導(dǎo)語(yǔ)：嚴(yán)格實(shí)施安全策略保障信息化管理論文一文來(lái)源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢(xún)客服老師，歡迎參考。

編者按：本文主要從信息安全的含義；企業(yè)管理中信息安全的需求；制定信息安全策略；結(jié)語(yǔ)進(jìn)行論述。其中，主要包括：管理實(shí)現(xiàn)代化、網(wǎng)絡(luò)化、信息化已迫在眉睫，勢(shì)在必行、信息社會(huì)的安全問(wèn)題不僅涉及到個(gè)人權(quán)益、企業(yè)生存、金融風(fēng)險(xiǎn)防范、社會(huì)穩(wěn)定和國(guó)家安全、運(yùn)行系統(tǒng)的安全、系統(tǒng)信息的安全、企業(yè)現(xiàn)代化的運(yùn)作和管理是依賴(lài)于企業(yè)的網(wǎng)絡(luò)和國(guó)際互聯(lián)網(wǎng)、對(duì)人的安全需求、對(duì)應(yīng)用系統(tǒng)的安全需求、對(duì)數(shù)據(jù)的安全需求、信息安全不只是網(wǎng)絡(luò)保護(hù)問(wèn)題，而應(yīng)該是能夠幫助企業(yè)實(shí)現(xiàn)業(yè)務(wù)目標(biāo)的一整套技術(shù)手段和措施、要保護(hù)的對(duì)象、判斷系統(tǒng)保護(hù)應(yīng)該針對(duì)哪些人、數(shù)據(jù)安全的考慮、備份、文檔存儲(chǔ)和數(shù)據(jù)處理等，具體請(qǐng)?jiān)斠?jiàn)。

[摘要]：隨著信息化建設(shè)的不斷推進(jìn)，信息系統(tǒng)已經(jīng)成為企業(yè)和政府經(jīng)營(yíng)管理的核心組成部分，管理實(shí)現(xiàn)信息化提高了工作效率和工作質(zhì)量，但同時(shí)我們也意識(shí)到信息安全問(wèn)題直接威脅著管理本身的正常開(kāi)，信息安全與防范成為信息化管理必須引起關(guān)注的問(wèn)題。

[關(guān)鍵詞]：信息系統(tǒng)安全管理

隨著信息技術(shù)以其驚人的發(fā)展速度向社會(huì)各個(gè)領(lǐng)域滲透，高效、便利與快捷的優(yōu)勢(shì)已不言而喻，管理實(shí)現(xiàn)代化、網(wǎng)絡(luò)化、信息化已迫在眉睫，勢(shì)在必行。然而，信息技術(shù)是一把“雙刃劍”，在計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)為檔案管理提供便利的同時(shí)，其自身的脆弱性、技術(shù)的壟斷性以及人為破壞等因素，又威脅到信息的安全，因而在信息化管理過(guò)程中，針對(duì)信息安全存在的威脅，有著高度警惕的思想和有效防范的措施。

一、信息安全的含義

信息社會(huì)的安全問(wèn)題不僅涉及到個(gè)人權(quán)益、企業(yè)生存、金融風(fēng)險(xiǎn)防范、社會(huì)穩(wěn)定和國(guó)家安全，甚至關(guān)系到環(huán)境安全、生態(tài)安全和人類(lèi)安全。它是物理安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、信息內(nèi)容安全、信息基礎(chǔ)設(shè)施安全與公共、國(guó)家信息安全的總和，是一個(gè)多層次、多因素、多目標(biāo)的復(fù)合系統(tǒng)。現(xiàn)代信息安全主要包括兩個(gè)方面的含義，即運(yùn)行系統(tǒng)的安全和系統(tǒng)信息的安全。

1、運(yùn)行系統(tǒng)的安全

運(yùn)行系統(tǒng)的安全，包括嚴(yán)格而科學(xué)的管理，如對(duì)信息網(wǎng)絡(luò)系統(tǒng)的組織管理、監(jiān)督檢查，規(guī)章制度的建立、落實(shí)與完善，管理人員的責(zé)任心、預(yù)見(jiàn)性、警惕性、使命感等;法律、政策的保護(hù)，如用戶(hù)是否有合法權(quán)利，政策是否允許等;物理控制安全，如機(jī)房加鎖、線(xiàn)路安全、環(huán)境適宜等:硬件運(yùn)行安全;操作系統(tǒng)安全，如數(shù)據(jù)文件是否保護(hù)等;災(zāi)害、的避免和解除;防止電磁信息泄漏等。

2、系統(tǒng)信息的安全，包括:用戶(hù)口令鑒別;用戶(hù)存取權(quán)限控制;數(shù)據(jù)存取權(quán)限、方式控制、審計(jì)跟蹤、數(shù)據(jù)加密等。從要素來(lái)看，信息安全是過(guò)程、政策、標(biāo)準(zhǔn)、管理、指導(dǎo)、監(jiān)控、法規(guī)、培訓(xùn)和工具技術(shù)的有機(jī)總和。信息安全問(wèn)題主要依靠密碼、數(shù)字簽名、身份認(rèn)證、防火墻、安全審計(jì)、災(zāi)難恢復(fù)、防病毒、防黑客入侵等安全機(jī)制加以解決。

二、企業(yè)管理中信息安全的需求

企業(yè)現(xiàn)代化的運(yùn)作和管理是依賴(lài)于企業(yè)的網(wǎng)絡(luò)和國(guó)際互聯(lián)網(wǎng)。信息化給企業(yè)管理帶來(lái)的是高效的運(yùn)作和對(duì)外信息的交換等的極大好處。信息系統(tǒng)的應(yīng)用都依賴(lài)與網(wǎng)絡(luò)，這就會(huì)有許多安全間題需要解決，歸納起來(lái)主要有以下一些安全問(wèn)題需要解決。

1、對(duì)人的安全需求

管理的對(duì)象是人，人是信息安全面臨的最大風(fēng)險(xiǎn)，人的思想和情緒是最為復(fù)雜的，員工有的可能利用公司的網(wǎng)絡(luò)開(kāi)些小玩笑，甚至破壞。如傳出至關(guān)重要的信息、錯(cuò)誤地進(jìn)入數(shù)據(jù)庫(kù)、刪除數(shù)據(jù)等等。這些都將給企業(yè)的正常運(yùn)作和管理造成極大的安全風(fēng)險(xiǎn)。

對(duì)于不滿(mǎn)公司的內(nèi)部管理人員如果把內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)、管理員用戶(hù)名及口令以及企業(yè)信息系統(tǒng)的一些重要信息傳播給外人帶來(lái)信息泄漏風(fēng)險(xiǎn)，甚至是商業(yè)和法律的風(fēng)險(xiǎn)。

還有如果存在不適當(dāng)?shù)男畔⑾到y(tǒng)授權(quán)，會(huì)導(dǎo)致未經(jīng)授權(quán)的人獲取不適當(dāng)?shù)男畔ⅰ２僮魇д`或疏忽會(huì)導(dǎo)致信息系統(tǒng)的錯(cuò)誤動(dòng)作或產(chǎn)生垃圾信息;惡意篡改數(shù)據(jù)、修改系統(tǒng)時(shí)間、修改系統(tǒng)配置、惡意導(dǎo)入或刪除信息系統(tǒng)的數(shù)據(jù)，可能導(dǎo)致重大經(jīng)濟(jì)案件的發(fā)生。有令不行、有禁不止等人為因素形成的風(fēng)險(xiǎn)，是信息化管理中最主要的安全問(wèn)題。

2、對(duì)應(yīng)用系統(tǒng)的安全需求

應(yīng)用系統(tǒng)的安全涉及很多方面。應(yīng)用系統(tǒng)是動(dòng)態(tài)的、不斷變化的，應(yīng)用的安全性也動(dòng)態(tài)。這就需要我們對(duì)不同的應(yīng)用，采取相應(yīng)的安全措施，降低應(yīng)用的安全風(fēng)險(xiǎn)。

如果在企業(yè)的管理系統(tǒng)中沒(méi)有考慮必要的安全模塊的設(shè)計(jì)，或安全設(shè)計(jì)存在缺陷，都會(huì)導(dǎo)致管理系統(tǒng)安全免疫能力不足。沒(méi)有完善、嚴(yán)格的安全系統(tǒng)管理機(jī)制，會(huì)導(dǎo)致機(jī)房管理、口令管理、授權(quán)管理、用戶(hù)管理、服務(wù)器管理、網(wǎng)絡(luò)管理、備份管理、病毒管理等方面出現(xiàn)問(wèn)題，輕則產(chǎn)生垃圾信息，重則發(fā)生系統(tǒng)中斷、信息被非法獲取。

當(dāng)前企業(yè)的管理系統(tǒng)己是一個(gè)龐大的網(wǎng)絡(luò)化系統(tǒng)，在網(wǎng)絡(luò)內(nèi)存在眾多的中小型機(jī)、服務(wù)器、前置機(jī)、路由器、終端設(shè)備，也包括數(shù)據(jù)庫(kù)、操作系統(tǒng)、中間件、應(yīng)用系統(tǒng)等軟件系統(tǒng)。網(wǎng)絡(luò)中的任何一個(gè)環(huán)節(jié)均可能出現(xiàn)故障，一旦出現(xiàn)故障便有可能造成系統(tǒng)中斷，將會(huì)影響到整個(gè)企業(yè)的管理和運(yùn)作。

3、對(duì)數(shù)據(jù)的安全需求

對(duì)于企業(yè)的管理和運(yùn)作，最為寶貴的財(cái)富就是數(shù)據(jù)。要保證系統(tǒng)穩(wěn)定可靠地運(yùn)行，就要保護(hù)基于計(jì)算機(jī)的信息，也就是存儲(chǔ)在計(jì)算機(jī)內(nèi)的數(shù)據(jù)。雖然，計(jì)算機(jī)技術(shù)的發(fā)展給人們的日常生活提供了很多便利，然而，人為的操作錯(cuò)誤，系統(tǒng)軟件或應(yīng)用軟件的缺陷、硬件的損毀、電腦病毒、黑客攻擊、自然災(zāi)難等等諸多因素都有可能造成計(jì)算機(jī)中數(shù)據(jù)的丟失，從而給企業(yè)造成無(wú)可估量的損失。此時(shí)，最關(guān)鍵的問(wèn)題在于如何盡快恢復(fù)計(jì)算機(jī)系統(tǒng)，使其能正常運(yùn)行。

三、制定信息安全策略

信息安全不是網(wǎng)絡(luò)安全，如果將注意力過(guò)多地集中在網(wǎng)絡(luò)層，往往會(huì)掩蓋信息安全更加本質(zhì)的內(nèi)涵，信息安全不只是網(wǎng)絡(luò)保護(hù)問(wèn)題，而應(yīng)該是能夠幫助企業(yè)實(shí)現(xiàn)業(yè)務(wù)目標(biāo)的一整套技術(shù)手段和措施。信息安全是通過(guò)制定實(shí)施一整套適當(dāng)?shù)?a href="http://www.uv63h8.cn/lunwen/xinzhen/guanl/201005/361004.html" target="_blank">安全策略實(shí)現(xiàn)的。必須建立起一整套的安全策略，確保滿(mǎn)足企業(yè)管理的安全目標(biāo)。

要制定一組最優(yōu)的信息安全策略主要的要素包括如下幾個(gè)方面：

1.要保護(hù)的對(duì)象

Ø硬件和軟件

硬件和軟件是支持企業(yè)運(yùn)作和管理進(jìn)行的平臺(tái)，它們應(yīng)該有策略保護(hù)。所以，擁有一份完整的系統(tǒng)軟件硬件清單是非常重要的，這當(dāng)中應(yīng)該包括一張網(wǎng)絡(luò)圖。有很多方法來(lái)生成這份清單和網(wǎng)絡(luò)圖，無(wú)論用什么方法，必須確定所有東西都被記錄了。

Ø非信息類(lèi)資源

清單和策略一樣，不僅僅和軟硬有關(guān)。既應(yīng)該有文檔來(lái)記錄程序、硬件、系統(tǒng)和本地管理過(guò)程，也應(yīng)該有文檔描述技術(shù)業(yè)務(wù)過(guò)程的方方面面。后者可以包括公司業(yè)務(wù)如何運(yùn)作等信息，也可以展示易受攻擊的區(qū)域。

同樣的，清單應(yīng)該包括所有的正式打印表格，印有公司名字頁(yè)眉的信紙以及其它帶有官方名稱(chēng)的材料。一個(gè)使用公司空白支票和正式信紙的人可以假冒公司的官員，進(jìn)而盜用資金甚至損壞公司名譽(yù)。所以，必須把這些物品包括在清單里面，以使策略能夠保護(hù)這些資產(chǎn)。

Ø記錄人力資源

最重要和最昂貴的資源是人力資源，這些人操作和維護(hù)那些清單上記錄的物品。

2.判斷系統(tǒng)保護(hù)應(yīng)該針對(duì)哪些人

定義訪(fǎng)問(wèn)是了解每個(gè)系統(tǒng)和網(wǎng)絡(luò)組件如何被訪(fǎng)問(wèn)的過(guò)程。明白了信息資源是如何被訪(fǎng)問(wèn)的，就能夠確定策略應(yīng)該集中在誰(shuí)身上。對(duì)于數(shù)據(jù)訪(fǎng)問(wèn)來(lái)說(shuō)，有以下幾個(gè)需要考慮到的方面:

a)對(duì)信息或資源的授權(quán)和未授權(quán)訪(fǎng)問(wèn):

b)無(wú)意或者未授權(quán)的信息泄密;

c)執(zhí)行程序概要:

d)漏洞和用戶(hù)錯(cuò)誤。

3、數(shù)據(jù)安全的考慮

我們使用計(jì)算機(jī)和網(wǎng)絡(luò)所作的每一件事情都造成了數(shù)據(jù)的流動(dòng)和使用。所有的公司、組織和政府機(jī)構(gòu)，不論它們從事什么工作，都在收集和使用數(shù)據(jù)。即使是制造商的操作也離不開(kāi)關(guān)鍵數(shù)據(jù)的處理，包括定價(jià)、車(chē)間自動(dòng)化和存貨清單控制。由于數(shù)據(jù)的重要性，所以定義策略的時(shí)候，了解數(shù)據(jù)的使用和結(jié)構(gòu)是編寫(xiě)安全策略的基本要求。

4、備份、文檔存儲(chǔ)和數(shù)據(jù)處理

把數(shù)據(jù)備份到外部站點(diǎn)或者其它介質(zhì)上，有關(guān)這方面的策略和在線(xiàn)訪(fǎng)問(wèn)信息策略是同樣重要的。備份數(shù)據(jù)可以包括財(cái)政信息、客戶(hù)往來(lái)記錄甚至當(dāng)前業(yè)務(wù)過(guò)程的拷貝。備份策略需要考慮的情況的包括:數(shù)據(jù)如何存檔，在準(zhǔn)備丟棄數(shù)據(jù)的時(shí)候應(yīng)該作些什么。

上述組成要素最基本的。隨著信息環(huán)境的變化、網(wǎng)絡(luò)技術(shù)的更新、組織業(yè)務(wù)的變更，我們可以增加新的要素。總之，組織制定出的信息安全策略要達(dá)到控制安全保護(hù)措施的實(shí)施的目的。

四、結(jié)語(yǔ)

信息的安全問(wèn)題是一個(gè)動(dòng)態(tài)和相對(duì)的問(wèn)題，信息安全的管理必須制定適當(dāng)?shù)陌踩呗圆?yán)格實(shí)施，才能為管理工作實(shí)現(xiàn)信息化提供信息安全保障。

參考文獻(xiàn)

[1]趙戰(zhàn)生，信息安全保障技術(shù)發(fā)展—?jiǎng)討B(tài)與印象，中科院信息安全國(guó)家重點(diǎn)實(shí)驗(yàn)室會(huì)議報(bào)告，2001年

[2]胡呂振、李貴濤，面向21世紀(jì)網(wǎng)絡(luò)安全與保護(hù)[M]，北京，希望電子出版社，1999年

[3]劉蔭銘,李金海，計(jì)算機(jī)安全技術(shù)[M]，北京，清華大學(xué)出版社，2000年

[4]孫卓然，信息安全工程與管理[M]，北京，人民郵電出版社，2003年