制度 信息化安全的首要条件

　　随着国内信息化建设的逐步深入，越来越多的企业逐步意识到企业安全防护的重要性，在进行和完善自身的计算机及信息系统安全建设方面总是不遗余力。特别是随着Internet的飞速发展，企业互联网络安全将成为今后网络改造的重点，如何防止企业内部网系统遭到非法入侵、信息未经授权的存取或破坏，保证企业运营机要敏感数据不被窃取、非法复制和使用，将非法入侵拒之门外、同时有效防止计算机病毒、木马陷阱等对网络内部计算机系统的侵害，这些都是e经济时代企业迫切面临的问题。

　　防火墙、VPN、SSL安全代理网关等昂贵的硬件业正在越来越快的走入企业内部，担当起信息化安全的重任。不可否认，硬件技术本身对于外网的入侵损害能够完成至少3重保护，然而，企业内部的一个U盘却能让这公司的核心机密散布开来。显然，我们不仅仅需要IT技术，更需要信息安全制度。

　　安全需求分析

　　计算机信息网络的安全性主要包括网络服务的可用性(Availability)、网络信息的保密性(Confidentiality)和网络信息的完整性(Intergrity)。网络安全策略是安全管理体系和网络安全技术的综合，全面的整合安全解决方案应该主要包括：

　　规划企业整体安防体系完善的管理和审计制度

　　按照安全要求审查和配置网络内的计算机系统

　　全面规划和建设企业业务网络和办公网络

　　建立企业数据备份和恢复机制

　　按照安全要求在网络内的适当部位安装防火墙设备

　　按照安全要求建立企业整体防病毒系统

　　采用信息加密和授权认证技术保障企业信息私密性

　　按照安全要求全面评估和审查网络内的计算机漏洞

　　采用入侵检测技术审计和防护企业内部/外部攻击和非法授权使用

　　网络安全是一个系统工程，整个网络安全产品可划分为系统安全产品和数据安全产品，不是单一的产品或技术可以完全解决的。这是因为网络安全包含多个层面，既有层次上的划分、结构上的划分，也有防范目标上的差别。在层次上涉及到网络层的安全、传输层的安全、应用层的安全等;在结构上，不同节点考虑的安全是不同的;在目标上，有些系统专注于防范破坏性的攻击，有些系统是用来检查系统的安全漏洞，有些系统用来增强基本的安全环节(如审计)，有些系统解决信息的加密、认证问题，有些系统考虑的是防病毒的问题。任何一个产品不可能解决全部层面的问题，这与系统的复杂程度、运行的位置和层次都有很大关系，因而一个完整的安全体系应该是一个由具有分布性的多种安全技术或产品构成的复杂系统，既有技术的因素，也包含人的因素。

　　企业信息化制度制定的四大原则

　　1、量身訂作的原则：企业要根据自己的实际情况和实际存在管理问题制定相应的信息制度，不能生搬硬套。很多企业的CIO非常喜欢从别的企业拷贝来一些制度，稍加修改就在本企业使用，但由于和企业的实际情况不吻合，结果造成制度不能得到很好的执行。

　　2、全面科学的原则：对于企业信息管理制度一定全面、科学。因为，企业信息管理中存在很多问题，问题之间有一定关联性，如果仅仅是片面问题解决，是不能全面解决企业的问题。制定制度要科学，要符合客观实际，要切实可行。当企业的情况发生变化时，要及时修改制度，制度要在不断执行过程中得以完善。

　　3、责任目标明确原则：在制度要有明确的目标和责任，这样才能有的放矢，体现整个制度的完整性和合理性。

　　4、奖惩分明原则：制度要有奖惩措施，否则制度只是一纸空文，起不到真正的作用。

　　在信息化的建设中，信息制度建设是保障。信息化不能一蹴而就，一化就灵。信息化为我们提供了科学、便捷、智能化的管理工具和手段，但信息化不是万能的，还要靠制度去保障、去规范使用者的操作行为;换一句话说，要用严格的制度去约束人的行为，杜绝随意性，要实现成果共享，数据共享，信息共享。建立设备和资源的保管、维护、使用制度，建立经费投入和保障机制、建立科学评价与反馈机制来确保信息系统的应用是CIO重要的职责之一。