制造型企业信息安全管理现状及其对策研究.docVIP

制造型企业信息安全管理现状及其对策研究 　　摘要：以制造型企业为研究对象，分析其在信息安全管理方面存在的组织临时化、员工上网无限制、个人移动设备使用泛滥等问题，并从员工信息安全意识、信息安全技术体系、信息安全事件应急响应机制三个方面深入探究了导致上述问题存在的原因，最后提出制造型企业需通过信息安全组织层级结构的建立、人员培训和规范管理的加强、信息安全技术体系的完善和信息安全事件应急响应机制的建立四个方面来提升企业的信息安全管理水平，避免信息安全事件的发生。 　　关键词：制造型企业；信息安全管理；信息安全事件 　　中图分类号：F49 文献标识码：A 　　DOI：10.3963/j.issn.1671-6477.2015.02.004 　　随着信息技术的快速发展，信息系统被广泛应用，信息及信息系统已经成为企业的重要战略资源，对企业的生存和发展起着至关重要的作用。在信息化建设中，制造型企业作为产业链长、应用系统数量大、对外交互信息频繁的企业，已经逐步建立了由办公自动化系统等一系列信息系统构成的支撑企业生产经营活动的信息化体系，并且从中取得了一定的经济利益。但随着信息化步伐的加快，制造型企业的信息安全问题也日益突出。电脑病毒感染、系统非法入侵、商业数据泄密、漏洞攻击等信息安全事件频繁发生，这些信息安全事件的发生直接影响到企业业务的开展，造成企业巨大的经济损失，还损害到企业的良好形象。因此，信息安全问题已经成为制造型企业信息化建设中的重要问题，信息安全管理也已经成为制造型企业日常管理工作中的不可缺少的一部分。 　　一、企业信息安全管理的相关概念 　　（一）信息安全 　　国际标准化组织对信息安全的定义是为避免数据处理系统以及计算机软硬件和数据由于偶然和恶意的原因遭到破坏、篡改、泄露而采取相应的保护措施[1]。美国NSTISSC委员会将信息安全定义为对信息、系统以及使用、存储和传输信息的硬件进行保护，并采取相关政策、培训和教育以及技术等必要手段[2]。信息安全专家沈昌祥认为，信息安全是为了使信息和信息系统具有保密性、完整性、可用性、可控性和不可否认性，让信息和信息系统在保护之下免于未经授权的访问、使用、泄露、修改和破坏[3]。 　　从不同组织和学者对信息安全的定义可以看出，信息安全的定义包含两个层面，一个是信息安全的作用层面，另一个则是信息安全的基本属性层面。其中，信息安全的作用层面构成了信息安全层次模型，第一层为物理安全，即使计算机与网络设备硬件实体处于不受攻击的状态；第二层为运行安全，是指信息系统软件在运行中的不受攻击的状态；第三层为数据安全，是指信息系统中所加工存储和网络中所传递的数据泄露、仿冒、篡改及抵赖过程所涉及的安全。 　　信息安全金三角（CIA）是信息安全最为核心的基本属性，包括信息的机密性、完整性和可用性。信息的机密性（Confidentiality）是指信息不泄露给未经授权的人，或者非经授权者无法理解信息的含义；信息的完整性（Integrity）是指信息在使用过程中没有被未经授权的人篡改；信息的可用性（Availability）是指被授权者能够正常使用信息及信息系统[4]。企业信息的机密性、完整性和可用性会通过信息及信息系统的物理安全、运行安全和数据安全三个层面反映出来，即如果企业保证了信息及信息系统的物理安全、运行安全和数据安全就保障了企业信息的机密性、完整性和可用性，见图1。 　　图1 信息安全层次模型与信息安全金三角关系图 　　（二）信息安全管理 　　信息安全需要企业对信息系统的全部环节进行统一合理的规划和架构，并要结合企业内外部的变化，任何环节上都不能出现缺陷，否则会对整个信息系统构成威胁。因此，企业通过信息安全管理的手段可以实现信息安全。 　　信息安全管理是组织通过制定相应的预防措施，保护组织信息和信息系统不被泄露或破坏，保证企业信息的可用性、机密性和完整性的活动。信息安全管理工作一般包括制定安全方针、建立组织机构与明确职责分工、建立信息安全制度和信息安全管理文件体系、对员工进行安全意识培训等，通过确保企业内的组织安全、资产安全、人员安全、环境安全来实现企业的信息安全[5]。 　　二、制造型企业信息安全管理的现状 　　（一）信息安全组织临时化 　　通常，制造型企业只有在发生了信息泄露、病毒攻击、系统破坏等信息安全事件时，才会临时从信息技术部和业务部门抽调人手处理和解决信息安全事件。出现新的信息安全要求时，才会临时组建项目小组，根据新的信息安全要求制定解决方案并实施计划，项目完成后，临时小组就会解散，没有人会继续跟进和执行解决方案。由于没有定期的信息安全评估，安全计划不断地重复开始和结束，带来大量的人财物重复投入，这将导致安全计划成本不断增加，企业的工作效率不断降低，信息安全防护