企业信息系统开发及应用中安全技术措施.docVIP

企业信息系统开发及应用中安全技术措施 　　摘要：针对企业管理信息系统存在的信息安全问题，从管理信息系统开发及应用两个方面，探讨了一系列安全措施。 　　关键词：MIS开发及应用　安全措施 　　 　　随着企业信息化发展的强烈需要，企业开发及应用管理信息系统MIS(Management Information System)成为一种必然选择，企业信息安全事件的发生率也开始呈现出大幅度增长的态势。如何更有效地保护和管理自身的信息资产，如何保证和加强企业MIS的安全，已成为企业亟待解决的课题。 　　 　　一、MIS存在的安全问题 　　 　　(一)安全意识薄弱 　　在MIS的开发与应用过程中，经常出现领导部门对制定一个统一的信息安全系列标准不够重视，对指导MIS的管理和应用不够关心；各子系统管理人员没有管好自己的用户名和口令，外泄或借与他人使用；不重视MIS的硬件部分、软件部分、环境因素等现象，对于安全防范存在一种惰性和漠视，安全意识薄弱。 　　 　　(二)投入经费不足 　　由于安全意识薄弱，企业往往对MIS安全经费投入不足，致使企业在应用MIS过程中，经常出现使用各种盗版软件，不能安装专业防火墙等现象。使得Intemet网上用户对MIS服务器可以直接攻击，外界病毒易于感染MIS服务器等现象，导致企业MIS安全问题频发。给企业带来巨大的经济损失。 　　 　　(三)技术力量匮乏 　　信息安全从业人员不只纵向上要对各项工作有精深的理解，横向上还需要对信息系统的整体逻辑乃至企业的业务逻辑有丰富的认知，特别是在经验上往往有相当高的要求，这从很大程度上造成了企业很难具备足够的技术力量来保障信息安全设施的运转。 　　 　　二、开发过程中的安全措施 　　 　　管理信息系统作为一个庞大、复杂而严密的系统，在整个开发过程中需要投入大量的人力、物力和财力，系统的安全性往往被放在首要的位置，成为系统生存的关键因素。 　　 　　(一)权限设计 　　根据对操作系统的用户、用户组及其访问权限作严格的规定，在数据表设计时将权限分为三类：数据库登录权限类、资源管理权限类和数据库管理员权限类。具有数据库登录权限的用户能进入数据??管理系统，使用数据库。具有资源管理权限的用户，除了拥有上一类用户权限外，可以在权限允许的范围内修改、查询数据库。具有数据库管理员权限的用户将具有数据库管理的一切权限，包括访问任何用户的任何数据，授予(或回收)用户的各种权限，完成数据库的备份、装入以及进行审计等工作。 　　 　　(二)数据加密 　　数据加密技术是在发送方将要发送的保密信息进行加密处理，而在接收方通过特定的算法将收到的信息进行解密。在加密过程中使用加密函数和密钥生成密文数据后，传送出去。传送过程中即使有人得到了密文数据，知晓了加密函数或是解密函数是没有用的，没有密钥，依旧无法根据密文数据推算出明文数据，这就保证了数据的机密性。数据加、解密过程如下图1所示。 　　 　　 　　(三)数据认证 　 MIS的信息传送或存储还可以采用数据认证技术(如数字签名技术、Hash技术等)。数据认证技术是确保信息的真实性和完整性的一种技术，是解决网络通信中发生否认、伪造、冒充、篡改等问题的安全技术，主要包括接收者能够核实发送者对报文的签名、发送者事后不能抵赖对报文的签名、接收者不能伪造对报文的签名等方面。 　　 　　(四)密钥管理 　　一个密码系统的安全性取决于对关键信息即密钥的保护。密钥的保密和安全管理在数据安全系统中是极为重要的。在／diS中，可以采用证书机构(CA)来管理密钥。CA(cerfificateAuthority)保证颁发的数字证书的有效性，由它负责注册证书，分发证书以及当证书过期时宣布不再有效，因此可以保护密钥。 　　 　　三、实施过程中安全措施 　　 　　不管企业MIS采用C／S结构还是B／S结构，在实施过程中必须与Internet连接。在具体实施中应从企业网络内部、企业网络与Intemet的连接出口方面加强安全措施： 　　 　　(一)企业局域网安全措施 　　1　局域网节点安全措施 　　在企业局域网应用中，只要在接人局域网上的任一节点进行侦听，就可以捕获发生在这个局域网上的所有数据包，从而窃取关键信息，这就是局域网固有的安全隐患。为了解决这个问题，可以采取以下措施： 　　(1)分段策略 　　分段策略包括物理分段和逻辑分段两种方式。物理分段是从物理层和数据链路层把网络分成若干网段，各网段无法直接通信；逻辑分段是在网络层根据IP地址将网络分成若干子网，各子网借助网关自身安全机制来控制各子网的相关访问。因此应综合应用物理分段与逻辑分段两种方法，将非法用户与敏感的网络资源相互隔离，从而防止可能的非法侦听。