企业信息系统集成的基础与核心任务是数据集成,就是要改造以数据文件和应用数据库为主的、混乱的、低档次的数据环境。企业数据环境建设实际上包括两个方面的数据集成:企业内部的数据集成,以保证各部门的信息共享,从而使信息资源管理问题集中在共享数据库的标准化、规范化设计上和企业与外单位(政府部门、业务伙伴和客户等)的信息自动化交换,特别是远程异地的信息自动化交换,使信息资源管理问题集中在数据交换的标准化、规范化的协调和设计上。这两个方面的共同的关键,是信息资源管理的基础标准问题。把数据环境建设作为信息资源管理的重要工作来抓,就是要抓好信息资源管理的基础标准建设。
许多企业的信息化和信息资源管理制度主要存在两方面的问题。一是企业管理制度的内容不完整、制定的方法不科学,制度制定缺乏科学、规范、合理、全面的方法。从总体上看,多数企业信息化管理侧重硬件和网络方面的制度管理,而缺乏对软件、IT流程管理、IT资源的内容管理,不能科学全面的分析各项信息资源及对其的管理工作,造成信息资源管理上的漏洞。二是很多制度流于形式,缺乏必要的约束力。由于企业信息化资源管理制度体系不健全。仅仅是为企业项目建设做档案保存或作为应付对企业相关检查的材料,制度只是形式,对于不执行制度的行为和相关人员并没有任何直接约束,影响到企业信息化管理工作的权威性,制约着企业信息化工作的深入开展。凡是企业信息化工作搞得较好企业。都有一套严格全面的信息资源管理制度,因此,企业信息化工作要取得实效并能够深入开展下去,必须得到必要的立法支持,而且要制度化、经常化。企业信息化管理工作的主要管理和工作应从以下几方面开展。
首先,应明确管理职责和规划管理形式。
企业信息资源开发利用做得好坏的关键人物是企业领导和信息系统负责人。为了加强统一的信息管理,应有专门的信息资源管理的行政领导作为信息资源管理师(CI0),要求既熟悉企业生产经营又懂得信息管理。
要有专门负责信息化建设,信息资源管理的部门,如信息资源中心,它既是战略规划中心和信息资源中心的支持系统,同时也是各职能管理部门和业务部门的应用系统技术支持部门,其作用极为重要。
在具体工作上的最重要的角色就是数据管理员,数据管理员负责支持整个企业目标的信息资源的规划、控制和管理;协调数据库和其他数据结构的开发,使数据存储的冗余最小而具有最大的相容性;负责建立有效使用数据资源的标准和规程,组织所需要的培训;负责实现和维护为支持这些目标的数据字典;审批所有对数据字典所做的修改;负责监督数据管理部门中的所有职员的工作。数据管理员应能提出关于有效使用数据资源的整治建议,向主管部门提出不同的数据结构设计的优缺点忠告,监督其他人员进行逻辑数据结构设计和数据管理。
其次,加强标准化建设,规范工作流程。企业绝大部分信息综合资源都采用分散式、非流程化、随意的人工管理,综合资源管理效率低,对所属的信息综合资源缺乏有效的管控手段,最直接后果就是,信息资产混乱,人浮于事,设备的维护和系统数据安全性都存在问题。信息资源管理标准化工作既是当务之急,又是长久之计。信息资源管理的基础标准,是最关键、最基本的信息资源管理标准化工作的大致范围。是从技术工作的关键点着手,抓到问题的关键,落实开发信息资源的工作的。这些标准化工作,应采取“自上而下”和“自下而上”相结合的策略,需要正确的理论与技术指导,需要组建工作班子,还需要计算机辅助工具的支持。
信息资源的有效管理和信息化发展,还要靠制度去保障、去规范使用者的操作行为,换一句话说,要用严格的制度去约束人的行为,杜绝随意性。建立设备和资源的保管、维护、使用制度,建立经费投入和保障机制、建立科学评价与反馈机制来确保信息系统的应用也是CI0重要的职责之一。在企业信息化的建设中,信息制度建设是保障。信息化不能一蹴而就,一化就灵。
总之,做好信息综合资源管理和建设非常重要。信息综合资源管理和基础建设是对涉及企业发展的所有相关信息资源,包括基础数据、信息设施(硬件、服务器、网络设备、软件系统等)、流程、技术文档、数据安全、人等的管理措施和手段。企业在信息化建设的过程中,涉及并积累的大量的信息资源,对于这些资源管理是也非常重要的,也是保障信息系统得以正常运行的关键。只有对企业信息资源做到合理科学的规划和管理,落实好管理制度和执行相关标准,就会有效的提高企业信息化管理水平,加快促进信息化建设的步伐。
参考文献
[1]刘兰娟.企业信息系统资源管理.上海财经大学出版社,2007
[2]裴成发.信息资源管理.科学出版社,2008
[3]靖继鹏,张海涛.企业信息化规划与管理.机械工业出版社,2006
作者简介:
戚继宏,男,1975年5月出生,陕西人。1999年7月毕业于西安电子科技大学计算机应用专业,现任长风信息集团信息工程研究所数字技术室主任,工程师。主要从事计算机及网络技术、信息化管理和资源规划、电子信息类产品的研制等工作。
浅谈企业信息化发展安全问题及解决方案
汪燕
(长风信息集团信息工程研究所 兰州 730070)
摘要:信息化是一个国家未来核心竞争力的关键。近年来,我国信息化建设已取得了长足的进步。越来越多的企业实现或正在实现跨区域远程办公及内部信息平台远程共享,这种通过互联网络的运营模式正逐渐成为现代企业的特征。企业的这种运营模式使企业自身及企业与企业之间的业务来往更多的依赖网络。由于互联网的开放性和通信协议原始设计的局限性,互联网上传输的信息均采用明文,这就导致企业信息化建设的安全性问题日益突出。但随着信息化建设的逐步深入,越来越多的企业已经意识到信息安全防护的重要性。特别是随着Internet的飞速发展,企业互联网络安全已成为今后发展的重点。如何最大限度的保护企业的利益不受损害,如何让企业的信息化网络拥有电路安全、信道安全、网络安全和应用安全,是每个企业信息化建设中不容忽视的问题。
关键词:信息安全 Internet 防火墙 VPN SSL
1背景
以信息化带动工业化,以工业化促进信息化,走新型工业化之路,是今后20年内,我国基本实现工业化的必由之路。伴随着互联网络的快速发展,企业信息化进程也逐步深入。企业,企业与企业之间的业务来往越来越多地依赖网络进行,信息网络化已成为企业信息化发展的大趋势。但是由于互联网的开放性和通信协议原始设计的局限性,互联网上所有信息均采用明文传输,从而导致互联网的安全问题日益严重,非法访问、网络攻击、信息窃取等事件频频发生,这些都给企业的正常运行带来安全隐患甚至不可估量的损失,这已成为信息时代企业共同面临的挑战。如果不很好地解决这个问题,必将阻碍企业信息化发展的进程。
2国内现代企业基本网络模式安全风险分析
2.1来自网络攻击的威胁
网络攻击会造成企业服务器或工作站瘫痪,最常见的网络攻击要算拒绝服务攻击。拒绝服务攻击就是让企业的工作服务器崩溃来阻止提供的服务,常见的有Land攻击、洪水攻击、死亡之ping、畸形消息攻击、电子邮件炸弹攻击等攻击手段。除了拒绝服务攻击外,还有许多危害网络安全的其他类型攻击,如:利用型攻击、信息型收集攻击等。
2.2来自信息窃取的威胁
信息窃取会直接造成企业的商业机密泄密,造成企业内部服务器被非法访问或企业信息链的完整性被破坏或不能传输,甚至企业信息被直接假冒。
2.3来自公共网络中计算机病毒的威胁
计算机病毒会感染企业服务器或工作站,造成系统崩溃或瘫痪,更厉害甚至造成企业整个网络瘫痪,如曾经在网上流行一时的“CIH”、“冲击波”、“欢乐时光”等病毒。
3国内企业信息化安全防范的具体措施
3.1防火墙
防火墙包括网络安全防火墙和病毒防火墙。据企业网络安全级别差异的要求,企业信息中心和企业分支机构需采用不同的方式来解决网络安全的问题。首先在级别高的企业信息中心的交换机上划分VLAN(虚拟局域网)来分隔下属部门,使得职能不同的部门不能互相访问,以保护各部门的敏感数据;接下来在各个服务器与工作站上安装病毒防火墙来防护计算机病毒;最后在企业信息中心与公共互联网络的接口处放置网络安全防火墙来保护企业信息中心内部网络,防止来自公共互联网络的多种网络攻击。其次,企业的分支机构,除了在工作站PC上安装病毒防火墙来防护计算机病毒之外,大多数分支机构均在接人路由器上做Nat(网络地址转换)来防止网络攻击,从安全性上来看NAT提供了对外隐藏内网拓扑的一个手段。这样确实解决了一部分安全问题,但是当企业的OA系统需使用IP语音来完善自身功能时就会出现新麻烦,因为使用IP语音需要穿越Nat。虽然有很多企业采用了基于ALG(Application Level Gateway,应用层网关)技术推出的专业VoIP穿越Nat的设备,但是要把公共互联网变成企业自己的专网却只能是大家的梦想。
3.2 VPN
在有效防止了网络攻击和病毒攻击之后,企业信息化安全接下来就要考虑数据信息在传输过程中的安全问题,VPN技术是当前解决信息数据在公共互联网络上安全传输信息的较有效的方法之一。
VPN(Virtual Private Network)技术,也就是虚拟专用网技术,是一种利用公共网络构造私有网络的一种技术,要架构这种VPN,需要使用数据包隧道传输和加解密技术。最为通俗的形容就是好像在源端与目的端架设了一个坚固信息隧道,让信息丝毫不泄漏的从源端流到目的端,隧道是由隧道协议来完成建立的,通常的隧道协议包括二层隧道协议(比如PPTP、L2F、L2TP)和三层隧道协议(比如GRE、IPSec),而最通用的则是IPSec:协议。IPSec协议是一组开放协议的总称,通过AH(Authentication Header,验证头)和ESP(Encapsulating Security Payload,封装安全载荷)这两个安全协议在特定的通信方之间的IP层通过数据加密与数据源验证,来保证数据包在Internet网上传输时的私有性、完整性和真实性。
在企业信息中心放置一台集成了强大的防火墙功能,能够有效的对抗网络攻击的VPN3020网关,可以省却企业信息中心配备的网络安全防火墙。
在企业分支机构使用内置IPSec加密芯片的通信安全路由器系列,这样带IPSec加密芯片的路由器与VPN网关之间就形成了VPN通道,VPN通道有效地保护了企业分支机构与企业信息中心之间的信息传输,使得公共互联网络中的Hacker无法窃取在隧道中加密传输的信息,大大提高了信息传输过程中的安全性。此外,由于虚拟专用网的建立,前面所讲的VoIP穿越Nat的问题也迎刃而解。
3.3 SSL安全代理网关
VPN通道有效地保护了企业分支机构与企业信息中心之间的信息传输。但是要保障企业出差员工与企业信息中心的数据安全传输及防范企业内部人员破坏网络安全,SSL安全代理网关是有效的技术之一。
用SSL安全代理网关来保证企业出差员工与企业信息中心的数据传输是较可行的方式之一。在企业信息中心的局域网中放置CMS数字证书管理服务器,在交换机与内网Web服务器和内部资源服务器之间放置SSL安全代理网关,并在所有企业信息中心、企业分支机构的工作站PC以及出差员工的移动电脑上安装了带有SSL的客户端软件,通过SSL客户端软件与SSL安全代理网关的隧道系统来解决出差员工的数据传输安全以及企业内部人员作案防范的问题。