探討信息安全保障的常見策略及發(fā)展

摘 要：計算機的應(yīng)用已逐步滲透進(jìn)企業(yè)的辦公當(dāng)中，并逐漸成為關(guān)鍵的辦公手段，然而正是這種應(yīng)用的高效率發(fā)展促使企業(yè)面臨諸多的信息安全問題。如何正確的為信息安全提供保障，認(rèn)識威脅信息安全的方式是本文討論的重點。

關(guān)鍵詞：信息安全 網(wǎng)絡(luò) 管理 保障機制

中圖分類號：C931.6 文獻(xiàn)標(biāo)識碼：A 文章編號：1672-3791（2013）07（a）-0011-02

隨著科學(xué)技術(shù)的不斷進(jìn)步，計算機的應(yīng)用已逐步代替原有的辦公方式而被所有的企業(yè)所廣泛應(yīng)用。計算機進(jìn)入到企業(yè)當(dāng)中，為企業(yè)減少了人力物力的浪費，減少了人工辦公所產(chǎn)生的不必要的失誤，也為工作提升了效率。在信息存儲的過程中也可以實現(xiàn)無紙化的信息存儲模式，以取代大量資料的實物化存儲導(dǎo)致的資料丟失和資料磨損，不易檢索等的問題?？梢哉f，網(wǎng)絡(luò)和計算機的普及為企業(yè)的發(fā)展提高了效率，但隨之而來的信息安全問題也被提升到了一個新的高度。信息安全保障體系的建立也成為企業(yè)關(guān)注的角點，保障信息的安全對于企業(yè)來說早已成為企業(yè)經(jīng)營管理當(dāng)中的一個重要組成部分。企業(yè)的信息是企業(yè)業(yè)務(wù)開展和維護(hù)的基礎(chǔ)，如果企業(yè)信息存在著威脅的話，可能導(dǎo)致企業(yè)業(yè)務(wù)信息的流失和企業(yè)業(yè)務(wù)的持續(xù)性面臨重大的損失。當(dāng)然，對于制造業(yè)來說，企業(yè)信息的安全受到威脅的話，可能導(dǎo)致新開發(fā)的產(chǎn)品被人模仿而失去了企業(yè)在市場競爭中的優(yōu)勢，喪失了企業(yè)本應(yīng)該有的競爭力。所以，在制造業(yè)的企業(yè)經(jīng)營管理當(dāng)中，構(gòu)建信息安全保障體系變得更加重要。本文將從兩方面對于信息安全進(jìn)行論述，首先是找出威脅信息安全的常見因素，然后根據(jù)威脅的因素提出常見的維護(hù)策略。

1 威脅信息安全的常見因素

在威脅信息安全的常見因素里，進(jìn)行劃分，根據(jù)其應(yīng)用存儲的特性我們可以將其劃分為管理信息安全的威脅和網(wǎng)絡(luò)信息安全的威脅兩個方面。

1.1 管理信息安全的威脅

其實，管理信息安全的劃分是基于網(wǎng)絡(luò)的。除去網(wǎng)絡(luò)因素的影響，其他方面的安全就都可以歸于管理信息安全。而管理信息安全在信息安全當(dāng)中是非常重要的。從各種關(guān)于信息安全的數(shù)據(jù)當(dāng)中可以知道，在管理信息安全中所存在的威脅比例已占到信息安全威脅的70%，而網(wǎng)絡(luò)信息安全存在的威脅則只占到信息安全威脅的30%。正所謂“三分靠技術(shù)，七分靠管理”，可以想象管理信息安全的重要性。在管理信息安全的威脅當(dāng)中也可以將威脅劃分為兩個方面，物理層方面的信息安全威脅和管理層方面的信息安全威脅。

（1）物理層方面的信息安全威脅。

物理層方面的信息安全主要是包括合同資料檔案存儲的安全、機房建設(shè)管理的安全、企業(yè)環(huán)境安全以及物理安全控制等幾個方面。物理層方面的信息安全其實就是企業(yè)信息安全構(gòu)筑的基礎(chǔ)，對于物理層方面的信息安全存在的威脅，大致包括自然災(zāi)害對信息安全構(gòu)成的威脅，機房建設(shè)之初系統(tǒng)設(shè)置的不全面和后期管理人員操作和管理的不規(guī)范，機房環(huán)境存在不利因素，機房管理制度不夠完善，以及防火防盜安全工作的關(guān)注力度、執(zhí)行力度和管理力度不夠等方面。

（2）管理層方面的信息安全威脅。

管理層方面的信息安全威脅與物理層方面信息安全的管理是分不開的，它主要是指企業(yè)對企業(yè)內(nèi)部員工在信息安全上的管理。其中包括信息安全的管理制度建立，企業(yè)內(nèi)部員工信息安全培訓(xùn)，企業(yè)內(nèi)部員工在人員和部門間合理的組織規(guī)劃，信息安全技術(shù)人員的技術(shù)含量等。在這幾個方面所存在的問題是構(gòu)筑信息安全應(yīng)該重點關(guān)注的問題，信息安全管理制度的不完善，企業(yè)內(nèi)部高層對于信息安全管理的認(rèn)識不夠，企業(yè)內(nèi)部員工沒有對信息安全產(chǎn)生足夠的認(rèn)識，對于企業(yè)內(nèi)部機密沒有做到保密的態(tài)度，各部門的分工不明確，信息安全的技術(shù)人員技術(shù)能力不夠等都是管理層因為管理的不完善而導(dǎo)致的信息安全威脅。

1.2 網(wǎng)絡(luò)信息安全的威脅

在網(wǎng)絡(luò)信息安全中也可以大致分成三個部分，網(wǎng)絡(luò)層的信息安全，系統(tǒng)層的信息安全以及應(yīng)用層的信息安全。

（1）網(wǎng)絡(luò)層的信息安全。

主要是包括網(wǎng)絡(luò)上的信息以及設(shè)備的安全性能。其中可細(xì)化為網(wǎng)絡(luò)層身份的認(rèn)證，系統(tǒng)的安全，信息數(shù)據(jù)傳輸過程中的保密性，真實性和完整性以及網(wǎng)絡(luò)資源的訪問控制等。而這些網(wǎng)絡(luò)層的信息安全出現(xiàn)問題，可能導(dǎo)致有網(wǎng)絡(luò)黑客的侵入，計算機犯罪，信息丟失，信息竊取等威脅的存在。

（2）系統(tǒng)層的信息安全。

造成系統(tǒng)層信息安全威脅的原因，可能出在兩個方面：一是操作系統(tǒng)本身就存在安全隱患；二是在配置操作系統(tǒng)的過程中存在配置缺失的問題。

（3）應(yīng)用層的信息安全。

在應(yīng)用層所產(chǎn)生的影響信息安全的問題上，基本上是指應(yīng)用軟件以及一些業(yè)務(wù)往來數(shù)據(jù)的安全，例如即時通訊系統(tǒng)和電子郵件等。當(dāng)然，也包括一些病毒的入侵，對系統(tǒng)所造成的威脅。

2 信息安全維護(hù)的常見策略

根據(jù)上面所敘述的在信息安全管理維護(hù)中存在的安全隱患，可以將其進(jìn)行有效的總結(jié)從而提出正確的解決、維護(hù)策略。

2.1 管理信息安全維護(hù)的常見策略

（1）物理層方面信息安全維護(hù)的常見策略。

根據(jù)上面所列明的關(guān)于物理層存在的問題，可以歸結(jié)為兩個方面：環(huán)境安全和機房建設(shè)管理安全。

①環(huán)境安全，可以分為防火安全，防水安全，自然災(zāi)害安全和物理安全等。企業(yè)應(yīng)該有效的對這方面災(zāi)害進(jìn)行防護(hù)和部署。

②機房建設(shè)管理安全，主要是指對設(shè)備安放環(huán)境進(jìn)行嚴(yán)密的規(guī)劃以達(dá)到有效保護(hù)。在機房建設(shè)上必須要盡量的避免腐蝕性和易燃易爆物品的存在，將機房建設(shè)在安全的地方。機房的設(shè)計上必須能夠做到防火防水等，以免造成機房內(nèi)設(shè)備的損壞。設(shè)計機房電源時必須使用不間斷電源保證電源電壓的穩(wěn)定，以防止突然斷電對機房內(nèi)設(shè)備造成的損害。

（2）管理層方面信息安全維護(hù)的常見策略。

其實，管理層的信息安全主要就是指企業(yè)內(nèi)部人員管理的安全。在一個企業(yè)當(dāng)中必須要有一個完善的信息安全管理機制，這是企業(yè)發(fā)展的必然。所以在企業(yè)管理當(dāng)中，必須首先要在管理層明確信息安全管理的重要性，要具備信息安全管理所應(yīng)該具備的態(tài)度。其次則要建立一個信息安全管理的目標(biāo)，一套完整的信息安全管理制度。在整個企業(yè)管理當(dāng)中要有一個總的信息安全管理制度，其次在信息技術(shù)人員管理當(dāng)中也要有自己的信息安全管理制度，其次是IT部門和其他的一些部門都要具備適合的管理制度，形成信息集成化的管理模式。

之后要在企業(yè)內(nèi)部員工心中形成信息安全的意識，在保密協(xié)議的簽署上做好完善的規(guī)劃，在企業(yè)內(nèi)部員工關(guān)于信息安全的培訓(xùn)也應(yīng)該有計劃的進(jìn)行階段性的教育以增加員工對于信息安全觀念的確立。

最后，應(yīng)該將各部門的分工進(jìn)行明確，不要將整個工作流程都分配給一個部門，這樣可能會導(dǎo)致出問題時會影響到整個企業(yè)的運營。應(yīng)該將各工作流程細(xì)化進(jìn)行分工，以保證一方出問題不影響全局，并可以進(jìn)行針對性的處理，減少麻煩，加快工作效率。

2.2 網(wǎng)絡(luò)信息安全維護(hù)的常見策略

通過上面對于網(wǎng)絡(luò)信息安全威脅的敘述，我們已經(jīng)了解在網(wǎng)絡(luò)信息安全當(dāng)中會出現(xiàn)的問題。對此，本段將重點講述在網(wǎng)絡(luò)信息安全維護(hù)中幾個常見的策略。

（1）防火墻防御策略。

對于防火墻的認(rèn)知應(yīng)該是每個企業(yè)所具備的，它可以有效的將一些危險性的信息進(jìn)行過濾隔離，從而保證計算機系統(tǒng)的正常運行。對于防火墻要進(jìn)行安全方案的配置，通過防火墻中心的統(tǒng)一安全控制（口令、加密、身份認(rèn)證等）進(jìn)行管理，不需要分散到各個機器上去管理。所以對于管理防火墻中心的技術(shù)人員的技術(shù)含量一定要做到可以勝任。

（2）密碼的防御作用。

無論是在中心控制機房還是各個員工所用的計算機上，都應(yīng)該設(shè)有密碼，并且密碼應(yīng)具備復(fù)雜特性，如字母、數(shù)字、特殊符號的組合等，通過強密碼的設(shè)立能夠有效的防范人為行為的信息丟失和信息失真情況。

（3）入侵監(jiān)測系統(tǒng)的防御策略。

入侵監(jiān)測系統(tǒng)可以說是防火墻系統(tǒng)的后續(xù)支持，它可以有效的對于網(wǎng)絡(luò)活動中信息進(jìn)行監(jiān)測。它具有主動的行為，可以主動的對自己進(jìn)行免受攻擊的保護(hù)。與防火墻相配合，使企業(yè)網(wǎng)絡(luò)能夠具備強大的防御功能。

（4）設(shè)立自己的虛擬專用網(wǎng)的管理策略。

構(gòu)建自己的虛擬專用網(wǎng)可以有效的增加網(wǎng)絡(luò)的防御功能，并且能夠規(guī)范化企業(yè)內(nèi)部員工的工作，避免員工工作中無意義的網(wǎng)絡(luò)閑聊，也可以有效的阻止信息的外泄。

（5）病毒的入侵防御策略。

也許企業(yè)內(nèi)部可以有效的通過殺毒軟件來保證企業(yè)網(wǎng)絡(luò)系統(tǒng)的操作安全。但員工在運用向U盤之類的東西就可能將其他計算機上的病毒帶到企業(yè)內(nèi)的計算機上造成病毒的入侵。對此，企業(yè)應(yīng)該加強對員工信息安全的教育，以保證員工對于信息安全嚴(yán)重性的了解。IT部門的人員也應(yīng)該定期對員工計算機進(jìn)行檢測，以確保計算機不受病毒侵害。

3 結(jié)語

信息安全已經(jīng)成為社會上關(guān)注的話題，如何保住企業(yè)獨有的核心機密，保證信息的有效性和完整性成為企業(yè)關(guān)注的焦點。本文通過對于威脅信息安全的問題進(jìn)行分析，并提出企業(yè)構(gòu)建信息安全保障機制的常見策略以保證企業(yè)在信息安全方面可以做到長足發(fā)展。

參考文獻(xiàn)

[1] 吳昱.淺析信息安全保障體系[J].江西通訊科技，2012（3）.

[2] 張杰，梁旭輝.關(guān)于企業(yè)信息安全保障體系建設(shè)的探索[J].科技創(chuàng)新與應(yīng)用，2012（9）.

[3] 張金輝，王衛(wèi)，侯磊.信息安全保障體系建設(shè)研究[J].計算機安全，2012（8）.