摘 要
自上世纪末国家大力促进企业信息化建设,鼓励企业利用信息化技术改善自身经营活动和企业管理。信息化的点点滴滴已经渗透进企业日常生产经营的各个角落。信息安全已经成为促进企业自身发展壮大的条件之一,谁能抓住时代的脉搏在新的技术条件下将信息安全与企业管理高效融合.为企业走可持续化发展道路保驾护航,谁就抓住了企业生存与发展的主动权,从而在知识经济和信息化高速发展的当前,长远生存发展壮大。随着互联网络不断深入到生产生活的各个方面,改变了传统的生产模式,对促进生产力的提高发挥着重要的作用。网络安全也已成为维持日常经营活动正常开展的前提。网络安全不仅仅是一个技术问题,同时也是一个管理问题。安全管理是企业管理中第一位的管理。企业安全管理,就是要消除安全隐患,使安全事故消除在萌芽状态中。对于企业发展而言,管理信息安全是十分重要的问题。因此分析网络环境下信息安全管理中所存在的问题,并提出适当的对策。
关键词:企业管理;网络安全;信息安全管理
一、绪论
(一)研究背景和意义
1.研究背景
进入二十一世纪的今天,随着社会、经济和科学技术的飞速发展,计算机网络在经济和生活的各个领域迅速普及。众多企业为了提高办事效率和市场反应能力,也都纷纷依靠IT技术构建企业自身的信息系统和业务运营平台。在网络环境下,企业获得了信息共享、信息交流、信息服务,改善了企业管理水平,提高了劳动生产率,增强了企业的核心竞争力。
然而,网络是把双刃剑。在带给企业机遇与便利的同时,网络环境固有的开放性、交互性、共享性和分散性,也造成了企业信息系统具有致命的脆弱性、易受攻击性,一旦企业网络遭到攻击,企业信息泄露,甚至被人意改,就会给企业带来不可估量的损失。因而,研究与防范网络环境下企业信息安全问题已迫在眉睫。在网络越来越普及的当今社会,人们不论是生活当中亦或是工作当中都越来越依赖网络。勒索病毒事件,可以说是最具代表性的年度安全事件。事件中,黑客利用漏洞作为攻击工具,将勒索病毒通过漏洞传播,对用户数据加密以实现敲诈,并利用比特币支付等匿名互联网技术躲避溯源跟踪,展现出了一种极为高效的变现模式。
在过去的2017年,网络安全进入全新的“大安全”时代。2017年9月12日,网络安全领域顶级峰会——第五届中国互联网安全大会(ISC2017)在北京国家会议中心盛大开幕,本次大会的主题为“万物皆变,人是安全的尺度”。在大会开幕式上,中国互联网安全领域领军人物、360公司董事长周鸿祎发表主旨演讲,周鸿祎表示,“我们正处于一个大安全时代。网络安全已经不仅仅是网络本身的安全,更是国家安全、社会安全、基础设施安全、城市安全、人身安全等更广泛意义上的安全。”周鸿祎指出,随着物联网、车联网和工业互联网的发展,这些行业开始成为网络攻击的目标,去年10月的美国互联网断网事件就是由恶意软件控制了近百万摄像头组成的僵尸网络,攻击美国的DNS解析服务商造成的。另外在物联网、车联网和工业互联网中开始使用一些人工智能技术,使用人工智能技术发展无人化的系统,这些无人系统一旦被劫持,将带来更多、更严重的安全问题。
如今全球化在逐渐信息化、网络普及,对人们的生活有着深远的影响,渗透至人们的生活工作当中。随之而来便是对于网络环境的各种信息安全的问题,人们不论是在手机上亦或是平板、电脑等电子设备上存储的个人信息越来越注重隐私和保密,尤其随着手机在线支付的普及一旦手机被盗取可能自身的资金财产都会受到影响。在企业中运用网络促进发展时,容易出现企业内部信息泄露的状况,这种情况一旦发生对于企业而言会造成严重的影响,更甚者对企业的生存产生威胁。企业内部也如此,若出现网络安全问题,会影响到网络环境的健康以及正常运转。所以对安全管理越来越重视,设置相应的防范措施也是十分必要不可或缺的。社会趋向于网络化能够让所有事散布的更快,信息共享的更快,既方便又便捷。在企业中利用网络在这一方面的优势能够发挥十分重要有效的作用,帮助企业更快的发展,更良好的管理信息管理企业内部。但有好的一面必然有其缺陷,网络技术当中有一个十分棘手的问题,那便是安全隐患。本文主要研究如何就安全隐患方面提出适合可行的防范对策以此解决这一问题。
中石化也正是看到了这一点,在近几年加快了信息化建设的步伐。网络也在不断调整和优化,几乎每个加油站网点都被纳入公司局域网之内;而且陆续投入使用了ERP系统、V20系统、视频监控系统、加油卡系统等。这些系统的推广和使用对提高中国石化的生产、经营和管理水平发挥了很大的作用。随着中石化信息化不断深入,中石化网络信息安全管理架构的形成,既是企业业务需求形成的结果,也是网络安全领域向全方位、纵深化、专业化方向发展的结果,无论从经济效益还是社会影响考虑,我们都应该重视我们企业的网络信息安全管理及系统建设情况。
2.研究意义
有利于网络信息安全技术发展日益科学化,网络信息安全技术逐步的科学化还是一个较为漫长的过程,会在整个网络发展的过程当中存在。要想让网络信息安全技术真正的科学化,就要通过对数据进行收集和分析,采用这样的方式真正的达到让网络信息安全技术科学化的目的,与此同时综合考量技术,切实的将网络信息安全存在的问题找到。
有利于防御技术日益专业化,随着网络优化的不断发展,并且逐步的朝着自动化,还有智能化的方向上不断地发展和进步,由此就有了人工智能专家的出现,这就在一定程度打破了原有的思想,在对系统的支持上,通过智能决策的方式,能够对机制进行更为切实有效的运用,网络优化人员在针对网络中存在的一些安全隐患,可以给出相对应的解决措施,让网络当中存在的一些安全隐患问题,及时的得到了科学的解决,这也证明了网络信息安全防御技术变得越来越专业化起来。
有利于形成一个专门产业链,伴随着信息产业日新月异的发展,以及和其他产业的密切融合,这也让网络安全技术有了非常大的变化。网络安全技术正在逐步朝着生态环境的方向进行转变。伴随着产业链变得逐渐复杂起来,造成计算机网络产业要朝着生态环境的方向不断的转变。任何一个环节在生态环境中都能够被取代。
(二)国内外研究综述
1.国外研究
据Gartner分析,当前国际大型企业在信息安全领域主要有几个发展趋势:(1) 信息安全投资从基础架构向应用系统转移;(2)信息安全的重心从技术向管理转移;(3)信息安全管理与企业风险管理、内控体系建设的结合日益紧密;(4)信息技术逐步向信息安全管理渗透。结合大型企业信息安全发展趋势,国际各大咨询公司、厂商等机构纷纷提出了符合大型企业业务和信息化发展需要的信息安全体系架构模型,着力建立全面的企业信息安全体系架构,使企业的信息安全保护模式从较为单一的保护模式发展成为系统、全面的保护模式。信息安全在国外已经上升到了国家战略层次,国外的信息安全总体发展领先于国内,特别是欧美,研究国外的信息安全现状有助于我国的信息安全规划。国外的主流的信息安全体系框架较多,都有其适用范围和缺点,并不完全符合我国现状,可选取框架的先进理念和组成部分为我国所用,如IATF的纵深防御理念和分层分区理念、ISO27000的信息安全管理模型、IBM的安全治理模块等。
2.国内研究
在信息安全标准方面,我国已发布了《信息技术安全技术公钥基础设施在线证书状态协议》、《信息技术安全技术公钥基础设施证书管理协议》等几十项重要的国家信息安全基础标准,初步形成了包括基础标准、技术标准、管理标准和测评标准在内的信息安全标准体系框架。
国内的安全标准组织主要有信息技术安全标准化技术委员会(CITS)、中国通信标准化协会(CCSA)下辖的网络与信息安全技术工作委员会、公安部信息系统安全标准化技术委员会、国家保密局、国家密码管理委员会等部门。
国内的安全标准组织主要有信息技术安全标准化技术委员会(CITS)、中国通信标准化协会(CCSA)下辖的网络与信息安全技术工作委员会、公安部信息系统安全标准化技术委员会、国家保密局、国家密码管理委员会等部门。
二、企业信息安全管理现状
现在企业内部一般都构建了专用网络来进行信息的共享,如建设公司内网。在同一个局域网内可进行文件的传输和接收,或者通过连接服务器的方式来存储和共享信息,提高了不同部门间的信息传递效率。在享受网络带来的便利时,却有很多企业忽略了信息安全的问题,企业信息安全现状如下。(1)缺乏企业信息安全保障体系。有的中小企业缺乏信息安全意识,对服务器等设施甚至未曾设置防火墙,导致企业内部的信息易遭受外界的攻击,造成企业信息被窃取或被篡改,更为严重的可能导致企业网络瘫痪以及硬件设备、传输设施无法使用的情况。客户信息和商业机密若被窃取,不仅会影响企业的竞争力,同时会降低客户的信任和好感,造成巨大的经济损失。(2)邮件系统安全缺乏保障。有的企业主要通过电子邮件来开展工作,如通过邮件与客户沟通及开展内部管理工作。电子邮件的使用方便快捷,能够在网络中留下记录,随时随地都可查看,遇到分歧和冲突时,还能在电子邮件中找到相应凭证。但是电子邮件的安全状况也令人堪忧,如垃圾邮件轰炸、电子邮件病毒等,给企业的正常运转和办公造成很大阻碍,若邮件账号与密码被窃取,将成为企业的重大安全隐患。(3)缺乏检查漏洞的有效方法和能力。一般计算机操作系统会进行自动更新和漏洞检测,但部分员工会因其耗费时间长且较繁琐而将其关闭,或者在更新过程中中断,造成计算机自身安全机制出现漏洞,外界不法分子可通过攻击TCP/IP协议窃取或篡改企业信息。有的在不正规网站下载的软件可能自身存在漏洞,易受到外界攻击,从而导致企业信息安全受到威胁。(4)服务器或者客户端受到外部网络攻击。在工作中难免会需要通过浏览器等形式进行网上检索,而在这个过程中,企业的客户端需要获取外部网络信息,可能受到网络攻击。或者不法分子直接攻击企业的服务器,窃取信息、篡改内容等。综上所述,企业的信息安全随时都可能受到威胁。当前企业在信息安全管理中普遍面临的问题:(1)缺乏来自法律规范的推动力和约束;(2)安全管理缺乏系统管理的思想。被动应付多于主动防御,没有做前期的预防,而是出现问题才去想补救的办法,不是建立在风险评估基础上的动态的持续改进的管理方法;(3)重视安全技术,忽视安全管理。企业愿意在防火墙等安全技术上投资,而相应的管理水平、手段没有体现,包括管理的技术和流程,以及员工的管理;(4)在安全管理中不够重视人的因素;(5)缺乏懂得管理的信息安全技术人员;(6)企业安全意识不强,员工接受的教育和培训不够。
三、企业信息安全管理存在的问题及原因分析
(一)存在问题
1.企业信息安全意识淡薄
很多中小型企业对于信息安全缺乏认识,更多注重信息化建设带来的经济效益,即便了解了信息安全的意义,也可能怀着侥幸心理觉得自己的企业不会被攻击,如果不发生重大信息安全事故估计不会花费人力与物力。大企业相对来说企业结构更加完善,能够意识到信息安全的意义和作用,但真正为之付出大量精力和金钱的公司不多。由于企业对于信息安全不够重视,自然不会组建专门的团队来进行信息安全的管理,因此,信息安全相关专业的人才在国内很难找到专业对口的工作,那么他们可能选择出国或者换专业,这就造成了恶性循环,国内的信息安全人才稀缺,国内企业信息安全相关岗位招不到人。
2.信息安全技术不够先进
近年来,中国互联网发展迅速,计算机技术也在不断进步,但总体计算机技术的水平相比发达国家还是有一定差距,信息安全的研究也比发达国家起步得晚,虽然现在国内已有专门信息安全、网络安全的公司,但其技术水平和研发出的软件质量和数量相比发达国家还是有不足。很多企业内部没有一套较为完整的信息安全防护系统,使得不法分子攻击起来较容易。
3.企业信息安全相关法律法规不够完善
一直以来,网络安全都没有得到很好管控。虽然出台了少量法律法规,但是见效甚微。企业信息安全方面的法律法规更少。无法用法律来保护企业信息安全,使得企业建设信息安全体系的信心下降。
(二)原因分析
1.需要提升企业信息安全意识
提升企业信息安全意识包括提升企业管理者和企业员工的意识。企业管理者在企业信息安全建设中是引路人的角色,在之后的企业信息安全管理工作中是主要负责人,不仅需要自身提高对企业信息安全的重视程度,还要培训企业员工。定期对员工进行信息安全培训和案例分享,强调企业信息安全的重要性:泄露企业信息将会给企业造成无法挽回的损失,而企业的经济利益与每个员工都有密切关系。同时,培训会上还应分享一些关于企业信息安全的法律知识,让每个员工都形成一种保密意识,不将公司的信息透露给其他人。若是发现有人将企业机密卖给竞争对手可告知领导,而无意识透露企业信息而造成企业受损的员工,应对其进行惩罚,来警示其他员工,再次强调企业信息安全的重要性。
2.需要提升信息安全技术
我国正在从中国制造转变为中国创造。国家大力推崇科技创新,这也体现在了信息安全方面。现在大学期间就会有很多信息安全类的竞赛或者校内组织,激发大家对信息安全技术的研究兴趣,同时,激励大家不断学习和创新。不仅在学校里,在社会上也有很多自发组织的科技协会或者信息安全科技论坛进行不定期学术讨论,研究国内外先进的信息安全技术及破解方法[5]。在国内信息安全技术不断提升的过程中,各大研究网络安全、信息安全的公司会推出各种信息安全防护产品,企业应选择安全性能高的产品。可以对比几家大的网络安全品牌的产品,选择一家进行购买,如果资金充裕可购买多个品牌的产品进行对比,选出安全性能最佳的品牌,一定要不断更新产品内的防护内容。因为攻击手段和方式是日新月异的,只有不断更新、不断优化才能有效防护恶意的信息攻击。
3.需要落实现有企业信息安全相关法律法规
随着国家对信息安全的重视程度提高,国家的《网络安全法》正式实施,“没有网络安全就没有国家安全”的大政方针的提出,2017年度安全盛会——中国信息安全高峰会议在安徽省合肥市的召开,种种现象表明信息安全从此进入了新的阶段。企业信息安全将会得到更好保障,首先要确保企业采用的信息安全防护系统和手段是法律认可的,当被竞争对手或其他人恶意攻击时,尽可能保留证据,利用法律手段维护企业的权益和信息安全。
四、企业信息安全管理对策与展望
(一)主要对策
1.建立信息安全密码
密码技术近年来在应用中不断成熟,越来越多企业开始将密码技术应用到企业信息安全管理中去,这是一个十分正确的选择。企业内部信息具有重要价值,密码技术是企业信息安全最为关键的一道屏障。密码的形式十分多样,企业应当根据自身情况正确选择密码的形式,密码技术是一项十分成熟的技术,应当得到更多的关注,并且将这项技术全面应用到企业内部信息安全管理当中去。企业内部信息得到密码的保护,能够在企业内部信息不慎泄露后得到最大化的保护,对于企业内部信息的密码也应当严格保密,做好相关的密码保护工作。
2.建立安全管理制度
企业信息安全管理制度的建立需要多方面的配合,同时,企业信息安全管理制度的建立是一项十分复杂的工作,必须在实践的过程中不断完善。建立企业内部信息安全管理制度是为了更加规范地保证企业内部信息的安全,也对企业内部信息安全管理人员的工作内容,工作步骤做了明确规定,这对于企业内部形成信息安全管理的长效机制具有重要价值。企业信息安全管理制度应当与企业的实际生产经营情况相结合,在尽可能不影响企业正常工作的前提下,对企业的信息安全作出明确规定。常见的规定包括定期组织企业内部信息安全管理工作人员进行信息安全的例行检查;对企业内部信息安全管理人员的工作做到全面监督,有效反馈等等。
3.建立数据库的备份与恢复机制
现如今,外界主动攻击企业信息安全的事件越来越频发,企业在被外界攻击信息安全后所造成的损失往往无法挽回,同时这些信息对于企业具有十分重要的价值,倘若能够及时恢复相关信息,能够在很大程度上减小企业所遭受的损失,因此,建立一套基于数据库信息备份与还原的信息安全管理机制十分重要。企业内部信息系统数据库的备份,可以有效保障企业信息系统非法入侵后的系统恢复工作。备份是对数据库内容保护最为稳定和容易的一种方法。当不稳定因素发生的时候,能够保证企业网络信息的正常运行。而恢复的理解,就是在不限定因素发展之后利用网络技术的备份功能用来对数据库内容进行重新恢复并正常使用的功能。
4.建立网络安全预警系统
一般这种情况可以分为人为预警和病毒预警两个方面。 在电脑中的重要位置安装上网络入侵监测体系,可以便于对电脑的技术和安全性在发展危害行为或改变。入侵监测体系还能通过设立在固定时间对制定要求的位置进行监督和控制,判断哪些系统是具有危害性的,但是防火墙还不能够准确判断的系统。主要针对的是从企业内部管理出现漏洞后对自身安全系统的“侵略”行为。而病毒预警系统通常是采用对企业内部网络的全部数据进行监督监控的行为,确保在一天每个时间段内都对数据包传送扫描一旦发展病毒就要马上进行危险信息提示,使得相关工作人员可以很快的通过定位查找的方法找到病毒的发出地。同时,在短时间内陆续产生通过快速扫描出来的网络日志和调查报告,为企业专业人员查找病毒具体来源提供便利条件。
(二)未来展望
1.加快完善我国信息安全政策法规建设
一是进一步完善我国信息安全法律体系。适应新形势变化,制定新的信息安全法律,规范网络空间主体的权利和义务,尤其在打击网络犯罪、信息资源保护、信息资源和数据的跨国流动等方面加强立法,明确相关主体应当承担的法律责任和义务,逐步构建起信息安全立法框架。二是建立完善的信息安全监督管理制度体系。进一步加强信息安全等级保护工作,推进信息安全风险评估工作,建立有效的信息安全审查制度,对航空航天、石油石化、电力系统等重要领域中应用的核心技术和产品进行安全检查和风险评估。三是参考WTO规则制定我国信息安全行业管理规范。坚持政府引导,行业自律的原则,针对信息安全行业中个人隐私、恶意竞争等公众比较关注的问题,加强行业管理规范和行业自律准则的制定和实施,规范信息安全企业的行为。
2.加强我国信息安全保障体制机制建设
一是进一步加强网络与信息安全协调小组对我国网络安全的统一领导和协调职责,提高保障网络安全、应对网络犯罪、推动网络应用和宣传推广等工作的协调能力,加强信息安全工作体制机制建设,建立运转顺畅、协调有力、分工合理、责任明确的信息安全管理体制。二是逐步对各部委信息安全职能单位进行调整,打破现在各部门“分工负责、各司其职”的条块方式,依据十八大“稳步推进大部制改革”的指导精神,实现对信息安全部门的整合,成立“大信息安全机构”。三是成立国家级的信息安全支撑机构——中国信息安全研究院,整合各方信息安全支撑机构,打造集信息安全政策、法规、标准、技术、产业研究为一体的支撑团队,形成对信息安全领域重大问题、关键技术的持续研究能力,提高我国信息安全产业的核心竞争力。
3.推动关键信息基础设施安全保障工作
一是启动信息安全核心技术产品的安全检查工作。加强国外进口技术和产品,以及新技术、新产品和新业务的漏洞分析工作,提升安全隐患的发现能力,促进漏洞信息共享。建立进口重大信息技术、产品及服务的安全检测与审核制度,对进口技术和产品的安全进行风险评估。逐步实现核心技术产品的国产化替代,真正实现“以我为主,自主可控”。二是加强关键信息基础设施安全防护工作。进一步完善等级保护制度和标准,继续做好等级保护定级工作,根据系统等级和面临风险有针对性加强管理和技术防护。加强风险评估工作,做好系统测评、安全检查等,及时发现风险隐患,完善安全措施。三是重点保障工业控制系统安全。全面落实《关于加强工业控制系统信息安全管理的通知》,切实加强对重点领域工业控制系统的信息安全管理工作,完善和加强工业控制系统安全检查和测评工作。
4.全面提升新兴技术安全风险防护能力
一是加大对云计算、物联网、移动互联网、下一代互联网等新兴技术研发的资金投入,加强核心技术攻关,提高我国对新兴技术的掌控能力,形成拥有自主知识产权的安全产业链条。二是加快网络防护、入侵检测、身份管理等信息安全关键技术研发,并与新兴技术结合起来,提高新兴技术在应用过程的安全防护能力,如在基于PKI体系的电子认证技术基础上,研发应用于云计算、移动互联网等新兴技术上的身份管理等安全防护技术。三是建立新兴技术的信息安全预警机制,成立专门的机构对新兴技术的信息安全隐患进行分析和研究,并为公众提供相关技术的使用指南或标准,对于关键领域或部门则应出台强制性标准或规定,限制新兴技术的使用方式和范围,如国家应如何对掌控大量经济、地理等关键领域数据的企业进行管控,限制其对相关数据的使用权限和范围等。
五、结论
信息是社会发展的重要战略资源,也是衡量一个企业乃至国家的重要参数。在信息时代的今天人们对信息的依赖越来越高,因此信息安全就尤为地重要。网络环境下,企业在大力推进信息化建设、提升企业核心竞争力的同时,必须强化信息安全意识,认识到网络环境下企业信息可能遭到的安全隐患,从多方面进行有效管理以及合理运用技术、管理、制度和去律等进行全方位的考虑,建立一个综合性的防御安全体系,最大限度地降低企业信息有可能遭受的安全隐患,使得计算机技术在企业信息管理和运用中更好地发挥应有作用。
参考文献
[1]井鹏程,王真.计算机网络安全现状和防御技术分析[J].网络安全技术与应用,2017(03):60-61.
[2]朱骏.基于网络安全的计算机网络技术现状及发展研究[J].信息系统工程,2017(03):70-71.
[3]王剑.关于网络安全技术的现状分析及发展趋势探讨[J].数字通信世界,2016(05):32-33.
[4]艾戬.企业信息化建设中的信息安全探究[J].网络安全技术与应用,2015(3):100-101.
[5]吴捷.企业信息化建设中信息安全问题的研究[J].通讯世界,2016(1):247-248
[6]肖锟.浅议网络环境下的企业信息安全管理[J].标准科学,2010(8):20-23.
[7]李鹏.计算机网络技术在企业信息化过程中的应用[J].硅谷,2014(9):106-107.
[8]焦洪涛.中小企业信息安全管理策略研究[D].西安理工大学,2009.
[9]梁军.湖南电信公司内网信息安全体系建设的研究[J].湖南大学,2016(1):50-52.
[10]李慧.信息安全管理体系研究[D].西安电子科技大学,2014.
[11]徐新件,朱健华.关于企业网络信息安全管理问题研究[J].供电企业管理,2010(5):20-21.