企业管理信息系统安全性探讨新版.docx
- 文档编号:1703668
- 上传时间:2022-10-23
- 格式:DOCX
- 页数:6
- 大小:21.36KB
企业管理信息系统安全性探讨新版.docx
《企业管理信息系统安全性探讨新版.docx》由会员分享,可在线阅读,更多相关《企业管理信息系统安全性探讨新版.docx(6页珍藏版)》请在冰豆网上搜索。
企业管理信息系统安全性探讨新版
企业管理信息系统安全性探讨(新版)
Safetyworkhasonlyastartingpointandnoend.Onlytheleadershipcanreallypayattentiontoit,measuresareimplemented,andassessmentsareinplace.
(安全管理)
单位:
______________________
姓名:
______________________
日期:
______________________
编号:
AQ-SN-0136
企业管理信息系统安全性探讨(新版)
前言:
安全工作只有起点,没有终点,只有真正做到领导重视,措施落实、考核到位,严格奖惩兑现,不断提高安全管理水平,才能确保安全生产。
本文档可以用来收藏、阅读、改编、打印(使用时请先阅读条款)。
摘要:
在企业管理信息管理系统建设中,必须注意系统的安全性。
如果忽视了这一问题,就可能会危及到网络环境下企业的经济安全。
本文首先界定了企业管理信息系统的安全性含义,并说明了其目标,接着介绍了提高企业管理信息系统的安全性常用技术。
在此基础上,文章分析了当前企业管理信息系统的安全性建设存在的问题,最后文章提出了提高企业管理信息系统的安全性的措施。
这些措施包括提高网络安全防范意识、建立企业信息安全管理组织体系、制定符合企业管理信息安全需求的信息安全策略等。
关键词:
企业信息系统安全性问题措施
引言
在全球经济一体化的大背景下,企业能否在未来的竞争中立于不败之地,取决于它是否拥有面向客户、反应灵敏、主动学习、分享知识、成本管理的先进作业系统。
随着信息技术和互联网的大规模普及,企业信息管理系统建设就成为了一项新的挑战。
而企业管理信息化,就是在企业管理的各个环节和各个方而,通过利用计算机和网络技术来实现物流、资金流、信息流和工作流的集成和综合,从而提高企业资源配置效率和市场竞争能力。
但是,在企业管理信息管理系统建设中,必须注意系统的安全性。
如果忽视了这一问题,在信息系统网络化、国际化、公众化的今天,必然会带来一系列的问题,甚至会危及到网络环境下企业的经济安全。
为此,本文就企业管理信息系统安全性建设作一番探讨。
从文章结构上来看,本文首先界定了企业管理信息系统的安全性含义,并说明了其目标,接着介绍了提高企业管理信息系统的安全性常用技术。
在此基础上,文章分析了当前企业管理信息系统的安全性建设存在的问题,最后文章提出了提高企业管理信息系统的安全性的措施。
1、企业管理信息系统的安全性含义及目标
企业管理信息信息系统安全问题是一个系统工程,涉及的内容十分广泛,既有技术问题,又有管理问题。
因此,如何提高企业管理信息信息系统的安全性,有效地保护企业重要的信息数据,己经成为所有计算机网络应用企业必须考虑和解决的重要课题。
1.1.息系统的安全性的内涵
管理信息系统是指运用系统理论和方法,以电子计算机和现代通讯技术为信息处理手段和传输工具,能为企业管理决策提供信息服务的人机系统。
从最广泛的意义来说,管理信息系统可以理解为对管理信息进行收集、整理、存储、加工、查找、传输,为管理决策服务的系统,也可以定义为用于管理决策的信息系统。
与一般意义上的信息系统不同,它具有的特点是它所管理的信息都是管理信息并且是为管理决策服务的。
通常我们将管理信息系统简称为MIS(ManagementInformationSystems)系统。
记住这个术语,当提起MIS时大家要知道,就是指管理信息系统。
从应用的角度看,企业信息管理系统的安全性包含两个方面:
(1)应用级安全性。
对于用户或操作员能否登录至应用工作站的安全性问题。
如果能够有效阻止非法或恶意的攻击性登录,则说明安全系数高,也就是说系统是安全的。
如果用户能够绕过应用工作站利用应用系统开设的账号直接登录到数据库系统,而且数据库数据的操作超出了DBMS(数据库管理系统)赋予该账号的权限,则说明数据库级安全性差。
管理信息系统的安全性是一项综合的技术,其安全控制包括数据库的安全和用户权限的控制两大部分,数据库的安全性一般由数据库管理系统和系统网络平台提供,而用户权限控制功能必须山应用系统来提供。
随着Internet的发展,单个PC机的信息系统已经越来越少,取而代之的是小范围的局域网和大范围的全球化的由无数个微机连接在一起的Internet网,越来越多的数据透过网络进行传输,同时由于电子商务的普及,企业的关键数据被放在网上。
面对人为的网络非法盗用、故意破坏或错误操作,以及计算机犯罪、计算机病毒、黑客攻击等种种因素的影响,企业管理信息系统的安全性受到了严重挑战。
为此,必须加强企业管理信息系统的安全性建设,加强企业管理信息系统的安全性建设对企业发展和生存具有重要价值,
1.2.信息系统的安全性目标分析
从应用级安全性和数据库级安全性来分析,企业信息管理系统安全性应达到如下目标:
(1)必须有一个应用系统账号才能进入应用系统。
(2)要使用应用系统必须需要数据库账号用于登录数据库。
(3)用户绕过应用系统将不能登录数据库系统。
(4)在网络传输过程中截取的应用系统账号和密码无法登录应用系统。
(5)在网络传输过程中截取的数据库账号和密码虽然可以登录数据库,但不能对数据库做超出该数据库账号权限范围以外的操作。
(6)任何企图盗用某个应用系统账号的行为只能进行有限的次数。
(7)任何企图盗用某个数据库账号的行为只能进行有限的次数。
2、企业管理信息系统的安全性常用技术分析
面对人为的网络非法盗用、故意破坏或错误操作,以及计算机犯罪、计算机病毒、黑客攻击等种种因素的影响,企业管理信息系统建设必须重视信息安全建设。
当前,企业一般主要从以下几个层面来实施信息系统安全的保障。
2.1.统层面,对访问进行控制
通过用户权限管理,来确定哪些企业用户可以使用哪些功能,记录用户操作的日志,以备跟踪;通过企业数据加密,保证企业数据在网络中的传输以密文的方式进行,以便不被窃听;由于企业数据是管理系统的关键的资源,因此我们还必须制定数据备份策略,当数据库出问题时,保证企业管理信息数据尽可能得以恢复。
2.2.在系统层面,对病毒进行防护
在系统层面,对病毒进行防护,主要是安装实时防病毒软件、定期查毒、不使用来历不明的软盘等;安装入侵侦测设备,随时检测企业网络中的数据,检查是否是攻击的数据包,然后报警或停止对方的访问请求,从而保护系统不受攻击;同时通过安全扫描软件,定时对企业信息管理系统进行扫描,及时发现系统的安全漏洞,此外,也要定期进行安全审计和性能监视等措施。
2.3.面,注重抵御外来攻击
为了保护内部网络不受攻击,企业通过建置防火墙、VPN等手段来抵御外来攻击。
抵御外来攻击的技术主要有:
(1)防火墙技术。
防火墙是一个或一组实施访问控制策略的系统,它的作用是防止Internet上的非法入侵和破坏企业信息管理系统;防止企业内部使用者不当地使用Internet。
它是位于Internet与企业内部网(Intranet)之间的系统,有了它就避免内部网络直接暴露在外面;它能有效地记录和监控企业与互联网活动,并提供完整的认证与报警。
(2)入侵侦测系统。
入侵侦测系统的设计主要在针对可疑的活动进行分析以及侦测,入侵侦测系统可以判断出更多的可疑的动作,这点无疑可以弥补防火墙的设计所缺乏部份,入侵侦测也是一套软件,它可以运行在Linux等操作系统中。
(3)VPN是虚拟专用网。
VPN是虚拟专用网(VirtualPrivateNetwork)的简称,VPN指的是依靠ISP(Internet服务提供商)和其它NSP(网络服务提供商),在公用网络中建立专用的数据通信网络的技术。
目前VPN主要采用四项技术来保证安全,这四项技术分别是隧道技术、加解密技术、密钥管理技术、使用者与设备身份认证技术(Authentication)。
3、前企业管理信息系统的安全性建设存在的问题
当前我国很多企业都建立了管理信息系统,但是不可否认一些企业管理信息系统的安全性建设还存在不少问题,几乎很少有企业能够从管理的角度以及人员管理的角度来进行管理信息系统安全建设。
下面笔者以北京xx公司为例就当前企业管理信息系统的安全性建设存在问题作一番说明。
北京xx公司成立于1998年,注册资本文伍百万元人民币,目前有员工200人,主要从事房屋装修业务。
该公司2001年进行了信息化建设,并建立了自己的网站,网站成立6年来,多次发生网络瘫痪事件,曾经给公司造成了很大的损失。
分析公司造成损失的原因,我们可以发现该公司管理信息系统的安全建设存在以下问题:
3.1.管理
往往由于管理手段不到位,导致先进的技术无法发挥应有的效能。
企业管理信息系统安全问题的解决需要技术,但又不能单纯依靠技术,信息化的过程其实是人与技术相互融合的过程,如何使管理与技术相得益彰十分重要。
安全是一个交互的过程,“三分技术,七分管理”阐述了企业管理信息系统安全的本质。
3.2.体上、有计划地考虑企业管理信息系统安全问题
企业各部门、各下属机构也存在“各自为政”的局面,缺少统一规划、设计和管理。
企业管理信息系统安全强调的是整体上的管理信息安全性,而不仅是某一个部门或公司的管理信息安全。
而各部门又确实存在个体差异,对于不同业务领域来说,管理信息安全具有不同的涵义和特征,企业管理信息系统安全保障体系的战略性必须涵盖各部门和各下属机构的管理信息安全保障体系的相关内容。
3.3.层对企业管理信息系统安全的认识不够
企业管理高层对企业管理信息系统安全的认识不够,缺少信息安全管理配套的人力、物力和财力。
人才是管理信息安全保障工作的关键。
管理信息安全保障工作的专业性、技术性很强,没有一批业务能力强,且具有信息网络知识、信息安全技术、法律知识和管理能力的复合型人才和专门人才,就不可能做好信息安全保障工作。
应该从信息安全建设和管理对信息安全人才的实际需求出发,加快信息安全人才的培养。
3.4.工的管理信息安全教育不够
员工的管理信息安全意识薄弱,90%的安全事故是由于人为疏忽所造成。
如:
有些企业不限制内部人员使用高科技信息载体(U盘、移动硬盘等),以及笔记本电脑等移动办公设备。
缺少管理信息安全的监督审计机制,导致安全项目实施完后无法发挥长期效能,安全策略无法持续性改进。
缺少监督审计,就会使得管理制度流于形式,变得空洞。
必须建立安全审计机制,定期对安全制度和安全策略进行审计,对安全管理工作进行核查,找出安全管理中的问题和漏洞,并制定相应的解决方案进行安全加固。
缺少完整的信息安全策略,信息安全管理没有形成标准和规范,没有形成一套体系。
为了更好地加强和规范计算机信息安全工作,还需要进行更加细致和系统的工作,通过引进国际先进的安全管理方法和理念ISMS(InformationsecurityManagementSystem),帮助企业根据自身特点建立起适合于业务发展的信息安全管理系统。
从原因上来看,我国企业管理信息系统安全性建设存在上述问题,主要在于人们对网络安全问题认识上的缺陷。
通常人们将网络作为一项纯粹的工程来实施,缺乏统一的安全管理策略和专门的网络维护人员,另外,企业缺乏应有的信息保密知识,被动的使用一些技术措施来进行防御,因此,在信息管理过程中出现的突发性事件往往造成很大的经济损失。
现实中没有一个系统是完美的,不安全因素随时存在。
因此,安全措施必须渗透到系统的每一个环节中的同时,最重要的是要渗透到企业的每一个层面中。
从管理人的角度来建设和提高企业管理信息系统安全。
4、高企业管理信息系统的安全性的措施探讨
企业管理信息系统安全性建设是一项系统工程,
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 企业 管理信息系统 安全性 探讨 新版