劉光宇 王偉蔚

（63996部隊(duì)北京 100094）

企業(yè)信息安全問題及對策

劉光宇 王偉蔚

（63996部隊(duì)北京 100094）

隨著網(wǎng)絡(luò)技術(shù)的廣泛應(yīng)用，企業(yè)信息安全受到了廣泛威脅?；诖?，文章對信息安全面臨的內(nèi)部、與外部的常見威脅進(jìn)行了分析，并從管理、技術(shù)等方面提出了防護(hù)對策。

企業(yè)信息 安全 網(wǎng)絡(luò)攻擊 防護(hù)對策

1 引言

隨著信息化進(jìn)程的不斷深入，企業(yè)大量數(shù)據(jù)都依賴計(jì)算機(jī)網(wǎng)絡(luò)來存儲與管理，這些數(shù)據(jù)信息在存儲與應(yīng)用中常常面臨著來自外部與內(nèi)部各種形式的安全威脅。信息安全越來越多成為企業(yè)不得不面對的重要問題，對于技術(shù)密集型企業(yè)，信息安全甚至已經(jīng)成為關(guān)系著企業(yè)發(fā)展，生死存亡的戰(zhàn)略性問題。然而一些企業(yè)對信息安全認(rèn)識不足，安全投入及防護(hù)措施少，信息安全存在較多隱患，一旦發(fā)生信息泄密或丟失，可能給企業(yè)造成重大損失?；诖?，本文就企業(yè)信息安全面臨的安全威脅進(jìn)行探討并提出防范對策。

2 企業(yè)信息安全的涵義

所謂信息安全是指信息系統(tǒng)（包括硬件、軟件、數(shù)據(jù)、人員、物理環(huán)境及基礎(chǔ)設(shè)施）受到保護(hù)，不因偶然和惡意的原因而遭到破壞、更改、泄露，系統(tǒng)可靠正常地運(yùn)行，從而實(shí)現(xiàn)企業(yè)業(yè)務(wù)連續(xù)順利地開展[1]。其主要包括實(shí)體安全、運(yùn)行安全、內(nèi)容安全、管理安全四個(gè)方面。近年來，屢屢發(fā)生的因商業(yè)秘密泄露給企業(yè)造成重大損失說明，信息內(nèi)容安全是企業(yè)信息安全的核心，是企業(yè)信息安全防護(hù)的重點(diǎn)與難點(diǎn)。

3 信息安全面臨的主要威脅

企業(yè)信息安全面臨的威脅主要來自于內(nèi)部與外部兩個(gè)方面。

3.1 來自內(nèi)部的安全威脅

來自內(nèi)部的信息安全威脅主要有：偶發(fā)因素造成的信息數(shù)據(jù)的丟失，商業(yè)間諜竊密兩個(gè)方面。[2]如工作人員誤操作將信息數(shù)據(jù)刪除；存儲介質(zhì)的物理損壞造成數(shù)據(jù)丟失；工作人員因失誤造成信息泄密等屬于前者。商場如戰(zhàn)場，近年來，有些高科技企業(yè)安排商業(yè)間諜進(jìn)入企業(yè)內(nèi)獲取商業(yè)機(jī)密，或競爭對手通過經(jīng)濟(jì)利益收買企業(yè)工作人員獲取商業(yè)機(jī)密等屬于商業(yè)間諜竊密。

3.2 來自外部的安全威脅

來自外部的威脅主要表現(xiàn)于網(wǎng)絡(luò)間諜、黑客通過網(wǎng)絡(luò)技術(shù)手段發(fā)起網(wǎng)絡(luò)攻擊，從而獲取商業(yè)機(jī)密或造成破壞。

在信息數(shù)據(jù)的存儲、應(yīng)用、傳輸三種狀態(tài)下都可能受到攻擊。無論是系統(tǒng)軟件還是應(yīng)用軟件，在設(shè)計(jì)開發(fā)中都可能存在設(shè)計(jì)缺陷或安全漏洞，攻擊者正是利用這些缺陷發(fā)起攻擊。攻擊前攻擊者通常會利用特定軟件（如掃描程序、服務(wù)欺騙程序、特洛伊木馬、計(jì)算機(jī)病毒、后門程序等）收集企業(yè)網(wǎng)絡(luò)信息，然后發(fā)起攻擊。

企業(yè)數(shù)據(jù)在存儲與使用狀態(tài)下常常受到非授權(quán)訪問攻擊、拒絕服務(wù)（DOS）攻擊。非授權(quán)訪問通常有假冒攻擊與旁路攻擊兩種形式[3]。假冒攻擊是指攻擊者通過非法或偽造的憑證冒充合法用戶，從而攫取了授權(quán)用戶的權(quán)利。旁路攻擊是指攻擊者利用系統(tǒng)缺陷，繞過正常的用戶檢查驗(yàn)證，進(jìn)行非法訪問。非授權(quán)訪問可以獲取商業(yè)機(jī)密，對企業(yè)危害較大。拒絕服務(wù)攻擊是指攻擊者通過惡意程序非法搶占系統(tǒng)資源，從而系統(tǒng)不能為合法用戶提供正常服務(wù)，達(dá)到破壞的目的。

在信息傳輸過程中也常常受到攻擊威脅，其主要形式有：截獲、插入與重放、竊聽與數(shù)據(jù)分析、網(wǎng)絡(luò)拒絕服務(wù)等。截獲是指利用網(wǎng)絡(luò)技術(shù)手段非法獲取傳輸?shù)男畔ⅲ_(dá)到獲取機(jī)密信息的目的[4]。插入與重放是指攻擊者在截獲信息后，把偽造的數(shù)據(jù)插入到信道中，使接收方收到錯(cuò)誤的數(shù)據(jù)，達(dá)到假冒或破壞的目的。竊聽與數(shù)據(jù)分析是指攻擊者通過對通信線路或設(shè)備的監(jiān)聽（如鍵盤記錄、屏幕截圖等），經(jīng)過對傳輸數(shù)據(jù)的分析，推斷出秘密信息，達(dá)到獲取秘密信息的目的。網(wǎng)絡(luò)拒絕服務(wù)是指通過對數(shù)據(jù)或資源的干擾、非法占用、超負(fù)荷使用、對服務(wù)基礎(chǔ)設(shè)施攻擊等手段，造成網(wǎng)絡(luò)暫時(shí)或永久不能使用，從而破壞網(wǎng)絡(luò)通信[5]。

4 安全防護(hù)對策

網(wǎng)絡(luò)信息安全防護(hù)是一項(xiàng)系統(tǒng)性工作，要做好這項(xiàng)工作必須從管理、技術(shù)兩方面著手。安全防護(hù)主要做好以下幾個(gè)方面工作：

4.1 健全組織安全體系

成立保密委員會或保密工作領(lǐng)導(dǎo)小組，從組織上、制度上建立信息安全機(jī)制。這是預(yù)防來自內(nèi)部信息安全威脅的重要手段。保密組織應(yīng)做好以下工作：①制定科學(xué)合理的規(guī)章制度，讓工作人員在做好信息安全工作時(shí)有法可依，有章可循；②對企業(yè)信息進(jìn)行安全等級劃分。企業(yè)信息的使用效率與安全防護(hù)常常是矛盾的兩方面，要做好企業(yè)產(chǎn)品的推廣，提高效益又要保護(hù)好商業(yè)秘密，必須把企業(yè)信息做好信息安全等級劃分，明確哪些信息是可以公開的，哪些信息屬于商業(yè)秘密，哪些是核心秘密，對重要的信息重點(diǎn)保護(hù)，只有明確哪些信息屬于商業(yè)秘密，才能針對性地做好信息保密工作，這是做好信息保護(hù)的前提；③加強(qiáng)信息安全工作檢查，促進(jìn)保密工作常態(tài)化。負(fù)責(zé)對外合作交流和宣傳接待等方面提供資料和保密審查；對向外提供、寄運(yùn)的涉及企業(yè)秘密的文件、資料、印刷品、稿件、論文和其他物品以及公開展覽內(nèi)容進(jìn)行保密審查，并按規(guī)定辦理審查或報(bào)批手續(xù)；④加強(qiáng)保密教育，提高人員保密意識、法紀(jì)意識，對涉密崗位人員的聘用進(jìn)行審核并提出建議；⑤組織做好工作人員保密業(yè)務(wù)技能培訓(xùn)，提高信息素質(zhì)，使工作人員不因相關(guān)知識匱乏而造成泄密或信息損毀；⑥做好泄密事故、事件的依法查處工作。追究相關(guān)人員責(zé)任并做好信息挽救工作，把損失降低到最低。

4.2 建立行之有效的技術(shù)防護(hù)措施

網(wǎng)絡(luò)技術(shù)防范是預(yù)防網(wǎng)絡(luò)攻擊直接有限的手段之一，防護(hù)手段多種多樣，而且隨著網(wǎng)絡(luò)技術(shù)的發(fā)展而不斷發(fā)展與提高。目前主要包括以下幾個(gè)方面：

(1)進(jìn)行網(wǎng)絡(luò)隔離。通過物理或軟件技術(shù)策略隔離非授權(quán)用戶的訪問。在物理隔離方面主要包括對重要信息設(shè)備加強(qiáng)物理防護(hù)，與內(nèi)網(wǎng)與公網(wǎng)的物理斷開。如對房間安裝"三鐵一器"，設(shè)立門禁與監(jiān)控系統(tǒng)，安裝電磁屏蔽系統(tǒng)等方法加強(qiáng)對信息設(shè)備的防護(hù)。采用內(nèi)外網(wǎng)物理斷網(wǎng)時(shí)可通過移動(dòng)存儲設(shè)備進(jìn)行信息擺渡或通過網(wǎng)絡(luò)隔離網(wǎng)閘進(jìn)行信息交換。與物理隔離比軟件技術(shù)策略隔離效率高，應(yīng)用比較廣泛。如可以提高網(wǎng)安裝如在企業(yè)網(wǎng)中劃分VLAN限定用戶訪問；對交換機(jī)進(jìn)行IP地址、MAC地址綁定；設(shè)置分時(shí)訪問；禁止無線網(wǎng)絡(luò)非法接入；安裝軟、硬件防火墻等都是常見的隔離措施。對于用戶終端，還可以安裝防拷貝、防屏幕復(fù)制軟件，封USB等通信接口的措施，防止信息非法外流。

(2)建立可靠的身份認(rèn)證體系。用戶名密碼驗(yàn)證是最常見的身份認(rèn)證方式，為提高登錄密碼的安全，通常用戶密碼應(yīng)設(shè)置為數(shù)字與字母混合的較復(fù)雜密碼。為防止暴力破解，登錄驗(yàn)證部分還應(yīng)設(shè)計(jì)動(dòng)態(tài)驗(yàn)證碼。對于密級較高的系統(tǒng)，還可以使用動(dòng)態(tài)密碼、靜態(tài)密碼與USB key雙重驗(yàn)證、智能IC卡驗(yàn)證、指紋驗(yàn)證等。

(3)對涉密信息加密。加密是一種最有效的保密措施，通過軟件或加密設(shè)備對信息加密，即使攻擊者獲取了信息實(shí)體，也因無密鑰無法辨識信息內(nèi)容[2]，達(dá)到可靠保密的目的。目前可以通過軟件加密或硬件加密兩種方式，軟件加密成本低，但存在一定的安全隱患，重要數(shù)據(jù)的傳輸可用專用保密設(shè)備進(jìn)行加解密。

(4)預(yù)防惡意程序的破壞。企業(yè)內(nèi)部開發(fā)的軟件應(yīng)當(dāng)經(jīng)過嚴(yán)格的測試，防止安全漏洞的出現(xiàn)。外購時(shí)，應(yīng)當(dāng)優(yōu)先選擇經(jīng)過國家權(quán)威部門安全認(rèn)證的軟、硬件，確保不會有后門或漏洞的產(chǎn)生。針對操作系統(tǒng)應(yīng)及時(shí)安裝補(bǔ)丁程序與殺毒軟件，防止計(jì)算機(jī)病毒、木馬等惡意程序的破壞。惡意程序破壞愈演愈烈，攻擊事件成數(shù)每年成數(shù)倍級的增長。近年來出現(xiàn)的"震網(wǎng)"、"毒區(qū)"、"火焰"等病毒程序在世界范圍泛濫，造成了大量網(wǎng)絡(luò)的癱瘓、信息秘密被盜，給很多企事業(yè)單位帶來巨大損失，甚至威脅到了個(gè)別國家的安全，造成了不菲的經(jīng)濟(jì)損失。

(5)建立主動(dòng)防御與事后追蹤系統(tǒng)。主動(dòng)防御可以通過對系統(tǒng)的實(shí)時(shí)監(jiān)測及時(shí)發(fā)現(xiàn)系統(tǒng)漏洞和非法訪問，并對非法訪問發(fā)出警告或直接切斷非法操作行為[6]。事后追蹤是對網(wǎng)絡(luò)行為進(jìn)行追蹤記錄，以便對攻擊行為進(jìn)行追查，并采取有效的補(bǔ)救措施。

5 結(jié)束語

魔高一尺，道應(yīng)該高一丈，隨著網(wǎng)絡(luò)信息技術(shù)的不斷發(fā)展，攻擊方式、技術(shù)不斷發(fā)展，防護(hù)策略、技術(shù)也應(yīng)不斷提高與進(jìn)步。目前網(wǎng)絡(luò)防護(hù)手段與防護(hù)設(shè)備較多，企業(yè)應(yīng)根據(jù)自身特點(diǎn)、信息安全等級要求，合理地進(jìn)行相應(yīng)的建設(shè)，同時(shí)注重管理上加強(qiáng)防護(hù)，才能確保企業(yè)信息的機(jī)密性、可用性、全整形、可控性。

[1]沈昌祥,張煥國,馮登國,曹珍富,黃繼武.信息安全綜述[J].中國科學(xué).2007（2）:129-50.

[2]趙穎,樊曉平,周芳芳,黃偉,湯夢姣.大規(guī)模網(wǎng)絡(luò)安全數(shù)據(jù)協(xié)同可視分析方法研究[J].計(jì)算機(jī)科學(xué)與探索.2014（7）：848-57.

[3]王巖明,冼沛勇,建立數(shù)據(jù)安全系統(tǒng)，維護(hù)企業(yè)信息安全[J].計(jì)算機(jī)與網(wǎng)絡(luò).2003（24）:51-52.

[4]楊義先.信息安全新技術(shù)[M].北京：北京郵電大學(xué)出版社, 2013.

[5]劉家真.數(shù)據(jù)安全存儲與讀取策略研究[M].北京:科學(xué)出版社,2004.

[6]張超,孫曉燕,徐波.基于主動(dòng)防御的網(wǎng)絡(luò)病毒防治技術(shù)研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用.2009（1）:31-32.

Problems and Countermeasures of Enterprise Information Securit

LIU Guang-yu WANG Wei-we
(The 63996th troop of the PLA,Beijing 100094,China)

With the wide application of network technology,enterprise information security has been widely threaded.Based on this, the common threat to information security from internal,and external attack is analyzed,and the protective countermeasures are put forward from the management,technology etc in this paper.

enterprise information;security;network attack;protection measures

TP301.6

A

1008-1739（2014）24-67-3

定稿日期：2014-11-26