商業企業信息系統安全策略淺析

[摘要] 信息化是當今世界經濟和社會發展的大趨勢，也是我國實現傳統產業升級和加快現代化建設的關鍵環節。當今中小商業企業與大企業一樣，都廣泛使用信息技術，特別是網絡技術，初步建設了自己的信息系統，以不斷提高企業的競爭力。信息系統在提高商業企業效益的同時，也給企業增加了各類風險隱患。各類商業企業網絡安全的相關報導也一直層出不窮，系統風險問題、網絡安全問題日益嚴重。本文結合作者IT行業從業經驗，對商業信息系統面臨的安全和風險進行初步分析，并提出初步的應對策略。

[關鍵詞] 商業企業 信息系統 網絡安全 風險防范

一、引言

信息化是當今世界經濟和社會發展的大趨勢，也是我國實現傳統產業升級和加快現代化建設的關鍵環節。推動國民經濟和社會信息化已被確立為我國重要的國家發展戰略。二十多年來，我國商業企業信息技術應用經歷了電子結算、單機（計算機）管理、網絡技術及電子商務等階段，已形成了一定的基礎，并開始進入應用普及階段。

凡事都具有兩面性，商業企業在收獲信息化成果的同時，也應該看到信息化帶來的巨大風險，比如前段時間網上報道《上海超市收銀記錄被篡改 巨額錢財流入“黑客”手》，類似的信息系統安全事故在商業企業中頻頻發生，應該對這類風險安排適當的控制措施。信息系統的風險和系統的應用是伴生的，風險是永遠客觀存在的，怎樣防范風險、怎樣控制風險，這是商業企業信息化建設過程中必須應對的問題。本文結合作者從事IT行業的經歷和經驗，對商業信息系統面臨的安全和風險進行初步分析，并提出自己初步的應對策略。

二、商業信息系統面臨安全風險分析

1.系統硬件環境風險

商業信息系統的運行，依賴于特定的硬件環境，例如各類數據庫和網絡服務器、局域網絡、INTERNET、銀行POS終端等等，這些環境依賴大量的硬件設備，這些設備自身都存在一定的故障率，這類故障發生時必然影響信息系統正常運行。經常發生的故障主要有電氣機械等方面硬故障、網絡通訊異常等通訊故障等。這類故障比較常見，大多數人也都能理解。

2.軟件環境風險

商業企業信息化實施后，系統中運行著各類操作系統、數據庫引擎、OA系統、POS終端系統、財務以及物流等各類應用系統、各類網絡協議和通訊軟件等。作為軟件系統，必然存在未被發現的錯誤隱患，可能導致賬務錯亂、數據信息受損等，以及軟件系統的兼容性等風險。此類風險很難預知和檢測，即便經過較長的一段時間的測試運行也難以發現。

3.網絡環境風險

信息技術發展到今天，網絡是最偉大的技術創新，目前商業企業幾乎所有的應用系統都基于網絡進行構建，從內部辦公網到電子商務、從財務系統到網上結算，從物流管理到電子商務，網絡也成為商業企業提升服務質量、擴寬營銷渠道的一個重要的手段。網絡的大量應用，也帶來了大量的風險，例如黑客、病毒等等。應當說，網絡環境風險在商業企業面臨的信息系統風險中占的比重最大，主要包括黑客攻擊、數據篡改、病毒傳播、蠕蟲攻擊、垃圾郵件泛濫、敏感信息泄露等。

4.信息管理風險

管理風險是指由于管理體制的偏差、管理制度的不完善導致具體管理過程中出現漏洞而給計算機及網絡系統帶來的額外的風險。

（1)體制風險

所謂體制風險，主要是指在管理上缺乏統一的組織和領導所引發的風險。在信息管理方面往往只注重計算機在商業信息化業務中的應用，過分強調科技的服務職能，而忽略了計算機安全管理工作，忽視監管。信息部門人員單兵作戰，除了承擔業務軟件的推廣應用，還要負責設備的維護與管理，往往是顧此失彼。各業務職能部門還沒有將計算機安全作為一項重要工作來抓，計算機風險管理幾乎是一片空白。

（2)制度風險

所謂制度風險，主要是指在商業信息化中，由于制度制定有漏洞或執行不到位所造成的潛在風險。網絡安全運行管理、密碼專人管理、操作員管理、數據備份媒體存放管理等制度還有待于進一步完善。

（3)人員素質風險

所謂人員素質風險，主要是指因人員素質參差不齊以及人員流動性大而引發計算機及網絡系統的風險。

三、商業信息系統安全應對策略

針對如上所列商業信息系統風險，提出如下初步應對策略：

1.硬件環境方面

改善硬件運行環境，機房建設要按照國家統一頒布的標準進行建設、施工、裝修、安裝，配備防盜、防火、防水、防雷、防磁、防鼠害等設備，如果有條件可以安裝電視監控系統。做好設備維護工作。建立對各種計算機及網絡設備定期檢修、維護制度，并做好檢修、維護記錄；對突發性的安全事故處理要有應急計劃，對主要服務器和網絡設備，要指定專人負責，發生故障保證及時修復，從而確保所有設備處于最佳運行狀態。定期與電力、電信等部門協調，爭取技術支持，保證良好的供電環境和暢通的網絡環境。

2.軟件環境方面

首先要作好信息化系統的方案設計，包括采用何種操作系統、數據庫引擎，如何進行系統集成等，為以后應用打好基礎。各類業務系統軟件正式投入推廣使用前要進行全面的測試，以及時發現并修正軟件設計過程中的缺陷。加強操作人員權限和密碼管理。對訪問數據庫的所有用戶要科學的分配權限，實現權限等級管理，嚴禁越權操作，密碼強制定期修改，數據輸入檢查嚴密，盡量減少人工操作機會。做好數據備份，確保數據安全。對數據庫本身的安全脆弱問題，更要作相應處理，對數據要進行多重備份、異地異處存放，以便發生類似意外掉電這類不可預見性故障時能提供快速恢復手段，以保證數據信息的完整性。

3.網絡環境方面

網絡安全的基本要求是保密、完整、可用、可控和可審查。從技術角度講，商業企業網絡系統的安全體系應包括: 操作系統和數據庫安全、加密技術、網絡安全訪問控制、身份認證、攻擊監控、防火墻技術、防病毒技術、備份和災難恢復等。從管理角度看，應著力健全計算機管理制度和運行規程，加強員工管理，不斷提高員工的安全防范意識和責任感，杜絕內部作案的可能性，建立起良好的故障處理反應機制。

4.信息管理方面

建立計算機風險防范組織體系。商業企業各部門領導要重視計算機安全工作，成立計算機安全領導小組，明確權利責任，做好對安全運行領導、檢查和監督工作。整章建制，落實內控制度。對現有的計算機安全制度進行全面清理，建立健全各項計算機安全管理和防范制度，完善業務的操作規程；加強要害崗位管理，建立和不斷補充完善要害崗位人員管理制度。解決人員素質對計算機及網絡風險的影響，提高其處理計算機及網絡故障、防范計算機及網絡風險的能力。

四、結論

商業企業的信息系統安全問題是一個系統工程，涉及到計算機技術和網絡技術以及管理等方方面面，同時，隨著信息系統的延伸和新興技術集成應用升級換代，它又是一個不斷發展的動態過程。因此對商業企業信息系統運行風險和安全需求應進行同期化的管理，不斷制定和調整安全策略，只有這樣，才能在享受商業信息系統便利高效的同時，把握住信息系統安全的大門。

參考文獻:

[1]戴偉汪希杰戚雪輝:銀行計算機網絡風險防范與對策研究[J].中國農業銀行武漢培訓學院學報，2002(06)

[2]楊榮:信息系統應用中的風險控制[J].希賽網www.csai.cn

[3]劉守珍:電子商務信息系統中網絡技術的安全性分析和策略[J].電腦知識與技術，2005(18)

[4]池云:電子商務信息系統安全策略[J].遼寧行政學院學報，2004(05)