企業(yè)管理信息系統(tǒng)安全性分析及對策.doc

商丘師范學(xué)院2014屆本科畢業(yè)論文（設(shè)計(jì)）企業(yè)管理信息系統(tǒng)安全性分析及對策 引論在全球經(jīng)濟(jì)一體化的背景下，一個(gè)企業(yè)是否可以在競爭中處于優(yōu)勢地位，取決于它是否具有面向客戶、反應(yīng)及時(shí)、自動研習(xí)、共享資源、成本控制的先進(jìn)作業(yè)系統(tǒng)。由于信息技術(shù)和互聯(lián)網(wǎng)的大范圍普及，如何建設(shè)一個(gè)安全高效的企業(yè)信息管理系統(tǒng)是企業(yè)管理者正面臨的一項(xiàng)新的嚴(yán)峻的挑戰(zhàn)。我們都希望我們的網(wǎng)絡(luò)系統(tǒng)可以更加安全可靠地運(yùn)行，但是事實(shí)并非總?cè)缥覀兯?，由于網(wǎng)絡(luò)信息傳輸量的急速增加，一些機(jī)構(gòu)和部門的上網(wǎng)數(shù)據(jù)會遭到不法分子不同程度的破壞。網(wǎng)絡(luò)攻擊者能夠竊取網(wǎng)絡(luò)上的信息，盜取口令、私自修改數(shù)據(jù)庫內(nèi)容，散播計(jì)算機(jī)病毒等。在信息系統(tǒng)越來越網(wǎng)絡(luò)化、全球化、開放化的今天，如果企業(yè)管理者不能很好的考慮到這些問題不把這些問題提高一定的高度來解決，信息安全問題勢必會困擾每一個(gè)管理者，可能會危及到網(wǎng)絡(luò)環(huán)境下企業(yè)的經(jīng)濟(jì)安全，嚴(yán)重的威脅到數(shù)據(jù)的安全性和自身的利益。因此保證網(wǎng)絡(luò)的安全性、可靠性是網(wǎng)絡(luò)正常運(yùn)轉(zhuǎn)的基礎(chǔ)和條件，從而可以更好地為企事業(yè)單位提供服務(wù)。1 企業(yè)管理信息系統(tǒng)的安全性含義及目標(biāo)管理信息系統(tǒng)(Management Information System， 簡稱MIS)是一個(gè)人-機(jī)系統(tǒng)，它涵蓋了企業(yè)中主要的業(yè)務(wù)部門。它與企業(yè)的管理活動密切相關(guān)，與企業(yè)的管理方式、經(jīng)營觀念有關(guān)，服務(wù)于企業(yè)的最終目標(biāo)。MIS的目的是通過企業(yè)改進(jìn)管理方式、改善和提高管理水平，進(jìn)而提高企業(yè)的經(jīng)濟(jì)效益、推進(jìn)企業(yè)管理現(xiàn)代化、增強(qiáng)企業(yè)的環(huán)境適應(yīng)能力。1.1 企業(yè)管理信息系統(tǒng)的安全性的內(nèi)涵MIS 是一個(gè)由人、計(jì)算機(jī)等組成的能進(jìn)行信息收集、傳遞、儲存、加工、維護(hù)和使用的系統(tǒng)。能夠?qū)崪y企業(yè)的各種運(yùn)行情況，利用過去的數(shù)據(jù)預(yù)測未來，從全局出發(fā)幫助企業(yè)做出決策，利用掌握的信息控制企業(yè)的行為，幫助企業(yè)實(shí)現(xiàn)其規(guī)劃目標(biāo)1。也就是說它可以給企業(yè)提供準(zhǔn)確及時(shí)的信息并幫助企業(yè)做出科學(xué)決策和控制、合理利用企業(yè)現(xiàn)有資源、增強(qiáng)企業(yè)應(yīng)變能力、提高企業(yè)競爭力和增加經(jīng)濟(jì)效益，使企業(yè)管理方式從經(jīng)驗(yàn)管理到科學(xué)管理，實(shí)現(xiàn)科學(xué)的管理思想和先進(jìn)的管理手段的完美結(jié)合。根據(jù)保護(hù)目標(biāo)的要求和環(huán)境的狀況，信息安全是信息網(wǎng)絡(luò)和信息系統(tǒng)的硬件、軟件、設(shè)備和數(shù)據(jù)受到可靠地保護(hù)，通信、訪問等操作得到有效的保障和合理的控制，不會由于偶然或惡意的原因使系統(tǒng)遭到破壞，數(shù)據(jù)遭到更改或泄露，從而保證系統(tǒng)可以正常運(yùn)轉(zhuǎn)，網(wǎng)絡(luò)服務(wù)不被中止。信息安全涉及的安全問題主要包括如下內(nèi)容：1.1.1 系統(tǒng)運(yùn)行的安全系統(tǒng)運(yùn)行的安全主要指保護(hù)信息處理和通信系統(tǒng)的安全。保證系統(tǒng)正常運(yùn)行，避免由于系統(tǒng)崩潰和軟硬件損壞造成的不良后果如系統(tǒng)數(shù)據(jù)存儲、處理異常和傳輸信息丟失，破壞和損失，因?yàn)橄到y(tǒng)物理的不安全會造成的系統(tǒng)運(yùn)行的不正?；虬c瘓，用戶的誤操作也會影響系統(tǒng)正常運(yùn)行，目前很多手機(jī)軟件在運(yùn)行過程中會出現(xiàn)系統(tǒng)故障，如閃退，自動關(guān)機(jī)，停止運(yùn)行等等。1.1.2 訪問權(quán)限和系統(tǒng)信息資源保護(hù)對網(wǎng)絡(luò)中的各種軟件和硬件資源進(jìn)行訪問控制，防止沒有被授權(quán)的用戶進(jìn)行不合法訪問?？诹钤O(shè)置、身份識別、端口控制等技術(shù)來實(shí)現(xiàn)對用戶訪問權(quán)限的控制。系統(tǒng)信息資源保護(hù)技術(shù)有身份驗(yàn)證技術(shù)、用戶口令識別技術(shù)、用戶存取權(quán)限控制技術(shù)、數(shù)據(jù)庫存取權(quán)限控制技術(shù)、數(shù)據(jù)加密、數(shù)據(jù)備份等。1.1.3 信息內(nèi)容安全 信息內(nèi)容安全主要表現(xiàn)在保護(hù)信息內(nèi)容。傳播過程中的后果安全以及信息過濾安全等都是信息內(nèi)容安全的主要內(nèi)容，可以防止和控制非法和有害的信息在傳播后釀成的嚴(yán)重后果。系統(tǒng)中存在一些漏洞，在還沒有打補(bǔ)丁之前，一些不法攻擊者利用這些系統(tǒng)漏洞進(jìn)行損害其他合法用戶的利益，竊聽、篡改、攔截別人的信息等。1.1.4 作業(yè)和交易安全作業(yè)和交易安全指網(wǎng)絡(luò)中相互通信的兩個(gè)實(shí)體之間信息的真實(shí)性、完整性、保密性和不可否認(rèn)性，保證信息在通信過程的安全性。保障作業(yè)和交易安全的技術(shù)包括數(shù)據(jù)加密、身份驗(yàn)證、數(shù)字簽名等，其中居于核心地位的是加密技術(shù)的應(yīng)用。1.1.5 人員和規(guī)章制度安全保障通常是在組織的內(nèi)部出現(xiàn)信息安全事故，所以人員的管理和相應(yīng)的規(guī)章制度的制定是保證信息系統(tǒng)安全不可缺少的一部分。因此需要在人員管理方面建立可操作的管理安全防范體系，建立人人遵守的規(guī)章制度從而保障信息的安全。1.1.6 安全體系的整體防范和應(yīng)急反應(yīng)功能建立系統(tǒng)的安全防范體系，從整體上保障信息系統(tǒng)的安全，對可能出現(xiàn)的安全隱患和破壞做好事先的預(yù)防工作，對已經(jīng)出現(xiàn)的災(zāi)難、意外的損害做到及時(shí)有效的補(bǔ)救。1.2 企業(yè)管理信息系統(tǒng)的安全性目標(biāo)分析在網(wǎng)絡(luò)層次方面，把網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)成一個(gè)安全網(wǎng)絡(luò)，從而可以支持個(gè)別用戶或大量用戶。保證系統(tǒng)內(nèi)部安全的同時(shí)，也可以安全地聯(lián)接到互聯(lián)網(wǎng)或國內(nèi)其他網(wǎng)絡(luò)，滿足各種用戶的需求，比如：個(gè)人通話保密性和完整性，企業(yè)計(jì)算機(jī)系統(tǒng)的安全性，數(shù)據(jù)庫不被非法訪問和破壞，系統(tǒng)不被病毒侵犯，也能防止網(wǎng)絡(luò)上的各種有害信息傳播等。保證網(wǎng)絡(luò)信息安全的技術(shù)主要有一下幾個(gè)方面：采用多層防護(hù)手段，降低信息受到侵?jǐn)_和破壞的可能性。提供有效使檢測非法使用和非法初始進(jìn)入點(diǎn)的手段，這樣就可以核查、跟蹤侵入者。提供一些有效手段，能夠及時(shí)恢復(fù)破壞的數(shù)據(jù)和系統(tǒng)，盡量使損失降到最低。提供查獲侵入者的手段，在入侵者進(jìn)入系統(tǒng)之前及時(shí)將其攔截。1.3 提高企業(yè)管理信息系統(tǒng)的安全性常用技術(shù)MIS是以計(jì)算機(jī)和數(shù)據(jù)通信網(wǎng)絡(luò)為基礎(chǔ)的應(yīng)用管理系統(tǒng)，它是一個(gè)開發(fā)式的互聯(lián)網(wǎng)系統(tǒng)，沒有采取安全保密措施，與網(wǎng)絡(luò)連接的任何終端用戶都可以方便的進(jìn)入或者訪問網(wǎng)絡(luò)中的資源。從目前的情況看，管理信息系統(tǒng)已經(jīng)廣泛地應(yīng)用于各個(gè)部門，在給經(jīng)濟(jì)管理及人際交往都帶來極大方便的同時(shí)，也為那些利用計(jì)算機(jī)信息系統(tǒng)進(jìn)行各種犯罪提供了很大的可能。網(wǎng)絡(luò)非法盜用、故意破壞或錯(cuò)誤操作，計(jì)算機(jī)病毒、黑客攻擊無一不威脅著管理信息系統(tǒng)的安全性，所以做好管理信息系統(tǒng)的安全保障工作，有助于提高整個(gè)社會信息化水平。當(dāng)前，為了保障信息系統(tǒng)的安全，企業(yè)所采用的技術(shù)主要包括從以下幾個(gè)方面。1.3.1 網(wǎng)絡(luò)加密技術(shù)為了保障信息安全，人們最常用的保密手段是加密技術(shù)，利用一些密碼算法對重要數(shù)據(jù)進(jìn)行轉(zhuǎn)化使之變?yōu)椴恢澜饷芩惴ǖ娜藷o法獲知信息內(nèi)容的亂碼數(shù)據(jù)（加密過程）進(jìn)行傳送，到達(dá)目的地后再用與發(fā)送方相同或不同的密碼算法對數(shù)據(jù)進(jìn)行解密。這樣可以很大程度上保證信息在傳輸過程中的安全，所以經(jīng)常使用網(wǎng)絡(luò)信息加密來保護(hù)傳輸?shù)臄?shù)據(jù)、文件、口令和控制信息等。鏈路加密、端到端加密和節(jié)點(diǎn)加密是網(wǎng)絡(luò)加密常用的三種方法。介紹一個(gè)簡單的公開密鑰加密算法的實(shí)現(xiàn)過程如下圖：圖1-1公開密鑰加密算法的實(shí)現(xiàn)過程1.3.2 防火墻加密技術(shù)防火墻可以實(shí)現(xiàn)內(nèi)網(wǎng)外網(wǎng)的隔離與訪問控制，是保護(hù)內(nèi)部網(wǎng)絡(luò)安全的重要措施之一，包括分組過濾和應(yīng)用代理。防火墻可以監(jiān)控進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)信息，對流經(jīng)它的網(wǎng)絡(luò)通信進(jìn)行掃描，濾掉一些不安全信息，抵制對內(nèi)部構(gòu)成的威脅的數(shù)據(jù)。防火墻的主要功能是限制易受攻擊的服務(wù)進(jìn)入內(nèi)部網(wǎng)絡(luò)，對網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì)，防范特洛伊木馬，過濾不安全服務(wù)和非法用戶，限定訪問特殊站點(diǎn)等。防火墻的主要技術(shù)類型包括網(wǎng)絡(luò)級數(shù)據(jù)包過濾器和應(yīng)用級代理服務(wù)器4。應(yīng)用級防火墻實(shí)現(xiàn)過程如下圖：圖1-2應(yīng)用級防火墻實(shí)現(xiàn)過程1.3.3 身份驗(yàn)證技術(shù)用戶為了向系統(tǒng)證明自己合法身份需要進(jìn)行身份驗(yàn)證。建立安全通信環(huán)境的前提條件就是通信雙方相互確認(rèn)對方身份，這是審計(jì)記錄和授權(quán)訪問等服務(wù)的基礎(chǔ)，因此在保證網(wǎng)絡(luò)信息安全方面具有很重要的位置。系統(tǒng)為了查核用戶身份證明也需要進(jìn)行身份識別。如上網(wǎng)時(shí)需要輸入賬號和密碼，只有賬號密碼相符該用戶才有權(quán)利獲取網(wǎng)絡(luò)信息。上面兩個(gè)過程可以對通信雙方是否具有真實(shí)身份做出判斷。撥號上網(wǎng)、主機(jī)登錄、遠(yuǎn)程訪問等都涉及身份驗(yàn)證技術(shù)的應(yīng)用?？诹铗?yàn)證、數(shù)字證書認(rèn)證是比較常用的身份驗(yàn)證方式。數(shù)字證書身份認(rèn)證原理如下：圖1-3 數(shù)字證書身份認(rèn)證原理1.3.4 系統(tǒng)備份技術(shù)系統(tǒng)備份技術(shù)的目的在于，當(dāng)系統(tǒng)運(yùn)行出現(xiàn)故障時(shí)，盡可能恢復(fù)計(jì)算機(jī)系統(tǒng)運(yùn)行所需要的數(shù)據(jù)和系統(tǒng)信息，在管理信息系統(tǒng)出現(xiàn)硬件故障或人為失誤時(shí)，備份技術(shù)不僅可以保護(hù)管理信息系統(tǒng)和保證數(shù)據(jù)的完整性，防止未被授權(quán)的入侵者進(jìn)行訪問、攻擊及破壞，也是系統(tǒng)發(fā)生故障進(jìn)行災(zāi)難恢復(fù)的前提之一。2 網(wǎng)絡(luò)安全應(yīng)具備的功能及影響信息系統(tǒng)安全的主要因素2.1 網(wǎng)絡(luò)安全應(yīng)具備的功能2.1.1 用戶的標(biāo)識與鑒別企業(yè)信息管理系統(tǒng)中的每個(gè)用戶都有一個(gè)唯一的用戶名稱用以區(qū)別于其他用戶，在安全子系統(tǒng)中記為User ID。 所有合法用戶的User ID都登記在應(yīng)用系統(tǒng)用戶登記表中。出于對系統(tǒng)用戶進(jìn)行規(guī)范化管理的需要，用戶名對系統(tǒng)管理員，數(shù)據(jù)庫管理員，功能模塊管理員來說應(yīng)該是公開的。為了正確鑒別系統(tǒng)用戶，系統(tǒng)允許每個(gè)用戶擁有自己的用戶口令，在安全子系統(tǒng)中，記作User Password. 用戶的User Password只能由用戶自己來管理，其他任何用戶包括應(yīng)用系統(tǒng)管理員，數(shù)據(jù)庫管理員，功能模塊管理員都不得對其進(jìn)行查詢或修改。當(dāng)一個(gè)用戶要訪問應(yīng)用系統(tǒng)時(shí)必須提供正確的User ID和User Password，User ID用來對其進(jìn)行標(biāo)識，User Password用來驗(yàn)證本名稱用戶的真實(shí)性。2.1.2 權(quán)限管理企業(yè)信息管理系統(tǒng)的權(quán)限管理采用了分權(quán)管理的策略，由應(yīng)用系統(tǒng)管理員負(fù)責(zé)管理整個(gè)應(yīng)用系統(tǒng)的用戶，可以動態(tài)增加和刪除系統(tǒng)用戶；但不能為某個(gè)高級權(quán)利相對集中于系統(tǒng)管理員，減少系統(tǒng)管理員無意或有意摧毀系統(tǒng)或竊取系統(tǒng)機(jī)密的可能性。應(yīng)用系統(tǒng)管理員管理整個(gè)應(yīng)用系統(tǒng)的用戶，是通過系統(tǒng)管理員程序?qū)崿F(xiàn)的，為防止破壞安全庫數(shù)據(jù)的一致性，他不能直接操縱系統(tǒng)安全庫。正因?yàn)槿绱税踩珟熘械暮芏鄶?shù)據(jù)都是經(jīng)過加密后的形式存放的系統(tǒng)管理員程序是一個(gè)獨(dú)立的功能模塊，只有系統(tǒng)管理員菜有權(quán)使用。它有兩個(gè)功能：新建系統(tǒng)用戶，刪除系統(tǒng)用戶。其中新建一個(gè)系統(tǒng)用戶就是往應(yīng)用系統(tǒng)用戶登記表和用戶訪問權(quán)限控制中增加一條記錄，而且增加的新用戶的屬性域必須是系統(tǒng)已經(jīng)存在的域不能是其他的域。刪除一個(gè)系統(tǒng)用戶就是刪除應(yīng)用系統(tǒng)用戶登錄表和用戶訪問權(quán)限控制表中對于該用戶的記錄。模塊管理員管理訪問該模塊的所有用戶，是通過模塊管理員函數(shù)實(shí)現(xiàn)的，通過該函數(shù)，模塊管理員可以增加，刪除、修改訪問相應(yīng)模塊及其各子功能的用戶，并可調(diào)整模塊的安全屬性。2.1.3 用戶登錄與身份驗(yàn)證 一個(gè)用戶進(jìn)入企業(yè)信息管理系統(tǒng)時(shí)的身份驗(yàn)證可以準(zhǔn)確識別用戶的身份，獲取合法用戶對系統(tǒng)各功能的訪問權(quán)限以及當(dāng)前系統(tǒng)各功能的安全屬性，屏蔽非法用戶，當(dāng)用戶成功登錄后，用戶的訪問權(quán)限和相應(yīng)模塊的安全屬性就已經(jīng)記錄在安全庫中，以后該用戶要訪問該模塊中任一有安全性要求的功能時(shí)，就可以根據(jù)安全庫中的信息進(jìn)行嚴(yán)格的訪問控制，另外歐諾個(gè)戶訪問有安全保密要求的對用戶可見的分功能時(shí)，必須再次經(jīng)過權(quán)限驗(yàn)證。2.2 影響信息系統(tǒng)安全的主要因素1 設(shè)計(jì)系統(tǒng)的不規(guī)范、不合理以及缺乏安全性考慮。2 網(wǎng)絡(luò)硬件的配置不協(xié)調(diào)，設(shè)計(jì)和選型考慮不太周密，都會影響網(wǎng)絡(luò)的可靠性、擴(kuò)充性和升級換代。3 缺乏安全策略。主要表現(xiàn)在防火墻訪問權(quán)限配置的擴(kuò)大，致使這些權(quán)限可能會被其他人員私自濫用。4管理制度不健全，網(wǎng)絡(luò)管理、維護(hù)不力。3 企業(yè)管理信息系統(tǒng)的安全性建設(shè)存在的問題信息化就是一把雙刃劍，帶來很多便利的同時(shí)也帶來了一些不可忽視的問題。在過去的幾年中，雖然我國企業(yè)信息系統(tǒng)建設(shè)發(fā)展很迅速，但成功的少之又少。企業(yè)投入使用的那些模塊，在現(xiàn)實(shí)運(yùn)行中并未發(fā)揮理想的作用，它只能對一些部分系統(tǒng)，或指定類型的產(chǎn)品處于試運(yùn)行階段。企業(yè)中的大部分的計(jì)算機(jī)是用來做文字處理工作，一小部分是經(jīng)常用來玩游戲的。這些情況都說明：計(jì)算機(jī)的使用雖然已經(jīng)得到了普及，但信息系統(tǒng)的應(yīng)用情況及其運(yùn)行效果卻不容樂觀。3.1 服務(wù)器和數(shù)據(jù)庫的安全隱患我國是一個(gè)發(fā)展中國家，所以還不能自己研制管理信息系統(tǒng)所使用的服務(wù)器、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)等核心軟硬件，這些軟硬件基本上都是國外公司研制的，所以我國的管理信息系統(tǒng)的安全建立在和國外公司的和平相處上，事實(shí)上這才是最大的不安全因素，我們不能掌握自己的核心東西；如果國外研發(fā)者稍微改動用戶賬號和權(quán)限，就會造成用戶權(quán)限和級別混亂，數(shù)據(jù)庫沒有很高的安全保護(hù)功能或根本完全沒有或這些安全保護(hù)機(jī)制和策略沒有得到充分地利用，最終使系統(tǒng)遭到破壞；操作系統(tǒng)或其他軟件中也存在一些安全隱患，特別是Windows系列產(chǎn)品，因?yàn)樗谑袌錾险加泻苤匾牡匚?，同時(shí)也是不乏入侵者的“目標(biāo)”?，F(xiàn)在人們已經(jīng)發(fā)現(xiàn)很多Windows漏洞，在人們安裝相應(yīng)補(bǔ)丁之前，總有一些動機(jī)不良者會直接或間接地侵入到別人的系統(tǒng)，對他們的系統(tǒng)進(jìn)行一些不法操作；計(jì)算機(jī)病毒、內(nèi)部人員有的惡意竊取內(nèi)部信息、本地用戶有意或無意的誤操作都是企業(yè)管理型先存在的現(xiàn)有的安全隱患，都會直接威脅系統(tǒng)安全。因?yàn)槠髽I(yè)中的部分部門不能單獨(dú)設(shè)計(jì)一個(gè)完整的MIS，都會考慮自己的利益首先完成自己計(jì)算機(jī)管理工作，但是這對于企業(yè)的整體MIS建設(shè)來說，必定是重復(fù)投資，造成人財(cái)物的極大浪費(fèi)。3.2 管理上的安全隱患3.2.1 貪大求全許多企業(yè)一味追求高新技術(shù)卻沒有考慮企業(yè)的實(shí)際情況，結(jié)果就算MIS設(shè)計(jì)的非常完善，但是項(xiàng)目完成后卻沒有發(fā)揮出其應(yīng)有的作用成了一個(gè)失敗的項(xiàng)目3.2.2 重復(fù)開發(fā)重復(fù)開發(fā)不僅耗時(shí)耗力，浪費(fèi)財(cái)力和物力，而且系統(tǒng)在反復(fù)修改完善的過程中很難發(fā)揮其應(yīng)有的作用。3.2.3 重“硬”不重“軟”企業(yè)聘用那些不懂如何做MIS的人員做MIS的工作，沒有MIS理論思想，不懂MIS的根本內(nèi)容是“軟件”卻認(rèn)為購買新設(shè)備就可以完成比較完善的系統(tǒng)建設(shè)，使得系統(tǒng)建設(shè)沒有實(shí)質(zhì)內(nèi)容而只停留在表面。由于管理方法和手段不到位不準(zhǔn)確，使得盡管是先進(jìn)的技術(shù)也無法發(fā)揮其應(yīng)有的效果。雖然技術(shù)在解決企業(yè)管理信息系統(tǒng)安全問題時(shí)起到非常重要的作用，但是卻不能單純完全依靠技術(shù)，信息化其實(shí)就是人與技術(shù)相互融合，要做到管理與技術(shù)相互作用，配合的相得益彰，才能建設(shè)好一個(gè)比較安全穩(wěn)定的管理信息系統(tǒng)。安全過程本身就是一個(gè)交互的過程，“三分技術(shù)，七分管理”就很好的闡述了技術(shù)和管理的關(guān)系，也說明了企業(yè)管理信息系統(tǒng)安全的本質(zhì)。3.2.4 只重開發(fā)不重維護(hù)許多企業(yè)花費(fèi)了巨大的人力財(cái)力和物力去開發(fā)一個(gè)新的MIS系統(tǒng)，結(jié)果運(yùn)行后不久就停止運(yùn)行了，之所以會這樣是因?yàn)闆]有把系統(tǒng)的維護(hù)工作做好，雖然這是軟件工程的最后一個(gè)環(huán)節(jié)，卻也是最重要的一個(gè)環(huán)節(jié)，維護(hù)工作做不好很容易導(dǎo)致MIS建設(shè)的失敗。3.3 技術(shù)方面的安全隱患信息技術(shù)較快的發(fā)展和普及,使得每過一段時(shí)間就會出現(xiàn)一個(gè)新的技術(shù)，當(dāng)然也就會引起一個(gè)新的技術(shù)發(fā)展新時(shí)期,在進(jìn)行系統(tǒng)建設(shè)時(shí)有些人就偏愛于使用這些新技術(shù)，覺得對于成功建設(shè)一個(gè)新系統(tǒng)有很大幫助。殊不知并非如此，他們沒有考慮對與本企業(yè)來說該項(xiàng)信息技術(shù)的性價(jià)比如何,不考慮企業(yè)本身的技術(shù)水平,盲目追求新技術(shù),結(jié)果卻不懂怎么樣使用,導(dǎo)致投入大量資金卻沒有效益收入和付出不成正比,得不到各方面的支持,MIS的建設(shè)也只能宣布失敗。很多人在盲目推崇先進(jìn)信息技術(shù)的同時(shí)卻忽略了信息技術(shù)僅僅只是一種工具,雖然有助于MIS的開發(fā),但并不代表技術(shù)本身先進(jìn)與否就是MIS成功與失敗的根本原因。有時(shí)不但沒有起到正面的作用 卻適得其反導(dǎo)致了MIS的失敗。4 提高企業(yè)管理信息系統(tǒng)的安全性的措施建設(shè)企業(yè)管理信息系統(tǒng)的安全性的過程是一項(xiàng)偉大系統(tǒng)工程，不僅涉及到組織架構(gòu)、信息技術(shù)和人員素質(zhì)，還涉及到國家法律和商業(yè)規(guī)則。企業(yè)內(nèi)部存在著很多因素，這些因素都會影響到信息的安全，因此要使企業(yè)的管理信息盡可能的安全，保護(hù)信息安全的技術(shù)投入固然重要，人在管理方面的知識也很重要;同時(shí)，不僅要防止外部不安全因素，更要防止內(nèi)部不安全因素。針對現(xiàn)實(shí)中存在的問題，采取一些提高企業(yè)理信息系統(tǒng)安全性的舉措勢在必行。4.1 設(shè)計(jì)合理的信息系統(tǒng)結(jié)構(gòu)企事業(yè)單位建立安全可靠的信息系統(tǒng)結(jié)構(gòu)的首要任務(wù)就是全面分析信息系統(tǒng)設(shè)計(jì)的每個(gè)環(huán)節(jié)。在總體設(shè)計(jì)方面要注意攻擊者對以太網(wǎng)上任一節(jié)點(diǎn)進(jìn)行偵聽，捕獲以太網(wǎng)上的所有數(shù)據(jù)包，然后解包分析，竊取關(guān)鍵信息?？刹扇∫韵麓胧﹣肀苊庑畔⑾到y(tǒng)存在的這個(gè)安全隱患：1 網(wǎng)絡(luò)分段技術(shù)，該技術(shù)可以從源頭杜絕網(wǎng)絡(luò)安全隱患問題。為了實(shí)現(xiàn)對局域網(wǎng)的安全控制，經(jīng)常采取物理分段與邏輯分段，使得非法用戶無法獲得網(wǎng)絡(luò)資源，保證信息在傳輸中的安全暢通。2 解除隱患的另一方法是交換式集線器代替共享式集線器。4.2 做好MIS的整體性與優(yōu)化工作在企業(yè)建立MIS的過程中，由于企業(yè)各單位對計(jì)算機(jī)應(yīng)用積極性的提高，計(jì)算機(jī)應(yīng)用普及進(jìn)度更快了，但因?yàn)樵诠芾硇畔⒐こ探ㄔO(shè)中缺乏系統(tǒng)性的思想，雖然許多應(yīng)用系統(tǒng)可以在局部取得很好效果，但是綜合起來看并不是一個(gè)真正優(yōu)化的企業(yè)管理信息系統(tǒng)，使得全企業(yè)數(shù)據(jù)在統(tǒng)一和規(guī)范方面尚存在較多的問題。所以系統(tǒng)開發(fā)者應(yīng)該具有系統(tǒng)性全局性思維，把握本質(zhì)性的問題，同時(shí)采取有效地措施，確保在開發(fā)工作過程中處于主動有利的地位。4.3 確保硬件系統(tǒng)的安全硬件設(shè)備是企業(yè)管理信息系統(tǒng)的安全性的基礎(chǔ)，如果硬件出了問題，勢必影響企業(yè)管理信息系統(tǒng)的安全，物理損壞，設(shè)備故障，計(jì)算機(jī)系統(tǒng)機(jī)房環(huán)境的安全都是系統(tǒng)不安全隱患