企業信息系統安全管理的分析研究

孫仕云 黃海軍

?

企業信息系統安全管理的分析研究

孫仕云 黃海軍

云南工商學院，云南 昆明 650000

信息系統和技術已經成為當下各個領域不可或缺并賴以生存的基礎性建設。但是，信息技術在企業中運用不斷發展的同時，其相應的安全及管理問題也日益突出，其主要表現為系統漏洞、網絡安全、權限控制、數據安全、管理漏洞等，這些風險就會對企業的信息系統安全帶來巨大的隱患。基于此，就企業信息系統安全管理進行了分析和研究。

系統安全管理；信息系統；信息安全；安全風險評估

1 信息系統安全風險評估分析

信息系統安全評估主要采用以下幾種典型的風險評估方法。（1）事件樹分析：是一種邏輯演繹法，它在給定的一個初因事件的前提下分析此事件可能導致的各種事件序列的結果，可用于找出一種實效引起的后果或各種不同的后果，提高業務影響分析的全面性和系統性。（2）層次分析法：是一種多指標綜合評價方法。首先將相互關聯、相互制約的因素按它們之間的隸屬關系排成若干層次，再利用數學方法，對各因素層排序，最后對排序結果進行分析。特點是減少了主觀因素中的影響，需求解判斷矩陣的最大特征根以及對應的特征向量。適用于為決策者提供定量形式的決策依據。（3）BP神經網絡：是一種按誤差逆向傳播算法訓練的多層前饋網絡，具有自學習能力，能夠實現輸入和輸出之間的復雜非線性關系。缺點是風險因素的權值確定較難，優點是有自學能力，問題抽象化，適用于事故預測和方案擇優。（4）故障樹分析：通過對可能造成系統危險的各種初始因素進行分析，畫出故障樹，計算整體風險發生概率。特點是簡明形象，邏輯關系復雜，適用于找出各種實效事件之間的關系。以上分析法各有其優缺點，可以根據信息系統的具體情況，有機組合使用這些方法，評估結果精度更高[1]。

2 信息系統安需求分析

根據信息系統安全的整體結構來看，信息系統安全可從五個層面：物理、網絡、主機系統、應用系統和數據對系統進行保護，因此，技術類安全要求也相應的分為五個層面上的安全需求：（1）物理層面安全要求，主要是從外界環境、基礎設施、運行硬件、介質等方面為信息系統的安全運行提供基本的后臺支持和保證。（2）網絡層面安全要求，為信息系統能夠在安全的網絡環境中運行提供支持，確保網絡系統安全運行，提供有效的網絡服務。（3）主機層面安全要求，在物理、網絡層面安全的情況下，提供安全的操作系統和安全的數據庫管理系統，以實現操作系統和數據庫管理系統的安全運行。（4）應用層面安全要求，在物理、網絡、系統等層面安全的支持下，實現用戶安全需求所確定的安全目標。（5）數據及備份恢復層面安全要求，全面關注信息系統中存儲、傳輸、處理等過程的數據的安全性，能夠解決數據容災等問題。（6）安全管理制度，在信息系統安全中，主要參與者是人，對人的管理包括法律、法規與政策的約束、安全指南的幫助、安全意識的提高、安全技能的培訓等，這些都是以完備的安全管理政策和制度為前提[2]。

3 信息系統安全風險管理策略

3.1 基礎策略

（1）實體安全措施，就是采取保護計算機設備、設施（含網絡、通信設備）以及其他媒體等，避免地震、水災、火災、和其他環境事故（如電磁污染）破壞的措施過程。（2）運行安全措施，為保障整個系統功能的安全實現，需要一套完整的安全措施來保護信息處理過程的安全，其中包括：風險分析、審計跟蹤，備份恢復、應急等。（3）數據安全措施，數據是信息的基礎，是企業信息系統的核心資源。信息管理的任務和目的是通過對數據采集、錄入、存儲、加工，傳遞等數據流動的各個環節進行精心組織和嚴格控制，確保數據的準確性、完整性、及時性、安全性、適用性和共享性。（4）規章制度措施，制定良好的信息安全規章制度是最有效的技術手段，并且不僅僅是規章制度，還應把技術資料、業務應用數據和應用軟件包括進去。

3.2 網絡安全策略

如今，企業信息系統基本都屬于網絡結構系統，所以對于網絡的安全管理就顯得很重要，相關安全管理措施有：（1）網絡分段，由于局域網采用以交換機為中心、路由器為邊界的網絡格局，又基于中心交換機的訪問控制功能和三層交換功能 ，綜合應用物理分段與邏輯分段兩種方法，來實現對局域網的安全控制，其目的就是將非法用戶與敏感的網絡資源相互隔離，從而防止可能的非法偵聽，這是一重要的措施。（2）以交換式集線器代替共享式集線器，由于部分網絡最終用戶的接入是通過分支集線器而不是交換機，而使用最廣泛的分支集線器通常是共享式集線器。這樣，當用戶與主機進行數據通信時，兩臺設備之間的數據包還是會被同一臺集線器上的其他用戶所偵聽，所以應采用交換式集線器代替共享式集線器來解決類似問題。（3）加密技術的運用，加密技術的基本思想是不依賴于網絡中數據通道的安全性來實現網絡系統的安全，而是通過對網絡數據的加密來保障網絡的安全可靠性。

3.3 服務器端安全策略

在B/S系統結構中S端的重要性是顯而易見的，解決系統服務器端的安全措施有：（1）內核級透明代理，與傳統的B/S安全模式不同，解決方法為，每個數據庫應用只建立一個真正的數據庫帳號，它具有對系統應用所涉及的所有數據實體進行操作的全部權限。這種安全體系使得應用系統成為數據庫的代理用戶，而應用系統的所有操作人員（包括系統管理員）則是數據庫的間接用戶。（2）增強的用戶授權機制，由于在這種安全體系中，應用系統成為隔離用戶和數據庫的防火墻，其本身就必須具有相當的安全特性。此外，為了增加系統安全管理的靈活性，授權管理模塊還可以對屬于某一等級用戶的權限作進一步限制，達到所有權限均可任意組合的效果。（3）智能型日志，通過智能型日志，可自動找出可能存在的不安全因素，并實時觸發相應的警告，信息以及時通知系統管理員及用戶。例如對潛在非法攻擊檢查、單帳號多用戶檢查、非工作時間操作檢查等。（4）完善的備份及恢復機制，雖然日志能記錄任何非法操作，然而要真正使系統從災難中恢復出來，還需要一套完善的備份方案及恢復機制為了防止存儲設備的異常損壞和數據丟失問題。

信息安全風險管理是企業信息化工作的關鍵，管理的整個過程要從企業整體業務需求及發展需要出發，各個環節都應具體化細致化。從而，為企業開展信息化建設提供有力的安全保障。

[1]孫成林，尚利.對信息系統管理中信息安全風險評估研究[J].現代電子技術，2015（1）：87-89.

[2]郭振宇.信息系統安全風險管理工具的設計與實現[D].北京：北京工業大學，2015.

The Analysis and Research of the Enterprise Information System Security Management

Sun Shiyun Huang Haijun

Industrial and commercial college of yunnan Kunming，Yunnan Kunming 650000

Information systems and technology has become the essential and fundamental to the survival of every field construction.Information technology in the enterprise, however, the use of continuous development at the same time, its corresponding safety and management issues are also increasingly prominent, the main performance for system vulnerabilities, network security, access control, data security, loopholes in management rules, etc., these risks will bring great hidden trouble for enterprise information system security.In this paper, the study on analysis and enterprise information system security management.

system security management; Information system; Information security; Safety risk assessment;

X92

A

1009-6434（2017）04-0108-02