摘 要: 随着企业信息化建设的不断发展, 制造生产型企业的工艺更新、技术改造能力不断加强。其生产工艺或技术改造过程中会涉及到大量图纸和文档信息, 如果发生资料、信息丢失会对企业造成不可估量的损失。原来依靠人员监督及制度约束的管理手段已经与现代信息化技术发展严重脱节。所以, 通过信息技术途径来解决企业的信息安全问题已经迫在眉睫。尤其是一些以研发设计为主的企业对信息的保护就显得尤为重要。本文试对目前常见的企业安全管理系统进行探讨。
关键词: 信息安全; 保密管理; 涉密文件; 企业管理;
一、背景
现在计算机技术、网络技术、通信技术、云计算等先进的科学技术已经渗透或普及到我们工作和生活的各个领域。企业为了提高综合竞争力, 形成快速的市场反应能力, 都在融入互联网的大环境来实现信息共享、技术交流的目的。尤其是在大数据环境下, 在网络开放的办公环境, 企业的大多资料都未加密保存, 就好像在浩瀚的网络里“裸奔”。因此, 国内外的大型企业都在陆续进行企业信息化建设, 随着信息化建设的不断深入, 企业安全信息管理系统的架构也随之形成。这既是企业发展的需要, 也是企业安全信息管理在向专业化、系统化的方向发展。
二、企业信息安全分析
(一) 文档资料风险
在我们平时工作中形成的设计文件、图纸、合同等资料都是以未加密的形式保存于工作电脑, 文档的安全性主要依靠企业网络防火墙;资料在同事之间、母子公司之间的传输未被做任何形式的处理, 真正意义上的“裸奔”, 存在严重的安全隐患;企业内部人员外出交流考察将公司技术资料带出后在外部WLAN环境下使用;资料之间相互复制拷贝于移动存储设备后, 在非本公司计算机使用等。
(二) 安全责任追踪
现有的安全管理是依靠人员监督或者企业制度措施的制约, 存在很大空间的人为操作因素, 如出现资料丢失或数据泄露, 很难在很短的时间内将风险降到最低。更不能准确判断造成信息丢失的原因为主动泄密还是网络攻击或其他类型的被动泄密。
(三) 人员因素
企业人员离职或者调离岗位将资料带离;用他人账号的登录故意窃取重要资料;通过蓝牙、红外等无线传输介质泄露涉密资料;通过邮箱、社交工具等网络传播重要资料等因素都是造成企业资料丢失, 都是保密资料泄露的重要途径和环节。
(四) 企业在信息安全管理中普遍存在的问题
缺乏法律法规的专业知识, 法律意识淡薄, 没有形成约束力;安全管理缺乏系统性的管理, 没有做事先的预防, 基本都是出现问题之后才去想办法补救, 未形成系统性的动态管理制度;重视安全技术, 忽视安全管理, 愿意在防火墙、安全管理系统上投资, 而没有建立相应的管理制度以及管理流程;缺乏专业的信息安全管理人员, 基本都是有其他专业人员代管;企业整体信息安全意识不强, 对员工的教育和培训力度不够。
三、企业信息安全管理
(一) 硬件配置及网络架构
企业在建立信息安全管理系统时在服务器选择上应选择双机冗余, 以防在异常情况下出现系统停止工作的状态, 能做出快速反应, 不影响正常的工作开展;根据企业资料周期性形成情况选择容量较大一些的磁盘存储, 存储周期尽可能较长, 方便后期管理数据查询。
(二) 权限管理
企业应先根据自身的组织架构划分出层次不同的权限范围, 市场上现有的安全信息管理软件都可以针对不同管理权限选择对保密文件的查看、传输、下载等功能的配置。由文件生成口可以对文件进行密级处理, 这样企业内部其他人根据自己所授权限进行允许操作。企业应根据自己的实际情况建立集中式的数据库, 方便企业人员核心数据经过分级授权管理后, 所有权限信息均集中存储在后台数据库中。经授权的用户访问授权数据时, 需实时认证权限信息;文档管理员可对集中化权限信息及权限文档进行统一集中管控, 并可实现权限变更、权限归档、文档销毁等管理功能。
(三) 文件资料管理
各软件服务商会根据已定好的写密程序对企业新生成的文件进行加密处理, 随机概率为几万甚至几十万分之一。从文件开始生成就做了加密处理, 在涉密环境内部可以透明使用, 带离之后文件即不可使用。当然, 也可以根据自己的实际需要自主性、选择性的加密处理。需要外发的文件, 可以选择设置只读、到期自动销毁等功能进行处理, 同时配合密码口令及Key共同完成解密处理。
(四) 工作计算机功能处理
为了防止个人在工作当中采取截屏、剪贴、拍照、转发、打印等操作, 造成文件人为泄露。企业在装备信息安全管理系统时应选择在计算机的驱动层, 这样了可以通过硬件管理USB、VGA等接口, 也可以对截屏、复制、剪贴等功能进行控制。当然针对拍照、录像等泄密途径, 可以选择以个人信息或计算机地址作为水印添加, 以备后期的泄密追踪。对于便携式的笔记本、平板电脑等移动式办公设备, 可以集中管理, 如需外带则进行时限和权限上的。
(五) 周期性管理
通过建立集中的数据管理库, 对企业内部生成的任何格式的所有文件进行备份管理。通过管理软件进行周期性扫描和强制备份, 这样可以防止恶意粉碎和删除。数据库在选择时, 也应是互相备份, 防止出现异常情况, 可以保证数据还原。
(六) 其他
企业在选择安全信息管理软件时应选择类似于360、瑞星、卡巴斯基等品牌的杀毒软件配合应用。这样可以防止一些恶意的木马病毒攻击。如需要本企业之外的合作单位进行保密文件传输交流, 就需要考虑合作单位使用远程授权或通过VPN管理等手段来实现安全信息管理, 保证合作单位与本企业所使用的软件管理系统为同一产品类型, 即同一种加密、解密程序。这样才能保证保密文件的交流传输顺畅进行。
四、结语
企业在提高信息化建设的同时, 必须强化企业的信息安全意识。充分认识到在互联网络环境、大数据时代可能遭受的安全风险。加强企业安全信息教育, 注重过程管理, 综合运用法律、制度、技术、管理等手段进行全方位、系统化规划考虑, 来建立一个可靠、牢固的栅栏, 真正做到事前预防、事中可控、事后可查。
参考文献
[1]唐冯慧.信息安全管理现状及策略研究[J].科技风, 2012 (13) .
[2] 肖坤.浅议网络环境下的企业信息化过程中的应用[J].标准科学, 2010 (8) :20-23.
[3]任玖涛.一种电子文档安全管理系统的设计与实现[D].电子科技大学, 2015.
