信息安全論文 學號: 信息安全論文 企業信息系統運行與操作安全解決方案 姓 名: 學 校: 班 級: 作業時間: 2 010 年 5 月 *** 10 頁 第1頁 信息安全論文 學號: 摘要 本文闡述了企業的信息系統運行與操作中的管理制度的建設, 以及在運行維護過程中所遇到的 各類信息安全問題,以及所采取的對策。總結了解決企業信息系統安全問題的需采取管理手段和 技術手段相結合的綜合解決方案。 引言 信息系統安全是指信息系統包含的所有硬件、軟件和數據受到保護,不因偶然和惡意的原因 而遭到破壞、更改和泄漏,信息系統連續正常運行。 信息系統本身存在著來自人文環境、技術環境和物理自然環境的安全風險,其安全威脅無時 無處不在。對於大型企業信息系統的安全問題而言,不可能試圖單憑利用壹些集成了信息安全技 術的安全產品來解決,而必須考慮技術、管理和制度的因素,全方位地、綜合解決系統安全問題, 建立企業的信息系統安全保障體系。從技術上看,任何新建立的系統都不可能是盡善盡美的,都可能存在著只有在實際運行中才能發現的缺陷。另外,隨著企業內部與外部環境的變化,系統也會暴露出不足之處或不 相適應之處,這是在系統運行過程中始終存在的必須要予以解決的問題。從管理上看, 就是對信息系統的 運行進行控制,記錄其運行狀態,進行必要的修改與補充,以便使信息系統真正符合管理決策的需要,為管理 決策服務。 信息系統的運行管理工作應該由壹個專門的信息管理機構負責, 在壹套完整的操作規範與管理規範 的約束下,靠全體管理與使用信息系統的人員***同來完成。運行管理的目標是使信息系統在壹個預期的時間內 能正常地發揮其應有的作用,產生其應有的效益。 壹、企業信息系統運行與維護安全管理制度企業實現管理信息化後,企業的業務流程、工作方法、各職能部門之間以及企業與外部環境之間的相互關 系都發生了壹定的變化,企業原有的壹套管理制度,例如內部控制制度已不在適應新環境下的管理需求,因此 需要制定壹系列新的管理制度。 1.各類機房安全運行管理制度 各類機房安全運行管理制度 *** 10 頁 第2頁 信息安全論文 學號: 設立機房主要有兩個目的,壹是給計算機設備創造壹個良好的運行環境,保護計算機設備;二是防止各種 非法人員進入機房,保護機房內的設備、機內的程序和數據的安全。機房安全運行是通過制定與貫徹執行機房 管理制度來實施的。機房管理的主要內容包括: (1)有權進入機房人員的資格審查。 壹般說來, 系統管理員、操作員、錄入員、審核員、維護人員以及 其他系統管理員批準的有關人員可進入機房,系統維護員不能單獨入機房; (2)機房內的各種環境要求。比如機房的衛生要求,防水要求; (3)機房內的各種環境設備的管理要求; (4)機房中禁止的活動或行為,例如,嚴禁吸煙、喝水等; (5)設備和材料進出機房的管理要求,等等。 2.信息系統的其他管理制度 .信息系統的運行制度,還表現為軟件、數據、信息等其他要素必須處於監控之中。其他管理制度包括如下: (1)必須有重要的系統軟件、應用軟件管理制度; (2)必須有數據管理制度,如重要輸入數據的審核、輸出數據備份保管等制度; (3)必須有權限管理制度,做到密碼專管專用,定期更改並在失控後立即報告; (4)必須有網絡通信安全管理制度; (5)必須有病毒的防治管理制度,及時檢查、清除計算機病毒,並備有檢測、清除的記錄; (6)必須有人員調離的安全管理制度。 人員調離的 同時馬上收回鑰匙、移交工作、更換口令、取消賬號, 並向被調離的工作人員申明其保密義務,人員的錄用調入必須經過人事組織技術部門的考核和接受相應的安全 教育。 企業信息系統運行文檔與記錄管理制度 二、企業信息系統運行文檔與記錄管理制度 企業信息系統運 1、企業信息系統運行文檔管理 、管理信息系統的文檔 是系統開發過程的記錄, 是系統維護人員的指南,是開發人員與用戶交流的工具。 規範的文檔意味著系統是工程化、規範化開發的,意味著信息系統的質量有了程序上的保障。文檔的欠缺、文 檔的隨意性和文檔的不規範,極有可能導致原來的系統開發人員流動後,系統難以維護、難以升級,變成壹個 沒有擴展性、沒有生命力的系統。所以為了建立壹個良好的管理信息系統,不僅要充分利用各種現代化信息技 術和正確的系統開發方法,同時還要做好文檔的管理工作。 系統文檔不是壹次性形成的,它是在系統開發、設計、實施、維護過程中不斷地按階段依次推進編寫、修 改、完善與積累而形成的。信息系統開發過程中的主要文檔有:系統開發立項報告、可行性研究報告、系統開 *** 10 頁 第3頁 信息安全論文 學號: 發計劃書、系統分析說明書、系統設計說明書、程序設計報告、系統測試計劃與測試報告、系統使用與維護手 冊、系統評價報告、系統開發月報與系統開發總結報告等。 文檔的重要性決定了文檔管理的重要性,文檔管理是有序地、規範地開發與運行信息系統所必須做好的重 要工作。目前我國信息系統的文檔內容與要求基本上已有了較統壹的規定。根據不同的性質,可將文檔分為技 術文檔、管理文檔及記錄文檔等若幹類。 系統文檔是相對穩定的,隨著系統的運行及情況的變化,它們會有局部的修改與補充,當變化較大時,系 統文檔將以新的版本提出。 系統文檔的管理工作主要有: 1.文檔管理的制度化、標準化 (1)文檔標準與格式規範的制定; (2)明確文檔的制定、修改和審核的權限; (3)制定文檔資料管理制度。例如文檔的收存、保管與借用手續的辦理等。 2.維護文檔的壹致性 信息系統開發建設過程是壹個不斷變化的動態過程,壹旦需要對某壹文檔進行修改,要及時、準確地修改 與之相關的文檔;否則將會引起系統開發工作的混亂。而這壹過程又必須有相應的制度來保證。 3.維護文檔的可追蹤性 為保持文檔的壹致性與可追蹤性, 所有文檔都要收全, 集中統壹保管。 2、企業信息系統日常記錄管理。 、企業信息系統日常記錄管理。信息系統的日常運行管理是為了保證系統能長期有效地正常運轉而進行的活動,具體有系統運行情況的記錄、 系統運行的日常維護及系統的適應性維護等工作。 1.系統運行情況的記錄 從每天工作站點計算機的打開、應用系統的進入、功能項的選擇與執行,到下班前的數據備份、存檔、關 機等,按嚴格要求來說都要就系統軟硬件及數據等的運作情況作記錄。 運行情況有正常、 不正常與無法運行 等,後兩種情況應將所見的現象、發生的時間及可能的原因作盡量詳細的記錄。為了避免記錄工作流於形式, 通常的做法是在系統中設置自動記錄功能。另壹方面,作為壹種責任與制度,壹些重要的運行情況及所遇到的 問題,例如多人***用或涉及敏感信息的計算機及功能項的使用等仍應作書面記錄。 系統運行情況的記錄應事先制定盡可能詳盡的規章制度,具體工作主要由使用人員完成。系統運行情況無 論是自動記錄還是由人工記錄,都應作為基本的系統文檔作長期保管,以備系統維護時參考。 2.系統運行的日常維護 *** 10 頁 第4頁 信息安全論文 學號: 系統的維護包括硬件維護與軟件維護兩部分。軟件維護主要包括正確性維護、適應性維護、完善性維護三 種。正確性維護是指診斷和修正錯誤的過程;適應性維護是指當企業的外部環境、業務流程發生變化時,為了 與之適應而進行的系統修改活動;完善性維護是指為了滿足用戶在功能或改進已有功能的需求而進行的系統修 改活動。軟件維護還可分為操作性維護與程序維護兩種。操作性維護主要是利用軟件的各種自定義功能來修改 軟件,以適應企業變化;操作性維護實質上是壹種適應性維護。程序維護主要是指需要修改程序的各項維護工 作。 維護是系統整個生命周期中,最重要、最費時的工作,其應貫穿於系統的整個生命周期,不斷重復出現, 直至系統過時和報廢為止。現有統計資料表明:軟件系統生命周期各部分的工作量中,軟件維護的工作量壹般 占 70%以上,因此,各單位應加強維護工作的管理,以保證軟件的故障及時得到排除,軟件及時滿足企業管理 工作的需要。加強維護管理是系統安全、有效、正常運行的保證之壹。 在硬件維護工作中,較大的維護工作壹般是由銷售廠家進行的。使用單位壹般只進行壹些小的維護工作, 壹般通過程序命令或各種軟件工具即可滿足要求。使用單位壹般可不配備專職的硬件維護員。硬件維護員可由 軟件維護員擔任,即通常所說的系統維護員。 對於使用商品化軟件的單位,程序維護工作是由銷售廠家負責,單位負責操作維護。單位可不配備專職維 護員,而由指定的系統操作員兼任。 對於自行開發軟件的單位壹般應配備專職的系統維護員,系統維護員負責系統的硬件設備和軟件的維護工 作,及時排除故障,確保系統訴正常運行,負責日常的各類代碼、標準摘要、數據及源程序的改正性維護、適 應性維護工作,有時還負責完善性的維護。 在數據或信息方面,須日常加以維護的有備份、存檔、整理及初始化等。大部分的日常維護應該由專門的 軟件來處理,但處理功能的選擇與控制壹般還是由使用人員或專業人員來完成。 為安全考慮, 每天操作完畢 後,都要對更動過的或新增加的數據作備份。壹般講,工作站點上的或獨享的數據由使用人員備份,服務器上 的或多項功能***享的數據由專業人員備份。除正本數據外,至少要求有兩個以上的備份,並以單雙方式輪流制 作,以防剛被損壞的正本數據沖掉上次的備份。數據正本與備份應分別存於不同的磁盤上或其他存儲介質上。 數據存檔或歸檔是當工作數據積累到壹定數量或經過壹定時間間隔後轉入檔案數據庫的處理,作為檔案存儲的 數據成為歷史數據。為防萬壹,檔案數據也應有兩份以上。數據的整理是關於數據文件或數據表的索引、記錄 順序的調整等,數據整理可使數據的查詢與引用更為快捷與方便,對數據的完整性與正確性也很有好處。在系 統正常運行後數據的初始化主要是指以月度或年度為時間企業的數據文件或數據表的切換與結轉數等的預置。 維護的管理工作主要是通過制定維護管理制度和組織實施來實現的。 維護管理制度主要包括以下內容: 系 統維護的任務、 維護工作的承擔人員、軟件維護的內容、硬件維護的內容、系統維護的操作權限、軟件修改的 手續。*** 10 頁 第5頁 信息安全論文 學號: 3.系統的適應性維護 企業是社會環境的子系統,企業為適應環境,為求生存與發展,也必然要作相應的變革。作為支持企業實 現戰略目標的企業信息系統自然地也要作不斷的改進與提高。從技術角度看,壹個信息系統不可避免地會存在 壹些缺陷與錯誤,它們會在運行過程中逐漸暴露出來,為使系統能始終正常運行,所暴露出的問題必須及時地 予以解決。為適應環境的變化及克服本身存在的不足對系統作調整、修改與擴充即為系統的適應性維護。 實踐已證明系統維護與系統運行始終並存, 系統維護所付出的代價往往要超過系統開發的代價, 系統維護 的好壞將 顯著地影響系統的運行質量、系統的適應性及系統的生命期。我國許多企業的信息系統開發好後,不 能很好地投入運行或難以維持運行,在很大程度上就是重開發輕維護所造成的。 系統的適應性維護是壹項長期的有計劃的工作, 並以系統運行情況記錄與日常維護記錄為基礎, 其內容有: (1)系統發展規劃的研究、制定與調整; (2)系統缺陷的記錄、分析與解決方案的設計; (3)系統結構的調整、更新與擴充; (4)系統功能的增設、修改; (5)系統數據結構的調整與擴充; (6)各工作站點應用系統的功能重組; (7)系統硬件的維修、更新與添置; (8)系統維護的記錄及維護手冊的修訂等。 信息系統的維護不僅為系統的正常運行所必須.也是使系統始終能適應系統環境,支持並推動企業戰略目 標實現的重要保證。系統適應性維護應由企業信息管理機構領導負責,指定專人落實。為強調該項工作的重要 性,在工作條件的配備上及工作業績的評定上與系統的開發同等看待。 三、系統的安全監控管理 系統的安全監控管理現代信息系統是以計算機和網絡為基礎的***享資源,隨著計算機和網絡技術的加速普及,以開放性和***享 性為特征的網絡技術給信息系統所帶來的安全性問題就日益突出起來。 企業信息系統是企業投入了大量的人力與財力資源建立起來的, 系統的各種軟硬件設備是企業的重要資產。 信息系統所處理和存儲的信息是企業的重要資源,它們既有日常業務處理信息、技術信息,也有涉及企業高層 的計劃、決策信息,其中有相當部分信息是企業極為重要的並有保密要求的,這些信息幾乎反映了企業所有方 面的過去、現在與未來。如果信息系統軟硬件的損壞或信息的泄漏就會給企業帶來不可估量的經濟損失,甚至 危及企業的生存與發展。 因此信息系統的安全與保密 是壹項必不可少的、極其重要的信息系統管理工作。 壹方面是信息安全與保密的重要性,另壹方面,信息系統普及和應用使得信息系統深入到企業管理的不同 層面,互聯網技術在企業信息化建設中的應用又使得企業與外界的信息交往日益廣泛與頻繁。近年來世界範圍*** 10 頁 第6頁 信息安全論文 學號: 內的計算機犯罪、計算機病毒泛濫等問題,使信息系統安全上的脆弱性表現得越來越明顯。所以信息系統安全 的問題顯得越發重要。 信息系統的安全與保密是兩個不同的概念,信息系統的安全是為防止有意或無意的破壞系統軟硬件及信息 資源行為的發生,避免企業遭受損失所采取的措施;信息系統的保密是為防止有意竊取信息資源行為的發生, 使企業免受損失而采取的措施。 1.影響信息系統安全性的因素 信息系統的安全性問題主要由以下幾方面原因所造成: (1)自然現象或電源不正常引起的軟硬件損壞與數據破壞了,例如地震、火災、存儲系統、數據通信等; (2)操作失誤導致的數據破壞; (3)病毒侵擾導致的軟件與數據的破壞; (4)人為對系統軟硬件及數據所作的破壞。 2.維護措施 為了維護信息系統的安全性與保密性,我們應該重點地采取措施,做好以下工作: (1)依照國家法規及企業的具體情況,制定嚴密的信息系統安全與保密制度,作深入的宣傳與教育,提高 每壹位涉及信息系統的人員的安全與保密意識。 (2)制定信息系統損害恢復規程,明確在信息系統遇到自然的或人為的破壞而遭受損害時應采取的各種恢 復方案與具體步驟。 (3)配備齊全的安全設備,如穩壓電源、電源保護裝置、空調器等。 (4)設置切實可靠的系統訪問控制機制,包括系統功能的選用與數據讀寫的權限、用戶身份的確認等。 (5)完整地制作系統軟件和應用軟件的備份,並結合系統的日常運行管理與系統維護,做好數據的備份及 備份的保管工作。 (6)敏感數據盡可能以隔離方式存放,由專人保管。 上述措施必須完整地嚴格地貫徹,尤其是人的安全保密意識,必須強調自覺、認真的參與,承擔各自的責 任。只有這樣才可能從根本上解決信息系統的安全保密問題。 四、企業信息安全事故報告與處置管理 安全事故就是能導致資產丟失與損害的任何事件,為把安全事故的損害降到最低的程度,追蹤並從事件中吸取 教訓,組織應明確有關事故、故障和薄弱點的部門,並根據安全事故與故障的反應過程建立壹個報告、反應、 評價和懲戒的機制。 1、控制目標-報告安全事故和脆弱性 、控制目標-*** 10 頁 第7頁 信息安全論文 學號: 目標:確保與信息系統有關的安全事件和弱點的溝通能夠及時采取糾正措施 應該準備好正常的事件報告和分類程序,這類程序用來報告可能對機構的財產安全造成影響的不同種類的 事件和弱點,所有的員工、合同方和第三方用戶都應該知曉這套報告程序。他們需要盡可能快地將信息安全事 件和弱點報告給指定的聯系方。控制措施-安全事故報告, 組織應明確信息安全事故報告的方式、報告的內容、 報告的受理部門,即安全事件應在被發現之後盡快由適當的受理途徑進行通報。 應當盡可能快速地通過適當管理渠道報告安全事故。組織的普通員工通常是安全事件的最早發現者,如果 安全事件能及時發現並報告相應的主管部門,做出及時的處理,能使組織的經濟損失及聲譽損失降到最低。 為及時發現安全事件,組織應建立正式的報告程序,分別對安全事故的報告做出明確規定。應當讓所有員工和 第三方的簽約人都了解報告程序並鼓勵他們在安全事件發生的第壹時間就盡快報告。還應當建立起事故反應機 制,以便在接到事故報告時,有關部門能及時采取的措施。 應當建立適當的反饋機制,確保在處理完事故之後,使員工能夠知道所報告事故的處理結果。同時可以用 這些事故來提高用戶的安全意識,使他們了解發生了什麽情況、對這種情況怎樣做出反應並且將來如何避免這 些事故。針對不同的類型的安全事件,做出相應的應急計劃,規定事件處理步驟,基於以下因素區分操作的優 先次序:①保護人員的生命與安全②保護敏感資料③保護重要的數據資源④防止系統被破壞將信息系統遭受的 損失降至最低對非法入侵進行司法取證系統恢復運行。 控制措施-安全弱點報告,應當要求信息服務的使用者記下並報告任何觀察到的或可疑的有關系統或服務方面 的安全弱點或受到的威脅。應當要求信息服務的用戶註意並報告任何觀察到或者預測到的系統或者服務中存在 的弱點、或者是受到的威脅。用戶應當盡快向管理層或者服務供應商報告此類事件。應當告知用戶,壹旦發現 安全弱點,就會及時報告,而不要試圖去證實弱點存在,因為測試系統缺陷的行為可能會被安全管理人員或安 全監控設施看作是對系統的攻擊。 2、控制目標-信息安全事故管理和改進 、控制目標- 目標:確保使用持續有效的方法管理信息安全事故 壹旦信息安全事件和弱點報告上來,應該立即明確責任,按照規程進行有效處理。應該應用壹個連續性的 改進過程對信息安全事故進行響應、監視、評估和總體管理。如果需要證據的話,則應該搜集證據以滿足法律 的要求。 職責和程序: 應建立管理職責和程序,以快速、有效和有序的響應信息安全事故, 除了對信息安全事件和弱點進行報告外, 還應該利用系統的監視、報警和發現脆弱性的功能來檢測信息安全事故。在建立信息安全事故管理目標時,要 與管理層達成壹致意見,應該確保負責信息安全事故的管理人員理解在組織中處理信息安全事故時,事故處理 優先權的規則。 控制措施-從事故中吸取教訓, 應當有相應的機制來量化並監測信息安全事故的類型、大小和造成的損失。 *** 10 頁 第8頁 信息安全論文 學號: 安全事件發生後,安全主管 部門應對事故的類型、嚴重程度、發生的原因、性質、頻率、產生的損失、責任人 進行調查確認,形成事故或故障評價資料。已發生的信息安全事件可以作為信息安 全教育與培訓的案例,以便 組織內相關的人員從事故中學習,以避免再次出現;如果安全事件再次發生,能夠更迅速有效地進行處理。 控制措施-收集證據 當安全事故發生後需要對個人或組織采取法律行動(無論是民事訴訟還是刑事訴訟)時,都應當以符合法 律規定的形式收集、保留並提交證據。當組織需要實施懲戒行動時,應該制定和遵循組織內部收集和提交證據 的規範程序。證據規則包括: 證據的可用性:證據能被法律部門采納,可在法庭上出示; 證據的有效性:證據的質量和完整性。 為了確保證據的可用性,組織應該保證自己的信息系統在采集證據過程中,符合有關標準和規範的要求。 為保證證據的有效性,組織應當采取必要的控制措施來保證證據的質量和完整性控制要求,在從證據被發現到 存儲和處理的整個過程中,都應當建立較強的審計軌跡。 任何司法取證工作都只允許在原始證據材料的拷貝上進行,以確保所有證據材料的完整性都得到了妥善保 護。證據材料的拷貝應該在可信賴人員的監督下進行,什麽時候在什麽地方進行的拷貝,誰進行的拷貝,使用 了什麽工具和程序進行的拷貝,這些都應該記錄在日誌中。 五、企業信息系統操作安全管理 1、 操作權限: 、 操作權限:為了企業信息系統正常運行,參照公安部的有關規定和要求,根據企業的實際情況制定系統操作權限管理 制度。如: (1). 網絡服務器、備份服務器,網絡設備、備份設備必須由專人專管不得隨意使用。所有設備必須設置 不同權限的密碼。系統管理員、操作員、數據庫管理員、數據庫操作員嚴格區分。明確權限範圍,不得 越權操作。 ⑵ . 系統操作權限管理和管理人員崗位工作職責制度 應明確各計算機崗位職責、權限,嚴禁串崗、替崗。 ⑶. 每個管理員和不同管理權限崗位的工作人員不對外泄密碼,因密碼外泄造成網絡遭受損失的,將按 我中心有關制度嚴肅處理。 ⑷ . 每個管理人員必須定期變更設備密碼,嚴禁設置弱密碼,密碼壹經設置和更改,管理人員必須負責 做好密碼備份,並報分管副主任和網絡管理科備份。 2、操作規範 、可根據企業的實際情況制定系統操作權限管理制度。如:*** 10 頁 第9頁 信息安全論文 學號: 系統使用管理 ⑴ .保證信息系統的安全可靠運行,必須對系統的操作使用做出嚴格的控制⑼ ⑵ .在信息系統投入運行前,由信息主管根據單位主管的要求確定本系統的合法有權使 用、人員及其 操作權限,並報單位主管審核批準後地系統內授權其使用權,運行中需按同樣手續辦理。 ⑶ .對各使用人員明確劃分使用操作權限,形成適當的分工牽制,健全內部控制制度。 ⑷ .為每個操作人員都設置不同操作密碼,謝絕無並人員用機器做其他工作。 ⑸ .設立“計算機使用登記簿”,任何人均須登記方可用機。 ⑹ .任何人員不得直接打開數據庫文件進行操作, 不允許隨意增刪改數據、 原程序和數據庫文件 結構。 ⑺ .操作人員不允許進行系統性操作。 ⑻ .操作人員應按規定範圍內對系統進行操作,負責數據的輸入、運算、記帳和打印有關帳表。 ⑼ .檔案管理員負責應對存檔數據、軟盤、帳表和文檔資料進行統壹復制、核對和保管。 ⑽ .系統管理員應做好日常檢查監督工作,發現不規範應及時制 止,並采取措施避免同樣情況 再次 發生。 用戶上機操作規程 用戶上機操作規程 (1).上機人員必須是會計有權使用人員,經過培訓合格並經財務主管正式認可後,才能上機操作。 (2).操作人員上機操作前後,應進行上機操作登記,填寫真實姓名、上機時間、操作內容,供系 統管理 員檢查核實。 (3).操作人員上機前應做好各項準備工作,盡量減少占用機器時間,提高工作效率。 (4).操作人員的操作密碼應註意保密,不能隨意泄露,密碼要不定期變更。 (5).操作人員必須嚴格按操作權限操作,不得越權或擅自上機操作。 (6).操作人員應嚴格按照憑證輸入數據,不得擅自修改憑證數據。 (7).每次上機工作完畢後都要作好工作備份,以防意外事故。 (8).在系統運行過程中, 操作人員如要離開工作現場, 必須在離開前退出系統, 以防止其他人越 權操作。 總結:信息系統安全管理必須綜合考慮各方面的安全問題,全面分析整個系統,並對系統中各子系統 的交界面給予特別的強調,在系統壽命周期的早期階段應用系統安全管理,會得到最大的效益。系統安 全管理主要在給定條件下,最大程度地減少事件損失,並且盡可能地減少因安全問題對運行中系統進行 的修改。系統安全管理通過制定並實施系統安全程序計劃進行記錄,交流和完成管理部門確定的任務, 以達到預定的安全目標。 *** 10 頁 第 10 頁
上一篇:廣州粵誠醫療器械有限公司怎麽樣?下一篇:社保費在企業所得稅年報中如何填