企业信息化建设中的信息安全问题
2014-12-25王嘉伟
王嘉伟
摘要:企业信息化是企业可可持续发展之中十分重要的组成部分,本文在论述了企业信息化概念的基础之上,分析了在企业信息化建设之中如何处理信息安全问题。
关键词:企业信息化;信息安全;措施
中图分类号:C29文献标识码: A
引言
随着信息化的高速发展,中国网络信息安全面临巨大威胁,技术性安全隐患和事件逐年增多。企业的信息网络同样面临严重的安全威胁和风险,据调查,中国约有50%的企业遇到过网络攻击,很多企业称因攻击行为或病毒入侵而受到不同程度的损失,26%的企业称公司的机密信息被盗取或泄漏。近年来,中国企业已经开始增强信息安全意识,部署防火墙、入侵检测和安全审计等各种网络安全产品。然而,安全形势依然严峻,技术性安全隐患和事件依然逐年增多。企业信息安全主要面临设备被控、数据被窃及业务被瘫三类威胁。企业信息化程度越高,面临的安全风险就越大,一旦发生安全事件造成的损失就越大。
1、企业信息化的概念
一般来说,企业信息化是指企业以业务流程的优化和重构为基础,在一定的深度和广度上利用计算机技术、网络技术和数据库技术,控制和集成化管理企业生产经营活动中的各种信息,实现企业内外部信息的共享和有效利用,以提高企业的经济效益和市场竞争力,这将涉及到对企业管理理念的创新,管理流程的优化,管理团队的重组和管理手段的创新。企业信息化实质上是将企业的生产过程、物料移动、事务处理、现金流动、客户交互等业务过程数字化,通过各种信息系统网络加工生成新的信息资源,提供给各层次的人们洞悉、观察各类动态业务中的一切信息,以作出有利于生产要素组合优化的决策,使企业资源合理配置,以使企业能适应瞬息万变的市场经济竞争环境,求得最大的经济效益。从动态的角度来看,企业信息化就是企业应用信息技术及产品的过程,或者更确切地说,企业信息化是信息技术由局部到全局,由战术层次到战略层次向企业全面渗透,运用于流程管理、支持企业经营管理的过程。这个过程表明,信息技术在企业的应用,在空间上是一个由无到有、由点到面的过程;在时间上具有阶段性和渐进性;信息化的核心和本质是企业运用信息技术,进行隐含知识的挖掘和编码化,进行业务流程的管理。
2、企业信息化建设中的安全隐患
企业信息化建设的目的是为了提高企业的经济效益和企业的竞争力,在这个过程中运用了计算机技术、网络技术等一些电子技术。在这些先进的技术的带领下,企业竞争力提高的同时,信息安全的问题更值得我们注意。信息化的安全问题主要是指企业的整个信息网络系统的软、硬件能够被稳妥的保护,有能够抵抗一些偶然的和恶意的破坏,并能够持续、稳定的运行的多种技术的保障。当然信息化安全不只有技术方面的问题,也有管理方面的人为因素。
计算机网络的安全,在网络信息的环境下,计算机网络的安全问题主要存在于计算的软件的开发中。软件自身的漏洞是信息安全的主要威胁。在进行信息化的过程中,应对所使用的软件进行甄别。在网络自身的应用过程中,网络是不会应为故障而影响到信息的传输,但是由于网络功能也是依附于计算机系统软件的使用,由于系统自身问题导致这些漏洞点更容易被攻击者所利用。除了网络自身和软件自身的问题,管理人员的选择也至关重要,在信息化过程中使用的大型软件,要求使用者能够根据说明使用软件,更加重要的是对软件进行必要的升级。在使用过程中,更应该注意用户名和和密码的保存,不应使用设备自身所默认的用户名和密码。
外部攻击带来的安全隐患,除了来自于外部的恶意攻击带来危害外,企业内部人员通过各种手段和外界勾结,造成的危害也不能忽视。企业内部人员由于能力参差不齐,造成的认为失误,比如造成信息的格式化、重要数据的丢失、垃圾邮件泛滥等情况。有一定技术能力的工作人员,可以修改指定的计算机程序,使得这种程序在指定时间运行造成大规模的计算机信息泄露。还有利用计算机网络后门进入企业信息计算机内部,以此来监视计算机系统的入侵行为。企业内部的人员,有些具有完全合法的访问计算机系统的权限,另外由于计算机网络的软件和硬件大都采用了专有公司的产品,这样以来一些厂商就拥有了对计算机网络访问的合法权限,还有一些特殊的人群比如警察、政府工作人员等也具有查询企业信息网络的权限,除了以上几种,还有拥有高端技术的黑客对计算机的入侵。
2、加强企业信息化数据库安全的几项措施
2.1、信息安全的重要性
就信息安全本身来说,信息安全是个系统性很强的整体工程,信息安全是需要在信息化实施的过程中,根据所面临的系统威胁、攻击、漏洞的形式的变化相应的做出变化的解决方案。企业信息系统在具体的安全措施上需要以下几个方面:计算机硬件的安全、计算机软件的安全、数据的保密性、数据的完整性、数据的可控性、数据的可审查性、数据的可用性、网络身份的人性、数据可靠的认定、防御外部攻击。
2.2、做好硬件的管理工作
企业机关信息部门的网管部门不仅应该做好局域网的日常维护工作,更加应该做好硬件的管理里工作。
2.2.1、物理隔离是做好安全隔离的第一步工作,网管部门的中心机房应该设置专用屏蔽措施,防止电磁泄漏,专业的防雷击、防静电处理措施必不可少,在国家和企业保密规定之下严格执行机房的建设,配套钥匙、数据库服务器等存放地点需要专人负责。在进行局域网的因特网连接时需要谨慎处理,核心部门譬如财务部门的局域网管理需要保证相对独立性。
2.2.2、硬件配置如核心服务器重点照看,确保安全。相对重要的硬盘光盘等存储设备需要进行登记保管,保密等级较高的需要备案并且上交密保部门。
2.2.3、网络终端设备使用安全也是硬件安全的一环,信息共享和办公自动化使得局域网终端计算机的使用需要避免串机使用,不能借记网络账号,确保专人专机,防止非本部门人员使用终端计算机。报废计算机和存储设备及时销毁。
2.2.4、防火墙系统是在不同网络或者处于不同网络安全区域之间的软硬件组合,能够决定哪些内部服务可以被外部访问,哪些服务可以由内部人员访问,因此它控制着网络的信息流,是安全策略(允许、拒绝、监测)的决定场所,可以为局域网提供良好的信息安全服务。(5)入侵监测系统部署。防火墙的盲区是无法阻止内部人员作案,采用入侵监测系统(IDS)可以与防火墙形成互补,采取证据记录等方式用于跟踪、恢复和断开网络连接等服务。
2.3、安全运维信息
安全运维体系的作用是在安全管理体系和安全技术体系的运行过程中,发现和纠正各类安全保障措施存在的问题和不足,保证它们稳定可靠运行,有效执行安全策略规定的目标和原则。当运行维护过程中发现目前的信息安全保障体系不能满足本单位信息化建设的需要时,应当制订新的安全保障体系建设规划,进而通过新一轮信息安全保障体系建设,使安全保障体系的保障能力得到全面提升。
2.4、数据备份和数据备份恢复策略
通过数据备份和数据备份恢复可以加强企业信息化中的数据库安全,企业的数据大都存储在计算机硬盘之中,也就面临着计算机最常见的问题,即因为发生一些故障问题导致数据丢失。计算机发生故障导致数据丢失的集中常见情况主要包括磁盘故障、电源故障、软件故障、灾害故障以及人为的破坏。无论是以上哪种情况的发生,都会使数据库中的信息丢失,因此企业必须采取积极和必要的措施以保征数据库系统能够在故障发生之后及时和准确的恢复到之前状态。数据库管理系统中的备份和恢复功能就是应对这种情况的常见措施,通常是将数据复制到本地机制上,也可以复制到其他机器上,以保证计算机出现故障后能将数据库系统还原到正常状态
2.5、做好软件的防护工作
登陆身份限制、登陆秘钥验证以及登陆 IP 限定等,这些入网条件是敌对分子进行截取的重要资源。严格的秘钥验证体系和定期的更换秘钥并且由专人管理是必不可少的措施。对超极权限用户的身份识别和验证要更加严格,必要时秘钥不停更换。条件允许可以采用生物特征识别等等智能识别技术。封存空余IP地址,并进行IP地址和Mac地址的绑定,不存在空闲 IP 地址的局域网能够有效地防止 IP 地址冲突引起的网络中断和随意登陆。启用杀毒软件检测所有计算机,并采取警告等措施强制没有安装杀入软件的计算机安装杀毒软件。同时,以交换式集线器替代共享式集线器使得单播包仅仅在连接节点之间传送、选择一个功能强大的杀毒软件,及时更新病毒库和杀毒软件版本和采用安全稳定、管理方便、适合企业的操作系统等手段是做好软件防护的必不可少的步骤。网络的隔离。不同网段之间的访问方式、访问形式可以由三层交换机之上的网络访问控制列表来进行限制。网络隔离能够提供如telnet、ping 和 ftp 等访问方式。网络的隔离同时也可以在二层交换机之上通过对于 VLAN 的隔离来实现。属性安全控制。可以防止用户对于文件的误删除操作,同时提供如执行修改、查看文件目录、显示正在写入数据和拷贝的文件,并提供查看隐藏文件、共享文件等功能。
3、结语
企业信息化改革的数据库安全问题是一个复杂而又多变的问题,不能简单通过某一技术或方案就能解决的了的,而是需要法律、管理和社会因素的配合,从多方面、全方位进行数据保护。做好数据库安全防护,必将为企业的信息化改革开拓更广泛的发展空间。
参考文献
[1]谢志宏.企业信息化建设中的信息安全问题研究[J].企业导报,2014,06:132+134.
[2]秦海峰.企业信息化建设中信息安全问题的分析研究[J].中国信息界,2012,05:61-62.
[3]张兴.浅谈企业信息化建设中信息安全保障[J].品牌(下半月),2014,09:42.
[4]査春霞.企业信息化数据安全评价指标体系研究[D].江苏科技大学,2010.