金杰

摘 要：隨著改革開放的不斷深入以及經(jīng)濟(jì)的不斷發(fā)展，市場(chǎng)上各類企業(yè)的競(jìng)爭(zhēng)越來(lái)越激烈，同時(shí)，近年來(lái)，企業(yè)的生產(chǎn)經(jīng)營(yíng)與計(jì)算機(jī)網(wǎng)絡(luò)的聯(lián)系越來(lái)越緊密，企業(yè)的每一項(xiàng)業(yè)務(wù)都越來(lái)越離不開信息技術(shù)的支持。因此，在企業(yè)不斷提升競(jìng)爭(zhēng)力的同時(shí)，越來(lái)越多的企業(yè)開始關(guān)注企業(yè)信息安全管理的工作，認(rèn)識(shí)到企業(yè)信息安全管理工作的重要性，并采取了一系列的措施維護(hù)企業(yè)的信息安全，但是經(jīng)過(guò)調(diào)查分析發(fā)現(xiàn)我國(guó)企業(yè)在信息安全管理工作上仍然存在較為嚴(yán)重的不足。為了更好地幫助我國(guó)企業(yè)實(shí)現(xiàn)科學(xué)的信息安全管理，本文首先分析威脅企業(yè)信息安全的幾點(diǎn)因素，并介紹了企業(yè)信息安全管理中常用的辦法，在此基礎(chǔ)上，對(duì)更好地實(shí)現(xiàn)企業(yè)信息安全管理提出幾點(diǎn)意見與建議。

關(guān)鍵詞：企業(yè)；信息管理；對(duì)策

一、引言

企業(yè)要想在市場(chǎng)當(dāng)中生存并發(fā)展，不僅僅要提升企業(yè)競(jìng)爭(zhēng)力，還需要時(shí)時(shí)刻刻關(guān)注企業(yè)的信息安全?，F(xiàn)代市場(chǎng)競(jìng)爭(zhēng)十分激烈，只有做好企業(yè)的信息安全管理，才能避免企業(yè)因?yàn)樾畔⒐芾淼氖杪┰斐上嚓P(guān)的損失。

近十年來(lái)，企業(yè)的生產(chǎn)經(jīng)營(yíng)越來(lái)越離不開網(wǎng)絡(luò)，離不開計(jì)算機(jī)，企業(yè)的每一項(xiàng)活動(dòng)都需要計(jì)算機(jī)與網(wǎng)絡(luò)的參與，企業(yè)的管理需要借助相關(guān)的計(jì)算機(jī)軟件，企業(yè)的銷售需要運(yùn)用到電子商務(wù)，企業(yè)的倉(cāng)儲(chǔ)管理需要數(shù)據(jù)庫(kù)系統(tǒng)的支持，在企業(yè)感受到計(jì)算機(jī)帶來(lái)生產(chǎn)經(jīng)營(yíng)便利的同時(shí)，企業(yè)也不得不重視由計(jì)算機(jī)網(wǎng)絡(luò)所帶來(lái)的信息安全問(wèn)題。通過(guò)分析我國(guó)企業(yè)信息安全管理的相關(guān)資料，可以發(fā)現(xiàn)我國(guó)企業(yè)在信息安全管理上所做的努力顯然無(wú)法與西方企業(yè)相比，我國(guó)企業(yè)在信息安全管理這條路上還有很長(zhǎng)的路要走。

我國(guó)企業(yè)在信息管理上起步較晚，同時(shí)受制于觀念，技術(shù)，人力等各個(gè)方面的因素，我國(guó)企業(yè)在信息安全管理上存在十分嚴(yán)重的漏洞。不僅如此，企業(yè)信息安全管理受到各方面的威脅，各類病毒層出不窮，釣魚軟件，木馬也防不勝防，我國(guó)企業(yè)信息安全管理所面臨的考驗(yàn)十分嚴(yán)峻。企業(yè)的信息安全管理不僅僅是企業(yè)自身的事，企業(yè)是我國(guó)經(jīng)濟(jì)發(fā)展最重要的角色，倘若我國(guó)企業(yè)在信息安全管理上存在漏洞，這也將直接影響我國(guó)的經(jīng)濟(jì)發(fā)展，這并不是危言聳聽。

因此，加強(qiáng)我國(guó)企業(yè)信息安全管理勢(shì)在必行，必須采取有效的舉措提升我國(guó)企業(yè)信息安全管理水平。開展我國(guó)企業(yè)信息安全管理工作不僅僅需要政府的支持，企業(yè)自身也應(yīng)當(dāng)充分認(rèn)識(shí)到企業(yè)信息安全管理對(duì)于企業(yè)自身的重要性，企業(yè)信息安全管理并不是一件小事，理應(yīng)得到足夠的重視。下面本文將首先介紹影響我國(guó)企業(yè)信息安全管理的幾點(diǎn)因素，結(jié)合各種影響我國(guó)企業(yè)信息安全的幾點(diǎn)因素展開探討，在此基礎(chǔ)上，分析我國(guó)企業(yè)在信息安全管理中常用的手段，并通過(guò)借鑒國(guó)外優(yōu)秀企業(yè)在信息安全管理的經(jīng)驗(yàn)，對(duì)更好地完善我國(guó)企業(yè)信息安全管理提出幾點(diǎn)意見與建議。

二、企業(yè)面臨的信息安全管理風(fēng)險(xiǎn)

1.企業(yè)內(nèi)部管理缺陷

企業(yè)要想提升信息安全管理的水平，其中很重要的一個(gè)步驟在于完善企業(yè)的管理制度。企業(yè)的信息安全管理會(huì)受到許許多多的因數(shù)影響，但是做好企業(yè)信息安全管理的基礎(chǔ)在于提升企業(yè)的內(nèi)部管理水平。企業(yè)內(nèi)部管理的制度涉及到企業(yè)生產(chǎn)經(jīng)營(yíng)的方方面面，倘若企業(yè)在內(nèi)部管理制度上存在缺陷，那么做好企業(yè)的信息安全管理也就無(wú)從談起了。常見的影響企業(yè)信息安全管理的制度缺陷有以下幾個(gè)方面。第一，企業(yè)對(duì)于企業(yè)內(nèi)部信息安全管理的工作人員缺乏監(jiān)督。企業(yè)信息安全管理必須建立在企業(yè)信息安全管理工作人員認(rèn)知履行職責(zé)，規(guī)范操作的基礎(chǔ)上，倘若企業(yè)對(duì)于信息安全管理的工作人員缺乏監(jiān)督，那么久很難保證企業(yè)整個(gè)信息安全管理系統(tǒng)的行之有效。第二，企業(yè)對(duì)于企業(yè)內(nèi)部信息安全管理工作人員缺乏培訓(xùn)，企業(yè)內(nèi)部并沒有指定相關(guān)的信息安全管理規(guī)章制度。要想完善企業(yè)的信息安全管理，就必須做到對(duì)企業(yè)內(nèi)部信息安全管理的每一個(gè)環(huán)節(jié)都一絲不茍，對(duì)每一個(gè)可能存在信息安全漏洞的地方都要嚴(yán)格管理，對(duì)每一項(xiàng)信息安全管理的工作步驟都做明確要求。要想確保企業(yè)內(nèi)部信息安全管理系統(tǒng)的平穩(wěn)運(yùn)行，只有從規(guī)范企業(yè)內(nèi)部信息安全管理的行為規(guī)范上著手。第三，企業(yè)內(nèi)部信息安全管理系統(tǒng)投入不足。這一點(diǎn)在我國(guó)大型企業(yè)上并不存在，我國(guó)大型企業(yè)擁有足夠的資金，足夠的人力資本，足夠技術(shù)投入，相比較于我國(guó)中小型企業(yè)，在信息安全管理工作上具有較大的優(yōu)勢(shì)?？墒牵覈?guó)大型企業(yè)畢竟是少數(shù)，我國(guó)中小企業(yè)的數(shù)量十分巨大，中小企業(yè)并沒有相應(yīng)的資金，人員，技術(shù)投入，中小企業(yè)受制于現(xiàn)實(shí)條件，在信息安全管理系統(tǒng)上所做的工作嚴(yán)重不足，我國(guó)中小企業(yè)在信息安全上所面臨的風(fēng)險(xiǎn)十分巨大。

2.影響企業(yè)信息安全管理的外部因素

影響我國(guó)企業(yè)信息安全管理的外部因素有許多。常見的影響我國(guó)企業(yè)信息安全管理的外部因素包括病毒，木馬，釣魚網(wǎng)站等等。不論是誰(shuí)出于怎么樣的目的破壞企業(yè)的信息安全，較為常見的手段也就是通過(guò)黑客攻擊企業(yè)的信息安全管理系統(tǒng)。我國(guó)企業(yè)在應(yīng)對(duì)黑客的攻擊時(shí)往往處于較為被動(dòng)的局面，一方面，黑客屬于主動(dòng)攻擊，主動(dòng)攻擊的前提在于對(duì)于企業(yè)的內(nèi)部信息安全管理系統(tǒng)有著較為全面的了解，并且往往已經(jīng)掌握了企業(yè)內(nèi)部信息安全管理系統(tǒng)所存在的安全漏洞，另一方面，我國(guó)絕大多數(shù)企業(yè)在信息安全管理系統(tǒng)的投入有限，企業(yè)內(nèi)部信息安全管理的工作人員在技術(shù)手段上與黑客比較并沒有優(yōu)勢(shì)。即使企業(yè)內(nèi)部信息安全管理的工作人員最終能夠戰(zhàn)勝黑客，但是，由于缺乏完善的信息安全手段，對(duì)企業(yè)內(nèi)部重要的信息保護(hù)不足，黑客對(duì)企業(yè)的信息安全所造成的影響往往也是致命的。反擊黑客的攻擊行為往往具有滯后性，因此，即使戰(zhàn)勝了黑客，但是黑客對(duì)企業(yè)信息安全的攻擊行為往往已經(jīng)發(fā)生，企業(yè)必然會(huì)因此造成相應(yīng)的損失，在現(xiàn)代企業(yè)經(jīng)營(yíng)管理信息化的背景下，這樣的攻擊行為對(duì)企業(yè)造成的損失往往是企業(yè)不能夠承擔(dān)的，很有可能影響一個(gè)企業(yè)最基本的生存。

三、完善企業(yè)信息安全管理的幾點(diǎn)建議

1.建立信息安全密碼

密碼技術(shù)近年來(lái)在應(yīng)用中不斷成熟，越來(lái)越多企業(yè)開始將密碼技術(shù)應(yīng)用到企業(yè)信息安全管理中去，這是一個(gè)十分正確的選擇。企業(yè)內(nèi)部信息具有重要價(jià)值，密碼技術(shù)是企業(yè)信息安全最為關(guān)鍵的一道屏障。密碼的形式十分多樣，企業(yè)應(yīng)當(dāng)根據(jù)自身情況正確選擇密碼的形式，密碼技術(shù)是一項(xiàng)十分成熟的技術(shù)，應(yīng)當(dāng)?shù)玫礁嗟年P(guān)注，并且將這項(xiàng)技術(shù)全面應(yīng)用到企業(yè)內(nèi)部信息安全管理當(dāng)中去。企業(yè)內(nèi)部信息得到密碼的保護(hù)，能夠在企業(yè)內(nèi)部信息不慎泄露后得到最大化的保護(hù)，對(duì)于企業(yè)內(nèi)部信息的密碼也應(yīng)當(dāng)嚴(yán)格保密，做好相關(guān)的密碼保護(hù)工作。

2.建立安全管理制度

企業(yè)信息安全管理制度的建立需要多方面的配合，同時(shí)，企業(yè)信息安全管理制度的建立是一項(xiàng)十分復(fù)雜的工作，必須在實(shí)踐的過(guò)程中不斷完善。建立企業(yè)內(nèi)部信息安全管理制度是為了更加規(guī)范地保證企業(yè)內(nèi)部信息的安全，也對(duì)企業(yè)內(nèi)部信息安全管理人員的工作內(nèi)容，工作步驟做了明確規(guī)定，這對(duì)于企業(yè)內(nèi)部形成信息安全管理的長(zhǎng)效機(jī)制具有重要價(jià)值。企業(yè)信息安全管理制度應(yīng)當(dāng)與企業(yè)的實(shí)際生產(chǎn)經(jīng)營(yíng)情況相結(jié)合，在盡可能不影響企業(yè)正常工作的前提下，對(duì)企業(yè)的信息安全作出明確規(guī)定。常見的規(guī)定包括定期組織企業(yè)內(nèi)部信息安全管理工作人員進(jìn)行信息安全的例行檢查；對(duì)企業(yè)內(nèi)部信息安全管理人員的工作做到全面監(jiān)督，有效反饋等等。

3.建立數(shù)據(jù)庫(kù)的備份與恢復(fù)機(jī)制

現(xiàn)如今，外界主動(dòng)攻擊企業(yè)信息安全的事件越來(lái)越頻發(fā)，企業(yè)在被外界攻擊信息安全后所造成的損失往往無(wú)法挽回，同時(shí)這些信息對(duì)于企業(yè)具有十分重要的價(jià)值，倘若能夠及時(shí)恢復(fù)相關(guān)信息，能夠在很大程度上減小企業(yè)所遭受的損失，因此，建立一套基于數(shù)據(jù)庫(kù)信息備份與還原的信息安全管理機(jī)制十分重要。企業(yè)內(nèi)部信息系統(tǒng)數(shù)據(jù)庫(kù)的備份，可以有效保障企業(yè)信息系統(tǒng)非法入侵后的系統(tǒng)恢復(fù)工作。備份是對(duì)數(shù)據(jù)庫(kù)內(nèi)容保護(hù)最為穩(wěn)定和容易的一種方法。當(dāng)不穩(wěn)定因素發(fā)生的時(shí)候，能夠保證企業(yè)網(wǎng)絡(luò)信息的正常運(yùn)行。而恢復(fù)的理解，就是在不限定因素發(fā)展之后利用網(wǎng)絡(luò)技術(shù)的備份功能用來(lái)對(duì)數(shù)據(jù)庫(kù)內(nèi)容進(jìn)行重新恢復(fù)并正常使用的功能。

4.建立網(wǎng)絡(luò)安全預(yù)警系統(tǒng)

一般這種情況可以分為人為預(yù)警和病毒預(yù)警兩個(gè)方面。 在電腦中的重要位置安裝上網(wǎng)絡(luò)入侵監(jiān)測(cè)體系，可以便于對(duì)電腦的技術(shù)和安全性在發(fā)展危害行為或改變。入侵監(jiān)測(cè)體系還能通過(guò)設(shè)立在固定時(shí)間對(duì)制定要求的位置進(jìn)行監(jiān)督和控制，判斷哪些系統(tǒng)是具有危害性的，但是防火墻還不能夠準(zhǔn)確判斷的系統(tǒng)。主要針對(duì)的是從企業(yè)內(nèi)部管理出現(xiàn)漏洞后對(duì)自身安全系統(tǒng)的“侵略”行為。而病毒預(yù)警系統(tǒng)通常是采用對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)的全部數(shù)據(jù)進(jìn)行監(jiān)督監(jiān)控的行為，確保在一天每個(gè)時(shí)間段內(nèi)都對(duì)數(shù)據(jù)包傳送掃描一旦發(fā)展病毒就要馬上進(jìn)行危險(xiǎn)信息提示，使得相關(guān)工作人員可以很快的通過(guò)定位查找的方法找到病毒的發(fā)出地。同時(shí)，在短時(shí)間內(nèi)陸續(xù)產(chǎn)生通過(guò)快速掃描出來(lái)的網(wǎng)絡(luò)日志和調(diào)查報(bào)告，為企業(yè)專業(yè)人員查找病毒具體來(lái)源提供便利條件。

5.建立信息安全風(fēng)險(xiǎn)評(píng)估機(jī)制

建立企業(yè)內(nèi)部的信息安全風(fēng)險(xiǎn)評(píng)估機(jī)制對(duì)于完善企業(yè)內(nèi)部信息安全管理工作同樣具有重要意義。定期對(duì)企業(yè)內(nèi)部信息安全進(jìn)行風(fēng)險(xiǎn)評(píng)估，能夠幫助企業(yè)更好地做好企業(yè)內(nèi)部信息安全的預(yù)防工作，能夠幫助企業(yè)更準(zhǔn)備地了解企業(yè)經(jīng)營(yíng)管理過(guò)程中信息安全管理存在疏漏的地方。通過(guò)建立企業(yè)內(nèi)部的信息安全風(fēng)險(xiǎn)評(píng)估機(jī)制，對(duì)于幫助企業(yè)從制度與技術(shù)兩方面完善企業(yè)內(nèi)部信息安全管理制度具有重要意義。具體而言，建立企業(yè)內(nèi)部信息安全風(fēng)險(xiǎn)評(píng)估機(jī)制需要做到以下兩個(gè)方面的工作。一方面，在企業(yè)各個(gè)層次建立一個(gè)風(fēng)險(xiǎn)指標(biāo)系統(tǒng)，設(shè)計(jì)一個(gè)風(fēng)險(xiǎn)計(jì)算模型來(lái)計(jì)算出企業(yè)的基本風(fēng)險(xiǎn)值，通過(guò)對(duì)企業(yè)各個(gè)層次上的風(fēng)險(xiǎn)評(píng)估來(lái)對(duì)企業(yè)整體固定的風(fēng)險(xiǎn)狀況進(jìn)行反映。另一方面，主要針對(duì)業(yè)務(wù)操作過(guò)程中風(fēng)險(xiǎn)因素的復(fù)雜情況，在業(yè)務(wù)操作方面也建立一個(gè)風(fēng)險(xiǎn)指標(biāo)系統(tǒng)、同樣用設(shè)計(jì)的風(fēng)險(xiǎn)計(jì)算模型來(lái)計(jì)算出該企業(yè)的實(shí)時(shí)風(fēng)險(xiǎn)值，該方面的風(fēng)險(xiǎn)評(píng)估測(cè)試主要是為了對(duì)業(yè)務(wù)部門運(yùn)行過(guò)程反映。由于業(yè)務(wù)活動(dòng)操作面臨的風(fēng)險(xiǎn)是動(dòng)態(tài)的且是復(fù)雜的，因此對(duì)其進(jìn)行W金評(píng)估的操作頻率要高，只要通過(guò)這套風(fēng)險(xiǎn)評(píng)估體系的實(shí)施，企業(yè)就可以清楚掌握和及時(shí)了解企業(yè)自身的整體信息安全風(fēng)險(xiǎn)程度，從而提高企業(yè)的信息安全管理的水平。

參考文獻(xiàn)：

[1]焦洪濤.中小企業(yè)信息安全管理策略研究[D].西安理工大學(xué)，2009.

[2]李慧.信息安全管理體系研究[D].西安電子科技大學(xué)，2005.

[3]梁軍.湖南電信公司內(nèi)網(wǎng)信息安全體系建設(shè)的研究[D].湖南大學(xué)，2007.

[4]陳科.信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估研究[D].華東師范大學(xué)，2009.

[5]韓穎.國(guó)稅部門信息系統(tǒng)網(wǎng)絡(luò)安全分析與策略[D].北京郵電大學(xué)，2010.

[6]崔健，李冰.基于企業(yè)社會(huì)責(zé)任視角的日本企業(yè)信息安全分析[J].現(xiàn)代日本經(jīng)濟(jì)，2011.