◆喬世妮

(廣西南南鋁加工有限公司 廣西 530031)

0 引言

企業(yè)信息系統(tǒng)的安全性直接關(guān)系到企業(yè)運(yùn)營的穩(wěn)定性和戰(zhàn)略性。企業(yè)信息系統(tǒng)中所包含的企業(yè)郵箱系統(tǒng)關(guān)系到內(nèi)部信息的保護(hù)，電子采購系統(tǒng)關(guān)系到企業(yè)招投標(biāo)體系的安全性，合同系統(tǒng)則關(guān)系到企業(yè)的商業(yè)機(jī)密，進(jìn)而影響到企業(yè)的戰(zhàn)略發(fā)展。因此，加強(qiáng)企業(yè)信息系統(tǒng)的安全性是值得現(xiàn)代企業(yè)重點(diǎn)關(guān)注和研究的問題。鑒于此，本文對(duì)企業(yè)信息系統(tǒng)安全體系結(jié)構(gòu)的思考具有重要的價(jià)值。

1 企業(yè)信息系統(tǒng)安全體系結(jié)構(gòu)發(fā)展現(xiàn)狀

1.1 企業(yè)信息系統(tǒng)安全構(gòu)成因素

安全體系結(jié)構(gòu)是對(duì)企業(yè)信息系統(tǒng)安全服務(wù)功能的整體概括，體系中既包括規(guī)范信息系統(tǒng)操作的各項(xiàng)安全體制，也包含各個(gè)系統(tǒng)間信息元素的交換條件。具體而言，企業(yè)信息系統(tǒng)安全構(gòu)成因素主要表現(xiàn)在以下幾個(gè)方面：身份認(rèn)證。一般采用公鑰或私鑰機(jī)制等方法識(shí)別應(yīng)用程序和服務(wù)客戶端的過程，可以有效識(shí)別出信息的發(fā)出位置和交互對(duì)象的身份。在實(shí)際操作過程中，身份認(rèn)證的設(shè)置比較簡(jiǎn)單，可以應(yīng)用在很多的子系統(tǒng)當(dāng)中。但是，值得警惕的是，這種設(shè)置方式也會(huì)受到被破譯的風(fēng)險(xiǎn)；通過訪問控制形式賦予實(shí)體權(quán)限，可以識(shí)別出實(shí)體的對(duì)應(yīng)身份；信息系統(tǒng)中設(shè)置了可記錄所有數(shù)據(jù)包的審計(jì)體系，通過分析可以及時(shí)發(fā)現(xiàn)涉足系統(tǒng)的可疑行為，并可進(jìn)一步定位到攻擊對(duì)象所采用的攻擊手段，進(jìn)而采取針對(duì)性保護(hù)舉措；采用信息加密、防竊聽和物理保密等技術(shù)手段對(duì)重要的機(jī)密信息進(jìn)行保密設(shè)置，可以有效保障網(wǎng)路信息的安全性；采用密碼校驗(yàn)、數(shù)字簽名和安全協(xié)議等方式杜絕任何形式的修改、偽造和刪除，保持信息的完整性；信息系統(tǒng)應(yīng)該在任何情況下均能保持其可用性，發(fā)揮出基本的信息服務(wù)功能。以上六種要素是安全體系結(jié)構(gòu)的核心組成，各個(gè)要素要相互依存，密切配合，才能夠確保信息系統(tǒng)的安全性，提高數(shù)據(jù)信息傳輸?shù)目煽啃浴?/p>

1.2 企業(yè)信息系統(tǒng)安全性與企業(yè)運(yùn)營發(fā)展間的關(guān)系

企業(yè)信息系統(tǒng)中最基本也是最重要的子系統(tǒng)包括傳達(dá)內(nèi)部信息和各項(xiàng)決定的郵箱系統(tǒng)，關(guān)系到企業(yè)招投標(biāo)安全性的電子采購系統(tǒng)以及與企業(yè)穩(wěn)定運(yùn)營和健康發(fā)展息息相關(guān)的合同系統(tǒng)等。當(dāng)電子采購系統(tǒng)被攻擊，招投標(biāo)信息被惡意更改后將會(huì)影響到企業(yè)決策的可靠性。當(dāng)企業(yè)的合同系統(tǒng)被破壞，企業(yè)的商業(yè)交易行為被暴漏以后，企業(yè)不僅面臨巨額賠償，也會(huì)進(jìn)一步影響到企業(yè)的名譽(yù)，使其喪失持續(xù)發(fā)展的動(dòng)力。當(dāng)企業(yè)的技術(shù)系統(tǒng)和數(shù)據(jù)系統(tǒng)被攻克以后，企業(yè)將面臨赤字甚至倒閉的風(fēng)險(xiǎn)。由此可見，企業(yè)信息系統(tǒng)的安全性直接關(guān)系到企業(yè)運(yùn)營的穩(wěn)定性和發(fā)展的持續(xù)性。處于偉大的信息時(shí)代，企業(yè)大力推行信息化建設(shè)的同時(shí)，也應(yīng)該不斷強(qiáng)化信息系統(tǒng)建設(shè)的安全性。只有安全防護(hù)措施到位，才能夠使信息系統(tǒng)的功能得以表達(dá)，信息化建設(shè)的價(jià)值得以體現(xiàn)。

1.3 企業(yè)信息系統(tǒng)安全體系結(jié)構(gòu)中存在的問題

目前，企業(yè)信息系統(tǒng)安全體系結(jié)構(gòu)中存在的突出問題主要表現(xiàn)在三個(gè)方面：首先，缺乏完整的安全體系建設(shè)框架，不能滿足企業(yè)信息系統(tǒng)的安全需求。其次，黑客技術(shù)不斷強(qiáng)大，加密技術(shù)有待升級(jí)。最后，安全防護(hù)缺少針對(duì)性，對(duì)一些關(guān)系到企業(yè)穩(wěn)定運(yùn)營和健康發(fā)展的子系統(tǒng)沒有進(jìn)行多重保護(hù)。

2 優(yōu)化企業(yè)信息系統(tǒng)安全體系結(jié)構(gòu)的對(duì)策

2.1 構(gòu)建完善的企業(yè)信息系統(tǒng)安全體系結(jié)構(gòu)模型

完善的企業(yè)信息系統(tǒng)安全體系結(jié)構(gòu)模型中應(yīng)該包含企業(yè)信息系統(tǒng)安全需求、安全技術(shù)支持平臺(tái)、基礎(chǔ)安全服務(wù)設(shè)施、安全管理保障體制和響應(yīng)與恢復(fù)機(jī)制五部分。其中，企業(yè)信息系統(tǒng)的安全需求就是指上文中論述的企業(yè)安全的構(gòu)成要素，即完整性、保密性、可用性、可靠性和可控性。在構(gòu)建信息系統(tǒng)安全體系結(jié)構(gòu)模型時(shí)應(yīng)該充分考慮到信息系統(tǒng)的安全需求，以需求為出發(fā)點(diǎn)，有目的的采取防護(hù)措施。

安全技術(shù)支持平臺(tái)是保障企業(yè)信息系統(tǒng)安全性的核心元素，將眾多安全防護(hù)技術(shù)，例如防火墻、網(wǎng)絡(luò)行為管理和防泄密安全策略等結(jié)合在一起，共同保障網(wǎng)絡(luò)環(huán)境的安全性和穩(wěn)定性。此外，安全技術(shù)支持平臺(tái)還是提供安全技術(shù)服務(wù)和威脅解決方案的源頭。在安全技術(shù)支持平臺(tái)的作用下，各項(xiàng)安全防護(hù)策略的實(shí)施均可以得到有效的管控。值得注意的是，若安全技術(shù)支持平臺(tái)被攻擊，信息安全將失去根本保障。基礎(chǔ)安全服務(wù)設(shè)施主要發(fā)揮基礎(chǔ)性作用，其應(yīng)用價(jià)值主要體現(xiàn)在通過建立物理安全、應(yīng)用安全和病毒防范等措施為信息系統(tǒng)營造一個(gè)安全可靠的網(wǎng)絡(luò)運(yùn)行環(huán)境，進(jìn)而為后續(xù)防護(hù)行為奠定基礎(chǔ)。

安全管理保障體系是直接影響企業(yè)信息系統(tǒng)安全的重要環(huán)節(jié)，盡管安全技術(shù)支持平臺(tái)已經(jīng)提供了全面的安全技術(shù)服務(wù)，基礎(chǔ)安全服務(wù)設(shè)施已經(jīng)建立了穩(wěn)定可靠的網(wǎng)絡(luò)環(huán)境。但是，如果安全管理保障體系中采用的管理方式不當(dāng)，依然會(huì)使上述舉措失效，信息系統(tǒng)仍然會(huì)面臨巨大的安全風(fēng)險(xiǎn)。因此，安全管理保障體系的建設(shè)是十分關(guān)鍵的。在建設(shè)過程中，要合理設(shè)置安全管理等級(jí)，確定安全管理范圍，并結(jié)合系統(tǒng)的報(bào)警提示給與可行的應(yīng)急舉措，建立完善的維護(hù)制度。此外，還應(yīng)該注意的是，安全管理保障體系的運(yùn)營對(duì)相關(guān)人員的專業(yè)素質(zhì)要求較高。因此，企業(yè)應(yīng)該特聘專業(yè)的技術(shù)人員進(jìn)行安全管理體系的運(yùn)營。

響應(yīng)與恢復(fù)機(jī)制也是信息系統(tǒng)安全體系結(jié)構(gòu)中不可或缺的重要組成部分。一方面當(dāng)系統(tǒng)遭遇攻擊或破壞時(shí)，系統(tǒng)要通過提示音或其它方式作出響應(yīng)，目的是發(fā)出系統(tǒng)被攻擊的可快速識(shí)別的信號(hào)。另一方面，在響應(yīng)時(shí)間內(nèi)，如果沒有及時(shí)制止惡意侵害行為，應(yīng)該保證系統(tǒng)信息具有自動(dòng)恢復(fù)的功能，將風(fēng)險(xiǎn)降低到最小。響應(yīng)與恢復(fù)機(jī)制是保護(hù)企業(yè)信息系統(tǒng)安全性的最后一道屏障，應(yīng)該加大建設(shè)力度，提供前沿技術(shù)支持，保證其功能的表達(dá)。

2.2 優(yōu)化企業(yè)信息系統(tǒng)安全模型，完善安全策略

信息系統(tǒng)的安全性最終還是要通過各種安全服務(wù)策略進(jìn)行支持和保障。因此，優(yōu)化升級(jí)各種安全模型，完善安全策略是十分必要的舉措。在計(jì)算機(jī)安全的發(fā)展中，信息系統(tǒng)安全模型在逐步的實(shí)踐中發(fā)生變化。由一開始的靜態(tài)的系統(tǒng)安全模型逐漸過渡到動(dòng)態(tài)的安全模型，例如P2DR模型，集合了策略、保護(hù)、檢測(cè)和響應(yīng)等安全防護(hù)環(huán)節(jié)。其中，入侵檢測(cè)技術(shù)的應(yīng)用使得系統(tǒng)安全性得到了進(jìn)一步的保障。通過漏洞掃描工具，定期檢測(cè)系統(tǒng)的脆弱性，可以及時(shí)解決系統(tǒng)中存在的隱患，采取針對(duì)性防護(hù)措施，將威脅降低到可控區(qū)間。此外，通過部署監(jiān)控產(chǎn)品，設(shè)置監(jiān)控規(guī)則與策略也能夠?qū)崟r(shí)監(jiān)控網(wǎng)絡(luò)行為，提高信息系統(tǒng)整體的安全性也是十分必要的舉措。

企業(yè)信息系統(tǒng)是一個(gè)相互聯(lián)系，相互作用的密集網(wǎng)絡(luò)群，當(dāng)其中任意一個(gè)子系統(tǒng)受到攻擊以后，都可能引發(fā)企業(yè)核心機(jī)密信息的泄露。因此，對(duì)每一個(gè)子系統(tǒng)都應(yīng)該采取完善的防護(hù)措施，

并逐步實(shí)現(xiàn)信息系統(tǒng)安全的精細(xì)化管理，深入研究精細(xì)化安全管理方案，避免在管理過程中存在漏洞。

3 結(jié)論

綜上所述，企業(yè)信息系統(tǒng)安全體系結(jié)構(gòu)的構(gòu)建要以企業(yè)信息系統(tǒng)安全需求、安全技術(shù)支持平臺(tái)、基礎(chǔ)安全服務(wù)設(shè)施、安全管理保障體制和響應(yīng)與恢復(fù)機(jī)制為基礎(chǔ)，不斷提出新的安全策略，引入先進(jìn)的安全管理模式，進(jìn)而實(shí)現(xiàn)企業(yè)信息系統(tǒng)安全的精細(xì)化管理。企業(yè)信息系統(tǒng)的安全性直接關(guān)系到企業(yè)運(yùn)營發(fā)展的穩(wěn)定性，因此，企業(yè)領(lǐng)導(dǎo)應(yīng)該加強(qiáng)對(duì)信息系統(tǒng)安全體系結(jié)構(gòu)建設(shè)的關(guān)注。

[1]唐俊，趙曉娟，賈逸龍.企業(yè)信息系統(tǒng)安全體系結(jié)構(gòu)的研究[J].微計(jì)算機(jī)信息，2010.

[2]張帆.企業(yè)信息系統(tǒng)安全體系結(jié)構(gòu)研究[A].中國煤炭學(xué)會(huì)煤礦自動(dòng)化專業(yè)委員會(huì).煤礦自動(dòng)化與信息化——第19屆全國煤礦自動(dòng)化與信息化學(xué)術(shù)會(huì)議暨中國礦業(yè)大學(xué)（北京）百年校慶學(xué)術(shù)會(huì)議論文集，2009.

[3]陳戈.企業(yè)信息化程度和安全需求水平的研究及兩者關(guān)系模型的探索[D].重慶大學(xué)，2004.