1.信息安全現(xiàn)狀

　　1.1 我們身邊的信息化

　　在當(dāng)今科技時(shí)代中，信息是一個(gè)國(guó)家最重要的資源之一。對(duì)于企業(yè)也是如此，所以許多企業(yè)建立了信息辦公系統(tǒng)、企業(yè)網(wǎng)站等。無(wú)論是生活，還是科研與生產(chǎn)，在我們身邊信息無(wú)處不在。信息可能是被記錄在紙上，也可能是存貯在磁盤或其他介質(zhì)中，我們可能以信件或電子郵件的方式交流，或者在展示、介紹、交談中提到�？傊�，信息無(wú)處不在，這是一個(gè)信息化的時(shí)代。

　　1.2 信息化出現(xiàn)的問(wèn)題

　　然而，人們?cè)诒M情享受信息化時(shí)代帶來(lái)的便利的時(shí)候，也同時(shí)遭受信息的安全問(wèn)題的困擾。有資料顯示，我國(guó)的計(jì)算機(jī)犯罪增長(zhǎng)速度，遠(yuǎn)遠(yuǎn)超過(guò)了傳統(tǒng)犯罪的增長(zhǎng)速度，近幾年犯罪涉及的經(jīng)濟(jì)數(shù)額達(dá)十幾億。不僅如此，技術(shù)成果信息的流失，使得一些本來(lái)發(fā)展順利的高新技術(shù)企業(yè)瀕臨倒閉或不得不頻繁重組。所以，信息安全是政府和企業(yè)必須攜手面對(duì)的問(wèn)題。信息安全包括信息的保密性、完整性和有效性。信息安全治理通過(guò)實(shí)施一整套控制措施達(dá)到保護(hù)信息安全的目的。

　　1.3 信息安全的憂慮

　　信息作為一種不被外人知曉的內(nèi)容，也是一種財(cái)產(chǎn)。因此，企業(yè)必須要像保護(hù)自己的財(cái)產(chǎn)一樣對(duì)信息加以保護(hù)，不讓外人所得和避免丟失。然而在實(shí)際生活中，許多企業(yè)對(duì)信息的保護(hù)意識(shí)極為淡薄。

　　在我國(guó)機(jī)床行業(yè)中，特別是一些鑄造鍛壓企業(yè)中，絕大多數(shù)企業(yè)沒(méi)有信息安全負(fù)責(zé)人，許多部門都可以對(duì)外交流，信息發(fā)布渠道混亂，主要表現(xiàn)有：

　�。�1）絕大數(shù)企業(yè)缺乏信息化建設(shè)整體規(guī)劃，特別是在信息安全方面屬于空白，比較好的企業(yè)也只是僅限于起草一份安全保護(hù)制度，在計(jì)算機(jī)信息化建設(shè)中也只是建立了網(wǎng)絡(luò)防火墻和購(gòu)買幾套防病毒軟件，對(duì)于企業(yè)內(nèi)部的安全隱患沒(méi)有充分的認(rèn)識(shí)；如某些企業(yè)在信息化建設(shè)中，缺少安全意識(shí)，集網(wǎng)絡(luò)管理、信息管理、機(jī)房管理于一身，導(dǎo)致企業(yè)技術(shù)成果紛紛流失，給企業(yè)帶來(lái)重大損失。

　�。�2）企業(yè)信息安全意識(shí)淡薄，沒(méi)有專門的信息安全負(fù)責(zé)人，技術(shù)資料可以隨意拷貝復(fù)制，知識(shí)產(chǎn)權(quán)得不到保護(hù)，特別是一些新產(chǎn)品研發(fā)項(xiàng)目；

　�。�3）對(duì)外發(fā)布信息沒(méi)有統(tǒng)一的審查部門，機(jī)密資料、敏感數(shù)據(jù)頻頻對(duì)外公布；

　　（4）企業(yè)之間合作信息在企業(yè)內(nèi)部不能及時(shí)更新和共享；

　�。�5）信息備份制度不完善，重要機(jī)密資料隨著人員的更替、部門轉(zhuǎn)換不斷丟失；

　　（6）沒(méi)有網(wǎng)絡(luò)安全管理崗位，安全區(qū)域的選擇沒(méi)有充分考慮必要的管理措施,企業(yè)內(nèi)部物理安全界限劃定不明確甚至沒(méi)有劃分,不安全人員隨處可侵入；

　�。�7）眾多企業(yè)的辦公室和接待室設(shè)為一處，外來(lái)人員與內(nèi)部人員使用同一復(fù)印機(jī)、傳真機(jī)，敏感資料唾手可得。還有些企業(yè)的敏感部門、新產(chǎn)品研發(fā)部門、機(jī)密資料管理室都標(biāo)有明顯標(biāo)志，且在區(qū)域布置上坐落在外來(lái)人員必經(jīng)之處，甚至作為企業(yè)宣傳的窗口對(duì)外炫耀；

　�。�8）計(jì)算機(jī)網(wǎng)絡(luò)沒(méi)有安全防護(hù),弱口令頻繁使用,無(wú)線網(wǎng)絡(luò)沒(méi)有安全設(shè)置,網(wǎng)絡(luò)資源共享帶來(lái)潛在危害。

　　2.信息安全治理

　　2.1 信息安全治理的概念

　　在前面提到，信息安全治理是通過(guò)實(shí)施一整套控制措施達(dá)到保護(hù)信息安全的目的，即使有價(jià)值的信息不被遺失、濫用、泄露或者損害。對(duì)大部分企業(yè)來(lái)說(shuō)，滿足安全目標(biāo)必須做到：

　　信息的可用性：保證經(jīng)授權(quán)的用戶在需要時(shí)可訪問(wèn)到信息，并保證提供信息的系統(tǒng)能適當(dāng)?shù)爻惺芄�擊和在被擊敗時(shí)能迅速恢復(fù)，這包括組織系統(tǒng)和計(jì)算機(jī)系統(tǒng)；

　　信息的保密性：確保信息只能被得到授權(quán)的人訪問(wèn)。無(wú)論是組織系統(tǒng)還是計(jì)算機(jī)系統(tǒng)，信息的訪問(wèn)必須得到嚴(yán)格的控制，明確劃分不同級(jí)別人員獲得不同信息的范圍；

　　信息的完整性：確保信息的正確性和完整性，未經(jīng)授權(quán)，信息不能被修改；

　　信息的真實(shí)性和不可否認(rèn)性：確保組織之間或組織與合作伙伴間的商業(yè)交易和信息交換是可信賴的。信息安全因素包括物理安全、網(wǎng)絡(luò)安全、文化安全。企業(yè)在制定信息安全控制措施時(shí)不應(yīng)忽視任何一個(gè)方面，簡(jiǎn)單意義上的物理防范，或網(wǎng)絡(luò)安全的建設(shè)等都是不全面和不完整的。面對(duì)不斷變化的技術(shù)環(huán)境和市場(chǎng)環(huán)境，即使在今天是最好的安全控制措施，到了明天也有可能變得不適用。因此安全控制措施必須緊跟市場(chǎng)和技術(shù)的發(fā)展，要把安全策略的更新作為企業(yè)信息系統(tǒng)開(kāi)發(fā)生命周期過(guò)程整體的一部分加以考慮。有效的安全策略需要主動(dòng)及時(shí)的實(shí)施和更新，并將其制度化。

　　2.2 信息安全策略的制定過(guò)程

　　企業(yè)信息安全策略屬于企業(yè)安全策略的一部分，從制定到實(shí)施分為三個(gè)階段，分析階段、制定階段和執(zhí)行階段。在這三個(gè)階段中企業(yè)與信息安全相關(guān)的6 個(gè)主要活動(dòng)是：

　　策略制定: 信息安全策略是描述程序目標(biāo)的高層計(jì)劃，根據(jù)企業(yè)信息安全目標(biāo)，制定安全策略；角色和責(zé)任: 確保企業(yè)中的每個(gè)人清楚知道和理解各自（在信息系統(tǒng)中）的角色、責(zé)任和權(quán)力；設(shè)計(jì)：開(kāi)發(fā)由標(biāo)準(zhǔn)、評(píng)測(cè)措施、實(shí)務(wù)和規(guī)程組成的安全與控制框架；

　　實(shí)施：企業(yè)內(nèi)部實(shí)施與推廣信息管理系統(tǒng)，并適時(shí)更新安全策略；

　　控制：建立并不斷完善控制措施，查明安全隱患，并確保其得到改正；

　　安全教育策略與機(jī)制: 為了保證系統(tǒng)安全的成功和有效，企業(yè)高層應(yīng)安排對(duì)各級(jí)管理人員、技術(shù)人員、用戶進(jìn)行安全培訓(xùn)，宣貫保護(hù)信息的必要性，提供安全運(yùn)作信息系統(tǒng)所需技巧。

　　2.3 信息安全團(tuán)隊(duì)的建設(shè)

　　在過(guò)去，信息安全經(jīng)常被看作只是一個(gè)技術(shù)問(wèn)題，所以，治理和管理安全提升的責(zé)任被限制在技術(shù)人員中。但是現(xiàn)在信息安全越來(lái)越成為企業(yè)業(yè)務(wù)成功的關(guān)鍵因素。企業(yè)最高管理層和執(zhí)行管理層越來(lái)越重視信息安全工作，他們關(guān)注的核心是安全性將如何幫助企業(yè)達(dá)到業(yè)務(wù)目標(biāo)或創(chuàng)造新的戰(zhàn)略競(jìng)爭(zhēng)機(jī)遇，而不僅僅是具體的技術(shù)環(huán)節(jié)。所以說(shuō)，有效的信息安全控制系統(tǒng)，三分靠技術(shù)，七分靠管理，沒(méi)有管理就沒(méi)有安全，“沒(méi)有安全的工程就是豆腐渣工程”（中國(guó)工程院徐匡迪語(yǔ)）。信息安全策略的實(shí)施需要一個(gè)團(tuán)隊(duì)的協(xié)同工作，以保證所制定的策略、規(guī)程全面并切合實(shí)際、能得到有效實(shí)施和不斷更新。

　　信息安全團(tuán)隊(duì)?wèi)?yīng)當(dāng)由企業(yè)決策者、管理者、計(jì)算機(jī)專家，以及信息、通信、安全和網(wǎng)絡(luò)技術(shù)等方面的專家組成，必要時(shí)聘請(qǐng)其他企業(yè)或組織的專家加入。

　　他們是來(lái)自企業(yè)不同部門不同專業(yè)的人員，從而保證了不同部門之間不同專業(yè)人員之間的聯(lián)系和協(xié)商渠道的暢通。信息安全團(tuán)隊(duì)的工作目標(biāo)就是能夠?qū)π畔�安全事件做出及時(shí)、快速、準(zhǔn)確的響應(yīng)，確定并及時(shí)排除突發(fā)事件，使其服務(wù)對(duì)象的風(fēng)險(xiǎn)或損失最小化。為了保證信息安全團(tuán)隊(duì)的工作能夠落到實(shí)處，企業(yè)應(yīng)該建立專門的有實(shí)權(quán)的信息管理部門，能夠跨部門協(xié)調(diào)工作。該信息管理部門不僅僅是要協(xié)調(diào)信息安全團(tuán)隊(duì)的工作，其主要職能是在企業(yè)高層的直接領(lǐng)導(dǎo)下，從企業(yè)效益最大化的角度出發(fā)，研究和規(guī)劃企業(yè)信息化的遠(yuǎn)景任務(wù)和目標(biāo)；分析現(xiàn)有的企業(yè)管理和經(jīng)營(yíng)模式、組織機(jī)構(gòu)和業(yè)務(wù)流程是否適應(yīng)企業(yè)信息化的要求，如果不適應(yīng)，提出調(diào)整、變革、優(yōu)化和重組的建議；協(xié)調(diào)各部門信息化工作關(guān)系；監(jiān)督和評(píng)估企業(yè)信息化項(xiàng)目的實(shí)施進(jìn)度和完成情況。

　　企業(yè)信息管理部門的設(shè)立以及信息安全團(tuán)隊(duì)的建設(shè)、信息安全策略自頂向下的設(shè)計(jì)步驟，使得指導(dǎo)方針的貫徹、過(guò)程的處理、工作的有效性成為可能。

　　在信息安全策略制定、團(tuán)隊(duì)建設(shè)完成之后，企業(yè)就要正式啟動(dòng)安全策略。安全策略的啟動(dòng)主要包括啟動(dòng)安全策略、安全架構(gòu)指導(dǎo)、時(shí)間反映過(guò)程、可接受的應(yīng)用策略、系統(tǒng)管理過(guò)程、其他管理過(guò)程（圖1）。

圖1 安全策略計(jì)劃框架圖

　　啟動(dòng)安全策略：解釋策略文檔的設(shè)計(jì)目的，以及組織性和過(guò)程狀態(tài)描述。

　　安全架構(gòu)指導(dǎo)：指在風(fēng)險(xiǎn)評(píng)估過(guò)程中對(duì)發(fā)現(xiàn)威脅所采取的對(duì)策。它確保了安全計(jì)劃設(shè)計(jì)的合理性、審核與有效控制。

　　事件響應(yīng)過(guò)程：在出現(xiàn)緊急情況時(shí)的呼叫對(duì)象，按照什么樣的順序進(jìn)行呼叫，是事件反映過(guò)程處理的一部分。

　　可接受的應(yīng)用策略：信息網(wǎng)絡(luò)安全策略的啟動(dòng)將引出各種各樣的應(yīng)用策略。其數(shù)量和類型依賴于當(dāng)前商務(wù)需求分析、風(fēng)險(xiǎn)評(píng)估與企業(yè)文化。

　　系統(tǒng)管理過(guò)程：說(shuō)明信息如何訪問(wèn)、標(biāo)記、處理。

　　3.企業(yè)最高層的關(guān)注點(diǎn)

　　信息網(wǎng)絡(luò)有效的安全防衛(wèi)不僅是技術(shù)問(wèn)題，它更重要的是一個(gè)管理問(wèn)題。管理相關(guān)的風(fēng)險(xiǎn)必須考慮企業(yè)文化、管理者的安全意識(shí)和行為。信息安全管理，像其它控制和管理活動(dòng)一樣，是一種轉(zhuǎn)移風(fēng)險(xiǎn)的方法。因此，它應(yīng)該與企業(yè)綜合治理協(xié)調(diào)一致。事實(shí)上，信息安全治理本身正形成一個(gè)獨(dú)立的分支，成為企業(yè)治理必不可少的一部分。

　　前些年，很多企業(yè)成立了信息中心，聘請(qǐng)信息管理人員，進(jìn)行信息系統(tǒng)建設(shè)。但結(jié)果都不太理想，分析這些失敗的案例，主要的原因體現(xiàn)在企業(yè)高級(jí)管理層和執(zhí)行層對(duì)信息化以及信息安全治理認(rèn)識(shí)不足，觀念陳舊；企業(yè)常規(guī)管理模式與信息化時(shí)代管理模式的沖突與不協(xié)調(diào)，以及企業(yè)的家長(zhǎng)式專項(xiàng)管理與現(xiàn)代化規(guī)模管理的不一致；信息化管理制度不完善，信息化管理機(jī)構(gòu)和相關(guān)技術(shù)人才缺乏；落后的企業(yè)文化對(duì)信息化產(chǎn)生了嚴(yán)重的阻力或者扭曲作用，落后的信息化不能對(duì)企業(yè)的發(fā)展進(jìn)行有效的支持，因此信息化建設(shè)也就半途而廢，或徒有虛名。

　　如上所述，一些企業(yè)在信息化建設(shè)的“軟件”上忽略了規(guī)章制度的制訂、經(jīng)營(yíng)模式的變動(dòng)、業(yè)務(wù)流程的重組和企業(yè)文化的建設(shè)等；另一方面，在信息化建設(shè)的“硬件”上，只注重了計(jì)算機(jī)設(shè)備的添置、網(wǎng)絡(luò)的構(gòu)建，有的企業(yè)甚至在基于業(yè)務(wù)需要的應(yīng)用軟件開(kāi)發(fā)上也不惜投入巨資，卻忽略了信息技術(shù)管理機(jī)構(gòu)的組建和信息技術(shù)人才的引進(jìn)，從而導(dǎo)致了信息化建設(shè)過(guò)程中舉步維艱的局面。這一現(xiàn)象在機(jī)床機(jī)械行業(yè)尤為突出，其導(dǎo)致的結(jié)果是，技術(shù)成果的流失、營(yíng)銷策略公開(kāi)化、技術(shù)資料在企業(yè)內(nèi)部唾手可得、合作組織的資料不能及時(shí)更新和共享等等。

　　在信息安全系統(tǒng)中，計(jì)算機(jī)及其網(wǎng)絡(luò)技術(shù)、信息建設(shè)中的其他硬件技術(shù)本身已經(jīng)不是重要的因素，管理因素上升為關(guān)鍵因素。因此，企業(yè)信息安全治理的成敗關(guān)鍵在于企業(yè)高層管理者和執(zhí)行者的觀念和行為。在企業(yè)信息化建設(shè)過(guò)程中，有效的信息安全治理需要最高管理層和管理執(zhí)行層充分理解信息安全治理的必要性，知曉風(fēng)險(xiǎn)和威脅真實(shí)存在并有可能給企業(yè)造成的重大影響，可能導(dǎo)致的對(duì)企業(yè)聲譽(yù)的損害、技術(shù)成果的流失，必須建立并執(zhí)行信息安全策略，認(rèn)識(shí)企業(yè)文化和組織機(jī)構(gòu)在信息化建設(shè)和信息安全中的重要性，在企業(yè)內(nèi)形成自上而下的一致性和統(tǒng)一性，同時(shí)需要向與系統(tǒng)有利害關(guān)系的各方證實(shí)系統(tǒng)安全的可靠性。

　　所以，企業(yè)最高執(zhí)行層必須親自領(lǐng)導(dǎo)編制信息安全方針政策，確保企業(yè)內(nèi)部的每個(gè)人清楚知道并了解各自在信息管理系統(tǒng)中的角色、責(zé)任和權(quán)力；識(shí)別信息安全的威脅，分析弱點(diǎn)和適度關(guān)注本行業(yè)的慣例，建立安全基礎(chǔ)設(shè)施；開(kāi)發(fā)安全和控制框架；及時(shí)實(shí)施并維護(hù)解決方案；建立評(píng)估措施，查明安全隱患并糾正它們，確保采取的行動(dòng)符合政策、標(biāo)準(zhǔn)和可接受的最低的安全級(jí)別；在企業(yè)內(nèi)部宣貫保護(hù)信息的必要性，提供安全運(yùn)作信息系統(tǒng)所需技巧的培訓(xùn)。

　　作為信息安全策略的重要組成部分，企業(yè)高層應(yīng)對(duì)人員安全給予足夠的重視。在一切事件中，人是關(guān)鍵的因素。人員安全的目標(biāo)就是減少人為的失誤、盜竊、欺詐、破壞和設(shè)備誤用所造成的風(fēng)險(xiǎn)。因此企業(yè)在一開(kāi)始就應(yīng)對(duì)招聘人員進(jìn)行充分的篩選，對(duì)敏感的工作崗位尤其這樣。所有雇員和使用信息設(shè)備的第三方都應(yīng)簽訂一份信息保密協(xié)議。企業(yè)高層應(yīng)確保信息使用者了解信息安全的威脅和在他們正常工作中有相應(yīng)的訓(xùn)練，有利于信息安全政策的貫徹和實(shí)施；通過(guò)從以前事件和故障中汲取教訓(xùn)，最大限度地降低安全損失。

　　通過(guò)企業(yè)最高管理層的努力，信息安全策略就會(huì)得到有效的實(shí)施，企業(yè)信息系統(tǒng)的安全性也就有了很大的提升，企業(yè)信息化建設(shè)也就能順利達(dá)到預(yù)期的目標(biāo)。

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.ezxoed.cn/

本文標(biāo)題：鑄鍛行業(yè)企業(yè)信息安全初探

本文網(wǎng)址：http://www.ezxoed.cn/html/consultation/10839513742.html