CHINA SCIENCE AND TECHNOLOGY INFORMATION Feb.2020·中国科技信息2020年第3、4期合刊科技工作DOI:10.3969/j.issn.1001- 72.2020.03.048影响力可替代度行业曲线linkindustry杨 健 杨 涛 高海涛杨健:海洋石油工程股份有限公司,从事网络管理工作、网络基础架构搭建和维护工作,精通H3C、华为、思科网络交换设备管理,网络管理软件应用与管理。真实度企业信息系统安全体系建设信息化的发展给人们的生活方便同时也给企业带来了前所未有的发展机遇,同样也带来了未知的网络安全威胁,社交平台信息泄露事件、酒店入住信息泄露事件、勒索病毒攻击事件、钓鱼邮件事件等网络攻击问题日趋增多,危害程度也在不断扩大。信息安全问题正在成为威胁企业发展的致命因素,建立符合企业发展要求的信息系统安全体系刻不容缓,本文从管理和技术两个层面,分析企业信息系统安全体系建设问题,辅助信息化管理。信息系统安全主要是保持数据的机密性、完整性、可用性和企业自身对信息资源的控制。信息系统安全管理涉及管理和技术两个方面,管理指的是以人为基础依照具体操作流程,以法律和制度为依据制定行之有效的方案并且予以实施的过程。技术是实现信息安全保证的重要手段,信息安全保证体系所需要的各项安全服务就是通过技术机制来实现的。1,以人为基础的企业人才培养企业信息系统安全主要因素包括人、技术和操作,其中人是最关键、也是最活跃的因素。企业信息系统安全保障,最终都是人来处理而不是设备。对于企业来说,建立完善的企业信息安全人才体系应该不止于:建立完善的企业安全保障制度、进行必要的信息安全保障意识教育、涉及信息系统岗位和人员信息安全技能培训和完善的企业网络安全应急处理方案等,所有对企业信息系统安全有效的手段都应该得到支持,以人为中心,法律和管理制度为保证,建立企业级信息系统安全保障组织机构。2,信息系统安全框架建设信息系统安全是企业信息安全保障的主要目标,信息系统的规划、开发、实现、运行维护和废弃都应该有完善的制度保障下按流程进行操作,首先建设期,无论是自行建设还是外包,系统自身安全都应该经过系统的安全检查,提升代码规范性、减少系统BUG、添加代码安全保障措施和加密手段。其次系统实现和运行阶段保证系统网络环境安全和物理环境安全,例如建设web系统,应将系统架设在符合物理安全和防电磁干扰要求的标准机房内,系统平台应使用相对新的稳定版本且补丁更新完成、系统前端架设WAF、环境内架设诱捕蜜罐系统、架设漏洞扫描系统和补丁分发系统、内网出口架设防火墙、互联网出口架设IPS和IDS、架设防火强等措施。最后系统废弃阶段也应该严格处理,当要废弃或替换系统组件时,要对其进行风险评估和数据备份,以确保硬件和软件得到了适当的废弃处置,且残留信息也恰当地进行了处理。并且要确保系统的更新换代能以一个安全和系统化的方式完成,使数据平稳移植到新系统。企业信息系统安全体系是人与设备的集成服务,企业信20世纪末期随着计算机互联网技术发展,信息安全概念出现在人们的视野中。21世纪以来信息安全问题日渐突出,信息泄露、信息丢失、黑客攻击、病毒事件层出不穷。信息安全问题更加有利益性,针对性。信息安全不在只是国家层面问题更牵扯至企业及个人利益。企业信息系统安全防护关乎企业生存,如何做好企业信息系统体系建设,需要我们认清信息安全形式,汲取众家安全防护之所长,集合企业自身情况,探索符合企业自身安全管理要求的信息系统安全体系。企业信息安全形势分析随着网络安全法实施和国民信息安全意识的强化,我国正在处于网络安全发展的黄金时段,国家层面的高度关注,促使我国网络安全产业的高速发展,为我国企业发展奠定了良好的网络安全环境。信息化、大数据、物联网的发展推动企业提高生产和运行效率、降低成本、增强决策效率和提高决策准确率,数据爆炸式增长,使企业信息逐步成为企业重要的核心资产,企业的发展也越来越离不开信息化的发展与支持。另一方面行业头条新闻数据泄露、网络攻击事件层出不穷、企业内部操作不当事件时有发生。近两年数据显示,企业被攻击次数成递增态势、网络空间边界越来越模糊、网络攻击手段也更加快速。虽然企业信息安全防御水平再不断提高,但信息系统安全形势仍然不容乐观。企业信息系统安全体系建设面对严峻挑战,建设符合自身安全保障体系至关重要。-119-科技工作
中国科技信息2020年第3、4期合刊·CHINA SCIENCE AND TECHNOLOGY INFORMATION Feb.2019
息安全规划应该着眼于企业发展现状和企业发展目标。不同企业信息系统安全等级和防御要求都有不同的要求和规范,因此信息系统安全体系建设不能给出统一规范的标准,需要信息化管理人员根据企业的发展蓝图制定相应信息系统安全技术方案和投资计划。
来相应解决方法,关注安全防护新技术,在信息系统被攻击前,做好防御配置。如果检测到被攻击应及时切断传播途径,将损失减少到最小,再对被攻击系统进行分析和处置,做好问题记录和其他信息系统检查工作。在当前网络安全形势下,信息系统管理人员应该有敏锐的洞察力,并且不断地提升自身技术水品、根据企业安全需求增加系统安全投入,才能保证企业信息系统的安全稳定运行。
信息安全形势下企业应对措施
在大数据、云网络、物联网的发展趋势下,企业不可能于网络之外,物理隔离的信息系统也不再绝对安全,企业信息安全管理应适应当前的网络安全环境,信息化的发展同样不应该在温室中成长,不能墨守成规。适当的暴露问题,做好攻防演练。一方面是对企业信息安全管理和信息系统防御能力的检测,另一方面也是对信息系统安全管理人员水平检测,知不足然后能反也。
互联网是信息高速流转的时代,安全问题的爆发也会带
结语
信息安全体系建设不能一蹴而就,企业信息安全管理需要不断的学习探索和实践经验的累积。以组织过程资产为基础顺应网络安全形势,纵深加固企业信息系统,增加企业抗风险能力,培养网络安全人才,结合管理措施和技术手段,实现信息系统全生命周期的安全保障,形成符合企业自身的信息系统安全体系。
(上接第118页)
作相关和工作流程等,为科研人员提供专业性的指导,重点在涉密问题、知识产权归属和保护等方面,严格审核把关,加强业务培训。同时,建议学校配备专门的国际科技合作协议审核队伍,包含法律事务人员、精通外语人员及科研管理人员等,从降低风险的角度规范合作协议模式,确保相关利益不受损害。
(四)加强分级管理,实现协同联动
首先,要加强国际科技合作校院二级纵向管理,落实院所主体责任,提高院所等二级单位的积极主动性,建立学校-院所协调机制。把国际科技合作开展情况作为二级单位年度考核的重要内容,建立和完善激励机制、支撑机制、约束机制,形成纵横相连、目标到人、责任到位的国际科技合作组织管理新局面。
其次,校内相关职能部门在明确分工的基础上,进一步加强部门之间的协同与配合,比如学校科研人员出国访学、参加国际学术会议等因公出国需在学校国际事务部门备案,科研管理和人事部门可联合国际事务部门,掌握学校科研人员参与国际科技合作的总体情况;国际事务部门与人事部门在促成与海外机构签订合作协议方面与科研管理部门加强协作。因此,要形成定期会商制度,加强沟通交流和信息共享,定期碰头研讨国际科技合作相关的和具体问题(黄孚,2015)。通过建立健全规章制度,有计划、有层次地开展国际科技合作,不断提高学校国际科技合作的深度和广度。
积极提升国际科技合作质量和水平,有效利用全球科技资源,提升科技创新能力,对于高校抢抓机遇,提高国际影响力和竞争力,早日实现创建世界一流大学的目标具有重要而深远的意义。新的发展形势下,学校管理者要进一步思想,勇于创新、大胆开拓,不断提高管理能力和专业水平,不断拓宽国际科技合作合作渠道,推动高校国际科技合作再上新的台阶。
要围绕特色学科和优势学科,组建国际科研团队,着力在粒子物理、金融数学、人工智能、生物医学、生殖医学等领域,加强与国际一流大学、科研院所的科技合作,鼓励积极参与国际大科学计划、大科学工程等重大项目研究,同时要支持科研人员开展以我为主的国际科技合作研究。
山东大学与国际公司的科技合作占比较低,因此拓宽与国际的合作,成为打造国际科技合作经费新增长点的重要途径。清华大学、上海交通大学等国内一流大学在国际科技合作方面走在前列,尤其是清华大学国际科技合作年度经费能够突破10亿元,其重要原因便是与公司横向科技合作的飞速增长。因此,下一步要摸准企业的精准需求,遵循“走出去,请进来”的原则,积极探寻建立企业为主体,高校和科研机构、参与,以产学研合作为特征的国际合作新模式,依托学校优势学科及可转化的高水平科研成果,建立一批国际科技合作产业示范基地,争取吸引公司在国内设立研发机构或区域总部(孙明霞,2010)。通过与公司开展国际合作,公司将获得可商业化推广的研究成果,高校则通过科技合作,推动自身优势学科高质量发展,提高国际影响力。
(三)科学组织,提高专业化管理水平
作为科研管理部门,科学、专业的国际科技合作项目组织管理是提升高校国际科技合作水平的关键。首先,加强顶层设计,做好统筹谋划。建议成立国际科技合作发展咨询委员会,组织优秀人才,结合学科特点,整合优势资源,为开展国际科技合作出谋划策(高茹英,2010)。其次,在搜集国内外机构资助的各类国际科技合作项目信息方面,要加强时效性,必须结合学校国际科技合作的现状和特点,有针对性地开展国际科技合作项目申报动员。最后,建立专业管理队伍,提升管理水平,及时更新、熟练掌握各类国际科技合
-120-