◆呂 云

（中車戚墅堰機(jī)車有限公司 江蘇 213011）

1 信息安全管理的重要性

信息安全問題是企業(yè)在管理中遇到的最新的問題，信息是數(shù)字的載體，現(xiàn)代化辦公都是利用各種信息來提高工作效率。而如何在提高效率的同時(shí)不僅要保障信息系統(tǒng)中各種數(shù)據(jù)的安全、還要保證數(shù)據(jù)的正確性、完整性、持續(xù)性、穩(wěn)定性等，成為非常重要的問題。從國(guó)家層面上來說也是很重視，已相繼出臺(tái)網(wǎng)絡(luò)安全方面的法律法規(guī)，2019 年又修訂了信息系統(tǒng)安全等級(jí)保護(hù)的基本要求。

信息安全主要指信息數(shù)據(jù)安全、信息設(shè)備安全、系統(tǒng)軟件安全等在內(nèi)的企業(yè)信息安全。一個(gè)大型企業(yè)的信息安全性不足的話，很容易造成機(jī)密信息泄露，文件和重要圖紙?jiān)馐芨`取或破壞，甚至重要的系統(tǒng)被黑客攻破導(dǎo)致企業(yè)正常的辦公和生產(chǎn)癱瘓。特別是國(guó)企有工控系統(tǒng)的，如果被攻破會(huì)導(dǎo)致數(shù)控機(jī)床失控或人員受傷。因此為了避免以上情況的出現(xiàn)，必須做好企業(yè)的信息安全管理。

企業(yè)信息安全是否得到正確的管理，主要通過以下幾個(gè)方面來判斷：第一，完整性和正確性。要求信息數(shù)據(jù)在處理和傳輸過程中沒有遭到破壞或惡意修改。第二，保密性或隱私性。是指在信息數(shù)據(jù)不會(huì)泄露給沒有授權(quán)的個(gè)人或組織。第三，持續(xù)可用性。信息系統(tǒng)或網(wǎng)絡(luò)在被攻擊時(shí)，可迅速的恢復(fù)網(wǎng)絡(luò)使用和數(shù)據(jù)的持續(xù)可用，滿足企業(yè)業(yè)務(wù)要求。第四，可控制。企業(yè)必須有強(qiáng)制手段對(duì)網(wǎng)絡(luò)信息進(jìn)行監(jiān)控，有可查日志，從而在信息系統(tǒng)出現(xiàn)問題時(shí)可馬上進(jìn)行數(shù)據(jù)恢復(fù)，避免不必要的損失。

2 分析信息安全隱患

2.1 漏洞

漏洞包含兩個(gè)方面：操作系統(tǒng)漏洞和開發(fā)的信息平臺(tái)系統(tǒng)漏洞。計(jì)算機(jī)操作系統(tǒng)或服務(wù)器的操作系統(tǒng)本身就有很多漏洞，所以就需要不斷地更新補(bǔ)丁，但是常用端口還是有可以利用的漏洞，例如：9699、8080 端口等，特別是遠(yuǎn)程端口經(jīng)常被利用或攻擊。而在信息系統(tǒng)中存在漏洞就更多，開發(fā)軟件中為了功能的便捷往往都會(huì)忽視網(wǎng)絡(luò)信息安全問題，造成系統(tǒng)中的數(shù)據(jù)很多都沒有基礎(chǔ)保護(hù)，如果用的完全是軟件開發(fā)公司的系統(tǒng)，更是有很多漏洞，而往往這些漏洞都是難以彌補(bǔ)的。

2.2 病毒

計(jì)算機(jī)病毒或網(wǎng)絡(luò)病毒，首先都是各種數(shù)據(jù)代碼組成并會(huì)傳播的，往往一臺(tái)有或者一個(gè)網(wǎng)端上有就會(huì)影響到整個(gè)網(wǎng)絡(luò)，不僅破壞系統(tǒng)運(yùn)行還能損毀數(shù)據(jù)；其次病毒有多樣的表現(xiàn)形式，并具有潛伏隱蔽性，而且還能升級(jí)，例如近年代表性的“勒索病毒”。病毒除了通過網(wǎng)絡(luò)傳播，最主要的傳播還是在介質(zhì)上，特別是U盤。因此防病毒，不僅要依靠防病毒軟件，還要有對(duì)介質(zhì)、網(wǎng)絡(luò)隔離、數(shù)據(jù)傳輸?shù)冗M(jìn)行嚴(yán)密的管理來控制。

2.3 環(huán)境和人為因素

網(wǎng)絡(luò)環(huán)境是信息安全保障的基礎(chǔ)，企業(yè)要加強(qiáng)基礎(chǔ)設(shè)施的投入，加強(qiáng)物理安全設(shè)備的管理。有些自然因素是無(wú)法避免的，例如雷電、防火、防水等。這些引發(fā)的災(zāi)害造成的信息安全事件，很容易影響網(wǎng)絡(luò)信息安全。

在網(wǎng)絡(luò)環(huán)境中人絕對(duì)是關(guān)鍵因素，規(guī)范人的信息安全管理非常重要[1]。無(wú)論是信息安全的基礎(chǔ)設(shè)施如何，無(wú)論技術(shù)手段如何，也無(wú)論是惡意行為還是失誤操作，人都是信息安全事件發(fā)生的因素。企業(yè)員工對(duì)于網(wǎng)絡(luò)信息安全保護(hù)意識(shí)很薄弱，而專業(yè)的網(wǎng)絡(luò)技術(shù)人員在企事業(yè)中也很缺乏，而專職的信息安全管理人才更是少之又少。

3 信息安全的技術(shù)手段

防病毒技術(shù)是最常見也是最早用于企業(yè)信息安全中的技術(shù)，其大部分都是以客戶端模式安裝在終端系統(tǒng)的形式出現(xiàn)，是信息安全技術(shù)最為基礎(chǔ)手段。核心技術(shù)就是對(duì)計(jì)算機(jī)病毒的檢測(cè)和查殺（或隔離）。

入侵檢測(cè)技術(shù)是由硬件和軟件，從網(wǎng)絡(luò)的內(nèi)部和外部同時(shí)通過防御檢測(cè)的形式組成的系統(tǒng)。通過入侵檢測(cè)生成的報(bào)告給出的事件（例如：Traceroute ICMP/IPOPT 探測(cè)網(wǎng)絡(luò)拓?fù)洳僮?；Microsoft Windows 柯達(dá)圖像查看器遠(yuǎn)程代碼執(zhí)行攻擊（MS07-055）等），從而主動(dòng)地來化解潛在威脅，更有利于信息安全的管理。入侵檢測(cè)還能自定義敏感信息、惡意代碼，有針對(duì)地進(jìn)行檢測(cè)。

防火墻技術(shù)通常用于內(nèi)外網(wǎng)之間，隔離外網(wǎng)惡意軟件入侵和控制內(nèi)網(wǎng)向外的信息傳輸[2]。對(duì)外可完全阻隔，對(duì)內(nèi)可選擇性的封鎖或部分開發(fā)，為企業(yè)提供了一個(gè)相對(duì)安全的網(wǎng)絡(luò)環(huán)境，從本質(zhì)上保護(hù)信息系統(tǒng)，減少網(wǎng)絡(luò)安全隱患。并且該技術(shù)可以通過安全策略提供信息交換點(diǎn)，有利于網(wǎng)絡(luò)信息體系的構(gòu)建?，F(xiàn)在還有工控防火墻，使用在工業(yè)控制網(wǎng)與管理網(wǎng)絡(luò)交接點(diǎn)。

身份認(rèn)證技術(shù)，身份指各類型用戶，例如：計(jì)算機(jī)終端用戶、各個(gè)信息系統(tǒng)用戶、各類技術(shù)控制平臺(tái)用戶，這些用戶中還有權(quán)限分級(jí)。所以身份的不同，認(rèn)證要求也是不同的。普通信息系統(tǒng)用戶認(rèn)證可以通過簡(jiǎn)單口令來認(rèn)證，對(duì)于嚴(yán)格的域環(huán)境用戶需要通過安全平臺(tái)和口令一起認(rèn)證，不同的身份會(huì)賦予不同的權(quán)限，高權(quán)限的身份認(rèn)證必須包含復(fù)雜性、多變性，甚至可以智能化認(rèn)證。身份認(rèn)證技術(shù)完全可以提高信息系統(tǒng)數(shù)據(jù)的安全性。身份認(rèn)證技術(shù)基本都是通過網(wǎng)絡(luò)安全平臺(tái)、網(wǎng)絡(luò)設(shè)備、信息系統(tǒng)的基礎(chǔ)管理功能來實(shí)現(xiàn)的。

加密技術(shù)是利用數(shù)字方法重新對(duì)數(shù)據(jù)進(jìn)行組織，從而實(shí)現(xiàn)加密，是一種有效的信息安全防護(hù)措施。

網(wǎng)絡(luò)技術(shù)有虛擬專網(wǎng)技術(shù)、網(wǎng)絡(luò)隔離技術(shù)。虛擬專網(wǎng)技術(shù)指依靠ISP 和其他NSP（網(wǎng)絡(luò)服務(wù)提供者）在公用網(wǎng)絡(luò)（如Internet、Frame Relay、ATM）建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)[3]。大型企業(yè)分公司多使用虛擬專網(wǎng)技術(shù)可降低企業(yè)成本。網(wǎng)絡(luò)完全隔離技術(shù)是通過隔離物理鏈路來實(shí)現(xiàn)的，利用這種技術(shù)會(huì)使內(nèi)網(wǎng)環(huán)境相對(duì)良好可控制。

4 信息安全管理體系

任何技術(shù)都是實(shí)現(xiàn)信息安全管理的手段和基礎(chǔ)保障，有了技術(shù)更是需要完整制度來規(guī)范行為。因此，需要根據(jù)標(biāo)準(zhǔn)要求建立符合企業(yè)實(shí)際業(yè)務(wù)需求的信息安全管理體系。

信息安全管理系統(tǒng)建立，首先要組建完整的體系管理職責(zé)架構(gòu)，分職分角色分管信息安全的各個(gè)方面，主要領(lǐng)導(dǎo)人根據(jù)實(shí)際業(yè)務(wù)需求負(fù)責(zé)規(guī)劃信息安全管理目標(biāo)和方針，成立專業(yè)的信息安全工作組合理配置資源，體系范圍內(nèi)的員工需在工作中認(rèn)真貫徹信息安全管理要求，確保信息系統(tǒng)安全；其次，信息安全管理體系的建立是依據(jù)法律法規(guī)以及管理標(biāo)準(zhǔn)，建立各類人員職責(zé)相互監(jiān)督制約機(jī)制，提高監(jiān)控、檢測(cè)等約束手段降低安全風(fēng)險(xiǎn)。第三，通過建立規(guī)范化的信息安全工作流程，對(duì)信息系統(tǒng)安全工作進(jìn)行合理控制，降低由于工作隨意性而產(chǎn)生的安全風(fēng)險(xiǎn)，同時(shí)提升信息安全管理制度的可操作性。體系建成后要不斷地持續(xù)改進(jìn)，提升體系的全面性、適用性和有效性。

信息安全管理體系標(biāo)準(zhǔn)包含200 多個(gè)要求，企業(yè)建體系都要根據(jù)實(shí)際情況來規(guī)范信息安全控制程序文件。信息安全控制程序都要有明確的目的、實(shí)際內(nèi)容、適用范圍、人員職責(zé)以及程序的工作流程，并且有具體的材料來支持。而具體建立幾個(gè)控制程序都是根據(jù)企業(yè)實(shí)際業(yè)務(wù)需求和實(shí)際基礎(chǔ)環(huán)境來決定的。一般來說，企業(yè)都會(huì)建立的控制程序，例如人力資源控制程序、信息資產(chǎn)控制程序、信息系統(tǒng)開發(fā)建設(shè)安全控制程序等。人力資源控制程序的目的是對(duì)人力資源優(yōu)化管理與開發(fā)，為信息安全管理體系的有效運(yùn)行提供保障而制定的。詳細(xì)規(guī)定了公司與信息安全有關(guān)的人員的招聘、任用、培訓(xùn)、調(diào)崗、離職等方面的管理。信息資產(chǎn)控制程序?yàn)榻⒔y(tǒng)一的資產(chǎn)分類和重要程度的分級(jí)標(biāo)準(zhǔn)，明確資產(chǎn)責(zé)任和關(guān)鍵資產(chǎn)的要求，規(guī)范公司信息資產(chǎn)的使用，特制定本控制程序。程序規(guī)定了硬件資產(chǎn)、軟件資產(chǎn)、數(shù)據(jù)、文檔、人員、服務(wù)等的管理。信息系統(tǒng)開發(fā)建設(shè)安全控制程序的目的是為對(duì)公司信息系統(tǒng)建設(shè)的策劃、開發(fā)、實(shí)施、測(cè)試等過程進(jìn)行有效的控制，確保信息安全是信息系統(tǒng)建設(shè)過程中的一個(gè)有機(jī)組成部分。規(guī)定了公司信息系統(tǒng)建設(shè)的策劃、開發(fā)、實(shí)施、測(cè)試等過程中的信息安全控制要求。當(dāng)然，有些體系標(biāo)準(zhǔn)在各行各業(yè)的企業(yè)中會(huì)出現(xiàn)不適用的情況。

5 總結(jié)

科學(xué)技術(shù)的進(jìn)步為各行各業(yè)甚至整個(gè)世界提供了一個(gè)數(shù)字世界，而今對(duì)企業(yè)來說已經(jīng)離不開這個(gè)世界。信息是數(shù)字世界中的元素，必將會(huì)受到網(wǎng)絡(luò)威脅的不斷和持續(xù)的攻擊。企業(yè)必須重視信息安全的管理，而結(jié)合企業(yè)內(nèi)部實(shí)際環(huán)境建立完善規(guī)范的信息安全管理體系，加強(qiáng)信息安全的投入，能有效地從各個(gè)方面解決信息安全問題。