[摘要] 信息化是当今世界经济和社会发展的大趋势,也是我国实现传统产业升级和加快现代化建设的关键环节。当今中小商业企业与大企业一样,都广泛使用信息技术,特别是网络技术,初步建设了自己的信息系统,以不断提高企业的竞争力。信息系统在提高商业企业效益的同时,也给企业增加了各类风险隐患。各类商业企业网络安全的相关报导也一直层出不穷,系统风险问题、网络安全问题日益严重。本文结合作者IT行业从业经验,对商业信息系统面临的安全和风险进行初步分析,并提出初步的应对策略。
[关键词] 商业企业 信息系统 网络安全 风险防范
一、引言
信息化是当今世界经济和社会发展的大趋势,也是我国实现传统产业升级和加快现代化建设的关键环节。推动国民经济和社会信息化已被确立为我国重要的国家发展战略。二十多年来,我国商业企业信息技术应用经历了电子结算、单机(计算机)管理、网络技术及电子商务等阶段,已形成了一定的基础,并开始进入应用普及阶段。
凡事都具有两面性,商业企业在收获信息化成果的同时,也应该看到信息化带来的巨大风险,比如前段时间网上报道《上海超市收银记录被篡改 巨额钱财流入“黑客”手》,类似的信息系统安全事故在商业企业中频频发生,应该对这类风险安排适当的控制措施。信息系统的风险和系统的应用是伴生的,风险是永远客观存在的,怎样防范风险、怎样控制风险,这是商业企业信息化建设过程中必须应对的问题。本文结合作者从事IT行业的经历和经验,对商业信息系统面临的安全和风险进行初步分析,并提出自己初步的应对策略。
二、商业信息系统面临安全风险分析
1.系统硬件环境风险
商业信息系统的运行,依赖于特定的硬件环境,例如各类数据库和网络服务器、局域网络、INTERNET、银行POS终端等等,这些环境依赖大量的硬件设备,这些设备自身都存在一定的故障率,这类故障发生时必然影响信息系统正常运行。经常发生的故障主要有电气机械等方面硬故障、网络通讯异常等通讯故障等。这类故障比较常见,大多数人也都能理解。
2.软件环境风险
商业企业信息化实施后,系统中运行着各类操作系统、数据库引擎、OA系统、POS终端系统、财务以及物流等各类应用系统、各类网络协议和通讯软件等。作为软件系统,必然存在未被发现的错误隐患,可能导致账务错乱、数据信息受损等,以及软件系统的兼容性等风险。此类风险很难预知和检测,即便经过较长的一段时间的测试运行也难以发现。
3.网络环境风险
信息技术发展到今天,网络是最伟大的技术创新,目前商业企业几乎所有的应用系统都基于网络进行构建,从内部办公网到电子商务、从财务系统到网上结算,从物流管理到电子商务,网络也成为商业企业提升服务质量、扩宽营销渠道的一个重要的手段。网络的大量应用,也带来了大量的风险,例如黑客、病毒等等。应当说,网络环境风险在商业企业面临的信息系统风险中占的比重最大,主要包括黑客攻击、数据篡改、病毒传播、蠕虫攻击、垃圾邮件泛滥、敏感信息泄露等。
4.信息管理风险
管理风险是指由于管理体制的偏差、管理制度的不完善导致具体管理过程中出现漏洞而给计算机及网络系统带来的额外的风险。
(1)体制风险
所谓体制风险,主要是指在管理上缺乏统一的组织和领导所引发的风险。在信息管理方面往往只注重计算机在商业信息化业务中的应用,过分强调科技的服务职能,而忽略了计算机安全管理工作,忽视监管。信息部门人员单兵作战,除了承担业务软件的推广应用,还要负责设备的维护与管理,往往是顾此失彼。各业务职能部门还没有将计算机安全作为一项重要工作来抓,计算机风险管理几乎是一片空白。
(2)制度风险
所谓制度风险,主要是指在商业信息化中,由于制度制定有漏洞或执行不到位所造成的潜在风险。网络安全运行管理、密码专人管理、操作员管理、数据备份媒体存放管理等制度还有待于进一步完善。
(3)人员素质风险
所谓人员素质风险,主要是指因人员素质参差不齐以及人员流动性大而引发计算机及网络系统的风险。
三、商业信息系统安全应对策略
针对如上所列商业信息系统风险,提出如下初步应对策略:
1.硬件环境方面
改善硬件运行环境,机房建设要按照国家统一颁布的标准进行建设、施工、装修、安装,配备防盗、防火、防水、防雷、防磁、防鼠害等设备,如果有条件可以安装电视监控系统。做好设备维护工作。建立对各种计算机及网络设备定期检修、维护制度,并做好检修、维护记录;对突发性的安全事故处理要有应急计划,对主要服务器和网络设备,要指定专人负责,发生故障保证及时修复,从而确保所有设备处于最佳运行状态。定期与电力、电信等部门协调,争取技术支持,保证良好的供电环境和畅通的网络环境。
2.软件环境方面
首先要作好信息化系统的方案设计,包括采用何种操作系统、数据库引擎,如何进行系统集成等,为以后应用打好基础。各类业务系统软件正式投入推广使用前要进行全面的测试,以及时发现并修正软件设计过程中的缺陷。加强操作人员权限和密码管理。对访问数据库的所有用户要科学的分配权限,实现权限等级管理,严禁越权操作,密码强制定期修改,数据输入检查严密,尽量减少人工操作机会。做好数据备份,确保数据安全。对数据库本身的安全脆弱问题,更要作相应处理,对数据要进行多重备份、异地异处存放,以便发生类似意外掉电这类不可预见性故障时能提供快速恢复手段,以保证数据信息的完整性。
3.网络环境方面
网络安全的基本要求是保密、完整、可用、可控和可审查。从技术角度讲,商业企业网络系统的安全体系应包括: 操作系统和数据库安全、加密技术、网络安全访问控制、身份认证、攻击监控、防火墙技术、防病毒技术、备份和灾难恢复等。从管理角度看,应着力健全计算机管理制度和运行规程,加强员工管理,不断提高员工的安全防范意识和责任感,杜绝内部作案的可能性,建立起良好的故障处理反应机制。
4.信息管理方面
建立计算机风险防范组织体系。商业企业各部门领导要重视计算机安全工作,成立计算机安全领导小组,明确权利责任,做好对安全运行领导、检查和监督工作。整章建制,落实内控制度。对现有的计算机安全制度进行全面清理,建立健全各项计算机安全管理和防范制度,完善业务的操作规程;加强要害岗位管理,建立和不断补充完善要害岗位人员管理制度。解决人员素质对计算机及网络风险的影响,提高其处理计算机及网络故障、防范计算机及网络风险的能力。
四、结论
商业企业的信息系统安全问题是一个系统工程,涉及到计算机技术和网络技术以及管理等方方面面,同时,随着信息系统的延伸和新兴技术集成应用升级换代,它又是一个不断发展的动态过程。因此对商业企业信息系统运行风险和安全需求应进行同期化的管理,不断制定和调整安全策略,只有这样,才能在享受商业信息系统便利高效的同时,把握住信息系统安全的大门。
参考文献:
[1]戴伟汪希杰戚雪辉:银行计算机网络风险防范与对策研究[J].中国农业银行武汉培训学院学报,2002(06)
[2]杨荣:信息系统应用中的风险控制[J].希赛网
[3]刘守珍:电子商务信息系统中网络技术的安全性分析和策略[J].电脑知识与技术,2005(18)
[4]池云:电子商务信息系统安全策略[J].辽宁行政学院学报,2004(05)