从 国 栋
【文章来源】中国期刊网
【原文出处】中国科学报刊
【原刊期号】
【原刊页号】16~19
【关 键 词】信息资源 知识管理 知识安全管理
我们早已由信息时代进入知识时代,但信息安全仍然是安全领域最受关注的问题。实际上,知识不但成为重要的战略资源,而且成为经济发展的主要推动力和源泉,知识安全问题日益突出。以企业并购为例,由于被并购企业中关键人员的流失,使收购方追求的核心技术落空,不仅造成收购方的巨大投资损失,而且产生潜在的竞争威胁。因此,知识安全对组织目标实现甚至企业生存起着至关重要的作用,如何更好地保护组织知识资产的安全性,应当成为理论研究和管理实践首要关注的问题。
一、知识安全管理的定义和目标:
安全涉及保护有价值的资产不被遗失、滥用、泄露或者损害。因此,知识安全的定义是:组织知识资产的获取、储存、传递和利用,避免受到来自网络、设备、人员的威胁,保证知识资产的保存完整、正确使用和价值增加。相应地,知识安全管理可定义为:通过管理和技术手段,降低组织知识资产的获取、储存、传递和利用过程中的风险,实现知识安全的目标。
知识安全管理的目标主要包括三个方面:
完整性:知识应当是构成知识的信息、数据、方法、人员等形成的统一整体,缺少其中任何一个方面都将影响知识的存在价值和使用价值
可用性:知识在需要时可用,提供知识的系统能适当地承受攻击并在失败时恢复;系统提供的知识也必须是有用的有价值的,否则将产生负面影响;
保密性:知识的访问、修改、使用被赋予相应的权限,只有获得授权的人才能处理知识。
二、知识安全管理面临的主要风险:
1、人的风险:人是知识的载体,是知识安全中最关键的因素。在组织知识资产的获取、储存、传递和利用整个过程中,都离不开人的参与和作用。因此,如果人在整个过程中的任何一个环节存在错误、遗漏、欺诈、意外和故意损害故意或失误,都将对知识安全产生不利影响。此外,组织中掌握知识的关键人员流失,将直接对知识存量和利用效果也产生了较大损害,甚至可能导致组织目标的失败。
2、网络环境:网络不仅是形成知识所需的信息、数据的主要来源,也是知识本身来源的一部分。从网络得到的信息、数据、知识是虚假、错误的,黑客入侵、篡改、盗用造成数据缺失、知识泄漏等问题,病毒对系统和设备的损害,都构成对知识安全的重大威胁。正如信息研究领域常说的“如果输入的是垃圾,输出的一定是垃圾”,如果构造知识的基础受到破坏,知识安全必将面临更大危害。
3、技术手段:知识安全管理的实现手段如DSS(决策支持系统)、ES(专家系统)等,由于对使用者的相对不透明,如果知识存储或推理机制等知识产生过程中的任何环节受到侵害,造成不能访问、知识丢失等,将产生错误的知识;加上知识与决策的密切联系,其危险将被放大。
三、知识安全管理的实现:
企业需要管理的知识可能包括企业的竞争策略、产权知识等机密,也可能包括可供公共访问的知识,因此强大而又灵活的知识安全策略必不可少。知识安全面临的威胁是多方面的,需要一系列分级的技术和非技术的安全措施保证知识安全,如物理安全措施、背景审查、用户分级、密码保护、知识加密和防火墙等,并重点做好以下方面工作:
1、知识安全必须成为企业战略的重要组成部分。知识安全管理作为知识管理的重要组成部分,应当成为并购、投资、重要内容。在董事会中,应指定专人(如CIO)担任知识安全官,负责设计知识安全的逻辑架构、系统架构、组织架构,直接对董事会负责。同时,要建立审计委员会,并由知识安全官向其报告知识安全的进展和问题。审计委员会的职责主要是:编制安全方针政策;研究知识安全方面的投资,寻求规范的和商业化的解决方案,包括组织、流程和技术;规定标准、评测措施、
规程和绩效测量等内容;审查监督知识安全政策的落实情况,
2、知识安全管理必须以信息安全管理为基础。首先,这是由知识与信息的关系决定的。知识是在信息基础上加工形成的,形成知识离不开信息,运用知识也离不开处理信息;其次,信息安全是知识安全的前提,知识安全是信息安全管理的目标。完整、正确、有效的信息,只有转化为知识,才能真正发挥信息的作用。实际上,为了保证企业价值,增加有效知识存量是最可靠的方法之一,必须强化信息安全管理机制,充分考虑包括信息安全基础设施、第三方利用的信息资产的安全性、当信息处理外包时信息安全的维护等问题,从根本上保证知识安全。
3、必须建立知识安全管理体系。如上所述,知识安全管理是一项系统工程,需要依靠完备的知识安全管理体系,设计科学的知识安全管理流程,全面落实知识安全管理制度。
首先,要建立合理的知识资产评估制度。企业应当明确对企业最关键的三项知识资产,设定可接受的最低的安全级别以及最大风险状况,建立业务持续计划;评估管理层对这3项关键的信息资产的可用性、保密性和完整性的管理水平,将关键知识资产不可用、受到损害或遗失时的危险换算成经济指标,使管理层明确关键知识资产对经营的影响;重点保护对企业最有价值的IT基础设施。
其次,要建立合理的知识获取制度。指定专职部门负责信息的收集和知识的加工,识别并排除错误、虚假的信息;采用先进的数据挖掘技术和数据仓库技术,对信息、数据来源分类、整合,保证知识来源的正确、完整;
第三,要建立合理的知识存储制度。通过相应的备份、应急处理等制度,保证知识以恰当的方式保存在恰当的地点,既不影响知识的使用,又受到合理的保护。主要内容包括:职责划分与落实;制定事故应急方案;管理外围设施,维护设备安全尤其是可移动设备的安全;网络管理等。对使用DSS等系统辅助决策的组织,更要注意防范来自网络的袭击、窃取、篡改知识库中知识,定期检查、更新,防止因知识错误导致结论的错误甚至决策的失误。
第四,要建立合理的知识共享制度。一方面,保证知识在组织有序流动和创造价值,减少对个人的依赖,降低因个人产生的知识安全风险;另一方面,要对知识资产进行分级,加强访问控制,包括:制定控制访问方针;采用公用密钥基础设施(PKI)、数字签名(DigitalSignal)进行系统加密和文件加密;隔离部分网络服务;检测非法行为;使用便携机和远程访问时信息和知识的安全。
第五,建立合理的知识监控制度。应在知识安全管理的全过程中,设计合理的监控流程,定期评审和测试。监控流程主要包括:选择监控目标,建立评估措施;设定优先次序、标准和可接受的最低的安全级别;设置节点,查明安全隐患并纠正;实施入侵检测和突发事故演习;及时向高层管理报告监控结果。
4、以人的管理为中心。知识管理归根到底是对人的管理,知识安全管理最终也还是要立足于人的管理。首先,要通过企业文化建设,创造有利于人才成长的环境,充分发挥他们的创造力和创新精神,为企业的长远发展创造出最大的价值,从根本上解决知识安全问题;其次,由知识安全官全面协调人力资源等部门共同落实,尤其是工作绩效评估要包含安全绩效评估,并对此采取适当的奖罚措施;第三,要加强人员培训,确保每个人明确各自在知识安全管理中的角色和责任。通过规定安全职责、使用者防护与方针等内容,学会主动识别威胁,分析弱点和适度关注本行业的惯例,减少误操作、入侵、盗用等人为造成的风险。
