企业信息管理的安全与控制.doc

企业信息安全的管理与控制（来源：河南学历考试网 ） 不断增加的互联网黑客 在2000年1月上旬，一个神秘的入侵者想从一家互联网音乐零售商CD宇宙手中敲诈10万美金，他声称已经从该店拷贝了至少3万个信用卡文件，这些文件是CD宇宙从它的顾客那里收集的。 在2000年2月份的第二周，一波又一波的黑客攻击使一系列主要的电子商务网站包括Y,A,B和E*trade等知名网站陷入瘫痪。这些网站虽然被迫关闭若干个小时，但并没有危及系统的安全，客户的数据资料也没有被盗窃，并且财务损失很小。FBI（联邦调查局）发起了一场全国性的调查，以寻找黑客。许多公司也开始寻求加强网站安全的新方法。 这些事件强调了互联网黑客使政府和商业组织都头疼的一个突出问题。 在过去，接近80%的违反安全的记录都来自于组织内部。现在看来来自于外部黑客攻击的数量基本赶上了内部违规的数量。 唐.欧文是密歇根州米德兰道琼斯（Dow）化学公司的信息安全战略专家，他注意到许多公司通过安装防火墙来直接面对攻击，但是并没有分配资源对它们进行有效地管理。必须对防火墙进行专业管理和定期审查。有效的安全需要培训、管理层的支持和足额的预算。马库斯.瑞纽姆这位被称为“防火墙之父”的安全工具的开发者，观察到许多公司不更新它们的防火墙软件来巩固众所周知的弱点。理查德.鲍尔是计算机安全研究院的编辑主任，他说目前安全管理费用还不到信息技术预算的3%，每1000名用户平均只有1名系统安全职员。 通过上面的小小案例，我们可以很清楚地看到当前企业信息系统所面临的安全问题。企业信息化建设的目的是给企业的经营带来较大的改善。而如果企业在信息化建设当中忽略了系统的安全，不采用有效的措施的话，有可能会造成很大的损失。不论是企业的高层领导，还是企业的一般员工，都应该对企业信息化的安全和控制知识进行了解和掌握，只有这样，才会树立正确的企业信息系统的安全防范意识，制定适当的控制策略，采取合适的控制手段。 本章主要描述了企业信息资源的不安全因素以及应该采用的管理和技术控制策略。 一般而言，企业在实施信息化以前，企业的数据资料往往分散在各个分离的业务部门，以纸张形式记录保存。企业通过实施信息化建设，则利用信息系统把企业的数据资料集中在计算机系统中进行管理和维护，企业中的各个部门和很多的人员甚至企业以外的组织或者个人可以访问使用企业信息系统中的数据。因此，企业实施信息化建设以后，其数据资料如果得不到妥善的管理，则更容易被破坏和滥用。 当企业的信息系统不能按要求去运转或工作时，严重依赖计算机的企业就会在业务上受到很大的影响，并且遭受损失。计算机系统出现问题的时间越长，对企业的影响就越严重。所以说，企业的计算机系统出现问题时，能够及时得到修复，对于企业而言是非常重要的。一般而言，企业的信息管理会面临以下几个不安全因素：计算机犯罪、非法访问和使用、修改和破坏数据、灾难、系统质量问题、数据质量问题等。企业必须从技术和管理两个方面着手来加强企业信息安全的管理，企业的信息安全从广义上而言应该包括信息资源的安全、系统硬件的安全、系统软件的安全、数据库的安全、网络安全以及信息系统的安全等。 一．企业信息资源安全的管理和控制 当企业的大量数据以电子形式被存储时，它们远比手工存储形式更容易受到更多的威胁。企业信息管理的不安全来自于多个方面，企业信息系统的硬件设施或者软件系统会出现故障，可能导致企业数据丢失；企业信息系统的硬件设施或者软件系统有可能遭到企业员工等蓄意的破坏，导致系统瘫痪；黑客、计算机病毒等都有可能使企业信息的信息管理面临重大的挑战。比如说，许多人可以直接进入企业的在线信息系统，系统的合法用户能非常容易地获得部分没有被授权浏览的计算机数据，而且未经授权的个人也可能进入企业的系统。通信技术和计算机软件在得到快速发展的同时也扩大了企业信息系统的脆弱性，通过通信网络，企业的网络和企业外部的网络相互连接，未经授权的进入、滥用等可能在网络的任何节点发生。 1 计算机犯罪及其控制 随着计算机技术在各个领域的广泛应用，计算机犯罪已经成为一个非常突出的问题。在20世纪90年代以来，计算机犯罪已经严重地影响到了企业以及其他组织的信息资源的安全，并且有些已经造成了重大的损失，可以说，计算机犯罪已经成为信息时代企业所面临的一个重要的挑战。 （1）计算机犯罪的特点 计算机犯罪是随着计算机的产生和发展而产生的，它和其他的犯罪相比具有独特的特征，最主要的特征是：犯罪手段新、不容易留下痕迹、系统内部人员犯罪较多、时空限制性小、多利用管理制度和技术漏洞。 犯罪手段比较新 企业信息化的成果是企业信息系统，企业信息系统是由在地理上比较分散的计算机以及通信设施等构成，这样就为犯罪分子提供了多个途径和目标。而计算机既是犯罪的手段和工具，又是罪犯攻击的目标对象。随着计算