浅谈企业信息系统安全问题

浅谈企业信息系统安全问题

摘要：本文阐述了企业的管理信息系统在运行维护过程中所遇到的各类信息安全问题，以及所采取的对策。总结了解决企业信息系统安全问题的需采取管理手段和技术手段相结合的综合解决方案。

关键词：企业信息系统安全

引言

信息系统安全是指信息系统包含的所有硬件、软件和数据受到保护，不因偶然和恶意的原因而遭到破坏、更改和泄漏，信息系统连续正常运行。

信息系统本身存在着来自人文环境、技术环境和物理自然环境的安全风险，其安全威胁无时无处不在。对于大型企业信息系统的安全问题而言，不可能试图单凭利用一些集成了信息安全技术的安全产品来解决，而必须考虑技术、管理和制度的因素，全方位地、综合解决系统安全问题，建立企业的信息系统安全保障体系。

1 企业管理信息系统安全存在的普遍问题分析

随着信息科技的发展，计算机技术越来越普遍地被应用于企业，而企业的信息系统普遍都经历了由点及面，由弱渐强的发展过程，并在企业内形成了较为系统的信息一体化应用。随着企业信息系统建设的全面开展以及各种业务系统的逐步深入，企业的经营管理等对信息系统的依赖也越来越强，甚至成了企业生存发展的基础和保证。因此企业信息系统的安全可靠性越来越重要，信息系统安全成为企业迫切需要解决的问题。因为信息专业人员面对的是一个复杂多变的系统环境，如：设备分布物理范围大，设备种类繁多；大部分终用户信息安全意识贫乏；系统管理员对用户的行为缺乏有效的监管手段；少数用户恶意或非恶意滥用系统资源；基于系统性的缺陷或漏洞无法避免；各种计算机病毒层出不穷等等，一系列的问题都严重威胁着信息系统的安全。因此，如何构建完善的信息系统安全防范体系，以保障企业信息系统的安全运行成为企业信息化建设过程中发展必须面对并急需解决的课题。

2 企业信息安全解决方案的模型分析

2.1 从关于对信息系统安全的几个认识上的问题：

2.1.1 解决信息系统的安全问题要有系统的观念。解决信息系统的安全问题必须是系统性的不能指望只从任何一方面来解决。从系统的角度来看信息系统由计算机系统和用户组成，因此信息系统安全包括人和技术的因素；

2.1.2 信息系统的安全问题是动态的、变化的；

2.1.3 信息系统的安全的相对的；

2.1.4 信息安全是一项目长期的工作，需制定长效的机制来保障，不能期望一劳永逸。

2.2 近年来,随着国家宏观管理和支持力度的加强、信息安全技术产业化工作的继续进行、对国际信息安全事务的积极参与以及关于信息安全的法律建设环境日益完善等因素,我国在信息安全管理上的进展是迅速的。但是,由于我国的信息化建设起步较晚,相关体系不完善,法律法规不健全等诸多因素,我国的信息化仍然存在不安全问题。

2.2.1、信息与网络安全的防护能力较弱。我国的信息化建设发展迅速,各个企业纷纷设立自己的网站,特别是“政府上网工程”全面启动后,各级政府已陆续设立了自己的网站,但是由于许多网站没有防火墙设备、安全审计系统、入侵监测系统等防护设备,整个系统存在着相当大的信息安全隐患。美国互联网安全公司赛门铁克公司2007年发表的报告称,在网络黑客攻击的国家中,中国是最大的受害国。

2.2.2、对引进的国外设备和软件缺乏有效的管理和技术改造。由于我国信息技术水平的限制,很多单位和部门直接引进国外的信息设备,并不对其进行必要的监测和改造,从而给他人入侵系统或监听信息等非法操作提供了可乘之机。

2.2.3、我国基础信息产业薄弱,核心技术严重依赖国外,缺乏自主创新产品,尤其是信息安全产品。我国信息网络所使用的网管设备和软件基本上来自国外,这使我国的网络安全性能大大减弱,被认为是易窥视和易打击的“玻璃网”。由于缺乏自主技术,我国的网络处于被窃听、干扰、监视和欺诈等多种信息安全威胁中,网络安全处于极脆弱的状态。

2.2.4、信息犯罪在我国有快速发展趋势。除了境外黑客对我国信息网络进行攻击,国内也有部分人利用系统漏洞进行网络犯罪,例如传播病毒、窃取他人网络银行账号密码等。

2.2.5、在研究开发、产业发展、人才培养、队伍建设等方面与迅速发展的形势极不适应。

造成以上问题的相关因素在于:首先,我国的经济基础薄弱,在信息产业上的投入还是不足,尤其是在核心和关键技术及安全产品的开发生产上缺乏有力的资金支持和自主创新意识。其次,全民信息安全意识淡薄,警惕性不高。大多数计算机用户都曾被病毒感染过,并且病毒的重复感染率相当高。

除此之外,我国目前信息技术领域的不安全局面,也与西方发达国家对我国的

技术输出进行控制有关。

3 信息安全管理中管理因素的应用

在安全保障体系中，“风险评估+安全策略”体现了管理因素

3.1 为保障企业信息系统的安全，企业必须成立专门的信息系统安全管理组织。由企业主要领导负责，通过信息安全领导小组对企业的信息安全实行总体规划及管理。具体的实施由企业的信息主管部门负责。

3.2 企业应该出台关于保证信息系统安全管理标准。标准中应该规定信息系统各类型用户的权限和职责、用户在操作系统过程中必须遵守的规范、信息安全事件的报告和处理流程、信息保密；系统的帐号和密码管理、信息安全工作检查与评估、数据的管理、中心机房管理等信息安全的相关的标准，而且在系统运行管理过程中应该根根据发展的需要不断地补充及完善。

3.3 积极开展信息风险评估工作。定期对系统进行安全评估工作，主动发现系统的安全问题。

3.3.1 信息网的网络基础设施(拓扑、网络设备、安全设备等)

3.3.2 信息网网络中的关键主机、应用系统及安全管理

3.3.3 当前的威胁形势和控制措施。

通过对企业信息网内支撑主要应用系统的IT资产进行调查，对存在的技术和管理弱点进行识别，全面评估企业的信息安全现状，得出企业当前的全面风险视图，为下一步的安全建设提供参考和指导方向。为企业信息安全建设打下了扎实的基础。

3.4 加强信息系统(设备)的运维管理，包括如下几方面的措施:

3.4.1 建立完善的设备、系统的电子台帐，包括设备的软、硬件配置以及其它相关的技术文档；

3.4.2 规范系统管理的日常各项工作，包括设备安装、系统安装以及各项操作都进行闭环管理；

3.4.3 建立完善的工作日志，日常的各项操作、系统运行等都必须有记录；

3.4.4 规范普通用户的行为，只分配给各种用户足够应用需要的资源、权限。

4 信息安全管理系统技术应用