企業信息安全管理問題及對策

◆呂 云

（中車戚墅堰機車有限公司 江蘇 213011）

1 信息安全管理的重要性

信息安全問題是企業在管理中遇到的最新的問題，信息是數字的載體，現代化辦公都是利用各種信息來提高工作效率。而如何在提高效率的同時不僅要保障信息系統中各種數據的安全、還要保證數據的正確性、完整性、持續性、穩定性等，成為非常重要的問題。從國家層面上來說也是很重視，已相繼出臺網絡安全方面的法律法規，2019 年又修訂了信息系統安全等級保護的基本要求。

信息安全主要指信息數據安全、信息設備安全、系統軟件安全等在內的企業信息安全。一個大型企業的信息安全性不足的話，很容易造成機密信息泄露，文件和重要圖紙遭受竊取或破壞，甚至重要的系統被黑客攻破導致企業正常的辦公和生產癱瘓。特別是國企有工控系統的，如果被攻破會導致數控機床失控或人員受傷。因此為了避免以上情況的出現，必須做好企業的信息安全管理。

企業信息安全是否得到正確的管理，主要通過以下幾個方面來判斷：第一，完整性和正確性。要求信息數據在處理和傳輸過程中沒有遭到破壞或惡意修改。第二，保密性或隱私性。是指在信息數據不會泄露給沒有授權的個人或組織。第三，持續可用性。信息系統或網絡在被攻擊時，可迅速的恢復網絡使用和數據的持續可用，滿足企業業務要求。第四，可控制。企業必須有強制手段對網絡信息進行監控，有可查日志，從而在信息系統出現問題時可馬上進行數據恢復，避免不必要的損失。

2 分析信息安全隱患

2.1 漏洞

漏洞包含兩個方面：操作系統漏洞和開發的信息平臺系統漏洞。計算機操作系統或服務器的操作系統本身就有很多漏洞，所以就需要不斷地更新補丁，但是常用端口還是有可以利用的漏洞，例如：9699、8080 端口等，特別是遠程端口經常被利用或攻擊。而在信息系統中存在漏洞就更多，開發軟件中為了功能的便捷往往都會忽視網絡信息安全問題，造成系統中的數據很多都沒有基礎保護，如果用的完全是軟件開發公司的系統，更是有很多漏洞，而往往這些漏洞都是難以彌補的。

2.2 病毒

計算機病毒或網絡病毒，首先都是各種數據代碼組成并會傳播的，往往一臺有或者一個網端上有就會影響到整個網絡，不僅破壞系統運行還能損毀數據；其次病毒有多樣的表現形式，并具有潛伏隱蔽性，而且還能升級，例如近年代表性的“勒索病毒”。病毒除了通過網絡傳播，最主要的傳播還是在介質上，特別是U盤。因此防病毒，不僅要依靠防病毒軟件，還要有對介質、網絡隔離、數據傳輸等進行嚴密的管理來控制。

2.3 環境和人為因素

網絡環境是信息安全保障的基礎，企業要加強基礎設施的投入，加強物理安全設備的管理。有些自然因素是無法避免的，例如雷電、防火、防水等。這些引發的災害造成的信息安全事件，很容易影響網絡信息安全。

在網絡環境中人絕對是關鍵因素，規范人的信息安全管理非常重要[1]。無論是信息安全的基礎設施如何，無論技術手段如何，也無論是惡意行為還是失誤操作，人都是信息安全事件發生的因素。企業員工對于網絡信息安全保護意識很薄弱，而專業的網絡技術人員在企事業中也很缺乏，而專職的信息安全管理人才更是少之又少。

3 信息安全的技術手段

防病毒技術是最常見也是最早用于企業信息安全中的技術，其大部分都是以客戶端模式安裝在終端系統的形式出現，是信息安全技術最為基礎手段。核心技術就是對計算機病毒的檢測和查殺（或隔離）。

入侵檢測技術是由硬件和軟件，從網絡的內部和外部同時通過防御檢測的形式組成的系統。通過入侵檢測生成的報告給出的事件（例如：Traceroute ICMP/IPOPT 探測網絡拓撲操作；Microsoft Windows 柯達圖像查看器遠程代碼執行攻擊（MS07-055）等），從而主動地來化解潛在威脅，更有利于信息安全的管理。入侵檢測還能自定義敏感信息、惡意代碼，有針對地進行檢測。

防火墻技術通常用于內外網之間，隔離外網惡意軟件入侵和控制內網向外的信息傳輸[2]。對外可完全阻隔，對內可選擇性的封鎖或部分開發，為企業提供了一個相對安全的網絡環境，從本質上保護信息系統，減少網絡安全隱患。并且該技術可以通過安全策略提供信息交換點，有利于網絡信息體系的構建。現在還有工控防火墻，使用在工業控制網與管理網絡交接點。

身份認證技術，身份指各類型用戶，例如：計算機終端用戶、各個信息系統用戶、各類技術控制平臺用戶，這些用戶中還有權限分級。所以身份的不同，認證要求也是不同的。普通信息系統用戶認證可以通過簡單口令來認證，對于嚴格的域環境用戶需要通過安全平臺和口令一起認證，不同的身份會賦予不同的權限，高權限的身份認證必須包含復雜性、多變性，甚至可以智能化認證。身份認證技術完全可以提高信息系統數據的安全性。身份認證技術基本都是通過網絡安全平臺、網絡設備、信息系統的基礎管理功能來實現的。

加密技術是利用數字方法重新對數據進行組織，從而實現加密，是一種有效的信息安全防護措施。

網絡技術有虛擬專網技術、網絡隔離技術。虛擬專網技術指依靠ISP 和其他NSP（網絡服務提供者）在公用網絡（如Internet、Frame Relay、ATM）建立專用的數據通信網絡的技術[3]。大型企業分公司多使用虛擬專網技術可降低企業成本。網絡完全隔離技術是通過隔離物理鏈路來實現的，利用這種技術會使內網環境相對良好可控制。

4 信息安全管理體系

任何技術都是實現信息安全管理的手段和基礎保障，有了技術更是需要完整制度來規范行為。因此，需要根據標準要求建立符合企業實際業務需求的信息安全管理體系。

信息安全管理系統建立，首先要組建完整的體系管理職責架構，分職分角色分管信息安全的各個方面，主要領導人根據實際業務需求負責規劃信息安全管理目標和方針，成立專業的信息安全工作組合理配置資源，體系范圍內的員工需在工作中認真貫徹信息安全管理要求，確保信息系統安全；其次，信息安全管理體系的建立是依據法律法規以及管理標準，建立各類人員職責相互監督制約機制，提高監控、檢測等約束手段降低安全風險。第三，通過建立規范化的信息安全工作流程，對信息系統安全工作進行合理控制，降低由于工作隨意性而產生的安全風險，同時提升信息安全管理制度的可操作性。體系建成后要不斷地持續改進，提升體系的全面性、適用性和有效性。

信息安全管理體系標準包含200 多個要求，企業建體系都要根據實際情況來規范信息安全控制程序文件。信息安全控制程序都要有明確的目的、實際內容、適用范圍、人員職責以及程序的工作流程，并且有具體的材料來支持。而具體建立幾個控制程序都是根據企業實際業務需求和實際基礎環境來決定的。一般來說，企業都會建立的控制程序，例如人力資源控制程序、信息資產控制程序、信息系統開發建設安全控制程序等。人力資源控制程序的目的是對人力資源優化管理與開發，為信息安全管理體系的有效運行提供保障而制定的。詳細規定了公司與信息安全有關的人員的招聘、任用、培訓、調崗、離職等方面的管理。信息資產控制程序為建立統一的資產分類和重要程度的分級標準，明確資產責任和關鍵資產的要求，規范公司信息資產的使用，特制定本控制程序。程序規定了硬件資產、軟件資產、數據、文檔、人員、服務等的管理。信息系統開發建設安全控制程序的目的是為對公司信息系統建設的策劃、開發、實施、測試等過程進行有效的控制，確保信息安全是信息系統建設過程中的一個有機組成部分。規定了公司信息系統建設的策劃、開發、實施、測試等過程中的信息安全控制要求。當然，有些體系標準在各行各業的企業中會出現不適用的情況。

5 總結

科學技術的進步為各行各業甚至整個世界提供了一個數字世界，而今對企業來說已經離不開這個世界。信息是數字世界中的元素，必將會受到網絡威脅的不斷和持續的攻擊。企業必須重視信息安全的管理，而結合企業內部實際環境建立完善規范的信息安全管理體系，加強信息安全的投入，能有效地從各個方面解決信息安全問題。