◆乔世妮

(广西南南铝加工有限公司 广西 530031)

0 引言

企业信息系统的安全性直接关系到企业运营的稳定性和战略性。企业信息系统中所包含的企业邮箱系统关系到内部信息的保护，电子采购系统关系到企业招投标体系的安全性，合同系统则关系到企业的商业机密，进而影响到企业的战略发展。因此，加强企业信息系统的安全性是值得现代企业重点关注和研究的问题。鉴于此，本文对企业信息系统安全体系结构的思考具有重要的价值。

1 企业信息系统安全体系结构发展现状

1.1 企业信息系统安全构成因素

安全体系结构是对企业信息系统安全服务功能的整体概括，体系中既包括规范信息系统操作的各项安全体制，也包含各个系统间信息元素的交换条件。具体而言，企业信息系统安全构成因素主要表现在以下几个方面：身份认证。一般采用公钥或私钥机制等方法识别应用程序和服务客户端的过程，可以有效识别出信息的发出位置和交互对象的身份。在实际操作过程中，身份认证的设置比较简单，可以应用在很多的子系统当中。但是，值得警惕的是，这种设置方式也会受到被破译的风险；通过访问控制形式赋予实体权限，可以识别出实体的对应身份；信息系统中设置了可记录所有数据包的审计体系，通过分析可以及时发现涉足系统的可疑行为，并可进一步定位到攻击对象所采用的攻击手段，进而采取针对性保护举措；采用信息加密、防窃听和物理保密等技术手段对重要的机密信息进行保密设置，可以有效保障网路信息的安全性；采用密码校验、数字签名和安全协议等方式杜绝任何形式的修改、伪造和删除，保持信息的完整性；信息系统应该在任何情况下均能保持其可用性，发挥出基本的信息服务功能。以上六种要素是安全体系结构的核心组成，各个要素要相互依存，密切配合，才能够确保信息系统的安全性，提高数据信息传输的可靠性。

1.2 企业信息系统安全性与企业运营发展间的关系

企业信息系统中最基本也是最重要的子系统包括传达内部信息和各项决定的邮箱系统，关系到企业招投标安全性的电子采购系统以及与企业稳定运营和健康发展息息相关的合同系统等。当电子采购系统被攻击，招投标信息被恶意更改后将会影响到企业决策的可靠性。当企业的合同系统被破坏，企业的商业交易行为被暴漏以后，企业不仅面临巨额赔偿，也会进一步影响到企业的名誉，使其丧失持续发展的动力。当企业的技术系统和数据系统被攻克以后，企业将面临赤字甚至倒闭的风险。由此可见，企业信息系统的安全性直接关系到企业运营的稳定性和发展的持续性。处于伟大的信息时代，企业大力推行信息化建设的同时，也应该不断强化信息系统建设的安全性。只有安全防护措施到位，才能够使信息系统的功能得以表达，信息化建设的价值得以体现。

1.3 企业信息系统安全体系结构中存在的问题

目前，企业信息系统安全体系结构中存在的突出问题主要表现在三个方面：首先，缺乏完整的安全体系建设框架，不能满足企业信息系统的安全需求。其次，黑客技术不断强大，加密技术有待升级。最后，安全防护缺少针对性，对一些关系到企业稳定运营和健康发展的子系统没有进行多重保护。

2 优化企业信息系统安全体系结构的对策

2.1 构建完善的企业信息系统安全体系结构模型

完善的企业信息系统安全体系结构模型中应该包含企业信息系统安全需求、安全技术支持平台、基础安全服务设施、安全管理保障体制和响应与恢复机制五部分。其中，企业信息系统的安全需求就是指上文中论述的企业安全的构成要素，即完整性、保密性、可用性、可靠性和可控性。在构建信息系统安全体系结构模型时应该充分考虑到信息系统的安全需求，以需求为出发点，有目的的采取防护措施。

安全技术支持平台是保障企业信息系统安全性的核心元素，将众多安全防护技术，例如防火墙、网络行为管理和防泄密安全策略等结合在一起，共同保障网络环境的安全性和稳定性。此外，安全技术支持平台还是提供安全技术服务和威胁解决方案的源头。在安全技术支持平台的作用下，各项安全防护策略的实施均可以得到有效的管控。值得注意的是，若安全技术支持平台被攻击，信息安全将失去根本保障。基础安全服务设施主要发挥基础性作用，其应用价值主要体现在通过建立物理安全、应用安全和病毒防范等措施为信息系统营造一个安全可靠的网络运行环境，进而为后续防护行为奠定基础。

安全管理保障体系是直接影响企业信息系统安全的重要环节，尽管安全技术支持平台已经提供了全面的安全技术服务，基础安全服务设施已经建立了稳定可靠的网络环境。但是，如果安全管理保障体系中采用的管理方式不当，依然会使上述举措失效，信息系统仍然会面临巨大的安全风险。因此，安全管理保障体系的建设是十分关键的。在建设过程中，要合理设置安全管理等级，确定安全管理范围，并结合系统的报警提示给与可行的应急举措，建立完善的维护制度。此外，还应该注意的是，安全管理保障体系的运营对相关人员的专业素质要求较高。因此，企业应该特聘专业的技术人员进行安全管理体系的运营。

响应与恢复机制也是信息系统安全体系结构中不可或缺的重要组成部分。一方面当系统遭遇攻击或破坏时，系统要通过提示音或其它方式作出响应，目的是发出系统被攻击的可快速识别的信号。另一方面，在响应时间内，如果没有及时制止恶意侵害行为，应该保证系统信息具有自动恢复的功能，将风险降低到最小。响应与恢复机制是保护企业信息系统安全性的最后一道屏障，应该加大建设力度，提供前沿技术支持，保证其功能的表达。

2.2 优化企业信息系统安全模型，完善安全策略

信息系统的安全性最终还是要通过各种安全服务策略进行支持和保障。因此，优化升级各种安全模型，完善安全策略是十分必要的举措。在计算机安全的发展中，信息系统安全模型在逐步的实践中发生变化。由一开始的静态的系统安全模型逐渐过渡到动态的安全模型，例如P2DR模型，集合了策略、保护、检测和响应等安全防护环节。其中，入侵检测技术的应用使得系统安全性得到了进一步的保障。通过漏洞扫描工具，定期检测系统的脆弱性，可以及时解决系统中存在的隐患，采取针对性防护措施，将威胁降低到可控区间。此外，通过部署监控产品，设置监控规则与策略也能够实时监控网络行为，提高信息系统整体的安全性也是十分必要的举措。

企业信息系统是一个相互联系，相互作用的密集网络群，当其中任意一个子系统受到攻击以后，都可能引发企业核心机密信息的泄露。因此，对每一个子系统都应该采取完善的防护措施，

并逐步实现信息系统安全的精细化管理，深入研究精细化安全管理方案，避免在管理过程中存在漏洞。

3 结论

综上所述，企业信息系统安全体系结构的构建要以企业信息系统安全需求、安全技术支持平台、基础安全服务设施、安全管理保障体制和响应与恢复机制为基础，不断提出新的安全策略，引入先进的安全管理模式，进而实现企业信息系统安全的精细化管理。企业信息系统的安全性直接关系到企业运营发展的稳定性，因此，企业领导应该加强对信息系统安全体系结构建设的关注。

[1]唐俊，赵晓娟，贾逸龙.企业信息系统安全体系结构的研究[J].微计算机信息，2010.

[2]张帆.企业信息系统安全体系结构研究[A].中国煤炭学会煤矿自动化专业委员会.煤矿自动化与信息化——第19届全国煤矿自动化与信息化学术会议暨中国矿业大学（北京）百年校庆学术会议论文集，2009.

[3]陈戈.企业信息化程度和安全需求水平的研究及两者关系模型的探索[D].重庆大学，2004.