制造型企业信息安全管理的现状及其对策研究*

朱思然，吴小艳

(武汉理工大学 管理学院，湖北 武汉 430070)

制造型企业信息安全管理的现状及其对策研究*

朱思然，吴小艳

(武汉理工大学 管理学院，湖北 武汉 430070)

以制造型企业为研究对象，分析其在信息安全管理方面存在的组织临时化、员工上网无限制、个人移动设备使用泛滥等问题，并从员工信息安全意识、信息安全技术体系、信息安全事件应急响应机制三个方面深入探究了导致上述问题存在的原因，最后提出制造型企业需通过信息安全组织层级结构的建立、人员培训和规范管理的加强、信息安全技术体系的完善和信息安全事件应急响应机制的建立四个方面来提升企业的信息安全管理水平，避免信息安全事件的发生。

制造型企业；信息安全管理；信息安全事件

随着信息技术的快速发展，信息系统被广泛应用，信息及信息系统已经成为企业的重要战略资源，对企业的生存和发展起着至关重要的作用。在信息化建设中，制造型企业作为产业链长、应用系统数量大、对外交互信息频繁的企业，已经逐步建立了由办公自动化系统等一系列信息系统构成的支撑企业生产经营活动的信息化体系，并且从中取得了一定的经济利益。但随着信息化步伐的加快，制造型企业的信息安全问题也日益突出。电脑病毒感染、系统非法入侵、商业数据泄密、漏洞攻击等信息安全事件频繁发生，这些信息安全事件的发生直接影响到企业业务的开展，造成企业巨大的经济损失，还损害到企业的良好形象。因此，信息安全问题已经成为制造型企业信息化建设中的重要问题，信息安全管理也已经成为制造型企业日常管理工作中的不可缺少的一部分。

一、企业信息安全管理的相关概念

(一)信息安全

国际标准化组织对信息安全的定义是为避免数据处理系统以及计算机软硬件和数据由于偶然和恶意的原因遭到破坏、篡改、泄露而采取相应的保护措施[1]。美国NSTISSC委员会将信息安全定义为对信息、系统以及使用、存储和传输信息的硬件进行保护，并采取相关政策、培训和教育以及技术等必要手段[2]。信息安全专家沈昌祥认为，信息安全是为了使信息和信息系统具有保密性、完整性、可用性、可控性和不可否认性，让信息和信息系统在保护之下免于未经授权的访问、使用、泄露、修改和破坏[3]。从不同组织和学者对信息安全的定义可以看出，信息安全的定义包含两个层面，一个是信息安全的作用层面，另一个则是信息安全的基本属性层面。其中，信息安全的作用层面构成了信息安全层次模型，第一层为物理安全，即使计算机与网络设备硬件实体处于不受攻击的状态；第二层为运行安全，是指信息系统软件在运行中的不受攻击的状态；第三层为数据安全，是指信息系统中所加工存储和网络中所传递的数据泄露、仿冒、篡改及抵赖过程所涉及的安全。

信息安全金三角(CIA)是信息安全最为核心的基本属性，包括信息的机密性、完整性和可用性。信息的机密性(Confidentiality)是指信息不泄露给未经授权的人，或者非经授权者无法理解信息的含义；信息的完整性(Integrity)是指信息在使用过程中没有被未经授权的人篡改；信息的可用性(Availability)是指被授权者能够正常使用信息及信息系统[4]。企业信息的机密性、完整性和可用性会通过信息及信息系统的物理安全、运行安全和数据安全三个层面反映出来，即如果企业保证了信息及信息系统的物理安全、运行安全和数据安全就保障了企业信息的机密性、完整性和可用性，见图1。

图1 信息安全层次模型与信息安全金三角关系图

(二)信息安全管理

信息安全需要企业对信息系统的全部环节进行统一合理的规划和架构，并要结合企业内外部的变化，任何环节上都不能出现缺陷，否则会对整个信息系统构成威胁。因此，企业通过信息安全管理的手段可以实现信息安全。

信息安全管理是组织通过制定相应的预防措施，保护组织信息和信息系统不被泄露或破坏，保证企业信息的可用性、机密性和完整性的活动。信息安全管理工作一般包括制定安全方针、建立组织机构与明确职责分工、建立信息安全制度和信息安全管理文件体系、对员工进行安全意识培训等，通过确保企业内的组织安全、资产安全、人员安全、环境安全来实现企业的信息安全[5]。

二、制造型企业信息安全管理的现状

(一)信息安全组织临时化

通常，制造型企业只有在发生了信息泄露、病毒攻击、系统破坏等信息安全事件时，才会临时从信息技术部和业务部门抽调人手处理和解决信息安全事件。出现新的信息安全要求时，才会临时组建项目小组，根据新的信息安全要求制定解决方案并实施计划，项目完成后，临时小组就会解散，没有人会继续跟进和执行解决方案。由于没有定期的信息安全评估，安全计划不断地重复开始和结束，带来大量的人财物重复投入，这将导致安全计划成本不断增加，企业的工作效率不断降低，信息安全防护也未得到有效提升。

(二)员工上网无限制

虽然制造型企业为员工上网提供了用户名及密码，并且对其登录的网站进行了监测，但是员工在工作时间还是可以无设防地利用外网进行网页游览、网络社交等行为，并且使用一些网站的免费邮箱随意地接收和发送电子邮件，这些给黑客、病毒、钓鱼软件等创造了对企业内部网络攻击的机会。于是，员工在不了解原因的情况下，使得企业的信息被泄露或者内部网络瘫痪，从而影响企业的正常工作，造成企业资产的损失。

(三)个人移动设备(BYOD)使用泛滥

在制造型企业的办公场合，员工会携带个人移动设备(BYOD)如笔记本电脑、平板电脑、智能手机、移动硬盘等进行办公。企业员工可以较为随意地使用这些移动存储设备对内部文件进行拷贝，并且可以使用移动设备接入企业内网的无线Wi-Fi，并拥有一定程度的内网数据读取权限，这样做虽然节约了企业的办公成本，提高了办公的效率，但是也增加了企业内网病毒感染及遭受黑客恶意入侵的风险[6]。

(四)信息安全防护水平有限

出于性能、技术等因素的考虑，加之国内自主研发的信息安全产品较少，目前进口的信息安全产品受到许多制造型企业的广泛采用。尽管这些企业的信息安全需求以此得到了满足，但近几年来，进口产品设备故障的频繁发生也对制造型企业的业务带来了不同程度的影响。同时，进口信息安全产品已经占据了这些企业信息系统的关键节点，这使得企业的商业机密时刻处于高危状态。不仅如此，部分制造型企业仍旧停留在使用免费的个人版杀毒软件阶段，而这些软件不仅无法解决病毒交叉感染的问题，也没有统一的管理平台对企业内网的安全系统进行统一的升级与维护。另外，信息安全产品在企业内的无序堆叠不仅使得各安全产品存在兼容性问题，同时也使得各产品厂商只能提供与自己产品有关的技术支持，导致企业对问题很难进行跟踪和排查。最后，企业电脑终端上的防毒程序未开启或者未升级至最新版本，以及系统漏洞修补的不及时都造成了多病毒大面积入侵企业内网。

(五)信息安全事件处理不及时

制造型企业在发生信息安全事件时，即使有相关的信息安全管理产品，但无法迅速定位安全事件，更无法快速进行安全事件响应处理，常处于混乱、无序的运维管理状态。由于企业的安全管理人员无法全面了解整个企业网络中正在发生的内部越权访问和外部攻击，出现问题时，他们多表现得无从下手或者手忙脚乱。而且，企业各部门各自为政，对发生信息安全事件无法进行统一规范的快速处理。

三、制造型企业信息安全管理薄弱的原因

(一)员工信息安全意识淡薄

制造型企业员工信息安全意识比较淡薄，主要表现为企业管理层没有充分认识到信息安全的重要性，没有将信息安全管理工作与企业生产安全管理工作放在同等重要的高度来对待，更没有把它作为日常管理工作的一部分。管理层之所以没有信息安全意识主要是因为信息安全不会直接为企业带来经济效益，反而需要投入大量的时间和资源，尤其是对于受部门业绩压力和资源限制的业务部门来说，他们不愿意把时间和资源放在信息安全防护工作上，并且他们还认为不采取安全防护措施不一定会造成损失。普通员工则表现在他们不了解什么信息安全，不知道遵守和执行信息安全制度对自己及企业带来的影响，缺少必要的信息安全教育与培训，有意或无意地导致信息安全事件的发生。

(二)信息安全技术体系不完善

信息安全防护水平受到限制除了受上述因素影响外，还有就是没有完善的物理安全、运行安全和数据安全相统一的信息安全技术体系，具体体现在企业使用的软件设计存在缺陷或者技术漏洞、杀毒软件不及时更新；信息系统设计没有以风险评估为基础、业务流程描述错误或漏洞、数据访问权限设置不清晰、关键数据没有备份等因素；物理安全边界不明确、设备或存储介质缺乏安全措施、电缆损坏、不可抗力的自然灾害等。

(三)信息安全事件应急响应机制缺失

信息安全事件处理不及时很大程度上是因为没有建立信息安全事件应急响应机制。制造型企业没有对信息安全事件进行分级响应与处置，也没有结合企业的实际情况通过预测、评估和分析安全事件对企业造成的后果程度进行等级划分，并针对不同的安全事件制定相应的应急预案。同时，大部分制造型企业在处理信息安全事件时更多依靠的是人的经验和责任心，缺少标准化的信息安全事件处理流程，以及必要的审核和工具支撑[7]。

四、改进制造型企业信息安全管理的对策

通过上述分析可知，信息安全问题不仅出现在技术方面，还更多地出现在管理方面。因此，为了保障企业的业务持续运行，加强企业的股东、客户以及服务提供商对企业信息安全的信任，增强企业的核心竞争能力，制造型企业可以将管理、技术和运维三方面有效地结合起来，促进企业的可持续发展。

(一)建立健全的信息安全组织层级结构

企业信息安全组织架构的建立是围绕企业信息安全管理的战略目标，对企业的信息资源、人力资源、安全技术产品等进行合理安排和配置，构成相互协作的有机整体，使企业的信息安全活动协调有效地运行[8]。制造型企业通过建立多层次、跨部门的信息安全决策委员会、信息安全工作部、信息安全执行部的层级结构，不仅能在企业中形成一张网，覆盖企业的各个部门，有利于信息安全措施的实施和针对信息安全事件的快速响应，而且还能为后续建立信息安全管理体系提供组织上的保证。信息安全决策委员会主要负责制定信息安全制度和策略、明确各部门信息安全职责、协调各部门实施信息安全控制措施以及信息安全活动的实施等。信息安全工作部由各部门负责信息安全管理的工作人员构成，实施决策委员会制定的信息安全策略、制度和方针，并负责各部门的信息安全管理工作。信息安全执行部具体有三个部门，即信息安全规划部、信息安全监督审计部、信息安全运行保障部，并且由各部门进行业务支撑，制造型企业信息安全管理组织架构见图2。

图2 制造型企业信息安全管理组织层级结构

(二)加强人员教育培训和规范管理

信息安全最大的威胁不是来自于企业外部的攻击或是企业信息安全技术的缺陷，而是企业人员缺乏信息安全意识。为了能够有效地提高企业员工的信息安全意识，企业需要对员工进行完善的信息安全教育培训，这不仅能提高员工的信息安全保护技能，还能更好地保护企业的信息安全。制造型企业在制定信息安全教育培训内容时，可以根据员工在企业中所处的职位高低和工作性质的不同有针对性地制定。对于企业管理者而言，教育培训以信息安全核心知识、风险管理、信息安全政策等为主；企业的信息技术人员，则是以信息安全技术教育培训为主；一般员工结合所在部门的业务特点以信息安全意识培训为主。

除了对企业的人员进行教育培训，还需对其进行规范化管理。对掌握产品生产、原材料采购等核心信息的管理者实施更加严格的信息安全监督管理制度；对负责计算机系统及日常维护的人员界定其工作权限；规范化管理员工的上网行为，合理利用网络资源，避免人为的网络安全隐患。同时在规范管理中引入绩效考核机制，这样不仅使信息安全管理的指标量化，而且，通过信息安全监督审计工作组对员工信息安全工作进行考核，使员工更加重视企业信息安全。

因此，加强企业员工的教育培训和规范化管理，不仅可以营造企业信息安全文化氛围，还可以约束员工的行为，减少人为因素导致的信息安全事件发生。

(三)完善信息安全技术体系

信息安全技术是企业信息安全的保障，完善的信息安全技术体系可以防止由于技术因素导致的信息安全漏洞，避免给外部攻击者留下可乘之机，从而减少技术因素导致的信息安全事件发生。制造型企业需从以下六个方面去建立完善的信息安全技术体系，并采用“适度防御”的原则，选择合适的安全技术与产品，形成企业适用的安全技术防线[9]。

一是保障并完善数据安全，制造型企业需通过加密的手段保护企业系统中数据的机密性和完整性，从而提高数据访问的抗抵赖性，同时加强数据的异地灾难恢复机制，实现本地数据的实时远程复制与备份，避免本地系统遭受灾难性破坏导致企业系统中数据的遗失。二是保障并完善终端安全，制造型企业除了要采用全面可靠的防病毒体系和防火墙技术外，还需制定严格的移动终端设备使用制度，一方面是为了避免内部员工利用移动终端设备随意拷贝企业内部文件，导致企业内部信息向外泄露，另一方面是为了防止移动终端设备携带的病毒漏过企业系统设置的防火墙而直接在系统内部传播。三是保障和完善应用安全，除了提供用户名和口令外其他身份验证机制，必要时还需支持双因素认证和具备登录控制模块，同时在日常工作不受影响的情况下，控制员工访问权限，减少越权操作的现象，最大限度地保障个人系统的安全。四是保障和完善网络安全，制造型企业还需通过内外部署相应的网络与信息安全设施使计算机设备的物理管理得到加强，并对入侵检测系统和漏洞扫描系统进行内外部攻击和误操作的实时保护的安全设计，使系统免于网络攻击的同时，也提升了系统管理人员的安全管理水平。五是保障主机安全，除了采用系统扫描技术对操作系统层设备和系统进行智能化检测来帮助网络管理人员高效地完成定期检测和操作系统安全漏洞修复的工作，还应采用系统实时入侵探测技术来监控主机系统事件，检测攻击的可疑特征，并给予响应和处理。六是保证物理安全，制造型企业需要保证机房与设施的安全，针对环境的物理灾害、自然灾害和人为的蓄意破坏采取安全措施，并通过防盗、防毁、防电磁干扰来保证设备的安全。

(四)建立信息安全事件应急响应机制

由于信息安全事件会给制造型企业造成巨大的损失，因此作为补救性质的信息安全事件应急响应机制的建立就是必不可少的。信息安全事件应急响应机制是指在信息安全事件的发生之前企业对各种可能情况所做的全部准备和在信息安全事件发生后所采取的相应措施的方法和过程，其目的是为了使企业尽可能地减少信息安全事件带来的损失。

制造型企业应首先在信息安全运行保障部中创建信息安全事件应急响应中心，中心成员由企业内部的管理者、计算机和网络等方面的技术专家共同组成，并联合外部技术支持企业，针对企业的信息安全事件进行应急响应，及时地处理信息安全事件，使企业的风险和损失最小。其次是制定标准的信息安全事件应急响应的措施与流程，要求应急响应中心进行规范化的管理和运作，并且建立及时精确的信息安全事件上报体系。最后还需建立信息安全事件应急响应案件库，目的是为了实现对事件处理过程的备案和综合查询，帮助企业在处理事件时查找历史处理记录和流程，从而缩短应急响应的时间。

制造型企业信息安全事件应急响应处理的具体流程是：首先，对信息安全事件进行封锁，为避免信息安全事件的扩散，应关闭其与网络的连接；其次，为缓解信息安全事件带来的影响，应采取相应措施，保障系统的正常运行；再次，根据安全记录日志或当前实时监控和审计的结果进行分析与判断，采取措施消除信息安全事件，然后对系统进行恢复，让受侵害的业务系统、应用、数据库等恢复到正常的运行状态；最后，对系统恢复后的安全状况进行追踪，对现有的一些处理流程进行重新评估，并修改不适宜的环节[10]，制造型企业信息安全事件应急响应处理流程见图3。

图3 制造型企业信息安全事件应急响应处理流程

[1]ISO.ISO/IEC27002:2005[S/OL].[2015-01-18].https:∥www.iso.org/obp/ui/#iso:std:iso-iec:27002:ed-1:v1:en.

[2]NSTISSC．Trusted Computer System Evaluation Criteria[EB/OL].[2015-01-18].Available online,http:∥csrc.nist.gov/publications/history/dod85.pdf.

[3]沈昌祥，张焕国， 冯登国，等.信息安全综述[J].中国科学(E辑:信息科学),2007(2):129-150.

[4]戴 川,叶春明.浅谈制造企业日常信息安全管理的必要性与对策[J].中国集体经济(下半月),2007(6):54-55.

[5]刘晓松,郭玲玲.基于管理因素的企业信息安全事故分析[J].企业经济,2013(1):55-58.

[6]瑞 星.2012年中国信息安全综合报告[J].信息安全与通信保密,2013(2):42-49.

[7]王艳玮,曾思慧.信息安全管理缺口模式及弥补建议[J].图书馆学研究,2011(13):68-73.

[8]田 丽.网络环境下企业信息安全管理组织机构设计[J].东北财经大学学报,2008(3):70-72.

[9]雷万云.信息安全保卫战:企业信息安全建设策略与实践 [M].北京：清华大学出版社,2013:193-201.

[10]孙 磊,刘玉英,董如楠,等.汽车制造业信息安全保障管理实施关键过程[J].信息安全与通信保密,2012(9):108-112.

(责任编辑 王婷婷)

Present Situations and Strategies of Manufacturing Enterprises Information Security Management

ZHU Si-ran,WU Xiao-yan

(SchoolofManagement,WUT,Wuhan430070,Hubei,China)

Taking manufacturing enterprises as the research object,this paper has analyzed such problems of manufacturing enterprises'information security management as temporary organization,employees unlimited online,uncontrolled using BYOD,and explored deep-seated reasons from three aspects as employees' security awareness,information security technology system,and information security incident emergency response mechanism.Based on the above analysis,this paper has proposed such strategies as establishing information security organizational hierarchy,strengthening personnel training and standard management,improving information security technology system,building information security incident emergency response mechanism to improve manufacturing enterprises' information security management level and avoid breaches of information security incidents.

manufacturing enterprises;information security management;information security incidents

2014-12-17

朱思然(1987-)，女，湖北省孝感市人，武汉理工大学管理学院硕士生，主要从事营销管理、企业战略管理研究；

吴小艳(1972-)，女，湖北省云梦市人，武汉理工大学管理学院副教授，博士，主要从事营销管理、企业社会责任与伦理研究。

上汽通用五菱股份有限公司横向课题项目(20132h0193)

F49

A

10.3963/j.issn.1671-6477.2015.02.004