一、数据库系统运行方面的安全风险
  当信息系统发展到一定程度之后,业务方面的需要会驱动企业建立应用系统,而应用系统一般都需要数据库系统提供高效的数据管理功能,因而,数据库系统的安全直接关系到数据资产的安全,必须高度关注。常见的安全风险有:
  1.1未采用集方式运行带来的安全风险
  对于大型数据库系统来说,如果只采取单节点方式运行,一旦该节点当机,将会导致应用系统不可访问,直接影响主营业务。规避措施为,以集方式运行数据库系统,这样,即使出现一个节点当机的情况,实例也可以迅速自动漂移至另一节点上,从而保证应用系统不受影响,提高系统运行的安全性。
  1.2缺少测试环境带来的安全风险
  应用系统的开发上线需要高频率的代码更新,一般更新前都需要进行详细的测试,但是,根据实际运行经验来看,再详尽的测试也难以避免影响数据安全性的问题出现,特别是在上线后的功能调整过程中,一旦数据一致性出现问题,后果会很严重。
  为了将应用系统开发带来的安全风险降至最低,一般需要搭建一套与生产环境相似的测试环境,在其上进行代码测试,尤其是涉及到改动较大的版本更新,更需要认真对待,关注更新前后相关数据的变化,确实没有数据安全问题,才能在生产环境上进行更新。
  1.3缺少数据库例行巡检带来的安全风险
  大型数据库系统都有专门的告警机制,其上记录了数据库系统运行以来产生的告警日志信息,从中可以分析出数据库系统的运行状态,已经出现的问题等信息。根据实际运行经验来看,一些小问题完全可以在发现后及时解决,但如果置之不理,小问题积少成多,演变成严重问题之后,解决的难度与所花费的时间将会成倍增加。
  及时发现告警信息需要行之有效的数据库巡检制度来支撑,由经验丰富的数据库管理人员定期进行数据库巡检,以便降低由此诱发安全事件的可能性。
  二、数据备份与恢复方面的安全风险
  当信息系统稳定运行了一段时间之后,随着主营业务与应用系统的结合越来越紧密,数据量会呈梯度爆炸式增长,对于信息系统管理人员来说,如何高效地进行备份以保证数据安
全以及如何确保备份介质的可用性成为摆在其面前的一道课题。
  2.1无备份策略或备份策略不合理带来的安全风险
  信息系统的数据备份需要按照一定的备份策略来实施,换言之,就是备份哪些内容以及备份所遵循的原则是什么。例如,某企业数据库系统的备份内容包括数据文件、控制文件、归档日志文件、闪回区文件等,备份方式是每周日对需要备份的内容进行完整备份,每周一至周六进行增量备份。通过这些信息,数据库备份的情况就一目了然了,这些信息就是该企业数据库系统的备份策略。备份的内容不仅包括数据库系统,还应包括重要的文件系统,防止因重要文件在计算机终端零散存储发生意外情况而造成数据丢失等情况出现。
  对于信息系统来说,没有进行数据备份绝对是管理人员的噩梦,在出现数据误删除或数据库崩溃等极端情况时,管理人员将失去最后的、但往往却是最有效的手段。
  规避此项安全风险的办法就是制定合理有效的备份策略,同时,制定保证该策略能够被有效执行的制度,充分保护数据安全。此外,管理人员还应定期检查备份作业完成的情况,确保备份作业成功完成。
  2.2未进行系统恢复演练带来的安全风险
  很多系统管理人员认为数据备份工作做好就万事大吉了,很容易忽视系统恢复演练的重要性,殊不知,一旦遭遇突发事件,没有经过系统恢复演练的洗礼,常会出现各种意料之外的状况,甚至出现空有备份介质却无法快速恢复系统的情况,给企业带来难以估量的损失。
  规避该安全风险的方法就是定期进行系统恢复演练,形成操作规程,同时,将遇到的问题汇总,形成解决方案,为真正遇到恢复需求时积累足够的经验。为了降低安全风险,可以设置系统恢复演练专用服务器,将需要恢复的数据恢复至该服务器上,然后通过应用系统测试数据恢复情况。
  三、系统权限方面的安全风险
  由于属于软件范畴,应用系统一般都存在漏洞,而最容易诱发安全事件的就是权限方面的漏洞。如果有人超越自身的权限访问了本来无权访问的重要资源,甚至恶意地做出破坏性操作,后果会十分严重。
  解决方法是建立相互独立、制约的权限分配制度,使得管理员的权限分散开来,所有权限按需开放,满足最小化原则。同时,严格做好系统测试工作,防止出现越权访问或者权限滥用的情况,并做好日志审计工作。
  四、计算机端口方面的安全风险
  如果计算机终端的端口处于不受控制的状态,操作系统难免会被病毒与木马程序攻击,管理员将疲于应付操作系统方面的各种问题。更重要的是,系统内的重要信息将处于不受控的状态。解决办法是实施端口控制的安全策略,只保留部分计算机的输入输出端口作为信息的出入口,将信息传递交由应用系统来完成,确保信息流向留有痕迹。
  信息系统风险评估是一项重要的系统工程,可以由企业根据自身的实际运行情况,成立专门的工作小组来进行,也可以通过第三方来进行。实际实施时,还可以将安全风险出现的频率因素一并考虑进去,以便增加风险评估的准确性。
风险评估还需要上层建筑的大力支持,需要相关部门的通力配合,也需要信息系统管理人员充分发挥主观能动性,深入思考信息系统所存在的脆弱环节与应对方案,保证残余安全
风险在可承受的范围以内,并关注遗留问题的解决工作,切实保护信息系统的安全。只有做好这些,管理人员才能从琐碎的日常运维中解放出来,将精力转移至更需要的地方去。
信息化系统就如一把双刃剑,它能提高企业工作效率、提升企业管理水平,但也可能会给企业带来不少负面的影响。CIO该如何避免信息化系统的负面影响呢?为何效率降低了?
 企业信息化一次性投资失败,也许只是短痛,尚能推倒重来,但如果信息化作用不明显,效率不高,甚至在长期运行中不知不觉产生谬误的信息、导致错误的决策,那对企业的危害更大,因此CIO必须认真剖析实施信息化后企业管理效率反而降低的原因,寻解决之对策。
 情报失真
一个IT项目成功与否的一个前提就是看它有没有进行全面、准确的市场调查论证,做这个项目是否可行,行业前景如何,企业实际需求有多大,信息化关键的是能在哪方面起明显作用,企业管理制度是否健全,领导是否充分支持,企业资源能否持续支持项目,万一失败如何补救等。然而很多信息化建设的失败就是立项过于草率,没有准确、实用的信息,一开始就注定没有什么好的结局。
  质量缺陷
据不完全统计,以OA(办公自动化)、CRM(客户关系管理)、ERP为例,30%~40%的大小产品,在稳定、拓展、兼容、通用等方面存有性能的缺陷,有25%的产品达不到行业标准、企业标准和原设计要求,在设计、实现、接口、检验和维护方面存在潜在的问题,乃至带有严重的技术、质量等问题,致使系统不能正常运转,经常宕机,遭到用户的投诉和退货。可想而知,这种IT项目哪有生命力?
 技术落后
先进性是产品的灵魂,缺少先进性的信息化项目仅能给企业披上一层华丽的外衣,或恰如新瓶装旧酒,是不具吸引力和竞争力的。如今一些所谓信息化产品,要么是从别人那里拿过来的加工品牌,要么是模仿洋品牌或竞争对手,抑或是包装、价格上的翻修、变脸,炒作新概念等,新技术、新发明一杆子打不上,实用性、灵活性、扩展性严重不足,造成没完没了的二次开发,将项目拖入泥潭。
 规划管理力不足
项目总监、开发经理对设计重视不够,为了赶工期,很多项目的设计过程过于简单,产品开发技术路线的选择比较随意,有的甚至根本没有设计过程规划。而没有良好的开发计划和开发模式,产品缺乏良好的结构设计,规划管理力不足,项目的成功就无从谈起。
怎样恢复数据
 忽略隐性成本
信息化成本有显性成本与隐性成本之分,然而在上ERP等系统时,多数企业忽略了诸如人员培训、人员转换、数据移接、集成测试等隐性成本以及风险成本等,这使得企业的预算投资在实施IT项目中常常捉襟见肘,不但遏制了项目的实施,而且结果导致实际收益远远小于信息化总成本,信息化也就成为一种累赘。
 服务不力
售后服务是IT建设的“后跟”。不少软件厂商的产品的确不错,但缺乏必要的售后服务体系,如售后服务机构、操作人员培训、零配件的供应、服务配套等,系统升级维护难于保障,项目当然就行之不远。 
CIO(Chief Information Officer)首席信息官是一种新型的信息管理者。他们不同于一般的信
息技术部门或信息中心的负责人,而是已经进入公司最高决策层,相当于副总裁或副经理地位的重要官员。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。