探討信息安全保障的常見(jiàn)策略及發(fā)展

摘 要：計(jì)算機(jī)的應(yīng)用已逐步滲透進(jìn)企業(yè)的辦公當(dāng)中，并逐漸成為關(guān)鍵的辦公手段，然而正是這種應(yīng)用的高效率發(fā)展促使企業(yè)面臨諸多的信息安全問(wèn)題。如何正確的為信息安全提供保障，認(rèn)識(shí)威脅信息安全的方式是本文討論的重點(diǎn)。

關(guān)鍵詞：信息安全 網(wǎng)絡(luò) 管理 保障機(jī)制

中圖分類(lèi)號(hào)：C931.6 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1672-3791（2013）07（a）-0011-02

隨著科學(xué)技術(shù)的不斷進(jìn)步，計(jì)算機(jī)的應(yīng)用已逐步代替原有的辦公方式而被所有的企業(yè)所廣泛應(yīng)用。計(jì)算機(jī)進(jìn)入到企業(yè)當(dāng)中，為企業(yè)減少了人力物力的浪費(fèi)，減少了人工辦公所產(chǎn)生的不必要的失誤，也為工作提升了效率。在信息存儲(chǔ)的過(guò)程中也可以實(shí)現(xiàn)無(wú)紙化的信息存儲(chǔ)模式，以取代大量資料的實(shí)物化存儲(chǔ)導(dǎo)致的資料丟失和資料磨損，不易檢索等的問(wèn)題。可以說(shuō)，網(wǎng)絡(luò)和計(jì)算機(jī)的普及為企業(yè)的發(fā)展提高了效率，但隨之而來(lái)的信息安全問(wèn)題也被提升到了一個(gè)新的高度。信息安全保障體系的建立也成為企業(yè)關(guān)注的角點(diǎn)，保障信息的安全對(duì)于企業(yè)來(lái)說(shuō)早已成為企業(yè)經(jīng)營(yíng)管理當(dāng)中的一個(gè)重要組成部分。企業(yè)的信息是企業(yè)業(yè)務(wù)開(kāi)展和維護(hù)的基礎(chǔ)，如果企業(yè)信息存在著威脅的話(huà)，可能導(dǎo)致企業(yè)業(yè)務(wù)信息的流失和企業(yè)業(yè)務(wù)的持續(xù)性面臨重大的損失。當(dāng)然，對(duì)于制造業(yè)來(lái)說(shuō)，企業(yè)信息的安全受到威脅的話(huà)，可能導(dǎo)致新開(kāi)發(fā)的產(chǎn)品被人模仿而失去了企業(yè)在市場(chǎng)競(jìng)爭(zhēng)中的優(yōu)勢(shì)，喪失了企業(yè)本應(yīng)該有的競(jìng)爭(zhēng)力。所以，在制造業(yè)的企業(yè)經(jīng)營(yíng)管理當(dāng)中，構(gòu)建信息安全保障體系變得更加重要。本文將從兩方面對(duì)于信息安全進(jìn)行論述，首先是找出威脅信息安全的常見(jiàn)因素，然后根據(jù)威脅的因素提出常見(jiàn)的維護(hù)策略。

1 威脅信息安全的常見(jiàn)因素

在威脅信息安全的常見(jiàn)因素里，進(jìn)行劃分，根據(jù)其應(yīng)用存儲(chǔ)的特性我們可以將其劃分為管理信息安全的威脅和網(wǎng)絡(luò)信息安全的威脅兩個(gè)方面。

1.1 管理信息安全的威脅

其實(shí)，管理信息安全的劃分是基于網(wǎng)絡(luò)的。除去網(wǎng)絡(luò)因素的影響，其他方面的安全就都可以歸于管理信息安全。而管理信息安全在信息安全當(dāng)中是非常重要的。從各種關(guān)于信息安全的數(shù)據(jù)當(dāng)中可以知道，在管理信息安全中所存在的威脅比例已占到信息安全威脅的70%，而網(wǎng)絡(luò)信息安全存在的威脅則只占到信息安全威脅的30%。正所謂“三分靠技術(shù)，七分靠管理”，可以想象管理信息安全的重要性。在管理信息安全的威脅當(dāng)中也可以將威脅劃分為兩個(gè)方面，物理層方面的信息安全威脅和管理層方面的信息安全威脅。

（1）物理層方面的信息安全威脅。

物理層方面的信息安全主要是包括合同資料檔案存儲(chǔ)的安全、機(jī)房建設(shè)管理的安全、企業(yè)環(huán)境安全以及物理安全控制等幾個(gè)方面。物理層方面的信息安全其實(shí)就是企業(yè)信息安全構(gòu)筑的基礎(chǔ)，對(duì)于物理層方面的信息安全存在的威脅，大致包括自然災(zāi)害對(duì)信息安全構(gòu)成的威脅，機(jī)房建設(shè)之初系統(tǒng)設(shè)置的不全面和后期管理人員操作和管理的不規(guī)范，機(jī)房環(huán)境存在不利因素，機(jī)房管理制度不夠完善，以及防火防盜安全工作的關(guān)注力度、執(zhí)行力度和管理力度不夠等方面。

（2）管理層方面的信息安全威脅。

管理層方面的信息安全威脅與物理層方面信息安全的管理是分不開(kāi)的，它主要是指企業(yè)對(duì)企業(yè)內(nèi)部員工在信息安全上的管理。其中包括信息安全的管理制度建立，企業(yè)內(nèi)部員工信息安全培訓(xùn)，企業(yè)內(nèi)部員工在人員和部門(mén)間合理的組織規(guī)劃，信息安全技術(shù)人員的技術(shù)含量等。在這幾個(gè)方面所存在的問(wèn)題是構(gòu)筑信息安全應(yīng)該重點(diǎn)關(guān)注的問(wèn)題，信息安全管理制度的不完善，企業(yè)內(nèi)部高層對(duì)于信息安全管理的認(rèn)識(shí)不夠，企業(yè)內(nèi)部員工沒(méi)有對(duì)信息安全產(chǎn)生足夠的認(rèn)識(shí)，對(duì)于企業(yè)內(nèi)部機(jī)密沒(méi)有做到保密的態(tài)度，各部門(mén)的分工不明確，信息安全的技術(shù)人員技術(shù)能力不夠等都是管理層因?yàn)楣芾淼牟煌晟贫鴮?dǎo)致的信息安全威脅。

1.2 網(wǎng)絡(luò)信息安全的威脅

在網(wǎng)絡(luò)信息安全中也可以大致分成三個(gè)部分，網(wǎng)絡(luò)層的信息安全，系統(tǒng)層的信息安全以及應(yīng)用層的信息安全。

（1）網(wǎng)絡(luò)層的信息安全。

主要是包括網(wǎng)絡(luò)上的信息以及設(shè)備的安全性能。其中可細(xì)化為網(wǎng)絡(luò)層身份的認(rèn)證，系統(tǒng)的安全，信息數(shù)據(jù)傳輸過(guò)程中的保密性，真實(shí)性和完整性以及網(wǎng)絡(luò)資源的訪(fǎng)問(wèn)控制等。而這些網(wǎng)絡(luò)層的信息安全出現(xiàn)問(wèn)題，可能導(dǎo)致有網(wǎng)絡(luò)黑客的侵入，計(jì)算機(jī)犯罪，信息丟失，信息竊取等威脅的存在。

（2）系統(tǒng)層的信息安全。

造成系統(tǒng)層信息安全威脅的原因，可能出在兩個(gè)方面：一是操作系統(tǒng)本身就存在安全隱患；二是在配置操作系統(tǒng)的過(guò)程中存在配置缺失的問(wèn)題。

（3）應(yīng)用層的信息安全。

在應(yīng)用層所產(chǎn)生的影響信息安全的問(wèn)題上，基本上是指應(yīng)用軟件以及一些業(yè)務(wù)往來(lái)數(shù)據(jù)的安全，例如即時(shí)通訊系統(tǒng)和電子郵件等。當(dāng)然，也包括一些病毒的入侵，對(duì)系統(tǒng)所造成的威脅。

2 信息安全維護(hù)的常見(jiàn)策略

根據(jù)上面所敘述的在信息安全管理維護(hù)中存在的安全隱患，可以將其進(jìn)行有效的總結(jié)從而提出正確的解決、維護(hù)策略。

2.1 管理信息安全維護(hù)的常見(jiàn)策略

（1）物理層方面信息安全維護(hù)的常見(jiàn)策略。

根據(jù)上面所列明的關(guān)于物理層存在的問(wèn)題，可以歸結(jié)為兩個(gè)方面：環(huán)境安全和機(jī)房建設(shè)管理安全。

①環(huán)境安全，可以分為防火安全，防水安全，自然災(zāi)害安全和物理安全等。企業(yè)應(yīng)該有效的對(duì)這方面災(zāi)害進(jìn)行防護(hù)和部署。

②機(jī)房建設(shè)管理安全，主要是指對(duì)設(shè)備安放環(huán)境進(jìn)行嚴(yán)密的規(guī)劃以達(dá)到有效保護(hù)。在機(jī)房建設(shè)上必須要盡量的避免腐蝕性和易燃易爆物品的存在，將機(jī)房建設(shè)在安全的地方。機(jī)房的設(shè)計(jì)上必須能夠做到防火防水等，以免造成機(jī)房?jī)?nèi)設(shè)備的損壞。設(shè)計(jì)機(jī)房電源時(shí)必須使用不間斷電源保證電源電壓的穩(wěn)定，以防止突然斷電對(duì)機(jī)房?jī)?nèi)設(shè)備造成的損害。

（2）管理層方面信息安全維護(hù)的常見(jiàn)策略。

其實(shí)，管理層的信息安全主要就是指企業(yè)內(nèi)部人員管理的安全。在一個(gè)企業(yè)當(dāng)中必須要有一個(gè)完善的信息安全管理機(jī)制，這是企業(yè)發(fā)展的必然。所以在企業(yè)管理當(dāng)中，必須首先要在管理層明確信息安全管理的重要性，要具備信息安全管理所應(yīng)該具備的態(tài)度。其次則要建立一個(gè)信息安全管理的目標(biāo)，一套完整的信息安全管理制度。在整個(gè)企業(yè)管理當(dāng)中要有一個(gè)總的信息安全管理制度，其次在信息技術(shù)人員管理當(dāng)中也要有自己的信息安全管理制度，其次是IT部門(mén)和其他的一些部門(mén)都要具備適合的管理制度，形成信息集成化的管理模式。

之后要在企業(yè)內(nèi)部員工心中形成信息安全的意識(shí)，在保密協(xié)議的簽署上做好完善的規(guī)劃，在企業(yè)內(nèi)部員工關(guān)于信息安全的培訓(xùn)也應(yīng)該有計(jì)劃的進(jìn)行階段性的教育以增加員工對(duì)于信息安全觀念的確立。

最后，應(yīng)該將各部門(mén)的分工進(jìn)行明確，不要將整個(gè)工作流程都分配給一個(gè)部門(mén)，這樣可能會(huì)導(dǎo)致出問(wèn)題時(shí)會(huì)影響到整個(gè)企業(yè)的運(yùn)營(yíng)。應(yīng)該將各工作流程細(xì)化進(jìn)行分工，以保證一方出問(wèn)題不影響全局，并可以進(jìn)行針對(duì)性的處理，減少麻煩，加快工作效率。

2.2 網(wǎng)絡(luò)信息安全維護(hù)的常見(jiàn)策略

通過(guò)上面對(duì)于網(wǎng)絡(luò)信息安全威脅的敘述，我們已經(jīng)了解在網(wǎng)絡(luò)信息安全當(dāng)中會(huì)出現(xiàn)的問(wèn)題。對(duì)此，本段將重點(diǎn)講述在網(wǎng)絡(luò)信息安全維護(hù)中幾個(gè)常見(jiàn)的策略。

（1）防火墻防御策略。

對(duì)于防火墻的認(rèn)知應(yīng)該是每個(gè)企業(yè)所具備的，它可以有效的將一些危險(xiǎn)性的信息進(jìn)行過(guò)濾隔離，從而保證計(jì)算機(jī)系統(tǒng)的正常運(yùn)行。對(duì)于防火墻要進(jìn)行安全方案的配置，通過(guò)防火墻中心的統(tǒng)一安全控制（口令、加密、身份認(rèn)證等）進(jìn)行管理，不需要分散到各個(gè)機(jī)器上去管理。所以對(duì)于管理防火墻中心的技術(shù)人員的技術(shù)含量一定要做到可以勝任。

（2）密碼的防御作用。

無(wú)論是在中心控制機(jī)房還是各個(gè)員工所用的計(jì)算機(jī)上，都應(yīng)該設(shè)有密碼，并且密碼應(yīng)具備復(fù)雜特性，如字母、數(shù)字、特殊符號(hào)的組合等，通過(guò)強(qiáng)密碼的設(shè)立能夠有效的防范人為行為的信息丟失和信息失真情況。

（3）入侵監(jiān)測(cè)系統(tǒng)的防御策略。

入侵監(jiān)測(cè)系統(tǒng)可以說(shuō)是防火墻系統(tǒng)的后續(xù)支持，它可以有效的對(duì)于網(wǎng)絡(luò)活動(dòng)中信息進(jìn)行監(jiān)測(cè)。它具有主動(dòng)的行為，可以主動(dòng)的對(duì)自己進(jìn)行免受攻擊的保護(hù)。與防火墻相配合，使企業(yè)網(wǎng)絡(luò)能夠具備強(qiáng)大的防御功能。

（4）設(shè)立自己的虛擬專(zhuān)用網(wǎng)的管理策略。

構(gòu)建自己的虛擬專(zhuān)用網(wǎng)可以有效的增加網(wǎng)絡(luò)的防御功能，并且能夠規(guī)范化企業(yè)內(nèi)部員工的工作，避免員工工作中無(wú)意義的網(wǎng)絡(luò)閑聊，也可以有效的阻止信息的外泄。

（5）病毒的入侵防御策略。

也許企業(yè)內(nèi)部可以有效的通過(guò)殺毒軟件來(lái)保證企業(yè)網(wǎng)絡(luò)系統(tǒng)的操作安全。但員工在運(yùn)用向U盤(pán)之類(lèi)的東西就可能將其他計(jì)算機(jī)上的病毒帶到企業(yè)內(nèi)的計(jì)算機(jī)上造成病毒的入侵。對(duì)此，企業(yè)應(yīng)該加強(qiáng)對(duì)員工信息安全的教育，以保證員工對(duì)于信息安全嚴(yán)重性的了解。IT部門(mén)的人員也應(yīng)該定期對(duì)員工計(jì)算機(jī)進(jìn)行檢測(cè)，以確保計(jì)算機(jī)不受病毒侵害。

3 結(jié)語(yǔ)

信息安全已經(jīng)成為社會(huì)上關(guān)注的話(huà)題，如何保住企業(yè)獨(dú)有的核心機(jī)密，保證信息的有效性和完整性成為企業(yè)關(guān)注的焦點(diǎn)。本文通過(guò)對(duì)于威脅信息安全的問(wèn)題進(jìn)行分析，并提出企業(yè)構(gòu)建信息安全保障機(jī)制的常見(jiàn)策略以保證企業(yè)在信息安全方面可以做到長(zhǎng)足發(fā)展。

參考文獻(xiàn)

[1] 吳昱.淺析信息安全保障體系[J].江西通訊科技，2012（3）.

[2] 張杰，梁旭輝.關(guān)于企業(yè)信息安全保障體系建設(shè)的探索[J].科技創(chuàng)新與應(yīng)用，2012（9）.

[3] 張金輝，王衛(wèi)，侯磊.信息安全保障體系建設(shè)研究[J].計(jì)算機(jī)安全，2012（8）.