信息系统的软件安全主要是保证所有计算机程序和系统的文档资料免遭破坏,软件安全包括的内容包括三个方面:
第一,操作系统的安全。在研究信息系统的安全问题时,首先应该从操作系统本身存在的问题来考虑如何设计和实现一个安全的操作系统,以及操作系统如何为用户提供各种安全保护措施。
第二,数据库系统的安全。对于数据库系统安全的基本要求归纳为:数据库的完整性、保密性、可用性及有用性。主要从安全管理和存取控制两方面来保证数据库的合法使用;另外,为了防止攻击者借助某种手段直接进入系统访问数据而造成数据泄漏,还可对数据库进行加密;对一些无法避免的破坏则可采用数据库恢复技术进行补救。
第三,通信网络的安全。对通信网络安全的威胁有偶然和故意两种。偶然发生的威胁指天灾、故障、误操作等;故意的威胁指第三者恶意的行为和电子交易对方的恶意行为。针对这些威胁采取的安全措施有存取管理技术、加密技术和防火墙技术等。
信息系统中的数据安全主要是保护数据的完整性、保密性和可用性,防止泄漏、非法修改、删除、盗用和窃取数据信息。对信息系统数据安全保护的主要措施包括:对重要的数据及系统状态进行监控,对访问数据的用户进行的读、写、删除、修改等各种操作进行监视,而系统管理人员能够通过特定的方式随时了解、掌握系统或数据的运行情况,并对不正常的运行状况和操作进行控制;通过验证用户的身份,避免非法访问;按用户的不同工作岗位,分别授予只读、只执行、可改写等不同的权限;对重要数据防止人为破坏;重要的数据要有多个备份,且将它们分别存放在不会同时受到破坏的地方;存储重要数据的计算机系统与外部实现物理隔离,并进行电磁屏蔽。
信息系统是为企业决策服务的,是支持企业业务流程的重要手段,而最终的决策者是人本身。根据诺贝尔经济学奖获得者赫伯特?西蒙的观点,决策者都是有限理性的。因此,对待信息系统的安全从根本上来说就是要加强对使用信息系统的相关人员进行严格的要求和培训,充分认识信息系统安全的重要性。只有从根本上解决人的问题,通过适当的技术支持,信息系统最终才是安全的。对于企业来说,一方面需要从技术层面对信息系统安全的管理,更重要的是加强员工素质的提升,提高员工的安全意识,从人文社会角度解决信息系统的安全问题。
|
