企業(yè)信息安全問題及對策

劉光宇 王偉蔚

（63996部隊北京 100094）

企業(yè)信息安全問題及對策

劉光宇 王偉蔚

（63996部隊北京 100094）

隨著網(wǎng)絡技術的廣泛應用，企業(yè)信息安全受到了廣泛威脅?；诖?，文章對信息安全面臨的內部、與外部的常見威脅進行了分析，并從管理、技術等方面提出了防護對策。

企業(yè)信息 安全 網(wǎng)絡攻擊 防護對策

1 引言

隨著信息化進程的不斷深入，企業(yè)大量數(shù)據(jù)都依賴計算機網(wǎng)絡來存儲與管理，這些數(shù)據(jù)信息在存儲與應用中常常面臨著來自外部與內部各種形式的安全威脅。信息安全越來越多成為企業(yè)不得不面對的重要問題，對于技術密集型企業(yè)，信息安全甚至已經(jīng)成為關系著企業(yè)發(fā)展，生死存亡的戰(zhàn)略性問題。然而一些企業(yè)對信息安全認識不足，安全投入及防護措施少，信息安全存在較多隱患，一旦發(fā)生信息泄密或丟失，可能給企業(yè)造成重大損失?；诖?，本文就企業(yè)信息安全面臨的安全威脅進行探討并提出防范對策。

2 企業(yè)信息安全的涵義

所謂信息安全是指信息系統(tǒng)（包括硬件、軟件、數(shù)據(jù)、人員、物理環(huán)境及基礎設施）受到保護，不因偶然和惡意的原因而遭到破壞、更改、泄露，系統(tǒng)可靠正常地運行，從而實現(xiàn)企業(yè)業(yè)務連續(xù)順利地開展[1]。其主要包括實體安全、運行安全、內容安全、管理安全四個方面。近年來，屢屢發(fā)生的因商業(yè)秘密泄露給企業(yè)造成重大損失說明，信息內容安全是企業(yè)信息安全的核心，是企業(yè)信息安全防護的重點與難點。

3 信息安全面臨的主要威脅

企業(yè)信息安全面臨的威脅主要來自于內部與外部兩個方面。

3.1 來自內部的安全威脅

來自內部的信息安全威脅主要有：偶發(fā)因素造成的信息數(shù)據(jù)的丟失，商業(yè)間諜竊密兩個方面。[2]如工作人員誤操作將信息數(shù)據(jù)刪除；存儲介質的物理損壞造成數(shù)據(jù)丟失；工作人員因失誤造成信息泄密等屬于前者。商場如戰(zhàn)場，近年來，有些高科技企業(yè)安排商業(yè)間諜進入企業(yè)內獲取商業(yè)機密，或競爭對手通過經(jīng)濟利益收買企業(yè)工作人員獲取商業(yè)機密等屬于商業(yè)間諜竊密。

3.2 來自外部的安全威脅

來自外部的威脅主要表現(xiàn)于網(wǎng)絡間諜、黑客通過網(wǎng)絡技術手段發(fā)起網(wǎng)絡攻擊，從而獲取商業(yè)機密或造成破壞。

在信息數(shù)據(jù)的存儲、應用、傳輸三種狀態(tài)下都可能受到攻擊。無論是系統(tǒng)軟件還是應用軟件，在設計開發(fā)中都可能存在設計缺陷或安全漏洞，攻擊者正是利用這些缺陷發(fā)起攻擊。攻擊前攻擊者通常會利用特定軟件（如掃描程序、服務欺騙程序、特洛伊木馬、計算機病毒、后門程序等）收集企業(yè)網(wǎng)絡信息，然后發(fā)起攻擊。

企業(yè)數(shù)據(jù)在存儲與使用狀態(tài)下常常受到非授權訪問攻擊、拒絕服務（DOS）攻擊。非授權訪問通常有假冒攻擊與旁路攻擊兩種形式[3]。假冒攻擊是指攻擊者通過非法或偽造的憑證冒充合法用戶，從而攫取了授權用戶的權利。旁路攻擊是指攻擊者利用系統(tǒng)缺陷，繞過正常的用戶檢查驗證，進行非法訪問。非授權訪問可以獲取商業(yè)機密，對企業(yè)危害較大。拒絕服務攻擊是指攻擊者通過惡意程序非法搶占系統(tǒng)資源，從而系統(tǒng)不能為合法用戶提供正常服務，達到破壞的目的。

在信息傳輸過程中也常常受到攻擊威脅，其主要形式有：截獲、插入與重放、竊聽與數(shù)據(jù)分析、網(wǎng)絡拒絕服務等。截獲是指利用網(wǎng)絡技術手段非法獲取傳輸?shù)男畔?，達到獲取機密信息的目的[4]。插入與重放是指攻擊者在截獲信息后，把偽造的數(shù)據(jù)插入到信道中，使接收方收到錯誤的數(shù)據(jù)，達到假冒或破壞的目的。竊聽與數(shù)據(jù)分析是指攻擊者通過對通信線路或設備的監(jiān)聽（如鍵盤記錄、屏幕截圖等），經(jīng)過對傳輸數(shù)據(jù)的分析，推斷出秘密信息，達到獲取秘密信息的目的。網(wǎng)絡拒絕服務是指通過對數(shù)據(jù)或資源的干擾、非法占用、超負荷使用、對服務基礎設施攻擊等手段，造成網(wǎng)絡暫時或永久不能使用，從而破壞網(wǎng)絡通信[5]。

4 安全防護對策

網(wǎng)絡信息安全防護是一項系統(tǒng)性工作，要做好這項工作必須從管理、技術兩方面著手。安全防護主要做好以下幾個方面工作：

4.1 健全組織安全體系

成立保密委員會或保密工作領導小組，從組織上、制度上建立信息安全機制。這是預防來自內部信息安全威脅的重要手段。保密組織應做好以下工作：①制定科學合理的規(guī)章制度，讓工作人員在做好信息安全工作時有法可依，有章可循；②對企業(yè)信息進行安全等級劃分。企業(yè)信息的使用效率與安全防護常常是矛盾的兩方面，要做好企業(yè)產(chǎn)品的推廣，提高效益又要保護好商業(yè)秘密，必須把企業(yè)信息做好信息安全等級劃分，明確哪些信息是可以公開的，哪些信息屬于商業(yè)秘密，哪些是核心秘密，對重要的信息重點保護，只有明確哪些信息屬于商業(yè)秘密，才能針對性地做好信息保密工作，這是做好信息保護的前提；③加強信息安全工作檢查，促進保密工作常態(tài)化。負責對外合作交流和宣傳接待等方面提供資料和保密審查；對向外提供、寄運的涉及企業(yè)秘密的文件、資料、印刷品、稿件、論文和其他物品以及公開展覽內容進行保密審查，并按規(guī)定辦理審查或報批手續(xù)；④加強保密教育，提高人員保密意識、法紀意識，對涉密崗位人員的聘用進行審核并提出建議；⑤組織做好工作人員保密業(yè)務技能培訓，提高信息素質，使工作人員不因相關知識匱乏而造成泄密或信息損毀；⑥做好泄密事故、事件的依法查處工作。追究相關人員責任并做好信息挽救工作，把損失降低到最低。

4.2 建立行之有效的技術防護措施

網(wǎng)絡技術防范是預防網(wǎng)絡攻擊直接有限的手段之一，防護手段多種多樣，而且隨著網(wǎng)絡技術的發(fā)展而不斷發(fā)展與提高。目前主要包括以下幾個方面：

(1)進行網(wǎng)絡隔離。通過物理或軟件技術策略隔離非授權用戶的訪問。在物理隔離方面主要包括對重要信息設備加強物理防護，與內網(wǎng)與公網(wǎng)的物理斷開。如對房間安裝"三鐵一器"，設立門禁與監(jiān)控系統(tǒng)，安裝電磁屏蔽系統(tǒng)等方法加強對信息設備的防護。采用內外網(wǎng)物理斷網(wǎng)時可通過移動存儲設備進行信息擺渡或通過網(wǎng)絡隔離網(wǎng)閘進行信息交換。與物理隔離比軟件技術策略隔離效率高，應用比較廣泛。如可以提高網(wǎng)安裝如在企業(yè)網(wǎng)中劃分VLAN限定用戶訪問；對交換機進行IP地址、MAC地址綁定；設置分時訪問；禁止無線網(wǎng)絡非法接入；安裝軟、硬件防火墻等都是常見的隔離措施。對于用戶終端，還可以安裝防拷貝、防屏幕復制軟件，封USB等通信接口的措施，防止信息非法外流。

(2)建立可靠的身份認證體系。用戶名密碼驗證是最常見的身份認證方式，為提高登錄密碼的安全，通常用戶密碼應設置為數(shù)字與字母混合的較復雜密碼。為防止暴力破解，登錄驗證部分還應設計動態(tài)驗證碼。對于密級較高的系統(tǒng)，還可以使用動態(tài)密碼、靜態(tài)密碼與USB key雙重驗證、智能IC卡驗證、指紋驗證等。

(3)對涉密信息加密。加密是一種最有效的保密措施，通過軟件或加密設備對信息加密，即使攻擊者獲取了信息實體，也因無密鑰無法辨識信息內容[2]，達到可靠保密的目的。目前可以通過軟件加密或硬件加密兩種方式，軟件加密成本低，但存在一定的安全隱患，重要數(shù)據(jù)的傳輸可用專用保密設備進行加解密。

(4)預防惡意程序的破壞。企業(yè)內部開發(fā)的軟件應當經(jīng)過嚴格的測試，防止安全漏洞的出現(xiàn)。外購時，應當優(yōu)先選擇經(jīng)過國家權威部門安全認證的軟、硬件，確保不會有后門或漏洞的產(chǎn)生。針對操作系統(tǒng)應及時安裝補丁程序與殺毒軟件，防止計算機病毒、木馬等惡意程序的破壞。惡意程序破壞愈演愈烈，攻擊事件成數(shù)每年成數(shù)倍級的增長。近年來出現(xiàn)的"震網(wǎng)"、"毒區(qū)"、"火焰"等病毒程序在世界范圍泛濫，造成了大量網(wǎng)絡的癱瘓、信息秘密被盜，給很多企事業(yè)單位帶來巨大損失，甚至威脅到了個別國家的安全，造成了不菲的經(jīng)濟損失。

(5)建立主動防御與事后追蹤系統(tǒng)。主動防御可以通過對系統(tǒng)的實時監(jiān)測及時發(fā)現(xiàn)系統(tǒng)漏洞和非法訪問，并對非法訪問發(fā)出警告或直接切斷非法操作行為[6]。事后追蹤是對網(wǎng)絡行為進行追蹤記錄，以便對攻擊行為進行追查，并采取有效的補救措施。

5 結束語

魔高一尺，道應該高一丈，隨著網(wǎng)絡信息技術的不斷發(fā)展，攻擊方式、技術不斷發(fā)展，防護策略、技術也應不斷提高與進步。目前網(wǎng)絡防護手段與防護設備較多，企業(yè)應根據(jù)自身特點、信息安全等級要求，合理地進行相應的建設，同時注重管理上加強防護，才能確保企業(yè)信息的機密性、可用性、全整形、可控性。

[1]沈昌祥,張煥國,馮登國,曹珍富,黃繼武.信息安全綜述[J].中國科學.2007（2）:129-50.

[2]趙穎,樊曉平,周芳芳,黃偉,湯夢姣.大規(guī)模網(wǎng)絡安全數(shù)據(jù)協(xié)同可視分析方法研究[J].計算機科學與探索.2014（7）：848-57.

[3]王巖明,冼沛勇,建立數(shù)據(jù)安全系統(tǒng)，維護企業(yè)信息安全[J].計算機與網(wǎng)絡.2003（24）:51-52.

[4]楊義先.信息安全新技術[M].北京：北京郵電大學出版社, 2013.

[5]劉家真.數(shù)據(jù)安全存儲與讀取策略研究[M].北京:科學出版社,2004.

[6]張超,孫曉燕,徐波.基于主動防御的網(wǎng)絡病毒防治技術研究[J].網(wǎng)絡安全技術與應用.2009（1）:31-32.

Problems and Countermeasures of Enterprise Information Securit

LIU Guang-yu WANG Wei-we
(The 63996th troop of the PLA,Beijing 100094,China)

With the wide application of network technology,enterprise information security has been widely threaded.Based on this, the common threat to information security from internal,and external attack is analyzed,and the protective countermeasures are put forward from the management,technology etc in this paper.

enterprise information;security;network attack;protection measures

TP301.6

A

1008-1739（2014）24-67-3

定稿日期：2014-11-26