導語：嚴格實施安全策略保障信息化管理論文一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

編者按：本文主要從信息安全的含義；企業(yè)管理中信息安全的需求；制定信息安全策略；結語進行論述。其中，主要包括：管理實現(xiàn)代化、網(wǎng)絡化、信息化已迫在眉睫，勢在必行、信息社會的安全問題不僅涉及到個人權益、企業(yè)生存、金融風險防范、社會穩(wěn)定和國家安全、運行系統(tǒng)的安全、系統(tǒng)信息的安全、企業(yè)現(xiàn)代化的運作和管理是依賴于企業(yè)的網(wǎng)絡和國際互聯(lián)網(wǎng)、對人的安全需求、對應用系統(tǒng)的安全需求、對數(shù)據(jù)的安全需求、信息安全不只是網(wǎng)絡保護問題，而應該是能夠幫助企業(yè)實現(xiàn)業(yè)務目標的一整套技術手段和措施、要保護的對象、判斷系統(tǒng)保護應該針對哪些人、數(shù)據(jù)安全的考慮、備份、文檔存儲和數(shù)據(jù)處理等，具體請詳見。

[摘要]：隨著信息化建設的不斷推進，信息系統(tǒng)已經成為企業(yè)和政府經營管理的核心組成部分，管理實現(xiàn)信息化提高了工作效率和工作質量，但同時我們也意識到信息安全問題直接威脅著管理本身的正常開，信息安全與防范成為信息化管理必須引起關注的問題。

[關鍵詞]：信息系統(tǒng)安全管理

隨著信息技術以其驚人的發(fā)展速度向社會各個領域滲透，高效、便利與快捷的優(yōu)勢已不言而喻，管理實現(xiàn)代化、網(wǎng)絡化、信息化已迫在眉睫，勢在必行。然而，信息技術是一把“雙刃劍”，在計算機和網(wǎng)絡技術為檔案管理提供便利的同時，其自身的脆弱性、技術的壟斷性以及人為破壞等因素，又威脅到信息的安全，因而在信息化管理過程中，針對信息安全存在的威脅，有著高度警惕的思想和有效防范的措施。

一、信息安全的含義

信息社會的安全問題不僅涉及到個人權益、企業(yè)生存、金融風險防范、社會穩(wěn)定和國家安全，甚至關系到環(huán)境安全、生態(tài)安全和人類安全。它是物理安全、網(wǎng)絡安全、數(shù)據(jù)安全、信息內容安全、信息基礎設施安全與公共、國家信息安全的總和，是一個多層次、多因素、多目標的復合系統(tǒng)?，F(xiàn)代信息安全主要包括兩個方面的含義，即運行系統(tǒng)的安全和系統(tǒng)信息的安全。

1、運行系統(tǒng)的安全

運行系統(tǒng)的安全，包括嚴格而科學的管理，如對信息網(wǎng)絡系統(tǒng)的組織管理、監(jiān)督檢查，規(guī)章制度的建立、落實與完善，管理人員的責任心、預見性、警惕性、使命感等;法律、政策的保護，如用戶是否有合法權利，政策是否允許等;物理控制安全，如機房加鎖、線路安全、環(huán)境適宜等:硬件運行安全;操作系統(tǒng)安全，如數(shù)據(jù)文件是否保護等;災害、的避免和解除;防止電磁信息泄漏等。

2、系統(tǒng)信息的安全，包括:用戶口令鑒別;用戶存取權限控制;數(shù)據(jù)存取權限、方式控制、審計跟蹤、數(shù)據(jù)加密等。從要素來看，信息安全是過程、政策、標準、管理、指導、監(jiān)控、法規(guī)、培訓和工具技術的有機總和。信息安全問題主要依靠密碼、數(shù)字簽名、身份認證、防火墻、安全審計、災難恢復、防病毒、防黑客入侵等安全機制加以解決。

二、企業(yè)管理中信息安全的需求

企業(yè)現(xiàn)代化的運作和管理是依賴于企業(yè)的網(wǎng)絡和國際互聯(lián)網(wǎng)。信息化給企業(yè)管理帶來的是高效的運作和對外信息的交換等的極大好處。信息系統(tǒng)的應用都依賴與網(wǎng)絡，這就會有許多安全間題需要解決，歸納起來主要有以下一些安全問題需要解決。

1、對人的安全需求

管理的對象是人，人是信息安全面臨的最大風險，人的思想和情緒是最為復雜的，員工有的可能利用公司的網(wǎng)絡開些小玩笑，甚至破壞。如傳出至關重要的信息、錯誤地進入數(shù)據(jù)庫、刪除數(shù)據(jù)等等。這些都將給企業(yè)的正常運作和管理造成極大的安全風險。

對于不滿公司的內部管理人員如果把內部網(wǎng)絡結構、管理員用戶名及口令以及企業(yè)信息系統(tǒng)的一些重要信息傳播給外人帶來信息泄漏風險，甚至是商業(yè)和法律的風險。

還有如果存在不適當?shù)男畔⑾到y(tǒng)授權，會導致未經授權的人獲取不適當?shù)男畔?。操作失誤或疏忽會導致信息系統(tǒng)的錯誤動作或產生垃圾信息;惡意篡改數(shù)據(jù)、修改系統(tǒng)時間、修改系統(tǒng)配置、惡意導入或刪除信息系統(tǒng)的數(shù)據(jù)，可能導致重大經濟案件的發(fā)生。有令不行、有禁不止等人為因素形成的風險，是信息化管理中最主要的安全問題。

2、對應用系統(tǒng)的安全需求

應用系統(tǒng)的安全涉及很多方面。應用系統(tǒng)是動態(tài)的、不斷變化的，應用的安全性也動態(tài)。這就需要我們對不同的應用，采取相應的安全措施，降低應用的安全風險。

如果在企業(yè)的管理系統(tǒng)中沒有考慮必要的安全模塊的設計，或安全設計存在缺陷，都會導致管理系統(tǒng)安全免疫能力不足。沒有完善、嚴格的安全系統(tǒng)管理機制，會導致機房管理、口令管理、授權管理、用戶管理、服務器管理、網(wǎng)絡管理、備份管理、病毒管理等方面出現(xiàn)問題，輕則產生垃圾信息，重則發(fā)生系統(tǒng)中斷、信息被非法獲取。

當前企業(yè)的管理系統(tǒng)己是一個龐大的網(wǎng)絡化系統(tǒng)，在網(wǎng)絡內存在眾多的中小型機、服務器、前置機、路由器、終端設備，也包括數(shù)據(jù)庫、操作系統(tǒng)、中間件、應用系統(tǒng)等軟件系統(tǒng)。網(wǎng)絡中的任何一個環(huán)節(jié)均可能出現(xiàn)故障，一旦出現(xiàn)故障便有可能造成系統(tǒng)中斷，將會影響到整個企業(yè)的管理和運作。

3、對數(shù)據(jù)的安全需求

對于企業(yè)的管理和運作，最為寶貴的財富就是數(shù)據(jù)。要保證系統(tǒng)穩(wěn)定可靠地運行，就要保護基于計算機的信息，也就是存儲在計算機內的數(shù)據(jù)。雖然，計算機技術的發(fā)展給人們的日常生活提供了很多便利，然而，人為的操作錯誤，系統(tǒng)軟件或應用軟件的缺陷、硬件的損毀、電腦病毒、黑客攻擊、自然災難等等諸多因素都有可能造成計算機中數(shù)據(jù)的丟失，從而給企業(yè)造成無可估量的損失。此時，最關鍵的問題在于如何盡快恢復計算機系統(tǒng)，使其能正常運行。

三、制定信息安全策略

信息安全不是網(wǎng)絡安全，如果將注意力過多地集中在網(wǎng)絡層，往往會掩蓋信息安全更加本質的內涵，信息安全不只是網(wǎng)絡保護問題，而應該是能夠幫助企業(yè)實現(xiàn)業(yè)務目標的一整套技術手段和措施。信息安全是通過制定實施一整套適當?shù)?a href="http://m.wugjj.com/lunwen/xinzhen/guanl/201005/361004.html" target="_blank">安全策略實現(xiàn)的。必須建立起一整套的安全策略，確保滿足企業(yè)管理的安全目標。

要制定一組最優(yōu)的信息安全策略主要的要素包括如下幾個方面：

1.要保護的對象

Ø硬件和軟件

硬件和軟件是支持企業(yè)運作和管理進行的平臺，它們應該有策略保護。所以，擁有一份完整的系統(tǒng)軟件硬件清單是非常重要的，這當中應該包括一張網(wǎng)絡圖。有很多方法來生成這份清單和網(wǎng)絡圖，無論用什么方法，必須確定所有東西都被記錄了。

Ø非信息類資源

清單和策略一樣，不僅僅和軟硬有關。既應該有文檔來記錄程序、硬件、系統(tǒng)和本地管理過程，也應該有文檔描述技術業(yè)務過程的方方面面。后者可以包括公司業(yè)務如何運作等信息，也可以展示易受攻擊的區(qū)域。

同樣的，清單應該包括所有的正式打印表格，印有公司名字頁眉的信紙以及其它帶有官方名稱的材料。一個使用公司空白支票和正式信紙的人可以假冒公司的官員，進而盜用資金甚至損壞公司名譽。所以，必須把這些物品包括在清單里面，以使策略能夠保護這些資產。

Ø記錄人力資源

最重要和最昂貴的資源是人力資源，這些人操作和維護那些清單上記錄的物品。

2.判斷系統(tǒng)保護應該針對哪些人

定義訪問是了解每個系統(tǒng)和網(wǎng)絡組件如何被訪問的過程。明白了信息資源是如何被訪問的，就能夠確定策略應該集中在誰身上。對于數(shù)據(jù)訪問來說，有以下幾個需要考慮到的方面:

a)對信息或資源的授權和未授權訪問:

b)無意或者未授權的信息泄密;

c)執(zhí)行程序概要:

d)漏洞和用戶錯誤。

3、數(shù)據(jù)安全的考慮

我們使用計算機和網(wǎng)絡所作的每一件事情都造成了數(shù)據(jù)的流動和使用。所有的公司、組織和政府機構，不論它們從事什么工作，都在收集和使用數(shù)據(jù)。即使是制造商的操作也離不開關鍵數(shù)據(jù)的處理，包括定價、車間自動化和存貨清單控制。由于數(shù)據(jù)的重要性，所以定義策略的時候，了解數(shù)據(jù)的使用和結構是編寫安全策略的基本要求。

4、備份、文檔存儲和數(shù)據(jù)處理

把數(shù)據(jù)備份到外部站點或者其它介質上，有關這方面的策略和在線訪問信息策略是同樣重要的。備份數(shù)據(jù)可以包括財政信息、客戶往來記錄甚至當前業(yè)務過程的拷貝。備份策略需要考慮的情況的包括:數(shù)據(jù)如何存檔，在準備丟棄數(shù)據(jù)的時候應該作些什么。

上述組成要素最基本的。隨著信息環(huán)境的變化、網(wǎng)絡技術的更新、組織業(yè)務的變更，我們可以增加新的要素?？傊?，組織制定出的信息安全策略要達到控制安全保護措施的實施的目的。

四、結語

信息的安全問題是一個動態(tài)和相對的問題，信息安全的管理必須制定適當?shù)陌踩呗圆栏駥嵤拍転楣芾砉ぷ鲗崿F(xiàn)信息化提供信息安全保障。

參考文獻

[1]趙戰(zhàn)生，信息安全保障技術發(fā)展—動態(tài)與印象，中科院信息安全國家重點實驗室會議報告，2001年

[2]胡呂振、李貴濤，面向21世紀網(wǎng)絡安全與保護[M]，北京，希望電子出版社，1999年

[3]劉蔭銘,李金海，計算機安全技術[M]，北京，清華大學出版社，2000年

[4]孫卓然，信息安全工程與管理[M]，北京，人民郵電出版社，2003年