企業(yè)信息安全管理問題探析

時(shí)間:2022-09-09 11:30:58

導(dǎo)語:企業(yè)信息安全管理問題探析一文來源于網(wǎng)友上傳,不代表本站觀點(diǎn),若需要原創(chuàng)文章可咨詢客服老師,歡迎參考。

企業(yè)信息安全管理問題探析

一、企業(yè)安全管理三大問題

自“棱鏡門”、iCloud照片泄露、攜程及支付寶等企業(yè)接連宕機(jī)等事件發(fā)生之后,信息安全已被國(guó)內(nèi)外政府、行業(yè)和企業(yè)推到了前所未有的高度。國(guó)務(wù)院《關(guān)于積極推進(jìn)“互聯(lián)網(wǎng)+”行動(dòng)的指導(dǎo)意見》中也明確提出,要提升互聯(lián)網(wǎng)安全管理、態(tài)勢(shì)感知和風(fēng)險(xiǎn)防范能力,加強(qiáng)信息網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全防護(hù),加強(qiáng)“互聯(lián)網(wǎng)+”關(guān)鍵領(lǐng)域重要信息系統(tǒng)的安全保障。信息安全危害事件頻頻爆發(fā)。2015年5月,網(wǎng)易、支付寶、攜程、藝龍、知乎、Uber等多家知名企業(yè)出現(xiàn)接連宕機(jī),互聯(lián)網(wǎng)安全問題頻繁出現(xiàn)并集中爆發(fā),這為我國(guó)企業(yè)安全管理敲響了警鐘。企業(yè)處理突發(fā)事件能力較弱。網(wǎng)易、支付寶、攜程等互聯(lián)網(wǎng)企業(yè)宕機(jī)后,很長(zhǎng)時(shí)間才得以解決,表明企業(yè)在應(yīng)對(duì)安全威脅突發(fā)情況時(shí)的力不從心,也反映出企業(yè)對(duì)信息安全中的外部威脅難以進(jìn)行有效防范和及時(shí)應(yīng)對(duì)。目前,我國(guó)互聯(lián)網(wǎng)企業(yè)總體停留在安全保障、被動(dòng)防御階段,并未形成明確推進(jìn)信息安全的管理措施。企業(yè)對(duì)信息安全重視程度不夠。與發(fā)達(dá)國(guó)家相比,我國(guó)企業(yè)用于信息安全方面的投資還很低,尚未占到企業(yè)信息系統(tǒng)建設(shè)總成本的2%,而國(guó)外企業(yè)用于安全系統(tǒng)的投資占整個(gè)網(wǎng)絡(luò)建設(shè)投資的15%~20%。例如,2014年我國(guó)信息安全投資總額為22億美元,不及美國(guó)的3.2%,且企業(yè)投資重點(diǎn)集中在安全基礎(chǔ)設(shè)施建設(shè)、產(chǎn)品更新?lián)Q代等,對(duì)安全服務(wù)投入明顯不足。許多企業(yè)口頭上重視信息安全,但未付諸實(shí)踐。

二、構(gòu)筑企業(yè)安全三重防線

建設(shè)合理先進(jìn)的信息安全管理系統(tǒng)。企業(yè)應(yīng)重點(diǎn)加大對(duì)安全評(píng)估測(cè)評(píng)工具及技術(shù)、數(shù)據(jù)防泄露及敏感信息防護(hù)技術(shù)、大規(guī)模網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)和統(tǒng)一身份管理與認(rèn)證技術(shù)的研發(fā)投入,重點(diǎn)建設(shè)一個(gè)集風(fēng)險(xiǎn)評(píng)估、安全策略、防御體系、實(shí)時(shí)檢測(cè)、數(shù)據(jù)恢復(fù)、安全跟蹤和動(dòng)態(tài)調(diào)整為一體的信息安全管理系統(tǒng),加大信息安全管理的重視力度,從產(chǎn)品、技術(shù)、管理和制度多個(gè)維度來解決信息安全問題。建立信息安全風(fēng)險(xiǎn)防范和災(zāi)難應(yīng)對(duì)體系。建議企業(yè)參照金融行業(yè)的管理模式,主動(dòng)建立風(fēng)險(xiǎn)防范和災(zāi)難應(yīng)對(duì)體系,出臺(tái)具備面對(duì)突發(fā)狀況的應(yīng)急方案和數(shù)據(jù)備份雙重機(jī)制,并重點(diǎn)開展以下工作:完善、優(yōu)化企業(yè)內(nèi)部網(wǎng)絡(luò)架構(gòu),構(gòu)建全方位的數(shù)據(jù)泄露防護(hù)系統(tǒng),建立一體化的本地/異地備份與容災(zāi)體系,建立防火墻、防入侵及一體化安全網(wǎng)關(guān)解決方案,提高漏洞發(fā)現(xiàn)及應(yīng)急解決能力、減少高危漏洞帶來的危害。聯(lián)手產(chǎn)業(yè)鏈上下游共筑安全防線。信息安全已不只是企業(yè)本身所能掌控的,比如支付寶服務(wù)器故障的主因是杭州市蕭山區(qū)某地光纖被挖斷導(dǎo)致,這就需要電信運(yùn)營(yíng)商等加大對(duì)光纖光纜安全監(jiān)督。因此,互聯(lián)網(wǎng)企業(yè)應(yīng)與產(chǎn)業(yè)鏈上下游企業(yè)攜手,做到信息數(shù)據(jù)、用戶隱私、軟硬件產(chǎn)品等不同類型的安全問題與行業(yè)相對(duì)應(yīng),有效防范安全管理脫節(jié)、錯(cuò)位等問題發(fā)生。隨著互聯(lián)網(wǎng)與各行各業(yè)的深度融合,信息安全威脅事件出現(xiàn)常態(tài)化趨勢(shì)。企業(yè)應(yīng)緊密圍繞內(nèi)部和外部環(huán)境,加大信息安全管理工作力度,有效減免信息安全危機(jī)事件。

作者:宋德王 單位:賽迪智庫(kù)電子信息產(chǎn)業(yè)研究所