【摘 ?要】 信息安全牽涉企業(yè)諸多核心機(jī)密信息的安全，直接關(guān)系到企業(yè)正常運(yùn)轉(zhuǎn)和長(zhǎng)遠(yuǎn)發(fā)展。尤其是對(duì)于傳統(tǒng)行業(yè)而言，在信息化時(shí)代來(lái)臨的背景下，必須進(jìn)行信息安全建設(shè)，保護(hù)傳統(tǒng)行業(yè)的核心信息資源，才能保證其不被新行業(yè)所擊垮?；诖耍疚膹膫鹘y(tǒng)行業(yè)信息安全的現(xiàn)狀出發(fā)，逐一分析傳統(tǒng)行業(yè)信息安全建設(shè)存在的問(wèn)題，并提出了一些關(guān)于信息安全建設(shè)的策略。

【關(guān)鍵詞】 傳統(tǒng)行業(yè) ?信息安全建設(shè) ?問(wèn)題 ?策略

【作者簡(jiǎn)介】 胡鵬，中石化湖北石油分公司工程師，研究方向：網(wǎng)絡(luò)安全。

【中圖分類號(hào)】 X913.2 ? ? 【文獻(xiàn)標(biāo)識(shí)碼】 A ? ? ?【文章編號(hào)】 2095-5103（2015）04-0051-02

信息安全建設(shè)包括三大部分，即人員、管理和技術(shù)，尤其是信息安全管理，已經(jīng)越發(fā)受到各界的廣泛關(guān)注，并以此為核心來(lái)打造信息安全保障體系。信息安全對(duì)于各行各業(yè)來(lái)說(shuō)，均具有極其重要的地位，其不僅關(guān)乎企業(yè)自身信息安全，也關(guān)乎普通消費(fèi)者信息安全。因此構(gòu)建信息安全體系，是企業(yè)未來(lái)發(fā)展的重點(diǎn)工作。

一、傳統(tǒng)行業(yè)信息安全建設(shè)現(xiàn)狀分析

（一）對(duì)信息安全建設(shè)缺乏足夠認(rèn)識(shí)。就目前國(guó)內(nèi)實(shí)際情況來(lái)說(shuō)，傳統(tǒng)行業(yè)對(duì)于信息安全建設(shè)尚沒(méi)有足夠的認(rèn)識(shí)，導(dǎo)致信息安全建設(shè)難以切實(shí)施行。具體來(lái)說(shuō)，這主要表現(xiàn)在三個(gè)方面。一是傳統(tǒng)行業(yè)的領(lǐng)導(dǎo)者對(duì)信息安全建設(shè)缺少必要的認(rèn)識(shí)，在面對(duì)信息化浪潮的沖擊時(shí)，其最先想到的是提升行業(yè)品質(zhì)來(lái)面對(duì)新挑戰(zhàn)，卻忽視了通過(guò)信息安全建設(shè)保護(hù)行業(yè)核心信息資源，導(dǎo)致行業(yè)信息被逐漸泄露，無(wú)法與新行業(yè)相抗衡，以致逐漸失去競(jìng)爭(zhēng)力。最典型的就是傳統(tǒng)出版行業(yè)，在數(shù)字化刊物逐漸普及的情況下，傳統(tǒng)出版行業(yè)已經(jīng)顯得捉襟見(jiàn)肘，出版物印刷量與銷售量逐年下降。二是行業(yè)內(nèi)部員工缺少對(duì)信息安全的認(rèn)識(shí)，在日常工作中，會(huì)在不經(jīng)意間泄露行業(yè)信息。更有甚者為了一己私利出賣行業(yè)信息。這些舉動(dòng)都對(duì)傳統(tǒng)行業(yè)造成了極其惡劣的影響。三是普通消費(fèi)者缺少對(duì)信息安全的認(rèn)識(shí)，在某些需要消費(fèi)者個(gè)人信息資料的行業(yè)中，消費(fèi)者往往沒(méi)有考慮個(gè)人信息資料是否安全，是否存在泄露的風(fēng)險(xiǎn)以及相應(yīng)的后果。忽視這些的結(jié)果就是消費(fèi)者缺少對(duì)相關(guān)企業(yè)信息安全的要求，在發(fā)生意外情況后無(wú)法挽回。

（二）信息安全建設(shè)技術(shù)水平較低。傳統(tǒng)行業(yè)雖然缺乏對(duì)信息安全建設(shè)的認(rèn)識(shí)，但也并非沒(méi)有進(jìn)行信息安全建設(shè)，只是其信息安全建設(shè)技術(shù)水平較低，無(wú)法切實(shí)滿足對(duì)企業(yè)信息安全的保護(hù)。信息安全建設(shè)技術(shù)水平低主要表現(xiàn)在兩個(gè)方面。一是信息安全管理體系架構(gòu)技術(shù)層次低，一個(gè)體系架構(gòu)的技術(shù)高低，決定了該體系所能發(fā)揮的功能高低。越先進(jìn)越高端的技術(shù)，其對(duì)信息安全的保護(hù)也就越安全，反之亦然。傳統(tǒng)行業(yè)信息安全管理體系的基礎(chǔ)架構(gòu)以及權(quán)限設(shè)置等信息保障措施，其技術(shù)相對(duì)一些新行業(yè)而言較為落后，無(wú)法符合不斷更新的計(jì)算機(jī)技術(shù)，更無(wú)法有效彌補(bǔ)信息安全漏洞，只能說(shuō)是徒有其表。二是人員管理技術(shù)水平較低，人員管理也是信息安全建設(shè)的重要環(huán)節(jié)。每一個(gè)員工都攜帶著一定程度的行業(yè)信息，只有加強(qiáng)對(duì)員工的管理，建立科學(xué)人性的管理體系，才能確保企業(yè)人員不會(huì)因?yàn)槭д`或利益泄露行業(yè)信息。

（三）信息安全建設(shè)覆蓋范圍較窄。信息安全建設(shè)覆蓋范圍較窄主要可以分為兩個(gè)方面，一是進(jìn)行信息安全建設(shè)的傳統(tǒng)行業(yè)范圍較窄;二是行業(yè)內(nèi)部信息安全建設(shè)的范圍較窄。對(duì)于所有傳統(tǒng)行業(yè)而言，已經(jīng)完成信息安全建設(shè)或正在建設(shè)的行業(yè)并不多。根據(jù)相關(guān)統(tǒng)計(jì)資料，傳統(tǒng)行業(yè)中完成或進(jìn)行中的信息安全建設(shè)的企業(yè)，尚不到20%。這一數(shù)據(jù)說(shuō)明信息安全建設(shè)率在傳統(tǒng)行業(yè)中來(lái)講還很低，還需要加強(qiáng)相關(guān)理念的宣傳，引導(dǎo)更多的傳統(tǒng)企業(yè)進(jìn)行信息安全建設(shè)。在行業(yè)內(nèi)部，信息安全建設(shè)集中在企業(yè)核心機(jī)密，即企業(yè)相關(guān)財(cái)務(wù)數(shù)據(jù)、產(chǎn)品數(shù)據(jù)和市場(chǎng)數(shù)據(jù)等，忽視了員工信息安全及一些外在信息安全的構(gòu)建。雖然此舉能夠保障企業(yè)核心利益，卻無(wú)法保證企業(yè)正常良性的運(yùn)轉(zhuǎn)。

二、傳統(tǒng)行業(yè)信息安全建設(shè)中的問(wèn)題及原因

（一）缺少完善的法律法規(guī)。在信息安全方面，我國(guó)尚缺少有效完善的法律法規(guī)來(lái)加強(qiáng)信息安全建設(shè)，這主要表現(xiàn)在兩個(gè)方面。一方面是缺少對(duì)傳統(tǒng)行業(yè)信息安全建設(shè)的強(qiáng)制性法律法規(guī)。傳統(tǒng)行業(yè)本身對(duì)信息安全缺少足夠的認(rèn)識(shí)，再加之缺少必須的法律法規(guī)，就致使傳統(tǒng)行業(yè)基本忽視了信息安全建設(shè)。另一方面是缺少對(duì)信息安全犯罪的法律法規(guī)，近年來(lái)隨著信息技術(shù)發(fā)展迅猛，各種信息安全犯罪層出不窮，犯罪性質(zhì)也從經(jīng)濟(jì)犯罪上升到了更加惡劣的性質(zhì)。各種由于個(gè)人信息泄露而出現(xiàn)的綁架、搶劫等案件，急需出臺(tái)相應(yīng)的信息安全法律法規(guī)來(lái)加以制約。

（二）傳統(tǒng)行業(yè)內(nèi)部信息安全管理不力。信息安全管理主要包括體系建設(shè)、制度建設(shè)和人員管理。這三個(gè)方面的工作在傳統(tǒng)行業(yè)中來(lái)說(shuō)都并不到位。體系建設(shè)主要是指信息安全管理體系，一套完整的管理體系，應(yīng)當(dāng)從上至下，由內(nèi)而外，將方方面面的信息安全包羅其中，以形成一個(gè)上下一體的信息安全管理系統(tǒng)。制度建設(shè)主要針對(duì)信息安全制定相應(yīng)的信息安全管理制度，通過(guò)確實(shí)的規(guī)章制度，對(duì)企業(yè)員工形成約束，避免其出現(xiàn)一些不利企業(yè)信息安全的行為。人員管理主要是加強(qiáng)對(duì)企業(yè)員工的信息安全意識(shí)教育，讓其樹(shù)立起保護(hù)信息安全的基本意識(shí)。

（三）基礎(chǔ)信息安全建設(shè)設(shè)施缺乏?；A(chǔ)信息安全建設(shè)設(shè)施缺乏，是擺在傳統(tǒng)行業(yè)面前的關(guān)鍵問(wèn)題，這主要包括兩個(gè)方面的問(wèn)題。一是技術(shù)基礎(chǔ)缺乏，目前我國(guó)信息安全建設(shè)的技術(shù)基礎(chǔ)基本源自國(guó)外，這從信息安全的角度來(lái)說(shuō)本身就是一種不安全的行為。只有創(chuàng)建完全自主的信息安全技術(shù)，才能杜絕國(guó)外技術(shù)可能存在的技術(shù)后門。二是硬件基礎(chǔ)缺乏，這與技術(shù)基礎(chǔ)缺乏對(duì)信息安全的不利影響是一致的?？偟膩?lái)說(shuō)，硬軟件的缺乏，是傳統(tǒng)行業(yè)信息安全建設(shè)的最大問(wèn)題。

三、傳統(tǒng)行業(yè)信息安全建設(shè)策略分析

（一）完善信息安全法律法規(guī)。要做好傳統(tǒng)行業(yè)信息安全建設(shè)，最首要的就是完善相應(yīng)的信息安全法律法規(guī)，從法律層面對(duì)信息安全建設(shè)進(jìn)行定性。首先是明確傳統(tǒng)行業(yè)信息安全建設(shè)的義務(wù)，通過(guò)法律規(guī)定強(qiáng)制傳統(tǒng)行業(yè)進(jìn)行信息安全建設(shè)，迫使其領(lǐng)導(dǎo)層重視信息安全建設(shè)，進(jìn)而在行業(yè)全局決策中增加對(duì)信息安全建設(shè)的思考與傾斜。其次是對(duì)信息安全犯罪作出全面的定性與量刑，加強(qiáng)對(duì)信息安全犯罪的打擊力度，通過(guò)法律手段減少信息安全威脅。

（二）加強(qiáng)行業(yè)內(nèi)部信息安全管理。加強(qiáng)行業(yè)內(nèi)部信息安全管理，是信息安全建設(shè)的重要環(huán)節(jié)，其可以從三個(gè)方面來(lái)進(jìn)行。第一是構(gòu)建企業(yè)員工信息梯度，針對(duì)企業(yè)不同部門以及不同職位，制定不同的信息等級(jí)制度，以此改善員工功能與信息的不對(duì)等關(guān)系。第二是構(gòu)建信息管理制度，針對(duì)企業(yè)類型、企業(yè)所包含信息的類型以及其機(jī)密程度，制定合理的信息管理制度，加強(qiáng)對(duì)內(nèi)部員工的約束。第三是加強(qiáng)對(duì)企業(yè)員工的信息安全建設(shè)培訓(xùn)，使企業(yè)員工具有一定的信息安全建設(shè)意識(shí)，能夠從一些小事上進(jìn)行信息安全建設(shè)。

（三）自主化信息安全建設(shè)基礎(chǔ)設(shè)施。自主化信息安全建設(shè)基礎(chǔ)設(shè)施應(yīng)當(dāng)從基礎(chǔ)技術(shù)與基礎(chǔ)硬件兩個(gè)方面進(jìn)行。就基礎(chǔ)技術(shù)而言，傳統(tǒng)行業(yè)應(yīng)該大量參考國(guó)外相關(guān)技術(shù)，博采眾長(zhǎng)，創(chuàng)建不依賴于國(guó)外技術(shù)的信息安全建設(shè)技術(shù)，真正實(shí)現(xiàn)信息安全建設(shè)技術(shù)國(guó)產(chǎn)化，從根源上排除國(guó)外技術(shù)對(duì)傳統(tǒng)行業(yè)信息安全可能存在的技術(shù)風(fēng)險(xiǎn)。在基礎(chǔ)硬件方面，傳統(tǒng)行業(yè)可以加強(qiáng)與國(guó)內(nèi)硬件廠商的合作，共同研發(fā)具有行業(yè)特點(diǎn)的信息安全建設(shè)硬件，減少國(guó)外硬件的引入與應(yīng)用?？偟膩?lái)說(shuō)，信息安全建設(shè)應(yīng)該在國(guó)外硬軟件的基礎(chǔ)上，開(kāi)發(fā)自主的硬軟件設(shè)備，使信息安全建設(shè)完全實(shí)現(xiàn)國(guó)產(chǎn)化。

（四）綜合采取多種有效措施構(gòu)建信息安全大環(huán)境。信息安全建設(shè)并非企業(yè)一己之力就能夠做好，還需要多方協(xié)作，構(gòu)建信息安全大環(huán)境，如此才能在整個(gè)行業(yè)中進(jìn)行信息安全建設(shè)。第一，加強(qiáng)企業(yè)之間的信息交流與合作管理。對(duì)于同一行業(yè)而言，企業(yè)的核心信息在一定程度上來(lái)說(shuō)相似甚至相同，即企業(yè)的信息安全建設(shè)在一定程度上形成了交集。同類型企業(yè)可以加強(qiáng)信息交流，合作構(gòu)建信息安全管理體系，加強(qiáng)信息安全管理。第二，構(gòu)建企業(yè)信息安全評(píng)級(jí)制度，由國(guó)家相關(guān)部門牽頭，聯(lián)合行業(yè)內(nèi)的優(yōu)秀企業(yè)，組建企業(yè)信息安全評(píng)級(jí)機(jī)構(gòu)，對(duì)行業(yè)內(nèi)企業(yè)進(jìn)行信息安全評(píng)級(jí)，并將評(píng)級(jí)結(jié)果公布于眾，讓消費(fèi)者能夠清楚認(rèn)識(shí)到企業(yè)的信息安全等級(jí)以選擇能夠保障自身信息安全的企業(yè)。此舉還可以加強(qiáng)企業(yè)對(duì)信息安全建設(shè)的重視程度，促使企業(yè)進(jìn)行信息安全建設(shè)。第三，構(gòu)建信息安全犯罪打擊網(wǎng)絡(luò)，由公安部牽頭，聯(lián)合國(guó)內(nèi)優(yōu)秀的信息安全商構(gòu)建信息安全犯罪打擊平臺(tái)，加強(qiáng)對(duì)信息安全的監(jiān)管及信息安全犯罪的打擊。

參考文獻(xiàn)：

[1] 尚高峰.行業(yè)信息安全體系建設(shè)的模式研究[J].計(jì)算機(jī)安全，2009，（08）.

[2] 周洲，劉鴻偉，梅新明.淺析交通運(yùn)輸行業(yè)的信息安全問(wèn)題[J].公路交通科技，2012，（07）.

責(zé)任編輯：徐建秋