摘 要：在企业管理信息管理系统建设中，必须注意系统的安全性。如果忽视了这一问题，就可能会危及到网络环境下企业的经济安全。本文首先界定了企业管理信息系统的安全性含义，并说明了其目标，接着介绍了提高企业管理信息系统的安全性常用技术。在此基础上，文章分析了当前企业管理信息系统的安全性建设存在的问题，最后文章提出了提高企业管理信息系统的安全性的措施。这些措施包括提高网络安全防范意识 、建立企业信息安全管理组织体系、制定符合企业管理信息安全需求的信息安全策略等。
关键词：企业信息系统 安全性 问题 措施

引言
在全球经济一体化的大背景下，企业能否在未来的竞争中立于不败之地，取决于它是否拥有面向客户、反应灵敏、主动学习、分享知识、成本管理的先进作业系统。随着信息技术和互联网的大规模普及，企业信息管理系统建设就成为了一项新的挑战。而企业管理信息化，就是在企业管理的各个环节和各个方而，通过利用计算机和网络技术来实现物流、资金流、信息流和工作流的集成和综合，从而提高企业资源配置效率和市场竞争能力。但是，在企业管理信息管理系统建设中，必须注意系统的安全性。如果忽视了这一问题，在信息系统网络化、国际化、公众化的今天，必然会带来一系列的问题，甚至会危及到网络环境下企业的经济安全。为此，本文就企业管理信息系统安全性建设作一番探讨。
从文章结构上来看，本文首先界定了企业管理信息系统的安全性含义，并说明了其目标，接着介绍了提高企业管理信息系统的安全性常用技术。在此基础上，文章分析了当前企业管理信息系统的安全性建设存在的问题，最后文章提出了提高企业管理信息系统的安全性的措施。
1、企业管理信息系统的安全性含义及目标
企业管理信息信息系统安全问题是一个系统工程，涉及的内容十分广泛，既有技术问题，又有管理问题。因此，如何提高企业管理信息信息系统的安全性，有效地保护企业重要的信息数据，己经成为所有计算机网络应用企业必须考虑和解决的重要课题。
1.1.息系统的安全性的内涵
管理信息系统是指运用系统理论和方法，以电子计算机和现代通讯技术为信息处理手段和传输工具，能为企业管理决策提供信息服务的人机系统。从最广泛的意义来说，管理信息系统可以理解为对管理信息进行收集、整理、存储、加工、查找、传输，为管理决策服务的系统，也可以定义为用于管理决策的信息系统。与一般意义上的信息系统不同，它具有的特点是它所管理的信息都是管理信息并且是为管理决策服务的。通常我们将管理信息系统简称为MIS（Management Information Systems）系统。记住这个术语，当提起MIS时大家要知道，就是指管理信息系统。
从应用的角度看，企业信息管理系统的安全性包含两个方面:
（1）应用级安全性。对于用户或操作员能否登录至应用工作站的安全性问题。如果能够有效阻止非法或恶意的攻击性登录，则说明安全系数高，也就是说系统是安全的。
如果用户能够绕过应用工作站利用应用系统开设的账号直接登录到数据库系统，而且数据库数据的操作超出了DBMS（数据库管理系统）赋予该账号的权限，则说明数据库级安全性差。
管理信息系统的安全性是一项综合的技术，其安全控制包括数据库的安全和用户权限的控制两大部分，数据库的安全性一般由数据库管理系统和系统网络平台提供，而用户权限控制功能必须山应用系统来提供。
随着Internet的发展，单个PC机的信息系统已经越来越少，取而代之的是小范围的局域网和大范围的全球化的由无数个微机连接在一起的Internet网，越来越多的数据透过网络进行传输，同时由于电子商务的普及，企业的关键数据被放在网上。面对人为的网络非法盗用、故意破坏或错误操作，以及计算机犯罪、计算机病毒、黑客攻击等种种因素的影响，企业管理信息系统的安全性受到了严重挑战。为此，必须加强企业管理信息系统的安全性建设，加强企业管理信息系统的安全性建设对企业发展和生存具有重要价值，
1.2.信息系统的安全性目标分析
从应用级安全性和数据库级安全性来分析，企业信息管理系统安全性应达到如下目标:
（1）必须有一个应用系统账号才能进入应用系统。
（2）要使用应用系统必须需要数据库账号用于登录数据库。
（3）用户绕过应用系统将不能登录数据库系统。
（4）在网络传输过程中截取的应用系统账号和密码无法登录应用系统。
（5）在网络传输过程中截取的数据库账号和密码虽然可以登录数据库，但不能对数据库做超出该数据库账号权限范围以外的操作。
（6）任何企图盗用某个应用系统账号的行为只能进行有限的次数。
（7）任何企图盗用某个数据库账号的行为只能进行有限的次数。
2、企业管理信息系统的安全性常用技术分析
面对人为的网络非法盗用、故意破坏或错误操作，以及计算机犯罪、计算机病毒、黑客攻击等种种因素的影响，企业管理信息系统建设必须重视信息安全建设。当前，企业一般主要从以下几个层面来实施信息系统安全的保障。
2.1.统层面，对访问进行控制
通过用户权限管理，来确定哪些企业用户可以使用哪些功能，记录用户操作的日志，以备跟踪；通过企业数据加密，保证企业数据在网络中的传输以密文的方式进行，以便不被窃听；由于企业数据是管理系统的关键的资源，因此我们还必须制定数据备份策略，当数据库出问题时，保证企业管理信息数据尽可能得以恢复。
2.2. 在系统层面，对病毒进行防护
在系统层面，对病毒进行防护，主要是安装实时防病毒软件、定期查毒、不使用来历不明的软盘等；安装入侵侦测设备，随时检测企业网络中的数据，检查是否是攻击的数据包，然后报警或停止对方的访问请求，从而保护系统不受攻击；同时通过安全扫描软件，定时对企业信息管理系统进行扫描，及时发现系统的安全漏洞，此外，也要定期进行安全审计和性能监视等措施。
2.3.面，注重抵御外来攻击
为了保护内部网络不受攻击，企业通过建置防火墙、VPN等手段来抵御外来攻击。抵御外来攻击的技术主要有：（1）防火墙技术。防火墙是一个或一组实施访问控制策略的系统，它的作用是防止Internet上的非法入侵和破坏企业信息管理系统；防止企业内部使用者不当地使用Internet。它是位于Internet与企业内部网（Intranet）之间的系统，有了它就避免内部网络直接暴露在外面；它能有效地记录和监控企业与互联网活动，并提供完整的认证与报警。（2）入侵侦测系统。入侵侦测系统的设计主要在针对可疑的活动进行分析以及侦测，入侵侦测系统可以判断出更多的可疑的动作，这点无疑可以弥补防火墙的设计所缺乏部份，入侵侦测也是一套软件，它可以运行在Linux等操作系统中。（3）VPN是虚拟专用网。VPN是虚拟专用网（Virtual Private Network）的简称，VPN指的是依靠ISP（Internet服务提供商）和其它NSP（网络服务提供商），在公用网络中建立专用的数据通信网络的技术 。目前VPN主要采用四项技术来保证安全，这四项技术分别是隧道技术、加解密技术、密钥管理技术、使用者与设备身份认证技术（Authentication）。