创建以人为本的企业网络安全

袁金巧**|1|袁金巧|YUANJinqiao|辽宁大学信息学院,沈阳110036|SchoolofInformation,LiaoningUniversity,Shenyang110036|袁金巧(1987年),女|辽宁省沈阳市皇姑区崇山中路66号辽宁大学信息学院信息管理与信息系统专业|110036|965984465@qq.
com|024-62552113|13889225396创建以人为本的企业网络安全|CreatPeople-orientedEnterpriseNetworkSafety|(辽宁大学信息学院,沈阳110036)摘要:随着互联网的不断发展,企业计算机系统安全和网络安全受到的威胁日益增加.
本文介绍了国内外企业网络安全的现状及原因分析,并提出了建设一种以人为本的网络安全.
在这个体系结构中,分别从高层管理者和全体员工两方面进行了介绍.
对于管理者,要提高安全意识,制定计划,统筹安排,起到引导作用;对于员工,树立保密观念和责任心,加强技术、业务的培训,提高操作技能,积极响应管理者的安全策略,从而保障网络安全健康的运行.

关键词:网络安全;企业网络安全;人中图分类号:TP393.
08CreatPeople-orientedEnterpriseNetworkSafetyYUANJinqiao(SchoolofInformation,LiaoningUniversity,Shenyang110036)Abstract:WiththeconstantdevelopmentoftheInternet,thethreatstoenterprise'scomputersystemsecurityandnetworksecurityincrease.
Thepaperintroducesthestatusofenterprisenetworksecurityathomeandabroadandanalyzesthereasons,andthenputsforwardtheconstructionofapeople-orientednetworksecurity.
Inthissystem,thispaperseparatelyintroducesfromthetopmanagersandstaffstwoaspects.
Formanagers,theyshouldimprovesafetyconsciousness,makeplansandoverallarrangements,playingaguidingrole;Foremployees,enterpriseshouldimprovestaffsecurityconceptsandsenseofresponsibility,strengthentechnicalandoperationtraining,andimproveoperationskills,respondingpositivelytosecuritypolicyofmanager,soastosafeguardnetworksecuritytorunsmoothly.
Keywords:NetworkSecurity;Enterprisenetworksafety;people引言Internet的强劲旋风以惊人的速度渗透到各行各业.
企业上网既可以开展网上的交易业务,又可以宣传自身的服务,吸引更多的客户;同时,Internet技术的发展促进了电子商务的成熟,大量的商业网信息和资金通过网络在世界各地流通,这对企业的发展产生了重要的影响;其次,企事业单位通过建设自己的局部网、内部网,加强企业内部的管理和沟通,实现办公自动化,提高了工作质量.
计算机网络应用对企事业单位的发展有着正面作用,同时还必须注意它所带来的负面影响.
据IDC一份调查统计表明,全球差不多有80%的企业存在着信息安全或信息风险问题.

企业网络安全现状分析国外企业网络安全现状调查显示,欧美等国在网络安全建设投入的资金占网络建设资金总额的10%左右,而日韩两国则是8%.
从国际范围来看,美国等西方国家网络基础设施的建设比中国完善,网络安全建设的起步时间也比中国早,因此发生的网络攻击、盗窃和犯罪问题也比国内严重,这也致使这些国家的企业对网络安全问题有更加全面的认识和足够的重视,但纵观全世界范围,企业的网络安全建设步伐仍然跟不上企业发展步伐和安全危害的升级速度.

国外信息安全现状具有两个特点:(1)各行业的企业越来越认识到IT安全的重要性,并且意识到安全的必要性,并且把它作为企业的一项重要工作之一.

(2)企业对于网络安全的资金投入与网络建设的资金投入按比例增长,而且各项指标均明显高于国内水平.

国内企业网络安全现状随着企业内部人员的攻击、黑客的侵袭、病毒的入侵、机密数据的泄漏等互联网安全事故的不断发生,国内一些企业已经认识到网络安全建设已迫在眉睫,并且已投入资金,采用了若干网络安全技术,如防火墙、杀毒软件等等.
调查显示,我国在网络安全建设投入的资金还不到网络建设资金总额的1%,大幅低于欧美和日韩等国.
同时,我国企业网络的信息安全建设中经常存在这样一种不正常的现象,就是企业的整体安全意识普遍不强,信息安全措施单一,无法抵御综合的安全攻击.
随着上述网络安全问题的日益突显,国内网络的安全需求也日益提高,这种单一的解决方案就成为了信息安全建设发展的瓶颈.
另外,企业管理者对于安全问题经常抱有侥幸心理,加上缺少专门的技术人员和专业指导,致使国内企业目前的网络安全建设参差不齐,普遍处于不容乐观的状况.

企业网络安全问题及原因分析(1)信息与网络安全的防护能力低,信息安全意识低我国许多企业对网络安全的专业知识十分有限,信息安全的意识淡薄.
有的企业一些部门网络和应用处于不设防状态,有的认为信息安全只是装个防火墙,或者杀毒软件就万事大吉了,缺乏相应的严格的安全信息管理措施,一旦出现信息安全事故,其后果不堪设想[1].
有时,装技术软件只是流于形式,并未真正地起到安全防护作用.

(2)管理不到位"三分技术,七分管理"是技术与管理策略在整个信息安全保障策略中各自重要性的体现,没有完善的管理,技术就是再先进,也是无济于事的.
当前,国内外信息发展过程中已经暴露出"重技术,轻运行管理"的种种弊端.
研究和实践也表明,70%以上的信息安全问题是由于信息安全管理的不善造成的,而其中95%是可以通过正确的信息安全配置管理来消除的[2].
可见管理问题已经成为企业网络安全发展的瓶颈!

因此,对企事业单位网络做到安全的防护,就必须采取高效的解决方案,本文提出了创建以人为本的企业网络安全,它是网络安全的子类,是企业安全和网络安全相互渗透的结果.
它继承了二者的共性.
同时又具有自己的特性.
它通过影响网络操控者人的行为来影响网络安全,它对网络安全的影响贯穿人们网络活动的始终[3].
在企业范围内,"人"是发展网络安全的核心,包括高层管理者和全体员工,因此做好了"人"所在层面的工作,其他层面可谓水到渠成.

实施的措施胡锦涛主席的科学发展观强调"以人为本",做到发展为了人民、发展依靠人民、发展成果由人民共享.
而发展企业网络安全突出"以人为本",把实现好、维护好、发展好企业的根本利益作为领导层和员工层一切工作的出发点和落脚点,做好安全防护工作,做到高层带动底层、统筹发展网络安全.

管理层在企业内,高层管理人员往往没有意识到企业网络安全是一个高层领导行政管理中一项极其重要的工作,没有意识到网络安全不仅仅是一个技术问题,而且是一个管理问题,他们本身制定的安全防护策略在企业网络安全管理中的核心地位,所以建设企业网络安全,首先应该提高高层管理者安全意识,让他们对网络安全予以足够的重视和关注,所以企业网络安全建设不仅从高层领导发起,而且从项目的规划、组织直到实施,整个过程都应该得到高层领导强有力的支持和参与.
采用自顶向下的规划,从宏观的企业管理层面制定计划,统筹安排,协调企业网络安全的健康发展.

首先,由于企业网络安全的工作涉及方方面面,不可能只依靠一个机构去完成,所以必须建立安全管理机构和相应的职责体系.

按照网络安全的整体构想,来建立具体的安全控制系统,包括安全审查体系、安全决策体系、安全管理体系、安全保障体系、安全技术体系等.
由于管理任务的不同,要求不同,因此就要根据信息安全保障水平的而不同要求为各体系配备专职或兼职的安全管理人员.

职责体系是安全管理的重要部分,所有的安全责任如果划分的不科学、不合理或安全管理人员操作水平有限,都很难保证信息安全职责的落实.

其次,建议企业采用零缺陷管理,即以抛弃"缺点难点论",树立"无缺点"的哲学观念为指导,要求全体工作人员从开始就正确的工作,以完全消除工作缺点为目标的质量管理活动.
在企业中,树立每一个员工都是主角的观念,认为只有全体员工都掌握了零缺陷的思想,人人都想方设法去消除工作缺点,减少工作中的误操作,才会有真正的达到零缺陷.
同时还要强调心理建设,传统的企业网络安全管理方法侧重于技术处理,赋予员工正确的工作方法,而零缺陷不同,它侧重于心理建设,赋予员工以无误进行工作的动机.

通过管理,提高员工参与企业网络安全的自觉性.
员工层工作人员是企业安全管理的核心,只有人员是安全的,才能确保高层领导的安全战略有效地组织和落实.

人员资质的要求在企业内,应设置严格的人员资质要求标准,即新录人员招收标准、在岗人员考核标准、离职人员离休标准等,同时实施允许一人多岗,但业务应用操作人员不能有其他关键岗位人员兼职.
关键岗位人员应接受安全培训,加强安全意识和风险防范意识.

培育深层次的安全意识据调查报告,内部员工的攻击行为一般表现为:随意向无关人员泄露机密,在工作站随意使用移动设备拷贝公司电子文档,或是用非法手段访问系统等,这些充分表明员工保密观念不强,安全意识低下.
对此,企业应以各种方式(如实时通讯、海报、备忘录和视频节目)向员工宣传安全知识.
其次,为巩固对安全重要性的认识,各机构应该向每个员工提供一份安全意识的策略文档,主要包括两个部分:一是要求所有员工都参与此项目,并且给予员工足够的时间树立安全意识;二是明确说明管理和举办安全意识活动的责任.
在一个企业中,应不只是提供职业训练和角色训导,而且包括对员工价值观念和对行为方式的熏陶和教化.
创建企业网络安全,应对员工进行安全教育,进行安全意识的培训,让每名员工清楚的认识到企业网络安全中存在的风险及相应的规避方案,并提高工作人员的保密观念,将其内化到员工思想意识里.
只有员工真正的意识到安全的重要性,并自发地维护企业网络安全,那么安全风险将大大降低,企业的安全运作将有很大的提高,这是从技术层面上所达不到的高度.

提高责任心,树立良好的工作态度在企业网络威胁中,很多时候可以归结为工作人员的责任心不够强,从而导致企业的重创.
比如,管理人员未进行及时的备份而导致系统故障后,企业的重要数据不得恢复,由此可见责任心在企业中的分量.
企业都具有凝聚作用,即呼吁员工尽职尽责,有主人翁意识,同企业融为一体.
在企业网络安全中员工责任心强,则安全做了一层保障.
具体的表现为:明确了安全责任,通过定期检查,做好防火、防震、防水等防御自然灾害及掉电、停电等事故的安全防护工作,从而减少了安全中物理环境安全的不确定因素;有了责任心,工作人员根据企业的实际情况,可采用全备份、增量备份、差量备份等对企业数据、机密资料进行及时的备份.
与此同时,员工还对提供网络服务的服务口、网络基础设施、设备配置和映射进行备份;定期的对为网络软件的漏洞及缺陷进行安全扫描,从而减少对网络入侵和破坏,做到软件安全防护.
责任心是每名员工应具备的基本素质,贡献责任心一小点,安全防护保障一大步.

加强技能培训在企业网络安全事故中,有60%是由于员工的误操作造成的.
所以加强业务、技能的培训,提高操作技能,已经刻不容缓了.
同时,企业应组织一部分员工进行高强度培训,培养专业技能人才,并且企业还应根据实际情况引进新的技术,组织员工深度学习,重点在新技术新思想方面的"知其所以然"的教育而不是单纯的"知其然"的培训,真正习得其核心部分.
再者,管理层应遵循任期有限原则,即任何人都最好不要长期担任与安全有关的职务,应使工作人员不定期的循环就职,并对其进行轮流培训[4].

只有提高安全意识,树立责任心,加强操作技能,工作人员才能在企业网络安全中自觉维护企业安全,这样企业在安全层面上才会和谐,进而才能创造更多的利益.

强制措施众所周知,战略靠执行,执行靠制度,所以创建企业网络安全,就应该制定强有力的规章制度,来约束工作人员,如严格的组织人员制度,严禁工作交叉执行;机房保卫制度,即机要机房应规定双人进出制度,严禁单人的操作计算机等等[5].

同时还要有技术规范,其内容主要包括各种技术标准和规程,减少违章操作后造成的不良后果.
再者,安全管理和完整的支撑策略是不够的.
如果没有得到有效地遵守和执行,那么一切都是空谈.
安全管理应被授权用技术或非技术手段来监督策略的遵守和执行,发现异常情况应及时处理.
在技术上,通过网络管理软件随时监控网络与用户工作状态,对重要资源,如主机、数据库、磁盘等的使用状态进行记录和审计[6].

创建企业网络安全文化,以人为本.
只有高层管理者重视网络安全,积极策划企业网络安全,下属才能积极响应、将其落实.
只有员工提高安全意识,才能减少信息的窃取、篡改和遗漏;树立责任心,提高操作技能,减少了误操作,防患于未然.

结束语随着网络应用的发展,企业安全问题日益凸显,尽管有些企业集百家技术于一身,但安全问题仍没能完好的解决,所以本文提出了以人为本,创建企业网络安全,即从人层面上解决网络安全问题.
这是信息安全理论发展的一个新阶段,更是信息安全理念的一种提升与转变,也是信息安全领域的一个新的发展方向.
世界上不存在绝对安全的网络系统,相信随着网络和社会的发展,人们对网络安全的认识会越来越深刻,企业网络安全的研究与建设也将越来越科学与合理,这将是企业安全的有效屏障,对促进企业的进步与发展发挥重要作用.