企业信息系统安全问题与应对方式
2018-02-27柳志权
柳志权
摘要
文章首先简要分析了企业信息系统的安全问题,在此基础上提出应对企业信息系统安全问题的有效方式。期望通过本文的研究能够对企业信息系统安全性的提升有所帮助。
【关键词】企业 信息系统 安全
目前,国内大部分企业纷纷建立了属于自己的信息系统,由此对企业的发展起到了一定的助推作用。然而,所有的信息系统全部都是依托计算机网络进行构建,如果系统存在安全问题,将会使企业的重要信息泄露或丢失,由此会给企业带来无法挽回的损失。为了解决这一问题,企业必须采取合理可行的应对方式,提升信息系统的安全性。借此,本文就企业信息系统安全问题与应对方式展开探寻。
1 企业信息系统的安全问题分析
在网络信息时代到来的今天,推动了企业的发展速度,为了在激烈的市场竞争中利于不败之地,很多企业都加快了信息化的建设进程,也都构建起了相应的信息系统。由于我国对信息系统的研究起步较晚,加之企业在建设信息系统时,对安全方面的考虑不够周全,致使信息系统存在很多安全问题,其中较为普遍且具有代表性的有以下几个方面:
(1)信息系统中的设备分布范围较大,并且设备的种类较为繁杂,由此给管理人员的工作增添了一定的难度,也给安全问题得发生埋下了隐患。
(2)很多终端用户的信息安全意识不高,这样一来在对信息系统进行操作时,可能会使系统的安全受到来自于外部网络及不法分子的威胁,一旦信息系统中的重要信息外泄,将会给企业带来无法弥补的损失。
(3)信息系统的管理人员日常需要进行很多工作,如检查系统的运行情况、对各种软件程序进行更新等等,因这些常规占用了管理人员大部分的时间,同时还花费了很大的精力,致使他们无暇去对用户的行为进行监督管理,缺乏监管的用户给信息系统安全带来了一定的隐患。
(4)信息系统是依托计算机网络进行构建的,操作系统基本上都是Win7,由于系统本身存在缺陷或漏洞,从而给系统的安全造成威胁。
2 应对企业信息系统安全问题的有效方式
为了有效解决企业信息系统存在的安全问题,就必须采取有效方式加以应对,只有这样,才能使信息系统始终保持稳定运行,也才能使系统中重要信息的安全性得到最大程度地保障。采用数据加密技术可对需要保密的信息进行隐藏,从而达到保护信息安全的目的。经过加密处理的数据,只有经过授权的用户才能读取,而未经授权的用户无法看到其中的内容,由此可使企业信息系统的重要信息得到安全保障。通常情况下,没有经过加密处理的信息被称之为明文,运用数据加密技术后,可将明文转换成不可直接读取的密文,加密函数以密钥作为基本参数,加密过程实质上就是将明文转变为密文的过程,而解密就是借助密钥将密文重新转化为明文。在数据加密技术中,密钥是关键性因素,它的生成与分配是该技术应用的重点。目前,在信息系统加密中,常用的数据加密方法有两种,一种是置换密码,另一种是代换密码。
2.1 运用数据加密技术
在企业信息系统中,所有重要的信息都是数据的形式被存储在计算机数据库当中,并且信息的传递也是通过数据传输来完成。如果有不法分子利用一些技术手段,对这些数据进行截获,则会给企业造成严重的损失。数据加密技术是目前保证信息系统安全中最为有效的方法之一,其除了能够对传输中的数据进行有效地保护,而且还可以对存储在数据库中的信息进行保护。近年来,随着技术的不断发展,使得加密算法变得越来越复杂,随之出现了对称加密和非对称加密两种技术。企业在进行选择时,应担结合信息系统的具体情况,或者可以将两种加密技术结合应用,这样可以达到更佳的效果。
2.2 应用防火墙技术
防火墙是计算机网络中保护系统安全最为有效的技术措施之一,之所以称其为防火墙,是因为它可以在企业的内网与外网之间构建起一道屏障,对来自于外网的信息进行过滤,保护内网的数据安全。目前应用的防火墙技术大部分都是依托网络体系结构实现的,不同的体系结构可实现不同类型的防火墙,如包过滤防火墙,这是基于网络层的一种类型,传输级网关则是基于传输层的一种类型。比较常见的防火墙体系结构有以下几种:堡垒主机过滤、双宿主主机、应用层网关等。网络级的防火墙通过路由器的使用以及包过滤技术,可达到提高网络系统安全性的目的。企业在选择防火墙技术作为信息系统的安全防护措施时,除了要对防火墙本身的安全性予以充分考虑之外,还应当结合信息系统的安全需求,选择具有更多安全保护功能的防火墙,如病毒扫描、IP地址转换等等。除此之外,以防火墙作为信息系统的网路安全工具时,应当同时满足以下几个要求:能够對整个网络的安全性进行有效保护;可以弥补其它操作系统的不足;能为使用者提供可选的平台;必须有完善的售后服务保障。
2.3 采用入侵检测技术
企业可将入侵检测作为信息系统安全防护的第二道屏障,该技术能够对系统的运行情况进行监视,并对用户及系统活动进行分析,同时,还能审计系统的构造及缺陷,对进攻的行为进行识别,并做出快速反应。在入侵检测技术中,HIDS可在被加密和交换的环境中应用,其能够对特定的系统活动进行实时监视,还能进行检测和应答,并且无需额外配置硬件。可检测出并未成功的攻击行为,且攻击者很难对证据进行证据。
3 结论
综上所述,企业的信息系统中存储着大量重要的信息,一旦丢失会给企业带来巨大的损失,严重时可能会使企业面临倒闭的风险。因此,必须对企业信息系统中存在的问题进行分析,并采取科学合理、行之有效的方法和措施加以应对,从而最大限度地提升信息系统的安全性,这对于促进企业健康、稳定、持续发展具有重要的现实意义。在未来一段时期,应当加大对信息系统安全技术方面的研究力度,除对现有的安全技术进行改进和完善之外,该应研发新的技术,从而使其更好地为企业信息系统的安全服务。
参考文献
[1]张延春.探索企业的信息系统安全管理[J].信息与电脑(理论版),2013(11):77-78.
[2]侯梅芳,冯梅.企业信息系统安全风险管理的实践探索[J].信息系统工程,2017(01):60-61.
[3]姚远,肖应霖,谈向东.信息安全风险管理在企业访问控制管理中的应用研究[J].信息网络安全,2012(12):77-79.