導(dǎo)語：嚴格實施安全策略保障信息化管理論文一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

編者按：本文主要從信息安全的含義；企業(yè)管理中信息安全的需求；制定信息安全策略；結(jié)語進行論述。其中，主要包括：管理實現(xiàn)代化、網(wǎng)絡(luò)化、信息化已迫在眉睫，勢在必行、信息社會的安全問題不僅涉及到個人權(quán)益、企業(yè)生存、金融風(fēng)險防范、社會穩(wěn)定和國家安全、運行系統(tǒng)的安全、系統(tǒng)信息的安全、企業(yè)現(xiàn)代化的運作和管理是依賴于企業(yè)的網(wǎng)絡(luò)和國際互聯(lián)網(wǎng)、對人的安全需求、對應(yīng)用系統(tǒng)的安全需求、對數(shù)據(jù)的安全需求、信息安全不只是網(wǎng)絡(luò)保護問題，而應(yīng)該是能夠幫助企業(yè)實現(xiàn)業(yè)務(wù)目標的一整套技術(shù)手段和措施、要保護的對象、判斷系統(tǒng)保護應(yīng)該針對哪些人、數(shù)據(jù)安全的考慮、備份、文檔存儲和數(shù)據(jù)處理等，具體請詳見。

[摘要]：隨著信息化建設(shè)的不斷推進，信息系統(tǒng)已經(jīng)成為企業(yè)和政府經(jīng)營管理的核心組成部分，管理實現(xiàn)信息化提高了工作效率和工作質(zhì)量，但同時我們也意識到信息安全問題直接威脅著管理本身的正常開，信息安全與防范成為信息化管理必須引起關(guān)注的問題。

[關(guān)鍵詞]：信息系統(tǒng)安全管理

隨著信息技術(shù)以其驚人的發(fā)展速度向社會各個領(lǐng)域滲透，高效、便利與快捷的優(yōu)勢已不言而喻，管理實現(xiàn)代化、網(wǎng)絡(luò)化、信息化已迫在眉睫，勢在必行。然而，信息技術(shù)是一把“雙刃劍”，在計算機和網(wǎng)絡(luò)技術(shù)為檔案管理提供便利的同時，其自身的脆弱性、技術(shù)的壟斷性以及人為破壞等因素，又威脅到信息的安全，因而在信息化管理過程中，針對信息安全存在的威脅，有著高度警惕的思想和有效防范的措施。

一、信息安全的含義

信息社會的安全問題不僅涉及到個人權(quán)益、企業(yè)生存、金融風(fēng)險防范、社會穩(wěn)定和國家安全，甚至關(guān)系到環(huán)境安全、生態(tài)安全和人類安全。它是物理安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、信息內(nèi)容安全、信息基礎(chǔ)設(shè)施安全與公共、國家信息安全的總和，是一個多層次、多因素、多目標的復(fù)合系統(tǒng)?，F(xiàn)代信息安全主要包括兩個方面的含義，即運行系統(tǒng)的安全和系統(tǒng)信息的安全。

1、運行系統(tǒng)的安全

運行系統(tǒng)的安全，包括嚴格而科學(xué)的管理，如對信息網(wǎng)絡(luò)系統(tǒng)的組織管理、監(jiān)督檢查，規(guī)章制度的建立、落實與完善，管理人員的責(zé)任心、預(yù)見性、警惕性、使命感等;法律、政策的保護，如用戶是否有合法權(quán)利，政策是否允許等;物理控制安全，如機房加鎖、線路安全、環(huán)境適宜等:硬件運行安全;操作系統(tǒng)安全，如數(shù)據(jù)文件是否保護等;災(zāi)害、的避免和解除;防止電磁信息泄漏等。

2、系統(tǒng)信息的安全，包括:用戶口令鑒別;用戶存取權(quán)限控制;數(shù)據(jù)存取權(quán)限、方式控制、審計跟蹤、數(shù)據(jù)加密等。從要素來看，信息安全是過程、政策、標準、管理、指導(dǎo)、監(jiān)控、法規(guī)、培訓(xùn)和工具技術(shù)的有機總和。信息安全問題主要依靠密碼、數(shù)字簽名、身份認證、防火墻、安全審計、災(zāi)難恢復(fù)、防病毒、防黑客入侵等安全機制加以解決。

二、企業(yè)管理中信息安全的需求

企業(yè)現(xiàn)代化的運作和管理是依賴于企業(yè)的網(wǎng)絡(luò)和國際互聯(lián)網(wǎng)。信息化給企業(yè)管理帶來的是高效的運作和對外信息的交換等的極大好處。信息系統(tǒng)的應(yīng)用都依賴與網(wǎng)絡(luò)，這就會有許多安全間題需要解決，歸納起來主要有以下一些安全問題需要解決。

1、對人的安全需求

管理的對象是人，人是信息安全面臨的最大風(fēng)險，人的思想和情緒是最為復(fù)雜的，員工有的可能利用公司的網(wǎng)絡(luò)開些小玩笑，甚至破壞。如傳出至關(guān)重要的信息、錯誤地進入數(shù)據(jù)庫、刪除數(shù)據(jù)等等。這些都將給企業(yè)的正常運作和管理造成極大的安全風(fēng)險。

對于不滿公司的內(nèi)部管理人員如果把內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)、管理員用戶名及口令以及企業(yè)信息系統(tǒng)的一些重要信息傳播給外人帶來信息泄漏風(fēng)險，甚至是商業(yè)和法律的風(fēng)險。

還有如果存在不適當?shù)男畔⑾到y(tǒng)授權(quán)，會導(dǎo)致未經(jīng)授權(quán)的人獲取不適當?shù)男畔?。操作失誤或疏忽會導(dǎo)致信息系統(tǒng)的錯誤動作或產(chǎn)生垃圾信息;惡意篡改數(shù)據(jù)、修改系統(tǒng)時間、修改系統(tǒng)配置、惡意導(dǎo)入或刪除信息系統(tǒng)的數(shù)據(jù)，可能導(dǎo)致重大經(jīng)濟案件的發(fā)生。有令不行、有禁不止等人為因素形成的風(fēng)險，是信息化管理中最主要的安全問題。

2、對應(yīng)用系統(tǒng)的安全需求

應(yīng)用系統(tǒng)的安全涉及很多方面。應(yīng)用系統(tǒng)是動態(tài)的、不斷變化的，應(yīng)用的安全性也動態(tài)。這就需要我們對不同的應(yīng)用，采取相應(yīng)的安全措施，降低應(yīng)用的安全風(fēng)險。

如果在企業(yè)的管理系統(tǒng)中沒有考慮必要的安全模塊的設(shè)計，或安全設(shè)計存在缺陷，都會導(dǎo)致管理系統(tǒng)安全免疫能力不足。沒有完善、嚴格的安全系統(tǒng)管理機制，會導(dǎo)致機房管理、口令管理、授權(quán)管理、用戶管理、服務(wù)器管理、網(wǎng)絡(luò)管理、備份管理、病毒管理等方面出現(xiàn)問題，輕則產(chǎn)生垃圾信息，重則發(fā)生系統(tǒng)中斷、信息被非法獲取。

當前企業(yè)的管理系統(tǒng)己是一個龐大的網(wǎng)絡(luò)化系統(tǒng)，在網(wǎng)絡(luò)內(nèi)存在眾多的中小型機、服務(wù)器、前置機、路由器、終端設(shè)備，也包括數(shù)據(jù)庫、操作系統(tǒng)、中間件、應(yīng)用系統(tǒng)等軟件系統(tǒng)。網(wǎng)絡(luò)中的任何一個環(huán)節(jié)均可能出現(xiàn)故障，一旦出現(xiàn)故障便有可能造成系統(tǒng)中斷，將會影響到整個企業(yè)的管理和運作。

3、對數(shù)據(jù)的安全需求

對于企業(yè)的管理和運作，最為寶貴的財富就是數(shù)據(jù)。要保證系統(tǒng)穩(wěn)定可靠地運行，就要保護基于計算機的信息，也就是存儲在計算機內(nèi)的數(shù)據(jù)。雖然，計算機技術(shù)的發(fā)展給人們的日常生活提供了很多便利，然而，人為的操作錯誤，系統(tǒng)軟件或應(yīng)用軟件的缺陷、硬件的損毀、電腦病毒、黑客攻擊、自然災(zāi)難等等諸多因素都有可能造成計算機中數(shù)據(jù)的丟失，從而給企業(yè)造成無可估量的損失。此時，最關(guān)鍵的問題在于如何盡快恢復(fù)計算機系統(tǒng)，使其能正常運行。

三、制定信息安全策略

信息安全不是網(wǎng)絡(luò)安全，如果將注意力過多地集中在網(wǎng)絡(luò)層，往往會掩蓋信息安全更加本質(zhì)的內(nèi)涵，信息安全不只是網(wǎng)絡(luò)保護問題，而應(yīng)該是能夠幫助企業(yè)實現(xiàn)業(yè)務(wù)目標的一整套技術(shù)手段和措施。信息安全是通過制定實施一整套適當?shù)?a href="http://www.dias-ktv.com/lunwen/xinzhen/guanl/201005/361004.html" target="_blank">安全策略實現(xiàn)的。必須建立起一整套的安全策略，確保滿足企業(yè)管理的安全目標。

要制定一組最優(yōu)的信息安全策略主要的要素包括如下幾個方面：

1.要保護的對象

Ø硬件和軟件

硬件和軟件是支持企業(yè)運作和管理進行的平臺，它們應(yīng)該有策略保護。所以，擁有一份完整的系統(tǒng)軟件硬件清單是非常重要的，這當中應(yīng)該包括一張網(wǎng)絡(luò)圖。有很多方法來生成這份清單和網(wǎng)絡(luò)圖，無論用什么方法，必須確定所有東西都被記錄了。

Ø非信息類資源

清單和策略一樣，不僅僅和軟硬有關(guān)。既應(yīng)該有文檔來記錄程序、硬件、系統(tǒng)和本地管理過程，也應(yīng)該有文檔描述技術(shù)業(yè)務(wù)過程的方方面面。后者可以包括公司業(yè)務(wù)如何運作等信息，也可以展示易受攻擊的區(qū)域。

同樣的，清單應(yīng)該包括所有的正式打印表格，印有公司名字頁眉的信紙以及其它帶有官方名稱的材料。一個使用公司空白支票和正式信紙的人可以假冒公司的官員，進而盜用資金甚至損壞公司名譽。所以，必須把這些物品包括在清單里面，以使策略能夠保護這些資產(chǎn)。

Ø記錄人力資源

最重要和最昂貴的資源是人力資源，這些人操作和維護那些清單上記錄的物品。

2.判斷系統(tǒng)保護應(yīng)該針對哪些人

定義訪問是了解每個系統(tǒng)和網(wǎng)絡(luò)組件如何被訪問的過程。明白了信息資源是如何被訪問的，就能夠確定策略應(yīng)該集中在誰身上。對于數(shù)據(jù)訪問來說，有以下幾個需要考慮到的方面:

a)對信息或資源的授權(quán)和未授權(quán)訪問:

b)無意或者未授權(quán)的信息泄密;

c)執(zhí)行程序概要:

d)漏洞和用戶錯誤。

3、數(shù)據(jù)安全的考慮

我們使用計算機和網(wǎng)絡(luò)所作的每一件事情都造成了數(shù)據(jù)的流動和使用。所有的公司、組織和政府機構(gòu)，不論它們從事什么工作，都在收集和使用數(shù)據(jù)。即使是制造商的操作也離不開關(guān)鍵數(shù)據(jù)的處理，包括定價、車間自動化和存貨清單控制。由于數(shù)據(jù)的重要性，所以定義策略的時候，了解數(shù)據(jù)的使用和結(jié)構(gòu)是編寫安全策略的基本要求。

4、備份、文檔存儲和數(shù)據(jù)處理

把數(shù)據(jù)備份到外部站點或者其它介質(zhì)上，有關(guān)這方面的策略和在線訪問信息策略是同樣重要的。備份數(shù)據(jù)可以包括財政信息、客戶往來記錄甚至當前業(yè)務(wù)過程的拷貝。備份策略需要考慮的情況的包括:數(shù)據(jù)如何存檔，在準備丟棄數(shù)據(jù)的時候應(yīng)該作些什么。

上述組成要素最基本的。隨著信息環(huán)境的變化、網(wǎng)絡(luò)技術(shù)的更新、組織業(yè)務(wù)的變更，我們可以增加新的要素?？傊?，組織制定出的信息安全策略要達到控制安全保護措施的實施的目的。

四、結(jié)語

信息的安全問題是一個動態(tài)和相對的問題，信息安全的管理必須制定適當?shù)陌踩呗圆栏駥嵤?，才能為管理工作實現(xiàn)信息化提供信息安全保障。

參考文獻

[1]趙戰(zhàn)生，信息安全保障技術(shù)發(fā)展—動態(tài)與印象，中科院信息安全國家重點實驗室會議報告，2001年

[2]胡呂振、李貴濤，面向21世紀網(wǎng)絡(luò)安全與保護[M]，北京，希望電子出版社，1999年

[3]劉蔭銘,李金海，計算機安全技術(shù)[M]，北京，清華大學(xué)出版社，2000年

[4]孫卓然，信息安全工程與管理[M]，北京，人民郵電出版社，2003年