企業(yè)管理信息思考

時間:2022-09-24 03:55:00

導(dǎo)語:企業(yè)管理信息思考一文來源于網(wǎng)友上傳,不代表本站觀點,若需要原創(chuàng)文章可咨詢客服老師,歡迎參考。

企業(yè)管理信息思考

當前,危及信息系統(tǒng)安全的事例時有發(fā)生,各行業(yè)、企業(yè)用戶已逐漸意識到網(wǎng)絡(luò)安全的重要性,開始注意保護自己的數(shù)據(jù)庫和網(wǎng)絡(luò)信息不致因為安全問題而泄密或被人非法侵入或遭受毀滅性攻擊。據(jù)調(diào)查,美國每年因為網(wǎng)絡(luò)安全造成的損失超過170億美元。75%的公司報告財政損失是由于管理信息系統(tǒng)的安全造成的。超過50%的安全威脅來自內(nèi)部,17%來自黑客入侵。據(jù)統(tǒng)計,我國互聯(lián)網(wǎng)站點有80%以上的網(wǎng)站缺乏安全措施,20%的網(wǎng)站有嚴重的安全問題。

管理信息系統(tǒng)的安全,是指為管理信息系統(tǒng)建立和采取的技術(shù)和管理的安全保護,保護計算機硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄漏,以保證系統(tǒng)連續(xù)正常運行。管理信息系統(tǒng)的安全策略是為、管理和保護敏感的信息資源而制定的一級法律、法規(guī)和措施的總和,是對信息資源使用、管理規(guī)則的正式描述,是企業(yè)內(nèi)所有成員都必須遵守的規(guī)則。管理信息系統(tǒng)的受到的安全威脅有:操作系統(tǒng)的不安全性、防火墻的不安全性、來自內(nèi)部用戶的安全威脅、缺乏有效的監(jiān)督機制和評估網(wǎng)絡(luò)系統(tǒng)的安全性手段、系統(tǒng)不能對病毒有效控制等。

一、機房設(shè)備的物理安全

硬件設(shè)備事故對管理信息系統(tǒng)危害極大,如電源事故引起的火災(zāi),機房通風散熱不好引起燒毀硬件等,嚴重的可使系統(tǒng)業(yè)務(wù)停頓,造成不可估量的損失;輕的也會使相應(yīng)業(yè)務(wù)混亂,無法正常運轉(zhuǎn)。如沈陽鐵路局計算機控制系統(tǒng)曾遭雷擊,損壞了設(shè)備,嚴重影響了鐵路運輸秩序。對系統(tǒng)的管理、看護不善,可使一些不法分子盜竊計算機及網(wǎng)絡(luò)硬件設(shè)備,從中牟利,使企業(yè)和國家財產(chǎn)遭受損失,還破壞了系統(tǒng)的正常運行。

因此,管理信息系統(tǒng)安全首先要保證機房和硬件設(shè)備的安全。要制定嚴格的機房管理制度和保衛(wèi)制度,注意防火、防盜、防雷擊等突發(fā)事件和自然災(zāi)害,采用隔離、防輻射措施實現(xiàn)系統(tǒng)安全運行。

二、管理制度

在制定安全策略的同時,要制定相關(guān)的信息與網(wǎng)絡(luò)安全的技術(shù)標準與規(guī)范。技術(shù)標準著重從技術(shù)方面規(guī)定與規(guī)范實現(xiàn)安全策略的技術(shù)、機制與安全產(chǎn)品的功能指標要求。管理規(guī)范是從政策組織、人力與流程方面對安全策略的實施進行規(guī)劃。這些標準與規(guī)范是安全策略的技術(shù)保障與管理基礎(chǔ),沒有一定政策法規(guī)制度保障的安全策略形同一堆廢紙。

要備好國家有關(guān)法規(guī),如:《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《中華人民共和國計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》、《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法》、《計算機信息系統(tǒng)安全專用產(chǎn)品檢測和銷售許可證管理辦法》、《中華人民共和國計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定實施辦法》、《商用密碼管理條例》等,做到有據(jù)可查。同時,要制定管理信息系統(tǒng)及其環(huán)境安全管理的規(guī)則,規(guī)則應(yīng)包含下列內(nèi)容:

1、崗位職責:包括門衛(wèi)在內(nèi)的值班制度與職責,管理人員和工程技術(shù)人員的職責;

2、管理信息系統(tǒng)的使用規(guī)則,包括各用戶的使用權(quán)限,建立與維護完整的網(wǎng)絡(luò)用戶數(shù)據(jù)庫,嚴格對系統(tǒng)日志進行管理,對公共機房實行精確到人、到機位的登記制度,實現(xiàn)對網(wǎng)絡(luò)客戶、IP地址、MAC地址、服務(wù)帳號的精確管理;

3、軟件管理制度;

4、機房設(shè)備(包括電源、空調(diào))管理制度;

5、網(wǎng)絡(luò)運行管理制度;

6、硬件維護制度;

7、軟件維護制度;

8、定期安全檢查與教育制度;

9、下屬單位入網(wǎng)行為規(guī)范和安全協(xié)議。

三、網(wǎng)絡(luò)安全

按照網(wǎng)絡(luò)OSI七層模型,網(wǎng)絡(luò)系統(tǒng)的安全貫穿與整個七層模型。針對網(wǎng)絡(luò)系統(tǒng)實際運行的TCP/IP協(xié)議,網(wǎng)絡(luò)安全貫穿于信息系統(tǒng)的以下層次:

1、物理層安全:主要防止物理通路的損壞、物理通路的竊聽、對物理通路的攻擊(干擾等)。

2、鏈路層安全:需要保證網(wǎng)絡(luò)鏈路傳送的數(shù)據(jù)不被竊聽。主要采用劃分VLAN、加密通訊(遠程網(wǎng))等手段。

3、網(wǎng)絡(luò)層安全:需要保證網(wǎng)絡(luò)只給授權(quán)的客戶使用授權(quán)的服務(wù),保證網(wǎng)絡(luò)路由正確,避免被攔截或監(jiān)聽。

4、操作系統(tǒng)安全:保證客戶資料、操作系統(tǒng)訪問控制的安全,同時能夠?qū)υ摬僮飨到y(tǒng)的應(yīng)用進行審計。

5、應(yīng)用平臺安全:應(yīng)用平臺之建立在網(wǎng)絡(luò)系統(tǒng)上的應(yīng)用軟件服務(wù)器,如數(shù)據(jù)服務(wù)器、電子郵件服務(wù)器、WEB服務(wù)器等。其安全通常采用多種技術(shù)(如SSL等)來增強應(yīng)用平臺的安全系統(tǒng)。

6、應(yīng)用系統(tǒng)安全:使用應(yīng)用平臺提供的安全服務(wù)來保證基本安全,如通過通訊雙方的認證、審計等手段。

系統(tǒng)安全體系應(yīng)具備以下功能:建立對特等網(wǎng)段、服務(wù)的訪問控制體系;檢查安全漏洞;建立入侵性攻擊監(jiān)控體系;主動進行加密通訊;建立良好的認證體系;進行良好的備份和恢復(fù)機制;進行多層防御,隱藏內(nèi)部信息并建立安全監(jiān)控中心等。

網(wǎng)絡(luò)安全防范是每一個系統(tǒng)設(shè)計人員和管理人員的重要任務(wù)和職責。網(wǎng)絡(luò)應(yīng)采用保種控制技術(shù)保證安全訪問而絕對禁止非法者進入,已經(jīng)成為網(wǎng)絡(luò)建設(shè)及安全的重大決策問題。

明確網(wǎng)絡(luò)資源。事實上我們不能確定誰會來攻擊網(wǎng)絡(luò)系統(tǒng),所以作為網(wǎng)絡(luò)管理員在制定安全策略之初應(yīng)充分了解網(wǎng)絡(luò)結(jié)構(gòu),了解保護什么,需要什么樣的訪問以及如何協(xié)調(diào)所有的網(wǎng)絡(luò)資源和訪問。

確定網(wǎng)絡(luò)訪問點。網(wǎng)絡(luò)管理員應(yīng)當了解潛在的非法入侵者會何時何地進入系統(tǒng)。黑客和非法入侵通常通過網(wǎng)絡(luò)連接、撥號訪問以及配置不當?shù)闹鳈C入侵系統(tǒng)。因此,我們應(yīng)該把住這道安全門,禁止非法者闖入。