信息安全管理論文淺議網(wǎng)絡環(huán)境下的企業(yè)信息安全管理

1、信息安全管理論文：淺議網(wǎng)絡環(huán)境下的企業(yè)信息安全管理摘 要:隨著社會的發(fā)展，企業(yè)對信息資源的依賴程度越來越大，由此帶來的信息安全問題也日益突出。文章從影響企業(yè)信息安全的3個維度出發(fā)，全面分析了企業(yè)信息安全的各種風險來源，并由此提出企業(yè)信息安全構建原則，基于技術安全、管理安全、資源安全3個維度構建信息安全管理體系模型。同時，認為企業(yè)的信息安全應遵從pdca的過程方法論持續(xù)改進以確保信息安全的長治久安。關鍵詞:網(wǎng)絡環(huán)境;企業(yè)信息;信息安全管理體系;模型;持續(xù)改進1引言隨著社會的發(fā)展，企業(yè)對信息資源的依賴程度來越大，由此帶來的信息安全問題也日益突出。業(yè)在研發(fā)、設計和生產(chǎn)產(chǎn)品或提供服務時多會涉到客戶的重

2、要信息(如業(yè)務數(shù)據(jù)等)，如果自身沒信息安全保障是難以得到用戶的信任的fl。另外，果企業(yè)自身的信息安全管理有重大疏漏，也無法證其產(chǎn)品及服務的安全可靠。當前，企業(yè)在黑客病毒日益猖撅的網(wǎng)絡環(huán)境下不僅要保護自身信的安全，還要保護企業(yè)客戶信息的安全，因此有必要從體系管理的高度構建企業(yè)信息安全。企業(yè)信息安全的風險主要有3個來源l2:自然災害。例如水災、火災、地震等會造成企業(yè)信息基礎設施的損害，進而影響企業(yè)信息本身。技術。企業(yè)信息對技術具有廣泛的依賴性，一旦發(fā)生軟硬件故障或惡意人侵，則可能對企業(yè)信息造成嚴重損害。人。內(nèi)部人員故意或無意泄漏企業(yè)信息造成的損失常常是難以估量的，外部人員的人侵甚至會使企業(yè)信息癱瘓

3、。2企業(yè)信息安全的三維性與20世紀末信息安全著力于圍繞信息系統(tǒng)本身僅采用技術手段解決不同，當前，企業(yè)信息安全已涉及到與信息相關的各方面。企業(yè)信息安全不僅要考慮信息本身，還需要考慮信息依附的信息載體(包括物理平臺、系統(tǒng)平臺、通信平臺、網(wǎng)絡平臺和應用平臺，例如pc機、服務器、無線網(wǎng)卡等)的安全以及信息運轉所處環(huán)境(包括硬環(huán)境和軟環(huán)境，例如員工素質、室內(nèi)溫度等)的安全。資產(chǎn)如果不對影響信息安全的各個維度進行全面的綜合分析，則難以實現(xiàn)企業(yè)信息安全。因此，需要從企業(yè)信息安全的總體大局出發(fā)，樹立企業(yè)信息安全的多維性，綜合考慮企業(yè)信息安全的各個環(huán)節(jié)，揚長避短，采取多種措施共同維護企業(yè)信息安全。2.1技術維技

4、術發(fā)展是推動信息社會化的主要動力，企業(yè)通常需要借助于一項或多項技術才能充分利用信息，使信息收益最大化。然而，信息技術的使用具有雙面性，人們既可以利用技術手段如電子郵件等迅速把信息發(fā)送出去，惡意者也可由此截獲信息內(nèi)容。為確保企業(yè)信息安全，必須合理的使用信息技術，因此，技術安全是實現(xiàn)企業(yè)信息安全的核心。(1)惡意代碼和未授權移動代碼的防范和檢測。網(wǎng)絡世界上存在著成千上萬的惡意代碼(如計算機病毒、網(wǎng)絡蠕蟲、特洛伊木馬和邏輯炸彈等)和未授權的移動代碼(如javaseript腳本、java小程序等)。這些代碼會給計算機等信息基礎設施及信息本身造成損害，需要加以防范和檢測。(2)信息備份。內(nèi)在的軟硬件產(chǎn)品

5、目前還不能確保完全可靠，還存在著各種各樣的問題。外在的惡意代碼和未授權移動代碼的攻擊，也會造成應用信息系統(tǒng)的癱瘓。為確保信息的不丟失，有必要采取技術備份手段，定期備份。(3)訪問權限。不同的信息及其應用信息系統(tǒng)應有不同的訪問權限，低級別角色不應能訪問高級別的信息及應用信息系統(tǒng)。為此，可通過技術手段設定信息的訪問權限，限制用戶的訪問范圍。(4)網(wǎng)絡訪問。當今，一個離開網(wǎng)絡的企業(yè)難以成功運轉，員工通常需要從網(wǎng)絡中獲取各種信息。然而，網(wǎng)絡的暢通也給惡意者提供了訪問企業(yè)內(nèi)部信息的渠道。為此，有必要采用網(wǎng)絡防火墻技術，控制內(nèi)部和外部網(wǎng)絡的訪問。(5)加解密。加解密技術涉及到密碼、口令、密鑰等技術。為保證

6、信息安全，通常做法是對需保密的信息進行加密處理，只有擁有密鑰的授權人才能解密獲取信息。無密鑰的惡意者即使截獲傳遞中的信息也是無法窺視內(nèi)容的，只能獲得零散無用的信息。2.2管理維企業(yè)信息安全不但需要依靠技術安全，而且與管理安全也息息相關。沒有管理安全，技術安全是難以在企業(yè)中真正貫徹落實的。管理安全在企業(yè)中的實施是企業(yè)信息得以安全的關鍵。企業(yè)應建立健全相應的信息安全管理辦法，加強內(nèi)部和外部的安全管理、安全審計和信息跟蹤體系，提高整體信息安全意識，把管理安全落到實處。(l)信息安全方針和信息安全政策的制定。信息安全方針和信息安全政策體現(xiàn)了管理者的信息安全意圖，管理者應適時對信息安全方針評審，以確保信

7、息安全方針政策的適宜性、充分性和有效性。(2)構建信息安全組織架構。為在企業(yè)內(nèi)貫徹既定的信息安全方針和政策，確保整個企業(yè)信息安全控制措施的實施和協(xié)調，以及外部人員訪問企業(yè)信息和信息處理設施的安全，需要構建有效的信息安全組織架構。(3)法規(guī)的遵循。法律法規(guī)的遵循有3方面的含義:一是確保企業(yè)采取的信息安全措施是有法可依的，避免違反法律的安全措施;二是依據(jù)法律法規(guī)保護企業(yè)自身的知識產(chǎn)權和各種信息;三是當有惡意者人侵企業(yè)信息時，應依法保留證據(jù)，利用法律手段保護企業(yè)信息安全。2.3資源維再好的技術和管理也必須在特定的環(huán)境下才能由員工執(zhí)行。離開一定的人和物，信息安全無從談起。因此，由物理資源和人力資源構成

8、的資源維是企業(yè)實現(xiàn)信息安全的前提。(l)企業(yè)信息的安全離不開人，信息安全各環(huán)節(jié)的執(zhí)行最終都需要由人這個主體來完成。如果相關人員的安全意識薄弱，不小心泄密，則比其他安全不足帶來的損失會更大。沒有信息安全意識的企業(yè)員工常常會成為信息安全中最薄弱的一環(huán)。因此需要不斷對相關人員的安全意識和職業(yè)道德培訓。(2)信息的使用和增值需要借助于一定的物理資源，信息安全的保護也離不開各種物理資源的支持。因此，需要對各種物理資源確實加以控制，落到實處。物理資源應是抵御惡意者人侵的第一道屏障，管理層應形成良好的物理安全意識。諸如門卡、消防器材等應是每個企業(yè)正常運作不可或缺的物理資源?？傊?，企業(yè)信息的安全不僅僅反映在殺

9、毒軟件和防火墻的升級上，其他安全環(huán)節(jié)如法律法規(guī)、安全意識、安全培訓、安全監(jiān)控等也要隨之完善，共同為企業(yè)信息資產(chǎn)營造一個安全的大環(huán)境。管理層要充分了解信息安全的動態(tài)性和復雜性，樹立永久的信息安全意識，出現(xiàn)新問題時盡快尋找應對策略，只有這樣才能有效地保護企業(yè)信息安全?？茖W2010年第8期授權于同一員工。在這些基本原則的基礎上，還產(chǎn)生實踐出一些實施原則，包括:主客體隔離原則、整體保護原則、誰主管誰負責原則、等級保護原則等。3企業(yè)信息安全構建原則為確保企業(yè)信息的可用性、完整性和機密性，企業(yè)在日常運作時須遵守以下原則。(l)權限最小化。受保護的企業(yè)信息只能在限定范圍內(nèi)共享。員工僅被授予為順利履行工作職責

10、而能訪問敏感信息的適當權限。對企業(yè)敏感信息的獲知人員應加以限制，僅對有工作需要的人員采取限制性開放。最小化原則又可細分為知所必須和用所必須的原則，即給予員工的讀權限只限于員工為順利完成工作必須獲的信息內(nèi)容，給予員工的寫權限只限于員工所能夠表述的內(nèi)容。(2)分權制衡。對涉及到企業(yè)信息安全各維度的使用權限適當?shù)貏澐?，使每個授權主體只能擁有其中的部分權限，共同保證信息系統(tǒng)的安全。如果授權主體分配的權限過大，則難以對其進行監(jiān)督和制約，會存在較大的信息安全風險。因此，在授權時要采取三權分立的原則，使各授權主體間相互制約、相互監(jiān)督，通過分權制衡確保企業(yè)信息安全。例如網(wǎng)絡管理員、系統(tǒng)管理員和日志審核員就不應

11、被授予同一員工。4企業(yè)信息安全管理體系的構建4.1企業(yè)信息安全構建的基本要求為符合企業(yè)信息安全的發(fā)展規(guī)律，構建的信息安全管理體系應滿足應下要求。(1)法律法規(guī)的要求。法律法規(guī)是強制執(zhí)行的，企業(yè)應遵照法律法規(guī)的要求合法開展業(yè)務，構建信息安全管理體系 (2)客戶和第三方的要求。企業(yè)在構建信息安全管理體系時應考慮貿(mào)易伙伴、承包方等客戶和第三方的合同要求。(3)企業(yè)內(nèi)部的要求。企業(yè)的整體業(yè)務策略與目標需要遵循一定的內(nèi)部業(yè)務流程，合理的信息安全管理應在其上開展。上述3方面要求實際上主要都是圍繞著信息的機密性、完整性和可用性展開的。首先，信息安全的機密性要求盡可能少的人能接觸到重要信息，也就是說，除了相關

12、的工作人員外，其余人員不得接觸，以保持信息的機密。其次，信息的完整性要求所提供的信息必須是準確和全面的，不完整的信息會導致錯誤的決策，給企業(yè)帶來損失。再次，信息的可用性要求在需要的時候信息能為相關部門所用，如果信息在需要的時候不能用，則不能保證企業(yè)信息系統(tǒng)的正常運作。4.2信息安全管理體系模型企業(yè)信息安全管理體系的構建要統(tǒng)籌考慮多方面因素，勿留短板。安全技術是構建信息安全的基礎，員工的安全意識和企業(yè)資源的充分提供是有效保證安全體系正常運作的關鍵，安全管理則是安全技術和安全意識恒久長效的保障，三者缺一不可。因此，在構建企業(yè)信息安全管理體系時，要全面考慮各個維度的安全，做好各方面的平衡，各部門互相

13、配合，共同打造企業(yè)信息安全管理平臺。科學的安全管理體系應該包括以下主要環(huán)節(jié):制定反映企業(yè)特色的安全方針、構建強健有力的信息安全組織機構、依法行事、選擇穩(wěn)定可靠的安全技術和安全產(chǎn)品、設計完善的安全評估標準、樹立.員工的安全意識和營造良好的信息安全文化氛圍等。因此，為了使企業(yè)構建的信息安全管理體系能適應不斷變化的風險，必須要以構建、執(zhí)行、評估、改進、再構建的方式持續(xù)地進行，構成一個p(計劃)、d(執(zhí)行)、c(檢查)、a(改進)反饋循環(huán)鏈以使構建的企業(yè)信息安全管理體系不斷地根據(jù)新的風險做出合理調整。3信息安全管理體系的持續(xù)改進。信息安全管理體系模型可以看出，信息安全管理體系的目的是確保信息資產(chǎn)安全，

14、著力點是圍繞管理、技術和資源3個維度的安全展開。這3個維度分別又體現(xiàn)了不同的安全領域。依據(jù)15027001，的安全方針、信息安全組織等n個安全領域又可延伸出內(nèi)部組織、外部各方措施等39個控制目標和信息安全方針文件等139項控制措施氣4.3信息安全管理體系的持續(xù)改進構建過程企業(yè)信息安全管理體系的構建不是一勞永逸的，隨著企業(yè)的發(fā)展、社會的變化、技術的更新，體系也是不斷持續(xù)改進的。它不能擺脫事物螺旋式發(fā)展的唯物主義客觀規(guī)律。因此，為了使企業(yè)構建的信息安全管理體系能適應不斷變化的風險，必須要以構建、執(zhí)行、評估、改進、再構建的方式持續(xù)地進行，構成一個p(計劃)、d(執(zhí)行)、c(檢查)、a(改進)反饋循環(huán)

15、鏈以使構建的企業(yè)信息安全管理體系不斷地根據(jù)新的風險做出合理調整，信息安全管理體系的持續(xù)改進5結論信息安全管理體系的構建對企業(yè)高效運行具有重要意義。只有全面分析影響企業(yè)信息安全的各種來源后才能構建良好的企業(yè)信息安全管理體系。從大量的企業(yè)案例來看，技術、管理和資源是影響企業(yè)信息安全的3個維度。為此，應從技術、管理和資源出發(fā)考慮信息安全管理體系的構建原則和企業(yè)信息安全管理體系應滿足的基本要求。同時，也應注意到，信息安全管理體系的構建不是一勞永逸而是不斷改進的，企業(yè)的信息安全管理體系應遵從pdca的過程方法論持續(xù)改進，才能確保企業(yè)信息的安全長效。參考文獻1張李義，劉文勇.網(wǎng)絡信息資源管理安全問題新探討

16、.情報科學，2003(9):942一946.2席嘉，淺論企業(yè)安全管理中的風險對策j.公安大學學報，2001l(l):35一40.3中華人民共和國國家質量監(jiān)督檢驗檢疫總局，中國國家標準化管理委員會.信息技術安全技術.信息安全管理體系要求s4.中華人民共和國國家質量監(jiān)督檢驗檢疫總局，中國國家標準化管理委員會.信息技術安全技術.信息安全管理實用規(guī)則s5.黃瑞華，朱莉欣，問向榮.論保護信息網(wǎng)絡安全的技術性和管理性法規(guī)j.情報學報，2001(5):519一524.簡 歷姓 名： 簡歷模板 http:/性 別： 男出生日期： 1989年2月年 齡： 37歲戶口所在地：上海政治面貌： 黨員畢業(yè)生院校：專 業(yè)：地 址：電 話：e-mail：教育背景_1983/08-1988/06 華東理工大學 生產(chǎn)過程自動化 學士 _個人能力_這里展示自己有什么的特長及能力_專業(yè)課程_課程名稱(只寫一些核心的)：簡短介紹課程名稱：簡短介紹 _培訓經(jīng)歷_2002/06-2002/10 某培訓機構 計算機系統(tǒng)和維護 上海市勞動局頒發(fā)的初級證書 1998/06-1998/08 某建筑工程學校 建筑電氣及定額預算 上海建筑工程學校頒發(fā) _實習經(jīng)歷_201