隨著信息技術的飛速發展,數字化辦公逐漸成為主流的辦公方式,現代化辦公和計算機網絡有機地結合在了一起,企業的信息化程度越來越高,對信息系統的依賴程度也越來越高。相應地,在這個過程當中,企業也遇到了各式各樣的問題,其中,最容易給企業造成重大損失的,就是信息安全問題。
一、信息安全的內涵
信息安全在一定程度上也可以稱為數據安全,一方面,指的是數據自身的安全,另一方面,指的是數據防護的安全。在數據自身的安全方面,無論是涉及國家秘密還是商業秘密,信息泄露都會給企業帶來難以估量的損失,甚至于威脅國家安全和利益。為了防范于未然,除了采取相應的管理程序加強員工管理以及簽訂相應的保密協議之外,還需要通過行之有效的技術手段進行防護。
常規的防護手段不外乎數據加密、信息完整性校驗、身份認證等方式,輔以端口控制、審計監控以及調查取證等技術,通過與管理程序相結合,可以有效地保護數據自身的安全,防止企業因數據外泄而造成損失。
對于企業來說,主動泄密的員工畢竟不多,但因疏于對數據進行必要的防護,結果造成數據丟失的事情卻屢見不鮮。
二、信息安全存在的問題
安全問題給企業帶來的損失往往都非常巨大,當事人雖追悔莫及卻無力回天。
老牌企業A在大力發展信息化的過程當中,產生了海量數據,大部分為涉及試驗的數據,因為試驗的成本很高,基本上不具備可重復性,因此,這些數據十分寶貴。由于規劃建設較早,該企業是在發展的過程當中逐步建立起信息系統的,而信息系統內所產生的數據則全部都存儲在各個聯網計算機終端上,除郵件服務器存儲了全部內部郵件系統數據往來之外,沒有采取集中存儲或備份措施。在該企業信息系統的運行過程中,曾經零星地出現過一些計算機終端硬盤損壞的情況,造成涉事人員的部分或全部數據丟失,但是,由于涉事人員的級別不高且一般項目的完結稿均在項目負責人處有備份,種種原因導致這類事件始終未能引起企業足夠的重視。
之后的一次意外斷電,造成該企業一個重要項目負責人的計算機在非正常關機后無法再啟動,經檢查,為硬盤硬件故障。事情發生后,該負責人找了多家專業的數據恢復機構,均被告知只有20%的概率恢復。最后,很不幸地,硬盤數據沒有能夠找回,雖然通過郵件系統找回了該負責人發送給其他員工的部分數據,但是,實際損失還是相當大,給企業帶來了不小的影響。
從表面上看,該企業沒有對數據進行集中保存且缺乏數據備份的手段,但是,有了集中存儲與數據備份措施就能確保萬無一失了嗎?
新興企業B在發展過程中認識到了數據安全的重要性,采購了磁盤陣列、磁帶機以及備份與恢復軟件,制定了符合企業自身特點的備份策略,使用備份軟件在虛擬帶庫與真實帶庫上進行兩級備份來保證數據安全,管理員定期檢查數據備份狀態,備份功能一直都很正常。而且,為了保證數據能夠被充分利用與保存,該企業斥巨資開發了一套數據管理系統,通過數據庫系統將各種數據分門別類地保存,集中進行管理,這給其他相關項目的研發提供了很大的助力,研發水平得到了提升。
然而,在一次數據管理系統的版本升級過程中,由于應用系統開發人員的—個疏忽,導致程序誤將應用系統內的部分重要數據刪除,由于影響到了主營業務,急需進行數據恢復。管理人員在恢復申請獲得批準后第一時間啟動了恢復程序,可是卻突然發現,由于待恢復數據文件異常瑣碎且數量巨大,在暫停應用的情況下,恢復時間預計會超過10個小時。最后,由于業務部門無法等到全部數據恢復完成,只能被迫選擇了一個恢復時間較短、損失相對較少的備份節點進行應用系統的快速恢復,以保證主營業務不至于中斷,企業因此而損失巨大。
三、保護信息安全的措施
由此可見,只有集中存儲與數據備份還不足以解決數據安全的問題。怎么樣才能夠從根本上保護企業的生命線,將信息安全風險降至最低呢?總結下來,主要有如下幾個方面的措施。
(一)重要數據文件集中進行存儲,統一進行備份
數據文件集中存儲,在存儲系統中保留副本,可以解決數據保存零散化、碎片化的問題,降低因終端硬盤故障帶來的安全風險。而后,通過備份系統定期對存儲系統進行數據全備份及增量備份,保護數據安全。
同時,管理人員還應該定期對備份介質進行檢查,尤其是應定期檢查磁帶類備份介質,選擇合適的環境保存磁帶類備份介質,確保備份介質的可用性,這一點相當重要。
(二)做好備份與恢復演練、系統恢復應急響應演練
應該制定符合企業自身特點的備份與恢復策略,備份策略要考慮數據保護周期,防止因保護周期過長而導致已經過期的備份數據不能被覆蓋,進而導致備份作業無法完成。同時,應該對業務數據按照重要性進行排序,確定恢復數據的順序。管理人員還需要充分考慮恢復過程中可能遇到的問題及解決辦法,形成操作文檔。
更為重要的是應該制定行之有效的制度以確保備份與恢復策略能夠切實地執行,同時,制度中要對備份與恢復演練、系統恢復應急響應演練做出要求,確保恢復的快速性和可操作性。從演練中發現問題、總結經驗,豐富應急響應操作文檔,為將來真正出現恢復需求時積累經驗。
(三)做好應用系統的測試工作
如果有條件的話,企業可以為應用系統建立兩套相同的環境,一套為測試環境,用來測試應用系統比較大的改動的有效性與穩定性;一套為生產環境,在對應用系統的改動進行了充分測試后,才將程序部署在該環境下。如果條件不允許,可以退而求其次,使用普通計算機模擬應用系統服務器,內存要設置得大一些,在其上部署測試環境進行測試,也可以在一定程度上滿足需要,降低直接部署應用的安全風險。
(四)做好信息系統內的病毒防治工作
管理人員在現有條件下很難在信息系統內將病毒全部查殺干凈。而部分病毒、惡意程序會蓄意破壞數據,這對終端上的數據安全會產生不利影響。
為此,需要采取必要的端口控制手段,對信息系統內的病毒查殺情況進行定期監控,必要時使用專殺工具作為補充,輔以手動殺毒等手段。管理員還需要注意防病毒軟件的設置,為了避免防病毒軟件將數據文件連同病毒一同刪除,應設置清除病毒失敗后采取隔離方式,而不是刪除文件的方式,待出現專殺工具后再對病毒文件進行查殺,確實保證數據安全。
(五)做好信息系統內部人員的管理工作
最好將培訓貫穿員工進入企業至退休的全過程,不要流于形式,要抓住重點,如哪些事情可以做,怎么樣去做效率會最高又不易出錯;哪些事情不能做,做了會有什么后果等等,如果帶有案例分析效果會更好。
最后,還需要領導層的高度重視與支持,加大宣貫力度,真正做到按章辦事、上行下效。只有這樣,信息安全工作才更加好做。
四、結語
信息安全防護是一項系統工程,涵蓋的內容非常廣泛,很難做到面面俱到。而為了保護這道企業的生命線,在安全防護的過程中,管理人員應根據信息系統的運行經驗,充分開動腦筋,發揮想象力,找到可能出現問題的環節,做好預案,將安全風險降至最低。
信息安全工作必須長抓不懈,只有保護好這道生命線,企業的研發工作才能沒有后顧之憂。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://m.vmgcyvh.cn/
本文標題:信息安全,企業的生命線
相關文章
