導語：制造型企業信息安全論文一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

一、制造型企業信息安全的現狀

(一)信息安全組織臨時化

通常,制造型企業只有在發生了信息泄露、病毒攻擊、系統破壞等信息安全事件時,才會臨時從信息技術部和業務部門抽調人手處理和解決信息安全事件.出現新的信息安全要求時,才會臨時組建項目小組,根據新的信息安全要求制定解決方案并實施計劃,項目完成后,臨時小組就會解散,沒有人會繼續跟進和執行解決方案.由于沒有定期的信息安全評估,安全計劃不斷地重復開始和結束,帶來大量的人財物重復投入,這將導致安全計劃成本不斷增加,企業的工作效率不斷降低,信息安全防護也未得到有效提升.

(二)員工上網無限制

雖然制造型企業為員工上網提供了用戶名及密碼,并且對其登錄的網站進行了監測,但是員工在工作時間還是可以無設防地利用外網進行網頁游覽、網絡社交等行為,并且使用一些網站的免費郵箱隨意地接收和發送電子郵件,這些給黑客、病毒、釣魚軟件等創造了對企業內部網絡攻擊的機會.于是,員工在不了解原因的情況下,使得企業的信息被泄露或者內部網絡癱瘓,從而影響企業的正常工作,造成企業資產的損失.

(三)個人移動設備(BYOD)使用泛濫

在制造型企業的辦公場合,員工會攜帶個人移動設備(BYOD)如筆記本電腦、平板電腦、智能手機、移動硬盤等進行辦公.企業員工可以較為隨意地使用這些移動存儲設備對內部文件進行拷貝,并且可以使用移動設備接入企業內網的無線WiGFi,并擁有一定程度的內網數據讀取權限,這樣做雖然節約了企業的辦公成本,提高了辦公的效率,但是也增加了企業內網病毒感染及遭受黑客惡意入侵的風險.

(四)信息安全防護水平有限

出于性能、技術等因素的考慮,加之國內自主研發的信息安全產品較少,目前進口的信息安全產品受到許多制造型企業的廣泛采用.盡管這些企業的信息安全需求以此得到了滿足,但近幾年來,進口產品設備故障的頻繁發生也對制造型企業的業務帶來了不同程度的影響.同時,進口信息安全產品已經占據了這些企業信息系統的關鍵節點,這使得企業的商業機密時刻處于高危狀態.不僅如此,部分制造型企業仍舊停留在使用免費的個人版殺毒軟件階段,而這些軟件不僅無法解決病毒交叉感染的問題,也沒有統一的管理平臺對企業內網的安全系統進行統一的升級與維護.另外,信息安全產品在企業內的無序堆疊不僅使得各安全產品存在兼容性問題,同時也使得各產品廠商只能提供與自己產品有關的技術支持,導致企業對問題很難進行跟蹤和排查.最后,企業電腦終端上的防毒程序未開啟或者未升級至最新版本,以及系統漏洞修補的不及時都造成了多病毒大面積入侵企業內網.

(五)信息安全事件處理不及時

制造型企業在發生信息安全事件時,即使有相關的信息安全管理產品,但無法迅速定位安全事件,更無法快速進行安全事件響應處理,常處于混亂、無序的運維管理狀態.由于企業的安全管理人員無法全面了解整個企業網絡中正在發生的內部越權訪問和外部攻擊,出現問題時,他們多表現得無從下手或者手忙腳亂.而且,企業各部門各自為政,對發生信息安全事件無法進行統一規范的快速處理.

二、制造型企業信息安全薄弱的原因

(一)員工信息安全意識淡薄

制造型企業員工信息安全意識比較淡薄,主要表現為企業管理層沒有充分認識到信息安全的重要性,沒有將信息安全管理工作與企業生產安全管理工作放在同等重要的高度來對待,更沒有把它作為日常管理工作的一部分.管理層之所以沒有信息安全意識主要是因為信息安全不會直接為企業帶來經濟效益,反而需要投入大量的時間和資源,尤其是對于受部門業績壓力和資源限制的業務部門來說,他們不愿意把時間和資源放在信息安全防護工作上,并且他們還認為不采取安全防護措施不一定會造成損失.普通員工則表現在他們不了解什么信息安全,不知道遵守和執行信息安全制度對自己及企業帶來的影響,缺少必要的信息安全教育與培訓,有意或無意地導致信息安全事件的發生.

(二)信息安全技術體系不完善

信息安全防護水平受到限制除了受上述因素影響外,還有就是沒有完善的物理安全、運行安全和數據安全相統一的信息安全技術體系,具體體現在企業使用的軟件設計存在缺陷或者技術漏洞、殺毒軟件不及時更新;信息系統設計沒有以風險評估為基礎、業務流程描述錯誤或漏洞、數據訪問權限設置不清晰、關鍵數據沒有備份等因素;物理安全邊界不明確、設備或存儲介質缺乏安全措施、電纜損壞、不可抗力的自然災害等.

(三)信息安全事件應急響應機制缺失

信息安全事件處理不及時很大程度上是因為沒有建立信息安全事件應急響應機制.制造型企業沒有對信息安全事件進行分級響應與處置,也沒有結合企業的實際情況通過預測、評估和分析安全事件對企業造成的后果程度進行等級劃分,并針對不同的安全事件制定相應的應急預案.同時,大部分制造型企業在處理信息安全事件時更多依靠的是人的經驗和責任心,缺少標準化的信息安全事件處理流程,以及必要的審核和工具支撐.

三、改進制造型企業信息安全的對策

通過上述分析可知,信息安全問題不僅出現在技術方面,還更多地出現在管理方面.因此,為了保障企業的業務持續運行,加強企業的股東、客戶以及服務提供商對企業信息安全的信任,增強企業的核心競爭能力,制造型企業可以將管理、技術和運維三方面有效地結合起來,促進企業的可持續發展.

(一)建立健全的信息安全組織層級結構

企業信息安全組織架構的建立是圍繞企業信息安全管理的戰略目標,對企業的信息資源、人力資源、安全技術產品等進行合理安排和配置,構成相互協作的有機整體,使企業的信息安全活動協調有效地運行.制造型企業通過建立多層次、跨部門的信息安全決策委員會、信息安全工作部、信息安全執行部的層級結構,不僅能在企業中形成一張網,覆蓋企業的各個部門,有利于信息安全措施的實施和針對信息安全事件的快速響應,而且還能為后續建立信息安全管理體系提供組織上的保證.信息安全決策委員會主要負責制定信息安全制度和策略、明確各部門信息安全職責、協調各部門實施信息安全控制措施以及信息安全活動的實施等.信息安全工作部由各部門負責信息安全管理的工作人員構成,實施決策委員會制定的信息安全策略、制度和方針,并負責各部門的信息安全管理工作.信息安全執行部具體有三個部門,即信息安全規劃部、信息安全監督審計部、信息安全運行保障部,并且由各部門進行業務支撐。

(二)加強人員教育培訓和規范管理

信息安全最大的威脅不是來自于企業外部的攻擊或是企業信息安全技術的缺陷,而是企業人員缺乏信息安全意識.為了能夠有效地提高企業員工的信息安全意識,企業需要對員工進行完善的信息安全教育培訓,這不僅能提高員工的信息安全保護技能,還能更好地保護企業的信息安全.制造型企業在制定信息安全教育培訓內容時,可以根據員工在企業中所處的職位高低和工作性質的不同有針對性地制定.對于企業管理者而言,教育培訓以信息安全核心知識、風險管理、信息安全政策等為主;企業的信息技術人員,則是以信息安全技術教育培訓為主;一般員工結合所在部門的業務特點以信息安全意識培訓為主.除了對企業的人員進行教育培訓,還需對其進行規范化管理.對掌握產品生產、原材料采購等核心信息的管理者實施更加嚴格的信息安全監督管理制度;對負責計算機系統及日常維護的人員界定其工作權限;規范化管理員工的上網行為,合理利用網絡資源,避免人為的網絡安全隱患.同時在規范管理中引入績效考核機制,這樣不僅使信息安全管理的指標量化,而且,通過信息安全監督審計工作組對員工信息安全工作進行考核,使員工更加重視企業信息安全.因此,加強企業員工的教育培訓和規范化管理,不僅可以營造企業信息安全文化氛圍,還可以約束員工的行為,減少人為因素導致的信息安全事件發生.

(三)完善信息安全技術體系

信息安全技術是企業信息安全的保障,完善的信息安全技術體系可以防止由于技術因素導致的信息安全漏洞,避免給外部攻擊者留下可乘之機,從而減少技術因素導致的信息安全事件發生.制造型企業需從以下六個方面去建立完善的信息安全技術體系,并采用“適度防御”的原則,選擇合適的安全技術與產品,形成企業適用的安全技術防線.一是保障并完善數據安全,制造型企業需通過加密的手段保護企業系統中數據的機密性和完整性,從而提高數據訪問的抗抵賴性,同時加強數據的異地災難恢復機制,實現本地數據的實時遠程復制與備份,避免本地系統遭受災難性破壞導致企業系統中數據的遺失.二是保障并完善終端安全,制造型企業除了要采用全面可靠的防病毒體系和防火墻技術外,還需制定嚴格的移動終端設備使用制度,一方面是為了避免內部員工利用移動終端設備隨意拷貝企業內部文件,導致企業內部信息向外泄露,另一方面是為了防止移動終端設備攜帶的病毒漏過企業系統設置的防火墻而直接在系統內部傳播.三是保障和完善應用安全,除了提供用戶名和口令外其他身份驗證機制,必要時還需支持雙因素認證和具備登錄控制模塊,同時在日常工作不受影響的情況下,控制員工訪問權限,減少越權操作的現象,最大限度地保障個人系統的安全.四是保障和完善網絡安全,制造型企業還需通過內外部署相應的網絡與信息安全設施使計算機設備的物理管理得到加強,并對入侵檢測系統和漏洞掃描系統進行內外部攻擊和誤操作的實時保護的安全設計,使系統免于網絡攻擊的同時,也提升了系統管理人員的安全管理水平.五是保障主機安全,除了采用系統掃描技術對操作系統層設備和系統進行智能化檢測來幫助網絡管理人員高效地完成定期檢測和操作系統安全漏洞修復的工作,還應采用系統實時入侵探測技術來監控主機系統事件,檢測攻擊的可疑特征,并給予響應和處理.六是保證物理安全,制造型企業需要保證機房與設施的安全,針對環境的物理災害、自然災害和人為的蓄意破壞采取安全措施,并通過防盜、防毀、防電磁干擾來保證設備的安全.

(四)建立信息安全事件應急響應機制

由于信息安全事件會給制造型企業造成巨大的損失,因此作為補救性質的信息安全事件應急響應機制的建立就是必不可少的.信息安全事件應急響應機制是指在信息安全事件的發生之前企業對各種可能情況所做的全部準備和在信息安全事件發生后所采取的相應措施的方法和過程,其目的是為了使企業盡可能地減少信息安全事件帶來的損失.制造型企業應首先在信息安全運行保障部中創建信息安全事件應急響應中心,中心成員由企業內部的管理者、計算機和網絡等方面的技術專家共同組成,并聯合外部技術支持企業,針對企業的信息安全事件進行應急響應,及時地處理信息安全事件,使企業的風險和損失最小.其次是制定標準的信息安全事件應急響應的措施與流程,要求應急響應中心進行規范化的管理和運作,并且建立及時精確的信息安全事件上報體系.最后還需建立信息安全事件應急響應案件庫,目的是為了實現對事件處理過程的備案和綜合查詢,幫助企業在處理事件時查找歷史處理記錄和流程,從而縮短應急響應的時間.制造型企業信息安全事件應急響應處理的具體流程是:首先,對信息安全事件進行封鎖,為避免信息安全事件的擴散,應關閉其與網絡的連接;其次,為緩解信息安全事件帶來的影響,應采取相應措施,保障系統的正常運行;再次,根據安全記錄日志或當前實時監控和審計的結果進行分析與判斷,采取措施消除信息安全事件,然后對系統進行恢復,讓受侵害的業務系統、應用、數據庫等恢復到正常的運行狀態;最后,對系統恢復后的安全狀況進行追蹤,對現有的一些處理流程進行重新評估,并修改不適宜的環節。

作者:朱思然吳小艷單位:武漢理工大學