王振宇 黄勇 何岩

摘   要：文章从国有企业信息系统安全管理重要度出发，分析面临的形势和存在的重难点问题，从搞好顶层设计、把握建设原则、完善系统建设、突出技防并举、加强人才培养等方面，探讨了推进国有企业信息化安全管理建设的基本思路和方法途径。

关键词：国有企业;信息系统;安全管理

中图分类号：TP399          文献标识码：A

Abstract： This paper presents the values of principle in enterprise security management for high level of the enterprise business. Information security has become one common challenge most organizations face with effect respond to present the value set of systems in information security management from a perspective of the state–owned tech company in an empirical analysis of future challenges of enterprise project. An executive management must have a model that provide information regarding the enterprise system， current operations， operating costs， quality， as well as security concurs， which enable analysis of methodology for assessing safety， personal training， trends， consideration of design of scenarios with methods.

Key words： enterprise;information system; security management

1 引言

随着新时期信息化、智能化、一体化的快速发展，“以信息化带动工业化，以工业化促进信息化，以智能化提升信息化”为牵引的发展趋势，对现代国有企业信息化建设与发展提出了更高的要求。特别是以计算机信息系统安全管理为代表的信息化能力建设，不仅为国有企业装备、科研、生产提供了高效、精确、可靠的信息技术支持，更是成为新时期国有企业转型建设发展的力量倍增器。为此，加强国有企业信息化建设，提升经济效能，就必须从信息系统建设基础抓起，坚持以信息技术为抓手，力求做到全方位信息管理与数据集成、网络防护与高效监管、数据精准与传输顺畅。然而，国有企业信息系统安全管理所面临的形势十分严峻突出，如何加强网管查堵布控，居安思危，杜绝信息安全漏洞，确保国有企业高效快速、安全平稳发展，已是摆在人们面前亟待解决的突出问题，只有“一手抓生产，一手抓安全”，双管齐下，才能为实现新型国有企业由工业化向信息化、数字化、智能化跨越式发展保驾护航。

2 信息系统在国有企业管理的地位与作用

现代国有企业正在向以信息化、网络化为特征的“数字智能化”发展，信息系统已成为国有企业提高核心竞争力的重要组成部分，更是当今国有企业实施科研生产与管理所不可或缺的“软实力”体现，地位作用十分突出。

一是随着信息化技术的广泛普及和应用，信息系统为国有企业的创新与发展，提供了坚实可靠的信息技术支撑，成效显著。反复实践证明，现代国有企业建设与发展，不能忽视信息系统“软硬”件建设与投入，越是任务繁重，越要加强信息系统管理与技术改进工作，不断更新完善“软硬”件配套设施建设，构建实用型数据库与配套服务终端，收集整理科研数据信息，为科研技改部门攻关铺路搭桥，只有把信息系统建设与管理工作放在首位，发挥网管控制系统优势，上下信息采集精准畅通，才能为各级决策部门提供科学依据，满足国有企业快速发展建设的需要。

二是现代科技信息系统的研发与建立，为国有企业摆脱落后的管理模式，减员增效、降低劳动成本，走向现代化管理正轨，夯实了“软实力”。回顾国有企业发展历程，面对繁重的科研与生产任务，历经几代科技工作者们不懈奋斗，由落后的手工记账、统计、测试、防护和经验估算等方式，向运用信息系统、网络管理、安全监控等科技手段，实施精准、高效、快捷、智能化安全管理模式转化，既减轻了人力、物力强度，又实现了质量效能的提升。如今，以大数据、云计算、云存储技术为代表的科技手段运用在国有企业创新发展进程中，起到了中流砥柱的作用，有力地推进了国有企业跨越式发展，使经济效益显著提高。

三是信息系统是国有企业紧盯世界科技发展潮流的“瞭望塔”，更是国有企业生存与发展的“助推器”。 在科学技术日新月异、升级换代的今天，谁掌握了新知识、新技术，谁就抢先占领了科技前沿制高点，抢夺了商机，必须坚持信息为主导，紧盯当今世界科技发展最新成果为国家所用，聚焦、运用现代信息化、智能化技术，为国有企业改革创新发展，为决策层预测评估分析，提供坚实可靠的信息保证。

3 信息系統安全管理面临的难点与对策

敢于直面问题，是革弊鼎新的重要前提。经过多年科技工作者们的努力，如今国有企业信息系统安全管理建设取得了长足进步与发展。但纵观现实看，信息化推进与现代国有企业实现跨越式发展建设的总体趋势、目标和安全管理要求等方面存在一定差距，亟待工作者们下大力加以解决。

一是从信息系统安全管理体系构成要素看，完善的法规制度是做好信息系统网络安全防失泄密的有力保证。严格执行《中国计算机信息系统安全保护条例》，抓好网络运行监控、检测维护、数据备份、空间清理、升级补丁和病毒查杀等关键节点要素，是处理解决“疑难杂症”、确保信息系统运行畅顺前提。当前，随着高新技术快速引入与发展，如各类信息网络设备、计算机、办公自动化设备、声像设备和保密产品等升级换代问题日趋突出，必将制约工作效率。对此，从管理上看，与之相关的安全管理制度、用户手册、防火墙升级与重树等，都必须与时俱进，适时修订完善，杜绝安全隐患、漏洞;从技术上看，信息系统安全管理、维护、操作技能培训也必须同步推进。二者相辅相成，缺一不可。

二是随着涉密网络信息分级保护工作的不断推进，国有企业涉密信息系统保密管理水平与安全防范能力显著提高。然而，在窃密与反窃密斗争极其尖锐复杂的情况下，信息安全保密防护问题依然突出，计算机及信息系统已成为泄露国有企业科技秘密的主要渠道，科技工业信息安全保密正经受着前所未有的挑战。对此，必须对信息化软硬件设备如服务器、交换机、计算机终端等“硬”件来源加强管控甄别，系统软件配置应尽快实现国产化软件替换，并定期升级防火墙;同时，管理单位要不定期对分管场所的办公电脑开展安全普查，适时实施服务终端漏洞扫描、查找，杜绝安全隐患。

三是信息系统涉密环节多、技术难点多、保密内容多，对人的能力素质要求更高。但从以往失泄密教训看，思想麻痹、警觉性差、错忘漏丢等是安全防范重点。对此，一要加强涉密信息系统安全保密教育管理，进一步明确安全保密人员岗位及职责，规范保密管理工作流程，防范人为、失误泄密所造成的损失。二要从信息安全管理细节末端抓起，对从事科技含量高、保障难度大、涉密要求严的信息专业技术人员，切实做到政治上可靠、业务上精湛、经得起考验，彻底杜绝各种安全隐患问题。三要从讲政治的高度，强调保密就是保生命、保科研生产力，做到天天讲、月月讲，并在主要工作场所，采取保密制度、规定、流程图表张挂等方式强化警示提醒，绷紧这条安全高压线，防患于未然。

四是国企信息系统地位作用突出，科技含量高、技术难度大，如何发挥信息系统在国有企业创新管理中的优势与效能，人才是根本。目前，信息化装（设）备等人才缺乏，前沿科技知识不足、技能眼高手低等问题时有存在。对此，必须坚持把人才兴企作为长远战略工程，采取专家带教、送学培训、跟学跟研等多种方式抓紧高层次科技人才培养，积极利用急、难、险重任务锻造信息化人才队伍，形成人才队伍梯次渐进、厚积薄发的可持续发展模式。同时，健全安全管理考核制度，浓厚人才氛围，帮助解决实际困难，大力创造优秀人才脱颖而出的良好环境，为国有企业改革与发展，提供必要的智力支撑。

4 信息系统安全管控与技术应用

国有企业信息管理与网络安全防范技术工作好坏，直接关系到国有企业的生存与持续发展，乃至国有企业科技体系建设与转型发展的安危，容不得半点闪失，必须要从思想上常敲打，从管理上严订措施，从技术上多下手段，多管齐下，才能杜绝工作中“错、忘、漏”等问题发生。历经实践，现有信息系统安全管理制度及措施方法，在推进国有企业信息系统建设与发展中取得了显著成效，归结起来有四个方面。

一是依据保密法规制度，按保密等级要求，实施定人定岗、分级保护管理。重点抓好系统定级、方案设计、工程实施、系统测评、系统审批、日常管理、测评与检查、系统废止等主要技术环节。下大力解决制约信息系统数据传输、网络安全管理、服务终端防病毒等疑难杂症“瓶颈”问题，才能稳操胜券。

二是明确涉密系统安全保密管理人员地位、作用、配备要求和职责分工。重点强调涉密信息及应用系统的“三员”工作职责，并在日常工作、管理和安全上落实把关，切实强调技术能力要求，不断拓展、更新、完善综合信息技术安全管理手段，占领信息安全技术制高点。

三是实施信息安全与保密技术应用。重点抓好操作系统安全（Windows/Unix/Linux等系统）、应用系统安全（结构化查询语言、SQL注入攻击原理、SQL注入攻击防护方法）、补丁管理系统（如Wusu补丁管理与要求）、防火墙功能、安装部署与使用，入侵检测系统常见种类、部署、功能与技术分类，漏洞扫描系统分类、功能及典型部署，防病毒系统对计算机病毒的常见特征、防病毒系统的病毒库升级与日常使用和维护，终端监控与审计的策略配置与日常使用和维护，身份认证系统PKI各部分功能与系统属性，电磁泄露发射防护系统中的总体要求、信息设备及传输线路的电磁泄露发射防护，典型现代网络安全体系构建。同时，对信息安全保密产品选用及要求，原则上应满足信息系统硬件设备安全使用需求，严控把关，满足信息化规范管理要求。

四是涉密信息系统安全保密要求及日常管理，必须从全盘考虑，紧盯重点环节。如物理安全（环境安全、设备与介质安全），运行安全（备份与恢复、计算机与恶意代码防护、设备接入控制），信息安全保密（网络安全、系统安全、应用安全、信息输入/输出、电磁泄露发射防护、数据安全），在做好日常安全保密管理的同时，重点抓好安全保密管理策略、机构、制度、人员、安全审计、风险评估、应急响应与恢复、日常管理、数据备份和重要服务器冗余备份，确保信息系统大数据库万无一失。

5 结束语

纵观现代信息技术突飞猛进快速发展，国有企业信息系统安全管理保密工作，容不得半點疏忽大意，要从站在国家安全和国有企业利益的战略高度，认清当前信息系统保密安全管理所面临的严峻形势，牢固树立安全保密意识，进一步增强做好国有企业涉密信息系统安全管理的责任感和紧迫感，积极防范，技管并重，深化培训，筑牢底线，扎实做好国有企业信息系统安全管理工作。

参考文献

[1] 相长军.军工涉密信息系统安全保密管理人员安全实务[M].北京：北京航空航天大学出版社，2011.

[2] 国家军工保密资格认定办公室.军工保密资格认定工作指导手册[M].北京：金城出版社，2017.

[3] 杨建荣.Oracle DBA工作笔记运维、数据迁移与性能调优[M].北京：中国铁道出版社，2017.

[4] 叶明达，黄智，张寒之.一种信息安全漏洞管理方案的实践[J].网络空间安全，2018，9（05）：64-67.