一、导致企业网络信息系统安全的问题探析
近些年随着企业网络信息的不断进步,企业的管理、营销等各个环节都需要依靠现代化的计算机系统完成。就目前情况看,企业在进行内部信息系统建立时,主要基于信息系统的高效性、便捷性和经济效益。当然,随着网络高科技犯罪的出现,企业内部的网络信息系统受到打击,怎样保护企业信息系统安全,成为企业管理系统建设的重要内容。总的来说,自世界经济一体化到来开始,企业也迎来发展上的春天。计算机作为一种高科技的企业发展武器,自其出现开始就以特有的便捷性、客观性、准确性俘获众多企业管理者。但受到我国国情、经济、现代化程度等多方面的影响,我国企业信息管理系统建立程度不高。
计算机系统安全性程度是否有所保证,已经成为企业正常运营与否的关键保证。但是在这样一个网络信息开放、资源倡导公平享有的年代,对网络安全的合理保障来说存在一定的难度,加上计算机性能不断发展、各类病毒也在悄悄兴起,严重危害企业信息管理系统正常运行发展。随时都会给企业网络系统造成威胁并带来难以控制的经济危害,甚至还会危及到国家、社会和各界的利益。近些年随着经济社会不断发展,企业间经济扩展和市场占有的局面加剧无形中都增加了企业遭受到现代化计算机技术的攻击,进而使企业内部信息管理系统处于危险状态,影响企业各项事业稳步运行。对于企业来说,一旦企业信息管理系统出现状况,就会使企业像无本之木一样,没有办法贯彻实行已经制定的发展战略。因此,本文将重点针对企业信息系统如何建立进行深入研究。
1.管理因素
企业信息管理因素分析,主要是针对企业信息管理人员或者是计算机操作中出现的错误。身为企业信息系统管理人员,其工作年限、是否在工作中全身心投入都会影响其在企业信息管理操作中的准确性。不熟练的技能也会对计算机性能或是数据造成损害,使之数据丢失或影响使用。另外,在企业内部管理出现之后,工作人员可能会对企业管理者某些做法不能理解,出现极端心理,进而做出一些伤害企业信息系统安全的行为,如破坏企业信息系统或者是盗取一些重要文件等,成为了企业信息网络安全防护中需要关注的重要环节。
此外,企业发展中涉及到了宣传、设计等成本,由于资金有限,对于内部信息系统的建立在资金上投入不足,影响了企业信息系统建立进展。无论是传统企业还是现代化企业,信息化系统的建立都是必然趋势。同时无论是终端销售还是电子互联网销售,都是离不开企业内部信息化系统建立的。对于企业信息系统建立,并不是单纯的购进先进设备,这只是单纯的硬件要求。另外,设备的日常维护还有相关信息系统建立以及工作人员专业素质等等都是企业信息系统建立过程中重要性的决定因素。
2.黑客及病毒
对黑客的理解是从国外发展过来的,是hacker一词演变过来的,其最开始出现是在上世纪的60年代,基于在一种爱好兴趣上进行计算机破译的人的统称。一般情况,hacher并不是以经济效益为目的,普遍是个人喜好。而现在对黑客的理解,指的是能够熟练运用并掌握难度高的电脑应用的人。目前对黑客的解释通常是电脑安全等信息的“侵略者”。黑客的分类一般有红客、蓝客、白客、灰客,其代表的含义也各有不同,另外需要将黑客和骇客进行区分,二者尽管只有一字之差,但代表意义有很大差别。
对计算机病毒的理解是指在计算机的固定模式中安装上对计算机有破坏性的或者是影响数据安全性,阻碍计算机正常运行或者能够拷贝计算机中相应命令的程序,具有极强的危害性、复制性和传染性。
二、企业网络信息系统安全防护措施
1.制度措施
对于制度上的防御肯定是要从完善相关的系统体系上进行的,预防一些不良用户在入侵到电脑后通过非法行为对电脑进行掌控或通过电脑进行其他的违法活动。这就要求企业信息管理者要在固定时间对电脑的运行环境进行监督检查,保证电脑系统体系安全和运行环境平稳发展。然后,要增强计算机用户对网络运行是否健康的识别能力,增强企业领导者和企业工作人员对网络安全重要性的提高,定期安排时间、地点对企业员工进行网络信息系统安全知识的普及。完善企业内部关于相关客户信息的健全工作,做好企业信息系统使用情况、登陆地点、时间等信息情况的记录工作。必要情况下可以健全内部网络日志,便于在发现可能出现危害网络安全行为的时候能够准确发出信息并采取必要的保护措施。对于企业来说,建立网络日志是其发展中最应该要注意的关键点,采用网络日志并进行安全性能实时监测,有利于避免因不安全因素带来的不良后果,增强企业网络使用者的安全认识。
2.技术措施
(1)建立网络安全预警系统
一般这种情况可以分为人为预警和病毒预警两个方面。在电脑中的重要位置安装上网络入侵监测体系,可以便于对电脑的技术和安全性在发展危害行为或改变。入侵监测体系还能通过设立在固定时间对制定要求的位置进行监督和控制,判断哪些系统是具有危害性的,但是防火墙还不能够准确判断的系统。主要针对的是从企业内部管理出现漏洞后对自身安全系统的“侵略”行为。而病毒预警系统通常是采用对企业内部网络的全部数据进行监督监控的行为,确保在一天每个时间段内都对数据包传送扫描一旦发展病毒就要马上进行危险信息提示,使得相关工作人员可以很快的通过定位查找的方法找到病毒的发出地。同时,在短时间内陆续产生通过快速扫描出来的网络日志和调查报告,为企业专业人员查找病毒具体来源提供便利条件。
(2)物理隔离
物理隔离,顾名思义,其含义在“隔离”二字上,是指企业内部的网络要同外面用户网络进行有效方法的隔离手段。这种手段一般有两种方法,一是路由器,通过采用路由器筛选掉可以定位的地址和相关服务。二是防火墙,防火墙是现代电脑中常常使用的一种保障电脑信息系统安全的软件,是安插在不同网络之间或安全范围间的一整套比较完整的模式,能够依照企业制定的安全战略部署进行监督控制进出网络中信息的安全软件。另外对于防火墙来说其本身就是有非常强的抵御攻击特性。所以,对于防火墙来说它是为企业信息安全提供保证的最基本的信息管理设施系统。
(3)访问控制
访问控制将网络整体分成了三方面,即内部网络、隔离区和外部网络。对于每个级别和对象的访问控制程度是不一样的,内部网络是基础性网络,只能够在内部进行使用,不允许外部人员通过任何方法和手段进行使用,也不会向外部进行任何服务的宣传,同时也不能够被定位,因此,要重点进行保护。隔离区属于一种对外服务,它将企业内部可以观看、正常使用的信息都放到隔离区上,外部人员可以进行观看了解,也为其提供相应服务。因此由于其开拓性的特征也使得成为企业信息管理系统建设的难点。但是由于隔离网的特征使其与内部网络之间是一种分离的关系,因此,即便隔离网受到威胁也不能危及到内部网络正常运行,是一种多方面对企业信息系统安全进行保护的手段。
三、维护计算机网络信息安全的措施
1.技术层面的对策
(1)建立安全管理制度
增强企业系统操作人员、负责用户的相关管理人员、专业知识储备人员专业的职业道德素质;对企业内部的信息管理部门,要时刻把握好计算机系统的不安全因素排查情况。另外,企业信息管理系统相关数据要进行拷贝,通过这样的方法进行网络系统安全保护也是最为切实可行的。
(2)网络访问控制
访问控制正如上面说到的一样,其实是负责网络安全防范和通知警报的重要手段之一。它的最主要的目标就是确保网络资源的正常使用,不能被一些试图破坏或者是非法获利人提供有机可乘的机会,也是保护网络信息安全的关键策略。对于访问控制来说其涵盖的内容比较广泛,一般有人网访问控制、网络权限访问控制等多个方式的访问渠道。
(3)数据库的备份与恢复
和众多的网络信息系统保护一样,企业内部信息系统数据库的备份,可以有效保障企业信息系统非法入侵后的系统恢复工作。备份是对数据库内容保护最为稳定和容易的一种方法。当不稳定因素发生的时候,能够保证企业网络信息的正常运行。而恢复的理解,就是在不限定因素发展之后利用网络技术的备份功能用来对数据库内容进行重新恢复并正常使用的功能。
(4)应用密码技术
这项技术属于企业网络信息安全的核心技术,通过采用密码的方式方法确保对相关信息和数据的保护。通过密码加密和身份验证的方法也能够保证在出现网络信息安全问题时能够以最快的时间找到相关责任人。密码技术通常采用的是古典密码、公钥密码、数字签名等多种密码形式。
2.物理安全层面的对策
为了确保电脑网络信息系统在安定、平稳、客观的条件下发展,就必须要切实使系统有一个相对安全的物理背景下进行发展。这样的背景就是指企业网络的所在地,即机房和其他基础设施,通常由以下几个因素构成:
(1)计算机系统的环境条件
计算机系统的安定环境,其主要的构成要件有温度、适度、空气清新程度、有无蚊虫、通风效果、抗震能力、受磁场干扰与否等多方面要件构成,对于计算机的所处环境要求也是最为严格的。
(2)机房场地环境的选择
计算机系统选择一个适合自己的安装场地是非常有必要的。因为这对其安全性能、技术使用、实际操作都起着极为关键的作用。对于计算机机房场地要求,一方面要关注外部环境是否安全、地理上是否有保证、供电量是否有保证、周边有无强大的电磁波影响等等。另外还要注意其周边的人员、企业是否安全或是否存在不稳定因素。
(3)机房的安全防护
机房的安全防护是对环境中可能出现的物力灾害和未经企业同意就给机房重地带来严重破坏、损害其周围网络基础设施、重要数据丢失而带来的不安全因素的主要保障。对机房建立要遵循:第一,要设立严格的访问用户判断制度,即对用户进行身份上的确认;第二,来到机房重地的人一定要严格限定其活动区域和对机房设施严格把控管理;第三,要在计算机系统中心设备外建立健全多层安全信息防护圈,预防可能有人出现非法的暴力入侵事件;第四,设备所在地的建筑物应该同样具有抵抗各种自然灾害的防护措施。
四、结论
近些年,企业信息系统安全的问题越来越受到更多人的关注,具体的讲述,企业信息系统安全一方面涉及到的是技术,另一方面涉及到的是安全。信息安全建设是一个困难严格的系统建设项目,无论是在个人观念上还是实际发展情况上都要进行改变、革新、管理,与现代化技术等相互结合才能完成企业信息系统在常态中发展。所以,在设计和制定企业信息安全的时候要充分考虑到安全问题,以此为依据制定相关发展规划和制度。从目前发展进程上看绝对安全的信息系统是不可能有的,所以,在电子信息化发展中,对信息系统安全性能健全完善具有重要意义。
本文针对目前我国企业网络信息系统建立问题进行分析后虽提出了在某些方面的改进意见和大体构想,但缺乏更为详实的设计和例证,另外对本课题有关资料相关研究还比较匮乏,同时由于本人的研究能力和水平较有限,以期在今后研究中完善补充。
参考文献:
[1]石宇楠.企业信息系统安全中员工行为影响因素研究[D].重庆:重庆大学,2012.
[2]洪丹.浅谈企业信息系统的安全问题与防范措施[J].科技创新导报,2009(03).
[3]柴文光.基于数据挖掘的信息系统风险评估体系框架研究[D].武汉:武汉大学,2009.
来源:商场现代化 2014年31期
作者:鲁威