戴海斌

(江蘇省泰興中等專業(yè)學(xué)校，江蘇 泰興 225400)

信息安全是指保護(hù)網(wǎng)絡(luò)、設(shè)備、程序和數(shù)據(jù)免受攻擊、破壞或未經(jīng)授權(quán)的訪問的技術(shù)、流程和實(shí)踐的主體，也可稱為網(wǎng)絡(luò)安全。企業(yè)信息是企業(yè)發(fā)展的命脈，加強(qiáng)企業(yè)信息安全防控意義重大。

1 企業(yè)信息安全防控的意義

當(dāng)前，各行各業(yè)對(duì)計(jì)算機(jī)技術(shù)的依賴越來越強(qiáng)，控制系統(tǒng)使得各類機(jī)器越來越智能。由于智能化的普及，企業(yè)對(duì)自動(dòng)化系統(tǒng)依賴性在增加，減少了企業(yè)員工對(duì)過程的控制和參與，加大了潛在的信息安全攻擊危險(xiǎn)。一旦出現(xiàn)信息安全問題，不僅是損害公司聲譽(yù)或丟失客戶數(shù)據(jù)，還可能危害個(gè)人安全。

數(shù)據(jù)就是資源，信息就是價(jià)值。企業(yè)信息安全在現(xiàn)實(shí)中非常重要，各行各業(yè)都需要在計(jì)算機(jī)和其他設(shè)備上收集、處理和存儲(chǔ)數(shù)據(jù)。這些數(shù)據(jù)很大一部分可能是敏感的信息資源，無論是知識(shí)產(chǎn)權(quán)、財(cái)務(wù)數(shù)據(jù)、個(gè)人信息還是其他類型的數(shù)據(jù)，這些有價(jià)值的信息和數(shù)據(jù)，未經(jīng)授權(quán)的訪問或暴露都可能對(duì)企業(yè)的發(fā)展產(chǎn)生負(fù)面影響。企業(yè)在開展業(yè)務(wù)過程中會(huì)跨越網(wǎng)絡(luò)和其他設(shè)備傳輸敏感數(shù)據(jù)，而網(wǎng)絡(luò)攻擊數(shù)量在不斷增長，攻擊技術(shù)在提升，特別是負(fù)責(zé)保護(hù)與國家安全、健康或財(cái)務(wù)相關(guān)信息的公司和企業(yè)，必須采取措施來保護(hù)其敏感的業(yè)務(wù)信息和人員信息。

2 企業(yè)信息安全的防控內(nèi)容

為了獲得有效的信息安全，企業(yè)需要在整個(gè)信息系統(tǒng)中協(xié)調(diào)工作。企業(yè)信息安全必須確保內(nèi)容安全，并形成有效的信息安全系統(tǒng)。在創(chuàng)建信息安全防控策略時(shí)，要與員工進(jìn)行交流并收集數(shù)據(jù)，解決信息安全問題。

信息安全系統(tǒng)。信息安全系統(tǒng)能有效保護(hù)網(wǎng)絡(luò)免受黑客的攻擊和入侵。網(wǎng)絡(luò)攻擊中的第一道防線是防火墻，所有企業(yè)必須建立防火墻，建立企業(yè)數(shù)據(jù)和網(wǎng)絡(luò)犯罪分子之間的第一道屏障。除了標(biāo)準(zhǔn)的外部防火墻之外，企業(yè)還要建立內(nèi)部防火墻，包括員工的家庭網(wǎng)絡(luò)也應(yīng)安裝防火墻。

應(yīng)用程序安全性。企業(yè)在運(yùn)營中會(huì)用到大量的應(yīng)用程序，這些應(yīng)用程序也會(huì)受到攻擊，要不斷更新和測(cè)試，以確保這些程序不受攻擊。

端點(diǎn)安全性。端點(diǎn)安全是保護(hù)公司網(wǎng)絡(luò)遠(yuǎn)程訪問控制的過程。遠(yuǎn)程訪問是企業(yè)業(yè)務(wù)組成的必要部分，但也可能是信息安全攻擊數(shù)據(jù)的薄弱點(diǎn)。企業(yè)通常采用語言命令傳達(dá)任務(wù)或采用其他直觀表述來開展業(yè)務(wù)，但網(wǎng)絡(luò)安全是協(xié)議記錄必不可少的部分，應(yīng)保證端點(diǎn)安全性。

數(shù)據(jù)安全性。網(wǎng)絡(luò)和應(yīng)用程序內(nèi)部是大量數(shù)據(jù)，保護(hù)公司和客戶信息數(shù)據(jù)安全是重點(diǎn)。盡管防止攻擊很重要，但是無論采取何種預(yù)防措施，仍有可能遭到破壞，企業(yè)應(yīng)及時(shí)備份文檔、電子表格、數(shù)據(jù)庫、財(cái)務(wù)檔案、文件，并定期檢查備份，確保其正常運(yùn)行。

身份管理。調(diào)研發(fā)現(xiàn)，63%的數(shù)據(jù)泄露是由于密碼丟失、被盜或防備不嚴(yán)所致，為了保證信息安全，所有訪問公司網(wǎng)絡(luò)的員工設(shè)備都必須使用密碼保護(hù)，密碼應(yīng)由大小寫字母、數(shù)字和符號(hào)共同組成，60～90 d更改一次密碼。

數(shù)據(jù)庫和基礎(chǔ)架構(gòu)安全性。網(wǎng)絡(luò)中的所有內(nèi)容都涉及數(shù)據(jù)庫和物理設(shè)備，保護(hù)這些設(shè)備同樣重要。

移動(dòng)安全性。企業(yè)需建立針對(duì)移動(dòng)設(shè)備的安全預(yù)防措施，隨著可穿戴設(shè)備(如具有無線功能的智能手表和健身追蹤器)的日益普及，將這些設(shè)備納入企業(yè)信息安全監(jiān)測(cè)至關(guān)重要。

災(zāi)難恢復(fù)/業(yè)務(wù)連續(xù)性計(jì)劃。一旦企業(yè)發(fā)生信息泄露，則必須保護(hù)其他業(yè)務(wù)的數(shù)據(jù)，使其能夠穩(wěn)定運(yùn)行，所以企業(yè)需要準(zhǔn)備一個(gè)業(yè)務(wù)連續(xù)性的備案計(jì)劃。

用戶教育。用戶可能是訪問網(wǎng)絡(luò)的員工，也可能是登錄公司應(yīng)用程序的客戶。養(yǎng)成良好的習(xí)慣(密碼更改、身份驗(yàn)證等)是信息安全的重要組成部分。

信息安全中最大的挑戰(zhàn)是安全風(fēng)險(xiǎn)的不斷升級(jí)。企業(yè)非常重視信息資源的外部安全，總是保護(hù)其最關(guān)鍵的系統(tǒng)組件并進(jìn)行防御。但這種安全防御方法不夠全面，因?yàn)樾畔⒐艏夹g(shù)發(fā)展和變化迅速，遠(yuǎn)遠(yuǎn)超過了企業(yè)的防御技術(shù)。應(yīng)重視信息安全系統(tǒng)建設(shè)及員工安全教育培訓(xùn)，既要做好外部環(huán)境的防控，又要做好內(nèi)部環(huán)境的防控。

3 企業(yè)信息化安全防控流程

許多全球性IT組織都通過信息安全管理要求ISO/IEC27001尋求其ISMS信息安全管理體系框架的全球認(rèn)證。ISMS信息安全管理體系框架涉及五個(gè)關(guān)鍵要素：控制、計(jì)劃、實(shí)施、評(píng)估、改進(jìn)，它們構(gòu)成了一個(gè)完整的防控流程。它借鑒質(zhì)量管理中PDCA質(zhì)量循環(huán)管控方法，通過不斷的螺旋遞升信息化安全防控流程，完善企業(yè)信息安全管理，強(qiáng)化過程控制。

控制。企業(yè)應(yīng)建立管理框架，準(zhǔn)備和實(shí)施信息安全策略，明確職責(zé)，建立和控制文檔。

計(jì)劃。在框架的計(jì)劃階段，企業(yè)應(yīng)明確信息安全要求，根據(jù)信息安全預(yù)算，圍繞信息安全和其他因素，采取適當(dāng)?shù)拇胧?/p>

實(shí)施。企業(yè)必須使計(jì)劃付諸實(shí)施，并確保有適當(dāng)?shù)谋Ｗo(hù)措施來保障信息安全。

評(píng)估。一旦制定了策略和計(jì)劃，企業(yè)必須對(duì)策略和計(jì)劃進(jìn)行監(jiān)督，確保企業(yè)的流程按照策略、計(jì)劃和其他信息安全要求運(yùn)行。同時(shí)，對(duì)實(shí)施問題進(jìn)行匯總。

改進(jìn)。有效的ISMS信息安全管理體系意味著企業(yè)需要不斷改進(jìn)流程，不斷修改SLA、安全協(xié)議，監(jiān)視和控制方式，為信息安全提供保障。

4 企業(yè)信息化安全防控策略

4.1 建立信息安全防控制度

應(yīng)建立信息安全防控制度，通過制度約束實(shí)施信息策略。國家信息安全政策在不斷發(fā)展，應(yīng)定期更新協(xié)議，讓每一位企業(yè)員工簽署文件，使其了解信息安全策略和制度，并了解如果不遵守安全策略，則可能會(huì)采取的措施。

4.2 加強(qiáng)信息安全風(fēng)險(xiǎn)評(píng)估

加強(qiáng)信息安全風(fēng)險(xiǎn)評(píng)估能“應(yīng)對(duì)不可避免的網(wǎng)絡(luò)事件，并迅速恢復(fù)正常運(yùn)行，確保公司資產(chǎn)和公司聲譽(yù)受到保護(hù)?！逼髽I(yè)需要定期進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估，以了解任何潛在風(fēng)險(xiǎn)并減輕風(fēng)險(xiǎn)。企業(yè)進(jìn)行網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估必須將風(fēng)險(xiǎn)評(píng)估集中在兩個(gè)方面：一是查明企業(yè)最需要保護(hù)的、最有價(jià)值的信息。查明該信息面臨的威脅和風(fēng)險(xiǎn)，明確數(shù)據(jù)丟失對(duì)企業(yè)帶來的損害。二是制定并實(shí)施計(jì)劃，通過計(jì)劃減輕網(wǎng)絡(luò)風(fēng)險(xiǎn)，保護(hù)企業(yè)的核心信息，并有效地響應(yīng)安全事件。該計(jì)劃應(yīng)包含建立成熟的信息安全計(jì)劃所需的過程和技術(shù)。

4.3 加強(qiáng)員工信息安全培訓(xùn)

如果企業(yè)員工接觸使用計(jì)算機(jī)，則需要網(wǎng)絡(luò)安全培訓(xùn)。良好的信息安全培訓(xùn)可以極大地減少網(wǎng)絡(luò)攻擊。應(yīng)讓員工明確信息安全風(fēng)險(xiǎn)，提升企業(yè)的信息安全性。

4.4 加強(qiáng)信息安全資金投入

應(yīng)加強(qiáng)對(duì)企業(yè)信息安全管理的支持，加強(qiáng)信息安全資金投入，這是企業(yè)信息安全管理的有效保證。如果缺乏高質(zhì)量的信息安全軟件支持，企業(yè)就無法創(chuàng)建和執(zhí)行強(qiáng)大的安全策略。

5 結(jié)語

企業(yè)必須加強(qiáng)信息安全管理和員工教育，不斷完善企業(yè)信息安全防控管理策略，為公司提供信息安全的最佳保護(hù)手段，防止敏感數(shù)據(jù)的泄漏和丟失。信息安全是一項(xiàng)艱巨的任務(wù)，但只要企業(yè)從小處著手，專注于最敏感最核心的信息數(shù)據(jù)，就能防患于未然。