信息安全管理论文浅议网络环境下的企业信息安全管理.doc

信息安全管理论文：浅议网络环境下的企业信息安全管理摘 要:随着社会的发展，企业对信息资源的依赖程度越来越大，由此带来的信息安全问题也日益突出。文章从影响企业信息安全的3个维度出发，全面分析了企业信息安全的各种风险来源，并由此提出企业信息安全构建原则，基于技术安全、管理安全、资源安全3个维度构建信息安全管理体系模型。同时，认为企业的信息安全应遵从PDCA的过程方法论持续改进以确保信息安全的长治久安。关键词:网络环境;企业信息;信息安全管理体系;模型;持续改进1引言随着社会的发展，企业对信息资源的依赖程度来越大，由此带来的信息安全问题也日益突出。业在研发、设计和生产产品或提供服务时多会涉到客户的重要信息(如业务数据等)，如果自身没信息安全保障是难以得到用户的信任的fl。另外，果企业自身的信息安全管理有重大疏漏，也无法证其产品及服务的安全可靠。当前，企业在黑客病毒日益猖撅的网络环境下不仅要保护自身信的安全，还要保护企业客户信息的安全，因此有必要从体系管理的高度构建企业信息安全。企业信息安全的风险主要有3个来源l2:自然灾害。例如水灾、火灾、地震等会造成企业信息基础设施的损害，进而影响企业信息本身。技术。企业信息对技术具有广泛的依赖性，一旦发生软硬件故障或恶意人侵，则可能对企业信息造成严重损害。人。内部人员故意或无意泄漏企业信息造成的损失常常是难以估量的，外部人员的人侵甚至会使企业信息瘫痪。2企业信息安全的三维性与20世纪末信息安全着力于围绕信息系统本身仅采用技术手段解决不同，当前，企业信息安全已涉及到与信息相关的各方面。企业信息安全不仅要考虑信息本身，还需要考虑信息依附的信息载体(包括物理平台、系统平台、通信平台、网络平台和应用平台，例如PC机、服务器、无线网卡等)的安全以及信息运转所处环境(包括硬环境和软环境，例如员工素质、室内温度等)的安全。资产如果不对影响信息安全的各个维度进行全面的综合分析，则难以实现企业信息安全。因此，需要从企业信息安全的总体大局出发，树立企业信息安全的多维性，综合考虑企业信息安全的各个环节，扬长避短，采取多种措施共同维护企业信息安全。2.1技术维技术发展是推动信息社会化的主要动力，企业通常需要借助于一项或多项技术才能充分利用信息，使信息收益最大化。然而，信息技术的使用具有双面性，人们既可以利用技术手段如电子邮件等迅速把信息发送出去，恶意者也可由此截获信息内容。为确保企业信息安全，必须合理的使用信息技术，因此，技术安全是实现企业信息安全的核心。(1)恶意代码和未授权移动代码的防范和检测。网络世界上存在着成千上万的恶意代码(如计算机病毒、网络蠕虫、特洛伊木马和逻辑炸弹等)和未授权的移动代码(如Javaseript脚本、Java小程序等)。这些代码会给计算机等信息基础设施及信息本身造成损害，需要加以防范和检测。(2)信息备份。内在的软硬件产品目前还不能确保完全可靠，还存在着各种各样的问题。外在的恶意代码和未授权移动代码的攻击，也会造成应用信息系统的瘫痪。为确保信息的不丢失，有必要采取技术备份手段，定期备份。(3)访问权限。不同的信息及其应用信息系统应有不同的访问权限，低级别角色不应能访问高级别的信息及应用信息系统。为此，可通过技术手段设定信息的访问权限，限制用户的访问范围。(4)网络访问。当今，一个离开网络的企业难以成功运转，员工通常需要从网络中获取各种信息。然而，网络的畅通也给恶意者提供了访问企业内部信息的渠道。为此，有必要采用网络防火墙技术，控制内部和外部网络的访问。(5)加解密。加解密技术涉及到密码、口令、密钥等技术。为保证信息安全，通常做法是对需保密的信息进行加密处理，只有拥有密钥的授权人才能解密获取信息。无密钥的恶意者即使截获传递中的信息也是无法窥视内容的，只能获得零散无用的信息。2.2管理维企业信息安全不但需要依靠技术安全，而且与管理安全也息息相关。没有管理安全，技术安全是难以在企业中真正贯彻落实的。管理安全在企业中的实施是企业信息得以安全的关键。企业应建立健全相应的信息安全管理办法，加强内部和外部的安全管理、安全审计和信息跟踪体系，提高整体信息安全意识，把管理安全落到实处。(l)信息安全方针和信息安全政策的制定。信息安全方针和信息安全政策体现了管理者的信息安全意图，管理者应适时对信息安全方针评审，以确保信息安全方针政策的适宜性、充分性和有效性。(2)构建信息安全组织架构。为在企业内贯彻既定的信息安全方针和政策，确保整个企业信息安全控制措施的实施和协调，以及外部人员访问企业信息和信息处理设施的安全，需要构建有效的信息安全组织架构。(3)法规的遵循。法律法规的遵循有3方面的含义:一是确保企业采取的信息安全措施是有法可依的，避免违反法律的安全措施;二是依据法律法规保护企业自身的知识产权和各种信息;三是当有恶意者人侵企业信息时，应依法保留证据，利用法律手段保护企业信息安全。2.3资源维再好的技术和管理也必须在特定的环境下才能由员工执行。离开一定的人和物，信息安全无从谈起。因此，由物理资源和人力资源构成的资源维是企业实现信息安全的前提。(l)企业信息的安全离不开人，信息安全各环节的执行最终都需要由人这个主体来完成。如果相关人员的安全意识薄弱，不小心泄密，则比其他安全不足带来的损失会更大。没有信息安全意识的企业员工常常会成为信息安全中最薄弱的一环。因此需要不断对相关人员的安全意识和职业道德培训。(2)信息的使用和增值需要借助于一定的物理资源，信息安全的保护也离不开各种物理资源的支持。因此，需要对各种物理资源确实加以控制，落到实处。物理资源应是抵御恶意者人侵的第一道屏障，管理层应形成良好的物理安全意识。诸如门卡、消防器材等应是每个企业正常运作不可或缺的物理资源。总之，企业信息的安全不仅仅反映在杀毒软件和防火墙的升级上，其他安全环节如法律法规、安全意识、安全培训、安全监控等也要随之完善，共同为企业信息资产营造一个安全的大环境。管理层要充分了解信息安全的动态性和复杂性，树立永久的信息安全意识，出现新问题时尽快寻找应对策略，只有这样才能有效地保护企业信息安全。科学2010年第8期授权于同一员工。在这些基本原则的基础上，还产生实践出一些实施原则，包括:主客体隔离原则、整体保护原则、谁主管谁负责原则、等级保护原则等。3企业信息安全构建原则为确保企业信息的可用性、完整性和机密性，企业在日常运作时须遵守以下原则。(l)权限最小化。受保护的企业信息只能在限定范围内共享。员工仅被授予为顺利履行工作职责而能访问敏感信息的适当权限。对企业敏感信息的获知人员应加以限制，仅对有工作需要的人员采取限制性开放。最小化原则又可细分为知所必须和用所必须的原则，即给予员工的读权限只限于员工为顺利完成工作必须获的信息内容，给予员工的写权限只限于员工所能够表述的内容。(2)分权制衡。对涉及到企业信息安全各维度的使用权限适当地划分，使每个授权主体只能拥有其中的部分权限，共同保证信息系统的安全。如果授权主体分配的权限过大，则难以对其进行监督和制约，会存在较大的信息安全风险。因此，在授权时要采取三权分立的原则，使各授权主体间相互制约、相互监督，通过分权制衡确保企业信息安全。例如网络管理员、系统管理员和日志审核员就不应被授予同一员工。4企业信息安全管理体系的构建4.1企业信息安全构建的基本要求为符合企业信息安全的发展规律，构建的信息安全管理体系应满足应下要求。(1)法律法规的要求。法律法规是强制执行的，企业应遵照法律法规的要求合法开展业务，构建信息安全管理体系 (2)客户和第三方的要求。企业在构建信息安全管理体系时应考虑贸易伙伴、承包方等客户和第三方的合同要求。(3)企业内部的要求。企业的整体业务策略与目标需要遵循一定的内部业务流程，合理的信息安全管理应在其上开展。上述3方面要求实际上主要都是围绕着信息的机密性、完整性和可用性展开的。首先，信息安全的机密性要求尽可能少的人能接触到重要信息，也就是说，除了相关的工作人员外，其余人员不得接触，以保持信息的机密。其次，信息的完整性要求所提供的信息必须是准确和全面的，不完整的信息会导致错误的决策，给企业带来损失。再次，信息的可用性要求在需要的时候信息能为相关部门所用，如果信息在需要的时候不能用，则不能保证企业信息系统的正常运作。4.2信息安全管理体系模型企业信息安全管理体系的构建要统筹考虑多方面因素，勿留短板。安全技术是构建信息安全的基础，员工的安全意识和企业资源的充分提供是有效保证安全体系正常运作的关键，安全管理则是安全技术和安全意识恒久长效的保障，三者缺一不可。因此，在构建企业信息安全管理体系时，要全面考虑各个维度的安全，做好各方面的平衡，各部门互相配合，共同打造企业信息安全管理平台。科学的安全管理体系应该包括以下主要环节:制定反映企业特色的安全方针、构建强健有力的信息安全组织机构、依法行事、选择稳定可靠的安全技术和安全产品、设计完善的安全评估标准、树立.员工的安全意识和营造良好的信息安全文化氛围等。因此，为了使企业构建的信息安全管理体系能适应不断变化的风险，必须要以构建、执行、评估、改进、再构建的方式持续地进行，构成一个P(计划)、D(执行)、C(检查)、A(改进)反馈循环链以使构建的企业信息安全管理体系不断地根据新的风险做出合理调整。3信息安全管理体系的持续改进。信息安全管理体系模型可以看出，信息安全管理体系的目的是确保信息资产安全，着力点是围绕管理、技术和资源3个维度的安全展开。这3个维度分别又体现了不同的安全领域。依据15027001，的安全方针、信息安全组织等n个安全领域又可延伸出内部组织、外部各方措施等39个控制目标和信息安全方针文件等139项控制措施气4.3信息安全管理体系的持续改进构建过程企业信息安全管理体系的构建不是一劳永逸的，随着企业的发展、社会的变化、技术的更新，体系也是不断持续改进的。它不能摆脱事物螺旋式发展的唯物主义客观规律。因此，为了使企业构建的信息安全管理体系能适应不断变化的风险，必须要以构建、执行、评估、改进、再构建的方式持续地进行，构成一个P(计划)、D(执行)、C(检查)、A(改进)反馈循环链以使构建的企业信息安全管理体系不断地根据新的风险做出合理调整，信息安全管理体系的持续改进5结论信息安全管理体系的构建对企业高效运行具有重要意义。只有全面分析影响企业信息安全的各种来源后才能构建良好的企业信息安全管理体系。从大量的企业案例来看，技术、管理和资源是影响企业信息安全的3个维度。为此，应从技术、管理和资源出发考虑信息安全管理体系的构建原则和企业信息安全管理体系应满足的基本要求。同时，也应注意到，信息安全管理体系的构建不是一劳永逸而是不断改进的，企业的信息安全管理体系应遵从PDCA的过程方法论持续改进，才能确保企业信息的安全长效。参考文献1张李义，刘文勇.网络信息资源管理安全问题新探讨.情报科学，2003(9):942一946.2席嘉，浅论企业安全管理中的风险对策J.公安大学学报，2001l(l):35一40.3中华人民共和国国家质量监督检验检疫总局，中国国家标准化管理委员会.信息技术安全技术.信息安全管理体系要求s4.中华人民共和国国家质量监督检验检疫总局，中国国家标准化管理委员会.信息技术安全技术.信息安全管理实用规则s5.黄瑞华，朱莉欣，问向荣.论保护信息网络安全的技术性和管理性法规J.情报学报，2001(5):519一524.简 历姓 名： 简历模板 http:/性 别： 男出生日期： 1989年2月年 龄： 37岁户口所在地：上海政治面貌： 党员毕业生院校：专 业：地 址：电 话：E-mail：·教育背景·_1983/08-1988/06 华东理工大学 生产过程自动化 学士 _·个人能力·_这里展示自己有什么的特长及能力_·专业课程·_课程名称(只写一些核心的)：简短介绍课程名称：简短介绍 _·培训经历·_2002/06-2002/10 某培训机构 计算机系统和维护 上海市劳动局颁发的初级证书 1998/06-1998/08 某建筑工程学校 建筑电气及定额预算 上海建筑工程学校颁发 _·实习经历·_2011年5月 现在 某（上海）有限公司 XX职位【公司简单描述】属外资制造加工企业,职工1000人，年产值6000万美金以上。主要产品有：五金制品、设备制造、零部件加工、绕管器【工作职责】 【工作业绩】_·语言能力·_英 语：熟练 英语等级：大学英语考试四级_·IT技能·_Windows NT/2000/XP36个月经验水平：精通 LAN36个月经验水平：熟练 Office84个月经验水平：精通 _·自我评价·_这里写自我评价的内容 可以访问 http:/_·获得的证书与奖项·_系里的一等奖学金 获得时间： 年 全系XXX人只有XX人取得。