王振宇 黃勇 何巖

摘? ?要：文章從國有企業(yè)信息系統(tǒng)安全管理重要度出發(fā)，分析面臨的形勢和存在的重難點問題，從搞好頂層設(shè)計、把握建設(shè)原則、完善系統(tǒng)建設(shè)、突出技防并舉、加強(qiáng)人才培養(yǎng)等方面，探討了推進(jìn)國有企業(yè)信息化安全管理建設(shè)的基本思路和方法途徑。

關(guān)鍵詞：國有企業(yè);信息系統(tǒng);安全管理

中圖分類號：TP399? ? ? ? ? 文獻(xiàn)標(biāo)識碼：A

Abstract： This paper presents the values of principle in enterprise security management for high level of the enterprise business. Information security has become one common challenge most organizations face with effect respond to present the value set of systems in information security management from a perspective of the state–owned tech company in an empirical analysis of future challenges of enterprise project. An executive management must have a model that provide information regarding the enterprise system， current operations， operating costs， quality， as well as security concurs， which enable analysis of methodology for assessing safety， personal training， trends， consideration of design of scenarios with methods.

Key words： enterprise;information system; security management

1 引言

隨著新時期信息化、智能化、一體化的快速發(fā)展，“以信息化帶動工業(yè)化，以工業(yè)化促進(jìn)信息化，以智能化提升信息化”為牽引的發(fā)展趨勢，對現(xiàn)代國有企業(yè)信息化建設(shè)與發(fā)展提出了更高的要求。特別是以計算機(jī)信息系統(tǒng)安全管理為代表的信息化能力建設(shè)，不僅為國有企業(yè)裝備、科研、生產(chǎn)提供了高效、精確、可靠的信息技術(shù)支持，更是成為新時期國有企業(yè)轉(zhuǎn)型建設(shè)發(fā)展的力量倍增器。為此，加強(qiáng)國有企業(yè)信息化建設(shè)，提升經(jīng)濟(jì)效能，就必須從信息系統(tǒng)建設(shè)基礎(chǔ)抓起，堅持以信息技術(shù)為抓手，力求做到全方位信息管理與數(shù)據(jù)集成、網(wǎng)絡(luò)防護(hù)與高效監(jiān)管、數(shù)據(jù)精準(zhǔn)與傳輸順暢。然而，國有企業(yè)信息系統(tǒng)安全管理所面臨的形勢十分嚴(yán)峻突出，如何加強(qiáng)網(wǎng)管查堵布控，居安思危，杜絕信息安全漏洞，確保國有企業(yè)高效快速、安全平穩(wěn)發(fā)展，已是擺在人們面前亟待解決的突出問題，只有“一手抓生產(chǎn)，一手抓安全”，雙管齊下，才能為實現(xiàn)新型國有企業(yè)由工業(yè)化向信息化、數(shù)字化、智能化跨越式發(fā)展保駕護(hù)航。

2 信息系統(tǒng)在國有企業(yè)管理的地位與作用

現(xiàn)代國有企業(yè)正在向以信息化、網(wǎng)絡(luò)化為特征的“數(shù)字智能化”發(fā)展，信息系統(tǒng)已成為國有企業(yè)提高核心競爭力的重要組成部分，更是當(dāng)今國有企業(yè)實施科研生產(chǎn)與管理所不可或缺的“軟實力”體現(xiàn)，地位作用十分突出。

一是隨著信息化技術(shù)的廣泛普及和應(yīng)用，信息系統(tǒng)為國有企業(yè)的創(chuàng)新與發(fā)展，提供了堅實可靠的信息技術(shù)支撐，成效顯著。反復(fù)實踐證明，現(xiàn)代國有企業(yè)建設(shè)與發(fā)展，不能忽視信息系統(tǒng)“軟硬”件建設(shè)與投入，越是任務(wù)繁重，越要加強(qiáng)信息系統(tǒng)管理與技術(shù)改進(jìn)工作，不斷更新完善“軟硬”件配套設(shè)施建設(shè)，構(gòu)建實用型數(shù)據(jù)庫與配套服務(wù)終端，收集整理科研數(shù)據(jù)信息，為科研技改部門攻關(guān)鋪路搭橋，只有把信息系統(tǒng)建設(shè)與管理工作放在首位，發(fā)揮網(wǎng)管控制系統(tǒng)優(yōu)勢，上下信息采集精準(zhǔn)暢通，才能為各級決策部門提供科學(xué)依據(jù)，滿足國有企業(yè)快速發(fā)展建設(shè)的需要。

二是現(xiàn)代科技信息系統(tǒng)的研發(fā)與建立，為國有企業(yè)擺脫落后的管理模式，減員增效、降低勞動成本，走向現(xiàn)代化管理正軌，夯實了“軟實力”?；仡檱衅髽I(yè)發(fā)展歷程，面對繁重的科研與生產(chǎn)任務(wù)，歷經(jīng)幾代科技工作者們不懈奮斗，由落后的手工記賬、統(tǒng)計、測試、防護(hù)和經(jīng)驗估算等方式，向運用信息系統(tǒng)、網(wǎng)絡(luò)管理、安全監(jiān)控等科技手段，實施精準(zhǔn)、高效、快捷、智能化安全管理模式轉(zhuǎn)化，既減輕了人力、物力強(qiáng)度，又實現(xiàn)了質(zhì)量效能的提升。如今，以大數(shù)據(jù)、云計算、云存儲技術(shù)為代表的科技手段運用在國有企業(yè)創(chuàng)新發(fā)展進(jìn)程中，起到了中流砥柱的作用，有力地推進(jìn)了國有企業(yè)跨越式發(fā)展，使經(jīng)濟(jì)效益顯著提高。

三是信息系統(tǒng)是國有企業(yè)緊盯世界科技發(fā)展潮流的“瞭望塔”，更是國有企業(yè)生存與發(fā)展的“助推器”。 在科學(xué)技術(shù)日新月異、升級換代的今天，誰掌握了新知識、新技術(shù)，誰就搶先占領(lǐng)了科技前沿制高點，搶奪了商機(jī)，必須堅持信息為主導(dǎo)，緊盯當(dāng)今世界科技發(fā)展最新成果為國家所用，聚焦、運用現(xiàn)代信息化、智能化技術(shù)，為國有企業(yè)改革創(chuàng)新發(fā)展，為決策層預(yù)測評估分析，提供堅實可靠的信息保證。

3 信息系統(tǒng)安全管理面臨的難點與對策

敢于直面問題，是革弊鼎新的重要前提。經(jīng)過多年科技工作者們的努力，如今國有企業(yè)信息系統(tǒng)安全管理建設(shè)取得了長足進(jìn)步與發(fā)展。但縱觀現(xiàn)實看，信息化推進(jìn)與現(xiàn)代國有企業(yè)實現(xiàn)跨越式發(fā)展建設(shè)的總體趨勢、目標(biāo)和安全管理要求等方面存在一定差距，亟待工作者們下大力加以解決。

一是從信息系統(tǒng)安全管理體系構(gòu)成要素看，完善的法規(guī)制度是做好信息系統(tǒng)網(wǎng)絡(luò)安全防失泄密的有力保證。嚴(yán)格執(zhí)行《中國計算機(jī)信息系統(tǒng)安全保護(hù)條例》，抓好網(wǎng)絡(luò)運行監(jiān)控、檢測維護(hù)、數(shù)據(jù)備份、空間清理、升級補(bǔ)丁和病毒查殺等關(guān)鍵節(jié)點要素，是處理解決“疑難雜癥”、確保信息系統(tǒng)運行暢順前提。當(dāng)前，隨著高新技術(shù)快速引入與發(fā)展，如各類信息網(wǎng)絡(luò)設(shè)備、計算機(jī)、辦公自動化設(shè)備、聲像設(shè)備和保密產(chǎn)品等升級換代問題日趨突出，必將制約工作效率。對此，從管理上看，與之相關(guān)的安全管理制度、用戶手冊、防火墻升級與重樹等，都必須與時俱進(jìn)，適時修訂完善，杜絕安全隱患、漏洞;從技術(shù)上看，信息系統(tǒng)安全管理、維護(hù)、操作技能培訓(xùn)也必須同步推進(jìn)。二者相輔相成，缺一不可。

二是隨著涉密網(wǎng)絡(luò)信息分級保護(hù)工作的不斷推進(jìn)，國有企業(yè)涉密信息系統(tǒng)保密管理水平與安全防范能力顯著提高。然而，在竊密與反竊密斗爭極其尖銳復(fù)雜的情況下，信息安全保密防護(hù)問題依然突出，計算機(jī)及信息系統(tǒng)已成為泄露國有企業(yè)科技秘密的主要渠道，科技工業(yè)信息安全保密正經(jīng)受著前所未有的挑戰(zhàn)。對此，必須對信息化軟硬件設(shè)備如服務(wù)器、交換機(jī)、計算機(jī)終端等“硬”件來源加強(qiáng)管控甄別，系統(tǒng)軟件配置應(yīng)盡快實現(xiàn)國產(chǎn)化軟件替換，并定期升級防火墻;同時，管理單位要不定期對分管場所的辦公電腦開展安全普查，適時實施服務(wù)終端漏洞掃描、查找，杜絕安全隱患。

三是信息系統(tǒng)涉密環(huán)節(jié)多、技術(shù)難點多、保密內(nèi)容多，對人的能力素質(zhì)要求更高。但從以往失泄密教訓(xùn)看，思想麻痹、警覺性差、錯忘漏丟等是安全防范重點。對此，一要加強(qiáng)涉密信息系統(tǒng)安全保密教育管理，進(jìn)一步明確安全保密人員崗位及職責(zé)，規(guī)范保密管理工作流程，防范人為、失誤泄密所造成的損失。二要從信息安全管理細(xì)節(jié)末端抓起，對從事科技含量高、保障難度大、涉密要求嚴(yán)的信息專業(yè)技術(shù)人員，切實做到政治上可靠、業(yè)務(wù)上精湛、經(jīng)得起考驗，徹底杜絕各種安全隱患問題。三要從講政治的高度，強(qiáng)調(diào)保密就是保生命、保科研生產(chǎn)力，做到天天講、月月講，并在主要工作場所，采取保密制度、規(guī)定、流程圖表張掛等方式強(qiáng)化警示提醒，繃緊這條安全高壓線，防患于未然。

四是國企信息系統(tǒng)地位作用突出，科技含量高、技術(shù)難度大，如何發(fā)揮信息系統(tǒng)在國有企業(yè)創(chuàng)新管理中的優(yōu)勢與效能，人才是根本。目前，信息化裝（設(shè)）備等人才缺乏，前沿科技知識不足、技能眼高手低等問題時有存在。對此，必須堅持把人才興企作為長遠(yuǎn)戰(zhàn)略工程，采取專家?guī)Ы?、送學(xué)培訓(xùn)、跟學(xué)跟研等多種方式抓緊高層次科技人才培養(yǎng)，積極利用急、難、險重任務(wù)鍛造信息化人才隊伍，形成人才隊伍梯次漸進(jìn)、厚積薄發(fā)的可持續(xù)發(fā)展模式。同時，健全安全管理考核制度，濃厚人才氛圍，幫助解決實際困難，大力創(chuàng)造優(yōu)秀人才脫穎而出的良好環(huán)境，為國有企業(yè)改革與發(fā)展，提供必要的智力支撐。

4 信息系統(tǒng)安全管控與技術(shù)應(yīng)用

國有企業(yè)信息管理與網(wǎng)絡(luò)安全防范技術(shù)工作好壞，直接關(guān)系到國有企業(yè)的生存與持續(xù)發(fā)展，乃至國有企業(yè)科技體系建設(shè)與轉(zhuǎn)型發(fā)展的安危，容不得半點閃失，必須要從思想上常敲打，從管理上嚴(yán)訂措施，從技術(shù)上多下手段，多管齊下，才能杜絕工作中“錯、忘、漏”等問題發(fā)生。歷經(jīng)實踐，現(xiàn)有信息系統(tǒng)安全管理制度及措施方法，在推進(jìn)國有企業(yè)信息系統(tǒng)建設(shè)與發(fā)展中取得了顯著成效，歸結(jié)起來有四個方面。

一是依據(jù)保密法規(guī)制度，按保密等級要求，實施定人定崗、分級保護(hù)管理。重點抓好系統(tǒng)定級、方案設(shè)計、工程實施、系統(tǒng)測評、系統(tǒng)審批、日常管理、測評與檢查、系統(tǒng)廢止等主要技術(shù)環(huán)節(jié)。下大力解決制約信息系統(tǒng)數(shù)據(jù)傳輸、網(wǎng)絡(luò)安全管理、服務(wù)終端防病毒等疑難雜癥“瓶頸”問題，才能穩(wěn)操勝券。

二是明確涉密系統(tǒng)安全保密管理人員地位、作用、配備要求和職責(zé)分工。重點強(qiáng)調(diào)涉密信息及應(yīng)用系統(tǒng)的“三員”工作職責(zé)，并在日常工作、管理和安全上落實把關(guān)，切實強(qiáng)調(diào)技術(shù)能力要求，不斷拓展、更新、完善綜合信息技術(shù)安全管理手段，占領(lǐng)信息安全技術(shù)制高點。

三是實施信息安全與保密技術(shù)應(yīng)用。重點抓好操作系統(tǒng)安全（Windows/Unix/Linux等系統(tǒng)）、應(yīng)用系統(tǒng)安全（結(jié)構(gòu)化查詢語言、SQL注入攻擊原理、SQL注入攻擊防護(hù)方法）、補(bǔ)丁管理系統(tǒng)（如Wusu補(bǔ)丁管理與要求）、防火墻功能、安裝部署與使用，入侵檢測系統(tǒng)常見種類、部署、功能與技術(shù)分類，漏洞掃描系統(tǒng)分類、功能及典型部署，防病毒系統(tǒng)對計算機(jī)病毒的常見特征、防病毒系統(tǒng)的病毒庫升級與日常使用和維護(hù)，終端監(jiān)控與審計的策略配置與日常使用和維護(hù)，身份認(rèn)證系統(tǒng)PKI各部分功能與系統(tǒng)屬性，電磁泄露發(fā)射防護(hù)系統(tǒng)中的總體要求、信息設(shè)備及傳輸線路的電磁泄露發(fā)射防護(hù)，典型現(xiàn)代網(wǎng)絡(luò)安全體系構(gòu)建。同時，對信息安全保密產(chǎn)品選用及要求，原則上應(yīng)滿足信息系統(tǒng)硬件設(shè)備安全使用需求，嚴(yán)控把關(guān)，滿足信息化規(guī)范管理要求。

四是涉密信息系統(tǒng)安全保密要求及日常管理，必須從全盤考慮，緊盯重點環(huán)節(jié)。如物理安全（環(huán)境安全、設(shè)備與介質(zhì)安全），運行安全（備份與恢復(fù)、計算機(jī)與惡意代碼防護(hù)、設(shè)備接入控制），信息安全保密（網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全、信息輸入/輸出、電磁泄露發(fā)射防護(hù)、數(shù)據(jù)安全），在做好日常安全保密管理的同時，重點抓好安全保密管理策略、機(jī)構(gòu)、制度、人員、安全審計、風(fēng)險評估、應(yīng)急響應(yīng)與恢復(fù)、日常管理、數(shù)據(jù)備份和重要服務(wù)器冗余備份，確保信息系統(tǒng)大數(shù)據(jù)庫萬無一失。

5 結(jié)束語

縱觀現(xiàn)代信息技術(shù)突飛猛進(jìn)快速發(fā)展，國有企業(yè)信息系統(tǒng)安全管理保密工作，容不得半點疏忽大意，要從站在國家安全和國有企業(yè)利益的戰(zhàn)略高度，認(rèn)清當(dāng)前信息系統(tǒng)保密安全管理所面臨的嚴(yán)峻形勢，牢固樹立安全保密意識，進(jìn)一步增強(qiáng)做好國有企業(yè)涉密信息系統(tǒng)安全管理的責(zé)任感和緊迫感，積極防范，技管并重，深化培訓(xùn)，筑牢底線，扎實做好國有企業(yè)信息系統(tǒng)安全管理工作。

參考文獻(xiàn)

[1] 相長軍.軍工涉密信息系統(tǒng)安全保密管理人員安全實務(wù)[M].北京：北京航空航天大學(xué)出版社，2011.

[2] 國家軍工保密資格認(rèn)定辦公室.軍工保密資格認(rèn)定工作指導(dǎo)手冊[M].北京：金城出版社，2017.

[3] 楊建榮.Oracle DBA工作筆記運維、數(shù)據(jù)遷移與性能調(diào)優(yōu)[M].北京：中國鐵道出版社，2017.

[4] 葉明達(dá)，黃智，張寒之.一種信息安全漏洞管理方案的實踐[J].網(wǎng)絡(luò)空間安全，2018，9（05）：64-67.