企業(yè)信息安全管理

李 巖

（中鐵隧道集團(tuán)有限公司，河南 洛陽 471009）

0 前言

現(xiàn)代社會飛速發(fā)展的計算機(jī)及網(wǎng)絡(luò)技術(shù)，尤其是以智能手機(jī)為載體的移動互聯(lián)網(wǎng)的迅猛發(fā)展，為社會大眾帶來便利的同時，信息的安全逐漸擺在人們面前，各種軟件賬號和密碼、操作系統(tǒng)漏洞、地理位置信息、病毒木馬等等，都對當(dāng)今企業(yè)的信息工作帶來巨大挑戰(zhàn)。為提升全集團(tuán)信息安全防護(hù)管理水平，根據(jù)《建筑施工企業(yè)信息化評價標(biāo)準(zhǔn)》等國家標(biāo)準(zhǔn)和總公司相關(guān)信息安全文件要求，我單位信息安全管理工作必須按計劃有序開展。

1 提升員工信息安全意識

隨著信息化建設(shè)的不斷深入，尤其是信息系統(tǒng)面臨開放的互聯(lián)網(wǎng)環(huán)境，信息安全面臨著嚴(yán)峻形勢：各種潛在的病毒、木馬攻擊、門戶網(wǎng)站的攻擊、機(jī)密文件的泄密等，對于這些潛在的安全威脅，每個員工應(yīng)轉(zhuǎn)變觀念，摒棄“信息安全與我無關(guān)”的觀念，走出“有了防火墻就可以保護(hù)信息安全”的誤區(qū)；信息安全不僅和信息化管理部門相關(guān)，更關(guān)系到每個員工的信息隱私和企業(yè)的安全保護(hù)，各級信息化管理部門應(yīng)加強(qiáng)信息安全意識的宣貫，定期開展信息安全知識培訓(xùn)和保密工作，努力促進(jìn)全員信息安全意識的提升。

2 健全組織機(jī)構(gòu)，建立信息通報機(jī)制

各子分公司應(yīng)明確分管領(lǐng)導(dǎo)和主責(zé)部門，指定專人負(fù)責(zé)信息安全工作，并于每年1月9日、7月9日以前（或不定期）向集團(tuán)公司報告本單位信息安全情況；集團(tuán)公司將建立信息安全聯(lián)動機(jī)制，適時發(fā)布信息安全通報。

3 構(gòu)建全方位的信息安全防護(hù)體系

3.1 強(qiáng)化網(wǎng)絡(luò)安全管理

3.1.1 子分公司層面的網(wǎng)絡(luò)安全管理，內(nèi)網(wǎng)可進(jìn)行分級、分層、分域管理，對內(nèi)網(wǎng)信息系統(tǒng)及相應(yīng)的局域網(wǎng)（業(yè)務(wù)專網(wǎng)）劃分為獨立可管理和控制的安全域。不同的安全域應(yīng)采取相應(yīng)的安全策略和保護(hù)手段。

內(nèi)網(wǎng)信息系統(tǒng)利用公網(wǎng)（PSTN、ISDN、ADSL、DDN、X.25、幀中繼、ATM、SDH等）進(jìn)行遠(yuǎn)程傳輸時，必須使用VPN技術(shù)和IP密碼機(jī)實行加密處理。

3.1.2 項目經(jīng)理部網(wǎng)絡(luò)安全管理，鑒于項目經(jīng)理部人員較少，應(yīng)在網(wǎng)絡(luò)入口處安裝經(jīng)過認(rèn)證的行為安全管理軟件，加強(qiáng)對員工上網(wǎng)行為的審計，合理分配上網(wǎng)流量。

3.2 進(jìn)行系統(tǒng)安全加固

3.2.1 通過部署統(tǒng)一的補(bǔ)丁升級系統(tǒng)、防病毒系統(tǒng)、漏洞掃描系統(tǒng)、網(wǎng)頁防篡改系統(tǒng)、存儲備份系統(tǒng)、容災(zāi)系統(tǒng)，建立與應(yīng)用相適應(yīng)的安全策略，全面加強(qiáng)主機(jī)和應(yīng)用系統(tǒng)安全。

3.2.2 各單位網(wǎng)絡(luò)管理員應(yīng)不定期修改操作密碼，定期升級服務(wù)器防病毒軟件并查殺病毒，定期下載和安裝操作系統(tǒng)補(bǔ)丁，實時或定期備份服務(wù)器上的各種重要數(shù)據(jù)。

3.3 加強(qiáng)安全審計監(jiān)控

3.3.1 建立健全監(jiān)控、備份恢復(fù)、應(yīng)急處理、安全審計、安全事件報告等工作制度。

3.3.2 各單位信息化部門通過監(jiān)控機(jī)房、網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)等運行狀態(tài)，主動發(fā)現(xiàn)安全隱患，及時采取相應(yīng)措施，盡快恢復(fù)受影響或被中斷的應(yīng)用服務(wù)。

3.4 加強(qiáng)終端及用戶管理

3.4.1 各單位網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)必須按照國家非涉密信息系統(tǒng)等級保護(hù)和涉密信息系統(tǒng)分級保護(hù)的要求，進(jìn)行定級、建設(shè)和管理，并根據(jù)防護(hù)等級采取相應(yīng)的安全防護(hù)措施。

3.4.2 對內(nèi)網(wǎng)用戶進(jìn)入網(wǎng)絡(luò)的行為實行安全準(zhǔn)入管理制度。安全準(zhǔn)入行為管理包括便攜式計算機(jī)、臺式計算機(jī)、移動存儲介質(zhì)、打印機(jī)等設(shè)備的注冊，外來軟件的安裝等。

3.4.3 子分公司若部署無線wifi網(wǎng)絡(luò)覆蓋，要對手機(jī)、pad等移動終端進(jìn)行實名登記，包含設(shè)備名稱、型號、物理地址等。

3.4.4 內(nèi)網(wǎng)用戶不得擅自更改內(nèi)網(wǎng)計算機(jī)系統(tǒng)設(shè)置，如計算機(jī)名、IP地址、用戶名等。

3.5 有序配置信息安全保障設(shè)施

各單位應(yīng)有序建立健全網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施、邊界安全、計算環(huán)境安全、授權(quán)系統(tǒng)、安全目標(biāo)評估準(zhǔn)則等信息安全保障體系。

3.6 結(jié)合資質(zhì)評審要求，相關(guān)子公司建立健全機(jī)房及設(shè)備、信息系統(tǒng)安全、運行維護(hù)、信息化組織/采購/培訓(xùn)/建設(shè)、數(shù)據(jù)采集、應(yīng)用與績效、相關(guān)技術(shù)資料等管理制度并安全有效運行。

4 建立應(yīng)急預(yù)案

為提高應(yīng)對災(zāi)難事件的處理能力，各單位應(yīng)制定信息安全事件應(yīng)急預(yù)案，并且將危機(jī)處理程序標(biāo)準(zhǔn)化、規(guī)范化；信息化管理部門應(yīng)組織必要的應(yīng)急演練，防患于未然。

5 保障信息安全，應(yīng)注重細(xì)節(jié)問題，采取管理及技術(shù)手段降低風(fēng)險

5.1 機(jī)密資料打印時，特別是打印機(jī)出現(xiàn)故障時，打印文檔應(yīng)及時取消打印，避免打印機(jī)故障恢復(fù)自行打印。

5.2 企業(yè)員工最好由專業(yè)人員對電腦進(jìn)行一次全面安全檢查再使用。

5.3 辦公資料傳遞盡量使用OA即時通訊等辦公軟件傳遞，或使用存儲介質(zhì)直接傳達(dá)，這樣比較安全。企業(yè)重要商務(wù)資料不宜使用QQ等工具傳遞。

5.4 公共電腦應(yīng)及時刪除比較重要的文件，或使用其他存儲介質(zhì)儲存、打開重要文件。

5.5 重要資料要做好異地備份，以防不測。

5.6 為保證安全，不定期更換登錄密碼、安裝殺毒軟件、防火墻軟件，再增加一道安全防線。

5.7 信息安全重在個人的安全意識培養(yǎng)，增強(qiáng)安全意識要從每個員工做起，養(yǎng)成良好的信息安全管理習(xí)慣，盡可能做到有備無患。

5.8 辦公使用電腦檢修時，應(yīng)存儲介質(zhì)備份完畢后，交給相關(guān)方修理。

5.9 無論何種類型的辦公電腦均應(yīng)設(shè)立定時保護(hù)密碼，嚴(yán)防商務(wù)信息泄露。

5.10 各單位采購辦公電腦時，應(yīng)由本單位信息化管理機(jī)構(gòu)根據(jù)使用方的潛在需求，提出擬購電腦型號、品牌等建議，以規(guī)范企業(yè)信息化硬件設(shè)施建設(shè)。

6 結(jié)束語

總的來說，信息安全不僅僅是技術(shù)問題，同時也是一個安全管理問題。我們必須綜合考慮安全因素，制定合理的目標(biāo)、技術(shù)方案和相關(guān)的配套法規(guī)等。世界上不存在絕對安全的網(wǎng)絡(luò)系統(tǒng)，隨著計算機(jī)網(wǎng)絡(luò)技術(shù)的進(jìn)一步發(fā)展，信息安全防護(hù)技術(shù)也必然隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展而不斷發(fā)展。

[1]陶陽.計算機(jī)與網(wǎng)絡(luò)安全[M].重慶：重慶大學(xué)出版社，2005.

[2]馮登國.計算機(jī)通信網(wǎng)絡(luò)安全[M].北京:清華大學(xué)出版社，2001.

[3]陳斌.計算機(jī)網(wǎng)絡(luò)安全與防御[J].信息技術(shù)與網(wǎng)絡(luò)服務(wù)，2006（4）：35-37.