張濱榮

天津市大港油田信息中心

論企業(yè)信息設(shè)備的安全與防范

張濱榮

天津市大港油田信息中心

隨著信息化建設(shè)步伐的不斷加快，信息系統(tǒng)在我油田各類(lèi)企業(yè)的應(yīng)用日趨廣泛。但從整體情況看，企業(yè)對(duì)于信息系統(tǒng)的應(yīng)用還存在一些安全問(wèn)題，尤其體現(xiàn)在設(shè)備安全防范工作包括服務(wù)器、應(yīng)用系統(tǒng)、用戶(hù)終端等明顯滯后于系統(tǒng)建設(shè)。針對(duì)目前企業(yè)信息系統(tǒng)安全存在的問(wèn)題，作者從系統(tǒng)應(yīng)用安全及設(shè)備物理安全管理提出了相應(yīng)的解決方案。

應(yīng)用系統(tǒng)；物理設(shè)備；運(yùn)行環(huán)境； 漏洞；病毒

一、引言

隨著油田信息化建設(shè)的高速發(fā)展，信息系統(tǒng)的應(yīng)用軟件建設(shè)水平也日趨提高和完善，同時(shí)信息系統(tǒng)的安全問(wèn)題變得日益突出。工業(yè)信息化在為人們帶來(lái)種種物質(zhì)和資源享受的同時(shí)，來(lái)自于網(wǎng)絡(luò)的日益嚴(yán)重的各種威脅接踵而來(lái)，包括數(shù)據(jù)庫(kù)威脅、系統(tǒng)應(yīng)用威脅，諸如數(shù)據(jù)竊取、網(wǎng)絡(luò)黑客、病毒木馬等等。本文將通過(guò)對(duì)企業(yè)信息設(shè)備幾類(lèi)典型的安全問(wèn)題進(jìn)行分析，并提出具體的防范策略。

二、企業(yè)信息設(shè)備系統(tǒng)存在的問(wèn)題

1、信息系統(tǒng)安全存在的技術(shù)問(wèn)題

(1)正版的軟件匱乏問(wèn)題。目前油田生產(chǎn)運(yùn)行中隨著自建應(yīng)用系統(tǒng)發(fā)展迅速，因?yàn)橘?gòu)買(mǎi)的正版軟件用戶(hù)數(shù)量限制問(wèn)題，大部分使用與開(kāi)發(fā)者，在信息系統(tǒng)均架設(shè)中存在重復(fù)利用翻版的操作系統(tǒng)資源問(wèn)題，這一現(xiàn)象較為普遍，尤其在經(jīng)費(fèi)相對(duì)緊張的中小型企業(yè)中，這種現(xiàn)象更為廣泛。網(wǎng)絡(luò)安全、應(yīng)用系統(tǒng)安全令人堪憂(yōu)。

(2)操作系統(tǒng)和信息系統(tǒng)的安全漏洞問(wèn)題。網(wǎng)絡(luò)黑客日益張狂，造成眾多的操作系統(tǒng)、應(yīng)用系統(tǒng)、用戶(hù)終端存在大量的安全漏洞，這就對(duì)安全管理工作帶來(lái)的一定難度，不僅要求管理員不停的去查殺、修補(bǔ)漏洞，還要在確保應(yīng)用系統(tǒng)安全的常態(tài)化下，時(shí)刻升級(jí)系統(tǒng)補(bǔ)丁。同時(shí)還要加固防火墻等安全規(guī)則、策略，但是仍然存在很大的風(fēng)險(xiǎn)。

(3)被病毒感染的風(fēng)險(xiǎn)問(wèn)題。病毒可以借助文件、拷貝、網(wǎng)頁(yè)、下載軟件等諸多方式在網(wǎng)絡(luò)中進(jìn)行傳播和蔓延，對(duì)處于網(wǎng)絡(luò)正在運(yùn)營(yíng)中的信息系統(tǒng)構(gòu)成嚴(yán)重威脅。同時(shí)很多病毒具有木馬、后門(mén)和自動(dòng)運(yùn)行功能，常常潛入各類(lèi)系統(tǒng)的核心中，若處于網(wǎng)絡(luò)中的一臺(tái)服務(wù)器系統(tǒng)遭受病毒感染，很可能會(huì)利用被控制的服務(wù)器為平臺(tái)，破壞企業(yè)網(wǎng)數(shù)據(jù)信息，影響整個(gè)網(wǎng)絡(luò)，造成網(wǎng)絡(luò)擁塞、癱瘓，甚至毀損物理設(shè)施。

(4)涉密信息在網(wǎng)絡(luò)中傳輸?shù)陌踩煽啃缘偷膯?wèn)題。日常工作中，很多涉密信息需要存儲(chǔ)在網(wǎng)絡(luò)介質(zhì)上，比如服務(wù)器硬盤(pán)、移動(dòng)硬盤(pán)等介質(zhì)。傳輸中很多是不加密的傳輸，這樣很容易被搜集而造成泄密，發(fā)生泄密事件。

(5)網(wǎng)絡(luò)攻擊的潛在威脅問(wèn)題。企業(yè)信息設(shè)備系統(tǒng)大都屬于生產(chǎn)運(yùn)營(yíng)，數(shù)據(jù)傳輸依賴(lài)于網(wǎng)絡(luò)，面對(duì)網(wǎng)絡(luò)偵聽(tīng)與病毒，假如未進(jìn)行詳細(xì)全面的安全策略和復(fù)雜的密鑰，信息系統(tǒng)很容易遭受到入侵。例如：非法用戶(hù)破譯系統(tǒng)口令，冒用合法用戶(hù)的口令以管理員合法身份登錄系統(tǒng)，查看并竊取機(jī)密信息，破壞應(yīng)用系統(tǒng)的運(yùn)行，甚至修改硬盤(pán)數(shù)據(jù)種下木馬等威脅。

2、信息系統(tǒng)設(shè)備安全存在的管理問(wèn)題

在企業(yè)信息設(shè)備系統(tǒng)的建設(shè)過(guò)程中，研發(fā)人員對(duì)于應(yīng)用系統(tǒng)建設(shè)與開(kāi)發(fā)、基礎(chǔ)設(shè)施的建設(shè)上相對(duì)關(guān)注度較高，從主觀意識(shí)上對(duì)系統(tǒng)安全的加固工作缺乏認(rèn)識(shí)，與信息安全管理部門(mén)在業(yè)務(wù)流程上產(chǎn)生脫節(jié)。

雖然一些企業(yè)在網(wǎng)絡(luò)信息安全管理方面有所關(guān)注，但由于工作流程不順暢、管理與技術(shù)上還不能很好融合，管理技術(shù)專(zhuān)業(yè)。系統(tǒng)運(yùn)行管理存在缺陷，例如：企業(yè)信息安全管理人才匾乏，導(dǎo)致整個(gè)信息系統(tǒng)一旦發(fā)生故障，在迅速反應(yīng)、快速行動(dòng)和預(yù)防防范等主要方面，缺少全面高效的應(yīng)對(duì)能力。

三、防范對(duì)策

俗話(huà)說(shuō)，三分技術(shù)，七分管理。解決企業(yè)信息系統(tǒng)、網(wǎng)絡(luò)設(shè)備的安全問(wèn)題，關(guān)鍵是要建立和完善企業(yè)信息系統(tǒng)的安全防護(hù)體系，在管理層面上加大管理與監(jiān)督機(jī)制，制定和落實(shí)一系列合規(guī)、合法的嚴(yán)格的網(wǎng)絡(luò)安全管理制度，加強(qiáng)人員的管理和培訓(xùn)機(jī)制，加強(qiáng)管理監(jiān)督機(jī)制與實(shí)施開(kāi)展案例分析。

1、網(wǎng)絡(luò)安全技術(shù)對(duì)策

(1)采用安全性較高的操作系統(tǒng)并進(jìn)行系統(tǒng)漏洞修補(bǔ)。在技術(shù)層面上建立完整的網(wǎng)絡(luò)安全解決方案，信息設(shè)備安裝必須監(jiān)管購(gòu)買(mǎi)正版的操作系統(tǒng)，提供安全的開(kāi)發(fā)平臺(tái)。及時(shí)更新信息系統(tǒng)、服務(wù)器最新發(fā)現(xiàn)的漏洞，減少系統(tǒng)威脅。

(2)加強(qiáng)WEB系統(tǒng)的程序漏洞掃描。每一個(gè)信息系統(tǒng)的搭建，都基于一種程序語(yǔ)言，而在利用這些程序語(yǔ)言對(duì)某個(gè)信息系統(tǒng)的編輯設(shè)計(jì)中，或多或少的存在BUG，及時(shí)發(fā)現(xiàn)WEB層面漏洞，減少因程序漏洞造成的威脅。

(3)安裝防病毒軟件和防火墻。在系統(tǒng)設(shè)備主機(jī)上安裝防病毒軟件，安裝系統(tǒng)防火墻，它可以幫助企業(yè)內(nèi)部網(wǎng)系統(tǒng)進(jìn)行有效的網(wǎng)絡(luò)安全隔離，通過(guò)安全過(guò)濾規(guī)則嚴(yán)格控制外網(wǎng)用戶(hù)非法訪問(wèn)內(nèi)網(wǎng)，保護(hù)內(nèi)部信息安全。更重要的是，防火墻不但將大量的惡意攻擊直接阻擋在外面，同時(shí)也屏蔽來(lái)自網(wǎng)絡(luò)內(nèi)部的不良行為。

(4)使用內(nèi)部網(wǎng)傳輸和IP限制技術(shù)。對(duì)于企業(yè)的涉密信息，要求網(wǎng)絡(luò)有足夠的私密性，為了保障信息安全，不能把相關(guān)系統(tǒng)直接接入到互聯(lián)網(wǎng)當(dāng)中，這需要我們?cè)O(shè)計(jì)并搭建足夠安全的內(nèi)部網(wǎng)絡(luò)體系，使這些系統(tǒng)的應(yīng)用有且僅有內(nèi)部網(wǎng)絡(luò)可以授權(quán)訪問(wèn)；此外對(duì)于一些要求開(kāi)通公網(wǎng)訪問(wèn)的系統(tǒng)，為了提高系統(tǒng)安全，可開(kāi)通IP授權(quán)訪問(wèn)機(jī)制，進(jìn)行IP訪問(wèn)限制，不允許非授權(quán)IP用戶(hù)進(jìn)行系統(tǒng)訪問(wèn)。

(5)進(jìn)行系統(tǒng)安全策略設(shè)置。

2、網(wǎng)絡(luò)安全管理對(duì)策

(1)強(qiáng)化思想教育是網(wǎng)絡(luò)安全管理工作的基礎(chǔ)。搞好企業(yè)信息設(shè)備安全管理工作，首要的是做好人的工作。我們須加強(qiáng)全員信息安全素質(zhì)教育，通過(guò)舉辦信息安全技術(shù)培訓(xùn)，增強(qiáng)員工信息安全意識(shí)，增長(zhǎng)系統(tǒng)安全保護(hù)知識(shí)，提高員工個(gè)人PC泄密風(fēng)險(xiǎn)。

(2)制定嚴(yán)格的信息安全管理制度。1.設(shè)立專(zhuān)門(mén)的信息安全監(jiān)管理部門(mén)，負(fù)責(zé)制定企業(yè)信息系統(tǒng)安全防范措施，包括方針、政策、策略等，并協(xié)調(diào)、監(jiān)督、檢查各信息系統(tǒng)使用單位安全措施的具體實(shí)施；2.設(shè)立管理員分級(jí)權(quán)限機(jī)制，包括信息管理員、信息保密員和系統(tǒng)管理員等都要有明確的管理權(quán)限劃分，并簽訂管理責(zé)任狀，設(shè)立管理帳號(hào)，未被授權(quán)不允許進(jìn)行系統(tǒng)操作。3.應(yīng)有具體的負(fù)責(zé)人負(fù)責(zé)整個(gè)網(wǎng)絡(luò)信息系統(tǒng)的安全管理；最后各單位根據(jù)自身的特點(diǎn)制定系列的規(guī)章制度。

(3)重視信息系統(tǒng)安全人才的培養(yǎng)。加強(qiáng)企業(yè)信息設(shè)備、系統(tǒng)安全知識(shí)的普及與培訓(xùn)，通過(guò)對(duì)不同層面的系統(tǒng)信息安全管理人員進(jìn)行深層次安全培訓(xùn)，使各個(gè)系統(tǒng)在用人員能夠通過(guò)熟練的安全設(shè)置與防范，對(duì)企業(yè)信息系統(tǒng)進(jìn)行有效的管理，保證信息系統(tǒng)的安全性。