第四章  大数据时代计算机信息处理安全问题研究




                  （三）计算机信息安全技术现状
                  计算机信息安全技术是 A 公司计算机信息安全管理的重要保障，A 公司目
              前计算机信息安全技术主要由四个方面组成：数据安全、应用安全、终端安全和
              基础架构安全。其中，基础架构安全包含物理安全、网络安全等技术，每一类安

              全技术都有不同的安全设备或系统部署。
                  另外，A 公司也对安全检查，风险评估、安全审计和应急响应等维度进行了
              建设。安全检查和风险评估主要针对终端和信息系统存在的脆弱性及风险进行全
              面评估，并给出改进建议；安全审计主要借助外部专业审计单位，对公司重要系

              统进行定期审计，确保重要系统的安全保护措施得以有效实施；在应急响应维度，
              制定了《A 公司突发事件应急预案》，在信息系统事件发生时能够及时有效响应，
              并提供有效的应对手段，将损失降至最低。
                  （四）现有多级安全策略不完善

                  计算机信息安全策略方面的问题主要体现在以下几个方面：
                  在计算机信息安全策略上，一级策略总体计算机信息安全策略缺失。在企业
              成立之初，制定了“增强安全意识，规避安全风险，完善安全体系”的计算机信
              息安全方针。放在当下，该方针偏向技术化，从战略高度上看，与业务的相关性

              较低。从目前企业整体计算机信息安全建设的规划上来看，并没有起到指导的意
              义，企业整体安全策略规划是缺失的。
                  在二级策略上即组织安全策略层级，缺少部分主安全策略，如云端安全策略、
              IT 项目管理策略，终端管理策略等。目前的计算机信息安全管理体系不够规范，

              且粒度较大，没有形成紧密的安全管理制度。另外，云端计算机信息安全策略没
              有明确的规划。随着云计算、大数据、人工智能、AI 等新技术的出现，公司在
              未来发展的战略中提出了成本节约战略，因此公司会将公司的大部分业务上云。
              但目前公司现阶段的防御手段主要还是依据传统的数据中心网络建设思想，通过

              部署防火墙、入侵防御系统来保护重要系统的安全，但对于云端安全责任共担模
              式的理解不太深刻，也没有制定相关的安全防御策略，进行积极应对。
                  在三级策略上，运维流程和运维指导手册不完善，具体操作流程难以落实
              到位。虽然制定了运维流程，但运维流程过于形式化，只是从宏观上制定了一系

              列的通用流程步骤，具体执行过程中，往往会跳跃式执行，依据经验执行。在运
              维指导手册方面，手册编写比较粗犷，在具体实施过程中不能有效进行参考，运


                                                                                  ·137·