鑄鍛行業企業信息安全初探

    1.信息安全現狀

　　1.1 我們身邊的信息化

　　在當今科技時代中，信息是一個國家最重要的資源之一。對于企業也是如此，所以許多企業建立了信息辦公系統、企業網站等。無論是生活，還是科研與生產，在我們身邊信息無處不在。信息可能是被記錄在紙上，也可能是存貯在磁盤或其他介質中，我們可能以信件或電子郵件的方式交流，或者在展示、介紹、交談中提到。總之，信息無處不在，這是一個信息化的時代。

　　1.2 信息化出現的問題

　　然而，人們在盡情享受信息化時代帶來的便利的時候，也同時遭受信息的安全問題的困擾。有資料顯示，我國的計算機犯罪增長速度，遠遠超過了傳統犯罪的增長速度，近幾年犯罪涉及的經濟數額達十幾億。不僅如此，技術成果信息的流失，使得一些本來發展順利的高新技術企業瀕臨倒閉或不得不頻繁重組。所以，信息安全是政府和企業必須攜手面對的問題。信息安全包括信息的保密性、完整性和有效性。信息安全治理通過實施一整套控制措施達到保護信息安全的目的。

　　1.3 信息安全的憂慮

　　信息作為一種不被外人知曉的內容，也是一種財產。因此，企業必須要像保護自己的財產一樣對信息加以保護，不讓外人所得和避免丟失。然而在實際生活中，許多企業對信息的保護意識極為淡薄。

　　在我國機床行業中，特別是一些鑄造鍛壓企業中，絕大多數企業沒有信息安全負責人，許多部門都可以對外交流，信息發布渠道混亂，主要表現有：

　　（1）絕大數企業缺乏信息化建設整體規劃，特別是在信息安全方面屬于空白，比較好的企業也只是僅限于起草一份安全保護制度，在計算機信息化建設中也只是建立了網絡防火墻和購買幾套防病毒軟件，對于企業內部的安全隱患沒有充分的認識；如某些企業在信息化建設中，缺少安全意識，集網絡管理、信息管理、機房管理于一身，導致企業技術成果紛紛流失，給企業帶來重大損失。

　　（2）企業信息安全意識淡薄，沒有專門的信息安全負責人，技術資料可以隨意拷貝復制，知識產權得不到保護，特別是一些新產品研發項目；

　　（3）對外發布信息沒有統一的審查部門，機密資料、敏感數據頻頻對外公布；

　　（4）企業之間合作信息在企業內部不能及時更新和共享；

　　（5）信息備份制度不完善，重要機密資料隨著人員的更替、部門轉換不斷丟失；

　　（6）沒有網絡安全管理崗位，安全區域的選擇沒有充分考慮必要的管理措施,企業內部物理安全界限劃定不明確甚至沒有劃分,不安全人員隨處可侵入；

　　（7）眾多企業的辦公室和接待室設為一處，外來人員與內部人員使用同一復印機、傳真機，敏感資料唾手可得。還有些企業的敏感部門、新產品研發部門、機密資料管理室都標有明顯標志，且在區域布置上坐落在外來人員必經之處，甚至作為企業宣傳的窗口對外炫耀；

　　（8）計算機網絡沒有安全防護,弱口令頻繁使用,無線網絡沒有安全設置,網絡資源共享帶來潛在危害。

　　2.信息安全治理

　　2.1 信息安全治理的概念

　　在前面提到，信息安全治理是通過實施一整套控制措施達到保護信息安全的目的，即使有價值的信息不被遺失、濫用、泄露或者損害。對大部分企業來說，滿足安全目標必須做到：

　　信息的可用性：保證經授權的用戶在需要時可訪問到信息，并保證提供信息的系統能適當地承受攻擊和在被擊敗時能迅速恢復，這包括組織系統和計算機系統；

　　信息的保密性：確保信息只能被得到授權的人訪問。無論是組織系統還是計算機系統，信息的訪問必須得到嚴格的控制，明確劃分不同級別人員獲得不同信息的范圍；

　　信息的完整性：確保信息的正確性和完整性，未經授權，信息不能被修改；

　　信息的真實性和不可否認性：確保組織之間或組織與合作伙伴間的商業交易和信息交換是可信賴的。信息安全因素包括物理安全、網絡安全、文化安全。企業在制定信息安全控制措施時不應忽視任何一個方面，簡單意義上的物理防范，或網絡安全的建設等都是不全面和不完整的。面對不斷變化的技術環境和市場環境，即使在今天是最好的安全控制措施，到了明天也有可能變得不適用。因此安全控制措施必須緊跟市場和技術的發展，要把安全策略的更新作為企業信息系統開發生命周期過程整體的一部分加以考慮。有效的安全策略需要主動及時的實施和更新，并將其制度化。

　　2.2 信息安全策略的制定過程

　　企業信息安全策略屬于企業安全策略的一部分，從制定到實施分為三個階段，分析階段、制定階段和執行階段。在這三個階段中企業與信息安全相關的6 個主要活動是：

　　策略制定: 信息安全策略是描述程序目標的高層計劃，根據企業信息安全目標，制定安全策略；角色和責任: 確保企業中的每個人清楚知道和理解各自（在信息系統中）的角色、責任和權力；設計：開發由標準、評測措施、實務和規程組成的安全與控制框架；

　　實施：企業內部實施與推廣信息管理系統，并適時更新安全策略；

　　控制：建立并不斷完善控制措施，查明安全隱患，并確保其得到改正；

　　安全教育策略與機制: 為了保證系統安全的成功和有效，企業高層應安排對各級管理人員、技術人員、用戶進行安全培訓，宣貫保護信息的必要性，提供安全運作信息系統所需技巧。

　　2.3 信息安全團隊的建設

　　在過去，信息安全經常被看作只是一個技術問題，所以，治理和管理安全提升的責任被限制在技術人員中。但是現在信息安全越來越成為企業業務成功的關鍵因素。企業最高管理層和執行管理層越來越重視信息安全工作，他們關注的核心是安全性將如何幫助企業達到業務目標或創造新的戰略競爭機遇，而不僅僅是具體的技術環節。所以說，有效的信息安全控制系統，三分靠技術，七分靠管理，沒有管理就沒有安全，“沒有安全的工程就是豆腐渣工程”（中國工程院徐匡迪語）。信息安全策略的實施需要一個團隊的協同工作，以保證所制定的策略、規程全面并切合實際、能得到有效實施和不斷更新。

　　信息安全團隊應當由企業決策者、管理者、計算機專家，以及信息、通信、安全和網絡技術等方面的專家組成，必要時聘請其他企業或組織的專家加入。

　　他們是來自企業不同部門不同專業的人員，從而保證了不同部門之間不同專業人員之間的聯系和協商渠道的暢通。信息安全團隊的工作目標就是能夠對信息安全事件做出及時、快速、準確的響應，確定并及時排除突發事件，使其服務對象的風險或損失最小化。為了保證信息安全團隊的工作能夠落到實處，企業應該建立專門的有實權的信息管理部門，能夠跨部門協調工作。該信息管理部門不僅僅是要協調信息安全團隊的工作，其主要職能是在企業高層的直接領導下，從企業效益最大化的角度出發，研究和規劃企業信息化的遠景任務和目標；分析現有的企業管理和經營模式、組織機構和業務流程是否適應企業信息化的要求，如果不適應，提出調整、變革、優化和重組的建議；協調各部門信息化工作關系；監督和評估企業信息化項目的實施進度和完成情況。

　　企業信息管理部門的設立以及信息安全團隊的建設、信息安全策略自頂向下的設計步驟，使得指導方針的貫徹、過程的處理、工作的有效性成為可能。

　　在信息安全策略制定、團隊建設完成之后，企業就要正式啟動安全策略。安全策略的啟動主要包括啟動安全策略、安全架構指導、時間反映過程、可接受的應用策略、系統管理過程、其他管理過程（圖1）。

圖1 安全策略計劃框架圖

　　啟動安全策略：解釋策略文檔的設計目的，以及組織性和過程狀態描述。

　　安全架構指導：指在風險評估過程中對發現威脅所采取的對策。它確保了安全計劃設計的合理性、審核與有效控制。

　　事件響應過程：在出現緊急情況時的呼叫對象，按照什么樣的順序進行呼叫，是事件反映過程處理的一部分。

　　可接受的應用策略：信息網絡安全策略的啟動將引出各種各樣的應用策略。其數量和類型依賴于當前商務需求分析、風險評估與企業文化。

　　系統管理過程：說明信息如何訪問、標記、處理。

　　3.企業最高層的關注點

　　信息網絡有效的安全防衛不僅是技術問題，它更重要的是一個管理問題。管理相關的風險必須考慮企業文化、管理者的安全意識和行為。信息安全管理，像其它控制和管理活動一樣，是一種轉移風險的方法。因此，它應該與企業綜合治理協調一致。事實上，信息安全治理本身正形成一個獨立的分支，成為企業治理必不可少的一部分。

　　前些年，很多企業成立了信息中心，聘請信息管理人員，進行信息系統建設。但結果都不太理想，分析這些失敗的案例，主要的原因體現在企業高級管理層和執行層對信息化以及信息安全治理認識不足，觀念陳舊；企業常規管理模式與信息化時代管理模式的沖突與不協調，以及企業的家長式專項管理與現代化規模管理的不一致；信息化管理制度不完善，信息化管理機構和相關技術人才缺乏；落后的企業文化對信息化產生了嚴重的阻力或者扭曲作用，落后的信息化不能對企業的發展進行有效的支持，因此信息化建設也就半途而廢，或徒有虛名。

　　如上所述，一些企業在信息化建設的“軟件”上忽略了規章制度的制訂、經營模式的變動、業務流程的重組和企業文化的建設等；另一方面，在信息化建設的“硬件”上，只注重了計算機設備的添置、網絡的構建，有的企業甚至在基于業務需要的應用軟件開發上也不惜投入巨資，卻忽略了信息技術管理機構的組建和信息技術人才的引進，從而導致了信息化建設過程中舉步維艱的局面。這一現象在機床機械行業尤為突出，其導致的結果是，技術成果的流失、營銷策略公開化、技術資料在企業內部唾手可得、合作組織的資料不能及時更新和共享等等。

　　在信息安全系統中，計算機及其網絡技術、信息建設中的其他硬件技術本身已經不是重要的因素，管理因素上升為關鍵因素。因此，企業信息安全治理的成敗關鍵在于企業高層管理者和執行者的觀念和行為。在企業信息化建設過程中，有效的信息安全治理需要最高管理層和管理執行層充分理解信息安全治理的必要性，知曉風險和威脅真實存在并有可能給企業造成的重大影響，可能導致的對企業聲譽的損害、技術成果的流失，必須建立并執行信息安全策略，認識企業文化和組織機構在信息化建設和信息安全中的重要性，在企業內形成自上而下的一致性和統一性，同時需要向與系統有利害關系的各方證實系統安全的可靠性。

　　所以，企業最高執行層必須親自領導編制信息安全方針政策，確保企業內部的每個人清楚知道并了解各自在信息管理系統中的角色、責任和權力；識別信息安全的威脅，分析弱點和適度關注本行業的慣例，建立安全基礎設施；開發安全和控制框架；及時實施并維護解決方案；建立評估措施，查明安全隱患并糾正它們，確保采取的行動符合政策、標準和可接受的最低的安全級別；在企業內部宣貫保護信息的必要性，提供安全運作信息系統所需技巧的培訓。

　　作為信息安全策略的重要組成部分，企業高層應對人員安全給予足夠的重視。在一切事件中，人是關鍵的因素。人員安全的目標就是減少人為的失誤、盜竊、欺詐、破壞和設備誤用所造成的風險。因此企業在一開始就應對招聘人員進行充分的篩選，對敏感的工作崗位尤其這樣。所有雇員和使用信息設備的第三方都應簽訂一份信息保密協議。企業高層應確保信息使用者了解信息安全的威脅和在他們正常工作中有相應的訓練，有利于信息安全政策的貫徹和實施；通過從以前事件和故障中汲取教訓，最大限度地降低安全損失。

　　通過企業最高管理層的努力，信息安全策略就會得到有效的實施，企業信息系統的安全性也就有了很大的提升，企業信息化建設也就能順利達到預期的目標。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://m.hanmeixuan.com/

本文標題：鑄鍛行業企業信息安全初探

本文網址：http://m.hanmeixuan.com/html/consultation/10839513742.html