孫仕云 黃海軍

?

企業(yè)信息系統(tǒng)安全管理的分析研究

孫仕云 黃海軍

云南工商學(xué)院，云南 昆明 650000

信息系統(tǒng)和技術(shù)已經(jīng)成為當(dāng)下各個領(lǐng)域不可或缺并賴以生存的基礎(chǔ)性建設(shè)。但是，信息技術(shù)在企業(yè)中運用不斷發(fā)展的同時，其相應(yīng)的安全及管理問題也日益突出，其主要表現(xiàn)為系統(tǒng)漏洞、網(wǎng)絡(luò)安全、權(quán)限控制、數(shù)據(jù)安全、管理漏洞等，這些風(fēng)險就會對企業(yè)的信息系統(tǒng)安全帶來巨大的隱患?；诖耍推髽I(yè)信息系統(tǒng)安全管理進行了分析和研究。

系統(tǒng)安全管理；信息系統(tǒng)；信息安全；安全風(fēng)險評估

1 信息系統(tǒng)安全風(fēng)險評估分析

信息系統(tǒng)安全評估主要采用以下幾種典型的風(fēng)險評估方法。（1）事件樹分析：是一種邏輯演繹法，它在給定的一個初因事件的前提下分析此事件可能導(dǎo)致的各種事件序列的結(jié)果，可用于找出一種實效引起的后果或各種不同的后果，提高業(yè)務(wù)影響分析的全面性和系統(tǒng)性。（2）層次分析法：是一種多指標綜合評價方法。首先將相互關(guān)聯(lián)、相互制約的因素按它們之間的隸屬關(guān)系排成若干層次，再利用數(shù)學(xué)方法，對各因素層排序，最后對排序結(jié)果進行分析。特點是減少了主觀因素中的影響，需求解判斷矩陣的最大特征根以及對應(yīng)的特征向量。適用于為決策者提供定量形式的決策依據(jù)。（3）BP神經(jīng)網(wǎng)絡(luò)：是一種按誤差逆向傳播算法訓(xùn)練的多層前饋網(wǎng)絡(luò)，具有自學(xué)習(xí)能力，能夠?qū)崿F(xiàn)輸入和輸出之間的復(fù)雜非線性關(guān)系。缺點是風(fēng)險因素的權(quán)值確定較難，優(yōu)點是有自學(xué)能力，問題抽象化，適用于事故預(yù)測和方案擇優(yōu)。（4）故障樹分析：通過對可能造成系統(tǒng)危險的各種初始因素進行分析，畫出故障樹，計算整體風(fēng)險發(fā)生概率。特點是簡明形象，邏輯關(guān)系復(fù)雜，適用于找出各種實效事件之間的關(guān)系。以上分析法各有其優(yōu)缺點，可以根據(jù)信息系統(tǒng)的具體情況，有機組合使用這些方法，評估結(jié)果精度更高[1]。

2 信息系統(tǒng)安需求分析

根據(jù)信息系統(tǒng)安全的整體結(jié)構(gòu)來看，信息系統(tǒng)安全可從五個層面：物理、網(wǎng)絡(luò)、主機系統(tǒng)、應(yīng)用系統(tǒng)和數(shù)據(jù)對系統(tǒng)進行保護，因此，技術(shù)類安全要求也相應(yīng)的分為五個層面上的安全需求：（1）物理層面安全要求，主要是從外界環(huán)境、基礎(chǔ)設(shè)施、運行硬件、介質(zhì)等方面為信息系統(tǒng)的安全運行提供基本的后臺支持和保證。（2）網(wǎng)絡(luò)層面安全要求，為信息系統(tǒng)能夠在安全的網(wǎng)絡(luò)環(huán)境中運行提供支持，確保網(wǎng)絡(luò)系統(tǒng)安全運行，提供有效的網(wǎng)絡(luò)服務(wù)。（3）主機層面安全要求，在物理、網(wǎng)絡(luò)層面安全的情況下，提供安全的操作系統(tǒng)和安全的數(shù)據(jù)庫管理系統(tǒng)，以實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)的安全運行。（4）應(yīng)用層面安全要求，在物理、網(wǎng)絡(luò)、系統(tǒng)等層面安全的支持下，實現(xiàn)用戶安全需求所確定的安全目標。（5）數(shù)據(jù)及備份恢復(fù)層面安全要求，全面關(guān)注信息系統(tǒng)中存儲、傳輸、處理等過程的數(shù)據(jù)的安全性，能夠解決數(shù)據(jù)容災(zāi)等問題。（6）安全管理制度，在信息系統(tǒng)安全中，主要參與者是人，對人的管理包括法律、法規(guī)與政策的約束、安全指南的幫助、安全意識的提高、安全技能的培訓(xùn)等，這些都是以完備的安全管理政策和制度為前提[2]。

3 信息系統(tǒng)安全風(fēng)險管理策略

3.1 基礎(chǔ)策略

（1）實體安全措施，就是采取保護計算機設(shè)備、設(shè)施（含網(wǎng)絡(luò)、通信設(shè)備）以及其他媒體等，避免地震、水災(zāi)、火災(zāi)、和其他環(huán)境事故（如電磁污染）破壞的措施過程。（2）運行安全措施，為保障整個系統(tǒng)功能的安全實現(xiàn)，需要一套完整的安全措施來保護信息處理過程的安全，其中包括：風(fēng)險分析、審計跟蹤，備份恢復(fù)、應(yīng)急等。（3）數(shù)據(jù)安全措施，數(shù)據(jù)是信息的基礎(chǔ)，是企業(yè)信息系統(tǒng)的核心資源。信息管理的任務(wù)和目的是通過對數(shù)據(jù)采集、錄入、存儲、加工，傳遞等數(shù)據(jù)流動的各個環(huán)節(jié)進行精心組織和嚴格控制，確保數(shù)據(jù)的準確性、完整性、及時性、安全性、適用性和共享性。（4）規(guī)章制度措施，制定良好的信息安全規(guī)章制度是最有效的技術(shù)手段，并且不僅僅是規(guī)章制度，還應(yīng)把技術(shù)資料、業(yè)務(wù)應(yīng)用數(shù)據(jù)和應(yīng)用軟件包括進去。

3.2 網(wǎng)絡(luò)安全策略

如今，企業(yè)信息系統(tǒng)基本都屬于網(wǎng)絡(luò)結(jié)構(gòu)系統(tǒng)，所以對于網(wǎng)絡(luò)的安全管理就顯得很重要，相關(guān)安全管理措施有：（1）網(wǎng)絡(luò)分段，由于局域網(wǎng)采用以交換機為中心、路由器為邊界的網(wǎng)絡(luò)格局，又基于中心交換機的訪問控制功能和三層交換功能 ，綜合應(yīng)用物理分段與邏輯分段兩種方法，來實現(xiàn)對局域網(wǎng)的安全控制，其目的就是將非法用戶與敏感的網(wǎng)絡(luò)資源相互隔離，從而防止可能的非法偵聽，這是一重要的措施。（2）以交換式集線器代替共享式集線器，由于部分網(wǎng)絡(luò)最終用戶的接入是通過分支集線器而不是交換機，而使用最廣泛的分支集線器通常是共享式集線器。這樣，當(dāng)用戶與主機進行數(shù)據(jù)通信時，兩臺設(shè)備之間的數(shù)據(jù)包還是會被同一臺集線器上的其他用戶所偵聽，所以應(yīng)采用交換式集線器代替共享式集線器來解決類似問題。（3）加密技術(shù)的運用，加密技術(shù)的基本思想是不依賴于網(wǎng)絡(luò)中數(shù)據(jù)通道的安全性來實現(xiàn)網(wǎng)絡(luò)系統(tǒng)的安全，而是通過對網(wǎng)絡(luò)數(shù)據(jù)的加密來保障網(wǎng)絡(luò)的安全可靠性。

3.3 服務(wù)器端安全策略

在B/S系統(tǒng)結(jié)構(gòu)中S端的重要性是顯而易見的，解決系統(tǒng)服務(wù)器端的安全措施有：（1）內(nèi)核級透明代理，與傳統(tǒng)的B/S安全模式不同，解決方法為，每個數(shù)據(jù)庫應(yīng)用只建立一個真正的數(shù)據(jù)庫帳號，它具有對系統(tǒng)應(yīng)用所涉及的所有數(shù)據(jù)實體進行操作的全部權(quán)限。這種安全體系使得應(yīng)用系統(tǒng)成為數(shù)據(jù)庫的代理用戶，而應(yīng)用系統(tǒng)的所有操作人員（包括系統(tǒng)管理員）則是數(shù)據(jù)庫的間接用戶。（2）增強的用戶授權(quán)機制，由于在這種安全體系中，應(yīng)用系統(tǒng)成為隔離用戶和數(shù)據(jù)庫的防火墻，其本身就必須具有相當(dāng)?shù)陌踩匦?。此外，為了增加系統(tǒng)安全管理的靈活性，授權(quán)管理模塊還可以對屬于某一等級用戶的權(quán)限作進一步限制，達到所有權(quán)限均可任意組合的效果。（3）智能型日志，通過智能型日志，可自動找出可能存在的不安全因素，并實時觸發(fā)相應(yīng)的警告，信息以及時通知系統(tǒng)管理員及用戶。例如對潛在非法攻擊檢查、單帳號多用戶檢查、非工作時間操作檢查等。（4）完善的備份及恢復(fù)機制，雖然日志能記錄任何非法操作，然而要真正使系統(tǒng)從災(zāi)難中恢復(fù)出來，還需要一套完善的備份方案及恢復(fù)機制為了防止存儲設(shè)備的異常損壞和數(shù)據(jù)丟失問題。

信息安全風(fēng)險管理是企業(yè)信息化工作的關(guān)鍵，管理的整個過程要從企業(yè)整體業(yè)務(wù)需求及發(fā)展需要出發(fā)，各個環(huán)節(jié)都應(yīng)具體化細致化。從而，為企業(yè)開展信息化建設(shè)提供有力的安全保障。

[1]孫成林，尚利.對信息系統(tǒng)管理中信息安全風(fēng)險評估研究[J].現(xiàn)代電子技術(shù)，2015（1）：87-89.

[2]郭振宇.信息系統(tǒng)安全風(fēng)險管理工具的設(shè)計與實現(xiàn)[D].北京：北京工業(yè)大學(xué)，2015.

The Analysis and Research of the Enterprise Information System Security Management

Sun Shiyun Huang Haijun

Industrial and commercial college of yunnan Kunming，Yunnan Kunming 650000

Information systems and technology has become the essential and fundamental to the survival of every field construction.Information technology in the enterprise, however, the use of continuous development at the same time, its corresponding safety and management issues are also increasingly prominent, the main performance for system vulnerabilities, network security, access control, data security, loopholes in management rules, etc., these risks will bring great hidden trouble for enterprise information system security.In this paper, the study on analysis and enterprise information system security management.

system security management; Information system; Information security; Safety risk assessment;

X92

A

1009-6434（2017）04-0108-02