第三節 會展管理信息係統用戶安全管理
7.3.1 信息係統運行的組織
會展行業要求信息的提供、使用和更新具有較高實效性,這就要求作為信息管理的管理信息係統能夠具備較高的運行效率。為了提高管理信息係統運行的效率,必須有效地組織好信息係統的運行,一般說來信息係統在企業中的地位對係統運行效率的影響是有著很大影響的。目前國內企業組織中負責係統運行的大多是信息中心、計算中心、信息處等信息管理職能部門,企業常見的信息係統運行組織機構主要有兩種形式。
信息中心在經理之下、各職能部門之上,有利於信息資源的共享,並且在係統運行過程中便於協調和決策,但容易造成脫離管理或服務較差的現象;信息處與其他職能部門平行,其特點是信息資源可以為整個企業所共享,但信息處理的決策能力較弱,係統運行中有關的協調和決策工作將受到影響。所以建議信息係統在企業組織中的地位最好是將上述兩種方式結合在一起,各盡其責。
7.3.2 信息係統的人員管理
人員管理是信息係統運行成敗的關鍵。信息係統本身最大的特點就是運用先進的技術為企業的管理服務,它在運行工作中就必然要涉及到企業各個層次的管理人員和被管理的人員以及企業所服務的客戶等,這樣會展管理信息係統要服務的對象就十分複雜。使係統更好地為企業管理服務,達到信息係統使用的人機一體化,對信息係統人員的管理就顯得尤為重要。人員管理的目的是使得這些服務與係統管理具有不同知識水平、不同技術背景的工作人員能夠各負其責、互相配合,共同實現係統的功能。
1)信息係統中主要的人員職位
係統中各種人員能否發揮各自的作用,他們之間能否互相配合、協調一致,是係統成敗的關鍵之一。例如,係統主管人員的責任就在於對他們進行科學的組織與管理,如果係統主管人員不善於進行這樣的組織及管理工作,就談不上實現信息管理的現代化和科學化,在這種情況下,整個係統的運行就會出現混亂。信息係統中主要的職位有:
(1)CIO。即首席信息官(Chief Information
Officers, CIO),負責整個組織的信息資源。負責管理信息係統和信息係統的人員,並向組織的最高層管理人員報告。
(2)係統主管人員。組織各方麵人員協調一致地完成係統所擔負的信息處理任務,掌握係統的全局,保證係統結構的完整,確定係統改善或擴充的方向,並按此方向組織係統的修改及擴充工作。其工作的評價標準應是整個應用係統在管理中發揮的作用及其效益。係統分析員,是指負責開發、實現和維護信息係統的技術人員。
(3)程序員(Programmer)。在係統主管人員的組織之下,完成係統的修改和擴充,為滿足使用者的臨時要求編寫所需要的程序。編寫程序的速度和質量是他們工作情況的衡量標準。
(4)數據庫管理員(Database
Administrator, DBA)。利用數據庫管理係統軟件進行工作,決定如何組織和存儲數據。他們的工作包括建立數據庫、測試數據庫和統一協調地修改數據庫。
(5)數據管理員(Data
Administrator, DA)。負責處理全組織範圍的數據的協調和使用。DA負責組織信息的全局管理、控製和歸檔,DBA設計、實現和維護數據庫及數據庫管理係統。
(6)硬件和軟件操作人員。任務是按照係統規定的工作規程進行日常的運行管理。係統是否安全正常地運行是對他們工作的最主要的衡量指標。
(7)數據校驗人員(或稱數據控製人員)。責任是保證送到錄入人員手中的數據從邏輯上講是正確的,即保證進入信息係統的數據正確地反映客觀事實。在係統內部發現的不正確數據的數目及比例,是衡量校驗人員業務水平的主要指標。
7.3.3 信息係統的安全管理
1)管理信息係統安全的概念
會展管理信息係統是管理信息係統應用到會展行業的一個實體,它正如任何信息係統一樣,正隨著信息技術的發展,在運行操作、管理控製、經營管理計劃、戰略決策等社會經濟活動中發揮著越來越大的作用。然而,這種社會信息化的趨勢,導致了社會的各個方麵對信息係統的依賴性越來越強,信息係統的任何破壞或故障,都將對用戶乃至整個社會產生巨大的影響。因此也就使得信息係統在安全上的脆弱性表現得越來越明顯,維護信息係統的安全也就顯得尤為重要。
(1)信息係統安全的相關因素。信息係統是基於計算機係統和通信係統的十分複雜的現代信息資源網絡係統,其中,計算機係統是信息係統的核心,由軟件和硬件組成,用以完成對信息的自動處理過程;通信係統由工作站、計算機網絡和通信網絡構成,可以通過線路與計算機之間或通過線路與終端設備之間進行數據傳輸。這些組成信息係統的部件都會成為影響信息係統安全的主要因素,除此之外,還有沒有其他的因素呢?要很好地管理信息係統,盡可能地避免各種對於係統安全的攻擊,了解與信息係統安全相關的因素是十分有必要的。
信息係統的安全性是指為了防範意外或人為地破壞信息係統的運行,或非法使用信息資源,而對信息係統采取的安全保護措施。對於影響信息係統安全的因素我們歸納為以下幾個方麵:
自然及不可抗力因素:指地震、火災、水災、風暴以及社會暴力或戰爭等,這些因素將直接地危害信息係統實體的安全。
硬件及物理因素:指係統硬件及環境的安全可靠,包括機房設施、計算機主體、存儲係統、輔助設備、數據通訊設施以及信息存儲介質的安全性。
軟件因素:軟件的非法刪改、複製或竊取將會使係統的軟件受到損失,並可能造成泄密。計算機網絡病毒也是以軟件為手段侵入係統進行破壞的。
數據因素:指數據信息在存儲和傳遞過程中的安全性,這是計算機犯罪的主攻核心,是必須加以安全和保密的重點。
人為及管理因素:涉及到工作人員的素質、責任心,以及嚴密的行政管理製度和法律法規,以防範人為的主動因素直接對係統安全所造成的威脅。
(2)信息係統安全的立法保護。信息係統安全既是十分重要和複雜的技術問題,又是社會經濟問題。信息係統的有效運行必須有一套完整的保護機製,其中包括信息係統的自身保護機製等問題,要放在首要位置來考慮。我國政府非常重視這項工作,除了已頒布的法規外,還出台了具體的實施細則,如操作係統安全評估標準、網絡安全管理規範、數據庫係統安全評估標準、計算機病毒以及有害數據防治管理製度等。隨著信息係統管理工作的法規化和規範化工作不斷加強,必將推動廣大公眾的信息安全意識增強,使信息係統應用進入良好的法製化保護環境。1994年2月18日國務院首次發布了《中華人民共和國計算機信息係統安全保護條例》,明確指出:信息係統安全是指“保障計算機及其相關的和配套的設備、設施(含網絡)的安全以及運行環境的安全,保障信息的安全,保障計算機功能的正常發揮,以維護計算機信息係統的安全運行”。
2)信息係統的安全管理機構
信息係統安全管理機構是實施係統安全,進行安全管理的必要保證。
其中,係統主管機構的任務是製定保密策略、協調安全管理、監督檢查安全措施的執行情況,以防止泄漏事故的發生,確保機密信息的安全。
係統安全管理機構的設置,隨信息係統的大小而定。若一個係統的地理覆蓋麵很大,則在每個區域內就應設一個安全管理機構。
係統安全審計機構擔負保護係統安全的責任,但工作重點偏向於監視係統的運行情況,收集對係統資源的各種非法訪問事件,並對非法事件進行記錄,然後進行分析處理。信息係統通過係統安全管理機構對信息係統的用戶負責。
3)信息係統安全管理的主要內容和措施
安全管理的內容包括用戶使用權限檢查、相同性檢查和建立運行日誌等。
(1)用戶使用權限檢查。在同一性檢查之後,還要進一步檢查用戶的處理要求是否合法,即檢查用戶是否有權訪問想訪問的數據。係統管理人員根據係統運行的要求、組織權限、業務權限等給用戶設置具體處理權限。設置權限控製清單時,絕不能有模糊不清的權限,要給用戶規定實際需要的最小權限。
處理的資源和對象包括:數據文件、記錄、數據庫等數據對象;命令、程序等可運行的資源;終端、打印機等設備;磁帶、磁盤等存儲媒體;業務處理程序;應用中的控製碼等。
(2)用戶相同性檢查。相同性檢查是指用戶在使用係統資源時,事先檢查是否規定用戶有訪問數據資源的權力。通常先檢查用戶代碼是否正確,接著檢驗用戶的密碼是否正確,當兩者完全與機器中設置的代碼相同時,才能使用係統的數據資源。在設計用戶相同性檢查時,為防止非法修改,必須注意設置更改用戶報到表的權限。相同性檢查需要一定的花費,應結合多方麵因素綜合考慮,進行合理設計,達到最佳效果。
(3)建立運行日誌。係統運行日誌是記錄係統運行時產生的特定文件,它是確認、追蹤與係統的數據處理和資源利用有關的事件的基礎,它提供發現權限檢查中的問題、係統故障的恢複、係統監察等信息,也為用戶提供檢查自己使用係統的情況。
在係統設計時,要從係統的安全控製和費用兩方麵考慮來定義運行日誌中記錄哪些項目和記載的程度。另外,還要考慮監察的水平,數據的型和量、時間、處理的複雜性、安全控製的效果以及係統對硬件設備的要求及影響等。
4)信息係統安全管理的原則
信息係統的安全管理主要有多人負責、任期有限、職責分離和工作分立等四項基本原則。
(1)多人負責原則。在信息主管認為無法保證安全以及信息中心人員足夠的情況下,必須由兩人或多人一起從事每項與安全有關的工作。工作人員必須由係統主管領導指派,忠誠可靠,能勝任工作,並認真記錄簽署工作情況,以證明安全工作已得到保障。
上述所指與安全有關的活動包括:硬件和軟件的維護;係統軟件的設計、實現和維護;處理保密信息;係統用媒介的發放與回收;訪問控製用證件的發放與回收;重要程序和數據的刪除和銷毀等。
(2)職責分離原則。非經係統主管領導批準,任何信息係統的工作人員都不得打聽、了解或參與其職責以外的任何與係統安全有關的事情。
(3)工作分開原則。對計算機操作與計算機編程,計算機操作與係統用媒介的保管等信息處理工作,機密資料的接收和傳送,安全管理和係統管理,應用程序和係統程序的編製,訪問證件的管理和其他工作必須分開,不得由相同人員或小組執行。
(4)任期有限原則。絕不能由一人長期擔任安全管理職務。工作人員應不定期循環任職,強製實行休假製度,並規定對工作人員進行輪流培訓,以使任期有限製度切實可行。
7.3.4 會展信息管理係統用戶權限管理
設置信息管理係統用戶權限用於係統的用戶管理,以區分不同的用戶可以進行不同的操作。主要內容有:
(1)用戶與人員獨立原則。每個用戶可以分配多個用戶,做同樣事情的多個人員可以共用一個用戶。
(2)權限體係。權限可以設置該用戶是否擁有進入某頁麵的權限,同時可以設定開始和結束時間,可以設置訪問的IP段、是否可以授權給別人。
(3)用戶授權體係。每個用戶隻能做設定的功能,每個人都可以把自己的權限分給其他人。授權的同時可以指定他是否可以繼續授權給別人。
會展行業要求信息的提供、使用和更新具有較高實效性,這就要求作為信息管理的管理信息係統能夠具備較高的運行效率。為了提高管理信息係統運行的效率,必須有效地組織好信息係統的運行,一般說來信息係統在企業中的地位對係統運行效率的影響是有著很大影響的。目前國內企業組織中負責係統運行的大多是信息中心、計算中心、信息處等信息管理職能部門,企業常見的信息係統運行組織機構主要有兩種形式。
信息中心在經理之下、各職能部門之上,有利於信息資源的共享,並且在係統運行過程中便於協調和決策,但容易造成脫離管理或服務較差的現象;信息處與其他職能部門平行,其特點是信息資源可以為整個企業所共享,但信息處理的決策能力較弱,係統運行中有關的協調和決策工作將受到影響。所以建議信息係統在企業組織中的地位最好是將上述兩種方式結合在一起,各盡其責。
7.3.2 信息係統的人員管理
人員管理是信息係統運行成敗的關鍵。信息係統本身最大的特點就是運用先進的技術為企業的管理服務,它在運行工作中就必然要涉及到企業各個層次的管理人員和被管理的人員以及企業所服務的客戶等,這樣會展管理信息係統要服務的對象就十分複雜。使係統更好地為企業管理服務,達到信息係統使用的人機一體化,對信息係統人員的管理就顯得尤為重要。人員管理的目的是使得這些服務與係統管理具有不同知識水平、不同技術背景的工作人員能夠各負其責、互相配合,共同實現係統的功能。
1)信息係統中主要的人員職位
係統中各種人員能否發揮各自的作用,他們之間能否互相配合、協調一致,是係統成敗的關鍵之一。例如,係統主管人員的責任就在於對他們進行科學的組織與管理,如果係統主管人員不善於進行這樣的組織及管理工作,就談不上實現信息管理的現代化和科學化,在這種情況下,整個係統的運行就會出現混亂。信息係統中主要的職位有:
(1)CIO。即首席信息官(Chief Information
Officers, CIO),負責整個組織的信息資源。負責管理信息係統和信息係統的人員,並向組織的最高層管理人員報告。
(2)係統主管人員。組織各方麵人員協調一致地完成係統所擔負的信息處理任務,掌握係統的全局,保證係統結構的完整,確定係統改善或擴充的方向,並按此方向組織係統的修改及擴充工作。其工作的評價標準應是整個應用係統在管理中發揮的作用及其效益。係統分析員,是指負責開發、實現和維護信息係統的技術人員。
(3)程序員(Programmer)。在係統主管人員的組織之下,完成係統的修改和擴充,為滿足使用者的臨時要求編寫所需要的程序。編寫程序的速度和質量是他們工作情況的衡量標準。
(4)數據庫管理員(Database
Administrator, DBA)。利用數據庫管理係統軟件進行工作,決定如何組織和存儲數據。他們的工作包括建立數據庫、測試數據庫和統一協調地修改數據庫。
(5)數據管理員(Data
Administrator, DA)。負責處理全組織範圍的數據的協調和使用。DA負責組織信息的全局管理、控製和歸檔,DBA設計、實現和維護數據庫及數據庫管理係統。
(6)硬件和軟件操作人員。任務是按照係統規定的工作規程進行日常的運行管理。係統是否安全正常地運行是對他們工作的最主要的衡量指標。
(7)數據校驗人員(或稱數據控製人員)。責任是保證送到錄入人員手中的數據從邏輯上講是正確的,即保證進入信息係統的數據正確地反映客觀事實。在係統內部發現的不正確數據的數目及比例,是衡量校驗人員業務水平的主要指標。
7.3.3 信息係統的安全管理
1)管理信息係統安全的概念
會展管理信息係統是管理信息係統應用到會展行業的一個實體,它正如任何信息係統一樣,正隨著信息技術的發展,在運行操作、管理控製、經營管理計劃、戰略決策等社會經濟活動中發揮著越來越大的作用。然而,這種社會信息化的趨勢,導致了社會的各個方麵對信息係統的依賴性越來越強,信息係統的任何破壞或故障,都將對用戶乃至整個社會產生巨大的影響。因此也就使得信息係統在安全上的脆弱性表現得越來越明顯,維護信息係統的安全也就顯得尤為重要。
(1)信息係統安全的相關因素。信息係統是基於計算機係統和通信係統的十分複雜的現代信息資源網絡係統,其中,計算機係統是信息係統的核心,由軟件和硬件組成,用以完成對信息的自動處理過程;通信係統由工作站、計算機網絡和通信網絡構成,可以通過線路與計算機之間或通過線路與終端設備之間進行數據傳輸。這些組成信息係統的部件都會成為影響信息係統安全的主要因素,除此之外,還有沒有其他的因素呢?要很好地管理信息係統,盡可能地避免各種對於係統安全的攻擊,了解與信息係統安全相關的因素是十分有必要的。
信息係統的安全性是指為了防範意外或人為地破壞信息係統的運行,或非法使用信息資源,而對信息係統采取的安全保護措施。對於影響信息係統安全的因素我們歸納為以下幾個方麵:
自然及不可抗力因素:指地震、火災、水災、風暴以及社會暴力或戰爭等,這些因素將直接地危害信息係統實體的安全。
硬件及物理因素:指係統硬件及環境的安全可靠,包括機房設施、計算機主體、存儲係統、輔助設備、數據通訊設施以及信息存儲介質的安全性。
軟件因素:軟件的非法刪改、複製或竊取將會使係統的軟件受到損失,並可能造成泄密。計算機網絡病毒也是以軟件為手段侵入係統進行破壞的。
數據因素:指數據信息在存儲和傳遞過程中的安全性,這是計算機犯罪的主攻核心,是必須加以安全和保密的重點。
人為及管理因素:涉及到工作人員的素質、責任心,以及嚴密的行政管理製度和法律法規,以防範人為的主動因素直接對係統安全所造成的威脅。
(2)信息係統安全的立法保護。信息係統安全既是十分重要和複雜的技術問題,又是社會經濟問題。信息係統的有效運行必須有一套完整的保護機製,其中包括信息係統的自身保護機製等問題,要放在首要位置來考慮。我國政府非常重視這項工作,除了已頒布的法規外,還出台了具體的實施細則,如操作係統安全評估標準、網絡安全管理規範、數據庫係統安全評估標準、計算機病毒以及有害數據防治管理製度等。隨著信息係統管理工作的法規化和規範化工作不斷加強,必將推動廣大公眾的信息安全意識增強,使信息係統應用進入良好的法製化保護環境。1994年2月18日國務院首次發布了《中華人民共和國計算機信息係統安全保護條例》,明確指出:信息係統安全是指“保障計算機及其相關的和配套的設備、設施(含網絡)的安全以及運行環境的安全,保障信息的安全,保障計算機功能的正常發揮,以維護計算機信息係統的安全運行”。
2)信息係統的安全管理機構
信息係統安全管理機構是實施係統安全,進行安全管理的必要保證。
其中,係統主管機構的任務是製定保密策略、協調安全管理、監督檢查安全措施的執行情況,以防止泄漏事故的發生,確保機密信息的安全。
係統安全管理機構的設置,隨信息係統的大小而定。若一個係統的地理覆蓋麵很大,則在每個區域內就應設一個安全管理機構。
係統安全審計機構擔負保護係統安全的責任,但工作重點偏向於監視係統的運行情況,收集對係統資源的各種非法訪問事件,並對非法事件進行記錄,然後進行分析處理。信息係統通過係統安全管理機構對信息係統的用戶負責。
3)信息係統安全管理的主要內容和措施
安全管理的內容包括用戶使用權限檢查、相同性檢查和建立運行日誌等。
(1)用戶使用權限檢查。在同一性檢查之後,還要進一步檢查用戶的處理要求是否合法,即檢查用戶是否有權訪問想訪問的數據。係統管理人員根據係統運行的要求、組織權限、業務權限等給用戶設置具體處理權限。設置權限控製清單時,絕不能有模糊不清的權限,要給用戶規定實際需要的最小權限。
處理的資源和對象包括:數據文件、記錄、數據庫等數據對象;命令、程序等可運行的資源;終端、打印機等設備;磁帶、磁盤等存儲媒體;業務處理程序;應用中的控製碼等。
(2)用戶相同性檢查。相同性檢查是指用戶在使用係統資源時,事先檢查是否規定用戶有訪問數據資源的權力。通常先檢查用戶代碼是否正確,接著檢驗用戶的密碼是否正確,當兩者完全與機器中設置的代碼相同時,才能使用係統的數據資源。在設計用戶相同性檢查時,為防止非法修改,必須注意設置更改用戶報到表的權限。相同性檢查需要一定的花費,應結合多方麵因素綜合考慮,進行合理設計,達到最佳效果。
(3)建立運行日誌。係統運行日誌是記錄係統運行時產生的特定文件,它是確認、追蹤與係統的數據處理和資源利用有關的事件的基礎,它提供發現權限檢查中的問題、係統故障的恢複、係統監察等信息,也為用戶提供檢查自己使用係統的情況。
在係統設計時,要從係統的安全控製和費用兩方麵考慮來定義運行日誌中記錄哪些項目和記載的程度。另外,還要考慮監察的水平,數據的型和量、時間、處理的複雜性、安全控製的效果以及係統對硬件設備的要求及影響等。
4)信息係統安全管理的原則
信息係統的安全管理主要有多人負責、任期有限、職責分離和工作分立等四項基本原則。
(1)多人負責原則。在信息主管認為無法保證安全以及信息中心人員足夠的情況下,必須由兩人或多人一起從事每項與安全有關的工作。工作人員必須由係統主管領導指派,忠誠可靠,能勝任工作,並認真記錄簽署工作情況,以證明安全工作已得到保障。
上述所指與安全有關的活動包括:硬件和軟件的維護;係統軟件的設計、實現和維護;處理保密信息;係統用媒介的發放與回收;訪問控製用證件的發放與回收;重要程序和數據的刪除和銷毀等。
(2)職責分離原則。非經係統主管領導批準,任何信息係統的工作人員都不得打聽、了解或參與其職責以外的任何與係統安全有關的事情。
(3)工作分開原則。對計算機操作與計算機編程,計算機操作與係統用媒介的保管等信息處理工作,機密資料的接收和傳送,安全管理和係統管理,應用程序和係統程序的編製,訪問證件的管理和其他工作必須分開,不得由相同人員或小組執行。
(4)任期有限原則。絕不能由一人長期擔任安全管理職務。工作人員應不定期循環任職,強製實行休假製度,並規定對工作人員進行輪流培訓,以使任期有限製度切實可行。
7.3.4 會展信息管理係統用戶權限管理
設置信息管理係統用戶權限用於係統的用戶管理,以區分不同的用戶可以進行不同的操作。主要內容有:
(1)用戶與人員獨立原則。每個用戶可以分配多個用戶,做同樣事情的多個人員可以共用一個用戶。
(2)權限體係。權限可以設置該用戶是否擁有進入某頁麵的權限,同時可以設定開始和結束時間,可以設置訪問的IP段、是否可以授權給別人。
(3)用戶授權體係。每個用戶隻能做設定的功能,每個人都可以把自己的權限分給其他人。授權的同時可以指定他是否可以繼續授權給別人。
-
更多
編輯推薦
- 1一分鍾心理控製術
- 2贏利型股民、基民必備全書
- 3人人都愛心理學:最妙...
- 4看圖炒股
- 5一看就懂的股市賺錢圖形
- 6基金投資最常遇到的1...
- 7買基金、炒股票就這幾招
- 8明明白白買基金、炒股票
- 9新手上路 實戰股市
- 10少年不知愁
看過本書的人還看過
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
