企業信息安全

　 2 2

　 ———————————————————————————————— 作者：

　———————————————————————————————— 日期：

　通信地址：河北省任丘市燕山道中國石油測井有 限公司華北事業部黨群工作科

　郵編：

　062552

　電子郵件：

　hbzhaiyj @cnpc.com.cn

　聯系電話：

　0317- - 27 22680

　淺談企業信息安全

　 摘要：信息作為一種資源，它的普遍性、共享性、增值性、可處理性和多效用性，使其對于人類具有特別重要的意義。信息安全的實質就是要保護信息系統或信息網絡中的信息資源免受各種類型的威脅、干擾和破壞，即保證信息的安全性。信息安全越來越受到人們的重視，信息安全和其他商品一樣有價值，如何保證信息的安全性和保密性成為企業建設過程中需要解決的重要問題。

　關鍵詞：信息；信息安全；重要性

　 1 信息安全綜述

　 信息作為一種特殊資源與其他資源相比具有其特殊的性質，主要表現在知識性、中介性、可轉化性、可再生性和無限應用性。由于其特殊性質造成信息資源存在可能被篡改、偽造、竊取以及截取等安全隱患，造成信息的丟失、泄密，甚至造成病毒的傳播，從而導致信息系統的不安全性，給企業的信息化建設帶來不利影響。因此，如何保證信息安全成為亟須解決的重要問題。

　 信息安全包括以下內容：真實性，保證信息的來源真實可靠；機密性，信息即使被截獲也無法理解其內容；完整性，信息的內容不會被篡改或破壞；可用性，能夠按照用戶需要提供可用信息；可控性，對信息的傳播及內容具有控制能力；不可抵賴性，用戶對其行為不能進行否認；可審查性，對出現的網絡安全問題提供調查的依據和手段。與傳統的安全問題相比，基于網絡的信息安全有一些新的特點：

　 一是由于信息基礎設施的固有特點導致的信息安全的脆弱性。由于因特網與生俱來的開放性特點，從網絡架到協議以及操作系統等都具有開放性的特點，通過網絡主體之間的聯系是匿名的、開放的，而不是封閉的、保密的。這種先天的技術弱點導致網絡易受攻擊。

　 二是信息安全問題的易擴散性。信息安全問題會隨著信息網絡基礎設施的建設與因特網的普及而迅速擴大。由于因特網的龐大系統，造成了病毒極易滋生和傳播，從而導致信息危害。

　 三是信息安全中的智能性、隱蔽性特點。傳統的安全問題更多的是使用物理手段造成的破壞行為，而網絡環境下的安全問題常常表現為一種技術對抗，對信

　通信地址：河北省任丘市燕山道中國石油測井有 限公司華北事業部黨群工作科

　郵編：

　062552

　電子郵件：

　hbzhaiyj @cnpc.com.cn

　聯系電話：

　0317- - 27 22680

　息的破壞、竊取等都是通過技術手段實現的。而且這樣的破壞甚至攻擊也是“無形”的，不受時間和地點的約束，犯罪行為實施后對機器硬件的信息載體可以不受任何損失，甚至不留任何痕跡，給偵破和定罪帶來困難。

　隨著計算機網絡規模的迅猛發展，網絡環境變得日趨復雜，在人們享樂的同時，風險也隨之而來，因為 Internet 上的任何人之間都有可能存在利益關系，這些風險從信息丟失到信息盜用，網絡安全問題的數量也不斷增加。世界各家機構都希望他們的網絡安全功能能夠用更加強大的設備來實施，使安全性得到增強。在現在更加復雜的網絡環境中，更需要全面且綜合的網絡安全解決方案。特別是在企業中，面臨的各種安全威脅，物理威脅，網絡威脅，操作系統威脅等等……所帶來的損失將不可計量。網絡安全已經不再是網絡中的一項可有可無的技術了。它需要保證網絡的高安全性，使石油等企業緩解大量的網絡攻擊。

　2 2

　信息的脆弱性

　信息安全威脅主要來源于自然災害、意外事故；計算機犯罪；人為錯誤，比如使用不當，安全意識差等；“黑客”行為；內部泄密；外部泄密；信息丟失；電子諜報，比如信息流量分析、信息竊取等；信息戰；網絡協議自身缺陷等等。信息的脆弱性依賴于網絡表現在 2.1 單點失效多 在沒有冗余的網絡中，就是不安全的網絡。當分支機構的路由出現故障時，分支機構將無法與總行交換數據。總行的出口路由出現故障時，將導致辦公網絡無法聯網及業務網絡無法服務。辦公網絡的防火墻亦會導致單點失效。

　2.2 易遭病毒攻擊 在整個網絡中，沒有提供很好的防病毒網絡安全設備。整個網絡容易受病毒的攻擊，使網絡處于相當不安全的環境。輕則數據丟失，重則網絡癱瘓，所有工作與業務將無法進行。并會感染其他的設備。

　2.3 易受非法入侵 在分支機構與業務網絡中，沒有較好的訪問控制設備，只有一個邊界路由器作為保護，而邊界路由器易受攻擊。如利用 IP 欺騙即可。當邊界路由器被攻擊，分支機構與業務網絡將淪陷，容易導致非法的入侵，從而引起被授權的攻擊及數據竊取。

　通信地址：河北省任丘市燕山道中國石油測井有 限公司華北事業部黨群工作科

　郵編：

　062552

　電子郵件：

　hbzhaiyj @cnpc.com.cn

　聯系電話：

　0317- - 27 22680

　2.4 數據通訊不安全 在整個傳輸網絡中，容易發現數據通信的不安全，在傳輸過程中以明文傳輸，容易受到竊聽，及對信息的內容進行非法修改、重放等。破壞其完整性、影響銀行的正常運作 2.5 訪問控制力度小 在整個網絡中，訪問控制存在著嚴重的不足，不同的用戶有著相同的訪問，這樣不能區分不同用戶的訪問權限，容易導致數據流失，不合理的訪問 2.6 沒有集中的網絡管理 總行中不能集中的管理設備，檢測設備的運行狀況，當某臺設備出現故障時，將不能及時檢測出 2.7 局域網過大 業務網絡局域網過大則導致廣播域過大，網絡容易出現擁塞。并且之間能夠私自進行訪問，容易造成不安全事故。

　3 信息安全的目標

　 3.1 保密性。

　保密性是指信息不泄露給非授權人，或供其使用的特性。

　3.2 完整性。

　完整性是指信息未經授權不能被修改、不被破壞、不被插入、不遲延、不亂序和不丟失的特性。對網絡信息安全進行攻擊的最終目的就是破壞信息的完整性。

　3.3 可用性。

　可用性是指合法用戶訪問并能按要求順序使用信息的特性，即保證合法用戶在需要時可以訪問到信息。

　3.4 可控性。

　可控性是指授權機構對信息的內容及傳播具有控制的能力的特性，可以控制授權范圍內的信息流向以及方式。

　3.5 可審查性 。在信息交流過程結束后，通信雙方不能抵賴曾經做出的行為，也不能否認曾經接收到對方的信息。

　4 我國企業信息化中的信息安全問題

　近年來，隨著國家宏觀管理和支持力度的加強、信息安全技術產業化工作的繼續進行、對國際信息安全事務的積極參與以及關于信息安全的法律建設環境日益完善等因素，企業在信息安全管理上的進展是迅速的。但是，由于我國的信息化建設起步較晚，相關體系不完善，法律法規不健全等諸多因素，我國企業的信

　通信地址：河北省任丘市燕山道中國石油測井有 限公司華北事業部黨群工作科

　郵編：

　062552

　電子郵件：

　hbzhaiyj @cnpc.com.cn

　聯系電話：

　0317- - 27 22680

　息化仍然存在不安全問題。

　 4.1 信息與網絡安全的防護能力較弱。

　我國企業的信息化建設發展迅速，各個企業紛紛設立自己的網站，特別是“政府上網工程”全面啟動后，各級企業已陸續設立了自己的網站，但是由于許多網站沒有防火墻設備、安全審計系統、入侵監測系統等防護設備，整個系統存在著相當大的信息安全隱患。

　4.2 對引進的國外設備和軟件缺乏有效的管理和技術改造。

　由于我國信息技術水平的限制，很多單位和部門直接引進國外的信息設備，并不對其進行必要的監測和改造，從而給他人入侵系統或監聽信息等非法操作提供了可乘之機。

　4.3 我國企業基礎信息產業薄弱，核心技術嚴重依賴國外，缺乏自主創新產品，尤其是信息安全產品。我國企業信息網絡所使用的網管設備和軟件基本上來自國外，這使我國的網絡安全性能大大減弱，被認為是易窺視和易打擊的“玻璃網”。由于缺乏自主技術，我國許多企業的網絡處于被竊聽、干擾、監視和欺詐等多種信息安全威脅中，網絡安全處于極脆弱的狀態。

　 4.4 信息犯罪在我國有快速發展趨勢。

　除了境外黑客對我國信息網絡進行攻擊，國內也有部分人利用系統漏洞進行網絡犯罪，例如傳播病毒、竊取他人網絡銀行賬號密碼等。

　 4.5 在研究開發、產業發展、人才培養、隊伍建設等方面與迅速發展的形勢極不適應。

　 造成以上問題的相關因素在于：首先，我國企業的經濟基礎薄弱，在信息產業上的投入還是不足，尤其是在核心和關鍵技術及安全產品的開發生產上缺乏有力的資金支持和自主創新意識。其次，企業員工信息安全意識淡薄，警惕性不高。大多數計算機用戶都曾被病毒感染過，并且病毒的重復感染率相當高。

　 5 相關解決措施

　 5.1 加強計算機網絡安全的防范工作

　5.1.1 加強內部網絡治理人員以及使用人員的安全意識很多計算機系統常用口令來控制對系統資源的訪問，這是防病毒進程中，最輕易和最經濟的方法之一。網絡治理員和終端操作員根據自己的職責權限，選擇不同的口令，對應用程序數據進行合法操作，防止用戶越權訪問數據和使用網絡資源。在網絡上，軟件的安裝和治理方式是十分關鍵的，它不僅關系到網絡維護治理的效率和質量，而

　通信地址：河北省任丘市燕山道中國石油測井有 限公司華北事業部黨群工作科

　郵編：

　062552

　電子郵件：

　hbzhaiyj @cnpc.com.cn

　聯系電話：

　0317- - 27 22680

　且涉及到網絡的安全性。好的殺毒軟件能在幾分鐘內輕松地安裝到組織里的每一個 NT 服務器上，并可下載和散布到所有的目的機器上，由網絡治理員集中設置和治理，它會與操作系統及其它安全措施緊密地結合在一起，成為網絡安全治理的一部分，并且自動提供最佳的網絡病毒防御措施。當計算機病毒對網上資源的應用程序進行攻擊時，這樣的病毒存在于信息共享的網絡介質上，因此就要在網關上設防，在網絡前端進行殺毒。

　5.1.2 網絡防火墻技術是一種用來加強網絡之間訪問控制，防止外部網絡用戶以非法手段通過外部網絡進入內部網絡，訪問內部網絡資源，保護內部網絡操作環境的非凡網絡互聯設備。它對兩個或多個網絡之間傳輸的數據包如鏈接方式按照一定的安全策略來實施檢查，以決定網絡之間的通信是否被答應，并監視網絡運行狀態。雖然防火墻是目前保護網絡免遭黑客襲擊的有效手段，但也有明顯不足：無法防范通過防火墻以外的其它途徑的攻擊，不能防止來自內部變節者和不經心的用戶們帶來的威脅，也不能完全防止傳送已感染病毒的軟件或文件，以及無法防范數據驅動型的攻擊。

　5.1.3 安全加密技術 加密技術的出現為全球電子商務提供了保證，從而使基于 Internet 上的電子交易系統成為了可能，因此完善的對稱加密和非對稱加密技術仍是 21 世紀的主流。對稱加密是常規的以口令為基礎的技術，加密運算與解密運算使用同樣的密鑰。不對稱加密，即加密密鑰不同于解密密鑰，加密密鑰公之于眾，誰都可以用，解密密鑰只有解密人自己知道。

　5.1.4 網絡主機的操作系統安全和物理安全措施防火墻作為網絡的第一道防線并不能完全保護內部網絡，必須結合其他措施才能提高系統的安全水平。在防火墻之后是基于網絡主機的操作系統安全和物理安全措施。按照級別從低到高，分別是主機系統的物理安全、操作系統的內核安全、系統服務安全、應用服務安全和文件系統安全;同時主機安全檢查和漏洞修補以及系統備份安全作為輔助安全措施。這些構成整個網絡系統的第二道安全防線，主要防范部分突破防火墻以及從內部發起的攻擊。系統備份是網絡系統的最后防線，用來遭受攻擊之后進行系統恢復。在防火墻和主機安全措施之后，是全局性的由系統安全審計、入侵檢測和應急處理機構成的整體安全檢查和反應措施。它從網絡系統中的防火墻、網

　通信地址：河北省任丘市燕山道中國石油測井有 限公司華北事業部黨群工作科

　郵編：

　062552

　電子郵件：

　hbzhaiyj @cnpc.com.cn

　聯系電話：

　0317- - 27 22680

　絡主機甚至直接從網絡鏈路層上提取網絡狀態信息，作為輸人提供給入侵檢測子系統。入侵檢測子系統根據一定的規則判定是否有入侵事件發生，假如有入侵發生，則啟動應急處理措施，并產生警告信息。而且，系統的安全審計還可以作為以后對攻擊行為和后果進行處理、對系統安全策略進行改進的信息來源。

　5.2 針對我國企業信息安全存在的問題，要實現信息安全不但要靠先進的技術，還要有嚴格的法律法規和信息安全教育。

　 5.2.1 加強全體員工的信息安全教育，提高警惕性。從自身做起，有效利用各種信息安全防護設備，保證個人的信息安全，提高整個系統的安全防護能力，從而促進整個系統的信息安全。

　 5.2.2 發展有自主知識產權的信息安全產業，加大信息產業投入。增強自主創新意識，加大核心技術的研發，尤其是信息安全產品，減小對國外產品的依賴程度。

　 5.2.3 創造良好的信息化安全支撐環境。完善我國信息安全的法規體系，制定相關的法律法規，例如信息安全法、數字簽名法、電子信息犯罪法、電子信息出版法、電子信息知識產權保護法、電子信息個人隱私法、電子信息進出境法等，加大對網絡犯罪和信息犯罪的打擊力度，對其進行嚴厲的懲處。

　 5.2.4 高度重視信息安全基礎研究和人才的培養。為了在高技術環境下發展自主知識產權的信息安全產業，應大力培養信息安全專業人才，建立信息安全人才培養體系。

　 5.2.5 加強國際防范，創造良好的安全外部環境。由于網絡與生俱有的開放性、交互性和分散性等特征，產生了許多安全問題，要保證信息安全，必須積極參與國際合作，通過吸收和轉化有關信息網絡安全管理的國際法律規范，防范來自世界各地的黑客入侵，加強信息網絡安全。

　6 結束語

　 總之，由于網絡及信息資源的特殊性質，決定了信息安全問題的客觀存在。信息安全問題不僅涉及企業的經濟安全、金融安全，同時也涉及政治安全和文化安全，因此應當加強對信息安全問題的重視。目前，我國企業正在加快信息化建設步伐，加強對信息安全的管理，保證信息的安全保密性勢在必行。

　通信地址：河北省任丘市燕山道中國石油測井有 限公司華北事業部黨群工作科

　郵編：

　062552

　電子郵件：

　hbzhaiyj @cnpc.com.cn

　聯系電話：

　0317- - 27 22680

　參考文獻

　[專著] 于磊. 書名[企業信息安全建設之道]. 北京：東方出版社，2010.

推薦訪問： 信息安全 企業