企业信息安全管理探讨

陈宪海

（国家安全生产监督管理总局通信信息中心，北京 100013）

企业信息安全管理是运用科学的方法和手段，系统地分析网络与信息系统所面临的威胁及其存在的薄弱点，提出有针对性的抵御威胁的防护对策和控制措施，这是企业推进信息化进程和促进生产经营管理的重要内容，是保障企业信息系统正常运行、高效应用和健康发展的前提条件。

1 我国企业信息安全管理存在的问题

1.1 缺少企业信息安全的法规和规范

企业信息安全是一个比较新的领域，目前还缺少比较完善的法规，即便现有的法规，由于相关安全技术和手段还没有成熟和标准化，法规也不能很好地被执行，安全标准和规范的缺少，导致无从制定合理的安全策略并确保此策略能被有效执行。

1.2 存在物理安全风险

物理安全是指各种服务器、路由器、交换机、工作站等硬件设备和通信链路的安全。风险的来源有：水灾、火灾、雷击等自然灾害，人为的破坏或误操作外界的电磁干扰，设备固有的弱点或缺陷等。物理安全的威胁可以直接造成设备的损坏、系统和网络的不可用、数据的直接损坏或丢失等。

1.3 信息外泄现象时有发生

进入信息化时代后，企业的诸多资料都由原先的纸介质变成了电子文档。电子文档的特点就是复制十分容易，许多跳槽的员工和竞争对手都会将这些资料通过各种手段带离企业。而且，在企业信息管理系统中，大量购、销、存等业务、财务数据、文档及客户资料，以存储介质形式存在于计算机中，由于电磁辐射或数据可访问性等弱点，受到人为和非人为因素的破坏。数据一旦遭到破坏，将会严重影响企业日常业务的正常运作。因此，保证数据的安全，就是保证企业的安全。

1.4 缺少安全管理制度和责任性

目前企业的安全解决方案，基本上只是一个安全产品方案，这使人们误以为企业的信息安全只是信息技术部门的工作和责任，与其他人员不直接相关．但是一个企业的信息系统是企业全体人员参与的，因为他们才是企业信息系统的提供者和使用者，他们是影响信息安全系统能否达到预期要求的决定因素。

2 加强我国企业信息安全管理的几点建议

2.1 全面提高职工的信息安全知识素质，加强安全文化建设，提升防患水平，防微杜渐

对于信息安全工作的开展，不是系统管理部门的事，也不是系统使用部门的事，而是全体员工的事，必须要提高全体员工的信息安全意识。通过培训和考核等措施，提高员工对公司信息安全的认识，让信息安全成为业务开展的一部分，才能有效提高公司整体信息安全水平，也是信息安全工作得到有效的支持和推进。在此基础上，要建立适应21世纪知识经济时代的企业信息安全文化，只有加强安全文化建设，才能适应知识经济时代的发展。

2.2 完善企业信息安全管理制度

首先，数据安全管理制度，即确保数据存储介质（设备）的安全；定时进行数据备份，备份数据必须异地存放；对数据的操作需经主管部门的审批、同意方可进行；数据的清除、整理工作需两人或两人以上在场，并由相关部门进行监督、记录。第二，准入管理制度。准入管理又称密码、权限管理，通过准入系统可以判断请求登录的用户是否是合法的、值得信任的。一个安全的准入系统则需要收集请求登录者的以下信息：一是请求方式。当同一网段在单位时间内多次请求登录或多次登录用户、密码错误者，就应在一定时间内封闭其所在网段的请求，并发出报警信号。二是系统安全验证，即对登录用户的操作系统进行安全证，并提示登录用户进行一系列的修复操作。三是检测设备自身数据是否被修改或篡改，并对登录户相应的操作进行记录备案。

2.3 采取传统的信息安全防范策略

物理安全策略：包括环境安全、设备安全、媒体安全、信息资产的物理分布、人员的访问控制、审计记录、异常情况的追查等；网络安全策略：包括网络拓扑结构、网络设备的管理、网络安全访问措施、安全扫描、远程访问、不同级别网络的访问控制方式、识别认证机制等；数据加密策略：包括加密算法、适用范围、密钥交换和管理等；数据备份策略：包括适用范围、备份方式、备份数据的安全存储、备份周期、负责人等；身份认证及授权策略：包括认证及授权机制、方式、审计记录等；灾难恢复策略：包括负责人员、恢复机制、方式、归档管理、硬件、软件等；事故处理、紧急响应策略：包括响应小组、联系方式、事故处理计划、控制过程等。

2.4 实施、检查和改进信息安全管理体制

企业应按照规划阶段编制安全管理体系文件的控制要求来实施活动，主要实施和运行ISMS方针、控制措施、过程和程序，包括安全策略、所选择的安全措施或控制、安全意识和培训程序等。在实施期间，企业应及时检查发现规划中存在的问题，找出问题根源，采取纠正措施，并按照更改控制程序要求对体系予以更改，以达到进一步完善信息安全管理体系的目的。信息安全实施过程的效果如何，需要通过监视、审计、复查、评估等手段来进行检查，检查的依据就是计划阶段建立的安全策略、目标、程序，以及标准、法律法规和实践经验，检查的结果是进一步采取措施的依据。

2.5 加强信息安全监控，保障信息系统安全运行

在信息安全监控、信息安全配置和系统访问控制方面，信息管理部门借助先进成熟的信息技术，充分挖掘和利用现有资源功能潜力，进一步提升企业信息系统的安全防范能力。例如，加强信息系统监控管理和风险评估，优化信息系统安全架构，开展入侵检测分析防范、核心网络冗余和服务器架构调整等工作，确保公司信息系统安全稳定运行。统一企业桌面安全管理体系，建立网络运维管理系统，加强接入层管理、桌面安全管理和安全监控管理，有效保障联网计算机的安全运行。优化企业内外网连接架构和访问控制策略，增加网络出口流量监控环节，使有限的网络带宽资源得到合理分配和充分利用。针对因特网浏览用户违规现象较多，造成非授权用户占用大量网络资源的问题，加强用户访问监控，严肃处理违规用户，加强保密教育，促进用户规范使用信息系统。

2.6 构建信息安全管理团队

信息安全管理团队是由决策者、管理者以及计算机、信息、通讯、安全和网络技术等方面的专家为提升企业信息安全管理水平而组建的团队。信息安全管理团队是企业信息安全管理的直接管理者，其管理能力、技术能力的高低会直接影响到企业信息安全管理的效率。因此必须增加对企业内部信息安全管理人员、技术人员的定期培训，同时与外部专业技术企业建立长期有效的外部技术支持网络，才能对企业信息安全事件做出及时、快速、准确的响应，确定并及时排除突发事件，使企业的风险和损失最小化，最终形成一套有效的一体化管理体系，给企业带来更大的管理效益与管理效率的提升。

综上所述，随着网络普及和企业信息化业务的不断拓展，信息成为一种重要的战略资源，信息安全保障能力成为一个企业综合能力的重要组成部分。因此，要提高企业信息安全管理的效率，为企业决策提供信息支持，确保企业信息数据安全、可靠、真实，为企业发展和经营管理提供有力保障。

[1]胡泉军，王以群，张延芝.企业信息安全管理中组织管理失误因素分析 [J].工业工程.2009(2).

[2]尹鸿波.网络环境下企业信息安全管理对策研究[J].电脑与信息技术.2011(4).