随着信息技术的飞速发展,数字化办公逐渐成为主流的办公方式,现代化办公和计算机网络有机地结合在了一起,企业的信息化程度越来越高,对信息系统的依赖程度也越来越高。相应地,在这个过程当中,企业也遇到了各式各样的问题,其中,最容易给企业造成重大损失的,就是信息安全问题。
一、信息安全的内涵
信息安全在一定程度上也可以称为数据安全,一方面,指的是数据自身的安全,另一方面,指的是数据防护的安全。在数据自身的安全方面,无论是涉及国家秘密还是商业秘密,信息泄露都会给企业带来难以估量的损失,甚至于威胁国家安全和利益。为了防范于未然,除了采取相应的管理程序加强员工管理以及签订相应的保密协议之外,还需要通过行之有效的技术手段进行防护。
常规的防护手段不外乎数据加密、信息完整性校验、身份认证等方式,辅以端口控制、审计监控以及调查取证等技术,通过与管理程序相结合,可以有效地保护数据自身的安全,防止企业因数据外泄而造成损失。
对于企业来说,主动泄密的员工毕竟不多,但因疏于对数据进行必要的防护,结果造成数据丢失的事情却屡见不鲜。
二、信息安全存在的问题
安全问题给企业带来的损失往往都非常巨大,当事人虽追悔莫及却无力回天。
老牌企业A在大力发展信息化的过程当中,产生了海量数据,大部分为涉及试验的数据,因为试验的成本很高,基本上不具备可重复性,因此,这些数据十分宝贵。由于规划建设较早,该企业是在发展的过程当中逐步建立起信息系统的,而信息系统内所产生的数据则全部都存储在各个联网计算机终端上,除邮件服务器存储了全部内部邮件系统数据往来之外,没有采取集中存储或备份措施。在该企业信息系统的运行过程中,曾经零星地出现过一些计算机终端硬盘损坏的情况,造成涉事人员的部分或全部数据丢失,但是,由于涉事人员的级别不高且一般项目的完结稿均在项目负责人处有备份,种种原因导致这类事件始终未能引起企业足够的重视。
之后的一次意外断电,造成该企业一个重要项目负责人的计算机在非正常关机后无法再启动,经检查,为硬盘硬件故障。事情发生后,该负责人找了多家专业的数据恢复机构,均被告知只有20%的概率恢复。最后,很不幸地,硬盘数据没有能够找回,虽然通过邮件系统找回了该负责人发送给其他员工的部分数据,但是,实际损失还是相当大,给企业带来了不小的影响。
从表面上看,该企业没有对数据进行集中保存且缺乏数据备份的手段,但是,有了集中存储与数据备份措施就能确保万无一失了吗?
新兴企业B在发展过程中认识到了数据安全的重要性,采购了磁盘阵列、磁带机以及备份与恢复软件,制定了符合企业自身特点的备份策略,使用备份软件在虚拟带库与真实带库上进行两级备份来保证数据安全,管理员定期检查数据备份状态,备份功能一直都很正常。而且,为了保证数据能够被充分利用与保存,该企业斥巨资开发了一套数据管理系统,通过数据库系统将各种数据分门别类地保存,集中进行管理,这给其他相关项目的研发提供了很大的助力,研发水平得到了提升。
然而,在一次数据管理系统的版本升级过程中,由于应用系统开发人员的—个疏忽,导致程序误将应用系统内的部分重要数据删除,由于影响到了主营业务,急需进行数据恢复。管理人员在恢复申请获得批准后第一时间启动了恢复程序,可是却突然发现,由于待恢复数据文件异常琐碎且数量巨大,在暂停应用的情况下,恢复时间预计会超过10个小时。最后,由于业务部门无法等到全部数据恢复完成,只能被迫选择了一个恢复时间较短、损失相对较少的备份节点进行应用系统的快速恢复,以保证主营业务不至于中断,企业因此而损失巨大。
三、保护信息安全的措施
由此可见,只有集中存储与数据备份还不足以解决数据安全的问题。怎么样才能够从根本上保护企业的生命线,将信息安全风险降至最低呢?总结下来,主要有如下几个方面的措施。
(一)重要数据文件集中进行存储,统一进行备份
数据文件集中存储,在存储系统中保留副本,可以解决数据保存零散化、碎片化的问题,降低因终端硬盘故障带来的安全风险。而后,通过备份系统定期对存储系统进行数据全备份及增量备份,保护数据安全。
同时,管理人员还应该定期对备份介质进行检查,尤其是应定期检查磁带类备份介质,选择合适的环境保存磁带类备份介质,确保备份介质的可用性,这一点相当重要。
(二)做好备份与恢复演练、系统恢复应急响应演练
应该制定符合企业自身特点的备份与恢复策略,备份策略要考虑数据保护周期,防止因保护周期过长而导致已经过期的备份数据不能被覆盖,进而导致备份作业无法完成。同时,应该对业务数据按照重要性进行排序,确定恢复数据的顺序。管理人员还需要充分考虑恢复过程中可能遇到的问题及解决办法,形成操作文档。
更为重要的是应该制定行之有效的制度以确保备份与恢复策略能够切实地执行,同时,制度中要对备份与恢复演练、系统恢复应急响应演练做出要求,确保恢复的快速性和可操作性。从演练中发现问题、总结经验,丰富应急响应操作文档,为将来真正出现恢复需求时积累经验。
(三)做好应用系统的测试工作
如果有条件的话,企业可以为应用系统建立两套相同的环境,一套为测试环境,用来测试应用系统比较大的改动的有效性与稳定性;一套为生产环境,在对应用系统的改动进行了充分测试后,才将程序部署在该环境下。如果条件不允许,可以退而求其次,使用普通计算机模拟应用系统服务器,内存要设置得大一些,在其上部署测试环境进行测试,也可以在一定程度上满足需要,降低直接部署应用的安全风险。
(四)做好信息系统内的病毒防治工作
管理人员在现有条件下很难在信息系统内将病毒全部查杀干净。而部分病毒、恶意程序会蓄意破坏数据,这对终端上的数据安全会产生不利影响。
为此,需要采取必要的端口控制手段,对信息系统内的病毒查杀情况进行定期监控,必要时使用专杀工具作为补充,辅以手动杀毒等手段。管理员还需要注意防病毒软件的设置,为了避免防病毒软件将数据文件连同病毒一同删除,应设置清除病毒失败后采取隔离方式,而不是删除文件的方式,待出现专杀工具后再对病毒文件进行查杀,确实保证数据安全。
(五)做好信息系统内部人员的管理工作
最好将培训贯穿员工进入企业至退休的全过程,不要流于形式,要抓住重点,如哪些事情可以做,怎么样去做效率会最高又不易出错;哪些事情不能做,做了会有什么后果等等,如果带有案例分析效果会更好。
最后,还需要领导层的高度重视与支持,加大宣贯力度,真正做到按章办事、上行下效。只有这样,信息安全工作才更加好做。
四、结语
信息安全防护是一项系统工程,涵盖的内容非常广泛,很难做到面面俱到。而为了保护这道企业的生命线,在安全防护的过程中,管理人员应根据信息系统的运行经验,充分开动脑筋,发挥想象力,找到可能出现问题的环节,做好预案,将安全风险降至最低。
信息安全工作必须长抓不懈,只有保护好这道生命线,企业的研发工作才能没有后顾之忧。
核心关注:拓步ERP系统平台是覆盖了众多的业务领域、行业应用,蕴涵了丰富的ERP管理思想,集成了ERP软件业务管理理念,功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理,全面涵盖了企业关注ERP管理系统的核心领域,是众多中小企业信息化建设首选的ERP管理软件信赖品牌。
转载请注明出处:拓步ERP资讯网http://www.toberp.com/
本文标题:信息安全,企业的生命线
相关文章
