企业管理信息系统安全性探讨.doc

云 南 电 大 毕 业 论 文专 业： 乡镇企业管理 题 目： 企业管理信息系统安全性探讨 学 号： 1053004405718 姓 名： 孙 玮 教学点： 沾益县农广校教学点 指导教师：吕 华 阳 完成时间： 2011年4月21日 论文提纲选题：企业管理信息系统安全性探讨主要内容：在企业管理信息管理系统建设中，必须注意系统的安全性。如果忽视了这一问题，就可能会危及到网络环境下企业的经济安全。本文首先界定了企业管理信息系统的安全性含义，并说明了其目标，接着介绍了提高企业管理信息系统的安全性常用技术。在此基础上，文章分析了当前企业管理信息系统的安全性建设存在的问题，最后文章提出了提高企业管理信息系统的安全性的措施。这些措施包括提高网络安全防范意识、建立企业信息安全管理组织体系、制定符合企业管理信息安全需求的信息安全策略等。文章结构：全文共分为四部分1企业管理信息系统的安全性含义及目标11企业管理信息系统的安全性的内涵12企业管理信息系统的安全性目标分析2提高企业管理信息系统的安全性常用技术分析21在应用系统层面，对访问进行控制22在系统层面，对病毒进行防护23在网络层面，注重抵御外来攻击3当前企业管理信息系统的安全性建设存在的问题31重技术、轻管理32没有从整体上、有计划地考虑企业管理信息系统安全问题33企业管理高层对企业管理信息系统安全的认识不够34企业对员工的管理信息安全教育不够4提高企业管理信息系统的安全性的措施探讨41提高网络安全防范意识42建立企业信息安全管理组织体系43制定符合企业管理信息安全需求的信息安全策略44进行人员安全的管理和培训目录摘 要4引言4一、企业管理信息系统的安全性含义及目标4（一）企业管理信息系统的安全性的内涵4（二）企业管理信息系统的安全性目标分析5二、提高企业管理信息系统的安全性常用技术分析5（一）在应用系统层面，对访问进行控制5（二）在系统层面，对病毒进行防护5（三）在网络层面，注重抵御外来攻击6三、当前企业管理信息系统的安全性建设存在的问题6（一）重技术、轻管理6（二）没有从整体上、有计划地考虑企业管理信息系统安全问题6（三）企业管理高层对企业管理信息系统安全的认识不够7（四）企业对员工的管理信息安全教育不够7四、提高企业管理信息系统的安全性的措施探讨7（一）提高网络安全防范意识8（二）建立企业信息安全管理组织体系8（三）制定符合企业管理信息安全需求的信息安全策略8（四）进行人员安全的管理和培训8结语9参考文献企业管理信息系统安全性探讨摘 要：在企业管理信息管理系统建设中，必须注意系统的安全性。如果忽视了这一问题，就可能会危及到网络环境下企业的经济安全。本文首先界定了企业管理信息系统的安全性含义，并说明了其目标，接着介绍了提高企业管理信息系统的安全性常用技术。在此基础上，文章分析了当前企业管理信息系统的安全性建设存在的问题，最后文章提出了提高企业管理信息系统的安全性的措施。这些措施包括提高网络安全防范意识、建立企业信息安全管理组织体系、制定符合企业管理信息安全需求的信息安全策略等。关键词：企业信息系统 安全性 问题 措施引言在全球经济一体化的大背景下，企业能否在未来的竞争中立于不败之地，取决于它是否拥有面向客户、反应灵敏、主动学习、分享知识、成本管理的先进作业系统。随着信息技术和互联网的大规模普及，企业信息管理系统建设就成为了一项新的挑战。而企业管理信息化，就是在企业管理的各个环节和各个方而，通过利用计算机和网络技术来实现物流、资金流、信息流和工作流的集成和综合，从而提高企业资源配置效率和市场竞争能力。但是，在企业管理信息管理系统建设中，必须注意系统的安全性。如果忽视了这一问题，在信息系统网络化、国际化、公众化的今天，必然会带来一系列的问题，甚至会危及到网络环境下企业的经济安全。为此，本文就企业管理信息系统安全性建设作一番探讨。从文章结构上来看，本文首先界定了企业管理信息系统的安全性含义，并说明了其目标，接着介绍了提高企业管理信息系统的安全性常用技术。在此基础上，文章分析了当前企业管理信息系统的安全性建设存在的问题，最后文章提出了提高企业管理信息系统的安全性的措施。1、企业管理信息系统的安全性含义及目标企业管理信息信息系统安全问题是一个系统工程，涉及的内容十分广泛，既有技术问题，又有管理问题。因此，如何提高企业管理信息信息系统的安全性，有效地保护企业重要的信息数据，己经成为所有计算机网络应用企业必须考虑和解决的重要课题。1.1.息系统的安全性的内涵管理信息系统是指运用系统理论和方法，以电子计算机和现代通讯技术为信息处理手段和传输工具，能为企业管理决策提供信息服务的人机系统。从最广泛的意义来说，管理信息系统可以理解为对管理信息进行收集、整理、存储、加工、查找、传输，为管理决策服务的系统，也可以定义为用于管理决策的信息系统。与一般意义上的信息系统不同，它具有的特点是它所管理的信息都是管理信息并且是为管理决策服务的。通常我们将管理信息系统简称为MIS（Management Information Systems）系统。记住这个术语，当提起MIS时大家要知道，就是指管理信息系统。从应用的角度看，企业信息管理系统的安全性包含两个方面:（1）应用级安全性。对于用户或操作员能否登录至应用工作站的安全性问题。如果能够有效阻止非法或恶意的攻击性登录，则说明安全系数高，也就是说系统是安全的。如果用户能够绕过应用工作站利用应用系统开设的账号直接登录到数据库系统，而且数据库数据的操作超出了DBMS（数据库管理系统）赋予该账号的权限，则说明数据库级安全性差。管理信息系统的安全性是一项综合的技术，其安全控制包括数据库的安全和用户权限的控制两大部分，数据库的安全性一般由数据库管理系统和系统网络平台提供，而用户权限控制功能必须山应用系统来提供。随着Internet的发展，单个PC机的信息系统已经越来越少，取而代之的是小范围的局域网和大范围的全球化的由无数个微机连接在一起的Internet网，越来越多的数据透过网络进行传输，同时由于电子商务的普及，企业的关键数据被放在网上。面对人为的网络非法盗用、故意破坏或错误操作，以及计算机犯罪、计算机病毒、黑客攻击等种种因素的影响，企业管理信息系统的安全性受到了严重挑战。为此，必须加强企业管理信息系统的安全性建设，加强企业管理信息系统的安全性建设对企业发展和生存具有重要价值，1.2.信息系统的安全性目标分析从应用级安全性和数据库级安全性来分析，企业信息管理系统安全性应达到如下目标:（1）必须有一个应用系统账号才能进入应用系统。（2）要使用应用系统必须需要数据库账号用于登录数据库。（3）用户绕过应用系统将不能登录数据库系统。（4）在网络传输过程中截取的应用系统账号和密码无法登录应用系统。（5）在网络传输过程中截取的数据库账号和密码虽然可以登录数据库，但不能对数据库做超出该数据库账号权限范围以外的操作。（6）任何企图盗用某个应用系统账号的行为只能进行有限的次数。（7）任何企图盗用某个数据库账号的行为只能进行有限的次数。2、企业管理信息系统的安全性常用技术分析面对人为的网络非法盗用、故意破坏或错误操作，以及计算机犯罪、计算机病毒、黑客攻击等种种因素的影响，企业管理信息系统建设必须重视信息安全建设。当前，企业一般主要从以下几个层面来实施信息系统安全的保障。2.1.统层面，对访问进行控制通过用户权限管理，来确定哪些企业用户可以使用哪些功能，记录用户操作的日志，以备跟踪；通过企业数据加密，保证企业数据在网络中的传输以密文的方式进行，以便不被窃听；由于企业数据是管理系统的关键的资源，因此我们还必须制定数据备份策略，当数据库出问题时，保证企业管理信息数据尽可能得以恢复。2.2. 在系统层面，对病毒进行防护在系统层面，对病毒进行防护，主要是安装实时防病毒软件、定期查毒、不使用来历不明的软盘等；安装入侵侦测设备，随时检测企业网络中的数据，检查是否是攻击的数据包，然后报警或停止对方的访问请求，从而保护系统不受攻击；同时通过安全扫描软件，定时对企业信息管理系统进行扫描，及时发现系统的安全漏洞，此外，也要定期进行安全审计和性能监视等措施。2.3.面，注重抵御外来攻击为了保护内部网络不受攻击，企业通过建置防火墙、VPN等手段来抵御外来攻击。抵御外来攻击的技术主要有：（1）防火墙技术。防火墙是一个或一组实施访问控制策略的系统，它的作用是防止Internet上的非法入侵和破坏企业信息管理系统；防止企业内部使用者不当地使用Internet。它是位于Internet与企业内部网（Intranet）之间的系统，有了它就避免内部网络直接暴露在外面；它能有效地记录和监控企业与互联网活动，并提供完整的认证与报警。（2）入侵侦测系统。入侵侦测系统的设计主要在针对可疑的活动进行分析以及侦测，入侵侦测系统可以判断出更多的可疑的动作，这点无疑可以弥补防火墙的设计所缺乏部份，入侵侦测也是一套软件，它可以运行在Linux等操作系统中。（3）VPN是虚拟专用网。VPN是虚拟专用网（Virtual Private Network）的简称，VPN指的是依靠ISP（Internet服务提供商）和其它NSP（网络服务提供商），在公用网络中建立专用的数据通信网络的技术。目前VPN主要采用四项技术来保证安全，这四项技术分别是隧道技术、加解密技术、密钥管理技术、使用者与设备身份认证技术（Authentication）。3、前企业管理信息系统的安全性建设存在的问题当前我国很多企业都建立了管理信息系统，但是不可否认一些企业管理信息系统的安全性建设还存在不少问题，几乎很少有企业能够从管理的角度以及人员管理的角度来进行管理信息系统安全建设。下面笔者以北京xx公司为例就当前企业管理信息系统的安全性建设存在问题作一番说明。北京xx公司成立于1998年，注册资本文伍百万元人民币，目前有员工200人，主要从事房屋装修业务。该公司2001年进行了信息化建设，并建立了自己的网站，网站成立6年来，多次发生网络瘫痪事件，曾经给公司造成了很大的损失。分析公司造成损失的原因，我们可以发现该公司管理信息系统的安全建设存在以下问题：31.管理往往由于管理手段不到位，导致先进的技术无法发挥应有的效能。企业管理信息系统安全问题的解决需要技术，但又不能单纯依靠技术，信息化的过程其实是人与技术相互融合的过程，如何使管理与技术相得益彰十分重要。安全是一个交互的过程，“三分技术，七分管理”阐述了企业管理信息系统安全的本质。3.2.体上、有计划地考虑企业管理信息系统安全问题企业各部门、各下属机构也存在“各自为政”的局面，缺少统一规划、设计和管理。企业管理信息系统安全强调的是整体上的管理信息安全性，而不仅是某一个部门或公司的管理信息安全。而各部门又确实存在个体差异，对于不同业务领域来说，管理信息安全具有不同的涵义和特征，企业管理信息系统安全保障体系的战略性必须涵盖各部门和各下属机构的管理信息安全保障体系的相关内容。3.3.层对企业管理信息系统安全的认识不够企业管理高层对企业管理信息系统安全的认识不够，缺少信息安全管理配套的人力、物力和财力。人才是管理信息安全保障工作的关键。管理信息安全保障工作的专业性、技术性很强，没有一批业务能力强，且具有信息网络知识、信息安全技术、法律知识和管理能力的复合型人才和专门人才，就不可能做好信息安全保障工作。应该从信息安全建设和管理对信息安全人才的实际需求出发，加快信息安全人才的培养。3.4.工的管理信息安全教育不够员工的管理信息安全意识薄弱，90%的安全事故是由于人为疏忽所造成。如:有些企业不限制内部人员使用高科技信息载体(U盘、移动硬盘等)，以及笔记本电脑等移动办公设备。缺少管理信息安全的监督审计机制，导致安全项目实施完后无法发挥长期效能，安全策略无法持续性改进。缺少监督审计，就会使得管理制度流于形式，变得空洞。必须建立安全审计机制，定期对安全制度和安全策略进行审计，对安全管理工作进行核查，找出安全管理中的问题和漏洞，并制定相应的解决方案进行安全加固。缺少完整的信息安全策略，信息安全管理没有形成标准和规范，没有形成一套体系。为了更好地加强和规范计算机信息安全工作，还需要进行更加细致和系统的工作，通过引进国际先进的安全管理方法和理念ISMS (Information security Management System)，帮助企业根据自身特点建立起适合于业务发展的信息安全管理系统。从原因上来看，我国企业管理信息系统安全性建设存在上述问题，主要在于人们对网络安全问题认识上的缺陷。通常人们将网络作为一项纯粹的工程来实施，缺乏统一的安全管理策略和专门的网络维护人员，另外，企业缺乏应有的信息保密知识，被动的使用一些技术措施来进行防御，因此，在信息管理过程中出现的突发性事件往往造成很大的经济损失。现实中没有一个系统是完美的，不安全因素随时存在。因此，安全措施必须渗透到系统的每一个环节中的同时，最重要的是要渗透到企业的每一个层面中。从管理人的角度来建设和提高企业管理信息系统安全。4、高企业管理信息系统的安全性的措施探讨企业管理信息系统安全性建设是一项系统工程，不仅涉及到组织架构、信息技术、人员素质等各个方面，还牵扯到国家法律和商业规则。从管理角度探讨企业管理信息系统安全则认为企业管理信息系统安全本身含义是多样化的。企业内部存在着诸多影响信息安全的因素;改变IT系统不等于改变企业的管理信息系统安全管理，要使企业的管理信息尽可能的安全，必须在技术投入的基础上融入人在管理方面的智慧;同时，不仅要防外，更要防内，即对组织内部人员的管理。因为，除了网上黑客入侵和犯罪、网上病毒泛滥和蔓延、信息间谍的潜入和窃密、网络恐怖集团的攻击和破坏以外，内部人员的违规和违法操作同样是企业管理信息系统安全的一大隐患。针对存在的问题，笔者认为可以从以下几个方面来进一步加强企业管理信息系统安全建设。4.1.安全防范意识 现在许多企业没有意识到互联网的易受攻击性，盲目相信国外的加密软件，对于系统的访问权限和密钥缺乏有力度的管理。这样的企业管理信息系统一旦受到攻击将变得十分脆弱，其中的机密数据得不到应有的保护。尤其是某些企业信息管理员甚至认为其公司规模较小，不会成为黑客的攻击目标，如此态度，企业管理信息系统安全更是无从谈起。只有提高网络安全防范意识，才能有效的减少信息安全事故的发生。4.2.信息安全管理组织体系一个完整的企业管理信息系统安全管理体系首先应建立完善的组织体系。即建立由行政领导、IT技术主管、信息安全主管、本系统用户代表和安全顾问组成的安全决策机构。其职责是建立管理框架，组织审批安全策略、安全管理制度，指派安全角色，分配安全职责，并检查安全职责是否已被正确履行，核准新信息处理设施的启用、组织安全管理专题会等。还应建立由网络管理员、系统管理员、安全管理员、用户管理员等组成的安全执行机构。该机构负责起草网络系统的安全策略、执行批准后的安全策略、日常的安全运行和维护、定期的培训和安全检查等。4.3.企业管理信息安全需求的信息安全策略安全执行机构应根据本企业管理信息系统安全的实际情况制定相应的信息安全策略，策略中应明确安全的定义、目标、范围和管理责任，并制定安全策略的实施细则;安全策略文档要由安全决策机构审查、批准，并发布和传达给所有的人:安全策略还应由安全决策机构定期进行有效性审查和评估;在发生重大的安全事故、发现新的脆弱性、组织体系或技术上发生变更时，应重新进行安全策略的审查和评估。4.4.安全的管理和培训参与企业管理信息系统的管理人员在很大程度上支配着企业管理信息系统的命运，因而，加强对有关人员的管理变得十分重要。4.4.1.人员鉴别;别内容应包括:个人品质和个人业绩的审查，申请人履历的核查(针对完整性和准确性);专业资格证书的证实;身份证件核查(身份证或护照)等。人员录用或人员职位调整时，一般要签署保密协议。当人员到期离