王雨婷

（廊坊開(kāi)發(fā)區(qū)環(huán)境保護(hù)局，河北廊坊 065000）

企業(yè)信息化與信息安全的思考

王雨婷

（廊坊開(kāi)發(fā)區(qū)環(huán)境保護(hù)局，河北廊坊 065000）

在互聯(lián)網(wǎng)蓬勃發(fā)展的今天，隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展以及網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，網(wǎng)絡(luò)安全問(wèn)題逐漸凸現(xiàn)出來(lái)，尤其在企業(yè)內(nèi)網(wǎng)數(shù)據(jù)安全面臨的問(wèn)題尤為突出。因此主要將企業(yè)信息化的發(fā)展與安全防范結(jié)合在一起進(jìn)行闡述。

信息化；內(nèi)網(wǎng)；數(shù)據(jù)安全

1 信息化的作用以及對(duì)于不同企業(yè)的存在形式

隨著信息化時(shí)代的到來(lái)，云計(jì)算，互聯(lián)網(wǎng)+，數(shù)字化等熱門(mén)字眼頻繁出現(xiàn)在各種媒體以及與人們?nèi)粘Ｉ钕⑾⑾嚓P(guān)的地方。人是社會(huì)發(fā)展的參與者，因?yàn)槿说拇嬖谒圆判纬闪烁餍懈鳂I(yè)的蓬勃發(fā)展，而社會(huì)又是由各行各業(yè)所組成的，在信息化手段尚未介入之前，不同行業(yè)之間的聯(lián)系較少，在很多問(wèn)題的處理上無(wú)法形成合力，信息無(wú)法及時(shí)分發(fā)和共享，導(dǎo)致處理問(wèn)題效率低下，重復(fù)做著造輪子的工作。

在現(xiàn)代企業(yè)管理和經(jīng)營(yíng)過(guò)程中，迫切的需要使用某種技術(shù)或者手段來(lái)解決信息的暢通，信息的共享以及信息的存儲(chǔ)，而這些信息的本質(zhì)實(shí)際上都是數(shù)據(jù)。企業(yè)信息化的核心就是讓這些數(shù)據(jù)以不同的形式傳輸，存儲(chǔ)并且展示給用戶(hù)，這里的用戶(hù)可以是企業(yè)的管理者也可以是企業(yè)的普通員工。

筆者曾經(jīng)調(diào)研過(guò)工程企業(yè)，醫(yī)療企業(yè)，事業(yè)單位，能源企業(yè)等，這些不同的企業(yè)事業(yè)單位對(duì)企業(yè)信息化的理解也不盡相同。因此就不同的企事業(yè)單位需求對(duì)信息化的應(yīng)用進(jìn)行如下闡述。

1.1 工程企業(yè)

工程企業(yè)對(duì)信息化的要求主要體現(xiàn)在云平臺(tái)，ERP系統(tǒng)和建模軟件這三個(gè)領(lǐng)域。ERP系統(tǒng)主要針對(duì)目前工程領(lǐng)域流行的集設(shè)計(jì)，采購(gòu)，施工于一體的總承包項(xiàng)目的管理，在項(xiàng)目管理中，需要對(duì)項(xiàng)目的整體進(jìn)行分解，按照權(quán)重實(shí)施進(jìn)度管理和跟進(jìn)，這就需要使用ERP系統(tǒng)操作，包括了責(zé)任人，責(zé)任事項(xiàng)，推送的待處理事項(xiàng)，流程管理等。工程企業(yè)的核心是根據(jù)設(shè)計(jì)人員出的施工圖進(jìn)行工程施工施工圖紙一般都是通過(guò)CAD軟件繪制的，隨著信息化時(shí)代的到來(lái)，使用CAD繪制的二維圖紙已經(jīng)不能滿(mǎn)足甲方也就是業(yè)主方的需要，甲方往往需要更美觀(guān)，更直觀(guān)的三維立體圖紙，因此具備能夠生成動(dòng)態(tài)效果的三維建模設(shè)計(jì)軟件PDMS，COMOS，GIS數(shù)字化工廠(chǎng)等一批產(chǎn)品被應(yīng)用于設(shè)計(jì)一線(xiàn)，這些軟件所設(shè)計(jì)出來(lái)的圖紙打破了二維圖紙的線(xiàn)條，呈現(xiàn)出不同色彩不同視角的三維圖像，在三維模型中還包含了各種實(shí)用參數(shù)，通過(guò)參數(shù)的設(shè)定可以對(duì)工程項(xiàng)目中的場(chǎng)站，各種物料庫(kù)，廠(chǎng)區(qū)進(jìn)行動(dòng)態(tài)模擬，模擬出極端的危險(xiǎn)的場(chǎng)景，繼而對(duì)設(shè)計(jì)中存在的缺陷和安全隱患進(jìn)行規(guī)避，極大地提高了設(shè)計(jì)效率。而云平臺(tái)則好比是一條高速公路，它把ERP系統(tǒng)和建模軟件這兩者放在了這個(gè)高速公路上，結(jié)合工程類(lèi)企業(yè)的工作習(xí)慣，這個(gè)行業(yè)出差率非常高，設(shè)計(jì)人員往往在自己公司內(nèi)設(shè)計(jì)圖紙，而在現(xiàn)場(chǎng)施工階段就需要讓工程人員帶著電子圖紙到施工現(xiàn)場(chǎng)進(jìn)行比對(duì)和校審，而施工現(xiàn)場(chǎng)的電腦未必滿(mǎn)足設(shè)計(jì)人員的需求，有些電腦上甚至沒(méi)有安裝相應(yīng)的軟件，而且為了保密的原因，有很多數(shù)據(jù)和圖紙是不能在除辦公電腦之外打開(kāi)的，這就需要云平臺(tái)的功能，只要有網(wǎng)絡(luò)信號(hào)，就可以在任意電腦上連接公司服務(wù)器，進(jìn)入自己的賬戶(hù)后可以隨時(shí)隨地的修改完善自己的圖紙和數(shù)據(jù)而無(wú)需擔(dān)心泄密的問(wèn)題，這三部分信息化應(yīng)用為工程企業(yè)帶來(lái)了便利性和專(zhuān)業(yè)化。

1.2 醫(yī)療企業(yè)

醫(yī)療企業(yè)主要面對(duì)的服務(wù)對(duì)象是病人，因此需要具有排號(hào)功能的管理軟件，在這類(lèi)軟件中還需具備病人資料的存儲(chǔ)，比如病例、藥方、住院時(shí)間等信息醫(yī)療企業(yè)對(duì)信息化硬件技術(shù)的依賴(lài)較大，例如信息化的醫(yī)療器材、自助繳費(fèi)機(jī)等。

1.3 能源企業(yè)

對(duì)于能源企業(yè)而言，信息化更多體現(xiàn)在對(duì)數(shù)據(jù)的處理與分析上。比如石油行業(yè)石化行業(yè)中，需要對(duì)地質(zhì)勘探，巖土采樣，地?zé)?，油品檢驗(yàn)等數(shù)據(jù)進(jìn)行處理與分析，通過(guò)對(duì)數(shù)據(jù)的分析，能夠推算出某一地域的某種自然數(shù)據(jù)的形成規(guī)律，甚至能夠探測(cè)出新的能源分布區(qū)域，需要用到對(duì)海量數(shù)據(jù)處理的大數(shù)據(jù)技術(shù)。

這三個(gè)典型的案例分別描述了在不同的環(huán)境下信息化工作的意義。但是無(wú)論是哪種情況，都存在一個(gè)突出的問(wèn)題，而且是永遠(yuǎn)繞不開(kāi)的問(wèn)題，那就是信息安全。

網(wǎng)絡(luò)安全信息安全歸根結(jié)底是數(shù)據(jù)安全，企業(yè)的數(shù)據(jù)一旦丟失就相當(dāng)于一筆無(wú)形的資產(chǎn)丟失一樣嚴(yán)重。為了應(yīng)付當(dāng)前出現(xiàn)的各種網(wǎng)絡(luò)安全問(wèn)題，網(wǎng)絡(luò)數(shù)據(jù)安全技術(shù)及軟硬件設(shè)備層出不窮。安全技術(shù)覆蓋了計(jì)算機(jī)網(wǎng)絡(luò)的方方面面。安全技術(shù)變得紛繁復(fù)雜起來(lái)，這對(duì)網(wǎng)絡(luò)安全技術(shù)的應(yīng)用來(lái)說(shuō)帶來(lái)了挑戰(zhàn)。對(duì)于網(wǎng)絡(luò)安全我們所看重的往往是單個(gè)應(yīng)用點(diǎn)，這就容易忽略某些層次的安全問(wèn)題。企業(yè)內(nèi)網(wǎng)絡(luò)接入層安全問(wèn)題就是在這種環(huán)境下日益顯現(xiàn)出來(lái)的。網(wǎng)絡(luò)安全技術(shù)從應(yīng)用方面來(lái)看，主要分為面向終端系統(tǒng)的網(wǎng)絡(luò)安全技術(shù)和面向網(wǎng)絡(luò)基礎(chǔ)架構(gòu)的安全技術(shù)。對(duì)于企業(yè)而言，連接外網(wǎng)的可能性不是很大，主要是面臨著內(nèi)網(wǎng)安全問(wèn)題。

2 企業(yè)內(nèi)網(wǎng)數(shù)據(jù)存在的主要安全威脅及原因

2.1 ARP欺騙攻擊

ARP欺騙攻擊存在兩種表現(xiàn)形式，分別為：偽裝網(wǎng)關(guān)、偽裝主機(jī)。偽裝網(wǎng)關(guān)是指接入層的攻擊主機(jī)，通過(guò)構(gòu)造非法ARP報(bào)文，對(duì)來(lái)自本網(wǎng)段的網(wǎng)關(guān)ARP查詢(xún)進(jìn)行回應(yīng)。直接導(dǎo)致其他接入層主機(jī)的ARP表中出現(xiàn)不正確的IP地址MAC地址的對(duì)應(yīng)關(guān)系，其他主機(jī)將攻擊主機(jī)誤認(rèn)為是網(wǎng)關(guān)，大量的數(shù)據(jù)報(bào)文就會(huì)發(fā)送給攻擊主機(jī)。這將會(huì)產(chǎn)生兩個(gè)結(jié)果：第一，由于攻擊主機(jī)不是真正的網(wǎng)關(guān)，數(shù)據(jù)無(wú)法出網(wǎng)，其他主機(jī)無(wú)法正常上網(wǎng)。第二，攻擊主機(jī)可以將其他主機(jī)發(fā)來(lái)的信息進(jìn)行解封裝，從而窺探其中的隱私信息。

偽裝主機(jī)攻擊是把網(wǎng)關(guān)作為欺騙目標(biāo)的一種攻擊方式，同樣會(huì)造成隱私泄露和上網(wǎng)異常。這種攻擊方式是前面第一種的變體，會(huì)對(duì)網(wǎng)關(guān)向主機(jī)返回的數(shù)據(jù)流量造成負(fù)面影響，使主機(jī)無(wú)法正常接收網(wǎng)關(guān)傳來(lái)的數(shù)據(jù)。

2.2 存在于內(nèi)網(wǎng)的病毒

業(yè)務(wù)系統(tǒng)往往會(huì)有文檔上傳的模塊，用戶(hù)如果將帶有宏病毒的word文檔隨之上傳的話(huà)會(huì)讓數(shù)據(jù)服務(wù)器所有同類(lèi)型文件都感染此類(lèi)病毒，而用戶(hù)在將其下載下來(lái)，之前為染毒的其他用戶(hù)也會(huì)染上相應(yīng)的病毒，更為可怕的是如果病毒是勒索病毒的話(huà)，整個(gè)服務(wù)器所有的文檔都被惡意加密，如果要解密需要向黑客支付贖金，也未必會(huì)完全解除危險(xiǎn)。對(duì)于勒索病毒美國(guó)情報(bào)機(jī)構(gòu)FBI的研究人員也尚未尋找到有效的方法破解，為了提高內(nèi)網(wǎng)文件和數(shù)據(jù)的安全性，用戶(hù)應(yīng)當(dāng)做到以下幾點(diǎn)措施就可以將這個(gè)危險(xiǎn)降到最低：

（1）嚴(yán)禁將內(nèi)網(wǎng)電腦接入公網(wǎng)，或者盡量減少接入公網(wǎng)的次數(shù)，接入公網(wǎng)不用QQ等聊天工具接收來(lái)路不明的文件。

（2）禁止將撿到的不明來(lái)歷的U盤(pán)或者移動(dòng)存儲(chǔ)設(shè)備接入內(nèi)網(wǎng)電腦，這種撿到的存儲(chǔ)設(shè)備很有可能是黑客有選擇性丟棄的，具體案例可以參見(jiàn)美國(guó)對(duì)伊朗發(fā)動(dòng)的震網(wǎng)病毒的攻擊事件。

（3）在個(gè)人電腦以及服務(wù)器上安裝殺毒軟件和防火墻，養(yǎng)成良好的上網(wǎng)習(xí)慣。

（4）服務(wù)器管理員定期更換登陸密碼，及時(shí)修補(bǔ)安全漏洞。

2.3 黑客有目的性的攻擊

針對(duì)企業(yè)或者政府的數(shù)據(jù)中心服務(wù)器，最常見(jiàn)的有組織的黑客攻擊是DDoS攻擊，就是“分布式拒絕服務(wù)（Distributed Denial of Service）”。

DoS（拒絕服務(wù)，Denial of Service）就是利用合理的服務(wù)請(qǐng)求來(lái)占用過(guò)多的服務(wù)資源，從而使合法用戶(hù)無(wú)法得到服務(wù)的響應(yīng)。這是早期非常基本的網(wǎng)絡(luò)攻擊方式。

不過(guò)這種 DoS 攻擊是一對(duì)一的，當(dāng)攻擊目標(biāo) CPU 速度低、內(nèi)存小或者網(wǎng)絡(luò)帶寬小等各項(xiàng)性能指標(biāo)不高，它的效果是明顯的。隨著計(jì)算機(jī)與網(wǎng)絡(luò)技術(shù)的發(fā)展，計(jì)算機(jī)的處理能力迅速增長(zhǎng)，內(nèi)存大大增加，同時(shí)也出現(xiàn)了帶寬更高的網(wǎng)絡(luò)，這使得單純的 DoS 攻擊難以奏效。

于是，DDoS 這種多對(duì)一，多對(duì)多的攻擊就出現(xiàn)了，將多個(gè)計(jì)算機(jī)聯(lián)合起來(lái)作為攻擊平臺(tái)，對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DDoS 攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力。在一個(gè)設(shè)定的時(shí)間主控程序?qū)⑴c大量代理程序通訊，代理程序已經(jīng)被安裝在網(wǎng)絡(luò)上的許多計(jì)算機(jī)上，代理程序收到指令時(shí)就發(fā)動(dòng)攻擊。簡(jiǎn)單來(lái)說(shuō)，就是利用“不明真相的群眾的力量”，一個(gè)攻擊不奏效，就聯(lián)合大量機(jī)器進(jìn)行攻擊。

一般來(lái)說(shuō)，DDoS 攻擊可以具體分成兩種形式：帶寬消耗型以及資源消耗型。它們都是透過(guò)大量合法或偽造的請(qǐng)求占用大量網(wǎng)絡(luò)以及器材資源，以達(dá)到癱瘓網(wǎng)絡(luò)以及系統(tǒng)的目的。其中，DDoS 帶寬消耗攻擊可以分為兩個(gè)不同的層次：洪泛攻擊或放大攻擊。洪泛攻擊的特點(diǎn)是利用僵尸程序發(fā)送大量流量至受損的受害者系統(tǒng)，目的在于堵塞其帶寬。放大攻擊與其類(lèi)似，是通過(guò)惡意放大流量限制受害者系統(tǒng)的帶寬，其特點(diǎn)是利用僵尸程序發(fā)送信息，但是信息卻是發(fā)送至廣播 IP 地址，導(dǎo)致系統(tǒng)子網(wǎng)被廣播 IP 地址連接上之后再發(fā)送信息至受害系統(tǒng)。

作為 DDoS 攻擊的結(jié)果，一般會(huì)出現(xiàn)以下幾點(diǎn)癥狀：

（1）網(wǎng)絡(luò)異常緩慢（打開(kāi)文件或訪(fǎng)問(wèn)網(wǎng)站）

（2）特定網(wǎng)站無(wú)法訪(fǎng)問(wèn)

（3）無(wú)法訪(fǎng)問(wèn)任何網(wǎng)站

（4）垃圾郵件的數(shù)量急劇增加

（5）無(wú)線(xiàn)或有線(xiàn)網(wǎng)絡(luò)連接異常斷開(kāi)

（6）長(zhǎng)時(shí)間嘗試訪(fǎng)問(wèn)網(wǎng)站或任何互聯(lián)網(wǎng)服務(wù)時(shí)被拒絕

[1] 武孟軍.精通SNMP[M].北京：人民郵電出版社，2010：221-310.

[2] 岑賢道，安常青.網(wǎng)絡(luò)管理協(xié)議及應(yīng)用開(kāi)發(fā)[M].北京：清華大學(xué)出版社，2007.

[3] 劉遠(yuǎn)生.計(jì)算機(jī)網(wǎng)絡(luò)安全[M].北京：清華大學(xué)出版社，2002.

[4] 楊哲.無(wú)線(xiàn)網(wǎng)絡(luò)黑客攻防[M].北京：中國(guó)鐵道出版社，2014.

[5] Sherri Davidoff等.黑客大追蹤[M].北京：電子工業(yè)出版社，2015.

[6] Justin Seitz.Python黑帽子黑客-與滲透測(cè)試編程之道[M].北京：電子工業(yè)出版社，2015.

[7] 李瑞民.網(wǎng)絡(luò)掃描技術(shù)揭秘[M].北京：機(jī)械工業(yè)出版社，2012.

Thoughts on Enterprise Informatization and Information Security

Wang yu-ting

With the development of Internet technology and the continuous expansion of network scale，the problem of network security is becoming more and more prominent.Especially in the enterprise network data security problems are particularly prominent. This article will be enterprise information development and security precautions together to elaborate.

informatization；intranet；data security

F270.5

B

1003–6490（2017）05–0247–02

2017–04–06

王雨婷（1988—），女，天津人，主要從事環(huán)保工作。