企业管理信息系统安全性分析及对策

企业管理信息系统安全性分析及对策 【摘要】根据当今信息安全现状，阐述信息安全在企业中的重要性。结合案例，分析其成功与不足之处，结合专业知识提出自己对企业信息安全的对策。关键字：信息安全；现状；重要性；企业信息安全的对策 Abstract： According to the current status of information security, information security on the importance of the enterprise. Combination of cases, analysis of its successes and deficiencies, and then combine its own expertise to the enterprise information security solutions. Key words：Information Security ; Status quo ;The importance of； Enterprise Information Security Measures目录引言5一、信息安全51.1信息安全概念51.2信息安全的隐患51.3信息安全在企业管理中的重要性51.4不重视信息安全的后果6二、案例分析72.1 在信息安全方面较成功案例72.2 在信息安全方面做得不足的案例82.3校园网在信息安全方面的成功与不足8三、企业信息安全对策93.1 技术93.2 人员9四、总结10五、心得与体会10参考文献11致谢12引言信息既是一种资源，也是一种财富。随着知识经济时代的到来，尤其是Internet的普遍应用以来，保护重要信息的安全性，已经成为我们重点关注的问题了。我国企业在运用安全技术方面取得了重大成果，但在信息安全策略和管理方面仍显滞后。据调查，68%表示其所在企业已安装了应用防火墙（全球平均值为67%），59%部署了互联网服务安全保护措施（全球平均值为58%）。然而，从安全策略及管理方面来看，仅有34%为部署信息技术架构建立了标准和流程（全球平均值为51%），33%建立了业务持续经营计划或灾难性恢复计划（全球平均值为55）。由此可见，我国在技术应用方面是相当不错的，但在安全策略和管理环节就显得力不从心了，虽然消耗了大量的资金，却效果甚微。一、信息安全 1.1信息安全概念 信息安全本身包括的范围很大，大到国家军事政治等机密安全，小范围的当然还包括如防范商业企业机密泄露，防范青少年对不良信息的浏览，个人信息的泄露等。网络环境下的信息安全体系是保证信息安全的关键，包括计算机安全操作系统、各种安全协议、安全机制（数字签名，信息认证，数据加密等），直至安全系统，其中任何一个安全漏洞便可以威胁全局安全。信息安全服务至少应该包括支持信息网络安全服务的基本理论，以及基于新一代信息网络体系结构的网络安全服务体系结构。 信息安全是指信息网络的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断。信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。6 1.2信息安全的隐患我们知道，人是信息的操作者，在信息的采集、存储、传输、访问全过程中，信息操作执行者的非法性以及对信息的非法破坏等都会影响信息安全，每个环节都可能发生安全问题，而这每个环节中安全隐患的最终来源都是人。各种识别防范技术就是为了建立操作者与信息操作之间的匹配性、一致性。人们的自我防范意识差的主要表现为：计算机不设系统密码(或者不设文件密码)、随意使用不明来路的存储器(或者打开来路不明的文件)、不装防火墙、不安装杀毒软件（或不定期更新）、不注重数据的备份、有形资料（如：光盘、书面文件、硬盘等）随便乱放等等。网络也是信息安全隐患最突出的场所。从最近发作的几起网络病毒对网络系统及网络安全所造成的危害来看，网络的安全隐患十分严重，不得不引起我们的足够重视。1.3信息安全在企业管理中的重要性随着信息时代的来临，信息安全成为各个领域探索和完善的问题。大到国家军事政治等机密安全，小范围的当然还包括如防范商业企业机密泄露，防范青少年对不良信息的浏览，个人信息的泄露等，信息的安全都始终都没有得到解决。在一个企业运作过程中，技术上的问题不大，但是作为信息安全的防范，应该引起管理者的高度重视了。近期在各企业中屡屡发生的信息被破坏的事件就暴露了企业管理的薄弱环节。其原因主要是两个方面：一是企业领导者不重视或者对其认识不足，二是员工缺乏安全意识。领导者不重视的原因，是因为他们对信息安全在企业中的重要性认识不足，没有认真考虑过一旦出了重大信息安全事故，会给企业造成多么惨重的损失；有些企业的领导目光短浅，对信息安全管理的投资不感兴趣。由于领导的不重视，企业对员工缺乏足够的、持续的信息安全教育和培训，致使员工也没有足够的安全意识，最终导致的危害是非常巨大的。如果从企业的领导到企业的员工普遍都缺乏安全意识，只靠企业的网络管理员、信息安全管理员的常规管理，信息安全将无从谈起。若企业的信息安全得不到保障，轻则将会给企业带严重的经济损失,重则使企业面临破产或者崩溃。许多企业在近几年投入不少财力购买了安全设备、安全软件、甚至是安全服务，但是，其结果并没有从根本上解决信息安全问题了。其时我们可以从多个角度帮助用户分析：技术不能解决所有的问题，问题出在管理上，必须要两手抓，两手都要硬，只有这样做，信息安全才有保障。1.4不重视信息安全的后果用以下两个例子来阐述不重视信息安全的后果：例1从敲诈信看信息安全的重要性2008年12月19日下午4点多钟，南京夫子庙邮局工作人员屠先生打开一个信箱，准备分拣信件。他意外地发现，有25封信惊人地相似，都是寄往全国各地农林局或民政局局长的，但没有寄信人地址，只写有“地址内详”“家书、外人勿拆”字样，并且信封右下角的落款均是“堂妹”，后面写有一个人名，从字体上看，信件应出自于同一人之手，而且每封信的厚度都一样。屠先生感觉有异，立即向领导汇报。邮局相关领导决定报警，由警察前来处理此事。警察赶到现场后，拆开其中一封信，抽出信件一看，众人吃惊地张大了嘴巴。信封里有一张男女的性爱照片和一封打印在一张A4纸上的信。内容是： “您应该还记得春宵缠绵的时刻的妹妹我吧，直接存入八万块钱，可以前后两天分两次存入，这样快且不用身份证件，没有其他麻烦。”“我的时间是有限的，别等你的钱到了，我手上的这些东西也都寄到你单位各科室、其他单位和报社，以及你上级的各级纪检监察部门去了。那你就太倒霉，太冤了，可别怨我。我这么做的确是没有别的活路了。”银行帐号等。民警意识到问题的严重性，随即打开了其他信件，发现内容一模一样，也有银行账号，并且也有一张性爱照片。不同的是，性爱照片的男主角各不相同，但男女的姿势一模一样。这些信寄往全国各地。经核实， 收信人都是某局的局长或副局长，而且其长相与照片中男子的长相一致。敲诈信都是寄给全国各地农林局或民政局局长的，说明全国各地农林局或民政局局长的个人信息被泄露了。12如果被不发分子掌握了个人隐私来胁迫个人对所在的企事业单位进行违法行为,那将对个人造成的损失将是无法估量的。从此不难看出信息安全的重要性。例2 股海情殇丢失一台笔记本损失3000万某国际股份有限公司董事长钱某，1997年10月去深圳参加公司发行股份的新闻发布会。饭后，将其随身携带的笔记本电脑遗忘在该酒店。此电脑被前来就餐的于某拾得。于某将之据为己有，他深谙电脑知识，凭借自己熟练的电脑操作技术破解并非法侵人到该国际股份有限公司的计算机信息系统后，未重新设置密码，致使许多人进人该股份公司计算机系统，了解到该公司内部一些重大信息。股民们大量抢购该股份公司上市的股票，引起了该股份公司股票的交易量和交易价格出现非常波动，造成该股份公司3000余万元的经济损失。11这是由于领导的信息安全意识差，才导致了该公司巨大的经济损失。这也就不难看出公司信息安全的重要性。    最后需要说明的是，虽说信息安全问题，管理是根本，但技术也是不可或缺的，因为离开技术，管理就如同空中楼阁，没了根基。二、案例分析2.1 在信息安全方面较成功案例东海公司因业务量大增，并且货物的种类、存储及搬运要求越来越多样，越来越随机，货物的物理化学特性也越来越复杂，各种具有吸湿性、锈蚀性、脆弱性、自热性、自燃性、危险性、散味与污染性的货物为调度添加了极大的难度。所以出现：1、信息传递、处理速度缓慢，无法提供货物装卸、在途的实时动态信息查询。2、计划调度工具落后，不能详尽地分析客户的需求，出错率高。3、数据分散，共享性差，常与各部门上报的数字不一致，领导难以据此做出判断和决策。4、信息沟通缓慢，造成大量的重复性劳动，既浪费了人力物力资本，又延迟了货物进出港的时间。为挽救公司损失，领导决定把原来的信息系统进行集成化改造。在信息系统的成功率普遍不高（就拿ERP来说，其成功率只有10%左右，许多企业在投资几百万甚至上千万元之后，却连一个基本的报表都不能提供，又造成了企业内部管理的紧张化，只能眼睁睁的看着业务操作恢复到以前的手工状态，大笔的资金打了水漂）、企业资金并不宽裕的情况下，亦然投资。    他们把公司的信息系统开发大体可以分为两个阶段：    119951998年为计算机软硬件应用平台的选型、引进主要是由上级管理规划部门负责，选择了“终端主机”集中处理模式作为网络运行平台；开发业务软件并出现销售多元化的问题。    219982001年年底，由于计算机站工作人员的流动大，系统开发队伍不稳定，使得各系统的软硬件平台、网络计算模式、界面风格等千差万别，一方面数据不易联通，另一方面系统维护的工作量非常大。   招聘 既懂管理又懂信息技术的复合专家为指导，着手东海公司信息化战略规划的制订，同时制定信息化标准规范和信息化全员培训计划，从组织和措施两方面大力度保证信息化建设的顺利进行，并下设信息化办公室，负责信息化建设的组织实施。13该公司在信息系统集成的成功率只有百分之十的情况下，认识、分析自己的不足，领导的大胆取用人才，投入大量资金进行研究开发与组织变革，这是领导对信息化建设的足够重视；同时制定信息化标准规范和信息化全员培训计划，这是培养公司员工的信息安全意识。这就代表着公司在同行业有着领导地位，信息的安全性也在未来的一段时间有了一定的保障，也就不难看出该公司在未来的良好发展前景。2.2 在信息安全方面做得不足的案例东莞运城制版有限公司从事印刷品生产的企业也越来越多。引用先进的设计印刷设备、积极拓宽产品种类、大幅提升产品与服务质量，业务量的增大，使企业处理的信息也随之增多，对庞大信息进行有效存储、管理及调阅的需求也越来越高。 具有以下问题： 光盘图库没有任何电子方式的存储与备份，需要时一张张地翻阅； 设计的成品，只存在本机硬盘上，难以共享、查找和管理； 样品送给客户和输出公司，若要修改，就得重新打样，且需派专人往返送稿。该公司人员众多，且拥有大量的光盘图库素材，但不宜存放，易损坏，易丢失，成品要长久保存，便于以后调用、修改、共享、查找及管理问题。 他们用2台HP StorageWorks NAS 2000s；HP OpenView Storage Mirroring存储