随着信息技术的飞速发展,各企事业单位都在进行局域网建设并连入互联网,信息化建设有了长足发展,综合业务系统的上线和数据大集中工程的实施,极大地提升了企业的管理水平和工作效率,进一步增强了企业的综合竞争力。但同时, 信息安全所面临的各类风险也显著增大,必须引起各方面的高度重视。 当前,认真分析信息安全面临的新形势,尽快采取措施建立健全信息安全保护体系,保证信息系统的安全,确保企业机密不外泄,是非常值得探讨的一个问题。

    威胁已经从外部转向内部
    根据美国洋基集团一项针对北美和西欧六百家公司的调查显示,2004年的安全问题有5成源自内部,高于前一年的3成。该集团表示:“威胁已从外部转向内部”。每年企业界动辄投资上千万防毒防黑,但企业防御失效的另一个容易被忽略的问题是:来自员工、厂商或其它合法使用系统者的内部滥用。在漏洞攻击愈来愈严重的今天,有可能因为一个访客携入的计算机而使整个企业的安全防护体系如同虚设。
    从病毒造成破坏的情况来看,企业网由于感染病毒、蠕虫或木马,造成企业机密资料被窃取、信用信息泄露、网站主页被黑,等,甚至造成整个安全体系的崩溃,对企业造成了严重的破坏。
    “七分管理三分技术”,信息安全管理是企业信息安全的核心,信息安全管理制度是支撑和依据。通过制定、实施适合本单位实际的安全策略、安全标准、安全方针、安全措施来保证企业信息资产的完整性、机密性、可用性。
    基于对网络威胁的多种因素进行综合分析,最终还是人为因素起着决定性的作用。外部人员造成的威胁比较容易发现和控制,商业伙伴造成的威胁可以通过合同限制加以约束,但很多时候来自内部的威胁由于具有极大的隐蔽性和透明性导致更加难以控制和防范。所以在确定威胁的时候,不能只看到那些比较直接的容易分辨的外部威胁,来自内部的各种威胁也应该引起高度重视。加强企业安全管理是采取技术措施之外的,保证企业信息安全的不容忽视一个重要手段。
    许多企业往往只重视安全设备的投资,采用了价格昂贵的信息安全设备,但往往制定的关于信息安全的各项措施或者使用者往往无法配合,或者虽然制定了各项信息安全的管理规定,而在执行中往往流于形式,产生了很大问题。据趋势科技全球防毒研发暨技术支持中心TrendLabs分析归纳指出,企业信息管理部门目前面临的信息安全管理难题,主要有以下六点:
    (1) 光靠防毒及其它信息安全软硬件,并不足以对抗网络威胁
    (2) 针对漏洞发出的攻击,让人根本来不及反应
    (3) 没有人能够24 小时全年无休工作。(除了间谍软件等恶意程序)
    (4) 缺乏中毒的网络管理日志历史数据,无法拟定正确的防毒策略与管理计划
    (5) 员工总是无法从每次病毒灾难中记取教训
    (6) 商机与商誉,在网络恢复运作之前,只能眼睁睁地流失
    这些信息安全管理上的难题,往往并非企业中的信息部门人员可以独力解决的。许多企业将所有的问题归咎于信息部门人员,不但不公平,同时也无法真正解决问题。信息部门多样而繁杂的工作,以及有限的人力,使得信息安全管理的工作,成为其沉重而无法独力承担的责任。并且有时候问题的根源很难察觉,即使对问题的根源得到了重视,但是由于人力、管理、甚至信息部门人员行政权限的文等各种资源的限制,使这些的问题无法彻底得到解决,为此必须在管理上加大力度,确保各项信息安全制度得到真正的落实。
    企业信息安全要用健全的制度去约束人的行为,杜绝随意性,建立设备和资源的保管、维护、使用制度,建立各项突发安全事件的报告机制、建立科学评价与反馈机制来确保信息系统的应用。
    信息化主管部门应当制定信息安全管理制度,并以企业正式文件的形式发布。内容涉及计算机系统的使用、计算机机房的管理、计算机网络管理、信息系统的使用和推广等。它通过公司规章化和内部法律化形式,来建立信息系统稳定、高效运行的管理机制。加强制度建设和科学规范的管理,是信息系统能够正常运转、有效应用和推广的保证。
    一是企业信息化管理制度的内容要完整、制定的方法要科学,企业信息化制度的制定应遵循科学、规范、合理、全面的方法。从总体上看,企业信息化管理制度,不能只倾向于硬件和网络方面的制度管理,还应当加强对软件、业务流程、内部资源的内容、ERP等系统的用户权限的管理,企业信息化制度要全面、科学的涵盖各项信息管理工作,避免造成信息管理上的漏洞。
    二是企业信息化制度不能流于形式,而应当有必要的约束力。即使建立了完善的企业信息化管理制度体系,如果企业信息化制度成为企业项目建设档案保存或作为应付对企业相关检查的材料,那么这些制度会形式,对于违反制度行为和相关人员的并没有任何直接约束,影响到企业信息化制度工作的权威性,制约着企业信息化工作的深入开展。
    对于制定的信息化制定,一旦得到指定,并以公文的形式进行发布,作为企业的管理部门,就应当将信息化的制度作为工作考核的项目之一,并将考核结果纳入到部门的月度、年度综合评价中,确保这些制度确实得到有效的执行,使信息化安全管理工作真正做到要制度化、经常化。

   企业信息化制度建设应遵循的原则
    1、实用性原则:在信息化制度制定时,企业要根据自己的实际情况和日常运行中存在的问题制定相应的信息化管理制度,不能生搬硬套。由于各家企业的实际情况千差万别,在一家企业运行的很好的制度,搬到另一家公司可能会出现严重的水土不服的情况,甚至严重影响企业的工作效率,扰乱正常的办公秩序,结果造成制度不能得到很好的执行。
    2、全面科学的原则:对于企业信息化管理制度一定全面、科学。一个企业的信息化管理中会存在很多的问题,问题之间必然存在着一定的关联性,一个片面的制度只能解决某一方面的问题,而无关解决信息化管理中的全面问题。为此,制定制度一定要科学,符合客观实际,并且在企业中做到切实可行。对于在运行中遇到的问题,一定要认真对问题进行分析,并对不完善的地方进行及时修正,确保制度的完善性、科学性及权威性。
    3、各部门的目标要明确:由于各部门的职责不同,为此各部门在制度执行中要实现的目标和责任也不同,每个部门都应有明确的目标和责任,做到有的放矢,体现整个制度的完整性和合理性。
    4、与企业的奖惩制度要关联
    信息管理制度一定要纳入企业的经营考核中去,并占有一定的考核分值,并与部门的奖惩制度挂钩,否则制度只会成为一纸空文,很难起到真正的制约作用,制度也很难得到真正的执行。
    企业信息化制度建设中,加强信息化安全教育也是确保企业安全的一个重要手段,安全意识和相关技能的教育是企业安全管理中重要的内容,其实施力度将直接关系到企业安全策略被理解的程度和被执行的效果。作为企业信息化的管理部门,必须十分重视对企业员工在这个方面的教育力度,加强员工在信息安全方面的风险意识,使信息安全制度由被动执行转变为主动执行,从而确保制度的顺利、全面的得到执行。
    总之,在当今的企业环境中,在信息安全的问题上,“技术是主体,管理是灵魂”。要解决信息系统安全问题,必须十分重视管理在信息安全方面的重要作用,才能真正解决企业的信息安全问题,将有效的安全管理实践贯彻落实于信息安全当中,网络安全的长期性和稳定性才能有所保证,确保企业信息网络的运行质量不断得到提高。