吳霞（中石油遼河油田分公司特種油公司，遼寧 盤錦 124010）

淺談企業(yè)辦公中的信息安全

吳霞（中石油遼河油田分公司特種油公司，遼寧 盤錦 124010）

信息安全是指信息網(wǎng)絡(luò)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠地正常運(yùn)行，信息服務(wù)不中斷，保證信息的保密性、真實(shí)性、完整性、未授權(quán)拷貝和所寄生系統(tǒng)的安全性。企業(yè)辦公中的信息安全是企業(yè)現(xiàn)代化辦公的關(guān)鍵，一旦疏忽很容易帶來(lái)一系列負(fù)面影響。本文就企業(yè)辦公中的信息安全做一簡(jiǎn)要探討。

信息安全；威脅；策略；企業(yè)辦公

信息作為一種企業(yè)的資源，具有普遍性、共享性、增值性、可處理性和多效用性，對(duì)于企業(yè)的生產(chǎn)運(yùn)行具有特別重要的意義。中國(guó)石油遼河油田公司的發(fā)展運(yùn)行至今，帶來(lái)了各方面信息量的急劇增加，并要求大容量、高效率地傳輸這些信息。

1 企業(yè)辦公中的信息安全威脅

企業(yè)辦公的信息系統(tǒng)是基于公司防火墻、服務(wù)器、訪問(wèn)web、郵件、公司內(nèi)部網(wǎng)絡(luò)、辦公pc機(jī)、數(shù)據(jù)庫(kù)、互聯(lián)網(wǎng)技術(shù)及相應(yīng)的輔助硬件設(shè)備組成的，是一個(gè)綜合管理系統(tǒng)。從安全形勢(shì)來(lái)看，企業(yè)辦公的信息系統(tǒng)存在著嚴(yán)重的威脅。信息設(shè)備提供了便捷及資源共享，但同時(shí)在安全方面又是脆弱和復(fù)雜的，對(duì)數(shù)據(jù)安全和保密構(gòu)成威脅。潛在的安全威脅主要有以下方面：信息泄露：信息被泄露或透露給某個(gè)非授權(quán)的實(shí)體；破壞信息的完整性：數(shù)據(jù)未經(jīng)非授權(quán)被增刪、修改或破壞而受到損失；拒絕服務(wù)：對(duì)信息或其他資源的合法訪問(wèn)被無(wú)條件地阻止；非授權(quán)訪問(wèn)：某一資源被某個(gè)非授權(quán)的人，或以非授權(quán)的方式使用；竊聽：用各種可能的合法或非法的手段竊取系統(tǒng)中的信息資源和敏感信息；業(yè)務(wù)流分析：通過(guò)對(duì)系統(tǒng)進(jìn)行長(zhǎng)期監(jiān)聽，利用統(tǒng)計(jì)分析方法對(duì)某些參數(shù)進(jìn)行研究，從中發(fā)現(xiàn)有價(jià)值的信息和規(guī)律；假冒：通過(guò)欺騙通信系統(tǒng)（或用戶）達(dá)到非法用戶冒充成為合法用戶，或者特權(quán)小的用戶冒充成為特權(quán)大的用戶的目的。黑客大多是采用假冒攻擊；旁路控制：攻擊者利用系統(tǒng)的安全缺陷或安全性上的脆弱獲得非授權(quán)的權(quán)利；授權(quán)侵犯：被授權(quán)以某一目的使用某一系統(tǒng)或資源的某個(gè)人，卻將此權(quán)限用于其他非授權(quán)的目的，也稱作“內(nèi)部攻擊”；特洛伊木馬：軟件中含有一個(gè)覺察不出的有害的程序段，當(dāng)其被執(zhí)行時(shí)，會(huì)破壞用戶的安全；陷阱門：在某個(gè)系統(tǒng)或某個(gè)部件中設(shè)置的“機(jī)關(guān)”，使得在特定的數(shù)據(jù)輸入時(shí)，允許違反安全策略；抵賴：這是一種來(lái)自用戶的攻擊，如否認(rèn)自己曾經(jīng)發(fā)布過(guò)的某條消息、偽造一份對(duì)方來(lái)信等；重放：出于非法目的，將所截獲的某次合法的通信數(shù)據(jù)進(jìn)行拷貝，而重新發(fā)送；計(jì)算機(jī)病毒：一種在計(jì)算機(jī)系統(tǒng)運(yùn)行過(guò)程中能夠?qū)崿F(xiàn)傳染和侵害功能的程序；人員不慎：一個(gè)授權(quán)的人為了某種利益，或由于粗心，將信息泄露給一個(gè)非授權(quán)的人；媒體廢棄：信息被從廢棄的磁碟或打印過(guò)的存儲(chǔ)介質(zhì)中獲得；物理侵入：侵入者繞過(guò)物理控制而獲得對(duì)系統(tǒng)的訪問(wèn)；竊?。褐匾陌踩锲?，如令牌或身份卡被盜；業(yè)務(wù)欺騙：某一偽系統(tǒng)或系統(tǒng)部件欺騙合法的用戶或系統(tǒng)自愿地放棄敏感信息等。

2 企業(yè)辦公中的信息安全策略

2.1 保護(hù)網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全是為保護(hù)企業(yè)內(nèi)部各方網(wǎng)絡(luò)端系統(tǒng)之間通信過(guò)程的安全性。保證機(jī)密性、完整性、認(rèn)證性和訪問(wèn)控制性是網(wǎng)絡(luò)安全的重要因素。保護(hù)網(wǎng)絡(luò)安全的主要措施如下：全面規(guī)劃網(wǎng)絡(luò)平臺(tái)的安全策略；制訂網(wǎng)絡(luò)安全的管理措施；使用防火墻；盡可能記錄網(wǎng)絡(luò)上的一切活動(dòng)；注意對(duì)網(wǎng)絡(luò)設(shè)備的物理保護(hù)；檢驗(yàn)網(wǎng)絡(luò)平臺(tái)系統(tǒng)的脆弱性；建立可靠的鑒別機(jī)制。

2.2 保護(hù)應(yīng)用安全

保護(hù)應(yīng)用安全，主要是針對(duì)特定應(yīng)用（如Web服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、ftp服務(wù)器等）所建立的安全防護(hù)措施，這種安全防護(hù)措施獨(dú)立于網(wǎng)絡(luò)的任何其他安全防護(hù)措施。雖然有些防護(hù)措施可能是網(wǎng)絡(luò)安全業(yè)務(wù)的一種替代或重疊，如Web瀏覽器和Web服務(wù)器在應(yīng)用層上對(duì)網(wǎng)絡(luò)支付結(jié)算信息包的加密，都通過(guò)IP層加密，但是許多應(yīng)用還有自己的特定安全要求。由于應(yīng)用層對(duì)安全的要求最嚴(yán)格、最復(fù)雜，因此更傾向于在應(yīng)用層而不是在網(wǎng)絡(luò)層采取各種安全措施。雖然網(wǎng)絡(luò)層上的安全仍有其特定地位，但是人們不能完全依靠它來(lái)解決企業(yè)信息系統(tǒng)的安全性。應(yīng)用層上的安全業(yè)務(wù)可以涉及認(rèn)證、訪問(wèn)控制、機(jī)密性、數(shù)據(jù)完整性、不可否認(rèn)性、Web安全性、EDI和網(wǎng)絡(luò)支付等應(yīng)用的安全性。

2.3 保護(hù)系統(tǒng)安全

保護(hù)系統(tǒng)安全，是指從整體信息系統(tǒng)的角度進(jìn)行安全防護(hù)，與網(wǎng)絡(luò)系統(tǒng)硬件平臺(tái)、操作系統(tǒng)、各種應(yīng)用軟件等互相關(guān)聯(lián)，其安全策略包含下述一些措施：①在安裝的軟件中，檢查和確認(rèn)未知的安全漏洞；②技術(shù)與管理相結(jié)合，使系統(tǒng)具有最小穿透風(fēng)險(xiǎn)性。③建立詳細(xì)的安全審計(jì)日志，以便檢測(cè)并跟蹤入侵攻擊等。

2.4 加強(qiáng)員工的信息安全培訓(xùn)

企業(yè)辦公中，員工在上班時(shí)經(jīng)常進(jìn)行一些與工作無(wú)關(guān)的計(jì)算機(jī)操作，不僅影響網(wǎng)絡(luò)速度，更影響系統(tǒng)安全。因此，在整個(gè)企業(yè)辦公中的信息系統(tǒng)管理中，人為因素最重要，必須加強(qiáng)對(duì)計(jì)算機(jī)使用者的安全培訓(xùn)。

[1]張千里，陳光英.網(wǎng)絡(luò)安全新技術(shù)[M].北京：人民郵電出版社,2003:76-83.

[2]董玉格等.網(wǎng)絡(luò)攻擊與防護(hù)-網(wǎng)絡(luò)安全與實(shí)用防護(hù)技術(shù)[M].北京：人民郵電出版社,2002:112-130.