煤炭科學(xué)研究總院 張欣欣

1.引言

在當(dāng)今全球一體化的商業(yè)環(huán)境中，信息的重要性被企業(yè)廣泛接受，信息系統(tǒng)在企業(yè)和政府組織中得到了真正的廣泛的應(yīng)用。許多企業(yè)對(duì)其信息系統(tǒng)不斷增長(zhǎng)的依賴性，加上在信息系統(tǒng)上運(yùn)作業(yè)務(wù)的風(fēng)險(xiǎn)、收益和機(jī)會(huì)，使得信息安全管理成為企業(yè)管理越來(lái)越關(guān)鍵的一部分。目前，大多數(shù)企業(yè)都通過(guò)安裝硬件防火墻、部署入侵檢測(cè)、安裝防病毒軟件等工作，針對(duì)來(lái)自于外部網(wǎng)絡(luò)的攻擊和入侵做到了有效的防御，但是企業(yè)內(nèi)部的安全管理卻未引起足夠的重視，因此，探索多種途徑共同參與的企業(yè)信息化安全管理新模式就顯得尤為必要。

2.企業(yè)信息化安全管理存在的問(wèn)題

2.1 近年重大企業(yè)信息安全事故分析

近年來(lái)，國(guó)內(nèi)外企業(yè)信息安全事故發(fā)生的頻率呈現(xiàn)明顯上升趨勢(shì)，2011年4月，索尼公司被黑客入侵，導(dǎo)致用戶資料泄露，旗下PlayStation network用戶數(shù)據(jù)泄漏，不久，索尼旗下的世界各地其他網(wǎng)站和服務(wù)又頻頻遭到類似的攻擊；2011年12月CSDN網(wǎng)站數(shù)據(jù)庫(kù)中600多萬(wàn)用戶資料被泄露后，眾多大網(wǎng)站接連遭遇數(shù)據(jù)庫(kù)暴庫(kù)，成為中國(guó)有史以來(lái)的最大數(shù)據(jù)泄漏事件；2012年2月，巴西銀行成為了分布式拒絕服務(wù)攻擊的目標(biāo)；6月黑客組織Swagger Security攻擊入侵了華納兄弟和中國(guó)電信的網(wǎng)絡(luò)，并公布了文件和登錄證書。一系列的信息安全事故給企業(yè)的嚴(yán)重影響了不同類型企業(yè)的生產(chǎn)經(jīng)營(yíng)活動(dòng)，在給企業(yè)造成巨大的經(jīng)濟(jì)和社會(huì)效益損失的同時(shí)，也給企業(yè)的信息化安全管理工作敲響了警鐘。

2.2 常見(jiàn)的企業(yè)信息安全隱患來(lái)源分析

企業(yè)信息安全的隱患主要來(lái)自三個(gè)方面，首先是網(wǎng)絡(luò)安全隱患，主要體現(xiàn)在網(wǎng)絡(luò)拓?fù)洳缓侠?、OSI/RM參考模型中各層通信的安全隱患、病毒和黑客攻擊、數(shù)據(jù)的下載和數(shù)據(jù)存儲(chǔ)安全、用戶身份認(rèn)證、防火墻的局限性、軟件本身的安全漏洞等方面，因此，網(wǎng)絡(luò)安全隱患構(gòu)成對(duì)企業(yè)安全管理的最大壓力。其次是物理安全隱患，主要是指網(wǎng)絡(luò)設(shè)備或工作場(chǎng)所使用不當(dāng)可能帶來(lái)的安全隱患，特別嚴(yán)重的是采用無(wú)線局域網(wǎng)連接的企業(yè)用戶。企業(yè)的物理安全隱患體現(xiàn)在機(jī)房安全隱患、數(shù)據(jù)存儲(chǔ)備份等安全隱患以及網(wǎng)絡(luò)安全設(shè)備由于涉及或是技術(shù)發(fā)展帶來(lái)的設(shè)備自身的安全隱患，物理安全隱患一般可通過(guò)增加投入，加強(qiáng)設(shè)備管理來(lái)消除和降低；最后是企業(yè)安全管理隱患，統(tǒng)計(jì)資料顯示，企業(yè)的安全事故大部分是由于員工的安全意識(shí)差、安全習(xí)慣不可信、規(guī)范引起的。

2.3 企業(yè)信息化安全管理存在的問(wèn)題分析

目前，企業(yè)信息化安全管理還存在一些明顯的問(wèn)題，主要表現(xiàn)在以下幾個(gè)方面：首先，企業(yè)信息化安全設(shè)備投入不足。很多企業(yè)雖認(rèn)識(shí)到信息化對(duì)企業(yè)經(jīng)營(yíng)管理和發(fā)展帶來(lái)的巨大效益，但往往投資不足，僅有的部分投資也主要集中在服務(wù)器、存儲(chǔ)等硬件設(shè)備以及應(yīng)用軟件開(kāi)發(fā)上，對(duì)安全設(shè)備的投資明顯不足；其次，企業(yè)信息化安全管理的人才不足，很多企業(yè)沒(méi)有專業(yè)的系統(tǒng)安全管理員；第三，企業(yè)的信息安全管理體制機(jī)制還不健全；第四，企業(yè)對(duì)信息化系統(tǒng)安全管理的重視程度還有待進(jìn)一步加強(qiáng)；最后，企業(yè)防范安全風(fēng)險(xiǎn)的能力還很弱，簡(jiǎn)單的系統(tǒng)攻擊或是病毒威脅都可能造成嚴(yán)重的信息泄露事件。

3.企業(yè)信息化安全管理新模式研究

3.1 基于網(wǎng)絡(luò)安全策略的信息化安全管理

企業(yè)的信息安全策略是保證企業(yè)信息化安全基石。信息安全策略體現(xiàn)的是企業(yè)信息安全管理的目標(biāo)和水平。所以，為了保證企業(yè)的信息安全策略相關(guān)技術(shù)手段和管理體系、制度落實(shí)，首先管理人員必須對(duì)公司的信息安全的重視程度以及投資等問(wèn)題上取得一致意見(jiàn)。其次，企業(yè)需要根據(jù)企業(yè)的安全目標(biāo)標(biāo)志相應(yīng)的安全保障策略文檔，文檔的內(nèi)容包括企業(yè)的核心業(yè)務(wù)系統(tǒng)的安全等級(jí)、需要達(dá)到的安全防護(hù)標(biāo)準(zhǔn)、以及達(dá)到預(yù)期的安全目標(biāo)所采取的管理措施、技術(shù)措施、硬件設(shè)備投資等。安全策略文檔的內(nèi)容要能夠真實(shí)準(zhǔn)確的反映企業(yè)信息安全管理實(shí)踐的實(shí)際，安全策略要淺顯易懂，能夠?yàn)閱T工所接受，在相關(guān)獎(jiǎng)懲措施上要得到領(lǐng)導(dǎo)層的認(rèn)可，安全策略的的執(zhí)行要與企業(yè)的整體經(jīng)營(yíng)策略匹配。

一般而言，企業(yè)信息化的安全策略應(yīng)該包含以下幾個(gè)方面的內(nèi)容：一是安全管理的范圍。它應(yīng)當(dāng)涉及企業(yè)內(nèi)所有信息資源、信息系統(tǒng)、網(wǎng)絡(luò)設(shè)施、以及所有企業(yè)用戶；二是企業(yè)安全信息的分類管理。企業(yè)安全策略應(yīng)當(dāng)明確信息的詳細(xì)權(quán)限和開(kāi)放程度，對(duì)特定信息提供特定內(nèi)容的定義；三是在每種信息分類中安全信息處理的管理目標(biāo)。四是其它管理要求和補(bǔ)充文檔的策略布置；五是企業(yè)信息安全技術(shù)標(biāo)準(zhǔn)、安全管理流程等用于參考的證明文件。六是對(duì)企業(yè)范圍內(nèi)行之有效的安全要求和規(guī)范的具體規(guī)定；七是指明確切、具體的責(zé)任；八是違反策略（不合規(guī)）時(shí)所面臨的后果（例如，解聘或合同中止等）。同時(shí)，企業(yè)信息安全策略的形成過(guò)程應(yīng)在策略文檔之外。

3.2 企業(yè)的網(wǎng)絡(luò)信息安全保障模式研究

目前，對(duì)企業(yè)信息安全威脅最大的除了來(lái)自企業(yè)內(nèi)部員工安全意識(shí)差造成的意外泄密事件外，最重要的安全威脅來(lái)自于網(wǎng)絡(luò)。網(wǎng)絡(luò)攻擊的形式和內(nèi)容的多種多樣以及目前我國(guó)基礎(chǔ)網(wǎng)絡(luò)、重要信息系統(tǒng)和工業(yè)控制系統(tǒng)等關(guān)鍵信息基礎(chǔ)設(shè)施的核心技術(shù)和產(chǎn)品長(zhǎng)期受制于人，導(dǎo)致，企業(yè)的網(wǎng)絡(luò)信息安全的壓力持續(xù)攀升。同時(shí)，受移動(dòng)設(shè)備、E-mail、移動(dòng)存儲(chǔ)設(shè)備等多種網(wǎng)絡(luò)接入途徑和傳播方式的影響，企業(yè)信息安全技術(shù)漏洞和安全隱患的不斷增多。因此，多層式信息安全防護(hù)體系的建立成為企業(yè)網(wǎng)絡(luò)信息安全管理的必然選擇。對(duì)層式安全防護(hù)體系主要針對(duì)用戶易受攻擊環(huán)節(jié)、管理環(huán)節(jié)前瞻性的安全措施。對(duì)Web、電子郵件、移動(dòng)設(shè)備和桌面客戶端等關(guān)鍵易受攻擊環(huán)節(jié)的安全防護(hù)，采用配置終端系統(tǒng)安全、安裝企業(yè)版防病毒軟件、部署一些基本的網(wǎng)絡(luò)安全設(shè)備等方式，做好防護(hù)工作將，確保大部分的網(wǎng)絡(luò)威脅被擋在門外，通過(guò)多層式安全防護(hù)為企業(yè)的信息資源內(nèi)容安全提供更多保障。針對(duì)管理環(huán)節(jié)，通過(guò)企業(yè)用戶建立管理服務(wù)器、客戶端、遠(yuǎn)程用戶的安全策略，消除整個(gè)網(wǎng)絡(luò)上的安全隱患。同時(shí)，為保證網(wǎng)絡(luò)信息安全管理的長(zhǎng)效性和持續(xù)性，所有的安全策略，包括安全保障的硬件設(shè)備以及上網(wǎng)行為審計(jì)、殺毒軟件等軟件系統(tǒng)，都必須得到及時(shí)更新，否則最好的安全解決方案也不能充分發(fā)揮其效用。

3.3 企業(yè)信息安全的管理措施研究

再好的設(shè)備也比不上完善的管理制度，培養(yǎng)員工良好的信息安全意識(shí)才是最重要的。在企業(yè)信息安全管理中，人員安全行為和意識(shí)的管理始終是整個(gè)安全防護(hù)體系建設(shè)的核心。因此，企業(yè)除了購(gòu)置必要的安全防護(hù)硬件和軟件設(shè)備，建立強(qiáng)大的網(wǎng)絡(luò)安全架構(gòu)外，還需要從安全管理制度以及應(yīng)用水和技術(shù)上加強(qiáng)網(wǎng)絡(luò)安全的管理和防護(hù)。首先，需要建立嚴(yán)格的企業(yè)安全管理制度。對(duì)企業(yè)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)要嚴(yán)格保密，制定上網(wǎng)行為管理制度、企業(yè)安全認(rèn)證制度、機(jī)房管理制度、安全管理職責(zé)分工等管理規(guī)定，同時(shí)，針對(duì)突發(fā)的安全事故制定相應(yīng)的應(yīng)急預(yù)案和臨時(shí)的防護(hù)、備份、容災(zāi)體系，保證安全管理有據(jù)可依，有規(guī)可查，有章可遵，實(shí)現(xiàn)層層落實(shí)，動(dòng)態(tài)調(diào)整的企業(yè)信息安全管理形態(tài)；其次，加強(qiáng)企業(yè)安全管理人員的技術(shù)培訓(xùn)，及時(shí)掌握最新安全技術(shù)發(fā)展趨勢(shì)，調(diào)整適應(yīng)新的安全管理形式，及時(shí)了解網(wǎng)絡(luò)病毒、密碼攻擊、分組竊聽(tīng)、IP欺騙、拒絕服務(wù)、端口攻擊等多樣化的攻擊手段，以便更好的管理企業(yè)的信息安全工作；最后是加強(qiáng)企業(yè)員工的安全培訓(xùn)，提升員工的安全意識(shí)，引導(dǎo)員工養(yǎng)成良好的信息安全保密習(xí)慣，通過(guò)個(gè)人行為提升企業(yè)的整體安全管理水平。

4.結(jié)論

企業(yè)信息化安全管理的核心工作和措施是提高防御能力，防患于未然。企業(yè)只有通過(guò)多途徑、多層級(jí)的安全防御體系建設(shè)，才能保證安全等級(jí)的提升，御敵于網(wǎng)絡(luò)之外。通過(guò)信息安全技術(shù)發(fā)展分析不難發(fā)自按，未來(lái)企業(yè)信息安全一定是朝著多層防御體系建設(shè)方向發(fā)展。同時(shí)，我們也需要清楚的認(rèn)識(shí)到，企業(yè)信息安全管理處制定安全策略、提升企業(yè)的網(wǎng)絡(luò)安全水平外，人員的管理才是企業(yè)信息安全管理核心中的核心，所有的安全管理設(shè)備和安全防御技術(shù)以及體系結(jié)構(gòu)都僅僅是手段，而企業(yè)員工的安全意識(shí)和自我安全管理能力才是企業(yè)安全管理的重點(diǎn)，只有保證了人員的安全，才能真正實(shí)現(xiàn)企業(yè)信息化安全。

[1]張建軍,孟亞平.信息安全風(fēng)險(xiǎn)評(píng)估:探索與實(shí)踐[M].北京:中國(guó)標(biāo)準(zhǔn)出版社,2008.

[2]林東岱,曹天杰.企業(yè)信息系統(tǒng)安全威脅與對(duì)策[M].北京:電子工業(yè)出版社,2004.

[3]戴宗坤,等.信息系統(tǒng)安全[M].北京:電子工業(yè)出版社,2002.

[4]郝曉玲,胡克瑾.信息安全評(píng)估方法與應(yīng)用研究[J].情報(bào)方法,2012(3).