探讨企业的信息安全

东方电气（广州）重型机器有限公司，广东广州 511455

摘 要 企业信息化程度发展到一定水平，从防火墙、入侵检测等安全硬件到文档防泄密、行为管理等安全软件，技术上都比较成熟且大部分企业都已实施部分安全项目。但实施安全项目之后并不是高枕无忧，管理是否到位及企业员工安全意识成为企业信息安全的短板，如何从管理角度提高企业的信息安全水平，已成为一个重要的课题。

关键词 信息安全；管理；意识

中图分类号TP39 文献标识码A 文章编号 1674-6708（2012）70-0171-02

从安全软硬件出发，大多安全实施厂家已有较成熟的方案，一旦项目实施完成后，企业往往容易忽略人员意识、IT审计、后续管理等因素对信息安全的影响。本文就如何解决企业信息安全短板，从管理角度进行探讨。

1 管理安全的含义和IT审计的特点

从大的方面来说，信息安全是指信息网络的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断。直接反映到企业来说，就是要通过实施一整套适当的控制措施实现企业各业务系统正常运行，确保安全目标的实现。本文从管理角度探讨企业的信息安全，可以简称为管理安全，它是指建立并有效落实企业规章制度、安全管理规定等，来保证系统安全生存与运行。

企业安全管理的规章制度是否运行有效直接关系到企业安全目标能否保障，在此管理过程中需要引入IT审计。IT审计重点内容之一就是发现信息系统的潜在风险，可以说企业信息中心对潜在的IT风险是比较重视的。IT审计相对技术而言，更多侧重于管理，比如在安全策略方面更侧重于访问授权的控制，以及定期核查是否按相关信息化制度办事，还有就是有无进行过适当的渗透去检验系统的可靠性等。实施IT审计能够提高企业信息系统的安全性，能够客观评价信息系统安全现状。

2 从管理角度看企业中存在的主要信息安全威胁

1）企业日常信息化管理中，会碰到以下一些现象，如：明知计算机病毒无孔不入，却不安装杀毒软件；个人认证的物品（如员工门禁卡）随意借用他人；进入门禁系统之后，对他人尾随不理不问；移动存储介质外借他人，却不知可能造成感染病毒或泄密；打印服务器、扫描服务器等公用电脑临时存放许多信息却不删除。

从上述现象中可以得知，企业员工信息安全意识淡薄会产生较多安全漏洞。据《2011年度中国企业员工信息安全意识调查报告》显示，30%的受访者从来没有接受过信息安全培训，只有30%的企业会进行定期的信息安全培训[1]；

2）企业信息安全项目做的深度是与企业信息化发展水平相关的，一般企业会根据本身的信息化水平发展程度分步骤进行。企业初始阶段会通过封USB端口，不配置光驱等形式防止电子文档传播至外界。现阶段已有部分企业关注电子文档防泄密的软件，同时配以相应的制度，从一定程度上能达到预期的效果。项目实施后往往会发现效果难以保持，因为企业缺少相关的信息安全审计人员，在审计工作不到位的情况下，安全软件的审计功能无法体现其价值；

3）企业通过安全软件对电子文档进行管理，在实物管理方面缺乏措施。办公室文印区域是企业信息泄密的源头之一，外单位人员进入企业进行交流时，通常会经过办公室文印区域，员工打印文件后如不及时拿取，容易将技术资料留在在打印机上，给有心之人获取，容易造成泄密。计算机、笔记本等办公设备故障外移送修，送修前未经过审核批准，不对硬盘做处理，上述这些日常办公现象存在着信息安全漏洞[2]。

3 信息安全短板的对策措施——强管理

尽管企业防火墙、防毒墙等安全硬件设施或安全软件都较齐全，但是采取恰当的管理措施也能有效的提高信息安全水平，最终有效地保护企业信息资产。本文总结了以下几种管理方法并加以说明。

1）提高员工安全意识，关键是做好培训。一方面企业信息中心要组织好讲师及培训素材。培训素材可结合生活中的信息安全案例或者通过动画情景介绍等较生动的方式，寓教于乐，让每个企业员工明白数据等无形资产的重要性，理解数据信息安全是企业的生存发展壮大的法宝。在培训方式上，可采用循序渐进的培训方式，不急于求全，可从最基本的启用标准的计算机密码（如大小写字母+数字）、离开座位时使用屏保等开始培养。后续可陆续完善公司规章制度，同时认真落实，要让员工真正懂得防止泄密的办法；

2）通过IT审计严把信息安全管理关。企业做好IT审计，从以下几方面入手：一方面是人才培养，企业审计部门需要引入类似IT审计师的角色，尽管现阶段大部分中小企业未能做到这一点，但可参照国际上通用的认证培训——国际信息系统审计师，把企业信息管理人员送出外培，提高兼职型IT审计人员的技术水平及能力；另一方面是IT审计人员职责要明确，从实践上看，IT审计人员工作内容包括查看企业人员是否按照已有的规章制度进行审批手续、定期将审计报表反馈给高层，监督整改落实的情况及效果验证，使企业自上而下重视信息安全管理；

3）让安全软件的审计功能发挥作用。市场上的电子文档防泄密系统提供日志审计功能。日志系统主要用来跟踪和记录用户对受控文件的操作、记录管理员设定的策略和操作。企业系统管理员要对文件日志、部门日志、计算机日志、申请审批日志等进行定期检查，同时发挥IT审计人员的监督作用，才可让安全软件的审计记录发挥作用；

4）利用刷卡认证方式管理文档输出。办公类信息安全管理方面，涉及到各类业务系统的账户管理、文档输出管理、存储设备管理等。现有企业一般是通过制度约束，但效果不明显，这里结合新的管理方式对文档输出管理进行说明。一般我们不会一直等在打印机旁，没有把打印好的资料及时拿走。而所打印的资料大多是技术图纸、商务合同、计划等资料，让人不经意地看到相关内容及敏感信息。要减少因遗忘而将已输出的文档滞留在文印设备上，可结合IC刷卡认证的方式，企业通过为文印设备配备一些读卡器，只有当刷员工卡时，文档才从文印设备输出，员工可即刻拿走。

总之，企业信息安全是一个多点因素的难题，涉及技术、管理、应用等方面，随着企业信息化的发展，各类信息系统及软件资产不断增多，从管理角度保障信息安全，增强企业员工安全意识，成为企业成长的重中之重。

参考文献

[1]北京谷安天下科技有限公司.2011年度中国企业员工信息安全意识调查报告[R]，2012.

[2]杨锴新、刘洁.关于企业信息安全管理的思考[J].经管空间，2011，5.