企業(yè)信息系統(tǒng)安全體系結構的思考

◆喬世妮

(廣西南南鋁加工有限公司 廣西 530031)

0 引言

企業(yè)信息系統(tǒng)的安全性直接關系到企業(yè)運營的穩(wěn)定性和戰(zhàn)略性。企業(yè)信息系統(tǒng)中所包含的企業(yè)郵箱系統(tǒng)關系到內部信息的保護，電子采購系統(tǒng)關系到企業(yè)招投標體系的安全性，合同系統(tǒng)則關系到企業(yè)的商業(yè)機密，進而影響到企業(yè)的戰(zhàn)略發(fā)展。因此，加強企業(yè)信息系統(tǒng)的安全性是值得現代企業(yè)重點關注和研究的問題。鑒于此，本文對企業(yè)信息系統(tǒng)安全體系結構的思考具有重要的價值。

1 企業(yè)信息系統(tǒng)安全體系結構發(fā)展現狀

1.1 企業(yè)信息系統(tǒng)安全構成因素

安全體系結構是對企業(yè)信息系統(tǒng)安全服務功能的整體概括，體系中既包括規(guī)范信息系統(tǒng)操作的各項安全體制，也包含各個系統(tǒng)間信息元素的交換條件。具體而言，企業(yè)信息系統(tǒng)安全構成因素主要表現在以下幾個方面：身份認證。一般采用公鑰或私鑰機制等方法識別應用程序和服務客戶端的過程，可以有效識別出信息的發(fā)出位置和交互對象的身份。在實際操作過程中，身份認證的設置比較簡單，可以應用在很多的子系統(tǒng)當中。但是，值得警惕的是，這種設置方式也會受到被破譯的風險；通過訪問控制形式賦予實體權限，可以識別出實體的對應身份；信息系統(tǒng)中設置了可記錄所有數據包的審計體系，通過分析可以及時發(fā)現涉足系統(tǒng)的可疑行為，并可進一步定位到攻擊對象所采用的攻擊手段，進而采取針對性保護舉措；采用信息加密、防竊聽和物理保密等技術手段對重要的機密信息進行保密設置，可以有效保障網路信息的安全性；采用密碼校驗、數字簽名和安全協(xié)議等方式杜絕任何形式的修改、偽造和刪除，保持信息的完整性；信息系統(tǒng)應該在任何情況下均能保持其可用性，發(fā)揮出基本的信息服務功能。以上六種要素是安全體系結構的核心組成，各個要素要相互依存，密切配合，才能夠確保信息系統(tǒng)的安全性，提高數據信息傳輸的可靠性。

1.2 企業(yè)信息系統(tǒng)安全性與企業(yè)運營發(fā)展間的關系

企業(yè)信息系統(tǒng)中最基本也是最重要的子系統(tǒng)包括傳達內部信息和各項決定的郵箱系統(tǒng)，關系到企業(yè)招投標安全性的電子采購系統(tǒng)以及與企業(yè)穩(wěn)定運營和健康發(fā)展息息相關的合同系統(tǒng)等。當電子采購系統(tǒng)被攻擊，招投標信息被惡意更改后將會影響到企業(yè)決策的可靠性。當企業(yè)的合同系統(tǒng)被破壞，企業(yè)的商業(yè)交易行為被暴漏以后，企業(yè)不僅面臨巨額賠償，也會進一步影響到企業(yè)的名譽，使其喪失持續(xù)發(fā)展的動力。當企業(yè)的技術系統(tǒng)和數據系統(tǒng)被攻克以后，企業(yè)將面臨赤字甚至倒閉的風險。由此可見，企業(yè)信息系統(tǒng)的安全性直接關系到企業(yè)運營的穩(wěn)定性和發(fā)展的持續(xù)性。處于偉大的信息時代，企業(yè)大力推行信息化建設的同時，也應該不斷強化信息系統(tǒng)建設的安全性。只有安全防護措施到位，才能夠使信息系統(tǒng)的功能得以表達，信息化建設的價值得以體現。

1.3 企業(yè)信息系統(tǒng)安全體系結構中存在的問題

目前，企業(yè)信息系統(tǒng)安全體系結構中存在的突出問題主要表現在三個方面：首先，缺乏完整的安全體系建設框架，不能滿足企業(yè)信息系統(tǒng)的安全需求。其次，黑客技術不斷強大，加密技術有待升級。最后，安全防護缺少針對性，對一些關系到企業(yè)穩(wěn)定運營和健康發(fā)展的子系統(tǒng)沒有進行多重保護。

2 優(yōu)化企業(yè)信息系統(tǒng)安全體系結構的對策

2.1 構建完善的企業(yè)信息系統(tǒng)安全體系結構模型

完善的企業(yè)信息系統(tǒng)安全體系結構模型中應該包含企業(yè)信息系統(tǒng)安全需求、安全技術支持平臺、基礎安全服務設施、安全管理保障體制和響應與恢復機制五部分。其中，企業(yè)信息系統(tǒng)的安全需求就是指上文中論述的企業(yè)安全的構成要素，即完整性、保密性、可用性、可靠性和可控性。在構建信息系統(tǒng)安全體系結構模型時應該充分考慮到信息系統(tǒng)的安全需求，以需求為出發(fā)點，有目的的采取防護措施。

安全技術支持平臺是保障企業(yè)信息系統(tǒng)安全性的核心元素，將眾多安全防護技術，例如防火墻、網絡行為管理和防泄密安全策略等結合在一起，共同保障網絡環(huán)境的安全性和穩(wěn)定性。此外，安全技術支持平臺還是提供安全技術服務和威脅解決方案的源頭。在安全技術支持平臺的作用下，各項安全防護策略的實施均可以得到有效的管控。值得注意的是，若安全技術支持平臺被攻擊，信息安全將失去根本保障?；A安全服務設施主要發(fā)揮基礎性作用，其應用價值主要體現在通過建立物理安全、應用安全和病毒防范等措施為信息系統(tǒng)營造一個安全可靠的網絡運行環(huán)境，進而為后續(xù)防護行為奠定基礎。

安全管理保障體系是直接影響企業(yè)信息系統(tǒng)安全的重要環(huán)節(jié)，盡管安全技術支持平臺已經提供了全面的安全技術服務，基礎安全服務設施已經建立了穩(wěn)定可靠的網絡環(huán)境。但是，如果安全管理保障體系中采用的管理方式不當，依然會使上述舉措失效，信息系統(tǒng)仍然會面臨巨大的安全風險。因此，安全管理保障體系的建設是十分關鍵的。在建設過程中，要合理設置安全管理等級，確定安全管理范圍，并結合系統(tǒng)的報警提示給與可行的應急舉措，建立完善的維護制度。此外，還應該注意的是，安全管理保障體系的運營對相關人員的專業(yè)素質要求較高。因此，企業(yè)應該特聘專業(yè)的技術人員進行安全管理體系的運營。

響應與恢復機制也是信息系統(tǒng)安全體系結構中不可或缺的重要組成部分。一方面當系統(tǒng)遭遇攻擊或破壞時，系統(tǒng)要通過提示音或其它方式作出響應，目的是發(fā)出系統(tǒng)被攻擊的可快速識別的信號。另一方面，在響應時間內，如果沒有及時制止惡意侵害行為，應該保證系統(tǒng)信息具有自動恢復的功能，將風險降低到最小。響應與恢復機制是保護企業(yè)信息系統(tǒng)安全性的最后一道屏障，應該加大建設力度，提供前沿技術支持，保證其功能的表達。

2.2 優(yōu)化企業(yè)信息系統(tǒng)安全模型，完善安全策略

信息系統(tǒng)的安全性最終還是要通過各種安全服務策略進行支持和保障。因此，優(yōu)化升級各種安全模型，完善安全策略是十分必要的舉措。在計算機安全的發(fā)展中，信息系統(tǒng)安全模型在逐步的實踐中發(fā)生變化。由一開始的靜態(tài)的系統(tǒng)安全模型逐漸過渡到動態(tài)的安全模型，例如P2DR模型，集合了策略、保護、檢測和響應等安全防護環(huán)節(jié)。其中，入侵檢測技術的應用使得系統(tǒng)安全性得到了進一步的保障。通過漏洞掃描工具，定期檢測系統(tǒng)的脆弱性，可以及時解決系統(tǒng)中存在的隱患，采取針對性防護措施，將威脅降低到可控區(qū)間。此外，通過部署監(jiān)控產品，設置監(jiān)控規(guī)則與策略也能夠實時監(jiān)控網絡行為，提高信息系統(tǒng)整體的安全性也是十分必要的舉措。

企業(yè)信息系統(tǒng)是一個相互聯(lián)系，相互作用的密集網絡群，當其中任意一個子系統(tǒng)受到攻擊以后，都可能引發(fā)企業(yè)核心機密信息的泄露。因此，對每一個子系統(tǒng)都應該采取完善的防護措施，

并逐步實現信息系統(tǒng)安全的精細化管理，深入研究精細化安全管理方案，避免在管理過程中存在漏洞。

3 結論

綜上所述，企業(yè)信息系統(tǒng)安全體系結構的構建要以企業(yè)信息系統(tǒng)安全需求、安全技術支持平臺、基礎安全服務設施、安全管理保障體制和響應與恢復機制為基礎，不斷提出新的安全策略，引入先進的安全管理模式，進而實現企業(yè)信息系統(tǒng)安全的精細化管理。企業(yè)信息系統(tǒng)的安全性直接關系到企業(yè)運營發(fā)展的穩(wěn)定性，因此，企業(yè)領導應該加強對信息系統(tǒng)安全體系結構建設的關注。

[1]唐俊，趙曉娟，賈逸龍.企業(yè)信息系統(tǒng)安全體系結構的研究[J].微計算機信息，2010.

[2]張帆.企業(yè)信息系統(tǒng)安全體系結構研究[A].中國煤炭學會煤礦自動化專業(yè)委員會.煤礦自動化與信息化——第19屆全國煤礦自動化與信息化學術會議暨中國礦業(yè)大學（北京）百年校慶學術會議論文集，2009.

[3]陳戈.企業(yè)信息化程度和安全需求水平的研究及兩者關系模型的探索[D].重慶大學，2004.