摘 要:在企業(yè)管理信息管理系統(tǒng)建設(shè)中,必須注意系統(tǒng)的安全性。如果忽視了這一問(wèn)題,就可能會(huì)危及到網(wǎng)絡(luò)環(huán)境下企業(yè)的經(jīng)濟(jì)安全。本文首先界定了企業(yè)管理信息系統(tǒng)的安全性含義,并說(shuō)明了其目標(biāo),接著介紹了提高企業(yè)管理信息系統(tǒng)的安全性常用技術(shù)。在此基礎(chǔ)上,文章分析了當(dāng)前企業(yè)管理信息系統(tǒng)的安全性建設(shè)存在的問(wèn)題,最后文章提出了提高企業(yè)管理信息系統(tǒng)的安全性的措施。這些措施包括提高網(wǎng)絡(luò)安全防范意識(shí) 、建立企業(yè)信息安全管理組織體系、制定符合企業(yè)管理信息安全需求的信息安全策略等。
關(guān)鍵詞:企業(yè)信息系統(tǒng) 安全性 問(wèn)題 措施
引言
在全球經(jīng)濟(jì)一體化的大背景下,企業(yè)能否在未來(lái)的競(jìng)爭(zhēng)中立于不敗之地,取決于它是否擁有面向客戶、反應(yīng)靈敏、主動(dòng)學(xué)習(xí)、分享知識(shí)、成本管理的先進(jìn)作業(yè)系統(tǒng)。隨著信息技術(shù)和互聯(lián)網(wǎng)的大規(guī)模普及,企業(yè)信息管理系統(tǒng)建設(shè)就成為了一項(xiàng)新的挑戰(zhàn)。而企業(yè)管理信息化,就是在企業(yè)管理的各個(gè)環(huán)節(jié)和各個(gè)方而,通過(guò)利用計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)來(lái)實(shí)現(xiàn)物流、資金流、信息流和工作流的集成和綜合,從而提高企業(yè)資源配置效率和市場(chǎng)競(jìng)爭(zhēng)能力。但是,在企業(yè)管理信息管理系統(tǒng)建設(shè)中,必須注意系統(tǒng)的安全性。如果忽視了這一問(wèn)題,在信息系統(tǒng)網(wǎng)絡(luò)化、國(guó)際化、公眾化的今天,必然會(huì)帶來(lái)一系列的問(wèn)題,甚至?xí)<暗骄W(wǎng)絡(luò)環(huán)境下企業(yè)的經(jīng)濟(jì)安全。為此,本文就企業(yè)管理信息系統(tǒng)安全性建設(shè)作一番探討。
從文章結(jié)構(gòu)上來(lái)看,本文首先界定了企業(yè)管理信息系統(tǒng)的安全性含義,并說(shuō)明了其目標(biāo),接著介紹了提高企業(yè)管理信息系統(tǒng)的安全性常用技術(shù)。在此基礎(chǔ)上,文章分析了當(dāng)前企業(yè)管理信息系統(tǒng)的安全性建設(shè)存在的問(wèn)題,最后文章提出了提高企業(yè)管理信息系統(tǒng)的安全性的措施。
1、企業(yè)管理信息系統(tǒng)的安全性含義及目標(biāo)
企業(yè)管理信息信息系統(tǒng)安全問(wèn)題是一個(gè)系統(tǒng)工程,涉及的內(nèi)容十分廣泛,既有技術(shù)問(wèn)題,又有管理問(wèn)題。因此,如何提高企業(yè)管理信息信息系統(tǒng)的安全性,有效地保護(hù)企業(yè)重要的信息數(shù)據(jù),己經(jīng)成為所有計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用企業(yè)必須考慮和解決的重要課題。
1.1.息系統(tǒng)的安全性的內(nèi)涵
管理信息系統(tǒng)是指運(yùn)用系統(tǒng)理論和方法,以電子計(jì)算機(jī)和現(xiàn)代通訊技術(shù)為信息處理手段和傳輸工具,能為企業(yè)管理決策提供信息服務(wù)的人機(jī)系統(tǒng)。從最廣泛的意義來(lái)說(shuō),管理信息系統(tǒng)可以理解為對(duì)管理信息進(jìn)行收集、整理、存儲(chǔ)、加工、查找、傳輸,為管理決策服務(wù)的系統(tǒng),也可以定義為用于管理決策的信息系統(tǒng)。與一般意義上的信息系統(tǒng)不同,它具有的特點(diǎn)是它所管理的信息都是管理信息并且是為管理決策服務(wù)的。通常我們將管理信息系統(tǒng)簡(jiǎn)稱為MIS(Management Information Systems)系統(tǒng)。記住這個(gè)術(shù)語(yǔ),當(dāng)提起MIS時(shí)大家要知道,就是指管理信息系統(tǒng)。
從應(yīng)用的角度看,企業(yè)信息管理系統(tǒng)的安全性包含兩個(gè)方面:
(1)應(yīng)用級(jí)安全性。對(duì)于用戶或操作員能否登錄至應(yīng)用工作站的安全性問(wèn)題。如果能夠有效阻止非法或惡意的攻擊性登錄,則說(shuō)明安全系數(shù)高,也就是說(shuō)系統(tǒng)是安全的。
如果用戶能夠繞過(guò)應(yīng)用工作站利用應(yīng)用系統(tǒng)開設(shè)的賬號(hào)直接登錄到數(shù)據(jù)庫(kù)系統(tǒng),而且數(shù)據(jù)庫(kù)數(shù)據(jù)的操作超出了DBMS(數(shù)據(jù)庫(kù)管理系統(tǒng))賦予該賬號(hào)的權(quán)限,則說(shuō)明數(shù)據(jù)庫(kù)級(jí)安全性差。
管理信息系統(tǒng)的安全性是一項(xiàng)綜合的技術(shù),其安全控制包括數(shù)據(jù)庫(kù)的安全和用戶權(quán)限的控制兩大部分,數(shù)據(jù)庫(kù)的安全性一般由數(shù)據(jù)庫(kù)管理系統(tǒng)和系統(tǒng)網(wǎng)絡(luò)平臺(tái)提供,而用戶權(quán)限控制功能必須山應(yīng)用系統(tǒng)來(lái)提供。
隨著Internet的發(fā)展,單個(gè)PC機(jī)的信息系統(tǒng)已經(jīng)越來(lái)越少,取而代之的是小范圍的局域網(wǎng)和大范圍的全球化的由無(wú)數(shù)個(gè)微機(jī)連接在一起的Internet網(wǎng),越來(lái)越多的數(shù)據(jù)透過(guò)網(wǎng)絡(luò)進(jìn)行傳輸,同時(shí)由于電子商務(wù)的普及,企業(yè)的關(guān)鍵數(shù)據(jù)被放在網(wǎng)上。面對(duì)人為的網(wǎng)絡(luò)非法盜用、故意破壞或錯(cuò)誤操作,以及計(jì)算機(jī)犯罪、計(jì)算機(jī)病毒、黑客攻擊等種種因素的影響,企業(yè)管理信息系統(tǒng)的安全性受到了嚴(yán)重挑戰(zhàn)。為此,必須加強(qiáng)企業(yè)管理信息系統(tǒng)的安全性建設(shè),加強(qiáng)企業(yè)管理信息系統(tǒng)的安全性建設(shè)對(duì)企業(yè)發(fā)展和生存具有重要價(jià)值,
1.2.信息系統(tǒng)的安全性目標(biāo)分析
從應(yīng)用級(jí)安全性和數(shù)據(jù)庫(kù)級(jí)安全性來(lái)分析,企業(yè)信息管理系統(tǒng)安全性應(yīng)達(dá)到如下目標(biāo):
(1)必須有一個(gè)應(yīng)用系統(tǒng)賬號(hào)才能進(jìn)入應(yīng)用系統(tǒng)。
(2)要使用應(yīng)用系統(tǒng)必須需要數(shù)據(jù)庫(kù)賬號(hào)用于登錄數(shù)據(jù)庫(kù)。
(3)用戶繞過(guò)應(yīng)用系統(tǒng)將不能登錄數(shù)據(jù)庫(kù)系統(tǒng)。
(4)在網(wǎng)絡(luò)傳輸過(guò)程中截取的應(yīng)用系統(tǒng)賬號(hào)和密碼無(wú)法登錄應(yīng)用系統(tǒng)。
(5)在網(wǎng)絡(luò)傳輸過(guò)程中截取的數(shù)據(jù)庫(kù)賬號(hào)和密碼雖然可以登錄數(shù)據(jù)庫(kù),但不能對(duì)數(shù)據(jù)庫(kù)做超出該數(shù)據(jù)庫(kù)賬號(hào)權(quán)限范圍以外的操作。
(6)任何企圖盜用某個(gè)應(yīng)用系統(tǒng)賬號(hào)的行為只能進(jìn)行有限的次數(shù)。
(7)任何企圖盜用某個(gè)數(shù)據(jù)庫(kù)賬號(hào)的行為只能進(jìn)行有限的次數(shù)。
2、企業(yè)管理信息系統(tǒng)的安全性常用技術(shù)分析
面對(duì)人為的網(wǎng)絡(luò)非法盜用、故意破壞或錯(cuò)誤操作,以及計(jì)算機(jī)犯罪、計(jì)算機(jī)病毒、黑客攻擊等種種因素的影響,企業(yè)管理信息系統(tǒng)建設(shè)必須重視信息安全建設(shè)。當(dāng)前,企業(yè)一般主要從以下幾個(gè)層面來(lái)實(shí)施信息系統(tǒng)安全的保障。
2.1.統(tǒng)層面,對(duì)訪問(wèn)進(jìn)行控制
通過(guò)用戶權(quán)限管理,來(lái)確定哪些企業(yè)用戶可以使用哪些功能,記錄用戶操作的日志,以備跟蹤;通過(guò)企業(yè)數(shù)據(jù)加密,保證企業(yè)數(shù)據(jù)在網(wǎng)絡(luò)中的傳輸以密文的方式進(jìn)行,以便不被竊聽;由于企業(yè)數(shù)據(jù)是管理系統(tǒng)的關(guān)鍵的資源,因此我們還必須制定數(shù)據(jù)備份策略,當(dāng)數(shù)據(jù)庫(kù)出問(wèn)題時(shí),保證企業(yè)管理信息數(shù)據(jù)盡可能得以恢復(fù)。
2.2. 在系統(tǒng)層面,對(duì)病毒進(jìn)行防護(hù)
在系統(tǒng)層面,對(duì)病毒進(jìn)行防護(hù),主要是安裝實(shí)時(shí)防病毒軟件、定期查毒、不使用來(lái)歷不明的軟盤等;安裝入侵偵測(cè)設(shè)備,隨時(shí)檢測(cè)企業(yè)網(wǎng)絡(luò)中的數(shù)據(jù),檢查是否是攻擊的數(shù)據(jù)包,然后報(bào)警或停止對(duì)方的訪問(wèn)請(qǐng)求,從而保護(hù)系統(tǒng)不受攻擊;同時(shí)通過(guò)安全掃描軟件,定時(shí)對(duì)企業(yè)信息管理系統(tǒng)進(jìn)行掃描,及時(shí)發(fā)現(xiàn)系統(tǒng)的安全漏洞,此外,也要定期進(jìn)行安全審計(jì)和性能監(jiān)視等措施。
2.3.面,注重抵御外來(lái)攻擊
為了保護(hù)內(nèi)部網(wǎng)絡(luò)不受攻擊,企業(yè)通過(guò)建置防火墻、VPN等手段來(lái)抵御外來(lái)攻擊。抵御外來(lái)攻擊的技術(shù)主要有:(1)防火墻技術(shù)。防火墻是一個(gè)或一組實(shí)施訪問(wèn)控制策略的系統(tǒng),它的作用是防止Internet上的非法入侵和破壞企業(yè)信息管理系統(tǒng);防止企業(yè)內(nèi)部使用者不當(dāng)?shù)厥褂肐nternet。它是位于Internet與企業(yè)內(nèi)部網(wǎng)(Intranet)之間的系統(tǒng),有了它就避免內(nèi)部網(wǎng)絡(luò)直接暴露在外面;它能有效地記錄和監(jiān)控企業(yè)與互聯(lián)網(wǎng)活動(dòng),并提供完整的認(rèn)證與報(bào)警。(2)入侵偵測(cè)系統(tǒng)。入侵偵測(cè)系統(tǒng)的設(shè)計(jì)主要在針對(duì)可疑的活動(dòng)進(jìn)行分析以及偵測(cè),入侵偵測(cè)系統(tǒng)可以判斷出更多的可疑的動(dòng)作,這點(diǎn)無(wú)疑可以彌補(bǔ)防火墻的設(shè)計(jì)所缺乏部份,入侵偵測(cè)也是一套軟件,它可以運(yùn)行在Linux等操作系統(tǒng)中。(3)VPN是虛擬專用網(wǎng)。VPN是虛擬專用網(wǎng)(Virtual Private Network)的簡(jiǎn)稱,VPN指的是依靠ISP(Internet服務(wù)提供商)和其它NSP(網(wǎng)絡(luò)服務(wù)提供商),在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù) 。目前VPN主要采用四項(xiàng)技術(shù)來(lái)保證安全,這四項(xiàng)技術(shù)分別是隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)、使用者與設(shè)備身份認(rèn)證技術(shù)(Authentication)。