淺談如何加強企業(yè)信息安全風(fēng)險管理
摘要:隨著全球信息化程度的提高,企業(yè)信息化程度也隨之提高��,企業(yè)信息安全風(fēng)險管理也顯得越發(fā)重要����。企業(yè)網(wǎng)絡(luò)的安全防范對于企業(yè)來說也是不容忽視的。本課題研究了企業(yè)所面臨的信息安全風(fēng)險����,試圖從企業(yè)管理的各個主要環(huán)節(jié)入手進行分析,認為可以構(gòu)建一個安全的企業(yè)網(wǎng)絡(luò)���。
關(guān)鍵詞:企業(yè)��、信息安全�、風(fēng)險 �、管理
前言
隨著國內(nèi)經(jīng)濟建設(shè)的持續(xù)發(fā)展和知識經(jīng)濟模式的到來����,企業(yè)得以高速發(fā)展�����,企業(yè)管理水平也亟待提高�,不少企業(yè)也正以一種前所未有的熱情來致力于企業(yè)內(nèi)部管理素質(zhì)與效率的提高;信息化的管理手段在網(wǎng)絡(luò)經(jīng)濟迅速發(fā)展的時代顯得尤為重要�。
第一章:企業(yè)信息安全管理的重要性
信息化已經(jīng)成為一個大型企業(yè)的發(fā)展戰(zhàn)略,只有實現(xiàn)信息化,企業(yè)才有可能抓住機遇��,實現(xiàn)企業(yè)的快速���、健康發(fā)展�����。信息在企業(yè)的經(jīng)營和發(fā)展中的作用由此可窺一斑,有時候信息甚至可以左右一個企業(yè)的存亡�。如今,企業(yè)之間以及企業(yè)內(nèi)部的信息傳遞越來越依賴于網(wǎng)絡(luò)����。在寬帶網(wǎng)絡(luò)建設(shè)得到飛速發(fā)展��,信息得到快速傳遞的同時���,因為企業(yè)信息安全問題而倒閉或蒙受巨大經(jīng)濟損失的案例也不勝枚舉。2010年1月12日���, baidu.com域名被劫持���,此次網(wǎng)站被“黑”事件創(chuàng)下了百度創(chuàng)建以來最大的一次斷網(wǎng)事故,也給民眾和各企業(yè)敲響了警鐘:網(wǎng)絡(luò)信息安全問題不可忽視�。
隨著互聯(lián)網(wǎng)的發(fā)展和網(wǎng)絡(luò)技術(shù)的不斷進步,企業(yè)信息安全問題已經(jīng)成為每一個企業(yè)面對生死存亡必須要考慮的一個問題����。由于互聯(lián)網(wǎng)的開放性和通信協(xié)議原始設(shè)計的局限性的影響,企業(yè)信息因為諸多方面的原因容易造成外泄�����,給公司的正常運營帶來安全隱患���。企業(yè)在充分利用網(wǎng)絡(luò)資源�����,享受信息傳遞的方便快捷的同時����,降低企業(yè)安全信息管理風(fēng)險顯得尤為重要。
第二章:企業(yè)信息安全面對的風(fēng)險
一����、企業(yè)外部人員的信息竊取�;內(nèi)部服務(wù)器被非法訪問,破壞傳輸信息的完整性�����。
黑客��、木馬的破壞性�,相信很多企業(yè)的CTO都感受頗深。很多企業(yè)的局域網(wǎng)設(shè)計��、辦公自動化(OA)系統(tǒng)都存在著或多或少的漏洞�。網(wǎng)絡(luò)布線之后���,局域網(wǎng)沒有經(jīng)過深思熟慮的規(guī)劃���,路由器密碼為空或者沒有經(jīng)過修改����,網(wǎng)關(guān)設(shè)置過于簡單等等�。辦公自動化(OA)系統(tǒng)方面,權(quán)限管理過于簡單或者基本沒有���,用戶名及密碼明文傳輸?shù)鹊?����,都會給日后的使用�����,埋下隱患的種子�。
二��、企業(yè)內(nèi)部人員的故意或過錯而造成的商業(yè)機密泄漏�����。
黑客的攻擊,或許只會對企業(yè)的局域網(wǎng)���、以及辦公系統(tǒng)帶來破壞���,很少能夠有目的地,如其所愿地獲取所希望的信息����。企業(yè)核心信息的泄露,很大一部分��,要歸咎于企業(yè)內(nèi)部管理的不規(guī)范��,或者內(nèi)部員工的有目的的向競爭對手提供企業(yè)重要信息����。
企業(yè)的核心數(shù)據(jù),也就是所謂的商業(yè)機密����,一定要保證,除了核心管理層之外的人員�,其他員工無權(quán)獲取。對商業(yè)機密的保護不夠重視�,或者對企業(yè)信息訪問權(quán)限缺乏強有力的約束,以及權(quán)限管理不健全,都會帶來企業(yè)核心數(shù)據(jù)信息的外泄���,無論是有意還是無意,都會給企業(yè)帶來無法估計的損失�。
因此,面對企業(yè)信息安全所面臨的威脅��,企業(yè)必須把信息安全風(fēng)險降到最低�����,避免因企業(yè)信息外泄或被竊而給企業(yè)帶來不可估量的損失�。對當今的企業(yè)而言,必須通過加強企業(yè)信息安全風(fēng)險管理����,對可預(yù)見的風(fēng)險加強防范,維護企業(yè)信息安全�,避免造成不必要的損失,在保證企業(yè)信息正常流轉(zhuǎn)的同時���,保障企業(yè)的正常運行�。
企業(yè)信息化建設(shè)的概念是發(fā)展的����,它隨著管理理念���、實現(xiàn)手段等因素的發(fā)展而發(fā)展。因而管理也是企業(yè)信息安全得到保證的重要組成部分�,也是防止來自內(nèi)部網(wǎng)絡(luò)入侵必需的重要部分。管理混亂�����、安全管理制度不健全等都可能引起企業(yè)信息安全風(fēng)險�。即除了從技術(shù)下功夫外,還得依靠管理來實現(xiàn)���。
應(yīng)對企業(yè)信息安全風(fēng)險不只是給電腦設(shè)置密碼�,安裝殺毒軟件那么簡單����,這需要企業(yè)的每一位員工以每一件小事,每一個細節(jié)為出發(fā)點�����,從工作的方方面面加強防范��。加強企業(yè)信息安全風(fēng)險管理,要求企業(yè)每位員工提高安全防范意識�����。
第三章:如何降低企業(yè)信息安全的風(fēng)險
一����、制定企業(yè)信息安全規(guī)范�,并嚴格加以執(zhí)行。
企業(yè)要重視局域網(wǎng)規(guī)劃���,完善網(wǎng)絡(luò)設(shè)計��、建設(shè)�,首先從網(wǎng)絡(luò)層面規(guī)范信息安全要求�����。企業(yè)內(nèi)部的網(wǎng)絡(luò)使用方面���,要求員工不要隨意到網(wǎng)上下載軟件��、不要打開不明郵件附件等等�。企業(yè)內(nèi)部管理人員或員工應(yīng)該設(shè)置用戶口令,并且保證該口令不會因為過于簡單而容易破解�����,并明確權(quán)限管理����,把責任落實到個人,禁止信息泄密�����。
二��、警惕對企業(yè)內(nèi)部不滿的員工和已離職員工����。
員工離職之后及時更換管理員用戶名及口令等信息。防止員工在把內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)���、管理員用戶名及口令以及系統(tǒng)的一些重要信息傳播給外人帶來信息泄漏風(fēng)險而造成經(jīng)濟損失����。
三���、加強對員工企業(yè)信息安全方面的培訓(xùn)���。
提升安全技能��,并通過運用企業(yè)信息方面危機的事例分析�����,逐步培養(yǎng)企業(yè)人員信息安全意識���,使員工充分認識企業(yè)信息安全風(fēng)險防范的必要性和重要性�,并注重提高處理計算機系統(tǒng)安全問題的能力。
四��、提高對計算機安全的重視程度�。
企業(yè)網(wǎng)絡(luò)管理人員應(yīng)定期對計算機進行安全檢查,并選擇最適合自己公司需要的管理軟件����。
加強企業(yè)信息安全風(fēng)險管理還要求企業(yè)員工從身邊的細節(jié)加強防范,在日常工作中對辦公郵箱加強管理��,經(jīng)常更換登錄密碼�����,并對重要數(shù)據(jù)進行備份。打印紙不隨意丟棄����,過期文件及時銷毀。
結(jié)論
通過以上措施�,我們基本上可以從里到外,從上級管理者到普通員工之間��,形成一個立體的信息防護網(wǎng)�����,保護企業(yè)的重要信息不外泄��,形成了企業(yè)信息安全的立體化防護�����。
