企业信息化安全管理的模式的研究.docVIP

企业信息化安全管理的模式的研究 　　【摘要】近年来，企业的发展和生产经营活动对信息技术的依赖程度不断提升，信息化对改善企业生产方式，降低生产成本，提高生产效率，拓宽生产经营渠道都具有十分重要的作用，但同时，企业信息安全事故频发也制约着企业信息化发展步伐。本文通过分析企业信息安全隐患来源和安全管理存在的问题，从安全策略管理、网络安全管理和人员安全管理三个方面对企业的信息安全管理模式进行分析。 　　【关键词】企业；信息化；安全管理 　　1.引言 　　在当今全球一体化的商业环境中，信息的重要性被企业广泛接受，信息系统在企业和政府组织中得到了真正的广泛的应用。许多企业对其信息系统不断增长的依赖性，加上在信息系统上运作业务的风险、收益和机会，使得信息安全管理成为企业管理越来越关键的一部分。目前，大多数企业都通过安装硬件防火墙、部署入侵检测、安装防病毒软件等工作，针对来自于外部网络的攻击和入侵做到了有效的防御，但是企业内部的安全管理却未引起足够的重视，因此，探索多种途径共同参与的企业信息化安全管理新模式就显得尤为必要。 　　2.企业信息化安全管理存在的问题 　　2.1 近年重大企业信息安全事故分析 　　近年来，国内外企业信息安全事故发生的频率呈现明显上升趋势，2011年4月，索尼公司被黑客入侵，导致用户资料泄露，旗下PlayStation network用户数据泄漏，不久，索尼旗下的世界各地其他网站和服务又频频遭到类似的攻击；2011年12月CSDN网站数据库中600多万用户资料被泄露后，众多大网站接连遭遇数据库暴库，成为中国有史以来的最大数据泄漏事件；2012年2月，巴西银行成为了分布式拒绝服务攻击的目标；6月黑客组织Swagger Security攻击入侵了华纳兄弟和中国电信的网络，并公布了文件和登录证书。一系列的信息安全事故给企业的严重影响了不同类型企业的生产经营活动，在给企业造成巨大的经济和社会效益损失的同时，也给企业的信息化安全管理工作敲响了警钟。 　　2.2 常见的企业信息安全隐患来源分析 　　企业信息安全的隐患主要来自三个方面，首先是网络安全隐患，主要体现在网络拓扑不合理、OSI/RM参考模型中各层通信的安全隐患、病毒和黑客攻击、数据的下载和数据存储安全、用户身份认证、防火墙的局限性、软件本身的安全漏洞等方面，因此，网络安全隐患构成对企业安全管理的最大压力。其次是物理安全隐患，主要是指网络设备或工作场所使用不当可能带来的安全隐患，特别严重的是采用无线局域网连接的企业用户。企业的物理安全隐患体现在机房安全隐患、数据存储备份等安全隐患以及网络安全设备由于涉及或是技术发展带来的设备自身的安全隐患，物理安全隐患一般可通过增加投入，加强设备管理来消除和降低；最后是企业安全管理隐患，统计资料显示，企业的安全事故大部分是由于员工的安全意识差、安全习惯不可信、规范引起的。 　　2.3 企业信息化安全管理存在的问题分析 　　目前，企业信息化安全管理还存在一些明显的问题，主要表现在以下几个方面：首先，企业信息化安全设备投入不足。很多企业虽认识到信息化对企业经营管理和发展带来的巨大效益，但往往投资不足，仅有的部分投资也主要集中在服务器、存储等硬件设备以及应用软件开发上，对安全设备的投资明显不足；其次，企业信息化安全管理的人才不足，很多企业没有专业的系统安全管理员；第三，企业的信息安全管理体制机制还不健全；第四，企业对信息化系统安全管理的重视程度还有待进一步加强；最后，企业防范安全风险的能力还很弱，简单的系统攻击或是病毒威胁都可能造成严重的信息泄露事件。 　　3.企业信息化安全管理新模式研究 　　3.1 基于网络安全策略的信息化安全管理 　　企业的信息安全策略是保证企业信息化安全基石。信息安全策略体现的是企业信息安全管理的目标和水平。所以，为了保证企业的信息安全策略相关技术手段和管理体系、制度落实，首先管理人员必须对公司的信息安全的重视程度以及投资等问题上取得一致意见。其次，企业需要根据企业的安全目标标志相应的安全保障策略文档，文档的内容包括企业的核心业务系统的安全等级、需要达到的安全防护标准、以及达到预期的安全目标所采取的管理措施、技术措施、硬件设备投资等。安全策略文档的内容要能够真实准确的反映企业信息安全管理实践的实际，安全策略要浅显易懂，能够为员工所接受，在相关奖惩措施上要得到领导层的认可，安全策略的的执行要与企业的整体经营策略匹配。 　　一般而言，企业信息化的安全策略应该包含以下几个方面的内容：一是安全管理的范围。它应当涉及企业内所有信息资源、信息系统、网络设施、以及所有企业用户；二是企业安全信息的分类管理。企业安全策略应当明确信息的详细权限和开放程度，对特定信息提供特定内容的定义；三是在每种信息分类中安全信