企業(yè)信息安全管理問(wèn)題研究

　　評(píng)論：　更新日期：2019年07月09日

摘要

自上世紀(jì)末國(guó)家大力促進(jìn)企業(yè)信息化建設(shè)，鼓勵(lì)企業(yè)利用信息化技術(shù)改善自身經(jīng)營(yíng)活動(dòng)和企業(yè)管理。信息化的點(diǎn)點(diǎn)滴滴已經(jīng)滲透進(jìn)企業(yè)日常生產(chǎn)經(jīng)營(yíng)的各個(gè)角落。信息安全已經(jīng)成為促進(jìn)企業(yè)自身發(fā)展壯大的條件之一，誰(shuí)能抓住時(shí)代的脈搏在新的技術(shù)條件下將信息安全與企業(yè)管理高效融合.為企業(yè)走可持續(xù)化發(fā)展道路保駕護(hù)航，誰(shuí)就抓住了企業(yè)生存與發(fā)展的主動(dòng)權(quán)，從而在知識(shí)經(jīng)濟(jì)和信息化高速發(fā)展的當(dāng)前，長(zhǎng)遠(yuǎn)生存發(fā)展壯大。隨著互聯(lián)網(wǎng)絡(luò)不斷深入到生產(chǎn)生活的各個(gè)方面，改變了傳統(tǒng)的生產(chǎn)模式，對(duì)促進(jìn)生產(chǎn)力的提高發(fā)揮著重要的作用。網(wǎng)絡(luò)安全也已成為維持日常經(jīng)營(yíng)活動(dòng)正常開(kāi)展的前提。網(wǎng)絡(luò)安全不僅僅是一個(gè)技術(shù)問(wèn)題,同時(shí)也是一個(gè)管理問(wèn)題。安全管理是企業(yè)管理中第一位的管理。企業(yè)安全管理，就是要消除安全隱患，使安全事故消除在萌芽狀態(tài)中。對(duì)于企業(yè)發(fā)展而言，管理信息安全是十分重要的問(wèn)題。因此分析網(wǎng)絡(luò)環(huán)境下信息安全管理中所存在的問(wèn)題，并提出適當(dāng)?shù)膶?duì)策。

關(guān)鍵詞：企業(yè)管理；網(wǎng)絡(luò)安全；信息安全管理

一、緒論

（一）研究背景和意義

1.研究背景

進(jìn)入二十一世紀(jì)的今天，隨著社會(huì)、經(jīng)濟(jì)和科學(xué)技術(shù)的飛速發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)在經(jīng)濟(jì)和生活的各個(gè)領(lǐng)域迅速普及。眾多企業(yè)為了提高辦事效率和市場(chǎng)反應(yīng)能力，也都紛紛依靠IT技術(shù)構(gòu)建企業(yè)自身的信息系統(tǒng)和業(yè)務(wù)運(yùn)營(yíng)平臺(tái)。在網(wǎng)絡(luò)環(huán)境下，企業(yè)獲得了信息共享、信息交流、信息服務(wù)，改善了企業(yè)管理水平，提高了勞動(dòng)生產(chǎn)率，增強(qiáng)了企業(yè)的核心競(jìng)爭(zhēng)力。

然而，網(wǎng)絡(luò)是把雙刃劍。在帶給企業(yè)機(jī)遇與便利的同時(shí)，網(wǎng)絡(luò)環(huán)境固有的開(kāi)放性、交互性、共享性和分散性，也造成了企業(yè)信息系統(tǒng)具有致命的脆弱性、易受攻擊性，一旦企業(yè)網(wǎng)絡(luò)遭到攻擊，企業(yè)信息泄露，甚至被人意改，就會(huì)給企業(yè)帶來(lái)不可估量的損失。因而，研究與防范網(wǎng)絡(luò)環(huán)境下企業(yè)信息安全問(wèn)題已迫在眉睫。在網(wǎng)絡(luò)越來(lái)越普及的當(dāng)今社會(huì)，人們不論是生活當(dāng)中亦或是工作當(dāng)中都越來(lái)越依賴網(wǎng)絡(luò)。勒索病毒事件,可以說(shuō)是最具代表性的年度安全事件。事件中,黑客利用漏洞作為攻擊工具,將勒索病毒通過(guò)漏洞傳播,對(duì)用戶數(shù)據(jù)加密以實(shí)現(xiàn)敲詐,并利用比特幣支付等匿名互聯(lián)網(wǎng)技術(shù)躲避溯源跟蹤,展現(xiàn)出了一種極為高效的變現(xiàn)模式。

在過(guò)去的2017年,網(wǎng)絡(luò)安全進(jìn)入全新的“大安全”時(shí)代。2017年9月12日,網(wǎng)絡(luò)安全領(lǐng)域頂級(jí)峰會(huì)——第五屆中國(guó)互聯(lián)網(wǎng)安全大會(huì)(ISC2017)在北京國(guó)家會(huì)議中心盛大開(kāi)幕,本次大會(huì)的主題為“萬(wàn)物皆變,人是安全的尺度”。在大會(huì)開(kāi)幕式上,中國(guó)互聯(lián)網(wǎng)安全領(lǐng)域領(lǐng)軍人物、360公司董事長(zhǎng)周鴻祎發(fā)表主旨演講,周鴻祎表示,“我們正處于一個(gè)大安全時(shí)代。網(wǎng)絡(luò)安全已經(jīng)不僅僅是網(wǎng)絡(luò)本身的安全,更是國(guó)家安全、社會(huì)安全、基礎(chǔ)設(shè)施安全、城市安全、人身安全等更廣泛意義上的安全?！敝茗櫟t指出,隨著物聯(lián)網(wǎng)、車聯(lián)網(wǎng)和工業(yè)互聯(lián)網(wǎng)的發(fā)展,這些行業(yè)開(kāi)始成為網(wǎng)絡(luò)攻擊的目標(biāo),去年10月的美國(guó)互聯(lián)網(wǎng)斷網(wǎng)事件就是由惡意軟件控制了近百萬(wàn)攝像頭組成的僵尸網(wǎng)絡(luò),攻擊美國(guó)的DNS解析服務(wù)商造成的。另外在物聯(lián)網(wǎng)、車聯(lián)網(wǎng)和工業(yè)互聯(lián)網(wǎng)中開(kāi)始使用一些人工智能技術(shù),使用人工智能技術(shù)發(fā)展無(wú)人化的系統(tǒng),這些無(wú)人系統(tǒng)一旦被劫持,將帶來(lái)更多、更嚴(yán)重的安全問(wèn)題。

如今全球化在逐漸信息化、網(wǎng)絡(luò)普及，對(duì)人們的生活有著深遠(yuǎn)的影響，滲透至人們的生活工作當(dāng)中。隨之而來(lái)便是對(duì)于網(wǎng)絡(luò)環(huán)境的各種信息安全的問(wèn)題，人們不論是在手機(jī)上亦或是平板、電腦等電子設(shè)備上存儲(chǔ)的個(gè)人信息越來(lái)越注重隱私和保密，尤其隨著手機(jī)在線支付的普及一旦手機(jī)被盜取可能自身的資金財(cái)產(chǎn)都會(huì)受到影響。在企業(yè)中運(yùn)用網(wǎng)絡(luò)促進(jìn)發(fā)展時(shí)，容易出現(xiàn)企業(yè)內(nèi)部信息泄露的狀況，這種情況一旦發(fā)生對(duì)于企業(yè)而言會(huì)造成嚴(yán)重的影響，更甚者對(duì)企業(yè)的生存產(chǎn)生威脅。企業(yè)內(nèi)部也如此，若出現(xiàn)網(wǎng)絡(luò)安全問(wèn)題，會(huì)影響到網(wǎng)絡(luò)環(huán)境的健康以及正常運(yùn)轉(zhuǎn)。所以對(duì)安全管理越來(lái)越重視，設(shè)置相應(yīng)的防范措施也是十分必要不可或缺的。社會(huì)趨向于網(wǎng)絡(luò)化能夠讓所有事散布的更快，信息共享的更快，既方便又便捷。在企業(yè)中利用網(wǎng)絡(luò)在這一方面的優(yōu)勢(shì)能夠發(fā)揮十分重要有效的作用，幫助企業(yè)更快的發(fā)展，更良好的管理信息管理企業(yè)內(nèi)部。但有好的一面必然有其缺陷，網(wǎng)絡(luò)技術(shù)當(dāng)中有一個(gè)十分棘手的問(wèn)題，那便是安全隱患。本文主要研究如何就安全隱患方面提出適合可行的防范對(duì)策以此解決這一問(wèn)題。

中石化也正是看到了這一點(diǎn)，在近幾年加快了信息化建設(shè)的步伐。網(wǎng)絡(luò)也在不斷調(diào)整和優(yōu)化，幾乎每個(gè)加油站網(wǎng)點(diǎn)都被納入公司局域網(wǎng)之內(nèi)；而且陸續(xù)投入使用了ERP系統(tǒng)、V20系統(tǒng)、視頻監(jiān)控系統(tǒng)、加油卡系統(tǒng)等。這些系統(tǒng)的推廣和使用對(duì)提高中國(guó)石化的生產(chǎn)、經(jīng)營(yíng)和管理水平發(fā)揮了很大的作用。隨著中石化信息化不斷深入，中石化網(wǎng)絡(luò)信息安全管理架構(gòu)的形成，既是企業(yè)業(yè)務(wù)需求形成的結(jié)果，也是網(wǎng)絡(luò)安全領(lǐng)域向全方位、縱深化、專業(yè)化方向發(fā)展的結(jié)果，無(wú)論從經(jīng)濟(jì)效益還是社會(huì)影響考慮，我們都應(yīng)該重視我們企業(yè)的網(wǎng)絡(luò)信息安全管理及系統(tǒng)建設(shè)情況。

2.研究意義

有利于網(wǎng)絡(luò)信息安全技術(shù)發(fā)展日益科學(xué)化，網(wǎng)絡(luò)信息安全技術(shù)逐步的科學(xué)化還是一個(gè)較為漫長(zhǎng)的過(guò)程，會(huì)在整個(gè)網(wǎng)絡(luò)發(fā)展的過(guò)程當(dāng)中存在。要想讓網(wǎng)絡(luò)信息安全技術(shù)真正的科學(xué)化，就要通過(guò)對(duì)數(shù)據(jù)進(jìn)行收集和分析，采用這樣的方式真正的達(dá)到讓網(wǎng)絡(luò)信息安全技術(shù)科學(xué)化的目的，與此同時(shí)綜合考量技術(shù)，切實(shí)的將網(wǎng)絡(luò)信息安全存在的問(wèn)題找到。

有利于防御技術(shù)日益專業(yè)化，隨著網(wǎng)絡(luò)優(yōu)化的不斷發(fā)展，并且逐步的朝著自動(dòng)化，還有智能化的方向上不斷地發(fā)展和進(jìn)步，由此就有了人工智能專家的出現(xiàn)，這就在一定程度打破了原有的思想，在對(duì)系統(tǒng)的支持上，通過(guò)智能決策的方式，能夠?qū)C(jī)制進(jìn)行更為切實(shí)有效的運(yùn)用，網(wǎng)絡(luò)優(yōu)化人員在針對(duì)網(wǎng)絡(luò)中存在的一些安全隱患，可以給出相對(duì)應(yīng)的解決措施，讓網(wǎng)絡(luò)當(dāng)中存在的一些安全隱患問(wèn)題，及時(shí)的得到了科學(xué)的解決，這也證明了網(wǎng)絡(luò)信息安全防御技術(shù)變得越來(lái)越專業(yè)化起來(lái)。

有利于形成一個(gè)專門產(chǎn)業(yè)鏈，伴隨著信息產(chǎn)業(yè)日新月異的發(fā)展，以及和其他產(chǎn)業(yè)的密切融合，這也讓網(wǎng)絡(luò)安全技術(shù)有了非常大的變化。網(wǎng)絡(luò)安全技術(shù)正在逐步朝著生態(tài)環(huán)境的方向進(jìn)行轉(zhuǎn)變。伴隨著產(chǎn)業(yè)鏈變得逐漸復(fù)雜起來(lái)，造成計(jì)算機(jī)網(wǎng)絡(luò)產(chǎn)業(yè)要朝著生態(tài)環(huán)境的方向不斷的轉(zhuǎn)變。任何一個(gè)環(huán)節(jié)在生態(tài)環(huán)境中都能夠被取代。

（二）國(guó)內(nèi)外研究綜述

1.國(guó)外研究

據(jù)Gartner分析，當(dāng)前國(guó)際大型企業(yè)在信息安全領(lǐng)域主要有幾個(gè)發(fā)展趨勢(shì)：（1）信息安全投資從基礎(chǔ)架構(gòu)向應(yīng)用系統(tǒng)轉(zhuǎn)移；（2）信息安全的重心從技術(shù)向管理轉(zhuǎn)移；（3）信息安全管理與企業(yè)風(fēng)險(xiǎn)管理、內(nèi)控體系建設(shè)的結(jié)合日益緊密；（4）信息技術(shù)逐步向信息安全管理滲透。結(jié)合大型企業(yè)信息安全發(fā)展趨勢(shì)，國(guó)際各大咨詢公司、廠商等機(jī)構(gòu)紛紛提出了符合大型企業(yè)業(yè)務(wù)和信息化發(fā)展需要的信息安全體系架構(gòu)模型，著力建立全面的企業(yè)信息安全體系架構(gòu)，使企業(yè)的信息安全保護(hù)模式從較為單一的保護(hù)模式發(fā)展成為系統(tǒng)、全面的保護(hù)模式。信息安全在國(guó)外已經(jīng)上升到了國(guó)家戰(zhàn)略層次，國(guó)外的信息安全總體發(fā)展領(lǐng)先于國(guó)內(nèi)，特別是歐美，研究國(guó)外的信息安全現(xiàn)狀有助于我國(guó)的信息安全規(guī)劃。國(guó)外的主流的信息安全體系框架較多，都有其適用范圍和缺點(diǎn)，并不完全符合我國(guó)現(xiàn)狀，可選取框架的先進(jìn)理念和組成部分為我國(guó)所用，如IATF的縱深防御理念和分層分區(qū)理念、ISO27000的信息安全管理模型、IBM的安全治理模塊等。

2.國(guó)內(nèi)研究

在信息安全標(biāo)準(zhǔn)方面，我國(guó)已發(fā)布了《信息技術(shù)安全技術(shù)公鑰基礎(chǔ)設(shè)施在線證書(shū)狀態(tài)協(xié)議》、《信息技術(shù)安全技術(shù)公鑰基礎(chǔ)設(shè)施證書(shū)管理協(xié)議》等幾十項(xiàng)重要的國(guó)家信息安全基礎(chǔ)標(biāo)準(zhǔn)，初步形成了包括基礎(chǔ)標(biāo)準(zhǔn)、技術(shù)標(biāo)準(zhǔn)、管理標(biāo)準(zhǔn)和測(cè)評(píng)標(biāo)準(zhǔn)在內(nèi)的信息安全標(biāo)準(zhǔn)體系框架。

國(guó)內(nèi)的安全標(biāo)準(zhǔn)組織主要有信息技術(shù)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（CITS）、中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)（CCSA）下轄的網(wǎng)絡(luò)與信息安全技術(shù)工作委員會(huì)、公安部信息系統(tǒng)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)、國(guó)家保密局、國(guó)家密碼管理委員會(huì)等部門。

二、企業(yè)信息安全管理現(xiàn)狀

現(xiàn)在企業(yè)內(nèi)部一般都構(gòu)建了專用網(wǎng)絡(luò)來(lái)進(jìn)行信息的共享，如建設(shè)公司內(nèi)網(wǎng)。在同一個(gè)局域網(wǎng)內(nèi)可進(jìn)行文件的傳輸和接收，或者通過(guò)連接服務(wù)器的方式來(lái)存儲(chǔ)和共享信息，提高了不同部門間的信息傳遞效率。在享受網(wǎng)絡(luò)帶來(lái)的便利時(shí)，卻有很多企業(yè)忽略了信息安全的問(wèn)題，企業(yè)信息安全現(xiàn)狀如下。（1）缺乏企業(yè)信息安全保障體系。有的中小企業(yè)缺乏信息安全意識(shí)，對(duì)服務(wù)器等設(shè)施甚至未曾設(shè)置防火墻，導(dǎo)致企業(yè)內(nèi)部的信息易遭受外界的攻擊，造成企業(yè)信息被竊取或被篡改，更為嚴(yán)重的可能導(dǎo)致企業(yè)網(wǎng)絡(luò)癱瘓以及硬件設(shè)備、傳輸設(shè)施無(wú)法使用的情況?？蛻粜畔⒑蜕虡I(yè)機(jī)密若被竊取，不僅會(huì)影響企業(yè)的競(jìng)爭(zhēng)力，同時(shí)會(huì)降低客戶的信任和好感，造成巨大的經(jīng)濟(jì)損失。（2）郵件系統(tǒng)安全缺乏保障。有的企業(yè)主要通過(guò)電子郵件來(lái)開(kāi)展工作，如通過(guò)郵件與客戶溝通及開(kāi)展內(nèi)部管理工作。電子郵件的使用方便快捷，能夠在網(wǎng)絡(luò)中留下記錄，隨時(shí)隨地都可查看，遇到分歧和沖突時(shí)，還能在電子郵件中找到相應(yīng)憑證。但是電子郵件的安全狀況也令人堪憂，如垃圾郵件轟炸、電子郵件病毒等，給企業(yè)的正常運(yùn)轉(zhuǎn)和辦公造成很大阻礙，若郵件賬號(hào)與密碼被竊取，將成為企業(yè)的重大安全隱患。（3）缺乏檢查漏洞的有效方法和能力。一般計(jì)算機(jī)操作系統(tǒng)會(huì)進(jìn)行自動(dòng)更新和漏洞檢測(cè)，但部分員工會(huì)因其耗費(fèi)時(shí)間長(zhǎng)且較繁瑣而將其關(guān)閉，或者在更新過(guò)程中中斷，造成計(jì)算機(jī)自身安全機(jī)制出現(xiàn)漏洞，外界不法分子可通過(guò)攻擊TCP/IP協(xié)議竊取或篡改企業(yè)信息。有的在不正規(guī)網(wǎng)站下載的軟件可能自身存在漏洞，易受到外界攻擊，從而導(dǎo)致企業(yè)信息安全受到威脅。（4）服務(wù)器或者客戶端受到外部網(wǎng)絡(luò)攻擊。在工作中難免會(huì)需要通過(guò)瀏覽器等形式進(jìn)行網(wǎng)上檢索，而在這個(gè)過(guò)程中，企業(yè)的客戶端需要獲取外部網(wǎng)絡(luò)信息，可能受到網(wǎng)絡(luò)攻擊?；蛘卟环ǚ肿又苯庸羝髽I(yè)的服務(wù)器，竊取信息、篡改內(nèi)容等。綜上所述，企業(yè)的信息安全隨時(shí)都可能受到威脅。當(dāng)前企業(yè)在信息安全管理中普遍面臨的問(wèn)題：(1)缺乏來(lái)自法律規(guī)范的推動(dòng)力和約束；(2)安全管理缺乏系統(tǒng)管理的思想。被動(dòng)應(yīng)付多于主動(dòng)防御，沒(méi)有做前期的預(yù)防，而是出現(xiàn)問(wèn)題才去想補(bǔ)救的辦法，不是建立在風(fēng)險(xiǎn)評(píng)估基礎(chǔ)上的動(dòng)態(tài)的持續(xù)改進(jìn)的管理方法；(3)重視安全技術(shù)，忽視安全管理。企業(yè)愿意在防火墻等安全技術(shù)上投資，而相應(yīng)的管理水平、手段沒(méi)有體現(xiàn)，包括管理的技術(shù)和流程，以及員工的管理；(4)在安全管理中不夠重視人的因素；(5)缺乏懂得管理的信息安全技術(shù)人員；(6)企業(yè)安全意識(shí)不強(qiáng)，員工接受的教育和培訓(xùn)不夠。

三、企業(yè)信息安全管理存在的問(wèn)題及原因分析

（一）存在問(wèn)題

1.企業(yè)信息安全意識(shí)淡薄

很多中小型企業(yè)對(duì)于信息安全缺乏認(rèn)識(shí)，更多注重信息化建設(shè)帶來(lái)的經(jīng)濟(jì)效益，即便了解了信息安全的意義，也可能懷著僥幸心理覺(jué)得自己的企業(yè)不會(huì)被攻擊，如果不發(fā)生重大信息安全事故估計(jì)不會(huì)花費(fèi)人力與物力。大企業(yè)相對(duì)來(lái)說(shuō)企業(yè)結(jié)構(gòu)更加完善，能夠意識(shí)到信息安全的意義和作用，但真正為之付出大量精力和金錢的公司不多。由于企業(yè)對(duì)于信息安全不夠重視，自然不會(huì)組建專門的團(tuán)隊(duì)來(lái)進(jìn)行信息安全的管理，因此，信息安全相關(guān)專業(yè)的人才在國(guó)內(nèi)很難找到專業(yè)對(duì)口的工作，那么他們可能選擇出國(guó)或者換專業(yè)，這就造成了惡性循環(huán)，國(guó)內(nèi)的信息安全人才稀缺，國(guó)內(nèi)企業(yè)信息安全相關(guān)崗位招不到人。

2.信息安全技術(shù)不夠先進(jìn)

近年來(lái)，中國(guó)互聯(lián)網(wǎng)發(fā)展迅速，計(jì)算機(jī)技術(shù)也在不斷進(jìn)步，但總體計(jì)算機(jī)技術(shù)的水平相比發(fā)達(dá)國(guó)家還是有一定差距，信息安全的研究也比發(fā)達(dá)國(guó)家起步得晚，雖然現(xiàn)在國(guó)內(nèi)已有專門信息安全、網(wǎng)絡(luò)安全的公司，但其技術(shù)水平和研發(fā)出的軟件質(zhì)量和數(shù)量相比發(fā)達(dá)國(guó)家還是有不足。很多企業(yè)內(nèi)部沒(méi)有一套較為完整的信息安全防護(hù)系統(tǒng)，使得不法分子攻擊起來(lái)較容易。

3.企業(yè)信息安全相關(guān)法律法規(guī)不夠完善

一直以來(lái)，網(wǎng)絡(luò)安全都沒(méi)有得到很好管控。雖然出臺(tái)了少量法律法規(guī)，但是見(jiàn)效甚微。企業(yè)信息安全方面的法律法規(guī)更少。無(wú)法用法律來(lái)保護(hù)企業(yè)信息安全，使得企業(yè)建設(shè)信息安全體系的信心下降。

（二）原因分析

1.需要提升企業(yè)信息安全意識(shí)

提升企業(yè)信息安全意識(shí)包括提升企業(yè)管理者和企業(yè)員工的意識(shí)。企業(yè)管理者在企業(yè)信息安全建設(shè)中是引路人的角色，在之后的企業(yè)信息安全管理工作中是主要負(fù)責(zé)人，不僅需要自身提高對(duì)企業(yè)信息安全的重視程度，還要培訓(xùn)企業(yè)員工。定期對(duì)員工進(jìn)行信息安全培訓(xùn)和案例分享，強(qiáng)調(diào)企業(yè)信息安全的重要性：泄露企業(yè)信息將會(huì)給企業(yè)造成無(wú)法挽回的損失，而企業(yè)的經(jīng)濟(jì)利益與每個(gè)員工都有密切關(guān)系。同時(shí)，培訓(xùn)會(huì)上還應(yīng)分享一些關(guān)于企業(yè)信息安全的法律知識(shí)，讓每個(gè)員工都形成一種保密意識(shí)，不將公司的信息透露給其他人。若是發(fā)現(xiàn)有人將企業(yè)機(jī)密賣給競(jìng)爭(zhēng)對(duì)手可告知領(lǐng)導(dǎo)，而無(wú)意識(shí)透露企業(yè)信息而造成企業(yè)受損的員工，應(yīng)對(duì)其進(jìn)行懲罰，來(lái)警示其他員工，再次強(qiáng)調(diào)企業(yè)信息安全的重要性。

2.需要提升信息安全技術(shù)

我國(guó)正在從中國(guó)制造轉(zhuǎn)變?yōu)橹袊?guó)創(chuàng)造。國(guó)家大力推崇科技創(chuàng)新，這也體現(xiàn)在了信息安全方面?，F(xiàn)在大學(xué)期間就會(huì)有很多信息安全類的競(jìng)賽或者校內(nèi)組織，激發(fā)大家對(duì)信息安全技術(shù)的研究興趣，同時(shí)，激勵(lì)大家不斷學(xué)習(xí)和創(chuàng)新。不僅在學(xué)校里，在社會(huì)上也有很多自發(fā)組織的科技協(xié)會(huì)或者信息安全科技論壇進(jìn)行不定期學(xué)術(shù)討論，研究國(guó)內(nèi)外先進(jìn)的信息安全技術(shù)及破解方法[5]。在國(guó)內(nèi)信息安全技術(shù)不斷提升的過(guò)程中，各大研究網(wǎng)絡(luò)安全、信息安全的公司會(huì)推出各種信息安全防護(hù)產(chǎn)品，企業(yè)應(yīng)選擇安全性能高的產(chǎn)品?？梢詫?duì)比幾家大的網(wǎng)絡(luò)安全品牌的產(chǎn)品，選擇一家進(jìn)行購(gòu)買，如果資金充裕可購(gòu)買多個(gè)品牌的產(chǎn)品進(jìn)行對(duì)比，選出安全性能最佳的品牌，一定要不斷更新產(chǎn)品內(nèi)的防護(hù)內(nèi)容。因?yàn)楣羰侄魏头绞绞侨招略庐惖?，只有不斷更新、不斷?yōu)化才能有效防護(hù)惡意的信息攻擊。

3.需要落實(shí)現(xiàn)有企業(yè)信息安全相關(guān)法律法規(guī)

隨著國(guó)家對(duì)信息安全的重視程度提高，國(guó)家的《網(wǎng)絡(luò)安全法》正式實(shí)施，“沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全”的大政方針的提出，2017年度安全盛會(huì)——中國(guó)信息安全高峰會(huì)議在安徽省合肥市的召開(kāi)，種種現(xiàn)象表明信息安全從此進(jìn)入了新的階段。企業(yè)信息安全將會(huì)得到更好保障，首先要確保企業(yè)采用的信息安全防護(hù)系統(tǒng)和手段是法律認(rèn)可的，當(dāng)被競(jìng)爭(zhēng)對(duì)手或其他人惡意攻擊時(shí)，盡可能保留證據(jù)，利用法律手段維護(hù)企業(yè)的權(quán)益和信息安全。

四、企業(yè)信息安全管理對(duì)策與展望

（一）主要對(duì)策

1.建立信息安全密碼

密碼技術(shù)近年來(lái)在應(yīng)用中不斷成熟，越來(lái)越多企業(yè)開(kāi)始將密碼技術(shù)應(yīng)用到企業(yè)信息安全管理中去，這是一個(gè)十分正確的選擇。企業(yè)內(nèi)部信息具有重要價(jià)值，密碼技術(shù)是企業(yè)信息安全最為關(guān)鍵的一道屏障。密碼的形式十分多樣，企業(yè)應(yīng)當(dāng)根據(jù)自身情況正確選擇密碼的形式，密碼技術(shù)是一項(xiàng)十分成熟的技術(shù)，應(yīng)當(dāng)?shù)玫礁嗟年P(guān)注，并且將這項(xiàng)技術(shù)全面應(yīng)用到企業(yè)內(nèi)部信息安全管理當(dāng)中去。企業(yè)內(nèi)部信息得到密碼的保護(hù)，能夠在企業(yè)內(nèi)部信息不慎泄露后得到最大化的保護(hù)，對(duì)于企業(yè)內(nèi)部信息的密碼也應(yīng)當(dāng)嚴(yán)格保密，做好相關(guān)的密碼保護(hù)工作。

2.建立安全管理制度

企業(yè)信息安全管理制度的建立需要多方面的配合，同時(shí)，企業(yè)信息安全管理制度的建立是一項(xiàng)十分復(fù)雜的工作，必須在實(shí)踐的過(guò)程中不斷完善。建立企業(yè)內(nèi)部信息安全管理制度是為了更加規(guī)范地保證企業(yè)內(nèi)部信息的安全，也對(duì)企業(yè)內(nèi)部信息安全管理人員的工作內(nèi)容，工作步驟做了明確規(guī)定，這對(duì)于企業(yè)內(nèi)部形成信息安全管理的長(zhǎng)效機(jī)制具有重要價(jià)值。企業(yè)信息安全管理制度應(yīng)當(dāng)與企業(yè)的實(shí)際生產(chǎn)經(jīng)營(yíng)情況相結(jié)合，在盡可能不影響企業(yè)正常工作的前提下，對(duì)企業(yè)的信息安全作出明確規(guī)定。常見(jiàn)的規(guī)定包括定期組織企業(yè)內(nèi)部信息安全管理工作人員進(jìn)行信息安全的例行檢查；對(duì)企業(yè)內(nèi)部信息安全管理人員的工作做到全面監(jiān)督，有效反饋等等。

3.建立數(shù)據(jù)庫(kù)的備份與恢復(fù)機(jī)制

現(xiàn)如今，外界主動(dòng)攻擊企業(yè)信息安全的事件越來(lái)越頻發(fā)，企業(yè)在被外界攻擊信息安全后所造成的損失往往無(wú)法挽回，同時(shí)這些信息對(duì)于企業(yè)具有十分重要的價(jià)值，倘若能夠及時(shí)恢復(fù)相關(guān)信息，能夠在很大程度上減小企業(yè)所遭受的損失，因此，建立一套基于數(shù)據(jù)庫(kù)信息備份與還原的信息安全管理機(jī)制十分重要。企業(yè)內(nèi)部信息系統(tǒng)數(shù)據(jù)庫(kù)的備份，可以有效保障企業(yè)信息系統(tǒng)非法入侵后的系統(tǒng)恢復(fù)工作。備份是對(duì)數(shù)據(jù)庫(kù)內(nèi)容保護(hù)最為穩(wěn)定和容易的一種方法。當(dāng)不穩(wěn)定因素發(fā)生的時(shí)候，能夠保證企業(yè)網(wǎng)絡(luò)信息的正常運(yùn)行。而恢復(fù)的理解，就是在不限定因素發(fā)展之后利用網(wǎng)絡(luò)技術(shù)的備份功能用來(lái)對(duì)數(shù)據(jù)庫(kù)內(nèi)容進(jìn)行重新恢復(fù)并正常使用的功能。

4.建立網(wǎng)絡(luò)安全預(yù)警系統(tǒng)

一般這種情況可以分為人為預(yù)警和病毒預(yù)警兩個(gè)方面。在電腦中的重要位置安裝上網(wǎng)絡(luò)入侵監(jiān)測(cè)體系，可以便于對(duì)電腦的技術(shù)和安全性在發(fā)展危害行為或改變。入侵監(jiān)測(cè)體系還能通過(guò)設(shè)立在固定時(shí)間對(duì)制定要求的位置進(jìn)行監(jiān)督和控制，判斷哪些系統(tǒng)是具有危害性的，但是防火墻還不能夠準(zhǔn)確判斷的系統(tǒng)。主要針對(duì)的是從企業(yè)內(nèi)部管理出現(xiàn)漏洞后對(duì)自身安全系統(tǒng)的“侵略”行為。而病毒預(yù)警系統(tǒng)通常是采用對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)的全部數(shù)據(jù)進(jìn)行監(jiān)督監(jiān)控的行為，確保在一天每個(gè)時(shí)間段內(nèi)都對(duì)數(shù)據(jù)包傳送掃描一旦發(fā)展病毒就要馬上進(jìn)行危險(xiǎn)信息提示，使得相關(guān)工作人員可以很快的通過(guò)定位查找的方法找到病毒的發(fā)出地。同時(shí)，在短時(shí)間內(nèi)陸續(xù)產(chǎn)生通過(guò)快速掃描出來(lái)的網(wǎng)絡(luò)日志和調(diào)查報(bào)告，為企業(yè)專業(yè)人員查找病毒具體來(lái)源提供便利條件。

（二）未來(lái)展望

1.加快完善我國(guó)信息安全政策法規(guī)建設(shè)

一是進(jìn)一步完善我國(guó)信息安全法律體系。適應(yīng)新形勢(shì)變化，制定新的信息安全法律，規(guī)范網(wǎng)絡(luò)空間主體的權(quán)利和義務(wù)，尤其在打擊網(wǎng)絡(luò)犯罪、信息資源保護(hù)、信息資源和數(shù)據(jù)的跨國(guó)流動(dòng)等方面加強(qiáng)立法，明確相關(guān)主體應(yīng)當(dāng)承擔(dān)的法律責(zé)任和義務(wù)，逐步構(gòu)建起信息安全立法框架。二是建立完善的信息安全監(jiān)督管理制度體系。進(jìn)一步加強(qiáng)信息安全等級(jí)保護(hù)工作，推進(jìn)信息安全風(fēng)險(xiǎn)評(píng)估工作，建立有效的信息安全審查制度，對(duì)航空航天、石油石化、電力系統(tǒng)等重要領(lǐng)域中應(yīng)用的核心技術(shù)和產(chǎn)品進(jìn)行安全檢查和風(fēng)險(xiǎn)評(píng)估。三是參考WTO規(guī)則制定我國(guó)信息安全行業(yè)管理規(guī)范。堅(jiān)持政府引導(dǎo)，行業(yè)自律的原則，針對(duì)信息安全行業(yè)中個(gè)人隱私、惡意競(jìng)爭(zhēng)等公眾比較關(guān)注的問(wèn)題，加強(qiáng)行業(yè)管理規(guī)范和行業(yè)自律準(zhǔn)則的制定和實(shí)施，規(guī)范信息安全企業(yè)的行為。

2.加強(qiáng)我國(guó)信息安全保障體制機(jī)制建設(shè)

一是進(jìn)一步加強(qiáng)網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組對(duì)我國(guó)網(wǎng)絡(luò)安全的統(tǒng)一領(lǐng)導(dǎo)和協(xié)調(diào)職責(zé)，提高保障網(wǎng)絡(luò)安全、應(yīng)對(duì)網(wǎng)絡(luò)犯罪、推動(dòng)網(wǎng)絡(luò)應(yīng)用和宣傳推廣等工作的協(xié)調(diào)能力，加強(qiáng)信息安全工作體制機(jī)制建設(shè)，建立運(yùn)轉(zhuǎn)順暢、協(xié)調(diào)有力、分工合理、責(zé)任明確的信息安全管理體制。二是逐步對(duì)各部委信息安全職能單位進(jìn)行調(diào)整，打破現(xiàn)在各部門“分工負(fù)責(zé)、各司其職”的條塊方式，依據(jù)十八大“穩(wěn)步推進(jìn)大部制改革”的指導(dǎo)精神，實(shí)現(xiàn)對(duì)信息安全部門的整合，成立“大信息安全機(jī)構(gòu)”。三是成立國(guó)家級(jí)的信息安全支撐機(jī)構(gòu)——中國(guó)信息安全研究院，整合各方信息安全支撐機(jī)構(gòu)，打造集信息安全政策、法規(guī)、標(biāo)準(zhǔn)、技術(shù)、產(chǎn)業(yè)研究為一體的支撐團(tuán)隊(duì)，形成對(duì)信息安全領(lǐng)域重大問(wèn)題、關(guān)鍵技術(shù)的持續(xù)研究能力，提高我國(guó)信息安全產(chǎn)業(yè)的核心競(jìng)爭(zhēng)力。

3.推動(dòng)關(guān)鍵信息基礎(chǔ)設(shè)施安全保障工作

一是啟動(dòng)信息安全核心技術(shù)產(chǎn)品的安全檢查工作。加強(qiáng)國(guó)外進(jìn)口技術(shù)和產(chǎn)品，以及新技術(shù)、新產(chǎn)品和新業(yè)務(wù)的漏洞分析工作，提升安全隱患的發(fā)現(xiàn)能力，促進(jìn)漏洞信息共享。建立進(jìn)口重大信息技術(shù)、產(chǎn)品及服務(wù)的安全檢測(cè)與審核制度，對(duì)進(jìn)口技術(shù)和產(chǎn)品的安全進(jìn)行風(fēng)險(xiǎn)評(píng)估。逐步實(shí)現(xiàn)核心技術(shù)產(chǎn)品的國(guó)產(chǎn)化替代，真正實(shí)現(xiàn)“以我為主，自主可控”。二是加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)工作。進(jìn)一步完善等級(jí)保護(hù)制度和標(biāo)準(zhǔn)，繼續(xù)做好等級(jí)保護(hù)定級(jí)工作，根據(jù)系統(tǒng)等級(jí)和面臨風(fēng)險(xiǎn)有針對(duì)性加強(qiáng)管理和技術(shù)防護(hù)。加強(qiáng)風(fēng)險(xiǎn)評(píng)估工作，做好系統(tǒng)測(cè)評(píng)、安全檢查等，及時(shí)發(fā)現(xiàn)風(fēng)險(xiǎn)隱患，完善安全措施。三是重點(diǎn)保障工業(yè)控制系統(tǒng)安全。全面落實(shí)《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》，切實(shí)加強(qiáng)對(duì)重點(diǎn)領(lǐng)域工業(yè)控制系統(tǒng)的信息安全管理工作，完善和加強(qiáng)工業(yè)控制系統(tǒng)安全檢查和測(cè)評(píng)工作。

4.全面提升新興技術(shù)安全風(fēng)險(xiǎn)防護(hù)能力

一是加大對(duì)云計(jì)算、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)、下一代互聯(lián)網(wǎng)等新興技術(shù)研發(fā)的資金投入，加強(qiáng)核心技術(shù)攻關(guān)，提高我國(guó)對(duì)新興技術(shù)的掌控能力，形成擁有自主知識(shí)產(chǎn)權(quán)的安全產(chǎn)業(yè)鏈條。二是加快網(wǎng)絡(luò)防護(hù)、入侵檢測(cè)、身份管理等信息安全關(guān)鍵技術(shù)研發(fā)，并與新興技術(shù)結(jié)合起來(lái)，提高新興技術(shù)在應(yīng)用過(guò)程的安全防護(hù)能力，如在基于PKI體系的電子認(rèn)證技術(shù)基礎(chǔ)上，研發(fā)應(yīng)用于云計(jì)算、移動(dòng)互聯(lián)網(wǎng)等新興技術(shù)上的身份管理等安全防護(hù)技術(shù)。三是建立新興技術(shù)的信息安全預(yù)警機(jī)制，成立專門的機(jī)構(gòu)對(duì)新興技術(shù)的信息安全隱患進(jìn)行分析和研究，并為公眾提供相關(guān)技術(shù)的使用指南或標(biāo)準(zhǔn)，對(duì)于關(guān)鍵領(lǐng)域或部門則應(yīng)出臺(tái)強(qiáng)制性標(biāo)準(zhǔn)或規(guī)定，限制新興技術(shù)的使用方式和范圍，如國(guó)家應(yīng)如何對(duì)掌控大量經(jīng)濟(jì)、地理等關(guān)鍵領(lǐng)域數(shù)據(jù)的企業(yè)進(jìn)行管控，限制其對(duì)相關(guān)數(shù)據(jù)的使用權(quán)限和范圍等。

五、結(jié)論

信息是社會(huì)發(fā)展的重要戰(zhàn)略資源，也是衡量一個(gè)企業(yè)乃至國(guó)家的重要參數(shù)。在信息時(shí)代的今天人們對(duì)信息的依賴越來(lái)越高，因此信息安全就尤為地重要。網(wǎng)絡(luò)環(huán)境下，企業(yè)在大力推進(jìn)信息化建設(shè)、提升企業(yè)核心競(jìng)爭(zhēng)力的同時(shí)，必須強(qiáng)化信息安全意識(shí)，認(rèn)識(shí)到網(wǎng)絡(luò)環(huán)境下企業(yè)信息可能遭到的安全隱患，從多方面進(jìn)行有效管理以及合理運(yùn)用技術(shù)、管理、制度和去律等進(jìn)行全方位的考慮，建立一個(gè)綜合性的防御安全體系，最大限度地降低企業(yè)信息有可能遭受的安全隱患，使得計(jì)算機(jī)技術(shù)在企業(yè)信息管理和運(yùn)用中更好地發(fā)揮應(yīng)有作用。

參考文獻(xiàn)

[1]井鵬程,王真.計(jì)算機(jī)網(wǎng)絡(luò)安全現(xiàn)狀和防御技術(shù)分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2017(03):60-61.

[2]朱駿.基于網(wǎng)絡(luò)安全的計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)現(xiàn)狀及發(fā)展研究[J].信息系統(tǒng)工程,2017(03):70-71.

[3]王劍.關(guān)于網(wǎng)絡(luò)安全技術(shù)的現(xiàn)狀分析及發(fā)展趨勢(shì)探討[J].數(shù)字通信世界,2016(05):32-33.

[4]艾戩.企業(yè)信息化建設(shè)中的信息安全探究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2015(3):100-101.

[5]吳捷.企業(yè)信息化建設(shè)中信息安全問(wèn)題的研究[J].通訊世界,2016(1):247-248

[6]肖錕.淺議網(wǎng)絡(luò)環(huán)境下的企業(yè)信息安全管理[J].標(biāo)準(zhǔn)科學(xué),2010(8):20-23.

[7]李鵬.計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)在企業(yè)信息化過(guò)程中的應(yīng)用[J].硅谷,2014(9):106-107.

[8]焦洪濤.中小企業(yè)信息安全管理策略研究[D].西安理工大學(xué),2009.

[9]梁軍.湖南電信公司內(nèi)網(wǎng)信息安全體系建設(shè)的研究[J].湖南大學(xué),2016(1):50-52.

[10]李慧.信息安全管理體系研究[D].西安電子科技大學(xué),2014.

[11]徐新件,朱健華.關(guān)于企業(yè)網(wǎng)絡(luò)信息安全管理問(wèn)題研究[J].供電企業(yè)管理,2010(5):20-21.