企業(yè)信息化與信息安全的思考

王雨婷

（廊坊開發(fā)區(qū)環(huán)境保護局，河北廊坊 065000）

企業(yè)信息化與信息安全的思考

王雨婷

（廊坊開發(fā)區(qū)環(huán)境保護局，河北廊坊 065000）

在互聯(lián)網(wǎng)蓬勃發(fā)展的今天，隨著網(wǎng)絡技術的不斷發(fā)展以及網(wǎng)絡規(guī)模的不斷擴大，網(wǎng)絡安全問題逐漸凸現(xiàn)出來，尤其在企業(yè)內(nèi)網(wǎng)數(shù)據(jù)安全面臨的問題尤為突出。因此主要將企業(yè)信息化的發(fā)展與安全防范結(jié)合在一起進行闡述。

信息化；內(nèi)網(wǎng)；數(shù)據(jù)安全

1 信息化的作用以及對于不同企業(yè)的存在形式

隨著信息化時代的到來，云計算，互聯(lián)網(wǎng)+，數(shù)字化等熱門字眼頻繁出現(xiàn)在各種媒體以及與人們?nèi)粘Ｉ钕⑾⑾嚓P的地方。人是社會發(fā)展的參與者，因為人的存在所以才形成了各行各業(yè)的蓬勃發(fā)展，而社會又是由各行各業(yè)所組成的，在信息化手段尚未介入之前，不同行業(yè)之間的聯(lián)系較少，在很多問題的處理上無法形成合力，信息無法及時分發(fā)和共享，導致處理問題效率低下，重復做著造輪子的工作。

在現(xiàn)代企業(yè)管理和經(jīng)營過程中，迫切的需要使用某種技術或者手段來解決信息的暢通，信息的共享以及信息的存儲，而這些信息的本質(zhì)實際上都是數(shù)據(jù)。企業(yè)信息化的核心就是讓這些數(shù)據(jù)以不同的形式傳輸，存儲并且展示給用戶，這里的用戶可以是企業(yè)的管理者也可以是企業(yè)的普通員工。

筆者曾經(jīng)調(diào)研過工程企業(yè)，醫(yī)療企業(yè)，事業(yè)單位，能源企業(yè)等，這些不同的企業(yè)事業(yè)單位對企業(yè)信息化的理解也不盡相同。因此就不同的企事業(yè)單位需求對信息化的應用進行如下闡述。

1.1 工程企業(yè)

工程企業(yè)對信息化的要求主要體現(xiàn)在云平臺，ERP系統(tǒng)和建模軟件這三個領域。ERP系統(tǒng)主要針對目前工程領域流行的集設計，采購，施工于一體的總承包項目的管理，在項目管理中，需要對項目的整體進行分解，按照權重實施進度管理和跟進，這就需要使用ERP系統(tǒng)操作，包括了責任人，責任事項，推送的待處理事項，流程管理等。工程企業(yè)的核心是根據(jù)設計人員出的施工圖進行工程施工施工圖紙一般都是通過CAD軟件繪制的，隨著信息化時代的到來，使用CAD繪制的二維圖紙已經(jīng)不能滿足甲方也就是業(yè)主方的需要，甲方往往需要更美觀，更直觀的三維立體圖紙，因此具備能夠生成動態(tài)效果的三維建模設計軟件PDMS，COMOS，GIS數(shù)字化工廠等一批產(chǎn)品被應用于設計一線，這些軟件所設計出來的圖紙打破了二維圖紙的線條，呈現(xiàn)出不同色彩不同視角的三維圖像，在三維模型中還包含了各種實用參數(shù)，通過參數(shù)的設定可以對工程項目中的場站，各種物料庫，廠區(qū)進行動態(tài)模擬，模擬出極端的危險的場景，繼而對設計中存在的缺陷和安全隱患進行規(guī)避，極大地提高了設計效率。而云平臺則好比是一條高速公路，它把ERP系統(tǒng)和建模軟件這兩者放在了這個高速公路上，結(jié)合工程類企業(yè)的工作習慣，這個行業(yè)出差率非常高，設計人員往往在自己公司內(nèi)設計圖紙，而在現(xiàn)場施工階段就需要讓工程人員帶著電子圖紙到施工現(xiàn)場進行比對和校審，而施工現(xiàn)場的電腦未必滿足設計人員的需求，有些電腦上甚至沒有安裝相應的軟件，而且為了保密的原因，有很多數(shù)據(jù)和圖紙是不能在除辦公電腦之外打開的，這就需要云平臺的功能，只要有網(wǎng)絡信號，就可以在任意電腦上連接公司服務器，進入自己的賬戶后可以隨時隨地的修改完善自己的圖紙和數(shù)據(jù)而無需擔心泄密的問題，這三部分信息化應用為工程企業(yè)帶來了便利性和專業(yè)化。

1.2 醫(yī)療企業(yè)

醫(yī)療企業(yè)主要面對的服務對象是病人，因此需要具有排號功能的管理軟件，在這類軟件中還需具備病人資料的存儲，比如病例、藥方、住院時間等信息醫(yī)療企業(yè)對信息化硬件技術的依賴較大，例如信息化的醫(yī)療器材、自助繳費機等。

1.3 能源企業(yè)

對于能源企業(yè)而言，信息化更多體現(xiàn)在對數(shù)據(jù)的處理與分析上。比如石油行業(yè)石化行業(yè)中，需要對地質(zhì)勘探，巖土采樣，地熱，油品檢驗等數(shù)據(jù)進行處理與分析，通過對數(shù)據(jù)的分析，能夠推算出某一地域的某種自然數(shù)據(jù)的形成規(guī)律，甚至能夠探測出新的能源分布區(qū)域，需要用到對海量數(shù)據(jù)處理的大數(shù)據(jù)技術。

這三個典型的案例分別描述了在不同的環(huán)境下信息化工作的意義。但是無論是哪種情況，都存在一個突出的問題，而且是永遠繞不開的問題，那就是信息安全。

網(wǎng)絡安全信息安全歸根結(jié)底是數(shù)據(jù)安全，企業(yè)的數(shù)據(jù)一旦丟失就相當于一筆無形的資產(chǎn)丟失一樣嚴重。為了應付當前出現(xiàn)的各種網(wǎng)絡安全問題，網(wǎng)絡數(shù)據(jù)安全技術及軟硬件設備層出不窮。安全技術覆蓋了計算機網(wǎng)絡的方方面面。安全技術變得紛繁復雜起來，這對網(wǎng)絡安全技術的應用來說帶來了挑戰(zhàn)。對于網(wǎng)絡安全我們所看重的往往是單個應用點，這就容易忽略某些層次的安全問題。企業(yè)內(nèi)網(wǎng)絡接入層安全問題就是在這種環(huán)境下日益顯現(xiàn)出來的。網(wǎng)絡安全技術從應用方面來看，主要分為面向終端系統(tǒng)的網(wǎng)絡安全技術和面向網(wǎng)絡基礎架構的安全技術。對于企業(yè)而言，連接外網(wǎng)的可能性不是很大，主要是面臨著內(nèi)網(wǎng)安全問題。

2 企業(yè)內(nèi)網(wǎng)數(shù)據(jù)存在的主要安全威脅及原因

2.1 ARP欺騙攻擊

ARP欺騙攻擊存在兩種表現(xiàn)形式，分別為：偽裝網(wǎng)關、偽裝主機。偽裝網(wǎng)關是指接入層的攻擊主機，通過構造非法ARP報文，對來自本網(wǎng)段的網(wǎng)關ARP查詢進行回應。直接導致其他接入層主機的ARP表中出現(xiàn)不正確的IP地址MAC地址的對應關系，其他主機將攻擊主機誤認為是網(wǎng)關，大量的數(shù)據(jù)報文就會發(fā)送給攻擊主機。這將會產(chǎn)生兩個結(jié)果：第一，由于攻擊主機不是真正的網(wǎng)關，數(shù)據(jù)無法出網(wǎng)，其他主機無法正常上網(wǎng)。第二，攻擊主機可以將其他主機發(fā)來的信息進行解封裝，從而窺探其中的隱私信息。

偽裝主機攻擊是把網(wǎng)關作為欺騙目標的一種攻擊方式，同樣會造成隱私泄露和上網(wǎng)異常。這種攻擊方式是前面第一種的變體，會對網(wǎng)關向主機返回的數(shù)據(jù)流量造成負面影響，使主機無法正常接收網(wǎng)關傳來的數(shù)據(jù)。

2.2 存在于內(nèi)網(wǎng)的病毒

業(yè)務系統(tǒng)往往會有文檔上傳的模塊，用戶如果將帶有宏病毒的word文檔隨之上傳的話會讓數(shù)據(jù)服務器所有同類型文件都感染此類病毒，而用戶在將其下載下來，之前為染毒的其他用戶也會染上相應的病毒，更為可怕的是如果病毒是勒索病毒的話，整個服務器所有的文檔都被惡意加密，如果要解密需要向黑客支付贖金，也未必會完全解除危險。對于勒索病毒美國情報機構FBI的研究人員也尚未尋找到有效的方法破解，為了提高內(nèi)網(wǎng)文件和數(shù)據(jù)的安全性，用戶應當做到以下幾點措施就可以將這個危險降到最低：

（1）嚴禁將內(nèi)網(wǎng)電腦接入公網(wǎng)，或者盡量減少接入公網(wǎng)的次數(shù)，接入公網(wǎng)不用QQ等聊天工具接收來路不明的文件。

（2）禁止將撿到的不明來歷的U盤或者移動存儲設備接入內(nèi)網(wǎng)電腦，這種撿到的存儲設備很有可能是黑客有選擇性丟棄的，具體案例可以參見美國對伊朗發(fā)動的震網(wǎng)病毒的攻擊事件。

（3）在個人電腦以及服務器上安裝殺毒軟件和防火墻，養(yǎng)成良好的上網(wǎng)習慣。

（4）服務器管理員定期更換登陸密碼，及時修補安全漏洞。

2.3 黑客有目的性的攻擊

針對企業(yè)或者政府的數(shù)據(jù)中心服務器，最常見的有組織的黑客攻擊是DDoS攻擊，就是“分布式拒絕服務（Distributed Denial of Service）”。

DoS（拒絕服務，Denial of Service）就是利用合理的服務請求來占用過多的服務資源，從而使合法用戶無法得到服務的響應。這是早期非?；镜木W(wǎng)絡攻擊方式。

不過這種 DoS 攻擊是一對一的，當攻擊目標 CPU 速度低、內(nèi)存小或者網(wǎng)絡帶寬小等各項性能指標不高，它的效果是明顯的。隨著計算機與網(wǎng)絡技術的發(fā)展，計算機的處理能力迅速增長，內(nèi)存大大增加，同時也出現(xiàn)了帶寬更高的網(wǎng)絡，這使得單純的 DoS 攻擊難以奏效。

于是，DDoS 這種多對一，多對多的攻擊就出現(xiàn)了，將多個計算機聯(lián)合起來作為攻擊平臺，對一個或多個目標發(fā)動DDoS 攻擊，從而成倍地提高拒絕服務攻擊的威力。在一個設定的時間主控程序?qū)⑴c大量代理程序通訊，代理程序已經(jīng)被安裝在網(wǎng)絡上的許多計算機上，代理程序收到指令時就發(fā)動攻擊。簡單來說，就是利用“不明真相的群眾的力量”，一個攻擊不奏效，就聯(lián)合大量機器進行攻擊。

一般來說，DDoS 攻擊可以具體分成兩種形式：帶寬消耗型以及資源消耗型。它們都是透過大量合法或偽造的請求占用大量網(wǎng)絡以及器材資源，以達到癱瘓網(wǎng)絡以及系統(tǒng)的目的。其中，DDoS 帶寬消耗攻擊可以分為兩個不同的層次：洪泛攻擊或放大攻擊。洪泛攻擊的特點是利用僵尸程序發(fā)送大量流量至受損的受害者系統(tǒng)，目的在于堵塞其帶寬。放大攻擊與其類似，是通過惡意放大流量限制受害者系統(tǒng)的帶寬，其特點是利用僵尸程序發(fā)送信息，但是信息卻是發(fā)送至廣播 IP 地址，導致系統(tǒng)子網(wǎng)被廣播 IP 地址連接上之后再發(fā)送信息至受害系統(tǒng)。

作為 DDoS 攻擊的結(jié)果，一般會出現(xiàn)以下幾點癥狀：

（1）網(wǎng)絡異常緩慢（打開文件或訪問網(wǎng)站）

（2）特定網(wǎng)站無法訪問

（3）無法訪問任何網(wǎng)站

（4）垃圾郵件的數(shù)量急劇增加

（5）無線或有線網(wǎng)絡連接異常斷開

（6）長時間嘗試訪問網(wǎng)站或任何互聯(lián)網(wǎng)服務時被拒絕

[1] 武孟軍.精通SNMP[M].北京：人民郵電出版社，2010：221-310.

[2] 岑賢道，安常青.網(wǎng)絡管理協(xié)議及應用開發(fā)[M].北京：清華大學出版社，2007.

[3] 劉遠生.計算機網(wǎng)絡安全[M].北京：清華大學出版社，2002.

[4] 楊哲.無線網(wǎng)絡黑客攻防[M].北京：中國鐵道出版社，2014.

[5] Sherri Davidoff等.黑客大追蹤[M].北京：電子工業(yè)出版社，2015.

[6] Justin Seitz.Python黑帽子黑客-與滲透測試編程之道[M].北京：電子工業(yè)出版社，2015.

[7] 李瑞民.網(wǎng)絡掃描技術揭秘[M].北京：機械工業(yè)出版社，2012.

Thoughts on Enterprise Informatization and Information Security

Wang yu-ting

With the development of Internet technology and the continuous expansion of network scale，the problem of network security is becoming more and more prominent.Especially in the enterprise network data security problems are particularly prominent. This article will be enterprise information development and security precautions together to elaborate.

informatization；intranet；data security

F270.5

B

1003–6490（2017）05–0247–02

2017–04–06

王雨婷（1988—），女，天津人，主要從事環(huán)保工作。