1、 前言1.1 研究背景及意義企業互聯網信息系統是企業信息化建設的基礎之一，目前在企業經營管理中起著重要的作用。網絡技術的進步，企業間的信息傳播和交流更加方便，但也帶來了無法回避的問題。企業的互聯網信息系統因為要依靠公共通信網，所以企業信息傳輸過程中容易被竊聽，將導致企業難以預測的損失，所以信息安全管理問題非常需要。本文將對企業信息安全管理現狀進行深度分析，針對面臨的問題提出解決對策，幫助建設正確的信息安全管理制度及評價指標，對企業信息安全管理具有重要理論指導的意義。1.2 研究內容本文主要研究在互聯網普及的背景下，企業的信息安全管理問題，其中以M公司為例，對其目前存在的信息安全風險進行分析。本

2、文的第一個部分為前言，對本文的研究背景及意義，以及國內外的研究現狀進行闡述。第二個部分為相關理論綜述，對我國目前企業信息管理存在的問題、風險以及原因進行分析。第三個部分以M公司為例，對其信息安全管理存在的問題進行分析。第四個部分根據前一個部分的分析研究，提出具有針對性的建議。1.3 國內外研究現狀1.3.1 國內研究現狀我國制定信息安全標準化的工作時間短，根據中國信息安全標準的發展過程，大體上可以分為以下三個階段。1989年通過中國計算機學會批準，我國成立中國計算機學會計算機安全專門委員會，之后我國信息安全業務在國家層面正式啟動。中國計算機學會計算機安全專門委員會在國家公安部第11屆時期，但是

3、我國對計算機信息安全的法律法規和安全基準沒有具體頒布。信息安全主要是簡單預防計算機病毒和計算機犯罪預防。從20世紀80年代末到90年代末，計算機技術的不斷發展和世界先進國家對計算機信息安全技術的持續研究開發，我們政府也在信息化技術和國家信息安全安全的發展中不斷發展，世界先進國家信息技術的持續研究開發使得我國信息安全管理工作變得緊迫。中華人民共和國公安部1994年頒布的中華人民共和國計算機信息系統安全保護條例是我國第一個計算機安全方面的法律法規。這期間不僅是我國政府，許多企業、工作單位也對我國部門信息安全工作表示支持。為了擴大企業信息安全管理相關工作，政府采取了投入資金、設立專業信息安全管理部門

4、等措施了。同時，部分大學和科學研究機構也設立了專門的計算機信息安全大學課程和科學研究課程，并培養專門的信息安全管理和研究人才。進入21世紀后，相關信息安全法律、法規的建設逐漸完善。全國信息化標準制定委員會和所屬機關以國家質量技術監督國的指導為前提完成了我國的信息安全標準方面的大量業務，確立了信息系統的安全技術標準，安全管理方面參考ISO及CC標準制定了相關標準。信息系統安全性評價規范及測驗規范、信息安全服務、信息安全工程管理等標準也進入日程，我國信息安全標準制度也逐漸形成。但國內的信息安全標準制度的框架建設、信息安全管理領域的研究仍在國際水平上略顯不足。1.3.2 國外研究現狀各國政府機關積極

5、參與信息安全研究，實施了一系列標準指導信息安全管理工作。1993年6月、美國、英國、法國、德國等5國的國家信息安全局在自己的信息安全基礎上進行了工作交流。1993年6月、美國國家安全局、美國國家技術標準研究所規范和標準提出了綜合、信息技術安全評價通用準則，更加全面形成了框架，確定了國際標準。在這個時期，英國的信息安全研究重點在管理上。1995年英國信息安全研究將重點放在整體管理中。1995年，英國標準BS799年信息安全管理制度國際主流的信息安全管理制度標準IS 017999是國際標準化機構（ISO）在2000年12月參照了ISO7999。1996年美國國防部首次提出了信息安全保障理念，并接受

6、了全世界信息安全領域。1998年5月美國國家安全局制定的國家安全局制定的。信息保障技術框架指出人、技術和操作是信息安全的三個核心要素。開始意識到管理的重要性，把信息系統從技術安全上擴展到管理技術，通過信息系統對信息安全進行全面保障。進入21世紀，特別是從2008年開始美國引導的世界各國把信息安全問題提升為國家安全戰略。在國外信息安全發展過程中，各個國家都把國家信息安全作為國家安全的重要組成部分，不單純地研究信息安全技術，更重視信息安全的作用，在信息安全理論研究中積極推進了信息安全管理標準。2 企業信息安全管理現狀2.1 企業的信息安全問題由于安全管理觀念不足，所以面臨多種信息管理風險，許多可以

7、利用的系統漏洞普遍存在于企業的信息系統中。根據分析，這些漏洞可能會有企業的組織構成、運行的系統、安全戰略、管理制度、信息資產本身的問題。分析其原因是為了尋找必須保護的信息資產而存在的弱點，降低安全風險發生可能性。要避免風險的發生，需要根據安全管理的薄弱點和上述安全問題進行分析。通常企業的信息安全風險有以下幾種。2.1.1 硬件設備問題主要在電子設備、媒體等硬件方面可能有某些問題和弱點，這種漏洞經常會引起物理安全方面的風險。2.1.2 信息系統問題主要是在軟件規范、軟件開發和軟件配置過程中發生失誤，這種失誤面臨特殊情況時，軟件漏洞的安全就出現了問題。2.1.3 信息系統運行環境問題辦公室、電力、

8、照明、濕氣、溫度控制、防火、防盜、電磁放射、阻礙等環境設施、大廈建筑結構及布線等，外部傳輸媒體、公共網絡地區等存在的問題和缺陷。2.1.4 信息安全策略問題保護信息系統安全的法律條文、政策法規、管理制度及安全指導方針的不足、系統安全戰略具有漏洞、數據信息安全政策漏洞及人員安全戰略漏洞等方面。2.1.5 信息管理問題信息系統管理由于日常安全管理經驗不足和應急預防措施ISO/IEC2701信息安全管理制度的標準存在管理漏洞、信息資產控制管理漏洞、機構安全管理漏洞、環境管理漏洞、人力安全管理漏洞等多種問題。通過漏洞可以知道信息系統的缺陷，雖然不會對信息系統造成任何損傷，但在這個系統中存在的缺陷或問題

9、可以被利用對企業造成傷害。如果沒有漏洞就難以對信息系統產生威脅，因此在企業日常信息安全管理中，必須盡量避免產生漏洞。2.2 企業的信息安全風險企業的信息安全風險是由資源和規模限制帶來的信息安全管理問題造成的。因為管理、資金、人才、技術方面的局限性，企業的安全問題一直很難有效地解決。嚴格規范安全管理制度是企業的信息安全管理的主要方式，但是嚴重的信息安全管理問題仍然無法避免2.2.1 物理安全風險物理安全風險通常是環境事故、供給故障、人工操作失誤等物理原因導致的計算機網絡癱瘓或業務系統中斷。這是企業網絡和信息系統中最常見的類型，雖然企業的數據可能會造成某種損傷，但企業的機密信息通常不會被截取，網絡

10、系統也比較好恢復正常。2.2.2 網絡安全風險網絡風險一般是企業的網絡長期沒有有效的防范體制，因此很難防止外部網絡的侵入和惡意攻擊產生的安全風險。從外部網絡進行病毒攻擊會導致企業網絡崩潰，對企業的業務造成難以彌補的損失。2.2.3 系統安全風險系統安全風險是企業計算機終端系統的安全設置未能達成，由于防護力不強，惡意代碼和病毒能侵入系統和數據，導致安全風險很大。2.2.4 應用安全風險應用安全風險在企業信息數據的處理、操作中普遍存在。網絡技術在持續進步的背景下，網絡應用系統也處于不斷改變的狀態。這就要求企業根據時間定期使用數據、訪問、修訂等系統，盡量減少應用風險。2.2.5 管理安全的風險擁有成

11、熟安全管理制度是保障企業網絡和信息安全的核心，但很多企業只注重公司的利益和發展，很少在意信息安全管理，導致非常有可能發生嚴重的網絡信息安全事件。企業通常可以采取以下措施避免管理安全風險：設立網絡安全管理制度相關負責人，并保證制度的順利實施、提高相關工作人員的技術水平和安全意識，為了避免操作錯誤，加強公司的網絡安全管理理念等。3 M公司信息安全管理現狀3.1 M公司簡介M公司主要經營技術開發、制造業務，涉及電話網絡設施、聲音、數據、視頻、媒體通訊服務、電信服務業務等。目前該企業的工廠共有5個，企業的顧客達到80多萬人，公司結構合理，擁有技術先進和功能強的通信網。由于M公司目前業務面寬，相關部門較

12、多，公司分為生產中心和銷售中心，每個分公司的內部有自己的管理制度。人員方面包括企業所有者、企業人力資源部門、設計部門、生產部門、銷售部門。隨著信息技術發展，企業內部管理層面對信息安全的影響日益增大，顧客隱私信息安全受到威嚴，有關國家網絡安全和共用工作領域的安全問題越來越嚴重。3.2 信息安全現狀2017年上半年開始傳播勒索病毒之后，病毒問題再次成為人們的熱烈討論問題之一，因為威脅病毒的影響，人們再次對網絡安全進行了重視。通過統計，2016年下半年到2017年上半年，被惡意軟件感染信息系統的用戶數量呈現上升趨勢，主要是全球范圍的非法組織為了實現個人或其他政治經濟的利益，推進了網絡襲擊。另一個原因

13、是家族病毒，因為家庭病毒的巨大變種數量也不斷增加，網絡病毒的殘害無法避免。2017年下半年開始到2018年初，企業有兩個服務器被病毒感染，癱瘓計算機20多臺，損失文件難以計數。目前病毒的主要傳播方式是網絡驅動、USB等移動裝置。破壞性最大的是Pety，覆蓋或損壞計算機系統，感染的計算機可能完全癱瘓。傳播途徑從一開始就通過更新軟件供應程序，感染所有軟件的終端，在導致范圍傳播攻擊時，首先在感染某軟件時，利用釣魚信息下載惡意程序，下載后感染的病毒軟件，將MBR及部分磁盤扇區損壞后，系統將被替換，系統重啟后，立刻運行多重代碼的惡意代碼，感染范圍內的設備被感染。這種網絡病毒對企業正常運行造成嚴重影響，大

14、多數企業產生難以預計的損失。Petya的攻擊者可以輕松加入任意一個系統盜取軟件代碼。3.3 信息安全問題3.3.1 各部門安全管理職責不明信息安全的根本目的是保護公司生產運營的安全，管理范圍是購買、生產、銷售、庫存、財務等企業的日常工作內容，單純設立信息中心一個部門的力量不能實現公司信息安全目標。信息安全管理常常被認為與其他部門的關系不大。對于這種情況，從制度角度來看，在信息安全管理中沒有明確職責，在實際執行中，各個部門的安全管理責任也沒有說明。因此，對于這種情況，在信息安全管理方面需要更加明確權責。信息安全管理和控制是以主要信息為中心進行的，但由于信息安全管理無法直接向公司帶來經濟利益，公司

15、高層對此并不積極。公司各行政和業務部認為信息安全是信息中心管理的。但是信息管理中心得到的協助和支持力度不足，經常在信息安全管理業務中途被廢除，導致信息安全問題很難解決。3.3.2 安全操作規范不健全近年來，信息化和工業化快速融合，大量業務通過信息系統完成，公司缺乏一些信息系統操作手冊和一些安全操作規范，缺乏安全操作規范就無法指導員工的所有操作行為，例如哪些操作人員怎么做才安全，容易導致信息安全事件。比如，在內外網文件交換中，公司明確規定安全交換方式禁止同時使用移動內外存儲設備混合，而一些員工為了方便內部網絡數據交換，使用幾臺容易混淆的網絡計算機，在網絡上下載文件的同時傳播了病毒，將公司內部網絡

16、中的重要信息泄露在網上。因此日常系統運營中，信息系統設置等重大影響的操作沒有制定明確的流程和操作規范，公司員工往往會由于錯誤操作而產生無法預測的結果。3.3.3 信息資產管理混亂在10多年的快速發展中，M公司實行了“技術差異化”的發展戰略，特別是推進信息化和工業化融合，在智能制造的過程中，利用信息管理企業經營管理活動，實現企業內部外部信息的共享和有效利用。關鍵技術為主的核心信息形成了企業重要資產，如果這個核心資產泄露的話，會導致公司難以預測的損失，這些信息資產的安全管理是信息安全管理的重要核心。但是這個核心信息資產在儲藏、使用、傳播、交流過程中完全有可能在任何狀態下因為沒有安全控制措施導致產生

17、了問題。比如，包含核心專利信息的設計圖在生成和傳播過程中高度依賴于網絡和各種信息處理終端，在設計、生產等部門間流傳，如果沒有明確的安全管理制度、沒有泄漏處理措施，就會有特別意圖的人窺探。3.3.4 信息安全應急事件應對不利隨著企業的信息化水平越高，對信息系統的依賴越大，信息安全風險就越高，信息安全環境越來越惡劣，如今企業面臨信息安全事件時不知道如何處理。而信息安全事件越來越頻繁發生對應急處理能力提出了更高的要求。但是企業信息安全處理機構缺乏，應急措施不明確，工作人員對開發、生產、銷售、急救的經驗不足。在發生信息安全事件時，如果就只有信息中心技術員們慌慌張張地處理，其他部門的多數人員不關心，甚至

18、一些人都不知道該怎么做，或是其他人采取的緊急措施反而阻礙應急處理工作，導致緊急措施沒有立刻進行。3.3.5 信息安全控制技術水平較低經過10多年的發展，M公司的人員越來越多，網絡使用次數越來越多，雖然M公司也師徒利用一些技術手段保障信息安全，但通過信息安全風險評估發現網絡管理、主機管理、應用管理中存在的安全風險也不少。同時信息安全技術產品在警告、保護、監督、急救應答方面沒有形成相互補充，孤立了各個設備的申報信息，無法形成有效的信息安全技術保護屏障。4 M公司信息安全管理優化方案4.1 完善組織結構明確職責以信息安全組織構成、信息安全管理為目的強化組織領導、管理公司內部信息安全工作以確保公司業務

19、發展戰略需求。對國內外的信息管理具體情況進行參考，互聯網安全和信息化工作指導組和信息安全部立刻建立。對公司各有關部門信息安全管理職位的責任明確說明，對信息安全管理工作負責。建立互聯網安全和信息化小組公司信息安全管理的負責人擔任組長，要求各部門總經理參加虛擬安全和信息化指導小組、并設立互聯網及信息安全管理的決策部門。網絡安全和信息化領導小組宇公司信息安全管理小組全面負責公司信息安全工作。按照國家法律法規要求及公司信息安全總體戰略，堅持設立的管理規范及技術標準進行管理，首先要確定公司安全部門的職責，指導信息安全相關部門進行管理工作，此外，還要負責推進網絡安全工作、信息化總體設計，重要的事件及時協調

20、。信息安全部門構成信息安全部門在公司的安全管理行列中，不屬于信息中心管理，在互聯網安全和信息化工作指導小組的管理下親自執行具體的安全業務。信息安全部門要建立信息安全管理制度，在公司內部開展信息安全管理制度，并明確落實到個人身上。要明確的內容有：所有必要的信息安全管理規定、制度及實施指南等；信息安全相關實施方法、程序、風險評價、資產分類方法等；自發地實施部門內部的信息安全措施，進行安全意識教育等；審查信息化建設項目規劃及設計的安全部分，并監督施行；審查關于信息安全戰略是否順利；審查、監督、調整、信息安全相關事件的評價和反饋；領導機構討論信息安全方面的決定；根據信息安全管理制度的要求，定期向上級主

21、管和信息安全指導組報告；明確各部門的職責；公司各部門經理負責本部門信息安全責任，制定信息保護措施，提供信息安全支援，監督部門內各活動信息管理制度是否符合要求。4.2 建立信息分類保護機制在信息化過程中形成了數量眾多、種類豐富的信息資產。公司中信息資產具有不同的價值，所有信息資產都無法適用同樣的安全保護措施，因此要根據信息資產的價值和重要性進行分類保護。如果要保護這些信息資產首先可以了解該信息資產信息，了解如何保護信息資產后進行分類保護。在信息分類的機制中只會顯示企業所擁有的信息資產的價值和重要性，并顯示相應的安全等級別，并只有有合法權限的人才能訪問。通過綜合分類，提高經濟成本，還可以通過適當的

22、安全控制措施來保護信息資產。對企業來說，可以分為公開、敏感、重要、機密幾個級別。4.3 建立信息安全事件應急響應機制信息安全應急反應機制包括防止各種信息安全事故發生的準備和信息安全事件等緊急事件發生后采取的措施，明確說明如何持續處理重要工作等。可以參考中央發表的國家網絡安全事件急救方案的警報、急救處理、調查和評估幾個階段階段作為“信息安全事件應急方案”的適用范圍，為信息安全事件分級標準、急救組織工作原則、處理過程制定保障措施等，在實際的運用中還是要根據具體情況，明確具體的安全事件的處理方法。在信息安全事件中，應急應急應答總案及各項預案后，培養相關人員，每年至少要進行應急訓練。通過模擬信息安全事

23、件，演員們掌握急救措施，提高應急處理能力的話，信息安全事態發生的話，會采取正確的措施。可以的。練習結束后及時總結，修改禮儀中不合理的地方。4.4 優化信息技術管理在信息安全管理事件發生后，要進行安全風險評估和反饋，然后指定為了降低安全風險所需的技術管理優化戰略，以降低信息系統的整體風險，建議如下：物理安全要求需要進行信息系統操作的員工必須進行身份注冊，在信息管理部門設置視頻監督設備，對公司出入的人員進行全面監測。網絡安全首先要在網絡邊界加強入侵檢查。在網絡邊界部署侵犯檢查設施，例如掃描端口，暴力入侵，木馬后門、緩沖區溢出、拒絕服務、網絡連擊和IP攻擊等網絡攻擊行為。如果發生攻擊行為的話，立刻明

24、確入侵范圍、攻擊種類、目的，便于及時檢測和修復等。其次是網絡防火墻相關的內容。目前M公司防火墻的訪問控制制度限制到網絡階段級別，無法更細致的存取控制策略，建議制定防火墻管理者登錄范圍。另外，還建議制定有關網絡數據的安全防護戰略。設定后，通過網絡制動器嚴格控制內外數據交互。此外，嚴格控制系統之間的臨近資源。在核心交換機中，根據服務器的其他功能劃分虛擬網絡（VLAN）并通過訪問控制目錄（ACL）嚴格控制VLAN之間的訪問。最后，加強所有設備的自主管理。在遠程管理網絡和安全設備時，以加密方式遠程限制各網絡及安全設備的管理員注冊地址。主機安全主機安全包括服務器的賬戶安全政策的強化。服務器運營系統和數據

25、庫系統的管理員用戶在基本賬戶中嚴格進行賬戶審議政策。提高口令復雜度，以及登錄失敗預警，這樣就無法發生安全事件。啟用服務器運營系統和數據庫系統的基本管理者限制。從端口服務、文件訪問權限等方面，加強服務器運營系統的安全操作系統，加強系統操作系統和數據庫系統的安全監查功能，并對系統操作情況以及各種管理人員的操作行為進行審查記錄。此外，所有服務器安裝病毒查殺軟件。一些服務器沒有安裝病毒軟件，導致攻擊者安裝病毒軟件的服務器無法檢測出病毒。因此要在所有服務器上安裝病毒查殺軟件，及時更新病毒存儲庫。通過安裝服務器補丁的方式，對服務器運營系統和數據庫進行升級，保證所有運營體制和數據庫系統的補丁是最新的狀態。應

26、用安全應用系統的安全要求使用過程中做到4個必需：業務必須遵守安全規定；系統開發必須在組織提前進行安全審查；系統上線前必須完成修正和評價工作；安全程序開發應用系統的安全功能以及應用系統的信息復雜度檢查、登錄失敗處理、安全審查及數據保密措施等功能必須完善。開展應用系統用戶和權限管理工作。根據人員變動情況，按時登錄賬戶進行管理工作，按照最低權限的工作人員和應用系統和數據訪問權限，嚴格遵守規定的授權標準、禁止無資格的信息訪問、數據查詢及使用，對應用系統及時進行檢查，修復、完善。4.5 定期開展風險評估信息安全管理是持續動態的過程，M公司不能只重視日常工作。隨著信息技術不斷進步，企業不斷發展，企業面臨的

27、信息安全風險不斷變化，信息安全管理制度也需要持續改善。信息安全風險評估是信息安全管理制度建設的開始和基礎。通過信息安全評估，可以發現企業信息安全管理工作存在的風險點，能夠找到許多應對風險的方法。M公司每年開展一次信息安全評價，找出企業信息安全管理的主要風險，持續改善和優化信息安全管理制度，以適應不斷變化的內外環境。5 結論本文主要使用企業信息安全管理制度理論進行分析，通過分析M公司實際的信息系統安全管理的實際狀況，對現有信息安全管理現狀進行分析，使用定性分析的方法，積極采用案例研究，確定適合作為代表的企業信息安全管理制度進行研究，并針對現存問題提出相應的解決措施。本文通過深入剖析以M公司為代表的型企業在信息安全方面的管理現狀，探究企業在信息安全管理制度及技術層面存在的一些隱患和風險，把信息安全理論當作指導思想，結合近年發生的國內外信息安全管理問題，學習優秀企業的信息安全管理經驗，結合最新出現的世界頂尖信息安全技術，針對性地提出信息安全提升解決方案，通過一系列的信息安全管理制度、戰略、手段、系統的實施，解決以M公司為代表的企業目前存在的信息安全管理問題，為其他企業量身定制一套比較完善的信息安全管理