公司信息安全建设范文
发布时间:2023-10-09 17:41:49
导语:想要提升您的写作水平,创作出令人难忘的文章?我们精心为您整理的5篇公司信息安全建设范例,将为您的写作提供有力的支持和灵感!
篇1
一、专业管理理念和目标
1.1 专业管理的理念或策略
信息安全管理的理念为主动作为,从技术上做到信息安全“可控、能控、在控和预控”,实现事前认证、事中监控、事后审计的全流程安全管理。
1.2 专业管理的范围
综合数据网信息安全体系建设涉及公司所有员工。
1.3专业管理的目标
信息安全体系建设的目标为违规外联事件为0,桌面弱口令为0,杀毒软件安装率为100%,桌面管控系统安装率为100%以及不出现其它受到考核的不安全行为和事件。
二、当前的计算机网络安全形势
随着信息化的发展,业务和应用完全依赖于计算机网络和桌面计算机。但是计算机病毒、黑客木马、间谍软件进入桌面计算机,在计算机上安装非法软件,肆意破坏网络和业务系统,外来电脑接入本单位计算机网络等问题时有发生,这些行为非常容易导致桌面计算机和计算机网络系统的瘫痪。最近几年来,网络安全威胁愈演愈烈,网络攻击工具越来越多样,越来越容易获得,所需要的技能越来越低,只需下载一个黑客程序就可以进行攻击,漏洞利用的时间越来越短。攻击的目的性,过去纯粹为了比技术,现在商业目的越来越明显。
三、国网眉山供电公司综合数据网信息安全现状
国网眉山供电公司综合数据网经过2011年到2012年的大规模建设,网络覆盖到了35KV变电站及供电所等机构,形成了规模巨大的数据网络,包含连接各级机关、各个电压等级的变电站和供电所的广域网,以及各个站点的局域网。
综合数据网的建成为所有办公终端提供了高速数据通道,大大提升了信息化水平和办公效率。但也带来了一个严重问题――安全问题。国网眉山供电公司在网的计算机多,爆发的安全问题多,管理难度很大。从国网推广的北信源安全管控系统监控的结果来看,目前内网计算机违规外联、计算机使用弱口令、计算机没有安装防病毒软件等问题还很多,北信源的安全管控系统主要是监控并不能够从技术上进行事前规避。国网眉山供电公司实施了大量的管理措施得了一定的效果,但是没有建立一套全方位的安全技术系统,提升网络的安全性,保护电力公司的信息资产安全。
为了真正提升网络安全性需要建立一个整体安全架构,从局部安全、全局安全、智能安全三个层面,建设一个多层次、全方位的立体防护体系,使网络成为智能化的安全实体。局部安全针对关键问题点进行安全部署,抵御最基础的安全威胁;全局安全利用安全策略完成产品间的分工协作,达到协同防御的目的;智能安全在统一的安全管理平台基础上,借助于开放融合的大安全模型,将网络安全变为从感知到响应的智能实体。
四、国网眉山供电公司综合数据网信息安全体系建设规划
4.1局部安全
目前国网眉山供电公司的网络仅在连接省干网的出口部署了防火墙设备,防火墙能够进行边界保护和基于网络层面的访问控制,但是对应用层的攻击如通过Email携带病毒,通过网页挂木马方式对用户攻击等不能够阻断,应用层攻击行为能够对业务系统造成较大损害。
局部安全建设要对电业局网络进行分区:外联区、服务器区、接入区。外联区:外联区是国网眉山供电公司与省干网连接的边界区域;服务器区:服务器区是国网眉山供电公司的数据中心,存放重要的业务数据;接入区:接入区是各个站点及电力公司的局域网区域;
完成局部安全建设后,本电业局与省公司及其他电业局之间的安全攻击将被隔离,本电业局的攻击不会影响到省公司和其他电业局。本电业局内部的攻击也不会影响到服务器区的业务系统。提升了业务系统的安全性。对于电业局的网络系统基本上没有安全防范的措施,所以需要重建安全技术体系。
4.2全局安全
全局安全是通过网络设备与安全设备的配合提供端到端的安全防护。通过局部安全建设能够抵御内部的安全攻击,但是不能够控制攻击的在内部的泛滥,需要通过网络设备的准入功能,在网络的与用户终端的边界建立准入机制,只允许合法的用户访问网络,且只允许合法用户符合安全要求的终端访问网络,并通过客户端软件强制功能提升终端的自身的安全性。
全局安全的主要建设内容为:
身份认证:变开放的网络为封闭网络防止外来非法计算机访问网络;在网络接入设备上开启网络认证功能,开启该功能后,当计算机接入网络时是无法转发任何数据的,只有认证报文能够通过网络与认证服务器交互,只有合法的员工输入正确的用户名和密码后认证成功,该用户获得第一级访问网络的权限,仅能够访问安全隔离区;外来的非法计算机因没有账号和口令而无法向网络发送任何数据。
安全评估:加强计算机的安全性,只有符合安全规范的计算机才能够访问网络;当合法员工输入正确的账号和口令后获得第一访问网络的权限后,启动对计算机的安全检查,检查内容包括弱口令检查、防病毒软件、操作系统补丁、必须要运行的软件等。弱口令检查是扫描计算机账号的口令,与弱口令字典进行比对,如果存在弱口令则认证失败,要求用户修改口令,直到口令改为强口令,避免被破解口令后远程控制该计算机;防病毒软件检查是扫描系统是否安装防病毒软件以及是否更新病毒库,如果没有安装防病毒软件或者病毒库没有更新,则认证失败。并要求计算机访问安全隔离区进行修复,安装防病毒软件或者进行病毒库升级,保证计算机具有防病毒能力,能够对通过计算机外设及通过网络散播的病毒进行杀毒。
软件管理:目前国网要求所有终端安装北信源的安全管控软件,但是部分终端没有安装,导致无法评估真实网络安全状态,建设全局安全启动了网络准入功能,如果终端不安装北信源软件就无法访问网络,通过技术手段保证每个接入网络的终端必须安装北信源安全管控软件,提升国网考核的注册率。
防内网外联:启用网络准入功能后,准入客户端可以在终端上对网络驱动下发隔离策略,只有被安全认证服务器认证通过的网卡才能够访问网络,而安全认证服务器是在信息内网中的。当终端接入到互联网上时,只有认证数据能够通过,因互联网上没有安全认证服务器所以认证不通过,终端无法获得授权而无法访问网络。在终端运行过程中插入WLAN网卡或者3G网卡也无法联网,因为在互联网上无法进行认证所以网卡被隔离无法访问互联网。
全局安全建设后,对于具有安全隐患的终端将无法接入到网络,大大提高网络的安全性,终端自身也具有了较高的防御性,可以抵御网络中的攻击。
4.3智能安全
局部安全和全局安全建设后,整个网络具有了较高的安全性。但是还不具备足够的智能性。智能安全的目标是动态调整终端安全性、识别安全攻击并快速定位和隔离攻击,将安全事件控制在最小的范围之内。在终端使用过程安全状态会发生变化,智能安全的目标是使得终端具备智能提升安全性能力,通过动态补丁升级服务器可以保证终端缺乏必要安全补丁时能够自动从补丁服务器上获取补丁,避免操作系统受到漏洞攻击;当病毒库版本升级后终端能够自动进行升级。
篇2
关键词:
网络安全;公安信息建设;公安工作
0引言
网络日益发展,公安机关建设的公安网在各种打击违法犯罪中起到了重要的作用,这是“科技强警”“向科技要警力”口号的一个具体落实。[1]公安机关将信息化运用于“网络追逃”“网络打拐”等侦查破案中,并成为了基本的侦察手段,公安网的迅速发展有利于不断促进社会的稳定、打击预防犯罪并维护良好的社会治安。我国公安机关对公安内网的建设投入了很多的人力物力,因为一旦公安内网出现安全问题,就会导致大量的内部工作信息和保密数据被泄露,后果无法想象。从基层各级基本单位到公安部都存在着同样的风险,常常出现的问题有“一机两用”等。目前摆在公安机关面前的问题是如何运用更加先进的技术对公安内网的大量信息和数据进行良好的保护。
1公安网安全问题分析
1.1概述
公安信息网一般分为内网和外网。内网的用途一般是用来进行日常的办公、办案以及违法处理;外网是用在民警搜集、检索信息和材料所需要使用的网。外网所遭受的攻击和破坏主要是来自于病毒和木马的攻击,这往往能够通过防火墙等一系列措施进行安全保护。内网的攻击来源与外网是不同的,主要来自于内部,并且比外网更容易遭到破坏的同时防范的难度也会更高。为了防止外网的入侵,在公安网的设计之初就将内网和外网的物理层断开,阻断外网对内网进行入侵,同时也为内网加装了防火墙和入侵检测设备,但是这些所起到的作用并不十分显著。[2]
1.2时常受到攻击的原因
(1)随着信息化网络技术的不断发展,我国公安机关的网络建设逐渐优化,网上办案系统的运用达到一个新的层次。办公自动化系统、网上执法办案系统、道路交通违法信息处理系统等大规模系统的使用和普及,对内部网络的通畅要求越来越高。这是网络常常遭到攻击的原因之一。
(2)公安系统内部网络仍然具有一定的安全风险。网络在使用的过程中常常会产生漏洞但是由于系统较多而没有及时的进行修补,这给黑客的攻击提供了便利和降低入侵的难度。随着黑客技术不断快速发展,对黑客的技术水平和要求也越来越低,因此从事黑客的难度也会越来越低。外网时常面临着黑客攻击的风险,内部所面临的威胁也不少,公安内网大量的工作信息和数据也有被窃取的可能性,所以黑客对于公安网具有很强的破坏性和威胁性。湖南湘潭市公安局发生的工作人员使用黑客手段窃取内部网络的信息和公安网的服务器密码便是一个很好证明,也为公安机关敲响了警钟。
(3)部分攻击来自于内网。数据保护在目前的公安网受到重视的程度不高,给一些不法之徒提供了破坏或者是盗窃的便利。保护不力主要体现在以下几个方面:用户直接对数据库和服务器进行操作,这导致了入侵者常常对关键数据进行破坏或者是窃取;民警进行数据处理时忽视了数据加密,使数据处于一种公开状态;公安机关在设计之初对用户进行了权限等级的排序,加大了管理难度,这也会导致更高权限的用户被出现越权操作的情况;还有一种越权操作的情况是民警经常使用别人的账户的情况。数据库管理的不严格、不严密导致了数据容易处于透明状态、文件有时具有的共享属性以及用户使用的不严谨都导致了内部网络经常遭到了破坏。
2安全措施
通过前文的原因分析,受到攻击后的内网造成的严重后果是显而易见的。如何对内网进行安全建设,加强网络保护,尽量减少因为遭受攻击而导致的后果是目前我国的公安系统必须要重视的一个重点。通过笔者自身的基层实习,对公安机关有以下几个建议:
(1)完整公安网络体系的建设。公安机关必须摒弃过去混乱的网络管理和使用模式,进行至上而下的完整体系建设。配备装置良好的安全防护工具是首先要做到的,并对从上公安部到下的基层民警都需要进行统一建设。在选择安全防护产品是要注意售后服务系统的完善,重点在保密和防护各方面都需要有良好的性能。在有了优秀的安全防护工具之后,需要有一批高水平的专业技术人才进行日常系统建设和维护,建设一支具有高水平的网络安全维护队伍有利于提高公安系统整体的水平和素质。
(2)对网络安全的重要性向广大民警大力宣传,提高广大民警的计算机安全保护意识。宣传不仅要在公安部进行,更要在各个基层公安机关进行不同方式的宣传,主要方式有全体民警会议等。宣传主要分为三个方面:一是提高广大民警对计算机网络安全保密工作的重要性;二是操作公安网计算机安全保密的重要性;三是增强民警计算机网络安全信息保密的重要性,概括来说即为网络安全、操作安全、信息安全三个主要方面。公安机关所使用的计算机必须要设置难度较大的密码,无密码设置给黑客攻击提供了一定的便利;进行数据备份,避免因为电脑的故障或者是黑客的入侵导致数据破坏导致数据丢失;公安机关定期对电脑计算机网络进行检修或是出现故障需要外界人员对电脑进行接触时,要有专人在场进行监督,避免数据被窃取,并在接触之后离开之前将设备取回。
(3)加强公安机关内网的安全管理建设。在安全管理方面,公安机关要尽快的形成一套完整的管理方法,将安全管理建设落实到制度中去,将每个人的责任界定清楚避免出现责任不明确相互推诿的情况。公安机关内的计算机的用户和权限都要进行明确的划分,民警签订每台机子的网络安全责任书,避免出现“一机两用”的情况。因为这种情况可能造成计算机感染病毒,其中的数据遭到窃取或是破坏。这很有可能导致公安机关内部网络信息泄露。提高民警网络安全保护意识的同时要严格的执行各项安全保护制度,“八条纪律”和“四个严禁”要严格遵守,违者将会受到严厉的处罚,若是造成了数据破坏或是泄露的情况,将会追究相关的法律责任。《公安网络安全考核准则》中规定了各个单位都要有网络安全主管领导和网络安全管理员对本单位的网络安全进行实时监控和管理。
(4)提高网络安全技术的水平和层次。入侵检测、攻击防范、数据修复是网络安全策略的三个重点。内部安全防范的技术水平已经达到一个较高的水准,因此应在对防范人的方面提高重视程度。只有及时的发现入侵者,才能更好的解决问题,不多走弯路。入侵检测工作的同时我们要注意对黑客攻击进行防范。数据传输的过程是比较容易遭到黑客窃取的时间点,因此在进行数据传输时要采取相应的加密措施。安全的密匙分发制度能够防止用户对业务的否认和抵赖,同时数据遭窃后被破解的可能性也会降低,提高了数据传输时的安全性。要时刻注意数据备份,当网络被黑客入侵,关键数据被破坏时能够及时使用备份,减少对公安机关正常工作带来的影响。
3结束语
公安系统网络安全建设是一项长期建设的过程。公安机关首先要真正认识到建设的重要性并对其加以重视并采取相应的措施进行建设才能推动网络安全建设的不断发展。笔者作为公安机关计算机教育的从业人员,对信息安全的重要性有一个明确的认识。前文所提到的只是想为公安机关敲响一个警钟,希望有关部门能够重视起来并进行沟通建设,努力推动网络安全技术的不断革新与发展。
作者:赵冉 单位:山东省昌邑市公安局
篇3
近年来,市委、市政府高度重视信息化工作,连续五年将信息化项目列为年度“双十”工程进行重点建设,“数字化××”建设取得了显著成效,我市信息化水平位居全省前列。在3月16日召开的全市信息化暨信息产业工作会议上,又将今年确定为“信息化应用年”,这是市委、市政府审时度势做出的一项重要战略部署,对于全面建设小康社会、加快推进我市工业和农业现代化建设具有十分重要的意义。××网通作为××地区主导运营商,先后获得了全国文明单位、全国精神文明建设工作先进单位、全国厂务公开工作先进单位、国家级诚信单位、全国模范职工之家、山东省服务业先进单位等荣誉称号,××网通得到了市委市政府和社会各界的大力支持与关爱,得到了社会的肯定,××网通有义务有责任回报社会,回报人民,为广大人民群众提供优质的通信服务,为经济建设提供良好的通信软环境。在推进全市“信息化应用年”活动中,我们坚持“减少重复建设,减轻财政压力,不让政府投入,不用单位投资、无需农民集资”的原则,所有网络建设、维护和升级等一切投资均由网通承担,并制定了“充分利用网通网络优势,积极推进全市信息化进程的方案”,充分发挥××网通的网络、人才、技术等资源优势,致力于以信息化推动传统产业改造,推进经济结构调整和经济增长方式转变。
推进社会主义新农村建设的“农村信息化提升工程”——针对农村信息化建设中存在的资金短缺、人才匮乏、信息资源分散、信息进村入户难、地区间发展不平衡等问题,在实现村村通互联网的基础上,加快农村的信息高速公路建设和信息化应用建设,优化整合资源配置,提高资源利用率;完善网络覆盖,增强网络可靠性,提升业务提供能力,加大业务技术创新力度,不断丰富通信服务手段;加大对农村通信基础设施建设的投入,用两年左右的时间投资改造农村通信网络,通过进光缆退铜缆、综合接入等手段,推进信息服务网络向农村基层延伸,实现农村通信网的网络转型。
篇4
【作者简介】 胡鹏,中石化湖北石油分公司工程师,研究方向:网络安全。
【中图分类号】 X913.2 【文献标识码】 A 【文章编号】 2095-5103(2015)04-0051-02
信息安全建设包括三大部分,即人员、管理和技术,尤其是信息安全管理,已经越发受到各界的广泛关注,并以此为核心来打造信息安全保障体系。信息安全对于各行各业来说,均具有极其重要的地位,其不仅关乎企业自身信息安全,也关乎普通消费者信息安全。因此构建信息安全体系,是企业未来发展的重点工作。
一、传统行业信息安全建设现状分析
(一)对信息安全建设缺乏足够认识。就目前国内实际情况来说,传统行业对于信息安全建设尚没有足够的认识,导致信息安全建设难以切实施行。具体来说,这主要表现在三个方面。一是传统行业的领导者对信息安全建设缺少必要的认识,在面对信息化浪潮的冲击时,其最先想到的是提升行业品质来面对新挑战,却忽视了通过信息安全建设保护行业核心信息资源,导致行业信息被逐渐泄露,无法与新行业相抗衡,以致逐渐失去竞争力。最典型的就是传统出版行业,在数字化刊物逐渐普及的情况下,传统出版行业已经显得捉襟见肘,出版物印刷量与销售量逐年下降。二是行业内部员工缺少对信息安全的认识,在日常工作中,会在不经意间泄露行业信息。更有甚者为了一己私利出卖行业信息。这些举动都对传统行业造成了极其恶劣的影响。三是普通消费者缺少对信息安全的认识,在某些需要消费者个人信息资料的行业中,消费者往往没有考虑个人信息资料是否安全,是否存在泄露的风险以及相应的后果。忽视这些的结果就是消费者缺少对相关企业信息安全的要求,在发生意外情况后无法挽回。
(二)信息安全建设技术水平较低。传统行业虽然缺乏对信息安全建设的认识,但也并非没有进行信息安全建设,只是其信息安全建设技术水平较低,无法切实满足对企业信息安全的保护。信息安全建设技术水平低主要表现在两个方面。一是信息安全管理体系架构技术层次低,一个体系架构的技术高低,决定了该体系所能发挥的功能高低。越先进越高端的技术,其对信息安全的保护也就越安全,反之亦然。传统行业信息安全管理体系的基础架构以及权限设置等信息保障措施,其技术相对一些新行业而言较为落后,无法符合不断更新的计算机技术,更无法有效弥补信息安全漏洞,只能说是徒有其表。二是人员管理技术水平较低,人员管理也是信息安全建设的重要环节。每一个员工都携带着一定程度的行业信息,只有加强对员工的管理,建立科学人性的管理体系,才能确保企业人员不会因为失误或利益泄露行业信息。
(三)信息安全建设覆盖范围较窄。信息安全建设覆盖范围较窄主要可以分为两个方面,一是进行信息安全建设的传统行业范围较窄;二是行业内部信息安全建设的范围较窄。对于所有传统行业而言,已经完成信息安全建设或正在建设的行业并不多。根据相关统计资料,传统行业中完成或进行中的信息安全建设的企业,尚不到20%。这一数据说明信息安全建设率在传统行业中来讲还很低,还需要加强相关理念的宣传,引导更多的传统企业进行信息安全建设。在行业内部,信息安全建设集中在企业核心机密,即企业相关财务数据、产品数据和市场数据等,忽视了员工信息安全及一些外在信息安全的构建。虽然此举能够保障企业核心利益,却无法保证企业正常良性的运转。
二、传统行业信息安全建设中的问题及原因
(一)缺少完善的法律法规。在信息安全方面,我国尚缺少有效完善的法律法规来加强信息安全建设,这主要表现在两个方面。一方面是缺少对传统行业信息安全建设的强制性法律法规。传统行业本身对信息安全缺少足够的认识,再加之缺少必须的法律法规,就致使传统行业基本忽视了信息安全建设。另一方面是缺少对信息安全犯罪的法律法规,近年来随着信息技术发展迅猛,各种信息安全犯罪层出不穷,犯罪性质也从经济犯罪上升到了更加恶劣的性质。各种由于个人信息泄露而出现的绑架、抢劫等案件,急需出台相应的信息安全法律法规来加以制约。
(二)传统行业内部信息安全管理不力。信息安全管理主要包括体系建设、制度建设和人员管理。这三个方面的工作在传统行业中来说都并不到位。体系建设主要是指信息安全管理体系,一套完整的管理体系,应当从上至下,由内而外,将方方面面的信息安全包罗其中,以形成一个上下一体的信息安全管理系统。制度建设主要针对信息安全制定相应的信息安全管理制度,通过确实的规章制度,对企业员工形成约束,避免其出现一些不利企业信息安全的行为。人员管理主要是加强对企业员工的信息安全意识教育,让其树立起保护信息安全的基本意识。
(三)基础信息安全建设设施缺乏。基础信息安全建设设施缺乏,是摆在传统行业面前的关键问题,这主要包括两个方面的问题。一是技术基础缺乏,目前我国信息安全建设的技术基础基本源自国外,这从信息安全的角度来说本身就是一种不安全的行为。只有创建完全自主的信息安全技术,才能杜绝国外技术可能存在的技术后门。二是硬件基础缺乏,这与技术基础缺乏对信息安全的不利影响是一致的。总的来说,硬软件的缺乏,是传统行业信息安全建设的最大问题。
三、传统行业信息安全建设策略分析
(一)完善信息安全法律法规。要做好传统行业信息安全建设,最首要的就是完善相应的信息安全法律法规,从法律层面对信息安全建设进行定性。首先是明确传统行业信息安全建设的义务,通过法律规定强制传统行业进行信息安全建设,迫使其领导层重视信息安全建设,进而在行业全局决策中增加对信息安全建设的思考与倾斜。其次是对信息安全犯罪作出全面的定性与量刑,加强对信息安全犯罪的打击力度,通过法律手段减少信息安全威胁。
(二)加强行业内部信息安全管理。加强行业内部信息安全管理,是信息安全建设的重要环节,其可以从三个方面来进行。第一是构建企业员工信息梯度,针对企业不同部门以及不同职位,制定不同的信息等级制度,以此改善员工功能与信息的不对等关系。第二是构建信息管理制度,针对企业类型、企业所包含信息的类型以及其机密程度,制定合理的信息管理制度,加强对内部员工的约束。第三是加强对企业员工的信息安全建设培训,使企业员工具有一定的信息安全建设意识,能够从一些小事上进行信息安全建设。
(三)自主化信息安全建设基础设施。自主化信息安全建设基础设施应当从基础技术与基础硬件两个方面进行。就基础技术而言,传统行业应该大量参考国外相关技术,博采众长,创建不依赖于国外技术的信息安全建设技术,真正实现信息安全建设技术国产化,从根源上排除国外技术对传统行业信息安全可能存在的技术风险。在基础硬件方面,传统行业可以加强与国内硬件厂商的合作,共同研发具有行业特点的信息安全建设硬件,减少国外硬件的引入与应用。总的来说,信息安全建设应该在国外硬软件的基础上,开发自主的硬软件设备,使信息安全建设完全实现国产化。
(四)综合采取多种有效措施构建信息安全大环境。信息安全建设并非企业一己之力就能够做好,还需要多方协作,构建信息安全大环境,如此才能在整个行业中进行信息安全建设。第一,加强企业之间的信息交流与合作管理。对于同一行业而言,企业的核心信息在一定程度上来说相似甚至相同,即企业的信息安全建设在一定程度上形成了交集。同类型企业可以加强信息交流,合作构建信息安全管理体系,加强信息安全管理。第二,构建企业信息安全评级制度,由国家相关部门牵头,联合行业内的优秀企业,组建企业信息安全评级机构,对行业内企业进行信息安全评级,并将评级结果公布于众,让消费者能够清楚认识到企业的信息安全等级以选择能够保障自身信息安全的企业。此举还可以加强企业对信息安全建设的重视程度,促使企业进行信息安全建设。第三,构建信息安全犯罪打击网络,由公安部牵头,联合国内优秀的信息安全商构建信息安全犯罪打击平台,加强对信息安全的监管及信息安全犯罪的打击。
篇5
(二)信息安全建设技术水平较低。传统行业虽然缺乏对信息安全建设的认识,但也并非没有进行信息安全建设,只是其信息安全建设技术水平较低,无法切实满足对企业信息安全的保护。信息安全建设技术水平低主要表现在两个方面。一是信息安全管理体系架构技术层次低,一个体系架构的技术高低,决定了该体系所能发挥的功能高低。越先进越高端的技术,其对信息安全的保护也就越安全,反之亦然。传统行业信息安全管理体系的基础架构以及权限设置等信息保障措施,其技术相对一些新行业而言较为落后,无法符合不断更新的计算机技术,更无法有效弥补信息安全漏洞,只能说是徒有其表。二是人员管理技术水平较低,人员管理也是信息安全建设的重要环节。每一个员工都携带着一定程度的行业信息,只有加强对员工的管理,建立科学人性的管理体系,才能确保企业人员不会因为失误或利益泄露行业信息。
(三)信息安全建设覆盖范围较窄。信息安全建设覆盖范围较窄主要可以分为两个方面,一是进行信息安全建设的传统行业范围较窄;二是行业内部信息安全建设的范围较窄。对于所有传统行业而言,已经完成信息安全建设或正在建设的行业并不多。根据相关统计资料,传统行业中完成或进行中的信息安全建设的企业,尚不到20%。这一数据说明信息安全建设率在传统行业中来讲还很低,还需要加强相关理念的宣传,引导更多的传统企业进行信息安全建设。在行业内部,信息安全建设集中在企业核心机密,即企业相关财务数据、产品数据和市场数据等,忽视了员工信息安全及一些外在信息安全的构建。虽然此举能够保障企业核心利益,却无法保证企业正常良性的运转。
二、传统行业信息安全建设中的问题及原因
(一)缺少完善的法律法规。在信息安全方面,我国尚缺少有效完善的法律法规来加强信息安全建设,这主要表现在两个方面。一方面是缺少对传统行业信息安全建设的强制性法律法规。传统行业本身对信息安全缺少足够的认识,再加之缺少必须的法律法规,就致使传统行业基本忽视了信息安全建设。另一方面是缺少对信息安全犯罪的法律法规,近年来随着信息技术发展迅猛,各种信息安全犯罪层出不穷,犯罪性质也从经济犯罪上升到了更加恶劣的性质。各种由于个人信息泄露而出现的绑架、抢劫等案件,急需出台相应的信息安全法律法规来加以制约。
(二)传统行业内部信息安全管理不力。信息安全管理主要包括体系建设、制度建设和人员管理。这三个方面的工作在传统行业中来说都并不到位。体系建设主要是指信息安全管理体系,一套完整的管理体系,应当从上至下,由内而外,将方方面面的信息安全包罗其中,以形成一个上下一体的信息安全管理系统。制度建设主要针对信息安全制定相应的信息安全管理制度,通过确实的规章制度,对企业员工形成约束,避免其出现一些不利企业信息安全的行为。人员管理主要是加强对企业员工的信息安全意识教育,让其树立起保护信息安全的基本意识。
(三)基础信息安全建设设施缺乏。基础信息安全建设设施缺乏,是摆在传统行业面前的关键问题,这主要包括两个方面的问题。一是技术基础缺乏,目前我国信息安全建设的技术基础基本源自国外,这从信息安全的角度来说本身就是一种不安全的行为。只有创建完全自主的信息安全技术,才能杜绝国外技术可能存在的技术后门。二是硬件基础缺乏,这与技术基础缺乏对信息安全的不利影响是一致的。总的来说,硬软件的缺乏,是传统行业信息安全建设的最大问题。
三、传统行业信息安全建设策略分析
(一)完善信息安全法律法规。要做好传统行业信息安全建设,最首要的就是完善相应的信息安全法律法规,从法律层面对信息安全建设进行定性。首先是明确传统行业信息安全建设的义务,通过法律规定强制传统行业进行信息安全建设,迫使其领导层重视信息安全建设,进而在行业全局决策中增加对信息安全建设的思考与倾斜。其次是对信息安全犯罪作出全面的定性与量刑,加强对信息安全犯罪的打击力度,通过法律手段减少信息安全威胁。
(二)加强行业内部信息安全管理。加强行业内部信息安全管理,是信息安全建设的重要环节,其可以从三个方面来进行。第一是构建企业员工信息梯度,针对企业不同部门以及不同职位,制定不同的信息等级制度,以此改善员工功能与信息的不对等关系。第二是构建信息管理制度,针对企业类型、企业所包含信息的类型以及其机密程度,制定合理的信息管理制度,加强对内部员工的约束。第三是加强对企业员工的信息安全建设培训,使企业员工具有一定的信息安全建设意识,能够从一些小事上进行信息安全建设。
