企业管理信息系统安全性探讨

作者：孙玮　　评论：　更新日期：2014年07月19日

3、前企业管理信息系统的安全性建设存在的问题
当前我国很多企业都建立了管理信息系统，但是不可否认一些企业管理信息系统的安全性建设还存在不少问题，几乎很少有企业能够从管理的角度以及人员管理的角度来进行管理信息系统安全建设。下面笔者以北京xx公司为例就当前企业管理信息系统的安全性建设存在问题作一番说明。北京xx公司成立于1998年，注册资本文伍百万元人民币，目前有员工200人，主要从事房屋装修业务。该公司2001年进行了信息化建设，并建立了自己的网站，网站成立6年来，多次发生网络瘫痪事件，曾经给公司造成了很大的损失。
分析公司造成损失的原因，我们可以发现该公司管理信息系统的安全建设存在以下问题：
3．1.管理
往往由于管理手段不到位，导致先进的技术无法发挥应有的效能。企业管理信息系统安全问题的解决需要技术，但又不能单纯依靠技术，信息化的过程其实是人与技术相互融合的过程，如何使管理与技术相得益彰十分重要。安全是一个交互的过程，“三分技术，七分管理”阐述了企业管理信息系统安全的本质。
3.2.体上、有计划地考虑企业管理信息系统安全问题
企业各部门、各下属机构也存在“各自为政”的局面，缺少统一规划、设计和管理。企业管理信息系统安全强调的是整体上的管理信息安全性，而不仅是某一个部门或公司的管理信息安全。而各部门又确实存在个体差异，对于不同业务领域来说，管理信息安全具有不同的涵义和特征，企业管理信息系统安全保障体系的战略性必须涵盖各部门和各下属机构的管理信息安全保障体系的相关内容。
3.3.层对企业管理信息系统安全的认识不够
企业管理高层对企业管理信息系统安全的认识不够，缺少信息安全管理配套的人力、物力和财力。人才是管理信息安全保障工作的关键。管理信息安全保障工作的专业性、技术性很强，没有一批业务能力强，且具有信息网络知识、信息安全技术、法律知识和管理能力的复合型人才和专门人才，就不可能做好信息安全保障工作。应该从信息安全建设和管理对信息安全人才的实际需求出发，加快信息安全人才的培养。
3.4.工的管理信息安全教育不够
员工的管理信息安全意识薄弱，90%的安全事故是由于人为疏忽所造成。如:有些企业不限制内部人员使用高科技信息载体(U盘、移动硬盘等)，以及笔记本电脑等移动办公设备。缺少管理信息安全的监督审计机制，导致安全项目实施完后无法发挥长期效能，安全策略无法持续性改进。缺少监督审计，就会使得管理制度流于形式，变得空洞。必须建立安全审计机制，定期对安全制度和安全策略进行审计，对安全管理工作进行核查，找出安全管理中的问题和漏洞，并制定相应的解决方案进行安全加固。
缺少完整的信息安全策略，信息安全管理没有形成标准和规范，没有形成一套体系。为了更好地加强和规范计算机信息安全工作，还需要进行更加细致和系统的工作，通过引进国际先进的安全管理方法和理念ISMS (Information security Management System)，帮助企业根据自身特点建立起适合于业务发展的信息安全管理系统。
从原因上来看，我国企业管理信息系统安全性建设存在上述问题，主要在于人们对网络安全问题认识上的缺陷。通常人们将网络作为一项纯粹的工程来实施，缺乏统一的安全管理策略和专门的网络维护人员，另外，企业缺乏应有的信息保密知识，被动的使用一些技术措施来进行防御，因此，在信息管理过程中出现的突发性事件往往造成很大的经济损失。现实中没有一个系统是完美的，不安全因素随时存在。因此，安全措施必须渗透到系统的每一个环节中的同时，最重要的是要渗透到企业的每一个层面中。从管理人的角度来建设和提高企业管理信息系统安全。
4、高企业管理信息系统的安全性的措施探讨
企业管理信息系统安全性建设是一项系统工程，不仅涉及到组织架构、信息技术、人员素质等各个方面，还牵扯到国家法律和商业规则。从管理角度探讨企业管理信息系统安全则认为企业管理信息系统安全本身含义是多样化的。企业内部存在着诸多影响信息安全的因素;改变IT系统不等于改变企业的管理信息系统安全管理，要使企业的管理信息尽可能的安全，必须在技术投入的基础上融入人在管理方面的智慧;同时，不仅要防外，更要防内，即对组织内部人员的管理。因为，除了网上黑客入侵和犯罪、网上病毒泛滥和蔓延、信息间谍的潜入和窃密、网络恐怖集团的攻击和破坏以外，内部人员的违规和违法操作同样是企业管理信息系统安全的一大隐患。
针对存在的问题，笔者认为可以从以下几个方面来进一步加强企业管理信息系统安全建设。
4.1.安全防范意识
现在许多企业没有意识到互联网的易受攻击性，盲目相信国外的加密软件，对于系统的访问权限和密钥缺乏有力度的管理。这样的企业管理信息系统一旦受到攻击将变得十分脆弱，其中的机密数据得不到应有的保护。尤其是某些企业信息管理员甚至认为其公司规模较小，不会成为黑客的攻击目标，如此态度，企业管理信息系统安全更是无从谈起。只有提高网络安全防范意识，才能有效的减少信息安全事故的发生。
4.2.信息安全管理组织体系
一个完整的企业管理信息系统安全管理体系首先应建立完善的组织体系。即建立由行政领导、IT技术主管、信息安全主管、本系统用户代表和安全顾问组成的安全决策机构。其职责是建立管理框架，组织审批安全策略、安全管理制度，指派安全角色，分配安全职责，并检查安全职责是否已被正确履行，核准新信息处理设施的启用、组织安全管理专题会等。还应建立由网络管理员、系统管理员、安全管理员、用户管理员等组成的安全执行机构。该机构负责起草网络系统的安全策略、执行批准后的安全策略、日常的安全运行和维护、定期的培训和安全检查等。
4.3.企业管理信息安全需求的信息安全策略
安全执行机构应根据本企业管理信息系统安全的实际情况制定相应的信息安全策略，策略中应明确安全的定义、目标、范围和管理责任，并制定安全策略的实施细则;安全策略文档要由安全决策机构审查、批准，并发布和传达给所有的人:安全策略还应由安全决策机构定期进行有效性审查和评估;在发生重大的安全事故、发现新的脆弱性、组织体系或技术上发生变更时，应重新进行安全策略的审查和评估。
4.4.安全的管理和培训
参与企业管理信息系统的管理人员在很大程度上支配着企业管理信息系统的命运，因而，加强对有关人员的管理变得十分重要。
4.4.1.人员鉴别;
别内容应包括:个人品质和个人业绩的审查，申请人履历的核查(针对完整性和准确性);专业资格证书的证实;身份证件核查(身份证或护照)等。人员录用或人员职位调整时，一般要签署保密协议。当人员到期离开或协议到期、工作终止时，要审查保密协议。
4.4.2. 对有关人员进行上岗培训，建立人员培训计划，定期组织安全策略和规程方面的培训。
培训内容包括:安全要求、岗位职责、业务控制、事故报告规程和事故响应规程以及如何正确使用信息处理设施等;
4.4.3落实工作责任制，在岗位职责中明确本岗位执行安全政策的常规职责和本岗位保护特定资产、执行特定安全过程或活动的特别职责，对违反网上交易安全规定的人员要进行及时的处理。
4.4.4. 管理信息分类并实行等级安全保护。
根据信息的性质和重要程度划分为三级:A级，机密信息，实行强制安全保护;B级，内部信息，实行自主安全保护:C级，公共信息，实行一般安全保护。
结语
企业信息安全管理工作需要形成体系，才能保证信息安全管理的规范和长效。而建立一个有效的企业信息安全管理体系首先需要在好的企业信息安全管理的基础上，要制定出相关的管理策略和规章制度，然后才是在安全产品的帮助下搭建起整个架构，在运行过程中还需要根据变化的环境不断改进，并将这种改进写入信息安全管理方法及策略中。
当然，由于企业信息安全系统设计到很多方面的问题，本身也是一个复杂系统，因此完善企业信息安全系统仍然需要做出很大努力。由于本人水平以及资料收集问题，本文还有一些需要进一步探讨的地方。比如如何结合具体的企业进行具体的新息安全设计以及出现了安全事故如何进一步采取措施来减少损失等等，都需要进一步加以探讨。笔者今后仍将进一步关注企业信息安全系统建设。