張文茹　單　穎

摘要：在信息化高度發(fā)達的今天，信息安全是企業(yè)管理中不容忽視的問題，它涉及到企業(yè)生產(chǎn)經(jīng)營、發(fā)展建設(shè)的方方面面，是企業(yè)在競爭激烈的商場中立于不敗之地的根本保證之一。但在現(xiàn)實中，企業(yè)的信息安全普遍存在著一些這樣那樣的問題，這些問題必須引起我們的高度重視，只有這樣才能確保我們的企業(yè)健康成長。

關(guān)鍵詞：信息化建設(shè)；信息安全

二十一世紀的競爭是經(jīng)濟全球化和信息化的競爭，如何以信息化提升企業(yè)的管理水平和綜合實力，通過信息化的發(fā)展為企業(yè)帶來更大效益往往是我們所關(guān)心的問題。但是由于信息技術(shù)本身的特殊性，特別是互聯(lián)網(wǎng)的快速發(fā)展，使得信息技術(shù)又隱藏著巨大且不可能根除的風險，使個人權(quán)益、企業(yè)生存、金融風險防范乃至社會穩(wěn)定和國家的安全面臨危險。如何在信息化建設(shè)快速發(fā)展的同時確保信息安全，已成為各企事業(yè)單位乃至國家政府關(guān)心的熱點問題。

目前，大部分企業(yè)都認識到了信息安全的重要性，并不同程度的建立了信息安全防護體系。然而，由于基礎(chǔ)薄弱，工作人員防范意識淡薄，一些企業(yè)的信息安全形勢不容樂觀，計算機網(wǎng)絡(luò)系統(tǒng)癱瘓、數(shù)據(jù)丟失、網(wǎng)上信息失竊等重大信息安全事故時有發(fā)生，給企業(yè)造成不必要的損失。

1企業(yè)信息化建設(shè)中信息安全管理面臨的主要威脅和隱患

1.1計算機病毒

計算機病毒能影響計算機軟件、硬件的正常運行，破壞數(shù)據(jù)的正確與完整，甚至導致系統(tǒng)崩潰等重大惡果。據(jù)統(tǒng)計，由計算機病毒破壞而造成的經(jīng)濟損失，不亞于一場小型戰(zhàn)爭。例如“CIH”病毒的誕生，使世界上數(shù)以萬計的計算機遭到破壞，用戶的數(shù)據(jù)被病毒吞噬，直接和間接的經(jīng)濟損失無法估量。二00四年“五一”期間爆發(fā)的“振蕩波”病毒使得全球超過1800萬臺的電腦受到攻擊。大量的局域網(wǎng)絡(luò)因遭到病毒的侵襲而癱瘓，給企業(yè)、國家造成巨大的經(jīng)濟損失。尤其需要引起我們高度重視的是針對盜取各類敏感信息的木馬病毒呈現(xiàn)上升趨勢。這類病毒用戶難于發(fā)現(xiàn)，屬于隱性病毒，具有隱蔽性強、危害性大、目標明確等特點，將是今后病毒的主要破壞形式。

1．2黑客攻擊

電腦入侵、賬號泄漏、資料丟失、網(wǎng)頁被黑等等也是企業(yè)信息安全管理中經(jīng)常遇到的問題。其特點是往往具有明確的目標。當黑客要攻擊一個目標時，通常是首先收集被攻擊方的有關(guān)信息，分析被攻擊方可能存在的漏洞，然后建立模擬環(huán)境，進行模擬攻擊，測試對方可能的反應(yīng)，再利用適當?shù)墓ぞ哌M行掃描，最后通過己知的漏洞，實施攻擊。黑客一旦獲得了對攻擊目標的系統(tǒng)訪問權(quán)，就有可能在目標系統(tǒng)中建立新的安全漏洞或后門、安裝探測器軟件、收集感興趣的一切信息，然后就可以讀取郵件，搜索和盜竊文件，毀壞重要數(shù)據(jù)，破壞整個系統(tǒng)的信息，造成不堪設(shè)想的后果。

1.3信息傳輸、存儲介質(zhì)的保護

在物理介質(zhì)層次上對存儲和傳輸?shù)男畔⑦M行安全保護，是信息安全的基本保障。物理安全隱患大致包括三個方面：一是自然災(zāi)害（如地震、火災(zāi)、洪水、雷電等）、物理損壞（如硬盤損壞、設(shè)備使用到期、外力損壞等）和設(shè)備故障（如停電斷電、電磁干擾等）；二是電磁輻射、信息泄漏、痕跡泄露（如口令密鑰等保管不善）；三是操作失誤（如刪除文件，格式化硬盤、線路拆除）、意外疏漏等。

1.4企業(yè)本身信息安全管理是否完善

安全管理漏洞包括人為因素和非人為因素。

非人為因素。隨著計算機網(wǎng)絡(luò)信息系統(tǒng)日益復雜，以致人們無法保證系統(tǒng)不存在網(wǎng)絡(luò)設(shè)計漏洞與管理漏洞。這些漏洞和缺陷自然成為黑客進行攻擊的首選目標。另外，軟件設(shè)計人員出于自身的考慮，在進行軟件開發(fā)時，為所開發(fā)的軟件設(shè)置“后門”，一旦 “后門”為外人所知，該軟件則無安全可言，所造成的后果也不堪設(shè)想。

人為因素。人為因素包括人為的無意失誤和人為的惡意攻擊。

人為的無意失誤。網(wǎng)絡(luò)管理員安全配置不當造成的安全漏洞，用戶安全意識不強，口令選擇不慎，用戶將自己的賬號隨意轉(zhuǎn)借他人或與別人共享等都會對網(wǎng)絡(luò)信息安全帶來威脅。一些別有用心的人會利用這些無意的失誤，從他人計算機內(nèi)獲取不該他獲取的信息。

人為的惡意攻擊。這是計算機網(wǎng)絡(luò)所面臨的最大威脅，網(wǎng)絡(luò)戰(zhàn)中敵方的攻擊和計算機犯罪就屬于這一類。這類攻擊又可分為兩種：一種是主動攻擊，是以各種方式有選擇地破壞信息的有效性和完整性；另一種方式是被動攻擊，就是在不影響網(wǎng)絡(luò)正常工作的情況下，進行截獲、竊取、破譯以獲得重要機密信息。這兩種攻擊均可對計算機網(wǎng)絡(luò)造成極大的危害，并造成機密數(shù)據(jù)的泄漏。

2加強信息安全管理必須解決好的關(guān)鍵問題

2.1技術(shù)方面

信息安全不僅是單一PC的問題，也不僅是服務(wù)器或路由器的問題，而是整體網(wǎng)絡(luò)系統(tǒng)的問題。所以信息安全要考慮整個網(wǎng)絡(luò)系統(tǒng)，結(jié)合網(wǎng)絡(luò)系統(tǒng)來制定合適的信息安全策略。由于網(wǎng)絡(luò)安全涉及到的問題非常多，如防病毒、防入侵破壞、防信息盜竊、用戶身份驗證等，這些都不是由單一產(chǎn)品來完成，也不可能由單一產(chǎn)品來完成，因此網(wǎng)絡(luò)安全也必須從整體策略來考慮。

網(wǎng)絡(luò)設(shè)備。充分利用交換機、路由器等網(wǎng)絡(luò)設(shè)備的基本安全功能（如VLAN等）配置企業(yè)計算機網(wǎng)絡(luò)，達到限制存取目的。有必要使用防火墻、入侵檢測系統(tǒng)、虛擬系統(tǒng)等網(wǎng)絡(luò)設(shè)備加強企業(yè)網(wǎng)絡(luò)信息的安全性。

網(wǎng)絡(luò)操作系統(tǒng)。網(wǎng)絡(luò)操作系統(tǒng)是網(wǎng)絡(luò)信息系統(tǒng)的核心，在信息安全管理中占據(jù)十分重要的地位。如今的操作系統(tǒng)性能更先進、功能更豐富，因而對企業(yè)來說更有用，但同時也增加了安全漏洞。為了加強系統(tǒng)的安全性，應(yīng)對操作系統(tǒng)予以合理配置、管理和監(jiān)控。集中管理企業(yè)內(nèi)部的操作系統(tǒng)安全是降低成本和風險的有效途徑。

數(shù)據(jù)庫系統(tǒng)。在數(shù)據(jù)庫系統(tǒng)中，由于數(shù)據(jù)大量集中存放，且為眾多用戶直接共享，安全性問題更為突出。數(shù)據(jù)庫安全性問題應(yīng)包括兩個部分：

數(shù)據(jù)庫數(shù)據(jù)的安全。確保當數(shù)據(jù)庫系統(tǒng)DownTime時，當數(shù)據(jù)庫數(shù)據(jù)存儲媒體被破壞時以及當數(shù)據(jù)庫用戶誤操作時，數(shù)據(jù)庫數(shù)據(jù)信息不至于丟失。

數(shù)據(jù)庫系統(tǒng)不被非法用戶侵入。盡可能地堵住潛在的各種漏洞，防止非法用戶利用它們侵入數(shù)據(jù)庫系統(tǒng)。

應(yīng)用軟件。應(yīng)用軟件的安全缺陷往往與軟件的規(guī)模和復雜性成正比，從設(shè)計、實現(xiàn)到維護階段，都留下了大量的安全漏洞。程序開發(fā)人員在設(shè)計開發(fā)程序時，應(yīng)把軟件的安全性作為開發(fā)的重點工作，并在測試階段努力查找系統(tǒng)漏洞，最大限度確保軟件的安全性。

2.2管理方面

信息安全的管理方面又包括網(wǎng)絡(luò)管理、數(shù)據(jù)管理、設(shè)備管理、人員管理等。由于信息安全管理是一項系統(tǒng)工程，所以需要依靠完備的信息安全管理體系，設(shè)計科學的信息安全管理流程，全面落實信息安全管理制度。

2.3法律方面

隨著信息安全問題日漸突出，法律防范顯得十分重要和緊迫。它不僅是打擊計算機犯罪的法律依據(jù)，更是保護知識產(chǎn)權(quán)、數(shù)據(jù)安全、商業(yè)機密、個人隱私的有效途徑。

3企業(yè)加強信息安全方面應(yīng)采取的主要對策

如前所述，信息安全管理是一項涉及方方面面的系統(tǒng)工程，不同企業(yè)、不同行業(yè)之間千差萬別，沒有統(tǒng)一的模式可循。但一般而言，無論何種行業(yè)、哪家企業(yè)，加強信息安全管理都應(yīng)遵守技術(shù)優(yōu)先的原則、管理保障的原則、以人為本的原則、寓管于用的原則等基本原則去組織實施。

具體措施包括以下幾方面：

3.1技術(shù)防范措施

信息安全是綜合性學科，并具有動態(tài)的、智能的特征。因而，信息系統(tǒng)面臨的安全風險也是動態(tài)變化的，這就意味著需要不斷動態(tài)調(diào)整安全策略和防范技術(shù)，以適應(yīng)新的安全風險，解決新的安全問題。

計算機系統(tǒng)物理安全的基本要求

必須配備延時時間長的不間斷電源確保服務(wù)器和關(guān)鍵部門計算機連續(xù)供電，有條件的企業(yè)可以采用柴油發(fā)電機組及不間斷電源共同構(gòu)建冗余供電設(shè)備。

安裝避雷裝置，盡量為每個節(jié)點都安裝防雷模塊，保護計算機網(wǎng)絡(luò)設(shè)備免遭雷擊。

為電源線和信號線加裝性能良好的濾波器，減小傳輸阻抗和導線間的交叉耦合，抑制和防止電磁泄漏。

關(guān)鍵服務(wù)器（如主域控制器、數(shù)據(jù)庫服務(wù)器、Web服務(wù)器、郵件服務(wù)器等）應(yīng)采用磁盤陣列及雙機容錯系統(tǒng)，保證網(wǎng)絡(luò)系統(tǒng)不間斷運行。

3.２安裝防火墻系統(tǒng)，將企業(yè)內(nèi)部網(wǎng)與外部網(wǎng)之間隔離，阻止黑客利用不安全的服務(wù)對內(nèi)部網(wǎng)絡(luò)進行攻擊，造成企業(yè)內(nèi)部信息泄漏。利用防火墻還能實現(xiàn)對數(shù)據(jù)流的監(jiān)控、過濾、記錄和報告。

安裝網(wǎng)絡(luò)入侵檢測系統(tǒng)（IDS），對企圖入侵、正在進行的入侵或已經(jīng)發(fā)生的入侵進行識別。利用入侵檢測系統(tǒng)可以了解網(wǎng)絡(luò)的運行狀況和發(fā)生的安全事件，并根據(jù)安全事件來調(diào)整安全策略和防護手段，同時改進實時響應(yīng)和事后恢復的有效性，為定期的安全評估和分析提供依據(jù)，從而提高網(wǎng)絡(luò)安全的整體水平。

對于關(guān)鍵信息需采用加密系統(tǒng)和認證機制，借助現(xiàn)代密碼技術(shù)對數(shù)據(jù)進行加密，將重要秘密信息由明文變?yōu)槊芪摹?/p>

企業(yè)內(nèi)部盡量采用代理服務(wù)器上國際互聯(lián)網(wǎng)的方式。使用代理服務(wù)器，可以有效控制用戶上網(wǎng)時間，監(jiān)視上網(wǎng)記錄，限制不同用戶的下載權(quán)限，控制帶寬流量，并且有效地進行網(wǎng)站過濾。有條件的單位，還可以將內(nèi)部網(wǎng)和互聯(lián)網(wǎng)進行物理隔離，更有效的規(guī)避風險。

建立健全防病毒體系。通過網(wǎng)絡(luò)殺毒軟件保護計算機網(wǎng)絡(luò)系統(tǒng)不受病毒破壞活動的影響，并注意及時更新病毒特征碼。

始終保持操作系統(tǒng)、WEB瀏覽器、電子郵件和應(yīng)用程序的安全版本，避免或減輕執(zhí)行惡意代碼所導致的后果。

3.３加強各項管理

信息安全問題的由來是信息系統(tǒng)的技術(shù)和管理因素造成的，但利用技術(shù)和管理漏洞造成安全事故的是人，這就說明僅僅通過程式化的安全產(chǎn)品和先進的技術(shù)手段是遠遠不夠的，需要全面分析安全環(huán)境，綜合評估存在的安全風險，結(jié)合企業(yè)的運行流程，針對目標信息系統(tǒng)和應(yīng)用、運營環(huán)境中的安全管理策略，制訂一個全面的安全管理策略。

建立健全規(guī)章制度，包括計算機室保密制度、進入機房重地登記制度、數(shù)據(jù)備份制度、上網(wǎng)管理制度等等，并建議信息主管部門與其它部門簽訂計算機網(wǎng)絡(luò)使用協(xié)議，通過制度規(guī)范管理，確保計算機網(wǎng)絡(luò)的安全和數(shù)據(jù)信息的安全保密。

按照不同級別、部門、崗位的職責，合理劃分權(quán)限，避免越權(quán)操作導致保密信息的泄漏。確保系統(tǒng)安全和數(shù)據(jù)安全。建立數(shù)據(jù)備份中心，定時備份數(shù)據(jù)，并采用多介質(zhì)、異地存儲的方式來保存數(shù)據(jù)備份。定期對實體進行檢查。特別是對文件服務(wù)器、光纜(或電纜)、終端及其他外設(shè)進行保密檢查，防止非法侵入。加強對網(wǎng)絡(luò)記錄媒體的保護和管理。如對關(guān)鍵的涉密記錄媒體要有防拷貝和信息加密措施，對廢棄的磁盤、色帶要有專人銷毀等。

3.4強化人員培訓教育

信息安全管理是貫穿整個信息化建設(shè)生命周期的工作，需要不斷對企業(yè)的決策層、技術(shù)管理層、分析設(shè)計人員、工作執(zhí)行人員等所有相關(guān)人員進行培訓教育。通過培訓，應(yīng)確保每個人明確各自在信息安全管理中的角色和責任，認識到信息安全的重要性，提高防患意識，加強自我保護能力。對計算機系統(tǒng)管理員和網(wǎng)絡(luò)管理員不僅要求知識豐富、技術(shù)全面，還應(yīng)該有強烈的責任心和勇于奉獻的精神。

總之，信息安全管理工作事關(guān)企業(yè)的存亡發(fā)展，應(yīng)該給予高度重視，盡量控制乃至規(guī)避安全風險，確保企業(yè)信息安全。