信息化是当今世界的发展潮流,也是传统企业迈向现代化过程的必由之路。“以信息化带动传统工业,实现跨越式发展”是国家战略。然而,信息化是一把双刃剑,它在促进现代文明的同时,也带来了前所未有的安全风险。
企业信息安全风险源于其信息系统自身的脆弱性以及外部威胁两个方面。据市场研究组织Weboot统计,中国约有一半的企业曾遭受过恶意攻击,企业遭受的外部威胁有40%来自于恶意软件攻击,企业内部威胁所造成的损失有80%是由于企业内部人员的不正当行为所导致。由此可见,企业的信息安全防范形势十分严峻。
如何有效防范企业的信息安全风险?从宏观上讲,由于内因的长期存在,任何企业的信息安全都无法做到100%。但有两种应对策略:对于必须连接公共网络的企业信息系统,可采用PDR(保护、检测、响应)模型,在加强安全保护的基础上,进行动态的检测,第一时间发现问题、及时处置、及时恢复, 将对企业、对社会的危害降到最低;而对于涉及国家安全和公共利益的企业信息系统,则必须采用物理隔离的方法,阻断各种外部的安全威胁,并通过加强信息安全技术和管理防范安全风险。
从微观上讲,首先,企业必须依照《中华人民共和国计算机信息系统安全保护条例》(147号令)和《中华人民共和国网络安全法》开展信息系统等级保护,按照适度保护的原则,确定企业信息系统的安全等级,搭建信息系统安全保护的基本平台。其次,重点做好关键环节的信息安全保护工作,通过采用权威部门发布的信息安全产品,统一身份管理系统,以及实时的信息安全检测,加强动态防护。同时,分析和评估信息安全风险,运用科学的方法和手段,帮助管理者认清企业信息安全的薄弱点,制定出有效的防御及整改措施。
“没有网络安全就没有国家安全,没有信息化就没有现代化”,网络安全保护是国家意志、政府行为,需要企业、机构和个人广泛参与,任何人都很难做到独善其身。只有营造良好的网络安全生态环境,才能保障自身的网络安全,最终构建国家的网络空间安全。综上所述,企业应该按照等级保护的方法认真做好信息安全建设,加强信息安全管理,提高员工信息安全意识,为国家网络空间的安全建设奠定坚实的基础。 |
