首页 理论教育 信息系统的防范对策

信息系统的防范对策

时间:2023-11-25 理论教育 版权反馈
【摘要】:从理论上说,对信息系统的危险进行防范,主要包括三个方面,或者说三个层次的内容。这样的危险对于信息系统所造成的破坏往往极为严重。要尽量减少不安全因素,严格组织纪律,使有关人员各司其职,各尽其责,减少信息系统发生问题的机会。行政过度对信息系统,特别是会计电算化系统的影响不可忽视。真正优秀的信息系统,必须具有相当的抗拒误操作的能力。

七、信息系统的防范对策

关于危险管理,有一句格言:事前预防胜于事后补偿。有时候偶然事故造成的某些影响是无法补救的。那么,具体到信息系统的危险管理,在防范对策方面有哪些值得注意的问题呢?

从理论上说,对信息系统的危险进行防范,主要包括三个方面,或者说三个层次的内容。这三个方面分别是:法律、行政、技术。

1.法律层面的防范

第一层,是在法律层面上。危险来自敌对的、极端恶意的侵犯与攻击。这样的危险对于信息系统所造成的破坏往往极为严重。从攻击的类型来看,法律层面上的破坏都是人为的、故意的。一般说来,由自然力所造成的破坏不应归于法律层面的敌对性攻击,但是有时敌对力量可能利用自然灾害的机会,设法扩大自然力的破坏规模。套用一句老话,法律层面上的问题是“敌我矛盾”,攻击的目标多半是处于要害部位的信息系统,或者是信息系统的要害部位。

从“法律”层次上讲,保护系统的安全任务也在于惩处罪犯,避免发生敌意侵害。一旦这种侵害发生,则要设法记录下有关的信息,“保护现场”,以便追寻搜捕罪犯。至于利用计算机犯罪,国外早有报道,在国内也有案例发生。计算机程序存在漏洞,单位行政管理不善,从客观上都会助长电脑犯罪。这个问题涉及刑律,不是本文要讨论的内容。

2.行政层面的防范

第二层,是在行政层面上。由于管理不善,缺乏条理,缺乏明确的规章制度,就容易造成重要数据的丢失,造成信息系统的损坏甚至崩溃。如果一个单位机构管理混乱,很难设想这个单位的“信息系统”能够良好地运行。

从行政的角度说,主要是加强管理的问题。要尽量减少不安全因素,严格组织纪律,使有关人员各司其职,各尽其责,减少信息系统发生问题的机会。需要指出的是,增设机构,盲目添加行政人员并不就是加强管理。恰恰相反,行政过度,人浮于事的多头组织才是管理混乱的根源。同样,频繁的机构变动,一朝天子一朝臣的封建领导作风,也是不安全因素。

当一个国家正在从计划经济走向自由经济,进行体制改革的时候,来自权利机构的动荡,会使即将丧失旧有权利的一部分人努力寻找新的权利机会。这时候,创造多余行政机会的最好理由就是加强管理。一个足够冠冕堂皇的口号,可以像刀子一样割断反对者的舌头。但是过分的行政,除了可以为下岗干部和待业人员提供就业机会之外,并不能给经济发展带来任何效益。相反,当来自税收的政府拨款不肯养活从事过度行政的那些人的时候,假借保护国家利益的不合理收费就不可避免。未来的历史可以证明,行政过度将是中国现阶段经济发展中最严重的潜在危险。

由信息系统的理论可知,企业信息系统所反映的是企业管理过程的信息投影;而政府部门的信息系统则反映行政的业务过程。行政过度对信息系统,特别是会计电算化系统的影响不可忽视。行政过度越厉害,信息系统面临的危险就越大。之所以会出现这种情况,很大程度上是因为多余的行政环节所对应的信息混乱,有时候甚至可以达到随心所欲的地步:没有规矩,没有准则,朝令夕改。因为人事安排的需要,许多并无存在必要的环节,变成了信息处理必经之路上的障碍。幸好,还有值得庆幸的一方面:大凡热衷于过度行政的人,对计算机应用于会计电算化或者其他类型的信息系统都兴趣不大,他们关心的只是一己私利。

3.技术层面的防范

第三层,是在技术层面上。比如对设备环境的控制、防水、防火、防盗、防磁等专门的措施,甚至也包括数据备份之类的管理规则。强调技术方面的保护,是为了避免意外损失,一旦危险发生,也要使其损失控制在比较小的规模和范围之内。

对于一般的信息系统如会计电算化而言,技术上的防范和行政方面的措施可能比“法律层面”更为重要。

归结而言,考虑防范对策的目的(目标),是使信息系统“不被破坏”和“不怕破坏”。谈到“破坏”往往使人联想起“阶级斗争”,其实在涉及“经济斗争”的问题时,争斗的激烈程度可能“有过之而无不及”。如同前面的讨论一样,引述这些观点,主要是为了说明“所有的破坏都是结果”这样一个事实。

破坏只是结果。造成破坏的原因,可能是敌对的、故意的,而在更多的时候,在最普遍的情况下,造成信息系统崩溃的主要原因是“误操作”,是非故意的。

许多初期接触计算机、使用信息系统的人都有这样的经历:明明觉得自己的操作是正确的,可是计算机不听话。于是就固执地认为“一定是机器有问题”,或者坚持要“弄清”机器为什么不听话。其实,与其这样钻牛角尖,不如潇潇洒洒地再从头做一次,当然是按照正确的操作方法。

可以肯定地说,如果计算机“不听话”,大多数情况是属于“误操作”的结果。所谓“误操作”,是在操作者并未意识到的情况下发生的。“自我感觉正确”,并不意味着真的操作正确。计算机不同于人,它没有灵活性,必须一板一眼地告诉它做什么,否则计算机就会“不听话”。当然,如果操作者意识到自己的操作不对,也就不会那样操作了。

有时在操作中无意识地碰了某个键,自己并不觉得,计算机却不会忽视这个“无意识”的操作,其结果就是计算机“不听话”。

事物总是一分为二的。真正优秀的信息系统,必须具有相当的抗拒误操作的能力。当使用者的操作动作可能会危及到系统自身安全时,系统应该有自我保护的严格措施。如果将“质量”概念用于信息系统,那么,抗拒误操作的能力应该是重要的指标之一。

概括起来,可以归结和重申以下几点:

(1)一切可能导致信息系统失效或者崩溃的事件都是“危险”。自然灾害、设备故障、操作失误、病毒侵害等包括其中。

(2)导致信息系统失效的原因,可能是敌对或非敌对的、故意或非故意的,也可能是人为或自然的。

(3)从信息系统防范对策的角度看,法律、行政、技术是不同的层面,但就最终极的目标而言,防范的目的就是要避免信息系统的崩溃。

(4)退而言之,当“信息系统”的崩溃无法避免时,至少要保证该信息系统所服务的上级系统不致因此而陷于崩溃。

免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。

我要反馈