信息安全——企业信息化建设中的重中之重
2009-09-10张文茹单颖
张文茹 单 颖
摘要:在信息化高度发达的今天,信息安全是企业管理中不容忽视的问题,它涉及到企业生产经营、发展建设的方方面面,是企业在竞争激烈的商场中立于不败之地的根本保证之一。但在现实中,企业的信息安全普遍存在着一些这样那样的问题,这些问题必须引起我们的高度重视,只有这样才能确保我们的企业健康成长。
关键词:信息化建设;信息安全
二十一世纪的竞争是经济全球化和信息化的竞争,如何以信息化提升企业的管理水平和综合实力,通过信息化的发展为企业带来更大效益往往是我们所关心的问题。但是由于信息技术本身的特殊性,特别是互联网的快速发展,使得信息技术又隐藏着巨大且不可能根除的风险,使个人权益、企业生存、金融风险防范乃至社会稳定和国家的安全面临危险。如何在信息化建设快速发展的同时确保信息安全,已成为各企事业单位乃至国家政府关心的热点问题。
目前,大部分企业都认识到了信息安全的重要性,并不同程度的建立了信息安全防护体系。然而,由于基础薄弱,工作人员防范意识淡薄,一些企业的信息安全形势不容乐观,计算机网络系统瘫痪、数据丢失、网上信息失窃等重大信息安全事故时有发生,给企业造成不必要的损失。
1企业信息化建设中信息安全管理面临的主要威胁和隐患
1.1计算机病毒
计算机病毒能影响计算机软件、硬件的正常运行,破坏数据的正确与完整,甚至导致系统崩溃等重大恶果。据统计,由计算机病毒破坏而造成的经济损失,不亚于一场小型战争。例如“CIH”病毒的诞生,使世界上数以万计的计算机遭到破坏,用户的数据被病毒吞噬,直接和间接的经济损失无法估量。二00四年“五一”期间爆发的“振荡波”病毒使得全球超过1800万台的电脑受到攻击。大量的局域网络因遭到病毒的侵袭而瘫痪,给企业、国家造成巨大的经济损失。尤其需要引起我们高度重视的是针对盗取各类敏感信息的木马病毒呈现上升趋势。这类病毒用户难于发现,属于隐性病毒,具有隐蔽性强、危害性大、目标明确等特点,将是今后病毒的主要破坏形式。
1.2黑客攻击
电脑入侵、账号泄漏、资料丢失、网页被黑等等也是企业信息安全管理中经常遇到的问题。其特点是往往具有明确的目标。当黑客要攻击一个目标时,通常是首先收集被攻击方的有关信息,分析被攻击方可能存在的漏洞,然后建立模拟环境,进行模拟攻击,测试对方可能的反应,再利用适当的工具进行扫描,最后通过己知的漏洞,实施攻击。黑客一旦获得了对攻击目标的系统访问权,就有可能在目标系统中建立新的安全漏洞或后门、安装探测器软件、收集感兴趣的一切信息,然后就可以读取邮件,搜索和盗窃文件,毁坏重要数据,破坏整个系统的信息,造成不堪设想的后果。
1.3信息传输、存储介质的保护
在物理介质层次上对存储和传输的信息进行安全保护,是信息安全的基本保障。物理安全隐患大致包括三个方面:一是自然灾害(如地震、火灾、洪水、雷电等)、物理损坏(如硬盘损坏、设备使用到期、外力损坏等)和设备故障(如停电断电、电磁干扰等);二是电磁辐射、信息泄漏、痕迹泄露(如口令密钥等保管不善);三是操作失误(如删除文件,格式化硬盘、线路拆除)、意外疏漏等。
1.4企业本身信息安全管理是否完善
安全管理漏洞包括人为因素和非人为因素。
非人为因素。随着计算机网络信息系统日益复杂,以致人们无法保证系统不存在网络设计漏洞与管理漏洞。这些漏洞和缺陷自然成为黑客进行攻击的首选目标。另外,软件设计人员出于自身的考虑,在进行软件开发时,为所开发的软件设置“后门”,一旦 “后门”为外人所知,该软件则无安全可言,所造成的后果也不堪设想。
人为因素。人为因素包括人为的无意失误和人为的恶意攻击。
人为的无意失误。网络管理员安全配置不当造成的安全漏洞,用户安全意识不强,口令选择不慎,用户将自己的账号随意转借他人或与别人共享等都会对网络信息安全带来威胁。一些别有用心的人会利用这些无意的失误,从他人计算机内获取不该他获取的信息。
人为的恶意攻击。这是计算机网络所面临的最大威胁,网络战中敌方的攻击和计算机犯罪就属于这一类。这类攻击又可分为两种:一种是主动攻击,是以各种方式有选择地破坏信息的有效性和完整性;另一种方式是被动攻击,就是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害,并造成机密数据的泄漏。
2加强信息安全管理必须解决好的关键问题
2.1技术方面
信息安全不仅是单一PC的问题,也不仅是服务器或路由器的问题,而是整体网络系统的问题。所以信息安全要考虑整个网络系统,结合网络系统来制定合适的信息安全策略。由于网络安全涉及到的问题非常多,如防病毒、防入侵破坏、防信息盗窃、用户身份验证等,这些都不是由单一产品来完成,也不可能由单一产品来完成,因此网络安全也必须从整体策略来考虑。
网络设备。充分利用交换机、路由器等网络设备的基本安全功能(如VLAN等)配置企业计算机网络,达到限制存取目的。有必要使用防火墙、入侵检测系统、虚拟系统等网络设备加强企业网络信息的安全性。
网络操作系统。网络操作系统是网络信息系统的核心,在信息安全管理中占据十分重要的地位。如今的操作系统性能更先进、功能更丰富,因而对企业来说更有用,但同时也增加了安全漏洞。为了加强系统的安全性,应对操作系统予以合理配置、管理和监控。集中管理企业内部的操作系统安全是降低成本和风险的有效途径。
数据库系统。在数据库系统中,由于数据大量集中存放,且为众多用户直接共享,安全性问题更为突出。数据库安全性问题应包括两个部分:
数据库数据的安全。确保当数据库系统DownTime时,当数据库数据存储媒体被破坏时以及当数据库用户误操作时,数据库数据信息不至于丢失。
数据库系统不被非法用户侵入。尽可能地堵住潜在的各种漏洞,防止非法用户利用它们侵入数据库系统。
应用软件。应用软件的安全缺陷往往与软件的规模和复杂性成正比,从设计、实现到维护阶段,都留下了大量的安全漏洞。程序开发人员在设计开发程序时,应把软件的安全性作为开发的重点工作,并在测试阶段努力查找系统漏洞,最大限度确保软件的安全性。
2.2管理方面
信息安全的管理方面又包括网络管理、数据管理、设备管理、人员管理等。由于信息安全管理是一项系统工程,所以需要依靠完备的信息安全管理体系,设计科学的信息安全管理流程,全面落实信息安全管理制度。
2.3法律方面
随着信息安全问题日渐突出,法律防范显得十分重要和紧迫。它不仅是打击计算机犯罪的法律依据,更是保护知识产权、数据安全、商业机密、个人隐私的有效途径。
3企业加强信息安全方面应采取的主要对策
如前所述,信息安全管理是一项涉及方方面面的系统工程,不同企业、不同行业之间千差万别,没有统一的模式可循。但一般而言,无论何种行业、哪家企业,加强信息安全管理都应遵守技术优先的原则、管理保障的原则、以人为本的原则、寓管于用的原则等基本原则去组织实施。
具体措施包括以下几方面:
3.1技术防范措施
信息安全是综合性学科,并具有动态的、智能的特征。因而,信息系统面临的安全风险也是动态变化的,这就意味着需要不断动态调整安全策略和防范技术,以适应新的安全风险,解决新的安全问题。
计算机系统物理安全的基本要求
必须配备延时时间长的不间断电源确保服务器和关键部门计算机连续供电,有条件的企业可以采用柴油发电机组及不间断电源共同构建冗余供电设备。
安装避雷装置,尽量为每个节点都安装防雷模块,保护计算机网络设备免遭雷击。
为电源线和信号线加装性能良好的滤波器,减小传输阻抗和导线间的交叉耦合,抑制和防止电磁泄漏。
关键服务器(如主域控制器、数据库服务器、Web服务器、邮件服务器等)应采用磁盘阵列及双机容错系统,保证网络系统不间断运行。
3.2安装防火墙系统,将企业内部网与外部网之间隔离,阻止黑客利用不安全的服务对内部网络进行攻击,造成企业内部信息泄漏。利用防火墙还能实现对数据流的监控、过滤、记录和报告。
安装网络入侵检测系统(IDS),对企图入侵、正在进行的入侵或已经发生的入侵进行识别。利用入侵检测系统可以了解网络的运行状况和发生的安全事件,并根据安全事件来调整安全策略和防护手段,同时改进实时响应和事后恢复的有效性,为定期的安全评估和分析提供依据,从而提高网络安全的整体水平。
对于关键信息需采用加密系统和认证机制,借助现代密码技术对数据进行加密,将重要秘密信息由明文变为密文。
企业内部尽量采用代理服务器上国际互联网的方式。使用代理服务器,可以有效控制用户上网时间,监视上网记录,限制不同用户的下载权限,控制带宽流量,并且有效地进行网站过滤。有条件的单位,还可以将内部网和互联网进行物理隔离,更有效的规避风险。
建立健全防病毒体系。通过网络杀毒软件保护计算机网络系统不受病毒破坏活动的影响,并注意及时更新病毒特征码。
始终保持操作系统、WEB浏览器、电子邮件和应用程序的安全版本,避免或减轻执行恶意代码所导致的后果。
3.3加强各项管理
信息安全问题的由来是信息系统的技术和管理因素造成的,但利用技术和管理漏洞造成安全事故的是人,这就说明仅仅通过程式化的安全产品和先进的技术手段是远远不够的,需要全面分析安全环境,综合评估存在的安全风险,结合企业的运行流程,针对目标信息系统和应用、运营环境中的安全管理策略,制订一个全面的安全管理策略。
建立健全规章制度,包括计算机室保密制度、进入机房重地登记制度、数据备份制度、上网管理制度等等,并建议信息主管部门与其它部门签订计算机网络使用协议,通过制度规范管理,确保计算机网络的安全和数据信息的安全保密。
按照不同级别、部门、岗位的职责,合理划分权限,避免越权操作导致保密信息的泄漏。确保系统安全和数据安全。建立数据备份中心,定时备份数据,并采用多介质、异地存储的方式来保存数据备份。定期对实体进行检查。特别是对文件服务器、光缆(或电缆)、终端及其他外设进行保密检查,防止非法侵入。加强对网络记录媒体的保护和管理。如对关键的涉密记录媒体要有防拷贝和信息加密措施,对废弃的磁盘、色带要有专人销毁等。
3.4强化人员培训教育
信息安全管理是贯穿整个信息化建设生命周期的工作,需要不断对企业的决策层、技术管理层、分析设计人员、工作执行人员等所有相关人员进行培训教育。通过培训,应确保每个人明确各自在信息安全管理中的角色和责任,认识到信息安全的重要性,提高防患意识,加强自我保护能力。对计算机系统管理员和网络管理员不仅要求知识丰富、技术全面,还应该有强烈的责任心和勇于奉献的精神。
总之,信息安全管理工作事关企业的存亡发展,应该给予高度重视,尽量控制乃至规避安全风险,确保企业信息安全。