企業(yè)信息安全研究

企業(yè)信息安全研究

劉麗然蘇成(中國(guó)礦業(yè)大學(xué)，江蘇徐州221008)摘要：本文從企業(yè)信息化建設(shè)中遇到的各種安全狀況著手，分析產(chǎn)生這些現(xiàn)象的原因，最后給出解決方案。關(guān)鍵詞：信息安全；網(wǎng)絡(luò)安全；信息化遵循著摩爾定律，IT技術(shù)的發(fā)展飛速千里，硬件、軟件、網(wǎng)絡(luò)、安全等技術(shù)日新月異。正所謂任何事物都具有兩面性。它造福著人類的同時(shí)，也給人們留下了許多隱患。隨著信息技術(shù)的發(fā)展，我國(guó)大中型企業(yè)基本上都實(shí)現(xiàn)了信息化，各企業(yè)對(duì)信息化都非常重視。但是，很多企業(yè)在信息化建設(shè)中存在很多誤區(qū)，信息化建設(shè)的任務(wù)主要集中在了財(cái)務(wù)系統(tǒng)、公司網(wǎng)站、企業(yè)郵箱、辦公自動(dòng)化、ERP等初級(jí)階段，信息安全沒有得到足夠重視。1企業(yè)信息安全中常遇到的幾類問題下面概要談一下企業(yè)信息安全中常遇到的幾類問題：(1)移動(dòng)存儲(chǔ)：最近兩年的u盤容量呈爆炸性增長(zhǎng)，幾G、幾十G的U盤已經(jīng)比較常見。按照現(xiàn)在U盤讀寫速率，一分鐘拷貝走幾百M(fèi)b的東西不成問題。在辦公時(shí)間里很多工作人員沒有養(yǎng)成人走鎖機(jī)的習(xí)慣，這就造成了一個(gè)潛在的安全威脅。其他的移動(dòng)存儲(chǔ)器，比如：移動(dòng)砸盤、存儲(chǔ)卡、MP3播放器等，同樣具有拷貝文件的功能。移動(dòng)存儲(chǔ)連接上電腦以后，還有另外一個(gè)威脅，就是把存儲(chǔ)在自身的病毒、木馬等自動(dòng)復(fù)制到電腦上，為信息安全埋下隱患。(2)網(wǎng)絡(luò)：現(xiàn)在基本上已是互聯(lián)網(wǎng)絡(luò)時(shí)代。互聯(lián)網(wǎng)的發(fā)展為病毒、木馬、黑客等的發(fā)展提供了最好的溫床。通過電子郵件，或者即時(shí)通訊軟件，幾個(gè)G的文件很容易被轉(zhuǎn)移到外部。同時(shí)網(wǎng)絡(luò)中也存在著木馬威脅，頑強(qiáng)的木馬可使整個(gè)公司網(wǎng)絡(luò)癱瘓，造成的經(jīng)濟(jì)損失數(shù)額巨大，成為一段時(shí)間以來危害網(wǎng)絡(luò)安全的罪魁禍?zhǔn)?。作為企業(yè)用戶，不應(yīng)隨意打開來歷不明的郵件；不要隨意下載和運(yùn)行來歷不明的軟件；及時(shí)修補(bǔ)漏洞和關(guān)閉可疑端口；及時(shí)升級(jí)病毒庫(kù)；設(shè)置復(fù)雜型密碼等。(3)內(nèi)部因素：內(nèi)部人員的不保密性，商業(yè)間諜的出現(xiàn)，為企業(yè)信息外傳提供可能。職員辭職后帶走部分企業(yè)機(jī)密信息的不在少數(shù)。很多有價(jià)值的資料，在不經(jīng)意間已經(jīng)流出公司。(4)外部因素：比如說。A公司有零件需要B公司加工，A公司會(huì)把加工圖紙發(fā)送給B公司，而B公司有可能把加工圖紙泄漏給A公司的競(jìng)爭(zhēng)對(duì)手C公司。C公司對(duì)這份圖紙得來全不費(fèi)功夫。(5)不可測(cè)因素：例如最近的地震。有可能造成公司數(shù)據(jù)資料的丟失；服務(wù)器的癱瘓，對(duì)企業(yè)的正常運(yùn)轉(zhuǎn)，信息的傳遞，都造成了不可估計(jì)的影響。2產(chǎn)生這些問題的原因一方面，沒有信息安全方面的觀念。在現(xiàn)在的企業(yè)信息化建設(shè)過程中，財(cái)務(wù)軟件、人力資源管理軟件、ERP軟件等比較受歡迎，因?yàn)檫@些軟件直接參與企業(yè)的生產(chǎn)經(jīng)營(yíng)活動(dòng)，而對(duì)信息安全方面關(guān)注的人比較少。另一方面，因?yàn)楣芾?、技術(shù)、人員、制度的不健全。(1)管理：沒有完善的管理方法，管理人員專注于企業(yè)的生產(chǎn)經(jīng)營(yíng)。對(duì)企業(yè)的信息安全無暇顧及。(2)技術(shù)：信息技術(shù)的發(fā)展，帶來了很多新技術(shù)，這些新技術(shù)沒有經(jīng)過時(shí)間的檢驗(yàn)，很可能在以后的發(fā)展過程中成為一個(gè)隱患。另外，信息安全的技術(shù)很多種，不是少數(shù)幾個(gè)人能掌握得了的。所以，搞信息化建設(shè)的專業(yè)人才，要不斷學(xué)習(xí)。不斷提高自身水平。(3)人員：由于企業(yè)對(duì)信息安全重視程度不高，對(duì)信息安全人員的需求度不高，基本上沒有設(shè)置專業(yè)的信息安全崗位。企業(yè)中其他職員。是計(jì)算機(jī)普通使用者，沒有形成良好的安全習(xí)慣。給有企圖的人留下了可乘之機(jī)。(4)制度：關(guān)于信息安全的制度不健全。即使有，信息安全方面的行為準(zhǔn)則也是一紙空文，無法嚴(yán)格執(zhí)行。這些原因構(gòu)成了信息安全隱患的主要部分。針對(duì)這些原因下手?？梢蕴岣咂髽I(yè)的信息安全度。3解決這些問題的方法我們可以從以下幾個(gè)方面進(jìn)行解決：我們要對(duì)企業(yè)信息安全建立整體架構(gòu)規(guī)劃，首先要了解企業(yè)的信息安全需求。企業(yè)的信息安全需求，以可用性、完整性、保密性為基礎(chǔ)。實(shí)施信息安全要注意一個(gè)度的問題，比方說，產(chǎn)品圖紙的信息價(jià)值一百萬元，而我們花費(fèi)兩百萬元對(duì)它進(jìn)行保護(hù)。這就顛倒了主次，混淆了本末。我們?nèi)绾尾拍苤牢覀兊男畔r(jià)值，可以借助于價(jià)值評(píng)估來完成。企業(yè)信息安全架構(gòu)規(guī)劃可以從信息安全的不同領(lǐng)域：物理安全、系統(tǒng)安全、數(shù)據(jù)安全、網(wǎng)絡(luò)安全、應(yīng)用安全等各個(gè)領(lǐng)域分別解決。3.1物理安全企業(yè)信息安全的物理安全的風(fēng)險(xiǎn)是多種多樣的。主要是指地震、水災(zāi)、火災(zāi)等環(huán)境事故；電源故障；人為操作失誤或錯(cuò)誤：設(shè)備被盜、被毀；電磁干擾；線路截獲。我們要有針對(duì)性的解決：服務(wù)器要有專門的專業(yè)機(jī)房，能防雷、防靜電、防灰塵、防盜；客戶機(jī)要確保計(jì)算機(jī)主機(jī)的安全，防止丟失電腦配件或者整機(jī)。3.2系統(tǒng)安全包含計(jì)算機(jī)操作系統(tǒng)安全及在系統(tǒng)架構(gòu)上的軟件安全。沒有絕對(duì)安全的操作系統(tǒng)，只有相對(duì)安全的操作系統(tǒng)。計(jì)算機(jī)上最好能安裝正版操作系統(tǒng)，并及時(shí)下載補(bǔ)丁升級(jí)。對(duì)操作系統(tǒng)平臺(tái)進(jìn)行安全配置，對(duì)操作和訪問權(quán)限進(jìn)行嚴(yán)格控制，以確保把系統(tǒng)的危險(xiǎn)降低到最低。應(yīng)用軟件方面。盡量安裝大型軟件公司出品的產(chǎn)品。免費(fèi)軟件、共享軟件、破解軟件等有安全隱患沒有通過安全驗(yàn)證的軟件，盡量不要安裝。安裝的軟件要盡量避免與計(jì)算機(jī)內(nèi)已有的軟件發(fā)生沖突，以免引起系統(tǒng)不能穩(wěn)定運(yùn)行，頻繁死機(jī)重啟，造成數(shù)據(jù)丟失。3.3數(shù)據(jù)安全重要的文檔要加密。密碼在方便記憶的情況下，越復(fù)雜越好。重要數(shù)據(jù)要“狡兔三窟”，除了在本機(jī)有，還要做好備份工作。定期做好數(shù)據(jù)的備份工作，當(dāng)計(jì)算機(jī)發(fā)生故障時(shí)，可以將損失減少到最低。3.4網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全是一個(gè)熱門的話題。下面我們就幾種網(wǎng)絡(luò)安全基礎(chǔ)防護(hù)設(shè)施作一下介紹，它主要包含防火墻、入侵檢測(cè)、漏洞掃描、病毒防治等。(1)防火墻防火墻指的是一個(gè)由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障。防火墻是網(wǎng)絡(luò)安全的屏障，它可以強(qiáng)化網(wǎng)絡(luò)安全策略，可以對(duì)網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì)，同時(shí)可以防止內(nèi)部信息的外泄。(2)入侵檢測(cè)系統(tǒng)入侵檢測(cè)系統(tǒng)(Intrusion-detectionsystem，下稱“l(fā)DS')是一種對(duì)網(wǎng)絡(luò)傳輸進(jìn)行即時(shí)監(jiān)視。在發(fā)現(xiàn)可疑傳輸時(shí)發(fā)出警報(bào)或者采取主動(dòng)反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。它與其他網(wǎng)絡(luò)安全設(shè)備的不同之處在于，IDS是一種積極主動(dòng)的安全防護(hù)技術(shù)。(3)漏洞掃描系統(tǒng)漏洞掃描系統(tǒng)是一種系統(tǒng)安全評(píng)估技術(shù)，它包括網(wǎng)絡(luò)模擬攻擊、漏洞測(cè)試、報(bào)告服務(wù)進(jìn)程以及評(píng)測(cè)風(fēng)險(xiǎn)，提供安全建議和改進(jìn)措施等功能。(4)防病毒系統(tǒng)對(duì)付病毒最理想的辦法是預(yù)防，就是不讓病毒進(jìn)入系統(tǒng)。但這個(gè)目標(biāo)不可能實(shí)現(xiàn)，只能通過加強(qiáng)預(yù)防措施來減少病毒攻擊的成功次數(shù)。世界上沒有完美的防病毒系統(tǒng)，國(guó)內(nèi)和國(guó)外的都有其特點(diǎn)。一般來說，國(guó)外的技術(shù)先進(jìn)，國(guó)內(nèi)的有本地化優(yōu)勢(shì)。具體選擇哪款，要綜合考慮。但沒有能通殺所有病毒的殺毒軟件，并且，殺毒軟件要經(jīng)常更新病毒庫(kù)，這樣才能發(fā)揮它的最大效力。3.5安全審計(jì)系統(tǒng)上面介紹的幾種安全防護(hù)措施，它們對(duì)防止外部入侵有一定的效果，但并不能完全阻止入侵者的攻擊，特別對(duì)于內(nèi)部安全問題的防范比較薄弱。在這種情況下，就需要網(wǎng)絡(luò)安全審計(jì)系統(tǒng)進(jìn)行補(bǔ)充。網(wǎng)絡(luò)安全審計(jì)系統(tǒng)是一種基于信息流的數(shù)據(jù)采集、分析、識(shí)別和資源審計(jì)封鎖軟件。通過實(shí)時(shí)審計(jì)網(wǎng)絡(luò)數(shù)據(jù)流，根據(jù)用戶設(shè)定的安全控制策略，對(duì)受控對(duì)象的活動(dòng)進(jìn)行審計(jì)。3.6應(yīng)用安全建立在操作系統(tǒng)之上的應(yīng)用服務(wù)軟件，如數(shù)據(jù)庫(kù)服務(wù)器、電子郵件服務(wù)器、WEB服務(wù)器等，這些服務(wù)器管理系統(tǒng)本身的安全等級(jí)要達(dá)到與操作系統(tǒng)安全等級(jí)相當(dāng)?shù)募?jí)別，特別是數(shù)據(jù)庫(kù)服務(wù)器應(yīng)劃