關于供水企業信息安全問題的研究

摘要：目前，供水企業面臨著很多信息安全問題。企業受到來自內部和外部的雙重威脅。外部因素主要包括計算機病毒的傳播和黑客的攻擊；內部風險主要源于企業信息安全管理問題。保障供水企業信息安全需從技術和員工信息安全管理兩大方面著手。

關鍵詞：供水企業?信息安全?安全管理

中圖分類號：F29 文獻標識碼：A文章編號：1672-3791(2012)02(c)-0000-00

1 前言

當前，隨著網絡和信息化建設的不斷發展，企業對信息網絡的依賴越來越強，供水企業也不例外。供水企業信息安全問題關系到供水系統的穩定和安全運行。目前，供水企業的信息安全風險主要來自于兩個方面，即內部和外部的因素。內部威脅主要為企業信息安全管理問題；外部因素主要包括因病毒、黑客、惡意軟件等造成的數據丟失，系統運行失常等問題。本文圍繞著這兩個方面的因素，就供水企業的信息安全問題進行探討。

2 供水企業面臨的信息安全威脅

2.1 計算機病毒的傳播

計算機病毒的傳播是帶來企業信息安全風險的因素之一。自上世紀九十年代以來，計算機病毒以迅猛的增長速度危害著個人用戶和企業用戶，給企業和個人造成了嚴重的經濟損失。目前，隨著智能手機的普及，一種新型的病毒，即手機病毒也開始威脅到企業的信息安全。

2.2 企業內部網絡受到黑客攻擊

黑客對企業內部網絡的攻擊是帶來企業信息安全風險的因素之二。由于Internet具有自由行和廣泛性，而供水企業一般又建立了企業內部網絡。當企業內部網絡與Internet發生間接或直接關聯的時候，企業內部網絡就有可能成為黑客攻擊的目標，從而泄露或丟失一些重要的企業信息，或使企業內部網絡處于失常或癱瘓的狀態。

2.3 企業安全管理的不足

企業的信息系統不夠健全，企業員工的安全意識薄弱，這也是造成企業信息安全威脅的因素。在信息機構設置方面，供水企業缺乏規范的機構體制，相關的專業技術人員偏少。同時，很多供水企業對相關的專業技術人員缺乏系統的專業培訓，使得企業員工缺乏必要的安全意識，“防黑防毒”意識淡薄，對一些惡意攻擊也缺乏警惕性，有的甚至因為操作失誤而給各種信息安全威脅帶來了可能。

3 供水企業信息安全建設

3.1 采用防水墻技術

防水墻是保障企業信息安全的有效手段。通過控制進出供水企業網絡的權限，監控網絡數據流，檢查所有的數據連接，防水墻技術可以有效地控制和管理對企業網絡系統的訪問控制和安全管理，隔離和過濾危險數據包，防止企業網絡受到黑客和病毒的破壞與干擾。同時，由于所有的訪問都得通過防火墻，防火墻還能實時記錄和統計網絡訪問，這對企業信息安全管理人員管理維護企業網絡提供了有利條件。

3.2 采用入侵檢測技術

防火墻可以限制對企業網絡系統的非法訪問或攻擊，檢測并防御非法訪問。然而，防火墻無法防止企業網絡內部用戶之間的攻擊不經過防火墻。因此，在采用防火墻的同時，有必要用入侵檢測技術。入侵檢測技術（Intrusion-detection?system），簡稱IDS，?是一種對網絡傳輸進行即時監視，在發現可疑傳輸時發出警報或者采取主動反應措施的網絡安全設備。它能夠分析通過網絡收集的信息，檢測并識別出惡意行為，及時有效地發現網絡異常，檢測出網絡中違反安全策略的行為。如果說防火墻是一幢大樓的門衛，那么IDS就是這幢大樓里的監視系統。一旦小偷爬窗進入大樓，或內部人員有越界行為，只有實時監視系統才能發現情況并發出警告。除了簡單的記錄和發出警報之外，IDS還可以進行主動反應：打斷會話，和實現過濾管理規則。所以說，要確保供水企業網絡處于安全的狀態，入侵檢測技術也是必不可少的，它是防火墻技術的一個有效的補充。

3.3 采用VPN技術

VPN（Virtual?Private?Network），即虛擬專用網，是通過一個公用網絡（通常為Internet）建立一個臨時的、安全的連接，是一條穿過混亂的公用網絡的安全、穩定的隧道。它主要是通過路由器、防火墻技術、隧道技術，安全秘鑰以及加密協議而組建成的Internet?VPN。它是對企業內部網絡的擴展，通過VPN可以在企業分支機構，合作伙伴、供應商或遠程用戶與企業內部網絡之間建立可靠的安全連接，向他們提供安全而有效的信息服務，保證數據的安全傳輸，實現企業網絡安全通信的虛擬專用線路，使得外部非法用戶無法訪問公司內部信息。與此同時，VPN技術還可以極大降低企業信息共享的成本。

3.4 加強企業員工的安全管理

實現供水企業的信息安全，除了做好技術防護之外，還得加強企業內部員工的安全管理。做好技術防護并不意味著一勞永逸，企業員工的信息安全管理也是至關重要的。加強企業關公的安全管理需做好以下幾點：1)增強企業員工的安全意識。員工的安全意識淡薄是造成企業信息安全風險的一大因素。為保障企業信息安全，供水企業需對員工進行企業網絡系統的專業培訓與教育，掌握信息安全問題的基礎知識與常識，提高對外部惡意攻擊和病毒的警惕性，加強安全防護意識，能及時發現并處理常見的安全問題。2)健全企業信息安全管理規章制度。根據供水企業的實際情況，建立健全的信息安全管理制度，如網絡系統使用規范、機房管理制度、保密制度、值班制度、設備維護制度等。企業員工必須遵照相關管理制度，明確職責，按照相關用戶口令或操作口令，確保日常操作符合信息安全規章制度，最大限度地防止人為失誤或違規操作帶來的信息安全問題。3)配置專門的企業信息安全管理技術人才。在互聯網高速發展的幾天，沒有絕對的信息安全。企業需配置專門的信息安全管理人員，在及時有效地處理企業信息安全風險的同時，增強企業信息安全管理的人才儲備，加強信息安全技術管理隊伍，培養弓雖企業網絡系統硬件和軟件的開發設計人才，掌握保障企業信息安全的核心技術。

4 結 語

本文以供水企業為例，對企業的信息安全風險進行了分析，認為計算機病毒的傳播，黑客對企業內部網絡系統的攻擊以及企業在員工安全管理方面的不足是造成供水企業信息安全問題的三大原因。因此，要保障信息安全，供水企業需在技術和管理兩方面下功夫。在技術方面，企業可采用防火墻技術、入侵檢測技術和VPN技術。在管理層面上，企業需增強員工的安全意識，建立健全企業信息安全管理規章制度，配置專門的信息安全管理技術人才。

參考文獻

[1]丁麗川，曹暉.計算機網絡信息安全探析[J].?科技創新導報.?2010(35):28.

[2]范紅，馮登國.?信息安全風險評估方法與應用[M].?北京：清華大學出版社，2006.

[3]龔儉，陸晟.?計算機網絡安全導論[M].?南京：東南大學出版社，2007.

[4]劉鑫.?企業網絡安全策略[J].?內蒙古科技與經濟.?2010(11):47-48.