信息安全管理論文淺議網(wǎng)絡(luò)環(huán)境下的企業(yè)信息安全管理

1、信息安全管理論文：淺議網(wǎng)絡(luò)環(huán)境下的企業(yè)信息安全管理摘 要:隨著社會的發(fā)展，企業(yè)對信息資源的依賴程度越來越大，由此帶來的信息安全問題也日益突出。文章從影響企業(yè)信息安全的3個維度出發(fā)，全面分析了企業(yè)信息安全的各種風(fēng)險(xiǎn)來源，并由此提出企業(yè)信息安全構(gòu)建原則，基于技術(shù)安全、管理安全、資源安全3個維度構(gòu)建信息安全管理體系模型。同時(shí)，認(rèn)為企業(yè)的信息安全應(yīng)遵從pdca的過程方法論持續(xù)改進(jìn)以確保信息安全的長治久安。關(guān)鍵詞:網(wǎng)絡(luò)環(huán)境;企業(yè)信息;信息安全管理體系;模型;持續(xù)改進(jìn)1引言隨著社會的發(fā)展，企業(yè)對信息資源的依賴程度來越大，由此帶來的信息安全問題也日益突出。業(yè)在研發(fā)、設(shè)計(jì)和生產(chǎn)產(chǎn)品或提供服務(wù)時(shí)多會涉到客戶的重

2、要信息(如業(yè)務(wù)數(shù)據(jù)等)，如果自身沒信息安全保障是難以得到用戶的信任的fl。另外，果企業(yè)自身的信息安全管理有重大疏漏，也無法證其產(chǎn)品及服務(wù)的安全可靠。當(dāng)前，企業(yè)在黑客病毒日益猖撅的網(wǎng)絡(luò)環(huán)境下不僅要保護(hù)自身信的安全，還要保護(hù)企業(yè)客戶信息的安全，因此有必要從體系管理的高度構(gòu)建企業(yè)信息安全。企業(yè)信息安全的風(fēng)險(xiǎn)主要有3個來源l2:自然災(zāi)害。例如水災(zāi)、火災(zāi)、地震等會造成企業(yè)信息基礎(chǔ)設(shè)施的損害，進(jìn)而影響企業(yè)信息本身。技術(shù)。企業(yè)信息對技術(shù)具有廣泛的依賴性，一旦發(fā)生軟硬件故障或惡意人侵，則可能對企業(yè)信息造成嚴(yán)重?fù)p害。人。內(nèi)部人員故意或無意泄漏企業(yè)信息造成的損失常常是難以估量的，外部人員的人侵甚至?xí)蛊髽I(yè)信息癱瘓

3、。2企業(yè)信息安全的三維性與20世紀(jì)末信息安全著力于圍繞信息系統(tǒng)本身僅采用技術(shù)手段解決不同，當(dāng)前，企業(yè)信息安全已涉及到與信息相關(guān)的各方面。企業(yè)信息安全不僅要考慮信息本身，還需要考慮信息依附的信息載體(包括物理平臺、系統(tǒng)平臺、通信平臺、網(wǎng)絡(luò)平臺和應(yīng)用平臺，例如pc機(jī)、服務(wù)器、無線網(wǎng)卡等)的安全以及信息運(yùn)轉(zhuǎn)所處環(huán)境(包括硬環(huán)境和軟環(huán)境，例如員工素質(zhì)、室內(nèi)溫度等)的安全。資產(chǎn)如果不對影響信息安全的各個維度進(jìn)行全面的綜合分析，則難以實(shí)現(xiàn)企業(yè)信息安全。因此，需要從企業(yè)信息安全的總體大局出發(fā)，樹立企業(yè)信息安全的多維性，綜合考慮企業(yè)信息安全的各個環(huán)節(jié)，揚(yáng)長避短，采取多種措施共同維護(hù)企業(yè)信息安全。2.1技術(shù)維技

4、術(shù)發(fā)展是推動信息社會化的主要動力，企業(yè)通常需要借助于一項(xiàng)或多項(xiàng)技術(shù)才能充分利用信息，使信息收益最大化。然而，信息技術(shù)的使用具有雙面性，人們既可以利用技術(shù)手段如電子郵件等迅速把信息發(fā)送出去，惡意者也可由此截獲信息內(nèi)容。為確保企業(yè)信息安全，必須合理的使用信息技術(shù)，因此，技術(shù)安全是實(shí)現(xiàn)企業(yè)信息安全的核心。(1)惡意代碼和未授權(quán)移動代碼的防范和檢測。網(wǎng)絡(luò)世界上存在著成千上萬的惡意代碼(如計(jì)算機(jī)病毒、網(wǎng)絡(luò)蠕蟲、特洛伊木馬和邏輯炸彈等)和未授權(quán)的移動代碼(如javaseript腳本、java小程序等)。這些代碼會給計(jì)算機(jī)等信息基礎(chǔ)設(shè)施及信息本身造成損害，需要加以防范和檢測。(2)信息備份。內(nèi)在的軟硬件產(chǎn)品

5、目前還不能確保完全可靠，還存在著各種各樣的問題。外在的惡意代碼和未授權(quán)移動代碼的攻擊，也會造成應(yīng)用信息系統(tǒng)的癱瘓。為確保信息的不丟失，有必要采取技術(shù)備份手段，定期備份。(3)訪問權(quán)限。不同的信息及其應(yīng)用信息系統(tǒng)應(yīng)有不同的訪問權(quán)限，低級別角色不應(yīng)能訪問高級別的信息及應(yīng)用信息系統(tǒng)。為此，可通過技術(shù)手段設(shè)定信息的訪問權(quán)限，限制用戶的訪問范圍。(4)網(wǎng)絡(luò)訪問。當(dāng)今，一個離開網(wǎng)絡(luò)的企業(yè)難以成功運(yùn)轉(zhuǎn)，員工通常需要從網(wǎng)絡(luò)中獲取各種信息。然而，網(wǎng)絡(luò)的暢通也給惡意者提供了訪問企業(yè)內(nèi)部信息的渠道。為此，有必要采用網(wǎng)絡(luò)防火墻技術(shù)，控制內(nèi)部和外部網(wǎng)絡(luò)的訪問。(5)加解密。加解密技術(shù)涉及到密碼、口令、密鑰等技術(shù)。為保證

6、信息安全，通常做法是對需保密的信息進(jìn)行加密處理，只有擁有密鑰的授權(quán)人才能解密獲取信息。無密鑰的惡意者即使截獲傳遞中的信息也是無法窺視內(nèi)容的，只能獲得零散無用的信息。2.2管理維企業(yè)信息安全不但需要依靠技術(shù)安全，而且與管理安全也息息相關(guān)。沒有管理安全，技術(shù)安全是難以在企業(yè)中真正貫徹落實(shí)的。管理安全在企業(yè)中的實(shí)施是企業(yè)信息得以安全的關(guān)鍵。企業(yè)應(yīng)建立健全相應(yīng)的信息安全管理辦法，加強(qiáng)內(nèi)部和外部的安全管理、安全審計(jì)和信息跟蹤體系，提高整體信息安全意識，把管理安全落到實(shí)處。(l)信息安全方針和信息安全政策的制定。信息安全方針和信息安全政策體現(xiàn)了管理者的信息安全意圖，管理者應(yīng)適時(shí)對信息安全方針評審，以確保信

7、息安全方針政策的適宜性、充分性和有效性。(2)構(gòu)建信息安全組織架構(gòu)。為在企業(yè)內(nèi)貫徹既定的信息安全方針和政策，確保整個企業(yè)信息安全控制措施的實(shí)施和協(xié)調(diào)，以及外部人員訪問企業(yè)信息和信息處理設(shè)施的安全，需要構(gòu)建有效的信息安全組織架構(gòu)。(3)法規(guī)的遵循。法律法規(guī)的遵循有3方面的含義:一是確保企業(yè)采取的信息安全措施是有法可依的，避免違反法律的安全措施;二是依據(jù)法律法規(guī)保護(hù)企業(yè)自身的知識產(chǎn)權(quán)和各種信息;三是當(dāng)有惡意者人侵企業(yè)信息時(shí)，應(yīng)依法保留證據(jù)，利用法律手段保護(hù)企業(yè)信息安全。2.3資源維再好的技術(shù)和管理也必須在特定的環(huán)境下才能由員工執(zhí)行。離開一定的人和物，信息安全無從談起。因此，由物理資源和人力資源構(gòu)成

8、的資源維是企業(yè)實(shí)現(xiàn)信息安全的前提。(l)企業(yè)信息的安全離不開人，信息安全各環(huán)節(jié)的執(zhí)行最終都需要由人這個主體來完成。如果相關(guān)人員的安全意識薄弱，不小心泄密，則比其他安全不足帶來的損失會更大。沒有信息安全意識的企業(yè)員工常常會成為信息安全中最薄弱的一環(huán)。因此需要不斷對相關(guān)人員的安全意識和職業(yè)道德培訓(xùn)。(2)信息的使用和增值需要借助于一定的物理資源，信息安全的保護(hù)也離不開各種物理資源的支持。因此，需要對各種物理資源確實(shí)加以控制，落到實(shí)處。物理資源應(yīng)是抵御惡意者人侵的第一道屏障，管理層應(yīng)形成良好的物理安全意識。諸如門卡、消防器材等應(yīng)是每個企業(yè)正常運(yùn)作不可或缺的物理資源?？傊?，企業(yè)信息的安全不僅僅反映在殺

9、毒軟件和防火墻的升級上，其他安全環(huán)節(jié)如法律法規(guī)、安全意識、安全培訓(xùn)、安全監(jiān)控等也要隨之完善，共同為企業(yè)信息資產(chǎn)營造一個安全的大環(huán)境。管理層要充分了解信息安全的動態(tài)性和復(fù)雜性，樹立永久的信息安全意識，出現(xiàn)新問題時(shí)盡快尋找應(yīng)對策略，只有這樣才能有效地保護(hù)企業(yè)信息安全。科學(xué)2010年第8期授權(quán)于同一員工。在這些基本原則的基礎(chǔ)上，還產(chǎn)生實(shí)踐出一些實(shí)施原則，包括:主客體隔離原則、整體保護(hù)原則、誰主管誰負(fù)責(zé)原則、等級保護(hù)原則等。3企業(yè)信息安全構(gòu)建原則為確保企業(yè)信息的可用性、完整性和機(jī)密性，企業(yè)在日常運(yùn)作時(shí)須遵守以下原則。(l)權(quán)限最小化。受保護(hù)的企業(yè)信息只能在限定范圍內(nèi)共享。員工僅被授予為順利履行工作職責(zé)

10、而能訪問敏感信息的適當(dāng)權(quán)限。對企業(yè)敏感信息的獲知人員應(yīng)加以限制，僅對有工作需要的人員采取限制性開放。最小化原則又可細(xì)分為知所必須和用所必須的原則，即給予員工的讀權(quán)限只限于員工為順利完成工作必須獲的信息內(nèi)容，給予員工的寫權(quán)限只限于員工所能夠表述的內(nèi)容。(2)分權(quán)制衡。對涉及到企業(yè)信息安全各維度的使用權(quán)限適當(dāng)?shù)貏澐?，使每個授權(quán)主體只能擁有其中的部分權(quán)限，共同保證信息系統(tǒng)的安全。如果授權(quán)主體分配的權(quán)限過大，則難以對其進(jìn)行監(jiān)督和制約，會存在較大的信息安全風(fēng)險(xiǎn)。因此，在授權(quán)時(shí)要采取三權(quán)分立的原則，使各授權(quán)主體間相互制約、相互監(jiān)督，通過分權(quán)制衡確保企業(yè)信息安全。例如網(wǎng)絡(luò)管理員、系統(tǒng)管理員和日志審核員就不應(yīng)

11、被授予同一員工。4企業(yè)信息安全管理體系的構(gòu)建4.1企業(yè)信息安全構(gòu)建的基本要求為符合企業(yè)信息安全的發(fā)展規(guī)律，構(gòu)建的信息安全管理體系應(yīng)滿足應(yīng)下要求。(1)法律法規(guī)的要求。法律法規(guī)是強(qiáng)制執(zhí)行的，企業(yè)應(yīng)遵照法律法規(guī)的要求合法開展業(yè)務(wù)，構(gòu)建信息安全管理體系 (2)客戶和第三方的要求。企業(yè)在構(gòu)建信息安全管理體系時(shí)應(yīng)考慮貿(mào)易伙伴、承包方等客戶和第三方的合同要求。(3)企業(yè)內(nèi)部的要求。企業(yè)的整體業(yè)務(wù)策略與目標(biāo)需要遵循一定的內(nèi)部業(yè)務(wù)流程，合理的信息安全管理應(yīng)在其上開展。上述3方面要求實(shí)際上主要都是圍繞著信息的機(jī)密性、完整性和可用性展開的。首先，信息安全的機(jī)密性要求盡可能少的人能接觸到重要信息，也就是說，除了相關(guān)

12、的工作人員外，其余人員不得接觸，以保持信息的機(jī)密。其次，信息的完整性要求所提供的信息必須是準(zhǔn)確和全面的，不完整的信息會導(dǎo)致錯誤的決策，給企業(yè)帶來損失。再次，信息的可用性要求在需要的時(shí)候信息能為相關(guān)部門所用，如果信息在需要的時(shí)候不能用，則不能保證企業(yè)信息系統(tǒng)的正常運(yùn)作。4.2信息安全管理體系模型企業(yè)信息安全管理體系的構(gòu)建要統(tǒng)籌考慮多方面因素，勿留短板。安全技術(shù)是構(gòu)建信息安全的基礎(chǔ)，員工的安全意識和企業(yè)資源的充分提供是有效保證安全體系正常運(yùn)作的關(guān)鍵，安全管理則是安全技術(shù)和安全意識恒久長效的保障，三者缺一不可。因此，在構(gòu)建企業(yè)信息安全管理體系時(shí)，要全面考慮各個維度的安全，做好各方面的平衡，各部門互相

13、配合，共同打造企業(yè)信息安全管理平臺?？茖W(xué)的安全管理體系應(yīng)該包括以下主要環(huán)節(jié):制定反映企業(yè)特色的安全方針、構(gòu)建強(qiáng)健有力的信息安全組織機(jī)構(gòu)、依法行事、選擇穩(wěn)定可靠的安全技術(shù)和安全產(chǎn)品、設(shè)計(jì)完善的安全評估標(biāo)準(zhǔn)、樹立.員工的安全意識和營造良好的信息安全文化氛圍等。因此，為了使企業(yè)構(gòu)建的信息安全管理體系能適應(yīng)不斷變化的風(fēng)險(xiǎn)，必須要以構(gòu)建、執(zhí)行、評估、改進(jìn)、再構(gòu)建的方式持續(xù)地進(jìn)行，構(gòu)成一個p(計(jì)劃)、d(執(zhí)行)、c(檢查)、a(改進(jìn))反饋循環(huán)鏈以使構(gòu)建的企業(yè)信息安全管理體系不斷地根據(jù)新的風(fēng)險(xiǎn)做出合理調(diào)整。3信息安全管理體系的持續(xù)改進(jìn)。信息安全管理體系模型可以看出，信息安全管理體系的目的是確保信息資產(chǎn)安全，

14、著力點(diǎn)是圍繞管理、技術(shù)和資源3個維度的安全展開。這3個維度分別又體現(xiàn)了不同的安全領(lǐng)域。依據(jù)15027001，的安全方針、信息安全組織等n個安全領(lǐng)域又可延伸出內(nèi)部組織、外部各方措施等39個控制目標(biāo)和信息安全方針文件等139項(xiàng)控制措施氣4.3信息安全管理體系的持續(xù)改進(jìn)構(gòu)建過程企業(yè)信息安全管理體系的構(gòu)建不是一勞永逸的，隨著企業(yè)的發(fā)展、社會的變化、技術(shù)的更新，體系也是不斷持續(xù)改進(jìn)的。它不能擺脫事物螺旋式發(fā)展的唯物主義客觀規(guī)律。因此，為了使企業(yè)構(gòu)建的信息安全管理體系能適應(yīng)不斷變化的風(fēng)險(xiǎn)，必須要以構(gòu)建、執(zhí)行、評估、改進(jìn)、再構(gòu)建的方式持續(xù)地進(jìn)行，構(gòu)成一個p(計(jì)劃)、d(執(zhí)行)、c(檢查)、a(改進(jìn))反饋循環(huán)

15、鏈以使構(gòu)建的企業(yè)信息安全管理體系不斷地根據(jù)新的風(fēng)險(xiǎn)做出合理調(diào)整，信息安全管理體系的持續(xù)改進(jìn)5結(jié)論信息安全管理體系的構(gòu)建對企業(yè)高效運(yùn)行具有重要意義。只有全面分析影響企業(yè)信息安全的各種來源后才能構(gòu)建良好的企業(yè)信息安全管理體系。從大量的企業(yè)案例來看，技術(shù)、管理和資源是影響企業(yè)信息安全的3個維度。為此，應(yīng)從技術(shù)、管理和資源出發(fā)考慮信息安全管理體系的構(gòu)建原則和企業(yè)信息安全管理體系應(yīng)滿足的基本要求。同時(shí)，也應(yīng)注意到，信息安全管理體系的構(gòu)建不是一勞永逸而是不斷改進(jìn)的，企業(yè)的信息安全管理體系應(yīng)遵從pdca的過程方法論持續(xù)改進(jìn)，才能確保企業(yè)信息的安全長效。參考文獻(xiàn)1張李義，劉文勇.網(wǎng)絡(luò)信息資源管理安全問題新探討

16、.情報(bào)科學(xué)，2003(9):942一946.2席嘉，淺論企業(yè)安全管理中的風(fēng)險(xiǎn)對策j.公安大學(xué)學(xué)報(bào)，2001l(l):35一40.3中華人民共和國國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局，中國國家標(biāo)準(zhǔn)化管理委員會.信息技術(shù)安全技術(shù).信息安全管理體系要求s4.中華人民共和國國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局，中國國家標(biāo)準(zhǔn)化管理委員會.信息技術(shù)安全技術(shù).信息安全管理實(shí)用規(guī)則s5.黃瑞華，朱莉欣，問向榮.論保護(hù)信息網(wǎng)絡(luò)安全的技術(shù)性和管理性法規(guī)j.情報(bào)學(xué)報(bào)，2001(5):519一524.簡 歷姓 名： 簡歷模板 http:/性 別： 男出生日期： 1989年2月年 齡： 37歲戶口所在地：上海政治面貌： 黨員畢業(yè)生院校：專 業(yè)：地 址：電 話：e-mail：教育背景_1983/08-1988/06 華東理工大學(xué) 生產(chǎn)過程自動化 學(xué)士 _個人能力_這里展示自己有什么的特長及能力_專業(yè)課程_課程名稱(只寫一些核心的)：簡短介紹課程名稱：簡短介紹 _培訓(xùn)經(jīng)歷_2002/06-2002/10 某培訓(xùn)機(jī)構(gòu) 計(jì)算機(jī)系統(tǒng)和維護(hù) 上海市勞動局頒發(fā)的初級證書 1998/06-1998/08 某建筑工程學(xué)校 建筑電氣及定額預(yù)算 上海建筑工程學(xué)校頒發(fā) _實(shí)習(xí)經(jīng)歷_201