淺談企業信息安全現狀與防御

摘 "要：人類開始信息的通信，信息安全的歷史就開始了，信息安全已經歷了通訊安全、計算機安全、信息安全、信息安全保障四個階段，目前信息安全已進入網絡空間戰階段。隨著Internet技術的飛速發展，信息網絡已逐漸成為經濟繁榮、社會穩定和國家發展的基礎，信息化深刻影響著全球經濟的整合、國家戰略的調整和安全觀念的轉變。美國早從2007年就成立網絡站司令部，我國2014年2月27日成立了網絡安全和信息化領導小組，習近平總書記擔任小組長，可見信息安全已上升至國家安全的角度，網絡安全上升到國家安全戰略，沒有網絡安全就沒有國家安全，沒有信息化就沒有現代化。

關鍵詞：信息安全;現狀;防御;企業

文章編號：1674-3520（2014）-11-00-01

IT技術的發展使得人們獲取信息的速度日益加快，這也提供了便利，通過一個U盤（外部設備隱患）、一個病毒（內網WAN的缺失），一分鐘的時間就可以拷貝走上百兆的資料，而這些資料可能價值不菲，因此說一分鐘損失幾千萬，上億元絕對不是危言聳聽。我們的安全建設在“重防外，輕防內”的原則上，則可以安全的保護公司的技術文件。但是由于內部網絡監控的缺位及網絡布置的缺失和服務器年邁老化的問題，有許多漏洞可以被內、外人員所利用以截獲資料。對于企業而言，如何保護關鍵的數據保密性、完整性，關鍵業務系統的可用性，關系到企業的興衰。世界上每分鐘就有2個企業因為信息安全問題倒閉，而在所有的信息安全事故中，只有20%—30%是因為黑客入侵或其他外部原因造成的。70%—80%是由于內部員工的疏忽或有意泄露造成的;同時78%的企業數據泄露是來自內部員工的不規范操作。

能源行業，特別是石油化工行業作為國家關鍵基礎設施，因其涉及經濟、軍事和政治利益，影響范圍廣等特點，所受信息安全威脅持續上升。隨著我國能源企業開始實行“走出去”戰略，加入國際能源競爭，中國石化、中石油等重點能源企業成為了西方情報機構關切重點，我國能源生產和儲備的基礎性數據和商業機密數據泄露風險升高。如果信息安全得不到保障，將有可能造成企業發展戰略受阻，可能引起社會輿論、帶來負面影響，可能泄露企業敏感信息，給企業帶來不可估量的社會影響和損失。

一、目前企業面臨的信息安全主要有兩大方面

（一）計算機技術方面的問題。一是操作系統存在漏洞。由于計算機的操作系統總是存在著一定的漏洞和缺陷，從而給木馬、蠕蟲等病毒有可趁之機。病毒可以通過局域網、網站或者移動存儲設備等傳播。二是防火墻的局限。防火墻可以限制來自于外部網絡的訪問，但卻難以防止計算機網絡內部的攻擊或病毒的侵犯。病毒隨時可以通過移動存儲設備在局域網中進行傳播。隨著黑客技術的進步，有一些專門破解防火墻的病毒不斷涌現，這也是防火墻的局限之處，將給計算機網絡帶來一點的安全隱患。

（二）企業網絡管理方面的問題。一是網絡管理制度的不完善。有的企業雖然建立一套計算機網絡系統，但由于對網絡安全重視不夠，管理制度不完善，漏洞百出。或者，在實際管理過程中，執行不到位，甚至某個環節還沒有建立相應的管理制度。二是企業員工安全意識薄弱。企業員工在使用計算機時，對計算機網絡安全沒什么概念，缺乏安全意識。如有些在上網過程中，不開啟殺毒軟件和關閉防火墻等，從而導致病毒的入侵;有的在使用移動硬盤拷貝文件時，不注意先殺毒，在無意識中激活了病毒的傳播。

二、企業計算機網絡安全的防范措施

信息安全的成敗取決于兩個因素：技術和管理。 安全技術是信息安全的構筑材料，安全管理是真正的粘合劑和催化劑 。堅持管理與技術并重是我國信息安全工作的基本原則，企業應該建立信息安全技術體系、信息安全管理體系、信息安全工程過程、高素質的人員隊伍。

（一）落實國家等級保護的要求。按照《國家等級保護管理辦法》『2007年』43號文的要求，落實國家等級保護管理辦法，根據《國家等級保護基本要求》，從物理安全、網絡安全、主機安全、應用安全、數據安全、安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理等方面，開展自查和評估，制定安全控制措施，發現安全隱患及時處理。

（二）部署安全產品加強安全。 部署桌面管理、網絡準入、入侵檢測、入侵防御等系統提高企業對入侵和攻擊的防御能力，對安全事件的感知能力，提高終端的安全性。健全權限及職能劃分：使用最小權限原則，控制用戶和管理員只能訪問他們的工作需要的資源。用戶只能訪問他們工作需要訪問的網站，他們只能使用工作需要使用的應用程序，而管理員只能進行符合他們權限的配置更改。加強安全身份驗證機制：使用雙因素身份驗證，要求用戶使用某種設備（例如智能卡或者令牌）以及密碼（在2FA空間有時也被稱為PIN）驗證，即使密碼被破解了，仍然意義不大，除非攻擊者拿到了設備本身。

（三）加強路由器策略和防火墻策略。路由器是計算機網絡抵御外來攻擊的第一道屏障。通過路由器安全設置，將外部網絡與企業內部網絡隔離，可以抵御很多外網的攻擊。劃分合理的安全區域;建安全區可以讓你集中安全力量，來保護最重要的資產。分配給較低安全區的不太重要的資產同樣也受到了保護，但是你花在較低安全區的時間和精力相對要少得多，因為泄漏的成本比較高安全區的資產的成本要低得多。

（四）對數據進行加密和備份處理。對數據進行加密，可以防止數據被未授權的用戶查看和修改，確保數據使用的安全性。采用加密技術，對文件、資料、數據進行加密存儲和傳輸，可以一定程度上防御來自第三方的網絡竊聽等安全問題，進而確保網絡信息內容的安全。對重要的系統管理數據、業務數據定期進行備份，存儲介質異地存放。

（五）員工良好的安全意識。信息安全對抗歸根結底是人與人的對抗，保障信息安全不僅需要專業信息技術人員，還需要信息系統普通使用者提高安全意識，加強個人防范。對員工定期進行安全培訓和教育，使員工可以從企業敏感信息的涉及;銀行賬戶密碼、郵箱密碼、應用程序（QQ、網站注冊等）密碼的設置;手機等移動終端的使用;網銀、電子商務的使用;電子郵件，即時通訊軟件的使用;個人電腦的使用等方面提高防范意識。

信息的泄漏很多時侯并不需要高超的技術手段，往往是由于公司沒有規定相關的信息安全規章制度或人們還沒有較高的信息安全意識。如果組織有比較系統全面的信息安全制度，并在內部得到宣貫，90%的信息安全威脅都是可以避免的。所以，我們需要一個完整的、全方位的、系統的、整體規劃的信息安全管理體系，從預防控制的角度出發，保障組織的信息系統與業務的安全與正常運作。