摘 要
自上世紀末國家大力促進企業(yè)信息化建設��,鼓勵企業(yè)利用信息化技術改善自身經(jīng)營活動和企業(yè)管理���。信息化的點點滴滴已經(jīng)滲透進企業(yè)日常生產(chǎn)經(jīng)營的各個角落����。信息安全已經(jīng)成為促進企業(yè)自身發(fā)展壯大的條件之一����,誰能抓住時代的脈搏在新的技術條件下將信息安全與企業(yè)管理高效融合.為企業(yè)走可持續(xù)化發(fā)展道路保駕護航���,誰就抓住了企業(yè)生存與發(fā)展的主動權,從而在知識經(jīng)濟和信息化高速發(fā)展的當前����,長遠生存發(fā)展壯大。隨著互聯(lián)網(wǎng)絡不斷深入到生產(chǎn)生活的各個方面��,改變了傳統(tǒng)的生產(chǎn)模式����,對促進生產(chǎn)力的提高發(fā)揮著重要的作用。網(wǎng)絡安全也已成為維持日常經(jīng)營活動正常開展的前提��。網(wǎng)絡安全不僅僅是一個技術問題,同時也是一個管理問題����。安全管理是企業(yè)管理中第一位的管理。企業(yè)安全管理�,就是要消除安全隱患,使安全事故消除在萌芽狀態(tài)中���。對于企業(yè)發(fā)展而言�,管理信息安全是十分重要的問題。因此分析網(wǎng)絡環(huán)境下信息安全管理中所存在的問題�,并提出適當?shù)膶Σ摺?/p>
關鍵詞:企業(yè)管理;網(wǎng)絡安全����;信息安全管理
一���、緒論
(一)研究背景和意義
1.研究背景
進入二十一世紀的今天����,隨著社會���、經(jīng)濟和科學技術的飛速發(fā)展���,計算機網(wǎng)絡在經(jīng)濟和生活的各個領域迅速普及。眾多企業(yè)為了提高辦事效率和市場反應能力���,也都紛紛依靠IT技術構建企業(yè)自身的信息系統(tǒng)和業(yè)務運營平臺���。在網(wǎng)絡環(huán)境下,企業(yè)獲得了信息共享、信息交流�、信息服務,改善了企業(yè)管理水平����,提高了勞動生產(chǎn)率,增強了企業(yè)的核心競爭力����。
然而,網(wǎng)絡是把雙刃劍����。在帶給企業(yè)機遇與便利的同時,網(wǎng)絡環(huán)境固有的開放性��、交互性��、共享性和分散性���,也造成了企業(yè)信息系統(tǒng)具有致命的脆弱性����、易受攻擊性��,一旦企業(yè)網(wǎng)絡遭到攻擊,企業(yè)信息泄露�,甚至被人意改,就會給企業(yè)帶來不可估量的損失����。因而,研究與防范網(wǎng)絡環(huán)境下企業(yè)信息安全問題已迫在眉睫���。在網(wǎng)絡越來越普及的當今社會���,人們不論是生活當中亦或是工作當中都越來越依賴網(wǎng)絡��。勒索病毒事件,可以說是最具代表性的年度安全事件���。事件中,黑客利用漏洞作為攻擊工具,將勒索病毒通過漏洞傳播,對用戶數(shù)據(jù)加密以實現(xiàn)敲詐,并利用比特幣支付等匿名互聯(lián)網(wǎng)技術躲避溯源跟蹤,展現(xiàn)出了一種極為高效的變現(xiàn)模式�。
在過去的2017年,網(wǎng)絡安全進入全新的“大安全”時代��。2017年9月12日,網(wǎng)絡安全領域頂級峰會——第五屆中國互聯(lián)網(wǎng)安全大會(ISC2017)在北京國家會議中心盛大開幕,本次大會的主題為“萬物皆變,人是安全的尺度”��。在大會開幕式上,中國互聯(lián)網(wǎng)安全領域領軍人物��、360公司董事長周鴻祎發(fā)表主旨演講,周鴻祎表示,“我們正處于一個大安全時代����。網(wǎng)絡安全已經(jīng)不僅僅是網(wǎng)絡本身的安全,更是國家安全����、社會安全����、基礎設施安全、城市安全���、人身安全等更廣泛意義上的安全����?���!敝茗櫟t指出,隨著物聯(lián)網(wǎng)、車聯(lián)網(wǎng)和工業(yè)互聯(lián)網(wǎng)的發(fā)展,這些行業(yè)開始成為網(wǎng)絡攻擊的目標,去年10月的美國互聯(lián)網(wǎng)斷網(wǎng)事件就是由惡意軟件控制了近百萬攝像頭組成的僵尸網(wǎng)絡,攻擊美國的DNS解析服務商造成的����。另外在物聯(lián)網(wǎng)、車聯(lián)網(wǎng)和工業(yè)互聯(lián)網(wǎng)中開始使用一些人工智能技術,使用人工智能技術發(fā)展無人化的系統(tǒng),這些無人系統(tǒng)一旦被劫持,將帶來更多�、更嚴重的安全問題。
如今全球化在逐漸信息化���、網(wǎng)絡普及����,對人們的生活有著深遠的影響,滲透至人們的生活工作當中�。隨之而來便是對于網(wǎng)絡環(huán)境的各種信息安全的問題,人們不論是在手機上亦或是平板��、電腦等電子設備上存儲的個人信息越來越注重隱私和保密�,尤其隨著手機在線支付的普及一旦手機被盜取可能自身的資金財產(chǎn)都會受到影響。在企業(yè)中運用網(wǎng)絡促進發(fā)展時���,容易出現(xiàn)企業(yè)內(nèi)部信息泄露的狀況�,這種情況一旦發(fā)生對于企業(yè)而言會造成嚴重的影響��,更甚者對企業(yè)的生存產(chǎn)生威脅���。企業(yè)內(nèi)部也如此,若出現(xiàn)網(wǎng)絡安全問題�,會影響到網(wǎng)絡環(huán)境的健康以及正常運轉。所以對安全管理越來越重視�,設置相應的防范措施也是十分必要不可或缺的。社會趨向于網(wǎng)絡化能夠讓所有事散布的更快���,信息共享的更快�,既方便又便捷。在企業(yè)中利用網(wǎng)絡在這一方面的優(yōu)勢能夠發(fā)揮十分重要有效的作用���,幫助企業(yè)更快的發(fā)展��,更良好的管理信息管理企業(yè)內(nèi)部���。但有好的一面必然有其缺陷,網(wǎng)絡技術當中有一個十分棘手的問題���,那便是安全隱患�。本文主要研究如何就安全隱患方面提出適合可行的防范對策以此解決這一問題��。
中石化也正是看到了這一點���,在近幾年加快了信息化建設的步伐��。網(wǎng)絡也在不斷調整和優(yōu)化���,幾乎每個加油站網(wǎng)點都被納入公司局域網(wǎng)之內(nèi);而且陸續(xù)投入使用了ERP系統(tǒng)�、V20系統(tǒng)���、視頻監(jiān)控系統(tǒng)、加油卡系統(tǒng)等����。這些系統(tǒng)的推廣和使用對提高中國石化的生產(chǎn)、經(jīng)營和管理水平發(fā)揮了很大的作用����。隨著中石化信息化不斷深入,中石化網(wǎng)絡信息安全管理架構的形成�,既是企業(yè)業(yè)務需求形成的結果,也是網(wǎng)絡安全領域向全方位���、縱深化��、專業(yè)化方向發(fā)展的結果�,無論從經(jīng)濟效益還是社會影響考慮���,我們都應該重視我們企業(yè)的網(wǎng)絡信息安全管理及系統(tǒng)建設情況。
2.研究意義
有利于網(wǎng)絡信息安全技術發(fā)展日益科學化�,網(wǎng)絡信息安全技術逐步的科學化還是一個較為漫長的過程,會在整個網(wǎng)絡發(fā)展的過程當中存在���。要想讓網(wǎng)絡信息安全技術真正的科學化����,就要通過對數(shù)據(jù)進行收集和分析,采用這樣的方式真正的達到讓網(wǎng)絡信息安全技術科學化的目的����,與此同時綜合考量技術,切實的將網(wǎng)絡信息安全存在的問題找到��。
有利于防御技術日益專業(yè)化����,隨著網(wǎng)絡優(yōu)化的不斷發(fā)展,并且逐步的朝著自動化�,還有智能化的方向上不斷地發(fā)展和進步,由此就有了人工智能專家的出現(xiàn)����,這就在一定程度打破了原有的思想,在對系統(tǒng)的支持上���,通過智能決策的方式��,能夠對機制進行更為切實有效的運用�,網(wǎng)絡優(yōu)化人員在針對網(wǎng)絡中存在的一些安全隱患,可以給出相對應的解決措施��,讓網(wǎng)絡當中存在的一些安全隱患問題��,及時的得到了科學的解決����,這也證明了網(wǎng)絡信息安全防御技術變得越來越專業(yè)化起來。
有利于形成一個專門產(chǎn)業(yè)鏈����,伴隨著信息產(chǎn)業(yè)日新月異的發(fā)展,以及和其他產(chǎn)業(yè)的密切融合�,這也讓網(wǎng)絡安全技術有了非常大的變化。網(wǎng)絡安全技術正在逐步朝著生態(tài)環(huán)境的方向進行轉變�。伴隨著產(chǎn)業(yè)鏈變得逐漸復雜起來,造成計算機網(wǎng)絡產(chǎn)業(yè)要朝著生態(tài)環(huán)境的方向不斷的轉變��。任何一個環(huán)節(jié)在生態(tài)環(huán)境中都能夠被取代��。
(二)國內(nèi)外研究綜述
1.國外研究
據(jù)Gartner分析�,當前國際大型企業(yè)在信息安全領域主要有幾個發(fā)展趨勢:(1) 信息安全投資從基礎架構向應用系統(tǒng)轉移;(2)信息安全的重心從技術向管理轉移���;(3)信息安全管理與企業(yè)風險管理��、內(nèi)控體系建設的結合日益緊密����;(4)信息技術逐步向信息安全管理滲透����。結合大型企業(yè)信息安全發(fā)展趨勢,國際各大咨詢公司�、廠商等機構紛紛提出了符合大型企業(yè)業(yè)務和信息化發(fā)展需要的信息安全體系架構模型,著力建立全面的企業(yè)信息安全體系架構��,使企業(yè)的信息安全保護模式從較為單一的保護模式發(fā)展成為系統(tǒng)�、全面的保護模式。信息安全在國外已經(jīng)上升到了國家戰(zhàn)略層次����,國外的信息安全總體發(fā)展領先于國內(nèi),特別是歐美����,研究國外的信息安全現(xiàn)狀有助于我國的信息安全規(guī)劃。國外的主流的信息安全體系框架較多�,都有其適用范圍和缺點,并不完全符合我國現(xiàn)狀,可選取框架的先進理念和組成部分為我國所用���,如IATF的縱深防御理念和分層分區(qū)理念��、ISO27000的信息安全管理模型�、IBM的安全治理模塊等���。
2.國內(nèi)研究
在信息安全標準方面����,我國已發(fā)布了《信息技術安全技術公鑰基礎設施在線證書狀態(tài)協(xié)議》����、《信息技術安全技術公鑰基礎設施證書管理協(xié)議》等幾十項重要的國家信息安全基礎標準,初步形成了包括基礎標準�、技術標準、管理標準和測評標準在內(nèi)的信息安全標準體系框架����。
國內(nèi)的安全標準組織主要有信息技術安全標準化技術委員會(CITS)、中國通信標準化協(xié)會(CCSA)下轄的網(wǎng)絡與信息安全技術工作委員會��、公安部信息系統(tǒng)安全標準化技術委員會��、國家保密局、國家密碼管理委員會等部門��。
國內(nèi)的安全標準組織主要有信息技術安全標準化技術委員會(CITS)�、中國通信標準化協(xié)會(CCSA)下轄的網(wǎng)絡與信息安全技術工作委員會��、公安部信息系統(tǒng)安全標準化技術委員會�、國家保密局、國家密碼管理委員會等部門��。
二����、企業(yè)信息安全管理現(xiàn)狀
現(xiàn)在企業(yè)內(nèi)部一般都構建了專用網(wǎng)絡來進行信息的共享,如建設公司內(nèi)網(wǎng)��。在同一個局域網(wǎng)內(nèi)可進行文件的傳輸和接收�,或者通過連接服務器的方式來存儲和共享信息,提高了不同部門間的信息傳遞效率�。在享受網(wǎng)絡帶來的便利時,卻有很多企業(yè)忽略了信息安全的問題����,企業(yè)信息安全現(xiàn)狀如下。(1)缺乏企業(yè)信息安全保障體系��。有的中小企業(yè)缺乏信息安全意識,對服務器等設施甚至未曾設置防火墻�,導致企業(yè)內(nèi)部的信息易遭受外界的攻擊,造成企業(yè)信息被竊取或被篡改���,更為嚴重的可能導致企業(yè)網(wǎng)絡癱瘓以及硬件設備��、傳輸設施無法使用的情況��?�?蛻粜畔⒑蜕虡I(yè)機密若被竊取��,不僅會影響企業(yè)的競爭力���,同時會降低客戶的信任和好感,造成巨大的經(jīng)濟損失��。(2)郵件系統(tǒng)安全缺乏保障��。有的企業(yè)主要通過電子郵件來開展工作�,如通過郵件與客戶溝通及開展內(nèi)部管理工作。電子郵件的使用方便快捷�,能夠在網(wǎng)絡中留下記錄,隨時隨地都可查看�,遇到分歧和沖突時�,還能在電子郵件中找到相應憑證����。但是電子郵件的安全狀況也令人堪憂,如垃圾郵件轟炸��、電子郵件病毒等��,給企業(yè)的正常運轉和辦公造成很大阻礙����,若郵件賬號與密碼被竊取����,將成為企業(yè)的重大安全隱患。(3)缺乏檢查漏洞的有效方法和能力����。一般計算機操作系統(tǒng)會進行自動更新和漏洞檢測,但部分員工會因其耗費時間長且較繁瑣而將其關閉�,或者在更新過程中中斷,造成計算機自身安全機制出現(xiàn)漏洞��,外界不法分子可通過攻擊TCP/IP協(xié)議竊取或篡改企業(yè)信息����。有的在不正規(guī)網(wǎng)站下載的軟件可能自身存在漏洞���,易受到外界攻擊,從而導致企業(yè)信息安全受到威脅��。(4)服務器或者客戶端受到外部網(wǎng)絡攻擊�。在工作中難免會需要通過瀏覽器等形式進行網(wǎng)上檢索,而在這個過程中���,企業(yè)的客戶端需要獲取外部網(wǎng)絡信息�,可能受到網(wǎng)絡攻擊�。或者不法分子直接攻擊企業(yè)的服務器���,竊取信息�、篡改內(nèi)容等��。綜上所述��,企業(yè)的信息安全隨時都可能受到威脅�。當前企業(yè)在信息安全管理中普遍面臨的問題:(1)缺乏來自法律規(guī)范的推動力和約束;(2)安全管理缺乏系統(tǒng)管理的思想��。被動應付多于主動防御,沒有做前期的預防��,而是出現(xiàn)問題才去想補救的辦法�,不是建立在風險評估基礎上的動態(tài)的持續(xù)改進的管理方法;(3)重視安全技術��,忽視安全管理�。企業(yè)愿意在防火墻等安全技術上投資,而相應的管理水平����、手段沒有體現(xiàn)��,包括管理的技術和流程���,以及員工的管理���;(4)在安全管理中不夠重視人的因素;(5)缺乏懂得管理的信息安全技術人員��;(6)企業(yè)安全意識不強���,員工接受的教育和培訓不夠����。
三、企業(yè)信息安全管理存在的問題及原因分析
(一)存在問題
1.企業(yè)信息安全意識淡薄
很多中小型企業(yè)對于信息安全缺乏認識����,更多注重信息化建設帶來的經(jīng)濟效益,即便了解了信息安全的意義����,也可能懷著僥幸心理覺得自己的企業(yè)不會被攻擊,如果不發(fā)生重大信息安全事故估計不會花費人力與物力�。大企業(yè)相對來說企業(yè)結構更加完善,能夠意識到信息安全的意義和作用�,但真正為之付出大量精力和金錢的公司不多。由于企業(yè)對于信息安全不夠重視���,自然不會組建專門的團隊來進行信息安全的管理��,因此���,信息安全相關專業(yè)的人才在國內(nèi)很難找到專業(yè)對口的工作,那么他們可能選擇出國或者換專業(yè)��,這就造成了惡性循環(huán),國內(nèi)的信息安全人才稀缺���,國內(nèi)企業(yè)信息安全相關崗位招不到人��。
2.信息安全技術不夠先進
近年來��,中國互聯(lián)網(wǎng)發(fā)展迅速����,計算機技術也在不斷進步���,但總體計算機技術的水平相比發(fā)達國家還是有一定差距�,信息安全的研究也比發(fā)達國家起步得晚���,雖然現(xiàn)在國內(nèi)已有專門信息安全、網(wǎng)絡安全的公司���,但其技術水平和研發(fā)出的軟件質量和數(shù)量相比發(fā)達國家還是有不足����。很多企業(yè)內(nèi)部沒有一套較為完整的信息安全防護系統(tǒng)�,使得不法分子攻擊起來較容易。
3.企業(yè)信息安全相關法律法規(guī)不夠完善
一直以來�,網(wǎng)絡安全都沒有得到很好管控����。雖然出臺了少量法律法規(guī)��,但是見效甚微�。企業(yè)信息安全方面的法律法規(guī)更少。無法用法律來保護企業(yè)信息安全�,使得企業(yè)建設信息安全體系的信心下降。
(二)原因分析
1.需要提升企業(yè)信息安全意識
提升企業(yè)信息安全意識包括提升企業(yè)管理者和企業(yè)員工的意識���。企業(yè)管理者在企業(yè)信息安全建設中是引路人的角色����,在之后的企業(yè)信息安全管理工作中是主要負責人����,不僅需要自身提高對企業(yè)信息安全的重視程度,還要培訓企業(yè)員工���。定期對員工進行信息安全培訓和案例分享��,強調企業(yè)信息安全的重要性:泄露企業(yè)信息將會給企業(yè)造成無法挽回的損失��,而企業(yè)的經(jīng)濟利益與每個員工都有密切關系���。同時���,培訓會上還應分享一些關于企業(yè)信息安全的法律知識,讓每個員工都形成一種保密意識����,不將公司的信息透露給其他人。若是發(fā)現(xiàn)有人將企業(yè)機密賣給競爭對手可告知領導��,而無意識透露企業(yè)信息而造成企業(yè)受損的員工��,應對其進行懲罰����,來警示其他員工,再次強調企業(yè)信息安全的重要性。
2.需要提升信息安全技術
我國正在從中國制造轉變?yōu)橹袊鴦?chuàng)造����。國家大力推崇科技創(chuàng)新�,這也體現(xiàn)在了信息安全方面。現(xiàn)在大學期間就會有很多信息安全類的競賽或者校內(nèi)組織���,激發(fā)大家對信息安全技術的研究興趣���,同時���,激勵大家不斷學習和創(chuàng)新。不僅在學校里����,在社會上也有很多自發(fā)組織的科技協(xié)會或者信息安全科技論壇進行不定期學術討論,研究國內(nèi)外先進的信息安全技術及破解方法[5]�。在國內(nèi)信息安全技術不斷提升的過程中,各大研究網(wǎng)絡安全���、信息安全的公司會推出各種信息安全防護產(chǎn)品����,企業(yè)應選擇安全性能高的產(chǎn)品����。可以對比幾家大的網(wǎng)絡安全品牌的產(chǎn)品���,選擇一家進行購買�,如果資金充裕可購買多個品牌的產(chǎn)品進行對比����,選出安全性能最佳的品牌,一定要不斷更新產(chǎn)品內(nèi)的防護內(nèi)容�����。因為攻擊手段和方式是日新月異的����,只有不斷更新、不斷優(yōu)化才能有效防護惡意的信息攻擊��。
3.需要落實現(xiàn)有企業(yè)信息安全相關法律法規(guī)
隨著國家對信息安全的重視程度提高�����,國家的《網(wǎng)絡安全法》正式實施�,“沒有網(wǎng)絡安全就沒有國家安全”的大政方針的提出,2017年度安全盛會——中國信息安全高峰會議在安徽省合肥市的召開���,種種現(xiàn)象表明信息安全從此進入了新的階段��。企業(yè)信息安全將會得到更好保障�����,首先要確保企業(yè)采用的信息安全防護系統(tǒng)和手段是法律認可的�,當被競爭對手或其他人惡意攻擊時����,盡可能保留證據(jù),利用法律手段維護企業(yè)的權益和信息安全����。
四、企業(yè)信息安全管理對策與展望
(一)主要對策
1.建立信息安全密碼
密碼技術近年來在應用中不斷成熟����,越來越多企業(yè)開始將密碼技術應用到企業(yè)信息安全管理中去,這是一個十分正確的選擇��。企業(yè)內(nèi)部信息具有重要價值�,密碼技術是企業(yè)信息安全最為關鍵的一道屏障。密碼的形式十分多樣���,企業(yè)應當根據(jù)自身情況正確選擇密碼的形式�,密碼技術是一項十分成熟的技術����,應當?shù)玫礁嗟年P注��,并且將這項技術全面應用到企業(yè)內(nèi)部信息安全管理當中去�����。企業(yè)內(nèi)部信息得到密碼的保護����,能夠在企業(yè)內(nèi)部信息不慎泄露后得到最大化的保護����,對于企業(yè)內(nèi)部信息的密碼也應當嚴格保密,做好相關的密碼保護工作�����。
2.建立安全管理制度
企業(yè)信息安全管理制度的建立需要多方面的配合���,同時���,企業(yè)信息安全管理制度的建立是一項十分復雜的工作,必須在實踐的過程中不斷完善���。建立企業(yè)內(nèi)部信息安全管理制度是為了更加規(guī)范地保證企業(yè)內(nèi)部信息的安全����,也對企業(yè)內(nèi)部信息安全管理人員的工作內(nèi)容���,工作步驟做了明確規(guī)定�,這對于企業(yè)內(nèi)部形成信息安全管理的長效機制具有重要價值�����。企業(yè)信息安全管理制度應當與企業(yè)的實際生產(chǎn)經(jīng)營情況相結合�,在盡可能不影響企業(yè)正常工作的前提下,對企業(yè)的信息安全作出明確規(guī)定��。常見的規(guī)定包括定期組織企業(yè)內(nèi)部信息安全管理工作人員進行信息安全的例行檢查�����;對企業(yè)內(nèi)部信息安全管理人員的工作做到全面監(jiān)督�����,有效反饋等等�����。
3.建立數(shù)據(jù)庫的備份與恢復機制
現(xiàn)如今,外界主動攻擊企業(yè)信息安全的事件越來越頻發(fā)�����,企業(yè)在被外界攻擊信息安全后所造成的損失往往無法挽回���,同時這些信息對于企業(yè)具有十分重要的價值�,倘若能夠及時恢復相關信息�����,能夠在很大程度上減小企業(yè)所遭受的損失����,因此,建立一套基于數(shù)據(jù)庫信息備份與還原的信息安全管理機制十分重要���。企業(yè)內(nèi)部信息系統(tǒng)數(shù)據(jù)庫的備份���,可以有效保障企業(yè)信息系統(tǒng)非法入侵后的系統(tǒng)恢復工作。備份是對數(shù)據(jù)庫內(nèi)容保護最為穩(wěn)定和容易的一種方法。當不穩(wěn)定因素發(fā)生的時候�����,能夠保證企業(yè)網(wǎng)絡信息的正常運行���。而恢復的理解��,就是在不限定因素發(fā)展之后利用網(wǎng)絡技術的備份功能用來對數(shù)據(jù)庫內(nèi)容進行重新恢復并正常使用的功能。
4.建立網(wǎng)絡安全預警系統(tǒng)
一般這種情況可以分為人為預警和病毒預警兩個方面�。 在電腦中的重要位置安裝上網(wǎng)絡入侵監(jiān)測體系,可以便于對電腦的技術和安全性在發(fā)展危害行為或改變���。入侵監(jiān)測體系還能通過設立在固定時間對制定要求的位置進行監(jiān)督和控制����,判斷哪些系統(tǒng)是具有危害性的���,但是防火墻還不能夠準確判斷的系統(tǒng)����。主要針對的是從企業(yè)內(nèi)部管理出現(xiàn)漏洞后對自身安全系統(tǒng)的“侵略”行為����。而病毒預警系統(tǒng)通常是采用對企業(yè)內(nèi)部網(wǎng)絡的全部數(shù)據(jù)進行監(jiān)督監(jiān)控的行為�����,確保在一天每個時間段內(nèi)都對數(shù)據(jù)包傳送掃描一旦發(fā)展病毒就要馬上進行危險信息提示�����,使得相關工作人員可以很快的通過定位查找的方法找到病毒的發(fā)出地�����。同時����,在短時間內(nèi)陸續(xù)產(chǎn)生通過快速掃描出來的網(wǎng)絡日志和調查報告�����,為企業(yè)專業(yè)人員查找病毒具體來源提供便利條件��。
(二)未來展望
1.加快完善我國信息安全政策法規(guī)建設
一是進一步完善我國信息安全法律體系�。適應新形勢變化,制定新的信息安全法律��,規(guī)范網(wǎng)絡空間主體的權利和義務,尤其在打擊網(wǎng)絡犯罪��、信息資源保護�、信息資源和數(shù)據(jù)的跨國流動等方面加強立法,明確相關主體應當承擔的法律責任和義務���,逐步構建起信息安全立法框架����。二是建立完善的信息安全監(jiān)督管理制度體系��。進一步加強信息安全等級保護工作���,推進信息安全風險評估工作,建立有效的信息安全審查制度��,對航空航天�、石油石化、電力系統(tǒng)等重要領域中應用的核心技術和產(chǎn)品進行安全檢查和風險評估�。三是參考WTO規(guī)則制定我國信息安全行業(yè)管理規(guī)范。堅持政府引導�,行業(yè)自律的原則,針對信息安全行業(yè)中個人隱私���、惡意競爭等公眾比較關注的問題���,加強行業(yè)管理規(guī)范和行業(yè)自律準則的制定和實施���,規(guī)范信息安全企業(yè)的行為。
2.加強我國信息安全保障體制機制建設
一是進一步加強網(wǎng)絡與信息安全協(xié)調小組對我國網(wǎng)絡安全的統(tǒng)一領導和協(xié)調職責���,提高保障網(wǎng)絡安全���、應對網(wǎng)絡犯罪、推動網(wǎng)絡應用和宣傳推廣等工作的協(xié)調能力���,加強信息安全工作體制機制建設��,建立運轉順暢��、協(xié)調有力�����、分工合理����、責任明確的信息安全管理體制。二是逐步對各部委信息安全職能單位進行調整��,打破現(xiàn)在各部門“分工負責����、各司其職”的條塊方式,依據(jù)十八大“穩(wěn)步推進大部制改革”的指導精神����,實現(xiàn)對信息安全部門的整合,成立“大信息安全機構”����。三是成立國家級的信息安全支撐機構——中國信息安全研究院,整合各方信息安全支撐機構����,打造集信息安全政策�、法規(guī)、標準����、技術、產(chǎn)業(yè)研究為一體的支撐團隊�����,形成對信息安全領域重大問題、關鍵技術的持續(xù)研究能力�����,提高我國信息安全產(chǎn)業(yè)的核心競爭力��。
3.推動關鍵信息基礎設施安全保障工作
一是啟動信息安全核心技術產(chǎn)品的安全檢查工作�。加強國外進口技術和產(chǎn)品,以及新技術���、新產(chǎn)品和新業(yè)務的漏洞分析工作��,提升安全隱患的發(fā)現(xiàn)能力�,促進漏洞信息共享��。建立進口重大信息技術�����、產(chǎn)品及服務的安全檢測與審核制度�����,對進口技術和產(chǎn)品的安全進行風險評估。逐步實現(xiàn)核心技術產(chǎn)品的國產(chǎn)化替代�����,真正實現(xiàn)“以我為主�,自主可控”。二是加強關鍵信息基礎設施安全防護工作���。進一步完善等級保護制度和標準�����,繼續(xù)做好等級保護定級工作���,根據(jù)系統(tǒng)等級和面臨風險有針對性加強管理和技術防護。加強風險評估工作�,做好系統(tǒng)測評、安全檢查等��,及時發(fā)現(xiàn)風險隱患����,完善安全措施����。三是重點保障工業(yè)控制系統(tǒng)安全����。全面落實《關于加強工業(yè)控制系統(tǒng)信息安全管理的通知》����,切實加強對重點領域工業(yè)控制系統(tǒng)的信息安全管理工作,完善和加強工業(yè)控制系統(tǒng)安全檢查和測評工作�。
4.全面提升新興技術安全風險防護能力
一是加大對云計算、物聯(lián)網(wǎng)���、移動互聯(lián)網(wǎng)����、下一代互聯(lián)網(wǎng)等新興技術研發(fā)的資金投入����,加強核心技術攻關,提高我國對新興技術的掌控能力�,形成擁有自主知識產(chǎn)權的安全產(chǎn)業(yè)鏈條。二是加快網(wǎng)絡防護����、入侵檢測�、身份管理等信息安全關鍵技術研發(fā)����,并與新興技術結合起來,提高新興技術在應用過程的安全防護能力��,如在基于PKI體系的電子認證技術基礎上�����,研發(fā)應用于云計算��、移動互聯(lián)網(wǎng)等新興技術上的身份管理等安全防護技術�。三是建立新興技術的信息安全預警機制,成立專門的機構對新興技術的信息安全隱患進行分析和研究��,并為公眾提供相關技術的使用指南或標準�,對于關鍵領域或部門則應出臺強制性標準或規(guī)定,限制新興技術的使用方式和范圍����,如國家應如何對掌控大量經(jīng)濟、地理等關鍵領域數(shù)據(jù)的企業(yè)進行管控���,限制其對相關數(shù)據(jù)的使用權限和范圍等��。
五�����、結論
信息是社會發(fā)展的重要戰(zhàn)略資源����,也是衡量一個企業(yè)乃至國家的重要參數(shù)����。在信息時代的今天人們對信息的依賴越來越高,因此信息安全就尤為地重要�����。網(wǎng)絡環(huán)境下����,企業(yè)在大力推進信息化建設、提升企業(yè)核心競爭力的同時�,必須強化信息安全意識,認識到網(wǎng)絡環(huán)境下企業(yè)信息可能遭到的安全隱患���,從多方面進行有效管理以及合理運用技術�、管理、制度和去律等進行全方位的考慮�����,建立一個綜合性的防御安全體系���,最大限度地降低企業(yè)信息有可能遭受的安全隱患���,使得計算機技術在企業(yè)信息管理和運用中更好地發(fā)揮應有作用。
參考文獻
[1]井鵬程,王真.計算機網(wǎng)絡安全現(xiàn)狀和防御技術分析[J].網(wǎng)絡安全技術與應用,2017(03):60-61.
[2]朱駿.基于網(wǎng)絡安全的計算機網(wǎng)絡技術現(xiàn)狀及發(fā)展研究[J].信息系統(tǒng)工程,2017(03):70-71.
[3]王劍.關于網(wǎng)絡安全技術的現(xiàn)狀分析及發(fā)展趨勢探討[J].數(shù)字通信世界,2016(05):32-33.
[4]艾戩.企業(yè)信息化建設中的信息安全探究[J].網(wǎng)絡安全技術與應用,2015(3):100-101.
[5]吳捷.企業(yè)信息化建設中信息安全問題的研究[J].通訊世界,2016(1):247-248
[6]肖錕.淺議網(wǎng)絡環(huán)境下的企業(yè)信息安全管理[J].標準科學,2010(8):20-23.
[7]李鵬.計算機網(wǎng)絡技術在企業(yè)信息化過程中的應用[J].硅谷,2014(9):106-107.
[8]焦洪濤.中小企業(yè)信息安全管理策略研究[D].西安理工大學,2009.
[9]梁軍.湖南電信公司內(nèi)網(wǎng)信息安全體系建設的研究[J].湖南大學,2016(1):50-52.
[10]李慧.信息安全管理體系研究[D].西安電子科技大學,2014.
[11]徐新件,朱健華.關于企業(yè)網(wǎng)絡信息安全管理問題研究[J].供電企業(yè)管理,2010(5):20-21.
