企業信息安全研究

劉麗然 蘇 成

(中國礦業大學，江蘇徐州221008)

摘要：本文從企業信息化建設中遇到的各種安全狀況著手，分析產生這些現象的原因，最后給出解決方案。

關鍵詞：信息安全；網絡安全；信息化

遵循著摩爾定律，IT技術的發展飛速千里，硬件、軟件、網絡、安全等技術日新月異。正所謂任何事物都具有兩面性。它造福著人類的同時，也給人們留下了許多隱患。

隨著信息技術的發展，我國大中型企業基本上都實現了信息化，各企業對信息化都非常重視。但是，很多企業在信息化建設中存在很多誤區，信息化建設的任務主要集中在了財務系統、公司網站、企業郵箱、辦公自動化、ERP等初級階段，信息安全沒有得到足夠重視。

1企業信息安全中常遇到的幾類問題

下面概要談一下企業信息安全中常遇到的幾類問題：

(1)移動存儲：最近兩年的u盤容量呈爆炸性增長，幾G、幾十G的U盤已經比較常見。按照現在U盤讀寫速率，一分鐘拷貝走幾百Mb的東西不成問題。在辦公時間里很多工作人員沒有養成人走鎖機的習慣，這就造成了一個潛在的安全威脅。其他的移動存儲器，比如：移動砸盤、存儲卡、MP3播放器等，同樣具有拷貝文件的功能。

移動存儲連接上電腦以后，還有另外一個威脅，就是把存儲在自身的病毒、木馬等自動復制到電腦上，為信息安全埋下隱患。

(2)網絡：現在基本上已是互聯網絡時代。互聯網的發展為病毒、木馬、黑客等的發展提供了最好的溫床。通過電子郵件，或者即時通訊軟件，幾個G的文件很容易被轉移到外部。同時網絡中也存在著木馬威脅，頑強的木馬可使整個公司網絡癱瘓，造成的經濟損失數額巨大，成為一段時間以來危害網絡安全的罪魁禍首。作為企業用戶，不應隨意打開來歷不明的郵件；不要隨意下載和運行來歷不明的軟件；及時修補漏洞和關閉可疑端口；及時升級病毒庫；設置復雜型密碼等。

(3)內部因素：內部人員的不保密性，商業間諜的出現，為企業信息外傳提供可能。職員辭職后帶走部分企業機密信息的不在少數。很多有價值的資料，在不經意間已經流出公司。

(4)外部因素：比如說。A公司有零件需要B公司加工，A公司會把加工圖紙發送給B公司，而B公司有可能把加工圖紙泄漏給A公司的競爭對手C公司。C公司對這份圖紙得來全不費功夫。

(5)不可測因素：例如最近的地震。有可能造成公司數據資料的丟失；服務器的癱瘓，對企業的正常運轉，信息的傳遞，都造成了不可估計的影響。

2產生這些問題的原因

一方面，沒有信息安全方面的觀念。在現在的企業信息化建設過程中，財務軟件、人力資源管理軟件、ERP軟件等比較受歡迎，因為這些軟件直接參與企業的生產經營活動，而對信息安全方面關注的人比較少。

另一方面，因為管理、技術、人員、制度的不健全。

(1)管理：沒有完善的管理方法，管理人員專注于企業的生產經營。對企業的信息安全無暇顧及。

(2)技術：信息技術的發展，帶來了很多新技術，這些新技術沒有經過時間的檢驗，很可能在以后的發展過程中成為一個隱患。另外，信息安全的技術很多種，不是少數幾個人能掌握得了的。所以，搞信息化建設的專業人才，要不斷學習。不斷提高自身水平。

(3)人員：由于企業對信息安全重視程度不高，對信息安全人員的需求度不高，基本上沒有設置專業的信息安全崗位。企業中其他職員。是計算機普通使用者，沒有形成良好的安全習慣。給有企圖的人留下了可乘之機。

(4)制度：關于信息安全的制度不健全。即使有，信息安全方面的行為準則也是一紙空文，無法嚴格執行。

這些原因構成了信息安全隱患的主要部分。針對這些原因下手。可以提高企業的信息安全度。

3解決這些問題的方法

我們可以從以下幾個方面進行解決：

我們要對企業信息安全建立整體架構規劃，首先要了解企業的信息安全需求。企業的信息安全需求，以可用性、完整性、保密性為基礎。實施信息安全要注意一個度的問題，比方說，產品圖紙的信息價值一百萬元，而我們花費兩百萬元對它進行保護。這就顛倒了主次，混淆了本末。我們如何才能知道我們的信息價值，可以借助于價值評估來完成。

企業信息安全架構規劃可以從信息安全的不同領域：物理安全、系統安全、數據安全、網絡安全、應用安全等各個領域分別解決。

3.1物理安全

企業信息安全的物理安全的風險是多種多樣的。主要是指地震、水災、火災等環境事故；電源故障；人為操作失誤或錯誤：設備被盜、被毀；電磁干擾；線路截獲。我們要有針對性的解決：服務器要有專門的專業機房，能防雷、防靜電、防灰塵、防盜；客戶機要確保計算機主機的安全，防止丟失電腦配件或者整機。

3.2系統安全

包含計算機操作系統安全及在系統架構上的軟件安全。沒有絕對安全的操作系統，只有相對安全的操作系統。計算機上最好能安裝正版操作系統，并及時下載補丁升級。對操作系統平臺進行安全配置，對操作和訪問權限進行嚴格控制，以確保把系統的危險降低到最低。應用軟件方面。盡量安裝大型軟件公司出品的產品。免費軟件、共享軟件、破解軟件等有安全隱患沒有通過安全驗證的軟件，盡量不要安裝。安裝的軟件要盡量避免與計算機內已有的軟件發生沖突，以免引起系統不能穩定運行，頻繁死機重啟，造成數據丟失。

3.3數據安全

重要的文檔要加密。密碼在方便記憶的情況下，越復雜越好。重要數據要“狡兔三窟”，除了在本機有，還要做好備份工作。定期做好數據的備份工作，當計算機發生故障時，可以將損失減少到最低。

3.4網絡安全

網絡安全是一個熱門的話題。下面我們就幾種網絡安全基礎防護設施作一下介紹，它主要包含防火墻、入侵檢測、漏洞掃描、病毒防治等。

(1)防火墻

防火墻指的是一個由軟件和硬件設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障。

防火墻是網絡安全的屏障，它可以強化網絡安全策略，可以對網絡存取和訪問進行監控審計，同時可以防止內部信息的外泄。

(2)入侵檢測系統

入侵檢測系統(Intrusion-detection system，下稱“lDS')是一種對網絡傳輸進行即時監視。在發現可疑傳輸時發出警報或者采取主動反應措施的網絡安全設備。它與其他網絡安全設備的不同之處在于，IDS是一種積極主動的安全防護技術。

(3)漏洞掃描系統

漏洞掃描系統是一種系統安全評估技術，它包括網絡模擬攻擊、漏洞測試、報告服務進程以及評測風險，提供安全建議和改進措施等功能。

(4)防病毒系統

對付病毒最理想的辦法是預防，就是不讓病毒進入系統。但這個目標不可能實現，只能通過加強預防措施來減少病毒攻擊的成功次數。

世界上沒有完美的防病毒系統，國內和國外的都有其特點。一般來說，國外的技術先進，國內的有本地化優勢。具體選擇哪款，要綜合考慮。但沒有能通殺所有病毒的殺毒軟件，并且，殺毒軟件要經常更新病毒庫，這樣才能發揮它的最大效力。

3.5安全審計系統

上面介紹的幾種安全防護措施，它們對防止外部入侵有一定的效果，但并不能完全阻止入侵者的攻擊，特別對于內部安全問題的防范比較薄弱。在這種情況下，就需要網絡安全審計系統進行補充。網絡安全審計系統是一種基于信息流的數據采集、分析、識別和資源審計封鎖軟件。通過實時審計網絡數據流，根據用戶設定的安全控制策略，對受控對象的活動進行審計。

3.6應用安全

建立在操作系統之上的應用服務軟件，如數據庫服務器、電子郵件服務器、WEB服務器等，這些服務器管理系統本身的安全等級要達到與操作系統安全等級相當的級別，特別是數據庫服務器應劃分安全等級和范疇，對有關數據庫安全的事件進行跟蹤、記錄、報警和處理等。

有了上述的防護措施，并不意味著我們的信息已經安全了，信息安全靠的是企業上下全體人員的努力，有個非常有名的原理用在這兒非常合適：“木桶原理”。企業信息安全的最終水準，是由最薄弱的那一環來決定的。所以，全體動員，共建信息安全很有必要。