企業(yè)管理信息系統(tǒng)安全性分析及對策

1、企業(yè)管理信息系統(tǒng)安全性分析及對策企業(yè)管理信息系統(tǒng)安全性分析及對策引論在全球經(jīng)濟一體化的背景下，一個企業(yè)是否可以在競爭中處于優(yōu)勢地位，取決于它是否具有面向客戶、反應及時、自動研習、共享資源、成本控制的先進作業(yè)系統(tǒng)。由于信息技術和互聯(lián)網(wǎng)的大范圍普及， 如何建設一個安全高效的企業(yè)信息管理系統(tǒng)是企業(yè)管理者正面臨的一項新的嚴峻的挑戰(zhàn)。我們都希望我們的網(wǎng)絡系統(tǒng)可以更加安全可靠地運行，但是事實并非總如我們所愿，由于網(wǎng)絡信息傳輸量的急速增加，一些機構和部門的上網(wǎng)數(shù)據(jù)會遭到不法分子不同程度的破壞。網(wǎng)絡攻擊者能夠竊取網(wǎng)絡上的信息，盜取口令、私自修改數(shù)據(jù)庫內(nèi)容，散播計算機病毒等。在信息系統(tǒng)越來越網(wǎng)絡化、全球化、開放

2、化的今天，如果企業(yè)管理者不能很好的考慮到這些問題不把這些問題提高一定的高度來解決，信息安全問題勢必會困擾每一個管理者，可能會危及到網(wǎng)絡環(huán)境下企業(yè)的經(jīng)濟安全，嚴重的威脅到數(shù)據(jù)的安全性和自身的利益。因此保證網(wǎng)絡的安全性、可靠性是網(wǎng)絡正常運轉(zhuǎn)的基礎和條件，從而可以更好地為企事業(yè)單位提供服務。1 企業(yè)管理信息系統(tǒng)的安全性含義及目標管理信息系統(tǒng)（， 簡稱 ） 是一個人 - 機系統(tǒng)，它涵蓋了企業(yè)中主要的業(yè)務部門。它與企業(yè)的管理活動密切相關，與企業(yè)的管理方式、經(jīng)營觀念有關，服務于企業(yè)的最終目標。的目的是通過企業(yè)改進管理方式、改善和提高管理水平，進而提高企業(yè)的經(jīng)濟效益、推進企業(yè)管理現(xiàn)代化、增強企業(yè)的環(huán)境適應能

3、力。1.1 企業(yè)管理信息系統(tǒng)的安全性的內(nèi)涵是一個由人、計算機等組成的能進行信息收集、傳遞、儲存、加工、維護和使用的系統(tǒng)。能夠?qū)崪y企業(yè)的各種運行情況，利用過去的數(shù)據(jù)預測未來，從全局出發(fā)幫助企業(yè)做出決策，利用掌握的信息控制企業(yè)的行為，幫助企業(yè)實現(xiàn)其規(guī)劃目標 1 。也就是說它可以給企業(yè)提供準確及時的信息并幫助企業(yè)做出科學決策和控制、合理利用企業(yè)現(xiàn)有資源、增強企業(yè)應變能力、提高企業(yè)競爭力和增加經(jīng)濟效益，使企業(yè)管理方式從經(jīng)驗管理到科學管理，實現(xiàn)科學的管理思想和先進的管理手段的完美結合。根據(jù)保護目標的要求和環(huán)境的狀況，信息安全是信息網(wǎng)絡和信息系統(tǒng)的硬件、軟件、設備和數(shù)據(jù)受到可靠地保護，通信、訪問等操作得到

4、有效的保障和合理的控制，不會由于偶然或惡意的原因使系統(tǒng)遭到破壞，數(shù)據(jù)遭到更改或泄露，從而保證系統(tǒng)可以正常運轉(zhuǎn)，網(wǎng)絡服務不被中止。信息安全涉及的安全問題主要包括如下內(nèi)容：1.1.1 系統(tǒng)運行的安全系統(tǒng)運行的安全主要指保護信息處理和通信系統(tǒng)的安全。保證系統(tǒng)正常運行，避免由于系統(tǒng)崩潰和軟硬件損壞造成的不良后果如系統(tǒng)數(shù)據(jù)存儲、處理異常和傳輸信息丟失，破壞和損失，因為系統(tǒng)物理的不安全會造成的系統(tǒng)運行的不正?；虬c瘓，用戶的誤操作也會影響系統(tǒng)正常運行，目前很多手機軟件在運行過程中會出現(xiàn)系統(tǒng)故障，如閃退，自動關機，停止運行等等。1.1.2 訪問權限和系統(tǒng)信息資源保護對網(wǎng)絡中的各種軟件和硬件資源進行訪問控制，防

5、止沒有被授權的用戶進行不合法訪問?？诹钤O置、身份識別、端口控制等技術來實現(xiàn)對用戶訪問權限的控制。系統(tǒng)信息資源保護技術有身份驗證技術、用戶口令識別技術、用戶存取權限控制技術、數(shù)據(jù)庫存取權限控制技術、數(shù)據(jù)加密、數(shù)據(jù)備份等。3 / 71.1.3 信息內(nèi)容安全信息內(nèi)容安全主要表現(xiàn)在保護信息內(nèi)容。傳播過程中的后果安全以及信息過濾安全等都是信息內(nèi)容安全的主要內(nèi)容，可以防止和控制非法和有害的信息在傳播后釀成的嚴重后果。系統(tǒng)中存在一些漏洞，在還沒有打補丁之前，一些不法攻擊者利用這些系統(tǒng)漏洞進行損害其他合法用戶的利益，竊聽、篡改、攔截別人的信息等。1.1.4 作業(yè)和交易安全作業(yè)和交易安全指網(wǎng)絡中相互通信的兩個實

6、體之間信息的真實性、完整性、保密性和不可否認性，保證信息在通信過程的安全性。保障作業(yè)和交易安全的技術包括數(shù)據(jù)加密、身份驗證、數(shù)字簽名等，其中居于核心地位的是加密技術的應用。1.1.5 人員和規(guī)章制度安全保障通常是在組織的內(nèi)部出現(xiàn)信息安全事故，所以人員的管理和相應的規(guī)章制度的制定是保證信息系統(tǒng)安全不可缺少的一部分。因此需要在人員管理方面建立可操作的管理安全防范體系，建立人人遵守的規(guī)章制度從而保障信息的安全。1.1.6 安全體系的整體防范和應急反應功能建立系統(tǒng)的安全防范體系，從整體上保障信息系統(tǒng)的安全，對可能出現(xiàn)的安全隱患和破壞做好事先的預防工作，對已經(jīng)出現(xiàn)的災難、意外的損害做到及時有效的補救。1

7、.2 企業(yè)管理信息系統(tǒng)的安全性目標分析在網(wǎng)絡層次方面，把網(wǎng)絡系統(tǒng)設計成一個安全網(wǎng)絡，從而可以支持個別用戶或大量用戶。保證系統(tǒng)內(nèi)部安全的同時，也可以安全地聯(lián)接到互聯(lián)網(wǎng)或國內(nèi)其他網(wǎng)絡，滿足各種用戶的需求，比如：個人通話保密性和完整性，企業(yè)計算機系統(tǒng)的安全性，數(shù)據(jù)庫不被非法訪問和破壞，系統(tǒng)不被病毒侵犯，也能防止網(wǎng)絡上的各種有害信息傳播等。保證網(wǎng)絡信息安全的技術主要有一下幾個方面： 采用多層防護手段，降低信息受到侵擾和破壞的可能性。 提供有效使檢測非法使用和非法初始進入點的手段，這樣就可以核查、跟蹤侵入者。 提供一些有效手段，能夠及時恢復破壞的數(shù)據(jù)和系統(tǒng)，盡量使損失降到最低。 提供查獲侵入者的手段，在

8、入侵者進入系統(tǒng)之前及時將其攔截。1.3 提高企業(yè)管理信息系統(tǒng)的安全性常用技術是以計算機和數(shù)據(jù)通信網(wǎng)絡為基礎的應用管理系統(tǒng)，它是一個開發(fā)式的互聯(lián)網(wǎng)系統(tǒng)，沒有采取安全保密措施，與網(wǎng)絡連接的任何終端用戶都可以方便的進入或者訪問網(wǎng)絡中的資源。從目前的情況看， 管理信息系統(tǒng)已經(jīng)廣泛地應用于各個部門， 在給經(jīng)濟管理及人際交往都帶來極大方便的同時，也為那些利用計算機信息系統(tǒng)進行各種犯罪提供了很大的可能。網(wǎng)絡非法盜用、故意破壞或錯誤操作，計算機病毒、黑客攻擊無一不威脅著管理信息系統(tǒng)的安全性，所以做好管理信息系統(tǒng)的安全保障工作，有助于提高整個社會信息化水平。當前，為了保障信息系統(tǒng)的安全，企業(yè)所采用的技術主要包括

9、從以下幾個方面。1.3.1 網(wǎng)絡加密技術為了保障信息安全，人們最常用的保密手段是加密技術，利用一些密碼算法對重要數(shù)據(jù)進行轉(zhuǎn)化使之變?yōu)椴恢澜饷芩惴ǖ娜藷o法獲知信息內(nèi)容的亂碼數(shù)據(jù)（加密過程）進行傳送，到達目的地后再用與發(fā)送方相同或不同的密碼算法對數(shù)據(jù)進行解密。這樣可以很大程度上保證信息在傳輸過程中的安全，所以經(jīng)常使用網(wǎng)絡信息加密來保護傳輸?shù)臄?shù)據(jù)、文件、口令和控制信息等。鏈路加密、端到端加密和節(jié)點加密是網(wǎng)絡加密常用的三種方法。介紹一個簡單的公開密鑰加密算法的實現(xiàn)過程如下圖 ：企業(yè)管理信息系統(tǒng)安全性分析及對策發(fā)送者設定的程登者或定的秘管值h圖1-1公開密鑰加密算法的實現(xiàn)過程1.3.2 防火墻加密技術

10、防火墻可以實現(xiàn)內(nèi)網(wǎng)外網(wǎng)的隔離與訪問控制，是保護內(nèi)部網(wǎng)絡安全的重要措施之一，包括分組 過濾和應用代理。防火墻可以監(jiān)控進出網(wǎng)絡的數(shù)據(jù)信息，對流經(jīng)它的網(wǎng)絡通信進行掃描，濾掉一些 不安全信息，抵制對內(nèi)部構成的威脅的數(shù)據(jù)。防火墻的主要功能是限制易受攻擊的服務進入內(nèi)部網(wǎng) 絡，對網(wǎng)絡存取和訪問進行監(jiān)控審計，防范特洛伊木馬，過濾不安全服務和非法用戶，限定訪問特 殊站點等。防火墻的主要技術類型包括網(wǎng)絡級數(shù)據(jù)包過濾器和應用級代理服務器4。應用級防火墻實現(xiàn)過程如下圖：圖1-2應用級防火墻實現(xiàn)過程1.3.3 身份驗證技術用戶為了向系統(tǒng)證明自己合法身份需要進行身份驗證。建立安全通信環(huán)境的前提條件就是通信 雙方相互確認對

11、方身份，這是審計記錄和授權訪問等服務的基礎，因此在保證網(wǎng)絡信息安全方面具 有很重要的位置。 系統(tǒng)為了查核用戶身份證明也需要進行身份識別。如上網(wǎng)時需要輸入賬號和密碼,只有賬號密碼相符該用戶才有權利獲取網(wǎng)絡信息。上面兩個過程可以對通信雙方是否具有真實身份 做出判斷。撥號上網(wǎng)、主機登錄、遠程訪問等都涉及身份驗證技術的應用?？诹铗炞C、數(shù)字證書認 證是比較常用的身份驗證方式。數(shù)字證書身份認證原理如下：圖1-3數(shù)字證書身份認證原理1.3.4 系統(tǒng)備份技術系統(tǒng)備份技術的目的在于，當系統(tǒng)運行出現(xiàn)故障時，盡可能恢復計算機系統(tǒng)運行所需要的數(shù)據(jù) 和系統(tǒng)信息，在管理信息系統(tǒng)出現(xiàn)硬件故障或人為失誤時，備份技術不僅可以保

12、護管理信息系統(tǒng)和 保證數(shù)據(jù)的完整性，防止未被授權的入侵者進行訪問、攻擊及破壞，也是系統(tǒng)發(fā)生故障進行災難恢 復的前提之一。2網(wǎng)絡安全應具備的功能及影響信息系統(tǒng)安全的主要因素1.1 網(wǎng)絡安全應具備的功能1.1.1 用戶的標識與鑒別企業(yè)信息管理系統(tǒng)中的每個用戶都有一個唯一的用戶名稱用以區(qū)別于其他用戶，在安全子系統(tǒng) 中記為。所有合法用戶的 都登記在應用系統(tǒng)用戶登記表中。出于對系統(tǒng)用戶進行規(guī)范化管理的需要，用戶名對系統(tǒng)管理員，數(shù)據(jù)庫管理員，功能模塊管理員來說應該是公開的。為了正確鑒別系統(tǒng)用戶，系統(tǒng)允許每個用戶擁有自己的用戶口令，在安全子系統(tǒng)中，記作.用戶的 只能由用戶自己來管理，其他任何用戶包括應用系統(tǒng)

13、管理員，數(shù)據(jù)庫管理員，功能模塊管理員 都不得對其進行查詢或修改。當一個用戶要訪問應用系統(tǒng)時必須提供正確的和，用來對其進行標識，用來驗證本名稱用戶的真實性。1.1.2 權限管理企業(yè)信息管理系統(tǒng)的權限管理采用了分權管理的策略，由應用系統(tǒng)管理員負責管理整個應用系統(tǒng)的用戶，可以動態(tài)增加和刪除系統(tǒng)用戶；但不能為某個高級權利相對集中于系統(tǒng)管理員，減少系5 / 7企業(yè)管理信息系統(tǒng)安全性分析及對策統(tǒng)管理員無意或有意摧毀系統(tǒng)或竊取系統(tǒng)機密的可能性。 應用系統(tǒng)管理員管理整個應用系統(tǒng)的用戶，是通過系統(tǒng)管理員程序?qū)崿F(xiàn)的，為防止破壞安全庫數(shù)據(jù)的一致性，他不能直接操縱系統(tǒng)安全庫。正因為如此安全庫中的很多數(shù)據(jù)都是經(jīng)過加密后

14、的形式存放的系統(tǒng)管理員程序是一個獨立的功能模塊，只有系統(tǒng)管理員菜有權使用。它有兩個功能：新建系統(tǒng)用戶，刪除系統(tǒng)用戶。其中新建一個系統(tǒng)用戶就是往應用系統(tǒng)用戶登記表和用戶訪問權限控制中增加一條記錄，而且增加的新用戶的屬性域必須是系統(tǒng)已經(jīng)存在的域不能是其他的域。刪除一個系統(tǒng)用戶就是刪除應用系統(tǒng)用戶登錄表和用戶訪問權限控制表中對于該用戶的記錄。模塊管理員管理訪問該模塊的所有用戶，是通過模塊管理員函數(shù)實現(xiàn)的，通過該函數(shù)，模塊管理員可以增加，刪除、修改訪問相應模塊及其各子功能的用戶，并可調(diào)整模塊的安全屬性。1.1.3 用戶登錄與身份驗證一個用戶進入企業(yè)信息管理系統(tǒng)時的身份驗證可以準確識別用戶的身份，獲取合

15、法用戶對系統(tǒng)各功能的訪問權限以及當前系統(tǒng)各功能的安全屬性，屏蔽非法用戶，當用戶成功登錄后，用戶的訪問權限和相應模塊的安全屬性就已經(jīng)記錄在安全庫中，以后該用戶要訪問該模塊中任一有安全性要求的功能時，就可以根據(jù)安全庫中的信息進行嚴格的訪問控制，另外歐諾個戶訪問有安全保密要求的對用戶可見的分功能時，必須再次經(jīng)過權限驗證。1.2 影響信息系統(tǒng)安全的主要因素1 設計系統(tǒng)的不規(guī)范、不合理以及缺乏安全性考慮。2 網(wǎng)絡硬件的配置不協(xié)調(diào)，設計和選型考慮不太周密，都會影響網(wǎng)絡的可靠性、擴充性和升級換代。3 缺乏安全策略。主要表現(xiàn)在防火墻訪問權限配置的擴大，致使這些權限可能會被其他人員私自濫用。4 管理制度不健全，

16、網(wǎng)絡管理、維護不力。3 企業(yè)管理信息系統(tǒng)的安全性建設存在的問題信息化就是一把雙刃劍， 帶來很多便利的同時也帶來了一些不可忽視的問題。 在過去的幾年中，雖然我國企業(yè)信息系統(tǒng)建設發(fā)展很迅速，但成功的少之又少。企業(yè)投入使用的那些模塊，在現(xiàn)實運行中并未發(fā)揮理想的作用，它只能對一些部分系統(tǒng)，或指定類型的產(chǎn)品處于試運行階段。企業(yè)中的大部分的計算機是用來做文字處理工作，一小部分是經(jīng)常用來玩游戲的。這些情況都說明：計算機的使用雖然已經(jīng)得到了普及，但信息系統(tǒng)的應用情況及其運行效果卻不容樂觀。3.1 服務器和數(shù)據(jù)庫的安全隱患我國是一個發(fā)展中國家，所以還不能自己研制管理信息系統(tǒng)所使用的服務器、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)等

17、核心軟硬件，這些軟硬件基本上都是國外公司研制的，所以我國的管理信息系統(tǒng)的安全建立在和國外公司的和平相處上，事實上這才是最大的不安全因素，我們不能掌握自己的核心東西；如果國外研發(fā)者稍微改動用戶賬號和權限，就會造成用戶權限和級別混亂，數(shù)據(jù)庫沒有很高的安全保護功能或根本完全沒有或這些安全保護機制和策略沒有得到充分地利用，最終使系統(tǒng)遭到破壞；操作系統(tǒng)或其他軟件中也存在一些安全隱患， 特別是系列產(chǎn)品， 因為它在市場上占有很重要的地位，同時也是不乏入侵者的“目標”?，F(xiàn)在人們已經(jīng)發(fā)現(xiàn)很多漏洞，在人們安裝相應補丁之前，總有一些動機不良者會直接或間接地侵入到別人的系統(tǒng)，對他們的系統(tǒng)進行一些不法操作；計算機病毒、

18、內(nèi)部人員有的惡意竊取內(nèi)部信息、本地用戶有意或無意的誤操作都是企業(yè)管理型先存在的現(xiàn)有的安全隱患，都會直接威脅系統(tǒng)安全。因為企業(yè)中的部分部門不能單獨設計一個完整的，都會考慮自己的利益首先完成自己計算機管理工作，但是這對于企業(yè)的整體建設來說，必定是重復投資，造成人財物的極大浪費。3.2 管理上的安全隱患3.2.1 貪大求全許多企業(yè)一味追求高新技術卻沒有考慮企業(yè)的實際情況，結果就算設計的非常完善，但是項目完成后卻沒有發(fā)揮出其應有的作用成了一個失敗的項目3.2.2 重復開發(fā)重復開發(fā)不僅耗時耗力，浪費財力和物力，而且系統(tǒng)在反復修改完善的過程中很難發(fā)揮其應有的作用。3.2.3 重“硬”不重“軟”企業(yè)聘用那些

19、不懂如何做的人員做的工作，沒有理論思想，不懂的根本內(nèi)容是“軟件”卻認為購買新設備就可以完成比較完善的系統(tǒng)建設，使得系統(tǒng)建設沒有實質(zhì)內(nèi)容而只停留在表面。由于管理方法和手段不到位不準確，使得盡管是先進的技術也無法發(fā)揮其應有的效果。雖然技術在解決企業(yè)管理信息系統(tǒng)安全問題時起到非常重要的作用，但是卻不能單純完全依靠技術，信息化其實就是人與技術相互融合，要做到管理與技術相互作用，配合的相得益彰，才能建設好一個比較安全穩(wěn)定的管理信息系統(tǒng)。安全過程本身就是一個交互的過程，“三分技術，七分管理”就很好的闡述了技術和管理的關系，也說明了企業(yè)管理信息系統(tǒng)安全的本質(zhì)。3.2.4 只重開發(fā)不重維護許多企業(yè)花費了巨大的

20、人力財力和物力去開發(fā)一個新的系統(tǒng)，結果運行后不久就停止運行了，之所以會這樣是因為沒有把系統(tǒng)的維護工作做好，雖然這是軟件工程的最后一個環(huán)節(jié)，卻也是最重要的一個環(huán)節(jié)，維護工作做不好很容易導致建設的失敗。3.3 技術方面的安全隱患信息技術較快的發(fā)展和普及, 使得每過一段時間就會出現(xiàn)一個新的技術， 當然也就會引起一個新的技術發(fā)展新時期 , 在進行系統(tǒng)建設時有些人就偏愛于使用這些新技術， 覺得對于成功建設一個新系統(tǒng)有很大幫助。殊不知并非如此，他們沒有考慮對與本企業(yè)來說該項信息技術的性價比如何 , 不考慮企業(yè)本身的技術水平, 盲目追求新技術, 結果卻不懂怎么樣使用 , 導致投入大量資金卻沒有效益收入和付出

21、不成正比, 得不到各方面的支持的建設也只能宣布失敗。很多人在盲目推崇先進信息技術的同時卻忽略了信息技術僅僅只是一種工具, 雖然有助于的開發(fā) , 但并不代表技術本身先進與否就是成功與失敗的根本原因。有時不但沒有起到正面的作用 卻適 得其反導致了的失敗。4 提高企業(yè)管理信息系統(tǒng)的安全性的措施建設企業(yè)管理信息系統(tǒng)的安全性的過程是一項偉大系統(tǒng)工程，不僅涉及到組織架構、信息技術和人員素質(zhì)，還涉及到國家法律和商業(yè)規(guī)則。企業(yè)內(nèi)部存在著很多因素，這些因素都會影響到信息的安全，因此要使企業(yè)的管理信息盡可能的安全，保護信息安全的技術投入固然重要，人在管理方面的知識也很重要; 同時，不僅要防止外部不安全因素，更要防

22、止內(nèi)部不安全因素。針對現(xiàn)實中存在的問題，采取一些提高企業(yè)理信息系統(tǒng)安全性的舉措勢在必行。4.1 設計合理的信息系統(tǒng)結構企事業(yè)單位建立安全可靠的信息系統(tǒng)結構的首要任務就是全面分析信息系統(tǒng)設計的每個環(huán)節(jié)。在總體設計方面要注意攻擊者對以太網(wǎng)上任一節(jié)點進行偵聽，捕獲以太網(wǎng)上的所有數(shù)據(jù)包，然后解包分析，竊取關鍵信息?？刹扇∫韵麓胧﹣肀苊庑畔⑾到y(tǒng)存在的這個安全隱患：1 網(wǎng)絡分段技術，該技術可以從源頭杜絕網(wǎng)絡安全隱患問題。為了實現(xiàn)對局域網(wǎng)的安全控制，經(jīng)常采取物理分段與邏輯分段，使得非法用戶無法獲得網(wǎng)絡資源，保證信息在傳輸中的安全暢通。2 解除隱患的另一方法是交換式集線器代替共享式集線器。4.2 做好的整體性

23、與優(yōu)化工作在企業(yè)建立的過程中，由于企業(yè)各單位對計算機應用積極性的提高，計算機應用普及進度更快了， 但因為在管理信息工程建設中缺乏系統(tǒng)性的思想， 雖然許多應用系統(tǒng)可以在局部取得很好效果，但是綜合起來看并不是一個真正優(yōu)化的企業(yè)管理信息系統(tǒng)，使得全企業(yè)數(shù)據(jù)在統(tǒng)一和規(guī)范方面尚存在較多的問題。所以系統(tǒng)開發(fā)者應該具有系統(tǒng)性全局性思維，把握本質(zhì)性的問題，同時采取有效地措施，確保在開發(fā)工作過程中處于主動有利的地位。4.3 確保硬件系統(tǒng)的安全硬件設備是企業(yè)管理信息系統(tǒng)的安全性的基礎，如果硬件出了問題，勢必影響企業(yè)管理信息系統(tǒng)的安全，物理損壞，設備故障，計算機系統(tǒng)機房環(huán)境的安全都是系統(tǒng)不安全隱患，不嚴重的話只會造成一部分經(jīng)濟損失，