企业内部信息管理及安全规划.doc

企业内部信息管理及安全规划道家修炼有大小周天的理论，尽管阐述不同，但一般通俗的理解，大周天是人与天地的沟通，小周天则是人与自身的沟通，在如今的信息社会，越来越多的中小企业引进了信息管理系统，信息化将企业带入到整个信息时代的大周天之中，而同时，信息化也让企业开始面对因这种变化而对自身所产生的影响，这就是不可避免的信息安全安全问题，如何管理及规划企业自身的信息安全，是当今中小企业追求永续发展的修炼之路上，必须面对并且逾越的小周天。 ? ?? ?越来越多的中小企业引入了大量的软、硬件系统来提高企业运行效率，随着企业信息化改造工作的完成，企业进入了一个崭新的信息化时代。在当今这个高速发展、激烈竞争的时代，这些软、硬件系统是否可以安全可靠的运行，中小企业的信息是否可以被安全有效的保护往往成为决定企业成败的关键。因而，企业通常会投入大量的资金来保证这些系统的可靠运行。例如，企业在信息化的过程中通常会有“防火墙”、“杀毒软件”等保护企业信息安全。这些软、硬件的购买也会在很大程度上帮助企业抵御来自外部的威胁。然而，这些软硬件的防护措施对于来自企业内部的信息破坏者的作用却并不是最理想的。一份调查也称，大部分IT系统故障与企业内部人员有关，而非外部计算机入侵者所为。尽管许多中小企业制定了相应制度，保护客户记录及其他专有信息，但随着计算机与互联网的使用不断增加，企业面临许多新的攻击威胁，包括内部和外部。这种情况严重影响了企业的客户信誉，品牌公信力和企业形象，甚至业务本身也面临风险。安全事件成为发展绊脚石? ? 长期以来, 人们把信息安全理解为对信息的机密性、完整性和可获性的保护, 这固然是对的, 但这个观念是在二十多年前主机时代形成的。当时人们需要保护的是设在专用机房内的主机以及数据的安全性, 因此它是面向单机、面向数据的。八十年代进入了微机和局域网时代, 计算机已从专用机房内解放到分散的办公桌面乃至家庭, 由于它的用户/网络结构比较简单、对称,所以既要依靠技术措施保护,还要制定人人必须遵守的规定。因此, 这个时代的信息安全是面向网管、面向规约的。九十年代进入了互联网时代, 每个用户有都可以联接、使用乃至控制散布在世界上各个角落的上网计算机, 因此互联网的信息安全内容更多, 更为强调面向连接、面向用户(“人”)。因为在这个崭新的世界里, 人与计算机的关系发生了质的变化。? ?在这个复杂巨系统中, “人”以资源使用者的身份出现, 是系统的主体, 处于主导地位, 而系统的资源(包括硬软件、通讯网、数据、信息内容等)则是客体, 它是为主体即“人”服务的, 与此相适应, 信息安全的主体也是“人”, 其目的主要是保证主体对信息资源的控制。可以这样说: 面向数据的安全概念是前述的必威体育官网网址性、完整性和可获性, 而面向使用者的安全概念则是鉴别、授权、访问控制、抗否认性和可服务性以及在于内容的个人隐私、知识产权等的保护。这两者结合就是信息安全体系结构中的安全服务功能, 而这些安全问题又要依靠密码、数字签名、身份验证技术、防火墙、安全审计、灾难恢复、防病毒、防黑客入侵等安全机制(措施)加以解决。其中密码技术和管理是信息安全的核心, 安全标准和系统评估是信息安全的基础。 ? ?总之从历史的、大系统的概念出发, 如今的中小企业信息安全涉及到个人权益、企业生存、金融风险防范、社会稳定和国家的安全。它是物理安全、网络安全、数据安全、信息内容安全、信息基础设施安全与公共、国家信息安全的总和。信息安全的完整内涵是和信息安全的方法论相匹配的, 信息安全系统是一个多维、多因素、多层次、多目标的系统。SMB信息安全现状扫描? ?2006年一本名为《蓝海战略》的书，一经出版就在企业界引起轰动。书中谈到企业在市场上取得成功的新导向，即超越产业竞争开创全新市场。作者在分析信息安全发展趋势时指出，如今黑客攻击已经从网络层进入到了应用级别。与之相对应的是用户安全意识的转变，从一开始目光就聚焦在基础安全，从防病毒，防火墙等转入到现在越来越关注不同网络层次、应用层次、传输层次的深度安全。? ?而企业对于知识产权形态变化之后的应对却并不乐观。目前，还有相当数量的单位和公司对于设计图纸、开发文档以及客户信息等机密文件尚没有系统有效的保护措施。王仲文教授指出目前大多数企业现有必威体育官网网址措施和技术严重不足，重点体现在信息共享范围控制不够细致，信息分级管理措施不足;防外为主，防内不足，不符合新形势的需要;事后审计为主，事前有效防范和事中控制力度不够;新技术带来的安全漏洞凸现，没有完善的整体信息必威体育官网网址解决方案。? ?让我们来看两个真实的案例：一家经济效益和发展前景都较好的医疗设备生产企业，却因为企业内部员工要另起炉灶，通过多种途径将公司储存在电脑里的资料窃走，最终导致这家企业在由此带来的