摘 "要：人類開始信息的通信，信息安全的歷史就開始了，信息安全已經(jīng)歷了通訊安全、計算機(jī)安全、信息安全、信息安全保障四個階段，目前信息安全已進(jìn)入網(wǎng)絡(luò)空間戰(zhàn)階段。隨著Internet技術(shù)的飛速發(fā)展，信息網(wǎng)絡(luò)已逐漸成為經(jīng)濟(jì)繁榮、社會穩(wěn)定和國家發(fā)展的基礎(chǔ)，信息化深刻影響著全球經(jīng)濟(jì)的整合、國家戰(zhàn)略的調(diào)整和安全觀念的轉(zhuǎn)變。美國早從2007年就成立網(wǎng)絡(luò)站司令部，我國2014年2月27日成立了網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組，習(xí)近平總書記擔(dān)任小組長，可見信息安全已上升至國家安全的角度，網(wǎng)絡(luò)安全上升到國家安全戰(zhàn)略，沒有網(wǎng)絡(luò)安全就沒有國家安全，沒有信息化就沒有現(xiàn)代化。

關(guān)鍵詞：信息安全;現(xiàn)狀;防御;企業(yè)

文章編號：1674-3520（2014）-11-00-01

IT技術(shù)的發(fā)展使得人們獲取信息的速度日益加快，這也提供了便利，通過一個U盤（外部設(shè)備隱患）、一個病毒（內(nèi)網(wǎng)WAN的缺失），一分鐘的時間就可以拷貝走上百兆的資料，而這些資料可能價值不菲，因此說一分鐘損失幾千萬，上億元絕對不是危言聳聽。我們的安全建設(shè)在“重防外，輕防內(nèi)”的原則上，則可以安全的保護(hù)公司的技術(shù)文件。但是由于內(nèi)部網(wǎng)絡(luò)監(jiān)控的缺位及網(wǎng)絡(luò)布置的缺失和服務(wù)器年邁老化的問題，有許多漏洞可以被內(nèi)、外人員所利用以截獲資料。對于企業(yè)而言，如何保護(hù)關(guān)鍵的數(shù)據(jù)保密性、完整性，關(guān)鍵業(yè)務(wù)系統(tǒng)的可用性，關(guān)系到企業(yè)的興衰。世界上每分鐘就有2個企業(yè)因?yàn)樾畔踩珕栴}倒閉，而在所有的信息安全事故中，只有20%—30%是因?yàn)楹诳腿肭只蚱渌獠吭蛟斐傻摹?0%—80%是由于內(nèi)部員工的疏忽或有意泄露造成的;同時78%的企業(yè)數(shù)據(jù)泄露是來自內(nèi)部員工的不規(guī)范操作。

能源行業(yè)，特別是石油化工行業(yè)作為國家關(guān)鍵基礎(chǔ)設(shè)施，因其涉及經(jīng)濟(jì)、軍事和政治利益，影響范圍廣等特點(diǎn)，所受信息安全威脅持續(xù)上升。隨著我國能源企業(yè)開始實(shí)行“走出去”戰(zhàn)略，加入國際能源競爭，中國石化、中石油等重點(diǎn)能源企業(yè)成為了西方情報機(jī)構(gòu)關(guān)切重點(diǎn)，我國能源生產(chǎn)和儲備的基礎(chǔ)性數(shù)據(jù)和商業(yè)機(jī)密數(shù)據(jù)泄露風(fēng)險升高。如果信息安全得不到保障，將有可能造成企業(yè)發(fā)展戰(zhàn)略受阻，可能引起社會輿論、帶來負(fù)面影響，可能泄露企業(yè)敏感信息，給企業(yè)帶來不可估量的社會影響和損失。

一、目前企業(yè)面臨的信息安全主要有兩大方面

（一）計算機(jī)技術(shù)方面的問題。一是操作系統(tǒng)存在漏洞。由于計算機(jī)的操作系統(tǒng)總是存在著一定的漏洞和缺陷，從而給木馬、蠕蟲等病毒有可趁之機(jī)。病毒可以通過局域網(wǎng)、網(wǎng)站或者移動存儲設(shè)備等傳播。二是防火墻的局限。防火墻可以限制來自于外部網(wǎng)絡(luò)的訪問，但卻難以防止計算機(jī)網(wǎng)絡(luò)內(nèi)部的攻擊或病毒的侵犯。病毒隨時可以通過移動存儲設(shè)備在局域網(wǎng)中進(jìn)行傳播。隨著黑客技術(shù)的進(jìn)步，有一些專門破解防火墻的病毒不斷涌現(xiàn)，這也是防火墻的局限之處，將給計算機(jī)網(wǎng)絡(luò)帶來一點(diǎn)的安全隱患。

（二）企業(yè)網(wǎng)絡(luò)管理方面的問題。一是網(wǎng)絡(luò)管理制度的不完善。有的企業(yè)雖然建立一套計算機(jī)網(wǎng)絡(luò)系統(tǒng)，但由于對網(wǎng)絡(luò)安全重視不夠，管理制度不完善，漏洞百出。或者，在實(shí)際管理過程中，執(zhí)行不到位，甚至某個環(huán)節(jié)還沒有建立相應(yīng)的管理制度。二是企業(yè)員工安全意識薄弱。企業(yè)員工在使用計算機(jī)時，對計算機(jī)網(wǎng)絡(luò)安全沒什么概念，缺乏安全意識。如有些在上網(wǎng)過程中，不開啟殺毒軟件和關(guān)閉防火墻等，從而導(dǎo)致病毒的入侵;有的在使用移動硬盤拷貝文件時，不注意先殺毒，在無意識中激活了病毒的傳播。

二、企業(yè)計算機(jī)網(wǎng)絡(luò)安全的防范措施

信息安全的成敗取決于兩個因素：技術(shù)和管理。 安全技術(shù)是信息安全的構(gòu)筑材料，安全管理是真正的粘合劑和催化劑 。堅持管理與技術(shù)并重是我國信息安全工作的基本原則，企業(yè)應(yīng)該建立信息安全技術(shù)體系、信息安全管理體系、信息安全工程過程、高素質(zhì)的人員隊(duì)伍。

（一）落實(shí)國家等級保護(hù)的要求。按照《國家等級保護(hù)管理辦法》『2007年』43號文的要求，落實(shí)國家等級保護(hù)管理辦法，根據(jù)《國家等級保護(hù)基本要求》，從物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全、安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理等方面，開展自查和評估，制定安全控制措施，發(fā)現(xiàn)安全隱患及時處理。

（二）部署安全產(chǎn)品加強(qiáng)安全。 部署桌面管理、網(wǎng)絡(luò)準(zhǔn)入、入侵檢測、入侵防御等系統(tǒng)提高企業(yè)對入侵和攻擊的防御能力，對安全事件的感知能力，提高終端的安全性。健全權(quán)限及職能劃分：使用最小權(quán)限原則，控制用戶和管理員只能訪問他們的工作需要的資源。用戶只能訪問他們工作需要訪問的網(wǎng)站，他們只能使用工作需要使用的應(yīng)用程序，而管理員只能進(jìn)行符合他們權(quán)限的配置更改。加強(qiáng)安全身份驗(yàn)證機(jī)制：使用雙因素身份驗(yàn)證，要求用戶使用某種設(shè)備（例如智能卡或者令牌）以及密碼（在2FA空間有時也被稱為PIN）驗(yàn)證，即使密碼被破解了，仍然意義不大，除非攻擊者拿到了設(shè)備本身。

（三）加強(qiáng)路由器策略和防火墻策略。路由器是計算機(jī)網(wǎng)絡(luò)抵御外來攻擊的第一道屏障。通過路由器安全設(shè)置，將外部網(wǎng)絡(luò)與企業(yè)內(nèi)部網(wǎng)絡(luò)隔離，可以抵御很多外網(wǎng)的攻擊。劃分合理的安全區(qū)域;建安全區(qū)可以讓你集中安全力量，來保護(hù)最重要的資產(chǎn)。分配給較低安全區(qū)的不太重要的資產(chǎn)同樣也受到了保護(hù)，但是你花在較低安全區(qū)的時間和精力相對要少得多，因?yàn)樾孤┑某杀颈容^高安全區(qū)的資產(chǎn)的成本要低得多。

（四）對數(shù)據(jù)進(jìn)行加密和備份處理。對數(shù)據(jù)進(jìn)行加密，可以防止數(shù)據(jù)被未授權(quán)的用戶查看和修改，確保數(shù)據(jù)使用的安全性。采用加密技術(shù)，對文件、資料、數(shù)據(jù)進(jìn)行加密存儲和傳輸，可以一定程度上防御來自第三方的網(wǎng)絡(luò)竊聽等安全問題，進(jìn)而確保網(wǎng)絡(luò)信息內(nèi)容的安全。對重要的系統(tǒng)管理數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)定期進(jìn)行備份，存儲介質(zhì)異地存放。

（五）員工良好的安全意識。信息安全對抗歸根結(jié)底是人與人的對抗，保障信息安全不僅需要專業(yè)信息技術(shù)人員，還需要信息系統(tǒng)普通使用者提高安全意識，加強(qiáng)個人防范。對員工定期進(jìn)行安全培訓(xùn)和教育，使員工可以從企業(yè)敏感信息的涉及;銀行賬戶密碼、郵箱密碼、應(yīng)用程序（QQ、網(wǎng)站注冊等）密碼的設(shè)置;手機(jī)等移動終端的使用;網(wǎng)銀、電子商務(wù)的使用;電子郵件，即時通訊軟件的使用;個人電腦的使用等方面提高防范意識。

信息的泄漏很多時侯并不需要高超的技術(shù)手段，往往是由于公司沒有規(guī)定相關(guān)的信息安全規(guī)章制度或人們還沒有較高的信息安全意識。如果組織有比較系統(tǒng)全面的信息安全制度，并在內(nèi)部得到宣貫，90%的信息安全威脅都是可以避免的。所以，我們需要一個完整的、全方位的、系統(tǒng)的、整體規(guī)劃的信息安全管理體系，從預(yù)防控制的角度出發(fā)，保障組織的信息系統(tǒng)與業(yè)務(wù)的安全與正常運(yùn)作。