企業資訊保安是一個多點因素的難題,涉及技術、管理、應用等方面,下面是小編蒐集整理的一篇探究企業資訊保安的論文範文,歡迎閱讀檢視。
摘 要:企業資訊化程度發展到一定水平,從防火牆、入侵檢測等安全硬體到文件防洩密、行為管理等安全軟體,技術上都比較成熟且大部分企業都已實施部分安全專案。但實施安全專案之後並不是高枕無憂,管理是否到位及企業員工安全意識成為企業資訊保安的短板,如何從管理角度提高企業的資訊保安水平,已成為一個重要的課題。
關鍵詞:資訊保安;管理;意識
從安全軟硬體出發,大多安全實施廠家已有較成熟的方案,一旦專案實施完成後,企業往往容易忽略人員意識、IT審計、後續管理等因素對資訊保安的影響。本文就如何解決企業資訊保安短板,從管理角度進行探討。
1 管理安全的含義和IT審計的特點
從大的方面來說,資訊保安是指資訊網路的硬體、軟體及其系統中的資料受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、洩露,系統連續可靠正常地執行,資訊服務不中斷。直接反映到企業來說,就是要通過實施一整套適當的控制措施實現企業各業務系統正常執行,確保安全目標的實現。本文從管理角度探討企業的資訊保安,可以簡稱為管理安全,它是指建立並有效落實企業規章制度、安全管理規定等,來保證系統安全生存與執行。
企業安全管理的規章制度是否執行有效直接關係到企業安全目標能否保障,在此管理過程中需要引入IT審計。IT審計重點內容之一就是發現資訊系統的潛在風險,可以說企業資訊中心對潛在的IT風險是比較重視的。IT審計相對技術而言,更多側重於管理,比如在安全策略方面更側重於訪問授權的控制,以及定期核查是否按相關資訊化制度辦事,還有就是有無進行過適當的滲透去檢驗系統的可靠性等。實施IT審計能夠提高企業資訊系統的安全性,能夠客觀評價資訊系統安全現狀。
2 從管理角度看企業中存在的主要資訊保安威脅
1)企業日常資訊化管理中,會碰到以下一些現象,如:明知計算機病毒無孔不入,卻不安裝防毒軟體;個人認證的物品(如員工門禁卡)隨意借用他人;進入門禁系統之後,對他人尾隨不理不問;移動儲存介質外借他人,卻不知可能造成感染病毒或洩密;列印伺服器、掃描伺服器等公用電腦臨時存放許多資訊卻不刪除。
從上述現象中可以得知,企業員工資訊保安意識淡薄會產生較多安全漏洞。據《2011年度中國企業員工資訊保安意識調查報告》顯示,30%的受訪者從來沒有接受過資訊保安培訓,只有30%的`企業會進行定期的資訊保安培訓[1];
2)企業資訊保安專案做的深度是與企業資訊化發展水平相關的,一般企業會根據本身的資訊化水平發展程度分步驟進行。企業初始階段會通過封USB埠,不配置光碟機等形式防止電子文件傳播至外界。現階段已有部分企業關注電子文件防洩密的軟體,同時配以相應的制度,從一定程度上能達到預期的效果。專案實施後往往會發現效果難以保持,因為企業缺少相關的資訊保安審計人員,在審計工作不到位的情況下,安全軟體的審計功能無法體現其價值;
3)企業通過安全軟體對電子文件進行管理,在實物管理方面缺乏措施。辦公室文印區域是企業資訊洩密的源頭之一,外單位人員進入企業進行交流時,通常會經過辦公室文印區域,員工列印檔案後如不及時拿取,容易將技術資料留在在印表機上,給有心之人獲取,容易造成洩密。計算機、筆記本等辦公裝置故障外移送修,送修前未經過稽核批准,不對硬碟做處理,上述這些日常辦公現象存在著資訊保安漏洞[2]。
3 資訊保安短板的對策措施——強管理
儘管企業防火牆、防毒牆等安全硬體設施或安全軟體都較齊全,但是採取恰當的管理措施也能有效的提高資訊保安水平,最終有效地保護企業資訊資產。本文總結了以下幾種管理方法並加以說明。
1)提高員工安全意識,關鍵是做好培訓。一方面企業資訊中心要組織好講師及培訓素材。培訓素材可結合生活中的資訊保安案例或者通過動畫情景介紹等較生動的方式,寓教於樂,讓每個企業員工明白資料等無形資產的重要性,理解資料資訊保安是企業的生存發展壯大的法寶。在培訓方式上,可採用循序漸進的培訓方式,不急於求全,可從最基本的啟用標準的計算機密碼(如大小寫字母+數字)、離開座位時使用屏保等開始培養。後續可陸續完善公司涉密規章制度,同時認真落實,要讓員工真正懂得防止洩密的辦法;
2)通過IT審計嚴把資訊保安管理關。企業做好IT審計,從以下幾方面入手:一方面是人才培養,企業審計部門需要引入類似IT審計師的角色,儘管現階段大部分中小企業未能做到這一點,但可參照國際上通用的認證培訓——國際資訊系統審計師,把企業資訊管理人員送出外培,提高兼職型IT審計人員的技術水平及能力;另一方面是IT審計人員職責要明確,從實踐上看,IT審計人員工作內容包括檢視企業人員是否按照已有的涉密規章制度進行審批手續、定期將審計報表反饋給高層,監督整改落實的情況及效果驗證,使企業自上而下重視資訊保安管理;
3)讓安全軟體的審計功能發揮作用。市場上的電子文件防洩密系統提供日誌審計功能。日誌系統主要用來跟蹤和記錄使用者對受控檔案的操作、記錄管理員設定的策略和操作。企業系統管理員要對檔案日誌、部門日誌、計算機日誌、申請審批日誌等進行定期檢查,同時發揮IT審計人員的監督作用,才可讓安全軟體的審計記錄發揮作用;
4)利用刷卡認證方式管理文件輸出。辦公類資訊保安管理方面,涉及到各類業務系統的賬戶管理、文件輸出管理、儲存裝置管理等。現有企業一般是通過制度約束,但效果不明顯,這裡結合新的管理方式對文件輸出管理進行說明。一般我們不會一直等在印表機旁,沒有把列印好的資料及時拿走。而所列印的資料大多是技術圖紙、商務合同、計劃等資料,讓人不經意地看到相關內容及敏感資訊。要減少因遺忘而將已輸出的文件滯留在文印裝置上,可結合IC刷卡認證的方式,企業通過為文印裝置配備一些讀卡器,只有當刷員工卡時,文件才從文印裝置輸出,員工可即刻拿走。
總之,企業資訊保安是一個多點因素的難題,涉及技術、管理、應用等方面,隨著企業資訊化的發展,各類資訊系統及軟體資產不斷增多,從管理角度保障資訊保安,增強企業員工安全意識,成為企業成長的重中之重。
參考文獻
[1]北京谷安天下科技有限公司.2011年度中國企業員工資訊保安意識調查報告[R],2012.
[2]楊鍇新、劉潔.關於企業資訊保安管理的思考[J].經管空間,2011,5.