淺談企業信息系統的運行與維護

王璐

摘 要：網絡技術日益成熟的今天，信息化管理無處不在，優化信息系統是當前企業提升管理科學水平的一個重大課題。文章從信息系統的運行與維護的關鍵控制點存在的風險出發提出相應的控制措施。

關鍵詞：信息系統；風險；措施

網絡技術日益成熟的今天，信息化管理無處不在，優化信息系統是當前企業提升管理科學水平的一個重大課題。提高信息系統的運行與維護水平，是提升企業管理活動的重中之重，關系到整個企業的生死存亡，所以加強信息系統的運行與維護有著重要的意義。

一、系統的運行維護

1.系統運行維護存在的風險

（1）網絡管理制度不健全，管理不科學，日常維護不及時。沒有完善網絡系統安全規章制度帶來的風險，導致企業信息系統出錯。

（2）系統運行維護和安全措施不到位，導致信息泄露和毀損，沒有規范操作流程和故障處理流程，造成人為失誤與故障。

（3）缺乏科學合理的責任追究機制，由于工作態度、工作作風等各種人為因素導致的系統數據未能定期備份等等。

（4）由于市場變化、政策法規變化，硬件、軟件的更新引起的變化，使系統不能正常運行。對信息不加以特別保護，使信息容易被非法修改、刪除、轉移和偽造。

2.系統運行維護的措施

（1）在企業中信息操作系統一定要安裝防火墻、數字簽名與認證、入侵檢測等，采用隔離控制、訪問控制、信息加密和審計跟蹤，確保信息系統的安全性。

（2）當系統出現意外時對系統運行要做好記錄。利用密碼技術對信息進行交換，實現信息隱蔽，有效保護信息的安全不受侵犯并同時對重要數據加密。

（3）在日常管理與維護中，管理員定期對各種設備進行保養、故障的診斷、排除易耗品的更換與安裝等。配備專業人員負責處理信息系統運行中的突發事件，必要時和軟硬件供應商共同解決。

（4）建立和健全操作管理、系統文檔管理和數據管理等各項管理制度，保護計算機硬件、軟件的安全。

（5）建立定期維護軟件制度，定期評估應用軟件系統平臺的性能、功能缺陷，對網絡軟件中的安全缺口及時修補、操作系統升級，及時和開發商溝通消除應用系統可能存在的安全隱患和威脅、根據需求更新或變更系統功能。

（6）定期評估系統平臺的性能，制定系統故障處理應急預案，及時消除故障隱患，保障信息系統的安全、穩定、持續運行。

二、系統運行的安全管理

1.安全管理的風險

（1）硬件方面，設備缺乏保護措施和存在管理漏洞。給計算機供電不平衡，空調系統對計算機的溫度、濕度等不適合。操作人員不按規定的程序使用硬件設備，故意破壞計算機硬件、致使系統運行中斷或毀滅，對硬件系統造成極大的破壞。

（2）業務部門信息安全意識薄弱，信息傳輸線路不安全、存儲保護技術有弱點及使用管理不嚴格等。

（3）黑客的惡意攻擊行為對企業網絡進行破壞與盜竊。對系統程序的缺陷或漏洞安全防護不夠，不法分子利用木馬、病毒、間諜軟件等非法方式對企業網絡進行破壞或盜用企業數據。

（4）安全技術不足，管理設備松散、員工安全意識淡薄等問題滋長病毒、蠕蟲、木馬等的危害，嚴重時有可能造成整個企業網絡的癱瘓，導致系統運行不穩定甚至癱瘓。

（5）在技術上有缺陷。網絡硬件、軟件產品大多數都是依靠進口，這些軟件大多都存在隱患，再加上人類認知能力和技術發展的有限性，都可能造成網絡的安全問題。

2.安全管理的控制措施

（1）企業應當建立信息系統的管理制度，不單純是數據，把技術資料、業務應用數據和應用軟件也包括進去，來保證硬件和網絡設備的安全。

（2）企業應成立專門的信息系統安全管理機構，對企業的信息安全作出總體規劃和全方位嚴格管理，同時建立信息系統安全保密制度和泄密責任追究制度。提高企業員工安全保密意識，對重要崗位員工進行信息系統安全保密培訓。

（3）企業應當按照國家相關法律法規以及信息安全技術標準，制定信息系統安全實施細則。從安全管理上，建立和完善安全管理規范和機制，切實加強和落實安全管理制度，增強安全防范意識；進行全面安全分析制定防范措施和解決方案；正確配置網絡病毒軟件、入侵檢測系統，建立安全認證系統采用相應技術手段保證信息系統運行安全有序。

（4）結合國家政策法規，企業性質和規章制度的基礎上，從安全生產方面看：分出安全級別；從資產安全的需求看：分出安全級別需求。關于計算機設備，定期進行檢查。利用技術手段，對硬件配置調整、軟件參數修改嚴加控制，防止員工擅自安裝、卸載軟件或者改變軟件系統配置。

（5）企業應當采取安裝安全軟件等措施防范信息系統受到病毒等惡意軟件的感染和破壞。系統管理員必須跟蹤有關操作系統漏洞的發布，及時下載補丁進行防范，經常對關鍵數據和文件進行備份和妥善保存，經常觀察系統文件的變化情況。關于網絡應用，要綜合利用防火墻、路由器等網絡設備加強網絡安全，嚴密防范來自互聯網的黑客攻擊和非法侵入。

（6）對計算機定時殺毒，對外來不明軟盤，要經過嚴格的病毒監測。網絡設備落實到人，責任人對于計算機的系統登陸必須設置帳號密碼，嚴格控制非使用人員使用計算機。計算機操作人員不得隨意在各終端及局域網上安裝任何與工作無關的軟件程序。系統數據定期備份明確備份范圍、責任人、存放地點等。數據正本與備份應分別存放于不同地點，防止因火災、水災、地震等事故產生不利影響。同時定期評估數據的安全性、可靠性和完整性，并制定數據通信應急處理預案。

（7）企業應當建立信息系統開發、運行與維護等環節的制度。操作系統應用越多，相應的軟件漏洞也會隨之增多，惡意攻擊者會對操作系統進行各種攻擊，定期評估病毒影響，制定病毒保護和恢復策略，通過安裝軟件補丁有效地提高系統受到攻擊的風險，提高系統防御能力。endprint