随着信息技术的迅猛发展,为了确保企业经营战略的实现和满足业务快速发展的需要,越来越多的企业在运行各个环节中运用了信息技术。信息技术确实加速了企业的发展,同时这些企业也面临着来自各个方面的信息安全威胁,包括系统安全漏洞、DDoS(Distributed Denial of Service分布式拒绝服务)攻击、非法入侵、病毒感染、通信故障等,保护客户和企业自身信息资产的保密性、完整性和可用性对提升服务水平和竞争力具有重要作用,因此建立全面可靠的信息安全管理体系是非常有必要的。
1 信息安全管理现状
随着信息化社会的来临,信息资源对社会发展的重要程度越来越大。从人们日常生活、组织运作到国家管理,信息资源都是必不可少的重要资源,现代社会的生存和发展,都需要各种信息的支持。但是信息在社会中发挥越来越重要的作用的同时,与之而来的信息安全问题也变得日益突出,需要加以安全保护。
目前,许多标准化组织都提出了各自的信息安全管理的体系标准和控制模型,这些基于业务、技术与管理层面的标准在某些行业得到了很好的应用,并且信息安全管理工作也逐步纳入公司的日程中,但是这项工作目前仍存在不少的问题,信息安全管理现状依旧比较混乱,主要表现为以下几方面:
由于缺乏权威、统一、专门的立法管理机构对国内信息安全管理进行组织、规划、管理和实施协调,导致我国现有的一些信息安全管理没有来自法律的推动力和约束;
在IT系统建设过程中信息安全管理并没有得到充分考虑,导致后期管理工作和安全建设比较被动,同时造成信息安全管理建设与业务的发展及IT的建设不对称;
安全管理缺乏系统管理的思想。被动应付多于主动防御,没有做前期的预防,而是出现问题才去想补救的方法,缺乏科学的、全面的、动态的安全管理方法;
重视安全技术,忽略安全管理。企业多在防火墙、网路、主机及应用系统开发等安全技术上投资,而相应的管理水平、手段没有体现;
在安全管理中不够重视人的因素,缺乏懂得管理的信息安全技术人员;
企业安全意识薄弱,因为信息安全管理不仅仅需要CIO或CFO的参与,企业各层领导和员工的重视与参与也是必不可少的。
2 各项威胁对企业信息安全的影响
企业信息安全有太多的因素需要关心:自然灾害、黑客攻击、计算机病毒以及企业内部信息泄露。2011年大量信息安全事件中,索尼的数据泄漏是其中备受瞩目的一个,索尼的PlayStation网络于4月20日关闭,同时取证组开始调查索尼数据泄漏的范围。截止到5月2日,该泄漏事件影响了大约1亿人,索尼公司已经花费1.71亿美元处理其数据泄漏所带来的后果。一项调查显示,中国内地企业在改善信息安全机制上仍有待努力,从近年安全事件结果看,中国每年大约98万美元的财务损失,此外,42%的中国内地受访企业经历了应用软件、系统和网络的安全事件,信息安全给企业造成了巨大的损失。而目前企业面临的主要威胁有以下几种。
2.1 自然灾害
由于近年来自然灾害的多发,给计算机系统造成了一些不可挽回的破坏而引发了许多信息安全问题,但相对于其他因素来说,自然灾害对信息安全的威胁算最小的,并且自然灾害的威胁只可尽量减小而不可避免。
2.2 黑客与病毒
随着计算机技术的发展,黑客的破坏力也日益扩大化,黑客傻瓜式工具的大量出现和黑客组织的形成导致的直接后果就是黑客技术的普及,网络上随便搜索一下,就能找到一大堆黑客技术交流网站。这些黑客站点提供黑客工具、公布系统漏洞、公开传授黑客技术、进行黑客教学,甚至还有黑客组织通过论坛形式相互交流黑客技术经验、协调黑客行动等。黑客事件的剧增、黑客组织规模的扩大、黑客站点的大量涌现,说明了黑客技术开始普及,同时黑客攻击对于信息安全的威胁也越来越大。仅在美国,黑客攻击每年造成的经济损失就超过100亿美元,可想而知,对于安全刚起步的中国破坏的影响程度有多大了。
而计算机病毒(恶意软件)的使用是黑客攻击常用的手段之一,计算机病毒的传播不仅可以破坏计算机信息系统,还可以盗取各种秘密信息,严重危害着当今社会的信息安全。根据安全供营商McAfee(迈克菲)新发布的数据显示,2010年前半年是McAfee进行恶意软件保护更新的最活跃的六个月,在第二季度报告中,恶意软件