工作研究

　　企业的正常运作离不开信息资源的支持，包括企业的经营计划、知识产权、生产工艺、方案图纸、客户资源以及地质矿产资料等各种重要数据、机密资料，这些都是企业长期积累下来的智慧结晶，关乎企业正常运作和持续发展。信息安全涉及信息的采集、存储、传输与使用等信息处理过程，其中如有一个环节信息丢失、损坏或泄露，都会给企业造成很大的损失。因此，我们必须增强信息安全意识，重视信息安全问题。

　　一、信息安全备受国家关注和高度重视
　　随着网络环境的日益恶化(如：计算机病毒泛滥、黑客攻击、美国对全世界监控的棱镜事件，网络银行的OpenSSL安全漏洞）等，以及其他泄密事件的发生，信息安全正面临严峻的挑战，信息安全也被企业所关注。
　　国家安全委员会，于2013年11月12日正式成立。首次提出了“总体国家安全观”的概念，构建集政治安全、国土安全、军事安全、经济安全、文化安全、社会安全、科技安全、信息安全、生态安全、资源安全、核安全等于一体的国家安全体系，首次把信息安全提升为国家战略。
　　2014年2月27日，中央网络安全信息化领导小组成立。中共中央总书记、国家主席、中央军委主席、中央网络安全和信息化领导小组组长习近平主持召开中央网络安全和信息化领导小组第一次会议并发表重要讲话。他强调，要从国际国内大势出发，总体布局，统筹各方，创新发展，努力把我国建设成为网络强国。习近平指出，“没有网络安全，就没有国家安全；没有信息化，就没有现代化。”

　　二、信息安全基本内容
　　信息安全主要包括实体安全、运行安全、信息资产安全和人员安全等。
　　实体安全：保护计算机设备、设施（含网络）免遭地震、水灾、火灾、有害气体和其他环境事故破坏的措施和过程。
　　运行安全：为了保障系统功能的安全实现，提供的一套安全措施来保护信息处理过程的安全，主要包括风险分析、审计跟踪、备份与恢复、应急处理等。
　　信息资产安全：防止信息资产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法的系统辨识、控制，即确保信息的完整性、可用性、保密性和可控性。信息资产包括文件、数据等，其安全包括操作系统安全、数据库安全、网络安全、病毒防护、访问控制、加密、鉴别等。
　　人员安全：主要是指信息系统使用人员的安全意识、法律意识、安全技能等。人员的安全意识是与其所掌握的安全技能有关，而安全技能又与其所接受安全技能培训有关。

　　三、企业信息安全存在的突出问题
　　（一）信息安全意识淡薄。随着信息化的发展，网络是企业或组织进行正常商务运作和管理不可或缺的资源，信息安全的重要性也越加凸显。提升全员的信息安全教育意识是一项长期的工作，然而当前一些企业大氛围的安全意识还不够全面、系统，信息接触者对信息安全意识淡薄，内部人员故意泄密、无意泄密时有发生。
　　（二）数据安全状态令人堪忧。数据的产生和使用处于不安全状态，数据储存零散，没有做好备份与归档；未按相关规范做到双备份异处存放，导致数据信息存储设备故障等情况的发生造成数据的灭失。
　　（三）网络安全存在薄弱环节。办公网络内私自接入无线设备，大多数的简易WiFi设备缺少甚至毫无安全防护措施。员工私自接入网络甚至直接接入电脑，造成通过WiFi盗取QQ及微信等软件的账号密码，网银中的数据，甚至在用户毫不知情的状态下直接盗取电脑中的数据。随着WiFi设备漏洞和黑客攻击事件的不断增加，给企业隐私信息和经济利益带来严重威胁，移动手机安全已经成为企业信息安全中不可忽视的重要问题。
　　（四）员工通过企业办公网络在网上论坛、微博随意发布一些不良信息等。近年来国家对互联网信息管理不断加大力度，越来越严格，如果发生类似事件公安局网络管理部门会进行追查，会给企业声誉造成不良影响。
　　（五）网站内容审核制度还需加强。各局院虽都建立了网站，但对网站上网信息缺乏有效的管理，上网信息审核制度还需要进一步完善，对本单位上网稿件信息审核把关不严，造成一些敏感信息及涉及企业的商业秘密等信息的泄漏。

　　四、企业信息安全工作应着力加强三方面工作
　　（一）加强网络基础建设，重视网络信息安全设施投入。网络基础设施建设及信息安全设备部署是信息安全的重要保障。本次总局地理信息园区网络建设非常重视信息安全，先期入驻的三家单位在网络建设中，由信息中心统一协调，统一技术标准，按照国家信息安全等级保护二级标准建设，在网络出口部署了防火墙、IPS入侵检测系统和流控与审计系统，为网络信息安全管理打下了良好的基础。必要信息安全设备的投入使得网络管理有了技术手段。
　　出口安全是整个系统的第一层防护措施，能够保证整个系统整体的安全稳定以及独立性。内网整体安全是重点，需要结合一些其它安全设备功能化的安全措施，实现对内部安全网络形成立体、全面的防护。
　　整网入侵防御系统：针对现在流行的以蠕虫、木马、间谍软件、DDOS攻击、带宽滥用为代表的应用层攻击，在核心链路部署入侵防御系统对整网的应用层入侵提供安全保障。
　　流量控制及上网审计：根据公安部第82号令，以及企业自身办公效率提升诉求，需要针对公司出口不同流量进行智能分析处理，保障关键应用流量，限制无关应用，同时规范员工上网行为。
　　（二）加强信息安全教育培训和体系建设。信息安全已经从部署防火墙、防病毒软件等单一的技术手段，发展到建立整体化的信息安全保障体系，因此信息安全保障体系的规划与建设就显得尤为重要。而信息安全不仅仅是技术人员和IT部门的事，关乎企业每名员工。因此，要通过各种渠道做好宣传教育工作，建立健全信息安全体系，全面加强安全队伍的建设；通过提升全员的信息安全意识，让员工建立起保护企业信息的责任感，这也是企业面对安全威胁的最佳方式。
　　（三）积极推进信息安全等级保护工作的顺利开展。信息安全等级保护，必须从总体战略角度考虑，把握关键环节，建立长效保护机制。明确信息系统等级保护各方责任；制定各项信息安全等级保护管理制度；制定、完善信息安全等级保护管理规范和技术标准体系。
　　企业信息安全管理是一项长期的系统化工作，需要全网统筹规划、各相关单位部门协同、扎实推进。要从技术、管理、制度、教育等方面多管齐下，保证企业信息数据安全、可靠，共同为企业发展和经营管理提供强有力的支撑和保证。