前言：本站為你精心整理了信息安全防范管理范文，希望能為你的創(chuàng)作提供參考價(jià)值，我們的客服老師可以幫助你提供個(gè)性化的參考范文，歡迎咨詢(xún)。

企業(yè)的信息安全，絕對(duì)不是一個(gè)人的戰(zhàn)斗，但是很多時(shí)候，中小企業(yè)卻為了信息安全做出一些本末倒置的動(dòng)作。面對(duì)企業(yè)里形形色色的信息安全規(guī)章，到底哪些是應(yīng)該摒棄的？企業(yè)的信息安全規(guī)則應(yīng)該如何確定？在信息化建設(shè)中哪些是“本”，哪些是“末”？這都是應(yīng)該仔細(xì)琢磨的問(wèn)題。

危機(jī)也許就在身邊

2005年6月，美國(guó)發(fā)生了一起4000萬(wàn)個(gè)信用卡賬戶(hù)資料被盜的事件，這是有史以來(lái)最嚴(yán)重的信息安全案件。隨著美國(guó)聯(lián)邦調(diào)查局介入調(diào)查，更多的細(xì)節(jié)被披露。原來(lái)，漏洞出在為萬(wàn)事達(dá)、維薩和美國(guó)運(yùn)通卡等主要信用卡進(jìn)行數(shù)據(jù)處理服務(wù)的“卡系統(tǒng)”公司，它的網(wǎng)絡(luò)上被惡意黑客植入了木馬程序。

“卡系統(tǒng)”公司負(fù)責(zé)審核商家傳來(lái)的消費(fèi)者信用卡號(hào)碼、有效期和驗(yàn)證碼等信息，審核后再傳送給銀行完成付款手續(xù)。這家公司最近處理的4000萬(wàn)信用卡賬戶(hù)的號(hào)碼和有效期等已被木馬程序“一覽無(wú)余”，其中包括2200萬(wàn)個(gè)維薩卡賬戶(hù)、1390萬(wàn)個(gè)萬(wàn)事達(dá)卡賬戶(hù)。安全專(zhuān)家確信：已有20萬(wàn)個(gè)賬戶(hù)的信息被轉(zhuǎn)移出去，可能被惡意黑客出售或盜用消費(fèi)，因此處于“高度危險(xiǎn)”狀態(tài)。

原來(lái)，是這家公司違反數(shù)據(jù)安全規(guī)定留下了隱患。萬(wàn)事達(dá)卡公司等信用卡發(fā)行機(jī)構(gòu)，要求“卡系統(tǒng)”公司處理的數(shù)據(jù)不得過(guò)夜保存，但這家公司為進(jìn)行市場(chǎng)研究，自己保存了所有經(jīng)手的賬戶(hù)信息，而且這些數(shù)據(jù)不加密、不保護(hù)就存儲(chǔ)在公司電腦中。而公司的網(wǎng)絡(luò)又建立在經(jīng)常暴露出安全漏洞的“WINDOWS2000”操作系統(tǒng)之上，也沒(méi)有及時(shí)更新升級(jí)。這都讓惡意黑客有機(jī)可乘。

而在這些技術(shù)性漏洞背后，暴露的是企業(yè)對(duì)信息安全的忽視和僥幸心理。

雖然上面的案例存在特殊性，但這種對(duì)信息安全的忽視和僥幸心理卻普遍存在于企業(yè)當(dāng)中，“我們只是個(gè)制造業(yè)或服務(wù)業(yè)的中小企業(yè)而已，黑客攻擊離自己還很遙遠(yuǎn)”，這正是許多企業(yè)的普遍心態(tài)。

也因?yàn)檫@種心態(tài)的普遍存在，世界上每分鐘都有兩個(gè)企業(yè)因?yàn)樾畔踩珕?wèn)題倒閉，有11個(gè)企業(yè)因?yàn)樾畔踩珕?wèn)題造成大約800多萬(wàn)美元的直接經(jīng)濟(jì)損失……也許出乎你的意料，但卻是事實(shí)。

隨處可見(jiàn)的安全隱患

一邊是安全防范意識(shí)的薄弱，另外一邊則是殘酷的事實(shí)。

敵人隨時(shí)都在瞄準(zhǔn)你的任何一個(gè)漏洞，一個(gè)細(xì)節(jié)的失誤，足以一分鐘毀滅你的公司，一個(gè)信息就可以左右企業(yè)的成敗。這個(gè)信息在自己手里是王牌，在對(duì)手手里是炸彈。

在如今的互聯(lián)網(wǎng)時(shí)代，全球范圍的網(wǎng)民數(shù)量近7億，而黑客網(wǎng)站高達(dá)20多萬(wàn)個(gè)。經(jīng)常出現(xiàn)的網(wǎng)絡(luò)安全事件，如：網(wǎng)頁(yè)篡改、網(wǎng)絡(luò)蠕蟲(chóng)、特洛伊木馬、計(jì)算機(jī)病毒等，嚴(yán)重干擾了網(wǎng)絡(luò)的正常運(yùn)作，一些大型的著名網(wǎng)站也經(jīng)常遭受影響。間諜軟件如今也從幾年前的邊緣角色走到前臺(tái)，成為威脅信息安全的又一大隱患。間諜軟件能在用戶(hù)覺(jué)察不到的情況下安裝到一臺(tái)電腦上，并秘密地收集信息。如果不特意加強(qiáng)數(shù)據(jù)安全措施，一旦被黑客盯上造成的損失就很慘重。

企業(yè)的信息安全危險(xiǎn)還絕不僅僅局限于外部攻擊，在信息系統(tǒng)遭到的攻擊中，一半以上是由公司自己的職員有意或無(wú)意引發(fā)的。

而貴企業(yè)的重要信息，可能在老板的大腦里、公司電腦里、一個(gè)打印稿的背面，甚至在一個(gè)垃圾筐里，隨時(shí)都有泄漏的可能。泄漏的結(jié)果輕則使公司蒙受損失，重則毀滅公司。

一個(gè)簡(jiǎn)單的例子：節(jié)約用紙是很多公司的好習(xí)慣，員工往往會(huì)以使用背面打印紙為榮。其實(shí)，將擁有這種習(xí)慣公司的“廢紙”收集在一起，你會(huì)發(fā)現(xiàn)打印、復(fù)印造成的廢紙所包含的公司機(jī)密竟然如此全面，連執(zhí)行副總都會(huì)覺(jué)得汗顏，因?yàn)閺U紙記載了公司里比他的工作日記都全面的內(nèi)容。類(lèi)似的例子還有很多。

當(dāng)然，信息也并不是一定與電腦有關(guān)。幾年前，一家著名的市場(chǎng)調(diào)查公司調(diào)查麥當(dāng)勞的產(chǎn)品銷(xiāo)售量，他們使用了痕跡調(diào)查方法，收集了當(dāng)天麥當(dāng)勞所有的垃圾，雇用了許多臨時(shí)工從麥當(dāng)勞店內(nèi)收集垃圾，包括包裝紙盒等。他們就是通過(guò)計(jì)算這些垃圾得出了麥當(dāng)勞每一種產(chǎn)品的銷(xiāo)售量，并且推算出賣(mài)當(dāng)勞下一年的銷(xiāo)售計(jì)劃。在這之后，麥當(dāng)勞門(mén)店內(nèi)的垃圾都要經(jīng)過(guò)自己的處理后才運(yùn)走。

同樣的事情也發(fā)生在雅芳和玫琳凱化妝品公司之間。雅芳就曾經(jīng)雇傭私人偵探收集了玫琳凱的丟棄物，并且進(jìn)一步破解了競(jìng)爭(zhēng)對(duì)手的新化妝品配方。對(duì)于玫琳凱來(lái)說(shuō)，它無(wú)法奪回這些珍貴的東西，因?yàn)檠欧贾皇茄芯苛怂睦?，這是完全合法的。

而你又如何能夠保證，你的競(jìng)爭(zhēng)對(duì)手不用同樣的方法來(lái)竊取你的信息？

不僅是技術(shù)問(wèn)題

你該怎么辦？采用技術(shù)手段，這是首先會(huì)想到的做法。

但信息安全遠(yuǎn)不是“技術(shù)”二字可以解決的問(wèn)題。技術(shù)固然重要，但首先即是加強(qiáng)防患意識(shí)，不要在技術(shù)上已近乎完美，卻因一時(shí)疏忽而滿(mǎn)盤(pán)皆輸。千萬(wàn)不要像有些公司的總裁，嚴(yán)格規(guī)定不允許任何員工隨意進(jìn)入自己的辦公室，但卻忘了防范清潔工；也不要像有些銀行完全有能力購(gòu)買(mǎi)故障率為千萬(wàn)分之一的服務(wù)器，卻讓過(guò)期的磁帶輕易流入二手市場(chǎng)；不要等到某一天公司的一個(gè)普通員工捧著一疊董事會(huì)的協(xié)議交給你，說(shuō)是從他身旁的打印機(jī)里取出來(lái)的；也不要等到競(jìng)爭(zhēng)對(duì)手對(duì)自己第二年的戰(zhàn)略規(guī)劃已了如指掌，只因花幾百元買(mǎi)通普通員工輕易取走了你上一年的人事變動(dòng)情況表，才恍然大悟。

“我們的加密方針是所有的數(shù)據(jù)都必須用128位密鑰加密”某券商網(wǎng)絡(luò)部的經(jīng)理得意地說(shuō)。但是，就在他這么說(shuō)的時(shí)候，一個(gè)敞開(kāi)辦公的區(qū)域，一臺(tái)已經(jīng)打開(kāi)的電腦前卻一個(gè)人都沒(méi)有，如果誰(shuí)想要在里面動(dòng)點(diǎn)手腳可以說(shuō)連黑客知識(shí)都免了。

一位知名的CIO曾經(jīng)提出過(guò)保衛(wèi)信息安全的四大要素：技術(shù)、制度、流程和人。合適的標(biāo)準(zhǔn)、完善的程序、優(yōu)秀的執(zhí)行團(tuán)隊(duì)，是一個(gè)企業(yè)信息安全的重要保障。技術(shù)只是基礎(chǔ)保障，技術(shù)不等于全部，很多問(wèn)題不是裝一個(gè)防火墻或者一個(gè)IDS就能解決的。在組織架構(gòu)上，這家企業(yè)有兩個(gè)小組：一是規(guī)模較小的一組人，專(zhuān)門(mén)制定安全政策和規(guī)則，另外一組是負(fù)責(zé)執(zhí)行的員工，分散在軟件、硬件以及網(wǎng)絡(luò)等相應(yīng)部門(mén)。一旦遇到緊急情況，散落在各地的應(yīng)急響應(yīng)小組能在最短時(shí)間內(nèi)集合起來(lái)。

任何問(wèn)題歸根到底都是人的因素，加強(qiáng)對(duì)員工的管理，對(duì)企業(yè)管理者來(lái)說(shuō)比單純購(gòu)買(mǎi)產(chǎn)品或者制定規(guī)則重要得多。很多企業(yè)信息安全措施部署得很全面，但只要一個(gè)員工不按規(guī)定辦事，機(jī)密很有可能就這樣流出。

所以我們認(rèn)為：信息安全＝先進(jìn)技術(shù)＋防患意識(shí)＋完美流程＋嚴(yán)格的制度＋優(yōu)秀的執(zhí)行團(tuán)隊(duì)＋法律保障。