企业管理信息系统安全性分析及对策

企业管理信息系统安全性分析及对策

【摘要】

根据当今信息安全现状，阐述信息安全在企业中的重要性。结合案例，分析其成功与不足之处，结合专业知识提出自己对企业信息安全的对策。

关键字：信息安全；现状；重要性；企业信息安全的对策

Abstract：

According to the current status of information security, information security on the importance of the enterprise. Combination of cases, analysis of its successes and deficiencies, and then combine its own expertise to the enterprise information security solutions.

Key words：Information Security ; Status quo ;The importance of；Enterprise Information Security Measures

目录

引言 (3)

一、信息安全 (3)

1.1信息安全概念 (3)

1.2信息安全的隐患 (3)

1.3信息安全在企业管理中的重要性 (3)

1.4不重视信息安全的后果 (4)

二、案例分析 (5)

2.1 在信息安全方面较成功案例 (5)

2.2 在信息安全方面做得不足的案例 (6)

2.3校园网在信息安全方面的成功与不足 (6)

三、企业信息安全对策 (7)

3.1 技术 (7)

3.2 人员 (7)

四、总结 (8)

五、心得与体会 (8)

参考文献 (9)

致谢 .................................................................................................................. 错误!未定义书签。

引言

信息既是一种资源，也是一种财富。随着知识经济时代的到来，尤其是Internet的普遍应用以来，保护重要信息的安全性，已经成为我们重点关注的问题了。我国企业在运用安全技术方面取得了重大成果，但在信息安全策略和管理方面仍显滞后。据调查，68%表示其所在企业已安装了应用防火墙（全球平均值为67%），59%部署了互联网服务安全保护措施（全球平均值为58%）。然而，从安全策略及管理方面来看，仅有34%为部署信息技术架构建立了标准和流程（全球平均值为51%），33%建立了业务持续经营计划或灾难性恢复计划（全球平均值为55％）。由此可见，我国在技术应用方面是相当不错的，但在安全策略和管理环节就显得力不从心了，虽然消耗了大量的资金，却效果甚微。

一、信息安全

1.1信息安全概念

信息安全本身包括的范围很大，大到国家军事政治等机密安全，小范围的当然还包括如防范商业企业机密泄露，防范青少年对不良信息的浏览，个人信息的泄露等。网络环境下的信息安全体系是保证信息安全的关键，包括计算机安全操作系统、各种安全协议、安全机制（数字签名，信息认证，数据加密等），直至安全系统，其中任何一个安全漏洞便可以威胁全局安全。信息安全服务至少应该包括支持信息网络安全服务的基本理论，以及基于新一代信息网络体系结构的网络安全服务体系结构。

信息安全是指信息网络的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断。

信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。

从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。[6]

1.2信息安全的隐患

我们知道，人是信息的操作者，在信息的采集、存储、传输、访问全过程中，信息操作执行者的非法性以及对信息的非法破坏等都会影响信息安全，每个环节都可能发生安全问题，而这每个环节中安全隐患的最终来源都是人。各种识别防范技术就是为了建立操作者与信息操作之间的匹配性、一致性。

人们的自我防范意识差的主要表现为：计算机不设系统密码(或者不设文件密码)、随意使用不明来路的存储器(或者打开来路不明的文件)、不装防火墙、不安装杀毒软件（或不定期更新）、不注重数据的备份、有形资料（如：光盘、书面文件、硬盘等）随便乱放等等。

网络也是信息安全隐患最突出的场所。从最近发作的几起网络病毒对网络系统及网络安全所造成的危害来看，网络的安全隐患十分严重，不得不引起我们的足够重视。

1.3信息安全在企业管理中的重要性

随着信息时代的来临，信息安全成为各个领域探索和完善的问题。大到国家军事政治等机密安全，小范围的当然还包括如防范商业企业机密泄露，防范青少年对不良信息的浏览，个人信息的泄露等，信息的安全都始终都没有得到解决。

在一个企业运作过程中，技术上的问题不大，但是作为信息安全的防范，应该引起管理者的高度重视了。近期在各企业中屡屡发生的信息被破坏的事件就暴露了企业管理的薄弱环节。其原因主要是两个方面：一是企业领导者不重视或者对其认识不足，二是员工缺乏安全意识。领导者不重视的原因，是因为他们对信息安全在企业中的重要性认识不足，没有认真考虑过一旦出了重大信息安全事故，会给企业造成多么惨重的损失；有些企业的领导目光短浅，对信息安全管理的投资不感兴趣。由于领导的不重视，企业对员工缺乏足够的、持续的信息安全教育和培训，致使员工也没有足够的安全意识，最终导致的危害是非常巨大的。如果从企业的领导到企业的员工普遍都缺乏安全意识，只靠企业的网络管理员、信息安全管理员的常规管理，信息安全将无从谈起。若企业的信息安全得不到保障，轻则将会给企业带严重的经济损失,重则使企业面临破产或者崩溃。

许多企业在近几年投入不少财力购买了安全设备、安全软件、甚至是安全服务，但是，其结果并没有从根本上解决信息安全问题了。其时我们可以从多个角度帮助用户分析：技术不能解决所有的问题，问题出在管理上，必须要两手抓，两手都要硬，只有这样做，信息安全才有保障。

1.4不重视信息安全的后果

用以下两个例子来阐述不重视信息安全的后果：

例1从敲诈信看信息安全的重要性

2008年12月19日下午4点多钟，南京夫子庙邮局工作人员屠先生打开一个信箱，准备分拣信件。他意外地发现，有25封信惊人地相似，都是寄往全国各地农林局或民政局局长的，但没有寄信人地址，只写有“地址内详”“家书、外人勿拆”字样，并且信封右下角的落款均是“堂妹”，后面写有一个人名，从字体上看，信件应出自于同一人之手，而且每封信的厚度都一样。屠先生感觉有异，立即向领导汇报。邮局相关领导决定报警，由警察前来处理此事。

警察赶到现场后，拆开其中一封信，抽出信件一看，众人吃惊地张大了嘴巴。信封里有一张男女的性爱照片和一封打印在一张A4纸上的信。内容是：“您应该还记得春宵缠绵的时刻的妹妹我吧，……直接存入八万块钱，可以前后两天分两次存入，这样快且不用身份证件，没有其他麻烦。”“我的时间是有限的，别等你的钱到了，我手上的这些东西也都寄到你单位各科室、其他单位和报社，以及你上级的各级纪检监察部门去了。那你就太倒霉，太冤了，可别怨我。我这么做的确是没有别的活路了。”银行帐号等。

民警意识到问题的严重性，随即打开了其他信件，发现内容一模一样，也有银行账号，并且也有一张性爱照片。不同的是，性爱照片的男主角各不相同，但男女的姿势一模一样。这些信寄往全国各地。经核实，收信人都是某局的局长或副局长，而且其长相与照片中男子的长相一致。

敲诈信都是寄给全国各地农林局或民政局局长的，说明全国各地农林局或民政局局长的个人信息被泄露了。[12]

如果被不发分子掌握了个人隐私来胁迫个人对所在的企事业单位进行违法行为,那将对个人造成的损失将是无法估量的。从此不难看出信息安全的重要性。

例2 股海情殇——丢失一台笔记本损失3000万

某国际股份有限公司董事长钱某，1997年10月去深圳参加公司发行股份的新闻发布会。