信息技术是一把“双刃剑”。一方面信息化提升了企业的工作效率,改进了业务处理流程,降低了人力成本,增强了组织的竞争力和效益;另一方面,由于业务日益依赖信息技术,技术故障、网络攻击、违规操作对业务带来的损失也日益突出,竞争对手利用企业安全问题窃取企业敏感信息,极端情况下所造成信息丢失和破坏甚至可能影响到组织的生存与发展。因此如何做好企业信息安全保障工作,对企业的意义重大。
制度保障是前提
企业在信息安全建设中重技术轻管理,造成了信息安全制度的缺失。不仅无法限定员工的行为,而且无法保障企业生产目标的实现,既增加了企业信息安全风险,又增加了信息安全设备的投入,提高了企业运营成本。
提高信息化安全水平,首先要进行信息安全顶层设计,制定企业信息安全的整体目标。其次,需要确定信息管理体系的范围,并根据企业各部门业务、职能情况制定有针对性的信息安全方针。同时组织开展信息安全管理现状调查与风险评估工作,并合理制定企业安全策略,起草、制定企业信息安全管理制度,实现企业业务的持续性,降低业务损失,保障企业业务目标的实现。
技术保障是根本
目前网络安全的主要威胁是恶意代码。企业内部部署一套统一的防病毒系统十分必要。由于企业管理者对防病毒软件认识不够,为节省成本,让员工自行选择、安装防病毒软件。但公司员工的电脑水平参差不齐,病毒库升级不及时的情况时有发生,防病毒软件的使用效率也会极大地降低。而企业版的防病毒软件可以使各个客户端的病毒数据库与服务器保持一致,降低了各客户端可能受病毒感染的危险,也规避了员工不良的网络使用习惯。
无线技术可以实现网络扩展和延伸,移动通信可以使用户随时随地将终端连接到公用网络,在方便用户的同时,也使企业内部网络面临着更多的信息安全风险。如何在正确的位置部署恰当的安全设备,是企业降低信息安全风险,减少信息安全投入,增强网络结构安全的关键。
网络边界是信息安全的高危地带,做好网络边界防护能有效地降低信息安全风险。应针对系统内部的不同业务区域进行不同的等级保护,应首先梳理网络和划分安全域,然后在不同安全域的网络边界上部署恰当的网络安全设备,并启用合适的信息安全策略。
人员保障是关键
企业员工是各个安全环节最重要的因素,全面提高人员的技术水平、道德品质、政治觉悟和安全意识是网络安全最重要的保证。
堡垒往往容易从内部攻破,许多安全事件都是由内部人员引发的,人为泄密是企业面临的主要风险之一。因此,上岗前要制定选人方案,除具备一定的技术水平外,还需要从安全意识、法律意识、安全技能等方面进行审查,关键岗位的人员不能兼职,以保证这些人员安全可靠。其次,在岗人员要定期进行岗位安全考核。不仅要考核业务水平,还要考核思想政治素质,并检查其是否在指定计算机或终端上操作,一旦违规应及时将其调离岗位。最后,对员工进行信息安全培训并签署保密协议,强调数据的重要性,任何危及专用数据安全的非法行为,都将受到纪律处分和法律制裁。人员离岗后,要更换信息系统口令,取消账号。
要保障企业信息的安全,需要以“管技并重”为基本原则,不能仅仅依赖于技术,也需要认识到管理的重要性,认识到信息系统的动态发展性。只有将各种安全技术与管理措施融合,才能构建出企业信息系统及业务的铜墙铁壁。■