针对企业管理信息化中信息安全思索.doc

针对企业管理信息化中信息安全思索摘要：企业信息化建设给企业的经营带来了较大的改善。但是，如果企业在信息化建设中忽略了系统的安全，不采用有效的措施，有可能会给企业造成很大的损失。不论是企业的高层领导，还是企业的一般员工，都应了解和掌握企业信息化的安全和控制知识，只有这样，才会树立正确的企业信息系统的安全防范意识，制定适当的控制策略，采取合适的控制手段。 关键词 ： 企业信息化；犯罪特征；控制防范； 一、一般而言，企业在实施信息化以前，数据资料往往分散在各个分离的业务部门，以纸张的形式记录保存 企业通过实施信息化建设，利用信息系统把企业的数据资料集中在计算机系统中进行管理和维护，企业中的各个部门和很多的人员甚至企业以外的组织或者个人可以访问、使用企业信息系统中的数据。因此，企业实施信息化建设以后，其数据资料如果得不到妥善的管理，更容易被破坏和滥用。 随着计算机技术在各个领域的广泛应用，计算机犯罪已经成为了一个非常突出的问题。从20世纪90年代以来，计算机犯罪已经严重影响了企业也及其他组织的信息资源的安全，有些已经造成了重大的损失。可以说，计算机犯罪已经成为信息时代企业所面临的一个重要挑战。 计算机犯罪是随着计算机的产生和发展而产生的，它和其他的犯罪相比，具有独有的特征： （一）犯罪手段比较新 企业信息化的成果是企业信息系统。企业信息系统由地理上比较分散的计算机以及通信设施等构成，这样就为犯罪分子提供了多个途径和目标。而计算机既是犯罪的手段和工具，又是犯罪攻击的目标对象。对着计算机和电信技术的快速发展，近些年来，许多犯罪分子往往采用先进的电子跟踪技术和电子扫描技术等进行犯罪活动。计算机犯罪的手段具有多种形式，但大多采用技术手段而非暴力手段，非法访问和使用是目前计算机犯罪分子常常采用的形式。信息已经成为企业的重要资源，而且某些关键的商业机密对于企业而言可能是生死攸关的。如果系统采取的安全措施不当，企业的信息很可能就会被非法访问和使用。 （二）受空间限制下 由于计算机网络已经成为企业信息管理的基础设施，而且许多企业的网络和企业外部的网络以及互联网连接，所以计算机犯罪在一定程度上根本不受时间和空间的限制，犯罪分子几乎可以在任何时候、在任何一个和企业网络相同的计算机终端上从事计算机犯罪活动，从远程对目标进行攻击或者非法窃取数据。 （三）多利用管理制度和技术漏洞 计算机犯罪的客体往往是计算机系统中以电子形式存在的数据和信息，而对信息系统中的数据的存取控制和相应的管理制度是防止系统中的数据和信息被窃取和破坏的重要屏障。不管是分取技术还是管理制度，只要两者之一存在漏洞，就会给不法分子提供机会，会给企业的安全带来威胁。 （四）系统内部人员犯罪较多 和传统的犯罪形式不大一样，计算机犯罪人员往往是系统内部人员，这些人员还往往是精通计算机技术、熟知系统的功能并且具有合法身份或者便利条件的高智商员工。当然，目前随着互联网的快速发展，外部人员通过远程方式从事计算机犯罪活动的现象也越来越多。据有关数据表明，在过去，接近80%的违反信息安全的记录都有来自于企业或者组织内部。但是，现在看来，来自外部黑客攻击的数量基本赶上了内部违规的数量。 二、 计算机的防控 与传统犯罪一样，法律手段是非常重要的算然国家已经制定了相关的法律和政策，但除了依靠法律的威慑力之外，企业更要从管理和技术上入手，在各个环节加强企业资源的安全管理。为了最大限度地减少计算机的破坏，企业必须把专门的政策和步骤融合到信息资源的管理中，做好管理好控制工作。控制是保证企业信息管理安全最根本的手段。所谓控制是根据信息管理标准，为保证企业信息系统的安全运行而进行的人工与自动化相结合的方法。 企业信息资源是犯罪分子的目标，所以管理和控制企业系统的信息资源是至关重要的。要做好系统信息资源的控制，必须做好以下几点： （一）同一性检查 所谓同一性监察是指用户在使用系统的资源时，要事先检查该用户是否具备访问系统资源的权限。它要求不仅仅要检查用户的代码，还要监察用户的口令，这两者都和系统中设置的代码完全匹配时，才能够使用系统的资源。这样，可以阻止未被授权的人员访问系统资源。而且，用户的代码和口令不应该长期不变，应该经常变更，防止用户代码和口令被破译。 （二）用户使用权限分配和检测 企业信息系统具有很多的用户，实际上这些用户对于企业资源的访问和使用权限是不同的。所以说，企业系统资源的管理人员必须授予相应的用户一个适当的权限。有些用户可能只具有阅读企业系统的某个子系统中的某些数据资源的资格，而有些高级别的用户可能具有改写系统数据的权限。所以说，在设置权限控制清单时，不能够有半点的模糊，而且要给用户规定实际