淺談企業辦公中的信息安全

吳霞（中石油遼河油田分公司特種油公司，遼寧 盤錦 124010）

淺談企業辦公中的信息安全

吳霞（中石油遼河油田分公司特種油公司，遼寧 盤錦 124010）

信息安全是指信息網絡的硬件、軟件及其系統中的數據受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統連續可靠地正常運行，信息服務不中斷，保證信息的保密性、真實性、完整性、未授權拷貝和所寄生系統的安全性。企業辦公中的信息安全是企業現代化辦公的關鍵，一旦疏忽很容易帶來一系列負面影響。本文就企業辦公中的信息安全做一簡要探討。

信息安全；威脅；策略；企業辦公

信息作為一種企業的資源，具有普遍性、共享性、增值性、可處理性和多效用性，對于企業的生產運行具有特別重要的意義。中國石油遼河油田公司的發展運行至今，帶來了各方面信息量的急劇增加，并要求大容量、高效率地傳輸這些信息。

1 企業辦公中的信息安全威脅

企業辦公的信息系統是基于公司防火墻、服務器、訪問web、郵件、公司內部網絡、辦公pc機、數據庫、互聯網技術及相應的輔助硬件設備組成的，是一個綜合管理系統。從安全形勢來看，企業辦公的信息系統存在著嚴重的威脅。信息設備提供了便捷及資源共享，但同時在安全方面又是脆弱和復雜的，對數據安全和保密構成威脅。潛在的安全威脅主要有以下方面：信息泄露：信息被泄露或透露給某個非授權的實體；破壞信息的完整性：數據未經非授權被增刪、修改或破壞而受到損失；拒絕服務：對信息或其他資源的合法訪問被無條件地阻止；非授權訪問：某一資源被某個非授權的人，或以非授權的方式使用；竊聽：用各種可能的合法或非法的手段竊取系統中的信息資源和敏感信息；業務流分析：通過對系統進行長期監聽，利用統計分析方法對某些參數進行研究，從中發現有價值的信息和規律；假冒：通過欺騙通信系統（或用戶）達到非法用戶冒充成為合法用戶，或者特權小的用戶冒充成為特權大的用戶的目的。黑客大多是采用假冒攻擊；旁路控制：攻擊者利用系統的安全缺陷或安全性上的脆弱獲得非授權的權利；授權侵犯：被授權以某一目的使用某一系統或資源的某個人，卻將此權限用于其他非授權的目的，也稱作“內部攻擊”；特洛伊木馬：軟件中含有一個覺察不出的有害的程序段，當其被執行時，會破壞用戶的安全；陷阱門：在某個系統或某個部件中設置的“機關”，使得在特定的數據輸入時，允許違反安全策略；抵賴：這是一種來自用戶的攻擊，如否認自己曾經發布過的某條消息、偽造一份對方來信等；重放：出于非法目的，將所截獲的某次合法的通信數據進行拷貝，而重新發送；計算機病毒：一種在計算機系統運行過程中能夠實現傳染和侵害功能的程序；人員不慎：一個授權的人為了某種利益，或由于粗心，將信息泄露給一個非授權的人；媒體廢棄：信息被從廢棄的磁碟或打印過的存儲介質中獲得；物理侵入：侵入者繞過物理控制而獲得對系統的訪問；竊取：重要的安全物品，如令牌或身份卡被盜；業務欺騙：某一偽系統或系統部件欺騙合法的用戶或系統自愿地放棄敏感信息等。

2 企業辦公中的信息安全策略

2.1 保護網絡安全

網絡安全是為保護企業內部各方網絡端系統之間通信過程的安全性。保證機密性、完整性、認證性和訪問控制性是網絡安全的重要因素。保護網絡安全的主要措施如下：全面規劃網絡平臺的安全策略；制訂網絡安全的管理措施；使用防火墻；盡可能記錄網絡上的一切活動；注意對網絡設備的物理保護；檢驗網絡平臺系統的脆弱性；建立可靠的鑒別機制。

2.2 保護應用安全

保護應用安全，主要是針對特定應用（如Web服務器、數據庫服務器、ftp服務器等）所建立的安全防護措施，這種安全防護措施獨立于網絡的任何其他安全防護措施。雖然有些防護措施可能是網絡安全業務的一種替代或重疊，如Web瀏覽器和Web服務器在應用層上對網絡支付結算信息包的加密，都通過IP層加密，但是許多應用還有自己的特定安全要求。由于應用層對安全的要求最嚴格、最復雜，因此更傾向于在應用層而不是在網絡層采取各種安全措施。雖然網絡層上的安全仍有其特定地位，但是人們不能完全依靠它來解決企業信息系統的安全性。應用層上的安全業務可以涉及認證、訪問控制、機密性、數據完整性、不可否認性、Web安全性、EDI和網絡支付等應用的安全性。

2.3 保護系統安全

保護系統安全，是指從整體信息系統的角度進行安全防護，與網絡系統硬件平臺、操作系統、各種應用軟件等互相關聯，其安全策略包含下述一些措施：①在安裝的軟件中，檢查和確認未知的安全漏洞；②技術與管理相結合，使系統具有最小穿透風險性。③建立詳細的安全審計日志，以便檢測并跟蹤入侵攻擊等。

2.4 加強員工的信息安全培訓

企業辦公中，員工在上班時經常進行一些與工作無關的計算機操作，不僅影響網絡速度，更影響系統安全。因此，在整個企業辦公中的信息系統管理中，人為因素最重要，必須加強對計算機使用者的安全培訓。

[1]張千里，陳光英.網絡安全新技術[M].北京：人民郵電出版社,2003:76-83.

[2]董玉格等.網絡攻擊與防護-網絡安全與實用防護技術[M].北京：人民郵電出版社,2002:112-130.