王璐

摘 要：網(wǎng)絡(luò)技術(shù)日益成熟的今天，信息化管理無(wú)處不在，優(yōu)化信息系統(tǒng)是當(dāng)前企業(yè)提升管理科學(xué)水平的一個(gè)重大課題。文章從信息系統(tǒng)的運(yùn)行與維護(hù)的關(guān)鍵控制點(diǎn)存在的風(fēng)險(xiǎn)出發(fā)提出相應(yīng)的控制措施。

關(guān)鍵詞：信息系統(tǒng)；風(fēng)險(xiǎn)；措施

網(wǎng)絡(luò)技術(shù)日益成熟的今天，信息化管理無(wú)處不在，優(yōu)化信息系統(tǒng)是當(dāng)前企業(yè)提升管理科學(xué)水平的一個(gè)重大課題。提高信息系統(tǒng)的運(yùn)行與維護(hù)水平，是提升企業(yè)管理活動(dòng)的重中之重，關(guān)系到整個(gè)企業(yè)的生死存亡，所以加強(qiáng)信息系統(tǒng)的運(yùn)行與維護(hù)有著重要的意義。

一、系統(tǒng)的運(yùn)行維護(hù)

1.系統(tǒng)運(yùn)行維護(hù)存在的風(fēng)險(xiǎn)

（1）網(wǎng)絡(luò)管理制度不健全，管理不科學(xué)，日常維護(hù)不及時(shí)。沒有完善網(wǎng)絡(luò)系統(tǒng)安全規(guī)章制度帶來(lái)的風(fēng)險(xiǎn)，導(dǎo)致企業(yè)信息系統(tǒng)出錯(cuò)。

（2）系統(tǒng)運(yùn)行維護(hù)和安全措施不到位，導(dǎo)致信息泄露和毀損，沒有規(guī)范操作流程和故障處理流程，造成人為失誤與故障。

（3）缺乏科學(xué)合理的責(zé)任追究機(jī)制，由于工作態(tài)度、工作作風(fēng)等各種人為因素導(dǎo)致的系統(tǒng)數(shù)據(jù)未能定期備份等等。

（4）由于市場(chǎng)變化、政策法規(guī)變化，硬件、軟件的更新引起的變化，使系統(tǒng)不能正常運(yùn)行。對(duì)信息不加以特別保護(hù)，使信息容易被非法修改、刪除、轉(zhuǎn)移和偽造。

2.系統(tǒng)運(yùn)行維護(hù)的措施

（1）在企業(yè)中信息操作系統(tǒng)一定要安裝防火墻、數(shù)字簽名與認(rèn)證、入侵檢測(cè)等，采用隔離控制、訪問控制、信息加密和審計(jì)跟蹤，確保信息系統(tǒng)的安全性。

（2）當(dāng)系統(tǒng)出現(xiàn)意外時(shí)對(duì)系統(tǒng)運(yùn)行要做好記錄。利用密碼技術(shù)對(duì)信息進(jìn)行交換，實(shí)現(xiàn)信息隱蔽，有效保護(hù)信息的安全不受侵犯并同時(shí)對(duì)重要數(shù)據(jù)加密。

（3）在日常管理與維護(hù)中，管理員定期對(duì)各種設(shè)備進(jìn)行保養(yǎng)、故障的診斷、排除易耗品的更換與安裝等。配備專業(yè)人員負(fù)責(zé)處理信息系統(tǒng)運(yùn)行中的突發(fā)事件，必要時(shí)和軟硬件供應(yīng)商共同解決。

（4）建立和健全操作管理、系統(tǒng)文檔管理和數(shù)據(jù)管理等各項(xiàng)管理制度，保護(hù)計(jì)算機(jī)硬件、軟件的安全。

（5）建立定期維護(hù)軟件制度，定期評(píng)估應(yīng)用軟件系統(tǒng)平臺(tái)的性能、功能缺陷，對(duì)網(wǎng)絡(luò)軟件中的安全缺口及時(shí)修補(bǔ)、操作系統(tǒng)升級(jí)，及時(shí)和開發(fā)商溝通消除應(yīng)用系統(tǒng)可能存在的安全隱患和威脅、根據(jù)需求更新或變更系統(tǒng)功能。

（6）定期評(píng)估系統(tǒng)平臺(tái)的性能，制定系統(tǒng)故障處理應(yīng)急預(yù)案，及時(shí)消除故障隱患，保障信息系統(tǒng)的安全、穩(wěn)定、持續(xù)運(yùn)行。

二、系統(tǒng)運(yùn)行的安全管理

1.安全管理的風(fēng)險(xiǎn)

（1）硬件方面，設(shè)備缺乏保護(hù)措施和存在管理漏洞。給計(jì)算機(jī)供電不平衡，空調(diào)系統(tǒng)對(duì)計(jì)算機(jī)的溫度、濕度等不適合。操作人員不按規(guī)定的程序使用硬件設(shè)備，故意破壞計(jì)算機(jī)硬件、致使系統(tǒng)運(yùn)行中斷或毀滅，對(duì)硬件系統(tǒng)造成極大的破壞。

（2）業(yè)務(wù)部門信息安全意識(shí)薄弱，信息傳輸線路不安全、存儲(chǔ)保護(hù)技術(shù)有弱點(diǎn)及使用管理不嚴(yán)格等。

（3）黑客的惡意攻擊行為對(duì)企業(yè)網(wǎng)絡(luò)進(jìn)行破壞與盜竊。對(duì)系統(tǒng)程序的缺陷或漏洞安全防護(hù)不夠，不法分子利用木馬、病毒、間諜軟件等非法方式對(duì)企業(yè)網(wǎng)絡(luò)進(jìn)行破壞或盜用企業(yè)數(shù)據(jù)。

（4）安全技術(shù)不足，管理設(shè)備松散、員工安全意識(shí)淡薄等問題滋長(zhǎng)病毒、蠕蟲、木馬等的危害，嚴(yán)重時(shí)有可能造成整個(gè)企業(yè)網(wǎng)絡(luò)的癱瘓，導(dǎo)致系統(tǒng)運(yùn)行不穩(wěn)定甚至癱瘓。

（5）在技術(shù)上有缺陷。網(wǎng)絡(luò)硬件、軟件產(chǎn)品大多數(shù)都是依靠進(jìn)口，這些軟件大多都存在隱患，再加上人類認(rèn)知能力和技術(shù)發(fā)展的有限性，都可能造成網(wǎng)絡(luò)的安全問題。

2.安全管理的控制措施

（1）企業(yè)應(yīng)當(dāng)建立信息系統(tǒng)的管理制度，不單純是數(shù)據(jù)，把技術(shù)資料、業(yè)務(wù)應(yīng)用數(shù)據(jù)和應(yīng)用軟件也包括進(jìn)去，來(lái)保證硬件和網(wǎng)絡(luò)設(shè)備的安全。

（2）企業(yè)應(yīng)成立專門的信息系統(tǒng)安全管理機(jī)構(gòu)，對(duì)企業(yè)的信息安全作出總體規(guī)劃和全方位嚴(yán)格管理，同時(shí)建立信息系統(tǒng)安全保密制度和泄密責(zé)任追究制度。提高企業(yè)員工安全保密意識(shí)，對(duì)重要崗位員工進(jìn)行信息系統(tǒng)安全保密培訓(xùn)。

（3）企業(yè)應(yīng)當(dāng)按照國(guó)家相關(guān)法律法規(guī)以及信息安全技術(shù)標(biāo)準(zhǔn)，制定信息系統(tǒng)安全實(shí)施細(xì)則。從安全管理上，建立和完善安全管理規(guī)范和機(jī)制，切實(shí)加強(qiáng)和落實(shí)安全管理制度，增強(qiáng)安全防范意識(shí)；進(jìn)行全面安全分析制定防范措施和解決方案；正確配置網(wǎng)絡(luò)病毒軟件、入侵檢測(cè)系統(tǒng)，建立安全認(rèn)證系統(tǒng)采用相應(yīng)技術(shù)手段保證信息系統(tǒng)運(yùn)行安全有序。

（4）結(jié)合國(guó)家政策法規(guī)，企業(yè)性質(zhì)和規(guī)章制度的基礎(chǔ)上，從安全生產(chǎn)方面看：分出安全級(jí)別；從資產(chǎn)安全的需求看：分出安全級(jí)別需求。關(guān)于計(jì)算機(jī)設(shè)備，定期進(jìn)行檢查。利用技術(shù)手段，對(duì)硬件配置調(diào)整、軟件參數(shù)修改嚴(yán)加控制，防止員工擅自安裝、卸載軟件或者改變軟件系統(tǒng)配置。

（5）企業(yè)應(yīng)當(dāng)采取安裝安全軟件等措施防范信息系統(tǒng)受到病毒等惡意軟件的感染和破壞。系統(tǒng)管理員必須跟蹤有關(guān)操作系統(tǒng)漏洞的發(fā)布，及時(shí)下載補(bǔ)丁進(jìn)行防范，經(jīng)常對(duì)關(guān)鍵數(shù)據(jù)和文件進(jìn)行備份和妥善保存，經(jīng)常觀察系統(tǒng)文件的變化情況。關(guān)于網(wǎng)絡(luò)應(yīng)用，要綜合利用防火墻、路由器等網(wǎng)絡(luò)設(shè)備加強(qiáng)網(wǎng)絡(luò)安全，嚴(yán)密防范來(lái)自互聯(lián)網(wǎng)的黑客攻擊和非法侵入。

（6）對(duì)計(jì)算機(jī)定時(shí)殺毒，對(duì)外來(lái)不明軟盤，要經(jīng)過嚴(yán)格的病毒監(jiān)測(cè)。網(wǎng)絡(luò)設(shè)備落實(shí)到人，責(zé)任人對(duì)于計(jì)算機(jī)的系統(tǒng)登陸必須設(shè)置帳號(hào)密碼，嚴(yán)格控制非使用人員使用計(jì)算機(jī)。計(jì)算機(jī)操作人員不得隨意在各終端及局域網(wǎng)上安裝任何與工作無(wú)關(guān)的軟件程序。系統(tǒng)數(shù)據(jù)定期備份明確備份范圍、責(zé)任人、存放地點(diǎn)等。數(shù)據(jù)正本與備份應(yīng)分別存放于不同地點(diǎn)，防止因火災(zāi)、水災(zāi)、地震等事故產(chǎn)生不利影響。同時(shí)定期評(píng)估數(shù)據(jù)的安全性、可靠性和完整性，并制定數(shù)據(jù)通信應(yīng)急處理預(yù)案。

（7）企業(yè)應(yīng)當(dāng)建立信息系統(tǒng)開發(fā)、運(yùn)行與維護(hù)等環(huán)節(jié)的制度。操作系統(tǒng)應(yīng)用越多，相應(yīng)的軟件漏洞也會(huì)隨之增多，惡意攻擊者會(huì)對(duì)操作系統(tǒng)進(jìn)行各種攻擊，定期評(píng)估病毒影響，制定病毒保護(hù)和恢復(fù)策略，通過安裝軟件補(bǔ)丁有效地提高系統(tǒng)受到攻擊的風(fēng)險(xiǎn)，提高系統(tǒng)防御能力。endprint