?信息技術(shù)是一把“雙刃劍”。一方面信息化提升了企業(yè)的工作效率,改進(jìn)了業(yè)務(wù)處理流程,降低了人力成本,增強(qiáng)了組織的競(jìng)爭(zhēng)力和效益;另一方面,由于業(yè)務(wù)日益依賴信息技術(shù),技術(shù)故障、網(wǎng)絡(luò)攻擊、違規(guī)操作對(duì)業(yè)務(wù)帶來(lái)的損失也日益突出,競(jìng)爭(zhēng)對(duì)手利用企業(yè)安全問(wèn)題竊取企業(yè)敏感信息,極端情況下所造成信息丟失和破壞甚至可能影響到組織的生存與發(fā)展。因此如何做好企業(yè)信息安全保障工作,對(duì)企業(yè)的意義重大。
制度保障是前提
企業(yè)在信息安全建設(shè)中重技術(shù)輕管理,造成了信息安全制度的缺失。不僅無(wú)法限定員工的行為,而且無(wú)法保障企業(yè)生產(chǎn)目標(biāo)的實(shí)現(xiàn),既增加了企業(yè)信息安全風(fēng)險(xiǎn),又增加了信息安全設(shè)備的投入,提高了企業(yè)運(yùn)營(yíng)成本。
提高信息化安全水平,首先要進(jìn)行信息安全頂層設(shè)計(jì),制定企業(yè)信息安全的整體目標(biāo)。其次,需要確定信息管理體系的范圍,并根據(jù)企業(yè)各部門業(yè)務(wù)、職能情況制定有針對(duì)性的信息安全方針。同時(shí)組織開(kāi)展信息安全管理現(xiàn)狀調(diào)查與風(fēng)險(xiǎn)評(píng)估工作,并合理制定企業(yè)安全策略,起草、制定企業(yè)信息安全管理制度,實(shí)現(xiàn)企業(yè)業(yè)務(wù)的持續(xù)性,降低業(yè)務(wù)損失,保障企業(yè)業(yè)務(wù)目標(biāo)的實(shí)現(xiàn)。
技術(shù)保障是根本
目前網(wǎng)絡(luò)安全的主要威脅是惡意代碼。企業(yè)內(nèi)部部署一套統(tǒng)一的防病毒系統(tǒng)十分必要。由于企業(yè)管理者對(duì)防病毒軟件認(rèn)識(shí)不夠,為節(jié)省成本,讓員工自行選擇、安裝防病毒軟件。但公司員工的電腦水平參差不齊,病毒庫(kù)升級(jí)不及時(shí)的情況時(shí)有發(fā)生,防病毒軟件的使用效率也會(huì)極大地降低。而企業(yè)版的防病毒軟件可以使各個(gè)客戶端的病毒數(shù)據(jù)庫(kù)與服務(wù)器保持一致,降低了各客戶端可能受病毒感染的危險(xiǎn),也規(guī)避了員工不良的網(wǎng)絡(luò)使用習(xí)慣。
無(wú)線技術(shù)可以實(shí)現(xiàn)網(wǎng)絡(luò)擴(kuò)展和延伸,移動(dòng)通信可以使用戶隨時(shí)隨地將終端連接到公用網(wǎng)絡(luò),在方便用戶的同時(shí),也使企業(yè)內(nèi)部網(wǎng)絡(luò)面臨著更多的信息安全風(fēng)險(xiǎn)。如何在正確的位置部署恰當(dāng)?shù)陌踩O(shè)備,是企業(yè)降低信息安全風(fēng)險(xiǎn),減少信息安全投入,增強(qiáng)網(wǎng)絡(luò)結(jié)構(gòu)安全的關(guān)鍵。
網(wǎng)絡(luò)邊界是信息安全的高危地帶,做好網(wǎng)絡(luò)邊界防護(hù)能有效地降低信息安全風(fēng)險(xiǎn)。應(yīng)針對(duì)系統(tǒng)內(nèi)部的不同業(yè)務(wù)區(qū)域進(jìn)行不同的等級(jí)保護(hù),應(yīng)首先梳理網(wǎng)絡(luò)和劃分安全域,然后在不同安全域的網(wǎng)絡(luò)邊界上部署恰當(dāng)?shù)木W(wǎng)絡(luò)安全設(shè)備,并啟用合適的信息安全策略。
人員保障是關(guān)鍵
企業(yè)員工是各個(gè)安全環(huán)節(jié)最重要的因素,全面提高人員的技術(shù)水平、道德品質(zhì)、政治覺(jué)悟和安全意識(shí)是網(wǎng)絡(luò)安全最重要的保證。
堡壘往往容易從內(nèi)部攻破,許多安全事件都是由內(nèi)部人員引發(fā)的,人為泄密是企業(yè)面臨的主要風(fēng)險(xiǎn)之一。因此,上崗前要制定選人方案,除具備一定的技術(shù)水平外,還需要從安全意識(shí)、法律意識(shí)、安全技能等方面進(jìn)行審查,關(guān)鍵崗位的人員不能兼職,以保證這些人員安全可靠。其次,在崗人員要定期進(jìn)行崗位安全考核。不僅要考核業(yè)務(wù)水平,還要考核思想政治素質(zhì),并檢查其是否在指定計(jì)算機(jī)或終端上操作,一旦違規(guī)應(yīng)及時(shí)將其調(diào)離崗位。最后,對(duì)員工進(jìn)行信息安全培訓(xùn)并簽署保密協(xié)議,強(qiáng)調(diào)數(shù)據(jù)的重要性,任何危及專用數(shù)據(jù)安全的非法行為,都將受到紀(jì)律處分和法律制裁。人員離崗后,要更換信息系統(tǒng)口令,取消賬號(hào)。
要保障企業(yè)信息的安全,需要以“管技并重”為基本原則,不能僅僅依賴于技術(shù),也需要認(rèn)識(shí)到管理的重要性,認(rèn)識(shí)到信息系統(tǒng)的動(dòng)態(tài)發(fā)展性。只有將各種安全技術(shù)與管理措施融合,才能構(gòu)建出企業(yè)信息系統(tǒng)及業(yè)務(wù)的銅墻鐵壁。■