出版社信息安全的管理机制研究（第2期） - 《大学出版》2007年度

搜索新闻图书 ISBN 作者音像出版社代办站教材征订

购书请登录免费注册客服电话:010-62510665 62510769

购书指南购物车我的订单征订单存书架小团购二手书优惠活动关于我们

出版社信息安全的管理机制研究（第2期） - 《大学出版》2007年度 - 中国高校教材图书网

主页 > 《大学出版》2007年度

出版社信息安全的管理机制研究（第2期）

王星　薛伟莲（辽宁师范大学出版社）

2007-09-18 09:14:13 来源：《大学出版》2007年第2期（总第54期）

　管理机制在整个信息安全工作中占有非常重要的地位，它相对于信息安全技术来说是“软”技术。目前信息安全领域普遍存在重技术、轻管理倾向，将安全技术应用作为首要防护目标，却忽视了安全问题往往从内部发生，管理机制缺乏是目前保障信息安全的一个弱点。网络安全界有一句名言：三分技术，七分管理。即便有好的安全设备和系统，而没有一套好的安全管理方法并贯彻实施，安全就是空谈。很多出现安全事故的单位，要么是有安全管理制度但没有执行，要么就是根本没有安全管理制度，管理不善会给内部人员或者黑客带来可乘之机。信息安全管理在整个系统安全工作中所占比重高达70%，而技术只占30%。良好的信息安全管理机制能够加强内部管理，杜绝人为因素导致的信息安全隐患。

　一、企业信息安全管理现状
　1、缺乏真正意义上的首席执行官
　由赛迪网承办的2003中国信息化状况调查结果显示，目前国内企业的信息化建设在人才储备、管理模式等方面的思维没有根本性改变。虽然国内大部分企业都已经设置了信息中心，设有主管信息化工作的副总经理或者副总裁，甚至是总经理自己挂帅，但却缺乏真正意义上的首席信息官（CIO），因而缺乏专业管理经验，重技术轻管理。专业人才匮乏已成为制约中国信息化发展的最重要因素。
　2、信息安全意识淡薄
　企业的信息化意识在不断提高，然而信息安全意识却没有同步提高。受到攻击时，都表示不会受太大影响，这表明企业对信息安全的警惕性不高。企业的信息安全意识淡薄主要表现在以下两个方面：
　（1）企业中、高级经营管理人员的安全意识淡薄。从实际发生的大量的商业秘密纠纷案例中不难看出，企业的中高级经营管理人员泄密或侵犯企业商业秘密的现象比较普遍，因为他们在企业中担负着重大事项的决策或组织实施工作，其工作性质客观上需要他们比企业中的其他人要更多地了解、知悉企业的商业秘密，对这些人员缺乏必要的约束力。
　（2）信息安全的宣传工作做得不到位。企业在发生信息安全问题后，并不对外报道，因为企业的信息安全防范工作做得不好将直接有损企业的声誉。生产计划、客户等方面的信息，都在不同程度上关系到企业的兴衰成败，一旦失真或被内部人员、黑客和商业间谍窃取将有可能导致严重的后果。企业对信息安全认识的不足，不够准确，不够透彻，对信息安全在理论上很重视，但在实践中麻痹大意，很容易造成安全隐患。
　3、信息安全教育缺乏
　我国在信息安全教育方面过去做得很不够，只有少数高等院校开设信息安全课程，因此信息安全方面的人才素质较低，而企业对信息安全人才的需求很高，缺乏掌握计算机与网络技术、网络与大型信息系统安全技术、安全管理与信息安全法律法规的复合型应用型高级人才。人才培训与培养的滞后，制约了企业信息安全工作的开展。
　企业的信息安全培训工作效果不好，原因有三：一是由于信息安全工作是防风险的，且培训费用一般较高，因此很多企业放弃了安全培训的机会。二是组织者把培训地点安排在旅游地区，信息安全培训工作只是流于形式，收效甚微。三是有些信息安全培训工作带有片面性，比如安全技术产品开发商组织的培训活动，只是为了宣传自己的产品，培训内容缺乏系统性。
　4、企业文化缺乏信息安全的内容
　尽管企业的管理层都能够按照自己的意愿制定信息安全的政策、计划，但很多企业只是限于把每年一度的安全会议的标语张贴在墙上，没有更多的宣传企业信息安全方面的活动，企业的基层员工认识不到信息安全对企业的重要性。只有将信息安全深入人心并且融入企业的文化当中，企业的信息才能得到最好的保护。
　5、对信息安全产品缺乏正确使用
　虽然很多企业的网站采用了一些网络安全设备，但由于安全产品本身的问题或使用问题，这些产品并没有起到应有的作用。这主要是由于很多安全厂商的产品对配置人员的技术水平要求很高，超出对普通网管人员的技术要求，就算是厂家在最初给用户做了正确的安装、配置，但一旦系统改动，需要改动相关安全产品的设置时，网管人员缺乏相关的知识而很容易产生网络安全问题。很多企业由于缺少必要的培训和专业咨询指导，在购买产品之后不知道如何使用，造成很多安全隐患。
　6、安全管理人员的责任心不强
　管理企业安全是一个艰难的过程，需要将缺乏集成和互操作性的不同厂商的不同产品进行综合，这就要求企业安全管理人员必须有效地开展工作。他们所做的工作都是预防风险，而信息安全的问题多为突发的事件，毫无征兆，不可预知，这就降低了他们对安全事故的警惕性，使他们产生了麻痹的思想，不能及时地发现问题并采取行动。例如，在信息安全管理方面，打安全补丁是非常重要的，尤其是在现在的技术并不是非常完善的状况下。但很多安全管理人员认为这是一件很麻烦的事情，不能及时补漏，而给黑客的攻击留下后门，这说明信息管理人员责任心不强。
　7、信息安全管理制度不完善，缺乏有效地执行
　建立健全企业内部的信息安全管理制度能够最大限度地遏止各种信息安全问题的发生，加强贯彻和实施这一薄弱环节。例如私自拷盘从而造成企业信息外泄；擅自登入互联网，为黑客的进攻带来可乘之机；个人密码不定期更换，而且密码设置过于简单，降低了密码被破解的难度。

　二、出版社信息安全管理机制设计
　1、出版社信息安全的组织结构设计
　在众多的组织结构类型中，出版社信息安全的组织结构应该采用矩阵式的组织结构，不宜采用现行的直线职能型的组织结构，因为这种结构层次多、管理链条长、信息不通畅、决策周期长、运行效率低，严格按照专业划分职责缺乏协调，不能满足信息安全管理的需要。前面所说的矩阵结构是一种根据职能和项目两个变量设计的结构形式。它是指为了完成一项特定的工作任务，组织从已有的直线职能结构中的各部门中抽调人员，组成专门机构，形成矩阵组织。
　矩阵组织的优点是：灵活机动，适应性强，能有效协调部门和层次间的关系，使资源得到有效利用。另外，各专业同事之间的合作与协同作用增强了组织对问题的反应能力，也为员工间的相互学习营造了良好条件，有利于员工综合能力的提高和职业发展。
　信息安全管理工作应当是由总编室、营销科、财务科、人力资源开发部、库房、档案室和信息中心等职能部门的主要负责人组成的信息安全管理工作委员会完成，信息中心的主任来担任该委员会的主任。而各职能部门的信息安全员是由信息中心指派，受信息中心及其他各职能部门的双重领导。另外，信息安全技术管理工作和审计工作是相互独立的，相关人员由信息中心的人员来担任。这样信息中心的工作人员是由各职能部门的信息安全员、技术安全员和审计员组成，这种结构有利于信息安全管理活动的协调。同时，矩阵结构还有利于减少官僚主义现象，双重权威可以避免组织成员只顾维护本部门的利益，而忽视组织整体目标。
　2、信息安全岗位的设计
　信息安全岗位是企业信息安全管理组织的组成元素，定岗是定编、定职、定责的基础性工作。岗位设计的科学性直接决定着企业安全管理工作的有效性，也决定着信息安全管理工作作用的发挥。企业信息安全的岗位设计有以下三个方面：
　(1)系统管理员。是指管理系统的人，其具体工作包括：启动系统，停止系统运行，安装新软件，增加新用户，删除老用户，以及其他保持系统正常运行的日常事务。他的岗位职责是监控服务器的运行状况、做好系统或数据的备份工作、做好系统运行的记录、建立维护记录档案、做好磁媒体的安全管理、做好软件的维护与管理和做好数据库的安全管理工作。
　好的系统管理员可遇不可求，因为第一需要高度专业，第二需要有耐心。作为一个系统管理人员，掌握以上的操作是起码而且必须的，另外，他还必须及时进行系统升级，使系统的已知漏洞均被修复，以防黑客入侵。需要特别注意的是，系统管理员在外出时要使用屏幕保护程序使屏幕锁定，以免外人乘机入侵系统。
　(2)安全员。企业需要配置独立的信息安全员，因为他们能够分析企业面临的安全威胁，实施措施以预防信息攻击。安全员的职责包括：①负责安全技术产品的选型、安装、升级和日常管理；②制定发生意外时的应急计划；③定期进行安全设备维护及使用培训；④学习新技术，了解新标准，使企业的信息安全管理工作更加符合技术规律。
　企业信息安全员要及时地把现有信息安全产品的质量、健全性和可靠性通知高层管理人员，确保信息安全产品作为集成的流程而不是独立的任务运作，评估并解释信息安全受到危胁或有受到危胁之嫌的每一个案例。
　(3)审计员。系统的审计工作应当长期不间断地进行，以便对非法行为形成一种威慑力量。重要的计算机系统应由本企业的审计员与安全机关的计算机监察部门共同进行安全检查。审计员应该是精通业务，有一定工作经验，并且对计算机系统相当了解的高级技术人员。他们的具体职责包括：①参加系统的设计，以评价新系统是否满足安全的需求；② 在系统的运行状态下进行审计；③ 对计算机的程序进行审计；④ 对远程通信环节进行审计。审计员进行审计的方法通常有检查性审计和攻击性审计两种。
　3、信息安全管理制度的设计
　企业信息安全管理制度是企业内部的“信息安全法”，企业应当对此予以高度的重视。在企业信息安全管理制度制定的过程中，遵循的原则尤为重要。要求从实用的原则，对企业信息安全管理从不同的角度、不同的层面进行规范，做到主次分明，宽严适度。具体设计过程中应该遵循以下几个原则：
　(1)全面监控的原则。企业的信息安全工作是全方位的，符合“木桶原理”，安全漏洞总是发生在安全保护最薄弱的环节。也就是说，用不同高度的木块做成的木桶所能盛的水由最短的木块决定。类似地，系统安全管理强度也由管理制度的最薄弱环节决定。因此，安全管理制度的制定应该做到全面而详尽。
　(2)实事求是的原则。制定管理制度不要照搬照抄国外企业或国内其他企业的现成制度，要坚持从企业本身的具体情况和条件出发，力求符合实际切实可行，以避免信息安全管理制度形同虚设的情况发生。
　(3)相对稳定的原则。研究制定的信息安全管理制度既要满足现实，又要考虑发展，要避免朝令夕改，保持相对稳定。
　(4)提高工作效率和提高经济效益的原则。有利于实行集中统一指挥，有利于有效地组织企业的生产经营活动。这是制定信息安全管理制度的基本出发点和落脚点。
　(5)先立后破的原则。信息技术的发展速度可以说是突飞猛进，信息安全制度也要不断更新，因此信息安全制度的制定不可能采取一步到位的方法。在新的管理制度没有生效以前，原有的制度应该继续执行，以免使管理工作陷入混乱。
　安全管理制度维护是管理措施在保障企业信息安全方面作用的体现，企业的一切管理活动都应以制度为基础，技术系统的维护应该服务于管理的需要，管理制度的维护也应考虑到技术系统运作的机械性、严格性特点，不能将模糊的、易变的管理制度用于技术系统运作的管理之中。企业信息安全管理遵循管理学的一般规律，即对人加以规则的有效控制，并且使信息安全的管理更加专业化。安全制度和组织机构是保证信息系统安全的基本外部条件，任何一个因素的缺乏都将导致信息系统安全无法得到全面、及时和良好的保证。

来源：《大学出版》2007年第2期（总第54期）

本版责编：金洋

    

相关评论发表评论发送新闻打印新闻上一条下一条关闭

全国大学出版社

北京　安徽　重庆　福建　广东　甘肃　广西　贵州　河南　湖北　河北　海南　香港　黑龙江　湖南　吉林　江苏　江西　辽宁　澳门　内蒙古　宁夏　青海　四川　山东　上海　陕西　山西　天津　台湾　新疆　西藏　云南　浙江　