铸锻行业企业信息安全初探
来源:    发布时间: 2015-09-10 10:25   547 次浏览   大小:  16px  14px  12px
本文为授权转载文章,任何人未经原授权方同意,不得复制、转载、摘编等任何方式进行使用,e-works不承担由此而产生的任何法律责任! 如有异议请及时告之,以便进行及时处理。联系方式:editor@e-works.net.cn tel:027-87592219/20/21。

 1.信息安全现状

  1.1 我们身边的信息化

  在当今科技时代中,信息是一个国家最重要的资源之一。对于企业也是如此,所以许多企业建立了信息办公系统、企业网站等。无论是生活,还是科研与生产,在我们身边信息无处不在。信息可能是被记录在纸上,也可能是存贮在磁盘或其他介质中,我们可能以信件或电子邮件的方式交流,或者在展示、介绍、交谈中提到。总之,信息无处不在,这是一个信息化的时代。

  1.2 信息化出现的问题

  然而,人们在尽情享受信息化时代带来的便利的时候,也同时遭受信息的安全问题的困扰。有资料显示,我国的计算机犯罪增长速度,远远超过了传统犯罪的增长速度,近几年犯罪涉及的经济数额达十几亿。不仅如此,技术成果信息的流失,使得一些本来发展顺利的高新技术企业濒临倒闭或不得不频繁重组。所以,信息安全是政府和企业必须携手面对的问题。信息安全包括信息的保密性、完整性和有效性。信息安全治理通过实施一整套控制措施达到保护信息安全的目的。

  1.3 信息安全的忧虑

  信息作为一种不被外人知晓的内容,也是一种财产。因此,企业必须要像保护自己的财产一样对信息加以保护,不让外人所得和避免丢失。然而在实际生活中,许多企业对信息的保护意识极为淡薄。

  在我国机床行业中,特别是一些铸造锻压企业中,绝大多数企业没有信息安全负责人,许多部门都可以对外交流,信息发布渠道混乱,主要表现有:

  (1)绝大数企业缺乏信息化建设整体规划,特别是在信息安全方面属于空白,比较好的企业也只是仅限于起草一份安全保护制度,在计算机信息化建设中也只是建立了网络防火墙和购买几套防病毒软件,对于企业内部的安全隐患没有充分的认识;如某些企业在信息化建设中,缺少安全意识,集网络管理、信息管理、机房管理于一身,导致企业技术成果纷纷流失,给企业带来重大损失。

  (2)企业信息安全意识淡薄,没有专门的信息安全负责人,技术资料可以随意拷贝复制,知识产权得不到保护,特别是一些新产品研发项目;

  (3)对外发布信息没有统一的审查部门,机密资料、敏感数据频频对外公布;

  (4)企业之间合作信息在企业内部不能及时更新和共享;

  (5)信息备份制度不完善,重要机密资料随着人员的更替、部门转换不断丢失;

  (6)没有网络安全管理岗位,安全区域的选择没有充分考虑必要的管理措施,企业内部物理安全界限划定不明确甚至没有划分,不安全人员随处可侵入;

  (7)众多企业的办公室和接待室设为一处,外来人员与内部人员使用同一复印机、传真机,敏感资料唾手可得。还有些企业的敏感部门、新产品研发部门、机密资料管理室都标有明显标志,且在区域布置上坐落在外来人员必经之处,甚至作为企业宣传的窗口对外炫耀;

  (8)计算机网络没有安全防护,弱口令频繁使用,无线网络没有安全设置,网络资源共享带来潜在危害。

  2.信息安全治理

  2.1 信息安全治理的概念

  在前面提到,信息安全治理是通过实施一整套控制措施达到保护信息安全的目的,即使有价值的信息不被遗失、滥用、泄露或者损害。对大部分企业来说,满足安全目标必须做到:

  信息的可用性:保证经授权的用户在需要时可访问到信息,并保证提供信息的系统能适当地承受攻击和在被击败时能迅速恢复,这包括组织系统和计算机系统;

  信息的保密性:确保信息只能被得到授权的人访问。无论是组织系统还是计算机系统,信息的访问必须得到严格的控制,明确划分不同级别人员获得不同信息的范围;

  信息的完整性:确保信息的正确性和完整性,未经授权,信息不能被修改;

  信息的真实性和不可否认性:确保组织之间或组织与合作伙伴间的商业交易和信息交换是可信赖的。信息安全因素包括物理安全、网络安全、文化安全。企业在制定信息安全控制措施时不应忽视任何一个方面,简单意义上的物理防范,或网络安全的建设等都是不全面和不完整的。面对不断变化的技术环境和市场环境,即使在今天是最好的安全控制措施,到了明天也有可能变得不适用。因此安全控制措施必须紧跟市场和技术的发展,要把安全策略的更新作为企业信息系统开发生命周期过程整体的一部分加以考虑。有效的安全策略需要主动及时的实施和更新,并将其制度化。

  2.2 信息安全策略的制定过程

  企业信息安全策略属于企业安全策略的一部分,从制定到实施分为三个阶段,分析阶段、制定阶段和执行阶段。在这三个阶段中企业与信息安全相关的6 个主要活动是:

  策略制定: 信息安全策略是描述程序目标的高层计划,根据企业信息安全目标,制定安全策略;角色和责任: 确保企业中的每个人清楚知道和理解各自(在信息系统中)的角色、责任和权力;设计:开发由标准、评测措施、实务和规程组成的安全与控制框架;

  实施:企业内部实施与推广信息管理系统,并适时更新安全策略;

  控制:建立并不断完善控制措施,查明安全隐患,并确保其得到改正;

  安全教育策略与机制: 为了保证系统安全的成功和有效,企业高层应安排对各级管理人员、技术人员、用户进行安全培训,宣贯保护信息的必要性,提供安全运作信息系统所需技巧。

  2.3 信息安全团队的建设

  在过去,信息安全经常被看作只是一个技术问题,所以,治理和管理安全提升的责任被限制在技术人员中。但是现在信息安全越来越成为企业业务成功的关键因素。企业最高管理层和执行管理层越来越重视信息安全工作,他们关注的核心是安全性将如何帮助企业达到业务目标或创造新的战略竞争机遇,而不仅仅是具体的技术环节。所以说,有效的信息安全控制系统,三分靠技术,七分靠管理,没有管理就没有安全,“没有安全的工程就是豆腐渣工程”(中国工程院徐匡迪语)。信息安全策略的实施需要一个团队的协同工作,以保证所制定的策略、规程全面并切合实际、能得到有效实施和不断更新。

  信息安全团队应当由企业决策者、管理者、计算机专家,以及信息、通信、安全和网络技术等方面的专家组成,必要时聘请其他企业或组织的专家加入。

  他们是来自企业不同部门不同专业的人员,从而保证了不同部门之间不同专业人员之间的联系和协商渠道的畅通。信息安全团队的工作目标就是能够对信息安全事件做出及时、快速、准确的响应,确定并及时排除突发事件,使其服务对象的风险或损失最小化。为了保证信息安全团队的工作能够落到实处,企业应该建立专门的有实权的信息管理部门,能够跨部门协调工作。该信息管理部门不仅仅是要协调信息安全团队的工作,其主要职能是在企业高层的直接领导下,从企业效益最大化的角度出发,研究和规划企业信息化的远景任务和目标;分析现有的企业管理和经营模式、组织机构和业务流程是否适应企业信息化的要求,如果不适应,提出调整、变革、优化和重组的建议;协调各部门信息化工作关系;监督和评估企业信息化项目的实施进度和完成情况。

  企业信息管理部门的设立以及信息安全团队的建设、信息安全策略自顶向下的设计步骤,使得指导方针的贯彻、过程的处理、工作的有效性成为可能。

  在信息安全策略制定、团队建设完成之后,企业就要正式启动安全策略。安全策略的启动主要包括启动安全策略、安全架构指导、时间反映过程、可接受的应用策略、系统管理过程、其他管理过程(图1)。

 图1 安全策略计划框架图 

图1 安全策略计划框架图

  启动安全策略:解释策略文档的设计目的,以及组织性和过程状态描述。

  安全架构指导:指在风险评估过程中对发现威胁所采取的对策。它确保了安全计划设计的合理性、审核与有效控制。

  事件响应过程:在出现紧急情况时的呼叫对象,按照什么样的顺序进行呼叫,是事件反映过程处理的一部分。

  可接受的应用策略:信息网络安全策略的启动将引出各种各样的应用策略。其数量和类型依赖于当前商务需求分析、风险评估与企业文化。

  系统管理过程:说明信息如何访问、标记、处理。

  3.企业最高层的关注点

  信息网络有效的安全防卫不仅是技术问题,它更重要的是一个管理问题。管理相关的风险必须考虑企业文化、管理者的安全意识和行为。信息安全管理,像其它控制和管理活动一样,是一种转移风险的方法。因此,它应该与企业综合治理协调一致。事实上,信息安全治理本身正形成一个独立的分支,成为企业治理必不可少的一部分。

  前些年,很多企业成立了信息中心,聘请信息管理人员,进行信息系统建设。但结果都不太理想,分析这些失败的案例,主要的原因体现在企业高级管理层和执行层对信息化以及信息安全治理认识不足,观念陈旧;企业常规管理模式与信息化时代管理模式的冲突与不协调,以及企业的家长式专项管理与现代化规模管理的不一致;信息化管理制度不完善,信息化管理机构和相关技术人才缺乏;落后的企业文化对信息化产生了严重的阻力或者扭曲作用,落后的信息化不能对企业的发展进行有效的支持,因此信息化建设也就半途而废,或徒有虚名。

  如上所述,一些企业在信息化建设的“软件”上忽略了规章制度的制订、经营模式的变动、业务流程的重组和企业文化的建设等;另一方面,在信息化建设的“硬件”上,只注重了计算机设备的添置、网络的构建,有的企业甚至在基于业务需要的应用软件开发上也不惜投入巨资,却忽略了信息技术管理机构的组建和信息技术人才的引进,从而导致了信息化建设过程中举步维艰的局面。这一现象在机床机械行业尤为突出,其导致的结果是,技术成果的流失、营销策略公开化、技术资料在企业内部唾手可得、合作组织的资料不能及时更新和共享等等。

  在信息安全系统中,计算机及其网络技术、信息建设中的其他硬件技术本身已经不是重要的因素,管理因素上升为关键因素。因此,企业信息安全治理的成败关键在于企业高层管理者和执行者的观念和行为。在企业信息化建设过程中,有效的信息安全治理需要最高管理层和管理执行层充分理解信息安全治理的必要性,知晓风险和威胁真实存在并有可能给企业造成的重大影响,可能导致的对企业声誉的损害、技术成果的流失,必须建立并执行信息安全策略,认识企业文化和组织机构在信息化建设和信息安全中的重要性,在企业内形成自上而下的一致性和统一性,同时需要向与系统有利害关系的各方证实系统安全的可靠性。

  所以,企业最高执行层必须亲自领导编制信息安全方针政策,确保企业内部的每个人清楚知道并了解各自在信息管理系统中的角色、责任和权力;识别信息安全的威胁,分析弱点和适度关注本行业的惯例,建立安全基础设施;开发安全和控制框架;及时实施并维护解决方案;建立评估措施,查明安全隐患并纠正它们,确保采取的行动符合政策、标准和可接受的最低的安全级别;在企业内部宣贯保护信息的必要性,提供安全运作信息系统所需技巧的培训。

  作为信息安全策略的重要组成部分,企业高层应对人员安全给予足够的重视。在一切事件中,人是关键的因素。人员安全的目标就是减少人为的失误、盗窃、欺诈、破坏和设备误用所造成的风险。因此企业在一开始就应对招聘人员进行充分的筛选,对敏感的工作岗位尤其这样。所有雇员和使用信息设备的第三方都应签订一份信息保密协议。企业高层应确保信息使用者了解信息安全的威胁和在他们正常工作中有相应的训练,有利于信息安全政策的贯彻和实施;通过从以前事件和故障中汲取教训,最大限度地降低安全损失。

  通过企业最高管理层的努力,信息安全策略就会得到有效的实施,企业信息系统的安全性也就有了很大的提升,企业信息化建设也就能顺利达到预期的目标。


上一篇:没有了
下一篇:模具制造工艺研究