◎

市場競爭的日益激烈，使得企業(yè)不得不通過信息化建設(shè)帶動(dòng)企業(yè)的轉(zhuǎn)型升級(jí)，利用信息技術(shù)增強(qiáng)企業(yè)自身核心競爭力已成為眾多企業(yè)的共識(shí)，企業(yè)的信息化建設(shè)工作空前繁榮。然而，隨之而來的信息安全問題也呼之欲出，信息技術(shù)的快速進(jìn)步，使以往公認(rèn)的安全狀態(tài)發(fā)生了顯著的變化。企業(yè)面臨著海量增長的數(shù)據(jù)、更多的數(shù)據(jù)侵犯以及各種內(nèi)外部威脅，諸多潛在風(fēng)險(xiǎn)對(duì)企業(yè)的信息安全構(gòu)成挑戰(zhàn)。信息安全在企業(yè)的信息化建設(shè)過程中成為至關(guān)重要的問題，信息安全也不在局限于簡單的定義，它被越來越多的企業(yè)正式提到工作日程中去。

信息安全愈加受到企業(yè)重視

國際公認(rèn)的ISO/IEC IT安全管理指南(GMITS)對(duì)信息給出如下解釋：信息是通過施加于數(shù)據(jù)上的某些約定，當(dāng)前賦予這些數(shù)據(jù)的特定含義。信息可以理解為消息、情報(bào)或知識(shí)。信息本身是無形的，借助于信息媒體以多種形式存在，有的存儲(chǔ)在計(jì)算機(jī)里，有的保存在磁帶或光盤里，有的被攝制在膠卷里，有的記憶在人的大腦里，有的通過傳真發(fā)送，有的通過網(wǎng)絡(luò)傳送，有的通過交談方式來表達(dá)。

信息作為一種無形資產(chǎn)，是企業(yè)進(jìn)行商務(wù)運(yùn)作和管理不可或缺的資源，也是企業(yè)重要的“無形財(cái)富”。在信息時(shí)代，信息不斷創(chuàng)造財(cái)富，并為企業(yè)發(fā)展提供不竭動(dòng)力，而隨著企業(yè)信息化建設(shè)工作的不斷推進(jìn)，大多數(shù)企業(yè)的信息化系統(tǒng)進(jìn)入高速發(fā)展階段，信息化系統(tǒng)推動(dòng)企業(yè)轉(zhuǎn)型變革，企業(yè)利用信息化系統(tǒng)提高工作效率并創(chuàng)造了全新的工作方式。

眼下，政府部門、金融部門、企事業(yè)單位的多項(xiàng)業(yè)務(wù)運(yùn)行都要依賴于信息系統(tǒng)，信息系統(tǒng)數(shù)量大幅增加，系統(tǒng)復(fù)雜程度日益提高，特別是企業(yè)的基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)已經(jīng)成為支撐企業(yè)業(yè)務(wù)發(fā)展，提高企業(yè)核心競爭力的重要載體和主要手段。因此，信息系統(tǒng)的安全性變得尤為重要。例如ERP（企業(yè)資源計(jì)劃）系統(tǒng)、OA(辦公自動(dòng)化)系統(tǒng)以及各類管理信息系統(tǒng)，都會(huì)涉及到企業(yè)信息的存儲(chǔ)、傳輸與使用等信息處理問題，在這一繁瑣的信息處理過程中，信息安全問題變得至關(guān)重要。

企業(yè)如何保護(hù)信息安全和信息系統(tǒng)安全，最大限度的減少或避免因信息泄密、病毒泛濫、網(wǎng)絡(luò)攻擊、惡意插件安裝等信息安全問題所造成的經(jīng)濟(jì)損失及對(duì)企業(yè)形象的影響，是擺在眾多企業(yè)面前亟需妥善解決的一項(xiàng)具有重大戰(zhàn)略意義的課題。對(duì)于企業(yè)存儲(chǔ)在計(jì)算機(jī)中的重要文件以及保存在數(shù)據(jù)庫中的機(jī)密數(shù)據(jù)等信息都存在著安全隱患，一旦丟失、損壞或泄露，使信息不能及時(shí)送達(dá)，將會(huì)給企業(yè)造成巨大損失。如果是商業(yè)機(jī)密信息，給企業(yè)造成的損失將更加嚴(yán)重，甚至?xí)绊懙狡髽I(yè)未來的生存和發(fā)展。

業(yè)內(nèi)人士表示：日趨嚴(yán)峻的網(wǎng)絡(luò)環(huán)境直接提升了信息安全在企業(yè)組織架構(gòu)中的地位和重要性。多年來企業(yè)的業(yè)務(wù)和IT負(fù)責(zé)人員對(duì)信息安全抱著不同的觀點(diǎn)，但屢屢爆發(fā)的信息安全事件使企業(yè)的信息安全壓力加劇，使管理人員對(duì)信息安全的重要性重新審視并漸趨一致。

中國電子信息產(chǎn)業(yè)發(fā)展研究院針對(duì)中小企業(yè)對(duì)他們的信息安全需求做過調(diào)查，結(jié)果顯示，企業(yè)對(duì)于信息安全的認(rèn)知相較于早年前有了明顯提升，有相當(dāng)一部分的企業(yè)正視信息安全問題，并認(rèn)為信息安全將成為企業(yè)未來發(fā)展的決定性因素之一；調(diào)查還顯示五分之一的企業(yè)沒有信息泄密的事件發(fā)生，說明信息安全對(duì)大多數(shù)企業(yè)已經(jīng)構(gòu)成威脅。此外，根據(jù)《2012年全球信息安全狀況調(diào)查》的結(jié)果顯示，來自138個(gè)國家不同行業(yè)超過9600位高級(jí)管理人員都對(duì)其企業(yè)信息安全工作的成效很有信心，并將在未來繼續(xù)加大企業(yè)對(duì)信息安全方面的投入。

這些數(shù)據(jù)都充分說明信息安全在企業(yè)中的地位正在日益提升。企業(yè)的正常運(yùn)作離不開信息資源的支持，大到企業(yè)的發(fā)展戰(zhàn)略、經(jīng)營計(jì)劃、知識(shí)產(chǎn)權(quán)；小到企業(yè)的生產(chǎn)工藝、方案圖紙、客戶資源等各種重要數(shù)據(jù)，都是企業(yè)日常運(yùn)營中的隱形財(cái)富。這些信息是企業(yè)全體員工共同的智慧結(jié)晶，不僅是企業(yè)未來發(fā)展的不竭動(dòng)力，也是企業(yè)前進(jìn)的方向。企業(yè)的重要信息一旦外泄將直接導(dǎo)致企業(yè)失去市場競爭優(yōu)勢(shì)，甚至?xí)馐軠珥斨疄?zāi)。

企業(yè)信息安全現(xiàn)狀

在沒有使用計(jì)算機(jī)進(jìn)行信息資源管理之前，信息通常都是以紙介質(zhì)和某些設(shè)備（如錄音、錄像設(shè)備等）進(jìn)行保存和傳播，國家以及相關(guān)機(jī)構(gòu)對(duì)信息的安全管理有著嚴(yán)格法律法規(guī)約束，一旦出現(xiàn)安全問題，可以通過行政、執(zhí)法手段進(jìn)行追蹤，查出問題的根源，并追究其相應(yīng)的責(zé)任。而現(xiàn)在利用信息技術(shù)管理的信息安全問題相較之前變得更為復(fù)雜，病毒傳播、黑客攻擊等安全問題，大大增加了信息安全的管理難度。信息安全一旦出現(xiàn)紕漏，企業(yè)的相關(guān)信息將面臨丟失乃至落到競爭對(duì)手手中，因此，企業(yè)的信息安全問題至關(guān)重要。

要保證企業(yè)信息安全，就必須找出企業(yè)信息安全方面存在的問題，從而才能有針對(duì)性地解決問題。目前，很多企業(yè)在信息化建設(shè)過程中，對(duì)于信息安全沒有系統(tǒng)的規(guī)劃，缺少完善的制度。很多企業(yè)信息安全管理制度不健全，部分企業(yè)雖然制定信息安全管理制度，但在實(shí)踐過程中往往流于形式。同時(shí)，多數(shù)企業(yè)的信息化工作仍然停留在構(gòu)建網(wǎng)絡(luò)平臺(tái)、購買硬件和軟件等方面，企業(yè)對(duì)于信息安全教育培訓(xùn)意識(shí)淡薄；企業(yè)相關(guān)管理人員也片面地把信息安全問題理解成一道堅(jiān)固的、天然的靜態(tài)防線，沒有從更深層次剖析信息安全的深刻意義，高層領(lǐng)導(dǎo)對(duì)于信息安全沒有引起足夠的重視，從而埋下了信息安全的隱患。

與此同時(shí)，垃圾郵件、網(wǎng)絡(luò)資源濫用、病毒泛濫以及網(wǎng)絡(luò)攻擊、系統(tǒng)非法入侵、數(shù)據(jù)泄密、服務(wù)器癱瘓、漏洞非法利用等問題成為企業(yè)最為頭疼的信息安全問題。由于入侵者或入侵組織對(duì)企業(yè)的入侵行為往往混雜于正常的網(wǎng)絡(luò)活動(dòng)之中，沒有地域和時(shí)間的限制，隱蔽性很強(qiáng)，而入侵的手段和工具也越來越趨向復(fù)雜化和多樣化，這給很多企業(yè)的信息安全造成巨大威脅。

不可忽視的是，部分企業(yè)人員流動(dòng)頻繁，企業(yè)內(nèi)部信息缺乏妥善保存，沒有形成嚴(yán)格的分層權(quán)限管理，很容易引起因員工的流失導(dǎo)致重要信息的泄露。同時(shí)，我國大部分企業(yè)缺少對(duì)信息安全方面的管理經(jīng)驗(yàn)，因而在正常的信息化應(yīng)用情況下，往往會(huì)忽視對(duì)企業(yè)信息資產(chǎn)的保護(hù)。

更為重要的是，部分企業(yè)在信息化建設(shè)初期投入較低，技術(shù)力量薄弱。眾所周知，企業(yè)要想全面實(shí)施信息化，需要投入大量的人力、物力和財(cái)力，同時(shí)也要引進(jìn)專業(yè)的IT人才。然而很多企業(yè)由于自身?xiàng)l件限制、資金短缺等問題，對(duì)信息化建設(shè)工作投入不大，信息化建設(shè)工作也不專業(yè)，信息安全更加無從談起。另外，即使對(duì)于重視信息化建設(shè)并且實(shí)力雄厚的企業(yè)來說，企業(yè)的注意力往往局限于信息化系統(tǒng)的硬件上。數(shù)據(jù)顯示，企業(yè)硬件的投資占到整個(gè)信息化投資的80%以上，而配套軟件投入以及專業(yè)人才的培養(yǎng)相對(duì)滯后。這些問題都造成了企業(yè)信息安全問題的短板。

據(jù)IDC調(diào)查報(bào)告顯示，全球有近80%的企業(yè)存在著信息安全與風(fēng)險(xiǎn)問題。在報(bào)告所調(diào)查的公司中，進(jìn)行網(wǎng)絡(luò)常規(guī)安全檢查的公司不到一半，只有30%的公司具有跟蹤用戶訪問的能力，30%的公司使用加密技術(shù)進(jìn)行數(shù)據(jù)傳輸。信息安全問題大都來自于企業(yè)內(nèi)部，信息泄密很多時(shí)候源于信息安全管理不善。

關(guān)于企業(yè)信息安全的思考

我國國家信息安全戰(zhàn)略的總體目標(biāo)是：提高信息化建設(shè)能力，控制和化解信息化進(jìn)程中出現(xiàn)的問題與風(fēng)險(xiǎn)，創(chuàng)建安全健康的網(wǎng)絡(luò)環(huán)境，保障和促進(jìn)信息化發(fā)展，保護(hù)公眾利益、維護(hù)國家安全。建立和完善維護(hù)國家信息安全的長效機(jī)制，掌握國家信息安全的戰(zhàn)略主動(dòng)權(quán)。

針對(duì)我國的實(shí)際情況，僅僅依靠企業(yè)自發(fā)地去建設(shè)信息化及其安全意識(shí)是不夠的，發(fā)達(dá)國家的經(jīng)驗(yàn)已經(jīng)證明：在企業(yè)信息化建設(shè)過程中，政府的支持、鼓勵(lì)與引導(dǎo)至關(guān)重要。政府的作用主要是改進(jìn)和完善企業(yè)信息化建設(shè)的環(huán)境，包括信息化基礎(chǔ)設(shè)施建設(shè)、配套體系的建立和完善、信息安全相關(guān)法律法規(guī)的制定等，從而為企業(yè)信息化建設(shè)工作及其信息安全管理營造一個(gè)良好的環(huán)境，確保企業(yè)核心信息受國家法律保護(hù)而不受侵害。

在企業(yè)信息化建設(shè)過程中，要通過對(duì)企業(yè)領(lǐng)導(dǎo)與計(jì)算機(jī)管理骨干技術(shù)人員的培訓(xùn)，加強(qiáng)相關(guān)人員對(duì)信息安全的認(rèn)識(shí)，提高專業(yè)人員的技術(shù)水平。通過前期對(duì)信息安全的整體規(guī)劃，制定企業(yè)信息安全制度，為企業(yè)信息安全管理奠定基礎(chǔ)。在信息安全投入方面要從企業(yè)的實(shí)際情況出發(fā)，首先要對(duì)企業(yè)的信息安全有一個(gè)系統(tǒng)的評(píng)估，弄清楚企業(yè)需要對(duì)哪些方面進(jìn)行保護(hù)？對(duì)哪些方面進(jìn)行重點(diǎn)保護(hù)？企業(yè)的核心信息是什么？搞清楚這些問題后，有針對(duì)性的制定信息安全管理辦法，結(jié)合企業(yè)信息安全制度，對(duì)企業(yè)的核心信息進(jìn)行分層級(jí)權(quán)限管理，配合企業(yè)信息從輸入、使用、輸出過程的安全管理, 以最小的投入，確保企業(yè)信息安全。

企業(yè)在信息化建設(shè)中的信息安全問題有著廣泛的內(nèi)容，信息安全系統(tǒng)的建設(shè)管理、維護(hù)是一項(xiàng)系統(tǒng)工程，涉及多個(gè)方面、多個(gè)部門。目前，企業(yè)的信息安全問題主要以防范為主，信息安全建設(shè)從管理開始，結(jié)合企業(yè)的實(shí)際情況制定系統(tǒng)有效的信息安全制度是企業(yè)的當(dāng)務(wù)之急。

在信息時(shí)代,有效的企業(yè)信息安全管理對(duì)企業(yè)的良好運(yùn)作至關(guān)重要,在具體的實(shí)施過程中，企業(yè)信息安全工作需要從前期安全策略的具體制定、中期信息安全解決方案的選擇與實(shí)施、后續(xù)的信息安全的修復(fù)、跟進(jìn)等多方面、全方位予以重視，并作周到細(xì)致的考慮。信息安全建設(shè)是伴隨著企業(yè)信息化建設(shè)的一個(gè)長期過程。

企業(yè)要保持健康可持續(xù)性發(fā)展，信息安全是基本保證之一。隨著信息環(huán)境的日益惡化以及企業(yè)自身的不斷發(fā)展，越來越多的信息安全事件層出不窮，信息安全問題已經(jīng)被企業(yè)提上議事日程，企業(yè)管理者也逐漸走出以往的誤區(qū)，并加大對(duì)信息安全的投入。信息安全管理成了企業(yè)首要任務(wù)之一，越來越多的中小企業(yè)也紛紛加入到這個(gè)日益龐大的隊(duì)伍中來。在不久的將來，信息安全作為企業(yè)生存和發(fā)展的關(guān)鍵因素，將被更多的企業(yè)所關(guān)注。