工业领域信息安全保密管理体系创新探讨
2022-12-12
摘要:近几年工业领域信息泄露问题愈发尖锐,严重影响企业良好发展,并给企业形象造成严重损失。在此背景下企业要想保持良好的发展态势,有效避免信息泄露或被盗取,应深化工业领域信息安全保密管理工作,推进工业领域信息安全保密管理体系创新,从而切实强化企业信息安全保密水平,进而维护各方经济利益与保障工业领域稳定发展。基于此,本文将以深化工业领域信息安全保密管理的重要性为切入点,主要探究工业领域信息安全保密管理体系创新策略,以期为相关学者研究提供参考。
关键词:工业领域;信息安全;保密管理
我国已步入互联网时代,信息技术已经全方位渗透于工业领域发展中,成为工业领域快速发展中的关键性技术。但随着信息技术的不断渗透,在给企业带来发展机遇的同时,也为企业带来了严峻挑战,其中信息安全保密问题则最为突出。为此,企业要想在新时期健康可持续发展,必须侧重信息安全保密管理,认清原有信息安全保密管理工作中存在的不足,进而根据企业实际发展情况与需求完成工业领域信息安全保密管理体系创新。
1 深化工业领域信息安全保密管理的重要性
工业控制信息网络作为一种先进技术,其具有复杂的硬件、软件和数据,这些是工业控制系统良好运行的关键,但其也极易受到威胁和破坏。而工业控制信息网络安全技术的出现就可以有效保护系统安全,避免工业控制系统在运行时遭到人为的攻击或者病毒破坏,以此确保其系统数据不会丢失,并保证其完整性、可用性。工业控制系统的数据、使用者、操作内容都与信息网络安全有着重要的作用,所以增强网络安全运维的管理力度,将网络安全技术进行合理地利用,对工业控制系统保护具有相当重要意义[1]。
(1)有利于维护各方经济利益
深化工业领域信息安全保密管理在各方经济利益维护方面具有关键性作用。在新经济常态背景下,工业领域市场得以拓宽,但与此同时也为工业领域带来了一定的挑战,因此相关企业要想在激烈的市场环境中健康可持续发展,必须重视企业内部管理,其中信息安全保密管理则为重中之重,因为随着企业快速发展,产业规模不断扩大,其涉及到的工作人员、客户、保密性文件、专利技术等内容越来越多,一旦出现信息泄露不仅会给企业带来严重的打击,还会导致与该企业相关的人员、企业、客户等信息被泄露,为其带来严重的经济损失。基于此,深化工业领域信息安全保密管理具有重要意义,能够切实维护各方经济利益[2]。
(2)保障工业领域稳定发展
随着工业领域经济迅猛发展,对良性竞争提出了严格要求,强调企业在生产经营过程中必须坚持良性竞争理念。但部分企业为获取更大的市场份额从而获取更高的经济利益,会采取违法等手段获取其他企业保密信息,以此在企业竞争中获胜,这种恶性竞争会直接打破工业领域中各企业之间的和谐与稳定。针对这一情况,通过深化工业领域信息安全保密管理能够不断强化企业信息保密水平与实力,避免发生信息泄露或被盗取等问题发生,从而有效保障工业领域稳定发展。
2 现阶段工业领域信息安全保密管理存在的不足
以某企业信息安全保密管理情况为例,采用层次分析法、权重计算法对该企业信息安全保密管理中的详细指标进行调查并得出计算结果。
第一,信息安全方向。在该方向中详细划分为建立信息安全方针、实施信息安全方针、信息安全方针评审委员会、定期信息安全方针文件的评审,得出的权重与阈值依次为115与0.7408、109与0.4543、77与0.3120、110与0.6975,均符合标准。
第二,信息安全组织方向。在该方向中详细划分为信息安全职责划分、保密协议、信息安全独立评审、关于外部组织风险识别、在第三方合同中强调安全,得出的权重与阈值依次为114与0.3542、107与0.2998、113与0.3458、86与0.3485、86与0.5358,其中除信息安全独立评审符合标准外,其他指标未达标。
第三,资产管理方向。在该方向中详细划分为资产清单、可接受的资产使用、分类指南、信息的标识和处理,得出的权重与阈值依次为60与0.3450、85与0.6550、112与0.5358、107与0.4542,均符合标准。
第四,人力资源方向。在该方向中详细划分为任务和职责、人员考察、雇佣条款和条件、管理职责、信息安全意识教育与培训、惩戒程序、终止职责、资产归还、撤销访问权限,得出的权重与阈值依次为80与0.3487、75与0.3023、81与0.3485、83与0.2014、115与0.4326、108与0.3685、80与0.2933、55与0.1615、106与0.5454,其中任务和职责、人员考察、信息安全意识教育与培训、惩戒程序均未达标,其余均符合标准。
第五,物理和环境安全方向。在该方向中详细划分为安全区域、物理进入控制、防范外部和环境的威胁、设备安全、资产迁移,得出的权重与阈值依次为100与0.4465、112与0.6718、82与0.3238、109与0.5535、115与1.0000,其中除资产迁移不符合标准外,其余指标均符合信息安全保密管理标准。
第六,通信和操作管理方向。在该方向中详细划分为文件化的操作程序、变更管理、第三方服务交付管理、监控和评审第三方服务、系统验收、防范恶意代码、系统漏洞管理、信息备份、信息处理程序、审计日志、日志信息的保护、故障记录,得出的权重与阈值依次为87与0.4762、92与0.5238、69与0.5653、58与0.4346、115与1.0000、115与0.5000、115与0.50000、115与1.0000、115与0.6340、92与0.3660、92与0.4518、81与0.3745,其中除文件化的操作程序、变更管理、监控和评审第三方服务、系统验收、防范恶意代码、信息备份、信息处理程序、审计日志、日志信息的保护符合信息保密标准。
结合分析与计算出来的结果开展调查,发现该企业在信息安全方向中存在公司内部各部门都认为信息安全应该属于信息部门的事情,和其他部门没什么关系;大部分供应商对信息安全缺乏基本了解;信息安全职责不明确;只是应某些客户要求签署保密协议;公司内部信息的机密性缺乏有效识别;和供应商也没有签署保密协议;没有识别客户、供应商的信息安全风险;和客户、供应商签署的合同中没有包含信息安全相关的内容等信息安全保密管理问题。在人力资源安全方向存在岗位职责说明文件中没有涉及信息安全相关的内容;雇佣前人事将对入职人员进行背景调查,调查没有涉及信息安全相关的内容;没有信息安全意识的培训;对于违反信息安全的处罚含糊不清;处罚力度不够等信息安全保密管理问题。在物理和环境安全方向存在纸质文件带出厂区外保安不检查问题。在通信和操作管理方向存在不管是软件还是硬件,厂商一般不提供相关的文档;存在部分暂时不联网的电脑缺少漏洞修补程序;报废的光盘、软盘等介质不进行销毁处理;有些信息部人员侧重于解决故障问题,没有记录故障的习惯等信息安全保密管理问题。
面对当前该企业信息安全保密管理体系中存在的不足,要想保障企业在激烈的市场竞争环境中保持良好的发展态势,必须正视信息安全保密管理问题带来的影响,从而结合自身实际发展情况以及需求进行信息安全保密管理体系创新,进而优化与完善工业领域信息安全保密管理整体成效[3]。
3 工业领域信息安全保密管理体系创新策略
(1)识别信息安全风险
在工业领域信息安全保密管理体系创新过程中优化与完善识别信息安全风险是创新重点,通过信息安全风险识别能够及时监测企业信息的安全情况,识别企业是否存在信息泄漏风险,从而基于信息安全风险识别结果便于制定有针对性的、详细的信息安全保密管理体系与此同时,信息安全风险识别体系的构建还能够找出当前企业信息保密系统中存在的漏洞以及潜存的安全隐患,并采取相应手段对其进行修补,从而有效保障企业信息的安全性、保密性、整体性[4]。
(2)建设安防管理体系
伴随着企业发展规模不断扩大,产生的保密信息越发庞大,因此要想切实保护信息安全,应创新工业领域信息安全保密管理体系,建立健全安防管理体系。在安防管理体系实际建设与应用中,主要设置了三大管理体系,分别为技术体系、组织体系与管理体系,技术体系应设置技术机制与技术管理两大模块,并采用运行环境及系统安全技术、OSI安全技术,落实系统安全、物理安全、OSI安全管理、安全服务、安全机制、安全策略与服务、密钥管理、状态检测、入侵监控等功能。组织体系下则设置机构、岗位、人事三大模块,分别开展相关的信息安全保密工作。而管理体系则设置培训、法律、制度三大模块,主要负责组织企业内部工作人员开展信息安全保密意识培训与相关法律制度讲解[5]。
(3)落实安全保密新技术
在信息技术快速发展背景下,传统信息安全保密技术已无法满足新时期企业信息安全保密管理需求,基于此,为进一步深化工业领域信息安全保密管理质量,应不断引进先进的信息安全保密技术,实现技术创新与应用。
首先,企业管理者需要提高对安全保密新技术引进的重视程度,了解安全保密新技术对保障企业信息安全以及维护企业良好发展的重要意义,进而从上至下带动企业内部相关人员对安全保密新技术引进的重视水平。
其次,企业需要增加技术投资,以便在充足的资金支持下,引进国际上最先进的信息安全保密技术,从而切实提高企业信息安全保密管理实力,此外,由于国际上的信息安全保密技术较为昂贵,因此为实现成本管控,企业还应成立技术研发团队,专项负责新技术研发,从而研究出与自身企业实际情况与需求相适应的信息安全保密技术[6]。
最后,企业技术人员在开展信息安全保密管理体系创新时还应对现有的信息安全保密技术进行优势提取,将数字签名技术、接入控制技术、跟踪审计技术、防火墙技术进行融合,从而发挥出原有信息安全保密技术的联合作用。其中数字签名技术的优点为可以利用公钥加密领域技术,鉴别数字信息,接入控制技术的优点为运用接入控制设备,控制用户对外部网络的访问,强化身份认证安全性,跟踪审计技术的优点为利用网络信息技术对用户访问进行追踪与监控,防火墙技术的优点为通过软件及硬件设备组合,在各个网络之间建立网络通信监控保护系统,阻挡外部网络入侵。
(4)明确信息安全保密管理体系创新方向
以某工业领域负责零件生产加工的企业为例,对该企业信息安全保密管理情况进行分析,主要分析方向为该企业的信息安全职责划分 (企业应当明确商务所有者、数据所有者、系统所有者的责任)、保密协议(企业应当识别哪些信息是保密的,并和有可能接触此类信息的人员签订保密协议)、信息安全独立评审(企业应当进行至少1年1次的第三方的信息安全独立评审)、关于外部组织风险识别(在和外部商业伙伴合作过程中,企业应能识别其中的信息安全风险)、在第三方合同中强调安全(在和第三方电脑系统软硬件供应商签署的合同、协议中应注明第三方对于接触到企业的信息安全资产应当承担保密义务)[7]。
4 结束语
综上所述,在激烈的市场竞争中企业要想稳健发展,内控与外部机遇同等重要,企业要想借助信息技术实现产业升级,必须做好信息安全防范工作,以免因信息安全问题造成不必要的商业机密、专利技术泄露,从而产生经济损失。基于此,面对现阶段企业发展中严重的信息安全保密管理问题,企业必须提高对信息安全保密管理的重视程度,结合自身实际情况通过建设安防管理体系、识别信息安全风险、落实安全保密新技术、明确信息安全保密管理体系创新方向等措施完成工业领域信息安全保密管理体系创新,增强信息安全保密管理力度。
参考文献:
[1]鞠拓,陈智迪,王文琦.工业信息物理系统的安全稳定性设计与应用研究[J].长江信息通信,2021,34(12):114-118.
[2]张兰.数字化趋势下如何保障工业信息安全?西门子开“良方”[J].今日制造与升级,2021(08):44-45.
[3]李江宁.工业信息安全防护现状及发展思考[J].新型工业化,2021,11(10):118-120+125.
[4]赵冉,张晓菲,董良遇.我国工业企业信息安全现状及下一步工作建议[J].中国信息安全,2021(07):66-68.
[5]汤默.保密工作的一体化视域:非密与安全[J].保密工作,2020(09):65-67.
[6]陈钟.新基建背景下网络安全面临的挑战与应对[J].保密工作,2020(08):5-7.
[7]潘泉.工业控制系统信息安全保密挑战与应对[J].保密工作,2020(06):7-9.
作者:李亚方