孫天天

摘 要：企業(yè)信息安全管理從本質(zhì)上來說是企業(yè)風險控制的重要內(nèi)容，企業(yè)信息安全管理是企業(yè)風險控制中十分重要的一項工作，企業(yè)的信息安全關(guān)系到企業(yè)的發(fā)展與生存，所以，企業(yè)只有真正認識到信息安全管理的重要性，將企業(yè)信息安全管理作為企業(yè)風險控制工作開展開來，通過各種各樣的體制建設(shè)與技術(shù)指導(dǎo)，保障企業(yè)信息安全管理的科學(xué)性和規(guī)范性、穩(wěn)定性。本文首先介紹了企業(yè)信息安全管理的內(nèi)容，并闡明了企業(yè)信息安全管理與企業(yè)風險控制之間的聯(lián)系，在此基礎(chǔ)上，為了更好地規(guī)避企業(yè)的經(jīng)營風險，優(yōu)化企業(yè)信息安全管理水平提出若干意見與建議。

關(guān)鍵詞：企業(yè)；信息安全；風險控制

一、引言

企業(yè)經(jīng)營信息對于企業(yè)來說是一種資源，對于企業(yè)自身來說具有重要意義，企業(yè)需要妥善管理自身企業(yè)的信息。近年來，企業(yè)的各項經(jīng)營活動都逐漸開始通過計算機，網(wǎng)絡(luò)開展，因此，企業(yè)的信息安全管理對于企業(yè)越來越重要。許多企業(yè)開始通過各種技術(shù)手段以及制度改革，把更多的注意力放在企業(yè)內(nèi)部的信息安全管理工作，同時將企業(yè)信息安全管理與風險控制結(jié)合起來，這是一個正確的選擇，能夠幫助企業(yè)實現(xiàn)穩(wěn)定經(jīng)營。在介紹企業(yè)信息安全管理以及風險控制前必須厘清企業(yè)信息安全管理的概念與企業(yè)風險控制定義，因此，本節(jié)將著重介紹企業(yè)信息安全管理的概念以及企業(yè)風險控制的定義。

企業(yè)的信息安全管理包含十分豐富的內(nèi)容，簡單來說是指企業(yè)通過各種手段來保護企業(yè)硬件和軟件，保護網(wǎng)絡(luò)存儲中的各種數(shù)據(jù)不受偶然因素的破壞或者惡意的原因被攻擊。對于信息安全的認定通過包括4個指標，即保證信息數(shù)據(jù)的完整，保證信息數(shù)據(jù)不被泄露，保證信息數(shù)據(jù)能夠正常使用，保證信息數(shù)據(jù)能夠控制管理。要想做好企業(yè)的信息安全管理，首先需要了解的是關(guān)于信息的傳輸方式。隨著信息技術(shù)的不斷普及，信息傳遞的方式越來越多，常見的信息傳遞方式主要有互聯(lián)網(wǎng)傳播，局域網(wǎng)傳播，硬件傳播等等。要想實現(xiàn)企業(yè)的信息安全管理，其中很重要的一項工作在于保護信源、信號以及信息。信息安全管理是一項需要綜合學(xué)科知識基礎(chǔ)的工作，從事企業(yè)信息安全管理工作的人員通過需要具有網(wǎng)絡(luò)安全技術(shù)、計算機技術(shù)、密碼技術(shù)、通信技術(shù)。從企業(yè)的信息安全管理來講，最為關(guān)鍵的一項工作時保護企業(yè)內(nèi)部經(jīng)營信息數(shù)據(jù)的完整。經(jīng)過近十年來的企業(yè)信息安全管理工作經(jīng)驗總結(jié)，企業(yè)信息安全不僅僅需要信息技術(shù)的支持，更需要通過建立完善的企業(yè)風險控制體系來幫助企業(yè)實現(xiàn)更好地保護企業(yè)信息安全的目標。

所以，怎樣把企業(yè)信息安全管理與風險控制融合起來就是擺在企業(yè)經(jīng)營管理者面前的一道難題。企業(yè)的信息安全風險控制必須通過企業(yè)建立完善的企業(yè)信息安全風險體系實現(xiàn)。企業(yè)的信息安全風險控制是指企業(yè)在企業(yè)信息安全遭遇威脅之前，提前對企業(yè)的信息進行風險預(yù)估，并采取一系列的有針對性的活動降低企業(yè)面臨的信息安全風險，從而盡可能減少因為企業(yè)本身信息安全管理中存在漏洞給企業(yè)帶來不必要的損失。常見的企業(yè)信息安全風險體系建立主要包含以下幾個方面的內(nèi)容。第一，建立企業(yè)信息安全風險管理制度，明確企業(yè)信息安全管理的責任分配機制，明確企業(yè)各個部門對各自信息安全所應(yīng)承擔的責任，并建立相應(yīng)的問責機制。第二，設(shè)置規(guī)范的企業(yè)信息安全風險管理指標，對企業(yè)存在的可能威脅企業(yè)信息安全管理的漏洞予以風險定級，方便企業(yè)管理者對不同的信息安全管理漏洞采取有區(qū)別的對策。第三，企業(yè)要加強對信息安全管理人員的培訓(xùn)，提高企業(yè)信息安全管理工作人員的風險意識，讓企業(yè)內(nèi)部從事信息安全管理工作人員認識到自身工作的重要性，讓企業(yè)內(nèi)部從事信息安全管理工作人員了解到規(guī)范自身行為，正確履行職責的重要性。第四，將企業(yè)信息安全管理與風險控制有效融合，重視企業(yè)信息安全管理工作，通過風險控制對企業(yè)內(nèi)部信息安全的管理方式進行正確評估，找出現(xiàn)行的企業(yè)內(nèi)部信息安全管理手段中存在容易忽視的地方。

二、企業(yè)信息安全管理與風險控制存在的不足

1.企業(yè)信息安全管理工作人員素質(zhì)不高

對于企業(yè)來說，企業(yè)信息安全管理工作是一項極為重要而隱秘的工作，因此，必須增強對企業(yè)信息安全管理工作人員的素質(zhì)要求。但是根據(jù)調(diào)查統(tǒng)計，目前很多企業(yè)對信息安全工作的管理僅僅停留在對企業(yè)信息安全管理工作人員的技術(shù)要求上，對企業(yè)信息安全管理工作人員的道德素養(yǎng)，職業(yè)素養(yǎng)，風險意識并沒有嚴格要求。此外，絕大多數(shù)企業(yè)并沒有意識開展對企業(yè)信息安全管理工作的道德素質(zhì)的教育培訓(xùn)，并沒有通過建立相關(guān)管理制度以及問責機制對企業(yè)信息安全管理工作人員實行監(jiān)督，這無疑給別有用心或者立場不堅定的企業(yè)信息安全管理工作人員留下了危害企業(yè)信息安全的可乘之機。

2.企業(yè)信息安全管理技術(shù)不過關(guān)

企業(yè)信息安全管理工作涉及多許多技術(shù)，包括信息技術(shù)，計算機技術(shù)，密碼技術(shù)，網(wǎng)絡(luò)應(yīng)用技術(shù)等等，應(yīng)當說成熟的計算機應(yīng)用技術(shù)是做好企業(yè)信息安全管理的基礎(chǔ)，但是，現(xiàn)實是許多企業(yè)的信息安全管理技術(shù)并不過關(guān)，一方面企業(yè)的信息安全管理硬件并不過關(guān)，在物理層面對企業(yè)信息缺乏保護，另一方面，企業(yè)信息安全管理工作的專業(yè)技術(shù)沒有及時更新，一些企業(yè)信息安全管理工作人員缺乏企業(yè)信息安全管理的實踐經(jīng)驗，企業(yè)信息安全管理的知識也并沒有及時更新，從而導(dǎo)致企業(yè)的信息安全管理理論嚴重滯后，這種技術(shù)的落后很容易讓企業(yè)成為不法分子的攻擊對象。近年來網(wǎng)絡(luò)病毒的傳播越來越猖狂，很多服務(wù)器、系統(tǒng)提示安全補丁的下載更新以及客戶端的時常更新成為一個惱人的問題。作為一個行業(yè)中的大中型企業(yè)，企業(yè)內(nèi)部設(shè)備數(shù)量比較多，尤其是客戶端數(shù)量占了較大比重，僅僅靠少數(shù)幾個管理員進行管理是難以承擔如此大量的工作量。另外，企業(yè)信息安全管理系統(tǒng)不成熟也是一個重大的隱患。

3.企業(yè)信息安全管理制度不健全

企業(yè)信息安全管理制度不僅僅需要理論制度的完善，更加需要一系列配套監(jiān)督機制保障企業(yè)信息安全管理的有效執(zhí)行。通過調(diào)查分析，許多企業(yè)雖然建立了企業(yè)信息安全管理制度，但是通常情況下，這些制度只能流于形式，企業(yè)信息安全管理工作缺少有效的制約和監(jiān)督，企業(yè)信息安全管理工作人員缺乏執(zhí)行力。企業(yè)信息安全管理制度不健全，企業(yè)信息安全管理工作缺乏執(zhí)行力常常體現(xiàn)在以下幾個方面。第一，企業(yè)員工對于信息安全管理的認識嚴重不足，對企業(yè)信息安全管理工作不重視。企業(yè)內(nèi)部計算機系統(tǒng)安全的計算機防病毒軟件并沒有及時更新，使用，甚至企業(yè)內(nèi)部計算機的防病毒軟件還被企業(yè)員工卸載了。部分企業(yè)員工認為自己的工作與企業(yè)信息安全管理不相關(guān)，認為做好企業(yè)信息安全管理工作僅僅是企業(yè)信息安全部門的事。第二，企業(yè)內(nèi)部信息安全管理制度并沒有形成聯(lián)動機制，企業(yè)信息安全管理工作僅僅由企業(yè)信息安全部門“一人包干”，企業(yè)信息安全反映的問題并沒有得到積極的反饋，一些企業(yè)領(lǐng)導(dǎo)對企業(yè)信息安全現(xiàn)狀所了解的少之又少。

三、企業(yè)信息安全管理常見的技術(shù)手段

1.OSI安全體系結(jié)構(gòu)

OSI概念化的安全體系結(jié)構(gòu)是一個多層次的結(jié)構(gòu)，它的設(shè)計初衷是面向客戶的，提供給客戶各種安全應(yīng)用，安全應(yīng)用必須依靠安全服務(wù)來實現(xiàn)，而安全服務(wù)又是由各種安全機制來保障的。所以，安全服務(wù)標志著一個安全系統(tǒng)的抗風險的能力，安全服務(wù)數(shù)量越多，系統(tǒng)就越安全。

2.P2DR模型

P2DR模型包含四個部分：響應(yīng)、安全策略、檢測、防護。安全策略是信息安全的重點，為安全管理提供管理途徑和保障手段。因此，要想實施動態(tài)網(wǎng)絡(luò)安全循環(huán)過程，必須制定一個企業(yè)的安全模式。在安全策略的指導(dǎo)下實施所有的檢測、防護、響應(yīng)，防護通常是通過采用一些傳統(tǒng)的靜態(tài)安全技術(shù)或者方法來突破的，比如有防火墻、訪問控制、加密、認證等方法，檢測是動態(tài)響應(yīng)的判斷依據(jù)，同時也是有力落實安全策略的實施工具，通過監(jiān)視來自網(wǎng)絡(luò)的入侵行為，可以檢測出騷擾行為或錯誤程序?qū)е碌木W(wǎng)絡(luò)不安全因素；經(jīng)過不斷地監(jiān)測網(wǎng)絡(luò)和系統(tǒng)來發(fā)現(xiàn)新的隱患和弱點。在安全系統(tǒng)中，應(yīng)急響應(yīng)占有重要的地位，它是解決危險潛在性的最有效的辦法。

3.HTP模型

HTP最為強調(diào)企業(yè)信息安全管理工作人員在整個系統(tǒng)中的價值。企業(yè)信息安全工作人員企業(yè)信息安全最為關(guān)鍵的參與者，企業(yè)信息安全工作人員直接主導(dǎo)企業(yè)信息安全管理工作，企業(yè)信息安全工作人員不僅僅是企業(yè)信息安全的保障者，也是企業(yè)信息安全管理的威脅者。因此，HTP模型最為強調(diào)對企業(yè)信息安全管理工作人員的管理與監(jiān)督。另外，HTP模式同樣是建立在企業(yè)信心安全體系，信息安全技術(shù)防范的基礎(chǔ)上，HTP模式采取了豐富的安全技術(shù)手段確保企業(yè)的信息安全。最后，HTP強調(diào)動態(tài)管理，動態(tài)監(jiān)督，對于企業(yè)信息安全管理工作始終保持高強度的監(jiān)督與管理，在實際工作中，通過HTP模型的應(yīng)用，找出HTP模型中的漏洞并不斷完善。

四、完善企業(yè)信息安全管理與降低風險的建議

1.建設(shè)企業(yè)信息安全管理系統(tǒng)

（1）充分調(diào)查和分析企業(yè)的安全系統(tǒng)，建立一個全面合理的系統(tǒng)模型，安全系統(tǒng)被劃分成各個子系統(tǒng)，明確實施步驟和功能摸塊，將企業(yè)常規(guī)管理工作和安全管理聯(lián)動協(xié)議相融合，實現(xiàn)信息安全監(jiān)控的有效性和高效性。

（2）成立一個中央數(shù)據(jù)庫，整合分布式數(shù)據(jù)庫里的數(shù)據(jù)，把企業(yè)的所有數(shù)據(jù)上傳到中央數(shù)據(jù)庫，實現(xiàn)企業(yè)數(shù)據(jù)信息的集中管理與有效運用。

（3）設(shè)計優(yōu)良的人機界面，通過對企業(yè)數(shù)據(jù)信息進行有效的運用，為企業(yè)管理階層人員、各級領(lǐng)導(dǎo)及時提供各種信息，為企業(yè)領(lǐng)導(dǎo)的正確決策提供數(shù)據(jù)支持，根本上提高信息數(shù)據(jù)的管理水平。

（4）簡化企業(yè)內(nèi)部的信息傳輸通道，對應(yīng)用程序和數(shù)據(jù)庫進行程序化設(shè)計，加強對提高企業(yè)內(nèi)部信息處理的規(guī)范性和準確性。

2.設(shè)計企業(yè)信息安全管理風險體系

（1）確定信息安全風險評估的目標

在企業(yè)信息安全管理風險體系的設(shè)計過程中，首要工作是設(shè)計企業(yè)信息安全風險評估的目標，只有明確了企業(yè)信息安全管理的目標，明確了企業(yè)信息安全管理的要求和工作能容，才能建立相關(guān)圍繞信息安全風險控制為目標的信息安全管理工作制度，才能順利通過對風險控制的結(jié)果的定量考核，檢測企業(yè)信息安全管理的風險，定性定量地企業(yè)信息安全管理工作進行分析，找準企業(yè)信息安全管理的工作辦法。

（2）確定信息安全風險評估的范圍

不同企業(yè)對于風險的承受能力是有區(qū)別的，因此，對于不同的企業(yè)的特殊性應(yīng)該采取不同的風險控制辦法，其中，不同企業(yè)對于能夠承受的信息安全風范圍有所不同，企業(yè)的信息安全風險承受范圍需要根據(jù)企業(yè)的實際能力來制定。不僅如此，企業(yè)的信息安全風險評估范圍也應(yīng)當根據(jù)企業(yè)的實際經(jīng)營情況變化采取有針對性的辦法。

（3）組建適當?shù)脑u估管理與實施團隊

企業(yè)信息安全風險控制體系的建立需要企業(yè)內(nèi)部各個部門的參與，因為各個部門工作人員對于企業(yè)風險的認是有所不同的，企業(yè)要想了解企業(yè)承擔的經(jīng)營管理風險，就必須讓企業(yè)各個部門工作人員共同參與進來。

參考文獻：

[1]焦洪濤.中小企業(yè)信息安全管理策略研究[D].西安理工大學(xué)，2009.

[2]李慧.信息安全管理體系研究[D].西安電子科技大學(xué)，2005.

[3]梁軍.湖南電信公司內(nèi)網(wǎng)信息安全體系建設(shè)的研究[D].湖南大學(xué)，2007.

[4]陳科.信息系統(tǒng)安全風險評估研究[D].華東師范大學(xué)，2009.

[5]韓穎.國稅部門信息系統(tǒng)網(wǎng)絡(luò)安全分析與策略[D].北京郵電大學(xué)，2010.