嚴格實施安全策略保障信息化管理論文

導語：嚴格實施安全策略保障信息化管理論文一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

編者按：本文主要從信息安全的含義；企業管理中信息安全的需求；制定信息安全策略；結語進行論述。其中，主要包括：管理實現代化、網絡化、信息化已迫在眉睫，勢在必行、信息社會的安全問題不僅涉及到個人權益、企業生存、金融風險防范、社會穩定和國家安全、運行系統的安全、系統信息的安全、企業現代化的運作和管理是依賴于企業的網絡和國際互聯網、對人的安全需求、對應用系統的安全需求、對數據的安全需求、信息安全不只是網絡保護問題，而應該是能夠幫助企業實現業務目標的一整套技術手段和措施、要保護的對象、判斷系統保護應該針對哪些人、數據安全的考慮、備份、文檔存儲和數據處理等，具體請詳見。

[摘要]：隨著信息化建設的不斷推進，信息系統已經成為企業和政府經營管理的核心組成部分，管理實現信息化提高了工作效率和工作質量，但同時我們也意識到信息安全問題直接威脅著管理本身的正常開，信息安全與防范成為信息化管理必須引起關注的問題。

[關鍵詞]：信息系統安全管理

隨著信息技術以其驚人的發展速度向社會各個領域滲透，高效、便利與快捷的優勢已不言而喻，管理實現代化、網絡化、信息化已迫在眉睫，勢在必行。然而，信息技術是一把“雙刃劍”，在計算機和網絡技術為檔案管理提供便利的同時，其自身的脆弱性、技術的壟斷性以及人為破壞等因素，又威脅到信息的安全，因而在信息化管理過程中，針對信息安全存在的威脅，有著高度警惕的思想和有效防范的措施。

一、信息安全的含義

信息社會的安全問題不僅涉及到個人權益、企業生存、金融風險防范、社會穩定和國家安全，甚至關系到環境安全、生態安全和人類安全。它是物理安全、網絡安全、數據安全、信息內容安全、信息基礎設施安全與公共、國家信息安全的總和，是一個多層次、多因素、多目標的復合系統?，F代信息安全主要包括兩個方面的含義，即運行系統的安全和系統信息的安全。

1、運行系統的安全

運行系統的安全，包括嚴格而科學的管理，如對信息網絡系統的組織管理、監督檢查，規章制度的建立、落實與完善，管理人員的責任心、預見性、警惕性、使命感等;法律、政策的保護，如用戶是否有合法權利，政策是否允許等;物理控制安全，如機房加鎖、線路安全、環境適宜等:硬件運行安全;操作系統安全，如數據文件是否保護等;災害、的避免和解除;防止電磁信息泄漏等。

2、系統信息的安全，包括:用戶口令鑒別;用戶存取權限控制;數據存取權限、方式控制、審計跟蹤、數據加密等。從要素來看，信息安全是過程、政策、標準、管理、指導、監控、法規、培訓和工具技術的有機總和。信息安全問題主要依靠密碼、數字簽名、身份認證、防火墻、安全審計、災難恢復、防病毒、防黑客入侵等安全機制加以解決。

二、企業管理中信息安全的需求

企業現代化的運作和管理是依賴于企業的網絡和國際互聯網。信息化給企業管理帶來的是高效的運作和對外信息的交換等的極大好處。信息系統的應用都依賴與網絡，這就會有許多安全間題需要解決，歸納起來主要有以下一些安全問題需要解決。

1、對人的安全需求

管理的對象是人，人是信息安全面臨的最大風險，人的思想和情緒是最為復雜的，員工有的可能利用公司的網絡開些小玩笑，甚至破壞。如傳出至關重要的信息、錯誤地進入數據庫、刪除數據等等。這些都將給企業的正常運作和管理造成極大的安全風險。

對于不滿公司的內部管理人員如果把內部網絡結構、管理員用戶名及口令以及企業信息系統的一些重要信息傳播給外人帶來信息泄漏風險，甚至是商業和法律的風險。

還有如果存在不適當的信息系統授權，會導致未經授權的人獲取不適當的信息。操作失誤或疏忽會導致信息系統的錯誤動作或產生垃圾信息;惡意篡改數據、修改系統時間、修改系統配置、惡意導入或刪除信息系統的數據，可能導致重大經濟案件的發生。有令不行、有禁不止等人為因素形成的風險，是信息化管理中最主要的安全問題。

2、對應用系統的安全需求

應用系統的安全涉及很多方面。應用系統是動態的、不斷變化的，應用的安全性也動態。這就需要我們對不同的應用，采取相應的安全措施，降低應用的安全風險。

如果在企業的管理系統中沒有考慮必要的安全模塊的設計，或安全設計存在缺陷，都會導致管理系統安全免疫能力不足。沒有完善、嚴格的安全系統管理機制，會導致機房管理、口令管理、授權管理、用戶管理、服務器管理、網絡管理、備份管理、病毒管理等方面出現問題，輕則產生垃圾信息，重則發生系統中斷、信息被非法獲取。

當前企業的管理系統己是一個龐大的網絡化系統，在網絡內存在眾多的中小型機、服務器、前置機、路由器、終端設備，也包括數據庫、操作系統、中間件、應用系統等軟件系統。網絡中的任何一個環節均可能出現故障，一旦出現故障便有可能造成系統中斷，將會影響到整個企業的管理和運作。

3、對數據的安全需求

對于企業的管理和運作，最為寶貴的財富就是數據。要保證系統穩定可靠地運行，就要保護基于計算機的信息，也就是存儲在計算機內的數據。雖然，計算機技術的發展給人們的日常生活提供了很多便利，然而，人為的操作錯誤，系統軟件或應用軟件的缺陷、硬件的損毀、電腦病毒、黑客攻擊、自然災難等等諸多因素都有可能造成計算機中數據的丟失，從而給企業造成無可估量的損失。此時，最關鍵的問題在于如何盡快恢復計算機系統，使其能正常運行。

三、制定信息安全策略

信息安全不是網絡安全，如果將注意力過多地集中在網絡層，往往會掩蓋信息安全更加本質的內涵，信息安全不只是網絡保護問題，而應該是能夠幫助企業實現業務目標的一整套技術手段和措施。信息安全是通過制定實施一整套適當的安全策略實現的。必須建立起一整套的安全策略，確保滿足企業管理的安全目標。

要制定一組最優的信息安全策略主要的要素包括如下幾個方面：

1.要保護的對象

Ø硬件和軟件

硬件和軟件是支持企業運作和管理進行的平臺，它們應該有策略保護。所以，擁有一份完整的系統軟件硬件清單是非常重要的，這當中應該包括一張網絡圖。有很多方法來生成這份清單和網絡圖，無論用什么方法，必須確定所有東西都被記錄了。

Ø非信息類資源

清單和策略一樣，不僅僅和軟硬有關。既應該有文檔來記錄程序、硬件、系統和本地管理過程，也應該有文檔描述技術業務過程的方方面面。后者可以包括公司業務如何運作等信息，也可以展示易受攻擊的區域。

同樣的，清單應該包括所有的正式打印表格，印有公司名字頁眉的信紙以及其它帶有官方名稱的材料。一個使用公司空白支票和正式信紙的人可以假冒公司的官員，進而盜用資金甚至損壞公司名譽。所以，必須把這些物品包括在清單里面，以使策略能夠保護這些資產。

Ø記錄人力資源

最重要和最昂貴的資源是人力資源，這些人操作和維護那些清單上記錄的物品。

2.判斷系統保護應該針對哪些人

定義訪問是了解每個系統和網絡組件如何被訪問的過程。明白了信息資源是如何被訪問的，就能夠確定策略應該集中在誰身上。對于數據訪問來說，有以下幾個需要考慮到的方面:

a)對信息或資源的授權和未授權訪問:

b)無意或者未授權的信息泄密;

c)執行程序概要:

d)漏洞和用戶錯誤。

3、數據安全的考慮

我們使用計算機和網絡所作的每一件事情都造成了數據的流動和使用。所有的公司、組織和政府機構，不論它們從事什么工作，都在收集和使用數據。即使是制造商的操作也離不開關鍵數據的處理，包括定價、車間自動化和存貨清單控制。由于數據的重要性，所以定義策略的時候，了解數據的使用和結構是編寫安全策略的基本要求。

4、備份、文檔存儲和數據處理

把數據備份到外部站點或者其它介質上，有關這方面的策略和在線訪問信息策略是同樣重要的。備份數據可以包括財政信息、客戶往來記錄甚至當前業務過程的拷貝。備份策略需要考慮的情況的包括:數據如何存檔，在準備丟棄數據的時候應該作些什么。

上述組成要素最基本的。隨著信息環境的變化、網絡技術的更新、組織業務的變更，我們可以增加新的要素?？傊M織制定出的信息安全策略要達到控制安全保護措施的實施的目的。

四、結語

信息的安全問題是一個動態和相對的問題，信息安全的管理必須制定適當的安全策略并嚴格實施，才能為管理工作實現信息化提供信息安全保障。

參考文獻

[1]趙戰生，信息安全保障技術發展—動態與印象，中科院信息安全國家重點實驗室會議報告，2001年

[2]胡呂振、李貴濤，面向21世紀網絡安全與保護[M]，北京，希望電子出版社，1999年

[3]劉蔭銘,李金海，計算機安全技術[M]，北京，清華大學出版社，2000年

[4]孫卓然，信息安全工程與管理[M]，北京，人民郵電出版社，2003年