隨著信息技術(shù)的飛速發(fā)展，數(shù)字化辦公逐漸成為主流的辦公方式，現(xiàn)代化辦公和計(jì)算機(jī)網(wǎng)絡(luò)有機(jī)地結(jié)合在了一起，企業(yè)的信息化程度越來越高，對(duì)信息系統(tǒng)的依賴程度也越來越高。相應(yīng)地，在這個(gè)過程當(dāng)中，企業(yè)也遇到了各式各樣的問題，其中，最容易給企業(yè)造成重大損失的，就是信息安全問題。

　　一、信息安全的內(nèi)涵

　　信息安全在一定程度上也可以稱為數(shù)據(jù)安全，一方面，指的是數(shù)據(jù)自身的安全，另一方面，指的是數(shù)據(jù)防護(hù)的安全。在數(shù)據(jù)自身的安全方面，無論是涉及國家秘密還是商業(yè)秘密，信息泄露都會(huì)給企業(yè)帶來難以估量的損失，甚至于威脅國家安全和利益。為了防范于未然，除了采取相應(yīng)的管理程序加強(qiáng)員工管理以及簽訂相應(yīng)的保密協(xié)議之外，還需要通過行之有效的技術(shù)手段進(jìn)行防護(hù)。

　　常規(guī)的防護(hù)手段不外乎數(shù)據(jù)加密、信息完整性校驗(yàn)、身份認(rèn)證等方式，輔以端口控制、審計(jì)監(jiān)控以及調(diào)查取證等技術(shù)，通過與管理程序相結(jié)合，可以有效地保護(hù)數(shù)據(jù)自身的安全，防止企業(yè)因數(shù)據(jù)外泄而造成損失。

　　對(duì)于企業(yè)來說，主動(dòng)泄密的員工畢竟不多，但因疏于對(duì)數(shù)據(jù)進(jìn)行必要的防護(hù)，結(jié)果造成數(shù)據(jù)丟失的事情卻屢見不鮮。

　　二、信息安全存在的問題

　　安全問題給企業(yè)帶來的損失往往都非常巨大，當(dāng)事人雖追悔莫及卻無力回天。

　　老牌企業(yè)A在大力發(fā)展信息化的過程當(dāng)中，產(chǎn)生了海量數(shù)據(jù)，大部分為涉及試驗(yàn)的數(shù)據(jù)，因?yàn)樵囼?yàn)的成本很高，基本上不具備可重復(fù)性，因此，這些數(shù)據(jù)十分寶貴。由于規(guī)劃建設(shè)較早，該企業(yè)是在發(fā)展的過程當(dāng)中逐步建立起信息系統(tǒng)的，而信息系統(tǒng)內(nèi)所產(chǎn)生的數(shù)據(jù)則全部都存儲(chǔ)在各個(gè)聯(lián)網(wǎng)計(jì)算機(jī)終端上，除郵件服務(wù)器存儲(chǔ)了全部內(nèi)部郵件系統(tǒng)數(shù)據(jù)往來之外，沒有采取集中存儲(chǔ)或備份措施。在該企業(yè)信息系統(tǒng)的運(yùn)行過程中，曾經(jīng)零星地出現(xiàn)過一些計(jì)算機(jī)終端硬盤損壞的情況，造成涉事人員的部分或全部數(shù)據(jù)丟失，但是，由于涉事人員的級(jí)別不高且一般項(xiàng)目的完結(jié)稿均在項(xiàng)目負(fù)責(zé)人處有備份，種種原因?qū)е逻@類事件始終未能引起企業(yè)足夠的重視。

　　之后的一次意外斷電，造成該企業(yè)一個(gè)重要項(xiàng)目負(fù)責(zé)人的計(jì)算機(jī)在非正常關(guān)機(jī)后無法再啟動(dòng)，經(jīng)檢查，為硬盤硬件故障。事情發(fā)生后，該負(fù)責(zé)人找了多家專業(yè)的數(shù)據(jù)恢復(fù)機(jī)構(gòu)，均被告知只有20%的概率恢復(fù)。最后，很不幸地，硬盤數(shù)據(jù)沒有能夠找回，雖然通過郵件系統(tǒng)找回了該負(fù)責(zé)人發(fā)送給其他員工的部分?jǐn)?shù)據(jù)，但是，實(shí)際損失還是相當(dāng)大，給企業(yè)帶來了不小的影響。

　　從表面上看，該企業(yè)沒有對(duì)數(shù)據(jù)進(jìn)行集中保存且缺乏數(shù)據(jù)備份的手段，但是，有了集中存儲(chǔ)與數(shù)據(jù)備份措施就能確保萬無一失了嗎?

　　新興企業(yè)B在發(fā)展過程中認(rèn)識(shí)到了數(shù)據(jù)安全的重要性，采購了磁盤陣列、磁帶機(jī)以及備份與恢復(fù)軟件，制定了符合企業(yè)自身特點(diǎn)的備份策略，使用備份軟件在虛擬帶庫與真實(shí)帶庫上進(jìn)行兩級(jí)備份來保證數(shù)據(jù)安全，管理員定期檢查數(shù)據(jù)備份狀態(tài)，備份功能一直都很正常。而且，為了保證數(shù)據(jù)能夠被充分利用與保存，該企業(yè)斥巨資開發(fā)了一套數(shù)據(jù)管理系統(tǒng)，通過數(shù)據(jù)庫系統(tǒng)將各種數(shù)據(jù)分門別類地保存，集中進(jìn)行管理，這給其他相關(guān)項(xiàng)目的研發(fā)提供了很大的助力，研發(fā)水平得到了提升。

　　然而，在一次數(shù)據(jù)管理系統(tǒng)的版本升級(jí)過程中，由于應(yīng)用系統(tǒng)開發(fā)人員的—個(gè)疏忽，導(dǎo)致程序誤將應(yīng)用系統(tǒng)內(nèi)的部分重要數(shù)據(jù)刪除，由于影響到了主營業(yè)務(wù)，急需進(jìn)行數(shù)據(jù)恢復(fù)。管理人員在恢復(fù)申請(qǐng)獲得批準(zhǔn)后第一時(shí)間啟動(dòng)了恢復(fù)程序，可是卻突然發(fā)現(xiàn)，由于待恢復(fù)數(shù)據(jù)文件異�，嵥榍覕�(shù)量巨大，在暫停應(yīng)用的情況下，恢復(fù)時(shí)間預(yù)計(jì)會(huì)超過10個(gè)小時(shí)。最后，由于業(yè)務(wù)部門無法等到全部數(shù)據(jù)恢復(fù)完成，只能被迫選擇了一個(gè)恢復(fù)時(shí)間較短、損失相對(duì)較少的備份節(jié)點(diǎn)進(jìn)行應(yīng)用系統(tǒng)的快速恢復(fù)，以保證主營業(yè)務(wù)不至于中斷，企業(yè)因此而損失巨大。

　　三、保護(hù)信息安全的措施

　　由此可見，只有集中存儲(chǔ)與數(shù)據(jù)備份還不足以解決數(shù)據(jù)安全的問題。怎么樣才能夠從根本上保護(hù)企業(yè)的生命線，將信息安全風(fēng)險(xiǎn)降至最低呢?總結(jié)下來，主要有如下幾個(gè)方面的措施。

　　(一)重要數(shù)據(jù)文件集中進(jìn)行存儲(chǔ)，統(tǒng)一進(jìn)行備份

　　數(shù)據(jù)文件集中存儲(chǔ)，在存儲(chǔ)系統(tǒng)中保留副本，可以解決數(shù)據(jù)保存零散化、碎片化的問題，降低因終端硬盤故障帶來的安全風(fēng)險(xiǎn)。而后，通過備份系統(tǒng)定期對(duì)存儲(chǔ)系統(tǒng)進(jìn)行數(shù)據(jù)全備份及增量備份，保護(hù)數(shù)據(jù)安全。

　　同時(shí)，管理人員還應(yīng)該定期對(duì)備份介質(zhì)進(jìn)行檢查，尤其是應(yīng)定期檢查磁帶類備份介質(zhì)，選擇合適的環(huán)境保存磁帶類備份介質(zhì)，確保備份介質(zhì)的可用性，這一點(diǎn)相當(dāng)重要。

　　(二)做好備份與恢復(fù)演練、系統(tǒng)恢復(fù)應(yīng)急響應(yīng)演練

　　應(yīng)該制定符合企業(yè)自身特點(diǎn)的備份與恢復(fù)策略，備份策略要考慮數(shù)據(jù)保護(hù)周期，防止因保護(hù)周期過長而導(dǎo)致已經(jīng)過期的備份數(shù)據(jù)不能被覆蓋，進(jìn)而導(dǎo)致備份作業(yè)無法完成。同時(shí)，應(yīng)該對(duì)業(yè)務(wù)數(shù)據(jù)按照重要性進(jìn)行排序，確定恢復(fù)數(shù)據(jù)的順序。管理人員還需要充分考慮恢復(fù)過程中可能遇到的問題及解決辦法，形成操作文檔。

　　更為重要的是應(yīng)該制定行之有效的制度以確保備份與恢復(fù)策略能夠切實(shí)地執(zhí)行，同時(shí)，制度中要對(duì)備份與恢復(fù)演練、系統(tǒng)恢復(fù)應(yīng)急響應(yīng)演練做出要求，確保恢復(fù)的快速性和可操作性。從演練中發(fā)現(xiàn)問題、總結(jié)經(jīng)驗(yàn)，豐富應(yīng)急響應(yīng)操作文檔，為將來真正出現(xiàn)恢復(fù)需求時(shí)積累經(jīng)驗(yàn)。

　　(三)做好應(yīng)用系統(tǒng)的測試工作

　　如果有條件的話，企業(yè)可以為應(yīng)用系統(tǒng)建立兩套相同的環(huán)境，一套為測試環(huán)境，用來測試應(yīng)用系統(tǒng)比較大的改動(dòng)的有效性與穩(wěn)定性；一套為生產(chǎn)環(huán)境，在對(duì)應(yīng)用系統(tǒng)的改動(dòng)進(jìn)行了充分測試后，才將程序部署在該環(huán)境下。如果條件不允許，可以退而求其次，使用普通計(jì)算機(jī)模擬應(yīng)用系統(tǒng)服務(wù)器，內(nèi)存要設(shè)置得大一些，在其上部署測試環(huán)境進(jìn)行測試，也可以在一定程度上滿足需要，降低直接部署應(yīng)用的安全風(fēng)險(xiǎn)。

　　(四)做好信息系統(tǒng)內(nèi)的病毒防治工作

　　管理人員在現(xiàn)有條件下很難在信息系統(tǒng)內(nèi)將病毒全部查殺干凈。而部分病毒、惡意程序會(huì)蓄意破壞數(shù)據(jù)，這對(duì)終端上的數(shù)據(jù)安全會(huì)產(chǎn)生不利影響。

　　為此，需要采取必要的端口控制手段，對(duì)信息系統(tǒng)內(nèi)的病毒查殺情況進(jìn)行定期監(jiān)控，必要時(shí)使用專殺工具作為補(bǔ)充，輔以手動(dòng)殺毒等手段。管理員還需要注意防病毒軟件的設(shè)置，為了避免防病毒軟件將數(shù)據(jù)文件連同病毒一同刪除，應(yīng)設(shè)置清除病毒失敗后采取隔離方式，而不是刪除文件的方式，待出現(xiàn)專殺工具后再對(duì)病毒文件進(jìn)行查殺，確實(shí)保證數(shù)據(jù)安全。

　　(五)做好信息系統(tǒng)內(nèi)部人員的管理工作

　　最好將培訓(xùn)貫穿員工進(jìn)入企業(yè)至退休的全過程，不要流于形式，要抓住重點(diǎn)，如哪些事情可以做，怎么樣去做效率會(huì)最高又不易出錯(cuò)；哪些事情不能做，做了會(huì)有什么后果等等，如果帶有案例分析效果會(huì)更好。

　　最后，還需要領(lǐng)導(dǎo)層的高度重視與支持，加大宣貫力度，真正做到按章辦事、上行下效。只有這樣，信息安全工作才更加好做。

　　四、結(jié)語

　　信息安全防護(hù)是一項(xiàng)系統(tǒng)工程，涵蓋的內(nèi)容非常廣泛，很難做到面面俱到。而為了保護(hù)這道企業(yè)的生命線，在安全防護(hù)的過程中，管理人員應(yīng)根據(jù)信息系統(tǒng)的運(yùn)行經(jīng)驗(yàn)，充分開動(dòng)腦筋，發(fā)揮想象力，找到可能出現(xiàn)問題的環(huán)節(jié)，做好預(yù)案，將安全風(fēng)險(xiǎn)降至最低。

　　信息安全工作必須長抓不懈，只有保護(hù)好這道生命線，企業(yè)的研發(fā)工作才能沒有后顧之憂。 

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.oesoe.com/

本文標(biāo)題：信息安全，企業(yè)的生命線

本文網(wǎng)址：http://www.oesoe.com/html/support/11121812340.html