企业信息安全建设分析与调查问卷设计.docVIP

企业信息安全建设分析与调查问卷设计 　　摘要：本文讨论企业信息安全建设的体系化方法，提出了一个企业进行信息安全建设的体系化模型。同时，本文讨论了调查问卷设计方法，讨论通过调查问卷收集的信息全面地了解一家企业的信息安全现状。 　　关键词：企业信息安全；体系化建设；调查；问卷设计 　　 　　1 介绍 　　现在的社会是信息化的社会，信息流动渗透到社会的方方面面。作为经济活动主体的企业，信息化程度与日俱增，无论信息化的深度还是广度都在不断扩大中。但是随着应用范围的提高，以及信息系统在生产各个环节中发挥的作用不断增大，企业信息化的安全性问题日渐突出。经常可以在新闻中看到，国内以及跨国的企业遭受攻击，或者其他原因的危害，导致电子化信息不安全，直接损失和间接损失也是很大的。 　　企业信息安全是必须重视的问题，对于一家独立的企业，如何掌握其信息安全现状，是评价其信息系统安全性、风险评估、实施安全防范措施等工作的前提。在各种可以使用的掌握企业信息安全现状的方法中，“调查”是一种有效的手段。其具有灵活性大、覆盖面全、伸缩性强、节约成本等优点。 　　如何通过合理的调查手段掌握企业的信息安全相关的资料？应该从两个方面入手，保证调查的成果： 　　(1) 首先是认清企业信息安全建设的体系。信息安全涵盖的内容与范围就是调查所要设计的范围，不完整的调查内容，其结果也是不可信的。 　　(2) 调查方法的研究。调查方法有很多可以选择的形式，针对企业的信息安全调查，应选择相匹配的形式，保证调查的成果符合预期效果。 　　 　　2 企业信息安全建设体系 　　从目前的发展趋向看，企业信息化涉及到企业生产、经营、管理、决策等各个方面。因为信息化带来的好处，企业正在一步步进入信息化更广、更深的层次。企业信息化的过程也由最早的使用财务软件、建设企业内网、建设无纸化办公系统，发展到企业门户、电子商务平台、物联网等更新、更全的应用上。信息化给企业带来了效率提高、管理高效、竞争优势等诸多好处。同时，也在对外拓展和与互联网更深入交互的过程中，将自身的信息系统以及企业各类信息暴露在各种危险之中。 　　现在的企业越来越依赖这种信息系统提供的功能。面对越来越多的信息化系统，以及越来越多的脆弱点，企业如何进行信息安全建设，保障企业经营活动正常进行，进而保证企业正常运转！ 　　企业信息安全建设是一项系统工程，自上而下包括信息安全规划与信息安全策略、软件安全管理、物理安全管理、防护措施以及安全基础等部分，如下图所示：[1] 　　2.1 信息安全规划与信息安全策略 　　信息安全规划是指企业在未来几年时间内，对其信息安全建设进行的规划，包括要做哪些事情，要分几个步骤完成等内容。信息安全规划是信息安全建设的指导性文件，为信息安全建设指明了方向和推进步骤。 　　信息安全策略是信息安全建设的核心，它描述了在信息安全建设过程中，需要对哪些主要信息资产进行保护，以及如何保护。[2] 　　2.2 软件安全管理 　　企业使用的信息系统包括软件和硬件两部分。软件包括的内容，从下至上有： 　　(1) 操作系统：计算机操作系统； 　　(2) 基础软件：运行业务软件所需要的一些软件，如：中间件、数据库等软件； 　　(3) 业务软件：为完成某些业务要求开发的软件； 　　(4) 业务数据：业务活动产生的电子化数据，这些数据是业务活动的核心内容，也是被盗取的目标。 　　软件的安全是信息安全必备条件之一，同时，软件安全也是受到威胁最多，保护难度最大的一部分。 　　2.3 物理安全管理 　　物理设备是信息系统运行的基础，因此物理安全也是信息安全的基础条件。物理安全管理包括： 　　(1) 主机终端：主机指的是信息系统的服务器，终端指的是各种PC机、笔记本等设备； 　　(2) 机房环境：主要包括机架、供电、空调、门禁等设备； 　　(3) 网络架构：主要指构建企业内部、外包网络的基础设备，如：交换机、路由器等，以 　　及网络架构设计情况； 　　(4) 通信设备：主要指企业多地连接、企业之间连接、企业与互联网连接等保证企业与外部进行连接的设备。 　　由于物理设备是信息系统运行的基础，因此对其进行安全管理也是必须的工作。 　　2.4 防护措施 　　防护措施是针对软件安全和物理安全采取的防护手段和方法。包括以下内容： 　　(1) 安全防护：安全防护的目的是为了保证软件或者硬件不被外部威胁所伤害，安全防护是加强防护性，提高被防护对象的安全强度； 　　(2) 安全审计：安全审计是一个新概念，它指由专业审计人员根据有关的法律法规、财产所有者的委托和管理当局的授权，对计算机网络环境下的有关活动或行为进行系统、独立地检查验证，并作出相应评价。安全审计的作用是审视安全防护的水平，补充