企業(yè)信息安全研究

劉麗然 蘇 成

(中國礦業(yè)大學，江蘇徐州221008)

摘要：本文從企業(yè)信息化建設(shè)中遇到的各種安全狀況著手，分析產(chǎn)生這些現(xiàn)象的原因，最后給出解決方案。

關(guān)鍵詞：信息安全；網(wǎng)絡(luò)安全；信息化

遵循著摩爾定律，IT技術(shù)的發(fā)展飛速千里，硬件、軟件、網(wǎng)絡(luò)、安全等技術(shù)日新月異。正所謂任何事物都具有兩面性。它造福著人類的同時，也給人們留下了許多隱患。

隨著信息技術(shù)的發(fā)展，我國大中型企業(yè)基本上都實現(xiàn)了信息化，各企業(yè)對信息化都非常重視。但是，很多企業(yè)在信息化建設(shè)中存在很多誤區(qū)，信息化建設(shè)的任務(wù)主要集中在了財務(wù)系統(tǒng)、公司網(wǎng)站、企業(yè)郵箱、辦公自動化、ERP等初級階段，信息安全沒有得到足夠重視。

1企業(yè)信息安全中常遇到的幾類問題

下面概要談一下企業(yè)信息安全中常遇到的幾類問題：

(1)移動存儲：最近兩年的u盤容量呈爆炸性增長，幾G、幾十G的U盤已經(jīng)比較常見。按照現(xiàn)在U盤讀寫速率，一分鐘拷貝走幾百Mb的東西不成問題。在辦公時間里很多工作人員沒有養(yǎng)成人走鎖機的習慣，這就造成了一個潛在的安全威脅。其他的移動存儲器，比如：移動砸盤、存儲卡、MP3播放器等，同樣具有拷貝文件的功能。

移動存儲連接上電腦以后，還有另外一個威脅，就是把存儲在自身的病毒、木馬等自動復制到電腦上，為信息安全埋下隱患。

(2)網(wǎng)絡(luò)：現(xiàn)在基本上已是互聯(lián)網(wǎng)絡(luò)時代?；ヂ?lián)網(wǎng)的發(fā)展為病毒、木馬、黑客等的發(fā)展提供了最好的溫床。通過電子郵件，或者即時通訊軟件，幾個G的文件很容易被轉(zhuǎn)移到外部。同時網(wǎng)絡(luò)中也存在著木馬威脅，頑強的木馬可使整個公司網(wǎng)絡(luò)癱瘓，造成的經(jīng)濟損失數(shù)額巨大，成為一段時間以來危害網(wǎng)絡(luò)安全的罪魁禍首。作為企業(yè)用戶，不應隨意打開來歷不明的郵件；不要隨意下載和運行來歷不明的軟件；及時修補漏洞和關(guān)閉可疑端口；及時升級病毒庫；設(shè)置復雜型密碼等。

(3)內(nèi)部因素：內(nèi)部人員的不保密性，商業(yè)間諜的出現(xiàn)，為企業(yè)信息外傳提供可能。職員辭職后帶走部分企業(yè)機密信息的不在少數(shù)。很多有價值的資料，在不經(jīng)意間已經(jīng)流出公司。

(4)外部因素：比如說。A公司有零件需要B公司加工，A公司會把加工圖紙發(fā)送給B公司，而B公司有可能把加工圖紙泄漏給A公司的競爭對手C公司。C公司對這份圖紙得來全不費功夫。

(5)不可測因素：例如最近的地震。有可能造成公司數(shù)據(jù)資料的丟失；服務(wù)器的癱瘓，對企業(yè)的正常運轉(zhuǎn)，信息的傳遞，都造成了不可估計的影響。

2產(chǎn)生這些問題的原因

一方面，沒有信息安全方面的觀念。在現(xiàn)在的企業(yè)信息化建設(shè)過程中，財務(wù)軟件、人力資源管理軟件、ERP軟件等比較受歡迎，因為這些軟件直接參與企業(yè)的生產(chǎn)經(jīng)營活動，而對信息安全方面關(guān)注的人比較少。

另一方面，因為管理、技術(shù)、人員、制度的不健全。

(1)管理：沒有完善的管理方法，管理人員專注于企業(yè)的生產(chǎn)經(jīng)營。對企業(yè)的信息安全無暇顧及。

(2)技術(shù)：信息技術(shù)的發(fā)展，帶來了很多新技術(shù)，這些新技術(shù)沒有經(jīng)過時間的檢驗，很可能在以后的發(fā)展過程中成為一個隱患。另外，信息安全的技術(shù)很多種，不是少數(shù)幾個人能掌握得了的。所以，搞信息化建設(shè)的專業(yè)人才，要不斷學習。不斷提高自身水平。

(3)人員：由于企業(yè)對信息安全重視程度不高，對信息安全人員的需求度不高，基本上沒有設(shè)置專業(yè)的信息安全崗位。企業(yè)中其他職員。是計算機普通使用者，沒有形成良好的安全習慣。給有企圖的人留下了可乘之機。

(4)制度：關(guān)于信息安全的制度不健全。即使有，信息安全方面的行為準則也是一紙空文，無法嚴格執(zhí)行。

這些原因構(gòu)成了信息安全隱患的主要部分。針對這些原因下手?？梢蕴岣咂髽I(yè)的信息安全度。

3解決這些問題的方法

我們可以從以下幾個方面進行解決：

我們要對企業(yè)信息安全建立整體架構(gòu)規(guī)劃，首先要了解企業(yè)的信息安全需求。企業(yè)的信息安全需求，以可用性、完整性、保密性為基礎(chǔ)。實施信息安全要注意一個度的問題，比方說，產(chǎn)品圖紙的信息價值一百萬元，而我們花費兩百萬元對它進行保護。這就顛倒了主次，混淆了本末。我們?nèi)绾尾拍苤牢覀兊男畔r值，可以借助于價值評估來完成。

企業(yè)信息安全架構(gòu)規(guī)劃可以從信息安全的不同領(lǐng)域：物理安全、系統(tǒng)安全、數(shù)據(jù)安全、網(wǎng)絡(luò)安全、應用安全等各個領(lǐng)域分別解決。

3.1物理安全

企業(yè)信息安全的物理安全的風險是多種多樣的。主要是指地震、水災、火災等環(huán)境事故；電源故障；人為操作失誤或錯誤：設(shè)備被盜、被毀；電磁干擾；線路截獲。我們要有針對性的解決：服務(wù)器要有專門的專業(yè)機房，能防雷、防靜電、防灰塵、防盜；客戶機要確保計算機主機的安全，防止丟失電腦配件或者整機。

3.2系統(tǒng)安全

包含計算機操作系統(tǒng)安全及在系統(tǒng)架構(gòu)上的軟件安全。沒有絕對安全的操作系統(tǒng)，只有相對安全的操作系統(tǒng)。計算機上最好能安裝正版操作系統(tǒng)，并及時下載補丁升級。對操作系統(tǒng)平臺進行安全配置，對操作和訪問權(quán)限進行嚴格控制，以確保把系統(tǒng)的危險降低到最低。應用軟件方面。盡量安裝大型軟件公司出品的產(chǎn)品。免費軟件、共享軟件、破解軟件等有安全隱患沒有通過安全驗證的軟件，盡量不要安裝。安裝的軟件要盡量避免與計算機內(nèi)已有的軟件發(fā)生沖突，以免引起系統(tǒng)不能穩(wěn)定運行，頻繁死機重啟，造成數(shù)據(jù)丟失。

3.3數(shù)據(jù)安全

重要的文檔要加密。密碼在方便記憶的情況下，越復雜越好。重要數(shù)據(jù)要“狡兔三窟”，除了在本機有，還要做好備份工作。定期做好數(shù)據(jù)的備份工作，當計算機發(fā)生故障時，可以將損失減少到最低。

3.4網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全是一個熱門的話題。下面我們就幾種網(wǎng)絡(luò)安全基礎(chǔ)防護設(shè)施作一下介紹，它主要包含防火墻、入侵檢測、漏洞掃描、病毒防治等。

(1)防火墻

防火墻指的是一個由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護屏障。

防火墻是網(wǎng)絡(luò)安全的屏障，它可以強化網(wǎng)絡(luò)安全策略，可以對網(wǎng)絡(luò)存取和訪問進行監(jiān)控審計，同時可以防止內(nèi)部信息的外泄。

(2)入侵檢測系統(tǒng)

入侵檢測系統(tǒng)(Intrusion-detection system，下稱“l(fā)DS')是一種對網(wǎng)絡(luò)傳輸進行即時監(jiān)視。在發(fā)現(xiàn)可疑傳輸時發(fā)出警報或者采取主動反應措施的網(wǎng)絡(luò)安全設(shè)備。它與其他網(wǎng)絡(luò)安全設(shè)備的不同之處在于，IDS是一種積極主動的安全防護技術(shù)。

(3)漏洞掃描系統(tǒng)

漏洞掃描系統(tǒng)是一種系統(tǒng)安全評估技術(shù)，它包括網(wǎng)絡(luò)模擬攻擊、漏洞測試、報告服務(wù)進程以及評測風險，提供安全建議和改進措施等功能。

(4)防病毒系統(tǒng)

對付病毒最理想的辦法是預防，就是不讓病毒進入系統(tǒng)。但這個目標不可能實現(xiàn)，只能通過加強預防措施來減少病毒攻擊的成功次數(shù)。

世界上沒有完美的防病毒系統(tǒng)，國內(nèi)和國外的都有其特點。一般來說，國外的技術(shù)先進，國內(nèi)的有本地化優(yōu)勢。具體選擇哪款，要綜合考慮。但沒有能通殺所有病毒的殺毒軟件，并且，殺毒軟件要經(jīng)常更新病毒庫，這樣才能發(fā)揮它的最大效力。

3.5安全審計系統(tǒng)

上面介紹的幾種安全防護措施，它們對防止外部入侵有一定的效果，但并不能完全阻止入侵者的攻擊，特別對于內(nèi)部安全問題的防范比較薄弱。在這種情況下，就需要網(wǎng)絡(luò)安全審計系統(tǒng)進行補充。網(wǎng)絡(luò)安全審計系統(tǒng)是一種基于信息流的數(shù)據(jù)采集、分析、識別和資源審計封鎖軟件。通過實時審計網(wǎng)絡(luò)數(shù)據(jù)流，根據(jù)用戶設(shè)定的安全控制策略，對受控對象的活動進行審計。

3.6應用安全

建立在操作系統(tǒng)之上的應用服務(wù)軟件，如數(shù)據(jù)庫服務(wù)器、電子郵件服務(wù)器、WEB服務(wù)器等，這些服務(wù)器管理系統(tǒng)本身的安全等級要達到與操作系統(tǒng)安全等級相當?shù)募墑e，特別是數(shù)據(jù)庫服務(wù)器應劃分安全等級和范疇，對有關(guān)數(shù)據(jù)庫安全的事件進行跟蹤、記錄、報警和處理等。

有了上述的防護措施，并不意味著我們的信息已經(jīng)安全了，信息安全靠的是企業(yè)上下全體人員的努力，有個非常有名的原理用在這兒非常合適：“木桶原理”。企業(yè)信息安全的最終水準，是由最薄弱的那一環(huán)來決定的。所以，全體動員，共建信息安全很有必要。