【摘 ?要】 信息安全牽涉企業(yè)諸多核心機密信息的安全，直接關系到企業(yè)正常運轉和長遠發(fā)展。尤其是對于傳統(tǒng)行業(yè)而言，在信息化時代來臨的背景下，必須進行信息安全建設，保護傳統(tǒng)行業(yè)的核心信息資源，才能保證其不被新行業(yè)所擊垮?；诖?，本文從傳統(tǒng)行業(yè)信息安全的現(xiàn)狀出發(fā)，逐一分析傳統(tǒng)行業(yè)信息安全建設存在的問題，并提出了一些關于信息安全建設的策略。

【關鍵詞】 傳統(tǒng)行業(yè) ?信息安全建設 ?問題 ?策略

【作者簡介】 胡鵬，中石化湖北石油分公司工程師，研究方向：網絡安全。

【中圖分類號】 X913.2 ? ? 【文獻標識碼】 A ? ? ?【文章編號】 2095-5103（2015）04-0051-02

信息安全建設包括三大部分，即人員、管理和技術，尤其是信息安全管理，已經越發(fā)受到各界的廣泛關注，并以此為核心來打造信息安全保障體系。信息安全對于各行各業(yè)來說，均具有極其重要的地位，其不僅關乎企業(yè)自身信息安全，也關乎普通消費者信息安全。因此構建信息安全體系，是企業(yè)未來發(fā)展的重點工作。

一、傳統(tǒng)行業(yè)信息安全建設現(xiàn)狀分析

（一）對信息安全建設缺乏足夠認識。就目前國內實際情況來說，傳統(tǒng)行業(yè)對于信息安全建設尚沒有足夠的認識，導致信息安全建設難以切實施行。具體來說，這主要表現(xiàn)在三個方面。一是傳統(tǒng)行業(yè)的領導者對信息安全建設缺少必要的認識，在面對信息化浪潮的沖擊時，其最先想到的是提升行業(yè)品質來面對新挑戰(zhàn)，卻忽視了通過信息安全建設保護行業(yè)核心信息資源，導致行業(yè)信息被逐漸泄露，無法與新行業(yè)相抗衡，以致逐漸失去競爭力。最典型的就是傳統(tǒng)出版行業(yè)，在數(shù)字化刊物逐漸普及的情況下，傳統(tǒng)出版行業(yè)已經顯得捉襟見肘，出版物印刷量與銷售量逐年下降。二是行業(yè)內部員工缺少對信息安全的認識，在日常工作中，會在不經意間泄露行業(yè)信息。更有甚者為了一己私利出賣行業(yè)信息。這些舉動都對傳統(tǒng)行業(yè)造成了極其惡劣的影響。三是普通消費者缺少對信息安全的認識，在某些需要消費者個人信息資料的行業(yè)中，消費者往往沒有考慮個人信息資料是否安全，是否存在泄露的風險以及相應的后果。忽視這些的結果就是消費者缺少對相關企業(yè)信息安全的要求，在發(fā)生意外情況后無法挽回。

（二）信息安全建設技術水平較低。傳統(tǒng)行業(yè)雖然缺乏對信息安全建設的認識，但也并非沒有進行信息安全建設，只是其信息安全建設技術水平較低，無法切實滿足對企業(yè)信息安全的保護。信息安全建設技術水平低主要表現(xiàn)在兩個方面。一是信息安全管理體系架構技術層次低，一個體系架構的技術高低，決定了該體系所能發(fā)揮的功能高低。越先進越高端的技術，其對信息安全的保護也就越安全，反之亦然。傳統(tǒng)行業(yè)信息安全管理體系的基礎架構以及權限設置等信息保障措施，其技術相對一些新行業(yè)而言較為落后，無法符合不斷更新的計算機技術，更無法有效彌補信息安全漏洞，只能說是徒有其表。二是人員管理技術水平較低，人員管理也是信息安全建設的重要環(huán)節(jié)。每一個員工都攜帶著一定程度的行業(yè)信息，只有加強對員工的管理，建立科學人性的管理體系，才能確保企業(yè)人員不會因為失誤或利益泄露行業(yè)信息。

（三）信息安全建設覆蓋范圍較窄。信息安全建設覆蓋范圍較窄主要可以分為兩個方面，一是進行信息安全建設的傳統(tǒng)行業(yè)范圍較窄;二是行業(yè)內部信息安全建設的范圍較窄。對于所有傳統(tǒng)行業(yè)而言，已經完成信息安全建設或正在建設的行業(yè)并不多。根據相關統(tǒng)計資料，傳統(tǒng)行業(yè)中完成或進行中的信息安全建設的企業(yè)，尚不到20%。這一數(shù)據說明信息安全建設率在傳統(tǒng)行業(yè)中來講還很低，還需要加強相關理念的宣傳，引導更多的傳統(tǒng)企業(yè)進行信息安全建設。在行業(yè)內部，信息安全建設集中在企業(yè)核心機密，即企業(yè)相關財務數(shù)據、產品數(shù)據和市場數(shù)據等，忽視了員工信息安全及一些外在信息安全的構建。雖然此舉能夠保障企業(yè)核心利益，卻無法保證企業(yè)正常良性的運轉。

二、傳統(tǒng)行業(yè)信息安全建設中的問題及原因

（一）缺少完善的法律法規(guī)。在信息安全方面，我國尚缺少有效完善的法律法規(guī)來加強信息安全建設，這主要表現(xiàn)在兩個方面。一方面是缺少對傳統(tǒng)行業(yè)信息安全建設的強制性法律法規(guī)。傳統(tǒng)行業(yè)本身對信息安全缺少足夠的認識，再加之缺少必須的法律法規(guī)，就致使傳統(tǒng)行業(yè)基本忽視了信息安全建設。另一方面是缺少對信息安全犯罪的法律法規(guī)，近年來隨著信息技術發(fā)展迅猛，各種信息安全犯罪層出不窮，犯罪性質也從經濟犯罪上升到了更加惡劣的性質。各種由于個人信息泄露而出現(xiàn)的綁架、搶劫等案件，急需出臺相應的信息安全法律法規(guī)來加以制約。

（二）傳統(tǒng)行業(yè)內部信息安全管理不力。信息安全管理主要包括體系建設、制度建設和人員管理。這三個方面的工作在傳統(tǒng)行業(yè)中來說都并不到位。體系建設主要是指信息安全管理體系，一套完整的管理體系，應當從上至下，由內而外，將方方面面的信息安全包羅其中，以形成一個上下一體的信息安全管理系統(tǒng)。制度建設主要針對信息安全制定相應的信息安全管理制度，通過確實的規(guī)章制度，對企業(yè)員工形成約束，避免其出現(xiàn)一些不利企業(yè)信息安全的行為。人員管理主要是加強對企業(yè)員工的信息安全意識教育，讓其樹立起保護信息安全的基本意識。

（三）基礎信息安全建設設施缺乏?；A信息安全建設設施缺乏，是擺在傳統(tǒng)行業(yè)面前的關鍵問題，這主要包括兩個方面的問題。一是技術基礎缺乏，目前我國信息安全建設的技術基礎基本源自國外，這從信息安全的角度來說本身就是一種不安全的行為。只有創(chuàng)建完全自主的信息安全技術，才能杜絕國外技術可能存在的技術后門。二是硬件基礎缺乏，這與技術基礎缺乏對信息安全的不利影響是一致的。總的來說，硬軟件的缺乏，是傳統(tǒng)行業(yè)信息安全建設的最大問題。

三、傳統(tǒng)行業(yè)信息安全建設策略分析

（一）完善信息安全法律法規(guī)。要做好傳統(tǒng)行業(yè)信息安全建設，最首要的就是完善相應的信息安全法律法規(guī)，從法律層面對信息安全建設進行定性。首先是明確傳統(tǒng)行業(yè)信息安全建設的義務，通過法律規(guī)定強制傳統(tǒng)行業(yè)進行信息安全建設，迫使其領導層重視信息安全建設，進而在行業(yè)全局決策中增加對信息安全建設的思考與傾斜。其次是對信息安全犯罪作出全面的定性與量刑，加強對信息安全犯罪的打擊力度，通過法律手段減少信息安全威脅。

（二）加強行業(yè)內部信息安全管理。加強行業(yè)內部信息安全管理，是信息安全建設的重要環(huán)節(jié)，其可以從三個方面來進行。第一是構建企業(yè)員工信息梯度，針對企業(yè)不同部門以及不同職位，制定不同的信息等級制度，以此改善員工功能與信息的不對等關系。第二是構建信息管理制度，針對企業(yè)類型、企業(yè)所包含信息的類型以及其機密程度，制定合理的信息管理制度，加強對內部員工的約束。第三是加強對企業(yè)員工的信息安全建設培訓，使企業(yè)員工具有一定的信息安全建設意識，能夠從一些小事上進行信息安全建設。

（三）自主化信息安全建設基礎設施。自主化信息安全建設基礎設施應當從基礎技術與基礎硬件兩個方面進行。就基礎技術而言，傳統(tǒng)行業(yè)應該大量參考國外相關技術，博采眾長，創(chuàng)建不依賴于國外技術的信息安全建設技術，真正實現(xiàn)信息安全建設技術國產化，從根源上排除國外技術對傳統(tǒng)行業(yè)信息安全可能存在的技術風險。在基礎硬件方面，傳統(tǒng)行業(yè)可以加強與國內硬件廠商的合作，共同研發(fā)具有行業(yè)特點的信息安全建設硬件，減少國外硬件的引入與應用。總的來說，信息安全建設應該在國外硬軟件的基礎上，開發(fā)自主的硬軟件設備，使信息安全建設完全實現(xiàn)國產化。

（四）綜合采取多種有效措施構建信息安全大環(huán)境。信息安全建設并非企業(yè)一己之力就能夠做好，還需要多方協(xié)作，構建信息安全大環(huán)境，如此才能在整個行業(yè)中進行信息安全建設。第一，加強企業(yè)之間的信息交流與合作管理。對于同一行業(yè)而言，企業(yè)的核心信息在一定程度上來說相似甚至相同，即企業(yè)的信息安全建設在一定程度上形成了交集。同類型企業(yè)可以加強信息交流，合作構建信息安全管理體系，加強信息安全管理。第二，構建企業(yè)信息安全評級制度，由國家相關部門牽頭，聯(lián)合行業(yè)內的優(yōu)秀企業(yè)，組建企業(yè)信息安全評級機構，對行業(yè)內企業(yè)進行信息安全評級，并將評級結果公布于眾，讓消費者能夠清楚認識到企業(yè)的信息安全等級以選擇能夠保障自身信息安全的企業(yè)。此舉還可以加強企業(yè)對信息安全建設的重視程度，促使企業(yè)進行信息安全建設。第三，構建信息安全犯罪打擊網絡，由公安部牽頭，聯(lián)合國內優(yōu)秀的信息安全商構建信息安全犯罪打擊平臺，加強對信息安全的監(jiān)管及信息安全犯罪的打擊。

參考文獻：

[1] 尚高峰.行業(yè)信息安全體系建設的模式研究[J].計算機安全，2009，（08）.

[2] 周洲，劉鴻偉，梅新明.淺析交通運輸行業(yè)的信息安全問題[J].公路交通科技，2012，（07）.

責任編輯：徐建秋