网络环境下企业信息安全管理

浅谈网络环境下的企业信息安全管理摘要：随着社会的发展，企业对信息资源的依赖程度越来越大，由此带来的信息安全问题也日益突出。

文章从影响企业信息安全的2个角度出发，全面分析了企业信息安全的各种风险来源，并由此提出企业信息安全构建原则，基于技术安全、管理安全、资源安全3个角度构建信息安全管理体系模型。

同时，认为企业的信息安全也应遵从pdca的过程方法论持续改进以确保信息安全的长治久安。

关键词：网络环境企业信息安全管理
引言
随着社会的发展，企业对信息资源的依赖程度来越大，由此带来的信息安全问题也日益突出。

生产中的业务数据、管理中的重要信息，如果企业自身的信息安全管理有重大疏漏，也无法保证数据的安全可靠。

当前，企业在黑客病毒日益猖撅的网络环境下不仅要保护自身信息的安全，还要保护业务数据的信息安全，因此有必要从体系管理的高度构建企业信息安全。

一、企业信息安全的二维性
当前，企业信息安全已涉及到与信息相关的各方面。

企业信息安全不仅要考虑信息本身，还需要考虑信息依附的信息载体（包括物理平台、系统平台、通信平台、网络平台和应用平台，例如pc 机、服务器等）的安全以及信息运转所处环境（包括硬环境和软环境，例如员工素质、室内温度等）的安全。

资产如果不对影响信息安全的各个角度进行全面的综合分析，则难以实现企业信息安全。

因此，需要从企业信息安全的总体大局出发，树立企业信息安全的多维性，综合考虑企业信息安全的各个环节，扬长避短，采取多种措施共同维护企业信息安全。

1、技术维：技术发展是推动信息社会化的主要动力，企业通常需要借助于一项或多项技术才能充分利用信息，使信息收益最大化。

然而，信息技术的使用具有双面性，人们既可以利用技术手段如电子邮件等迅速把信息发送出去，恶意者也可由此截获信息内容。

为确保企业信息安全，必须合理的使用信息技术，因此，技术安全是实现企业信息安全的核心。

1）恶意代码和未授权移动代码的防范和检测。

网络世界上存在着成千上万的恶意代码（如计算机病毒、网络蠕虫、特洛伊木马和逻辑炸弹等）和未授权的移动代码（如javaseript脚本、java小程序等）。

这些代码会给计算机等信息基础设施及信息本身造成损害，需要加以防范和检测。

2）信息备份。

内在的软硬件产品目前还不能确保完全可靠，还存在着各种各样的问题。

外在的恶意代码和未授权移动代码的攻击，也会造成应用信息系统的瘫痪。

为确保信息的不丢失，有必要采取技术备份手段，定期备份。

3）访问权限。

不同的信息及其应用信息系统应有不同的访问权限，低级别角色不应能访问高级别的信息及应用信息系统。

为此，可通过技术手段设定信息的访问权限，限制用户的访问范围。

4）网络访问。

当今，一个离开网络的企业难以成功运转，员工
通常需要从网络中获取各种信息。

然而，网络的畅通也给恶意者提供了访问企业内部信息的渠道。

为此，有必要采用网络防火墙技术，控制内部和外部网络的访问。

2、管理维：企业信息安全不但需要依靠技术安全，而且与管理安全也息息相关。

没有管理安全，技术安全是难以在企业中真正贯彻落实的。

管理安全在企业中的实施是企业信息得以安全的关键。

企业应建立健全相应的信息安全管理办法，加强内部和外部的安全管理、安全审计和信息跟踪体系，提高整体信息安全意识，把管理安全落到实处。

l）信息安全方针和信息安全政策的制定。

信息安全方针和信息安全政策体现了管理者的信息安全意图，管理者应适时对信息安全方针评审，以确保信息安全方针政策的适宜性、充分性和有效性。

2）构建信息安全组织架构。

为在企业内贯彻既定的信息安全方针和政策，确保整个企业信息安全控制措施的实施和协调，以及外部人员访问企业信息和信息处理设施的安全，需要构建有效的信息安全组织架构。

二、企业信息安全构建原则
企业信息安全构建原则为确保企业信息的可用性、完整性和机密性，企业在日常运作时须遵守以下原则。

l）权限最小化。

受保护的企业信息只能在限定范围内共享。

员工仅被授予为顺利履行工作职责而能访问敏感信息的适当权限。

对企业敏感信息的获知人员应加以限制，仅对有工作需要的人员采取
限制性开放。

最小化原则又可细分为知所必须和用所必须的原则，即给予员工的读权限只限于员工为顺利完成工作必须获的信息内容，给予员工的写权限只限于员工所能够表述的内容。

2）分权制衡。

对涉及到企业信息安全各维度的使用权限适当地划分，使每个授权主体只能拥有其中的部分权限，共同保证信息系统的安全。

如果授权主体分配的权限过大，则难以对其进行监督和制约，会存在较大的信息安全风险。

因此，在授权时要采取三权分立的原则，使各授权主体间相互制约、相互监督，通过分权制衡确保企业信息安全。

例如网络管理员、系统管理员和日志审核员就不应被授予同一员工。

三、企业信息安全管理体系的构建
信息安全管理体系模型企业信息安全管理体系的构建要统筹考虑多方面因素，勿留短板。

安全技术是构建信息安全的基础，员工的安全意识和企业资源的充分提供是有效保证安全体系正常运作的关键，安全管理则是安全技术和安全意识恒久长效的保障，三者缺一不可。

因此，在构建企业信息安全管理体系时，要全面考虑各个维度的安全，做好各方面的平衡，各部门互相配合，共同打造企业信息安全管理平台。

科学的安全管理体系应该包括以下主要环节：制定反映企业特色的安全方针、构建强健有力的信息安全组织机构、依法行事、选择稳定可靠的安全技术和安全产品、设计完善的安全评估标准、树立.员工的安全意识和营造良好的信息安全文化氛围等。

因此，为了使企业构建的信息安全管理体系能适应不断
变化的风险，必须要以构建、执行、评估、改进、再构建的方式持续地进行，构成一个p（计划）、d（执行）、c（检查）、a（改进）反馈循环链以使构建的企业信息安全管理体系不断地根据新的风险做出合理调整。

四、结论
信息安全管理体系的构建对企业高效运行具有重要意义。

只有全面分析影响企业信息安全的各种来源后才能构建良好的企业信息安全管理体系。

从大量的企业案例来看，技术、管理和资源是影响企业信息安全的3个角度。

为此，应从技术、管理和资源出发考虑信息安全管理体系的构建原则和企业信息安全管理体系应满足的基本要求。

同时，也应注意到，信息安全管理体系的构建不是一劳永逸而是不断改进的，企业的信息安全管理体系应遵从pdca的过程方法论持续改进，才能确保企业信息的安全长效。

参考文献：
[1]张李义，刘文勇.网络信息资源管理安全问题新探讨.情报科学，2003（9）：942-946.
[2]席嘉.浅论企业安全管理中的风险对策[j].公安大学学报，2001l（l）：35-40.。