企业信息安全管理体系研究

徐洪峰 陶志勇

摘  要：随着信息技术的发展，信息安全形势日益严峻，如何做好信息安全的保障工作，是各行各业的重要课题。技术和管理是信息安全研究的两个方向，所谓“三分技术，七分管理”，单靠技术难以保障信息的安全，重点还是在管理。文章陈述了信息安全的内涵，分析了国内外信息安全的研究现状，提出了从安全意识提升等5个方面构建企业信息安全管理体系，确保企业的信息安全得到有效保障。

关键词：信息安全;信息安全管理;安全漏洞扫描;网络安全

中图分类号：TP309      文献标识码：A 文章编号：2096-4706（2020）17-0139-04

Abstract：With the development of information technology，the information security situation is increasingly serious. How to improve the information security is an important topic in all walks of life. Technology and management are the two directions of information security research，just as the saying goes：“30% technology，70% management”，technology alone is difficult to guarantee the security of information，and the focus is still on management. This paper presented the connotation of information security，analyzed the current research status on information security at home and abroad，and puts forward the construction of information security management system of enterprises from five aspects，such as the promotion of security awareness，to ensure the effective protection of enterprise information security.

Keywords：information security;information security management;security vulnerability scanning;network security

0  引  言

20世紀中叶，在信息论、控制论、计算理论的支撑和指导下，信息科学技术得到了突飞猛进的发展。当前，信息已成为最具活力的生产要素和最重要的战略资源，以网络为核心的信息系统成为国家的重要基础设施。

信息安全是信息的影子，哪里有信息，哪里就有信息安全问题[1]。信息技术的不断发展，使得信息安全问题也日益突显，该问题已对政治、经济、军事等各方面造成严重的危机。2016年美国总统大选系统被俄罗斯黑客入侵，大选结果受到干扰;2017年5月12日全球爆发WannaCry勒索病毒，至少150个国家、30万用户中招，造成损失达80亿美元;美国在两次海湾战争中实施了信息战。由此可见，信息安全已成为影响国家安全、社会稳定和经济发展的决定性因素之一，其也是当前世人关注的社会问题和信息科学与技术领域的研究热点。

国际上对信息安全的研究起步较早，投入力度大，已取得了许多成果。我国也有一批专门从事信息安全基础研究、技术开发与技术服务工作的研究机构与高科技企业，形成了中国信息安全产业的雏形。2014年2月27日，国家成立了中央网络安全和信息化领导小组，习近平总书记亲自担任组长，扎实推进网络安全和信息化工作，网络信息安全进入一个新的发展阶段。

笔者从事网络与信息安全教学和研究工作，也为一些企业提供信息安全相关的保障服务，本文根据自身经历分享心得，希望能起到抛砖引玉的作用。

1  信息安全的内涵

信息作为一种资源，具有普遍性、共享性、多效应性等特点，对于人类有着特别重要的意义，因此信息安全的保障问题备受社会的关注。信息安全的实践几千年前就已出现，如手工阶段密码技术应用[2]，20世纪50年代，科技文献中开始出现“信息安全”一词[3]，时至今日，信息安全的定义仍没有统一的标准，但人们对信息安全的理解大致相同。美国将信息安全的宣言写入法典，定义了信息安全，指保护信息和信息系统免受未经授权的访问、使用、泄露、修改或破坏，以确保信息的完整性、机密性和有效性[4]。在国内，比较认可的信息安全定义是指信息系统（包括硬件、软件、数据、人、物理环境及其基础设施）受到保护，不因偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续、可靠、正常地运行，信息服务不中断，最终实现业务的连续性。信息安全主要包括信息设备安全、数据安全、内容安全和行为安全4个方面[5]，在不是很严格的情况下，信息安全也指网络安全。

2  信息安全研究现状

信息安全关乎国家兴亡、社会稳定、经济发展、人民安居乐业，其重要性不言而喻。信息安全是一个新兴的领域，但已有大量专家学者从事该研究，且成果显著。归结起来，当前信息安全的研究集中在技术和管理两个层面。

2.1  信息安全技术研究

从理论上来看，技术越强，越能摆脱对国外技术的依赖，掌握话语权。拥有先进的技术，能防范风险、抵御攻击，避免信息泄露，保障信息安全。相当一部分专家学者从事信息安全相关技术的研究，如从技术层面实现信息隐藏、信息加密、数字签名、身份认证、防火墙、入侵检测、入侵防御等等[5-7]。这些研究从技术的角度出发，以达到保证信息的完整性、机密性、有效性、可控性和可审计性的目的。

2.2  信息安全管理研究

英國标准协会（BSI）于1993年立项、1995年出版了BS7799标准[8]，作为确定工商业信息系统在大多数情况所需控制范围的参考基准，后经国际标准化组织（ISO）修改为国际标准，其目的在于为信息安全管理提供建议，旨在为一个机构提供用来制定安全标准、实施有效的安全管理时的通用要素，并使跨机构的交易得到互信。不少专家学者及团队在国际标准的基础上，研究政府、企业、事业单位的信息安全管理体系[9]，通过管理确保信息的安全。

随着云计算、物联网等技术的发展，云安全、物联网安全的概念也孕育而出，这其实是信息安全在云计算和物联网领域中的具体体现，研究内容也属于技术和管理两个方面。

3  企业信息安全管理体系构建

所谓“三分技术，七分管理”，技术是关键，管理是核心。因此，要保证信息安全，技术不可忽视，管理更要加强。根据笔者的切身经历，很多企业在信息安全方面存在诸多问题，如很多员工将设备密码设置为简单的“1”“123”等弱密码，比较复杂的密码却用纸条贴在显示屏上，他们觉得信息安全工作增加了麻烦，妨碍了正常工作;安全管理员工作在幕后，得不到领导的重视;有些企业信息安全技术力量薄弱，满足不了基本的防御工作需要;企业缺乏考核机制，存在的信息安全问题得不到及时有效的处理。根据上述问题，从安全意识提升、网络安全扫描、加强技术培训、加强制度管理和成立领导小组五个方面考虑构建信息安全管理体系，如图1所示。

3.1  安全意识提升

意识具有能动性，正确的意识能够指导人们有效地开展实践活动，促进客观事物的发展。加强宣传，提升员工信息安全意识，充分利用主观能动性，使员工自觉地关注信息安全，养成良好的生活和工作习惯。

信息安全管理员可以借助微信、短信、邮件等平台和工具，提醒全体员工“人走电脑要锁定，账户密码需加强;文件储存要加密，资料备份莫忘记”，提升员工预防信息泄露和破坏的意识。2017年WannaCry勒索病毒等事件对社会和经济造成了巨大的无法挽回的损失，信息安全管理员应该及时向全体员工分享诸如此类的病毒入侵等信息安全案例、信息安全知识及防护措施，提醒大家不能掉以轻心、需时刻保持警惕;同时需要大家支持信息安全管理人员的工作，配合他们共同保障企业的信息安全。

3.2  网络安全扫描

网络安全扫描是一种基于Internet远程检测目标网络或本地主机安全性和脆弱性的技术。借助于第三方安全扫描工具和系统，如网络嗅探（Network Mapper，Nmap）[10]、心脏出血漏洞检测（CrowdStrike Heartbleed Scanner）等工具定期对全网进行安全扫描，以发现终端设备存在的弱口令、Web服务器开放的端口和服务、操作系统和应用软件的版本及呈现出的安全漏洞。对存在的问题，按“谁主管谁负责、谁运营谁负责、谁使用谁负责、谁接入谁负责”的原则，通过邮件、电话通知相关部门、人员进行处理。

在信息化趋势的驱动下，企业建设的信息系统结构复杂、设备种类较多，为方便管理，将设备按服务器、存储设备、核心网络设备、一般网络设备和终端设备分类，信息安全管理员应定期对系统的漏洞、弱口令、病毒进行扫描，对存在有安全隐患的设备及时通知，督促具体部门按要求完成整改工作;并通过复核机制，检查安全漏洞整改结果，确保安全漏洞真正得到有效修复。如图2所示，使用CrowdStrike Heartbleed Scanner对网段10.155.225.48、10.155.227.180和10.155.227.181三台主机的5091和5826端口进行扫描，发现10.155.225.48和10.155.227.180分别开放了5091和5826端口，存在OpenSSL TLS心跳扩展协议包远程信息泄露漏洞。

现实情况下，企业信息安全技术力量薄弱，对于管理人员使用各种工具的能力，需要通过适当的培训加以提升。

3.3  加强技术培训

培训是企业提高员工素质并增强企业核心竞争力的重要手段。对于企业结构庞大、人员众多的企业，负责信息安全的员工可以划分成不同的层级，各司其职，共同完成企业的信息安全工作。当然，对不同层级的信息安全管理员，要区别对待，组织不同内容、不同深度的培训。公司层面的信息安全管理人员学历高、基础好，可以安排系统的专业的培训，学习新技术、熟悉新产品，如防火墙、入侵检测系统（IDS）、入侵防御系统（IPS）等设备或系统的部署和配置，并能将新技术、新产品应用到企业实际系统当中，从宏观层面建设安全的信息安全防护体系，达到保障信息安全的效果;对于部门层面的信息安全管理人员，不需要过于专业和深入的培训，可以通过视频会议讲授一些基础的操作技术，节约员工时间和企业成本，使他们在实际工作中具备系统漏洞扫描、终端安全加固等的能力即可，从微观层面避免给外界攻击、入侵提供可乘之机，如学习使用简单的Nmap等扫描工具，对操作系统进行端口禁用等等。

3.4  加强制度管理

无规矩不成方圆，制度的制定为管理工作提供有效的保障。信息安全制度有利于规范网络信息安全管理工作，降低安全风险，提升防护能力，实现网络信息安全管理的可知、可控、可管理。明确信息安全的重要性，规定维护人员的责任和义务，规范安全管理原则，做到各项生产环节严格按照信息安全管理办法执行，以保障信息安全为前提，开展各项生产工作。如常态化信息安全巡查工作，定时进行网络信息系统安全自查，建立应急突发事故应急机制，确保在最短的时间内解决问题，保持网络畅通。通信网络的特殊性，决定了信息安全是一个动态的防护过程，要做好信息安全工作的日常监督管理，形成良好的监督管理模式，促进信息安全工作贯穿于“事前预防、事中控制、事后处理”过程。

没有制度的约束，广大员工不支持、不配合、甚至不理会，安全管理员也就没有动力和激情甚至不作为，安全管理工作自然不能落地。笔者所接触的企业基本如此，弱密码和密码贴在显示屏上的问题反复出现，可谓屡教不改。事实证明，制定管理制度，如通过绩效考核机制强制员工各司其职，信息安全管理工作开展起来就更为顺利。

3.5  成立领导小组

组织建设的核心是团队的建设，包括明确团队的领导者、管理者、执行者，确定各级组织的职责和分工。让各员工在团队中各执其责，做好各自工作，提高团队的凝聚力和战斗力，以此力量指导信息安全管理工作。

某公司分级成立信息安全领导小组，借助领导的响应力和号召力，以总经理为组长，设立信息安全办公室，配备信息安全管理人员和技术人员，组织搭建公司信息安全“保护网”，开展信息安全各项管理及生产职能工作。每次绩效会上，该企业相关领导都会通报信息安全工作情况，强调信息安全的重要性，进一步提升员工的信息安全意识。受领导影响，信息安全工作在全企业得到贯彻落实。

4  结  论

企业为了生存和追求利益，会有或多或少的商业机密，还会有以各种方式获取的消费者信息，信息安全管理工作必须落到实处。企业要履行好社會责任，落实好信息安全的保障工作，努力维护国家安全、社会稳定和客户合法权益。当然，信息安全管理工作是一个长期的过程，需不断研究和探索符合企业自身发展的新方法、新思路。

参考文献：

[1] 张焕国，韩文报，来学嘉，等.网络空间安全综述 [J].中国科学：信息科学，2016，46（2）：125-164.

[2] 郑东，赵庆兰，张应辉.密码学综述 [J].西安邮电大学学报，2013，18（6）：1-10.

[3] 王世伟.论信息安全、网络安全、网络空间安全 [J].中国图书馆学报，2015（2）：72-84.

[4] Legal Information Institute. 44 U.S. Code § 3552. Definitions [EB/OL].（2014-12-18）.https：//www.law.cornell.edu/uscode/text/44/ 3552.

[5] 沈昌祥，张焕国，冯登国，等.信息安全综述 [J].中国科学（E辑：信息科学），2007（2）：129-150.

[6] 蹇诗婕，卢志刚，杜丹，等.网络入侵检测技术综述 [J].信息安全学报，2020，5（4）：96-122.

[7] 韦小刚.基于nDPI的轻量级入侵检测与防御系统的设计与实现 [J].计算机应用与软件，2019，36（8）：317-319+333.

[8] 张敏情，周能，刘蒙蒙，等.同态加密域可逆信息隐藏技术研究 [J].信息网络安全，2020，20（8）：25-36.

[9] 秦天保，方芳.基于BS7799构建企业信息安全管理体系 [J].情报杂志，2004（2）：18-20.

[10] 曹雪峰，尚宇辉，傅冬颖.基于虚拟网络的入侵防御系统实验设计与实现 [J].实验技术与管理，2017（5）：109-114.

作者简介：徐洪峰（1985—），男，汉族，湖南耒阳人，网络工程师，信息安全工程师，硕士研究生，研究方向：计算机网络、网络与信息安全;陶志勇（1980—），男，汉族，湖南宁乡人，副教授，高级工程师，硕士，主要研究方向：网络通信、企业信息化、教学改革。