在信息化管理體系建立的過(guò)程中,,信息安全管理體制的建設(shè)成為其中的關(guān)鍵一環(huán),。信息化為我們提供了科學(xué),、便捷,、智能化的管理工具和手段,,但在實(shí)際的操作過(guò)程中卻出現(xiàn)了一系列問(wèn)題,,給信息的擁有者、管理者造成了巨大的困擾,,特別是對(duì)于企業(yè)來(lái)講,,必須通過(guò)提高管理者對(duì)這一問(wèn)題的認(rèn)識(shí),規(guī)范監(jiān)督使用者的操作行為,,用相應(yīng)的制度去約束成果共享,、數(shù)據(jù)共享、信息共享的行為,,杜絕數(shù)據(jù)信息使用的隨意性,。 我國(guó)企業(yè)信息安全管理存在的問(wèn)題 電子商務(wù)政務(wù)信息安全的問(wèn)題相對(duì)突出。目前對(duì)電子商務(wù)政務(wù)信息系統(tǒng)進(jìn)行侵害的主要方式有:偷竊,、分析,、冒充、篡改等,。我國(guó)企業(yè)的信息網(wǎng)絡(luò)系統(tǒng)存在著突出的安全隱患,,網(wǎng)絡(luò)犯罪與信息犯罪情況日益增多。近年,,金融機(jī)構(gòu)內(nèi)部利用計(jì)算機(jī)犯罪的個(gè)案大幅度增加,,機(jī)密文件在網(wǎng)上泄露的案件屢有發(fā)生,造成了重大的損失,。 我國(guó)企業(yè)網(wǎng)絡(luò)安全管理的主要問(wèn)題大致分為三類:一類是缺乏基本的企業(yè)防毒知識(shí),,購(gòu)買一些單機(jī)版防毒產(chǎn)品來(lái)防護(hù)整個(gè)企業(yè)網(wǎng)絡(luò)的安全,二是采購(gòu)了并不適合自身網(wǎng)絡(luò)系統(tǒng)的企業(yè)防毒產(chǎn)品,,因此留下許多安全隱患,,三是技術(shù)力量薄弱,雖然部署了企業(yè)防毒產(chǎn)品,,但是這些產(chǎn)品操作難度大,、使用復(fù)雜,最終導(dǎo)致很難全面發(fā)揮效用,,甚至成了擺設(shè),。 之所以出現(xiàn)這種現(xiàn)象,主要在于目前許多企業(yè)單位在防毒和安全產(chǎn)品的選擇上,,出于節(jié)約采購(gòu)費(fèi)用和使用成本等方面的考慮,,企業(yè)在選擇防毒和安全產(chǎn)品等方面沒(méi)有選擇到真正適合企業(yè)自身網(wǎng)絡(luò)環(huán)境的產(chǎn)品,而自身的技術(shù)操作水平往往又制約了軟件功能的發(fā)揮,。“三分技術(shù),,七分管理”是信息安全領(lǐng)域的至理名言。在采購(gòu)和使用安全產(chǎn)品時(shí),,既要重視產(chǎn)品的管理功能,、解決方案,還要關(guān)注部署和使用時(shí)對(duì)企業(yè)安全管理人員的技術(shù)水平的要求。 現(xiàn)有解決方案及存在問(wèn)題 為了抵御目前復(fù)雜的安全威脅,,多數(shù)《財(cái)富》(Fortune) 1000 強(qiáng)企業(yè)為此而付出的年均成本高達(dá)500萬(wàn)~1000萬(wàn)美元,。多數(shù)企業(yè)都是通過(guò)投資購(gòu)置防病毒軟件、防火墻,、公鑰基礎(chǔ)設(shè)施(PKI)以及入侵檢測(cè)系統(tǒng)(IDS),,由安全操作員監(jiān)控整個(gè)企業(yè)中的活動(dòng)來(lái)揭示網(wǎng)絡(luò)攻擊或漏洞而進(jìn)行外圍防護(hù)的。他們以手工方式來(lái)處理每臺(tái)安全設(shè)備中所包含的極大量信息,,并創(chuàng)建關(guān)于正在發(fā)生事件的全面視圖,。這些設(shè)備的數(shù)量每年都會(huì)大幅增加。外圍防御戰(zhàn)略的最顯著特征之一就在于安全基礎(chǔ)設(shè)施中每臺(tái)設(shè)備會(huì)產(chǎn)生極大量的事件數(shù)據(jù),。在一個(gè)一般的企業(yè)中,,一臺(tái)設(shè)備每一天都會(huì)產(chǎn)生多達(dá)10億字節(jié)的告警信息。同樣,,一個(gè)IDS檢測(cè)器每一天也可產(chǎn)生50多萬(wàn)條消息,。這就表明了安全管理的一個(gè)首要問(wèn)題:安全設(shè)備所產(chǎn)生的數(shù)據(jù)量實(shí)在太多,導(dǎo)致安全團(tuán)隊(duì)無(wú)法有效監(jiān)控,。 以安全分析方法為基礎(chǔ)建立法律分析系統(tǒng)的過(guò)程既耗費(fèi)時(shí)間又代價(jià)高昂,,而且還會(huì)占用本可用于其他更有價(jià)值的運(yùn)營(yíng)或安全活動(dòng)的專家資源。此外,,傳統(tǒng)的安全數(shù)據(jù)分析方法需要若干天或若干周來(lái)執(zhí)行,。到分析結(jié)束時(shí),網(wǎng)絡(luò)也許已經(jīng)遭到了若干次攻擊,,并可因數(shù)據(jù)盜竊,、客戶和合作伙伴失去服務(wù)或機(jī)構(gòu)生產(chǎn)效率降低等而導(dǎo)致重大損失。 不難看出,,企業(yè)信息化發(fā)展到一定階段,,建設(shè)重點(diǎn)就會(huì)從系統(tǒng)實(shí)施轉(zhuǎn)向以應(yīng)用提升為主,,運(yùn)維保障,、安全機(jī)制變得重要起來(lái),這時(shí)除了技術(shù)的保障以外,,制度保障越顯得重要,。信息管理制度是使信息系統(tǒng)正常運(yùn)行和推廣應(yīng)用公司正規(guī)化文件發(fā)布的規(guī)章制度,它涉及計(jì)算機(jī)系統(tǒng)的使用,、計(jì)算機(jī)機(jī)房的管理,、計(jì)算機(jī)網(wǎng)絡(luò)管理、信息系統(tǒng)的使用和推廣等,。它通過(guò)公司規(guī)章化和內(nèi)部法律化形式,,來(lái)建立信息系統(tǒng)穩(wěn)定、有效運(yùn)行的運(yùn)行機(jī)制。加強(qiáng)制度建設(shè)和科學(xué)規(guī)范的管理,,是信息系統(tǒng)能夠正常運(yùn)轉(zhuǎn),、有效應(yīng)用和推廣的保證。 從我國(guó)企業(yè)信息化工作發(fā)展的現(xiàn)狀看,,雖然各企業(yè)在信息管理方面都有一些初步制度,,但是由于這項(xiàng)工作在企業(yè)中并不受重視,且缺乏系統(tǒng)性研究,,面臨著很多問(wèn)題,,企業(yè)的信息管理制度的不完善,造成企業(yè)信息化發(fā)展不均衡和高失敗率高,,也是企業(yè)信息化不能深入開展的重要原因之一,。 企業(yè)信息化管理制度的內(nèi)容一般包括:制定本項(xiàng)制度的目的,制度適用范圍,、制度涉及的人,、部門的任務(wù)、職責(zé)以及要約束的具體內(nèi)容,,對(duì)違反和維護(hù)制度的人,、部門的獎(jiǎng)勵(lì)和懲罰的具體內(nèi)容等。企業(yè)信息化制度類型和有關(guān)內(nèi)容要根據(jù)企業(yè)的自身情況而設(shè)定,,要基本履蓋企業(yè)的信息管理內(nèi)容,。目前,企業(yè)的信息管理制度主要存在兩方面的問(wèn)題:一是企業(yè)信息化管理制度的內(nèi)容不完整,、制定的方法不科學(xué),,企業(yè)信息化制度制定工作缺乏科學(xué)、規(guī)范,、合理,、全面的方法。從總體上看,,目前企業(yè)信息化管理制度內(nèi)容,,側(cè)重硬件和網(wǎng)絡(luò)方面的制度管理,而缺乏對(duì)軟件,、IT流程管理,、IT資源的內(nèi)容管理,企業(yè)信息化制度不能科學(xué)全面地覆蓋各項(xiàng)信息管理工作,,造成信息管理上的漏洞,;二是企業(yè)信息化制度流于形式,缺乏必要的約束力,。由于企業(yè)信息化管理制度體系不健全,,企業(yè)信息化制度多數(shù)成為企業(yè)項(xiàng)目建設(shè)檔案保存或作為應(yīng)付對(duì)企業(yè)相關(guān)檢查的材料,,信息化制度只是形式,對(duì)于違反制度行為和相關(guān)人員的并沒(méi)有任何直接約束,,影響到企業(yè)信息化制度工作的權(quán)威性,,制約著企業(yè)信息化工作的深入開展。 今天,,信息安全已經(jīng)正式成為我國(guó)一個(gè)產(chǎn)業(yè),。目前,我國(guó)的信息安全產(chǎn)品市場(chǎng)規(guī)模已經(jīng)超過(guò)7億元人民幣,,專門從事信息安全產(chǎn)品生產(chǎn)的企業(yè)已超過(guò)1000家,。安全管理是現(xiàn)代企業(yè)管理的一個(gè)重要組成部分,隨著傳統(tǒng)企業(yè)向現(xiàn)代企業(yè)的轉(zhuǎn)型,,安全管理在企業(yè)的整體管理活動(dòng)中也將占據(jù)越來(lái)越重要的地位,。 附錄:最近2年媒體公開披露的部分企業(yè)信息危機(jī)案例 2008年3月,央視3·15晚會(huì)驚爆全國(guó)一半手機(jī)用戶信息泄露,。 2008年3月,,青島2.6萬(wàn)個(gè)車主私人信息泄露,包括家庭住址,、車牌號(hào),、車型等。 2007年9月,,美國(guó)交易公司的經(jīng)濟(jì)公司被披露,,有人入侵了他們其中一個(gè)系統(tǒng),竊取了超過(guò)6200萬(wàn)零售業(yè)和公共團(tuán)體用戶的合同信息,,諸如名稱,、地址和電話號(hào)碼。 2007年8月,,Monster.com大約有1600萬(wàn)求職者的姓名,、電子郵件地址、郵箱地址,、電話號(hào)碼和簡(jiǎn)歷ID通過(guò)訪問(wèn)了Monster.com的簡(jiǎn)歷數(shù)據(jù)庫(kù)泄露,。 2007年7月,富達(dá)國(guó)民信息服務(wù)公司一家子公司Certegy Check Services的資深數(shù)據(jù)庫(kù)管理員非法下載數(shù)據(jù)并將其出賣給經(jīng)紀(jì)人,,導(dǎo)致超過(guò)8500萬(wàn)個(gè)人信息泄露,。 2007年5月,,惠普把一封內(nèi)部電子郵件意外地發(fā)給了外部人員泄露了財(cái)務(wù)信息,,被迫在美國(guó)股票市場(chǎng)當(dāng)期開盤之前公布最新的財(cái)報(bào)指南。 2007年4月,,麥肯錫證實(shí)利用Google提供的搜索功能可以很容易得到麥肯錫公司內(nèi)部通信會(huì)議的撥號(hào)號(hào)碼和口令,。 2007年2月,,全美第二大的超市連鎖公司Supervalu被釣魚者偽造的兩家公司驗(yàn)證供應(yīng)商銀行賬戶的電子郵件所欺騙,向這兩個(gè)賬戶匯入1000萬(wàn)美元,。 2007年,,Gary Min在離職杜邦前5個(gè)月秘密下載和訪問(wèn)公司機(jī)密文件(價(jià)值約4億美元),此事件直至他投奔競(jìng)爭(zhēng)對(duì)手后才被披露,。 2007年,,曾擔(dān)任洛杉磯3G通訊公司安全顧問(wèn)的John Schiefer在25萬(wàn)臺(tái)pc上大規(guī)模運(yùn)行僵尸網(wǎng)絡(luò),并進(jìn)一步感染到其他的機(jī)器,。他還利用間諜軟件竊取銀行和Pay Pal賬戶信息,。 2007年,美國(guó)TJX零售公司發(fā)生4500多萬(wàn)客戶的信息卡及保密資料丟失事件,,導(dǎo)致客戶和銀行業(yè)對(duì)其提起訴訟,,最終TJX公司向客戶賠付1.01億美元,并承受嚴(yán)重的企業(yè)聲譽(yù)損失,。 更多資訊請(qǐng)關(guān)注銷售與市場(chǎng)微信公眾號(hào),。 責(zé)任編輯: 趙艷麗 責(zé)任校對(duì): 肖亞超 審核:徐昊晨 免責(zé)聲明:本網(wǎng)部分文章來(lái)源于第三方平臺(tái),不代表本網(wǎng)觀點(diǎn),,如有侵權(quán)請(qǐng)聯(lián)系我們刪除,! |
銷售與市場(chǎng)官方網(wǎng)站 ( 豫ICP備19000188號(hào)-5 )
GMT+8, 2024-12-25 11:16 , Processed in 0.047223 second(s), 19 queries .
Powered by 銷售與市場(chǎng)網(wǎng) 河南銷售與市場(chǎng)雜志社有限公司
© 1994-2021 sysyfmy.com