企業(yè)信息安全風(fēng)險源于其信息系統(tǒng)自身的脆弱性以及外部威脅兩個方面。據(jù)市場研究組織Weboot統(tǒng)計,中國約有一半的企業(yè)曾遭受過惡意攻擊,企業(yè)遭受的外部威脅有40%來自于惡意軟件攻擊,企業(yè)內(nèi)部威脅所造成的損失有80%是由于企業(yè)內(nèi)部人員的不正當(dāng)行為所導(dǎo)致。由此可見,企業(yè)的信息安全防范形勢十分嚴(yán)峻。
如何有效防范企業(yè)的信息安全風(fēng)險?從宏觀上講,由于內(nèi)因的長期存在,任何企業(yè)的信息安全都無法做到100%。但有兩種應(yīng)對策略:對于必須連接公共網(wǎng)絡(luò)的企業(yè)信息系統(tǒng),可采用PDR(保護(hù)、檢測、響應(yīng))模型,在加強(qiáng)安全保護(hù)的基礎(chǔ)上,進(jìn)行動態(tài)的檢測,第一時間發(fā)現(xiàn)問題、及時處置、及時恢復(fù), 將對企業(yè)、對社會的危害降到最低;而對于涉及國家安全和公共利益的企業(yè)信息系統(tǒng),則必須采用物理隔離的方法,阻斷各種外部的安全威脅,并通過加強(qiáng)信息安全技術(shù)和管理防范安全風(fēng)險。
從微觀上講,首先,企業(yè)必須依照《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》(147號令)和《中華人民共和國網(wǎng)絡(luò)安全法》開展信息系統(tǒng)等級保護(hù),按照適度保護(hù)的原則,確定企業(yè)信息系統(tǒng)的安全等級,搭建信息系統(tǒng)安全保護(hù)的基本平臺。其次,重點(diǎn)做好關(guān)鍵環(huán)節(jié)的信息安全保護(hù)工作,通過采用權(quán)威部門發(fā)布的信息安全產(chǎn)品,統(tǒng)一身份管理系統(tǒng),以及實(shí)時的信息安全檢測,加強(qiáng)動態(tài)防護(hù)。同時,分析和評估信息安全風(fēng)險,運(yùn)用科學(xué)的方法和手段,幫助管理者認(rèn)清企業(yè)信息安全的薄弱點(diǎn),制定出有效的防御及整改措施。
“沒有網(wǎng)絡(luò)安全就沒有國家安全,沒有信息化就沒有現(xiàn)代化”,網(wǎng)絡(luò)安全保護(hù)是國家意志、政府行為,需要企業(yè)、機(jī)構(gòu)和個人廣泛參與,任何人都很難做到獨(dú)善其身。只有營造良好的網(wǎng)絡(luò)安全生態(tài)環(huán)境,才能保障自身的網(wǎng)絡(luò)安全,最終構(gòu)建國家的網(wǎng)絡(luò)空間安全。綜上所述,企業(yè)應(yīng)該按照等級保護(hù)的方法認(rèn)真做好信息安全建設(shè),加強(qiáng)信息安全管理,提高員工信息安全意識,為國家網(wǎng)絡(luò)空間的安全建設(shè)奠定堅實(shí)的基礎(chǔ)。