基于企業(yè)網(wǎng)的信息系統(tǒng)安全的研究

摘 要：本文針對(duì)大多數(shù)企業(yè)信息系統(tǒng)中存在的漏洞進(jìn)行了分析，并明確指出有些漏洞我們是沒有辦法避免的，只能盡最大努力去消除這些影響。但是對(duì)企業(yè)信息系統(tǒng)中存在的操作系統(tǒng)，系統(tǒng)用戶權(quán)限以及文件權(quán)限的方面的漏洞等，還是可以盡量去避免的。文章最后，指出進(jìn)行網(wǎng)絡(luò)防范要不斷追蹤新技術(shù)的應(yīng)用情況，及時(shí)升級(jí)、完善自身的防御措施。

關(guān)鍵詞：企業(yè)網(wǎng)；信息系統(tǒng)；網(wǎng)絡(luò)安全；硬件問題；用戶權(quán)限；文件權(quán)限

中圖分類號(hào)：TP393.08

目前，大多數(shù)企業(yè)都采用計(jì)算機(jī)管理的方式對(duì)企業(yè)中的信息及相關(guān)技術(shù)進(jìn)行管理。這些信息中有些涉及到企業(yè)的商業(yè)機(jī)密或者是核心技術(shù)，對(duì)企業(yè)來講很是關(guān)鍵，所以這些信息的安全性在一定程度上對(duì)企業(yè)的生存有著決定性的作用，這樣就難免會(huì)吸引來自互聯(lián)網(wǎng)各種網(wǎng)絡(luò)黑客的人為攻擊（例如，信息竊取、信息泄漏、數(shù)據(jù)刪除和篡改、計(jì)算機(jī)病毒等）。

企業(yè)網(wǎng)的信息系統(tǒng)的漏洞總的來說有兩種，一種是來自硬件，一種來自軟件。來自硬件的漏洞是屬于先天性的不足，這個(gè)很難去彌補(bǔ)，有些是計(jì)算機(jī)本身存在的問題，如計(jì)算機(jī)電磁泄漏等等，還有的計(jì)算機(jī)的外部設(shè)備是最容易造成信息泄漏或被竊取的地方，是一種很嚴(yán)重的信息泄漏途徑。另外計(jì)算機(jī)的硬件故障也會(huì)對(duì)信息造成毀滅性的打擊，信息會(huì)因此造成永久性的丟失，通過上面的分析可以知道，硬件的故障有時(shí)候是沒有辦法避免的。這是計(jì)算機(jī)存儲(chǔ)及傳輸固有的缺陷，所幸的是硬件故障在硬件的生命周期內(nèi)極少發(fā)生。

從軟件方面來說主要有以下幾個(gè)方面的問題：

一是操作系統(tǒng)的問題，我們都知道，任何一個(gè)企業(yè)的網(wǎng)站都是依賴于計(jì)算機(jī)的操作系統(tǒng)而存在的，所以一旦操作系統(tǒng)出了問題企業(yè)的信息也就處于不安全的境地。而恰恰操作系統(tǒng)有不少問題，特別是windows操作系統(tǒng)，曾暴出不少漏洞。所以說企業(yè)網(wǎng)的生存基礎(chǔ)就是有問題的，當(dāng)然大家也沒有必要去過份擔(dān)心這個(gè)問題，只要我們正常安裝殺毒軟件，及時(shí)更新系統(tǒng)補(bǔ)丁，操作系統(tǒng)還是值得信賴的。

二是系統(tǒng)的權(quán)限問題。一個(gè)企業(yè)網(wǎng)對(duì)應(yīng)的用戶群往往是多方面的，不同的用戶對(duì)應(yīng)著不同的權(quán)限。在企業(yè)內(nèi)部中往往采用的是基于角色的用戶的權(quán)限分配，即將用戶群分成不同的角色，然后對(duì)各種角色分配不同的權(quán)限。實(shí)際上一個(gè)企業(yè)網(wǎng)特別是企業(yè)內(nèi)部網(wǎng)，設(shè)計(jì)的一個(gè)重點(diǎn)就是用戶權(quán)限，一旦權(quán)限出了問題，往往信息就會(huì)產(chǎn)生不對(duì)位流出，這樣就對(duì)信息的安全產(chǎn)生很大的影響。其實(shí)這還不是系統(tǒng)權(quán)限對(duì)信息安全產(chǎn)生最大威協(xié)，其最大威協(xié)是如果攻擊者在已有一個(gè)本地賬號(hào)能夠登錄到系統(tǒng)的情況下，通過系統(tǒng)本身的缺陷，得到系統(tǒng)管理員的權(quán)限，那么他就有可能利用這個(gè)權(quán)限和這臺(tái)機(jī)器去控制企業(yè)網(wǎng)內(nèi)部的一些機(jī)器，這將帶來災(zāi)難性的后果。

三是文件的權(quán)限問題。在一個(gè)企業(yè)網(wǎng)內(nèi)部，有些文件可能全部的人都可以讀取，但是只有一部分可以寫，這就是文件的權(quán)限。但是如果管理員對(duì)某些文件權(quán)限設(shè)置不正確，可能會(huì)分配一些只對(duì)文件有讀權(quán)限的人寫的權(quán)限，這樣做本身沒有多少危險(xiǎn)性，但是如果那些本該只能讀的卻具有寫的權(quán)限的人有別的想法，這就是非常危險(xiǎn)的了。另外攻擊者也可以不經(jīng)授權(quán)地從遠(yuǎn)程存取系統(tǒng)的某些文件。這類漏洞主要是由一些有缺陷的cgi程序引起的，它們對(duì)用戶輸入沒有做適當(dāng)?shù)暮戏ㄐ詸z查，使攻擊者通過構(gòu)造特別的輸入獲得對(duì)文件存取。如Windows IE存在諸多漏洞允許惡意的web頁(yè)面讀取瀏覽用戶的本地的文件。這樣的話攻擊者就有可能獲得一些重要信息，從而對(duì)企業(yè)造成一定的威脅。

四是密碼丟失問題。目前密碼丟失的問題也是企業(yè)網(wǎng)站的一個(gè)重要的信息泄露途徑，密碼丟失主要有密碼是弱口令，很容易通過暴力破解就得到密碼，還有一種情況就是密碼保護(hù)不當(dāng)，被非法獲取。在互聯(lián)網(wǎng)上如果密碼丟失的話那危險(xiǎn)性就大大增加了。

針對(duì)企業(yè)網(wǎng)中存在的這些問題，我們應(yīng)該怎么樣去解決呢？也就是怎么樣才能讓企業(yè)網(wǎng)中的信息更加安全呢。對(duì)于硬件中存在的缺陷問題，基本上是無解的，只能保證網(wǎng)絡(luò)設(shè)備少出故障，對(duì)電磁輻射及存儲(chǔ)丟失的問題，只能寄希望于少出這類的情況。但是對(duì)硬件系統(tǒng)故障以及由硬件系統(tǒng)故障造成的企業(yè)網(wǎng)信息的丟失這種風(fēng)險(xiǎn)我們要降到最低，目前在網(wǎng)絡(luò)中比較流行做法是容災(zāi)設(shè)計(jì)。所謂的容災(zāi)設(shè)計(jì)主要是在無法避免的災(zāi)難出現(xiàn)后，我們?cè)趺丛O(shè)計(jì)網(wǎng)絡(luò)系統(tǒng)，讓這種損失最小或沒有損失。對(duì)硬件來說主要采取冗余線路及電源UPS，冗余線路可以保證在網(wǎng)絡(luò)中出現(xiàn)故障的時(shí)候不至于網(wǎng)絡(luò)系統(tǒng)停止運(yùn)行，系統(tǒng)會(huì)自動(dòng)啟用冗余的線路進(jìn)行工作。而對(duì)計(jì)算機(jī)本身的故障來說，也是采取冗余磁盤的方法來進(jìn)行容錯(cuò)的，如磁盤陣列等，這樣雖然磁盤的利用率低了些，但是對(duì)內(nèi)容的保護(hù)起到很重要作用。對(duì)重要的數(shù)據(jù)一定要采取這種實(shí)時(shí)備份的方式進(jìn)行，否則一旦丟失將很難實(shí)現(xiàn)數(shù)據(jù)的恢復(fù)。電源UPS的主要功能是防止，實(shí)然斷電而造成的信息系統(tǒng)停止，從而造成網(wǎng)絡(luò)數(shù)據(jù)的丟失。

系統(tǒng)權(quán)限問題的解決辦法，就是在系統(tǒng)設(shè)置的時(shí)候嚴(yán)格化分角色，將不同需求的人員進(jìn)行分類，對(duì)于一些有特殊要求的人可以單獨(dú)化分一個(gè)群組，而不要進(jìn)行交叉分配權(quán)限。通過系統(tǒng)的設(shè)置將系統(tǒng)權(quán)限分配的危險(xiǎn)程度降到最低。

對(duì)于文件權(quán)限的問題，同樣可以將企業(yè)內(nèi)部網(wǎng)絡(luò)化分不同的工作組，對(duì)不同的工作組給予不同的文件權(quán)限。嚴(yán)格限制文件的讀寫，對(duì)只能讀的文件絕對(duì)不能給寫的功能，當(dāng)然這樣做還得有一個(gè)前提條件，那就是操作系統(tǒng)的安全問題，如果操作系統(tǒng)的安全出了問題，所有的這一切也都是徒勞。密碼的丟失主要還是一個(gè)安全意識(shí)的問題，如果密碼設(shè)置太簡(jiǎn)單，很容易就會(huì)被別有用心的人給破解掉，如果設(shè)置的很復(fù)雜，每次輸入的時(shí)候就會(huì)麻煩。特別是一些人有不太好的習(xí)慣就是設(shè)置自動(dòng)登陸。這樣雖然每次省去了輸入的麻煩，但是也帶了不小的危險(xiǎn)。其實(shí)對(duì)于大多數(shù)密碼出現(xiàn)的問題倒不是密碼被破解，而是密碼被偷竊，通過一些軟件（比如鍵盤記錄等）來將輸入的密碼外傳，這樣的話就可以利用輸入的用戶來做一些非法的事情了。

實(shí)現(xiàn)企業(yè)網(wǎng)的信息系統(tǒng)安全，還有一個(gè)重要的措施就是安裝硬件的防護(hù)。就目前的網(wǎng)絡(luò)環(huán)境來說，受到網(wǎng)絡(luò)攻擊是很正常的現(xiàn)象，大部分的攻擊是被網(wǎng)絡(luò)中的防護(hù)措施給阻攔。如果是個(gè)人電腦，我們只要安裝相應(yīng)的軟件殺毒軟件和軟件防火墻就可以了。對(duì)于安全要求更高的企業(yè)網(wǎng)信息系統(tǒng)來說，硬件的保護(hù)更能起到保護(hù)作用。目前，網(wǎng)絡(luò)中的安全保護(hù)硬件系統(tǒng)主要有兩種，一種就是入侵檢測(cè)系統(tǒng)，還有一種就是防火墻。對(duì)于入檢測(cè)系統(tǒng)來說，它的核心功能是對(duì)事件進(jìn)行分析，并從中發(fā)現(xiàn)不符合安全策略的行為，同時(shí)它可以對(duì)一些特定的行為進(jìn)行報(bào)警。而防火墻主要功能就是防止外網(wǎng)的非法入侵，對(duì)企業(yè)網(wǎng)內(nèi)部的攻擊沒有多大效果。防火墻可以設(shè)置特定的數(shù)據(jù)信息屏蔽，可以將一些敏感的數(shù)據(jù)阻止在企業(yè)內(nèi)網(wǎng)以外，對(duì)內(nèi)網(wǎng)起到保護(hù)作用。

認(rèn)清網(wǎng)絡(luò)的脆弱性和潛在威脅，采取強(qiáng)有力的安全策略，對(duì)于保障網(wǎng)絡(luò)的安全性將變得十分重要。同時(shí)，計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)目前正處于蓬勃發(fā)展的階段，新技術(shù)層出不窮，其中也不可避免的存在一些漏洞，因此，進(jìn)行網(wǎng)絡(luò)防范要不斷追蹤新技術(shù)的應(yīng)用情況，及時(shí)升級(jí)、完善自身的防御措施。

參考文獻(xiàn)：

[1]東鳥.2020，世界網(wǎng)絡(luò)大戰(zhàn)[M].長(zhǎng)沙：湖南人民出版社，2012.

[2]王逸舟.國(guó)家利益再思考[J].中國(guó)社會(huì)科學(xué)，2002（02）.

[3]王健.計(jì)算機(jī)網(wǎng)絡(luò)的安全技術(shù)[J].寧夏機(jī)械，2011.

[4]楊戈.中小企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全與防護(hù)措施[J].信息安全與技術(shù)，2011.

[5]趙鶴芹.設(shè)計(jì)動(dòng)態(tài)網(wǎng)站的最佳方案Apache+PHP+MySQL[J].計(jì)算機(jī)工程與設(shè)計(jì)，2007.

作者簡(jiǎn)介：馬博琴（1979-），女，山西永濟(jì)人，本科，研究方向：計(jì)算機(jī)網(wǎng)絡(luò)安全。

作者單位：納愛斯正定有限公司，石家莊 050800