浅谈企业信息系统的运行与维护

王璐

摘 要：网络技术日益成熟的今天，信息化管理无处不在，优化信息系统是当前企业提升管理科学水平的一个重大课题。文章从信息系统的运行与维护的关键控制点存在的风险出发提出相应的控制措施。

关键词：信息系统；风险；措施

网络技术日益成熟的今天，信息化管理无处不在，优化信息系统是当前企业提升管理科学水平的一个重大课题。提高信息系统的运行与维护水平，是提升企业管理活动的重中之重，关系到整个企业的生死存亡，所以加强信息系统的运行与维护有着重要的意义。

一、系统的运行维护

1.系统运行维护存在的风险

（1）网络管理制度不健全，管理不科学，日常维护不及时。没有完善网络系统安全规章制度带来的风险，导致企业信息系统出错。

（2）系统运行维护和安全措施不到位，导致信息泄露和毁损，没有规范操作流程和故障处理流程，造成人为失误与故障。

（3）缺乏科学合理的责任追究机制，由于工作态度、工作作风等各种人为因素导致的系统数据未能定期备份等等。

（4）由于市场变化、政策法规变化，硬件、软件的更新引起的变化，使系统不能正常运行。对信息不加以特别保护，使信息容易被非法修改、删除、转移和伪造。

2.系统运行维护的措施

（1）在企业中信息操作系统一定要安装防火墙、数字签名与认证、入侵检测等，采用隔离控制、访问控制、信息加密和审计跟踪，确保信息系统的安全性。

（2）当系统出现意外时对系统运行要做好记录。利用密码技术对信息进行交换，实现信息隐蔽，有效保护信息的安全不受侵犯并同时对重要数据加密。

（3）在日常管理与维护中，管理员定期对各种设备进行保养、故障的诊断、排除易耗品的更换与安装等。配备专业人员负责处理信息系统运行中的突发事件，必要时和软硬件供应商共同解决。

（4）建立和健全操作管理、系统文档管理和数据管理等各项管理制度，保护计算机硬件、软件的安全。

（5）建立定期维护软件制度，定期评估应用软件系统平台的性能、功能缺陷，对网络软件中的安全缺口及时修补、操作系统升级，及时和开发商沟通消除应用系统可能存在的安全隐患和威胁、根据需求更新或变更系统功能。

（6）定期评估系统平台的性能，制定系统故障处理应急预案，及时消除故障隐患，保障信息系统的安全、稳定、持续运行。

二、系统运行的安全管理

1.安全管理的风险

（1）硬件方面，设备缺乏保护措施和存在管理漏洞。给计算机供电不平衡，空调系统对计算机的温度、湿度等不适合。操作人员不按规定的程序使用硬件设备，故意破坏计算机硬件、致使系统运行中断或毁灭，对硬件系统造成极大的破坏。

（2）业务部门信息安全意识薄弱，信息传输线路不安全、存储保护技术有弱点及使用管理不严格等。

（3）黑客的恶意攻击行为对企业网络进行破坏与盗窃。对系统程序的缺陷或漏洞安全防护不够，不法分子利用木马、病毒、间谍软件等非法方式对企业网络进行破坏或盗用企业数据。

（4）安全技术不足，管理设备松散、员工安全意识淡薄等问题滋长病毒、蠕虫、木马等的危害，严重时有可能造成整个企业网络的瘫痪，导致系统运行不稳定甚至瘫痪。

（5）在技术上有缺陷。网络硬件、软件产品大多数都是依靠进口，这些软件大多都存在隐患，再加上人类认知能力和技术发展的有限性，都可能造成网络的安全问题。

2.安全管理的控制措施

（1）企业应当建立信息系统的管理制度，不单纯是数据，把技术资料、业务应用数据和应用软件也包括进去，来保证硬件和网络设备的安全。

（2）企业应成立专门的信息系统安全管理机构，对企业的信息安全作出总体规划和全方位严格管理，同时建立信息系统安全保密制度和泄密责任追究制度。提高企业员工安全保密意识，对重要岗位员工进行信息系统安全保密培训。

（3）企业应当按照国家相关法律法规以及信息安全技术标准，制定信息系统安全实施细则。从安全管理上，建立和完善安全管理规范和机制，切实加强和落实安全管理制度，增强安全防范意识；进行全面安全分析制定防范措施和解决方案；正确配置网络病毒软件、入侵检测系统，建立安全认证系统采用相应技术手段保证信息系统运行安全有序。

（4）结合国家政策法规，企业性质和规章制度的基础上，从安全生产方面看：分出安全级别；从资产安全的需求看：分出安全级别需求。关于计算机设备，定期进行检查。利用技术手段，对硬件配置调整、软件参数修改严加控制，防止员工擅自安装、卸载软件或者改变软件系统配置。

（5）企业应当采取安装安全软件等措施防范信息系统受到病毒等恶意软件的感染和破坏。系统管理员必须跟踪有关操作系统漏洞的发布，及时下载补丁进行防范，经常对关键数据和文件进行备份和妥善保存，经常观察系统文件的变化情况。关于网络应用，要综合利用防火墙、路由器等网络设备加强网络安全，严密防范来自互联网的黑客攻击和非法侵入。

（6）对计算机定时杀毒，对外来不明软盘，要经过严格的病毒监测。网络设备落实到人，责任人对于计算机的系统登陆必须设置帐号密码，严格控制非使用人员使用计算机。计算机操作人员不得随意在各终端及局域网上安装任何与工作无关的软件程序。系统数据定期备份明确备份范围、责任人、存放地点等。数据正本与备份应分别存放于不同地点，防止因火灾、水灾、地震等事故产生不利影响。同时定期评估数据的安全性、可靠性和完整性，并制定数据通信应急处理预案。

（7）企业应当建立信息系统开发、运行与维护等环节的制度。操作系统应用越多，相应的软件漏洞也会随之增多，恶意攻击者会对操作系统进行各种攻击，定期评估病毒影响，制定病毒保护和恢复策略，通过安装软件补丁有效地提高系统受到攻击的风险，提高系统防御能力。endprint