传统行业信息安全建设问题研究.docVIP

传统行业信息安全建设问题研究【摘 要】 信息安全牵涉企业诸多核心机密信息的安全，直接关系到企业正常运转和长远发展。尤其是对于传统行业而言，在信息化时代来临的背景下，必须进行信息安全建设，保护传统行业的核心信息资源，才能保证其不被新行业所击垮。基于此，本文从传统行业信息安全的现状出发，逐一分析传统行业信息安全建设存在的问题，并提出了一些关于信息安全建设的策略。【关键词】 传统行业 信息安全建设 问题 策略【作者简介】 胡鹏，中石化湖北石油分公司工程师，研究方向：网络安全。【中图分类号】 X913.2 【文献标识码】 A 【文章编号】 2095-5103（2015）04-0051-02信息安全建设包括三大部分，即人员、管理和技术，尤其是信息安全管理，已经越发受到各界的广泛关注，并以此为核心来打造信息安全保障体系。信息安全对于各行各业来说，均具有极其重要的地位，其不仅关乎企业自身信息安全，也关乎普通消费者信息安全。因此构建信息安全体系，是企业未来发展的重点工作。一、传统行业信息安全建设现状分析（一）对信息安全建设缺乏足够认识。就目前国内实际情况来说，传统行业对于信息安全建设尚没有足够的认识，导致信息安全建设难以切实施行。具体来说，这主要表现在三个方面。一是传统行业的领导者对信息安全建设缺少必要的认识，在面对信息化浪潮的冲击时，其最先想到的是提升行业品质来面对新挑战，却忽视了通过信息安全建设保护行业核心信息资源，导致行业信息被逐渐泄露，无法与新行业相抗衡，以致逐渐失去竞争力。最典型的就是传统出版行业，在数字化刊物逐渐普及的情况下，传统出版行业已经显得捉襟见肘，出版物印刷量与销售量逐年下降。二是行业内部员工缺少对信息安全的认识，在日常工作中，会在不经意间泄露行业信息。更有甚者为了一己私利出卖行业信息。这些举动都对传统行业造成了极其恶劣的影响。三是普通消费者缺少对信息安全的认识，在某些需要消费者个人信息资料的行业中，消费者往往没有考虑个人信息资料是否安全，是否存在泄露的风险以及相应的后果。忽视这些的结果就是消费者缺少对相关企业信息安全的要求，在发生意外情况后无法挽回。（二）信息安全建设技术水平较低。传统行业虽然缺乏对信息安全建设的认识，但也并非没有进行信息安全建设，只是其信息安全建设技术水平较低，无法切实满足对企业信息安全的保护。信息安全建设技术水平低主要表现在两个方面。一是信息安全管理体系架构技术层次低，一个体系架构的技术高低，决定了该体系所能发挥的功能高低。越先进越高端的技术，其对信息安全的保护也就越安全，反之亦然。传统行业信息安全管理体系的基础架构以及权限设置等信息保障措施，其技术相对一些新行业而言较为落后，无法符合不断更新的计算机技术，更无法有效弥补信息安全漏洞，只能说是徒有其表。二是人员管理技术水平较低，人员管理也是信息安全建设的重要环节。每一个员工都携带着一定程度的行业信息，只有加强对员工的管理，建立科学人性的管理体系，才能确保企业人员不会因为失误或利益泄露行业信息。（三）信息安全建设覆盖范围较窄。信息安全建设覆盖范围较窄主要可以分为两个方面，一是进行信息安全建设的传统行业范围较窄;二是行业内部信息安全建设的范围较窄。对于所有传统行业而言，已经完成信息安全建设或正在建设的行业并不多。根据相关统计资料，传统行业中完成或进行中的信息安全建设的企业，尚不到20%。这一数据说明信息安全建设率在传统行业中来讲还很低，还需要加强相关理念的宣传，引导更多的传统企业进行信息安全建设。在行业内部，信息安全建设集中在企业核心机密，即企业相关财务数据、产品数据和市场数据等，忽视了员工信息安全及一些外在信息安全的构建。虽然此举能够保障企业核心利益，却无法保证企业正常良性的运转。二、传统行业信息安全建设中的问题及原因（一）缺少完善的法律法规。在信息安全方面，我国尚缺少有效完善的法律法规来加强信息安全建设，这主要表现在两个方面。一方面是缺少对传统行业信息安全建设的强制性法律法规。传统行业本身对信息安全缺少足够的认识，再加之缺少必须的法律法规，就致使传统行业基本忽视了信息安全建设。另一方面是缺少对信息安全犯罪的法律法规，近年来随着信息技术发展迅猛，各种信息安全犯罪层出不穷，犯罪性质也从经济犯罪上升到了更加恶劣的性质。各种由于个人信息泄露而出现的绑架、抢劫等案件，急需出台相应的信息安全法律法规来加以制约。（二）传统行业内部信息安全管理不力。信息安全管理主要包括体系建设、制度建设和人员管理。这三个方面的工作在传统行业中来说都并不到位。体系建设主要是指信息安全管理体系，一套完整的管理体系，应当从上至下，由内而外，将方方面面的信息安全包罗其中，以形成一个上下一体的信息安全管理系统。制度建设主要针对信息安全制定相应的信息安全管理制度，通过确实的规章制度，