張文茹　單　穎

摘要：在信息化高度發(fā)達(dá)的今天，信息安全是企業(yè)管理中不容忽視的問題，它涉及到企業(yè)生產(chǎn)經(jīng)營(yíng)、發(fā)展建設(shè)的方方面面，是企業(yè)在競(jìng)爭(zhēng)激烈的商場(chǎng)中立于不敗之地的根本保證之一。但在現(xiàn)實(shí)中，企業(yè)的信息安全普遍存在著一些這樣那樣的問題，這些問題必須引起我們的高度重視，只有這樣才能確保我們的企業(yè)健康成長(zhǎng)。

關(guān)鍵詞：信息化建設(shè)；信息安全

二十一世紀(jì)的競(jìng)爭(zhēng)是經(jīng)濟(jì)全球化和信息化的競(jìng)爭(zhēng)，如何以信息化提升企業(yè)的管理水平和綜合實(shí)力，通過信息化的發(fā)展為企業(yè)帶來更大效益往往是我們所關(guān)心的問題。但是由于信息技術(shù)本身的特殊性，特別是互聯(lián)網(wǎng)的快速發(fā)展，使得信息技術(shù)又隱藏著巨大且不可能根除的風(fēng)險(xiǎn)，使個(gè)人權(quán)益、企業(yè)生存、金融風(fēng)險(xiǎn)防范乃至社會(huì)穩(wěn)定和國(guó)家的安全面臨危險(xiǎn)。如何在信息化建設(shè)快速發(fā)展的同時(shí)確保信息安全，已成為各企事業(yè)單位乃至國(guó)家政府關(guān)心的熱點(diǎn)問題。

目前，大部分企業(yè)都認(rèn)識(shí)到了信息安全的重要性，并不同程度的建立了信息安全防護(hù)體系。然而，由于基礎(chǔ)薄弱，工作人員防范意識(shí)淡薄，一些企業(yè)的信息安全形勢(shì)不容樂觀，計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)癱瘓、數(shù)據(jù)丟失、網(wǎng)上信息失竊等重大信息安全事故時(shí)有發(fā)生，給企業(yè)造成不必要的損失。

1企業(yè)信息化建設(shè)中信息安全管理面臨的主要威脅和隱患

1.1計(jì)算機(jī)病毒

計(jì)算機(jī)病毒能影響計(jì)算機(jī)軟件、硬件的正常運(yùn)行，破壞數(shù)據(jù)的正確與完整，甚至導(dǎo)致系統(tǒng)崩潰等重大惡果。據(jù)統(tǒng)計(jì)，由計(jì)算機(jī)病毒破壞而造成的經(jīng)濟(jì)損失，不亞于一場(chǎng)小型戰(zhàn)爭(zhēng)。例如“CIH”病毒的誕生，使世界上數(shù)以萬計(jì)的計(jì)算機(jī)遭到破壞，用戶的數(shù)據(jù)被病毒吞噬，直接和間接的經(jīng)濟(jì)損失無法估量。二00四年“五一”期間爆發(fā)的“振蕩波”病毒使得全球超過1800萬臺(tái)的電腦受到攻擊。大量的局域網(wǎng)絡(luò)因遭到病毒的侵襲而癱瘓，給企業(yè)、國(guó)家造成巨大的經(jīng)濟(jì)損失。尤其需要引起我們高度重視的是針對(duì)盜取各類敏感信息的木馬病毒呈現(xiàn)上升趨勢(shì)。這類病毒用戶難于發(fā)現(xiàn)，屬于隱性病毒，具有隱蔽性強(qiáng)、危害性大、目標(biāo)明確等特點(diǎn)，將是今后病毒的主要破壞形式。

1．2黑客攻擊

電腦入侵、賬號(hào)泄漏、資料丟失、網(wǎng)頁被黑等等也是企業(yè)信息安全管理中經(jīng)常遇到的問題。其特點(diǎn)是往往具有明確的目標(biāo)。當(dāng)黑客要攻擊一個(gè)目標(biāo)時(shí)，通常是首先收集被攻擊方的有關(guān)信息，分析被攻擊方可能存在的漏洞，然后建立模擬環(huán)境，進(jìn)行模擬攻擊，測(cè)試對(duì)方可能的反應(yīng)，再利用適當(dāng)?shù)墓ぞ哌M(jìn)行掃描，最后通過己知的漏洞，實(shí)施攻擊。黑客一旦獲得了對(duì)攻擊目標(biāo)的系統(tǒng)訪問權(quán)，就有可能在目標(biāo)系統(tǒng)中建立新的安全漏洞或后門、安裝探測(cè)器軟件、收集感興趣的一切信息，然后就可以讀取郵件，搜索和盜竊文件，毀壞重要數(shù)據(jù)，破壞整個(gè)系統(tǒng)的信息，造成不堪設(shè)想的后果。

1.3信息傳輸、存儲(chǔ)介質(zhì)的保護(hù)

在物理介質(zhì)層次上對(duì)存儲(chǔ)和傳輸?shù)男畔⑦M(jìn)行安全保護(hù)，是信息安全的基本保障。物理安全隱患大致包括三個(gè)方面：一是自然災(zāi)害（如地震、火災(zāi)、洪水、雷電等）、物理損壞（如硬盤損壞、設(shè)備使用到期、外力損壞等）和設(shè)備故障（如停電斷電、電磁干擾等）；二是電磁輻射、信息泄漏、痕跡泄露（如口令密鑰等保管不善）；三是操作失誤（如刪除文件，格式化硬盤、線路拆除）、意外疏漏等。

1.4企業(yè)本身信息安全管理是否完善

安全管理漏洞包括人為因素和非人為因素。

非人為因素。隨著計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)日益復(fù)雜，以致人們無法保證系統(tǒng)不存在網(wǎng)絡(luò)設(shè)計(jì)漏洞與管理漏洞。這些漏洞和缺陷自然成為黑客進(jìn)行攻擊的首選目標(biāo)。另外，軟件設(shè)計(jì)人員出于自身的考慮，在進(jìn)行軟件開發(fā)時(shí)，為所開發(fā)的軟件設(shè)置“后門”，一旦 “后門”為外人所知，該軟件則無安全可言，所造成的后果也不堪設(shè)想。

人為因素。人為因素包括人為的無意失誤和人為的惡意攻擊。

人為的無意失誤。網(wǎng)絡(luò)管理員安全配置不當(dāng)造成的安全漏洞，用戶安全意識(shí)不強(qiáng)，口令選擇不慎，用戶將自己的賬號(hào)隨意轉(zhuǎn)借他人或與別人共享等都會(huì)對(duì)網(wǎng)絡(luò)信息安全帶來威脅。一些別有用心的人會(huì)利用這些無意的失誤，從他人計(jì)算機(jī)內(nèi)獲取不該他獲取的信息。

人為的惡意攻擊。這是計(jì)算機(jī)網(wǎng)絡(luò)所面臨的最大威脅，網(wǎng)絡(luò)戰(zhàn)中敵方的攻擊和計(jì)算機(jī)犯罪就屬于這一類。這類攻擊又可分為兩種：一種是主動(dòng)攻擊，是以各種方式有選擇地破壞信息的有效性和完整性；另一種方式是被動(dòng)攻擊，就是在不影響網(wǎng)絡(luò)正常工作的情況下，進(jìn)行截獲、竊取、破譯以獲得重要機(jī)密信息。這兩種攻擊均可對(duì)計(jì)算機(jī)網(wǎng)絡(luò)造成極大的危害，并造成機(jī)密數(shù)據(jù)的泄漏。

2加強(qiáng)信息安全管理必須解決好的關(guān)鍵問題

2.1技術(shù)方面

信息安全不僅是單一PC的問題，也不僅是服務(wù)器或路由器的問題，而是整體網(wǎng)絡(luò)系統(tǒng)的問題。所以信息安全要考慮整個(gè)網(wǎng)絡(luò)系統(tǒng)，結(jié)合網(wǎng)絡(luò)系統(tǒng)來制定合適的信息安全策略。由于網(wǎng)絡(luò)安全涉及到的問題非常多，如防病毒、防入侵破壞、防信息盜竊、用戶身份驗(yàn)證等，這些都不是由單一產(chǎn)品來完成，也不可能由單一產(chǎn)品來完成，因此網(wǎng)絡(luò)安全也必須從整體策略來考慮。

網(wǎng)絡(luò)設(shè)備。充分利用交換機(jī)、路由器等網(wǎng)絡(luò)設(shè)備的基本安全功能（如VLAN等）配置企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)，達(dá)到限制存取目的。有必要使用防火墻、入侵檢測(cè)系統(tǒng)、虛擬系統(tǒng)等網(wǎng)絡(luò)設(shè)備加強(qiáng)企業(yè)網(wǎng)絡(luò)信息的安全性。

網(wǎng)絡(luò)操作系統(tǒng)。網(wǎng)絡(luò)操作系統(tǒng)是網(wǎng)絡(luò)信息系統(tǒng)的核心，在信息安全管理中占據(jù)十分重要的地位。如今的操作系統(tǒng)性能更先進(jìn)、功能更豐富，因而對(duì)企業(yè)來說更有用，但同時(shí)也增加了安全漏洞。為了加強(qiáng)系統(tǒng)的安全性，應(yīng)對(duì)操作系統(tǒng)予以合理配置、管理和監(jiān)控。集中管理企業(yè)內(nèi)部的操作系統(tǒng)安全是降低成本和風(fēng)險(xiǎn)的有效途徑。

數(shù)據(jù)庫系統(tǒng)。在數(shù)據(jù)庫系統(tǒng)中，由于數(shù)據(jù)大量集中存放，且為眾多用戶直接共享，安全性問題更為突出。數(shù)據(jù)庫安全性問題應(yīng)包括兩個(gè)部分：

數(shù)據(jù)庫數(shù)據(jù)的安全。確保當(dāng)數(shù)據(jù)庫系統(tǒng)DownTime時(shí)，當(dāng)數(shù)據(jù)庫數(shù)據(jù)存儲(chǔ)媒體被破壞時(shí)以及當(dāng)數(shù)據(jù)庫用戶誤操作時(shí)，數(shù)據(jù)庫數(shù)據(jù)信息不至于丟失。

數(shù)據(jù)庫系統(tǒng)不被非法用戶侵入。盡可能地堵住潛在的各種漏洞，防止非法用戶利用它們侵入數(shù)據(jù)庫系統(tǒng)。

應(yīng)用軟件。應(yīng)用軟件的安全缺陷往往與軟件的規(guī)模和復(fù)雜性成正比，從設(shè)計(jì)、實(shí)現(xiàn)到維護(hù)階段，都留下了大量的安全漏洞。程序開發(fā)人員在設(shè)計(jì)開發(fā)程序時(shí)，應(yīng)把軟件的安全性作為開發(fā)的重點(diǎn)工作，并在測(cè)試階段努力查找系統(tǒng)漏洞，最大限度確保軟件的安全性。

2.2管理方面

信息安全的管理方面又包括網(wǎng)絡(luò)管理、數(shù)據(jù)管理、設(shè)備管理、人員管理等。由于信息安全管理是一項(xiàng)系統(tǒng)工程，所以需要依靠完備的信息安全管理體系，設(shè)計(jì)科學(xué)的信息安全管理流程，全面落實(shí)信息安全管理制度。

2.3法律方面

隨著信息安全問題日漸突出，法律防范顯得十分重要和緊迫。它不僅是打擊計(jì)算機(jī)犯罪的法律依據(jù)，更是保護(hù)知識(shí)產(chǎn)權(quán)、數(shù)據(jù)安全、商業(yè)機(jī)密、個(gè)人隱私的有效途徑。

3企業(yè)加強(qiáng)信息安全方面應(yīng)采取的主要對(duì)策

如前所述，信息安全管理是一項(xiàng)涉及方方面面的系統(tǒng)工程，不同企業(yè)、不同行業(yè)之間千差萬別，沒有統(tǒng)一的模式可循。但一般而言，無論何種行業(yè)、哪家企業(yè)，加強(qiáng)信息安全管理都應(yīng)遵守技術(shù)優(yōu)先的原則、管理保障的原則、以人為本的原則、寓管于用的原則等基本原則去組織實(shí)施。

具體措施包括以下幾方面：

3.1技術(shù)防范措施

信息安全是綜合性學(xué)科，并具有動(dòng)態(tài)的、智能的特征。因而，信息系統(tǒng)面臨的安全風(fēng)險(xiǎn)也是動(dòng)態(tài)變化的，這就意味著需要不斷動(dòng)態(tài)調(diào)整安全策略和防范技術(shù)，以適應(yīng)新的安全風(fēng)險(xiǎn)，解決新的安全問題。

計(jì)算機(jī)系統(tǒng)物理安全的基本要求

必須配備延時(shí)時(shí)間長(zhǎng)的不間斷電源確保服務(wù)器和關(guān)鍵部門計(jì)算機(jī)連續(xù)供電，有條件的企業(yè)可以采用柴油發(fā)電機(jī)組及不間斷電源共同構(gòu)建冗余供電設(shè)備。

安裝避雷裝置，盡量為每個(gè)節(jié)點(diǎn)都安裝防雷模塊，保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備免遭雷擊。

為電源線和信號(hào)線加裝性能良好的濾波器，減小傳輸阻抗和導(dǎo)線間的交叉耦合，抑制和防止電磁泄漏。

關(guān)鍵服務(wù)器（如主域控制器、數(shù)據(jù)庫服務(wù)器、Web服務(wù)器、郵件服務(wù)器等）應(yīng)采用磁盤陣列及雙機(jī)容錯(cuò)系統(tǒng)，保證網(wǎng)絡(luò)系統(tǒng)不間斷運(yùn)行。

3.２安裝防火墻系統(tǒng)，將企業(yè)內(nèi)部網(wǎng)與外部網(wǎng)之間隔離，阻止黑客利用不安全的服務(wù)對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行攻擊，造成企業(yè)內(nèi)部信息泄漏。利用防火墻還能實(shí)現(xiàn)對(duì)數(shù)據(jù)流的監(jiān)控、過濾、記錄和報(bào)告。

安裝網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)（IDS），對(duì)企圖入侵、正在進(jìn)行的入侵或已經(jīng)發(fā)生的入侵進(jìn)行識(shí)別。利用入侵檢測(cè)系統(tǒng)可以了解網(wǎng)絡(luò)的運(yùn)行狀況和發(fā)生的安全事件，并根據(jù)安全事件來調(diào)整安全策略和防護(hù)手段，同時(shí)改進(jìn)實(shí)時(shí)響應(yīng)和事后恢復(fù)的有效性，為定期的安全評(píng)估和分析提供依據(jù)，從而提高網(wǎng)絡(luò)安全的整體水平。

對(duì)于關(guān)鍵信息需采用加密系統(tǒng)和認(rèn)證機(jī)制，借助現(xiàn)代密碼技術(shù)對(duì)數(shù)據(jù)進(jìn)行加密，將重要秘密信息由明文變?yōu)槊芪摹?/p>

企業(yè)內(nèi)部盡量采用代理服務(wù)器上國(guó)際互聯(lián)網(wǎng)的方式。使用代理服務(wù)器，可以有效控制用戶上網(wǎng)時(shí)間，監(jiān)視上網(wǎng)記錄，限制不同用戶的下載權(quán)限，控制帶寬流量，并且有效地進(jìn)行網(wǎng)站過濾。有條件的單位，還可以將內(nèi)部網(wǎng)和互聯(lián)網(wǎng)進(jìn)行物理隔離，更有效的規(guī)避風(fēng)險(xiǎn)。

建立健全防病毒體系。通過網(wǎng)絡(luò)殺毒軟件保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)不受病毒破壞活動(dòng)的影響，并注意及時(shí)更新病毒特征碼。

始終保持操作系統(tǒng)、WEB瀏覽器、電子郵件和應(yīng)用程序的安全版本，避免或減輕執(zhí)行惡意代碼所導(dǎo)致的后果。

3.３加強(qiáng)各項(xiàng)管理

信息安全問題的由來是信息系統(tǒng)的技術(shù)和管理因素造成的，但利用技術(shù)和管理漏洞造成安全事故的是人，這就說明僅僅通過程式化的安全產(chǎn)品和先進(jìn)的技術(shù)手段是遠(yuǎn)遠(yuǎn)不夠的，需要全面分析安全環(huán)境，綜合評(píng)估存在的安全風(fēng)險(xiǎn)，結(jié)合企業(yè)的運(yùn)行流程，針對(duì)目標(biāo)信息系統(tǒng)和應(yīng)用、運(yùn)營(yíng)環(huán)境中的安全管理策略，制訂一個(gè)全面的安全管理策略。

建立健全規(guī)章制度，包括計(jì)算機(jī)室保密制度、進(jìn)入機(jī)房重地登記制度、數(shù)據(jù)備份制度、上網(wǎng)管理制度等等，并建議信息主管部門與其它部門簽訂計(jì)算機(jī)網(wǎng)絡(luò)使用協(xié)議，通過制度規(guī)范管理，確保計(jì)算機(jī)網(wǎng)絡(luò)的安全和數(shù)據(jù)信息的安全保密。

按照不同級(jí)別、部門、崗位的職責(zé)，合理劃分權(quán)限，避免越權(quán)操作導(dǎo)致保密信息的泄漏。確保系統(tǒng)安全和數(shù)據(jù)安全。建立數(shù)據(jù)備份中心，定時(shí)備份數(shù)據(jù)，并采用多介質(zhì)、異地存儲(chǔ)的方式來保存數(shù)據(jù)備份。定期對(duì)實(shí)體進(jìn)行檢查。特別是對(duì)文件服務(wù)器、光纜(或電纜)、終端及其他外設(shè)進(jìn)行保密檢查，防止非法侵入。加強(qiáng)對(duì)網(wǎng)絡(luò)記錄媒體的保護(hù)和管理。如對(duì)關(guān)鍵的涉密記錄媒體要有防拷貝和信息加密措施，對(duì)廢棄的磁盤、色帶要有專人銷毀等。

3.4強(qiáng)化人員培訓(xùn)教育

信息安全管理是貫穿整個(gè)信息化建設(shè)生命周期的工作，需要不斷對(duì)企業(yè)的決策層、技術(shù)管理層、分析設(shè)計(jì)人員、工作執(zhí)行人員等所有相關(guān)人員進(jìn)行培訓(xùn)教育。通過培訓(xùn)，應(yīng)確保每個(gè)人明確各自在信息安全管理中的角色和責(zé)任，認(rèn)識(shí)到信息安全的重要性，提高防患意識(shí)，加強(qiáng)自我保護(hù)能力。對(duì)計(jì)算機(jī)系統(tǒng)管理員和網(wǎng)絡(luò)管理員不僅要求知識(shí)豐富、技術(shù)全面，還應(yīng)該有強(qiáng)烈的責(zé)任心和勇于奉獻(xiàn)的精神。

總之，信息安全管理工作事關(guān)企業(yè)的存亡發(fā)展，應(yīng)該給予高度重視，盡量控制乃至規(guī)避安全風(fēng)險(xiǎn)，確保企業(yè)信息安全。