信息安全管理论文浅议网络环境下的企业信息安全管理.docVIP

信息安全管理论文：浅议网络环境下的企业信息安全管理 摘 要:随着社会的发展，企业对信息资源的依赖程度越来越大，由此带来的信息安全问题也日益突出。文章从影响企业信息安全的3个维度出发，全面分析了企业信息安全的各种风险来源，并由此提出企业信息安全构建原则，基于技术安全、管理安全、资源安全3个维度构建信息安全管理体系模型。同时，认为企业的信息安全应遵从PDCA的过程方法论持续改进以确保信息安全的长治久安。 关键词:网络环境;企业信息;信息安全管理体系;模型;持续改进 1引言 随着社会的发展，企业对信息资源的依赖程度来越大，由此带来的信息安全问题也日益突出。业在研发、设计和生产产品或提供服务时多会涉到客户的重要信息(如业务数据等)，如果自身没信息安全保障是难以得到用户的信任的fl]。另外，果企业自身的信息安全管理有重大疏漏，也无法证其产品及服务的安全可靠。当前，企业在黑客病毒日益猖撅的网络环境下不仅要保护自身信的安全，还要保护企业客户信息的安全，因此有必要从体系管理的高度构建企业信息安全。企业信息安全的风险主要有3个来源l2]:自然灾害。例如水灾、火灾、地震等会造成企业信息基础设施的损害，进而影响企业信息本身。技术。企业信息对技术具有广泛的依赖性，一旦发生软硬件故障或恶意人侵，则可能对企业信息造成严重损害。人。内部人员故意或无意泄漏企业信息造成的损失常常是难以估量的，外部人员的人侵甚至会使企业信息瘫痪。 2企业信息安全的三维性 与20世纪末信息安全着力于围绕信息系统本身仅采用技术手段解决不同，当前，企业信息安全已涉及到与信息相关的各方面。企业信息安全不仅要考虑信息本身，还需要考虑信息依附的信息载体(包括物理平台、系统平台、通信平台、网络平台和应用平台，例如PC机、服务器、无线网卡等)的安全以及信息运转所处环境(包括硬环境和软环境，例如员工素质、室内温度等)的安全。资产如果不对影响信息安全的各个维度进行全面的综合分析，则难以实现企业信息安全。因此，需要从企业信息安全的总体大局出发，树立企业信息安全的多维性，综合考虑企业信息安全的各个环节，扬长避短，采取多种措施共同维护企业信息安全。 2.1技术维技术发展是推动信息社会化的主要动力，企业通常需要借助于一项或多项技术才能充分利用信息，使信息收益最大化。然而，信息技术的使用具有双面性，人们既可以利用技术手段如电子邮件等迅速把信息发送出去，恶意者也可由此截获信息内容。为确保企业信息安全，必须合理的使用信息技术，因此，技术安全是实现企业信息安全的核心。 (1)恶意代码和未授权移动代码的防范和检测。网络世界上存在着成千上万的恶意代码(如计算机病毒、网络蠕虫、特洛伊木马和逻辑炸弹等)和未授权的移动代码(如Javaseript脚本、Java小程序等)。这些代码会给计算机等信息基础设施及信息本身造成损害，需要加以防范和检测。 (2)信息备份。内在的软硬件产品目前还不能确保完全可靠，还存在着各种各样的问题。外在的恶意代码和未授权移动代码的攻击，也会造成应用信息系统的瘫痪。为确保信息的不丢失，有必要采取技术备份手段，定期备份。 (3)访问权限。不同的信息及其应用信息系统应有不同的访问权限，低级别角色不应能访问高级别的信息及应用信息系统。为此，可通过技术手段设定信息的访问权限，限制用户的访问范围。 (4)网络访问。当今，一个离开网络的企业难以成功运转，员工通常需要从网络中获取各种信息。然而，网络的畅通也给恶意者提供了访问企业内部信息的渠道。为此，有必要采用网络防火墙技术，控制内部和外部网络的访问。 (5)加解密。加解密技术涉及到密码、口令、密钥等技术。为保证信息安全，通常做法是对需保密的信息进行加密处理，只有拥有密钥的授权人才能解密获取信息。无密钥的恶意者即使截获传递中的信息也是无法窥视内容的，只能获得零散无用的信息。 2.2管理维企业信息安全不但需要依靠技术安全，而且与管理安全也息息相关。没有管理安全，技术安全是难以在企业中真正贯彻落实的。管理安全在企业中的实施是企业信息得以安全的关键。企业应建立健全相应的信息安全管理办法，加强内部和外部的安全管理、安全审计和信息跟踪体系，提高整体信息安全意识，把管理安全落到实处。 (l)信息安全方针和信息安全政策的制定。信息安全方针和信息安全政策体现了管理者的信息安全意图，管理者应适时对信息安全方针评审，以确保信息安全方针政策的适宜性、充分性和有效性。 (2)构建信息安全组织架构。为在企业内贯彻既定的信息安全方针和政策，确保整个企业信息安全控制措施的实施和协调，以及外部人员访问企业信息和信息处理设施的安全，需要构建有效的信息安全组织架构。 (3)法规的遵循。法律法规的遵循有3方面的含义:一是确保企业采取的信息安全措施是有法可依的，避免违反法律的安全措施;二是依据法律法规保护