《浅议企业信息安全管理》由会员分享,可在线阅读,更多相关《浅议企业信息安全管理(3页珍藏版)》请在金锄头文库上搜索。
1、浅议企业信息安全管理 一、引言 企业要想在市场当中生存并发展,不仅仅要提升企业竞争力,还需要时时刻刻关注 企业的信息安全。现代市场竞争十分激烈,只有做好企业的信息安全管理,才能避免企业 因为信息管理的疏漏造成相关的损失。 近十年来,企业的生产经营越来越离不开网络,离不开计算机,企业的每一项活动 都需要计算机与网络的参与,企业的管理需要借助相关的计算机软件,企业的销售需要运 用到电子商务,企业的仓储管理需要数据库系统的支持,在企业感受到计算机带来生产经 营便利的同时,企业也不得不重视由计算机网络所带来的信息安全问题。通过分析我国企 业信息安全管理的相关资料,可以发现我国企业在信息安全管理上所做的
2、努力显然无法与 西方企业相比,我国企业在信息安全管理这条路上还有很长的路要走。 我国企业在信息管理上起步较晚,同时受制于观念,技术,人力等各个方面的因素, 我国企业在信息安全管理上存在十分严重的漏洞。不仅如此,企业信息安全管理受到各方 面的威胁,各类病毒层出不穷,钓鱼软件,木马也防不胜防,我国企业信息安全管理所面 临的考验十分严峻。企业的信息安全管理不仅仅是企业自身的事,企业是我国经济发展最 重要的角色,倘若我国企业在信息安全管理上存在漏洞,这也将直接影响我国的经济发展, 这并不是危言耸听。 因此,加强我国企业信息安全管理势在必行,必须采取有效的举措提升我国企业信 息安全管理水平。开展我国企业
3、信息安全管理工作不仅仅需要政府的支持,企业自身也应 当充分认识到企业信息安全管理对于企业自身的重要性,企业信息安全管理并不是一件小 事,理应得到足够的重视。下面本文将首先介绍影响我国企业信息安全管理的几点因素, 结合各种影响我国企业信息安全的几点因素展开探讨,在此基础上,分析我国企业在信息 安全管理中常用的手段,并通过借鉴国外优秀企业在信息安全管理的经验,对更好地完善 我国企业信息安全管理提出几点意见与建议。 二、企业面临的信息安全管理风险 1.企业内部管理缺陷 企业要想提升信息安全管理的水平,其中很重要的一个步骤在于完善企业的管理制 度。企业的信息安全管理会受到许许多多的因数影响,但是做好企
4、业信息安全管理的基础 在于提升企业的内部管理水平。企业内部管理的制度涉及到企业生产经营的方方面面,倘 若企业在内部管理制度上存在缺陷,那么做好企业的信息安全管理也就无从谈起了。常见 的影响企业信息安全管理的制度缺陷有以下几个方面。第一,企业对于企业内部信息安全 管理的工作人员缺乏监督。企业信息安全管理必须建立在企业信息安全管理工作人员认知 履行职责,规范操作的基础上,倘若企业对于信息安全管理的工作人员缺乏监督,那么久 很难保证企业整个信息安全管理系统的行之有效。第二,企业对于企业内部信息安全管理 工作人员缺乏培训,企业内部并没有指定相关的信息安全管理规章制度。要想完善企业的 信息安全管理,就必
5、须做到对企业内部信息安全管理的每一个环节都一丝不苟,对每一个 可能存在信息安全漏洞的地方都要严格管理,对每一项信息安全管理的工作步骤都做明确 要求。要想确保企业内部信息安全管理系统的平稳运行,只有从规范企业内部信息安全管 理的行为规范上着手。第三,企业内部信息安全管理系统投入不足。这一点在我国大型企 业上并不存在,我国大型企业拥有足够的资金,足够的人力资本,足够技术投入,相比较 于我国中小型企业,在信息安全管理工作上具有较大的优势。可是,我国大型企业毕竟是 少数,我国中小企业的数量十分巨大,中小企业并没有相应的资金,人员,技术投入,中 小企业受制于现实条件,在信息安全管理系统上所做的工作严重不
6、足,我国中小企业在信 息安全上所面临的风险十分巨大。 2.影响企业信息安全管理的外部因素 影响我国企业信息安全管理的外部因素有许多。常见的影响我国企业信息安全管理 的外部因素包括病毒,木马,钓鱼网站等等。不论是谁出于怎么样的目的破坏企业的信息 安全,较为常见的手段也就是通过黑客攻击企业的信息安全管理系统。我国企业在应对黑 客的攻击时往往处于较为被动的局面,一方面,黑客属于主动攻击,主动攻击的前提在于 对于企业的内部信息安全管理系统有着较为全面的了解,并且往往已经掌握了企业内部信 息安全管理系统所存在的安全漏洞,另一方面,我国绝大多数企业在信息安全管理系统的 投入有限,企业内部信息安全管理的工作
7、人员在技术手段上与黑客比较并没有优势。即使 企业内部信息安全管理的工作人员最终能够战胜黑客,但是,由于缺乏完善的信息安全手 段,对企业内部重要的信息保护不足,黑客对企业的信息安全所造成的影响往往也是致命 的。反击黑客的攻击行为往往具有滞后性,因此,即使战胜了黑客,但是黑客对企业信息 安全的攻击行为往往已经发生,企业必然会因此造成相应的损失,在现代企业经营管理信 息化的背景下,这样的攻击行为对企业造成的损失往往是企业不能够承担的,很有可能影 响一个企业最基本的生存。 三、完善企业信息安全管理的几点建议 1.建立信息安全密码 密码技术近年来在应用中不断成熟,越来越多企业开始将密码技术应用到企业信息
8、 安全管理中去,这是一个十分正确的选择。企业内部信息具有重要价值,密码技术是企业 信息安全最为关键的一道屏障。密码的形式十分多样,企业应当根据自身情况正确选择密 码的形式,密码技术是一项十分成熟的技术,应当得到更多的关注,并且将这项技术全面 应用到企业内部信息安全管理当中去。企业内部信息得到密码的保护,能够在企业内部信 息不慎泄露后得到最大化的保护,对于企业内部信息的密码也应当严格保密,做好相关的 密码保护工作。 2.建立安全管理制度 企业信息安全管理制度的建立需要多方面的配合,同时,企业信息安全管理制度的 建立是一项十分复杂的工作,必须在实践的过程中不断完善。建立企业内部信息安全管理 制度是
9、为了更加规范地保证企业内部信息的安全,也对企业内部信息安全管理人员的工作 内容,工作步骤做了明确规定,这对于企业内部形成信息安全管理的长效机制具有重要价 值。企业信息安全管理制度应当与企业的实际生产经营情况相结合,在尽可能不影响企业 正常工作的前提下,对企业的信息安全作出明确规定。常见的规定包括定期组织企业内部 信息安全管理工作人员进行信息安全的例行检查;对企业内部信息安全管理人员的工作做 到全面监督,有效反馈等等。 3.建立数据库的备份与恢复机制 现如今,外界主动攻击企业信息安全的事件越来越频发,企业在被外界攻击信息安 全后所造成的损失往往无法挽回,同时这些信息对于企业具有十分重要的价值,倘
10、若能够 及时恢复相关信息,能够在很大程度上减小企业所遭受的损失,因此,建立一套基于数据 库信息备份与还原的信息安全管理机制十分重要。企业内部信息系统数据库的备份,可以 有效保障企业信息系统非法入侵后的系统恢复工作。备份是对数据库内容保护最为稳定和 容易的一种方法。当不稳定因素发生的时候,能够保证企业网络信息的正常运行。而恢复 的理解,就是在不限定因素发展之后利用网络技术的备份功能用来对数据库内容进行重新 恢复并正常使用的功能。 4.建立网络安全预警系统 一般这种情况可以分为人为预警和病毒预警两个方面。 在电脑中的重要位置安装上 网络入侵监测体系,可以便于对电脑的技术和安全性在发展危害行为或改变
11、。入侵监测体 系还能通过设立在固定时间对制定要求的位置进行监督和控制,判断哪些系统是具有危害 性的,但是防火墙还不能够准确判断的系统。主要针对的是从企业内部管理出现漏洞后对 自身安全系统的“侵略”行为。而病毒预警系统通常是采用对企业内部网络的全部数据进行 监督监控的行为,确保在一天每个时间段内都对数据包传送扫描一旦发展病毒就要马上进 行危险信息提示,使得相关工作人员可以很快的通过定位查找的方法找到病毒的发出地。 同时,在短时间内陆续产生通过快速扫描出来的网络日志和调查报告,为企业专业人员查 找病毒具体来源提供便利条件。 5.建立信息安全风险评估机制 建立企业内部的信息安全风险评估机制对于完善企
12、业内部信息安全管理工作同样具 有重要意义。定期对企业内部信息安全进行风险评估,能够帮助企业更好地做好企业内部 信息安全的预防工作,能够帮助企业更准备地了解企业经营管理过程中信息安全管理存在 疏漏的地方。通过建立企业内部的信息安全风险评估机制,对于帮助企业从制度与技术两 方面完善企业内部信息安全管理制度具有重要意义。具体而言,建立企业内部信息安全风 险评估机制需要做到以下两个方面的工作。一方面,在企业各个层次建立一个风险指标系 统,设计一个风险计算模型来计算出企业的基本风险值,通过对企业各个层次上的风险评 估来对企业整体固定的风险状况进行反映。另一方面,主要针对业务操作过程中风险因素 的复杂情况,在业务操作方面也建立一个风险指标系统、同样用设计的风险计算模型来计 算出该企业的实时风险值,该方面的风险评估测试主要是为了对业务部门运行过程反映。 由于业务活动操作面临的风险是动态的且是复杂的,因此对其进行 W 金评估的操作频率要 高,只要通过这套风险评估体系的实施,企业就可以清楚掌握和及时了解企业自身的整体 信息安全风险程度,从而提高企业的信息安全管理的水平。
