?信息技術是一把“雙刃劍”。一方面信息化提升了企業(yè)的工作效率,改進了業(yè)務處理流程,降低了人力成本,增強了組織的競爭力和效益;另一方面,由于業(yè)務日益依賴信息技術,技術故障、網絡攻擊、違規(guī)操作對業(yè)務帶來的損失也日益突出,競爭對手利用企業(yè)安全問題竊取企業(yè)敏感信息,極端情況下所造成信息丟失和破壞甚至可能影響到組織的生存與發(fā)展。因此如何做好企業(yè)信息安全保障工作,對企業(yè)的意義重大。
制度保障是前提
企業(yè)在信息安全建設中重技術輕管理,造成了信息安全制度的缺失。不僅無法限定員工的行為,而且無法保障企業(yè)生產目標的實現,既增加了企業(yè)信息安全風險,又增加了信息安全設備的投入,提高了企業(yè)運營成本。
提高信息化安全水平,首先要進行信息安全頂層設計,制定企業(yè)信息安全的整體目標。其次,需要確定信息管理體系的范圍,并根據企業(yè)各部門業(yè)務、職能情況制定有針對性的信息安全方針。同時組織開展信息安全管理現狀調查與風險評估工作,并合理制定企業(yè)安全策略,起草、制定企業(yè)信息安全管理制度,實現企業(yè)業(yè)務的持續(xù)性,降低業(yè)務損失,保障企業(yè)業(yè)務目標的實現。
技術保障是根本
目前網絡安全的主要威脅是惡意代碼。企業(yè)內部部署一套統(tǒng)一的防病毒系統(tǒng)十分必要。由于企業(yè)管理者對防病毒軟件認識不夠,為節(jié)省成本,讓員工自行選擇、安裝防病毒軟件。但公司員工的電腦水平參差不齊,病毒庫升級不及時的情況時有發(fā)生,防病毒軟件的使用效率也會極大地降低。而企業(yè)版的防病毒軟件可以使各個客戶端的病毒數據庫與服務器保持一致,降低了各客戶端可能受病毒感染的危險,也規(guī)避了員工不良的網絡使用習慣。
無線技術可以實現網絡擴展和延伸,移動通信可以使用戶隨時隨地將終端連接到公用網絡,在方便用戶的同時,也使企業(yè)內部網絡面臨著更多的信息安全風險。如何在正確的位置部署恰當的安全設備,是企業(yè)降低信息安全風險,減少信息安全投入,增強網絡結構安全的關鍵。
網絡邊界是信息安全的高危地帶,做好網絡邊界防護能有效地降低信息安全風險。應針對系統(tǒng)內部的不同業(yè)務區(qū)域進行不同的等級保護,應首先梳理網絡和劃分安全域,然后在不同安全域的網絡邊界上部署恰當的網絡安全設備,并啟用合適的信息安全策略。
人員保障是關鍵
企業(yè)員工是各個安全環(huán)節(jié)最重要的因素,全面提高人員的技術水平、道德品質、政治覺悟和安全意識是網絡安全最重要的保證。
堡壘往往容易從內部攻破,許多安全事件都是由內部人員引發(fā)的,人為泄密是企業(yè)面臨的主要風險之一。因此,上崗前要制定選人方案,除具備一定的技術水平外,還需要從安全意識、法律意識、安全技能等方面進行審查,關鍵崗位的人員不能兼職,以保證這些人員安全可靠。其次,在崗人員要定期進行崗位安全考核。不僅要考核業(yè)務水平,還要考核思想政治素質,并檢查其是否在指定計算機或終端上操作,一旦違規(guī)應及時將其調離崗位。最后,對員工進行信息安全培訓并簽署保密協議,強調數據的重要性,任何危及專用數據安全的非法行為,都將受到紀律處分和法律制裁。人員離崗后,要更換信息系統(tǒng)口令,取消賬號。
要保障企業(yè)信息的安全,需要以“管技并重”為基本原則,不能僅僅依賴于技術,也需要認識到管理的重要性,認識到信息系統(tǒng)的動態(tài)發(fā)展性。只有將各種安全技術與管理措施融合,才能構建出企業(yè)信息系統(tǒng)及業(yè)務的銅墻鐵壁。■