[突破信息安全潜规则]信息安全.pdfVIP

[ 突破信息安全潜规则 ] 信息安全 在解决信息安全的道路上，管理是根本，技术是保障。只有从 管理、制度、技术等多方面保障信息安全，才能充分发挥企业信息资 产的最大价值。 信息化在一定程度上是企业信息由过去的传统纸 介质走向电子化的过程，从而方便于企业信息共享、统计分析，最终 成为企业运营管理决策的依据。 信息安全就是在保障企业信息秘密的 前提下，让信息发挥出最大化的效益。为此，要在信息安全和信息效 益两者中找到平衡点。 理性对待信息安全 在企业的实际运营过程中，对待信息安全有两种现象：一是高 层管理者谈安全色变， 认为信息一旦电子化后， 信息的安全性得不到 保障。这已经成为阻碍信息化实施的一个“潜规则”；二是 IT 人员 简单地认为，信息安全就是技术层次的问题，可以通过技术手段（例 如防火墙、入侵检测等）解决，偏重于考虑网络安全，而没有真正领 会到领导的痛处。 笔者认为，在对待信息安全方面，有以下几点需要明确： 1 ． 持续性：要求我们关注技术的发展，关注传统信息安全与 非传统信息安全的演变； 2 ． 全面性：企业信息涵盖企业经营的方方面面， 如产品配方、 制造流程、生产工艺等，要关注信息流动的各个环节； 3 ． 复杂性：持续性、全面性的特点也恰恰决定了信息安全的 复杂性。运用社会工程学，从技术体系的运用到改进管理体制的不足， 可以 __ 解决信息安全的被动局面； 4 ． 战略性：管理者对信息安全的认识与理解是解决信息安全 问题的根本动力， 对企业信息安全的实施要上升到企业竞争情报与企 业商业秘密保护的高度。 在解决信息安全的道路上，管理是根本，技术是保障。企业应 该从管理与技术两个层面来考虑信息安全问题。 首先，应该从管理的 战略高度上重视信息安全， 把信息安全提高到企业商业秘密保护的高 度上，例如在企业审计过程中进行信息安全的审计。 在国际注册内部 审计师认证考试中， 信息系统的安全审计就是重要的一部分， 包括对 系统资源的管理和信息资源分级分类管理、 信息系统账户的管理、 安 全事件的管理等。 其次，在技术层面，要利用相应的安全技术解决信息安全问题， 这样才能让信息安全落地，如防火墙、入侵检测、传输安全、数据库 安全、内部用户的上网行为管理等， 并且需要动态地跟踪技术的进步。 但技术不是目的， 围绕业务保障应用安全， 再进一步促进应用的拓展 才是目的。 构建企业信息安全 管理体系 在充分认识管理与技术关系的基础上，就需要从制度、流程、 人三个方面构建企业信息安全管理体系。 1 ． 加强信息安全意识的培训，首先是企业领导要认识到信息 安全的重要性，还要对技术人员加强培训，统一认识。 2 ． 配合着商业秘密保护，成立相应的专业机构，纳入公司整 体的商业秘密保护工作中，同集团的管理机构相结合。 3 ． 在具体工作上明确信息安全等级，根据各个应用系统的不 同特点来定位需要哪种安全服务种类。 并不是所有信息都要严格地实 时传输， 比如邮箱的信息在传输过程中可以有几个小时的中断， 这就 不一定都要采用最高安全级别， 这样划分等级的话也可以降低企业在 信息安全上的投资。 4 ． 制定信息安全的管理制度。比如在为用户分配账户、密码 的同时，可以再加上令牌、钥匙盘、 key 等硬件方面的认证手段，甚 至配合级别更高的虚拟认证。 另外，要制定健全的信息安全管理制度， 为用户设置不同的权限， 用户的账户密码必须在使用一定时间后进行 修改。 5 ． 在前面的基础上做好人员和技术上