隨著信息技術(shù)的飛速發(fā)展,數(shù)字化辦公逐漸成為主流的辦公方式,現(xiàn)代化辦公和計算機網(wǎng)絡(luò)有機地結(jié)合在了一起,企業(yè)的信息化程度越來越高,對信息系統(tǒng)的依賴程度也越來越高。相應(yīng)地,在這個過程當中,企業(yè)也遇到了各式各樣的問題,其中,最容易給企業(yè)造成重大損失的,就是信息安全問題。
一、信息安全的內(nèi)涵
信息安全在一定程度上也可以稱為數(shù)據(jù)安全,一方面,指的是數(shù)據(jù)自身的安全,另一方面,指的是數(shù)據(jù)防護的安全。在數(shù)據(jù)自身的安全方面,無論是涉及國家秘密還是商業(yè)秘密,信息泄露都會給企業(yè)帶來難以估量的損失,甚至于威脅國家安全和利益。為了防范于未然,除了采取相應(yīng)的管理程序加強員工管理以及簽訂相應(yīng)的保密協(xié)議之外,還需要通過行之有效的技術(shù)手段進行防護。
常規(guī)的防護手段不外乎數(shù)據(jù)加密、信息完整性校驗、身份認證等方式,輔以端口控制、審計監(jiān)控以及調(diào)查取證等技術(shù),通過與管理程序相結(jié)合,可以有效地保護數(shù)據(jù)自身的安全,防止企業(yè)因數(shù)據(jù)外泄而造成損失。
對于企業(yè)來說,主動泄密的員工畢竟不多,但因疏于對數(shù)據(jù)進行必要的防護,結(jié)果造成數(shù)據(jù)丟失的事情卻屢見不鮮。
二、信息安全存在的問題
安全問題給企業(yè)帶來的損失往往都非常巨大,當事人雖追悔莫及卻無力回天。
老牌企業(yè)A在大力發(fā)展信息化的過程當中,產(chǎn)生了海量數(shù)據(jù),大部分為涉及試驗的數(shù)據(jù),因為試驗的成本很高,基本上不具備可重復(fù)性,因此,這些數(shù)據(jù)十分寶貴。由于規(guī)劃建設(shè)較早,該企業(yè)是在發(fā)展的過程當中逐步建立起信息系統(tǒng)的,而信息系統(tǒng)內(nèi)所產(chǎn)生的數(shù)據(jù)則全部都存儲在各個聯(lián)網(wǎng)計算機終端上,除郵件服務(wù)器存儲了全部內(nèi)部郵件系統(tǒng)數(shù)據(jù)往來之外,沒有采取集中存儲或備份措施。在該企業(yè)信息系統(tǒng)的運行過程中,曾經(jīng)零星地出現(xiàn)過一些計算機終端硬盤損壞的情況,造成涉事人員的部分或全部數(shù)據(jù)丟失,但是,由于涉事人員的級別不高且一般項目的完結(jié)稿均在項目負責(zé)人處有備份,種種原因?qū)е逻@類事件始終未能引起企業(yè)足夠的重視。
之后的一次意外斷電,造成該企業(yè)一個重要項目負責(zé)人的計算機在非正常關(guān)機后無法再啟動,經(jīng)檢查,為硬盤硬件故障。事情發(fā)生后,該負責(zé)人找了多家專業(yè)的數(shù)據(jù)恢復(fù)機構(gòu),均被告知只有20%的概率恢復(fù)。最后,很不幸地,硬盤數(shù)據(jù)沒有能夠找回,雖然通過郵件系統(tǒng)找回了該負責(zé)人發(fā)送給其他員工的部分數(shù)據(jù),但是,實際損失還是相當大,給企業(yè)帶來了不小的影響。
從表面上看,該企業(yè)沒有對數(shù)據(jù)進行集中保存且缺乏數(shù)據(jù)備份的手段,但是,有了集中存儲與數(shù)據(jù)備份措施就能確保萬無一失了嗎?
新興企業(yè)B在發(fā)展過程中認識到了數(shù)據(jù)安全的重要性,采購了磁盤陣列、磁帶機以及備份與恢復(fù)軟件,制定了符合企業(yè)自身特點的備份策略,使用備份軟件在虛擬帶庫與真實帶庫上進行兩級備份來保證數(shù)據(jù)安全,管理員定期檢查數(shù)據(jù)備份狀態(tài),備份功能一直都很正常。而且,為了保證數(shù)據(jù)能夠被充分利用與保存,該企業(yè)斥巨資開發(fā)了一套數(shù)據(jù)管理系統(tǒng),通過數(shù)據(jù)庫系統(tǒng)將各種數(shù)據(jù)分門別類地保存,集中進行管理,這給其他相關(guān)項目的研發(fā)提供了很大的助力,研發(fā)水平得到了提升。
然而,在一次數(shù)據(jù)管理系統(tǒng)的版本升級過程中,由于應(yīng)用系統(tǒng)開發(fā)人員的—個疏忽,導(dǎo)致程序誤將應(yīng)用系統(tǒng)內(nèi)的部分重要數(shù)據(jù)刪除,由于影響到了主營業(yè)務(wù),急需進行數(shù)據(jù)恢復(fù)。管理人員在恢復(fù)申請獲得批準后第一時間啟動了恢復(fù)程序,可是卻突然發(fā)現(xiàn),由于待恢復(fù)數(shù)據(jù)文件異,嵥榍覕(shù)量巨大,在暫停應(yīng)用的情況下,恢復(fù)時間預(yù)計會超過10個小時。最后,由于業(yè)務(wù)部門無法等到全部數(shù)據(jù)恢復(fù)完成,只能被迫選擇了一個恢復(fù)時間較短、損失相對較少的備份節(jié)點進行應(yīng)用系統(tǒng)的快速恢復(fù),以保證主營業(yè)務(wù)不至于中斷,企業(yè)因此而損失巨大。
三、保護信息安全的措施
由此可見,只有集中存儲與數(shù)據(jù)備份還不足以解決數(shù)據(jù)安全的問題。怎么樣才能夠從根本上保護企業(yè)的生命線,將信息安全風(fēng)險降至最低呢?總結(jié)下來,主要有如下幾個方面的措施。
(一)重要數(shù)據(jù)文件集中進行存儲,統(tǒng)一進行備份
數(shù)據(jù)文件集中存儲,在存儲系統(tǒng)中保留副本,可以解決數(shù)據(jù)保存零散化、碎片化的問題,降低因終端硬盤故障帶來的安全風(fēng)險。而后,通過備份系統(tǒng)定期對存儲系統(tǒng)進行數(shù)據(jù)全備份及增量備份,保護數(shù)據(jù)安全。
同時,管理人員還應(yīng)該定期對備份介質(zhì)進行檢查,尤其是應(yīng)定期檢查磁帶類備份介質(zhì),選擇合適的環(huán)境保存磁帶類備份介質(zhì),確保備份介質(zhì)的可用性,這一點相當重要。
(二)做好備份與恢復(fù)演練、系統(tǒng)恢復(fù)應(yīng)急響應(yīng)演練
應(yīng)該制定符合企業(yè)自身特點的備份與恢復(fù)策略,備份策略要考慮數(shù)據(jù)保護周期,防止因保護周期過長而導(dǎo)致已經(jīng)過期的備份數(shù)據(jù)不能被覆蓋,進而導(dǎo)致備份作業(yè)無法完成。同時,應(yīng)該對業(yè)務(wù)數(shù)據(jù)按照重要性進行排序,確定恢復(fù)數(shù)據(jù)的順序。管理人員還需要充分考慮恢復(fù)過程中可能遇到的問題及解決辦法,形成操作文檔。
更為重要的是應(yīng)該制定行之有效的制度以確保備份與恢復(fù)策略能夠切實地執(zhí)行,同時,制度中要對備份與恢復(fù)演練、系統(tǒng)恢復(fù)應(yīng)急響應(yīng)演練做出要求,確;謴(fù)的快速性和可操作性。從演練中發(fā)現(xiàn)問題、總結(jié)經(jīng)驗,豐富應(yīng)急響應(yīng)操作文檔,為將來真正出現(xiàn)恢復(fù)需求時積累經(jīng)驗。
(三)做好應(yīng)用系統(tǒng)的測試工作
如果有條件的話,企業(yè)可以為應(yīng)用系統(tǒng)建立兩套相同的環(huán)境,一套為測試環(huán)境,用來測試應(yīng)用系統(tǒng)比較大的改動的有效性與穩(wěn)定性;一套為生產(chǎn)環(huán)境,在對應(yīng)用系統(tǒng)的改動進行了充分測試后,才將程序部署在該環(huán)境下。如果條件不允許,可以退而求其次,使用普通計算機模擬應(yīng)用系統(tǒng)服務(wù)器,內(nèi)存要設(shè)置得大一些,在其上部署測試環(huán)境進行測試,也可以在一定程度上滿足需要,降低直接部署應(yīng)用的安全風(fēng)險。
(四)做好信息系統(tǒng)內(nèi)的病毒防治工作
管理人員在現(xiàn)有條件下很難在信息系統(tǒng)內(nèi)將病毒全部查殺干凈。而部分病毒、惡意程序會蓄意破壞數(shù)據(jù),這對終端上的數(shù)據(jù)安全會產(chǎn)生不利影響。
為此,需要采取必要的端口控制手段,對信息系統(tǒng)內(nèi)的病毒查殺情況進行定期監(jiān)控,必要時使用專殺工具作為補充,輔以手動殺毒等手段。管理員還需要注意防病毒軟件的設(shè)置,為了避免防病毒軟件將數(shù)據(jù)文件連同病毒一同刪除,應(yīng)設(shè)置清除病毒失敗后采取隔離方式,而不是刪除文件的方式,待出現(xiàn)專殺工具后再對病毒文件進行查殺,確實保證數(shù)據(jù)安全。
(五)做好信息系統(tǒng)內(nèi)部人員的管理工作
最好將培訓(xùn)貫穿員工進入企業(yè)至退休的全過程,不要流于形式,要抓住重點,如哪些事情可以做,怎么樣去做效率會最高又不易出錯;哪些事情不能做,做了會有什么后果等等,如果帶有案例分析效果會更好。
最后,還需要領(lǐng)導(dǎo)層的高度重視與支持,加大宣貫力度,真正做到按章辦事、上行下效。只有這樣,信息安全工作才更加好做。
四、結(jié)語
信息安全防護是一項系統(tǒng)工程,涵蓋的內(nèi)容非常廣泛,很難做到面面俱到。而為了保護這道企業(yè)的生命線,在安全防護的過程中,管理人員應(yīng)根據(jù)信息系統(tǒng)的運行經(jīng)驗,充分開動腦筋,發(fā)揮想象力,找到可能出現(xiàn)問題的環(huán)節(jié),做好預(yù)案,將安全風(fēng)險降至最低。
信息安全工作必須長抓不懈,只有保護好這道生命線,企業(yè)的研發(fā)工作才能沒有后顧之憂。
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標題:信息安全,企業(yè)的生命線
本文網(wǎng)址:http://www.ezxoed.cn/html/support/11121812340.html