企業(yè)管理信息思考

時間:2022-09-24 03:55:00

導語:企業(yè)管理信息思考一文來源于網友上傳,不代表本站觀點,若需要原創(chuàng)文章可咨詢客服老師,歡迎參考。

企業(yè)管理信息思考

當前,危及信息系統(tǒng)安全的事例時有發(fā)生,各行業(yè)、企業(yè)用戶已逐漸意識到網絡安全的重要性,開始注意保護自己的數(shù)據庫和網絡信息不致因為安全問題而泄密或被人非法侵入或遭受毀滅性攻擊。據調查,美國每年因為網絡安全造成的損失超過170億美元。75%的公司報告財政損失是由于管理信息系統(tǒng)的安全造成的。超過50%的安全威脅來自內部,17%來自黑客入侵。據統(tǒng)計,我國互聯(lián)網站點有80%以上的網站缺乏安全措施,20%的網站有嚴重的安全問題。

管理信息系統(tǒng)的安全,是指為管理信息系統(tǒng)建立和采取的技術和管理的安全保護,保護計算機硬件、軟件和數(shù)據不因偶然和惡意的原因而遭到破壞、更改和泄漏,以保證系統(tǒng)連續(xù)正常運行。管理信息系統(tǒng)的安全策略是為、管理和保護敏感的信息資源而制定的一級法律、法規(guī)和措施的總和,是對信息資源使用、管理規(guī)則的正式描述,是企業(yè)內所有成員都必須遵守的規(guī)則。管理信息系統(tǒng)的受到的安全威脅有:操作系統(tǒng)的不安全性、防火墻的不安全性、來自內部用戶的安全威脅、缺乏有效的監(jiān)督機制和評估網絡系統(tǒng)的安全性手段、系統(tǒng)不能對病毒有效控制等。

一、機房設備的物理安全

硬件設備事故對管理信息系統(tǒng)危害極大,如電源事故引起的火災,機房通風散熱不好引起燒毀硬件等,嚴重的可使系統(tǒng)業(yè)務停頓,造成不可估量的損失;輕的也會使相應業(yè)務混亂,無法正常運轉。如沈陽鐵路局計算機控制系統(tǒng)曾遭雷擊,損壞了設備,嚴重影響了鐵路運輸秩序。對系統(tǒng)的管理、看護不善,可使一些不法分子盜竊計算機及網絡硬件設備,從中牟利,使企業(yè)和國家財產遭受損失,還破壞了系統(tǒng)的正常運行。

因此,管理信息系統(tǒng)安全首先要保證機房和硬件設備的安全。要制定嚴格的機房管理制度和保衛(wèi)制度,注意防火、防盜、防雷擊等突發(fā)事件和自然災害,采用隔離、防輻射措施實現(xiàn)系統(tǒng)安全運行。

二、管理制度

在制定安全策略的同時,要制定相關的信息與網絡安全的技術標準與規(guī)范。技術標準著重從技術方面規(guī)定與規(guī)范實現(xiàn)安全策略的技術、機制與安全產品的功能指標要求。管理規(guī)范是從政策組織、人力與流程方面對安全策略的實施進行規(guī)劃。這些標準與規(guī)范是安全策略的技術保障與管理基礎,沒有一定政策法規(guī)制度保障的安全策略形同一堆廢紙。

要備好國家有關法規(guī),如:《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《中華人民共和國計算機信息網絡國際聯(lián)網管理暫行規(guī)定》、《計算機信息網絡國際聯(lián)網安全保護管理辦法》、《計算機信息系統(tǒng)安全專用產品檢測和銷售許可證管理辦法》、《中華人民共和國計算機信息網絡國際聯(lián)網管理暫行規(guī)定實施辦法》、《商用密碼管理條例》等,做到有據可查。同時,要制定管理信息系統(tǒng)及其環(huán)境安全管理的規(guī)則,規(guī)則應包含下列內容:

1、崗位職責:包括門衛(wèi)在內的值班制度與職責,管理人員和工程技術人員的職責;

2、管理信息系統(tǒng)的使用規(guī)則,包括各用戶的使用權限,建立與維護完整的網絡用戶數(shù)據庫,嚴格對系統(tǒng)日志進行管理,對公共機房實行精確到人、到機位的登記制度,實現(xiàn)對網絡客戶、IP地址、MAC地址、服務帳號的精確管理;

3、軟件管理制度;

4、機房設備(包括電源、空調)管理制度;

5、網絡運行管理制度;

6、硬件維護制度;

7、軟件維護制度;

8、定期安全檢查與教育制度;

9、下屬單位入網行為規(guī)范和安全協(xié)議。

三、網絡安全

按照網絡OSI七層模型,網絡系統(tǒng)的安全貫穿與整個七層模型。針對網絡系統(tǒng)實際運行的TCP/IP協(xié)議,網絡安全貫穿于信息系統(tǒng)的以下層次:

1、物理層安全:主要防止物理通路的損壞、物理通路的竊聽、對物理通路的攻擊(干擾等)。

2、鏈路層安全:需要保證網絡鏈路傳送的數(shù)據不被竊聽。主要采用劃分VLAN、加密通訊(遠程網)等手段。

3、網絡層安全:需要保證網絡只給授權的客戶使用授權的服務,保證網絡路由正確,避免被攔截或監(jiān)聽。

4、操作系統(tǒng)安全:保證客戶資料、操作系統(tǒng)訪問控制的安全,同時能夠對該操作系統(tǒng)的應用進行審計。

5、應用平臺安全:應用平臺之建立在網絡系統(tǒng)上的應用軟件服務器,如數(shù)據服務器、電子郵件服務器、WEB服務器等。其安全通常采用多種技術(如SSL等)來增強應用平臺的安全系統(tǒng)。

6、應用系統(tǒng)安全:使用應用平臺提供的安全服務來保證基本安全,如通過通訊雙方的認證、審計等手段。

系統(tǒng)安全體系應具備以下功能:建立對特等網段、服務的訪問控制體系;檢查安全漏洞;建立入侵性攻擊監(jiān)控體系;主動進行加密通訊;建立良好的認證體系;進行良好的備份和恢復機制;進行多層防御,隱藏內部信息并建立安全監(jiān)控中心等。

網絡安全防范是每一個系統(tǒng)設計人員和管理人員的重要任務和職責。網絡應采用保種控制技術保證安全訪問而絕對禁止非法者進入,已經成為網絡建設及安全的重大決策問題。

明確網絡資源。事實上我們不能確定誰會來攻擊網絡系統(tǒng),所以作為網絡管理員在制定安全策略之初應充分了解網絡結構,了解保護什么,需要什么樣的訪問以及如何協(xié)調所有的網絡資源和訪問。

確定網絡訪問點。網絡管理員應當了解潛在的非法入侵者會何時何地進入系統(tǒng)。黑客和非法入侵通常通過網絡連接、撥號訪問以及配置不當?shù)闹鳈C入侵系統(tǒng)。因此,我們應該把住這道安全門,禁止非法者闖入。