陈茂华

[摘 要] 21世纪是信息技术高度发展的时代。随着市场竞争的日益残酷，企业所面临的挑战与困难越来越多，在这样的形势下，企业能否保持自己的生命力，信息安全至关重要。目前，企业的信息安全技术已从单一技术转变成信息综合技术。由于时代的要求，企业将建立一个崭新的信息安全体系，不仅可以确保企业信息的安全，还可以确保信息的传递及时、高效。在当前形势下，信息安全体系应当如何创建，就是本文所要探讨的问题。

[关键词] 信息技术；安全体系；信息系统

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2014 . 21. 056

[中图分类号] TP393.08 [文献标识码] A [文章编号] 1673 - 0194（2014）21- 0075- 02

1 信息安全体系的作用

由于信息技术日益发展，信息系统已经变成了一种至关重要的信息交换工具；同时，企业也越来越离不开信息资源。但是，因为计算机网络自身具备着多种特性，如多样的连接形式、散布不均的终端设备，开放度过大以及极强的互联性等，又加上难以避免的技术弱点以及其他人为因素，造成信息系统极易遭到计算机病毒、黑客以及某些恶意软件的攻击，从而导致信息被损毁或被盗取，最终导致信息系统的坚固性远不及传统的实物资产。在如此背景之下，企业就不得不需要提升自身信息安全管理的水平。而且企业当前并非纯粹面对着信息安全方面的难题，它还面对着其他诸多难题，如经营是否合法、系统是否适用、 销售能否长久等。所以，应构建一套健全的系统，借此高效地确保信息系统的整体安全。

2 信息安全管理体系的创建

2.1 安全技术系统

安全技术系统以网络信息安全管理平台作中枢，以物理安全作前提，其包括全方位的安全设置，比如服务器安全、运用安全、网络安全、数据安全、用户安全以及终端安全等。

2.1.1 服务器安全

服务器安全风险的来源一般包含如下几类：服务器出现单点毛病、功能欠缺、CPU运行不堪负荷以及病毒袭击等。

服务器安全管理的任务是严密监管各类应用服务器及数据库服务器，保障其安全平稳工作。提升服务器的安全性能，应当从以下几方面入手：加固主机；加强主机的安全性能；监管服务器的整体安全情况；检查安全基线的具体情形。

2.1.2 运用安全

运用安全一般是根据各类安全产品设置监管标准与使用规范，不仅审计用户的每一操作的安全性，而且对全程操作实施记录，实现事后审计，同时做到有据可查，给安全标准的制定与监管提供一定的数据条件。

2.1.3 网络安全

网络安全体系面对的风险一般包含两种。其一，来源于信息体系内的风险，公司内部职员也许由于无意过失，或者是由于故意而借助某些技术方式等越权利用或盗用信息体系内部的计算机、网络设施、业务体系以及中心数据，导致信息体系呈现不平衡的运行状态，最终形成程度不一的损害。其二，来源于信息体系外的风险，公司信息网络直接连通至互联网，互联网中的某些恶意机构或个人也许依靠某些不法手段，攻击或渗入信息体系，从而对信息体系的正常运行造成一定程度的损害。

因此，网络安全保护需从多方面入手加以设计与安排，如管控网络访问数量、监控网络安全、监管远程接入、加强互联网安全等。针对网络构造与性能以及业务的不同要求，借助防火墙设置内外网，把网络分割成多个性能区域，同时对每个性能区域的访问权限实施严密监管。

2.1.4 数据安全

对于信息安全而言，数据安全是重中之重，不但要求注重数据库的本地存储、备份以及高可用技术，而且更重要的是需防止数据泄露。根据美国犯罪现场鉴证科的研究表明：在现存可用的安全技术中，以数据加密传送与存储为前提的技术运用所占的比重高达65%，数据加密技术已变成了一种极具发展前景的运用技术。由于各类攻击所导致的经济损失巨大，当前企业对于机密信息的安全保护情况更加重视。所以，信息偷盗事件的主谋已并非纯粹的网络黑客或恶意程序，越来越多的数据资料是由公司及组织内部的职工所泄露或偷盗。对比过去的外部偷盗，这一由于内部人员所导致的信息风险更具针对性与潜伏性，企业也更易遭受重大损失。

2.1.5 用户安全

用户安全通常是对用户的身份实施一致管理，统一授权与审计。

2.1.6 终端安全

终端安全关键是完成防病毒、域管理的整体覆盖，并对域终端采取规范化管理，在所有域中统一使用防病毒、域管理以及补丁管理体系。

2.2 安全管理系统

企业的信息安全体系的建设小部分依靠技术，大部分依赖管理，技术为管理服务。安全管理系统涵盖安全战略系统、组织系统以及运营系统。其中，战略系统的任务是拟订安全方针与整体战略，建立安全管理体制，制定与梳理安全技术标准，同时设立标准的安全体系操作规程。而组织系统的任务是创立专门的安全组织部门，实施安全考核与评价，开设安全教育培训课程，并实施第三方管理等。运营系统的任务是监管安全产品运作的整体过程，比如安全监管、危机管控等。

2.3 信息安全体系建设模式

一个公司的信息安全体系是否健全，涉及安全技术系统与安全管理系统的整体性构建，不管哪一系统不健全都将导致重大的安全危机。

对于一个公司的整体经营运作而言，信息安全体系的构建必须具备如下内容：公司管理层需要高度关注公司的整体安全；制定明确的公司发展战略与销售目标；构建健全的信息安全运作系统；依据全球公认的规范实施信息安全管理和经营，逐步实现信息安全监管普遍化、运行参数规范化、信息安全保障系统化；创建一套持续改良的程序，不断鉴别新危机、监管新风险，从而做到事前防御、事中监管与事后审计，最终防止信息事故的出现。

3 结 语

公司的持续发展离不开各类业务活动的有序开展，而公司所有业务活动开展的前提是信息化。信息体系能否平稳、安全、高效运行，对公司的一切业务活动的健康开展有着直接影响。所以，应创建一套持续改良的信息安全系统运作体制，全面确保信息系统的高度保密性、完善性、适用性及可控性。

主要参考文献

[1]王斌君.信息安全管理体系[M].北京：高等教育出版社，2008.

[2]陈昱.解析企业网络安全现状[J].大众科技，2009（12）.

[3]谢宗晓.信息安全管理体系应用手册[M].北京：中国标准出版社，2008.