企业信息系统安全管理的分析研究

孙仕云 黄海军



企业信息系统安全管理的分析研究

孙仕云 黄海军

云南工商学院，云南 昆明 650000

信息系统和技术已经成为当下各个领域不可或缺并赖以生存的基础性建设。但是，信息技术在企业中运用不断发展的同时，其相应的安全及管理问题也日益突出，其主要表现为系统漏洞、网络安全、权限控制、数据安全、管理漏洞等，这些风险就会对企业的信息系统安全带来巨大的隐患。基于此，就企业信息系统安全管理进行了分析和研究。

系统安全管理；信息系统；信息安全；安全风险评估

1 信息系统安全风险评估分析

信息系统安全评估主要采用以下几种典型的风险评估方法。（1）事件树分析：是一种逻辑演绎法，它在给定的一个初因事件的前提下分析此事件可能导致的各种事件序列的结果，可用于找出一种实效引起的后果或各种不同的后果，提高业务影响分析的全面性和系统性。（2）层次分析法：是一种多指标综合评价方法。首先将相互关联、相互制约的因素按它们之间的隶属关系排成若干层次，再利用数学方法，对各因素层排序，最后对排序结果进行分析。特点是减少了主观因素中的影响，需求解判断矩阵的最大特征根以及对应的特征向量。适用于为决策者提供定量形式的决策依据。（3）BP神经网络：是一种按误差逆向传播算法训练的多层前馈网络，具有自学习能力，能够实现输入和输出之间的复杂非线性关系。缺点是风险因素的权值确定较难，优点是有自学能力，问题抽象化，适用于事故预测和方案择优。（4）故障树分析：通过对可能造成系统危险的各种初始因素进行分析，画出故障树，计算整体风险发生概率。特点是简明形象，逻辑关系复杂，适用于找出各种实效事件之间的关系。以上分析法各有其优缺点，可以根据信息系统的具体情况，有机组合使用这些方法，评估结果精度更高[1]。

2 信息系统安需求分析

根据信息系统安全的整体结构来看，信息系统安全可从五个层面：物理、网络、主机系统、应用系统和数据对系统进行保护，因此，技术类安全要求也相应的分为五个层面上的安全需求：（1）物理层面安全要求，主要是从外界环境、基础设施、运行硬件、介质等方面为信息系统的安全运行提供基本的后台支持和保证。（2）网络层面安全要求，为信息系统能够在安全的网络环境中运行提供支持，确保网络系统安全运行，提供有效的网络服务。（3）主机层面安全要求，在物理、网络层面安全的情况下，提供安全的操作系统和安全的数据库管理系统，以实现操作系统和数据库管理系统的安全运行。（4）应用层面安全要求，在物理、网络、系统等层面安全的支持下，实现用户安全需求所确定的安全目标。（5）数据及备份恢复层面安全要求，全面关注信息系统中存储、传输、处理等过程的数据的安全性，能够解决数据容灾等问题。（6）安全管理制度，在信息系统安全中，主要参与者是人，对人的管理包括法律、法规与政策的约束、安全指南的帮助、安全意识的提高、安全技能的培训等，这些都是以完备的安全管理政策和制度为前提[2]。

3 信息系统安全风险管理策略

3.1 基础策略

（1）实体安全措施，就是采取保护计算机设备、设施（含网络、通信设备）以及其他媒体等，避免地震、水灾、火灾、和其他环境事故（如电磁污染）破坏的措施过程。（2）运行安全措施，为保障整个系统功能的安全实现，需要一套完整的安全措施来保护信息处理过程的安全，其中包括：风险分析、审计跟踪，备份恢复、应急等。（3）数据安全措施，数据是信息的基础，是企业信息系统的核心资源。信息管理的任务和目的是通过对数据采集、录入、存储、加工，传递等数据流动的各个环节进行精心组织和严格控制，确保数据的准确性、完整性、及时性、安全性、适用性和共享性。（4）规章制度措施，制定良好的信息安全规章制度是最有效的技术手段，并且不仅仅是规章制度，还应把技术资料、业务应用数据和应用软件包括进去。

3.2 网络安全策略

如今，企业信息系统基本都属于网络结构系统，所以对于网络的安全管理就显得很重要，相关安全管理措施有：（1）网络分段，由于局域网采用以交换机为中心、路由器为边界的网络格局，又基于中心交换机的访问控制功能和三层交换功能 ，综合应用物理分段与逻辑分段两种方法，来实现对局域网的安全控制，其目的就是将非法用户与敏感的网络资源相互隔离，从而防止可能的非法侦听，这是一重要的措施。（2）以交换式集线器代替共享式集线器，由于部分网络最终用户的接入是通过分支集线器而不是交换机，而使用最广泛的分支集线器通常是共享式集线器。这样，当用户与主机进行数据通信时，两台设备之间的数据包还是会被同一台集线器上的其他用户所侦听，所以应采用交换式集线器代替共享式集线器来解决类似问题。（3）加密技术的运用，加密技术的基本思想是不依赖于网络中数据通道的安全性来实现网络系统的安全，而是通过对网络数据的加密来保障网络的安全可靠性。

3.3 服务器端安全策略

在B/S系统结构中S端的重要性是显而易见的，解决系统服务器端的安全措施有：（1）内核级透明代理，与传统的B/S安全模式不同，解决方法为，每个数据库应用只建立一个真正的数据库帐号，它具有对系统应用所涉及的所有数据实体进行操作的全部权限。这种安全体系使得应用系统成为数据库的代理用户，而应用系统的所有操作人员（包括系统管理员）则是数据库的间接用户。（2）增强的用户授权机制，由于在这种安全体系中，应用系统成为隔离用户和数据库的防火墙，其本身就必须具有相当的安全特性。此外，为了增加系统安全管理的灵活性，授权管理模块还可以对属于某一等级用户的权限作进一步限制，达到所有权限均可任意组合的效果。（3）智能型日志，通过智能型日志，可自动找出可能存在的不安全因素，并实时触发相应的警告，信息以及时通知系统管理员及用户。例如对潜在非法攻击检查、单帐号多用户检查、非工作时间操作检查等。（4）完善的备份及恢复机制，虽然日志能记录任何非法操作，然而要真正使系统从灾难中恢复出来，还需要一套完善的备份方案及恢复机制为了防止存储设备的异常损坏和数据丢失问题。

信息安全风险管理是企业信息化工作的关键，管理的整个过程要从企业整体业务需求及发展需要出发，各个环节都应具体化细致化。从而，为企业开展信息化建设提供有力的安全保障。

[1]孙成林，尚利.对信息系统管理中信息安全风险评估研究[J].现代电子技术，2015（1）：87-89.

[2]郭振宇.信息系统安全风险管理工具的设计与实现[D].北京：北京工业大学，2015.

The Analysis and Research of the Enterprise Information System Security Management

Sun Shiyun Huang Haijun

Industrial and commercial college of yunnan Kunming，Yunnan Kunming 650000

Information systems and technology has become the essential and fundamental to the survival of every field construction.Information technology in the enterprise, however, the use of continuous development at the same time, its corresponding safety and management issues are also increasingly prominent, the main performance for system vulnerabilities, network security, access control, data security, loopholes in management rules, etc., these risks will bring great hidden trouble for enterprise information system security.In this paper, the study on analysis and enterprise information system security management.

system security management; Information system; Information security; Safety risk assessment;

X92

A

1009-6434（2017）04-0108-02