遼寧對外經貿學院 徐 暢
旅游企業(yè)信息化建設進程中信息安全問題及對策研究
遼寧對外經貿學院 徐 暢
在旅游企業(yè)不斷進行信息化建設的過程中,信息安全問題越來越重要了。文中針對旅游企業(yè)信息化建設進程中頻繁出現(xiàn)的內部和外部的信息安全問題進行了分析,并針對這些問題,為旅游企業(yè)信息化建設的健康發(fā)展提供了關于技術、管理方面的對策。
旅游企業(yè);信息化;信息安全;問題;對策
在現(xiàn)今飛速發(fā)展的信息時代,信息技術的快速進步和廣泛應用為旅游企業(yè)帶來了良好的發(fā)展前景,旅游企業(yè)信息化是順應時代發(fā)展的潮流,更是旅游企業(yè)自身不斷發(fā)展與完善的有效途徑。但信息化發(fā)展的同時,也存在著信息安全問題。本文針對旅游企業(yè)信息化面臨的電子郵件、計算機病毒、外來存儲設備這三種外部威脅,以及信息化軟件問題、技術人才缺乏、安全管理不規(guī)范這三種內部隱患,從技術和管理方面總結出幾點對策。并重點對電子郵件安全問題及防范對策進行分析、研究。
旅游企業(yè)信息化是指在生產、經營、管理旅游產品的過程中,旅游企業(yè)通過運用最先進的互聯(lián)網、計算機、通信等信息化產品和技術,整合旅游企業(yè)內外部信息資源并加以利用,從而提高企業(yè)的生產、管理和經營水平,進而增強企業(yè)市場競爭力的整個過程①。目前,我國的旅游業(yè)已經進入到一個新的發(fā)展階段,對于旅游信息產業(yè)來說,是一次難得的發(fā)展機遇。旅游企業(yè)信息化也是大勢所趨,在這種情況下,企業(yè)更應該注重信息化過程中的信息安全問題,不能讓這個問題成為企業(yè)的軟肋。
2.1外部威脅
2.1.1電子郵件
在旅游企業(yè)信息化這個背景之下,將傳統(tǒng)的溝通方式轉變?yōu)樾畔⒒臏贤ㄊ锹糜纹髽I(yè)信息化建設的一部分。電子郵件則在這個信息化的溝通過程中扮演著重要角色,然而,電子郵件的安全問題也日益突出,令人防不勝防,例如,電子郵件炸彈、垃圾郵件、電子郵件病毒等②。
第一種郵件問題是電子郵件炸彈,當收到電子郵件炸彈就意味著郵件服務器或企業(yè)人員在短時間內收到了數(shù)量極多的無用郵件,并且大多數(shù)郵件是從一個虛設的地址發(fā)出的,會大規(guī)模的占用系統(tǒng)資源和可用空間。而電子郵件炸彈中含有的大量的信息在網絡里來回的傳輸,會使得傳輸信道變得異常堵塞,加重服務器的工作強度,造成接收端郵件服務器堵塞,嚴重時甚至可能會造成網絡癱瘓,也正是電子郵件炸彈這類攻擊會使得電子郵件系統(tǒng)不能正常使用。同時,郵箱空間是有限的,當企業(yè)人員短時間內收到成千上萬封的無用郵件時,郵箱空間極容易填滿,那么真正有用的新郵件將會丟失或者退回,旅游企業(yè)的工作人員無法及時與內外部人員聯(lián)系,進而影響到旅游企業(yè)與內外部的溝通。
第二種郵件問題是垃圾郵件,垃圾郵件近年來呈大幅度增長的模式,一些不法分子會將大量的垃圾郵件發(fā)送到企業(yè)的郵箱里。而垃圾郵件也會占用互聯(lián)網的帶寬、郵件服務器的容量,使得CPU的性能在一點點的下降,最終致使旅游企業(yè)中的計算機提前老化、更換,不利于企業(yè)的信息化建設的綠色發(fā)展。之所以稱有些電子郵件為垃圾郵件,是因為這類郵件中的內容大多是反和平、反社會、黃色暴力等反動內容,會給社會造成一定影響,當旅游企業(yè)收件人員不慎點開這類郵件時,也會給這些勤懇工作的員工們的心里造成一些負面影響,影響員工的情緒。
第三種郵件問題是電子郵件病毒,例如著名的尼姆達病毒就是通過郵件、網頁瀏覽等方式傳播,它是一種傳播性非常強的惡意病毒。對于個人用戶的PC機而言,它可以通過郵件、網上即時通訊工具和PTF程序同時進行感染。對于服務器而言,它利用微軟服務器程序的漏洞進行傳播。由于尼姆達病毒在自身傳染的過程中占用大量網絡帶寬和計算機內部資源,因此旅游企業(yè)的網絡會受到很大影響,甚至是癱瘓。而且很多病毒是集病毒、蠕蟲、木馬于一體,會隨著收件人瀏覽郵件的過程中開始自動執(zhí)行,可能會修改、竊取系統(tǒng)密碼,泄漏機密文件等。甚至可能會在系統(tǒng)中安裝后門程序,使系統(tǒng)被黑客控制。
2.1.2計算機病毒
旅游企業(yè)信息化就意味著計算機的廣泛使用,這也會給不法分子可乘之機。病毒帶來的危害對企業(yè)造成了一定威脅,輕則會導致計算機用戶出現(xiàn)死機的狀況,重則會損壞硬盤及網絡程序,擾亂網絡的正常運行③。計算機病毒會盜取個人信息、機密文件、重要密碼等。若企業(yè)被計算機病毒干擾,將會給企業(yè)造成無法預計的損失,這對企業(yè)來說無疑是一大嚴重威脅。
2.1.3外來存儲設備
在企業(yè)中,外來存儲設備的使用是極其頻繁的,例如,移動優(yōu)盤、光盤和軟盤、打印機、掃描儀等可移動設備。然而,這些設備都存在著對企業(yè)計算機中的重要信息進行拷貝、刪除、甚至是盜取的可能性。如果旅游企業(yè)的內部信息資料或是重要決策被泄露出去,會給企業(yè)造成嚴重的損失,影響企業(yè)形象,亦會給競爭對手創(chuàng)造一個反擊的機會。
2.2內部隱患
2.2.1信息化軟件問題
在國內,適用于旅游企業(yè)信息化建設的軟件不論從數(shù)量或者質量上來說,都存在著一定的不足之處,特別是與國外的先進軟件相比,確實是有很大的差距④。這也使得企業(yè)容易遭受病毒與黑客的侵擾,需要聘請專業(yè)人員來進行維護,花費大量時間、人力、財力,如此一來可能會形成惡性循環(huán),阻礙旅游企業(yè)信息化建設的健康快速發(fā)展。
2.2.2技術人才缺乏
在傳統(tǒng)的旅游營銷方式影響下,旅游企業(yè)的高層領導并沒有對企業(yè)信息化中的信息安全問題有更深層次的認識,缺乏對專門人才的培養(yǎng)和挖掘,導致旅游企業(yè)沒有專門的技術管理人員。當旅游企業(yè)有信息安全突發(fā)狀況時,沒有專業(yè)技術人員進行處理,會影響企業(yè)的運行效率,給企業(yè)造成直接的經濟損失。
2.2.3安全管理不規(guī)范
旅游企業(yè)信息化建設的基本要求就是信息安全管理,但是部分企業(yè)領導的思想依舊停留于傳統(tǒng)的經營模式,對信息安全問題的認識不足。沒有建立有效的信息安全問題防范機制,使得信息化建設的過程中出現(xiàn)不同程度的安全問題,為不法人員入侵企業(yè)的信息系統(tǒng)提供了機會。
3.1技術方面
3.1.1安裝安全防護軟件
關于電子郵件方面的防范:
第一,針對電子郵件炸彈和垃圾郵件的防范,可將二者歸為一類進行研究,因為二者都是通過巨量發(fā)送的方式占用接收者和郵件服務器的帶寬,從而使郵件服務器不堪重負造成癱瘓。防范這類郵件攻擊的最基本措施就是設置郵件過濾器,例如E-mail notify,能夠在接收郵件之前檢查發(fā)件人的資料,若有可疑之處,則可在郵件進入收件人的郵箱之前將其刪除。另外也可以安裝專用工具來進行防范,例如砍信機。當收件人的郵箱被“攻占”,則可使用這類專門的工具來清除郵件。
可以采取反垃圾郵件技術進行防范,這項技術主要可以分為四大類——驗證查詢技術、過濾技術、挑戰(zhàn)技術、密碼技術。而驗證查詢技術中的DKIM技術是一種比較常見的技術。DKIM(Domain-Keys Identified Mail)技術是基于雅虎的DomainKeys驗證技術和思科的Internet Identified Mail。雅虎的DomainKeys利用公共密鑰密碼術驗證電子郵件發(fā)件人。它會發(fā)送一個系統(tǒng)生成的簽名,并將簽名插入到電子郵件標題中,而接收系統(tǒng)利用DNS發(fā)布的一個公共密鑰來驗證這個簽名。思科的驗證技術也是利用密碼算法,但它是將簽名和電子郵件消息本身關聯(lián)在一起。發(fā)送服務器為電子郵件消息簽名,并將一個新的標題插入到簽名和用于生成簽名的公共密鑰中。而接收系統(tǒng)驗證這個為電子郵件消息簽名的公共密鑰,同時公共密鑰是授權給發(fā)件地址使用。
DKIM技術是把這兩個驗證技術結合起來,它用和DomainKeys相同的方式,用DNS發(fā)布的公共密鑰驗證簽名,也利用思科的標題簽名技術確保一致性。DKIM給郵件提供一種能同時驗證每個域郵件發(fā)送者和消息完整性的機制。一旦域被驗證,就用來和郵件中的發(fā)送者地址作比較,來辨別真?zhèn)?。倘若是偽造的,就可能是spam或者是欺騙郵件,可以被丟棄;倘若是真的,并且域是已知的,則可為其建立良好的聲譽,并綁定到反垃圾郵件策略系統(tǒng)中,也可以在服務提供商之間共享,甚至是直接提供給用戶。
第二,針對電子郵件病毒的防范。最基本的對策就是打開防火墻和郵件實時監(jiān)控功能。另外可以選擇安裝可靠的防護軟件,及時下載相關防護軟件的補丁,定期升級病毒庫。比如說安裝特定的SMTP殺毒軟件,它能將從Internet上下載的已被感染的郵件到達本地郵件服務器之前攔截住,保持本地網絡的干凈。
而選擇一款強大專業(yè)的防火墻是防范郵件病毒的有效方法。Barracuda反垃圾郵件網關及病毒郵件防火墻是一款專業(yè)過濾病毒郵件和垃圾郵件的防火墻,它邏輯上部署在郵件服務器的前端,對經過的郵件進行12層過濾,幫助郵件系統(tǒng)抵抗最新的病毒郵件、垃圾郵件等各類郵件威脅。將過濾后的正常郵件發(fā)送給郵件服務器,使得用戶免遭病毒郵件和垃圾郵件的困擾。
關于計算機病毒的防范,企業(yè)在安裝防護軟件時,不應該一味的只考慮節(jié)約成本價格,而忽略了軟件的安全等級。一定要選擇多種類的、安全系數(shù)大的防護軟件,預防企業(yè)信息化建設過程中可能出現(xiàn)的安全問題,也為了不免給企業(yè)造成更大的經濟損失。
3.1.2進行權限控制
要增強對訪問控制的監(jiān)管力度。訪問控制是保證內、外用戶對系統(tǒng)資源的訪問,防止非授權用戶進入系統(tǒng),實現(xiàn)對授權用戶的存取權限控制⑤。盡量避免內部人員對賬戶進行違規(guī)操作,限制指定用戶登錄,涉及到企業(yè)的機密文件必須要進行嚴格的保護,并且僅能對指定用戶開放,這樣可以有效的防止外部人員竊取或者篡改信息。同時要對各部門的網絡權限進行限制,有效的將部門網絡、員工網絡、財務網絡進行分隔,可以提高網絡系統(tǒng)的穩(wěn)定性與安全性。
3.2管理方面
3.2.1加強安全管理
任何防護軟件都不是完美無缺的,都可能會遭到攻擊和破壞。所以,信息安全防護并不能僅僅依賴技術,安裝防護軟件是起輔助作用。要建立健全信息安全管理制度和安全風險評估機制,對企業(yè)信息系統(tǒng)中存在的安全風險進行正確的評估,找出影響其安全運行的漏洞,制定出最佳解決對策。為旅游企業(yè)信息化的建設提供更安全的保證。
3.2.2注重人才培養(yǎng)
要加強對旅游信息專業(yè)人才的多方面素質培養(yǎng)。旅游信息化,就意味著注重計算機網絡技術、現(xiàn)代通訊技術等技術手段,與此同時也要注重信息安全問題。對該方面的人才培養(yǎng)不僅要強調計算機方面的技術養(yǎng)成,而且更要加強對于信息安全問題的學習,來滿足我國旅游企業(yè)信息化對人才的需求。
3.2.3樹立正確的安全意識
旅游企業(yè)信息化建設過程中,必須要樹立正確的信息安全意識,要從旅游企業(yè)的高層開始,自上而下,使得整個企業(yè)人員都具有信息安全意識。倘若企業(yè)中的機密信息泄露,會給企業(yè)造成巨大的經濟損失、形象損失,更會給企業(yè)競爭對手創(chuàng)造了有利的發(fā)展條件。因此,要將信息安全防范工作放在旅游企業(yè)信息化建設進程中的核心位置,加強對其研究,采取積極有效的防范措施。
在這個注重信息化的時代中,旅游業(yè)又進入到一個新的發(fā)展階段,因此旅游企業(yè)信息化建設是大勢所趨。但是旅游企業(yè)在信息化建設中應該著重注意信息安全問題,選擇安全性能高的防護軟件、進行權限控制、加強安全管理、注重專業(yè)人才培養(yǎng)、樹立正確的安全意識。在信息化建設中,旅游企業(yè)應該全面深刻地考慮可能會對信息系統(tǒng)安全有所影響的因素,來確保旅游企業(yè)信息化建設健康發(fā)展。
[1]王中雨.淺談旅游企業(yè)信息化建設[J].軟件工程師,2012,12:29-31.
[2]吳捷.企業(yè)信息化建設中信息安全問題的研究[J].通訊世界,2016,01:247-248.
[3]邢娜.計算機病毒的安全防御策略[J].電子測試,2015,02:134-135+114.
[4]馬良.企業(yè)信息化建設中的信息安全問題[J].才智,2014,01:313.
[5]李孟琦.企業(yè)信息化建設中信息安全問題及對策[J].中國新通信,2016,16:52-53.