導(dǎo)語：企業(yè)管理信息思考一文來源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

當(dāng)前，危及信息系統(tǒng)安全的事例時(shí)有發(fā)生，各行業(yè)、企業(yè)用戶已逐漸意識(shí)到網(wǎng)絡(luò)安全的重要性，開始注意保護(hù)自己的數(shù)據(jù)庫和網(wǎng)絡(luò)信息不致因?yàn)榘踩珕栴}而泄密或被人非法侵入或遭受毀滅性攻擊。據(jù)調(diào)查，美國每年因?yàn)榫W(wǎng)絡(luò)安全造成的損失超過170億美元。75％的公司報(bào)告財(cái)政損失是由于管理信息系統(tǒng)的安全造成的。超過50％的安全威脅來自內(nèi)部，17％來自黑客入侵。據(jù)統(tǒng)計(jì)，我國互聯(lián)網(wǎng)站點(diǎn)有80％以上的網(wǎng)站缺乏安全措施，20％的網(wǎng)站有嚴(yán)重的安全問題。

管理信息系統(tǒng)的安全，是指為管理信息系統(tǒng)建立和采取的技術(shù)和管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄漏，以保證系統(tǒng)連續(xù)正常運(yùn)行。管理信息系統(tǒng)的安全策略是為、管理和保護(hù)敏感的信息資源而制定的一級(jí)法律、法規(guī)和措施的總和，是對(duì)信息資源使用、管理規(guī)則的正式描述，是企業(yè)內(nèi)所有成員都必須遵守的規(guī)則。管理信息系統(tǒng)的受到的安全威脅有：操作系統(tǒng)的不安全性、防火墻的不安全性、來自內(nèi)部用戶的安全威脅、缺乏有效的監(jiān)督機(jī)制和評(píng)估網(wǎng)絡(luò)系統(tǒng)的安全性手段、系統(tǒng)不能對(duì)病毒有效控制等。

一、機(jī)房設(shè)備的物理安全

硬件設(shè)備事故對(duì)管理信息系統(tǒng)危害極大，如電源事故引起的火災(zāi)，機(jī)房通風(fēng)散熱不好引起燒毀硬件等，嚴(yán)重的可使系統(tǒng)業(yè)務(wù)停頓，造成不可估量的損失；輕的也會(huì)使相應(yīng)業(yè)務(wù)混亂，無法正常運(yùn)轉(zhuǎn)。如沈陽鐵路局計(jì)算機(jī)控制系統(tǒng)曾遭雷擊，損壞了設(shè)備，嚴(yán)重影響了鐵路運(yùn)輸秩序。對(duì)系統(tǒng)的管理、看護(hù)不善，可使一些不法分子盜竊計(jì)算機(jī)及網(wǎng)絡(luò)硬件設(shè)備，從中牟利，使企業(yè)和國家財(cái)產(chǎn)遭受損失，還破壞了系統(tǒng)的正常運(yùn)行。

因此，管理信息系統(tǒng)安全首先要保證機(jī)房和硬件設(shè)備的安全。要制定嚴(yán)格的機(jī)房管理制度和保衛(wèi)制度，注意防火、防盜、防雷擊等突發(fā)事件和自然災(zāi)害，采用隔離、防輻射措施實(shí)現(xiàn)系統(tǒng)安全運(yùn)行。

二、管理制度

在制定安全策略的同時(shí)，要制定相關(guān)的信息與網(wǎng)絡(luò)安全的技術(shù)標(biāo)準(zhǔn)與規(guī)范。技術(shù)標(biāo)準(zhǔn)著重從技術(shù)方面規(guī)定與規(guī)范實(shí)現(xiàn)安全策略的技術(shù)、機(jī)制與安全產(chǎn)品的功能指標(biāo)要求。管理規(guī)范是從政策組織、人力與流程方面對(duì)安全策略的實(shí)施進(jìn)行規(guī)劃。這些標(biāo)準(zhǔn)與規(guī)范是安全策略的技術(shù)保障與管理基礎(chǔ)，沒有一定政策法規(guī)制度保障的安全策略形同一堆廢紙。

要備好國家有關(guān)法規(guī)，如：《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《中華人民共和國計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》、《計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法》、《計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品檢測和銷售許可證管理辦法》、《中華人民共和國計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定實(shí)施辦法》、《商用密碼管理?xiàng)l例》等，做到有據(jù)可查。同時(shí)，要制定管理信息系統(tǒng)及其環(huán)境安全管理的規(guī)則，規(guī)則應(yīng)包含下列內(nèi)容：

1、崗位職責(zé)：包括門衛(wèi)在內(nèi)的值班制度與職責(zé)，管理人員和工程技術(shù)人員的職責(zé)；

2、管理信息系統(tǒng)的使用規(guī)則，包括各用戶的使用權(quán)限，建立與維護(hù)完整的網(wǎng)絡(luò)用戶數(shù)據(jù)庫，嚴(yán)格對(duì)系統(tǒng)日志進(jìn)行管理，對(duì)公共機(jī)房實(shí)行精確到人、到機(jī)位的登記制度，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)客戶、IP地址、MAC地址、服務(wù)帳號(hào)的精確管理；

3、軟件管理制度；

4、機(jī)房設(shè)備（包括電源、空調(diào)）管理制度；

5、網(wǎng)絡(luò)運(yùn)行管理制度；

6、硬件維護(hù)制度；

7、軟件維護(hù)制度；

8、定期安全檢查與教育制度；

9、下屬單位入網(wǎng)行為規(guī)范和安全協(xié)議。

三、網(wǎng)絡(luò)安全

按照網(wǎng)絡(luò)OSI七層模型，網(wǎng)絡(luò)系統(tǒng)的安全貫穿與整個(gè)七層模型。針對(duì)網(wǎng)絡(luò)系統(tǒng)實(shí)際運(yùn)行的TCP／IP協(xié)議，網(wǎng)絡(luò)安全貫穿于信息系統(tǒng)的以下層次：

1、物理層安全：主要防止物理通路的損壞、物理通路的竊聽、對(duì)物理通路的攻擊（干擾等）。

2、鏈路層安全：需要保證網(wǎng)絡(luò)鏈路傳送的數(shù)據(jù)不被竊聽。主要采用劃分VLAN、加密通訊（遠(yuǎn)程網(wǎng)）等手段。

3、網(wǎng)絡(luò)層安全：需要保證網(wǎng)絡(luò)只給授權(quán)的客戶使用授權(quán)的服務(wù)，保證網(wǎng)絡(luò)路由正確，避免被攔截或監(jiān)聽。

4、操作系統(tǒng)安全：保證客戶資料、操作系統(tǒng)訪問控制的安全，同時(shí)能夠?qū)υ摬僮飨到y(tǒng)的應(yīng)用進(jìn)行審計(jì)。

5、應(yīng)用平臺(tái)安全：應(yīng)用平臺(tái)之建立在網(wǎng)絡(luò)系統(tǒng)上的應(yīng)用軟件服務(wù)器，如數(shù)據(jù)服務(wù)器、電子郵件服務(wù)器、WEB服務(wù)器等。其安全通常采用多種技術(shù)（如SSL等）來增強(qiáng)應(yīng)用平臺(tái)的安全系統(tǒng)。

6、應(yīng)用系統(tǒng)安全：使用應(yīng)用平臺(tái)提供的安全服務(wù)來保證基本安全，如通過通訊雙方的認(rèn)證、審計(jì)等手段。

系統(tǒng)安全體系應(yīng)具備以下功能：建立對(duì)特等網(wǎng)段、服務(wù)的訪問控制體系；檢查安全漏洞；建立入侵性攻擊監(jiān)控體系；主動(dòng)進(jìn)行加密通訊；建立良好的認(rèn)證體系；進(jìn)行良好的備份和恢復(fù)機(jī)制；進(jìn)行多層防御，隱藏內(nèi)部信息并建立安全監(jiān)控中心等。

網(wǎng)絡(luò)安全防范是每一個(gè)系統(tǒng)設(shè)計(jì)人員和管理人員的重要任務(wù)和職責(zé)。網(wǎng)絡(luò)應(yīng)采用保種控制技術(shù)保證安全訪問而絕對(duì)禁止非法者進(jìn)入，已經(jīng)成為網(wǎng)絡(luò)建設(shè)及安全的重大決策問題。

明確網(wǎng)絡(luò)資源。事實(shí)上我們不能確定誰會(huì)來攻擊網(wǎng)絡(luò)系統(tǒng)，所以作為網(wǎng)絡(luò)管理員在制定安全策略之初應(yīng)充分了解網(wǎng)絡(luò)結(jié)構(gòu)，了解保護(hù)什么，需要什么樣的訪問以及如何協(xié)調(diào)所有的網(wǎng)絡(luò)資源和訪問。

確定網(wǎng)絡(luò)訪問點(diǎn)。網(wǎng)絡(luò)管理員應(yīng)當(dāng)了解潛在的非法入侵者會(huì)何時(shí)何地進(jìn)入系統(tǒng)。黑客和非法入侵通常通過網(wǎng)絡(luò)連接、撥號(hào)訪問以及配置不當(dāng)?shù)闹鳈C(jī)入侵系統(tǒng)。因此，我們應(yīng)該把住這道安全門，禁止非法者闖入。