摘要：隨著信息技術的高速發(fā)展，企業(yè)對信息系統(tǒng)的依賴性也越來越強，鐵路多元經營領域也不例外。該文根據企業(yè)信息系統(tǒng)的組成、特點及現狀，將其安全管理分為硬件安全、網絡安全、軟件安全、數據安全、機房安全、管理安全等多個方面。對于每個方面，都提出了常見的安全管理措施。其中，管理安全可謂重中之重，更須引起重視。
　　關鍵詞：信息系統(tǒng)；安全；管理
　　中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2012)17-4081-04
　　信息系統(tǒng)是由計算機硬件、網絡、軟件、數據庫，以及各種信息資源、用戶、管理制度等組成的人機一體化系統(tǒng)，涉及計算機、通信、管理等多個專業(yè)領域。當前，隨著信息技術的高速發(fā)展，信息系統(tǒng)已逐步融入到企業(yè)生產經營的各個環(huán)節(jié)，并在其中起著越來越重要的作用。同時，企業(yè)對信息系統(tǒng)的依賴性也越來越強，鐵路多元經營領域也不例外?？梢哉f，很多鐵路多經、集經企業(yè)的日常經營已離不開信息系統(tǒng)的支持。
　　然而，與之相反的是，多數企業(yè)在日益依賴信息系統(tǒng)的同時，對于其安全管理卻不夠重視，在管理上存在著不少問題和隱患。這樣，就直接導致信息系統(tǒng)頻繁出現諸如硬件故障、網絡攻擊、軟件失效、數據丟失甚至整個系統(tǒng)癱瘓等一系列問題。畢竟，任何事物都是雙刃劍。信息系統(tǒng)在能給企業(yè)帶來良好經濟效益的同時，也同樣會因為其安全問題而給企業(yè)帶來各種各樣的損失。因此，做好信息系統(tǒng)的安全管理，保證其正常、可靠地運行，對于每個企業(yè)來說都是一件至關重要的事。
　　根據企業(yè)信息系統(tǒng)的組成、特點及現狀，并結合自身工作經驗，筆者認為，可將其安全管理分為硬件安全、網絡安全、軟件安全、數據安全、機房安全、管理安全等多個方面。要保證信息系統(tǒng)的安全，就需要對以上的各個方面，都采取相應的安全管理措施。
　　1硬件安全
　　保證計算機及其外設、網絡設備及線路、數據存儲介質等各種物理設備的安全。主要防止因為各種自然環(huán)境、人為等因素，導致設備無法正常工作的情況發(fā)生?？梢哉f，硬件安全是企業(yè)信息系統(tǒng)安全的前提。
　　1.1運行環(huán)境
　　各種硬件多為電子設備，而高溫無疑是電子設備的大敵。因此，硬件設備的運行環(huán)境必須保證有良好的通風散熱條件，特別在天氣炎熱時最好配備空調。還有，不要將各種雜物堆放在設備上，以防止其散熱不良引起故障。另外，對于電子設備而言，做好防水、防潮、防塵、防震、防靜電等工作都是必不可少的。特別是防水，設備一旦進水就可能立即燒毀，必須時刻警惕。
　　1.2電源供給
　　各種設備在運行過程中，如果突然遇到斷電、欠壓、浪涌等供電異常情況，則無疑會嚴重影響其正常工作并降低使用壽命（尤其是對于高速工作的硬盤而言）。因此，盡量為設備配備UPS。作為保護性的供電設備，UPS可以提供一個相對穩(wěn)定可靠的電源，但是，它需要定期充電、放電才能使電池保持活性。值得注意的是，UPS所接負載不得超過其額定功率，特別是輸出端盡量不要連接插線板，因為這樣很容易造成UPS因過載而損壞。
　　1.3合理使用
　　比如：除特殊情況外，不要對任何部件進行超頻；對于非USB設備，做到在斷電的情況下插拔；在關閉計算機時，避免強行關機和立即重啟；使用U盤等移動存儲設備時，避免直接在其上面操作等?？傊獝圩o設備，按規(guī)定合理正確地使用，盡可能延長其使用壽命，以避免因其過早損壞而帶來不必要的損失和麻煩。
　　1.4防火防盜
　　做到工作區(qū)域內不吸煙、下班關機切斷電源、不使用電茶壺等高功率電器、不亂堆亂放各種雜物等，杜絕一切可能的火險隱患。另外，各種硬件設備大都屬于價值較高物品，存在被盜風險（特別是有的企業(yè)由于生產經營的需要，平日里各種業(yè)務及閑雜人員出入較多，更是容易引發(fā)“順手牽羊”式的盜竊）。因此，要加強諸如機房、辦公室、倉庫、門衛(wèi)等區(qū)域的防盜管理，并落實設備保管負責制，明確責任人。
　　1.5小結
　　保證硬件安全的措施還有很多。然而，根據筆者工作之所見，引起大多數硬件問題的原因都是人為因素，如盲目設置CPU超頻、通電時隨意插拔非USB設備、外接負載超出UPS額定功率、堆放雜物堵塞設備散熱孔等，真正屬于自然環(huán)境及設備本身的原因其實很少。因此，保證硬件安全的關鍵還是控制人為因素的發(fā)生，要重點加強對各種設備使用和維護的管理。
　　2網絡安全
　　保證網絡系統(tǒng)及其節(jié)點的安全。目的是及時發(fā)現網絡中的異常情況，并采取相應的應對措施。通常，網絡安全的最傳統(tǒng)技術方法為“三巨頭”：防火墻、入侵檢測、防病毒。
　　2.1防火墻
　　作為一種隔離控制技術，防火墻主要用于保護企業(yè)內部網絡免受來自外部網絡的非法侵入。根據外在形式，可將其分為硬件防火墻和軟件防火墻。前者功能更強但價格相對較高，對于一般的企業(yè)來說可以使用后者，如筆者所在企業(yè)使用Norton Internet Security，它包含了防火墻、入侵檢測等多種功能。通常，防火墻能抵御大多數網絡攻擊，但是，它只能阻擋來自外部網絡的侵擾，而對于內部網絡的安全往往無能為力（這還需要通過內部有效控制和管理來實現）。還有，在定義和設置其安全策略時，要注意充分結合企業(yè)的具體業(yè)務和需求，以避免帶來不必要的問題和麻煩。
　　2.2入侵檢測
　　可對網絡系統(tǒng)的各主要環(huán)節(jié)進行實時檢測，一旦發(fā)現存在入侵跡象，則及時做出適當的響應?？梢哉f，它是防火墻功能的延續(xù)。為了充分發(fā)揮它的作用，系統(tǒng)管理員要經常察看其的報警信息，并根據運行環(huán)境的變化適當更改其安全策略，以便能及時發(fā)現和預防潛在的攻擊行為。另外，考慮到入侵檢測通常存在只能被動檢測等缺點，因此，入侵防護技術應運而生。它在入侵檢測的基礎上結合了防火墻，具有主動、積極的入侵防范及阻止功能，能更好地滿足現代網絡的安全需要。
　　2.3防病毒
　　此處所說的病毒包括了傳統(tǒng)病毒、蠕蟲、木馬、惡意腳本、U盤病毒、間諜、廣告等一系列通過網絡及移動存儲設備傳播的惡意程序，其危害不言而喻。通常，可以使用防病毒軟件（如Norton、McAfee、瑞星等）來對抗病毒，但必須要注意及時升級軟件病毒庫及掃描引擎，并開啟實時監(jiān)控。否則，即使是再好再強大的防病毒軟件，也會如同少了輪子的保時捷，只能是擺設。另外，還可以使用一些輔助安全工具（如360、Arswp等），能夠進一步提高安全性。不過，值得注意的是，防病毒軟件無法防住所有病毒。筆者好幾次碰到，防病毒軟件在面對某些病毒時不但無法防御，反而會被反殺。因此，不能指望防病毒軟件來完全解決病毒的威脅。一旦病毒突破防線進入內部網，則首先要將受感染的計算機隔離，切斷網絡。然后，再利用最新版本的其他防病毒軟件、輔助安全工具、專殺工具等，采用常規(guī)模式、安全模式、DOS環(huán)境、PE環(huán)境、拆硬盤掛機、手工、格式化、分區(qū)、Debug等方法將病毒徹底消滅。
　　2.4其他常見的方法
　　包括統(tǒng)一威脅管理（把防火墻、入侵檢測、防病毒等功能融合為一體）、數據加密、身份認證、物理隔離、劃分VLAN、使用VPN、關閉不需要的端口與服務、漏洞掃描與修補、刪除IPC$共享、IP地址與MAC地址綁定、關閉無線SSID廣播等，對于提高網絡的安全性都有較好的作用。
　　2.5小結
　　根據筆者經驗，網絡安全是企業(yè)信息系統(tǒng)中最容易出現問題的環(huán)節(jié)。隨著計算機網絡的不斷發(fā)展，每時每刻都有大量新的網絡安全威脅產生。對此，雖然我們不能保證能夠完全防御各種各樣的威脅，然而，卻可以通過有效的預防和應對措施，將其對信息系統(tǒng)的影響降至最低程度。正如世界上沒有永遠堅不可摧的盾，但我們卻可以通過自身努力，最大程度上提高盾的防御力。
　　3軟件安全
　　保證系統(tǒng)軟件、應用軟件等各種工作所需軟件的安全。即保證軟件的正常運行和使用，使其免遭破壞、非法操作、功能失效等。
　　3.1設置登陸口令
　　包括開機、BIOS、操作系統(tǒng)、各種應用軟件系統(tǒng)等登陸口令，以防止各種非法操作。作為身份認證中最簡單、也是用得最多的方法，口令要盡量復雜（如字母、數字、符號等多種排列組合），并定期更換。還有，要做到自己牢記，避免隨意泄露。筆者發(fā)現部分企業(yè)員工經常使用如123456、111111、生日時間等極易被破解的弱口令，而有的員工雖然設置了復雜口令，卻將其寫在紙上并隨意放置在鍵盤下，這等于口令成了擺設。另外，在離開計算機時最好注銷操作系統(tǒng)，或者開啟屏幕保護程序（須啟用恢復密碼保護）。這對于財務人員來說更是特別重要。
　　3.2不要安裝無關軟件
　　包括各種游戲軟件、聊天軟件、炒股軟件、下載軟件、視頻播放軟件等。這些軟件安裝在操作系統(tǒng)中，既降低整體性能，又可能導致一系列的問題。有時，它們還會攜帶木馬、廣告、間諜等惡意插件，部分軟件還具有“請神容易送神難”的特點，安裝很容易，卸載卻非常麻煩。筆者多次遇見由于部分員工安裝了這些軟件，從而引起死機、丟失文件、運行沖突、篡改注冊表等問題。所以，應該牢記：建立企業(yè)信息系統(tǒng)的目的是用于日常工作，而不是各種娛樂和私人活動。因此，與工作無關的軟件不應該出現在計算機中。
　　3.3慎用優(yōu)化軟件
　　不可否認，使用優(yōu)化軟件對操作系統(tǒng)進行優(yōu)化（如系統(tǒng)加速、軟件卸載、垃圾清理等），有時確實能收到一定的效果。然而，事實上大多數優(yōu)化軟件都是非官方提供，往往缺少嚴格的測試，同時又不可避免地存在某些缺陷。這樣，直接導致了在某些時候優(yōu)化不僅達不到目的，反而帶來始料未及的副作用（如造成部分應用軟件甚至操作系統(tǒng)無法正常運行）。因此，建議優(yōu)化軟件還是謹慎使用為妙。
　　3.4其他常見的方法
　　包括做好軟件的必要升級和更新、禁止運行格式化等危險命令、避免頻繁安裝/卸載軟件（特別是各種硬件的驅動）、不要隨意操作注冊表和刪除文件、取消或屏蔽不需要的接口等，對于保證各種軟件的安全都有好處。
　　3.5小結
　　軟件安全往往和網絡安全聯系密切，很多網絡安全的技術方法（如防病毒、身份認證、漏洞掃描與修補等）也同樣適用于軟件安全。另外，值得注意的是，有時某些軟件的版本并不一定是越新就越好，補丁也不一定是安裝得越多就越好。在更新軟件及補丁時，應在保證穩(wěn)定的前提下，根據實際需求、運行環(huán)境等情況來靈活選擇，要避免盲目安裝。
　　4數據安全
　　保證文檔、圖檔、數據庫文件、安裝包等各種數據文件的安全，以防止其遭到破壞、泄露、丟失等。除了以上所提到的諸如存儲介質安全、防病毒、身份認證等安全技術方法之外，還特別要注意做好數據庫的保障及數據的備份等工作。
　　4.1做好數據庫的保障
　　數據庫往往存儲了大量寶貴數據，一旦出現安全問題后果不堪設想。所以，必須采取有效措施來確保數據庫的安全。首先，在數據庫的選擇上，建議采用SQL Server、Oracle等技術較為成熟的產品。其次，在數據庫的日常管理及維護中，要從網絡系統(tǒng)、宿主操作系統(tǒng)、數據庫管理系統(tǒng)等多層次出發(fā)，做好數據庫的用戶識別、存取控制、加密、審計、備份及恢復等安全管理工作，以保證其完整性、保密性、可用性。另外，由于數據庫的記錄往往處于動態(tài)變化之中，所以如果僅僅依靠系統(tǒng)管理員的定時備份，顯然無法滿足安全的需要。因此，通?？梢圆捎肦AID（獨立冗余磁盤陣列）的方法。如筆者所在企業(yè)中，在財務數據庫服務器上采用了RAID1，因為它的安全性相對最高（雖然其磁盤空間利用率只有50%，但卻提供了100%的數據實時備份）。而在其他的服務器上則采用了目前流行的RAID5，在保證數據安全的同時也兼顧存儲成本。
　　4.2做好其他數據的備份
　　對于其他重要的數據文件，可先對其壓縮及加密（壓縮能減少磁盤空間的占用，并一定程度上降低被病毒感染的幾率），然后存儲于多個位置，比如本機其他盤符或其他計算機中。有條件的話，也可以刻錄成光盤保存。但是，盡量不要使用U盤做備份，因為很多U盤的質量實在是難以恭維。筆者在工作中多次遇到U盤中的數據無法讀取、甚至U盤本身無法識別的情況，因此U盤不是備份的理想位置。值得注意的是，在做備份之前應首先確保要備份的數據文件本身沒有問題（如未感染病毒、未被篡改等），否則，可能會帶來新的安全威脅。
　　4.3建立容災備份
　　與傳統(tǒng)的本地備份不同，容災備份一般在距離較遠的異地建立多套功能相同的系統(tǒng)。這樣，一旦當本地發(fā)生諸如火災、盜竊、地震等災難時，它就可以通過異地的系統(tǒng)來提供本地關鍵數據的實時備份，甚至提供不間斷的應用服務。通常，容災備份可基于SAN、NAS、遠程鏡像、虛擬存儲、快照等技術來實現。雖然，由于建設及維護成本較高等因素，目前它在中小企業(yè)中的應用相對較少。但是，隨著技術的不斷發(fā)展和企業(yè)對數據安全要求的日益提高，相信它的應用將會越來越廣泛。
　　4.4其他常見的方法
　　包括專業(yè)軟件備份、雙機容錯、數據遷移等，都是保證數據安全的可行方法之一。
　　4.5小結
　　可以說，建立完善的數據備份方案（特別是容災備份）是保證數據安全的最重要、最有效的方法。畢竟，當不可預料的數據災難突然發(fā)生時，它無疑將成為“救命稻草”，能最大程度上地減少損失。因此，在任何時候都必須重視數據的備份工作，并根據企業(yè)的實際情況來選擇合適的備份方案，要真正地做到有備無患。
　　5機房安全
　　機房是企業(yè)信息系統(tǒng)的核心位置所在，一旦出現問題可能會帶來極其嚴重的后果（如整個信息系統(tǒng)癱瘓等）。為此，除了要做到常見的硬件、網絡、軟件、數據等安全措施之外，還必須注意：
　　5.1保證機房設備環(huán)境
　　機房放置著服務器、路由器、交換機、UPS等關鍵設備，通常是24小時運行。因此，機房必須保持干凈整潔，有專門的防火、防盜、防水、防鼠、防震、防雷擊、防靜電等措施，并配備相應的應急設備（如氣體滅火器、應急燈等）。考慮到機房中設備架和線纜比較多，所以設備架之間要留出足夠空間，線纜要按規(guī)程正確布線（保持良好的排放順序）并貼好標簽。同時，在各種設備、強電弱電線纜之間要保持一定距離，以防止干擾。
　　5.2保證供電安全
　　機房必須使用穩(wěn)定可靠的UPS。根據實際情況，可為各種設備分別提供小型UPS，或者為整套設備提供一個大型UPS系統(tǒng)。另外，可采用配電箱給不同的設備分配不同的電力輸入。這樣，當某路電源斷路或短路時不會影響其他設備的工作。還有，機房必須良好接地，可采用將交流接地、直流接地、保護接地、防雷接地共用一組的聯合接地方式。筆者所在企業(yè)的機房就是采用了這種接地方式。
　　5.3嚴格機房保衛(wèi)制度
　　機房門可加雙鎖，并規(guī)定雙人進出制度，禁止單人在機房操作。各種服務器要專機專用，不允許兼作其他用機。并且，除了系統(tǒng)管理員、安全檢查員、值班操作人員等相關工作人員因工作需要之外，其他無關人員未經許可一律禁止擅自進出機房。
　　5.4嚴格控制機房使用
　　機房內不得堆放任何與信息系統(tǒng)日常管理及維護無關的雜物（如紙箱、無關的資料、淘汰的設備、私人物品等），也不得做與工作無關的私事。筆者在不少企業(yè)都遇到過：有的員工可能是因為找不到地方或貪圖方便，將機房當作了倉庫，將平時用得不多的雜物堆放在機房。而有的系統(tǒng)管理員也將機房當作了休息間，在服務器上做與工作無關的事。這些都是嚴格禁止的。切記：機房是企業(yè)信息系統(tǒng)的核心位置所在，是用來放置各種關鍵設備的。它既不是倉庫，也不是休息間。
　　5.5小結
　　保證機房安全的措施還有很多，這里就不一一舉例了。機房安全的重要性不言而喻，然而，事實上多數企業(yè)對此還是不夠重視。比如，有的企業(yè)機房幾乎沒有任何應急設備，甚至連UPS也沒有；而有的雖然表面上配備了應急設備，但設備卻早已失靈或老化，基本上就是擺設。因此，對于機房安全，企業(yè)要真正地從心里面重視，而不能只是為了應付檢查而做做樣子。否則，一旦發(fā)生突發(fā)事件，后果難以預料。
　　6管理安全
　　相對于其他方面而言，管理安全往往最容易被忽視，但是，它卻是最重要的。管理安全直接關系到各種安全問題能否得到有效預防和解決，是貫穿企業(yè)信息系統(tǒng)安全管理的主線和基礎。在管理的諸多要素之中，人的因素是最重要、最關鍵、也是最難控制的。因此，必須做好對人的管理，嚴格控制人為因素的發(fā)生。
　　6.1建立企業(yè)信息系統(tǒng)安全管理制度
　　①組織和人員制度：企業(yè)領導層、部門負責人、系統(tǒng)管理員、普通員工等的職責、分工、培訓、考核等制度。
　　②運行維護和管理制度：包括信息系統(tǒng)硬件、網絡、軟件、數據等安全管理制度、機房出入和值班守則、各種操作規(guī)程、領導定期檢查和監(jiān)督等。尤其要真正落實“誰使用誰負責，誰保管誰負責”的原則。
　　筆者認為，制度不在于數量，而在于執(zhí)行。因此，必須做好各種安全管理制度的宣傳、講解，使企業(yè)每個員工都清楚了解、徹底明白。不管什么制度，都要根據實際情況來制訂，并根據企業(yè)的發(fā)展狀況適時更新，要真正地適合于本企業(yè)。制度一旦制訂，就要嚴格執(zhí)行（如對于違反制度的員工，嚴肅處理；而對于認真執(zhí)行的員工，適當獎勵）。如果只是制訂卻不執(zhí)行，或者執(zhí)行時僅僅走走形式、做做樣子，那即使是再多、再完美的制度也沒有什么意義。
　　6.2加強對員工的教育培訓，并糾正觀念
　　某些員工缺少IT專業(yè)知識，觀念落后且安全意識淡薄。筆者在工作中經常碰到此類現象。有的是因為技術水平不高，比如：以為裝了防病毒軟件就百毒不侵、把各種網絡設備混為一談、將有用的文件誤刪除等；而有的則是因為觀念落后和責任心不強，比如：登錄口令太簡單或干脆為空、隨意上網和下載而沒有安全意識、出了問題（死機、中毒、無法開機等）通知系統(tǒng)管理員就行了（認為這些都是系統(tǒng)管理員的職責）等。因此，必須加強對全體員工的教育培訓，包括信息系統(tǒng)硬件、網絡、軟件、數據等安全知識以及各種應急處理技術等，提高其技術水平。并且，還要糾正其觀念，使之認識到企業(yè)中每個人都是信息系統(tǒng)安全管理的一分子，都有對信息系統(tǒng)的安全負責的責任，而這絕不僅僅只是系統(tǒng)管理員的職責。
　　6.3發(fā)現問題立即處理，并做好后期工作
　　一旦信息系統(tǒng)出現問題，立即采取相應措施。首先要防止問題進一步擴大，比如：發(fā)現各種異常情況即刻告知系統(tǒng)管理員、遇到嚴重網絡攻擊時立即切斷網絡、各種有用數據丟失時及時起用備份、某些重要設備出現故障無法迅速修復時先予以更換（確保系統(tǒng)可用）再進行處理等。在采取有效措施的同時，要及時查找并分析問題產生的原因，總結經驗和教訓，制訂相應的預防措施。另外，做好應急預案的編制，以便在緊急情況下能及時正確地處理，將可能的損失降到最低程度。
　　6.4其他常見的方法
　　包括涉外業(yè)務人員的管理、風險評估和管理、信息安全標準化等，都是保證管理安全的可行方法之一。
　　6.5小結
　　對于管理安全，筆者認為重點還在于強化自上而下的管理。企業(yè)領導層作為管理層的核心，首先要重視信息系統(tǒng)的安全管理。只有領導層重視了，才會相應帶動廣大各級員工的重視和支持。這樣，才能在企業(yè)內部真正有效地推行信息系統(tǒng)安全管理的理念和技術，從而形成自上而下、齊抓共管的良好局面。
　　7結束語
　　綜上所述，企業(yè)信息系統(tǒng)的安全管理是一項涉及多方面的綜合性系統(tǒng)工程，它的實現不僅涉及到多種技術問題，而且還離不開人、制度等諸多因素的配合。因此，可以說硬件安全、網絡安全、軟件安全、數據安全、機房安全、管理安全等各個方面都是緊密相連、缺一不可，且管理安全更是其中的重中之重。隨著信息化建設的不斷深入，信息系統(tǒng)已成為企業(yè)經營發(fā)展的最重要基礎之一。而做好安全管理，無疑是保證其正常有效發(fā)揮作用的前提。因此，我們必須高度重視，做到理論與實際相結合，對于信息系統(tǒng)安全管理的各個方面都采取有效的預防和應對措施，同時不斷積累經驗并提高管理水平，切實保證企業(yè)信息系統(tǒng)的安全。
　　參考文獻：
　　[1]許遠.信息系統(tǒng)安全管理實務[M].北京:電子工業(yè)出版社，2009.
　　[2]牛少彰.信息安全導論[M].北京:國防工業(yè)