傳統行業信息安全建設論文

導語：傳統行業信息安全建設論文一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

一、傳統行業信息安全建設現狀分析

（一）對信息安全建設缺乏足夠認識。就目前國內實際情況來說，傳統行業對于信息安全建設尚沒有足夠的認識，導致信息安全建設難以切實施行。具體來說，這主要表現在三個方面。一是傳統行業的領導者對信息安全建設缺少必要的認識，在面對信息化浪潮的沖擊時，其最先想到的是提升行業品質來面對新挑戰，卻忽視了通過信息安全建設保護行業核心信息資源，導致行業信息被逐漸泄露，無法與新行業相抗衡，以致逐漸失去競爭力。最典型的就是傳統出版行業，在數字化刊物逐漸普及的情況下，傳統出版行業已經顯得捉襟見肘，出版物印刷量與銷售量逐年下降。二是行業內部員工缺少對信息安全的認識，在日常工作中，會在不經意間泄露行業信息。更有甚者為了一己私利出賣行業信息。這些舉動都對傳統行業造成了極其惡劣的影響。三是普通消費者缺少對信息安全的認識，在某些需要消費者個人信息資料的行業中，消費者往往沒有考慮個人信息資料是否安全，是否存在泄露的風險以及相應的后果。忽視這些的結果就是消費者缺少對相關企業信息安全的要求，在發生意外情況后無法挽回。

（二）信息安全建設技術水平較低。傳統行業雖然缺乏對信息安全建設的認識，但也并非沒有進行信息安全建設，只是其信息安全建設技術水平較低，無法切實滿足對企業信息安全的保護。信息安全建設技術水平低主要表現在兩個方面。一是信息安全管理體系架構技術層次低，一個體系架構的技術高低，決定了該體系所能發揮的功能高低。越先進越高端的技術，其對信息安全的保護也就越安全，反之亦然。傳統行業信息安全管理體系的基礎架構以及權限設置等信息保障措施，其技術相對一些新行業而言較為落后，無法符合不斷更新的計算機技術，更無法有效彌補信息安全漏洞，只能說是徒有其表。二是人員管理技術水平較低，人員管理也是信息安全建設的重要環節。每一個員工都攜帶著一定程度的行業信息，只有加強對員工的管理，建立科學人性的管理體系，才能確保企業人員不會因為失誤或利益泄露行業信息。

（三）信息安全建設覆蓋范圍較窄。信息安全建設覆蓋范圍較窄主要可以分為兩個方面，一是進行信息安全建設的傳統行業范圍較窄；二是行業內部信息安全建設的范圍較窄。對于所有傳統行業而言，已經完成信息安全建設或正在建設的行業并不多。根據相關統計資料，傳統行業中完成或進行中的信息安全建設的企業，尚不到20%。這一數據說明信息安全建設率在傳統行業中來講還很低，還需要加強相關理念的宣傳，引導更多的傳統企業進行信息安全建設。在行業內部，信息安全建設集中在企業核心機密，即企業相關財務數據、產品數據和市場數據等，忽視了員工信息安全及一些外在信息安全的構建。雖然此舉能夠保障企業核心利益，卻無法保證企業正常良性的運轉。

二、傳統行業信息安全建設中的問題及原因

（一）缺少完善的法律法規。在信息安全方面，我國尚缺少有效完善的法律法規來加強信息安全建設，這主要表現在兩個方面。一方面是缺少對傳統行業信息安全建設的強制性法律法規。傳統行業本身對信息安全缺少足夠的認識，再加之缺少必須的法律法規，就致使傳統行業基本忽視了信息安全建設。另一方面是缺少對信息安全犯罪的法律法規，近年來隨著信息技術發展迅猛，各種信息安全犯罪層出不窮，犯罪性質也從經濟犯罪上升到了更加惡劣的性質。各種由于個人信息泄露而出現的綁架、搶劫等案件，急需出臺相應的信息安全法律法規來加以制約。

（二）傳統行業內部信息安全管理不力。信息安全管理主要包括體系建設、制度建設和人員管理。這三個方面的工作在傳統行業中來說都并不到位。體系建設主要是指信息安全管理體系，一套完整的管理體系，應當從上至下，由內而外，將方方面面的信息安全包羅其中，以形成一個上下一體的信息安全管理系統。制度建設主要針對信息安全制定相應的信息安全管理制度，通過確實的規章制度，對企業員工形成約束，避免其出現一些不利企業信息安全的行為。人員管理主要是加強對企業員工的信息安全意識教育，讓其樹立起保護信息安全的基本意識。

（三）基礎信息安全建設設施缺乏。基礎信息安全建設設施缺乏，是擺在傳統行業面前的關鍵問題，這主要包括兩個方面的問題。一是技術基礎缺乏，目前我國信息安全建設的技術基礎基本源自國外，這從信息安全的角度來說本身就是一種不安全的行為。只有創建完全自主的信息安全技術，才能杜絕國外技術可能存在的技術后門。二是硬件基礎缺乏，這與技術基礎缺乏對信息安全的不利影響是一致的。總的來說，硬軟件的缺乏，是傳統行業信息安全建設的最大問題。

三、傳統行業信息安全建設策略分析

（一）完善信息安全法律法規。要做好傳統行業信息安全建設，最首要的就是完善相應的信息安全法律法規，從法律層面對信息安全建設進行定性。首先是明確傳統行業信息安全建設的義務，通過法律規定強制傳統行業進行信息安全建設，迫使其領導層重視信息安全建設，進而在行業全局決策中增加對信息安全建設的思考與傾斜。其次是對信息安全犯罪作出全面的定性與量刑，加強對信息安全犯罪的打擊力度，通過法律手段減少信息安全威脅。

（二）加強行業內部信息安全管理。加強行業內部信息安全管理，是信息安全建設的重要環節，其可以從三個方面來進行。第一是構建企業員工信息梯度，針對企業不同部門以及不同職位，制定不同的信息等級制度，以此改善員工功能與信息的不對等關系。第二是構建信息管理制度，針對企業類型、企業所包含信息的類型以及其機密程度，制定合理的信息管理制度，加強對內部員工的約束。第三是加強對企業員工的信息安全建設培訓，使企業員工具有一定的信息安全建設意識，能夠從一些小事上進行信息安全建設。

（三）自主化信息安全建設基礎設施。自主化信息安全建設基礎設施應當從基礎技術與基礎硬件兩個方面進行。就基礎技術而言，傳統行業應該大量參考國外相關技術，博采眾長，創建不依賴于國外技術的信息安全建設技術，真正實現信息安全建設技術國產化，從根源上排除國外技術對傳統行業信息安全可能存在的技術風險。在基礎硬件方面，傳統行業可以加強與國內硬件廠商的合作，共同研發具有行業特點的信息安全建設硬件，減少國外硬件的引入與應用。總的來說，信息安全建設應該在國外硬軟件的基礎上，開發自主的硬軟件設備，使信息安全建設完全實現國產化。

（四）綜合采取多種有效措施構建信息安全大環境。信息安全建設并非企業一己之力就能夠做好，還需要多方協作，構建信息安全大環境，如此才能在整個行業中進行信息安全建設。第一，加強企業之間的信息交流與合作管理。對于同一行業而言，企業的核心信息在一定程度上來說相似甚至相同，即企業的信息安全建設在一定程度上形成了交集。同類型企業可以加強信息交流，合作構建信息安全管理體系，加強信息安全管理。第二，構建企業信息安全評級制度，由國家相關部門牽頭，聯合行業內的優秀企業，組建企業信息安全評級機構，對行業內企業進行信息安全評級，并將評級結果公布于眾，讓消費者能夠清楚認識到企業的信息安全等級以選擇能夠保障自身信息安全的企業。此舉還可以加強企業對信息安全建設的重視程度，促使企業進行信息安全建設。第三，構建信息安全犯罪打擊網絡，由公安部牽頭，聯合國內優秀的信息安全商構建信息安全犯罪打擊平臺，加強對信息安全的監管及信息安全犯罪的打擊。

作者:胡鵬 單位:中石化湖北石油分公司