信息系统安全管理与风险评估
信息时代既带给我们无限商机与方便,也充斥着隐患与危险。越来越多的黑客通过网络肆意侵入企业的计算机,盗取重要资料,或者破坏企业网络,使其陷入瘫痪,造成巨大损失。因此,网络安全越来越重要。企业网络安全的核心是企业信息的安全。具体来说,也就涉及到企业信息系统的安全问题。一套科学、合理、完整、有效的网络信息安全保障体系,就成为网络信息系统设计和建设者们追求的主要目标。信息安全是整个网络系统安全设计的最终目标,信息系统安全的建立必须以一系列网络安全技术为摹础。但信息系统是一个综合的、动态的、多层次之间相结合的复杂系统,只从网络安全技术的角度保证整个信息系统的安全是很网难的,网络信息系统对安全的整体是任何一种单元安全技术都无法解决的。冈此对信息系统的安全方案的设计必须以科学的安全体系结构模型为依据,才能保障整个安全体系的完备性、合理性。
制定安全目标和安全策略对于建造一个安全的计算机系统是举足轻重的。网络上可采用安全技术例如防火墙等实现网络安全,软件开发上可选择不同的安全粒度,如记录级,文件级信息级等。在系统的各个层次中展开安全控制是非常有利的。在应用软件层上设置安全访问控制是整个应用系统安全性的重要步骤。此外安全教育与管理也是系统安全的重要方面。信息系统的安全管理就是以行政手段对系统的安全活动进行综合管理,并与技术策略和措施相结合,从而使信息系统达到整体上的安全水平。其实,在系统的安全保护措施中,技术性安全措施所占的比例很小,而更多则是非技术性安全措施。两者之间是互相补充,彼此促进,相辅相成的关系。信息系统的安全性并不仅仅是技术问题,而严格管理和法律制度才是保证系统安全和可靠的根本保障。
信息系统安全是计算机信息系统运行保障机制的重要内容。他的不安全因素主要来自以下几个方面:物理部分主要有机房不达标设备缺乏保护措施和存在管理漏洞等。软件部分,安全因素主要有操作系统安全和数据库系统安全。网络部分,包
括内部网安全和内h外部网连接安全两方面。信息部分,安全的因素有信息传输线路不安全存储保护技术有弱点及使用管理不严格等。
信息系统安全风险评估是一种对信息系统所面临各类危及信息安全的影响冈素进行的综合评判和分析。由于系统存在脆弱性、人为或自然的威胁导致安全事件发生所造成的影响,使信息系统的安全存在风险。信息安全风险评估就是要依据同家有关的信息安全技术标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价,它要评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后产生的实际负面影响,并根据安全事件产生的可能性和负面影响的程度来标识信息系统的安全风险。信息系统安全风险评估也是对信息系统所面临威胁的评估和信息系统脆弱性的评估。信息系统所面临的威胁主要是指可能对信息系统造成不期望事件的主体,这些威胁主要来自于:
1.通过网络进入信息系统的行为人。这种威胁是对信息系统基于网络的威胁,是行为人有意或无意的行为。
2.通过物理方式接近信息系统的行为人。这种威胁是对信息系统的物理威胁,是行为人有意或无意的行为。
3.系统缺陷造成的威胁。包括硬件缺陷、软件缺陷、相关系统的不可用性,重要基建的不可用性造成的威胁。
4.病毒和恶意代码的威胁。目前病毒和恶意代码已经成为影响信息系统安全运行的重要因素。
5.自然灾害的威胁。如洪水、地震或风暴。
信息系统的脆弱性是指信息系统中存在着可以被威胁主体所利用的造成对系统不期望影响的缺陷或弱点,主要有:
1.技术脆弱性:主要是指信息系统技术方面存在的弱点可以被威胁主体所利用并最终导致对系统产生不良影响。如操作系统存在漏洞,系统巾多个不受控外联网络,没有防病毒工具可能被病毒利用导致系统被病毒感染。
2.组织脆弱性:由于信息系统管理组织的问题,导致信息系统被威胁网素所利用造成对系统的不良影响。如没有人负责防病毒代码库的更新,对系统中介质的使刚没有任何约束,可能被病毒利用导致系统感染。
信息系统安全风险评估是信息系统安全保障体系建立过程中的重要评判方法和决策机制,主要有以下作用:
1.明确信息系统的安全现状。通过评估可以让信息系统的管理组织准确了解自身的网络、各种应崩系统以及管理制度规范的安全现状,从而明晰信息系统安全的需求。
2.确定信息系统的主要安全风险。对信息系统进行信息安全评估并对风险分级,让信息系统的管理组织选择处置措施。
3.指导信息系统安全技术体系与管理体系的建设。信息系统安全风险评估,有助于信息系统的安全策略及安全解决方案的制定,并指导信息系统安全技术体系与管理体系的建没。
通过评估,可以明晰信息系统所面临的安全风险,制定相应的安全策略并组织实施,使南信息系统所面临的风险引发的安全事件的可能性降低到最小。它是信息系统安全工作的一个重要环节,信息系统的安全策略的制定和实施包括:信息系统安全管理策略;信息系统安全运行策略。安全符理策略规定了针对信息系统的组织管理和技术管理的安全保护策略,包括:
1.信息系统组织策略。它包括人事安全管理制度,操作安全管理制度,场地与设施管理制度,设备安全管理制度,网络维护安全管理制度,操作系统、数据库安全
管理制度,计算机网络安全管理制度,应用软件安全管理制度,技术文档、资料安全管理制度,口令安全管理制度,应急管理制度。
2.安全贯彻策略。它主要指为整个信息系统制定统一的安全策略。包括安全
策略宣传贯彻体系、安全策略评审与评估体系,整个信息系统安全策略的一致性检查等。
3.人员安全策略。包括定义工作职责中的安全责任,建立人员资质审查策略,
与重要员工签署保密协议,建立定期的信息安全教育和培训体系,建立安全事故报告制度,建立安全弱点报告制度,建立软件故障报告制度,建立安全事件分析总结制度,建立违规处罚制度。
4.物理和环境安全策略。包括建立基本的物理安全边界,在重要的信息处理设备进出口处设置保安设施,对所有信息设备采取物理保护措施,保障电力,保护传输电缆,设备定期维护,保障离开安全区域的设备安全,建立设备报废或再启用安全流程。
信息系统访问控制策略包括有:强口令设置管理;身份认证管理;访问外网控制;用户身份及权限及时更新;网络边界安全策略;网络入侵检测。网络系统安全策略包括线路冗余,网络设备冗余,服务器的高可用性。
计算机系统平台安全策略包括计算机防病毒体系的建立、信息系统的审计、
主机入侵检测和系统加固。除此之外,还有信息资源管理与安全监控。负责整个信息系统的日常运行维护、资源管理、设备报废、设备登记、软硬件设备接入、网络故障排除、网络流量统计分析、安全设备及安全事件分析处理等。对重要的服务器和重要的客户机进行安全加固,对网络设备及安全设备统一进行安全配置。(1)定期安全评估。(2)备份与恢复。(3)病毒、漏洞管理。
任何信息安全系统都不可能保障信息系统的绝对安全,因此,必须建立信息系
统的应急响应系统,以应付突发事件的发生,使安全事件产生的影响最小化。应急响
应体系包括应急组织机构的建立,突发事件的定位,风险控制,限制损害事故的后果,应急预案的确立并经过演练后加以执行,以确保在所要求的时间期限内恢复业务处理,减少事件的影响,减低系统的风险。信息系统的管理组织应针对各自的信息系统的实际情况制定安全应急处理预案,明确应急指挥机构,明确信息安全事件的严重程度和类别以及应急处理流程等内容,编制具体应急方案。应急响应系统应能处理各种应急事件,对应对信息系统的管理人员进行相关的培训,使应急响应系统发挥应有的作用。应急响应系统应跟踪同内外安全事故的发展趋势,使其能够处理新型安全事件的发生。应急响应系统也要制定相应的方案,做到有备无患。
企业信息管理系统管理办法 第一章总则 第一条为保证公司信息系统的安全性、可靠性,确保数据的完整性和准确性,防止计算机网络失密、泄密时间发生,制定本办法。 第二条公司信息系统的安全与管理,由公司信息部负责。 第三条本办法适用于公司各部门。 第二章信息部安全职责 第四条信息部负责公司信息系统及业务数据的安全管理。明确信息部主要安全职责如下: (一)负责业务软件系统数据库的正常运行与业务软件软件的安全运行; (二)负责银行卡刷卡系统服务器的安全运行与终端刷卡器的正常使用; (三)保证业务软件进销调存数据的准确获取与运用; (四)负责公司办公网络与通信的正常运行与安全维护; (五)负责公司杀毒软件的安装与应用维护; (六)负责公司财务软件与协同办公系统的维护。 第五条及时向总经理汇报信息安全事件、事故。 第三章信息部安全管理内容 第六条信息部负责管理公司各计算机管理员用户名与密码,不得外泄。
第七条定期监测检查各计算机运行情况,如业务软件系统数据库出现异常情况,首先做好系统日志,并及时向总经理汇报,提出应急解决方案。 第八条信息部在做系统需求更新测试时,需先进入备份数据库中测试成功后,方可对正式系统进行更新操作。 第九条业务软件系统是公司数据信息的核心部位,也是各项数据的最原始存储位置,信息部必须做好设备的监测与记录工作,如遇异常及时汇报。 第十条信息部负责收银机的安装与调试维护,收银网络的规划与实施。 第十一条信息部负责公司办公网络与收银机(POS)IP地址的规划、分配和管理工作。包括IP地址的规划、备案、分配、IP地址和网卡地址的绑定、IP地址的监管和网络故障监测等。个人不得擅自更改或者盗用IP地址。 第十二条公司IP地址的设置均采用固定IP分配方式,外来人员的电脑需要在信息部主管领导的批准下分配IP进行办公。 第十三条用户发现有人未经同意擅自盗用、挪用他人或本人的IP地址,应及时向信息部报告。 第十四条信息部负责公司办公网络与通信网络的规划与实施,任何个人或部门不得擅自挪动或关闭部门内存放的信息设备。 第十五条办公电脑安全操作管理
百度文库 - 让每个人平等地提升自我 安元科技企业安全生产管理信息系统 企业安全生产管理信息系统 产品说明书 南京安元科技有限公司
安元科技企业安全生产管理信息系统 目录 1. 产品概述 (1) . 产品简介......................................................... (1) . 产品特性......................................................... (3) . 系统环境需求 (4) 网络版 (4) 单机版 (4) . 产品定位......................................................... (5) 2. 产品模块及功能介绍 (6) . 系统功能简介 (6) . 系统功能模块介绍 (9) 用户登录及主程序界面 (9) “系统”菜单 (10) 安全基础信息 (12) 安全生产管理 (31) 安全教育与培训...................................................... (41) 防救灾应急预案 (44) 安全统计与分析...................................................... (45) 3. 客服信息 (49)
1. 产品概述 “安全生产管理信息系统”是南京安元科技有限公司开发的产品系列之一,旨在响应国家、地方政府、企业等对生产安全信息化建设的号召,辅助企业进行安全生产管理的软件产品。产品采用主流的开发工具和数据库软件为企业量身打造,力求有较强的适用性和较完善的功能。 产品开发采用两种基于用户选择的模式:通用产品开发和定制产品开发。其中通用产品开发完成的软件产品整合了企业生产中的共性的功能,而定制开发的软件系统则是为了满足不同用户的个性需求。下面对“安全生产管理信息系统”的功能、特点等进行展开介绍。 . 产品简介 公司开发的“安全生产管理信息系统”是帮助企业进行生产安全管理的软件。软件包括基础数据管理、事故隐患管理、设备管理、应急预案管理、安全教育管理等功能模块。目前有单机版、网络版两个版本。能满足不同行业、不同规模的企业安全生产管理信息化平台建设的需要,并且能根据企业的实际需求进行模块配置,以满足企业安全生产管理中差异化的需求。 产品能帮助企业掌握整体的生产安全和消防安全状况,对重大危险源信息实现动态管理、汇总分析,对事故隐患,及时地、科学地提出预防方案和整改措施,以更好地保障企业员工的生命和企业财产的安全。此产品能帮助企业建立职业安全健康管理体系,提高企业安全管理水平。
信息安全管理办法 第一章总则 第一条为加强公司信息安全管理,推进信息安全体系建设,保障信息系统安全稳定运行,根据国家有关法律、法规和《公司信息化工作管理规定》,制定本办法。 第二条本办法所指的信息安全管理,是指计算机网络及信息系统(以下简称信息系统)的硬件、软件、数据及环境受到有效保护,信息系统的连续、稳定、安全运行得到可靠保障。 第三条公司信息安全管理坚持“谁主管谁负责、谁运行谁负责”的基本原则,各信息系统的主管部门、运营和使用单位各自履行相关的信息系统安全建设和管理的义务与责任。 第四条信息安全管理,包括管理组织与职责、信息安全目标与工作原则、信息安全工作基本要求、信息安全监控、信息安全风险评估、信息安全培训、信息安全检查与考核。 第五条本办法适用于公司总部、各企事业单位及其全体员工。 第二章信息安全管理组织与职责 第六条公司信息化工作领导小组是信息安全工作的最高决策机构,负责信息安全政策、制度和体系建设规划的审批,部署并协调信息安全体系建设,领导信息系统等级保护工作。 第七条公司建立和健全由总部、企事业单位以及信息技术支持单位三方面组成,协调一致、密切配合的信息安全组织和责任体系。各级信息安全组织均要明确主管领导,确定相关责任,设置相应岗位,配备必要人员。 第八条信息管理部是公司信息安全的归口管理部门,负责落实信息化工作领导小组的决策,实施公司信息安全建设与管理,确保重要信息系统的有效保护和安全运行。具体职责包括:组织制定和实施公司信息安全政策标准、管理制度和体系建设规划,组织实施信息安全项目和培训,组织信息安全工作的监督和检查。 第九条公司保密部门负责信息安全工作中有关保密工作的监督、检查和指导。
企业安全生产管理信息系统 产品说明书 南京安元科技有限公司
目录 1. 产品概述 (1) 1.1. 产品简介......................................................... (1) 1.2. 产品特性......................................................... (3) 1.3. 系统环境需求 (4) 1.3.1. 网络版 (4) 1.3.2. 单机版 (4) 1.4. 产品定位......................................................... (5) 2. 产品模块及功能介绍 (6) 2.1. 系统功能简介 (6) 2.2. 系统功能模块介绍 (9) 2.2.1. 用户登录及主程序界面 (9) 2.2.2. “系统”菜单 (10) 2.2.3. 安全基础信息 (12) 2.2.4. 安全生产管理 (31) 2.2.5. 安全教育与培训...................................................... (41) 2.2.6. 防救灾应急预案 (44) 2.2.7. 安全统计与分析...................................................... (45) 3. 客服信息 (49)
1. 产品概述 “安全生产管理信息系统”是南京安元科技有限公司开发的产品系列之一,旨在响应国家、地方政府、企业等对生产安全信息化建设的号召,辅助企业进行安全生产管理的软件产品。产品采用主流的开发工具和数据库软件为企业量身打造,力求有较强的适用性和较完善的功能。 产品开发采用两种基于用户选择的模式:通用产品开发和定制产品开发。其中通用产品开发完成的软件产品整合了企业生产中的共性的功能,而定制开发的软件系统则是为了满足不同用户的个性需求。下面对“安全生产管理信息系统”的功能、特点等进行展开介绍。 1.1. 产品简介 公司开发的“安全生产管理信息系统”是帮助企业进行生产安全管理的软件。软件包括基础数据管理、事故隐患管理、设备管理、应急预案管理、安全教育管理等功能模块。目前有单机版、网络版两个版本。能满足不同行业、不同规模的企业安全生产管理信息化平台建设的需要,并且能根据企业的实际需求进行模块配置,以满足企业安全生产管理中差异化的需求。 产品能帮助企业掌握整体的生产安全和消防安全状况,对重大危险源信息实现动态管理、汇总分析,对事故隐患,及时地、科学地提出预防方案和整改措施,以更好地保障企业员工的生命和企业财产的安全。此产品能帮助企业建立职业安全健康管理体系,提高企业安全管理水平。
管理信息系统概述(安全信息管理系统)参考文本 In The Actual Work Production Management, In Order To Ensure The Smooth Progress Of The Process, And Consider The Relationship Between Each Link, The Specific Requirements Of Each Link To Achieve Risk Control And Planning 某某管理中心 XX年XX月
管理信息系统概述(安全信息管理系 统)参考文本 使用指引:此安全管理资料应用在实际工作生产管理中为了保障过程顺利推进,同时考虑各个环节之间的关系,每个环节实现的具体要求而进行的风险控制与规划,并将危害降低到最小,文档经过下载可进行自定义修改,请根据实际需求进行调整与使用。 一、管理信息系统的概念 所谓系统就是指由若干互相联系、互相影响、互相制 约的各个部分为了一定目标而组合在一起所形成的一个整 体。构成整体的各个组成部分,称为子系统。假若以一个 经济组织的会计作为一个系统,而有关结算中心、会计报 表、成本核算、资产台帐和货币资金等则是它的子系统。 至于有关供销、生产、人事等方面的信息则属于会计系统 以外的环境系统。会计信息系统见图10-2。 过去,国外大多数企业和我国一些先行单位,为了适应不 同职能组织的需要,除了设立会计信息系统以外,还有生
产技术、供销、人事、后勤等科室也都分别设立适合于它们各自需要的信息系统。这样一个企业就有若干信息管理系统,易于发生重复劳动,同一原始资料要分别输入若干个信息管理系统。如有关材料的采购、耗用、转移、完工、职工的基本工资、出勤记录等都要同时输入若干个信息系统。这样不仅出现重复劳动,易于发生差错,而且更改也不方便,造成相互不协调,成本也就比较高。 近年来在信息管理中提出综合性管理系统。就是将一个经济组织作为一个系统,而其生产、技术、会计、供销、后勤、人事等职能业务则是这个系统下的各个子系统。实施综合信息系统需要具有三个条件: (1)分散的信息活动必须通过组织的集中统一安排; (2)这些活动必须是整体的组成部分; (3)这些活动必须由一个集中、独立的信息中心加以
湖南有线鼎城网络有限公司 信息系统安全管理制度 第一章总则 第一条依据《中华人民共和国保守国家秘密法》和有关保密规定,为进一步加强公司计算机信息系统安全保密管理,并结合公司的实际情况制定本制度。 第二条计算机信息系统包括:涉密计算机信息系统和非涉密计算机信息系统。其中,涉密计算机信息系统指以计算机或者计算机网络为主体,按照一定的应用目标和规则构成的处理涉密信息的人机系统。 第三条涉密计算机信息系统的保密工作坚持积极防范、突出重点,既确保国家秘密安全又有利于信息化发展的方针。 第四条涉密计算机信息系统的安全保密工作实行分级保护与分类管理相结合、行政管理与技术防范相结合、防范外部与控制内部相结合的原则。 第五条涉密计算机信息系统的安全保密管理,坚持“谁使用,谁负责”的原则,同时实行主要领导负责制。 第二章系统管理人员的职责 第一条公司的涉密计算机信息系统的管理由使用部门制定专人负责日常管理,具体技术工作由总工办承担,设
置以下安全管理岗位:系统管理员、安全保密管理员、密钥管理员。 第二条系统管理员负责信息系统和网络系统的运行维护管理,主要职责是:信息系统主机的日常运行维护;信息系统的系统安装、备份、维护;信息系统数据库的备份管理;应用系统访问权限的管理;网络设备的管理;网络服务器平台的运行管理;网络病毒入侵防范。 第三条安全保密管理员负责网络信息系统的安全保密技术管理;主要职责是:网络信息安全策略管理;网络信息系统安全检查;涉密计算机的安全管理;网络信息系统的安全审计管理;违规外联的监控。 第四条密钥管理员负责密钥的管理,主要职责是:身份认证系统的管理,密钥的制作,密钥的更换,密钥的销毁。 第五条对涉密计算机信息系统安全管理人员的管理要遵循“从不单独原则”、“责任分散原则”和“最小权限原则”。 第六条新调入或任用涉密岗位的系统管理人员,必须先接受保密教育和网络安全保密知识培训后方可上岗工作。 第七条公司负责定期组织系统管理人员进行保密法规知识的宣传教育和培训工作。
1 目的 明确公司信息化及信息资源管理要求,对外部信息及信息系统进行有效管理,以确保各部门(单位)和岗位能及时、安全地识别、获取并有效运用、保存所需信息。 2 适用围 适用于公司信息化管理及信息收集、整理、转换、传输、利用与发布管理。 3 术语和定义 3.1 信息 有意义的数据、消息。公司的信息包括管理体系所涉及的质量、环境、职业健康安全、测量、标准化、部控制、三基等和生产经营管理中所有信息。 3.2 企业信息化 建立先进的管理理念,应用先进的计算机网络技术,整合、提升企业现有的生产、经营、设计、制造、管理方式,及时为企业各级人员的决策提供准确而有效的数据信息,以便对需求做出迅速的反应,其本质是加强企业的“核心竞争力”。 3.3 信息披露 指公司以报告、报道、网络等形式,向总部、地方政府报告或向社会公众公开披露生产经营管理相关信息的过程。 3.4 ERP 企业资源规划 3.5 MES 制造执行系统 3.6 LIMS 实验室信息管理系统 3.7 IT 信息技术 4 职责 4.1 信息化工作领导小组负责对公司信息化管理工作进行指导和监督、检查,对重大问题进行决策,定期听取有关信息化管理的工作汇报,协调解决信息化过程中存在的有关问题。 4.2 ERP支持中心负责公司ERP系统运行、维护管理,每月召开ERP例会,分析总结系统运行情况,协调处理有关问题,及时向总部支持中心上报月报、年报。 4.3 信息中心是公司信息化工作的归口管理部门,主要职责: a)负责制定并组织实施本程序及配套规章制度,对各部门(单位)信息化工作进行业务指导和督促; b)负责信息化建设管理,组织进行信息技术项目前期管理,编制信息建设专业发展规划并组织实施; c)负责统一规划、组织、整合和管理公司信息资源系统,为各部门(单位)信息采集、整理、汇总和发布等环节提供技术支持;对Internet用户、电子进行设置管理;统一管理分公司互联网出口; d)负责计算机网络系统、信息门户和各类信息应用系统的安全运行和维护及计算机基础设施、计算
信息系统使用管理规定 1 目的 为确保正确、安全的操作信息处理设施,防止资产遭受未授权泄露、修改、移动或销毁,以及因操作原因造成的业务活动中断。 2 适用范围 需要对公司内部信息系统访问、操作及维护信息处理设施的员工。 3 术语和定义 移动介质:是指存储了信息的硬盘、光盘、软盘、移动硬盘、U盘和刻录设备等。 4 职责和权限 公司所有员工以及第三方服务人员使用本公司的信息处理设施均因遵守本程序的规定。 5 相关活动 5.1 信息系统操作原则 所有员工必须遵守各种信息处理设施的有关使用规定,并按照相关规定操作。 未经授权不得操作信息系统,已授权用户必须在授权范围内使用信息系统,不得使用其他员工的权限操作系统,更不得恶意使用系统。 对信息系统设施和系统的变更、维护都应有明确的记录,由专人负责。 5.2 设备管理 各部门的计算机以及计算机的外围设备、消耗材料均由DXC一配备和管理。 计算机及其外围设备原则上不允许借到公司外使用,如确实需要,须经公司领导层同意并明确归还日期后方能借出,归还时要重新进行验收,如有损坏将按购入时的市场价格赔偿。 为保证每台计算机的完整性,各部门人员不得随意挪换计算机内、外部配件,计算机更换部件须经DXC同意。
使用中出现技术性故障,应及时分析,对于人为操作不当或非正常使用软件所造成的问题由DXC技术人员协助排除;对于硬件本身或非人为因素所造成大型故障由技术人员报DXC 给予解决。 软、硬件设备的原始资料(软盘、光盘、说明书及保修卡、许可证协议等)由DXC专人保管,使用者必需的操作守册由使用者保管。 计算机机房必须配置防火、防雷电、火险报警及空调等设施。并对性能进行经常性检测,建立相关的应急措施。 对与计算机应用有关电源接口、通讯接口等设备由DXC进行定期的检查、维护。 5.3 使用管理 操作人员在使用计算机时,必须使用ID和口令登录系统,保持桌面清洁和离开锁屏等良好习惯。要严格遵守操作规程,注意爱护设备,保持清洁,使设备处于良好状态,下班时,务必关机切断电源。 未经许可,使用者不可增删硬盘上的应用软件和系统软件。 严禁使用计算机玩游戏,登录非法网站。 重要部门要采取措施保证输入到信息系统的数据是正确恰当的,同时,对使用添加、修改和删除等对数据的更改要设置权限;对输出的数据也要验证,确保是正确、完整的。 5.4 安全管理 计算机一些内部应用系统的数据资料列入保密范围。未经许可,严禁非相关人员私自复制。 与互联网相连的计算机不得保存与工作有关的机密性的文件与资料。 涉及工作秘密的文字材料或信息不得在互联网上发布,或以电子邮件的形式发送。 使用者必须妥善保管好自己的用户名和密码,严防被窃取而导致泄密。 网络管理人员要控制诊断和配置端口的物理和逻辑访问,一般情况下这些端口应设置为禁用或取消。 5.5 移动介质管理 一般情况下不允许使用移动介质。若需要使用,仅限使用公司配发的移动介质。严禁将私人的移动介质带入公司使用。 移动介质由DXC统一编号,建立“移动介质配发使用登记表”。一般情况下移动介质不允许存储机密级信息,存储有机密级信息的移动介质严禁带出办公场所。确应工作需要,需将存储由机密级信息的移动介质带出办公场所须经公司领导批准。
安全管理信息系统 第一节信息、管理信息概述 一、信息的概念 “信息”是个古老而又现代化的概念。“信息”这个词到现在还没有公认的定义,国内外关于“信息”的定义说法有39种之多,尚处于可领会而不易言传的阶段。 客观世界的三大要素是物质、能量和信息。人类认识物质和能量要早一些。50年代以来,由于科学技术的进步,特别是微电子学的发展,使得信息与知识的传递、知识与情报的交流,无论在空间和时间上都达到空前的规模。 什么是信息?一般认为信息是客观存在的一切事物通过载体所发生的消息、情报、指令、数据、信号和所包含的一切可传递和交换的知识内容。信息是表现事物特征的一种普遍形式,或者说信息是反映客观世界各种事物的物理状态的事实之组合。不同的物质和事物有不同的特征,不同的特征会通过一定的物质形式,如声波、文字、电磁波、颜色、符号、图像等发出不同的消息、情报、指令、数据、信号。这些消息、情报、指令、数据、信号就是信息。信息是自然界、人类社会和人类思维活动中普遍存在的一切物质和事物的属性。 人和动物的大脑通过感觉器官(或仪器)接受外界物质和事物发出的种种消息、情报、指令、数据、信号来识别物质和事物的存在、发展和变化。信息交换的范围很大,包括人与人、人与动物、人与植物、植物与植物、细胞与细胞、物质与物质之间发生的信息交换与传递。 知识是一种特定的人类信息,是整个信息的一部分。在一定的历史条件下,人类通过有区别、有选择的信息,对自然界、人类社会、思维方式和运动规律进行认识与掌握,并通过大脑的思维使信息系统化,形成知识。知识是存在于一个个体中的有用信息。这是人类社会实践经验的总结,是人的主观世界对客观世界的真实反映和理论概括。所以,社会实践是知识的源泉,信息是知识的原料,知识是经过系统化的信息。智能是为了达到某些特定的目的而运用这些信息的能力。 人类社会的进步,就是人们根据获得的信息去感知世界、认识世界、改造世界。也是创造知识,利用知识、积累知识、发展知识的过程。 二、信息论的产生和发展 人类利用信息的历史可以追溯到远古时代。结绳记事和2700多年前我国周朝幽王时期用烽火为号等都是存储信息、传递信息和利用信息的原始形式。到19世纪末叶,光通讯被有线电通讯所取代,尔后又出现了无线电通讯。通讯手段的日益革新,意味着传递信息的方法越来越改善,信息的重要
鑫欧克公司信息安全管理制度 一、信息安全指导方针 保障信息安全,创造用户价值,切实推行安全管理,积极预防风险,完善控制措施,信息安全,人人有责,不断提高顾客满意度。 二、计算机设备管理制度 1、计算机的使用部门要保持清洁、安全、良好的计算机设备工作环境,禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。 2、非本单位技术人员对我单位的设备、系统等进行维修、维护时,必须由本单位相关技术人员现场全程监督。计算机设备送外维修,须经有关部门负责人批准。 3、严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许带电插拨计算机外部设备接口,计算机出现故障时应及时向电脑负责部门报告,不允许私自处理或找非本单位技术人员进行维修及操作。三、操作员安全管理制度 (一)操作代码是进入各类应用系统进行业务操作、分级对数据存取进行控制的代码。操作代码分为系统管理代码和一般操作代码。代码的设置根据不同应用系统的要求及岗位职责而设置; (二)系统管理操作代码的设置与管理
1、系统管理操作代码必须经过经营管理者授权取得; 2、系统管理员负责各项应用系统的环境生成、维护,负责一般操作代码的生成和维护,负责故障恢复等管理及维护; 3、系统管理员对业务系统进行数据整理、故障恢复等操作,必须有其上级授权; 4、系统管理员不得使用他人操作代码进行业务操作; 5、系统管理员调离岗位,上级管理员(或相关负责人)应及时注销其代码并生成新的系统管理员代码; (三)一般操作代码的设置与管理 1、一般操作码由系统管理员根据各类应用系统操作要求生成,应按每操作用户一码设置。 2、操作员不得使用他人代码进行业务操作。 3、操作员调离岗位,系统管理员应及时注销其代码并生成新的操作员代码。 四、密码与权限管理制度 1、密码设置应具有安全性、保密性,不能使用简单的代码和标记。密码是保护系统和数据安全的控制代码,也是保护用户自身权益的控制代码。密码分设为用户密码和操作密码,用户密码是登陆系统时所设的密码,操作密码是进入各应用系统的操作员密码。密码设置不应是名字、生日,重复、顺序、规律数字等容易猜测的数字和字符串; 2、密码应定期修改,间隔时间不得超过一个月,如发
信息系统使用管理办法 信息系统使用管理办法 第一章总则 第一条为了集团信息系统的安全管理、规范使用,确保信息系统与计算机网络资源高效、稳定、安全的运行,特制订本办法。 第二条本办法适用于投资控股有限公司(以下简称“控股公司”)及所属各公司全体员工。第三条本办法所指的信息系统(以下简称“系统”),是指由计算机(包括相关和配套设备)为终端设备,利用计算机、通信、网络等技术进行公司内信息化管理中的数据采集、处理、存储和传输的设备、技术、管理的组合,包含各类软件系统、即时通讯软件等,包含现有正在使用及将来预计使用的信息系统。 第二章系统运行管理 第四条系统帐号管理 系统帐号按照谁使用谁负责的原则,落实至具体责任人。 1、各信息系统的信息管理人员必须遵守《集团信息人员保密管理规定》、《集团关键信息系统平台帐号集中管理办法(A)》。 2、账号开通:信息系统用户实行一人一帐号,各应用系统账号开通由使用人员所在部门提出申请,按流程审批通过后,应用系统管理员予以开通。如使用者为决策层成员,由人力资源部门提出申请。下同。 3、权限增加:各应用系统操作权限的增加须由使用人员提出申请,审批通过后,应用系统管理员予以开通。 4、岗位调整:人员岗位调整后,原岗位直接上级领导要通知应用系统管理员,撤销该账号原有权限。财务、审计岗位在1个工作日内、其它岗位在3个工作日内完成权限通知撤销工作。 5、账号关闭:人员离职前,原岗位直接上级领导要通知应用系统管理员,关闭离职人员的账号,注销其权限。 第五条如果系统需要登记完整的用户个人信息,使用人员要及时、完整地登记、更新个人信息,姓名、电话、邮箱等信息必须真实有效。如账号为公用账号,需要登记该账号的使用人员范围和业务范围。 第六条系统使用人须认真学习与遵守系统的操作手册,严格按照系统运行要求及时处理业务并录入数据,确保数据准确完整,如有不明事项应当咨询系统管理员。 第七条如果其人员需要使用易遨或商海导航等业务系统,人资和信息部门要严格控制权限。
管理信息系统安全方案详解 随着企业信息化建设的进一步发展和完善,安全问题也日益引起人们的关注。本文通过开发和管理石烟管理信息系统的经验,提出了在C/S和B/S相结合的体系结构下,针对系统安全性所采取的若干方法和技术。 引言 XX卷烟厂计算机管理信息系统是由百联优利公司历时三年余的时间开发而成,其体系结构是C/S(客户机/服务器Client/Server),但随着石烟Intranet和的建设,其体系结构正逐渐从C/S向B/S(浏览器/服务器Browser/Server)模式转变,目前采用的是C/S和B/S 相结合的方式。通过这两种体系结构的有效集成,能够最大程度地发挥出两者各自的优势,但无论应用系统体系结构如何变化,其安全问题,一直是人们关注的焦点。下面,在简要概述了石烟整个系统构架后,对系统安全规划设计及实现方面所采取的措施进行探讨。 系统平台 一、网络环境平台内部网络的拓朴结构采用快速交换以太网技术,网络主干为光纤,选用百兆和千兆的交换机,以无线方式与厂外业务单位联通,使用防火墙和路由器通过DDN 线路和光纤与外围单位及本地ISP相连。二、服务器系统平台数据库服务器采用 AlphaDS20,Alpha系列机型采用PAQ公司推出的64位RISC微处理器芯片,采用超标量多流水线技术,它具有高性能、高速充及寻址功能,Alpha芯片拥有64位的浮点运算器,64位整数运算器以及64位的地址空间,是真正的64位芯片。并采用SCSI硬盘构成Raid5磁盘阵列实现系统双机热备份,以保证系统运行的高效、安全及可靠。由于磁盘容错采用磁盘阵列,可跨越故障;以RAID5方式构成磁盘阵列,读磁盘的速度快,数据可靠性高,有效容量达到66%~87%之间,性价比较高。Web系列服务器选用IBM公司的Netfinity 7100,其具有极为卓越的性能,面向业务通讯、电子商务、内部网、WEB等各种应用服务。防病毒服务器和Proxy服务器选用DELL公司的Dell PowerEdge 4400 Server。 石烟系统体系结构图
信息系统使用管理办法 一、本规定设计的网络范围及计算机系统包括:医院信息管理系统网络(内网)、医院办公及因特网(外网)、在网络或单机运行各信息系统及应用程序所使用的计算机、计算机外部设备(如打印机等)、网络设备等。 二、信息科作为医院网络的设计、建设、管理与维护部门,负责对医院网络运行情况进行监督、管理和控制,并对医院网络上的信息进行检查和备案。 三、本条例认为,员工在被许可使用医院计算机系统时,该员工完全接受医院信息科对其计算机以及其附属设施上做的任何设置和策略限制,并完全接受本管理规定所制定的所有条款内容。 (一)硬件管理 1、为便于信息科为各计算机用户提供技术服务支持,医院的计算机系统及相关的附属设备(如打印机、扫描仪、网络设备等)的采购、使用、入网、报废等必须经过信息科审核同意。 2、为了有效地管理及应用医院的计算机,信息科对医院内的所有计算机及其相关设备进行登记注册,其中包含每台机器的型号、使用部门、使用人、用途等。未经信息科允许,任何人不得私自更改计算机配置;严禁携带个人笔记本在未经允许的情况下私自使用医院网络上网。 3、医院计算机设备的资产管理权分属各个使用部门所有。医院员工不得滥用计算机设备,使用者有义务对自己所使用的计算机设备负责;对计算机硬件设备的损坏、丢失、被盗等情况,必须及时通知相关负责人及信息科。 4、医院计算机设备的故障原因由信息科负责确定,非信息科人员不得自行拆装、修理或增加计算机硬件设备。 5、员工在使用计算机中遇到了非正常使用情况或困难,应及时通知信息科人员确定故障原因,并主动说明故障现象,积极配合维修。 6、计算机设备经信息科维修人员确定需外出维修的,由信息科负责联系协议维修公司,维修后由信息科及使用部门确认,相关维修费用计入相应部门支出。 7、医院计算机机房是医院信息系统的神经中枢,非信息科允许禁止擅自进入。 (二)软件管理 1、为便于信息科为各计算机软件用户提供技术服务支持,医院计算机软件的使用、采购、相关技术培训等须经信息科审核同意。 2、医院计算机及其相关应用系统的使用者必须是经过主管部门授权认可的医院工作人员。严禁非医院员工使用医院的计算机及相关资源;未经主管领导或部门许可,任何人不得从计算机和相关的应用系统内获取非公用的相关数据信息。 3、所有计算机用户在首次使用计算机系统或医院相关管理软件前必须接受相关培训方可获得使用权限。 4、医院内网上的计算机软件统一由信息科管理、安装,计算机使用者不得私自改动、删除或安装任何软件。当出现计算机软件出现故障或损坏,应及时通知信息科并作好记录。 5、医院计算机用户视为完全接受所使用计算机系统内所有软件的授权协议条款的相关内容;如对其中某些软件或某些软件条款有异议,需向有关部门和负责人申请,有信息科帮助其删除相关软件或取消其使用权限。 6、信息科应建立医院的软件档案库,对医院工作需要的各种软件要及时备份,经常检查更新,保持其可用性。
管理信息系统安全 方案详解 1
管理信息系统安全方案详解 随着企业信息化建设的进一步发展和完善,安全问题也日益引起人们的关注。本文经过开发和管理石烟管理信息系统的经验,提出了在C/S和B/S相结合的体系结构下,针对系统安全性所采取的若干方法和技术。 引言 石家庄卷烟厂计算机管理信息系统是由百联优利公司历时三年余的时间开发而成,其体系结构是C/S(客户机/服务器 Client/Server),但随着石烟Intranet和网站的建设,其体系结构正逐渐从C/S向B/S(浏览器/服务器 Browser/Server)模式转变,当前采用的是C/S和B/S相结合的方式。 经过这两种体系结构的有效集成,能够最大程度地发挥出两者各自的优势,但无论应用系统体系结构如何变化,其安全问题,一直是人们关注的焦点。 下面,在简要概述了石烟整个系统构架后,对系统安全规划设计及实现方面所采取的措施进行探讨。 2
系统平台 一、网络环境平台 内部网络的拓朴结构采用快速交换以太网技术,网络主干为光纤,选用百兆和千兆的交换机,以无线方式与厂外业务单位联通,使用防火墙和路由器经过DDN线路和光纤与外围单位及本地ISP相连。 二、服务器系统平台 数据库服务器采用Alpha DS20,Alpha系列机型采用COMPAQ 公司推出的64位RISC微处理器芯片,采用超标量多流水线技术,它具有高性能、高速充及寻址功能,Alpha芯片拥有64位的浮点运算器,64位整数运算器以及64位的地址空间,是真正的64位芯片。并采用SCSI硬盘构成Raid5磁盘阵列实现系统双机热备份,以保证系统运行的高效、安全及可靠。由于磁盘容错采用磁盘阵列,可跨越故障;以RAID5方式构成磁盘阵列,读磁盘的速度快,数据可靠性高,有效容量达到66%~87%之间,性价比较高。 Web系列服务器选用IBM公司的Netfinity 7100,其具有极为 3
公司IT信息安全管理制度4 富世康公司IT信息安全管理制度 第一条总则通过加强公司计算机系统、办公网络、服务器系统的管理,保证网络系统安全运行,保证公司机密文件的安全,保障服务器、数据库的安全运行。加强计算机使用人员的安全意识,确保计算机系统正常运转。 第二条范围 1、计算机网络系统由计算机硬件设备、软件及客户机的网络系统配置组成。 2、软件包括:服务器操作系统、SQL数据库、金蝶财务软件、浩龙餐饮管理软件、思迅商业管理软件、今目标办公自动化系统、微励系统及其它办公软件。 3、客户机的网络系统配置包括客户机在网络上的名称,IP 地址分配,用户登陆名称、用户密码、及Internet的配置等。 4、系统软件是指:操作系统(如WINDOWS XP、SERVER2008、WINDOWS7等)软件。 第三条职责 1、信息部为网络安全运行的管理部门,负责公司计算机网络系统、计算机系统、数据库系统的日常维护和管理。 2、负责系统软件的调研、采购定型、安装、升级、保管工作。
3、网络管理人员负责计算机网络系统、办公自动化系统、平台系统的安全运行;服务器安全运行和数据备份;Internet对外接口安全以及计算机系统防病毒管理;各种软件的用户密码及权限管理协助各部门进行数据备份和数据归档。 4、网络管理人员执行公司保密制度,严守公司商业机密。 5、员工执行计算机安全管理制度,遵守公司保密制度。 6、系统管理员的密码必须由网络管理部门相关人员掌握。 第三条管理办法 I、公司计算机使用管理制度 1、从事计算机网络信息活动时,必须遵守《计算机信息网络国际联网安全保护管理办法》的规定,应遵守国家法律、法规,加强信息安全教育。 2、计算机等硬件设备由公司统一配置并定位,任何部门和个人不得允许私自挪 用调换、外借和移动电脑。 3、电脑硬件及其配件添置应列出清单报审计部,在征得公司领导同意后,由信息部负责进行添置。 4、电脑操作应按规定的程序进行。 (1)电脑的开、关机应按按正常程序操作,因非法操作而使电脑不能正常使用的,修理费用由该部门负责;
信息系统管理办法 第一章:总则 第一条为保证公司信息网络系统的安全,根据国家有关计算机、网络和信息安全的相关法律、法规和安全规定,结合公司内网络系统建设的实际情况,制定本办法。 第二条本办法所指的信息网络系统,是指由计算机(包括相关和配套设备)为终端设备,利用计算机、通信、网络等技术进行公司内信息化管理中的数据采集、处理、存储和传输的设备、技术、管理的组合。 第三条信息网络系统安全的含义是通过各种计算机及其他登陆终端、网络、密码技术和信息安全技术,在实现网络系统安全的基础上,保护信息在传输、交换和存储过程中的机密性、完整性和真实性。对于终端网络安全特指本机信息系统应用数据、操作系统、身份验证及操作代码的机密性及安全性。 第四条本规定适用于公司内所有计算机硬件及周边设备(如打印机、扫瞄仪、MO存储器,软磁碟,CD碟,数码相机、考勤机终端等)及所有网络设备。公司内所有操作计算机岗位和与之有工作的岗位均属此管理之内。 第二章信息系统安全管理 第五条计算机系统账号与操作员代码 一、操作代码是进入各类应用系统进行业务操作、分级对数据存取进行控制的代码。操作代码分为系统管理代码和应用操作代码。代码的设臵根据不同应用系统的要求及岗位职责而设臵; 二、系统管理操作代码必须经过相应申请经相关系统管理人员授权取得;
三、系统管理员负责各项应用系统的环境生成、维护,负责一般操作代码的生成和维护,负责故障恢复等管理及维护; 四、系统管理员对业务系统进行数据整理、故障恢复等操作,必须有主管负责人授权; 五、信息部门任何人员不得使用他人操作代码进行业务操作; 六、系统管理员调离岗位,上级管理员(或相关负责人)应及时注销其代码并生成新的系统管理员代码; 七、一般操作码由系统管理员根据各类应用系统操作要求生成,应按每操作用户一码设臵。 八、操作员不得使用或盗用他人代码进行业务操作。 九、操作员调离岗位,系统管理员应及时注销其代码并生成新的操作员代码。 第六条密码与权限管理 一、密码是保护系统和数据安全的控制代码,也是保护用户自身权益的控制代码。密码分设为用户密码和操作密码,用户密码是登陆系统时所设的密码,操作密码是进入各应用系统的操作员密码。密码设臵应具有安全性、保密性,不能使用简单的代码和标记。 二、密码应定期修改,间隔时间不得超过一个月,如发现或怀疑密码遗失或泄漏应立即修改,在可能的情况下并相应记记录用户名、修改时间、修改人等内容,及时上报公司信息中心备案。 三、服务器、路由器等公司重要信息设备的超级用户密码由运行机构负责人指定专人(不参与系统开发和维护的人员)设臵和管理,并由密码设臵人员将密码装入密码信封,在骑缝处加盖部门印章并签字标注封存日期后交由信息中 心存档并登记。如遇特殊情况需要启用封存的密码,必须经过相关部门负责人同意,由密码使用人员向密码管理人员索
信息系统安全管理与风险评估 陈泽民:3080604041 信息时代既带给我们无限商机与方便,也充斥着隐患与危险。越来越多的黑客通过网络肆意侵入企业的计算机,盗取重要资料,或者破坏企业网络,使其陷入瘫痪,造成巨大损失。因此,网络安全越来越重要。企业网络安全的核心是企业信息的安全。具体来说,也就涉及到企业信息系统的安全问题。一套科学、合理、完整、有效的网络信息安全保障体系,就成为网络信息系统设计和建设者们追求的主要目标。信息安全是整个网络系统安全设计的最终目标,信息系统安全的建立必须以一系列网络安全技术为摹础。但信息系统是一个综合的、动态的、多层次之间相结合的复杂系统,只从网络安全技术的角度保证整个信息系统的安全是很网难的,网络信息系统对安全的整体是任何一种单元安全技术都无法解决的。冈此对信息系统的安全方案的设计必须以科学的安全体系结构模型为依据,才能保障整个安全体系的完备性、合理性。 制定安全目标和安全策略对于建造一个安全的计算机系统是举足轻重的。网络上可采用安全技术例如防火墙等实现网络安全,软件开发上可选择不同的安全粒度,如记录级,文件级信息级等。在系统的各个层次中展开安全控制是非常有利的。在应用软件层上设置安全访问控制是整个应用系统安全性的重要步骤。此外安全教育与管理也是系统安全的重要方面。信息系统的安全管理就是以行政手段对系统的安全活动进行综合管理,并与技术策略和措施相结合,从而使信息系统达到整体上的安全水平。其实,在系统的安全保护措施中,技术性安全措施所占的比例很小,而更多则是非技术性安全措施。两者之间是互相补充,彼此促进,相辅相成的关系。信息系统的安全性并不仅仅是技术问
I T信息系统管理规定更新 版 Newly compiled on November 23, 2020
综合管理部 IT信息系统管理制度 更新版
目录 一、目的 (3) 二、适用范围 (3) 三、职责 (3) 四、名词定义 (1) 五、安全管理 (1) 六、账号和邮箱管理 (1) 七、Internet管理 (1) 八、文件服务器 (1) 九、硬件管理 (1) 十、软件管理 (1) 十一、公司网站维护管理 (4) 十二、 (1) IT信息系统管理制度 一、目的 为了保护公司计算机信息系统安全,规范信息系统管理,合理利用系统资源,保障公司各信息系统的正常运行,充分发挥信息系统在企业管理中的作用,更好地为公司生产经营服务,特制定本制度。 二、适用范围 本制度适用于公司范围内: 所有计算机、计算机用户及计算机相关设备、网络设备、服务器和计算机上安装的所有软件。 三、职责 综合管理部(网管):负责对公司内所有计算机及相关设备、软硬件的维护和信息系统资源的管理,为各部门提供信息技术
相关的支持服务。 部门:负责本部门计算机的保管、使用,使用过程中可要求综合管理部(网管)协助、支持。在工作过程当中不可以多次询问同一问题,以免给综合管理部人员带来不必要的工作负担。 四、名词定义 Internet:由使用公用语言互相通信的计算机连接而成的全球网络。 防火墙:协助确保信息安全的设备,会依照特定的规则,允许或是限制传输的数据通过。防火墙可以是一台专属的硬件也可以是架设在一般硬件上的一套软件。 VPN:即虚拟专用网,它是通过Internet建立的一个临时的、安全的连接。 文件服务器:基于中央服务器的文件共享,文件夹及文件的权限可基于部门及用户进行集中的管理,同时集中的每个工作日的数据备份机制,可以确保用户防范文件丢失或损坏带来的业务上的风险; 网站服务器:存放网站文件和资料,包括文字、文档、数据库、网站的页面、图片等文件的服务器。 备份服务器:用于备份服务器文件信息数据。 FTP:让用户连接上一个远程计算机(这些计算机上运行着FTP服务器程序)察看远程计算机有哪些文件,然后把文件从远程计算机上拷到本地计算机,或把本地计算机的文件送到远程
企业管理信息系统安全性分析及对策 引论 在全球经济一体化的背景下,一个企业是否可以在竞争中处于优势地位,取决于它是否具有面向客户、反应及时、自动研习、共享资源、成本控制的先进作业系统。由于信息技术和互联网的大范围普及,如何建设一个安全高效的企业信息管理系统是企业管理者正面临的一项新的严峻的挑战。我们都希望我们的网络系统可以更加安全可靠地运行,但是事实并非总如我们所愿,由于网络信息传输量的急速增加,一些机构和部门的上网数据会遭到不法分子不同程度的破坏。网络攻击者能够窃取网络上的信息,盗取口令、私自修改数据库内容,散播计算机病毒等。在信息系统越来越网络化、全球化、开放化的今天,如果企业管理者不能很好的考虑到这些问题不把这些问题提高一定的高度来解决,信息安全问题势必会困扰每一个管理者,可能会危及到网络环境下企业的经济安全,严重的威胁到数据的安全性和自身的利益。因此保证网络的安全性、可靠性是网络正常运转的基础和条件,从而可以更好地为企事业单位提供服务。 1 企业管理信息系统的安全性含义及目标 管理信息系统(Management Information System,简称MIS)是一个人-机系统,它涵盖了企业中主要的业务部门。它与企业的管理活动密切相关,与企业的管理方式、经营观念有关,服务于企业的最终目标。MIS的目的是通过企业改进管理方式、改善和提高管理水平,进而提高企业的经济效益、推进企业管理现代化、增强企业的环境适应能力。 1.1 企业管理信息系统的安全性的内涵 MIS 是一个由人、计算机等组成的能进行信息收集、传递、储存、加工、维护和使用的系统。能够实测企业的各种运行情况,利用过去的数据预测未来,从全局出发帮助企业做出决策,利用掌握的信息控制企业的行为,帮助企业实现其规划目标[1]。也就是说它可以给企业提供准确及时的信息并帮助企业做出科学决策和控制、合理利用企业现有资源、增强企业应变能力、提高企业竞争力和增加经济效益,使企业管理方式从经验管理到科学管理,实现科学的管理思想和先进的管理手段的完美结合。 根据保护目标的要求和环境的状况,信息安全是信息网络和信息系统的硬件、软件、设备和数据受到可靠地保护,通信、访问等操作得到有效的保障和合理的控制,不会由于偶然或恶意的原因使系统遭到破坏,数据遭到更改或泄露,从而保证系统可以正常运转,网络服务不被中止。信息安全涉及的安全问题主要包括如下内容: 1.1.1 系统运行的安全 系统运行的安全主要指保护信息处理和通信系统的安全。保证系统正常运行,避免由于系统崩溃和软硬件损坏造成的不良后果如系统数据存储、处理异常和传输信息丢失,破坏和损失,因为系统物理的不安全会造成的系统运行的不正常或瘫痪,用户的误操作也会影响系统正常运行,目前很多手机软件在运行过程中会出现系统故障,如闪退,自动关机,停止运行等等。 1.1.2 访问权限和系统信息资源保护 对网络中的各种软件和硬件资源进行访问控制,防止没有被授权的用户进行不合法访问。口令设置、身份识别、端口控制等技术来实现对用户访问权限的控制。系统信息资源保护技术有身份验证技术、用户口令识别技术、用户存取权限控制技术、数据库存取权限控制技术、数据加密、数据备份等。