傳統(tǒng)行業(yè)信息安全建設(shè)論文

導(dǎo)語：傳統(tǒng)行業(yè)信息安全建設(shè)論文一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

一、傳統(tǒng)行業(yè)信息安全建設(shè)現(xiàn)狀分析

（一）對信息安全建設(shè)缺乏足夠認(rèn)識。就目前國內(nèi)實際情況來說，傳統(tǒng)行業(yè)對于信息安全建設(shè)尚沒有足夠的認(rèn)識，導(dǎo)致信息安全建設(shè)難以切實施行。具體來說，這主要表現(xiàn)在三個方面。一是傳統(tǒng)行業(yè)的領(lǐng)導(dǎo)者對信息安全建設(shè)缺少必要的認(rèn)識，在面對信息化浪潮的沖擊時，其最先想到的是提升行業(yè)品質(zhì)來面對新挑戰(zhàn)，卻忽視了通過信息安全建設(shè)保護行業(yè)核心信息資源，導(dǎo)致行業(yè)信息被逐漸泄露，無法與新行業(yè)相抗衡，以致逐漸失去競爭力。最典型的就是傳統(tǒng)出版行業(yè)，在數(shù)字化刊物逐漸普及的情況下，傳統(tǒng)出版行業(yè)已經(jīng)顯得捉襟見肘，出版物印刷量與銷售量逐年下降。二是行業(yè)內(nèi)部員工缺少對信息安全的認(rèn)識，在日常工作中，會在不經(jīng)意間泄露行業(yè)信息。更有甚者為了一己私利出賣行業(yè)信息。這些舉動都對傳統(tǒng)行業(yè)造成了極其惡劣的影響。三是普通消費者缺少對信息安全的認(rèn)識，在某些需要消費者個人信息資料的行業(yè)中，消費者往往沒有考慮個人信息資料是否安全，是否存在泄露的風(fēng)險以及相應(yīng)的后果。忽視這些的結(jié)果就是消費者缺少對相關(guān)企業(yè)信息安全的要求，在發(fā)生意外情況后無法挽回。

（二）信息安全建設(shè)技術(shù)水平較低。傳統(tǒng)行業(yè)雖然缺乏對信息安全建設(shè)的認(rèn)識，但也并非沒有進行信息安全建設(shè)，只是其信息安全建設(shè)技術(shù)水平較低，無法切實滿足對企業(yè)信息安全的保護。信息安全建設(shè)技術(shù)水平低主要表現(xiàn)在兩個方面。一是信息安全管理體系架構(gòu)技術(shù)層次低，一個體系架構(gòu)的技術(shù)高低，決定了該體系所能發(fā)揮的功能高低。越先進越高端的技術(shù)，其對信息安全的保護也就越安全，反之亦然。傳統(tǒng)行業(yè)信息安全管理體系的基礎(chǔ)架構(gòu)以及權(quán)限設(shè)置等信息保障措施，其技術(shù)相對一些新行業(yè)而言較為落后，無法符合不斷更新的計算機技術(shù)，更無法有效彌補信息安全漏洞，只能說是徒有其表。二是人員管理技術(shù)水平較低，人員管理也是信息安全建設(shè)的重要環(huán)節(jié)。每一個員工都攜帶著一定程度的行業(yè)信息，只有加強對員工的管理，建立科學(xué)人性的管理體系，才能確保企業(yè)人員不會因為失誤或利益泄露行業(yè)信息。

（三）信息安全建設(shè)覆蓋范圍較窄。信息安全建設(shè)覆蓋范圍較窄主要可以分為兩個方面，一是進行信息安全建設(shè)的傳統(tǒng)行業(yè)范圍較窄；二是行業(yè)內(nèi)部信息安全建設(shè)的范圍較窄。對于所有傳統(tǒng)行業(yè)而言，已經(jīng)完成信息安全建設(shè)或正在建設(shè)的行業(yè)并不多。根據(jù)相關(guān)統(tǒng)計資料，傳統(tǒng)行業(yè)中完成或進行中的信息安全建設(shè)的企業(yè)，尚不到20%。這一數(shù)據(jù)說明信息安全建設(shè)率在傳統(tǒng)行業(yè)中來講還很低，還需要加強相關(guān)理念的宣傳，引導(dǎo)更多的傳統(tǒng)企業(yè)進行信息安全建設(shè)。在行業(yè)內(nèi)部，信息安全建設(shè)集中在企業(yè)核心機密，即企業(yè)相關(guān)財務(wù)數(shù)據(jù)、產(chǎn)品數(shù)據(jù)和市場數(shù)據(jù)等，忽視了員工信息安全及一些外在信息安全的構(gòu)建。雖然此舉能夠保障企業(yè)核心利益，卻無法保證企業(yè)正常良性的運轉(zhuǎn)。

二、傳統(tǒng)行業(yè)信息安全建設(shè)中的問題及原因

（一）缺少完善的法律法規(guī)。在信息安全方面，我國尚缺少有效完善的法律法規(guī)來加強信息安全建設(shè)，這主要表現(xiàn)在兩個方面。一方面是缺少對傳統(tǒng)行業(yè)信息安全建設(shè)的強制性法律法規(guī)。傳統(tǒng)行業(yè)本身對信息安全缺少足夠的認(rèn)識，再加之缺少必須的法律法規(guī)，就致使傳統(tǒng)行業(yè)基本忽視了信息安全建設(shè)。另一方面是缺少對信息安全犯罪的法律法規(guī)，近年來隨著信息技術(shù)發(fā)展迅猛，各種信息安全犯罪層出不窮，犯罪性質(zhì)也從經(jīng)濟犯罪上升到了更加惡劣的性質(zhì)。各種由于個人信息泄露而出現(xiàn)的綁架、搶劫等案件，急需出臺相應(yīng)的信息安全法律法規(guī)來加以制約。

（二）傳統(tǒng)行業(yè)內(nèi)部信息安全管理不力。信息安全管理主要包括體系建設(shè)、制度建設(shè)和人員管理。這三個方面的工作在傳統(tǒng)行業(yè)中來說都并不到位。體系建設(shè)主要是指信息安全管理體系，一套完整的管理體系，應(yīng)當(dāng)從上至下，由內(nèi)而外，將方方面面的信息安全包羅其中，以形成一個上下一體的信息安全管理系統(tǒng)。制度建設(shè)主要針對信息安全制定相應(yīng)的信息安全管理制度，通過確實的規(guī)章制度，對企業(yè)員工形成約束，避免其出現(xiàn)一些不利企業(yè)信息安全的行為。人員管理主要是加強對企業(yè)員工的信息安全意識教育，讓其樹立起保護信息安全的基本意識。

（三）基礎(chǔ)信息安全建設(shè)設(shè)施缺乏。基礎(chǔ)信息安全建設(shè)設(shè)施缺乏，是擺在傳統(tǒng)行業(yè)面前的關(guān)鍵問題，這主要包括兩個方面的問題。一是技術(shù)基礎(chǔ)缺乏，目前我國信息安全建設(shè)的技術(shù)基礎(chǔ)基本源自國外，這從信息安全的角度來說本身就是一種不安全的行為。只有創(chuàng)建完全自主的信息安全技術(shù)，才能杜絕國外技術(shù)可能存在的技術(shù)后門。二是硬件基礎(chǔ)缺乏，這與技術(shù)基礎(chǔ)缺乏對信息安全的不利影響是一致的。總的來說，硬軟件的缺乏，是傳統(tǒng)行業(yè)信息安全建設(shè)的最大問題。

三、傳統(tǒng)行業(yè)信息安全建設(shè)策略分析

（一）完善信息安全法律法規(guī)。要做好傳統(tǒng)行業(yè)信息安全建設(shè)，最首要的就是完善相應(yīng)的信息安全法律法規(guī)，從法律層面對信息安全建設(shè)進行定性。首先是明確傳統(tǒng)行業(yè)信息安全建設(shè)的義務(wù)，通過法律規(guī)定強制傳統(tǒng)行業(yè)進行信息安全建設(shè)，迫使其領(lǐng)導(dǎo)層重視信息安全建設(shè)，進而在行業(yè)全局決策中增加對信息安全建設(shè)的思考與傾斜。其次是對信息安全犯罪作出全面的定性與量刑，加強對信息安全犯罪的打擊力度，通過法律手段減少信息安全威脅。

（二）加強行業(yè)內(nèi)部信息安全管理。加強行業(yè)內(nèi)部信息安全管理，是信息安全建設(shè)的重要環(huán)節(jié)，其可以從三個方面來進行。第一是構(gòu)建企業(yè)員工信息梯度，針對企業(yè)不同部門以及不同職位，制定不同的信息等級制度，以此改善員工功能與信息的不對等關(guān)系。第二是構(gòu)建信息管理制度，針對企業(yè)類型、企業(yè)所包含信息的類型以及其機密程度，制定合理的信息管理制度，加強對內(nèi)部員工的約束。第三是加強對企業(yè)員工的信息安全建設(shè)培訓(xùn)，使企業(yè)員工具有一定的信息安全建設(shè)意識，能夠從一些小事上進行信息安全建設(shè)。

（三）自主化信息安全建設(shè)基礎(chǔ)設(shè)施。自主化信息安全建設(shè)基礎(chǔ)設(shè)施應(yīng)當(dāng)從基礎(chǔ)技術(shù)與基礎(chǔ)硬件兩個方面進行。就基礎(chǔ)技術(shù)而言，傳統(tǒng)行業(yè)應(yīng)該大量參考國外相關(guān)技術(shù)，博采眾長，創(chuàng)建不依賴于國外技術(shù)的信息安全建設(shè)技術(shù)，真正實現(xiàn)信息安全建設(shè)技術(shù)國產(chǎn)化，從根源上排除國外技術(shù)對傳統(tǒng)行業(yè)信息安全可能存在的技術(shù)風(fēng)險。在基礎(chǔ)硬件方面，傳統(tǒng)行業(yè)可以加強與國內(nèi)硬件廠商的合作，共同研發(fā)具有行業(yè)特點的信息安全建設(shè)硬件，減少國外硬件的引入與應(yīng)用。總的來說，信息安全建設(shè)應(yīng)該在國外硬軟件的基礎(chǔ)上，開發(fā)自主的硬軟件設(shè)備，使信息安全建設(shè)完全實現(xiàn)國產(chǎn)化。

（四）綜合采取多種有效措施構(gòu)建信息安全大環(huán)境。信息安全建設(shè)并非企業(yè)一己之力就能夠做好，還需要多方協(xié)作，構(gòu)建信息安全大環(huán)境，如此才能在整個行業(yè)中進行信息安全建設(shè)。第一，加強企業(yè)之間的信息交流與合作管理。對于同一行業(yè)而言，企業(yè)的核心信息在一定程度上來說相似甚至相同，即企業(yè)的信息安全建設(shè)在一定程度上形成了交集。同類型企業(yè)可以加強信息交流，合作構(gòu)建信息安全管理體系，加強信息安全管理。第二，構(gòu)建企業(yè)信息安全評級制度，由國家相關(guān)部門牽頭，聯(lián)合行業(yè)內(nèi)的優(yōu)秀企業(yè)，組建企業(yè)信息安全評級機構(gòu)，對行業(yè)內(nèi)企業(yè)進行信息安全評級，并將評級結(jié)果公布于眾，讓消費者能夠清楚認(rèn)識到企業(yè)的信息安全等級以選擇能夠保障自身信息安全的企業(yè)。此舉還可以加強企業(yè)對信息安全建設(shè)的重視程度，促使企業(yè)進行信息安全建設(shè)。第三，構(gòu)建信息安全犯罪打擊網(wǎng)絡(luò)，由公安部牽頭，聯(lián)合國內(nèi)優(yōu)秀的信息安全商構(gòu)建信息安全犯罪打擊平臺，加強對信息安全的監(jiān)管及信息安全犯罪的打擊。

作者:胡鵬 單位:中石化湖北石油分公司