【摘要】加強信息安全管理是企業(yè)實現(xiàn)可持續(xù)發(fā)展的需要、是實現(xiàn)企業(yè)平穩(wěn)與健康發(fā)展的前提、同樣也是知識經(jīng)濟時代發(fā)展的需要。企業(yè)的建設(shè)與發(fā)展迫切要求企業(yè)拿起信息安全管理這一有力武器保障企業(yè)信息系統(tǒng)安全。本文基于企業(yè)在信息安全管理中存在的問題就如何加強企業(yè)信息安全管理展開探索。

【關(guān)鍵詞】企業(yè) 信息安全管理 對策

信息安全管理是指通過保證信息資產(chǎn)的機密性、完整性和可用性來保護和維護企業(yè)所有信息資產(chǎn)的一系列管理活動，是完整的企業(yè)組織管理體系的重要組成部分。其主要包括制定信息安全政策、風(fēng)險評估、控制目標與方式選擇、制定規(guī)范的操作流程、對人員進行安全意識培訓(xùn)等一系列工作。

知識經(jīng)濟時代，企業(yè)內(nèi)部各部門之間以及企業(yè)與外部之間的交流與合作日益頻繁，且對計算機信息技術(shù)的依賴也日益明顯，使得信息安全問題成為眾多企業(yè)的關(guān)注焦點。

企業(yè)的許多信息，包括一些戰(zhàn)略規(guī)劃的重要信息，均以電子文件形式存儲，而這些信息在存儲、處理以及傳輸過程中都有可能被非法截取、惡意破壞以及篡改，損失難以想象。保障信息系統(tǒng)的安全在企業(yè)的建設(shè)和發(fā)展當(dāng)中具有重要的作用。信息安全管理是確保信息系統(tǒng)順利運行的有力武器。通過建立信息安全體系及相應(yīng)的規(guī)范機制，如加強對人員的管理、提升人員安全意識、促進軟件和操作系統(tǒng)的操作及建設(shè)相關(guān)網(wǎng)絡(luò)等，就可以建立起完善的信息安全系統(tǒng)，促進企業(yè)在知識經(jīng)濟時代平穩(wěn)、快速和健康的發(fā)展。

一　目前信息安全管理中存在的隱患

1．信息管理的安全意識方面

在傳統(tǒng)的企業(yè)生產(chǎn)中，企業(yè)所應(yīng)具有的基本生產(chǎn)要素主要有設(shè)備、原材料、人員和制度幾個方面。但隨著信息技術(shù)的發(fā)展，信息的重要性也日益突顯，從而也成為企業(yè)發(fā)展的基本要素之一。根據(jù)以往經(jīng)驗來看，企業(yè)對信息安全的重視程度還遠遠不夠，表現(xiàn)在對企業(yè)信息的安全保護很不到位，這無疑給企業(yè)帶來了很大的損失。所以，企業(yè)必須要加強對信息安全的保護，建立起一套完善的信息安全體系來保證企業(yè)的信息安全。

2．缺乏統(tǒng)一的安全體系規(guī)劃和安全防范機制

目前，“頭痛醫(yī)頭、腳痛醫(yī)腳”的現(xiàn)象十分普遍，原因在于眼于局部而忽視整體。企業(yè)只是在網(wǎng)絡(luò)中安裝了一些安全設(shè)備，卻未形成統(tǒng)一的安全策略及相關(guān)規(guī)劃方案。企業(yè)在建設(shè)信息化的過程中通常采取先開展業(yè)務(wù)，后關(guān)注安全的策略，使得安全的管理遠遠落后于開展業(yè)務(wù)發(fā)展。而由于缺少整體性的規(guī)劃，使得企業(yè)在問題已經(jīng)出現(xiàn)時才去彌補，對于安全建設(shè)只能用“亡羊補牢”來形容。

3．信息安全產(chǎn)品本身存在的問題

大多數(shù)企業(yè)通常在建設(shè)信息安全系統(tǒng)的過程中就采用了一些保證信息安全的產(chǎn)品。但并不是說使用了相關(guān)安全產(chǎn)品信息系統(tǒng)就安全了，因為計算機系統(tǒng)所存在的一些安全隱患除了是由信息安全產(chǎn)品本身所具有的漏洞引起的之外，人員在使用信息安全產(chǎn)品的過程中所造成的操作失誤及用戶配置的錯誤也會對其產(chǎn)生影響。所以企業(yè)不僅要重視安全產(chǎn)品自身的問題，也要重視系統(tǒng)的操作與應(yīng)用過程。

4．資金投入不夠，缺乏安全技術(shù)人才

要想建構(gòu)起完善的信息安全體系，企業(yè)不僅要投入大量的資金，而且同時要引進一批高端的IT人才，組建一支專業(yè)建設(shè)信息安全的團隊。但遺憾的是，很多企業(yè)并未意識到信息安全的重要性，所以在資金投入方面很是不足，比如說，使用的電子郵箱和殺毒軟件等往往都是免費的，也沒有構(gòu)建防火墻，這使得企業(yè)的信息安全得不到充分地保障。此外，雖然一些企業(yè)投資引進了一些硬件設(shè)施，但對軟件的重視不足，表現(xiàn)為投入的滯后性，從而阻礙了硬件設(shè)施發(fā)揮應(yīng)有的功能。

還有一個問題，大部分企業(yè)在加強信息安全建設(shè)的過程中，通常都把注意力集中在搭建網(wǎng)絡(luò)平臺及硬件的選擇上了，卻忽視了對人才的引入和培養(yǎng)。具體表現(xiàn)在許多企業(yè)缺乏信息技術(shù)人才，而相關(guān)專業(yè)人才更是不足。按照要求，一個信息系統(tǒng)的運作應(yīng)該由幾個技術(shù)人才相互配合、共同操作，但實際上卻恰恰相反，企業(yè)中的一個信息管理人員往往負責(zé)大量的操作，不僅要負責(zé)配置系統(tǒng)，還要負責(zé)管理系統(tǒng)的安全，導(dǎo)致對安全的設(shè)置和監(jiān)督由一個人負責(zé)，任務(wù)繁重。

二　加強企業(yè)信息安全管理的途徑

1．注重人員安全管理，提升信息安全意識

具體的操作人員在信息系統(tǒng)的建設(shè)和運行過程中必不可少，人既是管理者又是被管理者，因為他們不僅要建設(shè)和應(yīng)用計算機系統(tǒng)，而且也信息管理的對象。所以在信息安全系統(tǒng)的管理中，最重要的就是對人員的安全管理，做到這一點要從以下幾個方面來進行：要建立一個安全的組織結(jié)構(gòu)，對安全職能加以確認，審查人員的安全狀況，和安全人員簽訂相關(guān)的保密合同，加強離職人員的安全管理等。

企業(yè)要對員工加強有關(guān)信息安全的教育，增強他們的安全意識。保障企業(yè)的信息安全是每個職工應(yīng)盡的義務(wù)。信息安全不是一種技術(shù)而是一種意識，所以僅從技術(shù)層面是無法保證企業(yè)的信息安全的。加強安全教育要企業(yè)要做到以下幾個方面，首先，加強員工的教育培訓(xùn)、普及互聯(lián)網(wǎng)和信息安全的相關(guān)知識、提升員工的安全意識并增強其防范能力，使整體員工都有一種為企業(yè)信息安全負責(zé)的意識。其次通過定期舉行有關(guān)信息安全的報告和講座等，使企業(yè)自上而下都形成安全意識并銘記于心。通過上述兩種途徑可以使企業(yè)的信息安全工作順利的開展。

2．建立、健全信息安全防范體系

對于企業(yè)中信息安全的管理機制及防護規(guī)范的發(fā)展和完善，可以使企業(yè)中的那些至關(guān)重要的信息得到很好的保護。即使信息系統(tǒng)遭到入侵也能夠保證企業(yè)業(yè)務(wù)的順利進行，可以極大地降低企業(yè)的損失。

第一，提高安全系統(tǒng)的應(yīng)急能力，這就要求建立和完善相應(yīng)的應(yīng)急管理機制，并制定應(yīng)急預(yù)案。

第二，企業(yè)要建立起一個網(wǎng)絡(luò)和信息安全管理的平臺，在網(wǎng)絡(luò)內(nèi)外部署相關(guān)的信息安全設(shè)施，比如要加強網(wǎng)絡(luò)的安全性管理，在網(wǎng)絡(luò)中設(shè)置一些控制訪問的策略，并對網(wǎng)絡(luò)的安全使用加以規(guī)范，具體來說就是要安裝避免病毒入侵的軟件，對網(wǎng)絡(luò)經(jīng)常進行檢測，提高防火墻的性能等。

第三，建立機制對信息安全進行集中化管理。如數(shù)據(jù)安全控制和加密密鑰的集中化管理，前者可以做到自上而下的全面執(zhí)行企業(yè)的安全防范策略，后者可以降低人為原因?qū)е碌臄?shù)據(jù)安全的風(fēng)險，并可以保證不與其他的加密策略發(fā)生沖突，實現(xiàn)兼容。

第四，企業(yè)還要重視對于異地數(shù)據(jù)的備份工作及當(dāng)遇到意外情況時可以實現(xiàn)信息恢復(fù)的機制設(shè)計，因為這可以保障信息系統(tǒng)的安全運行。

第五，重視風(fēng)險評估工作。這要求企業(yè)在平時要對信息系統(tǒng)的安全性進行定期的評估，以提高企業(yè)抵御風(fēng)險的能力。

3．健全用戶權(quán)限和上網(wǎng)管理制度

企業(yè)信息安全管理工作的一個重點就是要建立并完善用戶瀏覽的權(quán)限及網(wǎng)上管理的制度設(shè)計，并使之得到嚴格地執(zhí)行。同時隨著企業(yè)的發(fā)展和業(yè)務(wù)系統(tǒng)的完善要不斷對其補充和修正。

首先，對用戶權(quán)限的管理加以完善。這就要求企業(yè)改變以往把每個員工都當(dāng)成管理員可以隨意瀏覽信息的狀況，要將每個員工的權(quán)限加以明確并保證最小，減少他們對信息系統(tǒng)的操作從而在最大程度上保證系統(tǒng)的安全。

其次，要限制員工的上網(wǎng)行為。在信息化時代，要想控制眾多員工上網(wǎng)的行為，就必須要從管理和技術(shù)兩個方面來實現(xiàn)。此外，要嚴格檢測和控制那些從外部傳來的文件，防止它們給企業(yè)內(nèi)部的網(wǎng)絡(luò)帶來病毒。

4．進一步健全、監(jiān)管第三方服務(wù)體系

由于對信息安全的擔(dān)憂和對服務(wù)質(zhì)量的懷疑，大部分企業(yè)都不愿意采取第三方提供的服務(wù)體系。在企業(yè)中，信息安全工作至關(guān)重要，如果不小心泄露了企業(yè)的重要資料，就會給企業(yè)帶來致命的打擊。

政府應(yīng)發(fā)揮作用加強有關(guān)第三方的法律法規(guī)建設(shè)并制定行業(yè)標準，排除企業(yè)對第三方的疑慮。企業(yè)應(yīng)加強與第三方的合作，雙方共同努力建設(shè)起符合企業(yè)特點的信息安全體系，使得企業(yè)的信息安全能夠獲得最有力的保證。企業(yè)應(yīng)設(shè)立專門的監(jiān)察職位，主要負責(zé)監(jiān)督、檢查企業(yè)管理信息系統(tǒng)的運行情況并直接向企業(yè)總經(jīng)理負責(zé)。因其“第三者”的角色，可更加客觀、公正對企業(yè)信息安全以及業(yè)務(wù)流程進行監(jiān)察，及時發(fā)現(xiàn)信息安全隱患。

5．加大建設(shè)資金投入，完善軟件硬件建設(shè)

要想順利建成企業(yè)的信息安全體系，大量的資金投入是必不可少的。企業(yè)應(yīng)投入足夠的資金來購買相應(yīng)的設(shè)備，如相關(guān)軟件和服務(wù)器等，同時企業(yè)也可以采取外包的形式。

首先，在加強硬件設(shè)施方面，企業(yè)可以應(yīng)用加密系統(tǒng)來保護有關(guān)的口令、文檔及網(wǎng)內(nèi)的重要數(shù)據(jù)。這樣我們就可以更有針對性的在網(wǎng)上傳輸數(shù)據(jù)。加密管理有三種類型，即端點、節(jié)點和鏈路加密，企業(yè)可以根據(jù)自己的實際情況從其中進行選擇。特別是在控制信息系統(tǒng)開發(fā)的過程中就應(yīng)滲透信息安全保護機制，從根本上預(yù)防信息安全隱患。

其次，加強軟件建設(shè)，最主要的就是采取積極有效的措施使操作系統(tǒng)的安全性得到最大程度的保護。具體來說就是要對有關(guān)信息管理的各種軟件定期加以更新，保證數(shù)據(jù)庫和終端的操作系統(tǒng)的版本保持一致，這不僅有利于加強管理，而且可以提高系統(tǒng)的防御功能

此外，要做到經(jīng)常性的數(shù)據(jù)備份，選用高強度口令保護賬號安全，針對不同賬號設(shè)定不同密令，經(jīng)常更新殺毒軟件及補丁以及在局域網(wǎng)與互聯(lián)網(wǎng)之間安裝防火墻，并周期性的對文件進行排查，及時發(fā)現(xiàn)已感染病毒的文件以及信息丟失的現(xiàn)象。

企業(yè)的信息安全管理是一個動態(tài)的過程，要隨時代的發(fā)展而不斷加以創(chuàng)新。因此，我們必須不斷探索加強信息安全管理的思路和方法，并對逐步構(gòu)建起相對完善、高效、可靠的信息安全管理體系，定期對企業(yè)的信息安全風(fēng)險和信息安全管理水平進行評估。

參考文獻

［1］陳憲海.企業(yè)信息安全管理探討［J］.中國新技術(shù)新產(chǎn)品，2012（4）

［2］朱宇華.企業(yè)信息安全管理的現(xiàn)狀及策略研究［J］.信息與電腦（理論版），2012（1）