企业管理信息系统安全性分析及对策.doc

企业管理信息系统安全性分析及对策 【摘要】根据当今信息安全现状，阐述信息安全在企业中的重要性。结合案例，分析其成功与不足之处，结合专业知识提出自己对企业信息安全的对策。关键字：信息安全；现状；重要性；企业信息安全的对策 Abstract： According to the current status of information security, information security on the importance of the enterprise. Combination of cases, analysis of its successes and deficiencies, and then combine its own expertise to the enterprise information security solutions. Key words：Information Security ; Status quo ;The importance of； Enterprise Information Security Measures目录引言5一、信息安全51.1信息安全概念51.2信息安全的隐患51.3信息安全在企业管理中的重要性51.4不重视信息安全的后果6二、案例分析72.1 在信息安全方面较成功案例72.2 在信息安全方面做得不足的案例82.3校园网在信息安全方面的成功与不足8三、企业信息安全对策93.1 技术93.2 人员9四、总结10五、心得与体会10参考文献11致谢12引言信息既是一种资源，也是一种财富。随着知识经济时代的到来，尤其是Internet的普遍应用以来，保护重要信息的安全性，已经成为我们重点关注的问题了。我国企业在运用安全技术方面取得了重大成果，但在信息安全策略和管理方面仍显滞后。据调查，68%表示其所在企业已安装了应用防火墙（全球平均值为67%），59%部署了互联网服务安全保护措施（全球平均值为58%）。然而，从安全策略及管理方面来看，仅有34%为部署信息技术架构建立了标准和流程（全球平均值为51%），33%建立了业务持续经营计划或灾难性恢复计划（全球平均值为55）。由此可见，我国在技术应用方面是相当不错的，但在安全策略和管理环节就显得力不从心了，虽然消耗了大量的资金，却效果甚微。一、信息安全 1.1信息安全概念 信息安全本身包括的范围很大，大到国家军事政治等机密安全，小范围的当然还包括如防范商业企业机密泄露，防范青少年对不良信息的浏览，个人信息的泄露等。网络环境下的信息安全体系是保证信息安全的关键，包括计算机安全操作系统、各种安全协议、安全机制（数字签名，信息认证，数据加密等），直至安全系统，其中任何一个安全漏洞便可以威胁全局安全。信息安全服务至少应该包括支持信息网络安全服务的基本理论，以及基于新一代信息网络体系结构的网络安全服务体系结构。 信息安全是指信息网络的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断。信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。6 1.2信息安全的隐患我们知道，人是信息的操作者，在信息的采集、存储、传输、访问全过程中，信息操作执行者的非法性以及对信息的非法破坏等都会影响信息安全，每个环节都可能发生安全问题，而这每个环节中安全隐患的最终来源都是人。各种识别防范技术就是为了建立操作者与信息操作之间的匹配性、一致性。人们的自我防范意识差的主要表现为：计算机不设系统密码(或者不设文件密码)、随意使用不明来路的存储器(或者打开来路不明的文件)、不装防火墙、不安装杀毒软件（或不定期更新）、不注重数据的备份、有形资料（如：光盘、书面文件、硬盘等）随便乱放等等。网络也是信息安全隐患最突出的场所。从最近发作的几起网络病毒对网络系统及网络安全所造成的危害来看，网络的安全隐患十分严重，不得不引起我们的足够重视。1.3信息安全在企业管理中的重要性随着信息时代的来临，信息安全成为各个领域探索和完善的问题。大到国家军事政治等机密安全，小范围的当然还包括如防范商业企业机密泄露，防范青少年对不良信息的浏览，个人信息的泄露等，信息的安全都始终都没有得到解决。在一个企业运作过程中，技术上的问题不大，但是作为信息安全的防范，应该引起管理者的高度重视了。近期在各企业中屡屡发生的信息被破坏的事件就暴露了企业管理的薄弱环节。其原因主要是两个方面：一是企业领导者不重视或者对其认识不足，二是员工缺乏安全意识。领导者不重视的原因，是因为他们对信息安全在企业中的重要性认识不足，没有认真考虑过一旦出了重大信息安全事故，会给企业造成多么惨重的损失；有些企业的领导目光短浅，对信息安全管理的投资不感兴趣。由于领导的不重视，企业对员工缺乏足够的、持续的信息安全教育和培训，致使员工也没有足够的安全意识，最终导致的危害是非常巨大的。如果从企业的领导到企业的员工普遍都缺乏安全意识，只靠企业的网络管理员、信息安全管理员的常规管理，信息安全将无从谈起。若企业的信息安全得不到保障，轻则将会给企业带严重的经济损失,重则使企业面临破产或者崩溃。许多企业在近几年投入不少财力购买了安全设备、安全软件、甚至是安全服务，但是，其结果并没有从根本上解决信息安全问题了。其时我们可以从多个角度帮助用户分析：技术不能解决所有的问题，问题出在管理上，必须要两手抓，两手都要硬，只有这样做，信息安全才有保障。1.4不重视信息安全的后果用以下两个例子来阐述不重视信息安全的后果：例1从敲诈信看信息安全的重要性2008年12月19日下午4点多钟，南京夫子庙邮局工作人员屠先生打开一个信箱，准备分拣信件。他意外地发现，有25封信惊人地相似，都是寄往全国各地农林局或民政局局长的，但没有寄信人地址，只写有“地址内详”“家书、外人勿拆”字样，并且信封右下角的落款均是“堂妹”，后面写有一个人名，从字体上看，信件应出自于同一人之手，而且每封信的厚度都一样。屠先生感觉有异，立即向领导汇报。邮局相关领导决定报警，由警察前来处理此事。警察赶到现场后，拆开其中一封信，抽出信件一看，众人吃惊地张大了嘴巴。信封里有一张男女的性爱照片和一封打印在一张A4纸上的信。内容是： “您应该还记得春宵缠绵的时刻的妹妹我吧，直接存入八万块钱，可以前后两天分两次存入，这样快且不用身份证件，没有其他麻烦。”“我的时间是有限的，别等你的钱到了，我手上的这些东西也都寄到你单位各科室、其他单位和报社，以及你上级的各级纪检监察部门去了。那你就太倒霉，太冤了，可别怨我。我这么做的确是没有别的活路了。”银行帐号等。民警意识到问题的严重性，随即打开了其他信件，发现内容一模一样，也有银行账号，并且也有一张性爱照片。不同的是，性爱照片的男主角各不相同，但男女的姿势一模一样。这些信寄往全国各地。经核实， 收信人都是某局的局长或副局长，而且其长相与照片中男子的长相一致。敲诈信都是寄给全国各地农林局或民政局局长的，说明全国各地农林局或民政局局长的个人信息被泄露了。12如果被不发分子掌握了个人隐私来胁迫个人对所在的企事业单位进行违法行为,那将对个人造成的损失将是无法估量的。从此不难看出信息安全的重要性。例2 股海情殇丢失一台笔记本损失3000万某国际股份有限公司董事长钱某，1997年10月去深圳参加公司发行股份的新闻发布会。饭后，将其随身携带的笔记本电脑遗忘在该酒店。此电脑被前来就餐的于某拾得。于某将之据为己有，他深谙电脑知识，凭借自己熟练的电脑操作技术破解并非法侵人到该国际股份有限公司的计算机信息系统后，未重新设置密码，致使许多人进人该股份公司计算机系统，了解到该公司内部一些重大信息。股民们大量抢购该股份公司上市的股票，引起了该股份公司股票的交易量和交易价格出现非常波动，造成该股份公司3000余万元的经济损失。11这是由于领导的信息安全意识差，才导致了该公司巨大的经济损失。这也就不难看出公司信息安全的重要性。 最后需要说明的是，虽说信息安全问题，管理是根本，但技术也是不可或缺的，因为离开技术，管理就如同空中楼阁，没了根基。二、案例分析2.1 在信息安全方面较成功案例东海公司因业务量大增，并且货物的种类、存储及搬运要求越来越多样，越来越随机，货物的物理化学特性也越来越复杂，各种具有吸湿性、锈蚀性、脆弱性、自热性、自燃性、危险性、散味与污染性的货物为调度添加了极大的难度。所以出现：1、信息传递、处理速度缓慢，无法提供货物装卸、在途的实时动态信息查询。2、计划调度工具落后，不能详尽地分析客户的需求，出错率高。3、数据分散，共享性差，常与各部门上报的数字不一致，领导难以据此做出判断和决策。4、信息沟通缓慢，造成大量的重复性劳动，既浪费了人力物力资本，又延迟了货物进出港的时间。为挽救公司损失，领导决定把原来的信息系统进行集成化改造。在信息系统的成功率普遍不高（就拿ERP来说，其成功率只有10%左右，许多企业在投资几百万甚至上千万元之后，却连一个基本的报表都不能提供，又造成了企业内部管理的紧张化，只能眼睁睁的看着业务操作恢复到以前的手工状态，大笔的资金打了水漂）、企业资金并不宽裕的情况下，亦然投资。 他们把公司的信息系统开发大体可以分为两个阶段： 119951998年为计算机软硬件应用平台的选型、引进主要是由上级管理规划部门负责，选择了“终端主机”集中处理模式作为网络运行平台；开发业务软件并出现销售多元化的问题。 219982001年年底，由于计算机站工作人员的流动大，系统开发队伍不稳定，使得各系统的软硬件平台、网络计算模式、界面风格等千差万别，一方面数据不易联通，另一方面系统维护的工作量非常大。 招聘既懂管理又懂信息技术的复合专家为指导，着手东海公司信息化战略规划的制订，同时制定信息化标准规范和信息化全员培训计划，从组织和措施两方面大力度保证信息化建设的顺利进行，并下设信息化办公室，负责信息化建设的组织实施。13该公司在信息系统集成的成功率只有百分之十的情况下，认识、分析自己的不足，领导的大胆取用人才，投入大量资金进行研究开发与组织变革，这是领导对信息化建设的足够重视；同时制定信息化标准规范和信息化全员培训计划，这是培养公司员工的信息安全意识。这就代表着公司在同行业有着领导地位，信息的安全性也在未来的一段时间有了一定的保障，也就不难看出该公司在未来的良好发展前景。2.2 在信息安全方面做得不足的案例东莞运城制版有限公司从事印刷品生产的企业也越来越多。引用先进的设计印刷设备、积极拓宽产品种类、大幅提升产品与服务质量，业务量的增大，使企业处理的信息也随之增多，对庞大信息进行有效存储、管理及调阅的需求也越来越高。 具有以下问题： 光盘图库没有任何电子方式的存储与备份，需要时一张张地翻阅； 设计的成品，只存在本机硬盘上，难以共享、查找和管理； 样品送给客户和输出公司，若要修改，就得重新打样，且需派专人往返送稿。该公司人员众多，且拥有大量的光盘图库素材，但不宜存放，易损坏，易丢失，成品要长久保存，便于以后调用、修改、共享、查找及管理问题。 他们用2台HP StorageWorks NAS 2000s；HP OpenView Storage Mirroring存储镜像软件来解决以上问题。透过Web浏览器，授权用户可使用IP地址或URL名称，直接连接到NAS上审核公司产品，不必浪费人力物力财力。在采用NAS存储结构后，信息存储备份从原始的手工操作转换到自动化操作，原来庞杂、无序的信息存储变得井然有序。与以前比较，工作强度降低，同时工作效率有了很大程度的提高，也提高了公司在同行中的市场竞争力。14 该公司2台HP StorageWorks NAS 2000s；HP OpenView Storage Mirroring存储镜像软件，解决了光盘图库素材不宜存放、易损坏、易丢失，不易长久保存，以及调用、修改、共享、查找等问题。在一定程度上大大提高公司的信息安全，但是他们只在计算机软硬上较大程度保证了信息的安全，在公司员工上还存在着更大的隐患。因为人们经常说往往最坚固的城堡，都是丛内部攻陷的。2.3校园网在信息安全方面的成功与不足玉溪师范学院校园网始建于1998年，分九年内15次建设，是西部大学校园网建设的项目大学之一。建设25公里光纤、3500个信息点、连接71幢教学办公宿舍楼宇；中心机房2个、三层交换机2台、二层交换机112台、路由器1台、服务器12台；各系部的计算机全部联网，100%的行政处室联网，校园网实际接入主机2000余台；拥有24个C类地址、2个域名，学院主站点、。1000M主干、100M桌面的网内带宽资源；三条出口分别接入教育网、电信网、省电大，接入总带宽达212M。采用主流厂商设备和千兆以太网技术，采用星型总线网络拓扑结构。除多数系统使用Windows2000操作系统外，还有少数采用UNIX/Linux操作系统。 从2000年始，学校就成立了独立的校园网管理机构， 2002年4月学院成立现代信息技术中心，承担校园网络的规划、建设、运行和管理。专职网络管理人员6名。共制定7项校级管理制度和8项部门制度。2003年全网实现实名制管理；实现学校投入为基础、项目投入作充实、校企合作发展相结合的多渠道投资建设模式，为学校的本科教学、管理和服务做出了贡献。15校园网应用瑞星杀毒软件网络版，采用分布式体系，结构清晰明了，管理维护方便。并采用自行研制的断点续传技术下载升级包，智能分析原文件和更新文件之间的差异，避免重复下载，使升级速度快而可靠。还提供了在线杀毒与入侵检测技术。成功之处：整个网络应用拓扑结构，采用分布式体系，结构清晰明了，管理维护方便，能对整个网络进行有效的监控；校领导对此有足够的重视，用大量的资金进行建设；在机房的管理与维护也是在高校中屈指可数。不足之处：没有对全校教职工和学生进行信息安全方面的任何培训。三、企业信息安全对策3.1 技术技术作为信息安全的基础，也是人们获取信息的手段，它是不可缺少的。它可以防范病毒，监控网络，扫描漏洞等等。技术应用的主要在以下两个方面：黑客与病毒在Internet上是无孔不入，这极大地影响了Internet的可靠性和安全性，保护Internet、加强网络安全建设都必须建立在技术的基础之上，做到安全的网络边缘防护。企业内部的网络安全同样需要技术支持。内在安全隐患主要有未授权访问、破坏数据完整性、拒绝服务攻击、计算机病毒传播、缺乏完整的安全策略、缺乏监控和防范技术手段、缺乏有效的手段来评估网络系统和操作系统的安全性、缺乏自动化的集中数据备份及灾难恢复措施等。通过对网络内部网络行为的监控可以规范网络内部的上网行为，提高工作效率，同时减少企业内部产生网络安全隐患。要解决以上两个问题，就必须知道企业的安全需求是什么？1.基本安全需求企业内部网络、设备正常运行，维护主要业务系统的安全，是企业网络的基本安全需求。也就是服务器资料不被窃取、保护用户帐号、密码等资料不被泄露、对用户帐号和密码进行集中分类管理、设置个人操作权限、对用户身份认证、服务器、PC机和Internet网关的防病毒保证、提供灵活高效且安全的内外通讯服务、保证拨号用户的上网安全等。2.关键业务系统安全需求关键业务系统是企业内网应用的核心。它具有最高的网络安全措施，确保业务系统不被非法访问；保证数据不被破坏；对于试图破坏关键业务系统的行为能够及时发现、记录和跟踪，提供非法攻击的犯罪证据；系统服务器、客户机以及电子邮件系统的综合防病毒措施等。以上两方面都需要安全产品来解决，如：瑞星系列杀毒软件，金山系列杀毒软件，卡巴斯基系列杀毒软件等。他们再更大程度上保证机密信息不被窃听、篡改；防止大多数病毒入侵、破坏；加强网边防护和内外网监控，或者减少黑客攻击等。3.2 人员真正的网络安全实际上不仅靠那些安全产品，更与你自身长期培养起来的安全意识有关。好的安全产品只会像良师益友一样，不断地提醒你：注意了，这种网络行为很可疑，它有可能是某种安全威胁。而你的下一步所采起的防范措施，将决定你（你们）的网络系统是否安全。领导是不能随时提醒你注意信息的安全性，他也只不过起到引导作用，有时他不一定有你做的好。信息能帮助领导者为企业指出正确的方向以及做出正确的决策。如果信息不受安全威胁或者信息传递缓慢的影响，则不仅能减少公司不必要的损失、减少人员的浪费，也能大大提高工作效率。制定长期的信息安全培训计划，培养公司员工的信息安全意识，使企业再遭遇信息安全时，将损失降到最小。从股海情殇到敲诈信使他们知道信息安全在企业中的重要性，说不定会不小心成为他们中的一员。聪明的不法分子深谙此道，从花名册、签到簿、求职意向书、产妇的信息等都有人高价收购，因为那上面姓名、家庭成员、家庭住址、电话号码一应俱全。很多接触这些资料的单位和个人从来没有考虑过泄露这些信息的后果，有的还以此作为牟取钱财的筹