淺談制造企業(yè)日常信息安全管理的必要性與對(duì)策

　　摘要：企業(yè)信息安全已經(jīng)成為企業(yè)經(jīng)營(yíng)成敗的重要內(nèi)容。文章以制造企業(yè)為研究對(duì)象，涉及企業(yè)員工日常行為應(yīng)注意的相關(guān)事項(xiàng)，剖析企業(yè)信息安全事故的原因，并提出解決信息安全的相應(yīng)對(duì)策。
　　關(guān)鍵詞：制造企業(yè)；日常行為；信息安全
　　
　　當(dāng)今時(shí)代，隨著市場(chǎng)經(jīng)濟(jì)和全球商業(yè)一體化發(fā)展，經(jīng)濟(jì)趨e（信息技術(shù)）化，信息的運(yùn)用成為關(guān)系企業(yè)經(jīng)營(yíng)成敗的重要因素。正因如此，技術(shù)信息的外流、個(gè)人信息的泄露、病毒和黑客網(wǎng)絡(luò)犯罪肆虐，使得信息安全問題已成為全球性的、亟待優(yōu)先處理的課題。
　　
　　一、信息安全的必要性
　　
　　伴隨著當(dāng)前信息化、社會(huì)化的發(fā)展，信息已經(jīng)成為一項(xiàng)重要的經(jīng)營(yíng)資源。由于電子化、網(wǎng)絡(luò)化的發(fā)展，人們可以將大量的數(shù)據(jù)簡(jiǎn)單地通過網(wǎng)絡(luò)發(fā)送，或者將大量的數(shù)據(jù)保存在一枚存儲(chǔ)卡上，攜帶出去。與此相對(duì)應(yīng)，竊取信息的誘因也增大，由于過失而導(dǎo)致信息泄露的可能性也增加了。同時(shí)，隨著人才的流動(dòng)不斷發(fā)展，公司的員工，因各種原因常會(huì)流動(dòng)到其它競(jìng)爭(zhēng)對(duì)手企業(yè)中去工作。另外，企業(yè)業(yè)務(wù)一體化的不斷發(fā)展，對(duì)外派遣員工成了企業(yè)常見的現(xiàn)象，與各種各樣的人共享信息以及和他們?cè)谕粓?chǎng)所工作的情況增加，從而可能發(fā)生各種信息資產(chǎn)的對(duì)外泄露，導(dǎo)致公司的商業(yè)信用喪失，大批客戶流失，無(wú)疑這對(duì)企業(yè)經(jīng)營(yíng)會(huì)造成重大的影響（參見圖1）。因此，不管是外在因素還是內(nèi)在因素，都增加了企業(yè)信息資產(chǎn)外流的風(fēng)險(xiǎn)，所以加強(qiáng)企業(yè)信息安全管理是必要的，迫在眉睫。
　　
　　
　　二、信息安全事故的原因
　　
　?。ㄒ唬?duì)信息價(jià)值的認(rèn)識(shí)存在著差距
　　1、由于對(duì)信息認(rèn)識(shí)的不足。外部惡意攻擊、木馬及病毒感染，這是被最多人所關(guān)注的信息安全問題，大部分人所認(rèn)為的信息安全問題其實(shí)也就是這個(gè)問題；內(nèi)部泄漏，這是被大多數(shù)人容易忽視的信息安全問題，因?yàn)檫@類威脅大部分不會(huì)造成數(shù)據(jù)的破壞，而是敏感信息的泄漏，所以也是最難防備的問題。
　　2、對(duì)個(gè)人信息保護(hù)意識(shí)的低下。S銀行的顧客數(shù)據(jù)，Q百貨商品的會(huì)員卡會(huì)員數(shù)據(jù)，Y網(wǎng)絡(luò)服務(wù)商的會(huì)員數(shù)據(jù)，這些個(gè)人信息竟然也成為T網(wǎng)站明碼標(biāo)價(jià)的商品，這給那些不法分子造成了可趁之機(jī)。據(jù)了解，犯罪分子根據(jù)不正當(dāng)?shù)耐緩降玫降男庞每?，?huì)員卡資料很容易制造出偽卡、偽證件，其背后是利潤(rùn)可觀的黑市。
　　
　?。ǘ┤瞬诺牧鲃?dòng)化
　　退職的從業(yè)人員從事競(jìng)爭(zhēng)對(duì)手企業(yè)的經(jīng)營(yíng)工作；退職的干部攜帶部下，到競(jìng)爭(zhēng)對(duì)手企業(yè)工作；公司管理人員跳槽到競(jìng)爭(zhēng)對(duì)手公司，將供應(yīng)商清單等攜帶出去等都會(huì)給公司的經(jīng)營(yíng)帶來及大的困難。
　　
　　（三）IT化的進(jìn)展
　　1、來自外部的非法侵入、盜聽。上世紀(jì)九十年代信息安全隱患主要集中在業(yè)余黑客不定期的無(wú)商業(yè)目的的侵害，如：散發(fā)病毒、涂改網(wǎng)站等。而如今已演變成帶有商業(yè)目的頻繁犯罪，如：竊取IP地址和身份信息等。因此，信息安全問題不僅僅是IT部門的技術(shù)風(fēng)險(xiǎn)，更是觸及到了業(yè)務(wù)生命線。
　　2、內(nèi)部人員對(duì)數(shù)據(jù)沒有處理好，對(duì)網(wǎng)絡(luò)的濫用、誤用。由于未將在公司內(nèi)使用的過PC機(jī)的硬盤上的數(shù)據(jù)刪去，有關(guān)內(nèi)容被轉(zhuǎn)售到二手市場(chǎng)中去，從而導(dǎo)致信息流出；將公司內(nèi)電腦攜帶到外部而導(dǎo)致遺失、被盜；電腦失竊時(shí)，與電腦本身的價(jià)值相比，在電腦中保存的信息的泄露所造成的損失更大；向公司內(nèi)部轉(zhuǎn)送帶有病毒的郵件，帶有病毒的郵件的轉(zhuǎn)送，并不是因?yàn)榘l(fā)送郵件者故意轉(zhuǎn)送，而且由于沒有更新病毒對(duì)策軟件，所以造成病毒被隨意地轉(zhuǎn)送。在這種的病毒中，有些是轉(zhuǎn)送電子文件的病毒，這不只是給對(duì)方添加麻煩，還將導(dǎo)致信息的泄露。
　　3、技術(shù)缺陷。由于認(rèn)識(shí)能力和技術(shù)發(fā)展的局限性，公司在硬件和軟件設(shè)計(jì)過程中，難免留下技術(shù)缺陷，由此可造成網(wǎng)絡(luò)的安全隱患。網(wǎng)絡(luò)硬件、軟件產(chǎn)品多數(shù)依靠進(jìn)口，如全球90%的微機(jī)都裝微軟的Windows操作系統(tǒng)，許多網(wǎng)絡(luò)黑客就是通過微軟操作系統(tǒng)的漏洞和后門而進(jìn)入公司網(wǎng)絡(luò)破壞重要數(shù)據(jù)，這方面的報(bào)道經(jīng)常見諸于報(bào)端。
　　
　　三、信息安全的對(duì)策
　　
　?。ㄒ唬┘訌?qiáng)信息安全教育，提高員工對(duì)信息安全的認(rèn)識(shí)
　　“信息安全就是經(jīng)營(yíng)質(zhì)量本身”，是非常重要的事項(xiàng)，也可以說是經(jīng)營(yíng)的根本。關(guān)于信息安全，有必要在各種各樣的局面中進(jìn)行教育，教育的對(duì)象，不只是針對(duì)公司員工，對(duì)于派遣員工以及外部作業(yè)者，同樣要進(jìn)行徹底的信息安全教育。教育是對(duì)全體員工的意識(shí)及風(fēng)氣進(jìn)行改革，提高員工的信息安全意識(shí)。
　　
　?。ǘ┨峤槐Ｊ貦C(jī)密誓約書
　　員工在進(jìn)入公司、晉升以及退職時(shí)，必須提交誓約書。其目的在于：再次徹底貫徹保守機(jī)密的重要性。必要時(shí)能通過法律的手段來追究泄密員工的行為，維護(hù)公司的利益。
　　
　　（三）保護(hù)好個(gè)人信息安全
　　個(gè)人信息是客戶和員工托管的重要信息，需慎重的處理，如果因?yàn)楸I竊、散失等導(dǎo)致個(gè)人信息泄露，將會(huì)造成重大不良后果，從而失去信信任度。怎么保護(hù)好個(gè)人信息安全呢？首先，要正確理解個(gè)人信息，在本公司工作的所有人的相關(guān)個(gè)人信息，不管其是否與本公司業(yè)務(wù)直接相關(guān)，只要在某一過程中，公司獲取了個(gè)人信息，就必須像對(duì)待客戶一樣加以管理；其次，要管理好個(gè)人信息，確保安全，可以采取如下措施：客戶個(gè)人信息保管在帶鎖的柜子里，并限定可打開的柜子的人數(shù)，記錄日志，實(shí)行電子化、設(shè)定開啟密碼等，發(fā)送郵件時(shí)要仔細(xì)檢查，確保地址準(zhǔn)確無(wú)誤，以免把個(gè)人信息錯(cuò)發(fā)給他人；最后，對(duì)于個(gè)人信息廢棄處理時(shí)要確保徹底，對(duì)于紙質(zhì)媒質(zhì)，要用碎紙機(jī)作破碎處理，對(duì)于電子媒質(zhì)，要把數(shù)據(jù)徹底清除干凈。總之對(duì)于個(gè)人信息，從獲取到廢棄，在整個(gè)生命周期中，都有必要進(jìn)行嚴(yán)格的處理。
　　
　　（四）利用網(wǎng)絡(luò)、以及電子化信息時(shí)的注意點(diǎn)
　　公司應(yīng)對(duì)下列行為做出明確規(guī)范，作為公司管理規(guī)章的一部分。（1）不要擅自從公司直接連接到外部網(wǎng)絡(luò)中去，也不要隨意撥號(hào)上網(wǎng)。如果擅自進(jìn)行連接，就有可能出現(xiàn)病毒侵入的情況，成為黑客的切入口；（2）將防止病毒軟件更新為最新版，每天都有新的病毒種類出現(xiàn)。如果感染上的話，就會(huì)給公司的業(yè)務(wù)帶來障礙，除了將公司的信息泄露出去之外，還會(huì)向公司外的人發(fā)送病毒，給別人增添麻煩；（3）INTERNET出入口設(shè)置硬件放火墻，安裝硬件防火墻，只開放企業(yè)內(nèi)部應(yīng)用所需要用防火墻將企業(yè)的局域網(wǎng)（Intranet）與互聯(lián)網(wǎng)之間進(jìn)行隔離。防火墻軟件應(yīng)及時(shí)升級(jí)，同時(shí)經(jīng)常掃描整個(gè)內(nèi)部網(wǎng)絡(luò)，以發(fā)現(xiàn)任何安全隱患并及時(shí)更改，做到有備無(wú)患；（4）由于在公司的電腦上保存有公司的信息，原則上禁止攜帶外出。在業(yè)務(wù)上，不得不攜帶外出時(shí)，應(yīng)遵守規(guī)定的規(guī)則簽訂有關(guān)協(xié)議；（5）原則上，請(qǐng)不要將數(shù)據(jù)保存在電腦上，而是保存在服務(wù)器上；（6）不應(yīng)該只是將數(shù)據(jù)刪除在垃圾箱中，還有必要對(duì)其進(jìn)行物理性的破壞，或者使用專用軟件完全地加以刪除，使之無(wú)法復(fù)原。
　　
　?。ㄎ澹┤粘Ｐ袨橹械男畔踩⒁恻c(diǎn)
　　不管你是有意識(shí)還是無(wú)意識(shí)的，信息也很可能會(huì)從你的日常的行為中泄露出去。因此要養(yǎng)成好的習(xí)慣，以免從日常生活中泄露公司信息。（1）在公司會(huì)客廳里與來訪客人會(huì)面，在進(jìn)入工作單位（職場(chǎng)）時(shí)，一定陪同行動(dòng)。對(duì)于搬運(yùn)業(yè)者，請(qǐng)不要讓其進(jìn)入工作單位，而在指定的場(chǎng)所接收所搬運(yùn)的物品；（2）雖然回收再利用是很重要的，但是不應(yīng)該使用機(jī)密文件及限定公開對(duì)象的文件的背面來書寫；（3）在會(huì)議室里，有時(shí)上一次會(huì)議的記載內(nèi)容還留在寫字板上。特別是對(duì)寫字板的背面，也要加以注意；（4）復(fù)印的原件一定要收回，打印完畢之后，應(yīng)該立即去??；（5）在餐飲店及電車?yán)镎f話時(shí)要加以注意。特別是在喝了酒之后，精神容易放松，聲音也變得大起來了，像這種場(chǎng)所，是調(diào)查公司收集信息的場(chǎng)所。
　　
　?。?duì)公司管理者的期望
　　管理者應(yīng)重視信息安全，以身作則，自覺遵守公司信息安全規(guī)章制度，負(fù)責(zé)公司信息安全的推進(jìn)與實(shí)施。對(duì)從業(yè)人員徹底地進(jìn)行教育，防止事故于未然。在接收到事故報(bào)告時(shí)，應(yīng)立即進(jìn)行適當(dāng)?shù)奶幚?，并向公司上一?jí)信息安全推進(jìn)負(fù)責(zé)人報(bào)告。作為管理者要強(qiáng)化信息安全的應(yīng)用管理，信息安全就是經(jīng)營(yíng)質(zhì)量本身，“認(rèn)識(shí)的不足”、“覺得麻煩的心態(tài)”是致命傷，都會(huì)給公司經(jīng)營(yíng)帶來困難。信息安全管理者應(yīng)對(duì)所有員工的信息安全意識(shí)、風(fēng)氣進(jìn)行改革負(fù)責(zé)，以使公司信息安全達(dá)到國(guó)家、國(guó)際標(biāo)準(zhǔn)。
　　總之，一套完善、合理的信息安全策略對(duì)于企業(yè)信息安全管理必定是益處多多。通過為企業(yè)的每一個(gè)人提供基本的規(guī)則、指南、定義，從而在組織中建立一套信息資源保護(hù)標(biāo)準(zhǔn)，防止員工不安全行為的引入風(fēng)險(xiǎn)。安全策略也為企業(yè)進(jìn)一步制定控制規(guī)則、安全程序等奠定了必要的基礎(chǔ)。信息安全策略還能夠幫助信息管理部門在信息安全事件中減輕應(yīng)承擔(dān)的責(zé)任，提高信息安全保障，與企業(yè)的日常實(shí)踐息息相關(guān)的。
　　
　　參考文獻(xiàn)：
　　1、林東岱.企業(yè)信息系統(tǒng)安全：威協(xié)與對(duì)策[M]．電子工業(yè)