大數(shù)據(jù)背景下企業(yè)信息安全管理體系的構(gòu)建研究

劉真真 曹湛江

中圖分類號(hào)：F273 文獻(xiàn)標(biāo)識(shí)：A 文章編號(hào)：1674-1145（2019）12-133-01

摘 要 科技的發(fā)展帶動(dòng)了企業(yè)生產(chǎn)方式的革新，同時(shí)帶來(lái)了越來(lái)越多的安全威脅。本文通過(guò)對(duì)信息安全面臨的威脅進(jìn)行分析，構(gòu)建切實(shí)可行的安全防護(hù)管理體系。

關(guān)鍵詞 大數(shù)據(jù) 企業(yè)信息安全 管理體系

隨著信息技術(shù)在企業(yè)生產(chǎn)經(jīng)營(yíng)管理中的廣泛應(yīng)用，產(chǎn)生了大量的信息數(shù)據(jù)，如何在大數(shù)據(jù)時(shí)代下合理應(yīng)對(duì)越來(lái)越多的安全威脅，需要引起企業(yè)的高度重視。

一、信息數(shù)據(jù)安全管理的目標(biāo)與范圍

（一）信息數(shù)據(jù)安全管理的目標(biāo)

信息數(shù)據(jù)安全管理的主要目標(biāo)是實(shí)現(xiàn)企業(yè)生產(chǎn)運(yùn)營(yíng)的各個(gè)環(huán)節(jié)之間的數(shù)據(jù)的安全存儲(chǔ)、處理和傳輸，及時(shí)解決內(nèi)部存在的信息安全隱患，防范來(lái)自外部的安全威脅。

（二）信息數(shù)據(jù)安全管理的范圍

企業(yè)信息數(shù)據(jù)的安全管理需要根據(jù)信息數(shù)據(jù)使用過(guò)程進(jìn)行全面合理的管控，主要包括對(duì)數(shù)據(jù)采集過(guò)程、網(wǎng)絡(luò)傳輸過(guò)程、數(shù)據(jù)處理過(guò)程和數(shù)據(jù)應(yīng)用過(guò)程的安全管理，需要企業(yè)的各業(yè)務(wù)管理部門對(duì)信息數(shù)據(jù)的安全性進(jìn)行全面的監(jiān)控和管理，使安全管理意識(shí)和規(guī)章滲透到運(yùn)營(yíng)發(fā)展的各個(gè)環(huán)節(jié)[1]。

二、企業(yè)信息面臨的威脅

（一）利用系統(tǒng)漏洞和網(wǎng)絡(luò)設(shè)計(jì)缺陷進(jìn)行入侵

在企業(yè)信息系統(tǒng)的設(shè)計(jì)中往往存在著漏洞和相關(guān)的設(shè)計(jì)缺陷，同時(shí)隨著科技的進(jìn)步，安全威脅手段也在變化，使其更容易找到安全漏洞，對(duì)信息系統(tǒng)進(jìn)行入侵。而對(duì)信息系統(tǒng)的管理方面的忽視，使得出現(xiàn)的系統(tǒng)漏洞得不到及時(shí)的發(fā)現(xiàn)和修復(fù)，導(dǎo)致了安全威脅的加劇。同時(shí)當(dāng)前的網(wǎng)絡(luò)通訊協(xié)議缺乏有效的安全設(shè)計(jì)和更新，無(wú)法應(yīng)對(duì)新的安全威脅的形成。

（二）通過(guò)病毒/木馬進(jìn)行非法入侵

網(wǎng)絡(luò)的發(fā)展使得越來(lái)越多的人和設(shè)備接入到互聯(lián)網(wǎng)中，而網(wǎng)絡(luò)中的病毒和木馬也在逐漸增多，能夠通過(guò)不同的渠道對(duì)企業(yè)的信息系統(tǒng)進(jìn)行入侵，而且隨著安全措施的升級(jí)進(jìn)行著實(shí)時(shí)的變異，不容易被殺毒軟件發(fā)現(xiàn)和處理，對(duì)企業(yè)信息安全將產(chǎn)生嚴(yán)重的威脅。

（三）人為數(shù)據(jù)泄露

企業(yè)的安全威脅大多數(shù)來(lái)自于企業(yè)內(nèi)部員工的不當(dāng)操作，工作人員安全意識(shí)的缺乏使得數(shù)據(jù)信息容易在操作或網(wǎng)絡(luò)傳輸中泄露，或者形成安全漏洞，容易導(dǎo)致信息被惡意竊取，造成企業(yè)數(shù)據(jù)的安全性受到威脅，特別是企業(yè)商業(yè)秘密信息的泄露，將會(huì)對(duì)企業(yè)的生存和發(fā)展產(chǎn)生嚴(yán)重的影響，涉及國(guó)家秘密的將會(huì)使國(guó)家安全和利益遭受一定程度的損害。

三、大數(shù)據(jù)環(huán)境下企業(yè)信息安全管理體系的構(gòu)建

（一）大數(shù)據(jù)安全管理

企業(yè)的信息化生產(chǎn)經(jīng)營(yíng)必然會(huì)產(chǎn)生大量的信息數(shù)據(jù)，對(duì)大數(shù)據(jù)的安全管理是整體系統(tǒng)安全運(yùn)行的基礎(chǔ)，這就需要在大量數(shù)據(jù)中及時(shí)發(fā)現(xiàn)和處理威脅，將數(shù)據(jù)安全隱患及時(shí)排查?？梢詰?yīng)用大數(shù)據(jù)技術(shù)，提高數(shù)據(jù)的處理效率，對(duì)數(shù)據(jù)進(jìn)行及時(shí)的識(shí)別和分析，準(zhǔn)確找到問(wèn)題數(shù)據(jù)，對(duì)其進(jìn)行分析，從而找到安全威脅的根源，保證數(shù)據(jù)的整體安全性[2]。

（二）身份安全管理

企業(yè)的信息化體系有設(shè)備、應(yīng)用和操作人員共同組成，各個(gè)部分都要通過(guò)網(wǎng)絡(luò)與系統(tǒng)連接，而這些部分的安全性會(huì)影響系統(tǒng)的整體安全。這就需要對(duì)系統(tǒng)運(yùn)行的各個(gè)部分進(jìn)行嚴(yán)格的身份安全認(rèn)證，對(duì)接入請(qǐng)求進(jìn)行嚴(yán)格的篩選和識(shí)別，授予相應(yīng)的權(quán)限，并對(duì)接入途徑進(jìn)行加密處理，防止偽造身份后竊取身份的情況發(fā)生。同時(shí)要進(jìn)行及時(shí)的權(quán)限和身份巡查，保證接入系統(tǒng)身份的安全性。

（三）內(nèi)容安全管理

對(duì)系統(tǒng)操作日志進(jìn)行全面的實(shí)時(shí)監(jiān)控，對(duì)出現(xiàn)的信息傳輸操作進(jìn)行嚴(yán)格的信息內(nèi)容的審查，確保傳輸?shù)男畔⒉淮嬖谛姑芑虬踩┒?，?duì)發(fā)現(xiàn)的內(nèi)容問(wèn)題及時(shí)處理和分析，找到問(wèn)題出現(xiàn)的源頭。

（四）網(wǎng)絡(luò)安全管理

大量的數(shù)據(jù)需要經(jīng)過(guò)網(wǎng)絡(luò)進(jìn)行傳輸，而網(wǎng)絡(luò)環(huán)境的復(fù)雜，導(dǎo)致了企業(yè)信息系統(tǒng)受到威脅大大增多，這就需要對(duì)網(wǎng)絡(luò)的安全性進(jìn)行改進(jìn)，強(qiáng)化網(wǎng)絡(luò)設(shè)施的安全性管理，同時(shí)對(duì)網(wǎng)絡(luò)的運(yùn)行狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)控，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)安全隱患。

（五）設(shè)備安全管理

設(shè)備的安全性管理是信息化系統(tǒng)安全管理的重要環(huán)節(jié)，需要對(duì)生產(chǎn)經(jīng)營(yíng)管理中的信息設(shè)備和存儲(chǔ)設(shè)備進(jìn)行嚴(yán)格的網(wǎng)絡(luò)接入認(rèn)證，保證設(shè)備的合法性，同時(shí)要對(duì)設(shè)備的安全維護(hù)工作進(jìn)行規(guī)定，及時(shí)進(jìn)行安全隱患的排查工作，保證設(shè)備的安全運(yùn)行。

（六）動(dòng)態(tài)安全防護(hù)策略管理

為適應(yīng)網(wǎng)絡(luò)世界快速發(fā)展的復(fù)雜環(huán)境，需要信息安全管理工作能夠做到實(shí)時(shí)動(dòng)態(tài)的全面安全防護(hù)，對(duì)信息系統(tǒng)的軟硬件設(shè)備、操作系統(tǒng)、應(yīng)用軟件和網(wǎng)絡(luò)環(huán)境進(jìn)行動(dòng)態(tài)監(jiān)控，構(gòu)建堅(jiān)實(shí)的網(wǎng)絡(luò)防線，杜絕外界威脅。同時(shí)要建立實(shí)時(shí)監(jiān)測(cè)機(jī)制，及時(shí)發(fā)現(xiàn)安全隱患，并對(duì)安全隱患進(jìn)行及時(shí)處理，對(duì)產(chǎn)生的破壞能夠進(jìn)行及時(shí)的恢復(fù)。

（七）人員管理

企業(yè)的安全運(yùn)營(yíng)需要大量的員工進(jìn)行安全防護(hù)工作，其安全意識(shí)就成為影響系統(tǒng)安全的重要因素，需要對(duì)系統(tǒng)管理人員和操作人員的安全意識(shí)進(jìn)行培訓(xùn)，進(jìn)行實(shí)時(shí)考核，對(duì)存在問(wèn)題的員工進(jìn)行針對(duì)性的培訓(xùn)和相應(yīng)的處罰，提高工作人員的安全觀念。同時(shí)要制定詳盡的安全操作規(guī)范，防止操作問(wèn)題帶來(lái)的安全隱患，根據(jù)生產(chǎn)經(jīng)營(yíng)的具體情況對(duì)相關(guān)人員的權(quán)限進(jìn)行及時(shí)調(diào)整和更新。

四、結(jié)語(yǔ)

隨著企業(yè)的不斷發(fā)展壯大，企業(yè)的信息安全已經(jīng)成為影響其生存發(fā)展的重要因素，信息安全管理體系的科學(xué)構(gòu)建，能夠有效提高企業(yè)生產(chǎn)運(yùn)營(yíng)的整體安全，保證企業(yè)的安全發(fā)展。

參考文獻(xiàn)：

[1]陳柯明.大數(shù)據(jù)時(shí)代下計(jì)算機(jī)網(wǎng)絡(luò)信息安全現(xiàn)狀及對(duì)策研究[J].無(wú)線互聯(lián)科技，2019.

[2]萬(wàn)大醒.大數(shù)據(jù)時(shí)代下計(jì)算機(jī)網(wǎng)絡(luò)信息安全問(wèn)題研究[J].電腦知識(shí)與技術(shù)，2019.