企业信息安全管理问题探析

一、企业安全管理三大问题

自“棱镜门”、iCloud照片泄露、携程及支付宝等企业接连宕机等事件发生之后，信息安全已被国内外政府、行业和企业推到了前所未有的高度。国务院《关于积极推进“互联网+”行动的指导意见》中也明确提出，要提升互联网安全管理、态势感知和风险防范能力，加强信息网络基础设施安全防护，加强“互联网+”关键领域重要信息系统的安全保障。信息安全危害事件频频爆发。2015年5月，网易、支付宝、携程、艺龙、知乎、Uber等多家知名企业出现接连宕机，互联网安全问题频繁出现并集中爆发，这为我国企业安全管理敲响了警钟。企业处理突发事件能力较弱。网易、支付宝、携程等互联网企业宕机后，很长时间才得以解决，表明企业在应对安全威胁突发情况时的力不从心，也反映出企业对信息安全中的外部威胁难以进行有效防范和及时应对。目前，我国互联网企业总体停留在安全保障、被动防御阶段，并未形成明确推进信息安全的管理措施。企业对信息安全重视程度不够。与发达国家相比，我国企业用于信息安全方面的投资还很低，尚未占到企业信息系统建设总成本的2％，而国外企业用于安全系统的投资占整个网络建设投资的15％～20％。例如，2014年我国信息安全投资总额为22亿美元，不及美国的3.2%，且企业投资重点集中在安全基础设施建设、产品更新换代等，对安全服务投入明显不足。许多企业口头上重视信息安全，但未付诸实践。

二、构筑企业安全三重防线

建设合理先进的信息安全管理系统。企业应重点加大对安全评估测评工具及技术、数据防泄露及敏感信息防护技术、大规模网络安全态势感知技术和统一身份管理与认证技术的研发投入，重点建设一个集风险评估、安全策略、防御体系、实时检测、数据恢复、安全跟踪和动态调整为一体的信息安全管理系统，加大信息安全管理的重视力度，从产品、技术、管理和制度多个维度来解决信息安全问题。建立信息安全风险防范和灾难应对体系。建议企业参照金融行业的管理模式，主动建立风险防范和灾难应对体系，出台具备面对突发状况的应急方案和数据备份双重机制，并重点开展以下工作：完善、优化企业内部网络架构，构建全方位的数据泄露防护系统，建立一体化的本地/异地备份与容灾体系，建立防火墙、防入侵及一体化安全网关解决方案，提高漏洞发现及应急解决能力、减少高危漏洞带来的危害。联手产业链上下游共筑安全防线。信息安全已不只是企业本身所能掌控的，比如支付宝服务器故障的主因是杭州市萧山区某地光纤被挖断导致，这就需要电信运营商等加大对光纤光缆安全监督。因此，互联网企业应与产业链上下游企业携手，做到信息数据、用户隐私、软硬件产品等不同类型的安全问题与行业相对应，有效防范安全管理脱节、错位等问题发生。随着互联网与各行各业的深度融合，信息安全威胁事件出现常态化趋势。企业应紧密围绕内部和外部环境，加大信息安全管理工作力度，有效减免信息安全危机事件。

作者:宋德王 单位:赛迪智库电子信息产业研究所