陳茂華

[摘 要] 21世紀(jì)是信息技術(shù)高度發(fā)展的時(shí)代。隨著市場(chǎng)競(jìng)爭(zhēng)的日益殘酷，企業(yè)所面臨的挑戰(zhàn)與困難越來(lái)越多，在這樣的形勢(shì)下，企業(yè)能否保持自己的生命力，信息安全至關(guān)重要。目前，企業(yè)的信息安全技術(shù)已從單一技術(shù)轉(zhuǎn)變成信息綜合技術(shù)。由于時(shí)代的要求，企業(yè)將建立一個(gè)嶄新的信息安全體系，不僅可以確保企業(yè)信息的安全，還可以確保信息的傳遞及時(shí)、高效。在當(dāng)前形勢(shì)下，信息安全體系應(yīng)當(dāng)如何創(chuàng)建，就是本文所要探討的問(wèn)題。

[關(guān)鍵詞] 信息技術(shù)；安全體系；信息系統(tǒng)

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2014 . 21. 056

[中圖分類號(hào)] TP393.08 [文獻(xiàn)標(biāo)識(shí)碼] A [文章編號(hào)] 1673 - 0194（2014）21- 0075- 02

1 信息安全體系的作用

由于信息技術(shù)日益發(fā)展，信息系統(tǒng)已經(jīng)變成了一種至關(guān)重要的信息交換工具；同時(shí)，企業(yè)也越來(lái)越離不開(kāi)信息資源。但是，因?yàn)橛?jì)算機(jī)網(wǎng)絡(luò)自身具備著多種特性，如多樣的連接形式、散布不均的終端設(shè)備，開(kāi)放度過(guò)大以及極強(qiáng)的互聯(lián)性等，又加上難以避免的技術(shù)弱點(diǎn)以及其他人為因素，造成信息系統(tǒng)極易遭到計(jì)算機(jī)病毒、黑客以及某些惡意軟件的攻擊，從而導(dǎo)致信息被損毀或被盜取，最終導(dǎo)致信息系統(tǒng)的堅(jiān)固性遠(yuǎn)不及傳統(tǒng)的實(shí)物資產(chǎn)。在如此背景之下，企業(yè)就不得不需要提升自身信息安全管理的水平。而且企業(yè)當(dāng)前并非純粹面對(duì)著信息安全方面的難題，它還面對(duì)著其他諸多難題，如經(jīng)營(yíng)是否合法、系統(tǒng)是否適用、 銷售能否長(zhǎng)久等。所以，應(yīng)構(gòu)建一套健全的系統(tǒng)，借此高效地確保信息系統(tǒng)的整體安全。

2 信息安全管理體系的創(chuàng)建

2.1 安全技術(shù)系統(tǒng)

安全技術(shù)系統(tǒng)以網(wǎng)絡(luò)信息安全管理平臺(tái)作中樞，以物理安全作前提，其包括全方位的安全設(shè)置，比如服務(wù)器安全、運(yùn)用安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、用戶安全以及終端安全等。

2.1.1 服務(wù)器安全

服務(wù)器安全風(fēng)險(xiǎn)的來(lái)源一般包含如下幾類：服務(wù)器出現(xiàn)單點(diǎn)毛病、功能欠缺、CPU運(yùn)行不堪負(fù)荷以及病毒襲擊等。

服務(wù)器安全管理的任務(wù)是嚴(yán)密監(jiān)管各類應(yīng)用服務(wù)器及數(shù)據(jù)庫(kù)服務(wù)器，保障其安全平穩(wěn)工作。提升服務(wù)器的安全性能，應(yīng)當(dāng)從以下幾方面入手：加固主機(jī)；加強(qiáng)主機(jī)的安全性能；監(jiān)管服務(wù)器的整體安全情況；檢查安全基線的具體情形。

2.1.2 運(yùn)用安全

運(yùn)用安全一般是根據(jù)各類安全產(chǎn)品設(shè)置監(jiān)管標(biāo)準(zhǔn)與使用規(guī)范，不僅審計(jì)用戶的每一操作的安全性，而且對(duì)全程操作實(shí)施記錄，實(shí)現(xiàn)事后審計(jì)，同時(shí)做到有據(jù)可查，給安全標(biāo)準(zhǔn)的制定與監(jiān)管提供一定的數(shù)據(jù)條件。

2.1.3 網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全體系面對(duì)的風(fēng)險(xiǎn)一般包含兩種。其一，來(lái)源于信息體系內(nèi)的風(fēng)險(xiǎn)，公司內(nèi)部職員也許由于無(wú)意過(guò)失，或者是由于故意而借助某些技術(shù)方式等越權(quán)利用或盜用信息體系內(nèi)部的計(jì)算機(jī)、網(wǎng)絡(luò)設(shè)施、業(yè)務(wù)體系以及中心數(shù)據(jù)，導(dǎo)致信息體系呈現(xiàn)不平衡的運(yùn)行狀態(tài)，最終形成程度不一的損害。其二，來(lái)源于信息體系外的風(fēng)險(xiǎn)，公司信息網(wǎng)絡(luò)直接連通至互聯(lián)網(wǎng)，互聯(lián)網(wǎng)中的某些惡意機(jī)構(gòu)或個(gè)人也許依靠某些不法手段，攻擊或滲入信息體系，從而對(duì)信息體系的正常運(yùn)行造成一定程度的損害。

因此，網(wǎng)絡(luò)安全保護(hù)需從多方面入手加以設(shè)計(jì)與安排，如管控網(wǎng)絡(luò)訪問(wèn)數(shù)量、監(jiān)控網(wǎng)絡(luò)安全、監(jiān)管遠(yuǎn)程接入、加強(qiáng)互聯(lián)網(wǎng)安全等。針對(duì)網(wǎng)絡(luò)構(gòu)造與性能以及業(yè)務(wù)的不同要求，借助防火墻設(shè)置內(nèi)外網(wǎng)，把網(wǎng)絡(luò)分割成多個(gè)性能區(qū)域，同時(shí)對(duì)每個(gè)性能區(qū)域的訪問(wèn)權(quán)限實(shí)施嚴(yán)密監(jiān)管。

2.1.4 數(shù)據(jù)安全

對(duì)于信息安全而言，數(shù)據(jù)安全是重中之重，不但要求注重?cái)?shù)據(jù)庫(kù)的本地存儲(chǔ)、備份以及高可用技術(shù)，而且更重要的是需防止數(shù)據(jù)泄露。根據(jù)美國(guó)犯罪現(xiàn)場(chǎng)鑒證科的研究表明：在現(xiàn)存可用的安全技術(shù)中，以數(shù)據(jù)加密傳送與存儲(chǔ)為前提的技術(shù)運(yùn)用所占的比重高達(dá)65%，數(shù)據(jù)加密技術(shù)已變成了一種極具發(fā)展前景的運(yùn)用技術(shù)。由于各類攻擊所導(dǎo)致的經(jīng)濟(jì)損失巨大，當(dāng)前企業(yè)對(duì)于機(jī)密信息的安全保護(hù)情況更加重視。所以，信息偷盜事件的主謀已并非純粹的網(wǎng)絡(luò)黑客或惡意程序，越來(lái)越多的數(shù)據(jù)資料是由公司及組織內(nèi)部的職工所泄露或偷盜。對(duì)比過(guò)去的外部偷盜，這一由于內(nèi)部人員所導(dǎo)致的信息風(fēng)險(xiǎn)更具針對(duì)性與潛伏性，企業(yè)也更易遭受重大損失。

2.1.5 用戶安全

用戶安全通常是對(duì)用戶的身份實(shí)施一致管理，統(tǒng)一授權(quán)與審計(jì)。

2.1.6 終端安全

終端安全關(guān)鍵是完成防病毒、域管理的整體覆蓋，并對(duì)域終端采取規(guī)范化管理，在所有域中統(tǒng)一使用防病毒、域管理以及補(bǔ)丁管理體系。

2.2 安全管理系統(tǒng)

企業(yè)的信息安全體系的建設(shè)小部分依靠技術(shù)，大部分依賴管理，技術(shù)為管理服務(wù)。安全管理系統(tǒng)涵蓋安全戰(zhàn)略系統(tǒng)、組織系統(tǒng)以及運(yùn)營(yíng)系統(tǒng)。其中，戰(zhàn)略系統(tǒng)的任務(wù)是擬訂安全方針與整體戰(zhàn)略，建立安全管理體制，制定與梳理安全技術(shù)標(biāo)準(zhǔn)，同時(shí)設(shè)立標(biāo)準(zhǔn)的安全體系操作規(guī)程。而組織系統(tǒng)的任務(wù)是創(chuàng)立專門的安全組織部門，實(shí)施安全考核與評(píng)價(jià)，開(kāi)設(shè)安全教育培訓(xùn)課程，并實(shí)施第三方管理等。運(yùn)營(yíng)系統(tǒng)的任務(wù)是監(jiān)管安全產(chǎn)品運(yùn)作的整體過(guò)程，比如安全監(jiān)管、危機(jī)管控等。

2.3 信息安全體系建設(shè)模式

一個(gè)公司的信息安全體系是否健全，涉及安全技術(shù)系統(tǒng)與安全管理系統(tǒng)的整體性構(gòu)建，不管哪一系統(tǒng)不健全都將導(dǎo)致重大的安全危機(jī)。

對(duì)于一個(gè)公司的整體經(jīng)營(yíng)運(yùn)作而言，信息安全體系的構(gòu)建必須具備如下內(nèi)容：公司管理層需要高度關(guān)注公司的整體安全；制定明確的公司發(fā)展戰(zhàn)略與銷售目標(biāo)；構(gòu)建健全的信息安全運(yùn)作系統(tǒng)；依據(jù)全球公認(rèn)的規(guī)范實(shí)施信息安全管理和經(jīng)營(yíng)，逐步實(shí)現(xiàn)信息安全監(jiān)管普遍化、運(yùn)行參數(shù)規(guī)范化、信息安全保障系統(tǒng)化；創(chuàng)建一套持續(xù)改良的程序，不斷鑒別新危機(jī)、監(jiān)管新風(fēng)險(xiǎn)，從而做到事前防御、事中監(jiān)管與事后審計(jì)，最終防止信息事故的出現(xiàn)。

3 結(jié) 語(yǔ)

公司的持續(xù)發(fā)展離不開(kāi)各類業(yè)務(wù)活動(dòng)的有序開(kāi)展，而公司所有業(yè)務(wù)活動(dòng)開(kāi)展的前提是信息化。信息體系能否平穩(wěn)、安全、高效運(yùn)行，對(duì)公司的一切業(yè)務(wù)活動(dòng)的健康開(kāi)展有著直接影響。所以，應(yīng)創(chuàng)建一套持續(xù)改良的信息安全系統(tǒng)運(yùn)作體制，全面確保信息系統(tǒng)的高度保密性、完善性、適用性及可控性。

主要參考文獻(xiàn)

[1]王斌君.信息安全管理體系[M].北京：高等教育出版社，2008.

[2]陳昱.解析企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀[J].大眾科技，2009（12）.

[3]謝宗曉.信息安全管理體系應(yīng)用手冊(cè)[M].北京：中國(guó)標(biāo)準(zhǔn)出版社，2008.