【正文】 結(jié)構(gòu)。由于 M公司是國有企業(yè)，其管理層人 員待遇相對優(yōu)厚，人員比較穩(wěn)定。公司內(nèi)部資金有 限 ，對信息安全資金的投入不足，迫使 M公司采用下載免費的殺毒軟件等普通的 防治辦法，無法保證公司的信息安全；另一方面，公司局域網(wǎng)結(jié)構(gòu)簡單，主機數(shù) 量少，服務(wù)器提供的服務(wù)相對單一，缺少安全防護專用設(shè)備和軟件，使得非法訪 問和入侵變得簡單容易。有時候，有些員工意識不到自己的某些不經(jīng)意的行為可能令公 司的信息資產(chǎn)遭受損失，比如瀏覽一些未經(jīng)過安全認證的網(wǎng)站、下載使用來歷不 明的軟件、沒有及時升級殺毒軟件病毒庫、未養(yǎng)成定期殺毒的習(xí)慣、不懂如何及 時修復(fù)系統(tǒng)漏洞等，這些不良行為都會造成信息安全隱患。 (3)員工安全意識淡薄，防范能力低。有部分管理人員簡單地認為信 息安全就是技術(shù)問題，有了病毒、網(wǎng)絡(luò) _瘓了，只要請技術(shù)人員處理一下就好了， 頭痛醫(yī)頭腳痛醫(yī)腳的思想比較嚴(yán)重，而不會從管理體系方面考慮信息安全的問 (2) IT 人才短缺，特別是信息安全管理人才匱乏。 M公司信息安全問題的分析 就 M公司信息安全問題及信息安全管理中存在的問題產(chǎn)生的原因，筆者認為 主要有以下幾方面： (1)管理層對信息安全依然不夠重視。但是 技術(shù)平臺覆蓋不全，不能提 供從客戶端到服務(wù)器，從單機到網(wǎng)絡(luò)全方位的保護，使公司技術(shù)保障體系對外來 攻擊幾乎沒有抵抗能力。 (7)技術(shù)保障體系不能滿足實際安全需求 由于資金投入不足，缺少計算機技術(shù)人才， M公司在技術(shù)平臺建設(shè)上有很 多問題和不足。另外，沒有建立值班制度，使得報警信息不能及時被獲知和 處理，加大了信息資產(chǎn)遭受破壞的可能性增大。由于缺乏對現(xiàn)有信息資產(chǎn)的有效識 別，使得信息管理員在分析風(fēng)險點（安全薄弱點）時，僅僅靠實際工作經(jīng)驗來判 斷，對各種威脅和薄弱點的評估偏離實際安全管理需求，無法提出合理的控制措 施，造成風(fēng)險管理不到位，不能起到應(yīng)有的作用。 (4)信息安全審計制度不健全 M公司會定期組織人員對本單位的信息安全進行內(nèi)部審計，但是由于沒有 設(shè)置安全審計員的崗位，信息安全管理和審計工作都由信息科完成，違背了審計 工作的回避原則，審計工作不能達到預(yù)期效果；另一方面，由于公司審計人員對 信息安全審計工作的認識有限，流程不規(guī)范，使得潛在的問題可能無法被及時發(fā) 現(xiàn)。信息化工作領(lǐng)導(dǎo)小組是一個虛擬組織，其成員分布在各個部 門，日常信息安全管理問題交由信息科具體負責(zé)辦理。 為了檢驗公司員工信息安全認知度的水平，特設(shè)計了一套有關(guān)信息安全基礎(chǔ) 知識方面的試卷（滿分 100)，并從公司隨即抽選 30人進行閉卷答題，考試成 績分布如圖 31: (3)信息安全管理組織結(jié)構(gòu)不合理 M公司在 2020年建立了以主管信息化的副總經(jīng)理為組長的信息化工作領(lǐng)導(dǎo) 小組，辦公室設(shè)在公司信息科。 M公司現(xiàn)階段存在的信息安全管理方面的問題 (1)信息安全管理框架覆蓋不全 M公司管理層對信息安全管理框架沒有具體的概念和定義，經(jīng)過梳理發(fā)現(xiàn)， 該公司在安全管理方面一直以來圍繞著“組織、技術(shù)、制度”三個方面開展，并 且主要使用技術(shù)手段來構(gòu)建信息安全防護體系，其暴露出管理上的不足，從而造 成人員風(fēng)險和運行風(fēng)險的增加、制度的僵化和執(zhí)行不力，以及由于監(jiān)督反饋環(huán)節(jié) 的缺失而導(dǎo)致無法準(zhǔn)確評估和改進 管理手段。由于 M公司員工普遍缺乏信息資產(chǎn)的保護意識和防范 能力，底層員工流動性大，信息管控容易出現(xiàn)問題，比較容易因員工的流失而導(dǎo) 致重要信息的泄露。另一 方面，還有許多上網(wǎng)電腦在未經(jīng)許可的情況下“被”安裝了各種流飯軟件、廣告 軟件、瀏覽器劫持或者間謀軟件等惡意程序，這些程序能夠在用戶不知情的情況 下，偷偷收集用戶信息，打開后門端口，為黑客入侵大開方便之門，為公司信息 安全埋下嚴(yán)重隱患。 M公司的普通員工經(jīng)常利用閑暇時間上網(wǎng)瀏覽網(wǎng)站，或者 是下載一些自己感興趣的圖片、文章和軟件，不知不覺中面臨著惡意軟件的威脅。但是這種公共郵箱受到垃圾郵件攻擊 的概率十分高，垃圾郵件中包含的有害信息和各種木馬病毒嚴(yán)重降低了公司運轉(zhuǎn) 的效率，使運營成本大大提高。 (4)垃圾郵件。隨著互聯(lián)網(wǎng)的接入，公司網(wǎng)絡(luò)不斷受到來自互聯(lián)網(wǎng)的各種 網(wǎng)絡(luò)攻擊。許多員工為了工作方便，往往沒有為個人電腦設(shè)置密碼，或者設(shè)置 的密碼很簡單，沒有被授權(quán)的人能夠隨意訪問、使用自己的電腦，以至于個人工 作秘密被泄露、個人資料被刪除等情況時有發(fā)生。 (2)非法訪問。 (二） M公司存在的信息安全問題及其分析 M公司現(xiàn)階段面臨的主要信息安全問題 (1)病毒?？梢钥闯?， 在 M公司中，信息管理高層次從業(yè)人才很少，對單位信息 化建設(shè)及發(fā)展十分不利，信息化人才已經(jīng)成為制約公司信息化發(fā)展的主要因素。為了節(jié)約人力成本， M公司沒有專門的計算機網(wǎng) 絡(luò)及信息系統(tǒng)維護人員，一旦系統(tǒng)出了故障，在本單位兼職信息管理人員無法解 決的情況下，往往是臨時請軟件公司或者網(wǎng)絡(luò)公司的技術(shù)人員來維護。從 M公司實際情況來看，公司對于信息化 人才的重視程度依然不足，僅僅實現(xiàn)對部分職工進行對應(yīng)崗位的信息化培訓(xùn)，比 如對財務(wù)部門人員只培訓(xùn)其會計電算化相關(guān)技能方面的知識、對酒店前臺人員只 培訓(xùn)其掌握客房管理及收銀開票系統(tǒng)的使用。 由于近年來計算機網(wǎng)絡(luò)技術(shù)發(fā)展迅速，信息知識更新?lián)Q代速度加快。但是，由于信息系統(tǒng)應(yīng)用的 缺乏，還不能使已建成的網(wǎng)絡(luò)發(fā)揮實際的效用。經(jīng)過調(diào)查分析， M公司已經(jīng) 建成了內(nèi)部局域網(wǎng)，用于內(nèi)部信息傳輸和處理，并且實現(xiàn)和青海機場公司內(nèi)部網(wǎng) 絡(luò)對接；各部門和酒店客房均接入互聯(lián)網(wǎng)，可以隨時上網(wǎng)查資料、發(fā)郵件；公司 門戶網(wǎng)站尚未建立，沒有開展網(wǎng)上營銷活動。 因為隨著信息化網(wǎng)絡(luò)的快速發(fā)展，對于酒店企業(yè)而言，為了對各類信息系統(tǒng) 進行有效的統(tǒng)一管理、為企業(yè)帶來更高經(jīng)濟收益、提升企業(yè)對外形象、打響社會 知名度，電子商務(wù)的建設(shè)必不可少。會計電算化方面，主要以財務(wù)部門使用的用友 ERPU8財務(wù)管 理軟件為主，包括總賬、應(yīng)收（付）款管理、固定資產(chǎn)、報表、票據(jù)、現(xiàn)金流、 公司對賬、財務(wù)分析等功能模塊，實現(xiàn)了 M公司的基礎(chǔ)財務(wù)管理控制。另外，該公司還建有內(nèi)部 網(wǎng)絡(luò)，應(yīng)用一套大型的、基于 B/S結(jié)構(gòu)的 OA系統(tǒng)。 M公司目前現(xiàn)主要的信息化應(yīng)用包括辦公自動化（ OA)、會計電算化和酒店 餐飲住宿管理信息系統(tǒng)等。整體的信息化框架結(jié)構(gòu)搭建比較完整，信息化建 設(shè)水平比較高。作為 2020年酒店 所進行的裝修改造項目中的重點內(nèi)容，公司對信息化建設(shè)進行了全面的部署和開 展。 2020年經(jīng)過重新裝修改 造，加強了各種軟硬件設(shè)施的配備，使得酒店整體環(huán)境煥然一新。M公司信息安全管理優(yōu)化方案 三、 M公司信息化建設(shè)和信息安全現(xiàn)狀 ()M公司信息化發(fā)展概述 M公司是附屬于西部機場集團青海分公司的一家 3星級涉外酒店。酒店距離 西寧曹家堡機場僅 2公里，集會議、餐飲、住宿、購物、娛樂等功能為一體，主 要針對來青海旅游、開會、培訓(xùn)的游客提供優(yōu)質(zhì)服務(wù)。 M公司重視人 才隊伍的培養(yǎng)和引入，要求企業(yè)員工具有現(xiàn)代化的服務(wù)意識，加強企業(yè)管理創(chuàng)新 能力，注重提升企業(yè)文化，是青海省內(nèi)星級酒店的優(yōu) 秀代表。建設(shè)完成的信息化項目基本覆蓋了酒店全部的業(yè)務(wù)范圍，其中包括客房管理、 辦公自動化、會計電算化、采購及物流管理等基礎(chǔ)業(yè)務(wù)內(nèi)容，利用計算機網(wǎng)絡(luò)技 術(shù)將酒店在運營過程中所涉及到的人員、資金以及數(shù)據(jù)等信息進行采集，并加以 分析，為管理層提供決策基礎(chǔ)。通過與該公司管理層、信息系統(tǒng)用戶、信息管理人員等進行充分 接觸和討論，對調(diào)研結(jié)果進行深入分析， 發(fā)現(xiàn)該公司近年來信息化建設(shè)取得了較 快的發(fā)展，但其中也存在著不少問題。通過調(diào)查獲知， M公司日常經(jīng)營中使用微軟 office 辦公軟件較為廣泛，主要用于文件報表的編輯和打印。酒店員工均可使用自己的賬 號和密碼登錄該 OA系統(tǒng)查看、處理各類公文，辦理請銷假、考勤、日程管理、 會議安排等事務(wù)。該酒店在 人力資源管理、供應(yīng)鏈管理、客戶關(guān)系管理等方面的應(yīng)用信息化較少，沒有專用 軟件，主要使用 Execl等表格處理軟件進行簡單管理。酒店企業(yè)的電子商務(wù)建設(shè)主要包括：內(nèi)部局 域網(wǎng)建設(shè)、互聯(lián)網(wǎng)接入、企業(yè)門戶網(wǎng)站建設(shè)等方面。 M公司已經(jīng)具備了基本的電子商務(wù) 條件，可以充分利用現(xiàn)代信息技術(shù)為酒店經(jīng)營服務(wù)。特別是互聯(lián)網(wǎng)的接入僅僅為了查 資料方便，沒有考慮信息雙向交流、實現(xiàn)酒店網(wǎng)絡(luò)化管理的目的，加之門戶 網(wǎng)站 還未建立，不但無法對外進行企業(yè)形象宣傳展示，更加無法通過互聯(lián)網(wǎng)進行服務(wù) 預(yù)定、客戶交流、網(wǎng)絡(luò)銷售等業(yè)務(wù)。因此， 信息化人才的培養(yǎng)教育顯得尤為重要。公司釆取的教育形式通常是短期、 集中、一次性的培訓(xùn)，為了熟練 掌握各崗位所需的計算機技能，公司大多數(shù)職工 只能通過自學(xué)的方式進行學(xué)習(xí)。從 M公司 計算機專業(yè)人員的構(gòu)成上來看，公司共有 80人（包括管理層和服務(wù)人員），其中 計算機專業(yè)本科生僅有 2人，分別擔(dān)任總經(jīng)理助理和餐飲部經(jīng)理，兼公司的信息 管理及維護工作；計算機相關(guān)專業(yè)?？粕?3人，都是客房服務(wù)人員，不具有信息 管理能力。 因此， M公司應(yīng)當(dāng)著力培養(yǎng)信息化人才的培養(yǎng)，以適應(yīng)當(dāng)前的信息化建設(shè)。在調(diào)查過程中，當(dāng)問及最令人困擾的信息安全問題時，公司中 有近一半的人認為是病毒問題，并且大部分人表示自己的計算機曾經(jīng)中過病毒， 以至于影響計算機正常運行，造成資料數(shù)據(jù)的丟失和工作的拖延。有 40%的被訪問者表示，非法訪問仍然是存在于企業(yè)內(nèi)部 的重要問題。 (3)網(wǎng)絡(luò)攻擊。特別是 DoS (拒絕服務(wù)）為代表的網(wǎng)絡(luò)攻擊常常造成公司大量網(wǎng)絡(luò) 帶寬被無端占用，使得網(wǎng)絡(luò)設(shè)備宕機，無法響應(yīng)客戶請求，甚至造成數(shù)據(jù)包丟失， 嚴(yán)重影響信息管理技術(shù)力量本來就比較弱的 M公司各 項業(yè)務(wù)的正常開展。 M公司沒有建立自己的郵件服務(wù)器，對于公司職員說，使 用各大網(wǎng)站提供的免費郵箱更為快捷方便。 (5)惡意軟件。 據(jù)統(tǒng)計，互聯(lián)網(wǎng)上有 10%的網(wǎng)站在不知情的情況下被惡意掛了木馬病毒，上網(wǎng)者 在瀏覽該網(wǎng)站時瀏覽 器就會自動下載運行該木馬，從而遭受不必要的損失。 (6)信息管理失控。 以上問題，都可能會嚴(yán)重威脅到 M公司信息安全機密 性、完整性和可用性， 如果不進行預(yù)防和改進，輕則給公司造成重大損失，重則會影響到公司的生存和 發(fā)展。 (2)信息安全教育不到位，員工信息安全認知度低 由于缺乏專業(yè)規(guī)范的指導(dǎo)， M公司的信息安全教育僅僅停留在單純的信息安 全知識宣傳和計算機安全防護技術(shù)的簡單教授層面，對如何提高信息安全認知度 沒有具體的認識和措施，在教育培訓(xùn)方面也存在敷衍了事的對待態(tài)度，無論是具 體的培訓(xùn)計劃還是專業(yè)信息安全管理人員的培養(yǎng)上都沒有相關(guān)的實施方案，從而 造成員工們對信息安全管理的認識不足，引入人員安全風(fēng)險。該領(lǐng)導(dǎo)小組負責(zé)公司信息化建設(shè)方面的一切事務(wù)， 包括信息安全管理。這樣的組織結(jié)構(gòu)沒有突出 信息安全的重要性，成員的單一化使得職責(zé)分工不明確，最后導(dǎo)致以技術(shù)為主、 管理為輔的管理模式，不能很好的履行 建立和實施信息安全管理體系所要求的職 貝176。 (5)信息安全風(fēng)險管理不科學(xué) M公司在風(fēng)險管理過程中沒有參考通行的國內(nèi)外標(biāo)準(zhǔn)，通過信息管理員簡單 的采用風(fēng)險點分析的方法來進行風(fēng)險管 理。 (6)信息安全監(jiān)控報警及響應(yīng)恢復(fù)機制操作性差 M公司現(xiàn)有的監(jiān)視報警系統(tǒng)只應(yīng)對個別的信息系統(tǒng)進，不能提供全面的、集 中的監(jiān)視報警管理。 M公司制定了《信息安全應(yīng)急響 應(yīng)預(yù)案》，其 中對發(fā)生信息安全事件時信息安全管理相關(guān)人員和部門的職責(zé)作了 規(guī)定，但是沒有考慮自身實際，制訂的預(yù)案適合大型企業(yè)應(yīng)用，對現(xiàn)實指導(dǎo)意義 不強，不具備很強的操作性，所以需要結(jié)合自身企業(yè)規(guī)模和特點進行再完善。在與機場公司內(nèi)部網(wǎng)絡(luò)的連接處以及互聯(lián)網(wǎng)入口處部署了防火 墻，能夠起到一定的防御作用；其次在所有客戶端計算機上安裝了免費的 360殺 毒軟件，對外來病毒的防御有一定的查殺作用。 (8)制度文件管理混亂 M公司管理層比