企业管理信息系统安全性分析及对策

商丘师范学院2014届本科毕业论文（设计）企业管理信息系统安全性分析及对策 引论在全球经济一体化的背景下，一个企业是否可以在竞争中处于优势地位，取决于它是否具有面向客户、反应及时、自动研习、共享资源、成本控制的先进作业系统。由于信息技术和互联网的大范围普及，如何建设一个安全高效的企业信息管理系统是企业管理者正面临的一项新的严峻的挑战。我们都希望我们的网络系统可以更加安全可靠地运行，但是事实并非总如我们所愿，由于网络信息传输量的急速增加，一些机构和部门的上网数据会遭到不法分子不同程度的破坏。网络攻击者能够窃取网络上的信息，盗取口令、私自修改数据库内容，散播计算机病毒等。在信息系统越来越网络化、全球化、开放化的今天，如果企业管理者不能很好的考虑到这些问题不把这些问题提高一定的高度来解决，信息安全问题势必会困扰每一个管理者，可能会危及到网络环境下企业的经济安全，严重的威胁到数据的安全性和自身的利益。因此保证网络的安全性、可靠性是网络正常运转的基础和条件，从而可以更好地为企事业单位提供服务。1 企业管理信息系统的安全性含义及目标管理信息系统(Management Information System， 简称MIS)是一个人-机系统，它涵盖了企业中主要的业务部门。它与企业的管理活动密切相关，与企业的管理方式、经营观念有关，服务于企业的最终目标。MIS的目的是通过企业改进管理方式、改善和提高管理水平，进而提高企业的经济效益、推进企业管理现代化、增强企业的环境适应能力。1.1 企业管理信息系统的安全性的内涵MIS 是一个由人、计算机等组成的能进行信息收集、传递、储存、加工、维护和使用的系统。能够实测企业的各种运行情况，利用过去的数据预测未来，从全局出发帮助企业做出决策，利用掌握的信息控制企业的行为，帮助企业实现其规划目标1。也就是说它可以给企业提供准确及时的信息并帮助企业做出科学决策和控制、合理利用企业现有资源、增强企业应变能力、提高企业竞争力和增加经济效益，使企业管理方式从经验管理到科学管理，实现科学的管理思想和先进的管理手段的完美结合。根据保护目标的要求和环境的状况，信息安全是信息网络和信息系统的硬件、软件、设备和数据受到可靠地保护，通信、访问等操作得到有效的保障和合理的控制，不会由于偶然或恶意的原因使系统遭到破坏，数据遭到更改或泄露，从而保证系统可以正常运转，网络服务不被中止。信息安全涉及的安全问题主要包括如下内容：1.1.1 系统运行的安全系统运行的安全主要指保护信息处理和通信系统的安全。保证系统正常运行，避免由于系统崩溃和软硬件损坏造成的不良后果如系统数据存储、处理异常和传输信息丢失，破坏和损失，因为系统物理的不安全会造成的系统运行的不正常或瘫痪，用户的误操作也会影响系统正常运行，目前很多手机软件在运行过程中会出现系统故障，如闪退，自动关机，停止运行等等。1.1.2 访问权限和系统信息资源保护对网络中的各种软件和硬件资源进行访问控制，防止没有被授权的用户进行不合法访问。口令设置、身份识别、端口控制等技术来实现对用户访问权限的控制。系统信息资源保护技术有身份验证技术、用户口令识别技术、用户存取权限控制技术、数据库存取权限控制技术、数据加密、数据备份等。1.1.3 信息内容安全 信息内容安全主要表现在保护信息内容。传播过程中的后果安全以及信息过滤安全等都是信息内容安全的主要内容，可以防止和控制非法和有害的信息在传播后酿成的严重后果。系统中存在一些漏洞，在还没有打补丁之前，一些不法攻击者利用这些系统漏洞进行损害其他合法用户的利益，窃听、篡改、拦截别人的信息等。1.1.4 作业和交易安全作业和交易安全指网络中相互通信的两个实体之间信息的真实性、完整性、保密性和不可否认性，保证信息在通信过程的安全性。保障作业和交易安全的技术包括数据加密、身份验证、数字签名等，其中居于核心地位的是加密技术的应用。1.1.5 人员和规章制度安全保障通常是在组织的内部出现信息安全事故，所以人员的管理和相应的规章制度的制定是保证信息系统安全不可缺少的一部分。因此需要在人员管理方面建立可操作的管理安全防范体系，建立人人遵守的规章制度从而保障信息的安全。1.1.6 安全体系的整体防范和应急反应功能建立系统的安全防范体系，从整体上保障信息系统的安全，对可能出现的安全隐患和破坏做好事先的预防工作，对已经出现的灾难、意外的损害做到及时有效的补救。1.2 企业管理信息系统的安全性目标分析在网络层次方面，把网络系统设计成一个安全网络，从而可以支持个别用户或大量用户。保证系统内部安全的同时，也可以安全地联接到互联网或国内其他网络，满足各种用户的需求，比如：个人通话保密性和完整性，企业计算机系统的安全性，数据库不被非法访问和破坏，系统不被病毒侵犯，也能防止网络上的各种有害信息传播等。保证网络信息安全的技术主要有一下几个方面：采用多层防护手段，降低信息受到侵扰和破坏的可能性。提供有效使检测非法使用和非法初始进入点的手段，这样就可以核查、跟踪侵入者。提供一些有效手段，能够及时恢复破坏的数据和系统，尽量使损失降到最低。提供查获侵入者的手段，在入侵者进入系统之前及时将其拦截。1.3 提高企业管理信息系统的安全性常用技术MIS是以计算机和数据通信网络为基础的应用管理系统，它是一个开发式的互联网系统，没有采取安全保密措施，与网络连接的任何终端用户都可以方便的进入或者访问网络中的资源。从目前的情况看，管理信息系统已经广泛地应用于各个部门，在给经济管理及人际交往都带来极大方便的同时，也为那些利用计算机信息系统进行各种犯罪提供了很大的可能。网络非法盗用、故意破坏或错误操作，计算机病毒、黑客攻击无一不威胁着管理信息系统的安全性，所以做好管理信息系统的安全保障工作，有助于提高整个社会信息化水平。当前，为了保障信息系统的安全，企业所采用的技术主要包括从以下几个方面。1.3.1 网络加密技术为了保障信息安全，人们最常用的保密手段是加密技术，利用一些密码算法对重要数据进行转化使之变为不知道解密算法的人无法获知信息内容的乱码数据（加密过程）进行传送，到达目的地后再用与发送方相同或不同的密码算法对数据进行解密。这样可以很大程度上保证信息在传输过程中的安全，所以经常使用网络信息加密来保护传输的数据、文件、口令和控制信息等。链路加密、端到端加密和节点加密是网络加密常用的三种方法。介绍一个简单的公开密钥加密算法的实现过程如下图：图1-1公开密钥加密算法的实现过程1.3.2 防火墙加密技术防火墙可以实现内网外网的隔离与访问控制，是保护内部网络安全的重要措施之一，包括分组过滤和应用代理。防火墙可以监控进出网络的数据信息，对流经它的网络通信进行扫描，滤掉一些不安全信息，抵制对内部构成的威胁的数据。防火墙的主要功能是限制易受攻击的服务进入内部网络，对网络存取和访问进行监控审计，防范特洛伊木马，过滤不安全服务和非法用户，限定访问特殊站点等。防火墙的主要技术类型包括网络级数据包过滤器和应用级代理服务器4。应用级防火墙实现过程如下图：图1-2应用级防火墙实现过程1.3.3 身份验证技术用户为了向系统证明自己合法身份需要进行身份验证。建立安全通信环境的前提条件就是通信双方相互确认对方身份，这是审计记录和授权访问等服务的基础，因此在保证网络信息安全方面具有很重要的位置。系统为了查核用户身份证明也需要进行身份识别。如上网时需要输入账号和密码，只有账号密码相符该用户才有权利获取网络信息。上面两个过程可以对通信双方是否具有真实身份做出判断。拨号上网、主机登录、远程访问等都涉及身份验证技术的应用。口令验证、数字证书认证是比较常用的身份验证方式。数字证书身份认证原理如下：图1-3 数字证书身份认证原理1.3.4 系统备份技术系统备份技术的目的在于，当系统运行出现故障时，尽可能恢复计算机系统运行所需要的数据和系统信息，在管理信息系统出现硬件故障或人为失误时，备份技术不仅可以保护管理信息系统和保证数据的完整性，防止未被授权的入侵者进行访问、攻击及破坏，也是系统发生故障进行灾难恢复的前提之一。2 网络安全应具备的功能及影响信息系统安全的主要因素2.1 网络安全应具备的功能2.1.1 用户的标识与鉴别企业信息管理系统中的每个用户都有一个唯一的用户名称用以区别于其他用户，在安全子系统中记为User ID。 所有合法用户的User ID都登记在应用系统用户登记表中。出于对系统用户进行规范化管理的需要，用户名对系统管理员，数据库管理员，功能模块管理员来说应该是公开的。为了正确鉴别系统用户，系统允许每个用户拥有自己的用户口令，在安全子系统中，记作User Password. 用户的User Password只能由用户自己来管理，其他任何用户包括应用系统管理员，数据库管理员，功能模块管理员都不得对其进行查询或修改。当一个用户要访问应用系统时必须提供正确的User ID和User Password，User ID用来对其进行标识，User Password用来验证本名称用户的真实性。2.1.2 权限管理企业信息管理系统的权限管理采用了分权管理的策略，由应用系统管理员负责管理整个应用系统的用户，可以动态增加和删除系统用户；但不能为某个高级权利相对集中于系统管理员，减少系统管理员无意或有意摧毁系统或窃取系统机密的可能性。应用系统管理员管理整个应用系统的用户，是通过系统管理员程序实现的，为防止破坏安全库数据的一致性，他不能直接操纵系统安全库。正因为如此安全库中的很多数据都是经过加密后的形式存放的系统管理员程序是一个独立的功能模块，只有系统管理员菜有权使用。它有两个功能：新建系统用户，删除系统用户。其中新建一个系统用户就是往应用系统用户登记表和用户访问权限控制中增加一条记录，而且增加的新用户的属性域必须是系统已经存在的域不能是其他的域。删除一个系统用户就是删除应用系统用户登录表和用户访问权限控制表中对于该用户的记录。模块管理员管理访问该模块的所有用户，是通过模块管理员函数实现的，通过该函数，模块管理员可以增加，删除、修改访问相应模块及其各子功能的用户，并可调整模块的安全属性。2.1.3 用户登录与身份验证 一个用户进入企业信息管理系统时的身份验证可以准确识别用户的身份，获取合法用户对系统各功能的访问权限以及当前系统各功能的安全属性，屏蔽非法用户，当用户成功登录后，用户的访问权限和相应模块的安全属性就已经记录在安全库中，以后该用户要访问该模块中任一有安全性要求的功能时，就可以根据安全库中的信息进行严格的访问控制，另外欧诺个户访问有安全保密要求的对用户可见的分功能时，必须再次经过权限验证。2.2 影响信息系统安全的主要因素1 设计系统的不规范、不合理以及缺乏安全性考虑。2 网络硬件的配置不协调，设计和选型考虑不太周密，都会影响网络的可靠性、扩充性和升级换代。3 缺乏安全策略。主要表现在防火墙访问权限配置的扩大，致使这些权限可能会被其他人员私自滥用。4管理制度不健全，网络管理、维护不力。3 企业管理信息系统的安全性建设存在的问题信息化就是一把双刃剑，带来很多便利的同时也带来了一些不可忽视的问题。在过去的几年中，虽然我国企业信息系统建设发展很迅速，但成功的少之又少。企业投入使用的那些模块，在现实运行中并未发挥理想的作用，它只能对一些部分系统，或指定类型的产品处于试运行阶段。企业中的大部分的计算机是用来做文字处理工作，一小部分是经常用来玩游戏的。这些情况都说明：计算机的使用虽然已经得到了普及，但信息系统的应用情况及其运行效果却不容乐观。3.1 服务器和数据库的安全隐患我国是一个发展中国家，所以还不能自己研制管理信息系统所使用的服务器、操作系统、数据库系统等核心软硬件，这些软硬件基本上都是国外公司研制的，所以我国的管理信息系统的安全建立在和国外公司的和平相处上，事实上这才是最大的不安全因素，我们不能掌握自己的核心东西；如果国外研发者稍微改动用户账号和权限，就会造成用户权限和级别混乱，数据库没有很高的安全保护功能或根本完全没有或这些安全保护机制和策略没有得到充分地利用，最终使系统遭到破坏；操作系统或其他软件中也存在一些安全隐患，特别是Windows系列产品，因为它在市场上占有很重要的地位，同时也是不乏入侵者的“目标”。现在人们已经发现很多Windows漏洞，在人们安装相应补丁之前，总有一些动机不良者会直接或间接地侵入到别人的系统，对他们的系统进行一些不法操作；计算机病毒、内部人员有的恶意窃取内部信息、本地用户有意或无意的误操作都是企业管理型先存在的现有的安全隐患，都会直接威胁系统安全。因为企业中的部分部门不能单独设计一个完整的MIS，都会考虑自己的利益首先完成自己计算机管理工作，但是这对于企业的整体MIS建设来说，必定是重复投资，造成人财物的极大浪费。3.2 管理上的安全隐患3.2.1 贪大求全许多企业一味追求高新技术却没有考虑企业的实际情况，结果就算MIS设计的非常完善，但是项目完成后却没有发挥出其应有的作用成了一个失败的项目3.2.2 重复开发重复开发不仅耗时耗力，浪费财力和物力，而且系统在反复修改完善的过程中很难发挥其应有的作用。3.2.3 重“硬”不重“软”企业聘用那些不懂如何做MIS的人员做MIS的工作，没有MIS理论思想，不懂MIS的根本内容是“软件”却认为购买新设备就可以完成比较完善的系统建设，使得系统建设没有实质内容而只停留在表面。由于管理方法和手段不到位不准确，使得尽管是先进的技术也无法发挥其应有的效果。虽然技术在解决企业管理信息系统安全问题时起到非常重要的作用，但是却不能单纯完全依靠技术，信息化其实就是人与技术相互融合，要做到管理与技术相互作用，配合的相得益彰，才能建设好一个比较安全稳定的管理信息系统。安全过程本身就是一个交互的过程，“三分技术，七分管理”就很好的阐述了技术和管理的关系，也说明了企业管理信息系统安全的本质。3.2.4 只重开发不重维护许多企业花费了巨大的人力财力和物力去开发一个新的MIS系统，结果运行后不久就停止运行了，之所以会这样是因为没有把系统的维护工作做好，虽然这是软件工程的最后一个环节，却也是最重要的一个环节，维护工作做不好很容易导致MIS建设的失败。3.3 技术方面的安全隐患信息技术较快的发展和普及,使得每过一段时间就会出现一个新的技术，当然也就会引起一个新的技术发展新时期,在进行系统建设时有些人就偏爱于使用这些新技术，觉得对于成功建设一个新系统有很大帮助。殊不知并非如此，他们没有考虑对与本企业来说该项信息技术的性价比如何,不考虑企业本身的技术水平,盲目追求新技术,结果却不懂怎么样使用,导致投入大量资金却没有效益收入和付出不成正比,得不到各方面的支持,MIS的建设也只能宣布失败。很多人在盲目推崇先进信息技术的同时却忽略了信息技术仅仅只是一种工具,虽然有助于MIS的开发,但并不代表技术本身先进与否就是MIS成功与失败的根本原因。有时不但没有起到正面的作用 却适得其反导致了MIS的失败。4 提高企业管理信息系统的安全性的措施建设企业管理信息系统的安全性的过程是一项伟大系统工程，不仅涉及到组织架构、信息技术和人员素质，还涉及到国家法律和商业规则。企业内部存在着很多因素，这些因素都会影响到信息的安全，因此要使企业的管理信息尽可能的安全，保护信息安全的技术投入固然重要，人在管理方面的知识也很重要;同时，不仅要防止外部不安全因素，更要防止内部不安全因素。针对现实中存在的问题，采取一些提高企业理信息系统安全性的举措势在必行。4.1 设计合理的信息系统结构企事业单位建立安全可靠的信息系统结构的首要任务就是全面分析信息系统设计的每个环节。在总体设计方面要注意攻击者对以太网上任一节点进行侦听，捕获以太网上的所有数据包，然后解包分析，窃取关键信息。可采取以下措施来避免信息系统存在的这个安全隐患：1 网络分段技术，该技术可以从源头杜绝网络安全隐患问题。为了实现对局域网的安全控制，经常采取物理分段与逻辑分段，使得非法用户无法获得网络资源，保证信息在传输中的安全畅通。2 解除隐患的另一方法是交换式集线器代替共享式集线器。4.2 做好MIS的整体性与优化工作在企业建立MIS的过程中，由于企业各单位对计算机应用积极性的提高，计算机应用普及进度更快了，但因为在管理信息工程建设中缺乏系统性的思想，虽然许多应用系统可以在局部取得很好效果，但是综合起来看并不是一个真正优化的企业管理信息系统，使得全企业数据在统一和规范方面尚存在较多的问题。所以系统开发者应该具有系统性全局性思维，把握本质性的问题，同时采取有效地措施，确保在开发工作过程中处于主动有利的地位。4.3 确保硬件系统的安全硬件设备是企业管理信息系统的安全性的基础，如果硬件出了问题，势必影响企业管理信息系统的安全，物理损坏，设备故障，计算机系统机房环境的安全都是系统不安全隐患