張 雪
(中國移動通信研究院,北京 100032)
隨著互聯(lián)網(wǎng)與無線網(wǎng)絡技術的飛速發(fā)展,計算機逐步替代了傳統(tǒng)的紙質(zhì)介質(zhì),成為信息數(shù)據(jù)時代的重要載體。對于企業(yè)而言,保障辦公網(wǎng)絡信息系統(tǒng)安全不僅關乎企業(yè)的后續(xù)發(fā)展,更關乎我國國防現(xiàn)代化的未來。因此,企業(yè)應迅速認清形勢,重視安全保密工作,采取合理規(guī)范的安全措施,為信息安全打造“安全鎖”,提升企業(yè)應對新型挑戰(zhàn)的能力。
1)技術與知識產(chǎn)權的損失。企業(yè)自主技術和知識產(chǎn)權是重要的無形資產(chǎn),是企業(yè)核心競爭力的重要支撐,如果企業(yè)的核心技術發(fā)生泄密事故,將會對企業(yè)的生產(chǎn)經(jīng)營造成致命性打擊,企業(yè)的核心產(chǎn)品與服務將很容易被同行業(yè)競爭對手所復制和模仿,對企業(yè)造成的長遠影響是無法估量的,從企業(yè)長遠發(fā)展的層面上來說,技術與知識產(chǎn)權的損失甚至要比直接的資金損失更加嚴重。
2)信息保密管理工作意識不強。信息保密管理工作意識不強是企業(yè)普遍存在的信息安全薄弱問題。受到以利潤為目標導向的經(jīng)營理念影響,企業(yè)內(nèi)部普遍存在重信息資源獲取和使用,輕信息資源管理的思想氛圍,使企業(yè)員工更多地關注各類信息的獲取與使用,對信息的保密管理工作缺乏正確的認知和科學的對待,隨意放置或丟棄信息資料。同時,部分企業(yè)在開展信息保密管理工作時缺乏清晰、系統(tǒng)的認識,將信息保密管理的重點放在開發(fā)與維護信息系統(tǒng)方面,對每天接觸信息系統(tǒng)的人員缺乏信息保密方面的管理,導致個別員工利用職務之便竊取、販賣企業(yè)關鍵信息。
3)生產(chǎn)與管理效率下降。當企業(yè)信息網(wǎng)絡遭到入侵后,很多信息化管理功能都可能陷入癱瘓狀態(tài),比如企業(yè)郵箱無法發(fā)送郵件、視頻會議無法召開、流程管理無法順利執(zhí)行、智能化網(wǎng)絡生產(chǎn)和辦公設備無法正常使用,這些問題都會造成企業(yè)生產(chǎn)經(jīng)營管理效率的嚴重下降,特別是對于大型企業(yè)來說,一旦信息網(wǎng)絡不能正常使用,很多環(huán)節(jié)都將進入停滯狀態(tài),給企業(yè)帶來嚴重的經(jīng)濟效益損失。
1)企業(yè)應不斷提升信息防護技術,打造強力護盾?,F(xiàn)代計算機網(wǎng)絡無時無刻不面臨著各種有意或者無意的威脅,特別是國防高科技企業(yè)。因此,企業(yè)應建立完善的信息防護技術手段。目前較有效的手段是建立完善防火墻技術與入侵監(jiān)測技術,將外部非法訪問與內(nèi)部不安全因素攔截在防火墻外,并對可能產(chǎn)生的入侵跡象進行排查。此外,技術人員還應不斷提升防護水平,對病毒庫和防護手段進行更新。根據(jù)相關統(tǒng)計,大多數(shù)病毒都能被防火墻識別和攔截,因此不斷強化護盾水平,對于保障企業(yè)信息安全具有十分重要的意義。
2)完善信息保密管理工作制度。無規(guī)矩不成方圓。在當前信息保密工作逐漸成為企業(yè)常態(tài)化管理內(nèi)容的情況下,企業(yè)需要借助細致、規(guī)范的制度明確企業(yè)內(nèi)部各部門、各員工應承擔的信息保密管理工作職責,督促和保證信息保密管理工作真正落實到位。第一,科學制定信息保密管理工作制度。信息保密管理工作制度是明確企業(yè)信息保密管理工作任務和各部門及各崗位員工應承擔的信息保密管理工作職責的規(guī)范性文本,需要企業(yè)相關部門充分考慮信息保密管理工作開展實際,在明確信息保密管理工作任務、要求的同時,明確各部門、各崗位員工在日常工作中應注意的信息保密管理工作,使企業(yè)內(nèi)部形成完整的信息保密管理工作網(wǎng)絡。同時,在制度制定之初,相關人員還要逐項講解制度中的核心內(nèi)容,使各工作主體能夠清晰、準確地了解具體的制度規(guī)定。第二,有效執(zhí)行信息保密管理工作制度。企業(yè)要成立由高層管理人員參與的信息保密管理工作領導小組,負責指導和監(jiān)督企業(yè)日常信息保密管理工作,以及時發(fā)現(xiàn)和解決信息保密管理工作中存在的問題。同時,領導小組要協(xié)調(diào)好各部門信息保密管理工作,明確相關部門在跨部門的信息保密管理工作中應承擔的責任,減少跨部門工作中存在的責任劃分盲區(qū)。
3)重視信息安全投入。信息安全投入與企業(yè)的信息安全管理水平之間存在相關性,為了能夠更好的適應下一階段工作要求,相關人員則應該嚴格遵照信息安全投入的相關要求,做好物理層面的支持,強化公司抵抗各種網(wǎng)絡信息風險的能力。其中的重點包括:(1)保證充足的資金支持。在不影響企業(yè)各項業(yè)務開展的情況下,國有企業(yè)應結(jié)合網(wǎng)絡安全管理需求,可適當增加在信息安全管理中的資金投入,加快企業(yè)內(nèi)部網(wǎng)絡安全的軟硬件更新?lián)Q代,提高性能,最終有效抵抗網(wǎng)絡安全問題。(2)做好人才支持。結(jié)合企業(yè)網(wǎng)絡信息安全的管理要求,企業(yè)需要在人力資源上做出調(diào)整,通過與本地區(qū)高校進行校企合作,每年定期引進一批高素質(zhì)的網(wǎng)絡安全人才,不斷補充網(wǎng)絡安全隊伍的新鮮血液,提高管理能力。同時,為現(xiàn)有的網(wǎng)絡安全管理人員提供再教育機會,針對當前主流的網(wǎng)絡安全管理策略等做集中講解,從專業(yè)角度提高工作人員的網(wǎng)絡安全管理能力。
4)企業(yè)應全面貫徹落實保密管理制度,不斷排除管理漏洞。在日新月異的技術發(fā)展過程中,攻擊手段總是較防護手段發(fā)展更快,僅依靠技術護盾無法保障企業(yè)信息系統(tǒng)的百分之百安全。因此,企業(yè)需建立完善的安全保密制度,從制度層面規(guī)避可能產(chǎn)生的安全風險。企業(yè)應建立信息安全防護機構(gòu),結(jié)合企業(yè)業(yè)務實際和國家相關規(guī)定,制定企業(yè)信息安全管理規(guī)范。例如,企業(yè)可采用物理隔離制度,將內(nèi)部信息網(wǎng)與互聯(lián)網(wǎng)完全隔離,并嚴格規(guī)范員工使用計算機及載體,有效應對網(wǎng)絡攻擊和病毒威脅。值得注意的是,信息安全體系建設講究“木桶原理”,管理的短板才是決定信息系統(tǒng)安全的關鍵。因此,企業(yè)需要針對工作開展中可能出現(xiàn)的風險點進行識別,并采用強有力手段確保改進措施的不斷落實,才能不斷補足短板,實現(xiàn)全方位的防護。
5)樹立信息安全管理意識。為更好的適應未來信息網(wǎng)絡安全管理要求,相關人員首先要從意識形態(tài)觀念入手,樹立全面的信息安全管理意識,轉(zhuǎn)變當前工作人員對信息安全問題的錯誤認知,從企業(yè)的發(fā)展戰(zhàn)略以及可持續(xù)發(fā)展的要求出發(fā),探索新的信息安全管理體系,從思想觀念上高度認識到信息安全管理的重要性,這樣才能更好的適應未來工作要求。
目前企業(yè)信息化安全管理是一個復雜的過程,在網(wǎng)絡管理優(yōu)化過程中,需要相關人員主動轉(zhuǎn)變思想觀念,在調(diào)整管理模式的基礎上,注意技術的引進與創(chuàng)新,提高相關先進技術的應用水平,遵照預見性要求開展工作,這樣才能有效降低網(wǎng)絡安全事件的發(fā)生率,保證企業(yè)信息安全。