物流企業(yè)的網(wǎng)絡(luò)信息安全

文/趙 斌

隨著現(xiàn)代物流的發(fā)展，物流企業(yè)的信息平臺(tái)是一個(gè)涉及到多個(gè)復(fù)雜集成模塊和眾多供應(yīng)鏈成員企業(yè)商業(yè)機(jī)密的復(fù)雜系統(tǒng)，任何一個(gè)安全漏洞都可能使物流企業(yè)信息平臺(tái)受到致命的打擊，安全問題不容忽視。企業(yè)的數(shù)據(jù)安全指的就是數(shù)據(jù)在平臺(tái)的運(yùn)行處理過程中，保證數(shù)據(jù)的真實(shí)性、準(zhǔn)確性、保密性。單一的數(shù)據(jù)處理看起來不重要，但是當(dāng)這些數(shù)據(jù)持續(xù)捆綁在一起時(shí)，往往就是企業(yè)最重要的機(jī)密信息，一旦泄露，企業(yè)就會(huì)出現(xiàn)競(jìng)爭(zhēng)危機(jī)。

企業(yè)信息泄露可以通過以下途徑：社交網(wǎng)站、視頻或音頻對(duì)話、 打印設(shè)備、電郵、云系統(tǒng)、域名系統(tǒng)和便攜式數(shù)據(jù)設(shè)備（比如手機(jī)，筆記本／平板電腦）。其中，最容易造成的企業(yè)信息泄露的渠道是社交網(wǎng)站 。這是因?yàn)榫W(wǎng)絡(luò)犯罪分子在社交網(wǎng)站中可以監(jiān)控、收集情報(bào)，使用惡意軟件破壞企業(yè)的網(wǎng)絡(luò)和利用企業(yè)資源。

社交網(wǎng)絡(luò)是利用社會(huì)網(wǎng)絡(luò)建立起來的一種應(yīng)用形式，是人們?cè)诨ヂ?lián)網(wǎng)上傳遞信息、進(jìn)行對(duì)話的一個(gè)平臺(tái)。在這個(gè)網(wǎng)絡(luò)平臺(tái)中，由許多不同個(gè)人或團(tuán)體的結(jié)點(diǎn)構(gòu)成信息交流和傳播的實(shí)體，實(shí)體之間存在各種社會(huì)關(guān)系，為在線用戶提供了各種形式的應(yīng)用活動(dòng)： （1）在可允許范圍內(nèi)，建立公開或半公開的用戶資料信息；（2）為用戶提供網(wǎng)絡(luò)聊天、交友和網(wǎng)絡(luò)評(píng)論等服務(wù)；（3）為網(wǎng)絡(luò)用戶其它的應(yīng)用開發(fā)提供開放接口。

社交網(wǎng)絡(luò)近幾年飛速發(fā)展，企業(yè)員工的網(wǎng)絡(luò)交流行為越來越頻繁，這就給網(wǎng)絡(luò)黑客制造了實(shí)現(xiàn)網(wǎng)絡(luò)攻擊來獲取信息的機(jī)會(huì)。目前，網(wǎng)絡(luò)罪犯不再破壞企業(yè)網(wǎng)絡(luò)，通過竊取有價(jià)值的信息從而獲取經(jīng)濟(jì)利益。通過企業(yè)信息管理最弱的社交網(wǎng)站，從網(wǎng)站上收集員工信息，發(fā)射魚叉式網(wǎng)絡(luò)釣魚式攻擊，以獲得員工的信息。黑客誘使員工通過點(diǎn)擊一個(gè)鏈接或欺騙員工使用社交媒體的應(yīng)用程序來安裝木馬或后門程序，連接到遠(yuǎn)程命令和控制服務(wù)器，收集企業(yè)的保密信息。此外，他們能夠利用員工無意中泄露任何與工作相關(guān)的信息，通過推理得到有價(jià)值的信息。看似不敏感的信息，可以被收集和獲取到足夠的有價(jià)值的信息。由于相關(guān)安全技術(shù)、法律法規(guī)的欠缺，使得社交網(wǎng)絡(luò)的安全隱患逐漸凸顯，社會(huì)各界需對(duì)社交網(wǎng)絡(luò)完全引起足夠的重視，保障自身生命財(cái)產(chǎn)安全。

表1中列出社交網(wǎng)站功能可能成為黑客攻擊的途徑。

另外，社交媒體有類似于其他Web 2.0應(yīng)用程序的一個(gè)特點(diǎn)，用戶的信息可以被他人泄露、復(fù)制或修改，并可能轉(zhuǎn)發(fā)給別人。同樣， 社交網(wǎng)站供應(yīng)商可以與廣告商共享用戶信息，這是常見的網(wǎng)絡(luò)廣告規(guī)則，廣告商可以收到點(diǎn)擊他們廣告的用戶信息。因此，從這些網(wǎng)站上廣告商收到的最后一頁信息，往往提供了用戶名稱或個(gè)人資料和ID號(hào)，這些信息有可能被用來查看個(gè)人資料。另外，因?yàn)樵S多用戶在從事他們的日?；ヂ?lián)網(wǎng)活動(dòng)時(shí)，社交網(wǎng)站是登錄頻率最高的，這些網(wǎng)站便成為黑客的主要關(guān)注目標(biāo)，通過的社交網(wǎng)站應(yīng)用程序、垃圾郵件、網(wǎng)絡(luò)釣魚和惡意軟件進(jìn)行攻擊。

表1

表2

網(wǎng)絡(luò)持續(xù)性威脅的攻擊方式是網(wǎng)絡(luò)間諜和網(wǎng)絡(luò)偵察的一種形式。由于社交網(wǎng)站的興起，世界各地的用戶已成為主要攻擊的目標(biāo)。這種攻擊的背后一般是一個(gè)資金充足和組織良好的間諜組織，以經(jīng)濟(jì)收益為動(dòng)機(jī)，在網(wǎng)絡(luò)中建立長(zhǎng)期的企業(yè)信息渠道竊取信息。通常情況下，攻擊者針對(duì)金融、政府、國(guó)防等行業(yè)。然而，近期大型企業(yè)正在成為目標(biāo)，被攻擊知識(shí)產(chǎn)權(quán)、電子郵件賬戶以及其他企業(yè)信息。

這種類型的攻擊，通過目標(biāo)企業(yè)開始識(shí)別員工，選定攻擊的目標(biāo)員工。如果用戶未使用隱私設(shè)置，黑客可將用戶個(gè)人信息收集并分析，從而得到有價(jià)值的信息。研究顯示，很多用戶不對(duì)他們的個(gè)人資料進(jìn)行隱私設(shè)置，允許大家查看他們的全部資料。一項(xiàng)研究揭示了令人震驚的結(jié)果：大概60%的受調(diào)查者在用戶接受好友請(qǐng)求之前并不查看申請(qǐng)人信息，40%不采取任何設(shè)置來保護(hù)他們的隱私，40%的用戶會(huì)告知他人自己的用戶及密碼 ，這會(huì)使黑客輕松收集敏感信息來實(shí)現(xiàn)其攻擊。

由于員工的社交網(wǎng)絡(luò)活動(dòng)給黑客提供了信息竊取的途徑，企業(yè)有必要建立有效的防范措施。

表2列出了可以幫助企業(yè)的控制機(jī)制，并探討了各機(jī)制的優(yōu)點(diǎn)和缺點(diǎn)。

上述各種安全防范措施中，優(yōu)缺點(diǎn)和側(cè)重點(diǎn)各不相同，一種方案只能解決某一方面的問題，多種方案的相互融合和相關(guān)管理和措施的有效落實(shí)才是構(gòu)筑安全、強(qiáng)大的物流信息系統(tǒng)的根本途徑。物流管理信息系統(tǒng)的安全防護(hù)是一個(gè)涉及多層面的系統(tǒng)工程,必須將多種技術(shù)、策略和管理措施綜合應(yīng)用,才能達(dá)到有效保護(hù)的目的。

在社交媒體上的信息披露不僅會(huì)損害企業(yè)的聲譽(yù)，而且還可能會(huì)導(dǎo)致嚴(yán)重的財(cái)務(wù)損失。由于員工可用智能手機(jī)和其他移動(dòng)設(shè)備在任何時(shí)間任何地點(diǎn)訪問社交網(wǎng)站，它正在成為一個(gè)難以控制的信息泄漏渠道。通過訪問這些網(wǎng)站的社交活動(dòng)，導(dǎo)致大量有關(guān)員工和他們的工作相關(guān)信息遭到泄漏，從而成為網(wǎng)絡(luò)黑客攻擊的目標(biāo)。

企業(yè)有必要制定規(guī)章制度來限制員工訪問社交網(wǎng)站，如果這些規(guī)章制度沒有明顯的效果或者無法深入實(shí)施，有必要采用更加靈活的手段進(jìn)行防護(hù)。在安全監(jiān)測(cè)方面，相關(guān)技術(shù)人員需要對(duì)所有流經(jīng)企業(yè)網(wǎng)站的信息進(jìn)行安全掃描，排查惡意軟件或者病毒，并使用信息防泄漏軟件對(duì)企業(yè)網(wǎng)站內(nèi)的所有信息進(jìn)行監(jiān)測(cè)，避免企業(yè)機(jī)密信息被某些人竊取。企業(yè)可以限制員工訪問社交網(wǎng)站的時(shí)間，規(guī)定在特定的時(shí)間才能訪問社交網(wǎng)站。來源于社交網(wǎng)站的威脅有很多種，如聊天記錄、連接到其它網(wǎng)站的信息、郵件、釣魚電子郵件等都會(huì)給企業(yè)帶來安全隱患，企業(yè)對(duì)所有Web流量都必須進(jìn)行仔細(xì)掃描，尤其需要重視來源于社交網(wǎng)站上的信息。

結(jié)論

隨著經(jīng)濟(jì)、信息技術(shù)和互聯(lián)網(wǎng)的快速發(fā)展，以及信息化進(jìn)程的不斷深入，網(wǎng)絡(luò)化成為物流企業(yè)信息化發(fā)展的必然選擇，物流管理信息系統(tǒng)已經(jīng)得到廣泛的應(yīng)用。物流決策、業(yè)務(wù)流程、客戶服務(wù)的全程信息化，給物流企業(yè)發(fā)展帶來了推動(dòng)作用。但網(wǎng)絡(luò)信息系統(tǒng)的安全問題也隨之而來。那么，如何保障物流管理信息系統(tǒng)的安全運(yùn)行，是物流企業(yè)信息化發(fā)展進(jìn)程中面臨的挑戰(zhàn)。這就要求用戶、企業(yè)、政府監(jiān)管部門需要加大安全防范意識(shí)，做好防護(hù)與處理措施，從各方面阻擋不法分子對(duì)自己的干擾，為社會(huì)大眾提供一個(gè)安全、健康的交流平臺(tái)。