企業信息安全建設作(zuò)爲企業信息化發展過程中必然面臨和(hé)解決的問題,成爲當前施工(gōng)企業信息化發展中的一個焦點。
在談到(dào)企業信息安全建設時(shí),人們首要想到(dào)問題的可能(néng)就是購買殺毒軟件。在單機時(shí)代還可以這(zhè)樣考慮,随着計(jì)算(suàn)機技術的迅速發展,在計(jì)算(suàn)機上(shàng)處理(lǐ)的業務也(yě)由基于單機的數學運算(suàn)、文(wén)件處理(lǐ)發展到(dào)基于海量數據的分析與研究,基于簡單連接的内部網絡的内部業務處理(lǐ)、辦公自(zì)動化等發展到(dào)基于複雜(zá)的内部網(Intranet)、企業外(wài)部網(Extranet)以及全球互聯網(Internet)的企業級計(jì)算(suàn)機處理(lǐ)系統和(hé)世界範圍内的信息共享和(hé)業務處理(lǐ)。在系統處理(lǐ)能(néng)力提高(gāo)的同時(shí),系統的連接能(néng)力也(yě)在不斷地提高(gāo)。但(dàn)在連接能(néng)力信息、流通能(néng)力提高(gāo)的同時(shí),基于信息安全的問題也(yě)日益突出,整體的網絡安全主要表現(xiàn)在以下(xià)幾個方面:網絡的物理(lǐ)安全、網絡拓撲結構安全、網絡系統安全、應用(yòng)系統安全和(hé)網絡管理(lǐ)的安全等。
計(jì)算(suàn)機安全問題,應該像每家每戶的防火防盜問題一樣,做到(dào)防範于未然。現(xiàn)今,信息安全控制已經成爲了(le)一個系統工(gōng)程,不是說裝個殺毒軟件就控制得了(le)系統安全,在單機時(shí)代信息安全所面臨的壓力遠小(xiǎo)于如今,企業電腦(nǎo)應用(yòng)有如下(xià)特點,數據交換量大(dà),文(wén)件種類複雜(zá),電腦(nǎo)性能(néng)差别大(dà),操作(zuò)系統平台單一。現(xiàn)今病毒特點是,種類衆多,更新速度快(kuài),破壞力強。事(shì)實上(shàng),除了(le)殺毒軟件,還有許許多多的安全軟件值得企業用(yòng)戶去學習和(hé)借鑒。IDC曾在一份報(bào)告中指出,在未來(lái)幾年内,安全軟件這(zhè)一領域的增長将爲安全管理(lǐ)、訪問授權、識别技術、安全内容管理(lǐ)、加密技術、防火牆/VPN技術、入侵檢測,以及風(fēng)險管理(lǐ)等幾個産品領域分享。安全管理(lǐ)、訪問授權、識别技術三種軟件簡稱3A軟件,用(yòng)于保護計(jì)算(suàn)機系統安全及企業網絡應用(yòng)的過程中的安全防範;安全内容管理(lǐ)軟件用(yòng)于掃描電子郵件、在線下(xià)載文(wén)件,管理(lǐ)Web内容安全;加密軟件保護企業的重要信息不被盜竊、洩密;防火牆/VPN技術是通過識别威脅與附截通道(dào)以保護數據及應用(yòng);入侵檢測産品主要用(yòng)于及時(shí)監控并發現(xiàn)網絡進出流量的異常與攻擊行爲點,實施主動防禦;風(fēng)險管理(lǐ)軟件用(yòng)于進行漏洞掃描和(hé)風(fēng)險評估。
近期在各大(dà)媒體上(shàng)發酵的一個事(shì)件也(yě)間接證明(míng)了(le)安全軟件的能(néng)力,某企業員工(gōng)在辦公網内爲自(zì)己投遞其他(tā)企業的招聘文(wén)件被企業發現(xiàn),開(kāi)除處理(lǐ)。一時(shí)間,個人隐私與信息安全進入人們的視(shì)野,從(cóng)一個專業技術人員的角度去分析,在内網安全中,去識别信息流,是有效保障企業安全的一個手段,該企業在識别顆粒度上(shàng)做的很(hěn)細,導緻個人隐私被識别,也(yě)是在所難免的。
國内企業早些(xiē)年對(duì)信息安全的重視(shì)程度不夠,随着信息化的發展,信息系統的建設與日俱增,加之國家這(zhè)幾年對(duì)信息安全也(yě)不斷增加投入,信息安全逐步成爲信息化建設中不可或缺的一部分。有報(bào)道(dào)指出,我國企業在信息安全方面的投入(主要是安全軟件産品)相當有限,在國外(wài),安全投入通常占到(dào)企業基礎投入的5-20%,而在國内卻很(hěn)少有企業超過5%。
企業信息安全的建設在現(xiàn)今狀态下(xià),應注意從(cóng)如下(xià)幾個方向進行設計(jì)分析。
一、制定安全總體方針,确認安全建設目标
通過評估總體安全風(fēng)險,确定安全綱領和(hé)總體方針,明(míng)确安全權利義務責任,有助于建立适用(yòng)及高(gāo)效的信息安全體系,盡可能(néng)的降低(dī)安全風(fēng)險,提高(gāo)組織的整體安全防護水(shuǐ)平。
安全管理(lǐ)者還需要根據安全目标制定相應的安全規劃,包括長期目标及中期目标,以及階段性成果的短期目标,提高(gāo)公司對(duì)信息安全的信心,從(cóng)而獲取更多的支持。
二、建立組織機構,确認角色責任
1.設立安全管理(lǐ)委員會(huì),公司信息安全最高(gāo)權利機構
信息安全管委員會(huì)主席應由高(gāo)層管理(lǐ)層或全權代表擔任,是信息安全總體負責人,總體協調工(gōng)作(zuò)由安全部門(mén)負責人負責,委員由内審合規部,人力資源部,法務部,政府關系以及各事(shì)業部的産品、技術負責人組成。
定期召集信息安全委員會(huì)會(huì)議(yì),委員提交各種決議(yì)草案,戰略計(jì)劃、政策建議(yì),待發布的制度等,由委員會(huì)共同讨論決策,如果針對(duì)某項決議(yì)委員會(huì)無法達成統一決議(yì),由主席最後來(lái)決策。
安全委員會(huì)下(xià)設執行小(xiǎo)組,根據具體事(shì)務,将各委員與專家組共同進行确認,如成本控制,變更控制,風(fēng)險管理(lǐ),重大(dà)安全事(shì)件響應,以及合規審計(jì)等。
2.專職的安全團隊
每個公司都需要有一個專職的安全團隊,執行安全管委會(huì)的指示,全面負責公司信息安全的具體工(gōng)作(zuò);
三、人員管理(lǐ),實現(xiàn)員工(gōng)從(cóng)入職到(dào)離職的全周期安全管理(lǐ)。
人員是公司最重要的信息資産,做爲安全從(cóng)業人員,你(nǐ)需要對(duì)人員進行有效的設計(jì)及管理(lǐ),與人力資源部進行協作(zuò),降低(dī)相應的風(fēng)險;設計(jì)安全培訓體系,通過多種樣式,讓員工(gōng)能(néng)夠通過培訓學習安全制度以及安全技能(néng),從(cóng)而提高(gāo)員工(gōng)安全意識。
四、選擇造合企業的信息安全綜合解決方案,構建适合本企業的安全信息平台
在有了(le)制度、人員和(hé)技術的配比情況下(xià),我們往往還需要有一套安全技術平台,通過信息平台及時(shí)了(le)解企業信息安全整體運行情況,有助于技術人員及時(shí)分析、研判當前的信息安全形勢。
在發生安全風(fēng)險時(shí),技術人員可以借助安全平台及時(shí)有效發現(xiàn)風(fēng)險點,通過漏洞修複,安全手段加強等方式,築牢企業的信息安全防線。
除此之外(wài),我們在守護信息安全這(zhè)個潘多拉時(shí),也(yě)要因時(shí)求變,要把項目管理(lǐ)中的PDCA引入到(dào)安全管理(lǐ)中,所謂PDCA,即是計(jì)劃(Plan)、實施(Do)、檢查(Check)、行動(Action)的首字母組合。每一項安全工(gōng)作(zuò)都需要經過計(jì)劃、執行計(jì)劃、檢查計(jì)劃、對(duì)計(jì)劃進行調整并不斷改善這(zhè)樣四個階段。對(duì)企業信息安全負責人來(lái)說,這(zhè)是一個有效控制管理(lǐ)過程和(hé)工(gōng)作(zuò)質量的工(gōng)具。采用(yòng)PDCA可以使你(nǐ)的安全管理(lǐ)向良性循環的方向發展,通過實施并熟練運用(yòng)。
最後筆(bǐ)者認爲,公司信息安全除了(le)有管理(lǐ),技術,運營三個體系是不夠的,應該還有一個安全審計(jì)體系,實現(xiàn)“權力應該放(fàng)在籠子裏”,安全審計(jì)将對(duì)安全組織的權利進行制約,同時(shí)對(duì)安全體系建設的成果進行考核和(hé)審計(jì),會(huì)使安全體系更加有效。
羅馬也(yě)不是一天就能(néng)建成的,安全體系建議(yì)也(yě)不是一下(xià)子就建好(hǎo)的,需要打好(hǎo)基礎,循序漸進,一步一步來(lái)。