wǎng)絡(luò)與信息安全技術(shù)工作委員會(huì)、公安部信息系統(tǒng)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)、國家保密局、國家密碼管理委員會(huì)等部門。
二、企業(yè)信息安全管理現(xiàn)狀
現(xiàn)在企業(yè)內(nèi)部一般都構(gòu)建了專用網(wǎng)絡(luò)來進(jìn)行信息的共享,如建設(shè)公司內(nèi)網(wǎng)。在同一個(gè)局域網(wǎng)內(nèi)可進(jìn)行文件的傳輸和接收,或者通過連接服務(wù)器的方式來存儲(chǔ)和共享信息,提高了不同部門間的信息傳遞效率。在享受網(wǎng)絡(luò)帶來的便利時(shí),卻有很多企業(yè)忽略了信息安全的問題,企業(yè)信息安全現(xiàn)狀如下。(1)缺乏企業(yè)信息安全保障體系。有的中小企業(yè)缺乏信息安全意識(shí),對服務(wù)器等設(shè)施甚至未曾設(shè)置防火墻,導(dǎo)致企業(yè)內(nèi)部的信息易遭受外界的攻擊,造成企業(yè)信息被竊取或被篡改,更為嚴(yán)重的可能導(dǎo)致企業(yè)網(wǎng)絡(luò)癱瘓以及硬件設(shè)備、傳輸設(shè)施無法使用的情況??蛻粜畔⒑蜕虡I(yè)機(jī)密若被竊取,不僅會(huì)影響企業(yè)的競爭力,同時(shí)會(huì)降低客戶的信任和好感,造成巨大的經(jīng)濟(jì)損失。(2)郵件系統(tǒng)安全缺乏保障。有的企業(yè)主要通過電子郵件來開展工作,如通過郵件與客戶溝通及開展內(nèi)部管理工作。電子郵件的使用方便快捷,能夠在網(wǎng)絡(luò)中留下記錄,隨時(shí)隨地都可查看,遇到分歧和沖突時(shí),還能在電子郵件中找到相應(yīng)憑證。但是電子郵件的安全狀況也令人堪憂,如垃圾郵件轟炸、電子郵件病毒等,給企業(yè)的正常運(yùn)轉(zhuǎn)和辦公造成很大阻礙,若郵件賬號(hào)與密碼被竊取,將成為企業(yè)的重大安全隱患。(3)缺乏檢查漏洞的有效方法和能力。一般計(jì)算機(jī)操作系統(tǒng)會(huì)進(jìn)行自動(dòng)更新和漏洞檢測,但部分員工會(huì)因其耗費(fèi)時(shí)間長且較繁瑣而將其關(guān)閉,或者在更新過程中中斷,造成計(jì)算機(jī)自身安全機(jī)制出現(xiàn)漏洞,外界不法分子可通過攻擊TCP/IP協(xié)議竊取或篡改企業(yè)信息。有的在不正規(guī)網(wǎng)站下載的軟件可能自身存在漏洞,易受到外界攻擊,從而導(dǎo)致企業(yè)信息安全受到威脅。(4)服務(wù)器或者客戶端受到外部網(wǎng)絡(luò)攻擊。在工作中難免會(huì)需要通過瀏覽器等形式進(jìn)行網(wǎng)上檢索,而在這個(gè)過程中,企業(yè)的客戶端需要獲取外部網(wǎng)絡(luò)信息,可能受到網(wǎng)絡(luò)攻擊?;蛘卟环ǚ肿又苯庸羝髽I(yè)的服務(wù)器,竊取信息、篡改內(nèi)容等。綜上所述,企業(yè)的信息安全隨時(shí)都可能受到威脅。當(dāng)前企業(yè)在信息安全管理中普遍面臨的問題:(1)缺乏來自法律規(guī)范的推動(dòng)力和約束;(2)安全管理缺乏系統(tǒng)管理的思想。被動(dòng)應(yīng)付多于主動(dòng)防御,沒有做前期的預(yù)防,而是出現(xiàn)問題才去想補(bǔ)救的辦法,不是建立在風(fēng)險(xiǎn)評(píng)估基礎(chǔ)上的動(dòng)態(tài)的持續(xù)改進(jìn)的管理方法;(3)重視安全技術(shù),忽視安全管理。企業(yè)愿意在防火墻等安全技術(shù)上投資,而相應(yīng)的管理水平、手段沒有體現(xiàn),包括管理的技術(shù)和流程,以及員工的管理;(4)在安全管理中不夠重視人的因素;(5)缺乏懂得管理的信息安全技術(shù)人員;(6)企業(yè)安全意識(shí)不強(qiáng),員工接受的教育和培訓(xùn)不夠。
三、企業(yè)信息安全管理存在的問題及原因分析
(一)存在問題
1.企業(yè)信息安全意識(shí)淡薄
很多中小型企業(yè)對于信息安全缺乏認(rèn)識(shí),更多注重信息化建設(shè)帶來的經(jīng)濟(jì)效益,即便了解了信息安全的意義,也可能懷著僥幸心理覺得自己的企業(yè)不會(huì)被攻擊,如果不發(fā)生重大信息安全事故估計(jì)不會(huì)花費(fèi)人力與物力。大企業(yè)相對來說企業(yè)結(jié)構(gòu)更加完善,能夠意識(shí)到信息安全的意義和作用,但真正為之付出大量精力和金錢的公司不多。由于企業(yè)對于信息安全不夠重視,自然不會(huì)組建專門的團(tuán)隊(duì)來進(jìn)行信息安全的管理,因此,信息安全相關(guān)專業(yè)的人才在國內(nèi)很難找到專業(yè)對口的工作,那么他們可能選擇出國或者換專業(yè),這就造成了惡性循環(huán),國內(nèi)的信息安全人才稀缺,國內(nèi)企業(yè)信息安全相關(guān)崗位招不到人。
2.信息安全技術(shù)不夠先進(jìn)
近年來,中國互聯(lián)網(wǎng)發(fā)展迅速,計(jì)算機(jī)技術(shù)也在不斷進(jìn)步,但總體計(jì)算機(jī)技術(shù)的水平相比發(fā)達(dá)國家還是有一定差距,信息安全的研究也比發(fā)達(dá)國家起步得晚,雖然現(xiàn)在國內(nèi)已有專門信息安全、網(wǎng)絡(luò)安全的公司,但其技術(shù)水平和研發(fā)出的軟件質(zhì)量和數(shù)量相比發(fā)達(dá)國家還是有不足。很多企業(yè)內(nèi)部沒有一套較為完整的信息安全防護(hù)系統(tǒng),使得不法分子攻擊起來較容易。
3.企業(yè)信息安全相關(guān)法律法規(guī)不夠完善
一直以來,網(wǎng)絡(luò)安全都沒有得到很好管控。雖然出臺(tái)了少量法律法規(guī),但是見效甚微。企業(yè)信息安全方面的法律法規(guī)更少。無法用法律來保護(hù)企業(yè)信息安全,使得企業(yè)建設(shè)信息安全體系的信心下降。
(二)原因分析
1.需要提升企業(yè)信息安全意識(shí)
提升企業(yè)信息安全意識(shí)包括提升企業(yè)管理者和企業(yè)員工的意識(shí)。企業(yè)管理者在企業(yè)信息安全建設(shè)中是引路人的角色,在之后的企業(yè)信息安全管理工作中是主要負(fù)責(zé)人,不僅需要自身提高對企業(yè)信息安全的重視程度,還要培訓(xùn)企業(yè)員工。定期對員工進(jìn)行信息安全培訓(xùn)和案例分享,強(qiáng)調(diào)企業(yè)信息安全的重要性:泄露企業(yè)信息將會(huì)給企業(yè)造成無法挽回的損失,而企業(yè)的經(jīng)濟(jì)利益與每個(gè)員工都有密切關(guān)系。同時(shí),培訓(xùn)會(huì)上還應(yīng)分享一些關(guān)于企業(yè)信息安全的法律知識(shí),讓每個(gè)員工都形成一種保密意識(shí),不將公司的信息透露給其他人。若是發(fā)現(xiàn)有人將企業(yè)機(jī)密賣給競爭對手可告知領(lǐng)導(dǎo),而無意識(shí)透露企業(yè)信息而造成企業(yè)受損的員工,應(yīng)對其進(jìn)行懲罰,來警示其他員工,再次強(qiáng)調(diào)企業(yè)信息安全的重要性。
2.需要提升信息安全技術(shù)
我國正在從中國制造轉(zhuǎn)變?yōu)橹袊鴦?chuàng)造。國家大力推崇科技創(chuàng)新,這也體現(xiàn)在了信息安全方面。現(xiàn)在大學(xué)期間就會(huì)有很多信息安全類的競賽或者校內(nèi)組織,激發(fā)大家對信息安全技術(shù)的研究興趣,同時(shí),激勵(lì)大家不斷學(xué)習(xí)和創(chuàng)新。不僅在學(xué)校里,在社會(huì)上也有很多自發(fā)組織的科技協(xié)會(huì)或者信息安全科技論壇進(jìn)行不定期學(xué)術(shù)討論,研究國內(nèi)外先進(jìn)的信息安全技術(shù)及破解方法[5]。在國內(nèi)信息安全技術(shù)不斷提升的過程中,各大研究網(wǎng)絡(luò)安全、信息安全的公司會(huì)推出各種信息安全防護(hù)產(chǎn)品,企業(yè)應(yīng)選擇安全性能高的產(chǎn)品。可以對比幾家大的網(wǎng)絡(luò)安全品牌的產(chǎn)品,選擇一家進(jìn)行購買,如果資金充裕可購買多個(gè)品牌的產(chǎn)品進(jìn)行對比,選出安全性能最佳的品牌,一定要不斷更新產(chǎn)品內(nèi)的防護(hù)內(nèi)容。因?yàn)楣羰侄魏头绞绞侨招略庐惖?,只有不斷更新、不斷?yōu)化才能有效防護(hù)惡意的信息攻擊。
3.需要落實(shí)現(xiàn)有企業(yè)信息安全相關(guān)法律法規(guī)
隨著國家對信息安全的重視程度提高,國家的《網(wǎng)絡(luò)安全法》正式實(shí)施,“沒有網(wǎng)絡(luò)安全就沒有國家安全”的大政方針的提出,2017年度安全盛會(huì)——中國信息安全高峰會(huì)議在安徽省合肥市的召開,種種現(xiàn)象表明信息安全從此進(jìn)入了新的階段。企業(yè)信息安全將會(huì)得到更好保障,首先要確保企業(yè)采用的信息安全防護(hù)系統(tǒng)和手段是法律認(rèn)可的,當(dāng)被競爭對手或其他人惡意攻擊時(shí),盡可能保留證據(jù),利用法律手段維護(hù)企業(yè)的權(quán)益和信息安全。
四、企業(yè)信息安全管理對策與展望
(一)主要對策
1.建立信息安全密碼
密碼技術(shù)近年來在應(yīng)用中不斷成熟,越來越多企業(yè)開始將密碼技術(shù)應(yīng)用到企業(yè)信息安全管理中去,這是一個(gè)十分正確的選擇。企業(yè)內(nèi)部信息具有重要價(jià)值,密碼技術(shù)是企業(yè)信息安全最為關(guān)鍵的一道屏障。密碼的形式十分多樣,企業(yè)應(yīng)當(dāng)根據(jù)自身情況正確選擇密碼的形式,密碼技術(shù)是一項(xiàng)十分成熟的技術(shù),應(yīng)當(dāng)?shù)玫礁嗟年P(guān)注,并且將這項(xiàng)技術(shù)全面應(yīng)用到企業(yè)內(nèi)部信息安全管理當(dāng)中去。企業(yè)內(nèi)部信息得到密碼的保護(hù),能夠在企業(yè)內(nèi)部信息不慎泄露后得到最大化的保護(hù),對于企業(yè)內(nèi)部信息的密碼也應(yīng)當(dāng)嚴(yán)格保密,做好相關(guān)的密碼保護(hù)工作。
2.建立安全管理制度
企業(yè)信息安全管理制度的建立需要多方面的配合,同時(shí),企業(yè)信息安全管理制度的建立是一項(xiàng)十分復(fù)雜的工作,必須在實(shí)踐的過程中不斷完善。建立企業(yè)內(nèi)部信息安全管理制度是為了更加規(guī)范地保證企業(yè)內(nèi)部信息的安全,也對企業(yè)內(nèi)部信息安全管理人員的工作內(nèi)容,工作步驟做了明確規(guī)定,這對于企業(yè)內(nèi)部形成信息安全管理的長效機(jī)制具有重要價(jià)值。企業(yè)信息安全管理制度應(yīng)當(dāng)與企業(yè)的實(shí)際生產(chǎn)經(jīng)營情況相結(jié)合,在盡可能不影響企業(yè)正常工作的前提下,對企業(yè)的信息安全作出明確規(guī)定。常見的規(guī)定包括定期組織企業(yè)內(nèi)部信息安全管理工作人員進(jìn)行信息安全的例行檢查;對企業(yè)內(nèi)部信息安全管理人員的工作做到全面監(jiān)督,有效反饋等等。
3.建立數(shù)據(jù)庫的備份與恢復(fù)機(jī)制
現(xiàn)如今,外界主動(dòng)攻擊企業(yè)信息安全的事件越來越頻發(fā),企業(yè)在被外界攻擊信息安全后所造成的損失往往無法挽回,同時(shí)這些信息對于企業(yè)具有十分重要的價(jià)值,倘若能夠及時(shí)恢復(fù)相關(guān)信息,能夠在很大程度上減小企業(yè)所遭受的損失,因此,建立一套基于數(shù)據(jù)庫信息備份與還原的信息安全管理機(jī)制十分重要。企業(yè)內(nèi)部信息系統(tǒng)數(shù)據(jù)庫的備份,可以有效保障企業(yè)信息系統(tǒng)非法入侵后的系統(tǒng)恢復(fù)工作。備份是對數(shù)據(jù)庫內(nèi)容保護(hù)最為穩(wěn)定和容易的一種方法。當(dāng)不穩(wěn)定因素發(fā)生的時(shí)候,能夠保證企業(yè)網(wǎng)絡(luò)信息的正常運(yùn)行。而恢復(fù)的理解,就是在不限定因素發(fā)展之后利用網(wǎng)絡(luò)技術(shù)的備份功能用來對數(shù)據(jù)庫內(nèi)容進(jìn)行重新恢復(fù)并正常使用的功能。
4.建立網(wǎng)絡(luò)安全預(yù)警系統(tǒng)
一般這種情況可以分為人為預(yù)警和病毒預(yù)警兩個(gè)方面。 在電腦中的重要位置安裝上網(wǎng)絡(luò)入侵監(jiān)測體系,可以便于對電腦的技術(shù)和安全性在發(fā)展危害行為或改變。入侵監(jiān)測體系還能通過設(shè)立在固定時(shí)間對制定要求的位置進(jìn)行監(jiān)督和控制,判斷哪些系統(tǒng)是具有危害性的,但是防火墻還不能夠準(zhǔn)確判斷的系統(tǒng)。主要針對的是從企業(yè)內(nèi)部管理出現(xiàn)漏洞后對自身安全系統(tǒng)的“侵略”行為。而病毒預(yù)警系統(tǒng)通常是采用對企業(yè)內(nèi)部網(wǎng)絡(luò)的全部數(shù)據(jù)進(jìn)行監(jiān)督監(jiān)控的行為,確保在一天每個(gè)時(shí)間段內(nèi)都對數(shù)據(jù)包傳送掃描一旦發(fā)展病毒就要馬上進(jìn)行危險(xiǎn)信息提示,使得相關(guān)工作人員可以很快的通過定位查找的方法找到病毒的發(fā)出地。同時(shí),在短時(shí)間內(nèi)陸續(xù)產(chǎn)生通過快速掃描出來的網(wǎng)絡(luò)日志和調(diào)查報(bào)告,為企業(yè)專業(yè)人員查找病毒具體來源提供便利條件。
(二)未來展望
1.加快完善我國信息安全政策法規(guī)建設(shè)
一是進(jìn)一步完善我國信息安全法律體系。適應(yīng)新形勢變化,制定新的信息安全法律,規(guī)范網(wǎng)絡(luò)空間主體的權(quán)利和義務(wù),尤其在打擊網(wǎng)絡(luò)犯罪、信息資源保護(hù)、信息資源和數(shù)據(jù)的跨國流動(dòng)等方面加強(qiáng)立法,明確相關(guān)主體應(yīng)當(dāng)承擔(dān)的法律責(zé)任和義務(wù),逐步構(gòu)建起信息安全立法框架。二是建立完善的信息安全監(jiān)督管理制度體系。進(jìn)一步加強(qiáng)信息安全等級(jí)保護(hù)工作,推進(jìn)信息安全風(fēng)險(xiǎn)評(píng)估工作,建立有效的信息安全審查制度,對航空航天、石油石化、電力系統(tǒng)等重要領(lǐng)域中應(yīng)用的核心技術(shù)和產(chǎn)品進(jìn)行安全檢查和風(fēng)險(xiǎn)評(píng)估。三是參考WTO規(guī)則制定我國信息安全行業(yè)管理規(guī)范。堅(jiān)持政府引導(dǎo),行業(yè)自律的原則,針對信息安全行業(yè)中個(gè)人隱私、惡意競爭等公眾比較關(guān)注的問題,加強(qiáng)行業(yè)管理規(guī)范和行業(yè)自律準(zhǔn)則的制定和實(shí)施,規(guī)范信息安全企業(yè)的行為。
2.加強(qiáng)我國信息安全保障體制機(jī)制建設(shè)
一是進(jìn)一步加強(qiáng)網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組對我國網(wǎng)絡(luò)安全的統(tǒng)一領(lǐng)導(dǎo)和協(xié)調(diào)職責(zé),提高保障網(wǎng)絡(luò)安全、應(yīng)對網(wǎng)絡(luò)犯罪、推動(dòng)網(wǎng)絡(luò)應(yīng)用和宣傳推廣等工作的協(xié)調(diào)能力,加強(qiáng)信息安全工作體制機(jī)制建設(shè),建立運(yùn)轉(zhuǎn)順暢、協(xié)調(diào)有力、分工合理、責(zé)任明確的信息安全管理體制。二是逐步對各部委信息安全職能單位進(jìn)行調(diào)整,打破現(xiàn)在各部門“分工負(fù)責(zé)、各司其職”的條塊方式,依據(jù)十八大“穩(wěn)步推進(jìn)大部制改革”的指導(dǎo)精神,實(shí)現(xiàn)對信息安全部門的整合,成立“大信息安全機(jī)構(gòu)”。三是成立國家級(jí)的信息安全支撐機(jī)構(gòu)——中國信息安全研究院,整合各方信息安全支撐機(jī)構(gòu),打造集信息安全政策、法規(guī)、標(biāo)準(zhǔn)、技術(shù)、產(chǎn)業(yè)研究為一體的支撐團(tuán)隊(duì),形成對信息安全領(lǐng)域重大問題、關(guān)鍵技術(shù)的持續(xù)研究能力,提高我國信息安全產(chǎn)業(yè)的核心競爭力。
3.推動(dòng)關(guān)鍵信息基礎(chǔ)設(shè)施安全保障工作
一是啟動(dòng)信息安全核心技術(shù)產(chǎn)品的安全檢查工作。加強(qiáng)國外進(jìn)口技術(shù)和產(chǎn)品,以及新技術(shù)、新產(chǎn)品和新業(yè)務(wù)的漏洞分析工作,提升安全隱患的發(fā)現(xiàn)能力,促進(jìn)漏洞信息共享。建立進(jìn)口重大信息技術(shù)、產(chǎn)品及服務(wù)的安全檢測與審核制度,對進(jìn)口技術(shù)和產(chǎn)品的安全進(jìn)行風(fēng)險(xiǎn)評(píng)估。逐步實(shí)現(xiàn)核心技術(shù)產(chǎn)品的國產(chǎn)化替代,真正實(shí)現(xiàn)“以我為主,自主可控”。二是加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)工作。進(jìn)一步完善等級(jí)保護(hù)制度和標(biāo)準(zhǔn),繼續(xù)做好等級(jí)保護(hù)定級(jí)工作,根據(jù)系統(tǒng)等級(jí)和面臨風(fēng)險(xiǎn)有針對性加強(qiáng)管理和技術(shù)防護(hù)。加強(qiáng)風(fēng)險(xiǎn)評(píng)估工作,做好系統(tǒng)測評(píng)、安全檢查等,及時(shí)發(fā)現(xiàn)風(fēng)險(xiǎn)隱患,完善安全措施。三是重點(diǎn)保障工業(yè)控制系統(tǒng)安全。全面落實(shí)《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》,切實(shí)加強(qiáng)對重點(diǎn)領(lǐng)域工業(yè)控制系統(tǒng)的信息安全管理工作,完善和加強(qiáng)工業(yè)控制系統(tǒng)安全檢查和測評(píng)工作。
4.全面提升新興技術(shù)安全風(fēng)險(xiǎn)防護(hù)能力
一是加大對云計(jì)算、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)、下一代互聯(lián)網(wǎng)等新興技術(shù)研發(fā)的資金投入,加強(qiáng)核心技術(shù)攻關(guān),提高我國對新興技術(shù)的掌控能力,形成擁有自主知識(shí)產(chǎn)權(quán)的安全產(chǎn)業(yè)鏈條。二是加快網(wǎng)絡(luò)防護(hù)、入侵檢測、身份管理等信息安全關(guān)鍵技術(shù)研發(fā),并與新興技術(shù)結(jié)合起來,提高新興技術(shù)在應(yīng)用過程的安全防護(hù)能力,如在基于PKI體系的電子認(rèn)證技術(shù)基礎(chǔ)上,研發(fā)應(yīng)用于云計(jì)算、移動(dòng)互聯(lián)網(wǎng)等新興技術(shù)上的身份管理等安全防護(hù)技術(shù)。三是建立新興技術(shù)的信息安全預(yù)警機(jī)制,成立專門的機(jī)構(gòu)對新興技術(shù)的信息安全隱患進(jìn)行分析和研究,并為公眾提供相關(guān)技術(shù)的使用指南或標(biāo)準(zhǔn),對于關(guān)鍵領(lǐng)域或部門則應(yīng)出臺(tái)強(qiáng)制性標(biāo)準(zhǔn)或規(guī)定,限制新興技術(shù)的使用方式和范圍,如國家應(yīng)如何對掌控大量經(jīng)濟(jì)、地理等關(guān)鍵領(lǐng)域數(shù)據(jù)的企業(yè)進(jìn)行管控,限制其對相關(guān)數(shù)據(jù)的使用權(quán)限和范圍等。
五、結(jié)論
信息是社會(huì)發(fā)展的重要戰(zhàn)略資源,也是衡量一個(gè)企業(yè)乃至國家的重要參數(shù)。在信息時(shí)代的今天人們對信息的依賴越來越高,因此信息安全就尤為地重要。網(wǎng)絡(luò)環(huán)境下,企業(yè)在大力推進(jìn)信息化建設(shè)、提升企業(yè)核心競爭力的同時(shí),必須強(qiáng)化信息安全意識(shí),認(rèn)識(shí)到網(wǎng)絡(luò)環(huán)境下企業(yè)信息可能遭到的安全隱患,從多方面進(jìn)行有效管理以及合理運(yùn)用技術(shù)、管理、制度和去律等進(jìn)行全方位的考慮,建立一個(gè)綜合性的防御安全體系,最大限度地降低企業(yè)信息有可能遭受的安全隱患,使得計(jì)算機(jī)技術(shù)在企業(yè)信息管理和運(yùn)用中更好地發(fā)揮應(yīng)有作用。
參考文獻(xiàn)
[1]井鵬程,王真.計(jì)算機(jī)網(wǎng)絡(luò)安全現(xiàn)狀和防御技術(shù)分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2017(03):60-61.
[2]朱駿.基于網(wǎng)絡(luò)安全的計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)現(xiàn)狀及發(fā)展研究[J].信息系統(tǒng)工程,2017(03):70-71.
[3]王劍.關(guān)于網(wǎng)絡(luò)安全技術(shù)的現(xiàn)狀分析及發(fā)展趨勢探討[J].數(shù)字通信世界,2016(05):32-33.
[4]艾戩.企業(yè)信息化建設(shè)中的信息安全探究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2015(3):100-101.
[5]吳捷.企業(yè)信息化建設(shè)中信息安全問題的研究[J].通訊世界,2016(1):247-248
[6]肖錕.淺議網(wǎng)絡(luò)環(huán)境下的企業(yè)信息安全管理[J].標(biāo)準(zhǔn)科學(xué),2010(8):20-23.
[7]李鵬.計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)在企業(yè)信息化過程中的應(yīng)用[J].硅谷,2014(9):106-107.
[8]焦洪濤.中小企業(yè)信息安全管理策略研究[D].西安理工大學(xué),2009.
[9]梁軍.湖南電信公司內(nèi)網(wǎng)信息安全體系建設(shè)的研究[J].湖南大學(xué),2016(1):50-52.
[10]李慧.信息安全管理體系研究[D].西安電子科技大學(xué),2014.
[11]徐新件,朱健華.關(guān)于企業(yè)網(wǎng)絡(luò)信息安全管理問題研究[J].供電企業(yè)管理,2010(5):20-21.