淺議企業(yè)信息安全管理與風(fēng)險(xiǎn)控制

淺議企業(yè)信息安全管理與風(fēng)險(xiǎn)控制淺議企業(yè)信息平安管理與風(fēng)險(xiǎn)控制

一、引言

企業(yè)經(jīng)營(yíng)信息對(duì)于企業(yè)來說是一種資源，對(duì)于企業(yè)自身來說具有重要意義，企業(yè)需要妥善管理自身企業(yè)的信息。近年來，企業(yè)的各項(xiàng)經(jīng)營(yíng)活動(dòng)都逐漸開始通過計(jì)算機(jī)，網(wǎng)絡(luò)發(fā)展，因此，企業(yè)的信息平安管理對(duì)于企業(yè)越來越重要。許多企業(yè)開始通過各種技術(shù)伎倆以及制度改革，把更多的注意力放在企業(yè)內(nèi)部的信息平安管理工作，同時(shí)將企業(yè)信息平安管理與風(fēng)險(xiǎn)控制結(jié)合起來，這是一個(gè)正確的選擇，能夠幫忙企業(yè)實(shí)現(xiàn)穩(wěn)定經(jīng)營(yíng)。在介紹企業(yè)信息平安管理以及風(fēng)險(xiǎn)控制前必須厘清企業(yè)信息平安管理的概念與企業(yè)風(fēng)險(xiǎn)控制定義，因此，本節(jié)將著重介紹企業(yè)信息平安管理的概念以及企業(yè)風(fēng)險(xiǎn)控制的定義。

企業(yè)的信息平安管理包含十分豐盛的內(nèi)容，簡(jiǎn)單來說是指企業(yè)通過各種伎倆來愛護(hù)企業(yè)硬件和軟件，愛護(hù)網(wǎng)絡(luò)存儲(chǔ)中的各種數(shù)據(jù)不受偶然因素的破壞或者歹意的原因被攻擊。對(duì)于信息平安的認(rèn)定通過包括4個(gè)指標(biāo)，即保證信息數(shù)據(jù)的完整，保證信息數(shù)據(jù)不被泄露，保證信息數(shù)據(jù)能夠正常使用，保證信息數(shù)據(jù)能夠控制管理。要想做好企業(yè)的信息平安管理，首先需要了解的是關(guān)于信息的傳輸方式。隨著信息技術(shù)的不斷遍及，信息傳遞的方式越來越多，常見的信息傳遞方式主要有互聯(lián)網(wǎng)傳播，局域網(wǎng)傳播，硬件傳播等等。要想實(shí)現(xiàn)企業(yè)的信息平安管理，其中很重要的一項(xiàng)工作在于愛護(hù)信源、信號(hào)以及信息。信息平安管理是一項(xiàng)需要綜合學(xué)科知識(shí)根底的工作，從事企業(yè)信息平安管理工作的人員通過需要具有網(wǎng)絡(luò)平安技術(shù)、計(jì)算機(jī)技術(shù)、密碼技術(shù)、通信技術(shù)。從企業(yè)的信息平安管理來講，最為關(guān)鍵的一項(xiàng)工作時(shí)愛護(hù)企業(yè)內(nèi)部經(jīng)營(yíng)信息數(shù)據(jù)的完整。經(jīng)過近十年來的企業(yè)信息平安管理工作經(jīng)驗(yàn)總結(jié)，企業(yè)信息平安不僅僅需要信息技術(shù)的支持，更需要通過建立完善的企業(yè)風(fēng)險(xiǎn)控制體系來幫忙企業(yè)實(shí)現(xiàn)更好地愛護(hù)企業(yè)信息平安的目標(biāo)。

所以，怎樣把企業(yè)信息平安管理與風(fēng)險(xiǎn)控制融合起來就是擺在企業(yè)經(jīng)營(yíng)管理者面前的一道難題。企業(yè)的信息平安風(fēng)險(xiǎn)控制必須通過企業(yè)建立完善的企業(yè)信息平安風(fēng)險(xiǎn)體系實(shí)現(xiàn)。企業(yè)的信息平安風(fēng)險(xiǎn)控制是指企業(yè)在企業(yè)信息平安遭遇威脅之前，提前對(duì)企業(yè)的信息進(jìn)行風(fēng)險(xiǎn)預(yù)估，并采取一系列的有針對(duì)性的活動(dòng)降低企業(yè)面臨的信息平安風(fēng)險(xiǎn)，從而盡可能減少因?yàn)槠髽I(yè)本身信息平安管理中存在漏洞給企業(yè)帶來不必要的損失。常見的企業(yè)信息平安風(fēng)險(xiǎn)體系建立主要包含下列幾個(gè)方面的內(nèi)容。第一，建立企業(yè)信息平安風(fēng)險(xiǎn)管理制度，明確企業(yè)信息平安管理的責(zé)任分配機(jī)制，明確企業(yè)各個(gè)部門對(duì)各自信息平安所應(yīng)承當(dāng)?shù)呢?zé)任，并建立相應(yīng)的問責(zé)機(jī)制。第二，設(shè)置標(biāo)準(zhǔn)的企業(yè)信息平安風(fēng)險(xiǎn)管理指標(biāo)，對(duì)企業(yè)存在的可能威脅企業(yè)信息平安管理的漏洞予以風(fēng)險(xiǎn)定級(jí)，方便企業(yè)管理者對(duì)不同的信息平安管理漏洞采取有區(qū)別的對(duì)策。第三，企業(yè)要加強(qiáng)對(duì)信息平安管理人員的培訓(xùn)，提高企業(yè)信息平安管理工作人員的風(fēng)險(xiǎn)意識(shí)，讓企業(yè)內(nèi)部從事信息平安管理工作人員認(rèn)識(shí)到自身工作的重要性，讓企業(yè)內(nèi)部從事信息平安管理工作人員了解到標(biāo)準(zhǔn)自身行為，正確履行職責(zé)的重要性。第四，將企業(yè)信息平安管理與風(fēng)險(xiǎn)控制有效融合，重視企業(yè)信息平安管理工作，通過風(fēng)險(xiǎn)控制對(duì)企業(yè)內(nèi)部信息平安的管理方式進(jìn)行正確評(píng)估，找出現(xiàn)行的企業(yè)內(nèi)部信息平安管理伎倆中存在容易無視的地方。

二、企業(yè)信息平安管理與風(fēng)險(xiǎn)控制存在的缺乏

1.企業(yè)信息平安管理工作人員素質(zhì)不高

對(duì)于企業(yè)來說，企業(yè)信息平安管理工作是一項(xiàng)極為重要而隱秘的工作，因此，必須增強(qiáng)對(duì)企業(yè)信息平安管理工作人員的素質(zhì)要求。但是根據(jù)調(diào)查統(tǒng)計(jì)，目前很多企業(yè)對(duì)信息平安工作的管理僅僅停留在對(duì)企業(yè)信息平安管理工作人員的技術(shù)要求上，對(duì)企業(yè)信息平安管理工作人員的道德素養(yǎng)，職業(yè)素養(yǎng)，風(fēng)險(xiǎn)意識(shí)并沒有嚴(yán)格要求。此外，絕大多數(shù)企業(yè)并沒有意識(shí)發(fā)展對(duì)企業(yè)信息平安管理工作的道德素質(zhì)的教育培訓(xùn)，并沒有通過建立相關(guān)管理制度以及問責(zé)機(jī)制對(duì)企業(yè)信息平安管理工作人員實(shí)行監(jiān)督，這無疑給別有用心或者立場(chǎng)不堅(jiān)決的企業(yè)信息平安管理工作人員留下了危害企業(yè)信息平安的可乘之機(jī)。

2.企業(yè)信息平安管理技術(shù)不過關(guān)

企業(yè)信息平安管理工作波及多許多技術(shù)，包括信息技術(shù)，計(jì)算機(jī)技術(shù)，密碼技術(shù)，網(wǎng)絡(luò)應(yīng)用技術(shù)等等，應(yīng)當(dāng)說成熟的計(jì)算機(jī)應(yīng)用技術(shù)是做好企業(yè)信息平安管理的根底，但是，現(xiàn)實(shí)是許多企業(yè)的信息平安管理技術(shù)并不過關(guān)，一方面企業(yè)的信息平安管理硬件并不過關(guān)，在物理層面對(duì)企業(yè)信息不足愛護(hù)，另一方面，企業(yè)信息平安管理工作的專業(yè)技術(shù)沒有及時(shí)更新，一些企業(yè)信息平安管理工作人員不足企業(yè)信息平安管理的實(shí)踐經(jīng)驗(yàn)，企業(yè)信息平安管理的知識(shí)也并沒有及時(shí)更新，從而導(dǎo)致企業(yè)的信息平安管理理論嚴(yán)重滯后，這種技術(shù)的落后很容易讓企業(yè)成為不法分子的攻擊對(duì)象。近年來網(wǎng)絡(luò)病毒的傳播越來越猖狂，很多效勞器、系統(tǒng)提示平安補(bǔ)丁的下載更新以及客戶端的時(shí)常更新成為一個(gè)惱人的問題。作為一個(gè)行業(yè)中的大中型企業(yè)，企業(yè)內(nèi)部設(shè)備數(shù)量比擬多，尤其是客戶端數(shù)量占了較大比重，僅僅靠少數(shù)幾個(gè)管理員進(jìn)行管理是難以承當(dāng)如此大量的工作量。另外，企業(yè)信息平安管理系統(tǒng)不成熟也是一個(gè)重大的隱患。

3.企業(yè)信息平安管理制度不健全

企業(yè)信息平安管理制度不僅僅需要理論制度的完善，更加需要一系列配套監(jiān)督機(jī)制保障企業(yè)信息平安管理的有效執(zhí)行。通過調(diào)查分析，許多企業(yè)雖然建立了企業(yè)信息平安管理制度，但是通常情況下，這些制度只能流于形式，企業(yè)信息平安管理工作短少有效的制約和監(jiān)督，企業(yè)信息平安管理工作人員不足執(zhí)行力。企業(yè)信息平安管理制度不健全，企業(yè)信息平安管理工作不足執(zhí)行力常常體現(xiàn)在下列幾個(gè)方面。第一，企業(yè)員工對(duì)于信息平安管理的認(rèn)識(shí)嚴(yán)重缺乏，對(duì)企業(yè)信息平安管理工作不重視。企業(yè)內(nèi)部計(jì)算機(jī)系統(tǒng)平安的計(jì)算機(jī)防病毒軟件并沒有及時(shí)更新，使用，甚至企業(yè)內(nèi)部計(jì)算機(jī)的防病毒軟件還被企業(yè)員工卸載了。局部企業(yè)員工認(rèn)為自己的工作與企業(yè)信息平安管理不相關(guān)，認(rèn)為做好企業(yè)信息平安管理工作僅僅是企業(yè)信息平安部門的事。第二，企業(yè)內(nèi)部信息平安管理制度并沒有形成聯(lián)動(dòng)機(jī)制，企業(yè)信息平安管理工作僅僅由企業(yè)信息平安部門“一人包干〞，企業(yè)信息平安反映的問題并沒有得到積極的反應(yīng)，一些企業(yè)領(lǐng)導(dǎo)對(duì)企業(yè)信息平安現(xiàn)狀所了解的少之又少。三、企業(yè)信息平安管理常見的技術(shù)伎倆

1.OSI平安體系結(jié)構(gòu)

OSI概念化的平安體系結(jié)構(gòu)是一個(gè)多層次的結(jié)構(gòu)，它的設(shè)計(jì)初衷是面向客戶的，提供應(yīng)客戶各種平安應(yīng)用，平安應(yīng)用必須依靠平安效勞來實(shí)現(xiàn)，而平安效勞又是由各種平安機(jī)制來保障的。所以，平安效勞標(biāo)志著一個(gè)平安系統(tǒng)的抗風(fēng)險(xiǎn)的能力，平安效勞數(shù)量越多，系統(tǒng)就越平安。

2.P2DR模型

P2DR模型包含四個(gè)局部：響應(yīng)、平安策略、檢測(cè)、防護(hù)。平安策略是信息平安的重點(diǎn)，為平安管理提供管理途徑和保障伎倆。因此，要想實(shí)施動(dòng)態(tài)網(wǎng)絡(luò)平安循環(huán)過程，必須制定一個(gè)企業(yè)的平安模式。在平安策略的指導(dǎo)下實(shí)施所有的檢測(cè)、防護(hù)、響應(yīng)，防護(hù)通常是通過采用一些傳統(tǒng)的靜態(tài)平安技術(shù)或者辦法來突破的，比方有防火墻、訪問控制、加密、認(rèn)證等辦法，檢測(cè)是動(dòng)態(tài)響應(yīng)的判斷依據(jù)，同時(shí)也是有力落實(shí)平安策略的實(shí)施工具，通過監(jiān)視來自網(wǎng)絡(luò)的入侵行為，可以檢測(cè)出騷擾行為或錯(cuò)誤程序?qū)е碌木W(wǎng)絡(luò)不平安因素；經(jīng)過不斷地監(jiān)測(cè)網(wǎng)絡(luò)和系統(tǒng)來發(fā)現(xiàn)新的隱患和弱點(diǎn)。在平安系統(tǒng)中，應(yīng)急響應(yīng)占有重要的地位，它是解決危險(xiǎn)潛在性的最有效的方法。

3.HTP模型

HTP最為強(qiáng)調(diào)企業(yè)信息平安管理工作人員在整個(gè)系統(tǒng)中的價(jià)值。企業(yè)信息平安工作人員企業(yè)信息平安最為關(guān)鍵的參與者，企業(yè)信息平安工作人員直接主導(dǎo)企業(yè)信息平安管理工作，企業(yè)信息平安工作人員不僅僅是企業(yè)信息平安的保障者，也是企業(yè)信息平安管理的威脅者。因此，HTP模型最為強(qiáng)調(diào)對(duì)企業(yè)信息平安管理工作人員的管理與監(jiān)督。另外，HTP模式同樣是建立在企業(yè)信心平安體系，信息平安技術(shù)防備的根底上，HTP模式采取了豐盛的平安技術(shù)伎倆確保企業(yè)的信息平安。最后，HTP強(qiáng)調(diào)動(dòng)態(tài)管理，動(dòng)態(tài)監(jiān)督，對(duì)于企業(yè)信息平安管理工作始終保持高強(qiáng)度的監(jiān)督與管理，在實(shí)際工作中，通過HTP模型的應(yīng)用，找出HTP模型中的漏洞并不斷完善。

四、完善企業(yè)信息平安管理與降低風(fēng)險(xiǎn)的倡議

1.建設(shè)企業(yè)信息平安管理系統(tǒng)

〔1〕充沛調(diào)查和分析企業(yè)的平安系統(tǒng)，建立一個(gè)全面合理的系統(tǒng)模型，平安系統(tǒng)被劃分成各個(gè)子系統(tǒng)，明的確施步驟和功能摸塊，將企業(yè)常規(guī)管理工作和平安管理聯(lián)動(dòng)協(xié)議相融合，實(shí)現(xiàn)信息平安監(jiān)控的有效性和高效性。

〔2〕成立一個(gè)中央數(shù)據(jù)庫(kù)，整合分布式數(shù)據(jù)庫(kù)里的數(shù)據(jù)，把企業(yè)的所有數(shù)據(jù)上傳到中央數(shù)據(jù)庫(kù)，實(shí)現(xiàn)企業(yè)數(shù)據(jù)信息的集中管理與有效運(yùn)用。

〔3〕設(shè)計(jì)優(yōu)良的人機(jī)界面，通過對(duì)企業(yè)數(shù)據(jù)信息進(jìn)行有效的運(yùn)用，為企業(yè)管理階層人員、各級(jí)領(lǐng)導(dǎo)及時(shí)提供各種信息，為企業(yè)領(lǐng)導(dǎo)的正確決策提供數(shù)據(jù)支持，基本上提高信息數(shù)據(jù)的管理水平。

〔4〕簡(jiǎn)化企業(yè)內(nèi)部的信息傳輸通道，對(duì)應(yīng)用程序和數(shù)據(jù)庫(kù)進(jìn)行程序化設(shè)計(jì)，加強(qiáng)對(duì)提高企業(yè)內(nèi)部信息處理的標(biāo)準(zhǔn)性和準(zhǔn)確性。

2.設(shè)計(jì)企業(yè)信息平安管理風(fēng)險(xiǎn)體系

〔1〕確定信息平安風(fēng)險(xiǎn)評(píng)估的目標(biāo)

在企業(yè)信息平安管理風(fēng)險(xiǎn)體系的設(shè)計(jì)過程中，首要工作是設(shè)計(jì)企業(yè)信息平安風(fēng)險(xiǎn)評(píng)估的目標(biāo)，只有明確了企業(yè)信息平安管理的目標(biāo)，明確了企業(yè)信息平安管理的要求和工作能容，才能建立相關(guān)圍繞信息平安風(fēng)險(xiǎn)控制為目標(biāo)的信息平安管理工作制度，才能順利通過對(duì)風(fēng)險(xiǎn)控制的結(jié)果的定量考核，檢測(cè)企業(yè)信息平安管理的風(fēng)險(xiǎn)，定性定量地企業(yè)信息平安管理工作進(jìn)行分析，找準(zhǔn)企業(yè)信息平安管理的工作方法。

〔2〕確定信息平安風(fēng)險(xiǎn)評(píng)估的范圍

不同企業(yè)對(duì)于風(fēng)險(xiǎn)的承受能力是有區(qū)別的，因此，對(duì)于不同的企業(yè)的特殊性應(yīng)該采取不同的風(fēng)險(xiǎn)控制方法，其中，不同企業(yè)對(duì)于能夠