严格实施安全策略保障信息化管理论文

编者按：本文主要从信息安全的含义；企业管理中信息安全的需求；制定信息安全策略；结语进行论述。其中，主要包括：管理实现代化、网络化、信息化已迫在眉睫，势在必行、信息社会的安全问题不仅涉及到个人权益、企业生存、金融风险防范、社会稳定和国家安全、运行系统的安全、系统信息的安全、企业现代化的运作和管理是依赖于企业的网络和国际互联网、对人的安全需求、对应用系统的安全需求、对数据的安全需求、信息安全不只是网络保护问题，而应该是能够帮助企业实现业务目标的一整套技术手段和措施、要保护的对象、判断系统保护应该针对哪些人、数据安全的考虑、备份、文档存储和数据处理等，具体请详见。

[摘要]：随着信息化建设的不断推进，信息系统已经成为企业和政府经营管理的核心组成部分，管理实现信息化提高了工作效率和工作质量，但同时我们也意识到信息安全问题直接威胁着管理本身的正常开，信息安全与防范成为信息化管理必须引起关注的问题。

[关键词]：信息系统安全管理

随着信息技术以其惊人的发展速度向社会各个领域渗透，高效、便利与快捷的优势已不言而喻，管理实现代化、网络化、信息化已迫在眉睫，势在必行。然而，信息技术是一把“双刃剑”，在计算机和网络技术为档案管理提供便利的同时，其自身的脆弱性、技术的垄断性以及人为破坏等因素，又威胁到信息的安全，因而在信息化管理过程中，针对信息安全存在的威胁，有着高度警惕的思想和有效防范的措施。

一、信息安全的含义

信息社会的安全问题不仅涉及到个人权益、企业生存、金融风险防范、社会稳定和国家安全，甚至关系到环境安全、生态安全和人类安全。它是物理安全、网络安全、数据安全、信息内容安全、信息基础设施安全与公共、国家信息安全的总和，是一个多层次、多因素、多目标的复合系统。现代信息安全主要包括两个方面的含义，即运行系统的安全和系统信息的安全。

1、运行系统的安全

运行系统的安全，包括严格而科学的管理，如对信息网络系统的组织管理、监督检查，规章制度的建立、落实与完善，管理人员的责任心、预见性、警惕性、使命感等;法律、政策的保护，如用户是否有合法权利，政策是否允许等;物理控制安全，如机房加锁、线路安全、环境适宜等:硬件运行安全;操作系统安全，如数据文件是否保护等;灾害、的避免和解除;防止电磁信息泄漏等。

2、系统信息的安全，包括:用户口令鉴别;用户存取权限控制;数据存取权限、方式控制、审计跟踪、数据加密等。从要素来看，信息安全是过程、政策、标准、管理、指导、监控、法规、培训和工具技术的有机总和。信息安全问题主要依靠密码、数字签名、身份认证、防火墙、安全审计、灾难恢复、防病毒、防黑客入侵等安全机制加以解决。

二、企业管理中信息安全的需求

企业现代化的运作和管理是依赖于企业的网络和国际互联网。信息化给企业管理带来的是高效的运作和对外信息的交换等的极大好处。信息系统的应用都依赖与网络，这就会有许多安全间题需要解决，归纳起来主要有以下一些安全问题需要解决。

1、对人的安全需求

管理的对象是人，人是信息安全面临的最大风险，人的思想和情绪是最为复杂的，员工有的可能利用公司的网络开些小玩笑，甚至破坏。如传出至关重要的信息、错误地进入数据库、删除数据等等。这些都将给企业的正常运作和管理造成极大的安全风险。

对于不满公司的内部管理人员如果把内部网络结构、管理员用户名及口令以及企业信息系统的一些重要信息传播给外人带来信息泄漏风险，甚至是商业和法律的风险。

还有如果存在不适当的信息系统授权，会导致未经授权的人获取不适当的信息。操作失误或疏忽会导致信息系统的错误动作或产生垃圾信息;恶意篡改数据、修改系统时间、修改系统配置、恶意导入或删除信息系统的数据，可能导致重大经济案件的发生。有令不行、有禁不止等人为因素形成的风险，是信息化管理中最主要的安全问题。

2、对应用系统的安全需求

应用系统的安全涉及很多方面。应用系统是动态的、不断变化的，应用的安全性也动态。这就需要我们对不同的应用，采取相应的安全措施，降低应用的安全风险。

如果在企业的管理系统中没有考虑必要的安全模块的设计，或安全设计存在缺陷，都会导致管理系统安全免疫能力不足。没有完善、严格的安全系统管理机制，会导致机房管理、口令管理、授权管理、用户管理、服务器管理、网络管理、备份管理、病毒管理等方面出现问题，轻则产生垃圾信息，重则发生系统中断、信息被非法获取。

当前企业的管理系统己是一个庞大的网络化系统，在网络内存在众多的中小型机、服务器、前置机、路由器、终端设备，也包括数据库、操作系统、中间件、应用系统等软件系统。网络中的任何一个环节均可能出现故障，一旦出现故障便有可能造成系统中断，将会影响到整个企业的管理和运作。

3、对数据的安全需求

对于企业的管理和运作，最为宝贵的财富就是数据。要保证系统稳定可靠地运行，就要保护基于计算机的信息，也就是存储在计算机内的数据。虽然，计算机技术的发展给人们的日常生活提供了很多便利，然而，人为的操作错误，系统软件或应用软件的缺陷、硬件的损毁、电脑病毒、黑客攻击、自然灾难等等诸多因素都有可能造成计算机中数据的丢失，从而给企业造成无可估量的损失。此时，最关键的问题在于如何尽快恢复计算机系统，使其能正常运行。

三、制定信息安全策略

信息安全不是网络安全，如果将注意力过多地集中在网络层，往往会掩盖信息安全更加本质的内涵，信息安全不只是网络保护问题，而应该是能够帮助企业实现业务目标的一整套技术手段和措施。信息安全是通过制定实施一整套适当的安全策略实现的。必须建立起一整套的安全策略，确保满足企业管理的安全目标。

要制定一组最优的信息安全策略主要的要素包括如下几个方面：

1.要保护的对象

Ø硬件和软件

硬件和软件是支持企业运作和管理进行的平台，它们应该有策略保护。所以，拥有一份完整的系统软件硬件清单是非常重要的，这当中应该包括一张网络图。有很多方法来生成这份清单和网络图，无论用什么方法，必须确定所有东西都被记录了。

Ø非信息类资源

清单和策略一样，不仅仅和软硬有关。既应该有文档来记录程序、硬件、系统和本地管理过程，也应该有文档描述技术业务过程的方方面面。后者可以包括公司业务如何运作等信息，也可以展示易受攻击的区域。

同样的，清单应该包括所有的正式打印表格，印有公司名字页眉的信纸以及其它带有官方名称的材料。一个使用公司空白支票和正式信纸的人可以假冒公司的官员，进而盗用资金甚至损坏公司名誉。所以，必须把这些物品包括在清单里面，以使策略能够保护这些资产。

Ø记录人力资源

最重要和最昂贵的资源是人力资源，这些人操作和维护那些清单上记录的物品。

2.判断系统保护应该针对哪些人

定义访问是了解每个系统和网络组件如何被访问的过程。明白了信息资源是如何被访问的，就能够确定策略应该集中在谁身上。对于数据访问来说，有以下几个需要考虑到的方面:

a)对信息或资源的授权和未授权访问:

b)无意或者未授权的信息泄密;

c)执行程序概要:

d)漏洞和用户错误。

3、数据安全的考虑

我们使用计算机和网络所作的每一件事情都造成了数据的流动和使用。所有的公司、组织和政府机构，不论它们从事什么工作，都在收集和使用数据。即使是制造商的操作也离不开关键数据的处理，包括定价、车间自动化和存货清单控制。由于数据的重要性，所以定义策略的时候，了解数据的使用和结构是编写安全策略的基本要求。

4、备份、文档存储和数据处理

把数据备份到外部站点或者其它介质上，有关这方面的策略和在线访问信息策略是同样重要的。备份数据可以包括财政信息、客户往来记录甚至当前业务过程的拷贝。备份策略需要考虑的情况的包括:数据如何存档，在准备丢弃数据的时候应该作些什么。

上述组成要素最基本的。随着信息环境的变化、网络技术的更新、组织业务的变更，我们可以增加新的要素。总之，组织制定出的信息安全策略要达到控制安全保护措施的实施的目的。

四、结语

信息的安全问题是一个动态和相对的问题，信息安全的管理必须制定适当的安全策略并严格实施，才能为管理工作实现信息化提供信息安全保障。

参考文献

[1]赵战生，信息安全保障技术发展—动态与印象，中科院信息安全国家重点实验室会议报告，2001年

[2]胡吕振、李贵涛，面向21世纪网络安全与保护[M]，北京，希望电子出版社，1999年

[3]刘荫铭,李金海，计算机安全技术[M]，北京，清华大学出版社，2000年

[4]孙卓然，信息安全工程与管理[M]，北京，人民邮电出版社，2003年