關(guān)于供水企業(yè)信息安全問題的研究

摘要：目前，供水企業(yè)面臨著很多信息安全問題。企業(yè)受到來自內(nèi)部和外部的雙重威脅。外部因素主要包括計(jì)算機(jī)病毒的傳播和黑客的攻擊；內(nèi)部風(fēng)險(xiǎn)主要源于企業(yè)信息安全管理問題。保障供水企業(yè)信息安全需從技術(shù)和員工信息安全管理兩大方面著手。

關(guān)鍵詞：供水企業(yè)?信息安全?安全管理

中圖分類號(hào)：F29 文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1672-3791(2012)02(c)-0000-00

1 前言

當(dāng)前，隨著網(wǎng)絡(luò)和信息化建設(shè)的不斷發(fā)展，企業(yè)對(duì)信息網(wǎng)絡(luò)的依賴越來越強(qiáng)，供水企業(yè)也不例外。供水企業(yè)信息安全問題關(guān)系到供水系統(tǒng)的穩(wěn)定和安全運(yùn)行。目前，供水企業(yè)的信息安全風(fēng)險(xiǎn)主要來自于兩個(gè)方面，即內(nèi)部和外部的因素。內(nèi)部威脅主要為企業(yè)信息安全管理問題；外部因素主要包括因病毒、黑客、惡意軟件等造成的數(shù)據(jù)丟失，系統(tǒng)運(yùn)行失常等問題。本文圍繞著這兩個(gè)方面的因素，就供水企業(yè)的信息安全問題進(jìn)行探討。

2 供水企業(yè)面臨的信息安全威脅

2.1 計(jì)算機(jī)病毒的傳播

計(jì)算機(jī)病毒的傳播是帶來企業(yè)信息安全風(fēng)險(xiǎn)的因素之一。自上世紀(jì)九十年代以來，計(jì)算機(jī)病毒以迅猛的增長(zhǎng)速度危害著個(gè)人用戶和企業(yè)用戶，給企業(yè)和個(gè)人造成了嚴(yán)重的經(jīng)濟(jì)損失。目前，隨著智能手機(jī)的普及，一種新型的病毒，即手機(jī)病毒也開始威脅到企業(yè)的信息安全。

2.2 企業(yè)內(nèi)部網(wǎng)絡(luò)受到黑客攻擊

黑客對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)的攻擊是帶來企業(yè)信息安全風(fēng)險(xiǎn)的因素之二。由于Internet具有自由行和廣泛性，而供水企業(yè)一般又建立了企業(yè)內(nèi)部網(wǎng)絡(luò)。當(dāng)企業(yè)內(nèi)部網(wǎng)絡(luò)與Internet發(fā)生間接或直接關(guān)聯(lián)的時(shí)候，企業(yè)內(nèi)部網(wǎng)絡(luò)就有可能成為黑客攻擊的目標(biāo)，從而泄露或丟失一些重要的企業(yè)信息，或使企業(yè)內(nèi)部網(wǎng)絡(luò)處于失?；虬c瘓的狀態(tài)。

2.3 企業(yè)安全管理的不足

企業(yè)的信息系統(tǒng)不夠健全，企業(yè)員工的安全意識(shí)薄弱，這也是造成企業(yè)信息安全威脅的因素。在信息機(jī)構(gòu)設(shè)置方面，供水企業(yè)缺乏規(guī)范的機(jī)構(gòu)體制，相關(guān)的專業(yè)技術(shù)人員偏少。同時(shí)，很多供水企業(yè)對(duì)相關(guān)的專業(yè)技術(shù)人員缺乏系統(tǒng)的專業(yè)培訓(xùn)，使得企業(yè)員工缺乏必要的安全意識(shí)，“防黑防毒”意識(shí)淡薄，對(duì)一些惡意攻擊也缺乏警惕性，有的甚至因?yàn)椴僮魇д`而給各種信息安全威脅帶來了可能。

3 供水企業(yè)信息安全建設(shè)

3.1 采用防水墻技術(shù)

防水墻是保障企業(yè)信息安全的有效手段。通過控制進(jìn)出供水企業(yè)網(wǎng)絡(luò)的權(quán)限，監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)流，檢查所有的數(shù)據(jù)連接，防水墻技術(shù)可以有效地控制和管理對(duì)企業(yè)網(wǎng)絡(luò)系統(tǒng)的訪問控制和安全管理，隔離和過濾危險(xiǎn)數(shù)據(jù)包，防止企業(yè)網(wǎng)絡(luò)受到黑客和病毒的破壞與干擾。同時(shí)，由于所有的訪問都得通過防火墻，防火墻還能實(shí)時(shí)記錄和統(tǒng)計(jì)網(wǎng)絡(luò)訪問，這對(duì)企業(yè)信息安全管理人員管理維護(hù)企業(yè)網(wǎng)絡(luò)提供了有利條件。

3.2 采用入侵檢測(cè)技術(shù)

防火墻可以限制對(duì)企業(yè)網(wǎng)絡(luò)系統(tǒng)的非法訪問或攻擊，檢測(cè)并防御非法訪問。然而，防火墻無法防止企業(yè)網(wǎng)絡(luò)內(nèi)部用戶之間的攻擊不經(jīng)過防火墻。因此，在采用防火墻的同時(shí)，有必要用入侵檢測(cè)技術(shù)。入侵檢測(cè)技術(shù)（Intrusion-detection?system），簡(jiǎn)稱IDS，?是一種對(duì)網(wǎng)絡(luò)傳輸進(jìn)行即時(shí)監(jiān)視，在發(fā)現(xiàn)可疑傳輸時(shí)發(fā)出警報(bào)或者采取主動(dòng)反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。它能夠分析通過網(wǎng)絡(luò)收集的信息，檢測(cè)并識(shí)別出惡意行為，及時(shí)有效地發(fā)現(xiàn)網(wǎng)絡(luò)異常，檢測(cè)出網(wǎng)絡(luò)中違反安全策略的行為。如果說防火墻是一幢大樓的門衛(wèi)，那么IDS就是這幢大樓里的監(jiān)視系統(tǒng)。一旦小偷爬窗進(jìn)入大樓，或內(nèi)部人員有越界行為，只有實(shí)時(shí)監(jiān)視系統(tǒng)才能發(fā)現(xiàn)情況并發(fā)出警告。除了簡(jiǎn)單的記錄和發(fā)出警報(bào)之外，IDS還可以進(jìn)行主動(dòng)反應(yīng)：打斷會(huì)話，和實(shí)現(xiàn)過濾管理規(guī)則。所以說，要確保供水企業(yè)網(wǎng)絡(luò)處于安全的狀態(tài)，入侵檢測(cè)技術(shù)也是必不可少的，它是防火墻技術(shù)的一個(gè)有效的補(bǔ)充。

3.3 采用VPN技術(shù)

VPN（Virtual?Private?Network），即虛擬專用網(wǎng)，是通過一個(gè)公用網(wǎng)絡(luò)（通常為Internet）建立一個(gè)臨時(shí)的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。它主要是通過路由器、防火墻技術(shù)、隧道技術(shù)，安全秘鑰以及加密協(xié)議而組建成的Internet?VPN。它是對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)的擴(kuò)展，通過VPN可以在企業(yè)分支機(jī)構(gòu)，合作伙伴、供應(yīng)商或遠(yuǎn)程用戶與企業(yè)內(nèi)部網(wǎng)絡(luò)之間建立可靠的安全連接，向他們提供安全而有效的信息服務(wù)，保證數(shù)據(jù)的安全傳輸，實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)安全通信的虛擬專用線路，使得外部非法用戶無法訪問公司內(nèi)部信息。與此同時(shí)，VPN技術(shù)還可以極大降低企業(yè)信息共享的成本。

3.4 加強(qiáng)企業(yè)員工的安全管理

實(shí)現(xiàn)供水企業(yè)的信息安全，除了做好技術(shù)防護(hù)之外，還得加強(qiáng)企業(yè)內(nèi)部員工的安全管理。做好技術(shù)防護(hù)并不意味著一勞永逸，企業(yè)員工的信息安全管理也是至關(guān)重要的。加強(qiáng)企業(yè)關(guān)公的安全管理需做好以下幾點(diǎn)：1)增強(qiáng)企業(yè)員工的安全意識(shí)。員工的安全意識(shí)淡薄是造成企業(yè)信息安全風(fēng)險(xiǎn)的一大因素。為保障企業(yè)信息安全，供水企業(yè)需對(duì)員工進(jìn)行企業(yè)網(wǎng)絡(luò)系統(tǒng)的專業(yè)培訓(xùn)與教育，掌握信息安全問題的基礎(chǔ)知識(shí)與常識(shí)，提高對(duì)外部惡意攻擊和病毒的警惕性，加強(qiáng)安全防護(hù)意識(shí)，能及時(shí)發(fā)現(xiàn)并處理常見的安全問題。2)健全企業(yè)信息安全管理規(guī)章制度。根據(jù)供水企業(yè)的實(shí)際情況，建立健全的信息安全管理制度，如網(wǎng)絡(luò)系統(tǒng)使用規(guī)范、機(jī)房管理制度、保密制度、值班制度、設(shè)備維護(hù)制度等。企業(yè)員工必須遵照相關(guān)管理制度，明確職責(zé)，按照相關(guān)用戶口令或操作口令，確保日常操作符合信息安全規(guī)章制度，最大限度地防止人為失誤或違規(guī)操作帶來的信息安全問題。3)配置專門的企業(yè)信息安全管理技術(shù)人才。在互聯(lián)網(wǎng)高速發(fā)展的幾天，沒有絕對(duì)的信息安全。企業(yè)需配置專門的信息安全管理人員，在及時(shí)有效地處理企業(yè)信息安全風(fēng)險(xiǎn)的同時(shí)，增強(qiáng)企業(yè)信息安全管理的人才儲(chǔ)備，加強(qiáng)信息安全技術(shù)管理隊(duì)伍，培養(yǎng)弓雖企業(yè)網(wǎng)絡(luò)系統(tǒng)硬件和軟件的開發(fā)設(shè)計(jì)人才，掌握保障企業(yè)信息安全的核心技術(shù)。

4 結(jié) 語

本文以供水企業(yè)為例，對(duì)企業(yè)的信息安全風(fēng)險(xiǎn)進(jìn)行了分析，認(rèn)為計(jì)算機(jī)病毒的傳播，黑客對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)的攻擊以及企業(yè)在員工安全管理方面的不足是造成供水企業(yè)信息安全問題的三大原因。因此，要保障信息安全，供水企業(yè)需在技術(shù)和管理兩方面下功夫。在技術(shù)方面，企業(yè)可采用防火墻技術(shù)、入侵檢測(cè)技術(shù)和VPN技術(shù)。在管理層面上，企業(yè)需增強(qiáng)員工的安全意識(shí)，建立健全企業(yè)信息安全管理規(guī)章制度，配置專門的信息安全管理技術(shù)人才。

參考文獻(xiàn)

[1]丁麗川，曹暉.計(jì)算機(jī)網(wǎng)絡(luò)信息安全探析[J].?科技創(chuàng)新導(dǎo)報(bào).?2010(35):28.

[2]范紅，馮登國.?信息安全風(fēng)險(xiǎn)評(píng)估方法與應(yīng)用[M].?北京：清華大學(xué)出版社，2006.

[3]龔儉，陸晟.?計(jì)算機(jī)網(wǎng)絡(luò)安全導(dǎo)論[M].?南京：東南大學(xué)出版社，2007.

[4]劉鑫.?企業(yè)網(wǎng)絡(luò)安全策略[J].?內(nèi)蒙古科技與經(jīng)濟(jì).?2010(11):47-48.