信息安全论文企业信息系统运行与操作安全解决方案

《信息安全论文企业信息系统运行与操作安全解决方案》由会员分享，可在线阅读，更多相关《信息安全论文企业信息系统运行与操作安全解决方案（10页珍藏版）》请在金锄头文库上搜索。

1、信息安全论文企业信息系统运行与操作安全解决方案 姓 名： 学 校： 班 级： 作业时间： 2 010年5月 摘要本文阐述了企业的信息系统运行与操作中的管理制度的建设，以及在运行维护过程中所遇到的各类信息安全问题，以及所采取的对策。总结了解决企业信息系统安全问题的需采取管理手段和技术手段相结合的综合解决方案。引言信息系统安全是指信息系统包含的所有硬件、软件和数据受到保护，不因偶然和恶意的原因而遭到破坏、更改和泄漏，信息系统连续正常运行。 信息系统本身存在着来自人文环境、技术环境和物理自然环境的安全风险，其安全威胁无时无处不在。对于大型企业信息系统的安全问题而言，不可能试图单凭利用一些集成了信息安

2、全技术的安全产品来解决，而必须考虑技术、管理和制度的因素，全方位地、综合解决系统安全问题，建立企业的信息系统安全保障体系。从技术上看，任何新建立的系统都不可能是尽善尽美的，都可能存在着只有在实际运行中才能发现的缺陷。另外，随着企业内部与外部环境的变化，系统也会暴露出不足之处或不相适应之处，这是在系统运行过程中始终存在的必须要予以解决的问题。从管理上看， 就是对信息系统的运行进行控制，记录其运行状态，进行必要的修改与补充，以便使信息系统真正符合管理决策的需要，为管理决策服务。 信息系统的运行管理工作应该由一个专门的信息管理机构负责，在一套完整的操作规范与管理规范的约束下，靠全体管理与使用信息系统

3、的人员共同来完成。运行管理的目标是使信息系统在一个预期的时间内能正常地发挥其应有的作用，产生其应有的效益。一、企业信息系统运行与维护安全管理制度企业实现管理信息化后，企业的业务流程、工作方法、各职能部门之间以及企业与外部环境之间的相互关系都发生了一定的变化，企业原有的一套管理制度，例如内部控制制度已不在适应新环境下的管理需求，因此需要制定一系列新的管理制度。1.各类机房安全运行管理制度设立机房主要有两个目的，一是给计算机设备创造一个良好的运行环境，保护计算机设备；二是防止各种非法人员进入机房，保护机房内的设备、机内的程序和数据的安全。机房安全运行是通过制定与贯彻执行机房管理制度来实施的。机房管

4、理的主要内容包括： （1）有权进入机房人员的资格审查。 一般说来， 系统管理员、操作员、录入员、审核员、维护人员以及其他系统管理员批准的有关人员可进入机房，系统维护员不能单独入机房； （2）机房内的各种环境要求。比如机房的卫生要求，防水要求； （3）机房内的各种环境设备的管理要求； （4）机房中禁止的活动或行为，例如，严禁吸烟、喝水等； （5）设备和材料进出机房的管理要求，等等。2信息系统的其他管理制度信息系统的运行制度，还表现为软件、数据、信息等其他要素必须处于监控之中。其他管理制度包括如下： （1）必须有重要的系统软件、应用软件管理制度； （2）必须有数据管理制度，如重要输入数据的审核、输

5、出数据备份保管等制度； （3）必须有权限管理制度，做到密码专管专用，定期更改并在失控后立即报告； （4）必须有网络通信安全管理制度； （5）必须有病毒的防治管理制度，及时检查、清除计算机病毒，并备有检测、清除的记录； （6）必须有人员调离的安全管理制度。 人员调离的 同时马上收回钥匙、移交工作、更换口令、取消账号，并向被调离的工作人员申明其保密义务，人员的录用调入必须经过人事组织技术部门的考核和接受相应的安全教育。二、企业信息系统运行文档与记录管理制度1、企业信息系统运行文档管理管理信息系统的文档 是系统开发过程的记录， 是系统维护人员的指南，是开发人员与用户交流的工具。规范的文档意味着系统是

6、工程化、规范化开发的，意味着信息系统的质量有了程序上的保障。文档的欠缺、文档的随意性和文档的不规范，极有可能导致原来的系统开发人员流动后，系统难以维护、难以升级，变成一个没有扩展性、没有生命力的系统。所以为了建立一个良好的管理信息系统，不仅要充分利用各种现代化信息技术和正确的系统开发方法，同时还要做好文档的管理工作。系统文档不是一次性形成的，它是在系统开发、设计、实施、维护过程中不断地按阶段依次推进编写、修改、完善与积累而形成的。信息系统开发过程中的主要文档有：系统开发立项报告、可行性研究报告、系统开发计划书、系统分析说明书、系统设计说明书、程序设计报告、系统测试计划与测试报告、系统使用与维护

7、手册、系统评价报告、系统开发月报与系统开发总结报告等。文档的重要性决定了文档管理的重要性，文档管理是有序地、规范地开发与运行信息系统所必须做好的重要工作。目前我国信息系统的文档内容与要求基本上已有了较统一的规定。根据不同的性质，可将文档分为技术文档、管理文档及记录文档等若干类。系统文档是相对稳定的，随着系统的运行及情况的变化，它们会有局部的修改与补充，当变化较大时，系统文档将以新的版本提出。系统文档的管理工作主要有：1文档管理的制度化、标准化 （1）文档标准与格式规范的制定； （2）明确文档的制定、修改和审核的权限； （3）制定文档资料管理制度。例如文档的收存、保管与借用手续的办理等。2维护文

8、档的一致性信息系统开发建设过程是一个不断变化的动态过程，一旦需要对某一文档进行修改，要及时、准确地修改与之相关的文档；否则将会引起系统开发工作的混乱。而这一过程又必须有相应的制度来保证。3维护文档的可追踪性为保持文档的一致性与可追踪性， 所有文档都要收全， 集中统一保管。2、企业信息系统日常记录管理。信息系统的日常运行管理是为了保证系统能长期有效地正常运转而进行的活动，具体有系统运行情况的记录、系统运行的日常维护及系统的适应性维护等工作。1系统运行情况的记录从每天工作站点计算机的打开、应用系统的进入、功能项的选择与执行，到下班前的数据备份、存档、关机等，按严格要求来说都要就系统软硬件及数据等的

9、运作情况作记录。 运行情况有正常、 不正常与无法运行等，后两种情况应将所见的现象、发生的时间及可能的原因作尽量详细的记录。为了避免记录工作流于形式，通常的做法是在系统中设置自动记录功能。另一方面，作为一种责任与制度，一些重要的运行情况及所遇到的问题，例如多人共用或涉及敏感信息的计算机及功能项的使用等仍应作书面记录。系统运行情况的记录应事先制定尽可能详尽的规章制度，具体工作主要由使用人员完成。系统运行情况无论是自动记录还是由人工记录，都应作为基本的系统文档作长期保管，以备系统维护时参考。2系统运行的日常维护系统的维护包括硬件维护与软件维护两部分。软件维护主要包括正确性维护、适应性维护、完善性维护

10、三种。正确性维护是指诊断和修正错误的过程；适应性维护是指当企业的外部环境、业务流程发生变化时，为了与之适应而进行的系统修改活动；完善性维护是指为了满足用户在功能或改进已有功能的需求而进行的系统修改活动。软件维护还可分为操作性维护与程序维护两种。操作性维护主要是利用软件的各种自定义功能来修改软件，以适应企业变化；操作性维护实质上是一种适应性维护。程序维护主要是指需要修改程序的各项维护工作。维护是系统整个生命周期中，最重要、最费时的工作，其应贯穿于系统的整个生命周期，不断重复出现，直至系统过时和报废为止。现有统计资料表明：软件系统生命周期各部分的工作量中，软件维护的工作量一般占70以上，因此，各单

11、位应加强维护工作的管理，以保证软件的故障及时得到排除，软件及时满足企业管理工作的需要。加强维护管理是系统安全、有效、正常运行的保证之一。在硬件维护工作中，较大的维护工作一般是由销售厂家进行的。使用单位一般只进行一些小的维护工作，一般通过程序命令或各种软件工具即可满足要求。使用单位一般可不配备专职的硬件维护员。硬件维护员可由软件维护员担任，即通常所说的系统维护员。对于使用商品化软件的单位，程序维护工作是由销售厂家负责，单位负责操作维护。单位可不配备专职维护员，而由指定的系统操作员兼任。对于自行开发软件的单位一般应配备专职的系统维护员，系统维护员负责系统的硬件设备和软件的维护工作，及时排除故障，确

12、保系统诉正常运行，负责日常的各类代码、标准摘要、数据及源程序的改正性维护、适应性维护工作，有时还负责完善性的维护。在数据或信息方面，须日常加以维护的有备份、存档、整理及初始化等。大部分的日常维护应该由专门的软件来处理，但处理功能的选择与控制一般还是由使用人员或专业人员来完成。 为安全考虑， 每天操作完毕后，都要对更动过的或新增加的数据作备份。一般讲，工作站点上的或独享的数据由使用人员备份，服务器上的或多项功能共享的数据由专业人员备份。除正本数据外，至少要求有两个以上的备份，并以单双方式轮流制作，以防刚被损坏的正本数据冲掉上次的备份。数据正本与备份应分别存于不同的磁盘上或其他存储介质上。数据存档

13、或归档是当工作数据积累到一定数量或经过一定时间间隔后转入档案数据库的处理，作为档案存储的数据成为历史数据。为防万一，档案数据也应有两份以上。数据的整理是关于数据文件或数据表的索引、记录顺序的调整等，数据整理可使数据的查询与引用更为快捷与方便，对数据的完整性与正确性也很有好处。在系统正常运行后数据的初始化主要是指以月度或年度为时间企业的数据文件或数据表的切换与结转数等的预置。维护的管理工作主要是通过制定维护管理制度和组织实施来实现的。维护管理制度主要包括以下内容： 系统维护的任务、 维护工作的承担人员、软件维护的内容、硬件维护的内容、系统维护的操作权限、软件修改的手续。3系统的适应性维护企业是社

14、会环境的子系统，企业为适应环境，为求生存与发展，也必然要作相应的变革。作为支持企业实现战略目标的企业信息系统自然地也要作不断的改进与提高。从技术角度看，一个信息系统不可避免地会存在一些缺陷与错误，它们会在运行过程中逐渐暴露出来，为使系统能始终正常运行，所暴露出的问题必须及时地予以解决。为适应环境的变化及克服本身存在的不足对系统作调整、修改与扩充即为系统的适应性维护。实践已证明系统维护与系统运行始终并存，系统维护所付出的代价往往要超过系统开发的代价， 系统维护的好坏将 显著地影响系统的运行质量、系统的适应性及系统的生命期。我国许多企业的信息系统开发好后，不能很好地投入运行或难以维持运行，在很大程

15、度上就是重开发轻维护所造成的。系统的适应性维护是一项长期的有计划的工作，并以系统运行情况记录与日常维护记录为基础，其内容有： （1）系统发展规划的研究、制定与调整； （2）系统缺陷的记录、分析与解决方案的设计； （3）系统结构的调整、更新与扩充； （4）系统功能的增设、修改； （5）系统数据结构的调整与扩充； （6）各工作站点应用系统的功能重组； （7）系统硬件的维修、更新与添置； （8）系统维护的记录及维护手册的修订等。信息系统的维护不仅为系统的正常运行所必须也是使系统始终能适应系统环境，支持并推动企业战略目标实现的重要保证。系统适应性维护应由企业信息管理机构领导负责，指定专人落实。为强调该项工作的重要性，在工作条件的配备上及工作业绩的评定上与系统的开发同等看待。三、系统的安全监控管理现代信息系统是以计算机和网络为基础的共享资源，随着计算机和网络技术的加速普及，以开放性和共享性为特征的网络技术给信息系统所带来的安全性问题就日益突出起来。企业信息系统是企业投入了大量的人力与财力资源建立起来的，系统的各种软硬件设备是企业的重要资产。信息系统所处理和存储的信息是企业的重要资源，它们既有日常业务处理信息、技术信息，也