企業信息安全與防護

陳波

摘 要：企業信息安全包括物理安全、運行安全、信息資產安全和管理安全四個方面。通過對企業所面臨的信息安全威脅進行分析，給出相應的技術和管理防范措施，以期對加強企業的信息安全起到一定的作用。

關鍵詞：信息安全；網絡技術；問題；防范措施

中圖分類號：TP393.08 文獻標識碼：A 文章編號：2095-6835（2014）03-0138-02

計算機網絡起源于20世紀60年代的美國，經過不斷發展和完善，現已被廣泛應用于社會各個領域。計算機網絡的社會化，已經成為了信息時代的主要推動力。在現代企業中，計算機和信息系統的廣泛運用產生了大量的信息，信息安全自然成為了人們關注的焦點。企業信息安全涉及多個方面，信息就是企業寶貴的財富，安全的信息才是有價值的，因此，確保企業信息安全是至關重要的。

1 企業信息安全面臨的威脅及其原因

在信息技術快速發展的時代，企業通過設立信息化機構，配備適應現代企業管理、運營要求的自動化、高技術軟硬件設施，建立包括網絡、數據庫和各類信息管理系統在內的工作平臺，并投入了大量的人力、物力和財力。隨著信息化建設的深入，信息安全所面臨的威脅也隨之而來。

威脅企業信息安全的因素可分為外部因素和內部因素。外部因素有很多，根據威脅可能發起攻擊的途徑，將威脅分為物理接近、網絡接入、系統問題、惡意代碼和自然災害等。而內部因素主要是指一些由計算機操作人員失誤所造成的安全問題，比如安全策略配置不當造成安全漏洞，某些普通員工某些不經意行為造成破壞而引起的安全問題；一些信息安全問題是由于具有特殊權限的人員，為了某種利益，通過各種手段將企業信息泄漏給其他人；某些企業缺乏相對完善的信息安全保密制度，對安全制度執行能力的管理不強，缺少相應的信息安全專業人員，也缺少信息安全設備等。

2 企業信息安全問題的防范

2.1 技術防范

針對物理安全問題，計算機機房要加強防火、防水和防雷擊的措施，配備大功率的UPS后備電源，機房進行接地防護，計算機終端的網線要和其他設備的線路分開。在系統安全方面，要盡量使用大、小寫字母，數字和特殊符號組合的密碼，并牢記，最好不要使用空口令或空格，以免被別有用心的人識破。另外，可以在屏保、重要的應用程序和文件上添加密碼，以確保其安全。要及時對系統補丁進行更新，大多數病毒和木馬程序都是通過系統漏洞進入的，這不僅會給本機帶來影響，嚴重的還會造成整個企業網絡信息系統癱瘓。應把那些不需要的服務關閉，例如關閉TELNET協議，Guest賬號等；安裝防病毒軟件，定期查殺，對出現的病毒進行徹底清除。同時，防火墻是確保信息安全的設備，是防御黑客攻擊的最好手段，它位于企業內部網與外部之間，能夠對所有企圖進入內部網絡的流量進行監控，會按照設定的訪問規則，允許或限制傳輸數據通過。不論是基于硬件還是軟件的防火墻都能識別、記錄并阻塞非法入侵的活動。在實踐中，密碼技術也是確保網絡安全最有效的技術之一。一個加密網絡不但可以有效防止非授權用戶竊聽和入網，而且也是對付惡意軟件的方法之一。一般的數據加密可分為鏈路加密、節點加密和端到端加密。

針對當前網絡安全的威脅，主要使用入侵檢測技術和網絡安全掃描技術。入侵檢測是防火墻的合理補充，它能夠幫助系統對付網絡攻擊，擴展了系統管理員的安全管理能力，提高了信息安全度。入侵檢測技術作為一種主動安全防護技術，能夠對收集到的信息進行分析，可以阻攔內部攻擊、外部攻擊和誤操作等行為，并在網絡系統受到危害之前實行攔截，并作出響應，比如報警、阻斷網絡、記錄事件等。網絡安全掃描技術主要包含端口掃描和漏洞掃描技術。端口掃描技術是連接到目標主機上的傳輸控制協議（TCP）和用戶數據報協議（UDP）端口，向目標主機發送數據包，并記錄目標系統的響應。通過分析響應來判斷該端口是打開還是關閉，這樣就可以通過該端口提供的服務或信息發現目標主機的漏洞。漏洞掃描是對計算機信息系統或其他網絡設備進行相關的安全檢測，找出安全隱患和可被攻擊者利用的漏洞信息，將這些信息與網絡漏洞掃描系統提供的漏洞庫進行匹配，查看是否有滿足匹配條件的漏洞存在，使系統管理員及時發現漏洞并予以修復，降低系統的安全風險，確保信息安全。

除了以上介紹的多種技術防范之外，還有一些被廣泛應用的安全技術，比如數據容災備份、安全審計系統、數字簽名、身份認證和風險評估等。

2.2 管理防范措施

技術要與管理相結合，技術與管理不是孤立存在的。對一個企業來說，信息安全不僅是一個技術問題，也是一個管理問題，只有兩手都要抓，才能提高企業的信息安全。

2.2.1 制度保障

建立健全并落實符合企業實際情況的信息安全管理制度體系，以制度為保障，能有效保護企業信息安全。

建立系統建設管理制度，規范信息系統工程的建設和安全管理工作，提升信息系統建設和管理水平，保障信息系統工程建設的安全，明確相應的流程和管理內容。

建立系統運維管理制度，可以保障信息安全，提高運維能力，使運維安全體系得以安全運行。明確制訂存儲介質的安全使用策略、病毒和惡意代碼的防范策略、備份與恢復策略、應急預案等內容。

建立信息安全責任制，明確信息安全工作的主管領導、責任部門、人員和有關崗位的信息安全責任。

2.2.2 檢查落實

建立并落實監督檢查機制，定期對各項制度的落實情況進行自查和監督檢查。堅持“誰管理，誰負責”的原則，實現層層落實責任。不斷加強和完善計算機信息安全管理，大力加強信息安全技術的建設，強化使用人員和管理人員的安全防范意識，只有通過共同的努力，才能保障計算機網絡的安全和信息安全。