长城汽车股份有限公司 河北保定 071000
摘要:随着网络信息技术与企业管理现代化的不断发展,大数据时代下企业管理中的信息安全极为重要,学界对该问题的研究也成果倍出。本文基于对“大数据”概念的理解,对国内外关于企业管理中信息安全研究现状进行梳理和探讨,主要从界定与内涵、问题与挑战、评价与模型体系、策略与措施四个方面进行简要回顾及概述。
关键词:大数据时代;企业管理;信息安全;现状;展望
引言:21世纪以来,随着互联网、云计算、物联网技术的高速发展及人类接触信息量的急剧增多,大数据时代应运而生并逐渐成为企业管理的核心技术。然而,由于大数据尚处于初级发展阶段,法律法规与管理机制并未完善,所以企业信息安全面临严峻考验。大数据既是机遇也是挑战。企业需要不断树立信息安全意识、更新安全技术,综合提升信息安全的理论认识与实践能力。关于大数据时代的企业管理问题国内外都极为关注。我们提取“大数据”“企业管理”“信息安全”三个关键词分别在中国知网、百度学术、超星图书进行数据的调研后发现,在此研究领域已涌现大量的成果,但总体而言,对于大数据时代企业信息安全研究尚处于初级阶段。笔者将所调研成果大体分为四部分:大数据的界定与内涵、大数据的问题与挑战、大数据的评价与模型体系、大数据的策略与措施。同时,结合学界已取得的成果,尝试地对未来研究趋向进行展望。
1问题与挑战的研究
国内外学者对大数据带来的信息安全问题主要集中于三点:一是隐私、移动设备泄露的风险:互联网的兴起推动了社会信息化的发展,电子邮件、云存档、社交网络等工具会记录了各种数据。大量个人户的消费记录、浏览记录等数据,由于互联网没有界定隐私数据所有权和使用权,使个人隐私问题成为众矢之的。二是网络病毒、黑客的威胁:为了降低资金、时间成本,数据库系统基本上采取不限制用户访问的开放式管理模式,方便了企业挖掘有价值的商业信息,但黑客也通过大数据技术任意访问企业数据,获取生产数据、客户资料等重要机密,然后通过变卖资料获取高额收益,给企业造成不可计量的损失。三是大数据成为攻击的“高级载体”:在传统数据库管理中“针对潜在风险、威胁的检测是基于单个时间点实施的实时性、匹配性检测,检测的成功率、准确率较高。”相比之下,大数据环境下高级可持续攻击(APT)是复杂的过程,实时性检测并不能监测出风险。对于信息安全问题的研究,除了被广泛提及的几个方面,也有一些创新性思考。如,张茂月的《大数据时代个人信息数据安全的新威胁及其保护》一文,提出了大数据时代个人信息安全状况,即信息使用的知情权风险;在未经同意的情况下推送信息和服务带来的信息安全风险;个人数据被随意共享和交易所产生的信息风险。
2 评价与模型体系研究
近年来,对于大数据的研究越来越呈现出系统化、多样化的态势。国内有关信息安全研究的课题可以追溯到2002年863计划当中的《信息安全风险分析和评估方法研究》,翌年又拟定了《信息安全风险评估指南》与《信息安全风险管理指南》的草案。随着大数据的处理与分析成为信息技术应用的核心,国内对信息安全的评价众说纷纭,其中包括:网络信息安全控制机制及评价、企业信息安全水平综合评价模型、企业信息安全评价对策、安全风险管理系统、云平台的大数据信息安全机制等研究。
期刊文章分类查询,尽在期刊图书馆研究要求企业建立评价指标体系,通过理论结合实例总结企业信息安全的经验与教训,从人员、管理、技术层面提出相应的对策;汤淼淼介绍了信息安全的多层次性,指出企业信息安全评价指标体系构建原则,即科学性、系统优化、通用可比、实用性和目标向导原则,建立评价指标体系;石磊、王刚在《关于企业信息安全风险管理系统的研究》一文,孙红梅、贾瑞生在《大数据时代企业信息安全管理体系研究》文中都强调企业信息安全管理体系(ISMS)的重要性,并阐述了体系的构成与应用,前者体系通过对信息安全风险管理的基本策略,即对象确立、风险评估、风险控制、审核与批准、沟通与咨询等五个阶段循环进行,而体系的工作内容应具备目标管理、风险分析与决策、风险识别、风险评估、监测预警、风险审查与改进、风险分析与决策以及风险信息库等八大模块;后者体系的建设要求技术与管理并重,二者相辅相成,而在运行过程中则参照PCCA(计划、实施、检查、行动)螺旋循环的原则,并随时间推移而迭代循环持续改进;杨鑫《基于云平台的大数据信息安全机制研究》基于云平台的概念及功能,探讨云平台环境下信息安全的现状,将入侵系统按照技术进行分类,异常入侵检测与模式检测,把入侵系统的检测来源分为三类:基于主机入侵检测、基于网络的入侵检测、基于分布式的入侵检测,为企业在入侵检测提供理论支持。其次,基于入侵容忍技术,探究在系统发生故障,提出入侵容忍检测的通用模型(IDS体系),并通过仿真实验进行模拟检测。
3 信息安全展望
如何做好企业大数据信息安全的保障、加强信息安全防护、建设法律法规以及管理制度是大数据时代长期研究的问题。曾中良在《大数据时代的企业信息安全保障》一文中,强调大数据应采用分布式架构,对海量数据进行挖掘,对于信息安全保障可划分三个角度:第一,存储安全策略:大数据可以按照数据安全存储的需求,通过SSL(安全套接层)加密,实现数据集的节点和应用程序之间移动保护大数据;第二,应用安全策略:设计实时监测能力与事后回溯能力的方案来防止APT攻击,进行用户访问设置并设定权限,整合工具和流程并设计一个标准化的数据格式简化整合过程;第三,管理安全策略:一是规范建设,建设一项有序的、动态的、可持续发展的系统工程,二是建立以数据为中心的安全系统,基于异构数据为中心保障安全,三是融合创新,特别是在数据挖掘、人工智能、机器学习等新技术的创新应用上;陈韵的《大数据时代的信息安全问题及对策研究》一文,认为提升大数据信息安全有四点对策:增强企业信息安全保护意识,规范企业信息资源管理;建立动态的大数据安全管理系统,持续更新完成于GRC、情报源以及安全管理系统的交互、对接;深化信息安全技术革新,如数据加密技术、信息访问控制技术及数据备份技术等;健全法律法规体系,加大对违规处罚力度及公共信息安全的尺度。如果数据存储在云中,则应该在数据所有者和数据存储所有者之间建立信任边界。所以为了保障企业信息安全,其一,应开发安全可靠的信息共享协议,以确保用户的敏感信息。其二,使用代码内联分析技术,如注入SQL,以防止由于程序员水平及经验参差不齐而导致不能对用户数据的合法判断。
4结语
大数据资源具有广阔的开发应用前景,开发好、利用好、管理好数据资源,关系经济发展、社会稳定和国家安全,需要各国政府、国际社会共担责任,通力合作。有鉴于此,要把企业信息安全当做首要安全标准,要有效地协调企业数据的应用、管理数据的公开程度、规范数据的使用权和所有权。
参考文献:
[1]杨峰. 大数据时代企业信息安全保障策略研究[J].电脑知识与技术,2016,12(2): 50-52.
[2]李国杰,程学旗. 大数据研究:未来科技及经济社会发展的重大战略领域—大数据的研究现状及科学思考[J]. 中国科学院院刊,2012,(6):647-657.
[3]王世伟. 论大数据时代信息安全的新特点与新要求[J].图书馆情报工作, 2016,60(6) :5-14.
[4]曾庆云. 论大数据时代信息安全的新特点与新要求分析[J]. 电子世界, 2016, (15): 11.
论文作者:赵雪莲,张俊荣
论文发表刊物:《防护工程》2018年第26期
论文发表时间:2018/12/20
标签:数据论文; 信息安全论文; 时代论文; 风险论文; 企业论文; 企业信息论文; 体系论文; 《防护工程》2018年第26期论文;