導(dǎo)語(yǔ)：制造型企業(yè)信息安全論文一文來(lái)源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

一、制造型企業(yè)信息安全的現(xiàn)狀

(一)信息安全組織臨時(shí)化

通常,制造型企業(yè)只有在發(fā)生了信息泄露、病毒攻擊、系統(tǒng)破壞等信息安全事件時(shí),才會(huì)臨時(shí)從信息技術(shù)部和業(yè)務(wù)部門(mén)抽調(diào)人手處理和解決信息安全事件.出現(xiàn)新的信息安全要求時(shí),才會(huì)臨時(shí)組建項(xiàng)目小組,根據(jù)新的信息安全要求制定解決方案并實(shí)施計(jì)劃,項(xiàng)目完成后,臨時(shí)小組就會(huì)解散,沒(méi)有人會(huì)繼續(xù)跟進(jìn)和執(zhí)行解決方案.由于沒(méi)有定期的信息安全評(píng)估,安全計(jì)劃不斷地重復(fù)開(kāi)始和結(jié)束,帶來(lái)大量的人財(cái)物重復(fù)投入,這將導(dǎo)致安全計(jì)劃成本不斷增加,企業(yè)的工作效率不斷降低,信息安全防護(hù)也未得到有效提升.

(二)員工上網(wǎng)無(wú)限制

雖然制造型企業(yè)為員工上網(wǎng)提供了用戶名及密碼,并且對(duì)其登錄的網(wǎng)站進(jìn)行了監(jiān)測(cè),但是員工在工作時(shí)間還是可以無(wú)設(shè)防地利用外網(wǎng)進(jìn)行網(wǎng)頁(yè)游覽、網(wǎng)絡(luò)社交等行為,并且使用一些網(wǎng)站的免費(fèi)郵箱隨意地接收和發(fā)送電子郵件,這些給黑客、病毒、釣魚(yú)軟件等創(chuàng)造了對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)攻擊的機(jī)會(huì).于是,員工在不了解原因的情況下,使得企業(yè)的信息被泄露或者內(nèi)部網(wǎng)絡(luò)癱瘓,從而影響企業(yè)的正常工作,造成企業(yè)資產(chǎn)的損失.

(三)個(gè)人移動(dòng)設(shè)備(BYOD)使用泛濫

在制造型企業(yè)的辦公場(chǎng)合,員工會(huì)攜帶個(gè)人移動(dòng)設(shè)備(BYOD)如筆記本電腦、平板電腦、智能手機(jī)、移動(dòng)硬盤(pán)等進(jìn)行辦公.企業(yè)員工可以較為隨意地使用這些移動(dòng)存儲(chǔ)設(shè)備對(duì)內(nèi)部文件進(jìn)行拷貝,并且可以使用移動(dòng)設(shè)備接入企業(yè)內(nèi)網(wǎng)的無(wú)線WiGFi,并擁有一定程度的內(nèi)網(wǎng)數(shù)據(jù)讀取權(quán)限,這樣做雖然節(jié)約了企業(yè)的辦公成本,提高了辦公的效率,但是也增加了企業(yè)內(nèi)網(wǎng)病毒感染及遭受黑客惡意入侵的風(fēng)險(xiǎn).

(四)信息安全防護(hù)水平有限

出于性能、技術(shù)等因素的考慮,加之國(guó)內(nèi)自主研發(fā)的信息安全產(chǎn)品較少,目前進(jìn)口的信息安全產(chǎn)品受到許多制造型企業(yè)的廣泛采用.盡管這些企業(yè)的信息安全需求以此得到了滿足,但近幾年來(lái),進(jìn)口產(chǎn)品設(shè)備故障的頻繁發(fā)生也對(duì)制造型企業(yè)的業(yè)務(wù)帶來(lái)了不同程度的影響.同時(shí),進(jìn)口信息安全產(chǎn)品已經(jīng)占據(jù)了這些企業(yè)信息系統(tǒng)的關(guān)鍵節(jié)點(diǎn),這使得企業(yè)的商業(yè)機(jī)密時(shí)刻處于高危狀態(tài).不僅如此,部分制造型企業(yè)仍舊停留在使用免費(fèi)的個(gè)人版殺毒軟件階段,而這些軟件不僅無(wú)法解決病毒交叉感染的問(wèn)題,也沒(méi)有統(tǒng)一的管理平臺(tái)對(duì)企業(yè)內(nèi)網(wǎng)的安全系統(tǒng)進(jìn)行統(tǒng)一的升級(jí)與維護(hù).另外,信息安全產(chǎn)品在企業(yè)內(nèi)的無(wú)序堆疊不僅使得各安全產(chǎn)品存在兼容性問(wèn)題,同時(shí)也使得各產(chǎn)品廠商只能提供與自己產(chǎn)品有關(guān)的技術(shù)支持,導(dǎo)致企業(yè)對(duì)問(wèn)題很難進(jìn)行跟蹤和排查.最后,企業(yè)電腦終端上的防毒程序未開(kāi)啟或者未升級(jí)至最新版本,以及系統(tǒng)漏洞修補(bǔ)的不及時(shí)都造成了多病毒大面積入侵企業(yè)內(nèi)網(wǎng).

(五)信息安全事件處理不及時(shí)

制造型企業(yè)在發(fā)生信息安全事件時(shí),即使有相關(guān)的信息安全管理產(chǎn)品,但無(wú)法迅速定位安全事件,更無(wú)法快速進(jìn)行安全事件響應(yīng)處理,常處于混亂、無(wú)序的運(yùn)維管理狀態(tài).由于企業(yè)的安全管理人員無(wú)法全面了解整個(gè)企業(yè)網(wǎng)絡(luò)中正在發(fā)生的內(nèi)部越權(quán)訪問(wèn)和外部攻擊,出現(xiàn)問(wèn)題時(shí),他們多表現(xiàn)得無(wú)從下手或者手忙腳亂.而且,企業(yè)各部門(mén)各自為政,對(duì)發(fā)生信息安全事件無(wú)法進(jìn)行統(tǒng)一規(guī)范的快速處理.

二、制造型企業(yè)信息安全薄弱的原因

(一)員工信息安全意識(shí)淡薄

制造型企業(yè)員工信息安全意識(shí)比較淡薄,主要表現(xiàn)為企業(yè)管理層沒(méi)有充分認(rèn)識(shí)到信息安全的重要性,沒(méi)有將信息安全管理工作與企業(yè)生產(chǎn)安全管理工作放在同等重要的高度來(lái)對(duì)待,更沒(méi)有把它作為日常管理工作的一部分.管理層之所以沒(méi)有信息安全意識(shí)主要是因?yàn)樾畔踩粫?huì)直接為企業(yè)帶來(lái)經(jīng)濟(jì)效益,反而需要投入大量的時(shí)間和資源,尤其是對(duì)于受部門(mén)業(yè)績(jī)壓力和資源限制的業(yè)務(wù)部門(mén)來(lái)說(shuō),他們不愿意把時(shí)間和資源放在信息安全防護(hù)工作上,并且他們還認(rèn)為不采取安全防護(hù)措施不一定會(huì)造成損失.普通員工則表現(xiàn)在他們不了解什么信息安全,不知道遵守和執(zhí)行信息安全制度對(duì)自己及企業(yè)帶來(lái)的影響,缺少必要的信息安全教育與培訓(xùn),有意或無(wú)意地導(dǎo)致信息安全事件的發(fā)生.

(二)信息安全技術(shù)體系不完善

信息安全防護(hù)水平受到限制除了受上述因素影響外,還有就是沒(méi)有完善的物理安全、運(yùn)行安全和數(shù)據(jù)安全相統(tǒng)一的信息安全技術(shù)體系,具體體現(xiàn)在企業(yè)使用的軟件設(shè)計(jì)存在缺陷或者技術(shù)漏洞、殺毒軟件不及時(shí)更新;信息系統(tǒng)設(shè)計(jì)沒(méi)有以風(fēng)險(xiǎn)評(píng)估為基礎(chǔ)、業(yè)務(wù)流程描述錯(cuò)誤或漏洞、數(shù)據(jù)訪問(wèn)權(quán)限設(shè)置不清晰、關(guān)鍵數(shù)據(jù)沒(méi)有備份等因素;物理安全邊界不明確、設(shè)備或存儲(chǔ)介質(zhì)缺乏安全措施、電纜損壞、不可抗力的自然災(zāi)害等.

(三)信息安全事件應(yīng)急響應(yīng)機(jī)制缺失

信息安全事件處理不及時(shí)很大程度上是因?yàn)闆](méi)有建立信息安全事件應(yīng)急響應(yīng)機(jī)制.制造型企業(yè)沒(méi)有對(duì)信息安全事件進(jìn)行分級(jí)響應(yīng)與處置,也沒(méi)有結(jié)合企業(yè)的實(shí)際情況通過(guò)預(yù)測(cè)、評(píng)估和分析安全事件對(duì)企業(yè)造成的后果程度進(jìn)行等級(jí)劃分,并針對(duì)不同的安全事件制定相應(yīng)的應(yīng)急預(yù)案.同時(shí),大部分制造型企業(yè)在處理信息安全事件時(shí)更多依靠的是人的經(jīng)驗(yàn)和責(zé)任心,缺少標(biāo)準(zhǔn)化的信息安全事件處理流程,以及必要的審核和工具支撐.

三、改進(jìn)制造型企業(yè)信息安全的對(duì)策

通過(guò)上述分析可知,信息安全問(wèn)題不僅出現(xiàn)在技術(shù)方面,還更多地出現(xiàn)在管理方面.因此,為了保障企業(yè)的業(yè)務(wù)持續(xù)運(yùn)行,加強(qiáng)企業(yè)的股東、客戶以及服務(wù)提供商對(duì)企業(yè)信息安全的信任,增強(qiáng)企業(yè)的核心競(jìng)爭(zhēng)能力,制造型企業(yè)可以將管理、技術(shù)和運(yùn)維三方面有效地結(jié)合起來(lái),促進(jìn)企業(yè)的可持續(xù)發(fā)展.

(一)建立健全的信息安全組織層級(jí)結(jié)構(gòu)

企業(yè)信息安全組織架構(gòu)的建立是圍繞企業(yè)信息安全管理的戰(zhàn)略目標(biāo),對(duì)企業(yè)的信息資源、人力資源、安全技術(shù)產(chǎn)品等進(jìn)行合理安排和配置,構(gòu)成相互協(xié)作的有機(jī)整體,使企業(yè)的信息安全活動(dòng)協(xié)調(diào)有效地運(yùn)行.制造型企業(yè)通過(guò)建立多層次、跨部門(mén)的信息安全決策委員會(huì)、信息安全工作部、信息安全執(zhí)行部的層級(jí)結(jié)構(gòu),不僅能在企業(yè)中形成一張網(wǎng),覆蓋企業(yè)的各個(gè)部門(mén),有利于信息安全措施的實(shí)施和針對(duì)信息安全事件的快速響應(yīng),而且還能為后續(xù)建立信息安全管理體系提供組織上的保證.信息安全決策委員會(huì)主要負(fù)責(zé)制定信息安全制度和策略、明確各部門(mén)信息安全職責(zé)、協(xié)調(diào)各部門(mén)實(shí)施信息安全控制措施以及信息安全活動(dòng)的實(shí)施等.信息安全工作部由各部門(mén)負(fù)責(zé)信息安全管理的工作人員構(gòu)成,實(shí)施決策委員會(huì)制定的信息安全策略、制度和方針,并負(fù)責(zé)各部門(mén)的信息安全管理工作.信息安全執(zhí)行部具體有三個(gè)部門(mén),即信息安全規(guī)劃部、信息安全監(jiān)督審計(jì)部、信息安全運(yùn)行保障部,并且由各部門(mén)進(jìn)行業(yè)務(wù)支撐。

(二)加強(qiáng)人員教育培訓(xùn)和規(guī)范管理

信息安全最大的威脅不是來(lái)自于企業(yè)外部的攻擊或是企業(yè)信息安全技術(shù)的缺陷,而是企業(yè)人員缺乏信息安全意識(shí).為了能夠有效地提高企業(yè)員工的信息安全意識(shí),企業(yè)需要對(duì)員工進(jìn)行完善的信息安全教育培訓(xùn),這不僅能提高員工的信息安全保護(hù)技能,還能更好地保護(hù)企業(yè)的信息安全.制造型企業(yè)在制定信息安全教育培訓(xùn)內(nèi)容時(shí),可以根據(jù)員工在企業(yè)中所處的職位高低和工作性質(zhì)的不同有針對(duì)性地制定.對(duì)于企業(yè)管理者而言,教育培訓(xùn)以信息安全核心知識(shí)、風(fēng)險(xiǎn)管理、信息安全政策等為主;企業(yè)的信息技術(shù)人員,則是以信息安全技術(shù)教育培訓(xùn)為主;一般員工結(jié)合所在部門(mén)的業(yè)務(wù)特點(diǎn)以信息安全意識(shí)培訓(xùn)為主.除了對(duì)企業(yè)的人員進(jìn)行教育培訓(xùn),還需對(duì)其進(jìn)行規(guī)范化管理.對(duì)掌握產(chǎn)品生產(chǎn)、原材料采購(gòu)等核心信息的管理者實(shí)施更加嚴(yán)格的信息安全監(jiān)督管理制度;對(duì)負(fù)責(zé)計(jì)算機(jī)系統(tǒng)及日常維護(hù)的人員界定其工作權(quán)限;規(guī)范化管理員工的上網(wǎng)行為,合理利用網(wǎng)絡(luò)資源,避免人為的網(wǎng)絡(luò)安全隱患.同時(shí)在規(guī)范管理中引入績(jī)效考核機(jī)制,這樣不僅使信息安全管理的指標(biāo)量化,而且,通過(guò)信息安全監(jiān)督審計(jì)工作組對(duì)員工信息安全工作進(jìn)行考核,使員工更加重視企業(yè)信息安全.因此,加強(qiáng)企業(yè)員工的教育培訓(xùn)和規(guī)范化管理,不僅可以營(yíng)造企業(yè)信息安全文化氛圍,還可以約束員工的行為,減少人為因素導(dǎo)致的信息安全事件發(fā)生.

(三)完善信息安全技術(shù)體系

信息安全技術(shù)是企業(yè)信息安全的保障,完善的信息安全技術(shù)體系可以防止由于技術(shù)因素導(dǎo)致的信息安全漏洞,避免給外部攻擊者留下可乘之機(jī),從而減少技術(shù)因素導(dǎo)致的信息安全事件發(fā)生.制造型企業(yè)需從以下六個(gè)方面去建立完善的信息安全技術(shù)體系,并采用“適度防御”的原則,選擇合適的安全技術(shù)與產(chǎn)品,形成企業(yè)適用的安全技術(shù)防線.一是保障并完善數(shù)據(jù)安全,制造型企業(yè)需通過(guò)加密的手段保護(hù)企業(yè)系統(tǒng)中數(shù)據(jù)的機(jī)密性和完整性,從而提高數(shù)據(jù)訪問(wèn)的抗抵賴性,同時(shí)加強(qiáng)數(shù)據(jù)的異地災(zāi)難恢復(fù)機(jī)制,實(shí)現(xiàn)本地?cái)?shù)據(jù)的實(shí)時(shí)遠(yuǎn)程復(fù)制與備份,避免本地系統(tǒng)遭受災(zāi)難性破壞導(dǎo)致企業(yè)系統(tǒng)中數(shù)據(jù)的遺失.二是保障并完善終端安全,制造型企業(yè)除了要采用全面可靠的防病毒體系和防火墻技術(shù)外,還需制定嚴(yán)格的移動(dòng)終端設(shè)備使用制度,一方面是為了避免內(nèi)部員工利用移動(dòng)終端設(shè)備隨意拷貝企業(yè)內(nèi)部文件,導(dǎo)致企業(yè)內(nèi)部信息向外泄露,另一方面是為了防止移動(dòng)終端設(shè)備攜帶的病毒漏過(guò)企業(yè)系統(tǒng)設(shè)置的防火墻而直接在系統(tǒng)內(nèi)部傳播.三是保障和完善應(yīng)用安全,除了提供用戶名和口令外其他身份驗(yàn)證機(jī)制,必要時(shí)還需支持雙因素認(rèn)證和具備登錄控制模塊,同時(shí)在日常工作不受影響的情況下,控制員工訪問(wèn)權(quán)限,減少越權(quán)操作的現(xiàn)象,最大限度地保障個(gè)人系統(tǒng)的安全.四是保障和完善網(wǎng)絡(luò)安全,制造型企業(yè)還需通過(guò)內(nèi)外部署相應(yīng)的網(wǎng)絡(luò)與信息安全設(shè)施使計(jì)算機(jī)設(shè)備的物理管理得到加強(qiáng),并對(duì)入侵檢測(cè)系統(tǒng)和漏洞掃描系統(tǒng)進(jìn)行內(nèi)外部攻擊和誤操作的實(shí)時(shí)保護(hù)的安全設(shè)計(jì),使系統(tǒng)免于網(wǎng)絡(luò)攻擊的同時(shí),也提升了系統(tǒng)管理人員的安全管理水平.五是保障主機(jī)安全,除了采用系統(tǒng)掃描技術(shù)對(duì)操作系統(tǒng)層設(shè)備和系統(tǒng)進(jìn)行智能化檢測(cè)來(lái)幫助網(wǎng)絡(luò)管理人員高效地完成定期檢測(cè)和操作系統(tǒng)安全漏洞修復(fù)的工作,還應(yīng)采用系統(tǒng)實(shí)時(shí)入侵探測(cè)技術(shù)來(lái)監(jiān)控主機(jī)系統(tǒng)事件,檢測(cè)攻擊的可疑特征,并給予響應(yīng)和處理.六是保證物理安全,制造型企業(yè)需要保證機(jī)房與設(shè)施的安全,針對(duì)環(huán)境的物理災(zāi)害、自然災(zāi)害和人為的蓄意破壞采取安全措施,并通過(guò)防盜、防毀、防電磁干擾來(lái)保證設(shè)備的安全.

(四)建立信息安全事件應(yīng)急響應(yīng)機(jī)制

由于信息安全事件會(huì)給制造型企業(yè)造成巨大的損失,因此作為補(bǔ)救性質(zhì)的信息安全事件應(yīng)急響應(yīng)機(jī)制的建立就是必不可少的.信息安全事件應(yīng)急響應(yīng)機(jī)制是指在信息安全事件的發(fā)生之前企業(yè)對(duì)各種可能情況所做的全部準(zhǔn)備和在信息安全事件發(fā)生后所采取的相應(yīng)措施的方法和過(guò)程,其目的是為了使企業(yè)盡可能地減少信息安全事件帶來(lái)的損失.制造型企業(yè)應(yīng)首先在信息安全運(yùn)行保障部中創(chuàng)建信息安全事件應(yīng)急響應(yīng)中心,中心成員由企業(yè)內(nèi)部的管理者、計(jì)算機(jī)和網(wǎng)絡(luò)等方面的技術(shù)專家共同組成,并聯(lián)合外部技術(shù)支持企業(yè),針對(duì)企業(yè)的信息安全事件進(jìn)行應(yīng)急響應(yīng),及時(shí)地處理信息安全事件,使企業(yè)的風(fēng)險(xiǎn)和損失最小.其次是制定標(biāo)準(zhǔn)的信息安全事件應(yīng)急響應(yīng)的措施與流程,要求應(yīng)急響應(yīng)中心進(jìn)行規(guī)范化的管理和運(yùn)作,并且建立及時(shí)精確的信息安全事件上報(bào)體系.最后還需建立信息安全事件應(yīng)急響應(yīng)案件庫(kù),目的是為了實(shí)現(xiàn)對(duì)事件處理過(guò)程的備案和綜合查詢,幫助企業(yè)在處理事件時(shí)查找歷史處理記錄和流程,從而縮短應(yīng)急響應(yīng)的時(shí)間.制造型企業(yè)信息安全事件應(yīng)急響應(yīng)處理的具體流程是:首先,對(duì)信息安全事件進(jìn)行封鎖,為避免信息安全事件的擴(kuò)散,應(yīng)關(guān)閉其與網(wǎng)絡(luò)的連接;其次,為緩解信息安全事件帶來(lái)的影響,應(yīng)采取相應(yīng)措施,保障系統(tǒng)的正常運(yùn)行;再次,根據(jù)安全記錄日志或當(dāng)前實(shí)時(shí)監(jiān)控和審計(jì)的結(jié)果進(jìn)行分析與判斷,采取措施消除信息安全事件,然后對(duì)系統(tǒng)進(jìn)行恢復(fù),讓受侵害的業(yè)務(wù)系統(tǒng)、應(yīng)用、數(shù)據(jù)庫(kù)等恢復(fù)到正常的運(yùn)行狀態(tài);最后,對(duì)系統(tǒng)恢復(fù)后的安全狀況進(jìn)行追蹤,對(duì)現(xiàn)有的一些處理流程進(jìn)行重新評(píng)估,并修改不適宜的環(huán)節(jié)。

作者:朱思然吳小艷單位:武漢理工大學(xué)