保障信息安全 构筑企业生命堡垒

◎

市场竞争的日益激烈，使得企业不得不通过信息化建设带动企业的转型升级，利用信息技术增强企业自身核心竞争力已成为众多企业的共识，企业的信息化建设工作空前繁荣。然而，随之而来的信息安全问题也呼之欲出，信息技术的快速进步，使以往公认的安全状态发生了显著的变化。企业面临着海量增长的数据、更多的数据侵犯以及各种内外部威胁，诸多潜在风险对企业的信息安全构成挑战。信息安全在企业的信息化建设过程中成为至关重要的问题，信息安全也不在局限于简单的定义，它被越来越多的企业正式提到工作日程中去。

信息安全愈加受到企业重视

国际公认的ISO/IEC IT安全管理指南(GMITS)对信息给出如下解释：信息是通过施加于数据上的某些约定，当前赋予这些数据的特定含义。信息可以理解为消息、情报或知识。信息本身是无形的，借助于信息媒体以多种形式存在，有的存储在计算机里，有的保存在磁带或光盘里，有的被摄制在胶卷里，有的记忆在人的大脑里，有的通过传真发送，有的通过网络传送，有的通过交谈方式来表达。

信息作为一种无形资产，是企业进行商务运作和管理不可或缺的资源，也是企业重要的“无形财富”。在信息时代，信息不断创造财富，并为企业发展提供不竭动力，而随着企业信息化建设工作的不断推进，大多数企业的信息化系统进入高速发展阶段，信息化系统推动企业转型变革，企业利用信息化系统提高工作效率并创造了全新的工作方式。

眼下，政府部门、金融部门、企事业单位的多项业务运行都要依赖于信息系统，信息系统数量大幅增加，系统复杂程度日益提高，特别是企业的基础信息网络和重要信息系统已经成为支撑企业业务发展，提高企业核心竞争力的重要载体和主要手段。因此，信息系统的安全性变得尤为重要。例如ERP（企业资源计划）系统、OA(办公自动化)系统以及各类管理信息系统，都会涉及到企业信息的存储、传输与使用等信息处理问题，在这一繁琐的信息处理过程中，信息安全问题变得至关重要。

企业如何保护信息安全和信息系统安全，最大限度的减少或避免因信息泄密、病毒泛滥、网络攻击、恶意插件安装等信息安全问题所造成的经济损失及对企业形象的影响，是摆在众多企业面前亟需妥善解决的一项具有重大战略意义的课题。对于企业存储在计算机中的重要文件以及保存在数据库中的机密数据等信息都存在着安全隐患，一旦丢失、损坏或泄露，使信息不能及时送达，将会给企业造成巨大损失。如果是商业机密信息，给企业造成的损失将更加严重，甚至会影响到企业未来的生存和发展。

业内人士表示：日趋严峻的网络环境直接提升了信息安全在企业组织架构中的地位和重要性。多年来企业的业务和IT负责人员对信息安全抱着不同的观点，但屡屡爆发的信息安全事件使企业的信息安全压力加剧，使管理人员对信息安全的重要性重新审视并渐趋一致。

中国电子信息产业发展研究院针对中小企业对他们的信息安全需求做过调查，结果显示，企业对于信息安全的认知相较于早年前有了明显提升，有相当一部分的企业正视信息安全问题，并认为信息安全将成为企业未来发展的决定性因素之一；调查还显示五分之一的企业没有信息泄密的事件发生，说明信息安全对大多数企业已经构成威胁。此外，根据《2012年全球信息安全状况调查》的结果显示，来自138个国家不同行业超过9600位高级管理人员都对其企业信息安全工作的成效很有信心，并将在未来继续加大企业对信息安全方面的投入。

这些数据都充分说明信息安全在企业中的地位正在日益提升。企业的正常运作离不开信息资源的支持，大到企业的发展战略、经营计划、知识产权；小到企业的生产工艺、方案图纸、客户资源等各种重要数据，都是企业日常运营中的隐形财富。这些信息是企业全体员工共同的智慧结晶，不仅是企业未来发展的不竭动力，也是企业前进的方向。企业的重要信息一旦外泄将直接导致企业失去市场竞争优势，甚至会遭受灭顶之灾。

企业信息安全现状

在没有使用计算机进行信息资源管理之前，信息通常都是以纸介质和某些设备（如录音、录像设备等）进行保存和传播，国家以及相关机构对信息的安全管理有着严格法律法规约束，一旦出现安全问题，可以通过行政、执法手段进行追踪，查出问题的根源，并追究其相应的责任。而现在利用信息技术管理的信息安全问题相较之前变得更为复杂，病毒传播、黑客攻击等安全问题，大大增加了信息安全的管理难度。信息安全一旦出现纰漏，企业的相关信息将面临丢失乃至落到竞争对手手中，因此，企业的信息安全问题至关重要。

要保证企业信息安全，就必须找出企业信息安全方面存在的问题，从而才能有针对性地解决问题。目前，很多企业在信息化建设过程中，对于信息安全没有系统的规划，缺少完善的制度。很多企业信息安全管理制度不健全，部分企业虽然制定信息安全管理制度，但在实践过程中往往流于形式。同时，多数企业的信息化工作仍然停留在构建网络平台、购买硬件和软件等方面，企业对于信息安全教育培训意识淡薄；企业相关管理人员也片面地把信息安全问题理解成一道坚固的、天然的静态防线，没有从更深层次剖析信息安全的深刻意义，高层领导对于信息安全没有引起足够的重视，从而埋下了信息安全的隐患。

与此同时，垃圾邮件、网络资源滥用、病毒泛滥以及网络攻击、系统非法入侵、数据泄密、服务器瘫痪、漏洞非法利用等问题成为企业最为头疼的信息安全问题。由于入侵者或入侵组织对企业的入侵行为往往混杂于正常的网络活动之中，没有地域和时间的限制，隐蔽性很强，而入侵的手段和工具也越来越趋向复杂化和多样化，这给很多企业的信息安全造成巨大威胁。

不可忽视的是，部分企业人员流动频繁，企业内部信息缺乏妥善保存，没有形成严格的分层权限管理，很容易引起因员工的流失导致重要信息的泄露。同时，我国大部分企业缺少对信息安全方面的管理经验，因而在正常的信息化应用情况下，往往会忽视对企业信息资产的保护。

更为重要的是，部分企业在信息化建设初期投入较低，技术力量薄弱。众所周知，企业要想全面实施信息化，需要投入大量的人力、物力和财力，同时也要引进专业的IT人才。然而很多企业由于自身条件限制、资金短缺等问题，对信息化建设工作投入不大，信息化建设工作也不专业，信息安全更加无从谈起。另外，即使对于重视信息化建设并且实力雄厚的企业来说，企业的注意力往往局限于信息化系统的硬件上。数据显示，企业硬件的投资占到整个信息化投资的80%以上，而配套软件投入以及专业人才的培养相对滞后。这些问题都造成了企业信息安全问题的短板。

据IDC调查报告显示，全球有近80%的企业存在着信息安全与风险问题。在报告所调查的公司中，进行网络常规安全检查的公司不到一半，只有30%的公司具有跟踪用户访问的能力，30%的公司使用加密技术进行数据传输。信息安全问题大都来自于企业内部，信息泄密很多时候源于信息安全管理不善。

关于企业信息安全的思考

我国国家信息安全战略的总体目标是：提高信息化建设能力，控制和化解信息化进程中出现的问题与风险，创建安全健康的网络环境，保障和促进信息化发展，保护公众利益、维护国家安全。建立和完善维护国家信息安全的长效机制，掌握国家信息安全的战略主动权。

针对我国的实际情况，仅仅依靠企业自发地去建设信息化及其安全意识是不够的，发达国家的经验已经证明：在企业信息化建设过程中，政府的支持、鼓励与引导至关重要。政府的作用主要是改进和完善企业信息化建设的环境，包括信息化基础设施建设、配套体系的建立和完善、信息安全相关法律法规的制定等，从而为企业信息化建设工作及其信息安全管理营造一个良好的环境，确保企业核心信息受国家法律保护而不受侵害。

在企业信息化建设过程中，要通过对企业领导与计算机管理骨干技术人员的培训，加强相关人员对信息安全的认识，提高专业人员的技术水平。通过前期对信息安全的整体规划，制定企业信息安全制度，为企业信息安全管理奠定基础。在信息安全投入方面要从企业的实际情况出发，首先要对企业的信息安全有一个系统的评估，弄清楚企业需要对哪些方面进行保护？对哪些方面进行重点保护？企业的核心信息是什么？搞清楚这些问题后，有针对性的制定信息安全管理办法，结合企业信息安全制度，对企业的核心信息进行分层级权限管理，配合企业信息从输入、使用、输出过程的安全管理, 以最小的投入，确保企业信息安全。

企业在信息化建设中的信息安全问题有着广泛的内容，信息安全系统的建设管理、维护是一项系统工程，涉及多个方面、多个部门。目前，企业的信息安全问题主要以防范为主，信息安全建设从管理开始，结合企业的实际情况制定系统有效的信息安全制度是企业的当务之急。

在信息时代,有效的企业信息安全管理对企业的良好运作至关重要,在具体的实施过程中，企业信息安全工作需要从前期安全策略的具体制定、中期信息安全解决方案的选择与实施、后续的信息安全的修复、跟进等多方面、全方位予以重视，并作周到细致的考虑。信息安全建设是伴随着企业信息化建设的一个长期过程。

企业要保持健康可持续性发展，信息安全是基本保证之一。随着信息环境的日益恶化以及企业自身的不断发展，越来越多的信息安全事件层出不穷，信息安全问题已经被企业提上议事日程，企业管理者也逐渐走出以往的误区，并加大对信息安全的投入。信息安全管理成了企业首要任务之一，越来越多的中小企业也纷纷加入到这个日益庞大的队伍中来。在不久的将来，信息安全作为企业生存和发展的关键因素，将被更多的企业所关注。