企业信息安全管理探讨

企业信息安全管理探讨

王运大

关键词：信息安全管理体系信息技术

随着信息技术迅速渗透到社会经济的各个领域，尤其是Internet/Intranet技术和电子商务的广泛应用，推动着人类社会从工业经济时代向网络经济时代和信息化社会的方向前进。在这个动态演进的过程中，经济发展越来越需要信息的支持，信息已成为经济发展的战略资源和社会管理的基本要素。

一、信息安全和信息安全管理

根据国际标准化组织（ISO）的定义，信息安全是“在技术上和管理上为数据处理系统建立的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄露”。信息安全是一个动态的复杂过程，它贯穿于信息资产和信息系统的整个生命周期。

信息安全的威胁来自于内部破坏、外部攻击、内外勾结进行的破坏以及自然危害。必须按照风险管理的思想，对可能的威胁、脆弱性和需要保护的信息资源进行分析，依据风险评估的结果为信息系统选择适当的安全措施，妥善应对可能发生的风险。信息安全的目标就是要保证敏感数据的机密性、完整性和可用性，人们建立起信息安全管理体系。它是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用方法的系统，表示成方针、原则、目标、方法、核查表等要素的集合。

在信息安全管理体系中，通过确定信息安全管理体系范围、制定信息安全方针、明确管理职责、以风险评估为基础选择控制目标与控制方式等建立起信息安全管理框架。在该体系中，人们在技术层面作了许多卓越而富有成效的工作来保障企业信息安全，如密码学和访问控制等。但仅仅依靠技术手段不可能彻底解决信息安全问题。这是因为，信息以及信息用户的社会属性决定了信息安全中存在非技术因素，而从属于非技术因素的问题，无法依靠单纯的技术手段加以解决非技术手段主要包括法律手段、经济手段和行政手段等，在市场经济环境中，企业应首选法律和经济手段来保护信息安全。

二、企业信息安全问题分析

信息化使企业同时承受着巨大的信息安全的风险。据统计，全球平均20秒就发生一次计算机病毒入侵；互联网上的防火墙大约25%被攻破；窃取商业信息的事件平均以每月260%的速度增加；约70%的网络主管报告了因机密信息泄露而受损失。我国公安机关2002年共受理各类信息网络违法犯罪案件6633起，与上年相比增长45.9%，其中利用计算机实施的违法犯罪5301起，占案件总数的79.9%.而病毒的泛滥，更让国内众多企业蒙受了巨额经济损失。加强信息安全建设，已成了目前国内外企业迫在眉睫的大事。

信息安全问题之所以成为企业管理中很难解决的一个问题的主要原因在于：信息资产与物理资产的差异性。一般而言，信息资产与物理资产的基本区别是，信息资产是动态变化的，而物理资产是固定不变的。信息资产在许多方面表现出动态特征---从信息以运行数据（客户帐户、业务交易等）的形式产生开始，直到在各种业务功能和过程中最终的应用（ERP,CRM,商业智能）。IT界为信息生命周期的每一个阶段推出了许多单一性的产品。这些产品分别用于解决生命周期中某个方面的问题，包括信息的生成、处理、分布、存档、检索和处置。某一种信息资产在生命周期的每一个阶段各有其价值。而且，一般来说它的价值会随着生命周期的进展而增加。因此，企业的这种动态资产在其进展的每一步中必须受到保护，以防止外部和内部的威胁。遗憾的是，技术厂商们至今并不能出色地提供这些产品功能以保护信息安全。

三、加强企业信息安全管理的措施

信息安全程序的核心，是一种管理业务风险的机制-，而不仅仅是技术风险，它是一种能够使业务运转和增长的方法。与业务需求相对应是实施信息安全程序的关键，并使其对企业具有实际意义。因此，针对以上对于企业信息安全问题的定义与现状分析，目前，解决信息安全问题有如下几个对策：

1、网络管理

一般企业网与互联网物理隔离，因而与互联网相比，其安全性较高，但在日常运行管理中我们仍然面临网络链路维护、违规使用网络事件等问题，具体而言：

（1）在IP资源管理方面，采用IP+MAC捆绑的技术手段防止用户随意更改IP地址和随意更换交换机上的端口。这分两种情况实现，第一种情况是如果客户机连在支持网管的交换机上的，可以通过网管中心的管理软件，对该交换机远程实施PortSecurity策略，将客户端网卡MAC地址固定绑在相应端口上。第二种情况是如果客户机连接的交换机或集线器不支持网管，则可以通过Web网页调用一个程序，通过该程序把MAC地址和IP地址捆绑在一起。这样，就不会出现IP地址被盗用而不能正常使用网络的情况。

（2）在网络流量监测方面，可使用网络监测软件对网络传输数据协议类型进行分类统计，查看数据、视频、语音等各种应用的利用带宽，防止频繁进行大文件的传输，甚至发现病毒的转移及传播方向。

2、服务器管理

常见应用服务器安装的操作系统多为Windows系列,服务器的管理包括服务器安全审核、组策略实施、服务器的备份策略。服务器安全审核是网管日常工作项目之一，审核的范围包括安全漏洞检查、日志分析、补丁安装情况检查等，审核的对象可以是DC、ExchangeServer、SQLServer、IIS等。在组策略实施时，如果想使用软件限制策略，即哪些客户不能使用哪个软件，则需要把操作系统升级到Windows2003Server。服务器的备份策略包括系统软件备份和数据库备份两部分，系统软件备份拟利用现有的专用备份程序，制定一个合理的备份策略，如每周日晚上做一次完全备份，然后周一到周五晚上做增量备份或差额备份；定期对服务器备份工作情况等。

3、数据备份与数据加密

由于应用系统的加入，各种数据库日趋增长，如何确保数据在发生故障或灾难性事件情况下不丢失，是当前面临的一个难题。这里有三种解决方法:：第一种解决办法是用磁带机或硬盘进行数据备份。该办法价格最低，保存性最强，不足之处是备份的只是某个时间点。第二种方案是采用本地磁盘阵列来分别实现各服务器的本地硬盘数据冗余。第三种方案是采用双机容错方式，两台机器系统相互备份，应用层数据全部放在共享的磁盘阵列柜中，这种方式能解决单机故障的问题，同时又能防止单个硬盘故障导致的数据丢失。考虑到网络上非认证用户可能试图旁路系统的情况，如物理地“取走”数据库，在通信线路上窃听截获。对这样的威胁最有效的解决方法就是数据加密，即以加密格式存储和传输敏感数据。发送方用加密密钥，通过加密设备或算法，将信息加密后发送出去。接收方在收到密文后，用解密密钥将密文解密，恢复为明文。如果传输中有人窃取，他只能得到无法理解的密文，从而对信息起到保密作用。

4、病毒防治

对防病毒软件的要求是：能支持多种平台，至少是在Windows系列操作系统上都能运行；能提供中心管理工具，对各类服务器和工作站统一管理和控制；在软件安装、病毒代码升级等方面，可通过服务器直接进行分发，尽可能减少客户端维护工作量；病毒代码的升级要迅速有效。SYMANTEC公司的NortonAntivirus企业版是一个可选的软件。在实施过程中，本单位以一台服务器作为中央控制一级服务器，实现对网络中所有计算机的保护和监控，并使用其中有效的管理功能。

综上所述，针对企业的信息安全问题进行了简单的对策探讨，当然，在实际的信息安全管理过程中，企业所面临的问题可能多种多样，所使用的具体解决方案也会因为问题的不同而具有很强的针对性，但利用先进的防护技术，通过在企业内部建立的完美的防护流程和严格的审核制度，必要时借助一定的法律保障，相信信息安全问题在不远的将来将不再成为令管理者头疼的主要问题。