信息系统安全的机会和挑战

文：鼎捷ERP

作者：鼎捷数智 | 发布时间：2012-11-30 14:50:34

8．5 管理机会、挑战和解决方案
    信息系统安全不但需要技术资源，还需要组织资源和管理资源。建立一个好的安全和控制框架，需要妥善均衡各种风险，考虑成本效益以及企业自身的运行能力。
8，5．1 机会
    信息系统的安全与控制比以前任何时候都变得更重要了。企业如今有机会建立非常安全可靠的网站和信息系统，支持电子商务和电子企务战略。反过来，如果企业OA系统被认为是不安全或不可靠的，企业的财务收支、声誉、品牌形象，甚至企业的生存能力都会受到影响和怀疑。这种风险从未如此之高。
8，5，2 管理挑战
    有许多技术可以帮助企业实现安全和控制，但为了有效利用这些技术，企业必须建立组织规范。
1．设计控制恰当的系统
    失去控制的PLM系统是危险的，而如果系统控制过严，到处需要密码验证、身份确认，访问任何数据都需要复杂的安全措施，用户必然会不愿使用这样的系统。系统是安全了，却相当于向用户关上了大门，失去了建立信息系统的本意。设计一个控制水平恰当而有效的系统是非常困难的。
2．采用有效的安全政策
    尽管系统面临的威胁越来越多，但还是有非常多的企业没有给予系统安全以足够的重视。安全和控制程序并没有集成到关键的企业过程和系统中。研究发现，75％制定了安全政策的企业没有对安全政策进行及时更新，只有9％的员工能理解安全政策。许多企业仍没有制定灾难恢复计划和企业连续计划。除非管理者对安全建立了正确的认识，否则企业系统安全无法得到有效保证。
8，5。3解决方案指引
    系统安全和其他职能部门一样，对企业的成功起着至关重要的作用。要实现可靠的安全和控制，人们需要改变自己过去的工作方式，得到来自较高管理层的支持，了解安全和控制对于企业所有企务的重要性。安全和控制应该成为企业每一个员工的责任，应当对用户进行适当的培训，例如，培训如何保护密码和设备，如何使用防病毒软件等。管理层应当建立系统安全性和可靠性的标准，确定适当的控制水平。
小结
1．解释为什么信息系统需要特别保护
    当数据以电子化方式集中存储在系统中时，就比书面保存的数据更容易受到破坏、滥用等威胁。由于因特网的开放特性，连接在因特网上的企业系统就要面对来自外部的更多潜在威胁。系统的各个方面都存在着潜在的威胁。
2．评估安全和控制的商业价值
    一旦由于安全和控制的问题而导致系统故障，会给企业带来巨大的损失。如果安全和控制措施不当，导致自身商业机密泄漏，或因客户、供应商管理敏感数据的丢失而引起的诉讼，都会给企业带来巨额损失。这些都体现了安全和控制的商业价值。
3．评估安全和控制的组织框架与管理框架的要素
    企业需要建立恰当的安全控制组织和管理框架，确保技术能够有效地保护信息资源。需要建立通用控制标准和应用控制标准。为了确定哪些控制是必需的，应当通过风险评估了解哪些是需要保护的重要信息资产，需要保护到什么程度。企业还应当建立企业安全政策、企业连续计划和灾难恢复计划。企业还应该进行信息系统审核，确定对信息系统安全控制措施的有效性。
4．评估保护信息资源的较重要的工具和技术
    企业可以通过容错计算机系统或商可用性计算环境，来保证信息系统的高可用性和商可靠性。可以通过防火墙把内部网络和外部网络分隔开来，防止未经授权的用户访问内部网络。系统侦测系统负责监控可疑的网络行为。通过密码、生物认证等方式认证系统用户的身份，通过防病毒软件防止和清除恶意软件，应用数字证书和公钥加密技术提供数据传输的保护。
5．了解信息系统安全和控制带来的挑战以及相应的解决方案
    信息系统安全不但需要技术资源，还需要组织资源和管理资源。建立一个好的安全和控制框架，需要妥善协同均衡各种风险，考虑成本效益以及企业自身的运行能力。

    中等风险弱点包括用户未登录就可以关闭系统、个人计算机没有设置密码和屏幕保护密码、存在过期版本的软件等。
    低风险弱点包括用户无法修改密码、用户密码没有定期修改、密码长度小于公司规定的较小长度等。
    利用以上数据，对企业的安全弱点进行分析，回答下列问题：
    (1)每一种计算平台的安全弱点总数是多少?每一种计算平台的安全问题会给公司带来哪些潜在的影响?
    (2)如果只有一名信息系统安全专家，他首先应该消除哪一种计算平台的安全弱点?其次呢?再次呢?较后呢?为什么?
    (3)列出这些安全弱点反映出来的安全控制问题，指出应该采取哪些措施来解决这些问题。
    (4)如果对这些安全弱点不加以重视，公司会面临什么样的风险?

上一页：管理信息系统安全与控制的建立和技术

下一页：案例：匆忙打补丁和加拿大皇家银行的软件灾难