企业管理信息系统安全性分析及对策引论在全球经济一体化的背景下,一个企业是否可以在竞争中处于优势地位,取决于它是否具有面向客户、反应及时、自动研习、共享资源、成本控制的先进作业系统。
由于信息技术和互联网的大范围普及,如何建设一个安全高效的企业信息管理系统是企业管理者正面临的一项新的严峻的挑战。
我们都希望我们的网络系统可以更加安全可靠地运行,但是事实并非总如我们所愿,由于网络信息传输量的急速增加,一些机构和部门的上网数据会遭到不法分子不同程度的破坏。
网络攻击者能够窃取网络上的信息,盗取口令、私自修改数据库内容,散播计算机病毒等。
在信息系统越来越网络化、全球化、开放化的今天,如果企业管理者不能很好的考虑到这些问题不把这些问题提高一定的高度来解决,信息安全问题势必会困扰每一个管理者,可能会危及到网络环境下企业的经济安全,严重的威胁到数据的安全性和自身的利益。
因此保证网络的安全性、可靠性是网络正常运转的基础和条件,从而可以更好地为企事业单位提供服务。
1 企业管理信息系统的安全性含义及目标管理信息系统(Management Information System,简称MIS)是一个人-机系统,它涵盖了企业中主要的业务部门。
它与企业的管理活动密切相关,与企业的管理方式、经营观念有关,服务于企业的最终目标。
MIS的目的是通过企业改进管理方式、改善和提高管理水平,进而提高企业的经济效益、推进企业管理现代化、增强企业的环境适应能力。
1.1 企业管理信息系统的安全性的内涵MIS 是一个由人、计算机等组成的能进行信息收集、传递、储存、加工、维护和使用的系统。
能够实测企业的各种运行情况,利用过去的数据预测未来,从全局出发帮助企业做出决策,利用掌握的信息控制企业的行为,帮助企业实现其规划目标[1]。
也就是说它可以给企业提供准确及时的信息并帮助企业做出科学决策和控制、合理利用企业现有资源、增强企业应变能力、提高企业竞争力和增加经济效益,使企业管理方式从经验管理到科学管理,实现科学的管理思想和先进的管理手段的完美结合。
根据保护目标的要求和环境的状况,信息安全是信息网络和信息系统的硬件、软件、设备和数据受到可靠地保护,通信、访问等操作得到有效的保障和合理的控制,不会由于偶然或恶意的原因使系统遭到破坏,数据遭到更改或泄露,从而保证系统可以正常运转,网络服务不被中止。
信息安全涉及的安全问题主要包括如下内容:1.1.1 系统运行的安全系统运行的安全主要指保护信息处理和通信系统的安全。
保证系统正常运行,避免由于系统崩溃和软硬件损坏造成的不良后果如系统数据存储、处理异常和传输信息丢失,破坏和损失,因为系统物理的不安全会造成的系统运行的不正常或瘫痪,用户的误操作也会影响系统正常运行,目前很多手机软件在运行过程中会出现系统故障,如闪退,自动关机,停止运行等等。
1.1.2 访问权限和系统信息资源保护对网络中的各种软件和硬件资源进行访问控制,防止没有被授权的用户进行不合法访问。
口令设置、身份识别、端口控制等技术来实现对用户访问权限的控制。
系统信息资源保护技术有身份验证技术、用户口令识别技术、用户存取权限控制技术、数据库存取权限控制技术、数据加密、数据备份等。
1.1.3 信息内容安全信息内容安全主要表现在保护信息内容。
传播过程中的后果安全以及信息过滤安全等都是信息内容安全的主要内容,可以防止和控制非法和有害的信息在传播后酿成的严重后果。
系统中存在一些漏洞,在还没有打补丁之前,一些不法攻击者利用这些系统漏洞进行损害其他合法用户的利益,窃听、篡改、拦截别人的信息等。
1.1.4 作业和交易安全作业和交易安全指网络中相互通信的两个实体之间信息的真实性、完整性、保密性和不可否认性,保证信息在通信过程的安全性。
保障作业和交易安全的技术包括数据加密、身份验证、数字签名等,其中居于核心地位的是加密技术的应用。
1.1.5 人员和规章制度安全保障通常是在组织的内部出现信息安全事故,所以人员的管理和相应的规章制度的制定是保证信息系统安全不可缺少的一部分。
因此需要在人员管理方面建立可操作的管理安全防范体系,建立人人遵守的规章制度从而保障信息的安全。
1.1.6 安全体系的整体防范和应急反应功能建立系统的安全防范体系,从整体上保障信息系统的安全,对可能出现的安全隐患和破坏做好事先的预防工作,对已经出现的灾难、意外的损害做到及时有效的补救。
1.2 企业管理信息系统的安全性目标分析在网络层次方面,把网络系统设计成一个安全网络,从而可以支持个别用户或大量用户。
保证系统内部安全的同时,也可以安全地联接到互联网或国内其他网络,满足各种用户的需求,比如:个人通话保密性和完整性,企业计算机系统的安全性,数据库不被非法访问和破坏,系统不被病毒侵犯,也能防止网络上的各种有害信息传播等。
保证网络信息安全的技术主要有一下几个方面:①采用多层防护手段,降低信息受到侵扰和破坏的可能性。
②提供有效使检测非法使用和非法初始进入点的手段,这样就可以核查、跟踪侵入者。
③提供一些有效手段,能够及时恢复破坏的数据和系统,尽量使损失降到最低。
④提供查获侵入者的手段,在入侵者进入系统之前及时将其拦截。
1.3 提高企业管理信息系统的安全性常用技术MIS是以计算机和数据通信网络为基础的应用管理系统,它是一个开发式的互联网系统,没有采取安全保密措施,与网络连接的任何终端用户都可以方便的进入或者访问网络中的资源。
从目前的情况看,管理信息系统已经广泛地应用于各个部门,在给经济管理及人际交往都带来极大方便的同时,也为那些利用计算机信息系统进行各种犯罪提供了很大的可能。
网络非法盗用、故意破坏或错误操作,计算机病毒、黑客攻击无一不威胁着管理信息系统的安全性,所以做好管理信息系统的安全保障工作,有助于提高整个社会信息化水平。
当前,为了保障信息系统的安全,企业所采用的技术主要包括从以下几个方面。
1.3.1 网络加密技术为了保障信息安全,人们最常用的保密手段是加密技术,利用一些密码算法对重要数据进行转化使之变为不知道解密算法的人无法获知信息内容的乱码数据(加密过程)进行传送,到达目的地后再用与发送方相同或不同的密码算法对数据进行解密。
这样可以很大程度上保证信息在传输过程中的安全,所以经常使用网络信息加密来保护传输的数据、文件、口令和控制信息等。
链路加密、端到端加密和节点加密是网络加密常用的三种方法。
介绍一个简单的公开密钥加密算法的实现过程如下图:图1-1公开密钥加密算法的实现过程1.3.2 防火墙加密技术防火墙可以实现内网外网的隔离与访问控制,是保护内部网络安全的重要措施之一,包括分组过滤和应用代理。
防火墙可以监控进出网络的数据信息,对流经它的网络通信进行扫描,滤掉一些不安全信息,抵制对内部构成的威胁的数据。
防火墙的主要功能是限制易受攻击的服务进入内部网络,对网络存取和访问进行监控审计,防范特洛伊木马,过滤不安全服务和非法用户,限定访问特殊站点等。
防火墙的主要技术类型包括网络级数据包过滤器和应用级代理服务器[4]。
应用级防火墙实现过程如下图:图1-2应用级防火墙实现过程1.3.3 身份验证技术用户为了向系统证明自己合法身份需要进行身份验证。
建立安全通信环境的前提条件就是通信双方相互确认对方身份,这是审计记录和授权访问等服务的基础,因此在保证网络信息安全方面具有很重要的位置。
系统为了查核用户身份证明也需要进行身份识别。
如上网时需要输入账号和密码,只有账号密码相符该用户才有权利获取网络信息。
上面两个过程可以对通信双方是否具有真实身份做出判断。
拨号上网、主机登录、远程访问等都涉及身份验证技术的应用。
口令验证、数字证书认证是比较常用的身份验证方式。
数字证书身份认证原理如下:图1-3 数字证书身份认证原理1.3.4 系统备份技术系统备份技术的目的在于,当系统运行出现故障时,尽可能恢复计算机系统运行所需要的数据和系统信息,在管理信息系统出现硬件故障或人为失误时,备份技术不仅可以保护管理信息系统和保证数据的完整性,防止未被授权的入侵者进行访问、攻击及破坏,也是系统发生故障进行灾难恢复的前提之一。
2 网络安全应具备的功能及影响信息系统安全的主要因素2.1 网络安全应具备的功能2.1.1 用户的标识与鉴别企业信息管理系统中的每个用户都有一个唯一的用户名称用以区别于其他用户,在安全子系统中记为User ID。
所有合法用户的User ID都登记在应用系统用户登记表中。
出于对系统用户进行规范化管理的需要,用户名对系统管理员,数据库管理员,功能模块管理员来说应该是公开的。
为了正确鉴别系统用户,系统允许每个用户拥有自己的用户口令,在安全子系统中,记作User Password. 用户的User Password只能由用户自己来管理,其他任何用户包括应用系统管理员,数据库管理员,功能模块管理员都不得对其进行查询或修改。
当一个用户要访问应用系统时必须提供正确的User ID和User Password,User ID用来对其进行标识,User Password用来验证本名称用户的真实性。
2.1.2 权限管理企业信息管理系统的权限管理采用了分权管理的策略,由应用系统管理员负责管理整个应用系统的用户,可以动态增加和删除系统用户;但不能为某个高级权利相对集中于系统管理员,减少系统管理员无意或有意摧毁系统或窃取系统机密的可能性。
应用系统管理员管理整个应用系统的用户,是通过系统管理员程序实现的,为防止破坏安全库数据的一致性,他不能直接操纵系统安全库。
正因为如此安全库中的很多数据都是经过加密后的形式存放的系统管理员程序是一个独立的功能模块,只有系统管理员菜有权使用。
它有两个功能:新建系统用户,删除系统用户。
其中新建一个系统用户就是往应用系统用户登记表和用户访问权限控制中增加一条记录,而且增加的新用户的属性域必须是系统已经存在的域不能是其他的域。
删除一个系统用户就是删除应用系统用户登录表和用户访问权限控制表中对于该用户的记录。
模块管理员管理访问该模块的所有用户,是通过模块管理员函数实现的,通过该函数,模块管理员可以增加,删除、修改访问相应模块及其各子功能的用户,并可调整模块的安全属性。
2.1.3 用户登录与身份验证一个用户进入企业信息管理系统时的身份验证可以准确识别用户的身份,获取合法用户对系统各功能的访问权限以及当前系统各功能的安全属性,屏蔽非法用户,当用户成功登录后,用户的访问权限和相应模块的安全属性就已经记录在安全库中,以后该用户要访问该模块中任一有安全性要求的功能时,就可以根据安全库中的信息进行严格的访问控制,另外欧诺个户访问有安全保密要求的对用户可见的分功能时,必须再次经过权限验证。
2.2 影响信息系统安全的主要因素1 设计系统的不规范、不合理以及缺乏安全性考虑。