企业信息安全研究

(中国矿业大学，江苏徐州221008)

摘要：本文从企业信息化建设中遇到的各种安全状况着手，分析产生这些现象的原因，最后给出解决方案。

关键词：信息安全；网络安全；信息化

遵循着摩尔定律，IT技术的发展飞速千里，硬件、软件、网络、安全等技术日新月异。正所谓任何事物都具有两面性。它造福着人类的同时，也给人们留下了许多隐患。

随着信息技术的发展，我国大中型企业基本上都实现了信息化，各企业对信息化都非常重视。但是，很多企业在信息化建设中存在很多误区，信息化建设的任务主要集中在了财务系统、公司网站、企业邮箱、办公自动化、ERP等初级阶段，信息安全没有得到足够重视。

1企业信息安全中常遇到的几类问题

下面概要谈一下企业信息安全中常遇到的几类问题：

(1)移动存储：最近两年的u盘容量呈爆炸性增长，几G、几十G的U盘已经比较常见。按照现在U盘读写速率，一分钟拷贝走几百Mb的东西不成问题。在办公时间里很多工作人员没有养成人走锁机的习惯，这就造成了一个潜在的安全威胁。其他的移动存储器，比如：移动砸盘、存储卡、MP3播放器等，同样具有拷贝文件的功能。

移动存储连接上电脑以后，还有另外一个威胁，就是把存储在自身的病毒、木马等自动复制到电脑上，为信息安全埋下隐患。

(2)网络：现在基本上已是互联网络时代。互联网的发展为病毒、木马、黑客等的发展提供了最好的温床。通过电子邮件，或者即时通讯软件，几个G的文件很容易被转移到外部。同时网络中也存在着木马威胁，顽强的木马可使整个公司网络瘫痪，造成的经济损失数额巨大，成为一段时间以来危害网络安全的罪魁祸首。作为企业用户，不应随意打开来历不明的邮件；不要随意下载和运行来历不明的软件；及时修补漏洞和关闭可疑端口；及时升级病毒库；设置复杂型密码等。

(3)内部因素：内部人员的不保密性，商业间谍的出现，为企业信息外传提供可能。职员辞职后带走部分企业机密信息的不在少数。很多有价值的资料，在不经意间已经流出公司。

(4)外部因素：比如说。A公司有零件需要B公司加工，A公司会把加工图纸发送给B公司，而B公司有可能把加工图纸泄漏给A公司的竞争对手C公司。C公司对这份图纸得来全不费功夫。

(5)不可测因素：例如最近的地震。有可能造成公司数据资料的丢失；服务器的瘫痪，对企业的正常运转，信息的传递，都造成了不可估计的影响。

2产生这些问题的原因

一方面，没有信息安全方面的观念。在现在的企业信息化建设过程中，财务软件、人力资源管理软件、ERP软件等比较受欢迎，因为这些软件直接参与企业的生产经营活动，而对信息安全方面关注的人比较少。

另一方面，因为管理、技术、人员、制度的不健全。

(1)管理：没有完善的管理方法，管理人员专注于企业的生产经营。对企业的信息安全无暇顾及。

(2)技术：信息技术的发展，带来了很多新技术，这些新技术没有经过时间的检验，很可能在以后的发展过程中成为一个隐患。另外，信息安全的技术很多种，不是少数几个人能掌握得了的。所以，搞信息化建设的专业人才，要不断学习。不断提高自身水平。

(3)人员：由于企业对信息安全重视程度不高，对信息安全人员的需求度不高，基本上没有设置专业的信息安全岗位。企业中其他职员。是计算机普通使用者，没有形成良好的安全习惯。给有企图的人留下了可乘之机。

(4)制度：关于信息安全的制度不健全。即使有，信息安全方面的行为准则也是一纸空文，无法严格执行。

这些原因构成了信息安全隐患的主要部分。针对这些原因下手。可以提高企业的信息安全度。

3解决这些问题的方法

我们可以从以下几个方面进行解决：

我们要对企业信息安全建立整体架构规划，首先要了解企业的信息安全需求。企业的信息安全需求，以可用性、完整性、保密性为基础。实施信息安全要注意一个度的问题，比方说，产品图纸的信息价值一百万元，而我们花费两百万元对它进行保护。这就颠倒了主次，混淆了本末。我们如何才能知道我们的信息价值，可以借助于价值评估来完成。

企业信息安全架构规划可以从信息安全的不同领域：物理安全、系统安全、数据安全、网络安全、应用安全等各个领域分别解决。

3.1物理安全

企业信息安全的物理安全的风险是多种多样的。主要是指地震、水灾、火灾等环境事故；电源故障；人为操作失误或错误：设备被盗、被毁；电磁干扰；线路截获。我们要有针对性的解决：服务器要有专门的专业机房，能防雷、防静电、防灰尘、防盗；客户机要确保计算机主机的安全，防止丢失电脑配件或者整机。

3.2系统安全

包含计算机操作系统安全及在系统架构上的软件安全。没有绝对安全的操作系统，只有相对安全的操作系统。计算机上最好能安装正版操作系统，并及时下载补丁升级。对操作系统平台进行安全配置，对操作和访问权限进行严格控制，以确保把系统的危险降低到最低。应用软件方面。尽量安装大型软件公司出品的产品。免费软件、共享软件、破解软件等有安全隐患没有通过安全验证的软件，尽量不要安装。安装的软件要尽量避免与计算机内已有的软件发生冲突，以免引起系统不能稳定运行，频繁死机重启，造成数据丢失。

3.3数据安全

重要的文档要加密。密码在方便记忆的情况下，越复杂越好。重要数据要“狡兔三窟”，除了在本机有，还要做好备份工作。定期做好数据的备份工作，当计算机发生故障时，可以将损失减少到最低。

3.4网络安全

网络安全是一个热门的话题。下面我们就几种网络安全基础防护设施作一下介绍，它主要包含防火墙、入侵检测、漏洞扫描、病毒防治等。

(1)防火墙

防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。

防火墙是网络安全的屏障，它可以强化网络安全策略，可以对网络存取和访问进行监控审计，同时可以防止内部信息的外泄。

(2)入侵检测系统

入侵检测系统(Intrusion-detection system，下称“lDS'’)是一种对网络传输进行即时监视。在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处在于，IDS是一种积极主动的安全防护技术。

(3)漏洞扫描系统

漏洞扫描系统是一种系统安全评估技术，它包括网络模拟攻击、漏洞测试、报告服务进程以及评测风险，提供安全建议和改进措施等功能。

(4)防病毒系统

对付病毒最理想的办法是预防，就是不让病毒进入系统。但这个目标不可能实现，只能通过加强预防措施来减少病毒攻击的成功次数。

世界上没有完美的防病毒系统，国内和国外的都有其特点。一般来说，国外的技术先进，国内的有本地化优势。具体选择哪款，要综合考虑。但没有能通杀所有病毒的杀毒软件，并且，杀毒软件要经常更新病毒库，这样才能发挥它的最大效力。

3.5安全审计系统

上面介绍的几种安全防护措施，它们对防止外部入侵有一定的效果，但并不能完全阻止入侵者的攻击，特别对于内部安全问题的防范比较薄弱。在这种情况下，就需要网络安全审计系统进行补充。网络安全审计系统是一种基于信息流的数据采集、分析、识别和资源审计封锁软件。通过实时审计网络数据流，根据用户设定的安全控制策略，对受控对象的活动进行审计。

3.6应用安全

建立在操作系统之上的应用服务软件，如数据库服务器、电子邮件服务器、WEB服务器等，这些服务器管理系统本身的安全等级要达到与操作系统安全等级相当的级别，特别是数据库服务器应划分安全等级和范畴，对有关数据库安全的事件进行跟踪、记录、报警和处理等。

有了上述的防护措施，并不意味着我们的信息已经安全了，信息安全靠的是企业上下全体人员的努力，有个非常有名的原理用在这儿非常合适：“木桶原理”。企业信息安全的最终水准，是由最薄弱的那一环来决定的。所以，全体动员，共建信息安全很有必要。