ISO27001 信息安全管理實用規(guī)則ISO/IEC27001的前身為英國的BS7799標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)由英國標(biāo)準(zhǔn)協(xié)會（BSI）于1995年2月提出，并于1995年5月修訂而成的。1999年BSI重新修改了該標(biāo)準(zhǔn)。BS7799分為兩個部分：BS7799-1，信息安全管理實施規(guī)則BS7799-2，信息安全管理體系規(guī)范。第一部分對信息安全管理給出建議，供負(fù)責(zé)在其組織啟動、實施或維護(hù)安全的人員使用；第二部分說明了建立、實施和文件化信息安全管理體系（ISMS）的要求，規(guī)定了根據(jù)獨立組織的需要應(yīng)實施安全控制的要求。

ISO/IEC27001對信息安全管理給出建議，供負(fù)責(zé)在其組織啟動、實施或維護(hù)安全的人員使用。該標(biāo)準(zhǔn)為開發(fā)組織的安全標(biāo)準(zhǔn)和有效的安全管理做法提供公共基礎(chǔ)，并為組織之間的交往提供信任。

標(biāo)準(zhǔn)指出“象其他重要業(yè)務(wù)資產(chǎn)一樣，信息也是一種資產(chǎn)”。它對一個組織具有價值，因此需要加以合適地保護(hù)。信息安全防止信息受到的各種威脅，以確保業(yè)務(wù)連續(xù)性，使業(yè)務(wù)受到損害的風(fēng)險減至最小，使投資回報和業(yè)務(wù)機(jī)會最大。

信息安全是通過實現(xiàn)一組合適控制獲得的?？刂瓶梢允遣呗?、慣例、規(guī)程、組織結(jié)構(gòu)和軟件功能。需要建立這些控制，以確保滿足該組織的特定安全目標(biāo)。

一、前言

  文章介紹了企業(yè)計算機(jī)網(wǎng)絡(luò)安全存在的問題，闡述了對影響企業(yè)計算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的因素，通過分析，并結(jié)合自身實踐經(jīng)驗和相關(guān)理論知識，探討了如何加強(qiáng)企業(yè)網(wǎng)絡(luò)安全管理措施。

二、企業(yè)計算機(jī)網(wǎng)絡(luò)安全存在的問題

  1.安全意識淡薄在企業(yè)網(wǎng)絡(luò)系統(tǒng)中，每一臺計算機(jī)的安全性都會影響整個系統(tǒng)的安全性能，網(wǎng)絡(luò)安全與每個用戶息息相關(guān)。內(nèi)部員工了解公司的網(wǎng)絡(luò)結(jié)構(gòu)、數(shù)據(jù)存放方式和地點甚至掌握業(yè)務(wù)系統(tǒng)的密碼。在具有嚴(yán)格訪問權(quán)限的系統(tǒng)中，使用弱密碼的用戶有可能成為安全系統(tǒng)中的缺陷，甚至有些人隨意改動系統(tǒng)注冊表，使得整個網(wǎng)絡(luò)安全系統(tǒng)失效

  2.網(wǎng)絡(luò)安全體系不健全當(dāng)前很多企業(yè)盡管采取了一些安全措施，但安全保護(hù)措施較為零散，缺乏整體性與系統(tǒng)性，對于企業(yè)網(wǎng)絡(luò)信息安全保護(hù)缺乏統(tǒng)一的、明確的指導(dǎo)思想，沒有建立一個完善的安全體系，這是引發(fā)安全問題的主要源頭。

  3.網(wǎng)絡(luò)黑客攻擊黑客肆意妄為，破壞的手段也越來越多樣化。企業(yè)的內(nèi)部資料對于整個企業(yè)經(jīng)營來說相當(dāng)重要，因為它關(guān)系到整個企業(yè)的生死存亡。企業(yè)存放信息會因網(wǎng)絡(luò)黑客攻擊而造成資料的泄密
  4.來自企業(yè)外部的感染來自企業(yè)外部的計算機(jī)病毒具有傳播性、破壞性、隱蔽性、潛伏性和可觸發(fā)性等特點，通過入侵網(wǎng)絡(luò)系統(tǒng)和設(shè)備，對數(shù)據(jù)進(jìn)行破壞，使網(wǎng)絡(luò)癱瘓，不能正常運作。網(wǎng)絡(luò)蠕蟲由于不需要用戶干預(yù)就能觸發(fā)，因而其傳播速度要遠(yuǎn)遠(yuǎn)大于計算機(jī)病毒，其對網(wǎng)絡(luò)性能產(chǎn)生的影響也更為顯著和嚴(yán)重。木馬是指附著在應(yīng)用程序中或者單獨存在的一些惡意程序，它可以利用網(wǎng)絡(luò)遠(yuǎn)程控制安裝有服務(wù)端程序的主機(jī)，實現(xiàn)對主機(jī)的控制或者竊取主機(jī)上的機(jī)密信息。

  5.來自企業(yè)網(wǎng)絡(luò)內(nèi)部的攻擊企業(yè)防護(hù)重點是對外，往往忽視對內(nèi)部防護(hù)的重視。利用企業(yè)內(nèi)部計算機(jī)對企業(yè)局域網(wǎng)絡(luò)進(jìn)行攻擊，企業(yè)局域網(wǎng)絡(luò)也會受到嚴(yán)重攻擊，當(dāng)前企業(yè)內(nèi)部攻擊行為大大加強(qiáng)了企業(yè)網(wǎng)絡(luò)安全的風(fēng)險。

三、影響企業(yè)計算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的因素

  1.病毒攻擊目前，計算機(jī)病毒的制造者大多利用Internet網(wǎng)絡(luò)進(jìn)行傳播，因中小企業(yè)防范薄弱管理規(guī)范性有待提高，所以他們很大可能要遭到病毒的攻擊。病毒可能會感染大量的機(jī)器系統(tǒng)，也可能會大量占用網(wǎng)絡(luò)帶寬，阻塞正常流量，如：發(fā)送垃圾郵件病毒，從而影響企業(yè)計算機(jī)網(wǎng)絡(luò)的正常運行。

  2.軟件漏洞任何軟件都有漏洞，這是客觀事實。而同時中小企業(yè)在軟件采用上大都以節(jié)約為本，不注重也不舍得花銷來進(jìn)行軟件更新的后期升級服務(wù)，以至于非法用戶正好通過這些需要升級的漏洞竊取用戶信息和破壞信息，針對固有的安全漏洞進(jìn)行攻擊.

  3.職員不當(dāng)操作中小企業(yè)計算機(jī)管理人員配置少，監(jiān)督管理都難以細(xì)致，其它職工在信息化系統(tǒng)操作中容易出現(xiàn)工作馬虎，不細(xì)心，不按成型的規(guī)范操作，不遵守制定的相應(yīng)規(guī)章制度。中小企業(yè)中很多職工信息安全意識不強(qiáng)，將自己的生日或工號作為系統(tǒng)口令，或?qū)挝坏馁~號隨意轉(zhuǎn)借他人使用，從而造成信息的丟失或篡改。

  四、加強(qiáng)企業(yè)網(wǎng)絡(luò)安全管理措施

  1.要加大對計算機(jī)網(wǎng)絡(luò)與信息安全工作的投入。信息技術(shù)進(jìn)步神速，我國在這一領(lǐng)域同發(fā)達(dá)國家比，并沒有優(yōu)勢。因此我國更應(yīng)加大投入，刻苦攻關(guān)，掌握一些關(guān)鍵的信息技術(shù)，以確保我國在信息安全方面的自主能力?？梢院敛豢鋸埖卣f，今年安全方面的自主能力，將制約我國的綜合國力和國防實力，因此，我國應(yīng)當(dāng)像五六十年代發(fā)展“兩彈一星”一樣，集中力量，加大投入，迎接信息技術(shù)革命的挑戰(zhàn)，保衛(wèi)國-家-安-全。這一點，我們不能幻想通過進(jìn)口來解決問題。在信息安全技術(shù)方面，發(fā)達(dá)國家一方面極為重視研究開發(fā)，美國政府曾為了改進(jìn)美國政府的計算機(jī)安全系統(tǒng)，投入巨大的資金;另一方面，又嚴(yán)格控制信息安全技術(shù)的出口。以美國為代表的發(fā)達(dá)國家，對信息安全產(chǎn)品出口，已作出許多嚴(yán)格限制，以維護(hù)其在信息技術(shù)領(lǐng)域的絕對優(yōu)勢。

  2.關(guān)鍵數(shù)據(jù)采用加密手段。在企業(yè)計算機(jī)網(wǎng)絡(luò)中關(guān)于數(shù)據(jù)安全的隱患無處不在。尤其是一些機(jī)密數(shù)據(jù)庫、商業(yè)數(shù)據(jù)等一定要保證它的安全性，這時一般會采取對數(shù)據(jù)加密的手段，它是一種保護(hù)數(shù)據(jù)在存儲和傳遞過程中不被竊取或修改的一種手段，該數(shù)據(jù)加密系統(tǒng)在使用的過程中需要綜合考慮執(zhí)行效率與安全性之間的平衡。

  3.加強(qiáng)安全管理力度健全管理制度。首先，加強(qiáng)信息安全管理力度應(yīng)積極采取宏觀管理與重點監(jiān)控相結(jié)合的方式，保證信息化項目的安全性。系統(tǒng)的實施及管理部門應(yīng)該全面掌握各單位的計算機(jī)網(wǎng)絡(luò)系統(tǒng)的相關(guān)情況，為企業(yè)統(tǒng)一管理提供可靠依據(jù)。同時，對重點工程實地考察，對信息安全進(jìn)行檢查，發(fā)現(xiàn)問題及時解決。

  4.事務(wù)管理和故障恢復(fù)。事務(wù)管理和故障恢復(fù)主要是對付系統(tǒng)內(nèi)發(fā)生的自然因素故障，保證數(shù)據(jù)和事務(wù)的一致性和完整性。故障恢復(fù)的主要措施是進(jìn)行日志記錄和數(shù)據(jù)復(fù)制。計算機(jī)同其他設(shè)備一樣，都可能發(fā)生各種各樣的故障，比如電源故障、軟件故障、災(zāi)害故障以及人為破壞等，這些故障可能會造成數(shù)據(jù)庫的數(shù)據(jù)丟失，因此為了保證計算機(jī)的安全運行，必須在發(fā)生故障時采取必要的措施恢復(fù)數(shù)據(jù)庫，事務(wù)管理和故障恢復(fù)就是這個作用，它能夠保障數(shù)據(jù)庫在出現(xiàn)故障時，仍可以把數(shù)據(jù)庫系統(tǒng)還原到正常狀態(tài)。

 
  五、企業(yè)信息安全新形勢網(wǎng)絡(luò)信息安全工作始終是通信行業(yè)最為關(guān)鍵的工作之一，具有長期性、復(fù)雜性和艱巨性的特點。2015年3G及寬帶網(wǎng)絡(luò)蓬勃發(fā)展，三網(wǎng)融合開始實施操作，云計算和物聯(lián)網(wǎng)產(chǎn)業(yè)方興未艾，需求的個性化、數(shù)字的海量化、業(yè)務(wù)的復(fù)雜化給通信行業(yè)網(wǎng)絡(luò)信息安全帶來了新的更大的挑戰(zhàn)，行業(yè)中企業(yè)要進(jìn)一步提高對網(wǎng)絡(luò)信息安全重要性的認(rèn)識，發(fā)展與管理并重，加強(qiáng)部門協(xié)調(diào)配合，加強(qiáng)網(wǎng)絡(luò)基礎(chǔ)管理工作，加強(qiáng)網(wǎng)絡(luò)信息安全保障能力建設(shè)，特別是要加快網(wǎng)絡(luò)信息安全關(guān)鍵基礎(chǔ)產(chǎn)業(yè)的研發(fā)應(yīng)用和產(chǎn)業(yè)化，通過核心技術(shù)掌握自主知識產(chǎn)權(quán)，加快發(fā)展自主可控的信息安全產(chǎn)業(yè)，建設(shè)新時期通信行業(yè)網(wǎng)絡(luò)安全、信息安全長城。從國際國內(nèi)出現(xiàn)的安全現(xiàn)象出發(fā)應(yīng)對多種復(fù)雜的安全新問題，應(yīng)該借助于RFID等物聯(lián)網(wǎng)新技術(shù)，并通過極主動地建立網(wǎng)絡(luò)與信息安全的保障體系，技術(shù)和管理并重，加強(qiáng)立法建設(shè)、政策制訂、技術(shù)研究、標(biāo)準(zhǔn)制訂、隊伍建設(shè)、人才培養(yǎng)、市場服務(wù)、宣傳教育等多方面的工作，通過產(chǎn)業(yè)鏈各方的緊密合作共同構(gòu)造一個全方位多層次的網(wǎng)絡(luò)與信息安全環(huán)境，來共同改善全球的網(wǎng)絡(luò)與信息安全問題。結(jié)束語隨著科技的發(fā)展，一些不法份子和黑客通過計算機(jī)網(wǎng)絡(luò)竊取企業(yè)商業(yè)機(jī)密的現(xiàn)象越來越多，因此，對于計算機(jī)網(wǎng)絡(luò)信息安全管理應(yīng)該予以高度重視，否則可能對企業(yè)造成不可預(yù)估的損失。信息安全管理的重要性隨著計算機(jī)技術(shù)的不斷發(fā)展，計算機(jī)被廣泛地應(yīng)用于各個領(lǐng)域。在企業(yè)中，利用計算機(jī)進(jìn)行管理可以顯著的提高工作效率，使企業(yè)管理水平有一個明顯的提高。對于中小企業(yè)而言，信息化是中小企業(yè)迎接新經(jīng)濟(jì)的挑戰(zhàn)，提高企業(yè)運作效率、降低經(jīng)營管理成本、把握新的商業(yè)機(jī)會的必由之路。在各類管理信息系統(tǒng)中，信息制作和傳播等都要涉及信息的存儲、傳輸與使用等信息處理問題，而信息處理過程中的信息安全問題尤為突出。對于存儲在計算機(jī)中的重要文件、數(shù)據(jù)庫中的重要數(shù)據(jù)等信息，一旦丟失、損壞或泄露、不能及時送達(dá)，都會給企業(yè)造成很大的損失。如果是商業(yè)機(jī)密信息，給企業(yè)造成的損失會更大，甚至?xí)绊懙狡髽I(yè)的生存和發(fā)展。目前，國內(nèi)大中型企業(yè)由于信息化起步早、資金和技術(shù)力量充足、管理制度較為完善，因此信息安全體系成熟度也相對較高，但眾多中小企業(yè)由于資金、技術(shù)等方面的原因，在信息安全性方面普遍存在著嚴(yán)重漏洞，與大型企業(yè)、行業(yè)用戶相比，它們更容易受到網(wǎng)絡(luò)病毒的侵害，損失同樣嚴(yán)重。因此構(gòu)建一個成熟的信息安全管理體系對中小企業(yè)尤為重要。