企业管理信息系统安全性分析及对策

企业管理信息系统安全性分析及对策

引论

在全球经济一体化的背景下，一个企业是否可以在竞争中处于优势地位，取决于它是否具有面向客户、反应及时、自动研习、共享资源、成本控制的先进作业系统。由于信息技术和互联网的大范围普及，如何建设一个安全高效的企业信息管理系统是企业管理者正面临的一项新的严峻的挑战。我们都希望我们的网络系统可以更加安全可靠地运行，但是事实并非总如我们所愿，由于网络信息传输量的急速增加，一些机构和部门的上网数据会遭到不法分子不同程度的破坏。网络攻击者能够窃取网络上的信息，盗取口令、私自修改数据库内容，散播计算机病毒等。在信息系统越来越网络化、全球化、开放化的今天，如果企业管理者不能很好的考虑到这些问题不把这些问题提高一定的高度来解决，信息安全问题势必会困扰每一个管理者，可能会危及到网络环境下企业的经济安全，严重的威胁到数据的安全性和自身的利益。因此保证网络的安全性、可靠性是网络正常运转的基础和条件，从而可以更好地为企事业单位提供服务。

1 企业管理信息系统的安全性含义及目标

管理信息系统(Management Information System，简称MIS)是一个人-机系统，它涵盖了企业中主要的业务部门。它与企业的管理活动密切相关，与企业的管理方式、经营观念有关，服务于企业的最终目标。MIS的目的是通过企业改进管理方式、改善和提高管理水平，进而提高企业的经济效益、推进企业管理现代化、增强企业的环境适应能力。

1.1 企业管理信息系统的安全性的内涵

MIS 是一个由人、计算机等组成的能进行信息收集、传递、储存、加工、维护和使用的系统。能够实测企业的各种运行情况，利用过去的数据预测未来，从全局出发帮助企业做出决策，利用掌握的信息控制企业的行为，帮助企业实现其规划目标[1]。也就是说它可以给企业提供准确及时的信息并帮助企业做出科学决策和控制、合理利用企业现有资源、增强企业应变能力、提高企业竞争力和增加经济效益，使企业管理方式从经验管理到科学管理，实现科学的管理思想和先进的管理手段的完美结合。

根据保护目标的要求和环境的状况，信息安全是信息网络和信息系统的硬件、软件、设备和数据受到可靠地保护，通信、访问等操作得到有效的保障和合理的控制，不会由于偶然或恶意的原因使系统遭到破坏，数据遭到更改或泄露，从而保证系统可以正常运转，网络服务不被中止。信息安全涉及的安全问题主要包括如下内容：

1.1.1 系统运行的安全

系统运行的安全主要指保护信息处理和通信系统的安全。保证系统正常运行，避免由于系统崩溃和软硬件损坏造成的不良后果如系统数据存储、处理异常和传输信息丢失，破坏和损失，因为系统物理的不安全会造成的系统运行的不正常或瘫痪，用户的误操作也会影响系统正常运行，目前很多手机软件在运行过程中会出现系统故障，如闪退，自动关机，停止运行等等。

1.1.2 访问权限和系统信息资源保护

对网络中的各种软件和硬件资源进行访问控制，防止没有被授权的用户进行不合法访问。口令设置、身份识别、端口控制等技术来实现对用户访问权限的控制。系统信息资源保护技术有身份验证技术、用户口令识别技术、用户存取权限控制技术、数据库存取权限控制技术、数据加密、数据备份等。

1.1.3 信息内容安全

信息内容安全主要表现在保护信息内容。传播过程中的后果安全以及信息过滤安全等都是信息内容安全的主要内容，可以防止和控制非法和有害的信息在传播后酿成的严重后果。系统中存在一些漏洞，在还没有打补丁之前，一些不法攻击者利用这些系统漏洞进行损害其他合法用户的利益，窃听、篡改、拦截别人的信息等。

1.1.4 作业和交易安全

作业和交易安全指网络中相互通信的两个实体之间信息的真实性、完整性、保密性和不可否认性，保证信息在通信过程的安全性。保障作业和交易安全的技术包括数据加密、身份验证、数字签名等，其中居于核心地位的是加密技术的应用。

1.1.5 人员和规章制度安全保障

通常是在组织的内部出现信息安全事故，所以人员的管理和相应的规章制度的制定是保证信息系统安全不可缺少的一部分。因此需要在人员管理方面建立可操作的管理安全防范体系，建立人人遵守的规章制度从而保障信息的安全。

1.1.6 安全体系的整体防范和应急反应功能

建立系统的安全防范体系，从整体上保障信息系统的安全，对可能出现的安全隐患和破坏做好事先的预防工作，对已经出现的灾难、意外的损害做到及时有效的补救。

1.2 企业管理信息系统的安全性目标分析

在网络层次方面，把网络系统设计成一个安全网络，从而可以支持个别用户或大量用户。保证系统内部安全的同时，也可以安全地联接到互联网或国内其他网络，满足各种用户的需求，比如：个人通话保密性和完整性，企业计算机系统的安全性，数据库不被非法访问和破坏，系统不被病毒侵犯，也能防止网络上的各种有害信息传播等。保证网络信息安全的技术主要有一下几个方面：

①采用多层防护手段，降低信息受到侵扰和破坏的可能性。

②提供有效使检测非法使用和非法初始进入点的手段，这样就可以核查、跟踪侵入者。

③提供一些有效手段，能够及时恢复破坏的数据和系统，尽量使损失降到最低。

④提供查获侵入者的手段，在入侵者进入系统之前及时将其拦截。

1.3 提高企业管理信息系统的安全性常用技术

MIS是以计算机和数据通信网络为基础的应用管理系统，它是一个开发式的互联网系统，没有采取安全保密措施，与网络连接的任何终端用户都可以方便的进入或者访问网络中的资源。从目前的情况看，管理信息系统已经广泛地应用于各个部门，在给经济管理及人际交往都带来极大方便的同时，也为那些利用计算机信息系统进行各种犯罪提供了很大的可能。网络非法盗用、故意破坏或错误操作，计算机病毒、黑客攻击无一不威胁着管理信息系统的安全性，所以做好管理信息系统的安全保障工作，有助于提高整个社会信息化水平。当前，为了保障信息系统的安全，企业所采用的技术主要包括从以下几个方面。

1.3.1 网络加密技术

为了保障信息安全，人们最常用的保密手段是加密技术，利用一些密码算法对重要数据进行转化使之变为不知道解密算法的人无法获知信息内容的乱码数据（加密过程）进行传送，到达目的地后再用与发送方相同或不同的密码算法对数据进行解密。这样可以很大程度上保证信息在传输过程中的安全，所以经常使用网络信息加密来保护传输的数据、文件、口令和控制信息等。链路加密、端到端加密和节点加密是网络加密常用的三种方法。介绍一个简单的公开密钥加密算法的实现过程如下图：