當(dāng)前位置:工程項目OA系統(tǒng) > 泛普各地 > 重慶OA系統(tǒng) > 重慶OA信息化
如何研究建立企業(yè)信息系統(tǒng)安全策略
信息系統(tǒng)的安全問題已經(jīng)喊了許多年。人們對這個問題的關(guān)注度究竟如何?又有多少個單位建立了應(yīng)有的對策?策略是否合適?帶著這個問題,我和一些朋友作了交流,也實地走訪了一些單位。結(jié)論是:時至今日,仍有不少朋友對此缺乏了解,不僅沒有建立安全策略,甚至對如何研究建立這一策略,也是知之不多。
耐人尋味的“安全課”
9月1日,全國中小學(xué)生步入校園,開始了新學(xué)年的校園生活。新學(xué)年有兩個新氣象,一是安全課開講。開學(xué)伊始,億萬中小學(xué)師生和家長一同收看央視播出的《開學(xué)第一課》“知識守護生命”節(jié)目。節(jié)目通過孩子們喜聞樂見的形式,教授學(xué)生如何避險、自救和救助他人。開學(xué)這天,安全教育成為全國中小學(xué)最為關(guān)注的話題。二是體育課多了。以北京為例,增加體育課程成為首都中小學(xué)新學(xué)年的最大亮點。各區(qū)縣都要求學(xué)校把以往“零散”、“非正規(guī)”的體育活動“轉(zhuǎn)正”為正式的體育課,列入課程表中,每天都要上一節(jié)體育課。在重慶等地,中小學(xué)生的體育課的課時也明顯增加了。
新學(xué)期開辦“兩課”意義深遠。 這次教育不僅是對學(xué)生,也是對廣大公眾的一次珍視生命、規(guī)避風(fēng)險的知識普及。肆虐的冰雪災(zāi)害,汶川大地震,接踵而至的自然災(zāi)害,給我們帶來巨大的生命和財產(chǎn)損失,也提醒我們早作準(zhǔn)備,珍視健康、護衛(wèi)生命。
現(xiàn)實社會存在風(fēng)險,由信息和信息系統(tǒng)搭建的虛擬社會同樣存在風(fēng)險,我們在規(guī)劃、建設(shè)和應(yīng)用信息系統(tǒng)的時候,也要具備風(fēng)險意識,建立安全策略。還要強化日常的抗風(fēng)險“鍛煉”,使信息系統(tǒng)的體魄更加健壯,發(fā)揮應(yīng)有的經(jīng)濟社會效益。
系統(tǒng)風(fēng)險如影隨形
今年8月26日,美國聯(lián)邦航空局向外界透露,該局一個航班排序中心的電腦系統(tǒng)當(dāng)天下午因故障而癱瘓,導(dǎo)致全國20多個機場出現(xiàn)航班延誤。此前,黑客攻陷美國國家安全部門信息系統(tǒng),造成損失的報道屢見報端。類似事件在我國也有發(fā)生。某銀行的信息終端出現(xiàn)問題,客戶非法提現(xiàn),最終招致一場轟動全國的訴訟案件。2006年7月26日,我國某國際機場離港系統(tǒng)突然整體癱瘓,無法給旅客辦理登機手續(xù)。由此造成數(shù)十架次航班延誤,數(shù)千人滯留機場。統(tǒng)計數(shù)據(jù)表明,近年來,涉及信息系統(tǒng)的違法犯罪活動在中國不斷攀升,黑客的攻擊手法更是花樣翻新。層出不窮的這類事件和事故,都在向我們昭示,信息系統(tǒng)風(fēng)險無時無處不在,加強安全防范,構(gòu)筑安全堤壩已經(jīng)是刻不容緩。
計算機信息系統(tǒng)面臨的幾大威脅
計算機信息系統(tǒng)由多種設(shè)備、設(shè)施構(gòu)成,因為種種原因,其面臨的威脅是多方面的??傮w而言,這些威脅可以歸結(jié)為3大類,一是對信息系統(tǒng)設(shè)備的威脅,二是對業(yè)務(wù)處理過程的威脅,三是對數(shù)據(jù)的威脅。因為信息系統(tǒng)與人們的現(xiàn)實經(jīng)濟生活關(guān)系日益密切,這些威脅,或早或晚、或大或小,都會轉(zhuǎn)化為對人們現(xiàn)實經(jīng)濟生活的威脅。
要加強計算機信息系統(tǒng)的安全防范,就要研究上述威脅,查擺影響系統(tǒng)安全的因素。這些因素有哪些呢?
一是計算機信息系統(tǒng)軟硬件的內(nèi)在缺陷。這些缺陷不僅直接造成系統(tǒng)停擺,還會為一些人為的惡意攻擊提供機會。最典型的例子就是微軟的操作系統(tǒng)。相當(dāng)比例的惡意攻擊就是利用微軟的操作系統(tǒng)缺陷設(shè)計和展開的,一些病毒、木馬也是盯住其破綻興風(fēng)作浪。由此造成的損失實難估量。應(yīng)用軟件的缺陷也可能造成計算機信息系統(tǒng)的故障,降低系統(tǒng)安全性能。
二是惡意攻擊。攻擊的種類有多種,有的是對硬件設(shè)施的干擾或破壞,有的是對數(shù)據(jù)的攻擊,有的是對應(yīng)用的攻擊。前者,有可能導(dǎo)致計算機信息系統(tǒng)的硬件一過性或永久性故障或損壞。對數(shù)據(jù)的攻擊可破壞數(shù)據(jù)的有效性和完整性,也可能導(dǎo)致敏感數(shù)據(jù)的泄漏、濫用。對應(yīng)用的攻擊會導(dǎo)致系統(tǒng)運行效率的下降,嚴(yán)重者會會導(dǎo)致應(yīng)用異常甚至中斷。
三是使用不當(dāng)。如誤操作,關(guān)鍵數(shù)據(jù)采集質(zhì)量存在缺陷,系統(tǒng)管理員安全配置不當(dāng),用戶安全意識不強,用戶口令選擇不慎甚至多個角色共用一個用戶口令,等等。因為使用不當(dāng)導(dǎo)致系統(tǒng)安全性能下降甚至系統(tǒng)異常、停車的事件也有報道。
四是自然災(zāi)害。對計算機信息系統(tǒng)安全構(gòu)成嚴(yán)重威脅的災(zāi)害主要有雷電、鼠害、火災(zāi)、水災(zāi)、地震等各種自然災(zāi)害。此外,停電、盜竊、違章施工也對計算機信息系統(tǒng)安全構(gòu)成現(xiàn)實威脅。
安全策略助力安全
計算機信息系統(tǒng)安全保護工作的任務(wù),就是不斷發(fā)現(xiàn)、堵塞系統(tǒng)安全漏洞,預(yù)防、發(fā)現(xiàn)、制止利用或者針對系統(tǒng)進行的不法活動,預(yù)防、處置各種安全事件和事故,提高系統(tǒng)安全系數(shù),確保計算機信息系統(tǒng)安全可用。要實現(xiàn)上述任務(wù),需要結(jié)合各單位、各項業(yè)務(wù)及其計算機信息系統(tǒng)實際,研究制訂6個方面的安全策略。
•物理安全
旨在保護計算機服務(wù)器、數(shù)據(jù)存貯、系統(tǒng)終端、網(wǎng)絡(luò)交換等硬件設(shè)備免受自然災(zāi)害、人為破壞,確保其安全可用。制定物理安全策略,要重點關(guān)注存放計算機服務(wù)器、數(shù)據(jù)存貯設(shè)備、核心網(wǎng)絡(luò)交換設(shè)備的機房的安全防范。其選址與規(guī)劃建設(shè)要遵循GB 9361 計算機場地安全要求和GB2887 計算機場地技術(shù)條件,保證恒溫、恒濕,防雷、防水、防火、防鼠、防磁、防靜電,加裝防盜報警裝置,提供良好的接地和供電環(huán)境,要為核心設(shè)備配置與其功耗相匹配的穩(wěn)壓及UPS不間斷電源。
根據(jù)計算機信息系統(tǒng)應(yīng)用需求,要兼顧系統(tǒng)的可靠性和經(jīng)濟性,設(shè)計和配備必要的冗余設(shè)備。對那些可靠性要求高的系統(tǒng),可考慮采用服務(wù)器主機雙機熱備、磁盤陣列,甚至配備備用網(wǎng)絡(luò),建立異地容災(zāi)備份中心。中小企事業(yè)單位的一些信息系統(tǒng),也可考慮以較少的投入,實現(xiàn)冗余設(shè)計。筆者就曾在西部某地一個政府部門見到,機房里閑置著一臺PC服務(wù)器,系統(tǒng)管理員介紹說:這臺PC服務(wù)器安裝了一套信息系統(tǒng),數(shù)據(jù)定時更新。當(dāng)主機出現(xiàn)故障時,他只需簡單切換,就可實現(xiàn)系統(tǒng)的恢復(fù),這樣也為主機維修提供了時間。
加強計算機硬件設(shè)備的日常檢查也很必要,可惜,因其相當(dāng)繁瑣,往往容易被人忽視。筆者曾經(jīng)走訪一些單位,發(fā)現(xiàn)其機房在新啟用時還算整齊、潔凈,日子一長,設(shè)備和器具擺放、各類線纜走向日趨零亂,因為維護不力,UPS電源等設(shè)備成了擺設(shè),甚至蓬頭垢面。以這樣的管理水平,系統(tǒng)安全實在堪憂。
•網(wǎng)絡(luò)安全
旨在防范和抵御網(wǎng)絡(luò)資源可能受到的攻擊,保證網(wǎng)絡(luò)資源不被非法使用和訪問,保護網(wǎng)內(nèi)流轉(zhuǎn)的數(shù)據(jù)安全。
訪問控制是維護網(wǎng)絡(luò)安全、保護網(wǎng)絡(luò)資源的重要手段,是網(wǎng)絡(luò)安全核心策略之一。訪問控制包括入網(wǎng)訪問控制、網(wǎng)絡(luò)授權(quán)控制、目錄級安全控制、屬性安全控制、網(wǎng)絡(luò)服務(wù)器安全控制、網(wǎng)絡(luò)監(jiān)測和鎖定控制、網(wǎng)絡(luò)端口和節(jié)點的安全控制以及防火墻控制。安全檢查(身份認證)、內(nèi)容檢查也是保護網(wǎng)絡(luò)安全的有效措施。
在加強訪問控制的同時,可考慮對網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)進行加密。網(wǎng)絡(luò)加密手段包括鏈路加密、端點加密和節(jié)點加密,鏈路加密是保護網(wǎng)絡(luò)節(jié)點之間的鏈路數(shù)據(jù)安全,端到端加密是對從源端用戶到目的端用戶之間傳輸?shù)臄?shù)據(jù)提供保護,節(jié)點加密是對源節(jié)點到目的節(jié)點之間的傳輸鏈路提供保護。數(shù)字認證在一定程度上保證了網(wǎng)上交易信息的安全。
•數(shù)據(jù)安全
旨在防止數(shù)據(jù)被偶然的或故意的非法泄露、變更、破壞,或是被非法識別和控制,以確保數(shù)據(jù)完整、保密、可用。數(shù)據(jù)安全包括數(shù)據(jù)的存儲安全和傳輸安全兩個方面。
數(shù)據(jù)的存儲安全系指數(shù)據(jù)存放狀態(tài)下的安全,包括是否會被非法調(diào)用等,可借助數(shù)據(jù)異地容災(zāi)備份、密文存儲、設(shè)置訪問權(quán)限、身份識別、局部隔離等策略提高安全防范水平。
•軟件安全
旨在防止由于軟件質(zhì)量缺陷或安全漏洞使信息系統(tǒng)被非法控制,或使之性能下降、拒絕服務(wù)、停機。軟件安全策略分為系統(tǒng)軟件安全策略和應(yīng)用軟件安全策略兩類。
系統(tǒng)軟件包括操作系統(tǒng)和數(shù)據(jù)庫軟件。當(dāng)前,主流操作系統(tǒng)軟件均存在漏洞,在設(shè)計信息系統(tǒng)時,選用相對成熟、穩(wěn)定和安全的系統(tǒng)軟件固然重要,更重要的是保持與其提供商的密切接觸,通過其官方網(wǎng)站或合法渠道,密切關(guān)注其漏洞及補丁發(fā)布情況,爭取“第一時間”下載補丁軟件,彌補不足。
無論是通用的應(yīng)用軟件,還是量身定做的應(yīng)用軟件,都存在安全風(fēng)險。對前者,可參照前款作法,通過加強與軟件提供商的溝通,及時發(fā)現(xiàn)、堵塞安全漏洞。對后者,可考慮優(yōu)選通過質(zhì)量控制體系認證、富有行業(yè)軟件開發(fā)和市場推廣經(jīng)驗的軟件公司,加強軟件開發(fā)質(zhì)量控制,加強容錯設(shè)計,安排較長時間的試運行等策略,以規(guī)避風(fēng)險,提高安全防范水平。
•系統(tǒng)管理
旨在加強計算機信息系統(tǒng)運行管理,提高系統(tǒng)安全性、可靠性。俗話說,“三分建設(shè),七分管理”,要確保系統(tǒng)穩(wěn)健運行,減少惡意攻擊、各類故障帶來的負面效應(yīng),有必要建立行之有效的系統(tǒng)運行維護機制和相關(guān)制度。比如,建立健全中心機房管理制度,信息設(shè)備操作使用規(guī)程,信息系統(tǒng)維護制度,網(wǎng)絡(luò)通訊管理制度,應(yīng)急響應(yīng)制度,等等。
要根據(jù)分工,落實系統(tǒng)使用與運行維護工作責(zé)任制。要加強對相關(guān)人員的培訓(xùn)和安全教育,減少因為誤操作給系統(tǒng)安全帶來的沖擊。要妥善保存系統(tǒng)運行、維護資料,做好相關(guān)記錄,要定期組織應(yīng)急演練,以備不時之需。
信息系統(tǒng)相對復(fù)雜的用戶、對信息系統(tǒng)依存度較高的用戶,與系統(tǒng)集成商簽訂系統(tǒng)服務(wù)外包合同,由其提供專業(yè)化的、一攬子安全護航服務(wù),是個不錯的策略。近年來,筆者所在行業(yè),已經(jīng)有越來越多的單位采用這一安全策略,既有效保障了系統(tǒng)安全,又節(jié)省了資金和人力資源投入,收效良好。
•災(zāi)難恢復(fù)
墨菲定理說,會出錯的事總會出錯,如果你擔(dān)心某種情況發(fā)生,那么它就更有可能發(fā)生。這個定理用到信息系統(tǒng)安全上,就是“再穩(wěn)健的系統(tǒng)也會出問題?!边@時候,我們老祖宗的那句話就派上了用場:凡事予則立,不予則廢。我們得趁著系統(tǒng)還在運行的時候,制定一個災(zāi)難恢復(fù)計劃,將災(zāi)難帶來的損失降低到最小,這也許是系統(tǒng)安全保障的最后一個策略。這個策略說起來比較復(fù)雜,容日后專門表述,這里只提幾點原則意見,即根據(jù)本單位及信息系統(tǒng)的實際情況,研究系統(tǒng)遇到災(zāi)害后對業(yè)務(wù)的影響,設(shè)計災(zāi)后業(yè)務(wù)切換辦法,定期備份數(shù)據(jù),根據(jù)災(zāi)難類型,制訂災(zāi)難恢復(fù)流程,建立災(zāi)難預(yù)警、觸發(fā)、響應(yīng)機制,組織相關(guān)培訓(xùn)和練習(xí),適時升級和維護災(zāi)難恢復(fù)計劃,等等。(IT168)
- 1數(shù)據(jù)中心綜合布線五個熱點問題
- 2OA辦公自動化軟件的集團項目信息管理
- 3分析企業(yè)防火墻構(gòu)建的誤區(qū)和實施策略
- 4服務(wù)器和存儲 實現(xiàn)虛擬化最大優(yōu)勢
- 5SDN成IDC云化“催化劑”
- 6獨家:四大關(guān)鍵詞捕捉網(wǎng)絡(luò)通信技術(shù)趨勢
- 7OA軟件與企業(yè)客戶的分工明細說明
- 8Headcall強勢軟件 遠程協(xié)同辦公輕而易舉
- 9做學(xué)校OA系統(tǒng)的,里面涉及到老師的課件、教學(xué)
- 10協(xié)同辦公 科學(xué)管理
- 11Windows Server 2008 賬號安全設(shè)置五大技巧
- 12萬戶網(wǎng)絡(luò)協(xié)同辦公平臺
- 13調(diào)查:靜態(tài)數(shù)據(jù)造成高成本主存儲的浪費
- 14賽門鐵克公布9月垃圾郵件現(xiàn)狀報告
- 15中國人民保險協(xié)同辦公應(yīng)用建高效管理體系
- 16商務(wù)協(xié)同將是網(wǎng)絡(luò)協(xié)同辦公的發(fā)展趨勢
- 17協(xié)同辦公OA軟件系統(tǒng)技術(shù)路線分水嶺形成
- 18社交網(wǎng)絡(luò)成主流或?qū)⑷〈鷤鹘y(tǒng)協(xié)同辦公軟件
- 19怎么選擇OA服務(wù)器
- 20協(xié)同管理系統(tǒng)的公司公告、新聞介紹
- 21虛擬化和云計算的那些秘密
- 22泛普軟件OA辦公系統(tǒng)提供雙機熱備方案
- 23虛擬化存儲技術(shù)的發(fā)展及未來趨勢
- 24協(xié)同OA系統(tǒng)之知識共享與積累
- 25如何把云計算引進到企業(yè)運營中去?
- 26二進制:企業(yè)應(yīng)選擇有功能亮點的實用OA
- 27協(xié)同辦公助東昌集團實現(xiàn)管理創(chuàng)新
- 28云計算存在四大問題 阻礙企業(yè)應(yīng)用
- 29分析:虛擬化的安全到底怎么樣
- 30CIO關(guān)注:如何才能普及協(xié)同辦公
成都公司:成都市成華區(qū)建設(shè)南路160號1層9號
重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務(wù)大廈18樓