企業信息安全問題及對策

劉光宇 王偉蔚

（63996部隊北京 100094）

企業信息安全問題及對策

劉光宇 王偉蔚

（63996部隊北京 100094）

隨著網絡技術的廣泛應用，企業信息安全受到了廣泛威脅。基于此，文章對信息安全面臨的內部、與外部的常見威脅進行了分析，并從管理、技術等方面提出了防護對策。

企業信息 安全 網絡攻擊 防護對策

1 引言

隨著信息化進程的不斷深入，企業大量數據都依賴計算機網絡來存儲與管理，這些數據信息在存儲與應用中常常面臨著來自外部與內部各種形式的安全威脅。信息安全越來越多成為企業不得不面對的重要問題，對于技術密集型企業，信息安全甚至已經成為關系著企業發展，生死存亡的戰略性問題。然而一些企業對信息安全認識不足，安全投入及防護措施少，信息安全存在較多隱患，一旦發生信息泄密或丟失，可能給企業造成重大損失。基于此，本文就企業信息安全面臨的安全威脅進行探討并提出防范對策。

2 企業信息安全的涵義

所謂信息安全是指信息系統（包括硬件、軟件、數據、人員、物理環境及基礎設施）受到保護，不因偶然和惡意的原因而遭到破壞、更改、泄露，系統可靠正常地運行，從而實現企業業務連續順利地開展[1]。其主要包括實體安全、運行安全、內容安全、管理安全四個方面。近年來，屢屢發生的因商業秘密泄露給企業造成重大損失說明，信息內容安全是企業信息安全的核心，是企業信息安全防護的重點與難點。

3 信息安全面臨的主要威脅

企業信息安全面臨的威脅主要來自于內部與外部兩個方面。

3.1 來自內部的安全威脅

來自內部的信息安全威脅主要有：偶發因素造成的信息數據的丟失，商業間諜竊密兩個方面。[2]如工作人員誤操作將信息數據刪除；存儲介質的物理損壞造成數據丟失；工作人員因失誤造成信息泄密等屬于前者。商場如戰場，近年來，有些高科技企業安排商業間諜進入企業內獲取商業機密，或競爭對手通過經濟利益收買企業工作人員獲取商業機密等屬于商業間諜竊密。

3.2 來自外部的安全威脅

來自外部的威脅主要表現于網絡間諜、黑客通過網絡技術手段發起網絡攻擊，從而獲取商業機密或造成破壞。

在信息數據的存儲、應用、傳輸三種狀態下都可能受到攻擊。無論是系統軟件還是應用軟件，在設計開發中都可能存在設計缺陷或安全漏洞，攻擊者正是利用這些缺陷發起攻擊。攻擊前攻擊者通常會利用特定軟件（如掃描程序、服務欺騙程序、特洛伊木馬、計算機病毒、后門程序等）收集企業網絡信息，然后發起攻擊。

企業數據在存儲與使用狀態下常常受到非授權訪問攻擊、拒絕服務（DOS）攻擊。非授權訪問通常有假冒攻擊與旁路攻擊兩種形式[3]。假冒攻擊是指攻擊者通過非法或偽造的憑證冒充合法用戶，從而攫取了授權用戶的權利。旁路攻擊是指攻擊者利用系統缺陷，繞過正常的用戶檢查驗證，進行非法訪問。非授權訪問可以獲取商業機密，對企業危害較大。拒絕服務攻擊是指攻擊者通過惡意程序非法搶占系統資源，從而系統不能為合法用戶提供正常服務，達到破壞的目的。

在信息傳輸過程中也常常受到攻擊威脅，其主要形式有：截獲、插入與重放、竊聽與數據分析、網絡拒絕服務等。截獲是指利用網絡技術手段非法獲取傳輸的信息，達到獲取機密信息的目的[4]。插入與重放是指攻擊者在截獲信息后，把偽造的數據插入到信道中，使接收方收到錯誤的數據，達到假冒或破壞的目的。竊聽與數據分析是指攻擊者通過對通信線路或設備的監聽（如鍵盤記錄、屏幕截圖等），經過對傳輸數據的分析，推斷出秘密信息，達到獲取秘密信息的目的。網絡拒絕服務是指通過對數據或資源的干擾、非法占用、超負荷使用、對服務基礎設施攻擊等手段，造成網絡暫時或永久不能使用，從而破壞網絡通信[5]。

4 安全防護對策

網絡信息安全防護是一項系統性工作，要做好這項工作必須從管理、技術兩方面著手。安全防護主要做好以下幾個方面工作：

4.1 健全組織安全體系

成立保密委員會或保密工作領導小組，從組織上、制度上建立信息安全機制。這是預防來自內部信息安全威脅的重要手段。保密組織應做好以下工作：①制定科學合理的規章制度，讓工作人員在做好信息安全工作時有法可依，有章可循；②對企業信息進行安全等級劃分。企業信息的使用效率與安全防護常常是矛盾的兩方面，要做好企業產品的推廣，提高效益又要保護好商業秘密，必須把企業信息做好信息安全等級劃分，明確哪些信息是可以公開的，哪些信息屬于商業秘密，哪些是核心秘密，對重要的信息重點保護，只有明確哪些信息屬于商業秘密，才能針對性地做好信息保密工作，這是做好信息保護的前提；③加強信息安全工作檢查，促進保密工作常態化。負責對外合作交流和宣傳接待等方面提供資料和保密審查；對向外提供、寄運的涉及企業秘密的文件、資料、印刷品、稿件、論文和其他物品以及公開展覽內容進行保密審查，并按規定辦理審查或報批手續；④加強保密教育，提高人員保密意識、法紀意識，對涉密崗位人員的聘用進行審核并提出建議；⑤組織做好工作人員保密業務技能培訓，提高信息素質，使工作人員不因相關知識匱乏而造成泄密或信息損毀；⑥做好泄密事故、事件的依法查處工作。追究相關人員責任并做好信息挽救工作，把損失降低到最低。

4.2 建立行之有效的技術防護措施

網絡技術防范是預防網絡攻擊直接有限的手段之一，防護手段多種多樣，而且隨著網絡技術的發展而不斷發展與提高。目前主要包括以下幾個方面：

(1)進行網絡隔離。通過物理或軟件技術策略隔離非授權用戶的訪問。在物理隔離方面主要包括對重要信息設備加強物理防護，與內網與公網的物理斷開。如對房間安裝"三鐵一器"，設立門禁與監控系統，安裝電磁屏蔽系統等方法加強對信息設備的防護。采用內外網物理斷網時可通過移動存儲設備進行信息擺渡或通過網絡隔離網閘進行信息交換。與物理隔離比軟件技術策略隔離效率高，應用比較廣泛。如可以提高網安裝如在企業網中劃分VLAN限定用戶訪問；對交換機進行IP地址、MAC地址綁定；設置分時訪問；禁止無線網絡非法接入；安裝軟、硬件防火墻等都是常見的隔離措施。對于用戶終端，還可以安裝防拷貝、防屏幕復制軟件，封USB等通信接口的措施，防止信息非法外流。

(2)建立可靠的身份認證體系。用戶名密碼驗證是最常見的身份認證方式，為提高登錄密碼的安全，通常用戶密碼應設置為數字與字母混合的較復雜密碼。為防止暴力破解，登錄驗證部分還應設計動態驗證碼。對于密級較高的系統，還可以使用動態密碼、靜態密碼與USB key雙重驗證、智能IC卡驗證、指紋驗證等。

(3)對涉密信息加密。加密是一種最有效的保密措施，通過軟件或加密設備對信息加密，即使攻擊者獲取了信息實體，也因無密鑰無法辨識信息內容[2]，達到可靠保密的目的。目前可以通過軟件加密或硬件加密兩種方式，軟件加密成本低，但存在一定的安全隱患，重要數據的傳輸可用專用保密設備進行加解密。

(4)預防惡意程序的破壞。企業內部開發的軟件應當經過嚴格的測試，防止安全漏洞的出現。外購時，應當優先選擇經過國家權威部門安全認證的軟、硬件，確保不會有后門或漏洞的產生。針對操作系統應及時安裝補丁程序與殺毒軟件，防止計算機病毒、木馬等惡意程序的破壞。惡意程序破壞愈演愈烈，攻擊事件成數每年成數倍級的增長。近年來出現的"震網"、"毒區"、"火焰"等病毒程序在世界范圍泛濫，造成了大量網絡的癱瘓、信息秘密被盜，給很多企事業單位帶來巨大損失，甚至威脅到了個別國家的安全，造成了不菲的經濟損失。

(5)建立主動防御與事后追蹤系統。主動防御可以通過對系統的實時監測及時發現系統漏洞和非法訪問，并對非法訪問發出警告或直接切斷非法操作行為[6]。事后追蹤是對網絡行為進行追蹤記錄，以便對攻擊行為進行追查，并采取有效的補救措施。

5 結束語

魔高一尺，道應該高一丈，隨著網絡信息技術的不斷發展，攻擊方式、技術不斷發展，防護策略、技術也應不斷提高與進步。目前網絡防護手段與防護設備較多，企業應根據自身特點、信息安全等級要求，合理地進行相應的建設，同時注重管理上加強防護，才能確保企業信息的機密性、可用性、全整形、可控性。

[1]沈昌祥,張煥國,馮登國,曹珍富,黃繼武.信息安全綜述[J].中國科學.2007（2）:129-50.

[2]趙穎,樊曉平,周芳芳,黃偉,湯夢姣.大規模網絡安全數據協同可視分析方法研究[J].計算機科學與探索.2014（7）：848-57.

[3]王巖明,冼沛勇,建立數據安全系統，維護企業信息安全[J].計算機與網絡.2003（24）:51-52.

[4]楊義先.信息安全新技術[M].北京：北京郵電大學出版社, 2013.

[5]劉家真.數據安全存儲與讀取策略研究[M].北京:科學出版社,2004.

[6]張超,孫曉燕,徐波.基于主動防御的網絡病毒防治技術研究[J].網絡安全技術與應用.2009（1）:31-32.

Problems and Countermeasures of Enterprise Information Securit

LIU Guang-yu WANG Wei-we
(The 63996th troop of the PLA,Beijing 100094,China)

With the wide application of network technology,enterprise information security has been widely threaded.Based on this, the common threat to information security from internal,and external attack is analyzed,and the protective countermeasures are put forward from the management,technology etc in this paper.

enterprise information;security;network attack;protection measures

TP301.6

A

1008-1739（2014）24-67-3

定稿日期：2014-11-26